5第五講混合式入侵檢測技術(shù)本章概述Zhanglinlin混合型入侵檢測技術(shù)，主要分為兩種類型采用多種信息輸入源的入侵檢測技術(shù)如同時采用網(wǎng)絡(luò)數(shù)據(jù)包和主機(jī)審計數(shù)據(jù)作為數(shù)據(jù)來源以DIDS系統(tǒng)為典型代表。多種信息輸入源強(qiáng)調(diào)采用多種不同類型的入侵檢測方法例如同時采用統(tǒng)計分析的異常檢測和基于專家系統(tǒng)規(guī)則的濫用入侵檢測技術(shù)早期著名的IDES和NIDES系統(tǒng)。多種不同類型2ZhanglinlinContents多種信息源的入侵檢測技術(shù)1多種檢測方法的入侵檢測技術(shù)2本章小結(jié)33ZhanglinlinContents多種信息源的入侵檢測技術(shù)1多種檢測方法的入侵檢測技術(shù)2本章小結(jié)34采用多種信息源的入侵檢測技術(shù)教學(xué)目標(biāo)熟悉DIDS的架構(gòu)及其各組成部分理解DIDS實(shí)現(xiàn)對多種信息源進(jìn)行檢測的思想Zhanglinlin5采用多種信息源的入侵檢測技術(shù)以DIDS為例Zhanglinlin1991年，在USAFCryptologicSupportCenter、LawrenceLivermoreNationalLaboratory、UCDavis和Haystack實(shí)驗(yàn)室的的合作下，SteveSmaha領(lǐng)導(dǎo)了DIDS（DistributedIntrusionDetectionSystem）項(xiàng)目的開發(fā)。DIDS第一次將基于主機(jī)的和基于網(wǎng)絡(luò)的入侵檢測方法結(jié)合起來，由一個中央控制單元把各節(jié)點(diǎn)收集來的多個主機(jī)的審計記錄以及網(wǎng)絡(luò)流量進(jìn)行合并分析，從而能檢測出更復(fù)雜的攻擊行為。6補(bǔ)充Zhanglinlin7采用多種信息源的入侵檢測-DIDSDIDS設(shè)計的目標(biāo)環(huán)境和所要完成的任務(wù)ZhanglinlinDIDS系統(tǒng)設(shè)計的目標(biāo)環(huán)境一組經(jīng)由以太局域網(wǎng)連接起來的主機(jī)并且這些主機(jī)系統(tǒng)都滿足C2等級的安全審計功能要求DIDS所要完成的任務(wù)是監(jiān)控網(wǎng)絡(luò)中各個主機(jī)的安全狀態(tài)同時檢測針對局域網(wǎng)本身的攻擊行為。8采用多種信息源的入侵檢測-DIDS系統(tǒng)設(shè)計架構(gòu)Zhanglinlin控制臺負(fù)責(zé)管理和控制主機(jī)監(jiān)控器和網(wǎng)絡(luò)監(jiān)控器主機(jī)監(jiān)控器：從主機(jī)系統(tǒng)中獲取審計記錄，經(jīng)分析檢測，生成異常事件報告，送至中央控制臺局域網(wǎng)監(jiān)控器監(jiān)控網(wǎng)段內(nèi)的數(shù)據(jù)包數(shù)據(jù)，將所發(fā)現(xiàn)的異常事件發(fā)送到中央控制臺9采用多種信息源的入侵檢測-DIDS主機(jī)監(jiān)控器由兩部分組成Zhanglinlin主機(jī)事件發(fā)生器HEG組件負(fù)責(zé)從所在主機(jī)系統(tǒng)中收集審計記錄，并對其進(jìn)行安全分析主機(jī)代理則負(fù)責(zé)與中央控制臺的通信聯(lián)系。10采用多種信息源的入侵檢測-DIDS主機(jī)監(jiān)控器的工作機(jī)制Zhanglinlin主機(jī)監(jiān)控器首先從主機(jī)系統(tǒng)中讀取C2審計數(shù)據(jù)文件，獲取審計記錄，然后將這些審計記錄映射到DIDS系統(tǒng)定義的規(guī)范格式HAR上。之后，將這些統(tǒng)一格式的記錄進(jìn)行必需的過濾操作以去除冗余后，再進(jìn)行各種分析檢測工作，生成不同的異常事件報告，交由主機(jī)代理發(fā)送到中央控制臺。11采用多種信息源的入侵檢測-DIDS局域網(wǎng)監(jiān)控器組成Zhanglinlin局域網(wǎng)代理將所發(fā)現(xiàn)的異常事件發(fā)送到中央控制臺，同時接受控制臺的控制命令，負(fù)責(zé)提供更進(jìn)一步的詳細(xì)信息局域網(wǎng)事件發(fā)生器LEG負(fù)責(zé)觀察網(wǎng)段內(nèi)的所有來往數(shù)據(jù)包數(shù)據(jù)，并檢測主機(jī)間網(wǎng)絡(luò)連接，以及服務(wù)訪問情況的安全狀態(tài)，包括每個連接內(nèi)的數(shù)據(jù)流量等12采用多種信息源的入侵檢測-DIDS局域網(wǎng)監(jiān)控器特點(diǎn)（與主機(jī)監(jiān)控器不同，沒有現(xiàn)成的審計記錄可用）ZhanglinlinLEG組件必須從當(dāng)前網(wǎng)絡(luò)數(shù)據(jù)包中構(gòu)建所需的網(wǎng)絡(luò)審計記錄（NAR,NetworkAuditRecord）。LEG組件主要審計主機(jī)之間的連接、所訪問的服務(wù)類型以及每個連接的數(shù)據(jù)流量情況。LEG還建立和維護(hù)當(dāng)前網(wǎng)絡(luò)行為的正常模型，并檢測當(dāng)前網(wǎng)絡(luò)使用情況與正常模型的偏離情況。13采用多種信息源的入侵檢測-DIDS控制臺組成Zhanglinlin用戶接口：通過通信管理器查詢特定主機(jī)系統(tǒng)上某個特定用戶的登錄等活動情況。是以友好的方式實(shí)時地提供用戶關(guān)心的系統(tǒng)信息，包括實(shí)時的異常事件顯示、整個系統(tǒng)的安全狀態(tài)信息等；同時，它還提供用戶進(jìn)行特定控制和查詢功能的接口專家系統(tǒng)：在收集來自各個監(jiān)控器事件記錄的基礎(chǔ)上，執(zhí)行關(guān)聯(lián)分析和安全狀態(tài)評估的任務(wù)。其核心部分是用于進(jìn)行推理工作的規(guī)則庫通信管理器：提供專家系統(tǒng)和用戶接口與底層各個監(jiān)控器之間的雙向通信通道。14DIDS中央控制臺組件能夠解決兩個關(guān)鍵的問題網(wǎng)絡(luò)環(huán)境下對特定用戶和系統(tǒng)對象（例如文件）的跟蹤問題。DIDS提出了網(wǎng)絡(luò)用戶標(biāo)識（NID）的概念，目的是惟一標(biāo)識在目標(biāo)網(wǎng)絡(luò)環(huán)境中多臺主機(jī)間不斷移動的用戶。不同層次的入侵?jǐn)?shù)據(jù)抽象問題。DIDS系統(tǒng)提出了一個6層的入侵檢測模型，并以此模型為基礎(chǔ)和指導(dǎo)，構(gòu)造了專家系統(tǒng)的檢測規(guī)則集合。Zhanglinlin采用多種信息源的入侵檢測-DIDS15采用多種信息源的入侵檢測-DIDSDIDS的入侵檢測模型Zhanglinlin原始的主機(jī)審計數(shù)據(jù)和網(wǎng)絡(luò)數(shù)據(jù)包標(biāo)準(zhǔn)主機(jī)審計記錄（HAR）和網(wǎng)絡(luò)審計記錄（NAR）主體標(biāo)識層，對每個事件都賦予一個惟一的主體標(biāo)識。處理各種事件在系統(tǒng)當(dāng)前上下文中所呈現(xiàn)的狀態(tài)計算出所有事件的威脅程度經(jīng)過函數(shù)計算，最終得出一個反映系統(tǒng)當(dāng)前安全狀態(tài)的分?jǐn)?shù)值16ZhanglinlinContents多種信息源的入侵檢測技術(shù)1多種檢測方法的入侵檢測技術(shù)2本章小結(jié)317多種檢測方法的ID技術(shù)—IDES及NIDES教學(xué)目標(biāo)了解IDES和NIDES的總體結(jié)構(gòu)及各組件情況掌握多種檢測方法混合式ID架構(gòu)設(shè)計的技術(shù)特點(diǎn)Zhanglinlin18多種檢測方法的ID技術(shù)—IDES及NIDESIDES簡介Zhanglinlin1984年—1986年，喬治敦大學(xué)的DorothyDenning和SRI/CSL（SRI公司計算機(jī)科學(xué)實(shí)驗(yàn)室）的PeterNeumann研究出了一個實(shí)時入侵檢測系統(tǒng)模型，取名為IDES（入侵檢測專家系統(tǒng)）。1988年，SRI/CSL的TeresaLunt等人改進(jìn)了Denning的入侵檢測模型，并開發(fā)出了一個IDES。該系統(tǒng)包括一個異常檢測器和一個專家系統(tǒng)，分別用于統(tǒng)計異常模型的建立和基于規(guī)則的特征分析檢測。DorothyDenning還有哪些貢獻(xiàn)？19多種檢測方法的ID技術(shù)—IDES及NIDESIDES簡介Zhanglinlin入侵檢測專家系統(tǒng)（IDES）是一個混合型的入侵檢測系統(tǒng)，使用專家系統(tǒng)檢測模塊來對已知的入侵攻擊模式進(jìn)行檢測。NIDES系統(tǒng)繼承了IDES系統(tǒng)設(shè)計的基礎(chǔ)思路，同時做出若干改進(jìn)更新，以適應(yīng)更高的用戶需求。最初版本的IDES系統(tǒng)僅僅支持一個單獨(dú)的目標(biāo)主機(jī)系統(tǒng)，后繼版本擴(kuò)充了系統(tǒng)設(shè)計架構(gòu)，從而可以支持任意數(shù)目的異構(gòu)目標(biāo)系統(tǒng)。20多種檢測方法的ID技術(shù)—IDES及NIDES系統(tǒng)架構(gòu)設(shè)計Zhanglinlin由四個部分組成IDES目標(biāo)系統(tǒng)域通常包含一組鄰域，而每個鄰域又包含多臺目標(biāo)主機(jī)鄰域：一組具有類似特性的目標(biāo)主機(jī)系統(tǒng)。IDES處理引擎負(fù)責(zé)處理從目標(biāo)系統(tǒng)域中多個鄰域內(nèi)獲得的審計數(shù)據(jù)信息。檢測組件對每個審計數(shù)據(jù)進(jìn)行分析處理在IDES系統(tǒng)中實(shí)現(xiàn)了兩個檢測組件：一個基于統(tǒng)計分析的方法，另外一個基于規(guī)則分析的方法。21多種檢測方法的ID技術(shù)—IDES及NIDES系統(tǒng)架構(gòu)設(shè)計ZhanglinlinIDES的鄰域接口:連接IDES鄰域和IDES檢測組件的橋梁由兩部分組成。一部分駐留在目標(biāo)主機(jī)系統(tǒng)上（鄰域客戶），另一部分位于IDES處理引擎所在的本地主機(jī)上（鄰域服務(wù)器）22多種檢測方法的ID技術(shù)—IDES及NIDES系統(tǒng)架構(gòu)設(shè)計ZhanglinlinIDES的用戶接口：允許用戶觀察在系統(tǒng)中所產(chǎn)生和處理的任何信息，包括系統(tǒng)各個組件的狀態(tài)和活動情況。用戶接口獨(dú)立于基本的IDES數(shù)據(jù)處理過程，其有利于進(jìn)行更好的模塊化設(shè)計。23多種檢測方法的ID技術(shù)—IDES及NIDESIDES系統(tǒng)的實(shí)現(xiàn)問題高度模塊化每個組件的具體實(shí)現(xiàn)都可以在不用對系統(tǒng)架構(gòu)進(jìn)行基本修改的前提下加以改變，即高度模塊化的設(shè)計架構(gòu)允許IDES系統(tǒng)的底層實(shí)現(xiàn)結(jié)構(gòu)與上層的內(nèi)核功能實(shí)現(xiàn)分隔開來。IDES系統(tǒng)的功能組件實(shí)際由以下功能組件構(gòu)成：鄰域接口、統(tǒng)計異常檢測器、專家系統(tǒng)異常檢測器和用戶接口。Zhanglinlin24多種檢測方法的ID技術(shù)—IDES及NIDESNIDES系統(tǒng)的架構(gòu)設(shè)計客戶機(jī)和服務(wù)器模式ZhanglinlinArpool服務(wù)器：負(fù)責(zé)管理來自目標(biāo)主機(jī)的審計數(shù)據(jù)，并提供給后繼的檢測組件客戶進(jìn)程分析服務(wù)器：負(fù)責(zé)接收統(tǒng)計分析組件和規(guī)則分析組件的分析結(jié)果，并負(fù)責(zé)通過特定代理向SOUI服務(wù)器提供警報信息。SOUI服務(wù)器：負(fù)責(zé)實(shí)現(xiàn)用戶接口功能25多種檢測方法的ID技術(shù)—IDES及NIDES鄰域接口ZhanglinlinArpoolAgenAgen：留駐在目標(biāo)系統(tǒng)上的組件，通常它以離散的時間間隔對每一個審計文件進(jìn)行輪詢，以確定目標(biāo)主機(jī)是否已經(jīng)加入了新的審計數(shù)據(jù)。Arpool：留駐在鄰域接口的服務(wù)器端，接收從多個目標(biāo)機(jī)器發(fā)來的IDES格式的審計記錄，并將它們序列化成一個單獨(dú)的記錄流，然后再對數(shù)據(jù)做進(jìn)一步的處理。同時也是一個用來存儲等待IDES處理的審計記錄的臨時緩存，用來集中存放審計數(shù)據(jù)的地方稱為“審計數(shù)據(jù)池”Agen和Arpool組件之間采用的是RPC（遠(yuǎn)程過程調(diào)用）通信協(xié)議26多種檢測方法的ID技術(shù)—IDES及NIDES統(tǒng)計分析組件（IDES統(tǒng)計異常檢測引擎）ZhanglinlinIDES統(tǒng)計異常檢測引擎：觀測在所監(jiān)控計算機(jī)系統(tǒng)上的活動行為，自適應(yīng)地學(xué)習(xí)主體的正常行為模式。維護(hù)一個主體的統(tǒng)計知識庫，其中包含主體的檔案。使用特定的入侵檢測測量值來決定所觀測到的審計記錄中的行為，并與過去或者可接受的行為對比是否異常。27回顧：用于入侵檢測的統(tǒng)計模型—示例IDES采用入侵檢測向量：當(dāng)前系統(tǒng)的活動狀態(tài)采用一組測量值參數(shù)變量來表示定義了3種不同類型的測量值：用戶主體、目標(biāo)系統(tǒng)主體和遠(yuǎn)程主機(jī)主體。4個類別的單獨(dú)測量值活動強(qiáng)度測量值審計記錄分布測量值類別測量值序數(shù)測量值Zhanglinlin28回顧：用于入侵檢測的統(tǒng)計模型—示例IDES用戶主體類型的測量值序數(shù)測量值類別測量值審計記錄分布測量值活動強(qiáng)度測量值ZhanglinlinCPU使用情況

I/O使用情況使用物理位置●郵件程序使用●編輯器使用●編譯器使用●外殼使用●窗口命令使用●通用程序使用●通用系統(tǒng)調(diào)用使用●文件活動●文件使用●所訪問用戶的ID號…對于以上的每個測量值，在審計記錄分布測量值中都有一個對應(yīng)的類別。如：CPU測量的類型為：審計記錄指示CPU使用的增量大于0每分鐘的流量●每10分鐘的流量●每小時的流量對于用戶所生成的每一個審計記錄，IDES系統(tǒng)經(jīng)計算生成一個單獨(dú)的測試統(tǒng)計值（IDES分?jǐn)?shù)值，表示為T2），用來綜合表明最近用戶行為的異常程度。統(tǒng)計值T2本身是一個對多個測量值異常度的綜合評價。因而IDES很好地體現(xiàn)了模型2和3.29多種檢測方法的ID技術(shù)—IDES及NIDESZhanglinlin專家系統(tǒng)組件IDES系統(tǒng)的基于規(guī)則分析組件IDES系統(tǒng)的基于規(guī)則分析組件采用一組規(guī)則來評價活動事件（即審計記錄流），從而對用戶的當(dāng)前行為是否正常做出評價。是一個基于規(guī)則的前向鏈系統(tǒng)，即系統(tǒng)是由輸入到知識庫中的事實(shí)進(jìn)行驅(qū)動的，而非用戶設(shè)定的目標(biāo)驅(qū)動IDES系統(tǒng)采用PBEST專家系統(tǒng)工具來編寫檢測規(guī)則庫。PBEST編譯器將用戶編寫的規(guī)則庫轉(zhuǎn)換為C語言代碼，進(jìn)一步編譯后就可構(gòu)建一個實(shí)用的可執(zhí)行程序。30多種檢測方法的ID技術(shù)—IDES及NIDES解析器Zhanglinlin在IDE