浅谈入侵检测系统2

入侵检测系统

的主要功能包括:监视、分析用户及系统的活动;系统构造和弱点的审计;识别反应已知进攻的活动模式并向相关人士报警;对异常行为模式进行统计分析爱;对重要系统和数据文件的完整性进行评估;对操作系统进行审计跟踪管理;识别用户违反安全策略的行为。

一、基本模型

包括通用入侵检测模型(Denning模型)层次化入侵检测模型(IDM)和管理式入侵检测模型(SNMP-IDSM)

通用入侵检测模型(Denning模型)

该模型主要由6个部分构成:
1.主体(Subjects)
2.对象(Objects)
3.审计记录(Audit Records)
4.活动简档(Activity Profile)
5.异常记录(Anomaly Record)
6.活动规则

1.主体

指系统操作的主动发起者,是在目标系统上活动的实体
例如:计算机操作系统的进程,网络的服务连接等

2.对象

指系统所管理的资源,如文件,设备,命令等

3.审计记录

指主体对对象实施操作时,系统产生的数据。
如:用户注册,命令执行和文件访问等;

4.活动简档

用以保存主体正常活动的有关信息,具体实现依赖于检测方法

5.异常记录

用以表示异常事件的发生。

6.活动规则

指当一个审计记录或异常记录产生时应采取的动作

层次化入侵检测模型(IDM)

该模型入侵检测系统分为6个层次,从低到高依次为:数据层(Data)、事件层(Event)、主体层(Subject)、上下文层(Context)、威胁层(Thread)和安全状态层(Security state)。

1.数据层

包括主机操作系统的审计记录、局域网监视器结果和第三方审计软件包提供的数据

2.事件层

该层处理的客体是对第一层客体的补充,该层客体成为事件。用以描述事件第一层的客体内容所表示的含义和固有的特征性质。

3.主体层

主体是一个唯一标识号,用来鉴别在网络中跨越多台主机使用的用户

4.上下文层

用来说明事件发生时所处的环境

5.威胁层

考虑事件对网络和主机构成的威胁。
当把事件及其上下文结合起来分析时,就能够发现现在存在的威胁。

6.安全转态层

IDM的最高层用1~100的数字值来表示网络的安全状态,数字越大,网络的安全性越低

管理式入侵检测模型(SNMP-IDSM)

定义了用来描述入侵事件的管理信息库MIB,并将入侵事件分为原始事件和抽象事件两层架构。
原始事件:引起安全状态迁移的事件或表示单个变量偏移的事件
抽象事件:分析原始事件所产生的事件

二、工作模式

无论属于什么类型的入侵检测系统,其工作模式都可以分为4个步骤
1.从系统的不同环节手机信息
2.分析该信息,试图寻找入侵活动的特征
3.自动对检测到的行为作出响应
4.记录并报告检测过程和结果

三、系统分类

有数据源分类、分析方法分类、检测方式分类、检测结果分类、响应方式分类、各模块运行的分布方式分类6种

1.数据源分类

根据检测所用数据来源可分3类
1.基于主机(Host-Based)的入侵检测系统
2.基于网络(Network-Based)的入侵检测系统
3.基于混合数据源的入侵检测系统

2.分析方法分类

可分两类
1.异常入侵检测系统
2.误用入侵检测系统

3.检测方式分类

也可分两类
1.实时检测系统
2.非实时检测系统

4.检测结果分类

1.二分类入侵检测系统
2.多分类入侵检测系统

5.响应方式分类

1.主动的入侵检测系统
2.被动的入侵检测系统

6.各模块运行分布方式分类

1.集中式入侵检测系统
2.分布式入侵检测系统

四、系统架构

架构通常采用一个管理者和数个代理的模式。
管理者向代理发送查询请求,代理向管理者汇报网络中主机传输信息的情况,代理和管理者之间直接通信。

管理者

定义管理带的规则和策略。
管理者安装在一台经过特殊配置过的主机上,对网络中的代理进行查询。有的管理者具有图形界面,而有的IDS产品只是以守护进程的形式来运行管理者,然后使用其他的程序来管理他们。

代理

由于代理负责监视网络安全,所以大多数的IDS允许用户将代理安装在任何可以接受配置的主机上。当用户在考虑产品时,应当确保它可以和网络上的主机配合工作。

五、系统部署

对于入侵检测系统来说,其类型不同、应用环境不同,部署方案也就会有所差别。
对于基于主机的入侵检测系统来说,他一般是用于保护关键主机和服务器,因此只要将它部署到这些关键主机或服务器中即可。简单分两种情况来讨论

1.网络中没有部署防火墙

在没有安装防火墙的情况下,IDS通常安装在网络入口的交换机上,以便监听所有进出网络的数据包并进行相应的保护

2.网络中部署防火墙

防火墙系统起防御来自外部网络的攻击的作用,网络中部署防火墙和入侵检测系统互相配合可以进行更有效的安全管理。

你可能感兴趣的:(浅谈入侵检测系统2)