3 入侵检测技术.pptVIP

　IDMEF目标之一是满足报警之间的关联需求并用于检测分布式协同攻击 多类agent可能将不同数据关联和归并后上报不同控制台，控制台再次关联和归并，最终格式的转换就将以IDMEF为标准 后台转换Agent负责将告警信息由各IDS的自有格式转换为标准的IDMEF格式信息 本地汇聚后，将产生告警，提交节点控制台后，将产生超告警，将针对攻击地址进行屏蔽 系统由一个汇聚节点manager与两个本地节点node1和node2组成，三节点位于同一子网192.168.3.*。node1和node2均运行Snort IDS监听并分别检测与192.168.1.*和192.168.2.*网络通信的包，同时两个方向均有主机IP过滤机制。假设两个外网中的若干机器向子网中的机器0发动SYN Flooding DDoS攻击，本模型能轻松检测并作出响应动作。系统检测的具体方法如下：?　　1) node1和node2的snort产生大量DoS攻击0的告警，经过IDMEF组件转换成标准格式；?　　2) 本地汇聚模块将根据这些告警的产生时间、目的IP和攻击类型，将其归为同一类，并产生超告警为DDoS攻击0（其中包含不同外网的攻击者IP列表），本地关联组件将该超告警通过通信组件发送给manager，本地响应组件将阻止相应的攻击IP（如在hosts.deny中增加这些IP地址）；?　　3) 网络组件收到超告警后，将转给汇聚和关联组件；manager收到来自node1和node2的告警信息后，同样根据目标IP将两个超告警归为1类，并产生超告警DDoS攻击0（攻击IP为所有攻击者IP），送入告警信息数据库;?　　4) 网络响应组件将作出响应，根据攻击IP地址列表给0发送RST包来解除对0的DDoS攻击，通过通信组件告知node1和node2，还需要禁止更多的IP地址列；?　　5) node1和node2的本地响应组件根据接收到的响应动作指令阻止所有攻击IP * * 入侵检测： 收集 分析 响应 记录 * 基于主机的数据源 系统运行状态信息：PS lsof等 系统记账信息:工作站用于收费，更加详尽 C2级安全性审计信息： 应用程序日志文件 iis日志 数据库日志等，更精确，完整 * 构建分析器 收集并生成事件信息——可能是收集系统事件信息，也有可能收集的是行为环境信息。误用：收集入侵信息，脆弱性、攻击和威胁、具体的攻击工具观察到的细节。异常：事件信息来自于系统本身或者行为特征数据库。 预处理信息——修改成通用或规范的格式。误用：攻击症状和策略的冲突转换成基于状态的信号或者某些产品系统规则；异常:事件数据可能被转换成数值，例如系统名称转为IP地址 建立行为分析引擎——按照设计规则建立一个数据区分器，用来区分入侵指示数据和非入侵指示数据。分析引擎的建立依赖于分析方法。 * 入侵检测：收集 分析 响应 记录 ??? 基于主机的入侵检测系统是早期的入侵检测系统结构，软件型，直接安装在需要保护的主机上。其检测的目标主要是主机系统和系统本地用户，检测原理是根据主机的审计数据和系统日志发现可疑事件。主机型入侵检测系统保护的一般是所在的主机系统。检测是由代理(agent)来实现的，代理是运行在目标主机上的可执行程序，负责与命令控制台(console)通信。 ??? * 产生：收集主机大量间接（日志）、直接数据（资源） 分析：通常在本地进行关联和归并，提交控制台进行分析 响应：可在本地响应，也可通知节点进行响应 记录 * 直接监测：例如：为了直接检测主机CPU的负荷，必须直接从主机相应的内核结构获得数据；要监测inetd进程提供的网络访问服务，必须之间从inetd进程获得关于那些访问的数据。 间接监测： 直接优于间接： 1.间接数据容易被篡改 2.间接数据不完全 3.间接数据噪音比较多，数据量大 4.间接有更多的时延 * （1）粒度更细 基于主机的IDS监视用户和访问文件的活动，包括文件访问、改变文件权限，试图建立新的可执行文件并且／或者试图访问特殊的设备，粒度更细，主机入侵检测系统对分析“可能的攻击行为”非常有用。如它除了可以指出入侵者试图执行一些危险的命令之外，还能分辨出入侵者已发生了一些什么行为，如运行了什么程序；打开了哪些文件；执行了哪些系统调用等，非常详细。 （3）能够检查到基于网络的系统检查不出的攻击，例如该攻击靠键盘直接实施 （4）适用被加密的和交换的环境。很多业务系统都需要加密传输，而当操作系统及基于主机的系统看到即将到来的业务时，数据流已经被解密了。，这是很多IDS亟待解决的问题 （5）近于实时的检测和响应。尽管基于主机的入侵检测系统不能提供真正实时的反应，但如果应用正确，反应速度可