Unit7典型入侵检测系统的分析.ppt

入侵检测及扫描技术 —— 典型入侵检测系统分析 AAFID （Autonomous Agents for Intrusion Detection） 主要内容 背景知识： AAFID的历史： AAFID的系统结构和组成 AAFID的类层次结构 实体运行模式 关键模块剖析 有待进一步研究的问题 传统IDS的局限性 使用一台主机收集和分析数据，或使用分布在不同主机上的模块进行分布式数据收集，但数据分析仍然由一台主机（中心控制台）来进行。 传统IDS的局限性（续） 控制台是瓶颈：它若失效整个IDS就将失去功效 系统扩展性不强：受监控网络规模不能太大 重新配置 IDS或增加新功能比较困难：增加模块或配置文件要重新启动IDS 对网络数据的分析过程中存在安全隐患:攻击者可能会做手脚。 什么是软件代理（software agent）？ 什么是自治代理？ 自治代理是一种能够在一台主机上执行某种安全监视功能的软件代理。 其自治特性是： 独立运行，其执行仅由操作系统调度，不受其他进程调度。 可能（不）需要其他代理产生的数据来完成他们的工作。 可以收到高级控制命令，如启动或停止执行，或改变操作参数等。 使用自治代理的IDS的目标特性 连续运行（Continuous running）： 容错性（Fault tolerance）: 抗颠覆（Resist subversion）: 最小额外支出（Minimal overhead）: 可配置性（Configurable）: 适应性（Adaptable）: 可扩展性（Scalable）: Graceful degradation of service: 动态重配置性（Dynamic reconfiguration）: Additional benefits: AAFID简介 AAFID（Autonomous Agents for Intrusion Detection），即自治代理入侵检测系统。AAFID体系结构最初由美国Purdue大学的Crosbie和Spafford提出，其原型系统由COAST实验室开发。 主要用Perl语言编写，支持Linux和Solaris两种 OS。 目的：借鉴其分布式入侵检测架构的设计思想。 AAFID的历史 AAFID体系结构最早于1994年提出，1995-1996年由COAST实验室开发，使用了C, Bourne shell, AWK, Perl。（ AAFID） 从1997年到现在，AAFID体系结构在代理、转发器和监视器的基础上加入了过滤器，并且把用户界面从监视器中分离出来。 （ AAFID2） 1998年AAFID2第一次对外发布，该版本在Solaris下测试； 1999年， AAFID2的第二个版本对外发布。新变化是：加入了事件处理机制，改进了开发支持，在Liunx和Solaris下测试。 AAFID的特点 由很多代理组成，每个代理独立运行，其代理可以是一个完整的IDS，比如snort系统。 可以适应复杂的网络拓扑环境，并能对各方面的信息进行综合分析和处理； 使用代理的好处： 增加和删除代理不会对系统其他部分产生影响； 在运行时对自身配置不用重新启动； 被应用前可以进行自我测试； 多个简单代理可以协同工作，彼此交换信息，进行更复杂的工作。 AAFID系统的物理结构和逻辑结构 最近版本AAFID的结构 AAFID系统的组成 该体系结构中的基本部件包括：代理(Agent)，收发器(Transceiver)，监视器(Monitor)，过滤器(Filter)，用户界面(User interface)。 代理：监控自己感兴趣的事件； 收发器：接收本机上的代理发送给他的报告，进行汇总后报告给监视器，监视并控制本机上运行的代理。如：启动、停止代理，向代理发送配置命令，精简从代理收到的数据。 监视器：管理多个收发器的运行，可获得整个目标网络范围内的数据，可进行高层次的数据关联处理，从而可以检测到涉及多台主机的入侵行为。 过滤器：数据选择和数据抽象 用户界面：可选择图形的或命令行的方式 代理简介 AAFID::Agent 是所有代理的基类。包含了一个代理必须具备的基本功能，如：如何与收发器通信。 提供对简单代理结构和通用代理结构的支持。 Makeagent：帮助生成代理的代码生成工具。其输入是AAFID代理规格说明语言(AAS)编写的描述文件。AAS的格式是：“关键字：值” 简单代理的编写步骤 生成AAS文件: 代理名.ass，如：newagent.ass 在newagent.ass中写入各种信息： NAME:newagent DESCRIPTION:对代理的简单描述 VERSION:0.1 用PERIOD关键字指定代理的检查时间，如：