第3章 入侵检测系统模型.ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 3.4 告警与响应 3.4.4 Honeynets技术 Honeynets是一个专门设计来让人“攻陷”的网络，一旦被入侵者所攻破，入侵者的一切信息、工具等都将被用来分析学习。其想法与honeypots相似，但两者之间还是有些不同。 一个Honeynets是一个网络系统，而并非某台单一主机，这一网络系统是隐藏在防火墙后面的，所有进出的数据都受到关注、捕获及控制。这些被捕获的数据可以对研究分析入侵者们使用的工具、方法及动机。在Honeynets中，可以使用各种不同的操作系统及设备，如Solaris, Linux, Windows NT, Cisco Switch, 等等。这样建立的网络环境看上去会更加真实可信，同时还有不同的系统平台上面运行着不同的服务，比如Linux的DNS server，Windows NT的webserver或者一个Solaris的FTP server，可以学习不同的工具以及不同的策略——或许某些入侵者仅仅把目标定于几个特定的系统漏洞上，而这种多样化的系统，就可能更多了揭示出他们的一些特性。 3.4 告警与响应 3.4.4 Honeynets技术 在Honeynets中的所有系统都是标准的机器，上面运行的都是真实完整的操作系统及应用程序——就象在互联网上找到的系统一样。没有刻意地模拟某种环境或者故意地使系统不安全。在Honeynets里面找到的存在风险的系统，与在互联网上一些公司组织的毫无二致。可以简单地把操作系统放到Honeynets中，并不会对整个网络造成影响。 由于Honeynets 是一个由30余名安全专业组织成员组成，专门致力于了解黑客团体使用的工具、策略和动机以及共享他们所掌握的知识的项目。这个组织使用他们自己的时间和自己的资源来收集这方面的信息，其中最主要的方法是通过使用Honeynets来收集一些信息。因此Honeynets技术的发展是一个自发的形式，由于成员都是利用业余时间和爱好来参与Honeynets技术的研究，它的发展前景既让人充满希望，又让人担忧，如果有一些网络安全的专业研究机构介入，在加上Honeynets技术在网上的公开和免费的性质，Honeynets技术的研究和学习将更有力的推动网络入侵检测技术的发展。 3.4 告警与响应 实例3-3 用VMware实现Honeynets虚拟网络 VMware是VMware公司出品的一个多系统安装软件。利用它，可以在一台电脑上将硬盘和内存的一部分拿出来虚拟出若干台机器，每台机器可以运行单独的操作系统而互不干扰，这些“新”机器各自拥有自己独立的CMOS、硬盘和操作系统，可以像使用普通机器一样对它们进行分区、格式化、安装系统和应用软件等操作，所有的这些操作都是一个虚拟的过程不会对真实的主机造成影响，还可以将这几个操作系统联成一个网络。 可以采用VMware实现一个虚拟的网络，引导黑客或病毒来攻击这个网络，从而发现这个攻击的特征，进而对这个攻击进行很好地防护。 返回 Thanks For Attendance! * * * * * * * * * * * * * * * * * * * * * * * * * * * * 3.2 信息收集 其通信模型如图3.5所示： 3.2 信息收集 在IDS中，感知器和事件分析器之间进行通信的时候，分为两层：OWL层和SSL层。OWL层负责使用OWL语言将感知器收集到的信息转换成统一的OWL语言字符串。SSL层使用SSL协议进行通信。通信的时候，首先感知器与事件分析器之间建立SSL安全会话，经过双方进行身份认证之后，感知器将OWL层生在成的消息进行RSA加密，然后通过SSL层传输给事件分析器。事件分析器收到加密的OWL消息之后进行解密，然后再进行OWL消息解析，以得到原始发送过来的消息。OWL消息解析的时候可以使用惠普公司的免费软件Jena。 3.3 信息分析 对上一节收集到的四类有关系统、网络、数据及用户活动的状态和行为等信息，一般通过三种技术手段进行分析：模式匹配，统计分析和完整性分析。其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。 3.3 信息分析 3.3.1 模式匹配 模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。该过程可以很简单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化）。一般来讲，一种进攻模式可以用一个过程（如执行一条指令）或一个