网络工程-8_访问控制技术.pptVIP

* * 解决问题的不同方式从一定程度上划分了基于误用的入侵检测系统的类型，其主要有专家系统、模式匹配、按键监视、协议分析、状态协议分析、Petric网状态转换等。 4.4.4 入侵检测系统的结构 (1) 公共入侵检测框架模型 图4-21 CIDF模型及结构 CIDF提出了一个通用模型，将入侵检测系统分为4个基本组件：事件产生器、事件分析器、响应单元和事件数据库，其结构如图4-21所示。 事件产生器 CIDF将IDS需要分析的数据统称为事件，它可以是网络中的数据包，也可以是从系统日志或其他途径得到的信息。事件产生器的任务是从入侵检测系统之外的计算环境中收集事件，并将这些事件转换成CIDF的GIDO（统一入侵检测对象）格式传送给其他组件。 事件分析器 事件分析器分析从其他组件收到的GIDO，并将产生的新GIDO在传送给其他组件。分析器可以是一个轮廓（Profile）描述工具，也可以是一个特征检测工具，用于在一个事件序列中检测是否有已知的误用攻击特性；此外，事件分析器还可以是一个相关器。 * * 事件数据库 用来存储GIDO，以备系统需要的时候使用。 响应单元 响应单元处理收到的GIDO，并据此采取相应的措施，如kill相关进程、将连接复位、修改文件权限等。 在这个模型中，事件产生器、事件分析器和响应单元通常以应用程序的形式出现，而事件数据库则往往是文件或数据流的方式。 以上4个组件只是逻辑实体，一个组件可能是某台计算机上的一个进程甚至线程，也可能是多台计算机上的多个进程，它们以GIDO格式进行数据交换。 (2) 简单的分布式入侵检测系统 分布式入侵检测系统是与简单的基于主机的入侵检测系统不同的，它一般由多个部件组成，分布在网络的各个部分，完成相应的功能，如进行数据采集、分析等。通过中心的控制部件进行数据汇总、分析、产生入侵报警等。有的系统的中心控制部件可以监督和控制其他部件的活动、修改其配置等。 * * 一个简单的分布式入侵检测系统（DIDS）如图4-22所示。每个受监视的主机上都运行一个主机监视模块，用于过滤和分析与该系统相关的主机审计日志。主机上的通信代理模块负责发送信息给中心计算机，称之为DIDS Director。DIDS Director主要由3个部分组成：通信管理器（控制整个系统的信息流）、专家系统（负责分析从各个来源于监视源的归纳过的信息，进行入侵检测）、用户接口（主要负责给安全管理者提供友好的人机界面）。在网络上还装有网络监视器，主要负责监视网络上的数据，通过通信代理模块向DIDS Director发送信息。在这种结构下，不仅可以检测到针对单独主机的入侵，同时也可以根据网络监视器提供的信息，检测到针对整个网络上的主机的入侵，如上面提到的doorknob攻击。 图4-22 DIDS的体系结构 * * (3) 基于智能代理技术的分布式入侵检测系统 近些年来，人工智能领域的智能代理（Agent）技术越来越热，也提出了不少基于智能代理技术的分布式入侵检测系统，下面主要介绍基于自治代理技术的AAFID。自治代理（Autonomous Agents）是指在主机上执行特定安全监视任务的软件代理。其自治性主要体现在它们是独立运行的实体，它们的执行只与操作系统的调度有关，而与其他进程无关。尽管自治代理之间可能需要进行数据通信，但仍认为它是自治的。 AAFID的系统结构可以从图4-23的实例中看出，AAFID系统结构有3个重要的部件：代理（Agents）、收发器（Transceivers）和监视器（Monitors）组成。三者都被称为实体。三种实体之间的关系如下： 一个AAFID系统可以分布在任意多台主机上，每台主机上可以有任意多个代理； 在同一台主机上的所有代理向该主机上的收发器传递信息； 每台主机只能有一个收发器，负责监督和控制该主机上的代理，可以向代理发送控制命令，也可以对代理所发送来的数据进行数据精简； 收发器可以向一个或多个监视器报告结果，每个收发器可向多个监视器发送信息，这样可以避免由于一个监视器故障而造成的单点故障问题； 每个监视器监督和控制多个发送器； 监视器可以访问广域网，从而可