入侵检测技术第9章.pptVIP

9.1用户需求分析9.2系统安全设计原则9.3系统设计的生命周期第9章入侵检测系统的设计考虑本章描述入侵检测系统在设计时所需要考虑的若干实际问题。首先，系统设计的最初阶段要注意对用户的实际需求进行分析，从而能够具备明确的设计目标。其次，必须在系统设计时遵循若干基本的安全设计原则，保障系统自身的安全性能。最后，简要回顾入侵检测系统的设计生命周期过程。需求定义或者需求分析是进行系统设计的第一步，同时也是对后继过程产生最重要影响的阶段。01对于入侵检测系统的设计和开发过程而言，具体需要考虑如下所示的需求定义和分析情况。03同时，在需求定义的早期阶段，要注意保持需求定义的适当灵活性。在实际开发中，通常采用开发需求文档来记录不同阶段内需求定义的变更情况。020102039.1用户需求分析对于入侵检测系统而言，足够有力的检测功能是最基本的需求。按照不同用户的检测目标要求，检测功能需求又可以分为不同的类型。1首先，通常的用户需要对发生在外部的针对本地网络的攻击行为进行有效检测，以期发现潜在的外部威胁，包括拒绝服务攻击、非授权访问企图或者漏洞扫描等攻击性活动。满足此类用户需求的系统设计，应该以网络入侵检测技术为主。用户需求可以从较高层次进一步进行细化分析，例如能够检测到拒绝服务攻击中的碎片攻击，能够检测到隐蔽端口扫描等。根据入侵检测系统部署位置的不同，例如部署在访问控制点（防火墙等）外部还是内部，21.检测功能需求检测需求又可有不同。例如，部署在防火墙之内的系统，应该检测到来自于外部网络对内部非开放端口的访问请求；如果检测到，则说明外部攻击者可能通过某种渠道绕开了防火墙的访问控制机制。其次，在某些安全保护等级要求高的内部网络环境中，例如军事计算环境和金融交易网络，用户需求将要求对内部网络中用户的异常活动进行检测。一般而言，主机入侵检测技术比较适用于检测此类内部人员的威胁模式。同时，网络入侵检测技术也可以用于发现内部网络上发现的可疑活动。对内部人员威胁的检测，通常要比检测来自外部的威胁更加困难。如何将非法操作和一定范围内的合法操作区分开来，是检测内部威胁的最大需求。根据内部威胁的检测目标，可以进一步细化为更加具体的检测需求。首先，入侵检测系统应该能够追踪任何用户对系统内关键对象和资源的访问情况，并建立正常访问的行为模式。其次，系统应该能够检测内部用户用来获取更高授权时所利用的常见漏洞发掘过程，例如本地用户利用特定的缓冲区溢出攻击手段，或者利用特定服务程序的实现漏洞等。在入侵检测一般模型中，都包含了一定的响应模块。这也就反映了一般用户都具有的对所检测到的异常行为进行响应的基本需求。01用户通常最初对响应需求的期望值很高，例如自动切断会话连接或者锁定特定用户账户等，用来达到快速阻断攻击的目标。但是，设计者需要进一步分析自动响应需求所存在的潜在风险，即有可能反而被攻击者用来实施拒绝服务攻击；因此，在设计中要妥善处理好此类响应操作的实现过程。02响应需求还通常应该与整个系统的检测目标以及其他需求相关。如果检测目标中主要考虑了取证和诉讼的需求，则响应需求就应该包括如何能够增强032.响应需求证据说服力和可信度的操作，例如日志记录警报信息和原始审计数据等。如果检测目标中考虑了损伤评估需求，则响应需求就应该集中在增加可支持进一步调查活动的管理性操作上。01具体的响应需求包括：最强烈的需求是自动注销用户账户，这是在确认该用户实施了恶意的攻击行为之后采取的措施；其次，在调查某个用户的可疑活动时，暂停该用户账户，或者是在调查过程中，降低用户的权限等级并限制访问范围等。02操作需求定义了执行入侵检测工作的具体过程。确定如何操作一个入侵检测系统将极大地影响系统部署的总体有效性。不同的操作方式类型将包含不同的操作需求，具体的操作方式包括后台操作、按需操作、预定操作、实时操作和全天候操作。后台操作需要入侵检测系统在后台自动地运行，而不需要人力干预。在此方式下，代理和传感器需要自动收集各种数据，例如网络数据包和事件日志，然后将这些数据发送到某个处理点进行集聚处理。最大化的后台操作，能够减少对外部资源的需求并减少资金需求，但是存在的最大风险是，如果没有人的及时参与，系统的性能指标将可能逐步降低并导致部件故障和系统崩溃。3.操作需求按需操作也可以减少对外部资源的需求。为了满足按需操作，系统应该提供安全管理员在特定时候进行各种按需任务的操作能力，例如调查某个可疑的用户活动。按需操作通常与后台操作结合起来，能够利用有限的资源获得较好的检测效果。例如，对特定用户行为模式的跟踪，系统可以在后台自动处理当前用户活动的信息，而在每天较为空闲的时段里（通常是深夜）用来执行更新用户全天行为模式的任