文档介绍:第6章 混合型的入侵检测技术
采用多种信息源—DIDS系统
采用多种检测方法—IDES和NIDES系统
采用多种信息源
1. 总体设计
DIDS的目标环境:
一组由以太局域网连接起来的主机,
并且这些主机系统都满足C2等级的安全
审计功能要求。
DIDS的任务
监控网络中各个主机的安全状态,同
时检测针对局域网本身的攻击行为。
采用多种信息源
系统由主机监视器、局域网监视器和
中央控制器三部分构成
采用多种信息源
2. 主机监控器
组成
主机事件发生器(HEG):负责所在主机系统中
收集审计记录,并对其进行安全分析。
主机代理(Host Agent):负责与中央控制台的
通信联系。
机制
采用多种信息源
主机监控器首先从主机在系
统中读取C2审计数据文件,获取
审计记录,将这些审计记录映射
到DIDS系统定义的规范格式
HAR上,过滤冗余后,分析检测
数据,生成不同的异常事件报
告,交由主机代理发送到中央控
制台。同时控制台也可以通过主
机代理,对用于安全分析的模式
库进行修改和调整操作,以便更
好地执行分析逻辑。
采用多种信息源
3. 局域网监控器
组成
局域网事件发生器(LEG):负责观察网段内的
所有来往数据包,并检测主机间网络连
接,以及服务访问情况的安全状态,包括
每个连接内的数据量等。
局域网代理(LAN Agent):将所发生的异常
事件发送到中央控制台,同时接受控制台
的控制命令,负责提供更进一步的详细信
息。
采用多种信息源
3. 局域网监控器
特点
● LEG组件必须从当前网络数据包中构建所
需的网络审计记录(NAR)。
● LEG组件采用多个简单分析手段来分析构
建好的NAR记录。
● LEG还建立和维护当前网络行为的正常模
型,并检测当前网络使用情况与正常模型
的偏离情况。
采用多种信息源
4. 控制台
有三部分组成
通信管理器、专家系统和用户接口。
通信管理器任务
提供专家系统和用户接口与底层各个监控
器之间的双向通信通道。具体讲,专家系统可
以通过通信管理器要求底层监控器提供更多的
事件记录信息,同时还负责将返回的记录提交
给专家系统。
采用多种信息源
专家系统的主要任务
在收集来自各个监控器事件记录的基础
上,执行关联分析和安全状态评估的任
务。其核心是用于推理工作的规则库。
用户接口的主要任务
是以友好的方式实时地提供用户关心的系
统信息,还提供用户进行特定控制和查
询功能的接口。
采用多种信息源
DIDS中央控制台组件能够解决两个关键
的问题
⑴网络环境下对特定用户和系统对象(例如
文件)的跟踪问题。为此,DIDS提出了
网络用户标识(NID)的概念。
⑵不同层次的入侵数据抽象问题。DIDS系
统提出了一个6层的入侵检测模型,并以
此模型为基础和指导,构造了专家系统的
检测规则集合。