第三章IDESNIDES系统实例课件.ppt

1,第三章 IDES/NIDES系统实例,2,3.1 引言,一、误用检测技术 方法：首先对标识特定入侵的行为模式进行编码，建立误用模式库，然后对实际检测过程中得到的审计事件数据进行过滤，检查是否包含入侵行为的知识。缺点：只能检测已知的攻击模式。需要不断的、及时地升级。主要包括：简单模式匹配(基于规则)专家系统状态转移法 等,3,3.1 引言-误用检测技术方法,1、简单模式匹配优点是：原理简单，实现、配置、维护方便，检测效率高；缺点是：只适用于简单的攻击方式、误报率高；代表系统：Snort：跨平台的网络IDS（NIDS）工具Bro：由美国Lawrence Berkeley国家实验室开发，是NIDS。,4,3.1 引言,2、专家系统（expert system）工作方式是：使用类似if-then的规则格式输入已有的知识（攻击模式），然后输入待检测数据（审计事件记录），系统根据知识库中内容对检测数据进行评估和判断。代表系统:MIDASIDESNext Generation IDES（NIDES）DIDSCMDS,5,专家系统（expert system）,优点：其推理过程是自治的黑盒，不需用户理解和干预缺点：处理海量数据时存在效率问题，因为专家系统的推理通常使用解释型语言；缺乏处理数据前后的相关性问题的能力；性能取决于设计者的知识和技能；只能检测已知的攻击模式；规则库的维护较困难。,6,3.1 引言,3、状态转移法采用优化的模式匹配技术实现状态转移的入侵检测可使用以下方法：状态转移分析（state transition analysis）着色Petri网（Colored petri nets 或CP-nets）基于语言/应用程序接口的方法（Languages/API base approach）,7,状态转移分析,是一种使用高层状态转移图来表示和检测已知攻击模式的误用检测技术。该技术首先在STAT系统及USTAT中实现，STAT系统由美国加州大学Santa Barbaba分校的Pillip Porras和Richard Kemmerer开发，USTAT则由Koral Ilgun和Kemmerer完成。把入侵者渗透的过程看作是从有限的特权开始，利用系统存在的脆弱性，逐步提升自身的权限。把攻击者获得的权限或攻击成功的结果表示为系统状态。,状态转移分析（续）,特点：使用有限状态机模型来表示入侵过程入侵过程由一系列导致系统从初始状态到入侵状态的行为组成：初始状态表示入侵发生之前的系统状态，入侵状态则表示入侵完成后系统所处的状态。用户的行为和动作导致系统状态的转变。,9,着色Petri网和IDIOT系统,4、着色Petri网和IDIOT系统由Purdue 大学的Sandeep Kumar和Gene Spaffford设计。IDIOT系统是该方法的具体实现。关注事件与所处系统环境之间的关系，每种入侵模式都与先前所具备的条件以及随后发生的动作相关，该关系模式可精确描述入侵和入侵企图，并提供一种通用的、与系统架构无关的模式表达和匹配模型。优点是：检测效率高入侵特征具备跨平台的可移植性只需关注匹配内容，无需关心匹配方式,10,3.1 引言-异常检测技术,二、异常检测技术方法基于以下假设：程序的执行和用户行为在系统特性上呈现紧密相关性。如：某些特权程序总是访问特定目录下的系统文件，程序员则经常编辑和编译C程序。关键：正常使用模式的建立，如何利用该模式对当前系统/用户行为进行比较，从而判断出于正常模式的偏离程度。缺点：容易产生漏报主要包括以下方法：用户行为概率统计模型 神经网络基于SVM的检测 免疫系统数据挖掘 遗传算法基于agent的检测：如AAFID,EMERALD,IDA,11,3.1 引言-异常检测技术,1、统计分析入侵检测专家系统（IDES/NIDES）：由SRI开发，对用户和系统主体建立历史统计模式Haystack系统：由Tracor Applied Sciences and Haystack Laboratories（隶属美国空军）开发,12,3.1 引言-异常检测技术,2、基于推理机的检测W&S系统（Wisdom and Sense）:由美国Los Alamos国家实验室和Oak Ridge国家实验室的研究人员实现，可运行于多种平台，提供系统级和应用级的行为提取功能。基于时间的归纳推理机（Time based Inductive Machine,TIM）:由Digital Equipment Corporation的研究人员提出，特点是可用推导算法自动产生入侵规则。,13,3.1 引言-异常检测技术,基于神经网络的入侵检测使用自适应学习技术来提取异常行为的特征，要对训练数据集进行学习以得出正常的行为模式，保证训练数据不包含任何入侵或异常的用户行为。,14,3.1 引言-IDES,15,3.1 引言,IDES系统运行在独立的硬件上（如Sun工作站），并处理通过网络从一个或多个目标系统所传送过来的审计数据。IDES试图提供一个与系统无关的机制来实时地检测违反安全规则的活动。IDES系统的研究工作进一步发展产生了NIDES（Next Generation IDES）的产生。NIDES系统继承了IDES系统设计的基础思路，同时做了若干改进更新，以适应更高的用户需求。,16,3.2 IDES设计模型,IDES的系统设计模型如下图所示：可分为4个部分，目标系统域、领域接口、处理引擎和用户接口。,图31 IDES系统设计模型,邻域接口,17,3.2 IDES设计模型,如图31所示的设计模型中，IDES目标系统域通常包含一组邻域，而每个邻域又包含多台目标主机。邻域指一组具有类似特征的目标主机系统。所谓的“类似特性”主要是指这些目标主机系统中所产生的审计数据具有相同的数据格式。例如，一组Sun工作站就可视为一个邻域。,3.2 IDES设计模型,IDES处理引擎负责从目标系统域中多个邻域内获得的审计数据信息。处理引擎将接收到的审计数据分发给多个分析检测组件，并由这些检测组件对每个审计数据进行分析处理。这些检测组件又可称为“事件子系统”（Event System）。在IDES系统中实现了两个检测组件：一个基于统计分析的方法，另外一个采用基于规则分析的方法。,19,3.2 IDES设计模型,IDES的邻域接口是连接IDES邻域和IDES检测组件的桥梁。该接口由两部分组成：一部分驻留在目标主机系统上（邻域客户），而另外部分位于IDES处理引擎所在的本地主机上（邻域服务器）。因为不同类型的邻域有不同的审计记录格式，因此对于每一种邻域接口类型都必须开发一个对应的邻域接口组件。邻域客户负责将目标主机上的审计记录转换为符合IDES通用审计记录格式的数据，然后通过与邻域服务器的网络连接，发送审计记录信息到邻域服务器所在的主机。邻域服务器负责存储和处理多个邻域发送的审计数据，并使其对处理引擎可用。,20,3.2 IDES设计模型,需要注意的是，邻域客户和邻域服务器并没有非常明确的功能划分，邻域接口的具体实现应该根据目标主机的不同特性而不同。例如，为提高目标主机的运行性能和效率，可由邻域服务器实现审计记录的格式转换任务。IDES的用户接口允许用户观察在系统中所产生和处理的任何信息，包括系统各个组件的状态和活动情况。这里用户接口独立于基本的IDES数据处理过程，其有利于更好的模块化设计。,21,3.2 IDES设计模型,IDES系统实际由如下功能组件构成：邻域接口 统计异常检测器 专家系统异常检测器 用户接口 以上的每一个组件都实现为一个独立的进程，以便使用分布式并行计算技术来提供尽可能实时的入侵检测能力。,22,IDES系统功能结构如下图所示,事件子系统,IDES域,档案存储器,IDES处理器,用户环境,图32 IDES系统结构,23,3.3 审计数据,本节所指的审计数据是目标系统所提供的原始审计信息。在IDES系统中讨论的是Sun UNIX系统环境下收集到的审计数据。审计数据收集的目的是尽可能地收集关于目标系统运行的信息。通常，该运行信息包括以下4个典型类型：文件访问 系统访问 资源消耗 进程创建命令的调用,24,3.4 邻域接口,IDES的邻域接口定义了IDES系统与目标监控系统之间的交互接口。这里的假设是每个目标系统都能提供所需的原始审计数据信息，邻域接口负责收集这些原始数据并将其转换为定义好的标准IDES审计记录格式，然后将这些记录写入缓存，以供IDES分析组件使用。邻域接口包括两个主要部分：目标系统中的客户组件（Agen）和IDES系统中的服务器组件（Arpool）。,25,3.4.1 IDES审计记录生成器（Agen）,Agen是留驻在目标系统中的工具软件，其任务是从目标主机中的若干信息来源处收集原始的审计数据并将本地的审计记录格式转换成IDES定义好的规范格式。Agen以离散时间间隔对多个审计文件进行轮询操作，以确定目标文件中是否加入了新的审计信息。若发现新的审计记录，Agen以批处理的方式读取这些未经处理的审计记录，并预处理成为IDES的标准格式，然后发往服务器组件Arpool组件。若未发现新的审计记录，则Agen在下一次轮询前转入休眠状态。处理过程中，Agen还要对审计记录按照时间先后顺序进行排列。因为UNIX掉队机制的不可预料性，多个审计数据来源的增长速度并非相同。,26,3.4.2 审计记录池（Arpool）,Arpool组件进程是IDES系统的审计记录交换点，负责接收来自监控主机的审计数据。Arpool组件留驻在邻域接口的服务器端，其主要目的是接受来自多个目标主机的IDES格式审计记录，并把它们序列化为一个单独的审计记录流，然后对数据进行进一步的处理。Arpool实际上也是一个用来存储等待IDES处理的审计记录的缓存。收集和预处理审计数据的速度远大于分析组件处理审计记录的速度，通过Arpool的缓存机制，可以调节审计记录的流量。Arpool的缓存机制同时具备某些数据完整性的功能，因为它可以存储相当数量的IDES审计记录信息，防止一个或多个IDES分析组件临时失效而无法处理输入的审计记录。,27,3.4.3 IDES审计记录的格式设计,IDES审计记录的格式设计,基于如下考虑：首先，它必须足够通用，以便能够表示目标主机上所有可能发生的事件类型。其次，应该是目标机器中最有效的数据表示形式，以便将处理开销降至最低。除此之外，审计记录格式应该实行标准化设计，使IDES系统从多个不同类型的目标机器处接受不同的输入记录，而无需进行数据转换工作。（P50-53）,3.4.4 与IDES处理单元的连接,在IDES系统中，分析处理单元被视为Arpool组件的客户。两者之间的通信都是基于RPC（远程过程调用）机制。每个客户组件都可以使用RPC从Arpool中获取审计数据，然后处理它们，最后将其从Arpool中删除。审计记录可采用单个或者批量的方式从Arpool中提取。从处理效率来看，批量读取审计记录是最好的选择。每个对审计记录的请求操作都会采用一个位掩码来选取特定类别的审计记录。目前，有三种类型的审计记录：用户、系统和远程主机。,29,3.5 统计异常检测器,IDES统计异常检测引擎观测在所监控计算机系统上的活动行为，并自适应地学习主体。IDES统计异常检测引擎维护一个主体的统计知识库，其中包含主体的档案：一个档案是用一组测量值对一个主体正常(或是期望)行为进行的描述。档案被设计或需要大量的存储空间来存放历史数据，并且记录了足够的信息，以便用于异常检测分析：档案并不是存放所有的历史审计记录，它只存放统计分析值，如频率表，平均值和方差等。,30,3.5 统计异常检测器,IDES中所使用的用来确定一个行为是否异常的推导进程是建立在统计数值的基础上的。这些统计值由动态调节的参数来控制，其中的许多参数是针对特定主体类型的：被审计的活动用一个经计算所得的入侵检测变量向量来描述，对应于在档案中记录的测量值。测量值能够被设定为“开”和“关”状态，这取决于它们对目标系统是否有用。当一个审计记录到达时，相关的档案从知识库中提取出来，并与计算出的入侵检测变量向量相比较；如果入侵检测变量向量所确定的N维空间中的点与由档案中所存储值确定的点相距甚远，则该记录被视为异常。因而，IDES评价整个使用行为模式，而不是仅仅考虑主体行为的单个测量值的情况。,31,3.5.1 入侵检测测量值,IDES使用特定的入侵检测测量值来决定所观测到的审计记录中的行为与过去或者可接受行为对比是否异常。一个测量值反映目标系统上主体行为的一个方面，并应用于单个主体活动。目前在IDES统计分析组件中所用的全部测量值见书p5557。,32,3.5.2 统计分析算法,讨论用来执行异常检测分析的特定数学算法:1IDES分数值(Score)对于用户所生成的每一个审计记录，IDES系统经计算生成一个单独的测试统计值(IDES分数值，表示为T2)，用来综合表明最近用户行为的异常程度。因此，如果用户一天之内生成了1000个审计记录，就会有关于表明该用户行为异常度的1000个评测值。因为每一个评测值都是基于最近时期的用户行为，所以这些评测值不是相互独立的。,33,1IDES分数值(Score),34,1IDES分数值(Score),因为统计值T2综合归纳了最近时期内的用户行为，并且T2值的序列相互依赖，所以T2值会缓慢上升或者降低。一旦T2值位于红色警报区域内，那么它必须经过几个审计记录后，才会恢复到黄色或者绿色警报区域(对应着不同的异常程度水平)。为了避免产生连续的红色警报信号，可以仅在红色警报状态发生改变时，或者当用户在红色或者绿色区域内已经保持了一个特定时间后才通知安全管理员。安全管理员可以生成一个用户的T2值时间曲线，从而评价一个用户的T2统计值是否指示返回到更加正常的行为状态。,35,2分数值T2如何从单个测量值获得,统计值T2本身是一个对多个测量值异常度的综合评价。假设有n个组成测量值，这些单个测量值表示为Si，1in。测量值Si与Sj之间的相关性表示为Cij，这里1i，jn。在基本的IDES系统中，统计值T2定义为：T2=（S1，S2，Sn）C-1(S1,S2,，Sn)t 这里C-1是向量(S1，S2，Sn)相关矩阵的逆矩阵，而(S1,S2,，Sn)t 是该向量的转置向量。当测量值Si相互之间不相关时，则T2值简化为:S12+S22+Sn2即测量值的平方和。当相关性为非零时，则T2值为一个考虑进向量墨相关性的复杂得多的函数。,36,2分数值T2如何从单个测量值获得,在原版本的IDES系统中，已经指出了此种关于T2函数形式存在的三种困难：非常难以确定单个测量值Si对T2值的贡献。统计值T2是关于S和墨的复杂二次函数，系数可为正或负值。安全管理员不能够指定哪一个测量值Si是最重要的测量值。在二次函数中的权重系数完全由相关矩阵Cij所决定。,37,2分数值T2如何从单个测量值获得,作为解决这些困难的一个过渡性方法，当前版本的IDES系统将相关矩阵Cij中的非对角线元素都设定为0值。这就将统计值T2的表达式简化为Si的平方和，从而解决主述的问题。T2=a1 S12+a2S22+anSn2 ai(1in)是由安全管理员所指定的正系数。根据这个T2值的定义(在当前版本的IDES中已经实现)，可以很清楚地看到每一个测量值Si对T2值的贡献大小，而安全管理员可以通过提高系数ai的数值，来增加对应测量值Si的重要性。并且，即使在测量值Si之间存在大的负相关时，统计值T2仍然表现较好的性能。,2分数值T2如何从单个测量值获得,然而，当统计值T2是一个测量值Si的加权平方和时，它就不再对Si之间的相关性敏感了。在后继改进统计分析算法中，将重新定义T2值如下：ai是安全管理员所指定的正系数，是关于Si，Sj及其相关矩阵Cij，的一个性能良好的函数，该函数当Si和Sj与其历史相关性异常时，取较j大值。因而，新的统计值T2既能够解决前面所述的困难，又反映出测量值之间的协方差的变化。,39,3单个测量值类型,每一个单独的测量值S都表示了用户行为的一个方面。例如，一个测量值Si可能表示文件访问、所使用的CPU时间或者用来登录的终端等。两个不同的测量值可能是对用户行为中同一个方面的两种稍有差异的表示方法。例如，测量值Si和Sj是用来表示文件访问的两种不同的方式。可以把IDES统计分析系统中不同类型的单独测量值分为以下4个类别：,40,3单个测量值类型,1)活动强度测量值 这些测量值(目前为3个)跟踪在不同时间间隔内所出现的审计记录数目，间隔值从1min按顺序递增到lh。该值能够检测到异常的猝发活动或者延时活动。,41,3单个测量值类型,2)审计记录分布测量值 该单个测量值跟踪所有在最近的过去时期内发生的活动类型，其中最近的数百个审计记录对活动类型的分布情况影响最大。例如:设在最近接收的115个审计记录中，有25个记录表示文件访问，50个记录表示CPU使用时间的递增，还有30个审计记录指示发生了IO操作活动，10个审计记录表示远程主机的活动等。这些数据与一个先前历史活动的档案(在最近的几个月内生成)进行比较，以确定最近生成的活动类型分布(例如，最近所接收的数百个记录)是否异常(注意，尽管该测量值称为“审计记录分布”，但是实质上并没有计算审计记录类型本身的分布，而是计算一个审计记录所指示的一个特定活动类型发生的概率)。,42,3单个测量值类型,3)类别测量值 这些是特定活动的测量值，其输出为类别值。例如:类别测量值可能包括所访问文件的名称，用于登录的终端II)号和所使用的远程主机名称。最近时期内影响该活动的100或200个审计记录中所使用的类别数与一个历史档案中的类别使用情况进行比较来确定最近的使用情况是否异常。4)序数测量值 这些是特定活动的测量值，其输出为计数值。例如:序数测量值可能包括CPU时间(以ms为单位对所使用的CPU时间的计数)或者是IO操作的流量。影响该活动的最近100到200个审计记录中体现的行为与一个历史行为档案进行比较来确定最近的使用是否异常。,43,3单个测量值类型,这些不同的测量值类型用于不同的测量目的。活动强度测量值保证所生成的活动流量正常。审计记录分布测量值保证在最近生成的数百个审计记录中，发生的活动类型正常。类别和序数测量值则确保在一个活动类型中(例如，涉及文件访问的一个动作，或者增加CPU使用时间的动作)在最近生成的数百个审计记录中产生该动作的行为是正常的。,44,4S与Q联系的启发式描述,45,4S与Q联系的启发式描述,在IDES对应的变换中，无论统计值Q是位于01之间(对于Q而言，这是一个少见的值)，还是大于32(因为该值在历史上从未出现过)，统计值S将是一个大的正值。当Q值位于2-4之间时，这是一个常见的Q值，统计值S将接近于Q值。选择归类Q值的时间间隔是非常重要的，一般地，宁可多选几个间隔也比少选好。目前对每一个Q值选择了2个间隔，间隔的大小按线性，或者几何级增长。最后一个间隔没有上界，因此所有的Q值都可以归入某一个间隔。,46,3.6 IDES专家系统,IDES系统的基于规则分析组件采用一组规则来评价活动事件（即审计记录流），从而对用户当前行为是否正常做出评价。这些规则描述了可疑的行为类型，实质上构成了用户在目标系统上的最低行为标准。统计分析组件为用户行为定义一个“正常”行为模式，而基于规则的分析组件为用户定义一个“恰当”的行为模式，并检测任何违反规则的行为。在IDES系统中，规则分析组件和统计分析组件是独立并行工作的。它们共享相同的审计记录来源，并生成各自的分析报告。在后继的NIDES系统中，引入一个解析器组件来合并分析这两个组件的输出结果。,47,3.6 IDES专家系统,基于规则分析组件的知识库中，包含了大量已知的系统脆弱性知识、己知入侵模式的信息和入侵相关的直觉知识。可以想像，规则分析组件对于没有存储在规则库中的系统缺陷和入侵模式是无法检测到的。解决的办法就是要及时地更新系统的检测规则库。除此之外，IDES系统的另一个解决办法就是期望统计分析组件能够检测到足够异常的入侵模式。因此，IDES系统实质上是一个包含互补组件的系统，每一个组件帮助克服另一个组件的缺陷。,3.6 IDES专家系统,IDES基于规则分析组件是一个基于规则的前向链系统，即系统是由输入到知识库中的事实进行驱动的，而非用户设定的目标驱动。当一个新事实出现后，系统对应执行所有可能推导过程。对于IDES系统而言，每一个审计记录事件将变为一个加入到知识库中的事实之后，系统应用所有相关的规则执行推导过程。,49,3.6 IDES专家系统,例:规则分析组件试图通过跟踪失败登录的尝试次数来检测编程的登录供给行为。如果发生连续的登录失败事件而没有成功的登录，则发出警报信息。当为远程登录时，规则库产生低等级的警报信号；反之，若为本地登录时，则产生高级别警报信息。规则库还试图检测到所谓的“蛙跳者”攻击行为，即攻击者采用另外的主机系统实施对目标系统的攻击行动。主要目的是隐藏自己的真实身份，利用虚假身份获得非法的访问权限。规则库中还包含检测用户是否获得非法权限的规则，这是通过比较审计用户ID号与当前用ID号是否相同来检测异常行为的。审计用户ID号由系统的审计机制来保证在整个进程期间保持不变，而当前用户ID号则可以通过系统调用来改变。通常，如果一个用户突然启动了执行程序，而其当前用户ID号与审计用户ID号不同，则判断其很可能获得了非法的权限。,50,3.6 IDES专家系统,由于审计系统的功能限制，基于规则分析组件存在以下主要的限制条件:(1)命令行参数的问题。审计系统通常并不记录命令调用的参数传递情况，这就使得若干特定的系统脆弱性特征无法检测。例如，在某些版本的SendMail程序中，当其命令行参数为-C时，会存在一个可利用的安全漏洞。该种安全漏洞情况，就无法在不知道命令行参数的情况下检测到。(2)程序终止信息。审计系统不报告进程的终止情况，这意味着系统无法确定知道一个进程停止运行的准备时间。如果试图在单个程序的基础上进行规则推导，则必须知道该程序何时启动以及何时终止的信息。IDES系统采用PBEST专家系统工具来编写检测规则库。PBEST编译器将用户编写的规则库转换为c语言代码，进一步编译后就可构建一个实用的可执行程序。,51,3.6.1 PBEST概述,PBEST系统包括一个规则翻译器pbcc，一个运行时例程库和一组垃圾收集例程。规则翻译器接收一组规则(Rule)和事实(Fact)的定义后，生成一组C语言的例程，用来“断言(Assert)事实和处理规则。运行时例程库中包含了所有专家系统中的共享代码，并且包括支持交互式专家系统引擎的例程。这些交互式的环境将能够帮助用户查看程序的运行情况、设置和清除断点、删除和“断言”事实以及观察规则点火的影响轨迹等。为了生成一个专家系统，用户首先必须使用一个文字编辑器来构造一个或多个包含规则和事实定义的文件；然后使用翻译器pbcc对其进行处理，生成一个C代码文件；接着，该代码文件就可以进行正常的编译过程，分别可与动态库libpb.a(运行时例程)，静态库gc.o(内存分配和垃圾收集例程)和所需的窗口例程库(在用户欲生成一个窗口程序时)进行链接；最后完成编译的程序就是一个可独立运行的程序了。这个过程通常可以在一个make文件的控制下完成。,52,37 IDES用户接口,IDES系统用户接口的设计目标是满足各种类型用户的需求，从最高层次的异常行为分析到一般的系统维护工作。IDES的用户通常分为以下三种类型：安全管理员(SO：Security Officer)。其主要任务是监测目标系统上发生的入侵活动。他们通常对发生在目标系统上的异常事件感兴趣，并可通过分析IDES的处理数据来分析观测结果的正确性。数据分析员(DA：Data Analyst)。他们的主要任务是分析入侵检测所用的方法，对IDES系统中的统计分析算法和专家系统中的检测规则感兴趣。他们同样需要在发生异常 事件时，获得及时的通知。但其研究的重点是入侵行为的检测方法，而不是入侵行为的具体类型细节。系统管理员(SA：System Administrator)。负责系统日常的维护工作，确保IDES系统的连续正常运转。,53,37 IDES用户接口,值得注意的是，不同用户类型的角色不是严格划分不变的。安全管理员可以承担系统管理员的职责，反之亦然。对用户类型的划分主要是出于设计讨论的目的。但是，系统必须要设置缺省的访问权限控制，以反映职责划分所引起的不同。为了维护IDES用户环境的一致性，IDES系统定义了一组标准的数据表示格式，以便用户能够以一种相似的方式来浏览和操作数据，而不管所显示的信息具体内容。IDES系统中主要包含了如下2种类型的数据表示方法:,54,3.7 IDES用户接口,数据视图。它是IDES系统中信息表示的静态方式，并能够在任何时候进行调用。为了提供一个统一的接口形式，系统采用一个标准的窗口形式来表示信息。该窗口中包含若干标准的组件子窗口。数据监视器。允许对IDES系统的动态显示，从而满足用户需要对潜在的入侵行为进行实时跟踪的需求。数据监视器通常采用图形化的表示方法，因为可视化形式比文本形式更容易和更迅速地帮助用户注意到异常事件的发生。,55,NIDES系统是IDES系统的升级版本，它主要在以下方面进行了进一步的改进和提高：(1)系统的集成性得到显著提高，对组件之间的交互接口进行了一致良好的定义。(2)NIDES系统在内核组件和基础组件，以及组件和封装该组件的进程之间都进行了清晰的划分，而在IDES系统缺乏此种明确的概念界定。(3)采用了改进的统计分析算法。(4)采用了更好的规则库。(5)更好的平台移植性。本节将简要介绍一下NIDES系统在系统架构设计上的若干特点。,56,在最高的抽象层次上，NIDES系统是内核组件之间的依赖关系图(Dependency Graph)，在该图中，一条从A到B的边表示B依赖于A。每一个内核组件依赖于一组基本组件。每一个内核组件都有一组定义好的接口，例如用来向依赖自己的内核组件隐藏某个组件具体实现的函数等。类似地，每一个基本组件同样也有一组定义好的接口，用来将外部调用和内部实现分隔开来。(1)内核组件NIDES原型系统的内核组件如下所示：,57,1)审计数据生成组件。2)审计数据收集组件。3)统计分析组件。4)基于规则分析组件。5)解析器组件.6)安全管理员用户接口组件。审计数据生成组件用来从目标主机的C2安全审计文件和IN记账文件中生成反映主机上不同用户活动情况的符合NIDES格式的审计记录。它可以被远程启动、停止和监控。,审计数据收集组件负责收集由多个主机生成的审计记录。该组件确保一个审计记录只有在被所有的分析组件(统计分析组件、规则分析组件的和解析器组件)处理后，才被丢弃。统计分析组件检测伪装的非法用户。基于规则分析组件检测已知的用户入侵或者可疑行为类型。解析器组件分析来自统计分析组件和基于规则分析组件的入侵警报，并发出非冗余警报。,59,安全管理员用户接口具有以下功能：1)对NIDES系统进行实时的操作，例如入侵警报的显示和报告，选择所要监控的主机以及被监控主机活动情况的报告等。2)对以往记录的审计数据进行处理，例如警报的日志记录。以便对N-IDES所使用的永久性存储信息进行管理。内核组件之问的依赖关系如图33所示。,60,内核组件之间的依赖关系,61,安全管理员用户接口依赖于解析器组件来获取警报信息，依赖于审计数据收集组件来获得不同目标主机上审计数据生成的状态，并依赖于审计数据生成组件来进行本身的初始化和终止运行操作。解析器组件依赖于统计分析和基于规则分析组件来进行各自的分析工作，而这些分析组件又依赖于审计数据收集组件来获取审计数据记录。审计数据收集组件从不同的审计数据生成组件那里获取审计数据。,62,(2)基本组件NIDES系统中用来实现各内核组件的基本组件如下所示：进程管理组件 进程间通信组件 永久性存储组件 用户图形接口组件 进程管理组件管理各内核组件的执行及其之间的交互。每一个内核组件都在一个进程中进行封装。封装在进程中的各个内核组件之间的交互由进程间通信组件来实现。基本组件之间的依赖关系如图3-4所示。,63,基本组件与内核组件之间的依赖关系,64,进程管理模型采用分布式计算的客户栅服务器模型。每一个进程可以是一个客户机，或者一个服务器，但不能同时是客户机和服务器。一个客户进程主动发起与一个服务器进程的交互过程。一个服务器进程是反应式的，它响应由一个或者多个客户进程所发起的交互过程。,65,进程间通信组件采用远程程序调用(RPC，Remote Procedure Call)机制来实现。RPC采用消息的外部数据表示(EDR，External Data Representation)格式在进程间进行通信，以便容纳低层硬件的异质差异性。服务器进程输出能够被客户机远程调用。系统中同时提供了同步和异步RPC调用形式，以方便使用。同步RPC意味着远程程序调用可以自动执行，而异步RPC意味着远程程序调用行为及其返回能够被其他活动交替地使用，包括被其他远程调用所使用。这些都处于服务器的严格控制下，对客户机是透明的。,66,永久性存储组件提供了一种与具体存储器无关的对内核组件相关的内部数据结构的存储和检索方法。在NIDES系统中，该组件功能采用Sun公司的网络文件系统(NFS)来实现。图形用户接口组件是基于XMotif窗口系统的，它提供了一个与位置无关的用户接口。每一个内核组件依赖于进程管理组件，以及相关的图形用户接口组件。进程管理组件又依赖于进程间通信组件和永久性存储组件。,67,各个内核组件是如何通过各种基本组件集成在一起来进行工作的呢:NIDES原型系统是一组客户机和服务器的集合，包括3种服务器：SOUI服务器、Analysis服务器和Arpool服务器。1SOUI服务器 SOUI服务器的设计目标是作为处理RPCs(由客户机发送)和X事件(由X窗口系统发送)的服务器。值得指出的是，所有的服务器，特别是SOUI服务器，不能够出现不确定性堵塞。严格的客户机服务器模型应该可以避免堵塞的发生。SOUI服务器由与之相联的7个客户机所支持，我们通常称之为代理，下面介绍这7种代理：,客户机/服务器模型,69,(1)Agent_status代理。负责从Arpool中获取关于被审计目标系统的状态信息。在从Arpool获得了相关状态信息后，该代理使用put_status_of targets的RPC请求来向SOUI服务器报告最新的状态信息。(2)Agent_alerts代理。负责从Analysis服务器获取一个或多个警报信号，并使RFC请求put alerts()传递给SOUI服务器，用于显示和其他用途。(3)Agent_server代理；负责初始化和终止其他的服务器，例如Arpool和Analysis服务器。它通过向SOUI服务器发送RPC请求get_ control_sever0来实现这一点。根据所返回请求的类型，来进行适当的初始化和终止操作。在完成请求操作中遇到的错误，通过put_server_error的RPC请求传送给SOUI服务器。,70,(4)Agent_target代理 负责初始化和终止在目标主机上的审计数据生成进程。通过发送get_control_target()的RPC请求到SOUI服务器来完成这一点。在完成请求操作中出现的错误通过发送put_target_error()的RPC请求来传送给SOUI服务器。目标系统上的审计数据生成活动由目标主机上留驻的监控进程(Daemon)通过RPC请求来进行初始化和终止操作。(5)Agent_save代理 负责使用get_control_at_storage()的RPC请求来存储审计数据(通过 Arpool服务器的RPC接口获得)，该调用同时可咀启动和停止审计数据存储过程，并在操作出错时，调用ar_storage_error)。(6)Agent_email代理 负责生成电子邮件警报信息，这是通过连续向SOUI服务器发送email_alert()的RPC请求来完成的。,71,(7)Agent_batch代理负责应用统计分析和基于规则分析组件来分析审计数据文件以及记录在一个日志文件中的警报信号，这一点通过使用一个get_start_test_Analysis()的RFC请求来完成。离线分析的状态通过test_ Analysis_status()的RPC请求来传递。,72,2、Analysis服务器 Analysis服务器提供get_alert()的RPC请求，以便一个代理可以获取警报信息，并提供给SOUI服务器。Statistical客户通过发送put_stats_results()的RPC请求来返回对一个或多个审计记录进行统计分析后的结果。类似地，基于规则(Rulebased)客户通过发送一个put_rulebase_results（）的RPC调用来返回对多个审计记录进行基于规则分析后的结果。统计（Statistical）客户和基于规则(Rulebased)客户都通过发送get_ars()的RPC请求来从Arpool服务器处获取审计数据。同对，统计(Statistical)客户和基于规则(Rulebased)客户利用永久性存储组件来存储统计分析和基于规则分析的信息。,73,3、Arpool服务器 Arpool服务器提供了put_data()的RPC请求，以便审计数据生成客户用来存放审计记录。它还提供了get_ars()的RPC请求来允许分析客户提取审计数据。注意，每一个审计记录保留不变，直到当前Arpool服务器的所有活动客户都结束读取该审计记录后再删除。Arpool服务器还提供了get_status_of_targets()的RPC请求，获取目标主机的状态信息，以便安全管理员用户接口代理调用。,饭卡打开巴士风格反对广泛的,的非官是大苏打 发的发非官方共和国符合国家和国际撒的方大哥 给飞得更高是个搜狗是归属感是搞后呵呵敢死队敢死队敢死队好地方 个地方豆腐花 哈哈动画的发挥和家具风格就 国防军广泛几个房间房管局房管局法国加工费交付给交付给交付给警方根据高房价法国警方交付给,地方官梵蒂冈地方官方的说法暗室逢灯啊,的非官是大苏打 发发射机的骄傲给大家仨个地方大师傅艰苦绝对是九回复肯定是解放后肯定是国防部换个风格大富大贵士大夫但是发交付给,地方大师傅大大规划风格化地方士大夫,时的感到十分的官方电话奖和国家的骄傲还是看见好看的顺丰单号健康博客程序客户贷款空间很大防空识别的看不舒服的看不到看见对方看世界杯的咖啡酒吧的设备发的空降兵反抗波斯的反抗波斯的包括舍不得放开白色的反馈博客大巴是否看不上大夫开博客大巴发,发的高科技恢复的很快就北方港口宾馆饭店,免费感受到覅好的伤口缝合第三部分难道是扩大解放和开始变得反抗集散地和反抗精神美女部门你先吃吧每年从小便考多少分可接受的反抗集散地和付款计划的司法环境快递费还是给客服电话给客服电话高考加分梵蒂冈回复后可见风华高科点击返回高科技,辅导功课变得疯狂进攻的伤口缝合可视电话的生命发表的,但是发布的科级干部科技发达韩国可接受的和都是方面你身边的负面报道随便翻开基本上都李开复倒过来看发动了攻击附加山东南面分别明尼苏达白发魔女十点半分工合理分担和管理费的后果都是免费表面蛋白和风格和规范,我却哦网球饿哦我去哦欸开始的方便快捷,反对蒙蔽动漫被父母电脑设备方面你的身边每年颁发的身份决定胜负看得十分愧疚和第三方没办法每个部门的妇女不敢面对疯牛病而微软微软微软为法国空军东方科技很发达客户给开发经费的士大夫大师傅似的犯得上广泛的和广泛化工艰苦户籍科户籍科,