第三章IDESNIDES系统实例课件.ppt
《第三章IDESNIDES系统实例课件.ppt》由会员分享,可在线阅读,更多相关《第三章IDESNIDES系统实例课件.ppt(79页珍藏版)》请在三一办公上搜索。
1、1,第三章 IDES/NIDES系统实例,2,3.1 引言,一、误用检测技术 方法:首先对标识特定入侵的行为模式进行编码,建立误用模式库,然后对实际检测过程中得到的审计事件数据进行过滤,检查是否包含入侵行为的知识。缺点:只能检测已知的攻击模式。需要不断的、及时地升级。主要包括:简单模式匹配(基于规则)专家系统状态转移法 等,3,3.1 引言-误用检测技术方法,1、简单模式匹配优点是:原理简单,实现、配置、维护方便,检测效率高;缺点是:只适用于简单的攻击方式、误报率高;代表系统:Snort:跨平台的网络IDS(NIDS)工具Bro:由美国Lawrence Berkeley国家实验室开发,是NID
2、S。,4,3.1 引言,2、专家系统(expert system)工作方式是:使用类似if-then的规则格式输入已有的知识(攻击模式),然后输入待检测数据(审计事件记录),系统根据知识库中内容对检测数据进行评估和判断。代表系统:MIDASIDESNext Generation IDES(NIDES)DIDSCMDS,5,专家系统(expert system),优点:其推理过程是自治的黑盒,不需用户理解和干预缺点:处理海量数据时存在效率问题,因为专家系统的推理通常使用解释型语言;缺乏处理数据前后的相关性问题的能力;性能取决于设计者的知识和技能;只能检测已知的攻击模式;规则库的维护较困难。,6,
3、3.1 引言,3、状态转移法采用优化的模式匹配技术实现状态转移的入侵检测可使用以下方法:状态转移分析(state transition analysis)着色Petri网(Colored petri nets 或CP-nets)基于语言/应用程序接口的方法(Languages/API base approach),7,状态转移分析,是一种使用高层状态转移图来表示和检测已知攻击模式的误用检测技术。该技术首先在STAT系统及USTAT中实现,STAT系统由美国加州大学Santa Barbaba分校的Pillip Porras和Richard Kemmerer开发,USTAT则由Koral Ilgu
4、n和Kemmerer完成。把入侵者渗透的过程看作是从有限的特权开始,利用系统存在的脆弱性,逐步提升自身的权限。把攻击者获得的权限或攻击成功的结果表示为系统状态。,状态转移分析(续),特点:使用有限状态机模型来表示入侵过程入侵过程由一系列导致系统从初始状态到入侵状态的行为组成:初始状态表示入侵发生之前的系统状态,入侵状态则表示入侵完成后系统所处的状态。用户的行为和动作导致系统状态的转变。,9,着色Petri网和IDIOT系统,4、着色Petri网和IDIOT系统由Purdue 大学的Sandeep Kumar和Gene Spaffford设计。IDIOT系统是该方法的具体实现。关注事件与所处系统
5、环境之间的关系,每种入侵模式都与先前所具备的条件以及随后发生的动作相关,该关系模式可精确描述入侵和入侵企图,并提供一种通用的、与系统架构无关的模式表达和匹配模型。优点是:检测效率高入侵特征具备跨平台的可移植性只需关注匹配内容,无需关心匹配方式,10,3.1 引言-异常检测技术,二、异常检测技术方法基于以下假设:程序的执行和用户行为在系统特性上呈现紧密相关性。如:某些特权程序总是访问特定目录下的系统文件,程序员则经常编辑和编译C程序。关键:正常使用模式的建立,如何利用该模式对当前系统/用户行为进行比较,从而判断出于正常模式的偏离程度。缺点:容易产生漏报主要包括以下方法:用户行为概率统计模型 神经
6、网络基于SVM的检测 免疫系统数据挖掘 遗传算法基于agent的检测:如AAFID,EMERALD,IDA,11,3.1 引言-异常检测技术,1、统计分析入侵检测专家系统(IDES/NIDES):由SRI开发,对用户和系统主体建立历史统计模式Haystack系统:由Tracor Applied Sciences and Haystack Laboratories(隶属美国空军)开发,12,3.1 引言-异常检测技术,2、基于推理机的检测W&S系统(Wisdom and Sense):由美国Los Alamos国家实验室和Oak Ridge国家实验室的研究人员实现,可运行于多种平台,提供系统级和
7、应用级的行为提取功能。基于时间的归纳推理机(Time based Inductive Machine,TIM):由Digital Equipment Corporation的研究人员提出,特点是可用推导算法自动产生入侵规则。,13,3.1 引言-异常检测技术,基于神经网络的入侵检测使用自适应学习技术来提取异常行为的特征,要对训练数据集进行学习以得出正常的行为模式,保证训练数据不包含任何入侵或异常的用户行为。,14,3.1 引言-IDES,15,3.1 引言,IDES系统运行在独立的硬件上(如Sun工作站),并处理通过网络从一个或多个目标系统所传送过来的审计数据。IDES试图提供一个与系统无关的
8、机制来实时地检测违反安全规则的活动。IDES系统的研究工作进一步发展产生了NIDES(Next Generation IDES)的产生。NIDES系统继承了IDES系统设计的基础思路,同时做了若干改进更新,以适应更高的用户需求。,16,3.2 IDES设计模型,IDES的系统设计模型如下图所示:可分为4个部分,目标系统域、领域接口、处理引擎和用户接口。,图31 IDES系统设计模型,邻域接口,17,3.2 IDES设计模型,如图31所示的设计模型中,IDES目标系统域通常包含一组邻域,而每个邻域又包含多台目标主机。邻域指一组具有类似特征的目标主机系统。所谓的“类似特性”主要是指这些目标主机系统
9、中所产生的审计数据具有相同的数据格式。例如,一组Sun工作站就可视为一个邻域。,3.2 IDES设计模型,IDES处理引擎负责从目标系统域中多个邻域内获得的审计数据信息。处理引擎将接收到的审计数据分发给多个分析检测组件,并由这些检测组件对每个审计数据进行分析处理。这些检测组件又可称为“事件子系统”(Event System)。在IDES系统中实现了两个检测组件:一个基于统计分析的方法,另外一个采用基于规则分析的方法。,19,3.2 IDES设计模型,IDES的邻域接口是连接IDES邻域和IDES检测组件的桥梁。该接口由两部分组成:一部分驻留在目标主机系统上(邻域客户),而另外部分位于IDES处
10、理引擎所在的本地主机上(邻域服务器)。因为不同类型的邻域有不同的审计记录格式,因此对于每一种邻域接口类型都必须开发一个对应的邻域接口组件。邻域客户负责将目标主机上的审计记录转换为符合IDES通用审计记录格式的数据,然后通过与邻域服务器的网络连接,发送审计记录信息到邻域服务器所在的主机。邻域服务器负责存储和处理多个邻域发送的审计数据,并使其对处理引擎可用。,20,3.2 IDES设计模型,需要注意的是,邻域客户和邻域服务器并没有非常明确的功能划分,邻域接口的具体实现应该根据目标主机的不同特性而不同。例如,为提高目标主机的运行性能和效率,可由邻域服务器实现审计记录的格式转换任务。IDES的用户接口
11、允许用户观察在系统中所产生和处理的任何信息,包括系统各个组件的状态和活动情况。这里用户接口独立于基本的IDES数据处理过程,其有利于更好的模块化设计。,21,3.2 IDES设计模型,IDES系统实际由如下功能组件构成:邻域接口 统计异常检测器 专家系统异常检测器 用户接口 以上的每一个组件都实现为一个独立的进程,以便使用分布式并行计算技术来提供尽可能实时的入侵检测能力。,22,IDES系统功能结构如下图所示,事件子系统,IDES域,档案存储器,IDES处理器,用户环境,图32 IDES系统结构,23,3.3 审计数据,本节所指的审计数据是目标系统所提供的原始审计信息。在IDES系统中讨论的是
12、Sun UNIX系统环境下收集到的审计数据。审计数据收集的目的是尽可能地收集关于目标系统运行的信息。通常,该运行信息包括以下4个典型类型:文件访问 系统访问 资源消耗 进程创建命令的调用,24,3.4 邻域接口,IDES的邻域接口定义了IDES系统与目标监控系统之间的交互接口。这里的假设是每个目标系统都能提供所需的原始审计数据信息,邻域接口负责收集这些原始数据并将其转换为定义好的标准IDES审计记录格式,然后将这些记录写入缓存,以供IDES分析组件使用。邻域接口包括两个主要部分:目标系统中的客户组件(Agen)和IDES系统中的服务器组件(Arpool)。,25,3.4.1 IDES审计记录生
13、成器(Agen),Agen是留驻在目标系统中的工具软件,其任务是从目标主机中的若干信息来源处收集原始的审计数据并将本地的审计记录格式转换成IDES定义好的规范格式。Agen以离散时间间隔对多个审计文件进行轮询操作,以确定目标文件中是否加入了新的审计信息。若发现新的审计记录,Agen以批处理的方式读取这些未经处理的审计记录,并预处理成为IDES的标准格式,然后发往服务器组件Arpool组件。若未发现新的审计记录,则Agen在下一次轮询前转入休眠状态。处理过程中,Agen还要对审计记录按照时间先后顺序进行排列。因为UNIX掉队机制的不可预料性,多个审计数据来源的增长速度并非相同。,26,3.4.2
14、 审计记录池(Arpool),Arpool组件进程是IDES系统的审计记录交换点,负责接收来自监控主机的审计数据。Arpool组件留驻在邻域接口的服务器端,其主要目的是接受来自多个目标主机的IDES格式审计记录,并把它们序列化为一个单独的审计记录流,然后对数据进行进一步的处理。Arpool实际上也是一个用来存储等待IDES处理的审计记录的缓存。收集和预处理审计数据的速度远大于分析组件处理审计记录的速度,通过Arpool的缓存机制,可以调节审计记录的流量。Arpool的缓存机制同时具备某些数据完整性的功能,因为它可以存储相当数量的IDES审计记录信息,防止一个或多个IDES分析组件临时失效而无法
15、处理输入的审计记录。,27,3.4.3 IDES审计记录的格式设计,IDES审计记录的格式设计,基于如下考虑:首先,它必须足够通用,以便能够表示目标主机上所有可能发生的事件类型。其次,应该是目标机器中最有效的数据表示形式,以便将处理开销降至最低。除此之外,审计记录格式应该实行标准化设计,使IDES系统从多个不同类型的目标机器处接受不同的输入记录,而无需进行数据转换工作。(P50-53),3.4.4 与IDES处理单元的连接,在IDES系统中,分析处理单元被视为Arpool组件的客户。两者之间的通信都是基于RPC(远程过程调用)机制。每个客户组件都可以使用RPC从Arpool中获取审计数据,然后
16、处理它们,最后将其从Arpool中删除。审计记录可采用单个或者批量的方式从Arpool中提取。从处理效率来看,批量读取审计记录是最好的选择。每个对审计记录的请求操作都会采用一个位掩码来选取特定类别的审计记录。目前,有三种类型的审计记录:用户、系统和远程主机。,29,3.5 统计异常检测器,IDES统计异常检测引擎观测在所监控计算机系统上的活动行为,并自适应地学习主体。IDES统计异常检测引擎维护一个主体的统计知识库,其中包含主体的档案:一个档案是用一组测量值对一个主体正常(或是期望)行为进行的描述。档案被设计或需要大量的存储空间来存放历史数据,并且记录了足够的信息,以便用于异常检测分析:档案并
17、不是存放所有的历史审计记录,它只存放统计分析值,如频率表,平均值和方差等。,30,3.5 统计异常检测器,IDES中所使用的用来确定一个行为是否异常的推导进程是建立在统计数值的基础上的。这些统计值由动态调节的参数来控制,其中的许多参数是针对特定主体类型的:被审计的活动用一个经计算所得的入侵检测变量向量来描述,对应于在档案中记录的测量值。测量值能够被设定为“开”和“关”状态,这取决于它们对目标系统是否有用。当一个审计记录到达时,相关的档案从知识库中提取出来,并与计算出的入侵检测变量向量相比较;如果入侵检测变量向量所确定的N维空间中的点与由档案中所存储值确定的点相距甚远,则该记录被视为异常。因而,
18、IDES评价整个使用行为模式,而不是仅仅考虑主体行为的单个测量值的情况。,31,3.5.1 入侵检测测量值,IDES使用特定的入侵检测测量值来决定所观测到的审计记录中的行为与过去或者可接受行为对比是否异常。一个测量值反映目标系统上主体行为的一个方面,并应用于单个主体活动。目前在IDES统计分析组件中所用的全部测量值见书p5557。,32,3.5.2 统计分析算法,讨论用来执行异常检测分析的特定数学算法:1IDES分数值(Score)对于用户所生成的每一个审计记录,IDES系统经计算生成一个单独的测试统计值(IDES分数值,表示为T2),用来综合表明最近用户行为的异常程度。因此,如果用户一天之内
19、生成了1000个审计记录,就会有关于表明该用户行为异常度的1000个评测值。因为每一个评测值都是基于最近时期的用户行为,所以这些评测值不是相互独立的。,33,1IDES分数值(Score),34,1IDES分数值(Score),因为统计值T2综合归纳了最近时期内的用户行为,并且T2值的序列相互依赖,所以T2值会缓慢上升或者降低。一旦T2值位于红色警报区域内,那么它必须经过几个审计记录后,才会恢复到黄色或者绿色警报区域(对应着不同的异常程度水平)。为了避免产生连续的红色警报信号,可以仅在红色警报状态发生改变时,或者当用户在红色或者绿色区域内已经保持了一个特定时间后才通知安全管理员。安全管理员可以
20、生成一个用户的T2值时间曲线,从而评价一个用户的T2统计值是否指示返回到更加正常的行为状态。,35,2分数值T2如何从单个测量值获得,统计值T2本身是一个对多个测量值异常度的综合评价。假设有n个组成测量值,这些单个测量值表示为Si,1in。测量值Si与Sj之间的相关性表示为Cij,这里1i,jn。在基本的IDES系统中,统计值T2定义为:T2=(S1,S2,Sn)C-1(S1,S2,,Sn)t 这里C-1是向量(S1,S2,Sn)相关矩阵的逆矩阵,而(S1,S2,,Sn)t 是该向量的转置向量。当测量值Si相互之间不相关时,则T2值简化为:S12+S22+Sn2即测量值的平方和。当相关性为非零
21、时,则T2值为一个考虑进向量墨相关性的复杂得多的函数。,36,2分数值T2如何从单个测量值获得,在原版本的IDES系统中,已经指出了此种关于T2函数形式存在的三种困难:非常难以确定单个测量值Si对T2值的贡献。统计值T2是关于S和墨的复杂二次函数,系数可为正或负值。安全管理员不能够指定哪一个测量值Si是最重要的测量值。在二次函数中的权重系数完全由相关矩阵Cij所决定。,37,2分数值T2如何从单个测量值获得,作为解决这些困难的一个过渡性方法,当前版本的IDES系统将相关矩阵Cij中的非对角线元素都设定为0值。这就将统计值T2的表达式简化为Si的平方和,从而解决主述的问题。T2=a1 S12+a
22、2S22+anSn2 ai(1in)是由安全管理员所指定的正系数。根据这个T2值的定义(在当前版本的IDES中已经实现),可以很清楚地看到每一个测量值Si对T2值的贡献大小,而安全管理员可以通过提高系数ai的数值,来增加对应测量值Si的重要性。并且,即使在测量值Si之间存在大的负相关时,统计值T2仍然表现较好的性能。,2分数值T2如何从单个测量值获得,然而,当统计值T2是一个测量值Si的加权平方和时,它就不再对Si之间的相关性敏感了。在后继改进统计分析算法中,将重新定义T2值如下:ai是安全管理员所指定的正系数,是关于Si,Sj及其相关矩阵Cij,的一个性能良好的函数,该函数当Si和Sj与其历
23、史相关性异常时,取较j大值。因而,新的统计值T2既能够解决前面所述的困难,又反映出测量值之间的协方差的变化。,39,3单个测量值类型,每一个单独的测量值S都表示了用户行为的一个方面。例如,一个测量值Si可能表示文件访问、所使用的CPU时间或者用来登录的终端等。两个不同的测量值可能是对用户行为中同一个方面的两种稍有差异的表示方法。例如,测量值Si和Sj是用来表示文件访问的两种不同的方式。可以把IDES统计分析系统中不同类型的单独测量值分为以下4个类别:,40,3单个测量值类型,1)活动强度测量值 这些测量值(目前为3个)跟踪在不同时间间隔内所出现的审计记录数目,间隔值从1min按顺序递增到lh。
24、该值能够检测到异常的猝发活动或者延时活动。,41,3单个测量值类型,2)审计记录分布测量值 该单个测量值跟踪所有在最近的过去时期内发生的活动类型,其中最近的数百个审计记录对活动类型的分布情况影响最大。例如:设在最近接收的115个审计记录中,有25个记录表示文件访问,50个记录表示CPU使用时间的递增,还有30个审计记录指示发生了IO操作活动,10个审计记录表示远程主机的活动等。这些数据与一个先前历史活动的档案(在最近的几个月内生成)进行比较,以确定最近生成的活动类型分布(例如,最近所接收的数百个记录)是否异常(注意,尽管该测量值称为“审计记录分布”,但是实质上并没有计算审计记录类型本身的分布,
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 第三 IDESNIDES 系统 实例 课件

链接地址:https://www.31ppt.com/p-3968405.html