17混合型的入侵檢測(cè)技術(shù)2

1、課題名稱(chēng)：采用多種檢測(cè)方法的混合型入侵檢測(cè)技術(shù)課的類(lèi)型：授新課教學(xué)目標(biāo)：學(xué)習(xí)多種檢測(cè)方法的混合型入侵檢測(cè)技術(shù)教學(xué)重點(diǎn)：多種檢測(cè)方法的混合型入侵檢測(cè)技術(shù)教學(xué)難點(diǎn)：多種檢測(cè)方法的混合型入侵檢測(cè)技術(shù)課時(shí)安排：2課時(shí)教學(xué)方法：多媒體原理分析、講授教學(xué)過(guò)程：一、序言 本節(jié)主要介紹IDES和NIDES系統(tǒng)的總體結(jié)構(gòu)及各個(gè)組件的情況，重點(diǎn)關(guān)注兩者實(shí)現(xiàn)多種檢測(cè)方法的混合式架構(gòu)設(shè)計(jì)的技術(shù)特點(diǎn)。二、引入新課：采用多種檢測(cè)方法的混合型檢測(cè)技術(shù) 1 系統(tǒng)設(shè)計(jì)架構(gòu)入侵檢測(cè)專(zhuān)家系統(tǒng)（IDES）是一個(gè)混合型的入侵檢測(cè)系統(tǒng)，使用一個(gè)在當(dāng)時(shí)來(lái)說(shuō)是創(chuàng)新的統(tǒng)計(jì)分析算法來(lái)檢測(cè)異常入侵行為，該系統(tǒng)還使用一個(gè)專(zhuān)家系統(tǒng)檢測(cè)模塊來(lái)對(duì)已知的入

2、侵攻擊模式進(jìn)行檢測(cè)。NIDES系統(tǒng)繼承了IDES系統(tǒng)設(shè)計(jì)的基礎(chǔ)思路，同時(shí)做出若干改進(jìn)更新，以適應(yīng)更高的用戶(hù)需求。 圖63 IDES系統(tǒng)設(shè)計(jì)模型最初版本的IDES系統(tǒng)僅僅支持一個(gè)單獨(dú)的目標(biāo)主機(jī)系統(tǒng)，后繼版本擴(kuò)充了系統(tǒng)設(shè)計(jì)架構(gòu)，從而可以支持任意數(shù)目的異構(gòu)目標(biāo)系統(tǒng)。IDES的系統(tǒng)設(shè)計(jì)模型如圖6-3所示，可分為4個(gè)部分： 目標(biāo)系統(tǒng)域、鄰域接口、處理引擎和用戶(hù)接口。在如圖6-3所示的設(shè)計(jì)模型中，IDES目標(biāo)系統(tǒng)域通常包含一組鄰域，而每個(gè)鄰域又包含多臺(tái)目標(biāo)主機(jī)。IDES處理引擎負(fù)責(zé)處理從目標(biāo)系統(tǒng)域中多個(gè)鄰域內(nèi)獲得的審計(jì)數(shù)據(jù)信息。處理引擎將接收到的審計(jì)數(shù)據(jù)分發(fā)給多個(gè)分析檢測(cè)組件，并由這些檢測(cè)組件對(duì)每個(gè)審計(jì)數(shù)

3、據(jù)進(jìn)行分析處理。這些檢測(cè)組件又可稱(chēng)為“事件子系統(tǒng)”（Event System）。在IDES系統(tǒng)中實(shí)現(xiàn)了兩個(gè)檢測(cè)組件： 一個(gè)基于統(tǒng)計(jì)分析的方法，另外一個(gè)基于規(guī)則分析的方法。后面將對(duì)這兩個(gè)檢測(cè)組件加以介紹。IDES的鄰域接口是連接IDES鄰域和IDES檢測(cè)組件的橋梁，該接口由兩部分組成： 一部分駐留在目標(biāo)主機(jī)系統(tǒng)上（鄰域客戶(hù)），另一部分位于IDES處理引擎所在的本地主機(jī)上（鄰域服務(wù)器）。IDES的用戶(hù)接口允許用戶(hù)觀察在系統(tǒng)中所產(chǎn)生和處理的任何信息，包括系統(tǒng)各個(gè)組件的狀態(tài)和活動(dòng)情況。這里用戶(hù)接口獨(dú)立于基本的IDES數(shù)據(jù)處理過(guò)程，其有利于進(jìn)行更好的模塊化設(shè)計(jì)。圖6-4 IDES系統(tǒng)結(jié)構(gòu)IDES系統(tǒng)功能

4、結(jié)構(gòu)如圖6-4所示，從中可以看出各個(gè)組件之間的關(guān)系。從IDES系統(tǒng)設(shè)計(jì)模型可以看出，每個(gè)組件的具體實(shí)現(xiàn)都可以在不用對(duì)系統(tǒng)架構(gòu)進(jìn)行基本修改的前提下加以改變，即高度模塊化的設(shè)計(jì)架構(gòu)允許IDES系統(tǒng)的底層實(shí)現(xiàn)結(jié)構(gòu)與上層的內(nèi)核功能實(shí)現(xiàn)分隔開(kāi)來(lái)。IDES系統(tǒng)實(shí)際由以下功能組件構(gòu)成： 鄰域接口、統(tǒng)計(jì)異常檢測(cè)器、專(zhuān)家系統(tǒng)異常檢測(cè)器和用戶(hù)接口。以上的每個(gè)組件都實(shí)現(xiàn)為一個(gè)獨(dú)立的進(jìn)程，以便使用分布式并行計(jì)算技術(shù)來(lái)提供盡可能實(shí)時(shí)的入侵檢測(cè)能力。NIDES系統(tǒng)在總體設(shè)計(jì)上具備自己的獨(dú)到特點(diǎn)，整個(gè)系統(tǒng)被設(shè)計(jì)成為一組客戶(hù)機(jī)和服務(wù)器的集合，如圖6-5所示。其中包括3種服務(wù)器： SOUI服務(wù)器、Analysis服務(wù)器和Arp

5、ool服務(wù)器。其中，SOUI服務(wù)器負(fù)責(zé)實(shí)現(xiàn)用戶(hù)接口功能，并由與之相關(guān)的7個(gè)客戶(hù)機(jī)代理執(zhí)行各種具體的接口功能，包括管理目標(biāo)監(jiān)控主機(jī)、發(fā)送警報(bào)信息等。分析服務(wù)器負(fù)責(zé)接收統(tǒng)計(jì)分析組件和規(guī)則分析組件的分析結(jié)果，并負(fù)責(zé)通過(guò)特定代理向SOUI服務(wù)器提供警報(bào)信息。Arpool服務(wù)器則負(fù)責(zé)管理來(lái)自目標(biāo)主機(jī)的審計(jì)數(shù)據(jù)，并提供給后繼的檢測(cè)組件客戶(hù)進(jìn)程。圖6-5 客戶(hù)機(jī)/服務(wù)器模型 2 鄰域接口IDES的鄰域接口定義了IDES系統(tǒng)與目標(biāo)監(jiān)控系統(tǒng)之間的交互接口。鄰域接口包括兩個(gè)主要部件： 目標(biāo)系統(tǒng)中的客戶(hù)組件（Agen）和IDES系統(tǒng)中的服務(wù)器組件（Arpool）。在IDES系統(tǒng)中，分析處理單元被視為Arpool組件

6、的客戶(hù)。二者之間的通信都是基于RPC機(jī)制。每個(gè)客戶(hù)組件（統(tǒng)計(jì)分析組件和專(zhuān)家系統(tǒng)組件）都可以使用RPC過(guò)程從Arpool中獲取審計(jì)數(shù)據(jù)，然后處理它們，最后將其從Arpool中刪除。 3 統(tǒng)計(jì)分析組件IDES統(tǒng)計(jì)異常檢測(cè)引擎觀測(cè)在所監(jiān)控計(jì)算機(jī)系統(tǒng)上的活動(dòng)行為，自適應(yīng)地學(xué)習(xí)主體的正常行為模式。IDES統(tǒng)計(jì)異常檢測(cè)引擎維護(hù)一個(gè)主體的統(tǒng)計(jì)知識(shí)庫(kù)，其中包含主體的檔案。IDES中所使用的用來(lái)確定一個(gè)行為是否異常的推導(dǎo)進(jìn)程是建立在統(tǒng)計(jì)數(shù)值的基礎(chǔ)上的，這些統(tǒng)計(jì)值由動(dòng)態(tài)調(diào)節(jié)的參數(shù)來(lái)控制，其中的許多參數(shù)是針對(duì)特定主體類(lèi)型的。被審計(jì)的活動(dòng)用一個(gè)經(jīng)計(jì)算所得的入侵檢測(cè)變量向量來(lái)描述，對(duì)應(yīng)于在檔案中記錄的測(cè)量值。IDES評(píng)

7、價(jià)整個(gè)使用行為模式，而不是僅僅考慮主體行為的單個(gè)測(cè)量值的情況。4 專(zhuān)家系統(tǒng)組件IDES系統(tǒng)的基于規(guī)則分析組件采用一組規(guī)則來(lái)評(píng)價(jià)活動(dòng)事件（即審計(jì)記錄流），從而對(duì)用戶(hù)的當(dāng)前行為是否正常做出評(píng)價(jià)?；谝?guī)則分析組件的知識(shí)庫(kù)中，包含了大量已知的系統(tǒng)脆弱性知識(shí)、已知入侵模式的信息和其他與入侵相關(guān)的直覺(jué)知識(shí)。IDES基于規(guī)則分析組件是一個(gè)基于規(guī)則的前向鏈系統(tǒng)，即系統(tǒng)是由輸入到知識(shí)庫(kù)中的事實(shí)進(jìn)行驅(qū)動(dòng)的，而非用戶(hù)設(shè)定的目標(biāo)驅(qū)動(dòng)。IDES系統(tǒng)采用PBEST專(zhuān)家系統(tǒng)工具來(lái)編寫(xiě)檢測(cè)規(guī)則庫(kù)。PBEST編譯器將用戶(hù)編寫(xiě)的規(guī)則庫(kù)轉(zhuǎn)換為C語(yǔ)言代碼，進(jìn)一步編譯后就可構(gòu)建一個(gè)實(shí)用的可執(zhí)行程序。 5 解析器在IDES系統(tǒng)中，規(guī)則分

8、析組件和統(tǒng)計(jì)分析組件是獨(dú)立并行工作的。它們共享相同的審計(jì)記錄來(lái)源，并生成各自的分析報(bào)告；在后繼的NIDES系統(tǒng)中，引入一個(gè)解析器組件來(lái)合并分析這兩個(gè)組件的輸出結(jié)果。解析器組件分析由統(tǒng)計(jì)分析組件和基于規(guī)則分析組件所各自發(fā)出的警報(bào)信號(hào)，并報(bào)告去除冗余后的警報(bào)信號(hào)。解析器組件中定義的數(shù)據(jù)結(jié)構(gòu)如下所示。typedef enum SAFE, /* Everything is okay */CRITICAL, /* Critical Alert */ ia_result_code;typedef struct audit_record_info ia_timeval timestamp; /* time

9、audit record was generated */ia_seqno rseq; /* sequence number of audit record */string host; /* name of target host generating the audit record */string subject; /* name of subject (user) generating the audit record */ audit_record_info;typedef struct Rulebase_Analysis ia_result_code result_code; /

10、* see enumerated types */string significance; /* significance of rule firing */string rule_name; /* name of rule that fired and generated this record */ Rulebase_Analysis;typedef struct Stats_Analysis ia_result_code result_code; /* see enumerated types */float scores; /* scores of current record */S

11、tats_Analysis;typedef struct Stats_result Stats_Analysis Analysis; /* statistical Analysis */audit_record_info ar_info; /* audit record information */ Stats_result;typedef struct Rulebase_result Rulebase_Analysis Analysis; /* rulebase Analysis */audit_record_info ar_info; /* audit record information

12、 */ Rulebase_result;typedef struct Alert string message; /* string of n terminated lines */ Alert;解析器具有如下所示的函數(shù)接口。Status resolve(const Stats_result *stats_result, const Rulebase_result *rulebase_result, Alert *resolver_rec)該函數(shù)解析從統(tǒng)計(jì)分析組件報(bào)告的分析結(jié)果（stats_result）和基于規(guī)則分析組件所報(bào)告的分析結(jié)果（rulebase_result），并將解析結(jié)果放入resolver_rec中。解析器在進(jìn)行工作時(shí)，無(wú)論是統(tǒng)計(jì)分析組件還是規(guī)則分析組件指