《入侵检测系统的标准与评价PPT课件》由会员分享,可在线阅读,更多相关《入侵检测系统的标准与评价PPT课件(61页珍藏版)》请在金锄头文库上搜索。
1、第7章入侵检测系统的标准与评估曹元大主编,人民邮电出版社,2007年1入侵检测系统的标准与评估第7章入侵检测系统的标准与评估入侵检测系统的标准与评估:q入侵检测的标准化工作q入侵检测系统的性能指标q网络入侵检测系统测试评估q测试评估内容q测试环境和测试软件q用户评估标准q入侵检测评估方案2入侵检测系统的标准与评估入侵检测的标准化工作q入侵检测技术在最近几年发展迅速,但是相应的入侵检测标准化工作则进展缓慢。 q当前有两个国际组织在进行这方面的工作,他们是Common Intrusion Detection Framework(CIDF)和IETF(Internet Engineering Tas
2、k Force)下属的Intrusion Detection Working Group(IDWG)。q他们强调了入侵检测的不同方面,并从各自的角度进行了标准化工作。 3入侵检测系统的标准与评估CIDFqCIDF标准化工作基于这样的思想:入侵行为是如此广泛和复杂,以至于依靠某个单一的IDS不可能检测出所有的入侵行为,因此需要一个IDS系统的合作来检测跨越网络或跨越较长时间段的不同攻击。为了尽可能地减少标准化工作,CIDF把IDS系统合作的重点放在了不同组件的合作上。qCIDF的主要工作是:提出了一个通用的入侵检测框架,然后进行这个框架中各个部件之间通信协议和API的标准化,以达到不同IDS组件
3、的通信和管理。4入侵检测系统的标准与评估CIDF的规范文档qArichitecture:提出了IDS的通用体系结构,用以说明IDS各组件间通信的环境。qCommunication:说明了IDS各种不同组件间如何通过网络进行通信。qLanguage:定义了公共入侵规范语言(CISL),IDS各组件间通过CISL来进行入侵和警告等信息的通信。qAPI:提供了一整套标准的应用程序接口,允许IDS各组件的重用,在CISL的表示中隐含了API.5入侵检测系统的标准与评估CIDF的系统结构GidosGidos反应Gidos事件Gidos事件产生器响应单元事件数据库Gidos事件分析器6入侵检测系统的标准与
4、评估CIDF的互操作q配置互操作:可相互发现并交换数据。 q语法互操作:可正确识别交换的数据。q语义互操作:可相互正确理解交换的数据。 7入侵检测系统的标准与评估CIDF的协同方式-分析ABA收集原始数据并可以作预处理分析,B则根据A进行更深层次的分析并产生报告。8入侵检测系统的标准与评估CIDF的协同方式-互补A1BA2A1和A2能够互相弥补。B负责合并A1和A2的输出结果。A1和A2可以检测不同的攻击。或者A1和A2再不同的计算机上检测到同一种攻击。9入侵检测系统的标准与评估CIDF的协同方式-互纠A1JA2A1和A2可以互相纠正检测结果。由于入侵检测中存在许多报警,故组件之间的互纠是必要
5、的。采用不同的分析方法两个检测器常会产生多次误报警。特殊的情况是,J组件在A1和A2的检测结果相同时才会报告入侵。10入侵检测系统的标准与评估CIDF的协同方式-核实A1HA2A1报告发现攻击,H则询问A2是否也检测到同一种攻击,若A2报告检测到同一种攻击,那么H就认为A1的入侵报告得到验证。11入侵检测系统的标准与评估CIDF的协同方式-调整ATA根据所受到的警告信息调整监测。A发送一个请求给T,询问应该监测的对象是什么。然后,A接收T的回答信息,并加以分析和进行监测操作。12入侵检测系统的标准与评估CIDF的协同方式-响应AX如果分析器判断到一个特定的处理过程正在进行对某个主机的攻击,或者
6、是一个特定的网络链接被用作发起攻击。那么分析器应当向管理员发起警告,但是人的响应要比机器的响应慢。因此,入侵检测器需要预先设置自动应急的脚本,以便在紧急的情况下IDS可以直接响应13入侵检测系统的标准与评估CIDF的公共入侵规范语言(CISL)qCIDF最主要的工作就是不同组件间所使用语言的标准化,CIDF的体系结构只是通信的背景。q在CIDF模型里,通过组件接收的输入流来驱动分析引擎进行处理,并将结果传递到其它的部件。qCIDF用通用入侵说明语言CISL对事件、分析结果、响应指示等过程进行表示说明,以达到IDS之间的语法互操作。qCISL语言使用符号表达式(简称S-表达式),类似于LISP语
7、言。14入侵检测系统的标准与评估S-表达式的递归定义q原子是S-表达式。q如果a1、a2是S-表达式,则表(a1、a2)也是S-表达式。 q有限次使用(1)、(2)所得的表达式都是S-表达式,此外没有别的S-表达式。15入侵检测系统的标准与评估CISL的设计目标q表达能力:CISL语言应当具有足够的词汇和复杂的语法来实现广泛的表达,主要针对事件的因果关系、事件的对象角色、对象的属性、对象之间的关系、响应命令或脚本等几个方面。 q表示的唯一性:要求发送者和接收者对协商好的目标信息能够相互理解。 q精确性:两个接收者读取相同的消息不能得到相反的结论。q层次化:语言当中有一种机制能够用普通的概念定义
8、详细而又精确的概念。q自定义:在消息中能够自我解析说明。q效率:任何接收者对语言格式的理解开销不能成倍增加。q扩展性:语言里有一种机制能够让发送者使用的词汇来表明接收者的事实。或者是接收者能够利用消息的其余部分解析说明新的词汇的含义。q简单:不需理解整个语言就能接收和发送信息。q可移植性:语言的编码不是依赖于网络的细节或特定主机的消息。q容易实现:实现起来比较容易。16入侵检测系统的标准与评估CIDF的通信机制Gidos层信体层协商传输层17入侵检测系统的标准与评估q传输层:不属于CIDF规范,它可以采用很多种现有的传输机制来实现。q信体层:负责对传输的信息进行加密认证,然后将其可靠地从源传输
9、到目的地,信体层不关心传输的内容,它只负责建立一个可靠的传输信道。qGidos层:负责对传输的信息进行格式化,统一信息的表达格式,是各个IDS之间的互操作成为可能。18入侵检测系统的标准与评估CIDF协同工作需要解决的问题qCIDF的一个组件怎样才能安全地连接到其他组件,其中包括组件的定位和组件的鉴别。q连接建立后,CIDF如何保证组件之间安全有效地进行通信。19入侵检测系统的标准与评估问题的解决q提出一个可扩展性比较好的比较完备的解决方法,即采用匹配服务。匹配服务是一个标准的、统一的方法,它的核心部件是匹配代理,匹配代理专门负责查询其他CIDF组件集。q通过信体层和传输层来解决的。信体层是为
10、了解决诸如同步(如阻塞和非阻塞等)、屏蔽不同操作系统的不同数据表示、不同编程语言不同的数据结构等问题而提出的。它规定了Message的格式,并提出了双方通信的流程。此外,为了保证通信的安全性,信体层还包含了鉴别、加密和签名等机制。20入侵检测系统的标准与评估CIDF的标准化工作q通过组件标识查找,或更高层次上地通过特性查找通信双方的代理设施和查找协议。 q使用正确(鉴别)、安全(加密)、有效的组件间通信协议。 q定义了一种能使组件间互相理解的语言CISL。q说明了进行通信所用的主要的API。21入侵检测系统的标准与评估CIDF的不足q复杂性:建立代理设施和遵循查找协议查找到对方都是复杂的,对C
11、ISL语义的理解也是相当复杂的。q实效性:由于协议的复杂性,必然导致时间消耗过大,延迟增长。q协议的完整性:文档很多地方还不太完整,需要进一步细化。22入侵检测系统的标准与评估IDMEFq为了适应网络安全发展的需要,Internet网络工程部IETF(Internet Engineering Task Force)的入侵检测工作组(Internet Detection Working Group,简称IDWG)负责进行入侵检测响应系统之间共享信息数据格式和交换信息方式的标准制订,制订了入侵检测信息交换格式(Intrusion Detection Message Exchange Format,
12、缩写为IDMEF)。qIDMEF与CIDF类似,也是对组件间的通信进行了标准化,但它只标准化了一种通信场景,即数据处理模块和警告处理模块间的警告信息的通信。 q引入入侵检测信息交换格式的目的在于定义入侵检测模块和响应模块之间,以及可能需要和这两者通信的管理模块感兴趣的信息交换的数据格式和交换过程。 23入侵检测系统的标准与评估IDWG的主要工作q制定入侵检测消息交换需求文档。该文档内容有入侵检测系统之间通信的要求说明,同时还有入侵检测系统和管理系统之间通信的要求说明。 q制定公共入侵语言规范。 q制定一种入侵检测消息交换的体系结构,使得最适合于用目前已存在协议实现入侵检测系统之间的通信。 24
13、入侵检测系统的标准与评估IDMEF的需求q消息交换需求 q消息格式需求 q通信机制需求q安全需求q消息内容需求25入侵检测系统的标准与评估入侵检测消息数据模型报警分析器名字目标来源用户进程服务用户节点节点进程26入侵检测系统的标准与评估入侵检测消息数据模型q到目前为止,已制订出来的入侵检测消息数据的模型有两类:即面向对象的数据模型和基于XML的数据模型。27入侵检测系统的标准与评估面向对象的数据模型用于IDMEF的原因q报警信息固有的不同类型使得应提出一种足够灵活的数据表示格式,使之能适应不同的需要。q入侵检测工具的环境都不是相同的。相同的攻击可以用不同的检测工具报告,而所报告的信息是不一样的
14、。q入侵检测工具的能力不同。为了进一步处理报警信息,数据模型应当通过工具方便地转换格式,而不是使用入侵探测器。q入侵检测的操作系统环境是不同的,数据模型应该容纳这些不同点。q商业厂商的目标是不同的。开发商希望传递少量关于某些攻击的信息,这样有利于产品的销售。28入侵检测系统的标准与评估基于XML的数据模型的优点q使用XML可以方便地为入侵检测报警描述特定的开发自定义语言,也可以通过扩展这个语言来定义一个标准。q处理XML文档资料的软件可以多方面地得到。产品开发商可以很容易得到这些工具来使用IDMEF.qXML满足IDMEF全面支持消息格式的国际化和本地化需求。qXML满足IDMEF消息格式必须
15、支持过滤和聚类的要求。q正在进行的W3C和其他的XML开发项目组将会提供支持面向对象的扩展和数据库。qXML是免费的,不需要许可证和版税。29入侵检测系统的标准与评估IDMEF的入侵警告协议qTCP连接建立 q安全建立 q通道的建立30入侵检测系统的标准与评估IDMEF总结qIDMEF最大的特点就是充分利用了已有的较成熟的标准。q与CIDF相比较,在数据表示方面不仅在语法方面而且在语义方面都进行了详细的规定,方便了传输数据的解释,提高了解释的效率,但同时也降低了通用性,只能表达警告信息。 q在通信方面,IDMEF各组件必须有通信对方的地址信息,这样效率很高。 qIDMEF通信可能考虑到安全边界
16、问题,支持使用代理。31入侵检测系统的标准与评估标准化工作总结q以上入侵检测协议只是草案,至于这些协议将来是否能成为Internet标准现在还难以确定。q按IETF规定,Internet草案最长有效期六个月,随时可能被其他文档更新、替换。 q总的来说,入侵检测的标准化工作进展非常缓慢,现在各个IDS厂商几乎都不支持当前的标准,造成各IDS之间几乎不可能进行互相操作。 q标准化终究是IT行业充分发展的一个必然趋势,而且标准化提供了一套比较完备、安全的解决方案。 32入侵检测系统的标准与评估评价入侵检测系统性能的标准q准确性(Accuracy):指入侵检测系统能正确地检测出系统入侵活动。 q处理性能():指一个入侵检测系统处理系统审计数据的速度。q完备性(Completeness):指入侵检测系统能够检测出所有攻击行为的能力。 q容错性(Fault Tolerance):入侵检测系统自身必须能够抵御对它自身的攻击,特别是拒绝服务攻击(Denial of Service)。q及时性(Timeliness):及时性要求入侵检测系统必须尽快地分析数据并把分析结果传播出去,以使系统安全管理者能够在
