第12讲：第7章-入侵检测的标准与评估.ppt

* 小结 CIDF和IDMEF 入侵检测系统用户需求 保证入侵检测系统在设计时遵循基本的安全设计原则 ● —— 重要知识点 * 思考题 1 . 从用户需求角度,具体分析现有的入侵检测系统是如何满足各类需求的? 请举例分析 * 第7章 入侵检测系统的标准与评估 7.1 入侵检测的标准化工作 IMDEF 需求 消息交换需求: 消息格式需求: 通信机制需求 安全需求 消息内容需求 应允许支持国际化和本地化 允许管理器对消息数据进行过滤和聚合. * 第7章 入侵检测系统的标准与评估 7.1 入侵检测的标准化工作 IMDEF 需求 消息交换需求: 消息格式需求: 通信机制需求: 安全需求 消息内容需求 必须支持可靠的消息传递 必须支持消息传递穿过防火墙,但并不损害安全性. * 第7章 入侵检测系统的标准与评估 7.1 入侵检测的标准化工作 IMDEF 需求 消息交换需求: 消息格式需求: 通信机制需求: 安全需求: 消息内容需求 必须支持分析器和管理器之间的相互认证 必须支持消息内容的必威体育官网网址性、完整性、非否认性 应该抵制对协议的拒绝服务攻击 应能防止恶意的消息复制 * 第7章 入侵检测系统的标准与评估 7.1 入侵检测的标准化工作 IMDEF 需求 消息交换需求: 消息格式需求: 通信机制需求: 安全需求: 消息内容需求： 必须覆盖各种类型的入侵检测机制，如： 基于签名的检测系统 基于异常的检测系统 基于相关性的检测系统 基于网络的检测系统 基于主机的检测系统 基于应用程序的检测系统 * 第7章 入侵检测系统的标准与评估 7.1 入侵检测的标准化工作 IMDEF 入侵检测消息数据模型1(面向对象) 报警 分析器 名字 目标 来源 用户 进程 服务 用户 节点 节点 进程 * 第7章 入侵检测系统的标准与评估 7.1 入侵检测的标准化工作 IMDEF 入侵检测消息数据模型2(基于XML) 可以方便地为入侵检测报警描述特定的开发自定义语言 全面支持消息格式的国际化和本地化需求. 处理文档资料的软件工具可以多方面的得到. 免费 * 第7章 入侵检测系统的标准与评估 7.1 入侵检测的标准化工作 IMDEF IDMEF的入侵警告协议(Intrusion Alert Protocol, IAP) TCP连接建立 安全建立 通道的建立 * 第7章 入侵检测系统的标准与评估 7.1 入侵检测的标准化工作 IMDEF IDMEF的总结 IDMEF最大的特点就是充分利用了已有的较成熟的标准。 与CIDF相比较，在数据表示方面不仅在语法方面而且在语义方面都进行了详细的规定，方便了传输数据的解释，提高了解释的效率，但同时也降低了通用性，只能表达警告信息。 在通信方面，IDMEF各组件必须有通信对方的地址信息，这样效率很高。 IDMEF通信可能考虑到安全边界问题，支持使用代理。 * 第7章 入侵检测系统的标准与评估 7.1 入侵检测的标准化工作 标准化工作总结 以上入侵检测协议只是草案，至于这些协议将来是否能成为Internet标准现在还难以确定。 按IETF规定，Internet草案最长有效期六个月，随时可能被其他文档更新、替换。 总的来说，入侵检测的标准化工作进展非常缓慢，现在各个IDS厂商几乎都不支持当前的标准，造成各IDS之间几乎不可能进行互相操作。 标准化终究是IT行业充分发展的一个必然趋势，而且标准化提供了一套比较完备、安全的解决方案。 * 第7章 入侵检测系统的标准与评估 7.2入侵检测系统的设计考虑 入侵检测系统在设计时需要考虑若干问题。首先，系统设计的最初阶段要注意对用户的实际需求进行分析。其次要遵循若干基本的安全设计原则。 用户需求分析 系统安全设计原则 系统设计的生命周期 继续 * 用户需求分析 需求定义或者需求分析是进行系统设计的第一步，同时也是对后继过程产生最重要影响的阶段。 在需求定义的早期阶段，要注意保持需求定义的适当灵活性。在实际开发中，通常采用开发需求文档来记录不同阶段内需求定义的变更情况。 对于入侵检测系统的设计和开发过程而言，具体需要考虑如下所示的需求定义和分析情况。 * 用户需求分析 1. 检测功能需求： 对于入侵检测系统而言，足够有力的检测功能是最基本的需求。按照不同用户的检测目标要求，检测功能需求又可以分为不同的类型。 首先，通常的用户需要对发生在外部的针对本地网络的攻击行为进行有效检测，以期发现潜在的外部威胁，包括拒绝服务攻击、非授权访问企图或者漏洞扫描等攻击性活动。 满足上述需求应该以网络入侵检测技术为主. 部署位置的不同，也会带来需求的变化 * 用户