CIDF通用入侵检测框架
应用程序:事件产生器+事件分析器+响应单元(数据收集器、数据分析器、控制中心)
文本or数据库:事件数据库
决定主要性能:事件发生器和事件分析器
搜集的原始数据+分析算法的效率
根据事件分析器采用数据来源不同分类:基于主机的入侵检测系统、基于网络的入侵检测系统、分布式的入侵检测系统
根据事件分析器分析算法类型的不同分类:基于异常的入侵检测系统、基于误用的入侵检测系统
核心功能:对各种事件进行分析,从这个发现违反安全策略的行为
IDS的两大类分析检测方法(基于异常检测、基于误用检测)分别对应经验主义和理性主义
定义了一套规则来判断特定的行为是否是一个入侵行为。这些规则是基于特征对已知攻击行为的描述(公理)。
黑名单模式
建立入侵行为特征库
缺点是规则库对系统类型依赖度很高,不同的系统需要有不同的规则库
定义入侵行为数据库,以及匹配与入侵行为分析方法。
通过大量的观察和统计,建立正常行为的轮廓,只要一个行为不严重偏离正常行为轮廓就是一个正常行为,反之则是入侵行为。
白名单模式
存在假阳性和假阴性的情况;
难点在于合理的选择阈值,以最大限度地减少误报率和漏报率。阈值的选择是一种折中的艺术。
系统首先定义一个能够描述合法用户行为的特征数据集合,利用数理统计方法对特征数据进行分析,形成正常行为轮廓。
采用多个变量的统计值进行入侵检测也叫做多元变量的入侵检测
基础是审计记录或日志数据
具体的审计记录至少应当包括以下内容:
主体,行为,客体,异常条件,资源使用情况,时间戳,计数器,计量器,计时器,积分器,定时器
不需要具备太多系统安全弱点的先验知识,统计本身具有一定的自学习能力(依赖阈值时一种比较粗糙的检测方法)
对事件发生的次序不敏感,可能会漏检依赖彼此关联事件的入侵行为。
网络中行为是动态变化的,以前合法的行为可能会变成不合法的行为
KNN(K近邻算法)、决策树(DT)、支持向量机(SVM)
K-means聚类、层次聚类
检测目标是运行于网络中的主机或主机上的用户;
运行在网络中的主要主机、服务器、工作站或关键路由器上。
联系客服