1984—1986年,Dorothy Denning和Peter Neumann采纳了James P.Anderson的若干建议,提出了实时异常检测的概念并研发了一个实时入侵检测系统模型IDES(Intrusion Detection Expert Systems)。IDES是一种通过使用统计方法发现用户异常操作行为并判断检测攻击的基于主机的入侵检测系统,其中,异常定义为“稀少和不寻常”(指一些统计特征量不在正常范围内)。Dorothy Denning和Peter Neumann的这个假设是许多20世纪80年代入侵检测研究和系统原型的基础。1987年,Dorothy Denning在其发表的经典论文《An Intrusion Detection Model》中对入侵检测问题进行了深入讨论,建立了入侵检测的通用模型,正式启动了入侵检测领域的研究工作。
Denning通用入侵检测模型的体系结构如图8.12所示,模型主要由三个部件(子系统)组成,它们分别是:事件产生器(Event Generator)、活动记录(Activity Profile)以及规则集/检测引擎(Rule Set &Analysis Engine)。由于早期的入侵检测系统通常依赖于专家系统技术,因此,在该模型中最初采用的是基于规则的思想,但现在已应用了许多其他技术。
图8.12 Denning 通用入侵检测模型
在Denning提出的通用入侵检测模型中,事件产生器主要负责收集入侵检测事件,提供网络活动的信息,其中,事件主要来源于审计记录、网络数据包或应用程序记录等。规则集/检测引擎主要用于事件或状态的核查以及判断,通过使用模型、规则、模式和统计结果等技术来对输入的事件进行分析,从而确定是否构成入侵。而活动记录部分则主要用于保存被监视的系统或网络的状态,当事件在数据源中出现时,活动记录部分会根据规则集/检测引擎检查出的活动创建新的变量。另外,由于现有的某些事件也许会引发规则学习,以及加进新的规则,因此,反馈也是该通用模型中的一个重要部分,一旦规则集/检测引擎查出活动记录中的某些变量发生了变化,就会改变事件产生器产生事件的频率、类型及其他细节。因为该通用模型中没有体系结构的限制,所以上述三个主要子系统中的任何一个都能在网络的不同节点上运行,每一个子系统又能进一步分布到多个节点上。
随着入侵检测技术的发展,检测模型也在不断改进。1998年,人们在Denning的模型基础上进一步提出了一种新的通用入侵检测模型CIDF(Common Intrusion Detection Framework)。在CIDF模型中,一个入侵检测系统被分为以下四个组件:事件产生器(Event Generators)、事件分析器(Event Analyzers)、响应单元(Response Units)以及事件数据库(Event Databases),其基本体系结构如图8.13所示。
在CIDF模型中,入侵检测系统需要分析的数据被统称为事件(Event),事件可以是网络中的数据包,也可以是从主机系统日志等其他途径得到的信息。事件产生器的目的是从整个计算环境中获得事件,并以特定格式向系统的其他部分提供此事件。事件分析器这负责分析得到的数据,判断是否为违归或反常抑或是入侵,然后,把其判断的结果转变成警告信息。响应单元则根据警告信息做出反应,可以做出切断连接、改变文件属性等强烈反应,也可以只是简单的报警,响应单元是入侵检测系统中的主动武器。事件数据库则是用于存放各种中间和最终数据的地方,它从事件产生器或分析器处接收数据,进行较长时间的保存。它可以是复杂的数据库,也可以是简单的文本文件。上述四种组件共同负责处理一般入侵检测对象(Generalized Intrusion Detection Objects,GIDOS),GIDOS数据流在图中以虚线表示,它可以是发生在系统中的审计事件,也可以是对审计事件的分析结果。该模型为大部分实用入侵检测系统的设计提供了依据。
图8.13 CIDF入侵检测模型
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
