历史记录 攻击识别模块 入侵监测 是攻击否 返回 攻击处理模块 图4.2事后入侵检测的过程
历史记录 入侵监测 攻击处理模块 攻击识别模块 是攻击否 返回 N Y 图4.2 事后入侵检测的过程
4.1.3入侵检测系统模型 1.IDES模型 1980年 James F. Anderson为美国空军起草的技术报告《 Computer Security Threat monitoring and surveillance》仅仅提出了关于 入侵检测一些概念。1984年到1986年间,乔治敦大学的 Dorothy Denning和SRI/CSI(SRI公司的计算机科学实验室)的 Peter Neumann研究出了一个如图4,3所示的实时入侵检测系统模型IDES (入侵检测专家系统)
4.1.3 入侵检测系统模型 1. IDES模型 1980年James P. Anderson为美国空军起草的技术报告《Computer Security Threat Monitoring and Surveillance》仅仅提出了关于 入侵检测一些概念。1984年到1986年间,乔治敦大学的Dorothy Denning和SRI/CSI(SRI公司的计算机科学实验室)的Peter Neumann研究出了一个如图4.3所示的实时入侵检测系统模型IDES (入侵检测专家系统)
审计记录/网络数据包等 规则更新 特征表更新 异常记录 事件产生器 行为特征模块 规则模块 变量阈值 事件 图4.3 Denning的IES模型
审计记录/网络数据包等 事件产生器 行为特征模块 规则模块 规则更新 异常记录 变量阈值 特征表更新 事件 图4.3 Denning的IDES模型
在这个模型中,事件产生器从审计记录/网络数据包以及其他 可视行为中获取事件,构成检测的基础。行为特征表是整个 检测系统的核心,它包含了用于计算用户行为特征的所有变 量。这些变量可以根据具体采用的统计方法以及事件记录中 的具体动作模式定义,并根据匹配上的记录数据进行变量值 的更新。一旦有统计变量的值达到了异常程度,行为特征表 即产生异常记录,并采取相应的措施。规则模块可以由系统 安全策略、入侵模式等赞成。它一方面为判断是否入侵提供 参考标准;另一方面,可以根据事件记录、异常记录以及有 效日期等控制并更新其他模块的状态。此外,这个模型还独 立于特定的系统平台、应用环境和入侵类型,为构建入侵检 测系统提供了一个通用框家
在这个模型中,事件产生器从审计记录/网络数据包以及其他 可视行为中获取事件,构成检测的基础。行为特征表是整个 检测系统的核心,它包含了用于计算用户行为特征的所有变 量。这些变量可以根据具体采用的统计方法以及事件记录中 的具体动作模式定义,并根据匹配上的记录数据进行变量值 的更新。一旦有统计变量的值达到了异常程度,行为特征表 即产生异常记录,并采取相应的措施。规则模块可以由系统 安全策略、入侵模式等赞成。它一方面为判断是否入侵提供 参考标准;另一方面,可以根据事件记录、异常记录以及有 效日期等控制并更新其他模块的状态。此外,这个模型还独 立于特定的系统平台、应用环境和入侵类型,为构建入侵检 测系统提供了一个通用框家
IDES模型的改进 1988年,SRI/CSI的 Teresa lunt等人改进了 Denning的模型,开发 出了如图4.4所示的IDES 该系统包括一个异常检测器(用于统计异常模型建立入和一个策略 规则专家系统(基于规则的特征分析检测)
IDES模型的改进 1988年,SRI/CSI的Teresa Luunt等人改进了Denning的模型,开发 出了如图4.4所示的IDES。 该系统包括一个异常检测器(用于统计异常模型建立)和一个策略 规则专家系统(基于规则的特征分析检测)