入侵检测技术.doc

_重要章节：3、4、5、6、7、9第1章 入侵检测概述1.入侵检测的概念：通过从计算机网络或计算机系统中的若干关键点收集信息，并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。2.传统安全技术的局限性：（1）防火墙无法阻止内部人员所做的攻击（2）防火墙对信息流的控制缺乏灵活性（3）在攻击发生后，利用防火墙保存的信息难以调查和取证。3.入侵检测系统的基本原理主要分为4个阶段：数据收集、数据处理、数据分析和响应处理。4.入侵检测的分类：（1）按照入侵检测系统所采用的技术：误用入侵检测、异常入侵检测和协议分析（2）按照数据来源可以分为：基于主机的IDS、基于网络的IDS、混合式IDS、文件完整性检查式IDS第二章 常见的入侵方法与手段1.漏洞的具体表现：（1）存储介质的不安全（2）数据的可访问性（3）信息的聚生性（4）保密的困难性（5）介质的剩磁效应（6）电磁的泄露性（7）通信网络的脆弱性（8）软件的漏洞2.攻击的概念和分类：根据攻击者是否直接改变网络的服务，攻击可以分为被动攻击和主动攻击。主动攻击会造成网络系统状态和服务的改变。被动攻击不直接改变网络的状态和服务。3.攻击的一般流程：（1）隐藏自己（2）踩点或预攻击探测（3）采取攻击行为（4）清除痕迹第三章 入侵检测系统模型1.入侵检测系统模型的3个模块：信息收集模块、信息分析魔力和报警与响应模块信息收集报警与响应信息分析 入侵检测系统的通用模型2. 入侵检测发展至今，先后出现了基于主机的和基于网络的入侵检测系统，基于模式匹配、异常行为、协议分析等检测技术的入侵检测系统。第四代入侵检测系统是基于主机+网络+安全管理+协议分析+模式匹配+异常统计的系统，它的优点在于入侵检测和多项技术协同工作，建立全局的主动保障体系，误报率、漏报率较低，效率高，可管理性强，并实现了多级的分布式监测管理，基于网络的和基于主机的入侵检测与协议分析和模式匹配以及异常统计相结合，取长补短，可以进行更有效的入侵检测。3. 入侵检测信息的来源一般来自以下的4个方面：（1）系统和网路日志文件（2）目录和文件中不期望的改变（3）程序执行中的不期望行为（4）物理形式的入侵4. 在入侵检测系统中，传感器和事件分析器之间的通信分为两层：OWL层和SSL层。OWL层负责使用OWL语言将传感器收集到的信息转换成统一的OWL语言字符串。SSL层使用SSL协议进行通信。5. 信息分析的技术手段：模式匹配、统计分析和完整性分析。6. 根据入侵检测系统处理数据的方式，可以将入侵检测系统分为分布式入侵检测系统和集中式入侵检测系统。分布式：在一些与受监视组件相应的位置对数据进行分析的入侵检测系统。集中式：在一些固定且不受监视组件数量限制的位置对数据进行分析的入侵检测系统。7.分布式入侵检测系统和集中式入侵检测系统的特点比较如下：1.可靠性集中式：仅需运行较少的组件分布式：需要运行较多的组件2.容错性集中式：容易使系统从崩溃中恢复，但也容易被故障中断分布式：由于分布特性，数据存储时很难保持一致性和可恢复性3.增加额外的系统开销集中式：仅在分析组件中增加了一些开销，那些被赋予了大量负载的主机专门用作分析分布式：由于运行的组件不大，主机上增加的开销很小，但对大部分被监视的主机增加了额外的开销4.可扩充性集中式：入侵检测系统的组件数量被限定，当被监视主机的数量增加时，需要更多的计算和存储资源处理新增的负载分布式：分布式系统可以通过增加组件的数量来监视更多的主机，但扩容将会受到新增的组件之间需要相互通信的制约5.平缓地降低服务等级集中式：如果有一个分析组件停止了工作，一部分程序和主机就不再被监视，但整个入侵检测系统仍可继续工作分布式：如果一个分析组件停止了工作，整个入侵检测系统就有可能停止工作6.动态的重新配置集中式：使用很少的组件来分析所有的数据，如果重新配置它们需要重新启动入侵检测系统分布式：很容易进行重新配置，不会影响剩余部分的性能8. 响应包括（1）被动响应：系统仅仅简单地记录和报告所检测出的问题（2）主动响应：系统（自动地或与用户配合）为组织或影响正在发生的攻击进程而采取的行动。9. “蜜罐”技术和基于网络的入侵检测系统（NIDS）相比较具有以下特点：（1）数据量小（2）减少误报率（3）捕获漏报（4）资源最小化（5）解密第4章 误用和异常检测系统1. 误用入侵检测技术的基本概念：误用入侵检测技术主要是通过某种方式预先定义入侵行为，然后监视系统的运行，并从中找出符合预先定义规则的入侵行为。误用入侵检测系统假设入侵活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。误用入侵检测的关键在于特征信息库的升级和特征的匹配搜索，需要不断的更新特征库。但是它的特征库中只存储了当前已知的攻击模式和系统的脆弱性，对新攻击却无能为力。误用入侵检测的难点在于如何设计模式，使其既表达入侵又不会将正常的活动包含进来。2.误用入侵检测的模型攻击状态信息处理审计数据 规则匹配 时间信息 修改当前规则3.误用入侵检测系统的基本工作模式如下：（1） 从系统的不同环节收集信息（2） 分析收集的信息，找出入侵活动的特征（3） 对检测到的入侵行为为自动做出响应（4） 记录并报告检测结果4. 误用入侵检测系统的类型：（1）专家系统（2）模式推理模型（3）模式匹配系统（4）状态转换分析系统5. 误用入侵检测的缺陷：（1）由于很大一部分是利用了系统和应用软件的缺陷和系统配置错误，所以误用入侵检测难以检测出内部用户的入侵行为（2）只能检测已知的攻击，当出现针对新漏洞的攻击手段或针对漏洞的新攻击方式时，需要由人工或者其他机械学习系统提取新攻击的特征模式，添加到特征库中，才能使系统具备检测新的攻击手段的能力。6. 当前误用入侵检测系统的发展在技术方面的困难主要有：（1）攻击特征的提取还没有统一的标准，特征模式库的提取和更新还依赖于手工模式。（2）现有的多数商业入侵检测系统只对已知的攻击手段有效，而且误报率和漏报率较高。当前非技术方面挑战主要有：（1）攻击者不断研究新的攻击模式，同时碎着新的安全技术的普及，会有越来越多的人尝试进行入侵攻击。（2）各种机构对包括入侵检测系统在内的安全技术的认识不足，或缺乏足够熟练的安全管理员。7. 典型的威胁模型将威胁分为外部闯入、内部渗透和不当行为3种类型。8. 入侵活动和异常活动相符合，存在4种可能性：（1）入侵而非异常（2）异常而非入侵（3）非入侵且非异常（4）入侵且异常9. 异常入侵检测的方法：（1）基于统计分析的异常入侵检测方法（2）基于模式预测的异常入侵检测（3）基于数据挖掘的异常入侵检测（4）基于神经网络的异常入侵检测（5）基于免疫系统的异常入侵检测（6）基于特征选择的异常入侵检测（7）其他方法第5章 模式串匹配与入侵检测1. 模式串匹配算法按照其功能可分为3类：精确模式串匹配算法、近似模式串匹配算法和正则表达式匹配算法。第6章 基于主机的入侵检测系统1. 基于主机的入侵检测系统通过监视与分析主机的审计日志检测入侵。2. Windows日志分为3类：系统日志、应用程序日志、安全日志。3. 以下8个方面的资源中提取了18项入侵特征：（1）安全日志（2）系统日志（3）应用程序日志|（4）系统性能日志（5）网络连接监控（6）关键文件指纹变动监控（7）Windows注册表监控（8）系统进程列表4. 基于主机的入侵检测系统的优点：（1）基于主机的入侵检测系统对分析“可能攻击行为”非常有用（2）基于主机的入侵检测系统的误报率通常于基于网络的入侵检测系统（3）基于主机的入侵检测系统可部署子啊那些不需要广泛的入侵检测、传感器与控制台之间的通信带宽不足的场合。第7章 基于网络的入侵检测系统1. 一块网卡可能会有两种最常用的用途（1）普通模式（2）混杂模式2. 基于代理的网络入侵检测系统结构：管理层、分析层、主体层、网络层。3. 网络层的作用是接收从网络和系统主机传输到本层分类器的 审计数据 主体层是整个结构的核心。 分析层中包含一个分析模块、一个控制模块和一个通信模块。分析模块对多个主题传输来的单独怀疑值进行分析，组合为一个整体的怀疑报告。管理层是系统的决策与响应部分。第8章 典型的入侵检测技术1. 基于神经网络的入侵检测技术；基于遗传算法的入侵检测技术；基于数据挖掘的入侵检测技术；基于数据融合的入侵检测技术；基于协议分析的入侵检测技术；基于入侵容忍的入侵检测技术。（自我发挥论述，主观题）第9章 基于主机的分布式入侵检测技术1. 分布式入侵检测系统的特征：（1）分布式部署（2）分布分析（3）安全产品联动（4）系统管理平台（5）可伸缩性和扩展性2. 一个完整的入侵检测系统应该包括如下模块：（1）数据探测模块（2）主体模块（3）分析模块（4）关联和融合模块（5）控制模块（6）决策模块（7）协调和互动模块（8）安全响应模块（9）数据库模块（10）人机界面3. 基于主体的4层分布式入侵检测系统结构模型中，自上而下依次是：数据采集层、主体层、分析层和管理层。4. 入侵检测系统中的主体分为3类：（1）中心主体（2）分析主体（3）主机主体和网络主体5. 知识查询和操纵语言（KQML）具有一下三大属性：（1）KQML独立于网络传输协议（2）KQML独立于内容语言（3）KQML独立于内容实体KQML可分为3个层次：通信层、消息层和内容层。