第8章入侵检测技术(new)

1、入侵检测技术 1 1 入侵检测概述入侵检测概述 2 2 入侵检测的分类入侵检测的分类 3 3 入侵检测系统的关键技术入侵检测系统的关键技术 4 4 入侵检测系统示例入侵检测系统示例 1.1 1.1 安全现状安全现状日益频繁的网络攻击 1.1 1.1 安全现状安全现状网络攻击者的目标 1.2 IDS 1.2 IDS的产生的产生 1.3 1.3 入侵检测的步骤入侵检测的步骤l 信息收集l 数据分析l 响应1.3 1.3 入侵检测的步骤入侵检测的步骤l 信息收集 系统日志 文件异常改变 程序执行异常行为 物理形式入侵信息 日志文件中记录了各种行为类型及每种类型的不同信息 包含很多具有重要信息的文件和

2、私有数据文件 包括OS、网络服务用户启动的程序等，每个执行的程序由一个或多个进程来实现 未授权的网络硬件连接；对物理资源的未授权访问1.3 1.3 入侵检测的入侵检测的步骤步骤l 数据分析模式匹配就是将收集到的信息与已知的网络入侵，和系统误用模式数据库进行比较，从而发现异常行为。优点：只收集相关数据集合，减少系统负担，技术成熟，检测准确率高弱点：无法检测到从未出现过的攻击手段，需要不断升级首先为系统对象创建一个统计描述，统计正常使用时的一些测量属性，测量属性的平均值将被用来与网络、系统的行为进行比较，观察值在正常值范围之外时，则认为有入侵行为优点：可检测到未知的入侵和更为复杂的入侵缺点：误报、

3、漏报率高，且不适应用户正常行为的突然改变关注某个文件或对象是否被更改，包括文件和目录的内容及属性优点：能发现攻击导致文件或其他对象的改变缺点：不能实时响应，一般以批处理方式实现 模式匹配 统计分析 完整性分析1.3 1.3 入侵检测的步骤入侵检测的步骤l 响应 将分析结果记录在日志文件中，并产生相应的报告 触发警报，如在系统管理员的桌面上产生一个告警标记位，向系统管理员发送传呼或电子邮件等等 修改入侵检测系统或目标系统，如终止进程、切断攻击者的网络连接，或更改防火墙配置等 1.4 1.4 入侵检测的原理入侵检测的原理知识库历史行为特定行为模式 其它当前系统/用户行为入侵检测分析引擎入侵？ 记录

4、证据 响应处理 数据提取安全策略是否发现异常企图或异常现象监控分析系统和用户的活动记录报警和 响应 1.5 1.5 IDS的系统结构1.6 1.6 入侵检测系统功能结构入侵检测系统功能结构 应用于不同的网络环境和不同的系统安全策略，入侵检应用于不同的网络环境和不同的系统安全策略，入侵检测系统在具体实现上也有所不同。从功能结构上看，入侵测系统在具体实现上也有所不同。从功能结构上看，入侵检测系统主要有数据源、分析引擎和响应三个功能模块，检测系统主要有数据源、分析引擎和响应三个功能模块，三者相辅相成。三者相辅相成。数据源分析引擎 响应 1 1 入侵检测概述入侵检测概述 2 2 入侵检测的分类入侵检测

5、的分类 3 3 入侵检测系统的关键技术入侵检测系统的关键技术 4 4 入侵检测系统示例入侵检测系统示例2 2 入侵检测的分类入侵检测的分类一、什么是入侵检测 由于功能和体系结构的复杂性，入侵检测按照不同的标准有多种分类方法。可分别从所采用的技术、所监测的对象、系统的工作方式三个方面来描述入侵检测系统的类型。2 2 入侵检测的分类入侵检测的分类一、什么是入侵检测根据所采用的技术可以分为：异常检测和误用检测1）异常检测：异常检测的假设是入侵者活动异常于正常主体的活动，建立正常活动的“活动简档”，当前主体的活动违反其统计规律时，认为可能是“入侵”行为。优点 可以检测未知的攻击缺点 适应性不强 误报较

6、多 系统审计用户轮廓正常行为阈值入侵比较低于阈值超过阈值2 2 入侵检测的分类入侵检测的分类一、什么是入侵检测2）误用检测：运用已知攻击方法，根据已定义好的入侵模式，通过判断这些入侵模式是否出现来检测。攻击模式库正常行为判断？入侵不匹配匹配优点 算法简单 系统开销小 准确率高 效率高缺点 只能检测出已知攻击 模式库要不断更新 2 2、入侵检测的分类、入侵检测的分类一、什么是入侵检测根据所监测的对象来分：1）基于主机的入侵检测系统（HIDS）：安装在主机上，监视与分析主机的审计记录，从而对可疑的主体活动采取相应的措施。收集被监控主机信息数据入侵响应分析Agent收集的主机信息数据管理IDS规则库

7、统一管理Agentl 审计数据的获取直接检测：从数据产生或从属的对象直接获取数据例如：CPU负荷、网络服务等间接检测：从反应被监测对象行为的某个源获得数据例如：系统日志、应用程序日志等l 优点确定攻击是否成功监测特定的系统活动比NIDS具有更低的误报率不要求额外的硬件设备近于实时的检测和响应花费更加低廉适用加密的和交换的环境l 缺点运行占用被监测系统的资源不能监控网络上的情况部署麻烦如果主机数目多，代价过大依赖于服务器固有的日志和监视能力2 2、入侵检测的分类、入侵检测的分类一、什么是入侵检测2）基于网络的入侵检测系统（NIDS）：通过硬件或软件对网络上的数据包进行实施检查，并与系统的网路安全

8、数据库的入侵特征进行比较、分析，一旦发现有被攻击的迹象，立刻作出响应，如切断网络连接或将入侵的数据包过滤掉。利用交换机混杂模式监听网络数据包分析数据包，判断是否存在入侵行为与防火墙、路由器联动阻断入侵行为告警显示、日志分析管理IDS规则库统一管理探测器l 优点检测范围广，检测来自网络的攻击无需改变主机配置和性能独立性和操作系统无关性系统容易部署l 缺点无法监测系统信息对探测器要求较高难以处理加密的会话在网络上旁路部署，响应不够及时价格相对昂贵2 2、入侵检测的分类、入侵检测的分类一、什么是入侵检测根据系统的工作方式分为：1）离线检测系统：离线检测系统是非实时工作的系统，它在事后分析审计事件，从

9、中检查入侵活动。用户历史记录入侵检测专家经验断开连接记录证据数据恢复2 2、入侵检测的分类、入侵检测的分类一、什么是入侵检测2）在线检测系统：在线检测系统是实时联机的检测系统，它包含对实时网络数据包分析，实时主机审计分析。用户的当前操作入侵检测监测用户历史行为 专家经验神经网络模型入侵？是否 1 1 入侵检测概述入侵检测概述 2 2 入侵检测的分类入侵检测的分类 3 3 入侵检测系统的关键技术入侵检测系统的关键技术 4 4 入侵检测系统示例入侵检测系统示例 3.1 3.1 多用于异常入侵检测的技术多用于异常入侵检测的技术1统计异常检测方法 统计异常检测方法根据异常检测器观察主体的活动，由此产生

10、一个能够描述这些活动的轮廓。每一个轮廓都保存记录主体的当前行为，并定时地将当前的轮廓合并到已存储的轮廓中。通过比较当前的轮廓与已存储的轮廓来判断主体的行为是否异常，从而来检测网络是否被入侵。 3.1 3.1 多用于异常入侵检测的技术多用于异常入侵检测的技术2基于特征选择异常检测方法 基于特征选择异常检测方法是通过从一组度量中挑选能检测出入侵的度量构成子集来准确地预测或分类已检测到的入侵。 3基于贝叶斯推理异常检测方法 基于贝叶斯推理异常检测方法是通过在任意给定的时刻，测量A1，A，A变量值推理判断系统是否有入侵事件发生。 3.1 3.1 多用于异常入侵检测的技术多用于异常入侵检测的技术4基于贝

11、叶斯网络异常检测方法 基于贝叶斯网络的异常检测方法是通过建立异常入侵检测贝叶斯网络，然后用其分析测量结果。 关于一组变量x= x1，x，xn，的贝叶斯网络由以下两部分组成： 一个表示X中变量的条件独立断言的网络结构S； 与每一个变量相联系的局部概率分布集合P。5基于模式预测异常检测方法 基于模式预测异常检测方法的假设条件是事件序列不是随机的而是遵循可辨别的模式。6基于神经网络异常检测方法7基于贝叶斯聚类异常检测方法8基于机器学习异常检测方法9基于数据采掘异常检测方法 3.2 3.2 多用于误用入侵检测的技术多用于误用入侵检测的技术 误用入侵检测技术的前提是假设所有的网络攻击行为和方法都具有一定

12、的模式或特征，如果把以往发现的所有网络攻击的特征总结出来并建立一个入侵信息库，那么将当前捕获到的网络行为特征与入侵信息库中的特征信息比较，如果匹配，则当前行为就被认定是入侵行为。 3.2 3.2 多用于误用入侵检测的技术多用于误用入侵检测的技术 2基于专家系统误用入侵检测方法 基于专家系统误用入侵检测模型是通过将安全专家的经验知识表示成if-then规则而形成的专家知识库，然后，运用推理算法进行入侵行为的检测。 在基于专家系统误用入侵检测模型中，要处理大量的数据和依赖于审计跟踪的次序。其推理方法有两种：l 根据给定的数据，应用符号推理出入侵行为的发生；l 根据其他的入侵证据，进行不确定的推理。

13、 3.2 3.2 多用于误用入侵检测的技术多用于误用入侵检测的技术 3基于状态迁移分析误用入侵检测方法 状态迁移分析方法是将攻击表示成一系列被监控的系统状态迁移。攻击模式的状态对应于系统的状态，并且具有迁移到另外状态的特性，然后通过弧线连续的状态连接起来表示状态改变所需要的事件。 3.2 3.2 多用于误用入侵检测的技术多用于误用入侵检测的技术 4基于键盘监控误用入侵检测方法 基于键盘监控误用入侵检测方法是假设入侵者对应的击键序列模式，然后监测用户的击键模式，并将这一击键模式与入侵检测模式相匹配，以检测入侵行为。5基于模型误用入侵检测方法 基于模型误用入侵检测方法是通过建立误用证据模型，根据证

14、据推理来作出误用发生判断结论。 33.3 3 入侵检测的新技术入侵检测的新技术1基于生物免疫的入侵检测 基于生物免疫的入侵检测方法是通过模仿生物有机体的免疫系统工作机制，使得受保护的系统能够将非自我（non self）的非法行为与自我（self）的合法行为区分开来。 2基因算法 基因算法是进化算法的一种，引入了达尔文在进化论中提出的自然选择的概念（优胜劣汰、适者生存）对系统进行优化。该算法对于处理多维系统的优化是非常有效的。在基因算法的研究人员看来，入侵检测的过程可以抽象为：为审计事件记录定义一种向量表示形式，这种向量或者对应于攻击行为，或者代表正常行为。 33.3 3 入侵检测的新技术入侵检

15、测的新技术3数据挖掘 数据挖掘指从大量实体数据中抽出模型的处理。具体的工作包括利用数据挖掘中的关联算法和序列挖掘算法提取用户的行为模式，利用分类算法对用户行为和特权程序的系统调用进行分类预测。 33.3 3 入侵检测的新技术入侵检测的新技术4密罐技术 密罐技术就是建立一个虚假的网络，诱惑黑客攻击这个虚假的网络，从而达到保护真正网络的目的。蜜罐是一种欺骗手段，可以诱导攻击者，也可以收集攻击信息，改进防御能力。 33.3 3 入侵检测的新技术入侵检测的新技术 3.4 入侵检测技术的发展趋势入侵检测系统的发展方向有以下几个方面：入侵检测系统的发展方向有以下几个方面：1标准化的入侵检测标准化的入侵检测2高速入侵检测高速入侵检测3大规模、分布式的入侵检测大规模、分布式的入侵检测4多种技术的融合多种技术的融合5实时入侵响应实时入侵响应入侵检测的评测入侵检测的评测6. 与其它安全技术的联动与其它安全技术的联动 1 1 入侵检测概述入侵检测概述 2 2 入侵检测的分类入侵检测的分类 3 3 入侵检测系统的关键技术入侵检测系统的关键技术 4 4 入侵检测系统示例入侵检测系统示例使用使用Sn