第8章入侵检测技术

1、入侵检测技术 1 1 入侵检测概述入侵检测概述 2 2 入侵检测原理入侵检测原理 3 3 入侵检测系统的关键技术入侵检测系统的关键技术 4 4 基于数据挖掘的智能化入侵检测系基于数据挖掘的智能化入侵检测系统设计统设计 1 1 入侵检测概述入侵检测概述入侵检测的内容：试图闯入、成功闯入、冒充入侵检测的内容：试图闯入、成功闯入、冒充其他用户、违反安全策略、合法用户的泄漏、独其他用户、违反安全策略、合法用户的泄漏、独占资源以及恶意使用。占资源以及恶意使用。入侵检测（入侵检测（Intrusion Detection）：通过从计算）：通过从计算机网络或计算机系统的关键点收集信息并进行分机网络或计算机系统

2、的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。的行为和被攻击的迹象。入侵检测系统（入侵检测系统（IDS）：入侵检测的软件与硬）：入侵检测的软件与硬件的组合，是防火墙的合理补充，是防火墙之后件的组合，是防火墙的合理补充，是防火墙之后的第二道安全闸门。的第二道安全闸门。1 1、入侵检测的概念：模型、入侵检测的概念：模型1 1、入侵检测的概念：任务、入侵检测的概念：任务 监视、分析用户及系统活动，查找非法用户和合监视、分析用户及系统活动，查找非法用户和合法用户的越权操作；法用户的越权操作； 系统构造和弱点的审计，并提

3、示管理员修补漏洞；系统构造和弱点的审计，并提示管理员修补漏洞； 识别反映已知进攻的活动模式并报警，能够实时识别反映已知进攻的活动模式并报警，能够实时对对 检测到的入侵行为进行反应；检测到的入侵行为进行反应； 异常行为模式的统计分析，发现入侵行为的规律；异常行为模式的统计分析，发现入侵行为的规律； 评估重要系统和数据文件的完整性；评估重要系统和数据文件的完整性； 操作系统的审计跟踪管理，并识别用户违反安全操作系统的审计跟踪管理，并识别用户违反安全策略的行为。策略的行为。 1 1.2 2 研究入侵检测的必要性研究入侵检测的必要性因为访问控制和保护模型本身存着在以下问题。因为访问控制和保护模型本身存

4、着在以下问题。（1）弱口令问题。）弱口令问题。（2）静态安全措施不足以保护安全对象属性。）静态安全措施不足以保护安全对象属性。 （3）软件的）软件的Bug-Free近期无法解决。近期无法解决。 （4）软件生命周期缩短和软件测试不充分。）软件生命周期缩短和软件测试不充分。（5）系统软件缺陷的修补工作复杂，而且源代码大）系统软件缺陷的修补工作复杂，而且源代码大多数不公开，也缺乏修补多数不公开，也缺乏修补Bug的专门技术，导致修补的专门技术，导致修补进度太慢，因而计算机系统的不安全系统将持续一段进度太慢，因而计算机系统的不安全系统将持续一段时间。时间。 入侵检测的主要目的有：识别入侵者；识别入侵检测

5、的主要目的有：识别入侵者；识别入侵行为；检测和监视已成功的安全突破；为对入侵行为；检测和监视已成功的安全突破；为对抗措施即时提供重要信息。因而，入侵检测是非抗措施即时提供重要信息。因而，入侵检测是非常必要的，可以弥补传统安全保护措施的不足。常必要的，可以弥补传统安全保护措施的不足。 入侵检测系统的主要功能是检测，当然还有入侵检测系统的主要功能是检测，当然还有其他的功能选项，因而增加了计算机系统和网络其他的功能选项，因而增加了计算机系统和网络的安全性。的安全性。 使用入侵检测系统有如下优点：使用入侵检测系统有如下优点： 检测防护部分阻止不了的入侵；检测防护部分阻止不了的入侵； 检测入侵的前兆；检

6、测入侵的前兆； 对入侵事件进行归档；对入侵事件进行归档； 对网络遭受的威胁程度进行评估；对网络遭受的威胁程度进行评估； 对入侵事件进行恢复。对入侵事件进行恢复。 入侵检测系统利用优化匹配模式和统计学技术入侵检测系统利用优化匹配模式和统计学技术把传统的电子数据处理和安全审查结合起来，已经把传统的电子数据处理和安全审查结合起来，已经发展成为构筑完整的现代网络安全技术的一个必不发展成为构筑完整的现代网络安全技术的一个必不可少的部分。可少的部分。2 2、入侵检测的分类、入侵检测的分类一、什么是入侵检测根据所采用的技术可以分为：1）异常检测：异常检测的假设是入侵者活动异常于正常主体的活动，建立正常活动的

7、“活动简档”，当前主体的活动违反其统计规律时，认为可能是“入侵”行为。2）特征检测：特征检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。2 2、入侵检测的分类、入侵检测的分类一、什么是入侵检测根据所监测的对象来分：1）基于主机的入侵检测系统（HIDS）：通过监视与分析主机的审计记录检测入侵。能否及时采集到审计是这些系统的弱点之一，入侵者会将主机审计子系统作为攻击目标以避开入侵检测系统。2）基于网络的入侵检测系统（NIDS）：通过在共享网段上对通信数据的侦听采集数据，分析可疑现象。这类系统不需要主机提供严格的审计，对主机资源消耗少，并可以提供对网络通用的保护而无

8、需顾及异构主机的不同架构。2 2、入侵检测的分类、入侵检测的分类一、什么是入侵检测根据系统的工作方式分为：1）离线检测系统：离线检测系统是非实时工作的系统，它在事后分析审计事件，从中检查入侵活动。2）在线检测系统：在线检测系统是实时联机的检测系统，它包含对实时网络数据包分析，实时主机审计分析。其工作过程是实时入侵检测在网络连接过程中进行，系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断，一旦发现入侵迹象立即断开入侵者与主机的连接，并收集证据和实施数据恢复。 2 2 入侵检测原理入侵检测原理 入侵检测和其他检测技术基于同样的原理入侵检测和其他检测技术基

9、于同样的原理，即从一组数据中，检测出符合某一特点的数，即从一组数据中，检测出符合某一特点的数据。据。 22.1 1 异常入侵检测原理异常入侵检测原理 构筑异常检测原理的入侵检测系统，首先构筑异常检测原理的入侵检测系统，首先要建立系统或用户的正常行为模式库，不属于要建立系统或用户的正常行为模式库，不属于该库的行为被视为异常行为。该库的行为被视为异常行为。 但是，入侵性活动并不总是与异常活动相但是，入侵性活动并不总是与异常活动相符合，而是存在下列符合，而是存在下列4 4种可能性。种可能性。（1 1）入侵性而非异常。）入侵性而非异常。（2 2）非入侵性且异常。）非入侵性且异常。（3 3）非入侵性非异

10、常。）非入侵性非异常。（4 4）入侵性且异常。）入侵性且异常。 另外，设置异常的门槛值不当，往往会导另外，设置异常的门槛值不当，往往会导致致IDSIDS许多误报警或者漏检的现象，漏检对于重许多误报警或者漏检的现象，漏检对于重要的安全系统来说是相当危险的，因为要的安全系统来说是相当危险的，因为IDSIDS给安给安全管理员造成了系统安全假象。全管理员造成了系统安全假象。 2 2.2 2 误用入侵检测原理误用入侵检测原理 误用入侵检测依赖于模式库，误用入侵检测能误用入侵检测依赖于模式库，误用入侵检测能直接检测出模式库中已涵盖的入侵行为或不可接受直接检测出模式库中已涵盖的入侵行为或不可接受的行为，而异

11、常入侵检测是发现同正常行为相违背的行为，而异常入侵检测是发现同正常行为相违背的行为。误用入侵检测的主要假设是具有能够被精的行为。误用入侵检测的主要假设是具有能够被精确地按某种方式编码的攻击。通过捕获攻击及重新确地按某种方式编码的攻击。通过捕获攻击及重新整理，可确认入侵活动是基于同一弱点进行攻击的整理，可确认入侵活动是基于同一弱点进行攻击的入侵方法的变种。误用入侵检测主要的局限性是仅入侵方法的变种。误用入侵检测主要的局限性是仅仅可检测已知的弱点，对检测未知的入侵可能用处仅可检测已知的弱点，对检测未知的入侵可能用处不大。不大。 2 2.3 3 入侵检测模型入侵检测模型入侵有以下入侵有以下6种方式：

12、种方式： 尝试性攻击；尝试性攻击； 伪装攻击；伪装攻击； 安全控制系统渗透；安全控制系统渗透； 泄漏；泄漏； 拒绝服务；拒绝服务； 恶意使用。恶意使用。IDESIDES模型模型图 6 IDES模型 3 3 入侵检测系统的关键技术入侵检测系统的关键技术 3 3.1 1 多用于异常入侵检测的技术多用于异常入侵检测的技术1统计异常检测方法统计异常检测方法 统计异常检测方法根据异常检测器观察统计异常检测方法根据异常检测器观察主体的活动，由此产生一个能够描述这些活主体的活动，由此产生一个能够描述这些活动的轮廓。每一个轮廓都保存记录主体的当动的轮廓。每一个轮廓都保存记录主体的当前行为，并定时地将当前的轮廓

13、合并到已存前行为，并定时地将当前的轮廓合并到已存储的轮廓中。通过比较当前的轮廓与已存储储的轮廓中。通过比较当前的轮廓与已存储的轮廓来判断主体的行为是否异常，从而来的轮廓来判断主体的行为是否异常，从而来检测网络是否被入侵。检测网络是否被入侵。2基于特征选择异常检测方法 基于特征选择异常检测方法是通过从一组度量基于特征选择异常检测方法是通过从一组度量中挑选能检测出入侵的度量构成子集来准确地预测中挑选能检测出入侵的度量构成子集来准确地预测或分类已检测到的入侵。或分类已检测到的入侵。 3基于贝叶斯推理异常检测方法 基于贝叶斯推理异常检测方法是通过在任意给基于贝叶斯推理异常检测方法是通过在任意给定的时刻

14、，测量定的时刻，测量A1，A，A变量值推理判断系变量值推理判断系统是否有入侵事件发生。统是否有入侵事件发生。 4基于贝叶斯网络异常检测方法基于贝叶斯网络异常检测方法 基于贝叶斯网络的异常检测方法是通过建立异基于贝叶斯网络的异常检测方法是通过建立异常入侵检测贝叶斯网络，然后用其分析测量结果。常入侵检测贝叶斯网络，然后用其分析测量结果。 关于一组变量关于一组变量x= x1，x，xn，的贝叶斯网，的贝叶斯网络由以下两部分组成：络由以下两部分组成： 一个表示一个表示X中变量的条件独立断言的网络结构中变量的条件独立断言的网络结构S； 与每一个变量相联系的局部概率分布集合与每一个变量相联系的局部概率分布集

15、合P。贝叶斯网络的建立共有以下贝叶斯网络的建立共有以下3个主要步骤。个主要步骤。第一步，确定建立模型有关的变量及其解释。第一步，确定建立模型有关的变量及其解释。 第二步，构建一个表示条件独立断言的有向无环第二步，构建一个表示条件独立断言的有向无环图图 。第三步，指派局部概率分布第三步，指派局部概率分布p(xi| |Pai)。5基于模式预测异常检测方法基于模式预测异常检测方法 基于模式预测异常检测方法的假设条件是基于模式预测异常检测方法的假设条件是事件序列不是随机的而是遵循可辨别的模式事件序列不是随机的而是遵循可辨别的模式 图 9 基于神经网络的入侵检测示意图 6基于神经网络异常检测方法基于神经

16、网络异常检测方法7基于贝叶斯聚类异常检测方法基于贝叶斯聚类异常检测方法8基于机器学习异常检测方法基于机器学习异常检测方法9基于数据采掘异常检测方法基于数据采掘异常检测方法 3 3.2 2 多用于误用入侵检测的技术多用于误用入侵检测的技术 误用入侵检测的主要假设是具有能够被精确地误用入侵检测的主要假设是具有能够被精确地按某种方式编码的攻击，并可以通过捕获攻击及重按某种方式编码的攻击，并可以通过捕获攻击及重新整理，确认入侵活动是基于同一弱点进行攻击的新整理，确认入侵活动是基于同一弱点进行攻击的入侵方法的变种。入侵方法的变种。 1基于条件概率误用入侵检测方法基于条件概率误用入侵检测方法2基于专家系统

17、误用入侵检测方法基于专家系统误用入侵检测方法3基于状态迁移分析误用入侵检测方法基于状态迁移分析误用入侵检测方法4基于键盘监控误用入侵检测方法基于键盘监控误用入侵检测方法5基于模型误用入侵检测方法基于模型误用入侵检测方法 3 3.3 3 基于基于Agent t的入侵检测的入侵检测 无控制中心的多无控制中心的多Agent结构，每个结构，每个检测部件都是独立的检测单元，尽量降检测部件都是独立的检测单元，尽量降低了各检测部件间的相关性，不仅实现低了各检测部件间的相关性，不仅实现了数据收集的分布化，而且将入侵检测了数据收集的分布化，而且将入侵检测和实时响应分布化，真正实现了分布式和实时响应分布化，真正实

18、现了分布式检测的思想。检测的思想。 该模型的检测单元该模型的检测单元IDAIDA是分布在网络系统的各个位是分布在网络系统的各个位置，每个置，每个IDAIDA独立地检测系统或网络安全的一个方面，有独立地检测系统或网络安全的一个方面，有独立的数据获取方式、运行模式或可选规则库，各独立的数据获取方式、运行模式或可选规则库，各IDAIDA之之间进行相互协作，对系统和网络用户的异常或可疑行为间进行相互协作，对系统和网络用户的异常或可疑行为进行检测。进行检测。 图 10 基于Agent的入侵检测系统模型 3 3.4 4 入侵检测的新技术入侵检测的新技术1基于生物免疫的入侵检测基于生物免疫的入侵检测 基于生

19、物免疫的入侵检测方法是通过模仿生物基于生物免疫的入侵检测方法是通过模仿生物有机体的免疫系统工作机制，使得受保护有机体的免疫系统工作机制，使得受保护 的系统能够将非自我（的系统能够将非自我（non selfnon self）的非法行为）的非法行为与自我（与自我（selfself）的合法行为区分开来。）的合法行为区分开来。 基于生物免疫的入侵检测系统要遵循以下原则。基于生物免疫的入侵检测系统要遵循以下原则。（1 1）分布式保护（）分布式保护（Distributed ProtectionDistributed Protection） （2 2）多样性（）多样性（DiversityDiversity）

20、 （3 3）健壮性（）健壮性（RobustnessRobustness） （4 4）适应性（）适应性（AdaptabilityAdaptability） （5 5）记忆性（）记忆性（MemoryMemory）。）。（6 6）隐含的策略描述（）隐含的策略描述（Implicit Policy Implicit Policy SpecificationSpecification）。）。（7 7）灵活性（）灵活性（FlexibilityFlexibility） （8 8）可扩充性（）可扩充性（ScalabilityScalability） （9 9）异常检测）异常检测 2 2基因算法基因算法 3数据挖

21、掘数据挖掘 数据挖掘指从大量实体数据中抽出模型数据挖掘指从大量实体数据中抽出模型的处理。挖掘审计数据最有用的的处理。挖掘审计数据最有用的3种方法是分种方法是分类、连接分析和顺序分析。类、连接分析和顺序分析。4基于伪装的入侵检测基于伪装的入侵检测5密罐技术密罐技术 密罐技术就是建立一个虚假的网络，诱惑黑密罐技术就是建立一个虚假的网络，诱惑黑客攻击这个虚假的网络，从而达到保护真正网络客攻击这个虚假的网络，从而达到保护真正网络的目的。的目的。 3.5 入侵检测系统面临的挑战和发展前景入侵检测系统的发展方向有以下几个方面。入侵检测系统的发展方向有以下几个方面。1提高入侵检测的速度提高入侵检测的速度2硬

22、件化硬件化3专业化专业化4互联化互联化5标准化标准化 4 4 基于数据挖掘的智能化入侵检测系统基于数据挖掘的智能化入侵检测系统设计设计 入侵检测的实质就是对审计数据进行分析入侵检测的实质就是对审计数据进行分析和定性，数据挖掘强大的分析方法可以用于入和定性，数据挖掘强大的分析方法可以用于入侵检测的建模。使用数据挖掘中有关算法对审侵检测的建模。使用数据挖掘中有关算法对审计数据进行关联分析和序列分析，可以挖掘出计数据进行关联分析和序列分析，可以挖掘出关联规则和序列规则。通过这种方法，管理员关联规则和序列规则。通过这种方法，管理员不再需要手动分析并编写入侵模式，也无需在不再需要手动分析并编写入侵模式，也无需在建立正常使用模式时，凭经验去猜测其特征项，建立正常使用模式时，凭经验去猜测其特征项，具有很好的可扩展性和适应性。具有很好的可扩展性和适应性。 4 4.1 1 入侵检测系统体系结构以及模型入侵检测系统体系结构以及模型图 11 系统体系结构模型图 4 4.2 2 数据预处理数据预处理主要提取的特征值有以下几个。主要提取的特征值有以下几个。（11）网络连接特征）网络连接特征（22）连接的统计特征）连接的统计特征 对于入侵检测系统，尤其是在需要进行实时检对于入侵检测系统，尤其是在需要进行实时检测的情况下，适当的数据约简是必要的。测的情况下，适当的数