入侵检测技术总结.docVIP

入侵是对信息系统的非授权访问以及（或者）未经许可在信息系统中进行的操作。 入侵检测(Intrusion Detection)是对企图入侵、正在进行的入侵或者已经发生的入侵进行识别的过程。 审计数据的获取是主机入侵检测技术的重要基石，是进行主机入侵检测的信息来源。 网络数据包的截获是基于网络的入侵检测技术的工作基石。 根据网络类型的不同，网络数据截获可以通过两种方法实现：一种是利用以太网络的广播特性，另一种是通过设置路由器的监听端口或者是镜像端口来实现。 主机入侵检测所要进行的主要工作就是审计数据的预处理工作，包括映射、过滤和格式转换等操作。预处理工作的必要性体现在一下几个方面：①不同目标系统环境的审计记录格式不相同，对其进行格式转换的预处理操作形成标准记录格式后，将有利于系统在不同目标平台系统之间的移植；同时，有利于形成单一格式的标准审计记录流，便于后继的处理模块进行检测工作 ②对于审计系统而言，系统中所发生的所有可审计活动都会生成对应的审计记录，因此对某个时间段而言，审计记录的生成速度是非常快的，而其中往往大量充斥着对于入侵检测而言无用的事件记录。所以，需要对审计记录流进行必要的映射和过滤等操作。 构建状态转移图的过程大致分为如下步骤： ①分析具体的攻击行为，理解内在机理 ②确定攻击过程中的关键行为点 ③确定初始状态和最终状态 ④从最终状态出发，逐步确定所需的各个中间状态及其应该满足的状态断言组 文件完整性检查的目的是检查主机系统中文件系统的完整性，及时发现潜在的针对文件系统的无意或者恶意的更改。 检测引擎的设计是基于网络入侵检测的核心问题。检测引擎可分为两大类：嵌入式规则检测引擎和可编程的检测引擎。 类型 优点 缺点 特征分析 ·在小规则集合情况下，工作速度快 ·检测规则易于编写、便于理解并且容易进行定制 ·对新出现的攻击手段，具备快速升级支持能力 ·对低层的简单脚本攻击行为，具备良好的检测性能 ·对所发生的攻击行为类型，具备确定性的解释能力 ·随着规则集合规模的扩大，检查速度迅速下降 ·各种变种的攻击行为，易于造成过度膨胀的规则集合 ·较易产生虚警信息 ·仅能检测到已知的攻击类型，前提是该种攻击类型的检测特征已知 协议分析 ·具备良好的性能可扩展性，特别是在规则集合规模较大的情况下 ·能够发现最新的未知安全漏洞 （Zero-Day Exploits） ·较少出现虚警信息 ·在小规则集合情况下，初始的检测速度相对较慢 ·检测规则比较复杂，难以编写和理解并且通常是由特定厂商实现 ·协议复杂性的扩展以及实际实现的多样性，容易导致规则扩展的困难 ·对发现的攻击行为类型，缺乏明确的解释信息 DIDS(Distribution Intrusion Detection System)分布式入侵检测系统主要包括3种类型的组件：主机监控器（Host Monitor）、局域网监控器（LAN Monitor）和中央控制台（Director）。 主机监控器由主机事件发生器（Host Event Generator, HEG）和主机代理（Host Agent）组成。 局域网监控器由局域网事件发生器（LAN Event Generator, LEG）和局域网代理（LAN Agent）组成。 控制台主要包括3个部分：通信管理器（Communication Manager）、专家系统和用户接口。 入侵检测专家系统（IDES, Intrusion Detection Expert System）是一个混合型的入侵检测系统，使用一个在当时来说是创新的统计分析算法来检测异常入侵行为，同时，该系统还用一个专家系统检测模块来对已知的入侵攻击模式进行检测。 人工神经网络是模拟人脑加工、存储和处理信息机制而提出的一种智能化信息处理技术，它是由大量简单的处理单元（神经元）进行高度互连而形成的复杂网络系统。 神经网络技术应用于入侵检测领域具有以下优势： 神经网络具有概括和抽象能力，对不完整输入信息具有一定程度的容错处理能力。 神经网络具备高度的学习和自适应能力。 神经网络所独有的内在并行计算和存储特性。 神经网络技术在入侵检测中的应用还存在以下缺陷和不足： 需要解决神经网络对大容量入侵行为类型的学习能力问题。 需要解决神经网络的解释能力不足的问题。 执行速度问题。 数据挖掘（Data Mining）是所谓“数据库知识发现”（Knowledge Discovery in Database, KDD）技术中的一个关键步骤，其提出的背景是解决日益增长的数据量与快速分析数据要求之间的矛盾问题，目标是采用各种特定的算法在海量数据中发现有用的可理解的数据模式。 数据融合（Data fusion）是一种多层次的、多方面的处理过程，这个过程是对多源数据进行检测、结合、相关估计