入侵检测技术 教学课件 作者 曹元大 IDS4.pptVIP

第4章 入侵检测流程 入侵检测流程: 入侵检测的过程 入侵检测系统的数据源 入侵分析的概念 入侵分析的模型 入侵检测的分析方法 告警与响应 入侵检测的过程 入侵检测系统的数据源 基于主机的数据源： 系统运行状态信息 系统记帐信息 系统日志（Syslog） C2级安全性审计信息 入侵检测系统的数据源 基于网络的数据源： SNMP信息 网络通信包 入侵检测系统的数据源 应用程序日志文件 其他入侵检测系统的报警信息 其他网络设备和安全产品的信息 入侵分析的概念 入侵检测系统是一个复杂的数据处理系统，所涉及到的问题域中的各种关系也比较复杂。 从入侵检测的角度来说，分析是指针对用户和系统活动数据进行有效的组织、整理并提取特征，以鉴别出感兴趣的行为。这种行为的鉴别可以实时进行，也可以事后分析，在很多情况下，事后的进一步分析是为了寻找行为的责任人。 入侵分析的目的 重要的威慑力：目标系统使用IDS进行入侵分析，对于入侵者来说具有很大的威慑力，因为这意味着攻击行为可能会被发现或被追踪。 安全规划和管理：分析过程中可能会发现在系统安全规划和管理中存在的漏洞，安全管理员可以根据分析结果对系统进行重新配置，避免被攻击者用来窃取信息或破坏系统。 获取入侵证据：入侵分析可以提供有关入侵行为详细的、可信的证据，这些证据可以用于事后追究入侵者的责任。 入侵分析应考虑的因素 需求 子目标 目标划分 平衡 入侵分析的模型 入侵分析处理过程可分为三个阶段： ?????? 构建分析器； ?????? 分析数据； ?????? 反馈和更新。 构建分析器 ??????收集并生成事件信息 ??????预处理信息 ??????建立行为分析引擎 将事件数据输入引擎中 保存已输入数据的模型 分析数据 ????? 输入事件记录 ??????事件预处理 ??????比较事件记录和知识库 产生响应 反馈和更新 反馈和更新是一个非常重要的过程。 在误用检测系统中，反映这个阶段的主要功能是攻击信息的特征数据库是否可以更新。每天都能够根据新攻击方式的出现来更新攻击信息特征数据库是非常重要的。许多优化的信号引擎能够在系统正在监控事件数据，没有中断分析过程的同时，由系统操作员来更新信号数据库。 在异常检测系统中，依靠执行异常检测的类型，历史统计特征轮廓被定时更新。例如，在第1个入侵检测系统IDES中，每天都进行特征轮廓的更新。每个用户的摘要资料被加入知识库中，并且删除最老的资料。 误用入侵检测模型 误用检测方法 模式匹配方法：基于模式匹配的误用入侵检测方法是最基本的误用入侵检测方法，该方法将已知的入侵特征转换成模式，存放于模式数据库中，在检测过程中，模式匹配模型将到来的事件与入侵模式数据库中的入侵模式进行匹配，如果匹配成功，则认为有入侵行为发生。 专家系统方法：基于专家系统的误用入侵检测方法是最传统、最通用的误用入侵检测方法。在诸如MIDAS、IDES、下一代IDES（NIDES）、DIDS和CMDS中都使用了这种方法。在MIDAS、IDES和NIDES中，应用的产品系统是P-BEST，该产品由Alan Whithurst设计。而DIDS和CMDS，使用的是CLIPS系统，是由美国国家航空和宇航局开发的系统。 状态转换方法 有色Petri网方法 异常入侵检测模型 Denning的原始模型 可操作模型 平均和标准偏差模型 多变量模型 Markov处理模型 量化分析 阈值检测 启发式阈值检测 基于目标的集成检查 量化分析和数据精简 统计度量 IDES/NIDES Haystack 统计分析的力度 统计分析的不足 非参统计度量 非参统计异常检测的前提是根据用户特性把表示的用户活动数据分成两个明显区别的群：一个指示异常活动，另一个指示正常活动。 各种群集算法均可采用。这些算法包括利用简单距离度量一个客体是否属于一个群，以及比较复杂的概念式度量；即，根据一个条件集合对客体记分，并用这个分数来决定它是否属于某一个特定群。不同的群集算法通常服务于不同的数据集和分析目标。 统计分析的力度 基于规则的方法 Wisdom and sense TIM 神经网络方法 神经网络使用可适应学习技术来描述异常行为。这种非参分析技术运作在历史训练数据集上。历史训练数据集假定是不包含任何指示入侵或其它不希望的用户行为。 神经网络由许多称为单元的简单处理元素组成。这些单元通过使用加权的连接相互作用。一个神经网络知识根据单元和它们权值间连接编码成网络机构。实际的学习过程是通过改变权值和加入或移去连接进行的