第11章 入侵检测技术.pptVIP

入侵检测技术 设计：徐国庆 张瑞琪 前言 入侵检测（Intrusion Detection）是对入侵行为的发觉。它从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测的软/硬件组合体称为入侵监测系统（IDS）。 11.1 入侵检测原理与技术 入侵检测起源 入侵检测系统的需求特性 入侵检测原理 入侵检测分类 入侵检测现状 11.1.1 入侵检测起源 1980年，概念的诞生 1984～1986年，模型的发展 1990年，形成网络IDS和主机IDS两大阵营 九十年代后至今，百家争鸣、繁荣昌盛 IDES原型系统 11.1.2 入侵检测系统的需求特性 实时性 可扩展性 适应性 安全性与可用性 有效性 11.1.3 入侵检测原理 异常检测 误用检测 特征检测 异常检测 进行异常检测的前提是人为入侵时异常活动的子集。异常检测系统通过运行在系统或应用层的监控程序监控用户的行为，通过将当前主题的活动情况和用户轮廓进行比较。用户轮廓通常定义为各种行为参数及其阀值的集合，用于描述正常行为范围。 当和用户活动与正常行为有重大偏离时即被认为是入侵。如果系统错误的将异常行为定义为入侵，称为错报；如果系统未能检测出真正的入侵行为则成为漏报。 异常监测系统的效率取决于用户轮廓的完备性和监控的频率。 异常检测 根据异常行为和使用计算机资源的情况检测出入侵行为，试图用定量的方式描述可以接受的行为特征，以区分非正常的、潜在的入侵行为。 建立主体正常活动的“行为模型”或轮廓。进行检测时，将当前主体活动状况与“行为模型”比较，发生显著偏离时则认为该活动可能是入侵行为。 异常检测 异常检测 工作过程 首先收集一段时期正常操作活动的历史记录，再建立代表用户、主机或网络连接的正常行为轮廓； 然后收集事件数据并使用一些不同的方法来决定所检测到的事件活动是否偏离了正常行为模式 其难点在于如何建立“行为模型”以及如何设计统计方法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。 异常检测 常用的方法和技术 统计异常检测 基于特征选择异常检测 基于贝叶斯推理异常检测 基于贝叶斯网络异常检测 基于模式预测异常检测 基于神经网络异常检测 基于贝叶斯聚类异常检测 基于机器学习异常检测 误用检测 进行误用检测的前提是所有的入侵行为都有可被检测到的特征。 误用检测系统提供攻击特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为时入侵。 如果入侵特征与正常的用户行为匹配，则系统会发生错报；如果没有特征能与某种新的攻击行为匹配，则系统会发生漏报。 误用检测 误用检测 误用检测也被称为基于知识的检测或特征检测； 通过对比已知攻击手段及系统漏洞的模式特征来判断系统中是否有入侵发生。具体说，根据静态的、预先定义好的模式集合来过滤数据流，一旦发现数据包特征与某个模式特征相匹配，则认为是一次入侵。 可以将已有的入侵方式检测出来，但对新的入侵方式无能为力。 误用检测 常用的检测方法和技术 - 基于条件的概率误用检测方法 - 基于专家系统的误用检测方法 - 基于状态迁移分析误用检测方法 - 基于键盘监控误用检测方法 - 基于模型误用检测方法 特征检测 特征检测关注的是系统本身的行为。定义系统行为轮廓，并将系统行为与轮廓进行比较，对未指明为正常行为的事件定义为入侵。特征检测系统常采用某种特征语言定义系统的安全策略。 这种检测方法的错报与行为特征定义准确度有关，当系统特征不能囊括所有的状态时就会产生漏报。 特征检测最大的优点是可以通过提高行为特征定义的准确度和覆盖范围，大幅度降级漏报和错报率；最大的不足是要求严格定义安全策略，这需要经验和技巧，另外为了维护动态系统的特征库通常是很耗时的事情。 11.1.4 入侵检测分类 基于主机的入侵检测系统 基于网络的入侵检测系统 基于主机的入侵检测系统 系统安装在主机上面，对本主机进行安全检测 通过监视与分析主机的审计记录检测入侵。这些系统的实现不全在目标主机上，有一些采用独立的外围处理机。另外NIDES使用网络将主机信息传到中央处理单元。但它们全部是根据目标系统的审计记录工作。能否及时采集到审计记录是这些系统的难点之一，从而有的入侵者会将主机审计子系统作为攻击目标以避开入侵检测系统。 基于主机的入侵检测系统 基于主机的入侵检测系统 优点 性能价格比高 细腻性，审计内容全面 视野集中 适用于加密及交换环境 基于主机的入侵检测系统 缺点 额外产生的安全问题 依赖性强 如果主机数目多，代价过大 不能监控网络上的情况 基于网络的入侵检测系统 系统安装