网络安全理论技术(第十七讲).pdf

网络安全理论与技术网络安全理论与技术 张卫东 西安电子科技大学通信工程学院信息工程系 E-mail: xd_zwd@ 1 第十三章 入侵检测 13.1 入侵检测概述 13.2 入侵检测系统分类 1313.33 入侵检测系统的分析方式入侵检测系统的分析方式 13.4 入侵检测系统的设置入侵检测系统的设置 13.5 入侵检测系统的部署 1313.66 入侵检测系统的优点与局限性入侵检测系统的优点与局限性 入侵检测系统的分析方式 从入侵检测的典型实现过程可以看出，数据分析 是入侵检测系统的核心是入侵检测系统的核心，，它是关系到能否检测出入侵它是关系到能否检测出入侵 行为的关键。 检测率是人们关注的焦点检测率是人们关注的焦点，，不同的分析技术所体不同的分析技术所体 现的分析机制也是不一样的，从而对数据分析得到的 结果当然也就大不相同，而且不同的分析技术对不同 的数据环境的适用性也不一样的数据环境的适用性也不一样。。 根据入侵检测系统所采用的分析技术来看，它可 以分为采用以分为采用异常检测的入侵检测系统异常检测的入侵检测系统和采用和采用误用检测误用检测 的入侵检测系统。 13.3.1 异常检测技术——基于行为的检测 异常检测技术（Anomaly Detection ）也称为基于 行为的行为的((Behavior-Based))检测技术检测技术，，是指根据用户的行是指根据用户的行 为和系统资源的使用状况判断是否存在网络入侵。 其基本前提是其基本前提是：：假定所有的入侵行为都是异常的假定所有的入侵行为都是异常的，， 即入侵行为是异常行为的子集。 原理是：首先建立系统或用户的“正常”行为特 征轮廓，通过比较当前的系统或用户的行为是否偏离 正常的行为特征轮廓来判断是否发生了入侵行为，而 不是依赖于具体行为是否出现来进行检测的不是依赖于具体行为是否出现来进行检测的。。 从这个意义上来讲，异常检测是一种间接的方法。 下图是典型的异常检测系统示意图下图是典型的异常检测系统示意图。。 更新 系统正常的 统计分析 入侵 审计数据审计数据 行为特征轮廓行为特征轮廓 偏离正常 行为 行为特征 动态产生新 的行为特征的行为特征 典型的异常检测系统示意图典型的异常检测系统示意图 异常检测原理 命令命令、系统调用系统调用、应应 用类型、活动度量、 CPU使用、网络连接 正正 常常 行 为 异常行为 异常检测原理模型 异常检测 Normal System Audit AActiiviity Below Thr