计算机信息安全课件(07081-7) 第7章 入侵检测.pptVIP

第7章 入侵检测 内容提要 入侵检测原理与技术 入侵检测的数学模型 入侵检测的特征分析和协议分析 入侵检测响应机制 绕过入侵检测的若干技术 入侵检测标准化工作 7.1 入侵检测原理与技术 入侵检测的起源 入侵检测系统的需求特性 入侵检测原理 入侵检测分类 入侵检测现状 7.1.1 入侵检测的起源 入侵检测的概念最早由Anderson在1980年提出，它提出了入侵检测系统的3种分类方法。Denning对Anderson的工作进行了扩展，它详细探讨了基于异常和误用检测方法的优缺点，于1987年提出了一种通用的入侵检测模型。这个模型独立于任何特殊的系统、应用环境、系统脆弱性和入侵种类，因此提供了一个通用的入侵检测专家系统框架，并由IDES原型系统实现。 7.1.1 入侵检测的起源 7.1.2 入侵检测系统的需求特性 实时性要求 如果攻击或者攻击的企图能够被尽快发现，就有可能查出攻击者的位置，阻止进一步的攻击活动，就有可能把破坏控制在最小限度，并记录下攻击过程，可作为证据回放。实时入侵检测可以避免管理员通过对系统日志进行审计以查找入侵者或入侵行为线索时的种种不便与技术限制。 可扩展性要求 攻击手段多而复杂，攻击行为特征也各不相同。所以必须建立一种机制，把入侵检测系统的体系结构与使用策略区分开。入侵检测系统必须能够在新的攻击类型出现时，可以通过某种机制在无需对入侵检测系统本身体系进行改动的情况下，使系统能够检测到新的攻击行为。在入侵检测系统的整体功能设计上，也必须建立一种可以扩展的结构，以便适应扩展要求。 7.1.2 入侵检测系统的需求特性 适应性要求 入侵检测系统必须能够适用于多种不同的环境，比如高速大容量的计算机网络环境。并且在系统环境中发生改变，比如增加环境中的计算机系统数量，改变计算机系统类型时，入侵检测系统仍然能够正常工作。适应性也包括入侵检测系统本身对其宿主平台的适应性，即跨平台工作的能力，适应其宿主平台软、硬件配置的不同情况。 安全性与可用性要求 入侵检测系统必须尽可能的完善，不能向其宿主计算机系统以及其所属的计算机环境中引入新的安全问题及安全隐患。并且入侵检测系统在设计和实现时，应该考虑可以预见的、针对该入侵检测系统类型与工作原理的攻击威胁，及其相应的抵御方法。确保该入侵检测系统的安全性与可用性。 有效性要求 能够证明根据某一设计所建立的入侵检测系统是切实有效的。即对于攻击事件的错报与漏报能够控制在一定范围内。 7.1.3 入侵检测原理 异常检测 误用检测 特征检测 异常检测 误用检测 才 和以上两种检测方法不同，特征检测（Specification-based Detection）关注的是系统本身的行为。定义系统行为轮廓，并将系统行为与轮廓进行比较，对未指明为正常行为的事件定义为入侵。特征检测系统常采用某种特征语言定义系统的安全策略。 这种检测方法的错报与行为特征定义准确度有关，当系统特征不能囊括所有的状态时就会产生漏报。 特征检测最大的优点是可以通过提高行为特征定义的准确度和覆盖范围，大幅度降低漏报和错报率；最大的不足是要求严格定义安全策略，这需要经验和技巧，另外为了维护动态系统的特征库通常是很耗时的事情。 7.1.4 入侵检测分类 基于主机的入侵检测系统 基于网络的入侵检测系统 基于主机的入侵检测系统 基于网络的入侵检测系统 基于网络的入侵检测系统 按照控制方式，入侵检测系统可以分为以下两类： 集中式控制 与网络管理工具相结合 7.1.5 入侵检测现状 传统的入侵检测面临以下的问题： 随着能力的提高，入侵者会研制更多的攻击工具，以及使用更为复杂精致的攻击手段，对更大范围的目标类型实施攻击。 入侵者采用加密手段传输攻击信息。 日益增长的网络流量导致检测分析难度加大。 缺乏统一的入侵检测术语和概念框架。 不适当的自动响应机制存在着巨大的安全风险。 存在对入侵检测系统自身的攻击。 过高的错报率和误报率，导致很难确定真正的入侵行为。 采用交换方法限制了网络数据的可见性。 高速网络环境导致很难对所有数据进行高效实时的分析。 7.2 入侵检测的数学模型 异常检测 误用检测 特征检测 实验模型 平均值和标准差模型 多变量模型 马尔可夫过程模型 时序模型 7.2.1 实验模型 实验模型（Operational Model）基于这样的假设：若变量x出现的次数超过某个预定的值，就有可能出现异常的情况。此模型适用于入侵活动与随机变量相关的方面，如口令失效次数。 7.2.2 平均值和标准差模型 平均值和标准差模型（Mean and Standard Deviation Model）根据已观测到随机变量x的样值 以及计算出这些样值的平均值mean和标准方