Unit4_入侵检测中数据的的分析.pptVIP

入侵检测及扫描技术 —— 数据分析技术 主要内容 通用入侵检测模型 误用检测技术 异常检测技术 其他检测技术 通用入侵检测模型 1987年，Denning提出了一个抽象的通用入侵检测模型。 该模型主要由6部分构成：主体，对象，审计记录，活动简档，异常记录，活动规则。 IDES与它的后继版本NIDES都完全基于Denning的模型，但并不是所有的IDS都能够完全符合该模型。 通用入侵检测模型示意图 数据分析模型 数据分析是入侵检测的核心功能，主要有两种，即异常检测模型和误用检测模型。 功能是： 数据预处理：把收集到数据定制成统一的规范格式。 数据分类：将数据分成有入侵、无入侵和不确定 后期处理：和知识库进行对比 结果反馈和提炼：可以是报警、日志记录、自动响应或其他由操作员定义的动作。 入侵检测技术 1 误用检测技术 方法：首先对标识特定入侵的行为模式进行编码，建立误用模式库，然后对实际检测过程中得到的审计事件数据进行过滤，检查是否包含入侵行为的知识。 缺点：只能检测已知的攻击模式。需要不断的、及时地升级。 主要包括： 简单模式匹配 专家系统 状态转移法 等 1.1 简单模式匹配 优点是：原理简单，实现、配置、维护方便，检测效率高； 缺点是：只适用于简单的攻击方式、误报率高； 代表系统： Snort：跨平台的网络IDS（NIDS）工具 Bro：由美国Lawrence Berkeley国家实验室开发，是NIDS。 1.2 专家系统（expert system） 工作方式是：使用类似if-then的规则格式输入已有的知识（攻击模式），然后输入待检测数据（审计事件记录），系统根据知识库中内容对检测数据进行评估和判断。 代表系统: MIDAS IDES Next Generation IDES（NIDES） DIDS CMDS 专家系统的优缺点 优点： 其推理过程是自治的黑盒，不需用户理解和干预 缺点： 处理海量数据时存在效率问题，因为专家系统的推理通常使用解释型语言； 缺乏处理数据前后的相关性问题的能力； 性能取决于设计者的知识和技能； 只能检测已知的攻击模式； 规则库的维护较困难。 1.3 状态转移法 采用优化的模式匹配技术 实现状态转移的入侵检测可使用以下方法： 状态转移分析（state transition analysis） 着色Petri网（Colored petri nets 或CP-nets） 基于语言/应用程序接口的方法（Languages/API base approach） 1.3.1 状态转移分析 是一种使用高层状态转移图来表示和检测已知攻击模式的误用检测技术。 该技术首先在STAT系统及USTAT中实现，STAT系统由美国加州大学Santa Barbaba分校的Pillip Porras和Richard Kemmerer开发，USTAT则由Koral Ilgun和Kemmerer完成。 把入侵者渗透的过程看作是从有限的特权开始，利用系统存在的脆弱性，逐步提升自身的权限。把攻击者获得的权限或攻击成功的结果表示为系统状态。 状态转移分析（续） 特点： 使用有限状态机模型来表示入侵过程 入侵过程由一系列导致系统从初始状态到入侵状态的行为组成：初始状态表示入侵发生之前的系统状态，入侵状态则表示入侵完成后系统所处的状态。 用户的行为和动作导致系统状态的转变。 1.3.2 着色Petri网和IDIOT系统 由Purdue 大学的Sandeep Kumar和Gene Spaffford设计。IDIOT系统是该方法的具体实现。 关注事件与所处系统环境之间的关系，每种入侵模式都与先前所具备的条件以及随后发生的动作相关，该关系模式可精确描述入侵和入侵企图，并提供一种通用的、与系统架构无关的模式表达和匹配模型。 优点是： 检测效率高 入侵特征具备跨平台的可移植性 只需关注匹配内容，无需关心匹配方式 2 异常检测技术 基于以下假设：程序的执行和用户行为在系统特性上呈现紧密相关性。 如：某些特权程序总是访问特定目录下的系统文件，程序员则经常编辑和编译C程序。 关键：正常使用模式的建立，如何利用该模式对当前系统/用户行为进行比较，从而判断出于正常模式的偏离程度。 缺点：容易产生漏报 主要包括以下方法： 用户行为概率统计模型 基于规则的检测 神经网络 统计分析 入侵检测专家系统（IDES/NIDES）：由SRI开发，对用户和系统主体建立历史统计模式 Haystack系统：由Tracor Applied Sciences and Haystack Laboratories（隶属美国空军）开发 基于规则的检测 WS系统（Wisdom and Sense）:由美国Los Alamos国家实验室和Oak Ridge国家实验室的研究人员实现，可运行