网络安全第10章.pptVIP

* 第10章 入侵检测技术 第10章 入侵检测技术 10.1 入侵检测概述 10.2 入侵检测的技术实现 10.3 入侵检测技术的性能指标和评估标准 10.1.1 入侵检测系统的基本概念 Anderson将入侵尝试或威胁定义为：潜在的、有预谋的、未经授权的访问信息、操作信息、致使系统不可靠或无法使用的企图。而入侵检测的定义为：发现非授权使用计算机的个体（如“黑客”）或计算机系统的合法用户滥用其访问系统的权利以及企图实施上述行为的个体。执行入侵检测任务的程序即是入侵检测系统。入侵检测系统也可以定义为：检测企图破坏计算机资源的完整性，真实性和可用性的行为的软件。 10.1 入侵检测概述 入侵检测系统执行的主要任务包括：监视、分析用户及系统活动；审计系统构造和弱点；识别、反映已知进攻的活动模式，向相关人士报警；统计分析异常行为模式；评估重要系统和数据文件的完整性；审计、跟踪管理操作系统，识别用户违反安全策略的行为。 入侵检测一般分为三个步骤：信息收集、数据分析、响应。 入侵检测的目的：（1）识别入侵者；（2）识别入侵行为；（3）检测和监视以实施的入侵行为；（4）为对抗入侵提供信息，阻止入侵的发生和事态的扩大； 10.1.2 入侵检测系统的结构 图10.1 入侵检测系统的组成部分 一个成功的入侵检测系统至少要满足以下五个主要要求： (1) 实时性要求。 (2) 可扩展性要求。 (3) 适应性要求。 (4) 安全性与可用性要求。 (5) 有效性要求。 10.1.3 入侵检测系统的需求特性 入侵检测系统按其检测的数据来源，可分为基于主机的入侵检测系统和基于网络的入侵检测系统。 10.1.4 入侵检测系统的分类 图10.2 基于主机的入侵检测系统的结构 图10.3 基于网络的入侵检测技术 10.2.1 入侵检测模型 入侵检测从策略上来讲主要分为异常检测和误用检测，从分析方法来讲，又可以分为基于统计的、神经网络和数据挖掘三类技术。我们从IDS的整体框架来对入侵检测模型进行划分，则主要是三种：通用模型、层次化模型和智能化模型。 10.2 入侵检测的技术实现 (1)通用入侵检测模型 历史简档 更新 提取规则 审计记录 计时器 主体 活动 规则集 处理 引擎 异常 记录 活动 简档 规则设计和更新 建立 学习 新活动简档 图10.4 Denning通用入侵检测模型 (2)层次化入侵检测模型 网络数据源 攻击信息 攻击行为分析 主机数据源 入侵检测 入侵行为分析 攻击特征库 安全策略库 攻击特征提取 入侵特征提取 检测出已知入侵 检测出已知入侵 图10.5 层次化入侵检测体系结构 (3)智能入侵检测模型 用户界面 数据库 网络级监控管理 Mobile Agent 主机内传送模块 主机数据分析Agent 数据过滤 审计日志采集 主机内传送模块 主机数据分析Agent 数据过滤 审计日志采集 网络传送模块 网络数据分析Agent 数据过滤 审计日志采集 …… …… 图10.6 基于Agent的智能入侵检 10.2.2 误用与异常检测 入侵检测技术可以分为异常检测和误用检测两种。 1）异常检测 异常检测技术（Anomaly Detection）也称为基于行为的检测技术，是指根据用户的行为和系统资源的使用状况判断是否存在网络入侵。 异常检测的优点是：它的检测完整性高、能发现企图发掘和试探系统未知漏洞的行为；较少依赖于特定的操作系统；对合法的用户违反权限的行为具有很强的检测能力。它的缺点是：如果是在用户数量多且运行状态复杂的环境中，它的误警率较高；由于系统活动的不断变化，用户要不断地在线学习。 常用的方法有： （1）量化分析 （2）统计法 （3）预测模式生成法 （4）神经网络 （5）基于免疫学方法 2）误用检测 误用检测使用某种模式或特征描述方法对任何已知的攻击进行表达。误用检测需要确定其所定义的攻击特征模式是否可以覆盖与实际攻击有关的所有要素。当入侵者入侵时，即通过它的某些行为过程建立一种入侵模型，如果该行为与入侵方案的模型一致，即判定为入侵行为。 误用检测的优点是：检测的准确性高；由于可以精确描述入侵行为，因此虚警率低。它的缺点是：检测的完整性要取决于数据库的及时更新程度；收集已经攻击行为和系统脆弱性信息困难；可移植性差并且难以检测内部用户的权限滥用。 误用检测往往也被称为基于特征的检测。大部分商业IDS产品采用误用检测技术，常用的误用检测方法有：