第四节第五节攻击检测技术概述入侵检测技术.docVIP

目录 4、入侵检测技术 4.1 引言4.2 入侵检测的定义及评测标准4.3 入侵检测防范的典型黑客攻击类型4.4 异常检测技术4.5 滥用检测技术 为什么要采用入侵检测系统 (1) 入侵检测技术是动态安全技术(P2DR)的最核心的技术之一 ???检测是静态防护转化为动态的关键；???检测是动态响应的依据；???检测是落实/强制执行安全策略的有力工具。 (2) 入侵检测系统（IDS）是对防火墙的必要补充；????入侵检测是为那些已经采取了结合强防火墙和验证技术措施的客户准备的，入侵检测在其上又增加了一层安全性。?? (3) 对系统或网络资源进行实时检测，及时发现闯入系统或网络的入侵者；? ?(4) 预防合法用户对资源的误操作以及发现内部人员作案； ? ?(5) 采用被动式的监听报文的方式捕获入侵，不会成为网络性能的瓶颈。 5.4.2 入侵检测的定义及评测标准 入侵检测的定义 ????入侵检测: 是指对于面向计算资源和网络资源的恶意行为的识别和响应。????入侵: 是指任何试图破坏资源完整性、机密性和可用性的行为。这里，应该包括用户对于系统资源的误用。????从入侵策略的角度可将入侵检测的内容分为：试图闯入或成功闯入、冒充其它用户、违反安全策略、合法用户的泄漏、独占资源以及恶意使用等6个方面。 入侵检测的评价标准 ????准确性: 指IDS对系统环境中的异常行为（或入侵）与合法行为进行区分的能力； ????性能: 指IDS处理审计事件的效率；????完整性: 指IDS可以检测到所有的攻击；????容错性: 指IDS本身对于攻击的抵御能力和从系统崩溃中恢复的能力；????时限性（timeliness）: 指IDS执行并完成分析，以及进行响应的时间快慢。 此外，还应考虑以下几点： 1.IDS运行时，尽量减少对系统的开销，以便不影响其它正常操作；????2.能够针对系统的安全策略对IDS进行配置；????3.对系统和用户行为随时间的变化具有适应性。 基于网络的IDS还应具有以下性质： 可伸缩性、部件相关性小、允许动态重构。 5.4.3 入侵检测防范的典型黑客攻击类型 1.探测攻击――寻找攻击目标并收集相关信息及漏洞，如Ping Sweeps，TCP/UDP scan， SATAN，Port Scan； ??? ? 2.拒绝服务攻击――抢占目标系统资源阻止合法用户使用系统或使系统崩溃，如Ping of Death, SYN Flood, TearDrop, UDPBomb, Land/Latierra, WinNuke, Trinoo, TFN2K, Stacheldraht等； ???? 3.缓冲区溢出攻击――利用系统应用程序中存在的错误，执行特定的代码以获取系统的超级权限，如DNS overflow, Statd overflow等； 4.WEB攻击: 利用CGI、WEB服务器和浏览器中存在的安全漏洞，损害系统安全或导致系统崩溃，如URL, HTTP, HTML, JavaScript, Frames, Java, and ActiveX等； ???? 5.邮件攻击: 邮件炸弹、邮件滚雪球、邮件欺骗等；??? ?6.非授权访问: 越权访问文件、执行无权操作，如Admind, EvilFTP Backdoor, Finger_perl, FTP_Root, BackOrifice等；??? ? 7.网络服务缺陷攻击: 利用NFS，NIS，FTP等服务存在的漏洞，进行攻击和非法访问，如NfsGuess, NfsMknod等；??? ? 8.网络监听: 获取有用信息，夺取网络控制权，如snoop, tcpdump, Netwatch, sniffer等。 基于统计方法的攻击检测技术 (1) 基于统计方法的攻击检测技术 ????审计系统实时地检测用户对系统的使用情况,根据系统内部保持的用户行为的概率统计模型进行监测,当发现有可疑的用户行为发生时，保持跟踪并监测、记录该用户的行为。 ???SRI (Stanford Research Institute) 研制开发的IDES (Intrusion Detection Expert System)是一个典型的实时检测系统。IDES 系统能根据用户以前的历史行为决定用户当前的行为是否合法。系统根据用户的历史行为,生成每个用户的历史行为记录库。???IDES能够自适应地学习被检测系统中每个用户的行为习惯，当某个用户改变他的行为习惯时，这种异常就会被检测出来。 目前IDES实现的监测主要基于以下两个方面： ??? ?一般项目：例如CPU的使用时间： I／O的使用通道和频率，常用目录的建立与删除，文件的读写、修改、删除