5.2入侵检测原理.ppt

* 第5章 网络入侵检测原理与技术 5.2 入侵检测原理 5.2.1 入侵检测概念 入侵检测作为其它经典手段的补充和加强，是任何一个安全系统中不可或缺的最后一道防线。攻击检测可以分为两种方法： 被动、 非在线地发现和实时、在线地发现计算机网络系统中的攻击者。 从大量非法入侵或计算机盗窃案例可以清晰地看到， 计算机系统的最基本防线“存取控制”或“访问控制”，在许多场合并不是防止外界非法入侵和防止内部用户攻击的绝对无懈可击的屏障。大量攻击成功的案例是由于系统内部人员不恰当地或恶意地滥用特权而导致的。入侵检测则类似于治安巡逻队，专门注重于发现形迹可疑者，信息系统的攻击者很有可能通过了城门的身份检查，或者爬越了城墙而混入城中，这时要想进一步加强信息系统的安全强度，就需要增派一支巡逻队，专门负责检查在城市中鬼鬼祟祟行动可疑的人员。 对于信息系统安全强度而言，联机或在线的攻击检测是比较理想的，能够在案发现场及时发现攻击行为，有利于及时采取对抗措施， 使损失降低到最低限度。 同时也为抓获攻击犯罪分子提供有力的证据。但是，联机的或在线的攻击检测系统所需要的系统资源几乎随着系统内部活动数量的增长呈几何级数增长。 入侵检测最早是由James Anderson于1980年提出来的，其定义是：对潜在的有预谋的未经授权的访问信息、操作信息以及致使系统不可靠、不稳定或无法使用的企图的检测和监视。从该定义可以看出，入侵检测对安全保护采取的是一种积极、主动的防御策略，而传统的安全技术都是一些消极、被动的保护措施。因为，如果入侵者一旦攻破了由传统安全技术所设置的保护屏障，这些技术将完全失去作用，对系统不再提供保护， 而入侵者则对系统可以进行肆无忌惮的操作，当然包括一些很有破坏性的操作。对于这些，传统的安全技术是无能为力的。 但是入侵检测技术则不同，它对进入系统的访问者（包括入侵者）能进行实时的监视和检测，一旦发现访问者对系统进行非法的操作（这时访问者成为了入侵者），就会向系统管理员发出警报或者自动截断与入侵者的连接，这样就会大大提高系统的完全性。所以对入侵检测技术研究是非常有必要的，并且它也是一种全新理念的网络（系统）防护技术。 入侵检测是对传统安全产品的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、 监视、 进攻识别和响应）， 提高了信息安全基础结构的完整性。 它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。 入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实现： （1） 监视、 分析用户及系统活动；  （2） 系统构造和弱点的审计；  （3） 识别反映已知进攻的活动模式并向相关人士报警；  （4） 异常行为模式的统计分析；  （5） 评估重要系统和数据文件的完整性；  （6） 操作系统的审计跟踪管理， 并识别用户违反安全策略的行为。 对一个成功的入侵检测系统来讲，它不但可使系统管理员时刻了解网络系统（包括程序、文件和硬件设备等）的任何变更， 还能给网络安全策略的制定提供指南。 更为重要的一点是， 它应该管理、配置简单，从而使非专业人员非常容易地获得网络安全。 而且，入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后，会及时作出响应， 包括切断网络连接、 记录事件和报警等。 5.2.2 入侵检测模型 最早的入侵检测模型是由Dorothy Denning于1987年提出的， 该模型虽然与具体系统和具体输入无关，但是对此后的大部分实用系统都有很大的借鉴价值。图5.2表示了该通用模型的体系结构。 图 5.2 通用的入侵检测系统模型 在该模型中，事件产生器可根据具体应用环境而有所不同， 一般来自审计记录、网络数据包以及其它可视行为，这些事件构成了入侵检测的基础。行为特征表是整个检测系统的核心，它包含了用于计算用户行为特征的所有变量， 这些变量可根据具体采用的统计方法以及事件记录中的具体动作模式而定义，并根据匹配上的记录数据更新变量值。如果有统计变量的值达到了异常程度，行为特征表将产生异常记录，并采取一定的措施。 规则模块可以由系统安全策略、入侵模式等组成，它一方面为判断是否入侵提供参考机制，另一方面可根据事件记录、 异常记录以及有效日期等控制并更新其它模块的状态。在具体实现上，规则的选择与更新可能不尽相同，但一般地，行为特征模