第5章防火墙与入侵检测试卷.ppt

* 5.2 入侵检测技术  异常入侵检测 （1）概率统计方法 该方法是基于异常检测中应用最早也是最多的。检测器根据用 户对象的动作为每个用户都建立一个用户特征表，通过比较当前特 征与已存储的固定模式的以前特征，从而判断是否是异常行为。 用于描述特征的变量类型有： ① 操作密度：度量操作执行的速率，常用于检测通过长时间平 均觉察不到的异常行为。 ② 审计记录分布：度量在最新记录中所有操作类型的分布。 ③ 范畴尺寸：度量在一定动作范畴内特定操作的分布情况。 ④ 数值尺度：度量那些产生数值结果的操作，如CPU使用量。 * 5.2 入侵检测技术  异常入侵检测 在SRI/CSL的入侵检测系统中给出了一个特征简表的结构： 变量名，行为描述，例外情况，资源使用，时间周期，变量类型，门限值，主体，客体，值 其中的变量名、主体、客体唯一确定了每一个特征简表，特征 值由系统根据审计资料周期性地产生。这个特征值是所有有悖于用 户特征的异常程度值的函数。如果假设S1， S2，…，Sn分别是用于 描述特征的变量M1，M2，…，Mn的异常程度值，Si值越大说明异 常程度越大。则这个特征值可以用所有Si值的加权平方和来表示： ，ai0，其中ai表示每一个特征的权值。 如果选用标准偏差作为判别准则，则标准偏差：M/(n-1)-μ /2， 其中μ=M/n，如果某S值超过了 就认为出现了异常。 * 5.2 入侵检测技术  异常入侵检测 （2）神经网络方法 基本思想是用一系列信息单元（命令）训练神经单元，这样在 给定一组输入后，就可能预测出输出。与统计理论相比，神经网络 更好地表达了变量间的非线性关系，并且能自动学习并更新。 用于检测的神经网络模块结构大致是这样的：当前命令和刚过 去的w个命令组成了网络的输入，其中w是神经网络预测下一个命令 时所包含的过去命令集的大小。根据用户的代表网络入侵检测技术 的研究性命令序列训练网络后，该网络就形成了相应用户的特征 表，于是网络对下一事件的预测错误率在一定程度上反映了用户行 为的异常程度。 * 5.2 入侵检测技术  入侵检测系统及其分类 入侵检测系统（Intrusion Detection Systems，IDS）在逻辑上 必须包含最基本的三个部分：数据提取模块、数据分析模块和结 果处理模块。 数据提取模块: 为系统提取数据。数据为网络数据包、计算机 的日志文件和系统调用记录等。 数据分析模块: 对数据进行深入分析，发现攻击并根据分析的 结果产生事件，传递到结果处理模块。 结果处理模块: 作用在于告警与反应，这实际上与PPDR模型 的R有所重叠。 * 5.2 入侵检测技术  入侵检测系统原理 入侵检测系统的原理比较简单：当感应器感知到数 据后，由系统管理员所提供的安全策略对该感应事件进 行分析审计数据，一旦分析结果认定为入侵则发出警报 信息，启动管理器通知操作人员并启动相应的应急措 施：如关闭相应连接、切断网络，以便帮助管理员采取 进一步的应急措施。 * 5.2 入侵检测技术  基于主机和网络的入侵检测系统 （1）基于主机的入侵检测系统（HIDS） 基于主机的入侵检测系统主要从主机的审计记录和日志文件中 获得所需的数据，并辅以主机上的其它信息，例如文件系统属性， 进程管理状态等，在此基础上完成检测入侵行为的任务。 优点包括： 1）能够监视特定的系统行为，基于主机的IDS能够监视所有的 用户登录和退出、甚至用户所做的所有操作等。 2）系统的复杂性也小很多。 3）能检测某些在网络的数据流中很难发现，或者根本没有通过 网络而是在本地进行的攻击。 4）适用被加密的和交换的环境。 * 5.2 入侵检测技术  基于主机和网络的入侵检测系统 （1）基于主机的入侵检测系统（HIDS） 其主要缺点有： 1）HIDS安装在我们需要保护的设备上，这会降低应用系统的 效率，它依赖于服务器固有的日志与监视能力。 2）全面布置HIDS代价较大，企业中很难将所有主机采用基于 主机的入侵检测系统保护，只能选择部分主机保护。 3）HIDS除了监测自身的主机外，根本不检测网