Security网络安全技术智能信息安全.ppt

基于主机的IDS的优点 能够确定攻击是否成功 适合于加密和交换环境 准实时检测和响应 不需要额外的硬件 基于网络的IDS 基于网络的IDS使用原始的网络分组数据包作为进行攻击分析的数据源，一般利用一个网络适配器来实时监视和分析所有通过网络进行传输的通信，一旦检测到攻击，IDS应答模块通过通知报警以及中断连接等方式，来对攻击作出反应。 基于网络的IDS的系统结构 嗅探器 嗅探器 入侵分析引擎 管理/配置器 （接口） 网络安全数据库 分析结果 基于网络的IDS优点 实时检测、应答和攻击预警 能够检测到不成功的攻击企图 攻击者转移数据更困难 与操作系统无关 成本低 基于主机的IDS与基于网络的IDS比较 如果攻击不经过网络，基于网络的IDS无法检测到，只能通过使用基于主机的IDS来检测。 基于网络的IDS通过检查所有的包首标header来进行检测，而基于主机的IDS并不查看包首标，许多基于IP的拒绝服务攻击，只能通过查看它们通过网络传输时的包首标才能识别。 基于网络的IDS可以研究负载的内容，查找特定攻击中使用的命令或语法，这类攻击可以被实时检查包序列的IDS迅速识别，而基于主机的系统无法看到负载，因此，也无法识别嵌入式的负载攻击。 入侵检测的分类 按照检测分析方法不同，可将入侵检测系统分为： 异常检测IDS 误用检测IDS 异常检测IDS 异常检测指的是根据非正常行为（系统或用户）和使用计算机资源非正常情况检测入侵行为。 是通过比较当前的系统和用户的行为是否偏离正常的行为特征轮廓来判断是否发生了入侵行为，是一种间接的方法。 异常检测的系统示意图 审计数据 系统正常行为特征轮廓 统计分析 偏离正常的行为特征 入侵行为 动态产生新的行为特征 更新 误用检测IDS 误用检测模型是指根据已知的入侵模式来检测入侵。 首先对已知的攻击方法进行攻击签名表示，然后根据已经定义好的攻击签名，通过判断这些攻击签名是否出现来判断入侵行为，是一种直接的方法。 误用入侵检测模型 模式库 攻击者 报警 匹配 异常检测与误用检测比较 异常检测是试图发现一些未知的入侵行为，误用检测是标识一些已知的入侵行为。 异常检测是根据使用者的行为或资源使用情况来判断是否入侵，不依赖于具体行为是否出现来检测，而误用检测系统则通过对具体行为的判断和推理检测入侵。 异常检测的主要缺陷在于误检率很高，而误用检测系统由于依据具体特征库进行判断，准确率较高。 异常检测系统的具体系统的依赖性相对较小，而误用检测对具体系统的依赖性很强，移植性不好 入侵检测分析方法的进一步讨论 深入讨论两种入侵检测的分析方法，并比较其优缺点，一类是异常检测技术，另一类是误用检测技术。 异常检测技术 异常检测的主要前提是入侵活动是异常活动的子集，理想情况是异常活动集与入侵活动集相等。 但实际上，入侵性活动集并不是总与异常活动集相符合，这样就存在4种可能性： （1）入侵性而非异常； （2）非入侵性而正常； （3）非入侵性而非异常； （4）入侵性而异常。 因此异常入侵检测要解决的问题是在这些活动集中发现入侵活动集。 异常检测技术的分类 统计分析检测方法 神经网络检测方法 机器学习检测方法 特征选择检测方法 异常检测技术—统计分析方法 统计分析方法首先给系统对象（如用户文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等），测量属性的平均值将被用来与网络系统的行为进行比较。任何观察值在正常值范围之外时，就认为有入侵发生。例如，统计分析发现一个在早八点至晚六点不登录的帐户，却在凌晨两点试图登录，然后可能会标识成一个入侵行为。 统计分析的优点是它可以“学习”用户的使用习惯，从而具有较高的检测率和可用性。 统计分析方法—贝叶斯（Bayes）分类算法 贝叶斯分类算法是一种基于统计分析的典型算法，具有最小错误率的概率分类算法，它根据所观察到的数据及概率进行推算，从而做出最优的抉择。 贝叶斯算法的基本思路 在入侵检测中，我们通过对随机事件的数据进行预处理，提取其相应特征，得到一随机矢量 ，其中 表示系统不同方面的特征。（如磁盘I/O的互动数量，系统中的页面出错率等）。 贝叶斯分类算法就是把检测对象的行为进行分类，即对随机矢量 分类，比如分为正常行为，异常行为和入侵行为等。此时要求知道该变量对每一类行为的概率分布，然后根据贝叶斯定理得到每个类别的概率，最后将其归入概率最高的类别。 贝叶斯算法的具体方法 （1）假设已知先验概率 其中 ， 为类别的总数，和该变量对每一类行为的条件概率分布