[高等教育]第7章 入侵检测.ppt

第7章 入侵检测 7.1 入侵检测原理与技术 7.2 入侵检测的数学模型 7.3 入侵检测的特征分析和协议分析 7.4 入侵检测响应机制 7.5 绕过入侵检测的若干技术 7.6 入侵检测标准化工作 思考题 7.1 入侵检测原理与技术 7.1.1 入侵检测的起源 7.1.2 入侵检测系统的需求特性 7.1.3 入侵检测原理 7.1.4 入侵检测分类 7.1.5 入侵检测现状 7.1.1 入侵检测的起源 入侵检测的概念最早由Anderson在1980年提出，它提出了入侵检测系统的3种分类方法。Denning对Anderson的工作进行了扩展，它详细探讨了基于异常和误用检测方法的优缺点，于1987年提出了一种通用的入侵检测模型。 1. IDES原型系统 2. IDES原型系统的组成 (1) 异常检测器 异常检测器采用统计技术刻画异常行为，异常检测器对行为的渐变是自适应的。 (2)专家系统 专家系统采用基于规则的方法检测已知的危害行为。专家系统的引入能有效防止逐步改变的入侵行为，提高准确率。 3．IDS的诞生 1980年，Anderson在报告“Computer Security Threat Monitoring and Surveillance”中提出必须改变现有的系统审计机制，以便为专职系统安全人员提供安全信息，这是有关入侵检测的最早论述； 1984～1986年Dorothy Denning和Peter Neumann联合开发了一个实时入侵检测系统——IDES(Intrusion Detection Expert System)，IDES采用异常检测和专家系统的混合结构， Denning1986年的论文“An Intrusion Detection Model”亦被公认为入侵检测领域的另一篇开山之作； 受Anderson和IDES的影响，在20世纪80年代出现了大量的原型系统如；AuditAnalysis Project、Discovery、}taystack、 NSM等； 20世纪80年代后期出现商业化的IDS ，如目前较有影响的公司ISS是在1994年成立的。 7.1.2 入侵检测系统的需求特性 （1）实时性 实时入侵检测可以避免管理员通过对系统日志进行审计以查找入侵者或入侵行为线索时的种种不便与技术限制。 （2）可扩展性 入侵检测系统必须能够在新的攻击类型出现时，可通过某种机制使系统能够检测到新的攻击行为。 （3）适应性 适应性包括：跨平台工作的能力，适应其宿主平台软、硬件配置的不同情况。 （4）安全性与可用性 不能向其宿主计算机系统以及其所属环境中引入新的安全问题及安全隐患。 （5）有效性要求 对于攻击事件的错报与漏报能够控制在一定范围内。 7.1.3 入侵检测原理 入侵检测系统根据识别采用的原理，可分为3种。 1．异常检测 进行异常检测（Anomaly Detection）的前提是认为入侵是异常活动的子集。当用户活动与正常行为有重大偏离时即被认为是入侵。 (1) 错报 若系统错误地将异常活动定义为入侵，称为错报（false positive）； (2) 漏报 若系统未能检测出真正的入侵行为则称为漏报（falsenegative）。 (3) 异常检测模型 (4)常见的异常检测方法 统计异常检测； 基于特征选择异常检测； 基于贝叶斯推理异常检测； 基于贝叶斯网络异常检测； 基于模式预测异常检测； 基于神经网络异常检测； 基于贝叶斯聚类异常检测； 基于机器学习异常检测等。 ① 概率统计方法 概率统计方法是基于行为的入侵检测中应用最早也是最多的一种方法。首先，检测器根据用户对象的动作为每个用户都建立一个用户特征表，通过比较当前特征与已存储定型的以前特征，从而判断是否是异常行为。 描述特征的变量类型有： 操作密度：度量操作执行的速率，常用于检测通过长时间平均觉察不到的异常行为； 审计记录分布：度量在最新纪录中所有操作类型的分布； 范畴尺度：度量在一定动作范畴内特定操作的分布情况； 数值尺度：度量那些产生数值结果的操作，如CPU使用量，I／O使用量。 ② 预测模式生成法 使用该方法进行入侵检测的系统，利用动态的规则集来检测入侵。这些规则是由系统的归纳引擎，根据已发生的事件的情况来预测将来发生的事件的概率来产生的，归纳引擎为每一种事件设置可能发生的概率。 归纳出来的规则一般可写成如下形式： E1，…，Ek：一(Ek+1，P(Ek+1))，…