入侵检测与防火墙2.pptVIP

入侵检测与防火墙 郭庆北 guoqb@126.com 2007-9-10 第2讲? 入侵检测研究论文 一种基于非单调逻辑理论的入侵检测系统 一种基于非单调逻辑理论的入侵检测系统（计算机学报） 摘 要 提出了用模糊默认理论改造传统的单调推理机制和响应引擎的方法,从而建立了基于人工智能的入侵检测系统.实验结果表明,改进后的系统不仅能适应高速主干网络的实时入侵检测需要,而且灵敏性有很大的提高;由于采用了响应回卷技术和面向代价的动态响应政策,从而大幅度降低了入侵检测和响应的代价. 关键词 模糊默认逻辑;入侵检测;单调逻辑;响应回卷 引言 存在的问题（待改进的问题） (1)在一定的准确度保证下能尽早地发现入侵意图并做出响应.随着入侵的进一步发展,对受保护对象(例如服务器)的破坏可能更加严重,因此要求检测和响应的灵敏性要高. 你有什么方案来解决以上问题？ 图1是华东(北)地区CERNET某次Nimda病毒发作时随时间推移造成的损失量化图. (2)在误报的情况下,应中止或取消原来的响应动作而采取正确的响应动作,以减少或消除由于错误响应带来的损失.这称为响应回卷. 要做到这两点一般比较困难,因为入侵检测系统需要收集到足够的证据才能判断当前行为是否是入侵行为,而许多证据的收集不仅需要代价,而且往往需要贯穿于入侵的整个过程,因而无法较早地发现该行为并做出响应; 由于现有的入侵检测系统采用经典逻辑推理方式,根据目前已掌握的证据来推导出的结论及相应的响应动作被视为永真结果,即使将随后获得的新知识或事实加入推理过程后表明该结论是错误的,也不能推翻原有的结论和消除其响应动作. 模糊默认逻辑是一种非单调逻辑,它是模糊逻辑和默认逻辑的有机结合.利用模糊逻辑理论可以改造传统的入侵检测知识库和支持模糊推理,利用默认逻辑理论可以支持入侵意图识别和响应回卷因此它能较好地解决上述两个安全目标. 其优点在于: (1)FDL-IRE能在证据不充分的情况下判断当前行为是否是入侵行为,从而提高了检测的速度. (2)当随后收集到的新知识表明原来的结论错误时,FDL-IRE就将新知识加入到推理过程中,得出新的结论,然后向RRE请求回卷原来的响应动作和做出新的响应动作. (3)衡量代价来决定响应动作,使响应更加智能和科学. 模糊默认推理引擎FDL-IRE的原理 FDL-IRE的推理过程可以分为以下步骤: 1.根据数据采集器输出的数据和FDL-KB的模糊默认规则进行推理. 2.如果能推导出入侵行为,则将该推理过程的信息(包括规则的先决条件、默认条件和结论的可信度等)记录到命题表中,同时检查推理结论与命题表前面的结论、先决条件与命题表前面的默认条件的一致性,如果发生不一致,则撤销原有的默认条件和结论,将它记录到命题表的删除事实中. 3.如果不能推导出入侵行为,则检查采集到的数据与命题表前面的默认条件记录的一致性,如果发生不一致,则撤销原有的默认条件和结论,将它记录到命题表的删除事实中.然后继续处理下面的数据,返回步1. 支持响应回卷的响应引擎RRE的原理 RRE有两个特点: (1)它能支持响应回卷. (2)它基于响应代价模型做出响应决策.RRE首先根据响应代价模型,计算出采用某种响应方式与否之间的代价比,然后根据该代价比决定如何响应. 支持响应决策的入侵检测加权代价敏感模型 (1)检测代价 指检测所消耗的资源数量,记为ICost. (2)响应代价 指响应所消耗的资源数量,记为RCost (3)损失代价 分为三种情况,第一是不采取响应时入的损害,记为DCost;第二是采取某种响应后成的损害,记为DICost;第三是采取某种响应动作造成的损失,记为DRCost,例如关闭这类响应动作对其用户的损失. 为了支持响应决策,该模型首先计算对于某种响应方式在响应和不响应两种情况下承受的代价,然后比较两者大小来确定如何响应. 响应时的代价记为RC,表示为 不响应时的代价记为NRC,表示为 记代价敏感模型为M,表示为 当M=1时,不做响应;当M1时,采取RC最小的响应方法. 响应回卷 响应回卷是一种特殊的响应动作,它针对由于误报而产生的响应动作,响应回卷中断或撤销其动作,消除响应带来的负面影响.在Curtis对IDS响应技术的调查的基础上,根据响应动作是否可回卷和可消除影响将其分为三类: (1)可撤销的响应动作,包括锁住用户帐户、阻塞攻击源地址、关闭主机、从网络中断开等.对于这些响应动作,响应回卷采取相反的动作. (2)不可撤销但可以消除影响的响应动作,包括产生一份报告、产生警告、创建备份等.对于这些响应动作,响应回卷可以采用中断或产生回卷日志的方法. (3)不可撤销和消除影响的响应动作等,包括警告入侵者、中断用户会话.对于这些响应动作,响应回卷报告安全管理员或写入日志