网络信息安全技术知识(第二版)第7章网络入侵检测原理与技术知识.ppt

第7章 网络入侵检测原理与技术 ;7.1.1 入侵检测原理 ; 对于信息系统安全强度而言，联机或在线的攻击检测是比较理想的，能够在案发现场及时发现攻击行为，有利于及时采取对抗措施， 使损失降低到最低限度。 同时也为抓获攻击犯罪分子提供有力的证据。但是，联机的或在线的攻击检测系统所需要的系统资源几乎随着系统内部活动数量的增长呈几何级数增长。 ; 入侵检测是对传统安全产品的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、 监视、 进攻识别和响应）， 提高了信息安全基础结构的完整性。 它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。 入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实现： ; （1） 监视、 分析用户及系统活动；  （2） 系统构造和弱点的审计；  （3） 识别反映已知进攻的活动模式并向相关人士报警；  （4） 异常行为模式的统计分析；  （5） 评估重要系统和数据文件的完整性；  （6） 操作系统的审计跟踪管理， 并识别用户违反安全策略的行为。 ;图 7.1 通用的入侵检测系统模型 ;1. 异常检测原理 ; 从图7.2可以看出，异常检测原理根据假设攻击与正常的（合法的）活动有很大的差异来识别攻击。异常检测首先收集一段时期正常操作活动的历史记录， 再建立代表用户、主机或网络连接的正常行为轮廓，然后收集事件数据并使用一些不同的方法来决定所检测到的事件活动是否偏离了正常行为模式。 基于异常检测原理的入侵检测方法和技术有以下几种方法： ;(1) 统计异常检测方法；  (2) 特征选择异常检测方法；  (3) 基于贝叶斯推理异常检测方法；  (4) 基于贝叶斯网络异常检测方法；  (5) 基于模式预测异常检测方法。  其中比较成熟的方法是统计异常检测方法和特征选择异常检测方法，目前，已经有根据这两种方法开发而成的软件产品面???， 其它的方法目前还都停留在理论研究阶段。 ; 2. 误用检测原理 该原理是指根据已经知道的入侵方式来检测入侵。入侵者常常利用系统和应用软件中的弱点或漏洞来攻击系统，而这些弱点或漏洞可以编成一些模式， 如果入侵者的攻击方式恰好与检测系统模式库中的某种方式匹配，则认为入侵即被检测到了， 如图7.3所示。 ;图 7.3 误用检测原理模型 ;基于误用检测原理的入侵检测方法和技术主要有以下几种： (1) 基于条件的概率误用检测方法；  (2) 基于专家系统误用检测方法；  (3) 基于状态迁移分析误用检测方法；  (4) 基于键盘监控误用检测方法；  (5) 基于模型误用检测方法。 ;7.1.3 IDS在网络中的位置 当实际使用检测系统的时候，首先面临的问题就是决定应该在系统的什么位置安装检测和分析入侵行为用的感应器(Sensor)或检测引擎(Engine)。 对于基于主机的IDS，一般来说直接将检测代理安装在受监控的主机系统上。对于基于网络IDS， 情况稍微复杂， 下面以一常见的网络拓扑结构来分析IDS检测引擎应该位于网络中的哪些位置。 ; 位置1 感应器1位于防火墙外侧的非系统信任域， 它将负责检测来自外部的所有入侵企图（这可能产生大量的报告）。通过分析这些攻击来帮助我们完善系统并决定要不要在系统内部部署IDS。对于一个配置合理的防火墙来说， 这些攻击不会带来严重的问题，因为只有进入内部网络的攻击才会对系统造成真正的损失。  位置2 很多站点都把对外提供服务的服务器单独放在一个隔离的区域，通常称为DMZ非军事化区。在此放置一个检测引擎是非常必要的，因为这里提供的很多服务都是黑客乐于攻击的目标。 ; 位置3 这里应该是最重要、最应该放置检测引擎的地方。 对于那些已经透过系统边缘防护，进入内部网络准备进行恶意攻击的黑客， 这里正是利用IDS系统及时发现并作出反应的最佳时机和地点。 ;图7.4 IDS在网络中的位置;7.2 入侵检测方法;　　基于概率统计的检测技术旨在对用户历史行为建模。根据该模型，当发现有可疑的用户行为发生时，保持跟踪，并监视和记录该用户的行为。SRI（StandfordResearchInstitute）[JP]研制开发的IDES（IntrusionDetectionExpertSystem）是一个典型的实时检测系统。IDES系统能根据用户以前的历