(物联网信息安全)第7章物联网集成安全技术.ppt

　　　　　　7.1 入侵检测技术7.1.1 相关概念　　入侵检测(Intrusion Detection)是对入侵行为的检测，它通过收集和分析网络行为、安全日志、审计数据、其他网络上可以获得的信息以及计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。 7.1.2 入侵检测技术的分类　　目前入侵检测系统所采用的入侵检测技术可分为特征检测与异常检测两种，下面分别进行介绍。　　特征检测的主要优点如下：　　(1) 实现容易。 　　(2) 检测精确。 　　(3) 升级容易。 　　特征检测的主要不足在于：它可以将已有的入侵方法检测出来，但对新的入侵方法无能为力。 　　异常检测：异常检测(Anomaly Detection)假设入侵者的活动异常于正常主体的活动，根据这一理念建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统计规律时，认为该活动可能是“网络入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。 　　1．基于主机的入侵检测系统　　基于主机的入侵检测系统的主要特点如下：　　(1) 监视特定的系统活动。 　　(2) 能够检测到基于网络的入侵检测系统检测不出的攻击。 　　(3) 适用于采用了数据加密和交换式连接的子网环境。 　　(4) 有较高的实时性。 　　(5) 不需增加额外的硬件设备。 　　2．基于网络的入侵检测系统　　NIDS有许多仅靠基于主机的入侵检测方法无法提供的优点，具体表现如下：　　(1) 拥有成本较低。 　　(2) 检测HIDS漏掉的攻击。 　　(3) 可以检查有效负载的内容。 　　(4) 攻击者不易转移证据。 　　(5) 实时检测和响应。 　　(6) 检测未成功的攻击和不良意图。 　　(7) 操作系统无关性。 　　3．分布式的入侵检测系统　　分布式的入侵检测系统一般为分布式结构，由多个部件组成，在关键主机上采用主机入侵检测，在网络关键节点上采用网络入侵检测，同时分析来自主机系统的审计日志和来自网络的数据流，判断被保护的系统是否受到攻击。 7.1.3 入侵检测过程　　(1) 信息收集。 　　(2) 信息分析。 　　(3) 结果处理。 7.1.4 常见的入侵检测方法　　(1) 模式匹配法： 　　(2) 专家系统法： 　　(3) 基于状态转移分析的检测法： 　　1．人工神经网络　　人工神经网络(Artificial Neural Networks，ANNs)也称为神经网络(NNs)或连接模型(Connection Model)，它是一种模仿动物神经网络行为特征，进行分布式并行信息处理的算法数学模型。这种网络依靠系统的复杂程度，通过调整内部大量节点之间相互连接的关系，从而达到处理信息的目的。 　　2．支持向量机　　支持向量机(Support Vector Machine，SVM)是由Vapnik领导的ATTBell实验室研究小组在1995年提出的一种新的非常有潜力的分类技术。 　　3．决策树　　决策树算法是从机器学习领域逐渐发展起来的一种分类函数逼近方法，常用来分析数据或做预测，是一种常见的数据挖掘算法。 　　决策树分类方法包括两个步骤：　　(1) 学习(构建决策树)： 　　(2) 分类(使用决策树)： 　　下面对各种实用的决策树算法进行介绍。　　1) ?ID3算法　　在20世纪70年代后期和80年代初期，机器学习研究者Quinlan开发了决策树算法ID3，这项工作扩展了Hunt、Marin和Stone的概念学习系统(CLS，concept learning system)，是最有影响的决策树方法，它是基于信息熵的一种归纳的学习方法，采用贪婪算法构造决策树。Quinlan在ID3算法中首次将信息论中的熵概念引入到决策树的构造中来，提出“信息增益”的概念来选择需要检验的属性，因此被看做是CLS算法的极大发展，大大地简化了构造后产生的决策树的规模。 　　2) ?C4.5算法　　ID3算法用到的信息增益标准在进行决策树构造时会产生偏差，因为信息增益偏向于多值属性。针对这种缺点，Quinlan提出了C4.5算法，该算法提出信息增益率概念。信息增益率在一定程度上克服了ID3算法的上述缺陷，并且可以有效地处理连续属性。 7.1.5 KDD CUP 99入侵检测数据集介绍　　1. ?TCP连接的基本特征　　(1) ?duration.?连接持续时间，以秒为单位，连续类型，范围是[0，58329]。 　　(2) ?protocol_type.?协议类型，离散类型，共有三种：TCP、UDP和I