第十一章网络与信息安全入 侵_检 测系统.ppt

第11章 入侵检测系统 * 第11章 入侵检测技术 11.1入侵检测技术概述 1.入侵检测的概念 通过从计算机网络和系统的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为或遭到入侵的迹象，并依据既定的策略采取一定的措施。 三部分内容： 信息收集； 信息分析； 响应。 是主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、攻击识别和响应），提高了信息安全基础结构的完整性。 * 2.入侵检测系统的基本结构 IETF（Internet工程任务组）将一个入侵检测系统分为四个组件： 事件产生器（Event generators） 事件分析器（Event analyzers） 响应单元（Response units ） 事件数据库（Event databases ） * 事件产生器:从整个计算环境中捕获事件信息，并向系统的其他组成部分提供该事件数据。 事件分析器:分析得到的事件数据，并产生分析结果。 响应单元:对分析结果做出反应的功能单元，它可以做出切断连接、改变文件属性等有效反应，当然也可以只是报警。 事件数据库:存放各种中间和最终数据的地方的统称，用于指导事件的分析及反应，它可以是复杂的数据库，也可以是简单的文本文件。 * 3.系统模型 模型由6个主要部分组成： * 主体：启动在目标系统上活动的实体，如用户，也可能是攻击者； 对象：系统资源，如系统中存储的文件、敏感数据、重要设备等； 审计记录：由〈对象、动作、异常条件、资源使用状况、时间戳〉构成的6元组。 活动简档：用于保存主体正常活动的信息，具体实现依赖于检测方法，在统计方法中可以从事件数量、频度、资源消耗等方面度量，通过使用方差、马尔可夫模型等统计方法实现。 异常记录：由〈事件、时间戳、活动简档〉组成，用于表示异常事件的发生情况 规则集处理引擎：主要检查入侵是否发生，并结合活动简档，用专家系统或统计方法等分析接收到的审计记录，调整内部规则或统计信息，在判断有入侵发生时采用相应的措施。 * 11.2入侵检测系统的分析方式 1.技术分类 入侵检测系统按采用的技术可分为特征检测与异常检测两种。 (1)特征检测 特征检测(Signature-based detection)又称Misuse detection，这一检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来，但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。 * (2)异常检测 异常检测(Anomaly detection)的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统计规律时，认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。 * 2.常用检测方法 入侵检测系统常用的检测方法有特征检测、统计检测与专家系统。 (1)特征检测 特征检测对已知的攻击或入侵的方式做出确定性的描述，形成相应的事件模式。当被审计的事件与已知的入侵事件模式相匹配时，即报警。原理上与专家系统相仿。其检测方法上与计算机病毒的检测方式类似。目前基于对包特征描述的模式匹配应用较为广泛。 该方法预报检测的准确率较高，但对于无经验知识的入侵与攻击行为无能为力。 (2)统计检测 统计模型常用异常检测，在统计模型中常用的测量参数包括：审计事件的数量、间隔时间、资源消耗情况等。 * 常用的入侵检测5种统计模型： ?● 操作模型，该模型假设异常可通过测量结果与一些固定指标相比较得到，固定指标可以根据经验值或一段时间内的统计平均得到； ● 方差，计算参数的方差，设定其置信区间，当测量值超过置信区间的范围时表明有可能是异常； ● 多元模型，操作模型的扩展，通过同时分析多个参数实现检测； ● 马尔柯夫过程模型，将每种类型的事件定义为系统状态，用状态转移矩阵来表示状态的变化，当一个事件发生时，或状态矩阵该转移的概率较小则可能是异常事件； ● 时间序列分析，将事件计数与资源耗用根据时间排成序列，如果一个新事件在该时间发生的概率较低，则该事件可能是入侵。 * 统计方法的最大优点是它可以“学习”用户的使用习惯，从而具有较高检出率与可用性。但是它的“学习”能力也给入侵者以机会通过逐步“训练”使入侵事件符合正常操作的统计规律，从而透过入侵检测系统。 * (3)专家系统 用专家系统对入侵进行检测，经常是针对有特征入侵行为。所谓的规则，即是知识，不