11第十二讲入检测技术.pptVIP

* 异常检测方法 ? 统计异常检测 ? 基于特征选择异常检测 ? 基于贝叶斯推理异常检测 ? 基于贝叶斯网络异常检测 ? 基于神经网络异常检测 ? 基于贝叶斯聚类异常检测 ? 基于机器学习异常检测 ? 基于数据挖掘异常检测 二、入侵检测系统的设计原理 入侵检测系统的入侵检测方法 误用检测方法 基于专家系统误用检测 基于特征分析误用检测 基于模型推理误用检测 基于条件概率误用检测 基于状态迁移误用检测 基于键盘监控误用检测 * 二、入侵检测系统的设计原理 专家系统误用检测 专家系统误用检测方法首先将安全专家的关于网络入侵行为的知识表示成一些类似 If-Then的规则，并以这些规则为基础建立专家知识库。规则中的If部分说明形成网络入侵的必需条件，Then部分说明发现入侵后要实施的操作。 入侵检测系统将网络行为的审计数据事件进行转换，成为包含入侵警告程度的判断事实，然后通过推理引擎进行入侵检测，当If中的条件全部满足或者在一定程度上满足时，Then中的动作就会被执行。 二、入侵检测系统的设计原理 专家系统误用检测需要处理大量的审计数据并且依赖于审计追踪的次序，在目前的条件下处理速度难以保证。 同时，对于各种网络攻击行为知识进行规则化描述的精度有待提高，审计数据有时不能提供足够的检测所需的信息。 专家系统只能检测出以往发现过的入侵行为，要检测出新的入侵，必须及时添加新的规则，维护知识库的工作量很大。 二、入侵检测系统的设计原理 特征分析误用检测 在商业化产品的入侵检测系统中，特征分析技术的运用较多。 特征分析误用检测与专家系统误用检测一样，也需要搜集关于网络入侵行为的各种知识。 专家系统误用检测由于运行效率的问题，还没有得到普遍的采用， 而特征分析更直接地使用各种入侵知识。 特征分析误用检测将入侵行为表示成一个事件序列或者转换成某种可以直接在网络数据包审计记录中找到的数据样板，而不进行规则转换，这样可以直接从审计数据中提取相应的数据与之匹配，因此不需要处理大量的数据，从而提高了运行效率。 二、入侵检测系统的设计原理 基于条件概率误用入侵检测方法 条件概率误用检测方法将网络入侵方式看作一个事件序列，根据所观测到的各种网络事件的发生情况来推测入侵行为的发生。 二、入侵检测系统的设计原理 * 其他方法 基于生物免疫的入侵检测 基于生理免疫系统和计算机系统保护机制之间显著的相似性，New Mexico大学的学者Steven Andrew Hofmeyr提出了对计算机安全的全新看法，即自免疫系统。这种系统具备执行“自我/非自我”决定的能力， 二、入侵检测系统的设计原理 * 基于伪装的入侵检测 基于伪装的入侵检测通过构造一些虚假的信息提供给入侵者，如果入侵者使用这些信息攻击系统，那么就可以推断系统正在遭受入侵，并且还可以诱惑入侵者，进一步跟踪入侵的来源 检测到入侵后，把攻击者引导到经过特殊装备的诱骗服务器上，这些服务器可以模拟关键系统的文件系统和其它系统特征，引诱攻击者进入，记录下攻击者的行为，从而获得关于攻击者的详细信息。 诱骗服务器： 蜜罐（ Honey Pot）和沙箱, Manhunt, Mantrap 二、入侵检测系统的设计原理 协议分析加命令解析技术是一种新的入侵检测技术，它结合高速数据包捕捉、协议分析和命令解析来进行入侵检测，给入侵检测战场带来了许多决定性的优势 由于有了协议分析加命令解析的高效技术，基于运行在单个Intel架构计算机上的入侵检测系统的千兆网络警戒系统，就能分析一个高负载的千兆以太网上同时存在的超过300万个连接，而不错漏一个包 协议分析 ＋ 命令解析 二、入侵检测系统的设计原理 协议分析充分利用了网络协议的高度有序性，使用这些知识快速检测某个攻击特征的存在 协议分析 因为系统在每一层上都沿着协议栈向上解码，因此可以使用所有当前已知的协议信息，来排除所有不属于这一个协议结构的攻击。 二、入侵检测系统的设计原理 解析器是一个命令解释程序，入侵检测引擎包括了多种不同的命令语法解析器，因此，它能对不同的高层协议——如Telnet、FTP、HTTP、SMTP、SNMP、DNS等的用户命令进行详细的分析。 命令解析器具有读取攻击串及其所有可能的变形，并发掘其本质含义的能力。这样，在攻击特征库中只需要一个特征，就能检测这一攻击所有可能的变形。 解析器在发掘出命令的真实含义后将给恶意命令做好标记，主机将会在这些包到达操作系统、应用程序之前丢弃它们。 命令解析 二、入侵检测系统的设计原理 IDS属于检测的环节，一旦检测到入侵或者攻击，必须尽快地做出响应，以保证信息系统的安全 IDS的响应机制： 弹出窗口报警 E-mail通知 切断TCP连接