信息安全05_入侵检测技术.pptx

第5章 入侵检测技术;入侵检测技术研究最早可追溯到1980年James P.Aderson所写的一份技术报告，他首先提出了入侵检测的概念。 1987年Dorothy Denning提出了入侵检测系统（IDS，Intrusion Detection System）的抽象模型（如图5-1所示），首次提出了入侵检测可作为一种计算机系统安全防御措施的概念 与传统的加密和访问控制技术相比，IDS是全新的计算机安全措施。;返回本章首页;1988年Teresa Lunt等人进一步改进了Denning提出的入侵检测模型，并创建了IDES（Intrusion Detection Expert System） 该系统用于检测单一主机的入侵尝试，提出了与系统平台无关的实时检测思想 1995年开发的NIDES（Next-Generation Intrusion Detection Expert System）作为IDES完善后的版本可以检测出多个主机上的入侵。;1990年，Heberlein等人提出了一个具有里程碑意义的新型概念：基于网络的入侵检测——网络安全监视器NSM（Network Security Monitor）。 1991年,NADIR（Network Anomaly Detection and Intrusion Reporter）与DIDS（Distribute Intrusion Detection System）提出了通过收集和合并处理来自多个主机的审计信息可以检测出一系列针对主机的协同攻击。;1994年，Mark Crosbie和Gene Spafford建议使用自治代理（autonomous agents）以提高IDS的可伸缩性、可维护性、效率和容错性，该理念非常符合计算机科学其他领域（如软件代理，software agent）正在进行的相关研究。 另一个致力于解决当代绝大多数入侵检测系统伸缩性不足的方法于1996年提出，这就是GrIDS（Graph-based Intrusion Detection System）的设计和实现，该系统可以方便地检测大规模自动或协同方式的网络攻击。;入侵检测技术研究的主要创新有： Forrest等将免疫学原理运用于分布式入侵检测领域； 1998年Ross Anderson和Abida Khattak将信息检索技术引进入侵检测； 以及采用状态转换分析、数据挖掘和遗传算法等进行误用和异常检测。;5.1.1 入侵检测原理 ;图5-2 入侵检测原理框图 ;入侵检测系统 执行入侵检测任务的硬件或软件产品 入侵检测提供了用于发现入侵攻击与合法用户滥用特权的一种方法。 其应用前提是入侵行为和合法行为是可区分的，也即可以通过提取行为的模式特征来判断该行为的性质。 一般地，入侵检???系统需要解决两个问题： 如何充分并可靠地提取描述行为特征的数据； 如何根据特征数据，高效并准确地判定行为的性质。;5.1.2 系统结构;;入侵检测的思想源于传统的系统审计，但拓宽了传统审计的概念，它以近乎不间断的方式进行安全检测，从而可形成一个连续的检测过程。 这通常是通过执行下列任务来实现的： 监视、分析用户及系统活动； 系统构造和弱点的审计； 识别分析知名攻击的行为特征并告警； 异常行为特征的统计分析； 评估重要系统和数据文件的完整性； 操作系统的审计跟踪管理，并识别用户违反安全策略的行为。;5.1.3 系统分类;5.1.3 系统分类;2．基于检测理论的分类 从具体的检测理论上来说，入侵检测又可分为异常检测和误用检测。 异常检测（Anomaly Detection）指根据使用者的行为或资源使用状况的正常程度来判断是否入侵，而不依赖于具体行为是否出现来检测。 误用检测（Misuse Detection）指运用已知攻击方法，根据已定义好的入侵模式，通过判断这些入侵模式是否出现来检测。 ;3．基于检测时效的分类 IDS在处理数据的时候可以采用实时在线检测方式，也可以采用批处理方式，定时对处理原始数据进行离线检测，这两种方法各有特点（如图5-5所示）。 离线检测方式将一段时间内的数据存储起来，然后定时发给数据处理单元进行分析，如果在这段时间内有攻击发生就报警。 在线检测方式的实时处理是大多数IDS所采用的办法，由于计算机硬件速度的提高，使得对攻击的实时检测和响应成为可能。;返回本章首页;5.2 入侵检测的技术实现 ;5.2.1 入侵检测分析模型 ;5.2.2 误用检测（Misuse Detection） ;2．产生式/专家系统 用专家系统对入侵进行检测，主要是检测基于特征的入侵行为。 专家系统的建立依赖于知识库的完备性，而知识库的完备性又取决于审计记录的完备性与