入侵检测技术总结.pdfVIP

入侵 是对信息系统的非授权访问以及（或者）未经许可在信息系统中进行的操作。 入侵检测 (Intrusion Detection) 是对企图入侵、正在进行的入侵或者已经发生的入侵进行识别的过程。 审计数据的获取 是主机入侵检测技术的重要基石，是进行主机入侵检测的信息来源。 网络数据包的截获 是基于网络的入侵检测技术的工作基石。 根据网络类型的不同， 网络数据截获可以通过两种方法实现： 一种是利用以太网络的广播特性， 另一种是通过设 置路由器的监听端口或者是镜像端口来实现。 主机入侵检测所要进行的主要工作就是审计数据的预处理工作， 包括映射、 过滤和格式转换等操作。 预处理工作 的必要性体现在一下几个方面： ①不同目标系统环境的审计记录格式不相同， 对其进行格式转换的预处理操作形 成标准记录格式后， 将有利于系统在不同目标平台系统之间的移植； 同时， 有利于形成单一格式的标准审计记录 流，便于后继的处理模块进行检测工作 ②对于审计系统而言，系统中所发生的所有可审计活动都会生成对应的 审计记录， 因此对某个时间段而言， 审计记录的生成速度是非常快的， 而其中往往大量充斥着对于入侵检测而言 无用的事件记录。所以，需要对审计记录流进行必要的映射和过滤等操作。 构建状态转移图的过程大致分为如下步骤： ①分析具体的攻击行为，理解内在机理 ②确定攻击过程中的关键行为点 ③确定初始状态和最终状态 ④从最终状态出发，逐步确定所需的各个中间状态及其应该满足的状态断言组 文件完整性检查 的目的是检查主机系统中文件系统的完整性， 及时发现潜在的针对文件系统的无意或者恶意的更 改。 检测引擎的设计 是基于网络入侵检测的核心问题。 检测引擎可分为两大类： 嵌入式规则检测引擎和可编程的检测 引擎。 类型 优点 缺点 ·在小规则集合情况下，工作速度快 ·检测规则易于编写、便于理解并且容 ·随着规则集合规模的扩大，检查速 易进行定制 度迅速下降 ·对新出现的攻击手段，具备快速升级 ·各种变种的攻击行为，易于造成过 特征 分析 支持能力 度膨胀的规则集合 ·对低层的简单脚本攻击行为，具备良 ·较易产生虚警信息 好的检测性能 ·仅能检测到已知的攻击类型，前提 ·对所发生的攻击行为类型，具备 是该种攻击类型的检测特征已知 确定性的解释能力 ·在小规则集合情况下，初始的检测 速度相对较慢 ·具备良好的性能可扩展性，特别是在 ·检测规则比较复杂，难以编写和理 规则集合规模较大的情况下 解并且通常是由特定厂商实现 协议 分析 ·能够发现最新的未知安全漏洞 ·协议复杂性的扩展以及实际实现的 （Zero-Day Exploits ） 多样性，容易导致规则扩展的困难 ·较少出现虚警信息 ·对发现的攻击行为类型，缺乏明确 的解释信息 DIDS(Distribution Intrusion Detection System) 分布式入侵检测