第4章安全审计与入侵检测.pptVIP

模型推理的检测原理 检测时先将这些攻击脚本的子集看作系统正面临的攻击。 然后通过一个称为预测器的程序模块根据当前行为模式产生下一个需要验证的攻击脚本子集，并将它传给决策器。 决策器收到信息后，根据这些假设的攻击行为在审计记录中可能出现的方式，将它们翻译成与特定系统匹配的审计记录格式。然后在审计记录中寻找相应信息来确认或否认这些攻击 模型推理的特点 模型推理方法的优越性有：对不确定性的推理有合理的数学理论基础，同时决策器使得攻击脚本可以与审计记录的上下文无关。另外，这种检测方法也减少了需要处理的数据量。 但是创建入侵检测模型的工作量比别的方法要大，在系统实现时，决策器如何有效地翻译攻击脚本也是一个问题。 （3）状态转换分析 状态转换法将入侵过程看作一个行为序列，这个行为序列导致系统从初始状态转入被入侵状态。 分析时，首先针对每一种入侵方法确定系统的初始状态和被入侵状态，以及导致状态转换的转换条件。然后用状态转换图来表示每一个状态和特征事件，这些事件被集成于模型中，所以检测时不需要一个个地查找审计记录。 但是，状态转换是针对事件序列分析，所以不善于分析过分复杂的事件，而且不能检测与系统状态无关的入侵。 Petri网 Petri网用于入侵行为分析是一种类似于状态转换图分析的方法。利用Petri网的有利之处在于它能一般化、图形化地表达状态，并且简洁明了。 图4-8 Petri网分析一分钟4次登录失败 （4）特征分析 特征分析误用检测与专家系统误用检测一样，也需要搜集关于网络入侵行为的各种知识。 特征分析误用检测将入侵行为表示成一个事件序列或者转换成某种可以直接在网络数据包审计记录中找到的数据样板，而不进行规则转换，这样可以直接从审计数据中提取相应的数据与之匹配，因此不需要处理大量的数据，从而提高了运行效率。 （5）条件概率 条件概率误用检测方法将网络入侵方式看作一个事件序列，根据所观测到的各种网络事件的发生情况来推测入侵行为的发生。 条件概率误用检测方法应用贝叶斯定理对入侵进行推理检测，原理如下： 事件序列表示为ES，先验概率为P（Intrusion），后验概率为P（ES｜Intrusion），事件出现的概率为P（ES），则 P（Intrusion | ES）=P（ES | Intrusion）×P（Intrusion）/P（ES） 可以计算出 P（ES）＝（P（ES | Intrusion）-P（ES | Intrusson））×P（Intrusion）+P（ES | Intrusson） （6）键盘监控 键盘监控误用检测方法假设每种网络入侵行为都具有特定的击键序列模式，入侵检测系统监视各个用户的击键模式，并将该模式与已有的入侵击键模式相匹配，如果匹配成功就认为是网络入侵行为。 这种方法的不足之处是如果操作系统没有提供相应的支持，则缺少可靠的方法来捕获用户的击键行为，可能存在多种击键方式表示同一种攻击的情况，而且不能对击键进行语义分析，攻击者使用命令的各种别名就很容易欺骗这种技术。此外，因为这种技术仅分析击键行为，所以对于那些利用程序进行自动攻击的行为无法检测。 误用检测技术的优点 检测准确度高； 技术相对成熟； 便于进行系统防护； 可以按功能划分，缩小模式数据库所涉及的模式量大小，也就是说模式匹配具有很强的可分割性、独立性。 模式匹配具有很强的针对性，对已知的入侵方法检测效率很高。 误用检测技术的缺点 不能检测出新的入侵行为； 完全依赖于入侵特征的有效性； 通常不具备自学习能力，对新攻击的检测分析必须补充模式数据库，维护特征库的工作量巨大； 难以检测来自内部用户的攻击； 可测量性与性能都和模式数据库的大小、体系结构有关； 可扩展性差，没有通用的模式规格说明语言； 攻击行为转化为模式比较困难，并且不具备统一性。 3．异常检测技术和误用检测技术的比较 基于异常检测技术的入侵检测系统如果想检测到所有的网络入侵行为，必须掌握被保护系统已知行为和预期行为的所有信息。 基于误用检测技术的入侵检测系统只有拥有所有可能的入侵行为的先验知识，而且必须能识别各种入侵行为的过程细节或者每种入侵行为的特征模式，才能检测到所有的入侵行为，该类入侵检测系统只能检测出已有的入侵模式，必须不断地对新出现的入侵行为进行总结和归纳。 3．异常检测技术和误用检测技术的比较（续） 基于异常检测技术的入侵检测系统通常比基于误用检测技术的入侵检测系统所做的工作要少很多，要求管理员能够总结出被保护系统的所有正常行为状态，对系统的已知和期望行为进行全面的分析，因此配置难度相对较大。 有些基于误用检测技术的入侵检测系统允许管理员对入侵特征数据库进行修改，