计算机网络信息安全第11章.pptVIP

第11章　入侵检测技术的原理与应用 ;11.1 入侵检测概述 ;11.1.2 入侵检测系统模型 　　最早的入侵检测模型是由Denning给出的，该模型主要根据主机系统审计记录数据，生成有关系统的假设干轮廓，并监测轮廓的变化差异，发现系统的入侵行为，如图11-1所示。 ;图11-1 入侵检测模型 ;　　现在，入侵行为的种类在不断增多，许多攻击都是经过长时期准备的。面对这种情况，入侵检测系统的不同功能组件之间、不同IDS之间共享这类攻击信息是十分重要的。于是，一种通用的入侵检测框架模型(简称CIDF)就被提出来了。该模型认为入侵检测系统由事件产生器(event generators)、事件分析器(event analyzers)、响应单元(response units)和事件数据库(event databases)组成，如图11-2所示。CIDF将入侵检测系统需要分析的数据统称为事件，它可以是网络中的数据包，也可以是从系统日志等其他途径得到的信息。事件产生器从整个计算环境中获得事件，并向系统的其他局部提供事件。 ;　　事件分析器分析所得到的数据，并产生分析结果。响应单元对分析结果做出反响，如切断网络连接，改变文件属性，简单报警等。事件数据库存放各种中间和最终数据，数据存放的形式既可以是复杂的数据库，也可以是简单的文本文件。CIDF模型具有很强的扩展性，目前已经得到广泛认同。 ;图11-2 CIDF各组件之间的关系图 ;11.1.3 入侵检测作用 　　入侵检测系统在网络平安保障过程中扮演类似“预警机〞或“平安巡逻人员〞的角色，入侵检测系统的直接目的不是阻止入侵事件的发生，而是通过检测技术来发现系统中企图或违背平安策略的行为，其作用表现为以下几个方面： 　　* 发现受保护系统中的入侵行为或异常行为。 　　* 检验平安保护措施的有效性。 　　* 分析受保护系统所面临的威胁。 　　* 有利于阻止平安事件扩大，及时报警触发网络平安应急响应。 　　* 可以为网络平安策略的制定提供重要指导。 　　* 报警信息可用作网络犯罪取证。 ;11.2 入侵检测技术 ;图11-3 基于攻击模式匹配的原理图 ;　　显然，误用入侵检测依赖于攻击模式库，因此，这种采用误用入侵检测技术的IDS产品的检测能力就取决于攻击模??库的大小以及攻击方法的覆盖面。如果攻击模式库太小，那么IDS的有效性就大打折扣。而如果攻击模式库过大，那么IDS的性能会受到影响。 　　基于上述分析，误用入侵检测的前提条件是，入侵行为能够按某种方式进行特征编码，而入侵检测的过程实际上就是模式匹配的过程。根据入侵特征描述的方式或构造技术，误用检测方法可以进一步细分。下面介绍几种常见的误用检测方法。 ;　　1．基于条件概率的误用检测方法 　　基于条件概率的误用检测方法是指将入侵方式对应一个事件序列，然后观测事件发生序列，应用贝叶斯定理进行推理，推测入侵行为。令ES表示事件序列，先验概率为P(Intrusion)，后验概率为P(ES | Intrusion)，事件出现概率为P(ES)，那么： ;　　通常，网络平安员可以给出先验概率P(Intrusion)，对入侵报告的数据统计处理可得出P(ES | ?Intrusion)和P(ES | Intrusion)，于是可以计算出： 　　因此，可以通过事件序列的观测推算出P(Intrusion|ES)。基于条件概率的误用检测方法是基于概率论的一种通用方法。它是对贝叶斯方法的改进，其缺点是先验概率难以给出，而且事件的独立性难以满足。 ;　　2．基于状态迁移的误用检测方法 　　状态迁移方法利用状态图表示攻击特征，不同状态刻画了系统某一时刻的特征。初始状态对应于入侵开始前的系统状态，危害状态对应于已成功入侵时刻的系统状态。初始状态与危害状态之间的迁移可能有一个或多个中间状态。攻击者的操作将导致状态发生迁移，使系统从初始状态迁移到危害状态。基于状态迁移的误用检测方法通过检查系统的状态变化来发现系统中的入侵行为。采用该方法的IDS有STAT(State Transition Analysis Technique)和USTAT(State Transition Analysis Tool for UNIX)。 ;　　3．基于键盘监控的误用检测方法 　　基于键盘监控的误用检测方法是先假设入侵行为对应特定的击键序列模式，然后监测用户击键模式，并将这一模式与入侵模式匹配，从而发现入侵行为。这种方法的缺点是，在没有操作系统支持的情况下，缺少捕获用户击键的可靠方法。此外，也可能存在多种击键方式表示同一种攻击。而且，如果没有击键语义分析，用户假设提供别名(例如Korn shell)那么很容易欺骗这种检测技术。最后，该方法也不能够检测恶意程序的自动攻击。 ;　　4．基于