第五章入侵检测.pptVIP

两类IDS监测软件 第二十九页，共七十九页，2022年，8月28日 入侵检测的分类 按照体系结构 集中式：有多个分布于不同主机上的审计程序，但只有一个中央入侵检测服务器。审计程序把当地收集到的数据踪迹发送给中央服务器进行分析处理。（可伸缩性、可配置性差） 分布式：将中央检测服务器的任务分配给多个HIDS，它们不分等级，负责监控当地主机的可疑活动。（可伸缩性、安全性高；但维护成本高，监控主机的工作负荷重） 第三十页，共七十九页，2022年，8月28日 入侵检测的分类 按照工作方式 离线检测：非实时工作，在行为发生后，对产生的数据进行分析。（成本低，可分析大量事件、分析长期情况；但无法提供及时保护） 在线检测：实时工作，在数据产生的同时或者发生改变时进行分析（反应迅速、及时保护系统；但系统规模较大时，实时性难以得到实际保证） 第三十一页，共七十九页，2022年，8月28日 基本术语 Alert（警报） Signatures（特征） Promiscuous（混杂模式） 第三十二页，共七十九页，2022年，8月28日 Alert（警报） 当一个入侵正在发生或者试图发生时，IDS将发布一个alert信息通知系统管理员 如果控制台与IDS同在一台机器，alert信息将显示在监视器上，也可能伴随有声音提示 如果是远程控制台，那么alert将通过IDS的内置方法（通常是加密的）、SNMP（简单网络管理协议，通常不加密）、email、SMS（短信息）或者以上几种方法的混合方式传递给管理员 第三十三页，共七十九页，2022年，8月28日 Signatures（特征） 攻击特征是IDS的核心，它使IDS在事件发生时触发 特征信息过短会经常触发IDS，导致误报或错报；过长则会影响IDS的工作速度 有人将IDS所支持的特征数视为IDS好坏的标准，但是有的厂商用一个特征涵盖许多攻击，而有些厂商则会将这些特征单独列出，这就会给人一种印象：好像它包含了更多的特征，是更好的IDS 第三十四页，共七十九页，2022年，8月28日 Promiscuous（混杂模式） 默认状态下，IDS网络接口只能“看到”进出主机的信息，也就是所谓的non-promiscuous（非混杂模式） 如果网络接口是混杂模式，就可以“看到”网段中所有的网络通信量，不管其来源或目的地 这对于网络IDS是必要的 第三十五页，共七十九页，2022年，8月28日 入侵检测技术 误/滥用检测技术 高级检测技术 异常检测技术 入侵诱骗技术 入侵响应技术 第三十六页，共七十九页，2022年，8月28日 异常检测技术 概率统计异常检测 特征选择异常检测 贝叶斯推理异常检测 贝叶斯网络异常检测 模式预测异常检测 神经网络异常检测 机器学习异常检测 数据挖掘异常检测 第三十七页，共七十九页，2022年，8月28日 概率统计异常检测方法 是异常检测技术中应用最早也是最多的一种方法 根据异常检测器观察主体的活动，然后产生刻划这些活动的行为轮廓（用户特征表） 每一个轮廓保存记录主体当前行为，并定时将当前轮廓与历史轮廓合并形成统计轮廓（更新），通过比较当前轮廓与统计轮廓来判定异常行为 用于描述特征的变量类型及具体操作 第三十八页，共七十九页，2022年，8月28日 概率统计异常检测方法 优点：可应用成熟的概率统计理论 缺点： 由于用户行为的复杂性，要想准确地匹配一个用户的历史行为非常困难，容易造成系统误报和漏报 定义入侵阈值比较困难，阈值高则误报率提高，阈值低则漏报率增高 第三十九页，共七十九页，2022年，8月28日 基于神经网络异常检测方法 基本思想：用一系列信息单元（命令）训练神经元 神经网络的输入层是用户当前输入的命令和已执行过的W个命令；用户执行过的命令被神经网络使用来预测用户输入的下一个命令 若神经网络被训练成预测用户输入命令序列集合，则神经网络就构成用户的轮廓框架，于是网络对下一事件的预测错误率在一定程度上反映了用户行为的异常程度 第四十页，共七十九页，2022年，8月28日 基于神经网络异常检测方法 优点： 更好地表达了变量间的非线性关系，能更好地处理原始数据的随机特征，即不需要对这些数据做任何统计假设，并且能自动学习和更新 有较好的抗干扰能力 缺点：网络拓扑结构以及各元素的权重很难确定 第四十一页，共七十九页，2022年，8月28日 误/滥用检测技术 主要假设：具有能够被精确地按某种方式编码的攻击，并可以通过捕获攻击及重新整理，确认入侵活动是基于同一弱点进行攻击的入侵方法的变种 误用入侵检测：指通过按预先定义好的入侵模式以及观察到入侵发生情况进行模式匹配来检测 入侵模式说明了那些导致安全突破或其它误用的事件中的特征、条件、排列和关系。一个不完整的模式可能表明存在多种构造方式的入