入侵检测技术（第2版）（薛静锋 祝烈煌）PPT全套完整教学课件.pptVIP

基于存储的入侵检测技术*数据预处理和规约未处理的存储操作数据存在以下问题：（1）某些正常和异常数据具有相同的取值特征，对于区分攻击类型起不到直接的作用；（2）某些数据属性的表达方式不适合直接输入算法进行处理；（3）对比网络数据和存储数据发现：网络数据产生于ISO模型的网络层或传输层，可靠性较高；而存储层次的数据质量相对较低，冗余操作、低信息量和错误数据充斥在正常操作的数据集里。基于存储的入侵检测技术*基于数据挖掘的攻击模式自动生成入侵数据会随着用户应用的变化而变化，而误用检测是基于预先定义好的模式。这就意味着它不可能根据应用数据的变化而自适应地修改攻击检测模式。对于现有的攻击手段的简单变种，误用检测就显得无能为力了，更不用说对于新的攻击技术了。攻击检测模型的更新需要依靠安全专家手工完成，而面对日益增加的大量网络数据流，仅仅依靠安全专家用肉眼去发现所有的攻击模式是不现实的。不能及时更新模式库，势必导致入侵检测的误报率明显增加，因此，需要有自动化的工具来发现攻击模式。基于存储的入侵检测技术*判定树分类方法基于存储的入侵检测技术*判定树转化为计算机可理解的形式基于存储的入侵检测技术*判定树分类模型的扩展基于存储的入侵检测技术*判定树分类生成算法Step1生成只包含根结点的判定树。Step2找到叶结点的候选集合，实际上是计算出攻击发生的必要条件集合。Step3生成判定树的与结点集合AndSetk，以及或结点集合OrSetk。Step4生成判定树的时序结点集合SeqSetk。Step5将得到的AndSetk、OrSetk和SeqSetk的元素添加到判定树Attack_typek中。多棵树可以组成判定树的集合DecisionTree_set={DecisionTreek|k=(1,2,...,n),n∈N}。基于存储的入侵检测技术*存储级异常检测方法迄今为止，提出的异常检测方法有概率统计分析方法、数据挖掘方法、神经网络方法、模糊数学理论、人工免疫方法、支持向量机方法等。本节重点研究主机系统中正常进程的存储操作行为模式，提出基于D-S证据理论的存储级异常检测方法。D-S证据理论可以看作是有限域上对经典概率推理理论的一般化扩展，其主要特性是支持描述不同等级的精确度和直接引入了对未知不确定性的描述，这些特性在处理某些特征的差异不足以区分正常或攻击的情况时有着较大优势。基于存储的入侵检测技术*D-S证据理论D-S证据理论由Dempster于1967年提出，其学生Shafer将其发展并整理成一套完整的数学推理理论。D-S证据理论可以看作是有限域上对经典概率推理理论的一般化扩展，从而支持描述不同等级的精确度，并直接引入了对未知不确定性的描述。D-S证据理论可以支持概率推理、诊断、风险分析以及决策支持等，并在多传感器网络、医疗诊断等应用领域内得到了具体应用。D-S证据理论的主要特点是：满足比贝叶斯概率理论更弱的条件；具有直接表达“不确定”和“不知道”的能力。基于存储的入侵检测技术*基于D-S证据理论的异常检测模型……数据流特征n数据流特征1数据流特征2存储操作数据流特征量化D-S融合机判定结果基于网络的入侵检测技术*局域网和网络设备的工作原理HUB工作原理网卡工作原理局域网工作过程基于网络的入侵检测技术*SnifferSniffer是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种工具。Sniffer要捕获的东西必须是物理信号能收到的报文信息。所以，只要通知网卡接收其收到的所有包（该模式叫作混杂promiscuous模式：指网络上的设备都对总线上传送的所有数据进行侦听，并不仅仅是针对它们自己的数据。），在共享HUB下就能接收到这个网段的所有数据包，但是在交换HUB下就只能接收自己的包和广播包。Sniffer的正当用处主要是分析网络的流量,以便找出所关心的网络中潜在的问题。Sniffer作用在网络基础结构的底层。通常情况下，用户并不直接和该层打交道，有些甚至不知道有这一层存在。基于网络的入侵检测技术*共享和交换网络环境下的数据捕获要想捕获流经网卡的但不属于自己主机的所有数据流，就必须绕开系统正常工作的处理机制，直接访问网络底层。首先需要将网卡的工作模式设置为混杂模式，使之可以接收目标地址不是自己的MAC地址的数据包，然后直接访问数据链路层，获取数据并由应用程序进行过滤处理。在UNIX系统中可以用Libpcap包捕获函数库直接与内核驱动交互操作，实现对网络数据包的捕获。在Win32平台上可以使用Winpcap，通过VxD虚