第8章入侵检测技术.pptxVIP

1;第9章入侵检测技术;9.1入侵检测概述;9.1.1概念;9.1.2.IDS的任务和作用;1、信息收集

(1)系统和网络日志文件

记录用户行为：重复登录失败、登录到不期望的位置以及非授权的用户企图访问重要文件等。

(2)目录和文件中的不期望的改变

包括修改、创建和删除，特别是那些正常情况下限制访问的，很可能就是入侵发生的指示和信号

(3)程序执行中的不期望行为

如越权访问、非法读写等

(4)物理形式的入侵信息

一是未授权的对网络硬件的连接；二是对物理资源的未授权访问。

;2、信号分析

(1)模式匹配

将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。

(2)统计分析

首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生。

(3)完整性分析

关注某个文件或对象是否被更改，包括文件和目录的内容及属性的变化;模式匹配方法

也称为误用检测。该过程可以很简单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化）。一种进攻模式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表示。

优点：是只需收集相关的数据集合，显著减少系统负担，且技术成熟。

弱点：是需要不断的升级模式库以对付不断出现的黑客攻击手法，不能检测到从未出现过的黑客攻击手段。

;统计分析方法

建立系统对象（如用户、文件、目录和设备等）的正常行为统计模型(如访问次数、操作失败次数和延时等）,网络、系统的行为与正常模型进行比较来检测入侵。

也称为异常检测。例如，统计分析时发现一个在晚八点至早六点从不登录的账户却在凌晨两点突然试图登录，系统认为该行为是异常行为。

优点：可检测到未知的入侵和更为复杂的入侵，缺点是误报、漏报率高，且不适应用户正常行为的突然改变。

具体的统计分析方法有：基于专家系统的、基于模??推理的和基于神经网络的分析方法。

;完整性分析方法：

完整性分析主要关注某个文件或对象是否被更改，包括文件和目录的内容及属性的变化。完整性分析在发现被更改的、被特洛伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制（如：消息摘要函数），能识别哪怕是微小的变化。

优点:不管模式匹配方法和统计分析方法能否发现入侵，只要是成功的攻击导致了文件或其它对象的任何改变，它都能够发现。

缺点:是一般以批处理方式实现，不用于实时响应。尽管如此，完整性检测方法还是网络安全产品的重要组成部分。可以在每一天的某个特定时间内开启完整性分析模块，对网络系统进行全面地扫描检查。

;;9.2入侵检测系统;9.2.1入侵检测系统的分类;2．按照入侵检测系统采用的检测方法来分类

（1）基于规则的入侵检测：系统需要动态建立和维护一个规则库，利用规则对发生的事件进行判断。基于规则的方法对于已知的攻击或入侵有很高的检测率，但是难以发现未知攻击。规则例如：

alerttcp192.168.32.202/32any-192.168.32.1/32443(logto:“task1”;msg:“testrule;sid:1000001)

（2）基于行为的入侵检测。基于行为的检测也称为异常检测，是指根据使用者的行为或资源使用状况来判断是否入侵。使用系统或用户的活动画像（profile）来检测入侵活动。系统要根据每个用户以前的历史行为，生成每个用户的历史行为记录库，当用户改变他们的行为习惯时，这种异常就会被检测出来。这种方法可以检测未知的攻击，但也容易产生误警。;（3）基于神经网络的入侵检测。通过已知数据训练神经网络分类器，然后以待分类的数据作为神经网络的输入，通过隐层的计算，最终输出层的结果即为分类结果。优势是能够处理大规模、高维度的数据，缺点是所构建的神经网络隐层拓扑以及输出结果等，通常难以控制和解释。

（4）基于数据挖掘的入侵检测。采用数据挖掘方法从数据中发现知识，区分数据中的正常与异常。数据挖掘中的分类和聚类分析通常用于攻击的识别，而关联规则分析等技术适用于多阶段网络攻击或复杂网络攻击的研究。

（5）基于免疫学的入侵检测。利用生物体的免疫机理进行入侵行为的分析，区分自我和非我，并消除异常模式，建立系统正常行为的特征库。定义属于“自我”的体系结构、管理策略与使用模式等，监视系统的行为，识别“非我”的行为。

;3．按照入侵检测的时间的分类

（1）实时入侵检测系统。检测在网络连接过程中进行，系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断，一旦