计算机技术网络安全技术教程ch5入侵检测技术.ppt

;5.1入侵检测概述;返回本章首页;;1988年TeresaLunt等人进一步改进了Denning提出的入侵检测模型，并创立了IDES〔IntrusionDetectionExpertSystem〕，该系统用于检测单一主机的入侵尝试，提出了与系统平台无关的实时检测思想，1995年开发的NIDES〔Next-GenerationIntrusionDetectionExpertSystem〕作为IDES完善后的版本可以检测出多个主机上的入侵。;1990年，Heberlein等人提出了一个具有里程碑意义的新型概念：基于网络的入侵检测——网络平安监视器NSM〔NetworkSecurityMonitor〕。1991年,NADIR〔NetworkAnomalyDetectionandIntrusionReporter〕与DIDS〔DistributeIntrusionDetectionSystem〕提出了通过收集和合并处理来自多个主机的审计信息可以检测出一系列针对主机的协同攻击。;1994年，MarkCrosbie和GeneSpafford建议使用自治代理〔autonomousagents〕以提高IDS的可伸缩性、可维护性、效率和容错性，该理念非常符合计算机科学其他领域〔如软件代理，softwareagent〕正在进行的相关研究。另一个致力于解决当代绝大多数入侵检测系统伸缩性缺乏的方法于1996年提出，这就是GrIDS〔Graph-basedIntrusionDetectionSystem〕的设计和实现，该系统可以方便地检测大规模自动或协同方式的网络攻击。;;5.1.1入侵检测原理;图5-2入侵检测原理框图;入侵检测系统〔IntrusionDetectionSystem，IDS〕就是执行入侵检测任务的硬件或软件产品。IDS通过实时的分析，检查特定的攻击模式、系统配置、系统漏洞、存在缺陷的程序版本以及系统或用户的行为模式，监控与平安有关的活动。

一个根本的入侵检测系统需要解决两个问题：一是如何充分并可靠地提取描述行为特征的数据；二是如何根据特征数据，高效并准确地判定行为的性质。;5.1.2系统结构;图5-3入侵检测系统结构;入侵检测的思想源于传统的系统审计，但拓宽了传统审计的概念，它以近乎不间断的方式进行平安检测，从而可形成一个连续的检测过程。这通常是通过执行以下任务来实现的：

监视、分析用户及系统活动；

系统构造和弱点的审计；

识别分析知名攻击的行为特征并告警；

异常行为特征的统计分析；

评估重要系统和数据文件的完整性；

操作系统的审计跟踪管???，并识别用户违反平安策略的行为。;5.1.3系统分类;2．基于检测理论的分类

从具体的检测理论上来说，入侵检测又可分为异常检测和误用检测。

异常检测〔AnomalyDetection〕指根据使用者的行为或资源使用状况的正常程度来判断是否入侵，而不依赖于具体行为是否出现来检测。

误用检测〔MisuseDetection〕指运用攻击方法，根据已定义好的入侵模式，通过判断这些入侵模式是否出现来检测。;3．基于检测时效的分类

IDS在处理数据的时候可以采用实时在线检测方式，也可以采用批处理方式，定时对处理原始数据进行离线检测，这两种方法各有特点〔如图5-5所示〕。

离线检测方式将一段时间内的数据存储起来，然后定时发给数据处理单元进行分析，如果在这段时间内有攻击发生就报警。在线检测方式的实时处理是大多数IDS所采用的方法，由于计算机硬件速度的提高，使得对攻击的实时检测和响应成为可能。;返回本章首页;;5.2.1入侵检测分析模型;5.2.2误用检测〔MisuseDetection〕;2．产生式/专家系统

用专家系统对入侵进行检测，主要是检测基于特征的入侵行为。所谓规那么，即是知识，专家系统的建立依赖于知识库的完备性，而知识库的完备性又取决于审计记录的完备性与实时性。

产生式/专家系统是误用检测早期的方案之一，在MIDAS、IDES、NIDES、DIDS和CMDS中都使用了这种方法。;3．状态转换方法

状态转换方法使用系统状态和状态转换表达式来描述和检测入侵，采用最优模式匹配技巧来结构化误用检测，增强了检测的速度和灵活性。目前，主要有三种实现方法：状态转换分析、有色Petri-Net和语言/应用编程接口〔API〕。;;5．KeystrokeMonitor和基于模型的方法