1、入侵檢測技術 1 1 入侵檢測概述入侵檢測概述 2 2 入侵檢測的分類入侵檢測的分類 3 3 入侵檢測系統的關鍵技術入侵檢測系統的關鍵技術 4 4 入侵檢測系統示例入侵檢測系統示例 1.1 1.1 安全現狀安全現狀日益頻繁的網絡攻擊 1.1 1.1 安全現狀安全現狀網絡攻擊者的目標 1.2 IDS 1.2 IDS的產生的產生 1.3 1.3 入侵檢測的步驟入侵檢測的步驟l 信息收集l 數據分析l 響應1.3 1.3 入侵檢測的步驟入侵檢測的步驟l 信息收集 系統日志 文件異常改變 程序執行異常行為 物理形式入侵信息 日志文件中記錄了各種行為類型及每種類型的不同信息 包含很多具有重要信息的文件和

2、私有數據文件 包括OS、網絡服務用戶啟動的程序等，每個執行的程序由一個或多個進程來實現 未授權的網絡硬件連接；對物理資源的未授權訪問1.3 1.3 入侵檢測的入侵檢測的步驟步驟l 數據分析模式匹配就是將收集到的信息與已知的網絡入侵，和系統誤用模式數據庫進行比較，從而發現異常行為。優點：只收集相關數據集合，減少系統負擔，技術成熟，檢測準確率高弱點：無法檢測到從未出現過的攻擊手段，需要不斷升級首先為系統對象創建一個統計描述，統計正常使用時的一些測量屬性，測量屬性的平均值將被用來與網絡、系統的行為進行比較，觀察值在正常值范圍之外時，則認為有入侵行為優點：可檢測到未知的入侵和更為復雜的入侵缺點：誤報、

3、漏報率高，且不適應用戶正常行為的突然改變關注某個文件或對象是否被更改，包括文件和目錄的內容及屬性優點：能發現攻擊導致文件或其他對象的改變缺點：不能實時響應，一般以批處理方式實現 模式匹配 統計分析 完整性分析1.3 1.3 入侵檢測的步驟入侵檢測的步驟l 響應 將分析結果記錄在日志文件中，并產生相應的報告 觸發警報，如在系統管理員的桌面上產生一個告警標記位，向系統管理員發送傳呼或電子郵件等等 修改入侵檢測系統或目標系統，如終止進程、切斷攻擊者的網絡連接，或更改防火墻配置等 1.4 1.4 入侵檢測的原理入侵檢測的原理知識庫歷史行為特定行為模式 其它當前系統/用戶行為入侵檢測分析引擎入侵？ 記錄

4、證據 響應處理 數據提取安全策略是否發現異常企圖或異?，F象監控分析系統和用戶的活動記錄報警和 響應 1.5 1.5 IDS的系統結構1.6 1.6 入侵檢測系統功能結構入侵檢測系統功能結構 應用于不同的網絡環境和不同的系統安全策略，入侵檢應用于不同的網絡環境和不同的系統安全策略，入侵檢測系統在具體實現上也有所不同。從功能結構上看，入侵測系統在具體實現上也有所不同。從功能結構上看，入侵檢測系統主要有數據源、分析引擎和響應三個功能模塊，檢測系統主要有數據源、分析引擎和響應三個功能模塊，三者相輔相成。三者相輔相成。數據源分析引擎 響應 1 1 入侵檢測概述入侵檢測概述 2 2 入侵檢測的分類入侵檢測

5、的分類 3 3 入侵檢測系統的關鍵技術入侵檢測系統的關鍵技術 4 4 入侵檢測系統示例入侵檢測系統示例2 2 入侵檢測的分類入侵檢測的分類一、什么是入侵檢測 由于功能和體系結構的復雜性，入侵檢測按照不同的標準有多種分類方法?？煞謩e從所采用的技術、所監測的對象、系統的工作方式三個方面來描述入侵檢測系統的類型。2 2 入侵檢測的分類入侵檢測的分類一、什么是入侵檢測根據所采用的技術可以分為：異常檢測和誤用檢測1）異常檢測：異常檢測的假設是入侵者活動異常于正常主體的活動，建立正常活動的“活動簡檔”，當前主體的活動違反其統計規律時，認為可能是“入侵”行為。優點 可以檢測未知的攻擊缺點 適應性不強 誤報較

6、多 系統審計用戶輪廓正常行為閾值入侵比較低于閾值超過閾值2 2 入侵檢測的分類入侵檢測的分類一、什么是入侵檢測2）誤用檢測：運用已知攻擊方法，根據已定義好的入侵模式，通過判斷這些入侵模式是否出現來檢測。攻擊模式庫正常行為判斷？入侵不匹配匹配優點 算法簡單 系統開銷小 準確率高 效率高缺點 只能檢測出已知攻擊 模式庫要不斷更新 2 2、入侵檢測的分類、入侵檢測的分類一、什么是入侵檢測根據所監測的對象來分：1）基于主機的入侵檢測系統（HIDS）：安裝在主機上，監視與分析主機的審計記錄，從而對可疑的主體活動采取相應的措施。收集被監控主機信息數據入侵響應分析Agent收集的主機信息數據管理IDS規則庫

7、統一管理Agentl 審計數據的獲取直接檢測：從數據產生或從屬的對象直接獲取數據例如：CPU負荷、網絡服務等間接檢測：從反應被監測對象行為的某個源獲得數據例如：系統日志、應用程序日志等l 優點確定攻擊是否成功監測特定的系統活動比NIDS具有更低的誤報率不要求額外的硬件設備近于實時的檢測和響應花費更加低廉適用加密的和交換的環境l 缺點運行占用被監測系統的資源不能監控網絡上的情況部署麻煩如果主機數目多，代價過大依賴于服務器固有的日志和監視能力2 2、入侵檢測的分類、入侵檢測的分類一、什么是入侵檢測2）基于網絡的入侵檢測系統（NIDS）：通過硬件或軟件對網絡上的數據包進行實施檢查，并與系統的網路安全

8、數據庫的入侵特征進行比較、分析，一旦發現有被攻擊的跡象，立刻作出響應，如切斷網絡連接或將入侵的數據包過濾掉。利用交換機混雜模式監聽網絡數據包分析數據包，判斷是否存在入侵行為與防火墻、路由器聯動阻斷入侵行為告警顯示、日志分析管理IDS規則庫統一管理探測器l 優點檢測范圍廣，檢測來自網絡的攻擊無需改變主機配置和性能獨立性和操作系統無關性系統容易部署l 缺點無法監測系統信息對探測器要求較高難以處理加密的會話在網絡上旁路部署，響應不夠及時價格相對昂貴2 2、入侵檢測的分類、入侵檢測的分類一、什么是入侵檢測根據系統的工作方式分為：1）離線檢測系統：離線檢測系統是非實時工作的系統，它在事后分析審計事件，從

9、中檢查入侵活動。用戶歷史記錄入侵檢測專家經驗斷開連接記錄證據數據恢復2 2、入侵檢測的分類、入侵檢測的分類一、什么是入侵檢測2）在線檢測系統：在線檢測系統是實時聯機的檢測系統，它包含對實時網絡數據包分析，實時主機審計分析。用戶的當前操作入侵檢測監測用戶歷史行為 專家經驗神經網絡模型入侵？是否 1 1 入侵檢測概述入侵檢測概述 2 2 入侵檢測的分類入侵檢測的分類 3 3 入侵檢測系統的關鍵技術入侵檢測系統的關鍵技術 4 4 入侵檢測系統示例入侵檢測系統示例 3.1 3.1 多用于異常入侵檢測的技術多用于異常入侵檢測的技術1統計異常檢測方法 統計異常檢測方法根據異常檢測器觀察主體的活動，由此產生

10、一個能夠描述這些活動的輪廓。每一個輪廓都保存記錄主體的當前行為，并定時地將當前的輪廓合并到已存儲的輪廓中。通過比較當前的輪廓與已存儲的輪廓來判斷主體的行為是否異常，從而來檢測網絡是否被入侵。 3.1 3.1 多用于異常入侵檢測的技術多用于異常入侵檢測的技術2基于特征選擇異常檢測方法 基于特征選擇異常檢測方法是通過從一組度量中挑選能檢測出入侵的度量構成子集來準確地預測或分類已檢測到的入侵。 3基于貝葉斯推理異常檢測方法 基于貝葉斯推理異常檢測方法是通過在任意給定的時刻，測量A1，A，A變量值推理判斷系統是否有入侵事件發生。 3.1 3.1 多用于異常入侵檢測的技術多用于異常入侵檢測的技術4基于貝

11、葉斯網絡異常檢測方法 基于貝葉斯網絡的異常檢測方法是通過建立異常入侵檢測貝葉斯網絡，然后用其分析測量結果。 關于一組變量x= x1，x，xn，的貝葉斯網絡由以下兩部分組成： 一個表示X中變量的條件獨立斷言的網絡結構S； 與每一個變量相聯系的局部概率分布集合P。5基于模式預測異常檢測方法 基于模式預測異常檢測方法的假設條件是事件序列不是隨機的而是遵循可辨別的模式。6基于神經網絡異常檢測方法7基于貝葉斯聚類異常檢測方法8基于機器學習異常檢測方法9基于數據采掘異常檢測方法 3.2 3.2 多用于誤用入侵檢測的技術多用于誤用入侵檢測的技術 誤用入侵檢測技術的前提是假設所有的網絡攻擊行為和方法都具有一定

12、的模式或特征，如果把以往發現的所有網絡攻擊的特征總結出來并建立一個入侵信息庫，那么將當前捕獲到的網絡行為特征與入侵信息庫中的特征信息比較，如果匹配，則當前行為就被認定是入侵行為。 3.2 3.2 多用于誤用入侵檢測的技術多用于誤用入侵檢測的技術 2基于專家系統誤用入侵檢測方法 基于專家系統誤用入侵檢測模型是通過將安全專家的經驗知識表示成if-then規則而形成的專家知識庫，然后，運用推理算法進行入侵行為的檢測。 在基于專家系統誤用入侵檢測模型中，要處理大量的數據和依賴于審計跟蹤的次序。其推理方法有兩種：l 根據給定的數據，應用符號推理出入侵行為的發生；l 根據其他的入侵證據，進行不確定的推理。

13、 3.2 3.2 多用于誤用入侵檢測的技術多用于誤用入侵檢測的技術 3基于狀態遷移分析誤用入侵檢測方法 狀態遷移分析方法是將攻擊表示成一系列被監控的系統狀態遷移。攻擊模式的狀態對應于系統的狀態，并且具有遷移到另外狀態的特性，然后通過弧線連續的狀態連接起來表示狀態改變所需要的事件。 3.2 3.2 多用于誤用入侵檢測的技術多用于誤用入侵檢測的技術 4基于鍵盤監控誤用入侵檢測方法 基于鍵盤監控誤用入侵檢測方法是假設入侵者對應的擊鍵序列模式，然后監測用戶的擊鍵模式，并將這一擊鍵模式與入侵檢測模式相匹配，以檢測入侵行為。5基于模型誤用入侵檢測方法 基于模型誤用入侵檢測方法是通過建立誤用證據模型，根據證

14、據推理來作出誤用發生判斷結論。 33.3 3 入侵檢測的新技術入侵檢測的新技術1基于生物免疫的入侵檢測 基于生物免疫的入侵檢測方法是通過模仿生物有機體的免疫系統工作機制，使得受保護的系統能夠將非自我（non self）的非法行為與自我（self）的合法行為區分開來。 2基因算法 基因算法是進化算法的一種，引入了達爾文在進化論中提出的自然選擇的概念（優勝劣汰、適者生存）對系統進行優化。該算法對于處理多維系統的優化是非常有效的。在基因算法的研究人員看來，入侵檢測的過程可以抽象為：為審計事件記錄定義一種向量表示形式，這種向量或者對應于攻擊行為，或者代表正常行為。 33.3 3 入侵檢測的新技術入侵檢

15、測的新技術3數據挖掘 數據挖掘指從大量實體數據中抽出模型的處理。具體的工作包括利用數據挖掘中的關聯算法和序列挖掘算法提取用戶的行為模式，利用分類算法對用戶行為和特權程序的系統調用進行分類預測。 33.3 3 入侵檢測的新技術入侵檢測的新技術4密罐技術 密罐技術就是建立一個虛假的網絡，誘惑黑客攻擊這個虛假的網絡，從而達到保護真正網絡的目的。蜜罐是一種欺騙手段，可以誘導攻擊者，也可以收集攻擊信息，改進防御能力。 33.3 3 入侵檢測的新技術入侵檢測的新技術 3.4 入侵檢測技術的發展趨勢入侵檢測系統的發展方向有以下幾個方面：入侵檢測系統的發展方向有以下幾個方面：1標準化的入侵檢測標準化的入侵檢測

16、2高速入侵檢測高速入侵檢測3大規模、分布式的入侵檢測大規模、分布式的入侵檢測4多種技術的融合多種技術的融合5實時入侵響應實時入侵響應入侵檢測的評測入侵檢測的評測6. 與其它安全技術的聯動與其它安全技術的聯動 1 1 入侵檢測概述入侵檢測概述 2 2 入侵檢測的分類入侵檢測的分類 3 3 入侵檢測系統的關鍵技術入侵檢測系統的關鍵技術 4 4 入侵檢測系統示例入侵檢測系統示例使用使用SnortSnort搭建搭建NIDSNIDS 一個基于Snort的網絡入侵檢測系統由以下5個部分組成： 解碼器、預處理器、檢測引擎、輸出插件、日志/報警子系統解碼器預處理器檢測引擎日志/報警子系統輸出插件使用使用SnortSnort搭建搭建NIDSNIDS 為了能夠快速準確地檢測和處理，Snort在檢測規則方面做了較