入侵檢測技術總結入侵檢測技術總結

入侵檢測技術總結

入侵是對信息系統的非授權訪問以及（或者）未經許可在信息系統中進行的操作。

入侵檢測(IntrusionDetection)是對企圖入侵、正在進行的入侵或者已經發生的入侵進行識別的過程。審計數據的獵取是主機入侵檢測技術的重要基石，是進行主機入侵檢測的信息來源。網絡數據包的截獲是基于網絡的入侵檢測技術的工作基石。

依據網絡類型的不同，網絡數據截獲可以通過兩種方法實現：一種是利用以太網絡的廣播特性，另一種是通過設置路由器的監聽端口或者是鏡像端口來實現。

主機入侵檢測所要進行的主要工作就是審計數據的預處理工作，包括映射、過濾和格式轉換等操作。預處理工作的必要性體現在一下幾個方面：①不同目標系統環境的審計記錄格式不相同，對其進行格式轉換的預處理操作形成標準記錄格式后，將有利于系統在不同目標平臺系統之間的移植；同時，有利于形成單一格式的標準審計記錄流，便于后繼的處理模塊進行檢測工作②對于審計系統而言，系統中所發生的全部可審計活動都會生成對應的審計記錄，因此對某個時間段而言，審計記錄的生成速度是特別快的，而其中往往大量充斥著對于入侵檢測而言無用的大事記錄。所以，需要對審計記錄流進行必要的映射和過濾等操作。

構建狀態轉移圖的過程大致分為如下步驟：①分析詳細的攻擊行為，理解內在機理②確定攻擊過程中的關鍵行為點③確定初始狀態和最終狀態

④從最終狀態動身，逐步確定所需的各個中間狀態及其應當滿意的狀態斷言組

文件完整性檢查的目的是檢查主機系統中文件系統的完整性，準時發覺潛在的針對文件系統的無意或者惡意的更改。

檢測引擎的設計是基于網絡入侵檢測的核心問題。檢測引擎可分為兩大類：嵌入式規章檢測引擎和可編程的檢測引擎。類型優點在小規章集合狀況下，工作速度快檢測規章易于編寫、便于理解并且簡單進行定制對新消失的攻擊手段，具備快速升級支持力量對低層的簡潔腳本攻擊行為，具備良好的檢測性能對所發生的攻擊行為類型，具備確定性的解釋力量缺點隨著規章集合規模的擴大，檢查速度快速下降各種變種的攻擊行為，易于造成過度膨脹的規章集合較易產生虛警信息僅能檢測到已知的攻擊類型，前提是該種攻擊類型的檢測特征已知在小規章集合狀況下，初始的檢測速度相對較慢檢測規章比較簡單，難以編寫和理解并且通常是由特定廠商實現協議簡單性的擴展以及實際實現的多樣性，簡單導致規章擴展的困難對發覺的攻擊行為類型，缺乏明確的解釋信息特征分析協議分析具備良好的性能可擴展性，特殊是在規章集合規模較大的狀況下能夠發覺最新的未知平安漏洞（Zero-DayExploits）較少消失虛警信息DIDS(DistributionIntrusionDetectionSystem)分布式入侵檢測系統主要包括3種類型的組件：主機監控器（HostMonitor）、局域網監控器（LANMonitor）和中心掌握臺（Director）。

主機監控器由主機大事發生器（HostEventGenerator,HEG）和主機代理（HostAgent）組成。

局域網監控器由局域網大事發生器（LANEventGenerator,LEG）和局域網代理（LANAgent）組成。掌握臺主要包括3個部分：通信管理器（CommunicationManager）、專家系統和用戶接口。入侵檢測專家系統（IDES,IntrusionDetectionExpertSystem）是一個混合型的入侵檢測系統，使用一個在當時來說是創新的統計分析算法來檢測特別入侵行為，同時，該系統還用一個專家系統檢測模塊來對已知的入侵攻擊模式進行檢測。

人工神經網絡是模擬人腦加工、存儲和處理信息機制而提出的一種智能化信息處理技術，它是由大量簡潔的處理單元（神經元）進行高度互連而形成的簡單網絡系統。

神經網絡技術應用于入侵檢測領域具有以下優勢：①神經網絡具有概括和抽象力量，對不完整輸入信息具有肯定程度的容錯處理力量。②神經網絡具備高度的學習和自適應力量。③神經網絡所獨有的內在并行計算和存儲特性。

神經網絡技術在入侵檢測中的應用還存在以下缺陷和不足：①需要解決神經網絡對大容量入侵行為類型的學習力量問題。②需要解決神經網絡的解釋力量不足的問題。③執行速度問題。

數據挖掘（DataMining）是所謂“數據庫學問發覺”（KnowledgeDiscoveryinDatabase,KDD）技術中的一個關鍵步驟，其提出的背景是解決日益增長的數據量與快速分析數據要求之間的沖突問題，目標是采納各種特定的算法在海量數據中發覺有用的可理解的數據模式。

數據融合（Datafusion）是一種多層次的、多方面的處理過程，這個過程是對多源數據進行檢測、結合、相關估量和組合以達到精確的狀態估量和身份估量，以及完整、準時的態勢評估、本地資產評估和威逼評估。簡言之，數據融合的基本目的就是通過組合，可以比從任何單個輸入數據元素獲得更多的信息。進化計算的主要算法包括以下5中類型：遺傳算法（GeneticAlgorithm,GA）、進化規劃(EvolutionaryProgramming,EP)、進化策略(EvolutionaryStrategies,ES)、分類器系統(ClassifierSystem,CFS)和遺傳規劃(GeneticProgramming,GP)。

1、檢測功能需求2、響應需求3、操作需求4、平臺范圍需求5、數據來源需求6、檢測性能需求7、可伸縮性需求8、取證和訴訟需求9、其他需求1、機制的經濟性原則2、牢靠默認原則3、完全調整原則4、開放設計原則5、特權分割原則6、最小權限原則7、最小通用原則8、心理科接受原則用戶需求分析入侵檢測系統的設計考慮系統平安設計原則系統設計的生命周期時鐘活動檔案（ActivityProfile）規章庫（Ruleset）大事生成器（EventGenerator）審計記錄/網絡數據包/應用程序日志通用入侵檢測模型

大事生成器從給定的數據來源中（包括主機審計數據、網絡數據包和應用程序的日志信息等），生成入侵檢測大事，并分別送入到活動檔案計算模塊和規章庫檢測模塊中。活動檔案模塊依據新生成的大事，自動更新系統行為的活動檔案；規章庫依據當前系統活動檔案和當前大事的狀況，發覺特別活動狀況，并可以根據肯定的時間規章自動地刪減規章庫中的規章集合。

學問庫配置信息檢測器警報信息掌握器數據收集器掌握動作審計數據等目標系統通用入侵檢測系統模型

①數據收集器（又可稱為探測器）：主要負責收集數據。探測器的輸入數據流包括任何可能包含入侵行為線索

的系統數據。比如網絡數據包、日志文件和系統調用記錄等。探測器將這些數據收集起來，然后發送到檢測器進行處理。②探測器（又可稱為分析器或檢測引擎）：負責分析和檢測入侵的任務，并發出警報信號。③學問庫：供應必要的數據信息支持。例如用戶歷史活動檔案，或者是檢測規章集合等。④掌握器：依據警報信號，人工或者自動做出反應動作。PDR模型是一個動態的計算機系統平安理論模型。PDR是Policy(策略)、Protection(防護)、Detection(檢測)和Response（響應）的縮寫，特點是動態性和基于時間的特性。

Protection22

PolicyDetectionResponseP2DR平安模型

①策略：PDR模型的核心內容。詳細實施過程中，策略規定了系統所要達到的平安目標和為達到目標所實行的

各種詳細平安措施及其實施強度等。平安措施的實施必定會影響到系統運行的性能，以及犧牲用戶操作的舒適度，因此平安策略必需按需而制。②防護：詳細包括制定平安管理規章、進行系統平安配置工作以及安裝各種平安防護設備，例如防火墻、VPN

設備等。③檢測：在實行各種平安措施中，依據系統運行狀況的變化，對系統平安狀態進行實時的動態監控。④響應：當發覺了入侵活動或入侵結果后，需要系統做出準時的反應并實行措施，其中包括：記錄入侵行為、

通知管理員、阻斷進一步的入侵活動以及恢復系統正常運行等。

2原型實現用戶反饋功能定義需求定義

整個周期過程是螺旋式上升過程，前一個周期的原型實現階段完成后，在經過一個用戶反饋的環節后，再次進入下一個周期過程中的需求定義環節。在新的需求定義階段，將依據用戶的需求反饋意見，再次更改原有的需求定義和分析規范，形成新的需求定義文檔，從而推動下一個設計的周期過程。如此循環反復，直至滿意設定的要求。

系統設計的生命周期

擴展閱讀：入侵檢測技術重點總結

1.黑客：早先對計算機的非授權訪問稱為“破解”，而hacking(俗稱“黑”)則指那些嫻熟

使用計算機的高手對計算機技術的運用，這些計算機高手稱為“黑客”。隨著個人計算

機及網絡的消失，“黑客”變成一個貶義詞，通常指那些非法侵入他人計算機的人。2.入侵檢測（intrusiondetection）：就是對入侵行為的發覺，它通過從計算機網絡或計算機

系統中的若干關鍵點收集信息，并對其進行分析，從中發覺網絡或者系統中是否有違反平安策略的行為和被攻擊的跡象。3.入侵檢測系統的六個作用：1）、通過檢測和記錄網絡中的平安違規行為，懲處網絡犯罪，

防止網絡入侵大事的發生。2）、檢測其他平安措施未能阻擋的攻擊或平安違規行為。3）、檢測黑客在攻擊前的探測行為，預先給管理員發出警報。4）、報告計算機系統或網絡中存在的平安威逼。5）、供應有關攻擊的信息，關心管理員診斷網絡中存在的平安弱點，利于其進行修補。6）、在大型、簡單的計算機網絡中布置入侵檢測系統，可以顯著提高網絡平安管理的質量。

4.tP>tD+tRd的含義：tp:愛護平安目標設置各種愛護后的防護時間。tD:從入侵者開頭發動入

侵開頭，系統能夠檢測到入侵行為所花費的時間。tR：從發覺入侵行為開頭，系統能夠做出足夠的響應，將系統調整到正常狀態的時間。公式的含義：防護時間大于檢測時間加上響應時間，那么在入侵危害平安目標之前就能檢測到并準時實行防護措施。

5.入侵檢測原理的四個階段：數據收集、數據處理，數據分析，響應處理。

6.攻擊產生的緣由：信息系統的漏洞是產生攻擊的根本緣由。7.誘發入侵攻擊的主要緣由：信息系統本身的漏洞或脆弱性。

8.漏洞的概念：漏洞是在硬件、軟件、協議的詳細實現或系統平安策略上存在的缺陷，它

是可以使攻擊者能夠在未授權的狀況下訪問或破壞系統。漏洞會影響到很大范圍內的軟件及硬件設備，包括操作系統本身及其支撐軟件、網絡客戶和服務器軟件、網絡路由和平安防火墻等。漏洞是與時間緊密相關的，，一般是程序員編程時的疏忽或者考慮不周導致的。

9.漏洞的詳細表現：存儲介質擔心全，數據的可訪問性，信息的聚生性，保密的困難性，

介質的剩磁效應，電磁的泄漏性，通信網絡的脆弱性，軟件的漏洞。10.漏洞iongde分類（按被利用的方式）：物理接觸、主機模式、客戶機模式、中間人模式。11.入侵檢測系統的基本原理主要分四個階段：數據收集、數據處理、數據分析、響應處

理。

12.常用的5種檢測模型：操作模型、方差模型、多元模型、馬爾柯夫過程模型、時間序列

分析模型。

13.信息系統面臨的三種威逼：非人為因素和自然力造成的數據丟失、設備失效、線路阻斷；

人為但屬于操作人員無意的失誤造成的數據丟失；來自外部和內部人員的惡意攻擊和入侵。

14.攻擊的四個步驟：攻擊者都是先隱蔽自己；再踩點或預攻擊探測，檢測目標機器的各種

屬性和具備的被攻擊條件，然后實行相應的攻擊行為，達到自己的目的，最終攻擊者會清除痕跡刪除自己的行為日志。

Ping掃描：ping是一個DOS命令，它的用途是檢測網絡的連通狀況和分析網絡速度。

端口掃描：端口掃描時一種用來查找網絡主機開放端口的方法，正確的使用端口掃描，能夠起到防止端口攻擊的作用。

操作系統識別掃描：黑客入侵過程的關鍵環節是操作系統的識別與掃描。

漏洞掃描：主要是查找操作系統或網絡當中存在什么樣的漏洞，并給出具體漏洞報告，引導用戶到相關站點下載最新系統漏洞補貼程序，確保系統永久處在最平安的狀態下，以削減被攻擊的可能性。1.哄騙攻擊的類型：IP、ARP、DNS、源路由、URL2.拒絕服務攻擊：攻擊者想方法讓目標主機停止供應服務或資源訪問，它是黑客常用的攻

擊手段之一。

3.拒絕服務攻擊的原理：SYN洪流攻擊，IP哄騙拒絕服務攻擊，UDP洪流攻擊，ping洪

流攻擊，淚滴攻擊，Land攻擊，Smurf攻擊，Fraggle攻擊。

4.數據庫攻擊：危害最大的屬于SQL注入式攻擊。源于英文：SQLInjectionAttack,就其

本質而言，SQ