ch5入侵检测技术.ppt-得力文库

资源描述

《ch5入侵检测技术.ppt》由会员分享，可在线阅读，更多相关《ch5入侵检测技术.ppt（97页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、第五章第五章入侵检测技术入侵检测技术第第5章章入侵检测技术入侵检测技术内容提要：内容提要：入侵检测概述入侵检测概述入侵检测的技术实现入侵检测的技术实现分布式入侵检测分布式入侵检测入侵检测系统的标准入侵检测系统的标准入侵检测系统示例入侵检测系统示例本章小结本章小结第五章第五章入侵检测技术入侵检测技术 5.1 入侵检测概述入侵检测概述发展简况发展简况1概念的诞生概念的诞生1980年4月，James P.Aderson为美国空军做了一份题为Computer Security Threat Monitoring and Surveillance（计算机安全威胁监控与监视）的技术报告，第一次详细

2、阐述了入侵检测的概念。他提出了一种对计算机系统风险和威胁的分类方法，并将威胁分为外部渗透、内部渗透和不法行为三种，还提出了利用审计跟踪数据监视入侵活动的思想。这份报告被公认为是入侵检测的开山之作。返回本章首页返回本章首页第五章第五章入侵检测技术入侵检测技术 5.1 入侵检测概述入侵检测概述发展简况发展简况2模型的发展模型的发展19841986年，乔治敦大学的Dorothy Denning和SRICSL(SRI公司计算机科学实验室)的Peter Neumann研究出了一种实时入侵检测系统模型，取名为IDES(入侵检测专家系统)（Intrusion Detection Expert System

3、）。该模型由六个部分组成：主体、对象、审计记录、轮廓特征、异常记录、活动规则。它独立于特定的系统平台、应用环境、系统弱点以及入侵类型，为构建入侵检测系统提供了一个通用的框架。1988年，SRICSL的Teresa Lunt等改进了Denning的入侵检测模型，并实际开发出了一个IDES。该系统包括一个异常检测器和一个专家系统，分别用于统计异常模型的建立和基于规则的特征分析检测。返回本章首页返回本章首页第五章第五章入侵检测技术入侵检测技术返回本章首页返回本章首页第五章第五章入侵检测技术入侵检测技术 (1)主体(subjects)；在目标系统上活动的实体，如用户。(2)对象(objects)

4、：指系统资源，如文件、设备、命令等。(3)审计记录(Audit records)：内主体、活动(Action)、异常条件(ExceptionCondition)、资源使用状况(ResourceUsage)和时间戳(Time Stamp)等组成。其中活动是指主体对目标的操作。异常条件是指系统对主体该活动的异常情况的报告。资源使用状况是指系统的资源消耗情况。(4)活动档案(Active Profile)：即系统正常行为模型，保存系统正常活动的有关信息。在各种检测方法中其实现各不相同。在统计方法巾可以从事件数量、频度、资源消耗等方面度量。(5)异常记录(Anomaly Record)：由事件、时间戳

5、和审计记录组成，表示异常事件的发生情况。(6)活动规则(Active Rule)：判断是否为入侵的推则及相应要采取的行动。一般采用系统正常活动模型为准则，根据专家系统或统计方法对审计记录进行分析处理，在发现入侵时采取相应的对策。第五章第五章入侵检测技术入侵检测技术 5.1 入侵检测概述入侵检测概述发展简况发展简况 2模型的发展模型的发展 1990年是入侵检测系统发展史上十分重要的一年。这一年，加州大学戴维斯分校的等开发出了NSM(Network Security Monitor)。该系统第一次直接将网络流作为审计数据来源，因而可以在不将审计数据转换成统一格式的情况下监控异种主机。从此之后，

6、为入侵检测系统的发展翻开了新的一页，两大阵营正式形成：基于网络的IDS和基于主机的IDS。返回本章首页返回本章首页第五章第五章入侵检测技术入侵检测技术 5.1 入侵检测概述入侵检测概述发展简况发展简况 2模型的发展模型的发展1988年的莫里斯蠕虫事件发生后，网络安全才真正引起了军方、学术界和企业的高度重视。美国空军、国家安全局和能源部共同资助空军密码支持中心、劳伦斯利弗摩尔国家实验室、加州大学戴维斯分校、Haystack实验室，开展对分布式入侵检测系统DIDS（Distribute Intrusion Detection System）的研究，将基于主机和基于网络的检测方法集成到一起。DID

7、S是分布式入侵检测系统历史上的一个里程碑式的产品，它的检测模型采用了分层结构，分数据、事件、主体、上下文、威胁、安全状态等6层。返回本章首页返回本章首页第五章第五章入侵检测技术入侵检测技术 5.1 入侵检测概述入侵检测概述发展简况发展简况 2模型的发展模型的发展从20世纪90年代到现在，入侵检测系统的研发呈现出百家争鸣的繁荣局面，并在智能化和分布式两个方向取得了长足的进展。目前，SRICSL、普渡大学、加州大学戴维斯分校、洛斯阿拉莫斯国家实验室、哥伦比亚大学、新墨西哥大学等机构在这些方面的研究代表了当前的最高水平返回本章首页返回本章首页第五章第五章入侵检测技术入侵检测技术 3.入侵检测技术

8、的发展入侵检测技术的发展近近年年来来，入入侵侵检检测测技技术术研研究究的的主主要要创创新新有有：Forrest等等将将免免疫疫学学原原理理运运用用于于分分布布式式入入侵侵检检测测领领域域；1998年年Ross Anderson和和Abida Khattak将将信信息息检检索索技技术术引引进进入入侵侵检检测测；以以及及采采用用状状态态转转换换分分析析、数数据据挖挖掘掘和和遗遗传传算算法法等等进进行行误误用用和和异异常常检检测。测。返回本章首页返回本章首页第五章第五章入侵检测技术入侵检测技术 5.1.1 入侵检测原理入侵检测原理图图5-2给给出出了了入入侵侵检检测测的的基基本本原原理理图图。

9、入入侵侵检检测测是是用用于于检检测测任任何何损损害害或或企企图图损损害害系系统统的的保保密密性性、完完整整性性或或可可用用性性的的一一种种网网络络安安全全技技术术。它它通通过过监监视视受受保保护护系系统统的的状状态态和和活活动动，采采用用误误用用检检测测（Misuse Detection）或或异异常常检检测测（Anomaly Detection）的的方方式式，发发现现非非授授权权的的或或恶恶意意的的系系统统及网络行为，为防范入侵行为提供有效的手段。及网络行为，为防范入侵行为提供有效的手段。返回本章首页返回本章首页第五章第五章入侵检测技术入侵检测技术图5-2 入侵检测原理框图返回本章首页返

10、回本章首页监控分析系统和用户的活动发现异常企图或异常现象记录报警和响应第五章第五章入侵检测技术入侵检测技术所所谓谓入入侵侵检检测测系系统统就就是是执执行行入入侵侵检检测测任任务务的的硬件或软件产品。硬件或软件产品。入入侵侵检检测测提提供供了了用用于于发发现现入入侵侵攻攻击击与与合合法法用用户户滥滥用用特特权权的的一一种种方方法法。其其应应用用前前提提是是入入侵侵行行为为和和合合法法行行为为是是可可区区分分的的，也也即即可可以以通通过过提提取取行行为为的的模模式式特特征征来来判判断断该该行行为为的的性性质质。一一般般地地，入入侵侵检测系统需要解决两个问题：检测系统需要解决两个问题：u如何充分

11、并可靠地提取描述行为特征的数据；如何充分并可靠地提取描述行为特征的数据；u如如何何根根据据特特征征数数据据，高高效效并并准准确确地地判判定定行行为为的的性质。性质。返回本章首页返回本章首页第五章第五章入侵检测技术入侵检测技术 5.1.2 系统结构系统结构由由于于网网络络环环境境和和系系统统安安全全策策略略的的差差异异，入入侵侵检检测测系系统统在在具具体体实实现现上上也也有有所所不不同同。从从系系统统构构成成上上看看，入入侵侵检检测测系系统统应应包包括括事事件件提提取取、入入侵侵分分析析、入入侵侵响响应应和和远远程程管管理理四四大大部部分分，另另外外还还可可能能结结合合安安全全知知识识库库、

12、数数据据存存储储等等功功能能模模块块，提提供供更更为为完完善的安全检测及数据分析功能（如图善的安全检测及数据分析功能（如图5-3所示）。所示）。返回本章首页返回本章首页第五章第五章入侵检测技术入侵检测技术图5-3 入侵检测系统结构返回本章首页返回本章首页第五章第五章入侵检测技术入侵检测技术入入侵侵检检测测的的思思想想源源于于传传统统的的系系统统审审计计，但但拓拓宽宽了了传传统统审审计计的的概概念念，它它以以近近乎乎不不间间断断的的方方式式进进行行安安全全检检测测，从从而而可可形形成成一一个个连连续续的的检检测测过过程程。这通常是通过执行下列任务来实现的：这通常是通过执行下列任务来实现的

13、：监视、分析用户及系统活动；监视、分析用户及系统活动；系统构造和弱点的审计；系统构造和弱点的审计；识别分析知名攻击的行为特征并告警；识别分析知名攻击的行为特征并告警；异常行为特征的统计分析；异常行为特征的统计分析；评估重要系统和数据文件的完整性；评估重要系统和数据文件的完整性；操操作作系系统统的的审审计计跟跟踪踪管管理理，并并识识别别用用户户违违反反安安全全策策略略的行为。的行为。返回本章首页返回本章首页第五章第五章入侵检测技术入侵检测技术 5.1.3 系统分类系统分类由由于于功功能能和和体体系系结结构构的的复复杂杂性性，入入侵侵检检测测按按照照不不同同的的标标准准有有多多种种分分类类方方

14、法法。可可分分别别从从数数据据源源、检检测测理理论论、检检测测时时效效三三个个方方面面来来描描述述入入侵侵检检测测系系统的类型。统的类型。1基于数据源的分类基于数据源的分类通通常常可可以以把把入入侵侵检检测测系系统统分分为为五五类类，即即基基于于主主机机、基基于于网网络络、混混合合入入侵侵检检测测、基基于于网网关关的的入入侵检测系统以及文件完整性检查系统。侵检测系统以及文件完整性检查系统。返回本章首页返回本章首页第五章第五章入侵检测技术入侵检测技术基于主机型（基于主机型（HIDS）早期入侵检测系统结构，检测的目标是主机系统和系统本地用户，检测原理是根据主机的审计数据和系统日志文件发现可疑

15、事件。检测系统运行在被检测的主机上。第五章第五章入侵检测技术入侵检测技术基于主机型（基于主机型（HIDS）主要优点：既可以检测到远程入侵，也可以检测到本地入侵。既可以检测到远程入侵，也可以检测到本地入侵。可以看到基于网络的可以看到基于网络的IDS看不到的、发生在主机上的事件。看不到的、发生在主机上的事件。只要信息源生成于数据加密之前或者数据解密之后，就可以在网络流只要信息源生成于数据加密之前或者数据解密之后，就可以在网络流量加密的环境下正常工作。量加密的环境下正常工作。不受交换式网络的影响。不受交换式网络的影响。通过处理操作系统的审计记录，可以检测出特洛伊木马或者其它有关通过处理操作系统的

16、审计记录，可以检测出特洛伊木马或者其它有关软件完整性破坏的攻击。软件完整性破坏的攻击。主要缺点：可以使用系统特权或调用比审计本身更低级的操作来逃避审计。可以使用系统特权或调用比审计本身更低级的操作来逃避审计。检测范围只限于主机。检测范围只限于主机。或多或少影响服务器的性能。或多或少影响服务器的性能。只能对服务器的特定用户、特定应用程序执行操作，能检测到的攻击只能对服务器的特定用户、特定应用程序执行操作，能检测到的攻击类型受限制。类型受限制。可管理性差，因为不同的系统使用不同的操作系统。可管理性差，因为不同的系统使用不同的操作系统。它和应用程序共用系统资源，其自身也可能被攻击而瘫痪。它和应用程序

17、共用系统资源，其自身也可能被攻击而瘫痪。第五章第五章入侵检测技术入侵检测技术基于网络型（基于网络型（NIDS）单独依靠主机审计信息进行入侵检测难以适应网络安全的需求，从而提出了基于网络的结构，根据网络流量、单台或多台主机的审计数据检测入侵。第五章第五章入侵检测技术入侵检测技术基于网络型（基于网络型（NIDS）主要优点：可以监控多台主机。可以监控多台主机。对现有网络的影响比较小。基于网络的入侵检测系统只是被动地监听对现有网络的影响比较小。基于网络的入侵检测系统只是被动地监听网络流量，不妨碍网络的正常运行。网络流量，不妨碍网络的正常运行。基于网络的入侵检测系统可以设计成非常健壮，有时攻击者

18、根本看不基于网络的入侵检测系统可以设计成非常健壮，有时攻击者根本看不到它的存在。到它的存在。服务器平台相对独立，配置简单，能适应众多的攻击模式。服务器平台相对独立，配置简单，能适应众多的攻击模式。主要缺点：在高速网络上，可能会处理不了所有的数据包，从而有的攻击可能会在高速网络上，可能会处理不了所有的数据包，从而有的攻击可能会检测不到。检测不到。在交换式网络中，交换机把网络分成多个小片段，一般不提供通用的在交换式网络中，交换机把网络分成多个小片段，一般不提供通用的监控端口，从而限制了传感器的监控范围。监控端口，从而限制了传感器的监控范围。不能分析加密信息。不能分析加密信息。多数系统不能确定一次攻

19、击是否成功，只能检测出攻击者使用某种方多数系统不能确定一次攻击是否成功，只能检测出攻击者使用某种方法进行攻击。法进行攻击。一些系统在处理碎片包的网络攻击时可能会导致入侵检测系统运行不一些系统在处理碎片包的网络攻击时可能会导致入侵检测系统运行不稳定，甚至崩溃。稳定，甚至崩溃。第五章第五章入侵检测技术入侵检测技术基于应用型基于应用型是基于主机的入侵检测系统的一个特殊子集。它分析由应用程序生成的事件，常用信息源是应用程序生成的记录文件。由于具有对特定应用程序的知识，还与应用程序有直接接口，因此可以发现用户超越自己的权限的可疑行为。主要优点可以监控应用程序和用户之间的操作，有能力检测出哪个用户超

20、越自可以监控应用程序和用户之间的操作，有能力检测出哪个用户超越自己的权限。己的权限。一般可以在加密环境下运行。因为它和应用程序的接口一般是数据传一般可以在加密环境下运行。因为它和应用程序的接口一般是数据传输处理过程的终点，提交用户的数据必须是非加密的。输处理过程的终点，提交用户的数据必须是非加密的。主要缺点由于应用程序的记录文件受到的保护没有操作系统的审计记录受到的由于应用程序的记录文件受到的保护没有操作系统的审计记录受到的保护紧密。所以，该系统比基于主机的系统更容易受到攻击。保护紧密。所以，该系统比基于主机的系统更容易受到攻击。由于系统只监控应用层和用户层的事件，所以它不能检测出特洛伊木由于

21、系统只监控应用层和用户层的事件，所以它不能检测出特洛伊木马。马。因此，它一般是与基于主机或者网络的入侵检测系统相结合。因此，它一般是与基于主机或者网络的入侵检测系统相结合。第五章第五章入侵检测技术入侵检测技术分布式分布式IDS（DIDS）美国普度大学安全研究小组首先提出了基于主体的入侵检测系统软件结构，其主要方法是采用相互独立并独立于系统而运行的进程组，这些进程被称为自治主体。通过训练这些主体，并观察系统行为，然后将这些主体认为是异常的行为标记出来。第五章第五章入侵检测技术入侵检测技术 2基于检测理论的分类基于检测理论的分类从从具具体体的的检检测测理理论论上上来来说说，入入侵侵检检测测

22、又又可可分分为异常检测和误用检测。为异常检测和误用检测。异异常常检检测测（Anomaly Detection）指指根根据据使使用用者者的的行行为为或或资资源源使使用用状状况况的的正正常常程程度度来来判判断断是是否入侵，而不依赖于具体行为是否出现来检测。否入侵，而不依赖于具体行为是否出现来检测。误误用用检检测测（Misuse Detection）指指运运用用已已知知攻攻击击方方法法，根根据据已已定定义义好好的的入入侵侵模模式式，通通过过判判断断这些入侵模式是否出现来检测。这些入侵模式是否出现来检测。返回本章首页返回本章首页第五章第五章入侵检测技术入侵检测技术 3基于检测时效的分类基于检测时效的

23、分类 IDS在在处处理理数数据据的的时时候候可可以以采采用用实实时时在在线线检检测测方方式式，也也可可以以采采用用批批处处理理方方式式，定定时时对对处处理理原原始始数数据据进进行行离离线线检检测测，这这两两种种方方法法各各有有特特点点（如如图图5-5所示所示）。）。离离线线检检测测方方式式将将一一段段时时间间内内的的数数据据存存储储起起来来，然然后后定定时时发发给给数数据据处处理理单单元元进进行行分分析析，如如果果在在这这段段时时间间内内有有攻攻击击发发生生就就报报警警。在在线线检检测测方方式式的的实实时时处处理理是是大大多多数数IDS所所采采用用的的办办法法，由由于于计计算算机机硬硬件件速速

24、度度的的提提高高，使使得得对对攻攻击击的的实实时时检检测测和和响响应应成为可能。成为可能。返回本章首页返回本章首页第五章第五章入侵检测技术入侵检测技术返回本章首页返回本章首页第五章第五章入侵检测技术入侵检测技术 5.2 入侵检测的技术实现入侵检测的技术实现对对于于入入侵侵检检测测的的研研究究，从从早早期期的的审审计计跟跟踪踪数数据据分分析析，到到实实时时入入侵侵检检测测系系统统，到到目目前前应应用用于于大大型型网网络络的的分分布布式式检检测测系系统统，基基本本上上已已发发展展成成为为具具有有一一定定规规模模和和相相应应理理论论的的研研究究领领域域。入入侵侵检检测测的的核核心心问问题题在

25、在于于如如何何对对安安全全审审计计数数据据进进行行分分析析，以以检检测测其其中中是是否否包包含含入入侵侵或或异异常常行行为为的的迹迹象象。这这里里，我我们们先先从从误误用用检检测测和和异异常常检检测测两两个个方方面面介介绍绍当当前前关关于于入入侵侵检检测测技技术术的的主主流流技技术术实实现现，然然后后对对其其它它类型的检测技术作简要介绍。类型的检测技术作简要介绍。返回本章首页返回本章首页第五章第五章入侵检测技术入侵检测技术 5.2.1 入侵检测分析模型入侵检测分析模型分分析析是是入入侵侵检检测测的的核核心心功功能能，它它既既能能简简单单到到像像一一个个已已熟熟悉悉日日志志情情况况的的管管理

26、理员员去去建建立立决决策策表表，也也能能复复杂杂得得像像一一个个集集成成了了几几百百万万个个处处理理的的非非参参数数系系统统。入入侵侵检检测测的的分分析析处处理理过过程程可可分分为为三三个个阶阶段段：构构建建分分析析器器，对对实实际际现现场场数数据据进进行行分分析析，反反馈馈和和提提炼炼过过程程。其其中中，前前两两个个阶阶段段都都包包含含三三个个功功能能：数数据据处处理理、数数据据分分类类（数数据据可可分分为为入入侵侵指指示示、非非入侵指示或不确定）和后处理。入侵指示或不确定）和后处理。返回本章首页返回本章首页第五章第五章入侵检测技术入侵检测技术 5.2.2 误用检测（误用检测（Misuse

27、 Detection）误误用用检检测测是是按按照照预预定定模模式式搜搜寻寻事事件件数数据据的的，最最适适用用于于对对已已知知模模式式的的可可靠靠检检测测。执执行行误误用用检检测测，主主要要依依赖赖于于可可靠靠的的用用户户活活动动记记录录和和分分析析事件的方法。事件的方法。1条件概率预测法条件概率预测法条条件件概概率率预预测测法法是是基基于于统统计计理理论论来来量量化化全全部部外外部部网网络络事事件件序序列列中中存在入侵事件的可能程度。存在入侵事件的可能程度。将入侵方式对应于一个事件序列，然后通过观测到的事件发生情况将入侵方式对应于一个事件序列，然后通过观测到的事件发生情况来推测入侵的出现，其

28、依据是外部事件序列，根据贝叶斯定理进行推来推测入侵的出现，其依据是外部事件序列，根据贝叶斯定理进行推理检测入侵。理检测入侵。主要缺点是先验概率难以给出，而且事件的独立性难以满足。主要缺点是先验概率难以给出，而且事件的独立性难以满足。返回本章首页返回本章首页第五章第五章入侵检测技术入侵检测技术 2产生式产生式/专家系统专家系统用用专专家家系系统统对对入入侵侵进进行行检检测测，主主要要是是检检测测基基于于特特征征的的入入侵侵行行为为。所所谓谓规规则则，即即是是知知识识，专专家家系系统统的的建建立立依依赖赖于于知知识识库库的的完完备备性性，而而知知识识库库的的完备性又取决于审计记录的完备性与实时

29、性。完备性又取决于审计记录的完备性与实时性。产产生生式式/专专家家系系统统是是误误用用检检测测早早期期的的方方案案之之一一，在在MIDAS、IDES、NIDES、DIDS和和CMDS中都使用了这种方法。中都使用了这种方法。返回本章首页返回本章首页第五章第五章入侵检测技术入侵检测技术专家系统是误用检测中运用最多的一种方法。将有关入侵的知识转化成if-then结构的规则，即将构成入侵所要求的条件转化为if部分，将发现入侵后采取的相应措施转化成then部分。当其中某个或某部分条件满足时，系统就判断为入侵行为发生。其中if-then结构构成了描述具体攻击的规则库，状态行为及其语义环境可根据审计事件

30、得到，推理机根据规则和行为完成判断工作。返回本章首页返回本章首页第五章第五章入侵检测技术入侵检测技术在具体实现中，该方法的主要难点在于:全面性问题，难以科学地从各种入侵手段中抽象出全面的规则化知识；效率问题，需处理的数据量过大；在大型系统中，难以获得实时连续的审计数据。因为上述缺陷，商业产品一般不用，而较多的使用特征分析。特征分析也需要知道攻击行为的具体知识，但是攻击方法的语义描述是在审计记录中能直接找到的信息形式，不像专家系统一样需要处理大量数据，从而大大提高了检测效率。这种方法的缺陷是，需要经常为新发现的系统漏洞更新知识库。此外，由于对不同操作系统平台的具体攻击方法，以及不同平台的审计

31、方式可能不同，所以对特征分析检测系统进行构造和维护的工作量较大。返回本章首页返回本章首页第五章第五章入侵检测技术入侵检测技术 3状态转换方法状态转换方法状状态态转转换换方方法法使使用用系系统统状状态态和和状状态态转转换换表表达达式式来来描描述述和和检检测测入入侵侵，采采用用最最优优模模式式匹匹配配技技巧巧来来结结构构化化误误用用检检测测，增增强强了了检检测测的的速速度度和和灵灵活活性性。目目前前，主主要要有有三三种种实实现现方方法法：状状态态转转换换分分析析、有有色色Petri-Net和语言和语言/应用编程接口（应用编程接口（API）。）。返回本章首页返回本章首页第五章第五章入侵检测技术

32、入侵检测技术 3状态转换方法状态转换方法将入侵过程看作一个行为序列，这个行为序列导致系统从初始状态转入被入侵状态。分析时首先针对每一种入侵方法确定系统的初始状态和被入侵状态，以及导致状态转换的转换条件，即导致系统进入被入侵状态必须执行的操作(特征事件)，然后用状态转换图来表示每一个状态和特征事件。这些事件被集成于模型中，所以检测时不需要一个个地查找审计记录。但是，状态转换是针对事件序列分析，所以不适合分析过分复杂的事件，而且不能检测与系统状态无关的入侵。由于处理速度的优势和系统的灵活性，状态转移分析法已成为当今最具竞争力的入侵检测模型之一。返回本章首页返回本章首页第五章第五章入侵检测技术入侵

33、检测技术基于状态迁移分析的误用检测简单示例在一分钟内如果登录失败的次数超过4次，系统便发出警报。其中竖线代表状态转换，如果在状态S1发生登录失败，则产生一个标志变量，并存储事件发生时间T1，同时转入状态S2。如果在状态S4时又有登录失败，而且这时的时间T2-T160秒，则系统转入状态S5，即为入侵状态，系统报警。第五章第五章入侵检测技术入侵检测技术 4用于批模式分析的信息检索技术用于批模式分析的信息检索技术当当前前大大多多数数入入侵侵检检测测都都是是通通过过对对事事件件数数据据的的实实时时收收集集和和分分析析来来发发现现入入侵侵的的，然然而而在在攻攻击击被被证证实实之之后后，要要从从大大

34、量量的的审审计计数数据据中中寻寻找找证证据据信信息息，就就必必须须借借助助于于信信息息检检索索（IR，Information Retrieval）技技术术，IR技技术术当当前前广广泛泛应应用用于于WWW的搜索引擎上。的搜索引擎上。IR系系统统使使用用反反向向文文件件作作为为索索引引，允允许许高高效效地地搜搜寻寻关关键键字字或或关关键键字字组组合合，并并使使用用Bayesian理理论论帮助提炼搜索。帮助提炼搜索。返回本章首页返回本章首页第五章第五章入侵检测技术入侵检测技术 5Keystroke Monitor Keystroke Monitor是是一一种种简简单单的的入入侵侵

35、检检测测方方法法，它它通通过过分分析析用用户户击击键键序序列列的的模模式式来来检检测测入入侵侵行行为为，常常用用于于对对主主机机的的入入侵侵检检测测。该该方方法法具具有有明明显显的的缺缺点点，首首先先，批批处处理理或或Shell程程序序可可以以不不通通过过击击键键而而直直接接调调用用系系统统攻攻击击命命令令序序列列；其其次次，操操作作系系统统通通常常不不提提供供统统一一的的击击键键检检测测接口，需通过额外的钩子函数（接口，需通过额外的钩子函数（Hook）来监测击键。来监测击键。假设入侵对应特定的击键序列模式，然后监测用户击键模式，并将这一模式与入侵模式匹配从而检测入侵行为。这种方法的不足之处是

36、：在没有操作系统支持的情况下，缺少捕获用户击键的可靠方法，存在着许多击键方式表示同一种攻击。而且，没有击键语义分析，用户提供别名很容易欺骗这种技术。这种技术仅仅分析击键，不能检测到恶意程序执行后的自动攻击。返回本章首页返回本章首页第五章第五章入侵检测技术入侵检测技术 6基于模型推理的方法基于模型推理的方法基基于于模模型型的的方方法法是是：入入侵侵者者在在攻攻击击一一个个系系统统的的时时候候往往往往采采用用一一定定的的行行为为序序列列，如如猜猜测测口口令令的的行行为为序序列列，这这种种序序列列构构成成了了具具有有一一定定行行为为特特征征的的模模型型，根根据据这这种种模模型型代代表表的的攻攻击

37、击意意图图的的行行为为特特征征，可可以以实实时时地地检检测测出出恶恶意意的的攻攻击击企企图图。与与专专家家系系统统通通常常放放弃弃处处理理那那些些不不确确定定的的中中间间结结论论的的特特点点相相比比，这这一一方方法法的的优优点点在在于于它它基基于于完完善善的的不不确确定定性性推推理理数数学学理理论论。基基于于模模型型的的入入侵侵检检测测方方法法先先可可以以预预测测一一些些主主要要事事件件，当当这这些些事事件件发发生生后后，再再开开始始详详细细审审计，从而减少了事件审计的处理负荷。计，从而减少了事件审计的处理负荷。返回本章首页返回本章首页第五章第五章入侵检测技术入侵检测技术 6基于模型推理的方

38、法基于模型推理的方法通过建立误用证据模型，根据证据推理来作出发生了误用的判断结论，其中有关攻击者行为的知识被描述为：攻击者目的，攻击者达到此目的的可能行为步骤，以及对系统的特殊使用等。此方法的要点是建立攻击脚本库、预警器和决策分析器。检测时先将这些攻击脚本的子集看作系统正面临的攻击，然后通过一个称为预警器的程序模块根据当前行为模式，产生下一个需要验证的攻击脚本子集，并将它传送给决策分析器。决策分析器收到信息后，根据这些假设的攻击行为在审计记录中的可能出现方式，将它们翻译成与特定系统匹配的审计记录格式，然后在审计记录中寻找相应信息来确认或否认这些攻击。初始攻击脚本子集的假设应满足：易于在审计记

39、录中识别，并且出现频率很高。随着一些脚本被确认的次数增多，另一些脚本被确认的次数减少，攻击脚本不断地得到更新。返回本章首页返回本章首页第五章第五章入侵检测技术入侵检测技术 6基于模型推理的方法基于模型推理的方法主要优点对不确定性的推理有合理的数学理论基础。对不确定性的推理有合理的数学理论基础。决策器使得攻击脚本可以与审计记录的上下文无关。决策器使得攻击脚本可以与审计记录的上下文无关。因为首先按脚本类型检测相应类型是否出现，然后再因为首先按脚本类型检测相应类型是否出现，然后再检测具体的事件，所以减少了需要处理的数据量。检测具体的事件，所以减少了需要处理的数据量。主要缺陷增加了创建入侵检测模型的

40、开销。增加了创建入侵检测模型的开销。系统实现时决策分析器如何有效地翻译攻击脚本。系统实现时决策分析器如何有效地翻译攻击脚本。返回本章首页返回本章首页第五章第五章入侵检测技术入侵检测技术 5.2.3 异常检测（异常检测（Anomaly Detection）异异常常检检测测基基于于一一个个假假定定：用用户户的的行行为为是是可可预预测测的的、遵遵循循一一致致性性模模式式的的，且且随随着着用用户户事事件件的的增增加加异异常常检检测测会会适适应应用用户户行行为为的的变变化化。用用户户行行为为的的特特征征轮轮廓廓在在异异常常检检测测中中是是由由度度量量（measuremeasure）集集来来描描述述，度

41、度量量是是特特定定网网络络行行为为的的定定量量表表示示，通通常常与某个检测阀值或某个域相联系。与某个检测阀值或某个域相联系。异异常常检检测测可可发发现现未未知知的的攻攻击击方方法法，体体现现了了强强健健的的保保护护机机制制，但但对对于于给给定定的的度度量量集集能能否否完完备备到到表示所有的异常行为仍需要深入研究。表示所有的异常行为仍需要深入研究。返回本章首页返回本章首页第五章第五章入侵检测技术入侵检测技术 1Denning的原始模型的原始模型 Dorothy Denning于于1986年年给给出出了了入入侵侵检检测测的的IDES模模型型，她她认认为为在在一一个个系系统统中中可可以以包包括括四

42、四个个统统计计模模型型，每每个个模模型型适适合合于于一一个个特特定定类类型型的的系系统度量。统度量。（1）可操作模型）可操作模型（2）平均和标准偏差模型）平均和标准偏差模型（3）多变量模型）多变量模型（4）Markov处理模型处理模型返回本章首页返回本章首页第五章第五章入侵检测技术入侵检测技术 2量化分析量化分析异异常常检检测测最最常常用用的的方方法法就就是是将将检检验验规规则则和和属属性性以以数数值值形形式式表表示示的的量量化化分分析析，这这种种度度量量方方法法在在Denning的的可可操操作作模模型型中中有有所所涉涉及及。量量化化分分析析通通过过采采用用从从简简单单的的加加法法

43、到到比比较较复复杂杂的的密密码码学学计计算算得得到到的的结结果果作作为为误误用用检检测测和和异异常常检检测测统统计计模模型型的的基基础。础。（1）阀值检验）阀值检验（2）基于目标的集成检查）基于目标的集成检查（3）量化分析和数据精简）量化分析和数据精简返回本章首页返回本章首页第五章第五章入侵检测技术入侵检测技术 3统计度量统计度量统统计计度度量量方方法法是是产产品品化化的的入入侵侵检检测测系系统统中中常常用用的的方方法法，常常见见于于异异常常检检测测。运运用用统统计计方方法法，有有效效地地解解决决了了四四个个问问题题：（1）选选取取有有效效的的统统计计数数据据测测量量点点，生生成成能

44、能够够反反映映主主体体特特征征的的会会话话向向量量；（2）根根据据主主体体活活动动产产生生的的审审计计记记录录，不不断断更更新新当当前前主主体体活活动动的的会会话话向向量量；（3）采采用用统统计计方方法法分分析析数数据据，判判断断当当前前活活动动是是否否符符合合主主体体的的历历史史行行为为特特征征；（4）随随着着时时间间推推移移，学学习习主主体体的的行行为为特征，更新历史记录。特征，更新历史记录。返回本章首页返回本章首页第五章第五章入侵检测技术入侵检测技术 4非参数统计度量非参数统计度量非非参参数数统统计计方方法法通通过过使使用用非非数数据据区区分分技技术术，尤尤其其是是群群集集分分析析技

45、技术术来来分分析析参参数数方方法法无无法法考考虑虑的的系系统统度度量量。群群集集分分析析的的基基本本思思想想是是，根根据据评评估估标标准准（也也称称为为特特性性）将将收收集集到到的的大大量量历历史史数数据据（一一个个样样本本集集）组组织织成成群群，通通过过预预处处理理过过程程，将将与与具具体体事事件件流流（经经常常映映射射为为一一个个具具体体用用户户）相相关关的的特特性性转转化化为为向向量量表表示示，再再采采用用群群集集算算法法将将彼彼此此比比较较相相近近的的向向量量成成员员组组织织成成一一个个行行为为类类，这这样样使使用用该该分分析析技技术术的的实实验验结结果果将将会会表表明明用用何何种种方

46、方式式构构成成的的群可以可靠地对用户的行为进行分组并识别。群可以可靠地对用户的行为进行分组并识别。返回本章首页返回本章首页第五章第五章入侵检测技术入侵检测技术 5基于规则的方法基于规则的方法上上面面讨讨论论的的异异常常检检测测主主要要基基于于统统计计方方法法，异异常常检检测测的的另另一一个个变变种种就就是是基基于于规规则则的的方方法法。与与统统计计方方法法不不同同的的是是基基于于规规则则的的检检测测使使用用规规则则集集来来表表示和存储使用模式。示和存储使用模式。（1）Wisdom&Sense方法方法（2）基于时间的引导机（）基于时间的引导机（TIM）返回本章首页返回本章首页第五章第五章

47、入侵检测技术入侵检测技术 5.2.4 其它检测技术其它检测技术这这些些技技术术不不能能简简单单地地归归类类为为误误用用检检测测或或是是异异常常检检测测，而而是是提提供供了了一一种种有有别别于于传传统统入入侵侵检检测测视视角角的的技技术术层层次次，例例如如免免疫疫系系统统、基基因因算算法法、数数据据挖挖掘掘、基基于于代代理理（Agent）的的检检测测等等，它它们们或或者者提提供供了了更更具具普普遍遍意意义义的的分分析析技技术术，或或者者提提出出了了新新的的检检测测系系统统架架构构，因因此此无无论论对对于于误误用用检检测测还还是是异异常检测来说，都可以得到很好的应用。常检测来说，都可以得到很好的

48、应用。返回本章首页返回本章首页第五章第五章入侵检测技术入侵检测技术 1神经网络（神经网络（Neural Network）作作为为人人工工智智能能（AI）的的一一个个重重要要分分支支，神神经经网网络络（Neural Network）在在入入侵侵检检测测领领域域得得到到了了很很好好的的应应用用，它它使使用用自自适适应应学学习习技技术术来来提提取取异异常常行行为为的的特特征征，需需要要对对训训练练数数据据集集进进行行学学习习以以得得出出正正常常的的行行为为模模式式。这这种种方方法法要要求求保保证证用用于于学学习习正正常常模模式式的的训训练练数数据据的的纯纯洁洁性性，即即不不包包含含任任何何入入侵侵

49、或异常的用户行为。或异常的用户行为。返回本章首页返回本章首页第五章第五章入侵检测技术入侵检测技术 2免疫学方法免疫学方法 New Mexico大大学学的的Stephanie Forrest提提出出了了将将生生物物免免疫疫机机制制引引入入计计算算机机系系统统的的安安全全保保护护框框架架中中。免免疫疫系系统统中中最最基基本本也也是是最最重重要要的的能能力力是是识识别别“自自我我/非非自自我我”（self/nonself），换换句句话话讲讲，它它能能够够识识别别哪哪些些组组织织是是属属于于正正常常机机体体的的，不不属属于于正正常常的的就就认认为为是是异异常常，这这个个概概念念和和入入侵侵检检测测中

50、中异异常检测的概念非常相似。常检测的概念非常相似。返回本章首页返回本章首页第五章第五章入侵检测技术入侵检测技术 3数据挖掘方法数据挖掘方法 Columbia大大学学的的Wenke Lee在在其其博博士士论论文文中中，提提出出了了将将数数据据挖挖掘掘（Data Mining,DM）技技术术应应用用到到入入侵侵检检测测中中，通通过过对对网网络络数数据据和和主主机机系系统统调调用用数数据据的的分分析析挖挖掘掘，发发现现误误用用检检测测规规则则或或异异常常检检测测模模型型。具具体体的的工工作作包包括括利利用用数数据据挖挖掘掘中中的的关关联联算算法法和和序序列列挖挖掘掘算算法法提提取取用用户户的的行行

展开阅读全文