信息安全系统工程入侵检测.pptx

《信息安全系统工程入侵检测.pptx》由会员分享，可在线阅读，更多相关《信息安全系统工程入侵检测.pptx（113页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、一、概述一、概述(i sh)n n入侵检测（Intrusion detection）n n入侵检测是通过在计算机网络或计算机系统中的若干关键点收集信息，通过对这些信息的分析来发现网络或系统中是否有违反安全策略的行为和被攻击的迹象的一种机制(jzh)。n n入侵检测系统（Intrusion Detection System）n n进行入侵检测的软件与硬件的组合，它使用入侵检测技术对网络与其上的系统进行监视，并根据监视结果进行不同的安全动作，最大限度地降低可能的入侵危害。第一页，共113页。入侵检测系统的预警入侵检测系统的预警(y jn)功功能能n n目前大部分网络攻击在攻击前有资料搜集的过程目前

2、大部分网络攻击在攻击前有资料搜集的过程n n例如，基于特定系统的漏洞攻击，在攻击之前需要进行端口例如，基于特定系统的漏洞攻击，在攻击之前需要进行端口扫描，以确认系统的类型扫描，以确认系统的类型(lixng)(lixng)以及漏洞相关的端口是以及漏洞相关的端口是否开启。否开启。n n此外某些攻击在初期就可以表现出较为明显的特征此外某些攻击在初期就可以表现出较为明显的特征n n例如，假冒有效用户登录，在攻击初期的登录尝试具有明显例如，假冒有效用户登录，在攻击初期的登录尝试具有明显的特征。的特征。n n对于这些攻击，入侵检测系统可以在攻击的前期准备时期或对于这些攻击，入侵检测系统可以在攻击的前期准备

3、时期或是在攻击刚刚开始的时候进行确认并发出警报是在攻击刚刚开始的时候进行确认并发出警报n n同时入侵检测系统可以对报警的信息进行记录，为以后的一同时入侵检测系统可以对报警的信息进行记录，为以后的一系列实际行动提供证据支持。系列实际行动提供证据支持。第二页，共113页。IDS的特点的特点(tdin)n nIDSIDS是一种积极主动的防护工具，是对防火墙的合理补充，是一种积极主动的防护工具，是对防火墙的合理补充，能帮助系统对付网络攻击，扩展系统管理员的安全管理能能帮助系统对付网络攻击，扩展系统管理员的安全管理能力和范围力和范围n n一般情况下，防火墙为网络安全提供了第一道防线，一般情况下，防火墙为

4、网络安全提供了第一道防线，IDSIDS作为防火墙之后的第二道安全闸门，在不影响网络性能的作为防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护，减少网络受到各种可能击和误操作的实时保护，减少网络受到各种可能(knng)(knng)攻击的损害。攻击的损害。n nIDSIDS不仅能监测外来的入侵者，同时也能监测内部人员的不仅能监测外来的入侵者，同时也能监测内部人员的入侵行为，这也弥补了防火墙在这方面的不足。入侵行为，这也弥补了防火墙在这方面的不足。n n入侵检测一般采用旁路侦听的机制

5、，因此不会产生对网络入侵检测一般采用旁路侦听的机制，因此不会产生对网络带宽的大量占用，系统的使用对网内外的用户来说是透明带宽的大量占用，系统的使用对网内外的用户来说是透明的，不会有任何的影响。的，不会有任何的影响。第三页，共113页。入侵检测的部署入侵检测的部署(b sh)方式和方式和位置位置旁路侦听旁路侦听旁路侦听旁路侦听第四页，共113页。IDS的功能的功能(gngnng)n nIDS通常具有以下功能：n n1、监视用户和系统的运行状况，查找非法用户和合法用户的越权操作；n n2、对系统的弱点进行审计；n n3、对异常行为模式进行统计分析；n n4、评估重要(zhngyo)系统和数据文件的

6、完整性；n n5、对操作系统进行跟踪审计管理，并识别用户违反安全策略的行为。第五页，共113页。IDS常用的评价常用的评价(pngji)指标指标n n1、漏报率n n指攻击事件没有被IDS检测到的概率。n n与其相对的是检出率。n n2、误报率n n指把正常事件识别为攻击并报警(bo jng)的概率。n n注意：误报率与检出率成正比关系。第六页，共113页。二、入侵二、入侵(rqn)检测的基本原检测的基本原理理n n入侵检测与其他检测技术的原理相同，即从收集到的一组数据中，检测出符合某一特点的数据。n n由于入侵者在攻击时通常会留下(li xi)痕迹，这些痕迹与系统正常运行时产生的数据混合在一

7、起，入侵检测的任务就是要从这样的混合数据中找出是否有入侵的痕迹，如果有入侵的痕迹就产生报警信号。第七页，共113页。IDS的工作的工作(gngzu)过程过程n n一个IDS的工作过程包括(boku)4个阶段：数据收集、数据处理、数据分析和报警响应。数据数据收集收集数据数据处理处理数据数据分析分析报警报警响应响应原原始始数数据据包包或或日日志志规则库规则库入侵检测系统入侵检测系统第八页，共113页。IDS的工作的工作(gngzu)过程（续）过程（续）n n1 1、数据收集、数据收集n n数据收集是入侵检测的基础，可以数据收集是入侵检测的基础，可以(ky)(ky)通过不同的途通过不同的途径收集数据

8、。径收集数据。n n目前常见的数据来源包括主机日志、网络数据包、应目前常见的数据来源包括主机日志、网络数据包、应用程序日志和防火墙日志等。用程序日志和防火墙日志等。n n2 2、数据处理、数据处理n n数据收集过程产生的原始数据量一般很庞大，并且存数据收集过程产生的原始数据量一般很庞大，并且存在噪声。在噪声。n n数据处理的功能就是从原始数据中去除冗余和噪声，数据处理的功能就是从原始数据中去除冗余和噪声，并且进行格式化和标准化处理，以利于今后的数据分并且进行格式化和标准化处理，以利于今后的数据分析。析。第九页，共113页。IDS的工作的工作(gngzu)过程（续）过程（续）n n3、数据分析n

9、 n对经过(jnggu)处理的数据采用智能化的方法进行分析，检查数据是正常的还是存在入侵。n n4、报警响应n n当经过(jnggu)数据分析发现入侵时，采用各种措施对网络进行防护、保留入侵证据并通知系统管理员。n n常用的措施包括切断网络连接、记录系统日志、给系统管理员发送电子邮件等。第十页，共113页。IDS的基本的基本(jbn)结构结构n n入侵(rqn)检测系统的通用模型是 CIDF：n nCIDFCommon Intrusion Detection Frameworkn nCIDF将入侵(rqn)检测系统需要分析的数据统称为事件（event）n n事件可以是网络中的数据包，也可以是从

10、系统日志等其他途径得到的信息。第十一页，共113页。CIDF的体系结构的体系结构第十二页，共113页。CIDF包含包含(bohn)的组件的组件n n1 1、事件产生器事件产生器n n事件产生器采集和监视被保护系统的数据，这些数据事件产生器采集和监视被保护系统的数据，这些数据可以是网络的数据包，也可以是从系统日志等其他途可以是网络的数据包，也可以是从系统日志等其他途径搜集到的信息。径搜集到的信息。n n事件产生器可以把数据进行保存，一般是保存到数据事件产生器可以把数据进行保存，一般是保存到数据库中。库中。n n2 2、事件分析器事件分析器n n事件分析器的功能主要分为两个方面：事件分析器的功能主

11、要分为两个方面：n n1 1）用于分析事件产生器搜集到的数据，区分数据的）用于分析事件产生器搜集到的数据，区分数据的正确性，发现非法的或者具有潜在危险的、异常的数正确性，发现非法的或者具有潜在危险的、异常的数据现象，通知响应单元做出入侵防范；据现象，通知响应单元做出入侵防范；n n2 2）对数据库保存的数据做定期的统计分析，发现某）对数据库保存的数据做定期的统计分析，发现某段时期内的异常表现段时期内的异常表现(bioxin)(bioxin)，进而对该时期内的，进而对该时期内的异常数据进行详细分析。异常数据进行详细分析。第十三页，共113页。CIDF包含包含(bohn)的组件（续）的组件（续）n

12、 n3、响应单元n n响应单元是协同事件分析器工作的重要组成部分，一旦事件分析器发现具有入侵企图的异常数据，响应单元就要发挥作用，对具有入侵企图的攻击施以拦截(lnji)、阻断、反追踪等手段，保护被保护系统免受攻击和破坏。n n4、事件数据库n n事件数据库记录事件分析单元提供的分析结果，同时记录下所有来自于事件产生器的事件，用来进行以后的分析与检查。第十四页，共113页。三、入侵检测三、入侵检测(jin c)系统的分系统的分类类n n入侵检测系统的分类标准有多种，最常用(chn yn)的是根据入侵检测系统的输入数据来源，将其分为：n n基于主机（Host-Based）的入侵检测系统（HIDS

13、）n n基于网络（Network-Based）的入侵检测系统（NIDS）第十五页，共113页。HIDSHIDS（基于主机）（基于主机）（基于主机）（基于主机）NDISNDIS（基于网络）（基于网络）（基于网络）（基于网络）数据源数据源系统日志或应用程序日志系统日志或应用程序日志原始的网络数据包原始的网络数据包能否确定攻击是否成功能否确定攻击是否成功（到达目标）（到达目标）能能不能不能能否检测网络上攻击不能不能能能加密网络环境加密网络环境支持支持不支持不支持实时性实时性一般一般好好是否需要额外硬件是否需要额外硬件不需要不需要需要需要监视特定的系统行为监视特定的系统行为（如特定的文件操作或（如特定

14、的文件操作或账户操作）账户操作）容易容易较难较难通用性通用性差（依赖具体系统或应用程差（依赖具体系统或应用程序的日志格式）序的日志格式）好（网络协议是标准的）好（网络协议是标准的）对目标系统的资源消耗对目标系统的资源消耗大（需要在目标系统所在主大（需要在目标系统所在主机上采集日志）机上采集日志）无（旁路获取网络报文）无（旁路获取网络报文）攻击者转移（或删除）攻击者转移（或删除）证据证据容易容易较难较难第十六页，共113页。3.1 基于主机的入侵检测基于主机的入侵检测(jin c)系统系统n nHIDSHIDS通常以系统日志、应用程序日志等审计记录文件作为数据通常以系统日志、应用程序日志等审计记

15、录文件作为数据源源n n通过比较这些审计记录文件的记录与攻击签名（通过比较这些审计记录文件的记录与攻击签名（Attack Attack SignatureSignature，指用一种特定的方式来表示已知的攻击模式）是否，指用一种特定的方式来表示已知的攻击模式）是否匹配以发现是否存在攻击行为。匹配以发现是否存在攻击行为。n n如果匹配，检测系统就向管理员发出入侵报警并采取相应行动。如果匹配，检测系统就向管理员发出入侵报警并采取相应行动。n n由于审计数据是收集系统用户行为信息由于审计数据是收集系统用户行为信息(xnx)(xnx)的主要方法，因的主要方法，因而必须保证系统的审计数据不被修改而必须保

16、证系统的审计数据不被修改n n但是，当系统遭到攻击时，这些数据很可能被有经验的黑客修但是，当系统遭到攻击时，这些数据很可能被有经验的黑客修改，因此，这就要求改，因此，这就要求HIDSHIDS必须满足一个实时性条件：即检测系必须满足一个实时性条件：即检测系统必须在攻击者完全控制系统并更改审计数据之前完成对审计统必须在攻击者完全控制系统并更改审计数据之前完成对审计数据的分析，产生报警并采取相应的措施。数据的分析，产生报警并采取相应的措施。第十七页，共113页。例：例：Windows 7系统日志系统日志第十八页，共113页。例：例：Windows7审核审核(shnh)策策略略第十九页，共113页。例

17、：例：IIS系统日志系统日志IIS IIS 日志日志日志日志(rzh)(rzh)文件默认位置为文件默认位置为文件默认位置为文件默认位置为%systemroot%/system32/logfiles%systemroot%/system32/logfiles第二十页，共113页。HIDS的优点的优点(yudin)n n1 1、能够确定攻击是否成功、能够确定攻击是否成功n n由于由于HIDSHIDS使用包含有确实已经发生的事件信息的日志使用包含有确实已经发生的事件信息的日志文件作为数据源，因而比文件作为数据源，因而比NIDSNIDS更能准确地判断出攻击更能准确地判断出攻击是否成功。是否成功。n n

18、2 2、非常适合于加密和交换环境、非常适合于加密和交换环境n n由于由于NIDSNIDS是以网络数据包作为数据源，因而对于加密是以网络数据包作为数据源，因而对于加密环境来讲，它是无能为力的；环境来讲，它是无能为力的；n n但对于但对于HIDSHIDS不存在该问题，因为所有的加密数据在到不存在该问题，因为所有的加密数据在到达主机之前必须被解密，这样达主机之前必须被解密，这样(zhyng)(zhyng)才能被操作系才能被操作系统解析；统解析；n n另外对于交换网络来讲，另外对于交换网络来讲，NIDSNIDS在获取网络流量上，面在获取网络流量上，面临着很大的挑战，但对于临着很大的挑战，但对于HIDS

19、HIDS就没有这方面的限制。就没有这方面的限制。第二十一页，共113页。HIDS的优点的优点(yudin)（续）（续）n n3、接近实时的检测和响应n nHIDS不能提供真正的实时响应，但是由于现有的HIDS大多采取的是在日志文件形成(xngchng)的同时获取审计数据信息，因而就为接近实时的检测和响应提供了可能。n n4、不需要额外的硬件n nHIDS是驻留在现有的网络基础设施之上的，包括文件服务器、Web服务器和其他的共享资源等，这样就减少了HIDS的实施成本。第二十二页，共113页。HIDS的优点的优点(yudin)（续）（续）n n5 5、可监视特定的系统行为、可监视特定的系统行为n

20、nHIDSHIDS可以：可以：n n1 1）监视用户）监视用户(yngh)(yngh)和文件的访问活动，如文件访问、和文件的访问活动，如文件访问、文件权限的改变、试图建立新的可执行文件和试图访问文件权限的改变、试图建立新的可执行文件和试图访问特权服务等；特权服务等；n n2 2）监视通常只有管理员才能实施的行为，如用户）监视通常只有管理员才能实施的行为，如用户(yngh)(yngh)账号的添加、删除、更改的情况；账号的添加、删除、更改的情况；n n3 3）跟踪影响系统日志记录的策略变化；）跟踪影响系统日志记录的策略变化；n n4 4）监视关键系统文件和可执行文件的更改。）监视关键系统文件和可执

21、行文件的更改。n nNIDSNIDS很难做到这些。很难做到这些。第二十三页，共113页。HIDS的不足的不足(bz)n nHIDSHIDS的不足之处主要是依赖于审计数据或系统日志的准确性、完的不足之处主要是依赖于审计数据或系统日志的准确性、完整性以及对安全事件的定义，如果攻击者能逃避审计，则整性以及对安全事件的定义，如果攻击者能逃避审计，则HIDSHIDS就就无法对攻击者的行为做出反应。无法对攻击者的行为做出反应。n n此外在网络环境下，单纯依靠主机审计信息进行入侵检测此外在网络环境下，单纯依靠主机审计信息进行入侵检测(jin c)(jin c)难以完全满足网络安全的需求，主要表现在：难以完全

22、满足网络安全的需求，主要表现在：n n1 1、主机的审计信息容易受到攻击，入侵者可通过使用某些系统特、主机的审计信息容易受到攻击，入侵者可通过使用某些系统特权来逃避审计；权来逃避审计；n n2 2、无法通过分析主机审计信息来检测、无法通过分析主机审计信息来检测(jin c)(jin c)网络攻击；网络攻击；n n3 3、HIDSHIDS的运行会影响主机的性能；的运行会影响主机的性能；n n4 4、HIDSHIDS只能对主机上的特定应用程序执行的日志进行检测只能对主机上的特定应用程序执行的日志进行检测(jin(jin c)c)，所能检测，所能检测(jin c)(jin c)到的攻击类型是有限的。

23、到的攻击类型是有限的。第二十四页，共113页。3.2 基于网络的入侵检测基于网络的入侵检测(jin c)系统系统 n nNIDS以原始的网络数据包作为数据源，它是利用网络适配器来实时地监视并分析通过网络进行传输(chun sh)的所有通信业务的。n n一旦检测到攻击，NIDS的响应模块通过通知、报警及中断连接等方式对攻击行为作出反应。第二十五页，共113页。NIDS的优点的优点(yudin)n n1 1、实时监测和应答、实时监测和应答n nNIDSNIDS可以随时发现恶意可以随时发现恶意(y)(y)的访问或攻击，能更快的访问或攻击，能更快的做出反应。的做出反应。n n实时性使得系统可以根据预先

24、设置的规则迅速采取相实时性使得系统可以根据预先设置的规则迅速采取相应的行动，从而将入侵行为对系统的破坏降到最低。应的行动，从而将入侵行为对系统的破坏降到最低。n n2 2、能够检测到未成功的攻击企图、能够检测到未成功的攻击企图n n有些攻击行为旨在攻击防火墙后面的资源，利用放置有些攻击行为旨在攻击防火墙后面的资源，利用放置在防火墙外的在防火墙外的 NIDS NIDS 就可以检测到这种企图；就可以检测到这种企图；n n而而HIDSHIDS并不能发现未能到达受防火墙保护的主机的攻并不能发现未能到达受防火墙保护的主机的攻击企图，而这些攻击企图信息对于评估和改进系统的击企图，而这些攻击企图信息对于评估

25、和改进系统的安全策略是十分重要的。安全策略是十分重要的。第二十六页，共113页。NIDS的优点的优点(yudin)（续）（续）n n3 3、操作系统无关性、操作系统无关性n nNIDSNIDS并不依赖主机的操作系统作为检测资源；而并不依赖主机的操作系统作为检测资源；而HIDSHIDS需要依需要依赖特定的操作系统才能赖特定的操作系统才能(cinng)(cinng)发挥作用。发挥作用。n n4 4、较低的成本、较低的成本n nNIDSNIDS允许部署在一个或多个关键访问点来检查所有经过的网络允许部署在一个或多个关键访问点来检查所有经过的网络通信，因此并不需要在各个主机上都安装，这样就大大减少了通信

26、，因此并不需要在各个主机上都安装，这样就大大减少了安全和管理的复杂性，所需的成本费用也就相对较低。安全和管理的复杂性，所需的成本费用也就相对较低。n n5 5、攻击者转移证据更困难、攻击者转移证据更困难n nNIDSNIDS使用正在发生的网络通信进行实时攻击的检测，因此攻击使用正在发生的网络通信进行实时攻击的检测，因此攻击者无法转移证据，被检测系统捕获到的数据不仅包括攻击方法，者无法转移证据，被检测系统捕获到的数据不仅包括攻击方法，而且包括对识别和指控攻击者十分有用的信息。而且包括对识别和指控攻击者十分有用的信息。第二十七页，共113页。NIDS的不足的不足(bz)n n当然，NIDS同样存在

27、一些不足，主要表现在：n n1、只能(zh nn)监视通过本网段的网络报文，并且精确度较差；n n2、在交换网络环境中难于配置；n n3、防欺骗能力比较差，对于加密环境通常是无能为力。第二十八页，共113页。3.3 分布式入侵检测分布式入侵检测(jin c)系统系统n nHIDS和NIDS都有各自的优势，而在某些方面又是很好的互补，如果将两者结合，就会得到一种(y zhn)优化的入侵检测系统。n n通常这样的系统是分布式结构，它能同时分析来自主机系统的审计数据和来自网络的数据通信流量信息。n n分布式的IDS是一种(y zhn)相对完善的体系结构，为日益复杂的网络环境下的安全策略的实现提供了最

28、佳解决方案。第二十九页，共113页。一种一种(y zhn)分布式分布式IDS（DIDS）架构）架构网络网络网络网络(w(w nglu)nglu)网络网络网络网络(w(w nglu)nglu)第三十页，共113页。四、入侵检测四、入侵检测(jin c)的数据分的数据分析技术析技术 n n数据分析是入侵检测系统的核心，它是关系到能否检查(jinch)出入侵行为的关键。n n入侵检测系统所采用的数据分析技术包括n n1、异常检测（Anomaly Detection）技术n n2、误用检测（Misuse Detection）技术第三十一页，共113页。异常检测异常检测异常检测异常检测误用检测误用检测误

29、用检测误用检测别名别名基于行为的检测基于行为的检测基于知识的检测基于知识的检测直接或间接检测直接或间接检测间接间接直接直接检测原理检测原理1 1）首先建立系统或用户）首先建立系统或用户的的“正常正常”行为轮廓；行为轮廓；2 2）通过比较当前系统或）通过比较当前系统或用户的行为是否偏离了正用户的行为是否偏离了正常的行为轮廓来判断是否常的行为轮廓来判断是否发生了入侵行为。发生了入侵行为。1 1）首先将已知的攻击方法）首先将已知的攻击方法用攻击签名表示；用攻击签名表示；2 2）根据）根据已经定义好的攻击签名，已经定义好的攻击签名，通过判断这些攻击签名是通过判断这些攻击签名是否出现来判断是否发生了否出

30、现来判断是否发生了入侵行为。入侵行为。误报率误报率高高低低对未知入侵行为的对未知入侵行为的检测能力检测能力好好无无要求的计算能力要求的计算能力高高低低对内部用户入侵行对内部用户入侵行为的检测能力为的检测能力好好差差第三十二页，共113页。4.1 异常异常(ychng)检测检测 n n异常检测也被称为基于行为的（Behavior-Based）检测n n其基本原理是假定所有的入侵行为都是异常的，即入侵行为是异常行为的子集。n n在首先建立了系统或用户的“正常”行为轮廓后，通过比较当前的系统或用户的行为是否偏离了正常的行为特征轮廓来判断是否发生了入侵行为。n n由于(yuy)这种技术不是依赖于某个具

31、体行为是否出现来进行检测的，因此是一种间接的检测方法。第三十三页，共113页。异常检测异常检测(jin c)面临的关键问面临的关键问题题 n n1、特征量的选择n n异常检测首先是要建立系统或用户(yngh)的“正常”行为特征轮廓。n n这就要求在建立正常模型时，选取的特征量既要能准确地体现系统或用户(yngh)的行为特征，又能使模型最优化，即以最少的特征量涵盖系统或用户(yngh)的行为特征。n n典型的特征量：CPU利用率、I/O使用率。第三十四页，共113页。异常检测异常检测(jin c)面临的关键问面临的关键问题（续）题（续）n n2 2、阈值的选定、阈值的选定n n在实际的网络环境下

32、，入侵行为和异常行为往往不是一在实际的网络环境下，入侵行为和异常行为往往不是一对一的等价关系（某一行为是异常行为，而它不一定是对一的等价关系（某一行为是异常行为，而它不一定是入侵行为；同样存在某一行为是入侵行为，而它却不一入侵行为；同样存在某一行为是入侵行为，而它却不一定是异常行为的情况），所以会导致漏报和误报的产生。定是异常行为的情况），所以会导致漏报和误报的产生。n n由于异常检测是先建立正常的特征轮廓并以此作为比较由于异常检测是先建立正常的特征轮廓并以此作为比较(bjio)(bjio)的基准，而这个基准，即阈值的选定是非常关键的基准，而这个基准，即阈值的选定是非常关键的：的：n n 1

33、1）阈值选得过大，则漏报率就会很高；）阈值选得过大，则漏报率就会很高；n n 2 2）相反，阈值选得过小，则误报率就会提高，这会）相反，阈值选得过小，则误报率就会提高，这会对用户的正常工作带来很多的不便。对用户的正常工作带来很多的不便。第三十五页，共113页。异常异常(ychng)检测面临的关键检测面临的关键问题（续）问题（续）n n3 3、比较频率的选取、比较频率的选取n n由于异常检测是通过比较当前的行为和已建立的正常由于异常检测是通过比较当前的行为和已建立的正常行为特征轮廓来判断入侵的发生与否的，因而比较的行为特征轮廓来判断入侵的发生与否的，因而比较的频率，即经过多长时间进行比较的问题也

34、是一个重要频率，即经过多长时间进行比较的问题也是一个重要因素：因素：n n 1 1）频率过低，检测结果的漏报率会很高，因为攻）频率过低，检测结果的漏报率会很高，因为攻击者往往能通过逐渐改变攻击的模式使之成为系统所击者往往能通过逐渐改变攻击的模式使之成为系统所接受的行为特征，从而使攻击无法被检测出来；接受的行为特征，从而使攻击无法被检测出来；n n 2 2）频率过高，误报率就会提高，因为有的正常进）频率过高，误报率就会提高，因为有的正常进程在短时间内的资源消耗程在短时间内的资源消耗(xioho)(xioho)会很大，这样检测会很大，这样检测系统就会误认为有入侵行为的发生。系统就会误认为有入侵行为

35、的发生。第三十六页，共113页。异常检测技术异常检测技术(jsh)的特点的特点n n异常检测的特点：n n1、误报率高；n n2、对于未知的入侵行为的检测非常有效；n n3、是检测冒充合法用户(yngh)的入侵行为的有效方法；n n4、所需的计算量很大，对系统的处理性能要求也很高。第三十七页，共113页。例：例：IDES系统系统(xtng)的异常检的异常检测测n nIDES统计异常检测(jin c)引擎观测在所监控计算机系统上的活动行为，并自适应地学习主体正常行为模式。n n在IDES系统的统计分析组件中，当前系统的活动状态采用一组测量值参数变量来表示，称为“入侵检测(jin c)向量”。n

36、n具体而言，IDES使用特定的入侵检测(jin c)测量值来决定所观测到的审计记录中的行为与过去或者可接受行为对比是否异常。第三十八页，共113页。例：例：IDES系统的异常系统的异常(ychng)检测检测（续）（续）n n根据目标主体类型的不同，根据目标主体类型的不同，IDESIDES定义了定义了3 3种不同类型的种不同类型的测量值，分别针对：测量值，分别针对：n n1 1）用户主体）用户主体n n2 2）目标系统主体）目标系统主体n n3 3）远程主机主体）远程主机主体n n此外，可以把此外，可以把 IDES IDES 统计分析系统中不同类型的单独测统计分析系统中不同类型的单独测量值分为以

37、下量值分为以下4 4个类别：个类别：n n1 1）活动强度测量值活动强度测量值n n2 2）审计记录审计记录(jl)(jl)分布测量值分布测量值n n3 3）类别测量值类别测量值n n4 4）序数测量值序数测量值第三十九页，共113页。例：例：IDES系统系统(xtng)的异常检测的异常检测（续）（续）n nIDESIDES针对针对“用户主体用户主体”类型的测量值：类型的测量值：n n1 1）序数测量值序数测量值n n包括：包括：CPUCPU使用情况、使用情况、I/O I/O使用情况使用情况n n2 2）类别测量值类别测量值n n包括：使用物理位置、包括：使用物理位置、邮件程序使用、邮件程序使

38、用、编辑器使用、编辑器使用、编译器使用、编译器使用、文件活动、文件活动、文件使用、本地网络活动类型、文件使用、本地网络活动类型、本地主机网络活动、本地主机网络活动、n n3 3）审计审计(shn j)(shn j)记录分布测量值记录分布测量值n n对于以上的每个测量值，在审计对于以上的每个测量值，在审计(shn j)(shn j)记录分布测量值记录分布测量值中都有一个对应的类别。中都有一个对应的类别。n n4 4）活动强度测量值活动强度测量值n n包括：每分钟的流量、每包括：每分钟的流量、每1010分钟的流量、每小时的流量。分钟的流量、每小时的流量。第四十页，共113页。例：例：IDES系统系

39、统(xtng)的异常检测的异常检测（续）（续）n n对于用户所生成的每一个审计记录：n nIDES系统经计算生成一个单独的测试统计值（IDES分数值，表示为 T2），用来综合表明最近用户行为的异常(ychng)程度。n n统计值 T2 本身是一个对多个测量值异常(ychng)度的综合评价。第四十一页，共113页。4.2 误用误用(w yn)检测检测 n n误用检测也被称为基于误用检测也被称为基于(jy)(jy)知识的（知识的（Knowledge-Knowledge-BasedBased）检测，其基本前提是假定所有可能的入侵行）检测，其基本前提是假定所有可能的入侵行为都能被识别和表示为都能被识别

40、和表示n n该技术首先将已知的攻击方法用攻击签名（攻击签名该技术首先将已知的攻击方法用攻击签名（攻击签名是指用一种特定的方式来表示已知的攻击模式）表示，是指用一种特定的方式来表示已知的攻击模式）表示，然后根据已经定义好的攻击签名，通过模式匹配等技然后根据已经定义好的攻击签名，通过模式匹配等技术判断这些攻击签名是否出现来判断是否发生了入侵术判断这些攻击签名是否出现来判断是否发生了入侵行为。行为。n n这种方法是通过直接判断攻击签名的出现与否来判断这种方法是通过直接判断攻击签名的出现与否来判断入侵行为的，从这一点来看，它是一种直接的方法。入侵行为的，从这一点来看，它是一种直接的方法。第四十二页，共

41、113页。误用误用(w yn)检测技术的优点检测技术的优点n n误用检测是通过将收集到的信息与已知的攻击签名误用检测是通过将收集到的信息与已知的攻击签名（SignatureSignature）模式库进行）模式库进行(jnxng)(jnxng)比较，从而发现比较，从而发现违背安全策略的行为的，因此，它只需收集相关的数违背安全策略的行为的，因此，它只需收集相关的数据，这样系统的负担就明显减少了。据，这样系统的负担就明显减少了。n n该方法类似于病毒检测系统，其检测的准确率和效率该方法类似于病毒检测系统，其检测的准确率和效率都比较高，而且这种技术比较成熟，国际上一些顶尖都比较高，而且这种技术比较成熟

42、，国际上一些顶尖的入侵检测系统都采用该方法。的入侵检测系统都采用该方法。n n另外，误用检测是通过模式匹配来完成检测过程的，另外，误用检测是通过模式匹配来完成检测过程的，所以在计算处理上对系统的要求不是很高。所以在计算处理上对系统的要求不是很高。第四十三页，共113页。误用检测误用检测(jin c)技术的不足技术的不足n n1、不能检测未知的入侵行为n n误用检测只能根据己知的入侵序列和系统缺陷的模式来检测系统中的可疑行为，面对新的入侵攻击行为以及那些利用系统中未知或潜在缺陷的越权行为时，则无能为力。n n由于其检测机理是对已知的入侵方法(fngf)进行模式提取，对于未知的入侵方法(fngf)

43、由于缺乏先验知识就不能进行有效的检测，因而在新的网络环境下漏报率会比较高。第四十四页，共113页。误用误用(w yn)检测技术的不足检测技术的不足（续）（续）n n2、与系统的相关性很强n n检测系统知识库中的入侵攻击知识与系统的运行(ynxng)环境有关，对于不同的操作系统，由于其实现机制不同，对其攻击的方法也不尽相同，因而很难定义出统一的模式库。n n3、难以检测出内部攻击者的越权行为n n对于系统内部攻击者的越权行为，由于他们没有利用系统的缺陷，因而很难检测出来。第四十五页，共113页。4.3 入侵入侵(rqn)检测具体技术检测具体技术n n基于统计方法的入侵检测(jin c)技术n n

44、基于神经网络的入侵检测(jin c)技术n n基于专家系统的入侵检测(jin c)技术n n基于模型推理的入侵检测(jin c)技术第四十六页，共113页。4.3.1 基于基于(jy)统计方法统计方法n n审计系统实时地检测用户(yngh)对系统的使用情况，根据系统内部保持的用户(yngh)行为的概率统计模型进行监测，当发现有可疑的用户(yngh)行为发生时，保持跟踪并监测、记录该用户(yngh)的行为。第四十七页，共113页。4.3.2 基于基于(jy)神经网络神经网络n n采用神经网络技术，根据实时检测到的信息有效地加以处理作出攻击可能性的判断。n n神经网络技术可以用于解决传统的统计分析

45、技术所面临的以下问题：n n难于建立确切的统计分布导致n n难于实现方法的普适性n n算法(sun f)实现比较昂贵n n系统臃肿难于剪裁第四十八页，共113页。4.3.3 基于基于(jy)专家系统专家系统n n根据安全专家对可疑行为的分析经验(jngyn)来形成一套推理规则，然后再在此基础之上构成相应的专家系统，并应用于入侵检测。基于规则的专家系统或推进系统的也有一定的局限性。第四十九页，共113页。4.3.4 基于基于(jy)模型推理模型推理n n用基于模型的推理方法人们能够为某些行为建立特定的模型，从而能够监视具有特定行为特征的某些活动。根据假设的攻击脚本，这种系统(xtng)就能检测出

46、非法的用户行为。n n一般为了准确判断，要为不同的攻击者和不同的系统(xtng)建立特定的攻击脚本。第五十页，共113页。4.3.5 其他其他(qt)的检测技术的检测技术 n n免疫系统方法 n n遗传算法 n n基于代理(dil)检测 n n数据挖掘 第五十一页，共113页。五、入侵检测五、入侵检测(jin c)系统的部系统的部署署n n入侵检测系统有不同的部署方式和特点:n n根据所掌握的网络检测和安全需求，选取各种类型的入侵检测系统，将多种入侵检测系统按照预定的计划进行部署，确保每个入侵检测系统都能够在相应部署点上发挥作用，共同(gngtng)防护，保障网络的安全运行。n n部署工作包括

47、对网络入侵检测和主机入侵检测等类型入侵检测系统的部署规划。第五十二页，共113页。5.1 基于网络入侵检测基于网络入侵检测(jin c)系统的部署系统的部署n n基于网络的入侵检测系统可以在网络的多个(du)位置进行部署。n n这里的部署主要指对网络入侵检测器的部署。n n总体来说，入侵检测的部署点可以划分为4个位置：n n1）DMZ区n n2）外网入口n n3）内网主干n n4）关键子网第五十三页，共113页。基于网络入侵检测系统基于网络入侵检测系统(xtng)的部的部署（续）署（续）第五十四页，共113页。基于网络入侵基于网络入侵(rqn)检测系统的部署检测系统的部署（续）（续）n n1

48、1、DMZDMZ区区n nDMZDMZ区部署点在区部署点在DMZDMZ区的总口上，这是入侵检测器最常见的部署区的总口上，这是入侵检测器最常见的部署位置。位置。n n在这里入侵检测器可以检测到所有针对用户向外提供服务的服务在这里入侵检测器可以检测到所有针对用户向外提供服务的服务器进行攻击的行为。器进行攻击的行为。n n对于用户来说，防止对外服务的服务器受到攻击是最为重要的。对于用户来说，防止对外服务的服务器受到攻击是最为重要的。n n2 2、外网入口、外网入口n n外网入口部署点位于防火墙之前，入侵检测器在这个部署点可以外网入口部署点位于防火墙之前，入侵检测器在这个部署点可以检测所有进出防火墙外

49、网口的数据。检测所有进出防火墙外网口的数据。n n由于该部署点在防火墙之前，因此入侵检测器将处理所有的进出由于该部署点在防火墙之前，因此入侵检测器将处理所有的进出数据，由于入侵检测器本身性能上的局限，该部署点的入侵检测数据，由于入侵检测器本身性能上的局限，该部署点的入侵检测器目前的效果并不理想。器目前的效果并不理想。n n另外对于进行另外对于进行NATNAT的内部网来说，入侵检测器不能定位攻击的源的内部网来说，入侵检测器不能定位攻击的源或目的地址，系统管理员在处理攻击行为或目的地址，系统管理员在处理攻击行为(n j xn wi)(n j xn wi)上存在上存在一定的难度。一定的难度。第五十五

50、页，共113页。基于基于(jy)网络入侵检测系统的部署（续）网络入侵检测系统的部署（续）n n3 3、内网主干、内网主干n n内网主干部署点是最常用的部署位置，在这里入侵检测内网主干部署点是最常用的部署位置，在这里入侵检测器主要检测内网流出和经过防火墙过滤后流入内网的网器主要检测内网流出和经过防火墙过滤后流入内网的网络数据。络数据。n n由于防火墙的过滤作用，防火墙已经根据规则要求抛弃由于防火墙的过滤作用，防火墙已经根据规则要求抛弃了大量的非法了大量的非法(fif)(fif)数据包，这样就降低了通过入侵检数据包，这样就降低了通过入侵检测器的数据流量，使得入侵检测器能够更有效地工作。测器的数据流