信息安全入侵检测技术.pptx

《信息安全入侵检测技术.pptx》由会员分享，可在线阅读，更多相关《信息安全入侵检测技术.pptx（95页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、第五章第五章 入侵检测技术入侵检测技术 页2024/3/11页2024/3/11页2024/3/11第第5章章 入侵检测技术入侵检测技术n内容提要：内容提要：入侵检测概述入侵检测的技术实现分布式入侵检测入侵检测系统的标准入侵检测系统示例本章小结2024/3/111第五章第五章 入侵检测技术入侵检测技术 页2024/3/11页2024/3/11页2024/3/11n入入侵侵检检测测技技术术研研究究最最早早可可追追溯溯到到19801980年年James James P.AdersonP.Aderson所所写的一份技术报告，他首先提出了入侵检测的概念。写的一份技术报告，他首先提出了入侵检测的概念。n

2、19871987年年Dorothy Dorothy DenningDenning提提出出了了入入侵侵检检测测系系统统（IDSIDS，Intrusion Intrusion Detection Detection SystemSystem）的的抽抽象象模模型型（如如图图5-15-1所所示示），首首次次提提出出了了入入侵侵检检测测可可作作为为一一种种计计算算机机系系统统安安全全防防御御措措施施的的概概念念n与与传传统统的的加加密密和和访访问问控控制制技技术术相相比比，IDSIDS是是全全新新的的计计算算机机安安全全措施。措施。返回本章首页返回本章首页入侵检测发展历史入侵检测发展历史2024/3/1

3、12第五章第五章 入侵检测技术入侵检测技术 页2024/3/11页2024/3/11页2024/3/11返回本章首页返回本章首页入侵检测发展历史入侵检测发展历史2024/3/113第五章第五章 入侵检测技术入侵检测技术 页2024/3/11页2024/3/11页2024/3/11n19881988年年Teresa Teresa LuntLunt等等人人进进一一步步改改进进了了DenningDenning提提出出的的入入侵侵检检测测 模模 型型，并并 创创 建建 了了 IDESIDES（Intrusion Intrusion Detection Detection Expert Expert S

4、ystemSystem）n该该系系统统用用于于检检测测单单一一主主机机的的入入侵侵尝尝试试，提提出出了了与与系系统统平平台台无无关关的的实时检测思想实时检测思想n19951995年年 开开 发发 的的 NIDESNIDES（Next-Generation Next-Generation Intrusion Intrusion Detection Detection Expert Expert SystemSystem）作作为为IDESIDES完完善善后后的的版版本本可可以以检检测测出出多个主机上的入侵。多个主机上的入侵。返回本章首页返回本章首页入侵检测发展历史入侵检测发展历史2024/3/11

5、4第五章第五章 入侵检测技术入侵检测技术 页2024/3/11页2024/3/11页2024/3/11n19901990年年，HeberleinHeberlein等等人人提提出出了了一一个个具具有有里里程程碑碑意意义义的的新新型型概概念念：基基于于网网络络的的入入侵侵检检测测网网络络安安全全监监视视器器NSMNSM（Network Security MonitorNetwork Security Monitor）。）。n19911991年年,NADIR,NADIR（Network Network Anomaly Anomaly Detection Detection and and Intru

6、sion Intrusion ReporterReporter）与与DIDSDIDS（Distribute Distribute Intrusion Intrusion Detection Detection SystemSystem）提提出出了了通通过过收收集集和和合合并并处处理理来来自自多多个个主主机机的的审审计计信信息息可可以以检检测测出出一一系系列列针对主机的协同攻击。针对主机的协同攻击。返回本章首页返回本章首页入侵检测发展历史入侵检测发展历史2024/3/115第五章第五章 入侵检测技术入侵检测技术 页2024/3/11页2024/3/11页2024/3/11n19941994年年，

7、Mark Mark CrosbieCrosbie和和Gene Gene SpaffordSpafford建建议议使使用用自自治治代代理理（autonomous autonomous agentsagents）以以提提高高IDSIDS的的可可伸伸缩缩性性、可可维维护护性性、效效率率和和容容错错性性，该该理理念念非非常常符符合合计计算算机机科科学学其其他他领领域域（如如软软件件代理，代理，software agentsoftware agent）正在进行的相关研究。）正在进行的相关研究。n另另一一个个致致力力于于解解决决当当代代绝绝大大多多数数入入侵侵检检测测系系统统伸伸缩缩性性不不足足的的方方法

8、法于于19961996年年提提出出，这这就就是是GrIDSGrIDS（Graph-based Graph-based Intrusion Intrusion Detection Detection SystemSystem）的的设设计计和和实实现现，该该系系统统可可以以方方便便地地检检测测大大规模自动或协同方式的网络攻击。规模自动或协同方式的网络攻击。返回本章首页返回本章首页入侵检测发展历史入侵检测发展历史2024/3/116第五章第五章 入侵检测技术入侵检测技术 页2024/3/11页2024/3/11页2024/3/11n入侵检测技术研究的主要创新有：入侵检测技术研究的主要创新有：pFor

9、rest等将免疫学原理运用于分布式入侵检测领域；p1998年Ross Anderson和Abida Khattak将信息检索技术引进入侵检测；p以及采用状态转换分析、数据挖掘和遗传算法等进行误用和异常检测。返回本章首页返回本章首页入侵检测发展历史入侵检测发展历史2024/3/117第五章第五章 入侵检测技术入侵检测技术 页2024/3/11页2024/3/11页2024/3/115.1.1 入侵检测原理入侵检测原理 n入侵检测入侵检测p入侵检测是用于检测任何损害或企图损害系统的保密性、完整性或可用性的一种网络安全技术。p它通过监视受保护系统的状态和活动，采用误用检测（Misuse Detect

10、ion）或 异 常 检 测（Anomaly Detection）的方式，发现非授权的或恶意的系统及网络行为，为防范入侵行为提供有效的手段。返回本章首页返回本章首页2024/3/118第五章第五章 入侵检测技术入侵检测技术 页2024/3/11页2024/3/11页2024/3/11图5-2 入侵检测原理框图 返回本章首页返回本章首页2024/3/119第五章第五章 入侵检测技术入侵检测技术 页2024/3/11页2024/3/11页2024/3/11n入侵检测系统入侵检测系统 p执行入侵检测任务的硬件或软件产品 p入侵检测提供了用于发现入侵攻击与合法用户滥用特权的一种方法。p其应用前提是入侵行

11、为和合法行为是可区分的，也即可以通过提取行为的模式特征来判断该行为的性质。n一般地，入侵检测系统需要解决两个问题：一般地，入侵检测系统需要解决两个问题：p如何充分并可靠地提取描述行为特征的数据；p如何根据特征数据，高效并准确地判定行为的性质。返回本章首页返回本章首页2024/3/1110第五章第五章 入侵检测技术入侵检测技术 页2024/3/11页2024/3/11页2024/3/115.1.2 系统结构系统结构n由由于于网网络络环环境境和和系系统统安安全全策策略略的的差差异异，入入侵侵检检测测系系统统在具体实现上也有所不同。在具体实现上也有所不同。n从从系系统统构构成成上上看看，入入侵侵检检

12、测测系系统统应应包包括括事事件件提提取取、入入侵侵分分析析、入入侵侵响响应应和和远远程程管管理理四四大大部部分分，另另外外还还可可能能结结合合安安全全知知识识库库、数数据据存存储储等等功功能能模模块块，提提供供更更为为完完善的善的安全检测及数据分析功能安全检测及数据分析功能（如图（如图5-35-3所示）。所示）。返回本章首页返回本章首页2024/3/1111第五章第五章 入侵检测技术入侵检测技术 页2024/3/11页2024/3/11页2024/3/11图5-3 入侵检测系统结构返回本章首页返回本章首页2024/3/1112第五章第五章 入侵检测技术入侵检测技术 页2024/3/11页202

13、4/3/11页2024/3/11n入入侵侵检检测测的的思思想想源源于于传传统统的的系系统统审审计计，但但拓拓宽宽了了传传统统审审计计的的概概念念，它它以以近近乎乎不不间间断断的的方方式式进进行行安安全全检检测测，从而可形成一个连续的检测过程。从而可形成一个连续的检测过程。n这通常是通过执行下列任务来实现的：这通常是通过执行下列任务来实现的：p监视、分析用户及系统活动；p系统构造和弱点的审计；p识别分析知名攻击的行为特征并告警；p异常行为特征的统计分析；p评估重要系统和数据文件的完整性；p操作系统的审计跟踪管理，并识别用户违反安全策略的行为。返回本章首页返回本章首页2024/3/1113第五章第

14、五章 入侵检测技术入侵检测技术 页2024/3/11页2024/3/11页2024/3/115.1.3 系统分类系统分类n由由于于功功能能和和体体系系结结构构的的复复杂杂性性，入入侵侵检检测测按按照照不不同同的的标准有多种分类方法。标准有多种分类方法。n可可分分别别从从数数据据源源、检检测测理理论论、检检测测时时效效三三个个方方面面来来描描述入侵检测系统的类型。述入侵检测系统的类型。返回本章首页返回本章首页2024/3/1114第五章第五章 入侵检测技术入侵检测技术 页2024/3/11页2024/3/11页2024/3/115.1.3 系统分类系统分类n1基于数据源的分类基于数据源的分类 通

15、常可以把入侵检测系统分为五类，即：通常可以把入侵检测系统分为五类，即：p基于主机、p基于网络、p混合入侵检测、p基于网关p基于文件完整性检测返回本章首页返回本章首页2024/3/1115第五章第五章 入侵检测技术入侵检测技术 页2024/3/11页2024/3/11页2024/3/112基于检测理论的分类基于检测理论的分类 从从具具体体的的检检测测理理论论上上来来说说，入入侵侵检检测测又又可可分分为为异异常常检测和误用检测。检测和误用检测。异异常常检检测测（Anomaly Anomaly DetectionDetection）指指根根据据使使用用者者的的行行为为或或资资源源使使用用状状况况的的

16、正正常常程程度度来来判判断断是是否否入入侵侵，而而不不依依赖赖于于具具体体行行为为是是否否出现来检测。出现来检测。误误用用检检测测（Misuse Misuse DetectionDetection）指指运运用用已已知知攻攻击击方方法法，根根据据已已定义好的入侵模式，通过判断这些入侵模式是否出现来检测。定义好的入侵模式，通过判断这些入侵模式是否出现来检测。返回本章首页返回本章首页2024/3/1116第五章第五章 入侵检测技术入侵检测技术 页2024/3/11页2024/3/11页2024/3/113基于检测时效的分类基于检测时效的分类 IDSIDS在在处处理理数数据据的的时时候候可可以以采采用

17、用实实时时在在线线检检测测方方式式，也也可可以以采采用用批批处处理理方方式式，定定时时对对处处理理原原始始数数据据进进行行离离线线检检测测，这这两两种种方方法法各各有有特特点点（如图（如图5-55-5所示）。所示）。离离线线检检测测方方式式将将一一段段时时间间内内的的数数据据存存储储起起来来，然然后后定定时时发发给给数数据据处处理理单单元元进进行行分分析析，如如果果在在这这段段时时间间内内有有攻击发生就报警。攻击发生就报警。在在线线检检测测方方式式的的实实时时处处理理是是大大多多数数IDSIDS所所采采用用的的办办法法，由由于于计计算算机机硬硬件件速速度度的的提提高高，使使得得对对攻攻击击的的

18、实实时时检检测测和响应成为可能。和响应成为可能。返回本章首页返回本章首页2024/3/1117第五章第五章 入侵检测技术入侵检测技术 页2024/3/11页2024/3/11页2024/3/11返回本章首页返回本章首页2024/3/1118第五章第五章 入侵检测技术入侵检测技术 页2024/3/11页2024/3/11页2024/3/115.2 入侵检测的技术实现入侵检测的技术实现 n对对于于入入侵侵检检测测的的研研究究，从从早早期期的的审审计计跟跟踪踪数数据据分分析析，到到实实时时入入侵侵检检测测系系统统，到到目目前前应应用用于于大大型型网网络络的的分分布布式式检检测测系系统统，基基本本上上

19、已已发发展展成成为为具具有有一一定定规规模模和和相相应应理论的研究领域。理论的研究领域。n入入侵侵检检测测的的核核心心问问题题在在于于如如何何对对安安全全审审计计数数据据进进行行分分析，以检测其中是否包含入侵或异常行为的迹象。析，以检测其中是否包含入侵或异常行为的迹象。n这这里里，我我们们先先从从误误用用检检测测和和异异常常检检测测两两个个方方面面介介绍绍当当前前关关于于入入侵侵检检测测技技术术的的主主流流技技术术实实现现，然然后后对对其其它它类类型型的的检检测测技技术术作作简简要介绍。要介绍。返回本章首页返回本章首页2024/3/1119第五章第五章 入侵检测技术入侵检测技术 页2024/3

20、/11页2024/3/11页2024/3/115.2.1 入侵检测分析模型入侵检测分析模型 n分分析析是是入入侵侵检检测测的的核核心心功功能能，它它既既能能简简单单到到像像一一个个已已熟熟悉悉日日志志情情况况的的管管理理员员去去建建立立决决策策表表，也也能能复复杂杂得得像像一个集成了几百万个处理的非参数系统。一个集成了几百万个处理的非参数系统。n入入侵侵检检测测的的分分析析处处理理过过程程可可分分为为三三个个阶阶段段：构构建建分分析析器，对实际现场数据进行分析，反馈和提炼过程器，对实际现场数据进行分析，反馈和提炼过程。p其中，前两个阶段都包含三个功能：数据处理、数据分类（数据可分为入侵指示、非

21、入侵指示或不确定）和后处理。返回本章首页返回本章首页2024/3/1120第五章第五章 入侵检测技术入侵检测技术 页2024/3/11页2024/3/11页2024/3/115.2.2 5.2.2 误用检测（误用检测（Misuse DetectionMisuse Detection）n误误用用检检测测是是按按照照预预定定模模式式搜搜寻寻事事件件数数据据的的，最最适适用用于于对对已知模式的可靠检测已知模式的可靠检测。n执执行行误误用用检检测测，主主要要依依赖赖于于可可靠靠的的用用户户活活动动记记录录和和分分析事件的方法。析事件的方法。1 1条件概率预测法条件概率预测法p条件概率预测法是基于统计理

22、论来量化全部外部网络事件序列中存在入侵事件的可能程度。2024/3/1121第五章第五章 入侵检测技术入侵检测技术 页2024/3/11页2024/3/11页2024/3/112产生式产生式/专家系统专家系统n用用专专家家系系统统对对入入侵侵进进行行检检测测，主主要要是是检检测测基基于于特特征征的的入侵行为入侵行为。n专专家家系系统统的的建建立立依依赖赖于于知知识识库库的的完完备备性性，而而知知识识库库的的完备性又完备性又取决于审计记录的完备性与实时性取决于审计记录的完备性与实时性。n产产生生式式/专专家家系系统统是是误误用用检检测测早早期期的的方方案案之之一一，在在MIDASMIDAS、ID

23、ESIDES、NIDESNIDES、DIDSDIDS和和CMDSCMDS中中都都使使用用了这种方法。了这种方法。返回本章首页返回本章首页2024/3/1122第五章第五章 入侵检测技术入侵检测技术 页2024/3/11页2024/3/11页2024/3/113状态转换方法状态转换方法n状状态态转转换换方方法法使使用用系系统统状状态态和和状状态态转转换换表表达达式式来来描描述述和和检检测测入入侵侵，采采用用最最优优模模式式匹匹配配技技巧巧来来结结构构化化误误用用检检测，增强了检测的速度和灵活性。测，增强了检测的速度和灵活性。n目目前前，主主要要有有三三种种实实现现方方法法：状状态态转转换换分分析

24、析、有有色色Petri-NetPetri-Net和和语言语言/应用编程接口应用编程接口（APIAPI）。）。返回本章首页返回本章首页2024/3/1123第五章第五章 入侵检测技术入侵检测技术 页2024/3/11页2024/3/11页2024/3/11返回本章首页返回本章首页2024/3/1124第五章第五章 入侵检测技术入侵检测技术 页2024/3/11页2024/3/11页2024/3/115Keystroke Monitor和基于模型的方法和基于模型的方法nKeystroke Keystroke MonitorMonitor是是一一种种简简单单的的入入侵侵检检测测方方法法，它它通通过过

25、分分析析用用户户击击键键序序列列的的模模式式来来检检测测入入侵侵行行为为，常常用用于对主机的入侵检测。于对主机的入侵检测。n该方法具有明显的缺点，该方法具有明显的缺点，p首先，批处理或Shell程序可以不通过击键而直接调用系统攻击命令序列；p其次，操作系统通常不提供统一的击键检测接口，需通过额外的钩子函数（Hook）来监测击键。返回本章首页返回本章首页2024/3/1125第五章第五章 入侵检测技术入侵检测技术 页2024/3/11页2024/3/11页2024/3/115.2.3 异常检测（异常检测（Anomaly Detection）n异异常常检检测测基基于于一一个个假假定定：用用户户的的

26、行行为为是是可可预预测测的的、遵遵循循一一致致性性模模式式的的，且且随随着着用用户户事事件件的的增增加加异异常常检检测测会会适适应应用用户户行为的变化。行为的变化。n用用户户行行为为的的特特征征轮轮廓廓在在异异常常检检测测中中是是由由度度量量（measuremeasure）集集来来描描述述，度度量量是是特特定定网网络络行行为为的的定定量量表表示示，通通常常与与某某个个检测阀值或某个域相联系。检测阀值或某个域相联系。p异常检测可发现未知的攻击方法，体现了强健的保护机制，p但对于给定的度量集能否完备到表示所有的异常行为？仍需要深入研究。返回本章首页返回本章首页2024/3/1126第五章第五章 入

27、侵检测技术入侵检测技术 页2024/3/11页2024/3/11页2024/3/111Denning的原始模型的原始模型 Dorothy Denning于于1986年年给给出出了了入入侵侵检检测测的的IDES模模型型，她她认认为为在在一一个个系系统统中中可可以以包包括括四四个个统统计计模模型型，每每个个模模型型适适合合于于一一个个特特定定类类型型的的系系统度量统度量。（1）可操作模型）可操作模型 （2）平均和标准偏差模型）平均和标准偏差模型 （3）多变量模型）多变量模型 （4）Markov处理模型处理模型 返回本章首页返回本章首页2024/3/1127第五章第五章 入侵检测技术入侵检测技术 页

28、2024/3/11页2024/3/11页2024/3/112量化分析量化分析n异异常常检检测测最最常常用用的的方方法法就就是是将将检检验验规规则则和和属属性性以以数数值值形形式式表表示示的的量量化化分分析析，这这种种度度量量方方法法在在DenningDenning的的可可操作模型中有所涉及。操作模型中有所涉及。n量量化化分分析析通通过过采采用用从从简简单单的的加加法法到到比比较较复复杂杂的的密密码码学学计计算算得得到到的的结结果果作作为为误误用用检检测测和和异异常常检检测测统统计计模模型型的的基础。基础。n常用量化方法常用量化方法 （1）阀值检验）阀值检验 （2）基于目标的集成检查）基于目标的

29、集成检查 （3）量化分析和数据精简）量化分析和数据精简 返回本章首页返回本章首页2024/3/1128第五章第五章 入侵检测技术入侵检测技术 页2024/3/11页2024/3/11页2024/3/113统计度量统计度量 n统统计计度度量量方方法法是是产产品品化化的的入入侵侵检检测测系系统统中中常常用用的的方方法法，常见于异常检测。常见于异常检测。n运用统计方法，有效地解决了四个问题：运用统计方法，有效地解决了四个问题：p（1）选取有效的统计数据测量点，生成能够反映主体特征的会话向量；p（2）根据主体活动产生的审计记录，不断更新当前主体活动的会话向量；p（3）采用统计方法分析数据，判断当前活动

30、是否符合主体的历史行为特征；p（4）随着时间推移，学习主体的行为特征，更新历史记录。返回本章首页返回本章首页2024/3/1129第五章第五章 入侵检测技术入侵检测技术 页2024/3/11页2024/3/11页2024/3/114非参数统计度量非参数统计度量n非非参参数数统统计计方方法法通通过过使使用用非非数数据据区区分分技技术术，尤尤其其是是群群集分析技术集分析技术来分析参数方法无法考虑的系统度量。来分析参数方法无法考虑的系统度量。n群群集集分分析析的的基基本本思思想想是是，根根据据评评估估标标准准（也也称称为为特特性性）将将收收集集到到的的大大量量历历史史数数据据（一一个个样样本本集集）

31、组组织织成成群群，通通过过预预处处理理过过程程，将将与与具具体体事事件件流流（经经常常映映射射为为一一个个具具体体用用户户）相相关关的的特特性性转转化化为为向向量量表表示示，再再采采用用群群集集算法算法将彼此比较相近的向量成员组织成一个将彼此比较相近的向量成员组织成一个行为类行为类p这样使用该分析技术的实验结果将会表明用何种方式构成的群可以可靠地对用户的行为进行分组并识别。返回本章首页返回本章首页2024/3/1130第五章第五章 入侵检测技术入侵检测技术 页2024/3/11页2024/3/11页2024/3/115基于规则的方法基于规则的方法n上上面面讨讨论论的的异异常常检检测测主主要要基

32、基于于统统计计方方法法，异异常常检检测测的的另一个变种就是另一个变种就是基于规则基于规则的方法。的方法。n与与统统计计方方法法不不同同的的是是基基于于规规则则的的检检测测使使用用规规则则集集来来表表示和存储使用模式示和存储使用模式。（1 1）Wisdom&SenseWisdom&Sense方法方法 （2 2）基于时间的引导机（）基于时间的引导机（TIMTIM）返回本章首页返回本章首页2024/3/1131第五章第五章 入侵检测技术入侵检测技术 页2024/3/11页2024/3/11页2024/3/115.2.4 其它检测技术其它检测技术 n这这些些技技术术不不能能简简单单地地归归类类为为误误

33、用用检检测测或或是是异异常常检检测测，而而是是提提供供了了一一种种有有别别于于传传统统入入侵侵检检测测视视角角的的技技术术层层次次，例例如如免免疫疫系系统统、基基因因算算法法、数数据据挖挖掘掘、基基于于代代理理（AgentAgent）的检测等）的检测等p它们或者提供了更具普遍意义的分析技术，或者提出了新的检测系统架构，因此无论对于误用检测还是异常检测来说，都可以得到很好的应用。返回本章首页返回本章首页2024/3/1132第五章第五章 入侵检测技术入侵检测技术 页2024/3/11页2024/3/11页2024/3/111神经网络（神经网络（Neural Network）n作作为为人人工工智智

34、能能（AIAI）的的一一个个重重要要分分支支，神神经经网网络络（Neural Neural NetworkNetwork）在在入入侵侵检检测测领领域域得得到到了了很很好好的的应用应用n它它使使用用自自适适应应学学习习技技术术来来提提取取异异常常行行为为的的特特征征，需需要要对对训练数据集进行学习以得出正常的行为模式训练数据集进行学习以得出正常的行为模式。p这种方法要求保证用于学习正常模式的训练数据的纯洁性，即不包含任何入侵或异常的用户行为。返回本章首页返回本章首页2024/3/1133第五章第五章 入侵检测技术入侵检测技术 页2024/3/11页2024/3/11页2024/3/112免疫学方

35、法免疫学方法nNew New MexicoMexico大大学学的的Stephanie Stephanie ForrestForrest提提出出了了将将生生物物免疫机制引入计算机系统的安全保护框架中。免疫机制引入计算机系统的安全保护框架中。n免免疫疫系系统统中中最最基基本本也也是是最最重重要要的的能能力力是是识识别别“自自我我/非非自自我我”（self/nonselfself/nonself），换换句句话话讲讲，它它能能够够识识别别哪哪些些组组织织是是属属于于正正常常机机体体的的，不不属属于于正正常常的的就就认认为为是是异异常常，这这个个概概念念和和入入侵侵检检测测中中异异常常检检测测的的概概念

36、念非非常常相相似。似。返回本章首页返回本章首页2024/3/1134第五章第五章 入侵检测技术入侵检测技术 页2024/3/11页2024/3/11页2024/3/113数据挖掘方法数据挖掘方法nColumbiaColumbia大大学学的的Wenke Wenke LeeLee在在其其博博士士论论文文中中，提提出出了了将将数数据据挖挖掘掘（Data Data Mining,Mining,DMDM）技技术术应应用用到到入入侵侵检检测测中中，通通过过对对网网络络数数据据和和主主机机系系统统调调用用数数据据的的分分析挖掘，发现误用检测规则或异常检测模型。析挖掘，发现误用检测规则或异常检测模型。n具具体

37、体的的工工作作包包括括利利用用数数据据挖挖掘掘中中的的关关联联算算法法和和序序列列挖挖掘掘算算法法提提取取用用户户的的行行为为模模式式，利利用用分分类类算算法法对对用用户户行行为和特权程序的系统调用进行分类预测为和特权程序的系统调用进行分类预测。n实实验验结结果果表表明明，这这种种方方法法在在入入侵侵检检测测领领域域有有很很好好的的应应用前景。用前景。返回本章首页返回本章首页2024/3/1135第五章第五章 入侵检测技术入侵检测技术 页2024/3/11页2024/3/11页2024/3/114基因算法基因算法n基基因因算算法法是是进进化化算算法法（evolutionary evolutio

38、nary algorithmsalgorithms）的的一一种种，引引入入了了达达尔尔文文在在进进化化论论中中提提出出的的自自然然选选择择的的概概念念（优优胜胜劣劣汰汰、适适者者生生存存）对对系系统统进进行行优优化化。该该算算法对于处理多维系统的优化是非常有效的。法对于处理多维系统的优化是非常有效的。n在在基基因因算算法法的的研研究究人人员员看看来来，入入侵侵检检测测的的过过程程可可以以抽抽象象为为：为为审审计计事事件件记记录录定定义义一一种种向向量量表表示示形形式式，这这种种向量或者对应于攻击行为，或者代表正常行为。向量或者对应于攻击行为，或者代表正常行为。返回本章首页返回本章首页2024/

39、3/1136第五章第五章 入侵检测技术入侵检测技术 页2024/3/11页2024/3/11页2024/3/115基于代理的检测基于代理的检测n近近年年来来，一一种种基基于于AgentAgent的的检检测测技技术术（Agent-Based Agent-Based DetectionDetection）逐渐引起研究者的重视。）逐渐引起研究者的重视。n所所谓谓AgentAgent，实实际际上上可可以以看看作作是是在在执执行行某某项项特特定定监监视视任务的软件实体任务的软件实体。n基基于于AgentAgent的的入入侵侵检检测测系系统统的的灵灵活活性性保保证证它它可可以以为为保保障障系系统统的的安安

40、全全提提供供混混合合式式的的架架构构，综综合合运运用用误误用用检检测测和异常检测，从而弥补两者各自的缺陷。和异常检测，从而弥补两者各自的缺陷。返回本章首页返回本章首页2024/3/1137第五章第五章 入侵检测技术入侵检测技术 页2024/3/11页2024/3/11页2024/3/115.3 分布式入侵检测分布式入侵检测 n分分布布式式入入侵侵检检测测（Distributed Distributed Intrusion Intrusion DetectionDetection）是目前入侵检测乃至整个网络安全领域的热点之一。是目前入侵检测乃至整个网络安全领域的热点之一。n到到目目前前为为止止，

41、还还没没有有严严格格意意义义上上的的分分布布式式入入侵侵检检测测的的商商业业化产品，但研究人员已经提出并完成了多个原型系统。化产品，但研究人员已经提出并完成了多个原型系统。n通通常常采采用用的的方方法法中中，一一种种是是对对现现有有的的IDSIDS进进行行规规模模上上的的扩扩展展，另一种则通过，另一种则通过IDSIDS之间的信息共享之间的信息共享来实现。来实现。n具体的处理方法上也分为两种：具体的处理方法上也分为两种：p分布式信息收集、集中式处理；p分布式信息收集、分布式处理。返回本章首页返回本章首页2024/3/1138第五章第五章 入侵检测技术入侵检测技术 页2024/3/11页2024/

42、3/11页2024/3/115.3.1 分布式入侵检测的优势分布式入侵检测的优势 n分分布布式式入入侵侵检检测测由由于于采采用用了了非非集集中中的的系系统统结结构构和和处处理理方方式式，相相对对于于传传统统的的单单机机IDSIDS具具有有一一些些明显的优势：明显的优势：（1 1）检测大范围的攻击行为）检测大范围的攻击行为 （2 2）提高检测的准确度）提高检测的准确度 （3 3）提高检测效率）提高检测效率 （4 4）协调响应措施）协调响应措施返回本章首页返回本章首页2024/3/1139第五章第五章 入侵检测技术入侵检测技术 页2024/3/11页2024/3/11页2024/3/115.3.2

43、 分布式入侵检测的技术难点分布式入侵检测的技术难点 n与与传传统统的的单单机机IDSIDS相相比比较较，分分布布式式入入侵侵检检测测系系统统具具有有明明显显的的优优势势。然然而而，在在实实现现分分布布检检测测组组件件的的信信息息共共享享和和协协作作上上，却却存存在在着一些技术难点。着一些技术难点。nStanford Stanford Research Research InstituteInstitute（SRISRI）在在对对EMERALDEMERALD系系统统的的研究中，列举了分布式入侵检测必须关注的关键问题：研究中，列举了分布式入侵检测必须关注的关键问题：p事件产生及存储、p状态空间管理

44、p规则复杂度p知识库管理p推理技术。返回本章首页返回本章首页2024/3/1140第五章第五章 入侵检测技术入侵检测技术 页2024/3/11页2024/3/11页2024/3/115.3.3 分布式入侵检测现状分布式入侵检测现状 尽尽管管分分布布式式入入侵侵检检测测存存在在技技术术和和其其它它层层面面的的难难点点，但但由由于于其其相相对对于于传传统统的的单单机机IDS所所具具有有的优势，目前已经成为这一领域的研究热点。的优势，目前已经成为这一领域的研究热点。1Snortnetn它它通通过过对对传传统统的的单单机机IDSIDS进进行行规规模模上上的的扩扩展展，使使系系统统具具备备分分布布式式检

45、检测测的的能能力力，是是基基于于模模式式匹匹配配的的分分布布式式入入侵侵检检测测系系统统的的一一个个具体实现。具体实现。n主要包括三个组件：主要包括三个组件：网络感应器、代理守护程序网络感应器、代理守护程序和和监视控制台监视控制台。返回本章首页返回本章首页2024/3/1141第五章第五章 入侵检测技术入侵检测技术 页2024/3/11页2024/3/11页2024/3/112Agent-Based n基基于于Agent的的IDS由由于于其其良良好好的的灵灵活活性性和和扩扩展展性性，是是分分布式入侵检测的一个重要研究方向。布式入侵检测的一个重要研究方向。n国国外外一一些些研研究究机机构构在在这

46、这方方面面已已经经做做了了大大量量工工作作，其其中中Purdue大大学学的的入入侵侵检检测测自自治治代代理理（AAFID）和和SRI的的EMERALD最具代表性。最具代表性。pAAFID的体系结构如图5-10所示，其特点是形成了一个基于代理的分层顺序控制和报告结构。返回本章首页返回本章首页2024/3/1142第五章第五章 入侵检测技术入侵检测技术 页2024/3/11页2024/3/11页2024/3/11返回本章首页返回本章首页2024/3/1143第五章第五章 入侵检测技术入侵检测技术 页2024/3/11页2024/3/11页2024/3/113DIDSnDIDS(Distribute

47、d DIDS(Distributed Intrusion Intrusion Detection Detection System)System)是是由由UC UC DavisDavis的的Security Security LabLab完完成成的的，它它集集成成了了两两种种已有的入侵检测系统，已有的入侵检测系统，HaystackHaystack和和NSMNSM。pHaystack由Tracor Applied Sciences and Haystack实验室针对多用户主机的检测任务而开发，数据源来自主机的系统日志。pNSM则是由UC Davis开发的网络安全监视器，通过对数据包、连接记录、应

48、用层会话的分析，结合入侵特征库和正常的网络流或会话记录的模式库，判断当前的网络行为是否包含入侵或异常。返回本章首页返回本章首页2024/3/1144第五章第五章 入侵检测技术入侵检测技术 页2024/3/11页2024/3/11页2024/3/114GrIDS nGrIDSGrIDS（Graph-based Graph-based Intrusion Intrusion Detection Detection SystemSystem）同样由）同样由UC DavisUC Davis提出并实现提出并实现p该系统实现了一种在大规模网络中使用图形化表示的方法来描述网络行为的途径，其设计目标主要针对大

49、范围的网络攻击，例如扫描、协同攻击、网络蠕虫等。pGrIDS的缺陷在于只是给出了网络连接的图形化表示，具体的入侵判断仍然需要人工完成，而且系统的有效性和效率都有待验证和提高。返回本章首页返回本章首页2024/3/1145第五章第五章 入侵检测技术入侵检测技术 页2024/3/11页2024/3/11页2024/3/115Intrusion Strategy nBoeingBoeing公司的公司的Ming-Yuh HuangMing-Yuh Huang提出提出n从从入入侵侵者者的的目目的的（Intrusion Intrusion IntentionIntention），或或者者是是入入侵侵策策略

50、略（Intrusion Intrusion StrategyStrategy）入入手手，确确定定如如何何在在不同的不同的IDSIDS组件之间进行协作检测。组件之间进行协作检测。n通通过过对对入入侵侵策策略略的的分分析析调调整整审审计计策策略略和和参参数数，构构成成自自适应的审计检测系统适应的审计检测系统。返回本章首页返回本章首页2024/3/1146第五章第五章 入侵检测技术入侵检测技术 页2024/3/11页2024/3/11页2024/3/116数据融合（数据融合（Data Fusion）nTimm Timm BassBass提提出出将将数数据据融融合合（Data Data FusionF