《入侵检测》PPT课件

资源描述

1 第五章入侵检测系统李剑北京邮电大学信息安全中心 E-mail: 010 86212346 2 目录一 . 入侵检测概述二 . 入侵检测技术三 . IDS的标准化四 . 入侵检测的发展 3 入侵检测 n 入侵监测系统处于防火墙之后对网络活动进行实时检测。许多情况下，由于可以记录和禁止网络活动，所以入侵监测系统是防火墙的延续。它们可以和防火墙和路由器配合工作。n 入侵监测系统 (IDS， Intrusion Detection System)与系统扫描器 (System Scanner)不同。系统扫描器是根据攻击特征数据库来扫描系统漏洞的，它更关注配置上的漏洞而不是当前进出主机的流量。在遭受攻击的主机上，即使正在运行着扫描程序，也无法识别这种攻击。 IDS扫描当前网络的活动，监视和记录网络的流量，根据定义好的规则来过滤从主机网卡到网线上的流量，提供实时报警。网络扫描器检测主机上先前设置的漏洞，而 IDS监视和记录网络流量。如果在同一台主机上运行 IDS和扫描器，配置合理的 IDS会发出许多报警。 4 5.1 入侵检测概述n 入侵检测技术是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、攻击识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测。它可以防止或减轻上述的网络威胁。 5 5.1.1 为什么需要入侵检测系统n 政府、银行、大企业等机构都有自己的内网资源。企业经常在防火墙系统上投入大量的资金，在因特网入口处部署防火墙系统来保证安全，依赖防火墙建立网络的组织往往是 “ 外紧内松 ” ，无法阻止内部人员所做的攻击 ,对信息流的控制缺乏灵活性，从外面看似非常安全，但内部缺乏必要的安全措施。据统计，全球 80%以上的入侵来自于内部。由于性能的限制，防火墙通常不能提供实时的入侵检测能力，对于企业内部人员所做的攻击，防火墙形同虚设。 n 入侵检测是对防火墙及其有益的补充，入侵检测系统能使在入侵攻击对系统发生危害前检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击。 6 5.1.1 为什么需要入侵检测系统A. 对防火墙和入侵检测系统的联系有一个经典的比喻：防火墙相当于一个把门的门卫，对于所有进出大门的人员进行审核，只有符合安全要求的人，就是那些有入门许可证的人才可以进、出大门；B. 门卫可以防止小偷进入大楼，但不能保证小偷 100%地被拒之门外 ,而且对于那些本身就在大门内部的，以及那些具备入门证的、以合法身份进入了大门的人，是否做好事也无法监控，这时候就需要依靠入侵检测系统来进行审计和控制 ,及时发现异常情况并发出警告。 7 5.1.2 入侵检测的概念n 本文中的 “ 入侵 ” 是个广义的概念，不仅包括被发起攻击的人（如恶意的黑客）取得超出合法范围的系统控制权，也包括收集漏洞信息，造成拒绝访问（ Denial of Service）等对计算机系统造成危害的行为。 n 入侵检测，顾名思义，便是对入侵行为的发觉。它通过对计算机网络或计算机系统中得若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统。与其他安全产品不同的是，入侵检测系统需要更多的智能，它必须可以将得到的数据进行分析，并得出有用的结果。一个合格的入侵检测系统能简化管理员的工作，保证网络安全的运行。 8 5.1.2 入侵检测的概念n 由于入侵检测系统的市场在近几年中飞速发展，许多公司投入到这一领域上来。除了国外的 ISS、axent、 NFR、思科 (Cisco)等公司外，国内也有数家公司（如启明星辰、中联绿盟、中科网威等）推出了自己相应的产品。但就目前而言，入侵检测系统还缺乏相应的标准。n 目前，试图对 IDS进行标准化的工作有两个组织：IETF的 IDWF (Intrusion Detection Working Group)和 CIDF (Common Intrusion Detection Framework)，但进展非常缓慢，尚没有被广泛接收的标准出台。 9 5.1.3 入侵检测的历史n 从实验室原型研究到推出商业化产品、走向市场并获得广泛认同，入侵检测系统已经走过了二十多年的风雨坎坷路。 n 1. 概念的诞生n 1980年 4月， James P. Anderson为美国空军做了一份题为计算机安全威胁监控与监视（ Computer Security Threat Monitoring and Surveillance）的技术报告，第一次详细阐述了入侵检测的概念。他提出了一种对计算机系统风险和威胁的分类方法，并将威胁分为外部渗透、内部渗透和不法行为 3种，还提出了利用审计跟踪数据监视入侵活动的思想。这份报告被公认为是入侵检测的开山之作。 10 5.1.3 入侵检测的历史n 2. 模型的发展n 1984 1986年，乔治敦大学的 Dorothy Denning和 SRI/CSL（ SRI公司计算机科学实验室）的 Peter Neumann研究出了一个实时入侵检测系统模型，取名为入侵检测专家系统（ IDES）。该模型由 6个部分组成：主体、对象、审计记录、轮廓特征、异常记录、活动规则。它独立于特定的系统平台、应用环境、系统弱点以及入侵类型，为构建入侵检测系统提供了一个通用的框架。 11 5.1.3 入侵检测的历史n 1988年， SRI/CSL的 Teresa Lunt等人改进了Denning的入侵检测模型，并开发出了一个 IDES。该系统包括一个异常检测器和一个专家系统，分别用于统计异常模型的建立和基于规则的特征分析检测，如图 5.1所示。 12 5.1.3 入侵检测的历史n 3. 百花齐放的春天n 1990年是入侵检测系统发展史上的一个分水岭。这一年，加州大学戴维斯分校的 L. T. Heberlein等人开发出了 NSM（ Network Security Monitor）。该系统第一次直接将网络流作为审计数据来源，因而可以在不将审计数据转换成统一格式的情况下监控异种主机。从此之后，入侵检测系统发展史翻开了新的一页，基于网络的 IDS和基于主机的 IDS两大阵营正式形成。 13 5.1.3 入侵检测的历史A. 1988年的莫里斯蠕虫事件发生之后，网络安全才真正引起了军方、学术界和企业的高度重视。美国空军、国家安全局和能源部共同资助空军密码支持中心、劳伦斯利弗摩尔国家实验室、加州大学戴维斯分校、 Haystack实验室，开展对分布式入侵检测系统（ DIDS）的研究，将基于主机和基于网络的检测方法集成到一起，其总体结构如图5.2所示。 14 5.1.3 入侵检测的历史n DIDS是分布式入侵检测系统历史上的一个里程碑式的产品，它的检测模型采用了分层结构，包括数据、事件、主体、上下文、威胁、安全状态等6层。n 从 20世纪 90年代到现在，入侵检测系统的研发呈现出百家争鸣的繁荣局面，并在智能化和分布式两个方向取得了长足的进展。目前， SRI/CSL、普渡大学、加州大学戴维斯分校、洛斯阿拉莫斯国家实验室、哥伦比亚大学、新墨西哥大学等机构在这些方面的研究代表了当前的最高水平。 15 5.1.4 入侵检测的结构n IDS在结构上可划分为数据收集和数据分析两部分。 n 1、数据收集机制n 数据收集机制在 IDS中占据着举足轻重的位置。如果收集的数据时延较大，检测就会失去作用；如果数据不完整，系统的检测能力就会下降；如果由于错误或入侵者的行为致使收集的数据不正确， IDS就会无法检测某些入侵，给用户以安全的假象。 16 5.1.4 入侵检测的结构n IDS在结构上可划分为数据收集和数据分析两部分。 n 1、数据收集机制n 数据收集机制在 IDS中占据着举足轻重的位置。如果收集的数据时延较大，检测就会失去作用；如果数据不完整，系统的检测能力就会下降；如果由于错误或入侵者的行为致使收集的数据不正确， IDS就会无法检测某些入侵，给用户以安全的假象。 17 5.1.4 入侵检测的结构n (1) 分布式与集中式数据收集机制 n 分布式数据收集：检测系统收集的数据来自一些固定位置而且与受监视的网元数量无关。n 集中式数据收集：检测系统收集的数据来自一些与受监视的网元数量有一定比例关系的位置。 18 5.1.4 入侵检测的结构n (2) 直接监控和间接监控 n 如果 IDS从它所监控的对象处直接获得数据，称为直接监控；反之，如果 IDS依赖一个单独的进程或工具获得数据，则称为间接监控。 n 就检测入侵行为而言，直接监控要优于间接监控，由于直接监控操作的复杂性，目前的 IDS产品中只有不足 20%使用了直接监控机制。 19 5.1.4 入侵检测的结构n (3) 基于主机的数据收集和基于网络的数据收集 n 基于主机的数据收集是从所监控的主机上获取的数据 ; 基于网络的数据收集是通过被监视网络中的数据流获得数据。 n 总体而言，基于主机的数据收集要优于基于网络的数据收集。 20 5.1.4 入侵检测的结构n (4) 外部探测器和内部探测器 n 外部探测器是负责监测主机中某个组件（硬件或软件）的软件。它将向 IDS提供所需的数据，这些操作是通过独立于系统的其他代码来实施的。 n 内部探测器是负责监测主机中某个组件（硬件或软件）的软件。它将向 IDS提供所需的数据，这些操作是通过该组件的代码来实施的。 n 外部探测器和内部探测器在用于数据收集时各有利弊，可以综合使用。由于内部探测器实现起来的难度较大，所以在现有的 IDS产品中，只有很少的一部分采用它。 21 5.1.4 入侵检测的结构n 2、数据分析机制 n 根据 IDS如何处理数据，可以将 IDS分为分布式 IDS和集中式 IDS。 n 分布式 IDS：在一些与受监视组件相应的位置对数据进行分析的 IDS。 n 集中式 IDS：在一些固定且不受监视组件数量限制的位置对数据进行分析的 IDS。 n 请注意，这些定义是基于受监视组件的数量而不是主机的数量，所以如果在系统中的不同组件中进行数据分析，除了安装集中式 IDS外，有可能在一个主机中安装分布式数据分析的 IDS。分布式和集中式 IDS都可以使用基于主机、基于网络或两者兼备的数据收集方式。 22 5.1.5 入侵检测系统的作用n 入侵检测系统具有以下部分或全部功能：n 监督并分析用户和系统的活动；n 检查系统配置和漏洞；n 检查关键系统和数据文件的完整性； n 识别代表已知攻击的活动模式； n 对反常行为模式的统计分析； n 对操作系统的校验管理，判断是否有破坏安全的用户活动。 23 5.1.5 入侵检测系统的作用n 入侵检测系统和漏洞评估工具可以联合起来，其的优点在于： n 提高了信息安全体系其他部分的完整性； n 提高了系统的监察能力； n 跟踪用户从进入到退出的所有活动或影响；n 识别并报告数据文件的改动； n 发现系统配置的错误，必要时予以更正； n 识别特定类型的攻击，并向相应人员报警，以作出防御反应； n 可使系统管理人员最新的版本升级添加到程序中； n 允许非专家人员从事系统安全工作； n 为信息安全策略的创建提供指导。 24 5.1.5 入侵检测系统的作用n 必须修正对入侵检测系统和漏洞评估工具不切实际的期望：这些产品并不是无所不能的，它们无法弥补力量薄弱的识别和确认机制。n 在无人干预的情况下，无法执行对攻击的检查； n 无法感知公司安全策略的内容； n 不能弥补网络协议的漏洞； n 不能弥补由于系统提供信息的质量或完整性的问题； n 不能分析网络繁忙时所有事务； n 不能总是对数据包级的攻击进行处理； n 不能应付现代网络的硬件及特性。 25 5.1.6 入侵检测的分类n 1. 根据其采用的技术分。n (1) 异常检测n 异常检测的假设是入侵者活动异常于正常主体的活动，建立正常活动的 “ 活动简档 ” ，当前主体的活动违反其统计规律时，认为可能是 “ 入侵 ”行为。通过检测系统的行为或使用情况的变化来完成。n (2) 误用检测n 误用检测也叫特征检测，它假设入侵者活动可以用一种模式来表示，然后将观察对象与之比较，判别是否符合这些模式。 26 5.1.6 入侵检测的分类n 2. 根据 IDS所检测对象的区别可分为基于主机的入侵检测系统和基于网络的入侵检测系统。n (1) 基于主机的 IDSn 基于主机的 IDS通过监视与分析主机的审计记录检测入侵。能否及时采集到审计是这些系统的弱点之一，入侵者会将主机审计子系统作为攻击目标以避开 IDS。如图 5.3所示为基于主机的 IDS。 27 5.1.6 入侵检测的分类A. (2) 基于网络的 IDS：基于网络的 IDS通过在共享网段上对通信数据的侦听采集数据，分析可疑现象。这类系统不需要主机提供严格的审计，对主机资源消耗少，并可以提供对网络通用的保护而无需顾及异构主机的不同架构。图 5.4所示为基于网络的 IDS。 28 5.1.6 入侵检测的分类n (3) 分布式入侵检测系统n 目前这种技术在 ISS的 RealSecure等产品中已经有了应用。它检测的数据也是来源于网络中的数据包，不同的是，它采用分布式检测、集中管理的方法。即在每个网段安装一个黑匣子，该黑匣子相当于基于网络的 IDS，只是没有用户操作界面。黑匣子用来监测其所在网段上的数据流，它根据集中安全管理中心制定的安全策略、响应规则等来分析检测网络数据，同时向集中安全管理中心发回安全事件信息。集中安全管理中心是整个分布式入侵检测系统面向用户的界面。它的特点是对数据保护的范围比较大，但对网络流量有一定的影响。 29 5.1.6 入侵检测的分类n 3. 根据工作方式分n (1) 离线检测系统n 离线检测系统是非实时工作的系统，它在事后分析审计事件，从中检查入侵活动。事后入侵检测由网络管理人员进行，具有网络安全的专业知识，根据计算机系统对用户操作所做的历史审计记录判断是否存在入侵行为，如果有就断开连接，并记录入侵证据和进行数据恢复。事后入侵检测是管理员定期或不定期进行的，不具有实时性。 30 5.1.6 入侵检测的分类n (2) 在线检测系统n 在线检测系统是实时联机的检测系统，它包含对实时网络数据包分析，实时主机审计分析。其工作过程是实时入侵检测在网络连接过程中进行，系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断，一旦发现入侵迹象立即断开入侵者与主机的连接，并收集证据和实施数据恢复。这个检测过程是不断循环进行的。 31 5.1.6 入侵检测的分类n 4. 按照体系结构分n (1) 集中式n 这种结构的 IDS可能有多个分布于不同主机上的审计程序，但只有一个中央入侵检测服务器。审计程序把当地收集到的数据踪迹发送给中央服务器进行分析处理。但这种结构的 IDS在可伸缩性、可配置性方面存在致命缺陷：第一，随着网络规模的增加，主机审计程序和服务器之间传送的数据量就会骤增，导致网络性能大大降低；第二，系统安全性脆弱，一旦中央服务器出现故障，整个系统就会陷入瘫痪；第三，根据各个主机不同需求，配置服务器非常复杂。 32 5.1.6 入侵检测的分类n (2) 等级式n 这种结构的 IDS用来监控大型网络，定义了若干个分等级的监控区，每个 IDS负责一个区，每一级 IDS只负责所监控区的分析，然后将当地的分析结果传送给上一级 IDS。这种结构仍存两个问题：首先，当网络拓扑结构改变时，区域分析结果的汇总机制也需要做相应的调整；第二，这种结构的 IDS最后还是要把各地收集到的结果传送到最高级的检测服务器进行全局分析，所以系统的安全性并没有实质性的改进。 33 5.1.6 入侵检测的分类n (3) 协作式n 这种结构的 IDS将中央检测服务器的任务分配给多个基于主机的 IDS，这些 IDS不分等级，各司其职，负责监控当地主机的某些活动。所以，其可伸缩性、安全性都得到了显著的提高，但维护成本却高了很多，并且增加了所监控主机的工作负荷，如通信机制、审计开销、踪迹分析等。 34 5.2 入侵检测技术5.2.1 误用入侵检测误用入侵检测是指根据已知的入侵模式来检测入侵。入侵者常常利用系统和应用软件中弱点攻击，而这些弱点易编成某种模式，如果入侵者攻击方式恰好匹配检测系统中的模式库，则入侵者即被检测到，如图 5.5所示。 35 5.2 入侵检测技术误用入侵检测依赖于模式库，或叫规则库。如果没有构造好模式库，则 IDS就不能检测到入侵者。例如，因特网蠕虫攻击 (Worm Attack)使用了 fingered 和 sendmai1错误（ Bugs），可以使用误用检测，与异常入侵检测相反，误用入侵检测能直接检测不利的或不能接受的行为，而异常入侵检测是发现同正常行为相违背的行为。 36 5.2 入侵检测技术n 1. 基于条件概率误用入侵检测方法n 基于条件概率误用入侵检测方法将入侵方式对应一个事件序列，然后通过观测到事件发生情况来推测入侵出现。这种方法的依据是外部事件序列，根据贝叶斯定理进行推理检测入侵。令 ES表示事件序列，先验概率为 P(I)，后验概率为 P(ES|I)，事件出现的概率为P(ES),则 P(I|ES)=P(ES|I)P(I)/P(ES)，通常网络安全专家可以给出先验概率 P(I)，对入侵报告数据进行统计处理得出 P(ES|I)和 P(ES| I),于是可以计算出： 37 5.2 入侵检测技术n 2. 基于专家系统误用入侵检测方法n 基于专家系统误用入侵检测方法是通过将安全专家的知识表示成 IF-THEN规则形成专家知识库，然后，运用推理算法进行检测入侵。编码规则说明攻击的必需条件作为 IF的组成部分。当规则的左边的全部条件都满足时，规则的右边的动作才会执行。入侵检测专家系统应用的实际问题是要处理大量的数据和依赖于审计跟踪的次序，其推理方式主要有以下两种。 38 5.2 入侵检测技术n 3. 基于状态迁移分析误用入侵检测方法n 状态迁移分析方法将攻击表示成一系列被临近的系统状态迁移。攻击模式的状态对应于系统状态，并具有迁移到另外状态的条件断言。通过弧将连续的状态连接起来表示状态改变所需要的事件。允许事件类型被植入到模型，不需同审计记录一一对应。攻击模式只能说明事件序列，不能说明更复杂的事件。而且，除了通过植入模型的原始的断言，没有通用的方法来排除攻击模式部分匹配。 39 5.2 入侵检测技术n 4. 基于键盘监控误用入侵检测方法n 基于键盘监控误用入侵检测方法假设入侵对应特定的击键序列模式，然后监测用户击键模式，并将这一模式与入侵模式匹配，以此就能检测入侵。这种方法的不利之处是在没有操作系统支持的情况下，缺少捕获用户击键的可靠方法，存在无数击键方式表示同一种攻击的可能。而且，没有击键语义分析，用户很容易欺骗这种技术。因为这种技术仅仅分析击键，所以不能够很好地检测到恶意程序执行结果的自动攻击。 40 5.2 入侵检测技术n 5. 基于模型误用入侵检测方法n 基于模型误用入侵检测方法是通过建立误用证据模型，根据证据来推理来做出误用发生判断结论。 Gravy和Lint首先提出这种方法。其方法要点是建立攻击剧本（ Attack Scenarios）数据库、预警器和规划者。每个攻击剧本表示成一个攻击行为序列，在任意的给定时刻，攻击剧本的子集都被用来推断系统遭受入侵。根据当前的活动模型，预警器产生下一步行为，用来在审计跟踪时作验证使用。 41 5.2.2 异常入侵检测A. 异常检测指的是根据非正常行为（系统或用户）和使用计算机资源非正常情况检测出入侵行为。例如，如果用户 A早上 8点钟到下午 5点钟之间在办公室使用计算机，则他在晚上使用办公室计算机是异常的，就有可能是入侵；用户 B总是在下班后登录到公司的终端服务器或是在深夜时来自 B的账号远程登录都可能是不正常的。异常检测试图用定量方式描述常规的或可接收的行为，以标记非常规的、潜在的入侵行为。这种非常规的、潜在的入侵行为可以定义为威胁。图 5.6所示为异常入侵检测模型。 42 5.2.2 异常入侵检测n 典型的威胁模型将威胁分为外部闯入、内部渗透和不当行为 3种类型，并使用这种分类方法开发了一个安全监视系统，可检测用户的异常行为。n 外部闯入指的是未经授权计算机系统用户的入侵；n 内部渗透是指已授权的计算机用户访问未经授权的数据；n 不当行为指的是用户虽经授权，但对授权数据和资源的使用不合法或滥用授权。 43 5.2.2 异常入侵检测n 1. 统计异常检测方法n 统计异常检测方法根据异常检测器观察主体的活动，然后产生描述这些活动行为的参数。每一个参数保存记录主体当前某种行为，并定时地将当前的参数与存储的参数合并。通过比较当前的参数与已存储的参数判断异常行为，从而检测出网络入侵。下面以 IDES入侵检测系统为例来说明一般统计异常检测方法处理的过程。设 M1, M2, , Mn为参数集的特征变量，这些变量可以是 CPU的使用、 I/O的使用、使用地点及时间，邮件使用，文件访问数量，网络会话时间等。用 S1, S2, , Sn分别表示参数集中变量 M1, M2, , Mn的异常测量值。这些值表明了异常程度，若 Si的值越高，则表示 Mi异常性就越大。将这些异常测量值的平方后加权计算得出参数异常值：a1S12+a2S22+anSn2, ai0。 44 5.2.2 异常入侵检测n 2. 基于特征选择异常检测方法n 基于特征选择异常检测方法是通过从一组参数数据中挑选能检测出入侵参数构成子集来准确地预测或分类已检测到的入侵。异常入侵检测的困难是在异常活动和入侵活动之间作出判断。判断符合实际的参数很复杂，因为合适地选择参数子集依赖于检测到的入侵类型，一个参数集对所有的各种各样的入侵类型不可能是足够的。预先确定特定的参数来检测入侵可能会错过单独的、特别的环境下的入侵。最理想的检测入侵参数集必须动态地决策判断以获得最好的效果。假设与入侵潜在相关的参数有 n个，则这 n个参数构成的子集有 2n个。由于搜索空间同参数是指数关系，所以穷尽寻找最理想的参数子集的开销太大。 45 5.2.2 异常入侵检测n 3. 基于贝叶斯推理异常检测方法n 基于贝叶斯推理异常检测方法是通过在任意给定的时刻，测量 A1， A2，， An变量值推理判断是否有入侵事件发生。其中每个 Ai变量表示系统不同的方面特征（如磁盘I/O的活动数量，或者系统中页面出错的数）。假定 Ai变量具有两个值， 1表示是异常， 0表示正常。 I表示系统当前遭受入侵攻击。每个异常变量 Ai的异常可靠性和敏感性分别表示为 P(Ai=1|I)和 P(Ai=1|I)。则在给定每个 Ai的条件下，由贝叶斯定理得出 I的可信度，根据各种异常测量的值、入侵的先验概率及入侵发生时每种测量到的异常概率，能够检测判断入侵的概率。但是为了检测的准确性，还要必须考虑各测量 Ai间的独立性。 46 5.2.2 异常入侵检测n 4. 基于贝叶斯网络异常检测方法n 贝叶斯统计分析把先验信息与样本信息结合，用于统计推断之中。用贝叶斯公式先验信息与样本信息综合，得到后验信息。而得到的后验信息又可以作为新一轮计算的先验，与进一步获得的样本信息综合，求得下一个后验信息。随着这个过程继续下去，后验信息确实是越来越接近于真值。也就是说，贝叶斯方法的学习机制是确实存在而且有效的。这个学习的过程实际上是一个迭代的过程，数据统计工作者已经证明这个过程是收敛的，因为这样得到后验分布密度有上界，而且单调递增。这意味着它将收敛于某个值。 47 5.2.2 异常入侵检测n 5. 基于模式预测异常检测方法n 基于模式预测异常检测方法的假设条件是事件序列不是随机的，而是遵循可辨别的模式。这种检测方法的特点是考虑了事件的序列及相互联系。而基于时间的推理方法则利用时间规则识别用户行为正常模式的特征。通过归纳学习产生这些规则集，能动态地修改系统中的规则，使之具有高的预测性、准确性和可信度。如果规则大部分时间是正确的，并能够成功地运用预测所观察到的数据，那么规则就具有高的可信度。 48 5.2.2 异常入侵检测n 6. 基于神经网络异常检测方法n 基于神经网络入侵检测方法是训练神经网络连续的信息单元，信息单元指的是命令。网络的输入层是用户当前输入的命令和已执行过的若干个（如 S）个命令；用户执行过的命令被神经网络使用来预测用户输入的下一个命令。若神经网络被训练成预测用户输入命令序列集合，则神经网络就构成用户的轮廓框架。当用这个神经网络预测不出某用户正确的后继命令，即在某种程度上表明了用户行为与其轮廓框架的偏离，这时有异常事件发生，以此就能进行异常入侵检测。 49 5.2.2 异常入侵检测n 7. 基于贝叶斯聚类异常检测方法n 基于贝叶斯聚类异常检测方法通过在数据中发现不同类别数据集合，这些类反映了基本的因果机制（同类的成员比其他的更相似），以此就可以区分异常用户类，进而推断入侵事件发生来检测异常入侵行为。 Cheeseman和 Stutz在 1995年开发的自动分类程序（ Autoclass Program）是一种无监督数据分类技术。 50 5.2.2 异常入侵检测n 8. 基于机器学习异常检测方法n 这种异常检测方法通过机器学习实现入侵检测，其主要的方法有死记硬背式、监督、学习、归纳学习（示例学习）、类比学习等。 Terran和 Carla E.Brodley将异常检测问题归结为根据离散数据临时序列学习获得个体、系统和网络的行为特征，并提出一个基于相似度实例学习方法（ IBL），该方法通过新的序列相似度计算将原始数据（如离散事件流、无序的记录）转化成可度量的空间。 51 5.2.2 异常入侵检测n 9. 基于数据采掘异常检测方法 n 计算机联网导致大量审计记录，而且审计记录大多是以文件形式存放。若单独依靠手工方法去发现记录中的异常现象是不够的，往往操作不便，不容易找出审计记录间相互关系。 Wenke lee和 Salvatore J. Stolfo 将数据采掘技术应用到入侵检测研究领域中，从审计数据或数据流中提取感兴趣的知识，这些知识是隐含的、事先未知的潜在有用信息，提取的知识表示为概念、规则、规律、模式等形式，并用这些知识去检测异常入侵和已知入侵。基于数据采掘异常检测方法目前已有现成的算法可以借用，这种方法的优点在于适应处理大量数据情况。但是，对于实时入侵检测则还存在问题，需要开发出有效的数据采掘算法和适应的体系。 52 5.3 IDS的标准化n 5.3.1 IDS标准化进展现状n 为了提高 IDS产品、组件及与其他安全产品之间的互操作性，美国国防高级研究计划署（ DARPA）和互联网工程任务组（ IETF）的入侵检测工作组（ IDWG）发起制订了一系列建议草案，从体系结构、 API、通信机制、语言格式等方面规范 IDS的标准。 n DARPA提出的建议是公共入侵检测框架（ CIDF），最早由加州大学戴维斯分校安全实验室主持起草工作。1999年 6月， IDWG就入侵检测也出台了一系列草案。但是，这两个组织提出的草案或建议目前还正处于逐步完善之中，尚未被采纳为广泛接收的国际标准。不过，它们仍是入侵检测领域最有影响力的建议，成为标准只是时间问题。 53 5.3 IDS的标准化n 5.3.2 入侵检测

展开阅读全文

《入侵检测》PPT课件

最新文档