入侵检测技术总结.doc

《入侵检测技术总结.doc》由会员分享，可在线阅读，更多相关《入侵检测技术总结.doc（10页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、入侵检测技术总结入侵检测技术总结入侵是对信息系统的非授权访问以及（或者）未经许可在信息系统中进行的操作。入侵检测(IntrusionDetection)是对企图入侵、正在进行的入侵或者已经发生的入侵进行识别的过程。审计数据的获取是主机入侵检测技术的重要基石，是进行主机入侵检测的信息来源。网络数据包的截获是基于网络的入侵检测技术的工作基石。根据网络类型的不同，网络数据截获可以通过两种方法实现：一种是利用以太网络的广播特性，另一种是通过设置路由器的监听端口或者是镜像端口来实现。主机入侵检测所要进行的主要工作就是审计数据的预处理工作，包括映射、过滤和格式转换等操作。预处理工作的必要性体现在一下几个方

2、面：不同目标系统环境的审计记录格式不相同，对其进行格式转换的预处理操作形成标准记录格式后，将有利于系统在不同目标平台系统之间的移植；同时，有利于形成单一格式的标准审计记录流，便于后继的处理模块进行检测工作对于审计系统而言，系统中所发生的所有可审计活动都会生成对应的审计记录，因此对某个时间段而言，审计记录的生成速度是非常快的，而其中往往大量充斥着对于入侵检测而言无用的事件记录。所以，需要对审计记录流进行必要的映射和过滤等操作。构建状态转移图的过程大致分为如下步骤：分析具体的攻击行为，理解内在机理确定攻击过程中的关键行为点确定初始状态和最终状态从最终状态出发，逐步确定所需的各个中间状态及其应该满足

3、的状态断言组文件完整性检查的目的是检查主机系统中文件系统的完整性，及时发现潜在的针对文件系统的无意或者恶意的更改。检测引擎的设计是基于网络入侵检测的核心问题。检测引擎可分为两大类：嵌入式规则检测引擎和可编程的检测引擎。类型优点在小规则集合情况下，工作速度快检测规则易于编写、便于理解并且容易进行定制对新出现的攻击手段，具备快速升级支持能力对低层的简单脚本攻击行为，具备良好的检测性能对所发生的攻击行为类型，具备确定性的解释能力缺点随着规则集合规模的扩大，检查速度迅速下降各种变种的攻击行为，易于造成过度膨胀的规则集合较易产生虚警信息仅能检测到已知的攻击类型，前提是该种攻击类型的检测特征已知在小规则集

4、合情况下，初始的检测速度相对较慢检测规则比较复杂，难以编写和理解并且通常是由特定厂商实现协议复杂性的扩展以及实际实现的多样性，容易导致规则扩展的困难对发现的攻击行为类型，缺乏明确的解释信息特征分析协议分析具备良好的性能可扩展性，特别是在规则集合规模较大的情况下能够发现最新的未知安全漏洞（Zero-DayExploits）较少出现虚警信息DIDS(DistributionIntrusionDetectionSystem)分布式入侵检测系统主要包括3种类型的组件：主机监控器（HostMonitor）、局域网监控器（LANMonitor）和中央控制台（Director）。主机监控器由主机事件发生器（

5、HostEventGenerator,HEG）和主机代理（HostAgent）组成。局域网监控器由局域网事件发生器（LANEventGenerator,LEG）和局域网代理（LANAgent）组成。控制台主要包括3个部分：通信管理器（CommunicationManager）、专家系统和用户接口。入侵检测专家系统（IDES,IntrusionDetectionExpertSystem）是一个混合型的入侵检测系统，使用一个在当时来说是创新的统计分析算法来检测异常入侵行为，同时，该系统还用一个专家系统检测模块来对已知的入侵攻击模式进行检测。人工神经网络是模拟人脑加工、存储和处理信息机制而提出的一种

6、智能化信息处理技术，它是由大量简单的处理单元（神经元）进行高度互连而形成的复杂网络系统。神经网络技术应用于入侵检测领域具有以下优势：神经网络具有概括和抽象能力，对不完整输入信息具有一定程度的容错处理能力。神经网络具备高度的学习和自适应能力。神经网络所独有的内在并行计算和存储特性。神经网络技术在入侵检测中的应用还存在以下缺陷和不足：需要解决神经网络对大容量入侵行为类型的学习能力问题。需要解决神经网络的解释能力不足的问题。执行速度问题。数据挖掘（DataMining）是所谓“数据库知识发现”（KnowledgeDiscoveryinDatabase,KDD）技术中的一个关键步骤，其提出的背景是解决

7、日益增长的数据量与快速分析数据要求之间的矛盾问题，目标是采用各种特定的算法在海量数据中发现有用的可理解的数据模式。数据融合（Datafusion）是一种多层次的、多方面的处理过程，这个过程是对多源数据进行检测、结合、相关估计和组合以达到精确的状态估计和身份估计，以及完整、及时的态势评估、本地资产评估和威胁评估。简言之，数据融合的基本目的就是通过组合，可以比从任何单个输入数据元素获得更多的信息。进化计算的主要算法包括以下5中类型：遗传算法（GeneticAlgorithm,GA）、进化规划(EvolutionaryProgramming,EP)、进化策略(EvolutionaryStrategi

8、es,ES)、分类器系统(ClassifierSystem,CFS)和遗传规划(GeneticProgramming,GP)。1、检测功能需求2、响应需求3、操作需求4、平台范围需求5、数据来源需求6、检测性能需求7、可伸缩性需求8、取证和诉讼需求9、其他需求1、机制的经济性原则2、可靠默认原则3、完全调节原则4、开放设计原则5、特权分割原则6、最小权限原则7、最小通用原则8、心理科接受原则用户需求分析入侵检测系统的设计考虑系统安全设计原则系统设计的生命周期时钟活动档案（ActivityProfile）规则库（Ruleset）事件生成器（EventGenerator）审计记录/网络数据包/应用

9、程序日志通用入侵检测模型事件生成器从给定的数据来源中（包括主机审计数据、网络数据包和应用程序的日志信息等），生成入侵检测事件，并分别送入到活动档案计算模块和规则库检测模块中。活动档案模块根据新生成的事件，自动更新系统行为的活动档案；规则库根据当前系统活动档案和当前事件的情况，发现异常活动情况，并可以按照一定的时间规则自动地删减规则库中的规则集合。知识库配置信息检测器警报信息控制器数据收集器控制动作审计数据等目标系统通用入侵检测系统模型数据收集器（又可称为探测器）：主要负责收集数据。探测器的输入数据流包括任何可能包含入侵行为线索的系统数据。比如网络数据包、日志文件和系统调用记录等。探测器将这些数

10、据收集起来，然后发送到检测器进行处理。探测器（又可称为分析器或检测引擎）：负责分析和检测入侵的任务，并发出警报信号。知识库：提供必要的数据信息支持。例如用户历史活动档案，或者是检测规则集合等。控制器：根据警报信号，人工或者自动做出反应动作。PDR模型是一个动态的计算机系统安全理论模型。PDR是Policy(策略)、Protection(防护)、Detection(检测)和Response（响应）的缩写，特点是动态性和基于时间的特性。Protection22PolicyDetectionResponseP2DR安全模型策略：PDR模型的核心内容。具体实施过程中，策略规定了系统所要达到的安全目标和

11、为达到目标所采取的各种具体安全措施及其实施强度等。安全措施的实施必然会影响到系统运行的性能，以及牺牲用户操作的舒适度，因此安全策略必须按需而制。防护：具体包括制定安全管理规则、进行系统安全配置工作以及安装各种安全防护设备，例如防火墙、VPN设备等。检测：在采取各种安全措施中，根据系统运行情况的变化，对系统安全状态进行实时的动态监控。响应：当发现了入侵活动或入侵结果后，需要系统做出及时的反应并采取措施，其中包括：记录入侵行为、通知管理员、阻断进一步的入侵活动以及恢复系统正常运行等。2原型实现用户反馈功能定义需求定义整个周期过程是螺旋式上升过程，前一个周期的原型实现阶段完成后，在经过一个用户反馈的

12、环节后，再次进入下一个周期过程中的需求定义环节。在新的需求定义阶段，将根据用户的需求反馈意见，再次更改原有的需求定义和分析规范，形成新的需求定义文档，从而推动下一个设计的周期过程。如此循环反复，直至满足设定的要求。系统设计的生命周期扩展阅读：入侵检测技术重点总结1.黑客：早先对计算机的非授权访问称为“破解”，而hacking(俗称“黑”)则指那些熟练使用计算机的高手对计算机技术的运用，这些计算机高手称为“黑客”。随着个人计算机及网络的出现，“黑客”变成一个贬义词，通常指那些非法侵入他人计算机的人。2.入侵检测（intrusiondetection）：就是对入侵行为的发觉，它通过从计算机网络或计

13、算机系统中的若干关键点收集信息，并对其进行分析，从中发现网络或者系统中是否有违反安全策略的行为和被攻击的迹象。3.入侵检测系统的六个作用：1）、通过检测和记录网络中的安全违规行为，惩罚网络犯罪，防止网络入侵事件的发生。2）、检测其他安全措施未能阻止的攻击或安全违规行为。3）、检测黑客在攻击前的探测行为，预先给管理员发出警报。4）、报告计算机系统或网络中存在的安全威胁。5）、提供有关攻击的信息，帮助管理员诊断网络中存在的安全弱点，利于其进行修补。6）、在大型、复杂的计算机网络中布置入侵检测系统，可以显著提高网络安全管理的质量。4.tPtD+tRd的含义：tp:保护安全目标设置各种保护后的防护时间

14、。tD:从入侵者开始发动入侵开始，系统能够检测到入侵行为所花费的时间。tR：从发现入侵行为开始，系统能够做出足够的响应，将系统调整到正常状态的时间。公式的含义：防护时间大于检测时间加上响应时间，那么在入侵危害安全目标之前就能检测到并及时采取防护措施。5.入侵检测原理的四个阶段：数据收集、数据处理，数据分析，响应处理。6.攻击产生的原因：信息系统的漏洞是产生攻击的根本原因。7.诱发入侵攻击的主要原因：信息系统本身的漏洞或脆弱性。8.漏洞的概念：漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，它是可以使攻击者能够在未授权的情况下访问或破坏系统。漏洞会影响到很大范围内的软件及硬件设备，

15、包括操作系统本身及其支撑软件、网络客户和服务器软件、网络路由和安全防火墙等。漏洞是与时间紧密相关的，一般是程序员编程时的疏忽或者考虑不周导致的。9.漏洞的具体表现：存储介质不安全，数据的可访问性，信息的聚生性，保密的困难性，介质的剩磁效应，电磁的泄漏性，通信网络的脆弱性，软件的漏洞。10.漏洞iongde分类（按被利用的方式）：物理接触、主机模式、客户机模式、中间人模式。11.入侵检测系统的基本原理主要分四个阶段：数据收集、数据处理、数据分析、响应处理。12.常用的5种检测模型：操作模型、方差模型、多元模型、马尔柯夫过程模型、时间序列分析模型。13.信息系统面临的三种威胁：非人为因素和自然力造

16、成的数据丢失、设备失效、线路阻断；人为但属于操作人员无意的失误造成的数据丢失；来自外部和内部人员的恶意攻击和入侵。14.攻击的四个步骤：攻击者都是先隐藏自己；再踩点或预攻击探测，检测目标机器的各种属性和具备的被攻击条件，然后采取相应的攻击行为，达到自己的目的，最后攻击者会清除痕迹删除自己的行为日志。Ping扫描：ping是一个DOS命令，它的用途是检测网络的连通状况和分析网络速度。端口扫描：端口扫描时一种用来查找网络主机开放端口的方法，正确的使用端口扫描，能够起到防止端口攻击的作用。操作系统识别扫描：黑客入侵过程的关键环节是操作系统的识别与扫描。漏洞扫描：主要是查找操作系统或网络当中存在什么样

17、的漏洞，并给出详细漏洞报告，引导用户到相关站点下载最新系统漏洞补贴程序，确保系统永远处在最安全的状态下，以减少被攻击的可能性。1.欺骗攻击的类型：IP、ARP、DNS、源路由、URL2.拒绝服务攻击：攻击者想办法让目标主机停止提供服务或资源访问，它是黑客常用的攻击手段之一。3.拒绝服务攻击的原理：SYN洪流攻击，IP欺骗拒绝服务攻击，UDP洪流攻击，ping洪流攻击，泪滴攻击，Land攻击，Smurf攻击，Fraggle攻击。4.数据库攻击：危害最大的属于SQL注入式攻击。源于英文：SQLInjectionAttack,就其本质而言，SQL注入式攻击利用的工具是SQL的语法，针对的是应用程序开发者编程过程中的漏洞。当攻击者能够操作数据，往应用程序中插入一些SQL语句时，SQL注入式攻击就发生了。5.木马攻击：特洛伊木马本质上只是一种远程管理工具，而且本身不带伤害性，也没有感染力，所以原则上不能成为病毒。特洛伊木马之所以被视为病毒是因为如果有人不正当的使用，其破坏力可以比病毒更强。木马是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。“冰河”的开放端口是7626.6.入侵检测系统模型分为3个模块：信息收集模块、信息分析模块、报警与相应模块7.入侵检测利用的信息第 10 页 共 10 页