入侵检测技术简单汇总(共8页).doc

《入侵检测技术简单汇总(共8页).doc》由会员分享，可在线阅读，更多相关《入侵检测技术简单汇总(共8页).doc（8页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精选优质文档-倾情为你奉上入侵检测技术注意：本文只是对入侵检测技术的粗略的汇总，可供平时了解与学习，不能作为科研使用！入侵检测分析系统可以采用两种类型的检测技术:异常检测(Anomaly Detection)和误用检测(Misuse Detection).异常检测异常检测也被称为基于行为的检测，基于行为的检测指根据使用者的行为或资源使用状况来判断是否入侵。基于行为的检测与系统相对无关，通用性较强。它甚至有可能检测出以前未出现过的攻击方法，不像基于知识的检测那样受已知脆弱性的限制。但因为不可能对整个系统内的所有用户行为进行全面的描述，况且每个用户的行为是经常改变的，所以它的主要缺陷在于误检率很高

2、。尤其在用户数目众多，或工作目的经常改变的环境中。其次由于统计简表要不断更新，入侵者如果知道某系统在检测器的监视之下，他们能慢慢地训练检测系统，以至于最初认为是异常的行为，经一段时间训练后也认为是正常的了。异常检测主要方法：（1） 统计分析 概率统计方法是基于行为的入侵检测中应用最早也是最多的一种方法。首先，检测器根据用户对象的动作为每个用户都建立一个用户特征表，通过比较当前特征与已存储定型的以前特征，从而判断是否是异常行为。用户特征表需要根据审计记录情况不断地加以更新。用于描述特征的变量类型有: 操作密度:度量操作执行的速率，常用于检测通过长时间平均觉察不到的异常行为；审计记录分布:度量在最

3、新纪录中所有操作类型的分布； 范畴尺度:度量在一定动作范畴内特定操作的分布情况； 数值尺度:度量那些产生数值结果的操作，如 CPU 使用量，I/O 使用量等。 统计分析通过在一段时间内收集与合法用户行为相关的数据来定义正常的域值（Threshold ），如果当前的行为偏离了正常行为的域值，那么就是有入侵的产生。对于用户所生成的每一个审计记录，系统经计算生成一个单独的检测统计值T2 ，用来综合表明最近用户行为的异常程度 较大的T2 值将指示有异常行为的发生，而接近于零的T2 值则指示正常的行为。统计值 T2本身是一个对多个测量值异常度的综合评价指标。假设有n个测量值表示为Si ，（1=i=n ）

4、，则T2 =a1S12+a2S22+anSn2，其中 ai（1=i=n ） 表示第i个测量值的权重。其优点是能应用成熟的概率统计理论，检测率较高，因为它可以使用不同类型的审计数据，但也有一些不足之处，如:统计检测对事件发生的次序不敏感，也就是说，完全依靠统计理论可能漏检那些利用彼此关联事件的入侵行为。 其次， 定义是否入侵的判断阙值也比较困难。阙值太低则漏检率提高，阙值太高则误检率提高。并且可检测到的入侵类型也受到限制。（2） 基于人工免疫的异常检测将被检测网络中正常活动视为自我，异常活动视为异己，其目的就是区分正常或异常的网络活动。人工免疫模型的工作流程分为三个阶段，即生成规则基因库、筛选检

5、测规则集和复制高效检测规则集。该入侵模型可以分成两个检测层次，一个是系统级检测层次；一个是网络级检测层次。在系统级检测层中主要监控主机的各种操作行为。用户的删除、修改、格式化等操作都要接受该层的分析和识别；而网络级检测层主要负责对网络上传输的数据的监控，包括了网络数据包的识别和检测，地址的过滤等等。人工免疫系统归根结底是进行“自我”和 “非我”的识别。而在该入侵检测模型中，把与所需检测的机器相连的网络间正常的 TCP/IP连接集合和该机器系统内合法的操作行为定义为 “自我”，采用可以描述 TCP/IP连接的特征信息来表示，例如：源 IP地址，目的 IP地址，服务端VI ，协议类型，包的数量 、

6、字节数、 特定错误和在短时间内网络的特定服务，以及描述系统合法操作的集合等。而把反常的 TCP/IP连接集合和非法的系统操作集合定义为“ 非”我。而这些特征信息在具体表现形式上，都可以通过某种规则映射为唯一表征该信息长度为1的二进制字符串。该方法成功地将人工免疫理论应用到入侵检测中，但目前还只处于研究阶段.（3） 机器学习该方法通过对新序列（如离散数据流和无序的记录） 的相似度的计算，将原始数据转化为可度量的空间，然后应用 IBL （Instance Based Learning） 学习技术和一种新的基于序列的分类方法，发现异常事件，从而检测入侵行为这种方法检测速率高，且误报率较低. 然而，这

7、种方法对于用户动态行为变化以及单独异常检测还有待改善.（4） 基于隐马尔可夫模型（HMM）的入侵检测方法一个系统调用，既可以是完全正常的，也可以是危险的。比如：被缓冲区溢出攻击的程序，它所产生的系统调用事件和在正常情况下产生的有着明显的不同。因此，可以通过构建正常情况下系统调用事件模型，然后观察是否与此模型有明显的偏离，以此来有效地检测入侵的产生。隐马尔可夫模型是对观察到的符号序列构造模型的一种非常好的工具，它在构造系统调用事件模型上有着比其它方法更好的性能，但它在构造正常行为模型时需要较长的时间 解决办法是提高计算机系统的性能，或者减少观察的数据误用检测误用检测也被称为基于知识的检测，它指运

8、用己知攻击方法，根据己定义好的入侵模式，通过判断这些入侵模式是否出现来检测。因为很大一部分的入侵是利用了系统的脆弱性，通过分析入侵过程的特征、条件、排列以及事件间关系能具体描述入侵行为的迹象。这种方法由于依据具体特征库进行判断，所以检测准确度很高，并且因为检测结果有明确的参照，也为系统管理员做出相应措施提供了方便。主要缺陷在于与具体系统依赖性太强，不但系统移植性不好，维护工作量大，而且将具体入侵手段抽象成知识也很困难。并且检测范围受已知知识的局限，尤其是难以检测出内部人员的入侵行为，如合法用户的泄漏，因为这些入侵行为并没有利用系统脆弱性。 误用检测方法有以下几种：（1） 模式匹配 模式匹配就是

9、将收集到的信息与己知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。该过程可以很简单，如通过字符串匹配发现一个简单的条目或指令，也可以很复杂，如利用形式化的数学表达式来表示安全状态的变化。模式匹配方法的一大优点是只需收集与入侵相关的数据集合，可以显著减少系统负担，检测的准确率和效率比较高。 模式匹配主要是用一定的模式描述来提取攻击的主要特征.其基本任务就是把存放在入侵检测规则集中的已知入侵模式与系统正在检测的网络包或者重构的TCP流中的文本进行匹配，如果匹配成功，则可以断定发生了入侵。这个过程是不断循环进行的。它具有较高的检测率和较低的误警率，其检测规则必须不断地更新。模式

10、匹配将入侵行为表示成一个事件序列或者转换成某种可以直接在网络数据包审计记录中找到的数据样板，而不进行规则转换，这样可以直接在审计记录中寻找相匹配的已知入侵模式。缺点： 必须及时更新知识库 兼容性较差 建立和维护知识库的工作量都相当大（2） 专家系统 专家系统是基于知识的检测中运用最多的一种方法。 将有关入侵的知识转化成 if-then 结构的规则，即将构成入侵所要求的条件转化为 if 部分，将发现入侵后采取的相应措施转化成 then 部分。当其中某个或某部分条件满足时，系统就判断为入侵行为发生。其中的 if-then 结构构成了描述具体攻击的规则库，状态行为及其语义环境可根据审计事件得到，推理

11、机根据规则和行为完成判断工作。在具体实现中，专家系统主要面临以下问题: 全面性问题，即难以科学地从各种入侵手段中抽象出全面的规则化知识； 效率问题，即所需处理的数据量过大，而且在大型系统上，如何获得实时连续的审计数据也是个问题。 用专家系统对入侵进行检测经常是针对有特征的入侵行为.它将有关入侵的知识转化为 结构，部分为入侵特征，部分为系统防范措施所谓的规则，即是知识。专家系统的建立依赖于知识库的完备性，知识库的完备性又取决于审计记录的完备性与实时性 专家系统的难点就在于实现专家系统知识库的完备性（3） 模型推理 模型推理是指结合攻击脚本推理出入侵行为是否出现。 其中有关攻击者行为的知识被描述为

12、:攻击者目的，攻击者达到此目的的可能行为步骤，以及对系统的特殊使用等。根据这些知识建立攻击脚本库，每一脚本都由一系列攻击行为组成。检测时先将这些攻击脚本的子集看作系统正面临的攻击。然后通过一个称为预测器的程序模块根据当前行为模式，产生下一个需要验证的攻击脚本子集，并将它传给决策器。决策器收到信息后，根据这些假设的攻击行为在审计记录中的可能出现方式，将它们翻译成与特定系统匹配的审计记录格式。然后在审计记录中寻找相应信息来确认或否认这些攻击。初始攻击脚本子集的假设应满足:易于在审计记录中识别，并且出现频率很高。随着一些脚本被确认的次数增多，另一些脚本被确认的次数减少，攻击脚本不断地得到更新。 （4

13、） 基于规则库的方法基于规则库的安全审计方法就是将已知的攻击行为进行特征提取，把这些特征用脚本语言等方法进行描述后放入规则库中，当进行安全审记时，将收集到的网络数据与这些规则进行某种比较和匹配操作(关键字、正则表达式、模糊近似度等)，从而发现可能的网络攻击行为。这种方法和某些防火墙和防病毒软件的技术思路类似，检测的准确率都相当高，可以通过最简单的匹配方法过滤掉大量的网络数据信息，对于使用特定黑客工具进行的网络攻击特别有效。比如发现目的端口为139以及含有00B标志的数据包，一般肯定是Winnuke攻击数据包。而且规则库可以从互连网上下载和升级(如CERT)等站点都可以提供了各种最新攻击数据库)

14、，使得系统的可扩充性非常好。（5） 状态转换分析 状态转换分析就是将状态转换图应用于入侵行为的分析。状态转换法将入侵过程看作一个行为序列，这个行为序列导致系统从初始状态转入被入侵状态。分析时首先针对每一种入侵方法确定系统的初始状态和被入侵状态， 以及导致状态转换的转换条件，即导致系统进入被入侵状态必须执行的操作(特征事件)。然后用状态转换图来表示每一个状态和特征事件，这些事件被集成于模型中，所以检测时不需要一个个地查找审计记录。但是，状态转换是针对事件序列分析，所以不善于分析过分复杂的事件，而且不能检测与系统状态无关的入侵。状态转换分析：它将入侵检测表示成一系列被监控的系统状态迁移，攻击模式的

15、状态对应于系统状态，并具有迁移到另外状态的条件判断。通过弧将连续的状态连接起来以表示状态改变所需的事件，允许事件类型被植入到模型并且无需同审计记录一一对应。（6） 按键监视（键盘监控）假设每种网络入侵行为都具有特定的击键序列模式，入侵检测系统监视各个用户的击键模式，并将该模式与已有的入侵击键模式相匹配，如果匹配成功就认为是网络入侵行为。缺点： 不能对击键进行语义分析，容易遭受欺骗； 缺少可靠的方法来捕获用户的击键行为； 无法检测利用程序进行自动攻击的行为。混合检测方法：(说明：虽然此标题是混合检测方法，但其下列举的方法不一定是混合，因为资料不足无法分类所以全放在此类下)使用单一的方法进行入侵检

16、测受到一定的局限，要么不能检测未知入侵，要么检测率不高，达不到有效检测的目标 因此，使用多种检测方法来检测入侵受到研究人员的关注，目前已提出多种混合检测方法（1） 神经网络神经网络是一种算法，通过学习已有的输入/输出信息对，抽象出其内在的关系，然后通过归纳得到新的输入/输出对。在IDS中，系统把用户当前输入的命令和用户已经执行的W个命令传递给神经网络，如果神经网络通过预测得到的命令与该用户随后输入的命令不一致，则在某种程度上表明用户的行为与其轮廓框架产生了偏离，即说明用户行为异常。神经网络的引入对入侵检测系统的研究开辟了新的途径，由于它有很多优点，如自适应性，自学习的能力，因此，在基于神经网络

17、的入侵检测系统中，只要提供系统的审计数据， 它就可以通过自学习从中提取正常的用户或系统活动的特征模式，而不必对大量的数据进行存取，精简了系统的设计。基于神经网络的检测方法具有普遍性，可以对多个用户采用相同的检测措施。神经网络适用于不精确模型，统计方法主要依赖用户行为的主观设计，所以此时描述的精确度很重要， 不然会引起大量的误报。 入侵检测系统可以利用神经网络的分类和识别能力，适用于用户行为的动态变化特征。但基于神经网络的入侵检测系统计算量大，将影响其实时性，可以采用和其他的技术相结合，来构造入侵检测系统。神经网络模仿生物神经系统，通过接收外部输入的刺激，不断获得并积累知识，进而具有一定的判断预

18、测能力。这种方法通过对一个特定用户先前命令序列的分析推测出下面要执行的命令。它包括三个阶段：一是在一定的时期从每一个用户的审计日志中来收集训练数据，这样，就会形成一个向量，以表明每个用户多长时间执行一条命令；二是在命令分布向量的基础上训练神经网络以标识用户；三是在运行过程中，使用神经网络识别新一天的向量，如果网络表示和实际用户有很大的不同或没有一个明确的建议，就表示有异常行为发生。基于神经网络的异常入侵检测系统具有学习的能力，它可以紧密地模仿用户的行为并且根据最近的变化进行调整 它的另外一个特性就是允许模糊数据或噪音数据 此外，与统计理论相比，神经网络更好地表达了变量之间的非线性关系 其缺点是

19、需要的计算负载较重，并且很难解释输入和输出之间的关系（2） 数据挖掘用数据挖掘程序处理搜集到的审计数据，为各种入侵行为和正常操作建立精确的行为模式，这是一个自动的过程，不需要人工分析和编码入侵模式。将数据挖掘技术应用于入侵检测中,利用数据挖掘中的关联分析、 序列模式分析等算法提取与安全相关的系统特征属性, 对数据进行分析,可以自动地从大量数据中发现新的模式,消除入侵检测系统开发过程中的手工编码入侵模式和正常行为轮廓,提高入侵检测系统开发过程中的有效性、 适应性、 扩展性和伸缩性。数据挖掘是针对特定应用的数据分析处理过程。根据挖掘目标的不同,数据挖掘分为五种类型,分别是关联分析、 数据总结、 数

20、据分类、 聚类分析和序列模式分析。数据挖掘技术的优点是可适应处理大量数据的情况, 因为网络或用户行为模式的形成和入侵检测规则集的建立都是通过对审计数据和数据流的分析和学习完成的,因而减少了入侵检测建模的手工和经验成分。但是,该方法的技术难点在于如何根据具体应用的要求, 从关于安全的先验知识出发, 提取出可以有效地反映系统特性的特征属性, 应用合适的算法进行数据挖掘;同时如何将挖掘结果自动地应用到实际的入侵检测系统中还存在问题。数据挖掘与入侵检测相关的算法类别主要包括下列3种类型：分类算法将特定的数据项归入预先定义好的某个类别。常用的分类算法:RIPPER、C4.5、Nearest Neighb

21、or等。关联分析算法用于确定数据记录中各个字段之间的联系。常用的算法：Apriori算法、AprioriTid算法等。序列分析算法发掘数据集中存在的序列模式，即不同数据记录间的相关性。常用的算法： ArpioriAll算法、DynamicSome算法和AprioriSome算法等。（3） 数据融合目前,数据融合是针对一个系统中使用多个或多类传感器这一特定问题展开的一种新的数据处理方法,因此数据融合又称多传感器信息融合或信息融合。多传感器系统是数据融合的硬件基础,多源信息是数据融合的加工对象,协调优化和综合处理是数据融合的核心。数据融合系统主要有局部式和全局式两种形式。局部式也称自备式,这种数据

22、融合系统收集来自单个平台的多个传感器的数据, 也可用于检测对象相对单一的智能检测系统中;全局式也称区域式,这种数据融合系统组合和相关来自空间和时间上各不相同的多平台、 多传感器的数据,多传感器数据融合在解决探测、 跟踪和识别等问题方面, 具有以下特点:生存能力强,扩展了空间、 时间覆盖范围, 提高了可信度,降低了信息的模糊度,改进了探测性能,提高了空间分辨力,改善了系统可靠性。基于数据融合的入侵检测系统提供的信息是有关当前态势的,由于使用的数据是来自多个传感器, 并采用了智能攻击分析,从而减少了误报的数量, 因此基于数据融合的入侵检测系统提供的信息质量非常高。要建立基于数据融合的IDS, 需采

23、用支持多层抽象的框架。Bass 列出了IDS 数据融合模型的 5 层功能。第0 层:过滤原始数据;第1 层:对数据进行联合和关联,把对象的上下文放在对象库中;第2 层:根据对象的协同行为、 依赖性、 同样的起源、 两样的目标、 相关攻击率等高层属性,针对对象聚合集进行检测; 第3 层:对当前态势进行评估,对将来的威胁进行预测; 第4层:为了简化检测,对整个过程进行精简。（4） 生物免疫生物免疫系统是为了保护个体（ 自己） 不受故意生物 （ 异己） 的侵害，而入侵检测则为保护一台或一组计算机不受入侵，故生物免疫系统原理。算法和体系结构可用于入侵检测 。基于免疫学的入侵检测系统模仿生物免疫系统，实

24、时监控和处理主机的审计数据，提取感兴趣的行为数据，建立行为特征模式，并与用户的行为模式匹配，以此来发现是否发生入侵。这种模型的主要思想是区分“自我”和“非我”。“自我” 是正常行为，“非我”指异常行为。根据生物免疫的基本思想，将正常网络访问当成是正常行为，将异常访问当作异已行为，区别自己和异己从而判别出入侵行为，当一个行为模式和一个异己模式很相近或相同时可判别入侵行为。（5） 遗传算法这种方法寻找已知攻击向量，这种向量的每个元素表示一个特定的攻击，遗传算法能最好地匹配观察到的事件流。基于相关攻击的危害度和不匹配部分的二次惩罚函数来估计假设向量。 在每一代中，经过交叉和变异得到当前最好假设向量，

25、以便误报率和漏报率都趋于零。这种方法具有较好的性能，但它不能辨别攻击匹配的原因，而且也不能表示同时或组合攻击。（6） 智能代理检测技术智能代理是一个执行特定任务的软件实体,它的独立性、 自治性和协作性给入侵检测系统带来了更大的灵活性和可扩展性。基于代理的入侵检测系统的灵活性保证它可以为保障系统的安全提供混合式的架构,综合运用滥用监测和异常检测, 从而弥补两者各自的缺陷。其关键和困难是如何设计系统的整体架构和高效合理地配置代理的检测引擎。（7） 其他协议分析贝叶斯聚类、贝叶斯推理、贝叶斯网络：贝叶斯推理是由英国牧师贝叶斯发现的一种归纳推理方法，后来的许多研究者对贝叶斯方法在观点、方法和理论上不断的进行完善，最终形成了一种有影响的统计学派，打破了经典统计学一统天下的局面。贝叶斯推理是在经典的统计归纳推理估计和假设检验的基础上发展起来的一种新的推理方法。与经典的统计归纳推理方法相比，贝叶斯推理在得出结论时不仅要根据当前所观察到的样本信息，而且还要根据推理者过去有关的经验和知识。伪装检测专心-专注-专业