信息安全系统工程入侵检测.ppt

《信息安全系统工程入侵检测.ppt》由会员分享，可在线阅读，更多相关《信息安全系统工程入侵检测.ppt（113页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、一、概述一、概述n n入侵检测（Intrusion detection）n n入侵检测是通过在计算机网络或计算机系统中入侵检测是通过在计算机网络或计算机系统中的若干关键点收集信息，通过对这些信息的分的若干关键点收集信息，通过对这些信息的分析来发现网络或系统中是否有违反安全策略的析来发现网络或系统中是否有违反安全策略的行为和被攻击的迹象的一种机制。行为和被攻击的迹象的一种机制。n n入侵检测系统（Intrusion Detection System）n n进行入侵检测的软件与硬件的组合，它使用入进行入侵检测的软件与硬件的组合，它使用入侵检测技术对网络与其上的系统进行监视，并侵检测技术对网络与其上

2、的系统进行监视，并根据监视结果进行不同的安全动作，最大限度根据监视结果进行不同的安全动作，最大限度地降低可能的入侵危害。地降低可能的入侵危害。2021/9/241入侵检测系统的预警功能入侵检测系统的预警功能n n目前大部分网络攻击在攻击前目前大部分网络攻击在攻击前有资料搜集的过程有资料搜集的过程n n例如，基于特定系统的漏洞攻击，在攻击之前需要进例如，基于特定系统的漏洞攻击，在攻击之前需要进行端口扫描，以确认系统的类型以及漏洞相关的端口行端口扫描，以确认系统的类型以及漏洞相关的端口是否开启。是否开启。n n此外某些攻击在初期就此外某些攻击在初期就可以表现出较为明显的特征可以表现出较为明显的特征

3、n n例如，假冒有效用户登录，在攻击初期的登录尝试具例如，假冒有效用户登录，在攻击初期的登录尝试具有明显的特征。有明显的特征。n n对于这些攻击，对于这些攻击，入侵检测系统可以在攻击的前期准备时期入侵检测系统可以在攻击的前期准备时期或是在攻击刚刚开始的时候进行确认并发出警报或是在攻击刚刚开始的时候进行确认并发出警报n n同时入侵检测系统可以对报警的信息进行记录，为以后的一系列同时入侵检测系统可以对报警的信息进行记录，为以后的一系列实际行动提供证据支持。实际行动提供证据支持。2021/9/242IDS的特点的特点n nIDSIDS是一种积极主动的防护工具，是对防火墙的合理补充，是一种积极主动的防

4、护工具，是对防火墙的合理补充，能帮助系统对付网络攻击，扩展系统管理员的安全管理能能帮助系统对付网络攻击，扩展系统管理员的安全管理能力和范围力和范围n n一般情况下，防火墙为网络安全提供了第一道防线，一般情况下，防火墙为网络安全提供了第一道防线，IDSIDS作为防火作为防火墙之后的第二道安全闸门墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络在不影响网络性能的情况下能对网络进行监测进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护，从而提供对内部攻击、外部攻击和误操作的实时保护，减少网络受到各种可能攻击的损害。减少网络受到各种可能攻击的损害。n nIDSIDS不仅能监测外来的入侵者

5、，同时也能监测内部人员的入侵行为不仅能监测外来的入侵者，同时也能监测内部人员的入侵行为，这也弥补了防火墙在这方面的不足。这也弥补了防火墙在这方面的不足。n n入侵检测一般采用旁路侦听的机制入侵检测一般采用旁路侦听的机制，因此不会产生对网络，因此不会产生对网络带宽的大量占用，系统的使用对网内外的用户来说是透明带宽的大量占用，系统的使用对网内外的用户来说是透明的，不会有任何的影响。的，不会有任何的影响。2021/9/243入侵检测的部署方式和位置入侵检测的部署方式和位置旁路侦听旁路侦听旁路侦听旁路侦听2021/9/244IDS的功能的功能n nIDS通常具有以下功能：n n1 1、监视用户和系统的

6、运行状况，查找非法用、监视用户和系统的运行状况，查找非法用户和合法用户的越权操作；户和合法用户的越权操作；n n2 2、对系统的弱点进行审计；、对系统的弱点进行审计；n n3 3、对异常行为模式进行统计分析；、对异常行为模式进行统计分析；n n4 4、评估重要系统和数据文件的完整性；、评估重要系统和数据文件的完整性；n n5 5、对操作系统进行跟踪审计管理，并识别用、对操作系统进行跟踪审计管理，并识别用户违反安全策略的行为。户违反安全策略的行为。2021/9/245IDS常用的评价指标常用的评价指标n n1、漏报率n n指攻击事件没有被指攻击事件没有被IDSIDS检测到的概率。检测到的概率。n

7、 n与其相对的是与其相对的是检出率检出率。n n2、误报率n n指把正常事件识别为攻击并报警的概率。指把正常事件识别为攻击并报警的概率。n n注意：误报率与检出率成正比关系。2021/9/246二、入侵检测的基本原理二、入侵检测的基本原理n n入侵检测与其他检测技术的原理相同，即从收集到的一组数据中，检测出符合某一特点的数据。n n由于入侵者在攻击时通常会留下痕迹，这些痕迹与系统正常运行时产生的数据混合在一起，入侵检测的任务就是要从这样的混合数据中找出是否有入侵的痕迹，如果有入侵的痕迹就产生报警信号。2021/9/247IDS的工作过程的工作过程n n一个IDS的工作过程包括4个阶段：数据收集

8、、数据处理、数据分析和报警响应。数据数据收集收集数据数据处理处理数据数据分析分析报警报警响应响应原原始始数数据据包包或或日日志志规则库规则库入侵检测系统入侵检测系统2021/9/248IDS的工作过程（续）的工作过程（续）n n1 1、数据收集、数据收集n n数据收集是入侵检测的基础，可以通过不同的途径收集数据收集是入侵检测的基础，可以通过不同的途径收集数据。数据。n n目前常见的数据来源包括目前常见的数据来源包括主机日志主机日志、网络数据包网络数据包、应用应用程序日志程序日志和和防火墙日志防火墙日志等。等。n n2 2、数据处理、数据处理n n数据收集过程产生的原始数据量一般很庞大，并且存在

9、数据收集过程产生的原始数据量一般很庞大，并且存在噪声。噪声。n n数据处理的功能就是从原始数据中数据处理的功能就是从原始数据中去除冗余和噪声，并去除冗余和噪声，并且进行格式化和标准化处理且进行格式化和标准化处理，以利于今后的数据分析。，以利于今后的数据分析。2021/9/249IDS的工作过程（续）的工作过程（续）n n3、数据分析n n对经过处理的数据对经过处理的数据采用智能化的方法进行分析采用智能化的方法进行分析，检查数据是正常的还是存在入侵。检查数据是正常的还是存在入侵。n n4、报警响应n n当经过数据分析发现入侵时，采用各种措施对网当经过数据分析发现入侵时，采用各种措施对网络进行防护

10、、保留入侵证据并通知系统管理员。络进行防护、保留入侵证据并通知系统管理员。n n常用的措施包括常用的措施包括切断网络连接、记录系统日志、切断网络连接、记录系统日志、给系统管理员发送电子邮件给系统管理员发送电子邮件等。等。2021/9/2410IDS的基本结构的基本结构n n入侵检测系统的通用模型是 CIDF：n nCIDFCommon Intrusion Detection CIDFCommon Intrusion Detection FrameworkFrameworkn nCIDF将入侵检测系统需要分析的数据统称为事件（event）n n事件可以是网络中的数据包，也可以是从系统事件可以是网

11、络中的数据包，也可以是从系统日志等其他途径得到的信息。日志等其他途径得到的信息。2021/9/2411CIDF的体系结构的体系结构2021/9/2412CIDF包含的组件包含的组件n n1 1、事件产生器事件产生器n n事件产生器采集和监视被保护系统的数据，这些数据事件产生器采集和监视被保护系统的数据，这些数据可以是网络的数据包，也可以是从系统日志等其他途可以是网络的数据包，也可以是从系统日志等其他途径搜集到的信息。径搜集到的信息。n n事件产生器可以把数据进行保存，一般是保存到数据事件产生器可以把数据进行保存，一般是保存到数据库中。库中。n n2 2、事件分析器事件分析器n n事件分析器的功

12、能主要分为两个方面：事件分析器的功能主要分为两个方面：n n1 1）用于分析事件产生器搜集到的数据，区分数据的正确性，）用于分析事件产生器搜集到的数据，区分数据的正确性，发现非法的或者具有潜在危险的、异常的数据现象，通知响应发现非法的或者具有潜在危险的、异常的数据现象，通知响应单元做出入侵防范；单元做出入侵防范；n n2 2）对数据库保存的数据做定期的统计分析，发现某段时期内）对数据库保存的数据做定期的统计分析，发现某段时期内的异常表现，进而对该时期内的异常数据进行详细分析。的异常表现，进而对该时期内的异常数据进行详细分析。2021/9/2413CIDF包含的组件（续）包含的组件（续）n n3

13、、响应单元n n响应单元是协同事件分析器工作的重要组成部响应单元是协同事件分析器工作的重要组成部分，一旦事件分析器发现具有入侵企图的异常分，一旦事件分析器发现具有入侵企图的异常数据，响应单元就要发挥作用，对具有入侵企数据，响应单元就要发挥作用，对具有入侵企图的攻击施以拦截、阻断、反追踪等手段，保图的攻击施以拦截、阻断、反追踪等手段，保护被保护系统免受攻击和破坏。护被保护系统免受攻击和破坏。n n4、事件数据库n n事件数据库记录事件分析单元提供的分析结果，事件数据库记录事件分析单元提供的分析结果，同时记录下所有来自于事件产生器的事件，用同时记录下所有来自于事件产生器的事件，用来进行以后的分析与

14、检查。来进行以后的分析与检查。2021/9/2414三、入侵检测系统的分类三、入侵检测系统的分类n n入侵检测系统的分类标准有多种，最常用的是根据入侵检测系统的输入数据来源，将其分为：n n基于主机（基于主机（Host-BasedHost-Based）的入侵检测系统）的入侵检测系统（HIDSHIDS）n n基于网络（基于网络（Network-BasedNetwork-Based）的入侵检测系统）的入侵检测系统（NIDSNIDS）2021/9/2415HIDSHIDS（基于主机）（基于主机）NDISNDIS（基于网络）（基于网络）数据源数据源系统日志或应用程序日志系统日志或应用程序日志原始的网络

15、数据包原始的网络数据包能否确定攻击是否成功能否确定攻击是否成功（到达目标）（到达目标）能能不能不能能否检测网络上攻击不能不能能能加密网络环境加密网络环境支持支持不支持不支持实时性实时性一般一般好好是否需要额外硬件是否需要额外硬件不需要不需要需要需要监视特定的系统行为监视特定的系统行为（如特定的文件操作或（如特定的文件操作或账户操作）账户操作）容易容易较难较难通用性通用性差（依赖具体系统或应用程差（依赖具体系统或应用程序的日志格式）序的日志格式）好（网络协议是标准的）好（网络协议是标准的）对目标系统的资源消耗对目标系统的资源消耗大（需要在目标系统所在主大（需要在目标系统所在主机上采集日志）机上采

16、集日志）无（旁路获取网络报文）无（旁路获取网络报文）攻击者转移（或删除）攻击者转移（或删除）证据证据容易容易较难较难2021/9/24163.1 基于主机的入侵检测系统基于主机的入侵检测系统n nHIDSHIDS通常以通常以系统日志、应用程序日志等审计记录文件系统日志、应用程序日志等审计记录文件作作为数据源为数据源n n通过比较这些审计记录文件的记录与攻击签名（通过比较这些审计记录文件的记录与攻击签名（Attack SignatureAttack Signature，指用一种特定的方式来表示已知的攻击模式）是否匹配以发现，指用一种特定的方式来表示已知的攻击模式）是否匹配以发现是否存在攻击行为。

17、是否存在攻击行为。n n如果匹配，检测系统就向管理员发出入侵报警并采取相应行动。如果匹配，检测系统就向管理员发出入侵报警并采取相应行动。n n由于审计数据是收集系统用户行为信息的主要方法，因而由于审计数据是收集系统用户行为信息的主要方法，因而必须保证系统的审计数据不被修改必须保证系统的审计数据不被修改n n但是，当系统遭到攻击时，这些数据很可能被有经验的黑客修改，但是，当系统遭到攻击时，这些数据很可能被有经验的黑客修改，因此，这就要求因此，这就要求HIDSHIDS必须满足一个实时性条件：必须满足一个实时性条件：即检测系统必须即检测系统必须在攻击者完全控制系统并更改审计数据之前完成对审计数据的分

18、在攻击者完全控制系统并更改审计数据之前完成对审计数据的分析析，产生报警并采取相应的措施。，产生报警并采取相应的措施。2021/9/2417例：例：Windows 7系统日志系统日志2021/9/2418例：例：Windows7审核策略审核策略2021/9/2419例：例：IIS系统日志系统日志IIS IIS 日志文件默认位置为日志文件默认位置为日志文件默认位置为日志文件默认位置为%systemroot%/system32/logfiles%systemroot%/system32/logfiles2021/9/2420HIDS的优点的优点n n1 1、能够确定攻击是否成功、能够确定攻击是否成功

19、n n由于由于HIDSHIDS使用包含有确实已经发生的事件信息的日志使用包含有确实已经发生的事件信息的日志文件作为数据源，因而比文件作为数据源，因而比NIDSNIDS更能准确地判断出攻击更能准确地判断出攻击是否成功。是否成功。n n2 2、非常适合于加密和交换环境、非常适合于加密和交换环境n n由于由于NIDSNIDS是以网络数据包作为数据源，因而对于加密是以网络数据包作为数据源，因而对于加密环境来讲，它是无能为力的；环境来讲，它是无能为力的；n n但对于但对于HIDSHIDS不存在该问题，因为所有的加密数据在到不存在该问题，因为所有的加密数据在到达主机之前必须被解密，这样才能被操作系统解析；

20、达主机之前必须被解密，这样才能被操作系统解析；n n另外对于交换网络来讲，另外对于交换网络来讲，NIDSNIDS在获取网络流量上，面在获取网络流量上，面临着很大的挑战，但对于临着很大的挑战，但对于HIDSHIDS就没有这方面的限制。就没有这方面的限制。2021/9/2421HIDS的优点（续）的优点（续）n n3、接近实时的检测和响应n nHIDSHIDS不能提供真正的实时响应，但是由于现有不能提供真正的实时响应，但是由于现有的的HIDSHIDS大多采取的是在日志文件形成的同时获大多采取的是在日志文件形成的同时获取审计数据信息，因而就为接近实时的检测和取审计数据信息，因而就为接近实时的检测和响

21、应提供了可能。响应提供了可能。n n4、不需要额外的硬件n nHIDSHIDS是驻留在现有的网络基础设施之上的，包是驻留在现有的网络基础设施之上的，包括文件服务器、括文件服务器、WebWeb服务器和其他的共享资源服务器和其他的共享资源等，这样就减少了等，这样就减少了HIDSHIDS的实施成本。的实施成本。2021/9/2422HIDS的优点（续）的优点（续）n n5 5、可监视特定的系统行为、可监视特定的系统行为n nHIDSHIDS可以：可以：1 1）监视用户和文件的访问活动，如文件访问、文件权限的改变、）监视用户和文件的访问活动，如文件访问、文件权限的改变、试图建立新的可执行文件和试图访问

22、特权服务等；试图建立新的可执行文件和试图访问特权服务等；2 2）监视通常只有管理员才能实施的行为，如用户账号的添加、）监视通常只有管理员才能实施的行为，如用户账号的添加、删除、更改的情况；删除、更改的情况；3 3）跟踪影响系统日志记录的策略变化；）跟踪影响系统日志记录的策略变化；4 4）监视关键系统文件和可执行文件的更改。）监视关键系统文件和可执行文件的更改。n nNIDSNIDS很难做到这些。很难做到这些。2021/9/2423HIDS的不足的不足n nHIDSHIDS的不足之处主要是的不足之处主要是依赖于审计数据或系统日志的准依赖于审计数据或系统日志的准确性、完整性以及对安全事件的定义确性

23、、完整性以及对安全事件的定义，如果攻击者能逃避，如果攻击者能逃避审计，则审计，则HIDSHIDS就无法对攻击者的行为做出反应。就无法对攻击者的行为做出反应。n n此外在网络环境下，单纯依靠主机审计信息进行入侵检测此外在网络环境下，单纯依靠主机审计信息进行入侵检测难以完全满足网络安全的需求，主要表现在：难以完全满足网络安全的需求，主要表现在：n n1 1、主机的审计信息容易受到攻击，入侵者可通过使用某些系统特、主机的审计信息容易受到攻击，入侵者可通过使用某些系统特权来逃避审计；权来逃避审计；n n2 2、无法通过分析主机审计信息来检测网络攻击；、无法通过分析主机审计信息来检测网络攻击；n n3

24、3、HIDSHIDS的运行会影响主机的性能；的运行会影响主机的性能；n n4 4、HIDSHIDS只能对主机上的特定应用程序执行的日志进行检测，所只能对主机上的特定应用程序执行的日志进行检测，所能检测到的攻击类型是有限的。能检测到的攻击类型是有限的。2021/9/24243.2 基于网络的入侵检测系统基于网络的入侵检测系统 n nNIDS以原始的网络数据包作为数据源，它是利用网络适配器来实时地监视并分析通过网络进行传输的所有通信业务的。n n一旦检测到攻击，NIDS的响应模块通过通知、报警及中断连接等方式对攻击行为作出反应。2021/9/2425NIDS的优点的优点n n1 1、实时监测和应答

25、、实时监测和应答n nNIDSNIDS可以随时发现恶意的访问或攻击，能更快的做出反可以随时发现恶意的访问或攻击，能更快的做出反应。应。n n实时性使得系统可以根据预先设置的规则迅速采取相应实时性使得系统可以根据预先设置的规则迅速采取相应的行动，从而将入侵行为对系统的破坏降到最低的行动，从而将入侵行为对系统的破坏降到最低。n n2 2、能够检测到未成功的攻击企图、能够检测到未成功的攻击企图n n有些攻击行为旨在攻击防火墙后面的资源，利用放置在有些攻击行为旨在攻击防火墙后面的资源，利用放置在防火墙外的防火墙外的 NIDS NIDS 就可以检测到这种企图；就可以检测到这种企图；n n而而HIDSHI

26、DS并不能发现未能到达受防火墙保护的主机的攻击并不能发现未能到达受防火墙保护的主机的攻击企图企图，而这些攻击企图信息对于评估和改进系统的安全，而这些攻击企图信息对于评估和改进系统的安全策略是十分重要的。策略是十分重要的。2021/9/2426NIDS的优点（续）的优点（续）n n3 3、操作系统无关性、操作系统无关性n nNIDSNIDS并不依赖主机的操作系统作为检测资源；而并不依赖主机的操作系统作为检测资源；而HIDSHIDS需要依赖需要依赖特定的操作系统才能发挥作用。特定的操作系统才能发挥作用。n n4 4、较低的成本、较低的成本n nNIDSNIDS允许部署在一个或多个关键访问点来检查所

27、有经过的网络通允许部署在一个或多个关键访问点来检查所有经过的网络通信，因此并不需要在各个主机上都安装，这样就大大减少了安全信，因此并不需要在各个主机上都安装，这样就大大减少了安全和管理的复杂性，所需的成本费用也就相对较低。和管理的复杂性，所需的成本费用也就相对较低。n n5 5、攻击者转移证据更困难、攻击者转移证据更困难n nNIDSNIDS使用正在发生的网络通信进行实时攻击的检测，因此攻击者使用正在发生的网络通信进行实时攻击的检测，因此攻击者无法转移证据，被检测系统捕获到的数据不仅包括攻击方法，而无法转移证据，被检测系统捕获到的数据不仅包括攻击方法，而且包括对识别和指控攻击者十分有用的信息。

28、且包括对识别和指控攻击者十分有用的信息。2021/9/2427NIDS的不足的不足n n当然，NIDS同样存在一些不足，主要表现在：n n1 1、只能监视通过本网段的网络报文，并且精、只能监视通过本网段的网络报文，并且精确度较差；确度较差；n n2 2、在交换网络环境中难于配置；、在交换网络环境中难于配置；n n3 3、防欺骗能力比较差，对于加密环境通常是、防欺骗能力比较差，对于加密环境通常是无能为力。无能为力。2021/9/24283.3 分布式入侵检测系统分布式入侵检测系统n nHIDS和NIDS都有各自的优势，而在某些方面又是很好的互补，如果将两者结合，就会得到一种优化的入侵检测系统。n

29、 n通常这样的系统是分布式结构，它能同时分析来自主机系统的审计数据和来自网络的数据通信流量信息。n n分布式的IDS是一种相对完善的体系结构，为日益复杂的网络环境下的安全策略的实现提供了最佳解决方案。2021/9/2429一种分布式一种分布式IDS（DIDS）架构）架构网络网络网络网络网络网络网络网络2021/9/2430四、入侵检测的数据分析技术四、入侵检测的数据分析技术 n n数据分析是入侵检测系统的核心，它是关系到能否检查出入侵行为的关键。n n入侵检测系统所采用的数据分析技术包括n n1 1、异常检测（、异常检测（Anomaly DetectionAnomaly Detection）技

30、术技术n n2 2、误用检测（、误用检测（Misuse DetectionMisuse Detection）技术技术2021/9/2431异常检测异常检测误用检测误用检测别名别名基于行为的检测基于行为的检测基于知识的检测基于知识的检测直接或间接检测直接或间接检测间接间接直接直接检测原理检测原理1 1）首先建立系统或用户）首先建立系统或用户的的“正常正常”行为轮廓；行为轮廓；2 2）通过比较当前系统或）通过比较当前系统或用户的行为是否偏离了正用户的行为是否偏离了正常的行为轮廓来判断是否常的行为轮廓来判断是否发生了入侵行为。发生了入侵行为。1 1）首先将已知的攻击方法）首先将已知的攻击方法用攻击签

31、名表示；用攻击签名表示；2 2）根据）根据已经定义好的攻击签名，已经定义好的攻击签名，通过判断这些攻击签名是通过判断这些攻击签名是否出现来判断是否发生了否出现来判断是否发生了入侵行为。入侵行为。误报率误报率高高低低对未知入侵行为的对未知入侵行为的检测能力检测能力好好无无要求的计算能力要求的计算能力高高低低对内部用户入侵行对内部用户入侵行为的检测能力为的检测能力好好差差2021/9/24324.1 异常检测异常检测 n n异常检测也被称为基于行为的（Behavior-Based）检测n n其基本原理是假定其基本原理是假定所有的入侵行为都是异常的所有的入侵行为都是异常的，即入侵行为是异常行为的子集

32、。即入侵行为是异常行为的子集。n n在首先建立了系统或用户的在首先建立了系统或用户的“正常正常”行为轮廓行为轮廓后后，通过比较当前的系统或用户的行为是否偏，通过比较当前的系统或用户的行为是否偏离了正常的行为特征轮廓来判断是否发生了入离了正常的行为特征轮廓来判断是否发生了入侵行为。侵行为。n n由于这种技术不是依赖于某个具体行为是否出现来进行检测的，因此是一种间接的检测方法。2021/9/2433异常检测面临的关键问题异常检测面临的关键问题 n n1、特征量的选择n n异常检测首先是要建立系统或用户的异常检测首先是要建立系统或用户的“正常正常”行为特征轮廓。行为特征轮廓。n n这就要求在建立正常

33、模型时，选取的特征量既这就要求在建立正常模型时，选取的特征量既要能准确地体现系统或用户的行为特征，又能要能准确地体现系统或用户的行为特征，又能使模型最优化，使模型最优化，即以最少的特征量涵盖系统或即以最少的特征量涵盖系统或用户的行为特征用户的行为特征。n n典型的特征量：典型的特征量：CPUCPU利用率、利用率、I/OI/O使用率。使用率。2021/9/2434异常检测面临的关键问题（续）异常检测面临的关键问题（续）n n2 2、阈值的选定、阈值的选定n n在实际的网络环境下，在实际的网络环境下，入侵行为和异常行为往往不是一入侵行为和异常行为往往不是一对一的等价关系对一的等价关系（某一行为是异

34、常行为，而它不一定是（某一行为是异常行为，而它不一定是入侵行为；同样存在某一行为是入侵行为，而它却不一入侵行为；同样存在某一行为是入侵行为，而它却不一定是异常行为的情况），定是异常行为的情况），所以会导致漏报和误报的产生所以会导致漏报和误报的产生。n n由于异常检测是先建立正常的特征轮廓并以此作为比较由于异常检测是先建立正常的特征轮廓并以此作为比较的基准，而这个基准，即阈值的选定是非常关键的：的基准，而这个基准，即阈值的选定是非常关键的：1 1）阈值选得过大，则漏报率就会很高；）阈值选得过大，则漏报率就会很高；2 2）相反，阈值选得过小，则误报率就会提高，）相反，阈值选得过小，则误报率就会提高

35、，这会对这会对用户的正常工作带来很多的不便。用户的正常工作带来很多的不便。2021/9/2435异常检测面临的关键问题（续）异常检测面临的关键问题（续）n n3 3、比较频率的选取、比较频率的选取n n由于异常检测是通过比较当前的行为和已建立的正常行由于异常检测是通过比较当前的行为和已建立的正常行为特征轮廓来判断入侵的发生与否的，为特征轮廓来判断入侵的发生与否的，因而比较的频率，因而比较的频率，即经过多长时间进行比较的问题也是一个重要因素即经过多长时间进行比较的问题也是一个重要因素：1 1）频率过低，检测结果的漏报率会很高）频率过低，检测结果的漏报率会很高，因为攻击者，因为攻击者往往能通过逐渐

36、改变攻击的模式使之成为系统所接受的往往能通过逐渐改变攻击的模式使之成为系统所接受的行为特征，从而使攻击无法被检测出来；行为特征，从而使攻击无法被检测出来；2 2）频率过高，误报率就会提高）频率过高，误报率就会提高，因为有的正常进程在，因为有的正常进程在短时间内的资源消耗会很大，这样检测系统就会误认为短时间内的资源消耗会很大，这样检测系统就会误认为有入侵行为的发生。有入侵行为的发生。2021/9/2436异常检测技术的特点异常检测技术的特点n n异常检测的特点：n n1 1、误报率高；、误报率高；n n2 2、对于未知的入侵行为的检测非常有效；、对于未知的入侵行为的检测非常有效；n n3 3、是

37、检测冒充合法用户的入侵行为的有效方、是检测冒充合法用户的入侵行为的有效方法；法；n n4 4、所需的计算量很大，对系统的处理性能要、所需的计算量很大，对系统的处理性能要求也很高。求也很高。2021/9/2437例：例：IDES系统的异常检测系统的异常检测n nIDES统计异常检测引擎观测在所监控计算机系统上的活动行为，并自适应地学习主体正常行为模式。n n在IDES系统的统计分析组件中，当前系统的活动状态采用一组测量值参数变量来表示，称为“入侵检测向量”。n n具体而言，IDES使用特定的入侵检测测量值来决定所观测到的审计记录中的行为与过去或者可接受行为对比是否异常。2021/9/2438例：

38、例：IDES系统的异常检测（续）系统的异常检测（续）n n根据目标主体类型的不同，根据目标主体类型的不同，IDESIDES定义了定义了3 3种不同种不同类型的测量值，分别针对：类型的测量值，分别针对：n n1 1）用户主体）用户主体n n2 2）目标系统主体）目标系统主体n n3 3）远程主机主体）远程主机主体n n此外，可以把此外，可以把 IDES IDES 统计分析系统中不同类型的统计分析系统中不同类型的单独测量值分为以下单独测量值分为以下4 4个类别：个类别：n n1 1）活动强度测量值活动强度测量值n n2 2）审计记录分布测量值审计记录分布测量值n n3 3）类别测量值类别测量值n

39、n4 4）序数测量值序数测量值2021/9/2439例：例：IDES系统的异常检测（续）系统的异常检测（续）n nIDES针对“用户主体”类型的测量值：n n1 1）序数测量值序数测量值n n包括：包括：CPUCPU使用情况、使用情况、I/OI/O使用情况使用情况n n2 2）类别测量值类别测量值n n包括：使用物理位置、包括：使用物理位置、邮件程序使用、邮件程序使用、编辑器使用、编辑器使用、编译器使用、编译器使用、文件活动、文件活动、文件使用、本地网络活动类文件使用、本地网络活动类型、本地主机网络活动、型、本地主机网络活动、n n3 3）审计记录分布测量值审计记录分布测量值n n对于以上的每

40、个测量值，在审计记录分布测量值中都对于以上的每个测量值，在审计记录分布测量值中都有一个对应的类别。有一个对应的类别。n n4 4）活动强度测量值活动强度测量值n n包括：每分钟的流量、每包括：每分钟的流量、每1010分钟的流量、每小时的流分钟的流量、每小时的流量。量。2021/9/2440例：例：IDES系统的异常检测（续）系统的异常检测（续）n n对于用户所生成的每一个审计记录：n nIDESIDES系统经计算生成一个单独的测试统计值系统经计算生成一个单独的测试统计值（IDESIDES分数值，表示为分数值，表示为 T T2 2），），用来综合表明用来综合表明最近用户行为的异常程度。最近用户行

41、为的异常程度。n n统计值统计值 T T2 2 本身是一个对多个测量值异常度的综本身是一个对多个测量值异常度的综合评价。合评价。2021/9/24414.2 误用检测误用检测 n n误用检测也被称为误用检测也被称为基于知识的（基于知识的（Knowledge-Knowledge-BasedBased）检测）检测，其基本前提是假定所有可能的入，其基本前提是假定所有可能的入侵行为都能被识别和表示侵行为都能被识别和表示n n该技术首先将已知的攻击方法用攻击签名（该技术首先将已知的攻击方法用攻击签名（攻击签名攻击签名是指用一种特定的方式来表示已知的攻击模式是指用一种特定的方式来表示已知的攻击模式）表示，

42、）表示，然后根据已经定义好的攻击签名，通过然后根据已经定义好的攻击签名，通过模式匹配模式匹配等技等技术判断这些攻击签名是否出现来判断是否发生了入侵术判断这些攻击签名是否出现来判断是否发生了入侵行为。行为。n n这种方法是通过直接判断攻击签名的出现与否来判断这种方法是通过直接判断攻击签名的出现与否来判断入侵行为的，从这一点来看，它是一种入侵行为的，从这一点来看，它是一种直接的方法直接的方法。2021/9/2442误用检测技术的优点误用检测技术的优点n n误用检测是通过将收集到的信息与已知的攻击签误用检测是通过将收集到的信息与已知的攻击签名（名（SignatureSignature）模式库进行比较

43、，从而发现违背）模式库进行比较，从而发现违背安全策略的行为的，因此，它只需收集相关的数安全策略的行为的，因此，它只需收集相关的数据，这样据，这样系统的负担就明显减少了系统的负担就明显减少了。n n该方法类似于病毒检测系统该方法类似于病毒检测系统，其检测的准确率和，其检测的准确率和效率都比较高，而且这种技术比较成熟，国际上效率都比较高，而且这种技术比较成熟，国际上一些顶尖的入侵检测系统都采用该方法。一些顶尖的入侵检测系统都采用该方法。n n另外，误用检测是通过模式匹配来完成检测过程另外，误用检测是通过模式匹配来完成检测过程的，所以在的，所以在计算处理上对系统的要求不是很高计算处理上对系统的要求不

44、是很高。2021/9/2443误用检测技术的不足误用检测技术的不足n n1、不能检测未知的入侵行为n n误用检测只能根据己知的入侵序列和系统缺陷误用检测只能根据己知的入侵序列和系统缺陷的模式来检测系统中的可疑行为，面对新的入的模式来检测系统中的可疑行为，面对新的入侵攻击行为以及那些利用系统中未知或潜在缺侵攻击行为以及那些利用系统中未知或潜在缺陷的越权行为时，则无能为力。陷的越权行为时，则无能为力。n n由于其检测机理是对已知的入侵方法进行模式由于其检测机理是对已知的入侵方法进行模式提取，对于未知的入侵方法由于缺乏先验知识提取，对于未知的入侵方法由于缺乏先验知识就不能进行有效的检测，因而在新的网

45、络环境就不能进行有效的检测，因而在新的网络环境下漏报率会比较高。下漏报率会比较高。2021/9/2444误用检测技术的不足（续）误用检测技术的不足（续）n n2、与系统的相关性很强n n检测系统知识库中的入侵攻击知识与系统的运检测系统知识库中的入侵攻击知识与系统的运行环境有关，对于不同的操作系统，由于其实行环境有关，对于不同的操作系统，由于其实现机制不同，对其攻击的方法也不尽相同，因现机制不同，对其攻击的方法也不尽相同，因而很难定义出统一的模式库。而很难定义出统一的模式库。n n3、难以检测出内部攻击者的越权行为n n对于系统内部攻击者的越权行为，由于他们没对于系统内部攻击者的越权行为，由于他

46、们没有利用系统的缺陷，因而很难检测出来。有利用系统的缺陷，因而很难检测出来。2021/9/24454.3 入侵检测具体技术入侵检测具体技术n n基于统计方法的入侵检测技术n n基于神经网络的入侵检测技术n n基于专家系统的入侵检测技术n n基于模型推理的入侵检测技术2021/9/24464.3.1 基于统计方法基于统计方法n n审计系统实时地检测用户对系统的使用情况，根据系统内部保持的用户行为的概率统计模型进行监测，当发现有可疑的用户行为发生时，保持跟踪并监测、记录该用户的行为。2021/9/24474.3.2 基于神经网络基于神经网络n n采用神经网络技术，根据实时检测到的信息有效地加以处理

47、作出攻击可能性的判断。n n神经网络技术可以用于解决传统的统计分析技术所面临的以下问题：n n难于建立确切的统计分布导致难于建立确切的统计分布导致n n难于实现方法的普适性难于实现方法的普适性n n算法实现比较昂贵算法实现比较昂贵n n系统臃肿难于剪裁系统臃肿难于剪裁2021/9/24484.3.3 基于专家系统基于专家系统n n根据安全专家对可疑行为的分析经验来形成一套推理规则，然后再在此基础之上构成相应的专家系统，并应用于入侵检测。基于规则的专家系统或推进系统的也有一定的局限性。2021/9/24494.3.4 基于模型推理基于模型推理n n用基于模型的推理方法人们能够为某些行为建立特定的

48、模型，从而能够监视具有特定行为特征的某些活动。根据假设的攻击脚本，这种系统就能检测出非法的用户行为。n n一般为了准确判断，要为不同的攻击者和不同的系统建立特定的攻击脚本。2021/9/24504.3.5 其他的检测技术其他的检测技术 n n免疫系统方法 n n遗传算法 n n基于代理检测 n n数据挖掘 2021/9/2451五、入侵检测系统的部署五、入侵检测系统的部署n n入侵检测系统有不同的部署方式和特点:n n根据所掌握的网络检测和安全需求，选取各种根据所掌握的网络检测和安全需求，选取各种类型的入侵检测系统，将多种入侵检测系统按类型的入侵检测系统，将多种入侵检测系统按照预定的计划进行部

49、署，确保每个入侵检测系照预定的计划进行部署，确保每个入侵检测系统都能够在相应部署点上发挥作用，共同防护，统都能够在相应部署点上发挥作用，共同防护，保障网络的安全运行。保障网络的安全运行。n n部署工作包括对网络入侵检测和主机入侵检测等类型入侵检测系统的部署规划。2021/9/24525.1 基于网络入侵检测系统的部署基于网络入侵检测系统的部署n n基于网络的入侵检测系统可以在网络的多个位置进行部署。n n这里的部署主要指对这里的部署主要指对网络入侵检测器的部署网络入侵检测器的部署。n n总体来说，入侵检测的部署点可以划分为4个位置：n n1 1）DMZDMZ区区n n2 2）外网入口）外网入口

50、n n3 3）内网主干）内网主干n n4 4）关键子网）关键子网2021/9/2453基于网络入侵检测系统的部署（续）基于网络入侵检测系统的部署（续）2021/9/2454基于网络入侵检测系统的部署（续）基于网络入侵检测系统的部署（续）n n1 1、DMZDMZ区区n nDMZDMZ区部署点在区部署点在DMZDMZ区的总口上，这是入侵检测器最常见的部署区的总口上，这是入侵检测器最常见的部署位置。位置。n n在这里入侵检测器可以检测到在这里入侵检测器可以检测到所有针对用户向外提供服务的服务所有针对用户向外提供服务的服务器进行攻击的行为器进行攻击的行为。n n对于用户来说，防止对外服务的服务器受到