[精选]计算机网络安全5入侵检测技术15188.pptx

《[精选]计算机网络安全5入侵检测技术15188.pptx》由会员分享，可在线阅读，更多相关《[精选]计算机网络安全5入侵检测技术15188.pptx（67页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第五章第五章 入侵检测技术入侵检测技术 第第5章章 入侵检测技术入侵检测技术内容提要：内容提要：入侵检测概述入侵检测概述入侵检测的技术实现入侵检测的技术实现分布式入侵检测分布式入侵检测入侵检测系统的标准入侵检测系统的标准入侵检测系统示例入侵检测系统示例本章小结本章小结第五章第五章 入侵检测技术入侵检测技术 5.1 入侵检测概述入侵检测概述 入入侵侵检检测测技技术术研研究究最最早早可可追追溯溯到到1980年年James P.Aderson所所写写的的一一份份技技术术报报告告，他他首首先先提提 出出 了了 入入 侵侵 检检 测测 的的 概概 念念。1987年年 Dorothy Denning提提出

2、出了了入入侵侵检检测测系系统统（IDS，Intrusion Detection System）的的抽抽象象模模型型（如如图图5-1所所示示），首首次次提提出出了了入入侵侵检检测测可可作作为为一一种种计计算算机机系系统统安安全全防防御御措措施施的的概概念念，与与传传统统的的加加密密和和访访问问控控制制技技术术相比，相比，IDS是全新的计算机安全措施。是全新的计算机安全措施。返回本章首页返回本章首页第五章第五章 入侵检测技术入侵检测技术 返回本章首页返回本章首页第五章第五章 入侵检测技术入侵检测技术 入入侵侵检检测测技技术术研研究究最最早早可可追追溯溯到到1980年年James P.Aderson

3、所所写写的的一一份份技技术术报报告告，他他首首先先提提 出出 了了 入入 侵侵 检检 测测 的的 概概 念念。1987年年 Dorothy Denning提提出出了了入入侵侵检检测测系系统统（IDS，Intrusion Detection System）的的抽抽象象模模型型（如如图图5-1所所示示），首首次次提提出出了了入入侵侵检检测测可可作作为为一一种种计计算算机机系系统统安安全全防防御御措措施施的的概概念念，与与传传统统的的加加密密和和访访问问控控制制技技术术相比，相比，IDS是全新的计算机安全措施。是全新的计算机安全措施。返回本章首页返回本章首页第五章第五章 入侵检测技术入侵检测技术 1

4、988年年 Teresa Lunt等等 人人 进进 一一 步步 改改 进进 了了Denning提提 出出 的的 入入 侵侵 检检 测测 模模 型型，并并 创创 建建 了了IDES（Intrusion Detection Expert System），该该系系统统用用于于检检测测单单一一主主机机的的入入侵侵尝尝试试，提提出出了了与与系系统统平平台台无无关关的的实实时时检检测测思思想想，1995年年开开发发的的NIDES（Next-Generation Intrusion Detection Expert System）作作为为IDES完完善善后后的的版版本本可可以以检检测出多个主机上的入侵。测出

5、多个主机上的入侵。返回本章首页返回本章首页第五章第五章 入侵检测技术入侵检测技术 1990年年，Heberlein等等人人提提出出了了一一个个具具有有里里程程碑碑意意义义的的新新型型概概念念：基基于于网网络络的的入入侵侵检检测测网网 络络 安安 全全 监监 视视 器器 NSM（Network Security Monitor）。1991年年,NADIR（Network Anomaly Detection and Intrusion Reporter）与与DIDS（Distribute Intrusion Detection System）提提出出了了通通过过收收集集和和合合并并处处理理来来自自

6、多多个个主主机机的的审审计计信息可以检测出一系列针对主机的协同攻击。信息可以检测出一系列针对主机的协同攻击。返回本章首页返回本章首页第五章第五章 入侵检测技术入侵检测技术 1994年年，Mark Crosbie和和Gene Spafford建建议议使使用用自自治治代代理理（autonomous agents）以以提提高高IDS的的可可伸伸缩缩性性、可可维维护护性性、效效率率和和容容错错性性，该该理理念念非非常常符符合合计计算算机机科科学学其其他他领领域域（如如软软件件代代理理，software agent）正正在在进进行行的的相相关关研研究究。另另一一个个致致力力于于解解决决当当代代绝绝大大多

7、多数数入入侵侵检检测测系系统统伸伸缩缩性性不不足足的的方方法法于于1996年年提提出出，这这就就是是GrIDS（Graph-based Intrusion Detection System）的的设设计计和和实实现现，该该系系统统可可以以方方便便地地检检测测大大规规模模自自动动或或协协同同方方式的网络攻击。式的网络攻击。返回本章首页返回本章首页第五章第五章 入侵检测技术入侵检测技术 近近年年来来，入入侵侵检检测测技技术术研研究究的的主主要要创创新新有有：Forrest等等将将免免疫疫学学原原理理运运用用于于分分布布式式入入侵侵检检测测领领域域；1998年年Ross Anderson和和Abida

8、 Khattak将将信信息息检检索索技技术术引引进进入入侵侵检检测测；以以及及采采用用状状态态转转换换分分析析、数数据据挖挖掘掘和和遗遗传传算算法法等等进进行行误误用用和和异异常常检检测。测。返回本章首页返回本章首页第五章第五章 入侵检测技术入侵检测技术 5.1.1 入侵检测原理入侵检测原理 图图5-2给给出出了了入入侵侵检检测测的的基基本本原原理理图图。入入侵侵检检测测是是用用于于检检测测任任何何损损害害或或企企图图损损害害系系统统的的保保密密性性、完完整整性性或或可可用用性性的的一一种种网网络络安安全全技技术术。它它通通过过监监视视受受保保护护系系统统的的状状态态和和活活动动，采采用用误误

9、用用检检测测（Misuse Detection）或或异异常常检检测测（Anomaly Detection）的的方方式式，发发现现非非授授权权的的或或恶恶意意的的系系统统及网络行为，为防范入侵行为提供有效的手段。及网络行为，为防范入侵行为提供有效的手段。返回本章首页返回本章首页第五章第五章 入侵检测技术入侵检测技术 图5-2 入侵检测原理框图 返回本章首页返回本章首页第五章第五章 入侵检测技术入侵检测技术 入入侵侵检检测测系系统统（Intrusion Detection System，IDS）就就是是执执行行入入侵侵检检测测任任务务的的硬硬件件或或软软件件产产品品。IDS通通过过实实时时的的分分

10、析析，检检查查特特定定的的攻攻击击模模式式、系系统统配配置置、系系统统漏漏洞洞、存存在在缺缺陷陷的的程程序序版版本本以以及及系统或用户的行为模式，监控与安全有关的活动。系统或用户的行为模式，监控与安全有关的活动。一一个个基基本本的的入入侵侵检检测测系系统统需需要要解解决决两两个个问问题题：一一是是如如何何充充分分并并可可靠靠地地提提取取描描述述行行为为特特征征的的数数据据；二二是是如如何何根根据据特特征征数数据据，高高效效并并准准确确地地判判定行为的性质。定行为的性质。返回本章首页返回本章首页第五章第五章 入侵检测技术入侵检测技术 5.1.2 系统结构系统结构 由由于于网网络络环环境境和和系系

11、统统安安全全策策略略的的差差异异，入入侵侵检检测测系系统统在在具具体体实实现现上上也也有有所所不不同同。从从系系统统构构成成上上看看，入入侵侵检检测测系系统统应应包包括括事事件件提提取取、入入侵侵分分析析、入入侵侵响响应应和和远远程程管管理理四四大大部部分分，另另外外还还可可能能结结合合安安全全知知识识库库、数数据据存存储储等等功功能能模模块块，提提供供更更为为完完善的安全检测及数据分析功能（如图善的安全检测及数据分析功能（如图5-3所示）。所示）。返回本章首页返回本章首页第五章第五章 入侵检测技术入侵检测技术 图5-3 入侵检测系统结构返回本章首页返回本章首页第五章第五章 入侵检测技术入侵检

12、测技术 入入侵侵检检测测的的思思想想源源于于传传统统的的系系统统审审计计，但但拓拓宽宽了了传传统统审审计计的的概概念念，它它以以近近乎乎不不间间断断的的方方式式进进行行安安全全检检测测，从从而而可可形形成成一一个个连连续续的的检检测测过过程程。这通常是通过执行下列任务来实现的：这通常是通过执行下列任务来实现的：监视、分析用户及系统活动；监视、分析用户及系统活动；系统构造和弱点的审计；系统构造和弱点的审计；识别分析知名攻击的行为特征并告警；识别分析知名攻击的行为特征并告警；异常行为特征的统计分析；异常行为特征的统计分析；评估重要系统和数据文件的完整性；评估重要系统和数据文件的完整性；操操作作系系

13、统统的的审审计计跟跟踪踪管管理理，并并识识别别用用户户违违反反安安全全策策略略的行为。的行为。返回本章首页返回本章首页第五章第五章 入侵检测技术入侵检测技术 5.1.3 系统分类系统分类 由由于于功功能能和和体体系系结结构构的的复复杂杂性性，入入侵侵检检测测按按照照不不同同的的标标准准有有多多种种分分类类方方法法。可可分分别别从从数数据据源源、检检测测理理论论、检检测测时时效效三三个个方方面面来来描描述述入入侵侵检检测测系系统的类型。统的类型。1基于数据源的分类基于数据源的分类 通通常常可可以以把把入入侵侵检检测测系系统统分分为为五五类类，即即基基于于主主机机、基基于于网网络络、混混合合入入侵

14、侵检检测测、基基于于网网关关的的入入侵检测系统以及文件完整性检查系统。侵检测系统以及文件完整性检查系统。返回本章首页返回本章首页第五章第五章 入侵检测技术入侵检测技术 2基于检测理论的分类基于检测理论的分类 从从具具体体的的检检测测理理论论上上来来说说，入入侵侵检检测测又又可可分分为异常检测和误用检测。为异常检测和误用检测。异异常常检检测测（Anomaly Detection）指指根根据据使使用用者者的的行行为为或或资资源源使使用用状状况况的的正正常常程程度度来来判判断断是是否入侵，而不依赖于具体行为是否出现来检测。否入侵，而不依赖于具体行为是否出现来检测。误误用用检检测测（Misuse De

15、tection）指指运运用用已已知知攻攻击击方方法法，根根据据已已定定义义好好的的入入侵侵模模式式，通通过过判判断断这些入侵模式是否出现来检测。这些入侵模式是否出现来检测。返回本章首页返回本章首页第五章第五章 入侵检测技术入侵检测技术 3基于检测时效的分类基于检测时效的分类 IDS在在处处理理数数据据的的时时候候可可以以采采用用实实时时在在线线检检测测方方式式，也也可可以以采采用用批批处处理理方方式式，定定时时对对处处理理原原始始数数据据进进行行离离线线检检测测，这这两两种种方方法法各各有有特特点点（如如图图5-5所示所示）。）。离离线线检检测测方方式式将将一一段段时时间间内内的的数数据据存存

16、储储起起来来，然然后后定定时时发发给给数数据据处处理理单单元元进进行行分分析析，如如果果在在这这段段时时间间内内有有攻攻击击发发生生就就报报警警。在在线线检检测测方方式式的的实实时时处处理理是是大大多多数数IDS所所采采用用的的办办法法，由由于于计计算算机机硬硬件件速速度度的的提提高高，使使得得对对攻攻击击的的实实时时检检测测和和响响应应成为可能。成为可能。返回本章首页返回本章首页第五章第五章 入侵检测技术入侵检测技术 返回本章首页返回本章首页第五章第五章 入侵检测技术入侵检测技术 5.2 入侵检测的技术实现入侵检测的技术实现 对对于于入入侵侵检检测测的的研研究究，从从早早期期的的审审计计跟跟

17、踪踪数数据据分分析析，到到实实时时入入侵侵检检测测系系统统，到到目目前前应应用用于于大大型型网网络络的的分分布布式式检检测测系系统统，基基本本上上已已发发展展成成为为具具有有一一定定规规模模和和相相应应理理论论的的研研究究领领域域。入入侵侵检检测测的的核核心心问问题题在在于于如如何何对对安安全全审审计计数数据据进进行行分分析析，以以检检测测其其中中是是否否包包含含入入侵侵或或异异常常行行为为的的迹迹象象。这这里里，我我们们先先从从误误用用检检测测和和异异常常检检测测两两个个方方面面介介绍绍当当前前关关于于入入侵侵检检测测技技术术的的主主流流技技术术实实现现，然然后后对对其其它它类型的检测技术作

18、简要介绍。类型的检测技术作简要介绍。返回本章首页返回本章首页第五章第五章 入侵检测技术入侵检测技术 5.2.1 入侵检测分析模型入侵检测分析模型 分分析析是是入入侵侵检检测测的的核核心心功功能能，它它既既能能简简单单到到像像一一个个已已熟熟悉悉日日志志情情况况的的管管理理员员去去建建立立决决策策表表，也也能能复复杂杂得得像像一一个个集集成成了了几几百百万万个个处处理理的的非非参参数数系系统统。入入侵侵检检测测的的分分析析处处理理过过程程可可分分为为三三个个阶阶段段：构构建建分分析析器器，对对实实际际现现场场数数据据进进行行分分析析，反反馈馈和和提提炼炼过过程程。其其中中，前前两两个个阶阶段段都

19、都包包含含三三个个功功能能：数数据据处处理理、数数据据分分类类（数数据据可可分分为为入入侵侵指指示示、非非入侵指示或不确定）和后处理。入侵指示或不确定）和后处理。返回本章首页返回本章首页第五章第五章 入侵检测技术入侵检测技术 5.2.2 误用检测（误用检测（Misuse Detection）误误用用检检测测是是按按照照预预定定模模式式搜搜寻寻事事件件数数据据的的，最最适适用用于于对对已已知知模模式式的的可可靠靠检检测测。执执行行误误用用检检测测，主主要要依依赖赖于于可可靠靠的的用用户户活活动动记记录录和和分分析析事事件件的的方方法。法。1条件概率预测法条件概率预测法 条条件件概概率率预预测测法

20、法是是基基于于统统计计理理论论来来量量化化全全部部外部网络事件序列中存在入侵事件的可能程度。外部网络事件序列中存在入侵事件的可能程度。返回本章首页返回本章首页第五章第五章 入侵检测技术入侵检测技术 2产生式产生式/专家系统专家系统 用用专专家家系系统统对对入入侵侵进进行行检检测测，主主要要是是检检测测基基于于特特征征的的入入侵侵行行为为。所所谓谓规规则则，即即是是知知识识，专专家家系系统统的的建建立立依依赖赖于于知知识识库库的的完完备备性性，而而知知识识库库的的完备性又取决于审计记录的完备性与实时性。完备性又取决于审计记录的完备性与实时性。产产生生式式/专专家家系系统统是是误误用用检检测测早早

21、期期的的方方案案之之一一，在在MIDAS、IDES、NIDES、DIDS和和CMDS中都使用了这种方法。中都使用了这种方法。返回本章首页返回本章首页第五章第五章 入侵检测技术入侵检测技术 3状态转换方法状态转换方法 状状态态转转换换方方法法使使用用系系统统状状态态和和状状态态转转换换表表达达式式来来描描述述和和检检测测入入侵侵，采采用用最最优优模模式式匹匹配配技技巧巧来来结结构构化化误误用用检检测测，增增强强了了检检测测的的速速度度和和灵灵活活性性。目目前前，主主要要有有三三种种实实现现方方法法：状状态态转转换换分分析析、有有色色Petri-Net和语言和语言/应用编程接口（应用编程接口（AP

22、I）。）。返回本章首页返回本章首页第五章第五章 入侵检测技术入侵检测技术 返回本章首页返回本章首页第五章第五章 入侵检测技术入侵检测技术 5Keystroke Monitor和基于模型的方法和基于模型的方法 Keystroke Monitor是是一一种种简简单单的的入入侵侵检检测测方方法法，它它通通过过分分析析用用户户击击键键序序列列的的模模式式来来检检测测入入侵侵行行为为，常常用用于于对对主主机机的的入入侵侵检检测测。该该方方法法具具有有明明显显的的缺缺点点，首首先先，批批处处理理或或Shell程程序序可可以以不不通通过过击击键键而而直直接接调调用用系系统统攻攻击击命命令令序序列列；其其次次

23、，操操作作系系统统通通常常不不提提供供统统一一的的击击键键检检测测接接口口，需需通通过过额外的钩子函数（额外的钩子函数（Hook）来监测击键。来监测击键。返回本章首页返回本章首页第五章第五章 入侵检测技术入侵检测技术 5.2.3 异常检测（异常检测（Anomaly Detection）异异常常检检测测基基于于一一个个假假定定：用用户户的的行行为为是是可可预预测测的的、遵遵循循一一致致性性模模式式的的，且且随随着着用用户户事事件件的的增增加加异异常常检检测测会会适适应应用用户户行行为为的的变变化化。用用户户行行为为的的特特征征轮轮廓廓在在异异常常检检测测中中是是由由度度量量（measuremea

24、sure）集集来来描描述述，度度量量是是特特定定网网络络行行为为的的定定量量表表示示，通通常常与某个检测阀值或某个域相联系。与某个检测阀值或某个域相联系。异异常常检检测测可可发发现现未未知知的的攻攻击击方方法法，体体现现了了强强健健的的保保护护机机制制，但但对对于于给给定定的的度度量量集集能能否否完完备备到到表示所有的异常行为仍需要深入研究。表示所有的异常行为仍需要深入研究。返回本章首页返回本章首页第五章第五章 入侵检测技术入侵检测技术 1Denning的原始模型的原始模型 Dorothy Denning于于1986年年给给出出了了入入侵侵检检测测的的IDES模模型型，她她认认为为在在一一个个

25、系系统统中中可可以以包包括括四四个个统统计计模模型型，每每个个模模型型适适合合于于一一个个特特定定类类型型的的系系统度量。统度量。（1）可操作模型）可操作模型 （2）平均和标准偏差模型）平均和标准偏差模型 （3）多变量模型）多变量模型 （4）Markov处理模型处理模型 返回本章首页返回本章首页第五章第五章 入侵检测技术入侵检测技术 2量化分析量化分析 异异常常检检测测最最常常用用的的方方法法就就是是将将检检验验规规则则和和属属性性以以数数值值形形式式表表示示的的量量化化分分析析，这这种种度度量量方方法法在在Denning的的可可操操作作模模型型中中有有所所涉涉及及。量量化化分分析析通通过过采

26、采用用从从简简单单的的加加法法到到比比较较复复杂杂的的密密码码学学计计算算得得到到的的结结果果作作为为误误用用检检测测和和异异常常检检测测统统计计模模型型的的基基础。础。（1）阀值检验）阀值检验 （2）基于目标的集成检查）基于目标的集成检查 （3）量化分析和数据精简）量化分析和数据精简 返回本章首页返回本章首页第五章第五章 入侵检测技术入侵检测技术 3统计度量统计度量 统统计计度度量量方方法法是是产产品品化化的的入入侵侵检检测测系系统统中中常常用用的的方方法法，常常见见于于异异常常检检测测。运运用用统统计计方方法法，有有效效地地解解决决了了四四个个问问题题：（1）选选取取有有效效的的统统计计数

27、数据据测测量量点点，生生成成能能够够反反映映主主体体特特征征的的会会话话向向量量；（2）根根据据主主体体活活动动产产生生的的审审计计记记录录，不不断断更更新新当当前前主主体体活活动动的的会会话话向向量量；（3）采采用用统统计计方方法法分分析析数数据据，判判断断当当前前活活动动是是否否符符合合主主体体的的历历史史行行为为特特征征；（4）随随着着时时间间推推移移，学学习习主主体体的的行行为为特征，更新历史记录。特征，更新历史记录。返回本章首页返回本章首页第五章第五章 入侵检测技术入侵检测技术 4非参数统计度量非参数统计度量 非非参参数数统统计计方方法法通通过过使使用用非非数数据据区区分分技技术术，

28、尤尤其其是是群群集集分分析析技技术术来来分分析析参参数数方方法法无无法法考考虑虑的的系系统统度度量量。群群集集分分析析的的基基本本思思想想是是，根根据据评评估估标标准准（也也称称为为特特性性）将将收收集集到到的的大大量量历历史史数数据据（一一个个样样本本集集）组组织织成成群群，通通过过预预处处理理过过程程，将将与与具具体体事事件件流流（经经常常映映射射为为一一个个具具体体用用户户）相相关关的的特特性性转转化化为为向向量量表表示示，再再采采用用群群集集算算法法将将彼彼此此比比较较相相近近的的向向量量成成员员组组织织成成一一个个行行为为类类，这这样样使使用用该该分分析析技技术术的的实实验验结结果果

29、将将会会表表明明用用何何种种方方式式构构成成的的群可以可靠地对用户的行为进行分组并识别。群可以可靠地对用户的行为进行分组并识别。返回本章首页返回本章首页第五章第五章 入侵检测技术入侵检测技术 5基于规则的方法基于规则的方法 上上面面讨讨论论的的异异常常检检测测主主要要基基于于统统计计方方法法，异异常常检检测测的的另另一一个个变变种种就就是是基基于于规规则则的的方方法法。与与统统计计方方法法不不同同的的是是基基于于规规则则的的检检测测使使用用规规则则集集来来表表示和存储使用模式。示和存储使用模式。（1）Wisdom&Sense方法方法 （2）基于时间的引导机（）基于时间的引导机（TIM）返回本章

30、首页返回本章首页第五章第五章 入侵检测技术入侵检测技术 5.2.4 其它检测技术其它检测技术 这这些些技技术术不不能能简简单单地地归归类类为为误误用用检检测测或或是是异异常常检检测测，而而是是提提供供了了一一种种有有别别于于传传统统入入侵侵检检测测视视角角的的技技术术层层次次，例例如如免免疫疫系系统统、基基因因算算法法、数数据据挖挖掘掘、基基于于代代理理（Agent）的的检检测测等等，它它们们或或者者提提供供了了更更具具普普遍遍意意义义的的分分析析技技术术，或或者者提提出出了了新新的的检检测测系系统统架架构构，因因此此无无论论对对于于误误用用检检测测还还是是异异常检测来说，都可以得到很好的应用

31、。常检测来说，都可以得到很好的应用。返回本章首页返回本章首页第五章第五章 入侵检测技术入侵检测技术 1神经网络（神经网络（Neural Network）作作为为人人工工智智能能（AI）的的一一个个重重要要分分支支，神神经经网网络络（Neural Network）在在入入侵侵检检测测领领域域得得到到了了很很好好的的应应用用，它它使使用用自自适适应应学学习习技技术术来来提提取取异异常常行行为为的的特特征征，需需要要对对训训练练数数据据集集进进行行学学习习以以得得出出正正常常的的行行为为模模式式。这这种种方方法法要要求求保保证证用用于于学学习习正正常常模模式式的的训训练练数数据据的的纯纯洁洁性性，即

32、即不不包包含含任任何何入入侵侵或异常的用户行为。或异常的用户行为。返回本章首页返回本章首页第五章第五章 入侵检测技术入侵检测技术 2免疫学方法免疫学方法 New Mexico大大学学的的Stephanie Forrest提提出出了了将将生生物物免免疫疫机机制制引引入入计计算算机机系系统统的的安安全全保保护护框框架架中中。免免疫疫系系统统中中最最基基本本也也是是最最重重要要的的能能力力是是识识别别“自自我我/非非自自我我”（self/nonself），换换句句话话讲讲，它它能能够够识识别别哪哪些些组组织织是是属属于于正正常常机机体体的的，不不属属于于正正常常的的就就认认为为是是异异常常，这这个个

33、概概念念和和入入侵侵检检测测中中异异常检测的概念非常相似。常检测的概念非常相似。返回本章首页返回本章首页第五章第五章 入侵检测技术入侵检测技术 3数据挖掘方法数据挖掘方法 Columbia大大学学的的Wenke Lee在在其其博博士士论论文文中中，提提出出了了将将数数据据挖挖掘掘（Data Mining,DM）技技术术应应用用到到入入侵侵检检测测中中，通通过过对对网网络络数数据据和和主主机机系系统统调调用用数数据据的的分分析析挖挖掘掘，发发现现误误用用检检测测规规则则或或异异常常检检测测模模型型。具具体体的的工工作作包包括括利利用用数数据据挖挖掘掘中中的的关关联联算算法法和和序序列列挖挖掘掘算

34、算法法提提取取用用户户的的行行为为模模式式，利利用用分分类类算算法法对对用用户户行行为为和和特特权权程程序序的的系系统统调调用用进进行行分分类类预预测测。实实验验结结果果表表明明，这这种种方方法法在在入入侵侵检检测测领域有很好的应用前景。领域有很好的应用前景。返回本章首页返回本章首页第五章第五章 入侵检测技术入侵检测技术 4基因算法基因算法 基基 因因 算算 法法 是是 进进 化化 算算 法法（evolutionary algorithms）的的一一种种，引引入入了了达达尔尔文文在在进进化化论论中中提提出出的的自自然然选选择择的的概概念念（优优胜胜劣劣汰汰、适适者者生生存存）对对系系统统进进行

35、行优优化化。该该算算法法对对于于处处理理多多维维系系统统的的优优化化是是非非常常有有效效的的。在在基基因因算算法法的的研研究究人人员员看看来来，入入侵侵检检测测的的过过程程可可以以抽抽象象为为：为为审审计计事事件件记记录录定定义义一一种种向向量量表表示示形形式式，这这种种向向量量或或者者对对应应于于攻攻击击行为，或者代表正常行为。行为，或者代表正常行为。返回本章首页返回本章首页第五章第五章 入侵检测技术入侵检测技术 5基于代理的检测基于代理的检测 近近 年年 来来，一一 种种 基基 于于 Agent的的 检检 测测 技技 术术（Agent-Based Detection）逐逐渐渐引引起起研研究

36、究者者的的重重视视。所所谓谓Agent，实实际际上上可可以以看看作作是是在在执执行行某某项项特特定定监监视视任任务务的的软软件件实实体体。基基于于Agent的的入入侵侵检检测测系系统统的的灵灵活活性性保保证证它它可可以以为为保保障障系系统统的的安安全全提提供供混混合合式式的的架架构构，综综合合运运用用误误用用检检测测和和异异常常检检测测，从而弥补两者各自的缺陷。从而弥补两者各自的缺陷。返回本章首页返回本章首页第五章第五章 入侵检测技术入侵检测技术 5.3 分布式入侵检测分布式入侵检测 分分布布式式入入侵侵检检测测（Distributed Intrusion Detection）是是目目前前入入

37、侵侵检检测测乃乃至至整整个个网网络络安安全全领领域域的的热热点点之之一一。到到目目前前为为止止，还还没没有有严严格格意意义义上上的的分分布布式式入入侵侵检检测测的的商商业业化化产产品品，但但研研究究人人员员已已经经提提出出并并完完成成了了多多个个原原型型系系统统。通通常常采采用用的的方方法法中中，一一种种是是对对现现有有的的IDS进进行行规规模模上上的的扩扩展展，另另一一种种则则通通过过IDS之之间间的的信信息息共共享享来来实实现现。具具体体的的处处理理方方法法上上也也分分为为两两种种：分分布布式式信信息息收收集集、集集中中式处理；分布式信息收集、分布式处理。式处理；分布式信息收集、分布式处理

38、。返回本章首页返回本章首页第五章第五章 入侵检测技术入侵检测技术 5.3.1 分布式入侵检测的优势分布式入侵检测的优势 分分布布式式入入侵侵检检测测由由于于采采用用了了非非集集中中的的系系统统结结构构和和处处理理方方式式，相相对对于于传传统统的的单单机机IDS具具有有一一些些明显的优势：明显的优势：（1）检测大范围的攻击行为）检测大范围的攻击行为 （2）提高检测的准确度）提高检测的准确度 （3）提高检测效率）提高检测效率 （4）协调响应措施）协调响应措施返回本章首页返回本章首页第五章第五章 入侵检测技术入侵检测技术 5.3.2 分布式入侵检测的技术难点分布式入侵检测的技术难点 与与传传统统的的

39、单单机机IDS相相比比较较，分分布布式式入入侵侵检检测测系系统统具具有有明明显显的的优优势势。然然而而，在在实实现现分分布布检检测测组组件的信息共享和协作上，却存在着一些技术难点。件的信息共享和协作上，却存在着一些技术难点。Stanford Research Institute（SRI）在在 对对EMERALD系系统统的的研研究究中中，列列举举了了分分布布式式入入侵侵检检测测必必须须关关注注的的关关键键问问题题：事事件件产产生生及及存存储储、状状态态空间管理及规则复杂度、知识库管理、推理技术。空间管理及规则复杂度、知识库管理、推理技术。返回本章首页返回本章首页第五章第五章 入侵检测技术入侵检测

40、技术 5.3.3 分布式入侵检测现状分布式入侵检测现状 尽尽管管分分布布式式入入侵侵检检测测存存在在技技术术和和其其它它层层面面的的难难点点，但但由由于于其其相相对对于于传传统统的的单单机机IDS所所具具有有的的优势，目前已经成为这一领域的研究热点。优势，目前已经成为这一领域的研究热点。1Snortnet 它它通通过过对对传传统统的的单单机机IDS进进行行规规模模上上的的扩扩展展，使使系系统统具具备备分分布布式式检检测测的的能能力力，是是基基于于模模式式匹匹配配的的分分布布式式入入侵侵检检测测系系统统的的一一个个具具体体实实现现。主主要要包包括括三三个个组组件件：网网络络感感应应器器、代代理理

41、守守护护程程序序和和监监视视控制台控制台。返回本章首页返回本章首页第五章第五章 入侵检测技术入侵检测技术 2Agent-Based 基基于于Agent的的IDS由由于于其其良良好好的的灵灵活活性性和和扩扩展展性性，是是分分布布式式入入侵侵检检测测的的一一个个重重要要研研究究方方向向。国国外外一一些些研研究究机机构构在在这这方方面面已已经经做做了了大大量量工工作作，其其 中中 Purdue大大 学学 的的 入入 侵侵 检检 测测 自自 治治 代代 理理（AAFID）和和SRI的的EMERALD最具代表性。最具代表性。AAFID的的体体系系结结构构如如图图5-10所所示示，其其特特点点是是形成了一

42、个基于代理的分层顺序控制和报告结构。形成了一个基于代理的分层顺序控制和报告结构。返回本章首页返回本章首页第五章第五章 入侵检测技术入侵检测技术 返回本章首页返回本章首页第五章第五章 入侵检测技术入侵检测技术 3DIDS DIDS（Distributed Intrusion Detection System）是是由由UC Davis的的Security Lab完完成成的的，它它集集成成了了两两种种已已有有的的入入侵侵检检测测系系统统，Haystack和和NSM。前前 者者 由由 Tracor Applied Sciences and Haystack实实验验室室针针对对多多用用户户主主机机的的检

43、检测测任任务务而而开开发发，数数据据源源来来自自主主机机的的系系统统日日志志。NSM则则是是由由UC Davis开开发发的的网网络络安安全全监监视视器器，通通过过对对数数据据包包、连连接接记记录录、应应用用层层会会话话的的分分析析，结结合合入入侵侵特特征征库库和和正正常常的的网网络络流流或或会会话话记记录录的的模模式式库库，判判断断当当前前的网络行为是否包含入侵或异常。的网络行为是否包含入侵或异常。返回本章首页返回本章首页第五章第五章 入侵检测技术入侵检测技术 4GrIDS GrIDS（Graph-based Intrusion Detection System）同同样样由由UC Davis提

44、提出出并并实实现现，该该系系统统实实现现了了一一种种在在大大规规模模网网络络中中使使用用图图形形化化表表示示的的方方法法来来描描述述网网络络行行为为的的途途径径，其其设设计计目目标标主主要要针针对对大大范范围围的的网网络络攻攻击击，例例如如扫扫描描、协协同同攻攻击击、网网络络蠕蠕虫虫等等。GrIDS的的缺缺陷陷在在于于只只是是给给出出了了网网络络连连接接的的图图形形化化表表示示，具具体体的的入入侵侵判判断断仍仍然然需需要要人人工工完完成，而且系统的有效性和效率都有待验证和提高。成，而且系统的有效性和效率都有待验证和提高。返回本章首页返回本章首页第五章第五章 入侵检测技术入侵检测技术 5Intr

45、usion Strategy Boeing公公司司的的Ming-Yuh Huang从从另另一一个个角角度度对对入入侵侵检检测测系系统统进进行行了了研研究究，针针对对分分布布式式入入侵侵检检测测所所存存在在的的问问题题，他他认认为为可可以以从从入入侵侵者者的的目目的的（Intrusion Intention），或或 者者 是是 入入 侵侵 策策 略略（Intrusion Strategy）入入手手，帮帮助助我我们们确确定定如如何何在在不不同同的的IDS组组件件之之间间进进行行协协作作检检测测。对对入入侵侵策策略略的的分分析析可可以以帮帮助助我我们们调调整整审审计计策策略略和和参参数数，构构成自适

46、应的审计检测系统。成自适应的审计检测系统。返回本章首页返回本章首页第五章第五章 入侵检测技术入侵检测技术 6数据融合（数据融合（Data Fusion）Timm Bass提提出出将将数数据据融融合合（Data Fusion）的的概概念念应应用用到到入入侵侵检检测测中中，从从而而将将分分布布式式入入侵侵检检测测任任务务理理解解为为在在层层次次化化模模型型下下对对多多个个感感应应器器的的数数据据综综合合问问题题。在在这这个个层层次次化化模模型型中中，入入侵侵检检测测的的数数 据据 源源 经经 历历 了了 从从 数数 据据（Data）到到 信信 息息（Information）再再到到知知识识（Kno

47、wledge）三三个个逻逻辑抽象层次。辑抽象层次。返回本章首页返回本章首页第五章第五章 入侵检测技术入侵检测技术 7基于抽象（基于抽象（Abstraction-based）的方法的方法 GMU的的Peng Ning在在其其博博士士论论文文中中提提出出了了一一种种基基于于抽抽象象（Abstraction-based）的的分分布布式式入入侵侵检检测测系系统统，基基本本思思想想是是设设立立中中间间层层（system view），提提供供与与具具体体系系统统无无关关的的抽抽象象信信息息，用用于于分分布布式式检检测测系系统统中中的的信信息息共共享享，抽抽象象信信息息的的内内容容包包括括事事件件信信息息（

48、event）以以 及及 系系 统统 实实 体体 间间 的的 断断 言言（dynamic predicate）。中中间间层层用用于于表表示示IDS间间的的共共享享信信息息时时使使用用的的对对应应关关系系为为：IDS检检测测到到的的攻攻击击或或者者IDS无无法法处处理理的的事事件件信信息息作作为为event，IDS或或受受IDS监监控控的的系系统统的状态则作为的状态则作为dynamic predicates。返回本章首页返回本章首页第五章第五章 入侵检测技术入侵检测技术 5.4 入侵检测系统的标准入侵检测系统的标准 从从20世世纪纪90年年代代到到现现在在，入入侵侵检检测测系系统统的的研研发发呈呈

49、现现出出百百家家争争鸣鸣的的繁繁荣荣局局面面，并并在在智智能能化化和和分分布布式式两两个个方方向向取取得得了了长长足足的的进进展展。为为了了提提高高IDS产产品品、组组件件及及与与其其他他安安全全产产品品之之间间的的互互操操作作性性，DARPA和和IETF的的入入侵侵检检测测工工作作组组（IDWG）发发起起制制订订了了一一系系列列建建议议草草案案，从从体体系系结结构构、API、通信机制、语言格式等方面来规范通信机制、语言格式等方面来规范IDS的标准。的标准。返回本章首页返回本章首页第五章第五章 入侵检测技术入侵检测技术 5.4.1 IETF/IDWG IDWG定定 义义 了了 用用 于于 入入

50、 侵侵 检检 测测 与与 响响 应应（IDR）系系统统之之间间或或与与需需要要交交互互的的管管理理系系统统之之间间的信息共享所需要的数据格式和交换规程。的信息共享所需要的数据格式和交换规程。IDWG提提出出了了三三项项建建议议草草案案：入入侵侵检检测测消消息息交交换换格格式式（IDMEF）、入入侵侵检检测测交交换换协协议议（IDXP）以及隧道轮廓（以及隧道轮廓（Tunnel Profile）。）。返回本章首页返回本章首页第五章第五章 入侵检测技术入侵检测技术 5.4.2 CIDF CIDF的的工工作作集集中中体体现现在在四四个个方方面面：IDS的的体体系系结结构构、通通信信机机制制、描描述述语