安全审计与入侵检测概述(125页PPT).pptx

《安全审计与入侵检测概述(125页PPT).pptx》由会员分享，可在线阅读，更多相关《安全审计与入侵检测概述(125页PPT).pptx（125页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第第 4 章章 安全审计与入侵检测安全审计与入侵检测4.1 安全审计 4.1.1 安全审计概念 4.1.2 安全审计目的 4.1.3 安全审计内容 4.1.4 安全审计分类和过程 4.1.5 审计日志管理 4.1.6 安全审计系统的组成、功能与特点4.2 入侵检测 4.2.1 入侵检测概述 4.2.2 入侵检测侧方法 4.2.3 入侵检测系统的部署 4.2.4 入侵检测技术发展 4.2.5 与入侵检测有关的新技术4.1 安全审计安全审计n安全审计即是对安全方案中的功能提供持续的评估。安全审计可以为安全官员提供一组可进行分析的管理数据，以发现在何处发生了违反安全方案的事件。为了保证信息系统安全可

2、靠的运行，需加强信息安全审计。4.1.1 安全审计概念安全审计概念 n从总体上说，安全审计是采用数据挖掘和数据仓库技术，实现在不同网络环境中终端对终端的监控和管理，必要时通过多种途径向管理员发出警告或自动采取排错措施，能对历史数据进行分析、处理和追踪。利用安全审计结果，可调整安全政策，堵住出现的漏洞。安全审计日志安全审计日志n利用安全审计日志进行监控是一种更为主动的监督管理形式，它也是一种检测触犯安全规定事件的手段。n出于它自身的重要性，安全审计日志和监控功能本身给安全带来了额外的威胁，因此必须加强对这类信息的保护。n对安全审计日志和监控功能的使用也必须做审计记录，否则蓄谋作案的内部人员将有机

3、可乘，逃脱审查。安全审计和报警安全审计和报警 n安全报警的产生是检测到任何符合已定义报警条件的安全相关事件的结果。n安全审计和报警的实现，可能需要使用其他安全服务来支持安全审计和报警服务，并确保它们正确而有把握地运行。n安全审计和报警服务与其他安全服务的不同之处在于没有单个的特定安全机制可以用于提供这种服务。安全审计跟踪安全审计跟踪n安全审计跟踪是一种很有价值的安全机制，可以通过事后的安全审计来检测和调查安全策略执行的情况以及安全遭到破坏的情况。n安全审计需要安全审计跟踪与安全有关的记录信息，以及从安全审计跟踪中得到的分析和报告信息。n日志或记录被视为一种安全机制，而分析和报告生成则被视为一种

4、安全管理功能。4.1.2 安全审计目的安全审计目的 n安全审计与报警的目的是根据适当安全机构的安全策略，确保与开放系统互联的安全有关的事件得到处理，安全审计只在定义的安全策略范围内提供。n具体的目的主要有：辅助辨识和分析来经授权的活动或攻击；帮助保证那些实体响应行动处理这些活动；促进开发改进的损伤控制处理程序；认可与已建立的安全策略的一致性；报告那些可能与系统控制不相适应的信息；辨识可能需要的对控制、策略和处理程序的改变。4.1.3 安全审计内容安全审计内容 n个人职能（Individual Accountability）。审计跟踪是管理人员用来维护个人职能的技术手段。n事件重建（Recons

5、truction of Events）。在发生故障后，审计跟踪可以用于重建事件和数据恢复。n入侵检测（Intrusion Detection）。审计跟踪记录可以用来协助入侵检测工作。n故障分析（Problem Analysis）。审计跟踪可以用于实时审计或监控。4.1.4 安全审计分类和过程安全审计分类和过程 n安全审计分类n按照审计对象分类：网络审计；主机审计；应用系统审计。n按照审计方式分类：人工审计；半自动审计；智能审计。n审计过程的实现：第一步，收集审计事件，产生审计记录；第二步，根据记录进行安全事件的分析；第三步，采取处理措施。审计范围包括操作系统和各种应用程序。审计的工作流程审计的

6、工作流程 n根据相应的审计条件判断事件是否是审计事件。对审计事件的内容按日志的模式记录到审计日志中。对满足报警条件的事件向审计员发送报警信息并记录其内容。当事件在一定时间内频繁发生，满足逐出系统的条件值时，则将引起该事件的用户逐出系统并记录其内容。审计员可以查询、检索审计日志以形成审计报告。4.1.5 审计日志管理审计日志管理 n审计日志是记录信息系统安全状态和问题的依据，各级信息系统必须制定保存和调阅审计日志的管理制度。n忽视日志管理很快会变成严重的问题，日志管理是确保记录长期稳定和有用的过程。日志的内容日志的内容 n基于安全观点考虑，理想的日志应该包括全部与数据、程序以及与系统资源相关事件

7、的记录。n实际上，这样的日志只能适用于某些有特殊需要的系统，因为它所付出的代价太大，因此，最好根据系统的安全目标和操作环境单独设计日志。n日志中的典型信息列举如下：事件的性质；全部相关组件的标识；有关事件的信息。日志的作用日志的作用 n当雇员涉嫌欺骗、贪污或有其他非法使用系统的行为时，日志可以为调查处理工作提供有效的证明。n日志还可以作为责任认定的依据，当发生责任纠纷时，查阅日志不失是一种好方法。n另外，日志作为系统运行记录集，对分析系统画了情况、排除故障和提高效率都会起到很好的帮助作用。日志的管理方法日志的管理方法 n日志管理最典型的方法是日志轮转，即将旧的、已写满的日志文件移到一边，新的空

8、日志文件占用它们的位置。n正确轮转日志以后，还必须注意备份。n经常是已经发现了攻击，要回过头来看看攻击者还要试图做什么。要完成这一点，需要对日志做索引；需要滚动旧的日志以离线存储；需要检索离线日志，并尽可能快地找出合适的日志项。4.1.6 安全审计系统的组成、功安全审计系统的组成、功能与特点能与特点 1安全审计系统的组成n典型的安全审计系统包括：事件辨别器：提供事件的初始分析，并决定是否把该事件传送给审计记录器或报警处理器；事件记录器：将接受来的消息生成审计记录，并把此记录存入一个安全审计跟踪；报警处理器：产生一个审计消息，同时产生合适的行动以响应一个安全报警；审计分析器：检查安全审计跟踪，生

9、成安全报警和安全审计消息；审计跟踪验证器：从安全审计跟踪产生出安全审计报告；审计提供器：按照某些准则提供审计记录；审计归档器：将安全审计跟踪归档；审计跟踪收集器：将一个分布式安全审计跟踪的记录汇集成一个安全审计跟踪；审计调度器：将分布式安全审计跟踪的某些部分或全部传输到该审计调度器。2安全审计系统的基本功能安全审计系统的基本功能 n内容审计系统。内容审计系统专用于防止非法信息恶意传播，避免国家机密、商业信息、科研成果泄漏的产品；并可实时监控网络资源使用情况，提高整体工作效率。该系统一般具有如下功能：对用户的网络行为监控、网络传输内容审计 掌握网络使用情况，提高工作效率 网络传输信息的实时采集、

10、海量存储、统计分析 网络行为后期取证，对网络潜在威胁者予以威慑 安全审计系统的基本功能（续）安全审计系统的基本功能（续）n日志审计系统。日志审计系统为不同的网设备及系统提供了统一的日志管理分析平台，打破了组织中不同设备及系统之间存在的信息鸿沟。该系统一般具有如下功能：全面支持安全设备（如防火墙，IDS、AV）、网络设备（如Router、Switch）、应用系统（如WEB、Mail、）、操作系统（如Windows、Linux、Unix）等多种产品及系统日志数据的收集和分析。帮助管理员对网络事件进行深度的挖掘分析，系统提供多达300多种的报表模板，支持管理员从不同角度进行网络事件的可视化分析。同时

11、系统还支持对网络设备、主机、系统应用、多种网络服务的全面监视。提供全局安全视图，帮助管理员发现网络、系统及应用中存在的安全漏洞和隐患，并进行不断改进。可自定义安全事件的危险级别，并实现基于EMAIL，铃声、手机短信等多种响应方式。3安全审计系统的特点安全审计系统的特点 n具有Client/Server结构，便于不同级别的管理员通过客户端，针对不同的业务网段进行审计工作。n力求得到被审计网络中的硬/软件资源的使用信息，使管理人员以最小的代价、最高的效率得到网络中资源的使用情况，从而制定网络维护和升级方案。n审计单元向审计中心汇报工作以及审计中心向下一级部门索取审计数据。n提供实时监控功能。n事后

12、的取证、分析。使用历史记录可以取得特定工作站、时间段或基于其他特定系统参数下，主机、服务器和网络的使用信息；基于这些历史记录可以进行某些统计、分析操作。n可自动进行审计工作，降低管理员工作压力。4.2 入入 侵侵 检检 测测 n入侵检测是安全审计的重要内容之一，是网络安全防护的重要组成部分。入侵检测技术是一种主动保护自己的网络和系统免遭非法攻击的网络安全技术。它从计算机系统或者网络中收集、分析信息，检测任何企图破坏计算机资源的完整性（Integrity）、机密性（Confidentiality）和可用性（Availability）的行为，即查看是否有违反安全策略的行为和遭到攻击的迹象，并做出相

13、应的反应。4.2.1 入侵检测概述入侵检测概述 1入侵检测概念n入侵是指任何企图危机资源的完整性、机密性和可用性的活动，不仅包括发起攻击的人取得超出合法范围的系统控制权，也包括收集漏洞信息，造成拒绝服务等对计算机系统产生危害的行为。n入侵检测（Intrusion Detection）的定义是指通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。入侵检测系统入侵检测系统n入侵检测系统IDS（Intrusion Detection System）是试图实现检测入侵行为的计算机系统，包含计算机软件和硬件的组合。

14、n入侵检测系统具有更多的智能，对系统进行实时监控，获取系统的审计数据或网络数据包，然后将得到的数据进行分析，并判断系统或网络是否出现异常或入侵行为，一旦发现异常或入侵情况，发出报警并采取相应的保护措施。入侵检测是一种动态的网络安全入侵检测是一种动态的网络安全技术技术 n它利用各种不同类型的引擎，实时或定期的对网络中相关的数据源进行分析，依照引擎对特殊的数据或事件的认识，将其中具有威胁性的部分提取出来，并触发响应机制。n入侵检测的动态性反映在入侵检测的实时性，对网络环境的变化具有一定程度上的自适应性，这是以往静态安全技术无法具有的。2入侵检测原理模型入侵检测原理模型 nDenning模型 图4-

15、1 Denning入侵检测模型 上图模型中包含6个主要部分：实体（Subjects）：在目标系统上活动的实体，如用户。对象（Objects）：指系统资源，如文件、设备、命令等。审计记录（Audit records）：由主体、活动（Action）、异常条件（Exception-Condition）、资源使用状况（Resource-Usage）和时间戳（Time-Stamp）等组成。活动档案（Active Profile）：即系统正常行为模型，保存系统正常活动的有关信息。异常记录（Anomaly Record）：由事件、时间戳和审计记录组成，表示异常事件的发生情况。活动规则（Active Rule

16、）：判断是否为入侵的准则及相应要采取的行动。2入侵检测原理模型入侵检测原理模型(续续)nCIDF模型 图4-2 CIDF入侵检测模型 2入侵检测原理模型入侵检测原理模型(续续)上图所示的模型中，入侵检测系统分为4个基本组件：事件产生器的任务是从入侵检测系统之外的计算环境中收集事件，但并不分析它们，并将这些事件转换成CIDF的GIDO格式传送给其他组件；事件分析器分析从其他组件收到的GIDO，并将产生的新的GIDO再传送给其他组件；事件数据库用来存储GIDO，以备系统需要的时候使用；响应单元处理收到的GIDO，并根据处理结果，采取相应的措施，如杀死相关进程、将连接复位、修改文件权限等。2入侵检测

17、原理模型入侵检测原理模型(续续)3入侵响应机制入侵响应机制 n入侵响应是入侵检测技术的配套技术，一般的入侵检测系统会同时使用这两种技术。n入侵响应技术可分为主动响应和被动响应两种类型。n主动响应和被动响应并不是相互排斥的。不管使用哪一种响应机制，作为任务的一个重要部分，入侵检测系统应该总能以日志的形式记录下检测结果。（1）主动响应）主动响应 n主动响应，即检测到入侵后立即采取行动。n主动响应有两种形式：一种是由用户驱动的，一种是由系统本身自动执行的。n对入侵者采取反击行动、修正系统环境和收集尽可能多的信息是主动响应的基本手段。对入侵者采取反击行动对入侵者采取反击行动 n警告攻击者、跟踪攻击者、

18、断开危险连接和对攻击者的攻击是最严厉的一种主动反击手段。n这种响应方法有一定的风险：被确认为攻击你的系统的源头系统很可能是黑客的另一个牺牲品。攻击源的IP地址欺骗也是常有的事。简单的反击可能会惹起对手更大的攻击。反击会使你自己冒违法犯罪的风险。修正系统环境修正系统环境 n修正系统环境较直接采取反击的主动性要差一些，当与提供调查支持的响应结合在一起的时候，却往往是一种更好的响应方案。n修正系统环境以堵住导致入侵发生的漏洞的概念与许多研究者所提出的关键系统耦合的观点是相一致的。n这种策略类似于实时过程控制系统的反馈机制，即目前系统处理过程的输出将用来调整和优化下一个处理过程。收集额外信息收集额外信

19、息 n当被保护的系统非常重要并且系统的主人想进行配置改进时，收集额外信息特别有用。n以这种方式收集的信息对那些从事网络安全威胁的趋势分析的人来说也是有价值的。n这种信息对那些必须在有敌意威胁的环境里运行或易遭受大量攻击的系是特别重要的。（2）被动响应）被动响应 n被动响应就是那些只向用户提供信息而依靠用户去采取下一步行动的响应。n被动响应是很重要的，在一些情形下是系统惟一的响应形式。以下列举两种常用的被动响应技术：告警和通知：告警显示屏；告警和警报的远程通知。SNMP陷阱和插件（3）响应报警）响应报警策略策略 n如何报警和选取什么样的报警，需要根据整个网络的环境和安全的需求进行确定。n不同的报

20、警方式对网络相关的设备有着不同的要求。n由于报警的形式很多，大部分都需要其他网络设备和服务的协助，因此只有保证相关的设备和服务可以和入侵检测系统正确地通信，才可以保证报警信息的及时送达。这就要求入侵检测系统存在与其他设备互动的接口。4入侵检测系统的基本入侵检测系统的基本结构结构 图4-3 入侵检测系统的基本结构 n入侵检测系统的基本结构通常由事件产生器、事件分析器、事件数据库和响应单元四个基本组件组成。n从具体实现的角度看，入侵检测系统一般包括硬件和软件两部分。5入侵检测系统的功能入侵检测系统的功能 n检测和分析用户与系统的活动；n审计系统配置和脆弱性；n评估关键系统和数据文件的一致性；n识别

21、反映已知攻击的活动模式；n非正常活动模式的统计分析；n操作系统的审计跟踪管理，通过用户活动的识别违规操作。6入侵检测系统的分类入侵检测系统的分类 n异常检测和误用检测。根据入侵检测所采用的技术，可以分为异常检测和误用检测。异常检测（Abnormal Detection）。异常入侵检测是指能够根据异常行为和使用计算机资源的情况检测出来的入侵。误用检测（Misuse Detection）。误用入侵检测（也称滥用入侵检测）是指利用已知系统和应用软件的弱点攻击模式来检测入侵。6入侵检测系统的分类（续）入侵检测系统的分类（续）n基于主机和网络的检测。按照入侵检测输入数据的来源和系统结构，可以分为：基于主

22、机的入侵检测系统（HIDS）。该系统通过监视和分析主机上的审计日志，来检测主机上是否发生入侵行为。图4-4 基于主机的入侵检测系统 HIDS的优点是可精确判断入侵事件，并及时进行反应。缺点是会占用宝贵的主机资源。6入侵检测系统的分类（续）入侵检测系统的分类（续）基于网络的入侵检测系统（NIDS）。该系统一般被动地在共享网段上进行侦听，通过对捕获网络数据包进行分析，能够检测该网段上发生的网络入侵。图4-5 基于网络的入侵检测系统 这类系统的优点是检测速度快、隐蔽性好，不那么容易遭受攻击，对主机资源消耗少，并且由于网络协议是标准的，可以对网络提供通用的保护而无须顾及异构主机的不同架构。但它只能监视

23、经过本网段的活动，且精确度较差，在交换网络环境下难以配置，防欺骗能力也较弱。6入侵检测系统的分类（续）入侵检测系统的分类（续）混合型入侵检测系统。联合使用基于主机和基于网络这两种方式能够达到更好的检测效果。分布式入侵检测系统（DIDS）是一种典型的混合型入侵检测系统，也可以仅仅是网络入侵检测系统的分布式整合。图4-6 分布式入侵检测系统框图 6入侵检测系统的分类（续）入侵检测系统的分类（续）n离线检测和在线检测。根据入侵检测系统的工作方式分为离线检测系统和在线检测系统。离线检测系统。在事后分析审计事件，从中检查入侵活动，是一种非实时工作的系统。在线检测。实施联机的检测系统，它包含对实时网络数据

24、包分析，对实时主机审计分析。6入侵检测系统的分类（续）入侵检测系统的分类（续）n集中式、等级式和协作式。按照体系结构，IDS可分为集中式、等级式和协作式3种。集中式。等级式。协作式。7入侵检测系统性能入侵检测系统性能 n准确性：检测系统具有低的假报警率和漏警率。n执行性：入侵检测系统处理审计事件的比率。如果执行性很低，则无法实现入侵检测系统的实时检测。n完整性：如果一个入侵检测系统不能检测一个攻击则认为是不完整的。n容错性：入侵检测系统本身应具备抵抗攻击的能力。n实时性：系统能尽快地察觉入侵企图，以便制止和限制破坏。8入侵检测系统的优点入侵检测系统的优点n可以检测和分析系统事件以及用户的行为；

25、n可以测试系统设置的安全状态；n以系统的安全状态为基础，跟踪任何对系统安全的修改操作；n通过模式识别等技术从通信行为中检测出已知的攻击行为；n可以对网络通信行为进行统计，并进行检测分析；n管理操作系统认证和日志机制并对产生的数据进行分析处理；n在检测到攻击的时候，通过适当的方式进行适当的报警处理；n通过对分析引擎的配置对网络的安全进行评估和监督；n允许非安全领域的管理人员对重要的安全事件进行有效的处理。9入侵检测系统的局限性入侵检测系统的局限性 n入侵检测系统无法弥补安全防御系统中的安全缺陷和漏洞。n对于高负载的网络或主机，很难实现对网络入侵的实时检测、报警和迅速地进行攻击响应。n检测具有一定

26、的后滞性，而对于已知的报警，一些没有明显特征的攻击行为也很难检测到，或需要付出提高误报警率的代价才能够正确检测。n入侵检测系统的主动防御功能和联动防御功能会对网络的行为产生影响，同样也会成为攻击者的目标，实现以入侵检测系统过敏自主防御为基础的攻击。9入侵检测系统的局限性（续）入侵检测系统的局限性（续）n入侵检测系统无法单独防止攻击行为的渗透，只能调整相关网络设备的参数或人为地进行处理。n网络入侵检测系统在纯交换环境下无法正常工作，只有对交换环境进行一定的处理。n入侵检测系统主要是对网络行为进行分析检测，不能修正信息资源中存在的安全问题。nIDS系统本身还在迅速发展和变化，尚未成熟。9入侵检测系

27、统的局限性（续）入侵检测系统的局限性（续）n现有的IDS系统错报率（或称为虚警率）偏高，严重干扰了检测结果。n事件响应与恢复机制不完善。nIDS与其他安全技术的协作性不够。nIDS缺少对检测结果做进一步说明和分析的辅助工具，这妨碍了用户进一步理解看到的数据或图表。n缺少防御功能检测，作为一种被动且功能有限的技术，缺乏主动防御功能。nIDS缺乏国际统一的标准 9入侵检测系统的局限性（续）入侵检测系统的局限性（续）n产品适应能力低 n大型网络的管理问题 n处理速度上的瓶颈 n拒绝服务攻击 n插入和规避 10入侵检测系统与防火墙的区入侵检测系统与防火墙的区别别 n“防火墙”是在被保护网络周边建立的、

28、分隔被保护网络与外部网络的系统。n采用防火墙技术的前提条件是：被保护的网络具有明确定义的边界和服务；网络安全的威胁仅来自外部网络。n但仅仅使用防火墙保障网络安全是远远不够的。10.入侵检测系统与防火墙的区别入侵检测系统与防火墙的区别（续）（续）n入侵检测是防火墙的合理补充，为网络安全提供实时的入侵检测并采取相应的防护手段。n入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下，能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。nIDS一般不是采取预防的措施以防止入侵事件的发生，入侵检测作为安全技术其主要目的在于：识别入侵者；识别入侵行为；检测和监视已成功的安全突

29、破；为对抗入侵，及时提供重要信息，阻止事件的发生和事态的扩大。4.2.2 侵检测方法侵检测方法 1异常检测 n异常检测指根据使用者的行为或资源使用状况来判断是否发生入侵事件，而不依赖于具体行为是否出现来检测，所以也被称为基于行为的检测。n异常检测的主要思想是：根据系统的正常活动建立一个特征文件，通过统计那些不同于我们已建立的特征文件的所有系统状态来识别入侵。异常活动和入侵活动异常活动和入侵活动图4-7 异常活动集和入侵活动集之间的关系 从图中可以看出，异常检测的关键问题是如何选择合适的域值，使得误报和漏报减少，以及如何选择选择所要监视的衡量特征。（1）概率统计方法）概率统计方法 n该方法是根据

30、异常检测器观察主体的活动，产生描述这些活动行为的参数。通过比较当前的参数与已存储的参数判断异常行为，并且已存储的参数需要根据审计记录情况不断地加以更新。n设M1，M2，Mn为参数集的特征变量，这些变量可以是CPU的使用、I/O的使用、使用的地点及时间、邮件使用、文件访问数量、网络会话时间等。用S1，S2，Sn分别表示参数集中变量M1，M2，Mn的异常测量值。n这些异常测量值的平方后加权计算得出参数异常值：ai0 概率统计的特点概率统计的特点n概率统计的优越性在于所应用的技术方法成熟。n但其也有一些不足：统计测量对事件的发生的次序不敏感，单纯的统计入侵检测系统可能不会发觉事件当中互相依次相连的入

31、侵行为；单纯的统计入侵检测系统将逐渐的训练成单一点，要么行为是异常的，要么是正常的；难以确定异常阈值，阈值设置偏低或偏高均会导致误报；统计异常检测行为类型模型是有限的。（2）预测模式生成方法）预测模式生成方法 n该方法的假设条件是事件序列不是随机的而是遵循可辨别的模式，它的特点是考虑了事件的序列及相互联系。n它利用动态的规则集来检测入侵。这些规则由系统的归纳引擎根据已发生事件的情况产生，然后得到预测将要发生的事件的概率，归纳引擎为每一种事件设置可能发生的概率。其归纳出来的规则一般可写成如下形式：E1，Ek:(Ek+1,P(Ek+1),(En,P(En)n如果后来发生的事件Ek+1，En的统计结

32、果与预测相比很不正常，则该事件便被标志为异常行为。预测模式生成方法的特点预测模式生成方法的特点n预测模式生成方法的主要优点是：n基于规则的顺序模式能够检测出传统方法所难以检测的异常活动；n用该方法建立起来的系统，具有很强的适应变化能力，这是由于低质量的模式不断被删除，最终留下来的是高质量的模式；n可以容易检测到企图在学习阶段训练系统的入侵者；n实时性高，可以在收到审计事件几秒钟内对异常活动作出检测并产生报警。n该方法的不足之处在于不在规则库中的入侵将会漏报。（3）神经网络方法）神经网络方法 n神经网络方法的基本思想就是用一系列信息单元训练神经网络中的神经单元，该信息单元指的是命令。若神经网络被

33、训练成能预测用户输入命令序列集合，则神经网络就构成用户的轮廓框架。n当用这个神经网络预测不出某用户正确的后继命令，即在某种程度上表明了用户行为与其轮廓框架的偏离，这是由异常事件发生，以此就能检测异常入侵。神经网络方法的特点神经网络方法的特点n这种方法的优点是：n不依赖于任何有关数据种类的统计假设；n具有较好的抗干扰能力；n能自然的说明各种影响输出结果测量的相互关系。n其缺点是：网络拓扑结构以及各元素的权重很难确定；在设计网络的过程中，输入层输入的命令个数的大小难以选取。若设置太小，则工作就差；若设置太高，网络中需要处理的数据就会太多，降低了网络的效率。2误用检测误用检测 n误用检测技术（Mis

34、use Detection）也称为基于知识的检测技术或者模式匹配检测技术。n它的前提是假设所有的网络攻击行为和方法都具有一定的模式或特征，如果把以前发现的所有网络攻击的特征总结出来并建立一个入侵信息库，那么入侵检测系统可以将当前捕获到的网络行为特征与入侵信息库中的特征信息相比较，如果匹配，则当前行为利被认定为入侵行为。n可以看出，如果说异常检测是量化的入侵检测分析手段，那么模式匹配就是一种质化的入侵检测手段。（1）专家系统）专家系统 n它将有关入侵的知识转化为if-then结构的规则，即将构成入侵所要求的条件转化为if部分，将发现入侵后采取的相应措施转化成then部分。n在具体实现中，专家系统

35、主要面临以下问题：全面性问题；效率问题。特征分析系统特征分析系统n同专家系统一样，特征分析也需要知道攻击行为的具体知识。但是，攻击方法的语义描述不是被转化为检测规则，而是在审计记录中能直接找到的信息形式。n这种方法的缺陷也和所有其他的滥用检测方法一样，即需要经常为新发现的系统漏洞更新知识库；另外，由于对不同操作系统平台的具体攻击方法可能不同，以及不同平台的审计方式也可能不同，所以对特征分析检测系统进行构造和维护的工作量都较大。（2）模型推理）模型推理 n模型推理是指结合攻击脚本推理出入侵行为是否出现。n其中有关攻击者行为的知识被描述为：攻击者目的，攻击者达到此目的的可能行为步骤，以及对系统的特

36、殊使用等。根据这些知识建立攻击脚本库，每一脚本都由一系列攻击行为组成。模型推理的检测原理模型推理的检测原理n检测时先将这些攻击脚本的子集看作系统正面临的攻击。n然后通过一个称为预测器的程序模块根据当前行为模式产生下一个需要验证的攻击脚本子集，并将它传给决策器。n决策器收到信息后，根据这些假设的攻击行为在审计记录中可能出现的方式，将它们翻译成与特定系统匹配的审计记录格式。然后在审计记录中寻找相应信息来确认或否认这些攻击 模型推理的特点模型推理的特点n模型推理方法的优越性有：对不确定性的推理有合理的数学理论基础，同时决策器使得攻击脚本可以与审计记录的上下文无关。另外，这种检测方法也减少了需要处理的

37、数据量。n但是创建入侵检测模型的工作量比别的方法要大，在系统实现时，决策器如何有效地翻译攻击脚本也是一个问题。（3）状态转换分析）状态转换分析 n状态转换法将入侵过程看作一个行为序列，这个行为序列导致系统从初始状态转入被入侵状态。n分析时，首先针对每一种入侵方法确定系统的初始状态和被入侵状态，以及导致状态转换的转换条件。然后用状态转换图来表示每一个状态和特征事件，这些事件被集成于模型中，所以检测时不需要一个个地查找审计记录。n但是，状态转换是针对事件序列分析，所以不善于分析过分复杂的事件，而且不能检测与系统状态无关的入侵。Petri网网 nPetri网用于入侵行为分析是一种类似于状态转换图分析

38、的方法。利用Petri网的有利之处在于它能一般化、图形化地表达状态，并且简洁明了。图4-8 Petri网分析一分钟4次登录失败（4）特征分析）特征分析 n特征分析误用检测与专家系统误用检测一样，也需要搜集关于网络入侵行为的各种知识。n特征分析误用检测将入侵行为表示成一个事件序列或者转换成某种可以直接在网络数据包审计记录中找到的数据样板，而不进行规则转换，这样可以直接从审计数据中提取相应的数据与之匹配，因此不需要处理大量的数据，从而提高了运行效率。（5）条件概率）条件概率 n条件概率误用检测方法将网络入侵方式看作一个事件序列，根据所观测到的各种网络事件的发生情况来推测入侵行为的发生。n条件概率误

39、用检测方法应用贝叶斯定理对入侵进行推理检测，原理如下：事件序列表示为ES，先验概率为P（Intrusion），后验概率为P（ESIntrusion），事件出现的概率为P（ES），则P（Intrusion|ES）=P（ES|Intrusion）P（Intrusion）/P（ES）可以计算出 P（ES）（P（ES|Intrusion）-P（ES|Intrusson）P（Intrusion）+P（ES|Intrusson）（6）键盘监控）键盘监控 n键盘监控误用检测方法假设每种网络入侵行为都具有特定的击键序列模式，入侵检测系统监视各个用户的击键模式，并将该模式与已有的入侵击键模式相匹配，如果匹配成功

40、就认为是网络入侵行为。n这种方法的不足之处是如果操作系统没有提供相应的支持，则缺少可靠的方法来捕获用户的击键行为，可能存在多种击键方式表示同一种攻击的情况，而且不能对击键进行语义分析，攻击者使用命令的各种别名就很容易欺骗这种技术。此外，因为这种技术仅分析击键行为，所以对于那些利用程序进行自动攻击的行为无法检测。误用检测技术的优点误用检测技术的优点 n检测准确度高；n技术相对成熟；n便于进行系统防护；n可以按功能划分，缩小模式数据库所涉及的模式量大小，也就是说模式匹配具有很强的可分割性、独立性。n模式匹配具有很强的针对性，对已知的入侵方法检测效率很高。误用检测技术的缺点误用检测技术的缺点n不能检

41、测出新的入侵行为；n完全依赖于入侵特征的有效性；n通常不具备自学习能力，对新攻击的检测分析必须补充模式数据库，维护特征库的工作量巨大；n难以检测来自内部用户的攻击；n可测量性与性能都和模式数据库的大小、体系结构有关；n可扩展性差，没有通用的模式规格说明语言；n攻击行为转化为模式比较困难，并且不具备统一性。3异常检测技术和误用检测技异常检测技术和误用检测技术的比较术的比较 n基于异常检测技术的入侵检测系统如果想检测到所有的网络入侵行为，必须掌握被保护系统已知行为和预期行为的所有信息。n基于误用检测技术的入侵检测系统只有拥有所有可能的入侵行为的先验知识，而且必须能识别各种入侵行为的过程细节或者每种

42、入侵行为的特征模式，才能检测到所有的入侵行为，该类入侵检测系统只能检测出已有的入侵模式，必须不断地对新出现的入侵行为进行总结和归纳。3异常检测技术和误用检测技术异常检测技术和误用检测技术的比较（续）的比较（续）n基于异常检测技术的入侵检测系统通常比基于误用检测技术的入侵检测系统所做的工作要少很多，要求管理员能够总结出被保护系统的所有正常行为状态，对系统的已知和期望行为进行全面的分析，因此配置难度相对较大。n有些基于误用检测技术的入侵检测系统允许管理员对入侵特征数据库进行修改，甚至允许管理员自己根据所发现的攻击行为创建新的网络入侵特征规则记录，这种入侵检测系统在系统配置方面的工作量会显著增加。3

43、异常检测技术和误用检测技术异常检测技术和误用检测技术的比较（续）的比较（续）n基于异常检测技术的入侵检测系统所输出的检测结果，通常是在对实际行为与行为轮廓进行异常分析等相关处理后得出的，这类入侵检测系统的检测报告通常会比基于误用检测技术的入侵检测系统具有更多的数据量。n大多数基于误用检测技术的入侵检测系统，是将当前行为模式与已有行为模式进行匹配后产生检测结论，其输出内容是列举出入侵行为的类型和名称，以及提供相应的处理建议。4入侵检测新技术入侵检测新技术 n遗传算法 遗传算法的基本原理是首先定义一组入侵检测指令集，这些指令用于检测出正常或者异常的行为。指令中包含若干字符串，所有的指令在定义初期的

44、检测能力都很有限，入侵检测系统对这些指令逐步地进行训练，促使指令中的字符串片段发生重组，以生成新的字符串指令。再从新的指令中经过测试筛选出检测能力最强的部分指令，对它们进行下一轮的训练。如此反复，使检测指令的检测能力不断提高。直到指令的检测能力不会有明显的提高，训练过程即可结束，此时这些指令已经具有一定的检测能力，入侵检测系统可以使用它们进行网络入侵检测。4入侵检测新技术（续）入侵检测新技术（续）n免疫技术 计算机免疫技术为入侵检测提供了一个思路，即通过正常行为的学习来识别不符合常态的行为序列。当系统的一个关键程序投入使用后，它的运行情况一般变化不大，具有相对的稳定性。因而可以利用系统进程正常

45、执行轨迹中的系统调用短序列集，来构建系统进程正常执行活动的特征轮廓。由于利用这些关键程序的缺陷进行攻击时，对应的进程必然执行一些不同于正常执行时的代码分支，因而就会出现关键程序特征轮廓中没有的系统调用短序列。当检测到特征轮廓中不存在的系统调用序列的量达到某一条件后，就认为被监控的进程正企图攻击系统。4入侵检测新技术（续）入侵检测新技术（续）n数据挖掘方法 数据挖掘是指从大型数据库或数据仓库中提取人们感兴趣的知识，这些知识是隐含的、事先未知的潜在有用信息。数据挖掘技术在入侵检测中主要有两个方向，一是发现入侵的规则、模式，与误用检测（或模式匹配）检测方法相结合；二是用于异常检测，找出用户正常行为，

46、创建用户的正常行为库。将数据挖掘技术应用于入侵检测是因为其具有处理大量数据记录的能力。数据采掘异常检测方法的优势在于处理数据的能力，缺点是系统整体运行效率较低。4.2.3 入侵检测系统的部署入侵检测系统的部署 n根据所掌握的网络检测技术和安全需求，选取各种类型的入侵检测系统。n将多种入侵检测系统按照预定的计划进行部署，确保每个入侵检测系统都能够在相应部署点上发挥作用，共同防护，保障网络的安全运行。1安全区域安全区域 n安全区域（zone）是防火墙产品所引入的一个安全概念，是防火墙产品区别于路由器的主要特征。n当一个数据流通过防火墙设备的时候，根据其发起方向的不同，所引起的操作是截然不同的。由于

47、这种安全级别上的差别，再采用在接口上检查安全策略的方式已经不适用，将造成用户在配置上的混乱。因此，防火墙提出了安全区域的概念。n一个安全区域包括一个或多个接口的组合，具有一个安全级别。数据在属于同一个安全区域的不同接口间流动时不会引起任何检查。安全区域划分安全区域划分 n如图4-9所示，一般防火墙上保留四个安全区域：图4-9 安全区域划分 接口、网络、安全区域接口、网络、安全区域 n除了Local区域以外，在使用其他所有安全区域时，需要将安全区域分别与防火墙的特定接口相关联，即将接口加人到区域。n另外安全区域与各网络的关联遵循一些原则：内部网络应安排在安全级别较高的区域；外部网络应安排在安全级

48、别最低的区域；一些可对外部提供有条件服务的网络应安排在安全级别中等的DMZ区。入方向与出方向入方向与出方向 n如图4-10所示，不同级别的安全区域间的数据流动都将激发防火墙进行安全策略的检查，并且可以为不同流动方向设置不同的安全策略。域间的数据流分两个方向：入方向（inbound）：数据由低级别的安全区域向高级别的安全区域传输的方向；出方向（outbound）；数据由高级别的安全区域向低级别的安全区域传输的方向。2入侵检测系统的部署入侵检测系统的部署 n基于网络入侵检测系统的部署。基于网络的入侵检测系统可以在网络的多个位置进行部署。总体来说，入侵检测的部署点可以划分为4个位置：DMZ区、外网入

49、口、内网主干、关键子网，如图4-11所示。图4-11 入侵检测系统部署位置图 DMZ区区 nDMZ区部署点在DMZ区的总口上，这是入侵检测器最常见的部署位置。n在这里入侵检测器可以检测到所有针对用户向外提供服务的服务器进行攻击的行为。n在该部署点进行入侵检测有以下优点：检测来自外部的攻击，这些攻击已经渗入过第一层防御体系；可以容易地检测网络防火墙的性能并找到配置策略中的问题；DMZ区通常放置的是对内外提供服务的重要的服务设备，因此，所检测的对象集中于关键的服务设备；外网入口外网入口 n外网入口部署点位于防火墙之前，入侵检测器在这个部署点可以检测所有进出防火墙外网口的数据。n在这个位置上，入侵检

50、测器可以检测到所有来自外部网络的攻击行为并进行记录，这些攻击包括对内部服务器的攻击、对防火墙本身的攻击以及内网机器不正常的数据通信行为。n在该部署点进行入侵检测有以下优点：可以对针对目标网络的攻击进行计数、并记录最为原始的攻击数据包；可以记录针对目标网络的攻击类型。内网主干内网主干 n内网主干部署点是最常用的部署位置，在这里入侵检测器主要检测内网流出和经过防火墙过滤后流入内网的网络数据。n在这个位置，入侵检测器可以检测所有通过防火墙进入的攻击以及内部网向外部的不正常操作，并且可以准确地定位攻击的源和目的，方便系统管理员进行针对性的网络管理。n在该部署点进行入侵检测有以下优点：检测大量的网络通信