入侵检测知识点集.docx

《入侵检测知识点集.docx》由会员分享，可在线阅读，更多相关《入侵检测知识点集.docx（14页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、入侵检测图片篇图 1-1 通用入侵检测模型 (Denning 提出)图 2-1 通用入侵检测系统模型图 2-2 P2DR 安全模型图 4-1 STAT审计记录格式图 4-3 状态转移图的根本组件图 4-4 状态转移图的示意图 4-5 构建状态转移图 Step-1图 4-6 最终的状态转移图预处理器Preprocessor学问库事实库Fact Base初始化模块Knowledge Base更模块STAT系统规章库Rule Base状态描述表State Description Table 特征操作表Signature Action Table推理引擎Inference Engine 决策引擎Dec

2、ision Engine图 4-7 STAT 系统架构示意图图 4-13 TripWire 的系统设计模块示意图应用层表示层会话层传输层网络层数据链路层物理层图 5-1 OSI/ISO 模型alert tcp any any - 192.168.1.0/24 111 (content: |00 01 86 a5|; msg: mountd access;)图 5-15 Snort 检测规章例如alert tcp any any - 192.168.1.0/24 111 (content: |00 01 86 a5|; msg: mountd access;)图 5-16 IP 地址规章实例lo

3、g udp any any - 192.168.1.0/24 1:1024记录来自任意端口且目标端口为 11024 范围内的 UDP 数据包log tcp any any - 192.168.1.0/24:6000记录目标端口小于或等于 6000 的 TCP 数据包log tcp any:1024 - 192.168.1.0/24 500:记录源端口号小于或等于 1024 而目标端口号大于或等于 500 的 TCP 数据包图 5-17 端口范围例如log tcp any any - 192.168.1.0/24 !6000:6010图 5-18 端口求反例如log !192.168.1.0/2

4、4 any 192.168.1.0/24 23图 5-19 使用双向操作符的规章表 5-16 特征分析 vs 协议分析类型优点缺点特征分析 在小规章集合状况下，工作速度快 检测规章易于编写、便于理解并且简洁进展定制 对消灭的攻击手段，具备快速升级支持力量 对低层的简洁脚本攻击行为，具备良好的检测性能 对所发生的攻击行为类型，具备确定性的解释力量 随着规章集合规模的扩大，检测速度快速下降 各种变种的攻击行为，易于造成过度膨胀的规章集合 较易产生虚警信息 仅能检测到的攻击类型，前提是该种攻击类型的检测特征协议分析 具备良好的性能可扩展性，特别是在规章集合规模较大的状况下 能够觉察最的未知安全漏洞Z

5、ero-Day Exploits 较少消灭虚警信息 在小规章集合状况下，初始的检测速度相对较慢 检测规章比较简单，难以编写和理解并且通常是由特定厂商实现 协议简单性的扩展以及实际实现的多样性，简洁导致规章扩展的困难 对觉察的攻击行为类型，缺乏明确的解释信息图 6-1 DIDS 系统架构图 6-2 主机监控器的构造图 6-3 IDES 系统设计模型图 6-4 IDES系统构造图 6-5 客户机/效劳器模型图 7-1 Lippmann 根本算法流程图 7-3 IDS 数据融合层次模型图 7-4 基于遗传规划的 IDS 架构引自 Crosbie 等人文献图 9-1 系统设计的生命周期总名目第 1 章

6、 入侵检测技术的历史第 2 章 入侵检测的相关概念第 3 章 入侵检测技术的分类第 4 章 基于主机的入侵检测技术第 5 章 基于网络的入侵检测技术第 6 章 混合型的入侵检测技术第 7 章 先进入侵检测技术不考第 8 章 分布式的入侵检测架构第 9 章 入侵检测系统的设计考虑第 10 章 入侵检测的响应问题第 11 章 相关的法律问题第 12 章 将来需求与技术进展前景1.1 主机审计： 产生、记录并检查依据时间挨次排列的系统大事记录的过程。2.1 入侵是对信息系统的非授权访问以及或者未经许可在信息系统中进展的操作。2.2 入侵检测是对企图入侵、正在进展的入侵或者已经发生的入侵进展识别的过程

7、。2.3 P2DR 模型是一个动态的计算机系统安全理论模型，特点是动态性和基于时间的特性。入侵检测系统需要依据现有的安全策略信息，来更好地配置系统模块参数信息，当觉察入侵行为后，入侵检测系统会通过响应模块转变系统的防护措 施，改善系统的防护力量，从而实现动态的系统安全模型。因此从技术手段上分析，入侵检测可以看作是实现模型的承前 启后的关键环节。3.1 操作系统的审计记录存在的问题不同的系统在审计大事的选择、审计记录的选择和内容组织等诸多方面都存在着兼容性的问题。另外一个是，操作系统审计机制的设计和开发的初始目标，不是为了满足后来才消灭的入侵检测技术的需求目的。3.1 操作系统审计记录被认为是基

8、于主机入侵检测技术的首选数据源： 操作系统的审计系统在设计时，就考虑了审计记录的构造化组织工作以及对审计记录内容的保护机制，因此操作系统审计记录的安全性得到了较好的保护。 操作系统审计记录供给了在系统内核级的大事发生状况，反映的是系统底层的活动状况并供给了相关的详尽信息，为发现潜在的特别行为特征奠定了良好的根底。3.1 一组审计令牌小-审计记录-审计文件审计日志大。3.1 系统日志的安全性与操作系统的审计记录比较而言，要差一些，其缘由如下： 产生系统日志的软件通常是在内核外运行的应用程序，因而这些软件简洁受到恶意的修改或攻击。 系统日志通常是存储在一般的不受保护的文件名目里，简洁受到恶意的篡改

9、和删除等操作，而审计记录通常以二进制文件形式存放具备较强的保护机制。3.1 应用程序日志信息的必要性： 系统设计日益简单，单纯分析从内核底层数据是不够的；底层级别安全数据的规模快速膨胀，增加了分析难度；入侵攻击行为的目标集中于供给网络效劳各种特定应用程序。存在的问题及风险：应用程序的日志信息易遭到恶意的攻击，包括篡改和删除等操作；特定应用程序同样存在是否值得信任的问题。9.网络数据源的优势：承受被动监听方式不影响目标监控系统的运行性能，且无须转变原有网络构造和工作方式；嗅探器模块可以承受对网络用户透亮的模式，降低了其自身被入侵者攻击的概率；网络数据信息源可觉察主机数据源无法觉察的攻击手段。相对

10、于主机数据源网络数据包标准化程度更高，有利于在不同系统平台环境下的移植。 3.1其他数据来源 1、其他安全产品：其他独立运行的安全产品；2、网络设备的数据：网络治理系统、路由器或交换机供给的数据信息；3、带外数据源是指由人工方式供给的数据信息。3.1.6 信息源的选择问题：依据入侵检测系统设计的检测目标来选择。假设要求检测主机用户的特别活动，或特定应用程序的运行状况等，承受主机数据源；如需觉察通过网络协议发动的入侵攻击就网络数据的输入信息。如要求监控整个目标系统内的总体安全状况等，就需同时承受来自主机和网络的数据源；在分布式的环境下，或许还要考虑到包括带外数据在内的其他类型数据源。3.2.1

11、按信息源分类：基于主机和网络的入侵检测，基于主机的缺陷：依靠特定的操作系统平台，在它所保护的主机上运行， 影响宿主机的运行性能，无法对网络环境下发生的大量攻击行为作出准时的反响。 按数据分析手段分类： 分为滥用和特别入侵检测，滥用入侵检测的技术根底是分析各种类型的攻击手段，并找出可能的“攻击特征”集合。滥用入侵检测利用这些特征集合或者是对应的规章集合，对当前的数据来源进展各种处理后，再进展特征匹配或者规章匹配工作，假设觉察满足条件的匹配，则指示发生了一次攻击行为；特别入侵检测的假设条件是对攻击行为的检测可以通过观看当前活动与系统历史正常活动状况之间的差异来实现。比较而言，滥用入侵检测比特别入侵

12、检测具备更好确实定解释力量，即明确指示当前发生的攻击手段类型，因而在诸多商用系统中得到广泛应用。另一方面，滥用入侵检测具备较高的检测率和较低的虚警率，开发规章库和特征集合相对于建立系统正常模型而言，也要更便利、更简洁。滥用检测的主要缺点在于一般只能检测到的攻击模式。而特别检测的优点是可以检测到未知的入侵行为。入侵检测的其他分类标准，例照实时和非实时处理系统：非实时的检测系统通常在事后收集的审计日志文件根底上，进展离线分析处理，并找出可能的攻击行为踪迹，目的是进展系统配置的修补工作，防范以后的攻击。实时处理系统实时监控，并在消灭特别活动时准时做出反响。实时的概念是一个依据用户需求而定的变量，当系

13、统分析和处理的速度处于用户需求范围内时，就可以称为实时入侵检测系统。优点或特点缺点信息源分检测方法分另外的标准基于主机审计记录和日志文件基于网络监听网络中的数据包滥用更好特别实时处理系统非实时 处理系统严峻依靠于特定的操作系统平台；它在所能够较为准确地监测到发生在主机系统 保护主机上运行，这影响宿主机的运行性高层的简单攻击行为能；无法对网络环境下发生的大量攻击行为作出准时的反响明确指示当前发生的攻击手段类型；具备一般只能检测到的攻击模式较高的检测率和较低的虚警率以检测到未知的入侵行为4.1 审计数据的猎取质量和数量，打算了主机入侵检测工作的有效程度。审计数据的猎取工作主要需要考虑以下问题。 确

14、定审计数据的来源和类型。 审计数据的预处理工作，包括记录标准格式的设计、过滤和映射操作等。 审计数据的猎取方式，包括审计数据猎取模块的构造设计和传输协议等。4.1.2 预处理工作的必要性表达在以下几个方面。 有利于系统在不同目标平台间的移植；便于后继处理模块进展检测工作。 需对审计记录流进展必要的映射和过滤等。4.1.3 审计数据猎取模块的主要作用是猎取目标系统的审计数据，并经过预处理工作后，最终目标是为入侵检测的处理模块供给一条单一的审计记录块数据流，供其使用。4.1.3 负责入侵检测工作的处理模块位于目标监控主机系统之外的特定掌握台上，而所监控目标主机系统的数目又并非单台主机的状况通常是一

15、组经过网络环境连接起来的主机系统。此时需要考虑的设计问题主要包括： 在各目标主机系统和中心分析掌握台之间处理负荷的平衡问题。 承受何种传输协议的问题。 如何将从多个目标主机处获得的审计数据多路复用成为一条单一审计记录数据流的问题。 如何处理诸如网络传输过程中可能消灭的延时、遗漏等问题。4.2 Denning 在 1986 年的经典论文中提出了 4 种可以用于入侵检测的统计模型。1 操作模型2 均值与标准偏差模型3 多元模型4 马尔可夫过程模型4.3 语句|tr和|se将 tr 和 se 类型的事实从学问库中删除。这样做有 3 个缘由：可避开规章因同样的满足条件而循环点火。将不需要的事实从学问库

16、中删除，有助于提高系统运行速度。节约内存。4.3 构建一个输入接口的必要步骤： 为用户所需要参加到学问库中的事实做出对应的 ptype 类型声明。 编写一个 C 语言函数，来调用正确的 assert_ptypename 函数。 编写一条规章，在其前提或者结论语句中参加对此 C 语言函数的调用。4.4 状态转移分析优点： 直接承受审计记录序列来表示攻击行为的方法不具备直观性。而 STAT 承受高层的状态转移表示方法来表示攻击过程，避开了这一问题。 对于同一种攻击行为可能对应着不同的审计记录序列，这些不同审计记录序列可能仅仅由于一些微小的差异而无法被承受直接匹配技术的检测系统觉察，而 STAT 可

17、以较好地处理这种状况。 STAT 能够检测到由多个攻击者所共同发起的协同攻击，以及跨越多个进程的攻击行为。另外，STAT 的一大特色就是具备在某种攻击行为尚未造成实质危害时， 就准时检测到并实行某种响应措施的力量。4.4 构建状态转移图的过程大致分为如下步骤： 分析具体的攻击行为，理解内在机理。 确定攻击过程中的关键行为点。 确定初始状态和最终状态。 从最终状态动身，逐步确定所需的各个中间状态及其应当满足的状态断言组。4.5 检查文件系统完整性的必要性包括如下几个方面： 攻击者在入侵成功后，常常在文件系统中安装后门或者木马程序，以便利后继的攻击活动。 攻击者还可能安装非授权的特定程序，并且替换

18、掉特定的系统程序，以掩盖非授权程序的存在。 为了防止攻击活动的痕迹，攻击者还可能删除假设干重要系统日志文件中的审计记录。 入侵者还可能为了达成拒绝效劳攻击目的或者破坏目的，恶意修改假设干重要效劳程序的配置文件或者数据库数据，包括系统安全策略的配置信息等。4.6 配置分析技术的根本原理： 一次成功的入侵活动可能会在系统中留下痕迹，可通过检查系统当前状态来觉察； 系统治理员和用户常常会错误地配置系统，从而给攻击者以入侵的可乘之机。4.6COPS 系统检查的系统安全范围包括： 检查文件、名目和设备的访问权限模式。 脆弱的口令设置。 检查口令文件和组用户文件的安全性、格式和内容。检查在/etc/rc*

19、名目和 cron 中指定运行的文件和程序。 具有 root SUID 属性的文件，检查它们是否可写，以及是否脚本程序。 对重要的二进制文件和其他文件计算 CRC 校验和，检查是否发生更改。 检查用户主名目下文件是否可写。 是否具有匿名 FTP 登录效劳账户。 是否存在 TFTP 效劳、Sendmail 中别名状况以及在 inetd.conf 文件中隐蔽的启动脚本程序等。 各种类型的根权限检查。依据 CERT 安全报告的公布日期，检查关键文件是否已经准时进展了升级或打上了补丁。5.2.2 承受镜像端口常遇到两个问题： 随着交换带宽的不断增长，并非全部网络流量都会反映在镜像端口上。 并非全部的交换

20、设备都供给类似的镜像端口。很多的 IDS 系统会选择挂接在流量通常最大的上下行端口上，用来截获进出内外网的数据流量。6.1.4 DIDS 中心掌握台组件能够解决两个关键的问题：网络环境下对特定用户和系统对象例如文件的跟踪问题。为此， DIDS 提出了网络用户标识 NID的概念，目的是惟一标识在目标网络环境中多台主机间不断移动的用户。不同层次的入侵数据抽象问题。DIDS 系统提出了一个 6 层的入侵检测模型，并以此模型为根底和指导，构造了专家系统的检测规章集合。18.人工神经网络是模拟人脑加工、存储和处理信息机制而提出的一种智能化信息处理技术，它是由大量简洁的处理单元神经元进展高度互联而成的简单

21、网络系统。从本质上讲，人工神经网络实现的是一种从输入到输出的映射关系，其输出值 由输入样本、神经元间的互联权值以及传递函数所打算。通过训练和学习过程来修改网络互联权值，神经网络就可以完成 所需的输入-输出映射。7.2 神经网络技术应用于入侵检测领域优势 :神经网络具有概括和抽象力量，对不完整输入信息具有肯定程度的容错处理力量。 神经网络具备高度的学习和自适应力量。 神经网络所独有的内在并行计算和存储特性。缺陷和缺乏： (1)需要解决神经网络对大容量入侵行为类型的学习力量问题。(2)需要解决神经网络的解释力量缺乏的问题。(3)执行速度问题。要解决这个问题，或许需要设计特地的神经网络计算芯片或者计

22、算机。7.3 KDD 技术通常包括以下步骤： 理解应用背景。 首先要充分了解数据集合的特性，然后要明确学问觉察的任务目标。 数据预备。 包括创立进展学问觉察的目标数据集合,消退数据集合中的噪声数据以及定义对应的变量集合等。 数据挖掘。 首先要确定对数据进展处理后最终需要获得的模型类型，例如分类模型、聚类模型或者摘要模型等，然后应用各种特定的算法生成对应的分类规章或者分类树构造、关联模式和常见序列模式等。 结果解析。 对产生的数据模式进展理解分析，还可以用不同的配置信息来重复以上步骤猎取不同的数据模式，并进展比照分析，去除冗余和不重要的模式，并将最终的有用模式提交给用户。 使用所觉察的学问。 包括将觉察的学问结合到已有的系统模块中，或者直接提交到其他感兴趣的相关实体。7.5 与现有的计算机安全系统相比较，生物免疫系统具备如下重要的特征： 多层次保护机制。 高度分布式的检测和记忆系统。 多样化的个体检测力量。 识别未知异体的力量。9 入侵检测系统在设计时所需要考虑的实际问题:系统设计的最初阶段要留意对用户的实际需求进展分析，从而能够具备明确的设计目标。必需在系统设计时遵循假设干根本的安全设计原则，保障系统自身的安全性能。简要回忆入侵检测系统的设计生命周期过程。