資源描述:
《信息安全導(dǎo)論 印潤遠(yuǎn) 第7章 入侵檢測(cè)》由會(huì)員上傳分享�����,免費(fèi)在線閱讀���,更多相關(guān)內(nèi)容在教育資源-天天文庫����。
1�、第7章入侵檢測(cè)7.1入侵檢測(cè)原理與技術(shù)7.2入侵檢測(cè)的數(shù)學(xué)模型7.3入侵檢測(cè)的特征分析和協(xié)議分析7.4入侵檢測(cè)響應(yīng)機(jī)制7.5繞過入侵檢測(cè)的若干技術(shù)7.6入侵檢測(cè)標(biāo)準(zhǔn)化工作思考題返回目錄第7章入侵檢測(cè)7.1入侵檢測(cè)原理與技術(shù)7.1.1入侵檢測(cè)的起源7.1.2入侵檢測(cè)系統(tǒng)的需求特性7.1.3入侵檢測(cè)原理7.1.4入侵檢測(cè)分類7.1.5入侵檢測(cè)現(xiàn)狀返回本章首頁第7章入侵檢測(cè)7.1.1入侵檢測(cè)的起源入侵檢測(cè)的概念最早由Anderson在1980年提出�����,它提出了入侵檢測(cè)系統(tǒng)的3種分類方法�����。Denning對(duì)Anderson的工作進(jìn)行了擴(kuò)展�,它詳細(xì)探討了基于異常和誤用檢測(cè)方法的優(yōu)缺點(diǎn)�����,于1987年提出了一種
2�、通用的入侵檢測(cè)模型。返回本節(jié)第7章入侵檢測(cè)1.IDES原型系統(tǒng)更新主體活動(dòng)規(guī)則集處理引擎異常行為活動(dòng)簡(jiǎn)檔時(shí)鐘規(guī)則設(shè)計(jì)與修改歷史活動(dòng)狀況創(chuàng)建審計(jì)記錄學(xué)習(xí)新建活動(dòng)狀況提取規(guī)則第7章入侵檢測(cè)2.IDES原型系統(tǒng)的組成(1)異常檢測(cè)器異常檢測(cè)器采用統(tǒng)計(jì)技術(shù)刻畫異常行為��,異常檢測(cè)器對(duì)行為的漸變是自適應(yīng)的���。(2)專家系統(tǒng)專家系統(tǒng)采用基于規(guī)則的方法檢測(cè)已知的危害行為��。專家系統(tǒng)的引入能有效防止逐步改變的入侵行為��,提高準(zhǔn)確率����。第7章入侵檢測(cè)3.IDS的誕生1980年,Anderson在報(bào)告“ComputerSecurityThreatMonitoringandSurveillance”中提出必須改變現(xiàn)有的系統(tǒng)審
3����、計(jì)機(jī)制,以便為專職系統(tǒng)安全人員提供安全信息�,這是有關(guān)入侵檢測(cè)的最早論述;1984~1986年DorothyDenning和PeterNeumann聯(lián)合開發(fā)了一個(gè)實(shí)時(shí)入侵檢測(cè)系統(tǒng)——IDES(IntrusionDetectionExpertSystem)�,IDES采用異常檢測(cè)和專家系統(tǒng)的混合結(jié)構(gòu),第7章入侵檢測(cè)Denning1986年的論文“AnIntrusionDetectionModel”亦被公認(rèn)為入侵檢測(cè)領(lǐng)域的另一篇開山之作���;受Anderson和IDES的影響��,在20世紀(jì)80年代出現(xiàn)了大量的原型系統(tǒng)如��;AuditAnalysisProject���、Discovery�、}taystack、NSM
4���、等����;20世紀(jì)80年代后期出現(xiàn)商業(yè)化的IDS,如目前較有影響的公司ISS是在1994年成立的�����。返回本節(jié)第7章入侵檢測(cè)7.1.2入侵檢測(cè)系統(tǒng)的需求特性(1)實(shí)時(shí)性實(shí)時(shí)入侵檢測(cè)可以避免管理員通過對(duì)系統(tǒng)日志進(jìn)行審計(jì)以查找入侵者或入侵行為線索時(shí)的種種不便與技術(shù)限制���。(2)可擴(kuò)展性入侵檢測(cè)系統(tǒng)必須能夠在新的攻擊類型出現(xiàn)時(shí)�����,可通過某種機(jī)制使系統(tǒng)能夠檢測(cè)到新的攻擊行為��。返回本節(jié)第7章入侵檢測(cè)(3)適應(yīng)性適應(yīng)性包括:跨平臺(tái)工作的能力����,適應(yīng)其宿主平臺(tái)軟��、硬件配置的不同情況�。(4)安全性與可用性不能向其宿主計(jì)算機(jī)系統(tǒng)以及其所屬環(huán)境中引入新的安全問題及安全隱患。(5)有效性要求對(duì)于攻擊事件的錯(cuò)報(bào)與漏報(bào)能夠控制在一定范
5�、圍內(nèi)。返回本節(jié)第7章入侵檢測(cè)7.1.3入侵檢測(cè)原理入侵檢測(cè)系統(tǒng)根據(jù)識(shí)別采用的原理�����,可分為3種。1.異常檢測(cè)進(jìn)行異常檢測(cè)(AnomalyDetection)的前提是認(rèn)為入侵是異?;顒?dòng)的子集。當(dāng)用戶活動(dòng)與正常行為有重大偏離時(shí)即被認(rèn)為是入侵�。返回本節(jié)第7章入侵檢測(cè)(1)錯(cuò)報(bào)若系統(tǒng)錯(cuò)誤地將異常活動(dòng)定義為入侵���,稱為錯(cuò)報(bào)(falsepositive)�����;(2)漏報(bào)若系統(tǒng)未能檢測(cè)出真正的入侵行為則稱為漏報(bào)(falsenegative)�����。第7章入侵檢測(cè)(3)異常檢測(cè)模型系統(tǒng)審計(jì)正常行為用戶輪廓比較入侵低于閾值超過閾值第7章入侵檢測(cè)(4)常見的異常檢測(cè)方法統(tǒng)計(jì)異常檢測(cè)���;基于特征選擇異常檢測(cè);基于貝葉斯推理異常檢測(cè)
6���、;基于貝葉斯網(wǎng)絡(luò)異常檢測(cè)��;基于模式預(yù)測(cè)異常檢測(cè);基于神經(jīng)網(wǎng)絡(luò)異常檢測(cè)���;基于貝葉斯聚類異常檢測(cè)����;基于機(jī)器學(xué)習(xí)異常檢測(cè)等����。第7章入侵檢測(cè)①概率統(tǒng)計(jì)方法概率統(tǒng)計(jì)方法是基于行為的入侵檢測(cè)中應(yīng)用最早也是最多的一種方法。首先����,檢測(cè)器根據(jù)用戶對(duì)象的動(dòng)作為每個(gè)用戶都建立一個(gè)用戶特征表,通過比較當(dāng)前特征與已存儲(chǔ)定型的以前特征�����,從而判斷是否是異常行為�����。第7章入侵檢測(cè)描述特征的變量類型有:操作密度:度量操作執(zhí)行的速率�,常用于檢測(cè)通過長時(shí)間平均覺察不到的異常行為;審計(jì)記錄分布:度量在最新紀(jì)錄中所有操作類型的分布��;范疇尺度:度量在一定動(dòng)作范疇內(nèi)特定操作的分布情況;數(shù)值尺度:度量那些產(chǎn)生數(shù)值結(jié)果的操作����,如CPU使用量,I
7�����、/O使用量�。第7章入侵檢測(cè)②預(yù)測(cè)模式生成法使用該方法進(jìn)行入侵檢測(cè)的系統(tǒng),利用動(dòng)態(tài)的規(guī)則集來檢測(cè)入侵�����。這些規(guī)則是由系統(tǒng)的歸納引擎�,根據(jù)已發(fā)生的事件的情況來預(yù)測(cè)將來發(fā)生的事件的概率來產(chǎn)生的,歸納引擎為每一種事件設(shè)置可能發(fā)生的概率�����。歸納出來的規(guī)則一般可寫成如下形式:E1��,…�,Ek:一(Ek+1,P(Ek+1))���,…����,(En��,P(En))第7章入侵檢測(cè)③神經(jīng)網(wǎng)絡(luò)方法利用神經(jīng)網(wǎng)絡(luò)檢測(cè)入侵的基本思想是用一系列
