資源描述:
《信息安全導(dǎo)論 印潤遠(yuǎn) 第7章 入侵檢測》由會員上傳分享,免費(fèi)在線閱讀�,更多相關(guān)內(nèi)容在教育資源-天天文庫。
1�、第7章入侵檢測7.1入侵檢測原理與技術(shù)7.2入侵檢測的數(shù)學(xué)模型7.3入侵檢測的特征分析和協(xié)議分析7.4入侵檢測響應(yīng)機(jī)制7.5繞過入侵檢測的若干技術(shù)7.6入侵檢測標(biāo)準(zhǔn)化工作思考題返回目錄第7章入侵檢測7.1入侵檢測原理與技術(shù)7.1.1入侵檢測的起源7.1.2入侵檢測系統(tǒng)的需求特性7.1.3入侵檢測原理7.1.4入侵檢測分類7.1.5入侵檢測現(xiàn)狀返回本章首頁第7章入侵檢測7.1.1入侵檢測的起源入侵檢測的概念最早由Anderson在1980年提出,它提出了入侵檢測系統(tǒng)的3種分類方法����。Denning對Anderson的工作進(jìn)行了擴(kuò)展���,它詳細(xì)探討了基于異常和誤用檢測方法的優(yōu)缺點(diǎn)���,于1987年提出了一種
2、通用的入侵檢測模型��。返回本節(jié)第7章入侵檢測1.IDES原型系統(tǒng)更新主體活動規(guī)則集處理引擎異常行為活動簡檔時鐘規(guī)則設(shè)計與修改歷史活動狀況創(chuàng)建審計記錄學(xué)習(xí)新建活動狀況提取規(guī)則第7章入侵檢測2.IDES原型系統(tǒng)的組成(1)異常檢測器異常檢測器采用統(tǒng)計技術(shù)刻畫異常行為��,異常檢測器對行為的漸變是自適應(yīng)的���。(2)專家系統(tǒng)專家系統(tǒng)采用基于規(guī)則的方法檢測已知的危害行為���。專家系統(tǒng)的引入能有效防止逐步改變的入侵行為��,提高準(zhǔn)確率����。第7章入侵檢測3.IDS的誕生1980年��,Anderson在報告“ComputerSecurityThreatMonitoringandSurveillance”中提出必須改變現(xiàn)有的系統(tǒng)審
3��、計機(jī)制,以便為專職系統(tǒng)安全人員提供安全信息����,這是有關(guān)入侵檢測的最早論述�����;1984~1986年DorothyDenning和PeterNeumann聯(lián)合開發(fā)了一個實(shí)時入侵檢測系統(tǒng)——IDES(IntrusionDetectionExpertSystem)����,IDES采用異常檢測和專家系統(tǒng)的混合結(jié)構(gòu),第7章入侵檢測Denning1986年的論文“AnIntrusionDetectionModel”亦被公認(rèn)為入侵檢測領(lǐng)域的另一篇開山之作�����;受Anderson和IDES的影響�����,在20世紀(jì)80年代出現(xiàn)了大量的原型系統(tǒng)如;AuditAnalysisProject���、Discovery、}taystack�、NSM
4�、等;20世紀(jì)80年代后期出現(xiàn)商業(yè)化的IDS����,如目前較有影響的公司ISS是在1994年成立的。返回本節(jié)第7章入侵檢測7.1.2入侵檢測系統(tǒng)的需求特性(1)實(shí)時性實(shí)時入侵檢測可以避免管理員通過對系統(tǒng)日志進(jìn)行審計以查找入侵者或入侵行為線索時的種種不便與技術(shù)限制�����。(2)可擴(kuò)展性入侵檢測系統(tǒng)必須能夠在新的攻擊類型出現(xiàn)時�,可通過某種機(jī)制使系統(tǒng)能夠檢測到新的攻擊行為。返回本節(jié)第7章入侵檢測(3)適應(yīng)性適應(yīng)性包括:跨平臺工作的能力���,適應(yīng)其宿主平臺軟����、硬件配置的不同情況。(4)安全性與可用性不能向其宿主計算機(jī)系統(tǒng)以及其所屬環(huán)境中引入新的安全問題及安全隱患���。(5)有效性要求對于攻擊事件的錯報與漏報能夠控制在一定范
5�����、圍內(nèi)�����。返回本節(jié)第7章入侵檢測7.1.3入侵檢測原理入侵檢測系統(tǒng)根據(jù)識別采用的原理�,可分為3種���。1.異常檢測進(jìn)行異常檢測(AnomalyDetection)的前提是認(rèn)為入侵是異?����;顒拥淖蛹?�。當(dāng)用戶活動與正常行為有重大偏離時即被認(rèn)為是入侵���。返回本節(jié)第7章入侵檢測(1)錯報若系統(tǒng)錯誤地將異常活動定義為入侵,稱為錯報(falsepositive)����;(2)漏報若系統(tǒng)未能檢測出真正的入侵行為則稱為漏報(falsenegative)。第7章入侵檢測(3)異常檢測模型系統(tǒng)審計正常行為用戶輪廓比較入侵低于閾值超過閾值第7章入侵檢測(4)常見的異常檢測方法統(tǒng)計異常檢測��;基于特征選擇異常檢測��;基于貝葉斯推理異常檢測
6�����、���;基于貝葉斯網(wǎng)絡(luò)異常檢測;基于模式預(yù)測異常檢測�����;基于神經(jīng)網(wǎng)絡(luò)異常檢測�;基于貝葉斯聚類異常檢測;基于機(jī)器學(xué)習(xí)異常檢測等��。第7章入侵檢測①概率統(tǒng)計方法概率統(tǒng)計方法是基于行為的入侵檢測中應(yīng)用最早也是最多的一種方法�。首先,檢測器根據(jù)用戶對象的動作為每個用戶都建立一個用戶特征表�,通過比較當(dāng)前特征與已存儲定型的以前特征��,從而判斷是否是異常行為�����。第7章入侵檢測描述特征的變量類型有:操作密度:度量操作執(zhí)行的速率����,常用于檢測通過長時間平均覺察不到的異常行為��;審計記錄分布:度量在最新紀(jì)錄中所有操作類型的分布���;范疇尺度:度量在一定動作范疇內(nèi)特定操作的分布情況����;數(shù)值尺度:度量那些產(chǎn)生數(shù)值結(jié)果的操作�����,如CPU使用量����,I
7、/O使用量。第7章入侵檢測②預(yù)測模式生成法使用該方法進(jìn)行入侵檢測的系統(tǒng)�,利用動態(tài)的規(guī)則集來檢測入侵。這些規(guī)則是由系統(tǒng)的歸納引擎�����,根據(jù)已發(fā)生的事件的情況來預(yù)測將來發(fā)生的事件的概率來產(chǎn)生的����,歸納引擎為每一種事件設(shè)置可能發(fā)生的概率。歸納出來的規(guī)則一般可寫成如下形式:E1�,…,Ek:一(Ek+1��,P(Ek+1))�,…�,(En,P(En))第7章入侵檢測③神經(jīng)網(wǎng)絡(luò)方法利用神經(jīng)網(wǎng)絡(luò)檢測入侵的基本思想是用一系列
