5入侵检测的方法与应用.pptVIP

入侵检测 E-mail: ltq163@163.com 2006.08.08 第五章 入侵检测方法与应用 对于入侵检测系统（IDS）来说，入侵的检测、分析模块是系统的核心。 现在的入侵检测技术一般都是进行入侵特征的提取、合并和推理。其中有一些是传统的方法，比如模式匹配、统计模型等，有一些是从其他领域移植过来的方法，如模糊系统、神经网络、遗传算法、免疫系统、数据挖掘、数据融合、协议分析等。 5.1 入侵检测的基本原理和主要方法 为了介绍入侵检测的基本原理，我们首先介绍入侵检测系统的数据流程。入侵检测系统的数据流程图如下图所示。共分为以下五个模块：数据采集模块；数据预处理模块；分析模块模块；关联模块；管理模块。 1. 数据采集模块：为了进行入侵检测，首先要获取数据。数据的来源主要有：网络数据包、系统日志、操作系统审计迹、应用程序的日志等。 2. 数据预处理模块：从各种数据源采集上来的数据，需要经过预处理才能够加以分析。预处理的过程首先是去除一些明显无用的信息，其次是进行数据的分类，将同种类型的数据分在一起，然后，再将相关的数据进行合并，合并的过程中也可以再去除一些冗余、无用的信息。最后，预处理模块将这些数据进行格式转换，使得这些数据可以被分析模块识别和处理。 5.1 入侵检测的基本原理和主要方法(2) 3. 分析模块模块:分析模块是入侵检测系统的核心模块，它完成对事件的分析和处理。分析模块可以采用现有的各种方法对事件进行分析，在对事件进行分析后，确定该事件是否是攻击，如果是就产生报警，如果不能够确定，也要给出一个怀疑值。分析模块根据分析的结果，决定自己怀疑的数据是否要送给关联模块进行数据融合。 4. 关联模块:关联模块进行数据融合的主要目的就是综合不同分析模块送报上来的已给出怀疑值的事件，判断是否存在分布式攻击。 5. 管理模块:管理模块接到报警等信息后，决定是否采取响应，采取何种响应。 5.1 入侵检测的基本原理和主要方法(3) 入侵检测方法：IDS通常使用两种基本的分析方法来分析事件，检测入侵行为，这两种分析方法即误用检测（misuse detection）和异常检测（anomaly detection）。误用检测的目标是发现已知的入侵模式，它是大部分商业IDS产品采用的分析方法。异常分析方法则试图检测出系统行为的异常模式，在实际IDS中应用较少。 误用检测的目标是发现已知的入侵模式，它是大部分商业IDS产品采用的分析方法。异常分析方法则试图检测出系统行为的异常模式，在实际IDS中应用较少。两种分析方法各有自己的长处和缺点，最有效的IDS应该是主体技术使用误用检测，结合使用异常检测技术。 5.1 入侵检测的基本原理和主要方法(4) 误用检测: 是对不正常的行为进行建模，这些行为就是以前记录下来的确认了的误用或攻击。误用检测器分析系统的活动，发现那些与被预先定义好了的攻击特征相匹配的事件或事件集。由于与攻击相对应的模式叫特征，误用检测往往也被叫做基于特征的检测。 异常检测: 是对正常行为建模，所有不符合这个模型的事件就被怀疑为攻击。异常检测首先收集一段时期正常操作活动的历史数据，再建立代表用户、主机或网络连接的正常行为轮廓，然后收集事件数据并使用各种方法来决定所检测到的事件活动是否偏离了正常行为模式。这些方法主要有阈值检测、统计方法等。 5.1 入侵检测的基本原理和主要方法(5) 常用的入侵检测方法：10个 1．模式匹配 模式匹配的方法用于误用检测。它建立一个攻击特征库，然后检查发过来的数据是否包含这些攻击特征，如特定的命令等，然后判断它是不是攻击。这是最传统、最简单的入侵检测方法。它的算法简单，准确率高，缺点是只能检测已知攻击，模式库需要不断更新。另外对于高速大规模网络，由于要处理分析大量的数据包，这种方法的速度成问题。 我们可以举一个很简单的例子来说明模式匹配的方法。比如，下面的语句： Port 25:{“WIZ”|“DEBUG”} 就表示检查25号端口传送的数据中是否有“WIZ”或“DEBUG”关键字。 5.1 入侵检测的基本原理和主要方法(6) 常用的入侵检测方法：2．统计分析 统计分析用于异常检测。它通过设置极限阈值等方法，将检测数据与已有的正常行为比较，如果超出极限值，就认为是入侵行为。常用的入侵检测统计分析模型有： (1).操作模型: 该模型假设异常可通过测量结果与一些固定指标相比较得到，固定指标可以根据经验值或一段时间内的统计平均得到，举例来说，在短时间内的多次失败的登录很有可能是口令尝试攻击； (2).方差: 计算参数的方差，设定其置信区间，当测量值超过置信区间的范围时表明有可能是异常； (3). 多元模型: 操作模型