计算机网络安全邓亚平第10章入侵检测技术课件教学.pptVIP

网络攻击共经历了如下几个过程。 （1）攻击来源： （2）攻击工具： （3）访问系统方式： （4）攻击结束： （5）攻击者意图： （1）安全审计 安全审计机制的目标有以下几方面。 ① 为安全职员提供足够的信息使之能够将问题局限于局部，而信息量不足以以其为基础进行攻击。 ② 优化审计记录的内容，审计分析机制应该可以对一些特定资源辨认正常的行为。 （2）IDS的诞生 （1）IDA入侵检测模型操作规则 （2）IDA的处理流程 （3）Agent之间的协作 （4）系统自身安全 （5）基于Agent入侵检测模型实例研究 （6）基于Agent的入侵检测系统模型的特点 基于Rough Set理论，从决策表中寻找决策规则的一般步骤如下。 （1）数据预处理：包括删除重复记录，决策表补齐和数据离散化。 （2）删除多余属性，求出属性约简。 （3）删除多余的属性值，得到值约简。 （4）根据值约简求出逻辑规则。 图10.9 基于神经网络的入侵检测示意图 6．基于神经网络异常检测方法 7．基于贝叶斯聚类异常检测方法 8．基于机器学习异常检测方法 9．基于数据采掘异常检测方法 10.3.2 多用于误用入侵检测的技术 误用入侵检测的主要假设是具有能够被精确地按某种方式编码的攻击，并可以通过捕获攻击及重新整理，确认入侵活动是基于同一弱点进行攻击的入侵方法的变种。 1．基于条件概率误用入侵检测方法 2．基于专家系统误用入侵检测方法 3．基于状态迁移分析误用入侵检测方法 4．基于键盘监控误用入侵检测方法 5．基于模型误用入侵检测方法 10.3.3 基于Agent的入侵检测 无控制中心的多Agent结构，每个检测部件都是独立的检测单元，尽量降低了各检测部件间的相关性，不仅实现了数据收集的分布化，而且将入侵检测和实时响应分布化，真正实现了分布式检测的思想。 该模型的检测单元IDA是分布在网络系统的各个位置，每个IDA独立地检测系统或网络安全的一个方面，有独立的数据获取方式、运行模式或可选规则库，各IDA之间进行相互协作，对系统和网络用户的异常或可疑行为进行检测。 图10.10 基于Agent的入侵检测系统模型 10.3.4 入侵检测的新技术 1．基于生物免疫的入侵检测 基于生物免疫的入侵检测方法是通过模仿生物有机体的免疫系统工作机制，使得受保护 的系统能够将非自我（non self）的非法行为与自我（self）的合法行为区分开来。 基于生物免疫的入侵检测系统要遵循以下原则。 （1）分布式保护（Distributed Protection） （2）多样性（Diversity） （3）健壮性（Robustness） （4）适应性（Adaptability） （5）记忆性（Memory）。 （6）隐含的策略描述（Implicit Policy Specification）。 （7）灵活性（Flexibility） （8）可扩充性（Scalability） （9）异常检测 2．基因算法 3．数据挖掘 数据挖掘指从大量实体数据中抽出模型的处理。挖掘审计数据最有用的3种方法是分类、连接分析和顺序分析。 4．基于伪装的入侵检测 5．密罐技术 密罐技术就是建立一个虚假的网络，诱惑黑客攻击这个虚假的网络，从而达到保护真正网络的目的。 密罐技术对系统安全起到了以下三方面的作用。 （1）黑客会攻击虚假的网络而忽略真正的网络。 （2）收集黑客的信息和企图，帮助系统进行安全防护和检测，响应。 （3）消耗黑客的精力，让系统管理员有足够的时间去响应。 10.3.5 入侵检测系统面临的挑战和发展前景 入侵检测系统的发展方向有以下几个方面。 1．提高入侵检测的速度 2．硬件化 3．专业化 4．互联化 5．标准化 10.4 基于数据挖掘的智能化入侵检测系统设计 入侵检测的实质就是对审计数据进行分析和定性，数据挖掘强大的分析方法可以用于入侵检测的建模。使用数据挖掘中有关算法对审计数据进行关联分析和序列分析，可以挖掘出关联规则和序列规则。通过这种方法，管理员不再需要手动分析并编写入侵模式，也无需在建立正常使用模式时，凭经验去猜测其特征项，具有很好的可扩展性和适应性。 10.4.1 入侵检测系统体系结构以及模型 图10.11 系统体系结构模型图 10.4.2 数据预处理 主要提取的特征值有以下几个。 （1）网络连接特征 （2）连接的统计特征 对于入侵检测系统，尤其是在需要进行实时检测的情况下，适当的数据约简是必要的。 10.4.3 基于协议分析的检测方法 基于协议分析的检测方法，在进行TCP/IP解析以后，还要根据上层应用层的不同协议进行不同