第11章网络与信息安全入侵检测系统.pptVIP

第11章 入侵检测系统;第11章 入侵检测技术;2.入侵检测系统的基本结构; 事件产生器:从整个计算环境中捕获事件信息，并向系统的其他组成部分提供该事件数据。 事件分析器:分析得到的事件数据，并产生分析结果。 响应单元:对分析结果做出反应的功能单元，它可以做出切断连接、改变文件属性等有效反应，当然也可以只是报警。 事件数据库:存放各种中间和最终数据的地方的统称，用于指导事件的分析及反应，它可以是复杂的数据库，也可以是简单的文本文件。;3.系统模型;主体：启动在目标系统上活动的实体，如用户，也可能是攻击者； 对象：系统资源，如系统中存储的文件、敏感数据、重要设备等； 审计记录：由〈对象、动作、异常条件、资源使用状况、时间戳〉构成的6元组。 活动简档：用于保存主体正常活动的信息，具体实现依赖于检测方法，在统计方法中可以从事件数量、频??、资源消耗等方面度量，通过使用方差、马尔可夫模型等统计方法实现。 异常记录：由〈事件、时间戳、活动简档〉组成，用于表示异常事件的发生情况 规则集处理引擎：主要检查入侵是否发生，并结合活动简档，用专家系统或统计方法等分析接收到的审计记录，调整内部规则或统计信息，在判断有入侵发生时采用相应的措施。;11.2入侵检测系统的分析方式;(2)异常检测 异常检测(Anomaly detection)的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统计规律时，认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。 ;2.常用检测方法 ;常用的入侵检测5种统计模型： ?● 操作模型，该模型假设异常可通过测量结果与一些固定指标相比较得到，固定指标可以根据经验值或一段时间内的统计平均得到； ● 方差，计算参数的方差，设定其置信区间，当测量值超过置信区间的范围时表明有可能是异常； ● 多元模型，操作模型的扩展，通过同时分析多个参数实现检测； ● 马尔柯夫过程模型，将每种类型的事件定义为系统状态，用状态转移矩阵来表示状态的变化，当一个事件发生时，或状态矩阵该转移的概率较小则可能是异常事件； ● 时间序列分析，将事件计数与资源耗用根据时间排成序列，如果一个新事件在该时间发生的概率较低，则该事件可能是入侵。 ;统计方法的最大优点是它可以“学习”用户的使用习惯，从而具有较高检出率与可用性。但是它的“学习”能力也给入侵者以机会通过逐步“训练”使入侵事件符合正常操作的统计规律，从而透过入侵检测系统。;(3)专家系统 用专家系统对入侵进行检测，经常是针对有特征入侵行为。所谓的规则，即是知识，不同的系统与设置具有不同的规则，且规则之间往往无通用性。专家系统的建立依赖于知识库的完备性，知识库的完备性又取决于审计记录的完备性与实时性。入侵的特征抽取与表达，是入侵检测专家系统的关键。在系统实现中，将有关入侵的知识转化为if-then结构（也可以是复合结构），条件部分为入侵特征，then部分是系统防范措施。运用专家系统防范有特征入侵行为的有效性完全取决于专家系统知识库的完备性;11.3入侵检测系统分类;(1) 主机入侵检测系统的优点： 主机入侵检测系统对分析“可能的攻击行为”非常有用，通常能够提供详尽的相关信息。 主机入侵检测系统比网络入侵检测系统误报率要低，因为检测在主机上运行的命令序列比检测网络流更简单，系统的复杂性也少得多。 主机入侵检测系统可部署在那些不需要广泛的入侵检测、传感器与控制台之间的通信带宽不足的情况下。主机入侵检测系统在不使用诸如“停止服务” “注销用户”等响应方法时风险较少。;(2)?主机入侵检测系统的弱点： ?主机入侵检测系统安装在我们需要保护的设备上。举例来说，当一个数据库服务器要保护时，就要在服务器上安装入侵检测系统。这会降低应用系统的效率。此外，它也会带来一些额外的安全问题，安装了主机入侵检测系统后，将本不允许安全管理员有权力访问的服务器变成他可以访问的了。 主机入侵检测系统的另一个问题是它依赖于服务器固有的日志与监视能力。如果服务器没有配置日志功能，则必需重新配置，这将会给运行中的业务系统带来不可预见的性能影响。 全面部署主机入侵检测系统代价较大，企业中很难将所有主机用主机入侵检测系统保护，只能选择部分主机保护。那些未安装主机入侵检测系统的机器将成为保护的盲点，入侵者可利用这些机器达到攻击目标。 主机入侵检测系统除了监测自身的主机以外，根本不监测网络上的情况。对入侵行为的分析的工作量将随着主机数目增加而增加。;2. 基于网络的入侵检测系统;(1) 网络入侵检测系统的优点 网络入侵检测系统能够检测那些来自网络的攻击，它