入侵检测基本概念检测算法基础.docVIP

入侵检测基本概念检测算法? 本文主要分为几个部分 1. 入侵检测基本概念 2. 入侵检测算法的理论研究发展 3. 入侵检测算法的一种实现尝试? 1. 入侵检测基本概念 入侵检测是一种通过收集和分析被保护系统的信息，从而发现入侵的技术。它的主要功能是对网络和计算机系统进行实时监控，发现和识别系统中的入侵行为或企图，给出入侵警报 入侵检测攻防对抗的观点 1. 要想完全避免安全事件的发生并不太现实，网络安全人员需要做的是尽力发现和察觉入侵及入侵企图(即具有高度的异常敏感性)，从长远的角度来看，安全的问题本来就是一个互相攻防对抗的过程。 1) 安全的攻防对抗没有一招解决所有问题的技术 2) 好的攻防思路是部署一种尽可能敏感的攻击事件捕获机制，当发生了已知、或者未知的攻击的事件时，我们能第一时间获取到关于本次攻击的尽可能多的元数据(强大的入侵检测机制) 3) 针对发生的攻击，采取针对性的防御，针对性地防御是最有效的方法(对CMS的漏洞进行针对性的代码修复、为系统的某个CVE漏洞打上补丁) 4) 在针对性防御的基础上，我们对一些解决方案进行归纳、总结，试图找到一种底层性的、归类性的安全解决方案(回想历史上微软的DEP、ASLR、SAFESEH技术) 2. 采取有效的措施来堵塞漏洞和修复系统 入侵检测的定义及分类 1. 定义: 1) 将入侵企图或威胁定义为未经授权蓄意尝试访问信息(SQL注入、横向/纵向越权访问、非法下载数据库/日志信息)、窜改信息(挂黑链、SQL注入)，使系统不可靠或不能使用(种植后门木马、webshell) 2) 入侵是指有关试图破坏资源的完整性、机密性及可用性的活动集合(安全的三大定义) 3) 从分类角度指出入侵包括: 3.1) 尝试性闯入(扫描行为) 3.2) 伪装攻击(代理、跳板攻击) 3.3) 安全控制系统渗透 3.4) 泄漏 3.5) 拒绝服务(DDOS) 3.6) 恶意使用(僵尸网络、rootkit后门) 2. 分类: 入侵检测技术主要分成两大类型 1) 异常入侵检测 能够根据异常行为和使用计算机资源情况检测出来的入侵，异常入侵检测试图用定量方式描述可接受的行为特征，以区分非正常的、潜在的入侵性行。 整个流程基本如下: 1.1) 建立威胁模型，包括: 1.1.1) 确定一个算法 1.1.2) 监控哪些事件的发生 1.1.3) 需要获取哪些数据 1.1.4) 对获取到的数据进行怎样的计算 1.1.5) 计算的结果的上线阈值是多少 1.1.6) 当超过这个阈值的时候，需要采取什么操作，是直接报警、还是采取权重打分的机制 1.2) 进行行为监控，并捕获数据 1.3) 对捕获的数据进行异步、或实时计算 1.4) 根据计算的结果采取相应的预设动作 2) 误用入侵检测 误用检测是指: 根据己知的攻击方法，预先定义入侵特征，通过判断这此特征是否出现来完成检测任务。误用检测中使用的检测技术主要有：模式匹配、专家系统、状态转移等，其中模式匹配原理简单，可扩展性好，而且最为常用。据统计，现在大约95%的入侵检测都是特征匹配的入侵检测 3. 异常入侵检测和误用入侵检测的异同点 1) 误用入侵检测根据己知的攻击方法，预先定义入侵特征，通过判断这此特征是否出现来完成检测任务 2) 异常入侵检测是检查出与正常行为相违背的行为，异常入侵检测的核心就是对合法的行为和可疑的行为进行二值逻辑区分 我个人觉得 误用入侵检测更多的是一种针对性防御，根据已知的POC、EXP攻击特征，指定针对性的匹配规则，例如: 1) WAF对WEB漏洞的URL特征建立的阻断规则库 2) 网络防火墙对DDOS等攻击的流量模式建立规则库 3) 杀软对已知病毒、shellcode的二进制特征、API调用特征建立规则库 而异常入侵检测更侧重于对已知、未知的异常行为进行捕获、判断，本文重点学习异常入侵检测 异常入侵检测方法 异常入侵检测的主要前提条件是将入侵性活动作为异常活动的子集。理想状况是异常活动集与入侵性活动集等同，这样，若能检测所有的异常活动，则可检测所有的入侵性活动。但是，入侵性活动并不总是与异常活动相符合，它们之间存在以下几种关系 1) 异常且入侵性(黑客攻击) 2) 异常但非入侵(误报) 3) 非异常但入侵(漏报) 4)