信息安全05_入侵檢測(cè)技術(shù)

1、第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 頁(yè)2021-12-30頁(yè)2021-12-30頁(yè)2021-12-30第第5章章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù)n內(nèi)容提要：內(nèi)容提要：入侵檢測(cè)概述入侵檢測(cè)的技術(shù)實(shí)現(xiàn)分布式入侵檢測(cè)入侵檢測(cè)系統(tǒng)的標(biāo)準(zhǔn)入侵檢測(cè)系統(tǒng)示例本章小結(jié)2021-12-301第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 頁(yè)2021-12-30頁(yè)2021-12-30頁(yè)2021-12-30n入侵檢測(cè)技術(shù)研究最早可追溯到入侵檢測(cè)技術(shù)研究最早可追溯到19801980年年James P.AdersonJames P.Aderson所所寫(xiě)的一份技術(shù)報(bào)告，他首先提出了入侵檢測(cè)的概念。寫(xiě)的一份技術(shù)報(bào)告，他首先提出了入侵

2、檢測(cè)的概念。n19871987年年Dorothy DenningDorothy Denning提出了入侵檢測(cè)系統(tǒng)（提出了入侵檢測(cè)系統(tǒng)（IDSIDS，Intrusion Detection SystemIntrusion Detection System）的抽象模型（如圖）的抽象模型（如圖5-15-1所示），所示），首次提出了入侵檢測(cè)可作為一種計(jì)算機(jī)系統(tǒng)安全防御措施的概首次提出了入侵檢測(cè)可作為一種計(jì)算機(jī)系統(tǒng)安全防御措施的概念念n與傳統(tǒng)的加密和訪問(wèn)控制技術(shù)相比，與傳統(tǒng)的加密和訪問(wèn)控制技術(shù)相比，IDSIDS是全新的計(jì)算機(jī)安全是全新的計(jì)算機(jī)安全措施。措施。返回本章首頁(yè)返回本章首頁(yè)入侵檢測(cè)發(fā)展歷史入侵檢

3、測(cè)發(fā)展歷史2021-12-302第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 頁(yè)2021-12-30頁(yè)2021-12-30頁(yè)2021-12-30返回本章首頁(yè)返回本章首頁(yè)入侵檢測(cè)發(fā)展歷史入侵檢測(cè)發(fā)展歷史2021-12-303第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 頁(yè)2021-12-30頁(yè)2021-12-30頁(yè)2021-12-30n19881988年年Teresa LuntTeresa Lunt等人進(jìn)一步改進(jìn)了等人進(jìn)一步改進(jìn)了DenningDenning提出的入侵檢提出的入侵檢測(cè)模型，并創(chuàng)建了測(cè)模型，并創(chuàng)建了IDESIDES（Intrusion Detection Expert SystemIntrus

4、ion Detection Expert System）n該系統(tǒng)用于檢測(cè)單一主機(jī)的入侵嘗試，提出了與系統(tǒng)平臺(tái)無(wú)關(guān)該系統(tǒng)用于檢測(cè)單一主機(jī)的入侵嘗試，提出了與系統(tǒng)平臺(tái)無(wú)關(guān)的實(shí)時(shí)檢測(cè)思想的實(shí)時(shí)檢測(cè)思想n19951995年開(kāi)發(fā)的年開(kāi)發(fā)的NIDESNIDES（Next-Generation Intrusion Next-Generation Intrusion Detection Expert SystemDetection Expert System）作為）作為IDESIDES完善后的版本可以檢測(cè)出完善后的版本可以檢測(cè)出多個(gè)主機(jī)上的入侵。多個(gè)主機(jī)上的入侵。返回本章首頁(yè)返回本章首頁(yè)入侵檢測(cè)發(fā)展歷史入侵檢

5、測(cè)發(fā)展歷史2021-12-304第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 頁(yè)2021-12-30頁(yè)2021-12-30頁(yè)2021-12-30n 19901990年，年，HeberleinHeberlein等人提出了一個(gè)具有里程碑意義等人提出了一個(gè)具有里程碑意義的新型概念：基于網(wǎng)絡(luò)的入侵檢測(cè)的新型概念：基于網(wǎng)絡(luò)的入侵檢測(cè)網(wǎng)絡(luò)安全監(jiān)視網(wǎng)絡(luò)安全監(jiān)視器器NSMNSM（Network Security MonitorNetwork Security Monitor）。）。n 19911991年年,NADIR,NADIR（Network Anomaly Detection Network Anomaly D

6、etection and Intrusion Reporterand Intrusion Reporter）與）與DIDSDIDS（Distribute Distribute Intrusion Detection SystemIntrusion Detection System）提出了通過(guò)收集和）提出了通過(guò)收集和合并處理來(lái)自多個(gè)主機(jī)的審計(jì)信息可以檢測(cè)出一系列合并處理來(lái)自多個(gè)主機(jī)的審計(jì)信息可以檢測(cè)出一系列針對(duì)主機(jī)的協(xié)同攻擊。針對(duì)主機(jī)的協(xié)同攻擊。返回本章首頁(yè)返回本章首頁(yè)入侵檢測(cè)發(fā)展歷史入侵檢測(cè)發(fā)展歷史2021-12-305第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 頁(yè)2021-12-30頁(yè)2021-

7、12-30頁(yè)2021-12-30n 19941994年，年，Mark CrosbieMark Crosbie和和Gene SpaffordGene Spafford建議使用自治代理建議使用自治代理（autonomous agentsautonomous agents）以提高）以提高IDSIDS的可伸縮性、可維護(hù)性、的可伸縮性、可維護(hù)性、效率和容錯(cuò)性，該理念非常符合計(jì)算機(jī)科學(xué)其他領(lǐng)域（如軟件效率和容錯(cuò)性，該理念非常符合計(jì)算機(jī)科學(xué)其他領(lǐng)域（如軟件代理，代理，software agentsoftware agent）正在進(jìn)行的相關(guān)研究。）正在進(jìn)行的相關(guān)研究。n 另一個(gè)致力于解決當(dāng)代絕大多數(shù)入侵檢測(cè)系

8、統(tǒng)伸縮性不足的方另一個(gè)致力于解決當(dāng)代絕大多數(shù)入侵檢測(cè)系統(tǒng)伸縮性不足的方法于法于19961996年提出，這就是年提出，這就是GrIDSGrIDS（Graph-based Intrusion Graph-based Intrusion Detection SystemDetection System）的設(shè)計(jì)和實(shí)現(xiàn)，該系統(tǒng)可以方便地檢測(cè)）的設(shè)計(jì)和實(shí)現(xiàn)，該系統(tǒng)可以方便地檢測(cè)大規(guī)模自動(dòng)或協(xié)同方式的網(wǎng)絡(luò)攻擊。大規(guī)模自動(dòng)或協(xié)同方式的網(wǎng)絡(luò)攻擊。返回本章首頁(yè)返回本章首頁(yè)入侵檢測(cè)發(fā)展歷史入侵檢測(cè)發(fā)展歷史2021-12-306第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 頁(yè)2021-12-30頁(yè)2021-12-30頁(yè)20

9、21-12-30n 入侵檢測(cè)技術(shù)研究的主要?jiǎng)?chuàng)新有：入侵檢測(cè)技術(shù)研究的主要?jiǎng)?chuàng)新有：pForrest等將免疫學(xué)原理運(yùn)用于分布式入侵檢測(cè)領(lǐng)域；p1998年Ross Anderson和Abida Khattak將信息檢索技術(shù)引進(jìn)入侵檢測(cè)；p以及采用狀態(tài)轉(zhuǎn)換分析、數(shù)據(jù)挖掘和遺傳算法等進(jìn)行誤用和異常檢測(cè)。返回本章首頁(yè)返回本章首頁(yè)入侵檢測(cè)發(fā)展歷史入侵檢測(cè)發(fā)展歷史2021-12-307第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 頁(yè)2021-12-30頁(yè)2021-12-30頁(yè)2021-12-305.1.1 入侵檢測(cè)原理入侵檢測(cè)原理 n 入侵檢測(cè)入侵檢測(cè)p入侵檢測(cè)是用于檢測(cè)任何損害或企圖損害系統(tǒng)的保密性、完整性或可用

10、性的一種網(wǎng)絡(luò)安全技術(shù)。p它通過(guò)監(jiān)視受保護(hù)系統(tǒng)的狀態(tài)和活動(dòng)，采用誤用檢測(cè)（Misuse Detection）或異常檢測(cè)（Anomaly Detection）的方式，發(fā)現(xiàn)非授權(quán)的或惡意的系統(tǒng)及網(wǎng)絡(luò)行為，為防范入侵行為提供有效的手段。返回本章首頁(yè)返回本章首頁(yè)2021-12-308第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 頁(yè)2021-12-30頁(yè)2021-12-30頁(yè)2021-12-30圖5-2 入侵檢測(cè)原理框圖 返回本章首頁(yè)返回本章首頁(yè)2021-12-309第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 頁(yè)2021-12-30頁(yè)2021-12-30頁(yè)2021-12-30n入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng) p執(zhí)行入侵檢

11、測(cè)任務(wù)的硬件或軟件產(chǎn)品 p入侵檢測(cè)提供了用于發(fā)現(xiàn)入侵攻擊與合法用戶濫用特權(quán)的一種方法。p其應(yīng)用前提是入侵行為和合法行為是可區(qū)分的，也即可以通過(guò)提取行為的模式特征來(lái)判斷該行為的性質(zhì)。n一般地，入侵檢測(cè)系統(tǒng)需要解決兩個(gè)問(wèn)題：一般地，入侵檢測(cè)系統(tǒng)需要解決兩個(gè)問(wèn)題：p如何充分并可靠地提取描述行為特征的數(shù)據(jù)；p如何根據(jù)特征數(shù)據(jù)，高效并準(zhǔn)確地判定行為的性質(zhì)。返回本章首頁(yè)返回本章首頁(yè)2021-12-3010第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 頁(yè)2021-12-30頁(yè)2021-12-30頁(yè)2021-12-305.1.2 系統(tǒng)結(jié)構(gòu)系統(tǒng)結(jié)構(gòu)n 由于網(wǎng)絡(luò)環(huán)境和系統(tǒng)安全策略的差異，入侵檢測(cè)系統(tǒng)由于網(wǎng)絡(luò)環(huán)境和系統(tǒng)安

12、全策略的差異，入侵檢測(cè)系統(tǒng)在具體實(shí)現(xiàn)上也有所不同。在具體實(shí)現(xiàn)上也有所不同。n 從系統(tǒng)構(gòu)成上看，入侵檢測(cè)系統(tǒng)應(yīng)包括從系統(tǒng)構(gòu)成上看，入侵檢測(cè)系統(tǒng)應(yīng)包括事件提取事件提取、入入侵分析侵分析、入侵響應(yīng)入侵響應(yīng)和和遠(yuǎn)程管理遠(yuǎn)程管理四大部分，另外還可能四大部分，另外還可能結(jié)合結(jié)合安全知識(shí)庫(kù)安全知識(shí)庫(kù)、數(shù)據(jù)存儲(chǔ)數(shù)據(jù)存儲(chǔ)等功能模塊，提供更為完等功能模塊，提供更為完善的善的安全檢測(cè)及數(shù)據(jù)分析功能安全檢測(cè)及數(shù)據(jù)分析功能（如圖（如圖5-35-3所示）。所示）。返回本章首頁(yè)返回本章首頁(yè)2021-12-3011第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 頁(yè)2021-12-30頁(yè)2021-12-30頁(yè)2021-12-30數(shù)據(jù)提

13、取入侵分析數(shù)據(jù)存儲(chǔ)響應(yīng)處理 原始數(shù)據(jù)流知識(shí)庫(kù)圖5-3 入侵檢測(cè)系統(tǒng)結(jié)構(gòu)返回本章首頁(yè)返回本章首頁(yè)2021-12-3012第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 頁(yè)2021-12-30頁(yè)2021-12-30頁(yè)2021-12-30n 入侵檢測(cè)的思想源于傳統(tǒng)的系統(tǒng)審計(jì)，但拓寬了傳統(tǒng)入侵檢測(cè)的思想源于傳統(tǒng)的系統(tǒng)審計(jì)，但拓寬了傳統(tǒng)審計(jì)的概念，它以近乎不間斷的方式進(jìn)行安全檢測(cè)，審計(jì)的概念，它以近乎不間斷的方式進(jìn)行安全檢測(cè)，從而可形成一個(gè)連續(xù)的檢測(cè)過(guò)程。從而可形成一個(gè)連續(xù)的檢測(cè)過(guò)程。n 這通常是通過(guò)執(zhí)行下列任務(wù)來(lái)實(shí)現(xiàn)的：這通常是通過(guò)執(zhí)行下列任務(wù)來(lái)實(shí)現(xiàn)的：p監(jiān)視、分析用戶及系統(tǒng)活動(dòng)；p系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)；p識(shí)

14、別分析知名攻擊的行為特征并告警；p異常行為特征的統(tǒng)計(jì)分析；p評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性；p操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略的行為。返回本章首頁(yè)返回本章首頁(yè)2021-12-3013第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 頁(yè)2021-12-30頁(yè)2021-12-30頁(yè)2021-12-305.1.3 系統(tǒng)分類(lèi)系統(tǒng)分類(lèi)n 由于功能和體系結(jié)構(gòu)的復(fù)雜性，入侵檢測(cè)按照不同的由于功能和體系結(jié)構(gòu)的復(fù)雜性，入侵檢測(cè)按照不同的標(biāo)準(zhǔn)有多種分類(lèi)方法。標(biāo)準(zhǔn)有多種分類(lèi)方法。n 可分別從可分別從數(shù)據(jù)源、檢測(cè)理論、檢測(cè)時(shí)效數(shù)據(jù)源、檢測(cè)理論、檢測(cè)時(shí)效三個(gè)方面來(lái)描三個(gè)方面來(lái)描述入侵檢測(cè)系統(tǒng)的類(lèi)型。述入侵檢測(cè)系統(tǒng)的

15、類(lèi)型。 返回本章首頁(yè)返回本章首頁(yè)2021-12-3014第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 頁(yè)2021-12-30頁(yè)2021-12-30頁(yè)2021-12-305.1.3 系統(tǒng)分類(lèi)系統(tǒng)分類(lèi)n1基于數(shù)據(jù)源的分類(lèi)基于數(shù)據(jù)源的分類(lèi) 通?？梢园讶肭謾z測(cè)系統(tǒng)分為五類(lèi)，即：通?？梢园讶肭謾z測(cè)系統(tǒng)分為五類(lèi)，即：p基于主機(jī)、p基于網(wǎng)絡(luò)、p混合入侵檢測(cè)、p基于網(wǎng)關(guān)p基于文件完整性檢測(cè)返回本章首頁(yè)返回本章首頁(yè)2021-12-3015第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 頁(yè)2021-12-30頁(yè)2021-12-30頁(yè)2021-12-302基于檢測(cè)理論的分類(lèi)基于檢測(cè)理論的分類(lèi) 從具體的檢測(cè)理論上來(lái)說(shuō)，入侵檢測(cè)又可

16、分為異常從具體的檢測(cè)理論上來(lái)說(shuō)，入侵檢測(cè)又可分為異常檢測(cè)和誤用檢測(cè)。檢測(cè)和誤用檢測(cè)。 異常檢測(cè)異常檢測(cè)（Anomaly DetectionAnomaly Detection）指根據(jù)使用者的行為或資源）指根據(jù)使用者的行為或資源使用狀況的正常程度來(lái)判斷是否入侵，而不依賴于具體行為是否使用狀況的正常程度來(lái)判斷是否入侵，而不依賴于具體行為是否出現(xiàn)來(lái)檢測(cè)。出現(xiàn)來(lái)檢測(cè)。 誤用檢測(cè)誤用檢測(cè)（Misuse DetectionMisuse Detection）指運(yùn)用已知攻擊方法，根據(jù)已）指運(yùn)用已知攻擊方法，根據(jù)已定義好的入侵模式，通過(guò)判斷這些入侵模式是否出現(xiàn)來(lái)檢測(cè)。定義好的入侵模式，通過(guò)判斷這些入侵模式是否出現(xiàn)

17、來(lái)檢測(cè)。 返回本章首頁(yè)返回本章首頁(yè)2021-12-3016第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 頁(yè)2021-12-30頁(yè)2021-12-30頁(yè)2021-12-303基于檢測(cè)時(shí)效的分類(lèi)基于檢測(cè)時(shí)效的分類(lèi) IDSIDS在處理數(shù)據(jù)的時(shí)候可以采用在處理數(shù)據(jù)的時(shí)候可以采用實(shí)時(shí)在線檢實(shí)時(shí)在線檢測(cè)方式測(cè)方式，也可以采用批處理方式，定時(shí)對(duì)處理，也可以采用批處理方式，定時(shí)對(duì)處理原始數(shù)據(jù)進(jìn)行原始數(shù)據(jù)進(jìn)行離線檢測(cè)離線檢測(cè)，這兩種方法各有特點(diǎn)，這兩種方法各有特點(diǎn)（如圖（如圖5-55-5所示）。所示）。離線檢測(cè)方式將一段時(shí)間內(nèi)的數(shù)據(jù)存儲(chǔ)起來(lái)，然后定離線檢測(cè)方式將一段時(shí)間內(nèi)的數(shù)據(jù)存儲(chǔ)起來(lái)，然后定時(shí)發(fā)給數(shù)據(jù)處理單元進(jìn)行分

18、析，如果在這段時(shí)間內(nèi)有時(shí)發(fā)給數(shù)據(jù)處理單元進(jìn)行分析，如果在這段時(shí)間內(nèi)有攻擊發(fā)生就報(bào)警。攻擊發(fā)生就報(bào)警。在線檢測(cè)方式的實(shí)時(shí)處理是大多數(shù)在線檢測(cè)方式的實(shí)時(shí)處理是大多數(shù)IDSIDS所采用的辦法，所采用的辦法，由于計(jì)算機(jī)硬件速度的提高，使得對(duì)攻擊的實(shí)時(shí)檢測(cè)由于計(jì)算機(jī)硬件速度的提高，使得對(duì)攻擊的實(shí)時(shí)檢測(cè)和響應(yīng)成為可能。和響應(yīng)成為可能。返回本章首頁(yè)返回本章首頁(yè)2021-12-3017第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 頁(yè)2021-12-30頁(yè)2021-12-30頁(yè)2021-12-30返回本章首頁(yè)返回本章首頁(yè)2021-12-3018第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 頁(yè)2021-12-30頁(yè)2021-

19、12-30頁(yè)2021-12-305.2 入侵檢測(cè)的技術(shù)實(shí)現(xiàn)入侵檢測(cè)的技術(shù)實(shí)現(xiàn) n 對(duì)于入侵檢測(cè)的研究，從早期的對(duì)于入侵檢測(cè)的研究，從早期的審計(jì)跟蹤數(shù)據(jù)分析審計(jì)跟蹤數(shù)據(jù)分析，到到實(shí)時(shí)入侵檢測(cè)系統(tǒng)實(shí)時(shí)入侵檢測(cè)系統(tǒng)，到目前應(yīng)用于大型網(wǎng)絡(luò)的，到目前應(yīng)用于大型網(wǎng)絡(luò)的分布分布式檢測(cè)系統(tǒng)式檢測(cè)系統(tǒng)，基本上已發(fā)展成為具有一定規(guī)模和相應(yīng)，基本上已發(fā)展成為具有一定規(guī)模和相應(yīng)理論的研究領(lǐng)域。理論的研究領(lǐng)域。n 入侵檢測(cè)的入侵檢測(cè)的核心問(wèn)題核心問(wèn)題在于如何對(duì)安全審計(jì)數(shù)據(jù)進(jìn)行分在于如何對(duì)安全審計(jì)數(shù)據(jù)進(jìn)行分析，以檢測(cè)其中是否包含入侵或異常行為的跡象。析，以檢測(cè)其中是否包含入侵或異常行為的跡象。n 這里，我們先從這里，我們

20、先從誤用檢測(cè)誤用檢測(cè)和和異常檢測(cè)異常檢測(cè)兩個(gè)方面介紹當(dāng)前關(guān)于入兩個(gè)方面介紹當(dāng)前關(guān)于入侵檢測(cè)技術(shù)的主流技術(shù)實(shí)現(xiàn)，然后對(duì)其它類(lèi)型的檢測(cè)技術(shù)作簡(jiǎn)侵檢測(cè)技術(shù)的主流技術(shù)實(shí)現(xiàn)，然后對(duì)其它類(lèi)型的檢測(cè)技術(shù)作簡(jiǎn)要介紹。要介紹。返回本章首頁(yè)返回本章首頁(yè)2021-12-3019第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 頁(yè)2021-12-30頁(yè)2021-12-30頁(yè)2021-12-305.2.1 入侵檢測(cè)分析模型入侵檢測(cè)分析模型 n 分析是入侵檢測(cè)的核心功能，它既能簡(jiǎn)單到像一個(gè)已分析是入侵檢測(cè)的核心功能，它既能簡(jiǎn)單到像一個(gè)已熟悉日志情況的管理員去建立決策表，也能復(fù)雜得像熟悉日志情況的管理員去建立決策表，也能復(fù)雜得像一個(gè)

21、集成了幾百萬(wàn)個(gè)處理的非參數(shù)系統(tǒng)。一個(gè)集成了幾百萬(wàn)個(gè)處理的非參數(shù)系統(tǒng)。n 入侵檢測(cè)的分析處理過(guò)程可分為三個(gè)階段：入侵檢測(cè)的分析處理過(guò)程可分為三個(gè)階段：構(gòu)建分析構(gòu)建分析器，對(duì)實(shí)際現(xiàn)場(chǎng)數(shù)據(jù)進(jìn)行分析，反饋和提煉過(guò)程器，對(duì)實(shí)際現(xiàn)場(chǎng)數(shù)據(jù)進(jìn)行分析，反饋和提煉過(guò)程。p其中，前兩個(gè)階段都包含三個(gè)功能：數(shù)據(jù)處理、數(shù)據(jù)分類(lèi)（數(shù)據(jù)可分為入侵指示、非入侵指示或不確定）和后處理。返回本章首頁(yè)返回本章首頁(yè)2021-12-3020第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 頁(yè)2021-12-30頁(yè)2021-12-30頁(yè)2021-12-305.2.2 5.2.2 誤用檢測(cè)（誤用檢測(cè)（Misuse DetectionMisuse D

22、etection） n 誤用檢測(cè)誤用檢測(cè)是按照是按照預(yù)定模式預(yù)定模式搜尋事件數(shù)據(jù)的，最適用于搜尋事件數(shù)據(jù)的，最適用于對(duì)對(duì)已知模式的可靠檢測(cè)已知模式的可靠檢測(cè)。n 執(zhí)行誤用檢測(cè)，主要執(zhí)行誤用檢測(cè)，主要依賴于依賴于可靠的用戶活動(dòng)記錄和分可靠的用戶活動(dòng)記錄和分析事件的方法。析事件的方法。1 1條件概率預(yù)測(cè)法條件概率預(yù)測(cè)法p條件概率預(yù)測(cè)法是基于統(tǒng)計(jì)理論來(lái)量化全部外部網(wǎng)絡(luò)事件序列中存在入侵事件的可能程度。()(|)(|)()P IntrusionP Intrusion EventSeqP EventSeq IntrusionP EventSeq( )(|)(| )( (| )(|) ( )(|)P IP

23、 Intrusion EventSeqP ES IP ES IP ESIP IP ESI2021-12-3021第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 頁(yè)2021-12-30頁(yè)2021-12-30頁(yè)2021-12-302產(chǎn)生式產(chǎn)生式/ /專(zhuān)家系統(tǒng)專(zhuān)家系統(tǒng)n 用用專(zhuān)家系統(tǒng)專(zhuān)家系統(tǒng)對(duì)入侵進(jìn)行檢測(cè)，主要是對(duì)入侵進(jìn)行檢測(cè)，主要是檢測(cè)基于特征檢測(cè)基于特征的入侵行為的入侵行為。n 專(zhuān)家系統(tǒng)的建立依賴于專(zhuān)家系統(tǒng)的建立依賴于知識(shí)庫(kù)的完備性知識(shí)庫(kù)的完備性，而知識(shí)庫(kù)，而知識(shí)庫(kù)的完備性又的完備性又取決于審計(jì)記錄的完備性與實(shí)時(shí)性取決于審計(jì)記錄的完備性與實(shí)時(shí)性。n 產(chǎn)生式產(chǎn)生式/ /專(zhuān)家系統(tǒng)是誤用檢測(cè)早期的方案之一，在

24、專(zhuān)家系統(tǒng)是誤用檢測(cè)早期的方案之一，在MIDASMIDAS、IDESIDES、NIDESNIDES、DIDSDIDS和和CMDSCMDS中都使用中都使用了這種方法。了這種方法。返回本章首頁(yè)返回本章首頁(yè)2021-12-3022第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 頁(yè)2021-12-30頁(yè)2021-12-30頁(yè)2021-12-303狀態(tài)轉(zhuǎn)換方法狀態(tài)轉(zhuǎn)換方法n 狀態(tài)轉(zhuǎn)換方法使用狀態(tài)轉(zhuǎn)換方法使用系統(tǒng)狀態(tài)系統(tǒng)狀態(tài)和和狀態(tài)轉(zhuǎn)換表達(dá)式狀態(tài)轉(zhuǎn)換表達(dá)式來(lái)描述來(lái)描述和檢測(cè)入侵，采用和檢測(cè)入侵，采用最優(yōu)模式匹配技巧最優(yōu)模式匹配技巧來(lái)結(jié)構(gòu)化誤用檢來(lái)結(jié)構(gòu)化誤用檢測(cè)，增強(qiáng)了檢測(cè)的速度和靈活性。測(cè)，增強(qiáng)了檢測(cè)的速度和靈活性

25、。n 目前，主要有三種實(shí)現(xiàn)方法：目前，主要有三種實(shí)現(xiàn)方法：狀態(tài)轉(zhuǎn)換分析、有色狀態(tài)轉(zhuǎn)換分析、有色Petri-NetPetri-Net和和語(yǔ)言語(yǔ)言/ /應(yīng)用編程接口應(yīng)用編程接口（APIAPI）。）。返回本章首頁(yè)返回本章首頁(yè)2021-12-3023第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 頁(yè)2021-12-30頁(yè)2021-12-30頁(yè)2021-12-30返回本章首頁(yè)返回本章首頁(yè)2021-12-3024第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 頁(yè)2021-12-30頁(yè)2021-12-30頁(yè)2021-12-305Keystroke Monitor和基于模型的方法和基于模型的方法n Keystroke Mon

26、itorKeystroke Monitor是一種簡(jiǎn)單的入侵檢測(cè)方法，它是一種簡(jiǎn)單的入侵檢測(cè)方法，它通過(guò)分析通過(guò)分析用戶擊鍵序列的模式用戶擊鍵序列的模式來(lái)檢測(cè)入侵行為，常用來(lái)檢測(cè)入侵行為，常用于對(duì)主機(jī)的入侵檢測(cè)。于對(duì)主機(jī)的入侵檢測(cè)。n 該方法具有明顯的缺點(diǎn)，該方法具有明顯的缺點(diǎn)，p首先，批處理或Shell程序可以不通過(guò)擊鍵而直接調(diào)用系統(tǒng)攻擊命令序列；p其次，操作系統(tǒng)通常不提供統(tǒng)一的擊鍵檢測(cè)接口，需通過(guò)額外的鉤子函數(shù)（Hook）來(lái)監(jiān)測(cè)擊鍵。返回本章首頁(yè)返回本章首頁(yè)2021-12-3025第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 頁(yè)2021-12-30頁(yè)2021-12-30頁(yè)2021-12-305.2

27、.3 異常檢測(cè)（異常檢測(cè)（Anomaly Detection） n 異常檢測(cè)基于一個(gè)假定：異常檢測(cè)基于一個(gè)假定：用戶的行為是可預(yù)測(cè)的、遵循一用戶的行為是可預(yù)測(cè)的、遵循一致性模式的，且隨著用戶事件的增加異常檢測(cè)會(huì)適應(yīng)用戶致性模式的，且隨著用戶事件的增加異常檢測(cè)會(huì)適應(yīng)用戶行為的變化。行為的變化。n 用戶行為的特征輪廓在異常檢測(cè)中是由用戶行為的特征輪廓在異常檢測(cè)中是由度量度量（measuremeasure）集集來(lái)描述，度量是特定網(wǎng)絡(luò)行為的定量表示，通常與某個(gè)來(lái)描述，度量是特定網(wǎng)絡(luò)行為的定量表示，通常與某個(gè)檢測(cè)閥值或某個(gè)域相聯(lián)系。檢測(cè)閥值或某個(gè)域相聯(lián)系。p 異常檢測(cè)可發(fā)現(xiàn)未知的攻擊方法，體現(xiàn)了強(qiáng)健的保

28、護(hù)機(jī)制，p 但對(duì)于給定的度量集能否完備到表示所有的異常行為？仍需要深入研究。返回本章首頁(yè)返回本章首頁(yè)2021-12-3026第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 頁(yè)2021-12-30頁(yè)2021-12-30頁(yè)2021-12-301Denning的原始模型的原始模型 Dorothy Denning于于1986年給出了入侵檢測(cè)年給出了入侵檢測(cè)的的IDES模型，她認(rèn)為在一個(gè)系統(tǒng)中可以包括模型，她認(rèn)為在一個(gè)系統(tǒng)中可以包括四四個(gè)統(tǒng)計(jì)模型個(gè)統(tǒng)計(jì)模型，每個(gè)模型適合于一個(gè)，每個(gè)模型適合于一個(gè)特定類(lèi)型的系特定類(lèi)型的系統(tǒng)度量統(tǒng)度量。 （1）可操作模型）可操作模型 （2）平均和標(biāo)準(zhǔn)偏差模型）平均和標(biāo)準(zhǔn)偏差模型 （

29、3）多變量模型）多變量模型 （4）Markov處理模型處理模型 返回本章首頁(yè)返回本章首頁(yè)2021-12-3027第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 頁(yè)2021-12-30頁(yè)2021-12-30頁(yè)2021-12-302量化分析量化分析n 異常檢測(cè)最常用的方法就是異常檢測(cè)最常用的方法就是將檢驗(yàn)規(guī)則和屬性以數(shù)值將檢驗(yàn)規(guī)則和屬性以數(shù)值形式表示的量化分析形式表示的量化分析，這種度量方法在，這種度量方法在DenningDenning的可的可操作模型中有所涉及。操作模型中有所涉及。n 量化分析通過(guò)采用從量化分析通過(guò)采用從簡(jiǎn)單的加法到比較復(fù)雜的密碼學(xué)簡(jiǎn)單的加法到比較復(fù)雜的密碼學(xué)計(jì)算計(jì)算得到的結(jié)果作為誤用檢

30、測(cè)和異常檢測(cè)統(tǒng)計(jì)模型的得到的結(jié)果作為誤用檢測(cè)和異常檢測(cè)統(tǒng)計(jì)模型的基礎(chǔ)?；A(chǔ)。n 常用量化方法常用量化方法 （1）閥值檢驗(yàn)）閥值檢驗(yàn) （2）基于目標(biāo)的集成檢查）基于目標(biāo)的集成檢查 （3）量化分析和數(shù)據(jù)精簡(jiǎn)）量化分析和數(shù)據(jù)精簡(jiǎn) 返回本章首頁(yè)返回本章首頁(yè)2021-12-3028第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 頁(yè)2021-12-30頁(yè)2021-12-30頁(yè)2021-12-303統(tǒng)計(jì)度量統(tǒng)計(jì)度量 n 統(tǒng)計(jì)度量方法統(tǒng)計(jì)度量方法是產(chǎn)品化的入侵檢測(cè)系統(tǒng)中常用的方法，是產(chǎn)品化的入侵檢測(cè)系統(tǒng)中常用的方法，常見(jiàn)于異常檢測(cè)。常見(jiàn)于異常檢測(cè)。n 運(yùn)用統(tǒng)計(jì)方法，有效地解決了四個(gè)問(wèn)題：運(yùn)用統(tǒng)計(jì)方法，有效地解決了四個(gè)

31、問(wèn)題：p（1）選取有效的統(tǒng)計(jì)數(shù)據(jù)測(cè)量點(diǎn)，生成能夠反映主體特征的會(huì)話向量；p（2）根據(jù)主體活動(dòng)產(chǎn)生的審計(jì)記錄，不斷更新當(dāng)前主體活動(dòng)的會(huì)話向量；p（3）采用統(tǒng)計(jì)方法分析數(shù)據(jù)，判斷當(dāng)前活動(dòng)是否符合主體的歷史行為特征；p（4）隨著時(shí)間推移，學(xué)習(xí)主體的行為特征，更新歷史記錄。返回本章首頁(yè)返回本章首頁(yè)2021-12-3029第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 頁(yè)2021-12-30頁(yè)2021-12-30頁(yè)2021-12-304非參數(shù)統(tǒng)計(jì)度量非參數(shù)統(tǒng)計(jì)度量n 非參數(shù)統(tǒng)計(jì)方法通過(guò)使用非參數(shù)統(tǒng)計(jì)方法通過(guò)使用非數(shù)據(jù)區(qū)分技術(shù)非數(shù)據(jù)區(qū)分技術(shù)，尤其是，尤其是群群集分析技術(shù)集分析技術(shù)來(lái)分析參數(shù)方法無(wú)法考慮的系統(tǒng)度量。

32、來(lái)分析參數(shù)方法無(wú)法考慮的系統(tǒng)度量。n 群集分析的基本思想是，根據(jù)評(píng)估標(biāo)準(zhǔn)（也稱為特性）群集分析的基本思想是，根據(jù)評(píng)估標(biāo)準(zhǔn)（也稱為特性）將將收集到的大量歷史數(shù)據(jù)（一個(gè)樣本集）組織成群收集到的大量歷史數(shù)據(jù)（一個(gè)樣本集）組織成群，通過(guò)預(yù)處理過(guò)程，將與通過(guò)預(yù)處理過(guò)程，將與具體事件流具體事件流（經(jīng)常映射為一個(gè)（經(jīng)常映射為一個(gè)具體用戶）相關(guān)的特性轉(zhuǎn)化為具體用戶）相關(guān)的特性轉(zhuǎn)化為向量向量表示，再采用表示，再采用群集群集算法算法將彼此比較相近的向量成員組織成一個(gè)將彼此比較相近的向量成員組織成一個(gè)行為類(lèi)行為類(lèi)p這樣使用該分析技術(shù)的實(shí)驗(yàn)結(jié)果將會(huì)表明用何種方式構(gòu)成的群可以可靠地對(duì)用戶的行為進(jìn)行分組并識(shí)別。返回本章首

33、頁(yè)返回本章首頁(yè)2021-12-3030第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 頁(yè)2021-12-30頁(yè)2021-12-30頁(yè)2021-12-305基于規(guī)則的方法基于規(guī)則的方法n 上面討論的異常檢測(cè)主要基于上面討論的異常檢測(cè)主要基于統(tǒng)計(jì)方法統(tǒng)計(jì)方法，異常檢測(cè)的，異常檢測(cè)的另一個(gè)變種就是另一個(gè)變種就是基于規(guī)則基于規(guī)則的方法。的方法。n 與統(tǒng)計(jì)方法不同的是基于規(guī)則的檢測(cè)使用與統(tǒng)計(jì)方法不同的是基于規(guī)則的檢測(cè)使用規(guī)則集規(guī)則集來(lái)來(lái)表表示和存儲(chǔ)使用模式示和存儲(chǔ)使用模式。 （1 1）Wisdom&SenseWisdom&Sense方法方法 （2 2）基于時(shí)間的引導(dǎo)機(jī)（）基于時(shí)間的引導(dǎo)機(jī)（TIM

34、TIM）返回本章首頁(yè)返回本章首頁(yè)2021-12-3031第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 頁(yè)2021-12-30頁(yè)2021-12-30頁(yè)2021-12-305.2.4 其它檢測(cè)技術(shù)其它檢測(cè)技術(shù) n這些技術(shù)不能簡(jiǎn)單地歸類(lèi)為誤用檢測(cè)或是異常檢測(cè)，這些技術(shù)不能簡(jiǎn)單地歸類(lèi)為誤用檢測(cè)或是異常檢測(cè)，而是提供了一種有別于傳統(tǒng)入侵檢測(cè)視角的技術(shù)層次，而是提供了一種有別于傳統(tǒng)入侵檢測(cè)視角的技術(shù)層次，例如免疫系統(tǒng)、基因算法、數(shù)據(jù)挖掘、基于代理例如免疫系統(tǒng)、基因算法、數(shù)據(jù)挖掘、基于代理（AgentAgent）的檢測(cè)等）的檢測(cè)等p它們或者提供了更具普遍意義的分析技術(shù)，或者提出了新的檢測(cè)系統(tǒng)架構(gòu)，因此無(wú)論對(duì)于誤用

35、檢測(cè)還是異常檢測(cè)來(lái)說(shuō)，都可以得到很好的應(yīng)用。返回本章首頁(yè)返回本章首頁(yè)2021-12-3032第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 頁(yè)2021-12-30頁(yè)2021-12-30頁(yè)2021-12-301神經(jīng)網(wǎng)絡(luò)（神經(jīng)網(wǎng)絡(luò)（Neural Network） n 作為人工智能（作為人工智能（AIAI）的一個(gè)重要分支，神經(jīng)網(wǎng)絡(luò)）的一個(gè)重要分支，神經(jīng)網(wǎng)絡(luò)（Neural NetworkNeural Network）在入侵檢測(cè)領(lǐng)域得到了很好的）在入侵檢測(cè)領(lǐng)域得到了很好的應(yīng)用應(yīng)用n 它使用它使用自適應(yīng)學(xué)習(xí)技術(shù)自適應(yīng)學(xué)習(xí)技術(shù)來(lái)提取異常行為的特征，需來(lái)提取異常行為的特征，需要對(duì)要對(duì)訓(xùn)練數(shù)據(jù)集進(jìn)行學(xué)習(xí)以得出正常的行為

36、模式訓(xùn)練數(shù)據(jù)集進(jìn)行學(xué)習(xí)以得出正常的行為模式。p這種方法要求保證用于學(xué)習(xí)正常模式的訓(xùn)練數(shù)據(jù)的純潔性，即不包含任何入侵或異常的用戶行為。 返回本章首頁(yè)返回本章首頁(yè)2021-12-3033第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 頁(yè)2021-12-30頁(yè)2021-12-30頁(yè)2021-12-302免疫學(xué)方法免疫學(xué)方法nNew MexicoNew Mexico大學(xué)的大學(xué)的Stephanie ForrestStephanie Forrest提出了將生物提出了將生物免疫機(jī)制引入計(jì)算機(jī)系統(tǒng)的安全保護(hù)框架中。免疫機(jī)制引入計(jì)算機(jī)系統(tǒng)的安全保護(hù)框架中。n免疫系統(tǒng)中最基本也是最重要的能力是免疫系統(tǒng)中最基本也是最重要的

37、能力是識(shí)別識(shí)別“自我自我/ /非自我非自我”（self/nonselfself/nonself），換句話講，它能夠識(shí)別），換句話講，它能夠識(shí)別哪些組織是屬于正常機(jī)體的，不屬于正常的就認(rèn)為是哪些組織是屬于正常機(jī)體的，不屬于正常的就認(rèn)為是異常，這個(gè)概念和入侵檢測(cè)中異常檢測(cè)的概念非常相異常，這個(gè)概念和入侵檢測(cè)中異常檢測(cè)的概念非常相似。似。 返回本章首頁(yè)返回本章首頁(yè)2021-12-3034第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 頁(yè)2021-12-30頁(yè)2021-12-30頁(yè)2021-12-303數(shù)據(jù)挖掘方法數(shù)據(jù)挖掘方法n ColumbiaColumbia大學(xué)的大學(xué)的Wenke LeeWenke Lee

38、在其博士論文中，提出在其博士論文中，提出了將數(shù)據(jù)挖掘（了將數(shù)據(jù)挖掘（Data Mining, DMData Mining, DM）技術(shù)應(yīng)用到入）技術(shù)應(yīng)用到入侵檢測(cè)中，通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)和主機(jī)系統(tǒng)調(diào)用數(shù)據(jù)的分侵檢測(cè)中，通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)和主機(jī)系統(tǒng)調(diào)用數(shù)據(jù)的分析挖掘，發(fā)現(xiàn)誤用檢測(cè)規(guī)則或異常檢測(cè)模型。析挖掘，發(fā)現(xiàn)誤用檢測(cè)規(guī)則或異常檢測(cè)模型。n 具體的工作包括利用具體的工作包括利用數(shù)據(jù)挖掘中的關(guān)聯(lián)算法和序列挖數(shù)據(jù)挖掘中的關(guān)聯(lián)算法和序列挖掘算法提取用戶的行為模式掘算法提取用戶的行為模式，利用，利用分類(lèi)算法對(duì)用戶行分類(lèi)算法對(duì)用戶行為和特權(quán)程序的系統(tǒng)調(diào)用進(jìn)行分類(lèi)預(yù)測(cè)為和特權(quán)程序的系統(tǒng)調(diào)用進(jìn)行分類(lèi)預(yù)測(cè)。n 實(shí)驗(yàn)結(jié)果表

39、明，這種方法在入侵檢測(cè)領(lǐng)域有很好的應(yīng)實(shí)驗(yàn)結(jié)果表明，這種方法在入侵檢測(cè)領(lǐng)域有很好的應(yīng)用前景。用前景。返回本章首頁(yè)返回本章首頁(yè)2021-12-3035第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 頁(yè)2021-12-30頁(yè)2021-12-30頁(yè)2021-12-304基因算法基因算法n 基因算法是進(jìn)化算法（基因算法是進(jìn)化算法（evolutionary algorithmsevolutionary algorithms）的一種，引入了達(dá)爾文在進(jìn)化論中提出的自然選擇的一種，引入了達(dá)爾文在進(jìn)化論中提出的自然選擇的概念（優(yōu)勝劣汰、適者生存）對(duì)系統(tǒng)進(jìn)行優(yōu)化。的概念（優(yōu)勝劣汰、適者生存）對(duì)系統(tǒng)進(jìn)行優(yōu)化。該算法對(duì)于處理多

40、維系統(tǒng)的優(yōu)化是非常有效的。該算法對(duì)于處理多維系統(tǒng)的優(yōu)化是非常有效的。n 在基因算法的研究人員看來(lái)，入侵檢測(cè)的過(guò)程可以在基因算法的研究人員看來(lái)，入侵檢測(cè)的過(guò)程可以抽象為：抽象為：為審計(jì)事件記錄定義一種向量表示形式，為審計(jì)事件記錄定義一種向量表示形式，這種向量或者對(duì)應(yīng)于攻擊行為，或者代表正常行為。這種向量或者對(duì)應(yīng)于攻擊行為，或者代表正常行為。 返回本章首頁(yè)返回本章首頁(yè)2021-12-3036第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 頁(yè)2021-12-30頁(yè)2021-12-30頁(yè)2021-12-305基于代理的檢測(cè)基于代理的檢測(cè)n近年來(lái)，一種基于近年來(lái)，一種基于AgentAgent的檢測(cè)技術(shù)（的檢測(cè)技

41、術(shù)（Agent-Based Agent-Based DetectionDetection）逐漸引起研究者的重視。）逐漸引起研究者的重視。n所謂所謂AgentAgent，實(shí)際上可以看作是在，實(shí)際上可以看作是在執(zhí)行某項(xiàng)特定監(jiān)視執(zhí)行某項(xiàng)特定監(jiān)視任務(wù)的軟件實(shí)體任務(wù)的軟件實(shí)體。n基于基于AgentAgent的入侵檢測(cè)系統(tǒng)的靈活性保證它可以為保的入侵檢測(cè)系統(tǒng)的靈活性保證它可以為保障系統(tǒng)的安全提供混合式的架構(gòu)，綜合運(yùn)用誤用檢測(cè)障系統(tǒng)的安全提供混合式的架構(gòu)，綜合運(yùn)用誤用檢測(cè)和異常檢測(cè)，從而彌補(bǔ)兩者各自的缺陷。和異常檢測(cè)，從而彌補(bǔ)兩者各自的缺陷。返回本章首頁(yè)返回本章首頁(yè)2021-12-3037第五章第五章 入侵

42、檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 頁(yè)2021-12-30頁(yè)2021-12-30頁(yè)2021-12-305.3 分布式入侵檢測(cè)分布式入侵檢測(cè) n 分布式入侵檢測(cè)（分布式入侵檢測(cè)（Distributed Intrusion DetectionDistributed Intrusion Detection）是目前入侵檢測(cè)乃至整個(gè)網(wǎng)絡(luò)安全領(lǐng)域的熱點(diǎn)之一。是目前入侵檢測(cè)乃至整個(gè)網(wǎng)絡(luò)安全領(lǐng)域的熱點(diǎn)之一。n 到目前為止到目前為止，還沒(méi)有，還沒(méi)有嚴(yán)格意義上的分布式入侵檢測(cè)的商業(yè)嚴(yán)格意義上的分布式入侵檢測(cè)的商業(yè)化產(chǎn)品，但研究人員已經(jīng)提出并完成了多個(gè)原型系統(tǒng)?；a(chǎn)品，但研究人員已經(jīng)提出并完成了多個(gè)原型系統(tǒng)。n 通常采用的方法中

43、，一種是通常采用的方法中，一種是對(duì)現(xiàn)有的對(duì)現(xiàn)有的IDSIDS進(jìn)行規(guī)模上的擴(kuò)進(jìn)行規(guī)模上的擴(kuò)展展，另一種則通過(guò)，另一種則通過(guò)IDSIDS之間的信息共享之間的信息共享來(lái)實(shí)現(xiàn)。來(lái)實(shí)現(xiàn)。n 具體的處理方法上也分為兩種：具體的處理方法上也分為兩種：p分布式信息收集、集中式處理；p分布式信息收集、分布式處理。返回本章首頁(yè)返回本章首頁(yè)2021-12-3038第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 頁(yè)2021-12-30頁(yè)2021-12-30頁(yè)2021-12-305.3.1 分布式入侵檢測(cè)的優(yōu)勢(shì)分布式入侵檢測(cè)的優(yōu)勢(shì) n分布式入侵檢測(cè)由于采用了非集中的系統(tǒng)結(jié)構(gòu)分布式入侵檢測(cè)由于采用了非集中的系統(tǒng)結(jié)構(gòu)和處理方式，相

44、對(duì)于傳統(tǒng)的單機(jī)和處理方式，相對(duì)于傳統(tǒng)的單機(jī)IDSIDS具有一些具有一些明顯的優(yōu)勢(shì)：明顯的優(yōu)勢(shì)： （1 1）檢測(cè)大范圍的攻擊行為）檢測(cè)大范圍的攻擊行為 （2 2）提高檢測(cè)的準(zhǔn)確度）提高檢測(cè)的準(zhǔn)確度 （3 3）提高檢測(cè)效率）提高檢測(cè)效率 （4 4）協(xié)調(diào)響應(yīng)措施）協(xié)調(diào)響應(yīng)措施返回本章首頁(yè)返回本章首頁(yè)2021-12-3039第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 頁(yè)2021-12-30頁(yè)2021-12-30頁(yè)2021-12-305.3.2 分布式入侵檢測(cè)的技術(shù)難點(diǎn)分布式入侵檢測(cè)的技術(shù)難點(diǎn) n 與傳統(tǒng)的單機(jī)與傳統(tǒng)的單機(jī)IDSIDS相比較，分布式入侵檢測(cè)系統(tǒng)具有明顯的優(yōu)相比較，分布式入侵檢測(cè)系統(tǒng)具有明顯的

45、優(yōu)勢(shì)。然而，勢(shì)。然而，在實(shí)現(xiàn)分布檢測(cè)組件的信息共享和協(xié)作上在實(shí)現(xiàn)分布檢測(cè)組件的信息共享和協(xié)作上，卻存在，卻存在著一些技術(shù)難點(diǎn)。著一些技術(shù)難點(diǎn)。 n Stanford Research InstituteStanford Research Institute（SRISRI）在對(duì)）在對(duì)EMERALDEMERALD系統(tǒng)的系統(tǒng)的研究中，列舉了分布式入侵檢測(cè)必須關(guān)注的關(guān)鍵問(wèn)題：研究中，列舉了分布式入侵檢測(cè)必須關(guān)注的關(guān)鍵問(wèn)題：p 事件產(chǎn)生及存儲(chǔ)、p 狀態(tài)空間管理p 規(guī)則復(fù)雜度p 知識(shí)庫(kù)管理p 推理技術(shù)。 返回本章首頁(yè)返回本章首頁(yè)2021-12-3040第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 頁(yè)2021-1

46、2-30頁(yè)2021-12-30頁(yè)2021-12-305.3.3 分布式入侵檢測(cè)現(xiàn)狀分布式入侵檢測(cè)現(xiàn)狀 盡管分布式入侵檢測(cè)存在技術(shù)和其它層面的盡管分布式入侵檢測(cè)存在技術(shù)和其它層面的難點(diǎn)，但由于其相對(duì)于傳統(tǒng)的單機(jī)難點(diǎn)，但由于其相對(duì)于傳統(tǒng)的單機(jī)IDS所具有所具有的優(yōu)勢(shì)，目前已經(jīng)成為這一領(lǐng)域的研究熱點(diǎn)。的優(yōu)勢(shì)，目前已經(jīng)成為這一領(lǐng)域的研究熱點(diǎn)。1Snortnetn 它通過(guò)對(duì)傳統(tǒng)的它通過(guò)對(duì)傳統(tǒng)的單機(jī)單機(jī)IDSIDS進(jìn)行規(guī)模上的擴(kuò)展進(jìn)行規(guī)模上的擴(kuò)展，使系統(tǒng)具備分布，使系統(tǒng)具備分布式檢測(cè)的能力，是式檢測(cè)的能力，是基于模式匹配基于模式匹配的分布式入侵檢測(cè)系統(tǒng)的一個(gè)的分布式入侵檢測(cè)系統(tǒng)的一個(gè)具體實(shí)現(xiàn)。具體實(shí)現(xiàn)。n

47、 主要包括三個(gè)組件：主要包括三個(gè)組件：網(wǎng)絡(luò)感應(yīng)器、代理守護(hù)程序網(wǎng)絡(luò)感應(yīng)器、代理守護(hù)程序和和監(jiān)視控制臺(tái)監(jiān)視控制臺(tái)。返回本章首頁(yè)返回本章首頁(yè)2021-12-3041第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 頁(yè)2021-12-30頁(yè)2021-12-30頁(yè)2021-12-302Agent-Based n 基于基于Agent的的IDS由于其良好的靈活性和擴(kuò)展性，是由于其良好的靈活性和擴(kuò)展性，是分布式入侵檢測(cè)的一個(gè)重要研究方向。分布式入侵檢測(cè)的一個(gè)重要研究方向。n 國(guó)外一些研究機(jī)構(gòu)在這方面已經(jīng)做了大量工作，其中國(guó)外一些研究機(jī)構(gòu)在這方面已經(jīng)做了大量工作，其中Purdue大學(xué)的入侵檢測(cè)自治代理（大學(xué)的入侵檢測(cè)自

48、治代理（AAFID）和）和SRI的的EMERALD最具代表性。最具代表性。pAAFID的體系結(jié)構(gòu)如圖5-10所示，其特點(diǎn)是形成了一個(gè)基于代理的分層順序控制和報(bào)告結(jié)構(gòu)。 返回本章首頁(yè)返回本章首頁(yè)2021-12-3042第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 頁(yè)2021-12-30頁(yè)2021-12-30頁(yè)2021-12-30返回本章首頁(yè)返回本章首頁(yè)2021-12-3043第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 頁(yè)2021-12-30頁(yè)2021-12-30頁(yè)2021-12-303DIDSnDIDS(Distributed Intrusion Detection System)DIDS(Distrib

49、uted Intrusion Detection System)是是由由UC DavisUC Davis的的Security LabSecurity Lab完成的，它集成了兩種完成的，它集成了兩種已有的入侵檢測(cè)系統(tǒng)，已有的入侵檢測(cè)系統(tǒng)，HaystackHaystack和和NSMNSM。pHaystack由Tracor Applied Sciences and Haystack實(shí)驗(yàn)室針對(duì)多用戶主機(jī)的檢測(cè)任務(wù)而開(kāi)發(fā)，數(shù)據(jù)源來(lái)自主機(jī)的系統(tǒng)日志。pNSM則是由UC Davis開(kāi)發(fā)的網(wǎng)絡(luò)安全監(jiān)視器，通過(guò)對(duì)數(shù)據(jù)包、連接記錄、應(yīng)用層會(huì)話的分析，結(jié)合入侵特征庫(kù)和正常的網(wǎng)絡(luò)流或會(huì)話記錄的模式庫(kù)，判斷當(dāng)前的網(wǎng)絡(luò)行

50、為是否包含入侵或異常。 返回本章首頁(yè)返回本章首頁(yè)2021-12-3044第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 頁(yè)2021-12-30頁(yè)2021-12-30頁(yè)2021-12-304GrIDS n GrIDSGrIDS（Graph-based Intrusion Detection Graph-based Intrusion Detection SystemSystem）同樣由）同樣由UC DavisUC Davis提出并實(shí)現(xiàn)提出并實(shí)現(xiàn)p該系統(tǒng)實(shí)現(xiàn)了一種在大規(guī)模網(wǎng)絡(luò)中使用圖形化表示的方法來(lái)描述網(wǎng)絡(luò)行為的途徑，其設(shè)計(jì)目標(biāo)主要針對(duì)大范圍的網(wǎng)絡(luò)攻擊，例如掃描、協(xié)同攻擊、網(wǎng)絡(luò)蠕蟲(chóng)等。pGrIDS的缺陷在

51、于只是給出了網(wǎng)絡(luò)連接的圖形化表示，具體的入侵判斷仍然需要人工完成，而且系統(tǒng)的有效性和效率都有待驗(yàn)證和提高。 返回本章首頁(yè)返回本章首頁(yè)2021-12-3045第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 頁(yè)2021-12-30頁(yè)2021-12-30頁(yè)2021-12-305Intrusion Strategy n BoeingBoeing公司的公司的Ming-Yuh HuangMing-Yuh Huang提出提出n 從從入侵者的目的（入侵者的目的（Intrusion IntentionIntrusion Intention），或者是），或者是入侵策略（入侵策略（Intrusion StrategyInt

52、rusion Strategy）入手）入手，確定如何在，確定如何在不同的不同的IDSIDS組件之間進(jìn)行協(xié)作檢測(cè)。組件之間進(jìn)行協(xié)作檢測(cè)。n 通過(guò)對(duì)入侵策略的分析通過(guò)對(duì)入侵策略的分析調(diào)整審計(jì)策略和參數(shù)調(diào)整審計(jì)策略和參數(shù)，構(gòu)成，構(gòu)成自適應(yīng)的審計(jì)檢測(cè)系統(tǒng)自適應(yīng)的審計(jì)檢測(cè)系統(tǒng)。 返回本章首頁(yè)返回本章首頁(yè)2021-12-3046第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 頁(yè)2021-12-30頁(yè)2021-12-30頁(yè)2021-12-306數(shù)據(jù)融合（數(shù)據(jù)融合（Data Fusion）n Timm BassTimm Bass提出將數(shù)據(jù)融合（提出將數(shù)據(jù)融合（Data FusionData Fusion）的概）的概念

53、應(yīng)用到入侵檢測(cè)中，從而將分布式入侵檢測(cè)任務(wù)理念應(yīng)用到入侵檢測(cè)中，從而將分布式入侵檢測(cè)任務(wù)理解為解為在層次化模型下在層次化模型下對(duì)對(duì)多個(gè)感應(yīng)器的數(shù)據(jù)綜合問(wèn)題多個(gè)感應(yīng)器的數(shù)據(jù)綜合問(wèn)題。n 在這個(gè)層次化模型中，入侵檢測(cè)的數(shù)據(jù)源經(jīng)歷了從在這個(gè)層次化模型中，入侵檢測(cè)的數(shù)據(jù)源經(jīng)歷了從數(shù)數(shù)據(jù)（據(jù)（DataData）到到信息（信息（InformationInformation）再到再到知識(shí)知識(shí)（KnowledgeKnowledge）三個(gè)邏輯抽象層次。三個(gè)邏輯抽象層次。 返回本章首頁(yè)返回本章首頁(yè)2021-12-3047第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 頁(yè)2021-12-30頁(yè)2021-12-30頁(yè)2021

54、-12-307 7基于抽象（基于抽象（Abstraction-basedAbstraction-based）的方法）的方法 n GMUGMU的的Peng NingPeng Ning在其博士論文中提出了一種基在其博士論文中提出了一種基于抽象（于抽象（Abstraction-basedAbstraction-based）的分布式入侵檢）的分布式入侵檢測(cè)系統(tǒng)，基本思想是：測(cè)系統(tǒng)，基本思想是：p設(shè)立中間層（system view），提供與具體系統(tǒng)無(wú)關(guān)的抽象信息，用于分布式檢測(cè)系統(tǒng)中的信息共享p抽象信息的內(nèi)容包括事件信息（event）以及系統(tǒng)實(shí)體間的斷言（dynamic predicate）。n 中間層

55、用于表示中間層用于表示IDSIDS間的共享信息的表示方式：間的共享信息的表示方式：pIDS檢測(cè)到的攻擊或者IDS無(wú)法處理的事件信息作為event，IDS或受IDS監(jiān)控的系統(tǒng)的狀態(tài)則作為dynamic predicates。 返回本章首頁(yè)返回本章首頁(yè)2021-12-3048第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 頁(yè)2021-12-30頁(yè)2021-12-30頁(yè)2021-12-305.4 入侵檢測(cè)系統(tǒng)的標(biāo)準(zhǔn)入侵檢測(cè)系統(tǒng)的標(biāo)準(zhǔn) n 從從2020世紀(jì)世紀(jì)9090年代到現(xiàn)在，入侵檢測(cè)系統(tǒng)的研發(fā)呈現(xiàn)出百家爭(zhēng)年代到現(xiàn)在，入侵檢測(cè)系統(tǒng)的研發(fā)呈現(xiàn)出百家爭(zhēng)鳴的繁榮局面，并在鳴的繁榮局面，并在智能化智能化和和分布式分

56、布式兩個(gè)方向取得了長(zhǎng)足的進(jìn)兩個(gè)方向取得了長(zhǎng)足的進(jìn)展。展。n 為了提高為了提高IDSIDS產(chǎn)品、組件及與其他安全產(chǎn)品之間的互操作性，產(chǎn)品、組件及與其他安全產(chǎn)品之間的互操作性，DARPADARPA和和IETFIETF的入侵檢測(cè)工作組（的入侵檢測(cè)工作組（IDWGIDWG）分別發(fā)起制訂了）分別發(fā)起制訂了一系列一系列建議草案建議草案，從，從體系結(jié)構(gòu)、體系結(jié)構(gòu)、APIAPI、通信機(jī)制、語(yǔ)言格式、通信機(jī)制、語(yǔ)言格式等等方面來(lái)規(guī)范方面來(lái)規(guī)范IDSIDS的標(biāo)準(zhǔn)。的標(biāo)準(zhǔn)。 pDARPA提出了公共入侵檢測(cè)框架CIDF，最早由加州大學(xué)戴維斯分校的安全實(shí)驗(yàn)室起草；pIDWG提出了三項(xiàng)建議草案IDMEF、 IDXP、 T

57、unnel Profile返回本章首頁(yè)返回本章首頁(yè)2021-12-3049第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 頁(yè)2021-12-30頁(yè)2021-12-30頁(yè)2021-12-305.4.1 IETF/IDWG nIDWGIDWG定義了用于入侵檢測(cè)與響應(yīng)（定義了用于入侵檢測(cè)與響應(yīng)（IDRIDR）系）系統(tǒng)之間或與需要交互的管理系統(tǒng)之間的信息共統(tǒng)之間或與需要交互的管理系統(tǒng)之間的信息共享所需要的享所需要的數(shù)據(jù)格式數(shù)據(jù)格式和和交換規(guī)程交換規(guī)程。nIDWGIDWG提出了三項(xiàng)建議草案：提出了三項(xiàng)建議草案：p入侵檢測(cè)消息交換格式（IDMEF）、p入侵檢測(cè)交換協(xié)議（IDXP）p隧道輪廓（Tunnel Prof

58、ile）。 返回本章首頁(yè)返回本章首頁(yè)2021-12-3050第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 頁(yè)2021-12-30頁(yè)2021-12-30頁(yè)2021-12-305.4.2 CIDF nCIDFCIDF的工作集中體現(xiàn)在四個(gè)方面：的工作集中體現(xiàn)在四個(gè)方面：IDSIDS的體系的體系結(jié)構(gòu)、通信機(jī)制、描述語(yǔ)言結(jié)構(gòu)、通信機(jī)制、描述語(yǔ)言和和應(yīng)用編程接口應(yīng)用編程接口APIAPI。 nCIDFCIDF在在IDESIDES和和NIDESNIDES的基礎(chǔ)上提出了一個(gè)通的基礎(chǔ)上提出了一個(gè)通用模型，將入侵檢測(cè)系統(tǒng)分為四個(gè)基本組件：用模型，將入侵檢測(cè)系統(tǒng)分為四個(gè)基本組件：事件產(chǎn)生器、事件分析器、響應(yīng)單元和事件數(shù)事件

59、產(chǎn)生器、事件分析器、響應(yīng)單元和事件數(shù)據(jù)庫(kù)據(jù)庫(kù)。其結(jié)構(gòu)如圖。其結(jié)構(gòu)如圖5-155-15所示。所示。 返回本章首頁(yè)返回本章首頁(yè)2021-12-3051第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 頁(yè)2021-12-30頁(yè)2021-12-30頁(yè)2021-12-30返回本章首頁(yè)返回本章首頁(yè)2021-12-3052第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 頁(yè)2021-12-30頁(yè)2021-12-30頁(yè)2021-12-305.5 入侵檢測(cè)系統(tǒng)示例入侵檢測(cè)系統(tǒng)示例 為了直觀地理解入侵檢測(cè)的使用、配置等情況，為了直觀地理解入侵檢測(cè)的使用、配置等情況，這里我們以這里我們以SnortSnort為例，對(duì)構(gòu)建以為例，對(duì)構(gòu)建以

60、SnortSnort為基礎(chǔ)的入為基礎(chǔ)的入侵檢測(cè)系統(tǒng)做概要介紹。侵檢測(cè)系統(tǒng)做概要介紹。 返回本章首頁(yè)返回本章首頁(yè)2021-12-3053第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 頁(yè)2021-12-30頁(yè)2021-12-30頁(yè)2021-12-305.5.1 Snort簡(jiǎn)介簡(jiǎn)介nSnort Snort 是一個(gè)開(kāi)放源代碼的免費(fèi)軟件，它基于是一個(gè)開(kāi)放源代碼的免費(fèi)軟件，它基于libpcap libpcap 的數(shù)據(jù)包嗅探器的數(shù)據(jù)包嗅探器，并可以作為一個(gè)輕，并可以作為一個(gè)輕量級(jí)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)（量級(jí)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)（NIDSNIDS）。）。 nSnortSnort具有很多優(yōu)勢(shì)：具有很多優(yōu)勢(shì)：p代碼短小、易于安裝、便于配置。