【正文】 ? 修正 4. 指標(biāo) :漏報(bào) (false positive),錯(cuò)報(bào) (false negative) 異常檢測(cè) 異常檢測(cè) ? 如果系統(tǒng)錯(cuò)誤地將異常活動(dòng)定義為入侵，稱(chēng)為誤報(bào) (false positive) ；如果系統(tǒng)未能檢測(cè)出真正的入侵行為則稱(chēng)為 漏報(bào) (false negative)。 ? 特點(diǎn)：異常檢測(cè)系統(tǒng)的效率取決于用戶(hù)輪廓的完備性和監(jiān)控的頻率。因?yàn)椴恍枰獙?duì)每種入侵行為進(jìn)行定義，因此能有效檢測(cè)未知的入侵。同時(shí)系統(tǒng)能針對(duì)用戶(hù)行為的改變進(jìn)行自我調(diào)整和優(yōu)化，但隨著檢測(cè)模型的逐步精確，異常檢測(cè)會(huì)消耗更多的系統(tǒng)資源。 Anomaly Detection activity measures 0102030405060708090C P U P r oc e s sS i z en or m al p r of i l eab n or m alprobable intrusion Relatively high false positive rate anomalies can just be new normal activities. System Audit Metrics Pattern Matcher Intrusion Normal Activity No Signature Match Signature Match 誤用檢測(cè)模型 誤用檢測(cè) 1. 前提：所有的入侵行為都有可被檢測(cè)到的特征 2. 攻擊特征庫(kù) : 當(dāng)監(jiān)測(cè)的用戶(hù)或系統(tǒng)行為與庫(kù)中的記錄相匹配時(shí)，系統(tǒng)就認(rèn)為這種行為是入侵 3. 過(guò)程 監(jiān)控 ? 特征提取 ? 匹配 ? 判定 4. 指標(biāo) 錯(cuò)報(bào)低 漏報(bào)高 誤用檢測(cè) 誤用檢測(cè)模型 ? 如果入侵特征與正常的用戶(hù)行能匹配 ， 則系統(tǒng)會(huì)發(fā)生 誤報(bào) ；如果沒(méi)有特征能與某種新的攻擊行為匹配 ， 則系統(tǒng)會(huì)發(fā)生 漏報(bào) ? 特點(diǎn)： 采用特征匹配，濫用模式能明顯降低錯(cuò)報(bào)率，但漏報(bào)率隨之增加。攻擊特征的細(xì)微變化，會(huì)使得濫用檢測(cè)無(wú)能為力 Misuse Detection Intrusion Patterns activities pattern matching intrusion Can’t detect new attacks Example: if (src_ip == dst_ip) then “l(fā)and attack” 入侵檢測(cè)的分類(lèi) （ 2） ?按照數(shù)據(jù)來(lái)源： ?基于主機(jī)：系統(tǒng)獲取數(shù)據(jù)的依據(jù)是系統(tǒng)運(yùn)行所在的主機(jī)，保護(hù)的目標(biāo)也是系統(tǒng)運(yùn)行所在的主機(jī) ?基于網(wǎng)絡(luò)：系統(tǒng)獲取的數(shù)據(jù)是網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包，保護(hù)的是網(wǎng)絡(luò)的運(yùn)行 ?混合型 ? 監(jiān)視與分析主機(jī)的審計(jì)記錄 ? 可以不運(yùn)行在監(jiān)控主機(jī)上 ? 能否及時(shí)采集到審計(jì)記錄？ ? 如何保護(hù)作為攻擊目標(biāo)主機(jī)審計(jì)子系統(tǒng)？ 基于主機(jī) ? 在共享網(wǎng)段上對(duì)通信數(shù)據(jù)進(jìn)行偵聽(tīng)采集數(shù)據(jù) ? 主機(jī)資源消耗少 ? 提供對(duì)網(wǎng)絡(luò)通用的保護(hù) ? 如何適應(yīng)高速網(wǎng)絡(luò)環(huán)境？ ? 非共享網(wǎng)絡(luò)上如何采集數(shù)據(jù)？ 基于網(wǎng)絡(luò) 兩類(lèi) IDS監(jiān)測(cè)軟件 ? 網(wǎng)絡(luò) IDS ?偵測(cè)速度快 ?隱蔽性好 ?視野更寬 ?較少的監(jiān)測(cè)器 ?占資源少 ? 主機(jī) IDS ?視野集中 ?易于用戶(hù)自定義 ?保護(hù)更加周密 ?對(duì)網(wǎng)絡(luò)流量不敏感 入侵檢測(cè)的分類(lèi)（ 3） ?按系統(tǒng)各模塊的運(yùn)行方式 ?集中式：系統(tǒng)的各個(gè)模塊包括數(shù)據(jù)的收集分析集中在一臺(tái)主機(jī)上運(yùn)行 ?分布式：系統(tǒng)的各個(gè)模塊分布在不同的計(jì)算機(jī)和設(shè)備上 入侵檢測(cè)的分類(lèi)（ 4） ?根據(jù)時(shí)效性 ?脫機(jī)分析：行為發(fā)生后，對(duì)產(chǎn)生的數(shù)據(jù)進(jìn)行分析 ?聯(lián)機(jī)分析：在數(shù)據(jù)產(chǎn)生的同時(shí)或者發(fā)生改變時(shí)進(jìn)行分析 常用術(shù)語(yǔ) ? 當(dāng)一個(gè)入侵正在發(fā)生或者試圖發(fā)生時(shí)， IDS系統(tǒng)將發(fā)布一個(gè) alert信息通知系統(tǒng)管理員 ? 如果控制臺(tái)與 IDS系統(tǒng)同在一臺(tái)機(jī)器， alert信息將顯示在監(jiān)視器上，也可能伴隨著聲音提示 ? 如果是遠(yuǎn)程控制臺(tái)，那么 alert將通過(guò) IDS系統(tǒng)內(nèi)置方法（通常是加密的）、 SNMP（簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議，通常不加密）、 、 SMS（短信息）或者以上幾種方法的混合方式傳遞給管理員 Alert（ 警報(bào) ） Anomaly（ 異常 ） ? 當(dāng)有某個(gè)事件與一個(gè)已知攻擊的信號(hào)相匹配時(shí)，多數(shù)IDS都會(huì)告警 ? 一個(gè)基于 anomaly（異常）的 IDS會(huì)構(gòu)造一個(gè)當(dāng)時(shí)活動(dòng)的主機(jī)或網(wǎng)絡(luò)的大致輪廓，當(dāng)有一個(gè)在這個(gè)輪廓以外的事件發(fā)生時(shí)， IDS就會(huì)告警 ? 有些 IDS廠(chǎng)商將此方法看做啟發(fā)式功能，但一個(gè)啟發(fā)式的 IDS應(yīng)該在其推理判斷方面具有更多的智能 ? 首先，可以通過(guò)重新配置路由器和防火墻，拒絕那些來(lái)自同一地址的信息流 。其次，通過(guò)在網(wǎng)絡(luò)上發(fā)送 reset包切斷連接 ? 但是這兩種方式都有問(wèn)題，攻擊者可以反過(guò)來(lái)利用重新配置的設(shè)備，其方法是：通過(guò)偽裝成一個(gè)友方的地址來(lái)發(fā)動(dòng)攻擊，然后 IDS就會(huì)配置路由器和防火墻來(lái)拒絕這些地址，這樣實(shí)際上就是對(duì)“自己人”拒絕服務(wù)了 ? 發(fā)送 reset包的方法要求有一個(gè)活動(dòng)的網(wǎng)絡(luò)接口，這樣它將置于攻擊之下，一個(gè)補(bǔ)救的辦法是：使活動(dòng)網(wǎng)絡(luò)接口位于防火墻內(nèi)，或者使用專(zhuān)門(mén)的發(fā)包程序，從而避開(kāi)標(biāo)準(zhǔn) IP棧需求 Automated Response ? IDS的核心是攻擊特征，它使 IDS在事件發(fā)生時(shí)觸發(fā) ? 特征信息過(guò)短會(huì)經(jīng)常觸發(fā) IDS，導(dǎo)致誤報(bào)或錯(cuò)報(bào)，過(guò)長(zhǎng)則會(huì)減慢 IDS的工作速度 ? 有人將 IDS所支持的特征數(shù)視為 IDS好壞的標(biāo)準(zhǔn)，但是有的產(chǎn)商用一個(gè)特征涵蓋許多攻擊，而有些產(chǎn)商則會(huì)將這些特征單獨(dú)列出，這就會(huì)給人一種印象，好像它包含了更多的特征，是更好的 IDS Signatures（ 特征 ） Promiscuous（ 混雜模式 ） ? 默認(rèn)狀態(tài)下， IDS網(wǎng)絡(luò)接口只能看到進(jìn)出主機(jī)的信息，也就是所謂的 nonpromiscuous（非混雜模式） ? 如果網(wǎng)絡(luò)接口是混雜模式，就可以看到網(wǎng)段中所有的網(wǎng)絡(luò)通信量，不管其來(lái)源或目的地 ? 這對(duì)于網(wǎng)絡(luò) IDS是必要的，但同時(shí)可能被信息包嗅探器所利用來(lái)監(jiān)控網(wǎng)絡(luò)通信量 ? 交換型 HUB可以解決這個(gè)問(wèn)題，在能看到全面通信量的地方，會(huì)都許多跨越（ span）端口 1. 概述 ? 入侵檢測(cè)方法 3. 入侵檢測(cè)系統(tǒng)的設(shè)計(jì)原理 4. 入侵檢測(cè)響應(yīng)機(jī)制 5. 入侵檢測(cè)標(biāo)準(zhǔn)化工作 6. 其它 7. 展望 入侵檢測(cè)相關(guān)的數(shù)學(xué)模型 ?試驗(yàn)?zāi)Ｐ?（ Operational Model） ?平均值和標(biāo)準(zhǔn)差模型 （ Mean and Standard Deviation Model） : ?多變量模型 （ Multivariate Model） : 多個(gè)隨機(jī)變量的相關(guān)性計(jì)算 ， ?馬爾可夫過(guò)程模型 （ Markov Process Model） ：初始分布和概率轉(zhuǎn)移矩陣；預(yù)測(cè)新的事件的出現(xiàn)頻率太低 ， 則表明出現(xiàn)異常情況 。 ?時(shí)序模型 （ Time Series Model） ：該模型通過(guò)間隔計(jì)時(shí)器和資源計(jì)數(shù)器兩種類(lèi)型隨機(jī)變量參數(shù)之間的相隔時(shí)間和它們的值來(lái)判斷入侵 異常入侵檢測(cè)方法 ?統(tǒng)計(jì)異常檢測(cè) ?基于特征選擇異常檢測(cè) ?基于貝葉斯推理異常檢測(cè) ?基于貝葉斯網(wǎng)絡(luò)異常檢測(cè) ?基于模式預(yù)測(cè)異常檢測(cè) ?基于神經(jīng)網(wǎng)絡(luò)異常檢測(cè) ?基于貝葉斯聚類(lèi)異常檢測(cè) ?基于機(jī)器學(xué)習(xí)異常檢測(cè) ?基于數(shù)據(jù)挖掘異常檢測(cè) ?基于條件概率誤用檢測(cè) ?基于專(zhuān)家系統(tǒng)誤用檢測(cè) ?基于狀態(tài)遷移誤用檢測(cè) ?基于鍵盤(pán)監(jiān)控誤用檢測(cè) ?基于模型誤用檢測(cè) 誤用入侵檢測(cè)方法 基于誤用的入侵檢測(cè) ? 思想：主要是通過(guò)某種方式預(yù)先定義入侵行為，然后監(jiān)視系統(tǒng)，從中找出符合預(yù)先定義規(guī)則的入侵行為 ? 誤用信號(hào)需要對(duì)入侵的特征、環(huán)境、次序以及完成入侵的事件相互間的關(guān)系進(jìn)行描述 ? 重要問(wèn)題 ?（ 1）如何全面的描述攻擊的特征 ?（ 2）如何排除干擾，減小誤報(bào) ?（ 3）解決問(wèn)題的方式 其它 ?基于生物免疫檢測(cè) ?基于偽裝檢測(cè) 1. 概述 2. 入侵檢測(cè)方法 ? 入侵檢測(cè)系統(tǒng)的設(shè)計(jì)原理 4. 入侵檢測(cè)響應(yīng)機(jī)制 5. 入侵檢測(cè)標(biāo)準(zhǔn)化工作 6. 其它 7. 展望 活動(dòng) 數(shù)據(jù)源 感應(yīng)器 分析器 管理器 操作員 管理員 事件 警報(bào) 通 告 應(yīng)急 安全策略 安全策略 入侵檢測(cè)系統(tǒng)原理圖 攻擊模式庫(kù) 入侵檢測(cè)器 應(yīng)急措施 配置系統(tǒng)庫(kù) 數(shù)據(jù)采集 安全控制 系統(tǒng) 審計(jì)記錄 /協(xié)議數(shù)據(jù)等 系統(tǒng)操作 簡(jiǎn)單的入侵檢測(cè)示意圖 基于主機(jī)的入侵檢測(cè)系統(tǒng) ?系統(tǒng)分析主機(jī)產(chǎn)生的數(shù)據(jù)（應(yīng)用程序及操作系統(tǒng)的事件日志） ?由于內(nèi)