【正文】 活性保證它可以為保障系統(tǒng)的安全提供混合式的架構(gòu) ， 綜合運用誤用檢測和異常檢測 ，從而彌補兩者各自的缺陷 。 該算法對于處理多維系統(tǒng)的優(yōu)化是非常有效的 。 返回本章首頁 第五章 入侵檢測技術(shù) 3． 數(shù)據(jù)挖掘方法 Columbia大學(xué)的 Wenke Lee在其博士論文中 ，提出了將數(shù)據(jù)挖掘 （ Data Mining, DM） 技術(shù)應(yīng)用到入侵檢測中 ， 通過對網(wǎng)絡(luò)數(shù)據(jù)和主機(jī)系統(tǒng)調(diào)用數(shù)據(jù)的分析挖掘 ， 發(fā)現(xiàn)誤用檢測規(guī)則或異常檢測模型 。 返回本章首頁 第五章 入侵檢測技術(shù) 1． 神經(jīng)網(wǎng)絡(luò) （ Neural Network） 作為人工智能 （ AI） 的一個重要分支 ， 神經(jīng)網(wǎng)絡(luò) （ Neural Network） 在入侵檢測領(lǐng)域得到了很好的應(yīng)用 ， 它使用自適應(yīng)學(xué)習(xí)技術(shù)來提取異常行為的特征 ， 需要對訓(xùn)練數(shù)據(jù)集進(jìn)行學(xué)習(xí)以得出正常的行為模式 。 返回本章首頁 第五章 入侵檢測技術(shù) 5． 基于規(guī)則的方法 上面討論的異常檢測主要基于統(tǒng)計方法 ， 異常檢測的另一個變種就是基于規(guī)則的方法 。 （ 1） 閥值檢驗 （ 2） 基于目標(biāo)的集成檢查 （ 3） 量化分析和數(shù)據(jù)精簡 返回本章首頁 第五章 入侵檢測技術(shù) 3． 統(tǒng)計度量 統(tǒng)計度量方法是產(chǎn)品化的入侵檢測系統(tǒng)中常用的方法 ， 常見于異常檢測 。 異常檢測可發(fā)現(xiàn)未知的攻擊方法 ， 體現(xiàn)了強健的保護(hù)機(jī)制 ， 但對于給定的度量集能否完備到表示所有的異常行為仍需要深入研究 。 主要缺陷 – 增加了創(chuàng)建入侵檢測模型的開銷。隨著一些腳本被確認(rèn)的次數(shù)增多，另一些腳本被確認(rèn)的 次數(shù)減少，攻擊腳本不斷地得到更新。 此方法的要點是建立攻擊腳本庫、預(yù)警器和決策分析器。 返回本章首頁 第五章 入侵檢測技術(shù) 6． 基于模型推理的方法 基于模型的方法是：入侵者在攻擊一個系統(tǒng)的時候往往采用一定的行為序列 ， 如猜測口令的行為序列 ， 這種序列構(gòu)成了具有一定行為特征的模型 ， 根據(jù)這種模型代表的攻擊意圖的行為特征 ， 可以實時地檢測出惡意的攻擊企圖 。 假設(shè)入侵對應(yīng)特定的擊鍵序列模式，然后監(jiān)測用戶擊鍵模式，并將 這一模式與入侵模式匹配從而檢測入侵行為。 第五章 入侵檢測技術(shù) 4． 用于批模式分析的信息檢索技術(shù) 當(dāng)前大多數(shù)入侵檢測都是通過對事件數(shù)據(jù)的實時收集和分析來發(fā)現(xiàn)入侵的 ， 然而在攻擊被證實之后 ， 要從大量的審計數(shù)據(jù)中尋找證據(jù)信息 ，就 必 須 借 助 于 信 息 檢 索 （ IR， Information Retrieval） 技術(shù) ， IR技術(shù)當(dāng)前廣泛應(yīng)用于 WWW的搜索引擎上 。 由于處理速度的優(yōu)勢和系統(tǒng)的靈活性，狀態(tài)轉(zhuǎn)移分析法已成為當(dāng)今 最具競爭力的入侵檢測模型之一。 返回本章首頁 第五章 入侵檢測技術(shù) 3． 狀態(tài)轉(zhuǎn)換方法 將入侵過程看作一個行為序列，這個行為序列導(dǎo)致系統(tǒng)從初始狀態(tài) 轉(zhuǎn)入被入侵狀態(tài)。這種方法的缺陷是，需要經(jīng)常為新發(fā)現(xiàn)的系統(tǒng)漏洞更新知識庫。其中 ifthen結(jié)構(gòu)構(gòu)成了描述具體攻擊的規(guī)則庫，狀態(tài)行為及其語義環(huán)境可根據(jù)審計事件得到，推理機(jī)根據(jù)規(guī)則和行為完成判斷工作。 產(chǎn)生式 /專家系統(tǒng)是誤用檢測早期的方案之一 ，在 MIDAS、 IDES、 NIDES、 DIDS和 CMDS中都使用了這種方法 。 將入侵方式對應(yīng)于一個事件序列，然后通過觀測到的事件發(fā)生情況 來推測入侵的出現(xiàn)，其依據(jù)是外部事件序列，根據(jù)貝葉斯定理進(jìn)行推 理檢測入侵。 其中 ， 前兩個階段都包含三個功能：數(shù)據(jù)處理 、 數(shù)據(jù)分類 （ 數(shù)據(jù)可分為入侵指示 、 非入侵指示或不確定 ） 和后處理 。 入侵檢測的核心問題在于如何對安全審計數(shù)據(jù)進(jìn)行分析 ， 以檢測其中是否包含入侵或異常行為的跡象 。 返回本章首頁 第五章 入侵檢測技術(shù) 3． 基于檢測時效的分類 IDS在處理數(shù)據(jù)的時候可以采用 實時在線檢測方式 ， 也可以采用批處理方式 ， 定時對處理原始數(shù)據(jù)進(jìn)行 離線檢測 ， 這兩種方法各有特點 （ 如圖 55所示 ） 。 通過訓(xùn)練這些主體 ，并觀察系統(tǒng)行為 ， 然后將這些主體認(rèn)為是異常的行為標(biāo)記出來 。所以，該系統(tǒng)比基于主機(jī)的系統(tǒng)更容易受到攻擊。 ?主要優(yōu)點 – 可以監(jiān)控應(yīng)用程序和用戶之間的操作，有能力檢測出哪個用戶超越自己的權(quán)限。 – 一些系統(tǒng)在處理碎片包的網(wǎng)絡(luò)攻擊時可能會導(dǎo)致入侵檢測系統(tǒng)運行不穩(wěn)定，甚至崩潰。 ?主要缺點： – 在高速網(wǎng)絡(luò)上，可能會處理不了所有的數(shù)據(jù)包，從而有的攻擊可能會檢測不到。 – 對現(xiàn)有網(wǎng)絡(luò)的影響比較小。 – 可管理性差，因為不同的系統(tǒng)使用不同的操作系統(tǒng)。 ?主要缺點： – 可以使用系統(tǒng)特權(quán)或調(diào)用比審計本身更低級的操作來逃避審計。 – 可以看到基于網(wǎng)絡(luò)的 IDS看不到的、發(fā)生在主機(jī)上的事件。 1． 基于數(shù)據(jù)源的分類 通?？梢园讶肭謾z測系統(tǒng)分為五類 ， 即基于主機(jī) 、 基于網(wǎng)絡(luò) 、 混合入侵檢測 、 基于網(wǎng)關(guān)的入侵檢測系統(tǒng)以及文件完整性檢查系統(tǒng) 。 返回本章首頁 第五章 入侵檢測技術(shù) 數(shù)據(jù)提取入侵分析 數(shù)據(jù)存儲響應(yīng)處理 原始數(shù)據(jù)流知識庫圖 53 入侵檢測系統(tǒng)結(jié)構(gòu) 返回本章首頁 第五章 入侵檢測技術(shù) 入侵檢測的思想源于傳統(tǒng)的系統(tǒng)審計 ， 但拓寬了傳統(tǒng)審計的概念 ， 它以近乎不間斷的方式進(jìn)行安全檢測 ， 從而可形成一個連續(xù)的檢測過程 。 其應(yīng)用前提是入侵行為和合法行為是可區(qū)分的 ， 也即可以通過提取行為的模式特征來判斷該行為的性質(zhì) 。 入侵檢測是用于檢測任何損害或企圖損害系統(tǒng)的保密性 、 完整性或可用性的一種網(wǎng)絡(luò)安全技術(shù) 。DIDS是分布式入侵檢測系統(tǒng)歷史上的一個里程碑式的產(chǎn)品 ，它的檢測模型采用了分層結(jié)構(gòu) ， 分?jǐn)?shù)據(jù) 、 事件 、 主體 、 上下文 、 威脅 、 安全狀態(tài)等 6層 。 該系統(tǒng)第一次直接將網(wǎng)絡(luò)流作為審計數(shù)據(jù)來源 ， 因而可以在不將審計數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一格式的情況下監(jiān)控異種主機(jī) 。 (6)活動規(guī)則 (Active Rule)：判斷是否為入侵的推則及相應(yīng)要采取的行動。 (4)活動檔案 (Active Profile)：即系統(tǒng)正常行為模型，保存系統(tǒng)正?；顒拥挠嘘P(guān)信息。 (3)審計記錄 (Audit records)：內(nèi)主體、活動 (Action)、異常條件 (Exception—Condition)、資源使用狀況 (Resource—Usage)和時間戳 (Time Stamp)等組成。 1988年， SRI／ CSL的 Teresa Lunt等改進(jìn)了 Denning的入侵檢測模型，并實際開發(fā)出了一個 IDES。這份報告被公認(rèn)為是入侵檢測的開山之作。他提出了一種對計算機(jī)系統(tǒng)風(fēng)險和威脅的分類方法，并將威脅分為外部滲透、內(nèi)部滲透和不法行為三種，還提出了利用審計跟蹤數(shù)據(jù)監(jiān)視入侵活動的思想。它獨立于特定的系統(tǒng)平臺、應(yīng)用環(huán)境、系統(tǒng)弱點以及入侵類型，為構(gòu)建入侵檢測系統(tǒng)提供了一個通用的框架。 (2)對象 (objects)：指系統(tǒng)資源，如文件、設(shè)備、命令等。資源使用狀況是指系統(tǒng)的資源消耗情況。 (5)異常記錄 (Anomaly Record)：由事件、時間戳和審計記錄組成，表示異常事件的發(fā)生情況。 這一年 ， 加州大學(xué)戴維斯分校的 等開發(fā)出了 NSM(Network Security Monitor)。 美國空軍 、 國家安全局和能源部共同資助空軍密碼支持中心 、 勞倫斯利弗摩爾國家實驗室 、 加州大學(xué)戴維斯分校 、 Haystack實驗室 ， 開展對分布式入侵檢測系統(tǒng) DIDS（ Distribute Intrusion Detection System）的研究 ， 將基于主機(jī)和基于網(wǎng)絡(luò)的檢測方法集成到一起 。 返回本章首頁 第五章 入侵檢測技術(shù) 入侵檢測原理 圖 52給出了入侵檢測的基本原理圖 。 入侵檢測提供了用于發(fā)現(xiàn)入侵攻擊與合法用戶濫用特權(quán)的一種方法 。 從系統(tǒng)構(gòu)成上看 ， 入侵檢測系統(tǒng)應(yīng)包括事件提取 、 入侵分析 、入侵響應(yīng)和遠(yuǎn)程管理四大部分 ， 另外還可能結(jié)合安全知識庫 、 數(shù)據(jù)存儲等功能模塊 ， 提供更為完善的安全檢測及數(shù)據(jù)分析功能 （ 如圖 53所示 ） 。 可分別從數(shù)據(jù)源 、檢測理論 、 檢測時效三個方面來描述入侵檢測系統(tǒng)的類型 。 攻 擊 模 式 庫配 置 系 統(tǒng) 庫入 侵 檢 測 器 應(yīng) 急 措 施主 機(jī) 系 統(tǒng)報 警審 計 記 錄系 統(tǒng) 操 作第五章 入侵檢測技術(shù) 基于主機(jī)型（ HIDS） ?主要優(yōu)點： – 既可以檢測到遠(yuǎn)程入侵，也可以檢測到本地入侵。 – 通過處理操作系統(tǒng)的審計記錄，可以檢測出特洛伊木馬或者其它有關(guān)軟件完整性破壞的攻擊。 – 只能對服務(wù)器的特定用戶、特定應(yīng)用程序執(zhí)行操作，能檢測到的攻擊類型受限制。 分 析 引 擎 器安 全 配 置 構(gòu) 造 器探 測 器 探 測 器網(wǎng) 絡(luò) 接 口網(wǎng) 絡(luò) 安 全 數(shù) 據(jù) 庫第五章 入侵檢測技術(shù) 基于網(wǎng)絡(luò)型（ NIDS） ?主要優(yōu)點： – 可以監(jiān)控多臺主機(jī)。 – 服務(wù)器平臺相對獨立，配置簡單，能適應(yīng)眾多的攻擊模式。 – 多數(shù)系統(tǒng)不能確定一次攻擊是否成功，只能檢測出攻擊者使用某種方法進(jìn)行攻擊。由于具有對特定應(yīng)用程序的知識，還與應(yīng)用程序有直接接口，因此可以發(fā)現(xiàn)用戶超越自己的權(quán)限的可疑行為。 ?主要缺點 – 由于應(yīng)用程序的記錄文件受到的保護(hù)沒有操作系統(tǒng)的審計記錄受到的保護(hù)緊密。 第五章 入侵檢測技術(shù) 分布式 IDS（ DIDS） 美國普度大學(xué)安全研究小組首先提出了基于主體的入侵檢測系統(tǒng)軟件結(jié)構(gòu) ， 其主要方法是采用相互獨立并獨立于系統(tǒng)而運行的進(jìn)程組 ， 這些進(jìn)程被稱為自治主體。 誤用檢測 （ Misuse Detection） 指運用已知攻擊方法 ， 根據(jù)已定義好的入侵模式 ， 通過判斷這些入侵模式是否出現(xiàn)來檢測 。 返回本章首頁 第五章 入侵檢測技術(shù) 學(xué) 學(xué)學(xué) 學(xué)學(xué) 學(xué) 學(xué)學(xué) 學(xué) 學(xué) 學(xué) 學(xué) 學(xué) 學(xué)學(xué) 學(xué)學(xué) 學(xué) 學(xué) 學(xué)學(xué) 學(xué) 學(xué) 學(xué)學(xué) 學(xué) 學(xué) 學(xué)YN學(xué) 學(xué) 學(xué) 學(xué)學(xué) 學(xué) 學(xué) 學(xué)學(xué) 學(xué) 學(xué) 學(xué)學(xué) 學(xué) 學(xué) 學(xué) 學(xué) 學(xué)學(xué) 學(xué) 學(xué) 學(xué)學(xué) 學(xué) 學(xué) 學(xué) 學(xué) 學(xué)學(xué) 學(xué)學(xué) 學(xué)學(xué) 學(xué) 學(xué) 學(xué)學(xué) 學(xué) 學(xué) 學(xué) 學(xué) 學(xué) 學(xué)學(xué) 5 5 學(xué) a 學(xué) 學(xué) 學(xué) 學(xué) 學(xué) 學(xué) 學(xué) 學(xué) 學(xué) 學(xué) 學(xué) 學(xué) 學(xué) 學(xué) b 學(xué) 學(xué) 學(xué) 學(xué) 學(xué) 學(xué) 學(xué) 學(xué) 學(xué) 學(xué) 學(xué) 學(xué) 學(xué)返回本章首頁 第五章 入侵檢測技術(shù) 入侵檢測的技術(shù)實現(xiàn) 對于入侵檢測的研究 ， 從早期的審計跟蹤數(shù)據(jù)分析 ， 到實時入侵檢測系統(tǒng) ， 到目前應(yīng)用于大型網(wǎng)絡(luò)的分布式檢測系統(tǒng) ， 基本上已發(fā)展成為具有一定規(guī)模和相應(yīng)理論的研究領(lǐng)域 。 入侵檢測的分析處理過程可分為三個階段：構(gòu)建分析器 ， 對實際現(xiàn)場數(shù)據(jù)進(jìn)行分析 ， 反饋和提煉過程 。 1． 條件概率預(yù)測法 條件概率預(yù)測法是基于統(tǒng)計理論來量化全部外部網(wǎng)絡(luò)事件序列中存在入侵事件的可能程度 。 所謂規(guī)則 ， 即是知識 ， 專家系統(tǒng)的建立依賴于知識庫的完備性 ， 而知識庫的完備性又取決于審計記錄的完備性與實時性 。當(dāng)其中某個或某部分