【正文】 侵行 為進(jìn)行分析 。 在用戶(hù)的歷史行為以及早期的證據(jù)或模型的基礎(chǔ)上生成 每個(gè)用戶(hù)的歷史行為記錄庫(kù) ， 系統(tǒng)實(shí)時(shí)地檢測(cè)用戶(hù)對(duì)系統(tǒng) 的使用情況 ， 當(dāng)用戶(hù)改變他們的行為習(xí)慣時(shí) ， 當(dāng)發(fā)現(xiàn)有可 疑的行為發(fā)生時(shí) ， 這種異常就會(huì)被檢測(cè)出來(lái) 。 ?入侵檢測(cè)所依靠的數(shù)據(jù)來(lái)源分散化 ， 收集原始的檢測(cè)數(shù)據(jù)變得困難 。 ⑤ 操作系統(tǒng)獨(dú)立 。 一旦發(fā)生惡意訪問(wèn)或攻擊 ， 能夠更快 地做出反應(yīng) ， 將入侵活動(dòng)對(duì)系統(tǒng)的破壞減到最低 。 2/27/2023 14* 第七章 信息系統(tǒng)安全檢測(cè)技術(shù) 入侵檢測(cè)技術(shù) 分析結(jié)果 網(wǎng)絡(luò)接口 網(wǎng)絡(luò)接口 分析引擎模塊 管理 /配置模塊 網(wǎng)絡(luò)安全 數(shù)據(jù)庫(kù) 采集模塊 采集模塊 利用網(wǎng)絡(luò)適配器 來(lái)實(shí)時(shí)監(jiān)視和分析所 有通過(guò)網(wǎng)絡(luò)進(jìn)行傳輸 的通信。 測(cè)量屬性的平均值 將被用來(lái)與網(wǎng)絡(luò) 、 系統(tǒng)的行為進(jìn)行比較 。 入侵檢測(cè)技術(shù) 2/27/2023 8* 第七章 信息系統(tǒng)安全檢測(cè)技術(shù) 入侵檢測(cè)系統(tǒng)基本原理 入侵檢測(cè)技術(shù) 數(shù)據(jù)源 操作員 傳感器 管理器 分析器 管理員 活動(dòng) 事件 報(bào)警 安全策略 通告 響應(yīng) 通用入侵檢測(cè)框架（ CIDF） 2/27/2023 9* 第七章 信息系統(tǒng)安全檢測(cè)技術(shù) 入侵檢測(cè)系統(tǒng)基本原理 入侵檢測(cè)技術(shù) 報(bào)警 攻擊模式庫(kù) 配置系統(tǒng)庫(kù) 入侵分析引擎 響應(yīng)處理 數(shù)據(jù)采集 安全控制 主機(jī)系統(tǒng) 系統(tǒng)操作 審計(jì)記錄 /協(xié)議數(shù)據(jù) 簡(jiǎn)單的入侵檢測(cè)系統(tǒng) 2/27/2023 10* 第七章 信息系統(tǒng)安全檢測(cè)技術(shù) 入侵檢測(cè)系統(tǒng)基本原理 在網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn) （ 網(wǎng)段和主機(jī) ） 。 入侵檢測(cè)技術(shù) 系統(tǒng)日志 網(wǎng)絡(luò)數(shù)據(jù)包 異常檢測(cè) 誤用檢測(cè) 報(bào)警 報(bào)警并做出相應(yīng)措施 實(shí)時(shí)檢測(cè) 周期性檢測(cè) 原始數(shù)據(jù) 檢測(cè)原理 兩類(lèi)檢測(cè)的關(guān)系 2/27/2023 7* 第七章 信息系統(tǒng)安全檢測(cè)技術(shù) 入侵檢測(cè)系統(tǒng)基本原理 對(duì)安全事件的檢測(cè)包括大量復(fù)雜的步驟 ， 涉及到很多系 統(tǒng) ， 任何單一技術(shù)很難提供完備的檢測(cè)能力 ， 需要綜合多個(gè) 檢測(cè)系統(tǒng)以達(dá)到盡量完備檢測(cè)能力 。 入侵檢測(cè)技術(shù) 2/27/2023 5* 第七章 信息系統(tǒng)安全檢測(cè)技術(shù) IDS分類(lèi) 按具體的檢測(cè)方法 ， 將檢測(cè)系統(tǒng)分為基于行為的和基于 知識(shí)的兩類(lèi) 。 入侵檢測(cè)技術(shù)的第一條防線是接入控制 ， 第二條防線是檢測(cè) 。 入侵檢測(cè)是防火墻的合理補(bǔ)充 ， 幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻 擊 ， 擴(kuò)展了系統(tǒng)管理員的安全管理能力 （ 包括安全審計(jì) 、 監(jiān)視 、 進(jìn)攻識(shí)別和響應(yīng) ） ， 提高了信息安全基礎(chǔ)結(jié)構(gòu)的完 整性 。 最后介紹了入侵檢測(cè)工具Snort的安裝與配置 。 給出了入侵檢測(cè)系統(tǒng)現(xiàn)成實(shí)現(xiàn)模式 。 傳 統(tǒng)的操作系統(tǒng)加固技術(shù)和防火墻隔離技術(shù)等都是靜態(tài)安全 防御技術(shù) ， 對(duì)網(wǎng)絡(luò)環(huán)境下日新月異的攻擊手段缺乏主動(dòng)的 反應(yīng) 。 入侵檢測(cè)技術(shù) 2/27/2023 4* 第七章 信息系統(tǒng)安全檢測(cè)技術(shù) 入侵檢測(cè)定義 ?入侵檢測(cè) （ Intrusion Detection） 是檢測(cè)和識(shí)別系統(tǒng)中未授權(quán) 或 異?，F(xiàn)象 ， 利用審計(jì)記錄 ， 入侵檢測(cè)系統(tǒng)應(yīng)能識(shí)別出任何不希望有的活動(dòng) ， 這就要求對(duì)不希望的活動(dòng)加以限定 ， 一旦當(dāng)它們出現(xiàn)就能自動(dòng)地檢測(cè) 。 ?利用最新的可適應(yīng)網(wǎng)絡(luò)安全技術(shù)和 P2DR（ Policy ， Protection， Detection， Response） 安全模型 ， 已經(jīng)可以深入地研究入侵事件 、 入侵手段本身及被入侵目標(biāo)的漏洞等 。 入侵檢測(cè)技術(shù) 2/27/2023 6* 第七章 信息系統(tǒng)安全檢測(cè)技術(shù) IDS分類(lèi) 根據(jù)檢測(cè)系統(tǒng)所分析的原始數(shù)據(jù)不同，將入侵檢測(cè)分為 來(lái)自 系統(tǒng)日志 和 網(wǎng)絡(luò)數(shù)據(jù)包 兩種。 CIDF是 由美國(guó)加洲大學(xué) Davis分校的安全實(shí)驗(yàn)室提出的框架： IDEF 是由 IETF的入侵檢測(cè)工組 （ IDWG ） 開(kāi)發(fā)的安全事件報(bào)警的 標(biāo)準(zhǔn)格式 。 ?統(tǒng)計(jì)分析 （ 實(shí)時(shí) ） ： 先給系統(tǒng)對(duì)象 （ 用戶(hù) 、 文件 、 目錄和 設(shè)備等 ） 創(chuàng)建一個(gè)統(tǒng)計(jì)描述 ， 統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬 性 （ 訪問(wèn)次數(shù) 、 操作失敗次數(shù) 、 延時(shí) ） 。 2/27/2023 13* 第七章 信息系統(tǒng)安全檢測(cè)技術(shù) 入侵檢測(cè)技術(shù) 審計(jì)記錄收集方法 異常檢測(cè) 誤用檢測(cè) 安全管理員接口 審計(jì)記錄數(shù)據(jù)庫(kù) 審計(jì)記錄數(shù)據(jù) 歸檔 /查詢(xún) 目標(biāo)系統(tǒng) 審計(jì)記錄預(yù)處理 在需要保護(hù) 的主機(jī)（端系統(tǒng)） 上運(yùn)行代理程序， 根據(jù)主機(jī)的審計(jì) 數(shù)據(jù)和系統(tǒng)的日 志發(fā)現(xiàn)可疑事件， 從而實(shí)現(xiàn)監(jiān)控。 ② 實(shí)時(shí)檢測(cè)和應(yīng)答 。 ④ 不需要任何特殊的審計(jì)和登錄機(jī)制 ， 只要配置網(wǎng)絡(luò)接口 就可以了 ， 不會(huì)影響其他數(shù)據(jù)源 。 ?網(wǎng)絡(luò)入侵行為不再是單一的行為 ， 而是表現(xiàn)出相互協(xié)作入侵的特點(diǎn) ， 如分布式拒絕服務(wù)攻擊 。 2/27/2023 18* 第七章 信息系統(tǒng)安全檢測(cè)技術(shù) 入侵檢測(cè)技術(shù) 格式化數(shù)據(jù) 模型 格式化數(shù)據(jù) 模型 格式化數(shù)據(jù) 數(shù)據(jù)倉(cāng)庫(kù) 傳感器 檢測(cè)器 原始數(shù)據(jù) 自適應(yīng) 模型 產(chǎn)生器 2/27/2023 19* 第七章 信息系統(tǒng)安全檢測(cè)技術(shù) 根據(jù)系統(tǒng)內(nèi)部保存的用戶(hù)行為概率統(tǒng)計(jì)模型進(jìn)行檢測(cè) 。 但尚不 十分成熟 ， 目前還沒(méi)有出現(xiàn)較為完善的產(chǎn)品 。 一方 面 ， 推理機(jī)制使得系統(tǒng)面對(duì)一些新的行為現(xiàn)象時(shí)可能具備 一定的應(yīng)對(duì)能力 (即有可能會(huì)發(fā)現(xiàn)一些新的安全漏洞 )；另 一方面 ， 攻擊行為不會(huì)觸發(fā)任何一個(gè)規(guī)則 ， 從而被檢測(cè)到 。 當(dāng) 然這種方法也是建立在對(duì)已知的入侵行為的基礎(chǔ)之上的 ， 對(duì)未知的入侵行為模型識(shí)別需要進(jìn)一步的學(xué)習(xí)和擴(kuò)展 。 這些大致上可以分為 以下幾類(lèi) 。 漏洞檢測(cè)的