【正文】 挖掘 、 基于代理（ Agent） 的檢測等 ?它們或者 提供了更具普遍意義的分析技術(shù) ， 或者提出了新的檢測系統(tǒng)架構(gòu) ， 因此無論對于誤用檢測還是異常檢測來說 ， 都可以得到很好的應(yīng)用 。 （ 1） 可操作模型 （ 2） 平均和標(biāo)準(zhǔn)偏差模型 （ 3） 多變量模型 （ 4） Markov處理模型 返回本章首頁 27 第五章 入侵檢測技術(shù) 頁 2023/2/25 頁頁2． 量化分析 ? 異常檢測最常用的方法就是 將檢驗規(guī)則和屬性以數(shù)值形式表示的量化分析 ， 這種度量方法在 Denning的可操作模型中有所涉及 。 返回本章首頁 22 第五章 入侵檢測技術(shù) 頁 2023/2/25 頁頁3． 狀態(tài)轉(zhuǎn)換方法 ? 狀態(tài)轉(zhuǎn)換方法使用 系統(tǒng)狀態(tài) 和 狀態(tài)轉(zhuǎn)換表達(dá)式 來描述和檢測入侵 ， 采用 最優(yōu)模式匹配技巧 來結(jié)構(gòu)化誤用檢測 ， 增強(qiáng)了檢測的速度和靈活性 。 ? 入侵檢測的分析處理過程可分為三個階段： 構(gòu)建分析器 ， 對實際現(xiàn)場數(shù)據(jù)進(jìn)行分析 ， 反饋和提煉過程 。 誤用檢測 （ Misuse Detection） 指運用已知攻擊方法 ， 根據(jù)已定義好的入侵模式 ， 通過判斷這些入侵模式是否出現(xiàn)來檢測 。 返回本章首頁 10 第五章 入侵檢測技術(shù) 頁 2023/2/25 頁頁 系統(tǒng)結(jié)構(gòu) ? 由于網(wǎng)絡(luò)環(huán)境和系統(tǒng)安全策略的差異 ， 入侵檢測系統(tǒng)在具體實現(xiàn)上也有所不同 。 返回本章首頁 入侵檢測發(fā)展歷史 5 第五章 入侵檢測技術(shù) 頁 2023/2/25 頁頁? 1994年 ， Mark Crosbie和 Gene Spafford建議使用自治代理（ autonomous agents） 以提高 IDS的可伸縮性 、 可維護(hù)性 、效率和容錯性 ， 該理念非常符合計算機(jī)科學(xué)其他領(lǐng)域 （ 如軟件代理 ， software agent） 正在進(jìn)行的相關(guān)研究 。 返回本章首頁 入侵檢測發(fā)展歷史 2 第五章 入侵檢測技術(shù) 頁 2023/2/25 頁頁學(xué) 習(xí)審 計 記 錄主 體 活 動規(guī) 則 集處 理 引 擎時 鐘 規(guī) 則 設(shè) 計 與 修 改常錄異記創(chuàng) 建提 取 規(guī) 則動檔活簡更 新更 新 歷 史 活 動創(chuàng) 建 活 動 狀 況圖 5 1 D e n n i n g 入 侵 檢 測 抽 象 模 型返回本章首頁 入侵檢測發(fā)展歷史 3 第五章 入侵檢測技術(shù) 頁 2023/2/25 頁頁?1988年 Teresa Lunt等人進(jìn)一步改進(jìn)了 Denning提出的入侵檢測模型 ， 并創(chuàng)建了 IDES（ Intrusion Detection Expert System） ?該系統(tǒng)用于檢測單一主機(jī)的入侵嘗試 ， 提出了與系統(tǒng)平臺無關(guān)的實時檢測思想 ?1995 年開發(fā)的 NIDES （ NextGeneration Intrusion Detection Expert System） 作為 IDES完善后的版本可以檢測出多個主機(jī)上的入侵 。 返回本章首頁 8 第五章 入侵檢測技術(shù) 頁 2023/2/25 頁頁入 侵 檢 測分 析 引 擎歷 史 行 為特 定 行 為 模 式數(shù) 據(jù) 提 取入 侵 ? 否記 錄 證 據(jù)響 應(yīng) 處 理是安 全 策 略當(dāng) 前 系 統(tǒng)/ 用 戶 行 為知 識 庫其 它圖 52 入侵檢測原理框圖 返回本章首頁 9 第五章 入侵檢測技術(shù) 頁 2023/2/25 頁頁?入侵檢測系統(tǒng) ?執(zhí)行 入侵檢測任務(wù)的硬件或軟件產(chǎn)品 ?入侵檢測提供了用于發(fā)現(xiàn)入侵攻擊與合法用戶濫用特權(quán)的一種方法 。 ? 可分別從 數(shù)據(jù)源 、 檢測理論 、 檢測時效 三個方面來描述入侵檢測系統(tǒng)的類型 。 ? 入侵檢測的 核心問題 在于如何對安全審計數(shù)據(jù)進(jìn)行分析 ， 以檢測其中是否包含入侵或異常行為的跡象 。 ()( | ) ( | ) P I ntr usi onP I ntr usi on Ev e ntSe q P Ev e ntSe q I ntr usi onP Ev e ntSe q? ()( | ) ( | ) ( ( | ) ( | ) ) ( ) ( | )PII ntr usi on Ev e ntSe q P ES I P ES I P ES I P I P ES I??? ??21 第五章 入侵檢測技術(shù) 頁 2023/2/25 頁頁2． 產(chǎn)生式 /專家系統(tǒng) ? 用 專家系統(tǒng) 對入侵進(jìn)行檢測 ， 主要是 檢測基于特征的入侵行為 。 ? 用戶行為的特征輪廓在異常檢測中是由 度量 （ measure）集 來描述 ， 度量是特定網(wǎng)絡(luò)行為的定量表示 ， 通常與某個檢測閥值或某個域相聯(lián)系 。 ? 群集分析的基本思想是 ， 根據(jù)評估標(biāo)準(zhǔn) （ 也稱為特性 ）將 收集到的大量歷史數(shù)據(jù) （ 一個樣本集 ） 組織成群 ，通過預(yù)處理過程 ， 將與 具體事件流 （ 經(jīng)常映射為一個具體用戶 ） 相關(guān)的特性轉(zhuǎn)化為 向量 表示 ， 再采用 群集算法 將彼此比較相近的向量成員組織成一個 行為類 ?這樣使用該分析技術(shù)的實驗結(jié)果將會表明用何種方式構(gòu)成的群可以可靠地對用戶的行為進(jìn)行分組并識別 。 返回本章首頁 34 第五章 入侵檢測技術(shù) 頁 2023/2/25 頁頁3． 數(shù)據(jù)挖掘方法 ? Columbia大學(xué)的 Wenke Lee在其博士論文中 ， 提出了將數(shù)據(jù)挖掘 （ Data Mining, DM） 技術(shù)應(yīng)用到入侵檢測中 ， 通過對網(wǎng)絡(luò)數(shù)據(jù)和主機(jī)系統(tǒng)調(diào)用數(shù)據(jù)的分析挖掘 ， 發(fā)現(xiàn)誤用檢測規(guī)則或異常檢測模型 。 ?基于 Agent的入侵檢測系統(tǒng)的靈活性保證它可以為保障系統(tǒng)的安全提供混合式的架構(gòu) ， 綜合運用誤用檢測和異常檢測 ， 從而彌補(bǔ)兩者各自的缺陷 。 返回本章首頁 40 第五章 入侵檢測技術(shù) 頁 2023/2/25 頁頁 分布式入侵檢測現(xiàn)狀 盡管分布式入侵檢測存在技術(shù)和其它層面的難點 ， 但由于其相對于傳統(tǒng)的單機(jī) IDS所具有的優(yōu)勢 ， 目前已經(jīng)成為這一領(lǐng)域的研究熱點 。 ?NSM則是由 UC Davis開發(fā)的網(wǎng)絡(luò)安全監(jiān)視器 ， 通過對數(shù)據(jù)包 、 連接記錄 、 應(yīng)用層會話的分析 ， 結(jié)合入侵特征庫和正常的網(wǎng)絡(luò)流或會話記錄的模式庫 ， 判斷當(dāng)前的網(wǎng)絡(luò)行為是否包含入侵或異常 。 ?中間層用于表示 IDS間的共享信息的表示方式： ?IDS檢測到的攻擊或者 IDS無法處理的事件信息作為event ， IDS 或受 IDS 監(jiān)控的系統(tǒng)的狀態(tài)則作為dynamic predicates。 返回本章首頁 51 第五章 入侵檢測技術(shù) 頁 2023/2/25 頁頁事 件 產(chǎn) 生 器事 件 數(shù) 據(jù) 庫事 件 分 析 器響 應(yīng) 單 元輸 入 ： 原 始 事 件 源圖 5 1 5 C I D F 體 系 結(jié) 構(gòu) 圖輸 出 ： 事 件 的 存 儲 信 息輸 出 ： 高 級中 斷 事 件輸 出 ： 原 始 或低 級 事 件輸 出 ： 對 事 件 的 響 應(yīng)返回本章首頁 52 第五章 入侵檢測技術(shù) 頁 2023/2/25 頁頁 入侵檢測系統(tǒng)示例 為了直觀地理解入侵檢測的使用 、 配臵等情況 ，這里我們以 Snort為例 ， 對構(gòu)建以 Snort為基礎(chǔ)的入侵檢測系統(tǒng)做概要介紹 。 ?規(guī)則頭 對應(yīng)于規(guī)則樹結(jié)點 RTN（ Rule Tree Node） ，包含 動作 、 協(xié)議 、 源 （ 目的 ） 地址和端口以及數(shù)據(jù)流向 ， 這是所有規(guī)則共有的部分 。 當(dāng)與一個頭結(jié)點相匹配時 ， 向下與 OTN 結(jié)點進(jìn)行匹配 。 ?簡單方式安裝時，可以得到入侵?jǐn)?shù)據(jù)的文本文件或二進(jìn)制文件，然后用文本編輯器等工具進(jìn)行查看。 若只把 TCP/IP包頭信息打印在屏幕上 ，則只需要執(zhí)行下列命令： ./snort v 若顯示應(yīng)用層數(shù)據(jù) ， 則執(zhí)行： ./snort vd 若同時顯示數(shù)據(jù)鏈路層信息 ， 則執(zhí)行： ./snort vde 返回本章首頁 67 第五章 入侵檢測技術(shù) 頁 2023/2/25 頁頁 3． Snort的工作模式 （ 2） 數(shù)據(jù)包記錄器 如果要把所有的數(shù)據(jù)包記錄到硬盤上