【文章內(nèi)容簡介】 的方法 主要優(yōu)點 – 對不確定性的推理有合理的數(shù)學(xué)理論基礎(chǔ)。 – 決策器使得攻擊腳本可以與審計記錄的上下文無關(guān)。 – 因為首先按腳本類型檢測相應(yīng)類型是否出現(xiàn)，然后再檢測具體的事件，所以減少了需要處理的數(shù)據(jù)量。 主要缺陷 – 增加了創(chuàng)建入侵檢測模型的開銷。 – 系統(tǒng)實現(xiàn)時決策分析器如何有效地翻譯攻擊腳本。 返回本章首頁 第五章 入侵檢測技術(shù) 異常檢測（ Anomaly Detection） 異常檢測基于一個假定：用戶的行為是可預(yù)測的 、 遵循一致性模式的 ， 且隨著用戶事件的增加異常檢測會適應(yīng)用戶行為的變化 。 用戶行為的特征輪廓在異常檢測中是由度量 （ measure） 集來描述 ， 度量是特定網(wǎng)絡(luò)行為的定量表示 ， 通常與某個檢測閥值或某個域相聯(lián)系 。 異常檢測可發(fā)現(xiàn)未知的攻擊方法 ， 體現(xiàn)了強健的保護機制 ， 但對于給定的度量集能否完備到表示所有的異常行為仍需要深入研究 。 返回本章首頁 第五章 入侵檢測技術(shù) 1． Denning的原始模型 Dorothy Denning于 1986年給出了入侵檢測的 IDES模型 ， 她認為在一個系統(tǒng)中可以包括四個統(tǒng)計模型 ， 每個模型適合于一個特定類型的系統(tǒng)度量 。 （ 1） 可操作模型 （ 2） 平均和標準偏差模型 （ 3） 多變量模型 （ 4） Markov處理模型 返回本章首頁 第五章 入侵檢測技術(shù) 2． 量化分析 異常檢測最常用的方法就是將檢驗規(guī)則和屬性以數(shù)值形式表示的量化分析 ， 這種度量方法在Denning的可操作模型中有所涉及 。 量化分析通過采用從簡單的加法到比較復(fù)雜的密碼學(xué)計算得到的結(jié)果作為誤用檢測和異常檢測統(tǒng)計模型的基礎(chǔ) 。 （ 1） 閥值檢驗 （ 2） 基于目標的集成檢查 （ 3） 量化分析和數(shù)據(jù)精簡 返回本章首頁 第五章 入侵檢測技術(shù) 3． 統(tǒng)計度量 統(tǒng)計度量方法是產(chǎn)品化的入侵檢測系統(tǒng)中常用的方法 ， 常見于異常檢測 。 運用統(tǒng)計方法 ， 有效地解決了四個問題： （ 1） 選取有效的統(tǒng)計數(shù)據(jù)測量點 ， 生成能夠反映主體特征的會話向量；（ 2） 根據(jù)主體活動產(chǎn)生的審計記錄 ， 不斷更新當前主體活動的會話向量； （ 3） 采用統(tǒng)計方法分析數(shù)據(jù) ， 判斷當前活動是否符合主體的歷史行為特征； （ 4） 隨著時間推移 ， 學(xué)習(xí)主體的行為特征 ， 更新歷史記錄 。 返回本章首頁 第五章 入侵檢測技術(shù) 4． 非參數(shù)統(tǒng)計度量 非參數(shù)統(tǒng)計方法通過使用非數(shù)據(jù)區(qū)分技術(shù) ，尤其是群集分析技術(shù)來分析參數(shù)方法無法考慮的系統(tǒng)度量 。 群集分析的基本思想是 ， 根據(jù)評估標準 （ 也稱為特性 ） 將收集到的大量歷史數(shù)據(jù) （ 一個樣本集 ） 組織成群 ， 通過預(yù)處理過程 ， 將與具體事件流 （ 經(jīng)常映射為一個具體用戶 ） 相關(guān)的特性轉(zhuǎn)化為向量表示 ， 再采用群集算法將彼此比較相近的向量成員組織成一個行為類 ， 這樣使用該分析技術(shù)的實驗結(jié)果將會表明用何種方式構(gòu)成的群可以可靠地對用戶的行為進行分組并識別 。 返回本章首頁 第五章 入侵檢測技術(shù) 5． 基于規(guī)則的方法 上面討論的異常檢測主要基于統(tǒng)計方法 ， 異常檢測的另一個變種就是基于規(guī)則的方法 。 與統(tǒng)計方法不同的是基于規(guī)則的檢測使用規(guī)則集來表示和存儲使用模式 。 （ 1） Wisdomamp。Sense方法 （ 2） 基于時間的引導(dǎo)機 （ TIM） 返回本章首頁 第五章 入侵檢測技術(shù) 其它檢測技術(shù) 這些技術(shù)不能簡單地歸類為誤用檢測或是異常檢測 ， 而是提供了一種有別于傳統(tǒng)入侵檢測視角的技術(shù)層次 ， 例如免疫系統(tǒng) 、 基因算法 、 數(shù)據(jù)挖掘 、 基于代理 （ Agent） 的檢測等 ， 它們或者提供了更具普遍意義的分析技術(shù) ， 或者提出了新的檢測系統(tǒng)架構(gòu) ， 因此無論對于誤用檢測還是異常檢測來說 ， 都可以得到很好的應(yīng)用 。 返回本章首頁 第五章 入侵檢測技術(shù) 1． 神經(jīng)網(wǎng)絡(luò) （ Neural Network） 作為人工智能 （ AI） 的一個重要分支 ， 神經(jīng)網(wǎng)絡(luò) （ Neural Network） 在入侵檢測領(lǐng)域得到了很好的應(yīng)用 ， 它使用自適應(yīng)學(xué)習(xí)技術(shù)來提取異常行為的特征 ， 需要對訓(xùn)練數(shù)據(jù)集進行學(xué)習(xí)以得出正常的行為模式 。 這種方法要求保證用于學(xué)習(xí)正常模式的訓(xùn)練數(shù)據(jù)的純潔性 ， 即不包含任何入侵或異常的用戶行為 。 返回本章首頁 第五章 入侵檢測技術(shù) 2． 免疫學(xué)方法 New Mexico大學(xué)的 Stephanie Forrest提出了將生物免疫機制引入計算機系統(tǒng)的安全保護框架中 。 免疫系統(tǒng)中最基本也是最重要的能力是識別 “ 自我 /非自我 ” （ self/nonself） ， 換句話講 ，它能夠識別哪些組織是屬于正常機體的 ， 不屬于正常的就認為是異常 ， 這個概念和入侵檢測中異常檢測的概念非常相似 。 返回本章首頁 第五章 入侵檢測技術(shù) 3． 數(shù)據(jù)挖掘方法 Columbia大學(xué)的 Wenke Lee在其博士論文中 ，提出了將數(shù)據(jù)挖掘 （ Data Mining, DM） 技術(shù)應(yīng)用到入侵檢測中 ， 通過對網(wǎng)絡(luò)數(shù)據(jù)和主機系統(tǒng)調(diào)用數(shù)據(jù)的分析挖掘 ， 發(fā)現(xiàn)誤用檢測規(guī)則或異常檢測模型 。 具體的工作包括利用數(shù)據(jù)挖掘中的關(guān)聯(lián)算法和序列挖掘算法提取用戶的行為模式 ， 利用分類算法對用戶行為和特權(quán)程序的系統(tǒng)調(diào)用進行分類預(yù)測 。 實驗結(jié)果表明 ， 這種方法在入侵檢測領(lǐng)域有很好的應(yīng)用前景 。 返回本章首頁 第五章 入侵檢測技術(shù) 4． 基因算法 基 因 算 法 是 進 化 算 法 （ evolutionary algorithms） 的一種 ， 引入了達爾文在進化論中提出的自然選擇的概念 （ 優(yōu)勝劣汰 、 適者生存 ）對系統(tǒng)進行優(yōu)化 。 該算法對于處理多維系統(tǒng)的優(yōu)化是非常有效的 。 在基因算法的研究人員看來 ，入侵檢測的過程可以抽象為：為審計事件記錄定義一種向量表示形式 ， 這種向量或者對應(yīng)于攻擊行為 ， 或者代表正常行為 。 返回本章首頁 第五章 入侵檢測技術(shù) 5． 基于代理的檢測 近年來 ， 一 種 基 于 Agent 的 檢 測 技 術(shù)（ AgentBased Detection） 逐漸引起研究者的重視 。 所謂 Agent， 實際上可以看作是在執(zhí)行某項特定監(jiān)視任務(wù)的軟件實體 。 基于 Agent的入侵檢測系統(tǒng)的靈活性保證它可以為保障系統(tǒng)的安全提供混合式的架構(gòu) ， 綜合運用誤用檢測和異常檢測 ，從而彌補兩者各自的缺陷 。 返回本章首頁 第五章 入侵檢測技術(shù) 分布式入侵檢測 分布式入侵檢測 （ Distributed Intrusion Detection） 是目前入侵檢測乃至整個網(wǎng)絡(luò)安全領(lǐng)域的熱點之一 。 到目前為止 ， 還沒有嚴格意義上的分布式入侵檢測的商業(yè)化產(chǎn)品 ， 但研究人員已經(jīng)提出并完成了多個原型系統(tǒng) 。 通常采用的方法中 ， 一種是對現(xiàn)有的 IDS進行規(guī)模上的擴展 ，另一種則通過 IDS之間的信息共享來實現(xiàn) 。 具體的處理方法上也分為兩種： 分布式信息收集 、 集中式處理 ； 分布式信息收集 、 分布式處理 。 返回本章首頁 第五章 入侵檢測技術(shù) 分布式入侵檢測的優(yōu)勢 分布式入侵檢測由于采用了非集中的系統(tǒng)結(jié)構(gòu)和處理方式 ， 相對于傳統(tǒng)的單機 IDS具有一些明顯的優(yōu)勢： （ 1） 檢測大范圍的攻擊行為 （ 2） 提高檢測的準確度 （ 3） 提高檢測效率 （ 4） 協(xié)調(diào)響應(yīng)措施 返回本章首頁 第五章 入侵檢測技術(shù) （ 1）檢測大范圍的攻擊行為 傳統(tǒng)的基于主機的 IDS只能對單個主機的行為或狀態(tài)進行監(jiān)測，基 于網(wǎng)絡(luò)的 IDS也僅在單個網(wǎng)段內(nèi)有效，無法應(yīng)對一些針對多主機、多 網(wǎng)段、多管理域的攻擊行為。例如大范圍的脆弱性掃描或拒絕服務(wù)攻 擊，由于不能在檢測系統(tǒng)之間實現(xiàn)信息交互，通常無法完成準確和高 效的檢測任務(wù)。 分布式入侵檢測則可通過各個檢測組件之間的相互協(xié) 作，有效地克服這一缺陷。 （ 2）提高檢測效率 分布式入侵檢測實現(xiàn)了針對安全審計數(shù)據(jù)的分布式存儲和分布式計 算，不再依賴于系統(tǒng)中惟一的計算資源和存儲資源，可以有效提高系 統(tǒng)的檢測效率，減少入侵發(fā)現(xiàn)時間。 第五章 入侵檢測技術(shù) （ 3）提高檢測準確度 不同的入侵檢測數(shù)據(jù)源反映的是系統(tǒng)不同位置、不同角度、不同層 次的運行特性，可以是系統(tǒng)日志、審計記錄或網(wǎng)絡(luò)包等。傳統(tǒng) IDS為 了簡化檢測過程和算法復(fù)雜度，通常采用單一類型數(shù)據(jù)源，以提高系 統(tǒng)檢測效率，但同時導(dǎo)致檢測系統(tǒng)數(shù)據(jù)的不完備。此外，檢測引擎如 果采用單一算法進行數(shù)據(jù)分析，同樣可能導(dǎo)致分析結(jié)果不夠準確。 分布式 IDS的各個檢測組件可以分別檢測不同的數(shù)據(jù)源，甚至可以 是特定應(yīng)用程序的日志，或者通過人工方式輸入的審計數(shù)據(jù)。各組件 可以使用不同的檢測算法，有模式匹配、狀態(tài)分析、統(tǒng)計分析、量化 分析等。系統(tǒng)通過對各組件報告的入侵或異常特征，進行綜合分析， 可以得出更為準確的判斷結(jié)果。 第五章 入侵檢測技術(shù) （ 4） 協(xié)調(diào)響應(yīng)措施 分布式 IDS的各檢測組件分布于受監(jiān)控網(wǎng)絡(luò)的各個位置，一旦系統(tǒng) 檢測到攻擊行為，可以根據(jù)攻擊包經(jīng)過的物理路徑采取響應(yīng)措施，例 如封鎖攻擊方的網(wǎng)絡(luò)通路、入侵來源追蹤等。即使攻擊者使用網(wǎng)絡(luò)跳 轉(zhuǎn)（ hop）的方式來隱藏真實 IP地址，在檢測系統(tǒng)的監(jiān)控范圍內(nèi)通過 對事件數(shù)據(jù)的相關(guān)和聚合，仍然有可能追查到攻擊者的真實來源。 第五章 入侵檢測技術(shù) 分布式入侵檢測的技術(shù)難點 與傳統(tǒng)的單機 IDS相比較 ， 分布式入侵檢測系統(tǒng)具有明顯的優(yōu)勢 。 然而 ， 在實現(xiàn)分布檢測組件的信息共享和協(xié)作上 ， 卻存在著一些技術(shù)難點 。 Stanford Research Institute（ SRI） 在對EMERALD系統(tǒng)的研究中 ， 列舉了分布式入侵檢測必須關(guān)注的關(guān)鍵問題： 事件產(chǎn)生及存儲 、 狀態(tài)空間管理及規(guī)則復(fù)雜度 、 知識庫管理 、 推理技術(shù) 。 返回本章首頁 第五章 入侵檢測技術(shù) （ 1）事件產(chǎn)生及存儲 即安全事件應(yīng)該在系統(tǒng)的什么位置產(chǎn)生和存儲。在傳統(tǒng)系統(tǒng)中，安 全事件的產(chǎn)生、存儲和處理都是集中式的，這種方式在面臨大規(guī)模網(wǎng) 絡(luò)時缺乏良好的擴展性。分布的大量安全事件數(shù)據(jù)如果仍然采用集中 式存儲方式，將導(dǎo)致網(wǎng)絡(luò)流量和存儲需求的劇增。 （ 2）狀態(tài)空間管理及規(guī)則復(fù)雜度 它所關(guān)注的是如何在規(guī)則的復(fù)雜程度和審計數(shù)據(jù)處理要求之間取得 平衡。從檢測的準確性角度，檢測規(guī)則或檢測模型越復(fù)雜，檢測的有 效性就越好，但同時也導(dǎo)致了復(fù)雜的狀態(tài)空間管理和分析算法。采用 復(fù)雜的規(guī)則集對大量的審計數(shù)據(jù)進行處理，會消耗大量的 CPU時間和 存儲空間，可能降低系統(tǒng)的實時處理能力。反之，如果采用較為簡單 的規(guī)則集，可以提高系統(tǒng)處理能力，卻會影響檢測準確性。 （ 3）知識庫管理