【文章內容簡介】 的方法 主要優(yōu)點 – 對不確定性的推理有合理的數(shù)學理論基礎。 – 決策器使得攻擊腳本可以與審計記錄的上下文無關。 – 因為首先按腳本類型檢測相應類型是否出現(xiàn)，然后再檢測具體的事件，所以減少了需要處理的數(shù)據(jù)量。 主要缺陷 – 增加了創(chuàng)建入侵檢測模型的開銷。 – 系統(tǒng)實現(xiàn)時決策分析器如何有效地翻譯攻擊腳本。 返回本章首頁 第五章 入侵檢測技術 異常檢測（ Anomaly Detection） 異常檢測基于一個假定：用戶的行為是可預測的 、 遵循一致性模式的 ， 且隨著用戶事件的增加異常檢測會適應用戶行為的變化 。 用戶行為的特征輪廓在異常檢測中是由度量 （ measure） 集來描述 ， 度量是特定網(wǎng)絡行為的定量表示 ， 通常與某個檢測閥值或某個域相聯(lián)系 。 異常檢測可發(fā)現(xiàn)未知的攻擊方法 ， 體現(xiàn)了強健的保護機制 ， 但對于給定的度量集能否完備到表示所有的異常行為仍需要深入研究 。 返回本章首頁 第五章 入侵檢測技術 1． Denning的原始模型 Dorothy Denning于 1986年給出了入侵檢測的 IDES模型 ， 她認為在一個系統(tǒng)中可以包括四個統(tǒng)計模型 ， 每個模型適合于一個特定類型的系統(tǒng)度量 。 （ 1） 可操作模型 （ 2） 平均和標準偏差模型 （ 3） 多變量模型 （ 4） Markov處理模型 返回本章首頁 第五章 入侵檢測技術 2． 量化分析 異常檢測最常用的方法就是將檢驗規(guī)則和屬性以數(shù)值形式表示的量化分析 ， 這種度量方法在Denning的可操作模型中有所涉及 。 量化分析通過采用從簡單的加法到比較復雜的密碼學計算得到的結果作為誤用檢測和異常檢測統(tǒng)計模型的基礎 。 （ 1） 閥值檢驗 （ 2） 基于目標的集成檢查 （ 3） 量化分析和數(shù)據(jù)精簡 返回本章首頁 第五章 入侵檢測技術 3． 統(tǒng)計度量 統(tǒng)計度量方法是產品化的入侵檢測系統(tǒng)中常用的方法 ， 常見于異常檢測 。 運用統(tǒng)計方法 ， 有效地解決了四個問題： （ 1） 選取有效的統(tǒng)計數(shù)據(jù)測量點 ， 生成能夠反映主體特征的會話向量；（ 2） 根據(jù)主體活動產生的審計記錄 ， 不斷更新當前主體活動的會話向量； （ 3） 采用統(tǒng)計方法分析數(shù)據(jù) ， 判斷當前活動是否符合主體的歷史行為特征； （ 4） 隨著時間推移 ， 學習主體的行為特征 ， 更新歷史記錄 。 返回本章首頁 第五章 入侵檢測技術 4． 非參數(shù)統(tǒng)計度量 非參數(shù)統(tǒng)計方法通過使用非數(shù)據(jù)區(qū)分技術 ，尤其是群集分析技術來分析參數(shù)方法無法考慮的系統(tǒng)度量 。 群集分析的基本思想是 ， 根據(jù)評估標準 （ 也稱為特性 ） 將收集到的大量歷史數(shù)據(jù) （ 一個樣本集 ） 組織成群 ， 通過預處理過程 ， 將與具體事件流 （ 經常映射為一個具體用戶 ） 相關的特性轉化為向量表示 ， 再采用群集算法將彼此比較相近的向量成員組織成一個行為類 ， 這樣使用該分析技術的實驗結果將會表明用何種方式構成的群可以可靠地對用戶的行為進行分組并識別 。 返回本章首頁 第五章 入侵檢測技術 5． 基于規(guī)則的方法 上面討論的異常檢測主要基于統(tǒng)計方法 ， 異常檢測的另一個變種就是基于規(guī)則的方法 。 與統(tǒng)計方法不同的是基于規(guī)則的檢測使用規(guī)則集來表示和存儲使用模式 。 （ 1） Wisdomamp。Sense方法 （ 2） 基于時間的引導機 （ TIM） 返回本章首頁 第五章 入侵檢測技術 其它檢測技術 這些技術不能簡單地歸類為誤用檢測或是異常檢測 ， 而是提供了一種有別于傳統(tǒng)入侵檢測視角的技術層次 ， 例如免疫系統(tǒng) 、 基因算法 、 數(shù)據(jù)挖掘 、 基于代理 （ Agent） 的檢測等 ， 它們或者提供了更具普遍意義的分析技術 ， 或者提出了新的檢測系統(tǒng)架構 ， 因此無論對于誤用檢測還是異常檢測來說 ， 都可以得到很好的應用 。 返回本章首頁 第五章 入侵檢測技術 1． 神經網(wǎng)絡 （ Neural Network） 作為人工智能 （ AI） 的一個重要分支 ， 神經網(wǎng)絡 （ Neural Network） 在入侵檢測領域得到了很好的應用 ， 它使用自適應學習技術來提取異常行為的特征 ， 需要對訓練數(shù)據(jù)集進行學習以得出正常的行為模式 。 這種方法要求保證用于學習正常模式的訓練數(shù)據(jù)的純潔性 ， 即不包含任何入侵或異常的用戶行為 。 返回本章首頁 第五章 入侵檢測技術 2． 免疫學方法 New Mexico大學的 Stephanie Forrest提出了將生物免疫機制引入計算機系統(tǒng)的安全保護框架中 。 免疫系統(tǒng)中最基本也是最重要的能力是識別 “ 自我 /非自我 ” （ self/nonself） ， 換句話講 ，它能夠識別哪些組織是屬于正常機體的 ， 不屬于正常的就認為是異常 ， 這個概念和入侵檢測中異常檢測的概念非常相似 。 返回本章首頁 第五章 入侵檢測技術 3． 數(shù)據(jù)挖掘方法 Columbia大學的 Wenke Lee在其博士論文中 ，提出了將數(shù)據(jù)挖掘 （ Data Mining, DM） 技術應用到入侵檢測中 ， 通過對網(wǎng)絡數(shù)據(jù)和主機系統(tǒng)調用數(shù)據(jù)的分析挖掘 ， 發(fā)現(xiàn)誤用檢測規(guī)則或異常檢測模型 。 具體的工作包括利用數(shù)據(jù)挖掘中的關聯(lián)算法和序列挖掘算法提取用戶的行為模式 ， 利用分類算法對用戶行為和特權程序的系統(tǒng)調用進行分類預測 。 實驗結果表明 ， 這種方法在入侵檢測領域有很好的應用前景 。 返回本章首頁 第五章 入侵檢測技術 4． 基因算法 基 因 算 法 是 進 化 算 法 （ evolutionary algorithms） 的一種 ， 引入了達爾文在進化論中提出的自然選擇的概念 （ 優(yōu)勝劣汰 、 適者生存 ）對系統(tǒng)進行優(yōu)化 。 該算法對于處理多維系統(tǒng)的優(yōu)化是非常有效的 。 在基因算法的研究人員看來 ，入侵檢測的過程可以抽象為：為審計事件記錄定義一種向量表示形式 ， 這種向量或者對應于攻擊行為 ， 或者代表正常行為 。 返回本章首頁 第五章 入侵檢測技術 5． 基于代理的檢測 近年來 ， 一 種 基 于 Agent 的 檢 測 技 術（ AgentBased Detection） 逐漸引起研究者的重視 。 所謂 Agent， 實際上可以看作是在執(zhí)行某項特定監(jiān)視任務的軟件實體 。 基于 Agent的入侵檢測系統(tǒng)的靈活性保證它可以為保障系統(tǒng)的安全提供混合式的架構 ， 綜合運用誤用檢測和異常檢測 ，從而彌補兩者各自的缺陷 。 返回本章首頁 第五章 入侵檢測技術 分布式入侵檢測 分布式入侵檢測 （ Distributed Intrusion Detection） 是目前入侵檢測乃至整個網(wǎng)絡安全領域的熱點之一 。 到目前為止 ， 還沒有嚴格意義上的分布式入侵檢測的商業(yè)化產品 ， 但研究人員已經提出并完成了多個原型系統(tǒng) 。 通常采用的方法中 ， 一種是對現(xiàn)有的 IDS進行規(guī)模上的擴展 ，另一種則通過 IDS之間的信息共享來實現(xiàn) 。 具體的處理方法上也分為兩種： 分布式信息收集 、 集中式處理 ； 分布式信息收集 、 分布式處理 。 返回本章首頁 第五章 入侵檢測技術 分布式入侵檢測的優(yōu)勢 分布式入侵檢測由于采用了非集中的系統(tǒng)結構和處理方式 ， 相對于傳統(tǒng)的單機 IDS具有一些明顯的優(yōu)勢： （ 1） 檢測大范圍的攻擊行為 （ 2） 提高檢測的準確度 （ 3） 提高檢測效率 （ 4） 協(xié)調響應措施 返回本章首頁 第五章 入侵檢測技術 （ 1）檢測大范圍的攻擊行為 傳統(tǒng)的基于主機的 IDS只能對單個主機的行為或狀態(tài)進行監(jiān)測，基 于網(wǎng)絡的 IDS也僅在單個網(wǎng)段內有效，無法應對一些針對多主機、多 網(wǎng)段、多管理域的攻擊行為。例如大范圍的脆弱性掃描或拒絕服務攻 擊，由于不能在檢測系統(tǒng)之間實現(xiàn)信息交互，通常無法完成準確和高 效的檢測任務。 分布式入侵檢測則可通過各個檢測組件之間的相互協(xié) 作，有效地克服這一缺陷。 （ 2）提高檢測效率 分布式入侵檢測實現(xiàn)了針對安全審計數(shù)據(jù)的分布式存儲和分布式計 算，不再依賴于系統(tǒng)中惟一的計算資源和存儲資源，可以有效提高系 統(tǒng)的檢測效率，減少入侵發(fā)現(xiàn)時間。 第五章 入侵檢測技術 （ 3）提高檢測準確度 不同的入侵檢測數(shù)據(jù)源反映的是系統(tǒng)不同位置、不同角度、不同層 次的運行特性，可以是系統(tǒng)日志、審計記錄或網(wǎng)絡包等。傳統(tǒng) IDS為 了簡化檢測過程和算法復雜度，通常采用單一類型數(shù)據(jù)源，以提高系 統(tǒng)檢測效率，但同時導致檢測系統(tǒng)數(shù)據(jù)的不完備。此外，檢測引擎如 果采用單一算法進行數(shù)據(jù)分析，同樣可能導致分析結果不夠準確。 分布式 IDS的各個檢測組件可以分別檢測不同的數(shù)據(jù)源，甚至可以 是特定應用程序的日志，或者通過人工方式輸入的審計數(shù)據(jù)。各組件 可以使用不同的檢測算法，有模式匹配、狀態(tài)分析、統(tǒng)計分析、量化 分析等。系統(tǒng)通過對各組件報告的入侵或異常特征，進行綜合分析， 可以得出更為準確的判斷結果。 第五章 入侵檢測技術 （ 4） 協(xié)調響應措施 分布式 IDS的各檢測組件分布于受監(jiān)控網(wǎng)絡的各個位置，一旦系統(tǒng) 檢測到攻擊行為，可以根據(jù)攻擊包經過的物理路徑采取響應措施，例 如封鎖攻擊方的網(wǎng)絡通路、入侵來源追蹤等。即使攻擊者使用網(wǎng)絡跳 轉（ hop）的方式來隱藏真實 IP地址，在檢測系統(tǒng)的監(jiān)控范圍內通過 對事件數(shù)據(jù)的相關和聚合，仍然有可能追查到攻擊者的真實來源。 第五章 入侵檢測技術 分布式入侵檢測的技術難點 與傳統(tǒng)的單機 IDS相比較 ， 分布式入侵檢測系統(tǒng)具有明顯的優(yōu)勢 。 然而 ， 在實現(xiàn)分布檢測組件的信息共享和協(xié)作上 ， 卻存在著一些技術難點 。 Stanford Research Institute（ SRI） 在對EMERALD系統(tǒng)的研究中 ， 列舉了分布式入侵檢測必須關注的關鍵問題： 事件產生及存儲 、 狀態(tài)空間管理及規(guī)則復雜度 、 知識庫管理 、 推理技術 。 返回本章首頁 第五章 入侵檢測技術 （ 1）事件產生及存儲 即安全事件應該在系統(tǒng)的什么位置產生和存儲。在傳統(tǒng)系統(tǒng)中，安 全事件的產生、存儲和處理都是集中式的，這種方式在面臨大規(guī)模網(wǎng) 絡時缺乏良好的擴展性。分布的大量安全事件數(shù)據(jù)如果仍然采用集中 式存儲方式，將導致網(wǎng)絡流量和存儲需求的劇增。 （ 2）狀態(tài)空間管理及規(guī)則復雜度 它所關注的是如何在規(guī)則的復雜程度和審計數(shù)據(jù)處理要求之間取得 平衡。從檢測的準確性角度，檢測規(guī)則或檢測模型越復雜，檢測的有 效性就越好，但同時也導致了復雜的狀態(tài)空間管理和分析算法。采用 復雜的規(guī)則集對大量的審計數(shù)據(jù)進行處理，會消耗大量的 CPU時間和 存儲空間，可能降低系統(tǒng)的實時處理能力。反之，如果采用較為簡單 的規(guī)則集，可以提高系統(tǒng)處理能力，卻會影響檢測準確性。 （ 3）知識庫管理