【文章內(nèi)容簡(jiǎn)介】 示和存儲(chǔ)使用模式 。 （ 1） WisdomSense方法 （ 2） 基于時(shí)間的引導(dǎo)機(jī) （ TIM） 返回本章首頁(yè) 31 第五章 入侵檢測(cè)技術(shù) 頁(yè) 2023/2/25 頁(yè)頁(yè) 其它檢測(cè)技術(shù) ?這些技術(shù)不能簡(jiǎn)單地歸類為誤用檢測(cè)或是異常檢測(cè) ，而是提供了一種有別于傳統(tǒng)入侵檢測(cè)視角的技術(shù)層次 ，例如免疫系統(tǒng) 、 基因算法 、 數(shù)據(jù)挖掘 、 基于代理（ Agent） 的檢測(cè)等 ?它們或者 提供了更具普遍意義的分析技術(shù) ， 或者提出了新的檢測(cè)系統(tǒng)架構(gòu) ， 因此無(wú)論對(duì)于誤用檢測(cè)還是異常檢測(cè)來(lái)說 ， 都可以得到很好的應(yīng)用 。 返回本章首頁(yè) 32 第五章 入侵檢測(cè)技術(shù) 頁(yè) 2023/2/25 頁(yè)頁(yè)1． 神經(jīng)網(wǎng)絡(luò) （ Neural Network） ? 作為人工智能 （ AI） 的一個(gè)重要分支 ， 神經(jīng)網(wǎng)絡(luò)（ Neural Network） 在入侵檢測(cè)領(lǐng)域得到了很好的應(yīng)用 ? 它使用 自適應(yīng)學(xué)習(xí)技術(shù) 來(lái)提取異常行為的特征 ， 需要對(duì) 訓(xùn)練數(shù)據(jù)集進(jìn)行學(xué)習(xí)以得出正常的行為模式 。 ?這種方法要求保證用于學(xué)習(xí)正常模式的 訓(xùn)練數(shù)據(jù)的純潔性 ， 即不包含任何入侵或異常的用戶行為 。 返回本章首頁(yè) 33 第五章 入侵檢測(cè)技術(shù) 頁(yè) 2023/2/25 頁(yè)頁(yè)2． 免疫學(xué)方法 ?New Mexico大學(xué)的 Stephanie Forrest提出了將生物免疫機(jī)制引入計(jì)算機(jī)系統(tǒng)的安全保護(hù)框架中 。 ?免疫系統(tǒng)中最基本也是最重要的能力是 識(shí)別 “ 自我 /非自我 ” （ self/nonself） ， 換句話講 ， 它能夠識(shí)別哪些組織是屬于正常機(jī)體的 ， 不屬于正常的就認(rèn)為是異常 ， 這個(gè)概念和入侵檢測(cè)中異常檢測(cè)的概念非常相似 。 返回本章首頁(yè) 34 第五章 入侵檢測(cè)技術(shù) 頁(yè) 2023/2/25 頁(yè)頁(yè)3． 數(shù)據(jù)挖掘方法 ? Columbia大學(xué)的 Wenke Lee在其博士論文中 ， 提出了將數(shù)據(jù)挖掘 （ Data Mining, DM） 技術(shù)應(yīng)用到入侵檢測(cè)中 ， 通過對(duì)網(wǎng)絡(luò)數(shù)據(jù)和主機(jī)系統(tǒng)調(diào)用數(shù)據(jù)的分析挖掘 ， 發(fā)現(xiàn)誤用檢測(cè)規(guī)則或異常檢測(cè)模型 。 ? 具體的工作包括利用 數(shù)據(jù)挖掘中的關(guān)聯(lián)算法和序列挖掘算法提取用戶的行為模式 ， 利用 分類算法對(duì)用戶行為和特權(quán)程序的系統(tǒng)調(diào)用進(jìn)行分類預(yù)測(cè) 。 ? 實(shí)驗(yàn)結(jié)果表明 ， 這種方法在入侵檢測(cè)領(lǐng)域有很好的應(yīng)用前景 。 返回本章首頁(yè) 35 第五章 入侵檢測(cè)技術(shù) 頁(yè) 2023/2/25 頁(yè)頁(yè)4． 基因算法 ? 基因算法是進(jìn)化算法 （ evolutionary algorithms）的一種 ， 引入了達(dá)爾文在進(jìn)化論中提出的自然選擇的概念 （ 優(yōu)勝劣汰 、 適者生存 ） 對(duì)系統(tǒng)進(jìn)行優(yōu)化 。 該算法對(duì)于處理多維系統(tǒng)的優(yōu)化是非常有效的 。 ? 在基因算法的研究人員看來(lái) ， 入侵檢測(cè)的過程可以抽象為： 為審計(jì)事件記錄定義一種向量表示形式 ， 這種向量或者對(duì)應(yīng)于攻擊行為 ， 或者代表正常行為 。 返回本章首頁(yè) 36 第五章 入侵檢測(cè)技術(shù) 頁(yè) 2023/2/25 頁(yè)頁(yè)5． 基于代理的檢測(cè) ?近年來(lái) ， 一種基于 Agent的檢測(cè)技術(shù) （ AgentBased Detection） 逐漸引起研究者的重視 。 ?所謂 Agent， 實(shí)際上可以看作是在 執(zhí)行某項(xiàng)特定監(jiān)視任務(wù)的軟件實(shí)體 。 ?基于 Agent的入侵檢測(cè)系統(tǒng)的靈活性保證它可以為保障系統(tǒng)的安全提供混合式的架構(gòu) ， 綜合運(yùn)用誤用檢測(cè)和異常檢測(cè) ， 從而彌補(bǔ)兩者各自的缺陷 。 返回本章首頁(yè) 37 第五章 入侵檢測(cè)技術(shù) 頁(yè) 2023/2/25 頁(yè)頁(yè) 分布式入侵檢測(cè) ? 分布式入侵檢測(cè) （ Distributed Intrusion Detection）是目前入侵檢測(cè)乃至整個(gè)網(wǎng)絡(luò)安全領(lǐng)域的熱點(diǎn)之一 。 ? 到目前為止 ， 還沒有 嚴(yán)格意義上的分布式入侵檢測(cè)的商業(yè)化產(chǎn)品 ， 但研究人員已經(jīng)提出并完成了多個(gè)原型系統(tǒng) 。 ? 通常采用的方法中 ， 一種是 對(duì)現(xiàn)有的 IDS進(jìn)行規(guī)模上的擴(kuò)展 ， 另一種則通過 IDS之間的信息共享 來(lái)實(shí)現(xiàn) 。 ? 具體的處理方法上也分為兩種： ?分布式信息收集 、 集中式處理 ； ?分布式信息收集 、 分布式處理 。 返回本章首頁(yè) 38 第五章 入侵檢測(cè)技術(shù) 頁(yè) 2023/2/25 頁(yè)頁(yè) 分布式入侵檢測(cè)的優(yōu)勢(shì) ?分布式入侵檢測(cè)由于采用了非集中的系統(tǒng)結(jié)構(gòu)和處理方式 ， 相對(duì)于傳統(tǒng)的單機(jī) IDS具有一些明顯的優(yōu)勢(shì)： （ 1） 檢測(cè)大范圍的攻擊行為 （ 2） 提高檢測(cè)的準(zhǔn)確度 （ 3） 提高檢測(cè)效率 （ 4） 協(xié)調(diào)響應(yīng)措施 返回本章首頁(yè) 39 第五章 入侵檢測(cè)技術(shù) 頁(yè) 2023/2/25 頁(yè)頁(yè) 分布式入侵檢測(cè)的技術(shù)難點(diǎn) ? 與傳統(tǒng)的單機(jī) IDS相比較 ， 分布式入侵檢測(cè)系統(tǒng)具有明顯的優(yōu)勢(shì) 。 然而 ， 在實(shí)現(xiàn)分布檢測(cè)組件的信息共享和協(xié)作上 ， 卻存在著一些技術(shù)難點(diǎn) 。 ? Stanford Research Institute（ SRI） 在對(duì) EMERALD系統(tǒng)的研究中 ， 列舉了分布式入侵檢測(cè)必須關(guān)注的關(guān)鍵問題： ?事件產(chǎn)生及存儲(chǔ) 、 ?狀態(tài)空間管理 ?規(guī)則復(fù)雜度 ?知識(shí)庫(kù)管理 ?推理技術(shù) 。 返回本章首頁(yè) 40 第五章 入侵檢測(cè)技術(shù) 頁(yè) 2023/2/25 頁(yè)頁(yè) 分布式入侵檢測(cè)現(xiàn)狀 盡管分布式入侵檢測(cè)存在技術(shù)和其它層面的難點(diǎn) ， 但由于其相對(duì)于傳統(tǒng)的單機(jī) IDS所具有的優(yōu)勢(shì) ， 目前已經(jīng)成為這一領(lǐng)域的研究熱點(diǎn) 。 1． Snort ? 它通過對(duì)傳統(tǒng)的 單機(jī) IDS進(jìn)行規(guī)模上的擴(kuò)展 ， 使系統(tǒng)具備分布式檢測(cè)的能力 ， 是 基于模式匹配 的分布式入侵檢測(cè)系統(tǒng)的一個(gè)具體實(shí)現(xiàn) 。 ? 主要包括三個(gè)組件： 網(wǎng)絡(luò)感應(yīng)器 、 代理守護(hù)程序 和 監(jiān)視控制臺(tái) 。 返回本章首頁(yè) 41 第五章 入侵檢測(cè)技術(shù) 頁(yè) 2023/2/25 頁(yè)頁(yè)2． AgentBased ? 基于 Agent的 IDS由于其良好的靈活性和擴(kuò)展性 ， 是分布式入侵檢測(cè)的一個(gè)重要研究方向 。 ? 國(guó)外一些研究機(jī)構(gòu)在這方面已經(jīng)做了大量工作 ， 其中Purdue大學(xué)的入侵檢測(cè)自治代理 （ AAFID） 和 SRI的EMERALD最具代表性 。 ?AAFID的體系結(jié)構(gòu)如圖 510所示 ， 其特點(diǎn)是形成了一個(gè) 基于代理的分層順序控制和報(bào)告結(jié)構(gòu) 。 返回本章首頁(yè) 42 第五章 入侵檢測(cè)技術(shù) 頁(yè) 2023/2/25 頁(yè)頁(yè)用 戶 接 口監(jiān) 視 器收 發(fā) 器 收 發(fā) 器代理代理代理代理代理代理主 機(jī)圖 5 1 0 A A F I D 體 系 結(jié) 構(gòu) 圖返回本章首頁(yè) 43 第五章 入侵檢測(cè)技術(shù) 頁(yè) 2023/2/25 頁(yè)頁(yè)3． DIDS ?DIDS(Distributed Intrusion Detection System)是由 UC Davis的 Security Lab完成的 ， 它集成了兩種已有的入侵檢測(cè)系統(tǒng) ， Haystack和 NSM。 ?Haystack由 Tracor Applied Sciences and Haystack實(shí)驗(yàn)室針對(duì)多用戶主機(jī)的檢測(cè)任務(wù)而開發(fā) ， 數(shù)據(jù)源來(lái)自主機(jī)的系統(tǒng)日志 。 ?NSM則是由 UC Davis開發(fā)的網(wǎng)絡(luò)安全監(jiān)視器 ， 通過對(duì)數(shù)據(jù)包 、 連接記錄 、 應(yīng)用層會(huì)話的分析 ， 結(jié)合入侵特征庫(kù)和正常的網(wǎng)絡(luò)流或會(huì)話記錄的模式庫(kù) ， 判斷當(dāng)前的網(wǎng)絡(luò)行為是否包含入侵或異常 。 返回本章首頁(yè) 44 第五章 入侵檢測(cè)技術(shù) 頁(yè) 2023/2/25 頁(yè)頁(yè)4． GrIDS ? GrIDS （ Graphbased Intrusion Detection System） 同樣由 UC Davis提出并實(shí)現(xiàn) ?該系統(tǒng)實(shí)現(xiàn)了一種在大規(guī)模網(wǎng)絡(luò)中使用圖形化表示的方法來(lái)描述網(wǎng)絡(luò)行為的途徑 ， 其設(shè)計(jì)目標(biāo)主要針對(duì)大范圍的網(wǎng)絡(luò)攻擊 ， 例如掃描 、 協(xié)同攻擊 、網(wǎng)絡(luò)蠕蟲等 。 ?GrIDS的缺陷在于只是給出了網(wǎng)絡(luò)連接的圖形化表示 ， 具體的入侵判斷仍然需要人工完成 ， 而且系統(tǒng)的有效性和效率都有待驗(yàn)證和提高 。 返回本章首頁(yè) 45 第五章 入侵檢測(cè)技術(shù) 頁(yè)