【正文】 異常檢測(cè)的系統(tǒng)示意圖 審計(jì)數(shù)據(jù) 系統(tǒng)正常行為特征輪廓 統(tǒng)計(jì)分析 偏離正常的行為特征 入侵行為 動(dòng)態(tài)產(chǎn)生新的行為特征 更新 誤用檢測(cè) IDS ? 誤用檢測(cè)模型是指根據(jù)已知的入侵模式來(lái)檢測(cè)入侵。 ? 首先對(duì)已知的攻擊方法進(jìn)行攻擊簽名表示，然后根據(jù)已經(jīng)定義好的攻擊簽名，通過(guò)判斷這些攻擊簽名是否出現(xiàn)來(lái)判斷入侵行為，是一種直接的方法。 誤用入侵檢測(cè)模型 模式庫(kù) 攻擊者 報(bào)警 匹配 異常檢測(cè)與誤用檢測(cè)比較 ? 異常檢測(cè)是試圖發(fā)現(xiàn)一些未知的入侵行為，誤用檢測(cè)是標(biāo)識(shí)一些已知的入侵行為。 ? 異常檢測(cè)是根據(jù)使用者的行為或資源使用情況來(lái)判斷是否入侵，不依賴(lài)于具體行為是否出現(xiàn)來(lái)檢測(cè)，而誤用檢測(cè)系統(tǒng)則通過(guò)對(duì)具體行為的判斷和推理檢測(cè)入侵。 ? 異常檢測(cè)的主要缺陷在于誤檢率很高 ，而誤用檢測(cè)系統(tǒng)由于依據(jù)具體特征庫(kù)進(jìn)行判斷，準(zhǔn)確率較高。 ? 異常檢測(cè)系統(tǒng)的具體系統(tǒng)的依賴(lài)性相對(duì)較小，而誤用檢測(cè)對(duì)具體系統(tǒng)的依賴(lài)性很強(qiáng)，移植性不好 入侵檢測(cè)分析方法 的進(jìn)一步討論 ? 深入討論 兩種入侵檢測(cè)的分析方法，并比較其優(yōu)缺點(diǎn)，一類(lèi)是異常檢測(cè)技術(shù)，另一類(lèi)是誤用檢測(cè)技術(shù)。 異常檢測(cè)技術(shù) ? 異常檢測(cè)的主要前提是入侵活動(dòng)是異?；顒?dòng)的子集，理想情況是異常活動(dòng)集與入侵活動(dòng)集相等。 ? 但實(shí)際上，入侵性活動(dòng)集并不是總與異常活動(dòng)集相符合，這樣就存在 4種可能性： ? （ 1）入侵性而非異常； ? （ 2）非入侵性而正常； ? （ 3）非入侵性而非異常； ? （ 4）入侵性而異常。 因此異常入侵檢測(cè)要解決的問(wèn)題是在這些活動(dòng)集中發(fā)現(xiàn)入侵活動(dòng)集。 異常檢測(cè)技術(shù)的分類(lèi) ? 統(tǒng)計(jì)分析檢測(cè)方法 ? 神經(jīng)網(wǎng)絡(luò)檢測(cè)方法 ? 機(jī)器學(xué)習(xí)檢測(cè)方法 ? 特征選擇檢測(cè)方法 異常檢測(cè)技術(shù) — 統(tǒng)計(jì)分析方法 ? 統(tǒng)計(jì)分析方法首先給系統(tǒng)對(duì)象（如用戶文件、目錄和設(shè)備等）創(chuàng)建一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性（如訪問(wèn)次數(shù)、操作失敗次數(shù)和延時(shí)等），測(cè)量屬性的平均值將被用來(lái)與網(wǎng)絡(luò)系統(tǒng)的行為進(jìn)行比較。任何觀察值在正常值范圍之外時(shí)，就認(rèn)為有入侵發(fā)生。例如，統(tǒng)計(jì)分析發(fā)現(xiàn)一個(gè)在早八點(diǎn)至晚六點(diǎn)不登錄的帳戶，卻在凌晨?jī)牲c(diǎn)試圖登錄，然后可能會(huì)標(biāo)識(shí)成一個(gè)入侵行為。 ? 統(tǒng)計(jì)分析的優(yōu)點(diǎn)是它可以 “ 學(xué)習(xí) ” 用戶的使用習(xí)慣，從而具有較高的檢測(cè)率和可用性。 統(tǒng)計(jì)分析方法 — 貝葉斯（ Bayes）分類(lèi)算法 ? 貝葉斯分類(lèi)算法是一種基于統(tǒng)計(jì)分析的典型算法，具有最小錯(cuò)誤率的概率分類(lèi)算法，它根據(jù)所觀察到的數(shù)據(jù)及概率進(jìn)行推算，從而做出最優(yōu)的抉擇。 貝葉斯算法的基本思路 ? 在入侵檢測(cè)中，我們通過(guò)對(duì)隨機(jī)事件的數(shù)據(jù)進(jìn)行預(yù)處理，提取其相應(yīng)特征，得到一隨機(jī)矢量 ，其中 表示系統(tǒng)不同方面的特征 。 （如磁盤(pán) I/O的互動(dòng)數(shù)量，系統(tǒng)中的頁(yè)面出錯(cuò)率等）。 ? 貝葉斯分類(lèi)算法就是把檢測(cè)對(duì)象的行為進(jìn)行分類(lèi)，即對(duì)隨機(jī)矢量 分類(lèi)，比如分為正常行為，異常行為和入侵行為等。此時(shí)要求知道該變量對(duì)每一類(lèi)行為的概率分布，然后根據(jù)貝葉斯定理得到每個(gè)類(lèi)別的概率，最后將其歸入概率最高的類(lèi)別。 12( , , ... )nX a a a ia12( , , ... )nX a a a貝葉斯算法的具體方法 （ 1）假設(shè)已知先驗(yàn)概率 其中 ， 為類(lèi)別的總數(shù)，和該變量對(duì)每一類(lèi)行為的條件概率分布 ， （ 2）根據(jù)每一類(lèi)別定義一個(gè)判別函數(shù) ， 并且以后驗(yàn)概率作為判別函數(shù)，即 （ 3）判別規(guī)則：如果， ，則 （ 4）該決策使得在在觀測(cè)值下 的錯(cuò)誤率最小 ? ?ip ? 1 , 2 , ...ic? c? ?igX? ?ixP ? 1 , 2 , ...ic?? ? ? ?xpxg ii ??1 , 2 , ...ic?? ? ? ?? ?xgm a xxg iii ? ix ??x 后驗(yàn)概率的計(jì)算 甴上述公式可以看出，只需比較 即可。 公式可簡(jiǎn)化為： 但是對(duì)于條件概率的選取，要求模型合理化和計(jì)算可行性，在實(shí)際中，可選取正態(tài)分布的概率密度模型。 ? ? ? ?? ? ? ? ? ?? ? ? ?jjjiiii xPPxPpxPxPxP????????? ，? ? ? ?ii xPP ??? ? ? ? ? ?iiiij xPPm a xa rgxPm a xa rg ??? ?貝葉斯算法的優(yōu)點(diǎn) ? 在入侵檢測(cè)中采用貝葉斯分類(lèi)算法，是在現(xiàn)有網(wǎng)絡(luò)入侵的算法存在誤報(bào)率基礎(chǔ)上，通過(guò)學(xué)習(xí)減少誤報(bào)率的一種有效算法 異常檢測(cè)算法 — 神經(jīng)網(wǎng)絡(luò)檢測(cè)法 ? 神經(jīng)網(wǎng)絡(luò)檢測(cè)是將神經(jīng)網(wǎng)絡(luò)算法用于對(duì)系統(tǒng)和用戶的學(xué)習(xí)。通過(guò)訓(xùn)練神經(jīng)網(wǎng)絡(luò)連續(xù)的信息單元來(lái)進(jìn)行入侵檢測(cè)，網(wǎng)絡(luò)的輸入層由用戶當(dāng)前輸入的命令和已執(zhí)行的 W個(gè)命令組成；用戶執(zhí)行過(guò)的命令被用來(lái)預(yù)測(cè)用戶輸入的下一個(gè)命令。當(dāng)神經(jīng)網(wǎng)絡(luò)預(yù)測(cè)不出某用戶正確的后續(xù)指令，表明有異常事件發(fā)生，以此進(jìn)行入侵檢測(cè)。 異常檢測(cè)算法 — 機(jī)器學(xué)習(xí)檢測(cè)法 ? 通過(guò)機(jī)器學(xué)習(xí)實(shí)現(xiàn)入侵檢測(cè)，主要方法有死記硬背式、監(jiān)督學(xué)習(xí)、歸納學(xué)習(xí)、類(lèi)比學(xué)習(xí)等。 ? 根據(jù)離散數(shù)據(jù)臨時(shí)序列學(xué)習(xí)獲得個(gè)體、系統(tǒng)和網(wǎng)絡(luò)的行為特征，并提出基于相似度實(shí)例的學(xué)習(xí)方法。 ? 該方法通過(guò)新的序列相似度計(jì)算將原始數(shù)據(jù)轉(zhuǎn)化為可度量的空間，從而進(jìn)行入侵檢測(cè)。 異常檢測(cè)技術(shù) — 特征選擇檢測(cè)方法 ? 在一組度量中挑選能檢測(cè)出入侵的度量構(gòu)成子集，來(lái)準(zhǔn)確地預(yù)測(cè)或分類(lèi)以檢測(cè)到的入侵。但判斷符合實(shí)際的度量是復(fù)雜的，因?yàn)楹线m地選擇度量子集依賴(lài)于檢測(cè)到的入侵類(lèi)型 異常檢測(cè)技術(shù)的優(yōu)缺點(diǎn) ? 優(yōu)點(diǎn) ? 能夠檢測(cè)出新的網(wǎng)絡(luò)入侵方法的攻擊 ? 較少依賴(lài)于特定的主機(jī)操作系統(tǒng) ? 對(duì)于內(nèi)部合法用戶的越權(quán)違法行為的檢測(cè)能力較強(qiáng) ? 缺點(diǎn) ? 誤報(bào)率高 ? 行為模型難以建立 ? 難以對(duì)入侵行為分類(lèi)和命名 誤用入侵檢測(cè)技術(shù)的分類(lèi) ? 基于知識(shí)的專(zhuān)家系統(tǒng)檢測(cè) ? 模式匹配系統(tǒng) ? 條件概率檢測(cè)方法 ? 模型推理檢測(cè)方法 ? 狀態(tài)轉(zhuǎn)換分析方法 誤用檢測(cè)技術(shù)的優(yōu)缺點(diǎn) ? 優(yōu)點(diǎn) ? 檢測(cè)準(zhǔn)確度高 ? 技術(shù)相對(duì)成熟 ? 便于進(jìn)行系統(tǒng)防護(hù) ? 缺點(diǎn) ? 不能檢測(cè)出新的入侵行為 ? 維護(hù)特征庫(kù)的工作量大 ? 難以檢測(cè)來(lái)自?xún)?nèi)部用戶的攻擊 入侵檢測(cè)系統(tǒng)的優(yōu)點(diǎn)和局限性 ? 入侵檢測(cè)系統(tǒng)的優(yōu)點(diǎn) ? 可以檢測(cè)和分析系統(tǒng)事件以及用戶行為 ? 可以測(cè)試系統(tǒng)設(shè)置的安全狀態(tài) ? 以系統(tǒng)的安全狀態(tài)為基礎(chǔ)，跟蹤任何對(duì)系統(tǒng)安全的修改操作 ? 通過(guò)模式識(shí)別等技術(shù)從通信行為中檢測(cè)出已知的攻擊行為 ? 可以對(duì)網(wǎng)絡(luò)通信行為進(jìn)行統(tǒng)計(jì)，并進(jìn)行檢測(cè)分析 入侵檢測(cè)系統(tǒng)的優(yōu)點(diǎn)和局限性 ? 局限性 ? 無(wú)法彌補(bǔ)安全防御系統(tǒng)中的安全缺陷和漏洞。 ? 對(duì)于高負(fù)載的網(wǎng)絡(luò)和主機(jī)，很難實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)入侵的實(shí)時(shí)檢測(cè)、報(bào)警和迅速地進(jìn)行攻擊、響應(yīng)。 ? 基于知識(shí)的入侵檢測(cè)系統(tǒng)很難檢測(cè)到未知的攻擊行為。 ? 入侵檢測(cè)系統(tǒng)的主動(dòng)防御功能和聯(lián)動(dòng)防御功能會(huì)對(duì)網(wǎng)絡(luò)的行為產(chǎn)生影響。 ? 入侵檢測(cè)系統(tǒng)無(wú)法單獨(dú)防止攻擊行為的滲透。 ? 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)在純交換環(huán)境中無(wú)法正常工作。 ? 入侵檢測(cè)系統(tǒng)主要是對(duì)網(wǎng)絡(luò)行為進(jìn)行分析，不能修正信息資源中存在的安全問(wèn)題。 Quiz ? 請(qǐng)闡述防火墻兩種包過(guò)濾的規(guī)則配置，即兩種主要策略。 ? 請(qǐng)闡述入侵檢測(cè)的異常檢測(cè)和誤用檢測(cè)。