【正文】 ? 請(qǐng)闡述入侵檢測(cè)的異常檢測(cè)和誤用檢測(cè)。 ? 入侵檢測(cè)系統(tǒng)主要是對(duì)網(wǎng)絡(luò)行為進(jìn)行分析，不能修正信息資源中存在的安全問(wèn)題。 ? 入侵檢測(cè)系統(tǒng)無(wú)法單獨(dú)防止攻擊行為的滲透。 ? 基于知識(shí)的入侵檢測(cè)系統(tǒng)很難檢測(cè)到未知的攻擊行為。但判斷符合實(shí)際的度量是復(fù)雜的，因?yàn)楹线m地選擇度量子集依賴(lài)于檢測(cè)到的入侵類(lèi)型 異常檢測(cè)技術(shù)的優(yōu)缺點(diǎn) ? 優(yōu)點(diǎn) ? 能夠檢測(cè)出新的網(wǎng)絡(luò)入侵方法的攻擊 ? 較少依賴(lài)于特定的主機(jī)操作系統(tǒng) ? 對(duì)于內(nèi)部合法用戶(hù)的越權(quán)違法行為的檢測(cè)能力較強(qiáng) ? 缺點(diǎn) ? 誤報(bào)率高 ? 行為模型難以建立 ? 難以對(duì)入侵行為分類(lèi)和命名 誤用入侵檢測(cè)技術(shù)的分類(lèi) ? 基于知識(shí)的專(zhuān)家系統(tǒng)檢測(cè) ? 模式匹配系統(tǒng) ? 條件概率檢測(cè)方法 ? 模型推理檢測(cè)方法 ? 狀態(tài)轉(zhuǎn)換分析方法 誤用檢測(cè)技術(shù)的優(yōu)缺點(diǎn) ? 優(yōu)點(diǎn) ? 檢測(cè)準(zhǔn)確度高 ? 技術(shù)相對(duì)成熟 ? 便于進(jìn)行系統(tǒng)防護(hù) ? 缺點(diǎn) ? 不能檢測(cè)出新的入侵行為 ? 維護(hù)特征庫(kù)的工作量大 ? 難以檢測(cè)來(lái)自?xún)?nèi)部用戶(hù)的攻擊 入侵檢測(cè)系統(tǒng)的優(yōu)點(diǎn)和局限性 ? 入侵檢測(cè)系統(tǒng)的優(yōu)點(diǎn) ? 可以檢測(cè)和分析系統(tǒng)事件以及用戶(hù)行為 ? 可以測(cè)試系統(tǒng)設(shè)置的安全狀態(tài) ? 以系統(tǒng)的安全狀態(tài)為基礎(chǔ)，跟蹤任何對(duì)系統(tǒng)安全的修改操作 ? 通過(guò)模式識(shí)別等技術(shù)從通信行為中檢測(cè)出已知的攻擊行為 ? 可以對(duì)網(wǎng)絡(luò)通信行為進(jìn)行統(tǒng)計(jì)，并進(jìn)行檢測(cè)分析 入侵檢測(cè)系統(tǒng)的優(yōu)點(diǎn)和局限性 ? 局限性 ? 無(wú)法彌補(bǔ)安全防御系統(tǒng)中的安全缺陷和漏洞。 ? 該方法通過(guò)新的序列相似度計(jì)算將原始數(shù)據(jù)轉(zhuǎn)化為可度量的空間，從而進(jìn)行入侵檢測(cè)。 異常檢測(cè)算法 — 機(jī)器學(xué)習(xí)檢測(cè)法 ? 通過(guò)機(jī)器學(xué)習(xí)實(shí)現(xiàn)入侵檢測(cè)，主要方法有死記硬背式、監(jiān)督學(xué)習(xí)、歸納學(xué)習(xí)、類(lèi)比學(xué)習(xí)等。通過(guò)訓(xùn)練神經(jīng)網(wǎng)絡(luò)連續(xù)的信息單元來(lái)進(jìn)行入侵檢測(cè)，網(wǎng)絡(luò)的輸入層由用戶(hù)當(dāng)前輸入的命令和已執(zhí)行的 W個(gè)命令組成；用戶(hù)執(zhí)行過(guò)的命令被用來(lái)預(yù)測(cè)用戶(hù)輸入的下一個(gè)命令。 公式可簡(jiǎn)化為： 但是對(duì)于條件概率的選取，要求模型合理化和計(jì)算可行性，在實(shí)際中，可選取正態(tài)分布的概率密度模型。此時(shí)要求知道該變量對(duì)每一類(lèi)行為的概率分布，然后根據(jù)貝葉斯定理得到每個(gè)類(lèi)別的概率，最后將其歸入概率最高的類(lèi)別。 （如磁盤(pán) I/O的互動(dòng)數(shù)量，系統(tǒng)中的頁(yè)面出錯(cuò)率等）。 統(tǒng)計(jì)分析方法 — 貝葉斯（ Bayes）分類(lèi)算法 ? 貝葉斯分類(lèi)算法是一種基于統(tǒng)計(jì)分析的典型算法，具有最小錯(cuò)誤率的概率分類(lèi)算法，它根據(jù)所觀察到的數(shù)據(jù)及概率進(jìn)行推算，從而做出最優(yōu)的抉擇。例如，統(tǒng)計(jì)分析發(fā)現(xiàn)一個(gè)在早八點(diǎn)至晚六點(diǎn)不登錄的帳戶(hù)，卻在凌晨?jī)牲c(diǎn)試圖登錄，然后可能會(huì)標(biāo)識(shí)成一個(gè)入侵行為。 異常檢測(cè)技術(shù)的分類(lèi) ? 統(tǒng)計(jì)分析檢測(cè)方法 ? 神經(jīng)網(wǎng)絡(luò)檢測(cè)方法 ? 機(jī)器學(xué)習(xí)檢測(cè)方法 ? 特征選擇檢測(cè)方法 異常檢測(cè)技術(shù) — 統(tǒng)計(jì)分析方法 ? 統(tǒng)計(jì)分析方法首先給系統(tǒng)對(duì)象（如用戶(hù)文件、目錄和設(shè)備等）創(chuàng)建一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性（如訪問(wèn)次數(shù)、操作失敗次數(shù)和延時(shí)等），測(cè)量屬性的平均值將被用來(lái)與網(wǎng)絡(luò)系統(tǒng)的行為進(jìn)行比較。 ? 但實(shí)際上，入侵性活動(dòng)集并不是總與異?；顒?dòng)集相符合，這樣就存在 4種可能性： ? （ 1）入侵性而非異常； ? （ 2）非入侵性而正常； ? （ 3）非入侵性而非異常； ? （ 4）入侵性而異常。 ? 異常檢測(cè)系統(tǒng)的具體系統(tǒng)的依賴(lài)性相對(duì)較小，而誤用檢測(cè)對(duì)具體系統(tǒng)的依賴(lài)性很強(qiáng)，移植性不好 入侵檢測(cè)分析方法 的進(jìn)一步討論 ? 深入討論 兩種入侵檢測(cè)的分析方法，并比較其優(yōu)缺點(diǎn)，一類(lèi)是異常檢測(cè)技術(shù)，另一類(lèi)是誤用檢測(cè)技術(shù)。 ? 異常檢測(cè)是根據(jù)使用者的行為或資源使用情況來(lái)判斷是否入侵，不依賴(lài)于具體行為是否出現(xiàn)來(lái)檢測(cè)，而誤用檢測(cè)系統(tǒng)則通過(guò)對(duì)具體行為的判斷和推理檢測(cè)入侵。 ? 首先對(duì)已知的攻擊方法進(jìn)行攻擊簽名表示，然后根據(jù)已經(jīng)定義好的攻擊簽名，通過(guò)判斷這些攻擊簽名是否出現(xiàn)來(lái)判斷入侵行為，是一種直接的方法。 ? 是通過(guò)比較當(dāng)前的系統(tǒng)和用戶(hù)的行為是否偏離正常的行為特征輪廓來(lái)判斷是否發(fā)生了入侵行為，是一種間接的方法。 ? 基于網(wǎng)絡(luò)的 IDS可以研究 負(fù)載的內(nèi)容 ，查找特定攻擊中使用的命令或語(yǔ)法，這類(lèi)攻擊可以被實(shí)時(shí)檢查包序列的IDS迅速識(shí)別，而基于主機(jī)的系統(tǒng)無(wú)法看到負(fù)載，因此，也無(wú)法識(shí)別嵌入式的負(fù)載攻擊。 基于網(wǎng)絡(luò)的 IDS的系統(tǒng)結(jié)構(gòu) 嗅探器 嗅探器 入侵分析引擎 管理 /配置器 （接口） 網(wǎng)絡(luò)安全數(shù)據(jù)庫(kù) 分析結(jié)果 基于網(wǎng)絡(luò)的 IDS優(yōu)點(diǎn) ? 實(shí)時(shí)檢測(cè)、應(yīng)答和攻擊預(yù)警 ? 能夠檢測(cè)到不成功的攻擊企圖 ? 攻擊者轉(zhuǎn)移數(shù)據(jù)更困難 ? 與操作系統(tǒng)無(wú)關(guān) ? 成本低 基于主機(jī)的 IDS與基于網(wǎng)絡(luò)的 IDS比較 ? 如果 攻擊不經(jīng)過(guò)網(wǎng)絡(luò) ，基于網(wǎng)絡(luò)的 IDS無(wú)法檢測(cè)到，只能通過(guò)使用基于主機(jī)的 IDS來(lái)檢測(cè)。 ? 如果匹配，檢測(cè)系統(tǒng)就向管理員發(fā)出入侵報(bào)警，并且采取相應(yīng)的行動(dòng)。 3. 網(wǎng)絡(luò)技術(shù)安全性的措施 入侵檢測(cè) 按數(shù)據(jù)來(lái)源不同，可將入侵檢測(cè)系統(tǒng)分為： ? 基于主機(jī)的 IDS ? 基于網(wǎng)絡(luò)的 IDS 按檢測(cè)分析方法不同，可將入侵檢測(cè)系統(tǒng)分為： ? 異常檢測(cè) IDS ? 誤用檢測(cè) IDS 入侵檢測(cè)系統(tǒng)的其它分類(lèi)方法 ? 按照時(shí)效性劃分 ? 脫機(jī)分析 ? 聯(lián)機(jī)分析 ? 按照分布性劃分 ? 集中式 ? 分布式 ? 按照入侵檢測(cè)系統(tǒng)的相應(yīng)方式劃分 ? 主動(dòng)的入侵檢測(cè)系統(tǒng) ? 被動(dòng)的入侵檢測(cè)系統(tǒng) 入侵檢測(cè)的分類(lèi) 按照入侵檢測(cè)的數(shù)據(jù)來(lái)源不同，可將入侵檢測(cè)系統(tǒng)分為： ? 基于主機(jī)的 IDS ? 基于網(wǎng)絡(luò)的 IDS 基于主機(jī)的 IDS ? 基于主機(jī)的 IDS一般以 系統(tǒng)日志、應(yīng)用程序日志 等 審計(jì)記錄 作為數(shù)據(jù)源。 ? 是保障系統(tǒng)動(dòng)態(tài)安全的核心技術(shù)之一。 3. 網(wǎng)絡(luò)技術(shù)安全性的措施 入侵檢測(cè) ? 入侵檢測(cè)是防火墻的合理補(bǔ)充，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力，包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。如觸角長(zhǎng)和翼長(zhǎng)分別為（ , ）、（, ）、（ , ） ? 2，設(shè) A為益蟲(chóng)， B為害蟲(chóng)，是否需要對(duì)提出的分類(lèi)方法進(jìn)行修改。 3. 網(wǎng)絡(luò)技術(shù)安全性的措施 防火墻 應(yīng)用層代理結(jié)構(gòu)示意圖 3. 網(wǎng)絡(luò)技術(shù)安全性的措施 防火墻 ? 應(yīng)用層代理技術(shù)優(yōu)點(diǎn) ? 能支持可靠的用戶(hù)認(rèn)證并提供詳細(xì)的注冊(cè)信息 ? 過(guò)濾規(guī)則更容易配置和測(cè)試 ? 可以提供詳細(xì)的日志和安全審計(jì)功能 ? 可以隱藏內(nèi)部網(wǎng)絡(luò)的 IP地址，保護(hù)內(nèi)部主機(jī)免受外部主機(jī)的攻擊 3. 網(wǎng)絡(luò)技術(shù)安全性的措施 防火墻 ? 應(yīng)用層代理技術(shù)的局限性 ? 有限的連接性：可能需要針對(duì)每種應(yīng)用設(shè)置一個(gè)不同的代理服務(wù)器 ? 有限的技術(shù)：很難為 RPC、 Talk和其他通用協(xié)議族服務(wù)提供代理 ? 應(yīng)用層實(shí)現(xiàn)的防火墻會(huì)造成明顯的性能下降 ? 對(duì)用戶(hù)不透明，維護(hù)相對(duì)復(fù)雜 ? 對(duì)操作系統(tǒng)和應(yīng)用層的漏洞是脆弱的，不能有效檢查底層信息 3. 網(wǎng)絡(luò)技術(shù)安全性的措施 防火墻 ? 電路級(jí)代理 (Circuit Level Gateway) ? 工作原理和組成結(jié)構(gòu)與應(yīng)用層代理相似 ? 不針對(duì)專(zhuān)門(mén)的應(yīng)用協(xié)議，是一種通用的 TCP/UDP連接中繼服務(wù)，是建立在傳輸層上的一種代理 ? 實(shí)際上是更深入的報(bào)文過(guò)濾技術(shù) ? 對(duì)于所有的服務(wù)都采用相同的代理 ? 通常都要求對(duì)客戶(hù)程序進(jìn)行修改 ? 例子： SOCKS 回顧 ? 防火墻中兩種包過(guò)濾的規(guī)則配置，即兩種主要策略是寬松策略 和 禁止策略。通過(guò)身份認(rèn)證后，防火墻運(yùn)行相應(yīng)的應(yīng)用代理程序，把外部主機(jī)與內(nèi)部主機(jī)連接，內(nèi)部網(wǎng)絡(luò)主機(jī)只接受應(yīng)用層代理提出的服務(wù)請(qǐng)求，拒絕外部網(wǎng)絡(luò)節(jié)點(diǎn)的直接請(qǐng)求。 3. 網(wǎng)絡(luò)技術(shù)安全性的措施 防火墻 ? 應(yīng)用級(jí)代理 (Application P