【正文】 誤用檢測 誤用檢測模型 ? 如果入侵特征與正常的用戶行能匹配 ， 則系統(tǒng)會發(fā)生 誤報(bào) ；如果沒有特征能與某種新的攻擊行為匹配 ， 則系統(tǒng)會發(fā)生 漏報(bào) ? 特點(diǎn)： 采用特征匹配，濫用模式能明顯降低錯報(bào)率，但漏報(bào)率隨之增加。因?yàn)椴恍枰獙γ糠N入侵行為進(jìn)行定義，因此能有效檢測未知的入侵。該過程可以很簡單 （ 如通過字符串匹配以尋找一個簡單的條目或指令 ） ， 也可以很復(fù)雜 （ 如利用正規(guī)的數(shù)學(xué)表達(dá)式來表示安全狀態(tài)的變化 ） 統(tǒng)計(jì)分析 ? 統(tǒng)計(jì)分析方法首先給系統(tǒng)對象（如用戶、文件、目錄和設(shè)備等）創(chuàng)建一個統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時的一些測量屬性（如訪問次數(shù)、操作失敗次數(shù)和延時等） ? 測量屬性的平均值將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，任何觀察值在正常值范圍之外時，就認(rèn)為有入侵發(fā)生 完整性分析 ? 完整性分析主要關(guān)注某個文件或?qū)ο笫欠癖桓模@經(jīng)常包括文件和目錄的內(nèi)容及屬性，它在發(fā)現(xiàn)被更改的、被安裝木馬的應(yīng)用程序方面特別有效 入侵檢測的分類（ 1） ? 按照分析方法（檢測方法） ?異常檢測模型（ Anomaly Detection ):首先總結(jié)正常操作應(yīng)該具有的特征（用戶輪廓），當(dāng)用戶活動與正常行為有重大偏離時即被認(rèn)為是入侵 ?誤用檢測模型（ Misuse Detection)： 收集非正常操作的行為特征，建立相關(guān)的特征庫，當(dāng)監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時，系統(tǒng)就認(rèn)為這種行為是入侵 異常檢測 Below Threshold levels Exceed Threshold Levels System Audit Metrics Profiler Intrusion Normal Activity 異常檢測模型 1. 前提：入侵是異?；顒拥淖蛹? 2. 用戶輪廓 (Profile): 通常定義為各種行為參數(shù)及其閥值的集合，用于描述正常行為范圍 3. 過程 監(jiān)控 ? 量化 ? 比較 ? 判定 ? 修正 4. 指標(biāo) :漏報(bào) (false positive),錯報(bào) (false negative) 異常檢測 異常檢測 ? 如果系統(tǒng)錯誤地將異常活動定義為入侵，稱為誤報(bào) (false positive) ；如果系統(tǒng)未能檢測出真正的入侵行為則稱為 漏報(bào) (false negative)。 ? 需要在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)（不同網(wǎng)段和不同主機(jī)）收集信息， ?盡可能擴(kuò)大檢測范圍 ?從一個源來的信息有可能看不出疑點(diǎn) 信息收集 ? 入侵檢測很大程度上依賴于收集信息的可靠性和正確性，因此，要保證用來檢測網(wǎng)絡(luò)系統(tǒng)的軟件的完整性，特別是入侵檢測系統(tǒng)軟件本身應(yīng)具有相當(dāng)強(qiáng)的堅(jiān)固性，防止被篡改而收集到錯誤的信息 信息收集的來源 ?系統(tǒng)或網(wǎng)絡(luò)的日志文件 ?網(wǎng)絡(luò)流量 ?系統(tǒng)目錄和文件的異常變化 ?程序執(zhí)行中的異常行為 系統(tǒng)或網(wǎng)絡(luò)的日志文件 ? 黑客經(jīng)常在系統(tǒng)日志文件中留下他們的蹤跡 ，因此 ， 充分利用系統(tǒng)和網(wǎng)絡(luò)日志文件信息是檢測入侵的必要條件 ? 日志文件中記錄了各種行為類型 ， 每種類型又包含不同的信息 ， 例如記錄 “ 用戶活動 ” 類型的日志 ， 就包含登錄 、 用戶 ID改變 、 用戶對文件的訪問 、 授權(quán)和認(rèn)證信息等內(nèi)容 ? 顯然 ， 對用戶活動來講 ， 不正常的或不期望的行為就是重復(fù)登錄失敗 、 登錄到不期望的位置以及非授權(quán)的企圖訪問重要文件等等 系統(tǒng)目錄和文件的異常變化 ? 網(wǎng)絡(luò)環(huán)境中的文件系統(tǒng)包含很多軟件和數(shù)據(jù)文件 ， 包含重要信息的文件和私有數(shù)據(jù)文件經(jīng)常是黑客修改或破壞的目標(biāo) 。它通過從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)的關(guān)鍵點(diǎn)收集信息并進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象 Intrusion Detection 入侵檢測的定義 ? 對系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證系統(tǒng)資源的機(jī)密性、完整性和可用性 ? 進(jìn)行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng) ? IDS : Intrusion Detection System 入侵檢測的特點(diǎn) 一個完善的入侵檢測系統(tǒng)的特點(diǎn)： ?經(jīng)濟(jì)性 ?時效性 ?安全性 ?可擴(kuò)展性 網(wǎng)絡(luò)安全工具的特點(diǎn) 優(yōu)點(diǎn) 局限性 防火墻 可簡化網(wǎng)絡(luò)管理，產(chǎn)品成熟 無法處理網(wǎng)絡(luò)內(nèi)部的攻擊 IDS 實(shí)時監(jiān)控網(wǎng)絡(luò)安全狀態(tài) 誤報(bào)警，緩慢攻擊，新的攻擊模式 Scanner 簡單可操作，幫助系統(tǒng)管理員和安全服務(wù)人員解決實(shí)際問題 并不能真正掃描漏洞 VPN 保護(hù)公網(wǎng)上的內(nèi)部通信 可視為防火墻上的一個漏洞 防病毒 針對文件與郵件，產(chǎn)品成熟 功能單一 1980年 Anderson提出：入侵檢測概念，分類方法 1987年 Denning提出了一種通用的入侵檢測模型 獨(dú)立性 ：系統(tǒng)、環(huán)境、脆弱性、入侵種類 系統(tǒng)框架 ：異常檢測器，專家系統(tǒng) 90年初： CMDS? 、 NetProwler? 、 NetRanger? ISS RealSecure? 入侵檢測起源 入侵檢測的起源（ 1） ? 審計(jì)技術(shù)：產(chǎn)生、記錄并檢查按時間順序排列的系統(tǒng)事件記錄的過程 ? 審計(jì)的目標(biāo)： ?確定和保持系統(tǒng)活動中每個人的責(zé)任 ?重建事件 ?評估損失 ?監(jiān)測系統(tǒng)的問題區(qū) ?提供有效的災(zāi)難恢復(fù) ?阻止系統(tǒng)的不正當(dāng)使用 入侵檢測的起源（ 2） ? 計(jì)算機(jī)安全和審計(jì) ? 美國國防部在 70年代支持“可信信息系統(tǒng)”的研究，最終審計(jì)機(jī)制納入 《 可信計(jì)算機(jī)系統(tǒng)評估準(zhǔn)則 》 （ TCSEC） C2級以上系統(tǒng)的要求的一部分 ? “褐皮書” 《 理解可信系統(tǒng)中的審計(jì)指南 》 入侵檢測的起源（ 3） ?1980年 4月 ， James P. Anderson :《 Computer Security Threat Monitoring and Surveillance》（計(jì)算機(jī)安全威脅監(jiān)控與監(jiān)視）的技術(shù)報(bào)告，第一次詳細(xì)闡述了入侵檢測的概念 ?他提出了一種對計(jì)算機(jī)系統(tǒng)風(fēng)險(xiǎn)和威脅的分類方法，并將威脅分為外部滲透、內(nèi)部滲透和不法行為三種 ?還提出了利用審計(jì)跟蹤數(shù)據(jù)監(jiān)視入侵活動的思想。信息安全技術(shù) 許紅星 1. 概述 2. 入侵檢測方法 3. 入侵檢測系統(tǒng)的設(shè)計(jì)原理 4. 入侵檢測響應(yīng)機(jī)制 5. 入侵檢測標(biāo)準(zhǔn)化工作 6. 其它 7. 展望 ? 概述 2. 入侵檢測方法 3. 入侵檢測系統(tǒng)的設(shè)計(jì)原理 4. 入侵檢測響應(yīng)機(jī)制 5. 入侵檢測標(biāo)準(zhǔn)化工作 6. 其它 7. 展望 Intrusion ?Intrusion : Attempting to break into or misuse your system. ?Intruders may be from outside the work or legitimate users of the work. ?Intrusion can be a physical, system or remote intrusion. ? 傳統(tǒng)的信息安全方法采用嚴(yán)格的訪問控制和數(shù)據(jù)加密策略來防護(hù)，但在復(fù)雜系統(tǒng)中，這些策略是不充分的。它們是系統(tǒng)安全不可缺的部分但不能完全保證系統(tǒng)的安全 ? 入侵檢測（ Intrusion Detection）是對入侵行為的發(fā)覺。這份報(bào)告被公認(rèn)為是入侵檢測的開山之作 入侵檢測的起源（ 4） 從 1984年到 1986年，喬治敦大學(xué)的 Dorothy Denning和SRI/CSL的 Peter Neumann研究出了一個實(shí)時入侵檢測系統(tǒng)模型，取名為 IDES（入侵檢測專家系統(tǒng)） 入侵檢測的起源（ 5） ?1990，加州大學(xué)戴維斯分校的 L. T. Heberlein等人開發(fā)出了 NSM（ Network Security Monitor） ?該系統(tǒng)第一次直接將網(wǎng)絡(luò)流作為審計(jì)數(shù)據(jù)來源，因而可以在不將審計(jì)數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一格式的情況下監(jiān)控異種主機(jī) ?入侵檢測系統(tǒng)發(fā)展史翻開了新的一頁，兩大陣營正式形成：基于網(wǎng)絡(luò)的 IDS和基于主機(jī)的 IDS 入侵檢測的起源（ 6） IDS存在與發(fā)展的必然性 一、網(wǎng)絡(luò)攻擊的破壞性、損失的嚴(yán)重性 二、日益增長的網(wǎng)絡(luò)安全威脅 三、單純的防火墻無法防范復(fù)雜多變的攻擊 為什么需要 IDS ? 關(guān)于防火墻 ?網(wǎng)絡(luò)邊界的設(shè)備 ?自身可以被攻破 ?對某些攻擊保護(hù)很弱 ?不是所有的威脅來自防火墻外部 ? 入侵很容易 ?入侵教程隨處可見 ?各種工具唾手可得 IDS基本結(jié)構(gòu) ? 入侵檢測是監(jiān)測計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng) ,以發(fā)現(xiàn)違反安全策略事件的過程 ? 簡單地說 ， 入侵檢測系統(tǒng)包括三個功能部件： （ 1） 信息收集 （ 2） 信息分析 （ 3） 結(jié)果處理 信