【正文】 集中式檢測的優(yōu)缺點n 優(yōu)點：n 不會降低目標(biāo)機的性能n 統(tǒng)計行為信息n 多主機標(biāo)志、用于支持起訴的原始數(shù)據(jù)n 缺點：n 不能進行實時檢測n 不能實時響應(yīng)n 影響網(wǎng)絡(luò)通信量分布式檢測的優(yōu)缺點n 優(yōu)點：n 實時告警n 實時響應(yīng)n 缺點：n 降低目標(biāo)機的性能n 沒有統(tǒng)計行為信息n 沒有多主機標(biāo)志n 沒有用于支持起訴的原始數(shù)據(jù)n 降低了數(shù)據(jù)的辨析能力n 系統(tǒng)離線時不能分析數(shù)據(jù)操作模式n 操作主機入侵檢測系統(tǒng)的方式n警告n監(jiān)視n毀壞情況評估n遵從性基于主機的技術(shù)面臨的問題n 性能：降低是不可避免的n 部署 /維護n 損害n 欺騙基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)n 入侵檢測系統(tǒng)分析網(wǎng)絡(luò)數(shù)據(jù)包n 基于網(wǎng)絡(luò)的檢測威脅n 基于網(wǎng)絡(luò)的結(jié)構(gòu)n 優(yōu)點及問題基于網(wǎng)絡(luò)的檢測威脅n 非授權(quán)訪問n 數(shù)據(jù) /資源的竊取n 拒絕服務(wù)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)結(jié)構(gòu)n 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)由遍及網(wǎng)絡(luò)的傳感器（ Sensor)組成，傳感器會向中央控制臺報告。 然后用狀態(tài)轉(zhuǎn)換圖來表示每一個狀態(tài)和特征事件，這些事件被集成于模型中，所以檢測時不需要一個個地查找審計記錄?；谥R的檢測 —— 狀態(tài)遷移分析 狀態(tài) 遷移 法將入侵過程看作一個行為序列，這個行為序列導(dǎo)致系統(tǒng)從初始狀態(tài)轉(zhuǎn)入被入侵狀態(tài)。根據(jù)這些知識建立攻擊腳本庫，每一腳本都由一系列攻擊行為組成。 基于行為的檢測 —— 神經(jīng)網(wǎng)絡(luò)方法神經(jīng)網(wǎng)絡(luò)檢測思想n 基于條件概率誤用檢測n 基于專家系統(tǒng)誤用檢測n 基于狀態(tài)遷移誤用檢測n 基于鍵盤監(jiān)控誤用檢測n 基于模型誤用檢測誤用入侵檢測方法基于知識的檢測 —— 模型推理 模型推理是指結(jié)合攻擊腳本推理出入侵行為是否出現(xiàn)。根據(jù)用戶的代表性命令序列訓(xùn)練網(wǎng)絡(luò)后，該網(wǎng)絡(luò)就形成了相應(yīng)用戶的特征表，于是網(wǎng)絡(luò)對下一事件的預(yù)測錯誤率在一定程度上反映了用戶行為的異常程度。 基本思想是用一系列信息單元 (命令 )訓(xùn)練神經(jīng)單元，這樣在給定一組輸入后，就可能預(yù)測出輸出。SeriesModel）：初始分布和概率轉(zhuǎn)移矩陣；預(yù)測新的事件的出現(xiàn)頻率太低，則表明出現(xiàn)異常情況。n 馬爾可夫過程模型（ MarkovModel） :Deviationand常用術(shù)語 —— Automated Responsen IDS的核心是攻擊特征，它使 IDS在事件發(fā)生時觸發(fā)n 特征信息過短會經(jīng)常觸發(fā) IDS，導(dǎo)致誤報或錯報，過長則會減慢 IDS的工作速度n 有人將 IDS所支持的特征數(shù)視為 IDS好壞的標(biāo)準(zhǔn)，但是有的產(chǎn)商用一個特征涵蓋許多攻擊，而有些產(chǎn)商則會將這些特征單獨列出，這就會給人一種印象，好像它包含了更多的特征，是更好的 IDS常用術(shù)語 —— Signatures（特征）n 默認狀態(tài)下， IDS網(wǎng)絡(luò)接口只能看到進出主機的信息，也就是所謂的 nonpromiscuous（非混雜模式）n 如果網(wǎng)絡(luò)接口是混雜模式，就可以看到網(wǎng)段中所有的網(wǎng)絡(luò)通信量，不管其來源或目的地n 這對于網(wǎng)絡(luò) IDS是必要的，但同時可能被信息包嗅探器所利用來監(jiān)控網(wǎng)絡(luò)通信量n 交換型 HUB可以解決這個問題，在能看到全面通信量的地方，會都許多跨越（ span）端口常用術(shù)語 ——Promiscuous （混雜模式）n 試驗?zāi)Ｐ停?Operational常用術(shù)語 —— Anomaly（異常）n 首先，可以通過重新配置路由器和防火墻，拒絕那些來自同一地址的信息流 ?！發(fā)anddst_ip)(src_ipmatchingintrusionCan’t detect new attacksExample:攻擊特征的細微變化，會使得濫用檢測無能為力Misuse DetectionIntrusionMatch誤用檢測模型（基于知識的檢測）誤用檢測1. 前提：所有的入侵行為都有可被檢測到的特征 2. 攻擊特征庫 : 當(dāng)監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時，系統(tǒng)就認為這種行為是入侵 3. 過程4. 監(jiān)控 ? 特征提取 ? 匹配 ? 判定 4. 指標(biāo) 錯報低 漏報高 誤用檢測誤用檢測模型n 如果入侵特征與正常的用戶行能匹配，則系統(tǒng)會發(fā)生誤報；如果沒有特征能與某種新的攻擊行為匹配，則系統(tǒng)會發(fā)生漏報。SignatureMatcherIntrusionNormaln 重要問題n 如何全面的描述攻擊的特征n 如何排除干擾，減小誤報n 解決問題的方式System也稱基于知識的入侵檢測。profileabnormal基于誤用的入侵檢測n 思想：運用已知攻擊方法，根據(jù)已定義好的入侵模式，通過判斷這些入侵模式是否出現(xiàn)來檢測。誤檢率高。同時系統(tǒng)能針對用戶行為的改變進行自我調(diào)整和優(yōu)化，但隨著檢測模型的逐步精確，異常檢測會消耗更多的系統(tǒng)資源。 n 特點：異常檢測系統(tǒng)的效率取決于用戶輪廓的完備性和監(jiān)控的頻率。AuditMetricsProfilerIntrusionNormal ThresholdThreshold也稱為基于知識的檢測。也稱為基于行為的檢測。 完整性分析，往往用于事后分析模式匹配n 模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進行比較，從而發(fā)現(xiàn)違背安全策略的行為n 一般來講，一種進攻模式可以用一個過程（如執(zhí)行一條指令）或一個輸出（如獲得權(quán)限）來表示。 模式匹配167。n 需要在計算機網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點（不同網(wǎng)段和不同主機）收集信息，n 盡可能擴大檢測范圍n 從一個源來的信息有可能看不出疑點信息收集（ 2）n 入侵檢測很大程度上依賴于收集信息的可靠性和正確性，因此，要保證用來檢測網(wǎng)絡(luò)系統(tǒng)的軟件的完整性，特別是入侵檢測系統(tǒng)軟件本身應(yīng)具有相當(dāng)強的堅固性，防止被篡改而收集到錯誤的信息 信息收集的來源n 系統(tǒng)或網(wǎng)絡(luò)的日志文件n 網(wǎng)絡(luò)流量n 系統(tǒng)目錄和文件的異常變化n 程序執(zhí)行中的異常行為系統(tǒng)或網(wǎng)絡(luò)的日志文件n 黑客經(jīng)常在系統(tǒng)日志文件中留下他們的蹤跡，因此，充分利用系統(tǒng)和網(wǎng)絡(luò)日志文件信息是檢測入侵的必要條件n 日志文件中記錄了各種行為類型，每種類型又包含不同的信息，例如記錄 “用戶活動 ”類型的日志，就包含登錄、用戶 ID改變、用戶對文件的訪問、授權(quán)和認證信息等內(nèi)容n 顯然，對用戶活動來講，不正常的或不期望的行為就是重復(fù)登錄失敗、登錄到不期望的位置以及非授權(quán)的企圖訪問重要文件等等 系統(tǒng)目錄和文件的異常變化n 網(wǎng)絡(luò)環(huán)境中的文件系統(tǒng)包含很多軟件和數(shù)據(jù)文件，包含重要信息的文件和私有數(shù)據(jù)文件經(jīng)常是黑客修改或破壞的目標(biāo)。 n IDS欺騙：目前地 IDS系統(tǒng)主要使基于數(shù)據(jù)的模式匹配，因此，不少黑客程序通過把黑客特征信息分開，改變形式等措施，使 IDS系統(tǒng)的數(shù)據(jù)匹配失效，從而躲過 IDS的監(jiān)控。n 定制操作系統(tǒng) 自身安全n 分級管理的主要指標(biāo)是管理層數(shù)目，至少具有主控、子控 2級控制中心 n 分級管理的另一個指標(biāo)是各級系統(tǒng)的處理能力是否分檔次 多級管理n IDS的一個主要特點，就是更新快，否則就會失去作用。發(fā)送確認和連接報文 數(shù)據(jù)通訊報文 確認報文 通訊結(jié)束申請報文TCP連接是經(jīng)過 3次握手建立連接、 4次握手中斷連接而完成的 TCP連接的建立與拆除IDS設(shè)備開始報文 后續(xù)報文 防火墻監(jiān)測網(wǎng)絡(luò)報文設(shè)置命令n 隱蔽性：在作為一個安全的網(wǎng)絡(luò)設(shè)備， IDS是不希望被網(wǎng)絡(luò)上的其他系統(tǒng)發(fā)現(xiàn)，尤其不能讓其他網(wǎng)絡(luò)系統(tǒng)所訪問。這包含 2個部分：一是身份認證，一是數(shù)據(jù)加密。一般而言，這個數(shù)量在 500－ 1000之間，應(yīng)該與流行系統(tǒng)的漏洞數(shù)目相關(guān)。 n 聯(lián)動：通過防火墻的聯(lián)動， IDS系統(tǒng)可以徹底阻止網(wǎng)絡(luò)非法行為 基本響應(yīng)n 考察 IDS系統(tǒng)的一個關(guān)鍵性指標(biāo)是報警事件的多少。n 阻斷：通過發(fā)送擾亂報文， IDS系統(tǒng)破壞正常的網(wǎng)絡(luò)連接，使非法行為無法繼續(xù)進行。 基本響應(yīng)是 IDS所產(chǎn)生的響應(yīng)只是為了更好地通知安全人員，并不對該網(wǎng)絡(luò)行為進行進行自動的阻斷行為。事件響應(yīng)n 當(dāng) IDS系統(tǒng)產(chǎn)生了一個事件后，不僅僅是報告顯示該事件，還可以進行一系列操作對該事件進行實時處理。日志分析n 所謂日志分析，就是按照事件的各種屬性、源、目的地址分布等信息進行統(tǒng)計分析、數(shù)據(jù)檢索等操作，提供各種分析的圖形、表格信息，使用戶十分清楚地了解所發(fā)生地總體態(tài)勢，并方便地查找出所需要地事件。IDS的系統(tǒng)結(jié)構(gòu) 分布式結(jié)構(gòu)圖IDS性能指標(biāo)l系統(tǒng)結(jié)構(gòu)l事件數(shù)量 l處理帶寬 l定義事件 l事件響應(yīng) l自身安全 目前的大多數(shù) IDS系統(tǒng)都是分布式的。n 優(yōu)點是結(jié)構(gòu)簡單，不會因為通訊而影響網(wǎng)絡(luò)帶寬和泄密。n 這種分布式結(jié)構(gòu)有助于系統(tǒng)管理員的集中管理，全面搜集多臺探測引擎的信息，進行入侵行為的分析。n 探測器是由策略驅(qū)動的網(wǎng)絡(luò)監(jiān)聽和分析系統(tǒng)。入侵檢測系統(tǒng)發(fā)展史翻開了新的一頁，兩大陣營正式形成：基于網(wǎng)絡(luò)的 IDS和基于主機的 IDS 入侵檢測的起源（ 7）IDS物理結(jié)構(gòu)IDS引擎IDS控制中心事件上報 控制和策略下發(fā)IDS物理結(jié)構(gòu) —— 探測引擎n 采用旁路方式全面?zhèn)陕牼W(wǎng)上信息流，實時分析n 將分析結(jié)果與探測器上運行的策略集相匹配n 執(zhí)行報警、阻斷、日志等功能。1990，加州大學(xué)戴維斯分校的 L. T. Heberlein等人開發(fā)出了 NSM（ Network Security Monitor）167。還提出了利用審計跟蹤數(shù)據(jù)監(jiān)視入侵活動的思想。1980年 4月 ， James P. Anderson :《 Computer Security Threat Monitoring and Surveillance》 （計算機安全威脅監(jiān)控與監(jiān)視）的技術(shù)報告，第一次詳細闡述了入侵檢測的概念167。n 防火墻無法防范數(shù)據(jù)驅(qū)動型的攻擊。c:\防火墻的局限防火墻的局限性n 防火墻不能防止通向站點的后門。DCBA）進出網(wǎng)絡(luò)的訪問行為。AgentIntra監(jiān)控中心router攻擊者發(fā)現(xiàn)攻擊發(fā)現(xiàn)攻擊發(fā)現(xiàn)攻擊報警報警IDS它還不僅僅只是攝象機，還包括保安員的攝象機，能夠?qū)θ肭中袨樽詣拥剡M行反擊：阻斷連接、關(guān)閉道路（與防火墻聯(lián)動）。 監(jiān)控室 =控制中心后門保安 =防火墻攝像機 =探測引擎Card它們是系統(tǒng)安全不可缺的部分但不能完全保證系統(tǒng)的安全n 入侵檢測（ Intrusion Detection）是對入侵行為的發(fā)覺。系統(tǒng)入侵的鑒別與防御(續(xù) )Intrusionn Intrusion : Attempting to break into or misuse your system.n Intruders may be from outside the work or legitimate users of the work.n Intrusion can be a physical, system or remote intrusion.n 入侵行為主要是指對系統(tǒng)資源的非授權(quán)使用，它可以造成系統(tǒng)數(shù)據(jù)的丟失和破壞、可以造成系統(tǒng)拒絕對合法用戶服務(wù)等危害。 n 傳統(tǒng)的信息安全方法采用嚴(yán)格的訪問控制和數(shù)據(jù)加密策略來防護，但在復(fù)雜系統(tǒng)中，這些策略是不充分的。它通過從計算機網(wǎng)絡(luò)或計算機系統(tǒng)的關(guān)鍵點收集信息并進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象Intrusion Detection入侵檢測的定義n 對系統(tǒng)的運行狀態(tài)進行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證系統(tǒng)資源的機密性、完整性和可用性n 進行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)n IDS : Intrusion Detection System 入侵檢測系統(tǒng)n IDS（ Intrusion Detection System）就是入侵檢測系統(tǒng)，它通過抓取網(wǎng)絡(luò)上的所有報文，分析處理后，報告異常