【正文】 息收集 ? 入侵檢測的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為。 目錄和文件中的不期望的改變 （ 包括修改 、 創(chuàng)建和刪除 ） ， 特別是那些正常情況下限制訪問的 ， 很可能就是一種入侵產(chǎn)生的指示和信號(hào) ? 入侵者經(jīng)常替換 、 修改和破壞他們獲得訪問權(quán)的系統(tǒng)上的文件 ， 同時(shí)為了隱藏系統(tǒng)中他們的表現(xiàn)及活動(dòng)痕跡 ， 都會(huì)盡力去替換系統(tǒng)程序或修改系統(tǒng)日志文件 信息分析 ? 模式匹配 ? 統(tǒng)計(jì)分析 ? 完整性分析，往往用于事后分析 模式匹配 ? 模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進(jìn)行比較 ， 從而發(fā)現(xiàn)違背安全策略的行為 ? 一般來講 ， 一種進(jìn)攻模式可以用一個(gè)過程 （ 如執(zhí)行一條指令 ） 或一個(gè)輸出 （ 如獲得權(quán)限 ） 來表示 。 ? 特點(diǎn)：異常檢測系統(tǒng)的效率取決于用戶輪廓的完備性和監(jiān)控的頻率。同時(shí)系統(tǒng)能針對(duì)用戶行為的改變進(jìn)行自我調(diào)整和優(yōu)化，但隨著檢測模型的逐步精確，異常檢測會(huì)消耗更多的系統(tǒng)資源。攻擊特征的細(xì)微變化，會(huì)使得濫用檢測無能為力 Misuse Detection Intrusion Patterns activities pattern matching intrusion Can’t detect new attacks Example: if (src_ip == dst_ip) then “l(fā)and attack” 入侵檢測的分類 （ 2） ?按照數(shù)據(jù)來源： ?基于主機(jī)：系統(tǒng)獲取數(shù)據(jù)的依據(jù)是系統(tǒng)運(yùn)行所在的主機(jī)，保護(hù)的目標(biāo)也是系統(tǒng)運(yùn)行所在的主機(jī) ?基于網(wǎng)絡(luò)：系統(tǒng)獲取的數(shù)據(jù)是網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包，保護(hù)的是網(wǎng)絡(luò)的運(yùn)行 ?混合型 ? 監(jiān)視與分析主機(jī)的審計(jì)記錄 ? 可以不運(yùn)行在監(jiān)控主機(jī)上 ? 能否及時(shí)采集到審計(jì)記錄？ ? 如何保護(hù)作為攻擊目標(biāo)主機(jī)審計(jì)子系統(tǒng)？ 基于主機(jī) ? 在共享網(wǎng)段上對(duì)通信數(shù)據(jù)進(jìn)行偵聽采集數(shù)據(jù) ? 主機(jī)資源消耗少 ? 提供對(duì)網(wǎng)絡(luò)通用的保護(hù) ? 如何適應(yīng)高速網(wǎng)絡(luò)環(huán)境？ ? 非共享網(wǎng)絡(luò)上如何采集數(shù)據(jù)？ 基于網(wǎng)絡(luò) 兩類 IDS監(jiān)測軟件 ? 網(wǎng)絡(luò) IDS ?偵測速度快 ?隱蔽性好 ?視野更寬 ?較少的監(jiān)測器 ?占資源少 ? 主機(jī) IDS ?視野集中 ?易于用戶自定義 ?保護(hù)更加周密 ?對(duì)網(wǎng)絡(luò)流量不敏感 入侵檢測的分類（ 3） ?按系統(tǒng)各模塊的運(yùn)行方式 ?集中式：系統(tǒng)的各個(gè)模塊包括數(shù)據(jù)的收集分析集中在一臺(tái)主機(jī)上運(yùn)行 ?分布式：系統(tǒng)的各個(gè)模塊分布在不同的計(jì)算機(jī)和設(shè)備上 入侵檢測的分類（ 4） ?根據(jù)時(shí)效性 ?脫機(jī)分析：行為發(fā)生后，對(duì)產(chǎn)生的數(shù)據(jù)進(jìn)行分析 ?聯(lián)機(jī)分析：在數(shù)據(jù)產(chǎn)生的同時(shí)或者發(fā)生改變時(shí)進(jìn)行分析 常用術(shù)語 ? 當(dāng)一個(gè)入侵正在發(fā)生或者試圖發(fā)生時(shí)， IDS系統(tǒng)將發(fā)布一個(gè) alert信息通知系統(tǒng)管理員 ? 如果控制臺(tái)與 IDS系統(tǒng)同在一臺(tái)機(jī)器， alert信息將顯示在監(jiān)視器上，也可能伴隨著聲音提示 ? 如果是遠(yuǎn)程控制臺(tái)，那么 alert將通過 IDS系統(tǒng)內(nèi)置方法（通常是加密的）、 SNMP（簡單網(wǎng)絡(luò)管理協(xié)議，通常不加密）、 、 SMS（短信息）或者以上幾種方法的混合方式傳遞給管理員 Alert（ 警報(bào) ） Anomaly（ 異常 ） ? 當(dāng)有某個(gè)事件與一個(gè)已知攻擊的信號(hào)相匹配時(shí)，多數(shù)IDS都會(huì)告警 ? 一個(gè)基于 anomaly（異常）的 IDS會(huì)構(gòu)造一個(gè)當(dāng)時(shí)活動(dòng)的主機(jī)或網(wǎng)絡(luò)的大致輪廓，當(dāng)有一個(gè)在這個(gè)輪廓以外的事件發(fā)生時(shí)， IDS就會(huì)告警 ? 有些 IDS廠商將此方法看做啟發(fā)式功能，但一個(gè)啟發(fā)式的 IDS應(yīng)該在其推理判斷方面具有更多的智能 ? 首先，可以通過重新配置路由器和防火墻，拒絕那些來自同一地址的信息流 。 ?時(shí)序模型 （ Time Series Model） ：該模型通過間隔計(jì)時(shí)器和資源計(jì)數(shù)器兩種類型隨機(jī)變量參數(shù)之間的相隔時(shí)間和它們的值來判斷入侵 異常入侵檢測方法 ?統(tǒng)計(jì)異常檢測 ?基于特征選擇異常檢測 ?基于貝葉斯推理異常檢測 ?基于貝葉斯網(wǎng)絡(luò)異常檢測 ?基于模式預(yù)測異常檢測 ?基于神經(jīng)網(wǎng)絡(luò)異常檢測 ?基于貝葉斯聚類異常檢測 ?基于機(jī)器學(xué)習(xí)異常檢測 ?基于數(shù)據(jù)挖掘異常檢測 ?基于條件概率誤用檢測 ?基于專家系統(tǒng)誤用檢測 ?基于狀態(tài)遷移誤用檢測 ?基于鍵盤監(jiān)控誤用檢測 ?基于模型誤用檢測 誤用入侵檢測方法 基于誤用的入侵檢測 ? 思想：主要是通過某種方式預(yù)先定義入侵行為，然后監(jiān)視系統(tǒng)，從中找出符合預(yù)先定義規(guī)則的入侵行為 ? 誤用信號(hào)需要對(duì)入侵的特征、環(huán)境、次序以及完成入侵的事件相互間的關(guān)系進(jìn)行描述 ? 重要問題 ?（ 1）如何全面的描述攻擊的特征 ?（ 2）如何排除干擾，減小誤報(bào) ?（ 3）解決問題的方式 其它 ?基于生物免疫檢測 ?基于偽裝檢測 1. 概述 2. 入侵檢測方法 ? 入侵檢測系統(tǒng)的設(shè)計(jì)原理 4. 入侵檢測響應(yīng)機(jī)制 5. 入侵檢測標(biāo)準(zhǔn)化工作 6. 其它 7. 展望 活動(dòng) 數(shù)據(jù)源 感應(yīng)器 分析器 管理器 操作員 管理員 事件 警報(bào) 通 告 應(yīng)急 安全策略 安全策略 入侵檢測系統(tǒng)原理圖 攻擊模式庫 入侵檢測器 應(yīng)急措施 配置系統(tǒng)庫 數(shù)據(jù)采集 安全控制 系統(tǒng) 審計(jì)記錄 /協(xié)議數(shù)據(jù)等 系統(tǒng)操作 簡單的入侵檢測示意圖 基于主機(jī)的入侵檢測系統(tǒng) ?系統(tǒng)分析主機(jī)產(chǎn)生的數(shù)據(jù)（應(yīng)用程序及操作系統(tǒng)的事件日志） ?由于內(nèi)部人員的威脅正變得更重要 ?基于主機(jī)的檢測威脅 ?基于主機(jī)的結(jié)構(gòu) ?優(yōu)點(diǎn)及問題 基于主機(jī)的檢測威脅 ?特權(quán)濫用 ?關(guān)鍵數(shù)據(jù)的訪問及修改 ?安全配置的變化 基于主機(jī)的入侵檢測系統(tǒng)結(jié)構(gòu) ?基于主機(jī)的入侵檢測系統(tǒng)通常是基于代理的，代理是運(yùn)行在目標(biāo)系統(tǒng)上的可執(zhí)行程序，與中央控制計(jì)算機(jī)通信 ?集中式：原始數(shù)據(jù)在分析之前要先發(fā)送到中央位置 ?分布式：原始數(shù)據(jù)在目標(biāo)系統(tǒng)上實(shí)時(shí)分析，只有告警命令被發(fā)送給控制臺(tái) 目標(biāo)系統(tǒng) 審計(jì)記錄收集方法 審計(jì)記錄預(yù)處理 異常檢測 誤用檢測 安全管理員接口 審計(jì)記錄數(shù)據(jù) 歸檔 /查詢 審計(jì)記錄數(shù)據(jù)庫 審計(jì)記錄 基于審計(jì)的入侵檢測系統(tǒng)結(jié)構(gòu)示意圖 集中式檢測的優(yōu)缺點(diǎn) ? 優(yōu)點(diǎn)： ?不會(huì)降低目標(biāo)機(jī)的性能 ?統(tǒng)計(jì)行為信息 ?多主機(jī)標(biāo)志、用于支持起訴的原始數(shù)據(jù) ? 缺點(diǎn)： ?不能進(jìn)行實(shí)時(shí)檢測 ?不能實(shí)時(shí)響應(yīng) ?影響網(wǎng)絡(luò)通信量 分布式檢測的優(yōu)缺點(diǎn) ? 優(yōu)點(diǎn)： ?實(shí)時(shí)告警 ?實(shí)時(shí)響應(yīng) ? 缺點(diǎn)： ?降低目標(biāo)機(jī)的性能 ?沒有統(tǒng)計(jì)行為信息 ?沒有多主機(jī)標(biāo)志 ?沒有用于支持起訴的原始數(shù)據(jù) ?降低了數(shù)據(jù)的辨析能力 ?系統(tǒng)離線時(shí)不能分析數(shù)據(jù) 操作模式 ?操作主機(jī)入侵檢測系統(tǒng)的方式 ?警告 ?監(jiān)視 ?毀壞情況評(píng)估 ?遵從性 基于主機(jī)的技術(shù)面臨的問題 ?性能：降低是不可避免的 ?部署 /維護(hù) ?損害 ?欺騙 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng) ?入侵檢測系統(tǒng)分析網(wǎng)絡(luò)數(shù)據(jù)包 ?基于網(wǎng)絡(luò)的檢測威脅 ?基于網(wǎng)絡(luò)的結(jié)構(gòu) ?優(yōu)點(diǎn)及問題 基于網(wǎng)絡(luò)的檢測威脅 ?非授權(quán)訪問 ?數(shù)據(jù) /資源的竊取 ?拒絕服務(wù) 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)結(jié)構(gòu) ? 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)由遍及網(wǎng)絡(luò)的傳感器（ Sensor)組成，傳感器會(huì)向中央控制臺(tái)報(bào)告。 ? 傳統(tǒng)的基于傳感器的結(jié)構(gòu) ? 分布式網(wǎng)絡(luò)節(jié)點(diǎn)結(jié)構(gòu) 傳統(tǒng)的基于傳感器的結(jié)構(gòu) ?傳感器（通常設(shè)置為混雜模式）用于嗅探網(wǎng)絡(luò)上的數(shù)據(jù)分組，并將分組送往檢測引擎 ?檢測引擎安裝在傳感器計(jì)算機(jī)本身 ?網(wǎng)絡(luò)分接器分布在關(guān)鍵任務(wù)網(wǎng)段上，每個(gè)網(wǎng)段一個(gè) 管理 /配置 入侵分析引擎器 網(wǎng)絡(luò)安全數(shù)據(jù)庫 嗅探器 嗅探器 分析結(jié)果 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)模型 分布式網(wǎng)絡(luò)節(jié)點(diǎn)結(jié)構(gòu) ? 為解決高速網(wǎng)絡(luò)上的丟包問題， 1999年 6月，出現(xiàn)的一種新的結(jié)構(gòu)，將傳感器分布到網(wǎng)絡(luò)上的每臺(tái)計(jì)算機(jī)上 ? 每個(gè)傳感器檢查流經(jīng)他的網(wǎng)絡(luò)分組，然后傳感器相互通信，主控制臺(tái)將所有的告警聚集、關(guān)聯(lián)起來 數(shù)據(jù)采集構(gòu)件 應(yīng)急處理構(gòu)件 通信傳輸構(gòu)件 檢測分析構(gòu)件 管理構(gòu)件 安全知識(shí)庫 分布式入侵檢測系統(tǒng)結(jié)構(gòu)示意圖 基于網(wǎng)絡(luò)的入侵檢測的好處 ?威懾外部人員 ?檢測 ?自動(dòng)響應(yīng)及報(bào)告 基于網(wǎng)絡(luò)的技術(shù)面臨的問題 ?分組重組 ?高速網(wǎng)絡(luò) ?加密 基于異常的入侵檢測 ? 思想：任何正常人的行為有一定的規(guī)律 ? 需要考慮的問題： （ 1）選擇哪些數(shù)據(jù)來表現(xiàn)用戶的行為 （ 2）通過以上數(shù)據(jù)如何有效地表示用戶的行為，主要在于學(xué)習(xí)和檢測方法的不同 （ 3）考慮學(xué)習(xí)過程的時(shí)間長短、用戶行為的時(shí)效性等問題 數(shù)據(jù)選取的原則