入侵检测技术和实例.ppt

5.6 本章小结 入侵检测（Intrusion Detection）是保障网络系统安全的关键部件，它通过监视受保护系统的状态和活动，采用误用检测（Misuse Detection）或异常检测（Anomaly Detection）的方式，发现非授权的或恶意的系统及网络行为，为防范入侵行为提供有效的手段。 入侵检测按照不同的标准有多种分类方法。分布式入侵检测（Distributed Intrusion Detection）对信息的处理方法分为两种，即分布式信息收集、集中式处理和分布式信息收集、分布式处理。 返回本章首页 为了提高IDS产品、组件及与其他安全产品之间的互操作性，DARPA和IETF的入侵检测工作组（IDWG）发起制订了一系列建议草案，从体系结构、API、通信机制、语言格式等方面来规范IDS的标准，但草案或建议目前都处于逐步完善之中，尚无被广泛接受的国际标准。 在安全实践中，部署入侵检测是一项繁琐的工作，需要从三个方面对入侵检测进行改进，即突破检测速度瓶颈制约，适应网络通信需求；降低漏报和误报，提高其安全性和准确度；提高系统互动性能，增强全系统的安全性能。 返回本章首页 学习动物精神 11、机智应变的猴子：工作的流程有时往往是一成不变的，新人的优势在于不了解既有的做法，而能创造出新的创意与点子。一味 地接受工作的交付， 只能学到工作方法 的皮毛，能思考应 变的人，才会学到 方法的精髓。 学习动物精神 12、善解人意的海豚：常常问自己：我是主管该怎么办才能有助于更好的处理事情的方法。在工作上善解人意， 会减轻主管、共 事者的负担，也 让你更具人缘。 5.2.4 其它检测技术 这些技术不能简单地归类为误用检测或是异常检测，而是提供了一种有别于传统入侵检测视角的技术层次，例如免疫系统、基因算法、数据挖掘、基于代理（Agent）的检测等，它们或者提供了更具普遍意义的分析技术，或者提出了新的检测系统架构，因此无论对于误用检测还是异常检测来说，都可以得到很好的应用。 返回本章首页 1．神经网络（Neural Network） 作为人工智能（AI）的一个重要分支，神经网络（Neural Network）在入侵检测领域得到了很好的应用，它使用自适应学习技术来提取异常行为的特征，需要对训练数据集进行学习以得出正常的行为模式。这种方法要求保证用于学习正常模式的训练数据的纯洁性，即不包含任何入侵或异常的用户行为。 返回本章首页 2．免疫学方法 New Mexico大学的Stephanie Forrest提出了将生物免疫机制引入计算机系统的安全保护框架中。免疫系统中最基本也是最重要的能力是识别“自我/非自我”（self/nonself），换句话讲，它能够识别哪些组织是属于正常机体的，不属于正常的就认为是异常，这个概念和入侵检测中异常检测的概念非常相似。 返回本章首页 3．数据挖掘方法 Columbia大学的Wenke Lee在其博士论文中，提出了将数据挖掘（Data Mining, DM）技术应用到入侵检测中，通过对网络数据和主机系统调用数据的分析挖掘，发现误用检测规则或异常检测模型。具体的工作包括利用数据挖掘中的关联算法和序列挖掘算法提取用户的行为模式，利用分类算法对用户行为和特权程序的系统调用进行分类预测。实验结果表明，这种方法在入侵检测领域有很好的应用前景。 返回本章首页 4．基因算法 基因算法是进化算法（evolutionary algorithms）的一种，引入了达尔文在进化论中提出的自然选择的概念（优胜劣汰、适者生存）对系统进行优化。该算法对于处理多维系统的优化是非常有效的。在基因算法的研究人员看来，入侵检测的过程可以抽象为：为审计事件记录定义一种向量表示形式，这种向量或者对应于攻击行为，或者代表正常行为。 返回本章首页 5．基于代理的检测 近年来，一种基于Agent的检测技术（Agent-Based Detection）逐渐引起研究者的重视。所谓Agent，实际上可以看作是在执行某项特定监视任务的软件实体。基于Agent的入侵检测系统的灵活性保证它可以为保障系统的安全提供混合式的架构，综合运用误用检测和异常检测，从而弥补两者各自的缺陷。 返回本章首页 5.3 分布式入侵检测 分布式入侵检测（Distributed Intrusion Detection）是目前入侵检测乃至整个网络安全领域的热点之一。到目前为止，还没有严格意义上的分布式入侵检测的商业化产品，但研究人员已经提出