[网络安全与病毒防范]第六章入侵检测与安全审计要素.ppt

优点 检测准确度较高 可以检测到没有明显行为特征的入侵 成本较低 不会因网络流量影响性能 适合加密和交换环境 缺点 实时性较差 无法检测数据包的全部 检测效果取决于日志系统 占用主机资源 隐蔽性较差 基于网络的入侵检测系统 作为一个独立的个体放置在被保护的网络上，使用原始的网络分组数据包作为进行攻击分析的数据源。 优点 可以提供实时的网络行为检测 可以同时保护多台网络主机 具有良好的隐蔽性 有效保护入侵证据 不影响被保护主机的性能 缺点 防止入侵欺骗的能力较差 在交换式网络环境中难以配置 检测性能受硬件条件限制 不能处理加密后的数据 1.4 蜜罐技术 原理 蜜罐系统是一个包含漏洞的诱骗系统，它通过模拟一个或多个易攻击的主机，给攻击者提供一个容易攻击的目标。 用来观测黑客如何探测并最终入侵系统； 用于拖延攻击者对真正目标的攻击。 Honeypot模型 关键 应用系统 内部网 虚拟网络主机 防火墙 高层交换 可疑数据流 Internet 2.1 基于异常的入侵检测 也称为基于行为的检测技术，在总结出的正常行为规律基础上，检查入侵和滥用行为特征与其之间的差异，以此来判断是否有入侵行为。 基于统计学方法的异常检测系统 使用统计学的方法来学习和检测用户的行为。 预测模式生成法 利用动态的规则集来检测入侵。 神经网络方法 将神经网络用于对系统和用户行为的学习。 2.1.1 基于统计学的异常检测系统 步骤： Step1：收集样本 对系统和用户的行为按照一定的时间间隔进行采样，样本的内容包括每个会话的登录、退出情况，CPU和内存的占用情况，硬盘等存储介质的使用情况等。 Step2：分析样本 对每次采集到的样本进行计算，得出一系列的参数变量来对这些行为进行描述，从而产生行为轮廓，将每次采样后得到的行为轮廓与以后轮廓进行合并，最终得到系统和用户的正常行为轮廓。 Step3：检查入侵行为 通过将当前采集到的行为轮廓与正常行为轮廓相比较，来检测是否存在网络入侵行为。 算法： M1,M2,…,Mn表示行为轮廓中的特征变量，S1,S2,…,Sn分别表示各个变量的异常性测量值，Si的值越大就表示异常性越大。ai表示变量Mi的权重值。将各个异常性测量值的平均加权求和得出特征值 然后选取阈值，例如选择标准偏差 其中均值取μ=M/n，如果S值超出了μ±dσ的范围就认为异常。 2.1.2 预测模式生成法 利用动态的规则集来检测入侵，这些规则是由系统的归纳引擎，根据已发生的事件的情况来预测将来发生的事件的概率来产生的，归纳引擎为每一种事件设置可能发生的概率。 归纳出来的规律一般为： E1,…,Ek: -(Ek+1,P(Ek+1)),…,(En,P(En)) 例如： 规则A,B: -(C,50%),(D, 30%),(E,15%),(F,5%)，如果AB已经发生，而F多次发生，远远大于5%，或者发生了事件G，都认为是异常行为。 优点 能检测出传统方法难以检测的异常活动； 具有很强的适应变化的能力； 容易检测到企图在学习阶段训练系统中的入侵者； 实时性高。 缺点 对于不在规则库中的入侵将会漏判。 2.1.3 神经网络方法 神经网络 是一种算法，通过学习已有的输入/输出信息对，抽象出其内在的关系，然后通过归纳得到新的输入/输出对。 在IDS中的应用 在IDS中，系统把用户当前输入的命令和用户已经执行的W个命令传递给神经网络，如果神经网络通过预测得到的命令与该用户随后输入的命令不一致，则在某种程度上表明用户的行为与其轮廓框架产生了偏离，即说明用户行为异常。 优点 能更好的处理原始数据的随即特性，不需要对原是数据做任何统计假设； 有较好的抗干扰能力。 缺点 网络拓扑结构以及各元素的权重很难确定； 命令窗口W的大小也难以选择 2.2 基于误用的入侵检测 也称为基于知识的检测技术或者模式匹配检测技术，通过某种方式预先定义入侵行为，然后监视系统的运行，并从中找出符合预先定义规则的入侵行为。 分类： 专家系统 模式匹配 模型推理 按键监视 2.2.1 专家系统误用检测 将安全专家的关于网络入侵行为的知识表示成一些类似If-Then的规则，并以这些规则为基础建立专家知识库。规则中If部分说明形成网络入侵的必需条件，Then部分说明发现入侵后要实施的操作。 缺点： 全面性问题 效率问题 2.2.2 模式匹配误用检测 也叫特征分析误用检测，指将入侵行为表示成一个事件序列或者转换成某种可以直接在网络数据包审计记录中找到的数据样板，而不进行规则转换，这样可以直接在审计记录中寻找相匹配的已知入侵模式。 缺点： 必须及时更新知识库 兼容性较差 建立和维护知识库的工作量都相当大 2.2.3 模型推理误