第8章入侵检测技术(new)资料.ppt

3.2 多用于误用入侵检测的技术 3．基于状态迁移分析误用入侵检测方法 状态迁移分析方法是将攻击表示成一系列被监控的系统状态迁移。攻击模式的状态对应于系统的状态，并且具有迁移到另外状态的特性，然后通过弧线连续的状态连接起来表示状态改变所需要的事件。 3.2 多用于误用入侵检测的技术 4．基于键盘监控误用入侵检测方法 基于键盘监控误用入侵检测方法是假设入侵者对应的击键序列模式，然后监测用户的击键模式，并将这一击键模式与入侵检测模式相匹配，以检测入侵行为。 5．基于模型误用入侵检测方法 基于模型误用入侵检测方法是通过建立误用证据模型，根据证据推理来作出误用发生判断结论。 3.3 入侵检测的新技术 1．基于生物免疫的入侵检测 基于生物免疫的入侵检测方法是通过模仿生物有机体的免疫系统工作机制，使得受保护的系统能够将非自我（non self）的非法行为与自我（self）的合法行为区分开来。 2．基因算法 基因算法是进化算法的一种，引入了达尔文在进化论中提出的自然选择的概念（优胜劣汰、适者生存）对系统进行优化。该算法对于处理多维系统的优化是非常有效的。在基因算法的研究人员看来，入侵检测的过程可以抽象为：为审计事件记录定义一种向量表示形式，这种向量或者对应于攻击行为，或者代表正常行为。 3.3 入侵检测的新技术 3．数据挖掘 数据挖掘指从大量实体数据中抽出模型的处理。具体的工作包括利用数据挖掘中的关联算法和序列挖掘算法提取用户的行为模式，利用分类算法对用户行为和特权程序的系统调用进行分类预测。 3.3 入侵检测的新技术 4．密罐技术 密罐技术就是建立一个虚假的网络，诱惑黑客攻击这个虚假的网络，从而达到保护真正网络的目的。蜜罐是一种欺骗手段，可以诱导攻击者，也可以收集攻击信息，改进防御能力。 3.3 入侵检测的新技术 3.4 入侵检测技术的发展趋势 入侵检测系统的发展方向有以下几个方面： 1．标准化的入侵检测 2．高速入侵检测 3．大规模、分布式的入侵检测 4．多种技术的融合 5．实时入侵响应 入侵检测的评测 与其它安全技术的联动 1 入侵检测概述 2 入侵检测的分类 3 入侵检测系统的关键技术 4 入侵检测系统示例 使用Snort搭建NIDS 一个基于Snort的网络入侵检测系统由以下5个部分组成： 解码器、预处理器、检测引擎、输出插件、日志/报警子系统 解码器 预处理器 检测引擎 日志/报警子系统 输出插件 使用Snort搭建NIDS 为了能够快速准确地检测和处理，Snort在检测规则方面做了较为成熟的设计。 Snort将所有已知的攻击方法以规则的形式存放在规则库中，每条规则由规则头和规则选项两部分组成。 使用Snort搭建NIDS 人有了知识，就会具备各种分析能力， 明辨是非的能力。 所以我们要勤恳读书，广泛阅读， 古人说“书中自有黄金屋。 ”通过阅读科技书籍，我们能丰富知识， 培养逻辑思维能力； 通过阅读文学作品，我们能提高文学鉴赏水平， 培养文学情趣； 通过阅读报刊，我们能增长见识，扩大自己的知识面。 有许多书籍还能培养我们的道德情操， 给我们巨大的精神力量， 鼓舞我们前进。 * * * * * * * * 入侵检测技术 1 入侵检测概述 2 入侵检测的分类 3 入侵检测系统的关键技术 4 入侵检测系统示例 1.1 安全现状 日益频繁的网络攻击 1.1 安全现状 网络攻击者的目标 1.2 IDS的产生 1.3 入侵检测的步骤 信息收集 数据分析 响应 1.3 入侵检测的步骤 信息收集 系统日志 文件异常改变 程序执行异常行为 物理形式入侵信息 日志文件中记录了各种行为类型及每种类型的不同信息 包含很多具有重要信息的文件和私有数据文件 包括OS、网络服务用户启动的程序等，每个执行的程序由一个或多个进程来实现 未授权的网络硬件连接；对物理资源的未授权访问 1.3 入侵检测的步骤 数据分析 模式匹配就是将收集到的信息与已知的网络入侵，和系统误用模式数据库进行比较，从而发现异常行为。 优点：只收集相关数据集合，减少系统负担，技术成熟，检测准确率高 弱点：无法检测到从未出现过的攻击手段，需要不断升级 首先为系统对象创建一个统计描述，统计正常使用时的一些测量属性， 测量属性的平均值将被