中科院《入侵检测技术》课件----第11节课要点总结.ppt

* 入侵检测技术 * 正常行为模式在系统特性上呈现出的紧密相关性 相似性、周期性、重复性 例如： 用户的日常操作和操作顺序 基于用户行为的主机入侵检测 服务进程产生的系统调用 基于system call的主机入侵检测 特权进程访问的特定目录和文件 网络流量统计和协议分布 例如，IP分布、端口分布、数据长度分布、TCP持续时间、连接成功率等等，可以用来检测BT下载 * 入侵检测技术 * 前提：入侵是异常活动的子集 事实上，也就是说“用正常活动实施的攻击”，无法被检测到 行为模式（Profile）通常定义为各种行为度量（metrics）的集合，用于描述正常行为范围 “度量”是系统/用户行为在特定方面的衡量标准 每个度量对应于一个门限值或相关的变动范围 过程： 监控 ? 量化 ? 比较 ? 判定 ? 修正 * 入侵检测技术 * 吸引人的地方： 发现未知的攻击模式，漏报率低 关键问题在于，也就是值得我们改进/研究的地方： 模式的定义 建立正常使用模式需要训练时间 需要“纯洁”的环境 如何进行模式比较 检测效果取决于模式的完备性和监控频率 因为通常是统计数据值 例如，IP源地址分布，时间太长，就淹没在正常数据中 模式的更新问题（误报） 系统资源的消耗 通过是大规模计算（数据挖掘、长矢量计算） Audit Data System Profile attack state Update Profile generate new profiles dynamically statistically devalant ? * 入侵检测技术 * 若已观测到变量 X出现的次数超过某个预定的值，则就有可能出现异常的情况 针对系统中的事件计数度量，例如在指定时间段内统计口令错误的次数 将得到的系统度量与门限值进行比较，如果超出正常范围就触发相应的异常事件报告 适用于入侵活动与随机变量相关的方面 * 入侵检测技术 * 假设：根据均值和标准差就可以了解系统行为的度量 如果观察到系统/用户行为超出了信任区间，就认为是异常 信任区间（confidence interval）以与均值m间的标准偏离度d定义 根据已观测到随机变量x的样值X(i) (i＝1,2…,n)，计算均值m和标准差dev 若新的取样值X(n+1)不在可信区间 [ m - d*dev, m + d*dev],则出现异常，其中d是标准偏移均值m的调整参数 * 入侵检测技术 * 多Metric不够，再考虑上当前的状态 例如， P(添加管理员用户|运行MS Word) = 0.0001 低概率事件，当作报警 P(其它操作|运行MS Word) = 0.9999 不是简单的“添加管理员”就是攻击 只考虑到前一个状态 马尔可夫性 * 入侵检测技术 * 把每种不同类型的审计事件看作是一个状态变量 使用状态转移矩阵表示状态转移过程中的概率特征 使用正常的状态转移矩阵计算系统实际状态变化的发生概率，如果概率非常小则认为出现异常。 可以发现异常的用户命令或事件序列，而不仅仅局限于单个的事件。这种方法实际上提出了针对事件流进行状态分析的思想。 思想上，有些类似于状态转移 * 入侵检测技术 * 首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性 访问次数 操作失败次数 延时 测量属性的平均值和偏差 用于与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生 * 入侵检测技术 * 活动强度度量（多少审计记录？） 某个主体在不同时间间隔内产生的审计记录数 审计记录分布度量（时间上怎么分布？） 描述审计记录的分布情况 如特定用户产生的文件存取、CPU异常使用和I/O活动分布 类型度量（都是什么类型的活动？） 描述各种类型活动的分布状况。例如系统中从各个物理位置发起的远程登录频度，每个邮件发送者、编译器的使用状况 类型度量关注的是活动出现的次数多少 顺序度量（特定类型活动的总量叠加） 描述活动的输出结果，如特定用户CPU和I/O使用总量 * 入侵检测技术 * E1 – E2 – E3 ? (E4 95%, E5 5%) 典型的马尔科夫过程，与前3步相关 检测方法： 监控，发现按时间顺序出现了E1 – E2 – E3，然后下一步就应该是E4或者E5，如果是其它，就是有问题！ 根据设置，E5也可以报警。 E9 – * ? (E20 100%) 如果有E9，则再过2步，必须是E20 中间的1步，可以是任意事件 * 入侵检测技术 * 训练过程 提出历史数据中出现的事件序列及其发生概