第11章入侵检测.ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 1. 误用检测技术入侵检测系统的基本原理 误用检测技术（Misuse Detection）也称为基于知识的检测技术或者模式匹配检测技术。它的前提是假设所有的网络攻击行为和方法都具有一定的模式或特征，如果把以往发现的所有网络攻击的特征总结出来并建立一个入侵信息库，那么入侵检测系统可以将当前捕获到的网络行为特征与入侵信息库中的特征信息相比较，如果匹配，则当前行为就被认定为入侵行为。 11.3.2 误用检测技术——基于知识的检测 2. 误用检测技术的评价 误用检测技术有以下优点： 检测准确度高； 技术相对成熟； 便于进行系统防护。 误用检测技术有以下缺点： 不能检测出新的入侵行为； 完全依赖于入侵特征的有效性； 维护特征库的工作量巨大； 难以检测来自内部用户的攻击。 3. 误用检测技术的分类 误用检测技术主要可分为以下几种。 （1） 专家系统误用检测 专家系统误用检测方法首先将安全专家的关于网络入侵行为的知识表示成一些类似IfThen的规则，并以这些规则为基础建立专家知识库。入侵检测系统将网络行为的审计数据事件进行转换，成为包含入侵警告程度的判断事实，然后通过推理引擎进行入侵检测。 （2） 特征分析误用检测 特征分析误用检测将入侵行为表示成一个事件序列或者转换成某种可以直接在网络数据包审计记录中找到的数据样板，直接从审计数据中提取相应的数据与之匹配,提高了运行效率。 （3） 模型推理误用检测 模型推理误用检测方法根据网络入侵行为的特征建立起误用证据模型，入侵检测系统根据模型中的入侵行为特征进行推理，判断当前的用户行为是否是误用行为。 （4） 条件概率误用检测 条件概率误用检测方法将网络入侵方式看作一个事件序列，根据所观测到的各种网络事件的发生情况来推测入侵行为的发生。 （5） 键盘监控误用检测 键盘监控误用检测方法假设每种网络入侵行为都具有特定的击键序列模式，入侵检测系统监视各个用户的击键模式，并将该模式与已有的入侵击键模式相匹配，如果匹配成功就认为是网络入侵行为。 入侵检测系统的研究方向之一是将各个领域的研究成果应用于入侵检测中，以形成更高效、更为智能化的检测算法，提高入侵检测的应用价值。目前研究的重点有遗传算法和免疫技术等。 11.3.3 其他入侵检测技术的研究 网络安全需要各个安全设备的协同工作和正确的设置，因此，入侵检测系统在设置时需要对整个网络有一个全面的了解，保证自身环境的正确性和安全性。网络安全的实际需求对于入侵检测的工作方式和检测位置都有十分重要的影响，只有在了解和掌握这些实际需求的情况下，才能正确地设计入侵检测系统的网络拓扑，并对入侵检测系统进行正确的配置。 11.4 入侵检测系统的设置 入侵检测系统的设置主要分为以下几个基本的步骤： ① 确定入侵检测需求。 ② 设计入侵检测系统在网络中的拓扑位置。 ③ 配置入侵检测系统。 ④ 入侵检测系统磨合。 ⑤ 入侵检测系统的使用及自调节。 这些步骤的操作流程如图11.2所示。 图11.2 入侵检测系统设置流程图 入侵检测系统的设置需要经过多次的反复磨合，才能够达到与本保护网络有效结合的目的。在图11.2中可以看到，在设置的过程中要进行多次的回溯，而在这几次回溯中，第3、第4步之间的回溯过程会重复多次，通过不断地调整入侵检测系统的检测配置，将误报警率和漏报警率降到最低，使得入侵检测系统能够在最佳状态下进行检测分析。而在使用中，随着网络整体结构的改变（包括增加新的应用或服务器、检测方式更新等），入侵检测系统的设置也要相应地进行修改，以保证能够适应新的变化。 通过以上的设置步骤，入侵检测系统才能够很好地与被保护网络相结合，实现对网络的有效监控和分析。 入侵检测系统有不同的部署方式和特点。根据所掌握的网络检测和安全需求，选取各种类型的入侵检测系统。将多种入侵检测系统按照预定的计划进行部署，确保每个入侵检测系统都能够在相应部署点上发挥作用，共同防护，保障网络的安全运行。 部署工作包括对网络入侵检测和主机入侵检测等类型入侵检测系统的部署规划。同时，根据主动防御网络的需求，还需要对入侵检测系统的报警方式进行部署和规划。 11.5 入侵检测系统的部署 基于网络的入侵检测系统可以在网络的多个位置进行部署。这里的部署主要指对网络入侵检测器的部署。根据检测器部署位置的不同，入侵检测系统具有不同的工作特点。用户需要根据自己的网络环境以及安全需求进行网络部署，以达到预定的网络安全需求。总体来说，入侵检测的部署点可以划分为4个位置： ①DMZ区、②外网入口、