4第四章 入侵检测流程

入侵检测流程1第4章

入侵检测流程入侵检测流程2第4章入侵检测流程入侵检测流程:入侵检测的过程入侵检测系统的数据源入侵分析的概念入侵分析的模型入侵检测的分析方法告警与响应入侵检测流程3入侵检测的过程信息收集信息分析告警与响应入侵检测流程4入侵检测系统的数据源基于主机的数据源：

系统运行状态信息

系统记帐信息

系统日志（Syslog）

C2级安全性审计信息

入侵检测流程5入侵检测系统的数据源基于网络的数据源：

SNMP信息

网络通信包

入侵检测流程6入侵检测系统的数据源应用程序日志文件

其他入侵检测系统的报警信息

其他网络设备和安全产品的信息

入侵检测流程7入侵分析的概念入侵检测系统是一个复杂的数据处理系统，所涉及到的问题域中的各种关系也比较复杂。

从入侵检测的角度来说，分析是指针对用户和系统活动数据进行有效的组织、整理并提取特征，以鉴别出感兴趣的行为。这种行为的鉴别可以实时进行，也可以事后分析，在很多情况下，事后的进一步分析是为了寻找行为的责任人。入侵检测流程8入侵分析的目的重要的威慑力：目标系统使用IDS进行入侵分析，对于入侵者来说具有很大的威慑力，因为这意味着攻击行为可能会被发现或被追踪。安全规划和管理：分析过程中可能会发现在系统安全规划和管理中存在的漏洞，安全管理员可以根据分析结果对系统进行重新配置，避免被攻击者用来窃取信息或破坏系统。获取入侵证据：入侵分析可以提供有关入侵行为详细的、可信的证据，这些证据可以用于事后追究入侵者的责任。入侵检测流程9入侵分析应考虑的因素需求子目标目标划分平衡入侵检测流程10入侵分析的模型入侵分析处理过程可分为三个阶段：

构建分析器；

分析数据；

反馈和更新。入侵检测流程11构建分析器

收集并生成事件信息

预处理信息

建立行为分析引擎

将事件数据输入引擎中

保存已输入数据的模型

入侵检测流程12分析数据

输入事件记录

事件预处理

比较事件记录和知识库产生响应

入侵检测流程13反馈和更新反馈和更新是一个非常重要的过程。评价入侵检测系统的一个重要指标就是攻击信息的特征数据库是否可以及时更新。每天都能够根据新攻击方式的出现来更新攻击信息特征数据库是非常重要的。许多优化的信号引擎能够在系统正在监控事件数据，没有中断分析过程的同时，由系统操作员来更新信号数据库。在入侵检测系统中，历史统计及异常特征需定时更新。例如，在第1个入侵检测系统IDES中，每天都进行特征轮廓的更新。每个用户的摘要资料被加入知识库中，并且删除最老的资料。入侵检测流程14入侵检测的分类异常检测（AnomalyDetection）：基于统计分析原理。首先总结正常操作应该具有的特征（用户轮廓），试图用定量的方式加以描述，当用户活动与正常行为有重大偏离时即被认为是入侵。前提：入侵是异常活动的子集。指标：漏报率低，误报率高。用户轮廓(Profile)：通常定义为各种行为参数及其阀值的集合，用于描述正常行为范围。特点：异常检测系统的效率取决于用户轮廓的完备性和监控的频率；不需要对每种入侵行为进行定义，因此能有效检测未知的入侵；系统能针对用户行为的改变进行自我调整和优化，但随着检测模型的逐步精确，异常检测会消耗更多的系统资源入侵检测流程15入侵检测的分类误用检测（MisuseDetection）：基于模式匹配原理。收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。前提：所有的入侵行为都有可被检测到的特征。指标：误报低、漏报高。攻击特征库：当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。特点：采用模式匹配，误用模式能明显降低误报率，但漏报率随之增加。攻击特征的细微变化，会使得误用检测无能为力。入侵检测流程16入侵检测的分类异常入侵检测和误用入侵检测的区别和联系区别：就模型构建而言，异常入侵检测学习的是正常的行为模式；误用入侵检测识别的是特定的入侵行为。就训练而言，异常入侵检测模式的建立需要经过一定的训练时间；误用入侵检测不需要。入侵检测流程17入侵检测的分类就是否能够发现新的攻击模式而言，异常入侵检测可以做到，因为它匹配的是正常行为，如果没有匹配到，则说明待检测行为是未知的攻击模式；误用入侵检测做不到，因为它匹配的是异常行为，如果没有匹配成功，则默认该行为是正常行为，因此它只能够检测出已知的攻击类型。就漏报率而言，异常入侵检测的漏报率低，因为它类似于白名单机制，那些未被预期到的入侵行为也是可以被制止的；而误用入侵检测的漏报率有待提升，它类似于黑名单机制，在很多情况下，我们无法穷尽所有可能的入侵行为，所以会出现漏报。另外，由于该“黑名单”的存在，入侵者可以通过变形绕过“黑名单”，因而漏报率会高。入侵检测流程18入侵检测的分类就模式库更新而言，异常入侵检测通常在入侵检测系统运行过程中进行，即边运行边更新；而误用入侵检测新特征发现过程和“使用已有特征进行检测”这一过程是相互独立的。二者之间的联系：二者都是入侵检测系统的可选方案。二者都更新“特征/模式库”的行为。入侵检测流程19误用入侵检测方法又称为基于知识的检测。误用检测假设所有可能的入侵行为都能被识别和表示。首先，设定一些入侵活动的特征，通过比对现在的活动是否与这些特征匹配来检测。这种方法是依据是否出现攻击签名来判断入侵行为，是一种直接的方法。常用的具体实现方法有：基于条件概率误用入侵检测方法、基于专家系统误用入侵检测方法、基于状态转换分析误用入侵检测方法、基于规则误用入侵检测方法等。入侵检测流程20误用入侵检测模型模式库攻击者匹配报警入侵检测流程21误用入侵检测方法模式匹配方法：基于模式匹配的误用入侵检测方法是最基本的入侵检测方法，该方法将已知的入侵特征转换成模式，存放于模式数据库中，在检测过程中，模式匹配模型将到来的事件与入侵模式数据库中的入侵模式进行匹配，如果匹配成功，则认为有入侵行为发生。专家系统方法：基于专家系统的误用入侵检测方法是最传统、最通用的入侵检测方法。在诸如MIDAS、IDES、下一代IDES（NIDES）、DIDS和CMDS中都使用了这种方法。入侵检测流程22误用入侵检测方法状态转换方法:状态转换分析是将状态转换图应用于入侵行为分析。状态转换法将入侵过程看作一个行为序列，这个行为序列导致系统从初始状态转到被入侵状态。分析时首先针对每一种入侵方法确定系统的初始状态和被入侵状态，以及导致状态转换的转换条件，即导致系统进人被入侵状态必须执行的操作(特征事件)；然后用状态转换图来表示每一个状态和特征事件，这些事件被集成于模型中，所以检测时不需要一个个地查找审计记录。但是，状态转换是针对事件序列分析，所以不宜于分析十分复杂的事件，而且不能检测与系统状态无关的入侵。入侵检测流程23误用入侵检测方法条件概率法:基于条件概率的误用入侵检测方法将入侵方式对应于一个事件序列，然后通过观测事件发生的情况来推测入侵的出现。这种方法的依据是外部事件序列，根据贝叶斯定理进行推理。令ES表示某个事件序列，发生入侵的先验概率为P(Intrusion)，发生入侵时该事件序列ES出现的后验概率为P(ESIntrusion)，该事件序列出现的概率为e（ES）通常情况下网络安全专家可以给出先验概率P(intrusion),由入侵报告及审计数据可得P(ES

intrusion）故可以通过事件序列的观测，推算出e(ES）基于条件概率的误用入侵检测方法是在概率理论基础上的一个普遍方法。它是对贝叶斯方法的改进，其缺点是先验概率难以给出，而且事件的独立性难以满足。入侵检测流程24误用入侵检测方法键盘监控法:该方法假设入侵对应特定的击键序列模式，然后监测用户击键模式，并将这一模式与入侵模式匹配，即能检测入侵。这种方法在没有操作系统支持的情况下，缺少捕获用户击键的可靠方法，而且同一种攻击存在无数击键方式表示。另外，假如没有击键语义分析，用户使用别名命令很容易欺骗这种检测技术。例如，用户注册的SHELL提供了简写命令序列工具，可以产生所谓的别名，类似宏定义。因为这种技术仅仅分析击键，所以不能够检测到恶意程序执行结果的自动攻击。但该方法相对容易实现。入侵检测流程25异常入侵检测模型异常行为正常行为命令系统调用活动度量CPU使用网络连接……入侵检测流程26Denning的原始模型入侵检测模型最早由DorthyDenning在1987年提出，目前的各种入侵检测技术和体系都是在此基础上的扩展和细化。

是一个基于主机的入侵检测模型。首先对主机事件按照一定的规则学习产生用户行为模型（ActivityProfile),然后将当前的事件和模型进行比较，如果不匹配则认为异常入侵检测流程27量化分析阈值检测启发式阈值检测基于目标的集成检查量化分析和数据精简入侵检测流程28非参统计度量非参统计异常检测的前提是根据用户特性把表示的用户活动数据分成两个明显区别的群：一个指示异常活动，另一个指示正常活动。各种群集算法均可采用。这些算法包括利用简单距离度量一个客体是否属于一个群，以及比较复杂的概念式度量；即，根据一个条件集合对客体记分，并用这个分数来决定它是否属于某一个特定群。不同的群集算法通常服务于不同的数据集和分析目标。统计分析的力度入侵检测流程29神经网络方法神经网络使用可适应学习技术来描述异常行为。这种非参分析技术运作在历史训练数据集上。历史训练数据集假定是不包含任何指示入侵或其它不希望的用户行为。神经网络由许多称为单元的简单处理元素组成。这些单元通过使用加权的连接相互作用。一个神经网络知识根据单元和它们权值间连接编码成网络结构。实际的学习过程是通过改变权值和加入或移去连接进行的。使用神经网络进行入侵检测的主要不足是神经网络不能为找到的异常,提供任何解释。入侵检测流程30其他检测方法免疫系统方法遗传算法基于代理的检测数据挖掘方法入侵检测流程31告警与响应在完成系统安全状况分析并确定系统所存在的问题之后，就要让人们知道这些问题的存在，在某些情况下，还要另外采取行动。在入侵检测处理过程模型中，这个阶段称之为响应期。理想的情况下，系统的这一部分应该具有丰富的响应功能特性，并且这些响应特性在针对安全管理小组中的每一位成员进行裁剪后，能够为他们都提供服务。被动响应是系统仅仅简单地记录和报告所检测出的问题。主动响应则是系统要为阻塞或影响进程而采取行动。入侵检测流程32对响应的需求操作环境系统目标和优先权规则或法令的需求给用户传授专业技术入侵检测流程33响应的类型主动响应：入侵者采取反击行动修正系统环境收集额外信息入侵检测流程34响应的类型被动响应：告警和通知

SNMPTrap和插件SNMPtrap是由被管理的设备主动的向管理服务器发送设备的异常情况，可以看成是管理服务器被