Unit4入侵检测中的数据分析.ppt

入侵检测及扫描技术, 数据分析技术,主要内容,通用入侵检测模型 误用检测技术 异常检测技术 其他检测技术,通用入侵检测模型,1987年，Denning提出了一个抽象的通用入侵检测模型。 该模型主要由6部分构成：主体，对象，审计记录，活动简档，异常记录，活动规则。 IDES与它的后继版本NIDES都完全基于Denning的模型，但并不是所有的IDS都能够完全符合该模型。,通用入侵检测模型示意图,数据分析模型,数据分析是入侵检测的核心功能，主要有两种，即异常检测模型和误用检测模型。 功能是： 数据预处理：把收集到数据定制成统一的规范格式。 数据分类：将数据分成有入侵、无入侵和不确定 后期处理：和知识库进行对比 结果反馈和提炼：可以是报警、日志记录、自动响应或其他由操作员定义的动作。,入侵检测技术,1 误用检测技术,方法：首先对标识特定入侵的行为模式进行编码，建立误用模式库，然后对实际检测过程中得到的审计事件数据进行过滤，检查是否包含入侵行为的知识。 缺点：只能检测已知的攻击模式。需要不断的、及时地升级。 主要包括： 简单模式匹配 专家系统 状态转移法 等,1.1 简单模式匹配,优点是：原理简单，实现、配置、维护方便，检测效率高； 缺点是：只适用于简单的攻击方式、误报率高； 代表系统： Snort：跨平台的网络IDS（NIDS）工具 Bro：由美国Lawrence Berkeley国家实验室开发，是NIDS。,1.2 专家系统（expert system）,工作方式是：使用类似if-then的规则格式输入已有的知识（攻击模式），然后输入待检测数据（审计事件记录），系统根据知识库中内容对检测数据进行评估和判断。 代表系统: MIDAS IDES Next Generation IDES（NIDES） DIDS CMDS,专家系统的优缺点,优点： 其推理过程是自治的黑盒，不需用户理解和干预 缺点： 处理海量数据时存在效率问题，因为专家系统的推理通常使用解释型语言； 缺乏处理数据前后的相关性问题的能力； 性能取决于设计者的知识和技能； 只能检测已知的攻击模式； 规则库的维护较困难。,1.3 状态转移法,采用优化的模式匹配技术 实现状态转移的入侵检测可使用以下方法： 状态转移分析（state transition analysis） 着色Petri网（Colored petri nets 或CP-nets） 基于语言/应用程序接口的方法（Languages/API base approach）,1.3.1 状态转移分析,是一种使用高层状态转移图来表示和检测已知攻击模式的误用检测技术。 该技术首先在STAT系统及USTAT中实现，STAT系统由美国加州大学Santa Barbaba分校的Pillip Porras和Richard Kemmerer开发，USTAT则由Koral Ilgun和Kemmerer完成。 把入侵者渗透的过程看作是从有限的特权开始，利用系统存在的脆弱性，逐步提升自身的权限。把攻击者获得的权限或攻击成功的结果表示为系统状态。,状态转移分析（续）,特点： 使用有限状态机模型来表示入侵过程 入侵过程由一系列导致系统从初始状态到入侵状态的行为组成：初始状态表示入侵发生之前的系统状态，入侵状态则表示入侵完成后系统所处的状态。 用户的行为和动作导致系统状态的转变。,1.3.2 着色Petri网和IDIOT系统,由Purdue 大学的Sandeep Kumar和Gene Spaffford设计。IDIOT系统是该方法的具体实现。 关注事件与所处系统环境之间的关系，每种入侵模式都与先前所具备的条件以及随后发生的动作相关，该关系模式可精确描述入侵和入侵企图，并提供一种通用的、与系统架构无关的模式表达和匹配模型。 优点是： 检测效率高 入侵特征具备跨平台的可移植性 只需关注匹配内容，无需关心匹配方式,2 异常检测技术,基于以下假设：程序的执行和用户行为在系统特性上呈现紧密相关性。 如：某些特权程序总是访问特定目录下的系统文件，程序员则经常编辑和编译C程序。 关键：正常使用模式的建立，如何利用该模式对当前系统/用户行为进行比较，从而判断出于正常模式的偏离程度。 缺点：容易产生漏报 主要包括以下方法： 用户行为概率统计模型 基于规则的检测 神经网络,统计分析,入侵检测专家系统（IDES/NIDES）：由SRI开发，对用户和系统主体建立历史统计模式 Haystack系统：由Tracor Applied Sciences and Haystack Laboratories（隶属美国空军）开发,基于规则的检测,W&S系统（Wisdom and Sense）:由美国Los Alamos国家实验室和Oak Ridge国家实验室的研究人员实现，可运行于多种平台，提供系统级和应用级的行为提取功能。 基于时间的归纳推理机（Time based Inductive Machine,TIM）: 由Digital Equipment Corporation的研究人员提出，特点是可用推导算法自动产生入侵规则。,基于神经网络的入侵检测,使用自适应学习技术来提取异常行为的特征，要对训练数据集进行学习以得出正常的行为模式，保证训练数据的不包含任何入侵或异常的用户行为。,3 其他检测技术,免疫系统 数据挖掘 遗传算法 基于agent的检测： 如AAFID,EMERALD,IDA 信息检索技术,参考文献和资料(1),Forrest S, Hofmeyr S A, and Somayaji A. Computer Immunology. Communications of the ACM, 1997, 40(10):88-96. W Lee, S J Stolfo. Data Mining approaches for intrusion detectionC. In proceedings of the 7th USENIX Security symposium, Oakland, California, 1998 Ludovic Me. GASSATA, A genetic algorithm as an alternative tool for security audit trail analysis R. Cesson Sevigne Cedex, France: Superlec, 1996,参考文献和资料(2),Ross Anderson, Abida Khattak. The use of information Retrieval techniques for intrusion detection. University of Cambridge, Computer Laboratory. 10th June 1997. /anderson97use.html. Steven A H. An immunological model of distributed detection and its application to computer security D. s.l.: University of New Mexico, 1999