攻击检测技术概述入侵检测技术

1、目录4、入侵检测技术4.1 引言4.2 入侵检测的定义及评测标准4.3 入侵检测防范的典型黑客攻击类型4.4 异常检测技术4.5 滥用检测技术网络入侵的特点：1 .没有地域和时间的限制；2 .通过网络的攻击往往混杂在大量正常的网络活动之间，隐蔽性强；3 .入侵手段更加隐蔽和复杂。防火墙的缺点:1. 传统的操作系统加固技术和防火墙隔离技术等都是静态平安防御技术,对网络环境下日新月异的攻击手段缺乏主动的反响；2. 难于防止内部人员的攻击，而网络上来自内部攻击事件占70%左右；3. 难于管理和配置，易造成平安破绽；4. 因为防火墙要转发报文，往往成为网络性能的瓶颈。这个问题随着高带宽网络的流行尤为严

2、重；5. 单层防御体系，一旦被打破那么黑客可以为所欲为。(1)入侵检测技术是动态平安技术(P2DR)的最核心的技术之检测是静态防护转化为动态的关键；检测是动态响应的根据；检测是落实/强迫执行平安策略的有力工具。(2)入侵检测系统IDS是对防火墙的必要补充；入侵检测在其入侵检测是为那些已经采取了结合强防火墙和验证技术措施的客户准备的,上又增加了一层平安性。(3)对系统或网络资源进展实时检测，及时发现闯入系统或网络的入侵者;(4)预防合法用户对资源的误操作以及发现内部人员作案；(5)采用被动式的监听报文的方式捕获入侵，不会成为网络性能的瓶颈。入侵检测的定义入侵测：是指对于面向计算资源和网络资源的恶

3、意行为的识别和响应。入侵：是指任何试图破坏资源完好性、机密性和可用性的行为。这里，应该包括用户对于系统资源的误用。从入侵策略的角度可将入侵检测的内容分为：试图闯入或成功闯入、冒充其它用户、违犯平安策略、合法用户的泄漏、独占资源以及恶意使用等6个方面。入侵检测的评价标准准确性：指IDS对系统环境中的异常行为或入侵与合法行为进展区分的才能；性能：指IDS处理审计事件的效率；完好性：指IDS可以检测到所有的攻击；容错性：指IDS本身对于攻击的抵御才能和从系统崩溃中恢复的才能；时限性timeliness：指IDS执行并完成分析，以及进展响应的时间快慢。此外，还应考虑以下几点:1.IDS运行时，尽量减少

4、对系统的开销，以便不影响其它正常操作；2. 可以针对系统的平安策略对IDS进展配置；3. 对系统和用户行为随时间的变化具有适应性。基于网络的IDS还应具有以下性质：可伸缩性、部件相关性小、允许动态重构。寻找攻击目的并搜集相关信息及破绽，如PingSweeps,TCP/UDPscan,SATAN,ortScan；抢占目的系统资源阻止合法用户使用系统或使系统崩溃，如PingofDeath,SYNFlood,TearDrop,UDPBomb,Land/Latierra,WinNuke,Trinoo,TFN2K,Stacheldraht等；利用系统应用程序中存在的错误，执行特定的代码以获取系统的超级权

5、限，如DNSoverflow,Statdoverflow等；4 .WEB攻击:利用CGI、WEB效劳器和阅读器中存在的平安漏洞，损害系统平安或导致系统崩溃，如URL,HTTP,HTML,JavaScript,Frames,Java,andActiveX等；5 .邮件攻击:邮件炸弹、邮件滚雪球、邮件欺骗等；6 .非授权访问:越权访问文件、执行无权操作，如Admind,EvilFTPBackdoor,Finger_perl,FTP_Root,BackOrifice等；7 .网络效劳缺陷攻击:利用NFS，NIS，FTP等效劳存在的漏洞，进展攻击和非法访问，如NfsGuess,NfsMknod等；8

6、.网络监听:获取有用信息，夺取网络控制权，如snoop,tcpdump,Netwatch,sniffer等。(1) 基于统计方法的攻击检测技术审计系统实时地检测用户对系统的使用情况,根据系统内部保持的用户行为的概率统计模型进展监测,当发现有可疑的用户行为发生时，保持跟踪并监测、记录该用户的行为。SRI(StanfordResearchInstitute)研制开发的IDES(IntrusionDetectionExpertSystem)是一个典型的实时检测系统。IDES系统能根据用户以前的历史行为决定用户当前的行为是否合法。系统根据用户的历史行为,生成每个用户的历史行为记录库。IDES可以自适应

7、地学习被检测系统中每个用户的行为习惯，当某个用户改变他的行为习惯时，这种异常就会被检测出来。目前IDES实现的监测主要基于以下两个方面：一般工程：例如CPU的使用时间：IO的使用通道和频率，常用目录的建立与删除，文件的读写、修改、删除，以及来自局域网的行为；特定工程：包括习惯使用的编辑器和编译器、最常用的系统调用、用户ID的存取、文件和目录的使用。基于统计的攻击检测系统的缺点因为用户的行为可以是非常复杂的,所以想要准确匹配一个用户的历史行为和当前的行为相当困难。错发的警报往往来自对审计数据的统计算法所基于的不准确或不贴切的假设。(2) 基于神经网络的攻击检测技术采用神经网络技术，根据实时检测到

8、的信息有效地加以处理作出攻击可能性的判断。神经网络技术可以用于解决传统的统计分析技术所面临的以下问题：1. 难于建立确切的统计分布：统计方法根本上是依赖于用户行为的主观假设，如偏向高斯分布；错发警报常由这种假设所导致;2. 难于实现方法的普适性：适用于某类用户行为的检测措施一般无法适用于另一类用户；3 .算法实现比较昂贵：由于基于统计的算法对不同类型的用户行为不具有自适应性，因此算法比较复杂而且庞大，导致算法实现上的昂贵；4 .系统臃肿难于剪裁：由于采用统计方法检测具有大量用户的计算机系统，将不得不保存大量的用户行为信息，导致系统的臃肿和难于剪裁。目前，虽然神经网络技术提出了对基于传统统计技术

9、的攻击检测方法的改进方向，但尚不非常成熟，所以传统的统计方法仍将继续发挥作用。基于专家系统的攻击检测技术根据平安专家对可疑行为的分析经历来形成一套推理规那么，然后再在此根底之上构成相应的专家系统，并应用于入侵检测。所谓专家系统是基于一套由专家经历事先定义的规那么的推理系统。例如，在数分钟之内某个用户连续进展登录，而且失败超过三次就可以被认为是一种攻击行为。专家系统对历史数据的依赖性总的来说比基于统计的检测技术的审计系统较少，因此系统的适应性比较强，可以较灵敏地适应广泛的平安策略和检测需求。基于规那么的专家系统或推进系统的局限性:因为作为这类系统的根底的推理规那么一般都是根据的平安破绽进展安排和

10、筹划的，而对系统的最危险的威胁那么主要是来自未知的平安破绽；其功能应当可以随着经历的积累而利用其自学习才能进展规那么的扩大和修正，实际操作起来很困难。基于模型推理的攻击检测技术攻击者在攻击一个系统时往往采用一定的行为程序，如猜测口令的程序，这种行为程序构成了某种具有一定行为特征的模型，根据这种模型所代表的攻击意图的行为特征，可以实时地检测出恶意的攻击企图。用基于模型的推理方法人们可以为某些行为建立特定的模型，从而可以监视具有特定行为特征的某些活动。根据假设的攻击脚本，这种系统就能检测出非法的用户行为。一般为了准确判断，要为不同的攻击者和不同的系统建立特定的攻击脚本。基于形式匹配的检测技术在大多数入侵检测系统中，识别网络攻击采用的方法还是形式匹配，这主要是因为目前其它技术或者实用性较差或者实时性不能满足要求。形式匹配的根本思想是：提取各种攻击的特征如协议、IP地址、效劳端口等，建立一个用于检测的特征库，以特征库为根据来执行形式匹配从而识别大量的攻击和试探。目前常见的形式匹配算法，如Snort,存在效率低、不能适应高速网络的入侵检测等缺点。因此针对规那么库采用的规那么构造，改进规那么的存储构造、数据构造以及匹配方法，可以有效进步规那么的匹配效率。m KiGNATunt6m 任彦中蚱用冉E6尊胃 即幽 再中8)中wr鼎国&quo