《入侵检测技术讲解》PPT课件

1、第5讲入侵检测技术，执行摘要：入侵检测技术概述分布式入侵检测系统的实现标准入侵检测系统示例本章摘要，5.1入侵检测概述，定义入侵检测系统将传统的电子数据处理(EDP)与安全审计技术相结合，通过使用优化的匹配模式和统计技术实现动态网络安全保护，是完整的现代网络安全系统的必要组成部分。入侵检测系统是防火墙的合理补充，通过主动防御帮助系统应对网络攻击，扩展系统管理员的安全管理能力(包括安全审计、监控、攻击识别和响应)，提高信息安全基础设施的完整性。它从计算机网络系统的几个关键点收集和分析信息，以查看网络中是否有任何违反安全策略的行为和攻击迹象。入侵检测系统可以在不影响网络性能的情况下对网络进行监控，

2、并对内部攻击、外部攻击和误操作提供实时保护。回到本章的第一页，安全审核是开发的一个阶段，它被定义为记录、分析和处理系统中的事件的过程。与系统日志相比，审计更加关注安全性问题。根据美国国防部(DOD)“可信计算机系统评估标准”(TCSEC)，审计机制应该是C2或更高安全级别的计算机系统的必要安全机制。其功能：记录系统访问过程和系统保护机制的运行情况；发现试图绕过保护机制的行为；及时发现用户身份的变化；报告和阻止绕过保护机制的行为，并记录相关过程，为灾难恢复提供信息。1980年4月，詹姆斯安德森发表了题为美国空军计算机安全威胁监测与监视的技术报告，首次详细阐述了入侵检测的概念。他提出了计算机系统风

3、险和威胁的分类方法，并将威胁分为三种类型：外部渗透、内部渗透和非法行为。他还提出了用审计跟踪数据监控入侵活动的想法。这份报告被认为是入侵检测的开创性工作。安德森还建议，对用户行为的统计分析可以确定系统使用的异常模式，并可能发现隐藏的黑客。这个经过验证的方案是入侵检测的另一个里程碑，即入侵检测专家系统方案。5.1入侵检测概述第二个发展阶段是入侵检测系统的诞生1980年，安德森在计算机安全威胁监测报告中指出，必须改变现有的系统审计机制，为专职系统安全人员提供安全信息，这被认为是对入侵检测系统最早的讨论。其中，他首先提出了入侵检测的概念，并将入侵企图或威胁定义为一种潜在的、有预谋的、未经授权的访问信

4、息和操作信息的企图，使系统不可靠或不可用。Aderson提出审计线索可以用来监控入侵威胁，但当时并不了解这一假设的重要性。1987年，Dorothy E Denning提出了入侵检测系统的抽象模型，并首次提出了入侵检测作为计算机系统安全防御措施的概念。与传统的加密和访问控制方法相比，入侵检测技术是一种全新的计算机网络安全措施。5.1入侵检测概述，返回本章第一页，(1)主题；在目标系统上处于活动状态的实体，如用户。(2)对象：系统资源，如文件、设备、命令等。(3)审计记录：内部主体、行动、例外条件、资源使用和时间戳。其中，活动是指主体对目标的操作。异常情况是指系统对主体活动异常情况的报告。资源使

5、用指的是系统的资源消耗。(4)主动概要：系统的正常行为模型，它存储系统正常活动的信息。它的实现在各种检测方法中是不同的。在统计方法中，我们可以测量事件的数量、频率和资源消耗。(5)异常记录：由事件、时间戳和审计记录组成，表明异常事件的发生。(6)主动规则：判断是否是入侵，并采取相应的措施。通常采用系统的正常活动模型作为标准，按照专家系统或统计方法对审计记录进行分析和处理，发现入侵时采取相应的对策。5.1入侵检测概述，并返回本章第一页。1988年，SRICSL的特里萨伦特改进了丹宁的入侵检测模型，并实际开发了一个IDES。1988年，Teresa Lunt等人进一步改进了Denning提出的入侵

6、检测模型，并实际开发了IDES(入侵检测专家系统)，用于检测单个主机的入侵企图，并提出了独立于系统平台的实时检测思想。该系统包括异常检测器和专家系统，分别用于统计异常模型的建立和基于规则的特征分析和检测。下一代入侵检测专家系统(NIDES)，开发于1995年，作为IDES的完美版本，可以检测多台主机上的入侵。回到本章的第一页，1990年是入侵检测系统历史上非常重要的一年。今年，加州大学戴维斯分校的赫伯特林等人提出了一个划时代的新概念：基于网络入侵检测的网络安全监控器(NSM)。该系统首次直接使用网络流量作为审计数据源，无需将审计数据转换成统一的格式就可以监控异构主机。此后，入侵检测系统的发展翻

7、开了新的一页，正式形成了两大阵营：基于网络的入侵检测系统和基于主机的入侵检测系统。1988年莫里斯蠕虫事件后，网络安全真正引起了军方、学术界和企业的关注。美国空军、国家安全局和能源部联合资助空军密码支持中心、劳伦斯利弗莫尔国家实验室、加州大学戴维斯分校和Haystack实验室开展分布式入侵检测系统(dids)研究，集成基于主机和基于网络的检测方法。DIDS是分布式入侵检测系统史上的一个里程碑式的产品。其检测模型采用分层结构，分为六层：数据、事件、主题、上下文、威胁和安全状态。从20世纪90年代至今，入侵检测系统的研究和发展呈现出百家争鸣的繁荣局面，在智能化和分布式两个方向都取得了长足的进步。目

8、前，SRICSL、普渡大学、加州大学戴维斯分校、洛斯阿拉莫斯国家实验室、哥伦比亚大学、新墨西哥大学等机构代表了这些领域的最高水平。1994年，马克克罗斯比(Mark Crosbie)和吉恩斯帕福德(Gene Spafford)提出使用自治代理来提高入侵检测系统的可扩展性、可维护性、效率和容错性，这与计算机科学其他领域(如软件代理)正在进行的研究非常一致。解决大多数入侵检测系统可扩展性问题的另一种方法是在1996年提出的，即网格(基于图的入侵检测系统)的设计和实现，它可以很容易地检测大规模的自动或协同网络攻击。回到本章的第一页，近年来，入侵检测技术研究的主要创新有：福雷斯特等人将免疫学原理应用于

9、分布式入侵检测领域；1998年，罗斯安德森和阿比达卡塔克将信息检索技术引入入侵检测；并利用状态转移分析、数据挖掘和遗传算法来检测误用和异常。返回本章第一页，5.1.1入侵检测原理，图5-2给出了入侵检测的基本示意图。入侵检测是一种网络安全技术，用于检测任何损害或试图损害系统的保密性、完整性或可用性。通过监控受保护系统的状态和活动，它通过误用检测或异常检测发现未经授权或恶意的系统和网络行为，并提供有效的手段来防止入侵。返回本章第一页，图5-2入侵检测原理框图，返回本章第一页，监视和分析系统和用户的活动，发现异常尝试或现象，并记录警报和响应。所谓的入侵检测系统是执行入侵检测任务的硬件或软件产品。入

10、侵检测为合法用户发现入侵攻击和滥用特权提供了一种方法。其应用前提是入侵行为和合法行为可以区分开来，即通过提取行为的模式特征来判断行为的性质。一般来说，入侵检测系统需要解决两个问题：如何充分、可靠地提取描述行为特征的数据；如何根据特征数据高效准确地判断行为的本质？回到本章第一页，5.1.2系统结构，由于网络环境和系统安全策略的不同，入侵检测系统的具体实现也不同。从系统结构来看，入侵检测系统应该包括四个部分：事件提取、入侵分析、入侵响应和远程管理。此外，结合安全知识库、数据存储等功能模块，可以提供更完善的安全检测和数据分析功能(如图5-3所示)。回到本章的第一页，图5-3入侵检测系统结构回到本章的

11、第一页，入侵检测的思想源于传统的系统审计，但拓宽了传统审计的概念，它以几乎不间断的方式执行安全检测，从而形成一个连续的检测过程。这通常通过执行以下任务来实现：监视和分析用户和系统活动；对系统结构和弱点的审计；识别和分析众所周知的攻击行为特征，并发出警报；异常行为特征的统计分析；评估重要系统和数据文件的完整性；操作系统的审计跟踪管理，以及用户违反安全策略的识别。代理服务器负责从每个目标系统收集审计数据，将审计数据转换为独立于平台的格式，并将其传输到中央检测平台。同时，中央检测平台将中央平台的审计数据需求传递给各个目标系统的功能是通过专家系统对代理服务器收集的审计数据进行分析，生成系统报告。管理员

12、可以为每台主机提供安全管理功能，并根据专家系统的分析结果向每台代理服务器发送审计数据需求。中央检测平台和代理服务器之间的通信是通过安全远程过程调用(RPC)实现的。5.1.3系统分类。由于功能和体系结构的复杂性，根据不同的标准，入侵检测有多种分类方法。入侵检测系统的类型可以从三个方面来描述：数据源、检测理论和检测时间。返回本章第一页，1基于数据源的分类是基于主机上安装的：主机，监视和分析主机的审计记录，从而对可疑的主体活动采取相应的措施。缺点是系统本身的安全性和入侵检测系统的性能不能统一(系统特权或逃避审计)；此外，根据系统的日志记录和监控能力，能否及时收集审计数据成为一个问题。返回本章第一页

13、，1。基于数据源的分类在基于网络：的共享网段中处于重要位置，每个被监控的数据包都根据规则进行分析并做出响应。其优点是平台独立，影响小，系统的不可见性使其容易受到攻击。缺点是性能受到交换网络环境的限制，特征检测方法难以检测出大量复杂计算和分析的攻击方法。由于网段协调能力的限制，网络流量返回和攻击报警的延迟很大。返回本章第一页，基于网关的3360是结合路由和高速交换技术的新一代高速网络，它从网关提取信息，为整个信息基础设施提供保护措施。文件完整性检查系统：检查自上次检查以来计算机中文件系统的变化，从而发现异常现象。缺点是，这个系统依赖于本地摘要数据库，它像日志文件一样，可能被入侵者修改。基于检测理

14、论的分类从具体的检测理论来看，入侵检测可以分为异常检测和误用检测。误用检测技术通过比较用户行为和已知的入侵行为特征来发现入侵。异常检测技术通过比较用户行为和已知的正常行为特征来发现入侵。回到本章的第一页，2基于检测理论的异常检测是指根据用户的行为或资源使用的正常程度来判断是否发生了入侵，而不取决于具体的行为是否出现。它相对独立于系统，具有很强的通用性，甚至可以检测到以前没有出现过的攻击方法。缺点是误检率高，可能受到恶意训练的攻击。回到本章的第一页，2基于检测理论的分类误用检测是指使用已知的攻击方法，根据定义的入侵模式，判断这些入侵模式是否出现。也称为特征分析或基于知识的检测。检测精度高，缺陷受

15、已知知识的限制，对目标系统的依赖性太强，不仅可移植性差，维护工作量大，而且难以抽象出具体的入侵手段，对内部入侵行为无能为力。返回到本章的第一页，3基于检测时间的分类入侵检测系统在处理数据时可以使用实时在线检测，也可以使用批处理定期离线检测原始数据。离线检测将数据存储一段时间，然后定期发送给数据处理单元进行分析。如果在这段时间内发生攻击，将会发出警报。实时处理在线检测(根据日志和各种漏洞)是大多数入侵检测系统采用的方法。随着计算机硬件速度的提高，实时检测和响应攻击成为可能。(包括网络入侵检测和主机入侵检测，而主机入侵检测包括基于审计信息的入侵检测、到达数据检测、外部连接检测、注册行为检测、操作检测、文件完整性检测、基于内核的检测等。)，返回到本章的主页，并返回到本章的主页，5.2入侵检测的技术实现，入侵检测的研究，从早期的审计跟踪数据分析到实时入侵检测系统，现在已经应用到入侵检测中。入侵检测的核心问题是如何分析安全审计数据，以检测它是否包含入侵或异常行为的迹象。在这里，我们首先从误用检测和异常检测两个方面介绍主流入侵检测技术的实现，然后简单介绍其他类型的检测技术。返回本章第一页，5.2.1入侵检测分析模型。分析是入侵检测的核心功能。它可以像熟悉日志条件的管理员建立决策表一样简单，也可以像集成数百万个过程