1 / 50

第 10 章 入侵检测技术

第 10 章 入侵检测技术. 10.1 入侵检测概述 10.2 入侵检测原理 10.3 入侵检测系统的关键技术 10.4 基于数据挖掘的智能化入侵检测系统设计. 10.1 入侵检测概述. 计算机网络主要由以下 3 部分组成: ( 1 )若干主机; ( 2 )通信子网,包括通信处理机和连接网络中各个节点的通信链路; ( 3 )通信协议,如以太网协议、 TCP/IP 等。 信息安全包含以下几个方面的内容 : 保密性 完整性 有效性. 网络攻击共经历了如下几个过程。 ( 1 )攻击来源: ( 2 )攻击工具: ( 3 )访问系统方式:

margie
Download Presentation

第 10 章 入侵检测技术

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 第10章 入侵检测技术

  2. 10.1 入侵检测概述 10.2 入侵检测原理 10.3 入侵检测系统的关键技术 10.4 基于数据挖掘的智能化入侵检测系统设计

  3. 10.1 入侵检测概述 计算机网络主要由以下3部分组成: (1)若干主机; (2)通信子网,包括通信处理机和连接网络中各个节点的通信链路; (3)通信协议,如以太网协议、TCP/IP等。 信息安全包含以下几个方面的内容: 保密性 完整性 有效性

  4. 网络攻击共经历了如下几个过程。 (1)攻击来源: (2)攻击工具: (3)访问系统方式: (4)攻击结束: (5)攻击者意图:

  5. 而从防卫者的角度出发,针对上述目标,网络安全的目标包含以下几个方面。而从防卫者的角度出发,针对上述目标,网络安全的目标包含以下几个方面。 (1)网络服务有效可用 (2)网络信息的保密性不被破坏 (3)网络信息的完整性不被破坏 (4)确保网络信息的不可抵赖性 (5)有效控制网络的运行

  6. 10.1.2 研究入侵检测的必要性 因为访问控制和保护模型本身存着在以下问题。 (1)弱口令问题。 (2)静态安全措施不足以保护安全对象属性。 (3)软件的Bug-Free近期无法解决。 (4)软件生命周期缩短和软件测试不充分。 (5)系统软件缺陷的修补工作复杂,而且源代码大多数不公开,也缺乏修补Bug的专门技术,导致修补进度太慢,因而计算机系统的不安全系统将持续一段时间。

  7. 入侵检测的主要目的有:识别入侵者;识别入侵行为;检测和监视已成功的安全突破;为对抗措施即时提供重要信息。因而,入侵检测是非常必要的,可以弥补传统安全保护措施的不足。入侵检测的主要目的有:识别入侵者;识别入侵行为;检测和监视已成功的安全突破;为对抗措施即时提供重要信息。因而,入侵检测是非常必要的,可以弥补传统安全保护措施的不足。 入侵检测系统的主要功能是检测,当然还有其他的功能选项,因而增加了计算机系统和网络的安全性。

  8. 使用入侵检测系统有如下优点: ①检测防护部分阻止不了的入侵; ②检测入侵的前兆; ③对入侵事件进行归档; ④对网络遭受的威胁程度进行评估; ⑤对入侵事件进行恢复。 入侵检测系统利用优化匹配模式和统计学技术把传统的电子数据处理和安全审查结合起来,已经发展成为构筑完整的现代网络安全技术的一个必不可少的部分。

  9. (1)安全审计 安全审计机制的目标有以下几方面。 ① 为安全职员提供足够的信息使之能够将问题局限于局部,而信息量不足以以其为基础进行攻击。 ② 优化审计记录的内容,审计分析机制应该可以对一些特定资源辨认正常的行为。 (2)IDS的诞生

  10. 10.1.3 网络安全体系结构 图10.2单机安全模型

  11. 图10.3安全系统管理模型

  12. 图10.4信息保障的基本内容

  13. 10.2 入侵检测原理 入侵检测和其他检测技术基于同样的原理,即从一组数据中,检测出符合某一特点的数据。 10.2.1 异常入侵检测原理 构筑异常检测原理的入侵检测系统,首先要建立系统或用户的正常行为模式库,不属于该库的行为被视为异常行为。

  14. 但是,入侵性活动并不总是与异常活动相符合,而是存在下列4种可能性。但是,入侵性活动并不总是与异常活动相符合,而是存在下列4种可能性。 (1)入侵性而非异常。 (2)非入侵性且异常。 (3)非入侵性非异常。 (4)入侵性且异常。 另外,设置异常的门槛值不当,往往会导致IDS许多误报警或者漏检的现象,漏检对于重要的安全系统来说是相当危险的,因为IDS给安全管理员造成了系统安全假象。

  15. 10.2.2 误用入侵检测原理 误用入侵检测依赖于模式库,误用入侵检测能直接检测出模式库中已涵盖的入侵行为或不可接受的行为,而异常入侵检测是发现同正常行为相违背的行为。误用入侵检测的主要假设是具有能够被精确地按某种方式编码的攻击。通过捕获攻击及重新整理,可确认入侵活动是基于同一弱点进行攻击的入侵方法的变种。误用入侵检测主要的局限性是仅仅可检测已知的弱点,对检测未知的入侵可能用处不大。

  16. 图10.5 误用入侵检测模型

  17. 10.2.3 入侵检测模型 入侵有以下6种方式: ① 尝试性攻击; ② 伪装攻击; ③ 安全控制系统渗透; ④ 泄漏; ⑤ 拒绝服务; ⑥ 恶意使用。

  18. 1.IDES模型 图10.6 IDES模型

  19. 表10.1 模 式 语 法

  20. 表10.2 轮 廓 实 例

  21. 2.IDM模型 表10.3 IDM表

  22. 3.SNMP-IDSM模型 图10.7 IDS A与IDS B消息交换示意图

  23. 4.各种模型比较 IDES模型依靠分析主机的审计记录,因此,在网络环境下,IDES模型存在局限性。 IDM模型和SNMP-IDSM模型正是对IDES模型的补充。 入侵检测模型要随着网络技术和入侵技术而变化。一是要扩充入侵数据结构模型;二是模型要易于扩充。

  24. 10.3 入侵检测系统的关键技术 10.3.1 多用于异常入侵检测的技术 1.统计异常检测方法 统计异常检测方法根据异常检测器观察主体的活动,由此产生一个能够描述这些活动的轮廓。每一个轮廓都保存记录主体的当前行为,并定时地将当前的轮廓合并到已存储的轮廓中。通过比较当前的轮廓与已存储的轮廓来判断主体的行为是否异常,从而来检测网络是否被入侵。

  25. 2.基于特征选择异常检测方法 基于特征选择异常检测方法是通过从一组度量中挑选能检测出入侵的度量构成子集来准确地预测或分类已检测到的入侵。 3.基于贝叶斯推理异常检测方法 基于贝叶斯推理异常检测方法是通过在任意给定的时刻,测量A1,A2,…,An变量值推理判断系统是否有入侵事件发生。

  26. 4.基于贝叶斯网络异常检测方法 基于贝叶斯网络的异常检测方法是通过建立异常入侵检测贝叶斯网络,然后用其分析一场测量结果。 关于一组变量x={ x1,x2,…,xn},的贝叶斯网络由以下两部分组成: ① 一个表示X中变量的条件独立断言的网络结构S; ② 与每一个变量相联系的局部概率分布集合P。

  27. 贝叶斯网络的建立共有以下3个主要步骤。 第一步,确定建立模型有关的变量及其解释。 第二步,构建一个表示条件独立断言的有向无环图 。 第三步,指派局部概率分布p(xi|Pai)。

  28. 表10.4 模型变量表

  29. 图10.8一个检测隐私攻击的简单贝叶斯网络

  30. 5.基于模式预测异常检测方法 基于模式预测异常检测方法的假设条件是事件序列不是随机的而是遵循可辨别的模式

  31. 6.基于神经网络异常检测方法 图10.9基于神经网络的入侵检测示意图

  32. 7.基于贝叶斯聚类异常检测方法 8.基于机器学习异常检测方法 9.基于数据采掘异常检测方法

  33. 10.3.2 多用于误用入侵检测的技术 误用入侵检测的主要假设是具有能够被精确地按某种方式编码的攻击,并可以通过捕获攻击及重新整理,确认入侵活动是基于同一弱点进行攻击的入侵方法的变种。 1.基于条件概率误用入侵检测方法 2.基于专家系统误用入侵检测方法 3.基于状态迁移分析误用入侵检测方法 4.基于键盘监控误用入侵检测方法 5.基于模型误用入侵检测方法

  34. 10.3.3 基于Agent的入侵检测 无控制中心的多Agent结构,每个检测部件都是独立的检测单元,尽量降低了各检测部件间的相关性,不仅实现了数据收集的分布化,而且将入侵检测和实时响应分布化,真正实现了分布式检测的思想。

  35. 图10.10基于Agent的入侵检测系统模型 该模型的检测单元IDA是分布在网络系统的各个位置,每个IDA独立地检测系统或网络安全的一个方面,有独立的数据获取方式、运行模式或可选规则库,各IDA之间进行相互协作,对系统和网络用户的异常或可疑行为进行检测。

  36. (1)IDA入侵检测模型操作规则 (2)IDA的处理流程 (3)Agent之间的协作 (4)系统自身安全 (5)基于Agent入侵检测模型实例研究 (6)基于Agent的入侵检测系统模型的特点

  37. 10.3.4 入侵检测的新技术 1.基于生物免疫的入侵检测 基于生物免疫的入侵检测方法是通过模仿生物有机体的免疫系统工作机制,使得受保护 的系统能够将非自我(non self)的非法行为与自我(self)的合法行为区分开来。

  38. 基于生物免疫的入侵检测系统要遵循以下原则。基于生物免疫的入侵检测系统要遵循以下原则。 (1)分布式保护(Distributed Protection) (2)多样性(Diversity) (3)健壮性(Robustness) (4)适应性(Adaptability) (5)记忆性(Memory)。 (6)隐含的策略描述(Implicit Policy Specification)。 (7)灵活性(Flexibility) (8)可扩充性(Scalability) (9)异常检测

  39. 2.基因算法 3.数据挖掘 数据挖掘指从大量实体数据中抽出模型的处理。挖掘审计数据最有用的3种方法是分类、连接分析和顺序分析。

  40. 4.基于伪装的入侵检测 5.密罐技术 密罐技术就是建立一个虚假的网络,诱惑黑客攻击这个虚假的网络,从而达到保护真正网络的目的。 密罐技术对系统安全起到了以下三方面的作用。 (1)黑客会攻击虚假的网络而忽略真正的网络。 (2)收集黑客的信息和企图,帮助系统进行安全防护和检测,响应。 (3)消耗黑客的精力,让系统管理员有足够的时间去响应。

  41. 10.3.5 入侵检测系统面临的挑战和发展前景 入侵检测系统的发展方向有以下几个方面。 1.提高入侵检测的速度 2.硬件化 3.专业化 4.互联化 5.标准化

  42. 10.4 基于数据挖掘的智能化入侵检测系统设计 入侵检测的实质就是对审计数据进行分析和定性,数据挖掘强大的分析方法可以用于入侵检测的建模。使用数据挖掘中有关算法对审计数据进行关联分析和序列分析,可以挖掘出关联规则和序列规则。通过这种方法,管理员不再需要手动分析并编写入侵模式,也无需在建立正常使用模式时,凭经验去猜测其特征项,具有很好的可扩展性和适应性。

  43. 10.4.1 入侵检测系统体系结构以及模型 图10.11 系统体系结构模型图

  44. 10.4.2 数据预处理 主要提取的特征值有以下几个。 (1)网络连接特征 (2)连接的统计特征 对于入侵检测系统,尤其是在需要进行实时检测的情况下,适当的数据约简是必要的。

  45. 10.4.3 基于协议分析的检测方法 基于协议分析的检测方法,在进行TCP/IP解析以后,还要根据上层应用层的不同协议进行不同的解析。

  46. 10.4.4 数据挖掘规则生成模块 规则挖掘模块实现规则的挖掘和动态增加、修改的功能,如图10.12所示。规则挖掘模块把收集到的数据(通过嗅探器得到)进行协议分析,将结果存储到中间数据库里,按照一定的策略(或者是手工或者是按照以前的先验规则)进行打标,将打标后的数据分离,形成含有若干条件属性和决策属性的决策表,最后使用一些数据挖掘的工具和算法进行约简,得到规则。

  47. 图10.12 规则挖掘模块

  48. 其中,智能数据处理模块使用Rough Set理论挖掘算法来实现,从决策表中寻找决策规则的具体步骤如下。 (1)数据预处理:包括删除重复的记录,决策表补齐和数据离散化。 (2)删除多余的属性,求出属性约简。 (3)删除多余的属性值,得到值约简。 (4)根据值约简求出逻辑规则。

  49. 图10.13 Internet邮件传送示意图

  50. 基于Rough Set理论,从决策表中寻找决策规则的一般步骤如下。 (1)数据预处理:包括删除重复记录,决策表补齐和数据离散化。 (2)删除多余属性,求出属性约简。 (3)删除多余的属性值,得到值约简。 (4)根据值约简求出逻辑规则。

More Related