安全防護與入侵檢測PPT通用課件

1、安全防護與入侵檢測Sniffer Pro網(wǎng)絡管理與監(jiān)視 Sniffer，中文可以翻譯為嗅探器，是一種基于被動偵聽原理的網(wǎng)絡分析方式。使用這種技術方式，可以監(jiān)視網(wǎng)絡的狀態(tài)、數(shù)據(jù)流動情況以及網(wǎng)絡上傳輸?shù)男畔?。當信息以明文的形式在網(wǎng)絡上傳輸時，便可以使用網(wǎng)絡監(jiān)聽的方式來進行攻擊。將網(wǎng)絡接口設置在監(jiān)聽模式，便可以將網(wǎng)上傳輸?shù)脑丛床粩嗟男畔⒔孬@。Sniffer技術常常被黑客們用來截獲用戶的口令。但實際上Sniffer技術被廣泛地應用于網(wǎng)絡故障診斷、協(xié)議分析、應用性能分析和網(wǎng)絡安全保障等各個領域?；谝蕴W(wǎng)絡嗅探的Sniffer只能抓取一個物理網(wǎng)段內(nèi)的包，就是說，你和監(jiān)聽的目標中間不能有路由或其他屏蔽廣播

2、包的設備，這一點很重要。所以，對一般撥號上網(wǎng)的用戶來說，是不可能利用Sniffer來竊聽到其他人的通信內(nèi)容的。網(wǎng)絡技術與設備簡介 數(shù)據(jù)在網(wǎng)絡上是以很小的稱為幀（Frame）的單位傳輸?shù)?，幀由幾部分組成，不同的部分執(zhí)行不同的功能。幀通過特定的稱為網(wǎng)絡驅(qū)動程序的軟件進行成型，然后通過網(wǎng)卡發(fā)送到網(wǎng)線上，通過網(wǎng)線到達它們的目的機器，在目的機器的一端執(zhí)行相反的過程。接收端機器的以太網(wǎng)卡捕獲到這些幀，并告訴操作系統(tǒng)幀已到達，然后對其進行存儲。就是在這個傳輸和接收的過程中，嗅探器會帶來安全方面的問題。 每一個在局域網(wǎng)（LAN）上的工作站都有其硬件地址，這些地址惟一地表示了網(wǎng)絡上的機器（這一點與Interne

3、t地址系統(tǒng)比較相似）。當用戶發(fā)送一個數(shù)據(jù)包時，這些數(shù)據(jù)包就會發(fā)送到LAN上所有可用的機器。 網(wǎng)絡監(jiān)聽原理 Sniffer程序是一種利用以太網(wǎng)的特性把網(wǎng)絡適配卡（NIC，一般為以太網(wǎng)卡）置為雜亂（promiscuous）模式狀態(tài)的工具，一旦網(wǎng)卡設置為這種模式，它就能接收傳輸在網(wǎng)絡上的每一個信息包 普通的情況下，網(wǎng)卡只接收和自己的地址有關的信息包，即傳輸?shù)奖镜刂鳈C的信息包。要使Sniffer能接收并處理這種方式的信息，系統(tǒng)需要支持BPF。但一般情況下，網(wǎng)絡硬件和TCPIP堆棧不支持接收或者發(fā)送與本地計算機無關的數(shù)據(jù)包，所以，為了繞過標準的TCPIP堆棧，網(wǎng)卡就必須設置為我們剛開始講的混雜模式。一般

4、情況下，要激活這種方式，內(nèi)核必須支持這種偽設備Bpfilter，而且需要root權限來運行這種程序，所以sniffer需要root身份安裝，如果只是以本地用戶的身份進入了系統(tǒng)，那么不可能喚探到root的密碼，因為不能運行Sniffer。 Sniffer產(chǎn)品的基本功能包括功能 1） 網(wǎng)絡安全的保障與維護2) 面向網(wǎng)絡鏈路運行情況的監(jiān)測3) 面向網(wǎng)絡上應用情況的監(jiān)測4） 強大的協(xié)議解碼能力，用于對網(wǎng)絡流量的深入解析5） 網(wǎng)絡管理、故障報警及恢復實時監(jiān)控統(tǒng)計和告警功能 根據(jù)用戶習慣，Sniffer可提供實時數(shù)據(jù)或圖表方式顯示統(tǒng)計結果，統(tǒng)計內(nèi)容包括：網(wǎng)絡統(tǒng)計：如當前和平均網(wǎng)絡利用率、總的和當前的幀數(shù)及

5、字節(jié)數(shù)、總站數(shù)和激活的站數(shù)、協(xié)議類型、當前和總的平均幀長等。協(xié)議統(tǒng)計：如協(xié)議的網(wǎng)絡利用率、協(xié)議的數(shù)、協(xié)議的字節(jié)數(shù)以及每種協(xié)議中各種不同類型的幀的統(tǒng)計等。差錯統(tǒng)計：如錯誤的CRC校驗數(shù)、發(fā)生的碰撞數(shù)、錯誤幀數(shù)等。站統(tǒng)計：如接收和發(fā)送的幀數(shù)、開始時間、停止時間、消耗時間、站狀態(tài)等。最多可統(tǒng)計1024個站。幀長統(tǒng)計：如某一幀長的幀所占百分比，某一幀長的幀數(shù)等。當某些指標超過規(guī)定的閾值時，Sniffer可以自動顯示或采用有聲形式的告警。Sniffer可根據(jù)網(wǎng)絡管理者的要求，自動將統(tǒng)計結果生成多種統(tǒng)計報告格式，并可存盤或打印輸出。 Sniffer實時專家分析系統(tǒng) Sniffer與其他網(wǎng)絡協(xié)議分析儀最大的

6、差別在于它的人工智能專家系統(tǒng)(Expert System)。簡單地說，Sniffer能自動實時監(jiān)視網(wǎng)絡，捕捉數(shù)據(jù)，識別網(wǎng)絡配置，自動發(fā)現(xiàn)網(wǎng)絡故障并進行告警，它能指出：網(wǎng)絡故障發(fā)生的位置，以及出現(xiàn)在OSI第幾層。網(wǎng)絡故障的性質(zhì)，產(chǎn)生故障的可能的原因以及為解決故障建議采取的行動。Sniffer 還提供了專家配制功能，用戶可以自已設定專家系統(tǒng)判斷故障發(fā)生的觸發(fā)條件。Sniffer Pro的登錄與界面 File-select settings Sniffer Pro報文的捕獲與解析 基本捕獲條件 基本的捕獲條件有兩種： 1) 鏈路層捕獲，按源MAC和目的MAC地址進行捕獲，輸入方式為十六進制連續(xù)輸入，

7、如：00E0FC123456。 2) IP層捕獲，按源IP和目的IP進行捕獲。輸入方式為點間隔方式，如：。如果選擇IP層捕獲條件則ARP等報文將被過濾掉，如圖5.3所示。 高級捕獲條件 在“Advance”頁面下，你可以編輯你的協(xié)議捕獲條件 任意捕獲條件 捕獲過程報文統(tǒng)計 在捕獲過程中可以通過查看下面面板查看捕獲報文的數(shù)量和緩沖區(qū)的利用率 捕獲報文查看 Sniffer軟件提供了強大的分析能力和解碼功能。對于捕獲的報文提供了一個Expert專家分析系統(tǒng)進行分析，還有解碼選項及圖形和表格的統(tǒng)計信息，如圖5.7所示。 專家分析 專家分析系統(tǒng)提供了一個只能的分析平臺，對網(wǎng)絡上的流量進行了一些分析對于分

8、析出的診斷結果可以查看在線幫助獲得。 在下圖中顯示出在網(wǎng)絡中WINS查詢失敗的次數(shù)及TCP重傳的次數(shù)統(tǒng)計等內(nèi)容，可以方便了解網(wǎng)絡中高層協(xié)議出現(xiàn)故障的可能點。 對于某項統(tǒng)計分析可以通過用鼠標雙擊此條記錄可以查看詳細統(tǒng)計信息且對于每一項都可以通過查看幫助來了解起產(chǎn)生的原因，如圖5.8所示。 捕獲的報文 解碼功能是按照過濾器設置的過濾規(guī)則進行數(shù)據(jù)的捕獲或顯示。在菜單上的位置分別為Capture-Define Filter和Display-Define Filter。 過濾器可以根據(jù)物理地址或IP地址和協(xié)議選擇進行組合篩選，如圖5.9所示解碼分析 下圖5.9是對捕獲報文進行解碼的顯示，通常分為三部分，

9、目前大部分此類軟件結構都采用這種結構顯示。對于解碼主要要求分析人員對協(xié)議比較熟悉，這樣才能看懂解析出來的報文。使用該軟件是很簡單的事情，要能夠利用軟件解碼分析來解決問題關鍵是要對各種層次的協(xié)議了解的比較透徹。工具軟件只是提供一個輔助的手段。因涉及的內(nèi)容太多，這里不對協(xié)議進行過多講解，請參閱其他相關資料。 對于MAC地址，Snffier軟件進行了頭部的替換，如00e0fc開頭的就替換成Huawei，這樣有利于了解網(wǎng)絡上各種相關設備的制造廠商信息。Sniffer Pro的高級應用 使用數(shù)據(jù)包生成器在網(wǎng)絡中發(fā)送測試數(shù)據(jù)包，這樣可以重現(xiàn)要排除的網(wǎng)絡故障，驗證對網(wǎng)絡設備或應用程序的修復方法是否正確和生成

10、各級網(wǎng)絡通信量負載，模擬實際的網(wǎng)絡情況并對設備或應用程序進行測試。要啟動“數(shù)據(jù)包生成器”，請選擇工具菜單中的數(shù)據(jù)包生成器。通過“數(shù)據(jù)包生成器”，可以發(fā)送自已創(chuàng)建或從網(wǎng)絡捕獲的單個數(shù)據(jù)包。也可以發(fā)送捕獲緩沖區(qū)或捕獲文件的全部內(nèi)容?？梢砸淮?、連續(xù)或以指定次數(shù)發(fā)送數(shù)據(jù)包、捕獲緩沖區(qū)或者捕獲文件。當發(fā)送多個數(shù)據(jù)包或連續(xù)發(fā)送一個數(shù)據(jù)包時，您可以指定每個數(shù)據(jù)包之間的時延(以毫秒或希望所發(fā)送數(shù)據(jù)包達到的線路利用率百分比表示)。“數(shù)據(jù)包生成器”有兩個視圖。動畫視圖顯示了數(shù)據(jù)包止在發(fā)送的時刻。詳細信息視圖詳細顯示了數(shù)據(jù)包傳輸?shù)倪^程。要啟動“數(shù)據(jù)包生成器”，選擇工具菜單中的數(shù)據(jù)包生成器。通過它，可以發(fā)送自己創(chuàng)建或

11、從網(wǎng)絡捕獲的單個數(shù)據(jù)包，也可以發(fā)送捕獲緩沖區(qū)或捕獲文件的全部內(nèi)容。發(fā)送單個數(shù)據(jù)包 在發(fā)送數(shù)據(jù)包之前，必須準備好要發(fā)送的消息。您可以創(chuàng)建數(shù)據(jù)包、使用已捕獲數(shù)據(jù)包或者使用修改后的已捕獲數(shù)據(jù)包。要創(chuàng)建新數(shù)據(jù)包，請單擊“數(shù)據(jù)包生成器”窗中的按鈕打開“發(fā)送新幀”對話框。您可在配置選項卡中直接編輯十六進制的顯示內(nèi)容。要選擇或編輯現(xiàn)有的(捕獲的)數(shù)據(jù)包，您必須先從解碼顯示的“摘要”窗格中選擇該數(shù)據(jù)包。然后，單擊“數(shù)據(jù)包生成器”窗日中的按鈕打開“發(fā)送當前幀”對話框。您可在配置選項卡中編輯十六進制的顯示內(nèi)容。通過選擇對話框中的選項，您可以控制發(fā)送數(shù)據(jù)包的方式，如圖5.10所示。發(fā)送捕獲緩沖區(qū)或文件 要發(fā)送當前的

12、捕獲緩沖區(qū)或捕獲文件，您必須先顯示其內(nèi)容。要顯示當前緩沖區(qū)，請選擇捕獲菜單中的顯示。要顯示捕獲文件，請選擇文件菜單中的打開。然后，在“數(shù)據(jù)包生成器”窗日中單擊至按鈕?！鞍l(fā)送當前緩沖區(qū)”對話框?qū)@示緩沖區(qū)/文件內(nèi)容的有關信息，允許您控制發(fā)送數(shù)據(jù)包的方式，如圖5.11所示。1.入侵檢測的基本原理2.入侵檢測系統(tǒng)的分類3.入侵檢測系統(tǒng)的發(fā)展方向 入侵檢測的基本原理 1.入侵檢測系統(tǒng)的作用 我們知道，防火墻是Internet網(wǎng)絡上最有效的安全保護屏障，防火墻在網(wǎng)絡安全中起到大門警衛(wèi)的作用，對進出的數(shù)據(jù)依照預先設定的規(guī)則進行匹配，符合規(guī)則的就予以放行，起到訪問控制的作用，是網(wǎng)絡安全的第一道閘門。但防火墻

13、的功能也有局限性，防火墻只能對進出網(wǎng)絡的數(shù)據(jù)進行分析，對網(wǎng)絡內(nèi)部發(fā)生的事件完全無能為力。 同時，由于防火墻處于網(wǎng)關的位置，不可能對進出攻擊作太多判斷，否則會嚴重影響網(wǎng)絡性能。如果把防火墻比作大門警衛(wèi)的話，入侵檢測就是網(wǎng)絡中不間斷的攝像機，入侵檢測通過旁路監(jiān)聽的方式不間斷的收取網(wǎng)絡數(shù)據(jù)，對網(wǎng)絡的運行和性能無任何影響，同時判斷其中是否含有攻擊的企圖，通過各種手段向管理員報警。 IDS是主動保護自己免受攻擊的一種網(wǎng)絡安全技術。IDS對網(wǎng)絡或系統(tǒng)上的可疑行為做出相應的反應，及時切斷入侵源，保護現(xiàn)場并通過各種途徑通知網(wǎng)絡管理員，增大保障系統(tǒng)安全。 2.入侵檢測系統(tǒng)的工作流程 入侵檢測系統(tǒng)由數(shù)據(jù)收集、數(shù)據(jù)

14、提取、數(shù)據(jù)分析、事件處理等幾個部份組成。 (1) 數(shù)據(jù)收集 入侵檢測的第一步是數(shù)據(jù)收集，內(nèi)容包括系統(tǒng)、網(wǎng)絡運行、數(shù)據(jù)及用戶活動的狀態(tài)和行為，而且，需要在計算機網(wǎng)絡系統(tǒng)中的若干不同關鍵點（不同網(wǎng)段和不同主機）收集數(shù)據(jù)。入侵檢測很大程度上依賴于收集數(shù)據(jù)的準確性與可靠性，因此，必須使用精確的軟件來報告這些信息，因為黑客經(jīng)常替換軟件以搞混和移走這些數(shù)據(jù)，例如替換被程序調(diào)用的子程序、庫和其它工具。數(shù)據(jù)的收集主要來源以下幾個方面：系統(tǒng)和網(wǎng)絡日志文件、目錄和文件不期望的改變、程序不期望的行為、物理形式的入侵數(shù)據(jù)。 (2)數(shù)據(jù)提取 從收集到的數(shù)據(jù)中提取有用的數(shù)據(jù)，以供數(shù)據(jù)分析之用。 (3)數(shù)據(jù)分析 對收集到的

15、有關系統(tǒng)、網(wǎng)絡運行、數(shù)據(jù)及用戶活動的狀態(tài)和行為等數(shù)據(jù)通過三種技術手段進行分析：模塊匹配、統(tǒng)計分析和完整性分析。 (4)結果處理 記錄入侵事件，同時采取報警、中斷連接等措施。 入侵檢測系統(tǒng)的分類 入侵檢測系統(tǒng)(IDS)可以分成3類：基于主機型(Host Based) 入侵檢測系統(tǒng)、基于網(wǎng)絡型(Network Based) 入侵檢測系統(tǒng)和基于代理型(Agent Based) 入侵檢測系統(tǒng)。 1. 基于主機的入侵檢測系統(tǒng) 基于主機的入侵檢測系統(tǒng)通常以系統(tǒng)日志、應用程序日志等審計記錄文件作為數(shù)據(jù)源。它是通過比較這些審計記錄文件的記錄與攻擊簽名(Attack Signature，指用一種特定的方式來表示

16、已知的攻擊模式)以發(fā)現(xiàn)它們是否匹配。如果匹配，檢測系統(tǒng)向系統(tǒng)管理員發(fā)出入侵報警并采取相應的行動?；谥鳈C的IDS可以精確地判斷入侵事件，并可對入侵事件及時做出反應。它還可針對不同操作系統(tǒng)的特點判斷應用層的入侵事件?；谥鳈C的IDS有著明顯的優(yōu)點： l 適合于加密和交換環(huán)境； l 可實時的檢測和響應； l 不需要額外的硬件。 基于主機的入侵檢測系統(tǒng)對系統(tǒng)內(nèi)在的結構卻沒有任何約束，同時可以利用操作系統(tǒng)本身提供的功能，并結合異常檢測分析，更能準確的報告攻擊行為。 基于主機的入侵檢測系統(tǒng)存在的不足之處在于：會占用主機的系統(tǒng)資源，增加系統(tǒng)負荷，而且針對不同的操作平臺必須開發(fā)出不同的程序，另外所需配置的數(shù)

17、量眾多。 2. 基于網(wǎng)絡的入侵檢測系統(tǒng) 基于網(wǎng)絡的入侵檢測系統(tǒng)把原始的網(wǎng)絡數(shù)據(jù)包作為數(shù)據(jù)源。利用網(wǎng)絡適配器來實時地監(jiān)視并分析通過網(wǎng)絡進行傳輸?shù)乃型ㄐ艠I(yè)務。它的攻擊識別模塊進行攻擊簽名識別的方法有：模式、表達式或字節(jié)碼匹配；頻率或閾值比較；次要事件的相關性處理；統(tǒng)計異常檢測。一旦檢測到攻擊，IDS的響應模塊通過通知、報警以及中斷連接等方式來對攻擊行為做出反應。然而它只能監(jiān)視通過本網(wǎng)段的活動，并且精確度較差，在交換網(wǎng)絡環(huán)境中難于配置，防欺騙的能力也比較差。其優(yōu)勢有： l 成本低； l 攻擊者轉(zhuǎn)移證據(jù)困難； l 實時檢測和響應； l 能夠檢測到未成功的攻擊企圖； l與操作系統(tǒng)無關。 3. 基于代理

18、的入侵檢測系統(tǒng) 基于代理的入侵檢測系統(tǒng)用于監(jiān)視大型網(wǎng)絡系統(tǒng)。隨著網(wǎng)絡系統(tǒng)的復雜化和大型化，系統(tǒng)弱點趨于分布式，而且攻擊行為也表現(xiàn)為相互協(xié)作式特點，所以不同的IDS之間需要共享信息，協(xié)同檢測。整個系統(tǒng)可以由一個中央監(jiān)視器和多個代理組成。中央監(jiān)視器負責對整個監(jiān)視系統(tǒng)的管理，它應該處于一個相對安全的地方。代理則被安放在被監(jiān)視的主機上(如服務器、交換機、路由器等)。代理負責對某一主機的活動進行監(jiān)視，如收集主機運行時的審計數(shù)據(jù)和操作系統(tǒng)的數(shù)據(jù)信息，然后將這些數(shù)據(jù)傳送到中央監(jiān)視器。代理也可以接受中央監(jiān)控器的指令。這種系統(tǒng)的優(yōu)點是可以對大型分布式網(wǎng)絡進行檢測。 入侵檢測系統(tǒng)的部署 定義IDS的目標不同的組網(wǎng)

19、應用可能使用不同的規(guī)則配置，所以用戶在配置人侵檢測系統(tǒng)前應先明確自己的目標，建議從如下幾個方面進行考慮。(1)明確網(wǎng)絡拓撲需求。 (2)安全策略需求。(3)1DS的管理需求。選擇監(jiān)視內(nèi)容 1）選擇監(jiān)視的網(wǎng)絡區(qū)域2）選擇監(jiān)視的數(shù)據(jù)包的類型3）根據(jù)網(wǎng)絡數(shù)據(jù)包的內(nèi)容進行檢測 一般來說，不同的入侵檢測系統(tǒng)采用不同的方法來監(jiān)視網(wǎng)絡數(shù)據(jù)包的內(nèi)容，例如可以采用先根據(jù)網(wǎng)絡協(xié)議來選擇入侵特征規(guī)則進行檢測，然后再根據(jù)此協(xié)議數(shù)據(jù)包中的字符特征進行檢測。部署IDS 1)只檢測內(nèi)部網(wǎng)絡和外部網(wǎng)絡邊界流量的IDS系統(tǒng)的部署在小型網(wǎng)絡結構中，如果內(nèi)部網(wǎng)絡是可以信任的，那么只需要監(jiān)控內(nèi)部網(wǎng)絡和外部網(wǎng)絡的邊界流量。這種情況下，

20、入侵檢測系統(tǒng)部署在出口路由器或防火墻的后面，用來監(jiān)控網(wǎng)絡入口處所有流入和流出網(wǎng)絡的流量，網(wǎng)絡拓撲結構可按照圖5.13所示的方式進行部署。在圖5.13中，IDS被部署在內(nèi)部網(wǎng)絡與Internet的出口處，IDS設備的監(jiān)聽口連接到了內(nèi)部網(wǎng)絡出口處的交換機(Switch)鏡像接口上，從而可以捕獲到交換機鏡像接口的網(wǎng)絡流量。管理員可以通過命令行方式(Console、Telnet或SSH)或Web方式(HTTP或HTTPS)遠程登錄到IDS管理接口并對設備進行配置管理。圖5.13所示的部署方式不僅方便了用戶的使用和配置，也節(jié)約了投資成本，適合中小規(guī)模企業(yè)的網(wǎng)絡安全應用。2)集中監(jiān)控多個子網(wǎng)流量在這種組網(wǎng)

21、情況下，內(nèi)部局域網(wǎng)中劃分了多個不同職能的子網(wǎng)，有些子網(wǎng)訪問某些子網(wǎng)資源量希望受到監(jiān)控和保護，假設具體進行監(jiān)控。 (1)需要對關鍵子網(wǎng)LAN1的流量進行監(jiān)控。 (2)LAN2子網(wǎng)了放置了各種服務器，因此對LAN2的所有流量也需要進行監(jiān)控。 (3)網(wǎng)絡管理員要能夠集中監(jiān)控網(wǎng)絡的流量和異常情況。在這種情況下，含IDS的網(wǎng)絡拓撲如圖5.14示。入侵檢測系統(tǒng)的選型 異常檢測模型的基本原理異常檢測，也被稱為基于行為的檢測。其基本前提是假定所有的入侵行為都是異常的。其基本原理是，首先建立系統(tǒng)或用戶的正常行為特征輪廓，通過比較當前的系統(tǒng)或用戶的行為是否偏離正常的行為特征輪廓來判斷是否發(fā)生了入侵。而不是依賴于具

22、體行為是否出現(xiàn)來進行檢測的，從這個意義上來講，異常檢測是一種間接的方法。異常檢測的關鍵技術l) 特征量的選擇異常檢測首先是要建立系統(tǒng)或用戶的正常行為特征輪廓，這就要求在建立正常模型時，選取的特征量既要能準確地體現(xiàn)系統(tǒng)或用節(jié)隨行為特征，又能使模型最優(yōu)化，即以最少的特征量就能涵蓋系統(tǒng)或用戶的行為特征。例如，可以檢測磁盤的轉(zhuǎn)速是否在常，CPU是否無故超頻等異?，F(xiàn)象。2) 參考闊值的選定因為在實際的網(wǎng)絡環(huán)境下，入侵行為和異常行為往往不是一對一的等價關系，經(jīng)常發(fā)生這樣的異常情況，如某一行為是異常行為，而它并不是入侵行為;同樣存在某一行為是入侵行為，而它卻并不是異常行為的情況。這樣就會導致檢測結果的虛警(

23、false positives) 和漏警 (false negatives) 的產(chǎn)生。由于異常檢測是先建立正常的特征輪廓作為比較的參考基準，這個參考基準即參考闊值的選定是非常關鍵的，閡值定的過大，那漏警率會很高;闊值定的過小，則虛警率就會提高。合適的參考闊值的選定是影響這一檢測方法準確率的至關重要的因素。從異常檢測的原理可以看出，該方法的技術難點在于正常行為特征輪廓的確定、特征量的選取、特征輪廓的更新。由于這幾個因素的制約，異常檢測的虛警率很高，但對于未知的入侵行為的檢測非常有效。此外，由于需要實時地建立和更新系統(tǒng)或用戶的特征輪廓，這樣所需的計算量很大，對系統(tǒng)的處理性能要求會很高。異常檢測模型

24、的實現(xiàn)方法 基于統(tǒng)計分析的異常檢測方法 常見的幾種異常測量值的測量類型如下 ：活動強度測量。用以描述活動的處理速度。審計記錄分布測量。用以描述最近審計記錄中所有活動類型的分布狀況。類型測量。用以描述特定的活動在各種類型的分布狀況。 順序測量。用以描述活動的輸出結果。2) 基于特征選擇的異常檢測方法 3) 基于貝葉斯推理的異常檢測方法4) 基有貝葉斯網(wǎng)絡的異常檢測方法5) 基于模式預測的鼻常檢測方法 6) 基于件經(jīng)網(wǎng)絡的異常檢測方法7) 基于貝葉斯聚類的異常檢測方法8) 基于機器自學習系統(tǒng)的異常檢測方法 9) 基于數(shù)據(jù)采掘技術的異常檢測方法 誤用檢測模型的基本原理 對于誤用檢測系統(tǒng)來說，最重要的

25、技術如下：如何全面描述攻擊的特征，覆蓋在此基礎上的變種方。如何排除其他帶有干擾性質(zhì)的行為， 減少誤報率。誤用入侵檢測模型的基本方法 誤用檢測模型常用的檢測方法有基于條件概率誤用入侵檢測方法、基于專家系統(tǒng)誤 用入侵檢測方法、基于狀態(tài)遷移分析誤用入侵檢測方法、基于鍵盤監(jiān)控誤用入侵檢測方法和基于模型誤用入侵檢測方法等。1) 基于條件概率的誤用入侵檢測方法2) 基于專家系統(tǒng)的誤用入侵檢測方法3) 基于狀態(tài)遷移分析的誤用入侵檢測方法4) 基于鍵盤監(jiān)控的誤用入侵檢測方法5) 基于模型的誤用入侵檢測方法異常檢測模型和誤用檢測模型的比較異常檢測系統(tǒng)試圖發(fā)現(xiàn)一些未知的入侵行為，而誤用檢測系統(tǒng)則是檢測一些已知的入

26、侵行為。異常檢測指根據(jù)使用者的行為或資源使用狀況來判斷是否入侵行為的發(fā)生 ， 而不依 賴于具體行為是否出現(xiàn)來檢測;而誤用檢測系統(tǒng)則大多是通過對一些具體的行為的判斷和推理，從而檢測出入侵行為。異常檢測的主要缺陷在于誤檢率很高，尤其在用戶數(shù)目眾多或工作行為經(jīng)常改變的環(huán)境中;而誤用檢測系統(tǒng)由于依據(jù)具體特征庫進行判斷，準確度要高很多。異常檢測對具體系統(tǒng)的依賴性相對較小 ; 而誤用檢測系統(tǒng)對具體的系統(tǒng)依賴性很強，移植性不好。其他入侵檢測模型1） 基于生物免疫的入侵檢測方法2）基于偽裝的入侵檢測方法3）基于統(tǒng)計學方法的入侵檢測系統(tǒng)4）基于專家系統(tǒng)的入侵檢測方法入侵防護技術IPS IPS只能被動地檢測攻擊，

27、而不能主動地把變化莫測的威脅阻止在網(wǎng)絡之外。因此，人們迫切地需要找到一種主動入侵防護解決方案，以確保企業(yè)網(wǎng)絡在威脅四起的環(huán)境下正常運行。入侵防御系統(tǒng)(InmSion Prevention System 或 IntmSion Detection Prevention，即IPS或IDP)就應運而生了。ES是一種智能化的入侵檢測和防御產(chǎn)品，它不但能檢測入侵的發(fā)生，而且能通過一定的響應方式，實時地中止入侵行為的發(fā)生和發(fā)展，實時地保護信息系統(tǒng) 不受實質(zhì)性的攻擊。IPS使得BS 和防火墻走向統(tǒng)一。目前比較流行的網(wǎng)絡級安全防范措施是使用專業(yè)防火墻+入侵檢測系統(tǒng)(IDS) 為企業(yè) 內(nèi)部網(wǎng)絡構筑一道安全屏障。防火墻可以有效地阻止有害數(shù)據(jù)的通過，而 IDS 則主要用于有害數(shù)據(jù)的分析和發(fā)現(xiàn)，它是防火墻功能的延續(xù)。兩者聯(lián)動，可及時發(fā)現(xiàn)并減緩 DoS、DDoS 攻擊，減輕攻擊所造成的損失。最近市場上出現(xiàn)了一種將防火墻和IDS兩者合二為一的新產(chǎn)品入侵防御系統(tǒng)(IntruSion bevention System 簡稱 IPS)。它不但能檢測侵的發(fā)生，而且能通過一定的響應方式，實時地中止入侵行為的發(fā)生和發(fā)展，二者的整合大幅度地提高了檢測和阻止網(wǎng)絡攻擊的效率，是今后網(wǎng)絡安全架構的一種發(fā)展趨勢。將入侵防御技術應用到具體的網(wǎng)絡環(huán)境后，就形成了入侵防御系統(tǒng)：IPS。 IPS的原理 入侵防御技術