《計(jì)算機(jī)網(wǎng)絡(luò)安全的理論與實(shí)踐（第3版）》入侵檢測(cè)系統(tǒng)

1、計(jì)算機(jī)網(wǎng)絡(luò)安全的理論與實(shí)踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年第10章 入侵檢測(cè)系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)安全的理論與實(shí)踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年第10章 內(nèi)容概要10.1 基本概念10.2 網(wǎng)檢和機(jī)檢10.3 特征檢測(cè)10.4 統(tǒng)計(jì)分析10.5 行為推理10.6 蜜罐系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)安全的理論與實(shí)踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年入侵檢測(cè)系統(tǒng)基本概念什么是入侵?例如，入侵者獲取Alice的用戶名和密碼來假冒 Alice入侵者

2、為黑客，獲取合法用戶登錄信息并且假冒他們計(jì)算機(jī)網(wǎng)絡(luò)安全的理論與實(shí)踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年觀測(cè) (始于1980s中期)入侵者行為與合法用戶具有不同的行為這些行為可以通過定量的方法測(cè)量出來入侵檢測(cè):盡快的識(shí)別出已發(fā)生或正在發(fā)生的入侵者行為收集入侵證據(jù)常用手段: 檢測(cè)不正常行為怎樣構(gòu)造一個(gè)自動(dòng)檢測(cè)工具去發(fā)現(xiàn)這些入侵行為? 入侵檢測(cè)系統(tǒng)(IDS)入侵檢測(cè)系統(tǒng)基本概念計(jì)算機(jī)網(wǎng)絡(luò)安全的理論與實(shí)踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年基本方法設(shè)立系統(tǒng)日志并分析之如果日志文件較小，可以手

3、動(dòng)完成。但是如果日志文件很大，可能需要復(fù)雜的工具基于通過跟蹤用戶用戶使用主機(jī)行為和上網(wǎng)行為構(gòu)造用戶表征網(wǎng)檢(NBD) 機(jī)檢(HBD) 二者結(jié)合 (混檢)計(jì)算機(jī)網(wǎng)絡(luò)安全的理論與實(shí)踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年基本方法安全審計(jì)分析日志兩種審查安全表征實(shí)例：靜態(tài)配置信息動(dòng)態(tài)事件: 動(dòng)態(tài)用戶事件參數(shù)值登錄密碼最小長度(字節(jié))有效期 (天)過期警告(天)89014登錄階段允許登錄失敗的次數(shù)下一次允許登錄時(shí)間間隔 (秒)登錄后什么也不做保持登錄的時(shí)間(小時(shí))32012主體操作對(duì)象意外事件資源使用情況時(shí)間戳AliceAliceAlice運(yùn)行開啟

4、寫入cp./myprogetc/myprog無無寫入失敗CPU:00001byte-r: 0byte-w: 0Tue 11/06/07 20:18:33 ESTTue 11/06/07 20:18:33 ESTTue 11/06/07 20:18:34 EST計(jì)算機(jī)網(wǎng)絡(luò)安全的理論與實(shí)踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年IDS 組成三部分:評(píng)估對(duì)系統(tǒng)的安全需求做出整體評(píng)價(jià)，并作出系統(tǒng)安全表征檢測(cè)收集系統(tǒng)使用的事件并分析他們來找出入侵行為用戶表征，可允許誤差警報(bào)通知用戶或系統(tǒng)管理員反常用機(jī)行為為警報(bào)分類并指示系統(tǒng)如何回應(yīng)IDS 體系結(jié)構(gòu)指令

5、控制臺(tái)控制管理目標(biāo)主機(jī)與外網(wǎng)斷絕關(guān)系監(jiān)視對(duì)象監(jiān)視設(shè)備上的入侵行為網(wǎng)絡(luò)監(jiān)聽器審核整理入侵檢測(cè)評(píng)估管理入侵管理圖形用戶界面安全表征審核設(shè)置事件日志機(jī)檢網(wǎng)檢表征評(píng)估審核和記錄政策機(jī)檢政策網(wǎng)檢政策機(jī)檢和網(wǎng)檢警報(bào)應(yīng)對(duì)原始審核日志總匯原始審核日志報(bào)告數(shù)據(jù)庫審核日志檔案庫用戶主機(jī)或服務(wù)器主機(jī)指令控制臺(tái)監(jiān)視對(duì)象計(jì)算機(jī)網(wǎng)絡(luò)安全的理論與實(shí)踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年檢測(cè)政策IDP用來識(shí)別入侵行為規(guī)定哪些數(shù)據(jù)必須保護(hù)以及受保護(hù)的程度定義哪些是入侵行為并且在識(shí)別出后的應(yīng)對(duì)錯(cuò)判和漏判行為分類綠燈行為: 可接受的正常行為紅燈行為: 必須拒絕的不正常行為黃燈

6、行為:基于當(dāng)前信息無法判斷的行為對(duì)于紅燈行為和黃燈行為的應(yīng)對(duì)政策:如果是黃燈行為，則收集更多信息作判斷依據(jù)如果是紅燈行為，終止用戶登錄如果是紅燈行為，切斷用戶網(wǎng)絡(luò)連接停機(jī)計(jì)算機(jī)網(wǎng)絡(luò)安全的理論與實(shí)踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年不可接受行為行為:一系列事件或者多系列事件的集合可接受行為:遵循系統(tǒng)安全政策的一系列事件 不可接受行為:一系列違反系統(tǒng)安全政策的行為問題:如何定義可接受行為和不可接受行為?怎樣用定量的方法去描述和分析行為計(jì)算機(jī)網(wǎng)絡(luò)安全的理論與實(shí)踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社,

7、2017年第10章 內(nèi)容概要10.1 基本概念10.2 網(wǎng)檢和機(jī)檢10.3 特征檢測(cè)10.4 統(tǒng)計(jì)分析10.5 行為推理10.6 蜜罐系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)安全的理論與實(shí)踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年網(wǎng)檢(NBD)NBD 分析網(wǎng)絡(luò)數(shù)據(jù)包NBD:定義黃燈行為，紅燈行為向控制臺(tái)管理員發(fā)送警報(bào)信息將警報(bào)行為保存在系統(tǒng)日志中供日后分析用主要有兩種:網(wǎng)端檢測(cè): 在特定的端點(diǎn)收集信息，檢測(cè)網(wǎng)絡(luò)引擎檢測(cè):分析數(shù)據(jù)包，發(fā)送警告消息計(jì)算機(jī)網(wǎng)絡(luò)安全的理論與實(shí)踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年NBD

8、體系結(jié)構(gòu)網(wǎng)端檢測(cè)檢測(cè)系統(tǒng)設(shè)在主機(jī)內(nèi)網(wǎng)段檢測(cè)網(wǎng)絡(luò)上選定的點(diǎn)需要網(wǎng)絡(luò)端點(diǎn) 計(jì)算機(jī)網(wǎng)絡(luò)安全的理論與實(shí)踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年NBD 的優(yōu)缺點(diǎn)優(yōu)點(diǎn):成本低無干擾抗入侵缺點(diǎn):無法分析加密包網(wǎng)絡(luò)流量大時(shí)，會(huì)無法分析數(shù)據(jù)而產(chǎn)生漏判某些入侵行為難以定義難以判斷入侵行為是否成功計(jì)算機(jī)網(wǎng)絡(luò)安全的理論與實(shí)踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年機(jī)檢系統(tǒng)(HBD)HBD 分析系統(tǒng)事件和用戶行為并且向管理員發(fā)出警告檢查事件日志去定義可疑行為檢查系統(tǒng)日志，保存系統(tǒng)文件記錄檢查系統(tǒng)配置為事件日志保存拷

9、貝以防攻擊者修改計(jì)算機(jī)網(wǎng)絡(luò)安全的理論與實(shí)踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年HBD 優(yōu)缺點(diǎn)優(yōu)點(diǎn): 不會(huì)因?yàn)閿?shù)據(jù)在傳輸過程中被加密而受影響不需要特殊的硬件設(shè)備通過檢查系統(tǒng)日志，更精確的分析系統(tǒng)行為缺點(diǎn):需要使用更多的系統(tǒng)管理資源消耗更多的計(jì)算資源直接危害主機(jī)操作系統(tǒng)的攻擊會(huì)影響機(jī)檢系統(tǒng)的執(zhí)行不能安裝在路由器和交換器等設(shè)備上計(jì)算機(jī)網(wǎng)絡(luò)安全的理論與實(shí)踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年第10章 內(nèi)容概要10.1 基本概念10.2 網(wǎng)檢和機(jī)檢10.3 特征檢測(cè)10.4 統(tǒng)計(jì)分析10.5

10、行為推理10.6 蜜罐系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)安全的理論與實(shí)踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年特征檢測(cè)也稱操作檢測(cè)或規(guī)則檢測(cè) 檢查當(dāng)前事件是否可以接受兩種特征檢測(cè):網(wǎng)絡(luò)特征分析數(shù)據(jù)包的行為行為特征分析事件的用機(jī)行為一系列行為規(guī)則:普通用戶不能拷貝系統(tǒng)文件用戶不能直接讀寫硬盤用戶不應(yīng)該訪問其他用戶的個(gè)人目錄連續(xù)三次登錄失敗后用戶不應(yīng)該繼續(xù)嘗試登錄 計(jì)算機(jī)網(wǎng)絡(luò)安全的理論與實(shí)踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年特征分類計(jì)算機(jī)網(wǎng)絡(luò)安全的理論與實(shí)踐（第3版）. 【美】王杰、【美】Z. Kissel

11、 、孔凡玉, 高等教育出版社, 2017年混合特征實(shí)例網(wǎng)絡(luò)特征行為特征混合特征用戶用 FTP登錄后使用 cd 和 ls 指令用戶瀏覽 etc目錄和passwd文件用戶從遠(yuǎn)程瀏覽系統(tǒng)文件用戶用FTP登錄后使用 put指令上傳到系統(tǒng)的文件有病毒和木馬特征用戶從遠(yuǎn)程將可疑文件上傳到主機(jī)系統(tǒng)用戶用FTP登錄后使用 put指令用戶修改系統(tǒng)文件和注冊(cè)表用戶從遠(yuǎn)程修改系統(tǒng)文件某種萬維網(wǎng)攻擊讀系統(tǒng)可執(zhí)行文件網(wǎng)絡(luò)攻擊成功混合特征實(shí)例計(jì)算機(jī)網(wǎng)絡(luò)安全的理論與實(shí)踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年局外人行為和局內(nèi)人濫用權(quán)限局內(nèi)人:系統(tǒng)中具有登錄權(quán)限的用戶局外人

12、:沒有登錄權(quán)限的用戶利用局外人行為的檢測(cè):攻擊者可能在目標(biāo)系統(tǒng)中安裝特洛伊木馬，劫持TCP連接或嘗試掃蕩攻擊利用局內(nèi)人濫用權(quán)限的檢測(cè):攻擊者做通常的合法用戶不會(huì)做的事計(jì)算機(jī)網(wǎng)絡(luò)安全的理論與實(shí)踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年特征檢測(cè)系統(tǒng)內(nèi)置系統(tǒng)在系統(tǒng)內(nèi)部存儲(chǔ)檢測(cè)規(guī)則給用戶提供IDS編輯器用戶基于自身需要選取規(guī)則程序系統(tǒng)有默認(rèn)規(guī)則，提供程序語言允許用戶選擇規(guī)則和編寫新規(guī)則專家系統(tǒng)更專業(yè)更完整需領(lǐng)域內(nèi)專家計(jì)算機(jī)網(wǎng)絡(luò)安全的理論與實(shí)踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年第10章 內(nèi)容概要

13、10.1 基本概念10.2 網(wǎng)檢和機(jī)檢10.3 特征檢測(cè)10.4 統(tǒng)計(jì)分析10.5 行為推理10.6 蜜罐系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)安全的理論與實(shí)踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年計(jì)算機(jī)網(wǎng)絡(luò)安全的理論與實(shí)踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年兩種方法當(dāng)可以用定量方法描述出不可接受行為與正常行為的差別時(shí)，通常用大兩種統(tǒng)計(jì)方法:依據(jù)臨界值分析簡(jiǎn)單但不精確統(tǒng)計(jì)在一段時(shí)間內(nèi)某種類型的事件出現(xiàn)的次數(shù)用戶表征更精確基于定量方法收集用戶用機(jī)行為，建立用戶表征計(jì)算機(jī)網(wǎng)絡(luò)安全的理論與實(shí)踐（第3版）. 【美】王

14、杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年事件計(jì)數(shù)器例子:特定事件發(fā)生的時(shí)間一段時(shí)間內(nèi)特定事件發(fā)生的次數(shù)系統(tǒng)變量當(dāng)前的值系統(tǒng)資源的利用率計(jì)算機(jī)網(wǎng)絡(luò)安全的理論與實(shí)踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年事件計(jì)數(shù)器事件計(jì)數(shù)一個(gè)整型變量，記錄在一個(gè)指定的時(shí)間內(nèi)同一類型數(shù)據(jù)出現(xiàn)的次數(shù)事件計(jì)量一個(gè)整型變量，為系統(tǒng)中可度量的實(shí)體賦予一個(gè)整數(shù)變量事件計(jì)時(shí)器為系統(tǒng)中兩個(gè)相關(guān)事件賦予一個(gè)整數(shù)變量，用來表示從第一個(gè)事件到第二個(gè)事件的發(fā)生之間的時(shí)間間隔資源利用率為每一個(gè)資源賦予一個(gè)變量，用來記錄在一個(gè)指定時(shí)間段中的資源利用率計(jì)算機(jī)網(wǎng)絡(luò)

15、安全的理論與實(shí)踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年統(tǒng)計(jì)學(xué)方法均值和方差與正常值比較多變量分析同時(shí)分析兩個(gè)或更多相關(guān)值，識(shí)別異常行為馬爾可夫過程計(jì)算系統(tǒng)從一種形態(tài)到另一種形態(tài)轉(zhuǎn)換的概率時(shí)間序列分析研究事件序列，查找異常計(jì)算機(jī)網(wǎng)絡(luò)安全的理論與實(shí)踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年第10章 內(nèi)容概要10.1 基本概念10.2 網(wǎng)檢和機(jī)檢10.3 特征檢測(cè)10.4 統(tǒng)計(jì)分析10.5 行為推理10.6 蜜罐系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)安全的理論與實(shí)踐（第3版）. 【美】王杰、【美】Z. Kissel 、

16、孔凡玉, 高等教育出版社, 2017年行為推理行為推理研究怎樣運(yùn)用數(shù)據(jù)挖掘技術(shù)分析事件日志并尋求有用信息數(shù)據(jù)挖掘技術(shù)數(shù)據(jù)提煉上下文演繹來源組合外圍數(shù)據(jù)深挖細(xì)掘行為推理實(shí)例 (p352)計(jì)算機(jī)網(wǎng)絡(luò)安全的理論與實(shí)踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年第10章 內(nèi)容概要10.1 基本概念10.2 網(wǎng)檢和機(jī)檢10.3 特征檢測(cè)10.4 統(tǒng)計(jì)分析10.5 行為推理10.6 蜜罐系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)安全的理論與實(shí)踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年蜜罐系統(tǒng)定義:用設(shè)備，系統(tǒng)，目錄或文件作為誘餌，引誘

17、攻擊者，使真正重要的主機(jī)和系統(tǒng)免于攻擊，并收集入侵者行為幫助用戶找到敵人犧牲自己，保全真正主機(jī)系統(tǒng)不受攻擊IDS = 守衛(wèi)Decoy System = 蜜罐計(jì)算機(jī)網(wǎng)絡(luò)安全的理論與實(shí)踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年蜜罐系統(tǒng)種類1990開發(fā)出來連在局域網(wǎng)內(nèi)的主機(jī)，有真正的 IP 地址需要與操作系統(tǒng)進(jìn)行高層互動(dòng)并且用相當(dāng)?shù)木θゾS護(hù)1990s后期，軟件技術(shù)逐漸成熟，容易配置需要低層互動(dòng)常用的虛擬蜜罐系統(tǒng)Honeyd, KFSensor, CyberCop Sting 計(jì)算機(jī)網(wǎng)絡(luò)安全的理論與實(shí)踐（第3版）. 【美】王杰、【美】Z. Kiss

18、el 、孔凡玉, 高等教育出版社, 2017年互動(dòng)層次低層互動(dòng)： 運(yùn)行蜜罐主機(jī)的服務(wù)端程序只能往主機(jī)的硬盤上寫入信息中層互動(dòng)：運(yùn)行蜜罐主機(jī)的服務(wù)端程序只能往主機(jī)的硬盤上讀出和寫入信息高層互動(dòng)：運(yùn)行蜜罐主機(jī)的服務(wù)端程序可以和主機(jī)的操作系統(tǒng)互動(dòng)，并通過操作系統(tǒng)與主機(jī)硬盤和其他系統(tǒng)資源互動(dòng)計(jì)算機(jī)網(wǎng)絡(luò)安全的理論與實(shí)踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年蜜罐系統(tǒng)的功能和刻畫計(jì)算機(jī)網(wǎng)絡(luò)安全的理論與實(shí)踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年Honeyd是并行運(yùn)行虛擬IP協(xié)議集合的軟件引擎在網(wǎng)絡(luò)層上建構(gòu)虛擬蜜罐系統(tǒng)提供了結(jié)構(gòu)簡(jiǎn)易的框架能夠模擬標(biāo)準(zhǔn)網(wǎng)絡(luò)服務(wù)在不同的虛擬主機(jī)系統(tǒng)上運(yùn)行不同的操作系統(tǒng)能檢測(cè)并清除蠕蟲， 分散入侵者注意力，阻止垃圾郵件的傳播計(jì)算機(jī)網(wǎng)絡(luò)安全的理論與實(shí)踐（第3版）. 【