TCSP入侵檢測(cè)技術(shù)原理

TCSP－－入侵檢測(cè)技術(shù)原理網(wǎng)絡(luò)入侵的現(xiàn)狀深層防御體系及IDS的作用IDS的分類方法學(xué)IDS的結(jié)構(gòu)入侵檢測(cè)的困惑第四代入侵檢測(cè)技術(shù)入侵檢測(cè)的新發(fā)展內(nèi)容提要網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全對(duì)應(yīng)的英文是NetworkSecurity。Security和safety都譯為“安全”，但二者其實(shí)是有區(qū)別的，safety更側(cè)重物理實(shí)體上的安全。網(wǎng)絡(luò)安全領(lǐng)域的研究主要集中在計(jì)算機(jī)網(wǎng)絡(luò)。網(wǎng)絡(luò)安全基本上是一個(gè)實(shí)踐性的技術(shù)領(lǐng)域。安全威脅來源內(nèi)部人員特殊身份人員外部個(gè)人和小組（所謂黑客）競(jìng)爭(zhēng)對(duì)手和恐怖組織敵對(duì)國家和軍事組織自然和不可抗力網(wǎng)絡(luò)安全范疇網(wǎng)絡(luò)安全范疇包括的要素：數(shù)據(jù)：包括網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)和端系統(tǒng)中的數(shù)據(jù)。關(guān)系：網(wǎng)絡(luò)作為交流的重要手段，涉及到通信各方信賴關(guān)系的建立與維護(hù)，信賴關(guān)系就意味著能力和數(shù)據(jù)訪問權(quán)力的獲取。能力：包括網(wǎng)絡(luò)系統(tǒng)的傳輸能力與端系統(tǒng)的能力。網(wǎng)絡(luò)安全范疇網(wǎng)絡(luò)安全包含基本方面：數(shù)據(jù)保護(hù)：包括數(shù)據(jù)的機(jī)密性保護(hù)和完整性保護(hù)，這方面的理論比較完備（加密體制和算法）實(shí)現(xiàn)手段也比較完備。（信賴）關(guān)系保護(hù)：包括身份鑒別與安全的建立、維護(hù)信賴關(guān)系?；臼侄伟用芘c協(xié)議的安全設(shè)計(jì)。理論比較完備，實(shí)現(xiàn)手段有一定漏洞。能力保護(hù)：包括對(duì)網(wǎng)絡(luò)系統(tǒng)的傳輸功能與端系統(tǒng)的處理功能的保護(hù)。這方面的理論基礎(chǔ)基本上是實(shí)踐經(jīng)驗(yàn)的總結(jié)，運(yùn)用的手段也基本上是試驗(yàn)性的。能力保護(hù)相關(guān)的工作也是入侵檢測(cè)系統(tǒng)發(fā)揮作用之處。PPDR模型PPDR模型：策略（Policy）、防護(hù)（Protection）、檢測(cè)（Detection）、響應(yīng)（Response）這是一個(gè)螺旋上升的過程，如下圖：圖一、PPDR模型示意圖PPDR模型策略是這個(gè)模型的核心，在制定好策略之后，網(wǎng)絡(luò)安全的其他幾個(gè)方面就要圍繞策略進(jìn)行。防護(hù)是第一步，它的基礎(chǔ)是檢測(cè)與響應(yīng)的結(jié)果。具體包括：安全規(guī)章的制定：在安全策略的基礎(chǔ)上制定安全細(xì)則。系統(tǒng)的安全配置：安裝各種必要補(bǔ)丁，并進(jìn)行仔細(xì)配置。安全措施的采用：安裝防火墻、IDS、VPN軟件或設(shè)備等。檢測(cè)就是彌補(bǔ)防護(hù)對(duì)于攻擊的滯后時(shí)間的必要手段。檢測(cè)作用包括：異常監(jiān)視：發(fā)現(xiàn)系統(tǒng)的異常情況。如不正常的登陸。模式發(fā)現(xiàn)：對(duì)已知的攻擊模式進(jìn)行發(fā)現(xiàn)。響應(yīng)就是發(fā)現(xiàn)攻擊企圖或者攻擊之后，需要系統(tǒng)及時(shí)進(jìn)行反應(yīng)報(bào)告：讓管理員知道是否有入侵。記錄：記錄入侵的各個(gè)細(xì)節(jié)以及系統(tǒng)的反應(yīng)。反應(yīng)：進(jìn)行相應(yīng)的處理以阻止進(jìn)一步的入侵?；謴?fù)：清除入造成的影響，使系統(tǒng)恢復(fù)正常。網(wǎng)絡(luò)安全事件分類互聯(lián)網(wǎng)安全事件分類：網(wǎng)頁篡改網(wǎng)絡(luò)蠕蟲拒絕服務(wù)攻擊特羅伊木馬安全事件分類網(wǎng)頁篡改非法篡改主頁是指將網(wǎng)站中的主頁更換為黑客所提供的網(wǎng)頁。對(duì)計(jì)算機(jī)系統(tǒng)本身不會(huì)產(chǎn)生直接的損失，但對(duì)電子政務(wù)與電子商務(wù)等應(yīng)用來說將被迫終止對(duì)外的服務(wù)。對(duì)政府網(wǎng)站而言，網(wǎng)頁的篡改，尤其是含有政治攻擊色彩的篡改，會(huì)對(duì)政府形象造成嚴(yán)重?fù)p害。針對(duì)網(wǎng)頁的篡改，目前國內(nèi)已有成熟的網(wǎng)頁自動(dòng)保護(hù)技術(shù)，使用網(wǎng)頁自動(dòng)恢復(fù)軟件。安全事件分類網(wǎng)絡(luò)蠕蟲網(wǎng)絡(luò)蠕蟲是指一種可以不斷復(fù)制自己并在網(wǎng)絡(luò)中傳播的程序。它利用互聯(lián)網(wǎng)上計(jì)算機(jī)系統(tǒng)的漏洞進(jìn)入系統(tǒng)，自我復(fù)制，并繼續(xù)向互聯(lián)網(wǎng)上的其它系統(tǒng)進(jìn)行傳播。它的危害通常有兩個(gè)方面：蠕蟲在進(jìn)入被攻擊的系統(tǒng)后，一旦具有控制系統(tǒng)的能力，就可以使得該系統(tǒng)被他人遠(yuǎn)程操縱。其危害一是重要系統(tǒng)會(huì)出現(xiàn)失密現(xiàn)象，二是會(huì)被利用來對(duì)其他系統(tǒng)進(jìn)行攻擊。蠕蟲的不斷蛻變并在網(wǎng)絡(luò)上的傳播，可能導(dǎo)致網(wǎng)絡(luò)被阻塞的現(xiàn)象發(fā)生，從而致使網(wǎng)絡(luò)癱瘓。網(wǎng)絡(luò)計(jì)算機(jī)病毒可以看作是網(wǎng)絡(luò)蠕蟲的特例，其差別僅是需要附著在其他程序上進(jìn)行傳播。安全事件分類拒絕服務(wù)攻擊

拒絕服務(wù)攻擊是指在互聯(lián)網(wǎng)上組織多臺(tái)或大量的計(jì)算機(jī)針對(duì)某一個(gè)特定的計(jì)算機(jī)進(jìn)行大規(guī)模的訪問，使得被訪問的計(jì)算機(jī)窮于應(yīng)付來勢(shì)兇猛的訪問而不能再提供正常的服務(wù)。對(duì)拒絕服務(wù)攻擊的處置方法只能通過網(wǎng)絡(luò)管理部門逐一排查攻擊源，并協(xié)調(diào)各攻擊源所在運(yùn)營商進(jìn)行清理。安全事件分類特羅伊木馬

特羅伊木馬（簡(jiǎn)稱木馬）是一種隱藏在計(jì)算機(jī)系統(tǒng)中不為用戶所知的惡意程序，通常用于潛伏在計(jì)算機(jī)系統(tǒng)中來與外界連接，并接受外界的指令。被植入木馬的計(jì)算機(jī)系統(tǒng)內(nèi)的所有文件都會(huì)被外界所獲得，并且該系統(tǒng)也會(huì)被外界所控制，也可能會(huì)被利用作為攻擊其它系統(tǒng)的攻擊源。對(duì)這類問題的檢查，通常需要非常有經(jīng)驗(yàn)的技術(shù)人員才能勝任。

我國互聯(lián)網(wǎng)安全狀況信息和網(wǎng)絡(luò)的安全防護(hù)能力差

我國現(xiàn)在許多應(yīng)用網(wǎng)絡(luò)系統(tǒng)處于不設(shè)防狀態(tài)，存在極大的信息安全風(fēng)險(xiǎn)和隱患?；A(chǔ)信息產(chǎn)業(yè)嚴(yán)重依靠國外

我國的信息化建設(shè)，基本上是依賴國外技術(shù)設(shè)備裝備起來的。我們對(duì)其的研發(fā)、生產(chǎn)能力很弱，關(guān)鍵部位完全處于受制于人的地位。信息安全管理機(jī)構(gòu)權(quán)威性不夠

國家在信息安全問題上缺乏一個(gè)專門的權(quán)威性機(jī)構(gòu)。信息安全相關(guān)的民間管理機(jī)構(gòu)與國家信息化領(lǐng)導(dǎo)機(jī)構(gòu)之間還沒有充分溝通協(xié)調(diào)。全社會(huì)的信息安全意識(shí)淡薄

信息安全領(lǐng)域在研究開發(fā)、產(chǎn)業(yè)發(fā)展、人才培養(yǎng)、隊(duì)伍建設(shè)等方面和迅速發(fā)展的形勢(shì)極不適應(yīng)，只是作為信息化的研究分支立項(xiàng)，投人很少，和國外差距越來越遠(yuǎn)。IDS定義

IDS——入侵檢測(cè)系統(tǒng)入侵檢測(cè)：對(duì)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證系統(tǒng)資源的機(jī)密性、完整性和可用性。入侵檢測(cè)系統(tǒng)：進(jìn)行入侵檢測(cè)的軟件與硬件的組合IDS屬性經(jīng)濟(jì)性時(shí)效性安全性可擴(kuò)展性IDS起源1980年4月，JamesP.Anderson《ComputerSecurityThreatMonitoringandSurveillance》（計(jì)算機(jī)安全威脅監(jiān)控與監(jiān)視）第一次詳細(xì)闡述了入侵檢測(cè)的概念計(jì)算機(jī)系統(tǒng)威脅分類:外部滲透、內(nèi)部滲透和不法行為提出了利用審計(jì)跟蹤數(shù)據(jù)監(jiān)視入侵活動(dòng)的思想這份報(bào)告被公認(rèn)為是入侵檢測(cè)的開山之作。IDS起源從1984年到1986年喬治敦大學(xué)的DorothyDenningSRI/CSL的PeterNeumann研究出了一個(gè)實(shí)時(shí)入侵檢測(cè)系統(tǒng)模型—IDES（入侵檢測(cè)專家系統(tǒng)）。IDS起源

1990，加州大學(xué)戴維斯分校的L.T.Heberlein等人開發(fā)出了NSM（NetworkSecurityMonitor）該系統(tǒng)第一次直接將網(wǎng)絡(luò)流作為審計(jì)數(shù)據(jù)來源，因而可以在不將審計(jì)數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一格式的情況下監(jiān)控異種主機(jī)入侵檢測(cè)系統(tǒng)發(fā)展史翻開了新的一頁，兩大陣營正式形成：基于網(wǎng)絡(luò)的IDS和基于主機(jī)的IDS。1994年提出自治代理，以提高IDS的可伸縮性、可維護(hù)性、效率與容錯(cuò)性。1998年將信息檢索技術(shù)應(yīng)用到入侵檢測(cè)系統(tǒng)。2000年出現(xiàn)分布式入侵檢測(cè)系統(tǒng)，是IDS發(fā)展史上的一個(gè)里程碑。IDS起源IDS的基本原理活動(dòng)數(shù)據(jù)源感應(yīng)器分析器管理器操作員管理員事件警報(bào)通告應(yīng)急安全策略安全策略入侵檢測(cè)系統(tǒng)原理圖網(wǎng)絡(luò)入侵的現(xiàn)狀深層防御體系及IDS的作用IDS的分類方法學(xué)IDS的結(jié)構(gòu)入侵檢測(cè)的困惑第四代入侵檢測(cè)技術(shù)入侵檢測(cè)的新發(fā)展內(nèi)容提要一種高級(jí)訪問控制設(shè)備，置于不同網(wǎng)絡(luò)安全域之間的一系列部件的組合，它是不同網(wǎng)絡(luò)安全域間通信流的唯一通道，能根據(jù)企業(yè)有關(guān)的安全政策控制（允許、拒絕、監(jiān)視、記錄）進(jìn)出網(wǎng)絡(luò)的訪問行為。兩個(gè)安全域之間通信流的唯一通道安全域1HostAHostB安全域2HostCHostDUDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根據(jù)訪問控制規(guī)則決定進(jìn)出網(wǎng)絡(luò)的行為防火墻的作用防火墻的局限%c1%1c%c1%1cDirc:\

防火墻的局限防火墻的局限

據(jù)統(tǒng)計(jì)，80%的成功攻擊來自于防火墻內(nèi)部！

防火墻的局限防火墻不能防止通向站點(diǎn)的后門。防火墻一般不提供對(duì)內(nèi)部的保護(hù)。防火墻無法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊。防火墻不能防止用戶由Internet上下載被病毒感染的計(jì)算機(jī)程序或者將該類程序附在電子郵件上傳輸。確保網(wǎng)絡(luò)的安全,就要對(duì)網(wǎng)絡(luò)內(nèi)部進(jìn)行實(shí)時(shí)的檢測(cè),這就需要IDS無時(shí)不在的防護(hù)！什么是入侵行為入侵行為主要是指對(duì)系統(tǒng)資源的非授權(quán)使用，它可以造成系統(tǒng)數(shù)據(jù)的丟失和破壞、可以造成系統(tǒng)拒絕對(duì)合法用戶服務(wù)等危害。什么是入侵檢測(cè)系統(tǒng)IDS（IntrusionDetectionSystem）就是入侵檢測(cè)系統(tǒng)，它通過抓取網(wǎng)絡(luò)上的所有報(bào)文，分析處理后，報(bào)告異常和重要的數(shù)據(jù)模式和行為模式，使網(wǎng)絡(luò)安全管理員清楚地了解網(wǎng)絡(luò)上發(fā)生的事件，并能夠采取行動(dòng)阻止可能的破壞。什么是入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)網(wǎng)絡(luò)數(shù)據(jù)包的獲取——混雜模式網(wǎng)絡(luò)數(shù)據(jù)包的解碼——協(xié)議分析網(wǎng)絡(luò)數(shù)據(jù)包的檢查——規(guī)則匹配網(wǎng)絡(luò)數(shù)據(jù)包的統(tǒng)計(jì)——異常檢測(cè)網(wǎng)絡(luò)數(shù)據(jù)包的審查——事件生成監(jiān)控室=控制中心后門保安=防火墻攝像機(jī)=探測(cè)引擎CardKey形象地說，它就是網(wǎng)絡(luò)攝象機(jī)，能夠捕獲并記錄網(wǎng)絡(luò)上的所有數(shù)據(jù)，同時(shí)它也是智能攝象機(jī)，能夠分析網(wǎng)絡(luò)數(shù)據(jù)并提煉出可疑的、異常的網(wǎng)絡(luò)數(shù)據(jù)，它還是X光攝象機(jī)，能夠穿透一些巧妙的偽裝，抓住實(shí)際的內(nèi)容。它還不僅僅只是攝象機(jī)，還包括保安員的攝象機(jī)，能夠?qū)θ肭中袨樽詣?dòng)地進(jìn)行反擊：阻斷連接、關(guān)閉道路（與防火墻聯(lián)動(dòng)）。在安全體系中，IDS是唯一一個(gè)通過數(shù)據(jù)和行為模式判斷其是否有效的系統(tǒng)，防火墻就象一道門，它可以阻止一類人群的進(jìn)入，但無法阻止同一類人群中的破壞分子，也不能阻止內(nèi)部的破壞分子；訪問控制系統(tǒng)可以不讓低級(jí)權(quán)限的人做越權(quán)工作，但無法保證高級(jí)權(quán)限的做破壞工作，也無法保證低級(jí)權(quán)限的人通過非法行為獲得高級(jí)權(quán)限入侵檢測(cè)系統(tǒng)的作用入侵檢測(cè)系統(tǒng)的職責(zé)IDS系統(tǒng)的兩大職責(zé)：實(shí)時(shí)檢測(cè)和安全審計(jì)。實(shí)時(shí)監(jiān)測(cè)——實(shí)時(shí)地監(jiān)視、分析網(wǎng)絡(luò)中所有的數(shù)據(jù)報(bào)文，發(fā)現(xiàn)并實(shí)時(shí)處理所捕獲的數(shù)據(jù)報(bào)文；安全審計(jì)——通過對(duì)IDS系統(tǒng)記錄的網(wǎng)絡(luò)事件進(jìn)行統(tǒng)計(jì)分析，發(fā)現(xiàn)其中的異?，F(xiàn)象，得出系統(tǒng)的安全狀態(tài)，找出所需要的證據(jù)。入侵檢測(cè)系統(tǒng)的具體工作監(jiān)控網(wǎng)絡(luò)和系統(tǒng)發(fā)現(xiàn)入侵企圖或異?，F(xiàn)象實(shí)時(shí)報(bào)警主動(dòng)響應(yīng)與其它設(shè)備聯(lián)動(dòng)（防火墻、風(fēng)險(xiǎn)評(píng)估系統(tǒng)等）深層次防御體系的組成

聯(lián)動(dòng)入侵檢測(cè)防火墻入侵檢測(cè)防御體系中的作用實(shí)時(shí)性協(xié)議層次應(yīng)用層表示層會(huì)話層傳輸層IP層數(shù)據(jù)鏈層物理層實(shí)時(shí)準(zhǔn)實(shí)時(shí)事后實(shí)時(shí)分析所有的數(shù)據(jù)包，決定是否允許通過監(jiān)控所有的數(shù)據(jù)包，判斷是否非法，進(jìn)行相應(yīng)處理（如阻斷或者報(bào)警）記錄所有的操作以備事后查詢?yōu)橄到y(tǒng)提供全方位的保護(hù)審計(jì)系統(tǒng)深層次防御體系的特點(diǎn)深度防御可以對(duì)整個(gè)網(wǎng)絡(luò)提供不同級(jí)別的保護(hù)將網(wǎng)絡(luò)系統(tǒng)劃分安全級(jí)別并進(jìn)行相應(yīng)保護(hù)深度防御可以對(duì)入侵破壞行為進(jìn)行取證IDS和審計(jì)系統(tǒng)可以進(jìn)行電子取證深度防御可以有效防止蠕蟲、病毒的威脅IDS是網(wǎng)絡(luò)動(dòng)態(tài)防病毒的核心組成深度防御能夠?qū)ο到y(tǒng)提供最完備的保護(hù)從物理層直至應(yīng)用層都可以得到保護(hù)深度防御不會(huì)破壞系統(tǒng)的效率和穩(wěn)定性針對(duì)不同實(shí)時(shí)和效率要求進(jìn)行不同保護(hù)深度防御可以識(shí)別、防范未知的新攻擊方式基于異常分析和行為分析的入侵檢測(cè)如何選擇合適的入侵檢測(cè)系統(tǒng)對(duì)入侵和攻擊的全面檢測(cè)能力新漏洞及最新的入侵手段（本地化的研發(fā)和售后服務(wù)）對(duì)抗欺騙的能力防誤報(bào)及漏報(bào)的能力（模式匹配、異常分析和智能分析）對(duì)抗攻擊的能力對(duì)抗針對(duì)IDS的拒絕服務(wù)的能力（事件風(fēng)暴的防御）報(bào)警及阻斷能力多種類型的報(bào)警及阻斷功能可以提供全方位的保護(hù)本身的安全性IDS自身的加密認(rèn)證及安全措施，惡意代碼或數(shù)據(jù)回傳人機(jī)界面方便管理，降低管理人員的負(fù)擔(dān)（多級(jí)控制，豐富報(bào)表等）網(wǎng)絡(luò)入侵的現(xiàn)狀深層防御體系及IDS的作用IDS的分類方法學(xué)IDS的結(jié)構(gòu)入侵檢測(cè)的困惑第四代入侵檢測(cè)技術(shù)入侵檢測(cè)的新發(fā)展內(nèi)容提要IDS分類方法學(xué)根據(jù)體系結(jié)構(gòu)進(jìn)行分類根據(jù)檢測(cè)原理進(jìn)行分類根據(jù)系統(tǒng)特征進(jìn)行分類根據(jù)體系結(jié)構(gòu)進(jìn)行分類集中式：這種結(jié)構(gòu)的IDS可能有多個(gè)分布在不同主機(jī)上的審計(jì)程序，但只有一個(gè)中央入侵檢測(cè)服務(wù)器。等級(jí)式：定義了若干個(gè)分等級(jí)的監(jiān)控區(qū)，每個(gè)IDS負(fù)責(zé)一個(gè)區(qū)，每一級(jí)IDS只負(fù)責(zé)所控區(qū)的分析，然后將當(dāng)?shù)氐姆治鼋Y(jié)果傳送給上一級(jí)。協(xié)作式：將中央檢測(cè)服務(wù)器的任務(wù)分佩給多個(gè)基于主機(jī)的IDS，這些IDS不分等級(jí)，各司其職，負(fù)責(zé)監(jiān)控當(dāng)?shù)刂鳈C(jī)的某些活動(dòng)。根據(jù)檢測(cè)原理進(jìn)行分類異常檢測(cè)(AnomalyDetection)：這種檢測(cè)方法是首先總結(jié)正常操作應(yīng)該具有的特征；在得出正常操作的模型之后，對(duì)后續(xù)的操作進(jìn)行監(jiān)視，一旦發(fā)現(xiàn)偏離正常統(tǒng)計(jì)學(xué)意義上的操作模式，即進(jìn)行報(bào)警。誤用檢測(cè)(MisuseDetection)：這種檢測(cè)方法是收集非正常操作（入侵）行為的特征，建立相關(guān)的特征庫；在后續(xù)的檢測(cè)過程中，將收集到的數(shù)據(jù)與特征庫中的特征代碼進(jìn)行比較，得出是否有入侵行為。異常檢測(cè)前提：入侵是異?；顒?dòng)的子集用戶輪廓(Profile):通常定義為各種行為參數(shù)及其閥值的集合，用于描述正常行為范圍過程監(jiān)控

量化比較判定

修正指標(biāo):漏報(bào)率低,誤報(bào)率高異常檢測(cè)特點(diǎn)異常檢測(cè)系統(tǒng)的效率取決于用戶輪廓的完備性和監(jiān)控的頻率因?yàn)椴恍枰獙?duì)每種入侵行為進(jìn)行定義，因此能有效檢測(cè)未知的入侵系統(tǒng)能針對(duì)用戶行為的改變進(jìn)行自我調(diào)整和優(yōu)化，但隨著檢測(cè)模型的逐步精確，異常檢測(cè)會(huì)消耗更多的系統(tǒng)資源異常檢測(cè)的常用技術(shù)基于統(tǒng)計(jì)學(xué)方法的異常檢測(cè)系統(tǒng)典型例子：NIDES基于神經(jīng)網(wǎng)絡(luò)的異常檢測(cè)系統(tǒng)典型例子：NNID基于數(shù)據(jù)挖掘技術(shù)的異常檢測(cè)系統(tǒng)典型例子：MADAMID使用狀態(tài)機(jī)的異常檢測(cè)系統(tǒng)異常檢測(cè)模型異常檢測(cè)實(shí)現(xiàn)自學(xué)習(xí)系統(tǒng)：自學(xué)習(xí)系統(tǒng)通過學(xué)習(xí)事例構(gòu)建正常行為模型時(shí)序的非時(shí)序的編程系統(tǒng)：該類系統(tǒng)需要通過編程學(xué)習(xí)如何檢測(cè)確定的異常事件，從而讓用戶知道什么樣的異常行為足以破壞系統(tǒng)的安全。描述統(tǒng)計(jì)缺省否認(rèn)異常檢測(cè)實(shí)例分析NIDES引入的概念：度量（Measure）：主體行為的特性使用度量分為四類：行為強(qiáng)度(ActivityIntensity)度量審計(jì)記錄分布(auditrecorddistribution)度量絕對(duì)的(categorical)度量持續(xù)的(continuous)度量半生（Harf-life）、老化因子（AgingFactor）統(tǒng)計(jì)方法異常檢測(cè)實(shí)例分析不同的量度的使用目的：行為強(qiáng)度量度確定產(chǎn)生的活動(dòng)量是否正常審計(jì)紀(jì)錄分布量度確定最近產(chǎn)生的審計(jì)記錄所紀(jì)錄的行為是否正常絕對(duì)的和持續(xù)的量度則確定在一類行為中（如訪問一個(gè)文件）產(chǎn)生的操作類型是否正常。異常檢測(cè)實(shí)例分析半生是用來設(shè)置構(gòu)成短期行為和長期行為的審計(jì)記錄的數(shù)量或進(jìn)行審計(jì)記錄的天數(shù)用的。通過設(shè)置半生可以讓越新的活動(dòng)所占的權(quán)重越大，而在長期概貌里面很早期的活動(dòng)會(huì)趨向于不起作用，也就說被“遺忘”了。這使NIDES具備了簡(jiǎn)單的學(xué)習(xí)。老化因子也是審計(jì)紀(jì)錄權(quán)重的計(jì)算依據(jù)。老化因子包括短期老化因子和長期老化因子，前者作用于每一個(gè)審計(jì)紀(jì)錄，后者則作用于每一天的紀(jì)錄匯總。異常檢測(cè)理論本身存在的缺陷基于異常的入侵檢測(cè)系統(tǒng)首先學(xué)習(xí)對(duì)象的正常行為，并形成一個(gè)或一組值表示對(duì)象行為的概貌，而表示概貌的這些數(shù)據(jù)不容易進(jìn)行正確性和準(zhǔn)確性的驗(yàn)證。通過比較長期行為的概貌和短期行為的概貌檢測(cè)出異常后，只能模糊的報(bào)告存在異常，不能精確的報(bào)告攻擊類型和方式，因此也不能有效地阻止入侵行為。通?；诋惓５娜肭謾z測(cè)系統(tǒng)首先有一個(gè)學(xué)習(xí)過程，這個(gè)過程是否能夠正確反映對(duì)象的正常行為仍是問題所在；而且檢測(cè)的過程通常也是學(xué)習(xí)過程，而這個(gè)過程很可能被入侵者利用。誤用檢測(cè)前提：所有的入侵行為都有可被檢測(cè)到的特征攻擊特征庫:當(dāng)監(jiān)測(cè)的用戶或系統(tǒng)行為與庫中的記錄相匹配時(shí)，系統(tǒng)就認(rèn)為這種行為是入侵過程監(jiān)控

特征提取匹配判定指標(biāo):誤報(bào)低、漏報(bào)高

誤用檢測(cè)特點(diǎn)如果入侵特征與正常的用戶行能匹配，則系統(tǒng)會(huì)發(fā)生誤報(bào)；如果沒有特征能與某種新的攻擊行為匹配，則系統(tǒng)會(huì)發(fā)生漏報(bào)特點(diǎn)：采用特征匹配，濫用模式能明顯降低錯(cuò)報(bào)率，但漏報(bào)率隨之增加。攻擊特征的細(xì)微變化，會(huì)使得濫用檢測(cè)無能為力誤用檢測(cè)的模型審計(jì)數(shù)據(jù)誤用檢測(cè)系統(tǒng)攻擊狀態(tài)規(guī)則匹配？修正現(xiàn)有規(guī)則添加新的規(guī)則時(shí)間信息典型的基于誤用的入侵檢測(cè)系統(tǒng)模型誤用檢測(cè)系統(tǒng)的類型專家系統(tǒng)按鍵監(jiān)視系統(tǒng)模型推理系統(tǒng)誤用預(yù)測(cè)系統(tǒng)狀態(tài)轉(zhuǎn)換分析系統(tǒng)模式匹配系統(tǒng)誤用檢測(cè)專家系統(tǒng)專家系統(tǒng)采用類似于if-then這種帶有因果關(guān)系的結(jié)構(gòu)，使用由專家制定的規(guī)則來表示攻擊行為，并在此基礎(chǔ)上從審計(jì)事件中找到入侵。但是實(shí)際應(yīng)用中有如下幾個(gè)問題：數(shù)據(jù)量問題數(shù)據(jù)順序問題專家的綜合能力問題規(guī)則庫缺少環(huán)境的適應(yīng)能力維護(hù)問題模型推理檢測(cè)系統(tǒng)模型推理系統(tǒng)最早是由T.D.Garvey和T.F.Lunt提出來的，它主要通過構(gòu)建一些誤用的模型，在此基礎(chǔ)上對(duì)某些行為活動(dòng)進(jìn)行監(jiān)視，并推理出是否發(fā)生入侵行為。推理系統(tǒng)的組件構(gòu)成先知模塊計(jì)劃模塊解釋模塊模型推理檢測(cè)系統(tǒng)

模型推理系統(tǒng)的優(yōu)點(diǎn)它的推理過程有比較合理的數(shù)學(xué)理論模型。計(jì)劃模塊使攻擊行為表示與具體的審計(jì)數(shù)據(jù)相分離干擾信息會(huì)被忽略，降低需要處理數(shù)據(jù)量具有一定的預(yù)見性，可以采取一些防御性措施模型推理系統(tǒng)的缺點(diǎn)最后的限值定義不當(dāng)，容易影響檢測(cè)的準(zhǔn)確性檢驗(yàn)工作比較難整體性能能否提高很難說維護(hù)困難模式匹配檢測(cè)系統(tǒng)模式匹配檢測(cè)系統(tǒng)是由入侵檢測(cè)領(lǐng)域的大師Kumar在1995年提出的。模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為一般來講，一種攻擊模式可以用一個(gè)過程（如執(zhí)行一條指令）或一個(gè)輸出（如獲得權(quán)限）來表示。該過程可以很簡(jiǎn)單（如通過字符串匹配以尋找一個(gè)簡(jiǎn)單的條目或指令），也可以很復(fù)雜（如利用正規(guī)的數(shù)學(xué)表達(dá)式來表示安全狀態(tài)的變化）入侵信號(hào)層次性依據(jù)底層的審計(jì)事件，可以從中提取出高層的事件（或者活動(dòng)）；由高層的事件構(gòu)成入侵信號(hào)，并依照高層事件之間的結(jié)構(gòu)關(guān)系，劃分入侵信號(hào)的抽象層次并對(duì)其進(jìn)行分析。實(shí)例化的層次結(jié)構(gòu)意味著可以對(duì)每一層中匹配信號(hào)的復(fù)雜性邊界進(jìn)行劃分。Kumar把入侵信號(hào)分成四層。入侵信號(hào)層次性存在（Existence）這種入侵信號(hào)表示只要存在這樣一種審計(jì)事件就足以說明發(fā)生了入侵行為或入侵企圖，它對(duì)應(yīng)的匹配模式稱為存在模式（ExistencePattern）。存在模式是很重要的。尤其是當(dāng)攻擊者破壞了系統(tǒng)的審計(jì)數(shù)據(jù)、導(dǎo)致提交的審計(jì)數(shù)據(jù)無法正常反應(yīng)當(dāng)前真實(shí)狀態(tài)的時(shí)候，通過主動(dòng)的查詢可以起到很好的作用入侵信號(hào)層次性序列（Sequence）有些入侵是由一些按照一定順序發(fā)生的行為所組成的，它具體可以表現(xiàn)為一組事件的序列。其對(duì)應(yīng)的匹配模式就是序列模式（SequencePattern）,這種入侵審計(jì)事件可以表示為在圖形中某個(gè)方向上一串連續(xù)的峰值。序列模式需要注意兩點(diǎn)間隔持續(xù)時(shí)間入侵信號(hào)層次性規(guī)則表示(RegularExpressions)

規(guī)則表示模式（REPatterns）是指用一種擴(kuò)展的規(guī)則表達(dá)式方式構(gòu)造匹配模式，規(guī)則表達(dá)式是由用AND邏輯表達(dá)式連接一些描述事件的原語構(gòu)成的。適用這種模式的攻擊信號(hào)通常由一些相關(guān)的活動(dòng)所組成，而這些活動(dòng)間沒有什么事件順序的關(guān)系。入侵信號(hào)層次性其他其他模式（OtherPattern）是指一些不能用前面的方法進(jìn)行表示的攻擊，在此統(tǒng)一為其他模式。例如：內(nèi)部否定模式歸納選擇模式入侵信號(hào)層次性存在模式序列模式規(guī)則模式其他模式間隔持續(xù)時(shí)間匹配模式的層次關(guān)系模式匹配系統(tǒng)的特點(diǎn)把攻擊信號(hào)看成一種模式進(jìn)行匹配的特點(diǎn)事件來源獨(dú)立描述和匹配相分離動(dòng)態(tài)的模式生成多事件流可移植性模式匹配系統(tǒng)具體的實(shí)現(xiàn)問題模式的提?。阂固崛〉哪Ｊ骄哂泻芨叩馁|(zhì)量，能夠充分表示入侵信號(hào)的特征，同時(shí)模式之間不能有沖突。匹配模式的動(dòng)態(tài)增加和刪除：為了適應(yīng)不斷變化的攻擊手段，匹配模式必須具有動(dòng)態(tài)變更的能力增量匹配和優(yōu)先級(jí)匹配：有事件流對(duì)系統(tǒng)處理能力產(chǎn)生很大壓力的時(shí)候，要求系統(tǒng)采取增量匹配的方法提高系統(tǒng)效率，或者可以先對(duì)高優(yōu)先級(jí)的事件先行處理。完全匹配：匹配機(jī)制必須能夠?qū)λ心Ｊ竭M(jìn)行匹配的能力IDS分類方法學(xué)根據(jù)體系結(jié)構(gòu)進(jìn)行分類根據(jù)檢測(cè)原理進(jìn)行分類根據(jù)系統(tǒng)特征進(jìn)行分類根據(jù)系統(tǒng)特征進(jìn)行分類分類特征應(yīng)該考慮的重要因素檢測(cè)時(shí)間數(shù)據(jù)處理的粒度審計(jì)數(shù)據(jù)來源入侵檢測(cè)響應(yīng)方式數(shù)據(jù)收集地點(diǎn)數(shù)據(jù)處理地點(diǎn)安全性互操作性根據(jù)系統(tǒng)特征進(jìn)行分類根據(jù)檢測(cè)時(shí)間脫機(jī)分析：行為發(fā)生后，對(duì)產(chǎn)生的數(shù)據(jù)進(jìn)行分析聯(lián)機(jī)分析:在數(shù)據(jù)產(chǎn)生的同時(shí)或者發(fā)生改變時(shí)進(jìn)行分析根據(jù)系統(tǒng)特征進(jìn)行分類數(shù)據(jù)處理的粒度基于數(shù)據(jù)流方式的粗粒度基于連接的細(xì)粒度

數(shù)據(jù)處理的粒度和檢測(cè)時(shí)間有一定的關(guān)系，但是二者并不完全一樣，一個(gè)系統(tǒng)可能在相當(dāng)長的時(shí)延內(nèi)進(jìn)行連續(xù)數(shù)據(jù)處理，也可以實(shí)時(shí)地處理少量的批處理數(shù)據(jù)。根據(jù)系統(tǒng)特征進(jìn)行分類審計(jì)數(shù)據(jù)來源基于網(wǎng)絡(luò)數(shù)據(jù)基于主機(jī)安全日志文件（包括操作系統(tǒng)的內(nèi)核日志、應(yīng)用程序日志、網(wǎng)絡(luò)設(shè)備日志）根據(jù)系統(tǒng)特征進(jìn)行分類入侵響應(yīng)方式被動(dòng)響應(yīng)：本身只會(huì)發(fā)出警告，不能試圖降低破壞，更不會(huì)主動(dòng)地對(duì)攻擊者采取反擊行動(dòng)主動(dòng)響應(yīng)：對(duì)被攻擊系統(tǒng)實(shí)施控制：它通過調(diào)整被攻擊系統(tǒng)的狀態(tài)，阻止或者減輕攻擊的危害對(duì)攻擊系統(tǒng)實(shí)施控制的系統(tǒng)：主動(dòng)響應(yīng)如果失敗可能使系統(tǒng)暴露在拒絕服務(wù)攻擊之下。根據(jù)系統(tǒng)特征進(jìn)行分類數(shù)據(jù)收集或者處理地點(diǎn)集中式的分布式的IDS的實(shí)現(xiàn)方式-----網(wǎng)絡(luò)IDS主機(jī)IDS運(yùn)行于被檢測(cè)的主機(jī)之上，通過查詢、監(jiān)聽當(dāng)前系統(tǒng)的各種資源的使用運(yùn)行狀態(tài)，發(fā)現(xiàn)系統(tǒng)資源被非法使用和修改的事件，進(jìn)行上報(bào)和處理。其監(jiān)測(cè)的資源主要包括：網(wǎng)絡(luò)、文件、進(jìn)程、系統(tǒng)日志等IDS的實(shí)現(xiàn)方式-----主機(jī)IDS主機(jī)IDS和網(wǎng)絡(luò)IDS的比較基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的主要優(yōu)點(diǎn)有：（1）成本低。（2）攻擊者轉(zhuǎn)移證據(jù)很困難。（3）實(shí)時(shí)檢測(cè)和應(yīng)答。一旦發(fā)生惡意訪問或攻擊，基于網(wǎng)絡(luò)的IDS檢測(cè)可以隨時(shí)發(fā)現(xiàn)它們，因此能夠更快地作出反應(yīng)。從而將入侵活動(dòng)對(duì)系統(tǒng)的破壞減到最低。（4）能夠檢測(cè)未成功的攻擊企圖。（5）操作系統(tǒng)獨(dú)立?；诰W(wǎng)絡(luò)的IDS并不依賴主機(jī)的操作系統(tǒng)作為檢測(cè)資源。而基于主機(jī)的系統(tǒng)需要特定的操作系統(tǒng)才能發(fā)揮作用。基于主機(jī)的IDS的主要優(yōu)勢(shì)有：（1）非常適用于加密和交換環(huán)境。（2）實(shí)時(shí)的檢測(cè)和應(yīng)答。（3）不需要額外的硬件。網(wǎng)絡(luò)入侵的現(xiàn)狀深層防御體系及IDS的作用IDS的分類方法學(xué)IDS的結(jié)構(gòu)入侵檢測(cè)的困惑第四代入侵檢測(cè)技術(shù)入侵檢測(cè)的新發(fā)展內(nèi)容提要IDS的基本結(jié)構(gòu)IDS系統(tǒng)結(jié)構(gòu)---探測(cè)引擎采用旁路方式全面?zhèn)陕牼W(wǎng)上信息流，實(shí)時(shí)分析將分析結(jié)果與探測(cè)器上運(yùn)行的策略集相匹配執(zhí)行報(bào)警、阻斷、日志等功能。完成對(duì)控制中心指令的接收和響應(yīng)工作。探測(cè)器是由策略驅(qū)動(dòng)的網(wǎng)絡(luò)監(jiān)聽和分析系統(tǒng)。IDS的基本結(jié)構(gòu)--引擎的功能結(jié)構(gòu)IDS系統(tǒng)結(jié)構(gòu)-----控制中心提供報(bào)警顯示提供對(duì)預(yù)警信息的記錄和檢索、統(tǒng)計(jì)功能制定入侵監(jiān)測(cè)的策略；控制探測(cè)器系統(tǒng)的運(yùn)行狀態(tài)收集來自多臺(tái)引擎的上報(bào)事件，綜合進(jìn)行事件分析，以多種方式對(duì)入侵事件作出快速響應(yīng)。這種分布式結(jié)構(gòu)有助于系統(tǒng)管理員的集中管理，全面搜集多臺(tái)探測(cè)引擎的信息，進(jìn)行入侵行為的分析。IDS的基本結(jié)構(gòu)--控制中心的功能結(jié)構(gòu)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的部署方式NIDS的位置必須要看到所有數(shù)據(jù)包共享媒介HUB交換環(huán)境隱蔽模式千兆網(wǎng)分布式結(jié)構(gòu)SensorConsole

HUBIDSSensorMonitoredServersConsole網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的部署方式

SwitchIDSSensorMonitoredServersConsole網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的部署方式

SwitchIDSSensorMonitoredServersConsole不設(shè)IP網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的部署方式

IDSSensorsL4或L7交換設(shè)備網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的部署方式IDS的系統(tǒng)結(jié)構(gòu)單機(jī)結(jié)構(gòu)：引擎和控制中心在一個(gè)系統(tǒng)之上，不能遠(yuǎn)距離操作，只能在現(xiàn)場(chǎng)進(jìn)行操作。優(yōu)點(diǎn)是結(jié)構(gòu)簡(jiǎn)單，不會(huì)因?yàn)橥ㄓ嵍绊懢W(wǎng)絡(luò)帶寬和泄密。分布式結(jié)構(gòu)就是引擎和控制中心在2個(gè)系統(tǒng)之上，通過網(wǎng)絡(luò)通訊，可以遠(yuǎn)距離查看和操作。目前的大多數(shù)IDS系統(tǒng)都是分布式的。優(yōu)點(diǎn)不是必需在現(xiàn)場(chǎng)操作，可以用一個(gè)控制中心控制多個(gè)引擎，可以統(tǒng)一進(jìn)行策略編輯和下發(fā)，可以統(tǒng)一查看申報(bào)的事件，可以通過分開事件顯示和查看的功能提高處理速度等等。IDS的系統(tǒng)結(jié)構(gòu)--分布式結(jié)構(gòu)圖網(wǎng)絡(luò)入侵的現(xiàn)狀深層防御體系及IDS的作用IDS的分類方法學(xué)IDS的結(jié)構(gòu)入侵檢測(cè)的困惑第四代入侵檢測(cè)技術(shù)入侵檢測(cè)的新發(fā)展內(nèi)容提要入侵檢測(cè)—沒有用的技術(shù)？入侵檢測(cè)——一種被提及太多的技術(shù)

——一種容易引起誤解的技術(shù)那么，入侵檢測(cè)是不是沒有用了？管理人員需要了解網(wǎng)絡(luò)中正在發(fā)生的各種活動(dòng)管理人員需要在攻擊到來之前發(fā)現(xiàn)攻擊行為管理人員需要識(shí)別異常行為需要有效的工具進(jìn)行針對(duì)攻擊行為以及異常的實(shí)時(shí)和事后分析入侵檢測(cè)系統(tǒng)逐漸成為安全防護(hù)體系中不可缺少的一部分Awarenessisthekeytosecurity入侵檢測(cè)是審計(jì)的基礎(chǔ)入侵檢測(cè)是網(wǎng)管的基礎(chǔ)網(wǎng)絡(luò)入侵的現(xiàn)狀深層防御體系及IDS的作用IDS的分類方法學(xué)IDS的結(jié)構(gòu)入侵檢測(cè)的困惑第四代入侵檢測(cè)技術(shù)入侵檢測(cè)的新發(fā)展內(nèi)容提要第四代入侵管理技術(shù)

現(xiàn)代入侵攻擊技術(shù):新一代主動(dòng)式惡意代碼極短時(shí)間內(nèi)（Flashworms---30s），利用優(yōu)化掃描的方法，感染近十萬個(gè)有漏洞的系統(tǒng),可以確定并記錄是否被擊中（4-5分鐘，感染近百萬臺(tái)系統(tǒng)）。掃描探測(cè)傳遞復(fù)制被感染的機(jī)器

有漏洞的機(jī)器第四代入侵管理技術(shù)入侵發(fā)展（目標(biāo)、入侵者攻擊能力、傳播速度、工具數(shù)量、復(fù)雜、隱蔽）

利用加密傳播惡意代碼

各種技術(shù)和策略間的互操作及關(guān)聯(lián)分析

日益增長的網(wǎng)絡(luò)流量

抵御入侵面臨的挑戰(zhàn)第四代入侵管理技術(shù)入侵檢測(cè)術(shù)語未統(tǒng)一

入侵檢測(cè)系統(tǒng)維護(hù)非常困難

在采取不適當(dāng)?shù)淖詣?dòng)響應(yīng)行為中存在風(fēng)險(xiǎn)

入侵檢測(cè)系統(tǒng)可能自己攻擊自己

抵御入侵面臨的挑戰(zhàn)第四代入侵管理技術(shù)誤報(bào)漏報(bào)使得系統(tǒng)準(zhǔn)確性大大折扣

客觀性的測(cè)評(píng)信息缺乏（如何選擇和評(píng)價(jià)）

高速網(wǎng)絡(luò)與實(shí)時(shí)分析

直觀的事件分析報(bào)告

抵御入侵面臨的挑戰(zhàn)第四代入侵管理技術(shù)第一代：協(xié)議解碼+模式匹配優(yōu)點(diǎn)：對(duì)已知攻擊，極其有效，誤報(bào)率低缺點(diǎn)：極其容易躲避，漏報(bào)率高第四代入侵管理技術(shù)第二代：模式匹配+簡(jiǎn)單協(xié)議分析+異常統(tǒng)計(jì) 優(yōu)點(diǎn)：能夠分析處理一部分協(xié)議，重