《入侵檢測(cè)分析》PPT課件.ppt

1、1,入侵檢測(cè)分析,2,一、入侵檢測(cè)系統(tǒng)概述,1、相關(guān)術(shù)語(yǔ) 攻擊：攻擊者利用工具，出于某種動(dòng)機(jī)，對(duì)目標(biāo)系統(tǒng)采取的行動(dòng)，其后果是獲取/破壞/篡改目標(biāo)系統(tǒng)的數(shù)據(jù)或訪問(wèn)權(quán)限 直接攻擊和間接攻擊 事件：在攻擊過(guò)程中發(fā)生的可以識(shí)別的行動(dòng)或行動(dòng)造成的后果；在入侵檢測(cè)系統(tǒng)中，事件常常具有一系列屬性和詳細(xì)的描述信息可供用戶查看。 將入侵檢測(cè)系統(tǒng)需要分析的數(shù)據(jù)統(tǒng)稱為事件（event） 入侵檢測(cè)是對(duì)入侵行為的發(fā)覺，它幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng))，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。 入侵檢測(cè)技術(shù)是通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)或系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從

2、中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到入侵的跡象的一種安全技術(shù)。 負(fù)責(zé)入侵檢測(cè)的軟/硬件組合體稱為入侵檢測(cè)系統(tǒng)IDS。,3,2、入侵檢測(cè)技術(shù) 入侵檢測(cè)（Intrusion Detection）技術(shù)是一種動(dòng)態(tài)的網(wǎng)絡(luò)檢測(cè)技術(shù)，主要用于識(shí)別對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為，包括來(lái)自外部用戶的入侵行為和內(nèi)部用戶的未經(jīng)授權(quán)活動(dòng)。一旦發(fā)現(xiàn)網(wǎng)絡(luò)入侵現(xiàn)象，則應(yīng)當(dāng)做出適當(dāng)?shù)姆磻?yīng)。對(duì)于正在進(jìn)行的網(wǎng)絡(luò)攻擊，則采取適當(dāng)?shù)姆椒▉?lái)阻斷攻擊（與防火墻聯(lián)動(dòng)），以減少系統(tǒng)損失。對(duì)于已經(jīng)發(fā)生的網(wǎng)絡(luò)攻擊，則應(yīng)通過(guò)分析日志記錄找到發(fā)生攻擊的原因和入侵者的蹤跡，作為增強(qiáng)網(wǎng)絡(luò)系統(tǒng)安全性和追究入侵者法律責(zé)任的依據(jù)。它從計(jì)算機(jī)網(wǎng)絡(luò)

3、系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。 入侵檢測(cè)技術(shù)也是保障系統(tǒng)動(dòng)態(tài)安全的核心技術(shù)之一,一、入侵檢測(cè)系統(tǒng)概述,4,3、入侵檢測(cè)系統(tǒng) 入侵檢測(cè)系統(tǒng)（IDS）由入侵檢測(cè)的軟件與硬件組合而成，被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。這些都通過(guò)它執(zhí)行以下任務(wù)來(lái)實(shí)現(xiàn)： 1）監(jiān)視、分析用戶及系統(tǒng)活動(dòng)。 2）識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警。 3）異常行為模式的統(tǒng)計(jì)分析。 4）評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性。 5）操作系統(tǒng)的審計(jì)跟蹤管理，識(shí)別用戶違反安全策略的

4、行為 6）檢查系統(tǒng)配置和漏洞,一、入侵檢測(cè)系統(tǒng)概述,5,4、入侵檢測(cè)系統(tǒng)的作用 監(jiān)控網(wǎng)絡(luò)和系統(tǒng) 發(fā)現(xiàn)入侵企圖或異常現(xiàn)象 實(shí)時(shí)報(bào)警 主動(dòng)響應(yīng) 審計(jì)跟蹤,一、入侵檢測(cè)系統(tǒng)概述,6,5、入侵檢測(cè)的發(fā)展歷程 1980年，James Anderson最早提出入侵檢測(cè)概念 1987年，DEDenning首次給出了一個(gè)入侵檢測(cè)的抽象模型，并將入侵檢測(cè)作為一種新的安全防御措施提出。 1988年，Morris蠕蟲事件直接刺激了IDS的研究 1988年，創(chuàng)建了基于主機(jī)的系統(tǒng),有IDES，Haystack等 1989年，提出基于網(wǎng)絡(luò)的IDS系統(tǒng),有NSM，NADIR， DIDS等 90年代，不斷有新的思想提出，如將

5、人工智能、神經(jīng)網(wǎng)絡(luò)、模糊理論、證據(jù)理論、分布計(jì)算技術(shù)等引入IDS系統(tǒng) 2000年2月，對(duì)Yahoo！、Amazon、CNN等大型網(wǎng)站的DDOS攻擊引發(fā)了對(duì)IDS系統(tǒng)的新一輪研究熱潮 2001年今，RedCode、求職信等新型病毒的不斷出現(xiàn)，進(jìn)一步促進(jìn)了IDS的發(fā)展,一、入侵檢測(cè)系統(tǒng)概述,7,二、入侵檢測(cè)系統(tǒng)的分類,IDS一般從實(shí)現(xiàn)方式上分為兩種：基于主機(jī)的IDS和基于網(wǎng)絡(luò)的IDS。一個(gè)完備的入侵檢測(cè)系統(tǒng)IDS一定是基于主機(jī)和基于網(wǎng)絡(luò)兩種方式兼?zhèn)涞姆植际较到y(tǒng)。 不管使用哪一種工作方式，都用不同的方式使用了上述兩種分析技術(shù)，都需要查找攻擊簽名Attack Signature。 所謂攻擊簽名，就是用

6、一種特定的方式來(lái)表示已知的攻擊方式,8,二、入侵檢測(cè)系統(tǒng)的分類,1、基于網(wǎng)絡(luò)的IDS 基于網(wǎng)絡(luò)的IDS是網(wǎng)絡(luò)上的一個(gè)監(jiān)聽設(shè)備(或一個(gè)專用主機(jī)) 基于網(wǎng)絡(luò)的IDS使用原始的網(wǎng)絡(luò)分組數(shù)據(jù)包作為進(jìn)行攻擊分析的數(shù)據(jù)源。一般利用一個(gè)網(wǎng)絡(luò)適配器來(lái)實(shí)時(shí)監(jiān)視和分析所有通過(guò)網(wǎng)絡(luò)進(jìn)行傳輸?shù)耐ㄐ牛?一旦檢測(cè)到攻擊，IDS應(yīng)答模塊通過(guò)通知報(bào)警以及中斷連接等方式來(lái)對(duì)攻擊作出反應(yīng) 安裝在被保護(hù)的網(wǎng)段（通常是共享網(wǎng)絡(luò)，交換環(huán)境中交換機(jī)需支持端口映射）中 混雜模式監(jiān)聽 分析網(wǎng)段中所有的數(shù)據(jù)包 實(shí)時(shí)檢測(cè)和響應(yīng),9,基于網(wǎng)絡(luò)的IDS工作模型,二、入侵檢測(cè)系統(tǒng)的分類,10,基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的主要優(yōu)點(diǎn)有 1 成本低 2 攻擊者

7、轉(zhuǎn)移證據(jù)很困難 3 實(shí)時(shí)檢測(cè)和應(yīng)答一旦發(fā)生惡意訪問(wèn)或攻擊，基于網(wǎng)絡(luò)的IDS檢測(cè)可以隨時(shí)發(fā)現(xiàn)它們，因此能夠更快地作出反應(yīng)，從而將入侵活動(dòng)對(duì)系統(tǒng)的破壞減到最低 4 能夠檢測(cè)未成功的攻擊企圖 5 操作系統(tǒng)獨(dú)立。基于網(wǎng)絡(luò)的IDS并不依賴主機(jī)的操作系統(tǒng)作為檢測(cè)資源，而基于主機(jī)的系統(tǒng)需要特定的操作系統(tǒng)才能發(fā)揮作用,二、入侵檢測(cè)系統(tǒng)的分類,11,基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的主要缺點(diǎn)有 (1) 不適合交換環(huán)境和高速環(huán)境：很難實(shí)現(xiàn)一些復(fù)雜的需要大量計(jì)算與分析時(shí)間的攻擊檢測(cè)。 (2)不能處理加密數(shù)據(jù) (3) 資源及處理能力局限：只檢查它直接連接網(wǎng)段的通信，不能檢測(cè)在不同網(wǎng)段的網(wǎng)絡(luò)包。 (4) 系統(tǒng)相關(guān)的脆弱性,二、入

8、侵檢測(cè)系統(tǒng)的分類,12,2、基于主機(jī)的IDS 基于主機(jī)的IDS一般監(jiān)視Windows NT上的系統(tǒng)、事件、安全日志以及UNIX環(huán)境中的syslog文件，一旦發(fā)現(xiàn)這些文件發(fā)生任何變化，IDS將比較新的日志記錄與攻擊簽名以發(fā)現(xiàn)它們是否匹配， 如果匹配的話檢測(cè)系統(tǒng)就向管理員發(fā)出入侵報(bào)警并且發(fā)出采取相應(yīng)的行動(dòng) 安裝于被保護(hù)的主機(jī)中 主要分析主機(jī)內(nèi)部活動(dòng) 占用一定的系統(tǒng)資源,二、入侵檢測(cè)系統(tǒng)的分類,13,基于主機(jī)的IDS的主要優(yōu)勢(shì)有 1 非常適用于高速環(huán)境 2 接近實(shí)時(shí)的檢測(cè)和應(yīng)答 3 不需要額外的硬件,二、入侵檢測(cè)系統(tǒng)的分類,14,3、兩種入侵檢測(cè)技術(shù)的比較 如果攻擊不經(jīng)過(guò)網(wǎng)絡(luò)，基于網(wǎng)絡(luò)的IDS無(wú)法檢

9、測(cè)到，只能通過(guò)使用基于主機(jī)的IDS 來(lái)檢測(cè) 基于網(wǎng)絡(luò)的IDS通過(guò)檢查所有的包首標(biāo) header來(lái)進(jìn)行檢測(cè)，而基于主機(jī)的IDS并不查看包首標(biāo)；許多基于IP的拒絕服務(wù)攻擊和碎片攻擊只能通過(guò)查看它們通過(guò)網(wǎng)絡(luò)傳輸時(shí)的包首標(biāo)才能識(shí)別 基于網(wǎng)絡(luò)的IDS可以研究負(fù)載的內(nèi)容查找特定攻擊中使用的命令或語(yǔ)法。這類攻擊可以被實(shí)時(shí)檢查包序列的IDS迅速識(shí)別；而基于主機(jī)的系統(tǒng)無(wú)法看到負(fù)載，因此也無(wú)法識(shí)別嵌入式的負(fù)載攻擊,二、入侵檢測(cè)系統(tǒng)的分類,15,4、兩種類型IDS的結(jié)合 在新一代的入侵檢測(cè)系統(tǒng)中將把現(xiàn)在的基于網(wǎng)絡(luò)和基于主機(jī)這兩種檢測(cè)技術(shù)很好地集成起來(lái)，提供集成化的攻擊簽名、檢測(cè)、報(bào)告和事件關(guān)聯(lián)功能 利用最新的可適應(yīng)

10、網(wǎng)絡(luò)安全技術(shù)和P2DR（Policy Protection Detection Response）安全模型，可 以深入地研究入侵事件、入侵手段本身及被入侵 目標(biāo)的漏洞等,二、入侵檢測(cè)系統(tǒng)的分類,16,5、IDS的基本結(jié)構(gòu) 無(wú)論IDS系統(tǒng)是網(wǎng)絡(luò)型的還是主機(jī)型的，從功能上看，都可分為兩大部分：探測(cè)引擎和控制中心。前者用于讀取原始數(shù)據(jù)和產(chǎn)生事件；后者用于顯示和分析事件以及策略定制等工作,二、入侵檢測(cè)系統(tǒng)的分類,17,引擎的主要功能為：原始數(shù)據(jù)讀取、數(shù)據(jù)分析、產(chǎn)生事件、策略匹配、事件處理、通信等功能,引擎的工作流程,18,控制中心的工作流程,控制中心的主要功能為：通信、事件讀取、事件顯示、策略定制、日

11、志分析、系統(tǒng)幫助等。,19,20,三、入侵檢測(cè)的原理,異常檢測(cè)（Anomaly Detection） 統(tǒng)計(jì)模型 誤報(bào)較多 誤用檢測(cè)（Misuse Detection） 維護(hù)一個(gè)入侵特征知識(shí)庫(kù)（CVE） 準(zhǔn)確性高 特征檢測(cè) 關(guān)注系統(tǒng)本身的行為 通過(guò)提高行為特征定義的準(zhǔn)確度和覆蓋范圍，較低誤報(bào)和錯(cuò)別率,21,1、異常檢測(cè),異常檢測(cè)的基本原理 正常行為的特征輪廓 檢查系統(tǒng)的運(yùn)行情況 是否偏離預(yù)設(shè)的門限,22,異常檢測(cè)的優(yōu)點(diǎn)： 可以檢測(cè)到未知的入侵 可以檢測(cè)冒用他人帳號(hào)的行為 具有自適應(yīng)，自學(xué)習(xí)功能 不需要系統(tǒng)先驗(yàn)知識(shí),1、異常檢測(cè),23,異常檢測(cè)的缺點(diǎn)： 漏報(bào)、誤報(bào)率高 入侵者可以逐漸改變自己的行為

12、模式來(lái)逃避檢測(cè) 合法用戶正常行為的突然改變也會(huì)造成誤警 統(tǒng)計(jì)算法的計(jì)算量龐大，效率很低 統(tǒng)計(jì)點(diǎn)的選取和參考庫(kù)的建立比較困難,1、異常檢測(cè),24,2、誤用檢測(cè),誤用檢測(cè)采用匹配技術(shù)檢測(cè)已知攻擊 提前建立已出現(xiàn)的入侵行為特征 檢測(cè)當(dāng)前用戶行為特征,25,誤用檢測(cè)的優(yōu)點(diǎn) 算法簡(jiǎn)單 系統(tǒng)開銷小 準(zhǔn)確率高 效率高,2、誤用檢測(cè),26,誤用檢測(cè)的缺點(diǎn) 被動(dòng) 只能檢測(cè)出已知攻擊 新類型的攻擊會(huì)對(duì)系統(tǒng)造成很大的威脅 模式庫(kù)的建立和維護(hù)難 模式庫(kù)要不斷更新 知識(shí)依賴于 硬件平臺(tái) 操作系統(tǒng) 系統(tǒng)中運(yùn)行的應(yīng)用程序,2、誤用檢測(cè),27,3、特征檢測(cè),特征檢測(cè)定義系統(tǒng)行為輪廓，并將系統(tǒng)行為與輪廓進(jìn)行比較，對(duì)未指明為正常

13、行為的事件定義為入侵。 特征檢測(cè)系統(tǒng)采用某種特征語(yǔ)言定義系統(tǒng)的安全策略。,28,最大的優(yōu)點(diǎn) 可以通過(guò)提高行為特征定義的準(zhǔn)確度和覆蓋范圍，大幅度降低漏報(bào)和錯(cuò)報(bào)率。 最大缺點(diǎn) 要求嚴(yán)格定義安全策略 需要耗費(fèi)大量的時(shí)間來(lái)維護(hù)動(dòng)態(tài)系統(tǒng)的特征庫(kù),3、特征檢測(cè),29,四、 入侵檢測(cè)的步驟,入侵檢測(cè)系統(tǒng)的作用是實(shí)時(shí)地監(jiān)控計(jì)算機(jī)系統(tǒng)的活動(dòng)，發(fā)現(xiàn)可疑的攻擊行為，以避免攻擊的發(fā)生，或減少攻擊造成的危害。由此也劃分了入侵檢測(cè)的三個(gè)基本步驟： 信息收集、數(shù)據(jù)分析和響應(yīng),30,1信息收集 入侵檢測(cè)的第一步是信息收集。收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為，而且，需要在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)、不同網(wǎng)

14、段和不同主機(jī)收集信息。這除了盡可能擴(kuò)大檢測(cè)范圍的因素外，還有一個(gè)重要的因素就是從一個(gè)源來(lái)的信息有可能看不出疑點(diǎn)，但是從幾個(gè)信息源的不一致性卻是可疑行為或入侵的最好標(biāo)識(shí) 入侵檢測(cè)在很大程度上依賴于收集信息的可靠性、正確性和完備性。因此，要確保采集、報(bào)告這些信息的軟件工具的可靠性，這些軟件本身應(yīng)具有相當(dāng)強(qiáng)的堅(jiān)固性，能夠防止被篡改而收集到錯(cuò)誤的信息。否則，黑客對(duì)系統(tǒng)的修改可能使入侵檢測(cè)系統(tǒng)功能失常但看起來(lái)卻跟正常的系統(tǒng)一樣。,四、 入侵檢測(cè)的步驟,31,因?yàn)楹诳徒?jīng)常替換軟件以搞混和移走這些信息。例如替換被程序調(diào)用的子程序 庫(kù)和其它工具。黑客對(duì)系統(tǒng)的修改可能使系統(tǒng)功能失常并看起來(lái)跟正常的一樣，例如，u

15、nix系統(tǒng)的PS指令可以被替換為一個(gè)不顯示侵入過(guò)程的指令，或者是編輯器被替換成一個(gè)讀取不同于指定文件的文件，這就需要保證用來(lái)檢測(cè)網(wǎng)絡(luò)系統(tǒng)的軟件的完整性，特別是入侵檢測(cè)系統(tǒng)軟件本身應(yīng)具有相當(dāng)強(qiáng)的堅(jiān)固性， 防止被篡改而收集到錯(cuò)誤的信息,四、 入侵檢測(cè)的步驟,32,入侵檢測(cè)利用的信息一般來(lái)自以下四個(gè)方面 系統(tǒng)和網(wǎng)絡(luò)日志文件 目錄和文件中的不期望的改變 程序執(zhí)行中的不期望行為 物理形式的入侵信息,四、 入侵檢測(cè)的步驟,33,四、 入侵檢測(cè)的步驟,系統(tǒng)和網(wǎng)絡(luò)日志文件 黑客經(jīng)常在系統(tǒng)日志文件中 留下他們 的蹤跡， 因此充分利用系統(tǒng)和網(wǎng)絡(luò)日志文件信息是檢測(cè)入侵的必要條件。日志中包含發(fā)生在系統(tǒng)和網(wǎng)絡(luò)上的不尋常

16、和不期望活動(dòng)的證據(jù)，這些證據(jù)可以指出有人正在入侵或已成功入侵了系統(tǒng)。通過(guò)查看 日志文件能夠發(fā)現(xiàn)成功的入侵或入侵企圖，并很快地啟動(dòng)相應(yīng)的應(yīng)急響應(yīng)程序。日志文件中記錄了各種行為類型，每種類型又包含不同的信息，例如記錄“用戶活動(dòng)”類型的日志就包含登錄、用戶ID改變、用戶對(duì)文件的訪問(wèn)、授權(quán)和認(rèn)證信息等內(nèi)容。 顯然，對(duì)用戶活動(dòng)來(lái)講，不正常的或不期望的行為就是重復(fù)登錄失敗、登錄到不期望的位置以及非授權(quán)的企圖訪問(wèn)重要文件等等。,34,四、 入侵檢測(cè)的步驟,目錄和文件中不期望的改變 網(wǎng)絡(luò)環(huán)境中的文件系統(tǒng)包含很多軟件和數(shù)據(jù)文件，包含重要信息的文件和私有數(shù)據(jù)文件經(jīng)常是黑客修改或破壞的目標(biāo)。目錄和文件中的不期望 的

17、改變（包括修改、創(chuàng)建和刪除），特別是那些正常情況下限制訪問(wèn)的，很可能就是一種入侵產(chǎn)生的指示和信號(hào)。 入侵者經(jīng)常替換、修改和破壞他們獲得訪問(wèn)權(quán)的系統(tǒng)上的文件，同時(shí)為了隱藏系統(tǒng)中他們的表現(xiàn)及活動(dòng)痕跡，都會(huì)盡力去替換系統(tǒng)程序或修改系統(tǒng)日志文件,35,四、 入侵檢測(cè)的步驟,程序執(zhí)行中的不期望行為 網(wǎng)絡(luò)系統(tǒng)上的程序執(zhí)行一般包括操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)、用戶起動(dòng)的程序和特定目的的應(yīng)用，例如數(shù)據(jù)庫(kù)服務(wù)器。每個(gè)在系統(tǒng)上執(zhí)行的程序由一到多個(gè)進(jìn)程來(lái)實(shí)現(xiàn)，每個(gè)進(jìn)程執(zhí)行在具有不同權(quán)限 的環(huán)境中，這種環(huán)境控制著進(jìn)程可訪問(wèn)的系統(tǒng)資源、程序和數(shù)據(jù)文件等。一個(gè)進(jìn)程的執(zhí)行行為由它運(yùn)行時(shí)執(zhí)行的操作來(lái)表現(xiàn)，操作執(zhí)行的方式不同，它利用的系

18、統(tǒng)資源也就不同。操作包括計(jì)算、文件傳輸、設(shè)備和其它進(jìn)程以及與網(wǎng)絡(luò)間其它進(jìn)程的通訊。一個(gè)進(jìn)程出現(xiàn)了不期望的行為，可能表明黑客正在入侵你的系統(tǒng)。黑客可能會(huì)將程序或服務(wù)的運(yùn)行分解從而導(dǎo)致它失敗，或者是以非用戶或管理員意圖的方式操作。,36,四、 入侵檢測(cè)的步驟,2 數(shù)據(jù)分析 數(shù)據(jù)分析（Analysis Schemes）是入侵檢測(cè)系統(tǒng)的核心，它的效率高低直接決定了整個(gè)入侵檢測(cè)系統(tǒng)的性能。 對(duì)上述四類收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等信息，一般通過(guò)三種技術(shù)手段進(jìn)行分析模式匹配、統(tǒng)計(jì)分析和完整性分析。 其中前兩種方法用于實(shí)時(shí)的入侵檢測(cè)而完整性分析則用于事后分析,37,四、 入侵檢測(cè)的步驟,

19、模式匹配 模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫(kù)進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。該過(guò)程可以很簡(jiǎn)單，如通過(guò)字符串匹配以尋找一個(gè)簡(jiǎn)單的條目或指令；也可以很復(fù)雜，如利用正規(guī)的數(shù)學(xué)表達(dá)式來(lái)表示安全狀態(tài)的變化,38,四、 入侵檢測(cè)的步驟,統(tǒng)計(jì)分析 統(tǒng)計(jì)分析方法首先給系統(tǒng)對(duì)象（如用戶、文件、目錄和設(shè)備等）創(chuàng)建一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性，如訪問(wèn)次數(shù)、操作失敗次數(shù)和延時(shí)等 其優(yōu)點(diǎn)是可檢測(cè)到未知的入侵和更為復(fù)雜的入侵。 該法的缺點(diǎn)是誤報(bào)、漏報(bào)率高，且不適應(yīng)用戶正常行為的突然改變。,39,四、 入侵檢測(cè)的步驟,完整性分析 完整性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓?，這

20、經(jīng)常包括文件和目錄的內(nèi)容及屬性，它在發(fā)現(xiàn)被更改的被特絡(luò)伊化的應(yīng)用程序方面特別有效 其優(yōu)點(diǎn)是不管模式匹配方法和統(tǒng)計(jì)分析方法能否發(fā)現(xiàn)入侵，只要是成功的攻擊導(dǎo)致了文件或其它對(duì)象的任何改變，它都能夠發(fā)現(xiàn)。 缺點(diǎn)是一般以批處理方式實(shí)現(xiàn)，不用于實(shí)時(shí)響應(yīng)。,40,四、 入侵檢測(cè)的步驟,3 響應(yīng) 數(shù)據(jù)分析發(fā)現(xiàn)入侵跡象后，入侵檢測(cè)系統(tǒng)的下一步工作就是響應(yīng)。而響應(yīng)并不局限于對(duì)可疑的攻擊者。目前的入侵檢測(cè)系統(tǒng)一般采取下列響應(yīng)。 1、將分析結(jié)果記錄在日志文件中，并產(chǎn)生相應(yīng)的報(bào)告。 2、觸發(fā)警報(bào)：如在系統(tǒng)管理員的桌面上產(chǎn)生一個(gè)告警標(biāo)志位，向系統(tǒng)管理員發(fā)送傳呼或電子郵件等等。 3、修改入侵檢測(cè)系統(tǒng)或目標(biāo)系統(tǒng)，如終止進(jìn)程、

21、切斷攻擊者的網(wǎng)絡(luò)連接，或更改防火墻配置等。,41,五、案例 入侵檢測(cè)工具：BlackICE,BlackICE是一個(gè)小型的入侵檢測(cè)工具，在計(jì)算機(jī)上安全完畢后，會(huì)在操作系統(tǒng)的狀態(tài)欄顯示一個(gè)圖標(biāo)，當(dāng)有異常網(wǎng)絡(luò)情況的時(shí)候，圖標(biāo)就會(huì)跳動(dòng)。主界面如圖所示。,42,案例 入侵檢測(cè)工具：BlackICE,可以查看主機(jī)入侵的信息，選擇屬性頁(yè)“Intruders”，如圖所示。,43,入侵檢測(cè)工具：冰之眼,“冰之眼”網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)是NSFOCUS系列安全軟件中一款專門針對(duì)網(wǎng)絡(luò)遭受黑客攻擊行為而研制的網(wǎng)絡(luò)安全產(chǎn)品，該產(chǎn)品可最大限度地、全天候地監(jiān)控企業(yè)級(jí)的安全。由于用戶自身網(wǎng)絡(luò)系統(tǒng)的缺陷、網(wǎng)絡(luò)軟件的漏洞以及網(wǎng)絡(luò)管理員的疏忽等等，都可能使網(wǎng)絡(luò)入侵者有機(jī)可乘，而