入侵檢測(cè)流程1第4章

入侵檢測(cè)流程入侵檢測(cè)流程2第4章入侵檢測(cè)流程入侵檢測(cè)流程:入侵檢測(cè)的過(guò)程入侵檢測(cè)系統(tǒng)的數(shù)據(jù)源入侵分析的概念入侵分析的模型入侵檢測(cè)的分析方法告警與響應(yīng)入侵檢測(cè)流程3入侵檢測(cè)的過(guò)程信息收集信息分析告警與響應(yīng)入侵檢測(cè)流程4入侵檢測(cè)系統(tǒng)的數(shù)據(jù)源基于主機(jī)的數(shù)據(jù)源：

系統(tǒng)運(yùn)行狀態(tài)信息

系統(tǒng)記帳信息

系統(tǒng)日志（Syslog）

C2級(jí)安全性審計(jì)信息

入侵檢測(cè)流程5入侵檢測(cè)系統(tǒng)的數(shù)據(jù)源基于網(wǎng)絡(luò)的數(shù)據(jù)源：

SNMP信息

網(wǎng)絡(luò)通信包

入侵檢測(cè)流程6入侵檢測(cè)系統(tǒng)的數(shù)據(jù)源應(yīng)用程序日志文件

其他入侵檢測(cè)系統(tǒng)的報(bào)警信息

其他網(wǎng)絡(luò)設(shè)備和安全產(chǎn)品的信息

入侵檢測(cè)流程7入侵分析的概念入侵檢測(cè)系統(tǒng)是一個(gè)復(fù)雜的數(shù)據(jù)處理系統(tǒng)，所涉及到的問(wèn)題域中的各種關(guān)系也比較復(fù)雜。

從入侵檢測(cè)的角度來(lái)說(shuō)，分析是指針對(duì)用戶和系統(tǒng)活動(dòng)數(shù)據(jù)進(jìn)行有效的組織、整理并提取特征，以鑒別出感興趣的行為。這種行為的鑒別可以實(shí)時(shí)進(jìn)行，也可以事后分析，在很多情況下，事后的進(jìn)一步分析是為了尋找行為的責(zé)任人。入侵檢測(cè)流程8入侵分析的目的重要的威懾力：目標(biāo)系統(tǒng)使用IDS進(jìn)行入侵分析，對(duì)于入侵者來(lái)說(shuō)具有很大的威懾力，因?yàn)檫@意味著攻擊行為可能會(huì)被發(fā)現(xiàn)或被追蹤。安全規(guī)劃和管理：分析過(guò)程中可能會(huì)發(fā)現(xiàn)在系統(tǒng)安全規(guī)劃和管理中存在的漏洞，安全管理員可以根據(jù)分析結(jié)果對(duì)系統(tǒng)進(jìn)行重新配置，避免被攻擊者用來(lái)竊取信息或破壞系統(tǒng)。獲取入侵證據(jù)：入侵分析可以提供有關(guān)入侵行為詳細(xì)的、可信的證據(jù)，這些證據(jù)可以用于事后追究入侵者的責(zé)任。入侵檢測(cè)流程9入侵分析應(yīng)考慮的因素需求子目標(biāo)目標(biāo)劃分平衡入侵檢測(cè)流程10入侵分析的模型入侵分析處理過(guò)程可分為三個(gè)階段：

構(gòu)建分析器；

分析數(shù)據(jù)；

反饋和更新。入侵檢測(cè)流程11構(gòu)建分析器

收集并生成事件信息

預(yù)處理信息

建立行為分析引擎

將事件數(shù)據(jù)輸入引擎中

保存已輸入數(shù)據(jù)的模型

入侵檢測(cè)流程12分析數(shù)據(jù)

輸入事件記錄

事件預(yù)處理

比較事件記錄和知識(shí)庫(kù)產(chǎn)生響應(yīng)

入侵檢測(cè)流程13反饋和更新反饋和更新是一個(gè)非常重要的過(guò)程。評(píng)價(jià)入侵檢測(cè)系統(tǒng)的一個(gè)重要指標(biāo)就是攻擊信息的特征數(shù)據(jù)庫(kù)是否可以及時(shí)更新。每天都能夠根據(jù)新攻擊方式的出現(xiàn)來(lái)更新攻擊信息特征數(shù)據(jù)庫(kù)是非常重要的。許多優(yōu)化的信號(hào)引擎能夠在系統(tǒng)正在監(jiān)控事件數(shù)據(jù)，沒(méi)有中斷分析過(guò)程的同時(shí)，由系統(tǒng)操作員來(lái)更新信號(hào)數(shù)據(jù)庫(kù)。在入侵檢測(cè)系統(tǒng)中，歷史統(tǒng)計(jì)及異常特征需定時(shí)更新。例如，在第1個(gè)入侵檢測(cè)系統(tǒng)IDES中，每天都進(jìn)行特征輪廓的更新。每個(gè)用戶的摘要資料被加入知識(shí)庫(kù)中，并且刪除最老的資料。入侵檢測(cè)流程14入侵檢測(cè)的分類異常檢測(cè)（AnomalyDetection）：基于統(tǒng)計(jì)分析原理。首先總結(jié)正常操作應(yīng)該具有的特征（用戶輪廓），試圖用定量的方式加以描述，當(dāng)用戶活動(dòng)與正常行為有重大偏離時(shí)即被認(rèn)為是入侵。前提：入侵是異?；顒?dòng)的子集。指標(biāo)：漏報(bào)率低，誤報(bào)率高。用戶輪廓(Profile)：通常定義為各種行為參數(shù)及其閥值的集合，用于描述正常行為范圍。特點(diǎn)：異常檢測(cè)系統(tǒng)的效率取決于用戶輪廓的完備性和監(jiān)控的頻率；不需要對(duì)每種入侵行為進(jìn)行定義，因此能有效檢測(cè)未知的入侵；系統(tǒng)能針對(duì)用戶行為的改變進(jìn)行自我調(diào)整和優(yōu)化，但隨著檢測(cè)模型的逐步精確，異常檢測(cè)會(huì)消耗更多的系統(tǒng)資源入侵檢測(cè)流程15入侵檢測(cè)的分類誤用檢測(cè)（MisuseDetection）：基于模式匹配原理。收集非正常操作的行為特征，建立相關(guān)的特征庫(kù)，當(dāng)監(jiān)測(cè)的用戶或系統(tǒng)行為與庫(kù)中的記錄相匹配時(shí)，系統(tǒng)就認(rèn)為這種行為是入侵。前提：所有的入侵行為都有可被檢測(cè)到的特征。指標(biāo)：誤報(bào)低、漏報(bào)高。攻擊特征庫(kù)：當(dāng)監(jiān)測(cè)的用戶或系統(tǒng)行為與庫(kù)中的記錄相匹配時(shí)，系統(tǒng)就認(rèn)為這種行為是入侵。特點(diǎn)：采用模式匹配，誤用模式能明顯降低誤報(bào)率，但漏報(bào)率隨之增加。攻擊特征的細(xì)微變化，會(huì)使得誤用檢測(cè)無(wú)能為力。入侵檢測(cè)流程16入侵檢測(cè)的分類異常入侵檢測(cè)和誤用入侵檢測(cè)的區(qū)別和聯(lián)系區(qū)別：就模型構(gòu)建而言，異常入侵檢測(cè)學(xué)習(xí)的是正常的行為模式；誤用入侵檢測(cè)識(shí)別的是特定的入侵行為。就訓(xùn)練而言，異常入侵檢測(cè)模式的建立需要經(jīng)過(guò)一定的訓(xùn)練時(shí)間；誤用入侵檢測(cè)不需要。入侵檢測(cè)流程17入侵檢測(cè)的分類就是否能夠發(fā)現(xiàn)新的攻擊模式而言，異常入侵檢測(cè)可以做到，因?yàn)樗ヅ涞氖钦Ｐ袨?，如果沒(méi)有匹配到，則說(shuō)明待檢測(cè)行為是未知的攻擊模式；誤用入侵檢測(cè)做不到，因?yàn)樗ヅ涞氖钱惓Ｐ袨?，如果沒(méi)有匹配成功，則默認(rèn)該行為是正常行為，因此它只能夠檢測(cè)出已知的攻擊類型。就漏報(bào)率而言，異常入侵檢測(cè)的漏報(bào)率低，因?yàn)樗愃朴诎酌麊螜C(jī)制，那些未被預(yù)期到的入侵行為也是可以被制止的；而誤用入侵檢測(cè)的漏報(bào)率有待提升，它類似于黑名單機(jī)制，在很多情況下，我們無(wú)法窮盡所有可能的入侵行為，所以會(huì)出現(xiàn)漏報(bào)。另外，由于該“黑名單”的存在，入侵者可以通過(guò)變形繞過(guò)“黑名單”，因而漏報(bào)率會(huì)高。入侵檢測(cè)流程18入侵檢測(cè)的分類就模式庫(kù)更新而言，異常入侵檢測(cè)通常在入侵檢測(cè)系統(tǒng)運(yùn)行過(guò)程中進(jìn)行，即邊運(yùn)行邊更新；而誤用入侵檢測(cè)新特征發(fā)現(xiàn)過(guò)程和“使用已有特征進(jìn)行檢測(cè)”這一過(guò)程是相互獨(dú)立的。二者之間的聯(lián)系：二者都是入侵檢測(cè)系統(tǒng)的可選方案。二者都更新“特征/模式庫(kù)”的行為。入侵檢測(cè)流程19誤用入侵檢測(cè)方法又稱為基于知識(shí)的檢測(cè)。誤用檢測(cè)假設(shè)所有可能的入侵行為都能被識(shí)別和表示。首先，設(shè)定一些入侵活動(dòng)的特征，通過(guò)比對(duì)現(xiàn)在的活動(dòng)是否與這些特征匹配來(lái)檢測(cè)。這種方法是依據(jù)是否出現(xiàn)攻擊簽名來(lái)判斷入侵行為，是一種直接的方法。常用的具體實(shí)現(xiàn)方法有：基于條件概率誤用入侵檢測(cè)方法、基于專家系統(tǒng)誤用入侵檢測(cè)方法、基于狀態(tài)轉(zhuǎn)換分析誤用入侵檢測(cè)方法、基于規(guī)則誤用入侵檢測(cè)方法等。入侵檢測(cè)流程20誤用入侵檢測(cè)模型模式庫(kù)攻擊者匹配報(bào)警入侵檢測(cè)流程21誤用入侵檢測(cè)方法模式匹配方法：基于模式匹配的誤用入侵檢測(cè)方法是最基本的入侵檢測(cè)方法，該方法將已知的入侵特征轉(zhuǎn)換成模式，存放于模式數(shù)據(jù)庫(kù)中，在檢測(cè)過(guò)程中，模式匹配模型將到來(lái)的事件與入侵模式數(shù)據(jù)庫(kù)中的入侵模式進(jìn)行匹配，如果匹配成功，則認(rèn)為有入侵行為發(fā)生。專家系統(tǒng)方法：基于專家系統(tǒng)的誤用入侵檢測(cè)方法是最傳統(tǒng)、最通用的入侵檢測(cè)方法。在諸如MIDAS、IDES、下一代IDES（NIDES）、DIDS和CMDS中都使用了這種方法。入侵檢測(cè)流程22誤用入侵檢測(cè)方法狀態(tài)轉(zhuǎn)換方法:狀態(tài)轉(zhuǎn)換分析是將狀態(tài)轉(zhuǎn)換圖應(yīng)用于入侵行為分析。狀態(tài)轉(zhuǎn)換法將入侵過(guò)程看作一個(gè)行為序列，這個(gè)行為序列導(dǎo)致系統(tǒng)從初始狀態(tài)轉(zhuǎn)到被入侵狀態(tài)。分析時(shí)首先針對(duì)每一種入侵方法確定系統(tǒng)的初始狀態(tài)和被入侵狀態(tài)，以及導(dǎo)致狀態(tài)轉(zhuǎn)換的轉(zhuǎn)換條件，即導(dǎo)致系統(tǒng)進(jìn)人被入侵狀態(tài)必須執(zhí)行的操作(特征事件)；然后用狀態(tài)轉(zhuǎn)換圖來(lái)表示每一個(gè)狀態(tài)和特征事件，這些事件被集成于模型中，所以檢測(cè)時(shí)不需要一個(gè)個(gè)地查找審計(jì)記錄。但是，狀態(tài)轉(zhuǎn)換是針對(duì)事件序列分析，所以不宜于分析十分復(fù)雜的事件，而且不能檢測(cè)與系統(tǒng)狀態(tài)無(wú)關(guān)的入侵。入侵檢測(cè)流程23誤用入侵檢測(cè)方法條件概率法:基于條件概率的誤用入侵檢測(cè)方法將入侵方式對(duì)應(yīng)于一個(gè)事件序列，然后通過(guò)觀測(cè)事件發(fā)生的情況來(lái)推測(cè)入侵的出現(xiàn)。這種方法的依據(jù)是外部事件序列，根據(jù)貝葉斯定理進(jìn)行推理。令ES表示某個(gè)事件序列，發(fā)生入侵的先驗(yàn)概率為P(Intrusion)，發(fā)生入侵時(shí)該事件序列ES出現(xiàn)的后驗(yàn)概率為P(ESIntrusion)，該事件序列出現(xiàn)的概率為e（ES）通常情況下網(wǎng)絡(luò)安全專家可以給出先驗(yàn)概率P(intrusion),由入侵報(bào)告及審計(jì)數(shù)據(jù)可得P(ES

intrusion）故可以通過(guò)事件序列的觀測(cè)，推算出e(ES）基于條件概率的誤用入侵檢測(cè)方法是在概率理論基礎(chǔ)上的一個(gè)普遍方法。它是對(duì)貝葉斯方法的改進(jìn)，其缺點(diǎn)是先驗(yàn)概率難以給出，而且事件的獨(dú)立性難以滿足。入侵檢測(cè)流程24誤用入侵檢測(cè)方法鍵盤監(jiān)控法:該方法假設(shè)入侵對(duì)應(yīng)特定的擊鍵序列模式，然后監(jiān)測(cè)用戶擊鍵模式，并將這一模式與入侵模式匹配，即能檢測(cè)入侵。這種方法在沒(méi)有操作系統(tǒng)支持的情況下，缺少捕獲用戶擊鍵的可靠方法，而且同一種攻擊存在無(wú)數(shù)擊鍵方式表示。另外，假如沒(méi)有擊鍵語(yǔ)義分析，用戶使用別名命令很容易欺騙這種檢測(cè)技術(shù)。例如，用戶注冊(cè)的SHELL提供了簡(jiǎn)寫命令序列工具，可以產(chǎn)生所謂的別名，類似宏定義。因?yàn)檫@種技術(shù)僅僅分析擊鍵，所以不能夠檢測(cè)到惡意程序執(zhí)行結(jié)果的自動(dòng)攻擊。但該方法相對(duì)容易實(shí)現(xiàn)。入侵檢測(cè)流程25異常入侵檢測(cè)模型異常行為正常行為命令系統(tǒng)調(diào)用活動(dòng)度量CPU使用網(wǎng)絡(luò)連接……入侵檢測(cè)流程26Denning的原始模型入侵檢測(cè)模型最早由DorthyDenning在1987年提出，目前的各種入侵檢測(cè)技術(shù)和體系都是在此基礎(chǔ)上的擴(kuò)展和細(xì)化。

是一個(gè)基于主機(jī)的入侵檢測(cè)模型。首先對(duì)主機(jī)事件按照一定的規(guī)則學(xué)習(xí)產(chǎn)生用戶行為模型（ActivityProfile),然后將當(dāng)前的事件和模型進(jìn)行比較，如果不匹配則認(rèn)為異常入侵檢測(cè)流程27量化分析閾值檢測(cè)啟發(fā)式閾值檢測(cè)基于目標(biāo)的集成檢查量化分析和數(shù)據(jù)精簡(jiǎn)入侵檢測(cè)流程28非參統(tǒng)計(jì)度量非參統(tǒng)計(jì)異常檢測(cè)的前提是根據(jù)用戶特性把表示的用戶活動(dòng)數(shù)據(jù)分成兩個(gè)明顯區(qū)別的群：一個(gè)指示異?；顒?dòng)，另一個(gè)指示正常活動(dòng)。各種群集算法均可采用。這些算法包括利用簡(jiǎn)單距離度量一個(gè)客體是否屬于一個(gè)群，以及比較復(fù)雜的概念式度量；即，根據(jù)一個(gè)條件集合對(duì)客體記分，并用這個(gè)分?jǐn)?shù)來(lái)決定它是否屬于某一個(gè)特定群。不同的群集算法通常服務(wù)于不同的數(shù)據(jù)集和分析目標(biāo)。統(tǒng)計(jì)分析的力度入侵檢測(cè)流程29神經(jīng)網(wǎng)絡(luò)方法神經(jīng)網(wǎng)絡(luò)使用可適應(yīng)學(xué)習(xí)技術(shù)來(lái)描述異常行為。這種非參分析技術(shù)運(yùn)作在歷史訓(xùn)練數(shù)據(jù)集上。歷史訓(xùn)練數(shù)據(jù)集假定是不包含任何指示入侵或其它不希望的用戶行為。神經(jīng)網(wǎng)絡(luò)由許多稱為單元的簡(jiǎn)單處理元素組成。這些單元通過(guò)使用加權(quán)的連接相互作用。一個(gè)神經(jīng)網(wǎng)絡(luò)知識(shí)根據(jù)單元和它們權(quán)值間連接編碼成網(wǎng)絡(luò)結(jié)構(gòu)。實(shí)際的學(xué)習(xí)過(guò)程是通過(guò)改變權(quán)值和加入或移去連接進(jìn)行的。使用神經(jīng)網(wǎng)絡(luò)進(jìn)行入侵檢測(cè)的主要不足是神經(jīng)網(wǎng)絡(luò)不能為找到的異常,提供任何解釋。入侵檢測(cè)流程30其他檢測(cè)方法免疫系統(tǒng)方法遺傳算法基于代理的檢測(cè)數(shù)據(jù)挖掘方法入侵檢測(cè)流程31告警與響應(yīng)在完成系統(tǒng)安全狀況分析并確定系統(tǒng)所存在的問(wèn)題之后，就要讓人們知道這些問(wèn)題的存在，在某些情況下，還要另外采取行動(dòng)。在入侵檢測(cè)處理過(guò)程模型中，這個(gè)階段稱之為響應(yīng)期。理想的情況下，系統(tǒng)的這一部分應(yīng)該具有豐富的響應(yīng)功能特性，并且這些響應(yīng)特性在針對(duì)安全管理小組中的每一位成員進(jìn)行裁剪后，能夠?yàn)樗麄兌继峁┓?wù)。被動(dòng)響應(yīng)是系統(tǒng)僅僅簡(jiǎn)單地記錄和報(bào)告所檢測(cè)出的問(wèn)題。主動(dòng)響應(yīng)則是系統(tǒng)要為阻塞或影響進(jìn)程而采取行動(dòng)。入侵檢測(cè)流程32對(duì)響應(yīng)的需求操作環(huán)境系統(tǒng)目標(biāo)和優(yōu)先權(quán)規(guī)則或法令的需求給用戶傳授專業(yè)技術(shù)入侵檢測(cè)流程33響應(yīng)的類型主動(dòng)響應(yīng)：入侵者采取反擊行動(dòng)修正系統(tǒng)環(huán)境收集額外信息入侵檢測(cè)流程34響應(yīng)的類型被動(dòng)響應(yīng)：告警和通知

SNMPTrap和插件SNMPtrap是由被管理的設(shè)備主動(dòng)的向管理服務(wù)器發(fā)送設(shè)備的異常情況，可以看成是管理服務(wù)器被