1、入侵檢測及掃描技術(shù), 數(shù)據(jù)分析技術(shù),主要內(nèi)容,通用入侵檢測模型 誤用檢測技術(shù) 異常檢測技術(shù) 其他檢測技術(shù),通用入侵檢測模型,1987年，Denning提出了一個抽象的通用入侵檢測模型。 該模型主要由6部分構(gòu)成：主體，對象，審計(jì)記錄，活動簡檔，異常記錄，活動規(guī)則。 IDES與它的后繼版本NIDES都完全基于Denning的模型，但并不是所有的IDS都能夠完全符合該模型。,通用入侵檢測模型示意圖,數(shù)據(jù)分析模型,數(shù)據(jù)分析是入侵檢測的核心功能，主要有兩種，即異常檢測模型和誤用檢測模型。 功能是： 數(shù)據(jù)預(yù)處理：把收集到數(shù)據(jù)定制成統(tǒng)一的規(guī)范格式。 數(shù)據(jù)分類：將數(shù)據(jù)分成有入侵、無入侵和不確定 后期處理：和知

2、識庫進(jìn)行對比 結(jié)果反饋和提煉：可以是報(bào)警、日志記錄、自動響應(yīng)或其他由操作員定義的動作。,入侵檢測技術(shù),1 誤用檢測技術(shù),方法：首先對標(biāo)識特定入侵的行為模式進(jìn)行編碼，建立誤用模式庫，然后對實(shí)際檢測過程中得到的審計(jì)事件數(shù)據(jù)進(jìn)行過濾，檢查是否包含入侵行為的知識。 缺點(diǎn)：只能檢測已知的攻擊模式。需要不斷的、及時地升級。 主要包括： 簡單模式匹配 專家系統(tǒng) 狀態(tài)轉(zhuǎn)移法 等,1.1 簡單模式匹配,優(yōu)點(diǎn)是：原理簡單，實(shí)現(xiàn)、配置、維護(hù)方便，檢測效率高； 缺點(diǎn)是：只適用于簡單的攻擊方式、誤報(bào)率高； 代表系統(tǒng)： Snort：跨平臺的網(wǎng)絡(luò)IDS（NIDS）工具 Bro：由美國Lawrence Berkeley國家實(shí)

3、驗(yàn)室開發(fā)，是NIDS。,1.2 專家系統(tǒng)（expert system）,工作方式是：使用類似if-then的規(guī)則格式輸入已有的知識（攻擊模式），然后輸入待檢測數(shù)據(jù)（審計(jì)事件記錄），系統(tǒng)根據(jù)知識庫中內(nèi)容對檢測數(shù)據(jù)進(jìn)行評估和判斷。 代表系統(tǒng): MIDAS IDES Next Generation IDES（NIDES） DIDS CMDS,專家系統(tǒng)的優(yōu)缺點(diǎn),優(yōu)點(diǎn)： 其推理過程是自治的黑盒，不需用戶理解和干預(yù) 缺點(diǎn)： 處理海量數(shù)據(jù)時存在效率問題，因?yàn)閷＜蚁到y(tǒng)的推理通常使用解釋型語言； 缺乏處理數(shù)據(jù)前后的相關(guān)性問題的能力； 性能取決于設(shè)計(jì)者的知識和技能； 只能檢測已知的攻擊模式； 規(guī)則庫的維護(hù)較困難。

4、,1.3 狀態(tài)轉(zhuǎn)移法,采用優(yōu)化的模式匹配技術(shù) 實(shí)現(xiàn)狀態(tài)轉(zhuǎn)移的入侵檢測可使用以下方法： 狀態(tài)轉(zhuǎn)移分析（state transition analysis） 著色Petri網(wǎng)（Colored petri nets 或CP-nets） 基于語言/應(yīng)用程序接口的方法（Languages/API base approach）,1.3.1 狀態(tài)轉(zhuǎn)移分析,是一種使用高層狀態(tài)轉(zhuǎn)移圖來表示和檢測已知攻擊模式的誤用檢測技術(shù)。 該技術(shù)首先在STAT系統(tǒng)及USTAT中實(shí)現(xiàn)，STAT系統(tǒng)由美國加州大學(xué)Santa Barbaba分校的Pillip Porras和Richard Kemmerer開發(fā)，USTAT則由Kora

5、l Ilgun和Kemmerer完成。 把入侵者滲透的過程看作是從有限的特權(quán)開始，利用系統(tǒng)存在的脆弱性，逐步提升自身的權(quán)限。把攻擊者獲得的權(quán)限或攻擊成功的結(jié)果表示為系統(tǒng)狀態(tài)。,狀態(tài)轉(zhuǎn)移分析（續(xù)）,特點(diǎn)： 使用有限狀態(tài)機(jī)模型來表示入侵過程 入侵過程由一系列導(dǎo)致系統(tǒng)從初始狀態(tài)到入侵狀態(tài)的行為組成：初始狀態(tài)表示入侵發(fā)生之前的系統(tǒng)狀態(tài)，入侵狀態(tài)則表示入侵完成后系統(tǒng)所處的狀態(tài)。 用戶的行為和動作導(dǎo)致系統(tǒng)狀態(tài)的轉(zhuǎn)變。,1.3.2 著色Petri網(wǎng)和IDIOT系統(tǒng),由Purdue 大學(xué)的Sandeep Kumar和Gene Spaffford設(shè)計(jì)。IDIOT系統(tǒng)是該方法的具體實(shí)現(xiàn)。 關(guān)注事件與所處系統(tǒng)環(huán)境之

6、間的關(guān)系，每種入侵模式都與先前所具備的條件以及隨后發(fā)生的動作相關(guān)，該關(guān)系模式可精確描述入侵和入侵企圖，并提供一種通用的、與系統(tǒng)架構(gòu)無關(guān)的模式表達(dá)和匹配模型。 優(yōu)點(diǎn)是： 檢測效率高 入侵特征具備跨平臺的可移植性 只需關(guān)注匹配內(nèi)容，無需關(guān)心匹配方式,2 異常檢測技術(shù),基于以下假設(shè)：程序的執(zhí)行和用戶行為在系統(tǒng)特性上呈現(xiàn)緊密相關(guān)性。 如：某些特權(quán)程序總是訪問特定目錄下的系統(tǒng)文件，程序員則經(jīng)常編輯和編譯C程序。 關(guān)鍵：正常使用模式的建立，如何利用該模式對當(dāng)前系統(tǒng)/用戶行為進(jìn)行比較，從而判斷出于正常模式的偏離程度。 缺點(diǎn)：容易產(chǎn)生漏報(bào) 主要包括以下方法： 用戶行為概率統(tǒng)計(jì)模型 基于規(guī)則的檢測 神經(jīng)網(wǎng)絡(luò),統(tǒng)

7、計(jì)分析,入侵檢測專家系統(tǒng)（IDES/NIDES）：由SRI開發(fā)，對用戶和系統(tǒng)主體建立歷史統(tǒng)計(jì)模式 Haystack系統(tǒng)：由Tracor Applied Sciences and Haystack Laboratories（隸屬美國空軍）開發(fā),基于規(guī)則的檢測,W&S系統(tǒng)（Wisdom and Sense）:由美國Los Alamos國家實(shí)驗(yàn)室和Oak Ridge國家實(shí)驗(yàn)室的研究人員實(shí)現(xiàn)，可運(yùn)行于多種平臺，提供系統(tǒng)級和應(yīng)用級的行為提取功能。 基于時間的歸納推理機(jī)（Time based Inductive Machine,TIM）: 由Digital Equipment Corporation的研究

8、人員提出，特點(diǎn)是可用推導(dǎo)算法自動產(chǎn)生入侵規(guī)則。,基于神經(jīng)網(wǎng)絡(luò)的入侵檢測,使用自適應(yīng)學(xué)習(xí)技術(shù)來提取異常行為的特征，要對訓(xùn)練數(shù)據(jù)集進(jìn)行學(xué)習(xí)以得出正常的行為模式，保證訓(xùn)練數(shù)據(jù)的不包含任何入侵或異常的用戶行為。,3 其他檢測技術(shù),免疫系統(tǒng) 數(shù)據(jù)挖掘 遺傳算法 基于agent的檢測： 如AAFID,EMERALD,IDA 信息檢索技術(shù),參考文獻(xiàn)和資料(1),Forrest S, Hofmeyr S A, and Somayaji A. Computer Immunology. Communications of the ACM, 1997, 40(10):88-96. W Lee, S J Stolfo

9、. Data Mining approaches for intrusion detectionC. In proceedings of the 7th USENIX Security symposium, Oakland, California, 1998 Ludovic Me. GASSATA, A genetic algorithm as an alternative tool for security audit trail analysis R. Cesson Sevigne Cedex, France: Superlec, 1996,參考文獻(xiàn)和資料(2),Ross Anderson, Abida Khattak. The use of information Retrieval techniques for intrusion detection. University of Cambridge, Computer Laboratory. 10th June 1997. Steven A H. An immunological model of distributed detection and its application to computer security D. s.l.: University of New Mexico, 1999 Fo