计算机网络安全第五章入侵检测技术课件.ppt
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《计算机网络安全第五章入侵检测技术课件.ppt》由用户(晟晟文业)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 计算机 网络安全 第五 入侵 检测 技术 课件
- 资源描述:
-
1、第5章 入侵检测技术第5章 入侵检测技术内容提要:入侵检测概述 入侵检测的技术实现 分布式入侵检测 入侵检测系统的标准 入侵检测系统示例 本章小结5.1入侵检测概述入侵检测技术研究最早可追溯到 1 9 8 0 年 James P.Aderson所写的一份技术报告,他首先出了入侵检测的概念。1 9 8 7 年Dorothy Denning提出了入侵检测系统(IDS,Intrusion Detection System)的抽象模型(如图 5-1 所示),首次提出了入侵检测可作为一种计算机系统安全防御措施的概念,与传统的加密和访问控制技术相比,IDS是全新的计算机安全措施。主体活动规则集处理引擎异常
2、记录活动简档时钟规则设计与修改审计记录更新更新历史活动创建活动状况创建提取规则学习图5-1 Denning入侵检测抽象模型1 9 8 8 年 Teresa Lunt 等人进一步改进了Denning提出的入侵检测模型,并创建了IDES(Intrusion Detection Expert System),该系统用于检测单一主机的入侵尝试,提出了与系统平台无关的实时检测思想,1995年开发的NIDES(Next-Generation Intrusion Detection ExpertSystem)作为IDES完善后的版本可以检测出多个主机上的入侵。1990年,Heberlein等人提出了一个具有
3、里程碑意义的新型概念:基于网络的入侵检测网 络 安 全 监 视 器 NSM(Network Security Monitor)。1991年,NADIR(Network Anomaly Detection and Intrusion Reporter)与 DIDS(Distribute Intrusion Detection System)提出了通过收集和合并处理来自多个主机的审计信息可以检测出一系列针对主机的协同攻击。1994年,Mark Crosbie和Gene Spafford建议使用自治代理(autonomous agents)以提高IDS的可伸缩性、可维护性、效率和容错性,该理念非常符
4、合计算机科学其他领域(如软件代理,software agent)正在进行的相关研究。另一个致力于解决当代绝大多数入侵检测系统伸缩性不足的方法于 1996 年提出,这就是 GrIDS(Graph-based Intrusion Detection System)的设计和实现,该系统可以方便地检测大规模自动或协同方式的网络攻击。近年来,入侵检测技术研究的主要创新有:Forrest等将免疫学原理运用于分布式入侵检测领域;1998年Ross Anderson和Abida Khattak将信息检索技术引进入侵检测;以及采用状态转换分析、数据挖掘和遗传算法等进行误用和异常检测。5.1.1 入侵检测原理图5
5、-2给出了入侵检测的基本原理图。入侵检测是用于检测任何损害或企图损害系统的保密性、完整性或可用性的一种网络安全技术。它通过监视受保护系统的状态和活动,采用误用检测(Misuse Detection)或异常检测(Anomaly Detection)的方式,发现非授权的或恶意的系统及网络行为,为防范入侵行为提供有效的手段。历史行为特定行为模式其他知识库入侵检测分析引擎当前系统/用户行为入侵?记录证据相应处理是相应处理否安全策略图5-2 入侵检测原理框图所谓入侵检测系统就是执行入侵检测任务的硬件或软件产品。入侵检测提供了用于发现入侵攻击与合法用户滥用特权的一种方法。其应用前提是入侵行为和合法行为是可
6、区分的,也即可以通过提取行为的模式特征来判断该行为的性质。一般地,入侵检测系统需要解决两个问题:如何充分并可靠地提取描述行为特征的数据;如何根据特征数据,高效并准确地判定行为的性质。5.1.2 系统结构由于网络环境和系统安全策略的差异,入侵检测系统在具体实现上也有所不同。从系统构成上看,入侵检测系统应包括事件提取、入侵分析、入侵响应和远程管理四大部分,另外还可能结合安全知识库、数据存储等功能模块,提供更为完善的安全检测及数据分析功能(如图5-3所示)。相应处理入侵分析数据提取知识库数据存储原始数据流图5-3 入侵检测系统结构入侵检测的思想源于传统的系统审计,但拓宽了传统审计的概念,它以近乎不间
7、断的方式进行安全检测,从而可形成一个连续的检测过程。这通常是通过执行下列任务来实现的:监视、分析用户及系统活动;系统构造和弱点的审计;识别分析知名攻击的行为特征并告警;异常行为特征的统计分析;评估重要系统和数据文件的完整性;操作系统的审计跟踪管理,并识别用户违反安全策略的行为。5.1.3 系统分类由于功能和体系结构的复杂性,入侵检测按照不同的标准有多种分类方法。可分别从数据源、检测理论、检测时效三个方面来描述入侵检测系统的类型。1基于数据源的分类通常可以把入侵检测系统分为五类,即基于主机、基于网络、混合入侵检测、基于网关的入侵检测系统以及文件完整性检查系统。2基于检测理论的分类从具体的检测理论
8、上来说,入侵检测又可分为异常检测和误用检测。异常检测(Anomaly Detection)指根据使用者的行为或资源使用状况的正常程度来判断是否入侵,而不依赖于具体行为是否出现来检测。误用检测(Misuse Detection)指运用已知攻击方法,根据已定义好的入侵模式,通过判断这些入侵模式是否出现来检测。3基于检测时效的分类IDS在处理数据的时候可以采用实时在线检测方式,也可以采用批处理方式,定时对处理原始数据进行离线检测,这两种方法各有特点(如图5-5所示)。离线检测方式将一段时间内的数据存储起来,然后定时发给数据处理单元进行分析,如果在这段时间内有攻击发生就报警。在线检测方式的实时处理是大
9、多数IDS所采用的办法,由于计算机硬件速度的提高,使得对攻击的实时检测和响应成为可能。用户的当前操作断开连接记录证据数据恢复用户历史行为专家经验神经网络模型入侵检测入侵?监测NYa)实时入侵检测的功能原理图断开连接记录证据数据恢复入侵检测专家经验用户历史记录b)事后入侵检测的功能原理图图5-5 实时与事后入侵检测原理5.2 入侵检测的技术实现 对于入侵检测的研究,从早期的审计跟踪数据分析,到实时入侵检测系统,到目前应用于大型网络的分布式检测系统,基本上已发展成为具有一定规模和相应理论的研究领域。入侵检测的核心问题在于如何对安全审计数据进行分析,以检测其中是否包含入侵或异常行为的迹象。这里,我们
10、先从误用检测和异常检测两个方面介绍当前关于入侵检测技术的主流技术实现,然后对其它类型的检测技术作简要介绍。5.2.1 入侵检测分析模型 分析是入侵检测的核心功能,它既能简单到像一个已熟悉日志情况的管理员去建立决策表,也能复杂得像一个集成了几百万个处理的非参数系统。入侵检测的分析处理过程可分为三个阶段:构建分析器,对实际现场数据进行分析,反馈和提炼过程。其中,前两个阶段都包含三个功能:数据处理、数据分类(数据可分为入侵指示、非入侵指示或不确定)和后处理。5.2.2误用检测(MisuseDetection)误用检测是按照预定模式搜寻事件数据的,最适用于对已知模式的可靠检测。执行误用检测,主要依赖于
11、可靠的用户活动记录和分析事件的方法。1条件概率预测法条件概率预测法是基于统计理论来量化全部外部网络事件序列中存在入侵事件的可能程度。2产生式/专家系统 用专家系统对入侵进行检测,主要是检测基于特征的入侵行为。所谓规则,即是知识,专家系统的建立依赖于知识库的完备性,而知识库的完备性又取决于审计记录的完备性与实时性。产生式/专家系统是误用检测早期的方案之一,在MIDAS、IDES、NIDES、DIDS和CMDS中都使用了这种方法。3状态转换方法 状态转换方法使用系统状态和状态转换表达式来描述和检测入侵,采用最优模式匹配技巧来结构化误用检测,增强了检测的速度和灵活性。目前,主要有三种实现方法:状态转
12、换分析、有色Petri-Net和语言/应用编程接口(API)。4用于批模式分析的信息检索技术 当前大多数入侵检测都是通过对事件数据的实时收集和分析来发现入侵的,然而在攻击被证实之后,要从大量的审计数据中寻找证据信息,就 必 须 借 助 于 信 息 检 索(IR,Information Retrieval)技术,IR技术当前广泛应用于WWW的搜索引擎上。IR系统使用反向文件作为索引,允许高效地搜寻关键字或关键字组合,并使用Bayesian理论帮助提炼搜索。5Keystroke Monitor和基于模型的方法 Keystroke Monitor是一种简单的入侵检测方法,它通过分析用户击键序列的模式
13、来检测入侵行为,常用于对主机的入侵检测。该方法具有明显的缺点,首先,批处理或Shell程序可以不通过击键而直接调用系统攻击命令序列;其次,操作系统通常不提供统一的击键检测接口,需通过额外的钩子函数(Hook)来监测击键。5.2.3 异常检测(AnomalyDetection)异常检测基于一个假定:用户的行为是可预测的、遵循一致性模式的,且随着用户事件的增加异常检测会适应用户行为的变化。用户行为的特征轮廓在异常检测中是由度量(measure)集来描述,度量是特定网络行为的定量表示,通常与某个检测阀值或某个域相联系。异常检测可发现未知的攻击方法,体现了强健的保护机制,但对于给定的度量集能否完备到表
14、示所有的异常行为仍需要深入研究。1Denning的原始模型 Dorothy Denning于1986年给出了入侵检测的IDES模型,她认为在一个系统中可以包括四个统计模型,每个模型适合于一个特定类型的系统度量。(1)可操作模型(2)平均和标准偏差模型(3)多变量模型(4)Markov处理模型2量化分析 异常检测最常用的方法就是将检验规则和属性以数值形式表示的量化分析,这种度量方法在Denning的可操作模型中有所涉及。量化分析通过采用从简单的加法到比较复杂的密码学计算得到的结果作为误用检测和异常检测统计模型的基础。(1)阀值检验(2)基于目标的集成检查(3)量化分析和数据精简3统计度量 统计度
15、量方法是产品化的入侵检测系统中常用的方法,常见于异常检测。运用统计方法,有效地解决了四个问题:(1)选取有效的统计数据测量点,生成能够反映主体特征的会话向量;(2)根据主体活动产生的审计记录,不断更新当前主体活动的会话向量;(3)采用统计方法分析数据,判断当前活动是否符合主体的历史行为特征;(4)随着时间推移,学习主体的行为特征,更新历史记录。4非参数统计度量 非参数统计方法通过使用非数据区分技术,尤其是群集分析技术来分析参数方法无法考虑的系统度量。群集分析的基本思想是,根据评估标准(也称为特性)将收集到的大量历史数据(一个样本集)组织成群,通过预处理过程,将与具体事件流(经常映射为一个具体用
16、户)相关的特性转化为向量表示,再采用群集算法将彼此比较相近的向量成员组织成一个行为类,这样使用该分析技术的实验结果将会表明用何种方式构成的群可以可靠地对用户的行为进行分组并识别。5基于规则的方法 上面讨论的异常检测主要基于统计方法,异常检测的另一个变种就是基于规则的方法。与统计方法不同的是基于规则的检测使用规则集来表示和存储使用模式。(1)Wisdom&Sense方法(2)基于时间的引导机(TIM)5.2.4 其它检测技术 这些技术不能简单地归类为误用检测或是异常检测,而是提供了一种有别于传统入侵检测视角的技术层次,例如免疫系统、基因算法、数据挖掘、基于代理(Agent)的检测等,它们或者提供
17、了更具普遍意义的分析技术,或者提出了新的检测系统架构,因此无论对于误用检测还是异常检测来说,都可以得到很好的应用。1神经网络(Neural Network)作为人工智能(AI)的一个重要分支,神经网络(Neural Network)在入侵检测领域得到了很好的应用,它使用自适应学习技术来提取异常行为的特征,需要对训练数据集进行学习以得出正常的行为模式。这种方法要求保证用于学习正常模式的训练数据的纯洁性,即不包含任何入侵或异常的用户行为。2免疫学方法 New Mexico大学的Stephanie Forrest提出了将生物免疫机制引入计算机系统的安全保护框架中。免疫系统中最基本也是最重要的能力是识
18、别“自我/非自我”(self/nonself),换句话讲,它能够识别哪些组织是属于正常机体的,不属于正常的就认为是异常,这个概念和入侵检测中异常检测的概念非常相似。3数据挖掘方法 Columbia大学的Wenke Lee在其博士论文中,提出了将数据挖掘(Data Mining,DM)技术应用到入侵检测中,通过对网络数据和主机系统调用数据的分析挖掘,发现误用检测规则或异常检测模型。具体的工作包括利用数据挖掘中的关联算法和序列挖掘算法提取用户的行为模式,利用分类算法对用户行为和特权程序的系统调用进行分类预测。实验结果表明,这种方法在入侵检测领域有很好的应用前景。4基因算法 基 因 算 法 是 进
19、化 算 法(evolutionary algorithms)的一种,引入了达尔文在进化论中提出的自然选择的概念(优胜劣汰、适者生存)对系统进行优化。该算法对于处理多维系统的优化是非常有效的。在基因算法的研究人员看来,入侵检测的过程可以抽象为:为审计事件记录定义一种向量表示形式,这种向量或者对应于攻击行为,或者代表正常行为。5基于代理的检测 近 年 来,一 种 基 于 Agent 的 检 测 技 术(Agent-Based Detection)逐渐引起研究者的重视。所谓Agent,实际上可以看作是在执行某项特定监视任务的软件实体。基于Agent的入侵检测系统的灵活性保证它可以为保障系统的安全提供
20、混合式的架构,综合运用误用检测和异常检测,从而弥补两者各自的缺陷。5.3分布式入侵检测 分布式入侵检测(Distributed Intrusion Detection)是目前入侵检测乃至整个网络安全领域的热点之一。到目前为止,还没有严格意义上的分布式入侵检测的商业化产品,但研究人员已经提出并完成了多个原型系统。通常采用的方法中,一种是对现有的IDS进行规模上的扩展,另一种则通过IDS之间的信息共享来实现。具体的处理方法上也分为两种:分布式信息收集、集中式处理;分布式信息收集、分布式处理。5.3.1 分布式入侵检测的优势 分布式入侵检测由于采用了非集中的系统结构和处理方式,相对于传统的单机IDS
展开阅读全文