网络安全入侵检测技术 ppt课件

图10.3 基于网络的入侵检测技术
第10章 入侵检测技术
10.2 入侵检测的技术实现
10.2.1 入侵检测模型
入侵检测从策略上来讲主要分为异常检测和误用检测， 从分析方法来讲，又可以分为基于统计的、神经网络和 数据挖掘三类技术。我们从IDS的整体框架来对入侵检 测模型进行划分，则主要是三种：通用模型、层次化模 型和智能化模型。
事件产生器
输入：原始事件源
图10.1 入侵检测系统的组成部分
第10章 入侵检测技术
10.1.3 入侵检测系统的需求特性
一个成功的入侵检测系统至少要满足以下五个主要要 求：
(1) 实时性要求。 (2) 可扩展性要求。 (3) 适应性要求。
(4) 安全性与可用性要求。
(5) 有效性要求。
第10章 入侵检测技术
数据过滤 …… 审计日志采集
数据过滤
数据过滤
审计日志采集
审计日志采集
图10.6 基于Agent的智能入侵检
第10章 入侵检测技术
10.2.2 误用与异常检测
入侵检测技术可以分为异常检测和误用检测两种。
1）异常检测
异常检测技术（Anomaly Detection）也称为基于行为的 检测技术，是指根据用户的行为和系统资源的使用状况判 断是否存在网络入侵。 异常检测的优点是：它的检测完整性高、能发现企图发 掘和试探系统未知漏洞的行为；较少依赖于特定的操作系 统；对合法的用户违反权限的行为具有很强的检测能力。 它的缺点是：如果是在用户数量多且运行状态复杂的环境 中，它的误警率较高；由于系统活动的不断变化，用户要 不断地在线学习。
第10章 入侵检测技术
入侵检测系统执行的主要任务包括：监视、分析用 户及系统活动；审计系统构造和弱点；识别、反映已 知进攻的活动模式，向相关人士报警；统计分析异常 行为模式；评估重要系统和数据文件的完整性；审计、 跟踪管理操作系统，识别用户违反安全策略的行为。
入侵检测一般分为三个步骤：信息收集、数据分析、 响应。
主机数据源
入侵检测
入侵行为分析
检测出已 知入侵
入侵特征提取
安全策略库
图10.5 层次化入侵检测体系结构
第10章 入侵检测技术
(3)智能入侵检测模型
用户界面
数据库
网络级监控管理
Mobile Agent
主机内传送 模块
……
主机内传送 模块
网络传送模 块
主机数据分析Agent
主机数据分析Agent
网络数据分析Agent
入侵检测的目的：（1）识别入侵者；（2）识别入 侵行为；（3）检测和监视以实施的入侵行为；（4） 为对抗入侵提供信息，阻止入侵的发生和事态的扩大；
第10章 入侵检测技术
10.1.2 入侵检测系统的结构
响应单元
输出：高级中断事件 输出：反应或事件
输出：事件的存储信息
事件分析器
事件数据库
输出：原始或低级事件
第10章 入侵检测技术
10.3.2 入侵检测系统测试评估标准
根据Porras等的研究，给出了评价IDS性能的三个因素： 准确性(Accuracy)：指IDS从各种行为中正确地识别入侵的能 力，当一个IDS的检测不准确时，就有可能把系统中的合法活动当 作入侵行为并标识为异常(虚警现象)。 处理性能(Performance)：指一个IDS处理数据源数据的速度。 显然，当IDS的处理性能较差时，它就不可能实现实时的IDS，并有 可能成为整个系统的瓶颈，进而严重影响整个系统的性能。 完备性(Completeness)：指IDS能够检测出所有攻击行为的能力。 如果存在一个攻击行为，无法被IDS检测出来，那么该JDS就不具 有检测完备性。也就是说，它把对系统的入侵活动当作正常行为(漏 报现象)。由于在一般情况下，攻击类型、攻击手段的变化很快，我 们很难得到关于攻击行为的所有知识，所以关于IDS的检测完备性 的评估相对比较困难。
第10章 入侵检测技术
常用的方法有：
（1）量化分析 （2）统计法 （3）预测模式生成法 （4）神经网络 （5）基于免疫学方法
第10章 入侵检测技术
2）误用检测 误用检测使用某种模式或特征描述方法对任何已知的 攻击进行表达。误用检测需要确定其所定义的攻击特征 模式是否可以覆盖与实际攻击有关的所有要素。当入侵 者入侵时，即通过它的某些行为过程建立一种入侵模型， 如果该行为与入侵方案的模型一致，即判定为入侵行为。
第10章 入侵检测技术
(1)通用入侵检测模型
规则设计和更新 计时器
建立 主体 活动 审计记录 规则集 处理 引擎 学习 提取规则 异常 记录
更新
历史简档 新活动简档 活动 简档
图10.4 Denning通用入侵检测模型
第10章 入侵检测技术
(2)层次化入侵检测模型
攻击特征库
攻击特征提取 网络数据源 攻击信息 攻击行为分析 检测出已 知入侵
第10章 入侵检测技术
10.2.3 分布式入侵检测
分布式入侵检测系统是由分布在网络上不同位置的检测 部件所组成的，它不仅能检测到针对单个主机的入侵，也 能检测到针对整个网络的入侵。分布式入侵检测系统在很 大程度上解决了传统集中式入侵检测系统处理能力有限且 容易单点失效的缺点。 分布式入侵检测系统可以分为3种类型。 1）层次式。 2）协作式。 3）对等式。
误用检测的优点是：检测的准确性高；由于可以精确 描述入侵行为，因此虚警率低。它的缺点是：检测的完 整性要取决于数据库的及时更新程度；收集已经攻击行 为和系统脆弱性信息困难；可移植性差并且难以检测内 部用户的权限滥用。
第10章 入侵检测技术
误用检测往往也被称为基于特征的检测。大部分商业 IDS产品采用误用检测技术，常用的误用检测方法有： （1）模式匹配 （2）专家系统 （3）完整性分析 （4）协议分析 （5）状态转移分析
及时性(Timeliness)：及时性要求IDS必须尽快地分析数据并把 分析结果传播出去，以使系统安全管理者能够在入侵攻击尚未造成 更大危害以前做出反应，阻止入侵者进一步的破坏活动，和上面的 处理性能因素相比，及时性的要求更高。它不仅要求IDS的处理速 度要尽可能地快，而且要求传播、反应检测结果信息的时间尽可能 少。
第10章 入侵检测技术
第10章
入侵检测技术
10.1 入侵检测概述 10.2 入侵检测的技术实现 10.3 入侵检测技术的性能指标和评估标准
第10章 入侵检测技术
10.1 入侵检测概述
10.1.1 入侵检测系统的基本概念
Anderson将入侵尝试或威胁定义为：潜在的、有预谋 的、未经授权的访问信息、操作信息、致使系统不可靠 或无法使用的企图。而入侵检测的定义为：发现非授权 使用计算机的个体（如“黑客”）或计算机系统的合法 用户滥用其访问系统的权利以及企图实施上述行为的个 体。执行入侵检测任务的程序即是入侵检测系统。入侵 检测系统也可以定义为：检测企图破坏计算机资源的完 整性，真实性和可用性的行为的软件。
10.1.4 入侵检测系统的分类
入侵检测系统按其检测的数据来源，可分为基于主机 的入侵检测系统和基于网络的入侵检测系统。
目标系统 审计记录 审计记录收集方法
审计记录预处理
异常检测
误用检测
审计记录数据 安全管理员接口 归档/查询
审计记录 数据库
图10.2 基于主机的入侵检测系统的结构
第10章 入侵检测技术
第10章 入侵检测技术
10.3 入侵检测技术的性能指标和评估标准
10.3.1 影响入侵检测系统的性能指标
在分析IDS的性能时，主要考虑检测系统的有效性、效率和可用 性。有效性研究检测机制的检测精确度和系统检测结果的可信度， 它是开发设计和应用IDS的前提和目的，是测试评估IDS的主要指标， 效率则从检测机制的处理数据的速度以及经济性的角度来考虑，也 就是侧重检测机制性能价格比的改进。可用性主要包括系统的可扩 展性、用户界面的可用性，部署配置方便程度等方面。有效性是开 发设计和应用IDS的前提和目的，因此也是测试评估IDS的主要指标， 但效率和可用性对IDS的性能也起很重要的作用。效率和可用性渗 透于系统设计的各个方面之中。 1）检测率、虚警率及检测可信度 2） IDS本身的抗攻击能力 3）其他性能指
第10章 入侵Байду номын сангаас测技术 在此基础上，Debar等又增加了两个性能评价测度：
容错性(Fault Tolerance)：由于IDS是检测入侵的重要手段/所以 它也就成为很多入侵者攻击的首选目标。IDS自身必须能够抵御对 它自身的攻击，特别是拒绝服务(Denial-of-Service)攻击。由于大多 数的IDS是运行在极易遭受攻击的操作系统和硬件平台上，这就使 得系统的容错性变得特别重要，在测试评估IDS时必须考虑这一点。