5入侵检测的方法与应用
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
<2>. 数据预处理模块:从各种数据源采集上来的数据,需要经过预处 理才能够加以分析。预处理的过程首先是去除一些明显无用的信息,其 次是进行数据的分类,将同种类型的数据分在一起,然后,再将相关的 数据进行合并,合并的过程中也可以再去除一些冗余、无用的信息。最 后,预处理模块将这些数据进行格式转换,使得这些数据可以被分析模 块识别和处理。
常用的入侵检测方法:10个 1.模式匹配 模式匹配的方法用于误用检测。它建立一个攻击特征库,然后检查发过
来的数据是否包含这些攻击特征,如特定的命令等,然后判断它是不是 攻击。这是最传统、最简单的入侵检测方法。它的算法简单,准确率高, 缺点是只能检测已知攻击,模式库需要不断更新。另外对于高速大规模 网络,由于要处理分析大量的数据包,这种方法的速度成问题。 我们可以举一个很简单的例子来说明模式匹配的方法。比如,下面的语 句: Port 25:{“WIZ”|“DEBUG”} 就表示检查25号端口传送的数据中是否有“WIZ”或“DEBUG”关键字。
如何选择要监视的衡量特征,以及如何在所有可能的衡量特征中选择合 适的特征子集,才能够准确预测入侵活动,是统计方法的关键问题。
5.1 入侵检测的基本原理和主要方法(8)
常用的入侵检测方法:3. 专家系统
专家系统主要针对误用检测。用专家系统对入侵进行检测,经常是针对有特 征入侵行为。专家系统的建立依赖于知识库的完备性,知识库的完备性 又取决于审计记录的完备性与实时性。审计事件被表述成有语义的事实, 推理引擎根据这些规则和事实进行判定。入侵的特征提取与表达,是入 侵检测系统的关键。该方法用基于规则的语言为已知攻击建模,增加了 审计数据的抽象性。
处理结束
来自百度文库
否
有无 保留价值?
有
管理员 是
人工处理?
管理决策 报警
否 需要关联?
特征库
数据转换
否
通过其他途径获得 的数据
事件分析 事件
是 数据 合乎要求?
数据筛选 生数据
数据采集
各种数据源
响应器 是
是否响应?
是
数据融合
数据合并 数据分类
5.1 入侵检测的基本原理和主要方法(2)
<3>. 分析模块模块:分析模块是入侵检测系统的核心模块,它完成对事 件的分析和处理。分析模块可以采用现有的各种方法对事件进行分析, 在对事件进行分析后,确定该事件是否是攻击,如果是就产生报警,如 果不能够确定,也要给出一个怀疑值。分析模块根据分析的结果,决定 自己怀疑的数据是否要送给关联模块进行数据融合。
5.1 入侵检测的基本原理和主要方法(6)
常用的入侵检测方法:2.统计分析
统计分析用于异常检测。它通过设置极限阈值等方法,将检测数据与已 有的正常行为比较,如果超出极限值,就认为是入侵行为。常用的入侵 检测统计分析模型有: (1).操作模型: 该模型假设异常可通过测量结果与一些固定指标相比较 得到,固定指标可以根据经验值或一段时间内的统计平均得到,举例来 说,在短时间内的多次失败的登录很有可能是口令尝试攻击;
第五章 入侵检测方法与应用
对于入侵检测系统(IDS)来说,入侵的检测、分析模块是系统的 核心。
现在的入侵检测技术一般都是进行入侵特征的提取、合并和推理。 其中有一些是传统的方法,比如模式匹配、统计模型等,有一些是 从其他领域移植过来的方法,如模糊系统、神经网络、遗传算法、 免疫系统、数据挖掘、数据融合、协议分析等。
<4>. 关联模块:关联模块进行数据融合的主要目的就是综合不同分析模 块送报上来的已给出怀疑值的事件,判断是否存在分布式攻击。
<5>. 管理模块:管理模块接到报警等信息后,决定是否采取响应,采取 何种响应。
5.1 入侵检测的基本原理和主要方法(3)
入侵检测方法:IDS通常使用两种基本的分析方法来分析事件,检测入 侵行为,这两种分析方法即误用检测(misuse detection)和异常检测 (anomaly detection)。误用检测的目标是发现已知的入侵模式,它 是大部分商业IDS产品采用的分析方法。异常分析方法则试图检测出系 统行为的异常模式,在实际IDS中应用较少。
异常检测: 是对正常行为建模,所有不符合这个模型的事件就被怀疑为 攻击。异常检测首先收集一段时期正常操作活动的历史数据,再建立代 表用户、主机或网络连接的正常行为轮廓,然后收集事件数据并使用各 种方法来决定所检测到的事件活动是否偏离了正常行为模式。这些方法 主要有阈值检测、统计方法等。
5.1 入侵检测的基本原理和主要方法(5)
5.1 入侵检测的基本原理和主要方法
为了介绍入侵检测的基本原理,我们首先介绍入侵检测系统的数据流程。 入侵检测系统的数据流程图如下图所示。共分为以下五个模块:数据采 集模块;数据预处理模块;分析模块模块;关联模块;管理模块。
<1>. 数据采集模块:为了进行入侵检测,首先要获取数据。数据的来 源主要有:网络数据包、系统日志、操作系统审计迹、应用程序的日志 等。
5.1 入侵检测的基本原理和主要方法(7)
常用的入侵检测方法:2.统计分析
(5).时间序列分析: 将事件计数与资源耗用根据时间排成序列,如果一 个新事件在该时间发生的概率较低,则该事件可能是入侵。
统计分析的最大优点是它可以“学习”用户的使用习惯,从而具有较高 检出率与可用性。但是它的“学习”能力也给入侵者以机会通过逐步 “训练”使入侵事件符合正常操作的统计规律,从而透过入侵检测系统。
误用检测的目标是发现已知的入侵模式,它是大部分商业IDS产品采用 的分析方法。异常分析方法则试图检测出系统行为的异常模式,在实际 IDS中应用较少。两种分析方法各有自己的长处和缺点,最有效的IDS应 该是主体技术使用误用检测,结合使用异常检测技术。
5.1 入侵检测的基本原理和主要方法(4)
误用检测: 是对不正常的行为进行建模,这些行为就是以前记录下来的 确认了的误用或攻击。误用检测器分析系统的活动,发现那些与被预先 定义好了的攻击特征相匹配的事件或事件集。由于与攻击相对应的模式 叫特征,误用检测往往也被叫做基于特征的检测。
(2).方差: 计算参数的方差,设定其置信区间,当测量值超过置信区间 的范围时表明有可能是异常;
(3). 多元模型: 操作模型的扩展,通过同时分析多个参数实现检测;
(4).马尔柯夫过程模型: 将每种类型的事件定义为系统状态,用状态转 移矩阵来表示状态的变化,当一个事件发生时,如果状态矩阵该转移的 概率较小则可能是异常事件;
常用的入侵检测方法:10个 1.模式匹配 模式匹配的方法用于误用检测。它建立一个攻击特征库,然后检查发过
来的数据是否包含这些攻击特征,如特定的命令等,然后判断它是不是 攻击。这是最传统、最简单的入侵检测方法。它的算法简单,准确率高, 缺点是只能检测已知攻击,模式库需要不断更新。另外对于高速大规模 网络,由于要处理分析大量的数据包,这种方法的速度成问题。 我们可以举一个很简单的例子来说明模式匹配的方法。比如,下面的语 句: Port 25:{“WIZ”|“DEBUG”} 就表示检查25号端口传送的数据中是否有“WIZ”或“DEBUG”关键字。
如何选择要监视的衡量特征,以及如何在所有可能的衡量特征中选择合 适的特征子集,才能够准确预测入侵活动,是统计方法的关键问题。
5.1 入侵检测的基本原理和主要方法(8)
常用的入侵检测方法:3. 专家系统
专家系统主要针对误用检测。用专家系统对入侵进行检测,经常是针对有特 征入侵行为。专家系统的建立依赖于知识库的完备性,知识库的完备性 又取决于审计记录的完备性与实时性。审计事件被表述成有语义的事实, 推理引擎根据这些规则和事实进行判定。入侵的特征提取与表达,是入 侵检测系统的关键。该方法用基于规则的语言为已知攻击建模,增加了 审计数据的抽象性。
处理结束
来自百度文库
否
有无 保留价值?
有
管理员 是
人工处理?
管理决策 报警
否 需要关联?
特征库
数据转换
否
通过其他途径获得 的数据
事件分析 事件
是 数据 合乎要求?
数据筛选 生数据
数据采集
各种数据源
响应器 是
是否响应?
是
数据融合
数据合并 数据分类
5.1 入侵检测的基本原理和主要方法(2)
<3>. 分析模块模块:分析模块是入侵检测系统的核心模块,它完成对事 件的分析和处理。分析模块可以采用现有的各种方法对事件进行分析, 在对事件进行分析后,确定该事件是否是攻击,如果是就产生报警,如 果不能够确定,也要给出一个怀疑值。分析模块根据分析的结果,决定 自己怀疑的数据是否要送给关联模块进行数据融合。
5.1 入侵检测的基本原理和主要方法(6)
常用的入侵检测方法:2.统计分析
统计分析用于异常检测。它通过设置极限阈值等方法,将检测数据与已 有的正常行为比较,如果超出极限值,就认为是入侵行为。常用的入侵 检测统计分析模型有: (1).操作模型: 该模型假设异常可通过测量结果与一些固定指标相比较 得到,固定指标可以根据经验值或一段时间内的统计平均得到,举例来 说,在短时间内的多次失败的登录很有可能是口令尝试攻击;
第五章 入侵检测方法与应用
对于入侵检测系统(IDS)来说,入侵的检测、分析模块是系统的 核心。
现在的入侵检测技术一般都是进行入侵特征的提取、合并和推理。 其中有一些是传统的方法,比如模式匹配、统计模型等,有一些是 从其他领域移植过来的方法,如模糊系统、神经网络、遗传算法、 免疫系统、数据挖掘、数据融合、协议分析等。
<4>. 关联模块:关联模块进行数据融合的主要目的就是综合不同分析模 块送报上来的已给出怀疑值的事件,判断是否存在分布式攻击。
<5>. 管理模块:管理模块接到报警等信息后,决定是否采取响应,采取 何种响应。
5.1 入侵检测的基本原理和主要方法(3)
入侵检测方法:IDS通常使用两种基本的分析方法来分析事件,检测入 侵行为,这两种分析方法即误用检测(misuse detection)和异常检测 (anomaly detection)。误用检测的目标是发现已知的入侵模式,它 是大部分商业IDS产品采用的分析方法。异常分析方法则试图检测出系 统行为的异常模式,在实际IDS中应用较少。
异常检测: 是对正常行为建模,所有不符合这个模型的事件就被怀疑为 攻击。异常检测首先收集一段时期正常操作活动的历史数据,再建立代 表用户、主机或网络连接的正常行为轮廓,然后收集事件数据并使用各 种方法来决定所检测到的事件活动是否偏离了正常行为模式。这些方法 主要有阈值检测、统计方法等。
5.1 入侵检测的基本原理和主要方法(5)
5.1 入侵检测的基本原理和主要方法
为了介绍入侵检测的基本原理,我们首先介绍入侵检测系统的数据流程。 入侵检测系统的数据流程图如下图所示。共分为以下五个模块:数据采 集模块;数据预处理模块;分析模块模块;关联模块;管理模块。
<1>. 数据采集模块:为了进行入侵检测,首先要获取数据。数据的来 源主要有:网络数据包、系统日志、操作系统审计迹、应用程序的日志 等。
5.1 入侵检测的基本原理和主要方法(7)
常用的入侵检测方法:2.统计分析
(5).时间序列分析: 将事件计数与资源耗用根据时间排成序列,如果一 个新事件在该时间发生的概率较低,则该事件可能是入侵。
统计分析的最大优点是它可以“学习”用户的使用习惯,从而具有较高 检出率与可用性。但是它的“学习”能力也给入侵者以机会通过逐步 “训练”使入侵事件符合正常操作的统计规律,从而透过入侵检测系统。
误用检测的目标是发现已知的入侵模式,它是大部分商业IDS产品采用 的分析方法。异常分析方法则试图检测出系统行为的异常模式,在实际 IDS中应用较少。两种分析方法各有自己的长处和缺点,最有效的IDS应 该是主体技术使用误用检测,结合使用异常检测技术。
5.1 入侵检测的基本原理和主要方法(4)
误用检测: 是对不正常的行为进行建模,这些行为就是以前记录下来的 确认了的误用或攻击。误用检测器分析系统的活动,发现那些与被预先 定义好了的攻击特征相匹配的事件或事件集。由于与攻击相对应的模式 叫特征,误用检测往往也被叫做基于特征的检测。
(2).方差: 计算参数的方差,设定其置信区间,当测量值超过置信区间 的范围时表明有可能是异常;
(3). 多元模型: 操作模型的扩展,通过同时分析多个参数实现检测;
(4).马尔柯夫过程模型: 将每种类型的事件定义为系统状态,用状态转 移矩阵来表示状态的变化,当一个事件发生时,如果状态矩阵该转移的 概率较小则可能是异常事件;