基于主机的入侵检测方法.
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
难以分析被加密的分组
✓ 在隧道外检测
不能检测非可控网段的分组 难以检测高速网络的分组 难以检测假冒等入侵行为
2020/8/3
分布式入侵检测方法
基本结构源自文库
– 中央管理单元 – 每台主机上的主机管理单元 – 局域网管理单元 – 各单元之间的信息传递机制
ID manager
Packet flow
ID element
ID element
ID element
ID element
2020/8/3
Signatures 1 Signatures 2 Signatures 3 Signatures 4
入侵检测方法分类
分类二
被动的入侵检测系统
只是发出报警 不做出反应动作
主动的入侵检测系统
需要建立响应策略
2020/8/3
2020/8/3
统计分析检测方法 ——基于行为模式的检测
基于特征选择
从一组度量指标中挑选出能检测出入侵的度量子集来预测或分 类入侵行为
基于贝页斯推理
通过测定一组选定的描述系统或用户行为特征的值A1,A2, A3,…,An推理判断
基于机器学习
通过对入侵行为的学习来改进分析的准确性
2020/8/3
基于主机的入侵检测方法
特点 可监测系统或用户的行为 无法检测针对网络协议及实现软件的攻击
– 应用层检测
只能监视针对本机的入侵行为
– 必须在每台主机上运行
日志信息需要占用大量的存储空间 需要和操作系统紧密集成
2020/8/3
基于网络的入侵检测方法
网络监听
– 对分组的内容、流量进行分析
– 与攻击特征进行模式匹配
特征检测
– 单个分组数据的分析 – 分组重组分析
字符串特征
– 分组载荷内容分析
流量特征
– 统计分析
• 网络流量分布
协议特征
• 异常分组数量和频率分布
• 服务类型分布
– 相关性分析
• 分析多个网段的分组数据和网络流量
2020/8/3
基于网络的入侵检测方法
特点 在一个局域网中只需一台机器运行检测系统 可确定入侵的来源
基于主机的入侵检测方法
原理 以操作系统的事件跟踪记录作为输入
– 检测单个主机的审计记录和日志
检测系统、程序的行为
– CPU利用率 – I/O调用 – 系统调用 – 修改系统文件和目录 – 分组发送/接收速率
检测用户的行为特征
– 登录时间 – 次数 – 击键频率和错误率 – 命令序列
2020/8/3
通常指标
– 如某个用户使用的CPU和I/O的数量
2020/8/3
异常检测
问题
– 入侵行为可以由多个正常的动作构成 – 非入侵行为也可能是异常的
• 入侵的,异常的 • 入侵的,非异常的 • 非入侵的,异常的 • 非入侵的,非异常的
– 入侵者可以通过恶意训练的方法改变监测系统
• 使系统将异常行为看作正常行为
P(I
A1,
A2 ,,
An )
P( A1,
A2 ,,
An
I)
P(I ) P( A1, A2,,
An )
即Ai之间相互独立,则有: n P( A1, A2 ,, An | I ) P( Ai | I ) i 1
2020/8/3
机器学习
监督学习supervised learning
– 系统在人员监督下的学习
归纳学习inductive learning
– 从大量例子中找出共性
类比学习learning by analogy
– 从类似的知识中获得知识
人工神经网络artificial neural network
– 自适应的学习方法
知识发现
– 数据挖掘
基于规则的方法
误用检测
2020/8/3
基于规则的入侵检测方法
常见的规则
– 一个用户不应读取其他用户私有目录下的文件 – 一个用户不应改写其他用户的文件 – 用户登录几小时后通常使用以前使用的那些文件 – 应用程序通常不直接打开磁盘文件 – 在同一个系统里同一个用户只登录一次 – 用户不应复制系统程序和系统文件 – 日志文件不得删除
– 分组中的特征串
2020/8/3
异常检测
依据:入侵行为是异常行为 活动频繁程度
– 登录的频率 – 击键频率 – 分组发送频率
活动的分布情况
– 用户的登录情况 – 文件访问相对分布情况 – I/O活动 – 邮件发送情况 – 网络流量分布
分类指标
– 在每个物理位置上登录的相对频率 – 编译程序的使用 – shell和编辑器的使用
入侵检测方法分类
分类三
异常(Anomaly)检测
• 异常:与正常使用模式相偏离的操作现象 • 将所有与正常行为不匹配的行为都看作入侵行为 • 产生误报警(false positives)
误用(Misuse)检测
• 误用:对系统系统弱点的攻击 • 只有与入侵特征模型匹配的行为才算是入侵行为 • 容易产生漏报警(false negatives) • 基于入侵特征和知识库检索
统计分析检测方法
通过事件统计进行异常行为的检测
阈值检测
为用户的各种行为设置度量属性
对度量属性设置阈值
对不同的用户需要设置不同的阈值
用单一的度量值衡量
a1S12 + a2S22 +…+ anSn2
基于行为模式的检测
方差分析
为每个用户建立一个行为模式(轮廓) 建立多个度量指标 检测该用户行为模式的变化
2020/8/3
误用检测
收集各种入侵的方法 观察系统中的各种行为和现象
– 与入侵方法的特征进行比较(模式匹配) – 发现匹配的情况则认为是入侵 – 实现简单 – 扩展性好 – 效率高
主要用于检测已知的入侵手段
– 不能检测到未知的入侵手段
2020/8/3
入侵检测方法分类
分类四
统计分析方法
异常检测
2020/8/3
基于规则的入侵检测方法
检测方法
专家系统
将已有的入侵特征、已知的系统弱点、安全策略构成知识 转化成if-then结构的规则 采用逻辑推理方式
状态转换分析法
利用有限状态自动机模拟入侵 将入侵描述为从初始状态到入侵状态的一系列动作组成 与相应的防火墙技术类似
2020/8/3
特征选择
对用户和系统行为进行计数描述 不成功登录的次数 网络连接数 企图访问文件或目录次数 企图访问网络系统次数
2020/8/3
贝页斯推理(Bayesian Inference)
用户行为特征的值A1,A2,A3,…,An
Ai=1表示异常,0表示正常 I表示系统当前遭受的入侵攻击的假设
✓ 在隧道外检测
不能检测非可控网段的分组 难以检测高速网络的分组 难以检测假冒等入侵行为
2020/8/3
分布式入侵检测方法
基本结构源自文库
– 中央管理单元 – 每台主机上的主机管理单元 – 局域网管理单元 – 各单元之间的信息传递机制
ID manager
Packet flow
ID element
ID element
ID element
ID element
2020/8/3
Signatures 1 Signatures 2 Signatures 3 Signatures 4
入侵检测方法分类
分类二
被动的入侵检测系统
只是发出报警 不做出反应动作
主动的入侵检测系统
需要建立响应策略
2020/8/3
2020/8/3
统计分析检测方法 ——基于行为模式的检测
基于特征选择
从一组度量指标中挑选出能检测出入侵的度量子集来预测或分 类入侵行为
基于贝页斯推理
通过测定一组选定的描述系统或用户行为特征的值A1,A2, A3,…,An推理判断
基于机器学习
通过对入侵行为的学习来改进分析的准确性
2020/8/3
基于主机的入侵检测方法
特点 可监测系统或用户的行为 无法检测针对网络协议及实现软件的攻击
– 应用层检测
只能监视针对本机的入侵行为
– 必须在每台主机上运行
日志信息需要占用大量的存储空间 需要和操作系统紧密集成
2020/8/3
基于网络的入侵检测方法
网络监听
– 对分组的内容、流量进行分析
– 与攻击特征进行模式匹配
特征检测
– 单个分组数据的分析 – 分组重组分析
字符串特征
– 分组载荷内容分析
流量特征
– 统计分析
• 网络流量分布
协议特征
• 异常分组数量和频率分布
• 服务类型分布
– 相关性分析
• 分析多个网段的分组数据和网络流量
2020/8/3
基于网络的入侵检测方法
特点 在一个局域网中只需一台机器运行检测系统 可确定入侵的来源
基于主机的入侵检测方法
原理 以操作系统的事件跟踪记录作为输入
– 检测单个主机的审计记录和日志
检测系统、程序的行为
– CPU利用率 – I/O调用 – 系统调用 – 修改系统文件和目录 – 分组发送/接收速率
检测用户的行为特征
– 登录时间 – 次数 – 击键频率和错误率 – 命令序列
2020/8/3
通常指标
– 如某个用户使用的CPU和I/O的数量
2020/8/3
异常检测
问题
– 入侵行为可以由多个正常的动作构成 – 非入侵行为也可能是异常的
• 入侵的,异常的 • 入侵的,非异常的 • 非入侵的,异常的 • 非入侵的,非异常的
– 入侵者可以通过恶意训练的方法改变监测系统
• 使系统将异常行为看作正常行为
P(I
A1,
A2 ,,
An )
P( A1,
A2 ,,
An
I)
P(I ) P( A1, A2,,
An )
即Ai之间相互独立,则有: n P( A1, A2 ,, An | I ) P( Ai | I ) i 1
2020/8/3
机器学习
监督学习supervised learning
– 系统在人员监督下的学习
归纳学习inductive learning
– 从大量例子中找出共性
类比学习learning by analogy
– 从类似的知识中获得知识
人工神经网络artificial neural network
– 自适应的学习方法
知识发现
– 数据挖掘
基于规则的方法
误用检测
2020/8/3
基于规则的入侵检测方法
常见的规则
– 一个用户不应读取其他用户私有目录下的文件 – 一个用户不应改写其他用户的文件 – 用户登录几小时后通常使用以前使用的那些文件 – 应用程序通常不直接打开磁盘文件 – 在同一个系统里同一个用户只登录一次 – 用户不应复制系统程序和系统文件 – 日志文件不得删除
– 分组中的特征串
2020/8/3
异常检测
依据:入侵行为是异常行为 活动频繁程度
– 登录的频率 – 击键频率 – 分组发送频率
活动的分布情况
– 用户的登录情况 – 文件访问相对分布情况 – I/O活动 – 邮件发送情况 – 网络流量分布
分类指标
– 在每个物理位置上登录的相对频率 – 编译程序的使用 – shell和编辑器的使用
入侵检测方法分类
分类三
异常(Anomaly)检测
• 异常:与正常使用模式相偏离的操作现象 • 将所有与正常行为不匹配的行为都看作入侵行为 • 产生误报警(false positives)
误用(Misuse)检测
• 误用:对系统系统弱点的攻击 • 只有与入侵特征模型匹配的行为才算是入侵行为 • 容易产生漏报警(false negatives) • 基于入侵特征和知识库检索
统计分析检测方法
通过事件统计进行异常行为的检测
阈值检测
为用户的各种行为设置度量属性
对度量属性设置阈值
对不同的用户需要设置不同的阈值
用单一的度量值衡量
a1S12 + a2S22 +…+ anSn2
基于行为模式的检测
方差分析
为每个用户建立一个行为模式(轮廓) 建立多个度量指标 检测该用户行为模式的变化
2020/8/3
误用检测
收集各种入侵的方法 观察系统中的各种行为和现象
– 与入侵方法的特征进行比较(模式匹配) – 发现匹配的情况则认为是入侵 – 实现简单 – 扩展性好 – 效率高
主要用于检测已知的入侵手段
– 不能检测到未知的入侵手段
2020/8/3
入侵检测方法分类
分类四
统计分析方法
异常检测
2020/8/3
基于规则的入侵检测方法
检测方法
专家系统
将已有的入侵特征、已知的系统弱点、安全策略构成知识 转化成if-then结构的规则 采用逻辑推理方式
状态转换分析法
利用有限状态自动机模拟入侵 将入侵描述为从初始状态到入侵状态的一系列动作组成 与相应的防火墙技术类似
2020/8/3
特征选择
对用户和系统行为进行计数描述 不成功登录的次数 网络连接数 企图访问文件或目录次数 企图访问网络系统次数
2020/8/3
贝页斯推理(Bayesian Inference)
用户行为特征的值A1,A2,A3,…,An
Ai=1表示异常,0表示正常 I表示系统当前遭受的入侵攻击的假设