網(wǎng)絡(luò)安全技術(shù)培訓(xùn)

1、李轉(zhuǎn)琴 入侵檢測技術(shù)入侵檢測技術(shù)入侵檢測技術(shù)入侵檢測技術(shù)課程課程 為什么需要為什么需要IDS(intrusion Detection System)IDS(intrusion Detection System) IDSIDS的開展歷程的開展歷程 IDSIDS的作用及相關(guān)術(shù)語的作用及相關(guān)術(shù)語 IDSIDS的實(shí)現(xiàn)方式的實(shí)現(xiàn)方式 IDSIDS的實(shí)現(xiàn)技術(shù)的實(shí)現(xiàn)技術(shù) IDSIDS的部署的部署 IDSIDS的性能指標(biāo)的性能指標(biāo) IDSIDS事件分析事件分析 IDSIDS的開展的開展入侵檢測系統(tǒng)入侵檢測系統(tǒng)什么是入侵檢測什么是入侵檢測 入侵入侵 對信息系統(tǒng)的非授權(quán)訪問及或未對信息系統(tǒng)的非授權(quán)訪問及或未經(jīng)許可

2、在信息系統(tǒng)中進(jìn)行操作經(jīng)許可在信息系統(tǒng)中進(jìn)行操作 入侵檢測入侵檢測 對企圖入侵、正在進(jìn)行的入侵或已經(jīng)對企圖入侵、正在進(jìn)行的入侵或已經(jīng)發(fā)生的入侵進(jìn)行識別的過程發(fā)生的入侵進(jìn)行識別的過程防火墻的局限防火墻的局限%c1%1c%c1%1cDir c:防火墻的局限防火墻的局限v防火墻不能防止通向站點(diǎn)的后門。v防火墻一般不提供對內(nèi)部的保護(hù)。v防火墻無法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊。v防火墻不能防止用戶由Internet上下載被病毒感染的計(jì)算機(jī)程序或者將該類程序附在電子郵件上傳輸。確保網(wǎng)絡(luò)的平安確保網(wǎng)絡(luò)的平安, ,就要對網(wǎng)絡(luò)內(nèi)部進(jìn)行實(shí)時(shí)的就要對網(wǎng)絡(luò)內(nèi)部進(jìn)行實(shí)時(shí)的檢測檢測 , , 這就需要這就需要IDSIDS無時(shí)不在的防

3、護(hù)！無時(shí)不在的防護(hù)！為什么需要為什么需要IDS IDS IDSIDS的作用及相關(guān)術(shù)語的作用及相關(guān)術(shù)語IDSIDS開展歷程開展歷程IDSIDS的實(shí)現(xiàn)方式的實(shí)現(xiàn)方式 IDSIDS的實(shí)現(xiàn)技術(shù)的實(shí)現(xiàn)技術(shù)IDSIDS的部署的部署IDSIDS的性能指標(biāo)的性能指標(biāo)IDSIDS事件分析事件分析IDSIDS的開展的開展入侵檢測系統(tǒng)入侵檢測系統(tǒng)監(jiān)控室監(jiān)控室=控制中心控制中心后門后門保安保安=防火墻防火墻攝像機(jī)攝像機(jī)=探測引擎探測引擎形象地說，它就是網(wǎng)絡(luò)攝象機(jī)，能夠捕獲并記錄網(wǎng)絡(luò)上的所有數(shù)據(jù)，同時(shí)它也是智能攝象機(jī)，能夠分析網(wǎng)絡(luò)數(shù)據(jù)并提煉出可疑的、異常的網(wǎng)絡(luò)數(shù)據(jù)，它還是X光攝象機(jī)，能夠穿透一些巧妙的偽裝，抓住實(shí)際的內(nèi)

4、容。它還不僅僅只是攝象機(jī)，還包括保安員的攝象機(jī)，能夠?qū)θ肭中袨樽詣?dòng)地進(jìn)行還擊：阻斷連接、關(guān)閉道路與防火墻聯(lián)動(dòng)。入侵檢測系統(tǒng)的作用入侵檢測系統(tǒng)的作用入侵檢測系統(tǒng)作用入侵檢測系統(tǒng)作用從不知到有知從被動(dòng)到主動(dòng)從事后到事前從預(yù)警到保障全面監(jiān)測、及時(shí)響應(yīng)全面監(jiān)測、及時(shí)響應(yīng)加強(qiáng)管理、提高威懾加強(qiáng)管理、提高威懾總結(jié)教訓(xùn)、優(yōu)化策略總結(jié)教訓(xùn)、優(yōu)化策略預(yù)警機(jī)制、保障意識預(yù)警機(jī)制、保障意識入侵檢測系統(tǒng)作用入侵檢測系統(tǒng)作用 監(jiān)控網(wǎng)絡(luò)和系統(tǒng)監(jiān)控網(wǎng)絡(luò)和系統(tǒng) 發(fā)現(xiàn)入侵企圖或異?，F(xiàn)象發(fā)現(xiàn)入侵企圖或異?，F(xiàn)象 實(shí)時(shí)報(bào)警實(shí)時(shí)報(bào)警 主動(dòng)響應(yīng)主動(dòng)響應(yīng) 審計(jì)跟蹤審計(jì)跟蹤 false positives虛警虛警 檢測系統(tǒng)在檢測時(shí)把系統(tǒng)的正

5、常行為判為檢測系統(tǒng)在檢測時(shí)把系統(tǒng)的正常行為判為入侵行為的錯(cuò)誤被稱為虛警。入侵行為的錯(cuò)誤被稱為虛警。 檢測系統(tǒng)在檢測過程中出現(xiàn)虛警的概率稱檢測系統(tǒng)在檢測過程中出現(xiàn)虛警的概率稱為系統(tǒng)的虛警率為系統(tǒng)的虛警率 false negatives漏警漏警 檢測系統(tǒng)在檢測時(shí)把某些入侵行為判為正檢測系統(tǒng)在檢測時(shí)把某些入侵行為判為正常行為的錯(cuò)誤現(xiàn)象稱為漏警。常行為的錯(cuò)誤現(xiàn)象稱為漏警。 檢測系統(tǒng)在檢測過程中出現(xiàn)漏警的概率稱檢測系統(tǒng)在檢測過程中出現(xiàn)漏警的概率稱為系統(tǒng)的漏警率為系統(tǒng)的漏警率入侵檢測相關(guān)術(shù)語入侵檢測相關(guān)術(shù)語入侵檢測相關(guān)術(shù)語入侵檢測相關(guān)術(shù)語 Pattern Matching Signature 模式匹配模式

6、匹配 Common Intrusion Detection Frame組件組件 事件產(chǎn)生器事件產(chǎn)生器Event generators 事件分析器事件分析器Event analyzers 響應(yīng)單元響應(yīng)單元Response units 事件數(shù)據(jù)庫事件數(shù)據(jù)庫Event databases Honeypot(蜜罐蜜罐) 蜜罐是可以模擬脆弱性主機(jī)蜜罐是可以模擬脆弱性主機(jī) 誘惑攻擊者在其上浪費(fèi)時(shí)間，延緩對真正目誘惑攻擊者在其上浪費(fèi)時(shí)間，延緩對真正目標(biāo)的攻擊標(biāo)的攻擊 為什么需要為什么需要IDS IDS IDSIDS的作用及相關(guān)術(shù)語的作用及相關(guān)術(shù)語 IDSIDS開展歷程開展歷程 IDSIDS的實(shí)現(xiàn)方式的實(shí)現(xiàn)方

7、式 IDSIDS的實(shí)現(xiàn)技術(shù)的實(shí)現(xiàn)技術(shù) IDSIDS的部署的部署 IDSIDS的性能指標(biāo)的性能指標(biāo) IDSIDS的開展的開展入侵檢測系統(tǒng)入侵檢測系統(tǒng)IDSIDS開展歷程開展歷程1980年年4月，月，James P. Anderson為美國空軍做了一份題為美國空軍做了一份題為為?Computer Security Threat Monitoring and Surveillance?計(jì)算機(jī)平安威脅監(jiān)控與監(jiān)視的技術(shù)報(bào)告，第一次詳細(xì)闡述了計(jì)算機(jī)平安威脅監(jiān)控與監(jiān)視的技術(shù)報(bào)告，第一次詳細(xì)闡述了入侵檢測的概念。入侵檢測的概念。從從1984年到年到1986年，喬治敦大學(xué)的年，喬治敦大學(xué)的Dorothy Den

8、ning和和SRI/CSLSRI公司計(jì)算機(jī)科學(xué)實(shí)驗(yàn)室的公司計(jì)算機(jī)科學(xué)實(shí)驗(yàn)室的Peter Neumann研究研究出了一個(gè)實(shí)時(shí)入侵檢測系統(tǒng)模型，取名為出了一個(gè)實(shí)時(shí)入侵檢測系統(tǒng)模型，取名為IDES入侵檢測專家系入侵檢測專家系統(tǒng)。統(tǒng)。1988年，年，SRI/CSL的的Teresa Lunt等人改進(jìn)了等人改進(jìn)了Denning的入侵檢的入侵檢測模型，并開發(fā)出了一個(gè)測模型，并開發(fā)出了一個(gè)IDES1990年是入侵檢測系統(tǒng)開展史上的一個(gè)分水嶺。這一年，加州大年是入侵檢測系統(tǒng)開展史上的一個(gè)分水嶺。這一年，加州大學(xué)戴維斯分校的學(xué)戴維斯分校的L. T. Heberlein等人開發(fā)出了等人開發(fā)出了NSMNetwork

9、Security Monitor。 為什么需要為什么需要IDS (intrusion Detection System)IDS (intrusion Detection System) IDSIDS的作用及相關(guān)術(shù)語的作用及相關(guān)術(shù)語 IDSIDS的實(shí)現(xiàn)方式的實(shí)現(xiàn)方式 IDSIDS的實(shí)現(xiàn)技術(shù)的實(shí)現(xiàn)技術(shù) IDSIDS的部署的部署 IDSIDS的性能指標(biāo)的性能指標(biāo) IDSIDS事件分析事件分析 IDSIDS的開展的開展入侵檢測系統(tǒng)入侵檢測系統(tǒng)主機(jī)主機(jī)IDSIDS運(yùn)行于被檢測的主機(jī)之上，通過查運(yùn)行于被檢測的主機(jī)之上，通過查詢、監(jiān)聽當(dāng)前系統(tǒng)的各種資源的使用運(yùn)行詢、監(jiān)聽當(dāng)前系統(tǒng)的各種資源的使用運(yùn)行狀態(tài)，發(fā)現(xiàn)

10、系統(tǒng)資源被非法使用和修改的狀態(tài)，發(fā)現(xiàn)系統(tǒng)資源被非法使用和修改的事件，進(jìn)行上報(bào)和處理。其監(jiān)測的資源主事件，進(jìn)行上報(bào)和處理。其監(jiān)測的資源主要包括：網(wǎng)絡(luò)、文件、進(jìn)程、系統(tǒng)日志等要包括：網(wǎng)絡(luò)、文件、進(jìn)程、系統(tǒng)日志等 主機(jī)主機(jī)IDSIDS網(wǎng)絡(luò)網(wǎng)絡(luò)IDSIDS網(wǎng)絡(luò)網(wǎng)絡(luò)IDSIDS通過抓取網(wǎng)絡(luò)上的所有報(bào)文，分析處理通過抓取網(wǎng)絡(luò)上的所有報(bào)文，分析處理后，報(bào)告異常和重要的數(shù)據(jù)模式和行為模式，后，報(bào)告異常和重要的數(shù)據(jù)模式和行為模式，使網(wǎng)絡(luò)平安管理員清楚地了解網(wǎng)絡(luò)上發(fā)生的事使網(wǎng)絡(luò)平安管理員清楚地了解網(wǎng)絡(luò)上發(fā)生的事件，并能夠采取行動(dòng)阻止可能的破壞。件，并能夠采取行動(dòng)阻止可能的破壞。網(wǎng)絡(luò)網(wǎng)絡(luò)IDSIDS與主機(jī)與主機(jī)ID

11、SIDS區(qū)別區(qū)別 本錢較低本錢較低 檢測基于主機(jī)的系統(tǒng)漏掉的攻擊檢測基于主機(jī)的系統(tǒng)漏掉的攻擊 攻擊者不易轉(zhuǎn)移證據(jù)攻擊者不易轉(zhuǎn)移證據(jù) 操作系統(tǒng)無關(guān)性操作系統(tǒng)無關(guān)性 檢測未成功的攻擊和不良意圖檢測未成功的攻擊和不良意圖 安裝在被保護(hù)的網(wǎng)段中混雜模式監(jiān)聽安裝在被保護(hù)的網(wǎng)段中混雜模式監(jiān)聽 操作系統(tǒng)無關(guān)性操作系統(tǒng)無關(guān)性 不會(huì)增加網(wǎng)絡(luò)中主機(jī)的負(fù)載不會(huì)增加網(wǎng)絡(luò)中主機(jī)的負(fù)載網(wǎng)絡(luò)網(wǎng)絡(luò)IDS網(wǎng)絡(luò)網(wǎng)絡(luò)IDSIDS與主機(jī)與主機(jī)IDSIDS區(qū)別區(qū)別 安裝于被保護(hù)的主機(jī)中安裝于被保護(hù)的主機(jī)中 主要分析主機(jī)內(nèi)部活動(dòng)主要分析主機(jī)內(nèi)部活動(dòng) 系統(tǒng)日志系統(tǒng)日志 系統(tǒng)調(diào)用系統(tǒng)調(diào)用 文件完整性檢查文件完整性檢查 占用一定的系統(tǒng)資源占用

12、一定的系統(tǒng)資源 不要求額外的硬件設(shè)備不要求額外的硬件設(shè)備 確定攻擊是否成功確定攻擊是否成功 適用被加密的和交換的環(huán)境適用被加密的和交換的環(huán)境主機(jī)主機(jī)IDSIDSIDS的根本結(jié)構(gòu)實(shí)現(xiàn)的根本結(jié)構(gòu)實(shí)現(xiàn)主機(jī)引擎功能原理主機(jī)引擎功能原理網(wǎng)絡(luò)檢測防護(hù)模塊文件檢測防護(hù)模塊注冊表檢測防護(hù)模塊 IIS檢測防護(hù)模塊安全日志檢測模塊應(yīng)用日志檢測模塊檢測策略事件定義告警日志日志文件日志庫數(shù)據(jù)庫告告警警界界面面配配置置界界面面郵件告警手機(jī)告警報(bào)告主機(jī)引擎主機(jī)引擎控制中心控制中心控制命令控制命令交互反饋交互反饋網(wǎng)絡(luò)引擎原理網(wǎng)絡(luò)引擎原理抓包口分析處理事件處理事件響應(yīng)定時(shí)上報(bào)實(shí)時(shí)上報(bào)狀態(tài)監(jiān)控通訊口控制中心引擎操作系統(tǒng)聯(lián)動(dòng)口策

13、略串口引擎配置接收策略下發(fā)控制中心功能控制中心功能通訊口父控中心子控中心數(shù)據(jù)庫界面顯示日志告警通告自身管理引擎管理日志分析管理員報(bào)表原始報(bào)文基于通用操作系統(tǒng)流量子控管理策略管理用戶管理流量告警事件告警流量值 為什么需要為什么需要IDS (intrusion Detection System)IDS (intrusion Detection System) IDSIDS的作用及相關(guān)術(shù)語的作用及相關(guān)術(shù)語 IDSIDS的實(shí)現(xiàn)方式的實(shí)現(xiàn)方式 IDSIDS的實(shí)現(xiàn)技術(shù)的實(shí)現(xiàn)技術(shù) IDSIDS的部署的部署 IDSIDS的性能指標(biāo)的性能指標(biāo) IDSIDS事件分析事件分析 IDSIDS的開展的開展入侵檢測系統(tǒng)入

14、侵檢測系統(tǒng)IDSIDS實(shí)現(xiàn)技術(shù)實(shí)現(xiàn)技術(shù)l濫用檢測技術(shù)基于知識的檢測 l異常檢測技術(shù)基于行為的檢測 基于知識的檢測基于知識的檢測1 1 基于知識的檢測指運(yùn)用攻擊方法，根據(jù)已定義好的入侵模式，通過判斷這些入侵模式是否出現(xiàn)來檢測。因?yàn)楹艽笠痪植康娜肭质抢昧讼到y(tǒng)的脆弱性，通過分析入侵過程的特征、條件、排列以及事件間關(guān)系能具體描述入侵行為的跡象?；谥R的檢測也被稱為違規(guī)檢測(Misuse Detection)。這種方法由于依據(jù)具體特征庫進(jìn)行判斷，所以檢測準(zhǔn)確度很高，并且因?yàn)闄z測結(jié)果有明確的參照，也為系統(tǒng)管理員做出相應(yīng)措施提供了方便。 基于知識的入侵檢測基于知識的入侵檢測2 2 主要實(shí)現(xiàn)技術(shù)：基于知識

15、的入侵檢測系統(tǒng)主要實(shí)現(xiàn)技術(shù)：基于知識的入侵檢測系統(tǒng)只是在表示入侵模式知識的方式以及只是在表示入侵模式知識的方式以及在系統(tǒng)的審計(jì)跡中檢查入侵模式的機(jī)制上在系統(tǒng)的審計(jì)跡中檢查入侵模式的機(jī)制上有所區(qū)別。有所區(qū)別。 專家系統(tǒng)早期系統(tǒng)專家系統(tǒng)早期系統(tǒng)IDESIDES、NIDESNIDES、W&SW&S等。等。 入侵簽名分析，由于這種技術(shù)在實(shí)現(xiàn)上簡入侵簽名分析，由于這種技術(shù)在實(shí)現(xiàn)上簡單有效，現(xiàn)有的商用入侵檢測系統(tǒng)產(chǎn)品中單有效，現(xiàn)有的商用入侵檢測系統(tǒng)產(chǎn)品中多采用這種技術(shù)。多采用這種技術(shù)。 狀態(tài)遷移分析狀態(tài)遷移分析USTATUSTAT 模式匹配，模式匹配，Sandeep KumarSandee

16、p Kumar設(shè)計(jì)的模式匹設(shè)計(jì)的模式匹配檢測模型中，使用配檢測模型中，使用CPNCPNColored Petri Colored Petri NetworkNetwork來描述入侵者的攻擊模式。來描述入侵者的攻擊模式。 將有關(guān)入侵的知識轉(zhuǎn)化成if-then結(jié)構(gòu)的規(guī)那么，即將構(gòu)成入侵所要求的條件轉(zhuǎn)化為if 局部，將發(fā)現(xiàn)入侵后采取的相應(yīng)措施轉(zhuǎn)化成then局部。當(dāng)其中某個(gè)或某局部條件滿足時(shí)，系統(tǒng)就判斷為入侵行為發(fā)生。其中的if-then結(jié)構(gòu)構(gòu)成了描述具體攻擊的規(guī)那么庫，狀態(tài)行為及其語義環(huán)境可根據(jù)審計(jì)事件得到，推理機(jī)根據(jù)規(guī)那么和行為完成判斷工作。 基于知識的檢測基于知識的檢測-模型匹配模型匹配 模型推

17、理是指結(jié)合攻擊腳本推理出入侵行為是否出現(xiàn)。其中有關(guān)攻擊者行為的知識被描述為：攻擊者目的，攻擊者到達(dá)此目的的可能行為步驟，以及對系統(tǒng)的特殊使用等。根據(jù)這些知識建立攻擊腳本庫，每一腳本都由一系列攻擊行為組成。 模式匹配模式匹配 狀態(tài)轉(zhuǎn)換法將入侵過程看作一個(gè)行為序列，這個(gè)行為序列導(dǎo)致系統(tǒng)從初始狀態(tài)轉(zhuǎn)入被入侵狀態(tài)。分析時(shí)首先針對每一種入侵方法確定系統(tǒng)的初始狀態(tài)和被入侵狀態(tài)，以及導(dǎo)致狀態(tài)轉(zhuǎn)換的轉(zhuǎn)換條件，即導(dǎo)致系統(tǒng)進(jìn)入被入侵狀態(tài)必須執(zhí)行的操作(特征事件)。然后用狀態(tài)轉(zhuǎn)換圖來表示每一個(gè)狀態(tài)和特征事件，這些事件被集成于模型中，所以檢測時(shí)不需要一個(gè)個(gè)地查找審計(jì)記錄。但是，狀態(tài)轉(zhuǎn)換是針對事件序列分析，所以不善于分

18、析過分復(fù)雜的事件，而且不能檢測與系統(tǒng)狀態(tài)無關(guān)的入侵。 PetriPetri網(wǎng)分析一分鐘內(nèi)網(wǎng)分析一分鐘內(nèi)4 4次登錄失敗次登錄失敗 協(xié)議分析的優(yōu)點(diǎn)協(xié)議分析的優(yōu)點(diǎn) 提高了性能：協(xié)議分析利用結(jié)構(gòu)的通信協(xié)議，與模式匹配系統(tǒng)中傳統(tǒng)的窮舉分析方法相比，在處理數(shù)據(jù)幀和連接時(shí)更迅速、有效。 提高了準(zhǔn)確性：與非智能化的模式匹配相比，協(xié)議分析減少了虛警和誤判的可能性，命令解析語法分析和協(xié)議解碼技術(shù)的結(jié)合，在命令字符串到達(dá)操作系統(tǒng)或應(yīng)用程序之前，模擬它的執(zhí)行，以確定它是否具有惡意。 基于狀態(tài)的分析：當(dāng)協(xié)議分析入侵檢測系統(tǒng)引擎評估某個(gè)包時(shí)，它考慮了在這之前相關(guān)的數(shù)據(jù)包內(nèi)容，以及接下來可能出現(xiàn)的數(shù)據(jù)包。與此相反，模式匹

19、配入侵檢測系統(tǒng)孤立地考察每個(gè)數(shù)據(jù)包。 反躲避能力：因?yàn)閰f(xié)議分析入侵檢測系統(tǒng)具有判別通信行為真實(shí)意圖的能力，它較少地受到黑客所用的像URL編碼、干擾信息、TCP/IP分片等入侵檢測系統(tǒng)躲避技術(shù)的影響。 系統(tǒng)資源開銷?。簠f(xié)議分析入侵檢測系統(tǒng)的高效性降低了在網(wǎng)絡(luò)和主機(jī)探測中的資源開銷，而模式匹配技術(shù)卻是個(gè)可怕的系統(tǒng)資源消費(fèi)者。協(xié)議分析協(xié)議分析基于知識的入侵檢測基于知識的入侵檢測3 3優(yōu)點(diǎn)可檢測出所有對系統(tǒng)來說是的入侵行為系統(tǒng)平安管理員能夠很容易地知道系統(tǒng)遭受到的是那種入侵攻擊并采取相應(yīng)的行動(dòng)局限：它只是根據(jù)的入侵序列和系統(tǒng)缺陷的模式來檢測系統(tǒng)中的可疑行為，而不能處理對新的入侵攻擊行為以及未知的、潛在

20、的系統(tǒng)缺陷的檢測。系統(tǒng)運(yùn)行的環(huán)境與知識庫中關(guān)于攻擊的知識有關(guān)。對于系統(tǒng)內(nèi)部攻擊者的越權(quán)行為，由于他們沒有利用系統(tǒng)的缺陷，因而很難檢測出來。IDSIDS分析方式分析方式l濫用檢測技術(shù)基于知識的檢測 l異常檢測技術(shù)基于行為的檢測 基于行為的檢測基于行為的檢測1 1 基于行為的檢測指根據(jù)使用者的行為或資源使用狀況來判斷是否入侵，而不依賴于具體行為是否出現(xiàn)來檢測，所以也被稱為異常檢測(Anomaly Detection)。 與系統(tǒng)相對無關(guān)，通用性強(qiáng)能檢測出新的攻擊方法誤檢率較高 Denning早在1986年就提出了一個(gè)基于行為的入侵檢測系統(tǒng)模型Denning87?；谛袨榈娜肭謾z測基于行為的入侵檢測2

21、 2 實(shí)現(xiàn)技術(shù) 統(tǒng)計(jì)，典型系統(tǒng)如：SRI的NIDES。 利用統(tǒng)計(jì)理論提取用戶或系統(tǒng)正常行為的特征輪廓。統(tǒng)計(jì)性特征輪廓通常由主體特征變量的頻度、均值、方差、被監(jiān)控行為的屬性變量的統(tǒng)計(jì)概率分布以及偏差等統(tǒng)計(jì)量來描述。 神經(jīng)網(wǎng)絡(luò) 只要提供系統(tǒng)的審計(jì)跡數(shù)據(jù)，神經(jīng)網(wǎng)絡(luò)就可以通過自學(xué)習(xí)從中提取正常的用戶或系統(tǒng)活動(dòng)的特征模式；而不需要獲取描述用戶行為特征的特征集以及用戶行為特征測度的統(tǒng)計(jì)分布?；谛袨榈臋z測基于行為的檢測-概率統(tǒng)計(jì)方法概率統(tǒng)計(jì)方法操作密度審計(jì)記錄分布范疇尺度數(shù)值尺度記錄的具體操作包括：CPU 的使用，I/O 的使用，使用地點(diǎn)及時(shí)間，郵件使用，編輯器使用，編譯器使用，所創(chuàng)立、刪除、訪問或改變的

22、目錄及文件，網(wǎng)絡(luò)上活動(dòng)等。 根本思想是用一系列信息單元(命令)訓(xùn)練神經(jīng)單元，這樣在給定一組輸入后，就可能預(yù)測出輸出。當(dāng)前命令和剛過去的w個(gè)命令組成了網(wǎng)絡(luò)的輸入，其中w是神經(jīng)網(wǎng)絡(luò)預(yù)測下一個(gè)命令時(shí)所包含的過去命令集的大小。根據(jù)用戶的代表性命令序列訓(xùn)練網(wǎng)絡(luò)后，該網(wǎng)絡(luò)就形成了相應(yīng)用戶的特征表，于是網(wǎng)絡(luò)對下一事件的預(yù)測錯(cuò)誤率在一定程度上反映了用戶行為的異常程度。目前還不很成熟。 基于行為的入侵檢測基于行為的入侵檢測3 3優(yōu)點(diǎn)優(yōu)點(diǎn)不需要操作系統(tǒng)及其平安性缺陷專門知識不需要操作系統(tǒng)及其平安性缺陷專門知識能有效檢測出冒充合法用戶的入侵能有效檢測出冒充合法用戶的入侵 缺點(diǎn)缺點(diǎn)為用戶建立正常行為模式的特征輪廓和對

23、用戶活動(dòng)的為用戶建立正常行為模式的特征輪廓和對用戶活動(dòng)的異常性報(bào)警的門限值確實(shí)定都比較困難異常性報(bào)警的門限值確實(shí)定都比較困難不是所有入侵者的行為都能夠產(chǎn)生明顯的異常性不是所有入侵者的行為都能夠產(chǎn)生明顯的異常性有經(jīng)驗(yàn)的入侵者還可以通過緩慢地改變他的行為，來有經(jīng)驗(yàn)的入侵者還可以通過緩慢地改變他的行為，來改變?nèi)肭謾z測系統(tǒng)中的用戶正常行為模式，使其入改變?nèi)肭謾z測系統(tǒng)中的用戶正常行為模式，使其入侵行為逐步變?yōu)楹戏?。侵行為逐步變?yōu)楹戏?。檢測實(shí)例檢測實(shí)例老版本的Sendmail有一個(gè)漏洞，telnet到25端口，輸入wiz，然后接著輸入shell，就能獲得一個(gè)rootshell，還有輸入debug命令，也能

24、獲得root權(quán)限，進(jìn)而控制系統(tǒng)。 $ telnet mail.victim 25WIZshell或者DEBUG# 直接獲得rootshell！簡單的匹配 檢查每個(gè)packet是否包含：“WIZ| “DEBUG檢查端口號 縮小匹配范圍 Port 25:“WIZ| “DEBUG 深入決策樹深入決策樹 只判斷客戶端發(fā)送局部 Port 25:Client-sends: “WIZ |Client-sends: “DEBUG 更加深入 狀態(tài)檢測 + 引向異常的分支 Port 25:stateful client-sends: “WIZ |stateful client-sends: “DEBUGafter

25、 stateful “DATA client-sends line 1024 bytes means possible buffer overflow 為什么需要為什么需要IDS (intrusion Detection System)IDS (intrusion Detection System) IDSIDS的作用及相關(guān)術(shù)語的作用及相關(guān)術(shù)語 IDSIDS的實(shí)現(xiàn)方式的實(shí)現(xiàn)方式 IDSIDS的實(shí)現(xiàn)技術(shù)的實(shí)現(xiàn)技術(shù) IDSIDS的部署的部署 IDSIDS的性能指標(biāo)的性能指標(biāo) IDSIDS的事件分析的事件分析 IDSIDS的開展的開展入侵檢測系統(tǒng)入侵檢測系統(tǒng)共享環(huán)境共享環(huán)境HUBIDS 探測器被監(jiān)測

26、機(jī)器控制臺交換機(jī)IDS 探測器被監(jiān)測機(jī)器控制臺通過端口鏡像實(shí)現(xiàn)通過端口鏡像實(shí)現(xiàn)交換環(huán)境交換環(huán)境 為什么需要為什么需要IDS (intrusion Detection System)IDS (intrusion Detection System) IDSIDS的作用及相關(guān)術(shù)語的作用及相關(guān)術(shù)語 IDSIDS的實(shí)現(xiàn)方式的實(shí)現(xiàn)方式 IDSIDS的實(shí)現(xiàn)技術(shù)的實(shí)現(xiàn)技術(shù) IDSIDS的部署的部署 IDSIDS的性能指標(biāo)的性能指標(biāo) IDSIDS事件分析事件分析 IDSIDS的開展的開展入侵檢測系統(tǒng)入侵檢測系統(tǒng)IDSIDS性能指標(biāo)性能指標(biāo)系統(tǒng)結(jié)構(gòu)系統(tǒng)結(jié)構(gòu)管理模式管理模式通訊平安通訊平安處理帶寬處理帶寬 檢測能力

27、檢測能力事件響應(yīng)事件響應(yīng) 自身平安自身平安策略靈活性策略靈活性自定義事件自定義事件事件庫更新事件庫更新 易用性易用性綜合分析綜合分析 事件數(shù)量事件數(shù)量 結(jié)構(gòu)：結(jié)構(gòu)：探測引擎探測引擎:控制臺：控制臺：IDSIDS性能指標(biāo)性能指標(biāo)結(jié)構(gòu)結(jié)構(gòu)主要網(wǎng)絡(luò)主要網(wǎng)絡(luò)入侵檢測系統(tǒng)入侵檢測系統(tǒng)路由器路由器主控中主控中心心效勞器效勞器各地網(wǎng)絡(luò)各地網(wǎng)絡(luò)傳輸網(wǎng)絡(luò)傳輸網(wǎng)絡(luò)更新更新Policy各地網(wǎng)絡(luò)各地網(wǎng)絡(luò)子控中子控中心心子控中子控中心心MessageMessageMessagePolicyPolicyPolicy管理體系管理體系IDSIDS性能指標(biāo)性能指標(biāo)結(jié)構(gòu)結(jié)構(gòu)攻擊攻擊管理體系管理體系IDSIDS性能指標(biāo)性能指標(biāo)結(jié)構(gòu)

28、結(jié)構(gòu)控制中心探測引擎控制中心請求應(yīng)答請求？傳輸數(shù)據(jù)是明文還是密文？通訊平安通訊平安IDSIDS性能指標(biāo)性能指標(biāo)探測引擎探測引擎 抓包能力抓包能力 分析能力分析能力 分析算法分析算法處理帶寬處理帶寬IDSIDS性能指標(biāo)性能指標(biāo)探測引擎探測引擎 檢測和發(fā)現(xiàn)外部入侵的行為檢測和發(fā)現(xiàn)外部入侵的行為 信息探測行為信息探測行為如：端口掃描如：端口掃描 攻擊嘗試行為攻擊嘗試行為如：暴力猜解如：暴力猜解 權(quán)限突破行為權(quán)限突破行為如：緩沖區(qū)溢出如：緩沖區(qū)溢出 入侵植入行為入侵植入行為如：木馬植入如：木馬植入 拒絕效勞行為拒絕效勞行為如：如：FloodFlood攻擊攻擊檢測能力檢測能力IDSIDS性能指標(biāo)性能指標(biāo)

29、探測引擎探測引擎攻擊攻擊攻擊特征攻擊特征檢測能力檢測能力IDSIDS性能指標(biāo)性能指標(biāo)探測引擎探測引擎 檢測和發(fā)現(xiàn)內(nèi)部誤用的行為檢測和發(fā)現(xiàn)內(nèi)部誤用的行為 越權(quán)訪問越權(quán)訪問 敏感信息敏感信息 業(yè)務(wù)攻擊業(yè)務(wù)攻擊 網(wǎng)絡(luò)游戲網(wǎng)絡(luò)游戲 檢測和發(fā)現(xiàn)網(wǎng)絡(luò)的異常狀況檢測和發(fā)現(xiàn)網(wǎng)絡(luò)的異常狀況 異常流量變化異常流量變化 網(wǎng)絡(luò)病毒傳播網(wǎng)絡(luò)病毒傳播 網(wǎng)絡(luò)業(yè)務(wù)故障網(wǎng)絡(luò)業(yè)務(wù)故障檢測能力檢測能力IDSIDS性能指標(biāo)性能指標(biāo)探測引擎探測引擎被動(dòng)被動(dòng)屏幕告警屏幕告警郵件告警郵件告警 告警告警聲音告警聲音告警SNMPSNMP告警告警自定義告警自定義告警主動(dòng)主動(dòng)-IDS-IDS自身阻斷自身阻斷- -與防火墻聯(lián)動(dòng)與防火墻聯(lián)動(dòng)- -與與

30、ScannerScanner聯(lián)動(dòng)聯(lián)動(dòng)響應(yīng)方式響應(yīng)方式IDSIDS性能指標(biāo)性能指標(biāo)探測引擎探測引擎 與漏洞掃描產(chǎn)品的聯(lián)動(dòng)與漏洞掃描產(chǎn)品的聯(lián)動(dòng) IDSIDS主動(dòng)主動(dòng) IDSIDS發(fā)現(xiàn)攻擊，調(diào)用發(fā)現(xiàn)攻擊，調(diào)用SCANNERSCANNER進(jìn)行驗(yàn)證進(jìn)行驗(yàn)證 SCANNERSCANNER將驗(yàn)證結(jié)果反響給將驗(yàn)證結(jié)果反響給IDSIDS SCANNERSCANNER主動(dòng)主動(dòng) SCANNERSCANNER掃描，產(chǎn)生結(jié)果掃描，產(chǎn)生結(jié)果 提交提交IDSIDS生成優(yōu)化策略，提高報(bào)警有效性生成優(yōu)化策略，提高報(bào)警有效性響應(yīng)方式響應(yīng)方式IDSIDS性能指標(biāo)性能指標(biāo)探測引擎探測引擎Host C Host D Host B Ho

31、st A 受保護(hù)網(wǎng)絡(luò)受保護(hù)網(wǎng)絡(luò)InternetIDS發(fā)起攻擊發(fā)送通知報(bào)發(fā)送通知報(bào)文文驗(yàn)證報(bào)文并驗(yàn)證報(bào)文并采取措施采取措施發(fā)送發(fā)送響應(yīng)響應(yīng)報(bào)文報(bào)文識別識別出攻出攻擊行擊行為為阻斷連接或阻斷連接或者報(bào)警等者報(bào)警等SCANNER系統(tǒng)脆弱報(bào)告系統(tǒng)脆弱報(bào)告攻擊攻擊響應(yīng)方式響應(yīng)方式IDSIDS性能指標(biāo)性能指標(biāo)探測引擎探測引擎自身平安自身平安自身操作系統(tǒng)的平安自身操作系統(tǒng)的平安自身程序的平安自身程序的平安地址透明度地址透明度抗打擊能力抗打擊能力IDSIDS性能指標(biāo)性能指標(biāo)控制中心控制中心日志分析日志分析IDSIDS性能指標(biāo)性能指標(biāo)控制中心控制中心入侵檢測報(bào)告入侵檢測報(bào)告綜合安全報(bào)告綜合安全報(bào)告掃描器日志掃描

32、器日志主機(jī)主機(jī)IDS日志日志網(wǎng)絡(luò)網(wǎng)絡(luò)IDS日志日志數(shù)據(jù)庫綜合分析綜合分析IDSIDS性能指標(biāo)性能指標(biāo)控制中心控制中心分析結(jié)論：分析結(jié)論：從事件分布可以看出主要事件有三種；從事件分布可以看出主要事件有三種；CoderedCodered和和CodeblueCodeblue是內(nèi)網(wǎng)的病毒事件、是內(nèi)網(wǎng)的病毒事件、HTTP IIS UnicodeHTTP IIS Unicode由外部發(fā)起由外部發(fā)起目標(biāo)主要針對目標(biāo)主要針對210.75.220.X210.75.220.X和和210.75.220.Y210.75.220.Y；經(jīng)過掃描驗(yàn)證，經(jīng)過掃描驗(yàn)證，210.75.220.x210.75.220.x不存在不存

33、在UnicodeUnicode漏洞，只是一種攻擊企圖。漏洞，只是一種攻擊企圖。而而210.75.220.Y210.75.220.Y存在存在UnicodeUnicode漏洞，并且病毒事件也是由這臺主機(jī)造成漏洞，并且病毒事件也是由這臺主機(jī)造成的；的；應(yīng)該對應(yīng)該對210.75.220.Y210.75.220.Y進(jìn)行加固，修補(bǔ)漏洞，同時(shí)去除內(nèi)網(wǎng)的病毒傳播；進(jìn)行加固，修補(bǔ)漏洞，同時(shí)去除內(nèi)網(wǎng)的病毒傳播；綜合分析綜合分析IDSIDS性能指標(biāo)性能指標(biāo)控制中心控制中心 單行為事件演示單行為事件演示 TCP_Doly TCP_Doly后門連接后門連接 TCP TCP ustr.0%57%74%7a%75%70%2

34、0%55%73%65&sporustr.0%57%74%7a%75%70%20%55%73%65&sport=6789 t=6789 行為關(guān)聯(lián)事件演示行為關(guān)聯(lián)事件演示 FTP_ FTP_口令掃描口令掃描 FTP_ FTP_注冊失敗注冊失敗 num(event,sip,dip)10 num(event,sip,dip)10 HTTP_ftp HTTP_ftp文件調(diào)用文件調(diào)用 HTTP_ HTTP_讀命令讀命令 num(event=FTP_num(event=FTP_寫命令寫命令,sip,dip)1 ,sip,dip)1 自定義事件自定義事件 為什么需要為什么需要IDS (intr

35、usion Detection System)IDS (intrusion Detection System) IDSIDS的作用及相關(guān)術(shù)語的作用及相關(guān)術(shù)語 IDSIDS的實(shí)現(xiàn)方式的實(shí)現(xiàn)方式 IDSIDS的實(shí)現(xiàn)技術(shù)的實(shí)現(xiàn)技術(shù) IDSIDS的部署的部署 IDSIDS的性能指標(biāo)的性能指標(biāo) IDSIDS事件分析事件分析 IDSIDS的開展的開展入侵檢測系統(tǒng)入侵檢測系統(tǒng)不是每個(gè)事件都是入侵事件不是每個(gè)事件都是入侵事件不是每個(gè)事件都會(huì)產(chǎn)生攻擊效果不是每個(gè)事件都會(huì)產(chǎn)生攻擊效果方便管理網(wǎng)絡(luò)方便管理網(wǎng)絡(luò)使領(lǐng)導(dǎo)對報(bào)表一目了然使領(lǐng)導(dǎo)對報(bào)表一目了然為什么進(jìn)行日志分析為什么進(jìn)行日志分析按照事件類型產(chǎn)生臨時(shí)報(bào)表按照事件

36、類型產(chǎn)生臨時(shí)報(bào)表檢查報(bào)表，排除非敏感事件檢查報(bào)表，排除非敏感事件報(bào)表的條件輸出報(bào)表的條件輸出按事件分析，初步確認(rèn)攻擊是否發(fā)生、是否產(chǎn)按事件分析，初步確認(rèn)攻擊是否發(fā)生、是否產(chǎn)生危害、源地址來源生危害、源地址來源分析事件的分布，找出重點(diǎn)威脅所在分析事件的分布，找出重點(diǎn)威脅所在分析源地址的分布，找出重點(diǎn)威脅來源并提出分析源地址的分布，找出重點(diǎn)威脅來源并提出防御建議防御建議分析實(shí)例分析實(shí)例 0.00.51.01.52.02.53.03.54.022222249926249411166.1

37、11.164.962源地址統(tǒng)計(jì)源地址統(tǒng)計(jì)99 99 試圖對試圖對XXXXXX進(jìn)行進(jìn)行UnicodeUnicode攻攻擊，建議一周內(nèi)拒絕該地址的訪問擊，建議一周內(nèi)拒絕該地址的訪問分析源地址的分布，分析源地址的分布，找出重點(diǎn)威脅來源并提出防御建議找出重點(diǎn)威脅來源并提出防御建議 為什么需要為什么需要IDS (intrusion Detection System)IDS (intrusion Detection System) IDSIDS的作用及相關(guān)術(shù)語的作用及相關(guān)術(shù)語 IDSIDS的實(shí)現(xiàn)方式的實(shí)現(xiàn)方式 IDSIDS的實(shí)現(xiàn)技術(shù)的實(shí)現(xiàn)技術(shù) IDSIDS的部署的部署 IDSIDS的性能指標(biāo)的性能指標(biāo) IDSIDS事件分析事件分析 IDSIDS的開展的開展入侵檢測系統(tǒng)入侵檢測系統(tǒng)Q寬帶高速實(shí)時(shí)的檢測技術(shù)寬帶高速實(shí)時(shí)的檢測技術(shù)Q大規(guī)模分布式的檢測技術(shù)大規(guī)模分布式的檢測技術(shù)Q數(shù)據(jù)挖掘技術(shù)數(shù)據(jù)挖掘