計(jì)算機(jī)網(wǎng)絡(luò)安全第八章課件

計(jì)算機(jī)網(wǎng)絡(luò)安全第八章2023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章計(jì)算機(jī)網(wǎng)絡(luò)安全第八章2023/8/3計(jì)算機(jī)網(wǎng)絡(luò)安全第八章1什么是入侵檢測？目錄10之1

入侵檢測（IntrusionDetection）是對入侵行為的發(fā)覺。它通過從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)的關(guān)鍵點(diǎn)收集信息并進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。進(jìn)行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)（IDS:IntrusionDetectionSystem）。2023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章什么是入侵檢測？目錄10之1入侵檢測（I2為什么需要IDS？目錄10之2入侵很容易入侵教程隨處可見各種工具唾手可得防火墻不能保證絕對的安全網(wǎng)絡(luò)邊界的設(shè)備自身可以被攻破對某些攻擊保護(hù)很弱不是所有的威脅來自防火墻外部防火墻是鎖，IDS是監(jiān)視器2023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章為什么需要IDS？目錄10之2入侵很容易2023/8/33如何使用IDS？目錄10之3IDS可以作為防火墻的一個有效的補(bǔ)充，被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)聽，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時保護(hù)。2023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章如何使用IDS？目錄10之3IDS可以作為4圖示目錄10之4報警日志攻擊檢測記錄入侵過程重新配置防火墻路由器內(nèi)部入侵入侵檢測記錄終止入侵2023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章圖示目錄10之4報警攻擊檢測記錄入侵重新配置內(nèi)部入侵5IDS發(fā)揮的作用技術(shù)層面對具體的安全技術(shù)人員，可以利用IDS做為工具來發(fā)現(xiàn)安全問題、解決問題。目錄10之5檢測發(fā)現(xiàn)告警處理從不知到有知2023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章IDS發(fā)揮的作用技術(shù)層面目錄10之5檢測從不知到6IDS發(fā)揮的作用管理層面對安全管理人員來說，是可以把IDS做為其日常管理上的有效手段。目錄10之6管理評估威懾從被動到主動2023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章IDS發(fā)揮的作用管理層面目錄10之6管理從被動到7IDS發(fā)揮的作用領(lǐng)導(dǎo)層面對安全主管領(lǐng)導(dǎo)來說，是可以把IDS做為把握全局一種有效的方法，目的是提高安全效能。目錄10之7教訓(xùn)總結(jié)優(yōu)化從事后到事前2023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章IDS發(fā)揮的作用領(lǐng)導(dǎo)層面目錄10之7教訓(xùn)從事后到8IDS發(fā)揮的作用意識層面對政府或者大的行業(yè)來說，是可以通過IDS來建立一套完善的網(wǎng)絡(luò)預(yù)警與響應(yīng)體系，減小安全風(fēng)險。目錄10之8建立預(yù)警機(jī)制采取災(zāi)備措施提高保障意識從預(yù)警到保障2023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章IDS發(fā)揮的作用意識層面目錄10之8建立預(yù)警機(jī)制從預(yù)9IDS發(fā)展過程

—概念的誕生目錄10之91980年4月，JamesP.Anderson為美國空軍做了一份題為《ComputerSecurityThreatMonitoringandSurveillance》（計(jì)算機(jī)安全威脅監(jiān)控與監(jiān)視）：指出必須改變現(xiàn)有的系統(tǒng)審計(jì)機(jī)制，以便為專職系統(tǒng)安全人員提供安全信息—預(yù)警；提出了對計(jì)算機(jī)系統(tǒng)風(fēng)險和威脅的分類方法，分為外部滲透、內(nèi)部滲透和不法行為三種；提出利用審計(jì)跟蹤數(shù)據(jù)監(jiān)視入侵活動的思想。2023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章IDS發(fā)展過程

—10IDS發(fā)展過程

—研究和發(fā)展目錄10之10Denning于1986年發(fā)表的論文“入侵檢測模型”被公認(rèn)為是IDS領(lǐng)域的又一篇開山之作；1990年是入侵檢測系統(tǒng)發(fā)展史上的一個分水嶺。這一年，加州大學(xué)戴維斯分校的L.T.Heberlein等人開發(fā)出了一套網(wǎng)絡(luò)入侵檢測系統(tǒng)（NetworkSecurityMonitor）；從20世紀(jì)90年代到現(xiàn)在，入侵檢測系統(tǒng)的研發(fā)呈現(xiàn)出百家爭鳴的繁榮局面，并在智能化和分布式兩個方向取得了長足的進(jìn)展。2023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章IDS發(fā)展過程

—11IDS的基本結(jié)構(gòu)目錄信息收集信息分析結(jié)果處理2023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章IDS的基本結(jié)構(gòu)目錄信息收集2023/8/3計(jì)算機(jī)網(wǎng)絡(luò)安全第12信息收集目錄>>IDS的基本結(jié)構(gòu)入侵檢測的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為，這需要在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)（不同網(wǎng)段和不同主機(jī)）收集信息，應(yīng)盡可能擴(kuò)大檢測范圍，因?yàn)閺囊粋€源來的信息有可能看不出疑點(diǎn)。入侵檢測很大程度上依賴于收集信息的可靠性和正確性。因此要保證用來檢測網(wǎng)絡(luò)系統(tǒng)的軟件的完整性，特別是入侵檢測系統(tǒng)軟件本身應(yīng)具有相當(dāng)強(qiáng)的堅(jiān)固性，防止被篡改而收集到錯誤的信息。4之12023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章信息收集目錄>>IDS的基本結(jié)構(gòu)入侵檢測的第13信息來源目錄>>IDS的基本結(jié)構(gòu)系統(tǒng)/網(wǎng)絡(luò)的日志文件網(wǎng)絡(luò)流量系統(tǒng)目錄和文件的異常變化程序執(zhí)行中的異常行為4之22023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章信息來源目錄>>IDS的基本結(jié)構(gòu)系統(tǒng)/網(wǎng)絡(luò)的日志文件4之14日志文件目錄>>IDS的基本結(jié)構(gòu)攻擊者常在系統(tǒng)和網(wǎng)絡(luò)日志文件中留下他們的蹤跡，因此，充分利用系統(tǒng)和網(wǎng)絡(luò)日志文件信息是檢測入侵的必要條件。日志文件中記錄了各種行為類型，每種類型又包含不同的信息，例如記錄“用戶活動”類型的日志，就包含登錄、用戶ID改變、用戶對文件的訪問、授權(quán)和認(rèn)證信息等內(nèi)容。顯然，對用戶活動來講，不正常的或不期望的行為就是重復(fù)登錄失敗、登錄到不期望的位置以及非授權(quán)的企圖訪問重要文件等等。4之32023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章日志文件目錄>>IDS的基本結(jié)構(gòu)攻擊者常在系統(tǒng)15系統(tǒng)目錄和文件的異常變化目錄>>IDS的基本結(jié)構(gòu)網(wǎng)絡(luò)環(huán)境中的文件系統(tǒng)包含很多軟件和數(shù)據(jù)文件，包含重要信息的文件和私有數(shù)據(jù)文件經(jīng)常是黑客修改或破壞的目標(biāo)。目錄和文件中的不期望的改變（包括修改、創(chuàng)建和刪除），特別是那些正常情況下限制訪問的，很可能就是一種入侵產(chǎn)生的指示和信號。入侵者經(jīng)常替換、修改和破壞他們獲得訪問權(quán)的系統(tǒng)上的文件，同時為了隱藏系統(tǒng)中他們的表現(xiàn)及活動痕跡，都會盡力去替換系統(tǒng)程序或修改系統(tǒng)日志文件。4之42023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章系統(tǒng)目錄和文件的異常變化目錄>>IDS的基本結(jié)構(gòu)16信息分析目錄>>IDS的基本結(jié)構(gòu)模式匹配統(tǒng)計(jì)分析完整性分析2023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章信息分析目錄>>IDS的基本結(jié)構(gòu)模式匹配2023/8/3計(jì)算17模式匹配目錄>>IDS的基本結(jié)構(gòu)>>信息分析模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為一般來講，一種攻擊模式可以用一個過程（如執(zhí)行一條指令）或一個輸出（如獲得權(quán)限）來表示。該過程可以很簡單（如通過字符串匹配以尋找一個簡單的條目或指令），也可以很復(fù)雜（如利用正規(guī)的數(shù)學(xué)表達(dá)式來表示安全狀態(tài)的變化）。2023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章模式匹配目錄>>IDS的基本結(jié)構(gòu)>>信息分析模18統(tǒng)計(jì)分析目錄>>IDS的基本結(jié)構(gòu)>>信息分析統(tǒng)計(jì)分析方法首先給系統(tǒng)對象（如用戶、文件、目錄和設(shè)備等）創(chuàng)建一個統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時的一些測量屬性（如訪問次數(shù)、操作失敗次數(shù)和延時等）。測量屬性的平均值和偏差將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，任何觀察值在正常值范圍之外時，就認(rèn)為有入侵發(fā)生。2023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章統(tǒng)計(jì)分析目錄>>IDS的基本結(jié)構(gòu)>>信息分析統(tǒng)19完整性分析目錄>>IDS的基本結(jié)構(gòu)>>信息分析完整性分析主要關(guān)注某個文件或?qū)ο笫欠癖桓模@經(jīng)常包括文件和目錄的內(nèi)容及屬性。本方法在發(fā)現(xiàn)被更改的、被安裝木馬的應(yīng)用程序方面特別有效。2023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章完整性分析目錄>>IDS的基本結(jié)構(gòu)>>信息分析20結(jié)果處理目錄>>IDS的基本結(jié)構(gòu)彈出窗口報警E-mail通知切斷TCP連接執(zhí)行自定義程序與其他安全產(chǎn)品交互FirewallSNMPTrap2023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章結(jié)果處理目錄>>IDS的基本結(jié)構(gòu)彈出窗口報警2023/8/321IDS的分類目錄按照分析方法分按照數(shù)據(jù)來源分按系統(tǒng)各模塊的運(yùn)行方式分根據(jù)時效性分2023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章IDS的分類目錄按照分析方法分2023/8/3計(jì)算機(jī)網(wǎng)絡(luò)安全22按照分析方法分目錄>>IDS的分類

異常檢測IDS（AnomalyDetection)首先總結(jié)正常操作應(yīng)該具有的特征，當(dāng)用戶活動與正常行為有重大偏離時即被認(rèn)為是入侵。

誤用檢測IDS（MisuseDetection)收集非正常操作的行為特征，建立相關(guān)的特征庫，當(dāng)監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時，系統(tǒng)就認(rèn)為這種行為是入侵。2023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章按照分析方法分目錄>>IDS的分類異常檢測IDS（Ano23異常檢測模型目錄>>IDS的分類>>按照分析方法分2之1網(wǎng)絡(luò)數(shù)據(jù)日志數(shù)據(jù)異常檢測入侵行為正常行為描述庫規(guī)則不匹配動態(tài)產(chǎn)生新描述動態(tài)更新描述2023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章異常檢測模型目錄>>IDS的分類>>按照分析方法分2之24特點(diǎn)目錄>>IDS的分類>>按照分析方法分異常檢測系統(tǒng)的效率取決于用戶輪廓的完備性和監(jiān)控的頻率；因?yàn)椴恍枰獙γ糠N入侵行為進(jìn)行定義，因此能有效檢測未知的入侵；系統(tǒng)能針對用戶行為的改變進(jìn)行自我調(diào)整和優(yōu)化，但隨著檢測模型的逐步精確，異常檢測會消耗更多的系統(tǒng)資源；漏報率低，誤報率高。2之22023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章特點(diǎn)目錄>>IDS的分類>>按照分析方法分異常檢測系統(tǒng)的25誤用檢測模型目錄>>IDS的分類>>按照分析方法分2之1網(wǎng)絡(luò)數(shù)據(jù)日志數(shù)據(jù)誤用檢測入侵行為攻擊模式描述庫規(guī)則匹配動態(tài)產(chǎn)生新描述動態(tài)更新描述2023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章誤用檢測模型目錄>>IDS的分類>>按照分析方法分2之26特點(diǎn)目錄>>IDS的分類>>按照分析方法分2之2誤報率低，漏報率高。攻擊特征的細(xì)微變化，會使得誤用檢測無能為力。2023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章特點(diǎn)目錄>>IDS的分類>>按照分析方法分2之227按照數(shù)據(jù)來源分目錄>>IDS的分類

基于主機(jī)的IDS（HIDS）系統(tǒng)獲取數(shù)據(jù)的依據(jù)是系統(tǒng)運(yùn)行所在的主機(jī)，保護(hù)的目標(biāo)也是系統(tǒng)運(yùn)行所在的主機(jī)。

基于網(wǎng)絡(luò)的IDS（NIDS）系統(tǒng)獲取的數(shù)據(jù)是網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包，保護(hù)的是網(wǎng)絡(luò)的運(yùn)行。

混合型IDS同時使用基于主機(jī)的IDS和基于網(wǎng)絡(luò)的IDS，實(shí)現(xiàn)兩者優(yōu)勢互補(bǔ)。2023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章按照數(shù)據(jù)來源分目錄>>IDS的分類基于主機(jī)的IDS（HI28基于主機(jī)的IDS目錄>>IDS的分類>>按照數(shù)據(jù)來源分安裝于被保護(hù)的主機(jī)中主要分析主機(jī)內(nèi)部活動系統(tǒng)日志應(yīng)用程序日志文件完整性檢查占用一定的系統(tǒng)資源4之12023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章基于主機(jī)的IDS目錄>>IDS的分類>>按照數(shù)據(jù)來源分安裝于29工作過程示意圖目錄>>IDS的分類>>按照數(shù)據(jù)來源分Internet網(wǎng)絡(luò)服務(wù)器1客戶端網(wǎng)絡(luò)服務(wù)器2X檢測內(nèi)容：

系統(tǒng)調(diào)用、端口調(diào)用、系統(tǒng)日志、安全審記、應(yīng)用日志HIDSXHIDS4之22023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章工作過程示意圖目錄>>IDS的分類>>按照數(shù)據(jù)來源分Inte30優(yōu)點(diǎn)目錄>>IDS的分類>>按照數(shù)據(jù)來源分檢測準(zhǔn)確度較高；可以檢測到?jīng)]有明顯行為特征的入侵；能夠?qū)Σ煌僮飨到y(tǒng)進(jìn)行有針對性的檢測；成本較低；不會因網(wǎng)絡(luò)流量影響性能；適合加密和交換環(huán)境。4之32023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章優(yōu)點(diǎn)目錄>>IDS的分類>>按照數(shù)據(jù)來源分檢測準(zhǔn)確度較高31缺點(diǎn)目錄>>IDS的分類>>按照數(shù)據(jù)來源分4之4實(shí)時性較差；無法檢測數(shù)據(jù)包的全部；檢測效果取決于日志系統(tǒng)；占用主機(jī)資源；隱蔽性較差；如果入侵者能夠修改校驗(yàn)和，這種IDS將無法起到預(yù)期的作用。2023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章缺點(diǎn)目錄>>IDS的分類>>按照數(shù)據(jù)來源分4之432基于網(wǎng)絡(luò)的IDS目錄>>IDS的分類>>按照數(shù)據(jù)來源分安裝在被保護(hù)的網(wǎng)段中混雜模式監(jiān)聽分析網(wǎng)段中所有的數(shù)據(jù)包實(shí)時檢測和響應(yīng)操作系統(tǒng)無關(guān)性不會增加網(wǎng)絡(luò)中主機(jī)的負(fù)載4之12023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章基于網(wǎng)絡(luò)的IDS目錄>>IDS的分類>>按照數(shù)據(jù)來源分安裝在33工作過程示意圖目錄>>IDS的分類>>按照數(shù)據(jù)來源分InternetNIDS網(wǎng)絡(luò)服務(wù)器1客戶端網(wǎng)絡(luò)服務(wù)器2X檢測內(nèi)容：

包頭信息+有效數(shù)據(jù)部分4之22023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章工作過程示意圖目錄>>IDS的分類>>按照數(shù)據(jù)來源分Inte34優(yōu)點(diǎn)目錄>>IDS的分類>>按照數(shù)據(jù)來源分可以提供實(shí)時的網(wǎng)絡(luò)行為檢測；可以同時保護(hù)多臺網(wǎng)絡(luò)主機(jī)；具有良好的隱蔽性；有效保護(hù)入侵證據(jù)；不影響被保護(hù)主機(jī)的性能；操作系統(tǒng)無關(guān)性。4之32023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章優(yōu)點(diǎn)目錄>>IDS的分類>>按照數(shù)據(jù)來源分可以提供實(shí)時的35缺點(diǎn)目錄>>IDS的分類>>按照數(shù)據(jù)來源分防入侵欺騙的能力通常較差；在交換式網(wǎng)絡(luò)環(huán)境中難以配置；檢測性能受硬件條件限制；不能處理加密后的數(shù)據(jù)。4之42023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章缺點(diǎn)目錄>>IDS的分類>>按照數(shù)據(jù)來源分防入侵欺騙的能36混合型IDS目錄>>IDS的分類>>按照數(shù)據(jù)來源分基于主機(jī)的IDS和基于網(wǎng)絡(luò)的IDS都有著自身獨(dú)到的優(yōu)勢，而且在某些方面是很好的互補(bǔ)?；旌闲虸DS就是采用這兩者結(jié)合的入侵檢測系統(tǒng)，那將是汲取了各自的長處，又彌補(bǔ)了各自的不足的一種優(yōu)化設(shè)計(jì)方案。通常這樣的系統(tǒng)一般為分布式結(jié)構(gòu)，由多個部件組成，它能同時分析來自主機(jī)系統(tǒng)的審計(jì)數(shù)據(jù)及來自網(wǎng)絡(luò)的數(shù)據(jù)通信流量信息。2023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章混合型IDS目錄>>IDS的分類>>按照數(shù)據(jù)來源分37按系統(tǒng)各模塊的運(yùn)行方式分目錄>>IDS的分類集中式IDS在被保護(hù)網(wǎng)絡(luò)的各個網(wǎng)段中分別放置檢測器進(jìn)行數(shù)據(jù)包的搜集和分析，各個檢測器將檢測信息傳送到中央控制臺進(jìn)行統(tǒng)一處理，中央控制臺還會向各個檢測器發(fā)送命令。分布式IDS通常采用分布式智能代理的結(jié)構(gòu)，由一個或多個中央智能代理和大量分布在網(wǎng)絡(luò)各處的本地代理組成。其中本地代理負(fù)責(zé)處理本地事件，中央代理負(fù)責(zé)調(diào)控各個本地代理的工作以及從整體上完成對網(wǎng)絡(luò)事件進(jìn)行綜合分析的工作。檢測工作通過全部代理互相協(xié)作共同完成。2023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章按系統(tǒng)各模塊的運(yùn)行方式分目錄>>IDS的分類集中式IDS38根據(jù)時效性分目錄>>IDS的分類脫機(jī)分析IDS行為發(fā)生后，對產(chǎn)生的數(shù)據(jù)進(jìn)行分析。聯(lián)機(jī)分析IDS在數(shù)據(jù)產(chǎn)生的同時或者發(fā)生改變時進(jìn)行分析。2023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章根據(jù)時效性分目錄>>IDS的分類脫機(jī)分析IDS2023/8/39IDS的檢測技術(shù)目錄異常檢測技術(shù)誤用檢測技術(shù)其它檢測技術(shù)2023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章IDS的檢測技術(shù)目錄異常檢測技術(shù)2023/8/3計(jì)算機(jī)網(wǎng)絡(luò)安40異常檢測技術(shù)

—基于行為的檢測目錄>>IDS的檢測技術(shù)統(tǒng)計(jì)分析異常檢測貝葉斯推理異常檢測神經(jīng)網(wǎng)絡(luò)異常檢測模式預(yù)測異常檢測數(shù)據(jù)挖掘異常檢測機(jī)器學(xué)習(xí)異常檢測2023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章異常檢測技術(shù)

—基于行41統(tǒng)計(jì)分析異常檢測目錄>>IDS的檢測技術(shù)>>異常檢測技術(shù)首先對系統(tǒng)或用戶的行為按照一定的時間間隔進(jìn)行采樣，樣本的內(nèi)容包括每個會話的登錄、退出情況，CPU和內(nèi)存的占用情況，硬盤等存儲介質(zhì)的使用情況等。對每次采集到的樣本進(jìn)行計(jì)算，得出一系列的參數(shù)變量來對這些行為進(jìn)行描述，從而產(chǎn)生行為輪廓，將每次采樣后得到的行為輪廓與已有輪廓進(jìn)行合并，最終得到系統(tǒng)和用戶的正常行為輪廓。IDS通過將當(dāng)前采集到的行為輪廓與正常行為輪廓相比較，從而來檢測網(wǎng)絡(luò)是否被入侵。2之12023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章統(tǒng)計(jì)分析異常檢測目錄>>IDS的檢測技術(shù)>>異常檢測技術(shù)42特點(diǎn)目錄>>IDS的檢測技術(shù)>>異常檢測技術(shù)優(yōu)點(diǎn)所應(yīng)用的技術(shù)方法在統(tǒng)計(jì)學(xué)中已經(jīng)比較成熟。缺點(diǎn)異常閥值難以確定：閥值設(shè)置得偏低會產(chǎn)生過多的誤檢，偏高會產(chǎn)生過多的漏檢。對事件發(fā)生的次序不敏感：可能會漏檢由先后發(fā)生的幾個關(guān)聯(lián)事件組成的入侵行為。對行為的檢測結(jié)果要么是異常，要么是正常，攻擊者可以利用這個弱點(diǎn)躲避IDS的檢測。2之22023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章特點(diǎn)目錄>>IDS的檢測技術(shù)>>異常檢測技術(shù)優(yōu)點(diǎn)2之43神經(jīng)網(wǎng)絡(luò)異常檢測目錄>>IDS的檢測技術(shù)>>異常檢測技術(shù)3之1基本思想：用一系列的信息單元（命令）訓(xùn)練神經(jīng)單元，這樣在給定一組輸入后，就可以預(yù)測輸出。用于檢測的神經(jīng)網(wǎng)絡(luò)模塊結(jié)構(gòu)為：當(dāng)前命令和剛過去的w個命令組成了網(wǎng)絡(luò)的輸入，其中w是神經(jīng)網(wǎng)絡(luò)預(yù)測下一個命令時所包含的過去命令集的大小。根據(jù)用戶的代表性命令序列訓(xùn)練網(wǎng)絡(luò)后，該網(wǎng)絡(luò)就形成了相應(yīng)用戶的特征表，于是網(wǎng)絡(luò)對下一事件的預(yù)測錯誤率在一定程度上反映了用戶行為的異常程度。2023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章神經(jīng)網(wǎng)絡(luò)異常檢測目錄>>IDS的檢測技術(shù)>>異常檢測技術(shù)344圖示目錄>>IDS的檢測技術(shù)>>異常檢測技術(shù)3之22023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章圖示目錄>>IDS的檢測技術(shù)>>異常檢測技術(shù)3之45特點(diǎn)目錄>>IDS的檢測技術(shù)>>異常檢測技術(shù)優(yōu)點(diǎn)不需要對數(shù)據(jù)進(jìn)行統(tǒng)計(jì)假設(shè)，能夠較好地處理原始數(shù)據(jù)的隨機(jī)性，并且能夠較好地處理干擾數(shù)據(jù)。缺點(diǎn)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)和各元素的權(quán)重難以確定，必須經(jīng)過多次嘗試。W的大小難以確定：設(shè)置的小，則會影響輸出效果；設(shè)置的大，則由于神經(jīng)網(wǎng)絡(luò)要處理過多的無關(guān)數(shù)據(jù)而使效率下降。3之32023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章特點(diǎn)目錄>>IDS的檢測技術(shù)>>異常檢測技術(shù)優(yōu)點(diǎn)3之46誤用檢測技術(shù)

—基于知識的檢測目錄>>IDS的檢測技術(shù)專家系統(tǒng)誤用檢測特征分析誤用檢測模型推理誤用檢測條件概率誤用檢測鍵盤監(jiān)控誤用檢測2023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章誤用檢測技術(shù)

—基于知識47專家系統(tǒng)誤用檢測目錄>>IDS的檢測技術(shù)>>誤用檢測技術(shù)首先將安全專家的關(guān)于網(wǎng)絡(luò)入侵行為的知識表示成一些類似if-then的規(guī)則，并以這些規(guī)則為基礎(chǔ)建立專家知識庫。規(guī)則中的if部分說明形成網(wǎng)絡(luò)入侵的必需條件，then部分說明發(fā)現(xiàn)入侵后要實(shí)施的操作。IDS將網(wǎng)絡(luò)行為的審計(jì)數(shù)據(jù)事件進(jìn)行轉(zhuǎn)換，成為包含入侵警告程度的判斷事實(shí)，然后通過推理引擎進(jìn)行入侵檢測，當(dāng)if中的條件全部滿足或者在一定程度上滿足時，then中的動作就會被執(zhí)行。2之12023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章專家系統(tǒng)誤用檢測目錄>>IDS的檢測技術(shù)>>誤用檢測技術(shù)48特點(diǎn)目錄>>IDS的檢測技術(shù)>>誤用檢測技術(shù)需要處理大量的審計(jì)數(shù)據(jù)并且依賴于審計(jì)追蹤的次序，在目前的條件下處理速度難以保證；對于各種網(wǎng)絡(luò)攻擊行為知識進(jìn)行規(guī)則化描述的精度有待提高，審計(jì)數(shù)據(jù)有時不能提供足夠的檢測所需的信息；專家系統(tǒng)只能檢測出已發(fā)現(xiàn)的入侵行為，要檢測出新的入侵，必須及時添加新的規(guī)則，維護(hù)知識庫的工作量很大。2之22023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章特點(diǎn)目錄>>IDS的檢測技術(shù)>>誤用檢測技術(shù)需要處理大量49特征分析誤用檢測目錄>>IDS的檢測技術(shù)>>誤用檢測技術(shù)在商品化的IDS中本技術(shù)運(yùn)用較多。特征分析誤用檢測與專家系統(tǒng)誤用檢測一樣，也需要搜集關(guān)于網(wǎng)絡(luò)入侵行為的各種知識，不同的是：特征分析更直接地使用各種入侵知識，它將入侵行為表示成一個事件序列或者轉(zhuǎn)換成某種可以直接在網(wǎng)絡(luò)數(shù)據(jù)包審計(jì)記錄中找到的數(shù)據(jù)樣板，為不進(jìn)行規(guī)則轉(zhuǎn)換，這樣就可以直接從審計(jì)數(shù)據(jù)中提取相應(yīng)的數(shù)據(jù)與之匹配，因此不需處理大量的數(shù)據(jù)，從而提高了效率。2023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章特征分析誤用檢測目錄>>IDS的檢測技術(shù)>>誤用檢測技術(shù)50其它檢測技術(shù)目錄>>IDS的檢測技術(shù)遺傳算法免疫技術(shù)2023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章其它檢測技術(shù)目錄>>IDS的檢測技術(shù)遺傳算法2023/8/351遺傳算法目錄>>IDS的檢測技術(shù)>>其它檢測技術(shù)遺傳算法的基本原理是首先定義一組入侵檢測指令集，這些指令用于檢測出正常或異常的行為。指令中包含若干字符串，所有的指令在定義初期的檢測能力都很有限，IDS對這些指令逐步地進(jìn)行訓(xùn)練，促使指令中的字符串片段發(fā)生重組，以生成新的字符串指令。再從新的指令中經(jīng)過測試篩選出檢測能力最強(qiáng)的部分指令，對它們進(jìn)行下一輪的訓(xùn)練。如此反復(fù)，使檢測指令的檢測能力不斷提高，訓(xùn)練過程即可結(jié)束，此時這些指令已經(jīng)具備一定的檢測能力，IDS可以使用它們進(jìn)行網(wǎng)絡(luò)入侵檢測。目前對遺傳算法的研究還處于實(shí)驗(yàn)階段。2023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章遺傳算法目錄>>IDS的檢測技術(shù)>>其它檢測技術(shù)52免疫技術(shù)目錄>>IDS的檢測技術(shù)>>其它檢測技術(shù)免疫技術(shù)應(yīng)用了生物學(xué)中的免疫系統(tǒng)原理。處于網(wǎng)絡(luò)環(huán)境中的主機(jī)之所以受到入侵，是因?yàn)橹鳈C(jī)系統(tǒng)本身以及所運(yùn)行的應(yīng)用程序存在著各種脆弱性因素，網(wǎng)絡(luò)攻擊者正是利用這些漏洞侵入到主機(jī)系統(tǒng)中的；在生物系統(tǒng)中同樣存在著各種脆弱性因素，因此會受到病毒、病菌的攻擊。而生物體擁有免疫系統(tǒng)來負(fù)責(zé)檢測和抵御入侵，免疫機(jī)制包括特異性免疫和非特異性免疫。特異性免疫針對于特定的某種病毒，非特異性免疫可用于檢測和抵制以前從未體驗(yàn)過的入侵類型。入侵檢測免疫技術(shù)受免疫系統(tǒng)原理的啟發(fā)，通過學(xué)習(xí)分析已有行為的樣本來獲得識別不符合常規(guī)行為的能力。2023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章免疫技術(shù)目錄>>IDS的檢測技術(shù)>>其它檢測技術(shù)免疫53IDS的設(shè)置目錄IDS是網(wǎng)絡(luò)安全防御系統(tǒng)的重要組成部分。IDS的設(shè)置影響著IDS在整個網(wǎng)絡(luò)安全防御系統(tǒng)中的地位和重要程度。目前大部分的入侵檢測技術(shù)都需要對網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行大量的分析運(yùn)算，在高速網(wǎng)絡(luò)中，一個不經(jīng)過配置的入侵檢測設(shè)備，在不進(jìn)行篩選和過濾的情況下，無法很好地完成對受保護(hù)網(wǎng)絡(luò)的有效檢測。3之12023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章IDS的設(shè)置目錄IDS是網(wǎng)絡(luò)安全防御系統(tǒng)的重要54IDS的設(shè)置步驟目錄確定入侵檢測需求設(shè)計(jì)IDS在網(wǎng)絡(luò)中的拓?fù)浣Y(jié)構(gòu)配置IDSIDS磨合IDS的使用和自調(diào)節(jié)3之22023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章IDS的設(shè)置步驟目錄確定入侵檢測需求3之22023/55設(shè)置步驟圖示目錄1.確定需求2.設(shè)計(jì)拓?fù)?.配置系統(tǒng)4.磨合調(diào)試5.使用系統(tǒng)確定安全需求完成系統(tǒng)配置實(shí)現(xiàn)拓?fù)淠ズ线_(dá)標(biāo)根據(jù)設(shè)計(jì)拓?fù)涓淖冎匦麓_定需求根據(jù)運(yùn)行結(jié)果調(diào)整相關(guān)參數(shù)網(wǎng)絡(luò)拓?fù)渥兏虬踩?之32023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章設(shè)置步驟圖示目錄1.確定需求2.設(shè)計(jì)拓?fù)?.配置系統(tǒng)4.磨合56IDS的部署目錄基于網(wǎng)絡(luò)IDS的部署基于主機(jī)IDS的部署2023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章IDS的部署目錄基于網(wǎng)絡(luò)IDS的部署2023/8/3計(jì)算機(jī)網(wǎng)57基于網(wǎng)絡(luò)IDS的部署目錄>>IDS的部署基于網(wǎng)絡(luò)的IDS可以在網(wǎng)絡(luò)的多個位置進(jìn)行部署（這里的部署主要指對網(wǎng)絡(luò)入侵檢測器的部署）。根據(jù)檢測器部署位置的不同，IDS具有不同的工作特點(diǎn)。用戶需要根據(jù)自己的網(wǎng)絡(luò)環(huán)境以及安全需求進(jìn)行網(wǎng)絡(luò)部署，以達(dá)到預(yù)定的網(wǎng)絡(luò)安全需求。2之12023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章基于網(wǎng)絡(luò)IDS的部署目錄>>IDS的部署基于網(wǎng)58部署位置目錄>>IDS的部署Internet邊界路由器WWWMailDNS管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點(diǎn)子網(wǎng)DMZ區(qū)域內(nèi)部工作子網(wǎng)部署一部署二部署三部署四2之22023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章部署位置目錄>>IDS的部署Internet邊界路由器WWW59部署一：外網(wǎng)入口目錄>>IDS的部署>>部署位置外網(wǎng)入口部署點(diǎn)位于防火墻之前，入侵檢測器在這個部署點(diǎn)可以檢測所有進(jìn)出防火墻外網(wǎng)口的數(shù)據(jù)，可以檢測到所有來自外部網(wǎng)絡(luò)的可能的攻擊行為并進(jìn)行記錄。2之12023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章部署一：外網(wǎng)入口目錄>>IDS的部署>>部署位置60特點(diǎn)目錄>>IDS的部署>>部署位置優(yōu)點(diǎn)可以對針對目標(biāo)網(wǎng)絡(luò)的攻擊進(jìn)行計(jì)數(shù)，并記錄最為原始的攻擊數(shù)據(jù)包；可以記錄針對目標(biāo)網(wǎng)絡(luò)的攻擊類型。缺點(diǎn)由于入侵檢測器本身性能上的局限，該部署點(diǎn)的入侵檢測器目前的效果并不理想；對于進(jìn)行NAT的內(nèi)部網(wǎng)來說，入侵檢測器不能定位攻擊的源/目的地址，系統(tǒng)管理員在處理攻擊行為上存在一定的困難。2之22023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章特點(diǎn)目錄>>IDS的部署>>部署位置優(yōu)點(diǎn)2之2261部署二：內(nèi)網(wǎng)主干目錄>>IDS的部署>>部署位置內(nèi)網(wǎng)主干部署點(diǎn)是最常用的部署位置，在這里入侵檢測器主要檢測內(nèi)網(wǎng)流出和經(jīng)過防火墻過濾后流入內(nèi)網(wǎng)的網(wǎng)絡(luò)數(shù)據(jù)。在這個位置，入侵檢測器可以檢測所有通過防火墻進(jìn)入的攻擊以及內(nèi)部網(wǎng)向外部的不正常操作，并且可以準(zhǔn)確地定位攻擊的源和目的，方便系統(tǒng)管理員進(jìn)行針對性的網(wǎng)絡(luò)管理。2之12023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章部署二：內(nèi)網(wǎng)主干目錄>>IDS的部署>>部署位置62特點(diǎn)目錄>>IDS的部署>>部署位置優(yōu)點(diǎn)檢測大量的網(wǎng)絡(luò)通信提高了檢測攻擊的識別可能；檢測內(nèi)網(wǎng)可信用戶的越權(quán)行為；實(shí)現(xiàn)對內(nèi)部網(wǎng)絡(luò)信息的檢測。缺點(diǎn)入侵檢測器不能記錄下所有可能的入侵行為，因?yàn)橐呀?jīng)經(jīng)過防火墻的過濾。2之22023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章特點(diǎn)目錄>>IDS的部署>>部署位置優(yōu)點(diǎn)2之2263部署三：DMZ區(qū)目錄>>IDS的部署>>部署位置DMZ區(qū)部署點(diǎn)在DMZ區(qū)的總口上，這是入侵檢測器最常見的部署位置。在這里入侵檢測器可以檢測到所有針對用戶向外提供服務(wù)的服務(wù)器進(jìn)行攻擊的行為。對于用戶來說，防止對外服務(wù)的服務(wù)器受到攻擊是最為重要的。由于DMZ區(qū)中的各個服務(wù)器提供的服務(wù)有限，所以針對這些對外提供的服務(wù)進(jìn)行入侵檢測，可以使入侵檢測器發(fā)揮最大的優(yōu)勢，對進(jìn)出的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分析。由于DMZ區(qū)中的服務(wù)器是外網(wǎng)可見的，因此在這里的入侵檢測也是最為需要的。2之12023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章部署三：DMZ區(qū)目錄>>IDS的部署>>部署位置64特點(diǎn)目錄>>IDS的部署>>部署位置優(yōu)點(diǎn)檢測來自外部的攻擊，這些攻擊已經(jīng)滲入過第一層防御體系；可以容易地檢測網(wǎng)絡(luò)防火墻的性能并找到配置策略中的問題；DMZ區(qū)通常放置的是對內(nèi)外提供服務(wù)的重要的服務(wù)設(shè)備，因此，所檢測的對象集中于關(guān)鍵的服務(wù)設(shè)備；即使進(jìn)入的攻擊行為不可識別，IDS經(jīng)過正確的配置也可以從被攻擊主機(jī)的反饋中獲得受到攻擊的信息。2之22023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章特點(diǎn)目錄>>IDS的部署>>部署位置優(yōu)點(diǎn)2之2265部署四：關(guān)鍵子網(wǎng)目錄>>IDS的部署>>部署位置在內(nèi)部網(wǎng)中，總有一些子網(wǎng)因?yàn)榇嬖陉P(guān)鍵性數(shù)據(jù)和服務(wù)，需要更嚴(yán)格的管理，例如：資產(chǎn)管理子網(wǎng)、財(cái)務(wù)子網(wǎng)、員工檔案子網(wǎng)等，這些子網(wǎng)是整個網(wǎng)絡(luò)系統(tǒng)中的關(guān)鍵子網(wǎng)。通過對這些子網(wǎng)進(jìn)行安全檢測，可以檢測到來自內(nèi)部以及外部的所有不正常的網(wǎng)絡(luò)行為，這樣可以有效地保護(hù)關(guān)鍵的網(wǎng)絡(luò)不會被外部或沒有權(quán)限的內(nèi)部用戶侵入，造成關(guān)鍵數(shù)據(jù)泄露或丟失。由于關(guān)鍵子網(wǎng)位于內(nèi)網(wǎng)的內(nèi)部，因此流量相對要小一些，可以保證入侵檢測器的有效檢測。2之12023/8/8計(jì)算機(jī)網(wǎng)絡(luò)安全第八章部署四：關(guān)鍵子網(wǎng)目錄>>IDS的部署>>部署位置66特點(diǎn)目錄>>IDS的部署>>部署位置優(yōu)點(diǎn)集