收藏
下载资源 加入VIP免费专享

第10章入侵检测技术.ppt

上传人:本田雅阁 文档编号:2907862 上传时间:2019-06-04 格式:PPT 页数:50 大小:431.02KB
返回 下载 相关 举报
第10章入侵检测技术.ppt_第1页
第1页 / 共50页
第10章入侵检测技术.ppt_第2页
第2页 / 共50页
第10章入侵检测技术.ppt_第3页
第3页 / 共50页
第10章入侵检测技术.ppt_第4页
第4页 / 共50页
第10章入侵检测技术.ppt_第5页
第5页 / 共50页
点击查看更多>>
资源描述

《第10章入侵检测技术.ppt》由会员分享,可在线阅读,更多相关《第10章入侵检测技术.ppt(50页珍藏版)》请在三一文库上搜索。

1、第10章 入侵检测技术,10.1 入侵检测概述 10.2 入侵检测原理 10.3 入侵检测系统的关键技术 10.4 基于数据挖掘的智能化入侵检测系统设计,10.1 入侵检测概述,计算机网络主要由以下3部分组成: (1)若干主机; (2)通信子网,包括通信处理机和连接网络中各个节点的通信链路; (3)通信协议,如以太网协议、TCP/IP等。 信息安全包含以下几个方面的内容: 保密性 完整性 有效性,网络攻击共经历了如下几个过程。 (1)攻击来源: (2)攻击工具: (3)访问系统方式: (4)攻击结束: (5)攻击者意图:,而从防卫者的角度出发,针对上述目标,网络安全的目标包含以下几个方面。 (

2、1)网络服务有效可用 (2)网络信息的保密性不被破坏 (3)网络信息的完整性不被破坏 (4)确保网络信息的不可抵赖性 (5)有效控制网络的运行,10.1.2 研究入侵检测的必要性 因为访问控制和保护模型本身存着在以下问题。 (1)弱口令问题。 (2)静态安全措施不足以保护安全对象属性。 (3)软件的Bug-Free近期无法解决。 (4)软件生命周期缩短和软件测试不充分。 (5)系统软件缺陷的修补工作复杂,而且源代码大多数不公开,也缺乏修补Bug的专门技术,导致修补进度太慢,因而计算机系统的不安全系统将持续一段时间。,入侵检测的主要目的有:识别入侵者;识别入侵行为;检测和监视已成功的安全突破;为

3、对抗措施即时提供重要信息。因而,入侵检测是非常必要的,可以弥补传统安全保护措施的不足。 入侵检测系统的主要功能是检测,当然还有其他的功能选项,因而增加了计算机系统和网络的安全性。,使用入侵检测系统有如下优点: 检测防护部分阻止不了的入侵; 检测入侵的前兆; 对入侵事件进行归档; 对网络遭受的威胁程度进行评估; 对入侵事件进行恢复。 入侵检测系统利用优化匹配模式和统计学技术把传统的电子数据处理和安全审查结合起来,已经发展成为构筑完整的现代网络安全技术的一个必不可少的部分。,(1)安全审计 安全审计机制的目标有以下几方面。 为安全职员提供足够的信息使之能够将问题局限于局部,而信息量不足以以其为基础

4、进行攻击。 优化审计记录的内容,审计分析机制应该可以对一些特定资源辨认正常的行为。 (2)IDS的诞生,10.1.3 网络安全体系结构,图10.2 单机安全模型,图10.3 安全系统管理模型,图10.4 信息保障的基本内容,10.2 入侵检测原理,入侵检测和其他检测技术基于同样的原理,即从一组数据中,检测出符合某一特点的数据。 10.2.1 异常入侵检测原理 构筑异常检测原理的入侵检测系统,首先要建立系统或用户的正常行为模式库,不属于该库的行为被视为异常行为。,但是,入侵性活动并不总是与异常活动相符合,而是存在下列4种可能性。 (1)入侵性而非异常。 (2)非入侵性且异常。 (3)非入侵性非异

5、常。 (4)入侵性且异常。 另外,设置异常的门槛值不当,往往会导致IDS许多误报警或者漏检的现象,漏检对于重要的安全系统来说是相当危险的,因为IDS给安全管理员造成了系统安全假象。,10.2.2 误用入侵检测原理 误用入侵检测依赖于模式库,误用入侵检测能直接检测出模式库中已涵盖的入侵行为或不可接受的行为,而异常入侵检测是发现同正常行为相违背的行为。误用入侵检测的主要假设是具有能够被精确地按某种方式编码的攻击。通过捕获攻击及重新整理,可确认入侵活动是基于同一弱点进行攻击的入侵方法的变种。误用入侵检测主要的局限性是仅仅可检测已知的弱点,对检测未知的入侵可能用处不大。,图10.5 误用入侵检测模型,

6、10.2.3 入侵检测模型 入侵有以下6种方式: 尝试性攻击; 伪装攻击; 安全控制系统渗透; 泄漏; 拒绝服务; 恶意使用。,1IDES模型,图10.6 IDES模型,表10.1 模 式 语 法,表10.2 轮 廓 实 例,2IDM模型,表10.3 IDM表,3SNMP-IDSM模型,图10.7 IDS A与IDS B消息交换示意图,4各种模型比较 IDES模型依靠分析主机的审计记录,因此,在网络环境下,IDES模型存在局限性。 IDM模型和SNMP-IDSM模型正是对IDES模型的补充。 入侵检测模型要随着网络技术和入侵技术而变化。一是要扩充入侵数据结构模型;二是模型要易于扩充。,10.3

7、 入侵检测系统的关键技术,10.3.1 多用于异常入侵检测的技术 1统计异常检测方法 统计异常检测方法根据异常检测器观察主体的活动,由此产生一个能够描述这些活动的轮廓。每一个轮廓都保存记录主体的当前行为,并定时地将当前的轮廓合并到已存储的轮廓中。通过比较当前的轮廓与已存储的轮廓来判断主体的行为是否异常,从而来检测网络是否被入侵。,2基于特征选择异常检测方法 基于特征选择异常检测方法是通过从一组度量中挑选能检测出入侵的度量构成子集来准确地预测或分类已检测到的入侵。 3基于贝叶斯推理异常检测方法 基于贝叶斯推理异常检测方法是通过在任意给定的时刻,测量A1,A,A变量值推理判断系统是否有入侵事件发生

8、。,4基于贝叶斯网络异常检测方法 基于贝叶斯网络的异常检测方法是通过建立异常入侵检测贝叶斯网络,然后用其分析一场测量结果。 关于一组变量x= x1,x,xn,的贝叶斯网络由以下两部分组成: 一个表示X中变量的条件独立断言的网络结构S; 与每一个变量相联系的局部概率分布集合P。,贝叶斯网络的建立共有以下3个主要步骤。 第一步,确定建立模型有关的变量及其解释。 第二步,构建一个表示条件独立断言的有向无环图 。 第三步,指派局部概率分布p(xi|Pai)。,表10.4 模型变量表,图10.8 一个检测隐私攻击的简单贝叶斯网络,5基于模式预测异常检测方法 基于模式预测异常检测方法的假设条件是事件序列不

9、是随机的而是遵循可辨别的模式,图10.9 基于神经网络的入侵检测示意图,6基于神经网络异常检测方法,7基于贝叶斯聚类异常检测方法 8基于机器学习异常检测方法 9基于数据采掘异常检测方法,10.3.2 多用于误用入侵检测的技术 误用入侵检测的主要假设是具有能够被精确地按某种方式编码的攻击,并可以通过捕获攻击及重新整理,确认入侵活动是基于同一弱点进行攻击的入侵方法的变种。 1基于条件概率误用入侵检测方法 2基于专家系统误用入侵检测方法 3基于状态迁移分析误用入侵检测方法 4基于键盘监控误用入侵检测方法 5基于模型误用入侵检测方法,10.3.3 基于Agent的入侵检测 无控制中心的多Agent结构

10、,每个检测部件都是独立的检测单元,尽量降低了各检测部件间的相关性,不仅实现了数据收集的分布化,而且将入侵检测和实时响应分布化,真正实现了分布式检测的思想。,该模型的检测单元IDA是分布在网络系统的各个位置,每个IDA独立地检测系统或网络安全的一个方面,有独立的数据获取方式、运行模式或可选规则库,各IDA之间进行相互协作,对系统和网络用户的异常或可疑行为进行检测。,图10.10 基于Agent的入侵检测系统模型,(1)IDA入侵检测模型操作规则 (2)IDA的处理流程 (3)Agent之间的协作 (4)系统自身安全 (5)基于Agent入侵检测模型实例研究 (6)基于Agent的入侵检测系统模型

11、的特点,10.3.4 入侵检测的新技术,1基于生物免疫的入侵检测 基于生物免疫的入侵检测方法是通过模仿生物有机体的免疫系统工作机制,使得受保护 的系统能够将非自我(non self)的非法行为与自我(self)的合法行为区分开来。,基于生物免疫的入侵检测系统要遵循以下原则。 (1)分布式保护(Distributed Protection) (2)多样性(Diversity) (3)健壮性(Robustness) (4)适应性(Adaptability) (5)记忆性(Memory)。 (6)隐含的策略描述(Implicit Policy Specification)。 (7)灵活性(Flexi

12、bility) (8)可扩充性(Scalability) (9)异常检测,2基因算法 3数据挖掘 数据挖掘指从大量实体数据中抽出模型的处理。挖掘审计数据最有用的3种方法是分类、连接分析和顺序分析。,4基于伪装的入侵检测 5密罐技术 密罐技术就是建立一个虚假的网络,诱惑黑客攻击这个虚假的网络,从而达到保护真正网络的目的。 密罐技术对系统安全起到了以下三方面的作用。 (1)黑客会攻击虚假的网络而忽略真正的网络。 (2)收集黑客的信息和企图,帮助系统进行安全防护和检测,响应。 (3)消耗黑客的精力,让系统管理员有足够的时间去响应。,10.3.5 入侵检测系统面临的挑战和发展前景 入侵检测系统的发展方

13、向有以下几个方面。 1提高入侵检测的速度 2硬件化 3专业化 4互联化 5标准化,10.4 基于数据挖掘的智能化入侵检测系统设计,入侵检测的实质就是对审计数据进行分析和定性,数据挖掘强大的分析方法可以用于入侵检测的建模。使用数据挖掘中有关算法对审计数据进行关联分析和序列分析,可以挖掘出关联规则和序列规则。通过这种方法,管理员不再需要手动分析并编写入侵模式,也无需在建立正常使用模式时,凭经验去猜测其特征项,具有很好的可扩展性和适应性。,10.4.1 入侵检测系统体系结构以及模型,图10.11 系统体系结构模型图,10.4.2 数据预处理 主要提取的特征值有以下几个。 (1)网络连接特征 (2)连

14、接的统计特征 对于入侵检测系统,尤其是在需要进行实时检测的情况下,适当的数据约简是必要的。,10.4.3 基于协议分析的检测方法 基于协议分析的检测方法,在进行TCP/IP解析以后,还要根据上层应用层的不同协议进行不同的解析。,10.4.4 数据挖掘规则生成模块 规则挖掘模块实现规则的挖掘和动态增加、修改的功能,如图10.12所示。规则挖掘模块把收集到的数据(通过嗅探器得到)进行协议分析,将结果存储到中间数据库里,按照一定的策略(或者是手工或者是按照以前的先验规则)进行打标,将打标后的数据分离,形成含有若干条件属性和决策属性的决策表,最后使用一些数据挖掘的工具和算法进行约简,得到规则。,图10.12 规则挖掘模块,其中,智能数据处理模块使用Rough Set理论挖掘算法来实现,从决策表中寻找决策规则的具体步骤如下。 (1)数据预处理:包括删除重复的记录,决策表补齐和数据离散化。 (2)删除多余的属性,求出属性约简。 (3)删除多余的属性值,得到值约简。 (4)根据值约简求出逻辑规则。,图10.13 Internet邮件传送示意图,基于Rough Set理论,从决策表中寻找决策规则的一般步骤如下。 (1)数据预处理:包括删除重复记录,决策表补齐和数据离散化。 (2)删除多余属性,求出属性约简。 (3)删除多余的属性值,得到值约简。 (4)根据值约简求出逻辑规则。,

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 其他


经营许可证编号:宁ICP备18001539号-1