Unit4入侵檢測(cè)中的數(shù)據(jù)分析.ppt

入侵檢測(cè)及掃描技術(shù), 數(shù)據(jù)分析技術(shù),主要內(nèi)容,通用入侵檢測(cè)模型 誤用檢測(cè)技術(shù) 異常檢測(cè)技術(shù) 其他檢測(cè)技術(shù),通用入侵檢測(cè)模型,1987年，Denning提出了一個(gè)抽象的通用入侵檢測(cè)模型。 該模型主要由6部分構(gòu)成：主體，對(duì)象，審計(jì)記錄，活動(dòng)簡(jiǎn)檔，異常記錄，活動(dòng)規(guī)則。 IDES與它的后繼版本NIDES都完全基于Denning的模型，但并不是所有的IDS都能夠完全符合該模型。,通用入侵檢測(cè)模型示意圖,數(shù)據(jù)分析模型,數(shù)據(jù)分析是入侵檢測(cè)的核心功能，主要有兩種，即異常檢測(cè)模型和誤用檢測(cè)模型。 功能是： 數(shù)據(jù)預(yù)處理：把收集到數(shù)據(jù)定制成統(tǒng)一的規(guī)范格式。 數(shù)據(jù)分類(lèi)：將數(shù)據(jù)分成有入侵、無(wú)入侵和不確定 后期處理：和知識(shí)庫(kù)進(jìn)行對(duì)比 結(jié)果反饋和提煉：可以是報(bào)警、日志記錄、自動(dòng)響應(yīng)或其他由操作員定義的動(dòng)作。,入侵檢測(cè)技術(shù),1 誤用檢測(cè)技術(shù),方法：首先對(duì)標(biāo)識(shí)特定入侵的行為模式進(jìn)行編碼，建立誤用模式庫(kù)，然后對(duì)實(shí)際檢測(cè)過(guò)程中得到的審計(jì)事件數(shù)據(jù)進(jìn)行過(guò)濾，檢查是否包含入侵行為的知識(shí)。 缺點(diǎn)：只能檢測(cè)已知的攻擊模式。需要不斷的、及時(shí)地升級(jí)。 主要包括： 簡(jiǎn)單模式匹配 專(zhuān)家系統(tǒng) 狀態(tài)轉(zhuǎn)移法 等,1.1 簡(jiǎn)單模式匹配,優(yōu)點(diǎn)是：原理簡(jiǎn)單，實(shí)現(xiàn)、配置、維護(hù)方便，檢測(cè)效率高； 缺點(diǎn)是：只適用于簡(jiǎn)單的攻擊方式、誤報(bào)率高； 代表系統(tǒng)： Snort：跨平臺(tái)的網(wǎng)絡(luò)IDS（NIDS）工具 Bro：由美國(guó)Lawrence Berkeley國(guó)家實(shí)驗(yàn)室開(kāi)發(fā)，是NIDS。,1.2 專(zhuān)家系統(tǒng)（expert system）,工作方式是：使用類(lèi)似if-then的規(guī)則格式輸入已有的知識(shí)（攻擊模式），然后輸入待檢測(cè)數(shù)據(jù)（審計(jì)事件記錄），系統(tǒng)根據(jù)知識(shí)庫(kù)中內(nèi)容對(duì)檢測(cè)數(shù)據(jù)進(jìn)行評(píng)估和判斷。 代表系統(tǒng): MIDAS IDES Next Generation IDES（NIDES） DIDS CMDS,專(zhuān)家系統(tǒng)的優(yōu)缺點(diǎn),優(yōu)點(diǎn)： 其推理過(guò)程是自治的黑盒，不需用戶(hù)理解和干預(yù) 缺點(diǎn)： 處理海量數(shù)據(jù)時(shí)存在效率問(wèn)題，因?yàn)閷?zhuān)家系統(tǒng)的推理通常使用解釋型語(yǔ)言； 缺乏處理數(shù)據(jù)前后的相關(guān)性問(wèn)題的能力； 性能取決于設(shè)計(jì)者的知識(shí)和技能； 只能檢測(cè)已知的攻擊模式； 規(guī)則庫(kù)的維護(hù)較困難。,1.3 狀態(tài)轉(zhuǎn)移法,采用優(yōu)化的模式匹配技術(shù) 實(shí)現(xiàn)狀態(tài)轉(zhuǎn)移的入侵檢測(cè)可使用以下方法： 狀態(tài)轉(zhuǎn)移分析（state transition analysis） 著色Petri網(wǎng)（Colored petri nets 或CP-nets） 基于語(yǔ)言/應(yīng)用程序接口的方法（Languages/API base approach）,1.3.1 狀態(tài)轉(zhuǎn)移分析,是一種使用高層狀態(tài)轉(zhuǎn)移圖來(lái)表示和檢測(cè)已知攻擊模式的誤用檢測(cè)技術(shù)。 該技術(shù)首先在STAT系統(tǒng)及USTAT中實(shí)現(xiàn)，STAT系統(tǒng)由美國(guó)加州大學(xué)Santa Barbaba分校的Pillip Porras和Richard Kemmerer開(kāi)發(fā)，USTAT則由Koral Ilgun和Kemmerer完成。 把入侵者滲透的過(guò)程看作是從有限的特權(quán)開(kāi)始，利用系統(tǒng)存在的脆弱性，逐步提升自身的權(quán)限。把攻擊者獲得的權(quán)限或攻擊成功的結(jié)果表示為系統(tǒng)狀態(tài)。,狀態(tài)轉(zhuǎn)移分析（續(xù)）,特點(diǎn)： 使用有限狀態(tài)機(jī)模型來(lái)表示入侵過(guò)程 入侵過(guò)程由一系列導(dǎo)致系統(tǒng)從初始狀態(tài)到入侵狀態(tài)的行為組成：初始狀態(tài)表示入侵發(fā)生之前的系統(tǒng)狀態(tài)，入侵狀態(tài)則表示入侵完成后系統(tǒng)所處的狀態(tài)。 用戶(hù)的行為和動(dòng)作導(dǎo)致系統(tǒng)狀態(tài)的轉(zhuǎn)變。,1.3.2 著色Petri網(wǎng)和IDIOT系統(tǒng),由Purdue 大學(xué)的Sandeep Kumar和Gene Spaffford設(shè)計(jì)。IDIOT系統(tǒng)是該方法的具體實(shí)現(xiàn)。 關(guān)注事件與所處系統(tǒng)環(huán)境之間的關(guān)系，每種入侵模式都與先前所具備的條件以及隨后發(fā)生的動(dòng)作相關(guān)，該關(guān)系模式可精確描述入侵和入侵企圖，并提供一種通用的、與系統(tǒng)架構(gòu)無(wú)關(guān)的模式表達(dá)和匹配模型。 優(yōu)點(diǎn)是： 檢測(cè)效率高 入侵特征具備跨平臺(tái)的可移植性 只需關(guān)注匹配內(nèi)容，無(wú)需關(guān)心匹配方式,2 異常檢測(cè)技術(shù),基于以下假設(shè)：程序的執(zhí)行和用戶(hù)行為在系統(tǒng)特性上呈現(xiàn)緊密相關(guān)性。 如：某些特權(quán)程序總是訪問(wèn)特定目錄下的系統(tǒng)文件，程序員則經(jīng)常編輯和編譯C程序。 關(guān)鍵：正常使用模式的建立，如何利用該模式對(duì)當(dāng)前系統(tǒng)/用戶(hù)行為進(jìn)行比較，從而判斷出于正常模式的偏離程度。 缺點(diǎn)：容易產(chǎn)生漏報(bào) 主要包括以下方法： 用戶(hù)行為概率統(tǒng)計(jì)模型 基于規(guī)則的檢測(cè) 神經(jīng)網(wǎng)絡(luò),統(tǒng)計(jì)分析,入侵檢測(cè)專(zhuān)家系統(tǒng)（IDES/NIDES）：由SRI開(kāi)發(fā)，對(duì)用戶(hù)和系統(tǒng)主體建立歷史統(tǒng)計(jì)模式 Haystack系統(tǒng)：由Tracor Applied Sciences and Haystack Laboratories（隸屬美國(guó)空軍）開(kāi)發(fā),基于規(guī)則的檢測(cè),W&S系統(tǒng)（Wisdom and Sense）:由美國(guó)Los Alamos國(guó)家實(shí)驗(yàn)室和Oak Ridge國(guó)家實(shí)驗(yàn)室的研究人員實(shí)現(xiàn)，可運(yùn)行于多種平臺(tái)，提供系統(tǒng)級(jí)和應(yīng)用級(jí)的行為提取功能。 基于時(shí)間的歸納推理機(jī)（Time based Inductive Machine,TIM）: 由Digital Equipment Corporation的研究人員提出，特點(diǎn)是可用推導(dǎo)算法自動(dòng)產(chǎn)生入侵規(guī)則。,基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè),使用自適應(yīng)學(xué)習(xí)技術(shù)來(lái)提取異常行為的特征，要對(duì)訓(xùn)練數(shù)據(jù)集進(jìn)行學(xué)習(xí)以得出正常的行為模式，保證訓(xùn)練數(shù)據(jù)的不包含任何入侵或異常的用戶(hù)行為。,3 其他檢測(cè)技術(shù),免疫系統(tǒng) 數(shù)據(jù)挖掘 遺傳算法 基于agent的檢測(cè)： 如AAFID,EMERALD,IDA 信息檢索技術(shù),參考文獻(xiàn)和資料(1),Forrest S, Hofmeyr S A, and Somayaji A. Computer Immunology. Communications of the ACM, 1997, 40(10):88-96. W Lee, S J Stolfo. Data Mining approaches for intrusion detectionC. In proceedings of the 7th USENIX Security symposium, Oakland, California, 1998 Ludovic Me. GASSATA, A genetic algorithm as an alternative tool for security audit trail analysis R. Cesson Sevigne Cedex, France: Superlec, 1996,參考文獻(xiàn)和資料(2),Ross Anderson, Abida Khattak. The use of information Retrieval techniques for intrusion detection. University of Cambridge, Computer Laboratory. 10th June 1997. /anderson97use.html. Steven A H. An immunological model of distributed detection and its application to computer security D. s.l.: University of New Mexico, 1999