入侵檢測(cè)系統(tǒng)57468new

1、IDES 是一個(gè)混合型的入侵檢測(cè)系統(tǒng)，使用一個(gè)在當(dāng)時(shí)來(lái)說(shuō)是創(chuàng)新的統(tǒng)計(jì)分析算法來(lái)檢測(cè)異常入侵行為，同時(shí)該系統(tǒng)還使用一個(gè)專家系統(tǒng)檢測(cè)模塊來(lái)對(duì)已知的入侵攻擊模式進(jìn)行檢測(cè)。DIDS系統(tǒng)設(shè)計(jì)的目標(biāo)環(huán)境是一組經(jīng)由以太局域網(wǎng)連接起來(lái)的主機(jī)，并且這些主機(jī)系統(tǒng)都滿足C2等級(jí)的安全審計(jì)功能要求。DIDS所要完成的任務(wù)是監(jiān)控網(wǎng)絡(luò)中各個(gè)主機(jī)的安全狀態(tài)，同時(shí)檢測(cè)針對(duì)局域網(wǎng)本身的攻擊行為。入侵檢測(cè) 是對(duì)企圖入侵，正在進(jìn)行的入侵或者已經(jīng)發(fā)生的入侵檢測(cè)系統(tǒng)，其中包括軟件系統(tǒng)以及軟硬件結(jié)合的系統(tǒng)。審計(jì)數(shù)據(jù)的獲取工作主要考慮下列問(wèn)題：1. 確定審計(jì)數(shù)據(jù)的來(lái)源和類型2. 審計(jì)數(shù)據(jù)的預(yù)處理工作，其中包括記錄標(biāo)準(zhǔn)格式的設(shè)計(jì)，過(guò)濾和映射

2、操作等3. 審計(jì)數(shù)據(jù)的獲取方式包括審計(jì)數(shù)據(jù)獲取模塊的結(jié)果設(shè)計(jì)和傳輸協(xié)議等審計(jì)數(shù)據(jù)模塊的主要作用是獲取目標(biāo)系統(tǒng)的審計(jì)數(shù)據(jù)，并經(jīng)過(guò)預(yù)處理工作后，最終目標(biāo)是為入侵檢測(cè)的處理模塊提供一條單一的審計(jì)記錄塊數(shù)據(jù)流，供其使用。鄰域接口包括兩個(gè)主要部件：目標(biāo)系統(tǒng)組建（Agen）和IDES組件（Arpool）。特征分析VS協(xié)議分析類型優(yōu)點(diǎn)缺點(diǎn)特征分析 在小規(guī)則集合情況下，工作速度快 檢測(cè)規(guī)則易于編寫、便于理解并且容易進(jìn)行定制 對(duì)新出現(xiàn)的攻擊手段，具備快速升級(jí)支持能力 對(duì)低層的簡(jiǎn)單腳本攻擊行為，具備良好的檢測(cè)性能 對(duì)所發(fā)生的攻擊行為類型，具備確定性的解釋能力 隨著規(guī)則集合規(guī)模的擴(kuò)大，檢測(cè)速度迅速下降 各種變種的攻

3、擊行為，易于造成過(guò)度膨脹的規(guī)則集合 較易產(chǎn)生虛警信息 僅能檢測(cè)到已知的攻擊類型，前提是該種攻擊類型的檢測(cè)特征已知協(xié)議分析 具備良好的性能可擴(kuò)展性，特別是在規(guī)則集合規(guī)模較大的情況下 能夠發(fā)現(xiàn)最新的未知安全漏洞（Zero-Day Exploits） 較少出現(xiàn)虛警信息 在小規(guī)則集合情況下，初始的檢測(cè)速度相對(duì)較慢 檢測(cè)規(guī)則比較復(fù)雜，難以編寫和理解并且通常是由特定廠商實(shí)現(xiàn) 協(xié)議復(fù)雜性的擴(kuò)展以及實(shí)際實(shí)現(xiàn)的多樣性，容易導(dǎo)致規(guī)則擴(kuò)展的困難 對(duì)發(fā)現(xiàn)的攻擊行為類型，缺乏明確的解釋信息P2DR模型是一個(gè)動(dòng)態(tài)的計(jì)算機(jī)系統(tǒng)安全理論模型.P2DR特點(diǎn)是動(dòng)態(tài)性和基于時(shí)間的特性P2DR模型的內(nèi)容包括如下。策略： P2DR模型

4、的核心內(nèi)容。具體實(shí)施過(guò)程中，策略規(guī)定了系統(tǒng)所要達(dá)到的安全目標(biāo)和為達(dá)到目標(biāo)所采取的各種具體安全措施及其實(shí)施強(qiáng)度等。 防護(hù)： 具體包括制定安全管理規(guī)則、進(jìn)行系統(tǒng)安全配置工作以及安裝各種安全防護(hù)設(shè)備。 檢測(cè)： 在采取各種安全措施后，根據(jù)系統(tǒng)運(yùn)行情況的變化，對(duì)系統(tǒng)安全狀態(tài)進(jìn)行實(shí)時(shí)的動(dòng)態(tài)監(jiān)控。 響應(yīng)： 當(dāng)發(fā)現(xiàn)了入侵活動(dòng)或入侵結(jié)果后，需要系統(tǒng)作出及時(shí)的反應(yīng)并采取措施，其中包括記錄入侵行為、通知管理員、阻斷進(jìn)一步的入侵活動(dòng)以及恢復(fù)系統(tǒng)正常運(yùn)行等。STAT系統(tǒng)架構(gòu)示意圖基于狀態(tài)轉(zhuǎn)移分析的檢測(cè)模型，將攻擊者的入侵行為描繪為一系列的特征操作及其所引起的一系列系統(tǒng)狀態(tài)轉(zhuǎn)換過(guò)程，從而使得目標(biāo)系統(tǒng)從初始狀態(tài)轉(zhuǎn)移到攻擊者

5、所期望的危害狀態(tài)。它所具有的優(yōu)點(diǎn)如下： 直接采用審計(jì)記錄序列來(lái)表示攻擊行為的方法不具備直觀性。而STAT采用高層的狀態(tài)轉(zhuǎn)移表示方法來(lái)表示攻擊過(guò)程，避免了這一問(wèn)題。 對(duì)于同一種攻擊行為可能對(duì)應(yīng)著不同的審計(jì)記錄序列，這些不同審計(jì)記錄序列可能僅僅因?yàn)橐恍┘?xì)微的差別而無(wú)法被采用直接匹配技術(shù)的檢測(cè)系統(tǒng)察覺(jué)，而STAT可以較好地處理這種情況。 STAT能夠檢測(cè)到由多個(gè)攻擊者所共同發(fā)起的協(xié)同攻擊，以及跨越多個(gè)進(jìn)程的攻擊行為。另外，STAT的一大特色就是具備在某種攻擊行為尚未造成實(shí)質(zhì)危害時(shí)，就及時(shí)檢測(cè)到并采取某種響應(yīng)措施的能力。4種可以用于入侵檢測(cè)的統(tǒng)計(jì)模型. 統(tǒng)計(jì)分析系統(tǒng)中不同類型的單獨(dú)測(cè)量值（1） 操作模

6、型 （1） 活動(dòng)強(qiáng)度測(cè)量值（2） 均值與標(biāo)準(zhǔn)偏差模型 （2） 審計(jì)記錄分布測(cè)量值（3） 多元模型 （3） 類別測(cè)量值（4） 馬爾可夫過(guò)程模型 （4） 序數(shù)測(cè)量值神經(jīng)網(wǎng)絡(luò)技術(shù)應(yīng)用于入侵檢測(cè)領(lǐng)域具有以下優(yōu)勢(shì): 神經(jīng)網(wǎng)絡(luò)具有概括和抽象能力，對(duì)不完整輸入信息具有一定程度的容錯(cuò)處理能力。 神經(jīng)網(wǎng)絡(luò)具備高度的學(xué)習(xí)和自適應(yīng)能力。 神經(jīng)網(wǎng)絡(luò)所獨(dú)有的內(nèi)在并行計(jì)算和存儲(chǔ)特性。神經(jīng)網(wǎng)絡(luò)技術(shù)在入侵檢測(cè)中的應(yīng)用還存在以下缺陷和不足： 需要解決神經(jīng)網(wǎng)絡(luò)對(duì)大容量入侵行為類型的學(xué)習(xí)能力問(wèn)題。 需要解決神經(jīng)網(wǎng)絡(luò)的解釋能力不足的問(wèn)題。 執(zhí)行速度問(wèn)題。要解決這個(gè)問(wèn)題，或許需要設(shè)計(jì)專門的神經(jīng)網(wǎng)絡(luò)計(jì)算芯片或者計(jì)算機(jī)。KDD技術(shù)通常包括

7、以下步驟： 理解應(yīng)用背景。 數(shù)據(jù)準(zhǔn)備。 數(shù)據(jù)挖掘。 結(jié)果解析。 使用所發(fā)現(xiàn)的知識(shí)入侵檢測(cè)相關(guān)的算法類別（1） 分類算法目標(biāo)是將特定的數(shù)據(jù)項(xiàng)歸入預(yù)先定義好的某個(gè)類別。常用： RIPPER、C4.5、Nearest Neighbor（2） 關(guān)聯(lián)分析算法用于確定數(shù)據(jù)記錄中各個(gè)字段之間的聯(lián)系。主流有Apriori算法、AprioriTid算法。（3） 序列分析算法發(fā)掘數(shù)據(jù)集中存在的序列模式，即不同數(shù)據(jù)記錄間的相關(guān)性。常見(jiàn)： ArpioriAll算法、DynamicSome算法和AprioriSome算法等。數(shù)據(jù)融合是一種多層次的、多方面的處理過(guò)程，這個(gè)過(guò)程是對(duì)多源數(shù)據(jù)進(jìn)行檢測(cè)、結(jié)合、相關(guān)、估計(jì)和組合以

8、達(dá)到精確的狀態(tài)估計(jì)和身份估計(jì)，以及完整、及時(shí)的態(tài)勢(shì)評(píng)估和威脅估計(jì)。簡(jiǎn)而言之，數(shù)據(jù)融合的基本目的就是通過(guò)組合，可以比從任何單個(gè)輸入數(shù)據(jù)元素獲得更多的信息計(jì)算機(jī)免疫技術(shù)特征： 多層次保護(hù)機(jī)制。 高度分布式的檢測(cè)和記憶系統(tǒng)。 多樣化的個(gè)體檢測(cè)能力。 識(shí)別未知異體的能力。進(jìn)化計(jì)算的主要算法：遺傳算法、進(jìn)化規(guī)劃、進(jìn)化策略、分類器系統(tǒng)和遺傳規(guī)劃應(yīng)用遺傳規(guī)劃來(lái)解決問(wèn)題的步驟如下： 生成初始的包含多個(gè)計(jì)算機(jī)程序的群體，其中每個(gè)程序個(gè)體都包括函數(shù)和變量集合的隨機(jī)組合。 執(zhí)行群體中的每個(gè)程序個(gè)體，然后根據(jù)它們解決問(wèn)題的性能，賦予每個(gè)個(gè)體一個(gè)適應(yīng)性度量值 通過(guò)執(zhí)行遺傳算子操作（復(fù)制、變異和交叉交換），創(chuàng)建一個(gè)新的程

9、序個(gè)體群體。 選擇群體中的一個(gè)或多個(gè)最佳程序個(gè)體作為解決問(wèn)題的方法。用戶需求分析：1. 檢測(cè)功能需求2. 響應(yīng)需求3. 操作需求4. 平臺(tái)范圍需求5. 數(shù)據(jù)來(lái)源需求6. 檢測(cè)性能需求7. 可伸縮性需求8. 取證和訴訟需求9. 其他需求系統(tǒng)安全設(shè)計(jì)原則1. 機(jī)制的經(jīng)濟(jì)性原則2. 可靠默認(rèn)原則3. 完全調(diào)節(jié)原則4. 開(kāi)放設(shè)計(jì)原則5. 特權(quán)分割原則6. 最小權(quán)限原則7. 最小通用原則8. 心理可接受原則以IDES系統(tǒng)為例。IDES收集到的審計(jì)數(shù)據(jù)，分為4個(gè)典型類型。1.文件訪問(wèn):包括對(duì)文件和目錄進(jìn)行的操作，如讀取寫入創(chuàng)建刪除和訪問(wèn)控制列表的修改。2.系統(tǒng)訪問(wèn): 包括登錄、退出、調(diào)用以及終止超級(jí)用戶權(quán)限等。3.資源消