TCSP入侵檢測技術(shù)原理

TCSP－－入侵檢測技術(shù)原理網(wǎng)絡入侵的現(xiàn)狀深層防御體系及IDS的作用IDS的分類方法學IDS的結(jié)構(gòu)入侵檢測的困惑第四代入侵檢測技術(shù)入侵檢測的新發(fā)展內(nèi)容提要網(wǎng)絡安全網(wǎng)絡安全對應的英文是NetworkSecurity。Security和safety都譯為“安全”，但二者其實是有區(qū)別的，safety更側(cè)重物理實體上的安全。網(wǎng)絡安全領域的研究主要集中在計算機網(wǎng)絡。網(wǎng)絡安全基本上是一個實踐性的技術(shù)領域。安全威脅來源內(nèi)部人員特殊身份人員外部個人和小組（所謂黑客）競爭對手和恐怖組織敵對國家和軍事組織自然和不可抗力網(wǎng)絡安全范疇網(wǎng)絡安全范疇包括的要素：數(shù)據(jù)：包括網(wǎng)絡上傳輸?shù)臄?shù)據(jù)和端系統(tǒng)中的數(shù)據(jù)。關(guān)系：網(wǎng)絡作為交流的重要手段，涉及到通信各方信賴關(guān)系的建立與維護，信賴關(guān)系就意味著能力和數(shù)據(jù)訪問權(quán)力的獲取。能力：包括網(wǎng)絡系統(tǒng)的傳輸能力與端系統(tǒng)的能力。網(wǎng)絡安全范疇網(wǎng)絡安全包含基本方面：數(shù)據(jù)保護：包括數(shù)據(jù)的機密性保護和完整性保護，這方面的理論比較完備（加密體制和算法）實現(xiàn)手段也比較完備。（信賴）關(guān)系保護：包括身份鑒別與安全的建立、維護信賴關(guān)系?；臼侄伟用芘c協(xié)議的安全設計。理論比較完備，實現(xiàn)手段有一定漏洞。能力保護：包括對網(wǎng)絡系統(tǒng)的傳輸功能與端系統(tǒng)的處理功能的保護。這方面的理論基礎基本上是實踐經(jīng)驗的總結(jié)，運用的手段也基本上是試驗性的。能力保護相關(guān)的工作也是入侵檢測系統(tǒng)發(fā)揮作用之處。PPDR模型PPDR模型：策略（Policy）、防護（Protection）、檢測（Detection）、響應（Response）這是一個螺旋上升的過程，如下圖：圖一、PPDR模型示意圖PPDR模型策略是這個模型的核心，在制定好策略之后，網(wǎng)絡安全的其他幾個方面就要圍繞策略進行。防護是第一步，它的基礎是檢測與響應的結(jié)果。具體包括：安全規(guī)章的制定：在安全策略的基礎上制定安全細則。系統(tǒng)的安全配置：安裝各種必要補丁，并進行仔細配置。安全措施的采用：安裝防火墻、IDS、VPN軟件或設備等。檢測就是彌補防護對于攻擊的滯后時間的必要手段。檢測作用包括：異常監(jiān)視：發(fā)現(xiàn)系統(tǒng)的異常情況。如不正常的登陸。模式發(fā)現(xiàn)：對已知的攻擊模式進行發(fā)現(xiàn)。響應就是發(fā)現(xiàn)攻擊企圖或者攻擊之后，需要系統(tǒng)及時進行反應報告：讓管理員知道是否有入侵。記錄：記錄入侵的各個細節(jié)以及系統(tǒng)的反應。反應：進行相應的處理以阻止進一步的入侵?；謴停呵宄朐斐傻挠绊?，使系統(tǒng)恢復正常。網(wǎng)絡安全事件分類互聯(lián)網(wǎng)安全事件分類：網(wǎng)頁篡改網(wǎng)絡蠕蟲拒絕服務攻擊特羅伊木馬安全事件分類網(wǎng)頁篡改非法篡改主頁是指將網(wǎng)站中的主頁更換為黑客所提供的網(wǎng)頁。對計算機系統(tǒng)本身不會產(chǎn)生直接的損失，但對電子政務與電子商務等應用來說將被迫終止對外的服務。對政府網(wǎng)站而言，網(wǎng)頁的篡改，尤其是含有政治攻擊色彩的篡改，會對政府形象造成嚴重損害。針對網(wǎng)頁的篡改，目前國內(nèi)已有成熟的網(wǎng)頁自動保護技術(shù)，使用網(wǎng)頁自動恢復軟件。安全事件分類網(wǎng)絡蠕蟲網(wǎng)絡蠕蟲是指一種可以不斷復制自己并在網(wǎng)絡中傳播的程序。它利用互聯(lián)網(wǎng)上計算機系統(tǒng)的漏洞進入系統(tǒng)，自我復制，并繼續(xù)向互聯(lián)網(wǎng)上的其它系統(tǒng)進行傳播。它的危害通常有兩個方面：蠕蟲在進入被攻擊的系統(tǒng)后，一旦具有控制系統(tǒng)的能力，就可以使得該系統(tǒng)被他人遠程操縱。其危害一是重要系統(tǒng)會出現(xiàn)失密現(xiàn)象，二是會被利用來對其他系統(tǒng)進行攻擊。蠕蟲的不斷蛻變并在網(wǎng)絡上的傳播，可能導致網(wǎng)絡被阻塞的現(xiàn)象發(fā)生，從而致使網(wǎng)絡癱瘓。網(wǎng)絡計算機病毒可以看作是網(wǎng)絡蠕蟲的特例，其差別僅是需要附著在其他程序上進行傳播。安全事件分類拒絕服務攻擊

拒絕服務攻擊是指在互聯(lián)網(wǎng)上組織多臺或大量的計算機針對某一個特定的計算機進行大規(guī)模的訪問，使得被訪問的計算機窮于應付來勢兇猛的訪問而不能再提供正常的服務。對拒絕服務攻擊的處置方法只能通過網(wǎng)絡管理部門逐一排查攻擊源，并協(xié)調(diào)各攻擊源所在運營商進行清理。安全事件分類特羅伊木馬

特羅伊木馬（簡稱木馬）是一種隱藏在計算機系統(tǒng)中不為用戶所知的惡意程序，通常用于潛伏在計算機系統(tǒng)中來與外界連接，并接受外界的指令。被植入木馬的計算機系統(tǒng)內(nèi)的所有文件都會被外界所獲得，并且該系統(tǒng)也會被外界所控制，也可能會被利用作為攻擊其它系統(tǒng)的攻擊源。對這類問題的檢查，通常需要非常有經(jīng)驗的技術(shù)人員才能勝任。

我國互聯(lián)網(wǎng)安全狀況信息和網(wǎng)絡的安全防護能力差

我國現(xiàn)在許多應用網(wǎng)絡系統(tǒng)處于不設防狀態(tài)，存在極大的信息安全風險和隱患?；A信息產(chǎn)業(yè)嚴重依靠國外

我國的信息化建設，基本上是依賴國外技術(shù)設備裝備起來的。我們對其的研發(fā)、生產(chǎn)能力很弱，關(guān)鍵部位完全處于受制于人的地位。信息安全管理機構(gòu)權(quán)威性不夠

國家在信息安全問題上缺乏一個專門的權(quán)威性機構(gòu)。信息安全相關(guān)的民間管理機構(gòu)與國家信息化領導機構(gòu)之間還沒有充分溝通協(xié)調(diào)。全社會的信息安全意識淡薄

信息安全領域在研究開發(fā)、產(chǎn)業(yè)發(fā)展、人才培養(yǎng)、隊伍建設等方面和迅速發(fā)展的形勢極不適應，只是作為信息化的研究分支立項，投人很少，和國外差距越來越遠。IDS定義

IDS——入侵檢測系統(tǒng)入侵檢測：對系統(tǒng)的運行狀態(tài)進行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證系統(tǒng)資源的機密性、完整性和可用性。入侵檢測系統(tǒng)：進行入侵檢測的軟件與硬件的組合IDS屬性經(jīng)濟性時效性安全性可擴展性IDS起源1980年4月，JamesP.Anderson《ComputerSecurityThreatMonitoringandSurveillance》（計算機安全威脅監(jiān)控與監(jiān)視）第一次詳細闡述了入侵檢測的概念計算機系統(tǒng)威脅分類:外部滲透、內(nèi)部滲透和不法行為提出了利用審計跟蹤數(shù)據(jù)監(jiān)視入侵活動的思想這份報告被公認為是入侵檢測的開山之作。IDS起源從1984年到1986年喬治敦大學的DorothyDenningSRI/CSL的PeterNeumann研究出了一個實時入侵檢測系統(tǒng)模型—IDES（入侵檢測專家系統(tǒng)）。IDS起源

1990，加州大學戴維斯分校的L.T.Heberlein等人開發(fā)出了NSM（NetworkSecurityMonitor）該系統(tǒng)第一次直接將網(wǎng)絡流作為審計數(shù)據(jù)來源，因而可以在不將審計數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一格式的情況下監(jiān)控異種主機入侵檢測系統(tǒng)發(fā)展史翻開了新的一頁，兩大陣營正式形成：基于網(wǎng)絡的IDS和基于主機的IDS。1994年提出自治代理，以提高IDS的可伸縮性、可維護性、效率與容錯性。1998年將信息檢索技術(shù)應用到入侵檢測系統(tǒng)。2000年出現(xiàn)分布式入侵檢測系統(tǒng)，是IDS發(fā)展史上的一個里程碑。IDS起源IDS的基本原理活動數(shù)據(jù)源感應器分析器管理器操作員管理員事件警報通告應急安全策略安全策略入侵檢測系統(tǒng)原理圖網(wǎng)絡入侵的現(xiàn)狀深層防御體系及IDS的作用IDS的分類方法學IDS的結(jié)構(gòu)入侵檢測的困惑第四代入侵檢測技術(shù)入侵檢測的新發(fā)展內(nèi)容提要一種高級訪問控制設備，置于不同網(wǎng)絡安全域之間的一系列部件的組合，它是不同網(wǎng)絡安全域間通信流的唯一通道，能根據(jù)企業(yè)有關(guān)的安全政策控制（允許、拒絕、監(jiān)視、記錄）進出網(wǎng)絡的訪問行為。兩個安全域之間通信流的唯一通道安全域1HostAHostB安全域2HostCHostDUDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根據(jù)訪問控制規(guī)則決定進出網(wǎng)絡的行為防火墻的作用防火墻的局限%c1%1c%c1%1cDirc:\

防火墻的局限防火墻的局限

據(jù)統(tǒng)計，80%的成功攻擊來自于防火墻內(nèi)部！

防火墻的局限防火墻不能防止通向站點的后門。防火墻一般不提供對內(nèi)部的保護。防火墻無法防范數(shù)據(jù)驅(qū)動型的攻擊。防火墻不能防止用戶由Internet上下載被病毒感染的計算機程序或者將該類程序附在電子郵件上傳輸。確保網(wǎng)絡的安全,就要對網(wǎng)絡內(nèi)部進行實時的檢測,這就需要IDS無時不在的防護！什么是入侵行為入侵行為主要是指對系統(tǒng)資源的非授權(quán)使用，它可以造成系統(tǒng)數(shù)據(jù)的丟失和破壞、可以造成系統(tǒng)拒絕對合法用戶服務等危害。什么是入侵檢測系統(tǒng)IDS（IntrusionDetectionSystem）就是入侵檢測系統(tǒng)，它通過抓取網(wǎng)絡上的所有報文，分析處理后，報告異常和重要的數(shù)據(jù)模式和行為模式，使網(wǎng)絡安全管理員清楚地了解網(wǎng)絡上發(fā)生的事件，并能夠采取行動阻止可能的破壞。什么是入侵檢測系統(tǒng)入侵檢測系統(tǒng)網(wǎng)絡數(shù)據(jù)包的獲取——混雜模式網(wǎng)絡數(shù)據(jù)包的解碼——協(xié)議分析網(wǎng)絡數(shù)據(jù)包的檢查——規(guī)則匹配網(wǎng)絡數(shù)據(jù)包的統(tǒng)計——異常檢測網(wǎng)絡數(shù)據(jù)包的審查——事件生成監(jiān)控室=控制中心后門保安=防火墻攝像機=探測引擎CardKey形象地說，它就是網(wǎng)絡攝象機，能夠捕獲并記錄網(wǎng)絡上的所有數(shù)據(jù)，同時它也是智能攝象機，能夠分析網(wǎng)絡數(shù)據(jù)并提煉出可疑的、異常的網(wǎng)絡數(shù)據(jù)，它還是X光攝象機，能夠穿透一些巧妙的偽裝，抓住實際的內(nèi)容。它還不僅僅只是攝象機，還包括保安員的攝象機，能夠?qū)θ肭中袨樽詣拥剡M行反擊：阻斷連接、關(guān)閉道路（與防火墻聯(lián)動）。在安全體系中，IDS是唯一一個通過數(shù)據(jù)和行為模式判斷其是否有效的系統(tǒng)，防火墻就象一道門，它可以阻止一類人群的進入，但無法阻止同一類人群中的破壞分子，也不能阻止內(nèi)部的破壞分子；訪問控制系統(tǒng)可以不讓低級權(quán)限的人做越權(quán)工作，但無法保證高級權(quán)限的做破壞工作，也無法保證低級權(quán)限的人通過非法行為獲得高級權(quán)限入侵檢測系統(tǒng)的作用入侵檢測系統(tǒng)的職責IDS系統(tǒng)的兩大職責：實時檢測和安全審計。實時監(jiān)測——實時地監(jiān)視、分析網(wǎng)絡中所有的數(shù)據(jù)報文，發(fā)現(xiàn)并實時處理所捕獲的數(shù)據(jù)報文；安全審計——通過對IDS系統(tǒng)記錄的網(wǎng)絡事件進行統(tǒng)計分析，發(fā)現(xiàn)其中的異?，F(xiàn)象，得出系統(tǒng)的安全狀態(tài)，找出所需要的證據(jù)。入侵檢測系統(tǒng)的具體工作監(jiān)控網(wǎng)絡和系統(tǒng)發(fā)現(xiàn)入侵企圖或異?，F(xiàn)象實時報警主動響應與其它設備聯(lián)動（防火墻、風險評估系統(tǒng)等）深層次防御體系的組成

聯(lián)動入侵檢測防火墻入侵檢測防御體系中的作用實時性協(xié)議層次應用層表示層會話層傳輸層IP層數(shù)據(jù)鏈層物理層實時準實時事后實時分析所有的數(shù)據(jù)包，決定是否允許通過監(jiān)控所有的數(shù)據(jù)包，判斷是否非法，進行相應處理（如阻斷或者報警）記錄所有的操作以備事后查詢?yōu)橄到y(tǒng)提供全方位的保護審計系統(tǒng)深層次防御體系的特點深度防御可以對整個網(wǎng)絡提供不同級別的保護將網(wǎng)絡系統(tǒng)劃分安全級別并進行相應保護深度防御可以對入侵破壞行為進行取證IDS和審計系統(tǒng)可以進行電子取證深度防御可以有效防止蠕蟲、病毒的威脅IDS是網(wǎng)絡動態(tài)防病毒的核心組成深度防御能夠?qū)ο到y(tǒng)提供最完備的保護從物理層直至應用層都可以得到保護深度防御不會破壞系統(tǒng)的效率和穩(wěn)定性針對不同實時和效率要求進行不同保護深度防御可以識別、防范未知的新攻擊方式基于異常分析和行為分析的入侵檢測如何選擇合適的入侵檢測系統(tǒng)對入侵和攻擊的全面檢測能力新漏洞及最新的入侵手段（本地化的研發(fā)和售后服務）對抗欺騙的能力防誤報及漏報的能力（模式匹配、異常分析和智能分析）對抗攻擊的能力對抗針對IDS的拒絕服務的能力（事件風暴的防御）報警及阻斷能力多種類型的報警及阻斷功能可以提供全方位的保護本身的安全性IDS自身的加密認證及安全措施，惡意代碼或數(shù)據(jù)回傳人機界面方便管理，降低管理人員的負擔（多級控制，豐富報表等）網(wǎng)絡入侵的現(xiàn)狀深層防御體系及IDS的作用IDS的分類方法學IDS的結(jié)構(gòu)入侵檢測的困惑第四代入侵檢測技術(shù)入侵檢測的新發(fā)展內(nèi)容提要IDS分類方法學根據(jù)體系結(jié)構(gòu)進行分類根據(jù)檢測原理進行分類根據(jù)系統(tǒng)特征進行分類根據(jù)體系結(jié)構(gòu)進行分類集中式：這種結(jié)構(gòu)的IDS可能有多個分布在不同主機上的審計程序，但只有一個中央入侵檢測服務器。等級式：定義了若干個分等級的監(jiān)控區(qū)，每個IDS負責一個區(qū)，每一級IDS只負責所控區(qū)的分析，然后將當?shù)氐姆治鼋Y(jié)果傳送給上一級。協(xié)作式：將中央檢測服務器的任務分佩給多個基于主機的IDS，這些IDS不分等級，各司其職，負責監(jiān)控當?shù)刂鳈C的某些活動。根據(jù)檢測原理進行分類異常檢測(AnomalyDetection)：這種檢測方法是首先總結(jié)正常操作應該具有的特征；在得出正常操作的模型之后，對后續(xù)的操作進行監(jiān)視，一旦發(fā)現(xiàn)偏離正常統(tǒng)計學意義上的操作模式，即進行報警。誤用檢測(MisuseDetection)：這種檢測方法是收集非正常操作（入侵）行為的特征，建立相關(guān)的特征庫；在后續(xù)的檢測過程中，將收集到的數(shù)據(jù)與特征庫中的特征代碼進行比較，得出是否有入侵行為。異常檢測前提：入侵是異?；顒拥淖蛹脩糨喞?Profile):通常定義為各種行為參數(shù)及其閥值的集合，用于描述正常行為范圍過程監(jiān)控

量化比較判定

修正指標:漏報率低,誤報率高異常檢測特點異常檢測系統(tǒng)的效率取決于用戶輪廓的完備性和監(jiān)控的頻率因為不需要對每種入侵行為進行定義，因此能有效檢測未知的入侵系統(tǒng)能針對用戶行為的改變進行自我調(diào)整和優(yōu)化，但隨著檢測模型的逐步精確，異常檢測會消耗更多的系統(tǒng)資源異常檢測的常用技術(shù)基于統(tǒng)計學方法的異常檢測系統(tǒng)典型例子：NIDES基于神經(jīng)網(wǎng)絡的異常檢測系統(tǒng)典型例子：NNID基于數(shù)據(jù)挖掘技術(shù)的異常檢測系統(tǒng)典型例子：MADAMID使用狀態(tài)機的異常檢測系統(tǒng)異常檢測模型異常檢測實現(xiàn)自學習系統(tǒng)：自學習系統(tǒng)通過學習事例構(gòu)建正常行為模型時序的非時序的編程系統(tǒng)：該類系統(tǒng)需要通過編程學習如何檢測確定的異常事件，從而讓用戶知道什么樣的異常行為足以破壞系統(tǒng)的安全。描述統(tǒng)計缺省否認異常檢測實例分析NIDES引入的概念：度量（Measure）：主體行為的特性使用度量分為四類：行為強度(ActivityIntensity)度量審計記錄分布(auditrecorddistribution)度量絕對的(categorical)度量持續(xù)的(continuous)度量半生（Harf-life）、老化因子（AgingFactor）統(tǒng)計方法異常檢測實例分析不同的量度的使用目的：行為強度量度確定產(chǎn)生的活動量是否正常審計紀錄分布量度確定最近產(chǎn)生的審計記錄所紀錄的行為是否正常絕對的和持續(xù)的量度則確定在一類行為中（如訪問一個文件）產(chǎn)生的操作類型是否正常。異常檢測實例分析半生是用來設置構(gòu)成短期行為和長期行為的審計記錄的數(shù)量或進行審計記錄的天數(shù)用的。通過設置半生可以讓越新的活動所占的權(quán)重越大，而在長期概貌里面很早期的活動會趨向于不起作用，也就說被“遺忘”了。這使NIDES具備了簡單的學習。老化因子也是審計紀錄權(quán)重的計算依據(jù)。老化因子包括短期老化因子和長期老化因子，前者作用于每一個審計紀錄，后者則作用于每一天的紀錄匯總。異常檢測理論本身存在的缺陷基于異常的入侵檢測系統(tǒng)首先學習對象的正常行為，并形成一個或一組值表示對象行為的概貌，而表示概貌的這些數(shù)據(jù)不容易進行正確性和準確性的驗證。通過比較長期行為的概貌和短期行為的概貌檢測出異常后，只能模糊的報告存在異常，不能精確的報告攻擊類型和方式，因此也不能有效地阻止入侵行為。通?；诋惓５娜肭謾z測系統(tǒng)首先有一個學習過程，這個過程是否能夠正確反映對象的正常行為仍是問題所在；而且檢測的過程通常也是學習過程，而這個過程很可能被入侵者利用。誤用檢測前提：所有的入侵行為都有可被檢測到的特征攻擊特征庫:當監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時，系統(tǒng)就認為這種行為是入侵過程監(jiān)控

特征提取匹配判定指標:誤報低、漏報高

誤用檢測特點如果入侵特征與正常的用戶行能匹配，則系統(tǒng)會發(fā)生誤報；如果沒有特征能與某種新的攻擊行為匹配，則系統(tǒng)會發(fā)生漏報特點：采用特征匹配，濫用模式能明顯降低錯報率，但漏報率隨之增加。攻擊特征的細微變化，會使得濫用檢測無能為力誤用檢測的模型審計數(shù)據(jù)誤用檢測系統(tǒng)攻擊狀態(tài)規(guī)則匹配？修正現(xiàn)有規(guī)則添加新的規(guī)則時間信息典型的基于誤用的入侵檢測系統(tǒng)模型誤用檢測系統(tǒng)的類型專家系統(tǒng)按鍵監(jiān)視系統(tǒng)模型推理系統(tǒng)誤用預測系統(tǒng)狀態(tài)轉(zhuǎn)換分析系統(tǒng)模式匹配系統(tǒng)誤用檢測專家系統(tǒng)專家系統(tǒng)采用類似于if-then這種帶有因果關(guān)系的結(jié)構(gòu)，使用由專家制定的規(guī)則來表示攻擊行為，并在此基礎上從審計事件中找到入侵。但是實際應用中有如下幾個問題：數(shù)據(jù)量問題數(shù)據(jù)順序問題專家的綜合能力問題規(guī)則庫缺少環(huán)境的適應能力維護問題模型推理檢測系統(tǒng)模型推理系統(tǒng)最早是由T.D.Garvey和T.F.Lunt提出來的，它主要通過構(gòu)建一些誤用的模型，在此基礎上對某些行為活動進行監(jiān)視，并推理出是否發(fā)生入侵行為。推理系統(tǒng)的組件構(gòu)成先知模塊計劃模塊解釋模塊模型推理檢測系統(tǒng)

模型推理系統(tǒng)的優(yōu)點它的推理過程有比較合理的數(shù)學理論模型。計劃模塊使攻擊行為表示與具體的審計數(shù)據(jù)相分離干擾信息會被忽略，降低需要處理數(shù)據(jù)量具有一定的預見性，可以采取一些防御性措施模型推理系統(tǒng)的缺點最后的限值定義不當，容易影響檢測的準確性檢驗工作比較難整體性能能否提高很難說維護困難模式匹配檢測系統(tǒng)模式匹配檢測系統(tǒng)是由入侵檢測領域的大師Kumar在1995年提出的。模式匹配就是將收集到的信息與已知的網(wǎng)絡入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進行比較，從而發(fā)現(xiàn)違背安全策略的行為一般來講，一種攻擊模式可以用一個過程（如執(zhí)行一條指令）或一個輸出（如獲得權(quán)限）來表示。該過程可以很簡單（如通過字符串匹配以尋找一個簡單的條目或指令），也可以很復雜（如利用正規(guī)的數(shù)學表達式來表示安全狀態(tài)的變化）入侵信號層次性依據(jù)底層的審計事件，可以從中提取出高層的事件（或者活動）；由高層的事件構(gòu)成入侵信號，并依照高層事件之間的結(jié)構(gòu)關(guān)系，劃分入侵信號的抽象層次并對其進行分析。實例化的層次結(jié)構(gòu)意味著可以對每一層中匹配信號的復雜性邊界進行劃分。Kumar把入侵信號分成四層。入侵信號層次性存在（Existence）這種入侵信號表示只要存在這樣一種審計事件就足以說明發(fā)生了入侵行為或入侵企圖，它對應的匹配模式稱為存在模式（ExistencePattern）。存在模式是很重要的。尤其是當攻擊者破壞了系統(tǒng)的審計數(shù)據(jù)、導致提交的審計數(shù)據(jù)無法正常反應當前真實狀態(tài)的時候，通過主動的查詢可以起到很好的作用入侵信號層次性序列（Sequence）有些入侵是由一些按照一定順序發(fā)生的行為所組成的，它具體可以表現(xiàn)為一組事件的序列。其對應的匹配模式就是序列模式（SequencePattern）,這種入侵審計事件可以表示為在圖形中某個方向上一串連續(xù)的峰值。序列模式需要注意兩點間隔持續(xù)時間入侵信號層次性規(guī)則表示(RegularExpressions)

規(guī)則表示模式（REPatterns）是指用一種擴展的規(guī)則表達式方式構(gòu)造匹配模式，規(guī)則表達式是由用AND邏輯表達式連接一些描述事件的原語構(gòu)成的。適用這種模式的攻擊信號通常由一些相關(guān)的活動所組成，而這些活動間沒有什么事件順序的關(guān)系。入侵信號層次性其他其他模式（OtherPattern）是指一些不能用前面的方法進行表示的攻擊，在此統(tǒng)一為其他模式。例如：內(nèi)部否定模式歸納選擇模式入侵信號層次性存在模式序列模式規(guī)則模式其他模式間隔持續(xù)時間匹配模式的層次關(guān)系模式匹配系統(tǒng)的特點把攻擊信號看成一種模式進行匹配的特點事件來源獨立描述和匹配相分離動態(tài)的模式生成多事件流可移植性模式匹配系統(tǒng)具體的實現(xiàn)問題模式的提?。阂固崛〉哪Ｊ骄哂泻芨叩馁|(zhì)量，能夠充分表示入侵信號的特征，同時模式之間不能有沖突。匹配模式的動態(tài)增加和刪除：為了適應不斷變化的攻擊手段，匹配模式必須具有動態(tài)變更的能力增量匹配和優(yōu)先級匹配：有事件流對系統(tǒng)處理能力產(chǎn)生很大壓力的時候，要求系統(tǒng)采取增量匹配的方法提高系統(tǒng)效率，或者可以先對高優(yōu)先級的事件先行處理。完全匹配：匹配機制必須能夠?qū)λ心Ｊ竭M行匹配的能力IDS分類方法學根據(jù)體系結(jié)構(gòu)進行分類根據(jù)檢測原理進行分類根據(jù)系統(tǒng)特征進行分類根據(jù)系統(tǒng)特征進行分類分類特征應該考慮的重要因素檢測時間數(shù)據(jù)處理的粒度審計數(shù)據(jù)來源入侵檢測響應方式數(shù)據(jù)收集地點數(shù)據(jù)處理地點安全性互操作性根據(jù)系統(tǒng)特征進行分類根據(jù)檢測時間脫機分析：行為發(fā)生后，對產(chǎn)生的數(shù)據(jù)進行分析聯(lián)機分析:在數(shù)據(jù)產(chǎn)生的同時或者發(fā)生改變時進行分析根據(jù)系統(tǒng)特征進行分類數(shù)據(jù)處理的粒度基于數(shù)據(jù)流方式的粗粒度基于連接的細粒度

數(shù)據(jù)處理的粒度和檢測時間有一定的關(guān)系，但是二者并不完全一樣，一個系統(tǒng)可能在相當長的時延內(nèi)進行連續(xù)數(shù)據(jù)處理，也可以實時地處理少量的批處理數(shù)據(jù)。根據(jù)系統(tǒng)特征進行分類審計數(shù)據(jù)來源基于網(wǎng)絡數(shù)據(jù)基于主機安全日志文件（包括操作系統(tǒng)的內(nèi)核日志、應用程序日志、網(wǎng)絡設備日志）根據(jù)系統(tǒng)特征進行分類入侵響應方式被動響應：本身只會發(fā)出警告，不能試圖降低破壞，更不會主動地對攻擊者采取反擊行動主動響應：對被攻擊系統(tǒng)實施控制：它通過調(diào)整被攻擊系統(tǒng)的狀態(tài)，阻止或者減輕攻擊的危害對攻擊系統(tǒng)實施控制的系統(tǒng)：主動響應如果失敗可能使系統(tǒng)暴露在拒絕服務攻擊之下。根據(jù)系統(tǒng)特征進行分類數(shù)據(jù)收集或者處理地點集中式的分布式的IDS的實現(xiàn)方式-----網(wǎng)絡IDS主機IDS運行于被檢測的主機之上，通過查詢、監(jiān)聽當前系統(tǒng)的各種資源的使用運行狀態(tài)，發(fā)現(xiàn)系統(tǒng)資源被非法使用和修改的事件，進行上報和處理。其監(jiān)測的資源主要包括：網(wǎng)絡、文件、進程、系統(tǒng)日志等IDS的實現(xiàn)方式-----主機IDS主機IDS和網(wǎng)絡IDS的比較基于網(wǎng)絡的入侵檢測系統(tǒng)的主要優(yōu)點有：（1）成本低。（2）攻擊者轉(zhuǎn)移證據(jù)很困難。（3）實時檢測和應答。一旦發(fā)生惡意訪問或攻擊，基于網(wǎng)絡的IDS檢測可以隨時發(fā)現(xiàn)它們，因此能夠更快地作出反應。從而將入侵活動對系統(tǒng)的破壞減到最低。（4）能夠檢測未成功的攻擊企圖。（5）操作系統(tǒng)獨立。基于網(wǎng)絡的IDS并不依賴主機的操作系統(tǒng)作為檢測資源。而基于主機的系統(tǒng)需要特定的操作系統(tǒng)才能發(fā)揮作用?；谥鳈C的IDS的主要優(yōu)勢有：（1）非常適用于加密和交換環(huán)境。（2）實時的檢測和應答。（3）不需要額外的硬件。網(wǎng)絡入侵的現(xiàn)狀深層防御體系及IDS的作用IDS的分類方法學IDS的結(jié)構(gòu)入侵檢測的困惑第四代入侵檢測技術(shù)入侵檢測的新發(fā)展內(nèi)容提要IDS的基本結(jié)構(gòu)IDS系統(tǒng)結(jié)構(gòu)---探測引擎采用旁路方式全面?zhèn)陕牼W(wǎng)上信息流，實時分析將分析結(jié)果與探測器上運行的策略集相匹配執(zhí)行報警、阻斷、日志等功能。完成對控制中心指令的接收和響應工作。探測器是由策略驅(qū)動的網(wǎng)絡監(jiān)聽和分析系統(tǒng)。IDS的基本結(jié)構(gòu)--引擎的功能結(jié)構(gòu)IDS系統(tǒng)結(jié)構(gòu)-----控制中心提供報警顯示提供對預警信息的記錄和檢索、統(tǒng)計功能制定入侵監(jiān)測的策略；控制探測器系統(tǒng)的運行狀態(tài)收集來自多臺引擎的上報事件，綜合進行事件分析，以多種方式對入侵事件作出快速響應。這種分布式結(jié)構(gòu)有助于系統(tǒng)管理員的集中管理，全面搜集多臺探測引擎的信息，進行入侵行為的分析。IDS的基本結(jié)構(gòu)--控制中心的功能結(jié)構(gòu)網(wǎng)絡入侵檢測系統(tǒng)的部署方式NIDS的位置必須要看到所有數(shù)據(jù)包共享媒介HUB交換環(huán)境隱蔽模式千兆網(wǎng)分布式結(jié)構(gòu)SensorConsole

HUBIDSSensorMonitoredServersConsole網(wǎng)絡入侵檢測系統(tǒng)的部署方式

SwitchIDSSensorMonitoredServersConsole網(wǎng)絡入侵檢測系統(tǒng)的部署方式

SwitchIDSSensorMonitoredServersConsole不設IP網(wǎng)絡入侵檢測系統(tǒng)的部署方式

IDSSensorsL4或L7交換設備網(wǎng)絡入侵檢測系統(tǒng)的部署方式IDS的系統(tǒng)結(jié)構(gòu)單機結(jié)構(gòu)：引擎和控制中心在一個系統(tǒng)之上，不能遠距離操作，只能在現(xiàn)場進行操作。優(yōu)點是結(jié)構(gòu)簡單，不會因為通訊而影響網(wǎng)絡帶寬和泄密。分布式結(jié)構(gòu)就是引擎和控制中心在2個系統(tǒng)之上，通過網(wǎng)絡通訊，可以遠距離查看和操作。目前的大多數(shù)IDS系統(tǒng)都是分布式的。優(yōu)點不是必需在現(xiàn)場操作，可以用一個控制中心控制多個引擎，可以統(tǒng)一進行策略編輯和下發(fā)，可以統(tǒng)一查看申報的事件，可以通過分開事件顯示和查看的功能提高處理速度等等。IDS的系統(tǒng)結(jié)構(gòu)--分布式結(jié)構(gòu)圖網(wǎng)絡入侵的現(xiàn)狀深層防御體系及IDS的作用IDS的分類方法學IDS的結(jié)構(gòu)入侵檢測的困惑第四代入侵檢測技術(shù)入侵檢測的新發(fā)展內(nèi)容提要入侵檢測—沒有用的技術(shù)？入侵檢測——一種被提及太多的技術(shù)

——一種容易引起誤解的技術(shù)那么，入侵檢測是不是沒有用了？管理人員需要了解網(wǎng)絡中正在發(fā)生的各種活動管理人員需要在攻擊到來之前發(fā)現(xiàn)攻擊行為管理人員需要識別異常行為需要有效的工具進行針對攻擊行為以及異常的實時和事后分析入侵檢測系統(tǒng)逐漸成為安全防護體系中不可缺少的一部分Awarenessisthekeytosecurity入侵檢測是審計的基礎入侵檢測是網(wǎng)管的基礎網(wǎng)絡入侵的現(xiàn)狀深層防御體系及IDS的作用IDS的分類方法學IDS的結(jié)構(gòu)入侵檢測的困惑第四代入侵檢測技術(shù)入侵檢測的新發(fā)展內(nèi)容提要第四代入侵管理技術(shù)

現(xiàn)代入侵攻擊技術(shù):新一代主動式惡意代碼極短時間內(nèi)（Flashworms---30s），利用優(yōu)化掃描的方法，感染近十萬個有漏洞的系統(tǒng),可以確定并記錄是否被擊中（4-5分鐘，感染近百萬臺系統(tǒng)）。掃描探測傳遞復制被感染的機器

有漏洞的機器第四代入侵管理技術(shù)入侵發(fā)展（目標、入侵者攻擊能力、傳播速度、工具數(shù)量、復雜、隱蔽）

利用加密傳播惡意代碼

各種技術(shù)和策略間的互操作及關(guān)聯(lián)分析

日益增長的網(wǎng)絡流量

抵御入侵面臨的挑戰(zhàn)第四代入侵管理技術(shù)入侵檢測術(shù)語未統(tǒng)一

入侵檢測系統(tǒng)維護非常困難

在采取不適當?shù)淖詣禹憫袨橹写嬖陲L險

入侵檢測系統(tǒng)可能自己攻擊自己

抵御入侵面臨的挑戰(zhàn)第四代入侵管理技術(shù)誤報漏報使得系統(tǒng)準確性大大折扣

客觀性的測評信息缺乏（如何選擇和評價）

高速網(wǎng)絡與實時分析

直觀的事件分析報告

抵御入侵面臨的挑戰(zhàn)第四代入侵管理技術(shù)第一代：協(xié)議解碼+模式匹配優(yōu)點：對已知攻擊，極其有效，誤報率低缺點：極其容易躲避，漏報率高第四代入侵管理技術(shù)第二代：模式匹配+簡單協(xié)議分析+異常統(tǒng)計 優(yōu)點：能夠分析處理一部分協(xié)議，重