入侵檢測(cè)技術(shù)總結(jié)

入侵檢測(cè)技術(shù)總結(jié)入侵檢測(cè)技術(shù)總結(jié)

入侵檢測(cè)技術(shù)總結(jié)

入侵是對(duì)信息系統(tǒng)的非授權(quán)訪問以及（或者）未經(jīng)許可在信息系統(tǒng)中進(jìn)行的操作。

入侵檢測(cè)(IntrusionDetection)是對(duì)企圖入侵、正在進(jìn)行的入侵或者已經(jīng)發(fā)生的入侵進(jìn)行識(shí)別的過程。審計(jì)數(shù)據(jù)的獵取是主機(jī)入侵檢測(cè)技術(shù)的重要基石，是進(jìn)行主機(jī)入侵檢測(cè)的信息來源。網(wǎng)絡(luò)數(shù)據(jù)包的截獲是基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)的工作基石。

依據(jù)網(wǎng)絡(luò)類型的不同，網(wǎng)絡(luò)數(shù)據(jù)截獲可以通過兩種方法實(shí)現(xiàn)：一種是利用以太網(wǎng)絡(luò)的廣播特性，另一種是通過設(shè)置路由器的監(jiān)聽端口或者是鏡像端口來實(shí)現(xiàn)。

主機(jī)入侵檢測(cè)所要進(jìn)行的主要工作就是審計(jì)數(shù)據(jù)的預(yù)處理工作，包括映射、過濾和格式轉(zhuǎn)換等操作。預(yù)處理工作的必要性體現(xiàn)在一下幾個(gè)方面：①不同目標(biāo)系統(tǒng)環(huán)境的審計(jì)記錄格式不相同，對(duì)其進(jìn)行格式轉(zhuǎn)換的預(yù)處理操作形成標(biāo)準(zhǔn)記錄格式后，將有利于系統(tǒng)在不同目標(biāo)平臺(tái)系統(tǒng)之間的移植；同時(shí)，有利于形成單一格式的標(biāo)準(zhǔn)審計(jì)記錄流，便于后繼的處理模塊進(jìn)行檢測(cè)工作②對(duì)于審計(jì)系統(tǒng)而言，系統(tǒng)中所發(fā)生的全部可審計(jì)活動(dòng)都會(huì)生成對(duì)應(yīng)的審計(jì)記錄，因此對(duì)某個(gè)時(shí)間段而言，審計(jì)記錄的生成速度是特別快的，而其中往往大量充斥著對(duì)于入侵檢測(cè)而言無用的大事記錄。所以，需要對(duì)審計(jì)記錄流進(jìn)行必要的映射和過濾等操作。

構(gòu)建狀態(tài)轉(zhuǎn)移圖的過程大致分為如下步驟：①分析詳細(xì)的攻擊行為，理解內(nèi)在機(jī)理②確定攻擊過程中的關(guān)鍵行為點(diǎn)③確定初始狀態(tài)和最終狀態(tài)

④從最終狀態(tài)動(dòng)身，逐步確定所需的各個(gè)中間狀態(tài)及其應(yīng)當(dāng)滿意的狀態(tài)斷言組

文件完整性檢查的目的是檢查主機(jī)系統(tǒng)中文件系統(tǒng)的完整性，準(zhǔn)時(shí)發(fā)覺潛在的針對(duì)文件系統(tǒng)的無意或者惡意的更改。

檢測(cè)引擎的設(shè)計(jì)是基于網(wǎng)絡(luò)入侵檢測(cè)的核心問題。檢測(cè)引擎可分為兩大類：嵌入式規(guī)章檢測(cè)引擎和可編程的檢測(cè)引擎。類型優(yōu)點(diǎn)在小規(guī)章集合狀況下，工作速度快檢測(cè)規(guī)章易于編寫、便于理解并且簡(jiǎn)單進(jìn)行定制對(duì)新消失的攻擊手段，具備快速升級(jí)支持力量對(duì)低層的簡(jiǎn)潔腳本攻擊行為，具備良好的檢測(cè)性能對(duì)所發(fā)生的攻擊行為類型，具備確定性的解釋力量缺點(diǎn)隨著規(guī)章集合規(guī)模的擴(kuò)大，檢查速度快速下降各種變種的攻擊行為，易于造成過度膨脹的規(guī)章集合較易產(chǎn)生虛警信息僅能檢測(cè)到已知的攻擊類型，前提是該種攻擊類型的檢測(cè)特征已知在小規(guī)章集合狀況下，初始的檢測(cè)速度相對(duì)較慢檢測(cè)規(guī)章比較簡(jiǎn)單，難以編寫和理解并且通常是由特定廠商實(shí)現(xiàn)協(xié)議簡(jiǎn)單性的擴(kuò)展以及實(shí)際實(shí)現(xiàn)的多樣性，簡(jiǎn)單導(dǎo)致規(guī)章擴(kuò)展的困難對(duì)發(fā)覺的攻擊行為類型，缺乏明確的解釋信息特征分析協(xié)議分析具備良好的性能可擴(kuò)展性，特殊是在規(guī)章集合規(guī)模較大的狀況下能夠發(fā)覺最新的未知平安漏洞（Zero-DayExploits）較少消失虛警信息DIDS(DistributionIntrusionDetectionSystem)分布式入侵檢測(cè)系統(tǒng)主要包括3種類型的組件：主機(jī)監(jiān)控器（HostMonitor）、局域網(wǎng)監(jiān)控器（LANMonitor）和中心掌握臺(tái)（Director）。

主機(jī)監(jiān)控器由主機(jī)大事發(fā)生器（HostEventGenerator,HEG）和主機(jī)代理（HostAgent）組成。

局域網(wǎng)監(jiān)控器由局域網(wǎng)大事發(fā)生器（LANEventGenerator,LEG）和局域網(wǎng)代理（LANAgent）組成。掌握臺(tái)主要包括3個(gè)部分：通信管理器（CommunicationManager）、專家系統(tǒng)和用戶接口。入侵檢測(cè)專家系統(tǒng)（IDES,IntrusionDetectionExpertSystem）是一個(gè)混合型的入侵檢測(cè)系統(tǒng)，使用一個(gè)在當(dāng)時(shí)來說是創(chuàng)新的統(tǒng)計(jì)分析算法來檢測(cè)特別入侵行為，同時(shí)，該系統(tǒng)還用一個(gè)專家系統(tǒng)檢測(cè)模塊來對(duì)已知的入侵攻擊模式進(jìn)行檢測(cè)。

人工神經(jīng)網(wǎng)絡(luò)是模擬人腦加工、存儲(chǔ)和處理信息機(jī)制而提出的一種智能化信息處理技術(shù)，它是由大量簡(jiǎn)潔的處理單元（神經(jīng)元）進(jìn)行高度互連而形成的簡(jiǎn)單網(wǎng)絡(luò)系統(tǒng)。

神經(jīng)網(wǎng)絡(luò)技術(shù)應(yīng)用于入侵檢測(cè)領(lǐng)域具有以下優(yōu)勢(shì)：①神經(jīng)網(wǎng)絡(luò)具有概括和抽象力量，對(duì)不完整輸入信息具有肯定程度的容錯(cuò)處理力量。②神經(jīng)網(wǎng)絡(luò)具備高度的學(xué)習(xí)和自適應(yīng)力量。③神經(jīng)網(wǎng)絡(luò)所獨(dú)有的內(nèi)在并行計(jì)算和存儲(chǔ)特性。

神經(jīng)網(wǎng)絡(luò)技術(shù)在入侵檢測(cè)中的應(yīng)用還存在以下缺陷和不足：①需要解決神經(jīng)網(wǎng)絡(luò)對(duì)大容量入侵行為類型的學(xué)習(xí)力量問題。②需要解決神經(jīng)網(wǎng)絡(luò)的解釋力量不足的問題。③執(zhí)行速度問題。

數(shù)據(jù)挖掘（DataMining）是所謂“數(shù)據(jù)庫(kù)學(xué)問發(fā)覺”（KnowledgeDiscoveryinDatabase,KDD）技術(shù)中的一個(gè)關(guān)鍵步驟，其提出的背景是解決日益增長(zhǎng)的數(shù)據(jù)量與快速分析數(shù)據(jù)要求之間的沖突問題，目標(biāo)是采納各種特定的算法在海量數(shù)據(jù)中發(fā)覺有用的可理解的數(shù)據(jù)模式。

數(shù)據(jù)融合（Datafusion）是一種多層次的、多方面的處理過程，這個(gè)過程是對(duì)多源數(shù)據(jù)進(jìn)行檢測(cè)、結(jié)合、相關(guān)估量和組合以達(dá)到精確的狀態(tài)估量和身份估量，以及完整、準(zhǔn)時(shí)的態(tài)勢(shì)評(píng)估、本地資產(chǎn)評(píng)估和威逼評(píng)估。簡(jiǎn)言之，數(shù)據(jù)融合的基本目的就是通過組合，可以比從任何單個(gè)輸入數(shù)據(jù)元素獲得更多的信息。進(jìn)化計(jì)算的主要算法包括以下5中類型：遺傳算法（GeneticAlgorithm,GA）、進(jìn)化規(guī)劃(EvolutionaryProgramming,EP)、進(jìn)化策略(EvolutionaryStrategies,ES)、分類器系統(tǒng)(ClassifierSystem,CFS)和遺傳規(guī)劃(GeneticProgramming,GP)。

1、檢測(cè)功能需求2、響應(yīng)需求3、操作需求4、平臺(tái)范圍需求5、數(shù)據(jù)來源需求6、檢測(cè)性能需求7、可伸縮性需求8、取證和訴訟需求9、其他需求1、機(jī)制的經(jīng)濟(jì)性原則2、牢靠默認(rèn)原則3、完全調(diào)整原則4、開放設(shè)計(jì)原則5、特權(quán)分割原則6、最小權(quán)限原則7、最小通用原則8、心理科接受原則用戶需求分析入侵檢測(cè)系統(tǒng)的設(shè)計(jì)考慮系統(tǒng)平安設(shè)計(jì)原則系統(tǒng)設(shè)計(jì)的生命周期時(shí)鐘活動(dòng)檔案（ActivityProfile）規(guī)章庫(kù)（Ruleset）大事生成器（EventGenerator）審計(jì)記錄/網(wǎng)絡(luò)數(shù)據(jù)包/應(yīng)用程序日志通用入侵檢測(cè)模型

大事生成器從給定的數(shù)據(jù)來源中（包括主機(jī)審計(jì)數(shù)據(jù)、網(wǎng)絡(luò)數(shù)據(jù)包和應(yīng)用程序的日志信息等），生成入侵檢測(cè)大事，并分別送入到活動(dòng)檔案計(jì)算模塊和規(guī)章庫(kù)檢測(cè)模塊中。活動(dòng)檔案模塊依據(jù)新生成的大事，自動(dòng)更新系統(tǒng)行為的活動(dòng)檔案；規(guī)章庫(kù)依據(jù)當(dāng)前系統(tǒng)活動(dòng)檔案和當(dāng)前大事的狀況，發(fā)覺特別活動(dòng)狀況，并可以根據(jù)肯定的時(shí)間規(guī)章自動(dòng)地刪減規(guī)章庫(kù)中的規(guī)章集合。

學(xué)問庫(kù)配置信息檢測(cè)器警報(bào)信息掌握器數(shù)據(jù)收集器掌握動(dòng)作審計(jì)數(shù)據(jù)等目標(biāo)系統(tǒng)通用入侵檢測(cè)系統(tǒng)模型

①數(shù)據(jù)收集器（又可稱為探測(cè)器）：主要負(fù)責(zé)收集數(shù)據(jù)。探測(cè)器的輸入數(shù)據(jù)流包括任何可能包含入侵行為線索

的系統(tǒng)數(shù)據(jù)。比如網(wǎng)絡(luò)數(shù)據(jù)包、日志文件和系統(tǒng)調(diào)用記錄等。探測(cè)器將這些數(shù)據(jù)收集起來，然后發(fā)送到檢測(cè)器進(jìn)行處理。②探測(cè)器（又可稱為分析器或檢測(cè)引擎）：負(fù)責(zé)分析和檢測(cè)入侵的任務(wù)，并發(fā)出警報(bào)信號(hào)。③學(xué)問庫(kù)：供應(yīng)必要的數(shù)據(jù)信息支持。例如用戶歷史活動(dòng)檔案，或者是檢測(cè)規(guī)章集合等。④掌握器：依據(jù)警報(bào)信號(hào)，人工或者自動(dòng)做出反應(yīng)動(dòng)作。PDR模型是一個(gè)動(dòng)態(tài)的計(jì)算機(jī)系統(tǒng)平安理論模型。PDR是Policy(策略)、Protection(防護(hù))、Detection(檢測(cè))和Response（響應(yīng)）的縮寫，特點(diǎn)是動(dòng)態(tài)性和基于時(shí)間的特性。

Protection22

PolicyDetectionResponseP2DR平安模型

①策略：PDR模型的核心內(nèi)容。詳細(xì)實(shí)施過程中，策略規(guī)定了系統(tǒng)所要達(dá)到的平安目標(biāo)和為達(dá)到目標(biāo)所實(shí)行的

各種詳細(xì)平安措施及其實(shí)施強(qiáng)度等。平安措施的實(shí)施必定會(huì)影響到系統(tǒng)運(yùn)行的性能，以及犧牲用戶操作的舒適度，因此平安策略必需按需而制。②防護(hù)：詳細(xì)包括制定平安管理規(guī)章、進(jìn)行系統(tǒng)平安配置工作以及安裝各種平安防護(hù)設(shè)備，例如防火墻、VPN

設(shè)備等。③檢測(cè)：在實(shí)行各種平安措施中，依據(jù)系統(tǒng)運(yùn)行狀況的變化，對(duì)系統(tǒng)平安狀態(tài)進(jìn)行實(shí)時(shí)的動(dòng)態(tài)監(jiān)控。④響應(yīng)：當(dāng)發(fā)覺了入侵活動(dòng)或入侵結(jié)果后，需要系統(tǒng)做出準(zhǔn)時(shí)的反應(yīng)并實(shí)行措施，其中包括：記錄入侵行為、

通知管理員、阻斷進(jìn)一步的入侵活動(dòng)以及恢復(fù)系統(tǒng)正常運(yùn)行等。

2原型實(shí)現(xiàn)用戶反饋功能定義需求定義

整個(gè)周期過程是螺旋式上升過程，前一個(gè)周期的原型實(shí)現(xiàn)階段完成后，在經(jīng)過一個(gè)用戶反饋的環(huán)節(jié)后，再次進(jìn)入下一個(gè)周期過程中的需求定義環(huán)節(jié)。在新的需求定義階段，將依據(jù)用戶的需求反饋意見，再次更改原有的需求定義和分析規(guī)范，形成新的需求定義文檔，從而推動(dòng)下一個(gè)設(shè)計(jì)的周期過程。如此循環(huán)反復(fù)，直至滿意設(shè)定的要求。

系統(tǒng)設(shè)計(jì)的生命周期

擴(kuò)展閱讀：入侵檢測(cè)技術(shù)重點(diǎn)總結(jié)

1.黑客：早先對(duì)計(jì)算機(jī)的非授權(quán)訪問稱為“破解”，而hacking(俗稱“黑”)則指那些嫻熟

使用計(jì)算機(jī)的高手對(duì)計(jì)算機(jī)技術(shù)的運(yùn)用，這些計(jì)算機(jī)高手稱為“黑客”。隨著個(gè)人計(jì)算

機(jī)及網(wǎng)絡(luò)的消失，“黑客”變成一個(gè)貶義詞，通常指那些非法侵入他人計(jì)算機(jī)的人。2.入侵檢測(cè)（intrusiondetection）：就是對(duì)入侵行為的發(fā)覺，它通過從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)

系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并對(duì)其進(jìn)行分析，從中發(fā)覺網(wǎng)絡(luò)或者系統(tǒng)中是否有違反平安策略的行為和被攻擊的跡象。3.入侵檢測(cè)系統(tǒng)的六個(gè)作用：1）、通過檢測(cè)和記錄網(wǎng)絡(luò)中的平安違規(guī)行為，懲處網(wǎng)絡(luò)犯罪，

防止網(wǎng)絡(luò)入侵大事的發(fā)生。2）、檢測(cè)其他平安措施未能阻擋的攻擊或平安違規(guī)行為。3）、檢測(cè)黑客在攻擊前的探測(cè)行為，預(yù)先給管理員發(fā)出警報(bào)。4）、報(bào)告計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)中存在的平安威逼。5）、供應(yīng)有關(guān)攻擊的信息，關(guān)心管理員診斷網(wǎng)絡(luò)中存在的平安弱點(diǎn)，利于其進(jìn)行修補(bǔ)。6）、在大型、簡(jiǎn)單的計(jì)算機(jī)網(wǎng)絡(luò)中布置入侵檢測(cè)系統(tǒng)，可以顯著提高網(wǎng)絡(luò)平安管理的質(zhì)量。

4.tP>tD+tRd的含義：tp:愛護(hù)平安目標(biāo)設(shè)置各種愛護(hù)后的防護(hù)時(shí)間。tD:從入侵者開頭發(fā)動(dòng)入

侵開頭，系統(tǒng)能夠檢測(cè)到入侵行為所花費(fèi)的時(shí)間。tR：從發(fā)覺入侵行為開頭，系統(tǒng)能夠做出足夠的響應(yīng)，將系統(tǒng)調(diào)整到正常狀態(tài)的時(shí)間。公式的含義：防護(hù)時(shí)間大于檢測(cè)時(shí)間加上響應(yīng)時(shí)間，那么在入侵危害平安目標(biāo)之前就能檢測(cè)到并準(zhǔn)時(shí)實(shí)行防護(hù)措施。

5.入侵檢測(cè)原理的四個(gè)階段：數(shù)據(jù)收集、數(shù)據(jù)處理，數(shù)據(jù)分析，響應(yīng)處理。

6.攻擊產(chǎn)生的緣由：信息系統(tǒng)的漏洞是產(chǎn)生攻擊的根本緣由。7.誘發(fā)入侵攻擊的主要緣由：信息系統(tǒng)本身的漏洞或脆弱性。

8.漏洞的概念：漏洞是在硬件、軟件、協(xié)議的詳細(xì)實(shí)現(xiàn)或系統(tǒng)平安策略上存在的缺陷，它

是可以使攻擊者能夠在未授權(quán)的狀況下訪問或破壞系統(tǒng)。漏洞會(huì)影響到很大范圍內(nèi)的軟件及硬件設(shè)備，包括操作系統(tǒng)本身及其支撐軟件、網(wǎng)絡(luò)客戶和服務(wù)器軟件、網(wǎng)絡(luò)路由和平安防火墻等。漏洞是與時(shí)間緊密相關(guān)的，，一般是程序員編程時(shí)的疏忽或者考慮不周導(dǎo)致的。

9.漏洞的詳細(xì)表現(xiàn)：存儲(chǔ)介質(zhì)擔(dān)心全，數(shù)據(jù)的可訪問性，信息的聚生性，保密的困難性，

介質(zhì)的剩磁效應(yīng)，電磁的泄漏性，通信網(wǎng)絡(luò)的脆弱性，軟件的漏洞。10.漏洞iongde分類（按被利用的方式）：物理接觸、主機(jī)模式、客戶機(jī)模式、中間人模式。11.入侵檢測(cè)系統(tǒng)的基本原理主要分四個(gè)階段：數(shù)據(jù)收集、數(shù)據(jù)處理、數(shù)據(jù)分析、響應(yīng)處

理。

12.常用的5種檢測(cè)模型：操作模型、方差模型、多元模型、馬爾柯夫過程模型、時(shí)間序列

分析模型。

13.信息系統(tǒng)面臨的三種威逼：非人為因素和自然力造成的數(shù)據(jù)丟失、設(shè)備失效、線路阻斷；

人為但屬于操作人員無意的失誤造成的數(shù)據(jù)丟失；來自外部和內(nèi)部人員的惡意攻擊和入侵。

14.攻擊的四個(gè)步驟：攻擊者都是先隱蔽自己；再踩點(diǎn)或預(yù)攻擊探測(cè)，檢測(cè)目標(biāo)機(jī)器的各種

屬性和具備的被攻擊條件，然后實(shí)行相應(yīng)的攻擊行為，達(dá)到自己的目的，最終攻擊者會(huì)清除痕跡刪除自己的行為日志。

Ping掃描：ping是一個(gè)DOS命令，它的用途是檢測(cè)網(wǎng)絡(luò)的連通狀況和分析網(wǎng)絡(luò)速度。

端口掃描：端口掃描時(shí)一種用來查找網(wǎng)絡(luò)主機(jī)開放端口的方法，正確的使用端口掃描，能夠起到防止端口攻擊的作用。

操作系統(tǒng)識(shí)別掃描：黑客入侵過程的關(guān)鍵環(huán)節(jié)是操作系統(tǒng)的識(shí)別與掃描。

漏洞掃描：主要是查找操作系統(tǒng)或網(wǎng)絡(luò)當(dāng)中存在什么樣的漏洞，并給出具體漏洞報(bào)告，引導(dǎo)用戶到相關(guān)站點(diǎn)下載最新系統(tǒng)漏洞補(bǔ)貼程序，確保系統(tǒng)永久處在最平安的狀態(tài)下，以削減被攻擊的可能性。1.哄騙攻擊的類型：IP、ARP、DNS、源路由、URL2.拒絕服務(wù)攻擊：攻擊者想方法讓目標(biāo)主機(jī)停止供應(yīng)服務(wù)或資源訪問，它是黑客常用的攻

擊手段之一。

3.拒絕服務(wù)攻擊的原理：SYN洪流攻擊，IP哄騙拒絕服務(wù)攻擊，UDP洪流攻擊，ping洪

流攻擊，淚滴攻擊，Land攻擊，Smurf攻擊，F(xiàn)raggle攻擊。

4.數(shù)據(jù)庫(kù)攻擊：危害最大的屬于SQL注入式攻擊。源于英文：SQLInjectionAttack,就其

本質(zhì)而言，SQ