入侵檢測(cè)系統(tǒng)課件

入侵檢測(cè)系統(tǒng)

111、入侵檢測(cè)的概念一、什么是入侵檢測(cè)入侵檢測(cè)的內(nèi)容：試圖闖入、成功闖入、冒充其他用戶(hù)、違反安全策略、合法用戶(hù)的泄漏、獨(dú)占資源以及惡意使用。入侵檢測(cè)（IntrusionDetection）：通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)的關(guān)鍵點(diǎn)收集信息并進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測(cè)系統(tǒng)（IDS）：入侵檢測(cè)的軟件與硬件的組合，是防火墻的合理補(bǔ)充，是防火墻之后的第二道安全閘門(mén)。21、入侵檢測(cè)的概念一、什么是入侵檢測(cè)入侵檢測(cè)的內(nèi)容：試圖闖入1、入侵檢測(cè)的概念：模型一、什么是入侵檢測(cè)Dennying的通用入侵檢測(cè)模型。模型缺點(diǎn)是它沒(méi)有包含已知系統(tǒng)漏洞或攻擊方法的知識(shí)31、入侵檢測(cè)的概念：模型一、什么是入侵檢測(cè)Dennying的1、入侵檢測(cè)的概念：任務(wù)一、什么是入侵檢測(cè)

·監(jiān)視、分析用戶(hù)及系統(tǒng)活動(dòng)，查找非法用戶(hù)和合法用戶(hù)的越權(quán)操作；·系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)，并提示管理員修補(bǔ)漏洞；·識(shí)別反映已知進(jìn)攻的活動(dòng)模式并報(bào)警，能夠?qū)崟r(shí)對(duì)檢測(cè)到的入侵行為進(jìn)行反應(yīng)；·異常行為模式的統(tǒng)計(jì)分析，發(fā)現(xiàn)入侵行為的規(guī)律；·評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性；·操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶(hù)違反安全策略的行為。41、入侵檢測(cè)的概念：任務(wù)一、什么是入侵檢測(cè)·監(jiān)視、分1、入侵檢測(cè)的概念一、什么是入侵檢測(cè)傳統(tǒng)安全防范技術(shù)的不足傳統(tǒng)的操作系統(tǒng)加固技術(shù)和防火墻隔離技術(shù)等都是靜態(tài)安全防御技術(shù)，對(duì)網(wǎng)絡(luò)環(huán)境下日新月異的攻擊手段缺乏主動(dòng)的反應(yīng)。入侵檢測(cè)技術(shù)通過(guò)對(duì)入侵行為的過(guò)程與特征的研究使安全系統(tǒng)對(duì)入侵事件和入侵過(guò)程能做出實(shí)時(shí)響應(yīng)。51、入侵檢測(cè)的概念一、什么是入侵檢測(cè)傳統(tǒng)安全防范技術(shù)的不足52、入侵檢測(cè)的分類(lèi)一、什么是入侵檢測(cè)根據(jù)所采用的技術(shù)可以分為：1）異常檢測(cè)：異常檢測(cè)的假設(shè)是入侵者活動(dòng)異常于正常主體的活動(dòng)，建立正?；顒?dòng)的“活動(dòng)簡(jiǎn)檔”，當(dāng)前主體的活動(dòng)違反其統(tǒng)計(jì)規(guī)律時(shí)，認(rèn)為可能是“入侵”行為。2）特征檢測(cè)：特征檢測(cè)假設(shè)入侵者活動(dòng)可以用一種模式來(lái)表示，系統(tǒng)的目標(biāo)是檢測(cè)主體活動(dòng)是否符合這些模式。62、入侵檢測(cè)的分類(lèi)一、什么是入侵檢測(cè)根據(jù)所采用的技術(shù)可以分為2、入侵檢測(cè)的分類(lèi)一、什么是入侵檢測(cè)根據(jù)所監(jiān)測(cè)的對(duì)象來(lái)分：1）基于主機(jī)的入侵檢測(cè)系統(tǒng)（HIDS）：通過(guò)監(jiān)視與分析主機(jī)的審計(jì)記錄檢測(cè)入侵。能否及時(shí)采集到審計(jì)是這些系統(tǒng)的弱點(diǎn)之一，入侵者會(huì)將主機(jī)審計(jì)子系統(tǒng)作為攻擊目標(biāo)以避開(kāi)入侵檢測(cè)系統(tǒng)。2）基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（NIDS）：通過(guò)在共享網(wǎng)段上對(duì)通信數(shù)據(jù)的偵聽(tīng)采集數(shù)據(jù)，分析可疑現(xiàn)象。這類(lèi)系統(tǒng)不需要主機(jī)提供嚴(yán)格的審計(jì)，對(duì)主機(jī)資源消耗少，并可以提供對(duì)網(wǎng)絡(luò)通用的保護(hù)而無(wú)需顧及異構(gòu)主機(jī)的不同架構(gòu)。72、入侵檢測(cè)的分類(lèi)一、什么是入侵檢測(cè)根據(jù)所監(jiān)測(cè)的對(duì)象來(lái)分：72、入侵檢測(cè)的分類(lèi)一、什么是入侵檢測(cè)根據(jù)系統(tǒng)的工作方式分為：1）離線(xiàn)檢測(cè)系統(tǒng)：離線(xiàn)檢測(cè)系統(tǒng)是非實(shí)時(shí)工作的系統(tǒng)，它在事后分析審計(jì)事件，從中檢查入侵活動(dòng)。2）在線(xiàn)檢測(cè)系統(tǒng)：在線(xiàn)檢測(cè)系統(tǒng)是實(shí)時(shí)聯(lián)機(jī)的檢測(cè)系統(tǒng)，它包含對(duì)實(shí)時(shí)網(wǎng)絡(luò)數(shù)據(jù)包分析，實(shí)時(shí)主機(jī)審計(jì)分析。其工作過(guò)程是實(shí)時(shí)入侵檢測(cè)在網(wǎng)絡(luò)連接過(guò)程中進(jìn)行，系統(tǒng)根據(jù)用戶(hù)的歷史行為模型、存儲(chǔ)在計(jì)算機(jī)中的專(zhuān)家知識(shí)以及神經(jīng)網(wǎng)絡(luò)模型對(duì)用戶(hù)當(dāng)前的操作進(jìn)行判斷，一旦發(fā)現(xiàn)入侵跡象立即斷開(kāi)入侵者與主機(jī)的連接，并收集證據(jù)和實(shí)施數(shù)據(jù)恢復(fù)。82、入侵檢測(cè)的分類(lèi)一、什么是入侵檢測(cè)根據(jù)系統(tǒng)的工作方式分為：3、信息收集一、什么是入侵檢測(cè)第一步是信息收集，包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶(hù)活動(dòng)的狀態(tài)和行為。需要在系統(tǒng)中的不同關(guān)鍵點(diǎn)（網(wǎng)段和主機(jī)）收集信息，這樣做的理由就是從一個(gè)來(lái)源的信息有可能看不出疑點(diǎn)，但從幾個(gè)源來(lái)的信息的不一致性卻是可疑行為或入侵的最好標(biāo)識(shí)。1.系統(tǒng)和網(wǎng)絡(luò)日志文件2.目錄和文件中的不期望的改變3.程序執(zhí)行中的不期望行為4.物理形式的入侵信息93、信息收集一、什么是入侵檢測(cè)第一步是信息收集，包括系統(tǒng)、網(wǎng)4、信號(hào)分析一、什么是入侵檢測(cè)對(duì)收集到的上述四類(lèi)信息，通過(guò)三種技術(shù)手段進(jìn)行分析：模式匹配：用于實(shí)時(shí)的入侵檢測(cè)統(tǒng)計(jì)分析：用于實(shí)時(shí)的入侵檢測(cè)完整性分析：用于事后分析。104、信號(hào)分析一、什么是入侵檢測(cè)對(duì)收集到的上述四類(lèi)信息，通過(guò)三4、信號(hào)分析一、什么是入侵檢測(cè)1.模式匹配模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫(kù)進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。優(yōu)點(diǎn)：只需收集相關(guān)的數(shù)據(jù)集合，顯著減少系統(tǒng)負(fù)擔(dān)，且技術(shù)已相當(dāng)成熟。它與病毒防火墻采用的方法一樣，檢測(cè)準(zhǔn)確率和效率都相當(dāng)高。缺點(diǎn)：需要不斷的升級(jí)以對(duì)付不斷出現(xiàn)的黑客攻擊手法，不能檢測(cè)到從未出現(xiàn)過(guò)的黑客攻擊手段。114、信號(hào)分析一、什么是入侵檢測(cè)1.模式匹配114、信號(hào)分析一、什么是入侵檢測(cè)2.統(tǒng)計(jì)分析對(duì)系統(tǒng)對(duì)象（如用戶(hù)、文件、目錄和設(shè)備等）創(chuàng)建一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性（如訪(fǎng)問(wèn)次數(shù)、操作失敗次數(shù)和延時(shí)等）。測(cè)量屬性的平均值與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，任何觀(guān)察值在正常值范圍之外時(shí)，就認(rèn)為有入侵發(fā)生。例如，某帳戶(hù)突然在凌晨?jī)牲c(diǎn)試圖登錄。優(yōu)點(diǎn)：可檢測(cè)到未知的入侵和更為復(fù)雜的入侵缺點(diǎn)：誤報(bào)、漏報(bào)率高，不適應(yīng)用戶(hù)正常行為的突然改變。統(tǒng)計(jì)分析方法如基于專(zhuān)家系統(tǒng)的、基于模型推理的和基于神經(jīng)網(wǎng)絡(luò)的分析方法。124、信號(hào)分析一、什么是入侵檢測(cè)2.統(tǒng)計(jì)分析12一、什么是入侵檢測(cè)3.完整性分析：利用消息摘要Hash函數(shù)計(jì)算完整性分析關(guān)注某個(gè)文件或?qū)ο笫欠癖桓?，包括文件和目錄的?nèi)容及屬性，它在發(fā)現(xiàn)被木馬、病毒更改的應(yīng)用程序方面特別有效。檢查系統(tǒng)保存有每個(gè)文件的數(shù)字摘要數(shù)據(jù)庫(kù)，通過(guò)重新計(jì)算文件的數(shù)字文摘并與數(shù)據(jù)庫(kù)中的值相比較來(lái)判斷文件是否被修改。優(yōu)點(diǎn)：攻克文件完整性檢查系統(tǒng)，無(wú)論是時(shí)間上還是空間上都是不可能的。配置靈活，可以有選擇地監(jiān)測(cè)重要文件。13一、什么是入侵檢測(cè)3.完整性分析：利用消息摘要Hash函數(shù)計(jì)二、入侵檢測(cè)產(chǎn)品分析文件完整性檢查的弱點(diǎn)：一般以批處理方式實(shí)現(xiàn)，不用于實(shí)時(shí)響應(yīng)。該方法作為網(wǎng)絡(luò)安全的必要補(bǔ)充，定期運(yùn)行。文件完整性檢查系統(tǒng)依賴(lài)于本地的文摘數(shù)據(jù)庫(kù)。這些數(shù)據(jù)可能被入侵者修改。防范對(duì)策：將摘要數(shù)據(jù)庫(kù)放在只讀介質(zhì)上。文件完整性檢查非常耗時(shí)。系統(tǒng)正常的升級(jí)會(huì)帶來(lái)大量的文件更新。例如，WindowsNT系統(tǒng)中升級(jí)MS-Outlook將會(huì)帶來(lái)1800多個(gè)文件變化。14二、入侵檢測(cè)產(chǎn)品分析文件完整性檢查的弱點(diǎn)：141、基于網(wǎng)絡(luò)的入侵檢測(cè)二、入侵檢測(cè)產(chǎn)品分析基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)使用原始網(wǎng)絡(luò)包作為數(shù)據(jù)源。通常采用四種技術(shù)來(lái)識(shí)別攻擊標(biāo)志：模式、表達(dá)式或字節(jié)匹配頻率或穿越閾值低級(jí)事件的相關(guān)性統(tǒng)計(jì)學(xué)意義上的非常規(guī)現(xiàn)象檢測(cè)一旦檢測(cè)到了攻擊行為，IDS的響應(yīng)模塊提供多種選項(xiàng)以通知、報(bào)警并對(duì)攻擊采取相應(yīng)的反應(yīng)。通常都包括通知管理員、中斷連接，收集證據(jù)。151、基于網(wǎng)絡(luò)的入侵檢測(cè)二、入侵檢測(cè)產(chǎn)品分析基于網(wǎng)絡(luò)的入侵檢測(cè)1、基于網(wǎng)絡(luò)的入侵檢測(cè)二、入侵檢測(cè)產(chǎn)品分析優(yōu)點(diǎn)：1）成本低：可在幾個(gè)關(guān)鍵訪(fǎng)問(wèn)點(diǎn)上進(jìn)行配置，不要求在各主機(jī)上裝載并管理軟件。2）通過(guò)檢測(cè)數(shù)據(jù)包的頭部可發(fā)現(xiàn)基于主機(jī)的IDS所漏掉的攻擊（如：DOS、碎片包Teardrop攻擊）?；谥鳈C(jī)的IDS無(wú)法查看包的頭部。3.攻擊者不易銷(xiāo)毀證據(jù)：可實(shí)時(shí)記錄攻擊者的有關(guān)信息（不僅包括攻擊的方法，還包括可識(shí)別黑客身份和對(duì)其進(jìn)行起訴的信息）。黑客一旦入侵到主機(jī)內(nèi)部都會(huì)修改審記記錄，抹掉作案痕跡。161、基于網(wǎng)絡(luò)的入侵檢測(cè)二、入侵檢測(cè)產(chǎn)品分析優(yōu)點(diǎn)：161、基于網(wǎng)絡(luò)的入侵檢測(cè)二、入侵檢測(cè)產(chǎn)品分析4.實(shí)時(shí)檢測(cè)和響應(yīng)：可以在攻擊發(fā)生的同時(shí)將其檢測(cè)出來(lái)，并做出更快的響應(yīng)。例如，對(duì)拒絕服務(wù)攻擊發(fā)出TCP復(fù)位信號(hào)，在該攻擊對(duì)目標(biāo)主機(jī)造成破壞前將其中斷。而基于主機(jī)的系統(tǒng)只有在可疑的登錄信息被記錄下來(lái)以后才能識(shí)別攻擊并做出反應(yīng)。而這時(shí)關(guān)鍵系統(tǒng)可能早就遭到了破壞。5.能檢測(cè)未成功的攻擊和不良意圖?；谥鳈C(jī)的系統(tǒng)無(wú)法查到未遂的攻擊，而這些丟失的信息對(duì)于評(píng)估和優(yōu)化安全策略至關(guān)重要。6.操作系統(tǒng)無(wú)關(guān)性171、基于網(wǎng)絡(luò)的入侵檢測(cè)二、入侵檢測(cè)產(chǎn)品分析4.實(shí)時(shí)檢測(cè)和響1、基于網(wǎng)絡(luò)的入侵檢測(cè)二、入侵檢測(cè)產(chǎn)品分析網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的弱點(diǎn)：只檢查它直接連接網(wǎng)段的通信；為了不影響性能，通常采用簡(jiǎn)單的特征檢測(cè)算法，難以實(shí)現(xiàn)復(fù)雜計(jì)算與分析；會(huì)將大量的數(shù)據(jù)傳給檢測(cè)分析系統(tǒng)；難以處理加密會(huì)話(huà)。目前通過(guò)加密通道的攻擊尚不多，但這個(gè)問(wèn)題會(huì)越來(lái)越突出。

181、基于網(wǎng)絡(luò)的入侵檢測(cè)二、入侵檢測(cè)產(chǎn)品分析網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的2、基于主機(jī)的入侵檢測(cè)二、入侵檢測(cè)產(chǎn)品分析通常是安裝在被重點(diǎn)檢測(cè)的主機(jī)之上，主要是對(duì)該主機(jī)的網(wǎng)絡(luò)實(shí)時(shí)連接以及系統(tǒng)審計(jì)日志進(jìn)行智能分析和判斷。如果其中主體活動(dòng)十分可疑(特征或違反統(tǒng)計(jì)規(guī)律)，入侵檢測(cè)系統(tǒng)就會(huì)采取相應(yīng)措施。優(yōu)點(diǎn)：1．比基于網(wǎng)絡(luò)的IDS更加準(zhǔn)確地判斷攻擊是否成功。2．監(jiān)視特定的系統(tǒng)活動(dòng)：監(jiān)視用戶(hù)和訪(fǎng)問(wèn)文件的活動(dòng)，包括文件訪(fǎng)問(wèn)、改變文件權(quán)限；記錄帳戶(hù)或文件的變更，發(fā)現(xiàn)并中止改寫(xiě)重要系統(tǒng)文件或者安裝特洛伊木馬的企圖。192、基于主機(jī)的入侵檢測(cè)二、入侵檢測(cè)產(chǎn)品分析通常是安裝在被重點(diǎn)2、基于主機(jī)的入侵檢測(cè)二、入侵檢測(cè)產(chǎn)品分析3．檢測(cè)被基于網(wǎng)絡(luò)IDS漏掉的、不經(jīng)過(guò)網(wǎng)絡(luò)的攻擊。4．可用于加密的和交換的環(huán)境。交換設(shè)備可將大型網(wǎng)絡(luò)分成許多的小型網(wǎng)絡(luò)部件加以管理，所以很難確定配置基于網(wǎng)絡(luò)的IDS的最佳位置?；谥鳈C(jī)的入侵檢測(cè)系統(tǒng)可安裝在所需的重要主機(jī)上，在交換的環(huán)境中具有更高的能見(jiàn)度。由于加密方式位于協(xié)議堆棧內(nèi)，所以基于網(wǎng)絡(luò)的IDS可能對(duì)某些攻擊沒(méi)有反應(yīng)，基于主機(jī)的IDS沒(méi)有這方面的限制，因?yàn)檫@時(shí)數(shù)據(jù)流已經(jīng)被解密了。202、基于主機(jī)的入侵檢測(cè)二、入侵檢測(cè)產(chǎn)品分析3．檢測(cè)被基于網(wǎng)絡(luò)2、基于主機(jī)的入侵檢測(cè)二、入侵檢測(cè)產(chǎn)品分析5．接近實(shí)時(shí)的檢測(cè)和響應(yīng)目前，基于主機(jī)的顯著減少了從攻擊驗(yàn)證到作出響應(yīng)的時(shí)間延遲，大多數(shù)情況下，系統(tǒng)能在遭到破壞之前發(fā)現(xiàn)并阻止入侵者攻擊。6．不要求維護(hù)及管理額外硬件設(shè)備。7．記錄花費(fèi)更加低廉：盡管很容易就能使基于網(wǎng)絡(luò)的IDS提供廣泛覆蓋，但其價(jià)格通常是昂貴的。配置一個(gè)簡(jiǎn)單的入侵監(jiān)測(cè)系統(tǒng)要花費(fèi)$10,000以上，而基于主機(jī)的入侵檢測(cè)系統(tǒng)對(duì)于單獨(dú)－代理標(biāo)價(jià)僅幾百美元，并且客戶(hù)只需很少的費(fèi)用用于最初的安裝。212、基于主機(jī)的入侵檢測(cè)二、入侵檢測(cè)產(chǎn)品分析5．接近實(shí)時(shí)的檢二、入侵檢測(cè)產(chǎn)品分析基于主機(jī)的入侵檢測(cè)系統(tǒng)的弱點(diǎn)：1、會(huì)降低應(yīng)用系統(tǒng)的效率。此外，安裝了主機(jī)入侵檢測(cè)系統(tǒng)后，擴(kuò)大了安全管理員訪(fǎng)問(wèn)權(quán)限。2、依賴(lài)于服務(wù)器固有的日志與監(jiān)視能力。如果服務(wù)器沒(méi)有配置日志功能，則必需重新配置。

3、全面布署，代價(jià)較大。若部分安裝，則存在保護(hù)盲點(diǎn)。4、無(wú)法監(jiān)測(cè)網(wǎng)絡(luò)上的情況。對(duì)入侵行為的分析的工作量將隨著主機(jī)數(shù)目增加而增加。22二、入侵檢測(cè)產(chǎn)品分析基于主機(jī)的入侵檢測(cè)系統(tǒng)的弱點(diǎn)：223、混合入侵檢測(cè)二、入侵檢測(cè)產(chǎn)品分析基于網(wǎng)絡(luò)的和基于主機(jī)的IDS對(duì)攻擊的反應(yīng)方式有：告警、存貯和主動(dòng)響應(yīng)。單純使用一類(lèi)產(chǎn)品的防御體系是不完整的，兩類(lèi)產(chǎn)品結(jié)合起來(lái)部署，可以?xún)?yōu)勢(shì)互補(bǔ)。既可發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊信息，也可從系統(tǒng)日志中發(fā)現(xiàn)異常情況。233、混合入侵檢測(cè)二、入侵檢測(cè)產(chǎn)品分析基于網(wǎng)絡(luò)的和基于主機(jī)的I1、技術(shù)分類(lèi)三、入侵檢測(cè)技術(shù)分析入侵檢測(cè)技術(shù)分為兩種：特征檢測(cè)、異常檢測(cè)。多數(shù)IDS以特征檢測(cè)為主，異常檢測(cè)為輔。1）特征檢測(cè)（誤用檢測(cè)、模式發(fā)現(xiàn)）假設(shè)入侵者活動(dòng)可以用某種模式來(lái)表示，系統(tǒng)的目標(biāo)是檢測(cè)主體活動(dòng)是否與這些模式匹配。關(guān)鍵：入侵模式描述，區(qū)分入侵與正常行為。優(yōu)點(diǎn)：誤報(bào)少。局限：不能發(fā)現(xiàn)未知的攻擊。241、技術(shù)分類(lèi)三、入侵檢測(cè)技術(shù)分析入侵檢測(cè)技術(shù)分為兩種：特征1、技術(shù)分類(lèi)三、入侵檢測(cè)技術(shù)分析2）異常檢測(cè)（異常發(fā)現(xiàn)）按照統(tǒng)計(jì)規(guī)律，建立主體正?；顒?dòng)的“簡(jiǎn)檔”，若當(dāng)前主體活動(dòng)偏離“簡(jiǎn)檔”相比較，則認(rèn)為該活動(dòng)可能是“入侵”行為。例：流量統(tǒng)計(jì)分析，將異常時(shí)間的異常網(wǎng)絡(luò)流量視為可疑。難點(diǎn)：建立“簡(jiǎn)檔”；統(tǒng)計(jì)算法；異常閾值選擇。避免對(duì)入侵的誤判或漏判。局限性：“入侵”與“異?！辈⒎且灰粚?duì)應(yīng)。而且系統(tǒng)的軌跡難于計(jì)算和更新。251、技術(shù)分類(lèi)三、入侵檢測(cè)技術(shù)分析2）異常檢測(cè)（異常發(fā)現(xiàn)）22、常用檢測(cè)方法三、入侵檢測(cè)技術(shù)分析IDS常用的檢測(cè)方法:特征檢測(cè)、統(tǒng)計(jì)檢測(cè)與專(zhuān)家系統(tǒng)。據(jù)公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心的報(bào)告，國(guó)內(nèi)送檢的入侵檢測(cè)產(chǎn)品中95％是屬于使用入侵模板進(jìn)行模式匹配的特征檢測(cè)產(chǎn)品，其他5％是采用概率統(tǒng)計(jì)的統(tǒng)計(jì)檢測(cè)產(chǎn)品與基于日志的專(zhuān)家知識(shí)庫(kù)系產(chǎn)品。262、常用檢測(cè)方法三、入侵檢測(cè)技術(shù)分析IDS常用的檢測(cè)方法:2、常用檢測(cè)方法三、入侵檢測(cè)技術(shù)分析1）特征檢測(cè)：對(duì)攻擊方式作出確定性的描述

事件模式。當(dāng)被審計(jì)的事件與已知的入侵事件模式相匹配時(shí)報(bào)警。目前常用的是數(shù)據(jù)包特征模式匹配。準(zhǔn)確率高，對(duì)付已知攻擊。2）統(tǒng)計(jì)檢測(cè)：常用于異常檢測(cè)。測(cè)量參數(shù)包括：審計(jì)事件的數(shù)量、間隔時(shí)間、資源消耗情況等。常用的統(tǒng)計(jì)模型有：272、常用檢測(cè)方法三、入侵檢測(cè)技術(shù)分析1）特征檢測(cè)：對(duì)攻擊2、常用檢測(cè)方法三、入侵檢測(cè)技術(shù)分析操作模型：測(cè)量結(jié)果與一些固定指標(biāo)（經(jīng)驗(yàn)值，統(tǒng)計(jì)值）相比較，例：在短時(shí)間內(nèi)的多次登錄失敗，可能是口令嘗試攻擊；概率模型：計(jì)算參數(shù)的方差，設(shè)定其置信區(qū)間，當(dāng)測(cè)量值超過(guò)置信區(qū)間的范圍時(shí)表明有可能是異常；或者當(dāng)概率很低的事件發(fā)生時(shí)，可能發(fā)生入侵。用戶(hù)歷史行為：當(dāng)用戶(hù)改變他們的行為習(xí)慣時(shí)，這種異常就會(huì)被檢測(cè)出來(lái)。282、常用檢測(cè)方法三、入侵檢測(cè)技術(shù)分析操作模型：測(cè)量結(jié)果與一2、常用檢測(cè)方法三、入侵檢測(cè)技術(shù)分析3）專(zhuān)家系統(tǒng)：根據(jù)專(zhuān)家對(duì)可疑行為的經(jīng)驗(yàn)形成一套推理規(guī)則。專(zhuān)家系統(tǒng)的建立依賴(lài)于知識(shí)庫(kù)的完備性，知識(shí)庫(kù)的完備性又取決于審計(jì)記錄的完備性與實(shí)時(shí)性。入侵的特征抽取與表達(dá)，是入侵檢測(cè)專(zhuān)家系統(tǒng)的關(guān)鍵。在系統(tǒng)實(shí)現(xiàn)中，將有關(guān)入侵的知識(shí)轉(zhuǎn)化為if-then結(jié)構(gòu)（也可以是復(fù)合結(jié)構(gòu)），條件部分為入侵特征，then部分是系統(tǒng)防范措施。292、常用檢測(cè)方法三、入侵檢測(cè)技術(shù)分析3）專(zhuān)家系統(tǒng)：293、入侵的發(fā)展趨勢(shì)三、入侵檢測(cè)技術(shù)分析多樣化與復(fù)雜化：采用多種手段，提高成功率。隱蔽化：掩蓋攻擊者身份和目的。欺騙性：間接攻擊；IP地址欺騙攻擊規(guī)模擴(kuò)大：電子戰(zhàn)與信息戰(zhàn)。攻擊的分布化：DDoS在很短時(shí)間內(nèi)造成被攻擊主機(jī)的癱瘓，且在攻擊的初期不易被發(fā)覺(jué)。攻擊對(duì)象轉(zhuǎn)移：網(wǎng)絡(luò)

網(wǎng)絡(luò)防護(hù)系統(tǒng)。303、入侵的發(fā)展趨勢(shì)三、入侵檢測(cè)技術(shù)分析多樣化與復(fù)雜化：采用4、入侵檢測(cè)技術(shù)發(fā)展方向三、入侵檢測(cè)技術(shù)分析分布式入侵檢測(cè)：兩層含義1）針對(duì)分布式網(wǎng)絡(luò)攻擊的檢測(cè)方法2）使用分布式的方法來(lái)檢測(cè)分布式的攻擊，關(guān)鍵技術(shù)為檢測(cè)信息的協(xié)同處理解決異構(gòu)系統(tǒng)及大規(guī)模網(wǎng)絡(luò)的入侵檢測(cè)，發(fā)展分布式入侵檢測(cè)技術(shù)與通用入侵檢測(cè)架構(gòu)。智能化入侵檢測(cè)：314、入侵檢測(cè)技術(shù)發(fā)展方向三、入侵檢測(cè)技術(shù)分析分布式入侵檢測(cè)三、入侵檢測(cè)技術(shù)分析神經(jīng)網(wǎng)絡(luò)、遺傳算法、模糊技術(shù)、免疫原理等方法，用于入侵特征的辨識(shí)。利用專(zhuān)家系統(tǒng)，具有自學(xué)習(xí)能力，實(shí)現(xiàn)知識(shí)庫(kù)的不斷更新與擴(kuò)展。應(yīng)用智能體(Agent)技術(shù)進(jìn)行入侵檢測(cè)。應(yīng)該將常規(guī)高效的IDS與智能檢測(cè)模塊結(jié)合使用。應(yīng)用層入侵檢測(cè)：許多入侵的語(yǔ)義只有在應(yīng)用層才能理解。使IDS不僅能檢測(cè)Web類(lèi)的通用協(xié)議，還能處理如LotusNotes、數(shù)據(jù)庫(kù)系統(tǒng)等其他的應(yīng)用系統(tǒng)。32三、入侵檢測(cè)技術(shù)分析神經(jīng)網(wǎng)絡(luò)、遺傳算法、模糊技術(shù)、免疫原理等1、入侵檢測(cè)的評(píng)估四、入侵檢測(cè)產(chǎn)品1)能保證自身的安全。2)系統(tǒng)運(yùn)行與維護(hù)的開(kāi)銷(xiāo)小。3)誤報(bào)率和漏報(bào)率要低。4)支持多種網(wǎng)絡(luò)，對(duì)網(wǎng)絡(luò)性能影響小。5)能檢測(cè)的入侵特征數(shù)量。6)是否支持IP碎片重組、TCP流重組。TCP流重組是網(wǎng)絡(luò)IDS分析應(yīng)用層協(xié)議的基礎(chǔ)。如檢查郵件內(nèi)容、附件，F(xiàn)TP數(shù)據(jù)，非法HTTP請(qǐng)求等。331、入侵檢測(cè)的評(píng)估四、入侵檢測(cè)產(chǎn)品1)能保證自身的安全。32、入侵檢測(cè)的產(chǎn)品四、入侵檢測(cè)產(chǎn)品Cisco公司的NetRanger傳感器(sensor)：采集數(shù)據(jù)（網(wǎng)絡(luò)包、日志），分析數(shù)據(jù)，發(fā)出報(bào)警信息等。控制臺(tái)(console)：圖形化界面，中央管理機(jī)構(gòu)。接收?qǐng)?bào)警，啟動(dòng)對(duì)策。NetworkAssociates公司的CyberCopInternetSecuritySystem公司的RealSecure

342、入侵檢測(cè)的產(chǎn)品四、入侵檢測(cè)產(chǎn)品Cisco公司的NetRa3、入侵檢測(cè)產(chǎn)品選擇要點(diǎn)四、入侵檢測(cè)產(chǎn)品1.系統(tǒng)的價(jià)格2.特征庫(kù)升級(jí)與維護(hù)的費(fèi)用3.網(wǎng)絡(luò)IDS的最大可處理流量(包/秒PPS)

4.漏報(bào)率、誤報(bào)率5.產(chǎn)品的可伸縮性：系統(tǒng)支持的傳感器數(shù)目、入侵特征庫(kù)大小、傳感器與控制臺(tái)之間通信帶寬，對(duì)審計(jì)日志溢出的處理。353、入侵檢測(cè)產(chǎn)品選擇要點(diǎn)四、入侵檢測(cè)產(chǎn)品1.系統(tǒng)的價(jià)格35四、入侵檢測(cè)產(chǎn)品6.運(yùn)行與維護(hù)系統(tǒng)的開(kāi)銷(xiāo)：