第八章入侵检测技术.ppt

入侵检测技术 ; 1 入侵检测概述 2 入侵检测原理 3 入侵检测系统的关键技术 4 基于数据挖掘的智能化入侵检测系统设计 ; 1 入侵检测概述;1、入侵检测的概念：模型;1、入侵检测的概念：任务; 1.2 研究入侵检测的必要性 因为访问控制和保护模型本身存着在以下问题。 （1）弱口令问题。 （2）静态安全措施不足以保护安全对象属性。 （3）软件的Bug-Free近期无法解决。 （4）软件生命周期缩短和软件测试不充分。 （5）系统软件缺陷的修补工作复杂，而且源代码大多数不公开，也缺乏修补Bug的专门技术，导致修补进度太慢，因而计算机系统的不安全系统将持续一段时间。 ; 入侵检测的主要目的有：识别入侵者；识别入侵行为；检测和监视已成功的安全突破；为对抗措施即时提供重要信息。因而，入侵检测是非常必要的，可以弥补传统安全保护措施的不足。 入侵检测系统的主要功能是检测，当然还有其他的功能选项，因而增加了计算机系统和网络的安全性。; 使用入侵检测系统有如下优点： ① 检测防护部分阻止不了的入侵； ② 检测入侵的前兆； ③ 对入侵事件进行归档； ④ 对网络遭受的威胁程度进行评估； ⑤ 对入侵事件进行恢复。 入侵检测系统利用优化匹配模式和统计学技术把传统的电子数据处理和安全审查结合起来，已经发展成为构筑完整的现代网络安全技术的一个必不可少的部分。;2、入侵检测的分类;2、入侵检测的分类;2、入侵检测的分类; 2 入侵检测原理; 但是，入侵性活动并不总是与异常活动相符合，而是存在下列4种可能性。 （1）入侵性而非异常。 （2）非入侵性且异常。 （3）非入侵性非异常。 （4）入侵性且异常。 另外，设置异常的门槛值不当，往往会导致IDS许多误报警或者漏检的现象，漏检对于重要的安全系统来说是相当危险的，因为IDS给安全管理员造成了系统安全假象。; 2.2 误用入侵检测原理 误用入侵检测依赖于模式库，误用入侵检测能直接检测出模式库中已涵盖的入侵行为或不可接受的行为，而异常入侵检测是发现同正常行为相违背的行为。误用入侵检测的主要假设是具有能够被精确地按某种方式编码的攻击。通过捕获攻击及重新整理，可确认入侵活动是基于同一弱点进行攻击的入侵方法的变种。误用入侵检测主要的局限性是仅仅可检测已知的弱点，对检测未知的入侵可能用处不大。; 2.3 入侵检测模型 入侵有以下6种方式： ① 尝试性攻击； ② 伪装攻击； ③ 安全控制系统渗透； ④ 泄漏； ⑤ 拒绝服务； ⑥ 恶意使用。 ;IDES模型; 3 入侵检测系统的关键技术;2．基于特征选择异常检测方法 基于特征选择异常检测方法是通过从一组度量中挑选能检测出入侵的度量构成子集来准确地预测或分类已检测到的入侵。 3．基于贝叶斯推理异常检测方法 基于贝叶斯推理异常检测方法是通过在任意给定的时刻，测量A1，A２，…，Aｎ变量值推理判断系统是否有入侵事件发生。 ;4．基于贝叶斯网络异常检测方法 基于贝叶斯网络的异常检测方法是通过建立异常入侵检测贝叶斯网络，然后用其分析测量结果。 关于一组变量x={ x1，x２，…，xn}，的贝叶斯网络由以下两部分组成： ① 一个表示X中变量的条件独立断言的网络结构S； ② 与每一个变量相联系的局部概率分布集合P。;贝叶斯网络的建立共有以下3个主要步骤。 第一步，确定建立模型有关的变量及其解释。 第二步，构建一个表示条件独立断言的有向无环图 。 第三步，指派局部概率分布p(xi|Pai)。;5．基于模式预测异常检测方法 基于模式预测异常检测方法的假设条件是事件序列不是随机的而是遵循可辨别的模式 ;图 9 基于神经网络的入侵检测示意图 ;7．基于贝叶斯聚类异常检测方法 8．基于机器学习异常检测方法 9．基于数据采掘异常检测方法; 3.2 多用于误用入侵检测的技术 误用入侵检测的主要假设是具有能够被精确地按某种方式编码的攻击，并可以通过捕获攻击及重新整理，确认入侵活动是基于同一弱点进行攻击的入侵方法的变种。 1．基于条件概率误用入侵检测方法 2．基于专家系统误用入侵检测方法 3．基于状态迁移分析误用入侵检测方法 4．基于键盘监控误用入侵检测方法 5．基于模型误用入侵检测方法; 3.3 基于Agent的入侵检测 无控制中心的多Agent结构，每个检测部件都是独立的检测单元，尽量降低了各检测部件间的相关性，不仅实现了数据收集的分布化，而且将入侵检测和实时响应分布化，真正实现了分布式检测的思想。; 该模型的检测单元IDA是分布在网络系统的各个位置，每个IDA独立地检测系统或网络安全的一个方面，有独立的数据获取方式、运行模