信息安全05_入侵检测技术.ppt

5．基于规则的方法 上面讨论的异常检测主要基于统计方法，异常检测的另一个变种就是基于规则的方法。 与统计方法不同的是基于规则的检测使用规则集来表示和存储使用模式。 （1）WisdomSense方法 （2）基于时间的引导机（TIM） 返回本章首页 5.2.4 其它检测技术 这些技术不能简单地归类为误用检测或是异常检测，而是提供了一种有别于传统入侵检测视角的技术层次，例如免疫系统、基因算法、数据挖掘、基于代理（Agent）的检测等 它们或者提供了更具普遍意义的分析技术，或者提出了新的检测系统架构，因此无论对于误用检测还是异常检测来说，都可以得到很好的应用。 返回本章首页 1．神经网络（Neural Network） 作为人工智能（AI）的一个重要分支，神经网络（Neural Network）在入侵检测领域得到了很好的应用 它使用自适应学习技术来提取异常行为的特征，需要对训练数据集进行学习以得出正常的行为模式。 这种方法要求保证用于学习正常模式的训练数据的纯洁性，即不包含任何入侵或异常的用户行为。 返回本章首页 2．免疫学方法 New Mexico大学的Stephanie Forrest提出了将生物免疫机制引入计算机系统的安全保护框架中。 免疫系统中最基本也是最重要的能力是识别“自我/非自我”（self/nonself），换句话讲，它能够识别哪些组织是属于正常机体的，不属于正常的就认为是异常，这个概念和入侵检测中异常检测的概念非常相似。 返回本章首页 3．数据挖掘方法 Columbia大学的Wenke Lee在其博士论文中，提出了将数据挖掘（Data Mining, DM）技术应用到入侵检测中，通过对网络数据和主机系统调用数据的分析挖掘，发现误用检测规则或异常检测模型。 具体的工作包括利用数据挖掘中的关联算法和序列挖掘算法提取用户的行为模式，利用分类算法对用户行为和特权程序的系统调用进行分类预测。 实验结果表明，这种方法在入侵检测领域有很好的应用前景。 返回本章首页 4．基因算法 基因算法是进化算法（evolutionary algorithms）的一种，引入了达尔文在进化论中提出的自然选择的概念（优胜劣汰、适者生存）对系统进行优化。该算法对于处理多维系统的优化是非常有效的。 在基因算法的研究人员看来，入侵检测的过程可以抽象为：为审计事件记录定义一种向量表示形式，这种向量或者对应于攻击行为，或者代表正常行为。 返回本章首页 5．基于代理的检测 近年来，一种基于Agent的检测技术（Agent-Based Detection）逐渐引起研究者的重视。 所谓Agent，实际上可以看作是在执行某项特定监视任务的软件实体。 基于Agent的入侵检测系统的灵活性保证它可以为保障系统的安全提供混合式的架构，综合运用误用检测和异常检测，从而弥补两者各自的缺陷。 返回本章首页 5.3 分布式入侵检测 分布式入侵检测（Distributed Intrusion Detection）是目前入侵检测乃至整个网络安全领域的热点之一。 到目前为止，还没有严格意义上的分布式入侵检测的商业化产品，但研究人员已经提出并完成了多个原型系统。 通常采用的方法中，一种是对现有的IDS进行规模上的扩展，另一种则通过IDS之间的信息共享来实现。 具体的处理方法上也分为两种： 分布式信息收集、集中式处理； 分布式信息收集、分布式处理。 返回本章首页 5.3.1 分布式入侵检测的优势 分布式入侵检测由于采用了非集中的系统结构和处理方式，相对于传统的单机IDS具有一些明显的优势： （1）检测大范围的攻击行为 （2）提高检测的准确度 （3）提高检测效率 （4）协调响应措施 返回本章首页 5.3.2 分布式入侵检测的技术难点 与传统的单机IDS相比较，分布式入侵检测系统具有明显的优势。然而，在实现分布检测组件的信息共享和协作上，却存在着一些技术难点。 Stanford Research Institute（SRI）在对EMERALD系统的研究中，列举了分布式入侵检测必须关注的关键问题： 事件产生及存储、 状态空间管理 规则复杂度 知识库管理 推理技术。 返回本章首页 5.3.3 分布式入侵检测现状 尽管分布式入侵检测存在技术和其它层面的难点，但由于其相对于传统的单机IDS所具有的优势，目前已经成为这一领域的研究热点。 1．Snortnet 它通过对传统的单机IDS进行规模上的扩展，使系统具备分布式检测的能力，是基于模式匹配的分布式入侵检测系统的一个具体实现。 主要包括三个组件：网络感应器、代理守护程序和监视控制台。 返回本章首页 2．Agent-Based 基于Age