入侵检测技术

IDES（入侵检测专家系统）入侵检测(IntrusionDetection)Ł从计算机网络或计算机系统中的若干关键点收集信息，并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为或遭受攻击的迹象的一种安全技术。入侵检测系统（IDS）Ł使用入侵检测技术对网络与其上的系统进行监视，并根据监视结果进行不同的安全动作，最大限度地降低可能的入侵危害。入侵检测系统基本上不具有访问控制的能力入侵检测系统可以在攻击的前期准备时期或是在攻击刚刚开始的时候进行确认并发出警报。入侵检测一般采用旁路侦听的机制，因此不会产生对网络带宽的大量占用.入侵检测系统的单独使用不能起到保护网络的作用，也不能独立地防止任何一种攻击.通常包括以下功能部件:信息采集信息分析攻击响应IDS功能:l监测并分析用户和系统的活动，查找非法用户和合法用户的越权访问；l评估系统关键资源和数据文件的完整性；l识别已知的攻击行为；l统计分析异常行为；l操作系统日志管理，并识别违反安全策略的用户活动。入侵检测的方法:异常检测和误用检测。一、异常检测方法：(1)事先建立被检测系统的正常行为模型;(2)通过比较当前行为与正常行为的偏差来检测异常行为。二、误用检测(1)它根据事先定义入侵模式;(2)通过判断这些入侵模式是否出现来检测入侵行为。入侵检测技术分类：从分析数据来源的角度，入侵检测系统可分为基于日志和基于数据包的两种。信息采集：(1)系统日志文件信息(2)目录和文件的完整性信息(3)程序执行中的异常行为(4)物理形式的入侵信息信息分析：（1）模式识别：在系统运行时,将采集到的行为信息与入侵模式库中已知的网络入侵模式和特征进行比较，从而识别出违反安全策略的行为。优点：具有较高的识别精度和执行效率，缺点：不能检测到未知的攻击模式，并且需要不断的升级和维护入侵模式库。（2）统计分析；系统运行时，测量属性的平均值和偏差将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生。优点:可检测到未知的和复杂的入侵行为;缺点:误报率和漏报率比较高，并且不适应用户正常行为的突然改变和软件系统版本更换或升级。（2）完整性分析：首先使用MD5、SHA等散列函数计算被检测对象(如文件或目录内容和属性)的散列值。在系统运行时，将采集到的完整性信息与散列值进行比较。优点：能够识别被检测对象(应用程序和数据如网页内容)的微小变化。缺点：一般采用批处理方式实现，不能用于实时响应。攻击响应方法主要有如下几种：ð发出警报：发短信,E-MAIL,声音报警等方式ð终止连接：立即终止这个逻辑连接，尽量减少攻击所带来的系统损失。ð断开链路：断开该系统的网络物理链路ð引入陷阱：系统切换到一个“空”系统上以便收集攻击者信息，追踪攻击者的踪迹。入侵检测的分析方法：异常检测，误用检测异常检测技术先定义一组系统正常活动的阈值，如CPU利用率、内存利用率、文件校验和等，这类数据可以人为定义，也可以通过观察系统，用统计的办法得出，然后将系统运行时的数值与所定义的“正常”情况比较，得出是否有被攻击的迹象。这种检测方式的核心在于如何分析系统运行情况。异常检测：误报漏报优点：⑴能够检测出新的网络入侵方法的攻击；⑵较少依赖于特定的主机操作系统；⑶对于内部合法用户的越权违法行为的检测能力较强。不足：⑴误报率高；⑵行为模型建立困难；⑶难以对入侵行为进行分类和命名。异常检测技术分类：（1）统计分析异常检测（异常阈值难以确定、对事件发生的次序不敏感）（2）贝叶斯推理异常检测（3）神经网络异常检测（4）模式预测异常检测（5）数据采掘异常检测（6）机器学习异常检测误用检测技术——基于知识的检测误用检测技术——基于知识的检测：基本原理误用检测技术（MisuseDetection）也称为基于知识的检测技术或者模式匹配检测技术。基本前提是：假定所有可能的入侵行为都能被识别和表示。原理：假设所有的网络攻击行为和方法都具有一定的模式或特征，如果把以往发现的所有网络攻击的特征总结出来并建立一个入侵信息库，那么入侵检测系统可以将当前捕获到的网络行为特征与入侵信息库中的特征信息相比较，如果匹配，则当前行为就被认定为入侵行为。优点：▲检测准确度高；▲技术相对成熟；▲便于进行系统防护。缺点：▲不能检测出新的入侵行为；▲完全依赖于入侵特征的有效性；▲维护特征库的工作量巨大；▲难以检测来自内部用户的攻击。误用检测技术的分类：（1）专家系统误用检测（2）特征分析误用检测（3）模型推理误用检测（4）条件概率误用检测（5）键盘监控误用检测异常检测技术和误用检测技术的比较：入侵检测系统必须不断地学习并更新已有的行为轮廓。基于误用检测技术系统只有拥有所有可能的入侵行为的先验知识，而且必须能识别各种入侵行为的过程细节或者每种入侵行为的特征模式，才能检测到所有的入侵行为，而这种情况也是不存在的。只能检测出已有的入侵模式，必须不断地对新出现的入侵行为进行总结和归纳。系统的配置方面，基于异常检测技术系统通常比基于误用检测技术系统所做的工作要少很多，因为异常检测需要对系统和用户的行为轮廓进行不断的学习更新，需要大量的数据分析处理工作基于异常检测技术系统所输出的检测结果，通常是在对实际行为与行为轮廓进行异常分析等相关处理后得出的，这类入侵检测系统的检测报告通常会比基于误用检测技术的入侵检测系统具有更多的数据量，因为任何超出行为轮廓范围的事件都将被检测出来并写入报告中。从系统体系结构上,入侵检测系统可以分成三种：●基于主机的入侵检测系统(HIDS)●基于网络的入侵检测系统(NIDS)●基于智能代理的入侵检测系统(AIDS)NIDS由检测器、分析器、数据库和响应器组成。入侵检测的部署点可以划分为4个位置：①DMZ区、②外网入口、③内网主干、④关键子网,DMZ优点：①检测来自外部的攻击，这些攻击已经渗入过第一层防御体系；②可以容易地检测网络防火墙的性能并找到配置策略中的问题；③DMZ区通常放置的是对内外提供服务的重要的服务设备，因此，所检测的对象集中于关键的服务设备；④即使进入的攻击行为不可识别，入侵检测系统经过正确的配置也可以从被攻击主机的反馈中获得受到攻击的信息。入侵检测系统的局限性：（1）入侵检测系统无法弥补安全防御系统中的安全缺陷和漏洞。（2）对于高负载的网络或主机，很难实现对网络入侵的实时检测、报警和迅速地进行攻击响应。3）基于知识的入侵检测系统很难检测到未知的攻击行为（4）入侵检测系统的主动防御能和联动防御功能会对网络的行为产生影响，同样也会成为攻击者的目标，实现以入侵检测系统过敏自主防御为基础的攻击。（5）无法单独防止攻击行为的渗透，只能调整相关网络设备的参数或人为地进行处理。（6）网络入侵检测系统在纯交换环境下无法正常工作，（7）入侵检测系统主要是对网络行为进行分析检测，不能修正信息资源中存在的安全问题。