入侵檢測(cè)技術(shù)

1、1.教學(xué)：入侵檢測(cè)技術(shù)1.1入侵檢測(cè)簡(jiǎn)介1.概念入侵檢測(cè)（IntrusionDetection）是對(duì)入侵行為的檢測(cè)。它通過(guò)收集和分析網(wǎng)絡(luò)行為、安全日志、審計(jì)數(shù)據(jù)、其它網(wǎng)絡(luò)上可以獲得的信息以及計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測(cè)作為一種積極主動(dòng)地安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。因此被認(rèn)為是防火墻之后的第二道安全閘門(mén)

2、，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)。2.功能及優(yōu)點(diǎn)監(jiān)督并分析用戶(hù)和系統(tǒng)的活動(dòng)；檢查系統(tǒng)配置和漏洞；檢查關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性；識(shí)別代表已知攻擊的活動(dòng)模式；對(duì)反常行為模式的統(tǒng)計(jì)分析；入侵檢測(cè)系統(tǒng)和漏洞評(píng)估工具的優(yōu)點(diǎn)在于：提高了信息安全體系其它部分的完整性；提高了系統(tǒng)的監(jiān)察能力；跟蹤用戶(hù)從進(jìn)入到退出的所有活動(dòng)或影響；識(shí)別并報(bào)告數(shù)據(jù)文件的改動(dòng)；發(fā)現(xiàn)系統(tǒng)配置的錯(cuò)誤，必要時(shí)予以更正；識(shí)別特定類(lèi)型的攻擊，并向相應(yīng)人員報(bào)警，以做出防御反應(yīng)

3、；可使系統(tǒng)管理人員最新的版本升級(jí)添加到程序中；允許非專(zhuān)家人員從事系統(tǒng)安全工作；為信息安全策略的創(chuàng)建提供指導(dǎo)；1.2IDS簡(jiǎn)介1.概念I(lǐng)DS是英文“IntrusionDetectionSystems”的縮寫(xiě)，中文意思是“入侵檢測(cè)系統(tǒng)”。專(zhuān)業(yè)上講就是依照一定的安全策略，通過(guò)軟、硬件，對(duì)網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。例如：假如防火墻是一幢大樓的門(mén)鎖，那么

4、IDS就是這幢大樓里的監(jiān)視系統(tǒng)。(2)入侵檢測(cè)的第二步：數(shù)據(jù)分析一般通過(guò)三種技術(shù)手段進(jìn)行分析：模式匹配，統(tǒng)計(jì)分析和完整性分析。其中前兩種方法用于實(shí)時(shí)的入侵檢測(cè)，而完整性分析則用于事后分析。1）模式匹配模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫(kù)進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。該方法的一大優(yōu)點(diǎn)是只需收集相關(guān)的數(shù)據(jù)集合，顯著減少系統(tǒng)負(fù)擔(dān)，且技術(shù)已相當(dāng)成熟。它與病毒防火墻采用的方法一樣，檢測(cè)準(zhǔn)確率和效率都相當(dāng)高。但是，

5、該方法存在的弱點(diǎn)是需要不斷的升級(jí)以對(duì)付不斷出現(xiàn)的黑客攻擊手法，不能檢測(cè)以前從未出現(xiàn)過(guò)的黑客攻擊手段。2）統(tǒng)計(jì)分析統(tǒng)計(jì)分析方法首先給系統(tǒng)對(duì)象（如用戶(hù)、文件、目錄和設(shè)備等）創(chuàng)建一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性（如訪問(wèn)次數(shù)、操作失敗次數(shù)和延時(shí)等）。測(cè)量屬性的平均值將被用來(lái)與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，任何觀察值如果超過(guò)了正常值范圍，就認(rèn)為有入侵發(fā)生。其優(yōu)點(diǎn)是可檢測(cè)到未知的入侵和更為復(fù)雜的入侵，缺點(diǎn)是誤報(bào)、漏報(bào)率高，且不適應(yīng)用戶(hù)正常行為

6、的突然改變。具體的統(tǒng)計(jì)分析方法如基于專(zhuān)家系統(tǒng)的、基于模型推理的和基于神經(jīng)網(wǎng)絡(luò)的分析方法，這在前面入侵檢測(cè)的分類(lèi)中已經(jīng)提到。下面只對(duì)統(tǒng)計(jì)分析的模型做以介紹。入侵檢測(cè)5種統(tǒng)計(jì)模型為：操作模型：該模型假設(shè)異?？赏ㄟ^(guò)測(cè)量結(jié)果與一些固定指標(biāo)相比較得到，固定指標(biāo)可以根據(jù)經(jīng)驗(yàn)值或一段時(shí)間內(nèi)的統(tǒng)計(jì)平均得到，舉例來(lái)說(shuō)，在短時(shí)間內(nèi)多次失敗的登錄很有可能是嘗試口令攻擊；方差：計(jì)算參數(shù)的方差并設(shè)定其置信區(qū)間，當(dāng)測(cè)量值超過(guò)置信區(qū)間的范圍時(shí)表明有可能是異常；多元模