入侵檢測技術(shù)

1、1.教學(xué)：入侵檢測技術(shù)1.1入侵檢測簡介1.概念入侵檢測（IntrusionDetection）是對入侵行為的檢測。它通過收集和分析網(wǎng)絡(luò)行為、安全日志、審計數(shù)據(jù)、其它網(wǎng)絡(luò)上可以獲得的信息以及計算機系統(tǒng)中若干關(guān)鍵點的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測作為一種積極主動地安全防護技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。因此被認(rèn)為是防火墻之后的第二道安全閘門

2、，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進行監(jiān)測。2.功能及優(yōu)點監(jiān)督并分析用戶和系統(tǒng)的活動；檢查系統(tǒng)配置和漏洞；檢查關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性；識別代表已知攻擊的活動模式；對反常行為模式的統(tǒng)計分析；入侵檢測系統(tǒng)和漏洞評估工具的優(yōu)點在于：提高了信息安全體系其它部分的完整性；提高了系統(tǒng)的監(jiān)察能力；跟蹤用戶從進入到退出的所有活動或影響；識別并報告數(shù)據(jù)文件的改動；發(fā)現(xiàn)系統(tǒng)配置的錯誤，必要時予以更正；識別特定類型的攻擊，并向相應(yīng)人員報警，以做出防御反應(yīng)

3、；可使系統(tǒng)管理人員最新的版本升級添加到程序中；允許非專家人員從事系統(tǒng)安全工作；為信息安全策略的創(chuàng)建提供指導(dǎo)；1.2IDS簡介1.概念I(lǐng)DS是英文“IntrusionDetectionSystems”的縮寫，中文意思是“入侵檢測系統(tǒng)”。專業(yè)上講就是依照一定的安全策略，通過軟、硬件，對網(wǎng)絡(luò)、系統(tǒng)的運行狀況進行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機密性、完整性和可用性。例如：假如防火墻是一幢大樓的門鎖，那么

4、IDS就是這幢大樓里的監(jiān)視系統(tǒng)。(2)入侵檢測的第二步：數(shù)據(jù)分析一般通過三種技術(shù)手段進行分析：模式匹配，統(tǒng)計分析和完整性分析。其中前兩種方法用于實時的入侵檢測，而完整性分析則用于事后分析。1）模式匹配模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進行比較，從而發(fā)現(xiàn)違背安全策略的行為。該方法的一大優(yōu)點是只需收集相關(guān)的數(shù)據(jù)集合，顯著減少系統(tǒng)負擔(dān)，且技術(shù)已相當(dāng)成熟。它與病毒防火墻采用的方法一樣，檢測準(zhǔn)確率和效率都相當(dāng)高。但是，

5、該方法存在的弱點是需要不斷的升級以對付不斷出現(xiàn)的黑客攻擊手法，不能檢測以前從未出現(xiàn)過的黑客攻擊手段。2）統(tǒng)計分析統(tǒng)計分析方法首先給系統(tǒng)對象（如用戶、文件、目錄和設(shè)備等）創(chuàng)建一個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性（如訪問次數(shù)、操作失敗次數(shù)和延時等）。測量屬性的平均值將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進行比較，任何觀察值如果超過了正常值范圍，就認(rèn)為有入侵發(fā)生。其優(yōu)點是可檢測到未知的入侵和更為復(fù)雜的入侵，缺點是誤報、漏報率高，且不適應(yīng)用戶正常行為

6、的突然改變。具體的統(tǒng)計分析方法如基于專家系統(tǒng)的、基于模型推理的和基于神經(jīng)網(wǎng)絡(luò)的分析方法，這在前面入侵檢測的分類中已經(jīng)提到。下面只對統(tǒng)計分析的模型做以介紹。入侵檢測5種統(tǒng)計模型為：操作模型：該模型假設(shè)異?？赏ㄟ^測量結(jié)果與一些固定指標(biāo)相比較得到，固定指標(biāo)可以根據(jù)經(jīng)驗值或一段時間內(nèi)的統(tǒng)計平均得到，舉例來說，在短時間內(nèi)多次失敗的登錄很有可能是嘗試口令攻擊；方差：計算參數(shù)的方差并設(shè)定其置信區(qū)間，當(dāng)測量值超過置信區(qū)間的范圍時表明有可能是異常；多元模