当前位置:文档之家 › 第4章 基于主机的入侵检测技术

第4章 基于主机的入侵检测技术

  • 格式:ppt
  • 大小:522.50 KB
  • 文档页数:77

下载文档原格式

  / 77

合集下载

入侵检测技术 课后答案

入侵检测技术 课后答案

精品文档. 第1章入侵检测概述思考题:(1)分布式入侵检测系统(DIDS)是如何把基于主机的入侵检测方法和基于网络的入侵检测方法集成在一起的?答:分布式入侵检测系统是将主机入侵检测和网络入侵检测的能力集成的第一次尝试,以便于一个集中式的安全管理小组能够跟踪安全侵犯和网络间的入侵。

DIDS的最初概念是采用集中式控制技术,向DIDS中心控制器发报告。

DIDS解决了这样几个问题。

在大型网络互联中的一个棘手问题是在网络环境下跟踪网络用户和文件。

DIDS允许用户在该环境中通过自动跨越被监视的网络跟踪和得到用户身份的相关信息来处理这个问题。

DIDS是第一个具有这个能力的入侵检测系统。

DIDS解决的另一个问题是如何从发生在系统不同的抽象层次的事件中发现相关数据或事件。

这类信息要求要理解它们对整个网络的影响,DIDS用一个6层入侵检测模型提取数据相关性,每层代表了对数据的一次变换结果。

(2)入侵检测作用体现在哪些方面?答:一般来说,入侵检测系统的作用体现在以下几个方面:●监控、分析用户和系统的活动;●审计系统的配置和弱点;●评估关键系统和数据文件的完整性;●识别攻击的活动模式;●对异常活动进行统计分析;●对操作系统进行审计跟踪管理,识别违反政策的用户活动。

(3)为什么说研究入侵检测非常必要?答:计算机网络安全应提供保密性、完整性以及抵抗拒绝服务的能力,但是由于连网用户的增加,网上电子商务开辟的广阔前景,越来越多的系统受到入侵者的攻击。

为了对付这些攻击企图,可以要求所有的用户确认并验证自己的身份,并使用严格的访问控制机制,还可以用各种密码学方法对数据提供保护,但是这并不完全可行。

另一种对付破坏系统企图的理想方法是建立一个完全安全的系统。

但这样的话,就要求所有的用户能识别和认证自己,还要采用各种各样的加密技术和强访问控制策略来保护数据。

而从实际上看,这根本是不可能的。

因此,一个实用的方法是建立比较容易实现的安全系统,同时按照一定的安全策略建立相应的安全辅助系统。

《入侵检测技术 》课件

《入侵检测技术 》课件
总结词
能够应对复杂多变的网络威胁。
详细描述
基于统计、数据挖掘、机器学习等技术的入侵检测方法, 能够从大量数据中提取有用的信息,并自动学习攻击手段 的变化,从而更有效地应对复杂的网络威胁。
总结词
对资源要求较高。
详细描述
由于这些方法需要处理大量的网络流量数据,因此对系统 资源的要求较高,需要高性能的硬件和软件支持。
《入侵检测技术》 PPT课件
• 入侵检测技术概述 • 入侵检测技术分类 • 入侵检测技术原理 • 入侵检测技术应用场景 • 入侵检测技术面临的挑战与解决
方案 • 未来入侵检测技术的发展趋势
目录
01
入侵检测技术概述
定义与目的
定义
入侵检测技术是一种用于检测、识别 和应对网络或系统上未经授权的访问 或异常行为的手段。
性能有一定影响。
混合型入侵检测技术
混合型入侵检测技术是指结合 基于主机和基于网络的入侵检 测技术的一种技术。
它通过综合分析主机系统和网 络流量数据,提高对攻击行为 的检测和识别的准确性。
混合型入侵检测技术可以提供 更全面的安全防护,但需要同 时考虑主机和网络的部署和管 理。
其他分类方法
基于时间的入侵检测技术
主机入侵检测技术可以提供更精确的攻击识别和更深入的攻击分析,但需要安装在 被保护的主机上,且对主机的性能有一定影响。
基于网络的入侵检测技术
网络入侵检测技术是指基于网络 流量数据来检测和识别恶意行为
的一种技术。
它通过分析网络流量数据,检测 和识别异常的网络行为,如未经 授权的访问、恶意代码传播等。
网络入侵检测技术可以提供实时 的攻击检测和预警,但需要部署 在网络的关键节点上,且对网络
通过检测和应对安全威胁,入侵检测 技术有助于提高网络和系统的安全性 ,保护组织的机密信息和资产。

防止网络入侵攻击的主要技术措施

防止网络入侵攻击的主要技术措施

防止网络入侵攻击的主要技术措施防止入侵和攻击的主要技术措施包括访问控制技术、防火墙技术、入侵检测技术、安全扫描、安全审计和安全管理。

1.访问控制技术访问控制是网络安全保护和防范的核心策略之一。

访问控制的主要目的是确保网络资源不被非法访问和非法利用。

访问控制技术所涉及内容较为广泛,包括网络登录控制、网络使用权限控制、目录级安全控制,以及属性安全控制等多种手段。

1)网络登录控制网络登录控制是网络访问控制的第一道防线。

通过网络登录控制可以限制用户对网络服务器的访问,或禁止用户登录,或限制用户只能在指定的工作站上进行登录,或限制用户登录到指定的服务器上,或限制用户只能在指定的时间登录网络等。

网络登录控制一般需要经过三个环节,一是验证用户身份,识别用户名;二是验证用户口令,确认用户身份;三是核查该用户账号的默认权限。

在这三个环节中,只要其中一个环节出现异常,该用户就不能登录网络。

其中,前两个环节是用户的身份认证过程,是较为重要的环节,用户应加强这个过程的安全保密性,特别是增强用户口令的保密性。

用户可以使用一次性口令,或使用IC卡等安全方式来证明自己的身份。

网络登录控制是由网络管理员依据网络安全策略实施的。

网络管理员能够随时建立或删除普通用户账号,能够控制和限制普通用户账号的活动范围、访问网络的时间和访问体式格局,并对登录过程进行必要的审计。

对于试图非法登录网络的用户,一经发现立即报警。

2)网络使用权限控制当用户成功登录网络后,就能够使用其所具有的权限对网络资源(如目录、文件和相应设备等)进行访问。

如果网络对用户的使用权限不能进行有效的控制,则可能导致用户的非法操作或误操作。

网络使用权限控制就是针对可能出现的非法操作或误操作提出来的一种安全保护措施。

经由过程网络使用权限控制能够规范和限制用户对网络资源的访问,允许用户访问的资源就开放给用户,不允许用户访问的资源一律加以控制和保护。

网络使用权限控制是通过访问控制表来实现的。

国开一体化平台04979《网络安全技术》形考任务(4-7)试题及答案

国开一体化平台04979《网络安全技术》形考任务(4-7)试题及答案

国开一体化平台《网络安全技术》形考任务(4-7)试题及答案(课程代码:04979,整套相同,Ctrl+F查找更快捷,李老师祝同学们取得优异成绩!)----------------------------------------------------------------形考任务(四)---------------------------------------------------------------- 1、没有网络安全就没有(),就没有(),广大人民群众利益也难以得到保障。

【A】:国家发展、社会进步【B】:国家安全、经济社会稳定运行【C】:社会稳定运行、经济繁荣【D】:社会安全、国家稳定运行【答案】:B2、《中华人民共和国网络安全法》正式施行的时间是?()【A】:2017年6月1日【B】:2016年11月7日【C】:2017年1月1日【D】:2016年12月1日【答案】:A3、网络安全的基本属性有:可用性、完整性和()。

【A】:多样性【B】:复杂性【C】:保密性【D】:不可否认性【答案】:C4、CTF(CaptureTheFlag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。

常见的CTF竞赛模式有:()。

【A】:解题模式(Jeopardy)【B】:攻防模式(Attack-Defense)【C】:渗透模式(Penatration)【D】:混合模式(Mix)【答案】:ABD5、可以通过以下哪种方式来获取网络安全情报与科技信息()。

【A】:网络安全会议【B】:网络安全期刊【C】:网络安全网站【D】:CTF比赛【答案】:ABCD6、2019年5月13日,《信息安全技术网络安全等级保护基本要求》(简称等保2.0)正式发布,并已于2019年12月1日起正式实行。

“等保2.0”保护对象包括:()。

【A】:基础信息网络(广电网、电信网等)【B】:信息系统(采用传统技术的系统)【C】:云计算平台、以及大数据平台【D】:移动互联、物联网和工业控制系统等【答案】:ABCD7、我国网络安全领域的基础性法律《中华人民共和国网络安全法》正式施行,对保护个人信息、治理网络诈骗、保护关键信息基础设施、网络实名制等方面作出明确规定,成为我国网络空间法治化建设的重要里程碑。

第四章入侵检测流程

第四章入侵检测流程

告警与响应
分为主动响应和被动响应 被动响应型系统只会发出告警通知,将发生的不正常情
况报告给管理员,本身并不试图降低所造成的破坏,更 不会主动地对攻击者采取反击行动 主动响应系统可以分为对被攻击系统实施控制和对攻击 系统实施控制的系统 1. 对被攻击系统实施控制(防护):它通过调整被攻击系 统的状态,阻止或减轻攻击影响,例如断开网络连接、 增加安全日志、杀死可疑进程等 2. 对攻击系统实施控制(反击):这种系统多被军方所重 视和采用
反馈和更新
误用检测系统中,主要功能是攻击信息的特征
数据库的更新 异常检测系统中,依靠执行异常检测的类型, 定时更新历史统计特征轮廓。
4.5 入侵检测的分析方法
误用检测:根据已知入侵模式来检测入侵
模式库
攻击者
匹配
报警
误用检测
模式匹配方法:将已知入侵特征转换成模式,
存放于模式数据库中 专家系统方法:首先使用类似于if-then的规则 格式输入已有的知识(攻击模式),然后输入 检测数据(审计事件记录),系统根据知识库 中的内容对检测数据进行评估,判断是否存在 入侵行为 缺点:1、不适于处理大批量数据 2、没有提供对连续有序数据的任何处理 3、不能处理不确定性
基于规则的方法
Wisdom and sense (W&S)
组装规则库的方法: 手工输入或根据历史审计 数据自动产生.通过对历史审计数据的类型检测, 以规则的方式表示行为模式 TIM(Time-Based Inductive Machine)基于时间 的归纳推理机 对历史事件记录序列进行分析,提取出特定事件 序列发生的概率
数据挖掘
4.6 告警与响应
分析数据
输入事件记录:收集信息源产生的事件记录 事件预处理

入侵检测习题答案

入侵检测习题答案

入侵检测习题答案第一章习题答案1.1 从物理安全和逻辑安全两个方面描述计算机安全的内容.答:计算机安全的内容包括物理安全和逻辑安全两方面。

物理安全指系统设备及相关设施受到物理保护,免于破坏、丢失等。

逻辑安全指计算机中信息和数据的安全,它存在于信息系统中从信息的产生、信息的传输、信息的存贮直至信息的应用这一全部过程,主要包括软件的安全、数据的安全和运行的安全。

软件的安全是保护各种软件及其文档不被任意篡改、失效和非法复制,数据安全是保护所存贮的数据资源不被非法使用和修改,运行安全是保护信息系统能连续正确地运行。

1.2 安全的计算机系统的特征有几个,它们分别是什么?答:安全的计算机信息系统是指可以信赖的按照期望的方式运行的系统,它必须能够保护整个系统使其免受任何形式的入侵。

它一般应该具有以下几个特征:太高,那么用户的合法行为就会经常性地被打断或者被禁止。

这样,不仅使得系统的可用性降低,而且也会使合法用户对系统失去信心。

1.3 描述并解释Anderson在1972年提出的计算机安全模型.答:Anderson在1972年提出了计算机安全模型,如图1.1所示。

图1.1 计算机安全模型其各个模块的功能如下:安全参考监视器控制主体能否访问对象。

授权数据库并不是安全参考监视器的一部分,但是安全参考监视器要完成控制功能需要授权数据库的帮助。

识别与认证系统识别主体和对象。

审计系统用来记录系统的活动信息。

该模型的实现采用访问控制机制来保证系统安全。

访问控制机制识别与认证主体身份,根据授权数据库的记录决定是否可以允许主体访问对象。

1.4 描述并解释P2DR模型.P2DR模型(Policy——策略,Protection—防护,Detection——检测,Response——响应)是一种动态的、安全性高的网络安全模型,如图1.3所示。

图1.3 P2DR模型它的基本思想是:以安全策略为核心,通过一致的检查、流量统计、异常分析、模式匹配以及应用、目标、主机、网络入侵检查等方法进行安全漏洞检测,检测使系统从静态防护转化为动态防护,为系统快速响应提供了依据,当发现系统有异常时,根据系统安全策略快速作出响应,从而达到了保护系统安全的目的。

第6章 基于主机的入侵检测技术

c:\systemroot\system32\logfiles\msftpsvc1\。 • Internet信息服务WWW日志默认位置:
c:\systemroot\system32\logfiles\w3svc1\。 • Scheduler服务器日志默认位置:c:\systemroot\schedlgu.txt 。该日志
这种格式的文件可以被事件查看器读取,事件查看器可 以在“控制面板”中找到,系统管理员可以使用事件查 看器选择要查看的日志条目,查看条件包括类别、用户 和消息类型。
版权所有,盗版必纠
6.1.1 Windows下的审计数据获取
3.Windows 2000的日志系统 • 与Windows NT一样,Windows 2000中也一样使用“事件
记录了访问者的IP,访问的时间及请求访问的内容。
版权所有,盗版必纠
6.1.1 Windows下的审计数据获取
因Windows2000延续了NT的日志文件,并在其基础上又增加了FTP 和WWW日志,故本节对FTP日志和WWW日志作一个简单的讲述。 FTP日志以文本形式的文件详细地记录了以FTP方式上传文件的文件、 来源、文件名等等。不过由于该日志太明显,所以高级黑客们根本 不会用这种方法来传文件,取而代之的是使用RCP。FTP日志文件和 WWW日志文件产生的日志一般在c:\sys temroot\system32\LogFiles\W3SVC1目录下,默认是每天一个日志文 件, • FTP和WWW日志可以删除,但是FTP日志所记录的一切还是会在系统 日志和安全日志里记录下来,如果用户需要尝试删除这些文件,通 过一些并不算太复杂的方法,例如首先停止某些服务,然后就可以 将该日志文件删除。具体方法本节略。
版权所有,盗版必纠

网络安全中的入侵检测和防护技术

网络安全中的入侵检测和防护技术1. 概述网络安全是当前互联网时代面临的重要问题之一,入侵检测和防护技术作为网络安全领域的重要组成部分,旨在发现和阻止未经授权的访问、未经授权的活动和未经授权的使用。

本文将从入侵检测和防护技术的基本概念、分类以及如何实施入侵检测和防护等方面展开论述。

2. 入侵检测技术入侵检测技术是一种通过监视系统或网络以及相关的事件,来检测潜在的入侵行为的监测和分析技术。

依据监测手段的不同,入侵检测技术可以分为基于主机的入侵检测(HIDS)和基于网络的入侵检测(NIDS)。

2.1 基于主机的入侵检测基于主机的入侵检测技术是通过对主机系统的日志、文件和流量等进行监测和分析,来检测系统是否遭受到入侵行为的检测方法。

它通过监测主机的行为和操作,检测和识别异常行为或入侵行为。

常见的基于主机的入侵检测工具包括Tripwire、OSSEC等。

2.2 基于网络的入侵检测基于网络的入侵检测技术是通过监测网络流量和活动,来检测系统是否遭受到入侵行为的检测方法。

它通过监测网络通信流量和特征,检测和识别异常行为或入侵行为。

常见的基于网络的入侵检测工具包括Snort、Suricata等。

3. 入侵防护技术入侵防护技术是为了保护系统和网络不受到入侵行为的损害,采取的一系列安全措施和方法的总称。

根据防护手段的不同,入侵防护技术可以分为主动防护和被动防护。

3.1 主动防护主动防护是指采取主动措施阻止或减轻入侵行为对系统和网络的损害。

常见的主动防护技术包括网络防火墙、入侵防护系统(IPS)、安全协议等。

网络防火墙通过设置安全策略和过滤规则,对进出网络的数据进行监控和控制,以防止入侵行为的发生。

入侵防护系统通过监测流量和行为,检测和拦截入侵行为。

安全协议为通信过程中数据的传输提供了加密和验证机制,提高了数据的安全性。

3.2 被动防护被动防护是指在系统和网络遭受入侵行为时,采取被动手段对入侵行为进行响应和处理。

常见的被动防护技术包括入侵响应系统(IRS)、网络流量分析等。

入侵检测第2版习题答案

习题答案第1章入侵检测概述一、思考题1、分布式入侵检测系统(DIDS)是如何把基于主机的入侵检测方法和基于网络的入侵检测方法集成在一起的?答:分布式入侵检测系统是将主机入侵检测和网络入侵检测的能力集成的第一次尝试,以便于一个集中式的安全管理小组能够跟踪安全侵犯和网络间的入侵。

DIDS的最初概念是采用集中式控制技术,向DIDS中心控制器发报告。

DIDS解决了这样几个问题。

在大型网络互联中的一个棘手问题是在网络环境下跟踪网络用户和文件。

DIDS允许用户在该环境中通过自动跨越被监视的网络跟踪和得到用户身份的相关信息来处理这个问题。

DIDS是第一个具有这个能力的入侵检测系统。

DIDS解决的另一个问题是如何从发生在系统不同的抽象层次的事件中发现相关数据或事件。

这类信息要求要理解它们对整个网络的影响,DIDS用一个6层入侵检测模型提取数据相关性,每层代表了对数据的一次变换结果。

2、入侵检测作用体现在哪些方面?答:一般来说,入侵检测系统的作用体现在以下几个方面:●监控、分析用户和系统的活动;●审计系统的配置和弱点;●评估关键系统和数据文件的完整性;●识别攻击的活动模式;●对异常活动进行统计分析;●对操作系统进行审计跟踪管理,识别违反政策的用户活动。

3、为什么说研究入侵检测非常必要?答:计算机网络安全应提供保密性、完整性以及抵抗拒绝服务的能力,但是由于连网用户的增加,网上电子商务开辟的广阔前景,越来越多的系统受到入侵者的攻击。

为了对付这些攻击企图,可以要求所有的用户确认并验证自己的身份,并使用严格的访问控制机制,还可以用各种密码学方法对数据提供保护,但是这并不完全可行。

另一种对付破坏系统企图的理想方法是建立一个完全安全的系统。

但这样的话,就要求所有的用户能识别和认证自己,还要采用各种各样的加密技术和强访问控制策略来保护数据。

而从实际上看,这根本是不可能的。

因此,一个实用的方法是建立比较容易实现的安全系统,同时按照一定的安全策略建立相应的安全辅助系统。

计算机网络安全选择题

计算机网络安全第1章绪论一、单选1、在以下人为的恶意攻击行为中,属于主动攻击的是()(分数:2分)A. 数据窃听B.数据流分析D.非法访问标准答案是:C。

2、数据完整性指的是()(分数:2 分)A.保护网络中各系统之间交换的数据,防止因数据被截获而造成泄密B.防止因数据被截获而造成泄密C.确保数据是由合法实体发出的D.防止非法实体对用户的主动攻击,保证数据接受方收到的信息与发送方发送的信息完全一致标准答案是:D。

3、以下算法中属于非对称算法的是()(分数:2分)A.DESD.三重DES标准答案是:B。

4、以下不属于代理服务技术优点的是()(分数:2 分)A.可以实现身份认证B.内部地址的屏蔽和转换功能C.可以实现访问控制D.可以防范数据驱动侵袭标准答案是:D。

5、下列不属于主动攻击的是()(分数:2 分)A.修改传输中的数据B.重放C.会话拦截D.利用病毒标准答案是:D。

6、下列不属于被动攻击的是()(分数:2 分)A.监视明文B.解密通信数据C.口令嗅探D.利用恶意代码标准答案是:D。

7、网络安全主要实用技术不包括()(分数:2分)A.数字认证B.身份认证C. 物理隔离D.逻辑隔离标准答案是:A。

8、网络安全不包括哪些重要组成部分()(分数:2 分)A.先进的技术B.严格的管理C.威严的法律D.以上都不是标准答案是:D。

9、不是计算机网络安全的目标的是()(分数:2分)A. 保密性D.不可否认性标准答案是:C。

10、计算机网络安全是一门涉及多学科的综合性学科,以下不属于此学科的是()(分数:2 分)A. 网络技术D.信息论标准答案是:C。

第2章物理安全一、单选1、物理安全在整个计算机网络信息系统安全中占有重要地位,下列不属于物理安全的是B.机房环境安全C. 通信线路安全D.设备安全标准答案是:A。

C.5D.6标准答案是:A。

3、为提高电子设备的抗干扰能力,除在芯片、部件上提高抗干扰能力外,主要措施有()(分数:2 分)C.隔离D.接地标准答案是:B。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
首先,从目标主机的类型来看,不同操作系统的审计机制设计存
在差异,主机活动的审计范围和类型也不同。 其次,根据不同主机入侵检测系统的设计要求和需要,其具体选 取的审计数据类型和来源也各有侧重。
以IDES系统为例。IDES在Sun UNIX目标系统环境 下所收集到的审计数据,主要分为4个典型类型。
–①
文件访问: 包括对文件和目录进行的操作,如读取、写 入、创建、删除和访问控制列表的修改。
–②
系统访问: 包括登录、退出、调用以及终止超级用户 权限等。 –③ 资源消耗: 包括CPU、I/O和内存的使用情况。 –④ 进程创建命令的调用: 指示一个进程的创建。
IDES必须从Sun环境中的多个不同信息源来收集 审计数据。这些信息源包括: Sun OS 4.0 标准审计 系统、Sun C2 安全审计包和UNIX记账系统。
第4章 基于主机的入侵检测技术
4.1 4.2 4.3 4.4 4.5 4.6
审计数据的获取 用于入侵检测的统计模型 入侵检测的专家系统 基于状态转移分析的入侵检测技术 文件完整性检查 系统配置分析技术
4.1.1 审计数据的获取
根据目标系统的不同类型和主机入侵检测的不同要 求,所需要收集的审计数据的类型不尽相同。
4.1.2 审计数据的预处理
审计日志信息非常庞大; 存在杂乱性、重复性和不完整性; 杂乱性:代理的审计机制不完全相同,所产生的日
志信息存在差异;
重复性:对于同一个客观事物系统中存在多个物理 描述; 不完整性:由于实际系统缺陷和人为因素所造成的 记录中出现数据属性的值丢失或不确定的情况。

/* this section is unix specific */ long syscall; unsigned long event; long errno; long rval; long pid; /* unix: these fields are 0 in most (but not all) cases */ struct resource_info resource; enum ides_audit_type act_type; long subjtype; char uname[IDES_UNAME_LEN]; char auname[IDES_UNAME_LEN]; char ouname[IDES_UNAME_LEN]; long arglen; };

优点:可应用成熟的概率统计理论 缺点:
– –
由于用户行为的复杂性,要想准确地匹配一个用户 的行为非常困难,容易造成系统误报和漏报 定义入侵阈值比较困难,阈值高则漏报率高,阈值 低则误报率高。
)数据变换
8
数据的规范化

数据的规范化处理有两种比较常用的方法:

x avg x' std ( X )
其中,x为要规范化的数值;x′为规范化后的数值;avg为x所在向量组X 的平均值;std(X)为向量组X的标准差。 ②
x' x min (new _ max new _ min) new _ min max min
14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33
If Audit_state=READ_FILE then begin Attempt to read a block from audit file to ptr If successful then begin If ptr indicates AUT_OTHER_FILE then Audit_state=CLOSE_FILE Else begin Call filter_it to filter the next record If record passed through the filter then return (audit_record) End else Endif Else Reopen audit file Endif If Audit_state=CLOSE_FILE then begin Obtain next audit file name Close current audit file Audit_state=NEXT_FILE Endif Endwhile
// Processing Procedure for Preprocessor 1 While True do begin 2 If Audit_state=START then begin 3 Allocate memory for audit record 4 Allocate memory for the ptr of size BLOCK_SIZE 5 Audit_state=NEXT_FILE 6 Endif 7 If Audit_state=NEXT_FILE then begin 8 Open audit file 9 Read a block from audit file to ptr 10 Advance ptr to the beginning of the first record 11 Obtain preceding filename 12 Audit_state=READ_FILE 13 Endif
其中,x为要规范化的数值;x′为规范化后的数值;max是x所在向量组 中元素的最大值;min是x所在向量组中元素的最小值;new_max是 规范化后的目标区间的上限;new_min是规范化后的目标区间的下限; 通过这个公式可以将数据规范化到指定区间。
4.1.2 审计数据的预处理
首先,讨论标准审计记录格式的设计问题。 以IDES系统为例,IDES审计记录格式是基于若干设计考虑 的。 首先,它必须通用程度足够高,以便能够表示目标监控系 统的所有可能事件类型。 其次,它应该是该机器中最有效的数据表示形式,以将处 理开销降低到最小程度。 第三,记录格式应该按标准化设计,使IDES能够从多个不 同类型的机器处接收输入记录,而无须进行任何的数据转换。 理想的情况下,审计记录只进行一次格式化。
4.2 用于入侵检测的统计模型
Denning在1986年的经典论文中提出了4种可以用 于入侵检测的统计模型。 (1) 操作模型 (2) 均值与标准偏差模型 (3) 多元模型 (4) 马尔可夫过程模型
统计分析方法

是异常检测技术中应用最早也是最多的一种方法; 首先为系统对象(如用户、文件)创建一个统计描述, 统计正常使用时的一些测量属性(如访问次数、CPU 使用、操作失败次数和延时);
基于主机的入侵检测技术
7
审计数据的预处理

a)数据集成
(b
)数据清理
A2 … A126
A1
T1
T2 … T2 000
A1
T1 T2 … –
A2

A 115
2, 32, 100, 59, 48
(c

0.02, 0.32, 1.00, 0.59, 0.48
T 1400 (d / )数据简化 融合 基于主机的入侵检测技术
ides_audit_block结构定义如下所示: typedef struct { long ab_size; aud_type ab_type; unsigned long rseq; time_t rectime; ides_audit_header ah; union ab_args { char maxbuf[AUP_USER]; ides_path_desc _ipd[2]; #define ab_path0 _ipd[0].path #define ab_path1 _ipd[1].path } arg_un; } ides_audit_block;
数据集成

涉及数据的选择、数据的冲突以及数据的不一致问题的解决; 并非简单的数据合并,对数据进行统一化;
数据清理:除去噪音数据和无关数据,处理遗漏数据等。 数据变换:规范化处理。根据其属性值的量纲进行归一化 处理。 数据简化:数据属性的约简。降低数据分析的维数。
数据融合:对多种IDS检测结果的融合和决策。
然而,仅从这两种审计系统得到的信息对于 IDES的入侵检测分析还是不够的。还可以对系 统另外配置一些其他的审计工具。如 Sendmail,Netlog等。 对于其他的主机入侵检测系统,例如STAT系 统,它所使用的审计数据来源主要就是Sun OS C2安全审计包(BSM),针对的是BSM审计记 录。
基于主机的入侵检测技术
5
审计数据的预处理


数据的预处理就是对系统获取到的各种相关数 据进行归纳、转换等处理,使其符合系统的需 求。 一般采用从大量的数据属性中,提取出部分对 目标输出有重大影响的属性,通过降低原始数 据的维数来达到改善质量的目的。
审计数据的预处理
通常式由3个 部分定义组成: 〈Subject, Action, Object〉 每个部分都进一步包括更详细的字段 定义,如图4-1所示。
图4-1 STAT审计记录格式
图4-2 从BSM审计记录到STAT审计记录的映射关系
4.1.3 审计数据获取模块的设计
审计数据获取模块的主要作用是获取目标系 统的审计数据,并经过预处理工作后,最终目 标是为入侵检测的处理模块提供一条单一的审 计记录块数据流,供其使用。 其使用的处理算法流程如下所示:
以下为表示IDES审计记录的C语言结构。 struct ides_audit_header { unsigned long tseq; char hostname[32]; char remotehost[32]; char ttyname[16]; char cmd[18]; char _pad1[2]; char jobname[16]; enum ides_audit_action action; time_t time;