当前位置:文档之家 › 基于主机的入侵检测方法.

基于主机的入侵检测方法.

  • 格式:ppt
  • 大小:412.50 KB
  • 文档页数:46

下载文档原格式

  / 46

合集下载

网络安全的入侵检测方法

网络安全的入侵检测方法

网络安全的入侵检测方法随着互联网的广泛应用和发展,网络安全问题日益受到关注。

网络入侵已经成为网络安全的一个重要环节。

为了保护网络安全,我们需要有效的入侵检测方法。

本文将介绍几种常用的网络安全的入侵检测方法。

一、基于特征的入侵检测方法基于特征的入侵检测方法是通过分析已知的攻击特征,实现对入侵行为的检测。

这种方法的核心是构建特征数据库,将各种已知攻击的特征进行收集和分类。

当网络中出现与这些特征相似的行为时,就可以判定为入侵行为。

二、基于异常行为的入侵检测方法基于异常行为的入侵检测方法是通过监视网络流量、主机活动等,检测出与正常行为不一致的异常行为。

这种方法的核心是建立对正常行为的模型,当网络中出现与模型不一致的行为时,就可以判定为入侵行为。

三、基于机器学习的入侵检测方法基于机器学习的入侵检测方法是利用机器学习算法对网络流量、主机活动等数据进行分析和学习,建立模型来判断是否存在入侵行为。

该方法可以通过对大量数据的学习和训练,提高入侵检测的准确性和效率。

四、基于行为规则的入侵检测方法基于行为规则的入侵检测方法是制定一系列网络安全策略和规则,通过监控网络活动,检测与规则不符的行为,判断是否存在入侵行为。

这种方法的核心是对网络行为进行规范和规则制定,通过与规则进行比对来进行入侵检测。

五、混合入侵检测方法混合入侵检测方法是将多种入侵检测方法结合起来,通过综合分析多个入侵检测方法的结果,提高入侵检测的准确性和可靠性。

这种方法可以综合利用各种入侵检测方法的优点,弥补单一方法的不足,提高入侵检测的效果。

总结:网络安全的入侵检测是确保网络安全的重要环节。

本文介绍了几种常用的入侵检测方法,包括基于特征、异常行为、机器学习、行为规则等不同的方法。

每种方法都有其优点和适用场景,可以通过综合应用来提高入侵检测的效果。

在实际应用中,也可以根据具体情况结合使用多种方法,以更好地保护网络安全。

网络安全入侵检测方法的发展是一个不断演进和改进的过程,我们需要不断关注最新的技术和方法,及时更新和优化入侵检测策略,以应对不断变化的网络安全威胁。

入侵检测系统

入侵检测系统
IDS。后又出现分布式IDS。目前,IDS发展迅速,已有人宣称IDS可以 完全取代防火墙。
入侵检测系统的组成
IETF(互联网工程任务组—The Internet Engineering Task Force)将一个入侵检测系统分为四个组件: • 事件产生器(Event generators):目的是从整个计算环境中获得 事件,并向系统的其他部分提供此事件。 • 事件分析器(Event analyzers):分析得到的数据,并产生分析 结果。 • 响应单元(Response units ):对分析结果作出作出反应的功能 单元,它可以作出切断连接、改变文件属性等强烈反应,也可以 只是简单的报警。 • 事件数据库(Event databases ):存放各种中间和最终数据的 地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。
入侵检测系统的简介
入侵检测系统的特点:ຫໍສະໝຸດ • • • 不需要人工干预即可不间断地运行 有容错功能 不需要占用大量的系统资源 能够发现异于正常行为的操作 能够适应系统行为的长期变化 判断准确 灵活定制 保持领先 IDS对数据的检测; 对IDS自身攻击的防护。 由于当代网络发展迅速,网络传输速率大大加快,这造成了IDS工作 的很大负担,也意味着IDS对攻击活动检测的可靠性不高。而IDS在应对 对自身的攻击时,对其他传输的检测也会被抑制。同时由于模式识别技 术的不完善,IDS的高虚警率也是它的一大问题。
IDS的缺点:
6.1.3 入侵行为误判 入侵行为的误判分为正误判、负误判和失控误判三种类型。 • 正误判:把一个合法操作判断为异常行为;


负误判:把一个攻击行为判断为非攻击行为并允许它通过检测;
失控误判:是攻击者修改了IDS系统的操作,使他总是出现负误判;

基于Snort的入侵检测系统研究

基于Snort的入侵检测系统研究

嘲2.2NlDS旺垮2.2.2基于主机的入侵检测系统基于主机的入侵检测系统的信息来源为操作系统事件同志、管理工具审计汜录和应用程序审计记录。

它通过监视系统运行情况(文件的打歼和访问、文件权限的改变、用户的登录和特权服务的访问等)、审计系统R志文件(svslo譬)和应用程序(关系数据库、Web服务器1日志来检测入侵来检测入侵。

HIDS可以检测到用户滥用权限、创建后门帐户、修改重要数据和改变安全配置等行为,同时还可以定期对系统关键文件进行检查,计算其校验值来确信其完整性。

HDs检测发生在主机上的活动,处理的都是操作系统事件或应用程序事件而不是网络包,所以高速网络对它没有影响。

同时它使用的是操作系统提供的信息,经过加密的数据包在到达操作系统后,都已经被解密,所以HDS能很好地处理包加密的问题。

并且,肿S还可以综合多个数据源进行进一步的分析,利用数据挖掘技术来发现入侵。

【111但是,HmS也有依赖特定的操作系统、影响系统性能、配置和维护困难等缺陷。

HmS的典型结构如图2.3所示:9华东师范大学硕士研究生毕业论文图2.3HmS网络2.3入侵检测技术入侵检测技术可以分为两大类:异常检测(aIlomalydetection)和误用检测(misusedetection)。

异常检测则提取正常模式下审计数据的数学特征,检查事件数据中是否存在与之相违背的异常模式。

误用检测搜索审计事件数据,查看其中是否存在预先定义好的误用模式。

为了提高准确性,入侵睑测又引入了数据挖掘、人工智能、遗传算法等技术。

但是,入侵检测技术还没有达到尽善尽美的程度,该领域的许多问题还有待解决。

2.3.1异常检测异常检测是基于这样的原理,即认为入侵是系统中的异常行为。

它没有各种入侵的相关知识,但是有被检测系统、用户乃至应用程序正常行为的知识。

它为系统和用户建立正常的使用模式,这些模式通常使用一组系统的度量来定义。

所谓度量,是指系统和用户行为在特定方面的衡量标准。

网络安全 入侵检测

网络安全 入侵检测

网络安全入侵检测随着互联网的迅速发展,人们的生活正逐渐变得更为便利和智能化。

然而,与此同时,网络安全威胁也随之增加。

网络入侵已成为一个严重的问题,给个人隐私和企业重要信息带来了巨大风险。

因此,网络安全领域的入侵检测变得尤为重要。

入侵检测是一种防范网络攻击的手段,旨在从网上流量中识别和响应恶意活动。

它涉及通过收集、分析和监视网络流量来检测和报告潜在的安全漏洞和威胁。

入侵检测系统(IDS)是用于监视网络流量的工具,其基本功能包括实时监测流量、识别异常活动、生成警报以及采取必要的响应措施。

入侵检测可以分为两种类型:基于主机的入侵检测(HIDS)和基于网络的入侵检测(NIDS)。

HIDS是在主机上安装的软件,用于监测主机本身的活动,并识别是否存在异常行为。

NIDS则是通过监测网络流量来检测恶意活动。

入侵检测系统使用的技术主要有基于签名的检测、基于异常行为的检测和混合检测。

基于签名的检测使用预定义的规则和模式来检测已知的攻击,并根据匹配程度生成警报。

这种方法适用于已知攻击类型,但无法识别新型攻击。

基于异常行为的检测则通过建立主机或网络的正常行为模型,监测并识别与该模型相悖的行为。

这种方法可以检测未知攻击,但也可能产生较多的误报。

混合检测是结合了前两种方法的优点,利用签名和行为分析来提高检测准确性和效果。

入侵检测系统的部署可以分为网络内部和网络边缘两种方式。

网络内部的部署可以监测内部流量,及时发现内部恶意活动。

而网络边缘的部署则可以监测来自外部网络的攻击,保护内部网络的安全。

通常,最好的做法是同时在网络内部和边缘部署入侵检测系统,以最大程度地提高安全性。

虽然入侵检测系统在保护网络安全方面起到了重要作用,但它也面临一些挑战。

一方面,入侵检测面临着不断变化的威胁,攻击者不断改变攻击方式和手段,很难保持及时更新的规则和模型。

另一方面,入侵检测系统可能产生大量的误报,给管理员带来一定的困扰。

因此,有效地使用入侵检测系统需要结合其他安全措施,如防火墙、加密和访问控制,形成一个完整的安全解决方案。

入侵检测技术的名词解释

入侵检测技术的名词解释

入侵检测技术的名词解释随着数字化时代的来临,网络安全问题日益严峻,入侵检测技术成为保护网络安全的重要手段之一。

本文将对入侵检测技术的相关名词进行解释和探讨,包括入侵检测系统、入侵检测方法、入侵检测规则、入侵检测引擎以及入侵检测系统的分类等。

一、入侵检测系统首先,我们来解释入侵检测系统这一名词。

入侵检测系统(Intrusion Detection System,IDS)是一个软件或硬件设备,用于监测和识别网络或主机上的异常行为或入侵攻击,并及时作出响应。

入侵检测系统通常分为两种类型:基于主机的入侵检测系统(Host-based Intrusion Detection System,HIDS)和基于网络的入侵检测系统(Network-based Intrusion Detection System,NIDS)。

HIDS主要用于保护单个主机或服务器,通过监测和分析主机上的日志和事件来检测潜在的入侵。

而NIDS则用于监测和分析网络流量,以识别网络中的异常活动和入侵行为。

二、入侵检测方法接下来我们将解释入侵检测技术中常用的几种方法。

入侵检测方法根据数据分析的方式不同,可以分为基于特征的入侵检测(Signature-based Intrusion Detection)和基于异常的入侵检测(Anomaly-based Intrusion Detection)。

基于特征的入侵检测方法是通过事先定义好的规则或特征来识别已知的攻击模式。

它可以将已知的攻击模式和攻击特征与实时监测的网络流量进行匹配,以检测出网络中的攻击行为。

而基于异常的入侵检测方法则是通过监测网络流量或主机运行状态,建立正常行为的模型,当检测到与模型不符的异常行为时,就会发出警告或采取相应的响应措施。

这种方法相对于基于特征的方法,更适用于检测未知的、新型的攻击。

三、入侵检测规则除了入侵检测方法外,入侵检测系统还使用入侵检测规则来定义和识别攻击模式。

入侵检测规则是一系列用于描述攻击特征或行为的规则,通常使用正则表达式等模式匹配技术进行定义。

3-2入侵检测

3-2入侵检测
Windows服务器经过简单的配置具备 一定的HIDS的功能。主要的依据是: 启用安全审核,然后检测安全日志; 文件访问日志与关键文件保护; 进程监控; 注册表校验; 端口监控 陷阱技术
1异常检测
异常检测(Anomaly detection)的 假设是入侵者活动异常于正常主体的 活动。根据这一理念建立主体正常活 动的“活动简档”,将当前主体的活 动状况与“活动简档”相比较,当违 反其统计规律时,认为该活动可能是 “入侵”行为。
2、常用检测方法
入侵检测系统常用的检测方法有:
(1)特征检测
3、混合入侵检测 HIDS和NIDS都有不足之处,单 纯使用一类产品会造成主动防御体系 不全面。但是,它们的缺憾是互补的。 如果这两类产品能够无缝结合起来部 署在网络内,则会构架成一套完整立 体的主动防御体系。
4、文件完整性检查 文件完整性检查系统检查计算机 中自上次检查后文件变化情况。文件 完整性检查系统保存有每个文件的数 字文摘(消息摘要)数据库,每次检 查时,它重新计算文件的数字文摘并 将它与数据库中的值相比较,如不同, 则文件已被修改,若相同,文件则未 发生变化。
入侵检测
前言
入侵检测技术是为保证计算机系统的 安全而设计与配置的一种能够及时发现并 报告系统中未授权或异常现象的技术,用 于检测计算机网络中违反安全策略行为。 一个入侵检测系统通常由两部分组成: 传感器(Sensor)与控制台(Console)。传感 器负责采集数据(网络包、系统日志等)、分 析数据并生成安全事件。控制台主要起到 中央管理的作用,商品化的产品通常提供 图形界面的控制台。
文件完整性检测的优点:
• 从数学上分析,攻克文件完整性检查系统, 无论是时间上还是空间上都是不可能的。 • 文件完整性检查系统具有相当的灵活性, 可以配置成为监测系统中所有文件或某些 重要文件。 • 当一个入侵者攻击系统时,他会干两件事, 首先,他要掩盖他的踪迹,即他要通过更 改系统中的可执行文件、库文件或日志文 件来隐藏他的活动;其它,他要作一些改 动保证下次能够继续入侵。这两种活动都 能够被文件完整性检查系统检测出。

第6章 基于主机的入侵检测技术

c:\systemroot\system32\logfiles\msftpsvc1\。 • Internet信息服务WWW日志默认位置:
c:\systemroot\system32\logfiles\w3svc1\。 • Scheduler服务器日志默认位置:c:\systemroot\schedlgu.txt 。该日志
这种格式的文件可以被事件查看器读取,事件查看器可 以在“控制面板”中找到,系统管理员可以使用事件查 看器选择要查看的日志条目,查看条件包括类别、用户 和消息类型。
版权所有,盗版必纠
6.1.1 Windows下的审计数据获取
3.Windows 2000的日志系统 • 与Windows NT一样,Windows 2000中也一样使用“事件
记录了访问者的IP,访问的时间及请求访问的内容。
版权所有,盗版必纠
6.1.1 Windows下的审计数据获取
因Windows2000延续了NT的日志文件,并在其基础上又增加了FTP 和WWW日志,故本节对FTP日志和WWW日志作一个简单的讲述。 FTP日志以文本形式的文件详细地记录了以FTP方式上传文件的文件、 来源、文件名等等。不过由于该日志太明显,所以高级黑客们根本 不会用这种方法来传文件,取而代之的是使用RCP。FTP日志文件和 WWW日志文件产生的日志一般在c:\sys temroot\system32\LogFiles\W3SVC1目录下,默认是每天一个日志文 件, • FTP和WWW日志可以删除,但是FTP日志所记录的一切还是会在系统 日志和安全日志里记录下来,如果用户需要尝试删除这些文件,通 过一些并不算太复杂的方法,例如首先停止某些服务,然后就可以 将该日志文件删除。具体方法本节略。
版权所有,盗版必纠

网络安全中的入侵检测和防护技术

网络安全中的入侵检测和防护技术1. 概述网络安全是当前互联网时代面临的重要问题之一,入侵检测和防护技术作为网络安全领域的重要组成部分,旨在发现和阻止未经授权的访问、未经授权的活动和未经授权的使用。

本文将从入侵检测和防护技术的基本概念、分类以及如何实施入侵检测和防护等方面展开论述。

2. 入侵检测技术入侵检测技术是一种通过监视系统或网络以及相关的事件,来检测潜在的入侵行为的监测和分析技术。

依据监测手段的不同,入侵检测技术可以分为基于主机的入侵检测(HIDS)和基于网络的入侵检测(NIDS)。

2.1 基于主机的入侵检测基于主机的入侵检测技术是通过对主机系统的日志、文件和流量等进行监测和分析,来检测系统是否遭受到入侵行为的检测方法。

它通过监测主机的行为和操作,检测和识别异常行为或入侵行为。

常见的基于主机的入侵检测工具包括Tripwire、OSSEC等。

2.2 基于网络的入侵检测基于网络的入侵检测技术是通过监测网络流量和活动,来检测系统是否遭受到入侵行为的检测方法。

它通过监测网络通信流量和特征,检测和识别异常行为或入侵行为。

常见的基于网络的入侵检测工具包括Snort、Suricata等。

3. 入侵防护技术入侵防护技术是为了保护系统和网络不受到入侵行为的损害,采取的一系列安全措施和方法的总称。

根据防护手段的不同,入侵防护技术可以分为主动防护和被动防护。

3.1 主动防护主动防护是指采取主动措施阻止或减轻入侵行为对系统和网络的损害。

常见的主动防护技术包括网络防火墙、入侵防护系统(IPS)、安全协议等。

网络防火墙通过设置安全策略和过滤规则,对进出网络的数据进行监控和控制,以防止入侵行为的发生。

入侵防护系统通过监测流量和行为,检测和拦截入侵行为。

安全协议为通信过程中数据的传输提供了加密和验证机制,提高了数据的安全性。

3.2 被动防护被动防护是指在系统和网络遭受入侵行为时,采取被动手段对入侵行为进行响应和处理。

常见的被动防护技术包括入侵响应系统(IRS)、网络流量分析等。

HIDS主机入侵检测

HIDS主机入侵检测随着信息技术的日益发展,网络安全问题已经成为一个全球关注的焦点。

特别是在当今数字化时代,公司和个人在互联网上的活动越来越频繁,安全风险也随之增加。

因此,保障主机的安全性变得至关重要。

HIDS主机入侵检测系统作为一种重要的安全技术手段,有效地应对主机入侵带来的威胁。

一、HIDS主机入侵检测系统的概述HIDS(Host-based Intrusion Detection System)主机入侵检测系统是一种基于主机的安全技术,通过收集、分析和监控主机上的安全事件,识别异常行为和潜在威胁。

与网络入侵检测系统(NIDS)不同,HIDS主要关注主机系统本身的安全问题。

它能够监测和识别包括病毒、木马、僵尸网络、网络扫描等在内的各种主机入侵行为。

二、HIDS主机入侵检测系统的工作原理HIDS主机入侵检测系统通过以下几个步骤来实现对主机的安全监测和入侵检测:1. 数据收集:HIDS系统通过监测主机上的系统日志、网络流量、文件系统和注册表等数据源,收集有关主机安全的信息。

2. 数据分析:收集到的安全数据经过分析和处理,使用特定的算法和规则进行异常检测和入侵检测。

系统会将正常行为和异常行为进行比较,并生成相应的警报。

3. 警报通知:一旦系统检测到异常行为或潜在的入侵威胁,它将发送警报通知给管理员或安全团队。

警报通知可以通过邮件、短信等方式进行。

4. 响应措施:当主机入侵检测系统发出警报时,管理员需要采取相应的响应措施。

这可能包括隔离受感染的主机、修复系统漏洞、更新安全策略等。

三、HIDS主机入侵检测系统的优势HIDS主机入侵检测系统相比其他安全措施具有以下几个优势:1. 及时性:HIDS系统对主机的监测和检测是实时进行的,能够及时发现和响应入侵行为,减少对主机系统的损害。

2. 独立性:HIDS系统是部署在主机上的,可以独立于网络结构运行,不依赖于网络设备或防火墙。

3. 全面性:HIDS系统可以监测和检测主机上的各种安全事件,包括已知入侵行为和未知的新型威胁。

入侵检测第2版习题答案

习题答案第1章入侵检测概述一、思考题1、分布式入侵检测系统(DIDS)是如何把基于主机的入侵检测方法和基于网络的入侵检测方法集成在一起的?答:分布式入侵检测系统是将主机入侵检测和网络入侵检测的能力集成的第一次尝试,以便于一个集中式的安全管理小组能够跟踪安全侵犯和网络间的入侵。

DIDS的最初概念是采用集中式控制技术,向DIDS中心控制器发报告。

DIDS解决了这样几个问题。

在大型网络互联中的一个棘手问题是在网络环境下跟踪网络用户和文件。

DIDS允许用户在该环境中通过自动跨越被监视的网络跟踪和得到用户身份的相关信息来处理这个问题。

DIDS是第一个具有这个能力的入侵检测系统。

DIDS解决的另一个问题是如何从发生在系统不同的抽象层次的事件中发现相关数据或事件。

这类信息要求要理解它们对整个网络的影响,DIDS用一个6层入侵检测模型提取数据相关性,每层代表了对数据的一次变换结果。

2、入侵检测作用体现在哪些方面?答:一般来说,入侵检测系统的作用体现在以下几个方面:●监控、分析用户和系统的活动;●审计系统的配置和弱点;●评估关键系统和数据文件的完整性;●识别攻击的活动模式;●对异常活动进行统计分析;●对操作系统进行审计跟踪管理,识别违反政策的用户活动。

3、为什么说研究入侵检测非常必要?答:计算机网络安全应提供保密性、完整性以及抵抗拒绝服务的能力,但是由于连网用户的增加,网上电子商务开辟的广阔前景,越来越多的系统受到入侵者的攻击。

为了对付这些攻击企图,可以要求所有的用户确认并验证自己的身份,并使用严格的访问控制机制,还可以用各种密码学方法对数据提供保护,但是这并不完全可行。

另一种对付破坏系统企图的理想方法是建立一个完全安全的系统。

但这样的话,就要求所有的用户能识别和认证自己,还要采用各种各样的加密技术和强访问控制策略来保护数据。

而从实际上看,这根本是不可能的。

因此,一个实用的方法是建立比较容易实现的安全系统,同时按照一定的安全策略建立相应的安全辅助系统。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
– 分组中的特征串
2020/8/3
异常检测
依据:入侵行为是异常行为 活动频繁程度
– 登录的频率 – 击键频率 – 分组发送频率
活动的分布情况
– 用户的登录情况 – 文件访问相对分布情况 – I/O活动 – 邮件发送情况 – 网络流量分布
分类指标
– 在每个物理位置上登录的相对频率 – 编译程序的使用 – shell和编辑器的使用
通常指标
– 如某个用户使用的CPU和I/O的数量
2020/8/3
异常检测
问题
– 入侵行为可以由多个正常的动作构成 – 非入侵行为也可能是异常的
• 入侵的,异常的 • 入侵的,非异常的 • 非入侵的,异常的 • 非入侵的,非异常的
– 入侵者可以通过恶意训练的方法改变监测系统
• 使系统将异常行为看作正常行为
2020/8/3
误用检测
收集各种入侵的方法 观察系统中的各种行为和现象
– 与入侵方法的特征进行比较(模式匹配) – 发现匹配的情况则认为是入侵 – 实现简单 – 扩展性好 – 效率高
主要用于检测已知的入侵手段
– 不能检测到未知的入侵手段
2020/8/3
入侵检测方法分类
分类四
统计分析方法
异常检测
特征选择
对用户和系统行为进行计数描述 不成功登录的次数 网络连接数 企图访问文件或目录次数 企图访问网络系统次数
2020/8/3
贝页斯推理(Bayesian Inference)
用户行为特征的值A1,A2,A3,…,An
Ai=1表示异常,0表示正常 I表示系统当前遭受的入侵攻击的假设
ID element
ID element
ID element
2020/8/3
Signatures 1 Signatures 2 Signatures 3 Signatures 4
入侵检测方法分类
分类二
被动的入侵检测系统
只是发出报警 不做出反应动作
主动的入侵检测系统
需要建立响应策略
2020/8/3
基于主机的入侵检测方法
特点 可监测系统或用户的行为 无法检测针对网络协议及实现软件的攻击
– 应用层检测
只能监视针对本机的入侵行为
– 必须在每台主机上运行
日志信息需要占用大量的存储空间 需要和操作系统紧密集成
2020/8/3
基于网络的入侵检测方法
网络监听
– 对分组的内容、流量进行分析
– 与攻击特征进行模式匹配
归纳学习inductive learning
– 从大量例子中找出共性
类比学习learning by analogy
– 从类似的知识中获得知识
人工神经网络artificial neural network
– 自适应的学习方法
知识发现
– 数据挖掘
统计分析检测方法
通过事件统计进行异常行为的检测
阈值检测
为用户的各种行为设置度量属性
对度量属性设置阈值
对不同的用户需要设置不同的阈值
用单一的度量值衡量
a1S12 + a2S22 +…+ anSn2
基于行为模式的检测
方差分析
为每个用户建立一个行为模式(轮廓) 建立多个度量指标 检测该用户行为模式的变化
基于规则的方法
误用检测
2020/8/3
基于规则的入侵检测方法目录下的文件 – 一个用户不应改写其他用户的文件 – 用户登录几小时后通常使用以前使用的那些文件 – 应用程序通常不直接打开磁盘文件 – 在同一个系统里同一个用户只登录一次 – 用户不应复制系统程序和系统文件 – 日志文件不得删除
2020/8/3
基于规则的入侵检测方法
检测方法
专家系统
将已有的入侵特征、已知的系统弱点、安全策略构成知识 转化成if-then结构的规则 采用逻辑推理方式
状态转换分析法
利用有限状态自动机模拟入侵 将入侵描述为从初始状态到入侵状态的一系列动作组成 与相应的防火墙技术类似
2020/8/3
入侵检测方法分类
分类三
异常(Anomaly)检测
• 异常:与正常使用模式相偏离的操作现象 • 将所有与正常行为不匹配的行为都看作入侵行为 • 产生误报警(false positives)
误用(Misuse)检测
• 误用:对系统系统弱点的攻击 • 只有与入侵特征模型匹配的行为才算是入侵行为 • 容易产生漏报警(false negatives) • 基于入侵特征和知识库检索
基于主机的入侵检测方法
原理 以操作系统的事件跟踪记录作为输入
– 检测单个主机的审计记录和日志
检测系统、程序的行为
– CPU利用率 – I/O调用 – 系统调用 – 修改系统文件和目录 – 分组发送/接收速率
检测用户的行为特征
– 登录时间 – 次数 – 击键频率和错误率 – 命令序列
2020/8/3
2020/8/3
统计分析检测方法 ——基于行为模式的检测
基于特征选择
从一组度量指标中挑选出能检测出入侵的度量子集来预测或分 类入侵行为
基于贝页斯推理
通过测定一组选定的描述系统或用户行为特征的值A1,A2, A3,…,An推理判断
基于机器学习
通过对入侵行为的学习来改进分析的准确性
2020/8/3
特征检测
– 单个分组数据的分析 – 分组重组分析
字符串特征
– 分组载荷内容分析
流量特征
– 统计分析
• 网络流量分布
协议特征
• 异常分组数量和频率分布
• 服务类型分布
– 相关性分析
• 分析多个网段的分组数据和网络流量
2020/8/3
基于网络的入侵检测方法
特点 在一个局域网中只需一台机器运行检测系统 可确定入侵的来源
P(I
A1,
A2 ,,
An )
P( A1,
A2 ,,
An
I)
P(I ) P( A1, A2,,
An )
即Ai之间相互独立,则有: n P( A1, A2 ,, An | I ) P( Ai | I ) i 1
2020/8/3
机器学习
监督学习supervised learning
– 系统在人员监督下的学习
难以分析被加密的分组
✓ 在隧道外检测
不能检测非可控网段的分组 难以检测高速网络的分组 难以检测假冒等入侵行为
2020/8/3
分布式入侵检测方法
基本结构
– 中央管理单元 – 每台主机上的主机管理单元 – 局域网管理单元 – 各单元之间的信息传递机制
ID manager
Packet flow
ID element