第7章入侵检测技术

第7章入侵检测技术内容摘要：

3)基于网络的 IDS可以研究数据包的内容，查找特定攻击中使用的命令或语法，这类攻击可以被实时检查包序列的 IDS迅速识别；而基于主机的系统无法看到负载，因此也无法识别嵌入式的数据包攻击。 19 入侵检测的原理与技术 混合型入侵检测系统（ Hybrid IDS） 在新一 代 的入侵检测系统中 将把 现在的基于网络和基于主机 这 两种检测技术 很好地 集 成起 来，提供集 成化 的攻击签名检测报 告 和事件关 联功 能。 可 以 深 入 地 研究入侵事件入侵手段 本身 及被入侵 目标的 漏洞 等。 20 入侵检测的原理与技术 IDS的基本结构 无论 IDS系统是网络型的还是主机型的，从功能上看，都可分为两大部分：探测引擎和控制中心。 前者用于读取原始数据和产生事件；后者用于显示和分析事件以及策略定制等工作。 I D S 控 制 中 心I D S 引 擎控 制 和 策 略 下 发事 件 上 报21 入侵检测的原理与技术 IDS的基本结构 图 73 引擎的工作流程 引擎的主要功能为：原始数据读取、数据分析、产生事件、策略匹配、事件处理、通信等功能 22 入侵检测的原理与技术 IDS的基本结构 图 74 控制中心的工作流程 通 信事 件 读 取事 件 显 示策 略 定 制 日 专 分 析 系 统 帮 助事 件 数 据 库 控制中心的主要功能为：通信、事件读取、事件显示、策略定制、日志分析、系统帮助等。 23 入侵检测的原理与技术 IDS采用的技术 入侵检测主要通过专家系统、模式匹配、协议分析或状态转换等方法来确定入侵行为。 入侵检测技术有： 静态配置分析技术 异常检测技术 误用检测技术 1．静态配置分析技术 静态配置分析是通过检查系统的当前系统配置，诸如系统文件的内容或系统表，来检查系统是否已经或者可能会遭到破坏。 静态是指检查系统的静态特征 (系统配置信息 )，而不是系统中的活动。 24 入侵检测的原理与技术 IDS采用的技术 异常检测技术 通过对系统审计数据的分析建立起系统主体 (单个用户、一组用户、主机，甚至是系统中的某个关键的程序和文件等 )的正常行为特征轮廓；检测时，如果系统中的审计数据与已建立的主体的正常行为特征有较大出入就认为是一个入侵行为。 这一检测方法称 “ 异常检测技术 ”。 一般 采用统计或基于规则描述的方法建立系统主体的行为特征轮廓 ，即 统计性特征轮廓 和 基于规则描述的特征轮廓。 25 入侵检测的原理与技术 IDS采用的技术 3．误用检测技术 误用检测技术 (Misuse Detection)通过检测用户行为中的那些与某些已知的入侵行为模式类似的行为或那些利用系统中缺陷或是间接地违背系统安全规则的行为，来检测系统中的入侵活动，是一种基于已有的知识的检测。 这种入侵检测技术的主要局限在于它只是根据已知的入侵序列和系统缺陷的模式来检测系统中的可疑行为 ， 而不能处理对新的入侵攻击行为以及未知的 、 潜在的系统缺陷的检测。 26 入侵检测的原理与技术 入侵检测 分析 技术的比较 1．模式匹配的缺陷 1）计算负荷大 2） 检测准确率低 2．协议分析新技术的优势 1）提高了性能 2） 提高了准确性。