資源描述:
《計(jì)算機(jī)網(wǎng)絡(luò)安全第五章入侵檢測(cè)技術(shù)》由會(huì)員上傳分享��,免費(fèi)在線閱讀����,更多相關(guān)內(nèi)容在教育資源-天天文庫。
1��、第5章入侵檢測(cè)技術(shù)第5章入侵檢測(cè)技術(shù)內(nèi)容提要:入侵檢測(cè)概述入侵檢測(cè)的技術(shù)實(shí)現(xiàn)分布式入侵檢測(cè)入侵檢測(cè)系統(tǒng)的標(biāo)準(zhǔn)入侵檢測(cè)系統(tǒng)示例本章小結(jié)5.1入侵檢測(cè)概述入侵檢測(cè)技術(shù)研究最早可追溯到1980年JamesP.Aderson所寫的一份技術(shù)報(bào)告��,他首先出了入侵檢測(cè)的概念�。1987年DorothyDenning提出了入侵檢測(cè)系統(tǒng)(IDS,IntrusionDetectionSystem)的抽象模型(如圖5-1所示)��,首次提出了入侵檢測(cè)可作為一種計(jì)算機(jī)系統(tǒng)安全防御措施的概念�,與傳統(tǒng)的加密和訪問控制技術(shù)相比,IDS是全新的計(jì)
2����、算機(jī)安全措施。主體活動(dòng)規(guī)則集處理引擎異常記錄活動(dòng)簡檔時(shí)鐘規(guī)則設(shè)計(jì)與修改審計(jì)記錄更新更新歷史活動(dòng)創(chuàng)建活動(dòng)狀況創(chuàng)建提取規(guī)則學(xué)習(xí)圖5-1Denning入侵檢測(cè)抽象模型1988年TeresaLunt等人進(jìn)一步改進(jìn)了Denning提出的入侵檢測(cè)模型,并創(chuàng)建了IDES(IntrusionDetectionExpertSystem)�����,該系統(tǒng)用于檢測(cè)單一主機(jī)的入侵嘗試���,提出了與系統(tǒng)平臺(tái)無關(guān)的實(shí)時(shí)檢測(cè)思想��,1995年開發(fā)的NIDES(Next-GenerationIntrusionDetectionExpertSystem)作
3�����、為IDES完善后的版本可以檢測(cè)出多個(gè)主機(jī)上的入侵��。1990年��,Heberlein等人提出了一個(gè)具有里程碑意義的新型概念:基于網(wǎng)絡(luò)的入侵檢測(cè)——網(wǎng)絡(luò)安全監(jiān)視器NSM(NetworkSecurityMonitor)��。1991年,NADIR(NetworkAnomalyDetectionandIntrusionReporter)與DIDS(DistributeIntrusionDetectionSystem)提出了通過收集和合并處理來自多個(gè)主機(jī)的審計(jì)信息可以檢測(cè)出一系列針對(duì)主機(jī)的協(xié)同攻擊��。1994年�����,MarkCro
4、sbie和GeneSpafford建議使用自治代理(autonomousagents)以提高IDS的可伸縮性、可維護(hù)性��、效率和容錯(cuò)性�����,該理念非常符合計(jì)算機(jī)科學(xué)其他領(lǐng)域(如軟件代理��,softwareagent)正在進(jìn)行的相關(guān)研究��。另一個(gè)致力于解決當(dāng)代絕大多數(shù)入侵檢測(cè)系統(tǒng)伸縮性不足的方法于1996年提出��,這就是GrIDS(Graph-basedIntrusionDetectionSystem)的設(shè)計(jì)和實(shí)現(xiàn)����,該系統(tǒng)可以方便地檢測(cè)大規(guī)模自動(dòng)或協(xié)同方式的網(wǎng)絡(luò)攻擊。近年來�,入侵檢測(cè)技術(shù)研究的主要?jiǎng)?chuàng)新有:Forrest等將
5、免疫學(xué)原理運(yùn)用于分布式入侵檢測(cè)領(lǐng)域���;1998年RossAnderson和AbidaKhattak將信息檢索技術(shù)引進(jìn)入侵檢測(cè)���;以及采用狀態(tài)轉(zhuǎn)換分析、數(shù)據(jù)挖掘和遺傳算法等進(jìn)行誤用和異常檢測(cè)�。5.1.1入侵檢測(cè)原理圖5-2給出了入侵檢測(cè)的基本原理圖���。入侵檢測(cè)是用于檢測(cè)任何損害或企圖損害系統(tǒng)的保密性、完整性或可用性的一種網(wǎng)絡(luò)安全技術(shù)��。它通過監(jiān)視受保護(hù)系統(tǒng)的狀態(tài)和活動(dòng)���,采用誤用檢測(cè)(MisuseDetection)或異常檢測(cè)(AnomalyDetection)的方式��,發(fā)現(xiàn)非授權(quán)的或惡意的系統(tǒng)及網(wǎng)絡(luò)行為���,為防范入侵行為提
6、供有效的手段�。歷史行為特定行為模式其他知識(shí)庫入侵檢測(cè)分析引擎當(dāng)前系統(tǒng)/用戶行為入侵?記錄證據(jù)相應(yīng)處理是相應(yīng)處理否安全策略圖5-2入侵檢測(cè)原理框圖所謂入侵檢測(cè)系統(tǒng)就是執(zhí)行入侵檢測(cè)任務(wù)的硬件或軟件產(chǎn)品��。入侵檢測(cè)提供了用于發(fā)現(xiàn)入侵攻擊與合法用戶濫用特權(quán)的一種方法��。其應(yīng)用前提是入侵行為和合法行為是可區(qū)分的��,也即可以通過提取行為的模式特征來判斷該行為的性質(zhì)���。一般地�,入侵檢測(cè)系統(tǒng)需要解決兩個(gè)問題:如何充分并可靠地提取描述行為特征的數(shù)據(jù)�;如何根據(jù)特征數(shù)據(jù)���,高效并準(zhǔn)確地判定行為的性質(zhì)����。5.1.2系統(tǒng)結(jié)構(gòu)由于網(wǎng)絡(luò)環(huán)境和系統(tǒng)安全
7、策略的差異��,入侵檢測(cè)系統(tǒng)在具體實(shí)現(xiàn)上也有所不同�����。從系統(tǒng)構(gòu)成上看�����,入侵檢測(cè)系統(tǒng)應(yīng)包括事件提取�、入侵分析、入侵響應(yīng)和遠(yuǎn)程管理四大部分���,另外還可能結(jié)合安全知識(shí)庫�、數(shù)據(jù)存儲(chǔ)等功能模塊���,提供更為完善的安全檢測(cè)及數(shù)據(jù)分析功能(如圖5-3所示)���。相應(yīng)處理入侵分析數(shù)據(jù)提取知識(shí)庫數(shù)據(jù)存儲(chǔ)原始數(shù)據(jù)流圖5-3入侵檢測(cè)系統(tǒng)結(jié)構(gòu)入侵檢測(cè)的思想源于傳統(tǒng)的系統(tǒng)審計(jì)���,但拓寬了傳統(tǒng)審計(jì)的概念,它以近乎不間斷的方式進(jìn)行安全檢測(cè)�,從而可形成一個(gè)連續(xù)的檢測(cè)過程。這通常是通過執(zhí)行下列任務(wù)來實(shí)現(xiàn)的:監(jiān)視�、分析用戶及系統(tǒng)活動(dòng);系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)�����;識(shí)別分
8��、析知名攻擊的行為特征并告警����;異常行為特征的統(tǒng)計(jì)分析;評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性��;操作系統(tǒng)的審計(jì)跟蹤管理�����,并識(shí)別用戶違反安全策略的行為���。5.1.3系統(tǒng)分類由于功能和體系結(jié)構(gòu)的復(fù)雜性����,入侵檢測(cè)按照不同的標(biāo)準(zhǔn)有多種分類方法?��?煞謩e從數(shù)據(jù)源、檢測(cè)理論����、檢測(cè)時(shí)效三個(gè)方面來描述入侵檢測(cè)系統(tǒng)的類型。1.基于數(shù)據(jù)源的分類通?���?梢园讶肭謾z測(cè)系統(tǒng)分為五類,即基于主機(jī)���、基于網(wǎng)絡(luò)���、混合入侵檢測(cè)、基于網(wǎng)關(guān)的入侵檢測(cè)系統(tǒng)以
