导图社区入侵检测技术原理与防护

入侵检测技术原理与防护

本章首先介绍了入侵检测系统的基本概念和作用，分析了各类入侵检测技术；然后还就入侵检测系统的组成结构和类型进行了分析，并举例说明常见的入侵检测系统；最后给出入侵检测系统的应用案例。随着计算机和网络技术的发展，IDS作为重要的安全防范措施，将会受到网络管理员的重视。

编辑于2020-12-22 22:33:55

四夕学习

他的近期作品查看更多>>

入侵检测技术原理与防护

社区模板帮助中心，点此进入>>

四夕学习

他的近期作品查看更多>>

相似推荐
大纲

互联网9大思维
- 39.5k
- 977
- 2.5k
- 401
- 0
MindMaster
安全教育的重要性
- 8.4k
- 945
- 100
- 18
- 0
issen
组织架构-单商户商城webAPP 思维导图。
- 18.4k
- 3
- 186
- 9
- 1
Kacyun
个人日常活动安排思维导图
- 9.4k
- 0
- 84
- 0
- 0
少儿栏目外景策划波波老师
域控上线
- 4.2k
- 171
- 11
- 4
- 0
jackrao
西游记主要人物性格分析
- 19.1k
- 1.4k
- 647
- 103
- 0
issen
17种头脑风暴法
- 212.9k
- 4.3k
- 11.9k
- 4.1k
- 1
MindMaster
python思维导图
- 9.4k
- 556
- 242
- 7
- 0
(*^▽^*)
css
- 3.8k
- 1
- 43
- 3
- 0
A张舫
CSS
- 6.2k
- 271
- 189
- 33
- 0
journey

第10章入侵检测技术原理与应用

10.1 入侵检测概述

是网络安全态势感知的关键核心技术，支撑构建网络信息安全保障体系

10.1.1 入侵检测概念

入侵：

（安全专家）：入侵是指未经授权蓄意尝试访问信息、篡改信息，使系统不可用的行为

（美国专家）：非法进入信息系统，包括违反信息系统的安全策略或法律保护条例的动作

（中国）：违背访问目标的安全策略的行为（入侵应与受害目标相关联）

入侵检测系统IDS

非法进入信息系统，包括违反信息系统的安全策略或法律保护条例的动作

是否入侵大的依据：对目标的操作是否超出了目标的安全策略范围

10.1.2 入侵检测模型CIDF

事件发生器 event generators

实践分析期 event analyzers

响应单元 response units

事件数据库 event databases

10.1.3 入侵检测作用

入侵检测系统的直接目的不是阻止入侵事件的发生，而是通过检测技术来发现系统中企图或已经违背安全策略的行为。

发现受保护系统中的入侵行为或异常行为

检测安全保护措施的有效性

分析受保护系统所面临的威胁

有利于阻止安全事件扩大，及时报警触发网络安全应急响应

可以为网络安全策略的制定提供重要指导

10.2 入侵检测技术

10.2.1 基于误用的入侵检测技术（查黑）

概念：根据已知的入侵模式检测入侵行为，检测能力取决于攻击模式库的大小以及攻击方法的覆盖面。

前提条件是：入侵行为能够按照某种方式进行特征编码，而入侵检测的过程实际上就是模式匹配的过程

方法：

基于条件概率的误用检测方法

先验概率：在事件发生之前事情发生的概率。是根据以往经验和分析得到的概率

后验概率：事情已经发生，且发生有多个原因，判断事情发生时由哪个原因引起的概率

基于状态迁移的误用检测方法

状态迁移方法：利用状态图表示攻击特征，不同状态刻画了系统某一时刻的特征，攻击者的操作将导致状态发生迁移，使系统从初始状态迁移至危害状态。

基于状态迁移的误用检测方法：通过检查系统的状态变化发现系统中的入侵行为。采用该方法的IDS有STAT（State Transition Analysis Technique）和USTAT（State Transition Analysis Tool for UNIX）

基于键盘监控的误用检测方法

概念：假设入侵行为对应特定的击键序列模式，然后监测用户的击键模式，并将这一模式与入侵模式匹配，从而发现入侵行为。

缺点：

需要操作系统级支持来捕获键盘输入

存在被欺骗绕过风险

不能检测恶意程序自动攻击

基于规则的误用检测方法

概念：将攻击行为或入侵模式表示成一种规则，只要符合规则就认定其是一种入侵行为

优点：检测简单，效率高

缺点：受规则库限制

实例：Snort

10.2.2 基于异常的入侵检测技术（查白）

概念：

通过计算机或者网络资源统计分析，建立系统正常行为的“轨迹”，定义一组系统正常情况的数值，然后将系统运行时的数值与所定义的“正常”情况相比较，得出是否有被攻击的迹象。

基于统计

概念：利用数学统计理论技术，通过构建用户或系统正常行为特征轮廓，对收集到的数据进行统计处理，与特征轮廓进行比较，根据二者的偏差是否超过指定门限来判断异常。

主体特征：系统登录与注销时间，资源被占用时间，内存、CPU、外设使用情况

特征属性：频度、均值、方差、概率分布、偏差

抽样周期：几分钟~几个月~更长

基于模式预测

前提：事件序列不是随机发生，而是服从某种可辨别的模式（考虑了事件序列间相互联系）

基于时间的归纳机（TIM，Time-Based Inductive Machine）

优点：①较好的处理变化的用户行为，有很强的时序模式；②集中考察少数几个相关安全事件；③易发现针对检测系统的攻击

基于文本分类

前提：将程序的系统调用视为文档的“字”，进程运行产生的系统调用集合视为“文档”

方法：机器学习（KNN）、深度学习（NLP）

思路：采用文本分类算法，分析文档相似性，发现异常调用

基于贝叶斯推理

10.2.3 其他

基于规则的检测方法

原理：用策略描述语言 PE-grammars 事先定义系统特权程序有关安全的操作执行序列，每个特权程序都有一组安全操作序列，这些操作序列又构成特权程序的安全跟踪策略。若特权操作序列不符合已定义的操作序列，则报警

特点：对已知和未知攻击均有效

基于生物免疫

原理：模仿生物有机体的免疫系统工作机制，使受保护系统能够将“非自我（non-self）”攻击行为与“自我（self）”合法行为区分开来

关键技术：构造系统“自我”标志以及标志演变方法

基于攻击诱骗

原理：将虚假的系统或漏洞信息提供给入侵者，诱骗其进行攻击，进而推断系统是否受到攻击，为后续跟踪、分析提供基础

基于入侵报警的关联

原理：通过对原始 IDS 报警事件的分类和相关性分析来发现复杂攻击行为

基于报警数据的相似性进行报警关联分析

通过人为设置参数或机器学习进行报警关联分析

根据某种攻击的前提条件与结果进行关联分析

基于沙箱动态分析

原理：通过构建程序运行的受控安全环境，形成程序运行安全沙箱，检测可疑文件或程序在沙箱的运行状况，获取其动态信息进行检查和判断

基于大数据分析

数据：系统日志、IDS 报警日志、防火墙日志、DNS 日志、网络威胁情报、全网流量

方法：人工智能、机器学习（数据挖掘、深度学习、数据关联、数据可视化分析）

10.3 入侵检测系统组成与分类

10.3.1 入侵检测系统组成

数据采集模块

入侵分析引擎模块

应急处理模块

管理配置模块