n 关键：异常阈值和特征的选择
n 优点：可以发现新型的入侵行为，漏报少
n 缺点：容易产生误报
2020/11/27
第六章入侵检测与安全审计系统
¨ 误用检测
n 假定所有入侵行为和手段（及其变种）都能够表达 为一种模式或特征，系统的目标就是检测主体活动 是否符合这些模式。
n 优点：可以有针对性地建立高效的入侵检测系统， 其精确度较高，误报少。
2020/11/27
第六章入侵检测与安全审计系统
步骤2：产生伯努里矢量。
伯努里矢量B=<b1,b2,…,bn>是单一2值矢量，表示 属性的数目是否在正常用户的阈值范围之外。阈值 矢量T=<t1,t2,…,tn>表示每个属性的范围，其中ti是 <ti,min, ti,max>形式的元组，代表第i个属性的范围。 这样阈值矢量实际上构成了一张测量表。算法假设 ti服从高斯分布(即：正态分布)。
n 模型
最早的入侵检测模型是由Denning给出的，该模型主要 根据主机系统审计记录数据，生成有关系统的若干轮廓， 并监测轮廓的变化差异发现系统的入侵行为，如下图：
2020/11/27
第六章入侵检测与安全审计系统
CIDF(通用入侵检测框架)标准——入侵检测系统的通用模 型，解决不同IDS之间的互操作和共存问题。
2020/11/27
第六章入侵检测与安全审计系统
一个简单的基于统计的异常检测模型
¨ 工作流程
n 根据计算机审计记录文件产 生代表用户会话行为的会话 矢量，然后对这些会话矢量 进行分析，计算出会话的异 常值，当该值超过阈值便产 生警告。
2020/11/27
第六章入侵检测与安全审计系统
¨ 步骤1：产生会话矢量。
¨ 具有更好的实时性 ¨ 检测不成功的攻击和恶意企图 ¨ 基于网路的IDS不依赖于被保护主机的操作系统
2020/11/27
第六章入侵检测与安全审计系统
n 缺点 ¨对加密通信无能为力 ¨对高速网络无能为力 ¨不能预测命令的执行后果
2020/11/27
第六章入侵检测与安全审计系统
Hale Waihona Puke 集成入侵检测n 概念：综合前几种技术的入侵检测方法 n 优点
2020/11/27
第六章入侵检测与安全审计系统
n 缺点：
¨ 可扩展性差。在单一主机上处理所有的信 息限制了受监视网络的规模；分布式的数 据收集常会引起网络数据过载问题。
第六章入侵检测与安全审计系统
n 6.1.3 入侵行为的误判
¨ 正误判——将一个合法操作判断为异常行为。
n 后果：导致用户不理会IDS的报警，使IDS形同虚设。
¨ 负误判——将一个攻击动作判断为非攻击行为， 并允许其通过检测。
n 后果：背离了安全防护的宗旨，IDS系统成为例行公事。
¨ 失控误判——攻击者修改了IDS系统的操作，使它 总出现负误判的情况。
则给出报警，提醒管理员，网页可能将会被 破坏。
2020/11/27
第六章入侵检测与安全审计系统
¨ 该模型存在的缺陷和问题，如：
n 大量审计日志的实时处理问题。尽管审计日志能提供大 量信息，但它们可能遭受数据崩溃、修改和删除。并且 在许多情况下，只有在发生入侵行为后才产生相应的审 计记录，因此该模型在实时监控性能方面较差。
2020/11/27
第六章入侵检测与安全审计系统
n 主要类型
¨ 应用软件入侵检测
n 概念：在应用级收集信息 n 优点：控制性好 n 缺点：
¨ 需要支持的应用软件数量多 ¨ 只能保护一个组件
2020/11/27
第六章入侵检测与安全审计系统
¨ 基于主机的入侵检测
n 概念
¨ 在宿主系统审计日志文件中寻找攻击特征，然后 给出统计分析报告。
2020/11/27
第六章入侵检测与安全审计系统
¨ 不足
n 不能够在没有用户参与的情况下对攻击行为展开调 查
n 不能够在没有用户参与的情况下阻止攻击行为的发 生
n 不能克服网络协议方面的缺陷 n 不能克服设计原理方面的缺陷 n 响应不够快时，签名数据库更新不够快。
2020/11/27
第六章入侵检测与安全审计系统
¨ 监视所有系统行为 ¨ 有些攻击在网络的数据流中很难发现，或根本没
有通过网络在本地进行，此时基于网络的IDS系 统将无能为力 ¨ 适应交换和加密 ¨ 不要求额外的硬件
n 缺点：
¨ 看不到网络活动的状况 ¨ 运行审计功能要占用额外系统资源 ¨ 主机监视感应器对不同的平台不能通用 ¨ 管理和实施比较复杂
¨ 始于80年代早期，通常采用查看针对可疑行为的 审计记录来执行。
¨ 对新的记录条目与攻击特征进行比较，并检查不 应该被改变的系统文件的校验和来分析系统是否 被侵入或被攻击。
¨ 若发现与攻击模式匹配，IDS系统通过向管理员 报警和其他呼叫行为来响应。
2020/11/27
第六章入侵检测与安全审计系统
n 优点：
n 6.1.5 入侵检测系统的主要类型
¨ 分类 n 根据其采用的分析方法可分为
¨ 异常检测 ¨ 误用检测
n 根据系统的工作方式可分为
¨ 离线检测 ¨ 在线检测
n 根据系统所检测的对象可分为
¨ 基于主机的 ¨ 基于网络的
2020/11/27
第六章入侵检测与安全审计系统
¨ 异常检测
n 需要建立目标系统及其用户的正常活动模型， 然后基于这个模型对系统和用户的实际活动 进行审计，当主体活动违反其统计规律时， 则将其视为可疑行为。
n 根据审计文件中的用户会话(如用户会话包括login和 logout之间的所有行为)产生会话矢量。
n 会话矢量X=<x1,x2,….,xn>表示描述单一会话用户行 为 的 各 种 属 性 的 数 量 。 会 话 开 始 于 login ， 终 止 于 logout，login和logout次数也作为会话矢量的一部 分。可监视20多种属性，如：工作的时间、创建文 件数、阅读文件数、打印页数和I/O失败次数等。
事件——IDS需要分析的数据，可以是网络中的数据包，也可以是从 系统日志等其他途径得到的信息。
事件产生器：从整个计算环境中获得事 件，并向系统的其他部分提供此事件。 事件分析器：分析得到的数据，并产生 分析结果。 响应单元：对分析结果作出反应的功能 单元，它可以作出切断连接、改变文件 属性 等强烈反应，或是简单的报警。 事件数据库：存放各种中间和最终数据 的地方的统称，既可以是复杂的数据库， 也可以是简单的文本文件。
¨ 具有每一种检测技术的优点，并试图弥补各自的 不足
¨ 趋势分析 ¨ 稳定性好 ¨ 节约成本 n 缺点 ¨ 在安防问题上不思进取 ¨ 把不同供应商的组件集成在一起较困难
2020/11/27
第六章入侵检测与安全审计系统
n 6.1.6 入侵检测系统的优点和不足
¨ 优点
n 能够使现有的安防体系更完善 n 能够更好地掌握系统的情况 n 能够追踪攻击者的攻击线路 n 界面友好，便于建立安防体系 n 能够抓住肇事者
n 检测属性的选择问题，即如何选择与入侵判定相关度高 的、有限的一些检测属性。
n 阈值矢量的设置存在缺陷。由于模型依赖于用户正常行 为的规范性，因此用户行为变化越快，误警率也越高。
n 预设入侵阈值的选择问题，即如何更加科学地设置入侵 阈值，以降低误报率、漏报率。
2020/11/27
第六章入侵检测与安全审计系统
入侵检测顾名思义，是指通过对计算机网络或计 算机系统中的若干关键点收集信息并对其进行分 析，从中发现网络或系统中是否有违反安全策略 的行为和被攻击的迹象。
入侵检测系统——Intrusion Detection System，简 称IDS，入侵检测的软件与硬件的组合。
2020/11/27
第六章入侵检测与安全审计系统
第六章入侵检测与安全 审计系统
2020/11/27
第六章入侵检测与安全审计系统
n 6.1 入侵检测系统 n 6.2 安全审计系统
2020/11/27
第六章入侵检测与安全审计系统
6.1 入侵检测系统
n 6.1.1 入侵检测系统的概念
入侵(Intrusion)是指任何企图危及资源的完整性、 机密性和可用性的活动。
2020/11/27
第六章入侵检测与安全审计系统
¨ 基于网络的入侵检测
n 概念
¨ 在网络通信中寻找符合网络入侵模板的数据包， 并立即做出相应反应，如发生电子邮件、记录日 志、切断网络连接等。
n 优点 ¨ 花费低 ¨ 检查所有的包头来识别恶意和可疑行为
¨ 处于比较隐蔽的位置，基本上不对外提供服务， 比较坚固。
n 签名分析实际上是一种模板匹配操作： ¨ 一方是系统设置情况和用户操作动作 ¨ 一方是已知攻击模式的签名数据库
2020/11/27
第六章入侵检测与安全审计系统
¨ 统计分析法 n 以统计学为理论基础，以系统正常使用情况 下观察到的动作模式为依据来判别某个动作 是否偏离了正常轨道。
¨ 数据完整性分析法 n 以密码学为理论基础，可以查证文件或者对 象是否被别人修改过。
n 6.1.7 入侵检测体系结构
¨ 集中式结构
n IDS发展初期，大都采用单一的体系结构， 即所有的工作包括数据的采集、分析都由单 一主机上的单一程序来完成。
n 注意：一些所谓的分布式IDS只是在数据采集上实 现了分布式，数据的分析、入侵的发现和识别还是 由单一程序来完成。
n 优点：数据的集中处理可以更加准确地分析 可能的入侵行为
n 后果：不易察觉，长此以往，IDS将不会报警。
2020/11/27
第六章入侵检测与安全审计系统
n 6.1.4 入侵分析方法
¨ 签名分析法 ¨ 统计分析法 ¨ 数据完整性分析法