第10章 入侵检测技术原理与应用
10.1 入侵检测概述
10.1.1 入侵检测概念
入侵检测通过收集操作系统、应用程序、系统程序、网络包等信息发现系统中违背安全策略活危机系统安全的行为。IDS
10.1.2 入侵检测模型
CIDF模型:
事件产生器(Event generators)事件分析器响应单元事件数据库10.1.3 入侵检测作用
发现受保护系统中的入侵行为或异常行为检验安全保护措施的有效性分析受保护系统所面临的威胁有利于组织安全事件扩大,及时报警出发网络安全应急响应可以为网络安全策略的制定提供重要指导报警信息可以用作网络犯罪取证10.2 入侵检测技术
10.2.1 基于误用的入侵检测技术
基于特征的入侵检测方法,根据已知的入侵模式检测入侵行为。
基于条件概率的误用检测方法 全概率公式-知道原因推结果,条件概率
贝叶斯定理-已知结果-求原因的概率
假设完备,求假设A1…An完备,B,P(Ai)>0,P(B)>0求P(Ak∣B)=P(Ak∣B)=P(AK∣B)P(B)
令ES表示某个事件序列,发生入侵的先验概率为P(Intrusion)发生入侵时该事件序列ES出现的后验概率为P(ES∣Intrusion),该事件序列出现的概率为P(ES),则有:
P(Intrusion∣ES)=P(ES∣Intrusion)×P(Intrusion)P(ES)
通常网络安全员可以先给出先验概率P(Intrusion),对入侵报告进行数据统计处理可得P(ES∣¬Intrusion)和P(ES∣Intrusion),于是可以计算出:
P(ES)=[P(ES∣Intrusion)−P(ES∣¬Intrusion)]×P(Intrusion)+P(ES∣¬Intrusion)
因此,可以通过对事件序列的观摩推算出P(Intusion∣ES)。基于条件概率的误用检测方法是基于条件概率的一种通用方法。
基于状体迁移的误用检测方法
STAT、USTAT
基于键盘监控的误用检测方法
假设入侵行为对应特定的几件序列模式
基于规则的误用检测方法 Snort
基于规则的误用检测方法是将攻击行为或者入侵模式标识成一种规则,只要符合规则就认定他是一种入侵行为,
∑n→+∞n
条件概率
P(A) P(B)
Ω 样本空间中有A,B两个事件。P(B)>0 在B已经发生的条件下A发生的概率。A对B 的条件概率P(A|B)
P(A|B)=nABnB=nAB/nnB/n=P(AB)P(B)
P(A|B)=nABnB=nAB/nnB/n=P(AB)P(B)
10.2.2 基于异常的入侵检测技术
基于统计的异常检测方法基于模式预测的异常检测方法基于文本分类的异常检测方法基于贝叶斯推理的异常检测方法10.2.3 其他
基于规范的检测方法基于生物免疫的检测方法基于攻击诱骗的检测方法基于入侵报警的关联检测方法基于沙箱动态分析的检测方法基于大数据分析的检测方法10.3 入侵检测系统组成与分类
10.3.1 入侵检测系统组成
入侵检测系统主要由:数据采集模块、入侵分析引擎模块,应急处理模块,管理配置模块和相关的辅助模块。
IDS:HIDS、NIDS、DIDS
10.3.2 基于主机的入侵检测系统(HIDS)
主要入侵行为:
针对主机的端口或漏洞扫描重复失败的登入尝试远程口令破解主机系统的用户账号添加服务启动或停止系统重启动文件的完整性或许可权变化注册表修改重要系统启动文件变更程序的异常调用拒绝服务攻击HIDS软件:
SWATCHTripwire网页防串改系统