香港IT網 - 入侵檢測技術的基礎

　　1. IDS(入侵檢測系統)存在與發展的必然性

　　(1)網路安全本身的複雜性，被動式的防禦方式顯得力不從心。

　　(2)有關防火牆：網路邊界的設備;自身可以被攻破;對某些攻擊保護很弱;並非所有威脅均來自防火牆外部。

　　(3)入侵很容易：入侵教程隨處可見;各種工具唾手可得

　　2. 入侵檢測(Intrusion Detection)

　　●定義：通過從電腦網路或電腦系統中的若干關鍵點收集資訊並對其進行分析，從中發現網路或系統中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術。

　　●起源：

　　(1)1980年，James P. Anderson的《電腦安全威脅監控與監視》(《Computer Security Threat Monitoring and Surveillance》)

　　第一次詳細闡述了入侵檢測的概念;提出電腦系統威脅分類;提出了利用審計跟蹤資料監視入侵活動的思想;此報告被公認為是入侵檢測的開山之作。

　　(2)1984年到1986年，喬治敦大學的Dorothy Denning和 SRI/CSL的Peter Neumann研究出了一個即時入侵檢測系統模型--IDES(入侵檢測專家系統)

　　(3)1990年，加州大學大衛斯分校的L. T. Heberlein等人開發出了NSM(Network Security Monitor)

　　-該系統第一次直接將網路流作為審計資料來源，因而可以在不將審計資料轉換成統一格式的情況下監控異種主機

　　-入侵檢測系統發展史翻開了新的一頁，兩大陣營正式形成：基於網路的IDS和基於主機的IDS

　　(4)1988年之後，美國開展對分散式入侵檢測系統(DIDS)的研究，將基於主機和基於網路的檢測方法集成到一起。DIDS是分散式入侵檢測系統歷史上的一個里程碑式的產品。

　　(5)從20世紀90年代到現在，入侵檢測系統的研發呈現出百家爭鳴的繁榮局面，並在智慧化和分散式兩個方向取得了長足的進展。

　　3. IDS基本結構

　　●事件產生器：負責原始資料獲取，並將收集到的原始資料轉換為事件，向系統的其他部分提供此事件。

　　收集的資訊包括：系統或網路的日誌檔案;網路流量;系統目錄和檔案的異常變化;程式執行中的異常行為。

　　注意：入侵檢測很大程度上依賴於收集資訊的可靠性和正確性。

　　●事件分析器：接收事件資訊，對其進行分析，判斷是否為入侵行為或異常現象，最後將判斷的結果轉變為告警資訊。分析方法有如下三種(重點掌握)：

　　(1)模式匹配：將收集到的資訊與已知的網路入侵和系統誤用模式資料庫進行比較，從而發現違背安全策略的行為

　　(2)統計分析：首先給系統物件(如用戶、檔案、目錄和設備等)創建一個統計描述，統計正常使用時的一些測量屬性(如訪問次數、操作失敗次數和延時等);測量屬性的平均值和偏差將被用來與網路、系統的行為進行比較，任何觀察值在正常值範圍之外時，就認為有入侵發生。

　　(3)完整性分析(往往用於事後分析)：主要關注某個檔案或對象是否被更改。

　　●事件資料庫：存放各種中間和最終資料的地方。

　　●回應單元：根據告警資訊做出反應。(強烈反應：切斷連接、改變檔案屬性等;簡單的報警)

　　4. 入侵檢測性能關鍵參數

　　(1)誤報(false positive)：實際無害的事件卻被IDS檢測為攻擊事件。

　　(2)漏報(false negative)：一個攻擊事件未被IDS檢測到或被分析人員認為是無害的。

　　5. 入侵檢測的分類

　　(1)按照分析方法/檢測原理分類

　　●異常檢測(Anomaly Detection)：基於統計分析原理。首先總結正常操作應該具有的特徵(用戶輪廓)，試圖用定量的方式加以描述，當用戶活動與正常行為有重大偏離時即被認為是入侵。

　　前提：入侵是異常活動的子集。指標：漏報率低，誤報率高。

　　用戶輪廓(Profile)：通常定義為各種行為參數及其閥值的集合，用於描述正常行為範圍。

　　特點：異常檢測系統的效率取決於用戶輪廓的完備性和監控的頻率;不需要對每種入侵行為進行定義，因此能有效檢測未知的入侵;系統能針對用戶行為的改變進行自我調整和優化，但隨著檢測模型的逐步精確，異常檢測會消耗更多的系統資源


會員控制臺會員登入會員註冊最後更新進階搜尋會員投稿登出


IT首頁 \| 作業系統 \| 軟體教學 \| 硬體頻道 \| 網絡頻道 \| 防黑技術 \| 網頁設計 \| 程式設計 \| 圖形圖像 \| 數碼&遊戲 \| 加解密技術 \| IT論壇	當前線上：26 人