入侵系統常用的檢測方法(簡(jiǎn)述入侵檢測常用的四種方法)
1.簡(jiǎn)述入侵檢測常用的四種方法
1)特征檢測 特征檢測對已知的攻擊或入侵的方式作出確定性的描述,形成相應的事件模式。
當被審計的事件與已知的入侵事件模式相匹配時(shí),即報警。原理上與專(zhuān)家系統相仿。
其檢測方法上與計算機病毒的檢測方式類(lèi)似。目前基于對包特征描述的模式匹配應用較為廣泛。
該方法預報檢測的準確率較高,但對于無(wú)經(jīng)驗知識的入侵與攻擊行為無(wú)能為力。 2)統計檢測 統計模型常用異常檢測,在統計模型中常用的測量參數包括:審計事件的數量、間隔時(shí)間、資源消耗情況等。
統計方法的最大優(yōu)點(diǎn)是它可以“學(xué)習”用戶(hù)的使用習慣,從而具有較高檢出率與可用性。但是它的“學(xué)習”能力也給入侵者以機會(huì )通過(guò)逐步“訓練”使入侵事件符合正常操作的統計規律,從而透過(guò)入侵檢測系統。
3)專(zhuān)家系統 用專(zhuān)家系統對入侵進(jìn)行檢測,經(jīng)常是針對有特征入侵行為。所謂的規則,即是知識,不同的系統與設置具有不同的規則,且規則之間往往無(wú)通用性。
專(zhuān)家系統的建立依賴(lài)于知識庫的完備性,知識庫的完備性又取決于審計記錄的完備性與實(shí)時(shí)性。入侵的特征抽取與表達,是入侵檢測專(zhuān)家系統的關(guān)鍵。
在系統實(shí)現中,將有關(guān)入侵的知識轉化為if-then結構(也可以是復合結構),條件部分為入侵特征,then部分是系統防范措施。運用專(zhuān)家系統防范有特征入侵行為的有效性完全取決于專(zhuān)家系統知識庫的完備性。
4)文件完整性檢查 文件完整性檢查系統檢查計算機中自上次檢查后文件變化情況。文件完整性檢查系統保存有每個(gè)文件的數字文摘數據庫,每次檢查時(shí),它重新計算文件的數字文摘并將它與數據庫中的值相比較,如不同,則文件已被修改,若相同,文件則未發(fā)生變化。
文件的數字文摘通過(guò)Hash函數計算得到。不管文件長(cháng)度如何,它的Hash函數計算結果是一個(gè)固定長(cháng)度的數字。
與加密算法不同,Hash算法是一個(gè)不可逆的單向函數。采用安全性高的Hash算法,如MD5、SHA時(shí),兩個(gè)不同的文件幾乎不可能得到相同的Hash結果。
從而,當文件一被修改,就可檢測出來(lái)。在文件完整性檢查中功能最全面的當屬Tripwire。
2.入侵檢測系統的檢測方法
在異常入侵檢測系統中常常采用以下幾種檢測方法: 基于貝葉斯推理檢測法:是通過(guò)在任何給定的時(shí)刻,測量變量值,推理判斷系統是否發(fā)生入侵事件。 基于特征選擇檢測法:指從一組度量中挑選出能檢測入侵的度量,用它來(lái)對入侵行為進(jìn)行預測或分類(lèi)。 基于貝葉斯網(wǎng)絡(luò )檢測法:用圖形方式表示隨機變量之間的關(guān)系。通過(guò)指定的與鄰接節點(diǎn)相關(guān)一個(gè)小的概率集來(lái)計算隨機變量的聯(lián)接概率分布。按給定全部節點(diǎn)組合,所有根節點(diǎn)的先驗概率和非根節點(diǎn)概率構成這個(gè)集。貝葉斯網(wǎng)絡(luò )是一個(gè)有向圖,弧表示父、子結點(diǎn)之間的依賴(lài)關(guān)系。當隨機變量的值變?yōu)橐阎獣r(shí),就允許將它吸收為證據,為其他的剩余隨機變量條件值判斷提供計算框架。
基于模式預測的檢測法:事件序列不是隨機發(fā)生的而是遵循某種可辨別的模式是基于模式預測的異常檢測法的假設條件,其特點(diǎn)是事件序列及相互聯(lián)系被考慮到了,只關(guān)心少數相關(guān)安全事件是該檢測法的最大優(yōu)點(diǎn)。 基于統計的異常檢測法:是根據用戶(hù)對象的活動(dòng)為每個(gè)用戶(hù)都建立一個(gè)特征輪廓表,通過(guò)對當前特征與以前已經(jīng)建立的特征進(jìn)行比較,來(lái)判斷當前行為的異常性。用戶(hù)特征輪廓表要根據審計記錄情況不斷更新,其保護去多衡量指標,這些指標值要根據經(jīng)驗值或一段時(shí)間內的統計而得到。 基于機器學(xué)習檢測法:是根據離散數據臨時(shí)序列學(xué)習獲得網(wǎng)絡(luò )、系統和個(gè)體的行為特征,并提出了一個(gè)實(shí)例學(xué)習法IBL,IBL是基于相似度,該方法通過(guò)新的序列相似度計算將原始數據(如離散事件流和無(wú)序的記錄)轉化成可度量的空間。然后,應用IBL學(xué)習技術(shù)和一種新的基于序列的分類(lèi)方法,發(fā)現異常類(lèi)型事件,從而檢測入侵行為。其中,成員分類(lèi)的概率由閾值的選取來(lái)決定。
數據挖掘檢測法:數據挖掘的目的是要從海量的數據中提取出有用的數據信息。網(wǎng)絡(luò )中會(huì )有大量的審計記錄存在,審計記錄大多都是以文件形式存放的。如果靠手工方法來(lái)發(fā)現記錄中的異常現象是遠遠不夠的,所以將數據挖掘技術(shù)應用于入侵檢測中,可以從審計數據中提取有用的知識,然后用這些知識區檢測異常入侵和已知的入侵。采用的方法有KDD算法,其優(yōu)點(diǎn)是善于處理大量數據的能力與數據關(guān)聯(lián)分析的能力,但是實(shí)時(shí)性較差。
基于應用模式的異常檢測法:該方法是根據服務(wù)請求類(lèi)型、服務(wù)請求長(cháng)度、服務(wù)請求包大小分布計算網(wǎng)絡(luò )服務(wù)的異常值。通過(guò)實(shí)時(shí)計算的異常值和所訓練的閾值比較,從而發(fā)現異常行為。
基于文本分類(lèi)的異常檢測法:該方法是將系統產(chǎn)生的進(jìn)程調用集合轉換為“文檔”。利用K鄰聚類(lèi)文本分類(lèi)算法,計算文檔的相似性。 誤用入侵檢測系統中常用的檢測方法有: 模式匹配法:是常常被用于入侵檢測技術(shù)中。它是通過(guò)把收集到的信息與網(wǎng)絡(luò )入侵和系統誤用模式數據庫中的已知信息進(jìn)行比較,從而對違背安全策略的行為進(jìn)行發(fā)現。模式匹配法可以顯著(zhù)地減少系統負擔,有較高的檢測率和準確率。 專(zhuān)家系統法:這個(gè)方法的思想是把安全專(zhuān)家的知識表示成規則知識庫,再用推理算法檢測入侵。主要是針對有特征的入侵行為。 基于狀態(tài)轉移分析的檢測法:該方法的基本思想是將攻擊看成一個(gè)連續的、分步驟的并且各個(gè)步驟之間有一定的關(guān)聯(lián)的過(guò)程。在網(wǎng)絡(luò )中發(fā)生入侵時(shí)及時(shí)阻斷入侵行為,防止可能還會(huì )進(jìn)一步發(fā)生的類(lèi)似攻擊行為。在狀態(tài)轉移分析方法中,一個(gè)滲透過(guò)程可以看作是由攻擊者做出的一系列的行為而導致系統從某個(gè)初始狀態(tài)變?yōu)樽罱K某個(gè)被危害的狀態(tài)。
3.網(wǎng)絡(luò )安全入侵檢測系統常用的檢測方法有哪些呢
1、操作模型,該模型假設異常可通過(guò)測量結果與一些固定指標相比較得到,固定指標可以根據經(jīng)驗值或一段時(shí)間內的統計平均得到,舉例來(lái)說(shuō),考試,大提示在短時(shí)間內的多次失敗的登錄很有可能是口令嘗試攻擊; 2、方差,計算參數的方差,設定其置信區間,當測量值超過(guò)置信區間的范圍時(shí)表明有可能是異常; 3、多元模型,操作模型的擴展,通過(guò)同時(shí)分析多個(gè)參數實(shí)現檢測; 4、馬爾柯夫過(guò)程模型,將每種類(lèi)型的事件定義為系統狀態(tài),用狀態(tài)轉移矩陣來(lái)表示狀態(tài)的變化,當一個(gè)事件發(fā)生時(shí),或狀態(tài)矩陣該轉移的概率較小則可能是異常事件; 5、時(shí)間序列分析,將事件計數與資源耗用根據時(shí)間排成序列,如果一個(gè)新事件在該時(shí)間發(fā)生的概率較低,則該事件可能是入侵。
統計方法的最大優(yōu)點(diǎn)是它可以“學(xué)習”用戶(hù)的使用習慣,從而具有較高檢出率與可用性。但是它的“學(xué)習”能力也給入侵者以機會(huì )通過(guò)逐步“訓練”使入侵事件符合正常操作的統計規律,從而透過(guò)入侵檢測系統。
專(zhuān)家系統 用專(zhuān)家系統對入侵進(jìn)行檢測,經(jīng)常是針對有特征入侵行為。 所謂的規則,即是知識,不同的系統與設置具有不同的規則,且規則之間往往無(wú)通用性。
專(zhuān)家系統的建立依賴(lài)于知識庫的完備性,知識庫的完備性又取決于審計記錄的完備性與實(shí)時(shí)性。入侵的特征抽取與表達,是入侵檢測專(zhuān)家系統的關(guān)鍵。
在系統實(shí)現中,將有關(guān)入侵的知識轉化為if-then結構(也可以是復合結構),條件部分為入侵特征,then部分是系統防范措施。 運用專(zhuān)家系統防范有特征入侵行為的有效性完全取決于專(zhuān)家系統知識庫的完備性。
文件完整性檢查 文件完整性檢查系統檢查計算機中自上次檢查后文件變化情況。文件完整性檢查系統保存有每個(gè)文件的數字文摘數據庫,每次檢查時(shí),它重新計算文件的數字文摘并將它與數據庫中的值相比較,如不同,則文件已被修改,若相同,文件則未發(fā)生變化。
文件的數字文摘通過(guò)Hash函數計算得到。不管文件長(cháng)度如何,它的Hash函數計算結果是一個(gè)固定長(cháng)度的數字。
與加密算法不同,Hash算法是一個(gè)不可逆的單向函數。采用安全性高的Hash算法,如MD 5、SHA時(shí),兩個(gè)不同的文件幾乎不可能得到相同的Hash結果。
從而,當文件一被修改,就可檢測出來(lái)。在文件完整性檢查中功能最全面的當屬Tripwire。
文件完整性檢查系統的優(yōu)點(diǎn) 從數學(xué)上分析,攻克文件完整性檢查系統,無(wú)論是時(shí)間上還是空間上都是不可能的。文件完整性檢查系統是非常強勁的檢測文件被修改的工具。
實(shí)際上,文件完整性檢查系統是一個(gè)檢測系統被非法使用的最重要的工具之一。 文件完整性檢查系統具有相當的靈活性,可以配置成為監測系統中所有文件或某些重要文件。
當一個(gè)入侵者攻擊系統時(shí),他會(huì )干兩件事,首先,他要掩蓋他的蹤跡,即他要通過(guò)更改系統中的可執行文件、庫文件或日志文件來(lái)隱藏他的活動(dòng);其它,他要作一些改動(dòng)保證下次能夠繼續入侵。 這兩種活動(dòng)都能夠被文件完整性檢查系統檢測出。
文件完整性檢查系統的弱點(diǎn) 文件完整性檢查系統依賴(lài)于本地的文摘數據庫。與日志文件一樣,這些數據可能被入侵者修改。
當一個(gè)入侵者取得管理員權限后,在完成破壞活動(dòng)后,可以運行文件完整性檢查系統更新數據庫,從而瞞過(guò)系統管理員。 當然,可以將文摘數據庫放在只讀的介質(zhì)上,但這樣的配置不夠靈活性。
做一次完整的文件完整性檢查是一個(gè)非常耗時(shí)的工作,在Tripwire中,在需要時(shí)可選擇檢查某些系統特性而不是完全的摘要,從而加快檢查速度。 系統有些正常的更新操作可能會(huì )帶來(lái)大量的文件更新,從而產(chǎn)生比較繁雜的檢查與分析工作,如,在Windows NT系統中升級MS-Outlook將會(huì )帶來(lái)1800多個(gè)文件變化。
4.入侵檢測系統異常檢測方法有什么
入侵檢測技術(shù)基礎 1. IDS(入侵檢測系統)存在與發(fā)展的必然性 (1)網(wǎng)絡(luò )安全本身的復雜性,被動(dòng)式的防御方式顯得力不從心。
(2)有關(guān)供觸垛吠艸杜訛森番緝防火墻:網(wǎng)絡(luò )邊界的設備;自身可以被攻破;對某些攻擊保護很弱;并非所有威脅均來(lái)自防火墻外部。(3)入侵很容易:入侵教程隨處可見(jiàn);各種工具唾手可得 2. 入侵檢測(Intrusion Detection) ●定義:通過(guò)從計算機網(wǎng)絡(luò )或計算機系統中的若干關(guān)鍵點(diǎn)收集信息并對其進(jìn)行分析,從中發(fā)現網(wǎng)絡(luò )或系統中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術(shù)。
入侵檢測的分類(lèi)(1)按照分析方法/檢測原理分類(lèi) ●異常檢測(Anomaly Detection):基于統計分析原理。首先總結正常操作應該具有的特征(用戶(hù)輪廓),試圖用定量的方式加以描述,當用戶(hù)活動(dòng)與正常行為有重大偏離時(shí)即被認為是入侵。
前提:入侵是異常活動(dòng)的子集。指標:漏報率低,誤報率高。
用戶(hù)輪廓(Profile):通常定義為各種行為參數及其閥值的集合,用于描述正常行為范圍。特點(diǎn):異常檢測系統的效率取決于用戶(hù)輪廓的完備性和監控的頻率;不需要對每種入侵行為進(jìn)行定義,因此能有效檢測未知的入侵;系統能針對用戶(hù)行為的改變進(jìn)行自我調整和優(yōu)化,但隨著(zhù)檢測模型的逐步精確,異常檢測會(huì )消耗更多的系統資源 ●誤用檢測(Misuse Detection):基于模式匹配原理。
收集非正常操作的行為特征,建立相關(guān)的特征庫,當監測的用戶(hù)或系統行為與庫中的記錄相匹配時(shí),系統就認為這種行為是入侵。前提:所有的入侵行為都有可被檢測到的特征。
指標:誤報低、漏報高。攻擊特征庫:當監測的用戶(hù)或系統行為與庫中的記錄相匹配時(shí),系統就認為這種行為是入侵。
特點(diǎn):采用模式匹配,誤用模式能明顯降低誤報率,但漏報率隨之增加。攻擊特征的細微變化,會(huì )使得誤用檢測無(wú)能為力。
5.入侵檢測系統可以分為哪幾類(lèi)
入侵檢測系統(Intrusion-detection system,下稱(chēng)“IDS”)是一種對網(wǎng)絡(luò )傳輸進(jìn)行即時(shí)監視,在發(fā)現可疑傳輸時(shí)發(fā)出警報或者采取主動(dòng)反應措施的網(wǎng)絡(luò )安全設備。
它與其他網(wǎng)絡(luò )安全設備的不同之處便在于,IDS是一種積極主動(dòng)的安全防護技術(shù)。 IDS最早出現在1980年4月。
該年,James P. Anderson為美國空軍做了一份題為《Computer Security Threat Monitoring and Surveillance》的技術(shù)報告,在其中他提出了IDS的概念。 1980年代中期,IDS逐漸發(fā)展成為入侵檢測專(zhuān)家系統(IDES)。
1990年,IDS分化為基于網(wǎng)絡(luò )的IDS和基于主機的IDS。后又出現分布式IDS。
目前,IDS發(fā)展迅速,已有人宣稱(chēng)IDS可以完全取代防火墻。 我們做一個(gè)形象的比喻:假如防火墻是一幢大樓的門(mén)衛,那么IDS就是這幢大樓里的監視系統。
一旦小偷爬窗進(jìn)入大樓,或內部人員有越界行為,只有實(shí)時(shí)監視系統才能發(fā)現情況并發(fā)出警告。 IDS入侵檢測系統以信息來(lái)源的不同和檢測方法的差異分為幾類(lèi)。
根據信息來(lái)源可分為基于主機IDS和基于網(wǎng)絡(luò )的IDS,根據檢測方法又可分為異常入侵檢測和濫用入侵檢測。不同于防火墻,IDS入侵檢測系統是一個(gè)監聽(tīng)設備,沒(méi)有跨接在任何鏈路上,無(wú)須網(wǎng)絡(luò )流量流經(jīng)它便可以工作。
因此,對IDS的部署,唯一的要求是:IDS應當掛接在所有所關(guān)注流量都必須流經(jīng)的鏈路上。在這里,"所關(guān)注流量"指的是來(lái)自高危網(wǎng)絡(luò )區域的訪(fǎng)問(wèn)流量和需要進(jìn)行統計、監視的網(wǎng)絡(luò )報文。
在如今的網(wǎng)絡(luò )拓撲中,已經(jīng)很難找到以前的HUB式的共享介質(zhì)沖突域的網(wǎng)絡(luò ),絕大部分的網(wǎng)絡(luò )區域都已經(jīng)全面升級到交換式的網(wǎng)絡(luò )結構。因此,IDS在交換式網(wǎng)絡(luò )中的位置一般選擇在: (1)盡可能靠近攻擊源 ( 2)盡可能靠近受保護資源 這些位置通常是: ·服務(wù)器區域的交換機上 ·Internet接入路由器之后的第一臺交換機上 ·重點(diǎn)保護網(wǎng)段的局域網(wǎng)交換機上 由于入侵檢測系統的市場(chǎng)在近幾年中飛速發(fā)展,許多公司投入到這一領(lǐng)域上來(lái)。
Venustech(啟明星辰)、Internet Security System(ISS)、思科、賽門(mén)鐵克等公司都推出了自己的產(chǎn)品。 [編輯本段]系統組成 IETF將一個(gè)入侵檢測系統分為四個(gè)組件:事件產(chǎn)生器(Event generators);事件分析器(Event analyzers);響應單元(Response units );事件數據庫(Event databases )。
事件產(chǎn)生器的目的是從整個(gè)計算環(huán)境中獲得事件,并向系統的其他部分提供此事件。事件分析器分析得到的數據,并產(chǎn)生分析結果。
響應單元則是對分析結果作出作出反應的功能單元,它可以作出切斷連接、改變文件屬性等強烈反應,也可以只是簡(jiǎn)單的報警。事件數據庫是存放各種中間和最終數據的地方的統稱(chēng),它可以是復雜的數據庫,也可以是簡(jiǎn)單的文本文件。
系統分類(lèi) 根據檢測對象的不同,入侵檢測系統可分為主機型和網(wǎng)絡(luò )型。 系統通信協(xié)議 IDS系統內部各組件之間需要通信,不同廠(chǎng)商的IDS系統之間也需要通信。
因此,有必要定義統一的協(xié)議。目前,IETF目前有一個(gè)專(zhuān)門(mén)的小組Intrusion Detection Working Group (IDWG)負責定義這種通信格式,稱(chēng)作Intrusion Detection Exchange Format(IDEF),但還沒(méi)有統一的標準。
以下是設計通信協(xié)議時(shí)應考慮的問(wèn)題: 1.系統與控制系統之間傳輸的信息是非常重要的信息,因此必須要保持數據的真實(shí)性和完整性。必須有一定的機制進(jìn)行通信雙方的身份驗證和保密傳輸(同時(shí)防止主動(dòng)和被動(dòng)攻擊)。
2.通信的雙方均有可能因異常情況而導致通信中斷,IDS系統必須有額外措施保證系統正常工作。 入侵檢測技術(shù) 對各種事件進(jìn)行分析,從中發(fā)現違反安全策略的行為是入侵檢測系統的核心功能。
從技術(shù)上,入侵檢測分為兩類(lèi):一種基于標志(signature-based),另一種基于異常情況(anomaly-based)。 對于基于標識的檢測技術(shù)來(lái)說(shuō),首先要定義違背安全策略的事件的特征,如網(wǎng)絡(luò )數據包的某些頭信息。
檢測主要判別這類(lèi)特征是否在所收集到的數據中出現。此方法非常類(lèi)似殺毒軟件。
而基于異常的檢測技術(shù)則是先定義一組系統“正常”情況的數值,如CPU利用率、內存利用率、文件校驗和等(這類(lèi)數據可以人為定義,也可以通過(guò)觀(guān)察系統、并用統計的辦法得出),然后將系統運行時(shí)的數值與所定義的“正常”情況比較,得出是否有被攻擊的跡象。這種檢測方式的核心在于如何定義所謂的“正常”情況。
兩種檢測技術(shù)的方法、所得出的結論有非常大的差異。基于異常的檢測技術(shù)的核心是維護一個(gè)知識庫。
對于已知的攻擊,它可以詳細、準確的報告出攻擊類(lèi)型,但是對未知攻擊卻效果有限,而且知識庫必須不斷更新。基于異常的檢測技術(shù)則無(wú)法準確判別出攻擊的手法,但它可以(至少在理論上可以)判別更廣范、甚至未發(fā)覺(jué)的攻擊。
6.黑客入侵檢測方法有哪些
1)特征檢測特征檢測對已知的攻擊或入侵的方式作出確定性的描述,形成相應的事件模式。
當被審計的事件與已知的入侵事件模式相匹配時(shí),即報警。原理上與專(zhuān)家系統相仿。
其檢測方法上與計算機病毒的檢測方式類(lèi)似。目前基于對包特征描述的模式匹配應用較為廣泛。
該方法預報檢測的準確率較高,但對于無(wú)經(jīng)驗知識的入侵與攻擊行為無(wú)能為力。 2)統計檢測 統計模型常用異常檢測,在統計模型中常用的測量參數包括:審計事件的數量、間隔時(shí)間、資源消耗情況等。
3)專(zhuān)家系統 用專(zhuān)家系統對入侵進(jìn)行檢測,經(jīng)常是針對有特征入侵行為。所謂的規則,即是知識,不同的系統與設置具有不同的規則,且規則之間往往無(wú)通用性。
專(zhuān)家系統的建立依賴(lài)于知識庫的完備性,知識庫的完備性又取決于審計記錄的完備性與實(shí)時(shí)性。4)文件完整性檢查 文件完整性檢查系統檢查計算機中自上次檢查后文件變化情況。
文件完整性檢查系統保存有每個(gè)文件的數字文摘數據庫,每次檢查時(shí),它重新計算文件的數字文摘并將它與數據庫中的值相比較,如不同,則文件已被修改,若相同,文件則未發(fā)生變化。
7.入侵檢測技術(shù)的方法
方法有很多,如基于專(zhuān)家系統入侵檢測方法、基于神經(jīng)網(wǎng)絡(luò )的入侵檢測方法等。目前一些入侵檢測系統在應用層入侵檢測中已有實(shí)現。
入侵檢測通過(guò)執行以下任務(wù)來(lái)實(shí)現:
1.監視、分析用戶(hù)及系統活動(dòng);
2.系統構造和弱點(diǎn)的審計;
3.識別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報警;
4.異常行為模式的統計分析;
5.評估重要系統和數據文件的完整性;
6.操作系統的審計跟蹤管理,并識別用戶(hù)違反安全策略的行為。
