文档介绍：网络安全
第 6 讲
2
第6章入侵检测技术
入侵检测技术概述
入侵检测技术分类
基于主机/网络的入侵检测技术
混合型的入侵检测技术
先进入侵检测技术
分布式的入侵检测架构
入侵检测系统的设计思路
3
入侵检测技术概述
主机审计—入侵检测的起点
入侵检测基本模型的建立
技术发展过程
入侵检测定义
入侵检测与P2DR模型
4
主机审计—入侵检测的起点
主机审计出现在入侵检测技术之前,其定义为: 产生、记录并检查按照时间顺序排列的系统事件记录的过程。
在早期的中央主机集中计算的环境之下,主机审计的主要目的是统计用户的上机时间,便于进行计费管理。
不久,随着计算机的普及,审计的用途扩展到跟踪记录计算机系统的资源使用情况。
经过进一步的发展,主机审计开始应用于追踪调查计算机系统中用户的不正当使用行为的目的。
现在的主机审计,已经逐步开始引入了安全审计的概念。安全审计的主要需求来自于商业领域和军事、行政领域。
5
主机审计—入侵检测的起点
James Anderson在1980年首次明确提出安全审计的目标,并强调应该对计算机审计机制做出若干修改,以便计算机安全人员能够方便地检查和分析审计数据。Anderson在报告中定义了3种类型的恶意用户:
伪装者(masquerader)
违法者(misfeasor)
秘密活动者(clandestined user)
6
主机审计—入侵检测的起点
伪装者: 此类用户试图绕过系统安全访问控制机制,利用合法用户的系统账户。
违法者: 在计算机系统上执行非法活动的合法用户。
秘密活动者: 此类用户在获取系统最高权限后,利用此种权限以一种审计机制难以发现的方式进行秘密活动,或者干脆关闭审计记录过程。
7
主机审计—入侵检测的起点
Anderson指出,可以通过观察在审计数据记录中的偏离历史正常行为模式的用户活动来检查和发现伪装者和一定程度上的违法者。Anderson对此问题的建议,实质上就是入侵检测中异常检测技术的基本假设和检测思路,为后来的入侵检测技术发展奠定了早期的思想基础。
8
入侵检测基本模型的建立
1987年,Dorothy Denning发表了入侵检测领域内的经典论文《入侵检测模型》。这篇文献正式启动了入侵检测领域内的研究工作,被认为是入侵检测领域内的开创性成果。
Denning提出的统计分析模型在早期研发的入侵检测专家系统(IDES)中得到较好的实现。IDES系统主要采纳了Anderson的技术报告中所给出的检测建议,但是,Denning的论文中还包括了其他检测模型。
Denning对入侵检测的基本模型给出了建议,所提出的入侵检测基本模型,其意义在于一般化的模型定义,并不强调具体的实现技术。如图所示。
9
入侵检测基本模型的建立
通用入侵检测模型
事件生成器从给定的数据来源中,生成入侵检测事件,并分别送入到活动档案计算模块和规则库检测模块中。
活动档案模块根据新生成的事件,自动更新系统行为的活动档案。
规则库根据当前系统活动档案和当前事件的情况,发现异常活动情况,并可以按照一定的时间规则自动地删减规则库中的规则集合。
10
技术发展过程
入侵检测技术自20世纪80年代早期提出以来,经过不断发展,从最初的一种有价值的研究想法和单纯的理论模型,迅速发展出种类繁多的各种实际原型系统,并且在近10年内涌现出许多商用入侵检测系统产品,成为计算机安全防护领域内不可缺少的一种重要的安全防护技术。
1980年,Anderson在其完成的一份技术报告中提出了改进安全审计系统的建议,以便用于检测计算机用户的非授权活动,同时,提出了基本的检测思路。