欢迎来到天天文库
浏览记录
ID:34509390
大小:1.06 MB
页数:84页
时间:2019-03-07
《网络安全理论与技术(第十七讲)》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、网络安全理论与技术张卫东西安电子科技大学通信工程学院信息工程系E-mail:xd_zwd@yahoo.com.cn1第十三章入侵检测13.1入侵检测概述13.2入侵检测系统分类13313.3入侵检测系统的分析方式13.4入侵检测系统的设置13.5入侵检测系统的部署13613.6入侵检测系统的优点与局限性2入侵检测系统的分析方式从入侵检测的典型实现过程可以看出,数据分析是入侵检测系统的核心,它是关系到能否检测出入侵行为的关键。检测率是人们关注的焦点,不同的分析技术所体现的分析机制也是不一样的,从而对数据分析得到的结果当然也就大不相同,而且不同的分析技术对不同的数据环境的适用性也不一样。根据入
2、侵检测系统所采用的分析技术来看,它可以分为采用异常检测的入侵检测系统和采用误用检测的入侵检测系统。313.3.1异常检测技术——基于行为的检测异常检测技术(AnomalyDetection)也称为基于行为的(Behavior-Based)检测技术,是指根据用户的行为和系统资源的使用状况判断是否存在网络入侵。其基本前提是:假定所有的入侵行为都是异常的,即入侵行为是异常行为的子集。原理是:首先建立系统或用户的“正常”行为特征轮廓,通过比较当前的系统或用户的行为是否偏离正常的行为特征轮廓来判断是否发生了入侵行为,而不是依赖于具体行为是否出现来进行检测的。从这个意义上来讲,异常检测是一种间接的方法
3、。下图是典型的异常检测系统示意图。4更新系统正常的统计分析入侵审计数据行为特征轮廓偏离正常行为行为特征动态产生新的行为特征典型的异常检测系统示意图5异常检测原理命令、系统调用、应用类型、活动度量、CPU使用、网络连接正常行为异常行为异常检测原理模型6异常检测NormalAiiActivitySystemAuditBelowThresholdlevelsMetricsProfilerExceedThresholdLevelsIntrusion异常检测模型7从异常检测的实现机理来看,异常检测所面临的关键问题有:1)特征量的选择异常检测首先是要建立系统或用户的“正常”行为特征轮廓,这就要求在建立
4、正常模型时,选取的特征量既要能准确地体现系统或用户的行为特征,又能使模型最优化,即以最少的特征量涵盖系统或用户的行为特征。作为异常检测的最关键的第一步,它将直接影响检测性能的优劣。82)阈值的选定因为在实际的网络环境下,入侵行为和异常行为往往不是一对一的等价关系(这样的情况是经常会有的:某一行为是异常行为,而它不一定是入侵行为;同样存在某一行为是入侵行为,而它却不一定是异常行为的情况),所以会导致检测结果的虚警(FalsePositives)和漏警(FalseNegg)atives)的产生。由于异常检测是先建立正常的特征轮廓并以此作为比较的基准,这个基准,即阈值的选定是非常关键的。阈值选的
5、过大,那漏警率就会很高,这对被保护的系统的危害会很大;相反,阈值选的过小,则虚警率就会提高,这会对入侵检测系统的正常工作带来很多的不便。总之,恰当地选取比较的阈值是异常检测的关键,是直接衡量这一检测方法准确率高低的至关重要的因素。93)比较频率的选取由于异常检测是通过比较当前的行为和已建立的正常行为特征轮廓来判断入侵的发生与否的,因而比较的频率,即经过多长时间进行比较的问题也是一个重要因素。经过的时间过长,检测结果的漏警率会很高,因为攻击者往往能通过逐渐改变攻击的模式使之训练成系统所接受的行为特征,从而使攻击无法被检测出来;如果经过的时间过短,就存在虚警率提高的问题,因为有的正常的进程在短
6、时间内的资源消耗会很大,这样检测系统就会误认为有入侵行为的发生。另外,正常的行为特征轮廓存在更新的问题,这也是在选取比较的频率时必须考虑的因素。10从异常检测的原理我们可以看出,该方法的技术难点在于:“正常”行为特征轮廓的确定;特征量的选取;特征轮廓的更新。由于这几个因素的制约,异常检测的虚警率会很高,但对于未知的入侵行为的检测非常有效,同时它也是检测冒充合法用户的入侵行为的有效方法。此外,由于需要实时地建立和更新系统或用户的特征轮廓,因而所需的计算量很大,对系统的处理性能要求也很高。11异常检测技术的评价:优点:¢能够检测出新的网络入侵方法的攻击;¢较少依赖于特定的主机操作系统;¢对于内
7、部合法用户的越权违法行为的检测能力较强。缺点:¢误报率高;¢行为模型建立困难;¢难以对入侵行为进行分类和命名。12异常检测技术分类异常检测技术的核心问题是建立行为模型,目前主要有以下几种方法。(1)统计分析异常检测统计分析异常检测方法在基于异常检测技术的入侵检测系统中使用最为广泛。首先要对系统或用户的行为按照一定的时间间隔进行采样,样本的内容包括每个会话的登录、退出情况,CPU和内存的占用情况,硬盘等存储介质的使用情况等
此文档下载收益归作者所有