入侵檢測(cè)技術(shù)總結(jié)
入侵是對(duì)信息系統(tǒng)的非授權(quán)訪問(wèn)以及(或者)未經(jīng)許可在信息系統(tǒng)中進(jìn)行的操作���。
入侵檢測(cè)(IntrusionDetection)是對(duì)企圖入侵�����、正在進(jìn)行的入侵或者已經(jīng)發(fā)生的入侵進(jìn)行識(shí)別的過(guò)程�����。審計(jì)數(shù)據(jù)的獲取是主機(jī)入侵檢測(cè)技術(shù)的重要基石�����,是進(jìn)行主機(jī)入侵檢測(cè)的信息來(lái)源�。網(wǎng)絡(luò)數(shù)據(jù)包的截獲是基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)的工作基石�。
根據(jù)網(wǎng)絡(luò)類(lèi)型的不同,網(wǎng)絡(luò)數(shù)據(jù)截獲可以通過(guò)兩種方法實(shí)現(xiàn):一種是利用以太網(wǎng)絡(luò)的廣播特性����,另一種是通過(guò)設(shè)置路由器的監(jiān)聽(tīng)端口或者是鏡像端口來(lái)實(shí)現(xiàn)。
主機(jī)入侵檢測(cè)所要進(jìn)行的主要工作就是審計(jì)數(shù)據(jù)的預(yù)處理工作�����,包括映射、過(guò)濾和格式轉(zhuǎn)換等操作�。預(yù)處理工作的必要性體現(xiàn)在一下幾個(gè)方面:①不同目標(biāo)系統(tǒng)環(huán)境的審計(jì)記錄格式不相同,對(duì)其進(jìn)行格式轉(zhuǎn)換的預(yù)處理操作形成標(biāo)準(zhǔn)記錄格式后����,將有利于系統(tǒng)在不同目標(biāo)平臺(tái)系統(tǒng)之間的移植;同時(shí)���,有利于形成單一格式的標(biāo)準(zhǔn)審計(jì)記錄流�����,便于后繼的處理模塊進(jìn)行檢測(cè)工作②對(duì)于審計(jì)系統(tǒng)而言�,系統(tǒng)中所發(fā)生的所有可審計(jì)活動(dòng)都會(huì)生成對(duì)應(yīng)的審計(jì)記錄���,因此對(duì)某個(gè)時(shí)間段而言���,審計(jì)記錄的生成速度是非常快的����,而其中往往大量充斥著對(duì)于入侵檢測(cè)而言無(wú)用的事件記錄。所以���,需要對(duì)審計(jì)記錄流進(jìn)行必要的映射和過(guò)濾等操作�����。
構(gòu)建狀態(tài)轉(zhuǎn)移圖的過(guò)程大致分為如下步驟:①分析具體的攻擊行為����,理解內(nèi)在機(jī)理②確定攻擊過(guò)程中的關(guān)鍵行為點(diǎn)③確定初始狀態(tài)和最終狀態(tài)
④從最終狀態(tài)出發(fā)����,逐步確定所需的各個(gè)中間狀態(tài)及其應(yīng)該滿(mǎn)足的狀態(tài)斷言組
文件完整性檢查的目的是檢查主機(jī)系統(tǒng)中文件系統(tǒng)的完整性,及時(shí)發(fā)現(xiàn)潛在的針對(duì)文件系統(tǒng)的無(wú)意或者惡意的更改�。
檢測(cè)引擎的設(shè)計(jì)是基于網(wǎng)絡(luò)入侵檢測(cè)的核心問(wèn)題。檢測(cè)引擎可分為兩大類(lèi):嵌入式規(guī)則檢測(cè)引擎和可編程的檢測(cè)引擎��。類(lèi)型優(yōu)點(diǎn)在小規(guī)則集合情況下��,工作速度快檢測(cè)規(guī)則易于編寫(xiě)��、便于理解并且容易進(jìn)行定制對(duì)新出現(xiàn)的攻擊手段��,具備快速升級(jí)支持能力對(duì)低層的簡(jiǎn)單腳本攻擊行為����,具備良好的檢測(cè)性能對(duì)所發(fā)生的攻擊行為類(lèi)型�����,具備確定性的解釋能力缺點(diǎn)隨著規(guī)則集合規(guī)模的擴(kuò)大�,檢查速度迅速下降各種變種的攻擊行為����,易于造成過(guò)度膨脹的規(guī)則集合較易產(chǎn)生虛警信息僅能檢測(cè)到已知的攻擊類(lèi)型,前提是該種攻擊類(lèi)型的檢測(cè)特征已知在小規(guī)則集合情況下�,初始的檢測(cè)速度相對(duì)較慢檢測(cè)規(guī)則比較復(fù)雜,難以編寫(xiě)和理解并且通常是由特定廠商實(shí)現(xiàn)協(xié)議復(fù)雜性的擴(kuò)展以及實(shí)際實(shí)現(xiàn)的多樣性�,容易導(dǎo)致規(guī)則擴(kuò)展的困難對(duì)發(fā)現(xiàn)的攻擊行為類(lèi)型,缺乏明確的解釋信息特征分析協(xié)議分析具備良好的性能可擴(kuò)展性���,特別是在規(guī)則集合規(guī)模較大的情況下能夠發(fā)現(xiàn)最新的未知安全漏洞(Zero-DayExploits)較少出現(xiàn)虛警信息DIDS(DistributionIntrusionDetectionSystem)分布式入侵檢測(cè)系統(tǒng)主要包括3種類(lèi)型的組件:主機(jī)監(jiān)控器(HostMonitor)�����、局域網(wǎng)監(jiān)控器(LANMonitor)和中央控制臺(tái)(Director)����。
主機(jī)監(jiān)控器由主機(jī)事件發(fā)生器(HostEventGenerator,HEG)和主機(jī)代理(HostAgent)組成����。
局域網(wǎng)監(jiān)控器由局域網(wǎng)事件發(fā)生器(LANEventGenerator,LEG)和局域網(wǎng)代理(LANAgent)組成������?刂婆_(tái)主要包括3個(gè)部分:通信管理器(CommunicationManager)�����、專(zhuān)家系統(tǒng)和用戶(hù)接口���。入侵檢測(cè)專(zhuān)家系統(tǒng)(IDES,IntrusionDetectionExpertSystem)是一個(gè)混合型的入侵檢測(cè)系統(tǒng),使用一個(gè)在當(dāng)時(shí)來(lái)說(shuō)是創(chuàng)新的統(tǒng)計(jì)分析算法來(lái)檢測(cè)異常入侵行為���,同時(shí)���,該系統(tǒng)還用一個(gè)專(zhuān)家系統(tǒng)檢測(cè)模塊來(lái)對(duì)已知的入侵攻擊模式進(jìn)行檢測(cè)。
人工神經(jīng)網(wǎng)絡(luò)是模擬人腦加工�、存儲(chǔ)和處理信息機(jī)制而提出的一種智能化信息處理技術(shù),它是由大量簡(jiǎn)單的處理單元(神經(jīng)元)進(jìn)行高度互連而形成的復(fù)雜網(wǎng)絡(luò)系統(tǒng)���。
神經(jīng)網(wǎng)絡(luò)技術(shù)應(yīng)用于入侵檢測(cè)領(lǐng)域具有以下優(yōu)勢(shì):①神經(jīng)網(wǎng)絡(luò)具有概括和抽象能力����,對(duì)不完整輸入信息具有一定程度的容錯(cuò)處理能力。②神經(jīng)網(wǎng)絡(luò)具備高度的學(xué)習(xí)和自適應(yīng)能力�。③神經(jīng)網(wǎng)絡(luò)所獨(dú)有的內(nèi)在并行計(jì)算和存儲(chǔ)特性。
神經(jīng)網(wǎng)絡(luò)技術(shù)在入侵檢測(cè)中的應(yīng)用還存在以下缺陷和不足:①需要解決神經(jīng)網(wǎng)絡(luò)對(duì)大容量入侵行為類(lèi)型的學(xué)習(xí)能力問(wèn)題��。②需要解決神經(jīng)網(wǎng)絡(luò)的解釋能力不足的問(wèn)題�����。③執(zhí)行速度問(wèn)題����。
數(shù)據(jù)挖掘(DataMining)是所謂“數(shù)據(jù)庫(kù)知識(shí)發(fā)現(xiàn)”(KnowledgeDiscoveryinDatabase,KDD)技術(shù)中的一個(gè)關(guān)鍵步驟,其提出的背景是解決日益增長(zhǎng)的數(shù)據(jù)量與快速分析數(shù)據(jù)要求之間的矛盾問(wèn)題����,目標(biāo)是采用各種特定的算法在海量數(shù)據(jù)中發(fā)現(xiàn)有用的可理解的數(shù)據(jù)模式。
數(shù)據(jù)融合(Datafusion)是一種多層次的���、多方面的處理過(guò)程����,這個(gè)過(guò)程是對(duì)多源數(shù)據(jù)進(jìn)行檢測(cè)���、結(jié)合�、相關(guān)估計(jì)和組合以達(dá)到精確的狀態(tài)估計(jì)和身份估計(jì),以及完整���、及時(shí)的態(tài)勢(shì)評(píng)估��、本地資產(chǎn)評(píng)估和威脅評(píng)估��。簡(jiǎn)言之�,數(shù)據(jù)融合的基本目的就是通過(guò)組合��,可以比從任何單個(gè)輸入數(shù)據(jù)元素獲得更多的信息��。進(jìn)化計(jì)算的主要算法包括以下5中類(lèi)型:遺傳算法(GeneticAlgorithm,GA)���、進(jìn)化規(guī)劃(EvolutionaryProgramming,EP)、進(jìn)化策略(EvolutionaryStrategies,ES)��、分類(lèi)器系統(tǒng)(ClassifierSystem,CFS)和遺傳規(guī)劃(GeneticProgramming,GP)���。
1����、檢測(cè)功能需求2、響應(yīng)需求3��、操作需求4��、平臺(tái)范圍需求5���、數(shù)據(jù)來(lái)源需求6�、檢測(cè)性能需求7��、可伸縮性需求8����、取證和訴訟需求9、其他需求1�、機(jī)制的經(jīng)濟(jì)性原則2、可靠默認(rèn)原則3��、完全調(diào)節(jié)原則4��、開(kāi)放設(shè)計(jì)原則5�、特權(quán)分割原則6、最小權(quán)限原則7�、最小通用原則8、心理科接受原則用戶(hù)需求分析入侵檢測(cè)系統(tǒng)的設(shè)計(jì)考慮系統(tǒng)安全設(shè)計(jì)原則系統(tǒng)設(shè)計(jì)的生命周期時(shí)鐘活動(dòng)檔案(ActivityProfile)規(guī)則庫(kù)(Ruleset)事件生成器(EventGenerator)審計(jì)記錄/網(wǎng)絡(luò)數(shù)據(jù)包/應(yīng)用程序日志通用入侵檢測(cè)模型
事件生成器從給定的數(shù)據(jù)來(lái)源中(包括主機(jī)審計(jì)數(shù)據(jù)���、網(wǎng)絡(luò)數(shù)據(jù)包和應(yīng)用程序的日志信息等)�,生成入侵檢測(cè)事件,并分別送入到活動(dòng)檔案計(jì)算模塊和規(guī)則庫(kù)檢測(cè)模塊中�������;顒(dòng)檔案模塊根據(jù)新生成的事件����,自動(dòng)更新系統(tǒng)行為的活動(dòng)檔案;規(guī)則庫(kù)根據(jù)當(dāng)前系統(tǒng)活動(dòng)檔案和當(dāng)前事件的情況��,發(fā)現(xiàn)異��;顒(dòng)情況�����,并可以按照一定的時(shí)間規(guī)則自動(dòng)地刪減規(guī)則庫(kù)中的規(guī)則集合���。
知識(shí)庫(kù)配置信息檢測(cè)器警報(bào)信息控制器數(shù)據(jù)收集器控制動(dòng)作審計(jì)數(shù)據(jù)等目標(biāo)系統(tǒng)通用入侵檢測(cè)系統(tǒng)模型
①數(shù)據(jù)收集器(又可稱(chēng)為探測(cè)器):主要負(fù)責(zé)收集數(shù)據(jù)。探測(cè)器的輸入數(shù)據(jù)流包括任何可能包含入侵行為線(xiàn)索
的系統(tǒng)數(shù)據(jù)����。比如網(wǎng)絡(luò)數(shù)據(jù)包�����、日志文件和系統(tǒng)調(diào)用記錄等���。探測(cè)器將這些數(shù)據(jù)收集起來(lái),然后發(fā)送到檢測(cè)器進(jìn)行處理�。②探測(cè)器(又可稱(chēng)為分析器或檢測(cè)引擎):負(fù)責(zé)分析和檢測(cè)入侵的任務(wù),并發(fā)出警報(bào)信號(hào)�����。③知識(shí)庫(kù):提供必要的數(shù)據(jù)信息支持�����。例如用戶(hù)歷史活動(dòng)檔案��,或者是檢測(cè)規(guī)則集合等�����。④控制器:根據(jù)警報(bào)信號(hào)����,人工或者自動(dòng)做出反應(yīng)動(dòng)作�����。PDR模型是一個(gè)動(dòng)態(tài)的計(jì)算機(jī)系統(tǒng)安全理論模型��。PDR是Policy(策略)����、Protection(防護(hù))�����、Detection(檢測(cè))和Response(響應(yīng))的縮寫(xiě)���,特點(diǎn)是動(dòng)態(tài)性和基于時(shí)間的特性����。
Protection22
PolicyDetectionResponseP2DR安全模型
①策略:PDR模型的核心內(nèi)容���。具體實(shí)施過(guò)程中,策略規(guī)定了系統(tǒng)所要達(dá)到的安全目標(biāo)和為達(dá)到目標(biāo)所采取的
各種具體安全措施及其實(shí)施強(qiáng)度等����。安全措施的實(shí)施必然會(huì)影響到系統(tǒng)運(yùn)行的性能�����,以及犧牲用戶(hù)操作的舒適度���,因此安全策略必須按需而制。②防護(hù):具體包括制定安全管理規(guī)則�、進(jìn)行系統(tǒng)安全配置工作以及安裝各種安全防護(hù)設(shè)備,例如防火墻���、VPN
設(shè)備等�。③檢測(cè):在采取各種安全措施中��,根據(jù)系統(tǒng)運(yùn)行情況的變化��,對(duì)系統(tǒng)安全狀態(tài)進(jìn)行實(shí)時(shí)的動(dòng)態(tài)監(jiān)控�����。④響應(yīng):當(dāng)發(fā)現(xiàn)了入侵活動(dòng)或入侵結(jié)果后�,需要系統(tǒng)做出及時(shí)的反應(yīng)并采取措施,其中包括:記錄入侵行為��、
通知管理員、阻斷進(jìn)一步的入侵活動(dòng)以及恢復(fù)系統(tǒng)正常運(yùn)行等����。
2
原型實(shí)現(xiàn)用戶(hù)反饋功能定義需求定義
整個(gè)周期過(guò)程是螺旋式上升過(guò)程,前一個(gè)周期的原型實(shí)現(xiàn)階段完成后�����,在經(jīng)過(guò)一個(gè)用戶(hù)反饋的環(huán)節(jié)后��,再次進(jìn)入下一個(gè)周期過(guò)程中的需求定義環(huán)節(jié)���。在新的需求定義階段����,將根據(jù)用戶(hù)的需求反饋意見(jiàn)��,再次更改原有的需求定義和分析規(guī)范�����,形成新的需求定義文檔�,從而推動(dòng)下一個(gè)設(shè)計(jì)的周期過(guò)程�����。如此循環(huán)反復(fù),直至滿(mǎn)足設(shè)定的要求����。
系統(tǒng)設(shè)計(jì)的生命周期
擴(kuò)展閱讀:入侵檢測(cè)技術(shù)重點(diǎn)總結(jié)
1.黑客:早先對(duì)計(jì)算機(jī)的非授權(quán)訪問(wèn)稱(chēng)為“破解”,而hacking(俗稱(chēng)“黑”)則指那些熟練
使用計(jì)算機(jī)的高手對(duì)計(jì)算機(jī)技術(shù)的運(yùn)用���,這些計(jì)算機(jī)高手稱(chēng)為“黑客”��。隨著個(gè)人計(jì)算
機(jī)及網(wǎng)絡(luò)的出現(xiàn)�����,“黑客”變成一個(gè)貶義詞�����,通常指那些非法侵入他人計(jì)算機(jī)的人����。2.入侵檢測(cè)(intrusiondetection):就是對(duì)入侵行為的發(fā)覺(jué)���,它通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)
系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息����,并對(duì)其進(jìn)行分析,從中發(fā)現(xiàn)網(wǎng)絡(luò)或者系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象�。3.入侵檢測(cè)系統(tǒng)的六個(gè)作用:1)、通過(guò)檢測(cè)和記錄網(wǎng)絡(luò)中的安全違規(guī)行為����,懲罰網(wǎng)絡(luò)犯罪,
防止網(wǎng)絡(luò)入侵事件的發(fā)生����。2)、檢測(cè)其他安全措施未能阻止的攻擊或安全違規(guī)行為�����。3)���、檢測(cè)黑客在攻擊前的探測(cè)行為�,預(yù)先給管理員發(fā)出警報(bào)��。4)�����、報(bào)告計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)中存在的安全威脅。5)���、提供有關(guān)攻擊的信息,幫助管理員診斷網(wǎng)絡(luò)中存在的安全弱點(diǎn)�����,利于其進(jìn)行修補(bǔ)����。6)、在大型����、復(fù)雜的計(jì)算機(jī)網(wǎng)絡(luò)中布置入侵檢測(cè)系統(tǒng),可以顯著提高網(wǎng)絡(luò)安全管理的質(zhì)量�。
4.tP>tD+tRd的含義:tp:保護(hù)安全目標(biāo)設(shè)置各種保護(hù)后的防護(hù)時(shí)間。tD:從入侵者開(kāi)始發(fā)動(dòng)入
侵開(kāi)始�����,系統(tǒng)能夠檢測(cè)到入侵行為所花費(fèi)的時(shí)間�。tR:從發(fā)現(xiàn)入侵行為開(kāi)始,系統(tǒng)能夠做出足夠的響應(yīng),將系統(tǒng)調(diào)整到正常狀態(tài)的時(shí)間�。公式的含義:防護(hù)時(shí)間大于檢測(cè)時(shí)間加上響應(yīng)時(shí)間,那么在入侵危害安全目標(biāo)之前就能檢測(cè)到并及時(shí)采取防護(hù)措施���。
5.入侵檢測(cè)原理的四個(gè)階段:數(shù)據(jù)收集�����、數(shù)據(jù)處理�����,數(shù)據(jù)分析�����,響應(yīng)處理����。
6.攻擊產(chǎn)生的原因:信息系統(tǒng)的漏洞是產(chǎn)生攻擊的根本原因�。7.誘發(fā)入侵攻擊的主要原因:信息系統(tǒng)本身的漏洞或脆弱性。
8.漏洞的概念:漏洞是在硬件�����、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷��,它
是可以使攻擊者能夠在未授權(quán)的情況下訪問(wèn)或破壞系統(tǒng)�。漏洞會(huì)影響到很大范圍內(nèi)的軟件及硬件設(shè)備,包括操作系統(tǒng)本身及其支撐軟件�、網(wǎng)絡(luò)客戶(hù)和服務(wù)器軟件、網(wǎng)絡(luò)路由和安全防火墻等��。漏洞是與時(shí)間緊密相關(guān)的�,����,一般是程序員編程時(shí)的疏忽或者考慮不周導(dǎo)致的。
9.漏洞的具體表現(xiàn):存儲(chǔ)介質(zhì)不安全����,數(shù)據(jù)的可訪問(wèn)性,信息的聚生性����,保密的困難性,
介質(zhì)的剩磁效應(yīng)�,電磁的泄漏性,通信網(wǎng)絡(luò)的脆弱性��,軟件的漏洞。10.漏洞iongde分類(lèi)(按被利用的方式):物理接觸����、主機(jī)模式、客戶(hù)機(jī)模式�、中間人模式。11.入侵檢測(cè)系統(tǒng)的基本原理主要分四個(gè)階段:數(shù)據(jù)收集�、數(shù)據(jù)處理、數(shù)據(jù)分析���、響應(yīng)處
理���。
12.常用的5種檢測(cè)模型:操作模型、方差模型��、多元模型����、馬爾柯夫過(guò)程模型、時(shí)間序列
分析模型��。
13.信息系統(tǒng)面臨的三種威脅:非人為因素和自然力造成的數(shù)據(jù)丟失��、設(shè)備失效����、線(xiàn)路阻斷�����;
人為但屬于操作人員無(wú)意的失誤造成的數(shù)據(jù)丟失���;來(lái)自外部和內(nèi)部人員的惡意攻擊和入侵。
14.攻擊的四個(gè)步驟:攻擊者都是先隱藏自己���;再踩點(diǎn)或預(yù)攻擊探測(cè)��,檢測(cè)目標(biāo)機(jī)器的各種
屬性和具備的被攻擊條件,然后采取相應(yīng)的攻擊行為����,達(dá)到自己的目的,最后攻擊者會(huì)清除痕跡刪除自己的行為日志����。
Ping掃描:ping是一個(gè)DOS命令,它的用途是檢測(cè)網(wǎng)絡(luò)的連通狀況和分析網(wǎng)絡(luò)速度��。
端口掃描:端口掃描時(shí)一種用來(lái)查找網(wǎng)絡(luò)主機(jī)開(kāi)放端口的方法�,正確的使用端口掃描�����,能夠起到防止端口攻擊的作用����。
操作系統(tǒng)識(shí)別掃描:黑客入侵過(guò)程的關(guān)鍵環(huán)節(jié)是操作系統(tǒng)的識(shí)別與掃描�����。
漏洞掃描:主要是查找操作系統(tǒng)或網(wǎng)絡(luò)當(dāng)中存在什么樣的漏洞�,并給出詳細(xì)漏洞報(bào)告,引導(dǎo)用戶(hù)到相關(guān)站點(diǎn)下載最新系統(tǒng)漏洞補(bǔ)貼程序�����,確保系統(tǒng)永遠(yuǎn)處在最安全的狀態(tài)下�����,以減少被攻擊的可能性��。1.欺騙攻擊的類(lèi)型:IP�、ARP、DNS�、源路由�����、URL2.拒絕服務(wù)攻擊:攻擊者想辦法讓目標(biāo)主機(jī)停止提供服務(wù)或資源訪問(wèn)����,它是黑客常用的攻
擊手段之一�����。
3.拒絕服務(wù)攻擊的原理:SYN洪流攻擊�����,IP欺騙拒絕服務(wù)攻擊����,UDP洪流攻擊�����,ping洪
流攻擊�,淚滴攻擊,Land攻擊����,Smurf攻擊���,F(xiàn)raggle攻擊。
4.數(shù)據(jù)庫(kù)攻擊:危害最大的屬于SQL注入式攻擊��。源于英文:SQLInjectionAttack,就其
本質(zhì)而言���,SQL注入式攻擊利用的工具是SQL的語(yǔ)法�,針對(duì)的是應(yīng)用程序開(kāi)發(fā)者編程過(guò)程中的漏洞����。當(dāng)攻擊者能夠操作數(shù)據(jù),往應(yīng)用程序中插入一些SQL語(yǔ)句時(shí)�����,SQL注入式攻擊就發(fā)生了�����。
5.木馬攻擊:特洛伊木馬本質(zhì)上只是一種遠(yuǎn)程管理工具�,而且本身不帶傷害性,也沒(méi)有感
染力�����,所以原則上不能成為病毒。特洛伊木馬之所以被視為病毒是因?yàn)槿绻腥瞬徽?dāng)?shù)氖褂���,其破壞力可以比病毒更?qiáng)��。木馬是一種基于遠(yuǎn)程控制的黑客工具�,具有隱蔽性和非授權(quán)性的特點(diǎn)�������!氨印钡拈_(kāi)放端口是7626.
6.入侵檢測(cè)系統(tǒng)模型分為3個(gè)模塊:信息收集模塊�����、信息分析模塊�����、報(bào)警與相應(yīng)模塊7.入侵檢測(cè)利用的信息來(lái)源:系統(tǒng)和網(wǎng)絡(luò)日志文件����;目錄和文件中不期望的改變;程序執(zhí)
行中的不期望行為�����;物理形式的入侵���。
8.信息分析的四種方法:模式匹配����;統(tǒng)計(jì)分析����;完整性分析;數(shù)據(jù)流分析����。
9.蜜罐技術(shù):蜜罐是一個(gè)安全程序,設(shè)計(jì)用來(lái)觀測(cè)入侵者如何探測(cè)并最終入侵系統(tǒng)���,其中
包含一些并不威脅公司機(jī)密的數(shù)據(jù)或應(yīng)用程序���,同時(shí)對(duì)于入侵者來(lái)說(shuō)又具有很大誘惑力,它安裝在網(wǎng)絡(luò)上的一臺(tái)專(zhuān)用的計(jì)算機(jī)上,同時(shí)通過(guò)一些特殊配置����,使該計(jì)算機(jī)看起來(lái)像是一個(gè)“有價(jià)值”的目標(biāo),以引誘潛在的入侵者并捕獲他們���。
10.蜜網(wǎng)技術(shù):蜜網(wǎng)是一種專(zhuān)門(mén)設(shè)計(jì)用來(lái)讓人攻擊的網(wǎng)絡(luò)�����,一旦被入侵者所攻破���,入侵者的
一切信息、工具等都將被用來(lái)分析和學(xué)習(xí)�����,其想法和蜜罐相似�����,但兩者之間還是有些不同���。
11.誤用入侵檢測(cè)的思想是:如果所有的入侵行為和手段(及其變種)都能夠表達(dá)為一種模
式或特征�,那么所有已知的入侵方法就可以用匹配的方法來(lái)發(fā)現(xiàn)�。其難點(diǎn)在于如何設(shè)計(jì)模式,使其既表達(dá)入侵又不會(huì)將正常的活動(dòng)包含起來(lái)�����。
12.誤用入侵檢測(cè)系統(tǒng)的類(lèi)型:專(zhuān)家系統(tǒng)��,模型推理系統(tǒng)�,模式匹配系統(tǒng),狀態(tài)轉(zhuǎn)換分析系
統(tǒng)���。
13.異常入侵檢測(cè):是與誤用入侵檢測(cè)技術(shù)相對(duì)應(yīng)的另一種入侵檢測(cè)技術(shù)������;诋惓H肭謾z
測(cè)技術(shù)的入侵檢測(cè)系統(tǒng)首先總結(jié)正常操作應(yīng)該具有的特征�,如CPU利用率、緩存剩余空間��、用戶(hù)使用計(jì)算機(jī)的習(xí)慣等��,在后續(xù)的檢測(cè)過(guò)程中對(duì)操作進(jìn)行監(jiān)視�,一旦發(fā)現(xiàn)偏離正常統(tǒng)計(jì)學(xué)意義上的操作模式����,進(jìn)行報(bào)警����。
14.典型的3種威脅模型:外部入侵、內(nèi)部滲透�、不當(dāng)行為
15.異常入侵檢測(cè)方法:統(tǒng)計(jì)分析、模式預(yù)測(cè)���、數(shù)據(jù)挖掘��、神經(jīng)網(wǎng)絡(luò)�、免疫系統(tǒng)�、特征選擇、
貝葉斯推理����、貝葉斯網(wǎng)絡(luò)、貝葉斯聚類(lèi)等9種方法��。16.當(dāng)前模式匹配問(wèn)題屬于串處理(stringprocessing)和模式組合匹配(combinatorialpattern
matching)
精確模式串匹配算法檢測(cè)符號(hào)序列的方式主要分為3種模式:前綴模式�����、后綴模式、結(jié)合模式�。
前綴匹配模式KMP(Knuth-Morris-Pratt)。后綴模式主要算法:?jiǎn)未ヅ涞腂oyer-Moore算法和多串匹配的Commentz-Walter算法�����、Wu-Manber算法���。結(jié)合模式:BDM(BackwardDAWGMatching)、BOM(BachwardOracleMatching)�����、SBDM(SetBackwardDAWGMatching)����、SBOM(SetBackwardOracleMatching)1.近似模式串匹配算法求解的四種途徑:動(dòng)態(tài)規(guī)劃法、基于自動(dòng)機(jī)的方法�����、位并行方法���、
過(guò)濾篩選法���。
2.注意:從理論上講�,復(fù)雜度低的算法的實(shí)現(xiàn)性能可能會(huì)低于復(fù)雜度高的算法����。
3.串匹配算法的四種改進(jìn)方法:基于自動(dòng)機(jī)算法的改進(jìn)、基于跳躍算法的改進(jìn)����、基于數(shù)值
型算法的改進(jìn)、基于編碼算法的改進(jìn)���。
4.基于主機(jī)的入侵檢測(cè)系統(tǒng)如何檢測(cè)入侵���?通過(guò)監(jiān)視和分析主機(jī)的審計(jì)日志檢測(cè)入侵,
審計(jì)和日志功能對(duì)于系統(tǒng)來(lái)說(shuō)是非常重要的��,可以把感興趣的造作都記錄下來(lái)����,供分析和檢查。日志是使系統(tǒng)順利運(yùn)行的重要保障���。標(biāo)準(zhǔn)的日志功能不能自動(dòng)過(guò)濾和檢查日志記錄�����,并提供系統(tǒng)管理員所需要的信息�����。
5.WindowsNT的日志文件分為3類(lèi):系統(tǒng)日志�����、應(yīng)用程序日志�����、安全日志���。
6.在WindowsXP操作系統(tǒng)里有Ineternet連接防火墻(ICF),它的日志文件分
為2類(lèi):ICF審核通過(guò)的IP數(shù)據(jù)包�����,ICF拋棄的IP數(shù)據(jù)包�。
7.WindowsXP日志文件存放在C:/WINDOWS目錄下,均以.log為文件的擴(kuò)展名����,
其中最重要的一個(gè)文件名就是pfirewall.log.8.UNIT采用Syslog工具實(shí)現(xiàn)日志功能���。
9.入侵特征預(yù)處理:系統(tǒng)收集到的原始數(shù)據(jù)非常龐大,包含許多無(wú)用的信息�,
格式也各不相同,無(wú)法直接輸入入侵檢測(cè)系統(tǒng)���������?梢圆捎萌鏟erl腳本等格式化原始數(shù)據(jù),并進(jìn)一步將其歸一化為服從均值為0���、標(biāo)準(zhǔn)差為1的實(shí)數(shù)�����,形成一個(gè)18維的樣本矢量��,作為入侵檢測(cè)的輸入���。根據(jù)目的不同�����,這些樣本數(shù)據(jù)可分為訓(xùn)練樣本����、校驗(yàn)樣本�、測(cè)試樣本3種,其中訓(xùn)練樣本和校驗(yàn)樣本是用于確定最佳模式分類(lèi)器��,測(cè)試樣本是在工作狀態(tài)下的待檢測(cè)數(shù)據(jù)���。10.基于主機(jī)的入侵系統(tǒng)的優(yōu)點(diǎn):基于主機(jī)的入侵系統(tǒng)對(duì)分析“可能性的攻擊行
為”非常有用;誤報(bào)率通常低于基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)�����,這是因?yàn)闄z測(cè)在主機(jī)上運(yùn)行的命令序列比檢測(cè)網(wǎng)絡(luò)數(shù)據(jù)流更簡(jiǎn)單�����,系統(tǒng)的復(fù)雜性也降低的多��;可部署在那些不需要廣泛的入侵檢測(cè)�、傳感器和控制臺(tái)之間的通信寬帶不足的場(chǎng)合��。
11.基于主機(jī)的入侵系統(tǒng)的缺點(diǎn):①需要安裝在被保護(hù)的主機(jī)上②它依賴(lài)于服務(wù)
器固定有的日志與監(jiān)控能力③全面部署代價(jià)比較高④只監(jiān)控本主機(jī)����,根本不監(jiān)控網(wǎng)絡(luò)上的情況�。
12.基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)(NIDS):也稱(chēng)硬件入侵檢測(cè)系統(tǒng),放置在比較重
要的網(wǎng)絡(luò)段����,不停地監(jiān)視網(wǎng)絡(luò)段中的各種數(shù)據(jù)包,對(duì)每一個(gè)數(shù)據(jù)包或可疑的數(shù)據(jù)包進(jìn)行特征分析����。基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)是指監(jiān)測(cè)整個(gè)網(wǎng)絡(luò)流量的系統(tǒng)���。
13.網(wǎng)卡的兩種最常用的用途:1�����、普通模式:受數(shù)據(jù)包里面的MAC地址決定����,
數(shù)據(jù)被發(fā)送到目的主機(jī)2、混雜模式:所有可以被檢測(cè)到的信息均被主機(jī)接收����。
14.WinPcap是BPF模型LibPcap函數(shù)庫(kù)在Windows平臺(tái)下包捕獲和網(wǎng)絡(luò)狀態(tài)分
析的一種體系結(jié)構(gòu),這個(gè)體系結(jié)構(gòu)是由一個(gè)核心的包過(guò)濾器�����、一個(gè)底層的動(dòng)態(tài)鏈接庫(kù)(Packet.dll)和一個(gè)高層的獨(dú)立于系統(tǒng)的函數(shù)庫(kù)(LibPcap)組成�。15.網(wǎng)卡的4種工作模式:廣播模式、多播傳送�、直接模式、混雜模式���。16.基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的優(yōu)點(diǎn):成本低����、檢測(cè)基于主機(jī)的系統(tǒng)漏掉的攻擊����、
攻擊者不易轉(zhuǎn)移數(shù)據(jù)�����、實(shí)時(shí)監(jiān)測(cè)和響應(yīng)、檢測(cè)未成功的攻擊和不良意圖��、操作系統(tǒng)無(wú)關(guān)性�。
17.基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的缺點(diǎn):①只檢測(cè)它直接連接的網(wǎng)絡(luò)短段得通信,不能檢測(cè)其他網(wǎng)絡(luò)段得包②為了性能目標(biāo)通常采用特征檢測(cè)方法���,可以檢測(cè)出普通的一些攻擊���,很難實(shí)現(xiàn)一些復(fù)雜的需要大量計(jì)算和分析時(shí)間的攻擊檢測(cè)③可能會(huì)將大量的數(shù)據(jù)傳回分析系統(tǒng)中④處理加密的會(huì)話(huà)過(guò)程比較困難。
18.為了提高系統(tǒng)對(duì)新型變種攻擊的適應(yīng)性���,用反向傳播(BackPropagation,BP)
人工神經(jīng)網(wǎng)絡(luò)技術(shù)構(gòu)造異常入侵分析器��。
19.對(duì)BP神經(jīng)網(wǎng)絡(luò)實(shí)現(xiàn)分類(lèi)模型時(shí)要考慮的問(wèn)題:中間層(隱含層)數(shù)的選取���、
輸入層和輸出層維數(shù)、隱含層神經(jīng)元數(shù)�����、權(quán)重初始化�����、訓(xùn)練樣本的選取20.比較常用的數(shù)據(jù)挖掘算法:分類(lèi)算法、關(guān)聯(lián)規(guī)則挖掘算法�����、序列模式挖掘算
法���。
21.協(xié)議分析是新一代入侵檢測(cè)系統(tǒng)探測(cè)攻擊手法的主要技術(shù)�,他利用網(wǎng)絡(luò)協(xié)議
的高度規(guī)則性快速探測(cè)攻擊的存在����,它的優(yōu)勢(shì)在于完整的協(xié)議分析使誤報(bào)率降低,從而提高系統(tǒng)的性能����。
22.基于協(xié)議分析的入侵檢測(cè)的方法將高速包捕獲、協(xié)議分析和命令解析結(jié)合起
來(lái)進(jìn)行入侵檢測(cè)����,是一種新的入侵檢測(cè)技術(shù),它彌補(bǔ)了模式匹配技術(shù)的不足����。23.基于入侵容忍的入侵檢測(cè):入侵容忍是容錯(cuò)方法在安全中的應(yīng)用���,這種方法
假設(shè)系統(tǒng)的弱點(diǎn)不能被完全消除�,并且,外部攻擊者或內(nèi)部惡意的攻擊者將識(shí)別和利用這種弱點(diǎn)獲得對(duì)系統(tǒng)的違法訪問(wèn)��。入侵容忍的目標(biāo)是:在系統(tǒng)有些部分被入侵���、性能下降的情況下還可以維持系統(tǒng)的正常服務(wù)����。24.現(xiàn)在的入侵檢測(cè)系統(tǒng)大多數(shù)都采用單一體系結(jié)構(gòu)�,它的缺點(diǎn):可擴(kuò)展性較差、
單點(diǎn)失效���、系統(tǒng)缺乏靈活性和可配置性����。
25.分布式入侵檢測(cè)系統(tǒng)的特征:分布式部署���、分布分析�、安全產(chǎn)品的聯(lián)動(dòng)�、系
統(tǒng)管理平臺(tái)、可伸縮性和擴(kuò)展性�。
26.完整的入侵檢測(cè)系統(tǒng)包含的10個(gè)模塊:數(shù)據(jù)探測(cè)模塊����、主體模塊�、分析模
塊、關(guān)聯(lián)與融合模塊����、控制模塊、決策模塊��、協(xié)調(diào)與互動(dòng)模塊���、安全響應(yīng)模塊�����、數(shù)據(jù)庫(kù)模塊�����、人機(jī)界面����。
27.分布式入侵檢測(cè)體系的優(yōu)點(diǎn):節(jié)點(diǎn)之間的相對(duì)獨(dú)立性�����、強(qiáng)調(diào)了安全部件的聯(lián)
動(dòng)��、可以實(shí)現(xiàn)全局預(yù)警��、體系結(jié)構(gòu)的靈活性和可擴(kuò)展性����。
28.推動(dòng)基于主體系統(tǒng)的開(kāi)放,主體技術(shù)必須解決的關(guān)鍵問(wèn)題:主體間的通信�����、
主體內(nèi)部構(gòu)造����、主體生命周期管理、主體的移動(dòng)�、主體的代理功能、主體的安全�����、身份和相關(guān)策略�、系統(tǒng)的軟件開(kāi)發(fā)方法�。
29.入侵檢測(cè)系統(tǒng)主體分為三類(lèi):中心主體��;分析主體�;主機(jī)主體和網(wǎng)絡(luò)主體。30.知識(shí)查詢(xún)和操縱語(yǔ)言(KQML)的三大屬性:KQML獨(dú)立于網(wǎng)絡(luò)傳輸協(xié)議(如:
TCP�����、STMP)����;KQML獨(dú)立于內(nèi)容語(yǔ)言(如:SQL、OWL����、PROLOG、)���;KQLM獨(dú)立于內(nèi)容實(shí)體��。
31.美國(guó)國(guó)防高級(jí)研究計(jì)劃署(DARPA)提出的建議草案是:公共入侵檢測(cè)框架
(CIDF)����,最早由加州大學(xué)戴維斯分校安全試驗(yàn)室主持起草工作。
32.IDWG(入侵檢測(cè)工作組)提出的草案包括3個(gè)部分:入侵檢測(cè)消息交換格
式(IDMEF)���、入侵檢測(cè)交換協(xié)議(IDXP)��、隧道輪廓(tunnelprofile)�。
33.入侵檢測(cè)系統(tǒng)分維個(gè)基本組件:事件產(chǎn)生器�����、事件分析器����、響應(yīng)單元����、事件
數(shù)據(jù)庫(kù)。
34.公共入侵檢測(cè)框(CIDF)的通信機(jī)制主要涉及消息的封裝和傳遞��,共4個(gè)方
面:配對(duì)服務(wù)��、路由�����、消息層、消息層處理����。
35.入侵檢測(cè)系統(tǒng)的性能指標(biāo)簡(jiǎn)介:數(shù)據(jù)流量、每秒抓包數(shù)���、每秒能監(jiān)控的網(wǎng)絡(luò)連接數(shù)��、每秒能夠處理的事件數(shù)�����。
36.入侵檢測(cè)系統(tǒng)的測(cè)試步驟:創(chuàng)建或選擇一些測(cè)試工具或測(cè)試腳本��;確定計(jì)算
機(jī)環(huán)境所要求的條件�,比如背景計(jì)算機(jī)活動(dòng)的級(jí)別���;配置運(yùn)行入侵檢測(cè)系統(tǒng)�����;運(yùn)行測(cè)試工具或測(cè)試腳本���;分析入侵檢測(cè)系統(tǒng)的檢測(cè)結(jié)果。37.DIDS(DistributedInterusionDectionSystem)由美國(guó)加州大學(xué)Davis分校提出,
初衷是:將基于主機(jī)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)結(jié)合起來(lái)��,用來(lái)追蹤使用者在網(wǎng)絡(luò)中的移動(dòng)和行為��。DIDS采用“分布采集�����、集中處理”的策略�����。
38.CSM(CooperatingSecurityManagers)由美國(guó)TexasA&M大學(xué)提出����,設(shè)計(jì)初
衷:克服DIDS集中分析的缺點(diǎn)�����,采用對(duì)等(PeertoPeer)機(jī)制來(lái)組織系統(tǒng)���。39.AAFI(AutonomousAgentsforIntrusionDetection)由普渡大學(xué)設(shè)計(jì)的一種分布
式入侵檢測(cè)系統(tǒng)�����,首次在入侵檢測(cè)中提出來(lái)自治代理的概念�。
40.NetSTAT入侵檢測(cè)系統(tǒng)是由美國(guó)加州大學(xué)圣塔芭芭拉分校(UCSB)的可靠軟
件小組研究、開(kāi)發(fā)的��,該系統(tǒng)將STAT轉(zhuǎn)臺(tái)轉(zhuǎn)移技術(shù)擴(kuò)展應(yīng)用到網(wǎng)絡(luò)環(huán)境中�����。41.MAIDS(MobileAgentsIntrusionDetectionSystem)由美國(guó)Iowa州大學(xué)提出���,它
提出來(lái)一整套的理論和實(shí)現(xiàn)技術(shù)�,將“需求工程”(RequirementEngineering)和代理系統(tǒng)結(jié)構(gòu)結(jié)合起來(lái)����。
42.入侵檢測(cè)系統(tǒng)產(chǎn)品的特征:市場(chǎng)持續(xù)增長(zhǎng)、一線(xiàn)廠商穩(wěn)定發(fā)展�、二線(xiàn)廠商競(jìng)
爭(zhēng)激烈、外國(guó)廠商表現(xiàn)平平���、格局預(yù)測(cè)��。
43.入侵檢測(cè)系統(tǒng)產(chǎn)品的易用性包括5個(gè)方面:界面易用����、幫助易用、策略容易
編輯��、日志報(bào)告靈活�����、報(bào)警事件優(yōu)化技術(shù)��。
44.Snort是由MartinRoesch等人開(kāi)發(fā)的���,它具有實(shí)時(shí)數(shù)據(jù)流量分析和記錄IP
網(wǎng)絡(luò)數(shù)據(jù)包的能力���,能夠進(jìn)行協(xié)議分析,對(duì)內(nèi)容進(jìn)行搜索/匹配�����。
45.Snort的3種工作模式:嗅探器���、包記錄器和網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。在嗅探模
式下����,Snort僅是從網(wǎng)絡(luò)上讀取包����,并作為連續(xù)不斷的流顯示在終端上����。在包記錄器模式下,Snort把包記錄到硬盤(pán)上�����。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)模式是最復(fù)雜的�,而且是可配置的;可以讓Snort分析網(wǎng)絡(luò)數(shù)據(jù)流以匹配用戶(hù)定義的一些規(guī)則���,并根據(jù)檢測(cè)結(jié)果采取一定的動(dòng)作���。
46.Snort入侵檢測(cè)系統(tǒng)概述:Snort可以是一個(gè)基于libpcap的輕量級(jí)網(wǎng)絡(luò)入侵
檢測(cè)系統(tǒng);Snort采用一種易于擴(kuò)展的模塊化體系結(jié)構(gòu)��;Snort是一個(gè)自由��、簡(jiǎn)潔�、快速、易于擴(kuò)展的入侵檢測(cè)系統(tǒng)��。
47.Snort的各個(gè)組成部分:解碼器、檢測(cè)引擎����、日志/報(bào)警系統(tǒng)。
48.現(xiàn)有入侵檢測(cè)技術(shù)的局限性:誤報(bào)和漏報(bào)的矛盾��、隱私和安全的矛盾����、被動(dòng)
分析與主動(dòng)分析的矛盾、海量信息與分析代價(jià)的矛盾���、功能性和可管理性的矛盾�����、單一產(chǎn)品與復(fù)雜的網(wǎng)絡(luò)應(yīng)用的矛盾�。
49.入侵技術(shù)的發(fā)展與演化主要表現(xiàn)的方面:入侵或攻擊的綜合化與復(fù)雜化�;入
侵主機(jī)的間接化���;入侵或攻擊的規(guī)模擴(kuò)大�����;入侵或攻擊技術(shù)的分布化�;攻擊對(duì)象的轉(zhuǎn)移。
50.網(wǎng)絡(luò)入侵技術(shù)的發(fā)展經(jīng)歷的3個(gè)階段:入侵檢測(cè)系統(tǒng)(IDS)�����;入侵防御系統(tǒng)
(IPS)����;入侵管理系統(tǒng)(IMS)。
51.為了避免Apacap監(jiān)聽(tīng)端口與web服務(wù)器默認(rèn)的端口發(fā)生沖突�����,必須更改監(jiān)聽(tīng)端口��。方
法是:打開(kāi)配置文件C:\\Apache2\\conf\\heepd.conf�����,將其中監(jiān)聽(tīng)端口8080更改為不常用的端口50080�。
友情提示:本文中關(guān)于《入侵檢測(cè)技術(shù)總結(jié)》給出的范例僅供您參考拓展思維使用,入侵檢測(cè)技術(shù)總結(jié):該篇文章建議您自主創(chuàng)作��。
來(lái)源:網(wǎng)絡(luò)整理 免責(zé)聲明:本文僅限學(xué)習(xí)分享���,如產(chǎn)生版權(quán)問(wèn)題�����,請(qǐng)聯(lián)系我們及時(shí)刪除�。
《
入侵檢測(cè)技術(shù)總結(jié)》由互聯(lián)網(wǎng)用戶(hù)整理提供,轉(zhuǎn)載分享請(qǐng)保留原作者信息,謝謝!
鏈接地址:http://m.seogis.com/gongwen/713320.html
