入侵检测技术的基础（1）

1. IDS(入侵检测系统)存在与发展的必然性

　　(1)网络安全本身的复杂性，被动式的防御方式显得力不从心。

　　(2)有关防火墙：网络边界的设备;自身可以被攻破;对某些攻击保护很弱;并非所有威胁均来自防火墙外部。

　　(3)入侵很容易：入侵教程随处可见;各种工具唾手可得

　　2. 入侵检测(Intrusion Detection)

　　●定义：通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。

　　●起源：

　　(1)1980年，James P. Anderson的《计算机安全威胁监控与监视》(《Computer Security Threat Monitoring and Surveillance》)

　　第一次详细阐述了入侵检测的概念;提出计算机系统威胁分类;提出了利用审计跟踪数据监视入侵活动的思想;此报告被公认为是入侵检测的开山之作。

　　(2)1984年到1986年，乔治敦大学的Dorothy Denning和 SRI/CSL的Peter Neumann研究出了一个实时入侵检测系统模型--IDES(入侵检测专家系统)

　　(3)1990年，加州大学戴维斯分校的L. T. Heberlein等人开发出了NSM(Network Security Monitor)

　　-该系统第一次直接将网络流作为审计数据来源，因而可以在不将审计数据转换成统一格式的情况下监控异种主机

　　-入侵检测系统发展史翻开了新的一页，两大阵营正式形成：基于网络的IDS和基于主机的IDS

　　(4)1988年之后，美国开展对分布式入侵检测系统(DIDS)的研究，将基于主机和基于网络的检测方法集成到一起。DIDS是分布式入侵检测系统历史上的一个里程碑式的产品。

　　(5)从20世纪90年代到现在，入侵检测系统的研发呈现出百家争鸣的繁荣局面，并在智能化和分布式两个方向取得了长足的进展。

　　3. IDS基本结构

　　●事件产生器：负责原始数据采集，并将收集到的原始数据转换为事件，向系统的其他部分提供此事件。

　　收集的信息包括：系统或网络的日志文件;网络流量;系统目录和文件的异常变化;程序执行中的异常行为。

　　注意：入侵检测很大程度上依赖于收集信息的可靠性和正确性。

　　●事件分析器：接收事件信息，对其进行分析，判断是否为入侵行为或异常现象，最后将判断的结果转变为告警信息。分析方法有如下三种(重点掌握)：

　　(1)模式匹配：将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为

　　(2)统计分析：首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述，统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等);测量属性的平均值和偏差将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生。

　　(3)完整性分析(往往用于事后分析)：主要关注某个文件或对象是否被更改。

　　●事件数据库：存放各种中间和最终数据的地方。

　　●响应单元：根据告警信息做出反应。(强烈反应：切断连接、改变文件属性等;简单的报警)

　　4. 入侵检测性能关键参数

　　(1)误报(false positive)：实际无害的事件却被IDS检测为攻击事件。

　　(2)漏报(false negative)：一个攻击事件未被IDS检测到或被分析人员认为是无害的。

　　5. 入侵检测的分类

　　(1)按照分析方法/检测原理分类

　　●异常检测(Anomaly Detection)：基于统计分析原理。首先总结正常操作应该具有的特征(用户轮廓)，试图用定量的方式加以描述，当用户活动与正常行为有重大偏离时即被认为是入侵。

　　前提：入侵是异常活动的子集。指标：漏报率低，误报率高。

　　用户轮廓(Profile)：通常定义为各种行为参数及其阀值的集合，用于描述正常行为范围。

　　特点：异常检测系统的效率取决于用户轮廓的完备性和监控的频率;不需要对每种入侵行为进行定义，因此能有效检测未知的入侵;系统能针对用户行为的改变进行自我调整和优化，但随着检测模型的逐步精确，异常检测会消耗更多的系统资源

　　●误用检测(Misuse Detection)：基于模式匹配原理。收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。

　　前提：所有的入侵行为都有可被检测到的特征。指标：误报低、漏报高。

　　攻击特征库：当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。

　　特点：采用模式匹配，误用模式能明显降低误报率，但漏报率随之增加。攻击特征的细微变化，会使得误用检测无能为力。

　　(2)按照数据来源分类

　　●基于主机(HIDS)：系统获取数据的依据是系统运行所在的主机，保护的目标也是系统运行所在的主机。

　　视野集中;易于用户自定义;保护更加周密;对网络流量不敏感;

　　●基于网络(NIDS)：系统获取的数据是网络传输的数据包，保护的是网络的正常运行。

　　侦测速度快;隐蔽性好;视野更宽;较少的监测器;占资源少

　　●混合型

　　(3)按照体系结构：集中式;分布式

　　(4)按照工作方式：离线检测;在线检测

　　6. 基本术语

　　●Alert(警报)：当一个入侵正在发生或者试图发生时，IDS将发布一个alert信息通知系统管理员

　　●Signatures(特征)：攻击特征是IDS的核心，它使IDS在事件发生时触发。

　　特征信息过短会经常触发IDS，导致误报或错报;过长则会影响IDS的工作速度。

　　●Promiscuous(混杂模式)：如果网络接口是混杂模式，就可以“看到”网段中所有的网络通信量，不管其来源或目的地。这对于网络IDS是必要的

　　入侵检测技术(异常检测技术;误用/滥用检测技术;入侵诱骗技术;入侵响应技术)

　　7. 异常检测技术

　　●概率统计异常检测

　　原理：每一个轮廓保存记录主体当前行为，并定时将当前轮廓与历史轮廓合并形成统计轮廓(更新)，通过比较当前轮廓与统计轮廓来判定异常行为。

　　优点：可应用成熟的概率统计理论

　　缺点：①由于用户行为的复杂性，要想准确地匹配一个用户的历史行为非常困难，容易造成系统误报和漏报;

　　②定义入侵阈值比较困难，阈值高则误报率提高，阈值低则漏报率增高。