入侵检测技术的基础（2）

●神经网络异常检测

　　原理：对下一事件的预测错误率在一定程度上反映了用户行为的异常程度。

　　优点：①更好地表达了变量间的非线性关系，能更好地处理原始数据的随机特征，即不需要对这些数据做任何统计假设，并且能自动学习和更新;②有较好的抗干扰能力

　　缺点：网络拓扑结构以及各元素的权重很难确定

　　8. 误用/滥用检测技术(专家系统滥用检测方法、状态转换分析滥用检测方法的原理和优缺点)

　　●专家系统滥用检测

　　原理：通过将安全专家的知识表示成If-Then结构的规则(if部分：构成入侵所要求的条件;then部分：发现入侵后采取的相应措施)形成专家知识库，然后运用推理算法检测入侵。

　　注意：需要解决的主要问题是处理序列数据和知识库的维护(只能检测已知弱点)

　　●状态转换分析滥用检测

　　原理：将入侵过程看作一个行为序列，该行为序列导致系统从初始状态转入被入侵状态。分析时，需要针对每一种入侵方法确定系统的初始状态和被入侵状态，以及导致状态转换的转换条件(导致系统进入被入侵状态必须执行的操作/特征事件);然后用状态转换图来表示每一个状态和特征事件。

　　缺点：不善于分析过分复杂的事件，也不能检测与系统状态无关的入侵

　　9. 入侵诱骗技术的定义、特点、设计目标;蜜罐技术

　　●定义：用特有的特征吸引攻击者，同时对攻击者的各种攻击行为进行分析，并进而找到有效的对付方法。

　　●特点：试图将攻击者从关键系统引诱开。是一种主动防御技术。

　　●设计目的：从现存的各种威胁中提取有用的信息，以发现新型的攻击工具、确定攻击的模式并研究攻击者的攻击动机。

　　●蜜罐技术(Honeypot)：是一种被侦听、被攻击或已经被入侵的资源。注意：Honeypot并非一种安全解决方案，它只是一种工具，而且只有Honeypot受到攻击，它的作用才能发挥出来。

　　10. 入侵响应技术(主动响应和被动响应的形式、手段)

　　●主动响应：入侵检测系统在检测到入侵后能够阻断攻击、影响进而改变攻击的进程。

　　形式：由用户驱动;系统本身自动执行

　　基本手段：①对入侵者采取反击行动(严厉方式;温和方式;介于严厉和温和之间的方式) ②修正系统环境 ③收集额外信息

　　●被动响应：入侵检测系统仅仅简单地报告和记录所检测出的问题。

　　形式：只向用户提供信息而依靠用户去采取下一步行动的响应。

　　基本手段：①告警和通知 ②SNMP(简单网络管理协议)，结合网络管理工具使用。

　　11. 入侵检测体系结构(主机入侵检测、网络入侵检测和分布式入侵检测的特点、优缺点)

　　●主机入侵检测(HIDS)

　　特点：对针对主机或服务器系统的入侵行为进行检测和响应。

　　主要优点：性价比高;更加细腻;误报率较低;适用于加密和交换的环境;对网络流量不敏感;确定攻击是否成功。

　　局限性：①它依赖于主机固有的日志与监视能力，而主机审计信息存在弱点：易受攻击，入侵者可设法逃避审计;

　　②IDS的运行或多或少影响主机的性能;

　　③HIDS只能对主机的特定用户、应用程序执行动作和日志进行检测，所能检测到的攻击类型受到限制;

　　④全面部署HIDS代价较大。

　　●网络入侵检测(NIDS)

　　项目 HIDS NIDS

　　误报 少 一定量

　　漏报 与技术水平相关 与数据处理能力有关(不可避免)

　　系统部署与维护 与网络拓扑无关 与网络拓扑相关

　　检测规则 少量 大量

　　检测特征 事件与信号分析 特征代码分析

　　安全策略 基本安全策略(点策略) 运行安全策略(线策略)

　　安全局限 到达主机的所有事件 传输中的非加密、非保密信息

　　安全隐患 违规事件 攻击方法或手段

　　特点：利用工作在混杂模式下的网卡来实时监听整个网段上的通信业务。

　　主要优点：隐蔽性好;实时检测和响应;攻击者不易转移证据;不影响业务系统;能够检测未成功的攻击企图.

　　局限性：①只检测直接连接网段的通信，不能检测在不同网段的网络包;

　　②交换以太网环境中会出现检测范围局限;

　　③很难实现一些复杂的、需要大量计算与分析时间的攻击检测;

　　④处理加密的会话过程比较困难

　　●分布式入侵检测(DIDS)

　　一般由多个协同工作的部件组成，分布在网络的各个部分，完成相应的功能，分别进行数据采集、数据分析等。通过中心的控制部件进行数据汇总、分析、对入侵行为进行响应。