回顾智能信息安全Intelligent Information Security孙松林北京邮电大学Email:slsun@bupt.edu.cn网络安全技术1.网络安全概述网络安全标准基本表现隐患根源2.网络安全性分析协议的安全性网络应用的威胁3.网络技术安全性的措施入侵检测防火墙VPN1.网络安全概述----网络安全标准美国桔皮书TCSEC(可信计算机系统评估准则)计算机系统安全评估的第一个正式标准,于国防科学委员会提出,并于1985年12月由美国国防部公布。1970年由美国将网络安全分为4个方面:安全可说明性安全保障文档在美国国防部虹系列面分为(Rainbow Series)标准中将以上B2、B37和个安全级别,从低到高依次为A级:D、C1、C2、4B1个方、A级:绝对可信网络安全B级:完全可信网络安全(B1、B2、B3)C级:可信网络安全(C1、C2)D级:不可信网络安全密码学--古典密码& 现代密码对称密钥非对称密钥R L Rivest, A Shamir, L Adleman, \"On Digital Signatures and Public Key Cryptosystems\Communications of the ACM, vol 21 no 2, pp120-126, Feb 1978数字签名1.网络安全概述----网络安全标准常见的信息安全标准演进规律:COMSEC计算安全-> INFOSEC信息安全—> IA信息保障1.网络安全概述----网络安全标准加拿大CTCPEC(加拿大可信计算机产品评估准则)1990年公布将安全需求分为4个层次机密性完整性可靠性可说明性对产品和评估过程强调功能和保证。分为7个保证级,通常称为EAL-1到EAL-7。11.网络安全概述----网络安全标准欧洲ITSEC(信息技术安全性评估准则)1991年公布与TCSEC不同,它并不把保密措施直接与计算机功能相联系,而是只叙述技术安全的要求,把保密作为安全增强功能。TCSEC把保密作为安全的重点,而ITSEC则把完整性、可用性与保密性作为同等重要的因素。ITSEC定义了从E0级(不满足品质)到E6级(形式化验证)的7个安全等级,对于每个系统,安全功能可分别定义。ITSEC预定义了10种功能,其中前5种与桔皮书中的C1-B3级非常相似。1.网络安全概述----网络安全标准信息技术安全评价通用准则(CC,Common Criteria)目前国际通行的最先进的信息安全测评认证标准。由美、英、德、法、荷、加六国的信息安全部门于1993年启动,1996年推出第一版。199915408年。6月CC V2.1版发布,12月成为国际标准ISO/IEC 2001ISO/IEC 15408年由中国信息安全产品测评认证中心牵头,将转化为国家标准——GB/T 18336-2001《信息技术安全性评估准则》,并直接应用于我国的信息安全测评认证工作。1.网络安全概述----网络安全标准CC定义了作为评估信息技术产品和系统安全性的基础准则,提出了目前国际上公认的表述信息技术安全性的结构,即把安全要求分为规范产品和系统安全行为的功能要求以及解决如何正确有效的实施这些功能的保证要求。CC在对安全保护框架和安全目标的一般模型进行介绍以后,分别从安全功能和安全保证两方面对IT安全技术的要求进行了详细描述。1.网络安全概述----网络安全标准美国联邦准则(FC)1993年公布参照了CTCPEC及TCSEC,其目的是提供TCSEC的升级版本,同时保护已有投资,但FC有很多缺陷,是一个过渡标准,后来结合ITSEC发展为联合公共准则CC。1.网络安全概述----网络安全标准CC的最新进展国际通用准则管理机构(CCMB)2005年7月发布了通用准则V3.0(征求意见稿),2006年9月发布了通用准则V3.1的官方正式版本。中国目前暂时还执行CC V2.11.网络安全概述----网络安全标准CC结合了FC及ITSEC的主要特征,强调将安全的功能与保障(安全功能的可信度)分离,并将功能需求分为11类63族,将安全保障分为7类29族。CC将评测对象分为7个安全保证级,分别是:第一级:功能测试级;第二级:结构测试级;第三级:系统测试和检查级;第四级:系统设计、测试和复查级;第五级:半形式化设计和测试级;第六级:半形式化验证的设计和测试级;第七级:形式化验证的设计和测试级。21.网络安全概述----网络安全标准信息安全产品认证包括:其他IT产品安全性认证包括:(1)防火墙(1)操作系统(2)安全扫描器(2)数据库(3)IDS(3)交换机(4)安全审计(4)路由器(5)网络隔离(5)应用软件(6)VPN(6)其他(7)智能卡(8)卡终端(9)安全管理1.网络安全概述----网络安全标准人,借助技术的支持,实施一系列的操作过程,最终实现信息保障目标,这就是IATF最核心的理念之一。1.网络安全概述----网络安全标准《信息保障技术框架(IATF)》3.0版中将攻击分为以下5类:被动攻击。主动攻击。物理临近攻击。内部人员攻击。软硬件配装攻击。1.网络安全概述----网络安全标准IATF 是美国(NSA)制定的,为保护美国和工业界的信息与信息技术设施提供技术指南。IATF从整体、过程的角度看待信息安全问题,其代表理论为“深度防护战略(Defense-in-Depth)”。IATF强调人、技术、操作这三个核心原则,关注四个信息安全保障领域:保护网络和基础设施、保护边界、保护计算环境、支撑基础设施。1.网络安全概述----网络安全标准信息保障技术框架(IATF) 要解决的问题怎样定义信息保护需求和解决方案?现有的何种技术能够满足我的保护需求?什么样的机构资源能够帮助找到所需的保护?当前有哪些信息保障产品和服务市场?对IA方法和技术的研究关注点应放在哪里?信息保障的原则是什么?1.网络安全概述----网络安全标准源站目的站源站目的站源站目的站源站目的站截获中断篡改伪造被动攻击主动攻击对网络的被动攻击和主动攻击31.网络安全概述----网络安全标准被动攻击在未经用户同意和认可的情况下将信息或数据文件泄露给系统攻击者,但不对数据信息做任何修改。常见手段:搭线监听;无线截获;其他截获。不易被发现。重点在于预防,如使用虚拟专用网(VPN)、采用加密技术保护网络以及使用加保护的分布式网络等。1.网络安全概述----基本表现位置决定表现1.网络安全概述----隐患根源网络的开放性。组成网络的通信系统和信息系统的自身缺陷。黑客(hacker)及病毒、木马等恶意程序的攻击。1.网络安全概述----网络安全标准主动攻击涉及某些数据流的篡改或虚假流的产生。通常分为:假冒;重放;篡改消息;拒绝服务。能够检测出来。不易有效防止,具体措施包括自动审计、入侵检测和完整性恢复等。1.网络安全概述----基本表现先天不足网络协议的缺陷网络结构的不足趁虚而入恶意攻击管理不当网络安全技术1.网络安全概述网络安全标准基本表现隐患根源2.网络安全性分析协议的安全性网络应用的威胁3.网络技术安全性的措施入侵检测防火墙VPN42.网络安全性分析----协议的安全性TCP/IP协议栈及其安全性IPv4 vs IPv6IPSEC2.网络安全性分析----协议的安全性2.网络安全性分析----协议的安全性传输层安全2.网络安全性分析----协议的安全性TCP/IP协议栈2.网络安全性分析----协议的安全性网络层安全2.网络安全性分析----协议的安全性应用层安全52.网络安全性分析----协议的安全性IPv4报头结构2.网络安全性分析----协议的安全性IPv6报头结构2.网络安全性分析----协议的安全性1994年IAB(Internet Architecture Board)发表一份报告“Internet体系结构中的安全性”(RFC1636)保护网络基础设施,防止非授权用户监控网络流量需要认证和加密机制增强用户-用户通信流量。1997Team)年年报表明CERT(Computer Emergency Response 2500起安全事故影响了150000站点。IAB决定把认证和加密作为下一代IP的必备安全特性(IPv6)幸运的是,IPv4也可以实现这些安全特性。2.网络安全性分析----协议的安全性IPv4缺陷缺乏对通信双方身份真实性的鉴别能力缺乏对传输数据的完整性和机密性保护的机制由于IP地址可软件配置以及基于源IP地址的鉴别机制,IP层存在业务流被监听和捕获、IP地址欺骗、信息泄露和数据项篡改等攻击2.网络安全性分析----协议的安全性maximum65535 octetsminimum20 BYTESIPv4 HeaderData FieldIPv4 PDUmaximum65535 octetsFixed40 BYTES0 or moreIPv6 HeaderExtensionExtensionHeaderHeaderTransport-level PDUIPv6 PDU2.网络安全性分析----协议的安全性IPSec提供对跨越LAN/WAN,Internet的通讯提供安全性分支办公机构通过Internet互连。(Secure VPN)通过Internet的远程访问。与合作伙伴建立extranet与intranet的互连。增强电子商务安全性。IPSec的主要特征是可以支持IP级所有流量的加密和/或认证。因此可以增强所有分布式应用的安全性。62.网络安全性分析----协议的安全性IPSec(IP Security)是IPv6的一个组成部分¾IPSec在网络层上提供安全服务¾弥补IPv4在协议设计时缺乏安全性考虑的不足¾IPSec提供的两种安全机制¾认证——使IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否被篡改¾加密——对数据进行加密来保证数据的机密性IPSec在IPv6中是强制的,在IPv4中是可选的2.网络安全性分析----网络应用的威胁网络威胁技术的表现TCP/IP协议栈各层的相应措施2.网络安全性分析----网络应用的威胁网络的出现改变了病毒的传播方式几何级数式的传播。扩大了危害范围。增强了攻击的破坏力。2.网络安全性分析----协议的安全性¾IPSec使用的模式:¾传输模式¾隧道模式2.网络安全性分析----网络应用的威胁计算机病毒能够利用系统进行自我复制和传播,通过特定事件触发是一种有害程序;传统病毒:引导型、文件型、宏病毒;邮件病毒。程序后门绕开系统的安全检查,直接的程序入口,通常是由程序设计人员为各种目的预留的。特洛伊木马冒充正常程序的有害程序,不能自我复制和传播,当用户试图运行的时候将造成破坏。程序是由程序员采用编程触发的方式触发,造成破坏。蠕虫本身没有强烈的破坏性,但通过自我复制,耗尽系统资源。2.网络安全性分析----网络应用的威胁垃圾邮件网络钓鱼脚本病毒电子邮件蠕虫间谍软件Rootkits宏病毒网络蠕僵尸特洛伊虫计算机病毒文件传威胁技术染者利益驱动的发展时间混合威胁单机计算机网络技术共享网络LAN/WAN的发展共享多服务网络无线网络互联无线网络向移动设?备延伸72.网络安全性分析----网络应用的威胁从协议层次看,常见主要威胁:物理层:窃取、插入、删除等,但需要一定的设备。数据链路层:很容易实现数据监听。网络层:IP欺骗等针对网络层协议的漏洞的攻击。传输层:TCP连接欺骗等针对传输层协议的漏洞的攻击。应用层:存在认证、访问控制、完整性、保密性等所有安全问题。2.网络安全性分析----网络应用的威胁应用层提供安全服务的特点只能在通信两端的主机系统上实施。优点:安全策略和措施通常是基于用户制定的;对用户想要保护的数据具有完整的访问权,因而能很方便地提供一些服务;不必依赖操作系统来提供这些服务;对数据的实际含义有着充分的理解。缺点:效率太低;对现有系统的兼容性太差;改动的程序太多,出现错误的概率大增,为系统带来更多的安全漏洞。2.网络安全性分析----网络应用的威胁网络层提供安全服务的特点在端系统和路由器上都可以实现。优点:主要优点是透明性,能提供主机对主机的安全服务,不要求传输层和应用层做改动,也不必为每个应用设计自己的安全机制;其次是网络层支持以子网为基础的安全,子网可采用物理分段或逻辑分段,因而可很容易实现VPN和内联网,防止对网络资源的非法访问;第三个方面是由于多种传送协议和应用程序可共享由网络层提供的密钥管理架构,密钥协商的开销大大降低。缺点:无法实现针对用户和用户数据语义上的安全控制。2.网络安全性分析----网络应用的威胁各层对应的安全协议和安全技术/产品2.网络安全性分析----网络应用的威胁传输层提供安全服务的特点只能在通信两端的主机系统上实施。优点:与应用层安全相比,在传输层提供安全服务的好处是能为其上的各种应用提供安全服务,提供了更加细化的基于进程对进程的安全服务,这样现有的和未来的应用可以很方便地得到安全服务,而且在传输层的安全服务内容有变化时,只要接口不变,应用程序就不必改动。缺点:由于传输层很难获取关于每个用户的背景数据,实施时通常假定只有一个用户使用系统,所以很难满足针对每个用户的安全需求。2.网络安全性分析----网络应用的威胁数据链路层提供安全服务的特点在链路的两端实现优点:整个分组(包括分组头信息)都被加密,保密性强。缺点:使用范围有限。只有在专用链路上才能很好地工作,中间不能有转接点。8网络安全技术1.网络安全概述网络安全标准基本表现隐患根源2.网络安全性分析协议的安全性网络应用的威胁3.网络技术安全性的措施防火墙入侵检测VPN3.网络技术安全性的措施----防火墙防火墙的定义防火墙是指设置在被保护网络(内连网络和局域网)与公共网络(如Internet)或其他网络之间,并位于被保护网络边界的,对进出被保护网络信息实施“通过/阻断/丢弃”控制的硬件、软件部件或系统。3.网络技术安全性的措施----防火墙防火墙的局限性不能抵御来自内部的攻击者不能抵御不经过防火墙的攻击不能抵御数据驱动的攻击不能防范新的网络安全问题3.网络技术安全性的措施----防火墙防火墙的基本概念定义设计目标功能局限性防火墙的基本结构屏蔽路由器双宿主/多宿主主机体系结构屏蔽主机体系结构屏蔽子网体系结构防火墙的分类包过滤技术代理技术3.网络技术安全性的措施----防火墙防火墙的基本设计目标内之间的所有数据都必须经过防火墙只有符合安全策略的数据流才能通过防火墙防火墙本身应有一定的抗攻击能力防火墙的功能控制不安全的服务站点访问控制集中安全保护强化私有权网络连接的日志记录及使用统计3.网络技术安全性的措施----防火墙防火墙发展的方向模式转变分布式结构各种类型的综合日志记录功能趋于完善功能扩展:集成VPN、PKI、IDS病毒防御等功能性能提高93.网络技术安全性的措施----防火墙防火墙的基本结构屏蔽路由器双宿主/多宿主主机体系结构屏蔽主机体系结构屏蔽子网体系结构3.网络技术安全性的措施----防火墙双宿主/多宿主主机体系结构3.网络技术安全性的措施----防火墙屏蔽子网体系结构3.网络技术安全性的措施----防火墙屏蔽路由器3.网络技术安全性的措施----防火墙屏蔽主机体系结构3.网络技术安全性的措施----防火墙防火墙的分类包过滤防火墙代理防火墙103.网络技术安全性的措施----防火墙(静态)包过滤原理过滤的规则以IP和传输层的头中的域(字段)为基础,包括源和目标IP地址、IP协议域、源和目标端口号通过对信息头的检测可以决定是否将数据包发往目的地址,从而对进入和流出网络的数据进行监测和3.网络技术安全性的措施----防火墙配置访问控制列表访问控制列表(Access Control List):包过滤规则构成的规则库规则库一般包括以下各项:数据包源地址、数据包源端口、数据包目的地址、数据包目的端口、协议类型(TCP、UDP等)、数据流向、动作。3.网络技术安全性的措施----防火墙动态数据包过滤当配置了动态访问控制列表,可以实现指定用户的IP数据流临时通过防火墙时,进行会话连接。当动态访问控制列表被触发后,它重新配置接口上的已有的访问控制列表,允许指定的用户访问指定的IP地址。在会话结束后,将接口配置恢复到原来的状态动态包过滤技术一般结合身份认证机制进行实现3.网络技术安全性的措施----防火墙网络层链路层物理层外部网络内部网络包过滤路由器示意图3.网络技术安全性的措施----防火墙防火墙两种包过滤的规则配置策略:一切未被允许的就是禁止管理员必须针对每一种新出现的攻击,制定新的规则比较保守根据需要,逐渐开放宽松策略:一切未被禁止的就是允许的3.网络技术安全性的措施----防火墙状态包检测技术又称为反射访问控制列表技术。反射访问控制列表能够动态建立访问控制表条目,在这些临时条目中不仅包含必要的包过滤信息,还包含了网络会话的状态信息状态检测表是一个记录当前连接的列表。状态检测防火墙把数据包与状态检测表及数据包过滤规则集对比,与两者均匹配的项才能通过状态检测是通过连接跟踪技术实现的这类防火墙减少了端口的开放时间,提供了对几乎所有服务的支持。缺点是它也允许外部客户和内部主机的直接连接;不提供用户的鉴别机制。113.网络技术安全性的措施----防火墙状态包检测的逻辑流程图3.网络技术安全性的措施----防火墙应用级代理(Application Proxy)应用级代理(又称应用层代理)防火墙在网络应用层提供授权检查及代理服务。当外部某台主机访问受保护网络时,必须先在防火墙上通过身份认证。通过身份认证后,防火墙运行相应的应用代理程序,把外部主机与内部主机连接,内部网络主机只接受应用层代理提出的服务请求,拒绝外部网络节点的直接请求。同样,受保护网络的内部用户访问外部网络时也需要先登录到防火墙上,通过验证才可以使用Telnet等命令。3.网络技术安全性的措施----防火墙应用层代理技术优点能支持可靠的用户认证并提供详细的注册信息过滤规则更容易配置和测试可以提供详细的日志和安全审计功能可以隐藏内部网络的IP地址,保护内部主机免受外部主机的攻击3.网络技术安全性的措施----防火墙包过滤技术优缺点优点是逻辑简单,成本低,对网络性能的影响较小,有较强的透明性。并且它的工作与应用层无关,无须改动任何客户机和主机上的应用程序,易于安装和使用。缺点是访问控制列表的配置和维护困难;难以详细了解主机之间的会话关系;基于网络层和传输层实现的包过滤防火墙难以实现对应用层服务的过滤3.网络技术安全性的措施----防火墙应用层代理结构示意图3.网络技术安全性的措施----防火墙应用层代理技术的局限性有限的连接性:可能需要针对每种应用设置一个不同的代理服务器有限的技术:很难为RPC、Talk和其他通用协议族的服务提供代理应用层实现的防火墙会造成明显的性能下降对用户不透明,维护相对复杂对操作系统和应用层的漏洞是脆弱的,不能有效检查底层信息123.网络技术安全性的措施----防火墙电路级代理(Circuit Level Gateway)工作原理和组成结构与应用层代理相似不针对专门的应用协议,是一种通用的TCP/UDP连接中继服务,是建立在传输层上的一种代理实际上是更深入的报文过滤技术对于所有的服务都采用相同的代理通常都要求对客户程序进行修改例子:SOCKS3.网络技术安全性的措施----入侵检测入侵检测(IDS,Intrusion Detection System)是通过从计算机网络或系统中的若干关键点收集信息,并对其进行分析,从中发现网络或系统中“是否有违反安全策略的行为和遭到入侵“的迹象。3.网络技术安全性的措施----入侵检测入侵检测的主要任务监视、分析用户及系统活动系统构造和弱点的审计识别反映已知进攻的活动模式并报警异常行为模式的统计分析评估重要系统和数据文件的完整性操作系统的审计跟踪管理,并识别用户违反安全策略的行为3.网络技术安全性的措施----入侵检测定义主要任务一般过程分类局限性3.网络技术安全性的措施----入侵检测入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力,包括安全审计、监视、进攻识别和响应,提高了信息安全基础结构的完整性。防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击外部攻击和误操作的实时保护。是保障系统动态安全的核心技术之一。3.网络技术安全性的措施----入侵检测数信据检检响应息信预测测安全策略息处源收处模结集型果理理入侵检测一般过程133.网络技术安全性的措施----入侵检测数信信据检检响息息预测测安全策略应源收集处模结处理型果理处理流程信息采集-> 转换为特征信号-> 信号检测-> 模式识别模式识别、通信接收机、……入侵检测的步骤(2)数据分析一般通过三种技术手段进行数据分析:¾模式匹配¾统计分析¾完整性分析其中前两种方法用于实时的入侵检测,而完整性分析则用于事后分析。入侵检测系统的其它分类方法按照时效性划分¾脱机分析¾联机分析按照分布性划分¾集中式¾分布式按照入侵检测系统的相应方式划分¾主动的入侵检测系统¾被动的入侵检测系统入侵检测的步骤(1)收集信息入侵检测利用的信息一般来自以下四个方面:¾系统和网络监控日志文件¾目录和文件中不期望的改变¾程序执行中的不期望行为¾物理形式的入侵信息3.网络技术安全性的措施----入侵检测按检测分析方法不同,可将入侵检测系统分为:¾异常检测IDS¾误用检测IDS按数据来源不同,可将入侵检测系统分为:¾基于主机的IDS¾基于网络的IDS入侵检测的分类按照入侵检测的数据来源不同,可将入侵检测系统分为:¾基于主机的IDS¾基于网络的IDS14基于主机的IDS基于主机的IDS一般以系统日志、应用程序日志等审计记录作为数据源。它通过比较审计记录文件的记录与攻击签名以发现它们是否匹配。如果匹配,检测系统就向管理员发出入侵报警,并且采取相应的行动。基于主机的IDS的优点能够确定攻击是否成功适合于加密和交换环境准实时检测和响应不需要额外的硬件基于网络的IDS的系统结构管理/配置器分析结果网络安全数据库入侵分析引擎嗅探器嗅探器(接口)基于主机的IDS的入侵检测结构攻击模式库配置模式库入侵检测器报警应急措施审计记录/协议数数据采集安全控制主机系统基于网络的IDS基于网络的IDS使用原始的网络分组数据包作为进行攻击分析的数据源,一般利用一个网络适配器来实时监视和分析所有通过网络进行传输的通信,一旦检测到攻击,IDS应答模块通过通知报警以及中断连接等方式,来对攻击作出反应。基于网络的IDS优点实时检测、应答和攻击预警能够检测到不成功的攻击企图攻击者转移数据更困难与操作系统无关成本低15基于主机的IDS与基于网络的IDS比较如果到,只能通过使用基于主机的攻击不经过网络,基于网络的IDS来检测。IDS无法检测基于网络的进行检测,而基于主机的IDS通过检查所有的包首标header来多基于IP的拒绝服务攻击IDS,只能通过查看它们通并不查看包首标,许过网络传输时的包首标才能识别。基于网络的击中使用的命令或语法,这类攻击可以被实时检IDS可以研究负载的内容,查找特定攻查包序列的IDS迅速识别,而基于主机的系统无法看到负载,因此,也无法识别嵌入式的负载攻击。异常检测IDS异常检测指的是根据非正常行为(系统或用户)和使用计算机资源非正常情况检测入侵行为。是通过比较当前的系统和用户的行为是否偏离正常的行为特征轮廓来判断是否发生了入侵行为,是一种间接的方法。误用检测IDS 误用检测模型是指根据已知的入侵模式来检测入侵。首先对已知的攻击方法进行攻击签名表示,然后根据已经定义好的攻击签名,通过判断这些攻击签名是否出现来判断入侵行为,是一种直接的方法。入侵检测的分类按照检测分析方法不同,可将入侵检测系统分为:¾异常检测IDS¾误用检测IDS异常检测的系统示意图更新统计审计数据系统正常行分析为特征轮廓入侵行为偏离正常的行为特征动态产生新的行为特征误用入侵检测模型模式库攻击者匹配报警16异常检测与误用检测比较异常检测是试图发现一些未知的入侵行为,误用检测是标识一些已知的入侵行为。异常检测是根据使用者的行为或资源使用情况来判断是否入侵,不依赖于具体行为是否出现来检测,而误用检测系统则通过对具体行为的判断和推理检测入侵。异常检测的主要缺陷在于误检率很高,而误用检测系统由于依据具体特征库进行判断,准确率较高。异常检测系统的具体系统的依赖性相对较小,而误用检测对具体系统的依赖性很强,移植性不好异常检测技术异常检测的主要前提是入侵活动是异常活动的子集,理想情况是异常活动集与入侵活动集相等。但实际上,入侵性活动集并不是总与异常活动集相符合,这样就存在4种可能性:¾(1)入侵性而非异常;¾(2)非入侵性而正常;¾(3)非入侵性而非异常;¾(4)入侵性而异常。因此异常入侵检测要解决的问题是在这些活动集中发现入侵活动集。异常检测技术—统计分析方法统计分析方法首先给系统对象(如用户文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等),测量属性的平均值将被用来与网络系统的行为进行比较。任何观察值在正常值范围之外时,就认为有入侵发生。例如,统计分析发现一个在早八点至晚六点不登录的帐户,却在凌晨两点试图登录,然后可能会标识成一个入侵行为。统计分析的优点是它可以“学习”用户的使用习惯,从而具有较高的检测率和可用性。入侵检测分析方法介绍两种入侵检测的分析方法,并比较其优缺点,一类是异常检测技术,另一类是误用检测技术。异常检测技术的分类统计分析检测方法神经网络检测方法机器学习检测方法特征选择检测方法统计分析方法—贝叶斯(Bayes)分类算法贝叶斯分类算法是一种基于统计分析的典型算法,具有最小错误率的概率分类算法,它根据所观察到的数据及概率进行推算,从而做出最优的抉择。17贝叶斯算法的基本思路在入侵检测中,我们通过对随机事件的数据进行预处理,提取其相应特征,得到一随机矢量X(a1,a2,...an),其中ai表示系统不同方面的特征,(如磁盘I/O的互动数量,系统中的页面出错率等)。贝叶斯分类算法就是把检测对象的行为进行分类,即对随机矢量X(a1,a2,...an)分类,比如分为正常行为,异常行为和入侵行为等。此时要求知道该变量对每一类行为的概率分布,然后根据贝叶斯定理得到每个类别的概率,最后将其归入概率最高的类别。后验概率的计算P(ωP(ωi,x)i)P(xωi)ix)=p(ωP(x)=∑P(ωj)P(xωj)甴上述公式可以看出,只需比较jP(ω公式可简化为:i)P(xωi)即可。argmaxP(ωi但是对于条件概率的选取,要求模型合理化和计算可行性,jx)=argmaxiP(ωi)P(xωi)在实际中,可选取正态分布的概率密度模型。异常检测算法—神经网络检测法神经网络检测是将神经网络算法用于对系统和用户的学习。通过训练神经网络连续的信息单元来进行入侵检测,网络的输入层由用户当前输入的命令和已执行的W个命令组成;用户执行过的命令被用来预测用户输入的下一个命令。当神经网络预测不出某用户正确的后续指令,表明有异常事件发生,以此进行入侵检测。贝叶斯算法的具体方法(1)假设已知先验概率p(ωi)其中i=1,2,...c,c为类别的总数,和该变量对每一类行为的条件概率分布P(xωi),i=1,2,...c(2)根据每一类别定义一个判别函数g(Xi),i=1,2,...c并且以后验概率作为判别函数,即gi(x)=p(ωix)(3)判别规则:如果,gi(x)=maxi{gi(x)},则x=ωi(4)该决策使得在在观测值下x的错误率最小贝叶斯算法的优点在入侵检测中采用贝叶斯分类算法,是在现有网络入侵的算法存在误报率基础上,通过学习减少误报率的一种有效算法异常检测算法—机器学习检测法通过机器学习实现入侵检测,主要方法有死记硬背式、监督学习、归纳学习、类比学习等。根据离散数据临时序列学习获得个体、系统和网络的行为特征,并提出基于相似度实例的学习方法。该方法通过新的序列相似度计算将原始数据转化为可度量的空间,从而进行入侵检测。18异常检测技术—特征选择检测方法在一组度量中挑选能检测出入侵的度量构成子集,来准确地预测或分类以检测到的入侵。但判断符合实际的度量是复杂的,因为合适地选择度量子集依赖于检测到的入侵类型误用入侵检测技术的分类基于知识的专家系统检测模式匹配系统条件概率检测方法模型推理检测方法状态转换分析方法入侵检测系统的优点和局限性入侵检测系统的优点¾可以检测和分析系统事件以及用户行为¾可以测试系统设置的安全状态¾以系统的安全状态为基础,跟踪任何对系统安全的修改操作¾通过模式识别等技术从通信行为中检测出已知的攻击行为¾可以对网络通信行为进行统计,并进行检测分析异常检测技术的优缺点优点¾能够检测出新的网络入侵方法的攻击¾较少依赖于特定的主机操作系统¾对于内部合法用户的越权违法行为的检测能力较强缺点¾误报率高¾行为模型难以建立¾难以对入侵行为分类和命名误用检测技术的优缺点优点¾检测准确度高¾技术相对成熟¾便于进行系统防护缺点¾不能检测出新的入侵行为¾维护特征库的工作量大¾难以检测来自内部用户的攻击入侵检测系统的优点和局限性局限性¾无法弥补安全防御系统中的安全缺陷和漏洞。¾对于高负载的网络和主机,很难实现对网络入侵的实时检测、报警和迅速地进行攻击、响应。¾基于知识的入侵检测系统很难检测到未知的攻击行为。¾入侵检测系统的主动防御功能和联动防御功能会对网络的行为产生影响。¾入侵检测系统无法单独防止攻击行为的渗透。¾网络入侵检测系统在纯交换环境中无法正常工作。¾入侵检测系统主要是对网络行为进行分析,不能修正信息资源中存在的安全问题。1920
