第六章入侵检测与安全审计系统PPT文档格式.ppt
- 文档编号:15040369
- 上传时间:2022-10-27
- 格式:PPT
- 页数:45
- 大小:120KB
第六章入侵检测与安全审计系统PPT文档格式.ppt
《第六章入侵检测与安全审计系统PPT文档格式.ppt》由会员分享,可在线阅读,更多相关《第六章入侵检测与安全审计系统PPT文档格式.ppt(45页珍藏版)》请在冰豆网上搜索。
分析结果。
响响应应单单元元:
对对分分析析结结果果作作出出反反应应的的功功能能单单元元,它它可可以以作作出出切切断断连连接接、改改变变文文件件属性属性等强烈反应,或是简单的报警。
等强烈反应,或是简单的报警。
事事件件数数据据库库:
存存放放各各种种中中间间和和最最终终数数据据的的地地方方的的统统称称,既既可可以以是是复复杂杂的的数数据据库库,也可以是简单的文本文件。
也可以是简单的文本文件。
10/27/20225电子科技大学成都学院n作用作用是防火墙的合理补充,帮助系统对付网络攻击,是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力,提高了信扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。
息安全基础结构的完整性。
是安防系统的重要组成部分。
以后台进程的形式运行,发现可疑情况,立即以后台进程的形式运行,发现可疑情况,立即通知有关人员。
通知有关人员。
被认为是防火墙之后的第二道安全闸门。
如同大楼的监视系统。
10/27/20226电子科技大学成都学院n6.1.2入侵检测系统的特点入侵检测系统的特点不需要人工干预即可不间断的运行有容错能力不需要占用大量的系统资源能够发现异常的操作能够适应系统行为的长期变化判断正确灵活定制保持领先10/27/20227电子科技大学成都学院n6.1.3入侵行为的误判入侵行为的误判正误判正误判将一个合法操作判断为异常行为。
将一个合法操作判断为异常行为。
n后果:
导致用户不理会后果:
导致用户不理会IDS的报警,使的报警,使IDS形同虚设。
形同虚设。
负误判负误判将一个攻击动作判断为非攻击行为,将一个攻击动作判断为非攻击行为,并允许其通过检测。
并允许其通过检测。
背离了安全防护的宗旨,后果:
背离了安全防护的宗旨,IDS系统成为例行公事。
系统成为例行公事。
失控误判失控误判攻击者修改了攻击者修改了IDS系统的操作,使它系统的操作,使它总出现负误判的情况。
总出现负误判的情况。
不易察觉,长此以往,后果:
不易察觉,长此以往,IDS将不会报警。
将不会报警。
10/27/20228电子科技大学成都学院n6.1.4入侵分析方法入侵分析方法签名分析法签名分析法统计分析法统计分析法数据完整性分析法数据完整性分析法10/27/20229电子科技大学成都学院签名分析法签名分析法n主要用来监测对系统的已知弱点进行攻击的主要用来监测对系统的已知弱点进行攻击的行为。
行为。
n方法:
从攻击模式中归纳出它的签名,编写方法:
从攻击模式中归纳出它的签名,编写到到IDS系统的代码里。
系统的代码里。
n签名分析实际上是一种模板匹配操作:
签名分析实际上是一种模板匹配操作:
一方是系统设置情况和用户操作动作一方是系统设置情况和用户操作动作一方是已知攻击模式的签名数据库一方是已知攻击模式的签名数据库10/27/202210电子科技大学成都学院统计分析法统计分析法n以统计学为理论基础,以系统正常使用情况以统计学为理论基础,以系统正常使用情况下观察到的动作模式为依据来判别某个动作下观察到的动作模式为依据来判别某个动作是否偏离了正常轨道。
是否偏离了正常轨道。
数据完整性分析法数据完整性分析法n以密码学为理论基础,可以查证文件或者对以密码学为理论基础,可以查证文件或者对象是否被别人修改过。
象是否被别人修改过。
10/27/202211电子科技大学成都学院工作流程工作流程n根据计算机审计记录文件产根据计算机审计记录文件产生代表用户会话行为的会话生代表用户会话行为的会话矢量,然后对这些会话矢量矢量,然后对这些会话矢量进行分析,计算出会话的异进行分析,计算出会话的异常值,当该值超过阈值便产常值,当该值超过阈值便产生警告。
生警告。
一个简单的基于统计的异常检测模型一个简单的基于统计的异常检测模型10/27/202212电子科技大学成都学院步骤步骤1:
产生会话矢量。
:
n根根据据审审计计文文件件中中的的用用户户会会话话(如如用用户户会会话话包包括括login和和logout之间的所有行为之间的所有行为)产生会话矢量。
n会会话话矢矢量量X=表表示示描描述述单单一一会会话话用用户户行行为为的的各各种种属属性性的的数数量量。
会会话话开开始始于于login,终终止止于于logout,login和和logout次次数数也也作作为为会会话话矢矢量量的的一一部部分分。
可可监监视视20多多种种属属性性,如如:
工工作作的的时时间间、创创建建文文件数、阅读文件数、打印页数和件数、阅读文件数、打印页数和I/O失败次数等。
失败次数等。
10/27/202213电子科技大学成都学院步骤步骤2:
产生伯努里矢量。
n伯伯努努里里矢矢量量B=是是单单一一2值值矢矢量量,表表示示属属性性的的数数目目是是否否在在正正常常用用户户的的阈阈值值范范围围之之外外。
阈阈值值矢矢量量T=表表示示每每个个属属性性的的范范围围,其其中中ti是是形形式式的的元元组组,代代表表第第i个个属属性性的的范范围围。
这这样样阈阈值值矢矢量量实实际际上上构构成成了了一一张张测测量量表表。
算算法法假假设设ti服从高斯分布服从高斯分布(即:
正态分布即:
正态分布)。
n产产生生伯伯努努里里矢矢量量的的方方法法就就是是用用属属性性i的的数数值值xi与与测测量量表表中中相相应应的的阈阈值值范范围围比比较较,当当超超出出范范围围时时,bi被被置置1,否则,否则bi置置0。
产生伯努里矢量的函数可描述为:
。
10/27/202214电子科技大学成都学院步骤步骤3:
产生加权入侵值。
n加加权权入入侵侵矢矢量量W=中中每每个个wi与与检检测测入入侵侵类类型型的的第第i个个属属性性的的重重要要性性相相关关。
即即,wi对对应应第第i个个属属性性超超过过阈阈值值ti的的情情况况在在整整个个入入侵侵判判定定中中的的重重要要程程度度。
加权入侵值由下式给出:
加权入侵值加权入侵值步步骤骤4:
若若加加权权入入侵侵值值大大于于预预设设的的阈阈值值,则则给给出报警。
出报警。
10/27/202215电子科技大学成都学院模型应用实例n利用该模型设计一防止网站被黑客攻击的预警系统。
考虑到一个黑客应该攻击他自己比较感兴趣的网站,因此可以在黑客最易发起攻击的时间段去统计各网页被访问的频率,当某一网页突然间被同一主机访问的频率剧增,那么可以判定该主机对某一网页发生了超乎寻常的兴趣,这时可以给管理员一个警报,以使其提高警惕。
10/27/202216电子科技大学成都学院n借借助助该该模模型型,可可以以根根据据某某一一时时间间段段的的Web日日志志信信息息产产生生会会话话矢矢量量,该该矢矢量量描描述述在在特特定定时时间间段段同同一一请请求求主主机机访访问问各各网网页页的的频频率率,xi说说明明第第i个个网网页页被被访访问问的的频频率率;
接接着着根根据据阈阈值值矢矢量量产产生生伯伯努努里里矢矢量量,此此处处的的阈阈值值矢矢量量定定为为各各网网页页被被访访问问的的正正常常频频率率范范围围;
然然后后计计算算加加权权入入侵侵值值,加加权权矢矢量量中中的的wi与与网网页页需需受受保保护护程程度度相相关关,即即若若wiwj,表表明明网网页页i比比网网页页j更更需需要要保保护护;
最最后后若若加加权权入入侵侵值值大大于于预预设设的的阈阈值值,则则给给出出报报警警,提提醒醒管管理理员员,网网页页可可能能将将会会被被破坏。
破坏。
10/27/202217电子科技大学成都学院该模型存在的缺陷和问题,如:
该模型存在的缺陷和问题,如:
n大量审计日志的实时处理问题。
尽管审计日志能提供大大量审计日志的实时处理问题。
尽管审计日志能提供大量信息,但它们可能遭受数据崩溃、修改和删除。
并且量信息,但它们可能遭受数据崩溃、修改和删除。
并且在许多情况下,只有在发生入侵行为后才产生相应的审在许多情况下,只有在发生入侵行为后才产生相应的审计记录,因此该模型在实时监控性能方面较差。
计记录,因此该模型在实时监控性能方面较差。
n检测属性的选择问题,即如何选择与入侵判定相关度高检测属性的选择问题,即如何选择与入侵判定相关度高的、有限的一些检测属性。
的、有限的一些检测属性。
n阈值矢量的设置存在缺陷。
由于模型依赖于用户正常行阈值矢量的设置存在缺陷。
由于模型依赖于用户正常行为的规范性,因此用户行为变化越快,误警率也越高。
为的规范性,因此用户行为变化越快,误警率也越高。
n预设入侵阈值的选择问题,即如何更加科学地设置入侵预设入侵阈值的选择问题,即如何更加科学地设置入侵阈值,以降低误报率、漏报率。
阈值,以降低误报率、漏报率。
10/27/202218电子科技大学成都学院n6.1.5入侵检测系统的主要类型入侵检测系统的主要类型分类分类n根据其采用的分析方法可分为根据其采用的分析方法可分为异常检测异常检测误用检测误用检测n根据系统的工作方式可分为根据系统的工作方式可分为离线检测离线检测在线检测在线检测n根据系统所检测的对象可分为根据系统所检测的对象可分为基于主机的基于主机的基于网络的基于网络的10/27/202219电子科技大学成都学院异常检测异常检测n需要建立目标系统及其用户的正常活动模型,需要建立目标系统及其用户的正常活动模型,然后基于这个模型对系统和用户的实际活动然后基于这个模型对系统和用户的实际活动进行审计,当主体活动违反其统计规律时,进行审计,当主体活动违反其统计规律时,则将其视为可疑行为。
则将其视为可疑行为。
n关键:
异常阈值和特征的选择关键:
异常阈值和特征的选择n优点:
可以发现新型的入侵行为,漏报少优点:
可以发现新型的入侵行为,漏报少n缺点:
容易产生误报缺点:
容易产生误报10/27/202220电子科技大学成都学院误用检测误用检测n假定所有入侵行为和手段(及其变种)都能够表达假定所有入侵行为和手段(及其变种)都能够表达为一种模式或特征,系统的目标就是检测主体活动为一种模式或特征,系统的目标就是检测主体活动是否符合这些模式。
是否符合这些模式。
n优点:
可以有针对性地建立高效的入侵检测系统,优点:
可以有针对性地建立高效的入侵检测系统,其精确度较高,误报少。
其精确度较高,误报少。
n缺点缺点:
只能发现攻击库中已知的攻击,不能检测未知只能发现攻击库中已知的攻击,不能检测未知的入侵,也不能检测已知入侵的变种,因而会发生的入侵,也不能检测已知入侵的
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 第六 入侵 检测 安全 审计 系统