2023年7月28日发(作者：)

学习好资料 欢迎下载

入侵：是对信息系统的非授权访问以及未经许可在信息系统中进行的操作。

入侵检测：是对企图入侵、正在进行的入侵或者已经发生的入侵进行识别的过程。

入侵检测系统：所有能够执行入侵检测任务和功能的系统，其中包括软件系统及软、硬件结合。

入侵检测功能：监控（用户和系统的活动）、审计（系统的配置和弱点）、评估(关键系统的数据文件完整性)、识别（攻击的活动模式）、统计分析（对活动进行）

简述P2DR模型在信息安全的地位（作用）

P：policy策略P：protection防护D：detection检测R：response响应。在整体策略控制下，在综合应用各种防护工具的同时，利用检测工具了解、评估系统通过应用适当响应而改善系统的防护措施，从而实现动态安全模型。

攻击的流程

目标探测与收集——自身隐藏——利用漏洞侵入主机——稳固并扩大战果——清除日志

入侵检测流程

数据收集——数据分析（分析、处理）——数据响应

数据源来自哪里？（分类方法）

审计记录、系统日志、应用程序日志、网络数据、其它

收集数据的原则

在计算机网络系统的若干个不同的关键点（不同的网段或不同主机）来手机信息。要保证数据的正确性和可靠性。

原因：可扩大范围、不一致原则。

按相应发生的时间，相应策略的制定有哪些？类型有哪些？

策略：紧急行动、及时行动、本地的长期行动、全局的长期行动

类型：主动响应（反攻击、修正系统环境、收集信息、欺骗网）；被动响应（报警、记录）

入侵检测系统的部署

主机：关键主机

网络：DMI区、隔离区、外网入口、内网主干、关键子网

属于预处理功能的有：格式转换、映射、过滤

获取数据、审计数据为什么要进行预处理？

格式转换：来源冗杂，预处理后利于移植

映射和过滤：剔除冗杂、无用的事件记录

入侵检测专家系统原理

在知识库的基础上，根据已获得的事实和已知规则进行推导，并得出结论。

在状态转移分析技术中，采用（状态转移图）来表示一个具体的入侵攻击过程。状态转移图由两个基本组建构成：（标识系统状态的结点）和（表示特征行为的弧线）。

状态转移分析原理

将攻击者的入侵行为描绘为一系列的特征操作及其所引起的一系列系统状态转换过程，从而使得目标系统从初始状态转移到所期望的危害状态。

完整性检查的基本思想

H（file）=标识（old）

H（file）=标识（new）

标识（old）与标识（new）compare

H()代表单项消息摘要计算函数。

系统配置分析技术的基本原理

首先，一次成功的入侵活动可能会在系统从留下痕迹，这可以通过检查系统当前状态来发现；其次系统管理员和用户经常会错误地配置系统，已给攻击者可乘之机。

简述交换网络下的数据检测方法

将包捕获程序设置在官网或代理服务器上；

交换机端口映射；

ARP；

IDS连接在网络流量通常最大上、下行端口上。

简述包捕获机制BPF的原理

BPF主要由两大部分组成：网络分接头(TAP)和数据包过滤器。网络分接头从网络设备驱动程序处收集数据包复制，并传递给正在捕获数据包的应用程序。过滤器决定某一数据包是被接收或者拒绝，以及如果被接收，数据包的哪些部分会被复制给应用程序。

简述协议分析技术的原理

协议分析的功能是辨别数据包协议类型以便使用相应的数据分析程序来检测数据包。它将输入数据包视为具有严格定义格式的数据流，并将输入数据包按照各层协议报文封装的反向顺序，层层解析出来。如果当前所检查的某个协议字段里，包含了非期望的不合理赋值，则系统认为当前数据包为非法网络流量。

DIDS

以网络数据包和主机审计数据作为数据来源。属于采用多种信息输入元的入侵检测技术。

目标环境是一组以太局域网连接起来的主机，且这些主机系统都满足C2等级的安全审计功能要求。

任务是监控网络中个主机的安全状态，同时检测针对局域网本身的攻击行为。

包括三类组件：主机监控器、局域网监控器、中央控制台

主机监控器首先从主机系统中读取C2审计数据文件，获取审计记录，然后将这些审计记录映射到DIDS系统定义的规范格式HAR上。之后，将这些冗余格式的记录进行必要的过滤操作以去除冗余后，再进行各种分析检测工作，生成不同的异常事件报告，交由主机代理发送到中央控制台。

而LEG组件没有现成的审计记录可用，因此，LEG组件必须从当前网络数据包中构建所需的网络审计记录NAR。LEG组件主要审计主机之间的连接、所访问的服务类型以及每个连接的数据流量情况。同时，LEG还建立和维护当前网络行为的正常模型，并检测当前网络使用情况与正常模型的偏离情况。

控制台的专家系统，在收集来自各个监控器事件记录的基础上，执行关联分析和安全状态评估的任务。专家系统的核心部分是用于进行推理工作的规则库，DIDS专家系统用Prolog语言编写所有检测规则。

用户接口主要任务是以友好的方式适时地提供用户关心的系统信息，包括实时的异常事件显示、整个系统的安全状态信息等；同时，它还提供用户进行特定控制和查询功能的接口，如查询某条检测规则的状态等。

DIDS中央控制台组建能够解决两个关键的问题：

网络环境下对特定用户和系统对象的追踪问题。

不同层次的入侵数据抽象问题。

发展前景

首先，入侵检测系统将不断提高自己的性能，包括：大幅度降低虚警概念、提高检测变异攻击行为和协同攻击的能力、与网路管理系统更好的集成、更好的支持法律诉讼，以及提供更容易操作的用户界面等。

其次，入侵检测将更重视分布式环境下的架构设计问题，重视解决分布式环境下所遇到的特定问题，如自主代理的管理、不同数据源的关联分析、安全响应问题等。

另外，入侵检测系统将从更多类型的数据源获取所需信息，来帮助提供检测能力以及冗余保护机制。同时，入侵检测的标准化工作将会取得长足进步，确立统一的交互操作标准。

最后，入侵检测技术将更多地与其他各种技术无缝集成在一起，并不断演化发展，最终形成新的技术类型。

GrIDS是基于图标的入侵检测系统。是为大规模网络环境而设计的入侵检测模型。对被保护的大型组织网络环境进行不同等级的分解形成不同层次的管理域。GrIDS把目标环境中的各种报告事件和网络流量信息汇集成图标的形式，然后在更高等级上把这些图表汇集成更为简要的形式。GrIDS在不同抽象层次上进行分析检测工作，以发现不同层次上的入侵行为。

主要设计目标：能够检测到大规模网络环境下所发生的攻击类型，例如端口扫描、跨域的协同攻击以及蠕虫攻击等。

AAFID是基于自主代理的分布式入侵检测架构。

CIDF

DARPA提出的建议是公公入侵检测框架(CIDF)，最早由加州大学戴维斯分校计算机安全实验室主持起草，并由1997年初正式提出。CIDF所做的工作主要包括4部分：CIDF的体系结构、通信机制、描述语言和应用编程接口API。

CIDF在IDES和NIDES系统的基础上提出了一个通用模型，将入侵检测系统分为4个基本组件：事件产生器、事件分析器、响应单元和事件数据库。前三个通常以应用程序的形式出现，而事件数据库则往往采用文件或数据流的形式。IDS厂商数据收集组件、数据分析组件和控制台代替前三者。

CIDF模型将IDS需要分析的数据统称为事件（Event），它既可以是网络中的数据包，也可以使从系统日志或其它途径得到的信息。以上CIDF模型中的4个组件代表的都是逻辑实体，其中的任何一个组件可能是某台计算机上的一个进程甚至线程，也可能是多个计算机上的多个进程，它们之间采用统一入侵检测对象（GIDO）格式进行数据交换。GIDO是对事件进行编码的标准通用格式（由CIDF描述语言CISL定义），GIDO数据流可以是发生在系统中的审计事件，也可以是对审计事件的分析结果。

事件产生器的任务是从入侵检测系统之外的计算环境中收集事件，并将这些事件转换成CIDF的GIDO格式传送给其它组件。

事件分析器负责分析从其他组件收到的GIDO，并将产生的分析结果传送给其它组件。分析器。分析器可以是一个基于统计模型的工具，检查现在的事件是否满足先前所建立的正常事件模型；也可以是一个特征检测工具，用于在当前事件序列中检查是否存在已知的滥用攻击特征；此外，事件分析器还可以是一个关联分析器，观察不同事件之间的关系，并将关联事件进行汇聚处理，以利于以后进一步分析。

事件数据库用于存储GIDO，以备系统需要的时候使用。

响应单元负责处理接收到的GIDO，并据此采取相应的措施，如杀死相关进程、复位网络会话连接，以及修改文件权限等。

系统设计的生命周期

需求定义：设计者需要定义入侵检测的各个目标并建立目标之间的优先级需求定义。

功能定义：进一步将这些需求定义细化为系统中明确的功能定义。可以采用各种模型描述语言来定义系统所要完成的各个具体功能及其之间的接口规范等。

原型实现：涉及具体的开发过程来验证系统设计的正确性和可行性。

用户反馈：上述生命周期过程并非静止不动的步骤过程，整个周期过程是螺旋式上升过程。前一周期原型实现阶段后，经过一个用户反馈环节后，再次进入下一个周期过程中的需求定义环节。在新需求定义阶段，将根据用户的需求反馈意见，再次更改原有的需求定义和分析规范，形成新的需求定义文档，从而推动下一个设计周期过程。如此循环反复，直至满足设定的要求。

响应组件的设计

1用户的需求问题（安全管理员、系统管理员、安全调查员）

2操作环境特点

3响应信号的表现形式因环境不同而不同

4性能要求

5响应部件的本身也是攻击者的目标所在，攻击的方法可能包括舰艇可能的响应通信信道、拒绝服务攻击以及切断相应报警通道等。

6响应部件还必须能够管理从分析组件中发出的警报信息。

7响应部件中一般都应该包含对检测结果的存档和报告功能。

现有入侵检测技术的局限性

就网络入侵检测而言，目前面临的主要问题包括：

1高速网络环境下的检测问题(网络带宽增长速度>计算能力的提高速度，声称**MHz，实际需要测量)

2交换式网络环境下的检测问题（传统网络入侵检测技术无法监控，需添加额外硬件，带来性能和通用性的实际问题。）

3加密问题（大多网络入检技术需通过对数据包载荷中的特定特征字符串进行分析匹配，才能发现入侵活动。如对网络传输数据加密，则影响入检）

现有的入侵检测还存在若干通用性的问题

1虚假警报问题（狼来了）

2可扩展性问题（时间“慢攻击”；空间“分布式”大型网络设施，如时间同步、数据简化）

3管理问题（网络管理系统集成问题；如何管理入侵检测系统内部可能存在的大量部件）

4支持法律诉讼（法律不完善，如何修改系统设计满足取证、诉讼要求）

5互操作性问题（各入检系统遵循统一的数据交换格式和传输协议，从而方便地共享信息，更好协同工作）

操作系统的分类

准确性、从HIDS基于主主机的审计机的入侵检测 记录和日志文件中获得

按信息可移植性、源分类

NIDS基于网透明、不易络的入侵检测 被攻击、影响性能

混合

误报率低漏报误用 率高，匹配特按检测征库

方法分基于正常行类

异常 为的历史统计误高漏低

联机 实时

按时效性分类

脱机 非实时

数据挖掘与入侵检测技术

如上图所示，数据挖掘流程中，原始审计数据（Raw Audit Data）首先被处理成为ASCII码形式标识的网络数据包信息（Network Packets）或是主机事件数据（Host Events），接着这些数据信息进一步被转换成为面向网络连接的记录（Connection Records）或是面向主机会话的记录数据（Host

Session Records）。这些记录中包含许多连接/会话特征。然后，将数据挖掘的算法应用到这些连接记录上，并计算出有用的数据模式（Patterns）。接着，对这些数据进行分析，之后用来帮助提取连接记录中的其它有用特征（Features）。最后，在确定了记录数据的特征集合后，应用数据挖掘中的分类算法，生成最终的检测模型（Models）。整个数据挖掘在入侵检测应用流程中反复进行。