入侵检测技术

重要章节：3、4、5、6、7、9

第一章 入侵检测概述

1.入侵检测的概念：通过从计算机网络或计算机系统中的若干关键点收集信息，并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。

2.传统安全技术的局限性：（1）防火墙无法阻止内部人员所做的攻击（2）防火墙对信息流的控制缺乏灵活性（3）在攻击发生后，利用防火墙保存的信息难以调查和取证。

3.入侵检测系统的基本原理主要分为4个阶段：数据收集、数据处理、数据分析和响应处理。

4.入侵检测的分类：（1）按照入侵检测系统所采用的技术：误用入侵检测、异常入侵检测和协议分析（2）按照数据来源可以分为：基于主机的IDS 、基于网络的IDS 、混合式IDS 、文件完整性检查式IDS

第二章 常见的入侵方法与手段

1.漏洞的具体表现：（1）存储介质的不安全（2）数据的可访问性（3）信息的聚生性（4）保密的困难性（5）介质的剩磁效应（6）电磁的泄露性（7）通信网络的脆弱性（8）软件的漏洞

2.攻击的概念和分类：根据攻击者是否直接改变网络的服务，攻击可以分为被动攻击和主动攻击。主动攻击会造成网络系统状态和服务的改变。被动攻击不直接改变网络的状态和服务。

3.攻击的一般流程：（1）隐藏自己（2）踩点或预攻击探测（3）采取攻击行为（4）清除痕迹

第三章 入侵检测系统模型

1.入侵检测系统模型的3个模块：信息收集模块、信息分析魔力和报警与响应模块

入侵检测系统的通用模型

2.入侵检测发展至今，先后出现了基于主机的和基于网络的入侵检测系统，基于模式匹配、异常行为、协议分析等检测技术的入侵检测系统。第四代入侵检测系统是基于主机+网络+安全管理+协议分析+模式匹配+异常统计的系统，它的优点在于入侵检测和多项技术协同工作，建立全局的主动保障体系，误报率、漏报率较低，效率高，可管理性强，并实现了多级的分布式监测管理，基于网络的和基于主机的入侵检测与协议分析和模式匹配以及异常统计相结合，取长补短，可以进行更有效的入侵检测。

3.入侵检测信息的来源一般来自以下的4个方面：（1）系统和网路日志文件（2）目录和文件中不期望的改变（3）程序执行中的不期望行为（4）物理形式的入侵

4.在入侵检测系统中，传感器和事件分析器之间的通信分为两层：OWL 层和SSL 层。OWL 层负责使用OWL 语言将传感器收集到的信息转换成统一的OWL 语言字符串。SSL 层使用SSL 协议进行通信。

5.信息分析的技术手段：模式匹配、统计分析和完整性分析。

6.根据入侵检测系统处理数据的方式，可以将入侵检测系统分为分布式入侵检测系统和集中式入侵检测系统。

分布式：在一些与受监视组件相应的位置对数据进行分析的入侵检测系统。

集中式：在一些固定且不受监视组件数量限制的位置对数据进行分析的入侵检测系统。

7.分布式入侵检测系统和集中式入侵检测系统的特点比较如下：

1.可靠性

集中式：仅需运行较少的组件 分布式：需要运行较多的组件 2.容错性 集中式：容易使系统从崩溃中恢复，但也容易被故障中断

分布式：由于分布特性，数据存储时很难保持一致性和可恢复性

信息收集 信息分析 报警与响应

3.增加额外的系

统开销 集中式：仅在分析组件中增加了一些开销，那些被赋予了大量负载的主机专门用作分析

分布式：由于运行的组件不大，主机上增加的开销很小，但对大部分被

监视的主机增加了额外的开销

4.可扩充性 集中式：入侵检测系统的组件数量被限定，当被监视主机的数量增加时，

需要更多的计算和存储资源处理新增的负载

分布式：分布式系统可以通过增加组件的数量来监视更多的主机，但扩

容将会受到新增的组件之间需要相互通信的制约

5.平缓地降低服

务等级 集中式：如果有一个分析组件停止了工作，一部分程序和主机就不再被监视，但整个入侵检测系统仍可继续工作

分布式：如果一个分析组件停止了工作，整个入侵检测系统就有可能停

止工作

6.动态的重新配

置 集中式：使用很少的组件来分析所有的数据，如果重新配置它们需要重新启动入侵检测系统

分布式：很容易进行重新配置，不会影响剩余部分的性能

8.响应包括（1）被动响应：系统仅仅简单地记录和报告所检测出的问题（2）主动响应：系统（自动地或与用户配合）为组织或影响正在发生的攻击进程而采取的行动。

9.“蜜罐”技术和基于网络的入侵检测系统（NIDS ）相比较具有以下特点：（1）数据量小（2）减少误报率（3）捕获漏报（4）资源最小化（5）解密

第四章 误用和异常检测系统

1.误用入侵检测技术的基本概念：误用入侵检测技术主要是通过某种方式预先定义入侵行为，然后监视系统的运行，并从中找出符合预先定义规则的入侵行为。误用入侵检测系统假设入侵活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。误用入侵检测的关键在于特征信息库的升级和特征的匹配搜索，需要不断的更新特征库。但是它的特征库中只存储了当前已知的攻击模式和系统的脆弱性，对新攻击却无能为力。误用入侵检测的难点在于如何设计模式，使其既表达入侵又不会将正常的活动包含进来。

2.误用入侵检测的模型

规则匹配

时间信息

修改当前规则

3.误用入侵检测系统的基本工作模式如下：

（1）从系统的不同环节收集信息

（2）分析收集的信息，找出入侵活动的特征

（3）对检测到的入侵行为为自动做出响应

（4）记录并报告检测结果

4.误用入侵检测系统的类型：（1）专家系统（2）模式推理模型（3）模式匹配系统（4）状态转换分析系统

5.误用入侵检测的缺陷：（1）由于很大一部分是利用了系统和应用软件的缺陷和系统配置错误，所以误用入侵检测难以检测出内部用户的入侵行为（2）只能检测已知的攻击，当出现审计数据 攻击状态

信息处理