Security-06-网络安全技术.ppt

《Security-06-网络安全技术.ppt》由会员分享，可在线阅读，更多相关《Security-06-网络安全技术.ppt（115页珍藏版）》请在装配图网上搜索。

1、智能信息安全 Intelligent Information Security,孙松林 北京邮电大学 Email:,回顾,密码学 古典密码 & 现代密码 对称密钥 非对称密钥 R L Rivest, A Shamir, L Adleman, On Digital Signatures and Public Key Cryptosystems, Communications of the ACM, vol 21 no 2, pp120-126, Feb 1978 数字签名,网络安全技术,1.网络安全概述 网络安全标准 基本表现 隐患根源 2.网络安全性分析 协议的安全性 网络应用的威胁 3.网络

2、技术安全性的措施 入侵检测 防火墙 VPN,网络安全概述-网络安全标准,常见的信息安全标准 演进规律：COMSEC计算安全 INFOSEC信息安全 IA信息保障,网络安全概述-网络安全标准,美国桔皮书TCSEC（可信计算机系统评估准则） 计算机系统安全评估的第一个正式标准，于1970年由美国国防科学委员会提出，并于1985年12月由美国国防部公布。 将网络安全分为4个方面: 安全政策 可说明性 安全保障 文档 在美国国防部虹系列(Rainbow Series)标准中将以上4个方面分为7个安全级别，从低到高依次为D、C1、C2、B1、B2、B3和A级： A级：绝对可信网络安全 B级：完全可信网络

3、安全（B1、B2、B3） C级：可信网络安全（C1、C2） D级：不可信网络安全,网络安全概述-网络安全标准,加拿大CTCPEC（加拿大可信计算机产品评估准则） 1990年公布 将安全需求分为4个层次 机密性 完整性 可靠性 可说明性 对产品和评估过程强调功能和保证。分为7个保证级，通常称为EAL-1到EAL-7。,网络安全概述-网络安全标准,欧洲白皮书ITSEC（信息技术安全性评估准则） 1991年公布 与TCSEC不同，它并不把保密措施直接与计算机功能相联系，而是只叙述技术安全的要求，把保密作为安全增强功能。 TCSEC把保密作为安全的重点，而ITSEC则把完整性、可用性与保密性作为同等重

4、要的因素。 ITSEC定义了从E0级(不满足品质)到E6级(形式化验证)的7个安全等级，对于每个系统，安全功能可分别定义。 ITSEC预定义了10种功能，其中前5种与桔皮书中的C1-B3级非常相似。,网络安全概述-网络安全标准,美国联邦准则(FC) 1993年公布 参照了CTCPEC及TCSEC，其目的是提供TCSEC的升级版本，同时保护已有投资，但FC有很多缺陷，是一个过渡标准，后来结合ITSEC发展为联合公共准则CC。,网络安全概述-网络安全标准,信息技术安全评价通用准则(CC，Common Criteria) 目前国际通行的最先进的信息安全测评认证标准。 由美、英、德、法、荷、加六国的信

5、息安全部门于1993年启动， 1996年推出第一版。 1999年6月CC V2.1版发布，12月成为国际标准ISO/IEC 15408。 2001年由中国信息安全产品测评认证中心牵头，将ISO/IEC 15408转化为国家标准GB/T 18336-2001信息技术安全性评估准则，并直接应用于我国的信息安全测评认证工作。,网络安全概述-网络安全标准,CC的最新进展 国际通用准则管理机构（CCMB） 2005年7月发布了通用准则V3.0(征求意见稿)， 2006年9月发布了通用准则V3.1的官方正式版本。 中国目前暂时还执行CC V2.1,网络安全概述-网络安全标准,CC定义了作为评估信息技术产品

6、和系统安全性的基础准则，提出了目前国际上公认的表述信息技术安全性的结构，即把安全要求分为规范产品和系统安全行为的功能要求以及解决如何正确有效的实施这些功能的保证要求。 CC在对安全保护框架和安全目标的一般模型进行介绍以后，分别从安全功能和安全保证两方面对IT安全技术的要求进行了详细描述。,网络安全概述-网络安全标准,CC结合了FC及ITSEC的主要特征，强调将安全的功能与保障（安全功能的可信度）分离，并将功能需求分为11类 63族，将安全保障分为7类29族。 CC将评测对象分为7个安全保证级，分别是： 第一级：功能测试级； 第二级：结构测试级； 第三级：系统测试和检查级； 第四级：系统设计、测

7、试和复查级； 第五级：半形式化设计和测试级； 第六级：半形式化验证的设计和测试级； 第七级：形式化验证的设计和测试级。,网络安全概述-网络安全标准,信息安全产品认证包括： （1） 防火墙 （2） 安全扫描器 （3） IDS （4） 安全审计 （5） 网络隔离 （6） VPN （7） 智能卡 （8） 卡终端 （9） 安全管理,其他IT产品安全性认证包括： （1） 操作系统 （2） 数据库 （3） 交换机 （4） 路由器 （5） 应用软件 （6） 其他,网络安全概述-网络安全标准,IATF 是美国国家安全局（NSA）制定的，为保护美国政府和工业界的信息与信息技术设施提供技术指南。 IATF从整体、

8、过程的角度看待信息安全问题，其代表理论为“深度防护战略（Defense-in-Depth）”。IATF强调人、技术、操作这三个核心原则，关注四个信息安全保障领域：保护网络和基础设施、保护边界、保护计算环境、支撑基础设施。,网络安全概述-网络安全标准,人，借助技术的支持，实施一系列的操作过程，最终实现信息保障目标，这就是IATF最核心的理念之一。,网络安全概述-网络安全标准,信息保障技术框架 (IATF) 要解决的问题 怎样定义信息保护需求和解决方案？ 现有的何种技术能够满足我的保护需求？ 什么样的机构资源能够帮助找到所需的保护？ 当前有哪些信息保障产品和服务市场? 对IA方法和技术的研究关注点

9、应放在哪里？ 信息保障的原则是什么？,1.网络安全概述-网络安全标准,信息保障技术框架（IATF）3.0版中将攻击分为以下5类： 被动攻击。 主动攻击。 物理临近攻击。 内部人员攻击。 软硬件配装攻击。,1.网络安全概述-网络安全标准,截获,篡改,伪造,中断,被动攻击,主 动 攻 击,目的站,源站,源站,源站,源站,目的站,目的站,目的站,对网络的被动攻击和主动攻击,1.网络安全概述-网络安全标准,被动攻击 在未经用户同意和认可的情况下将信息或数据文件泄露给系统攻击者，但不对数据信息做任何修改。 常见手段： 搭线监听； 无线截获； 其他截获。 不易被发现。 重点在于预防 ，如使用虚拟专用网（V

10、PN）、采用加密技术保护网络以及使用加保护的分布式网络等。,1.网络安全概述-网络安全标准,主动攻击 涉及某些数据流的篡改或虚假流的产生。 通常分为： 假冒； 重放； 篡改消息； 拒绝服务。 能够检测出来。 不易有效防止，具体措施包括自动审计、入侵检测和完整性恢复等。,网络安全概述-基本表现,位置决定表现,1.网络安全概述-基本表现,先天不足 网络协议的缺陷 网络结构的不足 趁虚而入 恶意攻击 管理不当,1.网络安全概述-隐患根源,网络的开放性。 组成网络的通信系统和信息系统的自身缺陷。 黑客（hacker）及病毒、木马等恶意程序的攻击。,网络安全技术,1.网络安全概述 网络安全标准 基本表现

11、 隐患根源 2.网络安全性分析 协议的安全性 网络应用的威胁 3.网络技术安全性的措施 入侵检测 防火墙 VPN,2.网络安全性分析-协议的安全性,TCP/IP协议栈及其安全性 IPv4 vs IPv6 IPSEC,2.网络安全性分析-协议的安全性,TCP/IP协议栈,2.网络安全性分析-协议的安全性,网络层安全,2.网络安全性分析-协议的安全性,传输层安全,2.网络安全性分析-协议的安全性,应用层安全,2.网络安全性分析-协议的安全性,IPv4报头结构,2.网络安全性分析-协议的安全性,缺乏对通信双方身份真实性的鉴别能力 缺乏对传输数据的完整性和机密性保护的机制 由于IP地址可软件配置以及基

12、于源IP地址的鉴别机制，IP层存在业务流被监听和捕获、IP地址欺骗、信息泄露和数据项篡改等攻击,IPv4缺陷,2.网络安全性分析-协议的安全性,IPv6报头结构,2.网络安全性分析-协议的安全性,2.网络安全性分析-协议的安全性,2.网络安全性分析-协议的安全性,1994年IAB(Internet Architecture Board)发表一份报告“Internet体系结构中的安全性”(RFC1636) 保护网络基础设施，防止非授权用户监控网络流量 需要认证和加密机制增强用户-用户通信流量。 1997年CERT(Computer Emergency Response Team)年报表明2500

13、起安全事故影响了150000站点。 IAB决定把认证和加密作为下一代IP的必备安全特性（IPv6） 幸运的是，IPv4也可以实现这些安全特性。,2.网络安全性分析-协议的安全性,IPSec提供对跨越LAN/WAN，Internet的通讯提供安全性 分支办公机构通过Internet互连。(Secure VPN) 通过Internet的远程访问。 与合作伙伴建立extranet与intranet的互连。 增强电子商务安全性。 IPSec的主要特征是可以支持IP级所有流量的加密和/或认证。因此可以增强所有分布式应用的安全性。,IPSec(IP Security)是IPv6的一个组成部分 IPSec在

14、网络层上提供安全服务 弥补IPv4在协议设计时缺乏安全性考虑的不足 IPSec提供的两种安全机制 认证使IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否被篡改 加密对数据进行加密来保证数据的机密性,IPSec在IPv6中是强制的，在IPv4中是可选的,2.网络安全性分析-协议的安全性,IPSec使用的模式： 传输模式 隧道模式,2.网络安全性分析-协议的安全性,2.网络安全性分析-网络应用的威胁,网络威胁技术的表现 TCP/IP协议栈各层的相应措施,2.网络安全性分析-网络应用的威胁,计算机病毒 能够利用系统进行自我复制和传播，通过特定事件触发是一种有害程序； 传统病毒

15、：引导型、文件型、宏病毒； 邮件病毒。 程序后门 绕开系统的安全检查，直接的程序入口，通常是由程序设计人员为各种目的预留的。 特洛伊木马 冒充正常程序的有害程序，不能自我复制和传播，当用户试图运行的时候将造成破坏。 程序炸弹 是由程序员采用编程触发的方式触发，造成破坏。 蠕虫 本身没有强烈的破坏性，但通过自我复制，耗尽系统资源。,2.网络安全性分析-网络应用的威胁,网络的出现改变了病毒的传播方式 几何级数式的传播。 扩大了危害范围。 增强了攻击的破坏力。,威胁技术的发展,网络技术的发展,混合威胁,时间,利益驱动,2.网络安全性分析-网络应用的威胁,2.网络安全性分析-网络应用的威胁,从协议层次

16、看，常见主要威胁： 物理层 ：窃取、插入、删除等，但需要一定的设备。 数据链路层 ：很容易实现数据监听。 网络层 ：IP欺骗等针对网络层协议的漏洞的攻击。 传输层：TCP连接欺骗等针对传输层协议的漏洞的攻击。 应用层：存在认证、访问控制、完整性、保密性等所有安全问题。,2.网络安全性分析-网络应用的威胁,各层对应的安全协议和安全技术/产品,应用层提供安全服务的特点 只能在通信两端的主机系统上实施。 优点： 安全策略和措施通常是基于用户制定的； 对用户想要保护的数据具有完整的访问权，因而能很方便地提供一些服务； 不必依赖操作系统来提供这些服务； 对数据的实际含义有着充分的理解。 缺点： 效率太低

17、； 对现有系统的兼容性太差； 改动的程序太多，出现错误的概率大增，为系统带来更多的安全漏洞。,2.网络安全性分析-网络应用的威胁,传输层提供安全服务的特点 只能在通信两端的主机系统上实施。 优点：与应用层安全相比，在传输层提供安全服务的好处是能为其上的各种应用提供安全服务，提供了更加细化的基于进程对进程的安全服务，这样现有的和未来的应用可以很方便地得到安全服务，而且在传输层的安全服务内容有变化时，只要接口不变，应用程序就不必改动。 缺点：由于传输层很难获取关于每个用户的背景数据，实施时通常假定只有一个用户使用系统，所以很难满足针对每个用户的安全需求。,2.网络安全性分析-网络应用的威胁,网络层

18、提供安全服务的特点 在端系统和路由器上都可以实现。 优点： 主要优点是透明性，能提供主机对主机的安全服务，不要求传输层和应用层做改动，也不必为每个应用设计自己的安全机制； 其次是网络层支持以子网为基础的安全，子网可采用物理分段或逻辑分段，因而可很容易实现VPN和内联网，防止对网络资源的非法访问； 第三个方面是由于多种传送协议和应用程序可共享由网络层提供的密钥管理架构，密钥协商的开销大大降低。 缺点： 无法实现针对用户和用户数据语义上的安全控制。,2.网络安全性分析-网络应用的威胁,数据链路层提供安全服务的特点 在链路的两端实现 优点： 整个分组（包括分组头信息）都被加密 ，保密性强。 缺点：

19、使用范围有限。只有在专用链路上才能很好地工作 ，中间不能有转接点。,2.网络安全性分析-网络应用的威胁,网络安全技术,1.网络安全概述 网络安全标准 基本表现 隐患根源 2.网络安全性分析 协议的安全性 网络应用的威胁 3.网络技术安全性的措施 防火墙 入侵检测 VPN,3.网络技术安全性的措施-防火墙,防火墙的基本概念 定义 设计目标 功能 局限性 防火墙的基本结构 屏蔽路由器 双宿主/多宿主主机体系结构 屏蔽主机体系结构 屏蔽子网体系结构 防火墙的分类 包过滤技术 代理技术,3.网络技术安全性的措施-防火墙,防火墙的定义 防火墙是指设置在被保护网络(内连网络和局 域网)与公共网络(如Int

20、ernet)或其他网络之间， 并位于被保护网络边界的，对进出被保护网络信 息实施“通过/阻断/丢弃”控制的硬件、软件部件 或系统。,3.网络技术安全性的措施-防火墙,防火墙的基本设计目标 内外网之间的所有数据都必须经过防火墙 只有符合安全策略的数据流才能通过防火墙 防火墙本身应有一定的抗攻击能力 防火墙的功能 控制不安全的服务 站点访问控制 集中安全保护 强化私有权 网络连接的日志记录及使用统计,3.网络技术安全性的措施-防火墙,防火墙的局限性 不能抵御来自内部的攻击者 不能抵御不经过防火墙的攻击 不能抵御数据驱动的攻击 不能防范新的网络安全问题,3.网络技术安全性的措施-防火墙,防火墙发展的

21、方向 模式转变 分布式结构 各种类型的综合 日志记录功能趋于完善 功能扩展：集成VPN、PKI、IDS病毒防御等功能 性能提高,3.网络技术安全性的措施-防火墙,防火墙的基本结构 屏蔽路由器 双宿主/多宿主主机体系结构 屏蔽主机体系结构 屏蔽子网体系结构,3.网络技术安全性的措施-防火墙,屏蔽路由器,3.网络技术安全性的措施-防火墙,双宿主/多宿主主机体系结构,3.网络技术安全性的措施-防火墙,屏蔽主机体系结构,3.网络技术安全性的措施-防火墙,屏蔽子网体系结构,3.网络技术安全性的措施-防火墙,防火墙的分类 包过滤防火墙 代理防火墙,3.网络技术安全性的措施-防火墙,（静态）包过滤原理 过滤

22、的规则以IP和传输层的头中的域(字段)为基础，包括源和目标IP地址、IP协议域、源和目标端口号 通过对信息头的检测可以决定是否将数据包发往目的地址，从而对进入和流出网络的数据进行监测和限制,3.网络技术安全性的措施-防火墙,包过滤路由器示意图,3.网络技术安全性的措施-防火墙,配置访问控制列表 访问控制列表(Access Control List)：包过滤规则构成的规则库 规则库一般包括以下各项：数据包源地址、数据包源端口、数据包目的地址、数据包目的端口、协议类型(TCP、UDP等)、数据流向、动作。,3.网络技术安全性的措施-防火墙,防火墙两种包过滤的规则配置 限制策略：一切未被允许的就是禁

23、止 管理员必须针对每一种新出现的攻击，制定新的规则 比较保守 根据需要，逐渐开放 宽松策略：一切未被禁止的就是允许的,3.网络技术安全性的措施-防火墙,动态数据包过滤 当配置了动态访问控制列表，可以实现指定用户的IP数据流临时通过防火墙时，进行会话连接。 当动态访问控制列表被触发后，它重新配置接口上的已有的访问控制列表，允许指定的用户访问指定的IP地址。 在会话结束后，将接口配置恢复到原来的状态 动态包过滤技术一般结合身份认证机制进行实现,3.网络技术安全性的措施-防火墙,状态包检测技术 又称为反射访问控制列表技术。反射访问控制列表能够动态建立访问控制表条目，在这些临时条目中不仅包含必要的包过

24、滤信息，还包含了网络会话的状态信息 状态检测表是一个记录当前连接的列表。状态检测防火墙把数据包与状态检测表及数据包过滤规则集对比，与两者均匹配的项才能通过 状态检测是通过连接跟踪技术实现的 这类防火墙减少了端口的开放时间，提供了对几乎所有服务的支持。缺点是它也允许外部客户和内部主机的直接连接；不提供用户的鉴别机制。,3.网络技术安全性的措施-防火墙,状态包检测的逻辑流程图,3.网络技术安全性的措施-防火墙,包过滤技术优缺点 优点是逻辑简单，成本低，对网络性能的影响较小，有较强的透明性。并且它的工作与应用层无关，无须改动任何客户机和主机上的应用程序，易于安装和使用。 缺点是访问控制列表的配置和维

25、护困难；难以详细了解主机之间的会话关系；基于网络层和传输层实现的包过滤防火墙难以实现对应用层服务的过滤,3.网络技术安全性的措施-防火墙,应用级代理(Application Proxy) 应用级代理(又称应用层代理)防火墙在网络应用层提供授权检查及代理服务。 当外部某台主机访问受保护网络时，必须先在防火墙上通过身份认证。通过身份认证后，防火墙运行相应的应用代理程序，把外部主机与内部主机连接，内部网络主机只接受应用层代理提出的服务请求，拒绝外部网络节点的直接请求。 同样，受保护网络的内部用户访问外部网络时也需要先登录到防火墙上，通过验证才可以使用Telnet等命令。,3.网络技术安全性的措施-防

26、火墙,应用层代理结构示意图,3.网络技术安全性的措施-防火墙,应用层代理技术优点 能支持可靠的用户认证并提供详细的注册信息 过滤规则更容易配置和测试 可以提供详细的日志和安全审计功能 可以隐藏内部网络的IP地址，保护内部主机免受外部主机的攻击,3.网络技术安全性的措施-防火墙,应用层代理技术的局限性 有限的连接性：可能需要针对每种应用设置一个不同的代理服务器 有限的技术：很难为RPC、Talk和其他通用协议族的服务提供代理 应用层实现的防火墙会造成明显的性能下降 对用户不透明，维护相对复杂 对操作系统和应用层的漏洞是脆弱的，不能有效检查底层信息,3.网络技术安全性的措施-防火墙,电路级代理(C

27、ircuit Level Gateway) 工作原理和组成结构与应用层代理相似 不针对专门的应用协议，是一种通用的TCP/UDP连接中继服务，是建立在传输层上的一种代理 实际上是更深入的报文过滤技术 对于所有的服务都采用相同的代理 通常都要求对客户程序进行修改 例子：SOCKS,3.网络技术安全性的措施-入侵检测,定义 主要任务 一般过程 分类 局限性,3.网络技术安全性的措施-入侵检测,入侵检测（IDS,Intrusion Detection System）是通过从计算机网络或系统中的若干关键点收集信息，并对其进行分析，从中发现网络或系统中“是否有违反安全策略的行为和遭到入侵“的迹象。,3.

28、网络技术安全性的措施-入侵检测,入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力，包括安全审计、监视、进攻识别和响应，提高了信息安全基础结构的完整性。 防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击外部攻击和误操作的实时保护。 是保障系统动态安全的核心技术之一。,3.网络技术安全性的措施-入侵检测,入侵检测的主要任务 监视、分析用户及系统活动 系统构造和弱点的审计 识别反映已知进攻的活动模式并报警 异常行为模式的统计分析 评估重要系统和数据文件的完整性 操作系统的审计跟踪管理，并识别用户违反安全策略的行为,3.网络技术安

29、全性的措施-入侵检测,信息源,数据预处理,检测模型,检测结果,响应处理,安全策略,信息收集,入侵检测一般过程,3.网络技术安全性的措施-入侵检测,处理流程 信息采集 - 转换为特征信号 - 信号检测 - 模式识别 模式识别、通信接收机、,信息源,数据预处理,检测模型,检测结果,响应处理,安全策略,信息收集,入侵检测的步骤,(1)收集信息 入侵检测利用的信息一般来自以下四个方面： 系统和网络监控日志文件 目录和文件中不期望的改变 程序执行中的不期望行为 物理形式的入侵信息,入侵检测的步骤,（2）数据分析 一般通过三种技术手段进行数据分析： 模式匹配 统计分析 完整性分析 其中前两种方法用于实时的

30、入侵检测，而完整性分析则用于事后分析。,3.网络技术安全性的措施-入侵检测,按检测分析方法不同，可将入侵检测系统分为： 异常检测IDS 误用检测IDS 按数据来源不同，可将入侵检测系统分为： 基于主机的IDS 基于网络的IDS,入侵检测系统的其它分类方法,按照时效性划分 脱机分析 联机分析 按照分布性划分 集中式 分布式 按照入侵检测系统的相应方式划分 主动的入侵检测系统 被动的入侵检测系统,入侵检测的分类,按照入侵检测的数据来源不同，可将入侵检测系统分为： 基于主机的IDS 基于网络的IDS,基于主机的IDS,基于主机的IDS一般以系统日志、应用程序日志等审计记录作为数据源。它通过比较审计记

31、录文件的记录与攻击签名以发现它们是否匹配。如果匹配，检测系统就向管理员发出入侵报警，并且采取相应的行动。,基于主机的IDS的入侵检测结构,入侵检测器,应急措施,数据采集,安全控制,主机系统,攻击模式库,配置模式库,报警,审计记录/协议数,基于主机的IDS的优点,能够确定攻击是否成功 适合于加密和交换环境 准实时检测和响应 不需要额外的硬件,基于网络的IDS,基于网络的IDS使用原始的网络分组数据包作为进行攻击分析的数据源，一般利用一个网络适配器来实时监视和分析所有通过网络进行传输的通信，一旦检测到攻击，IDS应答模块通过通知报警以及中断连接等方式，来对攻击作出反应。,基于网络的IDS的系统结构

32、,嗅探器,嗅探器,入侵分析引擎,管理/配置器,（接口）,网络安全数据库,分析结果,基于网络的IDS优点,实时检测、应答和攻击预警 能够检测到不成功的攻击企图 攻击者转移数据更困难 与操作系统无关 成本低,基于主机的IDS与基于网络的IDS比较,如果攻击不经过网络，基于网络的IDS无法检测到，只能通过使用基于主机的IDS来检测。 基于网络的IDS通过检查所有的包首标header来进行检测，而基于主机的IDS并不查看包首标，许多基于IP的拒绝服务攻击，只能通过查看它们通过网络传输时的包首标才能识别。 基于网络的IDS可以研究负载的内容，查找特定攻击中使用的命令或语法，这类攻击可以被实时检查包序列的

33、IDS迅速识别，而基于主机的系统无法看到负载，因此，也无法识别嵌入式的负载攻击。,入侵检测的分类,按照检测分析方法不同，可将入侵检测系统分为： 异常检测IDS 误用检测IDS,异常检测IDS,异常检测指的是根据非正常行为（系统或用户）和使用计算机资源非正常情况检测入侵行为。 是通过比较当前的系统和用户的行为是否偏离正常的行为特征轮廓来判断是否发生了入侵行为，是一种间接的方法。,异常检测的系统示意图,审计数据,系统正常行为特征轮廓,统计分析,偏离正常的行为特征,入侵行为,动态产生新的行为特征,更新,误用检测IDS,误用检测模型是指根据已知的入侵模式来检测入侵。 首先对已知的攻击方法进行攻击签名表

34、示，然后根据已经定义好的攻击签名，通过判断这些攻击签名是否出现来判断入侵行为，是一种直接的方法。,误用入侵检测模型,模式库,攻击者,报警,匹配,异常检测与误用检测比较,异常检测是试图发现一些未知的入侵行为，误用检测是标识一些已知的入侵行为。 异常检测是根据使用者的行为或资源使用情况来判断是否入侵，不依赖于具体行为是否出现来检测，而误用检测系统则通过对具体行为的判断和推理检测入侵。 异常检测的主要缺陷在于误检率很高，而误用检测系统由于依据具体特征库进行判断，准确率较高。 异常检测系统的具体系统的依赖性相对较小，而误用检测对具体系统的依赖性很强，移植性不好,入侵检测分析方法,介绍两种入侵检测的分析

35、方法，并比较其优缺点，一类是异常检测技术，另一类是误用检测技术。,异常检测技术,异常检测的主要前提是入侵活动是异常活动的子集，理想情况是异常活动集与入侵活动集相等。但实际上，入侵性活动集并不是总与异常活动集相符合，这样就存在4种可能性： （1）入侵性而非异常； （2）非入侵性而正常； （3）非入侵性而非异常； （4）入侵性而异常。 因此异常入侵检测要解决的问题是在这些活动集中发现入侵活动集。,异常检测技术的分类,统计分析检测方法 神经网络检测方法 机器学习检测方法 特征选择检测方法,异常检测技术统计分析方法,统计分析方法首先给系统对象（如用户文件、目录和设备等）创建一个统计描述，统计正常使用时

36、的一些测量属性（如访问次数、操作失败次数和延时等），测量属性的平均值将被用来与网络系统的行为进行比较。任何观察值在正常值范围之外时，就认为有入侵发生。例如，统计分析发现一个在早八点至晚六点不登录的帐户，却在凌晨两点试图登录，然后可能会标识成一个入侵行为。 统计分析的优点是它可以“学习”用户的使用习惯，从而具有较高的检测率和可用性。,统计分析方法贝叶斯（Bayes）分类算法,贝叶斯分类算法是一种基于统计分析的典型算法，具有最小错误率的概率分类算法，它根据所观察到的数据及概率进行推算，从而做出最优的抉择。,贝叶斯算法的基本思路,在入侵检测中，我们通过对随机事件的数据进行预处理，提取其相应特征，得到

37、一随机矢量 ，其中 表示系统不同方面的特征，（如磁盘I/O的互动数量，系统中的页面出错率等）。 贝叶斯分类算法就是把检测对象的行为进行分类，即对随机矢量 分类，比如分为正常行为，异常行为和入侵行为等。此时要求知道该变量对每一类行为的概率分布，然后根据贝叶斯定理得到每个类别的概率，最后将其归入概率最高的类别。,贝叶斯算法的具体方法,（1）假设已知先验概率 其中 ， 为类别的总数，和该变量对每一类行为的条件概率分布 ， （2）根据每一类别定义一个判别函数 ， 并且以后验概率作为判别函数，即 （3）判别规则：如果， ，则 （4）该决策使得在在观测值下 的错误率最小,后验概率的计算 甴上述公式可以看出

38、，只需比较 即可。 公式可简化为： 但是对于条件概率的选取，要求模型合理化和计算可行性，在实际中，可选取正态分布的概率密度模型。,贝叶斯算法的优点,在入侵检测中采用贝叶斯分类算法，是在现有网络入侵的算法存在误报率基础上，通过学习减少误报率的一种有效算法,异常检测算法神经网络检测法,神经网络检测是将神经网络算法用于对系统和用户的学习。通过训练神经网络连续的信息单元来进行入侵检测，网络的输入层由用户当前输入的命令和已执行的W个命令组成；用户执行过的命令被用来预测用户输入的下一个命令。当神经网络预测不出某用户正确的后续指令，表明有异常事件发生，以此进行入侵检测。,异常检测算法机器学习检测法,通过机器

39、学习实现入侵检测，主要方法有死记硬背式、监督学习、归纳学习、类比学习等。 根据离散数据临时序列学习获得个体、系统和网络的行为特征，并提出基于相似度实例的学习方法。 该方法通过新的序列相似度计算将原始数据转化为可度量的空间，从而进行入侵检测。,异常检测技术特征选择检测方法,在一组度量中挑选能检测出入侵的度量构成子集，来准确地预测或分类以检测到的入侵。但判断符合实际的度量是复杂的，因为合适地选择度量子集依赖于检测到的入侵类型,异常检测技术的优缺点,优点 能够检测出新的网络入侵方法的攻击 较少依赖于特定的主机操作系统 对于内部合法用户的越权违法行为的检测能力较强 缺点 误报率高 行为模型难以建立 难

40、以对入侵行为分类和命名,误用入侵检测技术的分类,基于知识的专家系统检测 模式匹配系统 条件概率检测方法 模型推理检测方法 状态转换分析方法,误用检测技术的优缺点,优点 检测准确度高 技术相对成熟 便于进行系统防护 缺点 不能检测出新的入侵行为 维护特征库的工作量大 难以检测来自内部用户的攻击,入侵检测系统的优点和局限性,入侵检测系统的优点 可以检测和分析系统事件以及用户行为 可以测试系统设置的安全状态 以系统的安全状态为基础，跟踪任何对系统安全的修改操作 通过模式识别等技术从通信行为中检测出已知的攻击行为 可以对网络通信行为进行统计，并进行检测分析,入侵检测系统的优点和局限性,局限性 无法弥补安全防御系统中的安全缺陷和漏洞。 对于高负载的网络和主机，很难实现对网络入侵的实时检测、报警和迅速地进行攻击、响应。 基于知识的入侵检测系统很难检测到未知的攻击行为。 入侵检测系统的主动防御功能和联动防御功能会对网络的行为产生影响。 入侵检测系统无法单独防止攻击行为的渗透。 网络入侵检测系统在纯交换环境中无法正常工作。 入侵检测系统主要是对网络行为进行分析，不能修正信息资源中存在的安全问题。,谢谢！,