论文部分内容阅读
[摘要] IDS分析系统从IDS存储系统中的数据进行进一步的分析,通常采用两种类型的检测技术,基于行为的检测和基于知识的检测。
[关键词] 检测 行为 知识
随着病毒,黑客入侵事件的日益猖獗,只从防御的角度构造安全系统是不够的。入侵检测(IDS)技术是继“防火墙”、“数据加密”等传统安全保护措施后新一代的安全保障技术。
本文提出的基于部件的分布式入侵检测系统FONIX,其主要组成部分包括主要部件有:网络引擎、主机代理、存储系统、IDS分析系统、响应系统、控制台。
IDS分析系统在整个FONIX系统中处于二级分析结构中,它从存储系统中的数据进行进一步的分析。由于分析系统和存储系统是利用统一的网络接口交换数据,所以一个IDS中可能有多个分析系统,每个分析系统采用的检测方法也不一定相同。在同一个分析系统中,也可以同时使用多种检测方法,对相同的数据使用不同的检测方法进行分析,对各自的检测结果进行比较,可以提高检测准确度,也可以完善不同的检测方法。
分析系统可以采用两种类型的检测技术:基于行为的检测和基于知识的检测。
一、基于行为的检测
基于行为的检测指根据使用者的行为或资源使用状况来判断是否入侵,而不依赖于具体行为是否出现来检测,所以也被称为异常检测(Anomaly Detection)。基于行为的检测与系统相对无关,通用性较强,能够检测出以前未出现过的攻击方法,其主要缺陷在于误检率很高。基于行为的检测方法主要有以下两种。
1.概率统计方法
概率统计方法要通过检测器并根据用户对象的动作为每个用户都建立一个用户特征表,通过比较当前特征与已存储定型的以前特征,来判断是否是异常行为。用户特征表需要根据审计记录情况不断地加以更新。用于描述特征的变量类型有:操作密度;审计记录分布;范畴尺度;数值尺度。
这些变量所记录的具体操作包括:CPU 的使用,I/O 的使用,使用地点及时间,邮件使用,编辑器使用,编译器使用,所创建、删除、访问或改变的目录及文件,网络上活动等。
这种方法的优越性在于能应用成熟的概率统计理论。但也有一些不足之处,如:统计检测对事件发生的次序不敏感,定义是否入侵的判断阈值也比较困难等。
2.神经网络方法
利用神经网络检测入侵的基本思想是用一系列信息单元(命令)训练神经单元,这样在给定一组输入后,就可能预测出输出。与统计理论相比,神经网络更好地表达了变量间的非线性关系,并且能自动学习并更新。
二、基于知识的检测
基于知识的检测也被称为违规检测(Misuse Detection)。这种方法依据具体特征库进行判断,即运用已知攻击方法,根据已定义好的入侵模式,通过判断这些入侵模式是否出现来检测。
主要缺陷在于与具体系统依赖性太强,难以检测出内部人员的入侵行为。基于知识的检测方法大致有以下3种。
1.专家系统
专家系统是将有关入侵的知识转化成if-then结构的规则,即将构成入侵所要求的条件转化为if 部分,将发现入侵后采取的相应措施转化成then部分。其中的if-then结构构成了描述具体攻击的规则库。
专家系统主要缺陷有全面性问题,即难以科学地从各种入侵手段中抽象出全面的规则化知识;其次效率。
2.模型推理
模型推理是指结合攻击脚本推理出入侵行为是否出现。其中有关攻击者行为的知识被描述为:攻击者目的,攻击者达到此目的的可能行为步骤,以及对系统的特殊使用等。
模型推理方法的优越性在于:对不确定性的推理有合理的数学理论基础,同时决策器使得攻击脚本可以与审计记录的上下文无关。另外,这种检测方法也减少了需要处理的数据量。
3.状态转换分析
状态转换法将入侵过程看作一个行为序列,这个行为序列导致系统从初始状态转入被入侵状态。分析时首先针对每一种入侵方法确定系统的初始状态和被入侵状态,以及导致状态转换的转换条件,即导致系统进入被入侵状态必须执行的操作(特征事件)。然后用状态转换图来表示每一个状态和特征事件,这些事件被集成于模型中,所以检测时不需要一个个地查找审计记录。
状态转换分析法的缺点是不善于分析过分复杂的事件,而且不能检测与系统状态无关的入侵。
三、结束语
IDS分析系统在整个IDS系统中处于二级分析结构中,它从存储系统中的数据进行进一步的分析。分析系统通常采用两种类型的检测技术,基于行为的检测和基于知识的检测。
基于行为的检测技术包括概率统计方法,神经网络方法。基于知识的检测技术分为专家系统;模型推理与状态转换分析。
参考文献:
[1]R.Agrawal and R.Srikant.Mining sequential patterns.In Proceedings of the 11th International Conference on Data Engineering ,Taipei,Taiwan,1995
[2]R.Agrawal,T.Imielinski,and A.Swami.Mining association rules between sets of items in arge databases.In Proceedings of the ACM SIGMOD Conference on Management of Data ,pages 207 216,1993
[3]Atkins,P.Buis,C.Hare,R.Kelley,C.Nachenberg,A.B.Nelson,P.Phillips,T.Ritchey,and W.Steen.Internet Security Professional Reference .New Riders Publishing,1996
[关键词] 检测 行为 知识
随着病毒,黑客入侵事件的日益猖獗,只从防御的角度构造安全系统是不够的。入侵检测(IDS)技术是继“防火墙”、“数据加密”等传统安全保护措施后新一代的安全保障技术。
本文提出的基于部件的分布式入侵检测系统FONIX,其主要组成部分包括主要部件有:网络引擎、主机代理、存储系统、IDS分析系统、响应系统、控制台。
IDS分析系统在整个FONIX系统中处于二级分析结构中,它从存储系统中的数据进行进一步的分析。由于分析系统和存储系统是利用统一的网络接口交换数据,所以一个IDS中可能有多个分析系统,每个分析系统采用的检测方法也不一定相同。在同一个分析系统中,也可以同时使用多种检测方法,对相同的数据使用不同的检测方法进行分析,对各自的检测结果进行比较,可以提高检测准确度,也可以完善不同的检测方法。
分析系统可以采用两种类型的检测技术:基于行为的检测和基于知识的检测。
一、基于行为的检测
基于行为的检测指根据使用者的行为或资源使用状况来判断是否入侵,而不依赖于具体行为是否出现来检测,所以也被称为异常检测(Anomaly Detection)。基于行为的检测与系统相对无关,通用性较强,能够检测出以前未出现过的攻击方法,其主要缺陷在于误检率很高。基于行为的检测方法主要有以下两种。
1.概率统计方法
概率统计方法要通过检测器并根据用户对象的动作为每个用户都建立一个用户特征表,通过比较当前特征与已存储定型的以前特征,来判断是否是异常行为。用户特征表需要根据审计记录情况不断地加以更新。用于描述特征的变量类型有:操作密度;审计记录分布;范畴尺度;数值尺度。
这些变量所记录的具体操作包括:CPU 的使用,I/O 的使用,使用地点及时间,邮件使用,编辑器使用,编译器使用,所创建、删除、访问或改变的目录及文件,网络上活动等。
这种方法的优越性在于能应用成熟的概率统计理论。但也有一些不足之处,如:统计检测对事件发生的次序不敏感,定义是否入侵的判断阈值也比较困难等。
2.神经网络方法
利用神经网络检测入侵的基本思想是用一系列信息单元(命令)训练神经单元,这样在给定一组输入后,就可能预测出输出。与统计理论相比,神经网络更好地表达了变量间的非线性关系,并且能自动学习并更新。
二、基于知识的检测
基于知识的检测也被称为违规检测(Misuse Detection)。这种方法依据具体特征库进行判断,即运用已知攻击方法,根据已定义好的入侵模式,通过判断这些入侵模式是否出现来检测。
主要缺陷在于与具体系统依赖性太强,难以检测出内部人员的入侵行为。基于知识的检测方法大致有以下3种。
1.专家系统
专家系统是将有关入侵的知识转化成if-then结构的规则,即将构成入侵所要求的条件转化为if 部分,将发现入侵后采取的相应措施转化成then部分。其中的if-then结构构成了描述具体攻击的规则库。
专家系统主要缺陷有全面性问题,即难以科学地从各种入侵手段中抽象出全面的规则化知识;其次效率。
2.模型推理
模型推理是指结合攻击脚本推理出入侵行为是否出现。其中有关攻击者行为的知识被描述为:攻击者目的,攻击者达到此目的的可能行为步骤,以及对系统的特殊使用等。
模型推理方法的优越性在于:对不确定性的推理有合理的数学理论基础,同时决策器使得攻击脚本可以与审计记录的上下文无关。另外,这种检测方法也减少了需要处理的数据量。
3.状态转换分析
状态转换法将入侵过程看作一个行为序列,这个行为序列导致系统从初始状态转入被入侵状态。分析时首先针对每一种入侵方法确定系统的初始状态和被入侵状态,以及导致状态转换的转换条件,即导致系统进入被入侵状态必须执行的操作(特征事件)。然后用状态转换图来表示每一个状态和特征事件,这些事件被集成于模型中,所以检测时不需要一个个地查找审计记录。
状态转换分析法的缺点是不善于分析过分复杂的事件,而且不能检测与系统状态无关的入侵。
三、结束语
IDS分析系统在整个IDS系统中处于二级分析结构中,它从存储系统中的数据进行进一步的分析。分析系统通常采用两种类型的检测技术,基于行为的检测和基于知识的检测。
基于行为的检测技术包括概率统计方法,神经网络方法。基于知识的检测技术分为专家系统;模型推理与状态转换分析。
参考文献:
[1]R.Agrawal and R.Srikant.Mining sequential patterns.In Proceedings of the 11th International Conference on Data Engineering ,Taipei,Taiwan,1995
[2]R.Agrawal,T.Imielinski,and A.Swami.Mining association rules between sets of items in arge databases.In Proceedings of the ACM SIGMOD Conference on Management of Data ,pages 207 216,1993
[3]Atkins,P.Buis,C.Hare,R.Kelley,C.Nachenberg,A.B.Nelson,P.Phillips,T.Ritchey,and W.Steen.Internet Security Professional Reference .New Riders Publishing,1996