常用的入侵檢測方法
侵檢測系統常用的入侵檢測方法有特征檢測、統計檢測與專家系統。而國內的入侵檢測產品中95%是屬于使用入侵模板進行模式匹配的特征檢測產品,其他5%是采用概率統計的統計檢測產品與基于日志的專家知識庫系產品。
特征檢測
特征檢測對已知的攻擊或入侵的方式作出確定性的描述,形成相應的事件模式。當被審計的事件與已知的入侵事件模式相匹配時,即報警。原理上與專家系統相仿。其檢測方法上與計算機病毒的檢測方式類似。目前基于對包特征描述的模式匹配應用較為廣泛。該方法預報檢測的準確率較高,但對于無經驗知識的入侵與攻擊行為無能為力。
統計檢測
統計模型常用異常檢測,在統計模型中常用的測量參數包括:審計事件的數量、間隔時間、資源消耗情況等。常用的入侵檢測方法5種統計模型為:
1、操作模型,該模型假設異常可通過測量結果與一些固定指標相比較得到,固定指標可以根據經驗值或一段時間內的統計平均得到,舉例來說,在短時間內的多次失敗的登錄很有可能是口令嘗試攻擊;
2、方差,計算參數的方差,設定其置信區間,當測量值超過置信區間的范圍時表明有可能是異常;
3、多元模型,操作模型的擴展,通過同時分析多個參數實現檢測;
4、馬爾柯夫過程模型,將每種類型的事件定義為系統狀態,用狀態轉移矩陣來表示狀態的變化,當一個事件發生時,或狀態矩陣該轉移的概率較小則可能是異常事件;
5、時間序列分析,將事件計數與資源耗用根據時間排成序列,如果一個新事件在該時間發生的概率較低,則該事件可能是入侵。
統計方法的最大優點是它可以“學習”用戶的使用習慣,從而具有較高檢出率與可用性。但是它的“學習”能力也給入侵者以機會通過逐步“訓練”使入侵事件符合正常操作的統計規律,從而透過入侵檢測系統。
專家系統
用專家系統這種入侵檢測方法,經常是針對有特征入侵行為。所謂的規則,即是知識,不同的系統與設置具有不同的規則,且規則之間往往無通用性。專家系統的建立依賴于知識庫的完備性,知識庫的完備性又取決于審計記錄的完備性與實時性。入侵的特征抽取與表達,是入侵檢測專家系統的關鍵。在系統實現中,將有關入侵的知識轉化為if-then結構(也可以是復合結構),條件部分為入侵特征,then部分是系統防范措施。運用專家系統防范有特征入侵行為的有效性完全取決于專家系統知識庫的完備性。
文件完整性檢查
這種入侵檢測方法是系統檢查計算機中自上次檢查后文件變化情況。文件完整性檢查系統保存有每個文件的數字文摘數據庫,每次檢查時,它重新計算文件的數字文摘并將它與數據庫中的值相比較,如不同,則文件已被修改,若相同,文件則未發生變化。
文件的數字文摘通過Hash函數計算得到。不管文件長度如何,它的Hash函數計算結果是一個固定長度的數字。與加密算法不同,Hash算法是一個不可逆的單向函數。采用安全性高的Hash算法,如MD5、SHA時,兩個不同的文件幾乎不可能得到相同的Hash結果。從而,當文件一被修改,就可檢測出來。在文件完整性檢查中功能最全面的當屬Tripwire。
文件完整性檢查系統的優點
從數學上分析,攻克文件完整性檢查系統,無論是時間上還是空間上都是不可能的。文件完整性檢查系統是非常強勁的檢測文件被修改的工具。實際上,文件完整性檢查系統是一個檢測系統被非法使用的最重要的入侵檢測方法之一。
文件完整性檢查系統具有相當的靈活性,可以配置成為監測系統中所有文件或某些重要文件。
當一個入侵者攻擊系統時,他會干兩件事,首先,他要掩蓋他的蹤跡,即他要通過更改系統中的可執行文件、庫文件或日志文件來隱藏他的活動;其它,他要作一些改動保證下次能夠繼續入侵。這兩種活動都能夠被文件完整性檢查系統檢測出。
文件完整性檢查系統的弱點
文件完整性檢查系統依賴于本地的文摘數據庫。與日志文件一樣,這些數據可能被入侵者修改。當一個入侵者取得管理員權限后,在完成破壞活動后,可以運行文件完整性檢查系統更新數據庫,從而瞞過系統管理員。當然,可以將文摘數據庫放在只讀的介質上,但這樣的配置不夠靈活性。
做一次完整的文件完整性檢查是一個非常耗時的工作,在Tripwire中,在需要時可選擇檢查某些系統特性而不是完全的摘要,從而加快檢查速度。
系統有些正常的更新操作可能會帶來大量的文件更新,從而產生比較繁雜的檢查與分析工作,如,在Windows NT系統中升級MS-Outlook將會帶來1800多個文件變化。
【編輯推薦】
