启发式门限检测是传统门限检测的改进,对于包含大量用户或目标环境的系统来说,可以大 幅度地提高检测的准确性。举例来说,传统的门限检测设置的检测规则是:在一个小时之内,女口 果登录失败的次数大于 3次,就认为出现异常;而在启发式门限检测中,则将检测规则定义为: 当登录失败的次数大于1个异常数时,就会发出报警信息。这个异常数可以使用多种方式来设定, 例如使用高斯函数计算平均的登录失败次数 m,并计算出标准的偏移量 S,检测过程中将实际 的登录失败次数和 m+ S相比较,检查是否超出门限值。
3. 目标完整性检查(target-based integrity checks ) 另一种量化分析方法是基于目标的完整性检查,即针对系统中某些关键的对象,检查是否受到无 意或恶意的更改。完整性检查最通用的方式是使用消息摘要函数( messagedigestfunctio\计算系 统对象的密码校验值,并将计算得到的参考值存放在安全区域(例如存储在只读介质上)。系统 定时地计算校验值,与预先存储的参考值相比较,如果发现偏差,就发出报警信息。 Tripwire是 最著名的完整性校验工具,开发商同时提供了商业版和可供免费下载的研究版。
4. 量化分析和数据精简(quantitative analysisand data reduction )在早期的入侵检测 系统中,量化分析常常被用来对原始数据进行精简。数据精简是指去除原始事件数据中所包含的 冗余信息,由于原始数据量通常非常庞大,因此数据精简可以有效地减少对系统存储资源的占用, 优化检测过程。
统计分析 最早的异常检测系统采用的是统计分析技术,包括我们以前所提到的 Haystack系统,都属于这个类别。
IDES, NIDES以及
统计分析的优缺点:基于统计的异常检测分析方法最初的目标是针对那些冒充合法用户的入 侵者。早期的研究者认为统计分析可以揭示某些我们感兴趣的、可疑的活动,从而发现违背安全 策略的行为。NADIR系统的出现证明了这一点,根据 LosAlamos国家实验室开发人员的报告, 利用NADIR得到的信息,发现了大量的系统本身和安全管理过程中存在的问题, 为提高系统安 全性和保证管理的高效性提供了帮助。
统计分析的另一个优势在于维护上的方便,不像误用检测系统那样需要对规则库不断地更新 和维护。这种说法的成立依赖于某些条件:分析时所采用的度量( metrics)必须精心挑选,保证 足以完成准确的鉴别;用户行为的改变必须对相应的度量产生一致性的变化,保证行为模式的更 新。如果这些条件都可以满足,那么对于那些我们所感兴趣的异常行为,检测器就可以可靠并高 效地完成检测任务,并且不需要对系统进行即时(on-the-fly )的更新。
另一方面,统计分析也存在一些明显的缺陷。首先,大多数统计分析系统是以批处理的方式 对审计记录进行分析的,不能提供对入侵行为的实时检测和自动响应的功能。这个问题在统计分 析系统刚出现时并没有被注意到, 因为早期的系统都采用集中式监控的方式来对审计记录进行监 视和分析。尽管后期的系统开始尝试对审计数据进行实时的分析,但由于数据处理过程和模式库 的维护都需要大量的存储资源和计算资源,因此检测系统总是滞后于审计记录的产生。统计分析 的另一个问题在于所能表达的事件范围。统计分析的特性导致了它不能反映事件在时间顺序上的 前后相关性,因此事件发生的顺序通常不作为分析引擎所考察的系统属性。然而,许多预示着入 侵行为的系统异常都依赖于事件的发生顺序,在这种情况下,使用统计分析进行异常检测就有了 很大的局限性。
另外,与Denning的操作模型所使用的量化分析相类似, 如何确定合适的门限值,同样是统计分 析所面临的棘手问题。门限值如果选择得不恰当,就会导致系统出现大量的错误报警。错误的报 警通常包括漏报(false negative)和误报(false positive两种类型,两者相互影响、相互制约。 漏报率高,对于许多入侵行为就无法检测到; 误报率高,则会降低用户的警惕性,忽略报警信息, 甚至关闭系统的检测功能。
基于规则的检测
另一种异常检测技术是基于规则 (rule-based的检测。这种技术所基于的前提与统计异常检 测相
类似。其区别在于:基于规则的入侵检测系统使用一系列的规则( 统度量(metrics)来表示系统的使用模式。 课堂总结
rules)而不是统计出的系
本次课主要介绍入侵分析的各项应用技术,包括基于误用检测( misuse detection的模式匹 配、专家系统、状态转移,基于异常检测(ano maly detection)的量化分析、统计分析、介绍过 程中还会穿插一些作者在研究入侵检测系统时的经验和体会。
06数据分析技术 - 图文
