概念：入侵检测 入侵检测通用框架（IDWG CIDF CVE）

理解：入侵检测原理、入侵检测系统分类、误用检测和异常检测的区别及特点

运用举例：

能够依据具体的应用场景，选择恰当的入侵检测系统部署方法，满足应用需求。

一、概述

1.概念

入侵：绕过系统安全机制的非授权行为。

入侵检测：是一种对计算机系统或者网络事件进行监测并分析这些入侵事件特征的过程。

入侵检测系统：自动进行这种监测和分析过程的软件或硬件产品。

误报：检测系统在系统在检测时把系统的正常行为判为入侵行为的错误被称为误报。

漏报：检测系统在检测时把某些入侵行为判为正常行为的错误现象称为漏报。

检测原理：通过对计算机网络或者计算机系统中得若干关键点收集信息并对其进行分析，从中发现网络或者系统中是否有违反安全策略的行为和被攻击的迹象

技术要求：入侵检测系统需要更多的智能，它必须可以将得到的数据进行分析，并得出有用的结果。一个合格的入侵检测系统能大大的简化管理员的工作，保证网络安全的运行

系统部署：入侵检测系统是处于防火墙之后对网络活动的实时监控，不仅能检测来自外部的入侵行为，同时也监督内部用户的未授权活动

2、入侵检测系统分类

按数据检测方法：异常检测模型，误用检测模型

        异常检测：首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵

        误用检测：收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵

按系统结构：集中式、分布式

按时效性：离线入侵检测系统、在线入侵检测系统

按数据来源：基于主机的入侵检测系统HIDS、基于网络的入侵检测系统NIDS、混合型入侵检测系统Hybrid IDS、网络节点入侵检测系统NNIDS

主机IDS：运行于被检测的主机之上，通过查询、监听当前系统的各种资源的使用运行状态，发现系统资源被非法使用和修改的事件，进行上报和处理

              特点：安装于被保护的主机中系统日志、系统调用、文件完整性检查；主要分析主机内部活动、占用一定系统资源

网络IDS：通过在共享网段上对通信数据的侦听采集数据，分析可疑现象。这类系统不需要主机提供严格的审计，对主机资源消耗少，并可以提供对网络通用的保护而无需顾及异构主机的不同架构。

             特点：安装在被保护的网段中，混杂模式监听、分析网段中所有的数据包、实时监测和响应

二、通用入侵检测框架

1.IDWG入侵检测工作组

目的：定义数据格式、定义交换流程

输出：需求文件、公共入侵检测语言规范、框架文件

目前成果：尚未形成正式标准，形成4个草案

组成：传感器、分析器和管理器

安全策略：预定义的、正式的成文的说明，它定义了组织机构内网络或特点主机上允许发生的目的为支持组织机构要求的活动。

2.CIDF通用入侵检测框架

体系结构的IDS模块，便于审计数据和数据传送的规范

3.CVE通用漏洞披露

目标：标准化命名所有公共已知的脆弱性和安全暴露

三、入侵检测技术原理

1.数据采集技术：高速网络线速采集、包俘虏、主机信息采集

2.数据检测技术：

2.1基于误用的检测：运用已知攻击方法，根据已定义好的入侵模式，通过判断这些入侵模式是否出现来检测；通过分析入侵过程的特征、条件、排列以及事件间关系能具体描述入侵行为的迹象；检测准确度很高，无法检测未知入侵。

专家系统、模式匹配检测

2.2基于异常的检测：前提：入侵是异常活动的子集；用户轮廓(Profile): 通常定义为各种行为参数及其阀值的集合，用于描述正常行为范围

      特点：指标：漏报率低，误报率高，可检测未知入侵

      具体实现：基于统计学方法的异常检测、基于神经网络的异常检测、基于数据挖掘的异常检测

3.数据分析技术

       常见类型：协议解析、有限状态自动机、ACBM字符串匹配、正则表达式、事件规则树、完整性分析

四、入侵检测系统部署

1.NIDS传感器的部署方法

共享环境：Hub    交换环境：SPAN/端口镜像、TAP分接器

2.外围支撑技术

3.评价指标

三个因素：准确性、处理性能、完备性

增加两个：容错性、及时性

4.性能测试

HIDS：漏报率、误报率、资源占用率

NIDS：漏报率、误报率、特征库强度

模拟背景流量

习题：