| 误用入侵检测通常称为基于特征的入侵检测方法,是指根据已知的入侵模式检测入侵行为。攻击者常常利用系统和应用软件中的漏洞技术进行攻击,而这些基于漏洞的攻击方法具有某种特征模式。如果入侵者的攻击方法恰好匹配上检测系统中的特征模式,则入侵行为立即被检测到,如下图所示。
|
|
|
|
|
|
|
| 显然,误用入侵检测依赖于攻击模式库。因此,这种采用误用入侵检测技术的IDS产品的检测能力就取决于攻击模式库的大小以及攻击方法的覆盖面。如果攻击模式库太小,则IDS的有效性就大打折扣。而如果攻击模式库过大,则IDS的性能会受到影响。
|
|
|
| 基于上述分析,误用入侵检测的前提条件是,入侵行为能够按某种方式进行特征编码,而入侵检测的过程实际上就是模式匹配的过程。根据入侵特征描述的方式或构造技术,误用检测方法可以进一步细分。下面介绍几种常见的误用检测方法。
|
|
|
|
|
| 基于条件概率的误用检测方法,是将入侵方式对应一个事件序列,然后观测事件发生序列,应用贝叶斯定理进行推理,推测入侵行为。令ES表示某个事件序列,发生入侵的先验概率为P(Intrusion),发生入侵时该事件序列ES出现的后验概率为P(ES|Intrusion),该事件序列出现的概率为P(ES),则有:
|
|
|
|
|
| 通常网络安全员可以给出先验概率P(Intrusion),对入侵报告进行数据统计处理可得P(ES|?Intrusion)和P(ES|Intrusion),于是可以计算出:
|
|
|
| P(ES)=[P(ES|Intrusion)-P(ES|?Intrusion)]×P(Intrusion)+P(ES|?Intrusion)
|
|
|
| 因此,可以通过对事件序列的观测推算出P(Intrusion|ES)。基于条件概率的误用检测方法是基于概率论的一种通用方法。它是对贝叶斯方法的改进,其缺点是先验概率难以给出,而且事件的独立性难以满足。
|
|
|
|
|
| 状态迁移方法利用状态图表示攻击特征,不同状态刻画了系统某一时刻的特征。初始状态对应于入侵开始前的系统状态,危害状态对应于已成功入侵时刻的系统状态。初始状态与危害状态之间的迁移可能有一个或多个中间状态。攻击者的操作将导致状态发生迁移,使系统从初始状态迁移到危害状态。基于状态迁移的误用检测方法通过检查系统的状态变化发现系统中的入侵行为。采用该方法的IDS有STAT(State Transition Analysis Technique)和USTAT(State Transition Analysis Tool for UNIX)。
|
|
|
|
|
| 基于键盘监控的误用检测方法,是假设入侵行为对应特定的击键序列模式,然后监测用户的击键模式,并将这一模式与入侵模式匹配,从而发现入侵行为。这种方法的缺点是,在没有操作系统支持的情况下,缺少捕获用户击键的可靠方法。此外,也可能存在多种击键方式表示同一种攻击。而且,如果没有击键语义分析,用户提供别名(例如Korn shell)很容易欺骗这种检测技术。最后,该方法不能够检测恶意程序的自动攻击。
|
|
|
|
|
| 基于规则的误用检测方法是将攻击行为或入侵模式表示成一种规则,只要符合规则就认定它是一种入侵行为。这种方法的优点是,检测起来比较简单,但是也存在缺点,即检测受到规则库限制,无法发现新的攻击,并且容易受干扰。目前,大部分IDS采用的是这种方法。Snort是典型的基于规则的误用检测方法的应用实例。
|
|
|
