(一)误用入侵检测(基于特征的入侵检测方法)
根据己知入侵模式检测入侵行为。攻击者常针对系统和软件漏洞展开攻击(具有某种特征模式)。如果入侵攻击方法匹配上检测系统中的特征模式,入侵立即被检测到。
(二)误用入侵检测
(1)特点:误用入侵检测依赖于攻击模式库。检测能力取决于攻击模式库大小及攻击方法的覆盖面(库小效果差,库大性能差)
(2)前提条件:入侵行为能够按某种方式进行特征编码,入侵检测过程实际就是模式匹配过程。
(三)常见检测方法
检测方法 | 说明 | |
1 | 基于条件概率 | 基于概率论(贝叶斯方法改进),将入侵方式对应一个事件序列,观测事件发生序列 优点:应用贝叶斯定理推理,推测入侵行为 缺点:先验概率难以给出,且事件独立性难以满足 |
2 | 基于状态迁移 | 利用状态图(不同状态刻画某一时刻特征)表示攻击特征,检查系统状态变化发现入侵行为 ①初始状态:入侵开始前系统状态 ②危害状态:己成功入侵时刻的系统状态(攻击操作导致迁移到危害状态) ③中间状态:初始状态与危害状态之间的迁移态 典型IDS: STAT(State Transition Analysis Technique) USTAT(State Transition Analysis Tool for UNIX) |
3 | 基于键盘监控 | 假设入侵行为对应特定击键序列模式,监测用户击键模式,与入侵模式匹配发现入侵行为 缺点:没有系统支持,缺少捕获用户击键的可靠方法。可能存在多种击键方式表示同一种攻击。如果没有击键语义分析,用户提供别名容易欺骗过关。不能检测恶意程序自动攻击 |
4 | 基于规则 | 将攻击行为或入侵模式表示成一种规则,只要符合规则就认定是入侵 优点:检测简单 缺点:检测受规则库限制,无法发现新攻击,且容易受干扰 大部分IDS采用本方法,Snort是典型应用实例 |