基於存儲的入侵檢測技術
數據採集
數據特徵分析
- 時間戳:精確顯示每次打開、讀取、寫入或刪除的時間;
- 進程名稱:存儲操作動作的發出者;
- 操作請求:包括 Fast I/O操作請求和IRP操作請求;
- 被操作的文件路徑:存儲操作響應的接受者;
- 操作結果狀態:顯示操作的最終結果;
- 具體讀寫信息:提供了與讀寫相關的數據長度和偏移量等。
數據預處理和規約
未處理的存儲操作數據存在以下問題:
(1)某些正常和異常數據具有相同的取值特徵,對於區分攻擊類型起不到直接的作用;
(2)某些數據屬性的表達方式不適合直接輸入算法進行處理;
(3)對比網絡數據和存儲數據發現:網絡數據產生於ISO模型的網絡層或傳輸層,可靠性較高;而存儲層次的數據質量相對較低,冗餘操作、低信息量和錯誤數據充斥在正常操作的數據集裏。
基於數據控掘的攻擊模式自動生成
- 入侵數據會隨着用戶應用的變化而變化,而誤用檢測是基於預先定義好的模式。這就意味着它不可能根據應用數據的變化而自適應地修改攻擊檢測模式。對於現有的攻擊手段的簡單變種,誤用檢測就顯得無能爲力了,更不用說對於新的攻擊技術了。
- 攻擊檢測模型的更新需要依靠安全專家手工完成,而面對日益增加的大量網絡數據流,僅僅依靠安全專家用肉眼去發現所有的攻擊模式是不現實的。不能及時更新模式庫,勢必導致入侵檢測的誤報率明顯增加,因此,需要有自動化的工具來發現攻擊模式
判定樹分類方法
決策樹(判決樹)是一種機器學習算法,是一種從無次序、無規則的樣本數據集中推理出決策樹表示形式的分類方法。採用自頂向下的遞歸方式,在決策樹的內部節點進行屬性值的比較並根據不同的屬性值判斷從該節點向下的分支,最後在決策樹的葉節點得到分類結果或者預測結論。
常用決策樹算法有:ID3、C4.5、Cart算法等。
決策樹的構建
-
信息熵(Entropy)
- 一條信息的信息量和它的不確定性有着直接的關係。
![在這裏插入圖片描述]()
![在這裏插入圖片描述]()
- 一條信息的信息量和它的不確定性有着直接的關係。
-
數據集的信息熵
![在這裏插入圖片描述]()
ID3決策樹建立算法
- 決定分類屬性;
- 對目前的數據表,建立一個節點N;
- 如果數據庫中的數據都屬於同一個類,N就是樹葉,在樹葉上標出所屬的類;
- 如果數據表中沒有其他屬性可以考慮,則N也是樹葉,按照少數服從多數的原則在樹葉上標出所屬類別;
- 吞則,根據平均信息期望值E或GAIN值選出一個最佳屬性作爲節點N的測試屬性;
- 節點屬性選定後,對於該屬性中的每個值:從N生成一個分支,並將數據表中與該分支有關的數據收集形成分支節點的數據表,在表中刪除節點屬性一欄;
- 如果分支數據表屬性非空,則轉1,運用以上算法從該節點建立子樹。
IDS間基於協作的聯合防禦
- 定義1:一個IDS只能檢測自身所在的某一網絡、主機和存儲器範圍,這個範圍內受檢測的網絡、主機和存儲器集合構成此IDS的檢測範圍。
- 定義2:一個IDS檢測範圍內的網絡、主機或存儲器稱此IDS爲管轄IDS。
- 定義3:發起入侵或攻擊行爲的主機稱爲入侵者或攻擊者
- 定義4:這些主機、進程可能是被利用作爲入侵或攻擊的跳板。入侵或攻擊行爲的真實發起者被稱爲實際入侵者或實際攻擊者。
- 定義5:入侵或攻擊行爲的目標稱爲受害者。
相關工作介紹
- 主動防禦模式
- 通知預警模式
- 上述兩種協作模式,可以使多個IDS之間共同採取措施應對入侵行爲,進行聯合防禦,增強共同的安全性
典型協作模式分析
- GIDO對象與CISL語言。
- 熟人模型。
- 合作規則
- 漸忘規則
- 推薦規則
主動防禦模式
通知預警模式
