入侵检测技术综之不可忽视的社会工程学

核心提示： 2.3入侵检测分析技术 入侵分析的任务就是在提取到的庞大的数据中找到入侵的痕迹，入侵分析过程需要将提取到的事件与入侵检测规则进行比较，入侵检测技术综之不可忽视的社会工程学(8)，从而发现入侵行为，一方面入侵检测系统需要尽可能多地提取数据以获得足够的入侵证据，分析策略就由若干条检测规则构成，

2.3入侵检测分析技术

入侵分析的任务就是在提取到的庞大的数据中找到入侵的痕迹。入侵分析过程需要将提取到的事件与入侵检测规则进行比较，从而发现入侵行为。一方面入侵检测系统需要尽可能多地提取数据以获得足够的入侵证据，而另一方面由于入侵行为的千变万化而导致判定入侵的规则越来越复杂，为了保证入侵检测的效率和满足实时性的要求，入侵分析必须在系统的性能和检测能力之间进行权衡，合理地设计分析策略，并且可能要牺牲一部分检测能力来保证系统可靠、稳定地运行并具有较快的响应速度。

分析策略是入侵分析的核心，系统检测能力很大程度上取决于分析策略。在实现上，分析策略通常定义为一些完全独立的检测规则。基于网络的入侵检测系统通常使用报文的模式匹配或模式匹配序列来定义规则，检测时将监听到的报文与模式匹配序列进行比较，根据比较的结果来判断是否有非正常的网络行为。这样以来，一个入侵行为能不能被检测出来主要就看该入侵行为的过程或其关键特征能不能映射到基于网络报文的匹配模式序列上去。有的入侵行为很容易映射，如ARP欺骗，但有的入侵行为是很难映射的，如从网络上下载病毒。对于有的入侵行为，即使理论上可以进行映射，但是在实现上是不可行的，比如说有的网络行为需要经过非常复杂的步骤或较长的过程才能表现其入侵特性，这样的行为由于具有非常庞大的模式匹配序列，需要综合大量的数据报文来进行匹配，因而在实际上是不可行的。而有的入侵行为由于需要进行多层协议分析或有较强的上下文关系，需要消耗大量的处理能力来进行检测，因而在实现上也有很大的难度。

入侵分析按照其检测规则可以分为两类[2]：

基于特征的检测规则。这种分析规则认为入侵行为是可以用特征代码来标识的。比如说，对于尝试帐号的入侵，虽然合法用户登录和入侵者尝试的操作过程是一样的，但返回结果是不同的，入侵者返回的是尝试失败的报文，因此，只要提取尝试失败的报文中的关键字段或位组作为特征代码，将它定义为检测规则，就可以用来检测该类入侵行为。这样，分析策略就由若干条检测规则构成，每条检测规则就是一个特征代码，通过将数据与特征代码比较的方式来发现入侵。