基于存储的入侵检测技术

基于存储的入侵检测技术

数据采集

数据特征分析

• 时间戳：精确显示每次打开、读取、写入或删除的时间；
• 进程名称：存储操作动作的发出者；
• 操作请求：包括 Fast I/O操作请求和IRP操作请求；
• 被操作的文件路径：存储操作响应的接受者；
• 操作结果状态：显示操作的最终结果；
• 具体读写信息：提供了与读写相关的数据长度和偏移量等。

数据预处理和规约

未处理的存储操作数据存在以下问题：

（1）某些正常和异常数据具有相同的取值特征，对于区分攻击类型起不到直接的作用；

（2）某些数据属性的表达方式不适合直接输入算法进行处理；

（3）对比网络数据和存储数据发现：网络数据产生于ISO模型的网络层或传输层，可靠性较高；而存储层次的数据质量相对较低，冗余操作、低信息量和错误数据充斥在正常操作的数据集里。

基于数据控掘的攻击模式自动生成

• 入侵数据会随着用户应用的变化而变化，而误用检测是基于预先定义好的模式。这就意味着它不可能根据应用数据的变化而自适应地修改攻击检测模式。对于现有的攻击手段的简单变种，误用检测就显得无能为力了，更不用说对于新的攻击技术了。
• 攻击检测模型的更新需要依靠安全专家手工完成，而面对日益增加的大量网络数据流，仅仅依靠安全专家用肉眼去发现所有的攻击模式是不现实的。不能及时更新模式库，势必导致入侵检测的误报率明显增加，因此，需要有自动化的工具来发现攻击模式

判定树分类方法

决策树（判决树）是一种机器学习算法，是一种从无次序、无规则的样本数据集中推理出决策树表示形式的分类方法。采用自顶向下的递归方式，在决策树的内部节点进行属性值的比较并根据不同的属性值判断从该节点向下的分支，最后在决策树的叶节点得到分类结果或者预测结论。

常用决策树算法有：ID3、C4.5、Cart算法等。

决策树的构建

• 信息熵（Entropy）

  • 一条信息的信息量和它的不确定性有着直接的关系。
    
    

• 数据集的信息熵
  

ID3决策树建立算法

1. 决定分类属性；
2. 对目前的数据表，建立一个节点N；
3. 如果数据库中的数据都属于同一个类，N就是树叶，在树叶上标出所属的类；
4. 如果数据表中没有其他属性可以考虑，则N也是树叶，按照少数服从多数的原则在树叶上标出所属类别；
5. 吞则，根据平均信息期望值E或GAIN值选出一个最佳属性作为节点N的测试属性；
6. 节点属性选定后，对于该属性中的每个值：从N生成一个分支，并将数据表中与该分支有关的数据收集形成分支节点的数据表，在表中删除节点属性一栏；
7. 如果分支数据表属性非空，则转1，运用以上算法从该节点建立子树。

IDS间基于协作的联合防御

• 定义1：一个IDS只能检测自身所在的某一网络、主机和存储器范围，这个范围内受检测的网络、主机和存储器集合构成此IDS的检测范围。
• 定义2：一个IDS检测范围内的网络、主机或存储器称此IDS为管辖IDS。
• 定义3：发起入侵或攻击行为的主机称为入侵者或攻击者
• 定义4：这些主机、进程可能是被利用作为入侵或攻击的跳板。入侵或攻击行为的真实发起者被称为实际入侵者或实际攻击者。
• 定义5：入侵或攻击行为的目标称为受害者。

相关工作介绍

• 主动防御模式
• 通知预警模式
• 上述两种协作模式，可以使多个IDS之间共同采取措施应对入侵行为，进行联合防御，增强共同的安全性

典型协作模式分析

• GIDO对象与CISL语言。
• 熟人模型。
  • 合作规则
  • 渐忘规则
  • 推荐规则

主动防御模式

通知预警模式