入侵檢測(cè)技術(shù)

1、第第 7 章章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù)本章學(xué)習(xí)目標(biāo)：本章學(xué)習(xí)目標(biāo)：了解入侵檢測(cè)系統(tǒng)的原理了解入侵檢測(cè)系統(tǒng)的原理掌握入侵檢測(cè)系統(tǒng)的核心技術(shù)掌握入侵檢測(cè)系統(tǒng)的核心技術(shù)了解入侵檢測(cè)系統(tǒng)的作用了解入侵檢測(cè)系統(tǒng)的作用了解入侵檢測(cè)技術(shù)的發(fā)展趨勢(shì)了解入侵檢測(cè)技術(shù)的發(fā)展趨勢(shì)掌握入侵檢測(cè)系統(tǒng)在網(wǎng)絡(luò)安全中的地位掌握入侵檢測(cè)系統(tǒng)在網(wǎng)絡(luò)安全中的地位掌握評(píng)價(jià)入侵檢測(cè)系統(tǒng)的性能指標(biāo)掌握評(píng)價(jià)入侵檢測(cè)系統(tǒng)的性能指標(biāo) 27.1 7.1 入侵檢測(cè)系統(tǒng)概述入侵檢測(cè)系統(tǒng)概述 防火墻是所有保護(hù)網(wǎng)絡(luò)的方法中最能普遍接受的方法，能阻擋防火墻是所有保護(hù)網(wǎng)絡(luò)的方法中最能普遍接受的方法，能阻擋外部入侵者，但對(duì)內(nèi)部攻擊無(wú)能為力；同時(shí)，防火墻絕對(duì)

2、不是堅(jiān)不外部入侵者，但對(duì)內(nèi)部攻擊無(wú)能為力；同時(shí)，防火墻絕對(duì)不是堅(jiān)不可摧的，即使是某些防火墻本身也會(huì)引起一些安全問題。防火墻不可摧的，即使是某些防火墻本身也會(huì)引起一些安全問題。防火墻不能防止通向站點(diǎn)的后門，不提供對(duì)內(nèi)部的保護(hù)，無(wú)法防范數(shù)據(jù)驅(qū)動(dòng)能防止通向站點(diǎn)的后門，不提供對(duì)內(nèi)部的保護(hù)，無(wú)法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊，不能防止用戶由型的攻擊，不能防止用戶由internetinternet上下載被病毒感染的計(jì)算機(jī)程上下載被病毒感染的計(jì)算機(jī)程序或?qū)⒃擃惓绦蚋皆陔娮余]件上傳輸。序或?qū)⒃擃惓绦蚋皆陔娮余]件上傳輸。 入侵檢測(cè)是防火墻的合理補(bǔ)充，它幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)入侵檢測(cè)是防火墻的合理補(bǔ)充，它幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)

3、攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力展了系統(tǒng)管理員的安全管理能力( (包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)和響應(yīng)) )，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。 37.1 7.1 入侵檢測(cè)系統(tǒng)概述入侵檢測(cè)系統(tǒng)概述7.1.1 7.1.1 相關(guān)術(shù)語(yǔ)相關(guān)術(shù)語(yǔ)攻擊攻擊攻擊者利用工具，出于某種動(dòng)機(jī)，對(duì)目標(biāo)系統(tǒng)采取的行動(dòng)，攻擊者利用工具，出于某種動(dòng)機(jī)，對(duì)目標(biāo)系統(tǒng)采取的行動(dòng)，其后果是獲取其后果是獲取/破壞破壞/篡改目標(biāo)系統(tǒng)的數(shù)據(jù)或訪問權(quán)限篡改目標(biāo)系統(tǒng)的數(shù)據(jù)或訪問權(quán)限事件事件在攻擊過程中發(fā)生的可以識(shí)別的行動(dòng)或行動(dòng)造成的后果；在在攻擊過程中發(fā)生的可以識(shí)別的行動(dòng)

4、或行動(dòng)造成的后果；在入侵檢測(cè)系統(tǒng)中，事件常常具有一系列屬性和詳細(xì)的描述信入侵檢測(cè)系統(tǒng)中，事件常常具有一系列屬性和詳細(xì)的描述信息可供用戶查看。息可供用戶查看。 cidf 將入侵檢測(cè)系統(tǒng)需要分析的數(shù)據(jù)統(tǒng)將入侵檢測(cè)系統(tǒng)需要分析的數(shù)據(jù)統(tǒng)稱為事件（稱為事件（event）4入侵入侵對(duì)信息系統(tǒng)的非授權(quán)訪問及（或）未經(jīng)許可在信息系統(tǒng)中進(jìn)對(duì)信息系統(tǒng)的非授權(quán)訪問及（或）未經(jīng)許可在信息系統(tǒng)中進(jìn)行操作行操作入侵檢測(cè)入侵檢測(cè)對(duì)企圖入侵、正在進(jìn)行的入侵或已經(jīng)發(fā)生的入侵進(jìn)行識(shí)別的對(duì)企圖入侵、正在進(jìn)行的入侵或已經(jīng)發(fā)生的入侵進(jìn)行識(shí)別的過程過程入侵檢測(cè)系統(tǒng)（入侵檢測(cè)系統(tǒng)（ids）用于輔助進(jìn)行入侵檢測(cè)或者獨(dú)立進(jìn)行入侵檢測(cè)的自動(dòng)化工

5、具用于輔助進(jìn)行入侵檢測(cè)或者獨(dú)立進(jìn)行入侵檢測(cè)的自動(dòng)化工具7.1 7.1 入侵檢測(cè)系統(tǒng)概述入侵檢測(cè)系統(tǒng)概述7.1.1 7.1.1 相關(guān)術(shù)語(yǔ)相關(guān)術(shù)語(yǔ)5 入侵檢測(cè)（入侵檢測(cè)（intrusion detectionintrusion detection）技術(shù)是一種動(dòng)態(tài)的網(wǎng)）技術(shù)是一種動(dòng)態(tài)的網(wǎng)絡(luò)檢測(cè)技術(shù)，主要用于識(shí)別對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行絡(luò)檢測(cè)技術(shù)，主要用于識(shí)別對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為，包括來(lái)自外部用戶的入侵行為和內(nèi)部用戶的未經(jīng)授權(quán)活動(dòng)。為，包括來(lái)自外部用戶的入侵行為和內(nèi)部用戶的未經(jīng)授權(quán)活動(dòng)。一旦發(fā)現(xiàn)網(wǎng)絡(luò)入侵現(xiàn)象，則應(yīng)當(dāng)做出適當(dāng)?shù)姆磻?yīng)。對(duì)于正在進(jìn)一旦發(fā)現(xiàn)網(wǎng)絡(luò)入侵現(xiàn)象，則應(yīng)當(dāng)做出適當(dāng)?shù)姆磻?yīng)。

6、對(duì)于正在進(jìn)行的網(wǎng)絡(luò)攻擊，則采取適當(dāng)?shù)姆椒▉?lái)阻斷攻擊（與防火墻聯(lián)行的網(wǎng)絡(luò)攻擊，則采取適當(dāng)?shù)姆椒▉?lái)阻斷攻擊（與防火墻聯(lián)動(dòng)），以減少系統(tǒng)損失。對(duì)于已經(jīng)發(fā)生的網(wǎng)絡(luò)攻擊，則應(yīng)通過動(dòng)），以減少系統(tǒng)損失。對(duì)于已經(jīng)發(fā)生的網(wǎng)絡(luò)攻擊，則應(yīng)通過分析日志記錄找到發(fā)生攻擊的原因和入侵者的蹤跡，作為增強(qiáng)分析日志記錄找到發(fā)生攻擊的原因和入侵者的蹤跡，作為增強(qiáng)網(wǎng)絡(luò)系統(tǒng)安全性和追究入侵者法律責(zé)任的依據(jù)。它從計(jì)算機(jī)網(wǎng)網(wǎng)絡(luò)系統(tǒng)安全性和追究入侵者法律責(zé)任的依據(jù)。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，看看網(wǎng)絡(luò)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。中是否有違

7、反安全策略的行為和遭到襲擊的跡象。 7.1 7.1 入侵檢測(cè)系統(tǒng)概述入侵檢測(cè)系統(tǒng)概述7.1.2 7.1.2 入侵檢測(cè)入侵檢測(cè)67.1 7.1 入侵檢測(cè)系統(tǒng)概述入侵檢測(cè)系統(tǒng)概述入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng) 入侵檢測(cè)系統(tǒng)（入侵檢測(cè)系統(tǒng)（idsids）由入侵檢測(cè)的軟件與硬件組合而）由入侵檢測(cè)的軟件與硬件組合而成，被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)成，被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，提供對(duì)內(nèi)部攻擊、外部攻性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。這些都通過它執(zhí)行以下任務(wù)來(lái)實(shí)現(xiàn)：擊和誤操作的實(shí)時(shí)保護(hù)。這些都通過它執(zhí)行

8、以下任務(wù)來(lái)實(shí)現(xiàn)： 1 1）監(jiān)視、分析用戶及系統(tǒng)活動(dòng)。）監(jiān)視、分析用戶及系統(tǒng)活動(dòng)。 2 2）系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)。）系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)。 3 3）識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警。）識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警。 4 4）異常行為模式的統(tǒng)計(jì)分析。）異常行為模式的統(tǒng)計(jì)分析。 5 5）評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性。）評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性。 6 6）操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全策）操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略的行為。略的行為。 77.1 7.1 入侵檢測(cè)系統(tǒng)概述入侵檢測(cè)系統(tǒng)概述7.1.3 7.1.3 入侵檢測(cè)系統(tǒng)的作用入侵檢測(cè)系統(tǒng)的

9、作用監(jiān)控網(wǎng)絡(luò)和系統(tǒng)監(jiān)控網(wǎng)絡(luò)和系統(tǒng)發(fā)現(xiàn)入侵企圖或異?，F(xiàn)象發(fā)現(xiàn)入侵企圖或異常現(xiàn)象實(shí)時(shí)報(bào)警實(shí)時(shí)報(bào)警主動(dòng)響應(yīng)主動(dòng)響應(yīng)審計(jì)跟蹤審計(jì)跟蹤 形象地說，它就是網(wǎng)絡(luò)攝形象地說，它就是網(wǎng)絡(luò)攝像像機(jī)，能夠捕獲并記錄網(wǎng)絡(luò)上的所有數(shù)據(jù)，機(jī)，能夠捕獲并記錄網(wǎng)絡(luò)上的所有數(shù)據(jù)，同時(shí)它也是智能攝同時(shí)它也是智能攝像像機(jī)，能夠分析網(wǎng)絡(luò)數(shù)據(jù)并提煉出可疑的、異常的網(wǎng)機(jī)，能夠分析網(wǎng)絡(luò)數(shù)據(jù)并提煉出可疑的、異常的網(wǎng)絡(luò)數(shù)據(jù)，它還是絡(luò)數(shù)據(jù)，它還是x光攝光攝像像機(jī)，能夠穿透一些巧妙的偽裝，抓住實(shí)際的內(nèi)機(jī)，能夠穿透一些巧妙的偽裝，抓住實(shí)際的內(nèi)容。它還不僅僅只是攝容。它還不僅僅只是攝像像機(jī)，還包括保安員的攝機(jī)，還包括保安員的攝像像機(jī)機(jī).87.1 7.

10、1 入侵檢測(cè)系統(tǒng)概述入侵檢測(cè)系統(tǒng)概述97.1 7.1 入侵檢測(cè)系統(tǒng)概述入侵檢測(cè)系統(tǒng)概述7.1.4 7.1.4 入侵檢測(cè)的發(fā)展歷程入侵檢測(cè)的發(fā)展歷程 19801980年年，概念的誕生概念的誕生1984198419861986年，模型的發(fā)展年，模型的發(fā)展 19901990年，形成網(wǎng)絡(luò)年，形成網(wǎng)絡(luò)idsids和主機(jī)和主機(jī)idsids兩大陣營(yíng)兩大陣營(yíng)九十年代后至今，九十年代后至今，百家爭(zhēng)鳴百家爭(zhēng)鳴、繁榮昌盛、繁榮昌盛107.2 7.2 入侵檢測(cè)的原理與技術(shù)入侵檢測(cè)的原理與技術(shù) 7.2.1 7.2.1 入侵檢測(cè)的實(shí)現(xiàn)方式入侵檢測(cè)的實(shí)現(xiàn)方式 入侵檢測(cè)系統(tǒng)根據(jù)數(shù)據(jù)包來(lái)源的不同，采用不用的實(shí)入侵檢測(cè)系統(tǒng)根據(jù)數(shù)

11、據(jù)包來(lái)源的不同，采用不用的實(shí)現(xiàn)方式，一般地可分為網(wǎng)絡(luò)型、主機(jī)型，也可是這兩種類現(xiàn)方式，一般地可分為網(wǎng)絡(luò)型、主機(jī)型，也可是這兩種類型的混合應(yīng)用。型的混合應(yīng)用?；诰W(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（nidsnids）基于主機(jī)的入侵檢測(cè)系統(tǒng)（基于主機(jī)的入侵檢測(cè)系統(tǒng)（hidshids）混合型入侵檢測(cè)系統(tǒng)（混合型入侵檢測(cè)系統(tǒng)（hybrid idshybrid ids）117.2 7.2 入侵檢測(cè)的原理與技術(shù)入侵檢測(cè)的原理與技術(shù) 7.2.1 7.2.1 入侵檢測(cè)的實(shí)現(xiàn)方式入侵檢測(cè)的實(shí)現(xiàn)方式 1 1、網(wǎng)絡(luò)、網(wǎng)絡(luò)idsids： 網(wǎng)絡(luò)網(wǎng)絡(luò)idsids是網(wǎng)絡(luò)上的一個(gè)監(jiān)聽設(shè)備是網(wǎng)絡(luò)上的一個(gè)監(jiān)聽設(shè)備( (或

12、一個(gè)專用主機(jī)或一個(gè)專用主機(jī)) )，通過監(jiān)聽網(wǎng)絡(luò)上的所有報(bào)文，根據(jù)協(xié)議進(jìn)行分析，并報(bào)告通過監(jiān)聽網(wǎng)絡(luò)上的所有報(bào)文，根據(jù)協(xié)議進(jìn)行分析，并報(bào)告網(wǎng)絡(luò)中的非法使用者信息。網(wǎng)絡(luò)中的非法使用者信息。 安裝在被保護(hù)的網(wǎng)段（通常是共享網(wǎng)絡(luò)，交換環(huán)境中交安裝在被保護(hù)的網(wǎng)段（通常是共享網(wǎng)絡(luò)，交換環(huán)境中交換機(jī)需支持端口映射）中換機(jī)需支持端口映射）中混雜模式監(jiān)聽混雜模式監(jiān)聽分析網(wǎng)段中所有的數(shù)據(jù)包分析網(wǎng)段中所有的數(shù)據(jù)包實(shí)時(shí)檢測(cè)和響應(yīng)實(shí)時(shí)檢測(cè)和響應(yīng)127.2 7.2 入侵檢測(cè)的原理與技術(shù)入侵檢測(cè)的原理與技術(shù) 圖圖7-1 7-1 網(wǎng)絡(luò)網(wǎng)絡(luò)idsids工作模型工作模型 137.2 7.2 入侵檢測(cè)的原理與技術(shù)入侵檢測(cè)的原理與技術(shù)

13、 網(wǎng)絡(luò)網(wǎng)絡(luò)ids優(yōu)勢(shì)優(yōu)勢(shì)(1) 實(shí)時(shí)分析網(wǎng)絡(luò)數(shù)據(jù)，檢測(cè)網(wǎng)絡(luò)系統(tǒng)的非法行為；實(shí)時(shí)分析網(wǎng)絡(luò)數(shù)據(jù)，檢測(cè)網(wǎng)絡(luò)系統(tǒng)的非法行為；(2) 網(wǎng)絡(luò)網(wǎng)絡(luò)ids系統(tǒng)單獨(dú)架設(shè)，不占用其它計(jì)算機(jī)系統(tǒng)的任何資系統(tǒng)單獨(dú)架設(shè)，不占用其它計(jì)算機(jī)系統(tǒng)的任何資源；源；(3) 網(wǎng)絡(luò)網(wǎng)絡(luò)ids系統(tǒng)是一個(gè)獨(dú)立的網(wǎng)絡(luò)設(shè)備，可以做到對(duì)黑客透系統(tǒng)是一個(gè)獨(dú)立的網(wǎng)絡(luò)設(shè)備，可以做到對(duì)黑客透明，因此其本身的安全性高；明，因此其本身的安全性高；(4) 它既可以用于實(shí)時(shí)監(jiān)測(cè)系統(tǒng)，也是記錄審計(jì)系統(tǒng)，可以做它既可以用于實(shí)時(shí)監(jiān)測(cè)系統(tǒng)，也是記錄審計(jì)系統(tǒng)，可以做到實(shí)時(shí)保護(hù)，事后分析取證；到實(shí)時(shí)保護(hù)，事后分析取證；(5) 通過與防火墻的聯(lián)動(dòng)，不但可以對(duì)攻擊預(yù)警，還可

14、以更有通過與防火墻的聯(lián)動(dòng)，不但可以對(duì)攻擊預(yù)警，還可以更有效地阻止非法入侵和破壞。效地阻止非法入侵和破壞。(6)不會(huì)增加網(wǎng)絡(luò)中主機(jī)的負(fù)擔(dān)。不會(huì)增加網(wǎng)絡(luò)中主機(jī)的負(fù)擔(dān)。147.2 7.2 入侵檢測(cè)的原理與技術(shù)入侵檢測(cè)的原理與技術(shù) 網(wǎng)絡(luò)網(wǎng)絡(luò)ids的劣勢(shì)的劣勢(shì)(1)不適合交換環(huán)境和高速環(huán)境不適合交換環(huán)境和高速環(huán)境(2)不能處理加密數(shù)據(jù)不能處理加密數(shù)據(jù)(3) 資源及處理能力局限資源及處理能力局限(4) 系統(tǒng)相關(guān)的脆弱性系統(tǒng)相關(guān)的脆弱性157.2 7.2 入侵檢測(cè)的原理與技術(shù)入侵檢測(cè)的原理與技術(shù) 7.2.1 7.2.1 入侵檢測(cè)的實(shí)現(xiàn)方式入侵檢測(cè)的實(shí)現(xiàn)方式 2 2、主機(jī)、主機(jī)idsids： 運(yùn)行于被檢測(cè)的主

15、機(jī)之上，通過查詢、監(jiān)聽當(dāng)前系統(tǒng)運(yùn)行于被檢測(cè)的主機(jī)之上，通過查詢、監(jiān)聽當(dāng)前系統(tǒng)的各種資源的使用運(yùn)行狀態(tài)，發(fā)現(xiàn)系統(tǒng)資源被非法使用和的各種資源的使用運(yùn)行狀態(tài)，發(fā)現(xiàn)系統(tǒng)資源被非法使用和修改的事件，進(jìn)行上報(bào)和處理。修改的事件，進(jìn)行上報(bào)和處理。 安裝于被保護(hù)的主機(jī)中安裝于被保護(hù)的主機(jī)中 主要分析主機(jī)內(nèi)部活動(dòng)主要分析主機(jī)內(nèi)部活動(dòng) 占用一定的系統(tǒng)資源占用一定的系統(tǒng)資源167.2 7.2 入侵檢測(cè)的原理與技術(shù)入侵檢測(cè)的原理與技術(shù) 主機(jī)主機(jī)ids優(yōu)勢(shì)優(yōu)勢(shì)(1) 精確地判斷攻擊行為是否成功。精確地判斷攻擊行為是否成功。(2) 監(jiān)控主機(jī)上特定用戶活動(dòng)、系統(tǒng)運(yùn)行情況監(jiān)控主機(jī)上特定用戶活動(dòng)、系統(tǒng)運(yùn)行情況(3) hids能

16、夠檢測(cè)到能夠檢測(cè)到nids無(wú)法檢測(cè)的攻擊無(wú)法檢測(cè)的攻擊(4) hids適用加密的和交換的環(huán)境。適用加密的和交換的環(huán)境。(5) 不需要額外的硬件設(shè)備。不需要額外的硬件設(shè)備。177.2 7.2 入侵檢測(cè)的原理與技術(shù)入侵檢測(cè)的原理與技術(shù) 主機(jī)主機(jī)ids的劣勢(shì)的劣勢(shì)(1) hids對(duì)被保護(hù)主機(jī)的影響。對(duì)被保護(hù)主機(jī)的影響。(2) hids的安全性受到宿主操作系統(tǒng)的限制。的安全性受到宿主操作系統(tǒng)的限制。(3) hids的數(shù)據(jù)源受到審計(jì)系統(tǒng)限制。的數(shù)據(jù)源受到審計(jì)系統(tǒng)限制。(4) 被木馬化的系統(tǒng)內(nèi)核能夠騙過被木馬化的系統(tǒng)內(nèi)核能夠騙過hids。(5) 維護(hù)維護(hù)/升級(jí)不方便。升級(jí)不方便。187.2 7.2 入侵檢

17、測(cè)的原理與技術(shù)入侵檢測(cè)的原理與技術(shù) 3 3、兩種實(shí)現(xiàn)方式的、兩種實(shí)現(xiàn)方式的比較比較： 1)1)如果攻擊不經(jīng)過網(wǎng)絡(luò)基于網(wǎng)絡(luò)的如果攻擊不經(jīng)過網(wǎng)絡(luò)基于網(wǎng)絡(luò)的idsids無(wú)法檢測(cè)到只能無(wú)法檢測(cè)到只能通過使用基于主機(jī)的通過使用基于主機(jī)的idsids來(lái)檢測(cè)；來(lái)檢測(cè)； 2)2)基于網(wǎng)絡(luò)的基于網(wǎng)絡(luò)的idsids通過檢查所有的包頭來(lái)進(jìn)行檢測(cè)，而通過檢查所有的包頭來(lái)進(jìn)行檢測(cè)，而基于主機(jī)的基于主機(jī)的idsids并不查看包頭。主機(jī)并不查看包頭。主機(jī)idsids往往不能識(shí)別基于往往不能識(shí)別基于ipip的拒絕服務(wù)攻擊和碎片攻擊；的拒絕服務(wù)攻擊和碎片攻擊； 3)3)基于網(wǎng)絡(luò)的基于網(wǎng)絡(luò)的idsids可以研究數(shù)據(jù)包的內(nèi)容，查找

18、特定攻可以研究數(shù)據(jù)包的內(nèi)容，查找特定攻擊中使用的命令或語(yǔ)法，這類攻擊可以被實(shí)時(shí)檢查包序列擊中使用的命令或語(yǔ)法，這類攻擊可以被實(shí)時(shí)檢查包序列的的idsids迅速識(shí)別；而基于主機(jī)的系統(tǒng)無(wú)法看到負(fù)載，因此也迅速識(shí)別；而基于主機(jī)的系統(tǒng)無(wú)法看到負(fù)載，因此也無(wú)法識(shí)別嵌入式的數(shù)據(jù)包攻擊。無(wú)法識(shí)別嵌入式的數(shù)據(jù)包攻擊。197.2 7.2 入侵檢測(cè)的原理與技術(shù)入侵檢測(cè)的原理與技術(shù) 4 4、混合型入侵檢測(cè)系統(tǒng)（混合型入侵檢測(cè)系統(tǒng)（hybrid idshybrid ids） 在新一在新一代代的入侵檢測(cè)系統(tǒng)中的入侵檢測(cè)系統(tǒng)中將把將把現(xiàn)在的基于網(wǎng)絡(luò)和基現(xiàn)在的基于網(wǎng)絡(luò)和基于主機(jī)于主機(jī)這這兩種檢測(cè)技術(shù)兩種檢測(cè)技術(shù)很好地很好地

19、集集成起成起來(lái)，提供集來(lái)，提供集成化成化的攻的攻擊簽名檢測(cè)報(bào)擊簽名檢測(cè)報(bào)告告和事件關(guān)和事件關(guān)聯(lián)功聯(lián)功能。能。 可可以以深深入入地地研究入侵事件入侵手段研究入侵事件入侵手段本身本身及被入侵及被入侵目標(biāo)目標(biāo)的的漏洞漏洞等。等。207.2 7.2 入侵檢測(cè)的原理與技術(shù)入侵檢測(cè)的原理與技術(shù) 7.2.2 ids7.2.2 ids的基本結(jié)構(gòu)的基本結(jié)構(gòu) 無(wú)論無(wú)論idsids系統(tǒng)是網(wǎng)絡(luò)型的還是主機(jī)型的，從功能上看，都可系統(tǒng)是網(wǎng)絡(luò)型的還是主機(jī)型的，從功能上看，都可分為兩大部分：探測(cè)引擎和控制中心。前者用于讀取原始數(shù)據(jù)和分為兩大部分：探測(cè)引擎和控制中心。前者用于讀取原始數(shù)據(jù)和產(chǎn)生事件；后者用于顯示和分析事件以及策

20、略定制等工作。產(chǎn)生事件；后者用于顯示和分析事件以及策略定制等工作。 217.2 7.2 入侵檢測(cè)的原理與技術(shù)入侵檢測(cè)的原理與技術(shù) 7.2.2 ids7.2.2 ids的基本結(jié)構(gòu)的基本結(jié)構(gòu) 圖圖7-3 7-3 引擎的工作流程引擎的工作流程 引擎的主要功能引擎的主要功能為：原始數(shù)據(jù)讀取、為：原始數(shù)據(jù)讀取、數(shù)據(jù)分析、產(chǎn)生事件、數(shù)據(jù)分析、產(chǎn)生事件、策略匹配、事件處理、策略匹配、事件處理、通信等功能通信等功能 227.2 7.2 入侵檢測(cè)的原理與技術(shù)入侵檢測(cè)的原理與技術(shù) 7.2.2 ids7.2.2 ids的基本結(jié)構(gòu)的基本結(jié)構(gòu) 圖圖7-4 7-4 控制中心的工作流程控制中心的工作流程 控制中心的主要功能

21、為：通信、事件讀取、事件顯示、策控制中心的主要功能為：通信、事件讀取、事件顯示、策略定制、日志分析、系統(tǒng)幫助等。略定制、日志分析、系統(tǒng)幫助等。237.2 7.2 入侵檢測(cè)的原理與技術(shù)入侵檢測(cè)的原理與技術(shù) 7.2.3 ids7.2.3 ids采用的技術(shù)采用的技術(shù) 入侵檢測(cè)主要通過專家系統(tǒng)、模式匹配、協(xié)議分析入侵檢測(cè)主要通過專家系統(tǒng)、模式匹配、協(xié)議分析或狀態(tài)轉(zhuǎn)換等方法來(lái)確定入侵行為。入侵檢測(cè)技術(shù)有：或狀態(tài)轉(zhuǎn)換等方法來(lái)確定入侵行為。入侵檢測(cè)技術(shù)有：靜態(tài)配置分析技術(shù)靜態(tài)配置分析技術(shù)異常檢測(cè)技術(shù)異常檢測(cè)技術(shù)誤用檢測(cè)技術(shù)誤用檢測(cè)技術(shù) 1 1靜態(tài)配置分析技術(shù)靜態(tài)配置分析技術(shù) 靜態(tài)配置分析是通過檢查系統(tǒng)的當(dāng)前

22、系統(tǒng)配置，諸靜態(tài)配置分析是通過檢查系統(tǒng)的當(dāng)前系統(tǒng)配置，諸如系統(tǒng)文件的內(nèi)容或系統(tǒng)表，來(lái)檢查系統(tǒng)是否已經(jīng)或者如系統(tǒng)文件的內(nèi)容或系統(tǒng)表，來(lái)檢查系統(tǒng)是否已經(jīng)或者可能會(huì)遭到破壞。靜態(tài)是指檢查系統(tǒng)的靜態(tài)特征可能會(huì)遭到破壞。靜態(tài)是指檢查系統(tǒng)的靜態(tài)特征( (系統(tǒng)配系統(tǒng)配置信息置信息) )，而不是系統(tǒng)中的活動(dòng)。，而不是系統(tǒng)中的活動(dòng)。 247.2 7.2 入侵檢測(cè)的原理與技術(shù)入侵檢測(cè)的原理與技術(shù) 7.2.3 ids7.2.3 ids采用的技術(shù)采用的技術(shù) 2 2、異常檢測(cè)技術(shù)、異常檢測(cè)技術(shù) 通過對(duì)系統(tǒng)審計(jì)數(shù)據(jù)的分析建立起系統(tǒng)主體通過對(duì)系統(tǒng)審計(jì)數(shù)據(jù)的分析建立起系統(tǒng)主體( (單個(gè)用戶、單個(gè)用戶、一組用戶、主機(jī)，甚至是系

23、統(tǒng)中的某個(gè)關(guān)鍵的程序和文件等一組用戶、主機(jī)，甚至是系統(tǒng)中的某個(gè)關(guān)鍵的程序和文件等) )的正常行為特征輪廓；檢測(cè)時(shí)，如果系統(tǒng)中的審計(jì)數(shù)據(jù)與已建的正常行為特征輪廓；檢測(cè)時(shí)，如果系統(tǒng)中的審計(jì)數(shù)據(jù)與已建立的主體的正常行為特征有較大出入就認(rèn)為是一個(gè)入侵行為。立的主體的正常行為特征有較大出入就認(rèn)為是一個(gè)入侵行為。這一檢測(cè)方法稱這一檢測(cè)方法稱“異常檢測(cè)技術(shù)異常檢測(cè)技術(shù)”。 一般一般采用統(tǒng)計(jì)或基于規(guī)則描述的方法建立系統(tǒng)主體的行為采用統(tǒng)計(jì)或基于規(guī)則描述的方法建立系統(tǒng)主體的行為特征輪廓特征輪廓，即，即統(tǒng)計(jì)性特征輪廓統(tǒng)計(jì)性特征輪廓和和基于規(guī)則描述的特征輪廓?；谝?guī)則描述的特征輪廓。257.2 7.2 入侵檢測(cè)的原理

24、與技術(shù)入侵檢測(cè)的原理與技術(shù) 7.2.3 ids7.2.3 ids采用的技術(shù)采用的技術(shù) 3 3誤用檢測(cè)技術(shù)誤用檢測(cè)技術(shù) 誤用檢測(cè)技術(shù)誤用檢測(cè)技術(shù)(misuse detection)(misuse detection)通過檢測(cè)用戶行為中通過檢測(cè)用戶行為中的那些與某些已知的入侵行為模式類似的行為或那些利用系統(tǒng)的那些與某些已知的入侵行為模式類似的行為或那些利用系統(tǒng)中缺陷或是間接地違背系統(tǒng)安全規(guī)則的行為，來(lái)檢測(cè)系統(tǒng)中的中缺陷或是間接地違背系統(tǒng)安全規(guī)則的行為，來(lái)檢測(cè)系統(tǒng)中的入侵活動(dòng)，是一種基于已有的知識(shí)的檢測(cè)。入侵活動(dòng)，是一種基于已有的知識(shí)的檢測(cè)。 這種入侵檢測(cè)技術(shù)的主要局限在于它只是根據(jù)已知的入侵這種入

25、侵檢測(cè)技術(shù)的主要局限在于它只是根據(jù)已知的入侵序列和系統(tǒng)缺陷的模式來(lái)檢測(cè)系統(tǒng)中的可疑行為，而不能處理序列和系統(tǒng)缺陷的模式來(lái)檢測(cè)系統(tǒng)中的可疑行為，而不能處理對(duì)新的入侵攻擊行為以及未知的、潛在的系統(tǒng)缺陷的檢測(cè)。對(duì)新的入侵攻擊行為以及未知的、潛在的系統(tǒng)缺陷的檢測(cè)。267.2 7.2 入侵檢測(cè)的原理與技術(shù)入侵檢測(cè)的原理與技術(shù) 7.2.4 7.2.4 入侵檢測(cè)入侵檢測(cè)分析分析技術(shù)的比較技術(shù)的比較 1 1模式匹配的缺陷模式匹配的缺陷 1 1）計(jì)算負(fù)荷大）計(jì)算負(fù)荷大 2 2）檢測(cè)準(zhǔn)確率低）檢測(cè)準(zhǔn)確率低 2 2協(xié)議分析新技術(shù)的優(yōu)勢(shì)協(xié)議分析新技術(shù)的優(yōu)勢(shì) 1 1）提高了性能）提高了性能 2 2）提高了準(zhǔn)確性）提高了

26、準(zhǔn)確性 3 3）反規(guī)避能力）反規(guī)避能力 4 4）系統(tǒng)資源開銷?。┫到y(tǒng)資源開銷小 277.3 7.3 入侵檢測(cè)系統(tǒng)的性入侵檢測(cè)系統(tǒng)的性能指標(biāo)能指標(biāo) 1 1系統(tǒng)結(jié)構(gòu)系統(tǒng)結(jié)構(gòu)好的好的idsids應(yīng)能采用分級(jí)、遠(yuǎn)距離分式部署和管理。應(yīng)能采用分級(jí)、遠(yuǎn)距離分式部署和管理。287.3 7.3 入侵檢測(cè)系統(tǒng)的性入侵檢測(cè)系統(tǒng)的性能指標(biāo)能指標(biāo) 2 2事件數(shù)量事件數(shù)量 考察考察idsids系統(tǒng)的一個(gè)關(guān)鍵性指標(biāo)是報(bào)警事件的多少。系統(tǒng)的一個(gè)關(guān)鍵性指標(biāo)是報(bào)警事件的多少。一般而言，事件越多，表明一般而言，事件越多，表明idsids系統(tǒng)能夠處理的能力越系統(tǒng)能夠處理的能力越強(qiáng)。強(qiáng)。 3 3處理帶寬處理帶寬 idsids的處理帶

27、寬，即的處理帶寬，即idsids能夠處理的網(wǎng)絡(luò)流量，是能夠處理的網(wǎng)絡(luò)流量，是idsids的一個(gè)重要性能。目前的網(wǎng)絡(luò)的一個(gè)重要性能。目前的網(wǎng)絡(luò)idsids系統(tǒng)一般能夠處理系統(tǒng)一般能夠處理202030m30m網(wǎng)絡(luò)流量，經(jīng)過專門定制的系統(tǒng)可以勉強(qiáng)處理網(wǎng)絡(luò)流量，經(jīng)過專門定制的系統(tǒng)可以勉強(qiáng)處理404060m60m的流量。的流量。 297.3 7.3 入侵檢測(cè)系統(tǒng)的性入侵檢測(cè)系統(tǒng)的性能指標(biāo)能指標(biāo) 4 4探測(cè)引擎與控制中心的探測(cè)引擎與控制中心的通信通信 作為分布式結(jié)構(gòu)的作為分布式結(jié)構(gòu)的idsids系統(tǒng)，通信是其自身安全的系統(tǒng)，通信是其自身安全的關(guān)鍵因素。通信安全通過身份認(rèn)證和數(shù)據(jù)加密兩種方法關(guān)鍵因素。通信安

28、全通過身份認(rèn)證和數(shù)據(jù)加密兩種方法來(lái)實(shí)現(xiàn)。來(lái)實(shí)現(xiàn)。 身份認(rèn)證是要保證一個(gè)引擎，或者子控制中心只能身份認(rèn)證是要保證一個(gè)引擎，或者子控制中心只能由固定的上級(jí)進(jìn)行控制，任何非法的控制行為將予以阻由固定的上級(jí)進(jìn)行控制，任何非法的控制行為將予以阻止止。身份認(rèn)證采用非對(duì)稱加密算法，通過擁有對(duì)方的公身份認(rèn)證采用非對(duì)稱加密算法，通過擁有對(duì)方的公鑰，進(jìn)行加密、解密完成身份認(rèn)證鑰，進(jìn)行加密、解密完成身份認(rèn)證。307.3 7.3 入侵檢測(cè)系統(tǒng)的性入侵檢測(cè)系統(tǒng)的性能指標(biāo)能指標(biāo) 5 5事件定義事件定義 事件的可定義性或可定義事件是事件的可定義性或可定義事件是idsids的一個(gè)主要特性。的一個(gè)主要特性。 6 6二次事件二次

29、事件 對(duì)事件進(jìn)行實(shí)時(shí)統(tǒng)計(jì)分析，并產(chǎn)生新的高級(jí)事件能力對(duì)事件進(jìn)行實(shí)時(shí)統(tǒng)計(jì)分析，并產(chǎn)生新的高級(jí)事件能力。 7 7事件響應(yīng)事件響應(yīng) 通過事件上報(bào)、通過事件上報(bào)、事件日志事件日志、emailemail通知通知、手機(jī)短信息手機(jī)短信息、語(yǔ)音報(bào)警語(yǔ)音報(bào)警等方式進(jìn)行響應(yīng)。等方式進(jìn)行響應(yīng)。 還可通過還可通過tcptcp阻斷、防火墻聯(lián)動(dòng)等方式主動(dòng)響應(yīng)。阻斷、防火墻聯(lián)動(dòng)等方式主動(dòng)響應(yīng)。317.3 7.3 入侵檢測(cè)系統(tǒng)的性入侵檢測(cè)系統(tǒng)的性能指標(biāo)能指標(biāo) 8 8自身安全自身安全 自身安全指的是探測(cè)引擎的安全性。自身安全指的是探測(cè)引擎的安全性。要有良好的隱蔽要有良好的隱蔽性，一般使用定制的操作系統(tǒng)。性，一般使用定制的操作系

30、統(tǒng)。 9 9終端安全終端安全 主要主要指指控制中心的安全性控制中心的安全性。有多個(gè)用戶、多個(gè)級(jí)別的。有多個(gè)用戶、多個(gè)級(jí)別的控制中心，不同的用戶應(yīng)該有不同的權(quán)限，保證控制中心控制中心，不同的用戶應(yīng)該有不同的權(quán)限，保證控制中心的安全性。的安全性。 327.7.4 4 入侵防御系統(tǒng)簡(jiǎn)介入侵防御系統(tǒng)簡(jiǎn)介 ids ids只能被動(dòng)地檢測(cè)攻擊，而不能主動(dòng)地把變化莫測(cè)的威脅阻只能被動(dòng)地檢測(cè)攻擊，而不能主動(dòng)地把變化莫測(cè)的威脅阻止在網(wǎng)絡(luò)之外。因此，人們迫切地需要找到一種主動(dòng)入侵防護(hù)解決止在網(wǎng)絡(luò)之外。因此，人們迫切地需要找到一種主動(dòng)入侵防護(hù)解決方案，以確保企業(yè)網(wǎng)絡(luò)在威脅四起的環(huán)境下正常運(yùn)行。方案，以確保企業(yè)網(wǎng)絡(luò)在威

31、脅四起的環(huán)境下正常運(yùn)行。 入侵防御系統(tǒng)（入侵防御系統(tǒng)（intrusion prevention systemintrusion prevention system或或intrusion intrusion detection preventiondetection prevention，即，即ipsips或或idpidp）就應(yīng)運(yùn)而生了。）就應(yīng)運(yùn)而生了。ipsips是一種是一種智能化的入侵檢測(cè)和防御產(chǎn)品，它不但能檢測(cè)入侵的發(fā)生，而且能智能化的入侵檢測(cè)和防御產(chǎn)品，它不但能檢測(cè)入侵的發(fā)生，而且能通過一定的響應(yīng)方式，實(shí)時(shí)地中止入侵行為的發(fā)生和發(fā)展，實(shí)時(shí)地通過一定的響應(yīng)方式，實(shí)時(shí)地中止入侵行為的發(fā)生和發(fā)

32、展，實(shí)時(shí)地保護(hù)信息系統(tǒng)不受實(shí)質(zhì)性的攻擊。保護(hù)信息系統(tǒng)不受實(shí)質(zhì)性的攻擊。ipsips使得使得idsids和防火墻走向統(tǒng)一。和防火墻走向統(tǒng)一。 ips ips在網(wǎng)絡(luò)中一般有四種連接方式：在網(wǎng)絡(luò)中一般有四種連接方式：spanspan（接在交換機(jī)旁邊，作為端接在交換機(jī)旁邊，作為端口映像）、口映像）、taptap（接在交換機(jī)與路由器中間，旁路安裝，拷貝一份數(shù)據(jù)到接在交換機(jī)與路由器中間，旁路安裝，拷貝一份數(shù)據(jù)到ipsips中）、中）、inlineinline（接在交換機(jī)與路由器中間，在線安裝，在線阻斷攻擊）和（接在交換機(jī)與路由器中間，在線安裝，在線阻斷攻擊）和port-clusterport-cluste

33、r（被動(dòng)抓包，在線安裝）。（被動(dòng)抓包，在線安裝）。它在報(bào)警的同時(shí)，能阻斷攻擊。它在報(bào)警的同時(shí)，能阻斷攻擊。 337.5 7.5 蜜網(wǎng)陷阱蜜網(wǎng)陷阱honeynet honeynet honeynethoneynet是一個(gè)網(wǎng)絡(luò)系統(tǒng)，并非某臺(tái)單一主機(jī)，這一網(wǎng)絡(luò)系統(tǒng)是一個(gè)網(wǎng)絡(luò)系統(tǒng)，并非某臺(tái)單一主機(jī)，這一網(wǎng)絡(luò)系統(tǒng)隱藏在防火墻的后面，所有進(jìn)出的數(shù)據(jù)都受到關(guān)注、捕獲及控制。隱藏在防火墻的后面，所有進(jìn)出的數(shù)據(jù)都受到關(guān)注、捕獲及控制。這些被捕獲的數(shù)據(jù)用來(lái)研究分析入侵者們使用的工具、方法及動(dòng)機(jī)。這些被捕獲的數(shù)據(jù)用來(lái)研究分析入侵者們使用的工具、方法及動(dòng)機(jī)。在一個(gè)在一個(gè)honeynethoneynet中，可以使用各種

34、不同的操作系統(tǒng)及設(shè)備，如中，可以使用各種不同的操作系統(tǒng)及設(shè)備，如solarissolaris、linuxlinux、windows ntwindows nt、cisco switchcisco switch等。等。 這樣，建立的網(wǎng)絡(luò)環(huán)境看上去會(huì)更加真實(shí)可信，同時(shí)還有不同這樣，建立的網(wǎng)絡(luò)環(huán)境看上去會(huì)更加真實(shí)可信，同時(shí)還有不同的系統(tǒng)平臺(tái)上面運(yùn)行著不同的服務(wù)，比如的系統(tǒng)平臺(tái)上面運(yùn)行著不同的服務(wù)，比如linuxlinux的的dns serverdns server、windowsntwindowsnt的的webserverwebserver或者一個(gè)或者一個(gè)solarissolaris的的ftp ser

35、verftp server，可以使用，可以使用不同的工具以及不同的策略或許某些入侵者僅僅把目標(biāo)定于幾個(gè)特不同的工具以及不同的策略或許某些入侵者僅僅把目標(biāo)定于幾個(gè)特定的系統(tǒng)漏洞上，而這種多樣化的系統(tǒng)，就可能更多地揭示出入侵定的系統(tǒng)漏洞上，而這種多樣化的系統(tǒng)，就可能更多地揭示出入侵者的一些特性。者的一些特性。 347.5 7.5 蜜網(wǎng)陷阱蜜網(wǎng)陷阱honeynet honeynet 利用利用snortsnort軟件軟件安裝安裝win200win2000 0serverserver下的下的蜜網(wǎng)陷阱蜜網(wǎng)陷阱 snort snort 是一個(gè)強(qiáng)大的輕量級(jí)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。它具有是一個(gè)強(qiáng)大的輕量級(jí)的網(wǎng)絡(luò)入侵

36、檢測(cè)系統(tǒng)。它具有實(shí)時(shí)數(shù)據(jù)流量分析和日志實(shí)時(shí)數(shù)據(jù)流量分析和日志ipip網(wǎng)絡(luò)數(shù)據(jù)包的能力，能夠進(jìn)行協(xié)議網(wǎng)絡(luò)數(shù)據(jù)包的能力，能夠進(jìn)行協(xié)議分析，對(duì)內(nèi)容進(jìn)行搜索分析，對(duì)內(nèi)容進(jìn)行搜索/ /匹配。它能夠檢測(cè)各種不同的攻擊方式，匹配。它能夠檢測(cè)各種不同的攻擊方式，對(duì)攻擊進(jìn)行實(shí)時(shí)報(bào)警。對(duì)攻擊進(jìn)行實(shí)時(shí)報(bào)警。 構(gòu)建完整的構(gòu)建完整的snortsnort系統(tǒng)需要以下軟件，詳細(xì)安裝方法請(qǐng)參照系統(tǒng)需要以下軟件，詳細(xì)安裝方法請(qǐng)參照網(wǎng)上相關(guān)資料。網(wǎng)上相關(guān)資料。acid-0.9.6b23.tar.gzacid-0.9.6b23.tar.gz 基于基于php php 的入侵檢測(cè)數(shù)據(jù)庫(kù)分析控制臺(tái)的入侵檢測(cè)數(shù)據(jù)庫(kù)分析控制臺(tái)adodb36

37、0.zipadodb360.zip adodb adodb（active data objects data baseactive data objects data base）庫(kù)）庫(kù)for phpfor phpapache_2.0.46-win32-x86-no_src.msiapache_2.0.46-win32-x86-no_src.msi windows windows 版本的版本的apache web apache web 服務(wù)器服務(wù)器jpgraph-1.12.2.tar.gzjpgraph-1.12.2.tar.gz oo oo 圖形庫(kù)圖形庫(kù)for phpfor phpmysqlm

38、ysql-4.0.13-win.zip-4.0.13-win.zip windows windows 版本的版本的mysql mysql 數(shù)據(jù)庫(kù)服務(wù)器數(shù)據(jù)庫(kù)服務(wù)器phpphp-4.3.2-win32.zip-4.3.2-win32.zip windows windows 版本的版本的php php 腳本環(huán)境支持腳本環(huán)境支持snort-2_0_0.exesnort-2_0_0.exe windows windows 版本的版本的snort snort 安裝包安裝包winpcapwinpcap_3_0.exe_3_0.exe 網(wǎng)絡(luò)數(shù)據(jù)包截取驅(qū)動(dòng)程序網(wǎng)絡(luò)數(shù)據(jù)包截取驅(qū)動(dòng)程序phpmyadmin-2.5.1-phpphpmyadmin-2.5.1-php.zip.zip 基于基于php php 的的mysql mysql 數(shù)據(jù)庫(kù)管理程序數(shù)據(jù)庫(kù)管理程序357.6 天闐黑客入侵檢測(cè)與預(yù)警系統(tǒng)天闐黑客入侵檢測(cè)與預(yù)警系統(tǒng) 天闐黑客入侵檢測(cè)與預(yù)警系統(tǒng)是一種動(dòng)態(tài)的入侵檢測(cè)與響應(yīng)系天闐黑客入侵檢測(cè)與預(yù)警系統(tǒng)是一種動(dòng)態(tài)的入