網(wǎng)絡(luò)安全入侵檢測系統(tǒng)畢業(yè)論文

1、山西綜合職業(yè)技術(shù)學(xué)院輕工分院畢業(yè)論文摘 要入侵檢測系統(tǒng)是一種主動保護網(wǎng)絡(luò)資源的網(wǎng)絡(luò)安全系統(tǒng)，近年來得到了廣泛的研究與應(yīng)用。介紹了入侵檢測系統(tǒng)的起源、系統(tǒng)分類、相關(guān)產(chǎn)品分類，對它的目前存在的問題進行了分析，并對其發(fā)展趨勢作了簡單的概述。入侵檢測系統(tǒng)作為一種主動的安全防護技術(shù)，提供了對內(nèi)、外部攻擊的實時保護，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。隨著網(wǎng)絡(luò)通信技術(shù)安全性的要求越來越高，入侵檢測系統(tǒng)能夠從網(wǎng)絡(luò)安全的立體縱深、多層次防御的角度出發(fā)提供完全服務(wù)，必將進一步受到人們的高度重視。關(guān)鍵詞：網(wǎng)絡(luò)，網(wǎng)絡(luò)安全，入侵檢測 23目 錄第1章 緒論11.1課題背景11.2網(wǎng)絡(luò)安全1第2章 入侵檢測系統(tǒng)概述2

2、2.1入侵檢測系統(tǒng)簡介22.2對入侵檢測系統(tǒng)的要求32.3入侵檢測系統(tǒng)的基本結(jié)構(gòu)3第3章 入侵檢測系統(tǒng)的分類73.1 根據(jù)檢測的數(shù)據(jù)源分類73.2根據(jù)檢測使用的分析方法分類9第4章 入侵檢測技術(shù)的發(fā)展144.1網(wǎng)絡(luò)入侵檢測技術(shù)的發(fā)展過程144.2 ips研究與分析154.3網(wǎng)絡(luò)安全的發(fā)展方向ims174.4 技術(shù)展望19結(jié) 論20參考文獻21致 謝22第一章 緒論1.1課題背景近年來，互聯(lián)網(wǎng)技術(shù)在國際上得到了長足的發(fā)展，網(wǎng)絡(luò)環(huán)境變得越來越負載，網(wǎng)絡(luò)本身的安全性問題也就顯得更為重要。網(wǎng)絡(luò)安全的一個主要威脅是通過網(wǎng)絡(luò)對信息系統(tǒng)的入侵。相對于傳統(tǒng)對于系統(tǒng)的破壞手段，網(wǎng)絡(luò)入侵具有以下幾個特點：（1）沒

3、有地域和時間限制；（2）通過網(wǎng)絡(luò)的攻擊往往混在在大量正常的網(wǎng)絡(luò)活動中，隱蔽性強；（3）入侵手段更加隱蔽和復(fù)雜；（4）攻擊手段也有原來的單一攻擊向分布式方向發(fā)展。為了保證網(wǎng)絡(luò)的機密性、完整性和可用性，防火墻技術(shù)應(yīng)運而生。但作為靜態(tài)的安全防御技術(shù)，單純的防火墻技術(shù)暴露出名先的不足和弱點，如無法解決安全后門的問題、不能阻止網(wǎng)絡(luò)的內(nèi)部攻擊，而調(diào)查發(fā)現(xiàn)，50%以上的攻擊都來自內(nèi)部；不能提供實時入侵檢測能力；對于病毒攻擊束手無策等。由于網(wǎng)絡(luò)入侵的上述特性，如何通過計算機對其進行檢測，就成為更強大的主動策略和方案來增強網(wǎng)絡(luò)的安全性，其中有一個和有效的解決途徑就是入侵檢測。入侵檢測系統(tǒng)彌補防火墻的不足，為網(wǎng)絡(luò)

4、安全提供實時的入侵檢測及采取相應(yīng)的防護手段，如記錄證據(jù)、跟蹤入侵、恢復(fù)或斷開網(wǎng)絡(luò)連接等等。入侵檢測作為一種積極主動的安全防護技術(shù)，能夠同時對內(nèi)部入侵，外部入侵和誤操作提供及時的保護，能夠在系統(tǒng)受到危害之前及時地記錄和響應(yīng)入侵為系統(tǒng)管理員提供可靠的入侵記錄。因此研究高效的網(wǎng)絡(luò)安全防護和檢測技術(shù)，開發(fā)實用的安全監(jiān)測系統(tǒng)具有重大的研究，時間和商業(yè)意義。1.2網(wǎng)絡(luò)安全近年來，我國互聯(lián)網(wǎng)發(fā)展取得了令人矚目的成績。根據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心最新發(fā)布的統(tǒng)計報告顯示，截至 2008 年底，我國上網(wǎng)用戶總數(shù)達 1.37 億人，互聯(lián)網(wǎng)的影響已經(jīng)逐漸滲透到我國國民經(jīng)濟的各個領(lǐng)域和人民生活的各個方面。 但是，隨著互聯(lián)網(wǎng)

5、應(yīng)用的不斷創(chuàng)新與發(fā)展，信息與網(wǎng)絡(luò)安全也面臨著前所未有的嚴(yán)峻形勢，網(wǎng)絡(luò)安全領(lǐng)域所面臨的挑戰(zhàn)日益嚴(yán)峻。網(wǎng)絡(luò)安全問題不僅給廣大網(wǎng)民帶來了不便，甚至影響到我國信息化建設(shè)的進一步深化，威脅到國家的信息安全和經(jīng)濟發(fā)展。網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。 網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全。從廣義來說，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。網(wǎng)絡(luò)安全是一門涉及計算機科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論

6、、信息論等多種學(xué)科的綜合性學(xué)科。第二章 入侵檢測系統(tǒng)概述入侵檢測作為一種積極主動的安全防護技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護，在網(wǎng)絡(luò)系統(tǒng)受到危害之前進行攔截和響應(yīng)。從網(wǎng)絡(luò)安全立體縱深多層次防御的角度出發(fā)，入侵檢測理應(yīng)受到人們的高度重視，這從國外入侵檢測產(chǎn)品市場的蓬勃發(fā)展就可以看出。2.1入侵檢測系統(tǒng)簡介1980年4月，james anderson為美國空軍做了一份題為computer security threat monitoring and surveillance)(計算機安全威脅監(jiān)控和監(jiān)視)的技術(shù)報告，第一次詳細闡述了入侵和入侵檢測的概念。入侵 (intrusion)是

7、指對訪問，篡改信息，使系統(tǒng)不可靠或不可用的有預(yù)謀、未授權(quán)嘗試的潛在可能性;以及任何企圖破壞計算機資源的完整性、保密性和可用性的行為。入侵不僅指非系統(tǒng)用戶非授權(quán)地登陸系統(tǒng)和使用系統(tǒng)資源，還包括系統(tǒng)內(nèi)的用戶濫用權(quán)力對系統(tǒng)造成的破壞，如非法盜用他人帳戶，非法獲得系統(tǒng)管理員權(quán)限，修改或刪除系統(tǒng)文件等。入侵檢測 (intrusion detection)可以被定義為識別出正在發(fā)生的入侵企圖或已經(jīng)發(fā)生的入侵活動的過程。它通過對計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測包含兩層意思：一是對外部入侵(非授權(quán)使用)行為的檢測:

8、二是對內(nèi)部用戶(合法用戶)濫用自身權(quán)限的檢測。入侵檢測系統(tǒng) (intrusion detection system，簡稱ids)是試圖實現(xiàn)檢測入侵行為的計算機系統(tǒng)，包括計算機軟件和硬件的組合。入侵檢測系統(tǒng)對系統(tǒng)進行實時監(jiān)控，對網(wǎng)絡(luò)或操作系統(tǒng)上的可疑行為做出策略反應(yīng)，及時切斷資料入侵源、記錄、并通過各種途徑通知網(wǎng)絡(luò)管理員，最大幅度地保障系統(tǒng)安全，是防火墻的合理補充。2.2對入侵檢測系統(tǒng)的要求作為一種安全防護系統(tǒng)，入侵檢測系統(tǒng)旨在增強網(wǎng)絡(luò)系統(tǒng)的可靠性，因此，入侵檢測系統(tǒng)就成為了網(wǎng)絡(luò)系統(tǒng)的重要組成部分，因而它自身也應(yīng)該具有足夠的可靠性，而不論它是基于何種機制。下面是入侵檢測系統(tǒng)應(yīng)該具備的特性：1、檢

9、測用戶和系統(tǒng)的運行狀況，必須在沒有(或很少)的人工干預(yù)下不間斷地運行。2、監(jiān)測系統(tǒng)配置的正確性和安全漏洞，必須具有容錯能力，即使系統(tǒng)崩潰也能繼續(xù)運轉(zhuǎn)，且重新啟動后無須重建知識庫。3、有很強的抗攻擊能力，能抵御破壞，能夠監(jiān)測自身以確保不被攻擊者修改。4、有盡可能小的系統(tǒng)開銷，避免影響系統(tǒng)(ids所處環(huán)境)內(nèi)其它組件正常操作。5、易于部署，這主要體現(xiàn)在對不同操作系統(tǒng)和體系結(jié)構(gòu)的可移植性、簡單的安裝機制， 以及操作員易于使用和理解。6、能檢測出攻擊，并作出反應(yīng)。包括不能將合法的活動誤認為是攻擊、不應(yīng)遺漏任何真正的攻擊、應(yīng)盡可能迅速及時報告入侵活動等功能。2.3入侵檢測系統(tǒng)的基本結(jié)構(gòu)雖然目前存在諸多的

10、入侵檢測模型和入侵檢測系統(tǒng)，但一個典型的入侵檢測系統(tǒng)一般由數(shù)據(jù)采集、數(shù)據(jù)分析和事件響應(yīng)三個部分組成。一個通用的入侵檢測系統(tǒng)結(jié)構(gòu)如圖2.1所示。 數(shù)據(jù)事件其他系統(tǒng)事件影響數(shù)據(jù)分析數(shù)據(jù)源數(shù)據(jù)收集事件2.3.1數(shù)據(jù)收集數(shù)據(jù)收集是入侵檢測的第一步，包括收集系統(tǒng)、網(wǎng)絡(luò)數(shù)據(jù)、用戶活動狀態(tài)和行為數(shù)據(jù)。而且需要在計算機網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(不同網(wǎng)段和不同主機)收集信息，這除了盡可能擴大了檢測范圍的因素外，還有一個重要的因素就是從一個數(shù)據(jù)源來的信息有可能看不出疑點，但從幾個數(shù)據(jù)源來的信息的不一致性卻是可疑行為或入侵的的最好標(biāo)志。獲得數(shù)據(jù)之后，需要對數(shù)據(jù)進行簡單處理，如流數(shù)據(jù)的解碼、字符編碼的轉(zhuǎn)換等等。然后

11、將處理后的數(shù)據(jù)提交給數(shù)據(jù)分析模塊。因為入侵檢測很大程度上依賴于采集信息的可靠性和正確性，因此我們必須保證數(shù)據(jù)采集的正確性。因為黑客經(jīng)常替換軟件以搞混和移走這些信息，例如替換被程序調(diào)用的子程序、記錄文件和其它工具。黑客對系統(tǒng)的修改可能使系統(tǒng)功能失常并看起來跟正常的一樣。例如，linux 系統(tǒng)的ps 指令可以被替換為一個不顯示侵入過程的指令，或者編輯器被替換成一個讀取不同于指定文件的文件（黑客隱藏了初試文件并用另一版本代替）這需要保證用來檢測網(wǎng)絡(luò)系統(tǒng)的軟件的完整性，特別是入侵檢測系統(tǒng)軟件本身應(yīng)具有相當(dāng)強的堅固性，防止被篡改而采集到錯誤的信息。入侵檢測利用的信息一般來自以下三個方面（這里不包括物理形

12、式的入侵信息）：1.系統(tǒng)和網(wǎng)絡(luò)日志文件黑客經(jīng)常在系統(tǒng)日志文件中留下他們的蹤跡，因此可以充分利用系統(tǒng)和網(wǎng)絡(luò)日志文件信息。日志中包含發(fā)生在系統(tǒng)和網(wǎng)絡(luò)上的不尋常和不期望活動的證據(jù)，這些證據(jù)可以指出有人正在入侵或已成功入侵了系統(tǒng)。通過查看日志文件，能夠發(fā)現(xiàn)成功的入侵或入侵企圖，并很快地啟動相應(yīng)的應(yīng)急響應(yīng)程序。日志文件中記錄了各種行為類型，每種類型又包含不同的信息，例如記錄“用戶活動”類型的日志，就包含登錄、用戶id 改變、用戶對文件的訪問、授權(quán)和認證信息等內(nèi)容。很顯然地，對用戶活動來講，不正常的或不期望的行為就是重復(fù)登錄失敗、登錄到不期望的位置以及非授權(quán)的企圖訪問重要文件等等。2.非正常的目錄和文件改

13、變網(wǎng)絡(luò)環(huán)境中的文件系統(tǒng)包含很多軟件和數(shù)據(jù)文件，他們經(jīng)常是黑客修改或破壞的目標(biāo)。目錄和文件中非正常改變（包括修改、創(chuàng)建和刪除）特別是那些正常情況下限制訪問的，很可能就是一種入侵產(chǎn)生的指示和信號。黑客經(jīng)常替換、修改和破壞他們獲得訪問權(quán)的系統(tǒng)上的文件，同時為了隱藏系統(tǒng)中他們的表現(xiàn)及活動痕跡，都會盡力去替換系統(tǒng)程序或修改系統(tǒng)日志文件。3.非正常的程序執(zhí)行網(wǎng)絡(luò)系統(tǒng)上的程序執(zhí)行一般包括操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)、用戶啟動的程序和特定目的的應(yīng)用，例如web 服務(wù)器。每個在系統(tǒng)上執(zhí)行的程序由一到多個進程來實現(xiàn)。一個進程的執(zhí)行行為由它運行時執(zhí)行的操作來表現(xiàn)，操作執(zhí)行的方式不同，它利用的系統(tǒng)資源也就不同。操作包括計算、文

14、件傳輸、設(shè)備和其它進程，以及與網(wǎng)絡(luò)間其它進程的通訊。一個進程出現(xiàn)了不期望的行為可能表明黑客正在入侵你的系統(tǒng)。黑客可能會將程序或服務(wù)的運行分解，從而導(dǎo)致它失敗，或者是以非用戶或管理員意圖的方式操作。4.網(wǎng)絡(luò)數(shù)據(jù)包通過采樣網(wǎng)絡(luò)數(shù)據(jù)包，并進行相應(yīng)處理，得到入侵檢測信息。當(dāng)獲得數(shù)據(jù)之后，需要對數(shù)據(jù)進行簡單的處理，如對數(shù)據(jù)流的解碼、字符編碼的轉(zhuǎn)換等等，然后才將經(jīng)過處理的數(shù)據(jù)提交給數(shù)據(jù)分析模塊。2.3.2數(shù)據(jù)分析數(shù)據(jù)分析是入侵檢測系統(tǒng)的核心部分。這個環(huán)節(jié)主要是對數(shù)據(jù)進行深入分析，根據(jù)攻擊特征集發(fā)現(xiàn)攻擊，并根據(jù)分析的結(jié)果產(chǎn)生響應(yīng)事件，觸發(fā)事件響應(yīng)。數(shù)據(jù)分析的方法較多，如模式匹配、協(xié)議分析、行為分析和統(tǒng)計分析

15、等。1.模式匹配模式匹配就是將采集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)已有模式數(shù)據(jù)庫進行比較，從而發(fā)現(xiàn)違背安全策略的行為。該過程可以很簡單（如通過字符串匹配以尋找一個簡單的條目或指令）也可以很復(fù)雜（如利用正規(guī)的數(shù)學(xué)表達式來表示安全狀態(tài)的變化）一般來講，一種進攻模式可以用一個過程（如執(zhí)行一條指令）或一個輸出（如獲得權(quán)限）來表示。該方法的一大優(yōu)點是只需采集相關(guān)的數(shù)據(jù)集合，顯著減少系統(tǒng)負擔(dān)，且技術(shù)已相當(dāng)成熟。它與病毒防火墻采用的方法一樣，檢測準(zhǔn)確率和效率都相當(dāng)高。但是，該方法存在的弱點是需要不斷的升級以對付不斷出現(xiàn)的黑客攻擊手法，不能檢測到從未出現(xiàn)過的黑客攻擊手段。2.統(tǒng)計分析統(tǒng)計分析方法首先給系統(tǒng)對象（

16、如用戶、文件、目錄和設(shè)備等）創(chuàng)建一個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性（如訪問次數(shù)、操作失敗次數(shù)和延時等）。在比較這一點上與模式匹配有些相象之處。測量屬性的平均值將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進行比較，任何觀察值在正常值范圍之外，時就認為有入侵發(fā)生。例如，本來都默認用guest 帳號登錄的，突然用admini 帳號登錄。這樣做的優(yōu)點是可檢測到未知的入侵和更為復(fù)雜的入侵，缺點是誤報、漏報率高，且不適應(yīng)用戶正常行為的突然改變。具體的統(tǒng)計分析方法如基于專家系統(tǒng)的、基于模型推理的和基于神經(jīng)網(wǎng)絡(luò)的分析方法，目前正處于研究熱點和迅速發(fā)展之中。3.完整性分析完整性分析主要關(guān)注某個文件或?qū)ο笫欠癖桓?，這經(jīng)常

17、包括文件和目錄的內(nèi)容及屬性，它在發(fā)現(xiàn)被更改的、被特洛伊化的應(yīng)用程序方面特別有效。完整性分析利用強有力的加密機制，稱為消息摘要函數(shù)（例如md5）， 它能識別哪怕是微小的變化。其優(yōu)點是不管模式匹配方法和統(tǒng)計分析方法能否發(fā)現(xiàn)入侵，只要是成功的攻擊導(dǎo)致了文件或其它對象的任何改變，它都能夠發(fā)現(xiàn)。缺點是一般以批處理方式實現(xiàn)，用于事后分析而不用于實時響應(yīng)。盡管如此，完整性檢測方法還應(yīng)該是網(wǎng)絡(luò)安全產(chǎn)品的必要手段之一。例如，可以在每一天的某個特定時間內(nèi)開啟完整性分析模塊，對網(wǎng)絡(luò)系統(tǒng)進行全面地掃描檢查。2.3.3事件響應(yīng)事件響應(yīng)在發(fā)現(xiàn)入侵后會及時作出響應(yīng)，包括切斷網(wǎng)絡(luò)連接、記錄事件和報警等。響應(yīng)又可以分為主動響應(yīng)

18、和被動響應(yīng)。響應(yīng)一般分為主動響應(yīng)(實時阻止或干擾入侵行為)和被動響應(yīng)（報告和記錄所檢測出的問題）兩種類型。主動響應(yīng)由用戶驅(qū)動或系統(tǒng)自動執(zhí)行，可對入侵者采取行動（如斷開連接）、修正系統(tǒng)環(huán)境或采集有用信息：被動響應(yīng)則包括報警和通知、日志記錄等。另外，還可以按策略配置響應(yīng)，分別采取立即、緊急、適時、本地的長期和全局的長期等行為。事件響應(yīng)實際上就是p2dr 模型的r（響應(yīng)）采用適當(dāng)?shù)捻憫?yīng)（response）可將系統(tǒng)調(diào)整到“最安全”或者“風(fēng)險最低”的狀態(tài)。另外，還可以按策略配置響應(yīng)，分別采取立即、緊急、適時、本地的長期和全局的長期等行為。第三章 入侵檢測系統(tǒng)的分類同任何事物的分類相似，采用不同的標(biāo)準(zhǔn)，就

19、會得到不同的分類結(jié)果，入侵檢測系統(tǒng)也是如此。根據(jù)檢測的數(shù)據(jù)源分類可以分為給予基于主機的入侵檢測系統(tǒng)、基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)和混合入侵檢測系統(tǒng)；根據(jù)檢測使用的分析使用方法分類可以分為異常檢測和誤用檢測。3.1 根據(jù)檢測的數(shù)據(jù)源分類3.1.1基于主機的入侵檢測系統(tǒng)(host-based ids)基于主機的入侵檢測系統(tǒng)簡稱為主機入侵檢測系統(tǒng)，系統(tǒng)的數(shù)據(jù)來源為操作系統(tǒng)事件日志、管理工具審計記錄和應(yīng)用程序?qū)徲嬘涗?。它通過監(jiān)視系統(tǒng)運行情況(文件的打開和訪問、文件權(quán)限的改變、用戶的登錄和特權(quán)服務(wù)的訪問等)、審計系統(tǒng)日志文件和應(yīng)用程序(關(guān)系數(shù)據(jù)庫、web服務(wù)器)日志來檢測入侵。hids可以檢測到用戶濫用權(quán)限、

20、創(chuàng)建后門帳戶、修改重要數(shù)據(jù)和改變安全配置等行為，同時還可以定期對系統(tǒng)關(guān)鍵文件進行檢查，計算其校驗值來確信其完整性。hids檢測發(fā)生在主機上的活動，處理的都是操作系統(tǒng)事件或應(yīng)用程序事件而不是網(wǎng)絡(luò)包，所以高速網(wǎng)絡(luò)對它沒有影響。同時它使用的是操作系統(tǒng)提供的信息，經(jīng)過加密的數(shù)據(jù)包在到達操作系統(tǒng)后，都已經(jīng)被解密，所以hids能很好地處理包加密的問題。并且，hids還可以綜合多個數(shù)據(jù)源進行進一步的分析，利用數(shù)據(jù)挖掘等技術(shù)來發(fā)現(xiàn)入侵。但是，hids也有自身的缺陷，主要有以下幾點：1, 影響系統(tǒng)性能。原始數(shù)據(jù)要經(jīng)過集中、分析和歸檔，這些都需要占用系統(tǒng)資源，因此hids會在一定程度上降低系統(tǒng)性能。2、配置和維護

21、困難。每臺被檢測的主機上都需安裝檢測系統(tǒng)，每個系統(tǒng)都有維護和升級的任務(wù)，安裝和維護將是一筆不小的費用。3、易受內(nèi)部破壞。由于hids安裝在被檢測的主機上，有權(quán)限的用戶或攻擊者可以關(guān)閉檢測程序從而使自己的行為在系統(tǒng)中沒有記錄，來逃避檢測。4、存在數(shù)據(jù)欺騙問題。攻擊者或有權(quán)限的用戶可以插入、修改或刪除審計記錄，借此逃避hids檢測。5、實時性較差。hids進行的多是事后檢測，因此當(dāng)發(fā)現(xiàn)入侵時，系統(tǒng)多數(shù)己經(jīng)受到了破壞。3.1.2基于網(wǎng)絡(luò)的入侵檢系統(tǒng)(network-based ids)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)簡稱為網(wǎng)絡(luò)入侵檢測系統(tǒng)，數(shù)據(jù)來源為網(wǎng)絡(luò)中的數(shù)據(jù)包。系統(tǒng)通過在計算機網(wǎng)絡(luò)中的某些點被動地監(jiān)聽網(wǎng)絡(luò)

22、上傳輸?shù)脑剂髁?，對獲取的網(wǎng)絡(luò)數(shù)據(jù)進行處理，從中獲取有用的信息，再與已知攻擊特征相匹配或與正常網(wǎng)絡(luò)行為原型相比較來識別攻擊事件。nids的優(yōu)勢在于它的實時性，當(dāng)檢測到攻擊時，就能很快做出反應(yīng)。另外nids可以在一個點上監(jiān)測整個網(wǎng)絡(luò)中的數(shù)據(jù)包，不必像hids那樣，需要在每一臺主機上都安裝檢測系統(tǒng)，因此是一種經(jīng)濟的解決方案。并且，nids檢測網(wǎng)絡(luò)包時并不依靠操作系統(tǒng)來提供數(shù)據(jù)，因此有著對操作系統(tǒng)的獨立性。但nids也有一些缺陷，因此也面臨著一些挑戰(zhàn)：1、單點錯誤問題。目前大多數(shù)的商業(yè)nids都采用了一個中央控制部件，它用于管理各個探測器的工作，以及對各個探測器產(chǎn)生的事件信息進行相關(guān)分析以此來檢測分

23、布式協(xié)同攻擊。當(dāng)這個中央控制部件由于受到攻擊而癱瘓時，整個nids也就隨之失效了。2、數(shù)據(jù)包的重新裝配問題。不同的網(wǎng)絡(luò)的最大傳輸單元不同，一些大的網(wǎng)絡(luò)包常常被分成小的網(wǎng)絡(luò)包來傳遞。當(dāng)大網(wǎng)絡(luò)包被拆分時，其中的攻擊特征有可能被分拆，nids在網(wǎng)絡(luò)層無法檢測到這些特征，而在上層這些拆分的包又會重新裝配起來，造成破壞。3、數(shù)據(jù)加密問題。隨著vpn,ssh和ssl的應(yīng)用，數(shù)據(jù)加密越來越普遍，傳統(tǒng)的nids工作在網(wǎng)絡(luò)層，無法分析上層的加密數(shù)據(jù)，從而也無法檢測到加密后入侵網(wǎng)絡(luò)包。4、擴展性問題。nids通過將網(wǎng)卡設(shè)置成混雜模式來被動監(jiān)聽網(wǎng)絡(luò)通訊。這就造成了系統(tǒng)的擴展性比較差。例如:當(dāng)為10m 網(wǎng)絡(luò)設(shè)計的ni

24、ds應(yīng)用到ioo m網(wǎng)絡(luò)中去時就會造成比較高的丟包率，通常需要改變整個系統(tǒng)的結(jié)構(gòu)才能解決問題。5、交換式網(wǎng)絡(luò)問題。異步傳輸模式網(wǎng)絡(luò)以小的、固定長度的包一一信元傳送信息。53字節(jié)定長的信元與以往的包技術(shù)相比具有一些優(yōu)點:短的信元可以快速交換、硬件實現(xiàn)容易。但是，交換網(wǎng)絡(luò)不能被傳統(tǒng)網(wǎng)絡(luò)偵聽器監(jiān)視，從而無法對數(shù)據(jù)包進行分析。6. nids自身安全性問題。所有nids的攻擊檢測都是基于被動協(xié)議分析的。這種機制在根本上有一定的缺陷，易于受到如下三種攻擊：滲透攻擊、欺騙攻擊、拒絕服務(wù)攻擊。3.1.3混合入侵檢測系統(tǒng)網(wǎng)絡(luò)入侵檢測系統(tǒng)能夠檢測來自網(wǎng)絡(luò)的大部分攻擊，但對于來自內(nèi)部的攻擊如合法用戶濫自身權(quán)限的檢測

25、，則主機入侵檢測系統(tǒng)更勝一籌，一個完備的入侵檢測系統(tǒng)應(yīng)該兩者兼?zhèn)?。因此現(xiàn)代入侵檢測系統(tǒng)多是這兩種系統(tǒng)的融合一分布式入侵檢測系統(tǒng)，它能夠同時分析來自主機系統(tǒng)審計日志和網(wǎng)絡(luò)數(shù)據(jù)流的入侵檢測系統(tǒng)，系統(tǒng)由多個部件組成，采用分布式結(jié)構(gòu)。3.2根據(jù)檢測使用的分析方法分類根據(jù)使用的分析方法不同，入侵檢測可以分為兩大類:異常檢測(anomaly detection)和誤用檢測(misuse detection)。異常檢測提取正常模式下審計數(shù)據(jù)的數(shù)學(xué)特征，檢查事件數(shù)據(jù)中是否存在與之相違背的異常模式。誤用檢測搜索審計事件數(shù)據(jù)，查看其中是否存在預(yù)先定義好的誤用模式。為了提高準(zhǔn)確性，入侵檢測又引入了數(shù)據(jù)挖掘、人工智能

26、、遺傳算法等技術(shù)。但是，入侵檢測技術(shù)還沒有達到盡善盡美的程度，該領(lǐng)域的許多問題還有待解決。3.2.1異常檢測異常檢測又稱為基于行為的檢測，它基于這樣的原理，即認為入侵是系統(tǒng)中的異常行為。它沒有各種入侵的相關(guān)知識，但是有被檢測系統(tǒng)、用戶乃至應(yīng)用程序正常行為的知識。它為統(tǒng)和用戶建立正常的使用模式，這些模式通常使用一組系統(tǒng)的度量來定義。所謂度量，是指統(tǒng)和用戶行為在特定方面的衡量標(biāo)準(zhǔn)如cpu的占用時間，文件是否被使用，終端的使用等.每一個度量都對應(yīng)于一個門限值或相關(guān)的變動范圍。如果系統(tǒng)和用戶的行為超出了正常范圍，就認為發(fā)生了入侵。異常檢測的一個很大的優(yōu)點是不需要保存各種攻擊特征的數(shù)據(jù)庫，隨著統(tǒng)計數(shù)據(jù)的

27、增加，檢測的準(zhǔn)確性會越來越高，可能還會檢測到一些未知的攻擊。但由于用戶的行為有很大的不確定性，很難對其行為確定正常范圍，因此門限值的確定也比較困難，出錯的概率比較大時，它只能說明系統(tǒng)發(fā)生了異常的情況，并不能指出系統(tǒng)遭受了什么樣的攻擊，這給系統(tǒng)管理員采取應(yīng)對措施帶來了一定困難。異常檢測中常用的方法有:量化分析、統(tǒng)計分析和神經(jīng)網(wǎng)絡(luò)。1、量化分析量化分析是異常檢測中使用最為廣泛的方案，其特點是使用數(shù)字來定義檢測規(guī)則和系統(tǒng)屬性。量化分析通常涉及到一系列的計算過程，包括從簡單的計數(shù)到復(fù)雜的加密運算，計算的結(jié)果可以作為異常檢測統(tǒng)計模型的數(shù)據(jù)基礎(chǔ)。常用的量化分析方法有門限檢測、啟發(fā)式門限檢測和目標(biāo)完整性檢查

28、。門限檢測的基本思想是使用計數(shù)器來描述系統(tǒng)和用戶行為的某些屬性，并設(shè)定可以接受的數(shù)值范圍，一旦在檢測過程中發(fā)現(xiàn)系統(tǒng)的實際屬性超出了設(shè)定的門限值，就認為系統(tǒng)出現(xiàn)了異常。門限檢測最經(jīng)典的例子是操作系統(tǒng)設(shè)定的允許登錄失敗的最大次數(shù)。其他可以設(shè)置門限的系統(tǒng)屬性還有:特定類型的網(wǎng)絡(luò)連接數(shù)、試圖訪問文件的次數(shù)、訪問文件或目錄的個數(shù)及所訪問網(wǎng)絡(luò)系統(tǒng)的個數(shù)等。啟發(fā)式門限檢測是對門限檢測的改進，對于包含大量用戶和目標(biāo)環(huán)境的系統(tǒng)來說，可以大幅度地提高檢測的準(zhǔn)確性。舉例來說，傳統(tǒng)的門限設(shè)檢測規(guī)則是:一個小時內(nèi)，如果登錄失敗的次數(shù)大于3次，就認為出現(xiàn)異常:而啟發(fā)式門限檢測將這個規(guī)則定義為:登錄失敗的次數(shù)大于一個異常數(shù)

29、，就會發(fā)出警報。目標(biāo)完整性檢查是對系統(tǒng)中的某些關(guān)鍵對象，檢查其是否受到無意或惡意的更改。通常是使用消息摘要函數(shù)計算系統(tǒng)對象的密碼校驗值，并將計算得到的值存放在安全的區(qū)域。系統(tǒng)定時地計算校驗值，并與預(yù)先存儲值比較，如果發(fā)現(xiàn)偏差，就發(fā)出警報信息。2、統(tǒng)計分析統(tǒng)計分析是異常檢測最早和常用的技術(shù)，它是利用統(tǒng)計理論提取用戶或系統(tǒng)正常行為的特征輪廓。統(tǒng)計性特征輪廓通常由主體特征變量的頻度、均值、方差、被監(jiān)控行為的屬性變量的統(tǒng)計概率分布以及偏差等統(tǒng)計量來描述。典型的系統(tǒng)主體特征有:系統(tǒng)的登錄與注銷時間、資源被占用的時間以及處理機、內(nèi)存和外設(shè)的使用情況等。至于統(tǒng)計的抽樣周期可以從短到幾分鐘到長達幾個月甚至更長

30、?；诮y(tǒng)計性特征輪廓的異常檢測器，通過對系統(tǒng)審計中的數(shù)據(jù)進行統(tǒng)計處理，并與描述主體行為的統(tǒng)計性特征輪廓進行比較，然后根據(jù)二者的偏差是否超過指定的門限來進一步判斷、處理。3、神經(jīng)網(wǎng)絡(luò)神經(jīng)網(wǎng)絡(luò)是人工智能里的一項技術(shù)，它是由大量并行的分布式處理單元組成。每個單元都能存儲一定的“知識”，單元之間通過帶有權(quán)值的連接進行交互。神經(jīng)網(wǎng)絡(luò)所包含的知識體現(xiàn)在網(wǎng)絡(luò)結(jié)構(gòu)當(dāng)中，學(xué)習(xí)過程也就表現(xiàn)為權(quán)值的改變和連接的增加或刪除。利用神經(jīng)網(wǎng)絡(luò)檢測入侵包括兩個階段。首先是學(xué)習(xí)階段，這個階段使用代表用戶行為的歷史數(shù)據(jù)進行訓(xùn)練，完成神經(jīng)網(wǎng)絡(luò)的構(gòu)建和組裝;接著便進入入侵分析階段，網(wǎng)絡(luò)接收輸入的事件數(shù)據(jù)，與參考的歷史行為比較，判斷出

31、兩者的相似度或偏離度。神經(jīng)網(wǎng)絡(luò)使用以下方法來標(biāo)識異常的事件:改變單元的狀態(tài)、改變連接的權(quán)值、添加或刪除連接。同時也具有對所定義的正常模式進行逐步修正的功能。神經(jīng)網(wǎng)絡(luò)有這樣一些優(yōu)點: 大量的并行分布式結(jié)構(gòu)、有自學(xué)習(xí)能力，能從周圍的環(huán)境中不斷學(xué)習(xí)新的知識并且能根據(jù)輸入產(chǎn)生合理的輸出。神經(jīng)網(wǎng)絡(luò)上述優(yōu)點使其能處理復(fù)雜的問題，例如對用戶或系統(tǒng)行為的學(xué)習(xí)和分析，這些都符合入侵檢測系統(tǒng)不斷面臨新的情況和新的入侵的現(xiàn)況。但目前神經(jīng)網(wǎng)絡(luò)技術(shù)尚不十分成熟，所以還沒完善的產(chǎn)品。3.2.2誤用檢測誤用檢測又稱為基于知識的檢測或特征檢測，它的基本原理是運用己知攻擊方法，根據(jù)己定義好的入侵模式，通過判斷這些入侵模式是否出

32、現(xiàn)來檢測。因為有很大一部分的入侵是利用了系統(tǒng)的脆弱性，所以通過分析入侵過程的特征、條件、排列以及事件間的關(guān)系就能具體描述入侵行為的模式。這種方法由于依據(jù)具體特征庫進行判斷，所以檢測準(zhǔn)確度很高，并且因為檢測結(jié)果有明確的參照，也為系統(tǒng)管理員做出相應(yīng)措施提供了方便。主要缺陷在于對具體系統(tǒng)的依賴性太強，不但系統(tǒng)移植性不好，維護工作量大，而且將具體入侵手段抽象成知識也很困難。另外，檢測范圍受已知知識的局限，尤其是難以檢測出內(nèi)部人員的入侵行為，如合法用戶的泄漏，因為這類入侵行為并沒有利用系統(tǒng)脆弱性。誤用檢測主要有以下主要方法:1、模式匹配模式匹配是最為通用的誤用檢測技術(shù)，其特點是原理簡單、擴展基于移動ag

33、ent技術(shù)的ids研究性好、檢測效率高、能做到實時的檢測，其缺點是只能適用于比較簡單的攻擊方式，且誤報率高。但由于采用誤用檢測技術(shù)的ids在系統(tǒng)的實現(xiàn)、配置和維護方面都非常方便，因此得到了廣泛的應(yīng)用，如著名的開放源碼的snort就采用了這種檢測手段。2、專家系統(tǒng)專家系統(tǒng)是最早的誤用檢測方法之一，被許多經(jīng)典的檢測模型所采用，如ides, nides, dids和cmds等。它首先使用類似于if-then的規(guī)則格式輸入已有的知識，然后輸入檢測數(shù)據(jù)，系統(tǒng)根據(jù)知識庫中的內(nèi)容對檢測數(shù)據(jù)進行評估，判斷是否存在入侵行為模式。專家系統(tǒng)的優(yōu)點在于把系統(tǒng)的推理控制過程和問題最終解答相分離，即用戶不需要理解或千預(yù)專

34、家系統(tǒng)內(nèi)部的推理過程，而只須把專家系統(tǒng)看作一個自治的黑盒子。但是，這里黑盒子的生成是一件困難的事情，用戶必須把決策引擎和檢測規(guī)則以硬編碼的方式嵌入系統(tǒng)。使用基于規(guī)則語言的專家系統(tǒng)具有局限性:處理海量數(shù)據(jù)時效率低、缺乏處理序列數(shù)據(jù)的能力、無法處理判斷的不確定性、維護規(guī)則庫很困難等。狀態(tài)轉(zhuǎn)移將入侵過程看作一個狀態(tài)變遷序列，導(dǎo)致系統(tǒng)從初始的安全狀態(tài)轉(zhuǎn)變到被危害狀態(tài)。狀態(tài)變遷圖或入侵活動的圖形表示，用來準(zhǔn)確地識別發(fā)生下一事件的條件，圖中只包括為成功實現(xiàn)入侵所必須發(fā)生的關(guān)鍵事件。根據(jù)系統(tǒng)審計記錄中包含的信息，可研制分析工具，對用戶活動的狀態(tài)變化和己知入侵的狀態(tài)變遷圖加以比較。由于系統(tǒng)的靈活性和處理速度的

35、優(yōu)勢，狀態(tài)轉(zhuǎn)移法已經(jīng)成為當(dāng)今最具競爭力的入侵檢測模式之一。目前，實現(xiàn)基于狀態(tài)轉(zhuǎn)移的入侵檢測可以使用以下兩種方法:狀態(tài)轉(zhuǎn)移分析、著色petri網(wǎng)。狀態(tài)轉(zhuǎn)移分析是通過檢測攻擊行為所引起的系統(tǒng)狀態(tài)的變化來發(fā)現(xiàn)入侵的，而著色petri網(wǎng)則是通過對攻擊行為本身的特征進行模式匹配來檢測入侵的。 狀態(tài)轉(zhuǎn)移分析(state transition analysis)基于移動agent技術(shù)的ids研究狀態(tài)轉(zhuǎn)移分析是使用狀態(tài)轉(zhuǎn)移圖來表示和檢測己知攻擊模式的誤用檢測技術(shù)。netstatit4i系統(tǒng)采用了這種技術(shù)。狀態(tài)轉(zhuǎn)移分析使用有限狀態(tài)機模型來表示入侵過程。入侵過程是由一系列導(dǎo)致系統(tǒng)從初始狀態(tài)轉(zhuǎn)移到入侵狀態(tài)的行為組成

36、。初始狀態(tài)表示在入侵發(fā)生之前的系統(tǒng)狀態(tài)，入侵狀態(tài)則表示入侵完成后系統(tǒng)所處的狀態(tài)。系統(tǒng)狀態(tài)通常使用系統(tǒng)屬性或用戶權(quán)限來描述。用戶的行為和動作會導(dǎo)致系統(tǒng)狀態(tài)的改變，當(dāng)系統(tǒng)狀態(tài)由正常狀態(tài)改變?yōu)槿肭譅顟B(tài)時，即認為發(fā)生了入侵。 著色petri網(wǎng)另一種采用狀態(tài)轉(zhuǎn)移技術(shù)來優(yōu)化誤用檢測的方法是由purdue university的sandeep kumar和gene spafford設(shè)計的著色petri網(wǎng)(c p-net)。這種方法將入侵表示成一個著色的petri網(wǎng)，特征匹配過程由標(biāo)記(to ken)的動作構(gòu)成。標(biāo)記在審計記錄的驅(qū)動下，從初始狀態(tài)向最終狀態(tài)(標(biāo)識入侵發(fā)生的狀態(tài))逐步前進。處于各個狀態(tài)時，標(biāo)記的

37、顏色用來表示事件所處的系統(tǒng)環(huán)境。當(dāng)標(biāo)記出現(xiàn)某種特定的顏色時，預(yù)示著目前的系統(tǒng)環(huán)境滿足了特征匹配的條件，此時就可以采取相應(yīng)的響應(yīng)動作。4、協(xié)議分析傳統(tǒng)的模式匹配方法的根本問題在于它把網(wǎng)絡(luò)數(shù)據(jù)包看作是無序的隨意的字節(jié)流。它對該網(wǎng)絡(luò)數(shù)據(jù)包的內(nèi)部結(jié)構(gòu)完全不了解，對于網(wǎng)絡(luò)中傳輸?shù)膱D像或音頻流同樣進行匹配?？墒蔷W(wǎng)絡(luò)通信協(xié)議是一個高度格式化的、具有明確含義和取值的數(shù)據(jù)流，如果將協(xié)議分析和模式匹配方法結(jié)合起來，可以獲得更好的效率、更精確的結(jié)果。協(xié)議分析方法的優(yōu)點是計算量少、誤報率低、利用資源少；缺點是開發(fā)周期長、實現(xiàn)復(fù)雜、如果rfcs不太明確，允許開發(fā)商判斷、分析和實現(xiàn)，則不同開發(fā)商的不同產(chǎn)品可能在結(jié)構(gòu)上有所

38、不同，從而會導(dǎo)致比較高的誤報率。第四章 入侵檢測技術(shù)的發(fā)展 隨著計算機網(wǎng)絡(luò)的飛速發(fā)展，網(wǎng)絡(luò)安全風(fēng)險系數(shù)不斷提高，曾經(jīng)作為最主要安全防范手段的防火墻，已經(jīng)不能滿足人們對網(wǎng)絡(luò)安全的需求。作為對防火墻有益的補充，ids（入侵檢測系統(tǒng)）能夠幫助網(wǎng)絡(luò)系統(tǒng)快速發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的發(fā)生，擴展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、進攻識別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。ids被認為是防火墻之后的第二道安全閘門，它能在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)進行監(jiān)聽，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。 ids作為網(wǎng)絡(luò)安全架構(gòu)中的重要一環(huán)，其重要地位有目共睹。隨著技術(shù)的不斷完善和更新，ids正呈現(xiàn)

39、出新的發(fā)展態(tài)勢，ips（入侵防御系統(tǒng)）和ims（入侵管理系統(tǒng)）就是在ids的基礎(chǔ)上發(fā)展起來的新技術(shù)。4.1網(wǎng)絡(luò)入侵檢測技術(shù)的發(fā)展過程 網(wǎng)絡(luò)入侵檢測技術(shù)發(fā)展到現(xiàn)在大致經(jīng)歷了三個階段： 第一階段：入侵檢測系統(tǒng)（ids），ids能夠幫助網(wǎng)絡(luò)系統(tǒng)快速發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的發(fā)生，擴展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、進攻識別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它能在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)進行監(jiān)聽，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。但是ids只能被動地檢測攻擊，而不能主動地把變化莫測的威脅阻止在網(wǎng)絡(luò)之外。 第二階段：入侵防御系統(tǒng)（ips），相對與ids比較成熟的技術(shù)，ips

40、還處于發(fā)展階段，ips綜合了防火墻、ids、漏洞掃描與評估等安全技術(shù)，可以主動的、積極的防范、阻止系統(tǒng)入侵，它部署在網(wǎng)絡(luò)的進出口處，當(dāng)它檢測到攻擊企圖后，它會自動地將攻擊包丟掉或采取措施將攻擊源阻斷，這樣攻擊包將無法到達目標(biāo)，從而可以從根本上避免攻擊。 第三階段：入侵管理系統(tǒng)（ims），ims技術(shù)實際上包含了ids、ips的功能，并通過一個統(tǒng)一的平臺進行統(tǒng)一管理，從系統(tǒng)的層次來解決入侵行為。4.2 ips研究與分析 ips是針對ids的不足而提出的，因此從概念上就優(yōu)于ids。ips相對與ids的進步具體體現(xiàn)在： （1）在ids阻斷功能的基礎(chǔ)上增加了必要的防御功能，以減輕檢測系統(tǒng)的壓力； （2）

41、增加了更多的管理功能，如處理大量信息和可疑事件，確認攻擊行為，組織防御措施等； （3）在ids監(jiān)測的功能上增加了主動響應(yīng)的功能，一旦發(fā)現(xiàn)有攻擊行為，立即響應(yīng)，主動切斷連接； （4）ips以串聯(lián)的方式取代ids的并聯(lián)方式接入網(wǎng)絡(luò)中，通過直接嵌入到網(wǎng)絡(luò)流量中提供主動防護，預(yù)先對入侵活動和攻擊性網(wǎng)絡(luò)流量進行攔截。4.2.1 ips關(guān)鍵技術(shù)研究 ips通常由探測器和管理器組成。探測器包括流量分析器、檢測引擎、響應(yīng)模塊、流量調(diào)整器等主要部件，如圖1所示：數(shù)據(jù)流輸入數(shù)據(jù)流輸出流量分析器響應(yīng)模塊流量調(diào)整器檢測引擎異常檢測濫用檢測圖 4-1 探測器組成由于ips采用串連工作方式，流量分析器需要完成三個基本的功

42、能： （1）截獲網(wǎng)絡(luò)數(shù)據(jù)包并處理異常情況。異常數(shù)據(jù)包不一定是惡意攻擊，但通過合適的方式處理掉，就可以為檢測引擎省去一些不必要的處理工作。例如，流量分析器丟棄校驗和出錯的數(shù)據(jù)包，以后檢測引擎就不必要處理這樣的壞包。 （2）剔除基于數(shù)據(jù)包異常的規(guī)避攻擊。例如，分析器可以根據(jù)它對目標(biāo)系統(tǒng)的了解，進行數(shù)據(jù)包的分片重組，還可以處理協(xié)議分析或校正異常等，從而識別規(guī)避攻擊。 （3）執(zhí)行類似防火墻的訪問控制，根據(jù)端口號ip地址阻斷非法數(shù)據(jù)流。 檢測引擎是ips中最有價值的部分，一般都基于異常檢測模型和濫用檢測模型，識別不同屬性的攻擊。ips存在的最大隱患是有可能引發(fā)誤操作，這種“主動性”誤操作會阻塞合法的網(wǎng)絡(luò)

43、事件，造成數(shù)據(jù)丟失，最終影響到商務(wù)操作和客戶信任度。為避免發(fā)生這種情況，ips中采用了多種檢測方法，最大限度地正確判斷已知和未知攻擊。有些ips檢測引擎的模塊則已細化到針對緩沖區(qū)溢出、ddos/dos、網(wǎng)絡(luò)蠕蟲的檢測。 響應(yīng)模塊需要根據(jù)不同的攻擊類型制定不同的響應(yīng)策略，如丟棄數(shù)據(jù)包、中止會話、修改防火墻規(guī)則、報警、日志等。流量調(diào)整器主要完成兩個功能：數(shù)據(jù)包分類和流量管理。目前，大部分ips根據(jù)協(xié)議進行數(shù)據(jù)包分類，未來將提供具體到根據(jù)用戶或應(yīng)用程序進行數(shù)據(jù)包分流的功能，通過對數(shù)據(jù)包設(shè)置不同的優(yōu)先級，優(yōu)化數(shù)據(jù)流的處理。當(dāng)新的攻擊手段被發(fā)現(xiàn)之后，ips就會創(chuàng)建一個新的過濾器。ips數(shù)據(jù)包處理引擎是專

44、業(yè)化定制的集成電路，可以深層檢查數(shù)據(jù)包的內(nèi)容。如果有攻擊者利用layer 2 （介質(zhì)訪問控制層）至layer 7（應(yīng)用層）的漏洞發(fā)起攻擊，ips能夠從數(shù)據(jù)流中檢查出這些攻擊并加以阻止。ips可以做到逐一字節(jié)地檢查數(shù)據(jù)包。所有流經(jīng)ips的數(shù)據(jù)包都被分類，分類的依據(jù)是數(shù)據(jù)包中的報頭信息，如源ip地址和目的ip地址、端口號和應(yīng)用域。每種過濾器負責(zé)分析相對應(yīng)的數(shù)據(jù)包。通過檢查的數(shù)據(jù)包可以繼續(xù)前進，而包含惡意內(nèi)容的數(shù)據(jù)包就會被丟棄，被懷疑的數(shù)據(jù)包需要接受進一步的檢查。針對不同的攻擊行為，ips需要不同的過濾器。每種過濾器都設(shè)有相應(yīng)的過濾規(guī)則，為了確保準(zhǔn)確性，這些規(guī)則的定義非常廣泛。在對傳輸內(nèi)容進行分類時

45、，過濾引擎還需要參照數(shù)據(jù)包的信息參數(shù)，并將其解析至一個有意義的域中進行上下文分析，以提高過濾準(zhǔn)確性。4.2.2 ips的優(yōu)勢與局限性 ips是針對ids不能提供主動拒絕的特點而提出的一種新的安全技術(shù)，主要具有以下優(yōu)點： （1）主動、實時預(yù)防攻擊。ips提供對攻擊的實時預(yù)防和分析，能夠在任何未授權(quán)活動開始前找出攻擊，并防止它進入重要的服務(wù)器資源。 （2）保護每個重要的服務(wù)器。通過配置ips，可以設(shè)定對服務(wù)器的專門保護方案，從而為企業(yè)的重要的資源提供深層防護。（3）誤報和漏報率低。雖然仍然無法做到完全不誤報漏報，但是相對于ids已經(jīng)提高了一大步。 （4）深層防護。ips可進行深層防護。 （5）可管

46、理性。ips可使安全設(shè)置和政策被各種應(yīng)用程序、用戶組和代理程序利用。雖然ips相對與ids的優(yōu)勢明顯，但是它與ids一樣，需要解決網(wǎng)絡(luò)性能、安全精確度和安全效率問題。首先，ips系統(tǒng)需要考慮性能，即需要考慮發(fā)現(xiàn)入侵和作出響應(yīng)的時間。ips設(shè)備以在線方式直接部署在網(wǎng)絡(luò)中，無疑會給網(wǎng)絡(luò)增加負荷，給數(shù)據(jù)傳輸帶來延時。為避免成為瓶頸，ips系統(tǒng)必須具有線速處理數(shù)據(jù)的能力，能夠提供與2層或者3層交換機相同的速度，而這一點取決于ips的軟件和硬件加速裝置。除了網(wǎng)絡(luò)性能之外，ips還需要考慮安全性，盡可能多得過濾掉惡意攻擊，這就使ips同樣面臨誤報和漏報問題。在提高準(zhǔn)確性方面，ips面臨的壓力更大。一旦ip

47、s做出錯誤判斷，ips就會放過真正的攻擊而阻斷合法的事務(wù)處理，從而造成損失。另外ips還存在一些其它的弊端：ips比較適合于阻止大范圍的、針對性不是很強的攻擊，但對單獨目標(biāo)的攻擊阻截有可能失效，自動預(yù)防系統(tǒng)也無法阻止專門的惡意攻擊者的操作；ips還不具備足夠智能識別所有對數(shù)據(jù)庫應(yīng)用的攻擊。4.3網(wǎng)絡(luò)安全的發(fā)展方向ims ims技術(shù)實際上包含了ids、ips的功能，并通過一個統(tǒng)一的平臺進行統(tǒng)一管理，從系統(tǒng)的層次來解決入侵行為。ims技術(shù)是一個過程，在行為未發(fā)生前要考慮網(wǎng)絡(luò)中有什么漏洞，判斷有可能會形成什么攻擊行為和面臨的入侵危險；在行為發(fā)生時或即將發(fā)生時，不僅要檢測出入侵行為，還要主動阻斷，終止

48、入侵行為；在入侵行為發(fā)生后，還要深層次分析入侵行為，通過關(guān)聯(lián)分析，來判斷是否還會出現(xiàn)下一個攻擊行為。ims具有大規(guī)模部署、入侵預(yù)警、精確定位以及監(jiān)管結(jié)合四大典型特，這些特征本身具有一個明確的層次關(guān)系。首先，大規(guī)模部署是實施入侵管理的基礎(chǔ)條件，一個有組織的完整系統(tǒng)通過規(guī)模部署的作用，要遠遠大于單點系統(tǒng)簡單的疊加，ims對于網(wǎng)絡(luò)安全監(jiān)控有著同樣的效用，可以實現(xiàn)從宏觀的安全趨勢分析到微觀的事件控制。第二、入侵預(yù)警。檢測和預(yù)警的最終目標(biāo)就是一個“快”，要和攻擊者比時間。只有減小這個時間差，才能使損失降低到最小。要實現(xiàn)這個“快”字，入侵預(yù)警必須具有全面的檢測途徑，并以先進的檢測技術(shù)來實現(xiàn)高準(zhǔn)確和高性能。入侵預(yù)警是ims進行規(guī)模部署后的直接作用，也是升華ims的一個非常重要的功能。第三、精確定位。入侵預(yù)警之后就需要進行精確定位，這是從發(fā)現(xiàn)問題到解決問題的必然途徑。精確定位的可視化可以幫助管理人員及時定位問題區(qū)域，良好的定位還可以通過聯(lián)運接口和其它安全設(shè)備進行合作抑制攻擊的繼續(xù)。ims要求做到對外定位到邊界，對內(nèi)定位到設(shè)備。第四、監(jiān)管