項(xiàng)目8入侵檢測技術(shù)

1、項(xiàng)目項(xiàng)目8 8 入侵檢測技術(shù)入侵檢測技術(shù)項(xiàng)目項(xiàng)目1 1 雙機(jī)互連對等網(wǎng)絡(luò)的組建雙機(jī)互連對等網(wǎng)絡(luò)的組建 8.1 8.1 項(xiàng)目提出項(xiàng)目提出 u張先生開辦的公司發(fā)展勢頭良好，網(wǎng)站的點(diǎn)擊也逐日張先生開辦的公司發(fā)展勢頭良好，網(wǎng)站的點(diǎn)擊也逐日增加。與此同時，張先生也更加愿意投入資金，添置增加。與此同時，張先生也更加愿意投入資金，添置了防火墻、殺毒軟件等來保護(hù)自己的網(wǎng)站。盡管如此，了防火墻、殺毒軟件等來保護(hù)自己的網(wǎng)站。盡管如此，他的網(wǎng)站還是會不時遭到莫名的攻擊。他的網(wǎng)站還是會不時遭到莫名的攻擊。u新來的網(wǎng)絡(luò)管理員小李了解了該網(wǎng)站的大概情況后，新來的網(wǎng)絡(luò)管理員小李了解了該網(wǎng)站的大概情況后，他向張先生建議，只配

2、備防火墻和殺毒軟件還不夠，他向張先生建議，只配備防火墻和殺毒軟件還不夠，還需要一個強(qiáng)大的技術(shù)來保證網(wǎng)絡(luò)的安全，那就是入還需要一個強(qiáng)大的技術(shù)來保證網(wǎng)絡(luò)的安全，那就是入侵檢測技術(shù)。侵檢測技術(shù)。u在采納了小李的建議后，網(wǎng)站的安全狀況有了明顯的在采納了小李的建議后，網(wǎng)站的安全狀況有了明顯的好轉(zhuǎn)。好轉(zhuǎn)。8.2 8.2 項(xiàng)目分析項(xiàng)目分析 u防火墻盡管具有強(qiáng)大的抵御外部攻擊的功能，能防火墻盡管具有強(qiáng)大的抵御外部攻擊的功能，能保護(hù)系統(tǒng)不受未經(jīng)授權(quán)訪問的侵?jǐn)_，但卻無法阻保護(hù)系統(tǒng)不受未經(jīng)授權(quán)訪問的侵?jǐn)_，但卻無法阻止來自內(nèi)部人員的攻擊。止來自內(nèi)部人員的攻擊。u在網(wǎng)絡(luò)安全管理中，除了消極被動地阻止攻擊行在網(wǎng)絡(luò)安全管理

3、中，除了消極被動地阻止攻擊行為，還應(yīng)該主動出擊去檢測那些正在實(shí)施的攻擊為，還應(yīng)該主動出擊去檢測那些正在實(shí)施的攻擊行為，進(jìn)一步預(yù)防安全隱患的發(fā)生。行為，進(jìn)一步預(yù)防安全隱患的發(fā)生。u傳統(tǒng)的防火墻在工作時，就像深宅大院雖有高大傳統(tǒng)的防火墻在工作時，就像深宅大院雖有高大的院墻，卻不能擋住小老鼠甚至是家賊的偷襲一的院墻，卻不能擋住小老鼠甚至是家賊的偷襲一樣，因?yàn)槿肭终呖梢哉业椒阑饓Ρ澈罂赡艹ㄩ_的樣，因?yàn)槿肭终呖梢哉业椒阑饓Ρ澈罂赡艹ㄩ_的后門。后門。u另外，防火墻完全不能阻止來自網(wǎng)絡(luò)內(nèi)部的攻擊，通過調(diào)另外，防火墻完全不能阻止來自網(wǎng)絡(luò)內(nèi)部的攻擊，通過調(diào)查發(fā)現(xiàn)，查發(fā)現(xiàn)，65%65%左右的攻擊來自于網(wǎng)絡(luò)內(nèi)部，對

4、于企業(yè)內(nèi)部心左右的攻擊來自于網(wǎng)絡(luò)內(nèi)部，對于企業(yè)內(nèi)部心懷不滿的員工來說，防火墻形同虛設(shè)。懷不滿的員工來說，防火墻形同虛設(shè)。u還有，由于性能的限制，防火墻不能提供實(shí)時的入侵檢測還有，由于性能的限制，防火墻不能提供實(shí)時的入侵檢測能力，而這一點(diǎn)，對于現(xiàn)在層出不窮的攻擊技術(shù)來說是至能力，而這一點(diǎn)，對于現(xiàn)在層出不窮的攻擊技術(shù)來說是至關(guān)重要的。關(guān)重要的。u最后，防火墻對于病毒也束手無策。最后，防火墻對于病毒也束手無策。u因此，以為在因此，以為在InternetInternet入口處部署防火墻系統(tǒng)就足夠安全入口處部署防火墻系統(tǒng)就足夠安全的想法是不切實(shí)際的。的想法是不切實(shí)際的。u根據(jù)這一問題，人們設(shè)計出了入侵檢

5、測系統(tǒng)根據(jù)這一問題，人們設(shè)計出了入侵檢測系統(tǒng)(IDS)(IDS)，IDSIDS可可以彌補(bǔ)防火墻的不足，為網(wǎng)絡(luò)安全提供實(shí)時的入侵檢測及以彌補(bǔ)防火墻的不足，為網(wǎng)絡(luò)安全提供實(shí)時的入侵檢測及采取相應(yīng)的防護(hù)手段，如，記錄證據(jù)用于跟蹤、恢復(fù)、斷采取相應(yīng)的防護(hù)手段，如，記錄證據(jù)用于跟蹤、恢復(fù)、斷開網(wǎng)絡(luò)連接等。開網(wǎng)絡(luò)連接等。u如果說防火墻是一幢大樓的門衛(wèi)，那么入侵如果說防火墻是一幢大樓的門衛(wèi)，那么入侵檢測和防御就是這幢大樓里的監(jiān)視系統(tǒng)。檢測和防御就是這幢大樓里的監(jiān)視系統(tǒng)。u一旦有入侵大樓的行為，或內(nèi)部人員有越界一旦有入侵大樓的行為，或內(nèi)部人員有越界行為，實(shí)時監(jiān)視系統(tǒng)就會發(fā)現(xiàn)情況并發(fā)出警行為，實(shí)時監(jiān)視系統(tǒng)就會發(fā)

6、現(xiàn)情況并發(fā)出警報。報。8.3 8.3 相關(guān)知識點(diǎn)相關(guān)知識點(diǎn) 8.3.1 8.3.1 入侵檢測系統(tǒng)概述入侵檢測系統(tǒng)概述u入侵檢測系統(tǒng)入侵檢測系統(tǒng) (Intrusion Detection System(Intrusion Detection System，IDS) IDS) 是一類專門面向網(wǎng)絡(luò)入侵的安全監(jiān)測系統(tǒng)，它從計算是一類專門面向網(wǎng)絡(luò)入侵的安全監(jiān)測系統(tǒng)，它從計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，查看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲息，查看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。擊的跡象。u入侵檢測被認(rèn)為是防火墻之后的

7、第二道安全防線，在入侵檢測被認(rèn)為是防火墻之后的第二道安全防線，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)測，從而提不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時保護(hù)。供對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時保護(hù)。u入侵檢測系統(tǒng)的基本功能有以下幾個方面。入侵檢測系統(tǒng)的基本功能有以下幾個方面。(1) (1) 檢測和分析用戶及系統(tǒng)的活動。檢測和分析用戶及系統(tǒng)的活動。(2) (2) 審計系統(tǒng)配置和漏洞。審計系統(tǒng)配置和漏洞。(3) (3) 識別已知攻擊。識別已知攻擊。(4) (4) 統(tǒng)計分析異常行為。統(tǒng)計分析異常行為。(5) (5) 評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性。評估系

8、統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性。(6) (6) 對操作系統(tǒng)的審計、追蹤、管理，并識別用戶違反對操作系統(tǒng)的審計、追蹤、管理，并識別用戶違反安全策略的行為。安全策略的行為。u一個成功的入侵檢測系統(tǒng)，不但可使系統(tǒng)管理員時刻一個成功的入侵檢測系統(tǒng)，不但可使系統(tǒng)管理員時刻了解網(wǎng)絡(luò)系統(tǒng)了解網(wǎng)絡(luò)系統(tǒng) ( (包括程序、文件和硬件設(shè)備等包括程序、文件和硬件設(shè)備等) ) 的任的任何變更，還能給網(wǎng)絡(luò)安全策略的制定提供指南。何變更，還能給網(wǎng)絡(luò)安全策略的制定提供指南。u同時，它應(yīng)該是管理和配置簡單，使非專業(yè)人員也能同時，它應(yīng)該是管理和配置簡單，使非專業(yè)人員也能容易地獲得網(wǎng)絡(luò)安全。容易地獲得網(wǎng)絡(luò)安全。u當(dāng)然，入侵檢測的規(guī)模

9、還應(yīng)根據(jù)網(wǎng)絡(luò)威脅、系統(tǒng)構(gòu)造當(dāng)然，入侵檢測的規(guī)模還應(yīng)根據(jù)網(wǎng)絡(luò)威脅、系統(tǒng)構(gòu)造和安全需求的改變而改變。和安全需求的改變而改變。u入侵檢測系統(tǒng)在發(fā)現(xiàn)入侵后，應(yīng)及時做出響應(yīng)，包括入侵檢測系統(tǒng)在發(fā)現(xiàn)入侵后，應(yīng)及時做出響應(yīng)，包括切斷網(wǎng)絡(luò)連接、記錄事件和報警等。切斷網(wǎng)絡(luò)連接、記錄事件和報警等。u目前，入侵檢測系統(tǒng)主要以模式匹配技術(shù)為主，并結(jié)目前，入侵檢測系統(tǒng)主要以模式匹配技術(shù)為主，并結(jié)合異常匹配技術(shù)。合異常匹配技術(shù)。u從實(shí)現(xiàn)方式上一般分為兩種：基于主機(jī)和基于網(wǎng)絡(luò)，從實(shí)現(xiàn)方式上一般分為兩種：基于主機(jī)和基于網(wǎng)絡(luò)，u而一個完備的入侵檢測系統(tǒng)則一定是基于主機(jī)和基于而一個完備的入侵檢測系統(tǒng)則一定是基于主機(jī)和基于網(wǎng)絡(luò)這兩

10、種方式兼?zhèn)涞姆植际较到y(tǒng)。網(wǎng)絡(luò)這兩種方式兼?zhèn)涞姆植际较到y(tǒng)。u另外，能夠識別的入侵手段數(shù)量的多少、最新入侵手另外，能夠識別的入侵手段數(shù)量的多少、最新入侵手段的更新是否及時也是評價入侵檢測系統(tǒng)的關(guān)鍵指標(biāo)。段的更新是否及時也是評價入侵檢測系統(tǒng)的關(guān)鍵指標(biāo)。8.3.2 8.3.2 入侵檢測系統(tǒng)的基本結(jié)構(gòu)入侵檢測系統(tǒng)的基本結(jié)構(gòu)u美國國防部高級研究計劃署美國國防部高級研究計劃署(DARPA)(DARPA)提出的建議是公提出的建議是公共入侵檢測框架共入侵檢測框架(CIDF)(CIDF)。CIDFCIDF闡述了一個入侵檢測系闡述了一個入侵檢測系統(tǒng)的通用模型，它將一個入侵檢測系統(tǒng)分為以下四個統(tǒng)的通用模型，它將一個入

11、侵檢測系統(tǒng)分為以下四個基本組件：事件發(fā)生器、事件分析器、響應(yīng)單元和事基本組件：事件發(fā)生器、事件分析器、響應(yīng)單元和事件數(shù)據(jù)庫。件數(shù)據(jù)庫。(1) (1) 事件發(fā)生器。事件發(fā)生器。 負(fù)責(zé)原始數(shù)據(jù)采集，并將收集到的原始數(shù)據(jù)轉(zhuǎn)換為事件，向系負(fù)責(zé)原始數(shù)據(jù)采集，并將收集到的原始數(shù)據(jù)轉(zhuǎn)換為事件，向系統(tǒng)的其他部分提供此事件。統(tǒng)的其他部分提供此事件。 收集內(nèi)容，包括系統(tǒng)、網(wǎng)絡(luò)數(shù)據(jù)及用戶活動的狀態(tài)和行為。收集內(nèi)容，包括系統(tǒng)、網(wǎng)絡(luò)數(shù)據(jù)及用戶活動的狀態(tài)和行為。 需要在計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同的關(guān)鍵點(diǎn)需要在計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同的關(guān)鍵點(diǎn)( (不同網(wǎng)段和不同不同網(wǎng)段和不同主機(jī)主機(jī)) )收集信息。包括系統(tǒng)和網(wǎng)絡(luò)的日志文

12、件；網(wǎng)絡(luò)流量；系統(tǒng)收集信息。包括系統(tǒng)和網(wǎng)絡(luò)的日志文件；網(wǎng)絡(luò)流量；系統(tǒng)目錄和文件的異常變化；程序執(zhí)行的異常行為等。目錄和文件的異常變化；程序執(zhí)行的異常行為等。u 入侵檢測系統(tǒng)很大程度上依賴于收集信息的可靠性和正確性，入侵檢測系統(tǒng)很大程度上依賴于收集信息的可靠性和正確性，要保證用來檢測網(wǎng)絡(luò)系統(tǒng)的軟件的完整性，特別是入侵檢測系要保證用來檢測網(wǎng)絡(luò)系統(tǒng)的軟件的完整性，特別是入侵檢測系統(tǒng)軟件本身應(yīng)具有堅固性，防止被篡改而收集到錯誤的信息。統(tǒng)軟件本身應(yīng)具有堅固性，防止被篡改而收集到錯誤的信息。(2) (2) 事件分析器。接收事件信息，并對其進(jìn)行分析，判斷是否為入事件分析器。接收事件信息，并對其進(jìn)行分析，判斷

13、是否為入侵行為或異?，F(xiàn)象，最后將判斷的結(jié)果轉(zhuǎn)變?yōu)楦婢畔?。分析侵行為或異常現(xiàn)象，最后將判斷的結(jié)果轉(zhuǎn)變?yōu)楦婢畔?。分析方法主要有以下幾種。方法主要有以下幾種。 模式匹配。將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式模式匹配。將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。數(shù)據(jù)庫進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。 統(tǒng)計分析。首先給系統(tǒng)對象統(tǒng)計分析。首先給系統(tǒng)對象( (如用戶、文件、目錄、設(shè)備等如用戶、文件、目錄、設(shè)備等) )創(chuàng)創(chuàng)建一個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性建一個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性( (如訪問次數(shù)、如訪問次數(shù)、操作失敗次

14、數(shù)和延時等操作失敗次數(shù)和延時等) )；測量屬性的平均值和偏差將被用來與；測量屬性的平均值和偏差將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，任何測量屬性值在正常值范圍之網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，任何測量屬性值在正常值范圍之外時，就認(rèn)為有入侵發(fā)生。外時，就認(rèn)為有入侵發(fā)生。 完整性分析完整性分析( (往往用于事后分析往往用于事后分析) )。主要關(guān)注某個文件或?qū)ο笫?。主要關(guān)注某個文件或?qū)ο笫欠癖桓?。否被更改?3) (3) 事件數(shù)據(jù)庫。存放各種中間和最終數(shù)據(jù)的地方，它事件數(shù)據(jù)庫。存放各種中間和最終數(shù)據(jù)的地方，它可以是復(fù)雜的數(shù)據(jù)庫，也可以是簡單的文本文件。從可以是復(fù)雜的數(shù)據(jù)庫，也可以是簡單的文本文件。從事件發(fā)

15、生器或事件分析器接收數(shù)據(jù)，一般會將數(shù)據(jù)進(jìn)事件發(fā)生器或事件分析器接收數(shù)據(jù)，一般會將數(shù)據(jù)進(jìn)行較長時間的保存。行較長時間的保存。(4) (4) 響應(yīng)單元。根據(jù)告警信息做出反應(yīng)，是響應(yīng)單元。根據(jù)告警信息做出反應(yīng)，是IDSIDS中的主中的主動武器，可做出強(qiáng)烈反應(yīng)，如切斷連接、改變文件屬動武器，可做出強(qiáng)烈反應(yīng)，如切斷連接、改變文件屬性等，也可以只做出簡單的報警。性等，也可以只做出簡單的報警。u以上四個組件只是邏輯實(shí)體，一個組件可能是某臺計以上四個組件只是邏輯實(shí)體，一個組件可能是某臺計算機(jī)上的一個進(jìn)程甚至線程，也可能是多個計算機(jī)上算機(jī)上的一個進(jìn)程甚至線程，也可能是多個計算機(jī)上的多個進(jìn)程，它們以的多個進(jìn)程，它

16、們以GIDO(GIDO(統(tǒng)一入侵檢測對象統(tǒng)一入侵檢測對象) )格式進(jìn)格式進(jìn)行數(shù)據(jù)交換。行數(shù)據(jù)交換。8.3.3 8.3.3 入侵檢測系統(tǒng)的分類入侵檢測系統(tǒng)的分類1. 1. 根據(jù)分析方法和檢測原理分類根據(jù)分析方法和檢測原理分類u基于異常的入侵檢測。首先總結(jié)出正常操作應(yīng)該具有基于異常的入侵檢測。首先總結(jié)出正常操作應(yīng)該具有的特征的特征( (用戶輪廓用戶輪廓) )，當(dāng)用戶活動與正常行為有重大偏，當(dāng)用戶活動與正常行為有重大偏離時即被認(rèn)為是入侵。離時即被認(rèn)為是入侵。u基于誤用的入侵檢測。收集非正常操作時的行為特征，基于誤用的入侵檢測。收集非正常操作時的行為特征，建立相關(guān)的特征庫，當(dāng)被監(jiān)測的用戶或系統(tǒng)行為與庫

17、建立相關(guān)的特征庫，當(dāng)被監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時，系統(tǒng)就認(rèn)為這種行為是入侵。中的記錄相匹配時，系統(tǒng)就認(rèn)為這種行為是入侵。2. 2. 根據(jù)數(shù)據(jù)來源分類根據(jù)數(shù)據(jù)來源分類u基于主機(jī)的入侵檢測系統(tǒng)基于主機(jī)的入侵檢測系統(tǒng)(HIDS)(HIDS)。系統(tǒng)獲取數(shù)據(jù)的依。系統(tǒng)獲取數(shù)據(jù)的依據(jù)是系統(tǒng)運(yùn)行所在的主機(jī)，保護(hù)的目標(biāo)也是系統(tǒng)運(yùn)行據(jù)是系統(tǒng)運(yùn)行所在的主機(jī)，保護(hù)的目標(biāo)也是系統(tǒng)運(yùn)行所在的主機(jī)。所在的主機(jī)。u基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)(NIDS)(NIDS)。系統(tǒng)獲取數(shù)據(jù)的依。系統(tǒng)獲取數(shù)據(jù)的依據(jù)是網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包，保護(hù)的是網(wǎng)絡(luò)的正常運(yùn)行。據(jù)是網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包，保護(hù)的是網(wǎng)絡(luò)的正常運(yùn)行。u

18、分布式入侵檢測系統(tǒng)分布式入侵檢測系統(tǒng)( (混合型混合型) )。將基于網(wǎng)絡(luò)和基于主。將基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測系統(tǒng)有機(jī)地結(jié)合在一起。機(jī)的入侵檢測系統(tǒng)有機(jī)地結(jié)合在一起。3. 3. 根據(jù)體系結(jié)構(gòu)分類根據(jù)體系結(jié)構(gòu)分類u 集中式。集中式結(jié)構(gòu)的集中式。集中式結(jié)構(gòu)的IDSIDS可能有多個分布于不同主機(jī)上的審計可能有多個分布于不同主機(jī)上的審計程序，但只有一個中央入侵檢測服務(wù)器。審計程序把當(dāng)?shù)厥占绦?，但只有一個中央入侵檢測服務(wù)器。審計程序把當(dāng)?shù)厥占降臄?shù)據(jù)蹤跡發(fā)送給中央服務(wù)器進(jìn)行分析處理。隨著網(wǎng)絡(luò)規(guī)模到的數(shù)據(jù)蹤跡發(fā)送給中央服務(wù)器進(jìn)行分析處理。隨著網(wǎng)絡(luò)規(guī)模的增加，主機(jī)審計程序和服務(wù)器之間傳送的數(shù)據(jù)就會劇增，

19、導(dǎo)的增加，主機(jī)審計程序和服務(wù)器之間傳送的數(shù)據(jù)就會劇增，導(dǎo)致網(wǎng)絡(luò)性能大大降低。并且一旦中央服務(wù)器出現(xiàn)問題，整個系致網(wǎng)絡(luò)性能大大降低。并且一旦中央服務(wù)器出現(xiàn)問題，整個系統(tǒng)就會陷入癱瘓。統(tǒng)就會陷入癱瘓。u 分布式。分布式結(jié)構(gòu)的分布式。分布式結(jié)構(gòu)的IDSIDS就是將中央檢測服務(wù)器的任務(wù)分配給就是將中央檢測服務(wù)器的任務(wù)分配給多個基于主機(jī)的多個基于主機(jī)的IDSIDS。這些。這些IDSIDS不分等級，各司其職，負(fù)責(zé)監(jiān)控不分等級，各司其職，負(fù)責(zé)監(jiān)控當(dāng)?shù)刂鳈C(jī)的某些活動。所以，其可伸縮性、安全性都得到提高，當(dāng)?shù)刂鳈C(jī)的某些活動。所以，其可伸縮性、安全性都得到提高，但維護(hù)成本也高了很多，并且增加了所監(jiān)控主機(jī)的工作負(fù)荷

20、。但維護(hù)成本也高了很多，并且增加了所監(jiān)控主機(jī)的工作負(fù)荷。4. 4. 根據(jù)工作方式分類根據(jù)工作方式分類u 離線檢測。離線檢測又稱脫機(jī)分析檢測系統(tǒng)，就是在行為離線檢測。離線檢測又稱脫機(jī)分析檢測系統(tǒng)，就是在行為發(fā)生后，對產(chǎn)生的數(shù)據(jù)進(jìn)行分析，而不是在行為發(fā)生的同發(fā)生后，對產(chǎn)生的數(shù)據(jù)進(jìn)行分析，而不是在行為發(fā)生的同時進(jìn)行分析，從而檢測入侵活動，它是非實(shí)時工作的系統(tǒng)。時進(jìn)行分析，從而檢測入侵活動，它是非實(shí)時工作的系統(tǒng)。如對日志的審查，對系統(tǒng)文件的完整性檢查等都屬于這種。如對日志的審查，對系統(tǒng)文件的完整性檢查等都屬于這種。一般而言，脫機(jī)分析也不會間隔很長時間，所謂的脫機(jī)只一般而言，脫機(jī)分析也不會間隔很長時間，

21、所謂的脫機(jī)只是與聯(lián)機(jī)相對而言的。是與聯(lián)機(jī)相對而言的。u 在線檢測。又稱為聯(lián)機(jī)分析檢測系統(tǒng)，就是在數(shù)據(jù)產(chǎn)生或在線檢測。又稱為聯(lián)機(jī)分析檢測系統(tǒng)，就是在數(shù)據(jù)產(chǎn)生或者發(fā)生改變的同時對其進(jìn)行檢查，以便發(fā)現(xiàn)攻擊行為，它者發(fā)生改變的同時對其進(jìn)行檢查，以便發(fā)現(xiàn)攻擊行為，它是實(shí)時聯(lián)機(jī)檢測系統(tǒng)。這種方式一般用于網(wǎng)絡(luò)數(shù)據(jù)的實(shí)時是實(shí)時聯(lián)機(jī)檢測系統(tǒng)。這種方式一般用于網(wǎng)絡(luò)數(shù)據(jù)的實(shí)時分析，有時也用于實(shí)時主機(jī)審計分析。它對系統(tǒng)資源的要分析，有時也用于實(shí)時主機(jī)審計分析。它對系統(tǒng)資源的要求比較高。求比較高。8.3.4 8.3.4 基于網(wǎng)絡(luò)的基于網(wǎng)絡(luò)的IDSIDS和基于主機(jī)的和基于主機(jī)的IDSIDS1. 1. 基于網(wǎng)絡(luò)的入侵檢測系

22、統(tǒng)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)u基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（NIDSNIDS）放置在比較重要的網(wǎng)）放置在比較重要的網(wǎng)段內(nèi)，不停地監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包。對每一個數(shù)據(jù)段內(nèi)，不停地監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包。對每一個數(shù)據(jù)包進(jìn)行特征分析。如果數(shù)據(jù)包與系統(tǒng)內(nèi)置的某些規(guī)則吻包進(jìn)行特征分析。如果數(shù)據(jù)包與系統(tǒng)內(nèi)置的某些規(guī)則吻合，入侵檢測系統(tǒng)就會發(fā)出警報甚至直接切斷網(wǎng)絡(luò)連接。合，入侵檢測系統(tǒng)就會發(fā)出警報甚至直接切斷網(wǎng)絡(luò)連接。目前，大部分入侵檢測系統(tǒng)是基于網(wǎng)絡(luò)的。目前，大部分入侵檢測系統(tǒng)是基于網(wǎng)絡(luò)的。u一個典型的一個典型的NIDSNIDS如圖如圖8-28-2所示，一個傳感器被安裝在防所示，一個傳感器被

23、安裝在防火墻外以探查來自火墻外以探查來自InternetInternet的攻擊。另一個傳感器安裝的攻擊。另一個傳感器安裝在網(wǎng)絡(luò)內(nèi)部以探查那些已穿透防火墻的入侵以及內(nèi)部網(wǎng)在網(wǎng)絡(luò)內(nèi)部以探查那些已穿透防火墻的入侵以及內(nèi)部網(wǎng)絡(luò)入侵和威脅。絡(luò)入侵和威脅。u基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)使用原始網(wǎng)絡(luò)數(shù)據(jù)包作為數(shù)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)使用原始網(wǎng)絡(luò)數(shù)據(jù)包作為數(shù)據(jù)源?；诰W(wǎng)絡(luò)的據(jù)源。基于網(wǎng)絡(luò)的IDSIDS通常利用一個運(yùn)行在混雜模式通常利用一個運(yùn)行在混雜模式下的網(wǎng)絡(luò)適配器來實(shí)時監(jiān)視并分析通過網(wǎng)絡(luò)的所有數(shù)下的網(wǎng)絡(luò)適配器來實(shí)時監(jiān)視并分析通過網(wǎng)絡(luò)的所有數(shù)據(jù)包。據(jù)包。u一旦檢測到了攻擊行為，一旦檢測到了攻擊行為，NIDSNIDS

24、的響應(yīng)模塊就提供多種的響應(yīng)模塊就提供多種選項(xiàng)用于通知、報警，并對攻擊行為采取相應(yīng)的措施。選項(xiàng)用于通知、報警，并對攻擊行為采取相應(yīng)的措施。采取的措施因系統(tǒng)而異，但通常都包括通知管理員、采取的措施因系統(tǒng)而異，但通常都包括通知管理員、中斷連接并且中斷連接并且/ /或?yàn)榉ㄍシ治龊妥C據(jù)收集而做的會話或?yàn)榉ㄍシ治龊妥C據(jù)收集而做的會話記錄。記錄。u基于網(wǎng)絡(luò)的基于網(wǎng)絡(luò)的IDSIDS已經(jīng)廣泛成為安全策略的實(shí)施中的重已經(jīng)廣泛成為安全策略的實(shí)施中的重要組件，它有許多僅靠基于主機(jī)的入侵檢測系統(tǒng)無法要組件，它有許多僅靠基于主機(jī)的入侵檢測系統(tǒng)無法提供的優(yōu)點(diǎn)。提供的優(yōu)點(diǎn)。（1 1）擁有成本較低。）擁有成本較低。u基于網(wǎng)絡(luò)的

25、基于網(wǎng)絡(luò)的IDSIDS可在幾個關(guān)鍵訪問點(diǎn)上進(jìn)行策略配置，可在幾個關(guān)鍵訪問點(diǎn)上進(jìn)行策略配置，以觀察發(fā)往多個系統(tǒng)的網(wǎng)絡(luò)通信。所以它不要求在許以觀察發(fā)往多個系統(tǒng)的網(wǎng)絡(luò)通信。所以它不要求在許多主機(jī)上裝載并管理軟件。多主機(jī)上裝載并管理軟件。u由于需監(jiān)測的點(diǎn)較少，因此對于一個公司的環(huán)境來說，由于需監(jiān)測的點(diǎn)較少，因此對于一個公司的環(huán)境來說，擁有成本很低。擁有成本很低。（2 2）檢測基于主機(jī)的）檢測基于主機(jī)的IDSIDS漏掉的攻擊。漏掉的攻擊。u 基于網(wǎng)絡(luò)的基于網(wǎng)絡(luò)的IDSIDS檢查所有數(shù)據(jù)包的頭部從而發(fā)現(xiàn)惡意的和可疑的檢查所有數(shù)據(jù)包的頭部從而發(fā)現(xiàn)惡意的和可疑的行為跡象。基于主機(jī)的行為跡象?；谥鳈C(jī)的IDSI

26、DS無法查看數(shù)據(jù)包的頭部，所以它無法無法查看數(shù)據(jù)包的頭部，所以它無法檢測到這一類型的攻擊。例如，許多來自于檢測到這一類型的攻擊。例如，許多來自于IPIP地址的拒絕服務(wù)地址的拒絕服務(wù)型（型（DoSDoS）和碎片包型（）和碎片包型（TeardropTeardrop）的攻擊只能在它們經(jīng)過網(wǎng)絡(luò)）的攻擊只能在它們經(jīng)過網(wǎng)絡(luò)時，檢查包的頭部才能被發(fā)現(xiàn)。這種類型的攻擊都可以在基于時，檢查包的頭部才能被發(fā)現(xiàn)。這種類型的攻擊都可以在基于網(wǎng)絡(luò)的網(wǎng)絡(luò)的IDSIDS中通過實(shí)時監(jiān)測網(wǎng)絡(luò)數(shù)據(jù)包流而被發(fā)現(xiàn)。中通過實(shí)時監(jiān)測網(wǎng)絡(luò)數(shù)據(jù)包流而被發(fā)現(xiàn)。u 基于網(wǎng)絡(luò)的基于網(wǎng)絡(luò)的IDSIDS可以檢查有效負(fù)載的內(nèi)容，查找用于特定攻擊的可以檢

27、查有效負(fù)載的內(nèi)容，查找用于特定攻擊的指令或語法。例如，通過檢查數(shù)據(jù)包有效負(fù)載可以查到黑客軟指令或語法。例如，通過檢查數(shù)據(jù)包有效負(fù)載可以查到黑客軟件，而使正在尋找系統(tǒng)漏洞的攻擊者毫無察覺。由于基于主機(jī)件，而使正在尋找系統(tǒng)漏洞的攻擊者毫無察覺。由于基于主機(jī)的的IDSIDS不檢查有效負(fù)載，所以不能辨認(rèn)有效負(fù)載中所包含的攻擊不檢查有效負(fù)載，所以不能辨認(rèn)有效負(fù)載中所包含的攻擊信息。信息。（3 3）攻擊者不易轉(zhuǎn)移證據(jù)。）攻擊者不易轉(zhuǎn)移證據(jù)。u基于網(wǎng)絡(luò)的基于網(wǎng)絡(luò)的IDSIDS使用正在發(fā)生的網(wǎng)絡(luò)通信進(jìn)行實(shí)時攻使用正在發(fā)生的網(wǎng)絡(luò)通信進(jìn)行實(shí)時攻擊的檢測。所以攻擊者無法轉(zhuǎn)移證據(jù)。擊的檢測。所以攻擊者無法轉(zhuǎn)移證據(jù)。u

28、被捕獲的數(shù)據(jù)不僅包括攻擊的方法，而且還包括可識被捕獲的數(shù)據(jù)不僅包括攻擊的方法，而且還包括可識別的黑客身份及對其進(jìn)行起訴的信息。別的黑客身份及對其進(jìn)行起訴的信息。u許多黑客都熟知審計記錄，他們知道如何操縱這些文許多黑客都熟知審計記錄，他們知道如何操縱這些文件掩蓋他們的入侵痕跡，如何阻止需要這些信息的基件掩蓋他們的入侵痕跡，如何阻止需要這些信息的基于主機(jī)的于主機(jī)的IDSIDS去檢測入侵。去檢測入侵。（4 4）實(shí)時檢測和響應(yīng)。）實(shí)時檢測和響應(yīng)。u 基于網(wǎng)絡(luò)的基于網(wǎng)絡(luò)的IDSIDS可以在惡意及可疑的攻擊發(fā)生的同時將其可以在惡意及可疑的攻擊發(fā)生的同時將其檢測出來，并做出更快的通知和響應(yīng)。檢測出來，并做出

29、更快的通知和響應(yīng)。u 例如，一個基于例如，一個基于TCPTCP的對網(wǎng)絡(luò)進(jìn)行的拒絕服務(wù)攻擊可以通的對網(wǎng)絡(luò)進(jìn)行的拒絕服務(wù)攻擊可以通過將基于網(wǎng)絡(luò)的過將基于網(wǎng)絡(luò)的IDSIDS發(fā)出發(fā)出TCPTCP復(fù)位信號，在該攻擊對目標(biāo)主復(fù)位信號，在該攻擊對目標(biāo)主機(jī)造成破壞前，將其中斷。機(jī)造成破壞前，將其中斷。u 而基于主機(jī)的系統(tǒng)只有在可疑的登錄信息被記錄下來以后而基于主機(jī)的系統(tǒng)只有在可疑的登錄信息被記錄下來以后才能識別攻擊并做出反應(yīng)。而這時關(guān)鍵系統(tǒng)可能早已遭到才能識別攻擊并做出反應(yīng)。而這時關(guān)鍵系統(tǒng)可能早已遭到了破壞，或是運(yùn)行基于主機(jī)的了破壞，或是運(yùn)行基于主機(jī)的IDSIDS的系統(tǒng)已被摧毀。的系統(tǒng)已被摧毀。u 實(shí)時實(shí)時I

30、DSIDS可根據(jù)預(yù)定義的參數(shù)做出快速反應(yīng)，這些反應(yīng)包可根據(jù)預(yù)定義的參數(shù)做出快速反應(yīng)，這些反應(yīng)包括將攻擊設(shè)為監(jiān)視模式以收集信息，立即中止攻擊等。括將攻擊設(shè)為監(jiān)視模式以收集信息，立即中止攻擊等。（5 5）檢測未成功的攻擊和不良意圖。）檢測未成功的攻擊和不良意圖。u基于網(wǎng)絡(luò)的基于網(wǎng)絡(luò)的IDSIDS增加了許多有價值的數(shù)據(jù)，以增加了許多有價值的數(shù)據(jù)，以判別不良意圖。即便防火墻可以正在拒絕這判別不良意圖。即便防火墻可以正在拒絕這些嘗試，位于防火墻之外的基于網(wǎng)絡(luò)的些嘗試，位于防火墻之外的基于網(wǎng)絡(luò)的IDSIDS可可以查出躲在防火墻后的攻擊意圖。以查出躲在防火墻后的攻擊意圖。u基于主機(jī)的基于主機(jī)的IDSIDS無

31、法查到從未攻擊到防火墻內(nèi)無法查到從未攻擊到防火墻內(nèi)主機(jī)的未遂攻擊，而這些丟失的信息對于評主機(jī)的未遂攻擊，而這些丟失的信息對于評估和優(yōu)化安全策略是至關(guān)重要的。估和優(yōu)化安全策略是至關(guān)重要的。（6 6）操作系統(tǒng)無關(guān)性。）操作系統(tǒng)無關(guān)性。u基于網(wǎng)絡(luò)的基于網(wǎng)絡(luò)的IDSIDS作為安全監(jiān)測資源，與主機(jī)的作為安全監(jiān)測資源，與主機(jī)的操作系統(tǒng)無關(guān)。操作系統(tǒng)無關(guān)。u與之相比，基于主機(jī)的與之相比，基于主機(jī)的IDSIDS必須在特定的、沒必須在特定的、沒有遭到破壞的操作系統(tǒng)中才能正常工作，生有遭到破壞的操作系統(tǒng)中才能正常工作，生成有用的結(jié)果。成有用的結(jié)果?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)也有弱點(diǎn)：基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)也有弱點(diǎn)：u

32、只檢查直接連接網(wǎng)段的通信，不能檢測在不同網(wǎng)段的只檢查直接連接網(wǎng)段的通信，不能檢測在不同網(wǎng)段的網(wǎng)絡(luò)包，在交換以太網(wǎng)環(huán)境中會出現(xiàn)監(jiān)測范圍的局限；網(wǎng)絡(luò)包，在交換以太網(wǎng)環(huán)境中會出現(xiàn)監(jiān)測范圍的局限；u很難實(shí)現(xiàn)一些復(fù)雜的需要大量計算與分析時間的攻擊很難實(shí)現(xiàn)一些復(fù)雜的需要大量計算與分析時間的攻擊檢測；檢測；u處理加密的會話過程較困難。處理加密的會話過程較困難。2. 2. 基于主機(jī)的入侵檢測系統(tǒng)基于主機(jī)的入侵檢測系統(tǒng)u 基于主機(jī)的入侵檢測系統(tǒng)（基于主機(jī)的入侵檢測系統(tǒng)（HIDSHIDS）通常是安裝在被重點(diǎn)檢測的）通常是安裝在被重點(diǎn)檢測的主機(jī)之上，主要是對該主機(jī)的網(wǎng)絡(luò)實(shí)時連接以及系統(tǒng)審計日志主機(jī)之上，主要是對該主

33、機(jī)的網(wǎng)絡(luò)實(shí)時連接以及系統(tǒng)審計日志進(jìn)行智能分析和判斷。如果其中主體活動十分可疑（特征或違進(jìn)行智能分析和判斷。如果其中主體活動十分可疑（特征或違反統(tǒng)計規(guī)律），入侵檢測系統(tǒng)就會采取相應(yīng)措施。反統(tǒng)計規(guī)律），入侵檢測系統(tǒng)就會采取相應(yīng)措施。u 基于主機(jī)的基于主機(jī)的IDSIDS使用驗(yàn)證記錄，自動化程度大大提高，并發(fā)展了使用驗(yàn)證記錄，自動化程度大大提高，并發(fā)展了精密的可迅速做出響應(yīng)的檢測技術(shù)。精密的可迅速做出響應(yīng)的檢測技術(shù)。u 通常，基于主機(jī)的通常，基于主機(jī)的IDSIDS可檢測系統(tǒng)、事件和可檢測系統(tǒng)、事件和WindowWindow下的安全記錄下的安全記錄以及以及UNIXUNIX環(huán)境下的系統(tǒng)記錄。當(dāng)有文件發(fā)生變

34、化時，環(huán)境下的系統(tǒng)記錄。當(dāng)有文件發(fā)生變化時，IDSIDS將新的將新的記錄條目與攻擊標(biāo)記相比較，看它們是否匹配。如果匹配，系記錄條目與攻擊標(biāo)記相比較，看它們是否匹配。如果匹配，系統(tǒng)就會向管理員報警并向別的目標(biāo)報告，以采取措施。統(tǒng)就會向管理員報警并向別的目標(biāo)報告，以采取措施。u基于主機(jī)的基于主機(jī)的IDSIDS在發(fā)展過程中融入了其它技術(shù)。對關(guān)在發(fā)展過程中融入了其它技術(shù)。對關(guān)鍵系統(tǒng)文件和可執(zhí)行文件的入侵檢測的一個常用方法，鍵系統(tǒng)文件和可執(zhí)行文件的入侵檢測的一個常用方法，是通過定期檢查校驗(yàn)和來進(jìn)行的，以便發(fā)現(xiàn)意外的變是通過定期檢查校驗(yàn)和來進(jìn)行的，以便發(fā)現(xiàn)意外的變化。反應(yīng)的快慢與輪詢間隔的頻率有直接的關(guān)系

35、。許化。反應(yīng)的快慢與輪詢間隔的頻率有直接的關(guān)系。許多多IDSIDS產(chǎn)品都是監(jiān)聽端口的活動，并在特定端口被訪產(chǎn)品都是監(jiān)聽端口的活動，并在特定端口被訪問時向管理員報警。這類檢測方法將基于網(wǎng)絡(luò)的入侵問時向管理員報警。這類檢測方法將基于網(wǎng)絡(luò)的入侵檢測的基本方法融入到基于主機(jī)的檢測環(huán)境中。檢測的基本方法融入到基于主機(jī)的檢測環(huán)境中。u盡管基于主機(jī)的入侵檢查系統(tǒng)不如基于網(wǎng)絡(luò)的入侵檢盡管基于主機(jī)的入侵檢查系統(tǒng)不如基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)快捷，但它確實(shí)具有基于網(wǎng)絡(luò)的測系統(tǒng)快捷，但它確實(shí)具有基于網(wǎng)絡(luò)的IDSIDS無法比擬無法比擬的優(yōu)點(diǎn)。這些優(yōu)點(diǎn)包括：更好的辨識分析、對特殊主的優(yōu)點(diǎn)。這些優(yōu)點(diǎn)包括：更好的辨識分析、對特

36、殊主機(jī)事件的緊密關(guān)注及低廉的成本。機(jī)事件的緊密關(guān)注及低廉的成本。 基于主機(jī)的入侵檢測系統(tǒng)有如下優(yōu)點(diǎn)。基于主機(jī)的入侵檢測系統(tǒng)有如下優(yōu)點(diǎn)。（1 1）確定攻擊是否成功。）確定攻擊是否成功。u由于基于主機(jī)的由于基于主機(jī)的IDSIDS使用含有已發(fā)生事件信息，使用含有已發(fā)生事件信息，它們可以比基于網(wǎng)絡(luò)的它們可以比基于網(wǎng)絡(luò)的IDSIDS更加準(zhǔn)確地判斷攻更加準(zhǔn)確地判斷攻擊是否成功。擊是否成功。u在這方面，基于主機(jī)的在這方面，基于主機(jī)的IDSIDS是基于網(wǎng)絡(luò)的是基于網(wǎng)絡(luò)的IDSIDS的完美補(bǔ)充，網(wǎng)絡(luò)部分可以盡早提供警告，的完美補(bǔ)充，網(wǎng)絡(luò)部分可以盡早提供警告，主機(jī)部分可以確定攻擊成功與否。主機(jī)部分可以確定攻擊成功

37、與否。（2 2）監(jiān)視特定的系統(tǒng)活動。）監(jiān)視特定的系統(tǒng)活動。u基于主機(jī)的基于主機(jī)的IDSIDS監(jiān)視用戶和訪問文件的活動，監(jiān)視用戶和訪問文件的活動，包括文件訪問、改變文件權(quán)限，試圖建立新包括文件訪問、改變文件權(quán)限，試圖建立新的可執(zhí)行文件，或者試圖訪問特殊的設(shè)備。的可執(zhí)行文件，或者試圖訪問特殊的設(shè)備。u例如，基于主機(jī)的例如，基于主機(jī)的IDSIDS可以監(jiān)視所有用戶的登可以監(jiān)視所有用戶的登錄及下網(wǎng)情況，以及每位用戶在連接到網(wǎng)絡(luò)錄及下網(wǎng)情況，以及每位用戶在連接到網(wǎng)絡(luò)以后的行為。以后的行為。u對于基于網(wǎng)絡(luò)的系統(tǒng)要做到這個程度是非常對于基于網(wǎng)絡(luò)的系統(tǒng)要做到這個程度是非常困難的。困難的。（3 3）能夠檢查到基于

38、網(wǎng)絡(luò)的系統(tǒng)檢查不出的攻）能夠檢查到基于網(wǎng)絡(luò)的系統(tǒng)檢查不出的攻擊。擊。u基于主機(jī)的系統(tǒng)可以檢測到那些基于網(wǎng)絡(luò)的基于主機(jī)的系統(tǒng)可以檢測到那些基于網(wǎng)絡(luò)的系統(tǒng)察覺不到的攻擊。系統(tǒng)察覺不到的攻擊。u例如，來自主要服務(wù)器鍵盤的攻擊不經(jīng)過網(wǎng)例如，來自主要服務(wù)器鍵盤的攻擊不經(jīng)過網(wǎng)絡(luò)，所以可以躲開基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。絡(luò)，所以可以躲開基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。（4 4）適用于被加密的和交換的環(huán)境。）適用于被加密的和交換的環(huán)境。u由于基于主機(jī)的入侵檢測系統(tǒng)安裝在遍布企由于基于主機(jī)的入侵檢測系統(tǒng)安裝在遍布企業(yè)的各種主機(jī)上，它們比基于網(wǎng)絡(luò)的入侵檢業(yè)的各種主機(jī)上，它們比基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)更加適用于被加密的和交換的環(huán)

39、境。測系統(tǒng)更加適用于被加密的和交換的環(huán)境。（5 5）近于實(shí)時的檢測和響應(yīng)。）近于實(shí)時的檢測和響應(yīng)。u盡管基于主機(jī)的入侵檢測系統(tǒng)不能提供真正盡管基于主機(jī)的入侵檢測系統(tǒng)不能提供真正實(shí)時的反應(yīng)，但如果應(yīng)用正確，反應(yīng)速度可實(shí)時的反應(yīng)，但如果應(yīng)用正確，反應(yīng)速度可以非常接近實(shí)時。以非常接近實(shí)時。u從操作系統(tǒng)做出記錄到基于主機(jī)的系統(tǒng)得到從操作系統(tǒng)做出記錄到基于主機(jī)的系統(tǒng)得到辨識結(jié)果之間的這段時間是一段延遲，但大辨識結(jié)果之間的這段時間是一段延遲，但大多數(shù)情況下，在破壞發(fā)生之前，系統(tǒng)就能發(fā)多數(shù)情況下，在破壞發(fā)生之前，系統(tǒng)就能發(fā)現(xiàn)入侵者，并中止他的攻擊?，F(xiàn)入侵者，并中止他的攻擊。（6 6）不要求額外的硬件設(shè)備。）

40、不要求額外的硬件設(shè)備。u基于主機(jī)的入侵檢測系統(tǒng)存在于現(xiàn)行網(wǎng)絡(luò)結(jié)基于主機(jī)的入侵檢測系統(tǒng)存在于現(xiàn)行網(wǎng)絡(luò)結(jié)構(gòu)之中，包括文件服務(wù)器、構(gòu)之中，包括文件服務(wù)器、WebWeb服務(wù)器及其它服務(wù)器及其它共享資源，這些使得基于主機(jī)的系統(tǒng)效率很共享資源，這些使得基于主機(jī)的系統(tǒng)效率很高，因?yàn)樗鼈儾恍枰诰W(wǎng)絡(luò)上另外安裝登記、高，因?yàn)樗鼈儾恍枰诰W(wǎng)絡(luò)上另外安裝登記、維護(hù)及管理硬件設(shè)備。維護(hù)及管理硬件設(shè)備。（7 7）記錄花費(fèi)更加低廉。）記錄花費(fèi)更加低廉。u基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)比基于主機(jī)的入侵基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)比基于主機(jī)的入侵檢測系統(tǒng)要昂貴的多。檢測系統(tǒng)要昂貴的多。基于主機(jī)的入侵檢測系統(tǒng)也有弱點(diǎn)：基于主機(jī)的入侵檢測系統(tǒng)

41、也有弱點(diǎn)：u依賴于服務(wù)器固有的日志與監(jiān)視能力，而主機(jī)審計信依賴于服務(wù)器固有的日志與監(jiān)視能力，而主機(jī)審計信息易受攻擊，入侵者可設(shè)法逃避審計；息易受攻擊，入侵者可設(shè)法逃避審計；u全面部署全面部署HIDSHIDS代價較大；代價較大；u除了監(jiān)測自身的主機(jī)以外，不監(jiān)測網(wǎng)絡(luò)上的情況；除了監(jiān)測自身的主機(jī)以外，不監(jiān)測網(wǎng)絡(luò)上的情況；uHIDSHIDS的運(yùn)行或多或少會影響主機(jī)的性能；的運(yùn)行或多或少會影響主機(jī)的性能；u只對主機(jī)的特定用戶、應(yīng)用程序執(zhí)行動作和日志進(jìn)行只對主機(jī)的特定用戶、應(yīng)用程序執(zhí)行動作和日志進(jìn)行檢測，所檢測到的攻擊類型有限。檢測，所檢測到的攻擊類型有限。u基于主機(jī)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)都有其優(yōu)勢和劣

42、基于主機(jī)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)都有其優(yōu)勢和劣勢，兩種方法互為補(bǔ)充。勢，兩種方法互為補(bǔ)充。u一種真正有效的入侵檢測系統(tǒng)應(yīng)將二者結(jié)合。一種真正有效的入侵檢測系統(tǒng)應(yīng)將二者結(jié)合。u基于主機(jī)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的比較見表基于主機(jī)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的比較見表8-1 8-1 8.4 8.4 項(xiàng)目實(shí)施項(xiàng)目實(shí)施 任務(wù)任務(wù): SessionWall: SessionWall入侵檢測軟件的使用入侵檢測軟件的使用1. 1. 任務(wù)目標(biāo)任務(wù)目標(biāo) (1) (1) 掌握掌握SessionWall-3SessionWall-3的使用方法。的使用方法。 (2) (2) 理解入侵檢測系統(tǒng)的作用。理解入侵檢測系統(tǒng)的作用。

43、2. 2. 任務(wù)內(nèi)容任務(wù)內(nèi)容 (1) SessionWall-3(1) SessionWall-3的使用。的使用。 (2) (2) 自定義自定義QQQQ服務(wù)。服務(wù)。8.4 8.4 項(xiàng)目實(shí)施項(xiàng)目實(shí)施 3. 3. 完成任務(wù)所需的設(shè)備和軟件完成任務(wù)所需的設(shè)備和軟件(1) Windows Server 2000 (1) Windows Server 2000 虛擬機(jī)虛擬機(jī)1 1臺臺( (主機(jī)主機(jī)A)A)，Windows XPWindows XP計算機(jī)計算機(jī)1 1臺臺( (主機(jī)主機(jī)B)B)。(2) SessionWall-3(2) SessionWall-3軟件軟件1 1套。套。(3) X-Scan(3

44、) X-Scan掃描軟件掃描軟件1 1套。套。(4) UDP Flood(4) UDP Flood攻擊軟件攻擊軟件1 1套。套。4. 4. 任務(wù)實(shí)施步驟任務(wù)實(shí)施步驟(1) SessionWall-3(1) SessionWall-3的使用的使用u 在在Windows Server 2000Windows Server 2000虛擬機(jī)虛擬機(jī)( (主機(jī)主機(jī)A)A)中安裝中安裝SessionWall-3SessionWall-3軟軟件，另一件，另一Windows XPWindows XP計算機(jī)計算機(jī)( (主機(jī)主機(jī)B)B)用來對主機(jī)用來對主機(jī)A A實(shí)施實(shí)施X-Scan X-Scan 和和UDP Flo

45、odUDP Flood攻擊。攻擊。u 步驟步驟1 1：在：在Windows Server 2000Windows Server 2000虛擬機(jī)虛擬機(jī)( (主機(jī)主機(jī)A)A)上安裝并啟動上安裝并啟動SessionWall-3SessionWall-3軟件，啟動后的主窗口如圖軟件，啟動后的主窗口如圖8-38-3所示。所示。u 步驟步驟2 2：在另一：在另一Windows XPWindows XP計算機(jī)計算機(jī)( (主機(jī)主機(jī)B)B)上啟動上啟動X-ScanX-Scan掃描軟掃描軟件，對主機(jī)件，對主機(jī)A A進(jìn)行各種安全掃描。進(jìn)行各種安全掃描。u 步驟步驟3 3：在主機(jī)：在主機(jī)A A上可看到報警消息圖標(biāo)和安

46、全沖突圖標(biāo)在不停上可看到報警消息圖標(biāo)和安全沖突圖標(biāo)在不停地閃爍，并發(fā)出報警聲。選擇菜單地閃爍，并發(fā)出報警聲。選擇菜單“View”“Alert View”“Alert Messages”Messages”命令，打開如圖命令，打開如圖8-48-4所示的對話框，該對話框中列出所示的對話框，該對話框中列出了各種報警消息。了各種報警消息。u 步驟步驟4 4：查看違反安全規(guī)則的行為。：查看違反安全規(guī)則的行為。SessionWall-3SessionWall-3中內(nèi)置了許多中內(nèi)置了許多預(yù)定義的違反安全規(guī)則的行為，當(dāng)檢測到這些行為發(fā)生的時候，預(yù)定義的違反安全規(guī)則的行為，當(dāng)檢測到這些行為發(fā)生的時候，系統(tǒng)會在系統(tǒng)

47、會在“Detected security violations”Detected security violations”對話框中顯示這些對話框中顯示這些行為。在工具欄上單擊行為。在工具欄上單擊“show security violations”show security violations”按鈕，打按鈕，打開如圖開如圖8-58-5所示的對話框，該對話框中列出了檢測到的違反安全規(guī)所示的對話框，該對話框中列出了檢測到的違反安全規(guī)則的行為。則的行為。u 步驟步驟5 5：在主機(jī)：在主機(jī)B B上對主機(jī)上對主機(jī)A A的的8080端口發(fā)起端口發(fā)起UDP FloodUDP Flood攻擊，查看攻擊，查看主

48、機(jī)主機(jī)A A的最近活動情況的最近活動情況(Recent activity)(Recent activity)，如圖，如圖8-68-6所示，可見所示，可見主機(jī)主機(jī)A A在在8080端口收到了大量的端口收到了大量的UDPUDP攻擊數(shù)據(jù)包。攻擊數(shù)據(jù)包。(2) (2) 自定義自定義QQQQ服務(wù)服務(wù)uSessionWall-3SessionWall-3已經(jīng)預(yù)定義了許多服務(wù)，用戶根據(jù)需要已經(jīng)預(yù)定義了許多服務(wù)，用戶根據(jù)需要也可以自定義服務(wù)，如也可以自定義服務(wù)，如QQQQ服務(wù)。服務(wù)。u步驟步驟1 1：選擇菜單：選擇菜單“settings”“Definitions”settings”“Definitions”命

49、令，命令，打開打開“Definitions”Definitions”窗口，在窗口，在“Services”Services”選項(xiàng)卡中選項(xiàng)卡中顯示了系統(tǒng)預(yù)定義的服務(wù)，如圖顯示了系統(tǒng)預(yù)定義的服務(wù)，如圖8-78-7所示。所示。u步驟步驟2 2：單擊：單擊“Add”Add”按鈕，打開按鈕，打開“Service Properties”Service Properties”對話框，設(shè)置服務(wù)名稱為對話框，設(shè)置服務(wù)名稱為QQQQ，協(xié)議為，協(xié)議為UDPUDP，端口號為，端口號為80008000，如圖，如圖8-88-8所示，單擊所示，單擊“OK”O(jiān)K”按鈕，返回按鈕，返回“Definitions”Definitio

50、ns”窗口，再單擊窗口，再單擊“確定確定”按鈕。按鈕。u步驟步驟3 3：定義好：定義好QQQQ服務(wù)后，當(dāng)網(wǎng)絡(luò)中存在服務(wù)后，當(dāng)網(wǎng)絡(luò)中存在QQQQ連接時，連接時，就會被系統(tǒng)監(jiān)測到，如圖就會被系統(tǒng)監(jiān)測到，如圖8-98-9所示。所示。8.5 8.5 拓展提高：入侵防護(hù)系統(tǒng)拓展提高：入侵防護(hù)系統(tǒng) u隨著網(wǎng)絡(luò)入侵事件的不斷增加和黑客攻擊水隨著網(wǎng)絡(luò)入侵事件的不斷增加和黑客攻擊水平的不斷提高，一方面網(wǎng)絡(luò)遭受攻擊的速度平的不斷提高，一方面網(wǎng)絡(luò)遭受攻擊的速度日益加快，另一方面網(wǎng)絡(luò)受到攻擊做出響應(yīng)日益加快，另一方面網(wǎng)絡(luò)受到攻擊做出響應(yīng)的時間卻越來越滯后。的時間卻越來越滯后。u解決這一矛盾，傳統(tǒng)的防火墻或入侵檢測技解

51、決這一矛盾，傳統(tǒng)的防火墻或入侵檢測技術(shù)術(shù)(IDS)(IDS)顯得力不從心，這就需要引入一種顯得力不從心，這就需要引入一種全新的技術(shù)全新的技術(shù)入侵防護(hù)系統(tǒng)入侵防護(hù)系統(tǒng)(Intrusion (Intrusion Prevention SystemPrevention System，IPS)IPS)。1. IPS1. IPS的原理的原理u 防火墻是實(shí)施訪問控制策略的系統(tǒng)，對流經(jīng)的網(wǎng)絡(luò)流防火墻是實(shí)施訪問控制策略的系統(tǒng)，對流經(jīng)的網(wǎng)絡(luò)流量進(jìn)行檢查，攔截不符合安全策略的數(shù)據(jù)包。量進(jìn)行檢查，攔截不符合安全策略的數(shù)據(jù)包。u 入侵檢測技術(shù)入侵檢測技術(shù)(IDS)(IDS)通過監(jiān)視網(wǎng)絡(luò)或系統(tǒng)資源，尋找通過監(jiān)視網(wǎng)絡(luò)或系

52、統(tǒng)資源，尋找違反安全策略的行為或攻擊跡象，并發(fā)出報警。傳統(tǒng)違反安全策略的行為或攻擊跡象，并發(fā)出報警。傳統(tǒng)的防火墻旨在拒絕那些明顯可疑的網(wǎng)絡(luò)流量，但仍然的防火墻旨在拒絕那些明顯可疑的網(wǎng)絡(luò)流量，但仍然允許某些流量通過，因此防火墻對于很多入侵攻擊仍允許某些流量通過，因此防火墻對于很多入侵攻擊仍然無計可施。然無計可施。u 絕大多數(shù)絕大多數(shù) IDS IDS 系統(tǒng)都是被動的，而不是主動的。也系統(tǒng)都是被動的，而不是主動的。也就是說，在攻擊實(shí)際發(fā)生之前，它們往往無法預(yù)先發(fā)就是說，在攻擊實(shí)際發(fā)生之前，它們往往無法預(yù)先發(fā)出警報。出警報。u而入侵防護(hù)系統(tǒng)而入侵防護(hù)系統(tǒng) (IPS) (IPS) 則傾向于提供主動防護(hù)，

53、其則傾向于提供主動防護(hù)，其設(shè)計宗旨是預(yù)先對入侵活動和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔設(shè)計宗旨是預(yù)先對入侵活動和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，避免其造成損失，而不是簡單地在惡意流量傳送截，避免其造成損失，而不是簡單地在惡意流量傳送時或傳送后才發(fā)出警報。時或傳送后才發(fā)出警報。uIPS IPS 是通過直接嵌入到網(wǎng)絡(luò)流量中實(shí)現(xiàn)這一功能的，是通過直接嵌入到網(wǎng)絡(luò)流量中實(shí)現(xiàn)這一功能的，即通過一個網(wǎng)絡(luò)端口接收來自外部系統(tǒng)的流量，經(jīng)過即通過一個網(wǎng)絡(luò)端口接收來自外部系統(tǒng)的流量，經(jīng)過檢查確認(rèn)其中不包含異?；顒踊蚩梢蓛?nèi)容后，再通過檢查確認(rèn)其中不包含異?；顒踊蚩梢蓛?nèi)容后，再通過另外一個端口將它傳送到內(nèi)部系統(tǒng)中。另外一個端口將它傳送到內(nèi)部

54、系統(tǒng)中。u這樣一來，有問題的數(shù)據(jù)包，以及所有來自同一數(shù)據(jù)這樣一來，有問題的數(shù)據(jù)包，以及所有來自同一數(shù)據(jù)流的后續(xù)數(shù)據(jù)包，都能在流的后續(xù)數(shù)據(jù)包，都能在IPSIPS設(shè)備中被清除掉。設(shè)備中被清除掉。2. IPS2. IPS的分類的分類（1 1）基于主機(jī)的入侵防護(hù)系統(tǒng)）基于主機(jī)的入侵防護(hù)系統(tǒng)(HIPS)(HIPS)。u在技術(shù)上，在技術(shù)上，HIPSHIPS采用獨(dú)特的服務(wù)器保護(hù)途徑，由包過采用獨(dú)特的服務(wù)器保護(hù)途徑，由包過濾、狀態(tài)包檢測和實(shí)時入侵檢測組成分層防護(hù)體系。濾、狀態(tài)包檢測和實(shí)時入侵檢測組成分層防護(hù)體系。u這種體系能夠在提供合理吞吐率的前提下，最大限度這種體系能夠在提供合理吞吐率的前提下，最大限度地保

55、護(hù)服務(wù)器的敏感內(nèi)容，既可以以軟件形式嵌入到地保護(hù)服務(wù)器的敏感內(nèi)容，既可以以軟件形式嵌入到應(yīng)用程序?qū)Σ僮飨到y(tǒng)的調(diào)用當(dāng)中，攔截針對操作系統(tǒng)應(yīng)用程序?qū)Σ僮飨到y(tǒng)的調(diào)用當(dāng)中，攔截針對操作系統(tǒng)的可疑調(diào)用，提供對主機(jī)的安全防護(hù)，也可以以更改的可疑調(diào)用，提供對主機(jī)的安全防護(hù)，也可以以更改操作系統(tǒng)內(nèi)核程序的方式，提供比操作系統(tǒng)更加嚴(yán)謹(jǐn)操作系統(tǒng)內(nèi)核程序的方式，提供比操作系統(tǒng)更加嚴(yán)謹(jǐn)?shù)陌踩刂茩C(jī)制。的安全控制機(jī)制。u由于由于HIPSHIPS工作在受保護(hù)的主機(jī)工作在受保護(hù)的主機(jī)/ /服務(wù)器上，它服務(wù)器上，它不但能夠利用特征和行為規(guī)則檢測，阻止諸如不但能夠利用特征和行為規(guī)則檢測，阻止諸如緩沖區(qū)溢出之類的已知攻擊，還能夠防范未知緩沖區(qū)溢出之類的已知攻擊，還能夠防范未知攻擊，防止針對攻擊，防止針對WebWeb頁面、應(yīng)用和資源的未授頁面、應(yīng)用和資源的未授權(quán)的任何非法訪問。權(quán)的任何非法訪問。uHIPSHIPS與具體的主機(jī)與具體的主機(jī)/ /服務(wù)器操作系統(tǒng)平臺緊密服務(wù)器操作系統(tǒng)平臺緊密相關(guān)，不同的平臺需要不同的軟件代理程序。相關(guān)，不同的平臺需要不同的軟件代理程序。（2 2）基于網(wǎng)絡(luò)的入侵防護(hù)）基于網(wǎng)絡(luò)的入侵防護(hù)(NIPS)(NIPS)。uNIPSNIPS通過檢測流經(jīng)的網(wǎng)絡(luò)流量，提供對網(wǎng)絡(luò)通過檢測流經(jīng)