成果網(wǎng)絡(luò)安全ns

1、IDS提供了主動(dòng)的防御作為動(dòng)態(tài)的提供了對(duì)內(nèi)部防御技術(shù)，檢測(cè)、外部的實(shí)時(shí)保護(hù)，使得網(wǎng)絡(luò)系統(tǒng)在受到危害之前和響應(yīng)防御因此，為。提供了主動(dòng)的檢測(cè)系統(tǒng)得到了業(yè)界和研究界的廣泛關(guān)注，是的研究熱點(diǎn)。2檢測(cè)1.IDS簡(jiǎn)介檢測(cè)源于傳統(tǒng)的系統(tǒng)審計(jì)，從八十年代初期提出的理論雛形到實(shí)現(xiàn)商品化的今天已經(jīng)走過了三十多年的歷史。作為一項(xiàng)主動(dòng)的權(quán)對(duì)象（用戶或進(jìn)程）技術(shù)，它能夠檢測(cè)未授系統(tǒng)（主機(jī)或網(wǎng)絡(luò)）的用，行為，對(duì)象對(duì)系統(tǒng)的使并保存相關(guān)行為的法律證據(jù)，并可根據(jù)配置的要求在特定的情況下采取必要的響應(yīng)措施（警報(bào)、驅(qū)除、防衛(wèi)反擊等）。3檢測(cè)與檢測(cè)系統(tǒng)?就是試圖破壞網(wǎng)絡(luò)信息的性、網(wǎng)絡(luò)完整性和可用性的行為。方式一般有：(1) 未(2

2、) 已經(jīng)經(jīng)的用戶系統(tǒng)；的用戶企圖獲得更高權(quán)限，或者是已的用戶所給定的權(quán)限等。檢測(cè)是監(jiān)測(cè)計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)，以發(fā)的過程?，F(xiàn)安全策略4檢測(cè)檢測(cè)系統(tǒng)檢測(cè)系統(tǒng)（IDS，Intrusion Detection Systems）則是自動(dòng)監(jiān)視出現(xiàn)在計(jì)算機(jī)或網(wǎng)絡(luò)系統(tǒng)中的斷是否有，分析這些，從而判發(fā)生的軟件或硬件。檢測(cè)系統(tǒng)是實(shí)現(xiàn)般位于內(nèi)部網(wǎng)的后面，用于檢測(cè)外部監(jiān)測(cè)的系統(tǒng)，一處，安裝在者的的和內(nèi)部用戶的活動(dòng)。5檢測(cè)檢測(cè)系統(tǒng)的主要功能(1)監(jiān)視分析用戶和系統(tǒng)的行為；(2)審計(jì)系統(tǒng)配置和漏洞； (3)評(píng)估敏感系統(tǒng)和數(shù)據(jù)的完整性；(4)識(shí)別行為；(5)對(duì)異常行為進(jìn)行統(tǒng)計(jì)；(6)自動(dòng)收集與系統(tǒng)相關(guān)的補(bǔ)??；(7)進(jìn)行審計(jì)跟蹤

3、,識(shí)別為；(8)使用誘騙服務(wù)器安全策略的行行為；6檢測(cè)檢測(cè)系統(tǒng)的主要功能（續(xù)1）(9)使系統(tǒng)管理員可以較有效地監(jiān)視、審計(jì)、評(píng)估的系統(tǒng)。此外，由于以大多數(shù)檢測(cè)和響應(yīng)密切相關(guān)，所檢測(cè)系統(tǒng)都具有響應(yīng)的功能。7檢測(cè)檢測(cè)系統(tǒng)的發(fā)展歷史(1) 安全審計(jì)階段審計(jì)的定義是：產(chǎn)生、并檢查按時(shí)間順序排列的系統(tǒng)的過程。審計(jì)系統(tǒng)包括審計(jì)跟蹤產(chǎn)生器、日志器、分析器和報(bào)告機(jī)制。而所有審計(jì)的前提是有一個(gè)支配審計(jì)過程的規(guī)則集。因規(guī)則的確切形式和內(nèi)容的不同可將審計(jì)劃分為金融審計(jì)、管理審計(jì)和安全審計(jì)等。在安全審計(jì)中，規(guī)則集通常以安全策略的形式表達(dá)。8檢測(cè)檢測(cè)系統(tǒng)的誕生階段(2)1980年，James P. Anderson在為美

4、國的一份中提出了基準(zhǔn)監(jiān)視器的概念，該報(bào)告檢測(cè)系統(tǒng)的開創(chuàng)性工作。被認(rèn)為是在這份報(bào)告中，他建議改變計(jì)算機(jī)審計(jì)機(jī)制，以便為跟蹤問題的計(jì)算機(jī)安全提供信息。Anderson的報(bào)告還清楚地闡述了安全審計(jì)機(jī)制的目標(biāo)。其后Anderson還建議：一些用戶行為的一些統(tǒng)計(jì)分析應(yīng)當(dāng)具備判不正常使用模式的能力，這或許是可以用來發(fā)現(xiàn)者的法。9檢測(cè)19841986年，Dorothy Denning等人研究并開發(fā)了一個(gè)實(shí)時(shí)的型，命名為IDES（檢測(cè)系統(tǒng)模系統(tǒng)），檢測(cè)提出了反?；顒?dòng)和計(jì)算機(jī)不正常使用間的相關(guān)性，該模型是許多80年代的檢測(cè)研究和系統(tǒng)的基礎(chǔ)。Denning于1987年文被認(rèn)為是另一篇的關(guān)于這一問題的論檢測(cè)的開創(chuàng)性

5、之作。10檢測(cè)檢測(cè)系統(tǒng)的發(fā)展階段(3)受Anderson和IDES的影響，20世紀(jì)80年代出現(xiàn)了大量的檢測(cè)原型系統(tǒng)，如：Audit Analysis Project， Discovery，Haystack等，80年代末和90年代初出現(xiàn)了許多的檢測(cè)系統(tǒng)。較有影響的是ComputerWatch審計(jì)跟蹤分析工具ISOA（助理）實(shí)時(shí)安全監(jiān)視器以及Lcyde VAX審計(jì)等。11檢測(cè)NSM：Network Security Monitor1990年，Heberlein等提出了一個(gè)新的概念：檢測(cè)NSM（Network基于網(wǎng)絡(luò)的Security Monitor），NSM與此前的檢測(cè)系統(tǒng)最大的區(qū)別在于它測(cè)主機(jī)的

6、審計(jì)，而是通過在局域網(wǎng)上主動(dòng)地監(jiān)視網(wǎng)絡(luò)信息流量來追蹤可疑行為。12檢測(cè)1991年，NADIR（Network Anomaly Detection and Intrusion Reporter）與DIDS（Distribute Intrusion Detection System）提出了收集和合并處理來自多個(gè)主機(jī)的審計(jì)信息以一系列主機(jī)的協(xié)同。1994年，Marke等建議使用自治（autonomous agents）以提高IDS的可伸縮性、可維護(hù)性、效率和容錯(cuò)性，該理念非常符合正在進(jìn)行的計(jì)算機(jī)科學(xué)其他領(lǐng)域（如軟件）的研究。13檢測(cè)另一個(gè)致力于解決當(dāng)代絕大多數(shù)檢測(cè)系統(tǒng)伸縮性不足的途徑于1996年提出

7、，這就是GBIDS（Graphic-Based Intrusion Detection System），該系統(tǒng)使得對(duì)大規(guī)模自動(dòng)或協(xié)同的檢測(cè)更為便利。以后人們又相繼提出了將免疫原理和信息檢索技術(shù)引進(jìn)到措施，使得檢測(cè)系統(tǒng)中等一系列檢測(cè)系統(tǒng)更加實(shí)用和可靠。14檢測(cè)CIDF模型由于檢測(cè)系統(tǒng)大部分都是開發(fā)的，不同系統(tǒng)之間缺乏互操作性和互用性，這對(duì)檢測(cè)系統(tǒng)的發(fā)展造成了障礙，因此，DARPA（the DefenseAdvanced Research Prouects Agency，美國國防部高級(jí)研究計(jì)劃局）在1997年3月開始著手CIDF（Common Intrusion Detection Framewo

8、rk）標(biāo)準(zhǔn)的制定。15檢測(cè)CIDFCIDF由S.Staniford等人提出，主要有三個(gè)目的： 一是IDS構(gòu)件共享，即一個(gè)IDS系統(tǒng)的構(gòu)件可被另一個(gè)系統(tǒng)使用； 二是數(shù)據(jù)共享，即通過提供標(biāo)準(zhǔn)的數(shù)據(jù)格式， 使得IDS中的各類數(shù)據(jù)可以在不同的系統(tǒng)之間傳遞并共享； 三是完善互用性標(biāo)準(zhǔn)，并建立一套開發(fā)接口和支持工具，以提供開發(fā)部分構(gòu)件的能力。16檢測(cè)CIDF框架結(jié)構(gòu)圖17檢測(cè)產(chǎn)生器CIDF模型將檢測(cè)需要分析的數(shù)據(jù)稱作事件（Event），它可以是基于網(wǎng)絡(luò)的檢測(cè)檢系統(tǒng)的數(shù)據(jù)包，也可以是基于主機(jī)的測(cè)系統(tǒng)從系統(tǒng)日志等其它途徑得到的信息。模型也對(duì)各個(gè)部件之間的信息傳遞格式、通信方法和API進(jìn)行了標(biāo)準(zhǔn)化。產(chǎn)生器的目的

9、是從整個(gè)的計(jì)算機(jī)環(huán)境，并的（也稱做信息源）中獲得其他部分提供該，這些數(shù)據(jù)源可以是網(wǎng)絡(luò)、主機(jī)或應(yīng)用系統(tǒng)中的信息。18檢測(cè)分析器、響應(yīng)單元、數(shù)據(jù)庫分析器從產(chǎn)生器中獲得數(shù)據(jù)，通過各種分析方法一般為誤用檢測(cè)和異常檢測(cè)方法來分析數(shù)據(jù)，決定是否已經(jīng)發(fā)生或者正在發(fā)生，在這里分析方法的選擇是一項(xiàng)非常重要的工作；響應(yīng)單元?jiǎng)t是對(duì)分析結(jié)果作出反應(yīng)的功能單元。最簡(jiǎn)單的響應(yīng)是，通知管理者的發(fā)生，由管理者決定采取應(yīng)對(duì)的措施。數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)的地方的總稱，它可以是復(fù)雜的數(shù)據(jù)庫，也可以是簡(jiǎn)單的文本文件。19檢測(cè)目錄服務(wù)構(gòu)件目錄服務(wù)構(gòu)件用于各構(gòu)件其他的構(gòu)件，以及其他構(gòu)件傳遞的數(shù)據(jù)并認(rèn)證其他構(gòu)件的使用，以防止IDS

10、系統(tǒng)本身受到。它可以管理和發(fā)布密鑰，提供構(gòu)件信息和告訴用戶構(gòu)件的功能接口。20檢測(cè)信息源、分析部件和響應(yīng)部件在現(xiàn)有的檢測(cè)系統(tǒng)中，經(jīng)常用信息源、分析部件和響應(yīng)部件來分別代替產(chǎn)生器、分析器和響應(yīng)單元等術(shù)語。因此，人們往往將信息源、分析和響應(yīng)稱做檢測(cè)系統(tǒng)的處理模式。雖然CIDF具有明顯的優(yōu)點(diǎn)，但實(shí)際上由于目前標(biāo)準(zhǔn)還在制定之中，因此它還沒有得到廣泛地應(yīng)用，也沒有一個(gè)檢測(cè)系統(tǒng)完全使用該標(biāo)準(zhǔn)，但未來的IDS系統(tǒng)將可能遵循CIDF標(biāo)準(zhǔn)。檢測(cè)211.1IDS的分類1、按檢測(cè)數(shù)據(jù)來源分類（1）HIDS：基于主機(jī)的 HIDS的檢測(cè)數(shù)據(jù)來源于操檢測(cè)系統(tǒng)的審計(jì)跟蹤記錄、主機(jī)的系統(tǒng)日志文件和系統(tǒng)應(yīng)用軟件日志，一些先進(jìn)的

11、HIDS還能夠使用第軟件生成的日志信息。這些信息主要集中于系統(tǒng)調(diào)用及應(yīng)用層審計(jì)方面，HIDS試圖從這些信息中尋找和操作的痕跡。22檢測(cè)基于主機(jī)的檢測(cè)系統(tǒng)Internet告警23檢測(cè)檢測(cè)內(nèi)容：系統(tǒng)調(diào)用、端口、系統(tǒng)日志、安全審計(jì)網(wǎng)絡(luò)服務(wù)器1網(wǎng)絡(luò)服務(wù)器2HIDSHIDSNIDS：基于網(wǎng)絡(luò)的檢測(cè)系統(tǒng)（2）NIDS：基于網(wǎng)絡(luò)的檢測(cè)系統(tǒng) NIDS它模塊的工作方式與器類似，所有流經(jīng)的網(wǎng)絡(luò)數(shù)據(jù)包，提取并提交收集到的數(shù)據(jù)信息給分析引擎，由分析引擎根據(jù)檢測(cè)規(guī)則對(duì)數(shù)據(jù)信息進(jìn)行檢測(cè)分析，用以是否有問題存在。 通常NIDS檢測(cè)保護(hù)的是一個(gè)局域網(wǎng)絡(luò)。越來越網(wǎng)絡(luò)，NIDS也多的行為開始依賴于或因此而變得愈加重要了。24檢測(cè)

12、基于網(wǎng)絡(luò)的檢測(cè)系統(tǒng)告警客戶端Internet25檢測(cè)NIDS檢測(cè)內(nèi)容：數(shù)據(jù)包頭信息、有效數(shù)據(jù)部分網(wǎng)絡(luò)服務(wù)器1網(wǎng)絡(luò)服務(wù)器2LIDS：基于Linux內(nèi)核的檢測(cè)系統(tǒng)（3）LIDS：基于Linux內(nèi)核的 這是一種基于Linux內(nèi)核的檢測(cè)系統(tǒng)檢測(cè)系統(tǒng)。它在模式以及命令進(jìn)入Linux內(nèi)核中實(shí)現(xiàn)了參考(Mandatory Access Control)模式，可以實(shí)時(shí)監(jiān)視操作狀態(tài)，旨在從。級(jí)加強(qiáng)系統(tǒng)的安 在某種程度上可以認(rèn)為它的檢測(cè)數(shù)據(jù)來源于操的內(nèi)核操作，在這一級(jí)別上檢測(cè)活動(dòng)，因此其安全特性要高于其他兩類IDS。和26檢測(cè)2、按檢測(cè)分析引擎的行為分類（1）AD：異常檢測(cè)(Anormality Detectio

13、n) 此種檢測(cè)行為基于統(tǒng)計(jì)分析，因此是動(dòng)態(tài)的。首先中的重要（如內(nèi)存）選取統(tǒng)計(jì)量，并統(tǒng)計(jì)其正常使用情況下的基準(zhǔn)值，然后系統(tǒng)的使用情況，當(dāng)與基準(zhǔn)值的偏差超過一定范圍時(shí)認(rèn)定有動(dòng)發(fā)生?；蚧?就檢測(cè)準(zhǔn)確性而言，它不如MD，誤報(bào)率較高，但它的彈性較大，檢測(cè)靈活，在自動(dòng)檢行為方面較MD有優(yōu)勢(shì)。測(cè)新的27檢測(cè)（2）MD：誤用檢測(cè)(Misuse Detection)（2）MD：誤用檢測(cè)(Misuse Detection) 這種檢測(cè)行為基于特征匹配，是一種靜態(tài)分析方法。通過對(duì)比已知的段以及系統(tǒng)漏洞的簽名特征來手是否有或操作發(fā)生。 通常而言，MD檢測(cè)的準(zhǔn)確性較高，其成功的一個(gè)關(guān)鍵因素在于匹配規(guī)則庫的完備性。28檢測(cè)

14、1.2NIDS的檢測(cè)模型13分析引擎24529檢測(cè)設(shè)備響應(yīng)部件臺(tái)器臺(tái)和器臺(tái) 主要用于對(duì)NIDS的其他部件進(jìn)行配置管理。作臺(tái)可以與NIDS的主體功能部為輔助部件，件（或稱檢測(cè)器）分離，甚至可以處于NIDS保護(hù)檢測(cè)的范圍之外。因此臺(tái)不是必須的，各個(gè)模塊通常還提供其他的配置接口，大多數(shù)NIDS可以在缺省模式下工作。器 負(fù)責(zé)從網(wǎng)絡(luò)上交給分析引擎。數(shù)據(jù)包，經(jīng)過適當(dāng)處理后提30檢測(cè)分析引擎+響應(yīng)部件+設(shè)備分析引擎 是NIDS的，由它對(duì)數(shù)據(jù)進(jìn)行檢測(cè)分析，發(fā)現(xiàn)問題則觸發(fā)響應(yīng)機(jī)制，在需要時(shí)可以與響應(yīng)部件設(shè)備交互。當(dāng)響應(yīng)機(jī)制被觸發(fā)時(shí)，響應(yīng)部件會(huì)根據(jù)預(yù)先的配置采取適當(dāng)?shù)捻憫?yīng)措施。設(shè)備根據(jù)預(yù)定義的規(guī)則安全，用以提供的

15、一部分法律證據(jù)，并可以作為統(tǒng)計(jì)用戶行為的數(shù)據(jù)源。31檢測(cè)1.3NIDS的主要技術(shù)與性能(1) 對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行協(xié)議分析。目前分析的主要協(xié)議包括IP、TCP、UDP、ICMP（個(gè)還支持ARP、IPV6、IPX等）以及其他一些別的應(yīng)用協(xié)議，如TELNET、HTTP、FTP、SMTP、POP等。不同NIDS對(duì)協(xié)議分析的深度不盡相同，如是否檢測(cè)校驗(yàn)和、是否支持碎片重組、是否支持邊界檢查、是否跟蹤的連接等。(2) 對(duì)數(shù)據(jù)包內(nèi)容進(jìn)行特征匹配。盡管個(gè)別NIDS可能附帶其他統(tǒng)計(jì)分析功能，但出于檢測(cè)準(zhǔn)確性的考慮，特征匹配(基于誤用的監(jiān)測(cè))是目前絕大多數(shù)NIDS普遍采用的技術(shù)。32檢測(cè)(3) 優(yōu)化系統(tǒng)結(jié)構(gòu)。傳統(tǒng)的

16、NIDS多采用集中模式，依靠提高和檢測(cè)速度以適應(yīng)網(wǎng)絡(luò)擴(kuò)充和帶寬增加；目前的NIDS趨向于采用分布檢測(cè)，層級(jí)管理的模式。(4) 多響應(yīng)措施。NIDS的響應(yīng)很多，包括發(fā)出警報(bào)（屏幕文字、聲音警報(bào)、電子郵件、日志、通知等）、驅(qū)除（ 擊（不可達(dá)信息、關(guān)閉連接、終止進(jìn)程等）、防衛(wèi)反用戶、地址、與其他安全工具交互配合調(diào)整、使用其他工具回?fù)舻龋┑取?5) 增強(qiáng)自身安。包括減少（或消除）關(guān)鍵節(jié)點(diǎn)、分離端口與管理端口、關(guān)閉檢測(cè)器主機(jī)的開放端口、檢測(cè)器主機(jī)的網(wǎng)卡不配置IP地址、檢測(cè)器與臺(tái)之間的通信加密、檢測(cè)器與檢測(cè)臺(tái)之間相互認(rèn)證等。332. Anti-NIDS概述Anti-NIDS的目標(biāo)是：使NIDS檢測(cè)不到入侵

17、行為的發(fā)生，或無法對(duì)行為做出響應(yīng)，或無法證明行為的責(zé)任。其策略主要有三種：其一，規(guī)避NIDS的檢測(cè)；NIDS自身發(fā)起其二，常運(yùn)行；，使其無法正其三，借助NIDS的某些響應(yīng)功能達(dá)到目的。檢測(cè)或342.1 NIDS所(1)檢測(cè)的工作量 NIDS需要高效的檢測(cè)方法和大量的系統(tǒng)的幾個(gè)問題。 通常NIDS檢測(cè)保護(hù)的是一個(gè)局域網(wǎng)絡(luò)，其數(shù)據(jù)流量通常會(huì)比單機(jī)高出一到兩個(gè)數(shù)量級(jí)，且由于協(xié)議的層次封裝特性，使得很多信息要逐層地從網(wǎng)絡(luò)數(shù)據(jù)包中提取并分析，NIDS的檢測(cè)分析工作因此而變得十分繁雜。NIDS必須盡快地處理網(wǎng)絡(luò)數(shù)據(jù)包，以保持與網(wǎng)絡(luò)同步，避免丟包。 NIDS的檢測(cè)是使NIDS更加容易密集型的，這在某種程度上

18、DoS。35檢測(cè)(2) 檢測(cè)方法的局限性(2) 檢測(cè)方法的局限性 復(fù)雜的、智能化方法的作用十分有限，而AD方法受限于某些的請(qǐng)求使用在數(shù)據(jù)傳輸過程中的模糊性與隱含性，也難以在NIDS中發(fā)揮另人滿意的功效。特征匹配成為NIDS分析引擎的一個(gè)不可或缺的模塊功能。 特征匹配作為一種輕量級(jí)的檢測(cè)方法有其固有的缺陷，缺乏彈性（尤其是字符串匹配），如何完備定義匹配特征（也即匹配特征庫的完備性）是決定檢測(cè)性能的一個(gè)關(guān)鍵問題。36檢測(cè)(3) 網(wǎng)絡(luò)協(xié)議的多樣性與復(fù)雜性 TCP/IP協(xié)議族本身十分龐雜，各種協(xié)議不下幾十種，呈現(xiàn)橫向和縱向深入的兩維分布。為了適應(yīng)網(wǎng)絡(luò)檢測(cè)的需要，NIDS須對(duì)其中的大部分協(xié)議進(jìn)行模擬分析

19、檢測(cè)工作，這會(huì)使得分析引擎變得臃腫而效率低下。 更為重要的是部分協(xié)議（如IP協(xié)議、TCP協(xié)議等）非常復(fù)雜，使精確地模擬分析十分，其難度隨著協(xié)議層次的上升而增加。到了應(yīng)用層，這種模擬分析工作幾乎無法繼續(xù)，由于缺少主機(jī)信息， NIDS將難于理解應(yīng)用層的意圖，更無法模擬或理解某些應(yīng)用提供的功能（如bash提供的tab鍵命令補(bǔ)齊功能）作用于具體環(huán)境下所產(chǎn)生的效果。37檢測(cè)(4) 系統(tǒng)實(shí)現(xiàn)的差異 具體實(shí)現(xiàn)時(shí)，各值和可選功能，會(huì)有全按RFC，對(duì)那些建議的偏好。NIDS為了逼近各的實(shí)現(xiàn)就必須盡可能多地了解每一對(duì)這些不一致情況的處理方式，然后根據(jù)實(shí)際應(yīng)用中檢測(cè)保護(hù)的對(duì)象再?zèng)Q定分析動(dòng)作。但這種想法在實(shí)際中并全可

20、行，有些問題不僅僅是系統(tǒng)的實(shí)現(xiàn)問題，還包含了用戶的配置選擇（如是否計(jì)算UDP數(shù)據(jù)報(bào)的校驗(yàn)和），因此很難做到與目的一致性處理。 另外，某些系統(tǒng)（如Unix）出于操作的自由性和應(yīng)用的方便性，用戶對(duì)網(wǎng)絡(luò)底層進(jìn)行直接操作，致使者幾乎可以隨心所欲地構(gòu)造各種的數(shù)據(jù)包。38檢測(cè)2.2 規(guī)避NIDS基于特征匹配檢測(cè)固有的脆弱性，者可以利用上面提到的幾個(gè)問題，對(duì)普通的行為加以掩飾，或使NIDS無法接收準(zhǔn)確完整的特征，或使特征變得模糊而難以識(shí)別，NIDS在檢測(cè)不到特征的情況下將很難識(shí)別從而無法檢測(cè)到 法稱為規(guī)避NIDS。者的行為意圖，的發(fā)生。這種手39檢測(cè)2.3NIDS主要利用了其NIDS密集型檢測(cè)的特點(diǎn)，對(duì)其實(shí)

21、施DoS，并且通常結(jié)合技術(shù)，使得NIDS既不能找到能執(zhí)行正常的檢測(cè)功能。的真正來源，又不者利用這種空隙可以進(jìn)行其他活動(dòng)。者還可以利用NIDS軟件中可能存在的缺另外陷（或漏洞）對(duì)NIDS本身進(jìn)行，并可能導(dǎo)致DoSNIDS的部分功能失效（取得與上面類似的效果）或是獲得某些額外權(quán)限，繼而為其他的活動(dòng)打開方便。40檢測(cè)2.4 利用NIDS這種策略主要利用了NIDS的響應(yīng)機(jī)制。作為NIDS必不可少的一個(gè)模塊，響應(yīng)部件除了警報(bào)功能之外，通常還配置了其他一些防護(hù)性功能。盡管這些功能的性可能不是很強(qiáng)，但其性通常很強(qiáng)。如果這些功能行使得不夠謹(jǐn)慎，入侵者能夠誤導(dǎo)響應(yīng)部件執(zhí)行這些功能來對(duì)付目標(biāo)系統(tǒng)，則它將成為破壞系

22、統(tǒng)的工具，而NIDS本身卻不知道真正侵做出檢測(cè)。，因而也無法對(duì)這種入41檢測(cè)3.規(guī)避NIDS檢測(cè)的幾種技術(shù)分析引擎是IDS的檢測(cè)主體，規(guī)避NIDS的檢測(cè)就是要隱藏或消除NIDS分析引擎檢測(cè)規(guī)特征，使入則中所對(duì)應(yīng)的行為模式或侵行為淹沒在正常的網(wǎng)絡(luò)流量“噪聲”中。42檢測(cè)3.1 Insertion技術(shù)Insertion是指誘使NIDS接受一些目收或是拒絕接受的數(shù)據(jù)包。無法接通常情況下NIDS與目應(yīng)該接受相同的數(shù)據(jù)包，并按照相同的方式分析處理，這樣才能保證NIDS對(duì)那些目的進(jìn)行有效地檢測(cè)。但是由于NIDS不可能完全了解目的處理方式（即使是相同的系統(tǒng)也可能會(huì)因?yàn)榕渲脝栴}而進(jìn)行不同的處理），因此，如果N

23、IDS接受了那些目無法接收或是拒絕接受的數(shù)據(jù)包就有可能導(dǎo)致問題的發(fā)生。Insertion是一種比較常見的規(guī)避NIDS檢測(cè)的技術(shù)，它主要對(duì)下述兩個(gè)方面造成影響。檢測(cè)43其一，非單特征點(diǎn)的特征進(jìn)行操作，將導(dǎo)致特征失效。44檢測(cè)NIDS 接受的數(shù)據(jù)包：OFXNI目接受的數(shù)據(jù)包：OFNI者數(shù)據(jù)包：OFXNI3.1Insertion技術(shù)（續(xù)2）假設(shè)“INFO”作為的一個(gè)特征串，者分四個(gè)數(shù)據(jù)包發(fā)出該特征串，并在第二個(gè)特征點(diǎn)“N”之后一個(gè)迷惑數(shù)據(jù)包“X”，該數(shù)據(jù)包對(duì)于來說是無法接收或拒絕接受的，但NIDS目與NIDS得到不同卻錯(cuò)誤地接受了，于是目的“特征串”。從目來看顯然發(fā)生了，但對(duì)于NIDS來說它將無法檢

24、測(cè)到“INFO”，因此也據(jù)此的發(fā)生。對(duì)于這種情況而言，特征應(yīng)該是非單特征點(diǎn)的，因?yàn)閱翁卣鼽c(diǎn)是無法Insertion的，而且需要特可以導(dǎo)致NIDS征的分割傳輸，并在傳輸中間錯(cuò)誤接受的迷惑性數(shù)據(jù)包。45檢測(cè)3.1Insertion技術(shù)（續(xù)3）失去狀態(tài)同步其二，對(duì)于面向連接的協(xié)議，狀態(tài)是一個(gè)十分重要的信息，傳輸?shù)拿恳粋€(gè)數(shù)據(jù)包都攜帶狀態(tài)信息，并且會(huì)對(duì)連接雙方的狀態(tài)造成影響。為了對(duì)這樣的協(xié)議進(jìn)行分析，NIDS將不得不保持同樣的或是類似的狀態(tài)信息以跟蹤連接。一旦NIDS錯(cuò)誤地接受了目無法接收或是拒絕接受的數(shù)據(jù)包，那么兩者之間的狀態(tài)就會(huì)產(chǎn)生不一致，我們稱之為“失去狀態(tài)同步”。失去狀態(tài)同步的NIDS在對(duì)該連接

25、的后繼數(shù)據(jù)包的。如圖(Next)所示。處理上將遇到46檢測(cè)處于狀態(tài)A，NIDS跟蹤連接也保持為這一狀假設(shè)目 態(tài)。現(xiàn)在目一個(gè)攜帶狀態(tài)B的數(shù)據(jù)包，因?yàn)槟撤N者沒有接收(或接受)數(shù)據(jù)包，而NIDS卻接受了該數(shù)據(jù)包并更新狀態(tài)為B，于是與目失去狀態(tài)同步。在NIDS找回狀態(tài)同步之前，對(duì)后繼數(shù)據(jù)包接受與處理上產(chǎn)生不一致。更為嚴(yán)重的是，NIDS可可能會(huì)與目能會(huì)在錯(cuò)誤接受的數(shù)據(jù)包的誤導(dǎo)下復(fù)位或終止相應(yīng)的狀態(tài)跟蹤，以至放棄或失去對(duì)目連接的跟蹤。這種影響并不基于特征匹配，但它只適用于需要維護(hù)狀態(tài)信息的或面向連接的情況。47檢測(cè)NIDS狀態(tài)A接受數(shù)據(jù)包：狀態(tài)改為BB目狀態(tài)A沒接受數(shù)據(jù)包： 狀態(tài)保持AB者數(shù)據(jù)包：B3.2

26、 Evasion技術(shù)這種技術(shù)與Insertion有些相似，這一次是NIDS錯(cuò)誤地拒絕了本應(yīng)接受的數(shù)據(jù)包，從而導(dǎo)致NIDS比目“少”看到了東西，這種非一致性同樣可能產(chǎn)生問題。其影響也是兩個(gè)方面。48檢測(cè)(1) 特征匹配問題49檢測(cè)NIDS接受數(shù)據(jù)包：ONI目接受數(shù)據(jù)包：OFNI者數(shù)據(jù)包：OFNI(1) 特征匹配問題（續(xù)1）特征串“INFO”，并且者分四個(gè)數(shù)據(jù)包對(duì)第三個(gè)特征點(diǎn)數(shù)據(jù)包“F”進(jìn)行一些特殊處理，使之看起來像一個(gè)不合理數(shù)據(jù)包，NIDS于是錯(cuò)誤地將其拒絕，而目本身卻認(rèn)為其是合法的而加以接受。顯然NIDS無法匹配到“INFO”，但確實(shí)發(fā)生了。更為的是，特征不必分割傳輸（即不限制特征點(diǎn)數(shù)目），而

27、是只包含在一個(gè)數(shù)據(jù)包里，但該數(shù)據(jù)包卻被NIDS錯(cuò)誤地拒絕接受，那么當(dāng)然這里討論的Evasion只限于軟件不被檢測(cè)。引起的拒絕接受，而通過其他途徑（如撥號(hào)連接）導(dǎo)致的NIDS接收不到數(shù)據(jù)包也能產(chǎn)生同樣的效果。50檢測(cè)(2)與Insertion中的第二點(diǎn)很相似，NIDS會(huì)因?yàn)樯俳邮芰藬?shù)據(jù)包而錯(cuò)過狀態(tài)的改變，從而導(dǎo)致失去狀態(tài)同步不同的地方在于：目的狀態(tài)更新可能對(duì)應(yīng)著連接重置或連接終止，NIDS因?yàn)殄e(cuò)過了狀態(tài)更新而無法了解到這一情況，從而繼續(xù)進(jìn)行無意義地跟蹤DoS并占用，留下的潛在。51檢測(cè)NIDS，狀態(tài)A沒接受數(shù)據(jù)包：狀態(tài)保持AB目，狀態(tài)A接受數(shù)據(jù)包：狀態(tài)改為BB者數(shù)據(jù)包：B3.3 Tousle技術(shù)

28、該技術(shù)打亂特征點(diǎn)的次序，即將特征數(shù)據(jù)分割，并設(shè)法使包含各個(gè)特征點(diǎn)數(shù)據(jù)包不能按照特征點(diǎn)的原始次序到達(dá)目，由目根據(jù)相關(guān)信息恢復(fù)數(shù)據(jù)包的原始次序，而由于某些因素NIDS不能同樣地對(duì)數(shù)據(jù)包排序。于是即使NIDS與目接受了同樣的數(shù)據(jù)包，但由于接受次序的不同，兩者還是面對(duì)不同的“特征”。這種技術(shù)的影響主要集中于那些特征（點(diǎn)）具有次序概念的系統(tǒng)和應(yīng)用中，尤其是配。檢測(cè)特征串匹523.3Tousle技術(shù)(續(xù)1)53檢測(cè)NIDS接收數(shù)據(jù)包：不排序或排序不正確，得不到“INFO”I（1）F（3）O（4）N（2）目接收并排序后得到數(shù)據(jù)包：O（4）F（3）N（2）I（1）者數(shù)據(jù)包：I（1）F（3）O（4）N（2）3.

29、3Tousle技術(shù)(續(xù)2)者將特征串“INFO”分割為四個(gè)數(shù)據(jù)包進(jìn)行傳輸，每個(gè)數(shù)據(jù)包攜帶的數(shù)字代表其在原始數(shù)據(jù)中者以(2)(4)(3)(1)的順序的位置?，F(xiàn)各個(gè)數(shù)據(jù)包，不考慮網(wǎng)絡(luò)擁塞和路由引起的傳輸問題，則數(shù)據(jù)包將很可能按的順序到達(dá)目標(biāo)系統(tǒng)和NIDS。目能夠根據(jù)每個(gè)數(shù)據(jù)包中的位置信息重構(gòu)原始數(shù)據(jù)，得到特征串“INFO”；而NIDS由于某種沒能夠排序數(shù)據(jù)包或是不正確地排序數(shù)據(jù)包，于是得到了與原始數(shù)據(jù)不同的“特征串”，錯(cuò)過對(duì)的檢測(cè)。54檢測(cè)3.4 Anamorphosis-Polymorph技術(shù)該技術(shù)受變種技術(shù)的啟發(fā)，特征匹配缺模式，或通過乏彈性的固有缺陷，適當(dāng)改變某種（如加密）隱藏特征，或使特征

30、在一定程度上發(fā)生變化（但對(duì)影響），以規(guī)避NIDS的檢測(cè)。不造成實(shí)質(zhì)在某種程度上類似于就是用于緩沖區(qū)溢出變種，一個(gè)很好的例子的多態(tài)shellcode技術(shù)。55檢測(cè)修改shellcode規(guī)避檢測(cè)56檢測(cè)3.4 Anamorphosis-Polymorph技術(shù)（續(xù)3）對(duì)于“冗余”操作來說，其目的只是為了增加跳轉(zhuǎn)的幾率，因此任何不影響有效載荷執(zhí)行的操作都可以用來代替nop指令序列。這種“變種”操作很多，依目的指令集而定，就IA32體系而言，粗略估計(jì)有不下五十種的操作可以選擇。57檢測(cè)如果以之代替shellcode中的nop序列，則那些檢測(cè)特征系列nop的分析引擎將失??；如果分析引擎還能檢測(cè)其他的替代操

31、作，那么僅是為此目的而增加的特征就多達(dá)幾十個(gè)；而且即使是這樣，因?yàn)椤叭哂唷辈僮魇且幌盗械牟僮鳎哌€可以將各種替代操作以一種隨機(jī)的方式組合，只要不超過shellcode的長(zhǎng)度，則將產(chǎn)生成千上萬種組合操作方式，這里不妨保守地計(jì)算一下：所有可以替代的操作選定為50種，“冗余”操作長(zhǎng)度為5條指令，那么所有可能的組合共有50*50*50*50*50種之巨，這是簡(jiǎn)單匹配難以對(duì)付的。58檢測(cè)3.5 Substitution技術(shù)該技術(shù)是一類規(guī)避技術(shù)的統(tǒng)稱，其想法是：不直接傳輸特征，退而選擇其他迂回的，使輸入依靠目的解釋來完成，以達(dá)到同樣的目的。這種技術(shù)的好處在于傳輸過程不必出現(xiàn)特征數(shù)據(jù)，因此不易被基于特征匹配

32、的分析引擎所檢測(cè)，缺點(diǎn)是受限于目持。的支59檢測(cè)宏替換60檢測(cè)宏替換假定分析引擎匹配檢測(cè)“attack”作為某特征。者若直接傳輸“attack”，則將很容易被檢測(cè)到；現(xiàn)支持，也可以是相關(guān)應(yīng)已知目（可以是操者設(shè)定宏“MAP =用程序支持）支持宏擴(kuò)展，attack”，則者可以以輸入宏“MAP”來代替輸入“attack”，然后由目將其翻譯為“attack”，再據(jù)此實(shí)現(xiàn)者的意圖。由于宏名字是由者隨意選擇的，NIDS無法檢測(cè)宏名字，因此可能錯(cuò)過對(duì)此次的檢測(cè)。有時(shí)迂回可能在的，那么這么簡(jiǎn)單，比如宏定義不是以前就存“MAP = attack”的數(shù)據(jù)包可能會(huì)被分析引擎檢測(cè)到，盡管以這種方式檢測(cè)到的“attac

33、k”可能會(huì)增加誤報(bào)率，但于此次是無益的，因此需要更加迂回的檢測(cè)。61二次宏技術(shù)attack62檢測(cè)二次宏技術(shù)這里可以采用二次宏技術(shù)，簡(jiǎn)單來說，者可以定義“M = att，A = ac，P = k”，再定義“BAM =MAP”，之后輸入“BAM”，目經(jīng)過兩次宏擴(kuò)展后同樣會(huì)得到“attack”，而在整個(gè)傳輸?shù)倪^程中出現(xiàn)“attack”，加之宏名字選擇的隨意性和將宏定義的嵌套性，NIDS除非支持同樣的擴(kuò)展機(jī)制，否則將很難檢測(cè)到這樣的特征。實(shí)際上Substitution技術(shù)所描述的決不僅僅是類似的宏擴(kuò)展技術(shù)，其他諸如某些shell所支持令別名功能以及tab鍵技術(shù)、環(huán)境變量技術(shù)、命令歷史命令補(bǔ)齊功能等，

34、都可以看作是Substitution技術(shù)的不同應(yīng)用實(shí)例。檢測(cè)633.6 Unicode-Related技術(shù)者只是簡(jiǎn)單地以ASCII碼形式傳輸如果序列，那么其中的特征數(shù)據(jù)將很容易被NIDS所識(shí)別?，F(xiàn)在者把特征數(shù)據(jù)以Unicode標(biāo)準(zhǔn)的UTF-8編碼形式進(jìn)行傳輸支持Unicode），情況將會(huì)（假設(shè)目發(fā)生改變。(1) NIDS不支持Unicode(這種情況現(xiàn)在已經(jīng)不多了)，這樣的分析引擎無法通過特征匹配來檢測(cè)以Unicode方式傳輸?shù)奶卣鲾?shù)據(jù)。64檢測(cè)3.6 Unicode-Related技術(shù)（續(xù)1）(2) NIDS支持Unicode，檢測(cè)特征數(shù)據(jù)之前先進(jìn)行編碼轉(zhuǎn)換，即分析引擎先把數(shù)據(jù)包的有效內(nèi)容轉(zhuǎn)

35、化為Unicode，再對(duì)之進(jìn)行特征匹配。但由于新舊標(biāo)準(zhǔn)的覆蓋問題，分析引擎只有按照目所支持的標(biāo)準(zhǔn)進(jìn)行轉(zhuǎn)換才能確?！翱础钡降膬?nèi)容與目保持一致。潛在的問題是目標(biāo)系統(tǒng)的多樣性，為此NIDS需要了解每一個(gè)被檢測(cè)保護(hù)系統(tǒng)所支持的標(biāo)準(zhǔn)，甚至是目上每一個(gè)支持Unicode服務(wù)的所支持標(biāo)準(zhǔn)，這是一個(gè)煩瑣而繁重的工作。如果對(duì)Unicode的支持是可選的，那么這種試圖了解幾乎不可能的。65檢測(cè)3.6 Unicode-Related技術(shù)（續(xù)2）(3) NIDS支持Unicode，檢測(cè)特征數(shù)據(jù)之前不進(jìn)行編碼轉(zhuǎn)換，即直接匹配UTF-8格式的編碼。這種方法節(jié) 省了轉(zhuǎn)換時(shí)間，也避免了因支持標(biāo)準(zhǔn)不一致而導(dǎo)致 的誤解釋，但是一

36、個(gè)必須面對(duì)的新問題是多重表示。隨特征點(diǎn)的增多（絕大多數(shù)字符都有多重表示）， 這將產(chǎn)生同前一節(jié)中的“冗余”替換一樣的組合問題。曾經(jīng)有人做過統(tǒng)計(jì)，在微軟Windows2K Advance Server的IIS上，Unicode的字符“A”有近30 種的表示方法，“E”對(duì)應(yīng)34種，“I”對(duì)應(yīng)36種，“O”對(duì)應(yīng)39種，“U”對(duì)應(yīng)58種，僅一個(gè)字符串“AEIOU”就對(duì)應(yīng)30*34*36*39*58種表示方法，以現(xiàn)有的匹配算法和的處理能力，對(duì)付如此巨量的特征匹配并非易事。66檢測(cè)4. 4.1 拒絕服務(wù)NIDS 同很多DoSNIDS的DoS攻一樣，的有限性，由于NIDS擊也是基于系統(tǒng)密集型的特點(diǎn)，使得NID

37、S更容檢測(cè)的的DoS。而NIDS易此類本身作為一個(gè)fail open的系統(tǒng)，通常與被保護(hù)系統(tǒng)分離（這是目前的通用模式），那么 當(dāng)DoS原有的檢測(cè)響應(yīng)功能之后，被保護(hù)系 統(tǒng)將處于開放狀態(tài)（與被保護(hù)之前相比較）。67檢測(cè)4.1 拒絕服務(wù)（續(xù)1） 另一方面，NIDS的DoS也有其與眾不同的一面。目前的NIDS出于自身安全的需要，通常不為檢測(cè)器主機(jī)的網(wǎng)卡配置IP地址，這樣普通的基于目標(biāo)地址的直接DoS方式在這里就顯得沒有用武之地了。NIDS的DoS幾乎所有的用NIDS網(wǎng)絡(luò)的特點(diǎn)，對(duì)其進(jìn)行間接DoS攻擊。通常需要結(jié)合地址的隱蔽性。技術(shù)以加強(qiáng)68檢測(cè)（續(xù)2）- (1)消耗網(wǎng)絡(luò)帶寬4.1 拒絕服務(wù)目前比較流

38、行的一種DoS方法稱為分布式DoS(DDoS)，者利用已經(jīng)的大量大量主機(jī)對(duì)目標(biāo)網(wǎng)絡(luò)(或主機(jī))幾乎同時(shí)的數(shù)據(jù)包，在雙方帶寬對(duì)DoS的不對(duì)稱情況下，NIDS將很快達(dá)到處理能力的上限，現(xiàn)有NIDS幾乎無法抵御這種DDoS。有一點(diǎn)需要注意的是，共享式HUB環(huán)境下NIDS的DoS的可能會(huì)造成整個(gè)目所在網(wǎng)絡(luò)的擁塞，降低目的可檢測(cè) 用性，使得的最終目的受到影響；69（續(xù)3） (2) 消耗系統(tǒng)內(nèi)存4.1 拒絕服務(wù)NIDS的可用內(nèi)存空間不足將嚴(yán)重影響其性能，使其處理效率降低，甚至導(dǎo)致操作失敗。需求的不同，對(duì)內(nèi)存的時(shí)空占有率也是不同的，容易導(dǎo)致NIDS內(nèi)存DoS的通常是那種動(dòng)態(tài)需求數(shù)量大，占用時(shí)間長(zhǎng)的內(nèi)存空間分配

39、，主要包括：新數(shù)據(jù)包的到達(dá)。對(duì)數(shù)據(jù)包碎片的排序重組。跟蹤已經(jīng)建立的連接。70檢測(cè)（續(xù)4）(3) 消耗CPU處理周期4.1 拒絕服務(wù)在NIDS中，CPU處理周期的DoS攻擊比較有限，但還是有一些情況會(huì)對(duì)DoS的處理周期造成很大的浪費(fèi)，從而降低系統(tǒng)性能。一種情況就是大量數(shù)據(jù)包的到達(dá)所引起的頻繁中斷，除非有專門的硬件處理，否則是不可避免的。另一種情況是由內(nèi)存的分配與引起的。頻繁的內(nèi)存申請(qǐng)與會(huì)使內(nèi)存空間中形成很多小的碎片（包括內(nèi)存泄露），這種不連續(xù)性（或不可用性）達(dá)到一定程度就會(huì)影響71檢測(cè)系統(tǒng)的性能為此很多系統(tǒng)配備內(nèi)存碎片回（續(xù)5）(4) 消耗4.1 拒絕服務(wù)設(shè)備根據(jù)預(yù)定義的規(guī)則，安全。這些事件既可

40、以作為用戶行為的統(tǒng)計(jì)數(shù)據(jù)源，也可以作為入侵證據(jù)的一部分，其安、可用性和持久性十分重要。者往往不能直接該模塊，但是卻可以利用NIDS的其他機(jī)制間接完成相應(yīng)的。者可以模擬大量的、可以引起NIDS注意的虛假，如果這些行為觸發(fā)了預(yù)定義的規(guī)的則，那么將導(dǎo)致空間的損耗，一個(gè)空間告罄(qng)，根據(jù)系統(tǒng)的情況是或后繼策略，無法，或循環(huán)覆蓋以前的信息。也會(huì)歪曲用戶即使達(dá)不到上述目的，虛行為特征，還會(huì)對(duì)相應(yīng)的法律證明產(chǎn)生誤導(dǎo)作用。72檢測(cè)4.2其他臺(tái)是一個(gè)很特殊的部件，它雖不是NIDS運(yùn)行所必須的，卻擁有管理配置權(quán)限，而且它通常與NIDS的主體部分分離，盡管檢測(cè)器主機(jī)網(wǎng)卡為確保安全而不配置IP地址，但其管理網(wǎng)卡

41、卻通常要配置以保持同臺(tái)的通信，于是給留下了可能。另外，NIDS很難保證在設(shè)計(jì)上或代碼編寫上不存在缺陷。如果者能夠利用這些缺陷而取得額外權(quán)限，那么就可以以一定權(quán)限操作NIDS，如重新配置NIDS（當(dāng)然并不一定是最高用戶的權(quán)限），其危害以估計(jì)。如Snort RPC預(yù)處理器之緩沖區(qū)者可能利用它對(duì)NIDS進(jìn)行拒絕溢出漏洞，器進(jìn)程的執(zhí)行權(quán)限（通常是root）服務(wù)或以執(zhí)行任意指令。73檢測(cè)5. 利用NIDS無法對(duì)行為或活動(dòng)做出響應(yīng)的NIDS幾乎是無用的，但做出何種響應(yīng)適當(dāng)?shù)模瑓s并不容易把握。對(duì)于那些配置防護(hù)性功能或可以與其他安全工具交互的NIDS來說，響應(yīng)措施是的，可能會(huì)給系統(tǒng)的安全帶來危害。74檢測(cè)5.

42、 利用NIDS（續(xù)1）之所以說響應(yīng)，在于響應(yīng)措施的性通常很強(qiáng)，NIDS可能會(huì)導(dǎo)而采取響應(yīng)措施，如果虛假者冒充目的誤，則NIDS在不能有效識(shí)別真正來源的情況下將會(huì)把原先者的響應(yīng)措施轉(zhuǎn)移到目定。從目身上，其影響視響應(yīng)措施而的角度看，它的直接危害來源于檢測(cè)保護(hù)其的NIDS，而且還著入侵者進(jìn)一步的。75檢測(cè)5. 利用NIDS（續(xù)2）按照響應(yīng)措施對(duì)系統(tǒng)安全的潛在影響，NIDS的響應(yīng)措施大致可以分成三級(jí)：警報(bào)驅(qū)除防衛(wèi)反擊其影響級(jí)別是次第升高的。76檢測(cè)5.1 警報(bào)和驅(qū)除警報(bào)級(jí)別的響應(yīng)措施包括屏幕文字、聲音警報(bào)、電子郵件、日志、通知等。由于是低影響級(jí)別的，因此對(duì)系統(tǒng)安全造成什么危害，利用的意義并不大。不過頻

43、繁的警報(bào)會(huì)影響用戶的正常使用，尤其是虛假的警報(bào)更會(huì)使人們懷疑NIDS的度，時(shí)間久了，可能會(huì)導(dǎo)致“狼來了”的效應(yīng)，使得管理者忽略或干脆關(guān)閉（或部分關(guān)閉）警報(bào)功能。77檢測(cè)5.1 警報(bào)和驅(qū)除（續(xù)1）驅(qū)除級(jí)別的響應(yīng)措施包括不可達(dá)信息、關(guān)閉連接、終止進(jìn)程等，這些行為通常屬于的行為，即使被者利用，對(duì)系統(tǒng)所造成的影響也是十分短暫的，如TCP連接中斷、HTTP請(qǐng)求失敗等，但這對(duì)下一次的連接或是請(qǐng)求沒有影響。因此這一影響級(jí)別的利用價(jià)值也是十分有限的。78檢測(cè)5.2 利用防衛(wèi)反擊這是安全影響級(jí)別最高的響應(yīng)措施，也是安全隱患最大的級(jí)別，通常由它所造成的影響是持久的，有些甚至是難以恢復(fù)的。在這個(gè)級(jí)別上，如果NIDS

44、檢測(cè)到的措施（有些也許是在被發(fā)生，那么它采取之后而采取的補(bǔ)救措施）可能包括用戶、地址、與其他安全工具交互配合調(diào)整、使用其他工具回?fù)舻?。下圖給出了利用NIDS高安全影響級(jí)別響應(yīng)措施對(duì)付目的示意。79檢測(cè)5.2 利用防衛(wèi)反擊（續(xù)1）80檢測(cè)5.2 利用防衛(wèi)反擊（續(xù)2）A與DoS現(xiàn)在從外部看多大的區(qū)別，含了一點(diǎn)假設(shè)，即沒有者DoS基本達(dá)到。這里隱者知道什么樣的攻擊行為可以觸發(fā)NIDS響應(yīng)以新的措施。響應(yīng)措施的不同造成的安全危害也不一 樣，但其共同點(diǎn)是這種危害由被誤導(dǎo)的NIDS的響應(yīng)直接所為，因此不在其檢測(cè)之列。配置更上檢測(cè) 述劃分并不意味著響應(yīng)部件能夠按照先低級(jí)再中高級(jí)的順序選擇不同影響級(jí)別的816

45、. IDS的發(fā)展方向隨著網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)規(guī)模的不斷發(fā)展，人們對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的依賴也不斷增強(qiáng)。與此同時(shí)，遍，網(wǎng)絡(luò)系統(tǒng)的也越來越普手法日趨復(fù)雜。隨著網(wǎng)絡(luò)技術(shù)和相關(guān)學(xué)科的發(fā)展和日趨成熟，IDS未來發(fā)展的趨勢(shì)主要表現(xiàn)在以下方面。82檢測(cè)6.1 寬帶高速實(shí)時(shí)檢測(cè)技術(shù)大量高速網(wǎng)絡(luò)技術(shù)(如ATM、千兆以太網(wǎng)等)在近年相繼出現(xiàn)。在此背景下，各種寬帶接入層出不窮。如何實(shí)現(xiàn)高速網(wǎng)絡(luò)下的實(shí)時(shí)檢測(cè)已的的問題。目前的千兆IDS經(jīng)成為現(xiàn)實(shí)性能指標(biāo)與實(shí)際要求相差很遠(yuǎn)。要提高其性能主要需考慮以下兩個(gè)方面：首先，IDS的軟件結(jié)構(gòu)和算法需要重新設(shè)計(jì)，以適應(yīng)高速網(wǎng)的環(huán)境，提高運(yùn)行速度和效率；其次，隨著高速網(wǎng)絡(luò)技術(shù)的不斷發(fā)展與成熟，新的

46、高速網(wǎng)絡(luò)協(xié)議的設(shè)計(jì)也必將成為未來發(fā)展的趨勢(shì)，那么，現(xiàn)有IDS如何適應(yīng)和利用未來的新網(wǎng)絡(luò)協(xié)議，將是一個(gè)全新的問題。83檢測(cè)6.2 大規(guī)模分布式的檢測(cè)技術(shù)傳統(tǒng)的集中式IDS的基本模型是在網(wǎng)絡(luò)的不同網(wǎng)段放置多個(gè)探測(cè)器，收集當(dāng)前網(wǎng)絡(luò)狀態(tài)信息，然后將這些信息傳送到臺(tái)進(jìn)行處理。這種方式存在明顯的缺陷：首先，對(duì)于大規(guī)模分布式，臺(tái)的負(fù)荷將會(huì)超過其處理極限，這種情況會(huì)造成大量信息處理的遺漏，導(dǎo)致漏警率增高；其次，多個(gè)探測(cè)器收集到的數(shù)據(jù)在網(wǎng)絡(luò)上傳輸會(huì)在一定程度上增加網(wǎng)絡(luò)負(fù)擔(dān)，導(dǎo)致網(wǎng)絡(luò)系統(tǒng)性能降低；再者，由于網(wǎng)絡(luò)傳輸?shù)臅r(shí)延問題，臺(tái)處理的網(wǎng)絡(luò)數(shù)據(jù)包所包含的信息只反映探測(cè)器接收它時(shí)的網(wǎng)絡(luò)狀態(tài)，不能實(shí)時(shí)反映當(dāng)前網(wǎng)絡(luò)狀態(tài)。

47、84檢測(cè)面對(duì)以上問題，新的解決方法也隨之產(chǎn)生，如Purdue大學(xué)開發(fā)的AAFID系統(tǒng)。該系統(tǒng)是Purdue大學(xué)設(shè)計(jì)的一種采用樹形分層構(gòu)造的群體，其根部是監(jiān)視器，提供全局的分的、管理及分析由上一層節(jié)點(diǎn)提供的信息。樹葉部專門負(fù)責(zé)收集信息。處在中間層的被稱為收，一方面發(fā)器。這些收發(fā)器一方面實(shí)現(xiàn)對(duì)底層的可以對(duì)信息進(jìn)行預(yù)處理，把精練的信息反饋給上層的監(jiān)視器。這種結(jié)構(gòu)采用了本地處理本地、負(fù)責(zé)整體分析的模式。與集中式不同，它強(qiáng)調(diào)通過全體智能的協(xié)同工作來分析策略。這種方法明顯優(yōu)于前者，但同時(shí)帶來了一些新的問題，如間的協(xié)作、間的通信等。這些問題仍在進(jìn)一步研究之中。85檢測(cè)6.3 數(shù)據(jù)挖掘技術(shù)的日益復(fù)雜和網(wǎng)絡(luò)數(shù)據(jù)流量的急劇增加操導(dǎo)致審計(jì)數(shù)據(jù)以驚人的速度增