計算機技術(shù)網(wǎng)絡(luò)安全技術(shù)教程ch5入侵檢測技術(shù)課件

1、第五章第五章 入侵檢測技術(shù)入侵檢測技術(shù) 第第5章章 入侵檢測技術(shù)入侵檢測技術(shù)內(nèi)容提要：內(nèi)容提要：入侵檢測概述入侵檢測概述入侵檢測的技術(shù)實現(xiàn)入侵檢測的技術(shù)實現(xiàn)分布式入侵檢測分布式入侵檢測入侵檢測系統(tǒng)的標準入侵檢測系統(tǒng)的標準入侵檢測系統(tǒng)示例入侵檢測系統(tǒng)示例本章小結(jié)本章小結(jié)第五章第五章 入侵檢測技術(shù)入侵檢測技術(shù) 5.1 入侵檢測概述入侵檢測概述 入侵檢測技術(shù)研究最早可追溯到入侵檢測技術(shù)研究最早可追溯到1980年年James P.Aderson所寫的一份技術(shù)報告，他首先所寫的一份技術(shù)報告，他首先提出了入侵檢測的概念。提出了入侵檢測的概念。1987年年Dorothy Denning提出了入侵檢測系統(tǒng)（提

2、出了入侵檢測系統(tǒng)（IDS，Intrusion Detection System）的抽象模型（如圖的抽象模型（如圖5-1所示），所示），首次提出了入侵檢測可作為一種計算機系統(tǒng)安全首次提出了入侵檢測可作為一種計算機系統(tǒng)安全防御措施的概念，與傳統(tǒng)的加密和訪問控制技術(shù)防御措施的概念，與傳統(tǒng)的加密和訪問控制技術(shù)相比，相比，IDS是全新的計算機安全措施。是全新的計算機安全措施。返回本章首頁返回本章首頁第五章第五章 入侵檢測技術(shù)入侵檢測技術(shù) 返回本章首頁返回本章首頁第五章第五章 入侵檢測技術(shù)入侵檢測技術(shù) 入侵檢測技術(shù)研究最早可追溯到入侵檢測技術(shù)研究最早可追溯到1980年年James P.Aderson所寫的

3、一份技術(shù)報告，他首先所寫的一份技術(shù)報告，他首先提出了入侵檢測的概念。提出了入侵檢測的概念。1987年年Dorothy Denning提出了入侵檢測系統(tǒng)（提出了入侵檢測系統(tǒng)（IDS，Intrusion Detection System）的抽象模型（如圖的抽象模型（如圖5-1所示），所示），首次提出了入侵檢測可作為一種計算機系統(tǒng)安全首次提出了入侵檢測可作為一種計算機系統(tǒng)安全防御措施的概念，與傳統(tǒng)的加密和訪問控制技術(shù)防御措施的概念，與傳統(tǒng)的加密和訪問控制技術(shù)相比，相比，IDS是全新的計算機安全措施。是全新的計算機安全措施。返回本章首頁返回本章首頁第五章第五章 入侵檢測技術(shù)入侵檢測技術(shù) 1988年年T

4、eresa Lunt等人進一步改進了等人進一步改進了Denning提出的入侵檢測模型，并創(chuàng)建了提出的入侵檢測模型，并創(chuàng)建了IDES（Intrusion Detection Expert System），），該系統(tǒng)該系統(tǒng)用于檢測單一主機的入侵嘗試，提出了與系統(tǒng)平用于檢測單一主機的入侵嘗試，提出了與系統(tǒng)平臺無關(guān)的實時檢測思想，臺無關(guān)的實時檢測思想，1995年開發(fā)的年開發(fā)的NIDES（Next-Generation Intrusion Detection Expert System）作為作為IDES完善后的版本可以檢測出多完善后的版本可以檢測出多個主機上的入侵。個主機上的入侵。返回本章首頁返回本章首

5、頁第五章第五章 入侵檢測技術(shù)入侵檢測技術(shù) 1990年，年，Heberlein等人提出了一個具有里等人提出了一個具有里程碑意義的新型概念：基于網(wǎng)絡(luò)的入侵檢測程碑意義的新型概念：基于網(wǎng)絡(luò)的入侵檢測網(wǎng)絡(luò)安全監(jiān)視器網(wǎng)絡(luò)安全監(jiān)視器NSM（Network Security Monitor）。）。1991年年,NADIR（Network Anomaly Detection and Intrusion Reporter）與與DIDS（Distribute Intrusion Detection System）提出提出了通過收集和合并處理來自多個主機的審計信息了通過收集和合并處理來自多個主機的審計信息可以檢測出

6、一系列針對主機的協(xié)同攻擊?？梢詸z測出一系列針對主機的協(xié)同攻擊。返回本章首頁返回本章首頁第五章第五章 入侵檢測技術(shù)入侵檢測技術(shù) 1994年，年，Mark Crosbie和和Gene Spafford建建議使用自治代理（議使用自治代理（autonomous agents）以提高以提高IDS的可伸縮性、可維護性、效率和容錯性，該的可伸縮性、可維護性、效率和容錯性，該理念非常符合計算機科學其他領(lǐng)域（如軟件代理，理念非常符合計算機科學其他領(lǐng)域（如軟件代理，software agent）正在進行的相關(guān)研究。另一個正在進行的相關(guān)研究。另一個致力于解決當代絕大多數(shù)入侵檢測系統(tǒng)伸縮性不致力于解決當代絕大多數(shù)入侵

7、檢測系統(tǒng)伸縮性不足 的 方 法 于足 的 方 法 于 1 9 9 6 年 提 出 ， 這 就 是年 提 出 ， 這 就 是 G r I D S（Graph-based Intrusion Detection System）的的設(shè)計和實現(xiàn)，該系統(tǒng)可以方便地檢測大規(guī)模自動設(shè)計和實現(xiàn)，該系統(tǒng)可以方便地檢測大規(guī)模自動或協(xié)同方式的網(wǎng)絡(luò)攻擊。或協(xié)同方式的網(wǎng)絡(luò)攻擊。返回本章首頁返回本章首頁第五章第五章 入侵檢測技術(shù)入侵檢測技術(shù) 近年來，入侵檢測技術(shù)研究的主要創(chuàng)新有：近年來，入侵檢測技術(shù)研究的主要創(chuàng)新有：Forrest等將免疫學原理運用于分布式入侵檢測等將免疫學原理運用于分布式入侵檢測領(lǐng)域；領(lǐng)域；1998年年

8、Ross Anderson和和Abida Khattak將將信息檢索技術(shù)引進入侵檢測；以及采用狀態(tài)轉(zhuǎn)換信息檢索技術(shù)引進入侵檢測；以及采用狀態(tài)轉(zhuǎn)換分析、數(shù)據(jù)挖掘和遺傳算法等進行誤用和異常檢分析、數(shù)據(jù)挖掘和遺傳算法等進行誤用和異常檢測。測。返回本章首頁返回本章首頁第五章第五章 入侵檢測技術(shù)入侵檢測技術(shù) 5.1.1 入侵檢測原理入侵檢測原理 圖圖5-2給出了入侵檢測的基本原理圖。入侵給出了入侵檢測的基本原理圖。入侵檢測是用于檢測任何損害或企圖損害系統(tǒng)的保密檢測是用于檢測任何損害或企圖損害系統(tǒng)的保密性、完整性或可用性的一種網(wǎng)絡(luò)安全技術(shù)。它通性、完整性或可用性的一種網(wǎng)絡(luò)安全技術(shù)。它通過監(jiān)視受保護系統(tǒng)的狀

9、態(tài)和活動，采用誤用檢測過監(jiān)視受保護系統(tǒng)的狀態(tài)和活動，采用誤用檢測（Misuse Detection）或異常檢測（或異常檢測（Anomaly Detection）的方式，發(fā)現(xiàn)非授權(quán)的或惡意的系的方式，發(fā)現(xiàn)非授權(quán)的或惡意的系統(tǒng)及網(wǎng)絡(luò)行為，為防范入侵行為提供有效的手段。統(tǒng)及網(wǎng)絡(luò)行為，為防范入侵行為提供有效的手段。返回本章首頁返回本章首頁第五章第五章 入侵檢測技術(shù)入侵檢測技術(shù) 圖5-2 入侵檢測原理框圖 返回本章首頁返回本章首頁第五章第五章 入侵檢測技術(shù)入侵檢測技術(shù) 入侵檢測系統(tǒng)（入侵檢測系統(tǒng)（Intrusion Detection System，IDS）就是執(zhí)行入侵檢測任務(wù)的硬件或軟件產(chǎn)品。就是執(zhí)行

10、入侵檢測任務(wù)的硬件或軟件產(chǎn)品。IDS通過實時的分析，檢查特定的攻擊模式、系通過實時的分析，檢查特定的攻擊模式、系統(tǒng)配置、系統(tǒng)漏洞、存在缺陷的程序版本以及系統(tǒng)配置、系統(tǒng)漏洞、存在缺陷的程序版本以及系統(tǒng)或用戶的行為模式，監(jiān)控與安全有關(guān)的活動。統(tǒng)或用戶的行為模式，監(jiān)控與安全有關(guān)的活動。 一個基本的入侵檢測系統(tǒng)需要解決兩個問一個基本的入侵檢測系統(tǒng)需要解決兩個問題：一是如何充分并可靠地提取描述行為特征的題：一是如何充分并可靠地提取描述行為特征的數(shù)據(jù)；二是如何根據(jù)特征數(shù)據(jù)，高效并準確地判數(shù)據(jù)；二是如何根據(jù)特征數(shù)據(jù)，高效并準確地判定行為的性質(zhì)。定行為的性質(zhì)。返回本章首頁返回本章首頁第五章第五章 入侵檢測技術(shù)

11、入侵檢測技術(shù) 5.1.2 系統(tǒng)結(jié)構(gòu)系統(tǒng)結(jié)構(gòu) 由于網(wǎng)絡(luò)環(huán)境和系統(tǒng)安全策略的差異，入侵由于網(wǎng)絡(luò)環(huán)境和系統(tǒng)安全策略的差異，入侵檢測系統(tǒng)在具體實現(xiàn)上也有所不同。從系統(tǒng)構(gòu)成檢測系統(tǒng)在具體實現(xiàn)上也有所不同。從系統(tǒng)構(gòu)成上看，入侵檢測系統(tǒng)應(yīng)包括事件提取、入侵分析、上看，入侵檢測系統(tǒng)應(yīng)包括事件提取、入侵分析、入侵響應(yīng)和遠程管理四大部分，另外還可能結(jié)合入侵響應(yīng)和遠程管理四大部分，另外還可能結(jié)合安全知識庫、數(shù)據(jù)存儲等功能模塊，提供更為完安全知識庫、數(shù)據(jù)存儲等功能模塊，提供更為完善的安全檢測及數(shù)據(jù)分析功能（如圖善的安全檢測及數(shù)據(jù)分析功能（如圖5-3所示）。所示）。返回本章首頁返回本章首頁第五章第五章 入侵檢測技術(shù)入侵

12、檢測技術(shù) 數(shù)據(jù)提取入侵分析數(shù)據(jù)存儲響應(yīng)處理 原始數(shù)據(jù)流知識庫圖5-3 入侵檢測系統(tǒng)結(jié)構(gòu)返回本章首頁返回本章首頁第五章第五章 入侵檢測技術(shù)入侵檢測技術(shù) 入侵檢測的思想源于傳統(tǒng)的系統(tǒng)審計，但拓入侵檢測的思想源于傳統(tǒng)的系統(tǒng)審計，但拓寬了傳統(tǒng)審計的概念，它以近乎不間斷的方式進寬了傳統(tǒng)審計的概念，它以近乎不間斷的方式進行安全檢測，從而可形成一個連續(xù)的檢測過程。行安全檢測，從而可形成一個連續(xù)的檢測過程。這通常是通過執(zhí)行下列任務(wù)來實現(xiàn)的：這通常是通過執(zhí)行下列任務(wù)來實現(xiàn)的：監(jiān)視、分析用戶及系統(tǒng)活動；監(jiān)視、分析用戶及系統(tǒng)活動；系統(tǒng)構(gòu)造和弱點的審計；系統(tǒng)構(gòu)造和弱點的審計；識別分析知名攻擊的行為特征并告警；識別分析

13、知名攻擊的行為特征并告警；異常行為特征的統(tǒng)計分析；異常行為特征的統(tǒng)計分析；評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為。的行為。返回本章首頁返回本章首頁第五章第五章 入侵檢測技術(shù)入侵檢測技術(shù) 5.1.3 系統(tǒng)分類系統(tǒng)分類 由于功能和體系結(jié)構(gòu)的復(fù)雜性，入侵檢測按由于功能和體系結(jié)構(gòu)的復(fù)雜性，入侵檢測按照不同的標準有多種分類方法。可分別從數(shù)據(jù)源、照不同的標準有多種分類方法。可分別從數(shù)據(jù)源、檢測理論、檢測時效三個方面來描述入侵檢測系檢測理論、檢測時效三個方面來描述入侵檢測系統(tǒng)的類型。統(tǒng)

14、的類型。 1基于數(shù)據(jù)源的分類基于數(shù)據(jù)源的分類 通?？梢园讶肭謾z測系統(tǒng)分為五類，即基于通?？梢园讶肭謾z測系統(tǒng)分為五類，即基于主機、基于網(wǎng)絡(luò)、混合入侵檢測、基于網(wǎng)關(guān)的入主機、基于網(wǎng)絡(luò)、混合入侵檢測、基于網(wǎng)關(guān)的入侵檢測系統(tǒng)以及文件完整性檢查系統(tǒng)。侵檢測系統(tǒng)以及文件完整性檢查系統(tǒng)。返回本章首頁返回本章首頁第五章第五章 入侵檢測技術(shù)入侵檢測技術(shù) 2基于檢測理論的分類基于檢測理論的分類 從具體的檢測理論上來說，入侵檢測又可分從具體的檢測理論上來說，入侵檢測又可分為異常檢測和誤用檢測。為異常檢測和誤用檢測。 異常檢測（異常檢測（Anomaly Detection）指根據(jù)使指根據(jù)使用者的行為或資源使用狀況的正

15、常程度來判斷是用者的行為或資源使用狀況的正常程度來判斷是否入侵，而不依賴于具體行為是否出現(xiàn)來檢測。否入侵，而不依賴于具體行為是否出現(xiàn)來檢測。 誤用檢測（誤用檢測（Misuse Detection）指運用已知指運用已知攻擊方法，根據(jù)已定義好的入侵模式，通過判斷攻擊方法，根據(jù)已定義好的入侵模式，通過判斷這些入侵模式是否出現(xiàn)來檢測。這些入侵模式是否出現(xiàn)來檢測。 返回本章首頁返回本章首頁第五章第五章 入侵檢測技術(shù)入侵檢測技術(shù) 3基于檢測時效的分類基于檢測時效的分類 IDS在處理數(shù)據(jù)的時候可以采用實時在線檢在處理數(shù)據(jù)的時候可以采用實時在線檢測方式，也可以采用批處理方式，定時對處理原測方式，也可以采用批處

16、理方式，定時對處理原始數(shù)據(jù)進行離線檢測，這兩種方法各有特點（如始數(shù)據(jù)進行離線檢測，這兩種方法各有特點（如圖圖5-5所示所示）。）。 離線檢測方式將一段時間內(nèi)的數(shù)據(jù)存儲起來，離線檢測方式將一段時間內(nèi)的數(shù)據(jù)存儲起來，然后定時發(fā)給數(shù)據(jù)處理單元進行分析，如果在這然后定時發(fā)給數(shù)據(jù)處理單元進行分析，如果在這段時間內(nèi)有攻擊發(fā)生就報警。在線檢測方式的實段時間內(nèi)有攻擊發(fā)生就報警。在線檢測方式的實時處理是大多數(shù)時處理是大多數(shù)IDS所采用的辦法，由于計算機所采用的辦法，由于計算機硬件速度的提高，使得對攻擊的實時檢測和響應(yīng)硬件速度的提高，使得對攻擊的實時檢測和響應(yīng)成為可能。成為可能。返回本章首頁返回本章首頁第五章第五

17、章 入侵檢測技術(shù)入侵檢測技術(shù) 返回本章首頁返回本章首頁第五章第五章 入侵檢測技術(shù)入侵檢測技術(shù) 5.2 入侵檢測的技術(shù)實現(xiàn)入侵檢測的技術(shù)實現(xiàn) 對于入侵檢測的研究，從早期的審計跟蹤數(shù)對于入侵檢測的研究，從早期的審計跟蹤數(shù)據(jù)分析，到實時入侵檢測系統(tǒng)，到目前應(yīng)用于大據(jù)分析，到實時入侵檢測系統(tǒng)，到目前應(yīng)用于大型網(wǎng)絡(luò)的分布式檢測系統(tǒng)，基本上已發(fā)展成為具型網(wǎng)絡(luò)的分布式檢測系統(tǒng)，基本上已發(fā)展成為具有一定規(guī)模和相應(yīng)理論的研究領(lǐng)域。入侵檢測的有一定規(guī)模和相應(yīng)理論的研究領(lǐng)域。入侵檢測的核心問題在于如何對安全審計數(shù)據(jù)進行分析，以核心問題在于如何對安全審計數(shù)據(jù)進行分析，以檢測其中是否包含入侵或異常行為的跡象。這里，檢測

18、其中是否包含入侵或異常行為的跡象。這里，我們先從誤用檢測和異常檢測兩個方面介紹當前我們先從誤用檢測和異常檢測兩個方面介紹當前關(guān)于入侵檢測技術(shù)的主流技術(shù)實現(xiàn)，然后對其它關(guān)于入侵檢測技術(shù)的主流技術(shù)實現(xiàn)，然后對其它類型的檢測技術(shù)作簡要介紹。類型的檢測技術(shù)作簡要介紹。返回本章首頁返回本章首頁第五章第五章 入侵檢測技術(shù)入侵檢測技術(shù) 5.2.1 入侵檢測分析模型入侵檢測分析模型 分析是入侵檢測的核心功能，它既能簡單到分析是入侵檢測的核心功能，它既能簡單到像一個已熟悉日志情況的管理員去建立決策表，像一個已熟悉日志情況的管理員去建立決策表，也能復(fù)雜得像一個集成了幾百萬個處理的非參數(shù)也能復(fù)雜得像一個集成了幾百萬

19、個處理的非參數(shù)系統(tǒng)。入侵檢測的分析處理過程可分為三個階段：系統(tǒng)。入侵檢測的分析處理過程可分為三個階段：構(gòu)建分析器，對實際現(xiàn)場數(shù)據(jù)進行分析，反饋和構(gòu)建分析器，對實際現(xiàn)場數(shù)據(jù)進行分析，反饋和提煉過程。其中，前兩個階段都包含三個功能：提煉過程。其中，前兩個階段都包含三個功能：數(shù)據(jù)處理、數(shù)據(jù)分類（數(shù)據(jù)可分為入侵指示、非數(shù)據(jù)處理、數(shù)據(jù)分類（數(shù)據(jù)可分為入侵指示、非入侵指示或不確定）和后處理。入侵指示或不確定）和后處理。返回本章首頁返回本章首頁第五章第五章 入侵檢測技術(shù)入侵檢測技術(shù) 5.2.2 誤用檢測（誤用檢測（Misuse Detection） 誤用檢測是按照預(yù)定模式搜尋事件數(shù)據(jù)的，誤用檢測是按照預(yù)定模

20、式搜尋事件數(shù)據(jù)的，最適用于對已知模式的可靠檢測。執(zhí)行誤用檢測，最適用于對已知模式的可靠檢測。執(zhí)行誤用檢測，主要依賴于可靠的用戶活動記錄和分析事件的方主要依賴于可靠的用戶活動記錄和分析事件的方法。法。 1條件概率預(yù)測法條件概率預(yù)測法 條件概率預(yù)測法是基于統(tǒng)計理論來量化全部條件概率預(yù)測法是基于統(tǒng)計理論來量化全部外部網(wǎng)絡(luò)事件序列中存在入侵事件的可能程度。外部網(wǎng)絡(luò)事件序列中存在入侵事件的可能程度。返回本章首頁返回本章首頁第五章第五章 入侵檢測技術(shù)入侵檢測技術(shù) 2產(chǎn)生式產(chǎn)生式/ /專家系統(tǒng)專家系統(tǒng) 用專家系統(tǒng)對入侵進行檢測，主要是檢測基用專家系統(tǒng)對入侵進行檢測，主要是檢測基于特征的入侵行為。所謂規(guī)則，即

21、是知識，專家于特征的入侵行為。所謂規(guī)則，即是知識，專家系統(tǒng)的建立依賴于知識庫的完備性，而知識庫的系統(tǒng)的建立依賴于知識庫的完備性，而知識庫的完備性又取決于審計記錄的完備性與實時性。完備性又取決于審計記錄的完備性與實時性。 產(chǎn)生式產(chǎn)生式/專家系統(tǒng)是誤用檢測早期的方案之專家系統(tǒng)是誤用檢測早期的方案之一，在一，在MIDAS、IDES、NIDES、DIDS和和CMDS中都使用了這種方法。中都使用了這種方法。返回本章首頁返回本章首頁第五章第五章 入侵檢測技術(shù)入侵檢測技術(shù) 3狀態(tài)轉(zhuǎn)換方法狀態(tài)轉(zhuǎn)換方法 狀態(tài)轉(zhuǎn)換方法使用系統(tǒng)狀態(tài)和狀態(tài)轉(zhuǎn)換表達狀態(tài)轉(zhuǎn)換方法使用系統(tǒng)狀態(tài)和狀態(tài)轉(zhuǎn)換表達式來描述和檢測入侵，采用最優(yōu)模式

22、匹配技巧來式來描述和檢測入侵，采用最優(yōu)模式匹配技巧來結(jié)構(gòu)化誤用檢測，增強了檢測的速度和靈活性。結(jié)構(gòu)化誤用檢測，增強了檢測的速度和靈活性。目前，主要有三種實現(xiàn)方法：狀態(tài)轉(zhuǎn)換分析、有目前，主要有三種實現(xiàn)方法：狀態(tài)轉(zhuǎn)換分析、有色色Petri-Net和語言和語言/應(yīng)用編程接口（應(yīng)用編程接口（API）。）。返回本章首頁返回本章首頁第五章第五章 入侵檢測技術(shù)入侵檢測技術(shù) 4用于批模式分析的信息檢索技術(shù)用于批模式分析的信息檢索技術(shù) 當前大多數(shù)入侵檢測都是通過對事件數(shù)據(jù)的當前大多數(shù)入侵檢測都是通過對事件數(shù)據(jù)的實時收集和分析來發(fā)現(xiàn)入侵的，然而在攻擊被證實時收集和分析來發(fā)現(xiàn)入侵的，然而在攻擊被證實之后，要從大量的

23、審計數(shù)據(jù)中尋找證據(jù)信息，實之后，要從大量的審計數(shù)據(jù)中尋找證據(jù)信息，就必須借助于信息檢索（就必須借助于信息檢索（IR，Information Retrieval）技術(shù)，技術(shù)，IR技術(shù)當前廣泛應(yīng)用于技術(shù)當前廣泛應(yīng)用于WWW的搜索引擎上。的搜索引擎上。 IR系統(tǒng)使用反向文件作為索引，允許高效系統(tǒng)使用反向文件作為索引，允許高效地搜尋關(guān)鍵字或關(guān)鍵字組合，并使用地搜尋關(guān)鍵字或關(guān)鍵字組合，并使用Bayesian理理論幫助提煉搜索。論幫助提煉搜索。返回本章首頁返回本章首頁第五章第五章 入侵檢測技術(shù)入侵檢測技術(shù) 5Keystroke Monitor和基于模型的方法和基于模型的方法 Keystroke Monit

24、or是一種簡單的入侵檢測是一種簡單的入侵檢測方法，它通過分析用戶擊鍵序列的模式來檢測入方法，它通過分析用戶擊鍵序列的模式來檢測入侵行為，常用于對主機的入侵檢測。該方法具有侵行為，常用于對主機的入侵檢測。該方法具有明顯的缺點，首先，批處理或明顯的缺點，首先，批處理或Shell程序可以不程序可以不通過擊鍵而直接調(diào)用系統(tǒng)攻擊命令序列；其次，通過擊鍵而直接調(diào)用系統(tǒng)攻擊命令序列；其次，操作系統(tǒng)通常不提供統(tǒng)一的擊鍵檢測接口，需通操作系統(tǒng)通常不提供統(tǒng)一的擊鍵檢測接口，需通過額外的鉤子函數(shù)（過額外的鉤子函數(shù)（Hook）來監(jiān)測擊鍵。來監(jiān)測擊鍵。返回本章首頁返回本章首頁第五章第五章 入侵檢測技術(shù)入侵檢測技術(shù) 5.

25、2.3 異常檢測（異常檢測（Anomaly Detection） 異常檢測基于一個假定：用戶的行為是可預(yù)異常檢測基于一個假定：用戶的行為是可預(yù)測的、遵循一致性模式的，且隨著用戶事件的增測的、遵循一致性模式的，且隨著用戶事件的增加異常檢測會適應(yīng)用戶行為的變化。用戶行為的加異常檢測會適應(yīng)用戶行為的變化。用戶行為的特征輪廓在異常檢測中是由度量（特征輪廓在異常檢測中是由度量（measuremeasure）集集來描述，度量是特定網(wǎng)絡(luò)行為的定量表示，通常來描述，度量是特定網(wǎng)絡(luò)行為的定量表示，通常與某個檢測閥值或某個域相聯(lián)系。與某個檢測閥值或某個域相聯(lián)系。 異常檢測可發(fā)現(xiàn)未知的攻擊方法，體現(xiàn)了強異常檢測可發(fā)

26、現(xiàn)未知的攻擊方法，體現(xiàn)了強健的保護機制，但對于給定的度量集能否完備到健的保護機制，但對于給定的度量集能否完備到表示所有的異常行為仍需要深入研究。表示所有的異常行為仍需要深入研究。返回本章首頁返回本章首頁第五章第五章 入侵檢測技術(shù)入侵檢測技術(shù) 1Denning的原始模型的原始模型 Dorothy Denning于于1986年給出了入侵檢測年給出了入侵檢測的的IDES模型，她認為在一個系統(tǒng)中可以包括四模型，她認為在一個系統(tǒng)中可以包括四個統(tǒng)計模型，每個模型適合于一個特定類型的系個統(tǒng)計模型，每個模型適合于一個特定類型的系統(tǒng)度量。統(tǒng)度量。 （1）可操作模型）可操作模型 （2）平均和標準偏差模型）平均和標

27、準偏差模型 （3）多變量模型）多變量模型 （4）Markov處理模型處理模型 返回本章首頁返回本章首頁第五章第五章 入侵檢測技術(shù)入侵檢測技術(shù) 2量化分析量化分析 異常檢測最常用的方法就是將檢驗規(guī)則和屬異常檢測最常用的方法就是將檢驗規(guī)則和屬性以數(shù)值形式表示的量化分析，這種度量方法在性以數(shù)值形式表示的量化分析，這種度量方法在Denning的可操作模型中有所涉及。量化分析通的可操作模型中有所涉及。量化分析通過采用從簡單的加法到比較復(fù)雜的密碼學計算得過采用從簡單的加法到比較復(fù)雜的密碼學計算得到的結(jié)果作為誤用檢測和異常檢測統(tǒng)計模型的基到的結(jié)果作為誤用檢測和異常檢測統(tǒng)計模型的基礎(chǔ)。礎(chǔ)。 （1）閥值檢驗）閥

28、值檢驗 （2）基于目標的集成檢查）基于目標的集成檢查 （3）量化分析和數(shù)據(jù)精簡）量化分析和數(shù)據(jù)精簡 返回本章首頁返回本章首頁第五章第五章 入侵檢測技術(shù)入侵檢測技術(shù) 3統(tǒng)計度量統(tǒng)計度量 統(tǒng)計度量方法是產(chǎn)品化的入侵檢測系統(tǒng)中常統(tǒng)計度量方法是產(chǎn)品化的入侵檢測系統(tǒng)中常用的方法，常見于異常檢測。運用統(tǒng)計方法，有用的方法，常見于異常檢測。運用統(tǒng)計方法，有效地解決了四個問題：（效地解決了四個問題：（1）選取有效的統(tǒng)計數(shù)）選取有效的統(tǒng)計數(shù)據(jù)測量點，生成能夠反映主體特征的會話向量；據(jù)測量點，生成能夠反映主體特征的會話向量；（2）根據(jù)主體活動產(chǎn)生的審計記錄，不斷更新）根據(jù)主體活動產(chǎn)生的審計記錄，不斷更新當前主體活

29、動的會話向量；（當前主體活動的會話向量；（3）采用統(tǒng)計方法）采用統(tǒng)計方法分析數(shù)據(jù)，判斷當前活動是否符合主體的歷史行分析數(shù)據(jù)，判斷當前活動是否符合主體的歷史行為特征；（為特征；（4）隨著時間推移，學習主體的行為）隨著時間推移，學習主體的行為特征，更新歷史記錄。特征，更新歷史記錄。返回本章首頁返回本章首頁第五章第五章 入侵檢測技術(shù)入侵檢測技術(shù) 4非參數(shù)統(tǒng)計度量非參數(shù)統(tǒng)計度量 非參數(shù)統(tǒng)計方法通過使用非數(shù)據(jù)區(qū)分技術(shù)，非參數(shù)統(tǒng)計方法通過使用非數(shù)據(jù)區(qū)分技術(shù)，尤其是群集分析技術(shù)來分析參數(shù)方法無法考慮的尤其是群集分析技術(shù)來分析參數(shù)方法無法考慮的系統(tǒng)度量。群集分析的基本思想是，根據(jù)評估標系統(tǒng)度量。群集分析的基本

30、思想是，根據(jù)評估標準（也稱為特性）將收集到的大量歷史數(shù)據(jù)（一準（也稱為特性）將收集到的大量歷史數(shù)據(jù)（一個樣本集）組織成群，通過預(yù)處理過程，將與具個樣本集）組織成群，通過預(yù)處理過程，將與具體事件流（經(jīng)常映射為一個具體用戶）相關(guān)的特體事件流（經(jīng)常映射為一個具體用戶）相關(guān)的特性轉(zhuǎn)化為向量表示，再采用群集算法將彼此比較性轉(zhuǎn)化為向量表示，再采用群集算法將彼此比較相近的向量成員組織成一個行為類，這樣使用該相近的向量成員組織成一個行為類，這樣使用該分析技術(shù)的實驗結(jié)果將會表明用何種方式構(gòu)成的分析技術(shù)的實驗結(jié)果將會表明用何種方式構(gòu)成的群可以可靠地對用戶的行為進行分組并識別。群可以可靠地對用戶的行為進行分組并識別

31、。返回本章首頁返回本章首頁第五章第五章 入侵檢測技術(shù)入侵檢測技術(shù) 5基于規(guī)則的方法基于規(guī)則的方法 上面討論的異常檢測主要基于統(tǒng)計方法，異上面討論的異常檢測主要基于統(tǒng)計方法，異常檢測的另一個變種就是基于規(guī)則的方法。與統(tǒng)常檢測的另一個變種就是基于規(guī)則的方法。與統(tǒng)計方法不同的是基于規(guī)則的檢測使用規(guī)則集來表計方法不同的是基于規(guī)則的檢測使用規(guī)則集來表示和存儲使用模式。示和存儲使用模式。 （1）Wisdom&Sense方法方法 （2）基于時間的引導(dǎo)機（）基于時間的引導(dǎo)機（TIM）返回本章首頁返回本章首頁第五章第五章 入侵檢測技術(shù)入侵檢測技術(shù) 5.2.4 其它檢測技術(shù)其它檢測技術(shù) 這些技術(shù)不能簡單地

32、歸類為誤用檢測或是異這些技術(shù)不能簡單地歸類為誤用檢測或是異常檢測，而是提供了一種有別于傳統(tǒng)入侵檢測視常檢測，而是提供了一種有別于傳統(tǒng)入侵檢測視角的技術(shù)層次，例如免疫系統(tǒng)、基因算法、數(shù)據(jù)角的技術(shù)層次，例如免疫系統(tǒng)、基因算法、數(shù)據(jù)挖掘、基于代理（挖掘、基于代理（Agent）的檢測等，它們或者的檢測等，它們或者提供了更具普遍意義的分析技術(shù)，或者提出了新提供了更具普遍意義的分析技術(shù)，或者提出了新的檢測系統(tǒng)架構(gòu)，因此無論對于誤用檢測還是異的檢測系統(tǒng)架構(gòu)，因此無論對于誤用檢測還是異常檢測來說，都可以得到很好的應(yīng)用。常檢測來說，都可以得到很好的應(yīng)用。返回本章首頁返回本章首頁第五章第五章 入侵檢測技術(shù)入侵檢測

33、技術(shù) 1神經(jīng)網(wǎng)絡(luò)（神經(jīng)網(wǎng)絡(luò)（Neural Network） 作為人工智能（作為人工智能（AI）的一個重要分支，神的一個重要分支，神經(jīng)網(wǎng)絡(luò)（經(jīng)網(wǎng)絡(luò)（Neural Network）在入侵檢測領(lǐng)域得到在入侵檢測領(lǐng)域得到了很好的應(yīng)用，它使用自適應(yīng)學習技術(shù)來提取異了很好的應(yīng)用，它使用自適應(yīng)學習技術(shù)來提取異常行為的特征，需要對訓(xùn)練數(shù)據(jù)集進行學習以得常行為的特征，需要對訓(xùn)練數(shù)據(jù)集進行學習以得出正常的行為模式。這種方法要求保證用于學習出正常的行為模式。這種方法要求保證用于學習正常模式的訓(xùn)練數(shù)據(jù)的純潔性，即不包含任何入正常模式的訓(xùn)練數(shù)據(jù)的純潔性，即不包含任何入侵或異常的用戶行為。侵或異常的用戶行為。 返回本章首

34、頁返回本章首頁第五章第五章 入侵檢測技術(shù)入侵檢測技術(shù) 2免疫學方法免疫學方法 New Mexico大學的大學的Stephanie Forrest提出提出了將生物免疫機制引入計算機系統(tǒng)的安全保護框了將生物免疫機制引入計算機系統(tǒng)的安全保護框架中。免疫系統(tǒng)中最基本也是最重要的能力是識架中。免疫系統(tǒng)中最基本也是最重要的能力是識別別“自我自我/非自我非自我”（self/nonself），），換句話講，換句話講，它能夠識別哪些組織是屬于正常機體的，不屬于它能夠識別哪些組織是屬于正常機體的，不屬于正常的就認為是異常，這個概念和入侵檢測中異正常的就認為是異常，這個概念和入侵檢測中異常檢測的概念非常相似。常檢測

35、的概念非常相似。 返回本章首頁返回本章首頁第五章第五章 入侵檢測技術(shù)入侵檢測技術(shù) 3數(shù)據(jù)挖掘方法數(shù)據(jù)挖掘方法 Columbia大學的大學的Wenke Lee在其博士論文中，在其博士論文中，提出了將數(shù)據(jù)挖掘（提出了將數(shù)據(jù)挖掘（Data Mining, DM）技術(shù)應(yīng)技術(shù)應(yīng)用到入侵檢測中，通過對網(wǎng)絡(luò)數(shù)據(jù)和主機系統(tǒng)調(diào)用到入侵檢測中，通過對網(wǎng)絡(luò)數(shù)據(jù)和主機系統(tǒng)調(diào)用數(shù)據(jù)的分析挖掘，發(fā)現(xiàn)誤用檢測規(guī)則或異常檢用數(shù)據(jù)的分析挖掘，發(fā)現(xiàn)誤用檢測規(guī)則或異常檢測模型。具體的工作包括利用數(shù)據(jù)挖掘中的關(guān)聯(lián)測模型。具體的工作包括利用數(shù)據(jù)挖掘中的關(guān)聯(lián)算法和序列挖掘算法提取用戶的行為模式，利用算法和序列挖掘算法提取用戶的行為模式，

36、利用分類算法對用戶行為和特權(quán)程序的系統(tǒng)調(diào)用進行分類算法對用戶行為和特權(quán)程序的系統(tǒng)調(diào)用進行分類預(yù)測。實驗結(jié)果表明，這種方法在入侵檢測分類預(yù)測。實驗結(jié)果表明，這種方法在入侵檢測領(lǐng)域有很好的應(yīng)用前景。領(lǐng)域有很好的應(yīng)用前景。返回本章首頁返回本章首頁第五章第五章 入侵檢測技術(shù)入侵檢測技術(shù) 4基因算法基因算法 基因算法是進化算法（基因算法是進化算法（evolutionary algorithms）的一種，引入了達爾文在進化論中的一種，引入了達爾文在進化論中提出的自然選擇的概念（優(yōu)勝劣汰、適者生存）提出的自然選擇的概念（優(yōu)勝劣汰、適者生存）對系統(tǒng)進行優(yōu)化。該算法對于處理多維系統(tǒng)的優(yōu)對系統(tǒng)進行優(yōu)化。該算法對于

37、處理多維系統(tǒng)的優(yōu)化是非常有效的。在基因算法的研究人員看來，化是非常有效的。在基因算法的研究人員看來，入侵檢測的過程可以抽象為：為審計事件記錄定入侵檢測的過程可以抽象為：為審計事件記錄定義一種向量表示形式，這種向量或者對應(yīng)于攻擊義一種向量表示形式，這種向量或者對應(yīng)于攻擊行為，或者代表正常行為。行為，或者代表正常行為。 返回本章首頁返回本章首頁第五章第五章 入侵檢測技術(shù)入侵檢測技術(shù) 5基于代理的檢測基于代理的檢測 近 年 來 ， 一 種 基 于近 年 來 ， 一 種 基 于 A g e n t 的 檢 測 技 術(shù)的 檢 測 技 術(shù)（Agent-Based Detection）逐漸引起研究者的重逐漸

38、引起研究者的重視。所謂視。所謂Agent，實際上可以看作是在執(zhí)行某項實際上可以看作是在執(zhí)行某項特定監(jiān)視任務(wù)的軟件實體?；谔囟ūO(jiān)視任務(wù)的軟件實體。基于Agent的入侵檢的入侵檢測系統(tǒng)的靈活性保證它可以為保障系統(tǒng)的安全提測系統(tǒng)的靈活性保證它可以為保障系統(tǒng)的安全提供混合式的架構(gòu)，綜合運用誤用檢測和異常檢測，供混合式的架構(gòu)，綜合運用誤用檢測和異常檢測，從而彌補兩者各自的缺陷。從而彌補兩者各自的缺陷。返回本章首頁返回本章首頁第五章第五章 入侵檢測技術(shù)入侵檢測技術(shù) 5.3 分布式入侵檢測分布式入侵檢測 分布式入侵檢測（分布式入侵檢測（Distributed Intrusion Detection）是目前

39、入侵檢測乃至整個網(wǎng)絡(luò)安全是目前入侵檢測乃至整個網(wǎng)絡(luò)安全領(lǐng)域的熱點之一。到目前為止，還沒有嚴格意義領(lǐng)域的熱點之一。到目前為止，還沒有嚴格意義上的分布式入侵檢測的商業(yè)化產(chǎn)品，但研究人員上的分布式入侵檢測的商業(yè)化產(chǎn)品，但研究人員已經(jīng)提出并完成了多個原型系統(tǒng)。通常采用的方已經(jīng)提出并完成了多個原型系統(tǒng)。通常采用的方法中，一種是對現(xiàn)有的法中，一種是對現(xiàn)有的IDS進行規(guī)模上的擴展，進行規(guī)模上的擴展，另一種則通過另一種則通過IDS之間的信息共享來實現(xiàn)。具體之間的信息共享來實現(xiàn)。具體的處理方法上也分為兩種：分布式信息收集、集的處理方法上也分為兩種：分布式信息收集、集中式處理；分布式信息收集、分布式處理。中式處理

40、；分布式信息收集、分布式處理。返回本章首頁返回本章首頁第五章第五章 入侵檢測技術(shù)入侵檢測技術(shù) 5.3.1 分布式入侵檢測的優(yōu)勢分布式入侵檢測的優(yōu)勢 分布式入侵檢測由于采用了非集中的系統(tǒng)結(jié)分布式入侵檢測由于采用了非集中的系統(tǒng)結(jié)構(gòu)和處理方式，相對于傳統(tǒng)的單機構(gòu)和處理方式，相對于傳統(tǒng)的單機IDS具有一些具有一些明顯的優(yōu)勢：明顯的優(yōu)勢： （1）檢測大范圍的攻擊行為）檢測大范圍的攻擊行為 （2）提高檢測的準確度）提高檢測的準確度 （3）提高檢測效率）提高檢測效率 （4）協(xié)調(diào)響應(yīng)措施）協(xié)調(diào)響應(yīng)措施返回本章首頁返回本章首頁第五章第五章 入侵檢測技術(shù)入侵檢測技術(shù) 5.3.2 分布式入侵檢測的技術(shù)難點分布式入侵

41、檢測的技術(shù)難點 與傳統(tǒng)的單機與傳統(tǒng)的單機IDS相比較，分布式入侵檢測相比較，分布式入侵檢測系統(tǒng)具有明顯的優(yōu)勢。然而，在實現(xiàn)分布檢測組系統(tǒng)具有明顯的優(yōu)勢。然而，在實現(xiàn)分布檢測組件的信息共享和協(xié)作上，卻存在著一些技術(shù)難點。件的信息共享和協(xié)作上，卻存在著一些技術(shù)難點。 Stanford Research Institute（SRI）在對在對EMERALD系統(tǒng)的研究中，列舉了分布式入侵系統(tǒng)的研究中，列舉了分布式入侵檢測必須關(guān)注的關(guān)鍵問題：事件產(chǎn)生及存儲、狀檢測必須關(guān)注的關(guān)鍵問題：事件產(chǎn)生及存儲、狀態(tài)空間管理及規(guī)則復(fù)雜度、知識庫管理、推理技態(tài)空間管理及規(guī)則復(fù)雜度、知識庫管理、推理技術(shù)。術(shù)。 返回本章首頁

42、返回本章首頁第五章第五章 入侵檢測技術(shù)入侵檢測技術(shù) 5.3.3 分布式入侵檢測現(xiàn)狀分布式入侵檢測現(xiàn)狀 盡管分布式入侵檢測存在技術(shù)和其它層面的盡管分布式入侵檢測存在技術(shù)和其它層面的難點，但由于其相對于傳統(tǒng)的單機難點，但由于其相對于傳統(tǒng)的單機IDS所具有的所具有的優(yōu)勢，目前已經(jīng)成為這一領(lǐng)域的研究熱點。優(yōu)勢，目前已經(jīng)成為這一領(lǐng)域的研究熱點。 1Snortnet 它通過對傳統(tǒng)的單機它通過對傳統(tǒng)的單機IDS進行規(guī)模上的擴展，進行規(guī)模上的擴展，使系統(tǒng)具備分布式檢測的能力，是基于模式匹配使系統(tǒng)具備分布式檢測的能力，是基于模式匹配的分布式入侵檢測系統(tǒng)的一個具體實現(xiàn)。主要包的分布式入侵檢測系統(tǒng)的一個具體實現(xiàn)。主

43、要包括三個組件：網(wǎng)絡(luò)感應(yīng)器括三個組件：網(wǎng)絡(luò)感應(yīng)器、代理守護程序和監(jiān)視代理守護程序和監(jiān)視控制臺控制臺。返回本章首頁返回本章首頁第五章第五章 入侵檢測技術(shù)入侵檢測技術(shù) 2Agent-Based 基于基于Agent的的IDS由于其良好的靈活性和擴由于其良好的靈活性和擴展性，是分布式入侵檢測的一個重要研究方向。展性，是分布式入侵檢測的一個重要研究方向。國外一些研究機構(gòu)在這方面已經(jīng)做了大量工作，國外一些研究機構(gòu)在這方面已經(jīng)做了大量工作，其中其中Purdue大學的入侵檢測自治代理（大學的入侵檢測自治代理（AAFID）和和SRI的的EMERALD最具代表性。最具代表性。 AAFID的體系結(jié)構(gòu)如圖的體系結(jié)構(gòu)如

44、圖5-10所示，其特點是所示，其特點是形成了一個基于代理的分層順序控制和報告結(jié)構(gòu)。形成了一個基于代理的分層順序控制和報告結(jié)構(gòu)。 返回本章首頁返回本章首頁第五章第五章 入侵檢測技術(shù)入侵檢測技術(shù) 返回本章首頁返回本章首頁第五章第五章 入侵檢測技術(shù)入侵檢測技術(shù) 3DIDS DIDS（Distributed Intrusion Detection System）是由是由UC Davis的的Security Lab完成的，完成的，它集成了兩種已有的入侵檢測系統(tǒng)，它集成了兩種已有的入侵檢測系統(tǒng)，Haystack和和NSM。前者由前者由Tracor Applied Sciences and Haystack

45、實驗室針對多用戶主機的檢測任務(wù)而開實驗室針對多用戶主機的檢測任務(wù)而開發(fā)，數(shù)據(jù)源來自主機的系統(tǒng)日志。發(fā)，數(shù)據(jù)源來自主機的系統(tǒng)日志。NSM則是由則是由UC Davis開發(fā)的網(wǎng)絡(luò)安全監(jiān)視器，通過對數(shù)據(jù)開發(fā)的網(wǎng)絡(luò)安全監(jiān)視器，通過對數(shù)據(jù)包、連接記錄、應(yīng)用層會話的分析，結(jié)合入侵特包、連接記錄、應(yīng)用層會話的分析，結(jié)合入侵特征庫和正常的網(wǎng)絡(luò)流或會話記錄的模式庫，判斷征庫和正常的網(wǎng)絡(luò)流或會話記錄的模式庫，判斷當前的網(wǎng)絡(luò)行為是否包含入侵或異常。當前的網(wǎng)絡(luò)行為是否包含入侵或異常。 返回本章首頁返回本章首頁第五章第五章 入侵檢測技術(shù)入侵檢測技術(shù) 4GrIDS GrIDS（Graph-based Intrusion D

46、etection System）同樣由同樣由UC Davis提出并實現(xiàn)，該系統(tǒng)提出并實現(xiàn)，該系統(tǒng)實現(xiàn)了一種在大規(guī)模網(wǎng)絡(luò)中使用圖形化表示的方實現(xiàn)了一種在大規(guī)模網(wǎng)絡(luò)中使用圖形化表示的方法來描述網(wǎng)絡(luò)行為的途徑，其設(shè)計目標主要針對法來描述網(wǎng)絡(luò)行為的途徑，其設(shè)計目標主要針對大范圍的網(wǎng)絡(luò)攻擊，例如掃描、協(xié)同攻擊、網(wǎng)絡(luò)大范圍的網(wǎng)絡(luò)攻擊，例如掃描、協(xié)同攻擊、網(wǎng)絡(luò)蠕蟲等。蠕蟲等。GrIDS的缺陷在于只是給出了網(wǎng)絡(luò)連接的缺陷在于只是給出了網(wǎng)絡(luò)連接的圖形化表示，具體的入侵判斷仍然需要人工完的圖形化表示，具體的入侵判斷仍然需要人工完成，而且系統(tǒng)的有效性和效率都有待驗證和提高。成，而且系統(tǒng)的有效性和效率都有待驗證和提高

47、。 返回本章首頁返回本章首頁第五章第五章 入侵檢測技術(shù)入侵檢測技術(shù) 5Intrusion Strategy Boeing公司的公司的Ming-Yuh Huang從另一個角從另一個角度對入侵檢測系統(tǒng)進行了研究，針對分布式入侵度對入侵檢測系統(tǒng)進行了研究，針對分布式入侵檢測所存在的問題，他認為可以從入侵者的目的檢測所存在的問題，他認為可以從入侵者的目的（Intrusion Intention），），或者是入侵策略或者是入侵策略（Intrusion Strategy）入手，幫助我們確定如何入手，幫助我們確定如何在不同的在不同的IDS組件之間進行協(xié)作檢測。對入侵策組件之間進行協(xié)作檢測。對入侵策略的分析可

48、以幫助我們調(diào)整審計策略和參數(shù)，構(gòu)略的分析可以幫助我們調(diào)整審計策略和參數(shù)，構(gòu)成自適應(yīng)的審計檢測系統(tǒng)。成自適應(yīng)的審計檢測系統(tǒng)。 返回本章首頁返回本章首頁第五章第五章 入侵檢測技術(shù)入侵檢測技術(shù) 6數(shù)據(jù)融合（數(shù)據(jù)融合（Data Fusion） Timm Bass提出將數(shù)據(jù)融合（提出將數(shù)據(jù)融合（Data Fusion）的概念應(yīng)用到入侵檢測中，從而將分布式入侵檢的概念應(yīng)用到入侵檢測中，從而將分布式入侵檢測任務(wù)理解為在層次化模型下對多個感應(yīng)器的數(shù)測任務(wù)理解為在層次化模型下對多個感應(yīng)器的數(shù)據(jù)綜合問題。在這個層次化模型中，入侵檢測的據(jù)綜合問題。在這個層次化模型中，入侵檢測的數(shù) 據(jù) 源 經(jīng) 歷 了 從 數(shù) 據(jù) （

49、數(shù) 據(jù) 源 經(jīng) 歷 了 從 數(shù) 據(jù) （ D a t a ） 到 信 息到 信 息（Information）再到知識（再到知識（Knowledge）三個邏三個邏輯抽象層次。輯抽象層次。 返回本章首頁返回本章首頁第五章第五章 入侵檢測技術(shù)入侵檢測技術(shù) 7基于抽象（基于抽象（Abstraction-based）的方法的方法 GMU的的Peng Ning在其博士論文中提出了一種在其博士論文中提出了一種基于抽象（基于抽象（Abstraction-based）的分布式入侵檢測的分布式入侵檢測系統(tǒng)，基本思想是設(shè)立中間層（系統(tǒng)，基本思想是設(shè)立中間層（system view），），提提供與具體系統(tǒng)無關(guān)的抽象信息

50、，用于分布式檢測系供與具體系統(tǒng)無關(guān)的抽象信息，用于分布式檢測系統(tǒng)中的信息共享，抽象信息的內(nèi)容包括事件信息統(tǒng)中的信息共享，抽象信息的內(nèi)容包括事件信息（event）以及系統(tǒng)實體間的斷言（以及系統(tǒng)實體間的斷言（dynamic predicate）。）。中間層用于表示中間層用于表示IDS間的共享信息時間的共享信息時使用的對應(yīng)關(guān)系為：使用的對應(yīng)關(guān)系為：IDS檢測到的攻擊或者檢測到的攻擊或者IDS無法無法處理的事件信息作為處理的事件信息作為event，IDS或受或受IDS監(jiān)控的系監(jiān)控的系統(tǒng)的狀態(tài)則作為統(tǒng)的狀態(tài)則作為dynamic predicates。 返回本章首頁返回本章首頁第五章第五章 入侵檢測技術(shù)入

51、侵檢測技術(shù) 5.4 入侵檢測系統(tǒng)的標準入侵檢測系統(tǒng)的標準 從從20世紀世紀90年代到現(xiàn)在，入侵檢測系統(tǒng)的研年代到現(xiàn)在，入侵檢測系統(tǒng)的研發(fā)呈現(xiàn)出百家爭鳴的繁榮局面，并在智能化和分發(fā)呈現(xiàn)出百家爭鳴的繁榮局面，并在智能化和分布式兩個方向取得了長足的進展。為了提高布式兩個方向取得了長足的進展。為了提高IDS產(chǎn)品、組件及與其他安全產(chǎn)品之間的互操作性，產(chǎn)品、組件及與其他安全產(chǎn)品之間的互操作性，DARPA和和IETF的入侵檢測工作組（的入侵檢測工作組（IDWG）發(fā)發(fā)起制訂了一系列建議草案，從體系結(jié)構(gòu)、起制訂了一系列建議草案，從體系結(jié)構(gòu)、API、通信機制、語言格式等方面來規(guī)范通信機制、語言格式等方面來規(guī)范ID

52、S的標準。的標準。 返回本章首頁返回本章首頁第五章第五章 入侵檢測技術(shù)入侵檢測技術(shù) 5.4.1 IETF/IDWG IDWG定義了用于入侵檢測與響應(yīng)（定義了用于入侵檢測與響應(yīng)（IDR）系統(tǒng)之間或與需要交互的管理系統(tǒng)之間的信息共系統(tǒng)之間或與需要交互的管理系統(tǒng)之間的信息共享所需要的數(shù)據(jù)格式和交換規(guī)程。享所需要的數(shù)據(jù)格式和交換規(guī)程。 IDWG提出了三項建議草案：入侵檢測消提出了三項建議草案：入侵檢測消息交換格式（息交換格式（IDMEF）、）、入侵檢測交換協(xié)議入侵檢測交換協(xié)議（IDXP）以及隧道輪廓（以及隧道輪廓（Tunnel Profile）。）。 返回本章首頁返回本章首頁第五章第五章 入侵檢測技術(shù)

53、入侵檢測技術(shù) 5.4.2 CIDF CIDF的工作集中體現(xiàn)在四個方面：的工作集中體現(xiàn)在四個方面：IDS的的體系結(jié)構(gòu)、通信機制、描述語言和應(yīng)用編程接口體系結(jié)構(gòu)、通信機制、描述語言和應(yīng)用編程接口API。 CIDF在在IDES和和NIDES的基礎(chǔ)上提出了一個的基礎(chǔ)上提出了一個通用模型，將入侵檢測系統(tǒng)分為四個基本組件：通用模型，將入侵檢測系統(tǒng)分為四個基本組件：事件產(chǎn)生器、事件分析器、響應(yīng)單元和事件數(shù)據(jù)事件產(chǎn)生器、事件分析器、響應(yīng)單元和事件數(shù)據(jù)庫。其結(jié)構(gòu)如圖庫。其結(jié)構(gòu)如圖5-15所示。所示。 返回本章首頁返回本章首頁第五章第五章 入侵檢測技術(shù)入侵檢測技術(shù) 返回本章首頁返回本章首頁第五章第五章 入侵檢測技

54、術(shù)入侵檢測技術(shù) 5.5 入侵檢測系統(tǒng)示例入侵檢測系統(tǒng)示例 為了直觀地理解入侵檢測的使用、配置等情況，為了直觀地理解入侵檢測的使用、配置等情況，這里我們以這里我們以Snort為例，對構(gòu)建以為例，對構(gòu)建以Snort為基礎(chǔ)的入為基礎(chǔ)的入侵檢測系統(tǒng)做概要介紹。侵檢測系統(tǒng)做概要介紹。 Snort 是一個開放源代碼的免費軟件，它基于是一個開放源代碼的免費軟件，它基于libpcap 的數(shù)據(jù)包嗅探器，并可以作為一個輕量級的的數(shù)據(jù)包嗅探器，并可以作為一個輕量級的網(wǎng)絡(luò)入侵檢測系統(tǒng)（網(wǎng)絡(luò)入侵檢測系統(tǒng)（NIDS）。）。 通過在中小型網(wǎng)絡(luò)上部署通過在中小型網(wǎng)絡(luò)上部署Snort系統(tǒng)，可以在分系統(tǒng)，可以在分析捕獲的數(shù)據(jù)包基

55、礎(chǔ)上，進行入侵行為特征匹配工析捕獲的數(shù)據(jù)包基礎(chǔ)上，進行入侵行為特征匹配工作，或從網(wǎng)絡(luò)活動的角度檢測異常行為，并完成入作，或從網(wǎng)絡(luò)活動的角度檢測異常行為，并完成入侵的預(yù)警或記錄。侵的預(yù)警或記錄。 返回本章首頁返回本章首頁第五章第五章 入侵檢測技術(shù)入侵檢測技術(shù) 5.5.1 Snort的體系結(jié)構(gòu)的體系結(jié)構(gòu) Snort在結(jié)構(gòu)上可分為數(shù)據(jù)包捕獲和解碼子在結(jié)構(gòu)上可分為數(shù)據(jù)包捕獲和解碼子系統(tǒng)、檢測引擎，以及日志及報警子系統(tǒng)三個部系統(tǒng)、檢測引擎，以及日志及報警子系統(tǒng)三個部分。分。 1數(shù)據(jù)包捕獲和解碼子系統(tǒng)數(shù)據(jù)包捕獲和解碼子系統(tǒng) 該子系統(tǒng)的功能是捕獲共享網(wǎng)絡(luò)的傳輸數(shù)據(jù)，該子系統(tǒng)的功能是捕獲共享網(wǎng)絡(luò)的傳輸數(shù)據(jù)，并

56、按照并按照TCP/ IP協(xié)議的不同層次將數(shù)據(jù)包解協(xié)議的不同層次將數(shù)據(jù)包解析。析。 2檢測引擎檢測引擎 檢測引擎是檢測引擎是NIDS實現(xiàn)的核心，準確性和快實現(xiàn)的核心，準確性和快速性是衡量其性能的重要指速性是衡量其性能的重要指標。標。 返回本章首頁返回本章首頁第五章第五章 入侵檢測技術(shù)入侵檢測技術(shù) 為了能夠快速準確地進行檢測和處理，為了能夠快速準確地進行檢測和處理，Snort在在檢測規(guī)則方面做了較為成熟的設(shè)計。檢測規(guī)則方面做了較為成熟的設(shè)計。 Snort 將所有已知的攻擊方法以規(guī)則的形式存將所有已知的攻擊方法以規(guī)則的形式存放在規(guī)則庫中，每一條規(guī)則由規(guī)則頭和規(guī)則選項兩放在規(guī)則庫中，每一條規(guī)則由規(guī)則頭

57、和規(guī)則選項兩部分組成。規(guī)則頭對應(yīng)于規(guī)則樹結(jié)點部分組成。規(guī)則頭對應(yīng)于規(guī)則樹結(jié)點RTN（Rule Tree Node），），包含動作、協(xié)議、源（目的）地址和包含動作、協(xié)議、源（目的）地址和端口以及數(shù)據(jù)流向，這是所有規(guī)則共有的部分。規(guī)端口以及數(shù)據(jù)流向，這是所有規(guī)則共有的部分。規(guī)則選項對應(yīng)于規(guī)則選項結(jié)點則選項對應(yīng)于規(guī)則選項結(jié)點OTN（Optional Tree Node），），包含報警信息（包含報警信息（msg）、）、匹配內(nèi)容匹配內(nèi)容（content）等選項，這些內(nèi)容需要根據(jù)具體規(guī)則的等選項，這些內(nèi)容需要根據(jù)具體規(guī)則的性質(zhì)確定。性質(zhì)確定。返回本章首頁返回本章首頁第五章第五章 入侵檢測技術(shù)入侵檢測技術(shù)

58、檢測規(guī)則除了包括上述的關(guān)于檢測規(guī)則除了包括上述的關(guān)于“要檢測什要檢測什么么”，還應(yīng)該定義，還應(yīng)該定義“檢測到了該做什么檢測到了該做什么”。Snort 定義了三種處理方式：定義了三種處理方式：alert （發(fā)送報警信發(fā)送報警信息）、息）、log（記錄該數(shù)據(jù)包）和記錄該數(shù)據(jù)包）和pass（忽略該數(shù)忽略該數(shù)據(jù)包），并定義為規(guī)則的第一個匹配關(guān)鍵字。據(jù)包），并定義為規(guī)則的第一個匹配關(guān)鍵字。 這樣設(shè)計的目的是為了在程序中可以組織整這樣設(shè)計的目的是為了在程序中可以組織整個規(guī)則庫，即將所有的規(guī)則按照處理方式組織成個規(guī)則庫，即將所有的規(guī)則按照處理方式組織成三個鏈表，以用于更快速準確地進行匹配。三個鏈表，以用于更

59、快速準確地進行匹配。 如如圖圖5-17所示所示 。返回本章首頁返回本章首頁第五章第五章 入侵檢測技術(shù)入侵檢測技術(shù) 返回本章首頁返回本章首頁第五章第五章 入侵檢測技術(shù)入侵檢測技術(shù) 當當Snort 捕獲一個數(shù)據(jù)包時，首先分析該數(shù)捕獲一個數(shù)據(jù)包時，首先分析該數(shù)據(jù)包使用哪個據(jù)包使用哪個IP協(xié)議以決定將與某個規(guī)則樹進行協(xié)議以決定將與某個規(guī)則樹進行匹配。然后與匹配。然后與RTN 結(jié)點依次進行匹配，當與一結(jié)點依次進行匹配，當與一個頭結(jié)點相匹配時，向下與個頭結(jié)點相匹配時，向下與OTN 結(jié)點進行匹配。結(jié)點進行匹配。每個每個OTN 結(jié)點包含一條規(guī)則所對應(yīng)的全部選項，結(jié)點包含一條規(guī)則所對應(yīng)的全部選項，同時包含一組函

60、數(shù)指針，用來實現(xiàn)對這些選項的同時包含一組函數(shù)指針，用來實現(xiàn)對這些選項的匹配操作。當數(shù)據(jù)包與某個匹配操作。當數(shù)據(jù)包與某個OTN 結(jié)點相匹配時，結(jié)點相匹配時，即判斷此數(shù)據(jù)包為攻擊數(shù)據(jù)包。即判斷此數(shù)據(jù)包為攻擊數(shù)據(jù)包。 具體流程見圖具體流程見圖5-18所示。所示。返回本章首頁返回本章首頁第五章第五章 入侵檢測技術(shù)入侵檢測技術(shù) 返回本章首頁返回本章首頁第五章第五章 入侵檢測技術(shù)入侵檢測技術(shù) 3日志及報警子系統(tǒng)日志及報警子系統(tǒng) 一個好的一個好的NIDS，更應(yīng)該提供友好的輸出界更應(yīng)該提供友好的輸出界面或發(fā)聲報警等。面或發(fā)聲報警等。Snort是一個輕量級的是一個輕量級的NIDS，它的另外一個重要功能就是數(shù)據(jù)包記錄器，