入侵檢測(cè)技術(shù)方案

曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版Internet自身的開放性的特點(diǎn)，使得網(wǎng)絡(luò)安全防護(hù)的方式發(fā)生了很大變化，傳統(tǒng)的網(wǎng)絡(luò)強(qiáng)調(diào)統(tǒng)一而集中的安全管理和控制，可采取加密、認(rèn)證、訪問控制、審計(jì)以及日志等多種技術(shù)手段，它們的實(shí)施.是由通信雙方共同完成：因?yàn)镮nternet網(wǎng)絡(luò)結(jié)構(gòu)錯(cuò)綜復(fù)雜，因此安全防護(hù)方式截然不同。Internet的安全技術(shù)涉及傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)和分布式網(wǎng)絡(luò)安全技術(shù)，主要是解決如何利用Internet進(jìn)行安全通信，同時(shí)保護(hù)內(nèi)部網(wǎng)絡(luò)免受外部攻擊。于是在此情況下，出現(xiàn)了防火墻和入侵檢測(cè)技術(shù)。第8章入侵檢測(cè)技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)8.1入侵檢測(cè)概述

8.1.1入侵檢測(cè)原理

8.1.2入侵檢測(cè)系統(tǒng)結(jié)構(gòu)

8.1.3入侵檢測(cè)系統(tǒng)分類 8.2入侵檢測(cè)技術(shù)

8.2.1入侵檢測(cè)分析模型

8.2.2誤用檢測(cè)

8.2.3異常檢測(cè)

8.2.4其他檢測(cè)技術(shù) 8.3入侵檢測(cè)系統(tǒng)的標(biāo)準(zhǔn)

8.3.1IETF/IDWG 8.3.2CIDF 8.4入侵檢測(cè)系統(tǒng)部署

8.4.1入侵檢測(cè)系統(tǒng)部署的原則

8.4.2入侵檢測(cè)系統(tǒng)部署實(shí)例

8.4.3入侵檢測(cè)特征庫(kù)的建立與應(yīng)用 第8章入侵檢測(cè)技術(shù)8.1入侵檢測(cè)概述 第8章入侵檢測(cè)技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版8.5典型入侵檢測(cè)產(chǎn)品簡(jiǎn)介

8.5.1入侵檢測(cè)工具Snort 8.5.2Cisco公司的NetRanger 8.5.3NetworkAssociates公司的CyberCop 8.5.4InternetSecuritySystem公司的RealSecure 8.5.5中科網(wǎng)威的“天眼”入侵檢測(cè)系統(tǒng) 8.6案例

8.6.1Snort的安裝與使用 第8章入侵檢測(cè)技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版

入侵是所有試圖破壞網(wǎng)絡(luò)信息的完整性、保密性、可用性、可信任性的行為。入侵是一個(gè)廣義的概念，不僅包括發(fā)起攻擊的人取得超出合法范圍的系統(tǒng)控制權(quán)，也包括收集漏洞信息，造成拒絕服務(wù)等危害計(jì)算機(jī)和網(wǎng)絡(luò)的行為。入侵檢測(cè)作為安全技術(shù)其作用在于：識(shí)別入侵者識(shí)別入侵行為檢測(cè)和監(jiān)視己成功的安全突破為對(duì)抗入侵及時(shí)提供重要信息，阻止事件的發(fā)生和事態(tài)的擴(kuò)大。8.1入侵檢測(cè)概述曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版通過監(jiān)視受保護(hù)系統(tǒng)的狀態(tài)和活動(dòng)，采用誤用檢測(cè)或異常檢測(cè)的方式，發(fā)現(xiàn)非授權(quán)或惡意的系統(tǒng)及網(wǎng)絡(luò)行為，為防范入侵行為提供有效的手段。8.1.1入侵檢測(cè)原理

曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版

為解決入侵檢測(cè)系統(tǒng)之間的互操作性，國(guó)際上的一些研究組織開展了標(biāo)準(zhǔn)化工作，目前對(duì)IDS進(jìn)行標(biāo)準(zhǔn)化工作的有兩個(gè)組織：IETF的IntrusionDetectionWorkingGroup（IDWG）和CommonIntrusionDetectionFramework（CIDF）。CIDF模型模型結(jié)構(gòu)如圖8-1所示。

圖8-1CIDF模型結(jié)構(gòu)圖8.1.2入侵檢測(cè)系統(tǒng)結(jié)構(gòu)

曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版從系統(tǒng)構(gòu)成上看，入侵檢測(cè)系統(tǒng)應(yīng)包括事件提取、入侵分析、入侵響應(yīng)和遠(yuǎn)程管理四大部分，另外還可能結(jié)合安全知識(shí)庫(kù)、數(shù)據(jù)存儲(chǔ)等功能模塊，提供更為完善的安全檢測(cè)及數(shù)據(jù)分析功能。如圖8-2所示。圖8-2系統(tǒng)構(gòu)成8.1.2入侵檢測(cè)系統(tǒng)結(jié)構(gòu)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版1.IDS在結(jié)構(gòu)上可劃分為數(shù)據(jù)收集和數(shù)據(jù)分析兩部分。（1）數(shù)據(jù)收集機(jī)制分布式與集中式數(shù)據(jù)收集機(jī)制。直接監(jiān)控和間接監(jiān)控。基于主機(jī)的數(shù)據(jù)收集和基于網(wǎng)絡(luò)的數(shù)據(jù)收集。外部探測(cè)器和內(nèi)部探測(cè)器（2）數(shù)據(jù)分析機(jī)制根據(jù)IDS如何處理數(shù)據(jù)，可以將IDS分為分布式IDS和集中式IDS。分布式IDS：在一些與受監(jiān)視組件相應(yīng)的位置對(duì)數(shù)據(jù)進(jìn)行分析的IDS。集中式IDS：在一些固定且不受監(jiān)視組件數(shù)量限制的位置對(duì)數(shù)據(jù)進(jìn)行分析的IDS。（3）縮短數(shù)據(jù)收集與數(shù)據(jù)分析的距離在實(shí)際操作過程中，數(shù)據(jù)收集和數(shù)據(jù)分析通常被劃分成兩個(gè)步驟，在不同的時(shí)間甚至是不同的地點(diǎn)進(jìn)行。但這一分離存在著缺點(diǎn)，在實(shí)際使用過程中，數(shù)據(jù)收集與數(shù)據(jù)分析功能之間應(yīng)盡量縮短距離。8.1.2入侵檢測(cè)系統(tǒng)結(jié)構(gòu)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版

根據(jù)入侵檢測(cè)采用的技術(shù)，可以分為異常檢測(cè)和誤用檢測(cè)。根據(jù)入侵檢測(cè)監(jiān)測(cè)的對(duì)象和所處的位置，分為基于網(wǎng)絡(luò)和基于主機(jī)兩種。

1.基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)以網(wǎng)絡(luò)數(shù)據(jù)包作為分析數(shù)據(jù)源，在被監(jiān)視網(wǎng)絡(luò)的網(wǎng)絡(luò)數(shù)據(jù)流中尋找攻擊特征和異常特征。它通常利用一個(gè)土作在混雜模式卜的網(wǎng)卡來實(shí)時(shí)監(jiān)視并分析通過網(wǎng)絡(luò)的數(shù)據(jù)流，使用模式匹配、統(tǒng)計(jì)分析等技術(shù)來識(shí)別攻擊行為。一旦檢測(cè)到了攻擊行為，其響應(yīng)模塊就做出適當(dāng)?shù)捻憫?yīng)，如報(bào)警、切斷網(wǎng)絡(luò)連接等。

NIDS優(yōu)點(diǎn)是能檢測(cè)許多基于主機(jī)的系統(tǒng)檢測(cè)小到的攻擊，而更可靠：具有更好的實(shí)時(shí)特性，對(duì)受保護(hù)的主機(jī)和網(wǎng)絡(luò)系統(tǒng)的性能影響很小或幾乎沒有影響并且無需對(duì)原來的系統(tǒng)和結(jié)構(gòu)進(jìn)行改動(dòng)；網(wǎng)絡(luò)監(jiān)聽引擎是透明的，可以降低檢測(cè)系統(tǒng)本身遭受攻擊的可能性。其局限性是：無法檢測(cè)物理的侵入被監(jiān)視主機(jī)系統(tǒng)的活動(dòng)、內(nèi)部人員在授權(quán)范圍內(nèi)從事的非法活動(dòng)和在網(wǎng)絡(luò)數(shù)據(jù)包中無異常而只能通過主機(jī)狀態(tài)的異常變化才能反映出來的攻擊；在協(xié)議解析和模式匹配等方而的計(jì)算成本很高，不能檢查加密的數(shù)據(jù)包，嚴(yán)重依賴于高層協(xié)議(如應(yīng)用層)的解析能力，不知道接收節(jié)點(diǎn)對(duì)數(shù)據(jù)包的處理過程以及由此引起的狀態(tài)變化。8.1.3入侵檢測(cè)系統(tǒng)分類

曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版2．基于主機(jī)的入侵檢測(cè)系統(tǒng)基于主機(jī)的入侵檢測(cè)是將檢測(cè)系統(tǒng)安裝在被重點(diǎn)檢測(cè)的主機(jī)之上，主要是對(duì)該主機(jī)的網(wǎng)絡(luò)實(shí)時(shí)連接以及系統(tǒng)審計(jì)日志進(jìn)行智能分析和判斷。如果其中主體活動(dòng)可疑(特征或行為違反統(tǒng)計(jì)規(guī)律)，入侵檢測(cè)系統(tǒng)就會(huì)采取相應(yīng)措施。其特點(diǎn)主要是對(duì)分析“可能的攻擊行為”非常有用，不僅能夠指出入侵者試圖執(zhí)行哪種“危險(xiǎn)的命令”，還能分辨出入侵者運(yùn)行了什么命令，進(jìn)行了哪些操作、執(zhí)行了哪些系統(tǒng)調(diào)用等。主機(jī)入侵檢測(cè)系統(tǒng)與網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)相比，能夠提供更為詳盡的用戶操作調(diào)用信息?；谥鳈C(jī)的入侵檢測(cè)系統(tǒng)有集中式和分布式兩種體系結(jié)構(gòu)，這兩種結(jié)構(gòu)都是基于代理的檢測(cè)結(jié)構(gòu)。代理是在目標(biāo)系統(tǒng)上可執(zhí)行的小程序，它們與命令控制平臺(tái)進(jìn)行通信。如果正確地操作，這些代理不會(huì)明顯地降低口標(biāo)系統(tǒng)的性能，但它們會(huì)帶來部署和支持方面的問題。8.1.3入侵檢測(cè)系統(tǒng)分類

曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版（1）集中式體系結(jié)構(gòu)該結(jié)構(gòu)的特點(diǎn)是代理負(fù)責(zé)收集來自不同目標(biāo)主機(jī)的日志，將日志進(jìn)行預(yù)處理并轉(zhuǎn)化為標(biāo)準(zhǔn)格式，山命令控制臺(tái)對(duì)這些日志集中處理。該系統(tǒng)有如下優(yōu)點(diǎn):能夠?qū)碜圆煌跇?biāo)主機(jī)的審計(jì)信息進(jìn)行集中處理，這種方式對(duì)目標(biāo)機(jī)的性能影響很小或沒有影響，這可以允許進(jìn)行更復(fù)雜的檢測(cè)?？梢詣?chuàng)建日志，作為原始數(shù)據(jù)的數(shù)據(jù)檔案，這些數(shù)據(jù)可用于起訴中?？捎糜诙嘀鳈C(jī)標(biāo)志檢測(cè)。可將存儲(chǔ)在數(shù)據(jù)庫(kù)中的告警信息和原始數(shù)據(jù)結(jié)合起來分析，這能幫助許多入侵檢測(cè)，還可以進(jìn)行數(shù)據(jù)辨析以查看長(zhǎng)期趨勢(shì)。同時(shí)集中式系統(tǒng)也存在有以下的缺點(diǎn)：除非口標(biāo)機(jī)的數(shù)量較少或者檢測(cè)引擎很快，否則會(huì)對(duì)實(shí)時(shí)檢測(cè)或?qū)崟r(shí)響應(yīng)帶來影響。將大量原始數(shù)據(jù)集中起來會(huì)影響網(wǎng)絡(luò)通信量8.1.3入侵檢測(cè)系統(tǒng)分類

曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版（2）分布式體系結(jié)構(gòu)該結(jié)構(gòu)的特點(diǎn)是將不同的代理安裝在不同的目標(biāo)機(jī)上，實(shí)時(shí)地分析數(shù)據(jù)，但記錄本身在被目標(biāo)機(jī)上的檢測(cè)引擎分析提出有用信息之后就被丟棄了。該結(jié)構(gòu)的優(yōu)點(diǎn)是實(shí)時(shí)告警、實(shí)時(shí)響應(yīng)。缺點(diǎn)是降低了口標(biāo)機(jī)的性能，沒有原始數(shù)據(jù)檔案，降低了數(shù)據(jù)辨析能力。8.1.3入侵檢測(cè)系統(tǒng)分類

曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版

人們多年來對(duì)入侵檢測(cè)的研究，使得該研究領(lǐng)域已具有一定的規(guī)模和相應(yīng)的理論體系。入侵檢測(cè)的核心問題在于如何對(duì)安全審計(jì)數(shù)據(jù)進(jìn)行分析，以檢測(cè)其中是否包含入侵或異常行為的跡象。分析是入侵檢測(cè)的核心功能，它既能簡(jiǎn)單到像一個(gè)已熟悉日志情況的管理員去建立決策表，也能復(fù)雜得像一個(gè)集成了幾百萬個(gè)處理的非參數(shù)系統(tǒng)。入侵檢測(cè)過程分析過程分為三部分：信息收集、信息分析和結(jié)果處理。信息收集：入侵檢測(cè)的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為。由放置在不同網(wǎng)段的傳感器或不同主機(jī)的代理來收集信息，包括系統(tǒng)和網(wǎng)絡(luò)日志文件、網(wǎng)絡(luò)流量、非正常的目錄和文件改變、非正常的程序執(zhí)行。信息分析：收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等信息，被送到檢測(cè)引擎，檢測(cè)引擎駐留在傳感器中，一般通過三種技術(shù)手段進(jìn)行分析：模式匹配、統(tǒng)計(jì)分析和完整性分析。當(dāng)檢測(cè)到某種誤用模式時(shí)，產(chǎn)生一個(gè)告警并發(fā)送給控制臺(tái)。結(jié)果處理：控制臺(tái)按照告警產(chǎn)生預(yù)先定義的響應(yīng)采取相應(yīng)措施，可以是重新配置路由器或防火墻、終止進(jìn)程、切斷連接、改變文件屬性，也可以只是簡(jiǎn)單的告警。8.2入侵檢測(cè)技術(shù)

8.2.1入侵檢測(cè)分析模型曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版

誤用檢測(cè)也被稱為基于知識(shí)的檢測(cè)，它指運(yùn)用己知的攻擊方法，根據(jù)己定義好的入侵模式，通過判斷這些入侵模式是否出現(xiàn)來檢測(cè)。基于模式匹配的誤用入侵檢測(cè)模式匹配就是將捕獲到的數(shù)據(jù)與己知網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫(kù)進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。基于專家系統(tǒng)的誤用入侵檢測(cè)基于專家系統(tǒng)的誤用入侵檢測(cè)方法是通過將安全專家的知識(shí)表示成規(guī)則形成專家知識(shí)庫(kù)，然后運(yùn)用推理算法檢測(cè)入侵。用專家系統(tǒng)對(duì)入侵進(jìn)行檢測(cè)，經(jīng)常是針對(duì)有特征的入侵行為。所謂的規(guī)則，即是知識(shí)，專家系統(tǒng)的建立依賴于知識(shí)庫(kù)的完備性，知識(shí)庫(kù)的完備性又取決于審計(jì)記錄的完備性與實(shí)時(shí)性。在具體實(shí)現(xiàn)中，專家系統(tǒng)主要面臨以下問題:

難以科學(xué)地從各種入侵手段中抽象出全面地規(guī)則化知識(shí)；所需處理地?cái)?shù)據(jù)量過大，而且在大型系統(tǒng)上，如何實(shí)時(shí)連續(xù)地審計(jì)數(shù)據(jù)也是一個(gè)問題。8.2.2誤用檢測(cè)

曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版

異常檢測(cè)也被稱為基于行為的檢測(cè)，基于行為的檢測(cè)指根據(jù)使用者的行為或資源使用狀況來判斷是否入侵?；谛袨榈臋z測(cè)與系統(tǒng)相對(duì)無關(guān)，通用型較強(qiáng)。異常檢測(cè)方法主要有以下兩種。

1.統(tǒng)計(jì)分析概率統(tǒng)計(jì)方法是基于行為的入侵檢測(cè)中應(yīng)用最早也是最多的一種方法。首先，檢測(cè)器根據(jù)用戶對(duì)象的動(dòng)作為每個(gè)用戶都建立一個(gè)用戶特征表，通過比較當(dāng)前特征與己存儲(chǔ)定型的以前特征，從而判斷是否是異常行為。用戶特征表需要根據(jù)審計(jì)記錄情況不斷地加以更新。

2．神經(jīng)網(wǎng)絡(luò)神經(jīng)網(wǎng)絡(luò)方法是利用一個(gè)包含很多計(jì)算單兀的網(wǎng)絡(luò)來完成復(fù)雜的映射函數(shù)，這些單元通過使用加權(quán)的連接相互作用。一個(gè)神經(jīng)網(wǎng)絡(luò)只是根據(jù)單元和它們間的權(quán)值連接編碼成網(wǎng)絡(luò)結(jié)構(gòu)，實(shí)際的學(xué)習(xí)過程是通過改變權(quán)值和加入或移去連接進(jìn)行的。神經(jīng)網(wǎng)絡(luò)處理分為兩個(gè)階段：首先，通過正常系統(tǒng)行為對(duì)該網(wǎng)絡(luò)進(jìn)行訓(xùn)練，調(diào)整其結(jié)構(gòu)和權(quán)值：然后將所觀測(cè)到的韋件流輸入網(wǎng)絡(luò)，由此判別這些事件流是正常(與訓(xùn)練數(shù)據(jù)匹配的)還是異常。同時(shí)，系統(tǒng)也能利用這些觀測(cè)到的數(shù)據(jù)進(jìn)行訓(xùn)練，從而使網(wǎng)絡(luò)可以學(xué)習(xí)系統(tǒng)行為的一些變化。8.2.3異常檢測(cè)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版1．基于規(guī)則的入侵檢測(cè)基于規(guī)則的入侵檢測(cè)是通過觀察系統(tǒng)里發(fā)生的事件并將該事件與系統(tǒng)的規(guī)則集進(jìn)行匹配，來判斷該事件是否與某條規(guī)則所代表的入侵行為相對(duì)應(yīng)?；谝?guī)則的入侵檢測(cè)分為：基于規(guī)則的異常檢測(cè)和基于規(guī)則的滲透檢測(cè)。

2．分布式入侵檢測(cè)分布式入侵檢測(cè)系統(tǒng)設(shè)計(jì)應(yīng)包含：主機(jī)代理模塊、局域網(wǎng)監(jiān)測(cè)代理模塊和中央管理器模塊三個(gè)模塊。8.2.4其他檢測(cè)技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版

為了提高IDS產(chǎn)品、組件及與其他安全產(chǎn)品之間的互操作性，美國(guó)國(guó)防高級(jí)研究計(jì)劃署（DARPA）和互聯(lián)網(wǎng)工程任務(wù)組（IETF）的入侵檢測(cè)工作組（IDWG）發(fā)起制訂了一系列建議草案，從體系結(jié)構(gòu)、API、通信機(jī)制、語言格式等方面規(guī)范IDS的標(biāo)準(zhǔn)。1．IDMEF

IDMEF描述了表示入侵檢測(cè)系統(tǒng)輸出信息的數(shù)據(jù)模型，并解釋了使用此模型的基本原理。該數(shù)據(jù)模型用XML實(shí)現(xiàn)，并設(shè)計(jì)了一個(gè)XML文檔類型定義。2．IDXP

IDXP（入侵檢測(cè)交換協(xié)議）是一個(gè)用于入侵檢測(cè)實(shí)體之間交換數(shù)據(jù)的應(yīng)用層協(xié)議，能夠?qū)崿F(xiàn)IDMEF消息、非結(jié)構(gòu)文本和二進(jìn)制數(shù)據(jù)之間的交換，并提供面向連接協(xié)議之上的雙方認(rèn)證、完整性和保密性等安全特征。

8.3入侵檢測(cè)系統(tǒng)的標(biāo)準(zhǔn)

8.3.1IETF/IDWG

曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版CIDF是一套規(guī)范，它定義了IDS表達(dá)檢測(cè)信息的標(biāo)準(zhǔn)語言以及IDS組件之間的通信協(xié)議。符合CIDF規(guī)范的IDS可以共享檢測(cè)信息，相互通信，協(xié)同工作，還可以與其它系統(tǒng)配合實(shí)施統(tǒng)一的配置響應(yīng)和恢復(fù)策略。CIDF的主要作用在于集成各種IDS使之協(xié)同工作，實(shí)現(xiàn)各IDS之間的組件重用，所以CIDF也是構(gòu)建分布式IDS的基礎(chǔ)。

CIDF的規(guī)格文檔由四部分組成，分別為：體系結(jié)構(gòu)（TheCommonIntrusionDetectionFrameworkArchitecture）規(guī)范語言（ACommonIntrusionSpecificationLanguage）內(nèi)部通訊（CommunicationintheCommonIntrusionDetectionFramework）程序接口（CommonIntrusionDetectionFrameworkAPIs）

CIDF的體系結(jié)構(gòu)文檔闡述了一個(gè)標(biāo)準(zhǔn)的IDS的通用模型；規(guī)范語言定義了一個(gè)用來描述各種檢測(cè)信息的標(biāo)準(zhǔn)語言；內(nèi)部通訊定義了IDS組件之間進(jìn)行通信的標(biāo)準(zhǔn)協(xié)議；程序接口提供了一整套標(biāo)準(zhǔn)的應(yīng)用程序接口（API函數(shù)）。

8.3.2CIDF

曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版1．入侵檢測(cè)引擎放在防火墻之外在這種情況下，入侵檢測(cè)系統(tǒng)能接收到防火墻外網(wǎng)口的所有信息，管理員可以清楚地看到所有來自Internet的攻擊，當(dāng)與防火墻聯(lián)動(dòng)時(shí)，防火墻可以動(dòng)態(tài)阻斷發(fā)生攻擊的連接。2．入侵檢測(cè)引擎放在防火墻之內(nèi)在這種情況下，穿透防火墻的攻擊與來自于局域網(wǎng)內(nèi)部的攻擊都可以被入侵檢測(cè)系統(tǒng)監(jiān)聽到，管理員可以清楚地看到哪些攻擊真正對(duì)自己的網(wǎng)絡(luò)構(gòu)成了威脅。3．防火墻內(nèi)外都裝有入侵檢測(cè)引擎在這種情況下，可以檢測(cè)來自內(nèi)部和外部的所有攻擊，管理員可以清楚地看出是否有攻擊穿透防火墻，對(duì)自己網(wǎng)絡(luò)所面對(duì)的安全威脅了如指掌。4．將入侵檢測(cè)引擎安裝在其它關(guān)鍵位置安裝在需要重點(diǎn)保護(hù)的網(wǎng)段，如財(cái)務(wù)部的子網(wǎng)，對(duì)該子網(wǎng)中發(fā)生的所有連接進(jìn)行監(jiān)控；安裝在內(nèi)部?jī)蓚€(gè)不同子網(wǎng)之間，監(jiān)視兩個(gè)子網(wǎng)之間的所有連接。根據(jù)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)的不同，入侵檢測(cè)系統(tǒng)的監(jiān)聽端口可以接在共享媒質(zhì)的集線器（Hub）上、交換機(jī)的調(diào)試端口（spanport）上、或?qū)楸O(jiān)聽所增設(shè)的分接器（Tap）上。

8.4入侵檢測(cè)系統(tǒng)部署

8.4.1入侵檢測(cè)系統(tǒng)部署的原則

曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版

國(guó)內(nèi)某省級(jí)公司，隨著業(yè)務(wù)需求的進(jìn)一步擴(kuò)展，原有的網(wǎng)絡(luò)及系統(tǒng)平臺(tái)已經(jīng)不能滿足應(yīng)用需求,必須升級(jí)優(yōu)化現(xiàn)有系統(tǒng)，其中提高網(wǎng)絡(luò)的安全性是重中之重。該公司信息系統(tǒng)基礎(chǔ)設(shè)施包括電力系統(tǒng)網(wǎng)絡(luò)、局域網(wǎng)和互聯(lián)網(wǎng)三個(gè)部分。電力系統(tǒng)網(wǎng)絡(luò)是承載該公司與各個(gè)子公司內(nèi)部業(yè)務(wù)交流的核心平臺(tái)，局域網(wǎng)是該公司內(nèi)部日常辦公的主要載體，外部信息的獲取和發(fā)布通過互聯(lián)網(wǎng)來完成。該公司的局域網(wǎng)核心交換機(jī)為CiscoCatalyst，以千兆下聯(lián)若干臺(tái)百兆交換機(jī)，均為CiscoCatalyst3524XL/3550系列交換機(jī)，并劃分了多個(gè)VLAN；在網(wǎng)絡(luò)出口處，該公司通過Cisco7401交換機(jī)與Internet連接，Internet接入邊界有最基本的安全設(shè)備，一臺(tái)硬件防火墻和一臺(tái)VPN設(shè)備。公司提供包括WWW、SMTP、FTP等互聯(lián)網(wǎng)應(yīng)用服務(wù)，目前開設(shè)了一個(gè)內(nèi)部信息發(fā)布、員工交流站點(diǎn)和一個(gè)對(duì)外展示企業(yè)形象的站點(diǎn)，公司還架設(shè)了一個(gè)供300多人使用的郵件系統(tǒng)。同時(shí)公司還擁有很多的重要應(yīng)用系統(tǒng)，其中包括企業(yè)OA系統(tǒng)和各種信息管理系統(tǒng)。目前大流量的應(yīng)用主要集中在局域網(wǎng)內(nèi)，因此局域網(wǎng)的壓力很大；大部分的應(yīng)用必須跨廣域網(wǎng)，但由于應(yīng)用剛剛起步，因此跨廣域網(wǎng)的流量不很大，隨著信息化建設(shè)的逐步深入，廣域網(wǎng)潛在的瓶頸將會(huì)嚴(yán)重影響應(yīng)用的普及；公司與各個(gè)子公司之間以VPN相連8.4.2入侵檢測(cè)系統(tǒng)部署實(shí)例

曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版1．安全需求分析用戶目前主要的管理信息系統(tǒng)包括EAM（企業(yè)設(shè)備管理系統(tǒng)EnterpriseAssetManagement）、財(cái)務(wù)系統(tǒng)、生產(chǎn)調(diào)度系統(tǒng)、辦公自動(dòng)化系統(tǒng)和生產(chǎn)調(diào)度監(jiān)視系統(tǒng)等。這些關(guān)鍵系統(tǒng)同時(shí)運(yùn)行在該公司統(tǒng)一的電力系統(tǒng)網(wǎng)絡(luò)平臺(tái)之上，系統(tǒng)之間存在業(yè)務(wù)邏輯交叉和數(shù)據(jù)交換，因此系統(tǒng)的安全具有很大的關(guān)聯(lián)性，特別是對(duì)于互聯(lián)網(wǎng)接入的安全需要特別的關(guān)注。經(jīng)過一段時(shí)間的檢測(cè)分析發(fā)現(xiàn)，該用戶網(wǎng)絡(luò)主要存在如下威脅：a.網(wǎng)上存在大量的端口掃描試探、發(fā)送垃圾郵件等網(wǎng)絡(luò)濫用行為；b.發(fā)現(xiàn)部分主機(jī)由于未及時(shí)安裝補(bǔ)丁程序或設(shè)置不當(dāng)、口令強(qiáng)度不夠等原因而被黑客入侵，并被安裝后門程序；c拒絕服務(wù)攻擊發(fā)生頻率不高，但一般影響較大；d.蠕蟲病毒傳播和泛濫，危害不可小視。

2．部署實(shí)施策略盡管防火墻能夠通過強(qiáng)化網(wǎng)絡(luò)安全策略抵御來自外部網(wǎng)絡(luò)的非法訪問，但對(duì)網(wǎng)絡(luò)內(nèi)部發(fā)起的攻擊無能為力。為此，采用了榕基基于網(wǎng)絡(luò)的實(shí)時(shí)入侵檢測(cè)技術(shù)，動(dòng)態(tài)監(jiān)測(cè)來自于外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的所有訪問行為。當(dāng)檢測(cè)到來自內(nèi)外網(wǎng)絡(luò)針對(duì)或通過防火墻的攻擊行為，會(huì)及時(shí)響應(yīng)，并通知防火墻實(shí)時(shí)阻斷攻擊源，從而進(jìn)一步提高了系統(tǒng)的抗攻擊能力，更有效地保護(hù)了網(wǎng)絡(luò)資源，提高了防御體系級(jí)別。

7.8防火墻發(fā)展動(dòng)態(tài)與趨勢(shì)

曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版入侵檢測(cè)系統(tǒng)可以和防火墻獲取相同的網(wǎng)絡(luò)數(shù)據(jù)，當(dāng)入侵檢測(cè)系統(tǒng)發(fā)現(xiàn)異常攻擊時(shí)，立即通知防火墻，防火墻迅速做出反應(yīng)阻止當(dāng)前攻擊事件的繼續(xù)，從而使得攻擊失敗，這樣的防御體系能夠?qū)糇鞒鰧?shí)時(shí)的防御，達(dá)到安全處理應(yīng)急事件的目的。目前榕基RJ-IDS入侵檢測(cè)系統(tǒng)已經(jīng)可以和市場(chǎng)上大部分主流防火墻（超過20種）進(jìn)行聯(lián)動(dòng)阻斷入侵者，如天融信、東軟、億陽(yáng)、三星等。根據(jù)用戶網(wǎng)絡(luò)的實(shí)際狀況，在千兆主干網(wǎng)絡(luò)上部署了具備超強(qiáng)檢測(cè)能力的榕基千兆型網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)RJ-IDS1000-F，以此檢測(cè)逃避防火墻攔截的攻擊流。在內(nèi)部網(wǎng)段上，由于最可能受到的是來自內(nèi)部人員的攻擊和內(nèi)植木馬病毒的攻擊，所以在各個(gè)VLAN內(nèi)部部署百兆型網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)RJ-IDS100，隨時(shí)檢測(cè)內(nèi)部的網(wǎng)絡(luò)威脅。榕基RJ-IDS入侵檢測(cè)系統(tǒng)是一個(gè)分布式的基于B/S的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。分布式的結(jié)構(gòu)利于應(yīng)用的擴(kuò)展，B/S結(jié)構(gòu)應(yīng)用在網(wǎng)絡(luò)環(huán)境中非常方便。實(shí)時(shí)地將告警日志按各種條件進(jìn)行分類有助于幫助管理員迅速地發(fā)現(xiàn)某些特定攻擊。榕基RJ-IDS入侵檢測(cè)系統(tǒng)可以按多種標(biāo)準(zhǔn)動(dòng)態(tài)地切換告警日志的分類，包括高、中、低風(fēng)險(xiǎn)、資產(chǎn)等，對(duì)歷史攻擊事件可以進(jìn)行事件分析綜合查詢。經(jīng)過一段時(shí)間的運(yùn)行，榕基RJ-IDS入侵檢測(cè)系統(tǒng)在防范外部攻擊和阻止內(nèi)部非法訪問方面取得了良好的成效，根據(jù)統(tǒng)計(jì)分析后的數(shù)據(jù)顯示，部署后該用戶的網(wǎng)絡(luò)安全狀態(tài)得到了極大的改善，網(wǎng)絡(luò)中信息流通更加暢通，企業(yè)員工的滿意度很高。曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版

特征(Signature)的基本概念：IDS中的特征一般指用于判別通訊信息種類的特征數(shù)據(jù)，以下是一些典型情況及識(shí)別方法：來自保留IP地址的連接企圖：可通過檢查IP報(bào)頭(IPheader)的來源地址輕易地識(shí)別。帶有非法TCP標(biāo)識(shí)的數(shù)據(jù)包：可通過對(duì)比TCP報(bào)頭中的標(biāo)志集與已知正確和錯(cuò)誤標(biāo)記的不同點(diǎn)來識(shí)別。含有特殊病毒信息的Email：可通過對(duì)比每封Email的主題信息和病態(tài)Email的主題信息來識(shí)別，或者通過搜索特定名字的附件來識(shí)別。查詢負(fù)載中的DNS緩沖區(qū)溢出企圖：可通過解析DNS域及檢查每個(gè)域的長(zhǎng)度來識(shí)別利用DNS域的緩沖區(qū)溢出企圖；還有另外一個(gè)識(shí)別方法是，在負(fù)載中搜索“殼代碼利用”(ExploitShellcode)的序列代碼組合。針對(duì)POP3服務(wù)器的DoS攻擊：通過跟蹤記錄某個(gè)命令連續(xù)發(fā)出的次數(shù)，看看是否超過了預(yù)設(shè)上限，而發(fā)出報(bào)警信息。未登錄情況下使用文件和目錄命令對(duì)FTP服務(wù)器的文件訪問攻擊：通過創(chuàng)建具備狀態(tài)跟蹤的特征數(shù)據(jù)以監(jiān)視成功登錄的FTP對(duì)話、發(fā)現(xiàn)未經(jīng)驗(yàn)證卻發(fā)命令的入侵企圖。從以上分類可以看出特征的涵蓋范圍很廣，有簡(jiǎn)單的報(bào)頭域數(shù)值、有高度復(fù)雜的連接狀態(tài)跟蹤、有擴(kuò)展的協(xié)議分析。

8.4.3入侵檢測(cè)特征庫(kù)的建立與應(yīng)用

曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版

用戶需要知道的是，不同的IDS產(chǎn)品具有的特征功能也有所差異。如有些網(wǎng)絡(luò)IDS系統(tǒng)只允許很少地定制存在的特征數(shù)據(jù)或者編寫需要的特征數(shù)據(jù)，另外一些則允許在很寬的范圍內(nèi)定制或編寫用戶需求的特征數(shù)據(jù)，甚至可以是任意特征；再則一些IDS系統(tǒng)只能檢查確定的報(bào)頭或負(fù)載數(shù)值，另外一些則可以獲取任何信息包的任何位置的數(shù)據(jù)。特征是檢測(cè)數(shù)據(jù)包中的可疑內(nèi)容是否存在攻擊行為的對(duì)照物。IDS系統(tǒng)本身已經(jīng)擁有了特征庫(kù)，為什么還需要定制或編寫特征呢?筆者以為，也許你經(jīng)?？吹揭恍┦煜さ耐ㄓ嵭畔⒘髟诰W(wǎng)絡(luò)上游蕩，由于IDS系統(tǒng)的特征數(shù)據(jù)庫(kù)滯后或者這些通訊信息本身就不是攻擊或探測(cè)數(shù)據(jù)，IDS系統(tǒng)并不會(huì)十分關(guān)注這樣的信息，但身為網(wǎng)絡(luò)的管理員，我們必須對(duì)這樣的可疑數(shù)據(jù)提高警惕，因此我們需要指定一些特征樣本，捕捉它們、仔細(xì)分析它們從何而來，目的又是什么。因此唯一的辦法就是對(duì)現(xiàn)有特征數(shù)據(jù)庫(kù)進(jìn)行一些定制配置或者編寫新的特征數(shù)據(jù)。特征的定制或編寫程度可粗可細(xì)，完全取決于實(shí)際需求?；蛘呤侵慌袛嗍欠癜l(fā)生了異常行為而不確定具體是什么攻擊，從而節(jié)省資源和時(shí)間；或者是判斷出具體的攻擊手段或漏洞利用方式，從而獲取更多的信息。曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版Snort是目前應(yīng)用最為廣泛的一個(gè)IDS產(chǎn)品，它被定位為一個(gè)輕量級(jí)的入侵檢測(cè)系統(tǒng)，它具有以下幾個(gè)特點(diǎn)：1．它是一個(gè)輕量級(jí)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，所謂輕量級(jí)是指該軟件在運(yùn)行時(shí)只占用極少的網(wǎng)絡(luò)資源，對(duì)原有網(wǎng)絡(luò)性能影響很小。2．從數(shù)據(jù)來源上看，它是一個(gè)基于網(wǎng)絡(luò)入侵的檢測(cè)軟件，即它作為嗅探器對(duì)發(fā)往同一網(wǎng)絡(luò)的其他主機(jī)的流量進(jìn)行捕獲，然后進(jìn)行分析。3．它的工作采用誤用檢測(cè)模型，即首先建立入侵行為特征哭，然后在檢測(cè)過程中，將收集到的數(shù)據(jù)包和特征代碼r進(jìn)行比較，以得出是否入侵的結(jié)論。4．它是用c語言編寫的開放源代碼網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。其源代碼可以被自由的讀取、傳播和修改，任何一個(gè)程序員都可以自由地為其添加功能，修改錯(cuò)誤，任意傳播。這使它能迅速發(fā)展完善并推廣應(yīng)用。5．它是一個(gè)跨平臺(tái)的軟件，所支持的操作系統(tǒng)非常廣泛，比如windows，linux，sunos等都支持。在windows下安裝比較簡(jiǎn)單：首先下載windows下網(wǎng)絡(luò)數(shù)據(jù)包捕獲工具winpcap（[url]www.winpc[/url]），然后下載snort安裝包，直接雙擊安裝即可。6．Snort有三種主要模式：信息包嗅探器、信息包記錄器或成熟的入侵探測(cè)系統(tǒng)。8.5典型入侵檢測(cè)產(chǎn)品簡(jiǎn)介

8.5.1入侵檢測(cè)工具Snort

曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版NetRanger以其高性能而聞名，而且它還非常易于裁剪。控制器程序可以綜合多站點(diǎn)的信息并監(jiān)視散布在整個(gè)企業(yè)網(wǎng)上的攻擊。NetRanger的最大名聲在于其是針對(duì)企業(yè)而設(shè)計(jì)的。這種名聲的標(biāo)志之一是其分銷渠道，EDS、PerotSystems、IBMGlobalServices都是其分銷商。

NetRanger在全球廣域網(wǎng)上運(yùn)行很成功。例如，它有一個(gè)路徑備份(Path-doubling)功能。如果一條路徑斷掉了，信息可以從備份路徑上傳過來。它甚至能做到從一個(gè)點(diǎn)上監(jiān)測(cè)全網(wǎng)或把監(jiān)測(cè)權(quán)轉(zhuǎn)給第三方。

NetRanger的另一個(gè)強(qiáng)項(xiàng)是其在檢測(cè)問題時(shí)不僅觀察單個(gè)包的內(nèi)容，而且還看上下文，即從多個(gè)包中得到線索。這是很重要的一點(diǎn)，因?yàn)槿肭终呖赡芤宰址Ｊ酱嫒∫粋€(gè)端口，然后在每個(gè)包中只放一個(gè)字符。如果一個(gè)監(jiān)測(cè)器只觀察單個(gè)包，它就永遠(yuǎn)不會(huì)發(fā)現(xiàn)完整的信息。按照GartnerGroup公司的研究專家JudeO'Reilley的說法，NetRanger是目前市場(chǎng)上基于網(wǎng)絡(luò)的入侵檢測(cè)軟件中經(jīng)受實(shí)踐考驗(yàn)最多的產(chǎn)品之一。對(duì)于某些用戶來講，NetRanger的強(qiáng)項(xiàng)也可能正好是其不足。它被設(shè)計(jì)為集成在OpenView或NetView下，在網(wǎng)絡(luò)運(yùn)行中心(NOC)使用，其配置需要對(duì)Unix有詳細(xì)的了解。NetRanger相對(duì)較昂貴，這對(duì)于一般的局域網(wǎng)來講未必很適合。8.5.2Cisco公司的NetRanger曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版CyberCop被設(shè)計(jì)成一個(gè)網(wǎng)絡(luò)應(yīng)用程序，一般在20分鐘內(nèi)就可以安裝完畢。它預(yù)設(shè)了6種通常的配置模式:WindowsNT和Unix的混合子網(wǎng)、Unix子網(wǎng)、NT子網(wǎng)、遠(yuǎn)程訪問、前沿網(wǎng)(如Internet的接入系統(tǒng))和骨干網(wǎng)。它沒有Netware的配置。前端設(shè)計(jì)成瀏覽器方式主要是考慮易于使用，發(fā)揮NetworkGeneral在提煉包數(shù)據(jù)上的經(jīng)驗(yàn)，用戶使用時(shí)也易于查看和理解。像在Sniffer中一樣，它在幫助文檔里結(jié)合了專家知識(shí)。CyberCop還能生成可以被Sniffer識(shí)別的蹤跡文件。與NetRanger相比，CyberCop缺乏一些企業(yè)應(yīng)用的特征，如路徑備份功能等。按照CyberCop產(chǎn)品經(jīng)理KatherineStolz的說法，NetworkAssociates公司在安全領(lǐng)域?qū)⒂幸幌盗械呐e措和合作。"我們定位在大規(guī)模的安全上，我們將成為整體解決方案的提供者。"

8.5.3NetworkAssociates公司的CyberCop

曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版RealSecure的優(yōu)勢(shì)在于其簡(jiǎn)潔性和低價(jià)格。與NetRanger和CyberCop類似，RealSecure在結(jié)構(gòu)上也是兩部分。引擎部分負(fù)責(zé)監(jiān)測(cè)信息包并生成告警，控制臺(tái)接收?qǐng)?bào)警并作為配置及產(chǎn)生數(shù)據(jù)庫(kù)報(bào)告的中心點(diǎn)。兩部分都可以在NT、Solaris、SunOS和Linux上運(yùn)行，并可以在混合的操作系統(tǒng)或匹配的操作系統(tǒng)環(huán)境下使用。它們都能在商用微機(jī)上運(yùn)行。對(duì)于一個(gè)小型的系統(tǒng)，將引擎和控制臺(tái)放在同一臺(tái)機(jī)器上運(yùn)行是可以的，但這對(duì)于NetRanger或CyberCop卻不行。RealSecure的引擎價(jià)值1萬美元，控制臺(tái)是免費(fèi)的。一個(gè)引擎可以向多個(gè)控制臺(tái)報(bào)告，一個(gè)控制臺(tái)也可以管理多個(gè)引擎。

RealSecure可以對(duì)CheckPointSoftware的FireWall-1重新進(jìn)行配置。根據(jù)入侵檢測(cè)技術(shù)經(jīng)理MarkWood的說法，ISS還計(jì)劃使其能對(duì)Cisco的路由器進(jìn)行重新配置，同時(shí)也正開發(fā)OpenView下的應(yīng)用。

8.5.4InternetSecuritySystem公司的RealSecure

曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版

中科網(wǎng)威信息技術(shù)有限公司的“天眼”入侵檢測(cè)系統(tǒng)、“火眼”網(wǎng)絡(luò)安全漏洞檢測(cè)系統(tǒng)是國(guó)內(nèi)少有的幾個(gè)入侵檢測(cè)系統(tǒng)之一。它根據(jù)國(guó)內(nèi)網(wǎng)絡(luò)的特殊情況，由中國(guó)科學(xué)院網(wǎng)絡(luò)安全關(guān)鍵技術(shù)研究組經(jīng)過多年研究，綜合運(yùn)用了多種檢測(cè)系統(tǒng)成果制研成功的。它根據(jù)系統(tǒng)的安全策略作出反映，實(shí)現(xiàn)了對(duì)非法入侵的定時(shí)報(bào)警、記錄事件，方便取證，自動(dòng)阻斷通信連接，重置路由器、防火墻，同時(shí)及時(shí)發(fā)現(xiàn)并及時(shí)提出解決方案，它可列出可參考的全熱鏈接網(wǎng)絡(luò)和系統(tǒng)中易被黑客利用和可能被黑客利用的薄弱環(huán)節(jié)，防范黑客攻擊。該系統(tǒng)的總體技術(shù)水平達(dá)到了“國(guó)際先進(jìn)水平”8.5.5中科網(wǎng)威的“天眼”入侵檢測(cè)系統(tǒng)

曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版1.Snort安裝模式

Snort可簡(jiǎn)單安裝為守護(hù)進(jìn)程模式，也可安裝為包括很多其他工具的完整的入侵檢測(cè)系統(tǒng)。簡(jiǎn)單方式安裝時(shí)，可以得到入侵?jǐn)?shù)據(jù)的文本文件或二進(jìn)制文件，然后用文本編輯器等工具進(jìn)行查看。

Snort若與其它工具一起安裝，則可以支持更為復(fù)雜的操作。例如，將Snort數(shù)據(jù)發(fā)送給數(shù)據(jù)庫(kù)系統(tǒng)，從而支持通過Web界面進(jìn)行數(shù)據(jù)分析，以增強(qiáng)對(duì)Snort捕獲數(shù)據(jù)的直觀認(rèn)識(shí)，避免耗費(fèi)大量時(shí)間查閱晦澀的日志文件。2．Snort的簡(jiǎn)單安裝3．Snort的工作模式

Snort有三種工作模式，即嗅探器、數(shù)據(jù)包記錄器、網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。8.6案例

8.6.1Snort的安裝與使用

曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)人有了知識(shí)，就會(huì)具備各種分析能力，明辨是非的能力。所以我們要勤懇讀書，廣泛閱讀，古人說“書中自有黃金屋?！蓖ㄟ^閱讀科技書籍，我們能豐富知識(shí)，培養(yǎng)邏輯思維能力；通過閱讀文學(xué)作品，我們能提高文學(xué)鑒賞水平，培養(yǎng)文學(xué)情趣；通過閱讀報(bào)刊，我們能增長(zhǎng)見識(shí)，擴(kuò)大自己的知識(shí)面。有許多書籍還能培養(yǎng)我們的道德情操，給我們巨大的精神力量，鼓舞我們前進(jìn)。人有了知識(shí)，就會(huì)具備各種分析能力，第8章入侵檢測(cè)技術(shù)方案曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版Internet自身的開放性的特點(diǎn)，使得網(wǎng)絡(luò)安全防護(hù)的方式發(fā)生了很大變化，傳統(tǒng)的網(wǎng)絡(luò)強(qiáng)調(diào)統(tǒng)一而集中的安全管理和控制，可采取加密、認(rèn)證、訪問控制、審計(jì)以及日志等多種技術(shù)手段，它們的實(shí)施.是由通信雙方共同完成：因?yàn)镮nternet網(wǎng)絡(luò)結(jié)構(gòu)錯(cuò)綜復(fù)雜，因此安全防護(hù)方式截然不同。Internet的安全技術(shù)涉及傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)和分布式網(wǎng)絡(luò)安全技術(shù)，主要是解決如何利用Internet進(jìn)行安全通信，同時(shí)保護(hù)內(nèi)部網(wǎng)絡(luò)免受外部攻擊。于是在此情況下，出現(xiàn)了防火墻和入侵檢測(cè)技術(shù)。第8章入侵檢測(cè)技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)8.1入侵檢測(cè)概述

8.1.1入侵檢測(cè)原理

8.1.2入侵檢測(cè)系統(tǒng)結(jié)構(gòu)

8.1.3入侵檢測(cè)系統(tǒng)分類 8.2入侵檢測(cè)技術(shù)

8.2.1入侵檢測(cè)分析模型

8.2.2誤用檢測(cè)

8.2.3異常檢測(cè)

8.2.4其他檢測(cè)技術(shù) 8.3入侵檢測(cè)系統(tǒng)的標(biāo)準(zhǔn)

8.3.1IETF/IDWG 8.3.2CIDF 8.4入侵檢測(cè)系統(tǒng)部署

8.4.1入侵檢測(cè)系統(tǒng)部署的原則

8.4.2入侵檢測(cè)系統(tǒng)部署實(shí)例

8.4.3入侵檢測(cè)特征庫(kù)的建立與應(yīng)用 第8章入侵檢測(cè)技術(shù)8.1入侵檢測(cè)概述 第8章入侵檢測(cè)技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版8.5典型入侵檢測(cè)產(chǎn)品簡(jiǎn)介

8.5.1入侵檢測(cè)工具Snort 8.5.2Cisco公司的NetRanger 8.5.3NetworkAssociates公司的CyberCop 8.5.4InternetSecuritySystem公司的RealSecure 8.5.5中科網(wǎng)威的“天眼”入侵檢測(cè)系統(tǒng) 8.6案例

8.6.1Snort的安裝與使用 第8章入侵檢測(cè)技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版

入侵是所有試圖破壞網(wǎng)絡(luò)信息的完整性、保密性、可用性、可信任性的行為。入侵是一個(gè)廣義的概念，不僅包括發(fā)起攻擊的人取得超出合法范圍的系統(tǒng)控制權(quán)，也包括收集漏洞信息，造成拒絕服務(wù)等危害計(jì)算機(jī)和網(wǎng)絡(luò)的行為。入侵檢測(cè)作為安全技術(shù)其作用在于：識(shí)別入侵者識(shí)別入侵行為檢測(cè)和監(jiān)視己成功的安全突破為對(duì)抗入侵及時(shí)提供重要信息，阻止事件的發(fā)生和事態(tài)的擴(kuò)大。8.1入侵檢測(cè)概述曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版通過監(jiān)視受保護(hù)系統(tǒng)的狀態(tài)和活動(dòng)，采用誤用檢測(cè)或異常檢測(cè)的方式，發(fā)現(xiàn)非授權(quán)或惡意的系統(tǒng)及網(wǎng)絡(luò)行為，為防范入侵行為提供有效的手段。8.1.1入侵檢測(cè)原理

曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版

為解決入侵檢測(cè)系統(tǒng)之間的互操作性，國(guó)際上的一些研究組織開展了標(biāo)準(zhǔn)化工作，目前對(duì)IDS進(jìn)行標(biāo)準(zhǔn)化工作的有兩個(gè)組織：IETF的IntrusionDetectionWorkingGroup（IDWG）和CommonIntrusionDetectionFramework（CIDF）。CIDF模型模型結(jié)構(gòu)如圖8-1所示。

圖8-1CIDF模型結(jié)構(gòu)圖8.1.2入侵檢測(cè)系統(tǒng)結(jié)構(gòu)

曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版從系統(tǒng)構(gòu)成上看，入侵檢測(cè)系統(tǒng)應(yīng)包括事件提取、入侵分析、入侵響應(yīng)和遠(yuǎn)程管理四大部分，另外還可能結(jié)合安全知識(shí)庫(kù)、數(shù)據(jù)存儲(chǔ)等功能模塊，提供更為完善的安全檢測(cè)及數(shù)據(jù)分析功能。如圖8-2所示。圖8-2系統(tǒng)構(gòu)成8.1.2入侵檢測(cè)系統(tǒng)結(jié)構(gòu)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版1.IDS在結(jié)構(gòu)上可劃分為數(shù)據(jù)收集和數(shù)據(jù)分析兩部分。（1）數(shù)據(jù)收集機(jī)制分布式與集中式數(shù)據(jù)收集機(jī)制。直接監(jiān)控和間接監(jiān)控?；谥鳈C(jī)的數(shù)據(jù)收集和基于網(wǎng)絡(luò)的數(shù)據(jù)收集。外部探測(cè)器和內(nèi)部探測(cè)器（2）數(shù)據(jù)分析機(jī)制根據(jù)IDS如何處理數(shù)據(jù)，可以將IDS分為分布式IDS和集中式IDS。分布式IDS：在一些與受監(jiān)視組件相應(yīng)的位置對(duì)數(shù)據(jù)進(jìn)行分析的IDS。集中式IDS：在一些固定且不受監(jiān)視組件數(shù)量限制的位置對(duì)數(shù)據(jù)進(jìn)行分析的IDS。（3）縮短數(shù)據(jù)收集與數(shù)據(jù)分析的距離在實(shí)際操作過程中，數(shù)據(jù)收集和數(shù)據(jù)分析通常被劃分成兩個(gè)步驟，在不同的時(shí)間甚至是不同的地點(diǎn)進(jìn)行。但這一分離存在著缺點(diǎn)，在實(shí)際使用過程中，數(shù)據(jù)收集與數(shù)據(jù)分析功能之間應(yīng)盡量縮短距離。8.1.2入侵檢測(cè)系統(tǒng)結(jié)構(gòu)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版

根據(jù)入侵檢測(cè)采用的技術(shù)，可以分為異常檢測(cè)和誤用檢測(cè)。根據(jù)入侵檢測(cè)監(jiān)測(cè)的對(duì)象和所處的位置，分為基于網(wǎng)絡(luò)和基于主機(jī)兩種。

1.基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)以網(wǎng)絡(luò)數(shù)據(jù)包作為分析數(shù)據(jù)源，在被監(jiān)視網(wǎng)絡(luò)的網(wǎng)絡(luò)數(shù)據(jù)流中尋找攻擊特征和異常特征。它通常利用一個(gè)土作在混雜模式卜的網(wǎng)卡來實(shí)時(shí)監(jiān)視并分析通過網(wǎng)絡(luò)的數(shù)據(jù)流，使用模式匹配、統(tǒng)計(jì)分析等技術(shù)來識(shí)別攻擊行為。一旦檢測(cè)到了攻擊行為，其響應(yīng)模塊就做出適當(dāng)?shù)捻憫?yīng)，如報(bào)警、切斷網(wǎng)絡(luò)連接等。

NIDS優(yōu)點(diǎn)是能檢測(cè)許多基于主機(jī)的系統(tǒng)檢測(cè)小到的攻擊，而更可靠：具有更好的實(shí)時(shí)特性，對(duì)受保護(hù)的主機(jī)和網(wǎng)絡(luò)系統(tǒng)的性能影響很小或幾乎沒有影響并且無需對(duì)原來的系統(tǒng)和結(jié)構(gòu)進(jìn)行改動(dòng)；網(wǎng)絡(luò)監(jiān)聽引擎是透明的，可以降低檢測(cè)系統(tǒng)本身遭受攻擊的可能性。其局限性是：無法檢測(cè)物理的侵入被監(jiān)視主機(jī)系統(tǒng)的活動(dòng)、內(nèi)部人員在授權(quán)范圍內(nèi)從事的非法活動(dòng)和在網(wǎng)絡(luò)數(shù)據(jù)包中無異常而只能通過主機(jī)狀態(tài)的異常變化才能反映出來的攻擊；在協(xié)議解析和模式匹配等方而的計(jì)算成本很高，不能檢查加密的數(shù)據(jù)包，嚴(yán)重依賴于高層協(xié)議(如應(yīng)用層)的解析能力，不知道接收節(jié)點(diǎn)對(duì)數(shù)據(jù)包的處理過程以及由此引起的狀態(tài)變化。8.1.3入侵檢測(cè)系統(tǒng)分類

曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版2．基于主機(jī)的入侵檢測(cè)系統(tǒng)基于主機(jī)的入侵檢測(cè)是將檢測(cè)系統(tǒng)安裝在被重點(diǎn)檢測(cè)的主機(jī)之上，主要是對(duì)該主機(jī)的網(wǎng)絡(luò)實(shí)時(shí)連接以及系統(tǒng)審計(jì)日志進(jìn)行智能分析和判斷。如果其中主體活動(dòng)可疑(特征或行為違反統(tǒng)計(jì)規(guī)律)，入侵檢測(cè)系統(tǒng)就會(huì)采取相應(yīng)措施。其特點(diǎn)主要是對(duì)分析“可能的攻擊行為”非常有用，不僅能夠指出入侵者試圖執(zhí)行哪種“危險(xiǎn)的命令”，還能分辨出入侵者運(yùn)行了什么命令，進(jìn)行了哪些操作、執(zhí)行了哪些系統(tǒng)調(diào)用等。主機(jī)入侵檢測(cè)系統(tǒng)與網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)相比，能夠提供更為詳盡的用戶操作調(diào)用信息。基于主機(jī)的入侵檢測(cè)系統(tǒng)有集中式和分布式兩種體系結(jié)構(gòu)，這兩種結(jié)構(gòu)都是基于代理的檢測(cè)結(jié)構(gòu)。代理是在目標(biāo)系統(tǒng)上可執(zhí)行的小程序，它們與命令控制平臺(tái)進(jìn)行通信。如果正確地操作，這些代理不會(huì)明顯地降低口標(biāo)系統(tǒng)的性能，但它們會(huì)帶來部署和支持方面的問題。8.1.3入侵檢測(cè)系統(tǒng)分類

曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版（1）集中式體系結(jié)構(gòu)該結(jié)構(gòu)的特點(diǎn)是代理負(fù)責(zé)收集來自不同目標(biāo)主機(jī)的日志，將日志進(jìn)行預(yù)處理并轉(zhuǎn)化為標(biāo)準(zhǔn)格式，山命令控制臺(tái)對(duì)這些日志集中處理。該系統(tǒng)有如下優(yōu)點(diǎn):能夠?qū)碜圆煌跇?biāo)主機(jī)的審計(jì)信息進(jìn)行集中處理，這種方式對(duì)目標(biāo)機(jī)的性能影響很小或沒有影響，這可以允許進(jìn)行更復(fù)雜的檢測(cè)?？梢詣?chuàng)建日志，作為原始數(shù)據(jù)的數(shù)據(jù)檔案，這些數(shù)據(jù)可用于起訴中?？捎糜诙嘀鳈C(jī)標(biāo)志檢測(cè)?？蓪⒋鎯?chǔ)在數(shù)據(jù)庫(kù)中的告警信息和原始數(shù)據(jù)結(jié)合起來分析，這能幫助許多入侵檢測(cè)，還可以進(jìn)行數(shù)據(jù)辨析以查看長(zhǎng)期趨勢(shì)。同時(shí)集中式系統(tǒng)也存在有以下的缺點(diǎn)：除非口標(biāo)機(jī)的數(shù)量較少或者檢測(cè)引擎很快，否則會(huì)對(duì)實(shí)時(shí)檢測(cè)或?qū)崟r(shí)響應(yīng)帶來影響。將大量原始數(shù)據(jù)集中起來會(huì)影響網(wǎng)絡(luò)通信量8.1.3入侵檢測(cè)系統(tǒng)分類

曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版（2）分布式體系結(jié)構(gòu)該結(jié)構(gòu)的特點(diǎn)是將不同的代理安裝在不同的目標(biāo)機(jī)上，實(shí)時(shí)地分析數(shù)據(jù)，但記錄本身在被目標(biāo)機(jī)上的檢測(cè)引擎分析提出有用信息之后就被丟棄了。該結(jié)構(gòu)的優(yōu)點(diǎn)是實(shí)時(shí)告警、實(shí)時(shí)響應(yīng)。缺點(diǎn)是降低了口標(biāo)機(jī)的性能，沒有原始數(shù)據(jù)檔案，降低了數(shù)據(jù)辨析能力。8.1.3入侵檢測(cè)系統(tǒng)分類

曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版

人們多年來對(duì)入侵檢測(cè)的研究，使得該研究領(lǐng)域已具有一定的規(guī)模和相應(yīng)的理論體系。入侵檢測(cè)的核心問題在于如何對(duì)安全審計(jì)數(shù)據(jù)進(jìn)行分析，以檢測(cè)其中是否包含入侵或異常行為的跡象。分析是入侵檢測(cè)的核心功能，它既能簡(jiǎn)單到像一個(gè)已熟悉日志情況的管理員去建立決策表，也能復(fù)雜得像一個(gè)集成了幾百萬個(gè)處理的非參數(shù)系統(tǒng)。入侵檢測(cè)過程分析過程分為三部分：信息收集、信息分析和結(jié)果處理。信息收集：入侵檢測(cè)的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為。由放置在不同網(wǎng)段的傳感器或不同主機(jī)的代理來收集信息，包括系統(tǒng)和網(wǎng)絡(luò)日志文件、網(wǎng)絡(luò)流量、非正常的目錄和文件改變、非正常的程序執(zhí)行。信息分析：收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等信息，被送到檢測(cè)引擎，檢測(cè)引擎駐留在傳感器中，一般通過三種技術(shù)手段進(jìn)行分析：模式匹配、統(tǒng)計(jì)分析和完整性分析。當(dāng)檢測(cè)到某種誤用模式時(shí)，產(chǎn)生一個(gè)告警并發(fā)送給控制臺(tái)。結(jié)果處理：控制臺(tái)按照告警產(chǎn)生預(yù)先定義的響應(yīng)采取相應(yīng)措施，可以是重新配置路由器或防火墻、終止進(jìn)程、切斷連接、改變文件屬性，也可以只是簡(jiǎn)單的告警。8.2入侵檢測(cè)技術(shù)

8.2.1入侵檢測(cè)分析模型曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版

誤用檢測(cè)也被稱為基于知識(shí)的檢測(cè)，它指運(yùn)用己知的攻擊方法，根據(jù)己定義好的入侵模式，通過判斷這些入侵模式是否出現(xiàn)來檢測(cè)?；谀Ｊ狡ヅ涞恼`用入侵檢測(cè)模式匹配就是將捕獲到的數(shù)據(jù)與己知網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫(kù)進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為?；趯＜蚁到y(tǒng)的誤用入侵檢測(cè)基于專家系統(tǒng)的誤用入侵檢測(cè)方法是通過將安全專家的知識(shí)表示成規(guī)則形成專家知識(shí)庫(kù)，然后運(yùn)用推理算法檢測(cè)入侵。用專家系統(tǒng)對(duì)入侵進(jìn)行檢測(cè)，經(jīng)常是針對(duì)有特征的入侵行為。所謂的規(guī)則，即是知識(shí)，專家系統(tǒng)的建立依賴于知識(shí)庫(kù)的完備性，知識(shí)庫(kù)的完備性又取決于審計(jì)記錄的完備性與實(shí)時(shí)性。在具體實(shí)現(xiàn)中，專家系統(tǒng)主要面臨以下問題:

難以科學(xué)地從各種入侵手段中抽象出全面地規(guī)則化知識(shí)；所需處理地?cái)?shù)據(jù)量過大，而且在大型系統(tǒng)上，如何實(shí)時(shí)連續(xù)地審計(jì)數(shù)據(jù)也是一個(gè)問題。8.2.2誤用檢測(cè)

曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版

異常檢測(cè)也被稱為基于行為的檢測(cè)，基于行為的檢測(cè)指根據(jù)使用者的行為或資源使用狀況來判斷是否入侵。基于行為的檢測(cè)與系統(tǒng)相對(duì)無關(guān)，通用型較強(qiáng)。異常檢測(cè)方法主要有以下兩種。

1.統(tǒng)計(jì)分析概率統(tǒng)計(jì)方法是基于行為的入侵檢測(cè)中應(yīng)用最早也是最多的一種方法。首先，檢測(cè)器根據(jù)用戶對(duì)象的動(dòng)作為每個(gè)用戶都建立一個(gè)用戶特征表，通過比較當(dāng)前特征與己存儲(chǔ)定型的以前特征，從而判斷是否是異常行為。用戶特征表需要根據(jù)審計(jì)記錄情況不斷地加以更新。

2．神經(jīng)網(wǎng)絡(luò)神經(jīng)網(wǎng)絡(luò)方法是利用一個(gè)包含很多計(jì)算單兀的網(wǎng)絡(luò)來完成復(fù)雜的映射函數(shù)，這些單元通過使用加權(quán)的連接相互作用。一個(gè)神經(jīng)網(wǎng)絡(luò)只是根據(jù)單元和它們間的權(quán)值連接編碼成網(wǎng)絡(luò)結(jié)構(gòu)，實(shí)際的學(xué)習(xí)過程是通過改變權(quán)值和加入或移去連接進(jìn)行的。神經(jīng)網(wǎng)絡(luò)處理分為兩個(gè)階段：首先，通過正常系統(tǒng)行為對(duì)該網(wǎng)絡(luò)進(jìn)行訓(xùn)練，調(diào)整其結(jié)構(gòu)和權(quán)值：然后將所觀測(cè)到的韋件流輸入網(wǎng)絡(luò)，由此判別這些事件流是正常(與訓(xùn)練數(shù)據(jù)匹配的)還是異常。同時(shí)，系統(tǒng)也能利用這些觀測(cè)到的數(shù)據(jù)進(jìn)行訓(xùn)練，從而使網(wǎng)絡(luò)可以學(xué)習(xí)系統(tǒng)行為的一些變化。8.2.3異常檢測(cè)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版1．基于規(guī)則的入侵檢測(cè)基于規(guī)則的入侵檢測(cè)是通過觀察系統(tǒng)里發(fā)生的事件并將該事件與系統(tǒng)的規(guī)則集進(jìn)行匹配，來判斷該事件是否與某條規(guī)則所代表的入侵行為相對(duì)應(yīng)?；谝?guī)則的入侵檢測(cè)分為：基于規(guī)則的異常檢測(cè)和基于規(guī)則的滲透檢測(cè)。

2．分布式入侵檢測(cè)分布式入侵檢測(cè)系統(tǒng)設(shè)計(jì)應(yīng)包含：主機(jī)代理模塊、局域網(wǎng)監(jiān)測(cè)代理模塊和中央管理器模塊三個(gè)模塊。8.2.4其他檢測(cè)技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版

為了提高IDS產(chǎn)品、組件及與其他安全產(chǎn)品之間的互操作性，美國(guó)國(guó)防高級(jí)研究計(jì)劃署（DARPA）和互聯(lián)網(wǎng)工程任務(wù)組（IETF）的入侵檢測(cè)工作組（IDWG）發(fā)起制訂了一系列建議草案，從體系結(jié)構(gòu)、API、通信機(jī)制、語言格式等方面規(guī)范IDS的標(biāo)準(zhǔn)。1．IDMEF

IDMEF描述了表示入侵檢測(cè)系統(tǒng)輸出信息的數(shù)據(jù)模型，并解釋了使用此模型的基本原理。該數(shù)據(jù)模型用XML實(shí)現(xiàn)，并設(shè)計(jì)了一個(gè)XML文檔類型定義。2．IDXP

IDXP（入侵檢測(cè)交換協(xié)議）是一個(gè)用于入侵檢測(cè)實(shí)體之間交換數(shù)據(jù)的應(yīng)用層協(xié)議，能夠?qū)崿F(xiàn)IDMEF消息、非結(jié)構(gòu)文本和二進(jìn)制數(shù)據(jù)之間的交換，并提供面向連接協(xié)議之上的雙方認(rèn)證、完整性和保密性等安全特征。

8.3入侵檢測(cè)系統(tǒng)的標(biāo)準(zhǔn)

8.3.1IETF/IDWG

曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版CIDF是一套規(guī)范，它定義了IDS表達(dá)檢測(cè)信息的標(biāo)準(zhǔn)語言以及IDS組件之間的通信協(xié)議。符合CIDF規(guī)范的IDS可以共享檢測(cè)信息，相互通信，協(xié)同工作，還可以與其它系統(tǒng)配合實(shí)施統(tǒng)一的配置響應(yīng)和恢復(fù)策略。CIDF的主要作用在于集成各種IDS使之協(xié)同工作，實(shí)現(xiàn)各IDS之間的組件重用，所以CIDF也是構(gòu)建分布式IDS的基礎(chǔ)。

CIDF的規(guī)格文檔由四部分組成，分別為：體系結(jié)構(gòu)（TheCommonIntrusionDetectionFrameworkArchitecture）規(guī)范語言（ACommonIntrusionSpecificationLanguage）內(nèi)部通訊（CommunicationintheCommonIntrusionDetectionFramework）程序接口（CommonIntrusionDetectionFrameworkAPIs）

CIDF的體系結(jié)構(gòu)文檔闡述了一個(gè)標(biāo)準(zhǔn)的IDS的通用模型；規(guī)范語言定義了一個(gè)用來描述各種檢測(cè)信息的標(biāo)準(zhǔn)語言；內(nèi)部通訊定義了IDS組件之間進(jìn)行通信的標(biāo)準(zhǔn)協(xié)議；程序接口提供了一整套標(biāo)準(zhǔn)的應(yīng)用程序接口（API函數(shù)）。

8.3.2CIDF

曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版1．入侵檢測(cè)引擎放在防火墻之外在這種情況下，入侵檢測(cè)系統(tǒng)能接收到防火墻外網(wǎng)口的所有信息，管理員可以清楚地看到所有來自Internet的攻擊，當(dāng)與防火墻聯(lián)動(dòng)時(shí)，防火墻可以動(dòng)態(tài)阻斷發(fā)生攻擊的連接。2．入侵檢測(cè)引擎放在防火墻之內(nèi)在這種情況下，穿透防火墻的攻擊與來自于局域網(wǎng)內(nèi)部的攻擊都可以被入侵檢測(cè)系統(tǒng)監(jiān)聽到，管理員可以清楚地看到哪些攻擊真正對(duì)自己的網(wǎng)絡(luò)構(gòu)成了威脅。3．防火墻內(nèi)外都裝有入侵檢測(cè)引擎在這種情況下，可以檢測(cè)來自內(nèi)部和外部的所有攻擊，管理員可以清楚地看出是否有攻擊穿透防火墻，對(duì)自己網(wǎng)絡(luò)所面對(duì)的安全威脅了如指掌。4．將入侵檢測(cè)引擎安裝在其它關(guān)鍵位置安裝在需要重點(diǎn)保護(hù)的網(wǎng)段，如財(cái)務(wù)部的子網(wǎng)，對(duì)該子網(wǎng)中發(fā)生的所有連接進(jìn)行監(jiān)控；安裝在內(nèi)部?jī)蓚€(gè)不同子網(wǎng)之間，監(jiān)視兩個(gè)子網(wǎng)之間的所有連接。根據(jù)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)的不同，入侵檢測(cè)系統(tǒng)的監(jiān)聽端口可以接在共享媒質(zhì)的集線器（Hub）上、交換機(jī)的調(diào)試端口（spanport）上、或?qū)楸O(jiān)聽所增設(shè)的分接器（Tap）上。

8.4入侵檢測(cè)系統(tǒng)部署

8.4.1入侵檢測(cè)系統(tǒng)部署的原則

曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版

國(guó)內(nèi)某省級(jí)公司，隨著業(yè)務(wù)需求的進(jìn)一步擴(kuò)展，原有的網(wǎng)絡(luò)及系統(tǒng)平臺(tái)已經(jīng)不能滿足應(yīng)用需求,必須升級(jí)優(yōu)化現(xiàn)有系統(tǒng)，其中提高網(wǎng)絡(luò)的安全性是重中之重。該公司信息系統(tǒng)基礎(chǔ)設(shè)施包括電力系統(tǒng)網(wǎng)絡(luò)、局域網(wǎng)和互聯(lián)網(wǎng)三個(gè)部分。電力系統(tǒng)網(wǎng)絡(luò)是承載該公司與各個(gè)子公司內(nèi)部業(yè)務(wù)交流的核心平臺(tái)，局域網(wǎng)是該公司內(nèi)部日常辦公的主要載體，外部信息的獲取和發(fā)布通過互聯(lián)網(wǎng)來完成。該公司的局域網(wǎng)核心交換機(jī)為CiscoCatalyst，以千兆下聯(lián)若干臺(tái)百兆交換機(jī)，均為CiscoCatalyst3524XL/3550系列交換機(jī)，并劃分了多個(gè)VLAN；在網(wǎng)絡(luò)出口處，該公司通過Cisco7401交換機(jī)與Internet連接，Internet接入邊界有最基本的安全設(shè)備，一臺(tái)硬件防火墻和一臺(tái)VPN設(shè)備。公司提供包括WWW、SMTP、FTP等互聯(lián)網(wǎng)應(yīng)用服務(wù)，目前開設(shè)了一個(gè)內(nèi)部信息發(fā)布、員工交流站點(diǎn)和一個(gè)對(duì)外展示企業(yè)形象的站點(diǎn)，公司還架設(shè)了一個(gè)供300多人使用的郵件系統(tǒng)。同時(shí)公司還擁有很多的重要應(yīng)用系統(tǒng)，其中包括企業(yè)OA系統(tǒng)和各種信息管理系統(tǒng)。目前大流量的應(yīng)用主要集中在局域網(wǎng)內(nèi)，因此局域網(wǎng)的壓力很大；大部分的應(yīng)用必須跨廣域網(wǎng)，但由于應(yīng)用剛剛起步，因此跨廣域網(wǎng)的流量不很大，隨著信息化建設(shè)的逐步深入，廣域網(wǎng)潛在的瓶頸將會(huì)嚴(yán)重影響應(yīng)用的普及；公司與各個(gè)子公司之間以VPN相連8.4.2入侵檢測(cè)系統(tǒng)部署實(shí)例

曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版1．安全需求分析用戶目前主要的管理信息系統(tǒng)包括EAM（企業(yè)設(shè)備管理系統(tǒng)EnterpriseAssetManagement）、財(cái)務(wù)系統(tǒng)、生產(chǎn)調(diào)度系統(tǒng)、辦公自動(dòng)化系統(tǒng)和生產(chǎn)調(diào)度監(jiān)視系統(tǒng)等。這些關(guān)鍵系統(tǒng)同時(shí)運(yùn)行在該公司統(tǒng)一的電力系統(tǒng)網(wǎng)絡(luò)平臺(tái)之上，系統(tǒng)之間存在業(yè)務(wù)邏輯交叉和數(shù)據(jù)交換，因此系統(tǒng)的安全具有很大的關(guān)聯(lián)性，特別是對(duì)于互聯(lián)網(wǎng)接入的安全需要特別的關(guān)注。經(jīng)過一段時(shí)間的檢測(cè)分析發(fā)現(xiàn)，該用戶網(wǎng)絡(luò)主要存在如下威脅：a.網(wǎng)上存在大量的端口掃描試探、發(fā)送垃圾郵件等網(wǎng)絡(luò)濫用行為；b.發(fā)現(xiàn)部分主機(jī)由于未及時(shí)安裝補(bǔ)丁程序或設(shè)置不當(dāng)、口令強(qiáng)度不夠等原因而被黑客入侵，并被安裝后門程序；c拒絕服務(wù)攻擊發(fā)生頻率不高，但一般影響較大；d.蠕蟲病毒傳播和泛濫，危害不可小視。

2．部署實(shí)施策略盡管防火墻能夠通過強(qiáng)化網(wǎng)絡(luò)安全策略抵御來自外部網(wǎng)絡(luò)的非法訪問，但對(duì)網(wǎng)絡(luò)內(nèi)部發(fā)起的攻擊無能為力。為此，采用了榕基基于網(wǎng)絡(luò)的實(shí)時(shí)入侵檢測(cè)技術(shù)，動(dòng)態(tài)監(jiān)測(cè)來自于外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的所有訪問行為。當(dāng)檢測(cè)到來自內(nèi)外網(wǎng)絡(luò)針對(duì)或通過防火墻的攻擊行為，會(huì)及時(shí)響應(yīng)，并通知防火墻實(shí)時(shí)阻斷攻擊源，從而進(jìn)一步提高了系統(tǒng)的抗攻擊能力，更有效地保護(hù)了網(wǎng)絡(luò)資源，提高了防御體系級(jí)別。

7.8防火墻發(fā)展動(dòng)態(tài)與趨勢(shì)

曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版入侵檢測(cè)系統(tǒng)可以和防火墻獲取相同的網(wǎng)絡(luò)數(shù)據(jù)，當(dāng)入侵檢測(cè)系統(tǒng)發(fā)現(xiàn)異常攻擊時(shí)，立即通知防火墻，防火墻迅速做出反應(yīng)阻止當(dāng)前攻擊事件的繼續(xù)，從而使得攻擊失敗，這樣的防御體系能夠?qū)糇鞒鰧?shí)時(shí)的防御，達(dá)到安全處理應(yīng)急事件的目的。目前榕基RJ-IDS入侵檢測(cè)系統(tǒng)已經(jīng)可以和市場(chǎng)上大部分主流防火墻（超過20種）進(jìn)行聯(lián)動(dòng)阻斷入侵者，如天融信、東軟、億陽(yáng)、三星等。根據(jù)用戶網(wǎng)絡(luò)的實(shí)際狀況，在千兆主干網(wǎng)絡(luò)上部署了具備超強(qiáng)檢測(cè)能力的榕基千兆型網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)RJ-IDS1000-F，以此檢測(cè)逃避防火墻攔截的攻擊流。在內(nèi)部網(wǎng)段上，由于最可能受到的是來自內(nèi)部人員的攻擊和內(nèi)植木馬病毒的攻擊，所以在各個(gè)VLAN內(nèi)部部署百兆型網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)RJ-IDS100，隨時(shí)檢測(cè)內(nèi)部的網(wǎng)絡(luò)威脅。榕基RJ-IDS入侵檢測(cè)系統(tǒng)是一個(gè)分布式的基于B/S的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。分布式的結(jié)構(gòu)利于應(yīng)用的擴(kuò)展，B/S結(jié)構(gòu)應(yīng)用在網(wǎng)絡(luò)環(huán)境中非常方便。實(shí)時(shí)地將告警日志按各種條件進(jìn)行分類有助于幫助管理員迅速地發(fā)現(xiàn)某些特定攻擊。榕基RJ-IDS入侵檢測(cè)系統(tǒng)可以按多種標(biāo)準(zhǔn)動(dòng)態(tài)地切換告警日志的分類，包括高、中、低風(fēng)險(xiǎn)、資產(chǎn)等，對(duì)歷史攻擊事件可以進(jìn)行事件分析綜合查詢。經(jīng)過一段時(shí)間的運(yùn)行，榕基RJ-IDS入侵檢測(cè)系統(tǒng)在防范外部攻擊和阻止內(nèi)部非法訪問方面取得了良好的成效，根據(jù)統(tǒng)計(jì)分析后的數(shù)據(jù)顯示，部署后該用戶的網(wǎng)絡(luò)安全狀態(tài)得到了極大的改善，網(wǎng)絡(luò)中信息流通更加暢通，企業(yè)員工的滿意度很高。曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版

特征(Signature)的基本概念：IDS中的特征一般指用于判別通訊信息種類的特征數(shù)據(jù)，以下是一些典型情況及識(shí)別方法：來自保留IP地址的連接企圖：可通過檢查IP報(bào)頭(IPheader)的來源地址輕易地識(shí)別。帶有非法TCP標(biāo)識(shí)的數(shù)據(jù)包：可通過對(duì)比TCP報(bào)頭中的標(biāo)志集與已知正確和錯(cuò)誤標(biāo)記的不同點(diǎn)來識(shí)別。含有特殊病毒信息的Email：可通過對(duì)比每封Email的主題信息和病態(tài)Email的主題信息來識(shí)別，或者通過搜索特定名字的附件來識(shí)別。查詢負(fù)載中的DNS緩沖區(qū)溢出企圖：可通過解析DNS域及檢查每個(gè)域的長(zhǎng)度來識(shí)別利用DNS域的緩沖區(qū)溢出企圖；還有另外一個(gè)識(shí)別方法是，在負(fù)載中搜索“殼代碼利用”(ExploitShellcode)的序列代碼組合。針對(duì)POP3服務(wù)器的