入侵檢測(cè)系統(tǒng)模型課件

版權(quán)所有，盜版必糾第3章入侵檢測(cè)系統(tǒng)模型李劍北京郵電大學(xué)信息安全中心E-mail:lijian@電話：130－01936882版權(quán)所有，盜版必糾第3章入侵檢測(cè)系統(tǒng)模型版權(quán)所有，盜版必糾概述 所有的入侵檢測(cè)系統(tǒng)模型都是由三部分組成的，它們是信息收集模塊、信息分析模塊和告警與響應(yīng)模塊，如圖3.1所示。本節(jié)來(lái)分別講述這三塊的功能與作用。版權(quán)所有，盜版必糾概述 所有的入侵檢測(cè)系版權(quán)所有，盜版必糾概述

版權(quán)所有，盜版必糾概述 版權(quán)所有，盜版必糾3.1入侵檢測(cè)系統(tǒng)模型概述 入侵檢測(cè)系統(tǒng)，顧名思義，便是對(duì)入侵行為的發(fā)覺。它通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。版權(quán)所有，盜版必糾3.1入侵檢測(cè)系統(tǒng)模型概述 入版權(quán)所有，盜版必糾3.1入侵檢測(cè)系統(tǒng)模型概述IDS發(fā)展到目前，按照不同的角度區(qū)分，已經(jīng)出現(xiàn)了主機(jī)基和網(wǎng)絡(luò)基的入侵檢測(cè)系統(tǒng);基于模式匹配、異常行為、協(xié)議分析等檢測(cè)技術(shù)的系統(tǒng)。第四代入侵檢測(cè)技術(shù)是主機(jī)基+網(wǎng)絡(luò)基+安全管理+協(xié)議分析+模式匹配+異常統(tǒng)計(jì)，它的優(yōu)點(diǎn)在于入侵檢測(cè)和多項(xiàng)技術(shù)協(xié)同工作，建立全局的主動(dòng)保障體系，誤報(bào)率、漏報(bào)率、濫報(bào)率較低，效率高，可管理性強(qiáng)，并實(shí)現(xiàn)了多級(jí)的分布式的檢測(cè)管理，網(wǎng)絡(luò)基和主機(jī)基入侵檢測(cè)，協(xié)議分析和模式匹配以及異常統(tǒng)計(jì)相結(jié)合，取長(zhǎng)補(bǔ)短，可以進(jìn)行更有效的檢測(cè)。版權(quán)所有，盜版必糾3.1入侵檢測(cè)系統(tǒng)模型概述版權(quán)所有，盜版必糾3.1入侵檢測(cè)系統(tǒng)模型概述美中不足的是，IDS普遍存在誤報(bào)問(wèn)題，導(dǎo)致入侵檢測(cè)的實(shí)用性大打折扣，采用智能處理模塊解決這個(gè)問(wèn)題，智能處理模塊包括下面功能:1.全面集成入侵檢測(cè)技術(shù)，將多個(gè)代理傳送到管理器的數(shù)據(jù)整合起來(lái)，經(jīng)過(guò)智能處理，將小比例的多個(gè)事件整合形成一個(gè)放大的全面事件圖。2.對(duì)于一個(gè)特定的漏洞和攻擊方法，IDS先分析系統(tǒng)是否會(huì)因?yàn)檫@個(gè)缺陷而被入侵，然后再考慮與入侵檢測(cè)的關(guān)聯(lián)(報(bào)警)。版權(quán)所有，盜版必糾3.1入侵檢測(cè)系統(tǒng)模型概述版權(quán)所有，盜版必糾3.1入侵檢測(cè)系統(tǒng)模型概述3.用戶自定義規(guī)則:用戶可以根據(jù)漏洞掃描系統(tǒng)評(píng)估自己的系統(tǒng)，根據(jù)服務(wù)器操作系統(tǒng)類型，所提供的服務(wù)以及根據(jù)漏洞掃描結(jié)果制定屬于自己的規(guī)則文件。這對(duì)管理員提出了更高的要求。4.采用先進(jìn)的協(xié)議分析+模式匹配(濫用檢測(cè)和異常檢測(cè)結(jié)合使用)+異常統(tǒng)計(jì)的檢測(cè)分析方法。版權(quán)所有，盜版必糾3.1入侵檢測(cè)系統(tǒng)模型概述3.用戶自定版權(quán)所有，盜版必糾3.1入侵檢測(cè)系統(tǒng)模型概述圖：版權(quán)所有，盜版必糾3.1入侵檢測(cè)系統(tǒng)模型概述圖：版權(quán)所有，盜版必糾3.2信息收集入侵檢測(cè)的第一步是信息收集，內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為。而且，需要在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)（不同網(wǎng)段和不同主機(jī)）收集信息，這除了盡可能擴(kuò)大檢測(cè)范圍的因素外，還有一個(gè)重要的因素就是從一個(gè)源來(lái)的信息有可能看不出疑點(diǎn)，但從幾個(gè)源來(lái)的信息的不一致性卻是可疑行為或入侵的最好標(biāo)識(shí)。版權(quán)所有，盜版必糾3.2信息收集入侵檢測(cè)的版權(quán)所有，盜版必糾3.2信息收集當(dāng)然，入侵檢測(cè)很大程度上依賴于收集信息的可靠性和正確性，因此，很有必要只利用所知道的真正的和精確的軟件來(lái)報(bào)告這些信息。因?yàn)楹诳徒?jīng)常替換軟件以搞混和移走這些信息，例如替換被程序調(diào)用的子程序、庫(kù)和其它工具。黑客對(duì)系統(tǒng)的修改可能使系統(tǒng)功能失常并看起來(lái)跟正常的一樣，而實(shí)際上不是。例如，UNIX系統(tǒng)的PS指令可以被替換為一個(gè)不顯示侵入過(guò)程的指令，或者是編輯器被替換成一個(gè)讀取不同于指定文件的文件（黑客隱藏了初試文件并用另一版本代替）。這需要保證用來(lái)檢測(cè)網(wǎng)絡(luò)系統(tǒng)的軟件的完整性，特別是入侵檢測(cè)系統(tǒng)軟件本身應(yīng)具有相當(dāng)強(qiáng)的堅(jiān)固性，防止被篡改而收集到錯(cuò)誤的信息。版權(quán)所有，盜版必糾3.2信息收集當(dāng)然，入侵檢測(cè)版權(quán)所有，盜版必糾3.2信息收集3.2.1信息收集概述數(shù)據(jù)收集機(jī)制在IDS中占據(jù)著舉足輕重的位置。如果收集的數(shù)據(jù)時(shí)延較大，檢測(cè)就會(huì)失去作用；如果數(shù)據(jù)不完整，系統(tǒng)的檢測(cè)能力就會(huì)下降；如果由于錯(cuò)誤或入侵者的行為致使收集的數(shù)據(jù)不正確，IDS就會(huì)無(wú)法檢測(cè)某些入侵，給用戶以安全的假象。1．分布式與集中式數(shù)據(jù)收集機(jī)制(1)分布式數(shù)據(jù)收集：檢測(cè)系統(tǒng)收集的數(shù)據(jù)來(lái)自一些固定位置而且與受監(jiān)視的網(wǎng)元數(shù)量無(wú)關(guān)。(2)集中式數(shù)據(jù)收集：檢測(cè)系統(tǒng)收集的數(shù)據(jù)來(lái)自一些與受監(jiān)視的網(wǎng)元數(shù)量有一定比例關(guān)系的位置。版權(quán)所有，盜版必糾3.2信息收集3.2.1信息收集概述版權(quán)所有，盜版必糾3.2信息收集2．直接監(jiān)控和間接監(jiān)控如果IDS從它所監(jiān)控的對(duì)象處直接獲得數(shù)據(jù)，則稱為直接監(jiān)控；反之，如果IDS依賴一個(gè)單獨(dú)的進(jìn)程或工具獲得數(shù)據(jù)，則稱為間接監(jiān)控。就檢測(cè)入侵行為而言，直接監(jiān)控要優(yōu)于間接監(jiān)控，由于直接監(jiān)控操作的復(fù)雜性，目前的IDS產(chǎn)品中只有不足20%使用了直接監(jiān)控機(jī)制。版權(quán)所有，盜版必糾3.2信息收集2．直接監(jiān)控和間接監(jiān)控版權(quán)所有，盜版必糾3.2信息收集3．基于主機(jī)的數(shù)據(jù)收集和基于網(wǎng)絡(luò)的數(shù)據(jù)收集基于主機(jī)的數(shù)據(jù)收集是從所監(jiān)控的主機(jī)上獲取的數(shù)據(jù)；基于網(wǎng)絡(luò)的數(shù)據(jù)收集是通過(guò)被監(jiān)視網(wǎng)絡(luò)中的數(shù)據(jù)流獲得數(shù)據(jù)?？傮w而言，基于主機(jī)的數(shù)據(jù)收集要優(yōu)于基于網(wǎng)絡(luò)的數(shù)據(jù)收集。版權(quán)所有，盜版必糾3.2信息收集3．基于主機(jī)的數(shù)據(jù)收集和版權(quán)所有，盜版必糾3.2信息收集4．外部探測(cè)器和內(nèi)部探測(cè)器(1)外部探測(cè)器是負(fù)責(zé)監(jiān)測(cè)主機(jī)中某個(gè)組件（硬件或軟件）的軟件。它將向IDS提供所需的數(shù)據(jù)，這些操作是通過(guò)獨(dú)立于系統(tǒng)的其他代碼來(lái)實(shí)施的。(2)內(nèi)部探測(cè)器是負(fù)責(zé)監(jiān)測(cè)主機(jī)中某個(gè)組件（硬件或軟件）的軟件。它將向IDS提供所需的數(shù)據(jù)，這些操作是通過(guò)該組件的代碼來(lái)實(shí)施的。外部探測(cè)器和內(nèi)部探測(cè)器在用于數(shù)據(jù)收集時(shí)各有利弊，可以綜合使用。由于內(nèi)部探測(cè)器實(shí)現(xiàn)起來(lái)的難度較大，所以在現(xiàn)有的IDS產(chǎn)品中，只有很少的一部分采用它。版權(quán)所有，盜版必糾3.2信息收集4．外部探測(cè)器和內(nèi)部探版權(quán)所有，盜版必糾3.2信息收集3.2.2信息源的獲取入侵檢測(cè)利用的信息源一般來(lái)自以下四個(gè)方面：1.系統(tǒng)和網(wǎng)絡(luò)日志文件黑客經(jīng)常在系統(tǒng)日志文件中留下他們的蹤跡，因此，充分利用系統(tǒng)和網(wǎng)絡(luò)日志文件信息是檢測(cè)入侵的必要條件。日志中包含發(fā)生在系統(tǒng)和網(wǎng)絡(luò)上的不尋常和不期望活動(dòng)的證據(jù)，這些證據(jù)可以指出有人正在入侵或已成功入侵了系統(tǒng)。通過(guò)查看日志文件，能夠發(fā)現(xiàn)成功的入侵或入侵企圖，并很快地啟動(dòng)相應(yīng)的應(yīng)急響應(yīng)程序。日志文件中記錄了各種行為類型，每種類型又包含不同的信息，例如記錄“用戶活動(dòng)”類型的日志，就包含登錄、用戶ID改變、用戶對(duì)文件的訪問(wèn)、授權(quán)和認(rèn)證信息等內(nèi)容。很顯然地，對(duì)用戶活動(dòng)來(lái)講，不正常的或不期望的行為就是重復(fù)登錄失敗、登錄到不期望的位置以及非授權(quán)的企圖訪問(wèn)重要文件等等。版權(quán)所有，盜版必糾3.2信息收集3.2.2信息源的獲取版權(quán)所有，盜版必糾3.2信息收集2.目錄和文件中的不期望的改變網(wǎng)絡(luò)環(huán)境中的文件系統(tǒng)包含很多軟件和數(shù)據(jù)文件，包含重要信息的文件和私有數(shù)據(jù)文件經(jīng)常是黑客修改或破壞的目標(biāo)。目錄和文件中的不期望的改變（包括修改、創(chuàng)建和刪除），特別是那些正常情況下限制訪問(wèn)的，很可能就是一種入侵產(chǎn)生的指示和信號(hào)。黑客經(jīng)常替換、修改和破壞他們獲得訪問(wèn)權(quán)的系統(tǒng)上的文件，同時(shí)為了隱藏系統(tǒng)中他們的表現(xiàn)及活動(dòng)痕跡，都會(huì)盡力去替換系統(tǒng)程序或修改系統(tǒng)日志文件。版權(quán)所有，盜版必糾3.2信息收集2.目錄和文件中的不期版權(quán)所有，盜版必糾3.2信息收集3.程序執(zhí)行中的不期望行為網(wǎng)絡(luò)系統(tǒng)上的程序執(zhí)行一般包括操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)、用戶起動(dòng)的程序和特定目的的應(yīng)用，例如數(shù)據(jù)庫(kù)服務(wù)器。每個(gè)在系統(tǒng)上執(zhí)行的程序由一到。每個(gè)進(jìn)程執(zhí)行在具有不同權(quán)限的環(huán)境中，這種環(huán)境控制著進(jìn)程可訪問(wèn)的系統(tǒng)資源、程序和數(shù)據(jù)文件等。一個(gè)進(jìn)程的執(zhí)行行為由它運(yùn)行時(shí)執(zhí)行的操作來(lái)表現(xiàn)，操作執(zhí)行的方式不同，它利用的系統(tǒng)資源也就不同。操作包括計(jì)算、文件傳輸、設(shè)備和其它進(jìn)程，以及與網(wǎng)絡(luò)間其它進(jìn)程的通訊。版權(quán)所有，盜版必糾3.2信息收集3.程序執(zhí)行中的不期望版權(quán)所有，盜版必糾3.2信息收集4.物理形式的入侵信息這包括兩個(gè)方面的內(nèi)容，一是未授權(quán)的對(duì)網(wǎng)絡(luò)硬件連接；二是對(duì)物理資源的未授權(quán)訪問(wèn)。黑客會(huì)想方設(shè)法去突破網(wǎng)絡(luò)的周邊防衛(wèi)，如果他們能夠在物理上訪問(wèn)內(nèi)部網(wǎng)，就能安裝他們自己的設(shè)備和軟件。依此，黑客就可以知道網(wǎng)上的由用戶加上去的不安全（未授權(quán)）設(shè)備，然后利用這些設(shè)備訪問(wèn)網(wǎng)絡(luò)。例如，用戶在家里可能安裝Modem以訪問(wèn)遠(yuǎn)程辦公室，與此同時(shí)黑客正在利用自動(dòng)工具來(lái)識(shí)別在公共電話線上的Modem，如果撥號(hào)訪問(wèn)流量經(jīng)過(guò)了這些自動(dòng)工具，那么這一撥號(hào)訪問(wèn)就成為了威脅網(wǎng)絡(luò)安全的后門。黑客就會(huì)利用這個(gè)后門來(lái)訪問(wèn)內(nèi)部網(wǎng)，從而越過(guò)了內(nèi)部網(wǎng)絡(luò)原有的防護(hù)措施，然后捕獲網(wǎng)絡(luò)流量，進(jìn)而攻擊其它系統(tǒng)，并偷取敏感的私有信息等等。版權(quán)所有，盜版必糾3.2信息收集4.物理形式的入侵信息版權(quán)所有，盜版必糾3.2信息收集3.2.3信息的標(biāo)準(zhǔn)化不同的入侵檢測(cè)產(chǎn)品(如Snort，RealSecure等)之間或同一個(gè)入侵檢測(cè)產(chǎn)品內(nèi)部各個(gè)模塊之間通常使用各自定義的信息描述語(yǔ)言和格式，沒(méi)有一個(gè)統(tǒng)一的標(biāo)準(zhǔn)接口，從而使得它們之間不能很好地溝通與協(xié)作。目前，OWL(WebOntologyLanguage)已經(jīng)逐漸成為語(yǔ)義信息描述的事實(shí)標(biāo)準(zhǔn)，正在為越來(lái)越多的系統(tǒng)所應(yīng)用。這里將介紹入侵檢測(cè)系統(tǒng)中一套完整的基于OWL的信息描述機(jī)制。版權(quán)所有，盜版必糾3.2信息收集3.2.3信息的標(biāo)準(zhǔn)化版權(quán)所有，盜版必糾3.2信息收集3.2.3信息的標(biāo)準(zhǔn)化1.相關(guān)研究目前的知識(shí)描述語(yǔ)言有許多種，如XML，RDF，DAML，DAML+OIL和OWL等。XML是Web上數(shù)據(jù)交換的標(biāo)準(zhǔn)，它可以表達(dá)任意結(jié)構(gòu)的數(shù)據(jù)，但是它在表示數(shù)據(jù)的語(yǔ)義方面不是很強(qiáng)。Ontology本體可以較為有效地解決信息之間的語(yǔ)義不確定等問(wèn)題。目前語(yǔ)義Web上的Ontology表示語(yǔ)言主要有RDF、OIL(OntologyInterchangeLanguage)、DAML(DarpaAgentMarkupLanguage)、DAML與OIL結(jié)合起來(lái)而產(chǎn)生的DAML+OIL、OWL。版權(quán)所有，盜版必糾3.2信息收集3.2.3信息的標(biāo)準(zhǔn)化版權(quán)所有，盜版必糾3.2信息收集3.2.3信息的標(biāo)準(zhǔn)化RDF是一種簡(jiǎn)單的Ontology表示語(yǔ)言。但是RDF的缺點(diǎn)是其表達(dá)能力差，例如，它沒(méi)有變量，它只支持字符型，不支持整型、實(shí)型等其它簡(jiǎn)單數(shù)據(jù)類型。它只有屬性的Domain和range約束，沒(méi)有否定，沒(méi)有傳遞屬性transitive、互反屬性inverse，不能表示等價(jià)性和不相交性、沒(méi)有類成員的充分必要條件，不能描述等價(jià)性等。OIL以RDF為起點(diǎn)，用更為豐富的Ontology建模原語(yǔ)對(duì)RDFScheme進(jìn)行擴(kuò)充。OIL的缺點(diǎn)是它不能表達(dá)類或?qū)傩缘牡葍r(jià)性。版權(quán)所有，盜版必糾3.2信息收集3.2.3信息的標(biāo)準(zhǔn)化版權(quán)所有，盜版必糾3.2信息收集3.2.3信息的標(biāo)準(zhǔn)化在RDF和OIL的基礎(chǔ)上，DAML嘗試將RDF和OIL的優(yōu)點(diǎn)結(jié)合起來(lái)產(chǎn)生了DAML+OIL。OWL是W3C在DAML+OIL基礎(chǔ)上近幾年發(fā)展起來(lái)的。它與DAML+OIL的實(shí)質(zhì)區(qū)別體現(xiàn)為OWL通過(guò)選擇Web本體取消了有條件的數(shù)量限制并直接說(shuō)明屬性是對(duì)稱的；減少了一些不規(guī)則的DAML+OIL結(jié)構(gòu)抽象語(yǔ)法,特別是對(duì)外層組件的約束和它們意義的差別；各種結(jié)構(gòu)名稱也有改變?；谝陨显?，這里選擇了OWL作為IDS的信息描述工具。版權(quán)所有，盜版必糾3.2信息收集3.2.3信息的標(biāo)準(zhǔn)化版權(quán)所有，盜版必糾3.2信息收集2.基于OWL的信息描述解決方案這里將采用OWL作為整個(gè)分布式IDS中信息描述的工具，并以一個(gè)入侵檢測(cè)實(shí)例為例說(shuō)明方案的實(shí)現(xiàn)過(guò)程。如圖3.3所示為基于OWL信息描述的IDS模型。版權(quán)所有，盜版必糾3.2信息收集2.基于OWL的信息描版權(quán)所有，盜版必糾3.2信息收集整個(gè)安全模型由安全管理平臺(tái)，事件分析器，感應(yīng)器和數(shù)據(jù)源組成。由系統(tǒng)安全管理員制定安全策略，并通過(guò)安全管理平臺(tái)分發(fā)給各個(gè)事件分析器。數(shù)據(jù)源包括來(lái)自網(wǎng)絡(luò)和主機(jī)的各種信息。感應(yīng)器可以是不同種類的分布式安全部件代理，它們將收集到的安全信息傳給事件分析器進(jìn)行安全分析。分析器再將分析后的結(jié)果通過(guò)網(wǎng)絡(luò)安全管理平臺(tái)傳輸給安全管理員，管理員再對(duì)安全事件進(jìn)行響應(yīng)。版權(quán)所有，盜版必糾3.2信息收集整個(gè)安全模型由安版權(quán)所有，盜版必糾3.2信息收集

在IDS的消息描述方面最出名的是入侵檢測(cè)工作組IDWG提出的入侵檢測(cè)交換格式IDMEF(IntrusionDetectionMessageExchangeFormat)。它是一種基于XML的網(wǎng)絡(luò)入侵檢測(cè)告警信息描述標(biāo)準(zhǔn)，它針對(duì)IDS而設(shè)計(jì)，具有良好的開放性、可擴(kuò)展性和商業(yè)互操作性。IDMEF僅僅對(duì)網(wǎng)絡(luò)安全告警信息和設(shè)備心跳信息進(jìn)行了描述，并且采用DTD(DocumentTypeDefinition)作為對(duì)XML數(shù)據(jù)的約束。版權(quán)所有，盜版必糾3.2信息收集在IDS的消息描述版權(quán)所有，盜版必糾3.2信息收集IDMEF數(shù)據(jù)模型是一種面向?qū)ο蟮娜肭謾z測(cè)告警信息和設(shè)備心跳信息描述模型。如圖3.4所示,在IDMEF-Message根類中包含兩個(gè)了類：Alert和HeartBeat。它們和IDMEF-Message之間是繼承關(guān)系，它繼承了IDMEF-Message的所有屬性。Alert和HeartBeat分別用于對(duì)安全告警信息和設(shè)備心跳信息進(jìn)行描述。版權(quán)所有，盜版必糾3.2信息收集IDMEF數(shù)據(jù)模版權(quán)所有，盜版必糾3.2信息收集IDMEF版權(quán)所有，盜版必糾3.2信息收集IDMEF版權(quán)所有，盜版必糾3.2信息收集4.IDS中基于OWL的安全消息通信機(jī)制在圖3.2基于OWL信息描述的IDS模型當(dāng)中，多個(gè)感應(yīng)器可以和事件分析器之間可以采用基于OWL的消息機(jī)制進(jìn)行通信?？紤]到感知器的異構(gòu)性、通信的安全性、系統(tǒng)的效率等問(wèn)題，通信機(jī)制主要要求以下兩點(diǎn)：(1)將異構(gòu)的感知檢測(cè)到的信息采用統(tǒng)一的數(shù)據(jù)格式，這里采用基于OWL的信息描述。(2)保證通信的安全性。其通信模型如圖3.5所示：版權(quán)所有，盜版必糾3.2信息收集4.IDS中基于OWL版權(quán)所有，盜版必糾3.2信息收集其通信模型如圖3.5所示：版權(quán)所有，盜版必糾3.2信息收集其通信模型如圖3.5所示版權(quán)所有，盜版必糾3.2信息收集在IDS中，感知器和事件分析器之間進(jìn)行通信的時(shí)候，分為兩層：OWL層和SSL層。OWL層負(fù)責(zé)使用OWL語(yǔ)言將感知器收集到的信息轉(zhuǎn)換成統(tǒng)一的OWL語(yǔ)言字符串。SSL層使用SSL協(xié)議進(jìn)行通信。通信的時(shí)候，首先感知器與事件分析器之間建立SSL安全會(huì)話，經(jīng)過(guò)雙方進(jìn)行身份認(rèn)證之后，感知器將OWL層生在成的消息進(jìn)行RSA加密，然后通過(guò)SSL層傳輸給事件分析器。事件分析器收到加密的OWL消息之后進(jìn)行解密，然后再進(jìn)行OWL消息解析，以得到原始發(fā)送過(guò)來(lái)的消息。OWL消息解析的時(shí)候可以使用惠普公司的免費(fèi)軟件Jena。版權(quán)所有，盜版必糾3.2信息收集在IDS中，感知版權(quán)所有，盜版必糾3.3信息分析對(duì)上一節(jié)收集到的四類有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等信息，一般通過(guò)三種技術(shù)手段進(jìn)行分析：模式匹配，統(tǒng)計(jì)分析和完整性分析。其中前兩種方法用于實(shí)時(shí)的入侵檢測(cè)，而完整性分析則用于事后分析。版權(quán)所有，盜版必糾3.3信息分析對(duì)上一節(jié)收集到的四類版權(quán)所有，盜版必糾3.3信息分析3.3.1模式匹配

模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫(kù)進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。該過(guò)程可以很簡(jiǎn)單（如通過(guò)字符串匹配以尋找一個(gè)簡(jiǎn)單的條目或指令），也可以很復(fù)雜（如利用正規(guī)的數(shù)學(xué)表達(dá)式來(lái)表示安全狀態(tài)的變化）。一般來(lái)講，一種進(jìn)攻模式可以用一個(gè)過(guò)程（如執(zhí)行一條指令）或一個(gè)輸出（如獲得權(quán)限）來(lái)表示。該方法的一大優(yōu)點(diǎn)是只需收集相關(guān)的數(shù)據(jù)集合，顯著減少系統(tǒng)負(fù)擔(dān)，且技術(shù)已相當(dāng)成熟。它與病毒防火墻采用的方法一樣，檢測(cè)準(zhǔn)確率和效率都相當(dāng)高。但是，該方法存在的弱點(diǎn)是需要不斷的升級(jí)以對(duì)付不斷出現(xiàn)的黑客攻擊手法，不能檢測(cè)到從未出現(xiàn)過(guò)的黑客攻擊手段。版權(quán)所有，盜版必糾3.3信息分析3.3.1模式匹配版權(quán)所有，盜版必糾3.3信息分析3.3.2統(tǒng)計(jì)分析

統(tǒng)計(jì)分析方法通常用于異常入侵檢測(cè)當(dāng)中，它首先給系統(tǒng)對(duì)象（如用戶、文件、目錄和設(shè)備等）創(chuàng)建一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性（如訪問(wèn)次數(shù)、操作失敗次數(shù)和延時(shí)等）。測(cè)量屬性的平均值將被用來(lái)與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，任何觀察值在正常值范圍之外時(shí)，就認(rèn)為有入侵發(fā)生。例如，統(tǒng)計(jì)分析可能標(biāo)識(shí)一個(gè)不正常行為，因?yàn)樗l(fā)現(xiàn)一個(gè)在晚八點(diǎn)至早六點(diǎn)不登錄的帳戶卻在凌晨?jī)牲c(diǎn)試圖登錄。其優(yōu)點(diǎn)是可檢測(cè)到未知的入侵和更為復(fù)雜的入侵，缺點(diǎn)是誤報(bào)、漏報(bào)率高，且不適應(yīng)用戶正常行為的突然改變。具體的統(tǒng)計(jì)分析方法如基于專家系統(tǒng)的、基于模型推理的和基于神經(jīng)網(wǎng)絡(luò)的分析方法，目前正處于研究熱點(diǎn)和迅速發(fā)展之中。版權(quán)所有，盜版必糾3.3信息分析3.3.2統(tǒng)計(jì)分析版權(quán)所有，盜版必糾3.3信息分析3.3.3完整性分析完整性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓?，這經(jīng)常包括文件和目錄的內(nèi)容及屬性，它在發(fā)現(xiàn)被更改的、被木馬化的應(yīng)用程序方面特別有效。完整性分析利用強(qiáng)有力的加密機(jī)制，稱為消息摘要函數(shù)（例如MD5），它能識(shí)別哪怕是微小的變化。其優(yōu)點(diǎn)是不管模式匹配方法和統(tǒng)計(jì)分析方法能否發(fā)現(xiàn)入侵，只要是成功的攻擊導(dǎo)致了文件或其它對(duì)象的任何改變，它都能夠發(fā)現(xiàn)。缺點(diǎn)是一般以批處理方式實(shí)現(xiàn)，不用于實(shí)時(shí)響應(yīng)。盡管如此，完整性檢測(cè)方法還應(yīng)該是網(wǎng)絡(luò)安全產(chǎn)品的必要手段之一。例如，可以在每一天的某個(gè)特定時(shí)間內(nèi)開啟完整性分析模塊，對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行全面地掃描檢查。版權(quán)所有，盜版必糾3.3信息分析3.3.3完整性分析版權(quán)所有，盜版必糾3.3信息分析3.3.4數(shù)據(jù)分析機(jī)制根據(jù)IDS如何處理數(shù)據(jù)，可以將IDS分為分布式IDS和集中式IDS。1.分布式IDS：在一些與受監(jiān)視組件相應(yīng)的位置對(duì)數(shù)據(jù)進(jìn)行分析的IDS。2.集中式IDS：在一些固定且不受監(jiān)視組件數(shù)量限制的位置對(duì)數(shù)據(jù)進(jìn)行分析的IDS。這些定義是基于受監(jiān)視組件的數(shù)量而不是主機(jī)的數(shù)量，所以如果在系統(tǒng)中的不同組件中進(jìn)行數(shù)據(jù)分析，除了安裝集中式IDS外，有可能在一個(gè)主機(jī)中安裝分布式數(shù)據(jù)分析的IDS。分布式和集中式IDS都可以使用基于主機(jī)、基于網(wǎng)絡(luò)或兩者兼?zhèn)涞臄?shù)據(jù)收集方式。版權(quán)所有，盜版必糾3.3信息分析3.3.4數(shù)據(jù)分析機(jī)制版權(quán)所有，盜版必糾3.3信息分析3.3.4數(shù)據(jù)分析機(jī)制分布式IDS與集中式IDS的特點(diǎn)比較如下: 1.可靠性集中式：僅需運(yùn)行較少的組件；分布式：需要運(yùn)行較多的組件。

2.容錯(cuò)性集中式：容易使系統(tǒng)從崩潰中恢復(fù)，但也容易被故障中斷。分布式：由于分布特性，所有數(shù)據(jù)存儲(chǔ)時(shí)很難保持一致性和可恢復(fù)性。版權(quán)所有，盜版必糾3.3信息分析3.3.4數(shù)據(jù)分析機(jī)制版權(quán)所有，盜版必糾3.3信息分析3.3.4數(shù)據(jù)分析機(jī)制3.增加額外的系統(tǒng)開銷集中式：僅在分析組件中增加了一些開銷，那些被賦予了大量負(fù)載的主機(jī)應(yīng)專門用作分析。分布式：由于運(yùn)行的組件不大，主機(jī)上增加的開銷很小，但對(duì)大部分被監(jiān)視的主機(jī)增加了額外開銷。版權(quán)所有，盜版必糾3.3信息分析3.3.4數(shù)據(jù)分析機(jī)制版權(quán)所有，盜版必糾3.3信息分析3.3.4數(shù)據(jù)分析機(jī)制4.可擴(kuò)容性集中式：IDS的組件數(shù)量被限定，當(dāng)被監(jiān)視主機(jī)的數(shù)量增加時(shí)，需要更多的計(jì)算和存儲(chǔ)資源處理新增的負(fù)載。分布式：分布式系統(tǒng)可以通過(guò)增加組件的數(shù)量來(lái)監(jiān)視更多的主機(jī)，但擴(kuò)容將會(huì)受到新增組件之間需要相互通信的制約。版權(quán)所有，盜版必糾3.3信息分析3.3.4數(shù)據(jù)分析機(jī)制版權(quán)所有，盜版必糾3.3信息分析3.3.4數(shù)據(jù)分析機(jī)制5.平緩地降低服務(wù)等級(jí) 集中式：如果有一個(gè)分析組件停止了工作，一部分程序和主機(jī)就不再被監(jiān)視，但整個(gè)IDS仍在繼續(xù)工作。 分布式：如果有一個(gè)分析組件停止了工作，整個(gè)IDS就有可能停止工作。

6.動(dòng)態(tài)地重新配置 集中式：使用很少的組件來(lái)分析所有的數(shù)據(jù)，如果重新配置它們需要重新啟動(dòng)IDS。 分布式：很容易進(jìn)行重新配置，不會(huì)影響剩余部分的性能。由于分布式不易實(shí)現(xiàn)，目前的IDS產(chǎn)品多是集中式的。版權(quán)所有，盜版必糾3.3信息分析3.3.4數(shù)據(jù)分析機(jī)制版權(quán)所有，盜版必糾3.4告警與響應(yīng)在入侵檢測(cè)系統(tǒng)中，當(dāng)完成系統(tǒng)安全狀況分析并確定系統(tǒng)所出問(wèn)題之后，就要讓系統(tǒng)管理員知道這些問(wèn)題的存在，這在入侵檢測(cè)處理過(guò)程模型中稱為告警與響應(yīng)。告警通常以報(bào)告的形式告訴系統(tǒng)管理員被監(jiān)測(cè)對(duì)象的安全狀況。響應(yīng)包括被動(dòng)響應(yīng)和主動(dòng)響應(yīng)。版權(quán)所有，盜版必糾3.4告警與響應(yīng)在入侵檢測(cè)系統(tǒng)中，版權(quán)所有，盜版必糾3.4告警與響應(yīng)3.4.1被動(dòng)響應(yīng)與主動(dòng)響應(yīng)被動(dòng)響應(yīng)就是系統(tǒng)僅僅簡(jiǎn)單地記錄和報(bào)告所檢測(cè)出的問(wèn)題，而主動(dòng)響應(yīng)則是系統(tǒng)(自動(dòng)地或與用戶配合)為阻止或影響正在發(fā)生的攻擊進(jìn)程而采取行動(dòng)。在早期的入侵檢測(cè)系統(tǒng)中被動(dòng)響應(yīng)是唯一的響應(yīng)模式，隨著技術(shù)的不斷發(fā)展和人們對(duì)安全性的不斷提高主動(dòng)響應(yīng)成為現(xiàn)今入侵檢測(cè)系統(tǒng)的主要響應(yīng)模式。主動(dòng)響應(yīng)主要包括以下幾種選項(xiàng)可供選擇：版權(quán)所有，盜版必糾3.4告警與響應(yīng)3.4.1被動(dòng)響應(yīng)與主版權(quán)所有，盜版必糾3.4告警與響應(yīng)3.4.1被動(dòng)響應(yīng)與主動(dòng)響應(yīng)1.對(duì)入侵者采取反擊行動(dòng)(1)入侵追蹤技術(shù)對(duì)入侵者采取反擊行動(dòng)的方式在一些組織和機(jī)構(gòu)特別受歡迎，因?yàn)檫@些組織和機(jī)構(gòu)的網(wǎng)絡(luò)安全管理人員特別希望能夠追蹤入侵者的攻擊來(lái)源，并采取行動(dòng)切斷入侵者的機(jī)器和網(wǎng)絡(luò)連接。但是這一方式本身就存在安全漏洞。首先入侵者的常用攻擊方法是先黑掉一個(gè)系統(tǒng)，然后在利用被黑掉的系統(tǒng)作為攻擊另外系統(tǒng)的平臺(tái)；其次，即使入侵者來(lái)自一個(gè)合法的系統(tǒng)，但他也會(huì)利用IP地址欺騙技術(shù)使反擊誤傷到無(wú)辜者；并且反擊的結(jié)果可能挑起更猛烈的攻擊，因?yàn)槿肭终邥?huì)從常規(guī)監(jiān)視和掃描演變成全面的攻擊，從而使系統(tǒng)資源陷入危機(jī)；進(jìn)一步來(lái)講，由于反擊行動(dòng)涉及到重要法律法規(guī)和現(xiàn)實(shí)問(wèn)題，所以這種響應(yīng)方式也不應(yīng)該成為最常用的主動(dòng)響應(yīng)。版權(quán)所有，盜版必糾3.4告警與響應(yīng)3.4.1被動(dòng)響應(yīng)與主版權(quán)所有，盜版必糾3.4告警與響應(yīng)3.4.1被動(dòng)響應(yīng)與主動(dòng)響應(yīng)1.對(duì)入侵者采取反擊行動(dòng)(2)入侵警告和預(yù)防對(duì)付入侵者也可以采取比較溫和的方式。一方面，入侵檢測(cè)系統(tǒng)可以有意的斷開與其的網(wǎng)絡(luò)對(duì)話，例如向入侵者的計(jì)算機(jī)發(fā)送TCP的RESET包，或發(fā)送TCMPDestinationUnreachable(目標(biāo)不可達(dá))包，系統(tǒng)也可以利用防火墻和網(wǎng)關(guān)阻止來(lái)自入侵的IP地址的數(shù)據(jù)包；另一方面，系統(tǒng)可以發(fā)郵件給懷疑入侵者的系統(tǒng)的管理員請(qǐng)求協(xié)助以識(shí)別問(wèn)題和處理問(wèn)題。這種響應(yīng)方式只能發(fā)現(xiàn)問(wèn)題，處理問(wèn)題，但對(duì)入侵檢測(cè)系統(tǒng)的完善所起的作用并不明顯，但在一些研究機(jī)構(gòu)和院校得到一定應(yīng)用。版權(quán)所有，盜版必糾3.4告警與響應(yīng)3.4.1被動(dòng)響應(yīng)與主版權(quán)所有，盜版必糾3.4告警與響應(yīng)3.4.1被動(dòng)響應(yīng)與主動(dòng)響應(yīng)2.修正系統(tǒng)環(huán)境修正系統(tǒng)環(huán)境類似于自動(dòng)控制的反饋環(huán)節(jié)，并具有自學(xué)習(xí)進(jìn)化功能。修正系統(tǒng)環(huán)境以堵住導(dǎo)致入侵發(fā)生的漏洞的概念與一些研究者提出的關(guān)鍵系統(tǒng)耦合的觀點(diǎn)是一致的，它可通過(guò)增加敏感水平來(lái)改變分析引擎的操作特征，或通過(guò)插入規(guī)則改變專家系統(tǒng)來(lái)提高對(duì)一些攻擊的懷疑水平或增加監(jiān)視范圍以比通常更好的采樣間隔來(lái)收集信息。這種響應(yīng)方式由于相對(duì)于上一種響應(yīng)來(lái)說(shuō)相比更為緩和，若與提供調(diào)查支持的響應(yīng)相結(jié)合可稱為是最佳響應(yīng)配置，可廣泛應(yīng)用。版權(quán)所有，盜版必糾3.4告警與響應(yīng)3.4.1被動(dòng)響應(yīng)與主版權(quán)所有，盜版必糾3.4告警與響應(yīng)3.4.1被動(dòng)響應(yīng)與主動(dòng)響應(yīng)3.收集額外信息當(dāng)被保護(hù)的系統(tǒng)非常重要并且系統(tǒng)管理人員需不斷的進(jìn)行規(guī)則校正時(shí)就需要收集入侵者的信息，并不斷的改進(jìn)和優(yōu)化系統(tǒng)；并且可以將入侵者轉(zhuǎn)移到專用服務(wù)器。這些專用服務(wù)器設(shè)置被稱為欺騙網(wǎng)技術(shù)，欺騙網(wǎng)技術(shù)就是使入侵者相信信息系統(tǒng)存在有價(jià)值的、可利用的安全弱點(diǎn)，并具有一些可攻擊竊取的資源（當(dāng)然這些資源是偽造的或不重要的），并將入侵者引向這些錯(cuò)誤的資源。它能夠顯著地增加入侵者的工作量、入侵復(fù)雜度以及不確定性，從而使入侵者不知道其進(jìn)攻是否奏效或成功。而且，它允許防護(hù)者跟蹤入侵者的行為，在入侵者之前修補(bǔ)系統(tǒng)可能存在的安全漏洞。版權(quán)所有，盜版必糾3.4告警與響應(yīng)3.4.1被動(dòng)響應(yīng)與主版權(quán)所有，盜版必糾3.4告警與響應(yīng)3.4.1被動(dòng)響應(yīng)與主動(dòng)響應(yīng)從原理上講，每個(gè)有價(jià)值的網(wǎng)絡(luò)系統(tǒng)都存在安全弱點(diǎn)，而且這些弱點(diǎn)都可能被入侵者所利用。網(wǎng)絡(luò)欺騙主要有以下三個(gè)作用：(1)影響入侵者使之按照用戶的意志進(jìn)行選擇；(2)迅速地檢測(cè)到入侵者的進(jìn)攻并獲知其進(jìn)攻技術(shù)和意圖；(3)消耗入侵者的資源。版權(quán)所有，盜版必糾3.4告警與響應(yīng)3.4.1被動(dòng)響應(yīng)與主版權(quán)所有，盜版必糾3.4告警與響應(yīng)3.4.2主動(dòng)響應(yīng)在商業(yè)上的應(yīng)用1.被動(dòng)式追蹤在被動(dòng)式追蹤技術(shù)方面，國(guó)外已經(jīng)有了一些產(chǎn)品，如Thumbprinting技術(shù)對(duì)應(yīng)用層數(shù)據(jù)進(jìn)行摘要，基于某種Hash算法，可根據(jù)摘要追蹤；Timing-based系統(tǒng)使用連接的時(shí)間特性來(lái)區(qū)分各個(gè)連接；Deviation-based方法定義兩次TCP連接之間最小延遲作為“deviation”。這些技術(shù)和方法都有一個(gè)共同的缺點(diǎn)就是計(jì)算復(fù)雜，無(wú)論采取哪一種方法都涉及大量計(jì)算，由于現(xiàn)在的網(wǎng)絡(luò)速度和發(fā)展，大規(guī)模采取任何一種方式都是不可能的。這類產(chǎn)品的發(fā)展前景并不被看好，一些產(chǎn)品已經(jīng)不做進(jìn)一步發(fā)展。版權(quán)所有，盜版必糾3.4告警與響應(yīng)3.4.2主動(dòng)響應(yīng)在商版權(quán)所有，盜版必糾3.4告警與響應(yīng)3.4.2主動(dòng)響應(yīng)在商業(yè)上的應(yīng)用2.主動(dòng)式追蹤主動(dòng)式追蹤技術(shù)研究主要涉及信息隱形技術(shù)，如針對(duì)http協(xié)議，在返回的http報(bào)文中加入用戶不易察覺并且有特殊標(biāo)記的內(nèi)容，從而在網(wǎng)絡(luò)中檢測(cè)這些標(biāo)記追蹤定位。這種方法不需要計(jì)算每個(gè)數(shù)據(jù)包，并進(jìn)行比較，因此有很大的優(yōu)勢(shì)，在國(guó)外主動(dòng)式追蹤技術(shù)已經(jīng)有了一些實(shí)用化工具，如IDIP、SWT等，但基本還處于保密階段。隨著信息隱形技術(shù)的發(fā)展，主動(dòng)式追蹤技術(shù)將得到進(jìn)一步發(fā)展，在未來(lái)戰(zhàn)爭(zhēng)計(jì)算機(jī)對(duì)抗技術(shù)的迫切需求下，國(guó)家安全部門及一些軍事科研機(jī)構(gòu)將投入更大的精力于這方面技術(shù)的研究。版權(quán)所有，盜版必糾3.4告警與響應(yīng)3.4.2主動(dòng)響應(yīng)在商版權(quán)所有，盜版必糾3.4告警與響應(yīng)3.4.3HoneyPots技術(shù)一個(gè)“HoneyPots”是一個(gè)設(shè)計(jì)用來(lái)觀測(cè)入侵者如何探測(cè)并最終入侵系統(tǒng)的一個(gè)系統(tǒng)，它意味著包含一些并不威脅公司機(jī)密的數(shù)據(jù)或應(yīng)用程序同時(shí)對(duì)于入侵者來(lái)說(shuō)又具有很大的誘惑力的這樣的一個(gè)系統(tǒng)，也就是放置在網(wǎng)絡(luò)上的一臺(tái)計(jì)算機(jī)表面看來(lái)象一臺(tái)普通的機(jī)器但同時(shí)通過(guò)一些特殊配置來(lái)引誘潛在的黑客并捕獲他們的蹤跡。它并不是用來(lái)抓獲入侵者，僅僅想知道他們?cè)诓⒉恢雷约罕挥^測(cè)的情況下如何工作，入侵者呆在“HoneyPots”的時(shí)間越長(zhǎng)，他們所使用的技術(shù)就暴露的越多，而這些信息可以被用來(lái)評(píng)估他們的技術(shù)水平，了解他們使用的攻擊工具。通過(guò)學(xué)習(xí)他們使用的工具和思路，可以更好的保護(hù)系統(tǒng)和網(wǎng)絡(luò)。而且以這種方式收集的信息對(duì)那些從事網(wǎng)絡(luò)安全威脅趨勢(shì)分析的人來(lái)說(shuō)也是有價(jià)值的。這種信息對(duì)那些必須在有敵意威脅的環(huán)境里運(yùn)行或易遭受大量攻擊的系統(tǒng)(例如政府Web服務(wù)器或具有商業(yè)價(jià)值的電子商務(wù)網(wǎng)站)是特別重要的。版權(quán)所有，盜版必糾3.4告警與響應(yīng)3.4.3HoneyP版權(quán)所有，盜版必糾3.4告警與響應(yīng)3.4.3HoneyPots技術(shù)

HoneyPots技術(shù)充分體現(xiàn)了網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的防御功能，尤其對(duì)收集入侵者的威脅信息或者收集證據(jù)來(lái)采取法律措施至關(guān)重要。Honeypots和NIDS相比較具有以下特點(diǎn)：(1)數(shù)據(jù)量小Honeypots僅僅收集那些對(duì)它進(jìn)行訪問(wèn)的數(shù)據(jù)。在同樣的條件下，NIDS可能會(huì)記錄成千上萬(wàn)的報(bào)警信息，而Honeypots卻只有幾百條。這就使得Honeypots收集信息更容易，分析起來(lái)也更為方便。版權(quán)所有，盜版必糾3.4告警與響應(yīng)3.4.3HoneyP版權(quán)所有，盜版必糾3.4告警與響應(yīng)3.4.3HoneyPots技術(shù)(2)減少誤報(bào)率Honeypots能顯著減少誤報(bào)率。任何對(duì)Honeypots的訪問(wèn)都是未授權(quán)的、非法的，這樣Honeypots檢測(cè)攻擊就非常有效，從而大大減少了錯(cuò)誤的報(bào)警信息，甚至可以避免。這樣網(wǎng)絡(luò)安全人員就可以集中精力采取其他的安全措施。(3)捕獲漏報(bào)Honeypots可以很容易地鑒別捕獲針對(duì)它的新的攻擊行為。由于針對(duì)Honeypots的任何操作都不是正常的，這樣就使得任何新的以前沒(méi)有見過(guò)的攻擊很容易暴露。版權(quán)所有，盜版必糾3.4告警與響應(yīng)3.4.3HoneyP版權(quán)所有，盜版必糾3.4告警與響應(yīng)3.4.3HoneyPots技術(shù)(4)資源最小化Honeypots所需要的資源很少，即使工作在一個(gè)大型網(wǎng)絡(luò)環(huán)境中也是如此。一個(gè)簡(jiǎn)單的Pentium主機(jī)就可以模擬具有多個(gè)IP地址的C類網(wǎng)絡(luò)。(5)解密無(wú)論攻擊者對(duì)連接是否加密都沒(méi)有關(guān)系，Honeypots都可以捕獲他們的行為。版權(quán)所有，盜版必糾3.4告警與響應(yīng)3.4.3HoneyP版權(quán)所有，盜版必糾3.4告警與響應(yīng)實(shí)例3-1Linux下的蜜罐

Linux下的蜜罐是一個(gè)稱為Honeyd的小程序。它是一個(gè)很小巧的用于創(chuàng)建虛擬的網(wǎng)絡(luò)上的主機(jī)的后臺(tái)程序，這些虛擬主機(jī)可以配置使得它們提供任意的服務(wù)，利用個(gè)性處理可以使得這些主機(jī)顯示為在某個(gè)特定版本的操作系統(tǒng)上運(yùn)行。Honeyd是GNUGeneralPublicLicense發(fā)布的開源軟件，目前也有一些商業(yè)公司在使用這個(gè)軟件。其最初面向的是類Linux操作系統(tǒng)，可以運(yùn)行在BSD系統(tǒng)，Solaris，GNU/Linux等操作系統(tǒng)上，由NielsProvos開發(fā)和維護(hù)。這里主要介紹面向類Linux系統(tǒng)的Honeyd程序。版權(quán)所有，盜版必糾3.4告警與響應(yīng)實(shí)例3-1Linux下版權(quán)所有，盜版必糾3.4告警與響應(yīng)實(shí)版權(quán)所有，盜版必糾3.4告警與響應(yīng)實(shí)版權(quán)所有，盜版必糾3.4告警與響應(yīng)實(shí)版權(quán)所有，盜版必糾3.4告警與響應(yīng)實(shí)版權(quán)所有，盜版必糾3.4告警與響應(yīng)honeyd的日志文件記錄了所有與蜜罐虛擬出來(lái)的主機(jī)連接的信息，包括了時(shí)間戳、協(xié)議類型、源地址、目的地址、端口號(hào)、操作系統(tǒng)類型等信息。如果系統(tǒng)遭受黑客攻擊，這個(gè)日志文件里將能看到一些攻擊信息。使用vi命令查看日志信息如圖3.8所示：版權(quán)所有，盜版必糾3.4告警與響應(yīng)honeyd的日志文件記版權(quán)所有，盜版必糾3.4告警與響應(yīng)以上日志中，攻擊主機(jī)為34，圖中顯示了攻擊主機(jī)與蜜罐虛擬的主機(jī)建立連接。包括了TELNET、FTP、HTTP。通過(guò)查詢這些信息，可以收集攻擊者的入侵證據(jù)，同時(shí)由于這些主機(jī)都是由蜜罐虛擬出來(lái)的，所以不會(huì)對(duì)系統(tǒng)造成威脅。版權(quán)所有，盜版必糾3.4告警與響應(yīng)以上日志中，攻擊主機(jī)為5版權(quán)所有，盜版必糾3.4告警與響應(yīng)實(shí)例3-2Windows下的蜜罐通過(guò)Windows下的TrapServer.exe軟件是一個(gè)密罐軟件，該軟件相對(duì)于Linux下的Honeyd就簡(jiǎn)單多了。此軟件是個(gè)適用于Win95/98/Me/NT/2000/XP系統(tǒng)的“蜜罐”，可以模擬很多不同的服務(wù)器，例如：ApacheHTTPServer,MicrosoftIIS等。蜜罐運(yùn)行時(shí)就會(huì)開放一個(gè)偽裝的WEB服務(wù)器，虛擬服務(wù)器將對(duì)這個(gè)服務(wù)器的訪問(wèn)情況進(jìn)行監(jiān)視，并把所有對(duì)該服務(wù)的訪問(wèn)記錄下來(lái)，包括IP地址，訪問(wèn)的文件等。通過(guò)這些日志可對(duì)黑客的入侵行為進(jìn)行簡(jiǎn)單分析。版權(quán)所有，盜版必糾3.4告警與響應(yīng)實(shí)例3-2Window版權(quán)所有，盜版必糾3.4告警與響應(yīng)安裝完該軟件后，在安裝目錄下打開TrapServer.exe，其主界面如圖3.9所示：版權(quán)所有，盜版必糾3.4告警與響應(yīng)安裝完該軟件后，在安裝目版權(quán)所有，盜版必糾3.4告警與響應(yīng)選擇菜單“服務(wù)器類別”可以選擇監(jiān)聽三種服務(wù)器:(1)IIS.(2)Apache.(3).EasyPHP如圖3.10所示。版權(quán)所有，盜版必糾3.4告警與響應(yīng)選擇菜單“服務(wù)器類別”可版權(quán)所有，盜版必糾3.4告警與響應(yīng)3.4.4Honeynets技術(shù)

Honeynets是一個(gè)專門設(shè)計(jì)來(lái)讓人“攻陷”的網(wǎng)絡(luò)，一旦被入侵者所攻破，入侵者的一切信息、工具等都將被用來(lái)分析學(xué)習(xí)。其想法與honeypots相似，但兩者之間還是有些不同。一個(gè)Honeynets是一個(gè)網(wǎng)絡(luò)系統(tǒng)，而并非某臺(tái)單一主機(jī)，這一網(wǎng)絡(luò)系統(tǒng)是隱藏在防火墻后面的，所有進(jìn)出的數(shù)據(jù)都受到關(guān)注、捕獲及控制。這些被捕獲的數(shù)據(jù)可以對(duì)研究分析入侵者們使用的工具、方法及動(dòng)機(jī)。在Honeynets中，可以使用各種不同的操作系統(tǒng)及設(shè)備，如Solaris,Linux,WindowsNT,CiscoSwitch,等等。這樣建立的網(wǎng)絡(luò)環(huán)境看上去會(huì)更加真實(shí)可信，同時(shí)還有不同的系統(tǒng)平臺(tái)上面運(yùn)行著不同的服務(wù)，比如Linux的DNSserver，WindowsNT的webserver或者一個(gè)Solaris的FTPserver，可以學(xué)習(xí)不同的工具以及不同的策略——或許某些入侵者僅僅把目標(biāo)定于幾個(gè)特定的系統(tǒng)漏洞上，而這種多樣化的系統(tǒng)，就可能更多了揭示出他們的一些特性。版權(quán)所有，盜版必糾3.4告警與響應(yīng)3.4.4Honeyn版權(quán)所有，盜版必糾3.4告警與響應(yīng)3.4.4Honeynets技術(shù)在Honeynets中的所有系統(tǒng)都是標(biāo)準(zhǔn)的機(jī)器，上面運(yùn)行的都是真實(shí)完整的操作系統(tǒng)及應(yīng)用程序——就象在互聯(lián)網(wǎng)上找到的系統(tǒng)一樣。沒(méi)有刻意地模擬某種環(huán)境或者故意地使系統(tǒng)不安全。在Honeynets里面找到的存在風(fēng)險(xiǎn)的系統(tǒng)，與在互聯(lián)網(wǎng)上一些公司組織的毫無(wú)二致?？梢院?jiǎn)單地把操作系統(tǒng)放到Honeynets中，并不會(huì)對(duì)整個(gè)網(wǎng)絡(luò)造成影響。由于Honeynets是一個(gè)由30余名安全專業(yè)組織成員組成，專門致力于了解黑客團(tuán)體使用的工具、策略和動(dòng)機(jī)以及共享他們所掌握的知識(shí)的項(xiàng)目。這個(gè)組織使用他們自己的時(shí)間和自己的資源來(lái)收集這方面的信息，其中最主要的方法是通過(guò)使用Honeynets來(lái)收集一些信息。因此Honeynets技術(shù)的發(fā)展是一個(gè)自發(fā)的形式，由于成員都是利用業(yè)余時(shí)間和愛好來(lái)參與Honeynets技術(shù)的研究，它的發(fā)展前景既讓人充滿希望，又讓人擔(dān)憂，如果有一些網(wǎng)絡(luò)安全的專業(yè)研究機(jī)構(gòu)介入，在加上Honeynets技術(shù)在網(wǎng)上的公開和免費(fèi)的性質(zhì)，Honeynets技術(shù)的研究和學(xué)習(xí)將更有力的推動(dòng)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)的發(fā)展。版權(quán)所有，盜版必糾3.4告警與響應(yīng)3.4.4Honeyn版權(quán)所有，盜版必糾3.4告警與響應(yīng)實(shí)例3-3用VMware實(shí)現(xiàn)Honeynets虛擬網(wǎng)絡(luò)

VMware是VMware公司出品的一個(gè)多系統(tǒng)安裝軟件。利用它，可以在一臺(tái)電腦上將硬盤和內(nèi)存的一部分拿出來(lái)虛擬出若干臺(tái)機(jī)器，每臺(tái)機(jī)器可以運(yùn)行單獨(dú)的操作系統(tǒng)而互不干擾，這些“新”機(jī)器各自擁有自己獨(dú)立的CMOS、硬盤和操作系統(tǒng)，可以像使用普通機(jī)器一樣對(duì)它們進(jìn)行分區(qū)、格式化、安裝系統(tǒng)和應(yīng)用軟件等操作，所有的這些操作都是一個(gè)虛擬的過(guò)程不會(huì)對(duì)真實(shí)的主機(jī)造成影響，還可以將這幾個(gè)操作系統(tǒng)聯(lián)成一個(gè)網(wǎng)絡(luò)。

可以采用VMware實(shí)現(xiàn)一個(gè)虛擬的網(wǎng)絡(luò)，引導(dǎo)黑客或病毒來(lái)攻擊這個(gè)網(wǎng)絡(luò)，從而發(fā)現(xiàn)這個(gè)攻擊的特征，進(jìn)而對(duì)這個(gè)攻擊進(jìn)行很好地防護(hù)。版權(quán)所有，盜版必糾3.4告警與響應(yīng)實(shí)例3-3用VMwar版權(quán)所有，盜版必糾返回ThanksForAttendance!致謝版權(quán)所有，盜版必糾返回ThanksForAttendan版權(quán)所有，盜版必糾第3章入侵檢測(cè)系統(tǒng)模型李劍北京郵電大學(xué)信息安全中心E-mail:lijian@電話：130－01936882版權(quán)所有，盜版必糾第3章入侵檢測(cè)系統(tǒng)模型版權(quán)所有，盜版必糾概述 所有的入侵檢測(cè)系統(tǒng)模型都是由三部分組成的，它們是信息收集模塊、信息分析模塊和告警與響應(yīng)模塊，如圖3.1所示。本節(jié)來(lái)分別講述這三塊的功能與作用。版權(quán)所有，盜版必糾概述 所有的入侵檢測(cè)系版權(quán)所有，盜版必糾概述

版權(quán)所有，盜版必糾概述 版權(quán)所有，盜版必糾3.1入侵檢測(cè)系統(tǒng)模型概述 入侵檢測(cè)系統(tǒng)，顧名思義，便是對(duì)入侵行為的發(fā)覺。它通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。版權(quán)所有，盜版必糾3.1入侵檢測(cè)系統(tǒng)模型概述 入版權(quán)所有，盜版必糾3.1入侵檢測(cè)系統(tǒng)模型概述IDS發(fā)展到目前，按照不同的角度區(qū)分，已經(jīng)出現(xiàn)了主機(jī)基和網(wǎng)絡(luò)基的入侵檢測(cè)系統(tǒng);基于模式匹配、異常行為、協(xié)議分析等檢測(cè)技術(shù)的系統(tǒng)。第四代入侵檢測(cè)技術(shù)是主機(jī)基+網(wǎng)絡(luò)基+安全管理+協(xié)議分析+模式匹配+異常統(tǒng)計(jì)，它的優(yōu)點(diǎn)在于入侵檢測(cè)和多項(xiàng)技術(shù)協(xié)同工作，建立全局的主動(dòng)保障體系，誤報(bào)率、漏報(bào)率、濫報(bào)率較低，效率高，可管理性強(qiáng)，并實(shí)現(xiàn)了多級(jí)的分布式的檢測(cè)管理，網(wǎng)絡(luò)基和主機(jī)基入侵檢測(cè)，協(xié)議分析和模式匹配以及異常統(tǒng)計(jì)相結(jié)合，取長(zhǎng)補(bǔ)短，可以進(jìn)行更有效的檢測(cè)。版權(quán)所有，盜版必糾3.1入侵檢測(cè)系統(tǒng)模型概述版權(quán)所有，盜版必糾3.1入侵檢測(cè)系統(tǒng)模型概述美中不足的是，IDS普遍存在誤報(bào)問(wèn)題，導(dǎo)致入侵檢測(cè)的實(shí)用性大打折扣，采用智能處理模塊解決這個(gè)問(wèn)題，智能處理模塊包括下面功能:1.全面集成入侵檢測(cè)技術(shù)，將多個(gè)代理傳送到管理器的數(shù)據(jù)整合起來(lái)，經(jīng)過(guò)智能處理，將小比例的多個(gè)事件整合形成一個(gè)放大的全面事件圖。2.對(duì)于一個(gè)特定的漏洞和攻擊方法，IDS先分析系統(tǒng)是否會(huì)因?yàn)檫@個(gè)缺陷而被入侵，然后再考慮與入侵檢測(cè)的關(guān)聯(lián)(報(bào)警)。版權(quán)所有，盜版必糾3.1入侵檢測(cè)系統(tǒng)模型概述版權(quán)所有，盜版必糾3.1入侵檢測(cè)系統(tǒng)模型概述3.用戶自定義規(guī)則:用戶可以根據(jù)漏洞掃描系統(tǒng)評(píng)估自己的系統(tǒng)，根據(jù)服務(wù)器操作系統(tǒng)類型，所提供的服務(wù)以及根據(jù)漏洞掃描結(jié)果制定屬于自己的規(guī)則文件。這對(duì)管理員提出了更高的要求。4.采用先進(jìn)的協(xié)議分析+模式匹配(濫用檢測(cè)和異常檢測(cè)結(jié)合使用)+異常統(tǒng)計(jì)的檢測(cè)分析方法。版權(quán)所有，盜版必糾3.1入侵檢測(cè)系統(tǒng)模型概述3.用戶自定版權(quán)所有，盜版必糾3.1入侵檢測(cè)系統(tǒng)模型概述圖：版權(quán)所有，盜版必糾3.1入侵檢測(cè)系統(tǒng)模型概述圖：版權(quán)所有，盜版必糾3.2信息收集入侵檢測(cè)的第一步是信息收集，內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為。而且，需要在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)（不同網(wǎng)段和不同主機(jī)）收集信息，這除了盡可能擴(kuò)大檢測(cè)范圍的因素外，還有一個(gè)重要的因素就是從一個(gè)源來(lái)的信息有可能看不出疑點(diǎn)，但從幾個(gè)源來(lái)的信息的不一致性卻是可疑行為或入侵的最好標(biāo)識(shí)。版權(quán)所有，盜版必糾3.2信息收集入侵檢測(cè)的版權(quán)所有，盜版必糾3.2信息收集當(dāng)然，入侵檢測(cè)很大程度上依賴于收集信息的可靠性和正確性，因此，很有必要只利用所知道的真正的和精確的軟件來(lái)報(bào)告這些信息。因?yàn)楹诳徒?jīng)常替換軟件以搞混和移走這些信息，例如替換被程序調(diào)用的子程序、庫(kù)和其它工具。黑客對(duì)系統(tǒng)的修改可能使系統(tǒng)功能失常并看起來(lái)跟正常的一樣，而實(shí)際上不是。例如，UNIX系統(tǒng)的PS指令可以被替換為一個(gè)不顯示侵入過(guò)程的指令，或者是編輯器被替換成一個(gè)讀取不同于指定文件的文件（黑客隱藏了初試文件并用另一版本代替）。這需要保證用來(lái)檢測(cè)網(wǎng)絡(luò)系統(tǒng)的軟件的完整性，特別是入侵檢測(cè)系統(tǒng)軟件本身應(yīng)具有相當(dāng)強(qiáng)的堅(jiān)固性，防止被篡改而收集到錯(cuò)誤的信息。版權(quán)所有，盜版必糾3.2信息收集當(dāng)然，入侵檢測(cè)版權(quán)所有，盜版必糾3.2信息收集3.2.1信息收集概述數(shù)據(jù)收集機(jī)制在IDS中占據(jù)著舉足輕重的位置。如果收集的數(shù)據(jù)時(shí)延較大，檢測(cè)就會(huì)失去作用；如果數(shù)據(jù)不完整，系統(tǒng)的檢測(cè)能力就會(huì)下降；如果由于錯(cuò)誤或入侵者的行為致使收集的數(shù)據(jù)不正確，IDS就會(huì)無(wú)法檢測(cè)某些入侵，給用戶以安全的假象。1．分布式與集中式數(shù)據(jù)收集機(jī)制(1)分布式數(shù)據(jù)收集：檢測(cè)系統(tǒng)收集的數(shù)據(jù)來(lái)自一些固定位置而且與受監(jiān)視的網(wǎng)元數(shù)量無(wú)關(guān)。(2)集中式數(shù)據(jù)收集：檢測(cè)系統(tǒng)收集的數(shù)據(jù)來(lái)自一些與受監(jiān)視的網(wǎng)元數(shù)量有一定比例關(guān)系的位置。版權(quán)所有，盜版必糾3.2信息收集3.2.1信息收集概述版權(quán)所有，盜版必糾3.2信息收集2．直接監(jiān)控和間接監(jiān)控如果IDS從它所監(jiān)控的對(duì)象處直接獲得數(shù)據(jù)，則稱為直接監(jiān)控；反之，如果IDS依賴一個(gè)單獨(dú)的進(jìn)程或工具獲得數(shù)據(jù)，則稱為間接監(jiān)控。就檢測(cè)入侵行為而言，直接監(jiān)控要優(yōu)于間接監(jiān)控，由于直接監(jiān)控操作的復(fù)雜性，目前的IDS產(chǎn)品中只有不足20%使用了直接監(jiān)控機(jī)制。版權(quán)所有，盜版必糾3.2信息收集2．直接監(jiān)控和間接監(jiān)控版權(quán)所有，盜版必糾3.2信息收集3．基于主機(jī)的數(shù)據(jù)收集和基于網(wǎng)絡(luò)的數(shù)據(jù)收集基于主機(jī)的數(shù)據(jù)收集是從所監(jiān)控的主機(jī)上獲取的數(shù)據(jù)；基于網(wǎng)絡(luò)的數(shù)據(jù)收集是通過(guò)被監(jiān)視網(wǎng)絡(luò)中的數(shù)據(jù)流獲得數(shù)據(jù)?？傮w而言，基于主機(jī)的數(shù)據(jù)收集要優(yōu)于基于網(wǎng)絡(luò)的數(shù)據(jù)收集。版權(quán)所有，盜版必糾3.2信息收集3．基于主機(jī)的數(shù)據(jù)收集和版權(quán)所有，盜版必糾3.2信息收集4．外部探測(cè)器和內(nèi)部探測(cè)器(1)外部探測(cè)器是負(fù)責(zé)監(jiān)測(cè)主機(jī)中某個(gè)組件（硬件或軟件）的軟件。它將向IDS提供所需的數(shù)據(jù)，這些操作是通過(guò)獨(dú)立于系統(tǒng)的其他代碼來(lái)實(shí)施的。(2)內(nèi)部探測(cè)器是負(fù)責(zé)監(jiān)測(cè)主機(jī)中某個(gè)組件（硬件或軟件）的軟件。它將向IDS提供所需的數(shù)據(jù)，這些操作是通過(guò)該組件的代碼來(lái)實(shí)施的。外部探測(cè)器和內(nèi)部探測(cè)器在用于數(shù)據(jù)收集時(shí)各有利弊，可以綜合使用。由于內(nèi)部探測(cè)器實(shí)現(xiàn)起來(lái)的難度較大，所以在現(xiàn)有的IDS產(chǎn)品中，只有很少的一部分采用它。版權(quán)所有，盜版必糾3.2信息收集4．外部探測(cè)器和內(nèi)部探版權(quán)所有，盜版必糾3.2信息收集3.2.2信息源的獲取入侵檢測(cè)利用的信息源一般來(lái)自以下四個(gè)方面：1.系統(tǒng)和網(wǎng)絡(luò)日志文件黑客經(jīng)常在系統(tǒng)日志文件中留下他們的蹤跡，因此，充分利用系統(tǒng)和網(wǎng)絡(luò)日志文件信息是檢測(cè)入侵的必要條件。日志中包含發(fā)生在系統(tǒng)和網(wǎng)絡(luò)上的不尋常和不期望活動(dòng)的證據(jù)，這些證據(jù)可以指出有人正在入侵或已成功入侵了系統(tǒng)。通過(guò)查看日志文件，能夠發(fā)現(xiàn)成功的入侵或入侵企圖，并很快地啟動(dòng)相應(yīng)的應(yīng)急響應(yīng)程序。日志文件中記錄了各種行為類型，每種類型又包含不同的信息，例如記錄“用戶活動(dòng)”類型的日志，就包含登錄、用戶ID改變、用戶對(duì)文件的訪問(wèn)、授權(quán)和認(rèn)證信息等內(nèi)容。很顯然地，對(duì)用戶活動(dòng)來(lái)講，不正常的或不期望的行為就是重復(fù)登錄失敗、登錄到不期望的位置以及非授權(quán)的企圖訪問(wèn)重要文件等等。版權(quán)所有，盜版必糾3.2信息收集3.2.2信息源的獲取版權(quán)所有，盜版必糾3.2信息收集2.目錄和文件中的不期望的改變網(wǎng)絡(luò)環(huán)境中的文件系統(tǒng)包含很多軟件和數(shù)據(jù)文件，包含重要信息的文件和私有數(shù)據(jù)文件經(jīng)常是黑客修改或破壞的目標(biāo)。目錄和文件中的不期望的改變（包括修改、創(chuàng)建和刪除），特別是那些正常情況下限制訪問(wèn)的，很可能就是一種入侵產(chǎn)生的指示和信號(hào)。黑客經(jīng)常替換、修改和破壞他們獲得訪問(wèn)權(quán)的系統(tǒng)上的文件，同時(shí)為了隱藏系統(tǒng)中他們的表現(xiàn)及活動(dòng)痕跡，都會(huì)盡力去替換系統(tǒng)程序或修改系統(tǒng)日志文件。版權(quán)所有，盜版必糾3.2信息收集2.目錄和文件中的不期版權(quán)所有，盜版必糾3.2信息收集3.程序執(zhí)行中的不期望行為網(wǎng)絡(luò)系統(tǒng)上的程序執(zhí)行一般包括操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)、用戶起動(dòng)的程序和特定目的的應(yīng)用，例如數(shù)據(jù)庫(kù)服務(wù)器。每個(gè)在系統(tǒng)上執(zhí)行的程序由一到。每個(gè)進(jìn)程執(zhí)行在具有不同權(quán)限的環(huán)境中，這種環(huán)境控制著進(jìn)程可訪問(wèn)的系統(tǒng)資源、程序和數(shù)據(jù)文件等。一個(gè)進(jìn)程的執(zhí)行行為由它運(yùn)行時(shí)執(zhí)行的操作來(lái)表現(xiàn)，操作執(zhí)行的方式不同，它利用的系統(tǒng)資源也就不同。操作包括計(jì)算、文件傳輸、設(shè)備和其它進(jìn)程，以及與網(wǎng)絡(luò)間其它進(jìn)程的通訊。版權(quán)所有，盜版必糾3.2信息收集3.程序執(zhí)行中的不期望版權(quán)所有，盜版必糾3.2信息收集4.物理形式的入侵信息這包括兩個(gè)方面的內(nèi)容，一是未授權(quán)的對(duì)網(wǎng)絡(luò)硬件連接；二是對(duì)物理資源的未授權(quán)訪問(wèn)。黑客會(huì)想方設(shè)法去突破網(wǎng)絡(luò)的周邊防衛(wèi)，如果他們能夠在物理上訪問(wèn)內(nèi)部網(wǎng)，就能安裝他們自己的設(shè)備和軟件。依此，黑客就可以知道網(wǎng)上的由用戶加上去的不安全（未授權(quán)）設(shè)備，然后利用這些設(shè)備訪問(wèn)網(wǎng)絡(luò)。例如，用戶在家里可能安裝Modem以訪問(wèn)遠(yuǎn)程辦公室，與此同時(shí)黑客正在利用自動(dòng)工具來(lái)識(shí)別在公共電話線上的Modem，如果撥號(hào)訪問(wèn)流量經(jīng)過(guò)了這些自動(dòng)工具，那么這一撥號(hào)訪問(wèn)就成為了威脅網(wǎng)絡(luò)安全的后門。黑客就會(huì)利用這個(gè)后門來(lái)訪問(wèn)內(nèi)部網(wǎng)，從而越過(guò)了內(nèi)部網(wǎng)絡(luò)原有的防護(hù)措施，然后捕獲網(wǎng)絡(luò)流量，進(jìn)而攻擊其它系統(tǒng)，并偷取敏感的私有信息等等。版權(quán)所有，盜版必糾3.2信息收集4.物理形式的入侵信息版權(quán)所有，盜版必糾3.2信息收集3.2.3信息的標(biāo)準(zhǔn)化不同的入侵檢測(cè)產(chǎn)品(如Snort，RealSecure等)之間或同一個(gè)入侵檢測(cè)產(chǎn)品內(nèi)部各個(gè)模塊之間通常使用各自定義的信息描述語(yǔ)言和格式，沒(méi)有一個(gè)統(tǒng)一的標(biāo)準(zhǔn)接口，從而使得它們之間不能很好地溝通與協(xié)作。目前，OWL(WebOntologyLanguage)已經(jīng)逐漸成為語(yǔ)義信息描述的事實(shí)標(biāo)準(zhǔn)，正在為越來(lái)越多的系統(tǒng)所應(yīng)用。這里將介紹入侵檢測(cè)系統(tǒng)中一套完整的基于OWL的信息描述機(jī)制。版權(quán)所有，盜版必糾3.2信息收集3.2.3信息的標(biāo)準(zhǔn)化版權(quán)所有，盜版必糾3.2信息收集3.2.3信息的標(biāo)準(zhǔn)化1.相關(guān)研究目前的知識(shí)描述語(yǔ)言有許多種，如XML，RDF，DAML，DAML+OIL和OWL等。XML是Web上數(shù)據(jù)交換的標(biāo)準(zhǔn)，它可以表達(dá)任意結(jié)構(gòu)的數(shù)據(jù)，但是它在表示數(shù)據(jù)的語(yǔ)義方面不是很強(qiáng)。Ontology本體可以較為有效地解決信息之間的語(yǔ)義不確定等問(wèn)題。目前語(yǔ)義Web上的Ontology表示語(yǔ)言主要有RDF、OIL(OntologyInterchangeLanguage)、DAML(DarpaAgentMarkupLanguage)、DAML與OIL結(jié)合起來(lái)而產(chǎn)生的DAML+OIL、OWL。版權(quán)所有，盜版必糾3.2信息收集3.2.3信息的標(biāo)準(zhǔn)化版權(quán)所有，盜版必糾3.2信息收集3.2.3信息的標(biāo)準(zhǔn)化RDF是一種簡(jiǎn)單的Ontology表示語(yǔ)言。但是RDF的缺點(diǎn)是其表達(dá)能力差，例如，它沒(méi)有變量，它只支持字符型，不支持整型、實(shí)型等其它簡(jiǎn)單數(shù)據(jù)類型。它只有屬性的Domain和range約束，沒(méi)有否定，沒(méi)有傳遞屬性transitive、互反屬性inverse，不能表示等價(jià)性和不相交性、沒(méi)有類成員的充分必要條件，不能描述等價(jià)性等。OIL以RDF為起點(diǎn)，用更為豐富的Ontology建模原語(yǔ)對(duì)RDFScheme進(jìn)行擴(kuò)充。OIL的缺點(diǎn)是它不能表達(dá)類或?qū)傩缘牡葍r(jià)性。版權(quán)所有，盜版必糾3.2信息收集3.2.3信息的標(biāo)準(zhǔn)化版權(quán)所有，盜版必糾3.2信息收集3.2.3信息的標(biāo)準(zhǔn)化在RDF和OIL的基礎(chǔ)上，DAML嘗試將RDF和OIL的優(yōu)點(diǎn)結(jié)合起來(lái)產(chǎn)生了DAML+OIL。OWL是W3C在DAML+OIL基礎(chǔ)上近幾年發(fā)展起來(lái)的。它與DAML+OIL的實(shí)質(zhì)區(qū)別體現(xiàn)為OWL通過(guò)選擇Web本體取消了有條件的數(shù)量限制并直接說(shuō)明屬性是對(duì)稱的；減少了一些不規(guī)則的DAML+OIL結(jié)構(gòu)抽象語(yǔ)法,特別是對(duì)外層組件的約束和它們意義的差別；各種結(jié)構(gòu)名稱也有改變。基于以上原因，這里選擇了OWL作為IDS的信息描述工具。版權(quán)所有，盜版必糾3.2信息收集3.2.3信息的標(biāo)準(zhǔn)化版權(quán)所有，盜版必糾3.2信息收集2.基于OWL的信息描述解決方案這里將采用OWL作為整個(gè)分布式IDS中信息描述的工具，并以一個(gè)入侵檢測(cè)實(shí)例為例說(shuō)明方案的實(shí)現(xiàn)過(guò)程。如圖3.3所示為基于OWL信息描述的IDS模型。版權(quán)所有，盜版必糾3.2信息收集2.基于OWL的信息描版權(quán)所有，盜版必糾3.2信息收集整個(gè)安全模型由安全管理平臺(tái)，事件分析器，感應(yīng)器和數(shù)據(jù)源組成。由系統(tǒng)安全管理員制定安全策略，并通過(guò)安全管理平臺(tái)分發(fā)給各個(gè)事件分析器。數(shù)據(jù)源包括來(lái)自網(wǎng)絡(luò)和主機(jī)的各種信息。感應(yīng)器可以是不同種類的分布式安全部件代理，它們將收集到的安全信息傳給事件分析器進(jìn)行安全分析。分析器再將分析后的結(jié)果通過(guò)網(wǎng)絡(luò)安全管理平臺(tái)傳輸給安全管理員，管理員再對(duì)安全事件進(jìn)行響應(yīng)。版權(quán)所有，盜版必糾3.2信息收集整個(gè)安全模型由安版權(quán)所有，盜版必糾3.2信息收集

在IDS的消息描述方面最出名的是入侵檢測(cè)工作組IDWG提出的入侵檢測(cè)交換格式IDMEF(IntrusionDetectionMessageExchangeFormat)。它是一種基于XML的網(wǎng)絡(luò)入侵檢測(cè)告警信息描述標(biāo)準(zhǔn)，它針對(duì)IDS而設(shè)計(jì)，具有良好的開放性、可擴(kuò)展性和商業(yè)互操作性。IDMEF僅僅對(duì)網(wǎng)絡(luò)安全告警信息和設(shè)備心跳信息進(jìn)行了描述，并且采用DTD(DocumentTypeDefinition)作為對(duì)XML數(shù)據(jù)的約束。版權(quán)所有，盜版必糾3.2信息收集在IDS的消息描述版權(quán)所有，盜版必糾3.2信息收集IDMEF數(shù)據(jù)模型是一種面向?qū)ο蟮娜肭謾z測(cè)告警信息和設(shè)備心跳信息描述模型。如圖3.4所示,在IDMEF-Message根類中包含兩個(gè)了類：Alert和HeartBeat。它們和IDMEF-Message之間是繼承關(guān)系，它繼承了IDMEF-Message的所有屬性。Alert和HeartBeat分別用于對(duì)安全告警信息和設(shè)備心跳信息進(jìn)行描述。版權(quán)所有，盜版必糾3.2信息收集IDMEF數(shù)據(jù)模版權(quán)所有，盜版必糾3.2信息收集IDMEF版權(quán)所有，盜版必糾3.2信息收集IDMEF版權(quán)所有，盜版必糾3.2信息收集4.IDS中基于OWL的安全消息通信機(jī)制在圖3.2基于OWL信息描述的IDS模型當(dāng)中，多個(gè)感應(yīng)器可以和事件分析器之間可以采用基于OWL的消息機(jī)制進(jìn)行通信?？紤]到感知器的異構(gòu)性、通信的安全性、系統(tǒng)的效率等問(wèn)題，通信機(jī)制主要要求以下兩點(diǎn)：(1)將異構(gòu)的感知檢測(cè)到的信息采用統(tǒng)一的數(shù)據(jù)格式，這里采用基于OWL的信息描述。(2)保證通信的安全性。其通信模型如圖3.5所示：版權(quán)所有，盜版必糾3.2信息收集4.IDS中基于OWL版權(quán)所有，盜版必糾3.2信息收集其通信模型如圖3.5所示：版權(quán)所有，盜版必糾3.2信息收集其通信模型如圖3.5所示版權(quán)所有，盜版必糾3.2信息收集在IDS中，感知器和事件分析器之間進(jìn)行通信的時(shí)候，分為兩層：OWL層和SSL層。OWL層負(fù)責(zé)使用OWL語(yǔ)言將感知器收集到的信息轉(zhuǎn)換成統(tǒng)一的OWL語(yǔ)言字符串。SSL層使用SSL協(xié)議進(jìn)行通信。通信的時(shí)候，首先感知器與事件分析器之間建立SSL安全會(huì)話，經(jīng)過(guò)雙方進(jìn)行身份認(rèn)證之后，感知器將OWL層生在成的消息進(jìn)行RSA加密，然后通過(guò)SSL層傳輸給事件分析器。事件分析器收到加密的OWL消息之后進(jìn)行解密，然后再進(jìn)行OWL消息解析，以得到原始發(fā)送過(guò)來(lái)的消息。OWL消息解析的時(shí)候可以使用惠普公司的免費(fèi)軟件Jena。版權(quán)所有，盜版必糾3.2信息收集在IDS中，感知版權(quán)所有，盜版必糾3.3信息分析對(duì)上一節(jié)收集到的四類有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等信息，一般通過(guò)三種技術(shù)手段進(jìn)行分析：模式匹配，統(tǒng)計(jì)分析和完整性分析。其中前兩種方法用于實(shí)時(shí)的入侵檢測(cè)，而完整性分析則用于事后分析。版權(quán)所有，盜版必糾3.3信息分析對(duì)上一節(jié)收集到的四類版權(quán)所有，盜版必糾3.3信息分析3.3.1模式匹配

模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫(kù)進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。該過(guò)程可以很簡(jiǎn)單（如通過(guò)字符串匹配以尋找一個(gè)簡(jiǎn)單的條目或指令），也可以很復(fù)雜（如利用正規(guī)的數(shù)學(xué)表達(dá)式來(lái)表示安全狀態(tài)的變化）。一般來(lái)講，一種進(jìn)攻模式可以用一個(gè)過(guò)程（如執(zhí)行一條指令）或一個(gè)輸出（如獲得權(quán)限）來(lái)表示。該方法的一大優(yōu)點(diǎn)是只需收集相關(guān)的數(shù)據(jù)集合，顯著減少系統(tǒng)負(fù)擔(dān)，且技術(shù)已相當(dāng)成熟。它與病毒防火墻采用的方法一樣，檢測(cè)準(zhǔn)確率和效率都相當(dāng)高。但是，該方法存在的弱點(diǎn)是需要不斷的升級(jí)以對(duì)付不斷出現(xiàn)的黑客攻擊手法，不能檢測(cè)到從未出現(xiàn)過(guò)的黑客攻擊手段。版權(quán)所有，盜版必糾3.3信息分析3.3.1模式匹配版權(quán)所有，盜版必糾3.3信息分析3.3.2統(tǒng)計(jì)分析

統(tǒng)計(jì)分析方法通常用于異常入侵檢測(cè)當(dāng)中，它首先給系統(tǒng)對(duì)象（如用戶、文件、目錄和設(shè)備等）創(chuàng)建一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性（如訪問(wèn)次數(shù)、操作失敗次數(shù)和延時(shí)等）。測(cè)量屬性的平均值將被用來(lái)與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，任何觀察值在正常值范圍之外時(shí)，就認(rèn)為有入侵發(fā)生。例如，統(tǒng)計(jì)分析可能標(biāo)識(shí)一個(gè)不正常行為，因?yàn)樗l(fā)現(xiàn)一個(gè)在晚八點(diǎn)至早六點(diǎn)不登錄的帳戶卻在凌晨?jī)牲c(diǎn)試圖登錄。其優(yōu)點(diǎn)是可檢測(cè)到未知的入侵和更為復(fù)雜的入侵，缺點(diǎn)是誤報(bào)、漏報(bào)率高，且不適應(yīng)用戶正常行為的突然改變。具體的統(tǒng)計(jì)分析方法如基于專家系統(tǒng)的、基于模型推理的和基于神經(jīng)網(wǎng)絡(luò)的分析方法，目前正處于研究熱點(diǎn)和迅速發(fā)展之中。版權(quán)所有，盜版必糾3.3信息分析3.3.2統(tǒng)計(jì)分析版權(quán)所有，盜版必糾3.3信息分析3.3.3完整性分析完整性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓?，這經(jīng)常包括文件和目錄的內(nèi)容及屬性，它在發(fā)現(xiàn)被更改的、被木馬化的應(yīng)用程序方面特別有效。完整性分析利用強(qiáng)有力的加密機(jī)制，稱為消息摘要函數(shù)（例如MD5），它能識(shí)別哪怕是微小的變化。其優(yōu)點(diǎn)是不管模式匹配方法和統(tǒng)計(jì)分析方法能否發(fā)現(xiàn)入侵，只要是成功的攻擊導(dǎo)致了文件或其它對(duì)象的任何改變，它都能夠發(fā)現(xiàn)。缺點(diǎn)是一般以批處理方式實(shí)現(xiàn)，不用于實(shí)時(shí)響應(yīng)。盡管如此，完整性檢測(cè)方法還應(yīng)該是網(wǎng)絡(luò)安全產(chǎn)品的必要手段之一。例如，可以在每一天的某個(gè)特定時(shí)間內(nèi)開啟完整性分析模塊，對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行全面地掃描檢查。版權(quán)所有，盜版必糾3.3信息分析3.3.3完整性分析版權(quán)所有，盜版必糾3.3信息分析3.3.4數(shù)據(jù)分析機(jī)制根據(jù)IDS如何處理數(shù)據(jù)，可以將IDS分為分布式IDS和集中式IDS。1.分布式IDS：在一些與受監(jiān)視組件相應(yīng)的位置對(duì)數(shù)據(jù)進(jìn)行分析的IDS。2.集中式IDS：在一些固定且不受監(jiān)視組件數(shù)量限制的位置對(duì)數(shù)據(jù)進(jìn)行分析的IDS。這些定義是基于受監(jiān)視組件的數(shù)量而不是主機(jī)的數(shù)量，所以如果在系統(tǒng)中的不同組件中進(jìn)行數(shù)據(jù)分析，除了安裝集中式IDS外，有可能在一個(gè)主機(jī)中安裝分布式數(shù)據(jù)分析的IDS。分布式和集中式IDS都可以使用基于主機(jī)、基于網(wǎng)絡(luò)或兩者兼?zhèn)涞臄?shù)據(jù)收集方式。版權(quán)所有，盜版必糾3.3信息分析3.3.4數(shù)據(jù)分析機(jī)制版權(quán)所有，盜版必糾3.3信息分析3.3.4數(shù)據(jù)分析機(jī)制分布式IDS與集中式IDS的特點(diǎn)比較如下: 1.可靠性集中式：僅需運(yùn)行較少的組件；分布式：需要運(yùn)行較多的組件。

2.容錯(cuò)性集中式：容易使系統(tǒng)從崩潰中恢復(fù)，但也容易被故障中斷。分布式：由于分布特性，所有數(shù)據(jù)存儲(chǔ)時(shí)很難保持一致性和可恢復(fù)性。版權(quán)所有，盜版必糾3.3信息分析3.3.4數(shù)據(jù)分析機(jī)制版權(quán)所有，盜版必糾3.3信息分析3.3.4數(shù)據(jù)分析機(jī)制3.增加額外的系統(tǒng)開銷集中式：僅在分析組件中增加了一些開銷，那些被賦予了大量負(fù)載的主機(jī)應(yīng)專門用作分析。分布式：由于運(yùn)行的組件不大，主機(jī)上增加的開銷很小，但對(duì)大部分被監(jiān)視的主機(jī)增加了額外開銷。版權(quán)所有，盜版必糾3.3信息分析3.3.4數(shù)據(jù)分析機(jī)制版權(quán)所有，盜版必糾3.3信息分析3.3.4數(shù)據(jù)分析機(jī)制4.可擴(kuò)容性集中式：IDS的組件數(shù)量被限定，當(dāng)被監(jiān)視主機(jī)的數(shù)量增加時(shí)，需要更多的計(jì)算和存儲(chǔ)資源處理新增的負(fù)載。分布式：分布式系統(tǒng)可以通過(guò)增加組件的數(shù)量來(lái)監(jiān)視更多的主機(jī)，但擴(kuò)容將會(huì)受到新增組件之間需要相互通信的制約。版權(quán)所有，盜版必糾3.3信息分析3.3.4數(shù)據(jù)分析機(jī)制版權(quán)所有，盜版必糾3.3信息分析3.3.4數(shù)據(jù)分析機(jī)制5.平緩地降低服務(wù)等級(jí) 集中式：如果有一個(gè)分析組件停止了工作，一部分程序和主機(jī)就不再被監(jiān)視，但整個(gè)IDS仍在繼續(xù)工作。 分布式：如果有一個(gè)分析組件停止了工作，整個(gè)IDS就有可能停止工作。

6.動(dòng)態(tài)地重新配置 集中式：使用很少的組件來(lái)分析所有的數(shù)據(jù)，如果重新配置它們需要重新啟動(dòng)IDS。 分布式：很容易進(jìn)行重新配置，不會(huì)影響剩余部分的性能。由于分布式不易實(shí)現(xiàn)，目前的IDS產(chǎn)品多是集中式的。版權(quán)所有，盜版必糾3.3信息分析3.3.4數(shù)據(jù)分析機(jī)制版權(quán)所有，盜版必糾3.4告警與響應(yīng)在入侵檢測(cè)系統(tǒng)中，當(dāng)完成系統(tǒng)安全狀況分析并確定系統(tǒng)所出問(wèn)題之后，就要讓系統(tǒng)管理員知道這些問(wèn)題的存在，這在入侵檢測(cè)處理過(guò)程模型中稱為告警與響應(yīng)。告警通常以報(bào)告的形式告訴系統(tǒng)管理員被監(jiān)測(cè)對(duì)象的安全狀況。響應(yīng)包括被動(dòng)響應(yīng)和主動(dòng)響應(yīng)。版權(quán)所有，盜版必糾3.4告警與響應(yīng)在入侵檢測(cè)系統(tǒng)中，版權(quán)所有，盜版必糾3.4告警與響應(yīng)3.4.1被動(dòng)響應(yīng)與主動(dòng)響應(yīng)被動(dòng)響應(yīng)就是系統(tǒng)僅僅簡(jiǎn)單地記錄和報(bào)告所檢測(cè)出的問(wèn)題，而主動(dòng)響應(yīng)則是系統(tǒng)(自動(dòng)地或與用戶配合)為阻止或影響正在發(fā)生的攻擊進(jìn)程而采取行動(dòng)。在早期的入侵檢測(cè)系統(tǒng)中被動(dòng)響應(yīng)是唯一的響應(yīng)模式，隨著技術(shù)的不斷發(fā)展和人們對(duì)安全性的不斷提高主動(dòng)響應(yīng)成為現(xiàn)今入侵檢測(cè)系統(tǒng)的主要響應(yīng)模式。主動(dòng)響應(yīng)主要包括以下幾種選項(xiàng)可供選擇：版權(quán)所有，盜版必糾3.4告警與響應(yīng)3.4.1被動(dòng)響應(yīng)與主版權(quán)所有，盜版必糾3.4告警與響應(yīng)3.4.1被動(dòng)響應(yīng)與主動(dòng)響應(yīng)1.對(duì)入侵者采取反擊行動(dòng)(1)入侵追蹤技術(shù)對(duì)入侵者采取反擊行動(dòng)的方式在一些組織和機(jī)構(gòu)特別受歡迎，因?yàn)檫@些組織和機(jī)構(gòu)的網(wǎng)絡(luò)安全管理人員特別希望能夠追蹤入侵者的攻擊來(lái)源，并采取行動(dòng)切斷入侵者的機(jī)器和網(wǎng)絡(luò)連接。但是這一方式本身就存在安全漏洞。首先入侵者的常用攻擊方法是先黑掉一個(gè)系統(tǒng)，然后在利用被黑掉的系統(tǒng)作為攻擊另外系統(tǒng)的平臺(tái)；其次，即使入侵者來(lái)自一個(gè)合法的系統(tǒng)，但他也會(huì)利用IP地址欺騙技術(shù)使反擊誤傷到無(wú)辜者；并且反擊的結(jié)果可能挑起更猛烈的攻擊，因?yàn)槿肭终邥?huì)從常規(guī)監(jiān)視和掃描演變