信息安全入侵檢測技術(shù)課件

第5章入侵檢測技術(shù)內(nèi)容提要：入侵檢測概述入侵檢測的技術(shù)實(shí)現(xiàn)分布式入侵檢測入侵檢測系統(tǒng)的標(biāo)準(zhǔn)入侵檢測系統(tǒng)示例本章小結(jié)2022/12/91第5章入侵檢測技術(shù)內(nèi)容提要：2022/12/71入侵檢測技術(shù)研究最早可追溯到1980年JamesP.Aderson所寫的一份技術(shù)報(bào)告，他首先提出了入侵檢測的概念。1987年DorothyDenning提出了入侵檢測系統(tǒng)（IDS，IntrusionDetectionSystem）的抽象模型（如圖5-1所示），首次提出了入侵檢測可作為一種計(jì)算機(jī)系統(tǒng)安全防御措施的概念與傳統(tǒng)的加密和訪問控制技術(shù)相比，IDS是全新的計(jì)算機(jī)安全措施。返回本章首頁入侵檢測發(fā)展歷史2022/12/92入侵檢測技術(shù)研究最早可追溯到1980年JamesP.Ade返回本章首頁入侵檢測發(fā)展歷史2022/12/93返回本章首頁入侵檢測發(fā)展歷史2022/12/731988年TeresaLunt等人進(jìn)一步改進(jìn)了Denning提出的入侵檢測模型，并創(chuàng)建了IDES（IntrusionDetectionExpertSystem）該系統(tǒng)用于檢測單一主機(jī)的入侵嘗試，提出了與系統(tǒng)平臺(tái)無關(guān)的實(shí)時(shí)檢測思想1995年開發(fā)的NIDES（Next-GenerationIntrusionDetectionExpertSystem）作為IDES完善后的版本可以檢測出多個(gè)主機(jī)上的入侵。返回本章首頁入侵檢測發(fā)展歷史2022/12/941988年TeresaLunt等人進(jìn)一步改進(jìn)了Dennin1990年，Heberlein等人提出了一個(gè)具有里程碑意義的新型概念：基于網(wǎng)絡(luò)的入侵檢測——網(wǎng)絡(luò)安全監(jiān)視器NSM（NetworkSecurityMonitor）。1991年,NADIR（NetworkAnomalyDetectionandIntrusionReporter）與DIDS（DistributeIntrusionDetectionSystem）提出了通過收集和合并處理來自多個(gè)主機(jī)的審計(jì)信息可以檢測出一系列針對(duì)主機(jī)的協(xié)同攻擊。返回本章首頁入侵檢測發(fā)展歷史2022/12/951990年，Heberlein等人提出了一個(gè)具有里程碑意義的1994年，MarkCrosbie和GeneSpafford建議使用自治代理（autonomousagents）以提高IDS的可伸縮性、可維護(hù)性、效率和容錯(cuò)性，該理念非常符合計(jì)算機(jī)科學(xué)其他領(lǐng)域（如軟件代理，softwareagent）正在進(jìn)行的相關(guān)研究。另一個(gè)致力于解決當(dāng)代絕大多數(shù)入侵檢測系統(tǒng)伸縮性不足的方法于1996年提出，這就是GrIDS（Graph-basedIntrusionDetectionSystem）的設(shè)計(jì)和實(shí)現(xiàn)，該系統(tǒng)可以方便地檢測大規(guī)模自動(dòng)或協(xié)同方式的網(wǎng)絡(luò)攻擊。返回本章首頁入侵檢測發(fā)展歷史2022/12/961994年，MarkCrosbie和GeneSpaffo入侵檢測技術(shù)研究的主要?jiǎng)?chuàng)新有：Forrest等將免疫學(xué)原理運(yùn)用于分布式入侵檢測領(lǐng)域；1998年RossAnderson和AbidaKhattak將信息檢索技術(shù)引進(jìn)入侵檢測；以及采用狀態(tài)轉(zhuǎn)換分析、數(shù)據(jù)挖掘和遺傳算法等進(jìn)行誤用和異常檢測。返回本章首頁入侵檢測發(fā)展歷史2022/12/97入侵檢測技術(shù)研究的主要?jiǎng)?chuàng)新有：返回本章首頁入侵檢測發(fā)展歷史25.1.1入侵檢測原理入侵檢測入侵檢測是用于檢測任何損害或企圖損害系統(tǒng)的保密性、完整性或可用性的一種網(wǎng)絡(luò)安全技術(shù)。它通過監(jiān)視受保護(hù)系統(tǒng)的狀態(tài)和活動(dòng)，采用誤用檢測（MisuseDetection）或異常檢測（AnomalyDetection）的方式，發(fā)現(xiàn)非授權(quán)的或惡意的系統(tǒng)及網(wǎng)絡(luò)行為，為防范入侵行為提供有效的手段。返回本章首頁2022/12/985.1.1入侵檢測原理入侵檢測返回本章首頁2022/12圖5-2入侵檢測原理框圖

返回本章首頁2022/12/99圖5-2入侵檢測原理框圖返回本章首頁2022/12/79入侵檢測系統(tǒng)執(zhí)行入侵檢測任務(wù)的硬件或軟件產(chǎn)品

入侵檢測提供了用于發(fā)現(xiàn)入侵攻擊與合法用戶濫用特權(quán)的一種方法。其應(yīng)用前提是入侵行為和合法行為是可區(qū)分的，也即可以通過提取行為的模式特征來判斷該行為的性質(zhì)。一般地，入侵檢測系統(tǒng)需要解決兩個(gè)問題：如何充分并可靠地提取描述行為特征的數(shù)據(jù)；如何根據(jù)特征數(shù)據(jù)，高效并準(zhǔn)確地判定行為的性質(zhì)。返回本章首頁2022/12/910入侵檢測系統(tǒng)返回本章首頁2022/12/7105.1.2系統(tǒng)結(jié)構(gòu)由于網(wǎng)絡(luò)環(huán)境和系統(tǒng)安全策略的差異，入侵檢測系統(tǒng)在具體實(shí)現(xiàn)上也有所不同。從系統(tǒng)構(gòu)成上看，入侵檢測系統(tǒng)應(yīng)包括事件提取、入侵分析、入侵響應(yīng)和遠(yuǎn)程管理四大部分，另外還可能結(jié)合安全知識(shí)庫、數(shù)據(jù)存儲(chǔ)等功能模塊，提供更為完善的安全檢測及數(shù)據(jù)分析功能（如圖5-3所示）。返回本章首頁2022/12/9115.1.2系統(tǒng)結(jié)構(gòu)由于網(wǎng)絡(luò)環(huán)境和系統(tǒng)安全策略的差異，入侵檢圖5-3入侵檢測系統(tǒng)結(jié)構(gòu)返回本章首頁2022/12/912圖5-3入侵檢測系統(tǒng)結(jié)構(gòu)返回本章首頁2022/12/712入侵檢測的思想源于傳統(tǒng)的系統(tǒng)審計(jì)，但拓寬了傳統(tǒng)審計(jì)的概念，它以近乎不間斷的方式進(jìn)行安全檢測，從而可形成一個(gè)連續(xù)的檢測過程。這通常是通過執(zhí)行下列任務(wù)來實(shí)現(xiàn)的：監(jiān)視、分析用戶及系統(tǒng)活動(dòng)；系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)；識(shí)別分析知名攻擊的行為特征并告警；異常行為特征的統(tǒng)計(jì)分析；評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性；操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略的行為。返回本章首頁2022/12/913入侵檢測的思想源于傳統(tǒng)的系統(tǒng)審計(jì)，但拓寬了傳統(tǒng)審計(jì)的概念，它5.1.3系統(tǒng)分類由于功能和體系結(jié)構(gòu)的復(fù)雜性，入侵檢測按照不同的標(biāo)準(zhǔn)有多種分類方法?？煞謩e從數(shù)據(jù)源、檢測理論、檢測時(shí)效三個(gè)方面來描述入侵檢測系統(tǒng)的類型。

返回本章首頁2022/12/9145.1.3系統(tǒng)分類由于功能和體系結(jié)構(gòu)的復(fù)雜性，入侵檢測按照5.1.3系統(tǒng)分類1．基于數(shù)據(jù)源的分類

通常可以把入侵檢測系統(tǒng)分為五類，即：基于主機(jī)、基于網(wǎng)絡(luò)、混合入侵檢測、基于網(wǎng)關(guān)基于文件完整性檢測返回本章首頁2022/12/9155.1.3系統(tǒng)分類1．基于數(shù)據(jù)源的分類返回本章首頁2022．基于檢測理論的分類

從具體的檢測理論上來說，入侵檢測又可分為異常檢測和誤用檢測。

異常檢測（AnomalyDetection）指根據(jù)使用者的行為或資源使用狀況的正常程度來判斷是否入侵，而不依賴于具體行為是否出現(xiàn)來檢測。

誤用檢測（MisuseDetection）指運(yùn)用已知攻擊方法，根據(jù)已定義好的入侵模式，通過判斷這些入侵模式是否出現(xiàn)來檢測。

返回本章首頁2022/12/9162．基于檢測理論的分類返回本章首頁2022/12/7163．基于檢測時(shí)效的分類

IDS在處理數(shù)據(jù)的時(shí)候可以采用實(shí)時(shí)在線檢測方式，也可以采用批處理方式，定時(shí)對(duì)處理原始數(shù)據(jù)進(jìn)行離線檢測，這兩種方法各有特點(diǎn)（如圖5-5所示）。離線檢測方式將一段時(shí)間內(nèi)的數(shù)據(jù)存儲(chǔ)起來，然后定時(shí)發(fā)給數(shù)據(jù)處理單元進(jìn)行分析，如果在這段時(shí)間內(nèi)有攻擊發(fā)生就報(bào)警。在線檢測方式的實(shí)時(shí)處理是大多數(shù)IDS所采用的辦法，由于計(jì)算機(jī)硬件速度的提高，使得對(duì)攻擊的實(shí)時(shí)檢測和響應(yīng)成為可能。返回本章首頁2022/12/9173．基于檢測時(shí)效的分類返回本章首頁2022/12/717返回本章首頁2022/12/918返回本章首頁2022/12/7185.2入侵檢測的技術(shù)實(shí)現(xiàn)對(duì)于入侵檢測的研究，從早期的審計(jì)跟蹤數(shù)據(jù)分析，到實(shí)時(shí)入侵檢測系統(tǒng)，到目前應(yīng)用于大型網(wǎng)絡(luò)的分布式檢測系統(tǒng)，基本上已發(fā)展成為具有一定規(guī)模和相應(yīng)理論的研究領(lǐng)域。入侵檢測的核心問題在于如何對(duì)安全審計(jì)數(shù)據(jù)進(jìn)行分析，以檢測其中是否包含入侵或異常行為的跡象。這里，我們先從誤用檢測和異常檢測兩個(gè)方面介紹當(dāng)前關(guān)于入侵檢測技術(shù)的主流技術(shù)實(shí)現(xiàn)，然后對(duì)其它類型的檢測技術(shù)作簡要介紹。返回本章首頁2022/12/9195.2入侵檢測的技術(shù)實(shí)現(xiàn)對(duì)于入侵檢測的研究，從早期的審計(jì)5.2.1入侵檢測分析模型分析是入侵檢測的核心功能，它既能簡單到像一個(gè)已熟悉日志情況的管理員去建立決策表，也能復(fù)雜得像一個(gè)集成了幾百萬個(gè)處理的非參數(shù)系統(tǒng)。入侵檢測的分析處理過程可分為三個(gè)階段：構(gòu)建分析器，對(duì)實(shí)際現(xiàn)場數(shù)據(jù)進(jìn)行分析，反饋和提煉過程。其中，前兩個(gè)階段都包含三個(gè)功能：數(shù)據(jù)處理、數(shù)據(jù)分類（數(shù)據(jù)可分為入侵指示、非入侵指示或不確定）和后處理。返回本章首頁2022/12/9205.2.1入侵檢測分析模型分析是入侵檢測的核心功能，它既5.2.2誤用檢測（MisuseDetection）

誤用檢測是按照預(yù)定模式搜尋事件數(shù)據(jù)的，最適用于對(duì)已知模式的可靠檢測。執(zhí)行誤用檢測，主要依賴于可靠的用戶活動(dòng)記錄和分析事件的方法。1．條件概率預(yù)測法條件概率預(yù)測法是基于統(tǒng)計(jì)理論來量化全部外部網(wǎng)絡(luò)事件序列中存在入侵事件的可能程度。2022/12/9215.2.2誤用檢測（MisuseDetection）誤2．產(chǎn)生式/專家系統(tǒng)用專家系統(tǒng)對(duì)入侵進(jìn)行檢測，主要是檢測基于特征的入侵行為。專家系統(tǒng)的建立依賴于知識(shí)庫的完備性，而知識(shí)庫的完備性又取決于審計(jì)記錄的完備性與實(shí)時(shí)性。產(chǎn)生式/專家系統(tǒng)是誤用檢測早期的方案之一，在MIDAS、IDES、NIDES、DIDS和CMDS中都使用了這種方法。返回本章首頁2022/12/9222．產(chǎn)生式/專家系統(tǒng)返回本章首頁2022/12/7223．狀態(tài)轉(zhuǎn)換方法狀態(tài)轉(zhuǎn)換方法使用系統(tǒng)狀態(tài)和狀態(tài)轉(zhuǎn)換表達(dá)式來描述和檢測入侵，采用最優(yōu)模式匹配技巧來結(jié)構(gòu)化誤用檢測，增強(qiáng)了檢測的速度和靈活性。目前，主要有三種實(shí)現(xiàn)方法：狀態(tài)轉(zhuǎn)換分析、有色Petri-Net和語言/應(yīng)用編程接口（API）。返回本章首頁2022/12/9233．狀態(tài)轉(zhuǎn)換方法返回本章首頁2022/12/723返回本章首頁2022/12/924返回本章首頁2022/12/7245．KeystrokeMonitor和基于模型的方法KeystrokeMonitor是一種簡單的入侵檢測方法，它通過分析用戶擊鍵序列的模式來檢測入侵行為，常用于對(duì)主機(jī)的入侵檢測。該方法具有明顯的缺點(diǎn)，首先，批處理或Shell程序可以不通過擊鍵而直接調(diào)用系統(tǒng)攻擊命令序列；其次，操作系統(tǒng)通常不提供統(tǒng)一的擊鍵檢測接口，需通過額外的鉤子函數(shù)（Hook）來監(jiān)測擊鍵。返回本章首頁2022/12/9255．KeystrokeMonitor和基于模型的方法返回本5.2.3異常檢測（AnomalyDetection）

異常檢測基于一個(gè)假定：用戶的行為是可預(yù)測的、遵循一致性模式的，且隨著用戶事件的增加異常檢測會(huì)適應(yīng)用戶行為的變化。用戶行為的特征輪廓在異常檢測中是由度量（measure）集來描述，度量是特定網(wǎng)絡(luò)行為的定量表示，通常與某個(gè)檢測閥值或某個(gè)域相聯(lián)系。異常檢測可發(fā)現(xiàn)未知的攻擊方法，體現(xiàn)了強(qiáng)健的保護(hù)機(jī)制，但對(duì)于給定的度量集能否完備到表示所有的異常行為？仍需要深入研究。返回本章首頁2022/12/9265.2.3異常檢測（AnomalyDetection）1．Denning的原始模型

DorothyDenning于1986年給出了入侵檢測的IDES模型，她認(rèn)為在一個(gè)系統(tǒng)中可以包括四個(gè)統(tǒng)計(jì)模型，每個(gè)模型適合于一個(gè)特定類型的系統(tǒng)度量。

（1）可操作模型

（2）平均和標(biāo)準(zhǔn)偏差模型

（3）多變量模型

（4）Markov處理模型

返回本章首頁2022/12/9271．Denning的原始模型返回本章首頁2022/12/722．量化分析異常檢測最常用的方法就是將檢驗(yàn)規(guī)則和屬性以數(shù)值形式表示的量化分析，這種度量方法在Denning的可操作模型中有所涉及。量化分析通過采用從簡單的加法到比較復(fù)雜的密碼學(xué)計(jì)算得到的結(jié)果作為誤用檢測和異常檢測統(tǒng)計(jì)模型的基礎(chǔ)。常用量化方法（1）閥值檢驗(yàn)（2）基于目標(biāo)的集成檢查（3）量化分析和數(shù)據(jù)精簡返回本章首頁2022/12/9282．量化分析返回本章首頁2022/12/7283．統(tǒng)計(jì)度量

統(tǒng)計(jì)度量方法是產(chǎn)品化的入侵檢測系統(tǒng)中常用的方法，常見于異常檢測。運(yùn)用統(tǒng)計(jì)方法，有效地解決了四個(gè)問題：（1）選取有效的統(tǒng)計(jì)數(shù)據(jù)測量點(diǎn)，生成能夠反映主體特征的會(huì)話向量；（2）根據(jù)主體活動(dòng)產(chǎn)生的審計(jì)記錄，不斷更新當(dāng)前主體活動(dòng)的會(huì)話向量；（3）采用統(tǒng)計(jì)方法分析數(shù)據(jù)，判斷當(dāng)前活動(dòng)是否符合主體的歷史行為特征；（4）隨著時(shí)間推移，學(xué)習(xí)主體的行為特征，更新歷史記錄。返回本章首頁2022/12/9293．統(tǒng)計(jì)度量返回本章首頁2022/12/7294．非參數(shù)統(tǒng)計(jì)度量非參數(shù)統(tǒng)計(jì)方法通過使用非數(shù)據(jù)區(qū)分技術(shù)，尤其是群集分析技術(shù)來分析參數(shù)方法無法考慮的系統(tǒng)度量。群集分析的基本思想是，根據(jù)評(píng)估標(biāo)準(zhǔn)（也稱為特性）將收集到的大量歷史數(shù)據(jù)（一個(gè)樣本集）組織成群，通過預(yù)處理過程，將與具體事件流（經(jīng)常映射為一個(gè)具體用戶）相關(guān)的特性轉(zhuǎn)化為向量表示，再采用群集算法將彼此比較相近的向量成員組織成一個(gè)行為類這樣使用該分析技術(shù)的實(shí)驗(yàn)結(jié)果將會(huì)表明用何種方式構(gòu)成的群可以可靠地對(duì)用戶的行為進(jìn)行分組并識(shí)別。返回本章首頁2022/12/9304．非參數(shù)統(tǒng)計(jì)度量返回本章首頁2022/12/7305．基于規(guī)則的方法上面討論的異常檢測主要基于統(tǒng)計(jì)方法，異常檢測的另一個(gè)變種就是基于規(guī)則的方法。與統(tǒng)計(jì)方法不同的是基于規(guī)則的檢測使用規(guī)則集來表示和存儲(chǔ)使用模式。（1）Wisdom&Sense方法（2）基于時(shí)間的引導(dǎo)機(jī)（TIM）返回本章首頁2022/12/9315．基于規(guī)則的方法返回本章首頁2022/12/7315.2.4其它檢測技術(shù)這些技術(shù)不能簡單地歸類為誤用檢測或是異常檢測，而是提供了一種有別于傳統(tǒng)入侵檢測視角的技術(shù)層次，例如免疫系統(tǒng)、基因算法、數(shù)據(jù)挖掘、基于代理（Agent）的檢測等它們或者提供了更具普遍意義的分析技術(shù)，或者提出了新的檢測系統(tǒng)架構(gòu)，因此無論對(duì)于誤用檢測還是異常檢測來說，都可以得到很好的應(yīng)用。返回本章首頁2022/12/9325.2.4其它檢測技術(shù)這些技術(shù)不能簡單地歸類為誤用檢測或1．神經(jīng)網(wǎng)絡(luò)（NeuralNetwork）

作為人工智能（AI）的一個(gè)重要分支，神經(jīng)網(wǎng)絡(luò)（NeuralNetwork）在入侵檢測領(lǐng)域得到了很好的應(yīng)用它使用自適應(yīng)學(xué)習(xí)技術(shù)來提取異常行為的特征，需要對(duì)訓(xùn)練數(shù)據(jù)集進(jìn)行學(xué)習(xí)以得出正常的行為模式。這種方法要求保證用于學(xué)習(xí)正常模式的訓(xùn)練數(shù)據(jù)的純潔性，即不包含任何入侵或異常的用戶行為。

返回本章首頁2022/12/9331．神經(jīng)網(wǎng)絡(luò)（NeuralNetwork）返回本章首頁22．免疫學(xué)方法NewMexico大學(xué)的StephanieForrest提出了將生物免疫機(jī)制引入計(jì)算機(jī)系統(tǒng)的安全保護(hù)框架中。免疫系統(tǒng)中最基本也是最重要的能力是識(shí)別“自我/非自我”（self/nonself），換句話講，它能夠識(shí)別哪些組織是屬于正常機(jī)體的，不屬于正常的就認(rèn)為是異常，這個(gè)概念和入侵檢測中異常檢測的概念非常相似。

返回本章首頁2022/12/9342．免疫學(xué)方法返回本章首頁2022/12/7343．?dāng)?shù)據(jù)挖掘方法Columbia大學(xué)的WenkeLee在其博士論文中，提出了將數(shù)據(jù)挖掘（DataMining,DM）技術(shù)應(yīng)用到入侵檢測中，通過對(duì)網(wǎng)絡(luò)數(shù)據(jù)和主機(jī)系統(tǒng)調(diào)用數(shù)據(jù)的分析挖掘，發(fā)現(xiàn)誤用檢測規(guī)則或異常檢測模型。具體的工作包括利用數(shù)據(jù)挖掘中的關(guān)聯(lián)算法和序列挖掘算法提取用戶的行為模式，利用分類算法對(duì)用戶行為和特權(quán)程序的系統(tǒng)調(diào)用進(jìn)行分類預(yù)測。實(shí)驗(yàn)結(jié)果表明，這種方法在入侵檢測領(lǐng)域有很好的應(yīng)用前景。返回本章首頁2022/12/9353．?dāng)?shù)據(jù)挖掘方法返回本章首頁2022/12/7354．基因算法基因算法是進(jìn)化算法（evolutionaryalgorithms）的一種，引入了達(dá)爾文在進(jìn)化論中提出的自然選擇的概念（優(yōu)勝劣汰、適者生存）對(duì)系統(tǒng)進(jìn)行優(yōu)化。該算法對(duì)于處理多維系統(tǒng)的優(yōu)化是非常有效的。在基因算法的研究人員看來，入侵檢測的過程可以抽象為：為審計(jì)事件記錄定義一種向量表示形式，這種向量或者對(duì)應(yīng)于攻擊行為，或者代表正常行為。

返回本章首頁2022/12/9364．基因算法返回本章首頁2022/12/7365．基于代理的檢測近年來，一種基于Agent的檢測技術(shù)（Agent-BasedDetection）逐漸引起研究者的重視。所謂Agent，實(shí)際上可以看作是在執(zhí)行某項(xiàng)特定監(jiān)視任務(wù)的軟件實(shí)體?；贏gent的入侵檢測系統(tǒng)的靈活性保證它可以為保障系統(tǒng)的安全提供混合式的架構(gòu)，綜合運(yùn)用誤用檢測和異常檢測，從而彌補(bǔ)兩者各自的缺陷。返回本章首頁2022/12/9375．基于代理的檢測返回本章首頁2022/12/7375.3分布式入侵檢測

分布式入侵檢測（DistributedIntrusionDetection）是目前入侵檢測乃至整個(gè)網(wǎng)絡(luò)安全領(lǐng)域的熱點(diǎn)之一。到目前為止，還沒有嚴(yán)格意義上的分布式入侵檢測的商業(yè)化產(chǎn)品，但研究人員已經(jīng)提出并完成了多個(gè)原型系統(tǒng)。通常采用的方法中，一種是對(duì)現(xiàn)有的IDS進(jìn)行規(guī)模上的擴(kuò)展，另一種則通過IDS之間的信息共享來實(shí)現(xiàn)。具體的處理方法上也分為兩種：分布式信息收集、集中式處理；分布式信息收集、分布式處理。返回本章首頁2022/12/9385.3分布式入侵檢測分布式入侵檢測（Distribute5.3.1分布式入侵檢測的優(yōu)勢分布式入侵檢測由于采用了非集中的系統(tǒng)結(jié)構(gòu)和處理方式，相對(duì)于傳統(tǒng)的單機(jī)IDS具有一些明顯的優(yōu)勢：（1）檢測大范圍的攻擊行為（2）提高檢測的準(zhǔn)確度（3）提高檢測效率（4）協(xié)調(diào)響應(yīng)措施返回本章首頁2022/12/9395.3.1分布式入侵檢測的優(yōu)勢分布式入侵檢測由于采用了非5.3.2分布式入侵檢測的技術(shù)難點(diǎn)與傳統(tǒng)的單機(jī)IDS相比較，分布式入侵檢測系統(tǒng)具有明顯的優(yōu)勢。然而，在實(shí)現(xiàn)分布檢測組件的信息共享和協(xié)作上，卻存在著一些技術(shù)難點(diǎn)。StanfordResearchInstitute（SRI）在對(duì)EMERALD系統(tǒng)的研究中，列舉了分布式入侵檢測必須關(guān)注的關(guān)鍵問題：事件產(chǎn)生及存儲(chǔ)、狀態(tài)空間管理規(guī)則復(fù)雜度知識(shí)庫管理推理技術(shù)。

返回本章首頁2022/12/9405.3.2分布式入侵檢測的技術(shù)難點(diǎn)與傳統(tǒng)的單機(jī)IDS相比5.3.3分布式入侵檢測現(xiàn)狀

盡管分布式入侵檢測存在技術(shù)和其它層面的難點(diǎn)，但由于其相對(duì)于傳統(tǒng)的單機(jī)IDS所具有的優(yōu)勢，目前已經(jīng)成為這一領(lǐng)域的研究熱點(diǎn)。1．Snortnet它通過對(duì)傳統(tǒng)的單機(jī)IDS進(jìn)行規(guī)模上的擴(kuò)展，使系統(tǒng)具備分布式檢測的能力，是基于模式匹配的分布式入侵檢測系統(tǒng)的一個(gè)具體實(shí)現(xiàn)。主要包括三個(gè)組件：網(wǎng)絡(luò)感應(yīng)器、代理守護(hù)程序和監(jiān)視控制臺(tái)。返回本章首頁2022/12/9415.3.3分布式入侵檢測現(xiàn)狀盡管分布式入2．Agent-Based基于Agent的IDS由于其良好的靈活性和擴(kuò)展性，是分布式入侵檢測的一個(gè)重要研究方向。國外一些研究機(jī)構(gòu)在這方面已經(jīng)做了大量工作，其中Purdue大學(xué)的入侵檢測自治代理（AAFID）和SRI的EMERALD最具代表性。AAFID的體系結(jié)構(gòu)如圖5-10所示，其特點(diǎn)是形成了一個(gè)基于代理的分層順序控制和報(bào)告結(jié)構(gòu)。

返回本章首頁2022/12/9422．Agent-Based返回本章首頁2022/12/74返回本章首頁2022/12/943返回本章首頁2022/12/7433．DIDSDIDS(DistributedIntrusionDetectionSystem)是由UCDavis的SecurityLab完成的，它集成了兩種已有的入侵檢測系統(tǒng)，Haystack和NSM。Haystack由TracorAppliedSciencesandHaystack實(shí)驗(yàn)室針對(duì)多用戶主機(jī)的檢測任務(wù)而開發(fā)，數(shù)據(jù)源來自主機(jī)的系統(tǒng)日志。NSM則是由UCDavis開發(fā)的網(wǎng)絡(luò)安全監(jiān)視器，通過對(duì)數(shù)據(jù)包、連接記錄、應(yīng)用層會(huì)話的分析，結(jié)合入侵特征庫和正常的網(wǎng)絡(luò)流或會(huì)話記錄的模式庫，判斷當(dāng)前的網(wǎng)絡(luò)行為是否包含入侵或異常。返回本章首頁2022/12/9443．DIDS返回本章首頁2022/12/7444．GrIDSGrIDS（Graph-basedIntrusionDetectionSystem）同樣由UCDavis提出并實(shí)現(xiàn)該系統(tǒng)實(shí)現(xiàn)了一種在大規(guī)模網(wǎng)絡(luò)中使用圖形化表示的方法來描述網(wǎng)絡(luò)行為的途徑，其設(shè)計(jì)目標(biāo)主要針對(duì)大范圍的網(wǎng)絡(luò)攻擊，例如掃描、協(xié)同攻擊、網(wǎng)絡(luò)蠕蟲等。GrIDS的缺陷在于只是給出了網(wǎng)絡(luò)連接的圖形化表示，具體的入侵判斷仍然需要人工完成，而且系統(tǒng)的有效性和效率都有待驗(yàn)證和提高。返回本章首頁2022/12/9454．GrIDS返回本章首頁2022/12/7455．IntrusionStrategyBoeing公司的Ming-YuhHuang提出從入侵者的目的（IntrusionIntention），或者是入侵策略（IntrusionStrategy）入手，確定如何在不同的IDS組件之間進(jìn)行協(xié)作檢測。通過對(duì)入侵策略的分析調(diào)整審計(jì)策略和參數(shù)，構(gòu)成自適應(yīng)的審計(jì)檢測系統(tǒng)。返回本章首頁2022/12/9465．IntrusionStrategy返回本章首頁2026．?dāng)?shù)據(jù)融合（DataFusion）TimmBass提出將數(shù)據(jù)融合（DataFusion）的概念應(yīng)用到入侵檢測中，從而將分布式入侵檢測任務(wù)理解為在層次化模型下對(duì)多個(gè)感應(yīng)器的數(shù)據(jù)綜合問題。在這個(gè)層次化模型中，入侵檢測的數(shù)據(jù)源經(jīng)歷了從數(shù)據(jù)（Data）到信息（Information）再到知識(shí)（Knowledge）三個(gè)邏輯抽象層次。

返回本章首頁2022/12/9476．?dāng)?shù)據(jù)融合（DataFusion）返回本章首頁2022/7．基于抽象（Abstraction-based）的方法GMU的PengNing在其博士論文中提出了一種基于抽象（Abstraction-based）的分布式入侵檢測系統(tǒng)，基本思想是：設(shè)立中間層（systemview），提供與具體系統(tǒng)無關(guān)的抽象信息，用于分布式檢測系統(tǒng)中的信息共享抽象信息的內(nèi)容包括事件信息（event）以及系統(tǒng)實(shí)體間的斷言（dynamicpredicate）。中間層用于表示IDS間的共享信息的表示方式：IDS檢測到的攻擊或者IDS無法處理的事件信息作為event，IDS或受IDS監(jiān)控的系統(tǒng)的狀態(tài)則作為dynamicpredicates。

返回本章首頁2022/12/9487．基于抽象（Abstraction-based）的方法返5.4入侵檢測系統(tǒng)的標(biāo)準(zhǔn)從20世紀(jì)90年代到現(xiàn)在，入侵檢測系統(tǒng)的研發(fā)呈現(xiàn)出百家爭鳴的繁榮局面，并在智能化和分布式兩個(gè)方向取得了長足的進(jìn)展。為了提高IDS產(chǎn)品、組件及與其他安全產(chǎn)品之間的互操作性，DARPA和IETF的入侵檢測工作組（IDWG）分別發(fā)起制訂了一系列建議草案，從體系結(jié)構(gòu)、API、通信機(jī)制、語言格式等方面來規(guī)范IDS的標(biāo)準(zhǔn)。

DARPA提出了公共入侵檢測框架CIDF，最早由加州大學(xué)戴維斯分校的安全實(shí)驗(yàn)室起草；IDWG提出了三項(xiàng)建議草案IDMEF、IDXP、TunnelProfile返回本章首頁2022/12/9495.4入侵檢測系統(tǒng)的標(biāo)準(zhǔn)從20世紀(jì)90年代到現(xiàn)在，入侵檢5.4.1IETF/IDWG

IDWG定義了用于入侵檢測與響應(yīng)（IDR）系統(tǒng)之間或與需要交互的管理系統(tǒng)之間的信息共享所需要的數(shù)據(jù)格式和交換規(guī)程。IDWG提出了三項(xiàng)建議草案：入侵檢測消息交換格式（IDMEF）、入侵檢測交換協(xié)議（IDXP）隧道輪廓（TunnelProfile）。返回本章首頁2022/12/9505.4.1IETF/IDWGIDWG定義了用于入侵檢測與5.4.2CIDFCIDF的工作集中體現(xiàn)在四個(gè)方面：IDS的體系結(jié)構(gòu)、通信機(jī)制、描述語言和應(yīng)用編程接口API。CIDF在IDES和NIDES的基礎(chǔ)上提出了一個(gè)通用模型，將入侵檢測系統(tǒng)分為四個(gè)基本組件：事件產(chǎn)生器、事件分析器、響應(yīng)單元和事件數(shù)據(jù)庫。其結(jié)構(gòu)如圖5-15所示。

返回本章首頁2022/12/9515.4.2CIDFCIDF的工作集中體現(xiàn)在四個(gè)方面：ID返回本章首頁2022/12/952返回本章首頁2022/12/7525.5入侵檢測系統(tǒng)示例

為了直觀地理解入侵檢測的使用、配置等情況，這里我們以Snort為例，對(duì)構(gòu)建以Snort為基礎(chǔ)的入侵檢測系統(tǒng)做概要介紹。返回本章首頁2022/12/9535.5入侵檢測系統(tǒng)示例為了直觀地理解入侵檢測的使5.5.1Snort簡介Snort是一個(gè)開放源代碼的免費(fèi)軟件，它基于libpcap的數(shù)據(jù)包嗅探器，并可以作為一個(gè)輕量級(jí)的網(wǎng)絡(luò)入侵檢測系統(tǒng)（NIDS）。Snort具有很多優(yōu)勢：代碼短小、易于安裝、便于配置。功能十分強(qiáng)大和豐富集成了多種告警機(jī)制支持實(shí)時(shí)告警功能具有非常好擴(kuò)展能力遵循GPL，可以免費(fèi)使用返回本章首頁2022/12/9545.5.1Snort簡介Snort是一個(gè)開放源代碼的免費(fèi)5.5.2Snort的體系結(jié)構(gòu)

Snort在結(jié)構(gòu)上可分為數(shù)據(jù)包捕獲和解碼子系統(tǒng)、檢測引擎，以及日志及報(bào)警子系統(tǒng)三個(gè)部分。1．?dāng)?shù)據(jù)包捕獲和解碼子系統(tǒng)該子系統(tǒng)的功能是捕獲共享網(wǎng)絡(luò)的傳輸數(shù)據(jù)，并按照TCP/IP協(xié)議的不同層次將數(shù)據(jù)包解析。2．檢測引擎檢測引擎是NIDS實(shí)現(xiàn)的核心，準(zhǔn)確性和快速性是衡量其性能的重要指標(biāo)。

返回本章首頁2022/12/9555.5.2Snort的體系結(jié)構(gòu)Snort為了能夠快速準(zhǔn)確地進(jìn)行檢測和處理，Snort在檢測規(guī)則方面做了較為成熟的設(shè)計(jì)。Snort將所有已知的攻擊方法以規(guī)則的形式存放在規(guī)則庫中每一條規(guī)則由規(guī)則頭和規(guī)則選項(xiàng)兩部分組成。規(guī)則頭對(duì)應(yīng)于規(guī)則樹結(jié)點(diǎn)RTN（RuleTreeNode），包含動(dòng)作、協(xié)議、源（目的）地址和端口以及數(shù)據(jù)流向，這是所有規(guī)則共有的部分。規(guī)則選項(xiàng)對(duì)應(yīng)于規(guī)則選項(xiàng)結(jié)點(diǎn)OTN（OptionalTreeNode），包含報(bào)警信息（msg）、匹配內(nèi)容（content）等選項(xiàng)，這些內(nèi)容需要根據(jù)具體規(guī)則的性質(zhì)確定。返回本章首頁2022/12/956為了能夠快速準(zhǔn)確地進(jìn)行檢測和處理，Snort在檢測規(guī)則方面做檢測規(guī)則除了包括上述的關(guān)于“要檢測什么”，還應(yīng)該定義“檢測到了該做什么”。Snort定義了三種處理方式：alert（發(fā)送報(bào)警信息）、log（記錄該數(shù)據(jù)包）和pass（忽略該數(shù)據(jù)包），并定義為規(guī)則的第一個(gè)匹配關(guān)鍵字。這樣設(shè)計(jì)的目的是為了在程序中可以組織整個(gè)規(guī)則庫，即將所有的規(guī)則按照處理方式組織成三個(gè)鏈表，以用于更快速準(zhǔn)確地進(jìn)行匹配。如圖5-17所示。返回本章首頁2022/12/957檢測規(guī)則除了包括上述的關(guān)于“要檢測什么”，還應(yīng)該定義“檢測到返回本章首頁2022/12/958返回本章首頁2022/12/758當(dāng)Snort捕獲一個(gè)數(shù)據(jù)包時(shí)，首先分析該數(shù)據(jù)包使用哪個(gè)IP協(xié)議以決定將與某個(gè)規(guī)則樹進(jìn)行匹配。然后與RTN結(jié)點(diǎn)依次進(jìn)行匹配。當(dāng)與一個(gè)頭結(jié)點(diǎn)相匹配時(shí)，向下與OTN結(jié)點(diǎn)進(jìn)行匹配。每個(gè)OTN結(jié)點(diǎn)包含一條規(guī)則所對(duì)應(yīng)的全部選項(xiàng)，同時(shí)包含一組函數(shù)指針，用來實(shí)現(xiàn)對(duì)這些選項(xiàng)的匹配操作。當(dāng)數(shù)據(jù)包與某個(gè)OTN結(jié)點(diǎn)相匹配時(shí)，即判斷此數(shù)據(jù)包為攻擊數(shù)據(jù)包。具體流程見圖5-18所示。返回本章首頁2022/12/959當(dāng)Snort捕獲一個(gè)數(shù)據(jù)包時(shí)，首先分析該數(shù)據(jù)包使用哪個(gè)IP返回本章首頁2022/12/960返回本章首頁2022/12/7603．日志及報(bào)警子系統(tǒng)

一個(gè)好的NIDS，更應(yīng)該提供友好的輸出界面或發(fā)聲報(bào)警等。Snort是一個(gè)輕量級(jí)的NIDS，它的另外一個(gè)重要功能就是數(shù)據(jù)包記錄器，它主要采取用TCPDUMP的格式記錄信息、向syslog發(fā)送報(bào)警信息和以明文形式記錄報(bào)警信息三種方式。值得提出的是，Snort在網(wǎng)絡(luò)數(shù)據(jù)流量非常大時(shí)，可以將數(shù)據(jù)包信息壓縮從而實(shí)現(xiàn)快速報(bào)警。

返回本章首頁2022/12/9613．日志及報(bào)警子系統(tǒng)返回本章首頁2022/12/7615.5.3Snort的安裝與使用1.Snort安裝模式Snort可簡單安裝為守護(hù)進(jìn)程模式，也可安裝為包括很多其他工具的完整的入侵檢測系統(tǒng)。簡單方式安裝時(shí)，可以得到入侵?jǐn)?shù)據(jù)的文本文件或二進(jìn)制文件，然后用文本編輯器等工具進(jìn)行查看。Snort若與其它工具一起安裝，則可以支持更為復(fù)雜的操作。例如，將Snort數(shù)據(jù)發(fā)送給數(shù)據(jù)庫系統(tǒng)，從而支持通過Web界面進(jìn)行數(shù)據(jù)分析，以增強(qiáng)對(duì)Snort捕獲數(shù)據(jù)的直觀認(rèn)識(shí)，避免耗費(fèi)大量時(shí)間查閱晦澀的日志文件。返回本章首頁2022/12/9625.5.3Snort的安裝與使用1.Snort安裝模式返回返回本章首頁2022/12/963返回本章首頁2022/12/763（2）更新Snort規(guī)則下載最新的規(guī)則文件snortrules-snapshot-CURRENT.tar.gz。其中，CURRENT表示最新的版本號(hào)。[root@mailsnort]#mkdir/etc/snort[root@mailsnort]#cd/etc/snort[root@mailsnort]#tarzxvf/path/to/snortrules-snapshot-CURRENT.tar.gz返回本章首頁2022/12/964（2）更新Snort規(guī)則返回本章首頁2022/12/764（3）配置Snort建立config文件目錄：[root@mailsnort-2.8.0]#mkdir/etc/snort復(fù)制Snort配置文件snort.conf到Snort配置目錄：[root@mailsnort-2.8.0]#cp./etc/snort.conf/etc/snort/編輯snort.conf：[root@mailsnort-2.8.0]#vi/etc/snort/snort.conf修改后，一些關(guān)鍵設(shè)置如下：varHOME_NETyournetworkvarRULE_PATH/etc/snort/rulespreprocessorhttp_inspect:global\iis_unicode_map/etc/snort/rules/unicode.map1252include/etc/snort/rules/reference.configinclude/etc/snort/rules/classification.config返回本章首頁2022/12/965（3）配置Snort返回本章首頁2022/12/765（4）測試Snort#/usr/local/bin/snort-Afast-b-d-D-l/var/log/snort-c/etc/snort/snort.conf

查看文件/var/log/messages，若沒有錯(cuò)誤信息，則表示安裝成功。返回本章首頁2022/12/966（4）測試Snort返回本章首頁2022/12/766

3．Snort的工作模式

Snort有三種工作模式，即嗅探器、數(shù)據(jù)包記錄器、網(wǎng)絡(luò)入侵檢測系統(tǒng)。（1）嗅探器所謂的嗅探器模式就是Snort從網(wǎng)絡(luò)上獲取數(shù)據(jù)包然之后顯示在控制臺(tái)上。若只把TCP/IP包頭信息打印在屏幕上，則只需要執(zhí)行下列命令：./snort-v若顯示應(yīng)用層數(shù)據(jù)，則執(zhí)行：./snort-vd若同時(shí)顯示數(shù)據(jù)鏈路層信息，則執(zhí)行：./snort-vde返回本章首頁2022/12/9673．Snort的工作模式返回本章首頁2022

3．Snort的工作模式（2）數(shù)據(jù)包記錄器如果要把所有的數(shù)據(jù)包記錄到硬盤上，則需要指定一個(gè)日志目錄，Snort將會(huì)自動(dòng)記錄數(shù)據(jù)包：./snort-dev-l./log

如果網(wǎng)絡(luò)速度很快，或者希望日志更加緊湊以便事后分析，則應(yīng)該使用二進(jìn)制日志文件格式。使用下面的命令可以把所有的數(shù)據(jù)包記錄到一個(gè)單一的二進(jìn)制文件中：./snort-l./log-b返回本章首頁2022/12/9683．Snort的工作模式返回本章首頁2022/12/768

3．Snort的工作模式（3）網(wǎng)絡(luò)入侵檢測系統(tǒng)通過下面命令行，可以將Snort啟動(dòng)為網(wǎng)絡(luò)入侵檢測系統(tǒng)模式：./snort-dev-l./log-h/24-csnort.confsnort.conf是規(guī)則集文件。Snort會(huì)將每個(gè)包和規(guī)則集進(jìn)行匹配，一旦匹配成功就會(huì)采取響應(yīng)措施。若不指定輸出目錄，Snort就將日志輸出到/var/log/snort目錄。返回本章首頁2022/12/9693．Snort的工作模式返回本章首頁2022/12/7695.5.4Snort的安全防護(hù)為保護(hù)Snort系統(tǒng)的運(yùn)行安全，必須采取一些必要的安全防護(hù)措施，主要包括：加固運(yùn)行Snort系統(tǒng)的主機(jī)在隱秘端口上運(yùn)行Snort在不配置IP地址的接口上運(yùn)行Snort返回本章首頁2022/12/9705.5.4Snort的安全防護(hù)為保護(hù)Snort系統(tǒng)的運(yùn)行安5.6本章小結(jié)入侵檢測（IntrusionDetection）是保障網(wǎng)絡(luò)系統(tǒng)安全的關(guān)鍵部件，它通過監(jiān)視受保護(hù)系統(tǒng)的狀態(tài)和活動(dòng)，采用誤用檢測（MisuseDetection）或異常檢測（AnomalyDetection）的方式，發(fā)現(xiàn)非授權(quán)的或惡意的系統(tǒng)及網(wǎng)絡(luò)行為，為防范入侵行為提供有效的手段。入侵檢測按照不同的標(biāo)準(zhǔn)有多種分類方法。分布式入侵檢測（DistributedIntrusionDetection）對(duì)信息的處理方法分為兩種，即分布式信息收集、集中式處理和分布式信息收集、分布式處理。返回本章首頁2022/12/9715.6本章小結(jié)入侵檢測（IntrusionDetecti為了提高IDS產(chǎn)品、組件及與其他安全產(chǎn)品之間的互操作性，DARPA和IETF的入侵檢測工作組（IDWG）發(fā)起制訂了一系列建議草案，從體系結(jié)構(gòu)、API、通信機(jī)制、語言格式等方面來規(guī)范IDS的標(biāo)準(zhǔn)，但草案或建議目前都處于逐步完善之中，尚無被廣泛接受的國際標(biāo)準(zhǔn)。在安全實(shí)踐中，部署入侵檢測是一項(xiàng)繁瑣的工作，需要從三個(gè)方面對(duì)入侵檢測進(jìn)行改進(jìn)，即突破檢測速度瓶頸制約，適應(yīng)網(wǎng)絡(luò)通信需求；降低漏報(bào)和誤報(bào)，提高其安全性和準(zhǔn)確度；提高系統(tǒng)互動(dòng)性能，增強(qiáng)全系統(tǒng)的安全性能。返回本章首頁2022/12/972為了提高IDS產(chǎn)品、組件及與其他安全產(chǎn)品之間的互操作性，DA本章到此結(jié)束，謝謝！2022/12/973本章到此結(jié)束，謝謝！2022/12/773第5章入侵檢測技術(shù)內(nèi)容提要：入侵檢測概述入侵檢測的技術(shù)實(shí)現(xiàn)分布式入侵檢測入侵檢測系統(tǒng)的標(biāo)準(zhǔn)入侵檢測系統(tǒng)示例本章小結(jié)2022/12/974第5章入侵檢測技術(shù)內(nèi)容提要：2022/12/71入侵檢測技術(shù)研究最早可追溯到1980年JamesP.Aderson所寫的一份技術(shù)報(bào)告，他首先提出了入侵檢測的概念。1987年DorothyDenning提出了入侵檢測系統(tǒng)（IDS，IntrusionDetectionSystem）的抽象模型（如圖5-1所示），首次提出了入侵檢測可作為一種計(jì)算機(jī)系統(tǒng)安全防御措施的概念與傳統(tǒng)的加密和訪問控制技術(shù)相比，IDS是全新的計(jì)算機(jī)安全措施。返回本章首頁入侵檢測發(fā)展歷史2022/12/975入侵檢測技術(shù)研究最早可追溯到1980年JamesP.Ade返回本章首頁入侵檢測發(fā)展歷史2022/12/976返回本章首頁入侵檢測發(fā)展歷史2022/12/731988年TeresaLunt等人進(jìn)一步改進(jìn)了Denning提出的入侵檢測模型，并創(chuàng)建了IDES（IntrusionDetectionExpertSystem）該系統(tǒng)用于檢測單一主機(jī)的入侵嘗試，提出了與系統(tǒng)平臺(tái)無關(guān)的實(shí)時(shí)檢測思想1995年開發(fā)的NIDES（Next-GenerationIntrusionDetectionExpertSystem）作為IDES完善后的版本可以檢測出多個(gè)主機(jī)上的入侵。返回本章首頁入侵檢測發(fā)展歷史2022/12/9771988年TeresaLunt等人進(jìn)一步改進(jìn)了Dennin1990年，Heberlein等人提出了一個(gè)具有里程碑意義的新型概念：基于網(wǎng)絡(luò)的入侵檢測——網(wǎng)絡(luò)安全監(jiān)視器NSM（NetworkSecurityMonitor）。1991年,NADIR（NetworkAnomalyDetectionandIntrusionReporter）與DIDS（DistributeIntrusionDetectionSystem）提出了通過收集和合并處理來自多個(gè)主機(jī)的審計(jì)信息可以檢測出一系列針對(duì)主機(jī)的協(xié)同攻擊。返回本章首頁入侵檢測發(fā)展歷史2022/12/9781990年，Heberlein等人提出了一個(gè)具有里程碑意義的1994年，MarkCrosbie和GeneSpafford建議使用自治代理（autonomousagents）以提高IDS的可伸縮性、可維護(hù)性、效率和容錯(cuò)性，該理念非常符合計(jì)算機(jī)科學(xué)其他領(lǐng)域（如軟件代理，softwareagent）正在進(jìn)行的相關(guān)研究。另一個(gè)致力于解決當(dāng)代絕大多數(shù)入侵檢測系統(tǒng)伸縮性不足的方法于1996年提出，這就是GrIDS（Graph-basedIntrusionDetectionSystem）的設(shè)計(jì)和實(shí)現(xiàn)，該系統(tǒng)可以方便地檢測大規(guī)模自動(dòng)或協(xié)同方式的網(wǎng)絡(luò)攻擊。返回本章首頁入侵檢測發(fā)展歷史2022/12/9791994年，MarkCrosbie和GeneSpaffo入侵檢測技術(shù)研究的主要?jiǎng)?chuàng)新有：Forrest等將免疫學(xué)原理運(yùn)用于分布式入侵檢測領(lǐng)域；1998年RossAnderson和AbidaKhattak將信息檢索技術(shù)引進(jìn)入侵檢測；以及采用狀態(tài)轉(zhuǎn)換分析、數(shù)據(jù)挖掘和遺傳算法等進(jìn)行誤用和異常檢測。返回本章首頁入侵檢測發(fā)展歷史2022/12/980入侵檢測技術(shù)研究的主要?jiǎng)?chuàng)新有：返回本章首頁入侵檢測發(fā)展歷史25.1.1入侵檢測原理入侵檢測入侵檢測是用于檢測任何損害或企圖損害系統(tǒng)的保密性、完整性或可用性的一種網(wǎng)絡(luò)安全技術(shù)。它通過監(jiān)視受保護(hù)系統(tǒng)的狀態(tài)和活動(dòng)，采用誤用檢測（MisuseDetection）或異常檢測（AnomalyDetection）的方式，發(fā)現(xiàn)非授權(quán)的或惡意的系統(tǒng)及網(wǎng)絡(luò)行為，為防范入侵行為提供有效的手段。返回本章首頁2022/12/9815.1.1入侵檢測原理入侵檢測返回本章首頁2022/12圖5-2入侵檢測原理框圖

返回本章首頁2022/12/982圖5-2入侵檢測原理框圖返回本章首頁2022/12/79入侵檢測系統(tǒng)執(zhí)行入侵檢測任務(wù)的硬件或軟件產(chǎn)品

入侵檢測提供了用于發(fā)現(xiàn)入侵攻擊與合法用戶濫用特權(quán)的一種方法。其應(yīng)用前提是入侵行為和合法行為是可區(qū)分的，也即可以通過提取行為的模式特征來判斷該行為的性質(zhì)。一般地，入侵檢測系統(tǒng)需要解決兩個(gè)問題：如何充分并可靠地提取描述行為特征的數(shù)據(jù)；如何根據(jù)特征數(shù)據(jù)，高效并準(zhǔn)確地判定行為的性質(zhì)。返回本章首頁2022/12/983入侵檢測系統(tǒng)返回本章首頁2022/12/7105.1.2系統(tǒng)結(jié)構(gòu)由于網(wǎng)絡(luò)環(huán)境和系統(tǒng)安全策略的差異，入侵檢測系統(tǒng)在具體實(shí)現(xiàn)上也有所不同。從系統(tǒng)構(gòu)成上看，入侵檢測系統(tǒng)應(yīng)包括事件提取、入侵分析、入侵響應(yīng)和遠(yuǎn)程管理四大部分，另外還可能結(jié)合安全知識(shí)庫、數(shù)據(jù)存儲(chǔ)等功能模塊，提供更為完善的安全檢測及數(shù)據(jù)分析功能（如圖5-3所示）。返回本章首頁2022/12/9845.1.2系統(tǒng)結(jié)構(gòu)由于網(wǎng)絡(luò)環(huán)境和系統(tǒng)安全策略的差異，入侵檢圖5-3入侵檢測系統(tǒng)結(jié)構(gòu)返回本章首頁2022/12/985圖5-3入侵檢測系統(tǒng)結(jié)構(gòu)返回本章首頁2022/12/712入侵檢測的思想源于傳統(tǒng)的系統(tǒng)審計(jì)，但拓寬了傳統(tǒng)審計(jì)的概念，它以近乎不間斷的方式進(jìn)行安全檢測，從而可形成一個(gè)連續(xù)的檢測過程。這通常是通過執(zhí)行下列任務(wù)來實(shí)現(xiàn)的：監(jiān)視、分析用戶及系統(tǒng)活動(dòng)；系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)；識(shí)別分析知名攻擊的行為特征并告警；異常行為特征的統(tǒng)計(jì)分析；評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性；操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略的行為。返回本章首頁2022/12/986入侵檢測的思想源于傳統(tǒng)的系統(tǒng)審計(jì)，但拓寬了傳統(tǒng)審計(jì)的概念，它5.1.3系統(tǒng)分類由于功能和體系結(jié)構(gòu)的復(fù)雜性，入侵檢測按照不同的標(biāo)準(zhǔn)有多種分類方法?？煞謩e從數(shù)據(jù)源、檢測理論、檢測時(shí)效三個(gè)方面來描述入侵檢測系統(tǒng)的類型。

返回本章首頁2022/12/9875.1.3系統(tǒng)分類由于功能和體系結(jié)構(gòu)的復(fù)雜性，入侵檢測按照5.1.3系統(tǒng)分類1．基于數(shù)據(jù)源的分類

通常可以把入侵檢測系統(tǒng)分為五類，即：基于主機(jī)、基于網(wǎng)絡(luò)、混合入侵檢測、基于網(wǎng)關(guān)基于文件完整性檢測返回本章首頁2022/12/9885.1.3系統(tǒng)分類1．基于數(shù)據(jù)源的分類返回本章首頁2022．基于檢測理論的分類

從具體的檢測理論上來說，入侵檢測又可分為異常檢測和誤用檢測。

異常檢測（AnomalyDetection）指根據(jù)使用者的行為或資源使用狀況的正常程度來判斷是否入侵，而不依賴于具體行為是否出現(xiàn)來檢測。

誤用檢測（MisuseDetection）指運(yùn)用已知攻擊方法，根據(jù)已定義好的入侵模式，通過判斷這些入侵模式是否出現(xiàn)來檢測。

返回本章首頁2022/12/9892．基于檢測理論的分類返回本章首頁2022/12/7163．基于檢測時(shí)效的分類

IDS在處理數(shù)據(jù)的時(shí)候可以采用實(shí)時(shí)在線檢測方式，也可以采用批處理方式，定時(shí)對(duì)處理原始數(shù)據(jù)進(jìn)行離線檢測，這兩種方法各有特點(diǎn)（如圖5-5所示）。離線檢測方式將一段時(shí)間內(nèi)的數(shù)據(jù)存儲(chǔ)起來，然后定時(shí)發(fā)給數(shù)據(jù)處理單元進(jìn)行分析，如果在這段時(shí)間內(nèi)有攻擊發(fā)生就報(bào)警。在線檢測方式的實(shí)時(shí)處理是大多數(shù)IDS所采用的辦法，由于計(jì)算機(jī)硬件速度的提高，使得對(duì)攻擊的實(shí)時(shí)檢測和響應(yīng)成為可能。返回本章首頁2022/12/9903．基于檢測時(shí)效的分類返回本章首頁2022/12/717返回本章首頁2022/12/991返回本章首頁2022/12/7185.2入侵檢測的技術(shù)實(shí)現(xiàn)對(duì)于入侵檢測的研究，從早期的審計(jì)跟蹤數(shù)據(jù)分析，到實(shí)時(shí)入侵檢測系統(tǒng)，到目前應(yīng)用于大型網(wǎng)絡(luò)的分布式檢測系統(tǒng)，基本上已發(fā)展成為具有一定規(guī)模和相應(yīng)理論的研究領(lǐng)域。入侵檢測的核心問題在于如何對(duì)安全審計(jì)數(shù)據(jù)進(jìn)行分析，以檢測其中是否包含入侵或異常行為的跡象。這里，我們先從誤用檢測和異常檢測兩個(gè)方面介紹當(dāng)前關(guān)于入侵檢測技術(shù)的主流技術(shù)實(shí)現(xiàn)，然后對(duì)其它類型的檢測技術(shù)作簡要介紹。返回本章首頁2022/12/9925.2入侵檢測的技術(shù)實(shí)現(xiàn)對(duì)于入侵檢測的研究，從早期的審計(jì)5.2.1入侵檢測分析模型分析是入侵檢測的核心功能，它既能簡單到像一個(gè)已熟悉日志情況的管理員去建立決策表，也能復(fù)雜得像一個(gè)集成了幾百萬個(gè)處理的非參數(shù)系統(tǒng)。入侵檢測的分析處理過程可分為三個(gè)階段：構(gòu)建分析器，對(duì)實(shí)際現(xiàn)場數(shù)據(jù)進(jìn)行分析，反饋和提煉過程。其中，前兩個(gè)階段都包含三個(gè)功能：數(shù)據(jù)處理、數(shù)據(jù)分類（數(shù)據(jù)可分為入侵指示、非入侵指示或不確定）和后處理。返回本章首頁2022/12/9935.2.1入侵檢測分析模型分析是入侵檢測的核心功能，它既5.2.2誤用檢測（MisuseDetection）

誤用檢測是按照預(yù)定模式搜尋事件數(shù)據(jù)的，最適用于對(duì)已知模式的可靠檢測。執(zhí)行誤用檢測，主要依賴于可靠的用戶活動(dòng)記錄和分析事件的方法。1．條件概率預(yù)測法條件概率預(yù)測法是基于統(tǒng)計(jì)理論來量化全部外部網(wǎng)絡(luò)事件序列中存在入侵事件的可能程度。2022/12/9945.2.2誤用檢測（MisuseDetection）誤2．產(chǎn)生式/專家系統(tǒng)用專家系統(tǒng)對(duì)入侵進(jìn)行檢測，主要是檢測基于特征的入侵行為。專家系統(tǒng)的建立依賴于知識(shí)庫的完備性，而知識(shí)庫的完備性又取決于審計(jì)記錄的完備性與實(shí)時(shí)性。產(chǎn)生式/專家系統(tǒng)是誤用檢測早期的方案之一，在MIDAS、IDES、NIDES、DIDS和CMDS中都使用了這種方法。返回本章首頁2022/12/9952．產(chǎn)生式/專家系統(tǒng)返回本章首頁2022/12/7223．狀態(tài)轉(zhuǎn)換方法狀態(tài)轉(zhuǎn)換方法使用系統(tǒng)狀態(tài)和狀態(tài)轉(zhuǎn)換表達(dá)式來描述和檢測入侵，采用最優(yōu)模式匹配技巧來結(jié)構(gòu)化誤用檢測，增強(qiáng)了檢測的速度和靈活性。目前，主要有三種實(shí)現(xiàn)方法：狀態(tài)轉(zhuǎn)換分析、有色Petri-Net和語言/應(yīng)用編程接口（API）。返回本章首頁2022/12/9963．狀態(tài)轉(zhuǎn)換方法返回本章首頁2022/12/723返回本章首頁2022/12/997返回本章首頁2022/12/7245．KeystrokeMonitor和基于模型的方法KeystrokeMonitor是一種簡單的入侵檢測方法，它通過分析用戶擊鍵序列的模式來檢測入侵行為，常用于對(duì)主機(jī)的入侵檢測。該方法具有明顯的缺點(diǎn)，首先，批處理或Shell程序可以不通過擊鍵而直接調(diào)用系統(tǒng)攻擊命令序列；其次，操作系統(tǒng)通常不提供統(tǒng)一的擊鍵檢測接口，需通過額外的鉤子函數(shù)（Hook）來監(jiān)測擊鍵。返回本章首頁2022/12/9985．KeystrokeMonitor和基于模型的方法返回本5.2.3異常檢測（AnomalyDetection）

異常檢測基于一個(gè)假定：用戶的行為是可預(yù)測的、遵循一致性模式的，且隨著用戶事件的增加異常檢測會(huì)適應(yīng)用戶行為的變化。用戶行為的特征輪廓在異常檢測中是由度量（measure）集來描述，度量是特定網(wǎng)絡(luò)行為的定量表示，通常與某個(gè)檢測閥值或某個(gè)域相聯(lián)系。異常檢測可發(fā)現(xiàn)未知的攻擊方法，體現(xiàn)了強(qiáng)健的保護(hù)機(jī)制，但對(duì)于給定的度量集能否完備到表示所有的異常行為？仍需要深入研究。返回本章首頁2022/12/9995.2.3異常檢測（AnomalyDetection）1．Denning的原始模型

DorothyDenning于1986年給出了入侵檢測的IDES模型，她認(rèn)為在一個(gè)系統(tǒng)中可以包括四個(gè)統(tǒng)計(jì)模型，每個(gè)模型適合于一個(gè)特定類型的系統(tǒng)度量。

（1）可操作模型

（2）平均和標(biāo)準(zhǔn)偏差模型

（3）多變量模型

（4）Markov處理模型

返回本章首頁2022/12/91001．Denning的原始模型返回本章首頁2022/12/722．量化分析異常檢測最常用的方法就是將檢驗(yàn)規(guī)則和屬性以數(shù)值形式表示的量化分析，這種度量方法在Denning的可操作模型中有所涉及。量化分析通過采用從簡單的加法到比較復(fù)雜的密碼學(xué)計(jì)算得到的結(jié)果作為誤用檢測和異常檢測統(tǒng)計(jì)模型的基礎(chǔ)。常用量化方法（1）閥值檢驗(yàn)（2）基于目標(biāo)的集成檢查（3）量化分析和數(shù)據(jù)精簡返回本章首頁2022/12/91012．量化分析返回本章首頁2022/12/7283．統(tǒng)計(jì)度量

統(tǒng)計(jì)度量方法是產(chǎn)品化的入侵檢測系統(tǒng)中常用的方法，常見于異常檢測。運(yùn)用統(tǒng)計(jì)方法，有效地解決了四個(gè)問題：（1）選取有效的統(tǒng)計(jì)數(shù)據(jù)測量點(diǎn)，生成能夠反映主體特征的會(huì)話向量；（2）根據(jù)主體活動(dòng)產(chǎn)生的審計(jì)記錄，不斷更新當(dāng)前主體活動(dòng)的會(huì)話向量；（3）采用統(tǒng)計(jì)方法分析數(shù)據(jù)，判斷當(dāng)前活動(dòng)是否符合主體的歷史行為特征；（4）隨著時(shí)間推移，學(xué)習(xí)主體的行為特征，更新歷史記錄。返回本章首頁2022/12/91023．統(tǒng)計(jì)度量返回本章首頁2022/12/7294．非參數(shù)統(tǒng)計(jì)度量非參數(shù)統(tǒng)計(jì)方法通過使用非數(shù)據(jù)區(qū)分技術(shù)，尤其是群集分析技術(shù)來分析參數(shù)方法無法考慮的系統(tǒng)度量。群集分析的基本思想是，根據(jù)評(píng)估標(biāo)準(zhǔn)（也稱為特性）將收集到的大量歷史數(shù)據(jù)（一個(gè)樣本集）組織成群，通過預(yù)處理過程，將與具體事件流（經(jīng)常映射為一個(gè)具體用戶）相關(guān)的特性轉(zhuǎn)化為向量表示，再采用群集算法將彼此比較相近的向量成員組織成一個(gè)行為類這樣使用該分析技術(shù)的實(shí)驗(yàn)結(jié)果將會(huì)表明用何種方式構(gòu)成的群可以可靠地對(duì)用戶的行為進(jìn)行分組并識(shí)別。返回本章首頁2022/12/91034．非參數(shù)統(tǒng)計(jì)度量返回本章首頁2022/12/7305．基于規(guī)則的方法上面討論的異常檢測主要基于統(tǒng)計(jì)方法，異常檢測的另一個(gè)變種就是基于規(guī)則的方法。與統(tǒng)計(jì)方法不同的是基于規(guī)則的檢測使用規(guī)則集來表示和存儲(chǔ)使用模式。（1）Wisdom&Sense方法（2）基于時(shí)間的引導(dǎo)機(jī)（TIM）返回本章首頁2022/12/91045．基于規(guī)則的方法返回本章首頁2022/12/7315.2.4其它檢測技術(shù)這些技術(shù)不能簡單地歸類為誤用檢測或是異常檢測，而是提供了一種有別于傳統(tǒng)入侵檢測視角的技術(shù)層次，例如免疫系統(tǒng)、基因算法、數(shù)據(jù)挖掘、基于代理（Agent）的檢測等它們或者提供了更具普遍意義的分析技術(shù)，或者提出了新的檢測系統(tǒng)架構(gòu)，因此無論對(duì)于誤用檢測還是異常檢測來說，都可以得到很好的應(yīng)用。返回本章首頁2022/12/91055.2.4其它檢測技術(shù)這些技術(shù)不能簡單地歸類為誤用檢測或1．神經(jīng)網(wǎng)絡(luò)（NeuralNetwork）

作為人工智能（AI）的一個(gè)重要分支，神經(jīng)網(wǎng)絡(luò)（NeuralNetwork）在入侵檢測領(lǐng)域得到了很好的應(yīng)用它使用自適應(yīng)學(xué)習(xí)技術(shù)來提取異常行為的特征，需要對(duì)訓(xùn)練數(shù)據(jù)集進(jìn)行學(xué)習(xí)以得出正常的行為模式。這種方法要求保證用于學(xué)習(xí)正常模式的訓(xùn)練數(shù)據(jù)的純潔性，即不包含任何入侵或異常的用戶行為。

返回本章首頁2022/12/91061．神經(jīng)網(wǎng)絡(luò)（NeuralNetwork）返回本章首頁22．免疫學(xué)方法NewMexico大學(xué)的StephanieForrest提出了將生物免疫機(jī)制引入計(jì)算機(jī)系統(tǒng)的安全保護(hù)框架中。免疫系統(tǒng)中最基本也是最重要的能力是識(shí)別“自我/非自我”（self/nonself），換句話講，它能夠識(shí)別哪些組織是屬于正常機(jī)體的，不屬于正常的就認(rèn)為是異常，這個(gè)概念和入侵檢測中異常檢測的概念非常相似。

返回本章首頁2022/12/91072．免疫學(xué)方法返回本章首頁2022/12/7343．?dāng)?shù)據(jù)挖掘方法Columbia大學(xué)的WenkeLee在其博士論文中，提出了將數(shù)據(jù)挖掘（DataMining,DM）技術(shù)應(yīng)用到入侵檢測中，通過對(duì)網(wǎng)絡(luò)數(shù)據(jù)和主機(jī)系統(tǒng)調(diào)用數(shù)據(jù)的分析挖掘，發(fā)現(xiàn)誤用檢測規(guī)則或異常檢測模型。具體的工作包括利用數(shù)據(jù)挖掘中的關(guān)聯(lián)算法和序列挖掘算法提取用戶的行為模式，利用分類算法對(duì)用戶行為和特權(quán)程序的系統(tǒng)調(diào)用進(jìn)行分類預(yù)測。實(shí)驗(yàn)結(jié)果表明，這種方法在入侵檢測領(lǐng)域有很好的應(yīng)用前景。返回本章首頁2022/12/91083．?dāng)?shù)據(jù)挖掘方法返回本章首頁2022/12/7354．基因算法基因算法是進(jìn)化算法（evolutionaryalgorithms）的一種，引入了達(dá)爾文在進(jìn)化論中提出的自然選擇的概念（優(yōu)勝劣汰、適者生存）對(duì)系統(tǒng)進(jìn)行優(yōu)化。該算法對(duì)于處理多維系統(tǒng)的優(yōu)化是非常有效的。在基因算法的研究人員看來，入侵檢測的過程可以抽象為：為審計(jì)事件記錄定義一種向量表示形式，這種向量或者對(duì)應(yīng)于攻擊行為，或者代表正常行為。

返回本章首頁2022/12/91094．基因算法返回本章首頁2022/12/7365．基于代理的檢測近年來，一種基于Agent的檢測技術(shù)（Agent-BasedDetection）逐漸引起研究者的重視。所謂Agent，實(shí)際上可以看作是在執(zhí)行某項(xiàng)特定監(jiān)視任務(wù)的軟件實(shí)體?；贏gent的入侵檢測系統(tǒng)的靈活性保證它可以為保障系統(tǒng)的安全提供混合式的架構(gòu)，綜合運(yùn)用誤用檢測和異常檢測，從而彌補(bǔ)兩者各自的缺陷。返回本章首頁2022/12/91105．基于代理的檢測返回本章首頁2022/12/7375.3分布式入侵檢測

分布式入侵檢測（DistributedIntrusionDetection）是目前入侵檢測乃至整個(gè)網(wǎng)絡(luò)安全領(lǐng)域的熱點(diǎn)之一。到目前為止，還沒有嚴(yán)格意義上的分布式入侵檢測的商業(yè)化產(chǎn)品，但研究人員已經(jīng)提出并完成了多個(gè)原型系統(tǒng)。通常采用的方法中，一種是對(duì)現(xiàn)有的IDS進(jìn)行規(guī)模上的擴(kuò)展，另一種則通過IDS之間的信息共享來實(shí)現(xiàn)。具體的處理方法上也分為兩種：分布式信息收集、集中式處理；分布式信息收集、分布式處理。返回本章首頁2022/12/91115.3分布式入侵檢測分布式入侵檢測（Distribute5.3.1分布式入侵檢測的優(yōu)勢分布式入侵檢測由于采用了非集中的系統(tǒng)結(jié)構(gòu)和處理方式，相對(duì)于傳統(tǒng)的單機(jī)IDS具有一些明顯的優(yōu)勢：（1）檢測大范圍的攻擊行為（2）提高檢測的準(zhǔn)確度（3）提高檢測效率（4）協(xié)調(diào)響應(yīng)措施返回本章首頁2022/12/91125.3.1分布式入侵檢測的優(yōu)勢分布式入侵檢測由于采用了非5.3.2分布式入侵檢測的技術(shù)難點(diǎn)與傳統(tǒng)的單機(jī)IDS相比較，分布式入侵檢測系統(tǒng)具有明顯的優(yōu)勢。然而，在實(shí)現(xiàn)分布檢測組件的信息共享和協(xié)作上，卻存在著一些技術(shù)難點(diǎn)。StanfordResearchInstitute（SRI）在對(duì)EMERALD系統(tǒng)的研究中，列舉了分布式入侵檢測必須關(guān)注的關(guān)鍵問題：事件產(chǎn)生及存儲(chǔ)、狀態(tài)空間管理規(guī)則復(fù)雜度知識(shí)庫管理推理技術(shù)。

返回本章首頁2022/12/91135.3.2分布式入侵檢測的技術(shù)難點(diǎn)與傳統(tǒng)的單機(jī)IDS相比5.3.3分布式入侵檢測現(xiàn)狀

盡管分布式入侵檢測存在技術(shù)和其它層面的難點(diǎn)，但由于其相對(duì)于傳統(tǒng)的單機(jī)IDS所具有的優(yōu)勢，目前已經(jīng)成為這一領(lǐng)域的研究熱點(diǎn)。1．Snortnet它通過對(duì)傳統(tǒng)的單機(jī)IDS進(jìn)行規(guī)模上的擴(kuò)展，使系統(tǒng)具備分布式檢測的能力，是基于模式匹配的分布式入侵檢測系統(tǒng)的一個(gè)具體實(shí)現(xiàn)。主要包括三個(gè)組件：網(wǎng)絡(luò)感應(yīng)器、代理守護(hù)程序和監(jiān)視控制臺(tái)。返回本章首頁2022/12/91145.3.3分布式入侵檢測現(xiàn)狀盡管分布式入2．Agent-Based基于Agent的IDS由于其良好的靈活性和擴(kuò)展性，是分布式入侵檢測的一個(gè)重要研究方向。國外一些研究機(jī)構(gòu)在這方面已經(jīng)做了大量工作，其中Purdue大學(xué)的入侵檢測自治代理（AAFID）和SRI的EMERALD最具代表性。AAFID的體系結(jié)構(gòu)如圖5-10所示，其特點(diǎn)是形成了一個(gè)基于代理的分層順序控制和報(bào)告結(jié)構(gòu)。

返回本章首頁2022/12/91152．Agent-Based返回本章首頁2022/12/74返回本章首頁2022/12/9116返回本章首頁2022/12/7433．DIDSDIDS(DistributedIntrusionDetectionSystem)是由UCDavis的SecurityLab完成的，它集成了兩種已有的入侵檢測系統(tǒng)，Haystack和NSM。Haystack由TracorAppliedSciencesandHaystack實(shí)驗(yàn)室針對(duì)多用戶主機(jī)的檢測任務(wù)而開發(fā)，數(shù)據(jù)源來自主機(jī)的系統(tǒng)日志。NSM則是由UCDavis開發(fā)的網(wǎng)絡(luò)安全監(jiān)視器，通過對(duì)數(shù)據(jù)包、連接記錄、應(yīng)用層會(huì)話的分析，結(jié)合入侵特征庫和正常的網(wǎng)絡(luò)流或會(huì)話記錄的模式庫，判斷當(dāng)前的網(wǎng)絡(luò)行為是否包含入侵或異常。返回本章首頁2022/12/91173．DIDS返回本章首頁2022/12/7444．GrIDSGrIDS（Graph-basedIntrusionDetectionSystem）同樣由UCDavis提出并實(shí)現(xiàn)該系統(tǒng)實(shí)現(xiàn)了一種在大規(guī)模網(wǎng)絡(luò)中使用圖形化表示的方法來描述網(wǎng)絡(luò)行為的途徑，其設(shè)計(jì)目標(biāo)主要針對(duì)大范圍的網(wǎng)絡(luò)攻擊，例如掃描、協(xié)同攻擊、網(wǎng)絡(luò)蠕蟲等。GrIDS的缺陷在于只是給出了網(wǎng)絡(luò)連接的圖形化表示，具體的入侵判斷仍然需要人工完成，而且系統(tǒng)的有效性和效率都有待驗(yàn)證和提高。返回本章首頁2022/12/91184．GrIDS返回本章首頁2022/12/7455．IntrusionStrategyBoeing公司的Ming-YuhHuang提出從入侵者的目的（IntrusionIntention），或者是入侵策略（IntrusionStrategy）入手，確定如何在不同的IDS組件之間進(jìn)行協(xié)作檢測。通過對(duì)入侵策略的分析調(diào)整審計(jì)策略和參數(shù)，構(gòu)成自適應(yīng)的審計(jì)檢測系統(tǒng)。返回本章首頁2022/12/91195．IntrusionStrategy返回本章首頁2026．?dāng)?shù)據(jù)融合（DataFusion）TimmBass提出將數(shù)據(jù)融合（DataFusion）的概念應(yīng)用到入侵檢測中，從而將分布式入侵檢測任務(wù)理解為在層次化模型下對(duì)多個(gè)感應(yīng)器的數(shù)據(jù)綜合問題。在這個(gè)層次化模型中，入侵檢測的數(shù)據(jù)源經(jīng)歷了從數(shù)據(jù)（Data）到信息（Information）再到知識(shí)（Knowledge）三個(gè)邏輯抽象層次。

返回本章首頁2022/12/91206．?dāng)?shù)據(jù)融合（DataFusion）返回本章首頁2022/7．基于抽象（Abstraction-based）的方法GMU的PengNing在其博士論文中提出了一種基于抽象（Abstraction-based）的分布式入侵檢測系統(tǒng)，基本思想是：設(shè)立中間層（systemview），提供與具體系統(tǒng)無關(guān)的抽象信息，用于分布式檢測系統(tǒng)中的信息共享抽象信息的內(nèi)容包括事件信息（event）以及系統(tǒng)實(shí)體間的斷言（dynamicpredicate）。中間層用于表示IDS間的共享信息的表示方式：IDS檢測到的攻擊或者IDS無法處理的事件信息作為event，IDS或受IDS監(jiān)控的系統(tǒng)的狀態(tài)則作為dynamicpredicates。

返回本章首頁2022/12/91217．基于抽象（Abstraction-based）的方法返5.4入侵檢測系統(tǒng)的標(biāo)準(zhǔn)從20世紀(jì)90年代到現(xiàn)在，入侵檢測系統(tǒng)的研發(fā)呈現(xiàn)出百家爭鳴的繁榮局面，并在智能化和分布式兩個(gè)方向取得了長足的進(jìn)展。為了提高IDS產(chǎn)品、組件及與其他安全產(chǎn)品之間的互操作性，DARPA和IETF的入侵檢測工作組（IDWG）分別發(fā)起制訂了一系列建議草案，從體系結(jié)構(gòu)、API、通信機(jī)制、語言格式等方面來規(guī)范IDS的標(biāo)準(zhǔn)。

DARPA提出了公共入侵檢測框架CIDF，最早由加州大學(xué)戴維斯分校的安全實(shí)驗(yàn)室起草；IDWG提出了三項(xiàng)建議草案IDMEF、IDXP、TunnelProfile返回本章首頁2022/12/91225.4入侵檢測系統(tǒng)的標(biāo)準(zhǔn)從20世紀(jì)90年代到現(xiàn)在，入侵檢5.4.1IETF/IDWG

IDWG定義了用于入侵檢測與響應(yīng)（IDR）系統(tǒng)之間或與需要交互的管理系統(tǒng)之間的信息共享所需要的數(shù)據(jù)格式和交換規(guī)程。IDWG提出了三項(xiàng)建議草案：入侵檢測消息交換格式（IDMEF）、入侵檢測交換協(xié)議（IDXP）隧道輪廓（TunnelProfile）。返回本章首頁2022/12/91235.4.1IETF/IDWGIDWG定義了用于入侵檢測與5.4.2CIDFCIDF的工作集中體現(xiàn)在四個(gè)方面：IDS的體系結(jié)構(gòu)、通信機(jī)制、描述語