第八章 入侵檢測系統(tǒng)

第八章入侵檢測技術(shù)8.1入侵檢測系統(tǒng)概述

隨著計(jì)算機(jī)網(wǎng)絡(luò)的廣泛應(yīng)用，入侵事件越來越多，并且大約80%左右的攻擊來自網(wǎng)絡(luò)內(nèi)部，僅靠對操作系統(tǒng)進(jìn)行加固和使用防火墻等被動安全防御技術(shù)已無法滿足網(wǎng)絡(luò)安全的需要，因?yàn)榉阑饓σ话銦o法阻止內(nèi)部攻擊者發(fā)起的攻擊，也不能提供實(shí)時(shí)的入侵檢測功能。入侵檢測系統(tǒng)被認(rèn)為是對防火墻的有益補(bǔ)充，是防火墻之后的第二道安全閘門。它采用動態(tài)安全防御技術(shù)，能夠在不影響網(wǎng)絡(luò)性能的情況下，對網(wǎng)絡(luò)進(jìn)行監(jiān)視和分析，提供對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，提高網(wǎng)絡(luò)的安全性。8.1.1入侵檢測的概念入侵檢測技術(shù)是對入侵行為進(jìn)行檢測的技術(shù)，是為了保證網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)安全而設(shè)置和配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異常行為的技術(shù)，是一種檢測計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。進(jìn)行入侵檢測的軟件與硬件的組合稱為入侵檢測系統(tǒng)（IntrusionDetectionSystem，IDS）。與防火墻相比，入侵檢測系統(tǒng)屬于主動型的網(wǎng)絡(luò)安全產(chǎn)品。8.1.2入侵檢測系統(tǒng)的功能入侵檢測系統(tǒng)是一種集檢測、記錄、報(bào)警和響應(yīng)于一體的動態(tài)安全防護(hù)系統(tǒng)。1.入侵檢測系統(tǒng)的主要任務(wù)通過收集和分析計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象；利用報(bào)警或防護(hù)系統(tǒng)阻斷攻擊、減少攻擊所造成的損失；在攻擊發(fā)生后，將其收集的相關(guān)攻擊信息作為防范系統(tǒng)的知識，以增強(qiáng)系統(tǒng)的防范能力、避免系統(tǒng)再次受到同樣的攻擊。2.入侵檢測系統(tǒng)的主要功能

監(jiān)視并分析用戶及系統(tǒng)活動；統(tǒng)計(jì)分析異常行為模式；評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；跟蹤操作系統(tǒng)審計(jì)；檢測和監(jiān)視已有的安全漏洞；阻斷連接、記錄事件和告警。8.1.3入侵檢測系統(tǒng)的分類入侵檢測系統(tǒng)的分類隨分類依據(jù)的不同而不同，目前主要有兩種分類方法，一是根據(jù)數(shù)據(jù)分析手段進(jìn)行分類，二是根據(jù)數(shù)據(jù)來源進(jìn)行分類。1.基于數(shù)據(jù)分析手段分類基于異常的入侵檢測系統(tǒng)基于誤用的入侵檢測系統(tǒng)混合入侵檢測系統(tǒng)2.基于數(shù)據(jù)來源分類基于主機(jī)入侵檢測系統(tǒng)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)分布式入侵檢測系統(tǒng)基于主機(jī)入侵檢測系統(tǒng)優(yōu)點(diǎn)能夠?qū)ο到y(tǒng)行為進(jìn)行較好的監(jiān)視，準(zhǔn)確地檢測出發(fā)生在主機(jī)系統(tǒng)高層的攻擊行為，例如，能夠?qū)λ鶛z測主機(jī)的每個(gè)用戶(尤其是系統(tǒng)管理員)連入網(wǎng)絡(luò)后的行為和所受到的入侵行為進(jìn)行詳細(xì)監(jiān)測和記錄、及時(shí)發(fā)現(xiàn)對系統(tǒng)配置的修改、應(yīng)用程序運(yùn)行異常等情況；適用于加密環(huán)境，由于基于主機(jī)的入侵檢測系統(tǒng)工作在被監(jiān)測的主機(jī)上，因此，可根據(jù)解密操作和解密后的結(jié)果進(jìn)行入侵行為的判定；在被檢測設(shè)備上運(yùn)行，不需要額外的硬件設(shè)備，即不需要專門的硬件檢測系統(tǒng)。缺點(diǎn)嚴(yán)重依賴于所在主機(jī)的操作系統(tǒng)平臺，不具有跨平臺移植性；由于運(yùn)行在所檢測的主機(jī)上，會對被檢測對象或者宿主機(jī)的性能產(chǎn)生影響；無法對網(wǎng)絡(luò)環(huán)境下發(fā)生的大部分攻擊行為做出及時(shí)反應(yīng)?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)優(yōu)點(diǎn)能夠?qū)崟r(shí)監(jiān)控網(wǎng)絡(luò)中的數(shù)據(jù)流量，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中所發(fā)生的入侵和潛在攻擊行為，并快速做出響應(yīng)。由于分析的對象是網(wǎng)絡(luò)協(xié)議，而協(xié)議是獨(dú)立于操作系統(tǒng)類型的，因此，與所監(jiān)測網(wǎng)絡(luò)中主機(jī)運(yùn)行的操作系統(tǒng)無關(guān)，不存在移植性問題。由于采取獨(dú)立主機(jī)和被動監(jiān)聽的工作模式，因此，不會影響網(wǎng)絡(luò)中其他主機(jī)和服務(wù)器的性能。缺點(diǎn)不能檢測到直接針對某服務(wù)器進(jìn)行的非法操作。不適用于加密的網(wǎng)絡(luò)環(huán)境，由于數(shù)據(jù)是經(jīng)過加密的，因此，無法根據(jù)密文進(jìn)行入侵行為的判定。需要專門的硬件檢測設(shè)備支持。8.2入侵檢測的關(guān)鍵技術(shù)及實(shí)現(xiàn)方法入侵檢測技術(shù)是入侵檢測系統(tǒng)實(shí)現(xiàn)的關(guān)鍵，一般通過對入侵行為的過程和特征的研究，使得安全系統(tǒng)能對入侵事件和入侵過程做出實(shí)時(shí)響應(yīng)。主要包括特征檢測技術(shù)、異常檢測技術(shù)和協(xié)議分析等技術(shù)。8.2.1基于特征的檢測技術(shù)基于特征的檢測技術(shù)又稱為誤用檢測技術(shù)、基于知識的檢測技術(shù)或模式匹配檢測技術(shù)。它一般假定入侵者的入侵活動可以用一種模式來表示，通過檢測網(wǎng)絡(luò)主體的活動是否與這些模式匹配，來確定當(dāng)前的行為是為入侵行為還是正常的網(wǎng)絡(luò)行為。1.網(wǎng)絡(luò)入侵特征及檢測方法網(wǎng)絡(luò)入侵特征有很多種來自私有IP地址的連接企圖，通過檢查IP報(bào)頭的來源地址識別。含有特殊病毒信息的Email，通過對比每封Email的主題信息和病態(tài)Email的主題信息來識別或通過搜索特定名字來識別。未登錄情況下使用文件和目錄命令對FTP服務(wù)器文件訪問的攻擊，通過創(chuàng)建具備狀態(tài)跟蹤的特征樣板，來監(jiān)視成功登錄的FTP對話、發(fā)現(xiàn)未經(jīng)驗(yàn)證卻發(fā)命令的入侵企圖。2.基于特征的檢測技術(shù)性能分析采用基于特征的檢測技術(shù)時(shí)，由于要進(jìn)行特征匹配，因此，需要分析、處理大量的數(shù)據(jù)包，這會對系統(tǒng)的速度造成一定的影響。特征匹配的計(jì)算量=AB×PB×PS×PD由于基于特征的入侵檢測技術(shù)使用固定的特征模式來檢測入侵行為，因此，只能檢測出具有明確特征的入侵活動。不過，基于特征的檢測技術(shù)也有其明顯的優(yōu)點(diǎn)，例如，檢測準(zhǔn)確度高、誤報(bào)率低，有相對成熟的技術(shù)等。8.2.2基于特征的入侵檢測系統(tǒng)的實(shí)現(xiàn)方法基于特征的入侵檢測系統(tǒng)常采用模式匹配、狀態(tài)變遷分析和專家系統(tǒng)等方法或綜合運(yùn)用某兩種方法來實(shí)現(xiàn)。1.模式匹配首先建立一個(gè)攻擊特征庫，然后通過將收集到的信息與攻擊特征庫的內(nèi)容進(jìn)行比較，來發(fā)現(xiàn)攻擊或違背安全策略的行為。例如，如果特征庫中存儲有語句：Port21:{“PUT”|“DEBUG”}，就需要檢查21號端口傳送的數(shù)據(jù)中是否有“PUT”或“DEBUG”關(guān)鍵字。模式匹配是最簡單，是最傳統(tǒng)的入侵檢測方法，可以達(dá)到較高的準(zhǔn)確率。但是只能檢測已知的攻擊，無法檢測到特征庫中沒有的入侵活動。為了限制檢測的漏報(bào)率，需要隨著新的入侵方法的出現(xiàn)和變化不斷地對特征庫進(jìn)行更新和升級。此外，對于高速大規(guī)模網(wǎng)絡(luò)，由于要處理分析大量的數(shù)據(jù)包，速度會成為一個(gè)嚴(yán)重的問題。2.狀態(tài)變遷分析基于狀態(tài)變遷分析的入侵檢測模型將攻擊者的攻擊過程看作是攻擊者實(shí)施一系列特征操作使目標(biāo)系統(tǒng)從初始狀態(tài)變遷到攻擊者所期望的狀態(tài)的過程，可使用正規(guī)的數(shù)學(xué)表達(dá)式或狀態(tài)轉(zhuǎn)移圖來表示安全狀態(tài)的變化或一個(gè)具體的入侵過程。狀態(tài)變遷分析的優(yōu)點(diǎn)采用狀態(tài)轉(zhuǎn)移圖來表示攻擊過程，可以實(shí)現(xiàn)對檢測規(guī)則庫的快速更新；能夠較好地處理同一攻擊行為對應(yīng)多種不同的審計(jì)記錄序列的情況，有效地識別出變種攻擊；能夠檢測到由多個(gè)攻擊者發(fā)起的協(xié)同攻擊和跨越多個(gè)進(jìn)程的攻擊；具有在某種攻擊行為對系統(tǒng)造成實(shí)質(zhì)性危害之前檢測到該攻擊行為的能力，并能夠針對攻擊行為采取相應(yīng)的響應(yīng)措施。3.專家系統(tǒng)基于專家系統(tǒng)的入侵檢測系統(tǒng)是專家系統(tǒng)在入侵檢測方面的具體應(yīng)用，它根據(jù)安全專家對可疑行為的分析經(jīng)驗(yàn)，通過形成一套推理規(guī)則，并以這些規(guī)則為依據(jù)對網(wǎng)絡(luò)行為進(jìn)行推理判斷，以斷定某個(gè)網(wǎng)絡(luò)行為是否為入侵行為。8.2.3基于異常的檢測技術(shù)基于異常的檢測技術(shù)又稱為基于行為的檢測技術(shù)，是根據(jù)行為特征進(jìn)行入侵行為的檢測和發(fā)現(xiàn)的，這里主要從工作原理和特點(diǎn)的角度進(jìn)行介紹。1.基于異常的檢測技術(shù)的工作原理基于異常的檢測技術(shù)的基本思路是構(gòu)造正常行為集合，根據(jù)當(dāng)前行為與正常行為的差異發(fā)現(xiàn)入侵行為。例如，通過對流量進(jìn)行統(tǒng)計(jì)分析，把主體的各種正?；顒佑媚撤N形式描述出來，建立起正?；顒訖n案庫，然后將系統(tǒng)運(yùn)行時(shí)的數(shù)值與所定義的“正?！鼻闆r比較，如果某種活動與所描述的正?；顒哟嬖诓町?，就認(rèn)為該活動是“入侵”活動。2.基于異常的檢測技術(shù)的特點(diǎn)優(yōu)點(diǎn)：可以檢測出未知的入侵行為，并具有簡單的學(xué)習(xí)功能。但并非所有的入侵活動都表現(xiàn)為異常，而且系統(tǒng)的軌跡難于計(jì)算和更新，因此基于異常的檢測技術(shù)也存在一些局限性，主要表現(xiàn)在如下四個(gè)方面：當(dāng)用戶合法地改變其行為模式時(shí)（比如使用新的應(yīng)用程序）就會產(chǎn)生誤報(bào)；入侵者通過對正常行為模式進(jìn)行緩慢的偏離也可使系統(tǒng)逐漸適應(yīng)造成漏報(bào)；對于新用戶，不易確定系統(tǒng)的學(xué)習(xí)階段何時(shí)結(jié)束，同時(shí)，在學(xué)習(xí)階段也難以對用戶系統(tǒng)進(jìn)行正常的檢測；由于大多數(shù)入侵檢測系統(tǒng)是基于對單個(gè)數(shù)據(jù)包的檢查，而且協(xié)議分析得不夠透徹，因此，無法識別偽裝或變形的網(wǎng)絡(luò)攻擊，這也會造成大量的漏報(bào)和誤報(bào)事件。8.2.4基于異常的入侵檢測系統(tǒng)的實(shí)現(xiàn)方法基于異常的入侵檢測系統(tǒng)常采用統(tǒng)計(jì)分析、神經(jīng)網(wǎng)絡(luò)、數(shù)據(jù)挖掘、遺傳算法和計(jì)算機(jī)免疫等方法來實(shí)現(xiàn)。1.統(tǒng)計(jì)分析通過統(tǒng)計(jì)系統(tǒng)對象在其正常使用時(shí)的一些測量屬性，并以測量屬性的正常取值范圍為基準(zhǔn)，對網(wǎng)絡(luò)或系統(tǒng)的行為進(jìn)行比較，實(shí)現(xiàn)對異常行為的識別。用于入侵檢測的統(tǒng)計(jì)模型主要有五個(gè)：操作模型均值與標(biāo)準(zhǔn)偏差模多元模型馬爾可夫過程模型時(shí)間序列分析模型2.神經(jīng)網(wǎng)絡(luò)神經(jīng)網(wǎng)絡(luò)的概念將神經(jīng)網(wǎng)絡(luò)應(yīng)用于入侵檢測系統(tǒng)，可以實(shí)現(xiàn)對目標(biāo)系統(tǒng)和用戶行為的學(xué)習(xí)和對未知攻擊的檢測?；谏窠?jīng)網(wǎng)絡(luò)的入侵檢測系統(tǒng)中，神經(jīng)網(wǎng)絡(luò)的輸入是當(dāng)前信息單元序列和過去信息單元序列的集合，神經(jīng)網(wǎng)絡(luò)的輸出是對當(dāng)前行為是否是入侵行為的判斷。統(tǒng)計(jì)分析法的比較3.基于數(shù)據(jù)挖掘的異常檢測數(shù)據(jù)挖掘：目的是從海量數(shù)據(jù)中發(fā)現(xiàn)有用的、可理解的數(shù)據(jù)模式即抽取知識。通過數(shù)據(jù)挖掘程序處理搜集到的審計(jì)數(shù)據(jù)，能夠?yàn)楦鞣N入侵行為和正常操作建立精確的行為模式。可用于入侵檢測的數(shù)據(jù)挖掘算法主要有三類，即分類算法、關(guān)聯(lián)分析算法和序列分析算法。4.基于遺傳算法的異常檢測遺傳算法介紹將遺傳算法用于入侵檢測時(shí)，可將所有可能的入侵檢測指令看作是構(gòu)成群體的對象，并假定所有入侵檢測指令在定義初期的檢測能力都很有限，其工作過程可以分三步進(jìn)行：第一步，用一組字符串或二進(jìn)制位分別對可能的入侵檢測指令進(jìn)行編碼；第二步，對檢測指令進(jìn)行訓(xùn)練，即：用最適應(yīng)函數(shù)對所有的字符串或二進(jìn)制位組進(jìn)行測試，找出最優(yōu)的字符串或二進(jìn)制位組，并對所有的字符串或二進(jìn)制位組執(zhí)行復(fù)制、重組、變異、交叉互換等操作，以生成新的字符串或二進(jìn)制位組；第三步，從新的字符串或二進(jìn)制位組中篩選出檢測能力最強(qiáng)的部分，對它們進(jìn)行下一輪的訓(xùn)練，以使檢測指令的檢測能力不斷提高。5.基于計(jì)算機(jī)免疫技術(shù)的異常檢測計(jì)算機(jī)免疫技術(shù)簡介計(jì)算機(jī)免疫分為：特異性免疫：特定病毒或漏洞的免疫。非特異性免疫：檢測和抵制新的攻擊類型。8.2.5兩種檢測技術(shù)的對比都需要搜集和總結(jié)各種有關(guān)網(wǎng)絡(luò)入侵行為的知識或系統(tǒng)及其用戶行為的知識，除了檢測的方式、方法不同外，它們在檢測能力，系統(tǒng)配置以及檢測結(jié)果等方面也存在一些差異。1.檢測能力基于特征檢測技術(shù)的入侵檢測系統(tǒng)只能檢測到其特征庫中已有的入侵模式或攻擊行為，檢測的準(zhǔn)確度相對較高，誤報(bào)率較低。但對于其特征庫中沒有的、性的入侵模式或攻擊行為，則無法檢測到，因此漏報(bào)率較高。要降低漏報(bào)率，必須不斷地對新出現(xiàn)的入侵行為進(jìn)行總結(jié)和歸納?；诋惓z測技術(shù)的入侵檢測系統(tǒng)認(rèn)為只要偏離正常行為和模式特征的行為和模式均為入侵或攻擊，因此，夠檢測到新的、未知的入侵行為，漏報(bào)率相對較低。但是由于無法識別用戶對其行為模式的合法改變，因此誤報(bào)率較高。實(shí)際中，必須不斷地學(xué)習(xí)并更新已有的行為輪廓，以降低誤報(bào)率。2.系統(tǒng)配置基于異常檢測技術(shù)的入侵檢測系統(tǒng)所做的工作通常要比基于特征檢測技術(shù)的入侵檢測系統(tǒng)多很多，這是因?yàn)楫惓z測需要對系統(tǒng)和用戶的行為輪廓進(jìn)行不斷地學(xué)習(xí)和更新，對大量的數(shù)據(jù)進(jìn)行處理，要求管理員能夠歸納出被保護(hù)對象的所有正常行為模式，并能夠?qū)ο到y(tǒng)的已知和期望行為進(jìn)行全面的分析，因此，配置難度相對較大。為了提高檢測性能，一些基于特征檢測技術(shù)的入侵檢測系統(tǒng)允許管理員對入侵特征數(shù)據(jù)庫進(jìn)行修改，以及根據(jù)所發(fā)現(xiàn)的攻擊行為創(chuàng)建新的入侵特征規(guī)則。這時(shí)，基于特征檢測技術(shù)的入侵檢測系統(tǒng)的系統(tǒng)配置工作就會顯著增加。3.檢測結(jié)果基于特征的檢測技術(shù)和基于異常的檢測技術(shù)所得出的結(jié)論有時(shí)差異較大，甚至相反。這是因?yàn)榛谔卣鞯臋z測技術(shù)的核心是維護(hù)一個(gè)入侵特征庫，對于已知的攻擊，能夠詳細(xì)、準(zhǔn)確地報(bào)告出攻擊類型，但無法檢測到未知攻擊，而且入侵特征庫必須不斷更新。而基于異常的檢測技術(shù)是根據(jù)正常行為特征對網(wǎng)絡(luò)活動進(jìn)行檢測的，雖然無法準(zhǔn)確推斷出攻擊的類型，但可以發(fā)現(xiàn)更廣泛的、未知的入侵攻擊行為。在實(shí)際中，常常將基于特征的檢測技術(shù)和基于異常的檢測技術(shù)結(jié)合使用，以達(dá)到更好的檢測效果。8.2.6基于協(xié)議分析的檢測技術(shù)基于協(xié)議分析的檢測技術(shù)本質(zhì)上屬于基于特征的檢測技術(shù)，是在模式匹配技術(shù)上發(fā)展起來的一種入侵檢測技術(shù)。協(xié)議分析技術(shù)充分利用了網(wǎng)絡(luò)協(xié)議的高度有序性，按照現(xiàn)有協(xié)議模式，進(jìn)行協(xié)議分析和命令解析，可大大減少計(jì)算量。1.工作原理采用協(xié)議分析技術(shù)的入侵檢測系統(tǒng)必須能夠理解不同網(wǎng)絡(luò)協(xié)議的工作原理和具體實(shí)現(xiàn)，因此，能夠圍繞網(wǎng)絡(luò)協(xié)議棧中的各層協(xié)議和表示協(xié)議格式的數(shù)據(jù)結(jié)構(gòu)，從網(wǎng)絡(luò)流量中分析出協(xié)議信息，并驗(yàn)證當(dāng)前流量是否為期望值，從而實(shí)現(xiàn)對已知和未知的攻擊行為的識別。需要注意兩個(gè)方面的問題：分析位置的確定執(zhí)行速度2.基于協(xié)議分析的檢測技術(shù)的特點(diǎn)與基于模式匹配的入侵檢測技術(shù)相比，協(xié)議解析可大大降低誤報(bào)率。例如，在基于特征的入侵檢測系統(tǒng)中，一旦數(shù)據(jù)包中的一些字符串符合某項(xiàng)攻擊特征，系統(tǒng)就會報(bào)警，但事實(shí)上，該字符串根本不是一個(gè)攻擊。像這樣的誤報(bào)不會在基于協(xié)議分析和命令解析的入侵檢測系統(tǒng)中出現(xiàn)，因?yàn)樗鼈冎烂總€(gè)協(xié)議中潛在攻擊的確切位置。8.2.7入侵檢測技術(shù)小結(jié)前面幾節(jié)從工作原理、技術(shù)特點(diǎn)和實(shí)現(xiàn)方法等角度對常用的入侵檢測技術(shù)進(jìn)行了介紹和分析。下面再從發(fā)展現(xiàn)狀、局限性和發(fā)展趨勢三個(gè)方面對入侵檢測技術(shù)進(jìn)行簡單總結(jié)，以幫助讀者理解入侵檢測系統(tǒng)的功能及安全特性。1.入侵檢測技術(shù)的現(xiàn)狀入侵檢測技術(shù)的發(fā)展已經(jīng)歷了四個(gè)階段：第一階段以協(xié)議解碼和模式匹配為主。對于已知的攻擊行為非常有效，能檢測到各種已知的攻擊，誤報(bào)率低，但無法檢測到采用變形手法或者新技術(shù)的攻擊，漏報(bào)率偏高。第二階段的入侵檢測技術(shù)是在第一階段的基礎(chǔ)上增加了一些對異常行為分析的功能，可進(jìn)行簡單的協(xié)議分析和異常統(tǒng)計(jì)，但匹配效率較低，管理功能也比較弱。第三階段，能夠進(jìn)行完全的協(xié)議分析，并重點(diǎn)使用完全協(xié)議分析、模式匹配和異常統(tǒng)計(jì)技術(shù)進(jìn)行異常檢測，誤報(bào)率和漏報(bào)率都比較低，效率較高，可管理性強(qiáng)，并且實(shí)現(xiàn)了多級分布式的入侵檢測管理，但仍然存在可視化程度較低、防范及管理功能較弱等缺點(diǎn)。第四階段的入侵檢測技術(shù)以綜合安全管理、協(xié)議分析、模式匹配和異常統(tǒng)計(jì)為特色。通過多項(xiàng)技術(shù)的協(xié)同工作，建立全局主動保障體系，可構(gòu)造出具有良好的可視化、可控性和可管理的、積極的動態(tài)防御入侵管理系統(tǒng)。2.入侵檢測技術(shù)的局限性網(wǎng)絡(luò)帶寬的增長超出了計(jì)算機(jī)計(jì)算能力的提高，而在入侵檢測系統(tǒng)中，為了保證檢測的有效性，往往需要對網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行重組，消耗巨大的計(jì)算能力，在高速網(wǎng)絡(luò)環(huán)境下更是如此，對入侵檢測技術(shù)提出了嚴(yán)峻的考驗(yàn)。基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)無法對加密數(shù)據(jù)包進(jìn)行處理。因?yàn)閹缀跛械木W(wǎng)絡(luò)入侵檢測技術(shù)都需要對數(shù)據(jù)包載荷進(jìn)行分析和匹配。經(jīng)過加密的數(shù)據(jù)包，無論是從網(wǎng)絡(luò)層還是運(yùn)輸層加密都會影響入侵檢測系統(tǒng)的正常工作。基于主機(jī)的入侵檢測系統(tǒng)由于需要使用主機(jī)的資源處理其審計(jì)數(shù)據(jù)，因此，不可避免地會對系統(tǒng)的性能造成影響。此外，主機(jī)上的檢測代理與控制臺之間的交互還會占用大量的帶寬資源，影響網(wǎng)絡(luò)的性能。現(xiàn)有的入侵檢測技術(shù)無法完全避免虛假報(bào)警，會對管理者造成一定的誤導(dǎo)，引起操作失誤等影響。對于變種的攻擊不能進(jìn)行有效的檢測。目前，大多數(shù)入侵檢測技術(shù)對于正常的攻擊行為具有很好的檢測能力，但很多變種攻擊（例如，在時(shí)間特性上進(jìn)行簡單修改的“慢掃描”、在空間特性上進(jìn)行簡單擴(kuò)展的協(xié)同攻擊以及攻擊特征碼的細(xì)微變化等）往往能逃避入侵檢測技術(shù)的檢測。3.入侵檢測技術(shù)的發(fā)展趨勢為了能夠?qū)拵Ц咚倬W(wǎng)絡(luò)進(jìn)行實(shí)時(shí)檢測，必須設(shè)計(jì)新的入侵檢測算法和系統(tǒng)軟件，以提高入侵檢測系統(tǒng)運(yùn)行速度和效率。為了能夠及時(shí)地檢測到大規(guī)模的分布式攻擊，同時(shí)避免對網(wǎng)絡(luò)的性能造成影響，需要大規(guī)模分布式的檢測技術(shù)。研究更為高效和智能化的檢測算法。研究實(shí)時(shí)、自動的入侵響應(yīng)技術(shù)。8.3入侵檢測系統(tǒng)的構(gòu)成入侵檢測系統(tǒng)一般都是基于通用的入侵檢測框架CIDF（CommonIntrusionDetectionFramework）構(gòu)造的。CIDF模型將一個(gè)入侵檢測系統(tǒng)分為四個(gè)部件，即事件產(chǎn)生器、事件分析器、響應(yīng)單元和事件庫。8.3.1入侵檢測系統(tǒng)的基本構(gòu)成1.事件產(chǎn)生器事件產(chǎn)生器一般部署在網(wǎng)絡(luò)的各個(gè)敏感關(guān)鍵點(diǎn)或主機(jī)上，其任務(wù)是從整個(gè)計(jì)算環(huán)境中收集數(shù)據(jù)，并將收集到的數(shù)據(jù)轉(zhuǎn)換成GIDO格式傳遞給系統(tǒng)的其他部件。2.事件分析器事件分析器負(fù)責(zé)分析從其他部件收到的GIDO數(shù)據(jù)、提取數(shù)據(jù)的有效特征（如數(shù)據(jù)包報(bào)頭、數(shù)據(jù)包序列、日志文件參數(shù)等）、產(chǎn)生分析結(jié)果并將分析結(jié)果傳遞到事件庫或響應(yīng)單元。3.事件庫事件庫即存放事件的數(shù)據(jù)庫，用于以GIDO的格式存放中間數(shù)據(jù)和最終結(jié)果。4.響應(yīng)單元響應(yīng)單元根據(jù)收到的事件或分析結(jié)果做出響應(yīng)，如切斷網(wǎng)絡(luò)連接、殺死相關(guān)進(jìn)程、改變文件屬性、發(fā)出報(bào)警等。8.3.2現(xiàn)有入侵檢測系統(tǒng)的構(gòu)成情況市場上現(xiàn)有的入侵檢測產(chǎn)品很少嚴(yán)格按照CIDF模型設(shè)計(jì)，他們一般是在CIDF模型的基礎(chǔ)上進(jìn)行擴(kuò)展，分別用探測器、分析器、用戶接口、日志或特征庫代替CIDF中的事件產(chǎn)生器、事件分析器、響應(yīng)單元和事件庫，并在功能上進(jìn)行了一些擴(kuò)展。8.4入侵檢測系統(tǒng)的部署入侵檢測系統(tǒng)的部署主要指對入侵檢測器的部署，也包括根據(jù)網(wǎng)絡(luò)環(huán)境和安全需求選取合適的入侵檢測系統(tǒng)、對不同類型的入侵檢測系統(tǒng)及其報(bào)警方式進(jìn)行部署和規(guī)劃等內(nèi)容。目的在于確保每個(gè)入侵檢測系統(tǒng)能夠在相應(yīng)的部署點(diǎn)上發(fā)揮作用、協(xié)同工作，保障網(wǎng)絡(luò)的安全運(yùn)行。入侵檢測系統(tǒng)在部署時(shí)通常采用兩種結(jié)構(gòu)，即集中式和分布式。8.4.1基于主機(jī)的入侵檢測系統(tǒng)的部署基于主機(jī)的入侵檢測系統(tǒng)也稱為主機(jī)入侵預(yù)防系統(tǒng)（HostIntrusionProtectionSystem，HIPS），可分為兩個(gè)部分：主機(jī)代理和控制中心。1.主機(jī)代理主機(jī)代理一般是一個(gè)軟件包，運(yùn)行在所監(jiān)測的主機(jī)上，實(shí)時(shí)監(jiān)視對主機(jī)操作系統(tǒng)應(yīng)用程序接口（API）的每個(gè)請求（包括主機(jī)的網(wǎng)絡(luò)活動），并將審計(jì)數(shù)據(jù)和日志記錄進(jìn)行簡單分析、處理、形成相關(guān)安全事件、上報(bào)控制中心。2.控制中心控制中心負(fù)責(zé)制定入侵檢測策略、收集來自主機(jī)的上報(bào)事件、對事件進(jìn)行綜合分析并以多種方式對事件做出快速響應(yīng)等工作。3.基于主機(jī)的入侵檢測系統(tǒng)的部署基于主機(jī)的入侵檢測系統(tǒng)一般按照其兩個(gè)組成部分分別部署，比較簡單。對于每臺需要被檢測的主機(jī)，安裝并運(yùn)行入侵檢測系統(tǒng)的主機(jī)代理軟件；對于控制中心，可以用一臺單獨(dú)的主機(jī)擔(dān)任，如圖8.3所示，也可以安裝并運(yùn)行在一臺被檢測的主機(jī)上。8.4.2基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的部署目前，基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)是入侵檢測產(chǎn)品的主流，一般由一個(gè)安全控制中心和多個(gè)探測器（網(wǎng)絡(luò)檢測器/檢測引擎）組成。安全控制中心的作用探測器的作用1.基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的構(gòu)成網(wǎng)絡(luò)IDS一般有兩個(gè)接口，即監(jiān)視接口和命令控制接口，其中監(jiān)視接口通過探測器連在所保護(hù)網(wǎng)絡(luò)的不同網(wǎng)段上（與被監(jiān)視的目標(biāo)連在同一網(wǎng)段），負(fù)責(zé)捕獲數(shù)據(jù)，例如DMZ網(wǎng)段。命令控制接口通過網(wǎng)絡(luò)與控制中心和探測器相連，負(fù)責(zé)向控制管理平臺發(fā)送告警信息、配置網(wǎng)絡(luò)檢測器、對告警信息進(jìn)行記錄、顯示或根據(jù)要求產(chǎn)生報(bào)告等。圖8.4顯示了網(wǎng)絡(luò)IDS的基本構(gòu)成。2.基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的部署基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)用于監(jiān)視整個(gè)網(wǎng)段，并不關(guān)心攻擊的具體目標(biāo)。在將檢測器部署到網(wǎng)絡(luò)中之前，需要根據(jù)網(wǎng)絡(luò)規(guī)模、復(fù)雜性、網(wǎng)絡(luò)流量的規(guī)模和類型以及與其他網(wǎng)絡(luò)的互連關(guān)系進(jìn)行規(guī)劃，確定需要保護(hù)的資源和需要監(jiān)視的數(shù)據(jù)流，從而確定需要部署的檢測器的位置和類型。檢測器在不同位置的任務(wù)部署在網(wǎng)絡(luò)內(nèi)外的檢測器有著不同的任務(wù)。連在內(nèi)部網(wǎng)絡(luò)中的檢測器，只能監(jiān)視防火墻允許通過的數(shù)據(jù)或內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)，報(bào)告的所有入侵需要網(wǎng)絡(luò)管理員立即注意和響應(yīng)。連在外部網(wǎng)絡(luò)的檢測器，可以觀察所有到達(dá)網(wǎng)絡(luò)的數(shù)據(jù)，包含被防火墻阻止的數(shù)據(jù)、進(jìn)入和離開網(wǎng)絡(luò)的數(shù)據(jù)以及進(jìn)入DMZ的數(shù)據(jù)流。部署方法基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)大多采用集中式管理和分布式探測的結(jié)構(gòu)進(jìn)行部署，可適應(yīng)大規(guī)模和不同拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)，實(shí)現(xiàn)透明接入。一般地，探測器的部署點(diǎn)主要有四個(gè)位置，即：DMZ區(qū)域、外部網(wǎng)絡(luò)的入口、內(nèi)部網(wǎng)絡(luò)的主干和關(guān)鍵子網(wǎng)。如圖8.5所示。在DMZ區(qū)域中部署探測器在DMZ區(qū)域中，探測器最常見的部署位置是DMZ的總接口。原因有三點(diǎn)，一是DMZ區(qū)域中的服務(wù)器對外部網(wǎng)是可見的，因此有必要在這里進(jìn)行入侵檢測；二是在這里部署探測器可以檢測到所有針對向外提供服務(wù)的服務(wù)器的攻擊行為，這對用戶來說，是至關(guān)重要的；三是DMZ區(qū)域中的各個(gè)服務(wù)器對外提供的服務(wù)有限，在這里可分別針對這些服務(wù)進(jìn)行檢測、分析進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)，從而使探測器發(fā)揮最大的優(yōu)勢。在外部網(wǎng)絡(luò)的入口處部署探測器外部網(wǎng)絡(luò)入口位于防火墻之前，入侵探測器在這個(gè)位置可以檢測到所有進(jìn)、出防火墻外部網(wǎng)絡(luò)接口的數(shù)據(jù)，因此，能夠檢測到所有來自外部網(wǎng)絡(luò)的可能的攻擊和內(nèi)部網(wǎng)絡(luò)中機(jī)器的不正常數(shù)據(jù)通信行為。在內(nèi)部主干網(wǎng)上部署探測器內(nèi)部主干網(wǎng)絡(luò)是最常用的入侵探測器部署位置，因?yàn)樵谶@里，探測器可以看到內(nèi)網(wǎng)流出的和經(jīng)過防火墻過濾后流入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)，檢測到所有通過防火墻進(jìn)入的攻擊和內(nèi)部網(wǎng)絡(luò)中不正常的或越權(quán)的行為、實(shí)現(xiàn)對內(nèi)部網(wǎng)絡(luò)信息的檢測，并能夠準(zhǔn)確地確定出攻擊的源和目的，便于系統(tǒng)管理員進(jìn)行有針對性的網(wǎng)絡(luò)管理。在關(guān)鍵子網(wǎng)上部署探測器關(guān)鍵子網(wǎng)一般位于內(nèi)部網(wǎng)絡(luò)的內(nèi)部，數(shù)據(jù)流量相對要小一些，在關(guān)鍵子網(wǎng)上部署入侵探測器有利于集中資源檢測針對關(guān)鍵系統(tǒng)和資源的內(nèi)部和外部攻擊，保證入侵測器進(jìn)行有效地檢測。一般情況下，沒有必要在所有的網(wǎng)段都部署入侵探測器，而是僅僅在敏感或關(guān)鍵區(qū)域部署入侵探測器，因?yàn)椴渴鹪蕉嗟奶綔y器就意味著需要占用越多網(wǎng)絡(luò)帶寬和更多的處理和維護(hù)工作，所以網(wǎng)絡(luò)入侵檢測系統(tǒng)中探測器的部署主要取決于網(wǎng)絡(luò)系統(tǒng)的安全策略，即需要對什么樣的入侵行為進(jìn)行檢測。圖8.6顯示了IDS的典型部署位置。8.5Snort應(yīng)用舉例8.5.1Snort簡介Snort是一個(gè)免費(fèi)的、輕量級的網(wǎng)絡(luò)監(jiān)控軟件，它的一些源代碼是從著名的軟件tcpdump發(fā)展而來的，具備網(wǎng)絡(luò)入侵檢測系統(tǒng)要求的、實(shí)時(shí)進(jìn)行網(wǎng)絡(luò)報(bào)文收集、分析、告警、日志和阻斷攻擊等功能，可以作為一個(gè)有效的網(wǎng)絡(luò)入侵檢測系統(tǒng)使用。1.Snort的構(gòu)成Snort采用模塊化體系結(jié)構(gòu)，在邏輯上可以分為五個(gè)部件，即：包解碼器、預(yù)處理器或輸入插件、探測引擎、日志和告警系統(tǒng)及輸出模塊。這些部件協(xié)同工作來檢測特定的攻擊，并產(chǎn)生符合要求的輸出格式。圖8.7顯示了這些部件的關(guān)系。包解碼器

包解碼器從不同的網(wǎng)絡(luò)接口（例如以太網(wǎng)、SLIP、PPP等）獲得網(wǎng)絡(luò)數(shù)據(jù)包，并送往預(yù)處理器或者探測引擎。

預(yù)處理器預(yù)處理器或輸入插件對從包解碼器送來的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行預(yù)處理，包括：規(guī)格化數(shù)據(jù)包的頭部、對數(shù)據(jù)包的分片和TCP流進(jìn)行組裝、分析協(xié)議頭部、對HTTP的URL進(jìn)行解碼、探測頭部異常等。探測引擎

Snort的探測引擎主要利用基于規(guī)則的模式匹配來發(fā)現(xiàn)系統(tǒng)中是否存在攻擊行為，也可使用輸入插件來分析協(xié)議頭部異常，因此，可以說它綜合利用了模式匹配和協(xié)議分析的方法來發(fā)現(xiàn)系統(tǒng)中的異常或誤用攻擊。日志和告警系統(tǒng)日志和告警系統(tǒng)用于產(chǎn)生告警和日志。輸出模塊

輸出模塊或插件用于按指定的格式和位置輸出告警和日志。2.Snort的特點(diǎn)Snort的模塊化體系結(jié)構(gòu)使其具有良好的擴(kuò)展能力，通過其定義的插件接口，可以方便地加入新的功能插件。Snort的跨平臺性比較好，支持Windows、Linux和Unix等這些主流操作系統(tǒng)。8.5.2Snort安裝為了在Windows下正常使用Snort，必須下載并安裝WinPcap、Apache、MySQL、Snort、ACID、PHP、adodb和Jpgraph等軟件，如果對安全和圖形的要求比較高，還需要下載并安裝Modssl、OPenSSL、GD、PHPlot等軟件。本書不考慮對安全和圖形的特別要求，從能夠正常使用snort的基本功能出發(fā)，說明如何安裝、配置和使用snort。Windows下，安裝Snort的步驟安裝WinPcap為Windows安裝和配置Apache

安裝PHP并添加Apache對PHP的支持安裝snort安裝入侵事件數(shù)據(jù)庫MySQL安裝adodbacid的安裝與配置安裝jpgrapg庫配置snort8.5.3snort的使用Snort有三種工作模式：嗅探器模式數(shù)據(jù)包記錄器模式網(wǎng)絡(luò)入侵檢測系統(tǒng)模式1.嗅探器模式當(dāng)Snort工作在嗅探器模式時(shí)，它可以偵聽網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包，能夠根據(jù)用戶的配置，收集針對特定的協(xié)議數(shù)據(jù)包，并顯示在命令行窗口中。Snort在嗅探器模式工作時(shí)主要涉及三個(gè)命令選項(xiàng)：-v、-d和-e-v選項(xiàng)是必須的，指示Snort將捕獲的TCP/IP包的頭部信息顯示出來-d選項(xiàng)用于增加顯示應(yīng)用層的信息，即數(shù)據(jù)包攜帶的用戶數(shù)據(jù)-e選項(xiàng)用于增加顯示數(shù)據(jù)鏈層的信息。2.數(shù)據(jù)包記錄器模式當(dāng)Snort工作在數(shù)據(jù)包記錄器模式時(shí)，它會在嗅探器模式的基礎(chǔ)上，把從網(wǎng)絡(luò)上捕獲的數(shù)據(jù)包以日志的形式記錄到硬盤上，以便對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分析和處理。Snort在數(shù)據(jù)包記錄器模式工作時(shí)主要涉及到-l、-K、-r和