《計(jì)算機(jī)信息安全技術(shù)》第7章 入侵檢測技術(shù)

第7章入侵檢測技術(shù)7.1入侵檢測系統(tǒng)概述7.2入侵檢測一般步驟7.3入侵檢測系統(tǒng)分類7.4入侵檢測系統(tǒng)關(guān)鍵技術(shù)7.5入侵檢測系統(tǒng)模型介紹7.6入侵檢測系統(tǒng)標(biāo)準(zhǔn)化7.7入侵檢測系統(tǒng)Snort7.8入侵檢測產(chǎn)品選購7.1入侵檢測系統(tǒng)概述1．什么是入侵檢測入侵檢測是指對入侵行為的發(fā)現(xiàn)、報(bào)警和響應(yīng)，它通過對計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)收集信息，并對收集到的信息進(jìn)行分析，從而判斷網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和系統(tǒng)被攻擊的征兆。入侵檢測的目標(biāo)是識別系統(tǒng)內(nèi)部人員和外部入侵者的非法使用、濫用計(jì)算機(jī)系統(tǒng)的行為。2.入侵檢測系統(tǒng)功能入侵檢測系統(tǒng)能主動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)中正在進(jìn)行的針對被保護(hù)目標(biāo)的惡意濫用或非法入侵，并能采取相應(yīng)的措施及時(shí)中止這些危害，如提示報(bào)警、阻斷連接、通知網(wǎng)管等。其主要功能是監(jiān)測并分析用戶和系統(tǒng)的活動(dòng)、核查系統(tǒng)配置中的安全漏洞、評估系統(tǒng)關(guān)鍵資源與數(shù)據(jù)文件的完整性、識別現(xiàn)有已知的攻擊行為或用戶濫用、統(tǒng)計(jì)并分析異常行為、對系統(tǒng)日志的管理維護(hù)。

7.2入侵檢測一般步驟1．入侵?jǐn)?shù)據(jù)提取主要是為系統(tǒng)提供數(shù)據(jù)，提取的內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為。入侵檢測數(shù)據(jù)提取可來自以下四個(gè)方面。（1）系統(tǒng)和網(wǎng)絡(luò)日志；（2）目錄和文件中的的改變；（3）程序執(zhí)行中的不期望行為；（4）物理形式的入侵信息。

2．入侵?jǐn)?shù)據(jù)分析主要作用在于對數(shù)據(jù)進(jìn)行深入分析，發(fā)現(xiàn)攻擊并根據(jù)分析的結(jié)果產(chǎn)生事件，傳遞給事件響應(yīng)模塊。常用技術(shù)手段有：模式匹配、統(tǒng)計(jì)分析和完整性分析等。入侵?jǐn)?shù)據(jù)分析是整個(gè)入侵檢測系統(tǒng)的核心模塊。3．入侵事件響應(yīng)事件響應(yīng)模塊的作用在于報(bào)警與反應(yīng)，響應(yīng)方式分為主動(dòng)響應(yīng)和被動(dòng)響應(yīng)。

被動(dòng)響應(yīng)型系統(tǒng)只會(huì)發(fā)出報(bào)警通知，將發(fā)生的不正常情況報(bào)告給管理員，本身并不試圖降低所造成的破壞，更不會(huì)主動(dòng)地對攻擊者采取反擊行動(dòng)。主動(dòng)響應(yīng)系統(tǒng)可以分為對被攻擊系統(tǒng)實(shí)施保護(hù)和對攻擊系統(tǒng)實(shí)施反擊的系統(tǒng)。

7.3入侵檢測系統(tǒng)分類7.3.1根據(jù)系統(tǒng)所檢測的對象分類1.基于主機(jī)的入侵檢測系統(tǒng)（HIDS）

基于主機(jī)的IDS安裝在被保護(hù)的主機(jī)上，通常用于保護(hù)運(yùn)行關(guān)鍵應(yīng)用的服務(wù)器。它通過監(jiān)視與分析主機(jī)的審計(jì)記錄和日志文件來檢測入侵行為?；谥鳈C(jī)的IDS系統(tǒng)的優(yōu)點(diǎn)是能夠校驗(yàn)出攻擊是成功還是失??；可使特定的系統(tǒng)行為受到嚴(yán)密監(jiān)控等。缺點(diǎn)是它會(huì)占用主機(jī)的資源，要依賴操作系統(tǒng)等。

2.基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（NIDS）

基于網(wǎng)絡(luò)的IDS一般安裝在需要保護(hù)的網(wǎng)段中，利用網(wǎng)絡(luò)偵聽技術(shù)實(shí)時(shí)監(jiān)視網(wǎng)段中傳輸?shù)母鞣N數(shù)據(jù)包，并對這些數(shù)據(jù)包的內(nèi)容、源地址、目的地址等進(jìn)行分析和檢測。如果發(fā)現(xiàn)入侵行為或可疑事件，入侵檢測系統(tǒng)就會(huì)發(fā)出警報(bào)甚至切斷網(wǎng)絡(luò)連接。基于網(wǎng)絡(luò)的IDS的優(yōu)點(diǎn)是購買成本低，對識別出來的攻擊能進(jìn)行實(shí)時(shí)檢測和響應(yīng)，等。其主要缺點(diǎn)在于防欺騙能力較差、交互環(huán)境下難以配置等。3．基于應(yīng)用的入侵檢測系統(tǒng)（AIDS）AIDS監(jiān)控在某個(gè)軟件應(yīng)用程序中發(fā)生的活動(dòng)，信息來源主要是應(yīng)用程序的日志，其監(jiān)視的內(nèi)容更為具體。7.3.2根據(jù)數(shù)據(jù)分析方法分類1．異常檢測異常檢測是假定所有的入侵行為都與正常行為不同。先定義一組系統(tǒng)在正常條件下的資源與設(shè)備利用情況的數(shù)值，建立正?；顒?dòng)的模型，然后再將系統(tǒng)在運(yùn)行時(shí)的此類數(shù)值與事先定義的原有正常指標(biāo)相比較，從而得出是否有攻擊現(xiàn)象發(fā)生。2．誤用檢測誤用檢測是假定所有入侵行為、手段及其變種都能夠表達(dá)為一種模式或特征。系統(tǒng)的目標(biāo)就是檢測主體活動(dòng)是否符合這些模式，因此又稱為特征檢測。7.3.3根據(jù)體系結(jié)構(gòu)分類根據(jù)IDS的系統(tǒng)結(jié)構(gòu)，可分為集中式、等級式和分布式三種。1．集中式入侵檢測系統(tǒng)集中式IDS可能有多個(gè)分布于不同主機(jī)上的審計(jì)程序，但只有一個(gè)中央入侵檢測服務(wù)器。審計(jì)程序?qū)?dāng)?shù)厥占降臄?shù)據(jù)發(fā)送給中央服務(wù)器進(jìn)行分析處理。2．等級式入侵檢測系統(tǒng)等級式IDS中，定義了若干個(gè)分等級的監(jiān)控區(qū)域，每個(gè)IDS負(fù)責(zé)一個(gè)區(qū)域，每一級IDS只負(fù)責(zé)所監(jiān)控區(qū)的分析，然后將當(dāng)?shù)氐姆治鼋Y(jié)果傳送給上一級IDS。3．分布式入侵檢測系統(tǒng)分布式IDS將中央檢測服務(wù)器的任務(wù)分配給多個(gè)基于主機(jī)的IDS，這些IDS不分等級，各負(fù)其職，負(fù)責(zé)監(jiān)控當(dāng)?shù)刂鳈C(jī)的某些活動(dòng)。

7.4入侵檢測系統(tǒng)關(guān)鍵技術(shù)入侵檢測系統(tǒng)研發(fā)中涉及的關(guān)鍵技術(shù)包括入侵檢測技術(shù)、入侵檢測系統(tǒng)的描述語言、入侵檢測的體系結(jié)構(gòu)等。7.4入侵檢測系統(tǒng)關(guān)鍵技術(shù)1．模式匹配模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。模式匹配方法是入侵檢測領(lǐng)域中應(yīng)用最為廣泛的檢測手段和機(jī)制之一，通常用于誤用檢測。

7.4入侵檢測系統(tǒng)關(guān)鍵技術(shù)1．模式匹配模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。模式匹配方法是入侵檢測領(lǐng)域中應(yīng)用最為廣泛的檢測手段和機(jī)制之一，通常用于誤用檢測。2．統(tǒng)計(jì)分析統(tǒng)計(jì)分析方法首先給用戶、文件、目錄和設(shè)備等系統(tǒng)對象創(chuàng)建一個(gè)統(tǒng)計(jì)描述。統(tǒng)計(jì)正常使用時(shí)的一些測量屬性，測量屬性的平均值將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，任何觀察值在正常值范圍之外時(shí)，就認(rèn)為有入侵發(fā)生。常用的入侵檢測統(tǒng)計(jì)分析模型有：（1）操作模型：（2）方差：（3）多元模型：（4）馬爾可夫過程模型（5）時(shí)間序列分析

3．專家系統(tǒng)專家系統(tǒng)是一種以知識為基礎(chǔ)，根據(jù)人類專家的知識和經(jīng)驗(yàn)進(jìn)行推理，解決需要專家才能解決的復(fù)雜問題的計(jì)算機(jī)程序系統(tǒng)。用專家系統(tǒng)對入侵進(jìn)行檢測主要是針對誤用檢測，是針對有特征入侵的行為。4．神經(jīng)網(wǎng)絡(luò)神經(jīng)網(wǎng)絡(luò)具有自適應(yīng)、自組織、自學(xué)習(xí)的能力，可以處理一些環(huán)境信息復(fù)雜、背景知識不清楚的問題。

5．?dāng)?shù)據(jù)挖掘數(shù)據(jù)挖掘是從大量的數(shù)據(jù)中抽取出潛在的、有價(jià)值的知識（即模型或規(guī)則）的過程。對于入侵檢測系統(tǒng)來說，也需要從大量的數(shù)據(jù)中提取入侵特征。6．協(xié)議分析協(xié)議分析是利用網(wǎng)絡(luò)協(xié)議的高度規(guī)則性快速探測攻擊的存在。協(xié)議分析技術(shù)對協(xié)議進(jìn)行解碼，減少了入侵檢測系統(tǒng)需要分析的數(shù)據(jù)量。

7.5入侵檢測系統(tǒng)模型介紹7.5.1分布式入侵檢測系統(tǒng)這個(gè)模型主要是入侵檢測系統(tǒng)基本結(jié)構(gòu)的具體化。這個(gè)模型的特點(diǎn)有：1．分布性；2．標(biāo)準(zhǔn)性；3．可擴(kuò)充性；4．良好的系統(tǒng)降級性；5．載荷最小性。

7.5.2基于移動(dòng)代理的入侵檢測系統(tǒng)

7.5.3智能入侵檢測系統(tǒng)

7.5.2基于移動(dòng)代理的入侵檢測系統(tǒng)

7.6入侵檢測系統(tǒng)標(biāo)準(zhǔn)化目前，對IDS進(jìn)行標(biāo)準(zhǔn)化的工作有兩個(gè)組織：IETF的入侵檢測工作組IDWG和通用入侵檢測框架CIDF。7.6.1入侵檢測工作組IDWGIDWG的工作目標(biāo)是定義入侵檢測系統(tǒng)中的數(shù)據(jù)格式、信息交換過程和交換協(xié)議。IDWG的文檔定義了入侵檢測系統(tǒng)中信息交換需求IDMER、信息交換的格式IDMEF、入侵檢測交換協(xié)議IDXP以及一種可以繞過防火墻的數(shù)據(jù)傳輸方法TUNNEL。7.6.2通用入侵檢測框架CIDFCIDF是一套規(guī)范，它定義了IDS表達(dá)檢測信息的標(biāo)準(zhǔn)語言以及IDS組件之間的通信協(xié)議。CIDF的文檔由四個(gè)部分組成：體系結(jié)構(gòu)、規(guī)范語言、內(nèi)部通信和程序接口。1．體系結(jié)構(gòu)

CIDF的體系結(jié)構(gòu)文檔將一個(gè)IDS分為4個(gè)組件：事件產(chǎn)生器、事件分析器、事件數(shù)據(jù)庫和響應(yīng)單元。（1）事件產(chǎn)生器：事件產(chǎn)生器是負(fù)責(zé)從整個(gè)計(jì)算環(huán)境中獲取事件，然后將事件轉(zhuǎn)化為GIDO標(biāo)準(zhǔn)格式提交給其它組件使用。（2）事件分析器：事件分析器從其他組件接收GIDO數(shù)據(jù)，并分析它們，然后以一個(gè)新的GIDO形式返回分析結(jié)果。（3）事件數(shù)據(jù)庫：事件數(shù)據(jù)庫負(fù)責(zé)GIDO的存儲(chǔ)，是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱。（4）響應(yīng)單元：響應(yīng)單元是對分析結(jié)果作出反應(yīng)的功能單元，它可以是終止進(jìn)程、切斷連接、改變文件屬性，也可以只是簡單的報(bào)警和記錄。2．規(guī)范語言規(guī)范語言定義了一個(gè)用來描述各種檢測信息的標(biāo)準(zhǔn)語言，定義了一種用于表示原始事件信息、分析結(jié)果和響應(yīng)指令的語言，稱為CISL。3．內(nèi)部通信內(nèi)部通信定義了IDS組件之間進(jìn)行通信的標(biāo)準(zhǔn)協(xié)議。一種為匹配服務(wù)法，另一種為消息層法。匹配服務(wù)為CIDF各組件之間的相互識別、定位和信息共享提供了一個(gè)標(biāo)準(zhǔn)的統(tǒng)一機(jī)制。4．程序接口程序接口提供了一整套標(biāo)準(zhǔn)的應(yīng)用程序接口。

7.7入侵檢測系統(tǒng)SnortSnort是一個(gè)免費(fèi)的、開放源代碼的基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)，具有很好的擴(kuò)展性和可移植性。1．Snort主要功能

Snort主要功能有三種：數(shù)據(jù)包嗅探器、數(shù)據(jù)包記錄器、網(wǎng)絡(luò)入侵檢測。2．Snort特點(diǎn)（1）Snort是一個(gè)跨平臺、輕量級的網(wǎng)絡(luò)入侵檢測軟件。（2）Snort采用基于規(guī)則的網(wǎng)絡(luò)信息搜索機(jī)制，對數(shù)據(jù)包進(jìn)行內(nèi)容的模式匹配，從中發(fā)現(xiàn)入侵和探測行為。（3）Snort具有實(shí)時(shí)數(shù)據(jù)流量分析和監(jiān)測IP網(wǎng)絡(luò)數(shù)據(jù)包的能力，能夠進(jìn)行協(xié)議分析，對內(nèi)容進(jìn)行搜索/匹配。它能夠檢測各種不同的攻擊方式，對攻擊進(jìn)行實(shí)時(shí)報(bào)警。它還可以用來截獲網(wǎng)絡(luò)中的數(shù)據(jù)包并記錄數(shù)據(jù)包日志。（4）Snort的報(bào)警機(jī)制豐富。（5）Snort的日志格式既可以是二進(jìn)制格式，也可以解碼成ASCII字符形式，便于用戶檢查。（6）Snort使用一種簡單的規(guī)則描述語言，能夠很快對新的網(wǎng)絡(luò)攻擊作出反應(yīng)。（7）Snort支持插件。可以使用具有特定功能的報(bào)告、檢測子系統(tǒng)插件對其功能進(jìn)行擴(kuò)展。3．Snort組成（1）數(shù)據(jù)包解碼器。數(shù)據(jù)包解碼器主要是對各種協(xié)議棧上的數(shù)據(jù)包進(jìn)行解析、預(yù)處理，以便提交給檢測引擎進(jìn)行規(guī)則匹配。（2）檢測引擎。Snort用一個(gè)二維鏈表存儲(chǔ)它的檢測規(guī)則，一維稱為規(guī)則頭，另一維稱為規(guī)則選項(xiàng)。規(guī)則匹配查找采用遞歸的方法進(jìn)行，檢測機(jī)制只針對當(dāng)前已經(jīng)建立的鏈表選項(xiàng)進(jìn)行檢測。（3）日志子系統(tǒng)。Snort可供選擇的日志形式有三種：文本形式、二進(jìn)制形式、關(guān)閉日志服務(wù)。（4）報(bào)警子系統(tǒng)。報(bào)警形式有五種：報(bào)警信息可發(fā)往系統(tǒng)日志，用文本形式記錄到報(bào)警文件中去，用二進(jìn)制形式記錄到報(bào)警文件中去，通過Samba發(fā)送WinPopup信息，第五種方法就是關(guān)閉報(bào)警，什么也不做。

7.8入侵檢測產(chǎn)品選購1．根據(jù)單位需求。2．產(chǎn)品通過權(quán)威機(jī)構(gòu)認(rèn)證。3．廠商的技術(shù)支持和服務(wù)。4．產(chǎn)品系統(tǒng)結(jié)構(gòu)要合理。5．自定義異常事件。6．檢測規(guī)則庫要完整。。7．檢測能力強(qiáng)大。