第9章 入侵檢測技術(shù)-y

版權(quán)所有，盜版必糾第9章入侵檢測技術(shù)版權(quán)所有，盜版必糾概述

入侵檢測作為一種積極主動的安全技術(shù)，已成為維護(hù)網(wǎng)絡(luò)安全的重要手段之一，并在網(wǎng)絡(luò)安全中發(fā)揮著越來越重要的作用。本章主要介紹入侵檢測的基本概念、組成、體系結(jié)構(gòu)、檢測技術(shù)、標(biāo)準(zhǔn)化問題和發(fā)展方向等。版權(quán)所有，盜版必糾目錄第9章入侵檢測技術(shù)9.1入侵檢測概述9.2入侵檢測技術(shù)9.3IDS的標(biāo)準(zhǔn)化9.4入侵檢測的發(fā)展版權(quán)所有，盜版必糾隨著黑客攻擊技術(shù)的日漸高明，暴露出來的系統(tǒng)漏洞也越來越多，傳統(tǒng)的操作系統(tǒng)加固技術(shù)和防火墻隔離技術(shù)等都是靜態(tài)的安全防御技術(shù)，對網(wǎng)絡(luò)環(huán)境下日新月異的攻擊手段缺乏主動的反應(yīng)，越來越不能滿足現(xiàn)有系統(tǒng)對安全性的要求。網(wǎng)絡(luò)安全需要縱深的、多層次的安全措施。9.1入侵檢測概述版權(quán)所有，盜版必糾現(xiàn)今流行的防火墻技術(shù)的局限性主要表現(xiàn)在：第一，入侵者可尋找防火墻背后可能敞開的后門；第二，不能阻止內(nèi)部攻擊；第三，通常不能提供實時的入侵檢測能力；第四，不能主動跟蹤入侵者；第五，不能對病毒進(jìn)行有效防護(hù)。入侵檢測技術(shù)作為近20多年來出現(xiàn)的一種積極主動的網(wǎng)絡(luò)安全技術(shù)，是P2DR2模型的一個重要組成部分。與傳統(tǒng)的加密和訪問控制的常用安全方法相比，入侵檢測系統(tǒng)（IDS）是全新的計算機安全措施。它不僅可以檢測來自網(wǎng)絡(luò)外部的入侵行為，同時也可以檢測來自網(wǎng)絡(luò)內(nèi)部用戶的未授權(quán)活動和誤操作，有效地彌補了防火墻的不足，被稱為防火墻之后的第二道安全閘門。此外，它在必要的時候還可以采取措施阻止入侵行為的進(jìn)一步發(fā)生和破壞。9.1.1為什么需要入侵檢測系統(tǒng)版權(quán)所有，盜版必糾假如說防火墻是一幢大樓的門鎖，那么入侵檢測系統(tǒng)就是這幢大樓里的監(jiān)視系統(tǒng)。門鎖可以防止小偷進(jìn)入大樓，但不能防止大樓內(nèi)部個別人員的不良企圖，并且一旦小偷繞過門鎖進(jìn)入大樓，門鎖就沒有任何作用了。網(wǎng)絡(luò)系統(tǒng)中的入侵檢測系統(tǒng)恰恰類似于大樓內(nèi)的實時監(jiān)視和報警裝置，在安全監(jiān)測中是十分必要的，它被視為防火墻之后的第二道安全閘門。Anderson在早期的研究中曾用“威脅”表示入侵，并把它定義為：一種故意的、未授權(quán)的企圖的潛在可能性，這些企圖包括：訪問信息、操縱信息、或使系統(tǒng)不可靠或不能用。事實上，“入侵”就是對系統(tǒng)安全策略的侵犯，它不僅包括發(fā)起攻擊的人取得超出合法范圍的系統(tǒng)控制權(quán)，也包括收集漏洞信息，造成拒絕服務(wù)訪問（DenialofService，DoS）等對計算機造成危害的行為。9.1.2入侵檢測的概念版權(quán)所有，盜版必糾入侵檢測是從計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點搜集信息并對其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的一種機制。入侵檢測系統(tǒng)的英文縮寫是IDS（IntrusionDetectionSystem），它通過對網(wǎng)絡(luò)及其上的系統(tǒng)進(jìn)行監(jiān)視，可以識別惡意的使用行為，并根據(jù)監(jiān)視結(jié)果進(jìn)行不同的安全動作，最大限度地降低可能的入侵危害。因為入侵行為不僅可以來自外部，同時也可來自內(nèi)部用戶的未授權(quán)活動。所以一個有效的入侵檢測系統(tǒng)應(yīng)當(dāng)能夠檢測兩種類型的入侵：來自外部世界的闖入和內(nèi)部攻擊者。9.1.2入侵檢測的概念版權(quán)所有，盜版必糾入侵檢測系統(tǒng)基本上不具有訪問控制的能力，它就像一個有著多年經(jīng)驗、熟悉各種入侵方式的網(wǎng)絡(luò)偵察員，通過對數(shù)據(jù)包流的分析，可以從數(shù)據(jù)流中過濾出可疑數(shù)據(jù)包，通過與已知的入侵方式或正常使用方式進(jìn)行比較，來確定入侵是否發(fā)生和入侵的類型并進(jìn)行報警。網(wǎng)絡(luò)管理員根據(jù)這些報警就可以確切地知道所受到的攻擊并采取相應(yīng)的措施。因此，可以說入侵檢測系統(tǒng)是網(wǎng)絡(luò)管理員經(jīng)驗積累的一種體現(xiàn)，它極大地減輕了網(wǎng)絡(luò)管理員的負(fù)擔(dān)，降低了對網(wǎng)絡(luò)管理員的技術(shù)要求，提高了網(wǎng)絡(luò)安全管理的效率和準(zhǔn)確性。9.1.2入侵檢測的概念版權(quán)所有，盜版必糾對入侵檢測的研究最早可以追溯到20世紀(jì)80年代。1980年，JamesAnderson在其著名的技術(shù)報告《ComputerSecurityThreatMonitoringandSurveillance》（計算機安全威脅監(jiān)控與監(jiān)視）中首先提出了入侵檢測的概念，他將入侵檢測劃分為外部闖入、內(nèi)部授權(quán)用戶的越權(quán)使用和濫用三種類型，并提出用審計追蹤來監(jiān)視入侵威脅。然而，這一設(shè)想在當(dāng)時并沒有引起人們的注意，入侵檢測真正受到重視和快速發(fā)展還是在Internet興起之后。9.1.3入侵檢測的歷史版權(quán)所有，盜版必糾1986年，Denning提出了一個經(jīng)典的入侵檢測模型，如圖9.1。他首次將入侵檢測的概念作為一種計算機系統(tǒng)的安全防御措施提出。該模型由六個部分組成：主體、對象、審計記錄、輪廓特征、異常記錄、活動規(guī)則，它獨立于特定的系統(tǒng)平臺、應(yīng)用環(huán)境、系統(tǒng)弱點以及入侵類型，為構(gòu)建入侵檢測系統(tǒng)提供了一個通用的框架。9.1.3入侵檢測的歷史版權(quán)所有，盜版必糾9.1.3入侵檢測的歷史版權(quán)所有，盜版必糾1990年加州大學(xué)戴維斯分校的L.T.Heberlein等人開發(fā)出了NSM（NetworkSecurityMonitor），從此，入侵檢測系統(tǒng)被分為兩個基本類型：基于網(wǎng)絡(luò)的IDS和基于主機的IDS。自從1988年的莫里斯蠕蟲事件發(fā)生之后，美國一些研究機構(gòu)開始對分布式入侵檢測系統(tǒng)（DIDS）進(jìn)行研究，將基于主機和基于網(wǎng)絡(luò)的檢測方法集成在一起，使得DIDS成了分布式入侵檢測系統(tǒng)歷史上的一個里程碑式的產(chǎn)品。從20世紀(jì)90年代到現(xiàn)在，入侵檢測系統(tǒng)的研發(fā)呈現(xiàn)出百家爭鳴的繁榮局面，并在智能化和分布式兩個方向取得了長足的進(jìn)展。1994年，MarkCrosbie和EugeneSpafford首次建議使用自治代理（Autonomousagents）來提高IDS的可伸縮、可維護(hù)性、效率和容錯性。9.1.3入侵檢測的歷史版權(quán)所有，盜版必糾1996年出現(xiàn)了GRIDS(Graph-basedIntrusionDetectionSystem)，它的設(shè)計和實現(xiàn)使得對大規(guī)模自動或協(xié)同攻擊的檢測更為便利。同年，F(xiàn)orrest等人首次將免疫原理運用到分布式的入侵檢測領(lǐng)域。此后，在IDS中還出現(xiàn)了遺傳算法、遺傳編程的運用。1997年，RossAnderson和AbidaKhattak將信息檢索技術(shù)引進(jìn)到了入侵檢測領(lǐng)域。1998年，W.Lee首次提出了運用數(shù)據(jù)挖掘技術(shù)對審計數(shù)據(jù)進(jìn)行處理。1999年，StevenCheung等人又提出了入侵容忍（Intrusiontolerance）的概念，在IDS中引入了容錯技術(shù)。2000年，TimmBass提出了數(shù)據(jù)融合（DataFusion）的概念，將分布式入侵檢測理解為在層次化模型下對多感應(yīng)器的數(shù)據(jù)綜合問題。9.1.3入侵檢測的歷史版權(quán)所有，盜版必糾這幾年，入侵檢測系統(tǒng)發(fā)展很快，如ISS，Cisco，Axent，NSW，NFR等都發(fā)布了它們的產(chǎn)品，這些產(chǎn)品各有自己的優(yōu)勢。然而，由于通用標(biāo)準(zhǔn)的缺乏，不同的入侵檢測系統(tǒng)之間還不能有效地進(jìn)行互操作。9.1.3入侵檢測的歷史版權(quán)所有，盜版必糾入侵檢測系統(tǒng)包括三個功能部件：提供事件記錄流的信息源、發(fā)現(xiàn)入侵跡象的分析引擎、基于分析引擎的結(jié)果產(chǎn)生反應(yīng)的響應(yīng)部件。因此，IDS可以看作這樣的管理工具：它從計算機網(wǎng)絡(luò)的各個關(guān)鍵點收集各種系統(tǒng)和網(wǎng)絡(luò)資源的信息，然后分析有入侵（來自組織外部的攻擊）和誤用（源于內(nèi)部組織的攻擊）跡象的信息，并識別這些行為和活動，在某些情況下，它可以自動地對檢測到的活動進(jìn)行響應(yīng)，報告檢測過程的結(jié)果，從而幫助計算機系統(tǒng)對付攻擊。IDS也可以包括一個所謂的“蜜罐”（Honeypot），人為留下一些明顯的安全漏洞，以引誘攻擊者對這些漏洞進(jìn)行入侵，從而為研究入侵行為提供信息。9.1.4入侵檢測系統(tǒng)的作用版權(quán)所有，盜版必糾入侵檢測系統(tǒng)的主要功能是：監(jiān)視用戶和系統(tǒng)的活動，查找非法用戶和合法用戶的越權(quán)操作。審計系統(tǒng)配置的正確性和安全漏洞，并提示管理員修補漏洞。對用戶的非正?；顒舆M(jìn)行統(tǒng)計分析，發(fā)現(xiàn)入侵行為的規(guī)律。檢查系統(tǒng)程序和數(shù)據(jù)的一致性與正確性。能夠?qū)崟r地對檢測到的入侵行為進(jìn)行反應(yīng)。操作系統(tǒng)的審計跟蹤管理。9.1.4入侵檢測系統(tǒng)的作用版權(quán)所有，盜版必糾對一個成功的入侵檢測系統(tǒng)而言，它不但可使系統(tǒng)管理員時刻了解網(wǎng)絡(luò)系統(tǒng)（包括程序、文件和硬件設(shè)備等）的任何變更，還能為網(wǎng)絡(luò)安全策略的制定提供指南。更為重要的一點是，它應(yīng)該管理、配置簡單，從而使非專業(yè)人員也能非常容易地利用它對網(wǎng)絡(luò)實施安全保護(hù)。入侵檢測的規(guī)模還應(yīng)根據(jù)網(wǎng)絡(luò)威脅、系統(tǒng)構(gòu)造和安全需求的改變而改變；在發(fā)現(xiàn)入侵后，應(yīng)能及時做出響應(yīng)，包括切斷網(wǎng)絡(luò)連接、記錄事件和報警等。9.1.4入侵檢測系統(tǒng)的作用版權(quán)所有，盜版必糾入侵檢測系統(tǒng)可以從不同的角度進(jìn)行分類，目前主要有以下幾種分類方法。1．按照數(shù)據(jù)的來源按照采集器的數(shù)據(jù)來源，可分為三種，即基于主機的IDS、基于網(wǎng)絡(luò)的IDS和基于路由器的IDS。9.1.5入侵檢測的分類版權(quán)所有，盜版必糾基于主機的IDS（Host-basedIntrusionDetectionSystem，HIDS）：通過監(jiān)視和分析所在主機的審計記錄檢測入侵。優(yōu)點是可精確判斷入侵事件，并及時進(jìn)行反應(yīng)，不受網(wǎng)絡(luò)加密的影響。缺點是會占用寶貴的主機資源。另外，能否及時采集到審計也是這種系統(tǒng)的弱點之一，因為入侵者會將主機審計子系統(tǒng)作為攻擊目標(biāo)以避開IDS。典型的系統(tǒng)主要有：ComputerWatch，Discovery，Haystack，IDES，ISOA，MIDAS以及LosAlamos國家實驗室開發(fā)的異常檢測系統(tǒng)W&S。9.1.5入侵檢測的分類基于網(wǎng)絡(luò)的IDS（Network-basedIntrusionDetectionSystem，NIDS）：通過在共享網(wǎng)段上對主機之間的通信數(shù)據(jù)進(jìn)行偵聽，分析可疑現(xiàn)象。這類系統(tǒng)不需要主機通過嚴(yán)格的審計，主機資源消耗少，可提供對網(wǎng)絡(luò)通用的保護(hù)而無需顧及異構(gòu)主機的不同架構(gòu)。但它只能監(jiān)視經(jīng)過本網(wǎng)段的活動，且精確度較差，在交換網(wǎng)絡(luò)環(huán)境下難于配置，防欺騙能力也較差。9.1.5入侵檢測的分類版權(quán)所有，盜版必糾基于路由器的入侵檢測系統(tǒng)（Router-basedIntrusionDetectionSystem，RIDS）：通過對網(wǎng)關(guān)中相關(guān)信息的提取，提供對整個信息基礎(chǔ)設(shè)施的保護(hù)，確保大型網(wǎng)絡(luò)計算機之間安全、可靠的連接。一般安裝在路由器上，但負(fù)載變化對網(wǎng)絡(luò)性能的影響很大。9.1.5入侵檢測的分類版權(quán)所有，盜版必糾當(dāng)然，以上三種入侵檢測系統(tǒng)都具有自己的優(yōu)點和不足，可互相作為補充。一般地，一個完備的入侵檢測系統(tǒng)一定是基于主機和基于網(wǎng)絡(luò)兩種方式兼?zhèn)涞姆植际较到y(tǒng)。事實上，現(xiàn)在的商用產(chǎn)品也很少是基于一種入侵檢測模型、使用一種技術(shù)實現(xiàn)的，一般都是理論模型與技術(shù)條件間的折衷方案。不同的體系結(jié)構(gòu)、不同的技術(shù)途徑實現(xiàn)的入侵檢測系統(tǒng)都有不同的優(yōu)缺點，都只能最適用于某種特定的環(huán)境。9.1.5入侵檢測的分類版權(quán)所有，盜版必糾2．按照分析的方式按照分析器所采用的數(shù)據(jù)分析方式，可分為異常檢測系統(tǒng)、誤用檢測系統(tǒng)和混合檢測系統(tǒng)。9.1.5入侵檢測的分類版權(quán)所有，盜版必糾異常檢測（Anomalydetection）系統(tǒng)：

檢測與可接受行為之間的偏差。假定所有的入侵行為都與正常行為不同，建立正?；顒拥暮啓n，當(dāng)主體活動違反其統(tǒng)計規(guī)律時，則將其視為可疑行為。該技術(shù)的關(guān)鍵是異常閾值和正常特征的選擇。其優(yōu)點是可以發(fā)現(xiàn)新型的入侵行為，缺點是容易產(chǎn)生誤報。9.1.5入侵檢測的分類版權(quán)所有，盜版必糾誤用檢測（Misusedetection）系統(tǒng)：

檢測與已知的不可接受行為之間的匹配程度。假定所有入侵行為和手段（及其變種）都能夠表達(dá)為一種模式或特征，系統(tǒng)的目標(biāo)就是檢測主體活動是否符合這些模式，如果符合則視為可疑行為。該技術(shù)的關(guān)鍵是如何表達(dá)入侵的模式，把真正的入侵行為與正常行為區(qū)分開來，因此入侵模式表達(dá)的好壞直接影響入侵檢測的能力。其優(yōu)點是誤報少，缺點是只能發(fā)現(xiàn)攻擊庫中已知的攻擊，且其復(fù)雜性將隨著攻擊數(shù)量的增加而增加。9.1.5入侵檢測的分類版權(quán)所有，盜版必糾混合檢測（Hybriddetection）系統(tǒng)：同時使用以上兩種方法，從而獲得二者的優(yōu)點而避免其缺點。目前，國際頂尖的入侵檢測系統(tǒng)還主要以模式發(fā)現(xiàn)技術(shù)為主，并結(jié)合異常發(fā)現(xiàn)技術(shù)。9.1.5入侵檢測的分類版權(quán)所有，盜版必糾3．按照分析的位置按照分析器進(jìn)行數(shù)據(jù)分析的位置，IDS可分為集中式和分布式。9.1.5入侵檢測的分類版權(quán)所有，盜版必糾集中式的IDS：數(shù)據(jù)的分析在一個固定的位置上，獨立于受監(jiān)視主機。這里不考慮數(shù)據(jù)收集的位置，只考慮數(shù)據(jù)分析的位置。如：IDES（ArealtimeIntrusionDetectionExpertSystem，一個實時的入侵檢測專家系統(tǒng)），IDIOT（Anapplicationofpetri-netstointrusiondetection，運用了Petri網(wǎng)，由PurdueCOAST開發(fā)），NADIR（Anautomatedsystemfordetectingnetworkintrusionandmisuse，檢測網(wǎng)絡(luò)入侵和誤用的自動系統(tǒng)），NSM（NetworkSecurityMonitor，第一個用網(wǎng)絡(luò)通信作為審計數(shù)據(jù)來源的系統(tǒng)）。9.1.5入侵檢測的分類版權(quán)所有，盜版必糾分布式的IDS：數(shù)據(jù)分析在很多位置進(jìn)行，和被監(jiān)視主機的數(shù)量成比例。這里只考慮數(shù)據(jù)分析部件的位置和數(shù)量，而不考慮數(shù)據(jù)收集部件。如：DIDS（DistributedIntrusionDetectionSystem），GrIDS（Graph-basedIntrusionDetectionSystem），EMERALD（EventMonitoringEnablingResponsetoAnomalousLiveDisturbances），AAFID（AutonomousAgentsforIntrusionDetection）。9.1.5入侵檢測的分類版權(quán)所有，盜版必糾4．其它分類方法根據(jù)響應(yīng)方式，入侵檢測系統(tǒng)可分為主動和被動響應(yīng)系統(tǒng)。主動響應(yīng)對發(fā)現(xiàn)的入侵行為主動進(jìn)行處理以阻止攻擊，被動響應(yīng)僅僅對發(fā)現(xiàn)的入侵行為進(jìn)行告警和寫入日志。根據(jù)系統(tǒng)的工作方式，可分為離線檢測和在線檢測。離線檢測在事后分析審計事件，從中檢查入侵活動，是一種非實時工作的系統(tǒng)；在線檢測包含：對實時網(wǎng)絡(luò)數(shù)據(jù)包分析、對實時主機審計分析，是一種實時聯(lián)機的檢測系統(tǒng)。9.1.5入侵檢測的分類版權(quán)所有，盜版必糾當(dāng)然，系統(tǒng)攻擊和入侵檢測是矛與盾的關(guān)系，各種不同機制的入侵檢測系統(tǒng)之間并沒有絕對的優(yōu)劣之分。在當(dāng)前，由于對計算機系統(tǒng)各部分存在漏洞的情況、人類的攻擊行為、漏洞與攻擊行為之間的關(guān)系都沒有（也不可能）用數(shù)學(xué)語言明確的描述，無法建立可靠的數(shù)學(xué)描述模型，因而無法通過數(shù)學(xué)和其他邏輯方法從理論上證明某一個入侵檢測模型的有效性，而只能對于一個已經(jīng)建立起來的原型系統(tǒng)，進(jìn)行攻防比較測試，通過實驗的方法在實踐中檢驗系統(tǒng)的有效性。9.1.5入侵檢測的分類版權(quán)所有，盜版必糾一般說來，入侵檢測系統(tǒng)主要有集中式、分布式和分層式三種體系結(jié)構(gòu)。9.1.6入侵檢測的體系結(jié)構(gòu)版權(quán)所有，盜版必糾1．集中式結(jié)構(gòu)入侵檢測系統(tǒng)發(fā)展的初期，IDS大都采用單一的體系結(jié)構(gòu)，即所有的工作包括數(shù)據(jù)的采集、分析都是由單一主機上的單一程序來完成，如圖9.2（a）。目前，一些所謂的分布式入侵檢測系統(tǒng)只是在數(shù)據(jù)采集上實現(xiàn)了分布式，數(shù)據(jù)的分析、入侵的發(fā)現(xiàn)和識別還是由單一程序來完成，如圖9.2（b）。因此，這種入侵檢測系統(tǒng)實際上還是集中式的。9.1.6入侵檢測的體系結(jié)構(gòu)版權(quán)所有，盜版必糾這種結(jié)構(gòu)的優(yōu)點是：數(shù)據(jù)的集中處理可以更加準(zhǔn)確地分析可能的入侵行為。缺點是：（1）可擴展性差。在單一主機上處理所有的信息限制了受監(jiān)視網(wǎng)絡(luò)的規(guī)模；分布式的數(shù)據(jù)收集常會引起網(wǎng)絡(luò)數(shù)據(jù)過載問題。（2）難于重新配置和添加新功能。要使新的設(shè)置和功能生效，IDS通常要重新啟動。（3）中央分析器是個單一失效點。如果中央分析器受到入侵者的破壞，那么整個網(wǎng)絡(luò)將失去保護(hù)。9.1.6入侵檢測的體系結(jié)構(gòu)版權(quán)所有，盜版必糾2．分布式結(jié)構(gòu)隨著入侵檢測產(chǎn)品日益在規(guī)模龐大的企業(yè)中應(yīng)用，分布式技術(shù)也開始融入到入侵檢測產(chǎn)品中來。這種分布式結(jié)構(gòu)采用多個代理在網(wǎng)絡(luò)各部分分別進(jìn)行入侵檢測，并協(xié)同處理可能的入侵行為，其優(yōu)點是：能夠較好地實現(xiàn)數(shù)據(jù)的監(jiān)聽，可以檢測內(nèi)部和外部的的入侵行為。但是這種技術(shù)不能完全解決集中式入侵檢測的缺點。因為當(dāng)前的網(wǎng)絡(luò)普遍是分層的結(jié)構(gòu)，而純分布式的入侵檢測要求代理分布在同一個層次，若代理所處的層次太低，則無法檢測針對網(wǎng)絡(luò)上層的入侵，若代理所處的層次太高，則無法檢測針對網(wǎng)絡(luò)下層的入侵。同時由于每個代理都沒有對網(wǎng)絡(luò)數(shù)據(jù)的整體認(rèn)識，所以無法準(zhǔn)確地判斷跨一定時間和空間的攻擊，容易受到IP分段等針對IDS的攻擊。9.1.6入侵檢測的體系結(jié)構(gòu)版權(quán)所有，盜版必糾3．分層結(jié)構(gòu)由于單個主機資源的限制和攻擊信息的分布，在針對高層次攻擊（如協(xié)同攻擊）上，需要多個檢測單元進(jìn)行協(xié)同處理，而檢測單元通常是智能代理。因此，考慮采用分層的結(jié)構(gòu)來檢測越來越復(fù)雜的入侵是比較好的選擇，如圖9.3。9.1.6入侵檢測的體系結(jié)構(gòu)版權(quán)所有，盜版必糾在樹形分層體系中，最底層的代理負(fù)責(zé)收集所有的基本信息，然后對這些信息進(jìn)行簡單的處理，并完成簡單的判斷和處理。其特點是所處理的數(shù)據(jù)量大、速度快、效率高，但它只能檢測某些簡單的攻擊。中間層代理起承上啟下的作用，一方面可以接受并處理下層節(jié)點處理后的數(shù)據(jù)，另一方面可以進(jìn)行較高層次的關(guān)聯(lián)分析、判斷和結(jié)果輸出，并向高層節(jié)點進(jìn)行報告。中間節(jié)點的加入減輕了中央控制臺的負(fù)擔(dān)，增強了系統(tǒng)的伸縮性。9.1.6入侵檢測的體系結(jié)構(gòu)版權(quán)所有，盜版必糾最高層節(jié)點主要負(fù)責(zé)在整體上對各級節(jié)點進(jìn)行管理和協(xié)調(diào)，此外，它還可根據(jù)環(huán)境的要求動態(tài)調(diào)整節(jié)點層次關(guān)系圖，實現(xiàn)系統(tǒng)的動態(tài)配置。網(wǎng)絡(luò)中攻擊與防護(hù)的對抗是一個長期復(fù)雜的過程。從長遠(yuǎn)的安全角度考慮，一個好的體系結(jié)構(gòu)將提高整個安全系統(tǒng)的自適應(yīng)性和進(jìn)化能力。然而，目前由于通用標(biāo)準(zhǔn)的缺乏，入侵檢測系統(tǒng)內(nèi)部各部件缺乏有效的信息共享和協(xié)同機制，限制了攻擊的檢測能力，并且入侵檢測系統(tǒng)之間也難以交換信息和協(xié)同工作，降低了檢測效率。9.1.6入侵檢測的體系結(jié)構(gòu)版權(quán)所有，盜版必糾入侵檢測方法有多種，按照他們對數(shù)據(jù)進(jìn)行分析的角度，可將它們分為兩大類，即異常檢測技術(shù)和誤用檢測技術(shù)。9.2入侵檢測技術(shù)版權(quán)所有，盜版必糾異常檢測（AnomalyDetection），也稱基于行為的檢測，是指根據(jù)使用者的行為或資源使用情況來判斷是否發(fā)生了入侵，而不依賴于具體行為是否出現(xiàn)來檢測。若入侵行為偏離了正常的行為軌跡，就可以被檢測出來。例如，系統(tǒng)把用戶早六點到晚八點登錄公司服務(wù)器定義為正常行為，若發(fā)現(xiàn)有用戶在晚八點到早六點之間（如凌晨一點）登錄公司服務(wù)器，則把該行為標(biāo)識為異常行為。異常檢測試圖用定量方式描述常規(guī)的或可接受的行為，從而區(qū)別非常規(guī)的、潛在的攻擊行為。異常檢測技術(shù)的原理如圖9.4所示。9.2.1異常檢測技術(shù)版權(quán)所有，盜版必糾9.2.1異常檢測技術(shù)版權(quán)所有，盜版必糾該技術(shù)的前提條件是入侵活動是異?；顒拥囊粋€子集，理想的情況是：異?；顒蛹c入侵活動集相等。但事實上，二者并不總是相等的，有4種可能性：（1）是入侵但非異常；（2）非入侵但表現(xiàn)異常；（3）非入侵且非異常；（4）是入侵且異常。9.2.1異常檢測技術(shù)版權(quán)所有，盜版必糾該技術(shù)主要包括以下幾種方法：1．用戶行為概率統(tǒng)計模型這種方法是產(chǎn)品化的入侵檢測系統(tǒng)中常用的方法，它是基于對用戶歷史行為建模以及在早期的證據(jù)或模型的基礎(chǔ)上，審計系統(tǒng)的被檢測用戶對系統(tǒng)的使用情況，然后根據(jù)系統(tǒng)內(nèi)部保存的用戶行為概率統(tǒng)計模型進(jìn)行檢測，并將那些與正?；顒又g存在較大統(tǒng)計偏差的活動標(biāo)識為異?；顒?。它能夠?qū)W習(xí)主體的日常行為，根據(jù)每個用戶以前的歷史行為，生成每個用戶的歷史行為記錄庫，當(dāng)用戶行為與歷史行為習(xí)慣不一致時，就會被視為異常。9.2.1異常檢測技術(shù)版權(quán)所有，盜版必糾在統(tǒng)計方法中，需要解決以下四個問題：選取有效的統(tǒng)計數(shù)據(jù)測量點，生成能夠反映主體特征的會話向量；根據(jù)主體活動產(chǎn)生的審計記錄，不斷更新當(dāng)前主體活動的會話向量；采用統(tǒng)計方法分析數(shù)據(jù)，判斷當(dāng)前活動是否符合主體的歷史行為特征；隨著時間變化，學(xué)習(xí)主體的行為特征，更新歷史記錄。9.2.1異常檢測技術(shù)版權(quán)所有，盜版必糾2．預(yù)測模式生成它基于如下假設(shè)：審計事件的序列不是隨機的，而是符合可識別的模式的。與純粹的統(tǒng)計方法相比，它增加了對事件順序與相互關(guān)系的分析，從而能檢測出統(tǒng)計方法所不能檢測的異常事件。這一方法首先根據(jù)已有的事件集合按時間順序歸納出一系列規(guī)則，在歸納過程中，隨著新事件的加入，它可以不斷改變規(guī)則集合，最終得到的規(guī)則能夠準(zhǔn)確地預(yù)測下一步要發(fā)生的事件。9.2.1異常檢測技術(shù)版權(quán)所有，盜版必糾3．人工神經(jīng)網(wǎng)絡(luò)通過訓(xùn)練神經(jīng)網(wǎng)絡(luò)，使之能夠在給定前n個動作或命令的前提下預(yù)測出用戶下一動作或命令。網(wǎng)絡(luò)經(jīng)過用戶常用的命令集的訓(xùn)練，經(jīng)過一段時間后，便可根據(jù)網(wǎng)絡(luò)中已存在的用戶特征文件，來匹配真實的命令。任何不匹配的預(yù)測事件或命令，都將被視為異常行為而被檢測出來。該方法的好處是：能夠很好的處理噪音數(shù)據(jù)，并不依賴于對所處理的數(shù)據(jù)的統(tǒng)計假設(shè)，不用考慮如何選擇特征向量的問題，容易適應(yīng)新的用戶群。缺點是：命令窗口的選擇不當(dāng)容易造成誤報和漏報；網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)不易確定；入侵者能夠訓(xùn)練該網(wǎng)絡(luò)來適應(yīng)入侵。9.2.1異常檢測技術(shù)版權(quán)所有，盜版必糾誤用檢測(MisuseDetection)，也稱基于知識的檢測，它是指運用已知攻擊方法，根據(jù)已定義好的入侵模式，通過判斷這些入侵模式是否出現(xiàn)來檢測。它通過分析入侵過程的特征、條件、排列以及事件間的關(guān)系來描述入侵行為的跡象。誤用檢測技術(shù)首先要定義違背安全策略事件的特征，判別所搜集到的數(shù)據(jù)特征是否在所搜集到的入侵模式庫中出現(xiàn)。這種方法與大部分殺毒軟件采用的特征碼匹配原理類似。其原理如圖9.5所示。9.2.2誤用檢測技術(shù)版權(quán)所有，盜版必糾9.2.2誤用檢測技術(shù)版權(quán)所有，盜版必糾該技術(shù)的前提是假設(shè)所有的網(wǎng)絡(luò)攻擊行為和方法都具有一定的模式或特征，如果把以往發(fā)現(xiàn)的所有網(wǎng)絡(luò)攻擊的特征總結(jié)出來并建立一個入侵信息庫，那么將當(dāng)前捕獲到的網(wǎng)絡(luò)行為特征與入侵信息庫中的特征信息相比較，如果匹配，則當(dāng)前行為就被認(rèn)定為入侵行為。9.2.2誤用檢測技術(shù)版權(quán)所有，盜版必糾該技術(shù)主要包括以下方法：1．專家系統(tǒng)用專家系統(tǒng)對入侵進(jìn)行檢測，經(jīng)常是針對有特征的入侵行為。該技術(shù)根據(jù)安全專家對可疑行為的分析經(jīng)驗來形成一套推理規(guī)則，然后在此基礎(chǔ)上建立相應(yīng)的專家系統(tǒng)，由此專家系統(tǒng)自動對所涉及入侵行為進(jìn)行分析。所謂的規(guī)則，即是知識，專家系統(tǒng)的建立依賴于知識庫的完備性，知識庫的完備性又取決于審計記錄的完備性與實時性。因此，該方法應(yīng)當(dāng)能夠隨著經(jīng)驗的積累而利用其自學(xué)習(xí)能力進(jìn)行規(guī)則的擴充和修正。9.2.2誤用檢測技術(shù)版權(quán)所有，盜版必糾2．模型推理入侵者在攻擊一個系統(tǒng)時往往采用一定的行為序列，如猜測口令的行為序列，這種行為序列構(gòu)成了具有一定行為特征的模型。該技術(shù)根據(jù)入侵者在進(jìn)行入侵時所執(zhí)行的某些行為程序的特征，建立一種入侵行為模型，并根據(jù)這種模型所代表的入侵意圖的行為特征，來判斷用戶執(zhí)行的操作是否屬于入侵行為。該方法也是建立在對當(dāng)前已知的入侵行為程序的基礎(chǔ)之上的，對未知的入侵方法所執(zhí)行的行為程序的模型識別需要進(jìn)一步的學(xué)習(xí)和擴展。與專家系統(tǒng)通常放棄處理那些不確定的中間結(jié)論的缺點相比，這一方法的優(yōu)點在于它基于完善的不確定性推理的數(shù)學(xué)理論。9.2.2誤用檢測技術(shù)版權(quán)所有，盜版必糾3．狀態(tài)轉(zhuǎn)換分析狀態(tài)轉(zhuǎn)換法將入侵過程看作一個行為序列，這個行為序列導(dǎo)致系統(tǒng)從初始狀態(tài)轉(zhuǎn)入被入侵狀態(tài)。該方法首先針對每一種入侵方法確定系統(tǒng)的初始狀態(tài)和被入侵狀態(tài)，以及導(dǎo)致狀態(tài)轉(zhuǎn)換的條件，即導(dǎo)致系統(tǒng)進(jìn)入被入侵狀態(tài)必須執(zhí)行的操作（特征事件）。然后用狀態(tài)轉(zhuǎn)換圖來表示每一個狀態(tài)和特征事件。當(dāng)分析審計事件時，若根據(jù)對應(yīng)的條件布爾表達(dá)式系統(tǒng)從安全狀態(tài)轉(zhuǎn)移到不安全的狀態(tài)，則把該事件標(biāo)記為入侵事件。系統(tǒng)通過對事件序列進(jìn)行分析來判斷入侵是否發(fā)生。9.2.2誤用檢測技術(shù)版權(quán)所有，盜版必糾4．模式匹配該方法將已知的入侵特征編碼成與審計記錄相符合的模式，并通過將新的審計事件與已知入侵模式相比較來判斷是否發(fā)生了入侵。當(dāng)新的審計事件產(chǎn)生時，該方法將尋找與它相匹配的已知入侵模式。如果找到，則意味著發(fā)生了入侵。9.2.2誤用檢測技術(shù)版權(quán)所有，盜版必糾近年來，隨著網(wǎng)絡(luò)及其安全技術(shù)的飛速發(fā)展，一些新的入侵檢測技術(shù)相繼出現(xiàn)，其中很多入侵檢測方法既不是誤用檢測也不屬于異常檢測的范圍，而是可以應(yīng)用于以上兩類檢測，主要包括：9.2.3其它入侵檢測技術(shù)版權(quán)所有，盜版必糾1．軟計算方法軟計算方法包含了神經(jīng)網(wǎng)絡(luò)、遺傳算法與模糊技術(shù)。運用神經(jīng)網(wǎng)絡(luò)進(jìn)行入侵檢測有助于解決具有非線性特征的攻擊活動，而用于入侵檢測的神經(jīng)網(wǎng)絡(luò)運用模糊技術(shù)確定神經(jīng)網(wǎng)絡(luò)的權(quán)重，可加快神經(jīng)網(wǎng)絡(luò)的訓(xùn)練時間，提高神經(jīng)網(wǎng)絡(luò)的容錯和外拓能力。神經(jīng)網(wǎng)絡(luò)方法的運用是提高檢測系統(tǒng)的準(zhǔn)確性和效率的重要手段。近年來，還有人運用遺傳算法、遺傳編程及免疫原理進(jìn)行入侵檢測。然而，這些方法還不成熟，目前還沒有出現(xiàn)較為完善的產(chǎn)品。9.2.3其它入侵檢測技術(shù)版權(quán)所有，盜版必糾2．計算機免疫學(xué)這是一個較新的領(lǐng)域，最初由Forrest等人提出。該項技術(shù)建立網(wǎng)絡(luò)服務(wù)正常操作的行為模型，它首先收集一些參考審計記錄構(gòu)成一個參考表，表明正確的行為模式，并實時檢測進(jìn)程系統(tǒng)的調(diào)用序列是否符合正常模式。如果參考表足夠詳盡，則誤報率將很低。但不足的是它不能對付利用配置錯誤進(jìn)行的攻擊，以及攻擊者以合法操作進(jìn)行的非授權(quán)訪問等。9.2.3其它入侵檢測技術(shù)版權(quán)所有，盜版必糾3．?dāng)?shù)據(jù)挖掘首先由Wenke.lee用于入侵檢測。該技術(shù)可以自動地通過數(shù)據(jù)挖掘程序處理收集到的審計數(shù)據(jù)，為各種入侵行為和正常操作建立精確的行為模式，而不需要人工分析和編碼入侵行為，且系統(tǒng)適應(yīng)性好，即相同的算法可用于多種證據(jù)數(shù)據(jù)。其關(guān)鍵在于算法的選取和建立一個正確的體系結(jié)構(gòu)。據(jù)DARPA評估，運用了這種技術(shù)的IDS在性能上優(yōu)于基于“知識”的IDS。9.2.3其它入侵檢測技術(shù)數(shù)據(jù)挖掘分析方法分類（Classification）首先從數(shù)據(jù)中選出已經(jīng)分好類的訓(xùn)練集，在該訓(xùn)練集上運用數(shù)據(jù)挖掘分類的技術(shù)，建立分類模型，對于沒有分類的數(shù)據(jù)進(jìn)行分類。a.信用卡申請者，分類為低、中、高風(fēng)險b.故障診斷：中國寶鋼集團與上海天律信息技術(shù)有限公司合作，采用數(shù)據(jù)挖掘技術(shù)對鋼材生產(chǎn)的全流程進(jìn)行質(zhì)量監(jiān)控和分析，構(gòu)建故障地圖，實時分析產(chǎn)品出現(xiàn)瑕疵的原因，有效提高了產(chǎn)品的優(yōu)良率。注意：類的個數(shù)是確定的，預(yù)先定義好的版權(quán)所有，盜版必糾數(shù)據(jù)挖掘分析方法

估