信息安全05入侵檢測(cè)技術(shù)

第5章入侵檢測(cè)技術(shù)內(nèi)容提要：入侵檢測(cè)概述入侵檢測(cè)的技術(shù)實(shí)現(xiàn)分布式入侵檢測(cè)入侵檢測(cè)系統(tǒng)的規(guī)范入侵檢測(cè)系統(tǒng)例如本章小結(jié)2024/1/181入侵檢測(cè)技術(shù)研討最早可追溯到1980年JamesP.Aderson所寫的一份技術(shù)報(bào)告，他首先提出了入侵檢測(cè)的概念。1987年DorothyDenning提出了入侵檢測(cè)系統(tǒng)〔IDS，IntrusionDetectionSystem〕的籠統(tǒng)模型〔如圖5-1所示〕，初次提出了入侵檢測(cè)可作為一種計(jì)算機(jī)系統(tǒng)平安防御措施的概念與傳統(tǒng)的加密和訪問控制技術(shù)相比，IDS是全新的計(jì)算機(jī)平安措施。前往本章首頁入侵檢測(cè)開展歷史2024/1/182前往本章首頁入侵檢測(cè)開展歷史2024/1/1831988年TeresaLunt等人進(jìn)一步改良了Denning提出的入侵檢測(cè)模型，并創(chuàng)建了IDES〔IntrusionDetectionExpertSystem〕該系統(tǒng)用于檢測(cè)單一主機(jī)的入侵嘗試，提出了與系統(tǒng)平臺(tái)無關(guān)的實(shí)時(shí)檢測(cè)思想1995年開發(fā)的NIDES〔Next-GenerationIntrusionDetectionExpertSystem〕作為IDES完善后的版本可以檢測(cè)出多個(gè)主機(jī)上的入侵。前往本章首頁入侵檢測(cè)開展歷史2024/1/1841990年，Heberlein等人提出了一個(gè)具有里程碑意義的新型概念：基于網(wǎng)絡(luò)的入侵檢測(cè)——網(wǎng)絡(luò)平安監(jiān)視器NSM〔NetworkSecurityMonitor〕。1991年,NADIR〔NetworkAnomalyDetectionandIntrusionReporter〕與DIDS〔DistributeIntrusionDetectionSystem〕提出了經(jīng)過搜集和合并處置來自多個(gè)主機(jī)的審計(jì)信息可以檢測(cè)出一系列針對(duì)主機(jī)的協(xié)同攻擊。前往本章首頁入侵檢測(cè)開展歷史2024/1/1851994年，MarkCrosbie和GeneSpafford建議運(yùn)用自治代理〔autonomousagents〕以提高IDS的可伸縮性、可維護(hù)性、效率和容錯(cuò)性，該理念非常符合計(jì)算機(jī)科學(xué)其他領(lǐng)域〔如軟件代理，softwareagent〕正在進(jìn)展的相關(guān)研討。另一個(gè)努力于處理當(dāng)代絕大多數(shù)入侵檢測(cè)系統(tǒng)伸縮性缺乏的方法于1996年提出，這就是GrIDS〔Graph-basedIntrusionDetectionSystem〕的設(shè)計(jì)和實(shí)現(xiàn)，該系統(tǒng)可以方便地檢測(cè)大規(guī)模自動(dòng)或協(xié)同方式的網(wǎng)絡(luò)攻擊。前往本章首頁入侵檢測(cè)開展歷史2024/1/186入侵檢測(cè)技術(shù)研討的主要?jiǎng)?chuàng)新有：Forrest等將免疫學(xué)原理運(yùn)用于分布式入侵檢測(cè)領(lǐng)域；1998年RossAnderson和AbidaKhattak將信息檢索技術(shù)引進(jìn)入侵檢測(cè)；以及采用形狀轉(zhuǎn)換分析、數(shù)據(jù)發(fā)掘和遺傳算法等進(jìn)展誤用和異常檢測(cè)。前往本章首頁入侵檢測(cè)開展歷史2024/1/1875.1.1入侵檢測(cè)原理入侵檢測(cè)入侵檢測(cè)是用于檢測(cè)任何損害或企圖損害系統(tǒng)的嚴(yán)密性、完好性或可用性的一種網(wǎng)絡(luò)平安技術(shù)。它經(jīng)過監(jiān)視受維護(hù)系統(tǒng)的形狀和活動(dòng)，采用誤用檢測(cè)〔MisuseDetection〕或異常檢測(cè)〔AnomalyDetection〕的方式，發(fā)現(xiàn)非授權(quán)的或惡意的系統(tǒng)及網(wǎng)絡(luò)行為，為防備入侵行為提供有效的手段。前往本章首頁2024/1/188圖5-2入侵檢測(cè)原理框圖前往本章首頁2024/1/189入侵檢測(cè)系統(tǒng)執(zhí)行入侵檢測(cè)義務(wù)的硬件或軟件產(chǎn)品入侵檢測(cè)提供了用于發(fā)現(xiàn)入侵攻擊與合法用戶濫用特權(quán)的一種方法。其運(yùn)用前提是入侵行為和合法行為是可區(qū)分的，也即可以經(jīng)過提取行為的方式特征來判別該行為的性質(zhì)。普通地，入侵檢測(cè)系統(tǒng)需求處理兩個(gè)問題：如何充分并可靠地提取描畫行為特征的數(shù)據(jù)；如何根據(jù)特征數(shù)據(jù)，高效并準(zhǔn)確地?cái)喽ㄐ袨榈男再|(zhì)。前往本章首頁2024/1/18105.1.2系統(tǒng)構(gòu)造由于網(wǎng)絡(luò)環(huán)境和系統(tǒng)平安戰(zhàn)略的差別，入侵檢測(cè)系統(tǒng)在詳細(xì)實(shí)現(xiàn)上也有所不同。從系統(tǒng)構(gòu)成上看，入侵檢測(cè)系統(tǒng)應(yīng)包括事件提取、入侵分析、入侵呼應(yīng)和遠(yuǎn)程管理四大部分，另外還能夠結(jié)合平安知識(shí)庫、數(shù)據(jù)存儲(chǔ)等功能模塊，提供更為完善的平安檢測(cè)及數(shù)據(jù)分析功能〔如圖5-3所示〕。前往本章首頁2024/1/1811圖5-3入侵檢測(cè)系統(tǒng)構(gòu)造前往本章首頁2024/1/1812入侵檢測(cè)的思想源于傳統(tǒng)的系統(tǒng)審計(jì)，但拓寬了傳統(tǒng)審計(jì)的概念，它以近乎不延續(xù)的方式進(jìn)展平安檢測(cè)，從而可構(gòu)成一個(gè)延續(xù)的檢測(cè)過程。這通常是經(jīng)過執(zhí)行以下義務(wù)來實(shí)現(xiàn)的：監(jiān)視、分析用戶及系統(tǒng)活動(dòng)；系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)；識(shí)別分析知名攻擊的行為特征并告警；異常行為特征的統(tǒng)計(jì)分析；評(píng)價(jià)重要系統(tǒng)和數(shù)據(jù)文件的完好性；操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反平安戰(zhàn)略的行為。前往本章首頁2024/1/18135.1.3系統(tǒng)分類由于功能和體系構(gòu)造的復(fù)雜性，入侵檢測(cè)按照不同的規(guī)范有多種分類方法?？煞謩e從數(shù)據(jù)源、檢測(cè)實(shí)際、檢測(cè)時(shí)效三個(gè)方面來描畫入侵檢測(cè)系統(tǒng)的類型。

前往本章首頁2024/1/18145.1.3系統(tǒng)分類1．基于數(shù)據(jù)源的分類通?？梢园讶肭謾z測(cè)系統(tǒng)分為五類，即：基于主機(jī)、基于網(wǎng)絡(luò)、混合入侵檢測(cè)、基于網(wǎng)關(guān)基于文件完好性檢測(cè)前往本章首頁2024/1/18152．基于檢測(cè)實(shí)際的分類從詳細(xì)的檢測(cè)實(shí)際上來說，入侵檢測(cè)又可分為異常檢測(cè)和誤用檢測(cè)。異常檢測(cè)〔AnomalyDetection〕指根據(jù)運(yùn)用者的行為或資源運(yùn)用情況的正常程度來判別能否入侵，而不依賴于詳細(xì)行為能否出現(xiàn)來檢測(cè)。誤用檢測(cè)〔MisuseDetection〕指運(yùn)用知攻擊方法，根據(jù)已定義好的入侵方式，經(jīng)過判別這些入侵方式能否出現(xiàn)來檢測(cè)。前往本章首頁2024/1/18163．基于檢測(cè)時(shí)效的分類IDS在處置數(shù)據(jù)的時(shí)候可以采用實(shí)時(shí)在線檢測(cè)方式，也可以采用批處置方式，定時(shí)對(duì)處置原始數(shù)據(jù)進(jìn)展離線檢測(cè)，這兩種方法各有特點(diǎn)〔如圖5-5所示〕。離線檢測(cè)方式將一段時(shí)間內(nèi)的數(shù)據(jù)存儲(chǔ)起來，然后定時(shí)發(fā)給數(shù)據(jù)處置單元進(jìn)展分析，假設(shè)在這段時(shí)間內(nèi)有攻擊發(fā)生就報(bào)警。在線檢測(cè)方式的實(shí)時(shí)處置是大多數(shù)IDS所采用的方法，由于計(jì)算機(jī)硬件速度的提高，使得對(duì)攻擊的實(shí)時(shí)檢測(cè)和呼應(yīng)成為能夠。前往本章首頁2024/1/1817前往本章首頁2024/1/18185.2入侵檢測(cè)的技術(shù)實(shí)現(xiàn)對(duì)于入侵檢測(cè)的研討，從早期的審計(jì)跟蹤數(shù)據(jù)分析，到實(shí)時(shí)入侵檢測(cè)系統(tǒng)，到目前運(yùn)用于大型網(wǎng)絡(luò)的分布式檢測(cè)系統(tǒng)，根本上已開展成為具有一定規(guī)模和相應(yīng)實(shí)際的研討領(lǐng)域。入侵檢測(cè)的中心問題在于如何對(duì)平安審計(jì)數(shù)據(jù)進(jìn)展分析，以檢測(cè)其中能否包含入侵或異常行為的跡象。這里，我們先從誤用檢測(cè)和異常檢測(cè)兩個(gè)方面引見當(dāng)前關(guān)于入侵檢測(cè)技術(shù)的主流技術(shù)實(shí)現(xiàn)，然后對(duì)其它類型的檢測(cè)技術(shù)作簡要引見。前往本章首頁2024/1/18195.2.1入侵檢測(cè)分析模型分析是入侵檢測(cè)的中心功能，它既能簡單到像一個(gè)已熟習(xí)日志情況的管理員去建立決策表，也能復(fù)雜得像一個(gè)集成了幾百萬個(gè)處置的非參數(shù)系統(tǒng)。入侵檢測(cè)的分析處置過程可分為三個(gè)階段：構(gòu)建分析器，對(duì)實(shí)踐現(xiàn)場(chǎng)數(shù)據(jù)進(jìn)展分析，反響和提煉過程。其中，前兩個(gè)階段都包含三個(gè)功能：數(shù)據(jù)處置、數(shù)據(jù)分類〔數(shù)據(jù)可分為入侵指示、非入侵指示或不確定〕和后處置。前往本章首頁2024/1/18205.2.2誤用檢測(cè)〔MisuseDetection〕誤用檢測(cè)是按照預(yù)定方式搜索事件數(shù)據(jù)的，最適用于對(duì)知方式的可靠檢測(cè)。執(zhí)行誤用檢測(cè)，主要依賴于可靠的用戶活動(dòng)記錄和分析事件的方法。1．條件概率預(yù)測(cè)法條件概率預(yù)測(cè)法是基于統(tǒng)計(jì)實(shí)際來量化全部外部網(wǎng)絡(luò)事件序列中存在入侵事件的能夠程度。2024/1/18212．產(chǎn)生式/專家系統(tǒng)用專家系統(tǒng)對(duì)入侵進(jìn)展檢測(cè)，主要是檢測(cè)基于特征的入侵行為。專家系統(tǒng)的建立依賴于知識(shí)庫的完備性，而知識(shí)庫的完備性又取決于審計(jì)記錄的完備性與實(shí)時(shí)性。產(chǎn)生式/專家系統(tǒng)是誤用檢測(cè)早期的方案之一，在MIDAS、IDES、NIDES、DIDS和CMDS中都運(yùn)用了這種方法。前往本章首頁2024/1/18223．形狀轉(zhuǎn)換方法形狀轉(zhuǎn)換方法運(yùn)用系統(tǒng)形狀和形狀轉(zhuǎn)換表達(dá)式來描畫和檢測(cè)入侵，采用最優(yōu)方式匹配技巧來構(gòu)造化誤用檢測(cè)，加強(qiáng)了檢測(cè)的速度和靈敏性。目前，主要有三種實(shí)現(xiàn)方法：形狀轉(zhuǎn)換分析、有色Petri-Net和言語/運(yùn)用編程接口〔API〕。前往本章首頁2024/1/18234．用于批方式分析的信息檢索技術(shù)當(dāng)前大多數(shù)入侵檢測(cè)都是經(jīng)過對(duì)事件數(shù)據(jù)的實(shí)時(shí)搜集和分析來發(fā)現(xiàn)入侵的然而在攻擊被證明之后，要從大量的審計(jì)數(shù)據(jù)中尋覓證據(jù)信息，就必需借助于信息檢索〔IR，InformationRetrieval〕技術(shù)IR技術(shù)當(dāng)前廣泛運(yùn)用于WWW的搜索引擎上。IR系統(tǒng)運(yùn)用反向文件作為索引，允許高效地搜索關(guān)鍵字或關(guān)鍵字組合，并運(yùn)用Bayesian實(shí)際協(xié)助提煉搜索。前往本章首頁2024/1/18245．KeystrokeMonitor和基于模型的方法KeystrokeMonitor是一種簡單的入侵檢測(cè)方法，它經(jīng)過分析用戶擊鍵序列的方式來檢測(cè)入侵行為，常用于對(duì)主機(jī)的入侵檢測(cè)。該方法具有明顯的缺陷，首先，批處置或Shell程序可以不經(jīng)過擊鍵而直接調(diào)用系統(tǒng)攻擊命令序列；其次，操作系統(tǒng)通常不提供一致的擊鍵檢測(cè)接口，需經(jīng)過額外的鉤子函數(shù)〔Hook〕來監(jiān)測(cè)擊鍵。前往本章首頁2024/1/18255.2.3異常檢測(cè)〔AnomalyDetection〕異常檢測(cè)基于一個(gè)假定：用戶的行為是可預(yù)測(cè)的、遵照一致性方式的，且隨著用戶事件的添加異常檢測(cè)會(huì)順運(yùn)用戶行為的變化。用戶行為的特征輪廓在異常檢測(cè)中是由度量〔measure〕集來描畫，度量是特定網(wǎng)絡(luò)行為的定量表示，通常與某個(gè)檢測(cè)閥值或某個(gè)域相聯(lián)絡(luò)。異常檢測(cè)可發(fā)現(xiàn)未知的攻擊方法，表達(dá)了強(qiáng)壯的維護(hù)機(jī)制，但對(duì)于給定的度量集能否完備到表示一切的異常行為？仍需求深化研討。前往本章首頁2024/1/18261．Denning的原始模型DorothyDenning于1986年給出了入侵檢測(cè)的IDES模型，她以為在一個(gè)系統(tǒng)中可以包括四個(gè)統(tǒng)計(jì)模型，每個(gè)模型適宜于一個(gè)特定類型的系統(tǒng)度量?！?〕可操作模型〔2〕平均和規(guī)范偏向模型〔3〕多變量模型〔4〕Markov處置模型前往本章首頁2024/1/18272．量化分析異常檢測(cè)最常用的方法就是將檢驗(yàn)規(guī)那么和屬性以數(shù)值方式表示的量化分析，這種度量方法在Denning的可操作模型中有所涉及。量化分析經(jīng)過采用從簡單的加法到比較復(fù)雜的密碼學(xué)計(jì)算得到的結(jié)果作為誤用檢測(cè)和異常檢測(cè)統(tǒng)計(jì)模型的根底。常用量化方法〔1〕閥值檢驗(yàn)〔2〕基于目的的集成檢查〔3〕量化分析和數(shù)據(jù)精簡前往本章首頁2024/1/18283．統(tǒng)計(jì)度量統(tǒng)計(jì)度量方法是產(chǎn)品化的入侵檢測(cè)系統(tǒng)中常用的方法，常見于異常檢測(cè)。運(yùn)用統(tǒng)計(jì)方法，有效地處理了四個(gè)問題：〔1〕選取有效的統(tǒng)計(jì)數(shù)據(jù)丈量點(diǎn)，生成可以反映主體特征的會(huì)話向量；〔2〕根據(jù)主體活動(dòng)產(chǎn)生的審計(jì)記錄，不斷更新當(dāng)前主體活動(dòng)的會(huì)話向量；〔3〕采用統(tǒng)計(jì)方法分析數(shù)據(jù)，判別當(dāng)前活動(dòng)能否符合主體的歷史行為特征；〔4〕隨著時(shí)間推移，學(xué)習(xí)主體的行為特征，更新歷史記錄。前往本章首頁2024/1/18294．非參數(shù)統(tǒng)計(jì)度量非參數(shù)統(tǒng)計(jì)方法經(jīng)過運(yùn)用非數(shù)據(jù)區(qū)分技術(shù)，尤其是群集分析技術(shù)來分析參數(shù)方法無法思索的系統(tǒng)度量。群集分析的根本思想是，根據(jù)評(píng)價(jià)規(guī)范〔也稱為特性〕將搜集到的大量歷史數(shù)據(jù)〔一個(gè)樣本集〕組織成群，經(jīng)過預(yù)處置過程，將與詳細(xì)事件流〔經(jīng)常映射為一個(gè)詳細(xì)用戶〕相關(guān)的特性轉(zhuǎn)化為向量表示，再采用群集算法將彼此比較相近的向量成員組織成一個(gè)行為類這樣運(yùn)用該分析技術(shù)的實(shí)驗(yàn)結(jié)果將會(huì)闡明用何種方式構(gòu)成的群可以可靠地對(duì)用戶的行為進(jìn)展分組并識(shí)別。前往本章首頁2024/1/18305．基于規(guī)那么的方法上面討論的異常檢測(cè)主要基于統(tǒng)計(jì)方法，異常檢測(cè)的另一個(gè)變種就是基于規(guī)那么的方法。與統(tǒng)計(jì)方法不同的是基于規(guī)那么的檢測(cè)運(yùn)用規(guī)那么集來表示和存儲(chǔ)運(yùn)用方式?！?〕Wisdom&Sense方法〔2〕基于時(shí)間的引導(dǎo)機(jī)〔TIM〕前往本章首頁2024/1/18315.2.4其它檢測(cè)技術(shù)這些技術(shù)不能簡單地歸類為誤用檢測(cè)或是異常檢測(cè)，而是提供了一種有別于傳統(tǒng)入侵檢測(cè)視角的技術(shù)層次，例如免疫系統(tǒng)、基因算法、數(shù)據(jù)發(fā)掘、基于代理〔Agent〕的檢測(cè)等它們或者提供了更具普遍意義的分析技術(shù)，或者提出了新的檢測(cè)系統(tǒng)架構(gòu)，因此無論對(duì)于誤用檢測(cè)還是異常檢測(cè)來說，都可以得到很好的運(yùn)用。前往本章首頁2024/1/18321．神經(jīng)網(wǎng)絡(luò)〔NeuralNetwork〕作為人工智能〔AI〕的一個(gè)重要分支，神經(jīng)網(wǎng)絡(luò)〔NeuralNetwork〕在入侵檢測(cè)領(lǐng)域得到了很好的運(yùn)用它運(yùn)用自順應(yīng)學(xué)習(xí)技術(shù)來提取異常行為的特征，需求對(duì)訓(xùn)練數(shù)據(jù)集進(jìn)展學(xué)習(xí)以得出正常的行為方式。這種方法要求保證用于學(xué)習(xí)正常方式的訓(xùn)練數(shù)據(jù)的純真性，即不包含任何入侵或異常的用戶行為。前往本章首頁2024/1/18332．免疫學(xué)方法NewMexico大學(xué)的StephanieForrest提出了將生物免疫機(jī)制引入計(jì)算機(jī)系統(tǒng)的平安維護(hù)框架中。免疫系統(tǒng)中最根本也是最重要的才干是識(shí)別“自我/非自我〞〔self/nonself〕，換句話講，它可以識(shí)別哪些組織是屬于正常機(jī)體的，不屬于正常的就以為是異常，這個(gè)概念和入侵檢測(cè)中異常檢測(cè)的概念非常類似。前往本章首頁2024/1/18343．?dāng)?shù)據(jù)發(fā)掘方法Columbia大學(xué)的WenkeLee在其博士論文中，提出了將數(shù)據(jù)發(fā)掘〔DataMining,DM〕技術(shù)運(yùn)用到入侵檢測(cè)中，經(jīng)過對(duì)網(wǎng)絡(luò)數(shù)據(jù)和主機(jī)系統(tǒng)調(diào)用數(shù)據(jù)的分析發(fā)掘，發(fā)現(xiàn)誤用檢測(cè)規(guī)那么或異常檢測(cè)模型。詳細(xì)的任務(wù)包括利用數(shù)據(jù)發(fā)掘中的關(guān)聯(lián)算法和序列發(fā)掘算法提取用戶的行為方式，利用分類算法對(duì)用戶行為和特權(quán)程序的系統(tǒng)調(diào)用進(jìn)展分類預(yù)測(cè)。實(shí)驗(yàn)結(jié)果闡明，這種方法在入侵檢測(cè)領(lǐng)域有很好的運(yùn)用前景。前往本章首頁2024/1/18354．基因算法基因算法是進(jìn)化算法〔evolutionaryalgorithms〕的一種，引入了達(dá)爾文在進(jìn)化論中提出的自然選擇的概念〔優(yōu)勝劣汰、適者生存〕對(duì)系統(tǒng)進(jìn)展優(yōu)化。該算法對(duì)于處置多維系統(tǒng)的優(yōu)化是非常有效的。在基因算法的研討人員看來，入侵檢測(cè)的過程可以籠統(tǒng)為：為審計(jì)事件記錄定義一種向量表示方式，這種向量或者對(duì)應(yīng)于攻擊行為，或者代表正常行為。前往本章首頁2024/1/18365．基于代理的檢測(cè)近年來，一種基于Agent的檢測(cè)技術(shù)〔Agent-BasedDetection〕逐漸引起研討者的注重。所謂Agent，實(shí)踐上可以看作是在執(zhí)行某項(xiàng)特定監(jiān)視義務(wù)的軟件實(shí)體。基于Agent的入侵檢測(cè)系統(tǒng)的靈敏性保證它可以為保證系統(tǒng)的平安提供混合式的架構(gòu)，綜合運(yùn)用誤用檢測(cè)和異常檢測(cè)，從而彌補(bǔ)兩者各自的缺陷。前往本章首頁2024/1/18375.3分布式入侵檢測(cè)分布式入侵檢測(cè)〔DistributedIntrusionDetection〕是目前入侵檢測(cè)乃至整個(gè)網(wǎng)絡(luò)平安領(lǐng)域的熱點(diǎn)之一。到目前為止，還沒有嚴(yán)厲意義上的分布式入侵檢測(cè)的商業(yè)化產(chǎn)品，但研討人員曾經(jīng)提出并完成了多個(gè)原型系統(tǒng)。通常采用的方法中，一種是對(duì)現(xiàn)有的IDS進(jìn)展規(guī)模上的擴(kuò)展，另一種那么經(jīng)過IDS之間的信息共享來實(shí)現(xiàn)。詳細(xì)的處置方法上也分為兩種：分布式信息搜集、集中式處置；分布式信息搜集、分布式處置。前往本章首頁2024/1/18385.3.1分布式入侵檢測(cè)的優(yōu)勢(shì)分布式入侵檢測(cè)由于采用了非集中的系統(tǒng)構(gòu)造和處置方式，相對(duì)于傳統(tǒng)的單機(jī)IDS具有一些明顯的優(yōu)勢(shì)：〔1〕檢測(cè)大范圍的攻擊行為〔2〕提高檢測(cè)的準(zhǔn)確度〔3〕提高檢測(cè)效率〔4〕協(xié)調(diào)呼應(yīng)措施前往本章首頁2024/1/18395.3.2分布式入侵檢測(cè)的技術(shù)難點(diǎn)與傳統(tǒng)的單機(jī)IDS相比較，分布式入侵檢測(cè)系統(tǒng)具有明顯的優(yōu)勢(shì)。然而，在實(shí)現(xiàn)分布檢測(cè)組件的信息共享和協(xié)作上，卻存在著一些技術(shù)難點(diǎn)。StanfordResearchInstitute〔SRI〕在對(duì)EMERALD系統(tǒng)的研討中，列舉了分布式入侵檢測(cè)必需關(guān)注的關(guān)鍵問題：事件產(chǎn)生及存儲(chǔ)、形狀空間管理規(guī)那么復(fù)雜度知識(shí)庫管理推理技術(shù)。前往本章首頁2024/1/18405.3.3分布式入侵檢測(cè)現(xiàn)狀雖然分布式入侵檢測(cè)存在技術(shù)和其它層面的難點(diǎn)，但由于其相對(duì)于傳統(tǒng)的單機(jī)IDS所具有的優(yōu)勢(shì)，目前曾經(jīng)成為這一領(lǐng)域的研討熱點(diǎn)。1．Snortnet它經(jīng)過對(duì)傳統(tǒng)的單機(jī)IDS進(jìn)展規(guī)模上的擴(kuò)展，使系統(tǒng)具備分布式檢測(cè)的才干，是基于方式匹配的分布式入侵檢測(cè)系統(tǒng)的一個(gè)詳細(xì)實(shí)現(xiàn)。主要包括三個(gè)組件：網(wǎng)絡(luò)感應(yīng)器、代理守護(hù)程序和監(jiān)視控制臺(tái)。前往本章首頁2024/1/18412．Agent-Based基于Agent的IDS由于其良好的靈敏性和擴(kuò)展性，是分布式入侵檢測(cè)的一個(gè)重要研討方向。國外一些研討機(jī)構(gòu)在這方面曾經(jīng)做了大量任務(wù)，其中Purdue大學(xué)的入侵檢測(cè)自治代理〔AAFID〕和SRI的EMERALD最具代表性。AAFID的體系構(gòu)造如圖5-10所示，其特點(diǎn)是構(gòu)成了一個(gè)基于代理的分層順序控制和報(bào)告構(gòu)造。前往本章首頁2024/1/1842前往本章首頁2024/1/18433．DIDSDIDS(DistributedIntrusionDetectionSystem)是由UCDavis的SecurityLab完成的，它集成了兩種已有的入侵檢測(cè)系統(tǒng)，Haystack和NSM。Haystack由TracorAppliedSciencesandHaystack實(shí)驗(yàn)室針對(duì)多用戶主機(jī)的檢測(cè)義務(wù)而開發(fā)，數(shù)據(jù)源來自主機(jī)的系統(tǒng)日志。NSM那么是由UCDavis開發(fā)的網(wǎng)絡(luò)平安監(jiān)視器，經(jīng)過對(duì)數(shù)據(jù)包、銜接記錄、運(yùn)用層會(huì)話的分析，結(jié)合入侵特征庫和正常的網(wǎng)絡(luò)流或會(huì)話記錄的方式庫，判別當(dāng)前的網(wǎng)絡(luò)行為能否包含入侵或異常。前往本章首頁2024/1/18444．GrIDSGrIDS〔Graph-basedIntrusionDetectionSystem〕同樣由UCDavis提出并實(shí)現(xiàn)該系統(tǒng)實(shí)現(xiàn)了一種在大規(guī)模網(wǎng)絡(luò)中運(yùn)用圖形化表示的方法來描畫網(wǎng)絡(luò)行為的途徑，其設(shè)計(jì)目的主要針對(duì)大范圍的網(wǎng)絡(luò)攻擊，例如掃描、協(xié)同攻擊、網(wǎng)絡(luò)蠕蟲等。GrIDS的缺陷在于只是給出了網(wǎng)絡(luò)銜接的圖形化表示，詳細(xì)的入侵判別依然需求人工完成，而且系統(tǒng)的有效性和效率都有待驗(yàn)證和提高。前往本章首頁2024/1/18455．IntrusionStrategyBoeing公司的Ming-YuhHuang提出從入侵者的目的〔IntrusionIntention〕，或者是入侵戰(zhàn)略〔IntrusionStrategy〕入手，確定如何在不同的IDS組件之間進(jìn)展協(xié)作檢測(cè)。經(jīng)過對(duì)入侵戰(zhàn)略的分析調(diào)整審計(jì)戰(zhàn)略和參數(shù)，構(gòu)成自順應(yīng)的審計(jì)檢測(cè)系統(tǒng)。前往本章首頁2024/1/18466．?dāng)?shù)據(jù)交融〔DataFusion〕TimmBass提出將數(shù)據(jù)交融〔DataFusion〕的概念運(yùn)用到入侵檢測(cè)中，從而將分布式入侵檢測(cè)義務(wù)了解為在層次化模型下對(duì)多個(gè)感應(yīng)器的數(shù)據(jù)綜合問題。在這個(gè)層次化模型中，入侵檢測(cè)的數(shù)據(jù)源閱歷了從數(shù)據(jù)〔Data〕到信息〔Information〕再到知識(shí)〔Knowledge〕三個(gè)邏輯籠統(tǒng)層次。前往本章首頁2024/1/18477．基于籠統(tǒng)〔Abstraction-based〕的方法GMU的PengNing在其博士論文中提出了一種基于籠統(tǒng)〔Abstraction-based〕的分布式入侵檢測(cè)系統(tǒng)，根本思想是：設(shè)立中間層〔systemview〕，提供與詳細(xì)系統(tǒng)無關(guān)的籠統(tǒng)信息，用于分布式檢測(cè)系統(tǒng)中的信息共享籠統(tǒng)信息的內(nèi)容包括事件信息〔event〕以及系統(tǒng)實(shí)體間的斷言〔dynamicpredicate〕。中間層用于表示IDS間的共享信息的表示方式：IDS檢測(cè)到的攻擊或者IDS無法處置的事件信息作為event，IDS或受IDS監(jiān)控的系統(tǒng)的形狀那么作為dynamicpredicates。前往本章首頁2024/1/18485.4入侵檢測(cè)系統(tǒng)的規(guī)范從20世紀(jì)90年代到如今，入侵檢測(cè)系統(tǒng)的研發(fā)呈現(xiàn)出百家爭(zhēng)鳴的昌盛局面，并在智能化和分布式兩個(gè)方向獲得了長足的進(jìn)展。為了提高IDS產(chǎn)品、組件及與其他平安產(chǎn)品之間的互操作性，DARPA和IETF的入侵檢測(cè)任務(wù)組〔IDWG〕分別發(fā)起制定了一系列建議草案，從體系構(gòu)造、API、通訊機(jī)制、言語格式等方面來規(guī)范IDS的規(guī)范。DARPA提出了公共入侵檢測(cè)框架CIDF，最早由加州大學(xué)戴維斯分校的平安實(shí)驗(yàn)室起草；IDWG提出了三項(xiàng)建議草案IDMEF、IDXP、TunnelProfile前往本章首頁2024/1/18495.4.1IETF/IDWGIDWG定義了用于入侵檢測(cè)與呼應(yīng)〔IDR〕系統(tǒng)之間或與需求交互的管理系統(tǒng)之間的信息共享所需求的數(shù)據(jù)格式和交換規(guī)程。IDWG提出了三項(xiàng)建議草案：入侵檢測(cè)音訊交換格式〔IDMEF〕、入侵檢測(cè)交換協(xié)議〔IDXP〕隧道輪廓〔TunnelProfile〕。前往本章首頁2024/1/18505.4.2CIDFCIDF的任務(wù)集中表達(dá)在四個(gè)方面：IDS的體系構(gòu)造、通訊機(jī)制、描畫言語和運(yùn)用編程接口API。CIDF在IDES和NIDES的根底上提出了一個(gè)通用模型，將入侵檢測(cè)系統(tǒng)分為四個(gè)根本組件：事件產(chǎn)生器、事件分析器、呼應(yīng)單元和事件數(shù)據(jù)庫。其構(gòu)造如圖5-15所示。前往本章首頁2024/1/1851前往本章首頁2024/1/18525.5入侵檢測(cè)系統(tǒng)例如為了直觀地了解入侵檢測(cè)的運(yùn)用、配置等情況，這里我們以Snort為例，對(duì)構(gòu)建以Snort為根底的入侵檢測(cè)系統(tǒng)做概要引見。前往本章首頁2024/1/18535.5.1Snort簡介Snort是一個(gè)開放源代碼的免費(fèi)軟件，它基于libpcap的數(shù)據(jù)包嗅探器，并可以作為一個(gè)輕量級(jí)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)〔NIDS〕。Snort具有很多優(yōu)勢(shì)：代碼短小、易于安裝、便于配置。功能非常強(qiáng)大和豐富集成了多種告警機(jī)制支持實(shí)時(shí)告警功能具有非常好擴(kuò)展才干遵照GPL，可以免費(fèi)運(yùn)用前往本章首頁2024/1/18545.5.2Snort的體系構(gòu)造Snort在構(gòu)造上可分為數(shù)據(jù)包捕獲和解碼子系統(tǒng)、檢測(cè)引擎，以及日志及報(bào)警子系統(tǒng)三個(gè)部分。1．?dāng)?shù)據(jù)包捕獲和解碼子系統(tǒng)該子系統(tǒng)的功能是捕獲共享網(wǎng)絡(luò)的傳輸數(shù)據(jù)，并按照TCP/IP協(xié)議的不同層次將數(shù)據(jù)包解析。2．檢測(cè)引擎檢測(cè)引擎是NIDS實(shí)現(xiàn)的中心，準(zhǔn)確性和快速性是衡量其性能的重要目的。前往本章首頁2024/1/1855為了可以快速準(zhǔn)確地進(jìn)展檢測(cè)和處置，Snort在檢測(cè)規(guī)那么方面做了較為成熟的設(shè)計(jì)。Snort將一切知的攻擊方法以規(guī)那么的方式存放在規(guī)那么庫中每一條規(guī)那么由規(guī)那么頭和規(guī)那么選項(xiàng)兩部分組成。規(guī)那么頭對(duì)應(yīng)于規(guī)那么樹結(jié)點(diǎn)RTN〔RuleTreeNode〕，包含動(dòng)作、協(xié)議、源〔目的〕地址和端口以及數(shù)據(jù)流向，這是一切規(guī)那么共有的部分。規(guī)那么選項(xiàng)對(duì)應(yīng)于規(guī)那么選項(xiàng)結(jié)點(diǎn)OTN〔OptionalTreeNode〕，包含報(bào)警信息〔msg〕、匹配內(nèi)容〔content〕等選項(xiàng)，這些內(nèi)容需求根據(jù)詳細(xì)規(guī)那么的性質(zhì)確定。前往本章首頁2024/1/1856檢測(cè)規(guī)那么除了包括上述的關(guān)于“要檢測(cè)什么〞，還應(yīng)該定義“檢測(cè)到了該做什么〞。Snort定義了三種處置方式：alert〔發(fā)送報(bào)警信息〕、log〔記錄該數(shù)據(jù)包〕和pass〔忽略該數(shù)據(jù)包〕，并定義為規(guī)那么的第一個(gè)匹配關(guān)鍵字。這樣設(shè)計(jì)的目的是為了在程序中可以組織整個(gè)規(guī)那么庫，即將一切的規(guī)那么按照處置方式組織成三個(gè)鏈表，以用于更快速準(zhǔn)確地進(jìn)展匹配。如圖5-17所示。前往本章首頁2024/1/1857前往本章首頁2024/1/1858當(dāng)Snort捕獲一個(gè)數(shù)據(jù)包時(shí)，首先分析該數(shù)據(jù)包運(yùn)用哪個(gè)IP協(xié)議以決議將與某個(gè)規(guī)那么樹進(jìn)展匹配。然后與RTN結(jié)點(diǎn)依次進(jìn)展匹配。當(dāng)與一個(gè)頭結(jié)點(diǎn)相匹配時(shí)，向下與OTN結(jié)點(diǎn)進(jìn)展匹配。每個(gè)OTN結(jié)點(diǎn)包含一條規(guī)那么所對(duì)應(yīng)的全部選項(xiàng)，同時(shí)包含一組函數(shù)指針，用來實(shí)現(xiàn)對(duì)這些選項(xiàng)的匹配操作。當(dāng)數(shù)據(jù)包與某個(gè)OTN結(jié)點(diǎn)相匹配時(shí)，即判別此數(shù)據(jù)包為攻擊數(shù)據(jù)包。詳細(xì)流程見圖5-18所示。前往本章首頁2024/1/1859前往本章首頁2024/1/18603．日志及報(bào)警子系統(tǒng)一個(gè)好的NIDS，更應(yīng)該提供友好的輸出界面或發(fā)聲報(bào)警等。Snort是一個(gè)輕量級(jí)的NIDS，它的另外一個(gè)重要功能就是數(shù)據(jù)包記錄器，它主要采取用TCPDUMP的格式記錄信息、向syslog發(fā)送報(bào)警信息和以明文方式記錄報(bào)警信息三種方式。值得提出的是，Snort在網(wǎng)絡(luò)數(shù)據(jù)流量非常大時(shí)，可以將數(shù)據(jù)包信息緊縮從而實(shí)現(xiàn)快速報(bào)警。前往本章首頁2024/1/18615.5.3Snort的安裝與運(yùn)用1.Snort安裝方式Snort可簡單安裝為守護(hù)進(jìn)程方式，也可安裝為包括很多其他工具的完好的入侵檢測(cè)系統(tǒng)。簡一方式安裝時(shí)，可以得到入侵?jǐn)?shù)據(jù)的文本文件或二進(jìn)制文件，然后用文本編輯器等工具進(jìn)展查看。Snort假設(shè)與其它工具一同安裝，那么可以支持更為復(fù)雜的操作。例如，將Snort數(shù)據(jù)發(fā)送給數(shù)據(jù)庫系統(tǒng)，從而支持經(jīng)過Web界面進(jìn)展數(shù)據(jù)分析，以加強(qiáng)對(duì)Snort捕獲數(shù)據(jù)的直觀認(rèn)識(shí)，防止耗費(fèi)大量時(shí)間查閱晦澀的日志文件。前往本章首頁2024/1/18622．Snort的簡單安裝Snort的安裝程序可以在Snort官方網(wǎng)站上獲取?！?〕安裝SnortSnort必需求有l(wèi)ibpcap庫的支持，在安裝前需確認(rèn)系統(tǒng)曾經(jīng)安裝了libpcap庫。[root@mailsnort-2.8.0]#./configure--enable-dynamicplugin[root@mailsnort-2.8.0]#make[root@mailsnort-2.8.0]#makeinstall前往本章首頁2024/1/1863〔2〕更新Snort規(guī)那么下載最新的規(guī)那么文件snortrules-snapshot-CURRENT.tar.gz。其中，CURRENT表示最新的版本號(hào)。[root@mailsnort]#mkdir/etc/snort[root@mailsnort]#cd/etc/snort[root@mailsnort]#tarzxvf/path/to/snortrules-snapshot-CURRENT.tar.gz前往本章首頁2024/1/1864〔3〕配置Snort建立config文件目錄：[root@mailsnort-2.8.0]#mkdir/etc/snort復(fù)制Snort配置文件snort.conf到Snort配置目錄：[root@mailsnort-2.8.0]#cp./etc/snort.conf/etc/snort/編輯snort.conf：[root@mailsnort-2.8.0]#vi/etc/snort/snort.conf修正后，一些關(guān)鍵設(shè)置如下：varHOME_NETyournetworkvarRULE_PATH/etc/snort/rulespreprocessorhttp_inspect:global\iis_unicode_map/etc/snort/rules/unicode.map1252include/etc/snort/rules/reference.configinclude/etc/snort/rules/classification.config前往本章首頁2024/1/1865〔4〕測(cè)試Snort#/usr/local/bin/snort-Afast-b-d-D-l/var/log/snort-c/etc/snort/snort.conf查看文件/var/log/messages，假設(shè)沒有錯(cuò)誤信息，那么表示安裝勝利。前往本章首頁2024/1/1866