《網(wǎng)絡(luò)信息安全》課件第8章

第７章網(wǎng)絡(luò)入侵檢測(cè)技術(shù)7.1入侵檢測(cè)原理7.1.1入侵檢測(cè)的概念

1980年，JamesP.Anderson等人第一次提出了入侵檢測(cè)（IntrusionDetection）的概念，其定義為：對(duì)潛在的有預(yù)謀的未經(jīng)授權(quán)的訪問(wèn)信息、操作信息致使系統(tǒng)不可靠、不穩(wěn)定或無(wú)法使用的企圖的檢測(cè)和監(jiān)視；并將威脅分為外部滲透、內(nèi)部滲透和不法行為三種，還提出了利用審計(jì)跟蹤數(shù)據(jù)監(jiān)視入侵活動(dòng)的思想。換句話說(shuō)，入侵檢測(cè)是指在計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)收集到的信息進(jìn)行分析，從而判斷網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象，它是對(duì)入侵行為的發(fā)覺。從該定義可以看出，入侵檢測(cè)對(duì)安全保護(hù)采取的是一種積極、主動(dòng)的防御策略，而傳統(tǒng)的安全技術(shù)都是一些消極、被動(dòng)的保護(hù)措施。入侵檢測(cè)技術(shù)與傳統(tǒng)的安全技術(shù)不同，它對(duì)進(jìn)入系統(tǒng)的訪問(wèn)者（包括入侵者）能進(jìn)行實(shí)時(shí)的監(jiān)視和檢測(cè)，一旦發(fā)現(xiàn)訪問(wèn)者對(duì)系統(tǒng)進(jìn)行非法的操作（這時(shí)訪問(wèn)者成為了入侵者），就會(huì)向系統(tǒng)管理員發(fā)出警報(bào)或者自動(dòng)截?cái)嗯c入侵者的連接，這樣就會(huì)大大提高系統(tǒng)的安全性。所以對(duì)入侵檢測(cè)技術(shù)研究是非常有必要的，并且它也是一種全新理念的網(wǎng)絡(luò)（系統(tǒng)）防護(hù)技術(shù)。入侵檢測(cè)作為其他經(jīng)典手段的補(bǔ)充和加強(qiáng)，是任何一個(gè)安全系統(tǒng)中不可或缺的最后一道防線。入侵檢測(cè)可以分為兩種方法：被動(dòng)、非在線地發(fā)現(xiàn)和實(shí)時(shí)、在線地發(fā)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的攻擊者。從大量非法入侵或計(jì)算機(jī)盜竊案例可以清晰地看到，計(jì)算機(jī)系統(tǒng)的最基本防線“存取控制”和“訪問(wèn)控制”，在許多場(chǎng)合并不是防止外界非法入侵和防止內(nèi)部用戶攻擊的絕對(duì)屏障。大量攻擊成功的案例是由于系統(tǒng)內(nèi)部人員不恰當(dāng)?shù)鼗驉阂獾貫E用特權(quán)而導(dǎo)致的。入侵檢測(cè)是對(duì)傳統(tǒng)安全產(chǎn)品的合理補(bǔ)充，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測(cè)系統(tǒng)（IDS，IntrusionDetectionSystem）被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。這些都通過(guò)它執(zhí)行以下任務(wù)來(lái)實(shí)現(xiàn)：

（1）監(jiān)視、分析用戶及系統(tǒng)活動(dòng)；（2）系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)；（3）識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警；（4）異常行為模式的統(tǒng)計(jì)分析；（5）評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性；（6）對(duì)操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略的行為。7.1.2入侵檢測(cè)模型最早的入侵檢測(cè)模型是由DorothyDenning于1987年提出的CIDF(CommonIntrusion[JP]DetectionFramework)，該模型雖然與具體系統(tǒng)和具體輸入無(wú)關(guān)，但是對(duì)此后的大部分實(shí)用系統(tǒng)都有很大的借鑒價(jià)值。圖7.1表示了該通用模型的體系結(jié)構(gòu)。圖7.1通用入侵檢測(cè)系統(tǒng)（CIDF）模型1. 異常檢測(cè)原理異常檢測(cè)原理指的是根據(jù)非正常行為（系統(tǒng)或用戶）和使用計(jì)算機(jī)資源非正常情況檢測(cè)出入侵行為。異常檢測(cè)原理模型如圖7.2所示。從圖7.2可以看出，異常檢測(cè)原理根據(jù)假設(shè)攻擊與正常的（合法的）活動(dòng)有很大的差異來(lái)識(shí)別攻擊。異常檢測(cè)首先收集一段時(shí)期正常操作活動(dòng)的歷史記錄，再建立代表用戶、主機(jī)或網(wǎng)絡(luò)連接的正常行為輪廓，然后收集事件數(shù)據(jù)并使用一些不同的方法來(lái)決定所檢測(cè)到的事件活動(dòng)是否偏離了正常行為模式?；诋惓z測(cè)原理的入侵檢測(cè)方法和技術(shù)有如下幾種：圖7.2異常檢測(cè)原理模型

2. 誤用檢測(cè)原理誤用檢測(cè)原理是指根據(jù)已經(jīng)知道的入侵方式來(lái)檢測(cè)入侵。入侵者常常利用系統(tǒng)和應(yīng)用軟件中的弱點(diǎn)或漏洞來(lái)攻擊系統(tǒng)，而這些弱點(diǎn)或漏洞可以編成一些模式，如果入侵者的攻擊方式恰好匹配上檢測(cè)系統(tǒng)模式庫(kù)中的某種模式，則入侵即被檢測(cè)到了。誤用檢測(cè)原理模型如圖7.3所示。圖7.3誤用檢測(cè)原理模型

于誤用檢測(cè)原理的入侵檢測(cè)方法和技術(shù)主要有如下幾種：

(1)基于條件概率的誤用檢測(cè)方法；

(2)基于專家系統(tǒng)的誤用檢測(cè)方法；

(3)基于狀態(tài)遷移分析的誤用檢測(cè)方法；

(4)基于鍵盤監(jiān)控的誤用檢測(cè)方法；

(5)基于模型的誤用檢測(cè)方法。

7.1.3

IDS在網(wǎng)絡(luò)中的位置當(dāng)實(shí)際使用檢測(cè)系統(tǒng)的時(shí)候，首先面臨的問(wèn)題就是決定應(yīng)該在系統(tǒng)的什么位置安裝檢測(cè)和分析入侵行為用的感應(yīng)器Sensor或檢測(cè)引擎Engine。對(duì)于基于主機(jī)的IDS，一般來(lái)說(shuō)，直接將檢測(cè)代理安裝在受監(jiān)控的主機(jī)系統(tǒng)上。對(duì)于基于網(wǎng)絡(luò)的IDS，情況稍微復(fù)雜一些，下面以一常見的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)（見圖7.4）來(lái)分析IDS檢測(cè)引擎應(yīng)該位于網(wǎng)絡(luò)中的哪些位置。圖7.4

IDS在網(wǎng)絡(luò)中的位置

位置1：感應(yīng)器位于防火墻的外側(cè)，非系統(tǒng)信任域，它將負(fù)責(zé)檢測(cè)來(lái)自外部的所有入侵企圖（這可能產(chǎn)生大量的報(bào)告）。通過(guò)分析這些攻擊將幫助完善系統(tǒng)并決定是否在系統(tǒng)內(nèi)部部署IDS。對(duì)于一個(gè)配置合理的防火墻來(lái)說(shuō)，這些攻擊企圖不會(huì)帶來(lái)嚴(yán)重的問(wèn)題，因?yàn)橹挥羞M(jìn)入內(nèi)部網(wǎng)絡(luò)的攻擊才會(huì)對(duì)系統(tǒng)造成真正的損失。位置2：很多站點(diǎn)都把對(duì)外提供服務(wù)的服務(wù)器單獨(dú)放在一個(gè)隔離的區(qū)域，通常稱為DMZ（非軍事化區(qū)）。在此放置一個(gè)檢測(cè)引擎是非常必要的，因?yàn)檫@里提供的很多服務(wù)都是黑客樂于攻擊的目標(biāo)。位置3：此處應(yīng)該是最重要、最應(yīng)該放置檢測(cè)引擎的地方。對(duì)于那些已經(jīng)透過(guò)系統(tǒng)邊緣防護(hù)，進(jìn)入內(nèi)部網(wǎng)絡(luò)準(zhǔn)備進(jìn)行惡意攻擊的黑客，這里正是利用IDS系統(tǒng)及時(shí)發(fā)現(xiàn)并作出反應(yīng)的最佳地點(diǎn)。

7.2入侵檢測(cè)方法入侵檢測(cè)系統(tǒng)的實(shí)現(xiàn)方法有：（1）基于概率統(tǒng)計(jì)的檢測(cè)；（2）基于神經(jīng)網(wǎng)絡(luò)的檢測(cè)；（3）基于專家系統(tǒng)的檢測(cè)；（4）基于模型推理的檢測(cè)；（5）基于免疫的檢測(cè)等。7.2.1基于概率統(tǒng)計(jì)的檢測(cè)基于概率統(tǒng)計(jì)的檢測(cè)技術(shù)是在異常入侵檢測(cè)中用的最普遍的技術(shù)，它是對(duì)用戶歷史行為建立的模型。根據(jù)該模型，當(dāng)發(fā)現(xiàn)有可疑的用戶行為發(fā)生時(shí)保持跟蹤，并監(jiān)視和記錄該用戶的行為?；诟怕式y(tǒng)計(jì)的檢測(cè)技術(shù)旨在對(duì)用戶歷史行為建模。根據(jù)該模型，當(dāng)發(fā)現(xiàn)有可疑的用戶行為發(fā)生時(shí)，保持跟蹤，并監(jiān)視和記錄該用戶的行為。SRI（StandfordResearchInstitute）研制開發(fā)的IDES（IntrusionDetectionExpertSystem）是一個(gè)典型的實(shí)時(shí)檢測(cè)系統(tǒng)。IDES系統(tǒng)能根據(jù)用戶以前的歷史行為，生成每個(gè)用戶的歷史行為記錄庫(kù)，并能自適應(yīng)地學(xué)習(xí)被檢測(cè)系統(tǒng)中每個(gè)用戶的行為習(xí)慣，當(dāng)某個(gè)用戶改變其行為習(xí)慣時(shí)，這種異常就被檢測(cè)出來(lái)。這種系統(tǒng)具有固有的弱點(diǎn)，比如，用戶的行為非常復(fù)雜，因而要想準(zhǔn)確地匹配一個(gè)用戶的歷史行為和當(dāng)前行為是非常困難的。這種方法的一些假設(shè)是不準(zhǔn)確或不貼切的，會(huì)造成系統(tǒng)誤報(bào)或錯(cuò)報(bào)、漏報(bào)。在這種實(shí)現(xiàn)方法中，首先檢測(cè)器根據(jù)用戶對(duì)象的動(dòng)作為每一個(gè)用戶都建立一個(gè)用戶特征表，通過(guò)比較當(dāng)前特征和已存儲(chǔ)的特征，判斷是否有異常行為。用戶特征表需要根據(jù)審計(jì)記錄情況而不斷地加以更新。在SRI的IDES中給出了一個(gè)特征簡(jiǎn)表的結(jié)構(gòu)：<變量名，行為描述，例外情況，資源使用，時(shí)間周期，變量類型，閾值，主體，客體，值>。其中，變量名、主體、客體唯一確定了每個(gè)特征簡(jiǎn)表。特征值由系統(tǒng)根據(jù)審計(jì)數(shù)據(jù)周期地產(chǎn)生。這個(gè)特征值是所有有悖于用戶特征的異常程度值的函數(shù)。假設(shè)S1，S2，…，Sn分別是用于描述特征的變量M1，M2，…，Mn的異常程度值，Si值越大，表明異常程度越大，則這個(gè)特征值可以用所有Si的加權(quán)和來(lái)表示：式中：Ai表示每一特征的權(quán)值。M=A1S12+A2S22+A3S32+…+AnSn2(Ai>0)這種方法的優(yōu)越性在于能應(yīng)用成熟的概率統(tǒng)計(jì)理論，但不足之處在于：（1）統(tǒng)計(jì)檢測(cè)對(duì)于事件發(fā)生的次序不敏感，完全依靠統(tǒng)計(jì)理論可能會(huì)漏掉那些利用彼此相關(guān)聯(lián)事件的入侵行為；（2）定義判斷入侵的閾值比較困難，閾值太高則誤檢率提高，閾值太低則漏檢率增高。7.2.2基于神經(jīng)網(wǎng)絡(luò)的檢測(cè)基于神經(jīng)網(wǎng)絡(luò)的檢測(cè)技術(shù)的基本思想是用一系列信息單元訓(xùn)練神經(jīng)單元，在給出一定的輸入后，就可能預(yù)測(cè)出輸出。它是對(duì)基于概率統(tǒng)計(jì)的檢測(cè)技術(shù)的改進(jìn)，主要克服了傳統(tǒng)的統(tǒng)計(jì)分析技術(shù)的一些問(wèn)題，例如：（1）難以表達(dá)變量之間的非線性關(guān)系。（2）難以建立確切的統(tǒng)計(jì)分布。統(tǒng)計(jì)方法基本上是依賴對(duì)用戶行為的主觀假設(shè)，如偏差的高斯分布，錯(cuò)發(fā)警報(bào)常由這些假設(shè)所導(dǎo)致。（3）難以實(shí)現(xiàn)方法的普遍性。適用于某一類用戶的檢測(cè)措施一般無(wú)法適用于另一類用戶。（4）實(shí)現(xiàn)價(jià)值比較昂貴?；诮y(tǒng)計(jì)的算法對(duì)不同類型的用戶不具有自適應(yīng)性，算法比較復(fù)雜龐大，算法實(shí)現(xiàn)上昂貴，而神經(jīng)網(wǎng)絡(luò)技術(shù)實(shí)現(xiàn)的代價(jià)較小。（5）系統(tǒng)臃腫，難以剪裁。由于網(wǎng)絡(luò)系統(tǒng)是具有大量用戶的計(jì)算機(jī)系統(tǒng)，要保留大量的用戶行為信息，因而導(dǎo)致系統(tǒng)臃腫，難以剪裁?；谏窠?jīng)網(wǎng)絡(luò)的技術(shù)能把實(shí)時(shí)檢測(cè)到的信息有效地加以處理，作出攻擊可行性的判斷，不過(guò)這種技術(shù)現(xiàn)在還不成熟。7.2.3基于專家系統(tǒng)的檢測(cè)進(jìn)行安全檢測(cè)工作自動(dòng)化的另外一個(gè)值得重視的研究方向就是基于專家系統(tǒng)的檢測(cè)技術(shù)，即根據(jù)安全專家對(duì)可疑行為的分析經(jīng)驗(yàn)來(lái)形成一套推理規(guī)則，然后再在此基礎(chǔ)上形成相應(yīng)的專家系統(tǒng)，由此專家系統(tǒng)自動(dòng)進(jìn)行對(duì)所涉及的攻擊操作的分析工作。所謂專家系統(tǒng)，是指基于一套由專家經(jīng)驗(yàn)事先定義的規(guī)則的推理系統(tǒng)。例如，在數(shù)分鐘之內(nèi)某個(gè)用戶連續(xù)進(jìn)行登錄，且失敗超過(guò)三次，就可以被認(rèn)為是一種攻擊行為。類似的規(guī)則在統(tǒng)計(jì)系統(tǒng)中似乎也有。同時(shí)應(yīng)當(dāng)說(shuō)明的是，基于規(guī)則的專家系統(tǒng)或推理系統(tǒng)也有其局限性，因?yàn)樽鳛檫@類系統(tǒng)的基礎(chǔ)的推理規(guī)則，一般都是根據(jù)已知的安全漏洞進(jìn)行安排和策劃的，而對(duì)系統(tǒng)最危險(xiǎn)的威脅則主要是來(lái)自未知的安全漏洞。實(shí)現(xiàn)基于規(guī)則的專家系統(tǒng)是一個(gè)知識(shí)工程問(wèn)題，而且其功能應(yīng)當(dāng)能夠隨著經(jīng)驗(yàn)的積累而利用其自學(xué)習(xí)能力進(jìn)行規(guī)則的擴(kuò)充和修正。

當(dāng)然，這樣的能力需要在專家的指導(dǎo)和參與下才能實(shí)現(xiàn)，否則可能同樣會(huì)導(dǎo)致較多的誤報(bào)現(xiàn)象。一方面，推理機(jī)制使得系統(tǒng)面對(duì)一些新的行為現(xiàn)象時(shí)可能具備一定的應(yīng)對(duì)能力（即有可能會(huì)發(fā)現(xiàn)一些新的安全漏洞）；另一方面，攻擊行為也可能不會(huì)觸發(fā)任何一個(gè)規(guī)則，從而被檢測(cè)到。專家系統(tǒng)對(duì)歷史數(shù)據(jù)的依賴性總的來(lái)說(shuō)比基于統(tǒng)計(jì)技術(shù)的審計(jì)系統(tǒng)少，因此系統(tǒng)的適應(yīng)性比較強(qiáng)，可以較靈活地適應(yīng)廣譜的安全策略和檢測(cè)需求。但是迄今為止，推理系統(tǒng)和謂詞演算的可計(jì)算問(wèn)題距離成熟解決都還有一定的距離。在具體實(shí)現(xiàn)過(guò)程中，專家系統(tǒng)主要面臨的問(wèn)題如下：（1）全面性問(wèn)題。很難從各種入侵手段中抽象出全面的規(guī)則化知識(shí)。（2）效率問(wèn)題。需要處理的數(shù)據(jù)量過(guò)大，而且在大型系統(tǒng)上，很難獲得實(shí)時(shí)連續(xù)的審計(jì)數(shù)據(jù)。7.2.4基于模型推理的檢測(cè)攻擊者在攻擊一個(gè)系統(tǒng)時(shí)往往采用一定的行為程序（如猜測(cè)口令的程序），這種行為程序構(gòu)成了某種具有一定行為特征的模型，根據(jù)這種模型所代表的攻擊意圖的行為特征，可以實(shí)時(shí)地檢測(cè)出惡意的攻擊企圖，雖然攻擊者并不一定都是惡意的。用基于模型的推理方法人們能夠?yàn)槟承┬袨榻⑻囟ǖ哪Ｐ?，從而能夠監(jiān)視具有特定行為特征的某些活動(dòng)。根據(jù)假設(shè)的攻擊腳本，這種系統(tǒng)就能檢測(cè)出非法的用戶行為。一般為了準(zhǔn)確判斷，要為不同的攻擊者和不同的系統(tǒng)建立特定的攻擊腳本。當(dāng)有證據(jù)表明某種特定的攻擊模型發(fā)生時(shí)，系統(tǒng)應(yīng)收集其他證據(jù)來(lái)證實(shí)或者否定攻擊的真實(shí)性，既不能漏報(bào)攻擊，對(duì)信息系統(tǒng)造成實(shí)際損害，又要盡可能地避免誤報(bào)。當(dāng)然，上述的幾種方法都不能徹底地解決攻擊檢測(cè)問(wèn)題，所以最好是綜合地利用各種手段強(qiáng)化計(jì)算機(jī)信息系統(tǒng)的安全程序以增加攻擊成功的難度，同時(shí)根據(jù)系統(tǒng)本身的特點(diǎn)輔助以較適合的攻擊檢測(cè)手段。7.2.5基于免疫的檢測(cè)基于免疫的檢測(cè)技術(shù)是運(yùn)用自然免疫系統(tǒng)的某些特性到網(wǎng)絡(luò)安全系統(tǒng)中，使整個(gè)系統(tǒng)具有適應(yīng)性、自我調(diào)節(jié)性、可擴(kuò)展性。人的免疫系統(tǒng)成功地保護(hù)人體不受各種抗原和組織的侵害，這個(gè)重要的特性吸引了許多計(jì)算機(jī)安全專家和人工智能專家。通過(guò)學(xué)習(xí)免疫專家的研究，計(jì)算機(jī)專家提出了計(jì)算機(jī)免疫系統(tǒng)。在許多傳統(tǒng)的網(wǎng)絡(luò)安全系統(tǒng)中，每個(gè)目標(biāo)都將它的系統(tǒng)日志和收集的信息傳送給相應(yīng)的服務(wù)器，由服務(wù)器分析整個(gè)日志和信息，判斷是否發(fā)生了入侵。在大規(guī)模網(wǎng)絡(luò)中，網(wǎng)絡(luò)通信量極大，且絕大多數(shù)數(shù)據(jù)與入侵無(wú)關(guān)，檢測(cè)效率低?；诿庖叩娜肭謾z測(cè)系統(tǒng)運(yùn)用計(jì)算免疫的多層性、分布性、多樣性等特性設(shè)置動(dòng)態(tài)代理，實(shí)時(shí)分層檢測(cè)和響應(yīng)機(jī)制。7.2.6入侵檢測(cè)新技術(shù)數(shù)據(jù)挖掘技術(shù)被WenkeLee用于了入侵檢測(cè)中。用數(shù)據(jù)挖掘程序處理搜集到的審計(jì)數(shù)據(jù)，可以為各種入侵行為和正常操作建立精確的行為模式。這是一個(gè)自動(dòng)的過(guò)程，不需要人工分析和編碼入侵模式。移動(dòng)代理用于入侵檢測(cè)中，它具有能在主機(jī)間動(dòng)態(tài)遷移、一定的智能性、與平臺(tái)無(wú)關(guān)性、分布的靈活性、低網(wǎng)絡(luò)數(shù)據(jù)流量和多代理合作特性，它適用于大規(guī)模信息搜集和動(dòng)態(tài)處理。在入侵檢測(cè)系統(tǒng)中采用移動(dòng)代理技術(shù)，可以提高入侵檢測(cè)系統(tǒng)的性能和整體功能。7.2.7其他相關(guān)問(wèn)題為了防止過(guò)多的不相干信息的干擾，用于安全目的的攻擊檢測(cè)系統(tǒng)在審計(jì)系統(tǒng)之外還要配備適合系統(tǒng)安全策略的信息采集器或過(guò)濾器。同時(shí)，除了依靠來(lái)自審計(jì)子系統(tǒng)的信息，還應(yīng)當(dāng)充分利用來(lái)自其他信息源的信息。在某些系統(tǒng)內(nèi)，可以在不同的層次進(jìn)行審計(jì)跟蹤，如有些系統(tǒng)的安全機(jī)制中采用三級(jí)審計(jì)跟蹤，包括審計(jì)操作系統(tǒng)核心調(diào)用行為的、審計(jì)用戶和操作系統(tǒng)界面級(jí)行為的和審計(jì)應(yīng)用程序內(nèi)部行為的。另一個(gè)重要問(wèn)題是決定攻擊檢測(cè)系統(tǒng)的運(yùn)行場(chǎng)所。為了提高攻擊檢測(cè)系統(tǒng)的運(yùn)行效率，可以安排在與被監(jiān)視系統(tǒng)獨(dú)立的計(jì)算機(jī)上執(zhí)行審計(jì)跟蹤分析和攻擊性檢測(cè)，這樣做既有效率方面的優(yōu)點(diǎn)，也有安全方面的優(yōu)點(diǎn)。監(jiān)視系統(tǒng)的響應(yīng)時(shí)間對(duì)被監(jiān)測(cè)系統(tǒng)的運(yùn)行完全沒有負(fù)面影響，也不會(huì)因?yàn)榕c其他安全有關(guān)的因素而受到影響?？傊?，為了有效地利用審計(jì)系統(tǒng)提供的信息，通過(guò)攻擊檢測(cè)措施防范攻擊威脅，計(jì)算機(jī)安全系統(tǒng)應(yīng)當(dāng)根據(jù)系統(tǒng)的具體條件選擇適用的主要攻擊檢測(cè)方法，并且有機(jī)地融合其他可選用的攻擊檢測(cè)方法。同時(shí)應(yīng)當(dāng)清醒地認(rèn)識(shí)到，任何一種攻擊檢測(cè)措施都不能視之為一勞永逸的，必須配備有效的管理和措施。 7.3入侵檢測(cè)系統(tǒng)入侵檢測(cè)通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。進(jìn)行入侵檢測(cè)的軟件與硬件的組合就是入侵檢測(cè)系統(tǒng)。入侵檢測(cè)系統(tǒng)執(zhí)行的主要任務(wù)包括：監(jiān)視、分析用戶及系統(tǒng)活動(dòng)；審計(jì)系統(tǒng)構(gòu)造和弱點(diǎn)；識(shí)別、反映已知進(jìn)攻的活動(dòng)模式，向相關(guān)人員報(bào)警；統(tǒng)計(jì)分析異常行為模式；評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性；審計(jì)、跟蹤管理操作系統(tǒng)，識(shí)別用戶違反安全策略的行為。入侵檢測(cè)一般分為3個(gè)步驟，依次為信息收集、數(shù)據(jù)分析和響應(yīng)（包括被動(dòng)響應(yīng)和主動(dòng)響應(yīng)）。（1）信息收集的內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為。入侵檢測(cè)利用的信息一般來(lái)自系統(tǒng)日志、目錄以及文件中的異常改變，程序執(zhí)行中的異常行為及物理形式的入侵信息四個(gè)方面。（2）數(shù)據(jù)分析是入侵檢測(cè)的核心。它首先構(gòu)建分析器，把收集到的信息經(jīng)過(guò)預(yù)處理，建立一個(gè)行為分析引擎或模型，然后向模型中植入時(shí)間數(shù)據(jù)，并在知識(shí)庫(kù)中保存植入數(shù)據(jù)的模型。數(shù)據(jù)分析一般通過(guò)模式匹配、統(tǒng)計(jì)分析和完整性分析３種手段進(jìn)行。前兩種方法用于實(shí)時(shí)入侵檢測(cè)，而完整性分析則用于事后分析?？捎茫捣N統(tǒng)計(jì)模型進(jìn)行數(shù)據(jù)分析：操作模型、方差、多元模型、馬爾柯夫過(guò)程模型、時(shí)間序列分析。統(tǒng)計(jì)分析的最大優(yōu)點(diǎn)是可以學(xué)習(xí)用戶的使用習(xí)慣。（3）入侵檢測(cè)系統(tǒng)在發(fā)現(xiàn)入侵后會(huì)及時(shí)作出響應(yīng)，包括切斷網(wǎng)絡(luò)連接、記錄事件和報(bào)警等。響應(yīng)一般分為主動(dòng)響應(yīng)（阻止攻擊或影響進(jìn)而改變攻擊的進(jìn)程）和被動(dòng)響應(yīng)（報(bào)告和記錄所檢測(cè)出的問(wèn)題）兩種類型。主動(dòng)響應(yīng)由用戶驅(qū)動(dòng)或系統(tǒng)本身自動(dòng)執(zhí)行，可對(duì)入侵者采取行動(dòng)（如斷開連接）、修正系統(tǒng)環(huán)境或收集有用信息；被動(dòng)響應(yīng)則包括告警和通知、簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SNMP）陷阱和插件等。另外，還可以按策略配置響應(yīng)，可分別采取立即、緊急、適時(shí)、本地的長(zhǎng)期和全局的長(zhǎng)期等行動(dòng)。7.3.1入侵檢測(cè)系統(tǒng)的構(gòu)成一個(gè)入侵檢測(cè)系統(tǒng)的功能結(jié)構(gòu)如圖7.5所示，它至少包含事件提取、入侵分析、入侵響應(yīng)和遠(yuǎn)程管理四部分功能。圖7.5中各部分功能如下：（1）事件提取功能負(fù)責(zé)提取與被保護(hù)系統(tǒng)相關(guān)的運(yùn)行數(shù)據(jù)或記錄，并負(fù)責(zé)對(duì)數(shù)據(jù)進(jìn)行簡(jiǎn)單的過(guò)濾。（2）入侵分析的任務(wù)就是在提取到的運(yùn)行數(shù)據(jù)中找出入侵的痕跡，將授權(quán)的正常訪問(wèn)行為和非授權(quán)的不正常訪問(wèn)行為區(qū)分開，分析出入侵行為并對(duì)入侵者進(jìn)行定位。圖7.5入侵檢測(cè)系統(tǒng)功能構(gòu)成（3）入侵響應(yīng)功能在分析出入侵行為后被觸發(fā)，根據(jù)入侵行為產(chǎn)生響應(yīng)。（4）由于單個(gè)入侵檢測(cè)系統(tǒng)的檢測(cè)能力和檢測(cè)范圍的限制，入侵檢測(cè)系統(tǒng)一般采用分布監(jiān)視集中管理的結(jié)構(gòu)，多個(gè)檢測(cè)單元運(yùn)行于網(wǎng)絡(luò)中的各個(gè)網(wǎng)段或系統(tǒng)上，通過(guò)遠(yuǎn)程管理功能在一臺(tái)管理站點(diǎn)上實(shí)現(xiàn)統(tǒng)一的管理和監(jiān)控。7.3.2入侵檢測(cè)系統(tǒng)的分類

1.從數(shù)據(jù)來(lái)源的角度分類從數(shù)據(jù)來(lái)源看，入侵檢測(cè)系統(tǒng)有三種基本結(jié)構(gòu)：基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)、基于主機(jī)的入侵檢測(cè)系統(tǒng)和分布式入侵檢測(cè)系統(tǒng)。（1）基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（NIDS）數(shù)據(jù)來(lái)源于網(wǎng)絡(luò)上的數(shù)據(jù)流。NIDS能夠截獲網(wǎng)絡(luò)中的數(shù)據(jù)包，提取其特征并與知識(shí)庫(kù)中已知的攻擊簽名相比較，從而達(dá)到檢測(cè)的目的。其優(yōu)點(diǎn)是偵測(cè)速度快，隱蔽性好，不容易受到攻擊，對(duì)主機(jī)資源消耗少；缺點(diǎn)是有些攻擊是由服務(wù)器的鍵盤發(fā)出的，不經(jīng)過(guò)網(wǎng)絡(luò)，因而無(wú)法識(shí)別，誤報(bào)率較高。（2）基于主機(jī)的入侵檢測(cè)系統(tǒng)（HIDS）檢測(cè)分析所需數(shù)據(jù)來(lái)源于主機(jī)系統(tǒng)，通常是系統(tǒng)日志和審計(jì)記錄。ＨIDS通過(guò)對(duì)系統(tǒng)日志和審計(jì)記錄的不斷監(jiān)控和分析來(lái)發(fā)現(xiàn)攻擊后誤操作。其優(yōu)點(diǎn)是針對(duì)不同操作系統(tǒng)特點(diǎn)捕獲應(yīng)用層入侵，誤報(bào)少；缺點(diǎn)是依賴于主機(jī)及其審計(jì)子系統(tǒng)，實(shí)時(shí)性差。（3）采用上述兩種數(shù)據(jù)來(lái)源的分布式入侵檢測(cè)系統(tǒng)（DIDS）能夠同時(shí)分析來(lái)自主機(jī)系統(tǒng)審計(jì)日志和網(wǎng)絡(luò)數(shù)據(jù)流的入侵檢測(cè)系統(tǒng)，一般為分布式結(jié)構(gòu)，由多個(gè)部件組成。DIDS可以從多個(gè)主機(jī)獲取數(shù)據(jù)，也可以從網(wǎng)絡(luò)傳輸取得數(shù)據(jù)，克服了單一的HIDS、NIDS的不足。

2.從檢測(cè)的策略角度分類從檢測(cè)的策略來(lái)看，入侵檢測(cè)模型主要有三種：濫用檢測(cè)、異常檢測(cè)和完整性分析。（1）濫用檢測(cè)（MisuseDetection）就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫(kù)進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。該方法的優(yōu)點(diǎn)是只需收集相關(guān)的數(shù)據(jù)集合，顯著減少了系統(tǒng)負(fù)擔(dān)，且技術(shù)已相當(dāng)成熟。該方法存在的弱點(diǎn)是需要不斷的升級(jí)以對(duì)付不斷出現(xiàn)的黑客攻擊手法，不能檢測(cè)到從未出現(xiàn)過(guò)的黑客攻擊手段。（2）異常檢測(cè)（AnomalyDetection）首先給系統(tǒng)對(duì)象（如用戶、文件、目錄和設(shè)備等）創(chuàng)建一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性（如訪問(wèn)次數(shù)、操作失敗次數(shù)和延時(shí)等）。測(cè)量屬性的平均值將被用來(lái)與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，任何觀察值在正常值范圍之外時(shí)，就認(rèn)為有入侵發(fā)生。其優(yōu)點(diǎn)是可檢測(cè)到未知的入侵和更為復(fù)雜的入侵；缺點(diǎn)是誤報(bào)、漏報(bào)率高，且不適應(yīng)用戶正常行為的突然改變。（3）完整性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓模@經(jīng)常包括文件和目錄的內(nèi)容及屬性，它在發(fā)現(xiàn)被更改的、被特洛伊化的應(yīng)用程序方面特別有效。其優(yōu)點(diǎn)只要是成功的攻擊導(dǎo)致了文件或其他對(duì)象的任何改變，它都能夠發(fā)現(xiàn)；缺點(diǎn)是一般以批處理方式實(shí)現(xiàn)，不用于實(shí)時(shí)響應(yīng)。7.3.3基于主機(jī)的入侵檢測(cè)系統(tǒng)HIDS基于主機(jī)的入侵檢測(cè)出現(xiàn)在20世紀(jì)80年代初期，那時(shí)網(wǎng)絡(luò)還沒有今天這樣普遍、復(fù)雜，且網(wǎng)絡(luò)之間也沒有完全連通。其檢測(cè)的主要目標(biāo)主要是主機(jī)系統(tǒng)和系統(tǒng)本地用戶。它的檢測(cè)原理是根據(jù)主機(jī)的審計(jì)數(shù)據(jù)和系統(tǒng)日志發(fā)現(xiàn)可疑事件?；谥鳈C(jī)的入侵檢測(cè)系統(tǒng)可以運(yùn)行在被檢測(cè)的主機(jī)或單獨(dú)的主機(jī)上，基本過(guò)程如圖7.6所示。圖7.6基于主機(jī)的入侵檢測(cè)系統(tǒng)結(jié)構(gòu)示意圖在這一較為簡(jiǎn)單的環(huán)境里，檢查可疑行為的檢驗(yàn)記錄是很常見的操作。由于入侵在當(dāng)時(shí)是相當(dāng)少見的，因此對(duì)攻擊的事后分析就可以防止今后的攻擊?，F(xiàn)在的基于主機(jī)的入侵檢測(cè)系統(tǒng)保留了一種有力的工具，以理解以前的攻擊形式，并選擇合適的方法去抵御未來(lái)的攻擊。基于主機(jī)的IDS仍使用驗(yàn)證記錄，但自動(dòng)化程度大大提高，并發(fā)展了精密的可迅速做出響應(yīng)的檢測(cè)技術(shù)。通常，基于主機(jī)的IDS可監(jiān)測(cè)系統(tǒng)、事件、Windows操作系統(tǒng)下的安全記錄以及UNIX環(huán)境下的系統(tǒng)記錄。當(dāng)有文件發(fā)生變化時(shí)，IDS將新的記錄條目與攻擊標(biāo)記相比較，看它們是否匹配。如果匹配，系統(tǒng)就會(huì)向管理員報(bào)警并向別的目標(biāo)報(bào)告，以采取措施?；谥鳈C(jī)的入侵檢測(cè)系統(tǒng)有以下優(yōu)點(diǎn)：（1）監(jiān)視特定的系統(tǒng)活動(dòng)?；谥鳈C(jī)的IDS監(jiān)視用戶和訪問(wèn)文件的活動(dòng)，包括文件訪問(wèn)、改變文件權(quán)限、試圖建立新的可執(zhí)行文件、試圖訪問(wèn)特殊的設(shè)備。例如，基于主機(jī)的IDS可以監(jiān)督所有用戶的登錄及下網(wǎng)情況，以及每位用戶在連接到網(wǎng)絡(luò)以后的行為。對(duì)于基于網(wǎng)絡(luò)的系統(tǒng)要做到這種程度是非常困難的?；谥鳈C(jī)技術(shù)還可監(jiān)視只有管理員才能實(shí)施的非正常行為。操作系統(tǒng)記錄了任何有關(guān)用戶賬號(hào)的增加、刪除、更改的情況，改動(dòng)一旦發(fā)生，基于主機(jī)的IDS就能檢測(cè)到這種不適當(dāng)?shù)母膭?dòng)?；谥鳈C(jī)的IDS還可審計(jì)能影響系統(tǒng)記錄的校驗(yàn)措施的改變。（2）非常適用于被加密的和交換的環(huán)境。既然基于主機(jī)的系統(tǒng)駐留在網(wǎng)絡(luò)中的各種主機(jī)上，它們可以克服基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)在交換和加密環(huán)境中面臨的一些部署困難的問(wèn)題。在大的交換網(wǎng)絡(luò)中確定安全I(xiàn)DS的最佳位置并且實(shí)現(xiàn)有效的網(wǎng)絡(luò)覆蓋非常困難，而基于主機(jī)的檢測(cè)通過(guò)駐留在所有需要的關(guān)鍵主機(jī)上避免了這一難題。根據(jù)加密駐留在協(xié)議棧中的位置，它可能讓基于網(wǎng)絡(luò)的IDS無(wú)法檢測(cè)到某些攻擊?；谥鳈C(jī)的IDS并不具有這個(gè)限制。因?yàn)楫?dāng)操作系統(tǒng)（也包括基于主機(jī)的IDS）收到通信時(shí)，數(shù)據(jù)序列已經(jīng)被解密了。（3）近實(shí)時(shí)的檢測(cè)和應(yīng)答。盡管基于主機(jī)的檢測(cè)并不提供真正實(shí)時(shí)的應(yīng)答，但新的基于主機(jī)的檢測(cè)技術(shù)已經(jīng)能夠提供近實(shí)時(shí)的檢測(cè)和應(yīng)答。早期的系統(tǒng)主要使用一個(gè)過(guò)程來(lái)定時(shí)檢查日志文件的狀態(tài)和內(nèi)容，而許多現(xiàn)在的基于主機(jī)的系統(tǒng)在任何日志文件發(fā)生變化時(shí)都可以從操作系統(tǒng)及時(shí)接收一個(gè)中斷，這樣就大大減少了攻擊識(shí)別和應(yīng)答之間的時(shí)間。（4）不需要額外的硬件。基于主機(jī)的檢測(cè)駐留在現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)設(shè)施上，包括文件服務(wù)器、Web服務(wù)器和其他的共享資源等。這減少了基于主機(jī)的IDS的實(shí)施成本，因?yàn)椴恍枰黾有碌挠布?，所以也減少了以后維護(hù)和管理這些硬件設(shè)備的負(fù)擔(dān)。7.3.4基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)NIDS隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，單獨(dú)地依靠主機(jī)審計(jì)信息進(jìn)行入侵檢測(cè)已難以適應(yīng)網(wǎng)絡(luò)安全的需求。因而人們提出了基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)體系結(jié)構(gòu)，這種檢測(cè)系統(tǒng)根據(jù)網(wǎng)絡(luò)流量、網(wǎng)絡(luò)數(shù)據(jù)包和協(xié)議來(lái)分析檢測(cè)入侵，其基本過(guò)程如圖7.7所示。圖7.7基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)模型基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)使用原始網(wǎng)絡(luò)包作為數(shù)據(jù)源。基于網(wǎng)絡(luò)的IDS通常利用一個(gè)運(yùn)行在隨機(jī)模式下的網(wǎng)絡(luò)適配器來(lái)實(shí)時(shí)監(jiān)視并分析通過(guò)網(wǎng)絡(luò)的所有通信業(yè)務(wù)。它的攻擊辨識(shí)模塊通常采用4種常用技術(shù)來(lái)識(shí)別攻擊標(biāo)志：（1）模式、表達(dá)式或字節(jié)匹配；（2）頻率或穿越閾值；（3）低級(jí)事件的相關(guān)性；（4）統(tǒng)計(jì)學(xué)意義上的非常規(guī)現(xiàn)象檢測(cè)。基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)主要有以下優(yōu)點(diǎn)：（1）擁有成本低?；诰W(wǎng)絡(luò)的IDS允許部署在一個(gè)或多個(gè)關(guān)鍵訪問(wèn)點(diǎn)來(lái)檢查所有經(jīng)過(guò)的網(wǎng)絡(luò)通信。因此，基于網(wǎng)絡(luò)的IDS系統(tǒng)并不需要在各種各樣的主機(jī)上進(jìn)行安裝，大大減少了安全和管理的復(fù)雜性。（2）攻擊者轉(zhuǎn)移證據(jù)困難?；诰W(wǎng)絡(luò)的IDS使用活動(dòng)的網(wǎng)絡(luò)通信進(jìn)行實(shí)時(shí)攻擊檢測(cè)，因此攻擊者無(wú)法轉(zhuǎn)移證據(jù)，被檢測(cè)系統(tǒng)捕獲的數(shù)據(jù)不僅包括攻擊方法，而且包括對(duì)識(shí)別和指控入侵者十分有用的信息。（3）實(shí)時(shí)檢測(cè)和響應(yīng)。一旦發(fā)生惡意訪問(wèn)或攻擊，基于網(wǎng)絡(luò)的IDS檢測(cè)可以隨時(shí)發(fā)現(xiàn)它們，因此能夠很快地作出反應(yīng)。例如，對(duì)于黑客使用TCP啟動(dòng)基于網(wǎng)絡(luò)的拒絕服務(wù)攻擊（DoS），IDS系統(tǒng)可以通過(guò)發(fā)送一個(gè)TCPreset來(lái)立即終止這個(gè)攻擊，這樣就可以避免目標(biāo)主機(jī)遭受破壞或崩潰。這種實(shí)時(shí)性使得系統(tǒng)可以根據(jù)預(yù)先定義的參數(shù)迅速采取相應(yīng)的行動(dòng)，從而將入侵活動(dòng)對(duì)系統(tǒng)的破壞減到最低。（4）能夠檢測(cè)未成功的攻擊企圖。一個(gè)放在防火墻外面的基于網(wǎng)絡(luò)的IDS可以檢測(cè)到旨在利用防火墻后面的資源的攻擊，盡管防火墻本身可能會(huì)拒絕這些攻擊企圖?；谥鳈C(jī)的系統(tǒng)并不能發(fā)現(xiàn)未能到達(dá)受防火墻保護(hù)的主機(jī)的攻擊企圖，而這些信息對(duì)于評(píng)估和改進(jìn)安全策略是十分重要的。（5）操作系統(tǒng)獨(dú)立?；诰W(wǎng)絡(luò)的IDS并不依賴主機(jī)的操作系統(tǒng)作為檢測(cè)資源，而基于主機(jī)的系統(tǒng)需要特定的操作系統(tǒng)才能發(fā)揮作用。7.3.5分布式入侵檢測(cè)系統(tǒng)網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)復(fù)雜化和大型化帶來(lái)了許多新的入侵檢測(cè)問(wèn)題：（1）系統(tǒng)的弱點(diǎn)或漏洞分散在網(wǎng)絡(luò)中的各個(gè)主機(jī)上，這些弱點(diǎn)有可能被入侵者一起用來(lái)攻擊網(wǎng)絡(luò)，而依靠惟一的主機(jī)或網(wǎng)絡(luò)IDS不會(huì)發(fā)現(xiàn)入侵行為。（2）入侵行為不再是單一的行為，而是表現(xiàn)出相互協(xié)作入侵的特點(diǎn)，例如分布式拒絕服務(wù)攻擊（DDoS）。（3）入侵檢測(cè)所依靠的數(shù)據(jù)來(lái)源分散化，收集原始檢測(cè)數(shù)據(jù)變得困難，如交換型網(wǎng)絡(luò)使得監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)包受到限制。（4）網(wǎng)絡(luò)速度傳輸加快，網(wǎng)絡(luò)的流量加大，集中處理原始的數(shù)據(jù)方式往往會(huì)造成檢測(cè)瓶頸，從而導(dǎo)致漏建?；谶@種情況，分布式的入侵檢測(cè)系統(tǒng)就應(yīng)運(yùn)而生。分布式IDS系統(tǒng)通常由數(shù)據(jù)采集構(gòu)件、通信傳輸構(gòu)件、入侵檢測(cè)分析構(gòu)件、應(yīng)急處理構(gòu)件和管理構(gòu)件組成，如圖7.8所示。這些構(gòu)件可根據(jù)不同情形組合，例如數(shù)據(jù)采集構(gòu)件和通信傳輸構(gòu)件組合就產(chǎn)生出新的構(gòu)件，它能完成數(shù)據(jù)采集和傳輸兩種任務(wù)。所有的這些構(gòu)件組合起來(lái)就變成了一個(gè)入侵檢測(cè)系統(tǒng)。各構(gòu)件的功能如下：（1）數(shù)據(jù)采集構(gòu)件：收集檢測(cè)使用的數(shù)據(jù)，可駐留在網(wǎng)絡(luò)中的主機(jī)上或安裝在網(wǎng)絡(luò)中的監(jiān)測(cè)點(diǎn)。需要通信傳輸構(gòu)件的協(xié)作，將收集的信息傳送到入侵檢測(cè)分析構(gòu)件處理。（2）通信傳輸構(gòu)件：傳遞檢測(cè)的結(jié)果，處理原始的數(shù)據(jù)和控制命令，一般需要和其他構(gòu)件協(xié)作完成通信功能。（3）入侵檢測(cè)分析構(gòu)件：依據(jù)檢測(cè)的數(shù)據(jù)，采用檢測(cè)算法對(duì)數(shù)據(jù)進(jìn)行誤用分析和異常分析，產(chǎn)生檢測(cè)結(jié)果、報(bào)警和應(yīng)急信號(hào)。（4）應(yīng)急處理構(gòu)件：按入侵檢測(cè)的結(jié)果和主機(jī)、網(wǎng)絡(luò)的實(shí)際情況作出決策判斷，對(duì)入侵行為進(jìn)行響應(yīng)。（5）管理構(gòu)件：管理其他的構(gòu)件的配置，產(chǎn)生入侵總體報(bào)告，提供用戶和其他構(gòu)件的管理接口，圖形化工具或者可視化的界面，供用戶查詢、配置入侵檢測(cè)系統(tǒng)情況等。圖7.8分布式入侵檢測(cè)系統(tǒng)結(jié)構(gòu)示意圖 7.4入侵檢測(cè)系統(tǒng)的測(cè)試評(píng)估7.4.1測(cè)試評(píng)估概述入侵檢測(cè)系統(tǒng)的測(cè)試評(píng)估非常困難，涉及到操作系統(tǒng)、網(wǎng)絡(luò)環(huán)境、工具、軟件、硬件和數(shù)據(jù)庫(kù)等技術(shù)方面的問(wèn)題。IDS目前沒有工業(yè)標(biāo)準(zhǔn)可參考來(lái)評(píng)測(cè)，判斷IDS檢測(cè)的準(zhǔn)確性只有依靠黑箱法測(cè)試。另外，測(cè)試需要構(gòu)建復(fù)雜的網(wǎng)絡(luò)環(huán)境和測(cè)試用例。由于入侵情況的變化，IDS系統(tǒng)也需要維護(hù)多種不同類型的信息（如正常和異常的用戶、系統(tǒng)和進(jìn)程行為，可疑的通信量模式字符串，對(duì)各種攻擊行為的響應(yīng)信息等），才能保證系統(tǒng)在一定時(shí)期內(nèi)發(fā)揮有效的作用。7.4.2測(cè)試評(píng)估的內(nèi)容一般可以從以下幾個(gè)方面去評(píng)價(jià)一個(gè)入侵檢測(cè)系統(tǒng)：（1）是否能保證自身的安全。和其他系統(tǒng)一樣，入侵檢測(cè)系統(tǒng)本身也往往存在安全漏洞。如果查詢bugtraq的郵件列表，諸如AxentNetProwler、NFR、ISSRealsecure等知名產(chǎn)品都有漏洞被發(fā)覺出來(lái)。若對(duì)入侵檢測(cè)系統(tǒng)攻擊成功，則直接導(dǎo)致其報(bào)警失靈，入侵者在其后所作的行為將無(wú)法被記錄。因此入侵檢測(cè)系統(tǒng)首先必須保證自己的安全性。（2）運(yùn)行與維護(hù)系統(tǒng)的開銷。較少的資源消耗將不影響受保護(hù)主機(jī)或網(wǎng)絡(luò)的正常運(yùn)行。（3）入侵檢測(cè)系統(tǒng)報(bào)警準(zhǔn)確率。誤報(bào)和漏報(bào)的情況應(yīng)盡量少。（4）網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)負(fù)載能力以及可支持的網(wǎng)絡(luò)類型。根據(jù)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)所布署的網(wǎng)絡(luò)環(huán)境不同要求也不同。如果在512KB或2MB專線上布署網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，則不需要高速的入侵檢測(cè)引擎，而在負(fù)荷較高的環(huán)境中，性能是一個(gè)非常重要的指標(biāo)。

(5)支持的入侵特征數(shù)。入侵檢測(cè)系統(tǒng)的特征庫(kù)需要不斷更新才能檢測(cè)出新出現(xiàn)的攻擊方法，因此可以檢測(cè)的入侵特征數(shù)量也是衡量一個(gè)檢測(cè)系統(tǒng)性能的重要指標(biāo)。（6）是否支持IP碎片重組。入侵檢測(cè)中，分析單個(gè)的數(shù)據(jù)包會(huì)導(dǎo)致許多誤報(bào)和漏報(bào)，IP碎片的重組可以提高檢測(cè)的精確度。而且，IP碎片是網(wǎng)絡(luò)攻擊中常用的方法，因此，IP碎片的重組還可以檢測(cè)利用IP碎片的攻擊。IP碎片重組的評(píng)測(cè)標(biāo)準(zhǔn)有三個(gè)性能參數(shù)：能重組的最大IP碎片數(shù)，能同時(shí)重組的IP包數(shù)，能進(jìn)行重組的最大IP數(shù)據(jù)包的長(zhǎng)度。（7）是否支持TCP流重組。TCP流重組是為了對(duì)完整的網(wǎng)絡(luò)對(duì)話進(jìn)行分析，它是網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)對(duì)應(yīng)用層進(jìn)行分析的基礎(chǔ)。如檢查郵件內(nèi)容、附件，檢查FTP傳輸?shù)臄?shù)據(jù)，禁止訪問(wèn)有害網(wǎng)站，判斷非法HTTP請(qǐng)求等。

1．功能測(cè)試功能測(cè)試的數(shù)據(jù)能夠反映出IDS的攻擊檢測(cè)、報(bào)告、審計(jì)、報(bào)警等多種能力。

1）攻擊識(shí)別以TCP/IP協(xié)議攻擊識(shí)別為例，攻擊識(shí)別的能力可以分成以下幾種：（1）協(xié)議包頭攻擊分析的能力：IDS系統(tǒng)能夠識(shí)別與IP包頭相關(guān)的攻擊能力。常見的這種類型攻擊如LAND攻擊。其攻擊方式是通過(guò)構(gòu)造源地址、目的地址、源端口、目的端口都相同的IP包發(fā)送，這樣會(huì)導(dǎo)致IP協(xié)議棧產(chǎn)生progressiveloop而崩潰。（2）重裝攻擊分析的能力：IDS能夠重裝多個(gè)IP包的分段并從中發(fā)現(xiàn)攻擊的能力。常見的重裝攻擊是Teardrop和PingofDeath。Teardrop通過(guò)發(fā)多個(gè)分段的IP包而使得當(dāng)重裝包時(shí)，包的數(shù)據(jù)部分越界，進(jìn)而引起協(xié)議和系統(tǒng)不可用。PingofDeath是ICMP包以多個(gè)分段包（碎片）發(fā)送，而當(dāng)重裝時(shí)，數(shù)據(jù)部分大于65535B，從而超出TCP/IP協(xié)議所規(guī)定的范圍，引起TCP/IP協(xié)議棧崩潰。（3）數(shù)據(jù)驅(qū)動(dòng)攻擊分析能力：IDS具有分析IP包的數(shù)據(jù)具體內(nèi)容，例如HTTP的phf攻擊。Phf是一個(gè)CGI程序，允許在Web服務(wù)器上運(yùn)行。phf處理復(fù)雜服務(wù)請(qǐng)求程序的漏洞，使得攻擊者可以執(zhí)行特定的命令，攻擊者從而可以獲取敏感的信息或者危及到Web服務(wù)器的使用。

2）抗攻擊性

IDS可以抵御拒絕服務(wù)攻擊。對(duì)于某一時(shí)間內(nèi)的重復(fù)攻擊，IDS報(bào)警能夠識(shí)別并能抑制不必要的報(bào)警。

3）過(guò)濾能力

IDS中的過(guò)濾器可方便地設(shè)置規(guī)則以根據(jù)需要過(guò)濾掉原始的數(shù)據(jù)信息，例如網(wǎng)絡(luò)上的數(shù)據(jù)包和審計(jì)文件記錄。一般要求IDS過(guò)濾器具有下面的能力：（1）可以修改或調(diào)整；（2）創(chuàng)建簡(jiǎn)單的字符規(guī)則；（3）使用腳本工具創(chuàng)建復(fù)雜的規(guī)則。

4）報(bào)警報(bào)警機(jī)制是IDS必要的功能，例如發(fā)送入侵警報(bào)信號(hào)和應(yīng)急處理機(jī)制。

5）日志

IDS的日志有以下功能：（1）保存日志的數(shù)據(jù)能力；（2）按特定的需求說(shuō)明，日志內(nèi)容可以選取。

6）報(bào)告

IDS的報(bào)告有以下功能：（1）產(chǎn)生入侵行為報(bào)告；（2）提供查詢報(bào)告；（3）創(chuàng)建和保存報(bào)告。

2．性能測(cè)試性能測(cè)試在各種不同的環(huán)境下，檢驗(yàn)IDS的承受強(qiáng)度，主要的指標(biāo)有下面幾點(diǎn)：（1）IDS的引擎吞吐量。這一指標(biāo)可以表征IDS在預(yù)先不加載攻擊標(biāo)簽情況下，IDS處理原始檢測(cè)數(shù)據(jù)的能力。（2）包的重裝。測(cè)試的目的就是評(píng)估IDS的包的重裝能力。例如，IDS的入侵標(biāo)簽庫(kù)只有單一的PingofDeath標(biāo)簽，這是來(lái)測(cè)試IDS的響應(yīng)情況的。（3）過(guò)濾的效率。測(cè)試的目標(biāo)就是評(píng)估IDS在攻擊的情況下過(guò)濾器的接收、處理和報(bào)警的效率。這種測(cè)試可以用LAND攻擊的基本包頭為引導(dǎo)，這種包的特性是源地址等于目標(biāo)地址。

3.產(chǎn)品可用性測(cè)試

IDS可評(píng)估系統(tǒng)用戶界面的可用性、完整性和擴(kuò)充性。IDS支持多個(gè)平臺(tái)操作系統(tǒng)，容易使用且穩(wěn)定。7.4.3測(cè)試評(píng)估標(biāo)準(zhǔn)美國(guó)IDGInfoWorld測(cè)試中心的安全測(cè)試小組開發(fā)了一種可以視之為BenhMark類型的測(cè)試基準(zhǔn)——IWSS16。該小組收集了若干種典型的可以公開得到的攻擊方法，對(duì)其進(jìn)行組合，形成IWSS16。IWSS16組合了四種主要類型的攻擊手段。

1．收集信息攻擊網(wǎng)絡(luò)攻擊者經(jīng)常在正式攻擊之前，進(jìn)行試探性的攻擊，目標(biāo)是獲取系統(tǒng)有用的信息，所以，收集信息攻擊檢測(cè)注意力集中在Ping掃描、端口掃描、賬戶掃描、DNS轉(zhuǎn)換等操作方面。網(wǎng)絡(luò)攻擊者經(jīng)常使用的攻擊工具包括Strobe、NetScan、SATAN（Securityadministrator’sToolforAuditingNetwork）。利用這些工具可以獲取網(wǎng)絡(luò)上的內(nèi)容、網(wǎng)絡(luò)的漏洞位置等信息。

2．獲取訪問(wèn)權(quán)限攻擊在IWSS16中集成了一系列的破壞手段來(lái)獲取對(duì)網(wǎng)絡(luò)的特許訪問(wèn)，其中包括許多故障制造攻擊，例如發(fā)送函件故障、遠(yuǎn)程InternetMailAccessProtocol緩沖區(qū)溢出、FTP故障、phf故障等。通過(guò)這些攻擊造成的故障會(huì)暴露系統(tǒng)的漏洞，使攻擊者獲取訪問(wèn)權(quán)限。

3．拒絕服務(wù)攻擊拒絕服務(wù)攻擊是最不容易捕獲的攻擊，因?yàn)椴涣羧魏魏圹E，所以安全管理人員不易確定攻擊的來(lái)源。由于其攻擊目標(biāo)是使得網(wǎng)絡(luò)上節(jié)點(diǎn)系統(tǒng)癱瘓，因此，這是很危險(xiǎn)的攻擊。當(dāng)然，就防守一方的難度而言，拒絕服務(wù)攻擊是比較容易防御的攻擊類型。這類攻擊的特點(diǎn)是以潮水般的申請(qǐng)使系統(tǒng)在應(yīng)接不暇的狀態(tài)中崩潰；除此而外，拒絕服務(wù)攻擊還可以利用操作系統(tǒng)的弱點(diǎn)，有目標(biāo)地進(jìn)行針對(duì)性的攻擊。典型的拒絕服務(wù)攻擊包括Syn、PingofDeath、Land、Teardrop、InternetControlMessageProtocol（ICMP）、UserDatagramProtocol以及WindowsOutofBand等攻擊。

4．逃避檢測(cè)攻擊入侵者往往在攻擊之后，使用各種逃避檢測(cè)的手段，使其攻擊的行為不留痕跡，其中典型的做法是修改系統(tǒng)的安全審計(jì)記錄。7.4.4

IDS測(cè)試評(píng)估現(xiàn)狀以及存在的問(wèn)題雖然IDS及其相關(guān)技術(shù)已獲得了很大的進(jìn)展，但關(guān)于IDS的性能檢測(cè)及其相關(guān)評(píng)測(cè)工具、標(biāo)準(zhǔn)以及測(cè)試環(huán)境等方面的研究工作還很缺乏。

Puketza等人在1994年開創(chuàng)了對(duì)IDS評(píng)估系統(tǒng)研究的先河，在他們開發(fā)的軟件平臺(tái)上可以實(shí)現(xiàn)自動(dòng)化的攻擊仿真。1998年，Debar等人在IDS實(shí)驗(yàn)測(cè)試系統(tǒng)的研究中指出，在評(píng)估環(huán)境中仿真正常網(wǎng)絡(luò)流量是一件非常復(fù)雜而且耗時(shí)的工作。林肯實(shí)驗(yàn)室在1998年、1999年進(jìn)行的兩次IDS離線評(píng)估，是迄今為止最權(quán)威的IDS評(píng)估。在精心設(shè)計(jì)的測(cè)試網(wǎng)絡(luò)中，他們對(duì)正常網(wǎng)絡(luò)流量進(jìn)行了仿真，實(shí)施了大量的攻擊，將記錄下的流量系統(tǒng)日志和主機(jī)上的文件系統(tǒng)映像等數(shù)據(jù)交由參加評(píng)估的IDS進(jìn)行離線分析，最后根據(jù)各IDS提交的檢測(cè)結(jié)果做出評(píng)估報(bào)告。目前美國(guó)空軍羅馬實(shí)驗(yàn)室對(duì)IDS進(jìn)行了實(shí)時(shí)評(píng)估。羅馬實(shí)驗(yàn)室的實(shí)時(shí)評(píng)估是林肯實(shí)驗(yàn)室離線評(píng)估的補(bǔ)充，它主要對(duì)作為現(xiàn)行網(wǎng)絡(luò)中的一部分的完整系統(tǒng)進(jìn)行測(cè)試，其目的是測(cè)試IDS在現(xiàn)有正常機(jī)器和網(wǎng)絡(luò)活動(dòng)中檢測(cè)入侵行為的能力、IDS的響應(yīng)能力及其對(duì)正常用戶的影響。IBM的Zurich研究實(shí)驗(yàn)室也開發(fā)了一套IDS測(cè)評(píng)工具。此外，有些黑客工具軟件也可用來(lái)對(duì)IDS進(jìn)行評(píng)測(cè)。 7.5典型的IDS系統(tǒng)及實(shí)例7.5.1典型的IDS系統(tǒng)入侵檢測(cè)系統(tǒng)大部分是基于各自的需求和設(shè)計(jì)獨(dú)立開發(fā)的，不同系統(tǒng)之間缺乏互操作性和互用性，這對(duì)入侵檢測(cè)系統(tǒng)的發(fā)展造成了障礙，因此DARPA（theDefenseAdvancedResearchProjectsAgency，美國(guó)國(guó)防部高級(jí)研究計(jì)劃局）在1997年3月開始著手CIDF（CommonIntrusionDetectionFramework，公共入侵檢測(cè)框架）標(biāo)準(zhǔn)的制定。現(xiàn)在加州大學(xué)Davis分校的安全實(shí)驗(yàn)室已經(jīng)完成CIDF標(biāo)準(zhǔn)，IETF（InternetEngineeringTaskForce，Internet工程任務(wù)組）成立了IDWG（IntrusionDetectionWorkingGroup，入侵檢測(cè)工作組）負(fù)責(zé)建立IDEF（IntrusionDetectionExchangeFormat，入侵檢測(cè)數(shù)據(jù)交換格式）標(biāo)準(zhǔn)，并提供支持該標(biāo)準(zhǔn)的工具，以更高效率地開發(fā)IDS系統(tǒng)。幾種典型的攻擊檢測(cè)系統(tǒng)如下。（1）NAI公司Cybercop攻擊檢測(cè)系統(tǒng)包括三個(gè)組成部分：CyberCopScanner、CybercopServer和CybercopNetwork。CybercopScanner的目標(biāo)是在復(fù)雜的網(wǎng)絡(luò)環(huán)境中檢測(cè)出薄弱環(huán)節(jié)。CybercopScanner主要對(duì)Intranet、Web服務(wù)器、防火墻等網(wǎng)絡(luò)安全環(huán)節(jié)進(jìn)行全面的檢查，從而發(fā)現(xiàn)這些安全環(huán)節(jié)的攻擊脆弱點(diǎn)。CybercopServer的目標(biāo)是在復(fù)雜的網(wǎng)絡(luò)環(huán)境中提供防范、檢測(cè)和對(duì)攻擊作出反應(yīng)，并能采取自動(dòng)抗擊措施的工具。CybercopNetwork的主要功能是在復(fù)雜的網(wǎng)絡(luò)環(huán)境中通過(guò)循環(huán)監(jiān)測(cè)網(wǎng)絡(luò)流量（Traffic）的手段保護(hù)網(wǎng)絡(luò)上的共享資源。Cybercop能夠生成多種形式的報(bào)告，包括HTLM、ASCII正文、RTF格式以及CommaDelimited格式。（2）ISS公司（InternetSecuritySystem）的RealSecure2.0forWindowsNT是一種領(lǐng)導(dǎo)市場(chǎng)的攻擊檢測(cè)方案。RealSecure2.0提供了分布式安全體系結(jié)構(gòu)，多個(gè)檢測(cè)引擎可以監(jiān)控不同的網(wǎng)絡(luò)并向中央管理控制臺(tái)報(bào)告，控制臺(tái)與引擎之間的通信可以采用128bitTSA進(jìn)行認(rèn)證和加密。（3）Abirnet公司的Session－wall－32.1是一種功能比較廣泛的安全產(chǎn)品，其中包括攻擊檢測(cè)系統(tǒng)功能。Session－wall－3提供定義監(jiān)控、過(guò)濾及封鎖網(wǎng)絡(luò)流量的規(guī)則的功能，因此其解決方案比較簡(jiǎn)潔、靈活。Session－Wall－3受到攻擊后即向本地控制臺(tái)發(fā)送警報(bào)、電子函件，并進(jìn)行事件記錄，還具備向安全管理人員發(fā)信息的功能，它的報(bào)表功能也比較強(qiáng)。（4）Anzen公司的NFR（NetwareFlightRecorder）提供了一個(gè)網(wǎng)絡(luò)監(jiān)控框架，利用這個(gè)框架可以有效地執(zhí)行攻擊檢測(cè)任務(wù)。OEM公司可以基于NFR定制具備專門用途的攻擊檢測(cè)系統(tǒng)，有些軟件公司已經(jīng)利用NFR開發(fā)出各自的產(chǎn)品。（5）IBM公司的IERS系統(tǒng)（InternetEmergencyResponseService）由兩個(gè)部件組成：NetRanger檢測(cè)器和Boulder監(jiān)控中心。NetRanger檢測(cè)器負(fù)責(zé)監(jiān)聽網(wǎng)絡(luò)上的可識(shí)別的通信數(shù)字簽名，一旦發(fā)現(xiàn)異常情況，就啟動(dòng)Boulder監(jiān)控中心的報(bào)警器報(bào)警。（6）中科網(wǎng)威信息技術(shù)有限公司的“天眼”入侵檢測(cè)系統(tǒng)、“火眼”網(wǎng)絡(luò)安全漏洞檢測(cè)系統(tǒng)是我國(guó)少有的幾個(gè)入侵檢測(cè)系統(tǒng)之一。它根據(jù)國(guó)內(nèi)網(wǎng)絡(luò)的特殊情況，由中國(guó)科學(xué)院網(wǎng)絡(luò)安全關(guān)鍵技術(shù)研究組經(jīng)過(guò)多年研究，綜合運(yùn)用了多種檢測(cè)系統(tǒng)成果研制成功的。它根據(jù)系統(tǒng)的安全策略作出反映，實(shí)現(xiàn)了對(duì)非法入侵的定時(shí)報(bào)警、記錄事件，方便取證，自動(dòng)阻斷通信連接，重置路由器、防火墻，同時(shí)能及時(shí)發(fā)現(xiàn)并及時(shí)提出解決方案，并列出可參考的全熱鏈接網(wǎng)絡(luò)及系統(tǒng)中易被黑客利用和可能被黑客利用的薄弱環(huán)節(jié)，防范黑客攻擊。該系統(tǒng)的總體技術(shù)水平達(dá)到了“國(guó)際先進(jìn)水平”（1998年的關(guān)鍵技術(shù)“中國(guó)科學(xué)院若干網(wǎng)絡(luò)安全”項(xiàng)目成果鑒定會(huì)結(jié)論）。（7）啟明星辰公司的黑客入侵檢測(cè)與預(yù)警系統(tǒng)，集成了網(wǎng)絡(luò)監(jiān)聽監(jiān)控、實(shí)時(shí)協(xié)議分析、入侵行為分析及詳細(xì)日志審計(jì)跟蹤等功能。該系統(tǒng)主要包括兩部分：探測(cè)器和控制器。探測(cè)器能監(jiān)視網(wǎng)絡(luò)上流過(guò)的所有數(shù)據(jù)包，根據(jù)用戶定義的條件進(jìn)行檢測(cè)，識(shí)別出網(wǎng)絡(luò)中正在進(jìn)行的攻擊。它能實(shí)時(shí)檢測(cè)到入侵信息并向控制器管理控制臺(tái)發(fā)出告警，由控制臺(tái)給出定位顯示，從而將入侵者從網(wǎng)絡(luò)中清除出去。探測(cè)器能夠監(jiān)測(cè)所有類型的ＴＣＰ/ＩＰ網(wǎng)絡(luò)，其強(qiáng)大的檢測(cè)功能為用戶提供了最為全面、有效的入侵檢測(cè)能力?？刂破魇且粋€(gè)高性能管理系統(tǒng)，它能監(jiān)控位于本地或遠(yuǎn)程網(wǎng)段的多個(gè)探測(cè)器的活動(dòng)；集中地配置策略，提供統(tǒng)一的數(shù)據(jù)管理和實(shí)時(shí)報(bào)警管理；顯示詳細(xì)的入侵告警信息（如入侵ＩＰ地址、目的ＩＰ地址、目的端口、攻擊特征），對(duì)事件的響應(yīng)提供在線幫助，以最快的方式阻止入侵事件的發(fā)生。另外，它還能全面地記錄和管理日志，以便進(jìn)行離線分析，對(duì)特殊事件提供智能判斷和回放功能。7.5.2入侵檢測(cè)系統(tǒng)實(shí)例Snort

1.Snort概述

Snort是一個(gè)輕量級(jí)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，具有實(shí)時(shí)數(shù)據(jù)流分析和日志IP網(wǎng)絡(luò)數(shù)據(jù)包的功能，能夠進(jìn)行協(xié)議分析和內(nèi)容搜索匹配，能夠檢測(cè)不同的攻擊方式并對(duì)攻擊進(jìn)行實(shí)時(shí)報(bào)警。此外，Snort是一個(gè)跨平臺(tái)、開放源代碼的免費(fèi)軟件，具有很好的擴(kuò)展性和可移植性。Snort使用著名的網(wǎng)絡(luò)包捕獲器Libpcap進(jìn)行開發(fā)。Libpcap是網(wǎng)絡(luò)數(shù)據(jù)包捕獲的標(biāo)準(zhǔn)接口，使用BPF數(shù)據(jù)包捕獲機(jī)制，它為Snort提供了一個(gè)可移植的數(shù)據(jù)包截獲和過(guò)濾機(jī)制。

2.Snort的結(jié)構(gòu)

Snort的結(jié)構(gòu)如圖7.9所示。它主要包括四個(gè)模塊：數(shù)據(jù)包嗅探器、預(yù)處理器、檢測(cè)引擎和報(bào)警輸出模塊。首先，Snort通過(guò)數(shù)據(jù)包嗅探器從網(wǎng)絡(luò)中捕獲數(shù)據(jù)包，而后交給預(yù)處理器進(jìn)行處理，而后再交給檢測(cè)引擎來(lái)對(duì)每個(gè)包進(jìn)行檢測(cè)判斷入侵，如果有入侵行為發(fā)生，通過(guò)報(bào)警輸出模塊進(jìn)行記錄，告警信息也可存入數(shù)據(jù)庫(kù)中進(jìn)行保存。圖7.9

Snort結(jié)構(gòu)

1)數(shù)據(jù)包嗅探器數(shù)據(jù)包嗅探器模塊主要實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)包捕獲和解析的功能。Snort利用Libpcap庫(kù)函數(shù)進(jìn)行數(shù)據(jù)采集，該庫(kù)函數(shù)可以為應(yīng)用程序提供直接從鏈路層捕獲數(shù)據(jù)包的接口函數(shù)，并可以設(shè)置數(shù)據(jù)包過(guò)濾器來(lái)捕獲指定的數(shù)據(jù)，將捕獲的網(wǎng)絡(luò)數(shù)據(jù)包按照TCP/IP協(xié)議族的不同層次進(jìn)行解析。

2)預(yù)處理器預(yù)處理器模塊針對(duì)可疑行為檢查包或者修改包，以便檢測(cè)引擎能對(duì)其正確解釋，還可以對(duì)網(wǎng)絡(luò)流進(jìn)行標(biāo)準(zhǔn)化以便檢測(cè)引擎能夠準(zhǔn)確匹配特征。

3)檢測(cè)引擎檢測(cè)引擎模塊是入侵檢測(cè)系統(tǒng)實(shí)現(xiàn)的核心，當(dāng)數(shù)據(jù)包從預(yù)處理器送過(guò)來(lái)后，檢測(cè)引擎依據(jù)預(yù)先設(shè)置的規(guī)則檢查數(shù)據(jù)包，一旦發(fā)現(xiàn)數(shù)據(jù)包中的內(nèi)容和某條規(guī)則相匹配，就通知報(bào)警輸出模塊。

4)報(bào)警/輸出模塊檢測(cè)引擎檢查后的Snort數(shù)據(jù)需要以某種方式輸出。如檢測(cè)引擎中的某條規(guī)則被匹配，則會(huì)觸發(fā)一條報(bào)警，這條報(bào)警信息、會(huì)通過(guò)網(wǎng)絡(luò)等方式或SNMP協(xié)議的trap命令送給日志文件，報(bào)警信息也可以記入數(shù)據(jù)庫(kù)。

3.Snort規(guī)則結(jié)構(gòu)

Snort采用基于規(guī)則的網(wǎng)絡(luò)入侵模式搜索機(jī)制，對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行模式匹配，從中發(fā)現(xiàn)入侵或惡意攻擊行為。Snort規(guī)則就是使用一種簡(jiǎn)單的描述語(yǔ)言來(lái)刻畫網(wǎng)絡(luò)上的帶有攻擊標(biāo)識(shí)的數(shù)據(jù)包。Snort將所有已知的入侵行為以規(guī)則的形式存放在規(guī)則庫(kù)中，每一條規(guī)則由規(guī)則頭部和規(guī)則選項(xiàng)兩個(gè)部分組成。規(guī)則頭定義了規(guī)則的動(dòng)作、所匹配網(wǎng)絡(luò)報(bào)文的協(xié)議、源地址、目的地址、源端口以及目標(biāo)端口等信息；規(guī)則選項(xiàng)部分則包含了所要顯示給用戶查看的警告信息以及用來(lái)判定報(bào)文是否為攻擊報(bào)文的其他信息。一條規(guī)則可以用來(lái)探測(cè)一個(gè)或多個(gè)類型的入侵活動(dòng)，一個(gè)好的規(guī)則可以來(lái)探測(cè)多種入侵特征。圖7.10

Snort規(guī)則頭部結(jié)構(gòu)協(xié)議部分用來(lái)在一個(gè)特定協(xié)議的包上應(yīng)用規(guī)則。這是規(guī)則所涉及的第一個(gè)條件。一些可以用到的協(xié)議如IP、ICMP、UDP等等。地址部分定義源或目的地址。地址可以是一個(gè)主機(jī)、一些主機(jī)的地址或者網(wǎng)絡(luò)地址。注意，在規(guī)則中有兩個(gè)地址段，依賴于方向段決定地址是源或者是目的地址。例如，方向段的值是“->”,那么左邊的地址就是源地址，右邊的地址是目的地址。如果協(xié)議是TCP或UDP，則端口部分用來(lái)確定規(guī)則所對(duì)應(yīng)的包的源及目的端口;如果是網(wǎng)絡(luò)層協(xié)議，如IP或ICMP，則端口號(hào)就沒有意義了。方向部分用來(lái)確定地址和端口是源，還是目的。例如，這樣一個(gè)規(guī)則，當(dāng)它探測(cè)到TTL為100的ICMPPing包時(shí)，就會(huì)產(chǎn)生告警：

alerticmpanyany->anyany(msg：″PingwithTTL=100″；ttl：100；)括號(hào)之前的部分叫做規(guī)則頭部，括號(hào)中的部分叫做規(guī)則選項(xiàng)。頭部依次包括如下部分。（1）規(guī)則的動(dòng)作。在這個(gè)規(guī)則中，動(dòng)作是alert(告警)，指如果符合后面的條件，就會(huì)產(chǎn)生一個(gè)告警。如果產(chǎn)生告警，默認(rèn)的情況下將會(huì)記錄日志。（2）協(xié)議。在這個(gè)規(guī)則中，協(xié)議是icmp，也就是說(shuō)這條規(guī)則僅僅對(duì)icmp包有效，如果一個(gè)包的協(xié)議不是icmp，Snort探測(cè)引擎就不理會(huì)這個(gè)包以節(jié)省CPU時(shí)間。協(xié)議部分在對(duì)某種協(xié)議的包應(yīng)用Snort規(guī)則時(shí)是非常重要的。（3）源地址和源端口。在這個(gè)例子中，它們都被設(shè)置成了any，也就是這條規(guī)則將被應(yīng)用在來(lái)自任何地方的icmp包上，當(dāng)然，端口號(hào)與icmp是沒有什么關(guān)系的，僅僅與TCP和UDP有關(guān)系。（4）方向。->表示從左向右的方向，表示在這個(gè)符號(hào)的左面部分是源，右面是目的，也表示規(guī)則應(yīng)用在從源到目的的包上；如果是<-，那么就相反。注意，也可以用<>來(lái)表示規(guī)則將應(yīng)用在所有方向上。

(5)目的地址和端口。都是“any”，表示規(guī)則并不關(guān)心它們的目的地址。在這個(gè)規(guī)則中，由于any的作用，方向段并沒有實(shí)際的作用，因?yàn)樗鼘⒈粦?yīng)用在所有方向的icmp包上。在括號(hào)中的規(guī)則選項(xiàng)部分表示：如果包符合TTL=100的條件就產(chǎn)生一條包含文字：“PingwithTTL=100”的告警。TTL是IP包頭部字段。

4.Snort典型規(guī)則示例

Snort規(guī)則的本質(zhì)就是簡(jiǎn)單模式匹配，即通過(guò)對(duì)數(shù)據(jù)包的分析得到所需信息，用以匹配自身的規(guī)則庫(kù)。如果能夠匹配某一規(guī)則，就產(chǎn)生事件報(bào)警或者做日志記錄，否則就丟棄(即便是屬于攻擊)。根據(jù)網(wǎng)絡(luò)入侵的分類，較典型的Snort規(guī)則有以下幾類：

1）端口掃描端口掃描通常指用同一個(gè)信息對(duì)目標(biāo)主機(jī)的所有需要掃描的端口發(fā)送探測(cè)數(shù)據(jù)包，然后根據(jù)返回端口的狀態(tài)來(lái)分析目標(biāo)主機(jī)端口是否打開可用的行為。這是黑客用于收集目標(biāo)主機(jī)相關(guān)信息，從而發(fā)現(xiàn)某些內(nèi)在安全弱點(diǎn)的常用手段。規(guī)則實(shí)例：

alerttcpanyany->$HOME_NETany(msg：″SYNFINScan″；flags：SF：)含義：當(dāng)有人對(duì)系統(tǒng)進(jìn)行SYNFIN掃描時(shí)，向管理員發(fā)出端口掃描的警報(bào)。

2）系統(tǒng)后門在大多數(shù)情況下，攻擊者入侵一個(gè)系統(tǒng)后，可能還想在適當(dāng)?shù)臅r(shí)候再次進(jìn)入系統(tǒng)，一種較好的方法就是在這個(gè)已被入侵的系統(tǒng)中留一個(gè)后門。后門(backdoor)就是攻擊者再次進(jìn)入網(wǎng)絡(luò)或系統(tǒng)而不被發(fā)現(xiàn)的隱蔽通道。最簡(jiǎn)單的方法就是在主機(jī)上打開一個(gè)監(jiān)聽的端口。規(guī)則實(shí)例：

alertudpanyany->$HOME_NET31337(msg：″BackOrifice″；)含義：當(dāng)有人連接系統(tǒng)UDP端口31337時(shí)，向管理員發(fā)出后門程序BackOrifice活動(dòng)的警報(bào)。

3)拒絕服務(wù)拒絕服務(wù)攻擊(DenialofService)是一種最早也是最常見的攻擊形式，攻擊者通過(guò)發(fā)送一些非法的數(shù)據(jù)包使系統(tǒng)癱瘓，或者發(fā)送大量的數(shù)據(jù)包使系統(tǒng)無(wú)法響應(yīng)，從而達(dá)到破壞系統(tǒng)的目的。規(guī)則實(shí)例：

alerttcp$EXTERNAL_NETany->$HOME_NET12754(msg：″DDOSmstreamclienttohandler″；flow：to_server，established；content：″>″；flags：A+；reference：cve，2000-0138；classtype：attemped-doc：sid：247；rev：5；)含義：目的端口號(hào)為12754的TCP連接中，數(shù)據(jù)包含字符串“>”時(shí)，向管理員發(fā)出拒絕服務(wù)攻擊的警報(bào)。

4)緩沖區(qū)溢出緩沖區(qū)溢出也是一種較為常用的黑客技術(shù)。它通過(guò)往程序的緩沖區(qū)寫入超出其長(zhǎng)度的內(nèi)容，造成緩沖區(qū)的溢出，并利用精心構(gòu)造的數(shù)據(jù)覆蓋程序的返回指針，從而改變程序的執(zhí)行流程，達(dá)到執(zhí)行攻擊代碼的目的。規(guī)則實(shí)例：

alerttcpanyany->$HOME_NET21(msg：″FTPbufferoverflowl!″；content：″|5057440A2F69|″；)

含義：當(dāng)有人向系統(tǒng)TCP端口21發(fā)送的數(shù)據(jù)中帶有二進(jìn)制數(shù)據(jù)“|5057440A2F69|”時(shí)，向管理員發(fā)出FTP溢出攻擊的警報(bào)。7.6入侵防護(hù)系統(tǒng)7.6.1

IPS的原理絕大多數(shù)IDS系統(tǒng)都是被動(dòng)的，而不是主動(dòng)的。也就是說(shuō)，在網(wǎng)絡(luò)入侵實(shí)際發(fā)生之前，它們往往無(wú)法預(yù)先發(fā)出警報(bào)。而入侵防護(hù)系統(tǒng)則傾向于提供主動(dòng)防護(hù)，即預(yù)先對(duì)入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截。也就是說(shuō)，IPS是一種主動(dòng)的、積極的入侵防范及阻止系統(tǒng)，它部署在網(wǎng)絡(luò)的進(jìn)出口處，當(dāng)檢測(cè)到攻擊企圖后，它會(huì)自動(dòng)地將攻擊包丟掉或采取措施將攻擊源阻斷。簡(jiǎn)單地說(shuō)，入侵防護(hù)系統(tǒng)(IPS)是任何能夠檢測(cè)已知和未知攻擊并且在沒有人為干預(yù)的情況下能夠自動(dòng)阻止攻擊的硬件或者軟件設(shè)備。IPS也稱為IDP(IntrusionDetection&Prevention，入侵檢測(cè)和防御系統(tǒng))，是指不但能檢測(cè)入侵的發(fā)生，而且能通過(guò)一定的響應(yīng)方式，實(shí)時(shí)地中止入侵行為的發(fā)生和發(fā)展，實(shí)時(shí)地保護(hù)網(wǎng)絡(luò)及信息系統(tǒng)不受實(shí)質(zhì)性攻擊的一種智能化的安全產(chǎn)品。入侵防護(hù)系統(tǒng)通過(guò)一個(gè)網(wǎng)絡(luò)接口接收來(lái)自外部系統(tǒng)的流量，經(jīng)過(guò)檢查確認(rèn)不含有異?；顒?dòng)或可疑內(nèi)容后，再通過(guò)另外一個(gè)網(wǎng)絡(luò)接口將它傳遞到內(nèi)部系統(tǒng)中；有問(wèn)題的數(shù)據(jù)包，以及所有來(lái)自該問(wèn)題的后續(xù)包，都會(huì)被IPS給徹底清除掉，如圖7.11所示。圖7.11

IPS工作原理

IPS實(shí)現(xiàn)實(shí)時(shí)檢查和阻止入侵的原理在于IPS擁有數(shù)目眾多的過(guò)濾器，能夠防止各種攻擊。當(dāng)新的攻擊手段被發(fā)現(xiàn)之后，IPS就會(huì)創(chuàng)建一個(gè)新的過(guò)濾器。IPS數(shù)據(jù)包處理引擎是專業(yè)化定制的集成電路，可以深層檢查數(shù)據(jù)包的內(nèi)容。如果有攻擊者利用數(shù)據(jù)鏈路層至應(yīng)用層的漏洞發(fā)起攻擊，IPS就能夠從數(shù)據(jù)流中檢查出這些攻擊并加以阻止。IPS可以做到逐一字節(jié)地檢查數(shù)據(jù)包。所有流經(jīng)IPS的數(shù)據(jù)包都會(huì)被分類，分類的依據(jù)是數(shù)據(jù)包中的報(bào)頭信息，如源IP地址和目的IP地址、端口號(hào)和應(yīng)用域。每種過(guò)濾器負(fù)責(zé)分析相對(duì)應(yīng)的數(shù)據(jù)包。通過(guò)檢查的數(shù)據(jù)包可以繼續(xù)前進(jìn)，包含惡意內(nèi)容的數(shù)據(jù)包就會(huì)被丟棄，被懷疑的數(shù)據(jù)包需要接受進(jìn)一步的檢查。7.6.2

IPS的分類

1.基于主機(jī)的入侵防護(hù)(HIPS)基于主機(jī)的入侵防護(hù)系統(tǒng)(HIPS)，通過(guò)在主機(jī)/服務(wù)器上安裝軟件代理程序，來(lái)防止網(wǎng)絡(luò)攻擊入侵操作系統(tǒng)以及應(yīng)用程序。基于主機(jī)的入侵防護(hù)能夠保護(hù)服務(wù)器的安全弱點(diǎn)不被不法分子所利用；可以根據(jù)自定義的安全策略以及分析學(xué)習(xí)機(jī)制來(lái)阻斷對(duì)服務(wù)器、主機(jī)發(fā)起的惡意入侵；可以阻斷緩沖區(qū)溢出、改變登錄口令、改寫動(dòng)態(tài)鏈接庫(kù)以及其他試圖從操作系統(tǒng)奪取控制權(quán)的入侵行為，整體提升主機(jī)的安全水平。在技術(shù)上，HIPS采用獨(dú)特的服務(wù)器保護(hù)途徑，利用由包過(guò)濾、狀態(tài)包檢測(cè)和實(shí)時(shí)入侵檢測(cè)組成的分層防護(hù)體系。這種體系能夠在提供合理吞吐率的前提下，最大限度地保護(hù)服務(wù)器的敏感內(nèi)容，既可以以軟件形式嵌入到應(yīng)用程序?qū)Σ僮飨到y(tǒng)的調(diào)用當(dāng)中，通過(guò)攔截對(duì)操作系統(tǒng)的可疑調(diào)用，提供對(duì)主機(jī)的安全防護(hù)(現(xiàn)在大部分防病毒軟件的實(shí)時(shí)保護(hù)功能，實(shí)際上已經(jīng)提供了部分這樣的功能)；也可以以更改操作系統(tǒng)內(nèi)核程序的方式，提供比操作系統(tǒng)更加嚴(yán)謹(jǐn)?shù)陌踩刂茩C(jī)制。由于HIPS工作在受保護(hù)的主機(jī)/服務(wù)器上，因此它與具體的主機(jī)/服務(wù)器操作系統(tǒng)平臺(tái)緊密相關(guān)，不同的平臺(tái)需要不同的軟件代理程序。

2.基于網(wǎng)絡(luò)的入侵防護(hù)(NIPS)基于網(wǎng)絡(luò)的入侵防護(hù)系統(tǒng)(NIPS)，通過(guò)檢測(cè)流經(jīng)的網(wǎng)絡(luò)流量，來(lái)提供對(duì)網(wǎng)絡(luò)系統(tǒng)的安全保護(hù)。由于它采用串聯(lián)連接方式，因此一旦辨識(shí)出入侵行為，NIPS就可以阻止整個(gè)網(wǎng)絡(luò)會(huì)話，而不僅僅是復(fù)位會(huì)話。同樣由于實(shí)時(shí)在線，NIPS需要具備很高的性能，以免成為網(wǎng)絡(luò)的瓶頸，因此NIPS通常被設(shè)計(jì)成類似于交換機(jī)的網(wǎng)絡(luò)設(shè)備，提供線速吞吐速率以及多個(gè)網(wǎng)絡(luò)端口。基于特定的硬件平臺(tái)，才能真正實(shí)現(xiàn)千兆級(jí)網(wǎng)絡(luò)流量的深度數(shù)據(jù)包檢測(cè)和阻斷功能。這種特定的硬件平臺(tái)通?？梢苑譃槿悾旱谝活愂蔷W(wǎng)絡(luò)處理器(NP)，第二類是專用的FPGA編程芯片，第三類是專用的ASIC芯片。在技術(shù)上，NIPS吸取了目前NIDS所有的成熟技術(shù)，包括特征匹配、協(xié)議分析和異常檢測(cè)。特征匹配是最廣泛應(yīng)用的技術(shù)，具有準(zhǔn)確率高、速度快的特點(diǎn)。基于狀態(tài)的特征匹配不但能檢測(cè)攻擊行為的特征，還要檢查當(dāng)前網(wǎng)絡(luò)的會(huì)話狀