《信息安全導論》課件2第8章

1

第八章入侵檢測2討論議題

1.入侵檢測概述

2.入侵檢測系統(tǒng)

3.入侵檢測流程

4.基于主機的入侵檢測技術

5.基于網(wǎng)絡的入侵檢測技術

6.入侵檢測的發(fā)展趨勢3

1.入侵檢測概述4入侵檢測的基本概念入侵檢測的產(chǎn)生與發(fā)展5入侵檢測的基本概念入侵檢測是最近10余年發(fā)展起來的一種動態(tài)的監(jiān)控、預防或抵御系統(tǒng)入侵行為的安全機制。主要通過監(jiān)控網(wǎng)絡、系統(tǒng)的狀態(tài)、行為以及系統(tǒng)的使用情況，來檢測系統(tǒng)用戶的越權使用以及系統(tǒng)外部的入侵者利用系統(tǒng)的安全缺陷對系統(tǒng)進行入侵的企圖。入侵檢測系統(tǒng)：進行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)（簡稱IDS）。6入侵檢測的作用監(jiān)控、分析用戶和系統(tǒng)的活動審計系統(tǒng)的配置和弱點評估關鍵系統(tǒng)和數(shù)據(jù)文件的完整性識別攻擊的活動模式對異?；顒舆M行統(tǒng)計分析對操作系統(tǒng)進行審計跟蹤管理，識別違反政策的用戶活動

訪問控制受保護系統(tǒng)內(nèi)部有職權的人員

防火墻

入侵檢測系統(tǒng)漏洞掃描系統(tǒng)

外部訪問內(nèi)部訪問

監(jiān)視內(nèi)部人員

監(jiān)視外部人員

實時監(jiān)測系統(tǒng)定時掃描系統(tǒng)7入侵檢測的優(yōu)點提高信息安全構造的其他部分的完整性提高系統(tǒng)的監(jiān)控從入口點到出口點跟蹤用戶的活動識別和匯報數(shù)據(jù)文件的變化偵測系統(tǒng)配置錯誤并糾正他們識別特殊攻擊類型，并向管理人員發(fā)出警報，進行防御8入侵檢測的缺點不能彌補差的認證機制如果沒有人的干預，不能管理攻擊調(diào)查不能知道安全策略的內(nèi)容不能彌補網(wǎng)絡協(xié)議上的弱點不能彌補系統(tǒng)提供質(zhì)量或完整性的問題不能分析一個堵塞的網(wǎng)絡9研究入侵檢測的必要性-1在實踐當中，建立完全安全系統(tǒng)根本是不可能的。Miller給出一份有關現(xiàn)今流行的操作系統(tǒng)和應用程序研究報告，指出軟件中不可能沒有缺陷。另外，設計和實現(xiàn)一個整體安全系統(tǒng)相當困難。要將所有已安裝的帶安全缺陷的系統(tǒng)轉(zhuǎn)換成安全系統(tǒng)需要相當長的時間。如果口令是弱口令并且已經(jīng)被破解，那么訪問控制措施不能夠阻止受到危害的授權用戶的信息丟失或者破壞。靜態(tài)安全措施不足以保護安全對象屬性。通常，在一個系統(tǒng)中，擔保安全特性的靜態(tài)方法可能過于簡單不充分，或者系統(tǒng)過度地限制用戶。例如，靜態(tài)技術未必能阻止違背安全策略造成瀏覽數(shù)據(jù)文件；而強制訪問控制僅允許用戶訪問具有合適的通道的數(shù)據(jù)，這樣就造成系統(tǒng)使用麻煩。因此，一種動態(tài)的方法如行為跟蹤對檢測和盡可能阻止安全突破是必要的。10研究入侵檢測的必要性-2加密技術方法本身存在著一定的問題。安全系統(tǒng)易受內(nèi)部用戶濫用特權的攻擊。安全訪問控制等級和用戶的使用效率成反比，訪問控制和保護模型本身存在一定的問題。在軟件工程中存在軟件測試不充足、軟件生命周期縮短、大型軟件復雜性等難解問題，工程領域的困難復雜性，使得軟件不可能沒有錯誤，而系統(tǒng)軟件容錯恰恰被表明是安全的弱點。修補系統(tǒng)軟件缺陷不能令人滿意。由于修補系統(tǒng)軟件缺陷，計算機系統(tǒng)不安全狀態(tài)將持續(xù)相當長一段時間。11研究入侵檢測的必要性-3基于上述幾類問題的解決難度，一個實用的方法是建立比較容易實現(xiàn)的安全系統(tǒng)，同時按照一定的安全策略建立相應的安全輔助系統(tǒng)。入侵檢測系統(tǒng)就是這樣一類系統(tǒng)，現(xiàn)在安全軟件的開發(fā)方式基本上就是按照這個思路進行的。就目前系統(tǒng)安全狀況而言，系統(tǒng)存在被攻擊的可能性。如果系統(tǒng)遭到攻擊，只要盡可能地檢測到，甚至是實時地檢測到，然后采取適當?shù)奶幚泶胧?。入侵檢測系統(tǒng)一般不是采取預防的措施以防止入侵事件的發(fā)生。入侵檢測非常必要，它將有效彌補傳統(tǒng)安全保護措施的不足。12入侵檢測的產(chǎn)生與發(fā)展

1980年，JamesAnderson在技術報告中指出，審計記錄可以用于識別計算機誤用。他提出了入侵嘗試（intrusionattempt）或威脅（threat）的概念，并將其定義為：潛在、有預謀的未經(jīng)授權訪問信息、操作信息，致使系統(tǒng)不可靠或無法使用的企圖。1983年，SRI用統(tǒng)計方法分析IBM大型機的SMF記錄。總的來說，由于80年代初期網(wǎng)絡還沒有今天這樣普遍和復雜，網(wǎng)絡之間也沒有完全連通，因此關于入侵檢測的研究主要是基于主機的事件日志分析。而且由于入侵行為在當時是相當少見的，因此入侵檢測在早期并沒有受到人們的重視。入侵檢測的早期研究13主機IDS研究1986年，SRI的DorothyE.Denning首次將入侵檢測的概念作為一種計算機系統(tǒng)安全防御措施提出，并且建立了一個獨立于系統(tǒng)、程序應用環(huán)境和系統(tǒng)脆弱性的通用入侵檢測系統(tǒng)模型。1988年，SRI開始開發(fā)IDES（IntrusionDetectionExpertSystem）原型系統(tǒng)，它是一個實時入侵檢測系統(tǒng)。從1992年到1995年，SRI加強優(yōu)化IDES，在以太網(wǎng)的環(huán)境下實現(xiàn)了產(chǎn)品化的NIDES。1988年，LosAlamos國家實驗室的TracorAppliedSciences和HaystackLaboratories采用異常檢測和基于Signature的檢測，開發(fā)了Haystack系統(tǒng)。1989年，LosAlamos國家實驗室的HankVaccaro為NCSC和DOE開發(fā)了W&S系統(tǒng)。1989年，PRC公司開發(fā)了ISOA。

14網(wǎng)絡IDS研究1990年出現(xiàn)的NSM（NetworkSecurityMonitor，網(wǎng)絡安全監(jiān)視器），是UCD（Carlifornia大學的Davis分校）設計的面向局域網(wǎng)的IDS。1994年，美國空軍密碼支持中心的一群研究人員創(chuàng)建了一個健壯的網(wǎng)絡入侵檢測系統(tǒng)ASIM。1996年，UCD（Carlifornia大學的Davis分校）的ComputerSecurity實驗室，以開發(fā)廣域網(wǎng)上的入侵檢測系統(tǒng)為目的，開發(fā)了GrIDS。1997年，Cisco公司兼并了Wheelgroup，并開始將網(wǎng)絡入侵檢測整合到Cisco路由器中。從1996年到1999年，SRI開始EMERALD的研究，它是NIDES的后繼者。15主機和網(wǎng)絡IDS的集成分布式入侵檢測系統(tǒng)（DIDS）最早試圖把基于主機的方法和網(wǎng)絡監(jiān)視方法集成在一起。DIDS的最初概念是采用集中式控制技術，向DIDS中心控制器發(fā)報告。DIDS主管安全管理員用戶界面專家系統(tǒng)通信管理器主機代理LAN代理主機事件發(fā)生器LAN事件發(fā)生器主機監(jiān)視器LAN監(jiān)視器162.入侵檢測系統(tǒng)17入侵檢測系統(tǒng):入侵檢測系統(tǒng)的基本模型入侵檢測系統(tǒng)的工作模式入侵檢測系統(tǒng)的分類入侵檢測系統(tǒng)的構架入侵檢測系統(tǒng)的部署18入侵檢測系統(tǒng)入侵檢測系統(tǒng)的主要功能包括：監(jiān)視、分析用戶及系統(tǒng)的活動；系統(tǒng)構造和弱點的審計；識別反映已知進攻的活動模式并向相關人士報警；對異常行為模式進行統(tǒng)計分析；對重要系統(tǒng)和數(shù)據(jù)文件的完整性進行評估；對操作系統(tǒng)進行審計跟蹤管理；識別用戶違反安全策略的行為。入侵檢測系統(tǒng)的建立依賴于入侵檢測技術的發(fā)展，而入侵檢測技術的價值最終要通過實用的入侵檢測系統(tǒng)來檢驗。19入侵檢測系統(tǒng)的基本模型通用入侵檢測模型（Denning模型）層次化入侵檢測模型（IDM）管理式入侵檢測模型（SNMP-IDSM）

20通用入侵檢測模型（Denning模型）基本假設:計算機安全的入侵行為可以通過檢查一個系統(tǒng)的審計記錄、從中辯識異常使用系統(tǒng)的入侵行為。這是一個基于規(guī)則的模式匹配系統(tǒng)，采用的是統(tǒng)計學的方法。缺點：沒有包含已知系統(tǒng)漏洞或系統(tǒng)攻擊方法的知識，而這些知識是非常有用的。21IDM模型這是在研究分布式IDS時提出的。將分散的原始數(shù)據(jù)轉(zhuǎn)換為高層次的有關入侵和被監(jiān)測環(huán)境的全部安全假設過程。將收集到的分散數(shù)據(jù)進行加工抽象和數(shù)據(jù)關聯(lián)操作。IDM將分布式系統(tǒng)看成一臺虛擬機，簡化了對跨越單機的入侵行為的識別。22SNMP-IDSM模型從管理者角度考慮IDS，目的是使IDS之間能夠順利交換信息，從而實現(xiàn)分布式協(xié)同檢測。需要一個公共語言和統(tǒng)一的數(shù)據(jù)表達格式（選用了SNMP為公共語言)定義了用來描述入侵事件的管理信息庫MIB,并將入侵事件分為原始事件和抽象事件兩層結構。采用5元組來描述攻擊事件，where,when,who,what,how.23入侵檢測系統(tǒng)的工作模式入侵檢測系統(tǒng)的工作模式體現(xiàn)為以下四步驟：從系統(tǒng)不同環(huán)節(jié)收集數(shù)據(jù)分析信息，試圖找到入侵活動的特征。自動對檢測的行為作出響應。記錄并報告檢測過程和結果。24入侵檢測系統(tǒng)的組成部分25入侵檢測系統(tǒng)的分類根據(jù)目標系統(tǒng)的類型：基于主機（Host-Based）的入侵檢測系統(tǒng)。通常，基于主機的入侵檢測系統(tǒng)可監(jiān)測系統(tǒng)、事件和操作系統(tǒng)下的安全記錄以及系統(tǒng)記錄。當有文件發(fā)生變化時，入侵檢測系統(tǒng)將新的記錄條目與攻擊標記相比較，看它們是否匹配。如果匹配，系統(tǒng)就會向管理員報警，以采取措施?；诰W(wǎng)絡（Network-Based）的入侵檢測系統(tǒng)?；诰W(wǎng)絡的入侵檢測系統(tǒng)使用原始網(wǎng)絡數(shù)據(jù)包作為數(shù)據(jù)源?；诰W(wǎng)絡的入侵檢測系統(tǒng)通常利用一個運行在混雜模式下的網(wǎng)絡適配器來實時監(jiān)視并分析通過網(wǎng)絡的所有通信業(yè)務。26入侵檢測系統(tǒng)的分類根據(jù)入侵檢測系統(tǒng)分析的數(shù)據(jù)來源：主機系統(tǒng)日志原始的網(wǎng)絡數(shù)據(jù)包應用程序的日志防火墻報警日志其它入侵檢測系統(tǒng)的報警信息27入侵檢測系統(tǒng)的分類根據(jù)入侵檢測分析方法：異常入侵檢測系統(tǒng)。異常入侵檢測系統(tǒng)利用被監(jiān)控系統(tǒng)正常行為的信息作為檢測系統(tǒng)中入侵行為和異?；顒拥囊罁?jù)。誤用入侵檢測系統(tǒng)。誤用入侵檢測系統(tǒng)根據(jù)已知入侵攻擊的信息（知識、模式等）來檢測系統(tǒng)中的入侵和攻擊。

28入侵檢測系統(tǒng)的分類根據(jù)檢測系統(tǒng)對入侵攻擊的響應方式：主動的入侵檢測系統(tǒng)。主動的入侵檢測系統(tǒng)在檢測出入侵后，可自動地對目標系統(tǒng)中的漏洞采取修補、強制可疑用戶（可能的入侵者）退出系統(tǒng)以及關閉相關服務等對策和響應措施。

被動的入侵檢測系統(tǒng)。被動的入侵檢測系統(tǒng)在檢測出對系統(tǒng)的入侵攻擊后只是產(chǎn)生報警信息通知系統(tǒng)安全管理員，至于之后的處理工作則由系統(tǒng)管理員來完成。

29入侵檢測系統(tǒng)的分類根據(jù)系統(tǒng)各個模塊運行的分布方式：集中式入侵檢測系統(tǒng)。系統(tǒng)的各個模塊包括數(shù)據(jù)的收集與分析以及響應都集中在一臺主機上運行，這種方式適用于網(wǎng)絡環(huán)境比較簡單的情況。分布式入侵檢測系統(tǒng)。系統(tǒng)的各個模塊分布在網(wǎng)絡中不同的計算機、設備上，一般來說分布性主要體現(xiàn)在數(shù)據(jù)收集模塊上，如果網(wǎng)絡環(huán)境比較復雜、數(shù)據(jù)量比較大，那么數(shù)據(jù)分析模塊也會分布，一般是按照層次性的原則進行組織的。30入侵檢測系統(tǒng)的構架管理者

代理

代理

代理……31入侵檢測系統(tǒng)的構架管理者定義管理代理的規(guī)則和策略。管理者依附的機器系統(tǒng)應該是安全的。管理者不應影響網(wǎng)絡的正常操作，一般安裝在單獨專用機器上。代理安裝在可以接受配置的主機上，負責監(jiān)視網(wǎng)絡安全。一般重要的機器都應該安裝代理。32入侵檢測系統(tǒng)的部署對于入侵檢測系統(tǒng)來說，其類型不同、應用環(huán)境不同，部署方案也就會有所差別。對于基于主機的入侵檢測系統(tǒng)來說，它一般是用于保護關鍵主機或服務器，因此只要將它部署到這些關鍵主機或服務器中即可。但是對于基于網(wǎng)絡的入侵檢測系統(tǒng)來說，根據(jù)網(wǎng)絡環(huán)境的不同，其部署方案也就會有所不同。33網(wǎng)絡中沒有部署防火墻時

在沒有防火墻的情況下，網(wǎng)絡入侵檢測系統(tǒng)通常安裝在網(wǎng)絡入口處的交換機或集線器上。在交換機上要利用交換機的端口鏡像功能。具體配置方法上各類交換機有差異。34網(wǎng)絡中沒有部署防火墻時

35網(wǎng)絡中部署防火墻時

3.入侵檢測流程入侵檢測流程:入侵檢測的過程入侵檢測系統(tǒng)的數(shù)據(jù)源入侵分析的概念入侵分析的方法模型告警與響應入侵檢測的過程信息收集信息分析告警與響應入侵檢測系統(tǒng)的數(shù)據(jù)源基于主機的數(shù)據(jù)源：

系統(tǒng)運行狀態(tài)信息

系統(tǒng)記帳信息

系統(tǒng)日志（Syslog）

C2級安全性審計信息

入侵檢測系統(tǒng)的數(shù)據(jù)源基于網(wǎng)絡的數(shù)據(jù)源：

SNMP信息

網(wǎng)絡通信包

入侵檢測系統(tǒng)的數(shù)據(jù)源應用程序日志文件

其他入侵檢測系統(tǒng)的報警信息

其他網(wǎng)絡設備和安全產(chǎn)品的信息

入侵分析的概念入侵檢測系統(tǒng)是一個復雜的數(shù)據(jù)處理系統(tǒng)，所涉及到的問題域中的各種關系也比較復雜。

從入侵檢測的角度來說，分析是指針對用戶和系統(tǒng)活動數(shù)據(jù)進行有效的組織、整理并提取特征，以鑒別出感興趣的行為。這種行為的鑒別可以實時進行，也可以事后分析，在很多情況下，事后的進一步分析是為了尋找行為的責任人。入侵分析的目的重要的威懾力：目標系統(tǒng)使用IDS進行入侵分析，對于入侵者來說具有很大的威懾力，因為這意味著攻擊行為可能會被發(fā)現(xiàn)或被追蹤。安全規(guī)劃和管理：分析過程中可能會發(fā)現(xiàn)在系統(tǒng)安全規(guī)劃和管理中存在的漏洞，安全管理員可以根據(jù)分析結果對系統(tǒng)進行重新配置，避免被攻擊者用來竊取信息或破壞系統(tǒng)。獲取入侵證據(jù)：入侵分析可以提供有關入侵行為詳細的、可信的證據(jù)，這些證據(jù)可以用于事后追究入侵者的責任。誤用入侵檢測方法模型模式庫攻擊者匹配報警誤用檢測方法模式匹配方法：基于模式匹配的誤用入侵檢測方法是最基本的誤用入侵檢測方法，該方法將已知的入侵特征轉(zhuǎn)換成模式，存放于模式數(shù)據(jù)庫中，在檢測過程中，模式匹配模型將到來的事件與入侵模式數(shù)據(jù)庫中的入侵模式進行匹配，如果匹配成功，則認為有入侵行為發(fā)生。專家系統(tǒng)方法：基于專家系統(tǒng)的誤用入侵檢測方法是最傳統(tǒng)、最通用的誤用入侵檢測方法。在諸如MIDAS、IDES、下一代IDES（NIDES）、DIDS和CMDS中都使用了這種方法。在MIDAS、IDES和NIDES中，應用的產(chǎn)品系統(tǒng)是P-BEST，該產(chǎn)品由AlanWhithurst設計。而DIDS和CMDS，使用的是CLIPS系統(tǒng)，是由美國國家航空和宇航局開發(fā)的系統(tǒng)。誤用檢測方法專家系統(tǒng)方法：原理：通過將安全專家的知識表示成If－Then結構的規(guī)則（if部分：構成入侵所要求的條件；then部分：發(fā)現(xiàn)入侵后采取的相應措施）形成專家知識庫，然后運用推理算法檢測入侵。注意：需要解決的主要問題是處理序列數(shù)據(jù)和知識庫的維護（只能檢測已知弱點）誤用檢測方法狀態(tài)轉(zhuǎn)換分析檢測原理：將入侵過程看作一個行為序列，該行為序列導致系統(tǒng)從初始狀態(tài)轉(zhuǎn)入被入侵狀態(tài)。分析時，需要針對每一種入侵方法確定系統(tǒng)的初始狀態(tài)和被入侵狀態(tài)，以及導致狀態(tài)轉(zhuǎn)換的轉(zhuǎn)換條件（導致系統(tǒng)進入被入侵狀態(tài)必須執(zhí)行的操作/特征事件）；然后用狀態(tài)轉(zhuǎn)換圖來表示每一個狀態(tài)和特征事件。缺點：不善于分析過分復雜的事件，也不能檢測與系統(tǒng)狀態(tài)無關的入侵狀態(tài)轉(zhuǎn)換方法S2狀態(tài)聲明狀態(tài)聲明狀態(tài)聲明S1S3有色Petri網(wǎng)方法●SYNSYN+ACKACKstartafter_synafter_syn+ackafter_ack結束狀態(tài)開始狀態(tài)異常入侵檢測模型異常行為正常行為命令系統(tǒng)調(diào)用活動度量CPU使用網(wǎng)絡連接……Denning的原始模型可操作模型平均和標準偏差模型多變量模型Markov處理模型量化分析閾值檢測啟發(fā)式閾值檢測基于目標的集成檢查量化分析和數(shù)據(jù)精簡統(tǒng)計度量

IDES/NIDES

Haystack統(tǒng)計分析的力度統(tǒng)計分析的不足非參統(tǒng)計度量非參統(tǒng)計異常檢測的前提是根據(jù)用戶特性把表示的用戶活動數(shù)據(jù)分成兩個明顯區(qū)別的群：一個指示異?；顒?，另一個指示正?；顒印８鞣N群集算法均可采用。這些算法包括利用簡單距離度量一個客體是否屬于一個群，以及比較復雜的概念式度量；即，根據(jù)一個條件集合對客體記分，并用這個分數(shù)來決定它是否屬于某一個特定群。不同的群集算法通常服務于不同的數(shù)據(jù)集和分析目標。統(tǒng)計分析的力度神經(jīng)網(wǎng)絡方法神經(jīng)網(wǎng)絡使用可適應學習技術來描述異常行為。這種非參分析技術運作在歷史訓練數(shù)據(jù)集上。歷史訓練數(shù)據(jù)集假定是不包含任何指示入侵或其它不希望的用戶行為。神經(jīng)網(wǎng)絡由許多稱為單元的簡單處理元素組成。這些單元通過使用加權的連接相互作用。一個神經(jīng)網(wǎng)絡知識根據(jù)單元和它們權值間連接編碼成網(wǎng)絡機構。實際的學習過程是通過改變權值和加入或移去連接進行的。使用神經(jīng)網(wǎng)絡進行入侵檢測的主要不足是神經(jīng)網(wǎng)絡不能為它們找到的任何異常提供任何解釋。異常檢測技術總結●概率統(tǒng)計異常檢測原理：每一個輪廓保存記錄主體當前行為，并定時將當前輪廓與歷史輪廓合并形成統(tǒng)計輪廓（更新），通過比較當前輪廓與統(tǒng)計輪廓來判定異常行為。優(yōu)點：可應用成熟的概率統(tǒng)計理論缺點：①由于用戶行為的復雜性，要想準確地匹配一個用戶的歷史行為非常困難，容易造成系統(tǒng)誤報和漏報；

②定義入侵閾值比較困難，閾值高則誤報率提高，閾值低則漏報率增高。

●神經(jīng)網(wǎng)絡異常檢測原理：對下一事件的預測錯誤率在一定程度上反映了用戶行為的異常程度。優(yōu)點：①更好地表達了變量間的非線性關系，能更好地處理原始數(shù)據(jù)的隨機特征，即不需要對這些數(shù)據(jù)做任何統(tǒng)計假設，并且能自動學習和更新；②有較好的抗干擾能力缺點：網(wǎng)絡拓撲結構以及各元素的權重很難確定其他檢測方法免疫系統(tǒng)方法遺傳算法基于代理的檢測數(shù)據(jù)挖掘方法告警與響應在完成系統(tǒng)安全狀況分析并確定系統(tǒng)所存在的問題之后，就要讓人們知道這些問題的存在，在某些情況下，還要另外采取行動。在入侵檢測處理過程模型中，這個階段稱之為響應期。理想的情況下，系統(tǒng)的這一部分應該具有豐富的響應功能特性，并且這些響應特性在針對安全管理小組中的每一位成員進行裁剪后，能夠為他們都提供服務。被動響應是系統(tǒng)僅僅簡單地記錄和報告所檢測出的問題。主動響應則是系統(tǒng)要為阻塞或影響進程而采取行動。響應的類型主動響應：入侵者采取反擊行動修正系統(tǒng)環(huán)境收集額外信息響應的類型被動響應：告警和通知

SNMPTrap和插件按策略配置響應立即行動適時行動本地的長期行動全局的長期行動聯(lián)動響應機制聯(lián)動響應向控制臺報告IDS安全檢測模塊聯(lián)動代理轉(zhuǎn)換模塊聯(lián)動控制臺事件分析模塊響應模塊路由器．．．防火墻發(fā)現(xiàn)攻擊634.基于主機的入侵檢測技術64基于主機的入侵檢測技術基于主機的入侵檢測技術:審計數(shù)據(jù)的獲取審計數(shù)據(jù)的預處理基于統(tǒng)計模型的入侵檢測技術基于專家系統(tǒng)的入侵檢測技術基于狀態(tài)轉(zhuǎn)移分析的入侵檢測技術基于完整性檢查的入侵檢測技術基于智能體的入侵檢測技術系統(tǒng)配置分析技術基于主機的入侵檢測技術65審計數(shù)據(jù)的獲取數(shù)據(jù)獲取劃分為直接監(jiān)測和間接監(jiān)測兩種方法。（1）直接監(jiān)測——直接監(jiān)測從數(shù)據(jù)產(chǎn)生或從屬的對象直接獲得數(shù)據(jù)。例如，為了直接監(jiān)測主機CPU的負荷，必須直接從主機相應內(nèi)核的結構獲得數(shù)據(jù)。要監(jiān)測inetd進程提供的網(wǎng)絡訪問服務，必須直接從inetd進程獲得關于那些訪問的數(shù)據(jù)；（2）間接監(jiān)測——從反映被監(jiān)測對象行為的某個源獲得數(shù)據(jù)。間接監(jiān)測主機CPU的負荷可以通過讀取一個記錄CPU負荷的日志文件獲得。間接監(jiān)測訪問網(wǎng)絡服務可以通過讀取inetd進程產(chǎn)生的日志文件或輔助程序獲得。間接監(jiān)測還可以通過查看發(fā)往主機的特定端口的網(wǎng)絡數(shù)據(jù)包?；谥鳈C的入侵檢測技術66審計數(shù)據(jù)的獲取入侵檢測時，直接監(jiān)測要好于間接監(jiān)測，原因如下：（1）間接數(shù)據(jù)源（如審計跟蹤）的數(shù)據(jù)可能在IDS使用這些數(shù)據(jù)之前被篡改。（2）一些事件可能沒有被間接數(shù)據(jù)源記錄。（3）使用間接監(jiān)測，數(shù)據(jù)是通過某些機制產(chǎn)生的，這些機制并不知道哪些數(shù)據(jù)是IDS真正需要的。（4）間接數(shù)據(jù)源通常在數(shù)據(jù)產(chǎn)生時刻和IDS能夠訪問這些數(shù)據(jù)的時刻之間引入時延。而直接監(jiān)測時延更短，確保IDS能更及時地做出反應?；谥鳈C的入侵檢測技術67審計數(shù)據(jù)的獲取系統(tǒng)日志與審計信息：

Acct或pacct：記錄每個用戶使用的命令記錄。

Aculog：保存著用戶撥出去的Modems記錄。

Loginlog：記錄一些不正常的Login記錄。

Wtmp：記錄當前登錄到系統(tǒng)中的所有用戶，這個文件伴隨著用戶進入和離開系統(tǒng)而不斷變化。

Syslog：重要的日志文件，使用syslogd守護程序來獲得日志信息。

Uucp：記錄的UUCP的信息，可以被本地UUCP活動更新，也可由遠程站點發(fā)起的動作修改?；谥鳈C的入侵檢測技術68審計數(shù)據(jù)的獲取系統(tǒng)日志與審計信息：

Acct或pacct：記錄每個用戶使用的命令記錄。

Aculog：保存著用戶撥出去的Modems記錄。

Loginlog：記錄一些不正常的Login記錄。

Wtmp：記錄當前登錄到系統(tǒng)中的所有用戶，這個文件伴隨著用戶進入和離開系統(tǒng)而不斷變化。

Syslog：重要的日志文件，使用syslogd守護程序來獲得日志信息。

Uucp：記錄的UUCP的信息，可以被本地UUCP活動更新，也可由遠程站點發(fā)起的動作修改。基于主機的入侵檢測技術69審計數(shù)據(jù)的獲取系統(tǒng)日志與審計信息：

Access_log：主要使用于運行了NCSAHTTPD的服務器，這記錄文件記錄有什么站點連接過該服務器。

Lastlog：記錄了用戶最近的Login記錄和每個用戶的最初目的地，有時是最后不成功的Login的記錄。

Messages：記錄輸出到系統(tǒng)控制臺的記錄，另外的信息由syslog來生成。

Sulog：記錄使用su命令的記錄。

Utmp：記錄用戶登錄和退出事件?；谥鳈C的入侵檢測技術70審計數(shù)據(jù)的獲取系統(tǒng)日志與審計信息：

ftp日志：執(zhí)行帶-l選項的ftpd能夠獲得記錄功能。

httpd日志：HTTPD服務器在日志中記錄每一個Web訪問記錄。

history日志：這個文件保存了用戶最近輸入命令的記錄。

secure：記錄一些使用遠程登錄及本地登錄的事件?；谥鳈C的入侵檢測技術71審計數(shù)據(jù)的預處理網(wǎng)絡入侵檢測系統(tǒng)分析數(shù)據(jù)的來源與數(shù)據(jù)結構的異構性，實際系統(tǒng)所提供數(shù)據(jù)的不完全相關性、冗余性、概念上的模糊性以及海量審計數(shù)據(jù)中可能存在大量的無意義信息等問題，使得系統(tǒng)提供的原始信息很難直接被檢測系統(tǒng)使用，而且還可能造成檢測結果的偏差，降低系統(tǒng)的檢測性能。在被檢測模塊使用之前，如何對不理想的原始數(shù)據(jù)進行有效的歸納、進行格式統(tǒng)一、轉(zhuǎn)換和處理，是網(wǎng)絡入侵檢測系統(tǒng)需要研究的關鍵問題之一?；谥鳈C的入侵檢測技術72審計數(shù)據(jù)的預處理通常數(shù)據(jù)預處理應該包括以下功能。

數(shù)據(jù)集成。

數(shù)據(jù)清理。

數(shù)據(jù)變換。

數(shù)據(jù)簡化。

數(shù)據(jù)融合。基于主機的入侵檢測技術73審計數(shù)據(jù)的預處理預處理方法

基于粗糙集理論的約簡法

基于粗糙集理論的屬性離散化

屬性的約簡基于主機的入侵檢測技術74基于統(tǒng)計模型的入侵檢測技術異常檢測模型異常檢測模型是基于正常行為的統(tǒng)計，根據(jù)在過去一段時間內(nèi)正常行為的觀測，得到當前活動觀測值的“可信區(qū)間”。異常檢測模型可以通過不斷學習使模型趨于精確、完善，相比于特權濫用檢測模型，能在一定程度上識別未知類型的攻擊及資源的非授權訪問。基于主機的入侵檢測技術75基于統(tǒng)計模型的入侵檢測技術在檢測系統(tǒng)中，從警報數(shù)據(jù)可獲取的并能衡量異常發(fā)生的原始特征數(shù)據(jù)如下。

客戶網(wǎng)絡發(fā)生的攻擊數(shù)目總量。

客戶網(wǎng)絡發(fā)起攻擊和受攻擊主機數(shù)目。

邊緣網(wǎng)絡（Internet）的發(fā)起攻擊和受攻擊主機和網(wǎng)絡數(shù)目。

用戶主機和網(wǎng)絡被攻擊的分布概率?；谥鳈C的入侵檢測技術76基于統(tǒng)計模型的入侵檢測技術基于上述分析，異常分析的特征值如下。

攻擊強度特征值：基于攻擊數(shù)目總量統(tǒng)計值的特征值。

攻擊實體量特征值：基于發(fā)起攻擊和被攻擊的主機數(shù)目總量的統(tǒng)計值的特征值。

攻擊分布特征值：基于攻擊數(shù)目最大值的特征值?；谥鳈C的入侵檢測技術77基于統(tǒng)計模型的入侵檢測技術根據(jù)這些特征值，異常判斷方法概括如下。

當攻擊實體量在正常區(qū)間內(nèi)，即檢測環(huán)境中沒有明顯的變化，采用攻擊強度判斷當前狀態(tài)是否異常。

當攻擊強度在正常區(qū)間內(nèi)，即攻擊強度表示沒有明顯變化，采用攻擊實體量判斷當前狀態(tài)是否異常。

當攻擊強度和攻擊實體量都不在正常區(qū)間，即表示兩者都發(fā)生明顯變化，采用比較兩者的變化幅度的方法判斷異常。

對上述方法判斷為正常的數(shù)據(jù)，采用離線計算攻擊分布概率判斷異常?；谥鳈C的入侵檢測技術78基于專家系統(tǒng)的入侵檢測技術基于規(guī)則的專家系統(tǒng)的工作過程基于主機的入侵檢測技術79基于專家系統(tǒng)的入侵檢測技術采用基于規(guī)則的方法，主要具備以下幾個優(yōu)點。

模塊化特征。規(guī)則使得知識容易封裝并不斷擴充。

解釋機制。通過規(guī)則容易建立解釋機，這是因為一個規(guī)則的前件指明了激活這個規(guī)則的條件。通過追蹤已觸發(fā)的規(guī)則，解釋機可以得到推出某個結論的推理鏈。

類似人類認知過程。規(guī)則似乎是模擬人類怎樣解決問題的一個自然方法。規(guī)則的簡單表示方法“if…then”使得容易解釋知識的結構。基于主機的入侵檢測技術80基于專家系統(tǒng)的入侵檢測技術基于規(guī)則的專家系統(tǒng)總體功能模塊基于主機的入侵檢測技術81基于專家系統(tǒng)的入侵檢測技術專家系統(tǒng)可有針對性地建立高效的入侵檢測系統(tǒng)，檢測準確度高。但在具體實現(xiàn)中，專家系統(tǒng)主要面臨如下問題。

專家知識獲取問題，即由于專家系統(tǒng)的檢測規(guī)則由安全專家用專家知識構造，因此難以科學地從各種入侵手段中抽象出全面的規(guī)則化知識。

規(guī)則動態(tài)更新問題，用戶行為模式的動態(tài)性要求入侵檢測系統(tǒng)具有自學習、自適應的功能?；谥鳈C的入侵檢測技術82基于專家系統(tǒng)的入侵檢測技術自適應入侵檢測專家系統(tǒng)模型結構圖基于主機的入侵檢測技術83基于狀態(tài)轉(zhuǎn)移分析的入侵檢測技術當前的基于特征的檢測方法過渡依賴審計數(shù)據(jù)，而對IP欺騙攻擊而言依賴審計數(shù)據(jù)的規(guī)則很難定義，狀態(tài)分析法的基本思想是將攻擊看成一個連續(xù)的、分步驟的并且各個步驟之間有一定關聯(lián)的過程。

在網(wǎng)絡中發(fā)生入侵時及時阻斷入侵行為。

防范可能還會進一步發(fā)生的類似攻擊行為?；谥鳈C的入侵檢測技術84基于狀態(tài)轉(zhuǎn)移分析的入侵檢測技術入侵檢測系統(tǒng)STAT通過分析系統(tǒng)的各種狀態(tài)，及狀態(tài)轉(zhuǎn)移過程中的各種特征操作制訂各種基于狀態(tài)轉(zhuǎn)移的入侵規(guī)則，完成系統(tǒng)的入侵檢測。在狀態(tài)轉(zhuǎn)移分析方法中，一個滲透過程可以看作是由攻擊者做出的一系列的行為而導致系統(tǒng)從某個初始狀態(tài)轉(zhuǎn)變?yōu)樽罱K某種被危害了的狀態(tài)。在這個狀態(tài)轉(zhuǎn)變過程，對應著系統(tǒng)的一連串行為，那些關鍵的行為就稱為特征行為。基于主機的入侵檢測技術85基于完整性檢查的入侵檢測技術通常入侵者入侵時都會對一些文件進行改動，因此采用對文件系統(tǒng)進行完整性檢驗的入侵檢測方式能夠檢測出對文件內(nèi)容的非法更改，從而可判定入侵，與其他檢測技術相結合將增強現(xiàn)有的入侵檢測能力。文件完整性檢驗根據(jù)用戶定制的配置文件對需要校驗的文件系統(tǒng)內(nèi)容進行散列計算，將生成的散列值與文件完整性數(shù)據(jù)庫中存儲的預先計算好的文件內(nèi)容的散列值進行比較。不一致則說明文件被非法更改，并可判定發(fā)生入侵。基于主機的入侵檢測技術86基于完整性檢查的入侵檢測技術文件完整性校驗文件備份主機B上存儲了主機A上的文件系統(tǒng)的備份。主機A上的文件完整性數(shù)據(jù)庫存儲的是需要被檢測的文件的各種inode屬性值和文件內(nèi)容的散列值。檢測時主機A首先與文件備份主機B認證，然后對A上的配置文件和預先生成的文件完整性數(shù)據(jù)庫的內(nèi)容分別進行散列計算，將生成的散列值傳輸給B進行校驗。如果該散列值與B上存儲的值不一致，則B將存儲的配置文件和文件完整性數(shù)據(jù)庫的備份加密傳輸給A，進行文件恢復，然后再進行完整性校驗?；谥鳈C的入侵檢測技術87基于完整性檢查的入侵檢測技術散列算法常用的散列算法有MD5，CRC16，CRC32，Snefru，MD4，MD2，SHA和Haval等。散列算法通常實現(xiàn)了將任意長度的消息m壓縮成一固定長度的散列值h，通過對散列值的校驗能檢測到對消息m的篡改、抵賴或偽造。它有下列特性。（1）易用性：對任意長度的m，計算h=H（m）很容易。（2）單向性：給定h，計算m，使得m=F（h）很困難。（3）無碰撞性：給定m，要找到另一個消息m’，滿足H（m’）=H（m）很困難，這就保證了對原文有改動，但很難使文件內(nèi)容的散列值保持不變。基于主機的入侵檢測技術88基于智能體的入侵檢測技術智能體的定義智能體又稱智能代理，是人工智能研究的新成果，它是在用戶沒有明確具體要求的情況下，根據(jù)用戶需要，能自動執(zhí)行用戶委托的任務的計算實體。像郵件過濾智能體、信息獲取智能體、桌面自動智能體等，將使Web站點、應用程序更加智能化和實用化。從技術的角度看，智能體是由各種技術支撐著的、許多實用的應用特性的集合，開發(fā)者正是使用這些應用特性來擴展應用的功能和價值，從而達到應用能自動執(zhí)行用戶委托的任務的目的?；谥鳈C的入侵檢測技術89基于智能體的入侵檢測技術智能體的特點（1）智能性（2）代理性（3）移動性（4）主動性（5）協(xié)作性基于主機的入侵檢測技術90基于智能體的入侵檢測技術在入侵檢測中，采用智能體采集和分析數(shù)據(jù)有以下主要特點。（1）因為智能體是獨立的運行實體，因此，不需改變其他的組件，即可向系統(tǒng)中增加或從系統(tǒng)中移走智能體。（2）如果一個智能體由于某種原因（如下線維護）而停止了工作，損失只局限在有限的范圍內(nèi)，不會造成整個系統(tǒng)的癱瘓，這就保證了系統(tǒng)的連續(xù)運行。（3）如果將智能體以分級結構的形式組織起來，可以使得系統(tǒng)的可伸縮性更好。（4）系統(tǒng)開銷小、智能體的編程可以很靈活。（5）自主智能體采集數(shù)據(jù)的方法很靈活，基于主機的入侵檢測技術91系統(tǒng)配置分析技術系統(tǒng)配置分析（又可稱為靜態(tài)分析）的技術目標是檢查系統(tǒng)是否已經(jīng)受到入侵活動的侵害，或者存在有可能被入侵的危險。靜態(tài)分析技術通過檢查系統(tǒng)的當前配置情況，例如，系統(tǒng)文件的內(nèi)容以及相關的數(shù)據(jù)表等，來判斷系統(tǒng)的當前安全狀況。之所以稱為“靜態(tài)”分析，是因為該技術只檢查系統(tǒng)的靜態(tài)特性，并不分析系統(tǒng)的活動情況?；谥鳈C的入侵檢測技術92系統(tǒng)配置分析技術配置分析技術的基本原理是基于如下兩個觀點：（1）一次成功的入侵活動可能會在系統(tǒng)中留下痕跡，這可以通過檢查系統(tǒng)當前的狀態(tài)來發(fā)現(xiàn)。（2）系統(tǒng)管理員和用戶經(jīng)常會錯誤地配置系統(tǒng)，從而給攻擊者以入侵的可乘之機。系統(tǒng)配置分析技術的一個最著名的實現(xiàn)工具是COPS系統(tǒng)（ComputerOracleandPasswordSystem）。COPS是功能強大的系統(tǒng)安全檢查工具，可檢查系統(tǒng)的安全漏洞并以郵件或文件的形式報告給用戶；還可以普通用戶的身份運行，進行一些常規(guī)檢查。COPS的檢查方法為以后的許多系統(tǒng)安全掃描商業(yè)軟件所借鑒。5.基于網(wǎng)絡的入侵檢測技術局域網(wǎng)和網(wǎng)絡設備的工作原理HUB工作原理網(wǎng)卡工作原理局域網(wǎng)工作過程SnifferSniffer是利用計算機的網(wǎng)絡接口截獲目的地為其他計算機的數(shù)據(jù)報文的一種工具。Sniffer要捕獲的東西必須是物理信號能收到的報文信息。所以，只要通知網(wǎng)卡接收其收到的所有包（該模式叫作混雜promiscuous模式：指網(wǎng)絡上的設備都對總線上傳送的所有數(shù)據(jù)進行偵聽，并不僅僅是針對它們自己的數(shù)據(jù)。），在共享HUB下就能接收到這個網(wǎng)段的所有數(shù)據(jù)包，但是在交換HUB下就只能接收自己的包和廣播包。Sniffer的正當用處主要是分析網(wǎng)絡的流量,以便找出所關心的網(wǎng)絡中潛在的問題。Sniffer作用在網(wǎng)絡基礎結構的底層。通常情況下，用戶并不直接和該層打交道，有些甚至不知道有這一層存在。共享和交換網(wǎng)絡環(huán)境下的數(shù)據(jù)捕獲要想捕獲流經(jīng)網(wǎng)卡的但不屬于自己主機的所有數(shù)據(jù)流，就必須繞開系統(tǒng)正常工作的處理機制，直接訪問網(wǎng)絡底層。首先需要將網(wǎng)卡的工作模式設置為混雜模式，使之可以接收目標地址不是自己的MAC地址的數(shù)據(jù)包，然后直接訪問數(shù)據(jù)鏈路層，獲取數(shù)據(jù)并由應用程序進行過濾處理。在UNIX系統(tǒng)中可以用Libpcap包捕獲函數(shù)庫直接與內(nèi)核驅(qū)動交互操作，實現(xiàn)對網(wǎng)絡數(shù)據(jù)包的捕獲。在Win32平臺上可以使用Winpcap，通過VxD虛擬設備驅(qū)動程序?qū)崿F(xiàn)網(wǎng)絡數(shù)據(jù)捕獲的功能。常用的包捕獲機制包捕獲機制系統(tǒng)平臺備注BPFBSD系列BerkeleyPacketFilterDLPISolaris,HP-UNIX，SCOUNIXDataLinkProviderInterfaceNITSunOS3NetworkInterfaceTapSNOOPIRIX

SNITSunOS4StreamsNetworkInterfaceTapSOCK-PACKETLinux

LSF>=Linux2.1.75LinuxSocketFilterDrainIRIX

BPF的模型及其接口緩存緩存過濾器過濾器緩存協(xié)議棧鏈路層驅(qū)動器鏈路層驅(qū)動器程序1程序3程序2過濾器鏈路層驅(qū)動器程序4Libpcap介紹

Libpcap的英文意思是PacketCapturelibrary，即數(shù)據(jù)包捕獲函數(shù)庫。它是勞倫斯伯克利國家實驗室網(wǎng)絡研究組開發(fā)的UNIX平臺上的一個包捕獲函數(shù)庫，其源代碼可從/libpcap.tar.z獲得。它是一個獨立于系統(tǒng)的用戶層包捕獲的API接口，為底層網(wǎng)絡監(jiān)測提供了一個可移植的框架。Windows平臺下的Winpcap庫

Libpcap過去只支持Unix,現(xiàn)在已經(jīng)可以支持Win32,這是通過在Wiin32系統(tǒng)中安裝Winpcap來實現(xiàn)的,其官方網(wǎng)站是http://winpcap.polito.it/。Winpcap的主要功能在于獨立于主機協(xié)議而發(fā)送和接收原始數(shù)據(jù)報，主要提供了四大功能：(1)捕獲原始數(shù)據(jù)報，包括在共享網(wǎng)絡上各主機發(fā)送/接收的以及相互之間交換的數(shù)據(jù)報；

(2)在數(shù)據(jù)報發(fā)往應用程序之前，按照自定義的規(guī)則將某些特殊的數(shù)據(jù)報過濾掉；(3)在網(wǎng)絡上發(fā)送原始的數(shù)據(jù)報；(4)收集網(wǎng)絡通信過程中的統(tǒng)計信息。

Winpcap結構示意圖

檢測引擎的設計網(wǎng)絡檢測引擎必須獲取和分析網(wǎng)絡上傳輸?shù)臄?shù)據(jù)包，才能得到可能入侵的信息。檢測引擎首先需要利用數(shù)據(jù)包截獲機制，截獲引擎所在網(wǎng)絡中的數(shù)據(jù)包。經(jīng)過過濾后，引擎需要采用一定的技術對數(shù)據(jù)包進行處理和分析，從而發(fā)現(xiàn)數(shù)據(jù)流中存在的入侵事件和行為。有效的處理和分析技術是檢測引擎的重要組成部分。檢測引擎主要的分析技術有模式匹配技術和協(xié)議分析技術等。模式匹配技術從網(wǎng)絡數(shù)據(jù)包的包頭開始和攻擊特征比較；如果比較結果相同，則檢測到一個可能的攻擊；如果比較結果不同，從網(wǎng)絡數(shù)據(jù)包中下一個位置重新開始比較；直到檢測到攻擊或網(wǎng)絡數(shù)據(jù)包中的所有字節(jié)匹配完畢，一個攻擊特征匹配結束。對于每一個攻擊特征，重復1步到4步的操作。直到每一個攻擊特征匹配完畢，對給定數(shù)據(jù)包的匹配完畢。協(xié)議分析技術網(wǎng)絡通信協(xié)議是一個高度格式化的、具有明確含義和取值的數(shù)據(jù)流，如果將協(xié)議分析和模式匹配方法結合起來，可以獲得更好的效率、更精確的結果。協(xié)議分析的功能是辨別數(shù)據(jù)包的協(xié)議類型，以便使用相應的數(shù)據(jù)分析程序來檢測數(shù)據(jù)包?？梢园阉械膮f(xié)議構成一棵協(xié)議樹，一個特定的協(xié)議是該樹結構中的一個結點，可以用一棵二叉樹來表示。一個網(wǎng)絡數(shù)據(jù)包的分析就是一條從根到某個葉子的路徑。在程序中動態(tài)地維護和配置此樹結構即可實現(xiàn)非常靈活的協(xié)議分析功能。協(xié)議分析有效利用了網(wǎng)絡協(xié)議的層次性和相關協(xié)議的知識快速地判斷攻擊特征是否存在。他的高效使得匹配的計算量大幅度減小。特征（signature）的基本概念

IDS中的特征就是指用于判別通訊信息種類的樣板數(shù)據(jù)，通常分為多種，以下是一些典型情況及識別方法：

來自保留IP地址的連接企圖：可通過檢查IP報頭的來源地址識別。帶有非法TCP標志組合的數(shù)據(jù)包：可通過對比TCP報頭中的標志集與已知正確和錯誤標記組合的不同點來識別。含有特殊病毒信息的Email：可通過對比每封Email的主題信息和病態(tài)Email的主題信息來識別，或者通過搜索特定名字的附近來識別。查詢負載中的DNS緩沖區(qū)溢出企圖：可通過解析DNS域及檢查每個域的長度來識別利用DNS域的緩沖區(qū)溢出企圖。還有另外一個識別方法是：在負載中搜索“殼代碼利用”（exploitshellcode）的序列代碼組合。通過對POP3服務器發(fā)出上千次同一命令而導致的DoS攻擊：通過跟蹤記錄某個命令連續(xù)發(fā)出的次數(shù)，看看是否超過了預設上限，而發(fā)出報警信息。未登錄情況下使用文件和目錄命令對FTP服務器的文件訪問攻擊：通過創(chuàng)建具備狀態(tài)跟蹤的特征樣板以監(jiān)視成功登錄的FTP對話、發(fā)現(xiàn)未經(jīng)驗證卻發(fā)命令的入侵企圖。

典型特征--報頭值

一般情況下，異常報頭值的來源有以下幾種：來自保留IP地址的連接企圖：可通過檢查IP報頭的來源地址識別。許多包含報頭值漏洞利用的入侵數(shù)據(jù)都會故意違反RFC的標準定義。許多包含錯誤代碼的不完善軟件也會產(chǎn)生違反RFC定義的報頭值數(shù)據(jù)。并非所有的操作系統(tǒng)和應用程序都能全面擁護RFC定義。隨著時間推移，執(zhí)行新功能的協(xié)議可能不被包含于現(xiàn)有RFC中。候選特征

只具有SYN和FIN標志集的數(shù)據(jù)包，這是公認的惡意行為跡象。沒有設置ACK標志，但卻具有不同確認號碼數(shù)值的數(shù)據(jù)包，而正常情況應該是0。來源端口和目標端口都被設置為21的數(shù)據(jù)包，經(jīng)常與FTP服務器關聯(lián)。這“種端口相同的情況一般被稱為“反身”（reflexive），除了個別時候如進行一些特別NetBIOS通訊外，正常情況下不應該出現(xiàn)這種現(xiàn)象?！胺瓷怼倍丝诒旧聿⒉贿`反TCP標準，但大多數(shù)情況下它們并非預期數(shù)值。例如在一個正常的FTP對話中，目標端口一般是21，而來源端口通常都高于1023。TCP窗口尺寸為1028，IP標識號碼在所有數(shù)據(jù)包中為39426。根據(jù)IPRFC的定義，這2類數(shù)值應在數(shù)據(jù)包間有所不同，因此，如果持續(xù)不變，就表明可疑。報頭值關鍵元素

IP地址，特別保留地址、非路由地址、廣播地址。不應被使用的端口號，特別是眾所周知的協(xié)議端口號和木馬端口號。異常信息包片斷。特殊TCP標志組合值。不應該經(jīng)常出現(xiàn)的ICMP字節(jié)或代碼。檢測實例-數(shù)據(jù)包捕獲08/19-10:35:22.409202:137->55:137UDPTTL:128TOS:0x0ID:19775IpLen:20DgmLen:78Len:50=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+08/19-10:35:23.152199:137->55:137UDPTTL:128TOS:0x0ID:19776IpLen:20DgmLen:78Len:50=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+08/19-10:35:32.467024:1221->90:80TCPTTL:128TOS:0x0ID:4643IpLen:20DgmLen:48******S*Seq:0x811D5ED1Ack:0x0Win:0xFFFFTcpLen:28TCPOptions(4)=>MSS:1460NOPNOPSackOK=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+…………檢測實例-端口掃描檢測實例-拒絕服務攻擊1126.入侵檢測的發(fā)展趨勢113入侵檢測的發(fā)展趨勢

入侵檢測技術現(xiàn)狀分析基于神經(jīng)網(wǎng)絡的入侵檢測技術基于數(shù)據(jù)挖掘的入侵檢測技術基于數(shù)據(jù)融合的入侵檢測技術基于計算機免疫學的入侵檢測技術分布式入侵檢測技術IPS技術入侵檢測的前景114入侵檢測技術現(xiàn)狀分析入侵檢測技術已經(jīng)成為了網(wǎng)絡安全技術的核心技術之一，目前的入侵檢測產(chǎn)品大多存在如下一些問題。（1）誤報和漏報的矛盾。（2）隱私和安全的矛盾。（3）被動分析與主動發(fā)現(xiàn)的矛盾。（4）海量信息與分析代價的矛盾。（5）功能性和可管理性的矛盾。（6）單一的產(chǎn)品與復雜的網(wǎng)絡應用的矛盾。115入侵檢測技術現(xiàn)狀分析除了異常入侵檢測方法、誤用入侵檢測方法這些傳統(tǒng)意義上的方法之外，20世紀90年代以來，不少研究人員提出了不少新的檢測算法，這些檢測算法在不同的方面試圖解決入侵檢測面臨的問題，例如，誤報、缺乏對未知攻擊的檢測能力、缺乏對變形攻擊的檢測能力、自適應性差等。這些新的檢測技術統(tǒng)稱為“入侵檢測的先進技術”。這些入侵檢測的先進技術與傳統(tǒng)的入侵檢測技術相比，既有聯(lián)系又有區(qū)別。116基于神經(jīng)網(wǎng)絡的入侵檢測技術神經(jīng)網(wǎng)絡在概念和處理方法上都很適合入侵檢測系統(tǒng)的要求，主要表現(xiàn)在（1）神經(jīng)網(wǎng)絡可以通過利用大量實例進行訓練的方法學會知識，獲得預測能力。（2）可以向神經(jīng)網(wǎng)絡展示新發(fā)現(xiàn)的入侵攻擊實例，通過再訓練使神經(jīng)網(wǎng)絡能夠?qū)π碌墓裟Ｊ疆a(chǎn)生反應，從而使入侵檢測系統(tǒng)具有自適應的能力。（3）當神經(jīng)網(wǎng)絡學會了系統(tǒng)正常工作模式后，能夠?qū)ζx系統(tǒng)正常工作的事件做出反應，進而可以發(fā)現(xiàn)一些新的攻擊模式。（4）經(jīng)過訓練后的神經(jīng)網(wǎng)絡將對模式的匹配和判斷轉(zhuǎn)換為數(shù)值的計算，從而提高了系統(tǒng)的處理速度，適合于實時處理。

117基于神經(jīng)網(wǎng)絡的入侵檢測技術基于神經(jīng)網(wǎng)絡的入侵檢測方法（1）基于BP神經(jīng)網(wǎng)絡的入侵檢測方法（2）基于粗糙集的入侵檢測方法（3）基于優(yōu)化自組織聚類的入侵檢測方法（4）基于遺傳算法的入侵檢測模型（5）基于進化的入侵檢測方法118基于數(shù)據(jù)挖掘的入侵檢測技術在入侵檢測系統(tǒng)中，數(shù)據(jù)挖掘通常是指從大量的數(shù)據(jù)中自動提取出模型的過程。數(shù)據(jù)挖掘技術在從大量數(shù)據(jù)中提取特征與規(guī)則方面具有很大的優(yōu)勢，將數(shù)據(jù)挖掘技術應用于入侵檢測中，利用數(shù)據(jù)挖掘技術的歸納能力，利用機器學習和數(shù)據(jù)挖掘算法，對審計數(shù)據(jù)進行分析，可以自動地從大量數(shù)據(jù)中發(fā)現(xiàn)新的模式，消除入侵檢測系統(tǒng)開發(fā)過程中的手工編碼入侵模式和正常行為輪廓，建立合理的檢測模型，從而克服目前系統(tǒng)存在的缺陷，建立一個準確性高的（低誤報率和低漏報率）、易于擴展的、適應性好、伸縮性好、智能的入侵檢測系統(tǒng)。119基于數(shù)據(jù)挖掘的入侵檢測技術數(shù)據(jù)挖掘在入侵檢測過程中的作用：分析網(wǎng)絡數(shù)據(jù)和審計數(shù)據(jù)，從中提取可以區(qū)分正常活動和入侵活動的特征。找出能揭示真正攻擊的反常的行為。從已知攻擊和正常活動中歸納出檢測模型，以便可以檢測出新的、或未知的攻擊。識別出長