《信息安全導(dǎo)論》課件2第8章

1

第八章入侵檢測2討論議題

1.入侵檢測概述

2.入侵檢測系統(tǒng)

3.入侵檢測流程

4.基于主機(jī)的入侵檢測技術(shù)

5.基于網(wǎng)絡(luò)的入侵檢測技術(shù)

6.入侵檢測的發(fā)展趨勢3

1.入侵檢測概述4入侵檢測的基本概念入侵檢測的產(chǎn)生與發(fā)展5入侵檢測的基本概念入侵檢測是最近10余年發(fā)展起來的一種動態(tài)的監(jiān)控、預(yù)防或抵御系統(tǒng)入侵行為的安全機(jī)制。主要通過監(jiān)控網(wǎng)絡(luò)、系統(tǒng)的狀態(tài)、行為以及系統(tǒng)的使用情況，來檢測系統(tǒng)用戶的越權(quán)使用以及系統(tǒng)外部的入侵者利用系統(tǒng)的安全缺陷對系統(tǒng)進(jìn)行入侵的企圖。入侵檢測系統(tǒng)：進(jìn)行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)（簡稱IDS）。6入侵檢測的作用監(jiān)控、分析用戶和系統(tǒng)的活動審計(jì)系統(tǒng)的配置和弱點(diǎn)評估關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性識別攻擊的活動模式對異常活動進(jìn)行統(tǒng)計(jì)分析對操作系統(tǒng)進(jìn)行審計(jì)跟蹤管理，識別違反政策的用戶活動

訪問控制受保護(hù)系統(tǒng)內(nèi)部有職權(quán)的人員

防火墻

入侵檢測系統(tǒng)漏洞掃描系統(tǒng)

外部訪問內(nèi)部訪問

監(jiān)視內(nèi)部人員

監(jiān)視外部人員

實(shí)時監(jiān)測系統(tǒng)定時掃描系統(tǒng)7入侵檢測的優(yōu)點(diǎn)提高信息安全構(gòu)造的其他部分的完整性提高系統(tǒng)的監(jiān)控從入口點(diǎn)到出口點(diǎn)跟蹤用戶的活動識別和匯報(bào)數(shù)據(jù)文件的變化偵測系統(tǒng)配置錯誤并糾正他們識別特殊攻擊類型，并向管理人員發(fā)出警報(bào)，進(jìn)行防御8入侵檢測的缺點(diǎn)不能彌補(bǔ)差的認(rèn)證機(jī)制如果沒有人的干預(yù)，不能管理攻擊調(diào)查不能知道安全策略的內(nèi)容不能彌補(bǔ)網(wǎng)絡(luò)協(xié)議上的弱點(diǎn)不能彌補(bǔ)系統(tǒng)提供質(zhì)量或完整性的問題不能分析一個堵塞的網(wǎng)絡(luò)9研究入侵檢測的必要性-1在實(shí)踐當(dāng)中，建立完全安全系統(tǒng)根本是不可能的。Miller給出一份有關(guān)現(xiàn)今流行的操作系統(tǒng)和應(yīng)用程序研究報(bào)告，指出軟件中不可能沒有缺陷。另外，設(shè)計(jì)和實(shí)現(xiàn)一個整體安全系統(tǒng)相當(dāng)困難。要將所有已安裝的帶安全缺陷的系統(tǒng)轉(zhuǎn)換成安全系統(tǒng)需要相當(dāng)長的時間。如果口令是弱口令并且已經(jīng)被破解，那么訪問控制措施不能夠阻止受到危害的授權(quán)用戶的信息丟失或者破壞。靜態(tài)安全措施不足以保護(hù)安全對象屬性。通常，在一個系統(tǒng)中，擔(dān)保安全特性的靜態(tài)方法可能過于簡單不充分，或者系統(tǒng)過度地限制用戶。例如，靜態(tài)技術(shù)未必能阻止違背安全策略造成瀏覽數(shù)據(jù)文件；而強(qiáng)制訪問控制僅允許用戶訪問具有合適的通道的數(shù)據(jù)，這樣就造成系統(tǒng)使用麻煩。因此，一種動態(tài)的方法如行為跟蹤對檢測和盡可能阻止安全突破是必要的。10研究入侵檢測的必要性-2加密技術(shù)方法本身存在著一定的問題。安全系統(tǒng)易受內(nèi)部用戶濫用特權(quán)的攻擊。安全訪問控制等級和用戶的使用效率成反比，訪問控制和保護(hù)模型本身存在一定的問題。在軟件工程中存在軟件測試不充足、軟件生命周期縮短、大型軟件復(fù)雜性等難解問題，工程領(lǐng)域的困難復(fù)雜性，使得軟件不可能沒有錯誤，而系統(tǒng)軟件容錯恰恰被表明是安全的弱點(diǎn)。修補(bǔ)系統(tǒng)軟件缺陷不能令人滿意。由于修補(bǔ)系統(tǒng)軟件缺陷，計(jì)算機(jī)系統(tǒng)不安全狀態(tài)將持續(xù)相當(dāng)長一段時間。11研究入侵檢測的必要性-3基于上述幾類問題的解決難度，一個實(shí)用的方法是建立比較容易實(shí)現(xiàn)的安全系統(tǒng)，同時按照一定的安全策略建立相應(yīng)的安全輔助系統(tǒng)。入侵檢測系統(tǒng)就是這樣一類系統(tǒng)，現(xiàn)在安全軟件的開發(fā)方式基本上就是按照這個思路進(jìn)行的。就目前系統(tǒng)安全狀況而言，系統(tǒng)存在被攻擊的可能性。如果系統(tǒng)遭到攻擊，只要盡可能地檢測到，甚至是實(shí)時地檢測到，然后采取適當(dāng)?shù)奶幚泶胧?。入侵檢測系統(tǒng)一般不是采取預(yù)防的措施以防止入侵事件的發(fā)生。入侵檢測非常必要，它將有效彌補(bǔ)傳統(tǒng)安全保護(hù)措施的不足。12入侵檢測的產(chǎn)生與發(fā)展

1980年，JamesAnderson在技術(shù)報(bào)告中指出，審計(jì)記錄可以用于識別計(jì)算機(jī)誤用。他提出了入侵嘗試（intrusionattempt）或威脅（threat）的概念，并將其定義為：潛在、有預(yù)謀的未經(jīng)授權(quán)訪問信息、操作信息，致使系統(tǒng)不可靠或無法使用的企圖。1983年，SRI用統(tǒng)計(jì)方法分析IBM大型機(jī)的SMF記錄?？偟膩碚f，由于80年代初期網(wǎng)絡(luò)還沒有今天這樣普遍和復(fù)雜，網(wǎng)絡(luò)之間也沒有完全連通，因此關(guān)于入侵檢測的研究主要是基于主機(jī)的事件日志分析。而且由于入侵行為在當(dāng)時是相當(dāng)少見的，因此入侵檢測在早期并沒有受到人們的重視。入侵檢測的早期研究13主機(jī)IDS研究1986年，SRI的DorothyE.Denning首次將入侵檢測的概念作為一種計(jì)算機(jī)系統(tǒng)安全防御措施提出，并且建立了一個獨(dú)立于系統(tǒng)、程序應(yīng)用環(huán)境和系統(tǒng)脆弱性的通用入侵檢測系統(tǒng)模型。1988年，SRI開始開發(fā)IDES（IntrusionDetectionExpertSystem）原型系統(tǒng)，它是一個實(shí)時入侵檢測系統(tǒng)。從1992年到1995年，SRI加強(qiáng)優(yōu)化IDES，在以太網(wǎng)的環(huán)境下實(shí)現(xiàn)了產(chǎn)品化的NIDES。1988年，LosAlamos國家實(shí)驗(yàn)室的TracorAppliedSciences和HaystackLaboratories采用異常檢測和基于Signature的檢測，開發(fā)了Haystack系統(tǒng)。1989年，LosAlamos國家實(shí)驗(yàn)室的HankVaccaro為NCSC和DOE開發(fā)了W&S系統(tǒng)。1989年，PRC公司開發(fā)了ISOA。

14網(wǎng)絡(luò)IDS研究1990年出現(xiàn)的NSM（NetworkSecurityMonitor，網(wǎng)絡(luò)安全監(jiān)視器），是UCD（Carlifornia大學(xué)的Davis分校）設(shè)計(jì)的面向局域網(wǎng)的IDS。1994年，美國空軍密碼支持中心的一群研究人員創(chuàng)建了一個健壯的網(wǎng)絡(luò)入侵檢測系統(tǒng)ASIM。1996年，UCD（Carlifornia大學(xué)的Davis分校）的ComputerSecurity實(shí)驗(yàn)室，以開發(fā)廣域網(wǎng)上的入侵檢測系統(tǒng)為目的，開發(fā)了GrIDS。1997年，Cisco公司兼并了Wheelgroup，并開始將網(wǎng)絡(luò)入侵檢測整合到Cisco路由器中。從1996年到1999年，SRI開始EMERALD的研究，它是NIDES的后繼者。15主機(jī)和網(wǎng)絡(luò)IDS的集成分布式入侵檢測系統(tǒng)（DIDS）最早試圖把基于主機(jī)的方法和網(wǎng)絡(luò)監(jiān)視方法集成在一起。DIDS的最初概念是采用集中式控制技術(shù)，向DIDS中心控制器發(fā)報(bào)告。DIDS主管安全管理員用戶界面專家系統(tǒng)通信管理器主機(jī)代理LAN代理主機(jī)事件發(fā)生器LAN事件發(fā)生器主機(jī)監(jiān)視器LAN監(jiān)視器162.入侵檢測系統(tǒng)17入侵檢測系統(tǒng):入侵檢測系統(tǒng)的基本模型入侵檢測系統(tǒng)的工作模式入侵檢測系統(tǒng)的分類入侵檢測系統(tǒng)的構(gòu)架入侵檢測系統(tǒng)的部署18入侵檢測系統(tǒng)入侵檢測系統(tǒng)的主要功能包括：監(jiān)視、分析用戶及系統(tǒng)的活動；系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)；識別反映已知進(jìn)攻的活動模式并向相關(guān)人士報(bào)警；對異常行為模式進(jìn)行統(tǒng)計(jì)分析；對重要系統(tǒng)和數(shù)據(jù)文件的完整性進(jìn)行評估；對操作系統(tǒng)進(jìn)行審計(jì)跟蹤管理；識別用戶違反安全策略的行為。入侵檢測系統(tǒng)的建立依賴于入侵檢測技術(shù)的發(fā)展，而入侵檢測技術(shù)的價值最終要通過實(shí)用的入侵檢測系統(tǒng)來檢驗(yàn)。19入侵檢測系統(tǒng)的基本模型通用入侵檢測模型（Denning模型）層次化入侵檢測模型（IDM）管理式入侵檢測模型（SNMP-IDSM）

20通用入侵檢測模型（Denning模型）基本假設(shè):計(jì)算機(jī)安全的入侵行為可以通過檢查一個系統(tǒng)的審計(jì)記錄、從中辯識異常使用系統(tǒng)的入侵行為。這是一個基于規(guī)則的模式匹配系統(tǒng)，采用的是統(tǒng)計(jì)學(xué)的方法。缺點(diǎn)：沒有包含已知系統(tǒng)漏洞或系統(tǒng)攻擊方法的知識，而這些知識是非常有用的。21IDM模型這是在研究分布式IDS時提出的。將分散的原始數(shù)據(jù)轉(zhuǎn)換為高層次的有關(guān)入侵和被監(jiān)測環(huán)境的全部安全假設(shè)過程。將收集到的分散數(shù)據(jù)進(jìn)行加工抽象和數(shù)據(jù)關(guān)聯(lián)操作。IDM將分布式系統(tǒng)看成一臺虛擬機(jī)，簡化了對跨越單機(jī)的入侵行為的識別。22SNMP-IDSM模型從管理者角度考慮IDS，目的是使IDS之間能夠順利交換信息，從而實(shí)現(xiàn)分布式協(xié)同檢測。需要一個公共語言和統(tǒng)一的數(shù)據(jù)表達(dá)格式（選用了SNMP為公共語言)定義了用來描述入侵事件的管理信息庫MIB,并將入侵事件分為原始事件和抽象事件兩層結(jié)構(gòu)。采用5元組來描述攻擊事件，where,when,who,what,how.23入侵檢測系統(tǒng)的工作模式入侵檢測系統(tǒng)的工作模式體現(xiàn)為以下四步驟：從系統(tǒng)不同環(huán)節(jié)收集數(shù)據(jù)分析信息，試圖找到入侵活動的特征。自動對檢測的行為作出響應(yīng)。記錄并報(bào)告檢測過程和結(jié)果。24入侵檢測系統(tǒng)的組成部分25入侵檢測系統(tǒng)的分類根據(jù)目標(biāo)系統(tǒng)的類型：基于主機(jī)（Host-Based）的入侵檢測系統(tǒng)。通常，基于主機(jī)的入侵檢測系統(tǒng)可監(jiān)測系統(tǒng)、事件和操作系統(tǒng)下的安全記錄以及系統(tǒng)記錄。當(dāng)有文件發(fā)生變化時，入侵檢測系統(tǒng)將新的記錄條目與攻擊標(biāo)記相比較，看它們是否匹配。如果匹配，系統(tǒng)就會向管理員報(bào)警，以采取措施?；诰W(wǎng)絡(luò)（Network-Based）的入侵檢測系統(tǒng)?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)使用原始網(wǎng)絡(luò)數(shù)據(jù)包作為數(shù)據(jù)源?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)通常利用一個運(yùn)行在混雜模式下的網(wǎng)絡(luò)適配器來實(shí)時監(jiān)視并分析通過網(wǎng)絡(luò)的所有通信業(yè)務(wù)。26入侵檢測系統(tǒng)的分類根據(jù)入侵檢測系統(tǒng)分析的數(shù)據(jù)來源：主機(jī)系統(tǒng)日志原始的網(wǎng)絡(luò)數(shù)據(jù)包應(yīng)用程序的日志防火墻報(bào)警日志其它入侵檢測系統(tǒng)的報(bào)警信息27入侵檢測系統(tǒng)的分類根據(jù)入侵檢測分析方法：異常入侵檢測系統(tǒng)。異常入侵檢測系統(tǒng)利用被監(jiān)控系統(tǒng)正常行為的信息作為檢測系統(tǒng)中入侵行為和異?；顒拥囊罁?jù)。誤用入侵檢測系統(tǒng)。誤用入侵檢測系統(tǒng)根據(jù)已知入侵攻擊的信息（知識、模式等）來檢測系統(tǒng)中的入侵和攻擊。

28入侵檢測系統(tǒng)的分類根據(jù)檢測系統(tǒng)對入侵攻擊的響應(yīng)方式：主動的入侵檢測系統(tǒng)。主動的入侵檢測系統(tǒng)在檢測出入侵后，可自動地對目標(biāo)系統(tǒng)中的漏洞采取修補(bǔ)、強(qiáng)制可疑用戶（可能的入侵者）退出系統(tǒng)以及關(guān)閉相關(guān)服務(wù)等對策和響應(yīng)措施。

被動的入侵檢測系統(tǒng)。被動的入侵檢測系統(tǒng)在檢測出對系統(tǒng)的入侵攻擊后只是產(chǎn)生報(bào)警信息通知系統(tǒng)安全管理員，至于之后的處理工作則由系統(tǒng)管理員來完成。

29入侵檢測系統(tǒng)的分類根據(jù)系統(tǒng)各個模塊運(yùn)行的分布方式：集中式入侵檢測系統(tǒng)。系統(tǒng)的各個模塊包括數(shù)據(jù)的收集與分析以及響應(yīng)都集中在一臺主機(jī)上運(yùn)行，這種方式適用于網(wǎng)絡(luò)環(huán)境比較簡單的情況。分布式入侵檢測系統(tǒng)。系統(tǒng)的各個模塊分布在網(wǎng)絡(luò)中不同的計(jì)算機(jī)、設(shè)備上，一般來說分布性主要體現(xiàn)在數(shù)據(jù)收集模塊上，如果網(wǎng)絡(luò)環(huán)境比較復(fù)雜、數(shù)據(jù)量比較大，那么數(shù)據(jù)分析模塊也會分布，一般是按照層次性的原則進(jìn)行組織的。30入侵檢測系統(tǒng)的構(gòu)架管理者

代理

代理

代理……31入侵檢測系統(tǒng)的構(gòu)架管理者定義管理代理的規(guī)則和策略。管理者依附的機(jī)器系統(tǒng)應(yīng)該是安全的。管理者不應(yīng)影響網(wǎng)絡(luò)的正常操作，一般安裝在單獨(dú)專用機(jī)器上。代理安裝在可以接受配置的主機(jī)上，負(fù)責(zé)監(jiān)視網(wǎng)絡(luò)安全。一般重要的機(jī)器都應(yīng)該安裝代理。32入侵檢測系統(tǒng)的部署對于入侵檢測系統(tǒng)來說，其類型不同、應(yīng)用環(huán)境不同，部署方案也就會有所差別。對于基于主機(jī)的入侵檢測系統(tǒng)來說，它一般是用于保護(hù)關(guān)鍵主機(jī)或服務(wù)器，因此只要將它部署到這些關(guān)鍵主機(jī)或服務(wù)器中即可。但是對于基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)來說，根據(jù)網(wǎng)絡(luò)環(huán)境的不同，其部署方案也就會有所不同。33網(wǎng)絡(luò)中沒有部署防火墻時

在沒有防火墻的情況下，網(wǎng)絡(luò)入侵檢測系統(tǒng)通常安裝在網(wǎng)絡(luò)入口處的交換機(jī)或集線器上。在交換機(jī)上要利用交換機(jī)的端口鏡像功能。具體配置方法上各類交換機(jī)有差異。34網(wǎng)絡(luò)中沒有部署防火墻時

35網(wǎng)絡(luò)中部署防火墻時

3.入侵檢測流程入侵檢測流程:入侵檢測的過程入侵檢測系統(tǒng)的數(shù)據(jù)源入侵分析的概念入侵分析的方法模型告警與響應(yīng)入侵檢測的過程信息收集信息分析告警與響應(yīng)入侵檢測系統(tǒng)的數(shù)據(jù)源基于主機(jī)的數(shù)據(jù)源：

系統(tǒng)運(yùn)行狀態(tài)信息

系統(tǒng)記帳信息

系統(tǒng)日志（Syslog）

C2級安全性審計(jì)信息

入侵檢測系統(tǒng)的數(shù)據(jù)源基于網(wǎng)絡(luò)的數(shù)據(jù)源：

SNMP信息

網(wǎng)絡(luò)通信包

入侵檢測系統(tǒng)的數(shù)據(jù)源應(yīng)用程序日志文件

其他入侵檢測系統(tǒng)的報(bào)警信息

其他網(wǎng)絡(luò)設(shè)備和安全產(chǎn)品的信息

入侵分析的概念入侵檢測系統(tǒng)是一個復(fù)雜的數(shù)據(jù)處理系統(tǒng)，所涉及到的問題域中的各種關(guān)系也比較復(fù)雜。

從入侵檢測的角度來說，分析是指針對用戶和系統(tǒng)活動數(shù)據(jù)進(jìn)行有效的組織、整理并提取特征，以鑒別出感興趣的行為。這種行為的鑒別可以實(shí)時進(jìn)行，也可以事后分析，在很多情況下，事后的進(jìn)一步分析是為了尋找行為的責(zé)任人。入侵分析的目的重要的威懾力：目標(biāo)系統(tǒng)使用IDS進(jìn)行入侵分析，對于入侵者來說具有很大的威懾力，因?yàn)檫@意味著攻擊行為可能會被發(fā)現(xiàn)或被追蹤。安全規(guī)劃和管理：分析過程中可能會發(fā)現(xiàn)在系統(tǒng)安全規(guī)劃和管理中存在的漏洞，安全管理員可以根據(jù)分析結(jié)果對系統(tǒng)進(jìn)行重新配置，避免被攻擊者用來竊取信息或破壞系統(tǒng)。獲取入侵證據(jù)：入侵分析可以提供有關(guān)入侵行為詳細(xì)的、可信的證據(jù)，這些證據(jù)可以用于事后追究入侵者的責(zé)任。誤用入侵檢測方法模型模式庫攻擊者匹配報(bào)警誤用檢測方法模式匹配方法：基于模式匹配的誤用入侵檢測方法是最基本的誤用入侵檢測方法，該方法將已知的入侵特征轉(zhuǎn)換成模式，存放于模式數(shù)據(jù)庫中，在檢測過程中，模式匹配模型將到來的事件與入侵模式數(shù)據(jù)庫中的入侵模式進(jìn)行匹配，如果匹配成功，則認(rèn)為有入侵行為發(fā)生。專家系統(tǒng)方法：基于專家系統(tǒng)的誤用入侵檢測方法是最傳統(tǒng)、最通用的誤用入侵檢測方法。在諸如MIDAS、IDES、下一代IDES（NIDES）、DIDS和CMDS中都使用了這種方法。在MIDAS、IDES和NIDES中，應(yīng)用的產(chǎn)品系統(tǒng)是P-BEST，該產(chǎn)品由AlanWhithurst設(shè)計(jì)。而DIDS和CMDS，使用的是CLIPS系統(tǒng)，是由美國國家航空和宇航局開發(fā)的系統(tǒng)。誤用檢測方法專家系統(tǒng)方法：原理：通過將安全專家的知識表示成If－Then結(jié)構(gòu)的規(guī)則（if部分：構(gòu)成入侵所要求的條件；then部分：發(fā)現(xiàn)入侵后采取的相應(yīng)措施）形成專家知識庫，然后運(yùn)用推理算法檢測入侵。注意：需要解決的主要問題是處理序列數(shù)據(jù)和知識庫的維護(hù)（只能檢測已知弱點(diǎn)）誤用檢測方法狀態(tài)轉(zhuǎn)換分析檢測原理：將入侵過程看作一個行為序列，該行為序列導(dǎo)致系統(tǒng)從初始狀態(tài)轉(zhuǎn)入被入侵狀態(tài)。分析時，需要針對每一種入侵方法確定系統(tǒng)的初始狀態(tài)和被入侵狀態(tài)，以及導(dǎo)致狀態(tài)轉(zhuǎn)換的轉(zhuǎn)換條件（導(dǎo)致系統(tǒng)進(jìn)入被入侵狀態(tài)必須執(zhí)行的操作/特征事件）；然后用狀態(tài)轉(zhuǎn)換圖來表示每一個狀態(tài)和特征事件。缺點(diǎn)：不善于分析過分復(fù)雜的事件，也不能檢測與系統(tǒng)狀態(tài)無關(guān)的入侵狀態(tài)轉(zhuǎn)換方法S2狀態(tài)聲明狀態(tài)聲明狀態(tài)聲明S1S3有色Petri網(wǎng)方法●SYNSYN+ACKACKstartafter_synafter_syn+ackafter_ack結(jié)束狀態(tài)開始狀態(tài)異常入侵檢測模型異常行為正常行為命令系統(tǒng)調(diào)用活動度量CPU使用網(wǎng)絡(luò)連接……Denning的原始模型可操作模型平均和標(biāo)準(zhǔn)偏差模型多變量模型Markov處理模型量化分析閾值檢測啟發(fā)式閾值檢測基于目標(biāo)的集成檢查量化分析和數(shù)據(jù)精簡統(tǒng)計(jì)度量

IDES/NIDES

Haystack統(tǒng)計(jì)分析的力度統(tǒng)計(jì)分析的不足非參統(tǒng)計(jì)度量非參統(tǒng)計(jì)異常檢測的前提是根據(jù)用戶特性把表示的用戶活動數(shù)據(jù)分成兩個明顯區(qū)別的群：一個指示異?；顒?，另一個指示正?；顒?。各種群集算法均可采用。這些算法包括利用簡單距離度量一個客體是否屬于一個群，以及比較復(fù)雜的概念式度量；即，根據(jù)一個條件集合對客體記分，并用這個分?jǐn)?shù)來決定它是否屬于某一個特定群。不同的群集算法通常服務(wù)于不同的數(shù)據(jù)集和分析目標(biāo)。統(tǒng)計(jì)分析的力度神經(jīng)網(wǎng)絡(luò)方法神經(jīng)網(wǎng)絡(luò)使用可適應(yīng)學(xué)習(xí)技術(shù)來描述異常行為。這種非參分析技術(shù)運(yùn)作在歷史訓(xùn)練數(shù)據(jù)集上。歷史訓(xùn)練數(shù)據(jù)集假定是不包含任何指示入侵或其它不希望的用戶行為。神經(jīng)網(wǎng)絡(luò)由許多稱為單元的簡單處理元素組成。這些單元通過使用加權(quán)的連接相互作用。一個神經(jīng)網(wǎng)絡(luò)知識根據(jù)單元和它們權(quán)值間連接編碼成網(wǎng)絡(luò)機(jī)構(gòu)。實(shí)際的學(xué)習(xí)過程是通過改變權(quán)值和加入或移去連接進(jìn)行的。使用神經(jīng)網(wǎng)絡(luò)進(jìn)行入侵檢測的主要不足是神經(jīng)網(wǎng)絡(luò)不能為它們找到的任何異常提供任何解釋。異常檢測技術(shù)總結(jié)●概率統(tǒng)計(jì)異常檢測原理：每一個輪廓保存記錄主體當(dāng)前行為，并定時將當(dāng)前輪廓與歷史輪廓合并形成統(tǒng)計(jì)輪廓（更新），通過比較當(dāng)前輪廓與統(tǒng)計(jì)輪廓來判定異常行為。優(yōu)點(diǎn)：可應(yīng)用成熟的概率統(tǒng)計(jì)理論缺點(diǎn)：①由于用戶行為的復(fù)雜性，要想準(zhǔn)確地匹配一個用戶的歷史行為非常困難，容易造成系統(tǒng)誤報(bào)和漏報(bào)；

②定義入侵閾值比較困難，閾值高則誤報(bào)率提高，閾值低則漏報(bào)率增高。

●神經(jīng)網(wǎng)絡(luò)異常檢測原理：對下一事件的預(yù)測錯誤率在一定程度上反映了用戶行為的異常程度。優(yōu)點(diǎn)：①更好地表達(dá)了變量間的非線性關(guān)系，能更好地處理原始數(shù)據(jù)的隨機(jī)特征，即不需要對這些數(shù)據(jù)做任何統(tǒng)計(jì)假設(shè)，并且能自動學(xué)習(xí)和更新；②有較好的抗干擾能力缺點(diǎn)：網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)以及各元素的權(quán)重很難確定其他檢測方法免疫系統(tǒng)方法遺傳算法基于代理的檢測數(shù)據(jù)挖掘方法告警與響應(yīng)在完成系統(tǒng)安全狀況分析并確定系統(tǒng)所存在的問題之后，就要讓人們知道這些問題的存在，在某些情況下，還要另外采取行動。在入侵檢測處理過程模型中，這個階段稱之為響應(yīng)期。理想的情況下，系統(tǒng)的這一部分應(yīng)該具有豐富的響應(yīng)功能特性，并且這些響應(yīng)特性在針對安全管理小組中的每一位成員進(jìn)行裁剪后，能夠?yàn)樗麄兌继峁┓?wù)。被動響應(yīng)是系統(tǒng)僅僅簡單地記錄和報(bào)告所檢測出的問題。主動響應(yīng)則是系統(tǒng)要為阻塞或影響進(jìn)程而采取行動。響應(yīng)的類型主動響應(yīng)：入侵者采取反擊行動修正系統(tǒng)環(huán)境收集額外信息響應(yīng)的類型被動響應(yīng)：告警和通知

SNMPTrap和插件按策略配置響應(yīng)立即行動適時行動本地的長期行動全局的長期行動聯(lián)動響應(yīng)機(jī)制聯(lián)動響應(yīng)向控制臺報(bào)告IDS安全檢測模塊聯(lián)動代理轉(zhuǎn)換模塊聯(lián)動控制臺事件分析模塊響應(yīng)模塊路由器．．．防火墻發(fā)現(xiàn)攻擊634.基于主機(jī)的入侵檢測技術(shù)64基于主機(jī)的入侵檢測技術(shù)基于主機(jī)的入侵檢測技術(shù):審計(jì)數(shù)據(jù)的獲取審計(jì)數(shù)據(jù)的預(yù)處理基于統(tǒng)計(jì)模型的入侵檢測技術(shù)基于專家系統(tǒng)的入侵檢測技術(shù)基于狀態(tài)轉(zhuǎn)移分析的入侵檢測技術(shù)基于完整性檢查的入侵檢測技術(shù)基于智能體的入侵檢測技術(shù)系統(tǒng)配置分析技術(shù)基于主機(jī)的入侵檢測技術(shù)65審計(jì)數(shù)據(jù)的獲取數(shù)據(jù)獲取劃分為直接監(jiān)測和間接監(jiān)測兩種方法。（1）直接監(jiān)測——直接監(jiān)測從數(shù)據(jù)產(chǎn)生或從屬的對象直接獲得數(shù)據(jù)。例如，為了直接監(jiān)測主機(jī)CPU的負(fù)荷，必須直接從主機(jī)相應(yīng)內(nèi)核的結(jié)構(gòu)獲得數(shù)據(jù)。要監(jiān)測inetd進(jìn)程提供的網(wǎng)絡(luò)訪問服務(wù)，必須直接從inetd進(jìn)程獲得關(guān)于那些訪問的數(shù)據(jù)；（2）間接監(jiān)測——從反映被監(jiān)測對象行為的某個源獲得數(shù)據(jù)。間接監(jiān)測主機(jī)CPU的負(fù)荷可以通過讀取一個記錄CPU負(fù)荷的日志文件獲得。間接監(jiān)測訪問網(wǎng)絡(luò)服務(wù)可以通過讀取inetd進(jìn)程產(chǎn)生的日志文件或輔助程序獲得。間接監(jiān)測還可以通過查看發(fā)往主機(jī)的特定端口的網(wǎng)絡(luò)數(shù)據(jù)包。基于主機(jī)的入侵檢測技術(shù)66審計(jì)數(shù)據(jù)的獲取入侵檢測時，直接監(jiān)測要好于間接監(jiān)測，原因如下：（1）間接數(shù)據(jù)源（如審計(jì)跟蹤）的數(shù)據(jù)可能在IDS使用這些數(shù)據(jù)之前被篡改。（2）一些事件可能沒有被間接數(shù)據(jù)源記錄。（3）使用間接監(jiān)測，數(shù)據(jù)是通過某些機(jī)制產(chǎn)生的，這些機(jī)制并不知道哪些數(shù)據(jù)是IDS真正需要的。（4）間接數(shù)據(jù)源通常在數(shù)據(jù)產(chǎn)生時刻和IDS能夠訪問這些數(shù)據(jù)的時刻之間引入時延。而直接監(jiān)測時延更短，確保IDS能更及時地做出反應(yīng)?；谥鳈C(jī)的入侵檢測技術(shù)67審計(jì)數(shù)據(jù)的獲取系統(tǒng)日志與審計(jì)信息：

Acct或pacct：記錄每個用戶使用的命令記錄。

Aculog：保存著用戶撥出去的Modems記錄。

Loginlog：記錄一些不正常的Login記錄。

Wtmp：記錄當(dāng)前登錄到系統(tǒng)中的所有用戶，這個文件伴隨著用戶進(jìn)入和離開系統(tǒng)而不斷變化。

Syslog：重要的日志文件，使用syslogd守護(hù)程序來獲得日志信息。

Uucp：記錄的UUCP的信息，可以被本地UUCP活動更新，也可由遠(yuǎn)程站點(diǎn)發(fā)起的動作修改?；谥鳈C(jī)的入侵檢測技術(shù)68審計(jì)數(shù)據(jù)的獲取系統(tǒng)日志與審計(jì)信息：

Acct或pacct：記錄每個用戶使用的命令記錄。

Aculog：保存著用戶撥出去的Modems記錄。

Loginlog：記錄一些不正常的Login記錄。

Wtmp：記錄當(dāng)前登錄到系統(tǒng)中的所有用戶，這個文件伴隨著用戶進(jìn)入和離開系統(tǒng)而不斷變化。

Syslog：重要的日志文件，使用syslogd守護(hù)程序來獲得日志信息。

Uucp：記錄的UUCP的信息，可以被本地UUCP活動更新，也可由遠(yuǎn)程站點(diǎn)發(fā)起的動作修改?；谥鳈C(jī)的入侵檢測技術(shù)69審計(jì)數(shù)據(jù)的獲取系統(tǒng)日志與審計(jì)信息：

Access_log：主要使用于運(yùn)行了NCSAHTTPD的服務(wù)器，這記錄文件記錄有什么站點(diǎn)連接過該服務(wù)器。

Lastlog：記錄了用戶最近的Login記錄和每個用戶的最初目的地，有時是最后不成功的Login的記錄。

Messages：記錄輸出到系統(tǒng)控制臺的記錄，另外的信息由syslog來生成。

Sulog：記錄使用su命令的記錄。

Utmp：記錄用戶登錄和退出事件?；谥鳈C(jī)的入侵檢測技術(shù)70審計(jì)數(shù)據(jù)的獲取系統(tǒng)日志與審計(jì)信息：

ftp日志：執(zhí)行帶-l選項(xiàng)的ftpd能夠獲得記錄功能。

httpd日志：HTTPD服務(wù)器在日志中記錄每一個Web訪問記錄。

history日志：這個文件保存了用戶最近輸入命令的記錄。

secure：記錄一些使用遠(yuǎn)程登錄及本地登錄的事件?；谥鳈C(jī)的入侵檢測技術(shù)71審計(jì)數(shù)據(jù)的預(yù)處理網(wǎng)絡(luò)入侵檢測系統(tǒng)分析數(shù)據(jù)的來源與數(shù)據(jù)結(jié)構(gòu)的異構(gòu)性，實(shí)際系統(tǒng)所提供數(shù)據(jù)的不完全相關(guān)性、冗余性、概念上的模糊性以及海量審計(jì)數(shù)據(jù)中可能存在大量的無意義信息等問題，使得系統(tǒng)提供的原始信息很難直接被檢測系統(tǒng)使用，而且還可能造成檢測結(jié)果的偏差，降低系統(tǒng)的檢測性能。在被檢測模塊使用之前，如何對不理想的原始數(shù)據(jù)進(jìn)行有效的歸納、進(jìn)行格式統(tǒng)一、轉(zhuǎn)換和處理，是網(wǎng)絡(luò)入侵檢測系統(tǒng)需要研究的關(guān)鍵問題之一?；谥鳈C(jī)的入侵檢測技術(shù)72審計(jì)數(shù)據(jù)的預(yù)處理通常數(shù)據(jù)預(yù)處理應(yīng)該包括以下功能。

數(shù)據(jù)集成。

數(shù)據(jù)清理。

數(shù)據(jù)變換。

數(shù)據(jù)簡化。

數(shù)據(jù)融合。基于主機(jī)的入侵檢測技術(shù)73審計(jì)數(shù)據(jù)的預(yù)處理預(yù)處理方法

基于粗糙集理論的約簡法

基于粗糙集理論的屬性離散化

屬性的約簡基于主機(jī)的入侵檢測技術(shù)74基于統(tǒng)計(jì)模型的入侵檢測技術(shù)異常檢測模型異常檢測模型是基于正常行為的統(tǒng)計(jì)，根據(jù)在過去一段時間內(nèi)正常行為的觀測，得到當(dāng)前活動觀測值的“可信區(qū)間”。異常檢測模型可以通過不斷學(xué)習(xí)使模型趨于精確、完善，相比于特權(quán)濫用檢測模型，能在一定程度上識別未知類型的攻擊及資源的非授權(quán)訪問?；谥鳈C(jī)的入侵檢測技術(shù)75基于統(tǒng)計(jì)模型的入侵檢測技術(shù)在檢測系統(tǒng)中，從警報(bào)數(shù)據(jù)可獲取的并能衡量異常發(fā)生的原始特征數(shù)據(jù)如下。

客戶網(wǎng)絡(luò)發(fā)生的攻擊數(shù)目總量。

客戶網(wǎng)絡(luò)發(fā)起攻擊和受攻擊主機(jī)數(shù)目。

邊緣網(wǎng)絡(luò)（Internet）的發(fā)起攻擊和受攻擊主機(jī)和網(wǎng)絡(luò)數(shù)目。

用戶主機(jī)和網(wǎng)絡(luò)被攻擊的分布概率。基于主機(jī)的入侵檢測技術(shù)76基于統(tǒng)計(jì)模型的入侵檢測技術(shù)基于上述分析，異常分析的特征值如下。

攻擊強(qiáng)度特征值：基于攻擊數(shù)目總量統(tǒng)計(jì)值的特征值。

攻擊實(shí)體量特征值：基于發(fā)起攻擊和被攻擊的主機(jī)數(shù)目總量的統(tǒng)計(jì)值的特征值。

攻擊分布特征值：基于攻擊數(shù)目最大值的特征值?；谥鳈C(jī)的入侵檢測技術(shù)77基于統(tǒng)計(jì)模型的入侵檢測技術(shù)根據(jù)這些特征值，異常判斷方法概括如下。

當(dāng)攻擊實(shí)體量在正常區(qū)間內(nèi)，即檢測環(huán)境中沒有明顯的變化，采用攻擊強(qiáng)度判斷當(dāng)前狀態(tài)是否異常。

當(dāng)攻擊強(qiáng)度在正常區(qū)間內(nèi)，即攻擊強(qiáng)度表示沒有明顯變化，采用攻擊實(shí)體量判斷當(dāng)前狀態(tài)是否異常。

當(dāng)攻擊強(qiáng)度和攻擊實(shí)體量都不在正常區(qū)間，即表示兩者都發(fā)生明顯變化，采用比較兩者的變化幅度的方法判斷異常。

對上述方法判斷為正常的數(shù)據(jù)，采用離線計(jì)算攻擊分布概率判斷異常?；谥鳈C(jī)的入侵檢測技術(shù)78基于專家系統(tǒng)的入侵檢測技術(shù)基于規(guī)則的專家系統(tǒng)的工作過程基于主機(jī)的入侵檢測技術(shù)79基于專家系統(tǒng)的入侵檢測技術(shù)采用基于規(guī)則的方法，主要具備以下幾個優(yōu)點(diǎn)。

模塊化特征。規(guī)則使得知識容易封裝并不斷擴(kuò)充。

解釋機(jī)制。通過規(guī)則容易建立解釋機(jī)，這是因?yàn)橐粋€規(guī)則的前件指明了激活這個規(guī)則的條件。通過追蹤已觸發(fā)的規(guī)則，解釋機(jī)可以得到推出某個結(jié)論的推理鏈。

類似人類認(rèn)知過程。規(guī)則似乎是模擬人類怎樣解決問題的一個自然方法。規(guī)則的簡單表示方法“if…then”使得容易解釋知識的結(jié)構(gòu)?；谥鳈C(jī)的入侵檢測技術(shù)80基于專家系統(tǒng)的入侵檢測技術(shù)基于規(guī)則的專家系統(tǒng)總體功能模塊基于主機(jī)的入侵檢測技術(shù)81基于專家系統(tǒng)的入侵檢測技術(shù)專家系統(tǒng)可有針對性地建立高效的入侵檢測系統(tǒng)，檢測準(zhǔn)確度高。但在具體實(shí)現(xiàn)中，專家系統(tǒng)主要面臨如下問題。

專家知識獲取問題，即由于專家系統(tǒng)的檢測規(guī)則由安全專家用專家知識構(gòu)造，因此難以科學(xué)地從各種入侵手段中抽象出全面的規(guī)則化知識。

規(guī)則動態(tài)更新問題，用戶行為模式的動態(tài)性要求入侵檢測系統(tǒng)具有自學(xué)習(xí)、自適應(yīng)的功能?；谥鳈C(jī)的入侵檢測技術(shù)82基于專家系統(tǒng)的入侵檢測技術(shù)自適應(yīng)入侵檢測專家系統(tǒng)模型結(jié)構(gòu)圖基于主機(jī)的入侵檢測技術(shù)83基于狀態(tài)轉(zhuǎn)移分析的入侵檢測技術(shù)當(dāng)前的基于特征的檢測方法過渡依賴審計(jì)數(shù)據(jù)，而對IP欺騙攻擊而言依賴審計(jì)數(shù)據(jù)的規(guī)則很難定義，狀態(tài)分析法的基本思想是將攻擊看成一個連續(xù)的、分步驟的并且各個步驟之間有一定關(guān)聯(lián)的過程。

在網(wǎng)絡(luò)中發(fā)生入侵時及時阻斷入侵行為。

防范可能還會進(jìn)一步發(fā)生的類似攻擊行為?；谥鳈C(jī)的入侵檢測技術(shù)84基于狀態(tài)轉(zhuǎn)移分析的入侵檢測技術(shù)入侵檢測系統(tǒng)STAT通過分析系統(tǒng)的各種狀態(tài)，及狀態(tài)轉(zhuǎn)移過程中的各種特征操作制訂各種基于狀態(tài)轉(zhuǎn)移的入侵規(guī)則，完成系統(tǒng)的入侵檢測。在狀態(tài)轉(zhuǎn)移分析方法中，一個滲透過程可以看作是由攻擊者做出的一系列的行為而導(dǎo)致系統(tǒng)從某個初始狀態(tài)轉(zhuǎn)變?yōu)樽罱K某種被危害了的狀態(tài)。在這個狀態(tài)轉(zhuǎn)變過程，對應(yīng)著系統(tǒng)的一連串行為，那些關(guān)鍵的行為就稱為特征行為?；谥鳈C(jī)的入侵檢測技術(shù)85基于完整性檢查的入侵檢測技術(shù)通常入侵者入侵時都會對一些文件進(jìn)行改動，因此采用對文件系統(tǒng)進(jìn)行完整性檢驗(yàn)的入侵檢測方式能夠檢測出對文件內(nèi)容的非法更改，從而可判定入侵，與其他檢測技術(shù)相結(jié)合將增強(qiáng)現(xiàn)有的入侵檢測能力。文件完整性檢驗(yàn)根據(jù)用戶定制的配置文件對需要校驗(yàn)的文件系統(tǒng)內(nèi)容進(jìn)行散列計(jì)算，將生成的散列值與文件完整性數(shù)據(jù)庫中存儲的預(yù)先計(jì)算好的文件內(nèi)容的散列值進(jìn)行比較。不一致則說明文件被非法更改，并可判定發(fā)生入侵?；谥鳈C(jī)的入侵檢測技術(shù)86基于完整性檢查的入侵檢測技術(shù)文件完整性校驗(yàn)文件備份主機(jī)B上存儲了主機(jī)A上的文件系統(tǒng)的備份。主機(jī)A上的文件完整性數(shù)據(jù)庫存儲的是需要被檢測的文件的各種inode屬性值和文件內(nèi)容的散列值。檢測時主機(jī)A首先與文件備份主機(jī)B認(rèn)證，然后對A上的配置文件和預(yù)先生成的文件完整性數(shù)據(jù)庫的內(nèi)容分別進(jìn)行散列計(jì)算，將生成的散列值傳輸給B進(jìn)行校驗(yàn)。如果該散列值與B上存儲的值不一致，則B將存儲的配置文件和文件完整性數(shù)據(jù)庫的備份加密傳輸給A，進(jìn)行文件恢復(fù)，然后再進(jìn)行完整性校驗(yàn)。基于主機(jī)的入侵檢測技術(shù)87基于完整性檢查的入侵檢測技術(shù)散列算法常用的散列算法有MD5，CRC16，CRC32，Snefru，MD4，MD2，SHA和Haval等。散列算法通常實(shí)現(xiàn)了將任意長度的消息m壓縮成一固定長度的散列值h，通過對散列值的校驗(yàn)?zāi)軝z測到對消息m的篡改、抵賴或偽造。它有下列特性。（1）易用性：對任意長度的m，計(jì)算h=H（m）很容易。（2）單向性：給定h，計(jì)算m，使得m=F（h）很困難。（3）無碰撞性：給定m，要找到另一個消息m’，滿足H（m’）=H（m）很困難，這就保證了對原文有改動，但很難使文件內(nèi)容的散列值保持不變。基于主機(jī)的入侵檢測技術(shù)88基于智能體的入侵檢測技術(shù)智能體的定義智能體又稱智能代理，是人工智能研究的新成果，它是在用戶沒有明確具體要求的情況下，根據(jù)用戶需要，能自動執(zhí)行用戶委托的任務(wù)的計(jì)算實(shí)體。像郵件過濾智能體、信息獲取智能體、桌面自動智能體等，將使Web站點(diǎn)、應(yīng)用程序更加智能化和實(shí)用化。從技術(shù)的角度看，智能體是由各種技術(shù)支撐著的、許多實(shí)用的應(yīng)用特性的集合，開發(fā)者正是使用這些應(yīng)用特性來擴(kuò)展應(yīng)用的功能和價值，從而達(dá)到應(yīng)用能自動執(zhí)行用戶委托的任務(wù)的目的?；谥鳈C(jī)的入侵檢測技術(shù)89基于智能體的入侵檢測技術(shù)智能體的特點(diǎn)（1）智能性（2）代理性（3）移動性（4）主動性（5）協(xié)作性基于主機(jī)的入侵檢測技術(shù)90基于智能體的入侵檢測技術(shù)在入侵檢測中，采用智能體采集和分析數(shù)據(jù)有以下主要特點(diǎn)。（1）因?yàn)橹悄荏w是獨(dú)立的運(yùn)行實(shí)體，因此，不需改變其他的組件，即可向系統(tǒng)中增加或從系統(tǒng)中移走智能體。（2）如果一個智能體由于某種原因（如下線維護(hù)）而停止了工作，損失只局限在有限的范圍內(nèi)，不會造成整個系統(tǒng)的癱瘓，這就保證了系統(tǒng)的連續(xù)運(yùn)行。（3）如果將智能體以分級結(jié)構(gòu)的形式組織起來，可以使得系統(tǒng)的可伸縮性更好。（4）系統(tǒng)開銷小、智能體的編程可以很靈活。（5）自主智能體采集數(shù)據(jù)的方法很靈活，基于主機(jī)的入侵檢測技術(shù)91系統(tǒng)配置分析技術(shù)系統(tǒng)配置分析（又可稱為靜態(tài)分析）的技術(shù)目標(biāo)是檢查系統(tǒng)是否已經(jīng)受到入侵活動的侵害，或者存在有可能被入侵的危險。靜態(tài)分析技術(shù)通過檢查系統(tǒng)的當(dāng)前配置情況，例如，系統(tǒng)文件的內(nèi)容以及相關(guān)的數(shù)據(jù)表等，來判斷系統(tǒng)的當(dāng)前安全狀況。之所以稱為“靜態(tài)”分析，是因?yàn)樵摷夹g(shù)只檢查系統(tǒng)的靜態(tài)特性，并不分析系統(tǒng)的活動情況。基于主機(jī)的入侵檢測技術(shù)92系統(tǒng)配置分析技術(shù)配置分析技術(shù)的基本原理是基于如下兩個觀點(diǎn)：（1）一次成功的入侵活動可能會在系統(tǒng)中留下痕跡，這可以通過檢查系統(tǒng)當(dāng)前的狀態(tài)來發(fā)現(xiàn)。（2）系統(tǒng)管理員和用戶經(jīng)常會錯誤地配置系統(tǒng)，從而給攻擊者以入侵的可乘之機(jī)。系統(tǒng)配置分析技術(shù)的一個最著名的實(shí)現(xiàn)工具是COPS系統(tǒng)（ComputerOracleandPasswordSystem）。COPS是功能強(qiáng)大的系統(tǒng)安全檢查工具，可檢查系統(tǒng)的安全漏洞并以郵件或文件的形式報(bào)告給用戶；還可以普通用戶的身份運(yùn)行，進(jìn)行一些常規(guī)檢查。COPS的檢查方法為以后的許多系統(tǒng)安全掃描商業(yè)軟件所借鑒。5.基于網(wǎng)絡(luò)的入侵檢測技術(shù)局域網(wǎng)和網(wǎng)絡(luò)設(shè)備的工作原理HUB工作原理網(wǎng)卡工作原理局域網(wǎng)工作過程SnifferSniffer是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲目的地為其他計(jì)算機(jī)的數(shù)據(jù)報(bào)文的一種工具。Sniffer要捕獲的東西必須是物理信號能收到的報(bào)文信息。所以，只要通知網(wǎng)卡接收其收到的所有包（該模式叫作混雜promiscuous模式：指網(wǎng)絡(luò)上的設(shè)備都對總線上傳送的所有數(shù)據(jù)進(jìn)行偵聽，并不僅僅是針對它們自己的數(shù)據(jù)。），在共享HUB下就能接收到這個網(wǎng)段的所有數(shù)據(jù)包，但是在交換HUB下就只能接收自己的包和廣播包。Sniffer的正當(dāng)用處主要是分析網(wǎng)絡(luò)的流量,以便找出所關(guān)心的網(wǎng)絡(luò)中潛在的問題。Sniffer作用在網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)的底層。通常情況下，用戶并不直接和該層打交道，有些甚至不知道有這一層存在。共享和交換網(wǎng)絡(luò)環(huán)境下的數(shù)據(jù)捕獲要想捕獲流經(jīng)網(wǎng)卡的但不屬于自己主機(jī)的所有數(shù)據(jù)流，就必須繞開系統(tǒng)正常工作的處理機(jī)制，直接訪問網(wǎng)絡(luò)底層。首先需要將網(wǎng)卡的工作模式設(shè)置為混雜模式，使之可以接收目標(biāo)地址不是自己的MAC地址的數(shù)據(jù)包，然后直接訪問數(shù)據(jù)鏈路層，獲取數(shù)據(jù)并由應(yīng)用程序進(jìn)行過濾處理。在UNIX系統(tǒng)中可以用Libpcap包捕獲函數(shù)庫直接與內(nèi)核驅(qū)動交互操作，實(shí)現(xiàn)對網(wǎng)絡(luò)數(shù)據(jù)包的捕獲。在Win32平臺上可以使用Winpcap，通過VxD虛擬設(shè)備驅(qū)動程序?qū)崿F(xiàn)網(wǎng)絡(luò)數(shù)據(jù)捕獲的功能。常用的包捕獲機(jī)制包捕獲機(jī)制系統(tǒng)平臺備注BPFBSD系列BerkeleyPacketFilterDLPISolaris,HP-UNIX，SCOUNIXDataLinkProviderInterfaceNITSunOS3NetworkInterfaceTapSNOOPIRIX

SNITSunOS4StreamsNetworkInterfaceTapSOCK-PACKETLinux

LSF>=Linux2.1.75LinuxSocketFilterDrainIRIX

BPF的模型及其接口緩存緩存過濾器過濾器緩存協(xié)議棧鏈路層驅(qū)動器鏈路層驅(qū)動器程序1程序3程序2過濾器鏈路層驅(qū)動器程序4Libpcap介紹

Libpcap的英文意思是PacketCapturelibrary，即數(shù)據(jù)包捕獲函數(shù)庫。它是勞倫斯伯克利國家實(shí)驗(yàn)室網(wǎng)絡(luò)研究組開發(fā)的UNIX平臺上的一個包捕獲函數(shù)庫，其源代碼可從/libpcap.tar.z獲得。它是一個獨(dú)立于系統(tǒng)的用戶層包捕獲的API接口，為底層網(wǎng)絡(luò)監(jiān)測提供了一個可移植的框架。Windows平臺下的Winpcap庫

Libpcap過去只支持Unix,現(xiàn)在已經(jīng)可以支持Win32,這是通過在Wiin32系統(tǒng)中安裝Winpcap來實(shí)現(xiàn)的,其官方網(wǎng)站是http://winpcap.polito.it/。Winpcap的主要功能在于獨(dú)立于主機(jī)協(xié)議而發(fā)送和接收原始數(shù)據(jù)報(bào)，主要提供了四大功能：(1)捕獲原始數(shù)據(jù)報(bào)，包括在共享網(wǎng)絡(luò)上各主機(jī)發(fā)送/接收的以及相互之間交換的數(shù)據(jù)報(bào)；

(2)在數(shù)據(jù)報(bào)發(fā)往應(yīng)用程序之前，按照自定義的規(guī)則將某些特殊的數(shù)據(jù)報(bào)過濾掉；(3)在網(wǎng)絡(luò)上發(fā)送原始的數(shù)據(jù)報(bào)；(4)收集網(wǎng)絡(luò)通信過程中的統(tǒng)計(jì)信息。

Winpcap結(jié)構(gòu)示意圖

檢測引擎的設(shè)計(jì)網(wǎng)絡(luò)檢測引擎必須獲取和分析網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包，才能得到可能入侵的信息。檢測引擎首先需要利用數(shù)據(jù)包截獲機(jī)制，截獲引擎所在網(wǎng)絡(luò)中的數(shù)據(jù)包。經(jīng)過過濾后，引擎需要采用一定的技術(shù)對數(shù)據(jù)包進(jìn)行處理和分析，從而發(fā)現(xiàn)數(shù)據(jù)流中存在的入侵事件和行為。有效的處理和分析技術(shù)是檢測引擎的重要組成部分。檢測引擎主要的分析技術(shù)有模式匹配技術(shù)和協(xié)議分析技術(shù)等。模式匹配技術(shù)從網(wǎng)絡(luò)數(shù)據(jù)包的包頭開始和攻擊特征比較；如果比較結(jié)果相同，則檢測到一個可能的攻擊；如果比較結(jié)果不同，從網(wǎng)絡(luò)數(shù)據(jù)包中下一個位置重新開始比較；直到檢測到攻擊或網(wǎng)絡(luò)數(shù)據(jù)包中的所有字節(jié)匹配完畢，一個攻擊特征匹配結(jié)束。對于每一個攻擊特征，重復(fù)1步到4步的操作。直到每一個攻擊特征匹配完畢，對給定數(shù)據(jù)包的匹配完畢。協(xié)議分析技術(shù)網(wǎng)絡(luò)通信協(xié)議是一個高度格式化的、具有明確含義和取值的數(shù)據(jù)流，如果將協(xié)議分析和模式匹配方法結(jié)合起來，可以獲得更好的效率、更精確的結(jié)果。協(xié)議分析的功能是辨別數(shù)據(jù)包的協(xié)議類型，以便使用相應(yīng)的數(shù)據(jù)分析程序來檢測數(shù)據(jù)包?？梢园阉械膮f(xié)議構(gòu)成一棵協(xié)議樹，一個特定的協(xié)議是該樹結(jié)構(gòu)中的一個結(jié)點(diǎn)，可以用一棵二叉樹來表示。一個網(wǎng)絡(luò)數(shù)據(jù)包的分析就是一條從根到某個葉子的路徑。在程序中動態(tài)地維護(hù)和配置此樹結(jié)構(gòu)即可實(shí)現(xiàn)非常靈活的協(xié)議分析功能。協(xié)議分析有效利用了網(wǎng)絡(luò)協(xié)議的層次性和相關(guān)協(xié)議的知識快速地判斷攻擊特征是否存在。他的高效使得匹配的計(jì)算量大幅度減小。特征（signature）的基本概念

IDS中的特征就是指用于判別通訊信息種類的樣板數(shù)據(jù)，通常分為多種，以下是一些典型情況及識別方法：

來自保留IP地址的連接企圖：可通過檢查IP報(bào)頭的來源地址識別。帶有非法TCP標(biāo)志組合的數(shù)據(jù)包：可通過對比TCP報(bào)頭中的標(biāo)志集與已知正確和錯誤標(biāo)記組合的不同點(diǎn)來識別。含有特殊病毒信息的Email：可通過對比每封Email的主題信息和病態(tài)Email的主題信息來識別，或者通過搜索特定名字的附近來識別。查詢負(fù)載中的DNS緩沖區(qū)溢出企圖：可通過解析DNS域及檢查每個域的長度來識別利用DNS域的緩沖區(qū)溢出企圖。還有另外一個識別方法是：在負(fù)載中搜索“殼代碼利用”（exploitshellcode）的序列代碼組合。通過對POP3服務(wù)器發(fā)出上千次同一命令而導(dǎo)致的DoS攻擊：通過跟蹤記錄某個命令連續(xù)發(fā)出的次數(shù)，看看是否超過了預(yù)設(shè)上限，而發(fā)出報(bào)警信息。未登錄情況下使用文件和目錄命令對FTP服務(wù)器的文件訪問攻擊：通過創(chuàng)建具備狀態(tài)跟蹤的特征樣板以監(jiān)視成功登錄的FTP對話、發(fā)現(xiàn)未經(jīng)驗(yàn)證卻發(fā)命令的入侵企圖。

典型特征--報(bào)頭值

一般情況下，異常報(bào)頭值的來源有以下幾種：來自保留IP地址的連接企圖：可通過檢查IP報(bào)頭的來源地址識別。許多包含報(bào)頭值漏洞利用的入侵?jǐn)?shù)據(jù)都會故意違反RFC的標(biāo)準(zhǔn)定義。許多包含錯誤代碼的不完善軟件也會產(chǎn)生違反RFC定義的報(bào)頭值數(shù)據(jù)。并非所有的操作系統(tǒng)和應(yīng)用程序都能全面擁護(hù)RFC定義。隨著時間推移，執(zhí)行新功能的協(xié)議可能不被包含于現(xiàn)有RFC中。候選特征

只具有SYN和FIN標(biāo)志集的數(shù)據(jù)包，這是公認(rèn)的惡意行為跡象。沒有設(shè)置ACK標(biāo)志，但卻具有不同確認(rèn)號碼數(shù)值的數(shù)據(jù)包，而正常情況應(yīng)該是0。來源端口和目標(biāo)端口都被設(shè)置為21的數(shù)據(jù)包，經(jīng)常與FTP服務(wù)器關(guān)聯(lián)。這“種端口相同的情況一般被稱為“反身”（reflexive），除了個別時候如進(jìn)行一些特別NetBIOS通訊外，正常情況下不應(yīng)該出現(xiàn)這種現(xiàn)象?！胺瓷怼倍丝诒旧聿⒉贿`反TCP標(biāo)準(zhǔn)，但大多數(shù)情況下它們并非預(yù)期數(shù)值。例如在一個正常的FTP對話中，目標(biāo)端口一般是21，而來源端口通常都高于1023。TCP窗口尺寸為1028，IP標(biāo)識號碼在所有數(shù)據(jù)包中為39426。根據(jù)IPRFC的定義，這2類數(shù)值應(yīng)在數(shù)據(jù)包間有所不同，因此，如果持續(xù)不變，就表明可疑。報(bào)頭值關(guān)鍵元素

IP地址，特別保留地址、非路由地址、廣播地址。不應(yīng)被使用的端口號，特別是眾所周知的協(xié)議端口號和木馬端口號。異常信息包片斷。特殊TCP標(biāo)志組合值。不應(yīng)該經(jīng)常出現(xiàn)的ICMP字節(jié)或代碼。檢測實(shí)例-數(shù)據(jù)包捕獲08/19-10:35:22.409202:137->55:137UDPTTL:128TOS:0x0ID:19775IpLen:20DgmLen:78Len:50=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+08/19-10:35:23.152199:137->55:137UDPTTL:128TOS:0x0ID:19776IpLen:20DgmLen:78Len:50=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+08/19-10:35:32.467024:1221->90:80TCPTTL:128TOS:0x0ID:4643IpLen:20DgmLen:48******S*Seq:0x811D5ED1Ack:0x0Win:0xFFFFTcpLen:28TCPOptions(4)=>MSS:1460NOPNOPSackOK=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+…………檢測實(shí)例-端口掃描檢測實(shí)例-拒絕服務(wù)攻擊1126.入侵檢測的發(fā)展趨勢113入侵檢測的發(fā)展趨勢

入侵檢測技術(shù)現(xiàn)狀分析基于神經(jīng)網(wǎng)絡(luò)的入侵檢測技術(shù)基于數(shù)據(jù)挖掘的入侵檢測技術(shù)基于數(shù)據(jù)融合的入侵檢測技術(shù)基于計(jì)算機(jī)免疫學(xué)的入侵檢測技術(shù)分布式入侵檢測技術(shù)IPS技術(shù)入侵檢測的前景114入侵檢測技術(shù)現(xiàn)狀分析入侵檢測技術(shù)已經(jīng)成為了網(wǎng)絡(luò)安全技術(shù)的核心技術(shù)之一，目前的入侵檢測產(chǎn)品大多存在如下一些問題。（1）誤報(bào)和漏報(bào)的矛盾。（2）隱私和安全的矛盾。（3）被動分析與主動發(fā)現(xiàn)的矛盾。（4）海量信息與分析代價的矛盾。（5）功能性和可管理性的矛盾。（6）單一的產(chǎn)品與復(fù)雜的網(wǎng)絡(luò)應(yīng)用的矛盾。115入侵檢測技術(shù)現(xiàn)狀分析除了異常入侵檢測方法、誤用入侵檢測方法這些傳統(tǒng)意義上的方法之外，20世紀(jì)90年代以來，不少研究人員提出了不少新的檢測算法，這些檢測算法在不同的方面試圖解決入侵檢測面臨的問題，例如，誤報(bào)、缺乏對未知攻擊的檢測能力、缺乏對變形攻擊的檢測能力、自適應(yīng)性差等。這些新的檢測技術(shù)統(tǒng)稱為“入侵檢測的先進(jìn)技術(shù)”。這些入侵檢測的先進(jìn)技術(shù)與傳統(tǒng)的入侵檢測技術(shù)相比，既有聯(lián)系又有區(qū)別。116基于神經(jīng)網(wǎng)絡(luò)的入侵檢測技術(shù)神經(jīng)網(wǎng)絡(luò)在概念和處理方法上都很適合入侵檢測系統(tǒng)的要求，主要表現(xiàn)在（1）神經(jīng)網(wǎng)絡(luò)可以通過利用大量實(shí)例進(jìn)行訓(xùn)練的方法學(xué)會知識，獲得預(yù)測能力。（2）可以向神經(jīng)網(wǎng)絡(luò)展示新發(fā)現(xiàn)的入侵攻擊實(shí)例，通過再訓(xùn)練使神經(jīng)網(wǎng)絡(luò)能夠?qū)π碌墓裟Ｊ疆a(chǎn)生反應(yīng)，從而使入侵檢測系統(tǒng)具有自適應(yīng)的能力。（3）當(dāng)神經(jīng)網(wǎng)絡(luò)學(xué)會了系統(tǒng)正常工作模式后，能夠?qū)ζx系統(tǒng)正常工作的事件做出反應(yīng)，進(jìn)而可以發(fā)現(xiàn)一些新的攻擊模式。（4）經(jīng)過訓(xùn)練后的神經(jīng)網(wǎng)絡(luò)將對模式的匹配和判斷轉(zhuǎn)換為數(shù)值的計(jì)算，從而提高了系統(tǒng)的處理速度，適合于實(shí)時處理。

117基于神經(jīng)網(wǎng)絡(luò)的入侵檢測技術(shù)基于神經(jīng)網(wǎng)絡(luò)的入侵檢測方法（1）基于BP神經(jīng)網(wǎng)絡(luò)的入侵檢測方法（2）基于粗糙集的入侵檢測方法（3）基于優(yōu)化自組織聚類的入侵檢測方法（4）基于遺傳算法的入侵檢測模型（5）基于進(jìn)化的入侵檢測方法118基于數(shù)據(jù)挖掘的入侵檢測技術(shù)在入侵檢測系統(tǒng)中，數(shù)據(jù)挖掘通常是指從大量的數(shù)據(jù)中自動提取出模型的過程。數(shù)據(jù)挖掘技術(shù)在從大量數(shù)據(jù)中提取特征與規(guī)則方面具有很大的優(yōu)勢，將數(shù)據(jù)挖掘技術(shù)應(yīng)用于入侵檢測中，利用數(shù)據(jù)挖掘技術(shù)的歸納能力，利用機(jī)器學(xué)習(xí)和數(shù)據(jù)挖掘算法，對審計(jì)數(shù)據(jù)進(jìn)行分析，可以自動地從大量數(shù)據(jù)中發(fā)現(xiàn)新的模式，消除入侵檢測系統(tǒng)開發(fā)過程中的手工編碼入侵模式和正常行為輪廓，建立合理的檢測模型，從而克服目前系統(tǒng)存在的缺陷，建立一個準(zhǔn)確性高的（低誤報(bào)率和低漏報(bào)率）、易于擴(kuò)展的、適應(yīng)性好、伸縮性好、智能的入侵檢測系統(tǒng)。119基于數(shù)據(jù)挖掘的入侵檢測技術(shù)數(shù)據(jù)挖掘在入侵檢測過程中的作用：分析網(wǎng)絡(luò)數(shù)據(jù)和審計(jì)數(shù)據(jù)，從中提取可以區(qū)分正常活動和入侵活動的特征。找出能揭示真正攻擊的反常的行為。從已知攻擊和正?；顒又袣w納出檢測模型，以便可以檢測出新的、或未知的攻擊。識別出長