網(wǎng)絡(luò)攻防原理與技術(shù) 第3版 教案 第13講 入侵檢測與網(wǎng)絡(luò)欺騙

內(nèi)容備注《網(wǎng)絡(luò)攻防原理與技術(shù)》課程教案講課題目：第十三講入侵檢測與網(wǎng)絡(luò)欺騙目的要求：入侵檢測的基本概念；了解基本的入侵檢測模型；掌握主要的入侵檢測方法；了解入侵檢測技術(shù)存在的問題；了解網(wǎng)絡(luò)欺騙的基本概念；掌握網(wǎng)絡(luò)欺騙的主要技術(shù)。重點難點：主要的入侵檢測方法；網(wǎng)絡(luò)欺騙的主要技術(shù)。方法步驟：理論講授。器材保障：電腦、投影儀。主要教學內(nèi)容:一、入侵檢測概述(一)入侵檢測的相關(guān)概念美國國家安全通信委員會下屬的入侵檢測小組給出的定義：入侵是對信息系統(tǒng)的非授權(quán)訪問以及未經(jīng)許可在信息系統(tǒng)中進行的操作。如果從信息系統(tǒng)安全屬性的角度看，入侵可以概括為試圖破壞信息系統(tǒng)保密性、完整性、可用性、可控性的各類活動。入侵檢測指的是從計算機系統(tǒng)或網(wǎng)絡(luò)的若干關(guān)鍵點收集信息并進行分析，從中發(fā)現(xiàn)系統(tǒng)或網(wǎng)絡(luò)中是否有違反安全策略的行為和被攻擊跡象的安全技術(shù)。實施入侵檢測的是入侵檢測系統(tǒng)（IntrusionDetectionSystem，IDS）。除了檢測入侵外，一些入侵檢測系統(tǒng)還具備自動響應(yīng)的功能。這些入侵檢測系統(tǒng)往往與防火墻、事件處理與應(yīng)急響應(yīng)系統(tǒng)等安全產(chǎn)品聯(lián)動，在檢測到入侵活動時采取措施。入侵檢測系統(tǒng)對防火墻的安全彌補作用主要體現(xiàn)在以下幾方面。1）入侵檢測可以發(fā)現(xiàn)內(nèi)部的攻擊事件以及合法用戶的越權(quán)訪問行為，而位于網(wǎng)絡(luò)邊界的防火墻對于這些類型的攻擊活動無能為力。2）如果防火墻開放的網(wǎng)絡(luò)服務(wù)存在安全漏洞，那么入侵檢測系統(tǒng)可以在網(wǎng)絡(luò)攻擊發(fā)生時及時發(fā)現(xiàn)并進行告警。3）在防火墻配置不完善的條件下，攻擊者可能利用配置漏洞穿越防火墻，入侵檢測系統(tǒng)能夠發(fā)現(xiàn)此類攻擊行為。4）對于加密的網(wǎng)絡(luò)通信，防火墻無法檢測，但是監(jiān)視主機活動的入侵檢測系統(tǒng)能夠發(fā)現(xiàn)入侵。5）入侵檢測系統(tǒng)能夠有效發(fā)現(xiàn)入侵企圖。6）入侵檢測系統(tǒng)可以提供豐富的審計信息，詳細記錄網(wǎng)絡(luò)攻擊過程，幫助管理員發(fā)現(xiàn)網(wǎng)絡(luò)中的脆弱點。(二)通用入侵檢測模型1987年，Denning在其經(jīng)典論文《入侵檢測模型（AnIntrusion-DetectionModel）》中提出了一種通用的入侵檢測模型IDES(IntrusionDetectionExpertSystem)。IDES由6部分組成：主體（Subjects）、客體（Objects）、審計記錄（AuditRecords）、活動概圖（ActivityProfile）、異常記錄（AnomalyRecords）和規(guī)則集（RuleSets）。其中，主體是指活動的發(fā)起者，如用戶、進程等；客體是指系統(tǒng)中管理的資源，如文件、設(shè)備、命令等；審計記錄是指系統(tǒng)記錄的主體對客體的訪問信息，如用戶登錄、執(zhí)行命令、訪問文件等；活動概圖描述主體訪問客體時的行為特點，可用作活動的簽名（signature）或正常行為的描述；異常記錄是指當系統(tǒng)檢測到異?；顒訒r產(chǎn)生的日志記錄；規(guī)則集中的活動規(guī)則定義了審計記錄產(chǎn)生或異常記錄產(chǎn)生或超時發(fā)生時系統(tǒng)所應(yīng)執(zhí)行的操作，包括審計記錄規(guī)則、異常記錄規(guī)則、定期異常分析規(guī)則三類。模型中的規(guī)則集處理引擎相當于入侵檢測引擎，它根據(jù)定義的活動規(guī)則和活動概圖對收到的審計記錄進行處理，發(fā)現(xiàn)可能的入侵行為，或定期對指定的活動概圖進行更新、對一段時間內(nèi)的異常記錄進行綜合分析等。另一個著名的通用入侵檢測模型是由美國加州大學戴維斯分校（UniversityofCaliforniaatDavis）的安全實驗室于1998年提出的通用入侵檢測框架（CommonIntrusionDetectionFramework，CIDF）。CIDF定義了入侵檢測系統(tǒng)邏輯組成，表達檢測信息的標準語言以及入侵檢測系統(tǒng)組件之間的通信協(xié)議。CIDF將IDS需要分析的數(shù)據(jù)統(tǒng)稱為事件（Events），定義了四類入侵檢測系統(tǒng)組件：事件產(chǎn)生器（EventGenerators）、事件分析器（EventAnalyzers）、事件數(shù)據(jù)庫（EventDatabase）和響應(yīng)單元（ResponseUnits），組件之間通過通用入侵檢測對象（GeneralizedIntrusionDetectionObjects，GIDO）的形式交換數(shù)據(jù)，而GIDO由CIDF定義的公共入侵規(guī)范語言(CommonIntrusionSpecificationLanguage,CISL)來描述。所有符合CIDF規(guī)范的入侵檢測系統(tǒng)都可以共享信息，相互通信，協(xié)同工作。這些入侵檢測系統(tǒng)還可以與其他安全系統(tǒng)相互配合，實施統(tǒng)一的響應(yīng)和恢復策略。二、入侵檢測系統(tǒng)的信息源對于入侵檢測系統(tǒng)而言，信息源的選擇非常關(guān)鍵。信息源提供的數(shù)據(jù)必須具有較好的區(qū)分度，在系統(tǒng)正常運作和系統(tǒng)遭受入侵時存在明顯差異，從而確保入侵檢測系統(tǒng)可以依據(jù)收集到的信息準確判斷入侵活動。（一）以主機數(shù)據(jù)作為信息源主機數(shù)據(jù)主要指操作系統(tǒng)級別的審計信息，由操作系統(tǒng)中專門的子系統(tǒng)維護，或者入侵檢測系統(tǒng)監(jiān)視操作系統(tǒng)的運行獲取。主機數(shù)據(jù)是最早被入侵檢測系統(tǒng)使用的信息源。Anderson在提出入侵檢測這個概念時，由于計算資源昂貴，信息系統(tǒng)大多是以單臺主機、多個終端的形式出現(xiàn)，一臺主機的計算和存儲資源由多個終端共享。在這種環(huán)境下，用戶對于系統(tǒng)而言都是本地的。攻擊主要表現(xiàn)為攻擊者偽造身份登陸、合法用戶越權(quán)操作等形式。因此，需要通過收集主機的一些數(shù)據(jù)信息進行入侵判定。操作系統(tǒng)的審計記錄是經(jīng)常被用于入侵檢測的一類主機數(shù)據(jù)。審計記錄由操作系統(tǒng)的審計子系統(tǒng)產(chǎn)生，按照時間順序記錄系統(tǒng)中發(fā)生的各類事件。大部分操作系統(tǒng)都有審計記錄子系統(tǒng)。以操作系統(tǒng)的審計記錄作為入侵檢測的依據(jù)主要具有兩方面的突出優(yōu)點。首先，操作系統(tǒng)往往使用了一些安全機制對審計記錄進行保護，用戶難以篡改。其次，審計記錄可以反映系統(tǒng)內(nèi)核級的運行信息，使得入侵檢測系統(tǒng)能夠精確發(fā)現(xiàn)系統(tǒng)中的各類異常。從信息源的角度看，采用操作系統(tǒng)的審計記錄作為信息源也存在一些缺陷。1）不同操作系統(tǒng)在審計的事件類型、內(nèi)容組織、存儲格式等方面都存在差異，必須考慮各種操作系統(tǒng)審計機制的差異。2）操作系統(tǒng)的審計記錄主要是方便日常管理維護，同時記錄一些系統(tǒng)中的違規(guī)操作，其設(shè)計并不是為入侵檢測系統(tǒng)提供檢測依據(jù)。審計記錄對于入侵檢測系統(tǒng)而言包含的冗余信息過多，分析處理的負擔較重。3）入侵檢測系統(tǒng)所需要的一些判定入侵的事件信息，可能操作系統(tǒng)的審計記錄中沒有提供，由于信息的缺失，入侵檢測系統(tǒng)還必須通過其他渠道獲取?？紤]到這些原因，一些入侵檢測系統(tǒng)直接進入操作系統(tǒng)底層，截獲自己感興趣的系統(tǒng)信息，并以這些信息作為檢測入侵的依據(jù)。以應(yīng)用數(shù)據(jù)作為信息源目前很多攻擊針對具體的網(wǎng)絡(luò)服務(wù)進行，如Web服務(wù)、SQLServer服務(wù)等。這些網(wǎng)絡(luò)服務(wù)大多較為復雜，試圖依據(jù)操作系統(tǒng)級別的審計信息判斷某一個網(wǎng)絡(luò)服務(wù)的運行情況，異常困難。特別是在主機上有多個網(wǎng)絡(luò)應(yīng)用需要監(jiān)控時，需要收集的審計信息迅速增長，處理和分析的難度大大增加。以應(yīng)用程序日志或者應(yīng)用程序的運行記錄作為入侵檢測系統(tǒng)的信息源，對于檢測針對應(yīng)用的攻擊活動存在三方面的優(yōu)勢。1）精確度高。直接利用應(yīng)用數(shù)據(jù)，可以在最大程度上保證入侵檢測系統(tǒng)所獲得信息的精確度。2）完整性強。應(yīng)用數(shù)據(jù)能夠最全面地反映應(yīng)用的運行狀態(tài)信息。3）采用應(yīng)用數(shù)據(jù)作為入侵檢測的信息源具有處理開銷低的優(yōu)勢。應(yīng)用程序日志本身就是應(yīng)用層次的活動記錄，可以直接向入侵檢測系統(tǒng)提供其所關(guān)注的應(yīng)用的運行狀況。使用應(yīng)用數(shù)據(jù)作為信息源也存在一些缺陷，主要表現(xiàn)在以下四個方面。1）應(yīng)用程序日志等數(shù)據(jù)往往缺乏保護機制，容易遭受篡改和刪除等破壞。要以此類數(shù)據(jù)作為信息源，必須首先對數(shù)據(jù)進行必要的保護。2）一些應(yīng)用程序沒有日志功能，或者日志提供的信息不夠詳盡。如果需要監(jiān)視此類應(yīng)用，入侵檢測系統(tǒng)必須自主對應(yīng)用進行監(jiān)視，獲取信息以掌握應(yīng)用的運行情況。3）在遭受拒絕服務(wù)攻擊時，很多系統(tǒng)由于資源限制會停止寫應(yīng)用程序日志，造成信息缺失。4）應(yīng)用程序日志等數(shù)據(jù)適合檢測針對應(yīng)用的攻擊。如果攻擊針對的是操作系統(tǒng)的漏洞或者是網(wǎng)絡(luò)協(xié)議的漏洞，由于攻擊不涉及具體應(yīng)用，往往從應(yīng)用程序日志中無法看出異常。（三）以網(wǎng)絡(luò)流量作為信息源攻擊者實施網(wǎng)絡(luò)攻擊時，如果能夠捕獲攻擊者發(fā)往攻擊目標的通信數(shù)據(jù)（網(wǎng)絡(luò)流量），可以從中分析出攻擊者的攻擊意圖和攻擊方法。一些入侵檢測系統(tǒng)以網(wǎng)絡(luò)流量作為信息源，通過直接監(jiān)視網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包發(fā)現(xiàn)入侵。也有一些入侵檢測系統(tǒng)利用各類網(wǎng)絡(luò)統(tǒng)計數(shù)據(jù)發(fā)現(xiàn)入侵活動，這些信息都可以用于入侵檢測。以網(wǎng)絡(luò)流量作為信息源的入侵檢測系統(tǒng)常常直接從網(wǎng)絡(luò)獲取數(shù)據(jù)包。因為如果依賴于第三方設(shè)備的日志或者統(tǒng)計信息，往往信息不夠全面，存在局限性。另外，如果要求實時地發(fā)現(xiàn)入侵活動，入侵檢測系統(tǒng)在其他設(shè)備處理結(jié)果的基礎(chǔ)上再次加工，必然存在時間差，而且這種從入侵發(fā)生到入侵活動被檢測的時間差在很大程度取決于第三方設(shè)備的處理能力和分析速度。因此，入侵檢測系統(tǒng)往往采用網(wǎng)絡(luò)監(jiān)聽的方式直接獲取網(wǎng)絡(luò)流量數(shù)據(jù)包，以便更高效地進行入侵分析。入侵檢測系統(tǒng)采用網(wǎng)絡(luò)流量作為信息源有很多突出優(yōu)勢，主要表現(xiàn)在以下幾個方面。1）可以以獨立的主機進行檢測，網(wǎng)絡(luò)流量的收集和分析不會影響業(yè)務(wù)主機的運作性能。2）以被動監(jiān)聽的方式獲取網(wǎng)絡(luò)數(shù)據(jù)包，不降低網(wǎng)絡(luò)性能。3）這種入侵檢測系統(tǒng)本身不容易遭受攻擊，因為其對于網(wǎng)絡(luò)用戶而言完全透明，攻擊者難以判斷網(wǎng)絡(luò)中是否存在入侵檢測系統(tǒng)，入侵檢測系統(tǒng)位于何處。4），相對于以主機數(shù)據(jù)作為信息源的入侵檢測系統(tǒng)，以網(wǎng)絡(luò)流量作為信息源的入侵檢測系統(tǒng)可以更快速、有效地檢測很多類型的網(wǎng)絡(luò)攻擊活動。5）網(wǎng)絡(luò)數(shù)據(jù)包遵循統(tǒng)一的通信協(xié)議，標準化程度高，可以便捷地將此類入侵檢測系統(tǒng)移植到不同系統(tǒng)平臺上。以網(wǎng)絡(luò)數(shù)據(jù)為基礎(chǔ)進行入侵檢測也存在一些缺陷。首先，如果通信數(shù)據(jù)經(jīng)過了加密，那么入侵檢測系統(tǒng)將難以對數(shù)據(jù)包進行分析。其次，目前大部分網(wǎng)絡(luò)都是寬帶網(wǎng)絡(luò)，入侵檢測系統(tǒng)對每個數(shù)據(jù)包進行分析，處理開銷很高。再者，由于此類入侵檢測系統(tǒng)往往監(jiān)控整個網(wǎng)絡(luò)，保護網(wǎng)絡(luò)上的所有主機，從單臺主機保護的角度來看，粒度不像以主機數(shù)據(jù)作為信息源那么精細。三、入侵檢測系統(tǒng)的分類根據(jù)入侵檢測系統(tǒng)信息源的不同，可以將入侵檢測系統(tǒng)劃分為基于主機的入侵檢測系統(tǒng)（Host-basedIDS,HIDS）、基于應(yīng)用的入侵檢測系統(tǒng)（Application-basedIDS,AIDS）和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（Network-basedIDS,NIDS）三種類型。（一）基于主機的入侵檢測系統(tǒng)基于主機的入侵檢測系統(tǒng)常常被簡稱為主機入侵檢測系統(tǒng)，它們以主機數(shù)據(jù)作為信息源。此類系統(tǒng)安裝在被保護的主機上，綜合分析主機系統(tǒng)的日志記錄、目錄和文件的異常變化、程序執(zhí)行中的異常等信息來搜尋主機被入侵的跡象，為相應(yīng)的主機系統(tǒng)提供安全保護。此類入侵檢測系統(tǒng)的優(yōu)點在于可以嚴密監(jiān)控系統(tǒng)中的各類信息，精準掌握被保護主機的安全情況。其主要問題是必須與主機上運行的操作系統(tǒng)緊密結(jié)合，對操作系統(tǒng)有很強的依賴性。此外，入侵檢測系統(tǒng)安裝在被保護主機上會占用主機系統(tǒng)的資源，在一定程度上降低系統(tǒng)的性能。（二）基于應(yīng)用的入侵檢測系統(tǒng)基于應(yīng)用的入侵檢測系統(tǒng)以應(yīng)用數(shù)據(jù)作為信息源。此類入侵檢測系統(tǒng)監(jiān)視應(yīng)用程序在運行過程中的各種活動，監(jiān)視的內(nèi)容更為具體。如果要檢測針對特定應(yīng)用的網(wǎng)絡(luò)攻擊，基于應(yīng)用的入侵檢測系統(tǒng)最為合適。此類入侵檢測系統(tǒng)存在兩個明顯的局限。第一，應(yīng)用程序千差萬別，基于應(yīng)用的入侵檢測系統(tǒng)要求與具體應(yīng)用緊密綁定，針對性強；第二，應(yīng)用本身會不斷更新升級，在升級的過程中應(yīng)用可能會發(fā)生很大的變化，基于應(yīng)用的入侵檢測系統(tǒng)必須伴隨應(yīng)用的升級而升級，這就導致此類入侵檢測系統(tǒng)研發(fā)和維護的成本都異常高昂。（三）基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)常常被簡稱為網(wǎng)絡(luò)入侵檢測系統(tǒng)，以網(wǎng)絡(luò)流量作為信息源。通常而言，此類入侵檢測系統(tǒng)安裝在需要保護的網(wǎng)段內(nèi)，采用網(wǎng)絡(luò)監(jiān)聽技術(shù)捕獲傳輸?shù)母黝悢?shù)據(jù)包，同時可以結(jié)合一些網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)信息統(tǒng)計數(shù)據(jù)，發(fā)現(xiàn)可疑的網(wǎng)絡(luò)攻擊行為。基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)具有隱蔽性好、對被保護系統(tǒng)影響小等優(yōu)點，同時也存在粒度粗、難以處理加密數(shù)據(jù)等方面的缺陷。四、入侵檢測方法入侵檢測的關(guān)鍵是對收集到的各種安全事件進行分析，從中發(fā)現(xiàn)違反安全策略的行為。入侵檢測的分析方法主要包括兩類，一類稱為基于特征的入侵檢測，簡稱為特征檢測（SignatureDetection,SD）；另外一類稱為基于異常的入侵檢測，簡稱為異常檢測（AnomalyDetection,AD），每一類分析方法又可細分出更多的子類。兩種檢測方法各有優(yōu)缺點，也都有多種具體的實現(xiàn)方式。（一）特征檢測特征檢測，也常常被稱為濫用檢測（misusedetection），這種檢測方法的基本思路是事先提取出描述各類攻擊活動的特征信息，利用攻擊特征對指定的數(shù)據(jù)內(nèi)容進行監(jiān)視，一旦發(fā)現(xiàn)攻擊特征在監(jiān)視的數(shù)據(jù)中出現(xiàn)，即判定系統(tǒng)內(nèi)發(fā)生了相應(yīng)的攻擊活動。采用特征檢測方法，首先需要收集各種入侵活動的行為特征。被用于入侵檢測的攻擊特征必須具有很好的區(qū)分度，即這種特征出現(xiàn)在攻擊活動中，而在系統(tǒng)正常的運行過程中通常不會發(fā)生。在收集到入侵特征以后，通常需要使用專門的語言對特征進行描述。用語言描述攻擊特征可以看作對攻擊特征進行標準化處理，在此基礎(chǔ)上攻擊特征才能夠加入特征庫。在特征庫建立完善以后，可以以特征庫為基礎(chǔ)，監(jiān)視收集到的數(shù)據(jù)。如果某段數(shù)據(jù)與特征庫中的某種攻擊特征匹配，則入侵檢測系統(tǒng)將發(fā)出攻擊告警，同時根據(jù)特征庫的信息，指明攻擊的具體類型。特征檢測這種分析方法，依賴攻擊特征判定入侵。由于攻擊特征是對已知攻擊活動的總結(jié)，在攻擊特征區(qū)分度很好的情況下，匹配攻擊特征的活動可以斷定為入侵。因此，特征檢測的誤報率較低，這是這種分析方法最突出的優(yōu)點。特征檢測的漏報率高低則取決于特征庫是否完備。采用特征檢測的入侵檢測系統(tǒng)只能發(fā)現(xiàn)在特征庫中保存了攻擊特征的攻擊方法。如果在特征庫中沒有攻擊活動的攻擊特征，入侵檢測系統(tǒng)將無法發(fā)現(xiàn)相應(yīng)的攻擊，即出現(xiàn)了漏報。特征檢測還存在一個很大的局限，這種檢測方法只能發(fā)現(xiàn)已知的攻擊類型。因為只有已經(jīng)出現(xiàn)過的攻擊方法或者可以預見的攻擊方法才會被總結(jié)為特征，加入到特征庫當中。模式匹配法是最基本的一種特征檢測方法。采用這種檢測方法，需要將收集到的入侵特征轉(zhuǎn)換成模式，存放在模式數(shù)據(jù)庫中。在檢測過程中將收集到的數(shù)據(jù)信息與模式數(shù)據(jù)庫進行匹配，從而發(fā)現(xiàn)攻擊行為。（二）異常檢測異常檢測也是常用的一種入侵檢測分析方法。異常檢測基于這樣一種假設(shè)，即用戶行為、網(wǎng)絡(luò)行為或者系統(tǒng)行為通常有相對穩(wěn)定的模式，如果在監(jiān)視過程中發(fā)現(xiàn)行為明顯偏離了正常模式，則認為出現(xiàn)了入侵。異常檢測這種分析方法首先總結(jié)出正?；顒拥奶卣?，建立相應(yīng)的行為模式。在入侵檢測的過程中，以正常的行為模式為基礎(chǔ)進行判定，將當前活動與代表正常的行為模式進行比較，如果當前活動與正常行為模式匹配，則認為活動正常；而如果兩者存在顯著偏差，則判定出現(xiàn)了攻擊。要實施異常檢測，通常需要一組能夠標識用戶特征、網(wǎng)絡(luò)特征或者系統(tǒng)特征的測量參數(shù)?；谶@組測量參數(shù)建立被監(jiān)控對象的行為模式并檢測對象的行為變化。在此過程中，有兩個關(guān)鍵問題需要考慮。首先，選擇的各項測量參數(shù)能否反映被監(jiān)控對象的行為模式。另外，如何界定正常和異常。異常檢測通常采用定量分析的方法，一般以閾來標明正常和異常之間的臨界點，閾值指的就是閾所對應(yīng)的數(shù)值。在實現(xiàn)異常檢測時，可以為每個測量參數(shù)設(shè)置一個閾值，也可以對多個測量參數(shù)進行計算，為計算結(jié)果設(shè)置閾值。閾值的設(shè)置非常重要，閾值設(shè)置不當，將直接影響入侵檢測的準確性，導致誤報或者漏報。Anderson在技術(shù)報告《計算機安全威脅的監(jiān)控》中提出的入侵檢測方法就是異常檢測的方法。Anderson利用異常檢測來發(fā)現(xiàn)偽裝者。檢測方法基于主機的審計記錄，為系統(tǒng)中的合法用戶建立正常行為模式，描述用戶的行為特征。在對審計記錄進行監(jiān)視的過程中，如果發(fā)現(xiàn)用戶活動與正常行為模式的差異超過了閾值，則進行告警；如果兩者的差異在閾值范圍內(nèi)，則視為正常。異常檢測無需維護、更新特征庫，管理員在此方面的開銷較小。此外，異常檢測不依賴于具體的、已知的攻擊特征檢測攻擊，可以判別更廣泛、甚至從未出現(xiàn)過的攻擊形式。異常檢測也存在一些缺點。首先，異常檢測在發(fā)現(xiàn)攻擊時不能準確報告出攻擊類型。此外，異常檢測的準確度通常沒有特征檢測高。異常檢測所發(fā)現(xiàn)的異常未必是攻擊活動，主要有兩方面的原因。第一，所選擇的測量參數(shù)是否有足夠強的區(qū)分度，能夠?qū)⒄：彤惓^(qū)分開來，第二，事先建立的正常模式是否足夠完備，因此，異常檢測的結(jié)果通常需要進一步認證。統(tǒng)計分析法、人工免疫法、機器學習法是異常檢測的三種典型方法。在實際應(yīng)用中，如何選擇哪種機器學習算法進行異常檢測呢？一般來說，當已標記數(shù)據(jù)量充足的情況下，例如具有海量真實樣本數(shù)據(jù)，此時優(yōu)先選用有監(jiān)督學習，效果一般不錯；當只有少數(shù)攻擊樣本的情況下，可以考慮用半監(jiān)督學習進行異常檢測；當遇到一個新的安全場景，沒有樣本數(shù)據(jù)或是以往積累的樣本失效的情況下，只有先采用無監(jiān)督學習來解決異常檢測問題，當捕獲到異常并人工審核積累樣本到一定量后，可以轉(zhuǎn)化為半監(jiān)督學習，之后就是有監(jiān)督學習。2022年底，基于大語言模型的ChatGPT推出后，很多攻擊者利用它來實施攻擊，例如快速生成惡意代碼、更具欺騙性的釣魚郵件、指導用戶進行滲透攻擊等，對網(wǎng)絡(luò)入侵檢測檢測帶來了挑戰(zhàn)。（三）入侵檢測技術(shù)存在的問題在實際應(yīng)用中，入侵檢測技術(shù)也暴露出了不少問題，主要表現(xiàn)為以下四個方面。1）誤報率和漏報率需要進一步降低。在實際應(yīng)用中，漏報和誤報是相互抵觸的評價標準。大量的誤報會分散管理員的精力，使管理員無法應(yīng)對真正的攻擊。漏報的頻繁發(fā)生將給管理員造成虛假的安全景象，網(wǎng)絡(luò)危機重重，管理員卻得不到必要的告警。2）入侵檢測技術(shù)不具備主動發(fā)現(xiàn)安全漏洞的能力。入侵檢測技術(shù)屬于被動的安全技術(shù)，即在攻擊發(fā)生以后才會進行告警或者其他形式進行響應(yīng)，本身不具備主動發(fā)現(xiàn)漏洞、防患于未然的能力。3）不斷豐富的網(wǎng)絡(luò)應(yīng)用也對入侵檢測提出了挑戰(zhàn)。每種新型業(yè)務(wù)都可能為攻擊者實施網(wǎng)絡(luò)攻擊提供機會，而檢測針對不同應(yīng)用的入侵活動往往需要采用不同的檢測方法，這增加了入侵檢測的復雜性和處理負擔。4）應(yīng)對復雜攻擊能力不足。隨著網(wǎng)絡(luò)戰(zhàn)這一新的戰(zhàn)爭形式的出現(xiàn)，以APT攻擊為代表的網(wǎng)絡(luò)攻擊技術(shù)向?qū)I(yè)化、復雜化、隱蔽化、長期化方向發(fā)展，給現(xiàn)有的入侵檢測技術(shù)帶來了嚴峻的挑戰(zhàn)，特別是對一些新的、未知攻擊的檢測還存在較大差距。五、網(wǎng)絡(luò)入侵檢測系統(tǒng)SnortSnort是采用C語言編寫的一款開源網(wǎng)絡(luò)入侵檢測系統(tǒng)，最初由MartinRoesch開發(fā)。經(jīng)過多年的發(fā)展，Snort已由早期的入侵檢測系統(tǒng)發(fā)展到現(xiàn)在的入侵防御系統(tǒng)（IntrusionPreventionSystem，IPS），與IDS相比，IPS不僅具有IDS的入侵檢測功能，還具有阻止攻擊的功能。Snort主要由五個功能模塊組成：數(shù)據(jù)包捕獲、數(shù)據(jù)包解析、數(shù)據(jù)包預處理、檢測引擎、日志與報警輸出等。檢測引擎是Snort的核心部分，根據(jù)已經(jīng)定義好的規(guī)則文件對預處理好的網(wǎng)絡(luò)數(shù)據(jù)包進行規(guī)則匹配，若匹配成功，則通知報警。Snort的規(guī)則以一種簡單Snort是一種基于規(guī)則的入侵檢測系統(tǒng)，用戶只要根據(jù)特征編寫檢測規(guī)則，并將規(guī)則加入到Snort中，Snort即能夠檢測相應(yīng)攻擊。Snort提供了一種簡單但靈活高效的規(guī)則描述語言。Snort的規(guī)則包括兩部分：規(guī)則頭（RuleHeader）和規(guī)則選項（RuleOptions）。Snort規(guī)則的規(guī)則頭主要包括規(guī)則動作、協(xié)議、源IP地址、源端口、通信方向、目的IP地址、目的端口等信息。規(guī)則選項是可選的，包含了需要檢查的數(shù)據(jù)內(nèi)容、標識字段、匹配時的告警消息等內(nèi)容，主要作用是精確定義需要處理的數(shù)據(jù)包類型以及采取的動作。為方便不同類型的用戶使用Snort，Snort官網(wǎng)提供了三套規(guī)則集：一套是提供給付費用戶的（SubscriberRuleset），這套規(guī)則是最先進和及時的規(guī)則，由CiscoTalos負責開發(fā)、測試、發(fā)布；一套是提供給注冊用戶的（registeredusersRuleset），這套規(guī)則比提供給付費用戶的規(guī)則的延遲30天；還有一套是社區(qū)規(guī)則（CommunityRuleset），可供所有Snort用戶免費使用，主要由Snort社區(qū)和CiscoTalos負責維護。用戶也可以根據(jù)自己的實際需要，依據(jù)Snort規(guī)則描述語言自己編寫規(guī)則，以更好滿足自身的安全需求，提高檢測效果。一般來說，通過其他渠道獲得的規(guī)則通常是針對一些通用性的攻擊方式制訂，如檢查對某種緩沖區(qū)溢出漏洞的攻擊嘗試，或者檢查某種遠程控制型木馬的遠程連接操作。用戶要讓Snort系統(tǒng)真正發(fā)揮防護效用，必須根據(jù)實際網(wǎng)絡(luò)環(huán)境制訂安全策略，并將安全策略體現(xiàn)到Snort規(guī)則中。六、網(wǎng)絡(luò)欺騙技術(shù)（一）基本概念網(wǎng)絡(luò)欺騙（CyberDeception）最早由美國普渡大學的GeneSpafford于1989年提出，它的核心思想是：采用引誘或欺騙戰(zhàn)略，誘使入侵者相信網(wǎng)絡(luò)與信息系統(tǒng)中存在有價值的、可利用的安全弱點，并具有一些可攻擊竊取的資源，進而將入侵者引向這些錯誤的資源，同時安全可靠地記錄入侵者的所有行為，以便全面地了解攻擊者的攻擊過程和使用的攻擊技術(shù)。一個理想的網(wǎng)絡(luò)欺騙系統(tǒng)可以使入侵者不會感到自己很輕易地達到了期望的目標，并使入侵者相信入侵取得了成功。它的作用主要體現(xiàn)現(xiàn)在以下四方面：1）吸引攻擊流量，影響入侵者使之按照防護方的意志進行行動；2）檢測入侵者的攻擊并獲知其攻擊技術(shù)和意圖，并對入侵行為進行告警和取證，收集攻擊樣本；3）增加入侵者的工作量、入侵復雜度以及不確定性，拖延攻擊者攻擊真實目標；4）為網(wǎng)絡(luò)防護提供足夠的信息來了解入侵者，這些信息可以用來強化現(xiàn)有的安全措施。網(wǎng)絡(luò)欺騙技術(shù)能夠彌補傳統(tǒng)網(wǎng)絡(luò)防御體系的不足，變被動防御為主動積極防御，與其他多種網(wǎng)絡(luò)安全防護技術(shù)相結(jié)合，互為補充，共同構(gòu)建多層次的信息安全保障體系。蜜罐蜜罐（Honeypot）是最早采用欺騙技術(shù)的網(wǎng)絡(luò)安全系統(tǒng)。蜜網(wǎng)項目（TheHoneynetProject）創(chuàng)始人LanceSpitzner給出的蜜罐定義是：蜜罐是一種安全資源，其價值在于被探測、攻擊或突破。這種安全資源是什么并不重要，重要的是這種安全資源的價值在于受到攻擊。因此，設(shè)計一個蜜罐的目標，就是使它被掃描探測、攻擊或被突破，同時能夠很好地進行安全控制。1.分類依據(jù)不同的分類標準，可以將蜜罐分成多種類型。根據(jù)部署方式可以分為生產(chǎn)型蜜罐和研究型蜜罐。生產(chǎn)型蜜罐一般部署在組織的內(nèi)網(wǎng)中，主要由公司內(nèi)部用來改善組織網(wǎng)絡(luò)的整體安全狀態(tài)，僅捕獲有限的信息，低交互，易于部署，但提供的攻擊或攻擊者信息較少。研究型蜜罐則一般部署內(nèi)網(wǎng)的出口處或公網(wǎng)上，由某一研究團隊或組織負責維護，主要目的是通過蜜罐來收集網(wǎng)絡(luò)攻擊行為和入侵模式信息，以便研究相應(yīng)的防御方法，了解網(wǎng)絡(luò)安全態(tài)勢。根據(jù)交互程度或逼真程度的高低可以分為低交互蜜罐、中交互蜜罐和高交互蜜罐。低交互蜜罐，提供的網(wǎng)絡(luò)服務(wù)只能與攻擊者進行非常有限的交互，類似于按照寫好的劇本與攻擊者進行相互，例如一個Telnet低交互蜜罐并不是完整地實現(xiàn)了Telnet服務(wù)器的全部協(xié)議功能，而只是“模擬Telnet服務(wù)器”對有限的幾個Telnet客戶端請求報文進行響應(yīng)，響應(yīng)的結(jié)果也相對固定。部署低交互蜜罐的主要目的是為了減輕受保護網(wǎng)絡(luò)可能會受到的網(wǎng)絡(luò)安全威脅，捕獲一些簡單的網(wǎng)絡(luò)攻擊行為。高交互蜜罐則不再是簡單地模擬某些協(xié)議或服務(wù)，而是提供真實或接近真實的網(wǎng)絡(luò)服務(wù)，使得攻擊者很難判斷與其交互的是一個蜜罐還是一個真實的網(wǎng)絡(luò)服務(wù)器。與正常的網(wǎng)絡(luò)服務(wù)不同的是，高交互蜜罐除了提供正常的網(wǎng)絡(luò)服務(wù)功能外，還有一套安全監(jiān)控系統(tǒng)，隱蔽地記錄攻擊者的所有行為，并將這些行為保存到一個獨立的日志服務(wù)器中。高交互蜜罐的高成本和強能力，使得其主要用于研究分析網(wǎng)絡(luò)攻擊行為，特別是復雜的網(wǎng)絡(luò)攻擊。當前，很多高級的網(wǎng)絡(luò)攻擊，如利用未公開的安全漏洞或攻擊手段實施的攻擊是通過高交互蜜罐發(fā)現(xiàn)的。介于低交互蜜罐與高交互蜜罐之間的是中交互蜜罐，它通常是模擬的，而不是真實實現(xiàn)一個網(wǎng)絡(luò)服務(wù)或設(shè)備的全部功能，漏洞也是模擬的，能與攻擊者進行大部分交互。按照實現(xiàn)方式可將蜜罐分為物理蜜罐和虛擬蜜罐。物理蜜罐是安裝真實操作系統(tǒng)和應(yīng)用服務(wù)的計算機系統(tǒng)，通過開放容易受到攻擊的端口，留下可被利用的漏洞來誘惑攻擊者。物理蜜罐在日常的管理維護上比較煩瑣，特別是在被攻陷之后，回滾到原來的配置狀態(tài)需要大量的工作。與物理蜜罐不同的是，虛擬蜜罐是在物理主機上安裝蜜罐軟件使其可以模擬不同類型的系統(tǒng)和服務(wù)，而且可以在一臺物理主機上創(chuàng)建很多個虛擬蜜罐。虛擬蜜罐主要有兩種部署方式，一種是虛擬機蜜罐，它利用VMware虛擬機軟件或者其他虛擬化工具，創(chuàng)建虛擬操作系統(tǒng)，提供和真實主機一樣的服務(wù)。這種虛擬蜜罐真實性高，但是虛擬機蜜罐可能會由于占用太多系統(tǒng)資源而破壞了蜜罐正常運行。另一種虛擬蜜罐，就是在物理主機上運行的蜜罐，通過模擬服務(wù)來吸引攻擊者。但這種蜜罐由于自身程序只有用戶層權(quán)限，不能實現(xiàn)完整的交互，真實性較差。2.蜜罐功能和關(guān)鍵技術(shù)低交互蜜罐的功能相對簡單，一般包括：①攻擊數(shù)據(jù)捕獲與處理，在一個或多個協(xié)議服務(wù)端口上監(jiān)聽，當有攻擊數(shù)據(jù)到來時捕獲并處理這些攻擊數(shù)據(jù)，必要的時候還需給出響應(yīng)；②攻擊行為分析，對攻擊日志進行多個維度的統(tǒng)計分析，發(fā)現(xiàn)攻擊行為規(guī)律，并用可視化方法展示分析結(jié)果。高交互蜜罐因為要提供逼真的、有吸引力的目標，所以要實現(xiàn)的功能更多、更強，涉及的功能和關(guān)鍵技術(shù)包括：網(wǎng)絡(luò)欺騙、攻擊捕獲、數(shù)據(jù)控制和數(shù)據(jù)分析。網(wǎng)絡(luò)欺騙的目的是對蜜罐進行偽裝，使它在被攻擊者掃描時表現(xiàn)為網(wǎng)絡(luò)上的真實主機。蜜罐的網(wǎng)絡(luò)欺騙技術(shù)根據(jù)物理主機系統(tǒng)和網(wǎng)絡(luò)的特點，模擬主機操作系統(tǒng)和網(wǎng)絡(luò)路由，并設(shè)置存在漏洞的服務(wù)，使攻擊者認為網(wǎng)絡(luò)主機中存在能夠利用的漏洞，從而引誘攻擊者對蜜罐展開攻擊。常用的網(wǎng)絡(luò)欺騙方法主要有：模擬各種系統(tǒng)協(xié)議棧指紋，網(wǎng)絡(luò)流量仿真以及網(wǎng)絡(luò)地址轉(zhuǎn)換等。具體的實現(xiàn)技術(shù)包括：地址空間欺騙、網(wǎng)絡(luò)流量仿真、網(wǎng)絡(luò)動態(tài)配置、多重地址轉(zhuǎn)換和組織信息欺騙等。1）空間欺騙技術(shù)?？臻g欺騙技術(shù)就是通過創(chuàng)建蜜罐來偽裝成實際不存在的主機，引誘攻擊者在這些蜜罐上花費時間。利用計算機系統(tǒng)的多宿主能力，在單個物理主機的網(wǎng)卡上，就能模擬出IP地址和MAC地址均不相同的蜜罐主機。采用該技術(shù)可以創(chuàng)建整個內(nèi)網(wǎng)所需要的虛擬主機。進行空間欺騙以后，攻擊者在探測網(wǎng)絡(luò)的時候工作量會極大增加。2）網(wǎng)絡(luò)流量仿真。需要為蜜罐生成仿真流量，來提高蜜罐的真實性，使其偽裝成正常主機。在內(nèi)部網(wǎng)絡(luò)中偽造仿真流量可以采用兩種措施：一是將內(nèi)網(wǎng)中的網(wǎng)絡(luò)流量復制進來并重現(xiàn)，造成以假亂真的效果；二是依據(jù)一定規(guī)則自動生成流量。3）網(wǎng)絡(luò)動態(tài)配置。需要配置動態(tài)的網(wǎng)絡(luò)路由信息，使整個網(wǎng)絡(luò)的行為隨時間發(fā)生改變。為增加欺騙的效果，蜜罐主機的偽造特征必須盡可能和真實物理主機的特征相同。4）多重地址轉(zhuǎn)換。多重地址轉(zhuǎn)換就是執(zhí)行重定向的代理服務(wù)，把蜜罐主機所在位置和內(nèi)部網(wǎng)絡(luò)的位置分離開來。主要由代理服務(wù)功能進行地址轉(zhuǎn)換，這樣實際進入蜜罐網(wǎng)絡(luò)的流量在外部看來就是進入了內(nèi)部網(wǎng)絡(luò)，并且還可在真實物理上綁定虛擬的服務(wù)。5）創(chuàng)建組織信息欺騙。根據(jù)內(nèi)部網(wǎng)絡(luò)的實際情況，在蜜罐主機上放置相應(yīng)的虛假信息。攻擊者在攻擊蜜罐服務(wù)器獲取到這些數(shù)據(jù)后，就會相信自己攻擊的是預定的目標主機。攻擊捕獲是指采集攻擊者對網(wǎng)絡(luò)實施攻擊的相關(guān)信息，通過分析捕獲的信息，可以研究攻擊者所利用的系統(tǒng)漏洞，獲取新的攻擊方式，甚至是零日攻擊。數(shù)據(jù)控制的目的是限制蜜罐向外發(fā)起的連接，確保蜜罐不會成為攻擊者的跳板。它通常遵循這樣的原則：對流出蜜罐的數(shù)據(jù)，限制連接的數(shù)量和速度。數(shù)據(jù)分析是指對蜜罐采集到的信息進行多個維度的統(tǒng)計分析，發(fā)現(xiàn)攻擊行為規(guī)律，并用可視化方法展示分析結(jié)果。蜜網(wǎng)蜜網(wǎng)（Honeynet）是由多個蜜罐組成的欺騙網(wǎng)絡(luò)，蜜網(wǎng)中通常包含不同類型的蜜罐，可以在多個層面捕獲攻擊信息，以滿足不同的安全需求。蜜網(wǎng)既可以用多個物理蜜罐來構(gòu)建，也可以由多個虛擬蜜罐組成。目前，通過虛擬化技術(shù)（如VMware）可以方便地把多個虛擬蜜罐部署在單個服務(wù)器主機上。虛擬蜜網(wǎng)技術(shù)使得蜜網(wǎng)的建設(shè)非常方便，不用構(gòu)建煩瑣的物理網(wǎng)絡(luò)。但是這樣虛擬出的網(wǎng)絡(luò)，很有可能被攻擊者識別，也可能因為架設(shè)蜜罐的服務(wù)器上存在漏洞而被攻破，從而導致虛擬蜜網(wǎng)的權(quán)限被攻擊者獲得。如果用物理蜜罐來構(gòu)建，則需要付出比較高的建設(shè)成本和維護成本。實際應(yīng)用中，多采用虛實結(jié)合的方法。最早的蜜網(wǎng)項目是德國曼海姆大學LanceSpitzner在1999年開始發(fā)起，并于2000年6月成立的蜜網(wǎng)項目（TheHoneynetProject）。2000年初，蜜網(wǎng)項目組提出了第一代蜜網(wǎng)的架構(gòu)，并進行了實驗驗證。在第一代蜜網(wǎng)中，各項任務(wù)由不同的蜜罐主機執(zhí)行，這樣在記錄攻擊信息時就會出現(xiàn)不一致的情況。而且，由于攻擊者可以通過工具掃描整個網(wǎng)絡(luò)的路由拓撲，這樣就增加了整個網(wǎng)絡(luò)被攻陷的可能。為了克服第一代蜜網(wǎng)技術(shù)的不足，蜜網(wǎng)項目組提出了第二代蜜網(wǎng)技術(shù)，并在2004年發(fā)布了一個集成工具包，其中包括部署第二代蜜網(wǎng)所需的所有工具，使得第二代蜜網(wǎng)技術(shù)在應(yīng)用上更加方便。此后，蜜網(wǎng)項目組的工作集中在中央管理服務(wù)器的開發(fā)，基于云思想，將各個蜜網(wǎng)項目組成員開發(fā)的蜜網(wǎng)捕獲的信息集中上傳到云服務(wù)器，并提供攻擊趨勢分析功能。隨后，蜜網(wǎng)項目組發(fā)布了最新的蜜網(wǎng)項目工具包，這就是第三代蜜網(wǎng)。在新的工具包中，蜜網(wǎng)的體系結(jié)構(gòu)和原來大致相同，但基于安全考慮，工具包對系統(tǒng)功能進行了裁剪，刪掉了很多不需要或者可能被攻擊者利用的服務(wù)，只留了一些必要的服務(wù)，大大提高了蜜網(wǎng)整體的安全性。該工具包可以支持在線自動化升級。網(wǎng)絡(luò)欺騙防御Garter對網(wǎng)絡(luò)欺騙防御的定義為：使用騙局或者假動作來阻撓或者推翻攻擊者的認知過程，擾亂攻擊者的自動化工具，延遲或阻斷攻擊者的活動，通過使用虛假的響應(yīng)、有意地混淆、假動作、誤導等偽造信息達到“欺騙”的目的。網(wǎng)絡(luò)欺騙防御技術(shù)通過混淆的方法隱藏系統(tǒng)的外部特征，使系統(tǒng)展現(xiàn)給攻擊者的是一個有限甚至完全隱蔽或者錯誤的攻擊面，降低暴露給攻擊者并被利用的資源，導致攻擊復雜度和攻擊者代價增長。通過主動暴露受保護網(wǎng)絡(luò)的真假情況來提供給攻擊者誤導性信息，讓攻擊者進入防御的圈套，并通過影響攻擊者的行為使其向著有利于防御方的方向發(fā)展。通過在真實網(wǎng)絡(luò)系統(tǒng)中布置偽造的數(shù)據(jù)，即使攻擊者成功竊取了真實的數(shù)據(jù)，也會因為虛假數(shù)據(jù)的存在而降低了所竊取數(shù)據(jù)的總體價值。網(wǎng)絡(luò)欺騙防御是一種體系化的防御方法，它將蜜罐、蜜網(wǎng)、混淆等欺騙技術(shù)同防火墻、入侵檢測系統(tǒng)等傳統(tǒng)防護機制有機結(jié)合起來，構(gòu)建以欺騙為核心的網(wǎng)絡(luò)安全防御體系。根據(jù)網(wǎng)絡(luò)空間欺騙防御的作用位置不同，可以將其分為不同的層次，包括網(wǎng)絡(luò)層欺騙、終端層欺騙、應(yīng)用層欺騙、以及數(shù)據(jù)層欺騙等。1.網(wǎng)絡(luò)層欺騙網(wǎng)絡(luò)層的欺騙防御技術(shù)考慮的是如何在網(wǎng)絡(luò)中部署欺騙節(jié)點以及如何有效隱藏己方設(shè)備，目前主要用于應(yīng)對三類典型威脅：網(wǎng)絡(luò)指紋探測、網(wǎng)絡(luò)竊聽、網(wǎng)絡(luò)滲透。通常將在網(wǎng)絡(luò)層隱藏己方設(shè)備所采用的欺騙技術(shù)，稱為“混淆”。網(wǎng)絡(luò)指紋探測通常發(fā)生在攻擊的早期階段，在攻擊鏈的偵察階段，攻擊者通過指紋探測和掃描獲得網(wǎng)絡(luò)拓撲結(jié)構(gòu)和可用資產(chǎn)的信息。通過干擾偵察即可混淆偵查結(jié)果。另外一種欺騙防御方式就是通過給出錯誤掃描結(jié)果來誤導攻擊者，通過不斷暴露錯誤的網(wǎng)絡(luò)拓撲結(jié)構(gòu)來誤導攻擊者；通過提供真假混合的應(yīng)答來響應(yīng)攻擊者的掃描；以限制攻擊者掃描、發(fā)現(xiàn)、識別和定位網(wǎng)絡(luò)目標。防范操作系統(tǒng)指紋探測是另一種需要解決的問題，目前在這一方面提出了多種欺騙技術(shù)，可以模擬操作系統(tǒng)的多種行為特征，并在此基礎(chǔ)上誤導潛在的攻擊者，達到迷惑攻擊者并延遲其工作進展的目標。為了防止網(wǎng)絡(luò)滲透，目前主要的欺騙方式是設(shè)置虛假資產(chǎn)來增大目標空間，進而分散攻擊者對真實目標的注意力。2.系統(tǒng)層欺騙防御技術(shù)系統(tǒng)層的欺騙防御主要采用基于設(shè)備的