入侵檢測的基本原理和結(jié)構(gòu)入侵檢測的分類入侵檢測的技術(shù)指標(biāo)入侵檢測的標(biāo)準(zhǔn)化和發(fā)展方向入侵檢測系統(tǒng)的實例第11章入侵檢測技術(shù)入侵檢測技術(shù)入侵檢測技術(shù)是主動保護(hù)自己免受攻擊的一種網(wǎng)絡(luò)安全技術(shù)。入侵檢測系統(tǒng)（Intrusion-detectionsystem，IDS）就是采用入侵檢測技術(shù)的系統(tǒng)。目前主要的網(wǎng)絡(luò)安全技術(shù)有IDS、防火墻、掃描器、VPN和防病毒技術(shù)。四種網(wǎng)絡(luò)安全技術(shù)的對比優(yōu)點局限性IDS實時監(jiān)控網(wǎng)絡(luò)安全狀況誤報警，緩慢攻擊，新的攻擊模式防火墻可簡化網(wǎng)絡(luò)管理，產(chǎn)品成熟無法處理網(wǎng)絡(luò)內(nèi)部的攻擊Scanner簡單可操作，幫助系統(tǒng)管理員和安全服務(wù)人員解決實際問題并不能真正掃描漏洞VPN保護(hù)公網(wǎng)上的內(nèi)部通信可視為防火墻上的一個漏洞防病毒針對文件與郵件，產(chǎn)品成熟功能單一入侵檢測系統(tǒng)概述入侵檢測系統(tǒng)的定義是入侵檢測系統(tǒng)是一種對網(wǎng)絡(luò)傳輸進(jìn)行實時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。它與其他網(wǎng)絡(luò)安全設(shè)備的不同之處便在于，IDS是一種積極主動的安全防護(hù)技術(shù)。1980年4月，JamesP.Anderson:《ComputerSecurityThreatMonitoringandSurveillance》（計算機安全威脅監(jiān)控與監(jiān)視）的技術(shù)報告，第一次詳細(xì)闡述了入侵檢測的概念。從1984年到1986年，喬治敦大學(xué)的DorothyDenning和SRI/CSL的PeterNeumann研究出了一個實時入侵檢測系統(tǒng)模型（IntrusionDetectionExpertSystem，IDES）。1990，加州大學(xué)戴維斯分校的L.T.Heberlein等人開發(fā)出了網(wǎng)絡(luò)安全監(jiān)測器（NetworkSecurityMonitor，NSM）。入侵檢測系統(tǒng)概述審計數(shù)據(jù)源策略規(guī)則模式匹配器輪廓特征引擎異常檢測器警告/報告產(chǎn)生器IDES結(jié)構(gòu)框架入侵檢測系統(tǒng)術(shù)語ALERT（警報）當(dāng)一個入侵正在發(fā)生或者試圖發(fā)生時，IDS系統(tǒng)將發(fā)布一個alert信息通知系統(tǒng)管理員。Anomaly（異常）一個基于anomaly（異常）的IDS會構(gòu)造一個當(dāng)時活動的主機或網(wǎng)絡(luò)的大致輪廓，當(dāng)有一個在這個輪廓以外的事件發(fā)生時，IDS就會告警。自動響應(yīng)

指可以通過重新配置路由器和防火墻，拒絕那些來自同一地址的信息流；并通過在網(wǎng)絡(luò)上發(fā)送reset包切斷連接。

Signature（特征）

IDS的核心是攻擊特征，它使IDS在事件發(fā)生時觸發(fā)。

Promiscuous（混雜模式）如果網(wǎng)絡(luò)接口是混雜模式，就可以看到網(wǎng)段中所有的網(wǎng)絡(luò)通信量，不管其來源或目的地。

入侵檢測系統(tǒng)體系結(jié)構(gòu)交換機交換機防火墻防火墻路由器Internet基于網(wǎng)絡(luò)的IDS基于主機的IDS內(nèi)網(wǎng)基于網(wǎng)絡(luò)的IDSWWW服務(wù)器FTP服務(wù)器郵件服務(wù)器入侵檢測系統(tǒng)原理示意圖外部網(wǎng)絡(luò)DMZ區(qū)域內(nèi)部網(wǎng)絡(luò)入侵檢測系統(tǒng)體系結(jié)構(gòu)入侵檢測系統(tǒng)包括三個功能部件：（1）信息收集入侵檢測的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為。信息收集的來源：網(wǎng)絡(luò)流量日志，系統(tǒng)或網(wǎng)絡(luò)的日志文件，網(wǎng)絡(luò)流量、系統(tǒng)目錄和文件的異常變化，程序執(zhí)行中的異常行為等。（2）信息分析信息分析往往用于事后分析，包括：模式匹配、統(tǒng)計分析、完整性分析等。（3）結(jié)果處理結(jié)果處理的作用在于報警和響應(yīng)，報警就是通知管理員，產(chǎn)生一個正式的警報，而響應(yīng)就是對警報的安全事件的處理。入侵檢測的基本原理和結(jié)構(gòu)入侵檢測的分類入侵檢測的技術(shù)指標(biāo)入侵檢測的標(biāo)準(zhǔn)化和發(fā)展方向入侵檢測系統(tǒng)的實例目錄入侵檢測系統(tǒng)分類從技術(shù)上，入侵檢測分為兩類基于標(biāo)志（signature-based）又叫做基于規(guī)則（rule-based）基于規(guī)則的檢測技術(shù)的核心是維護(hù)一個知識庫，對于已知的攻擊，它可以詳細(xì)、準(zhǔn)確的報告出攻擊類型，但是對未知攻擊卻效果有限，而且知識庫必須不斷更新?；诋惓Ｇ闆r（anomaly-based）基于異常的檢測技術(shù)則無法準(zhǔn)確判別出攻擊的手法，但它可以（至少在理論上可以）判別更廣泛、甚至未發(fā)覺的攻擊。在兩種檢測技術(shù)的基礎(chǔ)上形成了兩種不同形式的檢測模型：入侵檢測可以分為異常檢測模型（AnomalyDetection)和誤用檢測模型（MisuseDetection)。入侵檢測系統(tǒng)分類從技術(shù)上，入侵檢測分為兩類異常檢測模型檢測與可接受行為之間的偏差。其效率取決于用戶輪廓的完備性和監(jiān)控的頻率。異常入侵檢測方法：統(tǒng)計異常檢測、基于特征選擇異常檢測、基于貝葉斯推理異常檢測、基于貝葉斯網(wǎng)絡(luò)異常檢測、基于模式預(yù)測異常檢測、基于神經(jīng)網(wǎng)絡(luò)異常檢測、基于貝葉斯聚類異常檢測、基于機器學(xué)習(xí)異常檢測、基于數(shù)據(jù)挖掘異常檢測、基于誤用的入侵檢測。監(jiān)控量化比較判定修正異常檢測過程入侵檢測系統(tǒng)分類從技術(shù)上，入侵檢測分為兩類誤用檢測模型前提是所有的入侵行為都有可被檢測到的特征。主要思想是通過某種方式預(yù)先定義入侵行為，然后監(jiān)視系統(tǒng)，從中找出符合預(yù)先定義規(guī)則的入侵行為。誤用入侵檢測方法主要有：基于條件概率誤用檢測、基于專家系統(tǒng)誤用檢測、基于狀態(tài)遷移誤用檢測、基于鍵盤監(jiān)控誤用檢測、基于模型誤用檢測、基于誤用的入侵檢測。特點是錯報的概率比較低，但是漏報的概率比較高。誤用檢測過程監(jiān)控特征提取匹配判定入侵檢測系統(tǒng)分類按照數(shù)據(jù)來源分類基于主機的入侵檢測系統(tǒng)基于主機的入侵檢測監(jiān)視與分析主機的審計記錄，由于內(nèi)部人員的威脅正變得更重要，基于主機入侵檢測主要發(fā)現(xiàn)特權(quán)濫用、關(guān)鍵數(shù)據(jù)的訪問及修改、安全配置的變化等威脅。該系統(tǒng)有兩種工作方式：集中式和分布式，集中式功能主要有：警報、監(jiān)視、毀壞情況評估、遵從性分析等。存在問題:能否及時采集到審計記錄？如何保護(hù)作為攻擊目標(biāo)主機審計子系統(tǒng)？入侵檢測系統(tǒng)分類按照數(shù)據(jù)來源分類基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)在共享網(wǎng)段上對通信數(shù)據(jù)進(jìn)行偵聽采集數(shù)據(jù)，主機資源消耗少，提供對網(wǎng)絡(luò)通用的保護(hù)?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)由遍及網(wǎng)絡(luò)的傳感器（Sensor)組成，傳感器向中央控制臺報告數(shù)據(jù)。存在問題：如何適應(yīng)高速網(wǎng)絡(luò)環(huán)境？非共享網(wǎng)絡(luò)上如何采集數(shù)據(jù)？配置/管理網(wǎng)絡(luò)安全數(shù)據(jù)庫入侵分析引擎器傳感器傳感器分析結(jié)果入侵檢測的基本原理和結(jié)構(gòu)入侵檢測的分類入侵檢測的技術(shù)指標(biāo)入侵檢測的標(biāo)準(zhǔn)化和發(fā)展方向入侵檢測系統(tǒng)的實例目錄入侵檢測系統(tǒng)的技術(shù)指標(biāo)誤報所謂入侵檢測系統(tǒng)誤報是指系統(tǒng)中的檢測算法將正常的網(wǎng)絡(luò)數(shù)據(jù)當(dāng)成了攻擊。產(chǎn)生誤報的若干原因在基于規(guī)則的入侵檢測系統(tǒng)中，管理員對規(guī)則的定義不夠嚴(yán)禁可能導(dǎo)致產(chǎn)生誤報入侵檢測系統(tǒng)中采用異常檢測模型，則產(chǎn)生誤報的可能性將大大增加。在誤用檢測模型中，外部攻擊者只需要構(gòu)建基于入侵規(guī)則的數(shù)據(jù)報文，就可以形成對入侵檢測系統(tǒng)的攻擊，產(chǎn)生大量的誤報信息。降低誤報的技術(shù)手段將傳統(tǒng)的基于特征的技術(shù)和協(xié)議分析技術(shù)相結(jié)合將基于異常的技術(shù)和傳統(tǒng)的基于特征的技術(shù)相結(jié)合強化IDS的安全管理功能入侵檢測系統(tǒng)的技術(shù)指標(biāo)漏報與入侵檢測誤報相比，漏報導(dǎo)致的損失更加嚴(yán)重。漏報產(chǎn)生的原因基于誤用檢測模型的入侵檢測系統(tǒng)，由于規(guī)則不全或者規(guī)則庫的更新不及時基于異常檢測模型的入侵檢測系統(tǒng)由于不能正確界定異常和正常的現(xiàn)象減少漏報的措施及時更新規(guī)則庫，保證規(guī)則庫保持為最新狀態(tài)根據(jù)內(nèi)部網(wǎng)絡(luò)的特點和相關(guān)管理維護(hù)經(jīng)驗，定制適合內(nèi)部網(wǎng)絡(luò)的相關(guān)規(guī)則正確定義異常檢測模型中的正常和異常情況，采用人工干預(yù)等方法和手段，提高異常檢測模型的識別能力入侵檢測系統(tǒng)的技術(shù)指標(biāo)管理能力需要控制臺和日志分析程序來管理和分析多個網(wǎng)絡(luò)引擎及它們產(chǎn)生的警報；網(wǎng)絡(luò)設(shè)備產(chǎn)品提供商，為用戶提供遠(yuǎn)程管理功能；存在問題：用戶只能被動地得到信息，而不能主動控制遠(yuǎn)程的網(wǎng)絡(luò)引擎

。健壯性程序本身在各種網(wǎng)絡(luò)環(huán)境下都能正常工作；程序各個模塊之間的通信能夠不被破壞，不可仿冒。入侵檢測的基本原理和結(jié)構(gòu)入侵檢測的分類入侵檢測的技術(shù)指標(biāo)入侵檢測的標(biāo)準(zhǔn)化和發(fā)展方向入侵檢測系統(tǒng)的實例目錄標(biāo)準(zhǔn)化和發(fā)展方向 目前，對IDS進(jìn)行標(biāo)準(zhǔn)化的工作有兩個組織：IETF的入侵檢測工作組(IDWG，/html.charters/OLD/idwg-charter.html)和通用入侵檢測框架(CIDF，/cidf/)。 從進(jìn)展?fàn)顩r來看，目前IDWG基本形成了4個RFC文檔，其中有3個文檔實在2007年3月從草案正式被接受為RFC文檔的，歷時數(shù)年之久，相當(dāng)不容易；但是CIDF的進(jìn)展就不盡如人意了，目前該項目組的工作基本處于停滯狀態(tài)，其思想和理念也沒有得到很好的貫徹和執(zhí)行。標(biāo)準(zhǔn)化和發(fā)展方向入侵檢測工作組IDWG的主要工作是定義相關(guān)的數(shù)據(jù)格式和共享信息的交換過程，用于入侵檢測與響應(yīng)（IntrusionDetectionandResponse，IDR）系統(tǒng)之間或與需要交互的管理系統(tǒng)之間的信息共享。IDWG已經(jīng)形成了四份RFC文檔，主要包括三部分內(nèi)容：隧道輪廓（TunnelProfile，RFC3620）、入侵檢測消息交換格式（IDMEF，RFC4766，RFC4765）以及入侵檢測交換協(xié)議（IDXP，RFC4767）。標(biāo)準(zhǔn)化和發(fā)展方向通用入侵檢測框架

CIDF所做的工作主要包括四部分：IDS的體系結(jié)構(gòu)、通信機制、描述語言和應(yīng)用編程接口API。提出了一個通用模型CIDF將一個入侵檢測系統(tǒng)分為四個組件：事件產(chǎn)生器（Eventgenerators）、事件分析器（Eventanalyzers）、響應(yīng)單元（Responseunits）、事件數(shù)據(jù)庫（Eventdatabases）。CIDF的總體目標(biāo)是實現(xiàn)軟件的復(fù)用和IDR（入侵檢測與響應(yīng)）組件之間的互操作性。事件產(chǎn)生器響應(yīng)單元事件數(shù)據(jù)庫事件分析器

CIDF的體系結(jié)構(gòu)原始事件響應(yīng)事件標(biāo)準(zhǔn)化和發(fā)展方向入侵檢測系統(tǒng)的技術(shù)難點存在問題誤報和漏報的矛盾隱私和安全的矛盾被動分析與主動發(fā)現(xiàn)的矛盾海量信息與分析代價的矛盾功能性和可管理性的矛盾單一的產(chǎn)品與復(fù)雜的網(wǎng)絡(luò)應(yīng)用的矛盾網(wǎng)絡(luò)規(guī)模擴(kuò)大，網(wǎng)絡(luò)速度提高，其需滿足高速大規(guī)模網(wǎng)絡(luò)應(yīng)用需求標(biāo)準(zhǔn)化和發(fā)展方向入侵檢測系統(tǒng)發(fā)展趨勢分析技術(shù)的改進(jìn)入侵檢測分析方法主要有：統(tǒng)計分析、模式匹配、數(shù)據(jù)重組、協(xié)議分析、行為分析等。目前最好綜合使用多種檢測技術(shù)，而不只是依靠傳統(tǒng)的統(tǒng)計分析和模式匹配技術(shù)。另外，規(guī)則庫是否及時更新也和檢測的準(zhǔn)確程度相關(guān)。內(nèi)容回卷和網(wǎng)絡(luò)審計功能的引入內(nèi)容恢復(fù)即在協(xié)議分析的基礎(chǔ)上，對網(wǎng)絡(luò)中發(fā)生的行為加以完整的重組和記錄，網(wǎng)絡(luò)中發(fā)生的任何行為都逃不過它的監(jiān)視。網(wǎng)絡(luò)審計即對網(wǎng)絡(luò)中所有的連接事件進(jìn)行記錄。集成網(wǎng)絡(luò)分析和管理功能入侵檢測產(chǎn)品集成網(wǎng)管功能、掃描器(Scanner)、嗅探器(Sniffer)等功能是以后發(fā)展的方向標(biāo)準(zhǔn)化和發(fā)展方向入侵檢測系統(tǒng)發(fā)展趨勢提高安全性和易用性對易用性的要求也日益增強；全中文的圖形界面、自動的數(shù)據(jù)庫維護(hù)、多樣的報表輸出，這些都是入侵產(chǎn)品以后繼續(xù)發(fā)展細(xì)化的趨勢。改進(jìn)對高速網(wǎng)絡(luò)的處理方法對大數(shù)據(jù)量處理的要求，入侵檢測的性能要求也逐步提高，出現(xiàn)了千兆入侵檢測等產(chǎn)品。網(wǎng)絡(luò)數(shù)據(jù)分流也是一個很好的解決方案，性價比也較好，是國際上較通用的一種作法。入侵檢測的基本原理和結(jié)構(gòu)入侵檢測的分類入侵檢測的技術(shù)指標(biāo)入侵檢測的標(biāo)準(zhǔn)化和發(fā)展方向入侵檢測系統(tǒng)的實例目錄LIDSLIDS全稱Linux入侵檢測系統(tǒng)，是增強Linux核心的安全的補丁程序。它主要應(yīng)用了一種安全參考模型和強制訪問控制（MandatoryAccessControl）模型。LIDS能夠保護(hù)重要的系統(tǒng)文件、重要的系統(tǒng)進(jìn)程、并能阻止對系統(tǒng)配制信息的改變和對設(shè)備的讀寫操作。LIDSLIDS主要功能保護(hù)檢測響應(yīng)LIDS的安裝安裝LIDS安裝lids管理工具LIDS的配置SNORTSnort是一個開放源碼的網(wǎng)絡(luò)入侵檢測系統(tǒng)，可以免費獲得（）。Snort有三種工作模式：嗅探器、數(shù)據(jù)包記錄器、網(wǎng)絡(luò)入侵檢測系統(tǒng)。嗅探器模式就是snort從網(wǎng)絡(luò)上讀出數(shù)據(jù)包然后顯示在用戶的控制臺上。SNORT規(guī)則Snort的規(guī)則存儲在文本文件中，并可以用文本編輯器修改。規(guī)則以類別分組，不同類別的規(guī)則存儲在不同的文件中。規(guī)則實例

alerttcpanyany->/24111(content:"|000186a5|";msg:"mountdaccess";)SNORTSnort安裝使用SNORT需要安裝的軟件工具包括：SNORT、MySQL、APACHE、PHP、BASE、OlinkMaster；Snort在Debian操作系統(tǒng)下的安裝。1.首先配置好source.list#deb/debianetchmaincontribnon-free#deb-src/debianetchmaincontribnon-free2.安裝需要添加的基本模塊#apt-getinstallapache-sslapache-commonlibapache-mod-php5mysql-servermysql-commonmysql-clientphp5-mysqllibnet1libnet1-devlibpcre3libpcre3-devautoconfautomake1.9libpcap0.8libpcap0.8-devlibmysqlclient15-devphp5-gdlibphp-adodbvimgccmakephp5-clilibtool

libssl-devgcc-4.1g++-4.1#apt-getinstallzlib1gzlib-binzlib1g-devflexbison(/usr/share/adodb不再安裝在/usr/share/adodb下，而是安裝在/usr/share/php/adodb)SNORTSnort安裝Snort在Debian操作系統(tǒng)下的安裝。

3.安裝snort和配置mysql#apt-getinstallsnort#vi/usr/share/doc/snort-mysql/README-database.Debian#mysql--user=rootmysql>CREATEDATABASEsnort_db;>UPDATEuserSETPassword=PASSWORD('amionszmz')WHEREuser='snort';>GRANTallprivilegesonsnort_db.*tosnort@localhost;>GRANTallprivilegesonsnort_db.*tosnort;>flushprivileges;>exit#cd/usr/share/doc/snort-mysql#zcat

create_mysql.gz|mysql-usnortsnort_dbSNORTSnort安裝Snort在Debian操作系統(tǒng)下的安裝。#cd/etc/snort/;mvdb-pending-configdb-pending-config.bak#vi/etc/snort/snort.conf

添加

outputdatabase:log,mysql,user=snortdbname=snort_db#/etc/init.d/snortstart4.安裝和配置BASE#tarxzvf/home/amions/base-1.3.6.tar.gz#mv/home/amions/base-1.3.6/var/www#chown

root.root/var/www/base-1.3.6-Rf#cd/var/www/base-1.3.6/sql#zcat

create_base_tbls_mysql.sql|mysql-usnortsnort_db#mv/var/www/base-1.3.6/var/www/base訪問http://ip/base設(shè)置base#mv./base_conf.php/var/www/base一個基于異常檢測實例異常檢測測度假設(shè)正常流量行為特征是s（t），異常流量特征是n（t），故實際測量到的流量行為特征是y（t）=s（t）＋n（t）。

假設(shè)1.異常流量行為n（t）是一種偶然行為，n（t）和s（t）具有明顯差異。根據(jù)假設(shè)1，n（t）可以通過統(tǒng)計數(shù)學(xué)工具分離并加以識別。假設(shè)1也可能會存在一些不適應(yīng)的情況：

1）如果異常流量行為n（t）不是一種偶然行為，那么統(tǒng)計分析過程中，異常行為將會作為正常行為；

2）如果n（t）和s（t）沒有明顯差異，異常行為特征n（t）被正常行為s（t）所掩蓋，不能被檢測。一個基于異常檢測實例異常檢測測度圖示了CERNET網(wǎng)絡(luò)某日內(nèi)受到的ICMP掃描攻擊的觀測結(jié)果，可以看出，ICMP請求報文和應(yīng)答報文的比值基本穩(wěn)定在10以下，但其中出現(xiàn)2次大規(guī)模ICMP掃描攻擊使得兩者之間比值劇增。一個基于異常檢測實例實時抽樣測量平均吞吐量表示為其中，Tn是前n個單位時間內(nèi)平均抽樣吞吐量的累加和（T0=0），tn＋1是第n+1個單位時間內(nèi)平均抽樣吞吐量，使用Tn＋1代替Tn是存儲信息，因此新的平均抽樣吞吐量為

對于n+1個數(shù)據(jù)值，樣本標(biāo)準(zhǔn)差對總體標(biāo)準(zhǔn)差的無偏估計定義為：

一個基于異常檢測實例實時抽樣測量

對于每個測度，系統(tǒng)只要維護(hù)三個值：樣本均值、樣本累加和、樣本平方累加和。

標(biāo)準(zhǔn)差能通過計算：設(shè)