計算機網絡安全技術主編劉永華中國水利水電出版社1第5章入侵監(jiān)測技術

2本章主要內容：入侵監(jiān)測的概念、組成、功能及分類入侵檢測模型和體系結構常用的入侵檢測技術入侵檢測系統(tǒng)與協(xié)同入侵檢測發(fā)展現(xiàn)狀和趨勢3本章要求：掌握：入侵監(jiān)測的概念、組成、功能及分類，入侵檢測模型和體系結構。了解：常用的入侵檢測技術，入侵檢測系統(tǒng)與協(xié)同，入侵檢測發(fā)展現(xiàn)狀和趨勢。46.1入侵檢測概述

6.1.1入侵檢測概念這里對入侵檢測相關的一些基本概念作如下通俗的定義。入侵(Intrusion)指的就是試圖破壞計算機保密性、完整性、可用性或可控性的一系列活動。入侵活動包括非授權用戶試圖存取數據、處理數據，或者妨礙計算機正常運行等活動。入侵檢測(IntrusionDetection)就是對計算機網絡和計算機系統(tǒng)的關鍵節(jié)點信息進行收集分析，檢測其中是否有違反安全策略的事件發(fā)生或攻擊跡象，并通知系統(tǒng)安全管理員(SiteSecurityOfficer)。入侵檢測系統(tǒng)(IntrusionDetectionSystem，簡稱IDS)是用于入侵檢測的軟件和硬件的合稱，是加載入侵檢測技術的系統(tǒng)。56.1.2入侵檢測系統(tǒng)組成事件產生器響應單元事件分析器事件數據庫66.1.3入侵檢測功能1．監(jiān)控、分析用戶和系統(tǒng)的活動入侵檢測系統(tǒng)通過獲取進出某臺主機及整個網絡的數據，或者通過查看主機日志等信息來監(jiān)控用戶和系統(tǒng)活動。獲取網絡數據的方法一般是“抓包”，即將數據流中的所有包都抓下來進行分析。72．發(fā)現(xiàn)入侵企圖或異常現(xiàn)象這是入侵檢測系統(tǒng)的核心功能。主要包括兩個方面，一是入侵檢測系統(tǒng)對進出網絡或主機的數據流進行監(jiān)控，查看是否存在入侵行為；另一方面則評估系統(tǒng)關鍵資源和數據文件的完整性，查看系統(tǒng)是否已經遭受了入侵。前者的作用是在入侵行為發(fā)生時及時發(fā)現(xiàn)，從而避免系統(tǒng)遭受攻擊；而后者一般是攻擊行為已經發(fā)生，但可以通過攻擊行為留下的痕跡的一些情況，從而避免再次遭受攻擊。對系統(tǒng)資源完整性的檢查也有利于對攻擊者進行追蹤或者取證。83．記錄、報警和響應入侵檢測系統(tǒng)在檢測到攻擊后，應該采取相應的措施來阻止或響應攻擊。它應該首先記錄攻擊的基本情況，其次應該能夠及時發(fā)出警告。良好的入侵檢測系統(tǒng)，不僅應該能把相關數據記錄在文件或數據庫中，還應該提供報表打印功能。必要時，系統(tǒng)還能夠采取必要的響應行為，如拒絕接收所有來自某臺計算機的數據，追蹤入侵行為等。實現(xiàn)與防火墻等安全部件的交互響應，也是入侵檢測系統(tǒng)需要研究和完善的功能之一。96.2入侵檢測系統(tǒng)分類6.2.1根據數據源分類入侵檢測系統(tǒng)要對所監(jiān)控的網絡或主機的當前狀態(tài)做出判斷，需要以原始數據中包含的信息為基礎。按照原始數據的來源，可以將入侵檢測系統(tǒng)分為基于主機的入侵檢測系統(tǒng)、基于網絡的入侵檢測系統(tǒng)和基于應用的入侵檢測系統(tǒng)等類型。101.基于主機的入侵檢測系統(tǒng)基于主機的入侵檢測系統(tǒng)主要用于保護運行關鍵應用的服務器，它通過監(jiān)視與分析主機的審計記錄和日志文件來檢測入侵，日志中包含發(fā)生在系統(tǒng)上的不尋?；顒拥淖C據，這些證據可以指出有人正在入侵或已成功入侵了系統(tǒng)。通過查看日志文件，能夠發(fā)現(xiàn)成功的入侵或入侵企圖，并啟動相應的應急措施。112．基于網絡的入侵檢測系統(tǒng)基于網絡的入侵檢測系統(tǒng)主要用于實時監(jiān)控網絡關鍵路徑的信息，它能夠監(jiān)聽網絡上的所有分組，并采集數據以分析可疑現(xiàn)象。基于網絡的入侵檢測系統(tǒng)使用原始網絡包作為數據源，通常利用一個運行在混雜模式下的網絡適配器來實時監(jiān)視，并分析通過網絡的所有通信業(yè)務。基于網絡的入侵檢測系統(tǒng)可以提供許多基于主機的入侵檢測法無法提供的功能。許多客戶在最初使用入侵檢測系統(tǒng)時，都配置了基于網絡的入侵檢測。123．基于應用的入侵檢測系統(tǒng)基于應用(Application)的入侵檢測系統(tǒng)是基于主機的入侵檢測系統(tǒng)的一個特殊子集，其特性、優(yōu)缺點與基于主機的入侵檢測系統(tǒng)基本相同。由于這種技術能夠更準確地監(jiān)控用戶某一應用行為，所以在日益流行的電子商務中越來越受到注意。136.2.2根據檢測原理分類根據系統(tǒng)所采用的檢測方法，將入侵檢測分為異常入侵檢測和誤用入侵檢測兩類。14(1)異常入侵檢測。異常入侵檢測是指能夠根據異常行為和使用計算機資源的情況檢測入侵。異常入侵檢測試圖用定量的方式描述可以接受的行為特征，以區(qū)分非正常的、潛在的入侵行為。Anderson做了如何通過識別“異?！毙袨閬頇z測入侵的早期工作，他提出了一個威脅模型，將威脅分為外部闖入(用戶雖然授權，但對授權數據和資源的使用不合法，或濫用授權)、內部滲透和不當行為3種類型，并采用這種分類方法開發(fā)了一個安全監(jiān)視系統(tǒng)，可檢測用戶的異常行為。

15(2)誤用入侵檢測。誤用入侵檢測是指利用已知系統(tǒng)和應用軟件的弱點攻擊模式來檢測入侵。與異常入侵檢測不同，誤用入侵檢測能直接檢測不利或不可接受的行為，而異常入侵檢測則是檢查出與正常行為相違背的行為。166.2.3根據體系結構分類6.2.3根據體系結構分類1．集中式集中式入侵檢測系統(tǒng)包含多個分布于不同主機上的審計程序，但只有一個中央入侵檢測服務器，審計程序把收集到的數據發(fā)送給中央服務器進行分析處理。172．等級式在等級式(部分分布式)入侵檢測系統(tǒng)中，定義了若干個分等級的監(jiān)控區(qū)域，每個入侵檢測系統(tǒng)負責一個區(qū)域，每一級入侵檢測系統(tǒng)只負責分析所監(jiān)控區(qū)域，然后將當地的分析結果傳送給上一級入侵檢測系統(tǒng)。183．協(xié)作式協(xié)作式(分布式)入侵檢測系統(tǒng)將中央檢測服務器的任務分配給多個基于主機的入侵檢測系統(tǒng)，這些入侵檢測系統(tǒng)不分等級，各司其職，負責監(jiān)控當地主機的某些活動。所以，可伸縮性、安全性都得到了顯著的提高，但維護成本也相應增大，并且增加了所監(jiān)控主機的工作負荷，如通信機制、審計開銷、蹤跡分析等。196.2.4根據工作方式分類

入侵檢測系統(tǒng)根據工作方式可分為離線檢測系統(tǒng)和在線檢測系統(tǒng)。(1)離線檢測。離線檢測系統(tǒng)是一種非實時工作的系統(tǒng)，在事件發(fā)生后分析審計事件，從中檢查入侵事件。這類系統(tǒng)的成本低，可以分析大量事件，調查長期的情況；但由于是在事后進行，不能對系統(tǒng)提供及時的保護，而且很多入侵在完成后都會將審計事件刪除，因而無法審計。(2)在線檢測。在線檢測對網絡數據包或主機的審計事件進行實時分析，可以快速響應，保護系統(tǒng)安全；但在系統(tǒng)規(guī)模較大時，難以保證實時性。206.2.5根據系統(tǒng)其他特征分類作為一個完整的系統(tǒng)，其系統(tǒng)特征同樣值得認真研究。一般來說可以將以下一些重要特征作為分類的考慮因素。

1．系統(tǒng)的設計目標2．事件生成／收集的方式3．檢測時間(同步技術)4．入侵檢測響應方式5．數據處理地點216.3入侵檢測技術6.3.1誤用檢測技術誤用檢測技術指通過將收集到的數據與預先確定的特征知識庫里的各種攻擊模式進行比較，如果發(fā)現(xiàn)有攻擊特征，則判斷有攻擊，對檢測已知攻擊比較有效。特征知識庫是將已知的攻擊方法和技術的特征提取出來，來建立的一個知識庫。常用的誤用檢測技術有專家系統(tǒng)、模型推理和狀態(tài)轉換分析等。221.專家系統(tǒng)專家系統(tǒng)是誤用檢測技術中運用最多的一種方法。它將有關入侵的知識轉化為If-Then結構的規(guī)則，即將構成入侵所要求的條件轉化為If部分，將發(fā)現(xiàn)入侵后采取的相應措施轉化成Then部分。當其中某個或某部分條件滿足時，系統(tǒng)就判斷為入侵行為發(fā)生。其中的If-Then結構構成了描述具體攻擊的規(guī)則庫，狀態(tài)行為及其語義環(huán)境可根據審計事件得到，推理機制根據規(guī)則和行為完成判斷工作。232.模型推理模型推理是指結合攻擊腳本推理出入侵行為是否出現(xiàn)，其中攻擊行為描述攻擊目的、攻擊步驟，以及對系統(tǒng)的特殊使用等。3.狀態(tài)轉換分析狀態(tài)轉換分析最早由R.Kemmerer提出，即將狀態(tài)轉換圖應用于入侵行為的分析。246.3.2異常檢測技術誤用檢測技術需要已知入侵的行為模式，所以不能檢測未知的入侵。異常檢測則可以檢測未知的入侵。基于異常檢測的入侵檢測首先要構建用戶正常行為的統(tǒng)計模型，然后將當前行為與正常行為特征相比較來檢測入侵。常用的異常檢測技術有概率統(tǒng)計方法和神經網絡方法兩種。251.概率統(tǒng)計方法概率統(tǒng)計方法是異常檢測技術中應用最早也是最多的一種方法。首先，檢測器根據用戶的動作建立用戶特征表，通過比較當前特征與已存儲定型的特征，從而判斷是否為異常行為。用戶特征表需要根據審計記錄情況不斷加以更新。262.神經網絡方法利用神經網絡檢測入侵的基本思想是用一系列信息單元(命令)訓練神經元，這樣在給定一組輸入值后，就可能預測出輸出結果。與統(tǒng)計理論相比，神經網絡更好地表達了變量間的非線性關系，并且能自動學習和更新。實驗表明，UNIX系統(tǒng)管理員的行為幾乎全是可以預測的，不可預測的行為只占了很少的一部分。276.3.3高級檢測技術高級檢測技術主要包括文件完整性檢查、計算機免疫技術、遺傳算法、模糊證據理論、數據挖掘和數據融合等。281.文件完整性檢查文件完整性檢查系統(tǒng)檢查計算機中自上次檢查后文件的變化情況，它能夠保存每個文件的數字文摘數據庫，每次檢查時，重新計算文件的數字文摘，并將其與數據庫中的值相比較。如不同，則說明文件已被修改；若相同，說明文件未發(fā)生變化。2.計算機免疫技術Forrest等人首次提出計算機免疫技術，這種免疫機制在處理外來異常時呈現(xiàn)了分布的、多樣性的、自治的以及自修復的特征，免疫系統(tǒng)通過識別異?；蛞郧拔闯霈F(xiàn)的特征來確定入侵。計算機免疫技術為入侵檢測提供了一個思路，即通過正常行為的學習來識別不符合常態(tài)的行為序列。293.遺傳算法遺傳算法的基本思想來源于Darwin的進化論和Mendel的遺傳學說，最早由BagleyJ.D在1967年提出。遺傳算法在入侵檢測中的應用時間不長，在一些研究試驗中，利用若干字符串序列來定義用于分析檢測的指令組，這些指令在初始訓練階段不斷進化，提高分析能力。此外，也有人將遺傳算法與神經網絡相結合，將其應用于網絡的學習、網絡的結構設計和網絡的分析等方面，然后應用到入侵檢測領域。304.模糊證據理論入侵檢測的評判標準本身就具有一定的模糊性，模糊證據理論因此被引入到入侵檢測中。李之棠等建立了一種基于模糊專家系統(tǒng)的入侵檢測框架模型，該模型吸收了誤用檢測和異常檢測的優(yōu)點，能較好地降低漏警率和虛警率。5.數據挖掘數據挖掘(DataMining)也稱數據庫中的知識發(fā)現(xiàn)(KDD，KnowledgeDiscoveryinDatabase)。數據挖掘是指從大型數據庫中提取人們感興趣的知識，提取的知識一般可表示為概念(Concepts)、規(guī)則(Rules)、規(guī)律(Regularities)和模式(Patterns)等形式。數據挖掘是一門交叉性學科，涉及到機器學習、模式識別、歸納推理、統(tǒng)計學、數據庫、數據可視化以及高性能計算等多個領域。

316.數據融合數據融合是針對同一系統(tǒng)中使用多個或多類傳感器這一特定問題展開的一種新的數據處理方法，因此數據融合又稱作多傳感器信息融合或信息融合。多傳感器數據融合的定義可概括為充分利用不同時間與空間的多傳感器數據資源，采用計算機技術對按時間序列獲得的多傳感器觀測數據，在一定規(guī)則下進行分析、綜合、支配和使用，獲得對被測對象的一致性解釋與描述，進而實現(xiàn)相應的決策和評估，使系統(tǒng)獲得比其各組成部分更充分的信息。326.3.4入侵誘騙技術1.概念入侵誘騙技術是較傳統(tǒng)入侵檢測技術更為主動的一種安全技術。入侵誘騙技術包括蜜罐(Honeypot)和蜜網(Honeynet)兩種，加載蜜罐技術和蜜網技術的系統(tǒng)分別稱為蜜罐系統(tǒng)和蜜網系統(tǒng)。顧名思義，入侵誘騙技術就是用特有的特征吸引攻擊者，以便對攻擊者的各種攻擊行為進行分析，并找到有效的對付方法。為了吸引攻擊者，網絡安全專家通常還在Honeypot上故意留下一些安全后門，或者放置一些網絡攻擊者希望得到的敏感信息(當然這些信息都是虛假的信息)。當攻擊者正為攻入目標系統(tǒng)而沾沾自喜，他在目標系統(tǒng)中的所有行為，包括輸入的字符、執(zhí)行的操作等都已經被Honeypot所記錄。332.蜜罐技術Honeypot是一種被偵聽、被攻擊或已經被入侵的資源，也就是說，無論如何對Honeypot進行配置，最終目的就是使得整個系統(tǒng)處于被偵聽、被攻擊的狀態(tài)。Honeypot并非一種安全解決方案，這是因為它并不會“修理”任何錯誤，它只是一種工具，如何使用這個工具取決于使用者想要做到什么。Honeypot可以僅僅是一個對其他系統(tǒng)和應用的仿真，也可以創(chuàng)建一個監(jiān)禁環(huán)境將攻擊者圍困其中，還可以是一個標準的產品系統(tǒng)。無論使用者如何建立和使用Honeypot，只有Honeypot受到攻擊，其作用才能發(fā)揮出來。343.蜜網技術Honeynet可以獲取攻擊者信息，大部分傳統(tǒng)的Honeypot都進行對攻擊的誘騙或檢測。這些傳統(tǒng)的Honeypot通常都是—個單獨的系統(tǒng)，用于模擬其他系統(tǒng)、已知的服務和弱點。Honeynet不同于傳統(tǒng)的Honeypot，它并不是一種比傳統(tǒng)的Honeypot更好的解決方案，只是其側重點不同而已。其工作實質是在各種網絡跡象中獲取所需的信息，而不是對攻擊進行誘騙或檢測。356.3.5入侵響應技術入侵響應技術是入侵檢測技術的配套技術，一般的入侵檢測系統(tǒng)會同時使用這兩種技術。根據系統(tǒng)設計的功能和目的不同，有時也稱以實施入侵響應技術為主的系統(tǒng)為入侵響應系統(tǒng)。入侵響應技術可分為主動響應和被動響應兩種類型。在主動響應里，入侵檢測系統(tǒng)能阻塞攻擊，或影響進而改變攻擊的進程；在被動攻擊里，入侵檢測系統(tǒng)僅僅簡單地報告和記錄所檢測出的問題。主動響應和被動響應并不是相互排斥的。不管使用哪一種響應機制，入侵檢測系統(tǒng)總能以日志的形式記錄檢測結果。361.主動響應即檢測到入侵后立即采取行動。主動響應有兩種形式，一種是由用戶驅動的，一種是由系統(tǒng)本身自動執(zhí)行的。對入侵者采取反擊行動，修正系統(tǒng)環(huán)境和收集盡可能多的信息是主動響應的基本手段。(1)對入侵者采取反擊行動(2)修正系統(tǒng)環(huán)境(3)收集額外信息372.被動響應被動響應就是只向用戶提供信息，而由用戶去決定是否采取下一步行動的響應。在早期的入侵檢測系統(tǒng)里，所有的響應都是被動的。

386.4入侵檢測體系6.4.1入侵檢測模型為