第７章網(wǎng)絡(luò)入侵檢測技術(shù)7.1入侵檢測原理7.1.1入侵檢測的概念

1980年，JamesP.Anderson等人第一次提出了入侵檢測（IntrusionDetection）的概念，其定義為：對潛在的有預(yù)謀的未經(jīng)授權(quán)的訪問信息、操作信息致使系統(tǒng)不可靠、不穩(wěn)定或無法使用的企圖的檢測和監(jiān)視；并將威脅分為外部滲透、內(nèi)部滲透和不法行為三種，還提出了利用審計(jì)跟蹤數(shù)據(jù)監(jiān)視入侵活動的思想。換句話說，入侵檢測是指在計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對收集到的信息進(jìn)行分析，從而判斷網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象，它是對入侵行為的發(fā)覺。從該定義可以看出，入侵檢測對安全保護(hù)采取的是一種積極、主動的防御策略，而傳統(tǒng)的安全技術(shù)都是一些消極、被動的保護(hù)措施。入侵檢測技術(shù)與傳統(tǒng)的安全技術(shù)不同，它對進(jìn)入系統(tǒng)的訪問者（包括入侵者）能進(jìn)行實(shí)時(shí)的監(jiān)視和檢測，一旦發(fā)現(xiàn)訪問者對系統(tǒng)進(jìn)行非法的操作（這時(shí)訪問者成為了入侵者），就會向系統(tǒng)管理員發(fā)出警報(bào)或者自動截?cái)嗯c入侵者的連接，這樣就會大大提高系統(tǒng)的安全性。所以對入侵檢測技術(shù)研究是非常有必要的，并且它也是一種全新理念的網(wǎng)絡(luò)（系統(tǒng)）防護(hù)技術(shù)。入侵檢測作為其他經(jīng)典手段的補(bǔ)充和加強(qiáng)，是任何一個(gè)安全系統(tǒng)中不可或缺的最后一道防線。入侵檢測可以分為兩種方法：被動、非在線地發(fā)現(xiàn)和實(shí)時(shí)、在線地發(fā)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的攻擊者。從大量非法入侵或計(jì)算機(jī)盜竊案例可以清晰地看到，計(jì)算機(jī)系統(tǒng)的最基本防線“存取控制”和“訪問控制”，在許多場合并不是防止外界非法入侵和防止內(nèi)部用戶攻擊的絕對屏障。大量攻擊成功的案例是由于系統(tǒng)內(nèi)部人員不恰當(dāng)?shù)鼗驉阂獾貫E用特權(quán)而導(dǎo)致的。入侵檢測是對傳統(tǒng)安全產(chǎn)品的合理補(bǔ)充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測系統(tǒng)（IDS，IntrusionDetectionSystem）被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。這些都通過它執(zhí)行以下任務(wù)來實(shí)現(xiàn)：

（1）監(jiān)視、分析用戶及系統(tǒng)活動；（2）系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)；（3）識別反映已知進(jìn)攻的活動模式并向相關(guān)人士報(bào)警；（4）異常行為模式的統(tǒng)計(jì)分析；（5）評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；（6）對操作系統(tǒng)的審計(jì)跟蹤管理，并識別用戶違反安全策略的行為。7.1.2入侵檢測模型最早的入侵檢測模型是由DorothyDenning于1987年提出的CIDF(CommonIntrusion[JP]DetectionFramework)，該模型雖然與具體系統(tǒng)和具體輸入無關(guān)，但是對此后的大部分實(shí)用系統(tǒng)都有很大的借鑒價(jià)值。圖7.1表示了該通用模型的體系結(jié)構(gòu)。圖7.1通用入侵檢測系統(tǒng)（CIDF）模型1. 異常檢測原理異常檢測原理指的是根據(jù)非正常行為（系統(tǒng)或用戶）和使用計(jì)算機(jī)資源非正常情況檢測出入侵行為。異常檢測原理模型如圖7.2所示。從圖7.2可以看出，異常檢測原理根據(jù)假設(shè)攻擊與正常的（合法的）活動有很大的差異來識別攻擊。異常檢測首先收集一段時(shí)期正常操作活動的歷史記錄，再建立代表用戶、主機(jī)或網(wǎng)絡(luò)連接的正常行為輪廓，然后收集事件數(shù)據(jù)并使用一些不同的方法來決定所檢測到的事件活動是否偏離了正常行為模式?；诋惓z測原理的入侵檢測方法和技術(shù)有如下幾種：圖7.2異常檢測原理模型

2. 誤用檢測原理誤用檢測原理是指根據(jù)已經(jīng)知道的入侵方式來檢測入侵。入侵者常常利用系統(tǒng)和應(yīng)用軟件中的弱點(diǎn)或漏洞來攻擊系統(tǒng)，而這些弱點(diǎn)或漏洞可以編成一些模式，如果入侵者的攻擊方式恰好匹配上檢測系統(tǒng)模式庫中的某種模式，則入侵即被檢測到了。誤用檢測原理模型如圖7.3所示。圖7.3誤用檢測原理模型

于誤用檢測原理的入侵檢測方法和技術(shù)主要有如下幾種：

(1)基于條件概率的誤用檢測方法；

(2)基于專家系統(tǒng)的誤用檢測方法；

(3)基于狀態(tài)遷移分析的誤用檢測方法；

(4)基于鍵盤監(jiān)控的誤用檢測方法；

(5)基于模型的誤用檢測方法。

7.1.3

IDS在網(wǎng)絡(luò)中的位置當(dāng)實(shí)際使用檢測系統(tǒng)的時(shí)候，首先面臨的問題就是決定應(yīng)該在系統(tǒng)的什么位置安裝檢測和分析入侵行為用的感應(yīng)器Sensor或檢測引擎Engine。對于基于主機(jī)的IDS，一般來說，直接將檢測代理安裝在受監(jiān)控的主機(jī)系統(tǒng)上。對于基于網(wǎng)絡(luò)的IDS，情況稍微復(fù)雜一些，下面以一常見的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)（見圖7.4）來分析IDS檢測引擎應(yīng)該位于網(wǎng)絡(luò)中的哪些位置。圖7.4

IDS在網(wǎng)絡(luò)中的位置

位置1：感應(yīng)器位于防火墻的外側(cè)，非系統(tǒng)信任域，它將負(fù)責(zé)檢測來自外部的所有入侵企圖（這可能產(chǎn)生大量的報(bào)告）。通過分析這些攻擊將幫助完善系統(tǒng)并決定是否在系統(tǒng)內(nèi)部部署IDS。對于一個(gè)配置合理的防火墻來說，這些攻擊企圖不會帶來嚴(yán)重的問題，因?yàn)橹挥羞M(jìn)入內(nèi)部網(wǎng)絡(luò)的攻擊才會對系統(tǒng)造成真正的損失。位置2：很多站點(diǎn)都把對外提供服務(wù)的服務(wù)器單獨(dú)放在一個(gè)隔離的區(qū)域，通常稱為DMZ（非軍事化區(qū)）。在此放置一個(gè)檢測引擎是非常必要的，因?yàn)檫@里提供的很多服務(wù)都是黑客樂于攻擊的目標(biāo)。位置3：此處應(yīng)該是最重要、最應(yīng)該放置檢測引擎的地方。對于那些已經(jīng)透過系統(tǒng)邊緣防護(hù)，進(jìn)入內(nèi)部網(wǎng)絡(luò)準(zhǔn)備進(jìn)行惡意攻擊的黑客，這里正是利用IDS系統(tǒng)及時(shí)發(fā)現(xiàn)并作出反應(yīng)的最佳地點(diǎn)。

7.2入侵檢測方法入侵檢測系統(tǒng)的實(shí)現(xiàn)方法有：（1）基于概率統(tǒng)計(jì)的檢測；（2）基于神經(jīng)網(wǎng)絡(luò)的檢測；（3）基于專家系統(tǒng)的檢測；（4）基于模型推理的檢測；（5）基于免疫的檢測等。7.2.1基于概率統(tǒng)計(jì)的檢測基于概率統(tǒng)計(jì)的檢測技術(shù)是在異常入侵檢測中用的最普遍的技術(shù)，它是對用戶歷史行為建立的模型。根據(jù)該模型，當(dāng)發(fā)現(xiàn)有可疑的用戶行為發(fā)生時(shí)保持跟蹤，并監(jiān)視和記錄該用戶的行為。基于概率統(tǒng)計(jì)的檢測技術(shù)旨在對用戶歷史行為建模。根據(jù)該模型，當(dāng)發(fā)現(xiàn)有可疑的用戶行為發(fā)生時(shí)，保持跟蹤，并監(jiān)視和記錄該用戶的行為。SRI（StandfordResearchInstitute）研制開發(fā)的IDES（IntrusionDetectionExpertSystem）是一個(gè)典型的實(shí)時(shí)檢測系統(tǒng)。IDES系統(tǒng)能根據(jù)用戶以前的歷史行為，生成每個(gè)用戶的歷史行為記錄庫，并能自適應(yīng)地學(xué)習(xí)被檢測系統(tǒng)中每個(gè)用戶的行為習(xí)慣，當(dāng)某個(gè)用戶改變其行為習(xí)慣時(shí)，這種異常就被檢測出來。這種系統(tǒng)具有固有的弱點(diǎn)，比如，用戶的行為非常復(fù)雜，因而要想準(zhǔn)確地匹配一個(gè)用戶的歷史行為和當(dāng)前行為是非常困難的。這種方法的一些假設(shè)是不準(zhǔn)確或不貼切的，會造成系統(tǒng)誤報(bào)或錯(cuò)報(bào)、漏報(bào)。在這種實(shí)現(xiàn)方法中，首先檢測器根據(jù)用戶對象的動作為每一個(gè)用戶都建立一個(gè)用戶特征表，通過比較當(dāng)前特征和已存儲的特征，判斷是否有異常行為。用戶特征表需要根據(jù)審計(jì)記錄情況而不斷地加以更新。在SRI的IDES中給出了一個(gè)特征簡表的結(jié)構(gòu)：<變量名，行為描述，例外情況，資源使用，時(shí)間周期，變量類型，閾值，主體，客體，值>。其中，變量名、主體、客體唯一確定了每個(gè)特征簡表。特征值由系統(tǒng)根據(jù)審計(jì)數(shù)據(jù)周期地產(chǎn)生。這個(gè)特征值是所有有悖于用戶特征的異常程度值的函數(shù)。假設(shè)S1，S2，…，Sn分別是用于描述特征的變量M1，M2，…，Mn的異常程度值，Si值越大，表明異常程度越大，則這個(gè)特征值可以用所有Si的加權(quán)和來表示：式中：Ai表示每一特征的權(quán)值。M=A1S12+A2S22+A3S32+…+AnSn2(Ai>0)這種方法的優(yōu)越性在于能應(yīng)用成熟的概率統(tǒng)計(jì)理論，但不足之處在于：（1）統(tǒng)計(jì)檢測對于事件發(fā)生的次序不敏感，完全依靠統(tǒng)計(jì)理論可能會漏掉那些利用彼此相關(guān)聯(lián)事件的入侵行為；（2）定義判斷入侵的閾值比較困難，閾值太高則誤檢率提高，閾值太低則漏檢率增高。7.2.2基于神經(jīng)網(wǎng)絡(luò)的檢測基于神經(jīng)網(wǎng)絡(luò)的檢測技術(shù)的基本思想是用一系列信息單元訓(xùn)練神經(jīng)單元，在給出一定的輸入后，就可能預(yù)測出輸出。它是對基于概率統(tǒng)計(jì)的檢測技術(shù)的改進(jìn)，主要克服了傳統(tǒng)的統(tǒng)計(jì)分析技術(shù)的一些問題，例如：（1）難以表達(dá)變量之間的非線性關(guān)系。（2）難以建立確切的統(tǒng)計(jì)分布。統(tǒng)計(jì)方法基本上是依賴對用戶行為的主觀假設(shè)，如偏差的高斯分布，錯(cuò)發(fā)警報(bào)常由這些假設(shè)所導(dǎo)致。（3）難以實(shí)現(xiàn)方法的普遍性。適用于某一類用戶的檢測措施一般無法適用于另一類用戶。（4）實(shí)現(xiàn)價(jià)值比較昂貴。基于統(tǒng)計(jì)的算法對不同類型的用戶不具有自適應(yīng)性，算法比較復(fù)雜龐大，算法實(shí)現(xiàn)上昂貴，而神經(jīng)網(wǎng)絡(luò)技術(shù)實(shí)現(xiàn)的代價(jià)較小。（5）系統(tǒng)臃腫，難以剪裁。由于網(wǎng)絡(luò)系統(tǒng)是具有大量用戶的計(jì)算機(jī)系統(tǒng)，要保留大量的用戶行為信息，因而導(dǎo)致系統(tǒng)臃腫，難以剪裁?；谏窠?jīng)網(wǎng)絡(luò)的技術(shù)能把實(shí)時(shí)檢測到的信息有效地加以處理，作出攻擊可行性的判斷，不過這種技術(shù)現(xiàn)在還不成熟。7.2.3基于專家系統(tǒng)的檢測進(jìn)行安全檢測工作自動化的另外一個(gè)值得重視的研究方向就是基于專家系統(tǒng)的檢測技術(shù)，即根據(jù)安全專家對可疑行為的分析經(jīng)驗(yàn)來形成一套推理規(guī)則，然后再在此基礎(chǔ)上形成相應(yīng)的專家系統(tǒng)，由此專家系統(tǒng)自動進(jìn)行對所涉及的攻擊操作的分析工作。所謂專家系統(tǒng)，是指基于一套由專家經(jīng)驗(yàn)事先定義的規(guī)則的推理系統(tǒng)。例如，在數(shù)分鐘之內(nèi)某個(gè)用戶連續(xù)進(jìn)行登錄，且失敗超過三次，就可以被認(rèn)為是一種攻擊行為。類似的規(guī)則在統(tǒng)計(jì)系統(tǒng)中似乎也有。同時(shí)應(yīng)當(dāng)說明的是，基于規(guī)則的專家系統(tǒng)或推理系統(tǒng)也有其局限性，因?yàn)樽鳛檫@類系統(tǒng)的基礎(chǔ)的推理規(guī)則，一般都是根據(jù)已知的安全漏洞進(jìn)行安排和策劃的，而對系統(tǒng)最危險(xiǎn)的威脅則主要是來自未知的安全漏洞。實(shí)現(xiàn)基于規(guī)則的專家系統(tǒng)是一個(gè)知識工程問題，而且其功能應(yīng)當(dāng)能夠隨著經(jīng)驗(yàn)的積累而利用其自學(xué)習(xí)能力進(jìn)行規(guī)則的擴(kuò)充和修正。

當(dāng)然，這樣的能力需要在專家的指導(dǎo)和參與下才能實(shí)現(xiàn)，否則可能同樣會導(dǎo)致較多的誤報(bào)現(xiàn)象。一方面，推理機(jī)制使得系統(tǒng)面對一些新的行為現(xiàn)象時(shí)可能具備一定的應(yīng)對能力（即有可能會發(fā)現(xiàn)一些新的安全漏洞）；另一方面，攻擊行為也可能不會觸發(fā)任何一個(gè)規(guī)則，從而被檢測到。專家系統(tǒng)對歷史數(shù)據(jù)的依賴性總的來說比基于統(tǒng)計(jì)技術(shù)的審計(jì)系統(tǒng)少，因此系統(tǒng)的適應(yīng)性比較強(qiáng)，可以較靈活地適應(yīng)廣譜的安全策略和檢測需求。但是迄今為止，推理系統(tǒng)和謂詞演算的可計(jì)算問題距離成熟解決都還有一定的距離。在具體實(shí)現(xiàn)過程中，專家系統(tǒng)主要面臨的問題如下：（1）全面性問題。很難從各種入侵手段中抽象出全面的規(guī)則化知識。（2）效率問題。需要處理的數(shù)據(jù)量過大，而且在大型系統(tǒng)上，很難獲得實(shí)時(shí)連續(xù)的審計(jì)數(shù)據(jù)。7.2.4基于模型推理的檢測攻擊者在攻擊一個(gè)系統(tǒng)時(shí)往往采用一定的行為程序（如猜測口令的程序），這種行為程序構(gòu)成了某種具有一定行為特征的模型，根據(jù)這種模型所代表的攻擊意圖的行為特征，可以實(shí)時(shí)地檢測出惡意的攻擊企圖，雖然攻擊者并不一定都是惡意的。用基于模型的推理方法人們能夠?yàn)槟承┬袨榻⑻囟ǖ哪Ｐ?，從而能夠監(jiān)視具有特定行為特征的某些活動。根據(jù)假設(shè)的攻擊腳本，這種系統(tǒng)就能檢測出非法的用戶行為。一般為了準(zhǔn)確判斷，要為不同的攻擊者和不同的系統(tǒng)建立特定的攻擊腳本。當(dāng)有證據(jù)表明某種特定的攻擊模型發(fā)生時(shí)，系統(tǒng)應(yīng)收集其他證據(jù)來證實(shí)或者否定攻擊的真實(shí)性，既不能漏報(bào)攻擊，對信息系統(tǒng)造成實(shí)際損害，又要盡可能地避免誤報(bào)。當(dāng)然，上述的幾種方法都不能徹底地解決攻擊檢測問題，所以最好是綜合地利用各種手段強(qiáng)化計(jì)算機(jī)信息系統(tǒng)的安全程序以增加攻擊成功的難度，同時(shí)根據(jù)系統(tǒng)本身的特點(diǎn)輔助以較適合的攻擊檢測手段。7.2.5基于免疫的檢測基于免疫的檢測技術(shù)是運(yùn)用自然免疫系統(tǒng)的某些特性到網(wǎng)絡(luò)安全系統(tǒng)中，使整個(gè)系統(tǒng)具有適應(yīng)性、自我調(diào)節(jié)性、可擴(kuò)展性。人的免疫系統(tǒng)成功地保護(hù)人體不受各種抗原和組織的侵害，這個(gè)重要的特性吸引了許多計(jì)算機(jī)安全專家和人工智能專家。通過學(xué)習(xí)免疫專家的研究，計(jì)算機(jī)專家提出了計(jì)算機(jī)免疫系統(tǒng)。在許多傳統(tǒng)的網(wǎng)絡(luò)安全系統(tǒng)中，每個(gè)目標(biāo)都將它的系統(tǒng)日志和收集的信息傳送給相應(yīng)的服務(wù)器，由服務(wù)器分析整個(gè)日志和信息，判斷是否發(fā)生了入侵。在大規(guī)模網(wǎng)絡(luò)中，網(wǎng)絡(luò)通信量極大，且絕大多數(shù)數(shù)據(jù)與入侵無關(guān)，檢測效率低?；诿庖叩娜肭謾z測系統(tǒng)運(yùn)用計(jì)算免疫的多層性、分布性、多樣性等特性設(shè)置動態(tài)代理，實(shí)時(shí)分層檢測和響應(yīng)機(jī)制。7.2.6入侵檢測新技術(shù)數(shù)據(jù)挖掘技術(shù)被WenkeLee用于了入侵檢測中。用數(shù)據(jù)挖掘程序處理搜集到的審計(jì)數(shù)據(jù)，可以為各種入侵行為和正常操作建立精確的行為模式。這是一個(gè)自動的過程，不需要人工分析和編碼入侵模式。移動代理用于入侵檢測中，它具有能在主機(jī)間動態(tài)遷移、一定的智能性、與平臺無關(guān)性、分布的靈活性、低網(wǎng)絡(luò)數(shù)據(jù)流量和多代理合作特性，它適用于大規(guī)模信息搜集和動態(tài)處理。在入侵檢測系統(tǒng)中采用移動代理技術(shù)，可以提高入侵檢測系統(tǒng)的性能和整體功能。7.2.7其他相關(guān)問題為了防止過多的不相干信息的干擾，用于安全目的的攻擊檢測系統(tǒng)在審計(jì)系統(tǒng)之外還要配備適合系統(tǒng)安全策略的信息采集器或過濾器。同時(shí)，除了依靠來自審計(jì)子系統(tǒng)的信息，還應(yīng)當(dāng)充分利用來自其他信息源的信息。在某些系統(tǒng)內(nèi)，可以在不同的層次進(jìn)行審計(jì)跟蹤，如有些系統(tǒng)的安全機(jī)制中采用三級審計(jì)跟蹤，包括審計(jì)操作系統(tǒng)核心調(diào)用行為的、審計(jì)用戶和操作系統(tǒng)界面級行為的和審計(jì)應(yīng)用程序內(nèi)部行為的。另一個(gè)重要問題是決定攻擊檢測系統(tǒng)的運(yùn)行場所。為了提高攻擊檢測系統(tǒng)的運(yùn)行效率，可以安排在與被監(jiān)視系統(tǒng)獨(dú)立的計(jì)算機(jī)上執(zhí)行審計(jì)跟蹤分析和攻擊性檢測，這樣做既有效率方面的優(yōu)點(diǎn)，也有安全方面的優(yōu)點(diǎn)。監(jiān)視系統(tǒng)的響應(yīng)時(shí)間對被監(jiān)測系統(tǒng)的運(yùn)行完全沒有負(fù)面影響，也不會因?yàn)榕c其他安全有關(guān)的因素而受到影響?？傊?，為了有效地利用審計(jì)系統(tǒng)提供的信息，通過攻擊檢測措施防范攻擊威脅，計(jì)算機(jī)安全系統(tǒng)應(yīng)當(dāng)根據(jù)系統(tǒng)的具體條件選擇適用的主要攻擊檢測方法，并且有機(jī)地融合其他可選用的攻擊檢測方法。同時(shí)應(yīng)當(dāng)清醒地認(rèn)識到，任何一種攻擊檢測措施都不能視之為一勞永逸的，必須配備有效的管理和措施。 7.3入侵檢測系統(tǒng)入侵檢測通過對計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。進(jìn)行入侵檢測的軟件與硬件的組合就是入侵檢測系統(tǒng)。入侵檢測系統(tǒng)執(zhí)行的主要任務(wù)包括：監(jiān)視、分析用戶及系統(tǒng)活動；審計(jì)系統(tǒng)構(gòu)造和弱點(diǎn)；識別、反映已知進(jìn)攻的活動模式，向相關(guān)人員報(bào)警；統(tǒng)計(jì)分析異常行為模式；評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；審計(jì)、跟蹤管理操作系統(tǒng)，識別用戶違反安全策略的行為。入侵檢測一般分為3個(gè)步驟，依次為信息收集、數(shù)據(jù)分析和響應(yīng)（包括被動響應(yīng)和主動響應(yīng)）。（1）信息收集的內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為。入侵檢測利用的信息一般來自系統(tǒng)日志、目錄以及文件中的異常改變，程序執(zhí)行中的異常行為及物理形式的入侵信息四個(gè)方面。（2）數(shù)據(jù)分析是入侵檢測的核心。它首先構(gòu)建分析器，把收集到的信息經(jīng)過預(yù)處理，建立一個(gè)行為分析引擎或模型，然后向模型中植入時(shí)間數(shù)據(jù)，并在知識庫中保存植入數(shù)據(jù)的模型。數(shù)據(jù)分析一般通過模式匹配、統(tǒng)計(jì)分析和完整性分析３種手段進(jìn)行。前兩種方法用于實(shí)時(shí)入侵檢測，而完整性分析則用于事后分析?？捎茫捣N統(tǒng)計(jì)模型進(jìn)行數(shù)據(jù)分析：操作模型、方差、多元模型、馬爾柯夫過程模型、時(shí)間序列分析。統(tǒng)計(jì)分析的最大優(yōu)點(diǎn)是可以學(xué)習(xí)用戶的使用習(xí)慣。（3）入侵檢測系統(tǒng)在發(fā)現(xiàn)入侵后會及時(shí)作出響應(yīng)，包括切斷網(wǎng)絡(luò)連接、記錄事件和報(bào)警等。響應(yīng)一般分為主動響應(yīng)（阻止攻擊或影響進(jìn)而改變攻擊的進(jìn)程）和被動響應(yīng)（報(bào)告和記錄所檢測出的問題）兩種類型。主動響應(yīng)由用戶驅(qū)動或系統(tǒng)本身自動執(zhí)行，可對入侵者采取行動（如斷開連接）、修正系統(tǒng)環(huán)境或收集有用信息；被動響應(yīng)則包括告警和通知、簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）陷阱和插件等。另外，還可以按策略配置響應(yīng)，可分別采取立即、緊急、適時(shí)、本地的長期和全局的長期等行動。7.3.1入侵檢測系統(tǒng)的構(gòu)成一個(gè)入侵檢測系統(tǒng)的功能結(jié)構(gòu)如圖7.5所示，它至少包含事件提取、入侵分析、入侵響應(yīng)和遠(yuǎn)程管理四部分功能。圖7.5中各部分功能如下：（1）事件提取功能負(fù)責(zé)提取與被保護(hù)系統(tǒng)相關(guān)的運(yùn)行數(shù)據(jù)或記錄，并負(fù)責(zé)對數(shù)據(jù)進(jìn)行簡單的過濾。（2）入侵分析的任務(wù)就是在提取到的運(yùn)行數(shù)據(jù)中找出入侵的痕跡，將授權(quán)的正常訪問行為和非授權(quán)的不正常訪問行為區(qū)分開，分析出入侵行為并對入侵者進(jìn)行定位。圖7.5入侵檢測系統(tǒng)功能構(gòu)成（3）入侵響應(yīng)功能在分析出入侵行為后被觸發(fā)，根據(jù)入侵行為產(chǎn)生響應(yīng)。（4）由于單個(gè)入侵檢測系統(tǒng)的檢測能力和檢測范圍的限制，入侵檢測系統(tǒng)一般采用分布監(jiān)視集中管理的結(jié)構(gòu)，多個(gè)檢測單元運(yùn)行于網(wǎng)絡(luò)中的各個(gè)網(wǎng)段或系統(tǒng)上，通過遠(yuǎn)程管理功能在一臺管理站點(diǎn)上實(shí)現(xiàn)統(tǒng)一的管理和監(jiān)控。7.3.2入侵檢測系統(tǒng)的分類

1.從數(shù)據(jù)來源的角度分類從數(shù)據(jù)來源看，入侵檢測系統(tǒng)有三種基本結(jié)構(gòu)：基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)、基于主機(jī)的入侵檢測系統(tǒng)和分布式入侵檢測系統(tǒng)。（1）基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（NIDS）數(shù)據(jù)來源于網(wǎng)絡(luò)上的數(shù)據(jù)流。NIDS能夠截獲網(wǎng)絡(luò)中的數(shù)據(jù)包，提取其特征并與知識庫中已知的攻擊簽名相比較，從而達(dá)到檢測的目的。其優(yōu)點(diǎn)是偵測速度快，隱蔽性好，不容易受到攻擊，對主機(jī)資源消耗少；缺點(diǎn)是有些攻擊是由服務(wù)器的鍵盤發(fā)出的，不經(jīng)過網(wǎng)絡(luò)，因而無法識別，誤報(bào)率較高。（2）基于主機(jī)的入侵檢測系統(tǒng)（HIDS）檢測分析所需數(shù)據(jù)來源于主機(jī)系統(tǒng)，通常是系統(tǒng)日志和審計(jì)記錄。ＨIDS通過對系統(tǒng)日志和審計(jì)記錄的不斷監(jiān)控和分析來發(fā)現(xiàn)攻擊后誤操作。其優(yōu)點(diǎn)是針對不同操作系統(tǒng)特點(diǎn)捕獲應(yīng)用層入侵，誤報(bào)少；缺點(diǎn)是依賴于主機(jī)及其審計(jì)子系統(tǒng)，實(shí)時(shí)性差。（3）采用上述兩種數(shù)據(jù)來源的分布式入侵檢測系統(tǒng)（DIDS）能夠同時(shí)分析來自主機(jī)系統(tǒng)審計(jì)日志和網(wǎng)絡(luò)數(shù)據(jù)流的入侵檢測系統(tǒng)，一般為分布式結(jié)構(gòu)，由多個(gè)部件組成。DIDS可以從多個(gè)主機(jī)獲取數(shù)據(jù)，也可以從網(wǎng)絡(luò)傳輸取得數(shù)據(jù)，克服了單一的HIDS、NIDS的不足。

2.從檢測的策略角度分類從檢測的策略來看，入侵檢測模型主要有三種：濫用檢測、異常檢測和完整性分析。（1）濫用檢測（MisuseDetection）就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。該方法的優(yōu)點(diǎn)是只需收集相關(guān)的數(shù)據(jù)集合，顯著減少了系統(tǒng)負(fù)擔(dān)，且技術(shù)已相當(dāng)成熟。該方法存在的弱點(diǎn)是需要不斷的升級以對付不斷出現(xiàn)的黑客攻擊手法，不能檢測到從未出現(xiàn)過的黑客攻擊手段。（2）異常檢測（AnomalyDetection）首先給系統(tǒng)對象（如用戶、文件、目錄和設(shè)備等）創(chuàng)建一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時(shí)的一些測量屬性（如訪問次數(shù)、操作失敗次數(shù)和延時(shí)等）。測量屬性的平均值將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，任何觀察值在正常值范圍之外時(shí)，就認(rèn)為有入侵發(fā)生。其優(yōu)點(diǎn)是可檢測到未知的入侵和更為復(fù)雜的入侵；缺點(diǎn)是誤報(bào)、漏報(bào)率高，且不適應(yīng)用戶正常行為的突然改變。（3）完整性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓模@經(jīng)常包括文件和目錄的內(nèi)容及屬性，它在發(fā)現(xiàn)被更改的、被特洛伊化的應(yīng)用程序方面特別有效。其優(yōu)點(diǎn)只要是成功的攻擊導(dǎo)致了文件或其他對象的任何改變，它都能夠發(fā)現(xiàn)；缺點(diǎn)是一般以批處理方式實(shí)現(xiàn)，不用于實(shí)時(shí)響應(yīng)。7.3.3基于主機(jī)的入侵檢測系統(tǒng)HIDS基于主機(jī)的入侵檢測出現(xiàn)在20世紀(jì)80年代初期，那時(shí)網(wǎng)絡(luò)還沒有今天這樣普遍、復(fù)雜，且網(wǎng)絡(luò)之間也沒有完全連通。其檢測的主要目標(biāo)主要是主機(jī)系統(tǒng)和系統(tǒng)本地用戶。它的檢測原理是根據(jù)主機(jī)的審計(jì)數(shù)據(jù)和系統(tǒng)日志發(fā)現(xiàn)可疑事件?；谥鳈C(jī)的入侵檢測系統(tǒng)可以運(yùn)行在被檢測的主機(jī)或單獨(dú)的主機(jī)上，基本過程如圖7.6所示。圖7.6基于主機(jī)的入侵檢測系統(tǒng)結(jié)構(gòu)示意圖在這一較為簡單的環(huán)境里，檢查可疑行為的檢驗(yàn)記錄是很常見的操作。由于入侵在當(dāng)時(shí)是相當(dāng)少見的，因此對攻擊的事后分析就可以防止今后的攻擊?，F(xiàn)在的基于主機(jī)的入侵檢測系統(tǒng)保留了一種有力的工具，以理解以前的攻擊形式，并選擇合適的方法去抵御未來的攻擊?；谥鳈C(jī)的IDS仍使用驗(yàn)證記錄，但自動化程度大大提高，并發(fā)展了精密的可迅速做出響應(yīng)的檢測技術(shù)。通常，基于主機(jī)的IDS可監(jiān)測系統(tǒng)、事件、Windows操作系統(tǒng)下的安全記錄以及UNIX環(huán)境下的系統(tǒng)記錄。當(dāng)有文件發(fā)生變化時(shí)，IDS將新的記錄條目與攻擊標(biāo)記相比較，看它們是否匹配。如果匹配，系統(tǒng)就會向管理員報(bào)警并向別的目標(biāo)報(bào)告，以采取措施。基于主機(jī)的入侵檢測系統(tǒng)有以下優(yōu)點(diǎn)：（1）監(jiān)視特定的系統(tǒng)活動。基于主機(jī)的IDS監(jiān)視用戶和訪問文件的活動，包括文件訪問、改變文件權(quán)限、試圖建立新的可執(zhí)行文件、試圖訪問特殊的設(shè)備。例如，基于主機(jī)的IDS可以監(jiān)督所有用戶的登錄及下網(wǎng)情況，以及每位用戶在連接到網(wǎng)絡(luò)以后的行為。對于基于網(wǎng)絡(luò)的系統(tǒng)要做到這種程度是非常困難的?；谥鳈C(jī)技術(shù)還可監(jiān)視只有管理員才能實(shí)施的非正常行為。操作系統(tǒng)記錄了任何有關(guān)用戶賬號的增加、刪除、更改的情況，改動一旦發(fā)生，基于主機(jī)的IDS就能檢測到這種不適當(dāng)?shù)母膭??；谥鳈C(jī)的IDS還可審計(jì)能影響系統(tǒng)記錄的校驗(yàn)措施的改變。（2）非常適用于被加密的和交換的環(huán)境。既然基于主機(jī)的系統(tǒng)駐留在網(wǎng)絡(luò)中的各種主機(jī)上，它們可以克服基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)在交換和加密環(huán)境中面臨的一些部署困難的問題。在大的交換網(wǎng)絡(luò)中確定安全I(xiàn)DS的最佳位置并且實(shí)現(xiàn)有效的網(wǎng)絡(luò)覆蓋非常困難，而基于主機(jī)的檢測通過駐留在所有需要的關(guān)鍵主機(jī)上避免了這一難題。根據(jù)加密駐留在協(xié)議棧中的位置，它可能讓基于網(wǎng)絡(luò)的IDS無法檢測到某些攻擊?；谥鳈C(jī)的IDS并不具有這個(gè)限制。因?yàn)楫?dāng)操作系統(tǒng)（也包括基于主機(jī)的IDS）收到通信時(shí)，數(shù)據(jù)序列已經(jīng)被解密了。（3）近實(shí)時(shí)的檢測和應(yīng)答。盡管基于主機(jī)的檢測并不提供真正實(shí)時(shí)的應(yīng)答，但新的基于主機(jī)的檢測技術(shù)已經(jīng)能夠提供近實(shí)時(shí)的檢測和應(yīng)答。早期的系統(tǒng)主要使用一個(gè)過程來定時(shí)檢查日志文件的狀態(tài)和內(nèi)容，而許多現(xiàn)在的基于主機(jī)的系統(tǒng)在任何日志文件發(fā)生變化時(shí)都可以從操作系統(tǒng)及時(shí)接收一個(gè)中斷，這樣就大大減少了攻擊識別和應(yīng)答之間的時(shí)間。（4）不需要額外的硬件?；谥鳈C(jī)的檢測駐留在現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)設(shè)施上，包括文件服務(wù)器、Web服務(wù)器和其他的共享資源等。這減少了基于主機(jī)的IDS的實(shí)施成本，因?yàn)椴恍枰黾有碌挠布?，所以也減少了以后維護(hù)和管理這些硬件設(shè)備的負(fù)擔(dān)。7.3.4基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)NIDS隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，單獨(dú)地依靠主機(jī)審計(jì)信息進(jìn)行入侵檢測已難以適應(yīng)網(wǎng)絡(luò)安全的需求。因而人們提出了基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)體系結(jié)構(gòu)，這種檢測系統(tǒng)根據(jù)網(wǎng)絡(luò)流量、網(wǎng)絡(luò)數(shù)據(jù)包和協(xié)議來分析檢測入侵，其基本過程如圖7.7所示。圖7.7基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)模型基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)使用原始網(wǎng)絡(luò)包作為數(shù)據(jù)源?；诰W(wǎng)絡(luò)的IDS通常利用一個(gè)運(yùn)行在隨機(jī)模式下的網(wǎng)絡(luò)適配器來實(shí)時(shí)監(jiān)視并分析通過網(wǎng)絡(luò)的所有通信業(yè)務(wù)。它的攻擊辨識模塊通常采用4種常用技術(shù)來識別攻擊標(biāo)志：（1）模式、表達(dá)式或字節(jié)匹配；（2）頻率或穿越閾值；（3）低級事件的相關(guān)性；（4）統(tǒng)計(jì)學(xué)意義上的非常規(guī)現(xiàn)象檢測?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)主要有以下優(yōu)點(diǎn)：（1）擁有成本低。基于網(wǎng)絡(luò)的IDS允許部署在一個(gè)或多個(gè)關(guān)鍵訪問點(diǎn)來檢查所有經(jīng)過的網(wǎng)絡(luò)通信。因此，基于網(wǎng)絡(luò)的IDS系統(tǒng)并不需要在各種各樣的主機(jī)上進(jìn)行安裝，大大減少了安全和管理的復(fù)雜性。（2）攻擊者轉(zhuǎn)移證據(jù)困難。基于網(wǎng)絡(luò)的IDS使用活動的網(wǎng)絡(luò)通信進(jìn)行實(shí)時(shí)攻擊檢測，因此攻擊者無法轉(zhuǎn)移證據(jù)，被檢測系統(tǒng)捕獲的數(shù)據(jù)不僅包括攻擊方法，而且包括對識別和指控入侵者十分有用的信息。（3）實(shí)時(shí)檢測和響應(yīng)。一旦發(fā)生惡意訪問或攻擊，基于網(wǎng)絡(luò)的IDS檢測可以隨時(shí)發(fā)現(xiàn)它們，因此能夠很快地作出反應(yīng)。例如，對于黑客使用TCP啟動基于網(wǎng)絡(luò)的拒絕服務(wù)攻擊（DoS），IDS系統(tǒng)可以通過發(fā)送一個(gè)TCPreset來立即終止這個(gè)攻擊，這樣就可以避免目標(biāo)主機(jī)遭受破壞或崩潰。這種實(shí)時(shí)性使得系統(tǒng)可以根據(jù)預(yù)先定義的參數(shù)迅速采取相應(yīng)的行動，從而將入侵活動對系統(tǒng)的破壞減到最低。（4）能夠檢測未成功的攻擊企圖。一個(gè)放在防火墻外面的基于網(wǎng)絡(luò)的IDS可以檢測到旨在利用防火墻后面的資源的攻擊，盡管防火墻本身可能會拒絕這些攻擊企圖?；谥鳈C(jī)的系統(tǒng)并不能發(fā)現(xiàn)未能到達(dá)受防火墻保護(hù)的主機(jī)的攻擊企圖，而這些信息對于評估和改進(jìn)安全策略是十分重要的。（5）操作系統(tǒng)獨(dú)立?；诰W(wǎng)絡(luò)的IDS并不依賴主機(jī)的操作系統(tǒng)作為檢測資源，而基于主機(jī)的系統(tǒng)需要特定的操作系統(tǒng)才能發(fā)揮作用。7.3.5分布式入侵檢測系統(tǒng)網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)復(fù)雜化和大型化帶來了許多新的入侵檢測問題：（1）系統(tǒng)的弱點(diǎn)或漏洞分散在網(wǎng)絡(luò)中的各個(gè)主機(jī)上，這些弱點(diǎn)有可能被入侵者一起用來攻擊網(wǎng)絡(luò)，而依靠惟一的主機(jī)或網(wǎng)絡(luò)IDS不會發(fā)現(xiàn)入侵行為。（2）入侵行為不再是單一的行為，而是表現(xiàn)出相互協(xié)作入侵的特點(diǎn)，例如分布式拒絕服務(wù)攻擊（DDoS）。（3）入侵檢測所依靠的數(shù)據(jù)來源分散化，收集原始檢測數(shù)據(jù)變得困難，如交換型網(wǎng)絡(luò)使得監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)包受到限制。（4）網(wǎng)絡(luò)速度傳輸加快，網(wǎng)絡(luò)的流量加大，集中處理原始的數(shù)據(jù)方式往往會造成檢測瓶頸，從而導(dǎo)致漏建?；谶@種情況，分布式的入侵檢測系統(tǒng)就應(yīng)運(yùn)而生。分布式IDS系統(tǒng)通常由數(shù)據(jù)采集構(gòu)件、通信傳輸構(gòu)件、入侵檢測分析構(gòu)件、應(yīng)急處理構(gòu)件和管理構(gòu)件組成，如圖7.8所示。這些構(gòu)件可根據(jù)不同情形組合，例如數(shù)據(jù)采集構(gòu)件和通信傳輸構(gòu)件組合就產(chǎn)生出新的構(gòu)件，它能完成數(shù)據(jù)采集和傳輸兩種任務(wù)。所有的這些構(gòu)件組合起來就變成了一個(gè)入侵檢測系統(tǒng)。各構(gòu)件的功能如下：（1）數(shù)據(jù)采集構(gòu)件：收集檢測使用的數(shù)據(jù)，可駐留在網(wǎng)絡(luò)中的主機(jī)上或安裝在網(wǎng)絡(luò)中的監(jiān)測點(diǎn)。需要通信傳輸構(gòu)件的協(xié)作，將收集的信息傳送到入侵檢測分析構(gòu)件處理。（2）通信傳輸構(gòu)件：傳遞檢測的結(jié)果，處理原始的數(shù)據(jù)和控制命令，一般需要和其他構(gòu)件協(xié)作完成通信功能。（3）入侵檢測分析構(gòu)件：依據(jù)檢測的數(shù)據(jù)，采用檢測算法對數(shù)據(jù)進(jìn)行誤用分析和異常分析，產(chǎn)生檢測結(jié)果、報(bào)警和應(yīng)急信號。（4）應(yīng)急處理構(gòu)件：按入侵檢測的結(jié)果和主機(jī)、網(wǎng)絡(luò)的實(shí)際情況作出決策判斷，對入侵行為進(jìn)行響應(yīng)。（5）管理構(gòu)件：管理其他的構(gòu)件的配置，產(chǎn)生入侵總體報(bào)告，提供用戶和其他構(gòu)件的管理接口，圖形化工具或者可視化的界面，供用戶查詢、配置入侵檢測系統(tǒng)情況等。圖7.8分布式入侵檢測系統(tǒng)結(jié)構(gòu)示意圖 7.4入侵檢測系統(tǒng)的測試評估7.4.1測試評估概述入侵檢測系統(tǒng)的測試評估非常困難，涉及到操作系統(tǒng)、網(wǎng)絡(luò)環(huán)境、工具、軟件、硬件和數(shù)據(jù)庫等技術(shù)方面的問題。IDS目前沒有工業(yè)標(biāo)準(zhǔn)可參考來評測，判斷IDS檢測的準(zhǔn)確性只有依靠黑箱法測試。另外，測試需要構(gòu)建復(fù)雜的網(wǎng)絡(luò)環(huán)境和測試用例。由于入侵情況的變化，IDS系統(tǒng)也需要維護(hù)多種不同類型的信息（如正常和異常的用戶、系統(tǒng)和進(jìn)程行為，可疑的通信量模式字符串，對各種攻擊行為的響應(yīng)信息等），才能保證系統(tǒng)在一定時(shí)期內(nèi)發(fā)揮有效的作用。7.4.2測試評估的內(nèi)容一般可以從以下幾個(gè)方面去評價(jià)一個(gè)入侵檢測系統(tǒng)：（1）是否能保證自身的安全。和其他系統(tǒng)一樣，入侵檢測系統(tǒng)本身也往往存在安全漏洞。如果查詢bugtraq的郵件列表，諸如AxentNetProwler、NFR、ISSRealsecure等知名產(chǎn)品都有漏洞被發(fā)覺出來。若對入侵檢測系統(tǒng)攻擊成功，則直接導(dǎo)致其報(bào)警失靈，入侵者在其后所作的行為將無法被記錄。因此入侵檢測系統(tǒng)首先必須保證自己的安全性。（2）運(yùn)行與維護(hù)系統(tǒng)的開銷。較少的資源消耗將不影響受保護(hù)主機(jī)或網(wǎng)絡(luò)的正常運(yùn)行。（3）入侵檢測系統(tǒng)報(bào)警準(zhǔn)確率。誤報(bào)和漏報(bào)的情況應(yīng)盡量少。（4）網(wǎng)絡(luò)入侵檢測系統(tǒng)負(fù)載能力以及可支持的網(wǎng)絡(luò)類型。根據(jù)網(wǎng)絡(luò)入侵檢測系統(tǒng)所布署的網(wǎng)絡(luò)環(huán)境不同要求也不同。如果在512KB或2MB專線上布署網(wǎng)絡(luò)入侵檢測系統(tǒng)，則不需要高速的入侵檢測引擎，而在負(fù)荷較高的環(huán)境中，性能是一個(gè)非常重要的指標(biāo)。

(5)支持的入侵特征數(shù)。入侵檢測系統(tǒng)的特征庫需要不斷更新才能檢測出新出現(xiàn)的攻擊方法，因此可以檢測的入侵特征數(shù)量也是衡量一個(gè)檢測系統(tǒng)性能的重要指標(biāo)。（6）是否支持IP碎片重組。入侵檢測中，分析單個(gè)的數(shù)據(jù)包會導(dǎo)致許多誤報(bào)和漏報(bào)，IP碎片的重組可以提高檢測的精確度。而且，IP碎片是網(wǎng)絡(luò)攻擊中常用的方法，因此，IP碎片的重組還可以檢測利用IP碎片的攻擊。IP碎片重組的評測標(biāo)準(zhǔn)有三個(gè)性能參數(shù)：能重組的最大IP碎片數(shù)，能同時(shí)重組的IP包數(shù)，能進(jìn)行重組的最大IP數(shù)據(jù)包的長度。（7）是否支持TCP流重組。TCP流重組是為了對完整的網(wǎng)絡(luò)對話進(jìn)行分析，它是網(wǎng)絡(luò)入侵檢測系統(tǒng)對應(yīng)用層進(jìn)行分析的基礎(chǔ)。如檢查郵件內(nèi)容、附件，檢查FTP傳輸?shù)臄?shù)據(jù)，禁止訪問有害網(wǎng)站，判斷非法HTTP請求等。

1．功能測試功能測試的數(shù)據(jù)能夠反映出IDS的攻擊檢測、報(bào)告、審計(jì)、報(bào)警等多種能力。

1）攻擊識別以TCP/IP協(xié)議攻擊識別為例，攻擊識別的能力可以分成以下幾種：（1）協(xié)議包頭攻擊分析的能力：IDS系統(tǒng)能夠識別與IP包頭相關(guān)的攻擊能力。常見的這種類型攻擊如LAND攻擊。其攻擊方式是通過構(gòu)造源地址、目的地址、源端口、目的端口都相同的IP包發(fā)送，這樣會導(dǎo)致IP協(xié)議棧產(chǎn)生progressiveloop而崩潰。（2）重裝攻擊分析的能力：IDS能夠重裝多個(gè)IP包的分段并從中發(fā)現(xiàn)攻擊的能力。常見的重裝攻擊是Teardrop和PingofDeath。Teardrop通過發(fā)多個(gè)分段的IP包而使得當(dāng)重裝包時(shí)，包的數(shù)據(jù)部分越界，進(jìn)而引起協(xié)議和系統(tǒng)不可用。PingofDeath是ICMP包以多個(gè)分段包（碎片）發(fā)送，而當(dāng)重裝時(shí)，數(shù)據(jù)部分大于65535B，從而超出TCP/IP協(xié)議所規(guī)定的范圍，引起TCP/IP協(xié)議棧崩潰。（3）數(shù)據(jù)驅(qū)動攻擊分析能力：IDS具有分析IP包的數(shù)據(jù)具體內(nèi)容，例如HTTP的phf攻擊。Phf是一個(gè)CGI程序，允許在Web服務(wù)器上運(yùn)行。phf處理復(fù)雜服務(wù)請求程序的漏洞，使得攻擊者可以執(zhí)行特定的命令，攻擊者從而可以獲取敏感的信息或者危及到Web服務(wù)器的使用。

2）抗攻擊性

IDS可以抵御拒絕服務(wù)攻擊。對于某一時(shí)間內(nèi)的重復(fù)攻擊，IDS報(bào)警能夠識別并能抑制不必要的報(bào)警。

3）過濾能力

IDS中的過濾器可方便地設(shè)置規(guī)則以根據(jù)需要過濾掉原始的數(shù)據(jù)信息，例如網(wǎng)絡(luò)上的數(shù)據(jù)包和審計(jì)文件記錄。一般要求IDS過濾器具有下面的能力：（1）可以修改或調(diào)整；（2）創(chuàng)建簡單的字符規(guī)則；（3）使用腳本工具創(chuàng)建復(fù)雜的規(guī)則。

4）報(bào)警報(bào)警機(jī)制是IDS必要的功能，例如發(fā)送入侵警報(bào)信號和應(yīng)急處理機(jī)制。

5）日志

IDS的日志有以下功能：（1）保存日志的數(shù)據(jù)能力；（2）按特定的需求說明，日志內(nèi)容可以選取。

6）報(bào)告

IDS的報(bào)告有以下功能：（1）產(chǎn)生入侵行為報(bào)告；（2）提供查詢報(bào)告；（3）創(chuàng)建和保存報(bào)告。

2．性能測試性能測試在各種不同的環(huán)境下，檢驗(yàn)IDS的承受強(qiáng)度，主要的指標(biāo)有下面幾點(diǎn)：（1）IDS的引擎吞吐量。這一指標(biāo)可以表征IDS在預(yù)先不加載攻擊標(biāo)簽情況下，IDS處理原始檢測數(shù)據(jù)的能力。（2）包的重裝。測試的目的就是評估IDS的包的重裝能力。例如，IDS的入侵標(biāo)簽庫只有單一的PingofDeath標(biāo)簽，這是來測試IDS的響應(yīng)情況的。（3）過濾的效率。測試的目標(biāo)就是評估IDS在攻擊的情況下過濾器的接收、處理和報(bào)警的效率。這種測試可以用LAND攻擊的基本包頭為引導(dǎo)，這種包的特性是源地址等于目標(biāo)地址。

3.產(chǎn)品可用性測試

IDS可評估系統(tǒng)用戶界面的可用性、完整性和擴(kuò)充性。IDS支持多個(gè)平臺操作系統(tǒng)，容易使用且穩(wěn)定。7.4.3測試評估標(biāo)準(zhǔn)美國IDGInfoWorld測試中心的安全測試小組開發(fā)了一種可以視之為BenhMark類型的測試基準(zhǔn)——IWSS16。該小組收集了若干種典型的可以公開得到的攻擊方法，對其進(jìn)行組合，形成IWSS16。IWSS16組合了四種主要類型的攻擊手段。

1．收集信息攻擊網(wǎng)絡(luò)攻擊者經(jīng)常在正式攻擊之前，進(jìn)行試探性的攻擊，目標(biāo)是獲取系統(tǒng)有用的信息，所以，收集信息攻擊檢測注意力集中在Ping掃描、端口掃描、賬戶掃描、DNS轉(zhuǎn)換等操作方面。網(wǎng)絡(luò)攻擊者經(jīng)常使用的攻擊工具包括Strobe、NetScan、SATAN（Securityadministrator’sToolforAuditingNetwork）。利用這些工具可以獲取網(wǎng)絡(luò)上的內(nèi)容、網(wǎng)絡(luò)的漏洞位置等信息。

2．獲取訪問權(quán)限攻擊在IWSS16中集成了一系列的破壞手段來獲取對網(wǎng)絡(luò)的特許訪問，其中包括許多故障制造攻擊，例如發(fā)送函件故障、遠(yuǎn)程InternetMailAccessProtocol緩沖區(qū)溢出、FTP故障、phf故障等。通過這些攻擊造成的故障會暴露系統(tǒng)的漏洞，使攻擊者獲取訪問權(quán)限。

3．拒絕服務(wù)攻擊拒絕服務(wù)攻擊是最不容易捕獲的攻擊，因?yàn)椴涣羧魏魏圹E，所以安全管理人員不易確定攻擊的來源。由于其攻擊目標(biāo)是使得網(wǎng)絡(luò)上節(jié)點(diǎn)系統(tǒng)癱瘓，因此，這是很危險(xiǎn)的攻擊。當(dāng)然，就防守一方的難度而言，拒絕服務(wù)攻擊是比較容易防御的攻擊類型。這類攻擊的特點(diǎn)是以潮水般的申請使系統(tǒng)在應(yīng)接不暇的狀態(tài)中崩潰；除此而外，拒絕服務(wù)攻擊還可以利用操作系統(tǒng)的弱點(diǎn)，有目標(biāo)地進(jìn)行針對性的攻擊。典型的拒絕服務(wù)攻擊包括Syn、PingofDeath、Land、Teardrop、InternetControlMessageProtocol（ICMP）、UserDatagramProtocol以及WindowsOutofBand等攻擊。

4．逃避檢測攻擊入侵者往往在攻擊之后，使用各種逃避檢測的手段，使其攻擊的行為不留痕跡，其中典型的做法是修改系統(tǒng)的安全審計(jì)記錄。7.4.4

IDS測試評估現(xiàn)狀以及存在的問題雖然IDS及其相關(guān)技術(shù)已獲得了很大的進(jìn)展，但關(guān)于IDS的性能檢測及其相關(guān)評測工具、標(biāo)準(zhǔn)以及測試環(huán)境等方面的研究工作還很缺乏。

Puketza等人在1994年開創(chuàng)了對IDS評估系統(tǒng)研究的先河，在他們開發(fā)的軟件平臺上可以實(shí)現(xiàn)自動化的攻擊仿真。1998年，Debar等人在IDS實(shí)驗(yàn)測試系統(tǒng)的研究中指出，在評估環(huán)境中仿真正常網(wǎng)絡(luò)流量是一件非常復(fù)雜而且耗時(shí)的工作。林肯實(shí)驗(yàn)室在1998年、1999年進(jìn)行的兩次IDS離線評估，是迄今為止最權(quán)威的IDS評估。在精心設(shè)計(jì)的測試網(wǎng)絡(luò)中，他們對正常網(wǎng)絡(luò)流量進(jìn)行了仿真，實(shí)施了大量的攻擊，將記錄下的流量系統(tǒng)日志和主機(jī)上的文件系統(tǒng)映像等數(shù)據(jù)交由參加評估的IDS進(jìn)行離線分析，最后根據(jù)各IDS提交的檢測結(jié)果做出評估報(bào)告。目前美國空軍羅馬實(shí)驗(yàn)室對IDS進(jìn)行了實(shí)時(shí)評估。羅馬實(shí)驗(yàn)室的實(shí)時(shí)評估是林肯實(shí)驗(yàn)室離線評估的補(bǔ)充，它主要對作為現(xiàn)行網(wǎng)絡(luò)中的一部分的完整系統(tǒng)進(jìn)行測試，其目的是測試IDS在現(xiàn)有正常機(jī)器和網(wǎng)絡(luò)活動中檢測入侵行為的能力、IDS的響應(yīng)能力及其對正常用戶的影響。IBM的Zurich研究實(shí)驗(yàn)室也開發(fā)了一套IDS測評工具。此外，有些黑客工具軟件也可用來對IDS進(jìn)行評測。 7.5典型的IDS系統(tǒng)及實(shí)例7.5.1典型的IDS系統(tǒng)入侵檢測系統(tǒng)大部分是基于各自的需求和設(shè)計(jì)獨(dú)立開發(fā)的，不同系統(tǒng)之間缺乏互操作性和互用性，這對入侵檢測系統(tǒng)的發(fā)展造成了障礙，因此DARPA（theDefenseAdvancedResearchProjectsAgency，美國國防部高級研究計(jì)劃局）在1997年3月開始著手CIDF（CommonIntrusionDetectionFramework，公共入侵檢測框架）標(biāo)準(zhǔn)的制定?，F(xiàn)在加州大學(xué)Davis分校的安全實(shí)驗(yàn)室已經(jīng)完成CIDF標(biāo)準(zhǔn)，IETF（InternetEngineeringTaskForce，Internet工程任務(wù)組）成立了IDWG（IntrusionDetectionWorkingGroup，入侵檢測工作組）負(fù)責(zé)建立IDEF（IntrusionDetectionExchangeFormat，入侵檢測數(shù)據(jù)交換格式）標(biāo)準(zhǔn)，并提供支持該標(biāo)準(zhǔn)的工具，以更高效率地開發(fā)IDS系統(tǒng)。幾種典型的攻擊檢測系統(tǒng)如下。（1）NAI公司Cybercop攻擊檢測系統(tǒng)包括三個(gè)組成部分：CyberCopScanner、CybercopServer和CybercopNetwork。CybercopScanner的目標(biāo)是在復(fù)雜的網(wǎng)絡(luò)環(huán)境中檢測出薄弱環(huán)節(jié)。CybercopScanner主要對Intranet、Web服務(wù)器、防火墻等網(wǎng)絡(luò)安全環(huán)節(jié)進(jìn)行全面的檢查，從而發(fā)現(xiàn)這些安全環(huán)節(jié)的攻擊脆弱點(diǎn)。CybercopServer的目標(biāo)是在復(fù)雜的網(wǎng)絡(luò)環(huán)境中提供防范、檢測和對攻擊作出反應(yīng)，并能采取自動抗擊措施的工具。CybercopNetwork的主要功能是在復(fù)雜的網(wǎng)絡(luò)環(huán)境中通過循環(huán)監(jiān)測網(wǎng)絡(luò)流量（Traffic）的手段保護(hù)網(wǎng)絡(luò)上的共享資源。Cybercop能夠生成多種形式的報(bào)告，包括HTLM、ASCII正文、RTF格式以及CommaDelimited格式。（2）ISS公司（InternetSecuritySystem）的RealSecure2.0forWindowsNT是一種領(lǐng)導(dǎo)市場的攻擊檢測方案。RealSecure2.0提供了分布式安全體系結(jié)構(gòu)，多個(gè)檢測引擎可以監(jiān)控不同的網(wǎng)絡(luò)并向中央管理控制臺報(bào)告，控制臺與引擎之間的通信可以采用128bitTSA進(jìn)行認(rèn)證和加密。（3）Abirnet公司的Session－wall－32.1是一種功能比較廣泛的安全產(chǎn)品，其中包括攻擊檢測系統(tǒng)功能。Session－wall－3提供定義監(jiān)控、過濾及封鎖網(wǎng)絡(luò)流量的規(guī)則的功能，因此其解決方案比較簡潔、靈活。Session－Wall－3受到攻擊后即向本地控制臺發(fā)送警報(bào)、電子函件，并進(jìn)行事件記錄，還具備向安全管理人員發(fā)信息的功能，它的報(bào)表功能也比較強(qiáng)。（4）Anzen公司的NFR（NetwareFlightRecorder）提供了一個(gè)網(wǎng)絡(luò)監(jiān)控框架，利用這個(gè)框架可以有效地執(zhí)行攻擊檢測任務(wù)。OEM公司可以基于NFR定制具備專門用途的攻擊檢測系統(tǒng)，有些軟件公司已經(jīng)利用NFR開發(fā)出各自的產(chǎn)品。（5）IBM公司的IERS系統(tǒng)（InternetEmergencyResponseService）由兩個(gè)部件組成：NetRanger檢測器和Boulder監(jiān)控中心。NetRanger檢測器負(fù)責(zé)監(jiān)聽網(wǎng)絡(luò)上的可識別的通信數(shù)字簽名，一旦發(fā)現(xiàn)異常情況，就啟動Boulder監(jiān)控中心的報(bào)警器報(bào)警。（6）中科網(wǎng)威信息技術(shù)有限公司的“天眼”入侵檢測系統(tǒng)、“火眼”網(wǎng)絡(luò)安全漏洞檢測系統(tǒng)是我國少有的幾個(gè)入侵檢測系統(tǒng)之一。它根據(jù)國內(nèi)網(wǎng)絡(luò)的特殊情況，由中國科學(xué)院網(wǎng)絡(luò)安全關(guān)鍵技術(shù)研究組經(jīng)過多年研究，綜合運(yùn)用了多種檢測系統(tǒng)成果研制成功的。它根據(jù)系統(tǒng)的安全策略作出反映，實(shí)現(xiàn)了對非法入侵的定時(shí)報(bào)警、記錄事件，方便取證，自動阻斷通信連接，重置路由器、防火墻，同時(shí)能及時(shí)發(fā)現(xiàn)并及時(shí)提出解決方案，并列出可參考的全熱鏈接網(wǎng)絡(luò)及系統(tǒng)中易被黑客利用和可能被黑客利用的薄弱環(huán)節(jié)，防范黑客攻擊。該系統(tǒng)的總體技術(shù)水平達(dá)到了“國際先進(jìn)水平”（1998年的關(guān)鍵技術(shù)“中國科學(xué)院若干網(wǎng)絡(luò)安全”項(xiàng)目成果鑒定會結(jié)論）。（7）啟明星辰公司的黑客入侵檢測與預(yù)警系統(tǒng)，集成了網(wǎng)絡(luò)監(jiān)聽監(jiān)控、實(shí)時(shí)協(xié)議分析、入侵行為分析及詳細(xì)日志審計(jì)跟蹤等功能。該系統(tǒng)主要包括兩部分：探測器和控制器。探測器能監(jiān)視網(wǎng)絡(luò)上流過的所有數(shù)據(jù)包，根據(jù)用戶定義的條件進(jìn)行檢測，識別出網(wǎng)絡(luò)中正在進(jìn)行的攻擊。它能實(shí)時(shí)檢測到入侵信息并向控制器管理控制臺發(fā)出告警，由控制臺給出定位顯示，從而將入侵者從網(wǎng)絡(luò)中清除出去。探測器能夠監(jiān)測所有類型的ＴＣＰ/ＩＰ網(wǎng)絡(luò)，其強(qiáng)大的檢測功能為用戶提供了最為全面、有效的入侵檢測能力?？刂破魇且粋€(gè)高性能管理系統(tǒng)，它能監(jiān)控位于本地或遠(yuǎn)程網(wǎng)段的多個(gè)探測器的活動；集中地配置策略，提供統(tǒng)一的數(shù)據(jù)管理和實(shí)時(shí)報(bào)警管理；顯示詳細(xì)的入侵告警信息（如入侵ＩＰ地址、目的ＩＰ地址、目的端口、攻擊特征），對事件的響應(yīng)提供在線幫助，以最快的方式阻止入侵事件的發(fā)生。另外，它還能全面地記錄和管理日志，以便進(jìn)行離線分析，對特殊事件提供智能判斷和回放功能。7.5.2入侵檢測系統(tǒng)實(shí)例Snort

1.Snort概述

Snort是一個(gè)輕量級網(wǎng)絡(luò)入侵檢測系統(tǒng)，具有實(shí)時(shí)數(shù)據(jù)流分析和日志IP網(wǎng)絡(luò)數(shù)據(jù)包的功能，能夠進(jìn)行協(xié)議分析和內(nèi)容搜索匹配，能夠檢測不同的攻擊方式并對攻擊進(jìn)行實(shí)時(shí)報(bào)警。此外，Snort是一個(gè)跨平臺、開放源代碼的免費(fèi)軟件，具有很好的擴(kuò)展性和可移植性。Snort使用著名的網(wǎng)絡(luò)包捕獲器Libpcap進(jìn)行開發(fā)。Libpcap是網(wǎng)絡(luò)數(shù)據(jù)包捕獲的標(biāo)準(zhǔn)接口，使用BPF數(shù)據(jù)包捕獲機(jī)制，它為Snort提供了一個(gè)可移植的數(shù)據(jù)包截獲和過濾機(jī)制。

2.Snort的結(jié)構(gòu)

Snort的結(jié)構(gòu)如圖7.9所示。它主要包括四個(gè)模塊：數(shù)據(jù)包嗅探器、預(yù)處理器、檢測引擎和報(bào)警輸出模塊。首先，Snort通過數(shù)據(jù)包嗅探器從網(wǎng)絡(luò)中捕獲數(shù)據(jù)包，而后交給預(yù)處理器進(jìn)行處理，而后再交給檢測引擎來對每個(gè)包進(jìn)行檢測判斷入侵，如果有入侵行為發(fā)生，通過報(bào)警輸出模塊進(jìn)行記錄，告警信息也可存入數(shù)據(jù)庫中進(jìn)行保存。圖7.9

Snort結(jié)構(gòu)

1)數(shù)據(jù)包嗅探器數(shù)據(jù)包嗅探器模塊主要實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)包捕獲和解析的功能。Snort利用Libpcap庫函數(shù)進(jìn)行數(shù)據(jù)采集，該庫函數(shù)可以為應(yīng)用程序提供直接從鏈路層捕獲數(shù)據(jù)包的接口函數(shù)，并可以設(shè)置數(shù)據(jù)包過濾器來捕獲指定的數(shù)據(jù)，將捕獲的網(wǎng)絡(luò)數(shù)據(jù)包按照TCP/IP協(xié)議族的不同層次進(jìn)行解析。

2)預(yù)處理器預(yù)處理器模塊針對可疑行為檢查包或者修改包，以便檢測引擎能對其正確解釋，還可以對網(wǎng)絡(luò)流進(jìn)行標(biāo)準(zhǔn)化以便檢測引擎能夠準(zhǔn)確匹配特征。

3)檢測引擎檢測引擎模塊是入侵檢測系統(tǒng)實(shí)現(xiàn)的核心，當(dāng)數(shù)據(jù)包從預(yù)處理器送過來后，檢測引擎依據(jù)預(yù)先設(shè)置的規(guī)則檢查數(shù)據(jù)包，一旦發(fā)現(xiàn)數(shù)據(jù)包中的內(nèi)容和某條規(guī)則相匹配，就通知報(bào)警輸出模塊。

4)報(bào)警/輸出模塊檢測引擎檢查后的Snort數(shù)據(jù)需要以某種方式輸出。如檢測引擎中的某條規(guī)則被匹配，則會觸發(fā)一條報(bào)警，這條報(bào)警信息、會通過網(wǎng)絡(luò)等方式或SNMP協(xié)議的trap命令送給日志文件，報(bào)警信息也可以記入數(shù)據(jù)庫。

3.Snort規(guī)則結(jié)構(gòu)

Snort采用基于規(guī)則的網(wǎng)絡(luò)入侵模式搜索機(jī)制，對網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行模式匹配，從中發(fā)現(xiàn)入侵或惡意攻擊行為。Snort規(guī)則就是使用一種簡單的描述語言來刻畫網(wǎng)絡(luò)上的帶有攻擊標(biāo)識的數(shù)據(jù)包。Snort將所有已知的入侵行為以規(guī)則的形式存放在規(guī)則庫中，每一條規(guī)則由規(guī)則頭部和規(guī)則選項(xiàng)兩個(gè)部分組成。規(guī)則頭定義了規(guī)則的動作、所匹配網(wǎng)絡(luò)報(bào)文的協(xié)議、源地址、目的地址、源端口以及目標(biāo)端口等信息；規(guī)則選項(xiàng)部分則包含了所要顯示給用戶查看的警告信息以及用來判定報(bào)文是否為攻擊報(bào)文的其他信息。一條規(guī)則可以用來探測一個(gè)或多個(gè)類型的入侵活動，一個(gè)好的規(guī)則可以來探測多種入侵特征。圖7.10

Snort規(guī)則頭部結(jié)構(gòu)協(xié)議部分用來在一個(gè)特定協(xié)議的包上應(yīng)用規(guī)則。這是規(guī)則所涉及的第一個(gè)條件。一些可以用到的協(xié)議如IP、ICMP、UDP等等。地址部分定義源或目的地址。地址可以是一個(gè)主機(jī)、一些主機(jī)的地址或者網(wǎng)絡(luò)地址。注意，在規(guī)則中有兩個(gè)地址段，依賴于方向段決定地址是源或者是目的地址。例如，方向段的值是“->”,那么左邊的地址就是源地址，右邊的地址是目的地址。如果協(xié)議是TCP或UDP，則端口部分用來確定規(guī)則所對應(yīng)的包的源及目的端口;如果是網(wǎng)絡(luò)層協(xié)議，如IP或ICMP，則端口號就沒有意義了。方向部分用來確定地址和端口是源，還是目的。例如，這樣一個(gè)規(guī)則，當(dāng)它探測到TTL為100的ICMPPing包時(shí)，就會產(chǎn)生告警：

alerticmpanyany->anyany(msg：″PingwithTTL=100″；ttl：100；)括號之前的部分叫做規(guī)則頭部，括號中的部分叫做規(guī)則選項(xiàng)。頭部依次包括如下部分。（1）規(guī)則的動作。在這個(gè)規(guī)則中，動作是alert(告警)，指如果符合后面的條件，就會產(chǎn)生一個(gè)告警。如果產(chǎn)生告警，默認(rèn)的情況下將會記錄日志。（2）協(xié)議。在這個(gè)規(guī)則中，協(xié)議是icmp，也就是說這條規(guī)則僅僅對icmp包有效，如果一個(gè)包的協(xié)議不是icmp，Snort探測引擎就不理會這個(gè)包以節(jié)省CPU時(shí)間。協(xié)議部分在對某種協(xié)議的包應(yīng)用Snort規(guī)則時(shí)是非常重要的。（3）源地址和源端口。在這個(gè)例子中，它們都被設(shè)置成了any，也就是這條規(guī)則將被應(yīng)用在來自任何地方的icmp包上，當(dāng)然，端口號與icmp是沒有什么關(guān)系的，僅僅與TCP和UDP有關(guān)系。（4）方向。->表示從左向右的方向，表示在這個(gè)符號的左面部分是源，右面是目的，也表示規(guī)則應(yīng)用在從源到目的的包上；如果是<-，那么就相反。注意，也可以用<>來表示規(guī)則將應(yīng)用在所有方向上。

(5)目的地址和端口。都是“any”，表示規(guī)則并不關(guān)心它們的目的地址。在這個(gè)規(guī)則中，由于any的作用，方向段并沒有實(shí)際的作用，因?yàn)樗鼘⒈粦?yīng)用在所有方向的icmp包上。在括號中的規(guī)則選項(xiàng)部分表示：如果包符合TTL=100的條件就產(chǎn)生一條包含文字：“PingwithTTL=100”的告警。TTL是IP包頭部字段。

4.Snort典型規(guī)則示例

Snort規(guī)則的本質(zhì)就是簡單模式匹配，即通過對數(shù)據(jù)包的分析得到所需信息，用以匹配自身的規(guī)則庫。如果能夠匹配某一規(guī)則，就產(chǎn)生事件報(bào)警或者做日志記錄，否則就丟棄(即便是屬于攻擊)。根據(jù)網(wǎng)絡(luò)入侵的分類，較典型的Snort規(guī)則有以下幾類：

1）端口掃描端口掃描通常指用同一個(gè)信息對目標(biāo)主機(jī)的所有需要掃描的端口發(fā)送探測數(shù)據(jù)包，然后根據(jù)返回端口的狀態(tài)來分析目標(biāo)主機(jī)端口是否打開可用的行為。這是黑客用于收集目標(biāo)主機(jī)相關(guān)信息，從而發(fā)現(xiàn)某些內(nèi)在安全弱點(diǎn)的常用手段。規(guī)則實(shí)例：

alerttcpanyany->$HOME_NETany(msg：″SYNFINScan″；flags：SF：)含義：當(dāng)有人對系統(tǒng)進(jìn)行SYNFIN掃描時(shí)，向管理員發(fā)出端口掃描的警報(bào)。

2）系統(tǒng)后門在大多數(shù)情況下，攻擊者入侵一個(gè)系統(tǒng)后，可能還想在適當(dāng)?shù)臅r(shí)候再次進(jìn)入系統(tǒng)，一種較好的方法就是在這個(gè)已被入侵的系統(tǒng)中留一個(gè)后門。后門(backdoor)就是攻擊者再次進(jìn)入網(wǎng)絡(luò)或系統(tǒng)而不被發(fā)現(xiàn)的隱蔽通道。最簡單的方法就是在主機(jī)上打開一個(gè)監(jiān)聽的端口。規(guī)則實(shí)例：

alertudpanyany->$HOME_NET31337(msg：″BackOrifice″；)含義：當(dāng)有人連接系統(tǒng)UDP端口31337時(shí)，向管理員發(fā)出后門程序BackOrifice活動的警報(bào)。

3)拒絕服務(wù)拒絕服務(wù)攻擊(DenialofService)是一種最早也是最常見的攻擊形式，攻擊者通過發(fā)送一些非法的數(shù)據(jù)包使系統(tǒng)癱瘓，或者發(fā)送大量的數(shù)據(jù)包使系統(tǒng)無法響應(yīng)，從而達(dá)到破壞系統(tǒng)的目的。規(guī)則實(shí)例：

alerttcp$EXTERNAL_NETany->$HOME_NET12754(msg：″DDOSmstreamclienttohandler″；flow：to_server，established；content：″>″；flags：A+；reference：cve，2000-0138；classtype：attemped-doc：sid：247；rev：5；)含義：目的端口號為12754的TCP連接中，數(shù)據(jù)包含字符串“>”時(shí)，向管理員發(fā)出拒絕服務(wù)攻擊的警報(bào)。

4)緩沖區(qū)溢出緩沖區(qū)溢出也是一種較為常用的黑客技術(shù)。它通過往程序的緩沖區(qū)寫入超出其長度的內(nèi)容，造成緩沖區(qū)的溢出，并利用精心構(gòu)造的數(shù)據(jù)覆蓋程序的返回指針，從而改變程序的執(zhí)行流程，達(dá)到執(zhí)行攻擊代碼的目的。規(guī)則實(shí)例：

alerttcpanyany->$HOME_NET21(msg：″FTPbufferoverflowl!″；content：″|5057440A2F69|″；)

含義：當(dāng)有人向系統(tǒng)TCP端口21發(fā)送的數(shù)據(jù)中帶有二進(jìn)制數(shù)據(jù)“|5057440A2F69|”時(shí)，向管理員發(fā)出FTP溢出攻擊的警報(bào)。7.6入侵防護(hù)系統(tǒng)7.6.1

IPS的原理絕大多數(shù)IDS系統(tǒng)都是被動的，而不是主動的。也就是說，在網(wǎng)絡(luò)入侵實(shí)際發(fā)生之前，它們往往無法預(yù)先發(fā)出警報(bào)。而入侵防護(hù)系統(tǒng)則傾向于提供主動防護(hù)，即預(yù)先對入侵活動和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截。也就是說，IPS是一種主動的、積極的入侵防范及阻止系統(tǒng)，它部署在網(wǎng)絡(luò)的進(jìn)出口處，當(dāng)檢測到攻擊企圖后，它會自動地將攻擊包丟掉或采取措施將攻擊源阻斷。簡單地說，入侵防護(hù)系統(tǒng)(IPS)是任何能夠檢測已知和未知攻擊并且在沒有人為干預(yù)的情況下能夠自動阻止攻擊的硬件或者軟件設(shè)備。IPS也稱為IDP(IntrusionDetection&Prevention，入侵檢測和防御系統(tǒng))，是指不但能檢測入侵的發(fā)生，而且能通過一定的響應(yīng)方式，實(shí)時(shí)地中止入侵行為的發(fā)生和發(fā)展，實(shí)時(shí)地保護(hù)網(wǎng)絡(luò)及信息系統(tǒng)不受實(shí)質(zhì)性攻擊的一種智能化的安全產(chǎn)品。入侵防護(hù)系統(tǒng)通過一個(gè)網(wǎng)絡(luò)接口接收來自外部系統(tǒng)的流量，經(jīng)過檢查確認(rèn)不含有異?；顒踊蚩梢蓛?nèi)容后，再通過另外一個(gè)網(wǎng)絡(luò)接口將它傳遞到內(nèi)部系統(tǒng)中；有問題的數(shù)據(jù)包，以及所有來自該問題的后續(xù)包，都會被IPS給徹底清除掉，如圖7.11所示。圖7.11

IPS工作原理

IPS實(shí)現(xiàn)實(shí)時(shí)檢查和阻止入侵的原理在于IPS擁有數(shù)目眾多的過濾器，能夠防止各種攻擊。當(dāng)新的攻擊手段被發(fā)現(xiàn)之后，IPS就會創(chuàng)建一個(gè)新的過濾器。IPS數(shù)據(jù)包處理引擎是專業(yè)化定制的集成電路，可以深層檢查數(shù)據(jù)包的內(nèi)容。如果有攻擊者利用數(shù)據(jù)鏈路層至應(yīng)用層的漏洞發(fā)起攻擊，IPS就能夠從數(shù)據(jù)流中檢查出這些攻擊并加以阻止。IPS可以做到逐一字節(jié)地檢查數(shù)據(jù)包。所有流經(jīng)IPS的數(shù)據(jù)包都會被分類，分類的依據(jù)是數(shù)據(jù)包中的報(bào)頭信息，如源IP地址和目的IP地址、端口號和應(yīng)用域。每種過濾器負(fù)責(zé)分析相對應(yīng)的數(shù)據(jù)包。通過檢查的數(shù)據(jù)包可以繼續(xù)前進(jìn)，包含惡意內(nèi)容的數(shù)據(jù)包就會被丟棄，被懷疑的數(shù)據(jù)包需要接受進(jìn)一步的檢查。7.6.2

IPS的分類

1.基于主機(jī)的入侵防護(hù)(HIPS)基于主機(jī)的入侵防護(hù)系統(tǒng)(HIPS)，通過在主機(jī)/服務(wù)器上安裝軟件代理程序，來防止網(wǎng)絡(luò)攻擊入侵操作系統(tǒng)以及應(yīng)用程序?；谥鳈C(jī)的入侵防護(hù)能夠保護(hù)服務(wù)器的安全弱點(diǎn)不被不法分子所利用；可以根據(jù)自定義的安全策略以及分析學(xué)習(xí)機(jī)制來阻斷對服務(wù)器、主機(jī)發(fā)起的惡意入侵；可以阻斷緩沖區(qū)溢出、改變登錄口令、改寫動態(tài)鏈接庫以及其他試圖從操作系統(tǒng)奪取控制權(quán)的入侵行為，整體提升主機(jī)的安全水平。在技術(shù)上，HIPS采用獨(dú)特的服務(wù)器保護(hù)途徑，利用由包過濾、狀態(tài)包檢測和實(shí)時(shí)入侵檢測組成的分層防護(hù)體系。這種體系能夠在提供合理吞吐率的前提下，最大限度地保護(hù)服務(wù)器的敏感內(nèi)容，既可以以軟件形式嵌入到應(yīng)用程序?qū)Σ僮飨到y(tǒng)的調(diào)用當(dāng)中，通過攔截對操作系統(tǒng)的可疑調(diào)用，提供對主機(jī)的安全防護(hù)(現(xiàn)在大部分防病毒軟件的實(shí)時(shí)保護(hù)功能，實(shí)際上已經(jīng)提供了部分這樣的功能)；也可以以更改操作系統(tǒng)內(nèi)核程序的方式，提供比操作系統(tǒng)更加嚴(yán)謹(jǐn)?shù)陌踩刂茩C(jī)制。由于HIPS工作在受保護(hù)的主機(jī)/服務(wù)器上，因此它與具體的主機(jī)/服務(wù)器操作系統(tǒng)平臺緊密相關(guān)，不同的平臺需要不同的軟件代理程序。

2.基于網(wǎng)絡(luò)的入侵防護(hù)(NIPS)基于網(wǎng)絡(luò)的入侵防護(hù)系統(tǒng)(NIPS)，通過檢測流經(jīng)的網(wǎng)絡(luò)流量，來提供對網(wǎng)絡(luò)系統(tǒng)的安全保護(hù)。由于它采用串聯(lián)連接方式，因此一旦辨識出入侵行為，NIPS就可以阻止整個(gè)網(wǎng)絡(luò)會話，而不僅僅是復(fù)位會話。同樣由于實(shí)時(shí)在線，NIPS需要具備很高的性能，以免成為網(wǎng)絡(luò)的瓶頸，因此NIPS通常被設(shè)計(jì)成類似于交換機(jī)的網(wǎng)絡(luò)設(shè)備，提供線速吞吐速率以及多個(gè)網(wǎng)絡(luò)端口?；谔囟ǖ挠布脚_，才能真正實(shí)現(xiàn)千兆級網(wǎng)絡(luò)流量的深度數(shù)據(jù)包檢測和阻斷功能。這種特定的硬件平臺通?？梢苑譃槿悾旱谝活愂蔷W(wǎng)絡(luò)處理器(NP)，第二類是專用的FPGA編程芯片，第三類是專用的ASIC芯片。在技術(shù)上，NIPS吸取了目前NIDS所有的成熟技術(shù)，包括特征匹配、協(xié)議分析和異常檢測。特征匹配是最廣泛應(yīng)用的技術(shù)，具有準(zhǔn)確率高、速度快的特點(diǎn)。基于狀態(tài)的特征匹配不但能檢測攻擊行為的特征，還要檢查當(dāng)前網(wǎng)絡(luò)的會話狀