計(jì)算機(jī)技術(shù)網(wǎng)絡(luò)安全技術(shù)教程ch5入侵檢測(cè)技術(shù)

1、第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 第第5章章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 內(nèi)容提要：內(nèi)容提要： 入侵檢測(cè)概述入侵檢測(cè)概述 入侵檢測(cè)的技術(shù)實(shí)現(xiàn)入侵檢測(cè)的技術(shù)實(shí)現(xiàn) 分布式入侵檢測(cè)分布式入侵檢測(cè) 入侵檢測(cè)系統(tǒng)的標(biāo)準(zhǔn)入侵檢測(cè)系統(tǒng)的標(biāo)準(zhǔn) 入侵檢測(cè)系統(tǒng)示例入侵檢測(cè)系統(tǒng)示例 本章小結(jié)本章小結(jié) 第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 5.1 入侵檢測(cè)概述入侵檢測(cè)概述 入侵檢測(cè)技術(shù)研究最早可追溯到入侵檢測(cè)技術(shù)研究最早可追溯到1980年年 James P.Aderson所寫(xiě)的一份技術(shù)報(bào)告，他首先所寫(xiě)的一份技術(shù)報(bào)告，他首先 提出了入侵檢測(cè)的概念。提出了入侵檢測(cè)的概念。1987年年Dorothy Denning提

2、出了入侵檢測(cè)系統(tǒng)（提出了入侵檢測(cè)系統(tǒng)（IDS，Intrusion Detection System）的抽象模型（如圖的抽象模型（如圖5-1所示），所示）， 首次提出了入侵檢測(cè)可作為一種計(jì)算機(jī)系統(tǒng)安全首次提出了入侵檢測(cè)可作為一種計(jì)算機(jī)系統(tǒng)安全 防御措施的概念，與傳統(tǒng)的加密和訪問(wèn)控制技術(shù)防御措施的概念，與傳統(tǒng)的加密和訪問(wèn)控制技術(shù) 相比，相比，IDS是全新的計(jì)算機(jī)安全措施。是全新的計(jì)算機(jī)安全措施。 返回本章首頁(yè)返回本章首頁(yè) 第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 返回本章首頁(yè)返回本章首頁(yè) 第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 入侵檢測(cè)技術(shù)研究最早可追溯到入侵檢測(cè)技術(shù)研究最早可追溯到1980年年 J

3、ames P.Aderson所寫(xiě)的一份技術(shù)報(bào)告，他首先所寫(xiě)的一份技術(shù)報(bào)告，他首先 提出了入侵檢測(cè)的概念。提出了入侵檢測(cè)的概念。1987年年Dorothy Denning提出了入侵檢測(cè)系統(tǒng)（提出了入侵檢測(cè)系統(tǒng)（IDS，Intrusion Detection System）的抽象模型（如圖的抽象模型（如圖5-1所示），所示）， 首次提出了入侵檢測(cè)可作為一種計(jì)算機(jī)系統(tǒng)安全首次提出了入侵檢測(cè)可作為一種計(jì)算機(jī)系統(tǒng)安全 防御措施的概念，與傳統(tǒng)的加密和訪問(wèn)控制技術(shù)防御措施的概念，與傳統(tǒng)的加密和訪問(wèn)控制技術(shù) 相比，相比，IDS是全新的計(jì)算機(jī)安全措施。是全新的計(jì)算機(jī)安全措施。 返回本章首頁(yè)返回本章首頁(yè) 第五章第

4、五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 1988年年Teresa Lunt等人進(jìn)一步改進(jìn)了等人進(jìn)一步改進(jìn)了 Denning提出的入侵檢測(cè)模型，并創(chuàng)建了提出的入侵檢測(cè)模型，并創(chuàng)建了IDES （Intrusion Detection Expert System），），該系統(tǒng)該系統(tǒng) 用于檢測(cè)單一主機(jī)的入侵嘗試，提出了與系統(tǒng)平用于檢測(cè)單一主機(jī)的入侵嘗試，提出了與系統(tǒng)平 臺(tái)無(wú)關(guān)的實(shí)時(shí)檢測(cè)思想，臺(tái)無(wú)關(guān)的實(shí)時(shí)檢測(cè)思想，1995年開(kāi)發(fā)的年開(kāi)發(fā)的NIDES （Next-Generation Intrusion Detection Expert System）作為作為IDES完善后的版本可以檢測(cè)出多完善后的版本可以檢測(cè)出

5、多 個(gè)主機(jī)上的入侵。個(gè)主機(jī)上的入侵。 返回本章首頁(yè)返回本章首頁(yè) 第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 1990年，年，Heberlein等人提出了一個(gè)具有里等人提出了一個(gè)具有里 程碑意義的新型概念：基于網(wǎng)絡(luò)的入侵檢測(cè)程碑意義的新型概念：基于網(wǎng)絡(luò)的入侵檢測(cè) 網(wǎng)絡(luò)安全監(jiān)視器網(wǎng)絡(luò)安全監(jiān)視器NSM（Network Security Monitor）。）。1991年年,NADIR（Network Anomaly Detection and Intrusion Reporter）與與DIDS （Distribute Intrusion Detection System）提出提出 了通過(guò)收集和合并處理來(lái)自

6、多個(gè)主機(jī)的審計(jì)信息了通過(guò)收集和合并處理來(lái)自多個(gè)主機(jī)的審計(jì)信息 可以檢測(cè)出一系列針對(duì)主機(jī)的協(xié)同攻擊。可以檢測(cè)出一系列針對(duì)主機(jī)的協(xié)同攻擊。 返回本章首頁(yè)返回本章首頁(yè) 第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 1994年，年，Mark Crosbie和和Gene Spafford建建 議使用自治代理（議使用自治代理（autonomous agents）以提高以提高 IDS的可伸縮性、可維護(hù)性、效率和容錯(cuò)性，該的可伸縮性、可維護(hù)性、效率和容錯(cuò)性，該 理念非常符合計(jì)算機(jī)科學(xué)其他領(lǐng)域（如軟件代理，理念非常符合計(jì)算機(jī)科學(xué)其他領(lǐng)域（如軟件代理， software agent）正在進(jìn)行的相關(guān)研究。另一個(gè)正在進(jìn)行的

7、相關(guān)研究。另一個(gè) 致力于解決當(dāng)代絕大多數(shù)入侵檢測(cè)系統(tǒng)伸縮性不致力于解決當(dāng)代絕大多數(shù)入侵檢測(cè)系統(tǒng)伸縮性不 足的方法于足的方法于1996年提出，這就是年提出，這就是GrIDS（Graph- based Intrusion Detection System）的設(shè)計(jì)和實(shí)的設(shè)計(jì)和實(shí) 現(xiàn)，該系統(tǒng)可以方便地檢測(cè)大規(guī)模自動(dòng)或協(xié)同方現(xiàn)，該系統(tǒng)可以方便地檢測(cè)大規(guī)模自動(dòng)或協(xié)同方 式的網(wǎng)絡(luò)攻擊。式的網(wǎng)絡(luò)攻擊。 返回本章首頁(yè)返回本章首頁(yè) 第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 近年來(lái)，入侵檢測(cè)技術(shù)研究的主要?jiǎng)?chuàng)新有：近年來(lái)，入侵檢測(cè)技術(shù)研究的主要?jiǎng)?chuàng)新有： Forrest等將免疫學(xué)原理運(yùn)用于分布式入侵檢測(cè)等將免疫學(xué)原理運(yùn)用

8、于分布式入侵檢測(cè) 領(lǐng)域；領(lǐng)域；1998年年Ross Anderson和和Abida Khattak將將 信息檢索技術(shù)引進(jìn)入侵檢測(cè)；以及采用狀態(tài)轉(zhuǎn)換信息檢索技術(shù)引進(jìn)入侵檢測(cè)；以及采用狀態(tài)轉(zhuǎn)換 分析、數(shù)據(jù)挖掘和遺傳算法等進(jìn)行誤用和異常檢分析、數(shù)據(jù)挖掘和遺傳算法等進(jìn)行誤用和異常檢 測(cè)。測(cè)。 返回本章首頁(yè)返回本章首頁(yè) 第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 5.1.1 入侵檢測(cè)原理入侵檢測(cè)原理 圖圖5-2給出了入侵檢測(cè)的基本原理圖。入侵給出了入侵檢測(cè)的基本原理圖。入侵 檢測(cè)是用于檢測(cè)任何損害或企圖損害系統(tǒng)的保密檢測(cè)是用于檢測(cè)任何損害或企圖損害系統(tǒng)的保密 性、完整性或可用性的一種網(wǎng)絡(luò)安全技術(shù)。它通性、完

9、整性或可用性的一種網(wǎng)絡(luò)安全技術(shù)。它通 過(guò)監(jiān)視受保護(hù)系統(tǒng)的狀態(tài)和活動(dòng)，采用誤用檢測(cè)過(guò)監(jiān)視受保護(hù)系統(tǒng)的狀態(tài)和活動(dòng)，采用誤用檢測(cè) （Misuse Detection）或異常檢測(cè)（或異常檢測(cè)（Anomaly Detection）的方式，發(fā)現(xiàn)非授權(quán)的或惡意的系統(tǒng)的方式，發(fā)現(xiàn)非授權(quán)的或惡意的系統(tǒng) 及網(wǎng)絡(luò)行為，為防范入侵行為提供有效的手段。及網(wǎng)絡(luò)行為，為防范入侵行為提供有效的手段。 返回本章首頁(yè)返回本章首頁(yè) 第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 圖5-2 入侵檢測(cè)原理框圖 返回本章首頁(yè)返回本章首頁(yè) 第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 入侵檢測(cè)系統(tǒng)（入侵檢測(cè)系統(tǒng)（Intrusion Detection

10、System， IDS）就是執(zhí)行入侵檢測(cè)任務(wù)的硬件或軟件產(chǎn)品。就是執(zhí)行入侵檢測(cè)任務(wù)的硬件或軟件產(chǎn)品。 IDS通過(guò)實(shí)時(shí)的分析，檢查特定的攻擊模式、系通過(guò)實(shí)時(shí)的分析，檢查特定的攻擊模式、系 統(tǒng)配置、系統(tǒng)漏洞、存在缺陷的程序版本以及系統(tǒng)配置、系統(tǒng)漏洞、存在缺陷的程序版本以及系 統(tǒng)或用戶的行為模式，監(jiān)控與安全有關(guān)的活動(dòng)。統(tǒng)或用戶的行為模式，監(jiān)控與安全有關(guān)的活動(dòng)。 一個(gè)基本的入侵檢測(cè)系統(tǒng)需要解決兩個(gè)問(wèn)一個(gè)基本的入侵檢測(cè)系統(tǒng)需要解決兩個(gè)問(wèn) 題：一是如何充分并可靠地提取描述行為特征的題：一是如何充分并可靠地提取描述行為特征的 數(shù)據(jù)；二是如何根據(jù)特征數(shù)據(jù)，高效并準(zhǔn)確地判數(shù)據(jù)；二是如何根據(jù)特征數(shù)據(jù)，高效并準(zhǔn)確地

11、判 定行為的性質(zhì)。定行為的性質(zhì)。 返回本章首頁(yè)返回本章首頁(yè) 第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 5.1.2 系統(tǒng)結(jié)構(gòu)系統(tǒng)結(jié)構(gòu) 由于網(wǎng)絡(luò)環(huán)境和系統(tǒng)安全策略的差異，入侵由于網(wǎng)絡(luò)環(huán)境和系統(tǒng)安全策略的差異，入侵 檢測(cè)系統(tǒng)在具體實(shí)現(xiàn)上也有所不同。從系統(tǒng)構(gòu)成檢測(cè)系統(tǒng)在具體實(shí)現(xiàn)上也有所不同。從系統(tǒng)構(gòu)成 上看，入侵檢測(cè)系統(tǒng)應(yīng)包括事件提取、入侵分析、上看，入侵檢測(cè)系統(tǒng)應(yīng)包括事件提取、入侵分析、 入侵響應(yīng)和遠(yuǎn)程管理四大部分，另外還可能結(jié)合入侵響應(yīng)和遠(yuǎn)程管理四大部分，另外還可能結(jié)合 安全知識(shí)庫(kù)、數(shù)據(jù)存儲(chǔ)等功能模塊，提供更為完安全知識(shí)庫(kù)、數(shù)據(jù)存儲(chǔ)等功能模塊，提供更為完 善的安全檢測(cè)及數(shù)據(jù)分析功能（如圖善的安全檢測(cè)

12、及數(shù)據(jù)分析功能（如圖5-3所示）。所示）。 返回本章首頁(yè)返回本章首頁(yè) 第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 數(shù)據(jù)提取 入侵分析數(shù)據(jù)存儲(chǔ) 響應(yīng)處理 原始數(shù)據(jù)流 知識(shí)庫(kù) 圖5-3 入侵檢測(cè)系統(tǒng)結(jié)構(gòu) 返回本章首頁(yè)返回本章首頁(yè) 第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 入侵檢測(cè)的思想源于傳統(tǒng)的系統(tǒng)審計(jì)，但拓入侵檢測(cè)的思想源于傳統(tǒng)的系統(tǒng)審計(jì)，但拓 寬了傳統(tǒng)審計(jì)的概念，它以近乎不間斷的方式進(jìn)寬了傳統(tǒng)審計(jì)的概念，它以近乎不間斷的方式進(jìn) 行安全檢測(cè)，從而可形成一個(gè)連續(xù)的檢測(cè)過(guò)程。行安全檢測(cè)，從而可形成一個(gè)連續(xù)的檢測(cè)過(guò)程。 這通常是通過(guò)執(zhí)行下列任務(wù)來(lái)實(shí)現(xiàn)的：這通常是通過(guò)執(zhí)行下列任務(wù)來(lái)實(shí)現(xiàn)的： 監(jiān)視、分析用戶及系

13、統(tǒng)活動(dòng)；監(jiān)視、分析用戶及系統(tǒng)活動(dòng)； 系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)；系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)； 識(shí)別分析知名攻擊的行為特征并告警；識(shí)別分析知名攻擊的行為特征并告警； 異常行為特征的統(tǒng)計(jì)分析；異常行為特征的統(tǒng)計(jì)分析； 評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性；評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性； 操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略 的行為。的行為。 返回本章首頁(yè)返回本章首頁(yè) 第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 5.1.3 系統(tǒng)分類(lèi)系統(tǒng)分類(lèi) 由于功能和體系結(jié)構(gòu)的復(fù)雜性，入侵檢測(cè)按由于功能和體系結(jié)構(gòu)的復(fù)雜性，入侵檢測(cè)按 照不同的標(biāo)準(zhǔn)有多種分類(lèi)方法。可分別從數(shù)據(jù)源、照

14、不同的標(biāo)準(zhǔn)有多種分類(lèi)方法?？煞謩e從數(shù)據(jù)源、 檢測(cè)理論、檢測(cè)時(shí)效三個(gè)方面來(lái)描述入侵檢測(cè)系檢測(cè)理論、檢測(cè)時(shí)效三個(gè)方面來(lái)描述入侵檢測(cè)系 統(tǒng)的類(lèi)型。統(tǒng)的類(lèi)型。 1基于數(shù)據(jù)源的分類(lèi)基于數(shù)據(jù)源的分類(lèi) 通?？梢园讶肭謾z測(cè)系統(tǒng)分為五類(lèi)，即基于通?？梢园讶肭謾z測(cè)系統(tǒng)分為五類(lèi)，即基于 主機(jī)、基于網(wǎng)絡(luò)、混合入侵檢測(cè)、基于網(wǎng)關(guān)的入主機(jī)、基于網(wǎng)絡(luò)、混合入侵檢測(cè)、基于網(wǎng)關(guān)的入 侵檢測(cè)系統(tǒng)以及文件完整性檢查系統(tǒng)。侵檢測(cè)系統(tǒng)以及文件完整性檢查系統(tǒng)。 返回本章首頁(yè)返回本章首頁(yè) 第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 2基于檢測(cè)理論的分類(lèi)基于檢測(cè)理論的分類(lèi) 從具體的檢測(cè)理論上來(lái)說(shuō)，入侵檢測(cè)又可分從具體的檢測(cè)理論上來(lái)說(shuō)，入侵檢測(cè)又

15、可分 為異常檢測(cè)和誤用檢測(cè)。為異常檢測(cè)和誤用檢測(cè)。 異常檢測(cè)（異常檢測(cè)（Anomaly Detection）指根據(jù)使指根據(jù)使 用者的行為或資源使用狀況的正常程度來(lái)判斷是用者的行為或資源使用狀況的正常程度來(lái)判斷是 否入侵，而不依賴于具體行為是否出現(xiàn)來(lái)檢測(cè)。否入侵，而不依賴于具體行為是否出現(xiàn)來(lái)檢測(cè)。 誤用檢測(cè)（誤用檢測(cè)（Misuse Detection）指運(yùn)用已知指運(yùn)用已知 攻擊方法，根據(jù)已定義好的入侵模式，通過(guò)判斷攻擊方法，根據(jù)已定義好的入侵模式，通過(guò)判斷 這些入侵模式是否出現(xiàn)來(lái)檢測(cè)。這些入侵模式是否出現(xiàn)來(lái)檢測(cè)。 返回本章首頁(yè)返回本章首頁(yè) 第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 3基于檢測(cè)時(shí)效的

16、分類(lèi)基于檢測(cè)時(shí)效的分類(lèi) IDS在處理數(shù)據(jù)的時(shí)候可以采用實(shí)時(shí)在線檢在處理數(shù)據(jù)的時(shí)候可以采用實(shí)時(shí)在線檢 測(cè)方式，也可以采用批處理方式，定時(shí)對(duì)處理原測(cè)方式，也可以采用批處理方式，定時(shí)對(duì)處理原 始數(shù)據(jù)進(jìn)行離線檢測(cè)，這兩種方法各有特點(diǎn)（如始數(shù)據(jù)進(jìn)行離線檢測(cè)，這兩種方法各有特點(diǎn)（如 圖圖5-5所示所示）。）。 離線檢測(cè)方式將一段時(shí)間內(nèi)的數(shù)據(jù)存儲(chǔ)起來(lái)，離線檢測(cè)方式將一段時(shí)間內(nèi)的數(shù)據(jù)存儲(chǔ)起來(lái)， 然后定時(shí)發(fā)給數(shù)據(jù)處理單元進(jìn)行分析，如果在這然后定時(shí)發(fā)給數(shù)據(jù)處理單元進(jìn)行分析，如果在這 段時(shí)間內(nèi)有攻擊發(fā)生就報(bào)警。在線檢測(cè)方式的實(shí)段時(shí)間內(nèi)有攻擊發(fā)生就報(bào)警。在線檢測(cè)方式的實(shí) 時(shí)處理是大多數(shù)時(shí)處理是大多數(shù)IDS所采用的辦法

17、，由于計(jì)算機(jī)所采用的辦法，由于計(jì)算機(jī) 硬件速度的提高，使得對(duì)攻擊的實(shí)時(shí)檢測(cè)和響應(yīng)硬件速度的提高，使得對(duì)攻擊的實(shí)時(shí)檢測(cè)和響應(yīng) 成為可能。成為可能。 返回本章首頁(yè)返回本章首頁(yè) 第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 返回本章首頁(yè)返回本章首頁(yè) 第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 5.2 入侵檢測(cè)的技術(shù)實(shí)現(xiàn)入侵檢測(cè)的技術(shù)實(shí)現(xiàn) 對(duì)于入侵檢測(cè)的研究，從早期的審計(jì)跟蹤數(shù)對(duì)于入侵檢測(cè)的研究，從早期的審計(jì)跟蹤數(shù) 據(jù)分析，到實(shí)時(shí)入侵檢測(cè)系統(tǒng)，到目前應(yīng)用于大據(jù)分析，到實(shí)時(shí)入侵檢測(cè)系統(tǒng)，到目前應(yīng)用于大 型網(wǎng)絡(luò)的分布式檢測(cè)系統(tǒng)，基本上已發(fā)展成為具型網(wǎng)絡(luò)的分布式檢測(cè)系統(tǒng)，基本上已發(fā)展成為具 有一定規(guī)模和相應(yīng)理論的研究

18、領(lǐng)域。入侵檢測(cè)的有一定規(guī)模和相應(yīng)理論的研究領(lǐng)域。入侵檢測(cè)的 核心問(wèn)題在于如何對(duì)安全審計(jì)數(shù)據(jù)進(jìn)行分析，以核心問(wèn)題在于如何對(duì)安全審計(jì)數(shù)據(jù)進(jìn)行分析，以 檢測(cè)其中是否包含入侵或異常行為的跡象。這里，檢測(cè)其中是否包含入侵或異常行為的跡象。這里， 我們先從誤用檢測(cè)和異常檢測(cè)兩個(gè)方面介紹當(dāng)前我們先從誤用檢測(cè)和異常檢測(cè)兩個(gè)方面介紹當(dāng)前 關(guān)于入侵檢測(cè)技術(shù)的主流技術(shù)實(shí)現(xiàn)，然后對(duì)其它關(guān)于入侵檢測(cè)技術(shù)的主流技術(shù)實(shí)現(xiàn)，然后對(duì)其它 類(lèi)型的檢測(cè)技術(shù)作簡(jiǎn)要介紹。類(lèi)型的檢測(cè)技術(shù)作簡(jiǎn)要介紹。 返回本章首頁(yè)返回本章首頁(yè) 第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 5.2.1 入侵檢測(cè)分析模型入侵檢測(cè)分析模型 分析是入侵檢測(cè)的核心功能，

19、它既能簡(jiǎn)單到分析是入侵檢測(cè)的核心功能，它既能簡(jiǎn)單到 像一個(gè)已熟悉日志情況的管理員去建立決策表，像一個(gè)已熟悉日志情況的管理員去建立決策表， 也能復(fù)雜得像一個(gè)集成了幾百萬(wàn)個(gè)處理的非參數(shù)也能復(fù)雜得像一個(gè)集成了幾百萬(wàn)個(gè)處理的非參數(shù) 系統(tǒng)。入侵檢測(cè)的分析處理過(guò)程可分為三個(gè)階段：系統(tǒng)。入侵檢測(cè)的分析處理過(guò)程可分為三個(gè)階段： 構(gòu)建分析器，對(duì)實(shí)際現(xiàn)場(chǎng)數(shù)據(jù)進(jìn)行分析，反饋和構(gòu)建分析器，對(duì)實(shí)際現(xiàn)場(chǎng)數(shù)據(jù)進(jìn)行分析，反饋和 提煉過(guò)程。其中，前兩個(gè)階段都包含三個(gè)功能：提煉過(guò)程。其中，前兩個(gè)階段都包含三個(gè)功能： 數(shù)據(jù)處理、數(shù)據(jù)分類(lèi)（數(shù)據(jù)可分為入侵指示、非數(shù)據(jù)處理、數(shù)據(jù)分類(lèi)（數(shù)據(jù)可分為入侵指示、非 入侵指示或不確定）和后處理。

20、入侵指示或不確定）和后處理。 返回本章首頁(yè)返回本章首頁(yè) 第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 5.2.2 誤用檢測(cè)（誤用檢測(cè)（Misuse Detection） 誤用檢測(cè)是按照預(yù)定模式搜尋事件數(shù)據(jù)的，誤用檢測(cè)是按照預(yù)定模式搜尋事件數(shù)據(jù)的， 最適用于對(duì)已知模式的可靠檢測(cè)。執(zhí)行誤用檢測(cè)，最適用于對(duì)已知模式的可靠檢測(cè)。執(zhí)行誤用檢測(cè)， 主要依賴于可靠的用戶活動(dòng)記錄和分析事件的方主要依賴于可靠的用戶活動(dòng)記錄和分析事件的方 法。法。 1條件概率預(yù)測(cè)法條件概率預(yù)測(cè)法 條件概率預(yù)測(cè)法是基于統(tǒng)計(jì)理論來(lái)量化全部條件概率預(yù)測(cè)法是基于統(tǒng)計(jì)理論來(lái)量化全部 外部網(wǎng)絡(luò)事件序列中存在入侵事件的可能程度。外部網(wǎng)絡(luò)事件序列中存

21、在入侵事件的可能程度。 返回本章首頁(yè)返回本章首頁(yè) 第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 2產(chǎn)生式產(chǎn)生式/ /專家系統(tǒng)專家系統(tǒng) 用專家系統(tǒng)對(duì)入侵進(jìn)行檢測(cè)，主要是檢測(cè)基用專家系統(tǒng)對(duì)入侵進(jìn)行檢測(cè)，主要是檢測(cè)基 于特征的入侵行為。所謂規(guī)則，即是知識(shí)，專家于特征的入侵行為。所謂規(guī)則，即是知識(shí)，專家 系統(tǒng)的建立依賴于知識(shí)庫(kù)的完備性，而知識(shí)庫(kù)的系統(tǒng)的建立依賴于知識(shí)庫(kù)的完備性，而知識(shí)庫(kù)的 完備性又取決于審計(jì)記錄的完備性與實(shí)時(shí)性。完備性又取決于審計(jì)記錄的完備性與實(shí)時(shí)性。 產(chǎn)生式產(chǎn)生式/專家系統(tǒng)是誤用檢測(cè)早期的方案之一，專家系統(tǒng)是誤用檢測(cè)早期的方案之一， 在在MIDAS、IDES、NIDES、DIDS和和CMD

22、S中都中都 使用了這種方法。使用了這種方法。 返回本章首頁(yè)返回本章首頁(yè) 第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 3狀態(tài)轉(zhuǎn)換方法狀態(tài)轉(zhuǎn)換方法 狀態(tài)轉(zhuǎn)換方法使用系統(tǒng)狀態(tài)和狀態(tài)轉(zhuǎn)換表達(dá)狀態(tài)轉(zhuǎn)換方法使用系統(tǒng)狀態(tài)和狀態(tài)轉(zhuǎn)換表達(dá) 式來(lái)描述和檢測(cè)入侵，采用最優(yōu)模式匹配技巧來(lái)式來(lái)描述和檢測(cè)入侵，采用最優(yōu)模式匹配技巧來(lái) 結(jié)構(gòu)化誤用檢測(cè)，增強(qiáng)了檢測(cè)的速度和靈活性。結(jié)構(gòu)化誤用檢測(cè)，增強(qiáng)了檢測(cè)的速度和靈活性。 目前，主要有三種實(shí)現(xiàn)方法：狀態(tài)轉(zhuǎn)換分析、有目前，主要有三種實(shí)現(xiàn)方法：狀態(tài)轉(zhuǎn)換分析、有 色色Petri-Net和語(yǔ)言和語(yǔ)言/應(yīng)用編程接口（應(yīng)用編程接口（API）。）。 返回本章首頁(yè)返回本章首頁(yè) 第五章第五章 入侵

23、檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 4用于批模式分析的信息檢索技術(shù)用于批模式分析的信息檢索技術(shù) 當(dāng)前大多數(shù)入侵檢測(cè)都是通過(guò)對(duì)事件數(shù)據(jù)的當(dāng)前大多數(shù)入侵檢測(cè)都是通過(guò)對(duì)事件數(shù)據(jù)的 實(shí)時(shí)收集和分析來(lái)發(fā)現(xiàn)入侵的，然而在攻擊被證實(shí)時(shí)收集和分析來(lái)發(fā)現(xiàn)入侵的，然而在攻擊被證 實(shí)之后，要從大量的審計(jì)數(shù)據(jù)中尋找證據(jù)信息，實(shí)之后，要從大量的審計(jì)數(shù)據(jù)中尋找證據(jù)信息， 就必須借助于信息檢索（就必須借助于信息檢索（IR，Information Retrieval）技術(shù)，技術(shù)，IR技術(shù)當(dāng)前廣泛應(yīng)用于技術(shù)當(dāng)前廣泛應(yīng)用于WWW 的搜索引擎上。的搜索引擎上。 IR系統(tǒng)使用反向文件作為索引，允許高效系統(tǒng)使用反向文件作為索引，允許高效 地搜尋關(guān)鍵

24、字或關(guān)鍵字組合，并使用地搜尋關(guān)鍵字或關(guān)鍵字組合，并使用Bayesian理理 論幫助提煉搜索。論幫助提煉搜索。 返回本章首頁(yè)返回本章首頁(yè) 第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 5Keystroke Monitor和基于模型的方法和基于模型的方法 Keystroke Monitor是一種簡(jiǎn)單的入侵檢測(cè)是一種簡(jiǎn)單的入侵檢測(cè) 方法，它通過(guò)分析用戶擊鍵序列的模式來(lái)檢測(cè)入方法，它通過(guò)分析用戶擊鍵序列的模式來(lái)檢測(cè)入 侵行為，常用于對(duì)主機(jī)的入侵檢測(cè)。該方法具有侵行為，常用于對(duì)主機(jī)的入侵檢測(cè)。該方法具有 明顯的缺點(diǎn)，首先，批處理或明顯的缺點(diǎn)，首先，批處理或Shell程序可以不程序可以不 通過(guò)擊鍵而直接調(diào)用系統(tǒng)

25、攻擊命令序列；其次，通過(guò)擊鍵而直接調(diào)用系統(tǒng)攻擊命令序列；其次， 操作系統(tǒng)通常不提供統(tǒng)一的擊鍵檢測(cè)接口，需通操作系統(tǒng)通常不提供統(tǒng)一的擊鍵檢測(cè)接口，需通 過(guò)額外的鉤子函數(shù)（過(guò)額外的鉤子函數(shù)（Hook）來(lái)監(jiān)測(cè)擊鍵。來(lái)監(jiān)測(cè)擊鍵。 返回本章首頁(yè)返回本章首頁(yè) 第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 5.2.3 異常檢測(cè)（異常檢測(cè)（Anomaly Detection） 異常檢測(cè)基于一個(gè)假定：用戶的行為是可預(yù)異常檢測(cè)基于一個(gè)假定：用戶的行為是可預(yù) 測(cè)的、遵循一致性模式的，且隨著用戶事件的增測(cè)的、遵循一致性模式的，且隨著用戶事件的增 加異常檢測(cè)會(huì)適應(yīng)用戶行為的變化。用戶行為的加異常檢測(cè)會(huì)適應(yīng)用戶行為的變化。用戶

26、行為的 特征輪廓在異常檢測(cè)中是由度量（特征輪廓在異常檢測(cè)中是由度量（measuremeasure）集集 來(lái)描述，度量是特定網(wǎng)絡(luò)行為的定量表示，通常來(lái)描述，度量是特定網(wǎng)絡(luò)行為的定量表示，通常 與某個(gè)檢測(cè)閥值或某個(gè)域相聯(lián)系。與某個(gè)檢測(cè)閥值或某個(gè)域相聯(lián)系。 異常檢測(cè)可發(fā)現(xiàn)未知的攻擊方法，體現(xiàn)了強(qiáng)異常檢測(cè)可發(fā)現(xiàn)未知的攻擊方法，體現(xiàn)了強(qiáng) 健的保護(hù)機(jī)制，但對(duì)于給定的度量集能否完備到健的保護(hù)機(jī)制，但對(duì)于給定的度量集能否完備到 表示所有的異常行為仍需要深入研究。表示所有的異常行為仍需要深入研究。 返回本章首頁(yè)返回本章首頁(yè) 第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 1Denning的原始模型的原始模型 Dorot

27、hy Denning于于1986年給出了入侵檢測(cè)年給出了入侵檢測(cè) 的的IDES模型，她認(rèn)為在一個(gè)系統(tǒng)中可以包括四模型，她認(rèn)為在一個(gè)系統(tǒng)中可以包括四 個(gè)統(tǒng)計(jì)模型，每個(gè)模型適合于一個(gè)特定類(lèi)型的系個(gè)統(tǒng)計(jì)模型，每個(gè)模型適合于一個(gè)特定類(lèi)型的系 統(tǒng)度量。統(tǒng)度量。 （1）可操作模型）可操作模型 （2）平均和標(biāo)準(zhǔn)偏差模型）平均和標(biāo)準(zhǔn)偏差模型 （3）多變量模型）多變量模型 （4）Markov處理模型處理模型 返回本章首頁(yè)返回本章首頁(yè) 第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 2量化分析量化分析 異常檢測(cè)最常用的方法就是將檢驗(yàn)規(guī)則和屬異常檢測(cè)最常用的方法就是將檢驗(yàn)規(guī)則和屬 性以數(shù)值形式表示的量化分析，這種度量方法在

28、性以數(shù)值形式表示的量化分析，這種度量方法在 Denning的可操作模型中有所涉及。量化分析通的可操作模型中有所涉及。量化分析通 過(guò)采用從簡(jiǎn)單的加法到比較復(fù)雜的密碼學(xué)計(jì)算得過(guò)采用從簡(jiǎn)單的加法到比較復(fù)雜的密碼學(xué)計(jì)算得 到的結(jié)果作為誤用檢測(cè)和異常檢測(cè)統(tǒng)計(jì)模型的基到的結(jié)果作為誤用檢測(cè)和異常檢測(cè)統(tǒng)計(jì)模型的基 礎(chǔ)。礎(chǔ)。 （1）閥值檢驗(yàn)）閥值檢驗(yàn) （2）基于目標(biāo)的集成檢查）基于目標(biāo)的集成檢查 （3）量化分析和數(shù)據(jù)精簡(jiǎn)）量化分析和數(shù)據(jù)精簡(jiǎn) 返回本章首頁(yè)返回本章首頁(yè) 第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 3統(tǒng)計(jì)度量統(tǒng)計(jì)度量 統(tǒng)計(jì)度量方法是產(chǎn)品化的入侵檢測(cè)系統(tǒng)中常統(tǒng)計(jì)度量方法是產(chǎn)品化的入侵檢測(cè)系統(tǒng)中常 用的方法

29、，常見(jiàn)于異常檢測(cè)。運(yùn)用統(tǒng)計(jì)方法，有用的方法，常見(jiàn)于異常檢測(cè)。運(yùn)用統(tǒng)計(jì)方法，有 效地解決了四個(gè)問(wèn)題：（效地解決了四個(gè)問(wèn)題：（1）選取有效的統(tǒng)計(jì)數(shù)）選取有效的統(tǒng)計(jì)數(shù) 據(jù)測(cè)量點(diǎn)，生成能夠反映主體特征的會(huì)話向量；據(jù)測(cè)量點(diǎn)，生成能夠反映主體特征的會(huì)話向量； （2）根據(jù)主體活動(dòng)產(chǎn)生的審計(jì)記錄，不斷更新）根據(jù)主體活動(dòng)產(chǎn)生的審計(jì)記錄，不斷更新 當(dāng)前主體活動(dòng)的會(huì)話向量；（當(dāng)前主體活動(dòng)的會(huì)話向量；（3）采用統(tǒng)計(jì)方法）采用統(tǒng)計(jì)方法 分析數(shù)據(jù)，判斷當(dāng)前活動(dòng)是否符合主體的歷史行分析數(shù)據(jù)，判斷當(dāng)前活動(dòng)是否符合主體的歷史行 為特征；（為特征；（4）隨著時(shí)間推移，學(xué)習(xí)主體的行為）隨著時(shí)間推移，學(xué)習(xí)主體的行為 特征，更新歷史記

30、錄。特征，更新歷史記錄。 返回本章首頁(yè)返回本章首頁(yè) 第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 4非參數(shù)統(tǒng)計(jì)度量非參數(shù)統(tǒng)計(jì)度量 非參數(shù)統(tǒng)計(jì)方法通過(guò)使用非數(shù)據(jù)區(qū)分技術(shù)，非參數(shù)統(tǒng)計(jì)方法通過(guò)使用非數(shù)據(jù)區(qū)分技術(shù)， 尤其是群集分析技術(shù)來(lái)分析參數(shù)方法無(wú)法考慮的尤其是群集分析技術(shù)來(lái)分析參數(shù)方法無(wú)法考慮的 系統(tǒng)度量。群集分析的基本思想是，根據(jù)評(píng)估標(biāo)系統(tǒng)度量。群集分析的基本思想是，根據(jù)評(píng)估標(biāo) 準(zhǔn)（也稱為特性）將收集到的大量歷史數(shù)據(jù)（一準(zhǔn)（也稱為特性）將收集到的大量歷史數(shù)據(jù)（一 個(gè)樣本集）組織成群，通過(guò)預(yù)處理過(guò)程，將與具個(gè)樣本集）組織成群，通過(guò)預(yù)處理過(guò)程，將與具 體事件流（經(jīng)常映射為一個(gè)具體用戶）相關(guān)的特體事件流（經(jīng)

31、常映射為一個(gè)具體用戶）相關(guān)的特 性轉(zhuǎn)化為向量表示，再采用群集算法將彼此比較性轉(zhuǎn)化為向量表示，再采用群集算法將彼此比較 相近的向量成員組織成一個(gè)行為類(lèi)，這樣使用該相近的向量成員組織成一個(gè)行為類(lèi)，這樣使用該 分析技術(shù)的實(shí)驗(yàn)結(jié)果將會(huì)表明用何種方式構(gòu)成的分析技術(shù)的實(shí)驗(yàn)結(jié)果將會(huì)表明用何種方式構(gòu)成的 群可以可靠地對(duì)用戶的行為進(jìn)行分組并識(shí)別。群可以可靠地對(duì)用戶的行為進(jìn)行分組并識(shí)別。 返回本章首頁(yè)返回本章首頁(yè) 第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 5基于規(guī)則的方法基于規(guī)則的方法 上面討論的異常檢測(cè)主要基于統(tǒng)計(jì)方法，異上面討論的異常檢測(cè)主要基于統(tǒng)計(jì)方法，異 常檢測(cè)的另一個(gè)變種就是基于規(guī)則的方法。與統(tǒng)常檢測(cè)的另

32、一個(gè)變種就是基于規(guī)則的方法。與統(tǒng) 計(jì)方法不同的是基于規(guī)則的檢測(cè)使用規(guī)則集來(lái)表計(jì)方法不同的是基于規(guī)則的檢測(cè)使用規(guī)則集來(lái)表 示和存儲(chǔ)使用模式。示和存儲(chǔ)使用模式。 （1）Wisdom&Sense方法方法 （2）基于時(shí)間的引導(dǎo)機(jī)（）基于時(shí)間的引導(dǎo)機(jī)（TIM） 返回本章首頁(yè)返回本章首頁(yè) 第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 5.2.4 其它檢測(cè)技術(shù)其它檢測(cè)技術(shù) 這些技術(shù)不能簡(jiǎn)單地歸類(lèi)為誤用檢測(cè)或是異這些技術(shù)不能簡(jiǎn)單地歸類(lèi)為誤用檢測(cè)或是異 常檢測(cè)，而是提供了一種有別于傳統(tǒng)入侵檢測(cè)視常檢測(cè)，而是提供了一種有別于傳統(tǒng)入侵檢測(cè)視 角的技術(shù)層次，例如免疫系統(tǒng)、基因算法、數(shù)據(jù)角的技術(shù)層次，例如免疫系統(tǒng)、基因算法、

33、數(shù)據(jù) 挖掘、基于代理（挖掘、基于代理（Agent）的檢測(cè)等，它們或者的檢測(cè)等，它們或者 提供了更具普遍意義的分析技術(shù)，或者提出了新提供了更具普遍意義的分析技術(shù)，或者提出了新 的檢測(cè)系統(tǒng)架構(gòu)，因此無(wú)論對(duì)于誤用檢測(cè)還是異的檢測(cè)系統(tǒng)架構(gòu)，因此無(wú)論對(duì)于誤用檢測(cè)還是異 常檢測(cè)來(lái)說(shuō)，都可以得到很好的應(yīng)用。常檢測(cè)來(lái)說(shuō)，都可以得到很好的應(yīng)用。 返回本章首頁(yè)返回本章首頁(yè) 第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 1神經(jīng)網(wǎng)絡(luò)（神經(jīng)網(wǎng)絡(luò)（Neural Network） 作為人工智能（作為人工智能（AI）的一個(gè)重要分支，神的一個(gè)重要分支，神 經(jīng)網(wǎng)絡(luò)（經(jīng)網(wǎng)絡(luò)（Neural Network）在入侵檢測(cè)領(lǐng)域得到在入侵檢測(cè)領(lǐng)域

34、得到 了很好的應(yīng)用，它使用自適應(yīng)學(xué)習(xí)技術(shù)來(lái)提取異了很好的應(yīng)用，它使用自適應(yīng)學(xué)習(xí)技術(shù)來(lái)提取異 常行為的特征，需要對(duì)訓(xùn)練數(shù)據(jù)集進(jìn)行學(xué)習(xí)以得常行為的特征，需要對(duì)訓(xùn)練數(shù)據(jù)集進(jìn)行學(xué)習(xí)以得 出正常的行為模式。這種方法要求保證用于學(xué)習(xí)出正常的行為模式。這種方法要求保證用于學(xué)習(xí) 正常模式的訓(xùn)練數(shù)據(jù)的純潔性，即不包含任何入正常模式的訓(xùn)練數(shù)據(jù)的純潔性，即不包含任何入 侵或異常的用戶行為。侵或異常的用戶行為。 返回本章首頁(yè)返回本章首頁(yè) 第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 2免疫學(xué)方法免疫學(xué)方法 New Mexico大學(xué)的大學(xué)的Stephanie Forrest提出提出 了將生物免疫機(jī)制引入計(jì)算機(jī)系統(tǒng)的安全保護(hù)框

35、了將生物免疫機(jī)制引入計(jì)算機(jī)系統(tǒng)的安全保護(hù)框 架中。免疫系統(tǒng)中最基本也是最重要的能力是識(shí)架中。免疫系統(tǒng)中最基本也是最重要的能力是識(shí) 別別“自我自我/非自我非自我”（self/nonself），），換句話講，換句話講， 它能夠識(shí)別哪些組織是屬于正常機(jī)體的，不屬于它能夠識(shí)別哪些組織是屬于正常機(jī)體的，不屬于 正常的就認(rèn)為是異常，這個(gè)概念和入侵檢測(cè)中異正常的就認(rèn)為是異常，這個(gè)概念和入侵檢測(cè)中異 常檢測(cè)的概念非常相似。常檢測(cè)的概念非常相似。 返回本章首頁(yè)返回本章首頁(yè) 第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 3數(shù)據(jù)挖掘方法數(shù)據(jù)挖掘方法 Columbia大學(xué)的大學(xué)的Wenke Lee在其博士論文中，在其博士論

36、文中， 提出了將數(shù)據(jù)挖掘（提出了將數(shù)據(jù)挖掘（Data Mining, DM）技術(shù)應(yīng)技術(shù)應(yīng) 用到入侵檢測(cè)中，通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)和主機(jī)系統(tǒng)調(diào)用到入侵檢測(cè)中，通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)和主機(jī)系統(tǒng)調(diào) 用數(shù)據(jù)的分析挖掘，發(fā)現(xiàn)誤用檢測(cè)規(guī)則或異常檢用數(shù)據(jù)的分析挖掘，發(fā)現(xiàn)誤用檢測(cè)規(guī)則或異常檢 測(cè)模型。具體的工作包括利用數(shù)據(jù)挖掘中的關(guān)聯(lián)測(cè)模型。具體的工作包括利用數(shù)據(jù)挖掘中的關(guān)聯(lián) 算法和序列挖掘算法提取用戶的行為模式，利用算法和序列挖掘算法提取用戶的行為模式，利用 分類(lèi)算法對(duì)用戶行為和特權(quán)程序的系統(tǒng)調(diào)用進(jìn)行分類(lèi)算法對(duì)用戶行為和特權(quán)程序的系統(tǒng)調(diào)用進(jìn)行 分類(lèi)預(yù)測(cè)。實(shí)驗(yàn)結(jié)果表明，這種方法在入侵檢測(cè)分類(lèi)預(yù)測(cè)。實(shí)驗(yàn)結(jié)果表明，這種方法在入侵

37、檢測(cè) 領(lǐng)域有很好的應(yīng)用前景。領(lǐng)域有很好的應(yīng)用前景。 返回本章首頁(yè)返回本章首頁(yè) 第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 4基因算法基因算法 基因算法是進(jìn)化算法（基因算法是進(jìn)化算法（evolutionary algorithms）的一種，引入了達(dá)爾文在進(jìn)化論中的一種，引入了達(dá)爾文在進(jìn)化論中 提出的自然選擇的概念（優(yōu)勝劣汰、適者生存）提出的自然選擇的概念（優(yōu)勝劣汰、適者生存） 對(duì)系統(tǒng)進(jìn)行優(yōu)化。該算法對(duì)于處理多維系統(tǒng)的優(yōu)對(duì)系統(tǒng)進(jìn)行優(yōu)化。該算法對(duì)于處理多維系統(tǒng)的優(yōu) 化是非常有效的。在基因算法的研究人員看來(lái)，化是非常有效的。在基因算法的研究人員看來(lái)， 入侵檢測(cè)的過(guò)程可以抽象為：為審計(jì)事件記錄定入侵檢測(cè)的過(guò)

38、程可以抽象為：為審計(jì)事件記錄定 義一種向量表示形式，這種向量或者對(duì)應(yīng)于攻擊義一種向量表示形式，這種向量或者對(duì)應(yīng)于攻擊 行為，或者代表正常行為。行為，或者代表正常行為。 返回本章首頁(yè)返回本章首頁(yè) 第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 5基于代理的檢測(cè)基于代理的檢測(cè) 近 年 來(lái) ， 一 種 基 于近 年 來(lái) ， 一 種 基 于 A g e n t 的 檢 測(cè) 技 術(shù)的 檢 測(cè) 技 術(shù) （Agent-Based Detection）逐漸引起研究者的重逐漸引起研究者的重 視。所謂視。所謂Agent，實(shí)際上可以看作是在執(zhí)行某項(xiàng)實(shí)際上可以看作是在執(zhí)行某項(xiàng) 特定監(jiān)視任務(wù)的軟件實(shí)體。基于特定監(jiān)視任務(wù)的軟件實(shí)

39、體?；贏gent的入侵檢的入侵檢 測(cè)系統(tǒng)的靈活性保證它可以為保障系統(tǒng)的安全提測(cè)系統(tǒng)的靈活性保證它可以為保障系統(tǒng)的安全提 供混合式的架構(gòu)，綜合運(yùn)用誤用檢測(cè)和異常檢測(cè)，供混合式的架構(gòu)，綜合運(yùn)用誤用檢測(cè)和異常檢測(cè)， 從而彌補(bǔ)兩者各自的缺陷。從而彌補(bǔ)兩者各自的缺陷。 返回本章首頁(yè)返回本章首頁(yè) 第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 5.3 分布式入侵檢測(cè)分布式入侵檢測(cè) 分布式入侵檢測(cè)（分布式入侵檢測(cè)（Distributed Intrusion Detection）是目前入侵檢測(cè)乃至整個(gè)網(wǎng)絡(luò)安全領(lǐng)是目前入侵檢測(cè)乃至整個(gè)網(wǎng)絡(luò)安全領(lǐng) 域的熱點(diǎn)之一。到目前為止，還沒(méi)有嚴(yán)格意義上域的熱點(diǎn)之一。到目前為止，還沒(méi)

40、有嚴(yán)格意義上 的分布式入侵檢測(cè)的商業(yè)化產(chǎn)品，但研究人員已的分布式入侵檢測(cè)的商業(yè)化產(chǎn)品，但研究人員已 經(jīng)提出并完成了多個(gè)原型系統(tǒng)。通常采用的方法經(jīng)提出并完成了多個(gè)原型系統(tǒng)。通常采用的方法 中，一種是對(duì)現(xiàn)有的中，一種是對(duì)現(xiàn)有的IDS進(jìn)行規(guī)模上的擴(kuò)展，另進(jìn)行規(guī)模上的擴(kuò)展，另 一種則通過(guò)一種則通過(guò)IDS之間的信息共享來(lái)實(shí)現(xiàn)。具體的之間的信息共享來(lái)實(shí)現(xiàn)。具體的 處理方法上也分為兩種：分布式信息收集、集中處理方法上也分為兩種：分布式信息收集、集中 式處理；分布式信息收集、分布式處理。式處理；分布式信息收集、分布式處理。 返回本章首頁(yè)返回本章首頁(yè) 第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 5.3.1 分布式入

41、侵檢測(cè)的優(yōu)勢(shì)分布式入侵檢測(cè)的優(yōu)勢(shì) 分布式入侵檢測(cè)由于采用了非集中的系統(tǒng)結(jié)分布式入侵檢測(cè)由于采用了非集中的系統(tǒng)結(jié) 構(gòu)和處理方式，相對(duì)于傳統(tǒng)的單機(jī)構(gòu)和處理方式，相對(duì)于傳統(tǒng)的單機(jī)IDS具有一些具有一些 明顯的優(yōu)勢(shì)：明顯的優(yōu)勢(shì)： （1）檢測(cè)大范圍的攻擊行為）檢測(cè)大范圍的攻擊行為 （2）提高檢測(cè)的準(zhǔn)確度）提高檢測(cè)的準(zhǔn)確度 （3）提高檢測(cè)效率）提高檢測(cè)效率 （4）協(xié)調(diào)響應(yīng)措施）協(xié)調(diào)響應(yīng)措施 返回本章首頁(yè)返回本章首頁(yè) 第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 5.3.2 分布式入侵檢測(cè)的技術(shù)難點(diǎn)分布式入侵檢測(cè)的技術(shù)難點(diǎn) 與傳統(tǒng)的單機(jī)與傳統(tǒng)的單機(jī)IDS相比較，分布式入侵檢測(cè)相比較，分布式入侵檢測(cè) 系統(tǒng)具有明顯的

42、優(yōu)勢(shì)。然而，在實(shí)現(xiàn)分布檢測(cè)組系統(tǒng)具有明顯的優(yōu)勢(shì)。然而，在實(shí)現(xiàn)分布檢測(cè)組 件的信息共享和協(xié)作上，卻存在著一些技術(shù)難點(diǎn)。件的信息共享和協(xié)作上，卻存在著一些技術(shù)難點(diǎn)。 Stanford Research Institute（SRI）在對(duì)在對(duì) EMERALD系統(tǒng)的研究中，列舉了分布式入侵系統(tǒng)的研究中，列舉了分布式入侵 檢測(cè)必須關(guān)注的關(guān)鍵問(wèn)題：事件產(chǎn)生及存儲(chǔ)、狀檢測(cè)必須關(guān)注的關(guān)鍵問(wèn)題：事件產(chǎn)生及存儲(chǔ)、狀 態(tài)空間管理及規(guī)則復(fù)雜度、知識(shí)庫(kù)管理、推理技態(tài)空間管理及規(guī)則復(fù)雜度、知識(shí)庫(kù)管理、推理技 術(shù)。術(shù)。 返回本章首頁(yè)返回本章首頁(yè) 第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 5.3.3 分布式入侵檢測(cè)現(xiàn)狀分布式入侵

43、檢測(cè)現(xiàn)狀 盡管分布式入侵檢測(cè)存在技術(shù)和其它層面的盡管分布式入侵檢測(cè)存在技術(shù)和其它層面的 難點(diǎn)，但由于其相對(duì)于傳統(tǒng)的單機(jī)難點(diǎn)，但由于其相對(duì)于傳統(tǒng)的單機(jī)IDS所具有的所具有的 優(yōu)勢(shì)，目前已經(jīng)成為這一領(lǐng)域的研究熱點(diǎn)。優(yōu)勢(shì)，目前已經(jīng)成為這一領(lǐng)域的研究熱點(diǎn)。 1Snortnet 它通過(guò)對(duì)傳統(tǒng)的單機(jī)它通過(guò)對(duì)傳統(tǒng)的單機(jī)IDS進(jìn)行規(guī)模上的擴(kuò)展，進(jìn)行規(guī)模上的擴(kuò)展， 使系統(tǒng)具備分布式檢測(cè)的能力，是基于模式匹配使系統(tǒng)具備分布式檢測(cè)的能力，是基于模式匹配 的分布式入侵檢測(cè)系統(tǒng)的一個(gè)具體實(shí)現(xiàn)。主要包的分布式入侵檢測(cè)系統(tǒng)的一個(gè)具體實(shí)現(xiàn)。主要包 括三個(gè)組件：網(wǎng)絡(luò)感應(yīng)器括三個(gè)組件：網(wǎng)絡(luò)感應(yīng)器、代理守護(hù)程序和監(jiān)視代理守護(hù)程序和

44、監(jiān)視 控制臺(tái)控制臺(tái)。 返回本章首頁(yè)返回本章首頁(yè) 第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 2Agent-Based 基于基于Agent的的IDS由于其良好的靈活性和擴(kuò)由于其良好的靈活性和擴(kuò) 展性，是分布式入侵檢測(cè)的一個(gè)重要研究方向。展性，是分布式入侵檢測(cè)的一個(gè)重要研究方向。 國(guó)外一些研究機(jī)構(gòu)在這方面已經(jīng)做了大量工作，國(guó)外一些研究機(jī)構(gòu)在這方面已經(jīng)做了大量工作， 其中其中Purdue大學(xué)的入侵檢測(cè)自治代理（大學(xué)的入侵檢測(cè)自治代理（AAFID） 和和SRI的的EMERALD最具代表性。最具代表性。 AAFID的體系結(jié)構(gòu)如圖的體系結(jié)構(gòu)如圖5-10所示，其特點(diǎn)是所示，其特點(diǎn)是 形成了一個(gè)基于代理的分層順序

45、控制和報(bào)告結(jié)構(gòu)。形成了一個(gè)基于代理的分層順序控制和報(bào)告結(jié)構(gòu)。 返回本章首頁(yè)返回本章首頁(yè) 第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 返回本章首頁(yè)返回本章首頁(yè) 第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 3DIDS DIDS（Distributed Intrusion Detection System）是由是由UC Davis的的Security Lab完成的，完成的， 它集成了兩種已有的入侵檢測(cè)系統(tǒng)，它集成了兩種已有的入侵檢測(cè)系統(tǒng)，Haystack和和 NSM。前者由前者由Tracor Applied Sciences and Haystack實(shí)驗(yàn)室針對(duì)多用戶主機(jī)的檢測(cè)任務(wù)而開(kāi)實(shí)驗(yàn)室針對(duì)多用戶主機(jī)的檢

46、測(cè)任務(wù)而開(kāi) 發(fā)，數(shù)據(jù)源來(lái)自主機(jī)的系統(tǒng)日志。發(fā)，數(shù)據(jù)源來(lái)自主機(jī)的系統(tǒng)日志。NSM則是由則是由 UC Davis開(kāi)發(fā)的網(wǎng)絡(luò)安全監(jiān)視器，通過(guò)對(duì)數(shù)據(jù)包、開(kāi)發(fā)的網(wǎng)絡(luò)安全監(jiān)視器，通過(guò)對(duì)數(shù)據(jù)包、 連接記錄、應(yīng)用層會(huì)話的分析，結(jié)合入侵特征庫(kù)連接記錄、應(yīng)用層會(huì)話的分析，結(jié)合入侵特征庫(kù) 和正常的網(wǎng)絡(luò)流或會(huì)話記錄的模式庫(kù)，判斷當(dāng)前和正常的網(wǎng)絡(luò)流或會(huì)話記錄的模式庫(kù)，判斷當(dāng)前 的網(wǎng)絡(luò)行為是否包含入侵或異常。的網(wǎng)絡(luò)行為是否包含入侵或異常。 返回本章首頁(yè)返回本章首頁(yè) 第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 4GrIDS GrIDS（Graph-based Intrusion Detection System）同樣由同樣由U

47、C Davis提出并實(shí)現(xiàn)，該系統(tǒng)提出并實(shí)現(xiàn)，該系統(tǒng) 實(shí)現(xiàn)了一種在大規(guī)模網(wǎng)絡(luò)中使用圖形化表示的方實(shí)現(xiàn)了一種在大規(guī)模網(wǎng)絡(luò)中使用圖形化表示的方 法來(lái)描述網(wǎng)絡(luò)行為的途徑，其設(shè)計(jì)目標(biāo)主要針對(duì)法來(lái)描述網(wǎng)絡(luò)行為的途徑，其設(shè)計(jì)目標(biāo)主要針對(duì) 大范圍的網(wǎng)絡(luò)攻擊，例如掃描、協(xié)同攻擊、網(wǎng)絡(luò)大范圍的網(wǎng)絡(luò)攻擊，例如掃描、協(xié)同攻擊、網(wǎng)絡(luò) 蠕蟲(chóng)等。蠕蟲(chóng)等。GrIDS的缺陷在于只是給出了網(wǎng)絡(luò)連接的缺陷在于只是給出了網(wǎng)絡(luò)連接 的圖形化表示，具體的入侵判斷仍然需要人工完的圖形化表示，具體的入侵判斷仍然需要人工完 成，而且系統(tǒng)的有效性和效率都有待驗(yàn)證和提高。成，而且系統(tǒng)的有效性和效率都有待驗(yàn)證和提高。 返回本章首頁(yè)返回本章首頁(yè) 第五

48、章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 5Intrusion Strategy Boeing公司的公司的Ming-Yuh Huang從另一個(gè)角從另一個(gè)角 度對(duì)入侵檢測(cè)系統(tǒng)進(jìn)行了研究，針對(duì)分布式入侵度對(duì)入侵檢測(cè)系統(tǒng)進(jìn)行了研究，針對(duì)分布式入侵 檢測(cè)所存在的問(wèn)題，他認(rèn)為可以從入侵者的目的檢測(cè)所存在的問(wèn)題，他認(rèn)為可以從入侵者的目的 （Intrusion Intention），），或者是入侵策略或者是入侵策略 （Intrusion Strategy）入手，幫助我們確定如何入手，幫助我們確定如何 在不同的在不同的IDS組件之間進(jìn)行協(xié)作檢測(cè)。對(duì)入侵策組件之間進(jìn)行協(xié)作檢測(cè)。對(duì)入侵策 略的分析可以幫助我們調(diào)整審計(jì)策

49、略和參數(shù)，構(gòu)略的分析可以幫助我們調(diào)整審計(jì)策略和參數(shù)，構(gòu) 成自適應(yīng)的審計(jì)檢測(cè)系統(tǒng)。成自適應(yīng)的審計(jì)檢測(cè)系統(tǒng)。 返回本章首頁(yè)返回本章首頁(yè) 第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 6數(shù)據(jù)融合（數(shù)據(jù)融合（Data Fusion） Timm Bass提出將數(shù)據(jù)融合（提出將數(shù)據(jù)融合（Data Fusion） 的概念應(yīng)用到入侵檢測(cè)中，從而將分布式入侵檢的概念應(yīng)用到入侵檢測(cè)中，從而將分布式入侵檢 測(cè)任務(wù)理解為在層次化模型下對(duì)多個(gè)感應(yīng)器的數(shù)測(cè)任務(wù)理解為在層次化模型下對(duì)多個(gè)感應(yīng)器的數(shù) 據(jù)綜合問(wèn)題。在這個(gè)層次化模型中，入侵檢測(cè)的據(jù)綜合問(wèn)題。在這個(gè)層次化模型中，入侵檢測(cè)的 數(shù) 據(jù) 源 經(jīng) 歷 了 從 數(shù) 據(jù) （數(shù) 據(jù)

50、源 經(jīng) 歷 了 從 數(shù) 據(jù) （ D a t a ） 到 信 息到 信 息 （Information）再到知識(shí)（再到知識(shí)（Knowledge）三個(gè)邏三個(gè)邏 輯抽象層次。輯抽象層次。 返回本章首頁(yè)返回本章首頁(yè) 第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 7基于抽象（基于抽象（Abstraction-based）的方法的方法 GMU的的Peng Ning在其博士論文中提出了一種在其博士論文中提出了一種 基于抽象（基于抽象（Abstraction-based）的分布式入侵檢測(cè)的分布式入侵檢測(cè) 系統(tǒng)，基本思想是設(shè)立中間層（系統(tǒng)，基本思想是設(shè)立中間層（system view），），提提 供與具體系統(tǒng)無(wú)關(guān)的抽象

51、信息，用于分布式檢測(cè)系供與具體系統(tǒng)無(wú)關(guān)的抽象信息，用于分布式檢測(cè)系 統(tǒng)中的信息共享，抽象信息的內(nèi)容包括事件信息統(tǒng)中的信息共享，抽象信息的內(nèi)容包括事件信息 （event）以及系統(tǒng)實(shí)體間的斷言（以及系統(tǒng)實(shí)體間的斷言（dynamic predicate）。）。中間層用于表示中間層用于表示IDS間的共享信息時(shí)間的共享信息時(shí) 使用的對(duì)應(yīng)關(guān)系為：使用的對(duì)應(yīng)關(guān)系為：IDS檢測(cè)到的攻擊或者檢測(cè)到的攻擊或者IDS無(wú)法無(wú)法 處理的事件信息作為處理的事件信息作為event，IDS或受或受IDS監(jiān)控的系監(jiān)控的系 統(tǒng)的狀態(tài)則作為統(tǒng)的狀態(tài)則作為dynamic predicates。 返回本章首頁(yè)返回本章首頁(yè) 第五章第五章

52、 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 5.4 入侵檢測(cè)系統(tǒng)的標(biāo)準(zhǔn)入侵檢測(cè)系統(tǒng)的標(biāo)準(zhǔn) 從從20世紀(jì)世紀(jì)90年代到現(xiàn)在，入侵檢測(cè)系統(tǒng)的研年代到現(xiàn)在，入侵檢測(cè)系統(tǒng)的研 發(fā)呈現(xiàn)出百家爭(zhēng)鳴的繁榮局面，并在智能化和分發(fā)呈現(xiàn)出百家爭(zhēng)鳴的繁榮局面，并在智能化和分 布式兩個(gè)方向取得了長(zhǎng)足的進(jìn)展。為了提高布式兩個(gè)方向取得了長(zhǎng)足的進(jìn)展。為了提高IDS 產(chǎn)品、組件及與其他安全產(chǎn)品之間的互操作性，產(chǎn)品、組件及與其他安全產(chǎn)品之間的互操作性， DARPA和和IETF的入侵檢測(cè)工作組（的入侵檢測(cè)工作組（IDWG）發(fā)發(fā) 起制訂了一系列建議草案，從體系結(jié)構(gòu)、起制訂了一系列建議草案，從體系結(jié)構(gòu)、API、 通信機(jī)制、語(yǔ)言格式等方面來(lái)規(guī)范通信機(jī)

53、制、語(yǔ)言格式等方面來(lái)規(guī)范IDS的標(biāo)準(zhǔn)。的標(biāo)準(zhǔn)。 返回本章首頁(yè)返回本章首頁(yè) 第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 5.4.1 IETF/IDWG IDWG定義了用于入侵檢測(cè)與響應(yīng)（定義了用于入侵檢測(cè)與響應(yīng)（IDR） 系統(tǒng)之間或與需要交互的管理系統(tǒng)之間的信息共系統(tǒng)之間或與需要交互的管理系統(tǒng)之間的信息共 享所需要的數(shù)據(jù)格式和交換規(guī)程。享所需要的數(shù)據(jù)格式和交換規(guī)程。 IDWG提出了三項(xiàng)建議草案：入侵檢測(cè)消提出了三項(xiàng)建議草案：入侵檢測(cè)消 息交換格式（息交換格式（IDMEF）、）、入侵檢測(cè)交換協(xié)議入侵檢測(cè)交換協(xié)議 （IDXP）以及隧道輪廓（以及隧道輪廓（Tunnel Profile）。）。 返回本章首頁(yè)

54、返回本章首頁(yè) 第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 5.4.2 CIDF CIDF的工作集中體現(xiàn)在四個(gè)方面：的工作集中體現(xiàn)在四個(gè)方面：IDS的的 體系結(jié)構(gòu)、通信機(jī)制、描述語(yǔ)言和應(yīng)用編程接口體系結(jié)構(gòu)、通信機(jī)制、描述語(yǔ)言和應(yīng)用編程接口 API。 CIDF在在IDES和和NIDES的基礎(chǔ)上提出了一個(gè)的基礎(chǔ)上提出了一個(gè) 通用模型，將入侵檢測(cè)系統(tǒng)分為四個(gè)基本組件：通用模型，將入侵檢測(cè)系統(tǒng)分為四個(gè)基本組件： 事件產(chǎn)生器、事件分析器、響應(yīng)單元和事件數(shù)據(jù)事件產(chǎn)生器、事件分析器、響應(yīng)單元和事件數(shù)據(jù) 庫(kù)。其結(jié)構(gòu)如圖庫(kù)。其結(jié)構(gòu)如圖5-15所示。所示。 返回本章首頁(yè)返回本章首頁(yè) 第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技

55、術(shù) 返回本章首頁(yè)返回本章首頁(yè) 第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 5.5 入侵檢測(cè)系統(tǒng)示例入侵檢測(cè)系統(tǒng)示例 為了直觀地理解入侵檢測(cè)的使用、配置等情況，為了直觀地理解入侵檢測(cè)的使用、配置等情況， 這里我們以這里我們以Snort為例，對(duì)構(gòu)建以為例，對(duì)構(gòu)建以Snort為基礎(chǔ)的入為基礎(chǔ)的入 侵檢測(cè)系統(tǒng)做概要介紹。侵檢測(cè)系統(tǒng)做概要介紹。 Snort 是一個(gè)開(kāi)放源代碼的免費(fèi)軟件，它基于是一個(gè)開(kāi)放源代碼的免費(fèi)軟件，它基于 libpcap 的數(shù)據(jù)包嗅探器，并可以作為一個(gè)輕量級(jí)的的數(shù)據(jù)包嗅探器，并可以作為一個(gè)輕量級(jí)的 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)（網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)（NIDS）。）。 通過(guò)在中小型網(wǎng)絡(luò)上部署通過(guò)在中小型網(wǎng)

56、絡(luò)上部署Snort系統(tǒng)，可以在分系統(tǒng)，可以在分 析捕獲的數(shù)據(jù)包基礎(chǔ)上，進(jìn)行入侵行為特征匹配工析捕獲的數(shù)據(jù)包基礎(chǔ)上，進(jìn)行入侵行為特征匹配工 作，或從網(wǎng)絡(luò)活動(dòng)的角度檢測(cè)異常行為，并完成入作，或從網(wǎng)絡(luò)活動(dòng)的角度檢測(cè)異常行為，并完成入 侵的預(yù)警或記錄。侵的預(yù)警或記錄。 返回本章首頁(yè)返回本章首頁(yè) 第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 5.5.1 Snort的體系結(jié)構(gòu)的體系結(jié)構(gòu) Snort在結(jié)構(gòu)上可分為數(shù)據(jù)包捕獲和解碼子在結(jié)構(gòu)上可分為數(shù)據(jù)包捕獲和解碼子 系統(tǒng)、檢測(cè)引擎，以及日志及報(bào)警子系統(tǒng)三個(gè)部系統(tǒng)、檢測(cè)引擎，以及日志及報(bào)警子系統(tǒng)三個(gè)部 分。分。 1數(shù)據(jù)包捕獲和解碼子系統(tǒng)數(shù)據(jù)包捕獲和解碼子系統(tǒng) 該子系統(tǒng)

57、的功能是捕獲共享網(wǎng)絡(luò)的傳輸數(shù)據(jù)，該子系統(tǒng)的功能是捕獲共享網(wǎng)絡(luò)的傳輸數(shù)據(jù)， 并按照并按照TCP/ IP協(xié)議的不同層次將數(shù)據(jù)包解協(xié)議的不同層次將數(shù)據(jù)包解析。析。 2檢測(cè)引擎檢測(cè)引擎 檢測(cè)引擎是檢測(cè)引擎是NIDS實(shí)現(xiàn)的核心，準(zhǔn)確性和快實(shí)現(xiàn)的核心，準(zhǔn)確性和快 速性是衡量其性能的重要指速性是衡量其性能的重要指標(biāo)。標(biāo)。 返回本章首頁(yè)返回本章首頁(yè) 第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 為了能夠快速準(zhǔn)確地進(jìn)行檢測(cè)和處理，為了能夠快速準(zhǔn)確地進(jìn)行檢測(cè)和處理，Snort在在 檢測(cè)規(guī)則方面做了較為成熟的設(shè)計(jì)。檢測(cè)規(guī)則方面做了較為成熟的設(shè)計(jì)。 Snort 將所有已知的攻擊方法以規(guī)則的形式存將所有已知的攻擊方法以規(guī)則的

58、形式存 放在規(guī)則庫(kù)中，每一條規(guī)則由規(guī)則頭和規(guī)則選項(xiàng)兩放在規(guī)則庫(kù)中，每一條規(guī)則由規(guī)則頭和規(guī)則選項(xiàng)兩 部分組成。規(guī)則頭對(duì)應(yīng)于規(guī)則樹(shù)結(jié)點(diǎn)部分組成。規(guī)則頭對(duì)應(yīng)于規(guī)則樹(shù)結(jié)點(diǎn)RTN（Rule Tree Node），），包含動(dòng)作、協(xié)議、源（目的）地址和包含動(dòng)作、協(xié)議、源（目的）地址和 端口以及數(shù)據(jù)流向，這是所有規(guī)則共有的部分。規(guī)端口以及數(shù)據(jù)流向，這是所有規(guī)則共有的部分。規(guī) 則選項(xiàng)對(duì)應(yīng)于規(guī)則選項(xiàng)結(jié)點(diǎn)則選項(xiàng)對(duì)應(yīng)于規(guī)則選項(xiàng)結(jié)點(diǎn)OTN（Optional Tree Node），），包含報(bào)警信息（包含報(bào)警信息（msg）、）、匹配內(nèi)容匹配內(nèi)容 （content）等選項(xiàng)，這些內(nèi)容需要根據(jù)具體規(guī)則的等選項(xiàng)，這些內(nèi)容需要根據(jù)具

59、體規(guī)則的 性質(zhì)確定。性質(zhì)確定。 返回本章首頁(yè)返回本章首頁(yè) 第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 檢測(cè)規(guī)則除了包括上述的關(guān)于檢測(cè)規(guī)則除了包括上述的關(guān)于“要檢測(cè)什要檢測(cè)什 么么”，還應(yīng)該定義，還應(yīng)該定義“檢測(cè)到了該做什么檢測(cè)到了該做什么”。 Snort 定義了三種處理方式：定義了三種處理方式：alert （發(fā)送報(bào)警信發(fā)送報(bào)警信 息）、息）、log（記錄該數(shù)據(jù)包）和記錄該數(shù)據(jù)包）和pass（忽略該數(shù)忽略該數(shù) 據(jù)包），并定義為規(guī)則的第一個(gè)匹配關(guān)鍵字。據(jù)包），并定義為規(guī)則的第一個(gè)匹配關(guān)鍵字。 這樣設(shè)計(jì)的目的是為了在程序中可以組織整這樣設(shè)計(jì)的目的是為了在程序中可以組織整 個(gè)規(guī)則庫(kù)，即將所有的規(guī)則按照處理

60、方式組織成個(gè)規(guī)則庫(kù)，即將所有的規(guī)則按照處理方式組織成 三個(gè)鏈表，以用于更快速準(zhǔn)確地進(jìn)行匹配。三個(gè)鏈表，以用于更快速準(zhǔn)確地進(jìn)行匹配。 如如 圖圖5-17所示所示 。 返回本章首頁(yè)返回本章首頁(yè) 第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 返回本章首頁(yè)返回本章首頁(yè) 第五章第五章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù) 當(dāng)當(dāng)Snort 捕獲一個(gè)數(shù)據(jù)包時(shí)，首先分析該數(shù)捕獲一個(gè)數(shù)據(jù)包時(shí)，首先分析該數(shù) 據(jù)包使用哪個(gè)據(jù)包使用哪個(gè)IP協(xié)議以決定將與某個(gè)規(guī)則樹(shù)進(jìn)行協(xié)議以決定將與某個(gè)規(guī)則樹(shù)進(jìn)行 匹配。然后與匹配。然后與RTN 結(jié)點(diǎn)依次進(jìn)行匹配，當(dāng)與一結(jié)點(diǎn)依次進(jìn)行匹配，當(dāng)與一 個(gè)頭結(jié)點(diǎn)相匹配時(shí)，向下與個(gè)頭結(jié)點(diǎn)相匹配時(shí)，向下與OTN 結(jié)