入侵檢測技術(shù)與實例

1、第五章入侵檢測技術(shù)入侵檢測技術(shù)內(nèi)容提要:A入侵檢測概述A入侵檢測的技術(shù)實現(xiàn)A分布式入侵檢測A入侵檢測系統(tǒng)的標(biāo)準(zhǔn)A入侵檢測系統(tǒng)示例第五章入侵檢測技術(shù)5.1入侵檢測概述入侵檢測技術(shù)研究最早可追溯到1980年 James P.Aderson所寫的一份技術(shù)報告，他首先 提出了入侵檢測的概念。1987年Dorothy Denning提出了入侵檢測系統(tǒng)(IDS, Intrusion Detection System)的抽象模型(如圖5-1所示)， 首次提出了入侵檢測可作為一種計算機系統(tǒng)安全 防御措施的概念，與傳統(tǒng)的加密和訪問控制技術(shù) 相比，IDS是全新的計算機安全措施。Q時鐘j規(guī)則設(shè)計與修改主體活動規(guī)則集

2、創(chuàng)建審沁錄處理引*更新歷史活動A異謐錄弋學(xué)習(xí)更新活簡檔.創(chuàng)建活動狀況圖5-1Denn i ng入侵檢測抽象模型1988年Teresa Lunt等人進一步改進了Denning提出的入侵檢測模型,并創(chuàng)建了 IDES(Intrusion Detection Expert System),該系統(tǒng) 用于檢測單一主機的入侵嘗試，提出了與系統(tǒng)平 臺無關(guān)的實時檢測思想，1995年開發(fā)的NIDES(Next-Generation Intrusion Detection ExpertSystem)作為IDES完善后的版本可以檢測出多 個主機上的入侵。1990年，Heberlein等人提出了一個具有里程碑意義的新型

3、概念：基于網(wǎng)絡(luò)的入侵檢測 網(wǎng) 絡(luò)安全 監(jiān)視器NSM (Network Security Monitor)。1991 年，NADIR (Network AnomalyDetection and Intrusion Reporter)與 BIDS(Distribute Intrusion Detection System)提出了通過收集和合并處理來自多個主機的審計信息 可以檢測出一系列針對主機的協(xié)同攻擊。返回本章首頁第五章入侵檢測技術(shù)1994年，Mark Crosbie和Gene Spafford建 議使用自治代理(autonomous agents)以提高 IDS的可伸縮性、可維護性、效率和容錯

4、性，該 理念非常符合計算機科學(xué)其他領(lǐng)域(如軟件代理, software agent)正在進行的相關(guān)研究。另一個 致力于解決當(dāng)代絕大多數(shù)入侵檢測系統(tǒng)伸縮性不 足的方法于1996年提出，這就是GrIDS (Graphbased Intrusion Detection System)的設(shè)計和實 現(xiàn)，該系統(tǒng)可以方便地檢測大規(guī)模自動或協(xié)同方 式的網(wǎng)絡(luò)攻擊。 近年來，入侵檢測技術(shù)研究的主要創(chuàng)新有： Forrest等將免疫學(xué)原理運用于分布式入侵檢測 領(lǐng)域；1998年Ross Anderson和Abida Khattak將 信息檢索技術(shù)引進入侵檢測；以及釆用狀態(tài)轉(zhuǎn)換 分析、數(shù)據(jù)挖掘和遺傳算法等進行誤用和異常檢

5、 測。5.1.1入侵檢測原理圖52給出了入侵檢測的基本原理圖。入侵 檢測是用于檢測任何損害或企圖損害系統(tǒng)的保密 性、完整性或可用性的一種網(wǎng)絡(luò)安全技術(shù)。它通 過監(jiān)視受保護系統(tǒng)的狀態(tài)和活動，釆用誤用檢測 (Misuse Detection)或異常檢測(Anomaly Detection)的方式，發(fā)現(xiàn)非授權(quán)的或惡意的系 統(tǒng)及網(wǎng)絡(luò)行為，為防范入侵行為提供有效的手段。返回本章首頁第五章入侵檢測技術(shù)JLSJ入侵檢測系統(tǒng)(Intnision Detection System, IDS)就是執(zhí)行入侵檢測任務(wù)的硬件或軟件產(chǎn)品。 IDS通過實時的分析，檢查特定的攻擊模式、系 統(tǒng)配置、系統(tǒng)漏洞、存在缺陷的程序版本以

6、及系 統(tǒng)或用戶的行為模式，監(jiān)控與安全有關(guān)的活動。一個基本的入侵檢測系統(tǒng)需要解決兩個問 題：一是如何充分并可靠地提取描述行為特征的 數(shù)據(jù)；二是如何根據(jù)特征數(shù)據(jù)，高效并準(zhǔn)確地判 定行為的性質(zhì)。:返回本章首頁I第五章入侵檢測技術(shù)5.1.2系統(tǒng)結(jié)構(gòu)IIII由于網(wǎng)絡(luò)環(huán)境和系統(tǒng)安全策略的差異，入侵 檢測系統(tǒng)在具體實現(xiàn)上也有所不同。從系統(tǒng)構(gòu)成 上看，入侵檢測系統(tǒng)應(yīng)包括事件提取、入侵分析、 入侵響應(yīng)和遠程管理四大部分，另外還可能結(jié)合 安全知識庫、數(shù)據(jù)存儲等功能模塊，提供更為完 善的安全檢測及數(shù)據(jù)分析功能（如圖53所示）。圖53入侵檢測系統(tǒng)結(jié)構(gòu)返回本章首頁第五章入侵檢測技術(shù)入侵檢測的思想源于傳統(tǒng)的系統(tǒng)審計，但拓

7、 寬了傳統(tǒng)審計的概念，它以近乎不間斷的方式進 行安全檢測，從而可形成一個連續(xù)的檢測過程。 這通常是通過執(zhí)行下列任務(wù)來實現(xiàn)的:V監(jiān)視、分析用戶及系統(tǒng)活動；/系統(tǒng)構(gòu)造和弱點的審計；V識別分析知名攻擊的行為特征并告警；V異常行為特征的統(tǒng)計分析；V評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；V操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略 的行為。5.1.3系統(tǒng)分類由于功能和體系結(jié)構(gòu)的復(fù)雜性，入侵檢測按 照不同的標(biāo)準(zhǔn)有多種分類方法?？煞謩e從數(shù)據(jù)源、 檢測理論、檢測時效三個方面來描述入侵檢測系 統(tǒng)的類型。1=1. 基于數(shù)據(jù)源的分類FA1=通常可以把入侵檢測系統(tǒng)分為五類，即基于 主機、基于網(wǎng)絡(luò)、混合入侵檢測、基于網(wǎng)關(guān)

8、的入 侵檢測系統(tǒng)以及文件完整性檢查系統(tǒng)。1返回本章首頁I第五章入侵檢測技術(shù)2. 基于檢測理論的分類從具體的檢測理論上來說，入侵檢測又可分 為異常檢測和誤用檢測。異常檢測(Anomaly Detection)指根據(jù)使 用者的行為或資源使用狀況的正常程度來判斷是 否入侵，而不依賴于具體行為是否出現(xiàn)來檢測。誤用檢測(Misuse Detection)指運用已知 攻擊方法，根據(jù)已定義好的入侵模式，通過判斷 這些入侵模式是否出現(xiàn)來檢測。返回本章首頁第五章入侵檢測技術(shù)3. 基于檢測時效的分類IDS在處理數(shù)據(jù)的時候可以采用實時在線檢 測方式，也可以采用批處理方式，定時對處理原 始數(shù)據(jù)進行離線檢測，這兩種方法

9、各有特點（如 圖55所示）o離線檢測方式將一段時間內(nèi)的數(shù)據(jù)存儲起來, 然后定時發(fā)給數(shù)據(jù)處理單元進行分析，如果在這 段時間內(nèi)有攻擊發(fā)生就報警。在線檢測方式的實 時處理是大多數(shù)IDS所采用的辦法，由于計算機 硬件速度的提高，使得對攻擊的實時檢測和響應(yīng) 成為可能。:返回本章首頁I第五章入侵檢測技術(shù)返回本章首頁第五章入侵檢測技術(shù)用戶歷史行為 專家經(jīng)驗神經(jīng)網(wǎng)絡(luò)模型用戶的當(dāng)前操作vY斷開連接記錄證據(jù) 數(shù)據(jù)恢復(fù)圖55 (a)實時入侵檢測的功能原理圖(b)事后入侵檢測的功能原理圖返回本章首頁第五章入侵檢測技術(shù)5.2入侵檢測的技術(shù)實現(xiàn)對于入侵檢測的研究，從早期的審計跟蹤數(shù) 據(jù)分析，到實時入侵檢測系統(tǒng)，到目前應(yīng)用

10、于大 型網(wǎng)絡(luò)的分布式檢測系統(tǒng)，基本上已發(fā)展成為具 有一定規(guī)模和相應(yīng)理論的研究領(lǐng)域。入侵檢測的 核心問題在于如何對安全審計數(shù)據(jù)進行分析，以 檢測其中是否包含入侵或異常行為的跡象。這里, 我們先從誤用檢測和異常檢測兩個方面介紹當(dāng)前 關(guān)于入侵檢測技術(shù)的主流技術(shù)實現(xiàn)，然后對其它 類型的檢測技術(shù)作簡要介紹。5.2.1入侵檢測分析模型分析是入侵檢測的核心功能，它既能簡單到 像一個已熟悉日志情況的管理員去建立決策表， 也能復(fù)雜得像一個集成了幾百萬個處理的非參數(shù) 系統(tǒng)。入侵檢測的分析處理過程可分為三個階段: 構(gòu)建分析器;對實際現(xiàn)場數(shù)據(jù)進行分析;反饋和提 煉過程。其中，前兩個階段都包含三個功能：數(shù) 據(jù)處理、數(shù)據(jù)

11、分類（數(shù)據(jù)可分為入侵指示、非入 侵指示或不確定）和后處理。返回本章首頁第五章入侵檢測技術(shù)5.2.2 誤用檢測(Misuse Detection)逞用檢測是按照預(yù)定模式搜尋事件數(shù)據(jù)的,最適用于對已知模式的可靠檢測。執(zhí)行誤用檢測, 主要依賴于可靠的用戶活動記錄和分析事件的方 法。1.條件概率預(yù)測法 條件概率預(yù)測法是基于統(tǒng)計理論來量化全部外部網(wǎng)絡(luò)事件序列中存在入侵事件的可能程度O2產(chǎn)生式/專家系統(tǒng) 用專家系統(tǒng)對入侵進行檢測，主要是檢測基于特征的入侵行為。所謂規(guī)則，即是知識，專家 系統(tǒng)的建立依賴于知識庫的完備性，而知識庫的 完備性又取決于審計記錄的完備性與實時性。產(chǎn)生式/專家系統(tǒng)是誤用檢測早期的方案之

12、一, 在MIDAS、IDES、NIDES> DIDS和CMDS中都 使用了這種方法。3.狀態(tài)轉(zhuǎn)換方法1!1=狀態(tài)轉(zhuǎn)換方法使用系統(tǒng)狀態(tài)和狀態(tài)轉(zhuǎn)換表達 式來描述和檢測入侵，釆用最優(yōu)模式匹配技巧來 結(jié)構(gòu)化誤用檢測，增強了檢測的速度和靈活性。 目前，主要有三種實現(xiàn)方法：狀態(tài)轉(zhuǎn)換分析、有 色Petri-Net和語言/應(yīng)用編程接口（API）。返回本章首頁第五章入侵檢測技術(shù)4.用于批模式分析的信息檢索技術(shù)當(dāng)前大多數(shù)入侵檢測都是通過對事件數(shù)據(jù)的 實時收集和分析來發(fā)現(xiàn)入侵的，然而在攻擊被證 實之后，要從大量的審計數(shù)據(jù)中尋找證據(jù)信息， 就必須借助于信息檢索(IR, Information Retrieval

13、)技術(shù)，IR技術(shù)當(dāng)前廣泛應(yīng)用于WWW 的搜索引擎上。IR系統(tǒng)使用反向文件作為索引，允許高效 地搜尋關(guān)鍵字或關(guān)鍵字組合，并使用BayesianS 論幫助提煉搜索。5Keystroke Monitor和基于模型的方法U?JIf JIIIKeystroke Monitor是一種簡單的入侵檢測 方法，它通過分析用戶擊鍵序列的模式來檢測入 侵行為，常用于對主機的入侵檢測。該方法具有 明顯的缺點，首先，批處理或Shell程序可以不 通過擊鍵而直接調(diào)用系統(tǒng)攻擊命令序列；其次， 操作系統(tǒng)通常不提供統(tǒng)一的擊鍵檢測接口，需通 過額外的鉤子函數(shù)（Hook）來監(jiān)測擊鍵。5.2.3 異常檢測(Anomaly Detec

14、tion)1=異常檢測基于一個假定：用戶的行為是可預(yù) 測的、遵循一致性模式的，且隨著用戶事件的增 加異常檢測會適應(yīng)用戶行為的變化。用戶行為的 特征輪廓在異常檢測中是由度量(measure)集 來描述，度量是特定網(wǎng)絡(luò)行為的定量表示，通常 與某個檢測閥值或某個域相聯(lián)系。異常檢測可發(fā)現(xiàn)未知的攻擊方法，體現(xiàn)了強 健的保護機制，但對于給定的度量集能否完備到 表示所有的異常行為仍需要深入研究。1Denning的原始模型Dorothy Denning于1986年給出了入侵檢測 的IDES模型，她認(rèn)為在一個系統(tǒng)中可以包括四 個統(tǒng)計模型，每個模型適合于一個特定類型的系 統(tǒng)度量：(1) 可操作模型(2) 平均和標(biāo)

15、準(zhǔn)偏差模型多變量模型 (4) Markov處理模型返回本章首頁I第五章入侵檢測技術(shù)2. 量化分析異常檢測最常用的方法就是將檢驗規(guī)則和屬 性以數(shù)值形式表示的量化分析，這種度量方法在 Denning的可操作模型中有所涉及。量化分析通 過釆用從簡單的加法到比較復(fù)雜的密碼學(xué)計算得 到的結(jié)果作為誤用檢測和異常檢測統(tǒng)計模型的基礎(chǔ)。(1) 閥值檢驗(2) 基于目標(biāo)的集成檢查(3) 量化分析和數(shù)據(jù)精簡3. 統(tǒng)計度量統(tǒng)計度量方法是產(chǎn)品化的入侵檢測系統(tǒng)中常 用的方法，常見于異常檢測。運用統(tǒng)計方法，有 效地解決了四個問題：(1)選取有效的統(tǒng)計數(shù) 據(jù)測量點，生成能夠反映主體特征的會話向量；(2)根據(jù)主體活動產(chǎn)生的審計

16、記錄，不斷更新 當(dāng)前主體活動的會話向量；(3)釆用統(tǒng)計方法 分析數(shù)據(jù)，判斷當(dāng)前活動是否符合主體的歷史行 為特征；(4)隨著時間推移，學(xué)習(xí)主體的行為 特征，更新歷史記錄。返回本章首頁第五章入侵檢測技術(shù)4. 非參數(shù)統(tǒng)計度量1=If J非參數(shù)統(tǒng)計方法通過使用非數(shù)據(jù)區(qū)分技術(shù)， 尤其是群集分析技術(shù)來分析參數(shù)方法無法考慮的 系統(tǒng)度量。群集分析的基本思想是，根據(jù)評估標(biāo) 準(zhǔn)（也稱為特性）將收集到的大量歷史數(shù)據(jù)（一 個樣本集）組織成群，通過預(yù)處理過程，將與具 體事件流（經(jīng)常映射為一個具體用戶）相關(guān)的特 性轉(zhuǎn)化為向量表示，再釆用群集算法將彼此比較 相近的向量成員組織成一個行為類，這樣使用該 分析技術(shù)的實驗結(jié)果將會

17、表明用何種方式構(gòu)成的 群可以可靠地對用戶的行為進行分組并識別。5. 基于規(guī)則的方法1=上面討論的異常檢測主要基于統(tǒng)計方法，異 常檢測的另一個變種就是基于規(guī)則的方法。與統(tǒng) 計方法不同的是基于規(guī)則的檢測使用規(guī)則集來表示和存儲使用模式。(1) Wisdom&Sense方法 (2)基于時間的引導(dǎo)機(TIM)5.2.4其它檢測技術(shù)1=這些技術(shù)不能簡單地歸類為誤用檢測或是異 常檢測，而是提供了一種有別于傳統(tǒng)入侵檢測視 角的技術(shù)層次，例如免疫系統(tǒng)、基因算法、數(shù)據(jù) 挖掘、基于代理（Agent）的檢測等，它們或者 提供了更具普遍意義的分析技術(shù)，或者提出了新 的檢測系統(tǒng)架構(gòu)，因此無論對于誤用檢測還是異 常

18、檢測來說，都可以得到很好的應(yīng)用。1. 神經(jīng)網(wǎng)絡(luò)(Neural Network)作為人工智能(AI)的一個重要分支，神 經(jīng)網(wǎng)絡(luò)(Neural Network)在入侵檢測領(lǐng)域得到 了很好的應(yīng)用，它使用自適應(yīng)學(xué)習(xí)技術(shù)來提取異 常行為的特征，需要對訓(xùn)練數(shù)據(jù)集進行學(xué)習(xí)以得 出正常的行為模式。這種方法要求保證用于學(xué)習(xí) 正常模式的訓(xùn)練數(shù)據(jù)的純潔性，即不包含任何入 侵或異常的用戶行為。2. 免疫學(xué)方法(selnonself ),New Mexico大學(xué)的Stephanie Forrest提出 了將生物免疫機制引入計算機系統(tǒng)的安全保護框 架中。免疫系統(tǒng)中最基本也是最重要的能力是識 別“自我/非自我” (self

19、/nonself),換句話講, 它能夠識別哪些組織是屬于正常機體的，不屬于 正常的就認(rèn)為是異常，這個概念和入侵檢測中異 常檢測的概念非常相似。返回本章首頁第五章入侵檢測技術(shù)3. 數(shù)據(jù)挖掘方法illColumbia大學(xué)的Wenke Lee在其博士論文中, 提出了將數(shù)據(jù)挖掘(Data Mining, DM)技術(shù)應(yīng) 用到入侵檢測中，通過對網(wǎng)絡(luò)數(shù)據(jù)和主機系統(tǒng)調(diào) 用數(shù)據(jù)的分析挖掘，發(fā)現(xiàn)誤用檢測規(guī)則或異常檢 測模型。具體的工作包括利用數(shù)據(jù)挖掘中的關(guān)聯(lián) 算法和序列挖掘算法提取用戶的行為模式，利用 分類算法對用戶行為和特權(quán)程序的系統(tǒng)調(diào)用進行 分類預(yù)測。實驗結(jié)果表明，這種方法在入侵檢測 領(lǐng)域有很好的應(yīng)用前景。4

20、基因算法基因算法是進化算法（evolutionaryalgorithms）的一種，引入了達爾文在進化論中 提出的自然選擇的概念（優(yōu)勝劣汰、適者生存） 對系統(tǒng)進行優(yōu)化。該算法對于處理多維系統(tǒng)的優(yōu)化是非常有效的。在基因算法的研究人員看來,入侵檢測的過程可以抽象為：為審計事件記錄定義一種向量表示形式，這種向量或者對應(yīng)于攻擊 行為，或者代表正常行為。1=5.基于代理的檢測近年來，一種基于Agent的檢測技術(shù) (Agent-Based Detection)逐漸引起研究者的重 視。所謂Agent,實際上可以看作是在執(zhí)行某項 特定監(jiān)視任務(wù)的軟件實體?；贏gent的入侵檢 測系統(tǒng)的靈活性保證它可以為保障系統(tǒng)

21、的安全提 供混合式的架構(gòu)，綜合運用誤用檢測和異常檢測, 從而彌補兩者各自的缺陷。返回本章首頁第五章入侵檢測技術(shù)5.3分布式入侵檢測分布式入侵檢測(Distributed Intrusion Detection)是目前入侵檢測乃至整個網(wǎng)絡(luò)安全 領(lǐng)域的熱點之一。到目前為止，還沒有嚴(yán)格意義 上的分布式入侵檢測的商業(yè)化產(chǎn)品，但研究人員 已經(jīng)提出并完成了多個原型系統(tǒng)。通常釆用的方 法中，一種是對現(xiàn)有的IDS進行規(guī)模上的擴展， 另一種則通過IDS之間的信息共享來實現(xiàn)。具體 的處理方法上也分為兩種：分布式信息收集、集 中式處理；分布式信息收集、分布式處理。5.3.1分布式入侵檢測的優(yōu)勢分布式入侵檢測由于采用

22、了非集中的系統(tǒng)結(jié)構(gòu)和處理方式，相對于傳統(tǒng)的單機IDS具有一些 明顯的優(yōu)勢：(1)檢測大范圍的攻擊行為(2)提高檢測的準(zhǔn)確度(3) 提高檢測效率協(xié)調(diào)響應(yīng)措施返回本章首頁第五章入侵檢測技術(shù)5.3.2分布式入侵檢測的技術(shù)難點與傳統(tǒng)的單機IDS相比較，分布式入侵檢測系統(tǒng)具有明顯的優(yōu)勢。然而，在實現(xiàn)分布檢測組件的信息共享和協(xié)作上，卻存在著一些技術(shù)難點。Stanford Research Institute (SRI)在對EMERALD系統(tǒng)的研究中，列舉了分布式入侵 檢測必須關(guān)注的關(guān)鍵問題：事件產(chǎn)生及存儲、狀 態(tài)空間管理及規(guī)則復(fù)雜度、知識庫管理、推理技 術(shù)。5.3.3分布式入侵檢測現(xiàn)狀盡管分布式入侵檢測存

23、在技術(shù)和其它層面的 難點，但由于其相對于傳統(tǒng)的單機IDS所具有的 優(yōu)勢，目前已經(jīng)成為這一領(lǐng)域的研究熱點。1 Snortnet它通過對傳統(tǒng)的單機IDS進行規(guī)模上的擴展, 使系統(tǒng)具備分布式檢測的能力，是基于模式匹配 的分布式入侵檢測系統(tǒng)的一個具體實現(xiàn)。主要包 括三個組件：網(wǎng)絡(luò)感應(yīng)器、代理守護程序和監(jiān)視 控制臺。2 Agent-Based基于Agent的IDS由于其良好的靈活性和擴 展性，是分布式入侵檢測的一個重要研究方向。 國外一些研究機構(gòu)在這方面已經(jīng)做了大量工作， 其中Punhie大學(xué)的入侵檢測自治代理（AAFID） 和SRI的EMERALD最具代表性。AAFID的體系結(jié)構(gòu)如圖540所示，其特點

24、是 形成了一個基于代理的分層順序控制和報告結(jié)構(gòu)。:返回本章首頁I第五章入侵檢測技術(shù)收發(fā)器：收發(fā)器圖510 AAFID體系結(jié)構(gòu)圖返回本章首頁第五章入侵檢測技術(shù)3 DIDSDIDS (Distributed Intrusion Detection1-JSystem)是由DC Davis的Security Lab完成的， 它集成了兩種已有的入侵檢測系統(tǒng)，Haystack和 NSMo 前者由 Tracor Applied Sciences and Haystack實驗室針對多用戶主機的檢測任務(wù)而開 發(fā)，數(shù)據(jù)源來自主機的系統(tǒng)日志。NSM則是由 UC Davis開發(fā)的網(wǎng)絡(luò)安全監(jiān)視器，通過對數(shù)據(jù) 包、連接記

25、錄、應(yīng)用層會話的分析，結(jié)合入侵特 征庫和正常的網(wǎng)絡(luò)流或會話記錄的模式庫，判斷 當(dāng)前的網(wǎng)絡(luò)行為是否包含入侵或異常?；乇菊率醉搕第五章入侵檢測技術(shù)4 GrIDSGrIDS (Graph-based Intrusion Detection System)同樣由UC Davis提出并實現(xiàn)，該系統(tǒng) 實現(xiàn)了 一種在大規(guī)模網(wǎng)絡(luò)中使用圖形化表示的方 法來描述網(wǎng)絡(luò)行為的途徑，其設(shè)計目標(biāo)主要針對 大范圍的網(wǎng)絡(luò)攻擊，例如掃描、協(xié)同攻擊、網(wǎng)絡(luò) 蠕蟲等。GrIDS的缺陷在于只是給出了網(wǎng)絡(luò)連接 的圖形化表示，具體的入侵判斷仍然需要人工完 成，而且系統(tǒng)的有效性和效率都有待驗證和提高。5 Intrusion Strategy

26、IIIIBoeing公司的Ming-Yuh Huang從另一個角 度對入侵檢測系統(tǒng)進行了研究，針對分布式入侵 檢測所存在的問題，他認(rèn)為可以從入侵者的目的 (Intrusion Intention),或者是入侵策略 (Intrusion Strategy)入手，幫助我們確定如何 在不同的IDS組件之間進行協(xié)作檢測。對入侵策 略的分析可以幫助我們調(diào)整審計策略和參數(shù)，構(gòu) 成自適應(yīng)的審計檢測系統(tǒng)。:返回本章首頁I第五章入侵檢測技術(shù)6數(shù)據(jù)融合(Data Fusion )Timm Bass提出將數(shù)據(jù)融合(Data Fusion)的概念應(yīng)用到入侵檢測中，從而將分布式入侵檢測任務(wù)理解為在層次化模型下對多個感應(yīng)

27、器的數(shù)據(jù)綜合問題。在這個層次化模型中，入侵檢測的數(shù)據(jù)源經(jīng)歷了從數(shù)據(jù)(Data)到信息(Information)再到知識(Knowledge)三個邏 輯抽象層次。:返回本章首頁I第五章入侵檢測技術(shù)7基于抽象(Abstraction-based )的方法GMU的Peng Ning在其博士論文中提出了一種 基于抽象(Abstraction-based)的分布式入侵檢測 系統(tǒng)，基本思想是設(shè)立中間層(system view),提 供與具體系統(tǒng)無關(guān)的抽象信息，用于分布式檢測系 統(tǒng)中的信息共享，抽象信息的內(nèi)容包括事件信息 (event)以及系統(tǒng)實體間的斷言(dynamic predicate) o中間層用于

28、表示IDS間的共享信息時 使用的對應(yīng)關(guān)系為:IDS檢測到的攻擊或者IDS無法 處理的事件信息作為event, IDS或受IDS監(jiān)控的系 統(tǒng)的狀態(tài)則作為dynamic predicates o5.4入侵檢測系統(tǒng)的標(biāo)準(zhǔn)從20世紀(jì)90年代到現(xiàn)在，入侵檢測系統(tǒng)的研發(fā)呈現(xiàn)出百家爭鳴的繁榮局面，并在智能化和分 布式兩個方向取得了長足的進展。為了提高IDS 產(chǎn)品、組件及與其他安全產(chǎn)品之間的互操作性，UJDARPA和IETF的入侵檢測工作組(IDWG)發(fā) 起制訂了一系列建議草案，從體系結(jié)構(gòu)、API、 通信機制、語言格式等方面來規(guī)范IDS的標(biāo)準(zhǔn)。5.4.1 IETF 之 IDWGIDWG定義了用于入侵檢測與響應(yīng)

29、(IDR) 系統(tǒng)之間或與需要交互的管理系統(tǒng)之間的信息共 享所需要的數(shù)據(jù)格式和交換規(guī)程oIDWG提出了三項建議草案：入侵檢測消 息交換格式(IDMEF)、入侵檢測交換協(xié)議 (IDXP)以及隧道輪廓(Tunnel Profile)。5-4-2 CIDFCIDF的工作集中體現(xiàn)在四個方面:IDS的 體系結(jié)構(gòu)、通信機制、描述語言和應(yīng)用編程接口 APIoCIDF在IDES和NIDES的基礎(chǔ)上提出了 一個 通用模型，將入侵檢測系統(tǒng)分為四個基本組件： 事件產(chǎn)生器、事件分析器、響應(yīng)單元和事件數(shù)據(jù) 庫。其結(jié)構(gòu)如圖515所示。:返回本章首頁I第五章入侵檢測技術(shù)返回本章首頁第五章入侵檢測技術(shù)輸出：對事件的響應(yīng)輸入：原

30、始事件源圖5-15 CIDF體系結(jié)構(gòu)圖返回本章首頁第五章入侵檢測技術(shù)5.5入侵檢測系統(tǒng)示例為了直觀地理解入侵檢測的使用、配置等情況, 這里我們以Snort為例，對構(gòu)建以Snort為基礎(chǔ)的入 侵檢測系統(tǒng)做概要介紹。Snort是一個開放源代碼的免費軟件，它基于 libpcap的數(shù)據(jù)包嗅探器，并可以作為一個輕量級的 網(wǎng)絡(luò)入侵檢測系統(tǒng)(NIDS) o通過在中小型網(wǎng)絡(luò)上部署Snort系統(tǒng)，可以在分 析捕獲的數(shù)據(jù)包基礎(chǔ)上，進行入侵行為特征匹配工 作，或從網(wǎng)絡(luò)活動的角度檢測異常行為，并完成入 侵的預(yù)警或記錄。返回本章首頁X5.5.1 Snort的體系結(jié)構(gòu)Snort在結(jié)構(gòu)上可分為數(shù)據(jù)包捕獲和解碼子 系統(tǒng)、檢測

31、引擎，以及日志及報警子系統(tǒng)三個部 分。1. 數(shù)據(jù)包捕獲和解碼子系統(tǒng)該子系統(tǒng)的功能是捕獲共享網(wǎng)絡(luò)的傳輸數(shù)據(jù), 并按照TCP/ IP協(xié)議的不同層次將數(shù)據(jù)包解析。2. 檢測引擎檢測引擎是NIDS實現(xiàn)的核心，準(zhǔn)確性和快 速性是衡量其性能的重要指標(biāo)o返回本章首頁t第五章入侵檢測技術(shù)為了能夠快速準(zhǔn)確地進行檢測和處理，Snort在 檢測規(guī)則方面做了較為成熟的設(shè)計。Snort將所有已知的攻擊方法以規(guī)則的形式存 放在規(guī)則庫中，每一條規(guī)則由規(guī)則頭和規(guī)則選項兩 部分組成。規(guī)則頭對應(yīng)于規(guī)則樹結(jié)點RTN (Rule Tree Node),包含動作、協(xié)議、源(目的)地址和 端口以及數(shù)據(jù)流向，這是所有規(guī)則共有的部分。規(guī) 則

32、選項對應(yīng)于規(guī)則選項結(jié)點OTN (Optional Tree Node),包含報警信息(msg) 匹配內(nèi)容 (content)等選項，這些內(nèi)容需要根據(jù)具體規(guī)則的 性質(zhì)確定。IIII檢測規(guī)則除了包括上述的關(guān)于“要檢測什 么”，還應(yīng)該定義“檢測到了該做什么”。 Snort定義了三種處理方式：alert （發(fā)送報警信 息）、log （記錄該數(shù)據(jù)包）和pass （忽略該數(shù) 據(jù)包），并定義為規(guī)則的第一個匹配關(guān)鍵字。這樣設(shè)計的目的是為了在程序中可以組織整 個規(guī)則庫，即將所有的規(guī)則按照處理方式組織成 三個鏈表，以用于更快速準(zhǔn)確地進行匹配。如 圖517所示。返回本章首頁第五章入侵檢測技術(shù)圖5-17 Snort規(guī)

33、則鏈邏輯結(jié)構(gòu)圖返回本章首頁第五章入侵檢測技術(shù)RTNRTNRTN圖5-17 Snort規(guī)則鏈邏輯結(jié)構(gòu)圖返回本章首頁第五章入侵檢測技術(shù)當(dāng)Snort捕獲一個數(shù)據(jù)包時，首先分析該數(shù) 據(jù)包使用哪個IP協(xié)議以決定將與某個規(guī)則樹進行 匹配。然后與RTN結(jié)點依次進行匹配，當(dāng)與一個頭結(jié)點相匹配時，向下與OTN結(jié)點進行匹配。每個OTN結(jié)點包含一條規(guī)則所對應(yīng)的全部選項,同時包含一組函數(shù)指針，用來實現(xiàn)對這些選項的匹配操作。當(dāng)數(shù)據(jù)包與某個OTN結(jié)點相匹配時, 即判斷此數(shù)據(jù)包為攻擊數(shù)據(jù)包。具體流程見圖518所示。返回本章首頁第五章入侵檢測技術(shù)返回本章首頁第五章入侵檢測技術(shù)3日志及報警子系統(tǒng)一個好的NIDS,更應(yīng)該提供友好

34、的輸出界 面或發(fā)聲報警等。Snort是一個輕量級的NIDS, 它的另外一個重要功能就是數(shù)據(jù)包記錄器，它主 要采取用TCPDUMP的格式記錄信息、向syslog 發(fā)送報警信息和以明文形式記錄報警信息三種方 式。值得提出的是，Snort在網(wǎng)絡(luò)數(shù)據(jù)流量非常大時，可以將數(shù)據(jù)包信息壓縮從而實現(xiàn)快速報警。返回本章首頁5-5-2安裝使用Snortlsnort 1.8.6為例，可執(zhí)行下列命令安裝:# cp sncrt-stable-snapshot tar gz to /usr/tdhat/SOURCES #cd /usiysrc/redhat/SOURCES# tar xzvf snort-stable-snapsho t±ar 伊#cd /ustysrc/re dliat/ S OURCES/snort- stab le# ./configure -with-mysql#make# mkdir /etc/snort# cp snortrules tar. gz to /etc/snort#