成果網(wǎng)絡(luò)安全ns

1、IDS提供了主動的防御作為動態(tài)的提供了對內(nèi)部防御技術(shù)，檢測、外部的實時保護，使得網(wǎng)絡(luò)系統(tǒng)在受到危害之前和響應(yīng)防御因此，為。提供了主動的檢測系統(tǒng)得到了業(yè)界和研究界的廣泛關(guān)注，是的研究熱點。2檢測1.IDS簡介檢測源于傳統(tǒng)的系統(tǒng)審計，從八十年代初期提出的理論雛形到實現(xiàn)商品化的今天已經(jīng)走過了三十多年的歷史。作為一項主動的權(quán)對象（用戶或進程）技術(shù)，它能夠檢測未授系統(tǒng)（主機或網(wǎng)絡(luò)）的用，行為，對象對系統(tǒng)的使并保存相關(guān)行為的法律證據(jù)，并可根據(jù)配置的要求在特定的情況下采取必要的響應(yīng)措施（警報、驅(qū)除、防衛(wèi)反擊等）。3檢測與檢測系統(tǒng)?就是試圖破壞網(wǎng)絡(luò)信息的性、網(wǎng)絡(luò)完整性和可用性的行為。方式一般有：(1) 未(2

2、) 已經(jīng)經(jīng)的用戶系統(tǒng)；的用戶企圖獲得更高權(quán)限，或者是已的用戶所給定的權(quán)限等。檢測是監(jiān)測計算機網(wǎng)絡(luò)和系統(tǒng)，以發(fā)的過程?，F(xiàn)安全策略4檢測檢測系統(tǒng)檢測系統(tǒng)（IDS，Intrusion Detection Systems）則是自動監(jiān)視出現(xiàn)在計算機或網(wǎng)絡(luò)系統(tǒng)中的斷是否有，分析這些，從而判發(fā)生的軟件或硬件。檢測系統(tǒng)是實現(xiàn)般位于內(nèi)部網(wǎng)的后面，用于檢測外部監(jiān)測的系統(tǒng)，一處，安裝在者的的和內(nèi)部用戶的活動。5檢測檢測系統(tǒng)的主要功能(1)監(jiān)視分析用戶和系統(tǒng)的行為；(2)審計系統(tǒng)配置和漏洞； (3)評估敏感系統(tǒng)和數(shù)據(jù)的完整性；(4)識別行為；(5)對異常行為進行統(tǒng)計；(6)自動收集與系統(tǒng)相關(guān)的補??；(7)進行審計跟蹤

3、,識別為；(8)使用誘騙服務(wù)器安全策略的行行為；6檢測檢測系統(tǒng)的主要功能（續(xù)1）(9)使系統(tǒng)管理員可以較有效地監(jiān)視、審計、評估的系統(tǒng)。此外，由于以大多數(shù)檢測和響應(yīng)密切相關(guān)，所檢測系統(tǒng)都具有響應(yīng)的功能。7檢測檢測系統(tǒng)的發(fā)展歷史(1) 安全審計階段審計的定義是：產(chǎn)生、并檢查按時間順序排列的系統(tǒng)的過程。審計系統(tǒng)包括審計跟蹤產(chǎn)生器、日志器、分析器和報告機制。而所有審計的前提是有一個支配審計過程的規(guī)則集。因規(guī)則的確切形式和內(nèi)容的不同可將審計劃分為金融審計、管理審計和安全審計等。在安全審計中，規(guī)則集通常以安全策略的形式表達。8檢測檢測系統(tǒng)的誕生階段(2)1980年，James P. Anderson在為美

4、國的一份中提出了基準監(jiān)視器的概念，該報告檢測系統(tǒng)的開創(chuàng)性工作。被認為是在這份報告中，他建議改變計算機審計機制，以便為跟蹤問題的計算機安全提供信息。Anderson的報告還清楚地闡述了安全審計機制的目標。其后Anderson還建議：一些用戶行為的一些統(tǒng)計分析應(yīng)當(dāng)具備判不正常使用模式的能力，這或許是可以用來發(fā)現(xiàn)者的法。9檢測19841986年，Dorothy Denning等人研究并開發(fā)了一個實時的型，命名為IDES（檢測系統(tǒng)模系統(tǒng)），檢測提出了反?；顒雍陀嬎銠C不正常使用間的相關(guān)性，該模型是許多80年代的檢測研究和系統(tǒng)的基礎(chǔ)。Denning于1987年文被認為是另一篇的關(guān)于這一問題的論檢測的開創(chuàng)性

5、之作。10檢測檢測系統(tǒng)的發(fā)展階段(3)受Anderson和IDES的影響，20世紀80年代出現(xiàn)了大量的檢測原型系統(tǒng)，如：Audit Analysis Project， Discovery，Haystack等，80年代末和90年代初出現(xiàn)了許多的檢測系統(tǒng)。較有影響的是ComputerWatch審計跟蹤分析工具ISOA（助理）實時安全監(jiān)視器以及Lcyde VAX審計等。11檢測NSM：Network Security Monitor1990年，Heberlein等提出了一個新的概念：檢測NSM（Network基于網(wǎng)絡(luò)的Security Monitor），NSM與此前的檢測系統(tǒng)最大的區(qū)別在于它測主機的

6、審計，而是通過在局域網(wǎng)上主動地監(jiān)視網(wǎng)絡(luò)信息流量來追蹤可疑行為。12檢測1991年，NADIR（Network Anomaly Detection and Intrusion Reporter）與DIDS（Distribute Intrusion Detection System）提出了收集和合并處理來自多個主機的審計信息以一系列主機的協(xié)同。1994年，Marke等建議使用自治（autonomous agents）以提高IDS的可伸縮性、可維護性、效率和容錯性，該理念非常符合正在進行的計算機科學(xué)其他領(lǐng)域（如軟件）的研究。13檢測另一個致力于解決當(dāng)代絕大多數(shù)檢測系統(tǒng)伸縮性不足的途徑于1996年提出

7、，這就是GBIDS（Graphic-Based Intrusion Detection System），該系統(tǒng)使得對大規(guī)模自動或協(xié)同的檢測更為便利。以后人們又相繼提出了將免疫原理和信息檢索技術(shù)引進到措施，使得檢測系統(tǒng)中等一系列檢測系統(tǒng)更加實用和可靠。14檢測CIDF模型由于檢測系統(tǒng)大部分都是開發(fā)的，不同系統(tǒng)之間缺乏互操作性和互用性，這對檢測系統(tǒng)的發(fā)展造成了障礙，因此，DARPA（the DefenseAdvanced Research Prouects Agency，美國國防部高級研究計劃局）在1997年3月開始著手CIDF（Common Intrusion Detection Framewo

8、rk）標準的制定。15檢測CIDFCIDF由S.Staniford等人提出，主要有三個目的： 一是IDS構(gòu)件共享，即一個IDS系統(tǒng)的構(gòu)件可被另一個系統(tǒng)使用； 二是數(shù)據(jù)共享，即通過提供標準的數(shù)據(jù)格式， 使得IDS中的各類數(shù)據(jù)可以在不同的系統(tǒng)之間傳遞并共享； 三是完善互用性標準，并建立一套開發(fā)接口和支持工具，以提供開發(fā)部分構(gòu)件的能力。16檢測CIDF框架結(jié)構(gòu)圖17檢測產(chǎn)生器CIDF模型將檢測需要分析的數(shù)據(jù)稱作事件（Event），它可以是基于網(wǎng)絡(luò)的檢測檢系統(tǒng)的數(shù)據(jù)包，也可以是基于主機的測系統(tǒng)從系統(tǒng)日志等其它途徑得到的信息。模型也對各個部件之間的信息傳遞格式、通信方法和API進行了標準化。產(chǎn)生器的目的

9、是從整個的計算機環(huán)境，并的（也稱做信息源）中獲得其他部分提供該，這些數(shù)據(jù)源可以是網(wǎng)絡(luò)、主機或應(yīng)用系統(tǒng)中的信息。18檢測分析器、響應(yīng)單元、數(shù)據(jù)庫分析器從產(chǎn)生器中獲得數(shù)據(jù)，通過各種分析方法一般為誤用檢測和異常檢測方法來分析數(shù)據(jù)，決定是否已經(jīng)發(fā)生或者正在發(fā)生，在這里分析方法的選擇是一項非常重要的工作；響應(yīng)單元則是對分析結(jié)果作出反應(yīng)的功能單元。最簡單的響應(yīng)是，通知管理者的發(fā)生，由管理者決定采取應(yīng)對的措施。數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)的地方的總稱，它可以是復(fù)雜的數(shù)據(jù)庫，也可以是簡單的文本文件。19檢測目錄服務(wù)構(gòu)件目錄服務(wù)構(gòu)件用于各構(gòu)件其他的構(gòu)件，以及其他構(gòu)件傳遞的數(shù)據(jù)并認證其他構(gòu)件的使用，以防止IDS

10、系統(tǒng)本身受到。它可以管理和發(fā)布密鑰，提供構(gòu)件信息和告訴用戶構(gòu)件的功能接口。20檢測信息源、分析部件和響應(yīng)部件在現(xiàn)有的檢測系統(tǒng)中，經(jīng)常用信息源、分析部件和響應(yīng)部件來分別代替產(chǎn)生器、分析器和響應(yīng)單元等術(shù)語。因此，人們往往將信息源、分析和響應(yīng)稱做檢測系統(tǒng)的處理模式。雖然CIDF具有明顯的優(yōu)點，但實際上由于目前標準還在制定之中，因此它還沒有得到廣泛地應(yīng)用，也沒有一個檢測系統(tǒng)完全使用該標準，但未來的IDS系統(tǒng)將可能遵循CIDF標準。檢測211.1IDS的分類1、按檢測數(shù)據(jù)來源分類（1）HIDS：基于主機的 HIDS的檢測數(shù)據(jù)來源于操檢測系統(tǒng)的審計跟蹤記錄、主機的系統(tǒng)日志文件和系統(tǒng)應(yīng)用軟件日志，一些先進的

11、HIDS還能夠使用第軟件生成的日志信息。這些信息主要集中于系統(tǒng)調(diào)用及應(yīng)用層審計方面，HIDS試圖從這些信息中尋找和操作的痕跡。22檢測基于主機的檢測系統(tǒng)Internet告警23檢測檢測內(nèi)容：系統(tǒng)調(diào)用、端口、系統(tǒng)日志、安全審計網(wǎng)絡(luò)服務(wù)器1網(wǎng)絡(luò)服務(wù)器2HIDSHIDSNIDS：基于網(wǎng)絡(luò)的檢測系統(tǒng)（2）NIDS：基于網(wǎng)絡(luò)的檢測系統(tǒng) NIDS它模塊的工作方式與器類似，所有流經(jīng)的網(wǎng)絡(luò)數(shù)據(jù)包，提取并提交收集到的數(shù)據(jù)信息給分析引擎，由分析引擎根據(jù)檢測規(guī)則對數(shù)據(jù)信息進行檢測分析，用以是否有問題存在。 通常NIDS檢測保護的是一個局域網(wǎng)絡(luò)。越來越網(wǎng)絡(luò)，NIDS也多的行為開始依賴于或因此而變得愈加重要了。24檢測

12、基于網(wǎng)絡(luò)的檢測系統(tǒng)告警客戶端Internet25檢測NIDS檢測內(nèi)容：數(shù)據(jù)包頭信息、有效數(shù)據(jù)部分網(wǎng)絡(luò)服務(wù)器1網(wǎng)絡(luò)服務(wù)器2LIDS：基于Linux內(nèi)核的檢測系統(tǒng)（3）LIDS：基于Linux內(nèi)核的 這是一種基于Linux內(nèi)核的檢測系統(tǒng)檢測系統(tǒng)。它在模式以及命令進入Linux內(nèi)核中實現(xiàn)了參考(Mandatory Access Control)模式，可以實時監(jiān)視操作狀態(tài)，旨在從。級加強系統(tǒng)的安 在某種程度上可以認為它的檢測數(shù)據(jù)來源于操的內(nèi)核操作，在這一級別上檢測活動，因此其安全特性要高于其他兩類IDS。和26檢測2、按檢測分析引擎的行為分類（1）AD：異常檢測(Anormality Detectio

13、n) 此種檢測行為基于統(tǒng)計分析，因此是動態(tài)的。首先中的重要（如內(nèi)存）選取統(tǒng)計量，并統(tǒng)計其正常使用情況下的基準值，然后系統(tǒng)的使用情況，當(dāng)與基準值的偏差超過一定范圍時認定有動發(fā)生?；蚧?就檢測準確性而言，它不如MD，誤報率較高，但它的彈性較大，檢測靈活，在自動檢行為方面較MD有優(yōu)勢。測新的27檢測（2）MD：誤用檢測(Misuse Detection)（2）MD：誤用檢測(Misuse Detection) 這種檢測行為基于特征匹配，是一種靜態(tài)分析方法。通過對比已知的段以及系統(tǒng)漏洞的簽名特征來手是否有或操作發(fā)生。 通常而言，MD檢測的準確性較高，其成功的一個關(guān)鍵因素在于匹配規(guī)則庫的完備性。28檢測

14、1.2NIDS的檢測模型13分析引擎24529檢測設(shè)備響應(yīng)部件臺器臺和器臺 主要用于對NIDS的其他部件進行配置管理。作臺可以與NIDS的主體功能部為輔助部件，件（或稱檢測器）分離，甚至可以處于NIDS保護檢測的范圍之外。因此臺不是必須的，各個模塊通常還提供其他的配置接口，大多數(shù)NIDS可以在缺省模式下工作。器 負責(zé)從網(wǎng)絡(luò)上交給分析引擎。數(shù)據(jù)包，經(jīng)過適當(dāng)處理后提30檢測分析引擎+響應(yīng)部件+設(shè)備分析引擎 是NIDS的，由它對數(shù)據(jù)進行檢測分析，發(fā)現(xiàn)問題則觸發(fā)響應(yīng)機制，在需要時可以與響應(yīng)部件設(shè)備交互。當(dāng)響應(yīng)機制被觸發(fā)時，響應(yīng)部件會根據(jù)預(yù)先的配置采取適當(dāng)?shù)捻憫?yīng)措施。設(shè)備根據(jù)預(yù)定義的規(guī)則安全，用以提供的

15、一部分法律證據(jù)，并可以作為統(tǒng)計用戶行為的數(shù)據(jù)源。31檢測1.3NIDS的主要技術(shù)與性能(1) 對網(wǎng)絡(luò)數(shù)據(jù)包進行協(xié)議分析。目前分析的主要協(xié)議包括IP、TCP、UDP、ICMP（個還支持ARP、IPV6、IPX等）以及其他一些別的應(yīng)用協(xié)議，如TELNET、HTTP、FTP、SMTP、POP等。不同NIDS對協(xié)議分析的深度不盡相同，如是否檢測校驗和、是否支持碎片重組、是否支持邊界檢查、是否跟蹤的連接等。(2) 對數(shù)據(jù)包內(nèi)容進行特征匹配。盡管個別NIDS可能附帶其他統(tǒng)計分析功能，但出于檢測準確性的考慮，特征匹配(基于誤用的監(jiān)測)是目前絕大多數(shù)NIDS普遍采用的技術(shù)。32檢測(3) 優(yōu)化系統(tǒng)結(jié)構(gòu)。傳統(tǒng)的

16、NIDS多采用集中模式，依靠提高和檢測速度以適應(yīng)網(wǎng)絡(luò)擴充和帶寬增加；目前的NIDS趨向于采用分布檢測，層級管理的模式。(4) 多響應(yīng)措施。NIDS的響應(yīng)很多，包括發(fā)出警報（屏幕文字、聲音警報、電子郵件、日志、通知等）、驅(qū)除（ 擊（不可達信息、關(guān)閉連接、終止進程等）、防衛(wèi)反用戶、地址、與其他安全工具交互配合調(diào)整、使用其他工具回擊等）等。(5) 增強自身安。包括減少（或消除）關(guān)鍵節(jié)點、分離端口與管理端口、關(guān)閉檢測器主機的開放端口、檢測器主機的網(wǎng)卡不配置IP地址、檢測器與臺之間的通信加密、檢測器與檢測臺之間相互認證等。332. Anti-NIDS概述Anti-NIDS的目標是：使NIDS檢測不到入侵

17、行為的發(fā)生，或無法對行為做出響應(yīng)，或無法證明行為的責(zé)任。其策略主要有三種：其一，規(guī)避NIDS的檢測；NIDS自身發(fā)起其二，常運行；，使其無法正其三，借助NIDS的某些響應(yīng)功能達到目的。檢測或342.1 NIDS所(1)檢測的工作量 NIDS需要高效的檢測方法和大量的系統(tǒng)的幾個問題。 通常NIDS檢測保護的是一個局域網(wǎng)絡(luò)，其數(shù)據(jù)流量通常會比單機高出一到兩個數(shù)量級，且由于協(xié)議的層次封裝特性，使得很多信息要逐層地從網(wǎng)絡(luò)數(shù)據(jù)包中提取并分析，NIDS的檢測分析工作因此而變得十分繁雜。NIDS必須盡快地處理網(wǎng)絡(luò)數(shù)據(jù)包，以保持與網(wǎng)絡(luò)同步，避免丟包。 NIDS的檢測是使NIDS更加容易密集型的，這在某種程度上

18、DoS。35檢測(2) 檢測方法的局限性(2) 檢測方法的局限性 復(fù)雜的、智能化方法的作用十分有限，而AD方法受限于某些的請求使用在數(shù)據(jù)傳輸過程中的模糊性與隱含性，也難以在NIDS中發(fā)揮另人滿意的功效。特征匹配成為NIDS分析引擎的一個不可或缺的模塊功能。 特征匹配作為一種輕量級的檢測方法有其固有的缺陷，缺乏彈性（尤其是字符串匹配），如何完備定義匹配特征（也即匹配特征庫的完備性）是決定檢測性能的一個關(guān)鍵問題。36檢測(3) 網(wǎng)絡(luò)協(xié)議的多樣性與復(fù)雜性 TCP/IP協(xié)議族本身十分龐雜，各種協(xié)議不下幾十種，呈現(xiàn)橫向和縱向深入的兩維分布。為了適應(yīng)網(wǎng)絡(luò)檢測的需要，NIDS須對其中的大部分協(xié)議進行模擬分析

19、檢測工作，這會使得分析引擎變得臃腫而效率低下。 更為重要的是部分協(xié)議（如IP協(xié)議、TCP協(xié)議等）非常復(fù)雜，使精確地模擬分析十分，其難度隨著協(xié)議層次的上升而增加。到了應(yīng)用層，這種模擬分析工作幾乎無法繼續(xù)，由于缺少主機信息， NIDS將難于理解應(yīng)用層的意圖，更無法模擬或理解某些應(yīng)用提供的功能（如bash提供的tab鍵命令補齊功能）作用于具體環(huán)境下所產(chǎn)生的效果。37檢測(4) 系統(tǒng)實現(xiàn)的差異 具體實現(xiàn)時，各值和可選功能，會有全按RFC，對那些建議的偏好。NIDS為了逼近各的實現(xiàn)就必須盡可能多地了解每一對這些不一致情況的處理方式，然后根據(jù)實際應(yīng)用中檢測保護的對象再決定分析動作。但這種想法在實際中并全可

20、行，有些問題不僅僅是系統(tǒng)的實現(xiàn)問題，還包含了用戶的配置選擇（如是否計算UDP數(shù)據(jù)報的校驗和），因此很難做到與目的一致性處理。 另外，某些系統(tǒng)（如Unix）出于操作的自由性和應(yīng)用的方便性，用戶對網(wǎng)絡(luò)底層進行直接操作，致使者幾乎可以隨心所欲地構(gòu)造各種的數(shù)據(jù)包。38檢測2.2 規(guī)避NIDS基于特征匹配檢測固有的脆弱性，者可以利用上面提到的幾個問題，對普通的行為加以掩飾，或使NIDS無法接收準確完整的特征，或使特征變得模糊而難以識別，NIDS在檢測不到特征的情況下將很難識別從而無法檢測到 法稱為規(guī)避NIDS。者的行為意圖，的發(fā)生。這種手39檢測2.3NIDS主要利用了其NIDS密集型檢測的特點，對其實

21、施DoS，并且通常結(jié)合技術(shù)，使得NIDS既不能找到能執(zhí)行正常的檢測功能。的真正來源，又不者利用這種空隙可以進行其他活動。者還可以利用NIDS軟件中可能存在的缺另外陷（或漏洞）對NIDS本身進行，并可能導(dǎo)致DoSNIDS的部分功能失效（取得與上面類似的效果）或是獲得某些額外權(quán)限，繼而為其他的活動打開方便。40檢測2.4 利用NIDS這種策略主要利用了NIDS的響應(yīng)機制。作為NIDS必不可少的一個模塊，響應(yīng)部件除了警報功能之外，通常還配置了其他一些防護性功能。盡管這些功能的性可能不是很強，但其性通常很強。如果這些功能行使得不夠謹慎，入侵者能夠誤導(dǎo)響應(yīng)部件執(zhí)行這些功能來對付目標系統(tǒng)，則它將成為破壞系

22、統(tǒng)的工具，而NIDS本身卻不知道真正侵做出檢測。，因而也無法對這種入41檢測3.規(guī)避NIDS檢測的幾種技術(shù)分析引擎是IDS的檢測主體，規(guī)避NIDS的檢測就是要隱藏或消除NIDS分析引擎檢測規(guī)特征，使入則中所對應(yīng)的行為模式或侵行為淹沒在正常的網(wǎng)絡(luò)流量“噪聲”中。42檢測3.1 Insertion技術(shù)Insertion是指誘使NIDS接受一些目收或是拒絕接受的數(shù)據(jù)包。無法接通常情況下NIDS與目應(yīng)該接受相同的數(shù)據(jù)包，并按照相同的方式分析處理，這樣才能保證NIDS對那些目的進行有效地檢測。但是由于NIDS不可能完全了解目的處理方式（即使是相同的系統(tǒng)也可能會因為配置問題而進行不同的處理），因此，如果N

23、IDS接受了那些目無法接收或是拒絕接受的數(shù)據(jù)包就有可能導(dǎo)致問題的發(fā)生。Insertion是一種比較常見的規(guī)避NIDS檢測的技術(shù)，它主要對下述兩個方面造成影響。檢測43其一，非單特征點的特征進行操作，將導(dǎo)致特征失效。44檢測NIDS 接受的數(shù)據(jù)包：OFXNI目接受的數(shù)據(jù)包：OFNI者數(shù)據(jù)包：OFXNI3.1Insertion技術(shù)（續(xù)2）假設(shè)“INFO”作為的一個特征串，者分四個數(shù)據(jù)包發(fā)出該特征串，并在第二個特征點“N”之后一個迷惑數(shù)據(jù)包“X”，該數(shù)據(jù)包對于來說是無法接收或拒絕接受的，但NIDS目與NIDS得到不同卻錯誤地接受了，于是目的“特征串”。從目來看顯然發(fā)生了，但對于NIDS來說它將無法檢

24、測到“INFO”，因此也據(jù)此的發(fā)生。對于這種情況而言，特征應(yīng)該是非單特征點的，因為單特征點是無法Insertion的，而且需要特可以導(dǎo)致NIDS征的分割傳輸，并在傳輸中間錯誤接受的迷惑性數(shù)據(jù)包。45檢測3.1Insertion技術(shù)（續(xù)3）失去狀態(tài)同步其二，對于面向連接的協(xié)議，狀態(tài)是一個十分重要的信息，傳輸?shù)拿恳粋€數(shù)據(jù)包都攜帶狀態(tài)信息，并且會對連接雙方的狀態(tài)造成影響。為了對這樣的協(xié)議進行分析，NIDS將不得不保持同樣的或是類似的狀態(tài)信息以跟蹤連接。一旦NIDS錯誤地接受了目無法接收或是拒絕接受的數(shù)據(jù)包，那么兩者之間的狀態(tài)就會產(chǎn)生不一致，我們稱之為“失去狀態(tài)同步”。失去狀態(tài)同步的NIDS在對該連接

25、的后繼數(shù)據(jù)包的。如圖(Next)所示。處理上將遇到46檢測處于狀態(tài)A，NIDS跟蹤連接也保持為這一狀假設(shè)目 態(tài)。現(xiàn)在目一個攜帶狀態(tài)B的數(shù)據(jù)包，因為某種者沒有接收(或接受)數(shù)據(jù)包，而NIDS卻接受了該數(shù)據(jù)包并更新狀態(tài)為B，于是與目失去狀態(tài)同步。在NIDS找回狀態(tài)同步之前，對后繼數(shù)據(jù)包接受與處理上產(chǎn)生不一致。更為嚴重的是，NIDS可可能會與目能會在錯誤接受的數(shù)據(jù)包的誤導(dǎo)下復(fù)位或終止相應(yīng)的狀態(tài)跟蹤，以至放棄或失去對目連接的跟蹤。這種影響并不基于特征匹配，但它只適用于需要維護狀態(tài)信息的或面向連接的情況。47檢測NIDS狀態(tài)A接受數(shù)據(jù)包：狀態(tài)改為BB目狀態(tài)A沒接受數(shù)據(jù)包： 狀態(tài)保持AB者數(shù)據(jù)包：B3.2

26、 Evasion技術(shù)這種技術(shù)與Insertion有些相似，這一次是NIDS錯誤地拒絕了本應(yīng)接受的數(shù)據(jù)包，從而導(dǎo)致NIDS比目“少”看到了東西，這種非一致性同樣可能產(chǎn)生問題。其影響也是兩個方面。48檢測(1) 特征匹配問題49檢測NIDS接受數(shù)據(jù)包：ONI目接受數(shù)據(jù)包：OFNI者數(shù)據(jù)包：OFNI(1) 特征匹配問題（續(xù)1）特征串“INFO”，并且者分四個數(shù)據(jù)包對第三個特征點數(shù)據(jù)包“F”進行一些特殊處理，使之看起來像一個不合理數(shù)據(jù)包，NIDS于是錯誤地將其拒絕，而目本身卻認為其是合法的而加以接受。顯然NIDS無法匹配到“INFO”，但確實發(fā)生了。更為的是，特征不必分割傳輸（即不限制特征點數(shù)目），而

27、是只包含在一個數(shù)據(jù)包里，但該數(shù)據(jù)包卻被NIDS錯誤地拒絕接受，那么當(dāng)然這里討論的Evasion只限于軟件不被檢測。引起的拒絕接受，而通過其他途徑（如撥號連接）導(dǎo)致的NIDS接收不到數(shù)據(jù)包也能產(chǎn)生同樣的效果。50檢測(2)與Insertion中的第二點很相似，NIDS會因為少接受了數(shù)據(jù)包而錯過狀態(tài)的改變，從而導(dǎo)致失去狀態(tài)同步不同的地方在于：目的狀態(tài)更新可能對應(yīng)著連接重置或連接終止，NIDS因為錯過了狀態(tài)更新而無法了解到這一情況，從而繼續(xù)進行無意義地跟蹤DoS并占用，留下的潛在。51檢測NIDS，狀態(tài)A沒接受數(shù)據(jù)包：狀態(tài)保持AB目，狀態(tài)A接受數(shù)據(jù)包：狀態(tài)改為BB者數(shù)據(jù)包：B3.3 Tousle技術(shù)

28、該技術(shù)打亂特征點的次序，即將特征數(shù)據(jù)分割，并設(shè)法使包含各個特征點數(shù)據(jù)包不能按照特征點的原始次序到達目，由目根據(jù)相關(guān)信息恢復(fù)數(shù)據(jù)包的原始次序，而由于某些因素NIDS不能同樣地對數(shù)據(jù)包排序。于是即使NIDS與目接受了同樣的數(shù)據(jù)包，但由于接受次序的不同，兩者還是面對不同的“特征”。這種技術(shù)的影響主要集中于那些特征（點）具有次序概念的系統(tǒng)和應(yīng)用中，尤其是配。檢測特征串匹523.3Tousle技術(shù)(續(xù)1)53檢測NIDS接收數(shù)據(jù)包：不排序或排序不正確，得不到“INFO”I（1）F（3）O（4）N（2）目接收并排序后得到數(shù)據(jù)包：O（4）F（3）N（2）I（1）者數(shù)據(jù)包：I（1）F（3）O（4）N（2）3.

29、3Tousle技術(shù)(續(xù)2)者將特征串“INFO”分割為四個數(shù)據(jù)包進行傳輸，每個數(shù)據(jù)包攜帶的數(shù)字代表其在原始數(shù)據(jù)中者以(2)(4)(3)(1)的順序的位置?，F(xiàn)各個數(shù)據(jù)包，不考慮網(wǎng)絡(luò)擁塞和路由引起的傳輸問題，則數(shù)據(jù)包將很可能按的順序到達目標系統(tǒng)和NIDS。目能夠根據(jù)每個數(shù)據(jù)包中的位置信息重構(gòu)原始數(shù)據(jù)，得到特征串“INFO”；而NIDS由于某種沒能夠排序數(shù)據(jù)包或是不正確地排序數(shù)據(jù)包，于是得到了與原始數(shù)據(jù)不同的“特征串”，錯過對的檢測。54檢測3.4 Anamorphosis-Polymorph技術(shù)該技術(shù)受變種技術(shù)的啟發(fā)，特征匹配缺模式，或通過乏彈性的固有缺陷，適當(dāng)改變某種（如加密）隱藏特征，或使特征

30、在一定程度上發(fā)生變化（但對影響），以規(guī)避NIDS的檢測。不造成實質(zhì)在某種程度上類似于就是用于緩沖區(qū)溢出變種，一個很好的例子的多態(tài)shellcode技術(shù)。55檢測修改shellcode規(guī)避檢測56檢測3.4 Anamorphosis-Polymorph技術(shù)（續(xù)3）對于“冗余”操作來說，其目的只是為了增加跳轉(zhuǎn)的幾率，因此任何不影響有效載荷執(zhí)行的操作都可以用來代替nop指令序列。這種“變種”操作很多，依目的指令集而定，就IA32體系而言，粗略估計有不下五十種的操作可以選擇。57檢測如果以之代替shellcode中的nop序列，則那些檢測特征系列nop的分析引擎將失敗；如果分析引擎還能檢測其他的替代操

31、作，那么僅是為此目的而增加的特征就多達幾十個；而且即使是這樣，因為“冗余”操作是一系列的操作，者還可以將各種替代操作以一種隨機的方式組合，只要不超過shellcode的長度，則將產(chǎn)生成千上萬種組合操作方式，這里不妨保守地計算一下：所有可以替代的操作選定為50種，“冗余”操作長度為5條指令，那么所有可能的組合共有50*50*50*50*50種之巨，這是簡單匹配難以對付的。58檢測3.5 Substitution技術(shù)該技術(shù)是一類規(guī)避技術(shù)的統(tǒng)稱，其想法是：不直接傳輸特征，退而選擇其他迂回的，使輸入依靠目的解釋來完成，以達到同樣的目的。這種技術(shù)的好處在于傳輸過程不必出現(xiàn)特征數(shù)據(jù)，因此不易被基于特征匹配

32、的分析引擎所檢測，缺點是受限于目持。的支59檢測宏替換60檢測宏替換假定分析引擎匹配檢測“attack”作為某特征。者若直接傳輸“attack”，則將很容易被檢測到；現(xiàn)支持，也可以是相關(guān)應(yīng)已知目（可以是操者設(shè)定宏“MAP =用程序支持）支持宏擴展，attack”，則者可以以輸入宏“MAP”來代替輸入“attack”，然后由目將其翻譯為“attack”，再據(jù)此實現(xiàn)者的意圖。由于宏名字是由者隨意選擇的，NIDS無法檢測宏名字，因此可能錯過對此次的檢測。有時迂回可能在的，那么這么簡單，比如宏定義不是以前就存“MAP = attack”的數(shù)據(jù)包可能會被分析引擎檢測到，盡管以這種方式檢測到的“attac

33、k”可能會增加誤報率，但于此次是無益的，因此需要更加迂回的檢測。61二次宏技術(shù)attack62檢測二次宏技術(shù)這里可以采用二次宏技術(shù)，簡單來說，者可以定義“M = att，A = ac，P = k”，再定義“BAM =MAP”，之后輸入“BAM”，目經(jīng)過兩次宏擴展后同樣會得到“attack”，而在整個傳輸?shù)倪^程中出現(xiàn)“attack”，加之宏名字選擇的隨意性和將宏定義的嵌套性，NIDS除非支持同樣的擴展機制，否則將很難檢測到這樣的特征。實際上Substitution技術(shù)所描述的決不僅僅是類似的宏擴展技術(shù)，其他諸如某些shell所支持令別名功能以及tab鍵技術(shù)、環(huán)境變量技術(shù)、命令歷史命令補齊功能等，

34、都可以看作是Substitution技術(shù)的不同應(yīng)用實例。檢測633.6 Unicode-Related技術(shù)者只是簡單地以ASCII碼形式傳輸如果序列，那么其中的特征數(shù)據(jù)將很容易被NIDS所識別。現(xiàn)在者把特征數(shù)據(jù)以Unicode標準的UTF-8編碼形式進行傳輸支持Unicode），情況將會（假設(shè)目發(fā)生改變。(1) NIDS不支持Unicode(這種情況現(xiàn)在已經(jīng)不多了)，這樣的分析引擎無法通過特征匹配來檢測以Unicode方式傳輸?shù)奶卣鲾?shù)據(jù)。64檢測3.6 Unicode-Related技術(shù)（續(xù)1）(2) NIDS支持Unicode，檢測特征數(shù)據(jù)之前先進行編碼轉(zhuǎn)換，即分析引擎先把數(shù)據(jù)包的有效內(nèi)容轉(zhuǎn)

35、化為Unicode，再對之進行特征匹配。但由于新舊標準的覆蓋問題，分析引擎只有按照目所支持的標準進行轉(zhuǎn)換才能確?！翱础钡降膬?nèi)容與目保持一致。潛在的問題是目標系統(tǒng)的多樣性，為此NIDS需要了解每一個被檢測保護系統(tǒng)所支持的標準，甚至是目上每一個支持Unicode服務(wù)的所支持標準，這是一個煩瑣而繁重的工作。如果對Unicode的支持是可選的，那么這種試圖了解幾乎不可能的。65檢測3.6 Unicode-Related技術(shù)（續(xù)2）(3) NIDS支持Unicode，檢測特征數(shù)據(jù)之前不進行編碼轉(zhuǎn)換，即直接匹配UTF-8格式的編碼。這種方法節(jié) 省了轉(zhuǎn)換時間，也避免了因支持標準不一致而導(dǎo)致 的誤解釋，但是一

36、個必須面對的新問題是多重表示。隨特征點的增多（絕大多數(shù)字符都有多重表示）， 這將產(chǎn)生同前一節(jié)中的“冗余”替換一樣的組合問題。曾經(jīng)有人做過統(tǒng)計，在微軟Windows2K Advance Server的IIS上，Unicode的字符“A”有近30 種的表示方法，“E”對應(yīng)34種，“I”對應(yīng)36種，“O”對應(yīng)39種，“U”對應(yīng)58種，僅一個字符串“AEIOU”就對應(yīng)30*34*36*39*58種表示方法，以現(xiàn)有的匹配算法和的處理能力，對付如此巨量的特征匹配并非易事。66檢測4. 4.1 拒絕服務(wù)NIDS 同很多DoSNIDS的DoS攻一樣，的有限性，由于NIDS擊也是基于系統(tǒng)密集型的特點，使得NID

37、S更容檢測的的DoS。而NIDS易此類本身作為一個fail open的系統(tǒng)，通常與被保護系統(tǒng)分離（這是目前的通用模式），那么 當(dāng)DoS原有的檢測響應(yīng)功能之后，被保護系 統(tǒng)將處于開放狀態(tài)（與被保護之前相比較）。67檢測4.1 拒絕服務(wù)（續(xù)1） 另一方面，NIDS的DoS也有其與眾不同的一面。目前的NIDS出于自身安全的需要，通常不為檢測器主機的網(wǎng)卡配置IP地址，這樣普通的基于目標地址的直接DoS方式在這里就顯得沒有用武之地了。NIDS的DoS幾乎所有的用NIDS網(wǎng)絡(luò)的特點，對其進行間接DoS攻擊。通常需要結(jié)合地址的隱蔽性。技術(shù)以加強68檢測（續(xù)2）- (1)消耗網(wǎng)絡(luò)帶寬4.1 拒絕服務(wù)目前比較流

38、行的一種DoS方法稱為分布式DoS(DDoS)，者利用已經(jīng)的大量大量主機對目標網(wǎng)絡(luò)(或主機)幾乎同時的數(shù)據(jù)包，在雙方帶寬對DoS的不對稱情況下，NIDS將很快達到處理能力的上限，現(xiàn)有NIDS幾乎無法抵御這種DDoS。有一點需要注意的是，共享式HUB環(huán)境下NIDS的DoS的可能會造成整個目所在網(wǎng)絡(luò)的擁塞，降低目的可檢測 用性，使得的最終目的受到影響；69（續(xù)3） (2) 消耗系統(tǒng)內(nèi)存4.1 拒絕服務(wù)NIDS的可用內(nèi)存空間不足將嚴重影響其性能，使其處理效率降低，甚至導(dǎo)致操作失敗。需求的不同，對內(nèi)存的時空占有率也是不同的，容易導(dǎo)致NIDS內(nèi)存DoS的通常是那種動態(tài)需求數(shù)量大，占用時間長的內(nèi)存空間分配

39、，主要包括：新數(shù)據(jù)包的到達。對數(shù)據(jù)包碎片的排序重組。跟蹤已經(jīng)建立的連接。70檢測（續(xù)4）(3) 消耗CPU處理周期4.1 拒絕服務(wù)在NIDS中，CPU處理周期的DoS攻擊比較有限，但還是有一些情況會對DoS的處理周期造成很大的浪費，從而降低系統(tǒng)性能。一種情況就是大量數(shù)據(jù)包的到達所引起的頻繁中斷，除非有專門的硬件處理，否則是不可避免的。另一種情況是由內(nèi)存的分配與引起的。頻繁的內(nèi)存申請與會使內(nèi)存空間中形成很多小的碎片（包括內(nèi)存泄露），這種不連續(xù)性（或不可用性）達到一定程度就會影響71檢測系統(tǒng)的性能為此很多系統(tǒng)配備內(nèi)存碎片回（續(xù)5）(4) 消耗4.1 拒絕服務(wù)設(shè)備根據(jù)預(yù)定義的規(guī)則，安全。這些事件既可

40、以作為用戶行為的統(tǒng)計數(shù)據(jù)源，也可以作為入侵證據(jù)的一部分，其安、可用性和持久性十分重要。者往往不能直接該模塊，但是卻可以利用NIDS的其他機制間接完成相應(yīng)的。者可以模擬大量的、可以引起NIDS注意的虛假，如果這些行為觸發(fā)了預(yù)定義的規(guī)的則，那么將導(dǎo)致空間的損耗，一個空間告罄(qng)，根據(jù)系統(tǒng)的情況是或后繼策略，無法，或循環(huán)覆蓋以前的信息。也會歪曲用戶即使達不到上述目的，虛行為特征，還會對相應(yīng)的法律證明產(chǎn)生誤導(dǎo)作用。72檢測4.2其他臺是一個很特殊的部件，它雖不是NIDS運行所必須的，卻擁有管理配置權(quán)限，而且它通常與NIDS的主體部分分離，盡管檢測器主機網(wǎng)卡為確保安全而不配置IP地址，但其管理網(wǎng)卡

41、卻通常要配置以保持同臺的通信，于是給留下了可能。另外，NIDS很難保證在設(shè)計上或代碼編寫上不存在缺陷。如果者能夠利用這些缺陷而取得額外權(quán)限，那么就可以以一定權(quán)限操作NIDS，如重新配置NIDS（當(dāng)然并不一定是最高用戶的權(quán)限），其危害以估計。如Snort RPC預(yù)處理器之緩沖區(qū)者可能利用它對NIDS進行拒絕溢出漏洞，器進程的執(zhí)行權(quán)限（通常是root）服務(wù)或以執(zhí)行任意指令。73檢測5. 利用NIDS無法對行為或活動做出響應(yīng)的NIDS幾乎是無用的，但做出何種響應(yīng)適當(dāng)?shù)模瑓s并不容易把握。對于那些配置防護性功能或可以與其他安全工具交互的NIDS來說，響應(yīng)措施是的，可能會給系統(tǒng)的安全帶來危害。74檢測5.

42、 利用NIDS（續(xù)1）之所以說響應(yīng)，在于響應(yīng)措施的性通常很強，NIDS可能會導(dǎo)而采取響應(yīng)措施，如果虛假者冒充目的誤，則NIDS在不能有效識別真正來源的情況下將會把原先者的響應(yīng)措施轉(zhuǎn)移到目定。從目身上，其影響視響應(yīng)措施而的角度看，它的直接危害來源于檢測保護其的NIDS，而且還著入侵者進一步的。75檢測5. 利用NIDS（續(xù)2）按照響應(yīng)措施對系統(tǒng)安全的潛在影響，NIDS的響應(yīng)措施大致可以分成三級：警報驅(qū)除防衛(wèi)反擊其影響級別是次第升高的。76檢測5.1 警報和驅(qū)除警報級別的響應(yīng)措施包括屏幕文字、聲音警報、電子郵件、日志、通知等。由于是低影響級別的，因此對系統(tǒng)安全造成什么危害，利用的意義并不大。不過頻

43、繁的警報會影響用戶的正常使用，尤其是虛假的警報更會使人們懷疑NIDS的度，時間久了，可能會導(dǎo)致“狼來了”的效應(yīng)，使得管理者忽略或干脆關(guān)閉（或部分關(guān)閉）警報功能。77檢測5.1 警報和驅(qū)除（續(xù)1）驅(qū)除級別的響應(yīng)措施包括不可達信息、關(guān)閉連接、終止進程等，這些行為通常屬于的行為，即使被者利用，對系統(tǒng)所造成的影響也是十分短暫的，如TCP連接中斷、HTTP請求失敗等，但這對下一次的連接或是請求沒有影響。因此這一影響級別的利用價值也是十分有限的。78檢測5.2 利用防衛(wèi)反擊這是安全影響級別最高的響應(yīng)措施，也是安全隱患最大的級別，通常由它所造成的影響是持久的，有些甚至是難以恢復(fù)的。在這個級別上，如果NIDS

44、檢測到的措施（有些也許是在被發(fā)生，那么它采取之后而采取的補救措施）可能包括用戶、地址、與其他安全工具交互配合調(diào)整、使用其他工具回擊等。下圖給出了利用NIDS高安全影響級別響應(yīng)措施對付目的示意。79檢測5.2 利用防衛(wèi)反擊（續(xù)1）80檢測5.2 利用防衛(wèi)反擊（續(xù)2）A與DoS現(xiàn)在從外部看多大的區(qū)別，含了一點假設(shè)，即沒有者DoS基本達到。這里隱者知道什么樣的攻擊行為可以觸發(fā)NIDS響應(yīng)以新的措施。響應(yīng)措施的不同造成的安全危害也不一 樣，但其共同點是這種危害由被誤導(dǎo)的NIDS的響應(yīng)直接所為，因此不在其檢測之列。配置更上檢測 述劃分并不意味著響應(yīng)部件能夠按照先低級再中高級的順序選擇不同影響級別的816

45、. IDS的發(fā)展方向隨著網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)規(guī)模的不斷發(fā)展，人們對計算機網(wǎng)絡(luò)的依賴也不斷增強。與此同時，遍，網(wǎng)絡(luò)系統(tǒng)的也越來越普手法日趨復(fù)雜。隨著網(wǎng)絡(luò)技術(shù)和相關(guān)學(xué)科的發(fā)展和日趨成熟，IDS未來發(fā)展的趨勢主要表現(xiàn)在以下方面。82檢測6.1 寬帶高速實時檢測技術(shù)大量高速網(wǎng)絡(luò)技術(shù)(如ATM、千兆以太網(wǎng)等)在近年相繼出現(xiàn)。在此背景下，各種寬帶接入層出不窮。如何實現(xiàn)高速網(wǎng)絡(luò)下的實時檢測已的的問題。目前的千兆IDS經(jīng)成為現(xiàn)實性能指標與實際要求相差很遠。要提高其性能主要需考慮以下兩個方面：首先，IDS的軟件結(jié)構(gòu)和算法需要重新設(shè)計，以適應(yīng)高速網(wǎng)的環(huán)境，提高運行速度和效率；其次，隨著高速網(wǎng)絡(luò)技術(shù)的不斷發(fā)展與成熟，新的

46、高速網(wǎng)絡(luò)協(xié)議的設(shè)計也必將成為未來發(fā)展的趨勢，那么，現(xiàn)有IDS如何適應(yīng)和利用未來的新網(wǎng)絡(luò)協(xié)議，將是一個全新的問題。83檢測6.2 大規(guī)模分布式的檢測技術(shù)傳統(tǒng)的集中式IDS的基本模型是在網(wǎng)絡(luò)的不同網(wǎng)段放置多個探測器，收集當(dāng)前網(wǎng)絡(luò)狀態(tài)信息，然后將這些信息傳送到臺進行處理。這種方式存在明顯的缺陷：首先，對于大規(guī)模分布式，臺的負荷將會超過其處理極限，這種情況會造成大量信息處理的遺漏，導(dǎo)致漏警率增高；其次，多個探測器收集到的數(shù)據(jù)在網(wǎng)絡(luò)上傳輸會在一定程度上增加網(wǎng)絡(luò)負擔(dān)，導(dǎo)致網(wǎng)絡(luò)系統(tǒng)性能降低；再者，由于網(wǎng)絡(luò)傳輸?shù)臅r延問題，臺處理的網(wǎng)絡(luò)數(shù)據(jù)包所包含的信息只反映探測器接收它時的網(wǎng)絡(luò)狀態(tài)，不能實時反映當(dāng)前網(wǎng)絡(luò)狀態(tài)。

47、84檢測面對以上問題，新的解決方法也隨之產(chǎn)生，如Purdue大學(xué)開發(fā)的AAFID系統(tǒng)。該系統(tǒng)是Purdue大學(xué)設(shè)計的一種采用樹形分層構(gòu)造的群體，其根部是監(jiān)視器，提供全局的分的、管理及分析由上一層節(jié)點提供的信息。樹葉部專門負責(zé)收集信息。處在中間層的被稱為收，一方面發(fā)器。這些收發(fā)器一方面實現(xiàn)對底層的可以對信息進行預(yù)處理，把精練的信息反饋給上層的監(jiān)視器。這種結(jié)構(gòu)采用了本地處理本地、負責(zé)整體分析的模式。與集中式不同，它強調(diào)通過全體智能的協(xié)同工作來分析策略。這種方法明顯優(yōu)于前者，但同時帶來了一些新的問題，如間的協(xié)作、間的通信等。這些問題仍在進一步研究之中。85檢測6.3 數(shù)據(jù)挖掘技術(shù)的日益復(fù)雜和網(wǎng)絡(luò)數(shù)據(jù)流量的急劇增加操導(dǎo)致審計數(shù)據(jù)以驚人的速度增