ch5入侵檢測技術(shù)

5.1入侵檢測概述—發(fā)展簡況1．概念的誕生

1980年4月，JamesP.Aderson為美國空軍做了一份題為《ComputerSecurityThreatMonitoringandSurveillance》（計算機(jī)安全威脅監(jiān)控與監(jiān)視）的技術(shù)報告，第一次詳細(xì)闡述了入侵檢測的概念。他提出了一種對計算機(jī)系統(tǒng)風(fēng)險和威脅的分類方法，并將威脅分為外部滲透、內(nèi)部滲透和不法行為三種，還提出了利用審計跟蹤數(shù)據(jù)監(jiān)視入侵活動的思想。這份報告被公認(rèn)為是入侵檢測的開山之作。返回本章首頁5.1入侵檢測概述—發(fā)展簡況2．模型的發(fā)展

1984～1986年，喬治敦大學(xué)的DorothyDenning和SRI／CSL(SRI公司計算機(jī)科學(xué)實驗室)的PeterNeumann研究出了一種實時入侵檢測系統(tǒng)模型，取名為IDES(入侵檢測專家系統(tǒng))（IntrusionDetectionExpertSystem）。該模型由六個部分組成：主體、對象、審計記錄、輪廓特征、異常記錄、活動規(guī)則。它獨(dú)立于特定的系統(tǒng)平臺、應(yīng)用環(huán)境、系統(tǒng)弱點以及入侵類型，為構(gòu)建入侵檢測系統(tǒng)提供了一個通用的框架。1988年，SRI／CSL的TeresaLunt等改進(jìn)了Denning的入侵檢測模型，并實際開發(fā)出了一個IDES。該系統(tǒng)包括一個異常檢測器和一個專家系統(tǒng)，分別用于統(tǒng)計異常模型的建立和基于規(guī)則的特征分析檢測。返回本章首頁返回本章首頁

(1)主體(subjects)；在目標(biāo)系統(tǒng)上活動的實體，如用戶。(2)對象(objects)：指系統(tǒng)資源，如文件、設(shè)備、命令等。(3)審計記錄(Auditrecords)：內(nèi)主體、活動(Action)、異常條件(Exception—Condition)、資源使用狀況(Resource—Usage)和時間戳(TimeStamp)等組成。其中活動是指主體對目標(biāo)的操作。異常條件是指系統(tǒng)對主體該活動的異常情況的報告。資源使用狀況是指系統(tǒng)的資源消耗情況。(4)活動檔案(ActiveProfile)：即系統(tǒng)正常行為模型，保存系統(tǒng)正?；顒拥挠嘘P(guān)信息。在各種檢測方法中其實現(xiàn)各不相同。在統(tǒng)計方法巾可以從事件數(shù)量、頻度、資源消耗等方面度量。(5)異常記錄(AnomalyRecord)：由事件、時間戳和審計記錄組成，表示異常事件的發(fā)生情況。(6)活動規(guī)則(ActiveRule)：判斷是否為入侵的推則及相應(yīng)要采取的行動。一般采用系統(tǒng)正?；顒幽Ｐ蜑闇?zhǔn)則，根據(jù)專家系統(tǒng)或統(tǒng)計方法對審計記錄進(jìn)行分析處理，在發(fā)現(xiàn)入侵時采取相應(yīng)的對策。5.1入侵檢測概述—發(fā)展簡況

2．模型的發(fā)展1990年是入侵檢測系統(tǒng)發(fā)展史上十分重要的一年。這一年，加州大學(xué)戴維斯分校的L.T.Heberlein等開發(fā)出了NSM(NetworkSecurityMonitor)。該系統(tǒng)第一次直接將網(wǎng)絡(luò)流作為審計數(shù)據(jù)來源，因而可以在不將審計數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一格式的情況下監(jiān)控異種主機(jī)。從此之后，為入侵檢測系統(tǒng)的發(fā)展翻開了新的一頁，兩大陣營正式形成：基于網(wǎng)絡(luò)的IDS和基于主機(jī)的IDS。

返回本章首頁5.1入侵檢測概述—發(fā)展簡況

2．模型的發(fā)展

1988年的莫里斯蠕蟲事件發(fā)生后，網(wǎng)絡(luò)安全才真正引起了軍方、學(xué)術(shù)界和企業(yè)的高度重視。美國空軍、國家安全局和能源部共同資助空軍密碼支持中心、勞倫斯利弗摩爾國家實驗室、加州大學(xué)戴維斯分校、Haystack實驗室，開展對分布式入侵檢測系統(tǒng)DIDS（DistributeIntrusionDetectionSystem）的研究，將基于主機(jī)和基于網(wǎng)絡(luò)的檢測方法集成到一起。DIDS是分布式入侵檢測系統(tǒng)歷史上的一個里程碑式的產(chǎn)品，它的檢測模型采用了分層結(jié)構(gòu)，分?jǐn)?shù)據(jù)、事件、主體、上下文、威脅、安全狀態(tài)等6層。

返回本章首頁5.1入侵檢測概述—發(fā)展簡況

2．模型的發(fā)展

從20世紀(jì)90年代到現(xiàn)在，入侵檢測系統(tǒng)的研發(fā)呈現(xiàn)出百家爭鳴的繁榮局面，并在智能化和分布式兩個方向取得了長足的進(jìn)展。目前，SRI／CSL、普渡大學(xué)、加州大學(xué)戴維斯分校、洛斯阿拉莫斯國家實驗室、哥倫比亞大學(xué)、新墨西哥大學(xué)等機(jī)構(gòu)在這些方面的研究代表了當(dāng)前的最高水平返回本章首頁3.入侵檢測技術(shù)的發(fā)展

近年來，入侵檢測技術(shù)研究的主要創(chuàng)新有：Forrest等將免疫學(xué)原理運(yùn)用于分布式入侵檢測領(lǐng)域；1998年RossAnderson和AbidaKhattak將信息檢索技術(shù)引進(jìn)入侵檢測；以及采用狀態(tài)轉(zhuǎn)換分析、數(shù)據(jù)挖掘和遺傳算法等進(jìn)行誤用和異常檢測。返回本章首頁5.1.1入侵檢測原理

圖5-2給出了入侵檢測的基本原理圖。入侵檢測是用于檢測任何損害或企圖損害系統(tǒng)的保密性、完整性或可用性的一種網(wǎng)絡(luò)安全技術(shù)。它通過監(jiān)視受保護(hù)系統(tǒng)的狀態(tài)和活動，采用誤用檢測（MisuseDetection）或異常檢測（AnomalyDetection）的方式，發(fā)現(xiàn)非授權(quán)的或惡意的系統(tǒng)及網(wǎng)絡(luò)行為，為防范入侵行為提供有效的手段。返回本章首頁圖5-2入侵檢測原理框圖

返回本章首頁監(jiān)控分析系統(tǒng)和用戶的活動發(fā)現(xiàn)異常企圖或異常現(xiàn)象記錄報警和響應(yīng)所謂入侵檢測系統(tǒng)就是執(zhí)行入侵檢測任務(wù)的硬件或軟件產(chǎn)品。入侵檢測提供了用于發(fā)現(xiàn)入侵攻擊與合法用戶濫用特權(quán)的一種方法。其應(yīng)用前提是入侵行為和合法行為是可區(qū)分的，也即可以通過提取行為的模式特征來判斷該行為的性質(zhì)。一般地，入侵檢測系統(tǒng)需要解決兩個問題：如何充分并可靠地提取描述行為特征的數(shù)據(jù)；如何根據(jù)特征數(shù)據(jù)，高效并準(zhǔn)確地判定行為的性質(zhì)。返回本章首頁5.1.2系統(tǒng)結(jié)構(gòu)由于網(wǎng)絡(luò)環(huán)境和系統(tǒng)安全策略的差異，入侵檢測系統(tǒng)在具體實現(xiàn)上也有所不同。從系統(tǒng)構(gòu)成上看，入侵檢測系統(tǒng)應(yīng)包括事件提取、入侵分析、入侵響應(yīng)和遠(yuǎn)程管理四大部分，另外還可能結(jié)合安全知識庫、數(shù)據(jù)存儲等功能模塊，提供更為完善的安全檢測及數(shù)據(jù)分析功能（如圖5-3所示）。返回本章首頁圖5-3入侵檢測系統(tǒng)結(jié)構(gòu)返回本章首頁入侵檢測的思想源于傳統(tǒng)的系統(tǒng)審計，但拓寬了傳統(tǒng)審計的概念，它以近乎不間斷的方式進(jìn)行安全檢測，從而可形成一個連續(xù)的檢測過程。這通常是通過執(zhí)行下列任務(wù)來實現(xiàn)的：監(jiān)視、分析用戶及系統(tǒng)活動；系統(tǒng)構(gòu)造和弱點的審計；識別分析知名攻擊的行為特征并告警；異常行為特征的統(tǒng)計分析；評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為。返回本章首頁5.1.3系統(tǒng)分類由于功能和體系結(jié)構(gòu)的復(fù)雜性，入侵檢測按照不同的標(biāo)準(zhǔn)有多種分類方法?？煞謩e從數(shù)據(jù)源、檢測理論、檢測時效三個方面來描述入侵檢測系統(tǒng)的類型。

1．基于數(shù)據(jù)源的分類

通常可以把入侵檢測系統(tǒng)分為五類，即基于主機(jī)、基于網(wǎng)絡(luò)、混合入侵檢測、基于網(wǎng)關(guān)的入侵檢測系統(tǒng)以及文件完整性檢查系統(tǒng)。返回本章首頁基于主機(jī)型（HIDS）早期入侵檢測系統(tǒng)結(jié)構(gòu)，檢測的目標(biāo)是主機(jī)系統(tǒng)和系統(tǒng)本地用戶，檢測原理是根據(jù)主機(jī)的審計數(shù)據(jù)和系統(tǒng)日志文件發(fā)現(xiàn)可疑事件。檢測系統(tǒng)運(yùn)行在被檢測的主機(jī)上。

基于主機(jī)型（HIDS）主要優(yōu)點：既可以檢測到遠(yuǎn)程入侵，也可以檢測到本地入侵?？梢钥吹交诰W(wǎng)絡(luò)的IDS看不到的、發(fā)生在主機(jī)上的事件。只要信息源生成于數(shù)據(jù)加密之前或者數(shù)據(jù)解密之后，就可以在網(wǎng)絡(luò)流量加密的環(huán)境下正常工作。不受交換式網(wǎng)絡(luò)的影響。通過處理操作系統(tǒng)的審計記錄，可以檢測出特洛伊木馬或者其它有關(guān)軟件完整性破壞的攻擊。主要缺點：可以使用系統(tǒng)特權(quán)或調(diào)用比審計本身更低級的操作來逃避審計。檢測范圍只限于主機(jī)?；蚨嗷蛏儆绊懛?wù)器的性能。只能對服務(wù)器的特定用戶、特定應(yīng)用程序執(zhí)行操作，能檢測到的攻擊類型受限制?？晒芾硇圆?，因為不同的系統(tǒng)使用不同的操作系統(tǒng)。它和應(yīng)用程序共用系統(tǒng)資源，其自身也可能被攻擊而癱瘓。基于網(wǎng)絡(luò)型（NIDS）單獨(dú)依靠主機(jī)審計信息進(jìn)行入侵檢測難以適應(yīng)網(wǎng)絡(luò)安全的需求，從而提出了基于網(wǎng)絡(luò)的結(jié)構(gòu)，根據(jù)網(wǎng)絡(luò)流量、單臺或多臺主機(jī)的審計數(shù)據(jù)檢測入侵?；诰W(wǎng)絡(luò)型（NIDS）主要優(yōu)點：可以監(jiān)控多臺主機(jī)。對現(xiàn)有網(wǎng)絡(luò)的影響比較小?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)只是被動地監(jiān)聽網(wǎng)絡(luò)流量，不妨礙網(wǎng)絡(luò)的正常運(yùn)行?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)可以設(shè)計成非常健壯，有時攻擊者根本看不到它的存在。服務(wù)器平臺相對獨(dú)立，配置簡單，能適應(yīng)眾多的攻擊模式。主要缺點：在高速網(wǎng)絡(luò)上，可能會處理不了所有的數(shù)據(jù)包，從而有的攻擊可能會檢測不到。在交換式網(wǎng)絡(luò)中，交換機(jī)把網(wǎng)絡(luò)分成多個小片段，一般不提供通用的監(jiān)控端口，從而限制了傳感器的監(jiān)控范圍。不能分析加密信息。多數(shù)系統(tǒng)不能確定一次攻擊是否成功，只能檢測出攻擊者使用某種方法進(jìn)行攻擊。一些系統(tǒng)在處理碎片包的網(wǎng)絡(luò)攻擊時可能會導(dǎo)致入侵檢測系統(tǒng)運(yùn)行不穩(wěn)定，甚至崩潰。

基于應(yīng)用型是基于主機(jī)的入侵檢測系統(tǒng)的一個特殊子集。它分析由應(yīng)用程序生成的事件，常用信息源是應(yīng)用程序生成的記錄文件。由于具有對特定應(yīng)用程序的知識，還與應(yīng)用程序有直接接口，因此可以發(fā)現(xiàn)用戶超越自己的權(quán)限的可疑行為。主要優(yōu)點

可以監(jiān)控應(yīng)用程序和用戶之間的操作，有能力檢測出哪個用戶超越自己的權(quán)限。一般可以在加密環(huán)境下運(yùn)行。因為它和應(yīng)用程序的接口一般是數(shù)據(jù)傳輸處理過程的終點，提交用戶的數(shù)據(jù)必須是非加密的。主要缺點由于應(yīng)用程序的記錄文件受到的保護(hù)沒有操作系統(tǒng)的審計記錄受到的保護(hù)緊密。所以，該系統(tǒng)比基于主機(jī)的系統(tǒng)更容易受到攻擊。由于系統(tǒng)只監(jiān)控應(yīng)用層和用戶層的事件，所以它不能檢測出特洛伊木馬。因此，它一般是與基于主機(jī)或者網(wǎng)絡(luò)的入侵檢測系統(tǒng)相結(jié)合。分布式IDS（DIDS）美國普度大學(xué)安全研究小組首先提出了基于主體的入侵檢測系統(tǒng)軟件結(jié)構(gòu)，其主要方法是采用相互獨(dú)立并獨(dú)立于系統(tǒng)而運(yùn)行的進(jìn)程組，這些進(jìn)程被稱為自治主體。通過訓(xùn)練這些主體，并觀察系統(tǒng)行為，然后將這些主體認(rèn)為是異常的行為標(biāo)記出來。

2．基于檢測理論的分類

從具體的檢測理論上來說，入侵檢測又可分為異常檢測和誤用檢測。

異常檢測（AnomalyDetection）指根據(jù)使用者的行為或資源使用狀況的正常程度來判斷是否入侵，而不依賴于具體行為是否出現(xiàn)來檢測。

誤用檢測（MisuseDetection）指運(yùn)用已知攻擊方法，根據(jù)已定義好的入侵模式，通過判斷這些入侵模式是否出現(xiàn)來檢測。

返回本章首頁

3．基于檢測時效的分類

IDS在處理數(shù)據(jù)的時候可以采用實時在線檢測方式，也可以采用批處理方式，定時對處理原始數(shù)據(jù)進(jìn)行離線檢測，這兩種方法各有特點（如圖5-5所示）。離線檢測方式將一段時間內(nèi)的數(shù)據(jù)存儲起來，然后定時發(fā)給數(shù)據(jù)處理單元進(jìn)行分析，如果在這段時間內(nèi)有攻擊發(fā)生就報警。在線檢測方式的實時處理是大多數(shù)IDS所采用的辦法，由于計算機(jī)硬件速度的提高，使得對攻擊的實時檢測和響應(yīng)成為可能。返回本章首頁返回本章首頁5.2入侵檢測的技術(shù)實現(xiàn)對于入侵檢測的研究，從早期的審計跟蹤數(shù)據(jù)分析，到實時入侵檢測系統(tǒng)，到目前應(yīng)用于大型網(wǎng)絡(luò)的分布式檢測系統(tǒng)，基本上已發(fā)展成為具有一定規(guī)模和相應(yīng)理論的研究領(lǐng)域。入侵檢測的核心問題在于如何對安全審計數(shù)據(jù)進(jìn)行分析，以檢測其中是否包含入侵或異常行為的跡象。這里，我們先從誤用檢測和異常檢測兩個方面介紹當(dāng)前關(guān)于入侵檢測技術(shù)的主流技術(shù)實現(xiàn)，然后對其它類型的檢測技術(shù)作簡要介紹。返回本章首頁5.2.1入侵檢測分析模型分析是入侵檢測的核心功能，它既能簡單到像一個已熟悉日志情況的管理員去建立決策表，也能復(fù)雜得像一個集成了幾百萬個處理的非參數(shù)系統(tǒng)。入侵檢測的分析處理過程可分為三個階段：構(gòu)建分析器，對實際現(xiàn)場數(shù)據(jù)進(jìn)行分析，反饋和提煉過程。其中，前兩個階段都包含三個功能：數(shù)據(jù)處理、數(shù)據(jù)分類（數(shù)據(jù)可分為入侵指示、非入侵指示或不確定）和后處理。返回本章首頁5.2.2誤用檢測（MisuseDetection）誤用檢測是按照預(yù)定模式搜尋事件數(shù)據(jù)的，最適用于對已知模式的可靠檢測。執(zhí)行誤用檢測，主要依賴于可靠的用戶活動記錄和分析事件的方法。

1．條件概率預(yù)測法條件概率預(yù)測法是基于統(tǒng)計理論來量化全部外部網(wǎng)絡(luò)事件序列中存在入侵事件的可能程度。

將入侵方式對應(yīng)于一個事件序列，然后通過觀測到的事件發(fā)生情況來推測入侵的出現(xiàn)，其依據(jù)是外部事件序列，根據(jù)貝葉斯定理進(jìn)行推理檢測入侵。主要缺點是先驗概率難以給出，而且事件的獨(dú)立性難以滿足。返回本章首頁2．產(chǎn)生式/專家系統(tǒng)

用專家系統(tǒng)對入侵進(jìn)行檢測，主要是檢測基于特征的入侵行為。所謂規(guī)則，即是知識，專家系統(tǒng)的建立依賴于知識庫的完備性，而知識庫的完備性又取決于審計記錄的完備性與實時性。產(chǎn)生式/專家系統(tǒng)是誤用檢測早期的方案之一，在MIDAS、IDES、NIDES、DIDS和CMDS中都使用了這種方法。返回本章首頁專家系統(tǒng)是誤用檢測中運(yùn)用最多的一種方法。將有關(guān)入侵的知識轉(zhuǎn)化成if-then結(jié)構(gòu)的規(guī)則，即將構(gòu)成入侵所要求的條件轉(zhuǎn)化為if部分，將發(fā)現(xiàn)入侵后采取的相應(yīng)措施轉(zhuǎn)化成then部分。當(dāng)其中某個或某部分條件滿足時，系統(tǒng)就判斷為入侵行為發(fā)生。其中if-then結(jié)構(gòu)構(gòu)成了描述具體攻擊的規(guī)則庫，狀態(tài)行為及其語義環(huán)境可根據(jù)審計事件得到，推理機(jī)根據(jù)規(guī)則和行為完成判斷工作。

返回本章首頁在具體實現(xiàn)中，該方法的主要難點在于:①全面性問題，難以科學(xué)地從各種入侵手段中抽象出全面的規(guī)則化知識；②效率問題，需處理的數(shù)據(jù)量過大；③在大型系統(tǒng)中，難以獲得實時連續(xù)的審計數(shù)據(jù)。因為上述缺陷，商業(yè)產(chǎn)品一般不用，而較多的使用特征分析。

特征分析也需要知道攻擊行為的具體知識，但是攻擊方法的語義描述是在審計記錄中能直接找到的信息形式，不像專家系統(tǒng)一樣需要處理大量數(shù)據(jù)，從而大大提高了檢測效率。這種方法的缺陷是，需要經(jīng)常為新發(fā)現(xiàn)的系統(tǒng)漏洞更新知識庫。此外，由于對不同操作系統(tǒng)平臺的具體攻擊方法，以及不同平臺的審計方式可能不同，所以對特征分析檢測系統(tǒng)進(jìn)行構(gòu)造和維護(hù)的工作量較大。返回本章首頁

3．狀態(tài)轉(zhuǎn)換方法狀態(tài)轉(zhuǎn)換方法使用系統(tǒng)狀態(tài)和狀態(tài)轉(zhuǎn)換表達(dá)式來描述和檢測入侵，采用最優(yōu)模式匹配技巧來結(jié)構(gòu)化誤用檢測，增強(qiáng)了檢測的速度和靈活性。目前，主要有三種實現(xiàn)方法：狀態(tài)轉(zhuǎn)換分析、有色Petri-Net和語言/應(yīng)用編程接口（API）。返回本章首頁

3．狀態(tài)轉(zhuǎn)換方法將入侵過程看作一個行為序列，這個行為序列導(dǎo)致系統(tǒng)從初始狀態(tài)轉(zhuǎn)入被入侵狀態(tài)。分析時首先針對每一種入侵方法確定系統(tǒng)的初始狀態(tài)和被入侵狀態(tài)，以及導(dǎo)致狀態(tài)轉(zhuǎn)換的轉(zhuǎn)換條件，即導(dǎo)致系統(tǒng)進(jìn)入被入侵狀態(tài)必須執(zhí)行的操作(特征事件)，然后用狀態(tài)轉(zhuǎn)換圖來表示每一個狀態(tài)和特征事件。這些事件被集成于模型中，所以檢測時不需要一個個地查找審計記錄。但是，狀態(tài)轉(zhuǎn)換是針對事件序列分析，所以不適合分析過分復(fù)雜的事件，而且不能檢測與系統(tǒng)狀態(tài)無關(guān)的入侵。由于處理速度的優(yōu)勢和系統(tǒng)的靈活性，狀態(tài)轉(zhuǎn)移分析法已成為當(dāng)今最具競爭力的入侵檢測模型之一。返回本章首頁基于狀態(tài)遷移分析的誤用檢測簡單示例——在一分鐘內(nèi)如果登錄失敗的次數(shù)超過4次，系統(tǒng)便發(fā)出警報。其中豎線代表狀態(tài)轉(zhuǎn)換，如果在狀態(tài)S1發(fā)生登錄失敗，則產(chǎn)生一個標(biāo)志變量，并存儲事件發(fā)生時間T1，同時轉(zhuǎn)入狀態(tài)S2。如果在狀態(tài)S4時又有登錄失敗，而且這時的時間T2-T1<60秒，則系統(tǒng)轉(zhuǎn)入狀態(tài)S5，即為入侵狀態(tài)，系統(tǒng)報警。

4．用于批模式分析的信息檢索技術(shù)當(dāng)前大多數(shù)入侵檢測都是通過對事件數(shù)據(jù)的實時收集和分析來發(fā)現(xiàn)入侵的，然而在攻擊被證實之后，要從大量的審計數(shù)據(jù)中尋找證據(jù)信息，就必須借助于信息檢索（IR，InformationRetrieval）技術(shù)，IR技術(shù)當(dāng)前廣泛應(yīng)用于WWW的搜索引擎上。IR系統(tǒng)使用反向文件作為索引，允許高效地搜尋關(guān)鍵字或關(guān)鍵字組合，并使用Bayesian理論幫助提煉搜索。返回本章首頁

5．KeystrokeMonitorKeystrokeMonitor是一種簡單的入侵檢測方法，它通過分析用戶擊鍵序列的模式來檢測入侵行為，常用于對主機(jī)的入侵檢測。該方法具有明顯的缺點，首先，批處理或Shell程序可以不通過擊鍵而直接調(diào)用系統(tǒng)攻擊命令序列；其次，操作系統(tǒng)通常不提供統(tǒng)一的擊鍵檢測接口，需通過額外的鉤子函數(shù)（Hook）來監(jiān)測擊鍵。假設(shè)入侵對應(yīng)特定的擊鍵序列模式，然后監(jiān)測用戶擊鍵模式，并將這一模式與入侵模式匹配從而檢測入侵行為。這種方法的不足之處是：在沒有操作系統(tǒng)支持的情況下，缺少捕獲用戶擊鍵的可靠方法，存在著許多擊鍵方式表示同一種攻擊。而且，沒有擊鍵語義分析，用戶提供別名很容易欺騙這種技術(shù)。這種技術(shù)僅僅分析擊鍵，不能檢測到惡意程序執(zhí)行后的自動攻擊。返回本章首頁

6．基于模型推理的方法

基于模型的方法是：入侵者在攻擊一個系統(tǒng)的時候往往采用一定的行為序列，如猜測口令的行為序列，這種序列構(gòu)成了具有一定行為特征的模型，根據(jù)這種模型代表的攻擊意圖的行為特征，可以實時地檢測出惡意的攻擊企圖。與專家系統(tǒng)通常放棄處理那些不確定的中間結(jié)論的特點相比，這一方法的優(yōu)點在于它基于完善的不確定性推理數(shù)學(xué)理論。基于模型的入侵檢測方法先可以預(yù)測一些主要事件，當(dāng)這些事件發(fā)生后，再開始詳細(xì)審計，從而減少了事件審計的處理負(fù)荷。返回本章首頁

6．基于模型推理的方法通過建立誤用證據(jù)模型，根據(jù)證據(jù)推理來作出發(fā)生了誤用的判斷結(jié)論，其中有關(guān)攻擊者行為的知識被描述為：攻擊者目的，攻擊者達(dá)到此目的的可能行為步驟，以及對系統(tǒng)的特殊使用等。此方法的要點是建立攻擊腳本庫、預(yù)警器和決策分析器。檢測時先將這些攻擊腳本的子集看作系統(tǒng)正面臨的攻擊，然后通過一個稱為預(yù)警器的程序模塊根據(jù)當(dāng)前行為模式，產(chǎn)生下一個需要驗證的攻擊腳本子集，并將它傳送給決策分析器。決策分析器收到信息后，根據(jù)這些假設(shè)的攻擊行為在審計記錄中的可能出現(xiàn)方式，將它們翻譯成與特定系統(tǒng)匹配的審計記錄格式，然后在審計記錄中尋找相應(yīng)信息來確認(rèn)或否認(rèn)這些攻擊。初始攻擊腳本子集的假設(shè)應(yīng)滿足：易于在審計記錄中識別，并且出現(xiàn)頻率很高。隨著一些腳本被確認(rèn)的次數(shù)增多，另一些腳本被確認(rèn)的次數(shù)減少，攻擊腳本不斷地得到更新。返回本章首頁

6．基于模型推理的方法主要優(yōu)點對不確定性的推理有合理的數(shù)學(xué)理論基礎(chǔ)。決策器使得攻擊腳本可以與審計記錄的上下文無關(guān)。因為首先按腳本類型檢測相應(yīng)類型是否出現(xiàn)，然后再檢測具體的事件，所以減少了需要處理的數(shù)據(jù)量。主要缺陷增加了創(chuàng)建入侵檢測模型的開銷。系統(tǒng)實現(xiàn)時決策分析器如何有效地翻譯攻擊腳本。返回本章首頁5.2.3異常檢測（AnomalyDetection）異常檢測基于一個假定：用戶的行為是可預(yù)測的、遵循一致性模式的，且隨著用戶事件的增加異常檢測會適應(yīng)用戶行為的變化。用戶行為的特征輪廓在異常檢測中是由度量（measure）集來描述，度量是特定網(wǎng)絡(luò)行為的定量表示，通常與某個檢測閥值或某個域相聯(lián)系。異常檢測可發(fā)現(xiàn)未知的攻擊方法，體現(xiàn)了強(qiáng)健的保護(hù)機(jī)制，但對于給定的度量集能否完備到表示所有的異常行為仍需要深入研究。返回本章首頁

1．Denning的原始模型DorothyDenning于1986年給出了入侵檢測的IDES模型，她認(rèn)為在一個系統(tǒng)中可以包括四個統(tǒng)計模型，每個模型適合于一個特定類型的系統(tǒng)度量。

（1）可操作模型

（2）平均和標(biāo)準(zhǔn)偏差模型

（3）多變量模型

（4）Markov處理模型

返回本章首頁2．量化分析異常檢測最常用的方法就是將檢驗規(guī)則和屬性以數(shù)值形式表示的量化分析，這種度量方法在Denning的可操作模型中有所涉及。量化分析通過采用從簡單的加法到比較復(fù)雜的密碼學(xué)計算得到的結(jié)果作為誤用檢測和異常檢測統(tǒng)計模型的基礎(chǔ)。（1）閥值檢驗（2）基于目標(biāo)的集成檢查（3）量化分析和數(shù)據(jù)精簡返回本章首頁3．統(tǒng)計度量

統(tǒng)計度量方法是產(chǎn)品化的入侵檢測系統(tǒng)中常用的方法，常見于異常檢測。運(yùn)用統(tǒng)計方法，有效地解決了四個問題：（1）選取有效的統(tǒng)計數(shù)據(jù)測量點，生成能夠反映主體特征的會話向量；（2）根據(jù)主體活動產(chǎn)生的審計記錄，不斷更新當(dāng)前主體活動的會話向量；（3）采用統(tǒng)計方法分析數(shù)據(jù)，判斷當(dāng)前活動是否符合主體的歷史行為特征；（4）隨著時間推移，學(xué)習(xí)主體的行為特征，更新歷史記錄。返回本章首頁4．非參數(shù)統(tǒng)計度量非參數(shù)統(tǒng)計方法通過使用非數(shù)據(jù)區(qū)分技術(shù)，尤其是群集分析技術(shù)來分析參數(shù)方法無法考慮的系統(tǒng)度量。群集分析的基本思想是，根據(jù)評估標(biāo)準(zhǔn)（也稱為特性）將收集到的大量歷史數(shù)據(jù)（一個樣本集）組織成群，通過預(yù)處理過程，將與具體事件流（經(jīng)常映射為一個具體用戶）相關(guān)的特性轉(zhuǎn)化為向量表示，再采用群集算法將彼此比較相近的向量成員組織成一個行為類，這樣使用該分析技術(shù)的實驗結(jié)果將會表明用何種方式構(gòu)成的群可以可靠地對用戶的行為進(jìn)行分組并識別。返回本章首頁5．基于規(guī)則的方法上面討論的異常檢測主要基于統(tǒng)計方法，異常檢測的另一個變種就是基于規(guī)則的方法。與統(tǒng)計方法不同的是基于規(guī)則的檢測使用規(guī)則集來表示和存儲使用模式。（1）Wisdom&Sense方法（2）基于時間的引導(dǎo)機(jī)（TIM）返回本章首頁5.2.4其它檢測技術(shù)

這些技術(shù)不能簡單地歸類為誤用檢測或是異常檢測，而是提供了一種有別于傳統(tǒng)入侵檢測視角的技術(shù)層次，例如免疫系統(tǒng)、基因算法、數(shù)據(jù)挖掘、基于代理（Agent）的檢測等，它們或者提供了更具普遍意義的分析技術(shù)，或者提出了新的檢測系統(tǒng)架構(gòu)，因此無論對于誤用檢測還是異常檢測來說，都可以得到很好的應(yīng)用。返回本章首頁

1．神經(jīng)網(wǎng)絡(luò)（NeuralNetwork）

作為人工智能（AI）的一個重要分支，神經(jīng)網(wǎng)絡(luò)（NeuralNetwork）在入侵檢測領(lǐng)域得到了很好的應(yīng)用，它使用自適應(yīng)學(xué)習(xí)技術(shù)來提取異常行為的特征，需要對訓(xùn)練數(shù)據(jù)集進(jìn)行學(xué)習(xí)以得出正常的行為模式。這種方法要求保證用于學(xué)習(xí)正常模式的訓(xùn)練數(shù)據(jù)的純潔性，即不包含任何入侵或異常的用戶行為。返回本章首頁2．免疫學(xué)方法

NewMexico大學(xué)的StephanieForrest提出了將生物免疫機(jī)制引入計算機(jī)系統(tǒng)的安全保護(hù)框架中。免疫系統(tǒng)中最基本也是最重要的能力是識別“自我/非自我”（self/nonself），換句話講，它能夠識別哪些組織是屬于正常機(jī)體的，不屬于正常的就認(rèn)為是異常，這個概念和入侵檢測中異常檢測的概念非常相似。

返回本章首頁3．?dāng)?shù)據(jù)挖掘方法

Columbia大學(xué)的WenkeLee在其博士論文中，提出了將數(shù)據(jù)挖掘（DataMining,DM）技術(shù)應(yīng)用到入侵檢測中，通過對網(wǎng)絡(luò)數(shù)據(jù)和主機(jī)系統(tǒng)調(diào)用數(shù)據(jù)的分析挖掘，發(fā)現(xiàn)誤用檢測規(guī)則或異常檢測模型。具體的工作包括利用數(shù)據(jù)挖掘中的關(guān)聯(lián)算法和序列挖掘算法提取用戶的行為模式，利用分類算法對用戶行為和特權(quán)程序的系統(tǒng)調(diào)用進(jìn)行分類預(yù)測。實驗結(jié)果表明，這種方法在入侵檢測領(lǐng)域有很好的應(yīng)用前景。返回本章首頁

4．基因算法基因算法是進(jìn)化算法（evolutionaryalgorithms）的一種，引入了達(dá)爾文在進(jìn)化論中提出的自然選擇的概念（優(yōu)勝劣汰、適者生存）對系統(tǒng)進(jìn)行優(yōu)化。該算法對于處理多維系統(tǒng)的優(yōu)化是非常有效的。在基因算法的研究人員看來，入侵檢測的過程可以抽象為：為審計事件記錄定義一種向量表示形式，這種向量或者對應(yīng)于攻擊行為，或者代表正常行為。

返回本章首頁5．基于代理的檢測近年來，一種基于Agent的檢測技術(shù)（Agent-BasedDetection）逐漸引起研究者的重視。所謂Agent，實際上可以看作是在執(zhí)行某項特定監(jiān)視任務(wù)的軟件實體?；贏gent的入侵檢測系統(tǒng)的靈活性保證它可以為保障系統(tǒng)的安全提供混合式的架構(gòu)，綜合運(yùn)用誤用檢測和異常檢測，從而彌補(bǔ)兩者各自的缺陷。返回本章首頁5.3分布式入侵檢測

分布式入侵檢測（DistributedIntrusionDetection）是目前入侵檢測乃至整個網(wǎng)絡(luò)安全領(lǐng)域的熱點之一。到目前為止，還沒有嚴(yán)格意義上的分布式入侵檢測的商業(yè)化產(chǎn)品，但研究人員已經(jīng)提出并完成了多個原型系統(tǒng)。通常采用的方法中，一種是對現(xiàn)有的IDS進(jìn)行規(guī)模上的擴(kuò)展，另一種則通過IDS之間的信息共享來實現(xiàn)。具體的處理方法上也分為兩種：分布式信息收集、集中式處理；分布式信息收集、分布式處理。返回本章首頁5.3.1分布式入侵檢測的優(yōu)勢分布式入侵檢測由于采用了非集中的系統(tǒng)結(jié)構(gòu)和處理方式，相對于傳統(tǒng)的單機(jī)IDS具有一些明顯的優(yōu)勢：（1）檢測大范圍的攻擊行為（2）提高檢測的準(zhǔn)確度（3）提高檢測效率（4）協(xié)調(diào)響應(yīng)措施返回本章首頁（1）檢測大范圍的攻擊行為傳統(tǒng)的基于主機(jī)的IDS只能對單個主機(jī)的行為或狀態(tài)進(jìn)行監(jiān)測，基于網(wǎng)絡(luò)的IDS也僅在單個網(wǎng)段內(nèi)有效，無法應(yīng)對一些針對多主機(jī)、多網(wǎng)段、多管理域的攻擊行為。例如大范圍的脆弱性掃描或拒絕服務(wù)攻擊，由于不能在檢測系統(tǒng)之間實現(xiàn)信息交互，通常無法完成準(zhǔn)確和高效的檢測任務(wù)。分布式入侵檢測則可通過各個檢測組件之間的相互協(xié)作，有效地克服這一缺陷。（2）提高檢測效率分布式入侵檢測實現(xiàn)了針對安全審計數(shù)據(jù)的分布式存儲和分布式計算，不再依賴于系統(tǒng)中惟一的計算資源和存儲資源，可以有效提高系統(tǒng)的檢測效率，減少入侵發(fā)現(xiàn)時間。

（3）提高檢測準(zhǔn)確度不同的入侵檢測數(shù)據(jù)源反映的是系統(tǒng)不同位置、不同角度、不同層次的運(yùn)行特性，可以是系統(tǒng)日志、審計記錄或網(wǎng)絡(luò)包等。傳統(tǒng)IDS為了簡化檢測過程和算法復(fù)雜度，通常采用單一類型數(shù)據(jù)源，以提高系統(tǒng)檢測效率，但同時導(dǎo)致檢測系統(tǒng)數(shù)據(jù)的不完備。此外，檢測引擎如果采用單一算法進(jìn)行數(shù)據(jù)分析，同樣可能導(dǎo)致分析結(jié)果不夠準(zhǔn)確。分布式IDS的各個檢測組件可以分別檢測不同的數(shù)據(jù)源，甚至可以是特定應(yīng)用程序的日志，或者通過人工方式輸入的審計數(shù)據(jù)。各組件可以使用不同的檢測算法，有模式匹配、狀態(tài)分析、統(tǒng)計分析、量化分析等。系統(tǒng)通過對各組件報告的入侵或異常特征，進(jìn)行綜合分析，可以得出更為準(zhǔn)確的判斷結(jié)果。（4）協(xié)調(diào)響應(yīng)措施分布式IDS的各檢測組件分布于受監(jiān)控網(wǎng)絡(luò)的各個位置，一旦系統(tǒng)檢測到攻擊行為，可以根據(jù)攻擊包經(jīng)過的物理路徑采取響應(yīng)措施，例如封鎖攻擊方的網(wǎng)絡(luò)通路、入侵來源追蹤等。即使攻擊者使用網(wǎng)絡(luò)跳轉(zhuǎn)（hop）的方式來隱藏真實IP地址，在檢測系統(tǒng)的監(jiān)控范圍內(nèi)通過對事件數(shù)據(jù)的相關(guān)和聚合，仍然有可能追查到攻擊者的真實來源。

5.3.2分布式入侵檢測的技術(shù)難點與傳統(tǒng)的單機(jī)IDS相比較，分布式入侵檢測系統(tǒng)具有明顯的優(yōu)勢。然而，在實現(xiàn)分布檢測組件的信息共享和協(xié)作上，卻存在著一些技術(shù)難點。

StanfordResearchInstitute（SRI）在對EMERALD系統(tǒng)的研究中，列舉了分布式入侵檢測必須關(guān)注的關(guān)鍵問題：事件產(chǎn)生及存儲、狀態(tài)空間管理及規(guī)則復(fù)雜度、知識庫管理、推理技術(shù)。

返回本章首頁（1）事件產(chǎn)生及存儲即安全事件應(yīng)該在系統(tǒng)的什么位置產(chǎn)生和存儲。在傳統(tǒng)系統(tǒng)中，安全事件的產(chǎn)生、存儲和處理都是集中式的，這種方式在面臨大規(guī)模網(wǎng)絡(luò)時缺乏良好的擴(kuò)展性。分布的大量安全事件數(shù)據(jù)如果仍然采用集中式存儲方式，將導(dǎo)致網(wǎng)絡(luò)流量和存儲需求的劇增。

（2）狀態(tài)空間管理及規(guī)則復(fù)雜度它所關(guān)注的是如何在規(guī)則的復(fù)雜程度和審計數(shù)據(jù)處理要求之間取得平衡。從檢測的準(zhǔn)確性角度，檢測規(guī)則或檢測模型越復(fù)雜，檢測的有效性就越好，但同時也導(dǎo)致了復(fù)雜的狀態(tài)空間管理和分析算法。采用復(fù)雜的規(guī)則集對大量的審計數(shù)據(jù)進(jìn)行處理，會消耗大量的CPU時間和存儲空間，可能降低系統(tǒng)的實時處理能力。反之，如果采用較為簡單的規(guī)則集，可以提高系統(tǒng)處理能力，卻會影響檢測準(zhǔn)確性。（3）知識庫管理知識庫用于存放檢測規(guī)則或檢測模型。在分布式環(huán)境下，知識庫最大的問題在于如何實現(xiàn)快速的規(guī)則升級和分發(fā)。（4）推理技術(shù)即對事件審計數(shù)據(jù)的處理工作應(yīng)該在系統(tǒng)的哪個部分進(jìn)行。對于大范圍的互聯(lián)網(wǎng)絡(luò)，單機(jī)系統(tǒng)無法滿足集中式處理方式所帶來的計算資源、存儲資源和通信資源的需求，這就要求對安全審計數(shù)據(jù)采用分布式處理方式，涉及如何設(shè)計和實現(xiàn)高效的分布式處理算法。（5）其它對于實際網(wǎng)絡(luò)系統(tǒng)和應(yīng)用環(huán)境，還需要考慮其它一些因素，例如：入侵檢測組件間的通信可能占用網(wǎng)絡(luò)帶寬，影響系統(tǒng)的通信能力；網(wǎng)絡(luò)范圍內(nèi)的日志共享導(dǎo)致了安全威脅，攻擊考可以通過網(wǎng)絡(luò)竊聽的方式竊取安全相關(guān)信息；檢測組件之間缺乏標(biāo)準(zhǔn)的事件描述格式；入侵檢測組件的部署配置嚴(yán)重依賴目標(biāo)網(wǎng)絡(luò)，通用性有待提高等。

5.3.3分布式入侵檢測現(xiàn)狀

盡管分布式入侵檢測存在技術(shù)和其它層面的難點，但由于其相對于傳統(tǒng)的單機(jī)IDS所具有的優(yōu)勢，目前已經(jīng)成為這一領(lǐng)域的研究熱點。1．Snortnet它通過對傳統(tǒng)的單機(jī)IDS進(jìn)行規(guī)模上的擴(kuò)展，使系統(tǒng)具備分布式檢測的能力，是基于模式匹配的分布式入侵檢測系統(tǒng)的一個具體實現(xiàn)。主要包括三個組件：網(wǎng)絡(luò)感應(yīng)器、代理守護(hù)程序和監(jiān)視控制臺。返回本章首頁Snortnet采用這種方式構(gòu)建分布式入侵檢測系統(tǒng)，其特點是原理簡單，系統(tǒng)實現(xiàn)非常方便，比較適合作為商業(yè)化產(chǎn)品。但由于其檢測能力仍然依賴于原先的單機(jī)IDS，只是在系統(tǒng)的通信和管理能力上進(jìn)行了改進(jìn)，因此并沒有體現(xiàn)出分布式入侵檢測的真正優(yōu)勢。

2．Agent-Based基于Agent的IDS由于其良好的靈活性和擴(kuò)展性，是分布式入侵檢測的一個重要研究方向。國外一些研究機(jī)構(gòu)在這方面已經(jīng)做了大量工作，其中Purdue大學(xué)的入侵檢測自治代理（AAFID）和SRI的EMERALD最具代表性。

AAFID的體系結(jié)構(gòu)如圖5-10所示，其特點是形成了一個基于代理的分層順序控制和報告結(jié)構(gòu)。

返回本章首頁5.3主要發(fā)展現(xiàn)狀2Agent-BasedAAFID的體系結(jié)構(gòu)如圖所示，其特點是形成了一個基于代理的分層順序控制和報告結(jié)構(gòu)。一臺主機(jī)上可駐留任意數(shù)量的代理，收發(fā)器負(fù)責(zé)監(jiān)控運(yùn)行在主機(jī)上的所有代理，向其發(fā)送開始、停止和重新配置命令，并對代理收集的信息執(zhí)行數(shù)據(jù)精簡，而后向一個或多個監(jiān)控器以及下一級分層報告結(jié)果。AAFID的體系結(jié)構(gòu)允許冗余接收器的匯報，個別監(jiān)視器的失效并不影響入侵檢測系統(tǒng)的性能。監(jiān)視器具有監(jiān)控整個網(wǎng)絡(luò)數(shù)據(jù)的能力，并可以對接收器的結(jié)果執(zhí)行高級聚合，用戶接口用于管理員輸入控制監(jiān)視器的命令。EMERLD系統(tǒng)在形式和功能上與AAFID自動代理相似，其中心組件是EMERLD服務(wù)監(jiān)控器以可編程方式部署在主機(jī)上，執(zhí)行不同功能。由于它將分析語義從分析和響應(yīng)邏輯中分離出來，因此在整個網(wǎng)絡(luò)上更易集成，具有在不同抽象層次上進(jìn)行分析的能力，體現(xiàn)了現(xiàn)代入侵檢測系統(tǒng)的一個重要特征：協(xié)作性。返回本章首頁

3．DIDS

DIDS（DistributedIntrusionDetectionSystem）是由UCDavis的SecurityLab完成的，它集成了兩種已有的入侵檢測系統(tǒng)，Haystack和NSM。前者由TracorAppliedSciencesandHaystack實驗室針對多用戶主機(jī)的檢測任務(wù)而開發(fā)，數(shù)據(jù)源來自主機(jī)的系統(tǒng)日志。NSM則是由UCDavis開發(fā)的網(wǎng)絡(luò)安全監(jiān)視器，通過對數(shù)據(jù)包、連接記錄、應(yīng)用層會話的分析，結(jié)合入侵特征庫和正常的網(wǎng)絡(luò)流或會話記錄的模式庫，判斷當(dāng)前的網(wǎng)絡(luò)行為是否包含入侵或異常。返回本章首頁5.3主要發(fā)展現(xiàn)狀3DIDSDIDS綜合兩者的功能，并在系統(tǒng)結(jié)構(gòu)和檢測技術(shù)上進(jìn)行了改進(jìn)。DIDS由主機(jī)監(jiān)視器、局域網(wǎng)監(jiān)視器和控制器三個組件組成，分析引擎采用基于規(guī)則的專家系統(tǒng)。DIDS系統(tǒng)還提供了一種基于主機(jī)的追蹤機(jī)制，凡是在DIDS監(jiān)測下的主機(jī)都能夠記錄用戶的活動，并且將記錄發(fā)往中心計算節(jié)點進(jìn)行分析，因此DIDS具有入侵追蹤能力。DIDS雖然在結(jié)構(gòu)上引入了分布式的數(shù)據(jù)采集和部分的數(shù)據(jù)分析，但其核心分析功能仍然由單一的中心控制器來完成，因此并不是完全意義上的分布式入侵檢測，其入侵追蹤功能的實現(xiàn)也要求追蹤范圍在系統(tǒng)的監(jiān)控網(wǎng)絡(luò)之內(nèi)，因而不能在互聯(lián)網(wǎng)范圍內(nèi)大規(guī)模部署。

4．GrIDS

GrIDS（Graph-basedIntrusionDetectionSystem）同樣由UCDavis提出并實現(xiàn)，該系統(tǒng)實現(xiàn)了一種在大規(guī)模網(wǎng)絡(luò)中使用圖形化表示的方法來描述網(wǎng)絡(luò)行為的途徑，其設(shè)計目標(biāo)主要針對大范圍的網(wǎng)絡(luò)攻擊，例如掃描、協(xié)同攻擊、網(wǎng)絡(luò)蠕蟲等。GrIDS的缺陷在于只是給出了網(wǎng)絡(luò)連接的圖形化表示，具體的入侵判斷仍然需要人工完成，而且系統(tǒng)的有效性和效率都有待驗證和提高。

返回本章首頁

5．IntrusionStrategy

Boeing公司的Ming-YuhHuang從另一個角度對入侵檢測系統(tǒng)進(jìn)行了研究，針對分布式入侵檢測所存在的問題，他認(rèn)為可以從入侵者的目的（IntrusionIntention），或者是入侵策略（IntrusionStrategy）入手，幫助我們確定如何在不同的IDS組件之間進(jìn)行協(xié)作檢測。對入侵策略的分析可以幫助我們調(diào)整審計策略和參數(shù)，構(gòu)成自適應(yīng)的審計檢測系統(tǒng)。

返回本章首頁5．IntrusionStrategy對入侵策略的分析可以協(xié)助調(diào)整審計策略和參數(shù)，構(gòu)成自適應(yīng)的審計檢測系統(tǒng)。通常，計算機(jī)攻擊事件的，攻擊的序列并不是隨的。攻擊者選擇何種工具以及使用的次序取決于所處的環(huán)境和目標(biāo)系統(tǒng)的響應(yīng)。因此，為了達(dá)到特定攻擊目的，攻擊者通常會按照固定的邏輯順序發(fā)起一系列攻擊行為，這種滿足邏輯偏序關(guān)系的行為可以有效地揭示入侵者的目的。通過入侵策略分析來完成檢測任務(wù)，是入侵檢測領(lǐng)域的重要的研究方向之一。

6．?dāng)?shù)據(jù)融合（DataFusion）

TimmBass提出將數(shù)據(jù)融合（DataFusion）的概念應(yīng)用到入侵檢測中，從而將分布式入侵檢測任務(wù)理解為在層次化模型下對多個感應(yīng)器的數(shù)據(jù)綜合問題。在這個層次化模型中，入侵檢測的數(shù)據(jù)源經(jīng)歷了從數(shù)據(jù)（Data）到信息（Information）再到知識（Knowledge）三個邏輯抽象層次。

入侵檢測數(shù)據(jù)融合的重點在于使用已知的入侵檢測模板和模式識別，與前面介紹的數(shù)據(jù)挖掘不同，數(shù)據(jù)挖掘注重于發(fā)掘先前未發(fā)現(xiàn)的入侵中隱藏的模式，以幫助發(fā)現(xiàn)新的檢測模板。返回本章首頁

7．基于抽象（Abstraction-based）的方法

GMU的PengNing在其博士論文中提出了一種基于抽象（Abstraction-based）的分布式入侵檢測系統(tǒng)，基本思想是設(shè)立中間層（systemview），提供與具體系統(tǒng)無關(guān)的抽象信息，用于分布式檢測系統(tǒng)中的信息共享，抽象信息的內(nèi)容包括事件信息（event）以及系統(tǒng)實體間的斷言（dynamicpredicate）。中間層用于表示IDS間的共享信息時使用的對應(yīng)關(guān)系為：IDS檢測到的攻擊或者IDS無法處理的事件信息作為event，IDS或受IDS監(jiān)控的系統(tǒng)的狀態(tài)則作為dynamicpredicates。

返回本章首頁5.4入侵檢測系統(tǒng)的標(biāo)準(zhǔn)從20世紀(jì)90年代到現(xiàn)在，入侵檢測系統(tǒng)的研發(fā)呈現(xiàn)出百家爭鳴的繁榮局面，并在智能化和分布式兩個方向取得了長足的進(jìn)展。為了提高IDS產(chǎn)品、組件及與其他安全產(chǎn)品之間的互操作性，DARPA和IETF的入侵檢測工作組（IDWG）發(fā)起制訂了一系列建議草案，從體系結(jié)構(gòu)、API、通信機(jī)制、語言格式等方面來規(guī)范IDS的標(biāo)準(zhǔn)。

返回本章首頁5.4.1IETF/IDWG

IDWG（IntrusionDetectionWorkingGroup，入侵檢測工作組）入侵檢測工作組的目標(biāo)是定義數(shù)據(jù)格式和交換信息的程序步驟，這些信息是對于入侵檢測系統(tǒng)、響應(yīng)系統(tǒng)以及那些需要與它們交互作用的管理系統(tǒng)都有重要的意義。入侵檢測工作組與其它IETF組織協(xié)同工作。IDWG的URL地址是：/html.charters/idwg-charter.html。IETF的URL地址是：/。返回本章首頁5.4.1IETF/IDWG

IDWG定義了用于入侵檢測與響應(yīng)（IDR）系統(tǒng)之間或與需要交互的管理系統(tǒng)之間的信息共享所需要的數(shù)據(jù)格式和交換規(guī)程。

IDWG提出了三項建議草案：入侵檢測消息交換格式（IDMEF）、入侵檢測交換協(xié)議（IDXP）以及隧道輪廓（TunnelProfile）。

返回本章首頁5.4.2CIDF

CIDF的工作集中體現(xiàn)在四個方面：IDS的體系結(jié)構(gòu)、通信機(jī)制、描述語言和應(yīng)用編程接口API。

CIDF在IDES和NIDES的基礎(chǔ)上提出了一個通用模型，將入侵檢測系統(tǒng)分為四個基本組件：事件產(chǎn)生器、事件分析器、響應(yīng)單元和事件數(shù)據(jù)庫。其結(jié)構(gòu)如圖5-15所示。所謂事件是指IDS需要分析的數(shù)據(jù)，它可以是網(wǎng)絡(luò)中的數(shù)據(jù)報，或者是系統(tǒng)中的日志，或是其它途徑得來的數(shù)據(jù)。返回本章首頁返回本章首頁5.5入侵檢測系統(tǒng)示例

為了直觀地理解入侵檢測的使用、配置等情況，這里我們以Snort為例，對構(gòu)建以Snort為基礎(chǔ)的入侵檢測系統(tǒng)做概要介紹。

返回本章首頁5.5.1Snort簡介

Snort是一個開放源代碼的免費(fèi)軟件，它基于libpcap的數(shù)據(jù)包嗅探器，并可以作為一個輕量級的網(wǎng)絡(luò)入侵檢測系統(tǒng)（NIDS）。Snort具有很多優(yōu)勢：代碼短小、易于安裝、便于配置。功能十分強(qiáng)大和豐富集成了多種告警機(jī)制支持實時告警功能具有非常好擴(kuò)展能力遵循GPL，可以免費(fèi)使用返回本章首頁5.5.2

Snort的體系結(jié)構(gòu)

Snort在結(jié)構(gòu)上可分為數(shù)據(jù)包捕獲和解碼子系統(tǒng)、檢測引擎，以及日志及報警子系統(tǒng)三個部分。

1．?dāng)?shù)據(jù)包捕獲和解碼子系統(tǒng)該子系統(tǒng)的功能是捕獲共享網(wǎng)絡(luò)的傳輸數(shù)據(jù)，并按照TCP/IP協(xié)議的不同層次將數(shù)據(jù)包解析。

2．檢測引擎檢測引擎是NIDS實現(xiàn)的核心，準(zhǔn)確性和快速性是衡量其性能的重要指標(biāo)。

返回本章首頁

為了能夠快速準(zhǔn)確地進(jìn)行檢測和處理，Snort在檢測規(guī)則方面做了較為成熟的設(shè)計。Snort將所有已知的攻擊方法以規(guī)則的形式存放在規(guī)則庫中，每一條規(guī)則由規(guī)則頭和規(guī)則選項兩部分組成。規(guī)則頭對應(yīng)于規(guī)則樹結(jié)點RTN（RuleTreeNode），包含動作、協(xié)議、源（目的）地址和端口以及數(shù)據(jù)流向，這是所有規(guī)則共有的部分。規(guī)則選項對應(yīng)于規(guī)則選項結(jié)點OTN（OptionalTreeNode），包含報警信息（msg）、匹配內(nèi)容（content）等選項，這些內(nèi)容需要根據(jù)具體規(guī)則的性質(zhì)確定。返回本章首頁

檢測規(guī)則除了包括上述的關(guān)于“要檢測什么”，還應(yīng)該定義“檢測到了該做什么”。Snort定義了三種處理方式：alert（發(fā)送報警信息）、log（記錄該數(shù)據(jù)包）和pass（忽略該數(shù)據(jù)包），并定義為規(guī)則的第一個匹配關(guān)鍵字。這樣設(shè)計的目的是為了在程序中可以組織整個規(guī)則庫，即將所有的規(guī)則按照處理方式組織成三個鏈表，以用于更快速準(zhǔn)確地進(jìn)行匹配。如圖5-17所示。返回本章首頁返回本章首頁

當(dāng)Snort捕獲一個數(shù)據(jù)包時，首先分析該數(shù)據(jù)包使用哪個IP協(xié)議以決定將與某個規(guī)則樹進(jìn)行匹配。然后與RTN結(jié)點依次進(jìn)行匹配，當(dāng)與一個頭結(jié)點相匹配時，向下與OTN結(jié)點進(jìn)行匹配。每個OTN結(jié)點包含一條規(guī)則所對應(yīng)的全部選項，同時包含一組函數(shù)指針，用來實現(xiàn)對這些選項的匹配操作。當(dāng)數(shù)據(jù)包與某個OTN結(jié)點相匹配時，即判斷此數(shù)據(jù)包為攻擊數(shù)據(jù)包。具體流程見圖5-18所示。返回本章首頁返回本章首頁3．日志及報警子系統(tǒng)

一個好的NIDS，更應(yīng)該提供友好的輸出界面或發(fā)聲報警等。Snort是一個輕量級的NIDS，它的另外一個重要功能就是數(shù)據(jù)包記錄器，它主要采取用TCPDUMP的格式記錄信息、向syslog發(fā)送報警信息和以明文形式記錄報警信息三種方式。值得提出的是，Snort在網(wǎng)絡(luò)數(shù)據(jù)流量非常大時，可以將數(shù)據(jù)包信息壓縮從而實現(xiàn)快速報警。

返回本章首頁5.5.3

Snort的安裝與使用1.Snort安裝模式Snort可簡單安裝為守護(hù)進(jìn)程模式，也可安裝為包括很多其他工具的完整的入侵檢測系統(tǒng)。簡單方式安裝時，可以得到入侵?jǐn)?shù)據(jù)的文本文件或二進(jìn)制文件，然后用文本編輯器等工具進(jìn)行查看。Snort若與其它工具一起安裝，則可以支持更為復(fù)雜的操作。例如，將Snort數(shù)據(jù)發(fā)送給數(shù)據(jù)庫系統(tǒng)，從而支持通過Web界面進(jìn)行數(shù)據(jù)分析，以增強(qiáng)對Snort捕獲數(shù)據(jù)的直觀認(rèn)識，避免耗費(fèi)大量時間查閱晦澀的日志文件。返回本章首頁

2．Snort的簡單安裝Snort的安裝程序可以在Snort官方網(wǎng)站上獲取。（1）安裝SnortSnort必須要有l(wèi)ibpcap庫的支持，在安裝前需確認(rèn)系統(tǒng)已經(jīng)安裝了libpcap庫。[root@mailsnort-2.8.0]#./configure--enable-dynamicplugin[root@mailsnort-2.8.0]#make[root@mailsnort-2.8.0]#makeinstall返回本章首頁（2）更新Snort規(guī)則下載最新的規(guī)則文件snortrules-snapshot-CURRENT.tar.gz。其中，CURRENT表示最新的版本號。[root@mailsnort]#mkdir/etc/snort[