《計(jì)算機(jī)系統(tǒng)安全》課件第13章

第13章入侵檢測(cè)的方法與技術(shù)13.1入侵檢測(cè)技術(shù)概述13.2入侵的主要方法和手段13.3入侵檢測(cè)技術(shù)的基礎(chǔ)知識(shí)13.4入侵檢測(cè)系統(tǒng)的關(guān)鍵技術(shù)13.5入侵檢測(cè)的描述、評(píng)測(cè)與部署13.6入侵檢測(cè)系統(tǒng)的發(fā)展趨勢(shì)和研究方向習(xí)題

13.1入侵檢測(cè)技術(shù)概述13.1.1入侵檢測(cè)技術(shù)概述近年來隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展和網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，系統(tǒng)遭受的入侵和攻擊越來越多，網(wǎng)絡(luò)與信息安全問題變得越來越突出。

在網(wǎng)絡(luò)與信息安全策略中引入入侵檢測(cè)系統(tǒng)的第二個(gè)原因是其他安全策略不能完成網(wǎng)絡(luò)安全的所有保護(hù)功能?，F(xiàn)在的網(wǎng)絡(luò)安全策略主要有數(shù)據(jù)加密、信息隱藏、身份識(shí)別和驗(yàn)證、防火墻、入侵檢測(cè)、物理隔離等。13.1.2入侵檢測(cè)的安全任務(wù)網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)的概念，有效的安全策略或方案的制定，是網(wǎng)絡(luò)信息安全的首要任務(wù)。入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的,它能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異常的現(xiàn)象，是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)中違反安全策略行為的技術(shù)。入侵檢測(cè)系統(tǒng)的應(yīng)用，可以在系統(tǒng)遭到破壞前檢測(cè)到入侵攻擊，并利用報(bào)警與防護(hù)系統(tǒng)響應(yīng)攻擊，從而減少入侵攻擊造成的損失。

一般來說，一個(gè)網(wǎng)絡(luò)系統(tǒng)的安全需求主要體現(xiàn)在以下三方面：

(1)機(jī)密性（Confidentiality）。

(2)完整性（Integrity）。

(3)可用性（Availability）。13.1.3入侵檢測(cè)系統(tǒng)的歷史入侵檢測(cè)系統(tǒng)的概念是由Anderson于1980年提出來的，20年來，入侵檢測(cè)系統(tǒng)經(jīng)歷了不少變化，得到了比較大的發(fā)展。下面是入侵檢測(cè)系統(tǒng)發(fā)展歷史中比較重要的事件。

20世紀(jì)70年代，美國等發(fā)達(dá)國家就開始了對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)遭受攻擊進(jìn)行防范的研究，審計(jì)跟蹤是當(dāng)時(shí)的主要方法。

1980年4月，JamesP.Anderson為美國空軍做了一份題為《ComputerSecurityThreatMonitoringandSurveillance》(“計(jì)算機(jī)安全威脅監(jiān)控與監(jiān)視”)的技術(shù)報(bào)告，第一次詳細(xì)闡述了入侵檢測(cè)的概念。他提出了一種對(duì)計(jì)算機(jī)系統(tǒng)風(fēng)險(xiǎn)和威脅的分類方法，并將威脅分為外部滲透、內(nèi)部滲透和不法行為三種，還提出了利用審計(jì)跟蹤數(shù)據(jù)，監(jiān)視入侵活動(dòng)的思想，這份報(bào)告被公認(rèn)為是入侵檢測(cè)的開山之作。

1984～1986年，喬治頓大學(xué)的DorothyDenning和SRI/CSL(SRI公司計(jì)算機(jī)科學(xué)實(shí)驗(yàn)室)的PeterNeumann研究出了一個(gè)實(shí)時(shí)入侵檢測(cè)系統(tǒng)模型，取名為IDES(入侵檢測(cè)專家系統(tǒng))。該模型由六個(gè)部分組成：主體、對(duì)象、審計(jì)記錄、輪廓特征、異常記錄和活動(dòng)規(guī)則。它獨(dú)立于特定的系統(tǒng)平臺(tái)、應(yīng)用環(huán)境、系統(tǒng)弱點(diǎn)以及入侵類型，為構(gòu)建入侵檢測(cè)系統(tǒng)提供了一個(gè)通用的框架。1987年，Denning提出了一個(gè)經(jīng)典的異常檢測(cè)抽象模型，首次將入侵檢測(cè)作為一種計(jì)算機(jī)系統(tǒng)安全的防御措施提出。他的論文《Anintrusiondetectionmodel》被認(rèn)為是另一篇入侵檢測(cè)的奠基之作。

1988年MorrisInternet蠕蟲事件促使了許多IDS系統(tǒng)的開發(fā)研究。1988年SRI/CSL的TeresaLunt等人改進(jìn)了Denning的入侵檢測(cè)模型，并開發(fā)出一個(gè)IDES，該系統(tǒng)包括一個(gè)異常檢測(cè)器和一個(gè)專家系統(tǒng)，分別用于統(tǒng)計(jì)異常模型的建立和基于規(guī)則的特征分析檢測(cè)。1990年是入侵檢測(cè)系統(tǒng)發(fā)展史上的一個(gè)分水嶺，這一年，加州大學(xué)戴維斯分校的L.T.Heberlein等人開發(fā)出了NSM(NetworkSecurityMonitor)，該系統(tǒng)第一次直接將網(wǎng)絡(luò)數(shù)據(jù)流作為審計(jì)數(shù)據(jù)來源，因而可以在不將審計(jì)數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一格式的情況下監(jiān)控異種主機(jī)。從此之后，入侵檢測(cè)系統(tǒng)發(fā)展史翻開了新的一頁，兩大陣營正式形成：基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)和基于主機(jī)的入侵檢測(cè)系統(tǒng)。

1991年，美國空軍等多部門進(jìn)行聯(lián)合，開展對(duì)分布式入侵檢測(cè)系統(tǒng)(DIDS)的研究，首次將基于主機(jī)和基于網(wǎng)絡(luò)的檢測(cè)方法集成到一起。DIDS是分布式入侵檢測(cè)系統(tǒng)歷史上的一個(gè)里程碑式的產(chǎn)品。

1994年，Markcrosbie和GeneSpafford建議使用自治代理(autonomousagents)以便提高入侵檢測(cè)系統(tǒng)的可伸縮性、可維護(hù)性、效率和容錯(cuò)性。

1994年，Markcrosbie和GeneSpafford建議使用自治代理(autonomousagents)以便提高入侵檢測(cè)系統(tǒng)的可伸縮性、可維護(hù)性、效率和容錯(cuò)性。

1996年開始提出的GrIDS(GraphbasedIntrusionDetectionSystem)的設(shè)計(jì)和實(shí)現(xiàn)，解決了入侵檢測(cè)系統(tǒng)伸縮性不足的問題，該系統(tǒng)使得對(duì)大規(guī)模自動(dòng)或協(xié)同攻擊的檢測(cè)更為便利。

1997年MarkCrosbie和GeneSpafford將遺傳算法運(yùn)用到入侵檢測(cè)中，學(xué)者們陸續(xù)將神經(jīng)網(wǎng)絡(luò)、模糊識(shí)別、免疫系統(tǒng)、數(shù)據(jù)挖掘和協(xié)議分析等方法應(yīng)用到入侵檢測(cè)中，目前這些方法多數(shù)都處在理論研究階段。13.2入侵的主要方法和手段

12.3.1主要漏洞漏洞是指系統(tǒng)硬件、操作系統(tǒng)、軟件、網(wǎng)絡(luò)協(xié)議、數(shù)據(jù)庫等在設(shè)計(jì)、實(shí)現(xiàn)上出現(xiàn)的可以被攻擊者利用的錯(cuò)誤、缺陷和疏漏。通俗一點(diǎn)說，漏洞就是可以被攻擊者利用的系統(tǒng)弱點(diǎn)。1.設(shè)計(jì)上的缺陷在進(jìn)行軟、硬件及協(xié)議設(shè)計(jì)時(shí)，難免會(huì)有考慮不周的地方，這就使得軟、硬件和協(xié)議在結(jié)構(gòu)、功能等方面存在缺陷和疏漏。即使有些軟、硬件和協(xié)議在設(shè)計(jì)時(shí)沒有漏洞，隨著新的需求不斷增加，使用場(chǎng)合不斷變化，也可能會(huì)出現(xiàn)不能適應(yīng)新環(huán)境、新需求的缺陷和疏漏。

2.操作系統(tǒng)的漏洞現(xiàn)在的操作系統(tǒng)，無論是Windows還是UNIX和Linux，都存在著漏洞。這些漏洞有的是因?yàn)樵O(shè)計(jì)時(shí)考慮不周，有的是因?yàn)榇a的編寫錯(cuò)誤，還有的是因?yàn)樵跈?quán)限管理和系統(tǒng)保密等方面不夠完善。無論是哪一種，都對(duì)系統(tǒng)的安全構(gòu)成很大威脅。3.軟件的錯(cuò)誤、缺陷和漏洞軟件在編寫過程中總難免有漏洞。比如在內(nèi)存分配、變量賦值、出錯(cuò)處理等方面，在正常的使用情況下不會(huì)出問題，但若隨意分配內(nèi)存、任意賦值，系統(tǒng)就有可能因資源耗竭、緩沖器溢出等原因癱瘓和崩潰。4.數(shù)據(jù)庫的安全漏洞數(shù)據(jù)庫是數(shù)據(jù)的存儲(chǔ)和管理系統(tǒng)。在進(jìn)行數(shù)據(jù)庫設(shè)計(jì)和代碼實(shí)現(xiàn)時(shí)，以及在用戶對(duì)數(shù)據(jù)庫進(jìn)行配置和使用時(shí)，都可能出現(xiàn)疏漏和錯(cuò)誤。而數(shù)據(jù)庫系統(tǒng)存放的數(shù)據(jù)往往比計(jì)算機(jī)系統(tǒng)本身的價(jià)值大很多，因此，數(shù)據(jù)庫的安全問題不容忽視。5.用戶的管理漏洞這是一種常見的情況。雖然這種情況的發(fā)生往往是由于人為的原因，但這種疏忽卻非常普遍。管理人員疏忽、安全防范意識(shí)不強(qiáng)和管理人員能力低下，都可能成為管理上的漏洞。比如管理人員疏忽大意，造成口令泄露、重要資料被竊或因管理人員水平較低，造成系統(tǒng)配置錯(cuò)誤等。13.2.2入侵系統(tǒng)的主要途徑入侵者一般可以分為兩類：內(nèi)部的和外部的。下面介紹入侵者進(jìn)入系統(tǒng)的主要途徑。

1.物理侵入物理侵入是指一個(gè)入侵者對(duì)主機(jī)有物理進(jìn)入權(quán)限或能夠直接接觸到主機(jī)，比如他們能夠使用鍵盤，有權(quán)移走硬盤。這種入侵方法比較普遍，也比較有效。2.系統(tǒng)侵入系統(tǒng)侵入表現(xiàn)為入侵者已經(jīng)擁有了較低權(quán)限的系統(tǒng)用戶身份，如果系統(tǒng)沒有打最新的漏洞補(bǔ)丁，就會(huì)給入侵者提供一個(gè)利用知名漏洞獲取系統(tǒng)管理員權(quán)限的機(jī)會(huì)。

3.遠(yuǎn)程侵入遠(yuǎn)程侵入是指入侵者通過網(wǎng)絡(luò)遠(yuǎn)程進(jìn)入系統(tǒng)。比如通過植入木馬實(shí)現(xiàn)對(duì)目標(biāo)主機(jī)的控制，遠(yuǎn)程發(fā)起對(duì)目標(biāo)主機(jī)的攻擊等。13.2.3主要的攻擊方法現(xiàn)有的系統(tǒng)攻擊方法主要有以下幾種：

1.目標(biāo)探測(cè)和信息收集為了實(shí)現(xiàn)攻擊，入侵者一般會(huì)首先在網(wǎng)絡(luò)上掃描可以攻擊的主機(jī)和可以利用的端口并收集這些目標(biāo)主機(jī)的相關(guān)信息。掃描的類型主要有：地址掃描、端口掃描、漏洞掃描。高級(jí)的掃描技術(shù)主要有：半開方掃描、FIN掃描、反向映射、慢速掃描、亂序掃描等。

2.緩沖區(qū)溢出攻擊目前很多攻擊都屬于緩沖區(qū)溢出攻擊，它主要是利用程序設(shè)計(jì)上的漏洞，比如不執(zhí)行數(shù)組邊界檢查和類型安全檢查，以不安全的方式訪問或復(fù)制緩沖區(qū)等，故意輸入錯(cuò)誤的數(shù)據(jù)，錯(cuò)誤的使用程序，使系統(tǒng)為程序變量、數(shù)組等分配的緩沖區(qū)出現(xiàn)溢出錯(cuò)誤，從而使系統(tǒng)崩潰或使自己獲得超級(jí)用戶的權(quán)限。面舉例說明：

intmain(intargc,char**argv){charbuffer［128］;strcpy(buffer,argv［1］);}

3.拒絕服務(wù)攻擊（DoS，DenialofService）拒絕服務(wù)攻擊也是入侵者常用的一種攻擊手段，它通過搶占目標(biāo)主機(jī)系統(tǒng)資源，使得系統(tǒng)過載或崩潰，從而達(dá)到阻止合法用戶使用系統(tǒng)的目的。比如在1996年出現(xiàn)的SYN風(fēng)暴拒絕服務(wù)攻擊，它是通過創(chuàng)建大量“半連接”來進(jìn)行攻擊，其攻擊的本質(zhì)是利用了TCP/IP協(xié)議的弱點(diǎn)和缺陷。圖13-1SYN風(fēng)暴拒絕服務(wù)攻擊原理圖4.Web攻擊

Web攻擊是利用CGI、Web服務(wù)器、Web瀏覽器等中存在的安全漏洞，通過一些攻擊手段,達(dá)到損害系統(tǒng)安全而使系統(tǒng)崩潰的目的。

5.使用木馬網(wǎng)絡(luò)安全中的“木馬”一詞源于荷馬史詩中的“特洛伊木馬”的故事，將一隊(duì)士兵藏在一個(gè)大木馬中，混進(jìn)特洛伊城中，晚上悄悄出來，奪取勝利。6.計(jì)算機(jī)病毒攻擊計(jì)算機(jī)病毒攻擊主要是使用可以瘋狂地自我復(fù)制的病毒（如蠕蟲病毒），使系統(tǒng)和網(wǎng)絡(luò)資源很快耗盡，從而達(dá)到使系統(tǒng)崩潰和網(wǎng)絡(luò)癱瘓的目的。

7.對(duì)郵件系統(tǒng)攻擊這些攻擊方法是專門針對(duì)郵件系統(tǒng)的，它主要是通過使用郵件群發(fā)軟件，大量地向一個(gè)郵箱或一個(gè)郵件系統(tǒng)發(fā)送郵件，從而占滿郵箱的使用空間，耗盡郵件系統(tǒng)的資源，導(dǎo)致郵件系統(tǒng)崩潰。

8.其他攻擊方法還有一些其他的攻擊方法，如口令竊取、邏輯炸彈等。13.3入侵檢測(cè)技術(shù)的基礎(chǔ)知識(shí)13.3.1入侵檢測(cè)系統(tǒng)要實(shí)現(xiàn)的功能作為入侵檢測(cè)系統(tǒng)，至少應(yīng)該完成以下功能:1.監(jiān)控、分析用戶和系統(tǒng)的活動(dòng)這是入侵檢測(cè)系統(tǒng)能夠完成入侵檢測(cè)任務(wù)的前提條件。入侵檢測(cè)系統(tǒng)通過獲取進(jìn)出某臺(tái)主機(jī)的數(shù)據(jù)或整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)，或者通過查看主機(jī)的日志等信息來實(shí)現(xiàn)對(duì)用戶和系統(tǒng)活動(dòng)的監(jiān)控。

2.發(fā)現(xiàn)入侵企圖和異常現(xiàn)象這是入侵檢測(cè)系統(tǒng)的核心功能，主要包括兩個(gè)方面：一是對(duì)進(jìn)出網(wǎng)絡(luò)和主機(jī)的數(shù)據(jù)流進(jìn)行監(jiān)控，看是否存在對(duì)系統(tǒng)的入侵行為；另一個(gè)是評(píng)估系統(tǒng)的關(guān)鍵資源和數(shù)據(jù)文件的完整性，看系統(tǒng)是否已經(jīng)遭受了入侵。前者的作用是在入侵行為發(fā)生時(shí)及時(shí)發(fā)現(xiàn)，從而避免系統(tǒng)遭受攻擊，而后者一般是在系統(tǒng)遭受攻擊后，通過攻擊行為留下的痕跡了解攻擊行為的一些情況，從而避免再次遭受攻擊。3.記錄、報(bào)警和響應(yīng)入侵檢測(cè)系統(tǒng)在檢測(cè)到攻擊后，應(yīng)該采取相應(yīng)的措施來阻止攻擊或響應(yīng)攻擊。入侵檢測(cè)系統(tǒng)作為一種主動(dòng)防御策略，必須具備此功能。入侵檢測(cè)系統(tǒng)應(yīng)該首先記錄攻擊的基本情況，其次應(yīng)該能夠及時(shí)發(fā)出報(bào)警。好的入侵檢測(cè)系統(tǒng)，不僅應(yīng)該能夠把相關(guān)數(shù)據(jù)記錄在文件中或數(shù)據(jù)庫中，還應(yīng)該提供好的報(bào)表打印功能。13.3.2入侵檢測(cè)系統(tǒng)的基本構(gòu)成從功能的角度看，一個(gè)入侵檢測(cè)系統(tǒng)通常包括以下一些組件:(1)事件產(chǎn)生器。

(2)事件分析器。

(3)事件數(shù)據(jù)庫。

(4)響應(yīng)單元。圖13-2入侵檢測(cè)系統(tǒng)的基本構(gòu)成圖13.3.3入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)從具體實(shí)現(xiàn)的角度看，入侵檢測(cè)系統(tǒng)至少應(yīng)該包括四大模塊：數(shù)據(jù)收集模塊、通信模塊、入侵檢測(cè)模塊和反應(yīng)模塊。其中信息收集模塊與特定的環(huán)境和監(jiān)視的對(duì)象有比較密切的關(guān)系；通信模塊是對(duì)所收集到的數(shù)據(jù)進(jìn)行預(yù)處理和分類，然后把處理的結(jié)果按照一定的格式傳輸給檢測(cè)它的模塊；最后由檢測(cè)判斷模塊根據(jù)一定的安全策略判斷入侵行為并采取相應(yīng)的防御或反擊。

除了要識(shí)別眾多的攻擊特征之外，一個(gè)大型的入侵檢測(cè)系統(tǒng)還應(yīng)該具備自我更新、對(duì)網(wǎng)絡(luò)行為詳細(xì)日志記錄的保留和統(tǒng)計(jì)分析等功能。因此，一個(gè)完整的檢測(cè)系統(tǒng)應(yīng)該具有數(shù)據(jù)收集模塊、通信模塊、檢測(cè)模塊、數(shù)據(jù)庫模塊和管理模塊等。這些模塊之間的關(guān)系如圖13-3所示。圖13-3入侵檢測(cè)系統(tǒng)的功能模塊圖

與傳統(tǒng)的入侵檢測(cè)系統(tǒng)相比較，大規(guī)模網(wǎng)絡(luò)環(huán)境下的分布式入侵檢測(cè)系統(tǒng)具有一些新的特征：

(1)分布分析（DistributedAnalysis）。

(2)負(fù)載平衡（LoadBalancing）。

(3)靈活性（Complexity)。

(4)允許動(dòng)態(tài)配置（DynamicConfigurable）。

(5)協(xié)同性（Cooperative）。

(6)任務(wù)分派和數(shù)據(jù)融合（TaskDispatchandDataFusion)。(7)可伸縮性和可擴(kuò)展性（ScalabilityandExpandability)。

(8)安全與可靠性（SecurityandReliability)。

(9)互操作性（Interoperability)。13.3.4入侵檢測(cè)系統(tǒng)的分類從不同的側(cè)面，按照不同的分類標(biāo)準(zhǔn)，可以將入侵檢測(cè)系統(tǒng)分為不同的類別。圖13-4所示為幾種常用的分類方法。圖13-4入侵檢測(cè)系統(tǒng)的分類(1)按照控制策略分類：控制策略描述了入侵檢測(cè)系統(tǒng)的各個(gè)元素是如何控制的，以及入侵檢測(cè)系統(tǒng)的輸入和輸出是如何管理的。

(2)按照響應(yīng)方式分類：按照響應(yīng)方式的不同，入侵檢測(cè)系統(tǒng)可以劃分為主動(dòng)響應(yīng)入侵檢測(cè)系統(tǒng)和被動(dòng)響應(yīng)入侵檢測(cè)系統(tǒng)。

(3)按照信息源分類：按照信息源的不同，入侵檢測(cè)系統(tǒng)主要可以分為基于主機(jī)的入侵檢測(cè)系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)，這是目前最通用的入侵檢測(cè)系統(tǒng)的劃分方法。(4)按照入侵分析方法分類：按照入侵分析方法,入侵檢測(cè)系統(tǒng)可以劃分為誤用檢測(cè)型入侵檢測(cè)系統(tǒng)和異常檢測(cè)型入侵檢測(cè)系統(tǒng)。13.4入侵檢測(cè)系統(tǒng)的關(guān)鍵技術(shù)13.4.1入侵檢測(cè)系統(tǒng)的信息源

1.基于主機(jī)的信息源

(1)系統(tǒng)運(yùn)行狀態(tài)信息。

(2)系統(tǒng)記賬信息。

(3)系統(tǒng)日志（Syslog）。

(4)C2級(jí)的安全性審計(jì)信息。2．基于網(wǎng)絡(luò)的數(shù)據(jù)源基于網(wǎng)絡(luò)的數(shù)據(jù)源主要包括：SNMP信息和網(wǎng)絡(luò)數(shù)據(jù)包。

(1)SNMP信息。

(2)網(wǎng)絡(luò)數(shù)據(jù)包。

3.應(yīng)用程序的日志文件系統(tǒng)應(yīng)用服務(wù)器化的趨勢(shì)，使得應(yīng)用程序的日志文件在入侵檢測(cè)系統(tǒng)的分析數(shù)據(jù)源中具有相當(dāng)重要的地位。與系統(tǒng)審計(jì)跡和網(wǎng)絡(luò)通信包相比，使用應(yīng)用程序的日志文件具有三方面優(yōu)勢(shì)。(1)精確性（Accuracy）：C2審計(jì)數(shù)據(jù)和網(wǎng)絡(luò)包必須經(jīng)過數(shù)據(jù)預(yù)處理，才能使入侵檢測(cè)系統(tǒng)了解應(yīng)用程序的相關(guān)信息。

(2)完整性（Completeness）：使用C2審計(jì)數(shù)據(jù)或網(wǎng)絡(luò)數(shù)據(jù)包時(shí)，為了重建應(yīng)用層的會(huì)話，需要對(duì)多個(gè)審計(jì)調(diào)用或網(wǎng)絡(luò)通信包進(jìn)行重組（特別是在多主機(jī)系統(tǒng)中）。

(3)性能（Performance）：通過應(yīng)用程序選擇與安全相關(guān)的信息，使得系統(tǒng)的信息收集機(jī)制的開銷遠(yuǎn)小于利用安全審計(jì)跡的情況。

使用應(yīng)用程序日志文件的缺點(diǎn)：

(1)只有當(dāng)系統(tǒng)能夠正常寫應(yīng)用程序日志文件時(shí)，利用應(yīng)用程序日志的檢測(cè)方法才能夠檢測(cè)到對(duì)系統(tǒng)的攻擊行為。

(2)許多入侵攻擊只是針對(duì)系統(tǒng)軟件低層協(xié)議中的安全漏洞，諸如網(wǎng)絡(luò)驅(qū)動(dòng)程序、IP協(xié)議等。

4.其他入侵檢測(cè)系統(tǒng)報(bào)警信息隨著網(wǎng)絡(luò)技術(shù)和分布式系統(tǒng)的發(fā)展，入侵檢測(cè)系統(tǒng)也從針對(duì)主機(jī)系統(tǒng)轉(zhuǎn)向針對(duì)網(wǎng)絡(luò)和分布式系統(tǒng)。基于網(wǎng)絡(luò)、分布式環(huán)境的檢測(cè)系統(tǒng)為了覆蓋較大的范圍，一般采用的分層結(jié)構(gòu)，用許多局部的入侵檢測(cè)系統(tǒng)（可以是傳統(tǒng)的基于主機(jī)的入侵檢測(cè)系統(tǒng)）進(jìn)行局部的檢測(cè)，然后把局部檢測(cè)結(jié)果匯報(bào)給上層的檢測(cè)系統(tǒng)，而且各局部入侵檢測(cè)系統(tǒng)也可采用其他局部入侵檢測(cè)系統(tǒng)的結(jié)果作為參考，以彌補(bǔ)不同檢測(cè)機(jī)制的入侵檢測(cè)系統(tǒng)的不足。13.4.2入侵檢測(cè)技術(shù)

1.模式匹配模式匹配的方法用于誤用檢測(cè)。它先建立一個(gè)攻擊特征庫，然后檢查發(fā)送過來的數(shù)據(jù)是否包含這些攻擊特征。這是最傳統(tǒng)最簡(jiǎn)單的入侵檢測(cè)方法。

2.統(tǒng)計(jì)模型統(tǒng)計(jì)模型用于異常檢測(cè)，它通過設(shè)置極限閾值等方法，將檢測(cè)數(shù)據(jù)與已有的正常行為比較，如果超出極限值，就認(rèn)為是入侵行為。

3.專家系統(tǒng)專家系統(tǒng)主要針對(duì)誤用檢測(cè)。專家系統(tǒng)的建立依賴于知識(shí)庫的完備性，知識(shí)庫的完備性又取決于審計(jì)記錄的完備性與實(shí)時(shí)性。在專家系統(tǒng)中，審計(jì)事件被表述成有語義的事實(shí)，推理引擎根據(jù)這些規(guī)則和事實(shí)進(jìn)行判定。入侵特征的提取與表達(dá)是該檢測(cè)方法的關(guān)鍵。

4.神經(jīng)網(wǎng)絡(luò)神經(jīng)網(wǎng)絡(luò)具有自適應(yīng)、自組織、自學(xué)習(xí)的能力，可以處理一些環(huán)境信息復(fù)雜、背景知識(shí)不清楚的問題。有學(xué)者把神經(jīng)網(wǎng)絡(luò)技術(shù)也用于入侵檢測(cè)系統(tǒng)，以檢測(cè)未知攻擊。5.模糊系統(tǒng)模糊理論在知識(shí)和規(guī)則獲取中具有重要作用。人類思維、語言具有模糊性。模糊思維形式和語言表達(dá)具有廣泛、完美和高效的特征。

6.遺傳算法遺傳算法能在搜索過程中自動(dòng)獲得和積累有關(guān)搜索空間的知識(shí)，并自適應(yīng)地控制搜索過程，從而得到最優(yōu)解或次優(yōu)解。遺傳算法的主要特點(diǎn)是簡(jiǎn)單、通用、魯棒性強(qiáng)，適用于并行分布處理，應(yīng)用范圍比較廣。

7.免疫系統(tǒng)有的學(xué)者在研究中注意到：計(jì)算機(jī)系統(tǒng)的保護(hù)機(jī)制和生物免疫系統(tǒng)之間有著顯著的相似性，即兩個(gè)系統(tǒng)運(yùn)行的關(guān)鍵是執(zhí)行“自己”和“異己”識(shí)別的能力，也就是說，一個(gè)組織的免疫系統(tǒng)能夠決定哪些東西是無害的，哪些東西是有害的。8.數(shù)據(jù)挖掘數(shù)據(jù)挖掘是數(shù)據(jù)庫中的一項(xiàng)技術(shù)，它的作用就是從大型數(shù)據(jù)中抽取知識(shí)。對(duì)于入侵檢測(cè)系統(tǒng)來說，也需要從大量的數(shù)據(jù)中提取出入侵的特征。

9.數(shù)據(jù)融合數(shù)據(jù)融合技術(shù)通過綜合來自多個(gè)不同的傳感器或數(shù)據(jù)源的數(shù)據(jù)，對(duì)有關(guān)事件、行為以及狀態(tài)進(jìn)行分析和推論。10.協(xié)議分析協(xié)議分析是新一代IDS系統(tǒng)探測(cè)攻擊的主要技術(shù)，它利用網(wǎng)絡(luò)協(xié)議的高度規(guī)則性快速探測(cè)攻擊的存在。協(xié)議分析技術(shù)的提出彌補(bǔ)了模式匹配技術(shù)的一些不足，比如工作量大、探測(cè)準(zhǔn)確度低等。13.4.3入侵響應(yīng)技術(shù)

在入侵檢測(cè)系統(tǒng)檢測(cè)到入侵攻擊后，就要對(duì)入侵行為做出相應(yīng)的處理，這在入侵檢測(cè)處理模型中稱為入侵響應(yīng)。按照響應(yīng)的內(nèi)容，入侵響應(yīng)可分為三類：系統(tǒng)保護(hù)、動(dòng)態(tài)策略和入侵對(duì)抗。

1.主動(dòng)響應(yīng)主動(dòng)響應(yīng)能夠阻止正在進(jìn)行的攻擊，使得攻擊者不能夠繼續(xù)訪問。更為主動(dòng)的響應(yīng)則是IDS系統(tǒng)在檢測(cè)到攻擊時(shí)會(huì)對(duì)攻擊者進(jìn)行反擊，這種響應(yīng)存在法律上的風(fēng)險(xiǎn)，有可能影響網(wǎng)絡(luò)上的無辜用戶，應(yīng)該謹(jǐn)慎采用。下面我們介紹幾種常用的主動(dòng)響應(yīng)技術(shù)。(1)撤銷連接。(2)斷路響應(yīng)。(3)SYN/ACK（SYN包/應(yīng)答響應(yīng)）。(4)屏蔽發(fā)生內(nèi)部濫用的主機(jī)。2.被動(dòng)響應(yīng)技術(shù)(1)自動(dòng)通知。(2)隔離技術(shù)。13.4.4安全部件互動(dòng)協(xié)議和接口標(biāo)準(zhǔn)

1.統(tǒng)一模型語言UMLUML提供了一種簡(jiǎn)單的結(jié)構(gòu)來表示實(shí)體及其相互關(guān)系。UML把實(shí)體定義為類，每種類都有自己的屬性。IDMEF模型只采用UML定義的兩種關(guān)系：繼承和聚合。2.XML文檔類型定義DTDXMLDTD定義文檔使用的標(biāo)志，包括元素、屬性和實(shí)體模式。元素是文檔標(biāo)志的主要部分，元素聲明定義了文檔組成部分的名稱及內(nèi)容，例如：<!ELEMENT書（前言，章節(jié)，附錄，參考文獻(xiàn)，索引）>

屬性聲明定義了要用到的各屬性的名稱、內(nèi)容類型和屬性類型。例如：

<!ATTLIST書書名CDATA＃REQUIRED

作者CDATA＃REQUIRED>3.XML文檔這部分內(nèi)容在前面章節(jié)已經(jīng)介紹過，這里不再贅述。在IDMEF數(shù)據(jù)模型中主要定義了三種類：報(bào)文類（IDMEFMessage）、警報(bào)類（Alerts）和心跳類（Heartbeats）。報(bào)文類是所有IDMEF報(bào)文的最高級(jí)別的類，其他類型的報(bào)文都是它的子類。目前，IDMEF只定義了兩種報(bào)文：警報(bào)（Alert）和心跳（Heartbeats）。(1)IDMEFMessage在IDMEFDTD中的聲明如下：

<!ENTITY%attlist.idmef″versionCDATA＃FIXED′1.0′″><!ELEMENTIDMEFMessage(l(Alert|Heartbeat)*)><!ATTLISTIDMEFMessage%attlist.idmef;>(2)警報(bào)類。每當(dāng)分析器探測(cè)到它所尋找的事件時(shí)，就發(fā)送警報(bào)報(bào)文給控制器。警報(bào)類由幾個(gè)集合類組成，并且有3個(gè)子類：工具警報(bào)類（ToolAlert）、相互關(guān)系警報(bào)類（CorrelationAlert）和溢出警報(bào)類（OverflowAlert）。警報(bào)類在IDMEFDTD中聲明如下：

<!ELEMENTAlert(Analyzer,CreateTime,DetectTime?,AnalyzerTime?,Source*,Target*,Classification,Assessment?,(ToolAlert|OverflowAlert|CorrelationAlert)?,AdditionalData*)><!ATTLISTAlertidentCDATA'0'>(3)心跳類。分析器使用心跳類向控制器指示它們當(dāng)前的狀態(tài)，每隔一段時(shí)間發(fā)送一次，比如每隔10分鐘或每隔1小時(shí)。心跳類在IDMEFDTD中聲明如下：

<!ELEMENTHeartbeat(Analyzer,CreateTime,DetectTime?,AdditionalData*)><!ATTLISTHeartbeatidentCDATA′0′>13.4.5代理和移動(dòng)代理技術(shù)

1.代理(Agent)

代理最早起源于人工智能，是軟件應(yīng)用里的一個(gè)新領(lǐng)域，現(xiàn)被廣泛地應(yīng)用于人工智能、網(wǎng)絡(luò)管理、軟件工程等領(lǐng)域，存在著自動(dòng)代理、智能代理、軟件代理等多種叫法，要給它下一個(gè)統(tǒng)一的定義是很困難的，因?yàn)樗粌H是一個(gè)技術(shù)概念，還是一個(gè)比喻。

2.代理的特征

·自治性(Autonomy)：代理的動(dòng)作和行為是根據(jù)自身的知識(shí)、內(nèi)部狀態(tài)和對(duì)外部環(huán)境的感知來進(jìn)行控制的。它的運(yùn)行不受人或其他代理的直接干涉。

·反應(yīng)性(Reactivity)：代理能及時(shí)感知環(huán)境的變化而做出相應(yīng)的反應(yīng)。

·社會(huì)性(Socialability)：可以通過某種代理語言與其他代理或人進(jìn)行交互和通信。在Multi代理中，代理應(yīng)具有協(xié)作和協(xié)商能力。

·自適應(yīng)性(Adaptivity)：代理能夠根據(jù)知識(shí)庫中的事實(shí)和規(guī)則進(jìn)行推理，還能夠總結(jié)以前的經(jīng)驗(yàn)，校正行為，即具有學(xué)習(xí)和自適應(yīng)的能力。

·推理能力(Inferentialcapability)：代理能夠按照抽象的說明完成任務(wù)。

·移動(dòng)性(Mobility)：代理能夠自主地在網(wǎng)絡(luò)上跨平臺(tái)漫游，且狀態(tài)和行為具有連續(xù)性。3.移動(dòng)代理(Mobileagent)

根據(jù)不同的標(biāo)準(zhǔn)，代理有多種分類方法。如根據(jù)體系結(jié)構(gòu)(architecture)可分為協(xié)商(deliberative)代理、反應(yīng)(reactive)代理和社會(huì)(social)代理；根據(jù)屬性(attributes)可分為協(xié)作(collaborative)代理、接口(interface)代理和知識(shí)(learning)代理；而根據(jù)移動(dòng)性(mobility)可分為靜態(tài)(stationary)代理和移動(dòng)(mobile)代理。在此，我們只介紹在入侵檢測(cè)中應(yīng)用較多的移動(dòng)代理。圖13-5移動(dòng)代理系統(tǒng)示意圖4.代理技術(shù)應(yīng)用于入侵檢測(cè)系統(tǒng)與傳統(tǒng)IDS是單一整體模塊不同，將代理技術(shù)應(yīng)用于入侵檢測(cè)后，系統(tǒng)將形成一個(gè)個(gè)互相獨(dú)立的自主運(yùn)行的進(jìn)程（代理），并且這些進(jìn)程可以在異種網(wǎng)絡(luò)中從一臺(tái)機(jī)器遷移到另一臺(tái)機(jī)器。代理觀察系統(tǒng)行為，相互協(xié)作，把認(rèn)為異常的所有行為標(biāo)記出來。(1)減輕了網(wǎng)絡(luò)負(fù)載，減少了系統(tǒng)延時(shí)。(2)自治連續(xù)異步地運(yùn)行。(3)能動(dòng)態(tài)配置以適應(yīng)網(wǎng)絡(luò)變化。(4)在異構(gòu)環(huán)境下運(yùn)行。(5)增強(qiáng)IDS的健壯性和容錯(cuò)能力。(6)多點(diǎn)檢測(cè)。5.代理技術(shù)的缺陷(1)性能問題。(2)安全問題。(3)代碼大小問題。6.代理技術(shù)在入侵檢測(cè)系統(tǒng)中的應(yīng)用實(shí)例前面介紹了代理的基本知識(shí)，下面介紹一個(gè)使用代理技術(shù)的入侵檢測(cè)系統(tǒng)。IDA是由日本InformationtechnologyPromotionAgency(IPA)開發(fā)的一個(gè)樹狀分級(jí)代理系統(tǒng)。該系統(tǒng)包含管理器(Manager)、傳感器(Sensors)、追蹤代理(TracingAgent)、信息收集代理(Informationgatheringagent)、公告板(BulletinBoard)和消息板(MessageBoard)等部件。13.5入侵檢測(cè)的描述、評(píng)測(cè)與部署13.5.1入侵檢測(cè)系統(tǒng)描述設(shè)計(jì)、實(shí)現(xiàn)入侵檢測(cè)的一個(gè)關(guān)鍵就是如何準(zhǔn)確地描述、檢測(cè)、報(bào)告和響應(yīng)攻擊，這需要通過描述語言來實(shí)現(xiàn)。因此對(duì)于描述語言的研究是入侵檢測(cè)系統(tǒng)研究的一個(gè)基礎(chǔ)工作。1.事件語言在入侵檢測(cè)系統(tǒng)中，一般將IDS需要分析的數(shù)據(jù)統(tǒng)稱為事件（Event）。事件語言（EventLanguages）就用于描述事件，重點(diǎn)是對(duì)數(shù)據(jù)格式的描述。

2.響應(yīng)語言入侵檢測(cè)系統(tǒng)在檢測(cè)到攻擊后，一般會(huì)采取被動(dòng)或者主動(dòng)的響應(yīng)措施。響應(yīng)語言（ResponseLanguages）即是用來描述系統(tǒng)反應(yīng)行為的語言。3.報(bào)告語言報(bào)告語言（ReportLanguages）是用于描述報(bào)警格式的語言，這些報(bào)警一般包含攻擊的一些基本信息，如攻擊源、攻擊目標(biāo)和攻擊的類型等。

4.關(guān)聯(lián)語言關(guān)聯(lián)語言（CorrelationLanguages）是現(xiàn)在研究的一個(gè)焦點(diǎn)，它通過分析幾個(gè)IDS提供的報(bào)警，從而生成新的報(bào)警，也就是說，通過明確攻擊之間的關(guān)系，達(dá)到識(shí)別協(xié)同攻擊的目的。5.漏洞利用語言

漏洞利用語言（ExploitLanguages）用于描述一種攻擊實(shí)施的步驟，它一般是常用的可執(zhí)行語言，如Ｃ、Ｃ++、Perl和TCL等。

6.檢測(cè)語言檢測(cè)語言（DetectionLanguages)用于描述攻擊特征，它提供了一些機(jī)制和抽象方法，使得IDS可以發(fā)現(xiàn)攻擊。這類語言比較多，主要有PBest、STATL、Snort、SNPL、NCode、Kumar和BRO等。XML有以下特點(diǎn):(1)嚴(yán)格的規(guī)范、清晰的語義。(2)數(shù)據(jù)的共享與重用。(3)良好的擴(kuò)展性。(4)平臺(tái)無關(guān)性。13.5.2入侵檢測(cè)系統(tǒng)的測(cè)試與評(píng)估多數(shù)的測(cè)試過程都遵循下面的基本測(cè)試步驟：

(1)創(chuàng)建、選擇一些測(cè)試工具和測(cè)試腳本，這些腳本和工具主要用來生成和模擬正常行為及入侵，也就是模擬入侵檢測(cè)系統(tǒng)運(yùn)行的實(shí)際環(huán)境；

(2)確定計(jì)算環(huán)境所要求的條件，比如背景計(jì)算機(jī)活動(dòng)的級(jí)別；

(3)配置運(yùn)行入侵檢測(cè)系統(tǒng)；

(4)運(yùn)行測(cè)試工具和測(cè)試腳本；

(5)分析入侵檢測(cè)系統(tǒng)的檢測(cè)結(jié)果。

1.檢測(cè)率、誤報(bào)率及檢測(cè)可信度檢測(cè)率是指被監(jiān)測(cè)系統(tǒng)在受到入侵攻擊時(shí)，檢測(cè)系統(tǒng)能夠正確報(bào)警的概率。誤報(bào)率是指檢測(cè)系統(tǒng)在檢測(cè)時(shí)出現(xiàn)誤報(bào)（或稱虛警）的概率。

2.入侵檢測(cè)系統(tǒng)本身的抗攻擊能力和其他系統(tǒng)一樣，入侵檢測(cè)系統(tǒng)本身往往也存在安全漏洞。若對(duì)入侵檢測(cè)系統(tǒng)攻擊成功，則直接導(dǎo)致其報(bào)警失靈，入侵者在其后所作的行為將無法被記錄。

3.其他性能指標(biāo)

(1)檢測(cè)延遲：檢測(cè)延遲是指從攻擊發(fā)生至入侵檢測(cè)系統(tǒng)檢測(cè)到入侵之間的延遲時(shí)間。延遲時(shí)間的長(zhǎng)短直接關(guān)系到入侵攻擊破壞的程度。

(2)資源的占用情況：即系統(tǒng)在達(dá)到某種檢測(cè)有效性時(shí)對(duì)資源的需求情況。

(3)負(fù)荷能力：入侵檢測(cè)系統(tǒng)有其設(shè)計(jì)的負(fù)荷能力，在超出負(fù)荷能力的情況下，性能會(huì)出現(xiàn)不同程度的下降。(4)日志、報(bào)警、報(bào)告以及響應(yīng)能力：日志能力是指檢測(cè)系統(tǒng)保存日志的能力和按照特定要求選取日志內(nèi)容的能力。

(5)系統(tǒng)的可行性：主要是指系統(tǒng)安裝、配置、管理和使用的方便程度，系統(tǒng)界面的友好程度，攻擊規(guī)則庫維護(hù)的簡(jiǎn)易程度等方面。13.5.3入侵檢測(cè)在網(wǎng)絡(luò)中的部署在網(wǎng)絡(luò)中正確的部署入侵檢測(cè)系統(tǒng)，對(duì)于充分發(fā)揮入侵檢測(cè)系統(tǒng)的性能，有效保護(hù)目標(biāo)網(wǎng)絡(luò)非常重要。一個(gè)好的部署方案可以有效地發(fā)揮入侵檢測(cè)系統(tǒng)的保護(hù)功能；反之，錯(cuò)誤的部署方案不但不能起到保護(hù)作用，反而有可能給系統(tǒng)帶來新的安全威脅。因此，在網(wǎng)絡(luò)中部署入侵檢測(cè)系統(tǒng)之前，首先要根據(jù)被保護(hù)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)以及使用者的需求,制定好正確的部署方案，以達(dá)到保護(hù)的目的。通常,IDS監(jiān)控保護(hù)的基本單位是一個(gè)網(wǎng)段或者一臺(tái)主機(jī)，被保護(hù)網(wǎng)絡(luò)對(duì)各主機(jī)、各子網(wǎng)段的安全性要求程度一般都不相同，所以確定IDS的保護(hù)對(duì)象是合理使用IDS的關(guān)鍵。在優(yōu)先保護(hù)的網(wǎng)段中部署IDS系統(tǒng)，并配置以合適的檢測(cè)策略。比如，在防火墻之內(nèi)部署IDS時(shí)，可把安全策略配置得緊一些，即使用最大化的檢測(cè)策略；而在防火墻之外部署時(shí)則可采用較為寬松的策略。這是由于經(jīng)過防火墻過濾后，內(nèi)部網(wǎng)絡(luò)的安全狀況相對(duì)比較簡(jiǎn)單，誤報(bào)的可能性較低，而防火墻外的情況則較為復(fù)雜，誤報(bào)的可能性也較大。另外，在一定的情況下，有些內(nèi)部可信任的主機(jī)也可能會(huì)觸發(fā)IDS的檢測(cè)引擎，從而形成報(bào)警，而對(duì)于用戶來說，這些報(bào)警事件是沒有什么參考價(jià)值的，所以需要在檢測(cè)范圍中排除這些主機(jī)的IP地址。通常IDS系統(tǒng)中都有一個(gè)過濾器(FILTER)模塊或具有登記可信任主機(jī)的功能選項(xiàng)，允許用戶加入所有他們信任的主機(jī)IP地址。

圖13-6給出了入侵檢測(cè)系統(tǒng)在網(wǎng)絡(luò)中的幾種比較典型的部署方案。圖13-6入侵檢測(cè)系統(tǒng)在網(wǎng)絡(luò)中的部署部署方案一是將入侵檢測(cè)系統(tǒng)放到防火墻和外部網(wǎng)絡(luò)之間，也就是將入侵檢測(cè)系統(tǒng)放到防火墻之外的非軍事區(qū)中。非軍事區(qū)是介于ISP和最外端防火墻界面之間的區(qū)域。這種安排使入侵檢測(cè)系統(tǒng)可以看到所有來自Internet的攻擊。但是，如果攻擊的類型是TCP攻擊，而防火墻或過濾型路由器能夠封鎖這種攻擊，那么入侵檢測(cè)系統(tǒng)就可能檢測(cè)不到這種攻擊的發(fā)生。原因是入侵檢測(cè)系統(tǒng)需要通過檢測(cè)是否存在與特征庫中的特征字符串相匹配的數(shù)據(jù)包才能發(fā)現(xiàn)此類攻擊，而帶有這些特征串的數(shù)據(jù)包的傳送只有在進(jìn)行了TCP的三次握手之后才能進(jìn)行。由于防火墻和過濾型路由器在連接的握手階段就切斷了這些連接，因此帶有特征串的數(shù)據(jù)包就不會(huì)出現(xiàn)，于是這種攻擊也就不會(huì)被入侵檢測(cè)系統(tǒng)發(fā)現(xiàn)。雖然放置在非軍事區(qū)的入侵檢測(cè)不能全面地發(fā)現(xiàn)對(duì)系統(tǒng)發(fā)起的所有攻擊，但是，這個(gè)位置仍然是對(duì)攻擊進(jìn)行檢測(cè)的最佳位置。將IDS放到這個(gè)位置的優(yōu)點(diǎn)是可以發(fā)現(xiàn)自己的網(wǎng)絡(luò)和防火墻暴露在哪些攻擊之下，但這種方案也存在如下缺點(diǎn)：一是它無法檢測(cè)防火墻內(nèi)部用戶發(fā)起的攻擊和誤用事件；二是入侵檢測(cè)系統(tǒng)完全暴露，很容易成為黑客入侵的對(duì)象。部署方案二是將入侵檢測(cè)系統(tǒng)放在防火墻和路由器之間，即放在防火墻內(nèi)部。將入侵檢測(cè)系統(tǒng)放在邊界防火墻內(nèi)部可以看出防火墻系統(tǒng)安全策略配置得是否合理。比如IDS系統(tǒng)發(fā)現(xiàn)外部用戶可以匿名登錄軍事區(qū)內(nèi)的FTP服務(wù)器，而這是不希望的，經(jīng)分析后可知這是由于防火墻沒有關(guān)閉FTP服務(wù)器的21端口造成的，此時(shí)應(yīng)該調(diào)整防火墻策略，關(guān)閉FTP服務(wù)器的端口以達(dá)到提高系統(tǒng)安全的目的。部署方案三是將入侵檢測(cè)系統(tǒng)放于主要的網(wǎng)絡(luò)中樞，用于保護(hù)一些安全需求高的子網(wǎng)。這種方案的主要目的是要專門保護(hù)網(wǎng)絡(luò)中的一些重要的環(huán)節(jié)和區(qū)域。部署方案四是將入侵檢測(cè)系統(tǒng)放置到需要保護(hù)的主機(jī)上，從而實(shí)現(xiàn)對(duì)該主機(jī)的保護(hù)。此外，目前大多數(shù)的IDS系統(tǒng)主要采用基于包特征的檢測(cè)技術(shù)來組建，它們的基本原理是對(duì)網(wǎng)絡(luò)上的所有數(shù)據(jù)包進(jìn)行復(fù)制并檢測(cè)，然后與內(nèi)部的攻擊特征數(shù)據(jù)庫(規(guī)則庫)進(jìn)行匹配比較，如果相符即產(chǎn)生報(bào)警或響應(yīng)。這種檢測(cè)方式雖然比異常統(tǒng)計(jì)檢測(cè)技術(shù)更加精，但會(huì)給IDS帶來較大的負(fù)載，所以需要對(duì)檢測(cè)策略作進(jìn)一步的調(diào)整和優(yōu)化。具體做法是根據(jù)被保護(hù)網(wǎng)絡(luò)自身網(wǎng)絡(luò)的業(yè)務(wù)應(yīng)用情況，選擇最適合的檢測(cè)策略(可根據(jù)操作系統(tǒng)、應(yīng)用服務(wù)或部署位置等來選擇)，并對(duì)所選的策略進(jìn)行修改;選擇具有參考價(jià)值的檢測(cè)規(guī)則，去除一些無關(guān)緊要的選項(xiàng)，如對(duì)于全部是Windows的應(yīng)用環(huán)境，則完全可以把UNIX的規(guī)則去掉。有些IDS除了提供攻擊特征檢測(cè)規(guī)則的定制功能外，還提供了對(duì)端口掃描檢測(cè)規(guī)則的自定義、信任主機(jī)地址排除和掃描模式等參數(shù)，這些參數(shù)的合理配置能將IDS的檢測(cè)能力優(yōu)化到最理想的狀態(tài)。13.6入侵檢測(cè)系統(tǒng)的發(fā)展趨勢(shì)和研究方向近些年，隨著計(jì)算機(jī)技術(shù)的發(fā)展和網(wǎng)絡(luò)的普及，入侵技術(shù)無論從規(guī)模上還是方法上都發(fā)生了很大的變化，入侵的方法和手段不斷提高，識(shí)別入侵和攻擊的難度也在不斷加大。主要體現(xiàn)在：入侵和攻擊變得復(fù)雜化，攻擊者往往綜合使用多種手段以保證入侵的成功；入侵者往往借助其他脆弱的主機(jī)和網(wǎng)絡(luò)發(fā)起攻擊，采用攻擊間接化的方式隱蔽自己；入侵的規(guī)模不斷擴(kuò)大，往往采用大規(guī)模合作或者采用分布式技術(shù)對(duì)目標(biāo)進(jìn)行攻擊；入侵檢測(cè)等安全設(shè)備也逐漸成為攻擊的主要目標(biāo)。此外，隨著網(wǎng)絡(luò)和通信技術(shù)的不斷發(fā)展，新的應(yīng)用環(huán)境也給入侵檢測(cè)系統(tǒng)提出了新的要求，如大規(guī)模高速網(wǎng)絡(luò)的出現(xiàn)和加密技術(shù)的應(yīng)用等。入侵檢測(cè)技術(shù)必須不斷改進(jìn)和發(fā)展，以適應(yīng)網(wǎng)絡(luò)技術(shù)和系統(tǒng)安全的新需求。目前，對(duì)入侵檢測(cè)系統(tǒng)的研究主要集中在以下幾個(gè)方面：

(1)面向大規(guī)模、高速網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)。當(dāng)前網(wǎng)絡(luò)的規(guī)模越來越大，高速網(wǎng)絡(luò)設(shè)備不斷投入使用，網(wǎng)路數(shù)據(jù)流量不斷增長(zhǎng)，這些都要求入侵檢測(cè)技術(shù)必須能夠適應(yīng)大規(guī)模高速網(wǎng)絡(luò)的要求，否則就會(huì)產(chǎn)生漏報(bào)或成為系統(tǒng)的性能瓶頸，影響整個(gè)系統(tǒng)的正常工作。由于當(dāng)前的入侵檢測(cè)系統(tǒng)通常以并聯(lián)方式接入網(wǎng)絡(luò)，如果其檢測(cè)速度跟不上網(wǎng)絡(luò)數(shù)據(jù)的傳輸速度，那么檢測(cè)系統(tǒng)就會(huì)漏掉其中的部分?jǐn)?shù)據(jù)包，從而導(dǎo)致漏報(bào)而影響檢測(cè)的準(zhǔn)確性和有效性。在IDS中，截獲網(wǎng)絡(luò)的每一個(gè)數(shù)據(jù)包，并分析、匹配其中是否具有某種攻擊的特征，需要花費(fèi)大量的時(shí)間和系統(tǒng)資源。現(xiàn)有的大部分IDS只有幾十兆的檢測(cè)速度，隨著百兆甚至千兆網(wǎng)絡(luò)的大量應(yīng)用，IDS技術(shù)發(fā)展的速度已經(jīng)遠(yuǎn)遠(yuǎn)落后于網(wǎng)絡(luò)速度的發(fā)展。為了能夠適應(yīng)高速網(wǎng)的要求，必須改進(jìn)IDS中一些現(xiàn)有的技術(shù)。目前正處于研究工作中的網(wǎng)絡(luò)數(shù)據(jù)分流技術(shù)能夠解決一部分問題。

(2)智能化的入侵檢測(cè)技術(shù)。智能化的入侵檢測(cè)的含義是指使用智能化的方法與手段來進(jìn)行入侵檢測(cè)。實(shí)現(xiàn)智能化入侵檢測(cè)系統(tǒng)的核心工作就是對(duì)智能化入侵檢測(cè)方法的研究。為了達(dá)到智能檢測(cè)的目的，研究人員在IDS中引入了人工智能和其他領(lǐng)域的一些概念和方法，這些方法主要有神經(jīng)網(wǎng)絡(luò)、模糊理論、免疫系統(tǒng)、