第4章 安全審計(jì)與入侵檢測(cè).ppt

1、第 4 章 安全審計(jì)與入侵檢測(cè),4.1 安全審計(jì) 4.1.1 安全審計(jì)概念 4.1.2 安全審計(jì)目的 4.1.3 安全審計(jì)內(nèi)容 4.1.4 安全審計(jì)分類(lèi)和過(guò)程 4.1.5 審計(jì)日志管理 4.1.6 安全審計(jì)系統(tǒng)的組成、功能與特點(diǎn) 4.2 入侵檢測(cè) 4.2.1 入侵檢測(cè)概述 4.2.2 入侵檢測(cè)側(cè)方法 4.2.3 入侵檢測(cè)系統(tǒng)的部署 4.2.4 入侵檢測(cè)技術(shù)發(fā)展 4.2.5 與入侵檢測(cè)有關(guān)的新技術(shù),4.1 安全審計(jì),安全審計(jì)即是對(duì)安全方案中的功能提供持續(xù)的評(píng)估。安全審計(jì)可以為安全官員提供一組可進(jìn)行分析的管理數(shù)據(jù)，以發(fā)現(xiàn)在何處發(fā)生了違反安全方案的事件。為了保證信息系統(tǒng)安全可靠的運(yùn)行，需加強(qiáng)信息安全

2、審計(jì)。,4.1.1 安全審計(jì)概念,從總體上說(shuō)，安全審計(jì)是采用數(shù)據(jù)挖掘和數(shù)據(jù)倉(cāng)庫(kù)技術(shù)，實(shí)現(xiàn)在不同網(wǎng)絡(luò)環(huán)境中終端對(duì)終端的監(jiān)控和管理，必要時(shí)通過(guò)多種途徑向管理員發(fā)出警告或自動(dòng)采取排錯(cuò)措施，能對(duì)歷史數(shù)據(jù)進(jìn)行分析、處理和追蹤。利用安全審計(jì)結(jié)果，可調(diào)整安全政策，堵住出現(xiàn)的漏洞。,安全審計(jì)日志,利用安全審計(jì)日志進(jìn)行監(jiān)控是一種更為主動(dòng)的監(jiān)督管理形式，它也是一種檢測(cè)觸犯安全規(guī)定事件的手段。 出于它自身的重要性，安全審計(jì)日志和監(jiān)控功能本身給安全帶來(lái)了額外的威脅，因此必須加強(qiáng)對(duì)這類(lèi)信息的保護(hù)。 對(duì)安全審計(jì)日志和監(jiān)控功能的使用也必須做審計(jì)記錄，否則蓄謀作案的內(nèi)部人員將有機(jī)可乘，逃脫審查。,安全審計(jì)和報(bào)警,安全報(bào)警的產(chǎn)

3、生是檢測(cè)到任何符合已定義報(bào)警條件的安全相關(guān)事件的結(jié)果。 安全審計(jì)和報(bào)警的實(shí)現(xiàn)，可能需要使用其他安全服務(wù)來(lái)支持安全審計(jì)和報(bào)警服務(wù)，并確保它們正確而有把握地運(yùn)行。 安全審計(jì)和報(bào)警服務(wù)與其他安全服務(wù)的不同之處在于沒(méi)有單個(gè)的特定安全機(jī)制可以用于提供這種服務(wù)。,安全審計(jì)跟蹤,安全審計(jì)跟蹤是一種很有價(jià)值的安全機(jī)制，可以通過(guò)事后的安全審計(jì)來(lái)檢測(cè)和調(diào)查安全策略執(zhí)行的情況以及安全遭到破壞的情況。 安全審計(jì)需要安全審計(jì)跟蹤與安全有關(guān)的記錄信息，以及從安全審計(jì)跟蹤中得到的分析和報(bào)告信息。 日志或記錄被視為一種安全機(jī)制，而分析和報(bào)告生成則被視為一種安全管理功能。,4.1.2 安全審計(jì)目的,安全審計(jì)與報(bào)警的目的是根據(jù)適

4、當(dāng)安全機(jī)構(gòu)的安全策略，確保與開(kāi)放系統(tǒng)互聯(lián)的安全有關(guān)的事件得到處理，安全審計(jì)只在定義的安全策略范圍內(nèi)提供。 具體的目的主要有： 輔助辨識(shí)和分析來(lái)經(jīng)授權(quán)的活動(dòng)或攻擊； 幫助保證那些實(shí)體響應(yīng)行動(dòng)處理這些活動(dòng)； 促進(jìn)開(kāi)發(fā)改進(jìn)的損傷控制處理程序； 認(rèn)可與已建立的安全策略的一致性； 報(bào)告那些可能與系統(tǒng)控制不相適應(yīng)的信息； 辨識(shí)可能需要的對(duì)控制、策略和處理程序的改變。,4.1.3 安全審計(jì)內(nèi)容,個(gè)人職能（Individual Accountability）。審計(jì)跟蹤是管理人員用來(lái)維護(hù)個(gè)人職能的技術(shù)手段。 事件重建（Reconstruction of Events）。在發(fā)生故障后，審計(jì)跟蹤可以用于重建事件和數(shù)

5、據(jù)恢復(fù)。 入侵檢測(cè)（Intrusion Detection）。審計(jì)跟蹤記錄可以用來(lái)協(xié)助入侵檢測(cè)工作。 故障分析（Problem Analysis）。審計(jì)跟蹤可以用于實(shí)時(shí)審計(jì)或監(jiān)控。,4.1.4 安全審計(jì)分類(lèi)和過(guò)程,安全審計(jì)分類(lèi) 按照審計(jì)對(duì)象分類(lèi) ： 網(wǎng)絡(luò)審計(jì)； 主機(jī)審計(jì)； 應(yīng)用系統(tǒng)審計(jì) 。 按照審計(jì)方式分類(lèi)： 人工審計(jì)；半自動(dòng)審計(jì)；智能審計(jì)。 審計(jì)過(guò)程的實(shí)現(xiàn) ： 第一步，收集審計(jì)事件，產(chǎn)生審計(jì)記錄； 第二步，根據(jù)記錄進(jìn)行安全事件的分析； 第三步，采取處理措施。審計(jì)范圍包括操作系統(tǒng)和各種應(yīng)用程序。,審計(jì)的工作流程,根據(jù)相應(yīng)的審計(jì)條件判斷事件是否是審計(jì)事件。對(duì)審計(jì)事件的內(nèi)容按日志的模式記錄到審計(jì)日

6、志中。對(duì)滿足報(bào)警條件的事件向?qū)徲?jì)員發(fā)送報(bào)警信息并記錄其內(nèi)容。當(dāng)事件在一定時(shí)間內(nèi)頻繁發(fā)生，滿足逐出系統(tǒng)的條件值時(shí)，則將引起該事件的用戶(hù)逐出系統(tǒng)并記錄其內(nèi)容。審計(jì)員可以查詢(xún)、檢索審計(jì)日志以形成審計(jì)報(bào)告。,4.1.5 審計(jì)日志管理,審計(jì)日志是記錄信息系統(tǒng)安全狀態(tài)和問(wèn)題的依據(jù)，各級(jí)信息系統(tǒng)必須制定保存和調(diào)閱審計(jì)日志的管理制度。 忽視日志管理很快會(huì)變成嚴(yán)重的問(wèn)題，日志管理是確保記錄長(zhǎng)期穩(wěn)定和有用的過(guò)程。,日志的內(nèi)容,基于安全觀點(diǎn)考慮，理想的日志應(yīng)該包括全部與數(shù)據(jù)、程序以及與系統(tǒng)資源相關(guān)事件的記錄。 實(shí)際上，這樣的日志只能適用于某些有特殊需要的系統(tǒng)，因?yàn)樗冻龅拇鷥r(jià)太大，因此，最好根據(jù)系統(tǒng)的安全目標(biāo)和操

7、作環(huán)境單獨(dú)設(shè)計(jì)日志。 日志中的典型信息列舉如下： 事件的性質(zhì)； 全部相關(guān)組件的標(biāo)識(shí)； 有關(guān)事件的信息。,日志的作用,當(dāng)雇員涉嫌欺騙、貪污或有其他非法使用系統(tǒng)的行為時(shí)，日志可以為調(diào)查處理工作提供有效的證明。 日志還可以作為責(zé)任認(rèn)定的依據(jù)，當(dāng)發(fā)生責(zé)任糾紛時(shí)，查閱日志不失是一種好方法。 另外，日志作為系統(tǒng)運(yùn)行記錄集，對(duì)分析系統(tǒng)畫(huà)了情況、排除故障和提高效率都會(huì)起到很好的幫助作用。,日志的管理方法,日志管理最典型的方法是日志輪轉(zhuǎn)，即將舊的、已寫(xiě)滿的日志文件移到一邊，新的空日志文件占用它們的位置。 正確輪轉(zhuǎn)日志以后，還必須注意備份。 經(jīng)常是已經(jīng)發(fā)現(xiàn)了攻擊，要回過(guò)頭來(lái)看看攻擊者還要試圖做什么。要完成這一點(diǎn)，

8、需要對(duì)日志做索引；需要滾動(dòng)舊的日志以離線存儲(chǔ)；需要檢索離線日志，并盡可能快地找出合適的日志項(xiàng)。,4.1.6 安全審計(jì)系統(tǒng)的組成、功能與特點(diǎn),1安全審計(jì)系統(tǒng)的組成 典型的安全審計(jì)系統(tǒng)包括： 事件辨別器：提供事件的初始分析，并決定是否把該事件傳送給審計(jì)記錄器或報(bào)警處理器； 事件記錄器：將接受來(lái)的消息生成審計(jì)記錄，并把此記錄存入一個(gè)安全審計(jì)跟蹤； 報(bào)警處理器：產(chǎn)生一個(gè)審計(jì)消息，同時(shí)產(chǎn)生合適的行動(dòng)以響應(yīng)一個(gè)安全報(bào)警； 審計(jì)分析器：檢查安全審計(jì)跟蹤，生成安全報(bào)警和安全審計(jì)消息； 審計(jì)跟蹤驗(yàn)證器：從安全審計(jì)跟蹤產(chǎn)生出安全審計(jì)報(bào)告； 審計(jì)提供器：按照某些準(zhǔn)則提供審計(jì)記錄； 審計(jì)歸檔器：將安全審計(jì)跟蹤歸檔；

9、審計(jì)跟蹤收集器：將一個(gè)分布式安全審計(jì)跟蹤的記錄匯集成一個(gè)安全審計(jì)跟蹤； 審計(jì)調(diào)度器：將分布式安全審計(jì)跟蹤的某些部分或全部傳輸?shù)皆搶徲?jì)調(diào)度器。,2安全審計(jì)系統(tǒng)的基本功能,內(nèi)容審計(jì)系統(tǒng)。內(nèi)容審計(jì)系統(tǒng)專(zhuān)用于防止非法信息惡意傳播，避免國(guó)家機(jī)密、商業(yè)信息、科研成果泄漏的產(chǎn)品；并可實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)資源使用情況，提高整體工作效率。 該系統(tǒng)一般具有如下功能： 對(duì)用戶(hù)的網(wǎng)絡(luò)行為監(jiān)控、網(wǎng)絡(luò)傳輸內(nèi)容審計(jì) 掌握網(wǎng)絡(luò)使用情況，提高工作效率 網(wǎng)絡(luò)傳輸信息的實(shí)時(shí)采集、海量存儲(chǔ)、統(tǒng)計(jì)分析 網(wǎng)絡(luò)行為后期取證，對(duì)網(wǎng)絡(luò)潛在威脅者予以威懾,安全審計(jì)系統(tǒng)的基本功能（續(xù)）,日志審計(jì)系統(tǒng)。日志審計(jì)系統(tǒng)為不同的網(wǎng)設(shè)備及系統(tǒng)提供了統(tǒng)一的日志管理分

10、析平臺(tái)，打破了組織中不同設(shè)備及系統(tǒng)之間存在的信息鴻溝。 該系統(tǒng)一般具有如下功能： 全面支持安全設(shè)備（如防火墻，IDS、AV）、網(wǎng)絡(luò)設(shè)備（如Router、Switch）、應(yīng)用系統(tǒng)（如WEB、Mail、Ftp、Database）、操作系統(tǒng)（如Windows、Linux、Unix）等多種產(chǎn)品及系統(tǒng)日志數(shù)據(jù)的收集和分析。 幫助管理員對(duì)網(wǎng)絡(luò)事件進(jìn)行深度的挖掘分析，系統(tǒng)提供多達(dá)300多種的報(bào)表模板，支持管理員從不同角度進(jìn)行網(wǎng)絡(luò)事件的可視化分析。同時(shí)系統(tǒng)還支持對(duì)網(wǎng)絡(luò)設(shè)備、主機(jī)、系統(tǒng)應(yīng)用、多種網(wǎng)絡(luò)服務(wù)的全面監(jiān)視。 提供全局安全視圖，幫助管理員發(fā)現(xiàn)網(wǎng)絡(luò)、系統(tǒng)及應(yīng)用中存在的安全漏洞和隱患，并進(jìn)行不斷改進(jìn)。 可自定

11、義安全事件的危險(xiǎn)級(jí)別，并實(shí)現(xiàn)基于EMAIL，鈴聲、手機(jī)短信等多種響應(yīng)方式。,3安全審計(jì)系統(tǒng)的特點(diǎn),具有Client/Server結(jié)構(gòu)，便于不同級(jí)別的管理員通過(guò)客戶(hù)端，針對(duì)不同的業(yè)務(wù)網(wǎng)段進(jìn)行審計(jì)工作。 力求得到被審計(jì)網(wǎng)絡(luò)中的硬/軟件資源的使用信息，使管理人員以最小的代價(jià)、最高的效率得到網(wǎng)絡(luò)中資源的使用情況，從而制定網(wǎng)絡(luò)維護(hù)和升級(jí)方案。 審計(jì)單元向?qū)徲?jì)中心匯報(bào)工作以及審計(jì)中心向下一級(jí)部門(mén)索取審計(jì)數(shù)據(jù)。 提供實(shí)時(shí)監(jiān)控功能。 事后的取證、分析。使用歷史記錄可以取得特定工作站、時(shí)間段或基于其他特定系統(tǒng)參數(shù)下，主機(jī)、服務(wù)器和網(wǎng)絡(luò)的使用信息；基于這些歷史記錄可以進(jìn)行某些統(tǒng)計(jì)、分析操作。 可自動(dòng)進(jìn)行審計(jì)工作，

12、降低管理員工作壓力。,4.2 入 侵 檢 測(cè),入侵檢測(cè)是安全審計(jì)的重要內(nèi)容之一，是網(wǎng)絡(luò)安全防護(hù)的重要組成部分。入侵檢測(cè)技術(shù)是一種主動(dòng)保護(hù)自己的網(wǎng)絡(luò)和系統(tǒng)免遭非法攻擊的網(wǎng)絡(luò)安全技術(shù)。它從計(jì)算機(jī)系統(tǒng)或者網(wǎng)絡(luò)中收集、分析信息，檢測(cè)任何企圖破壞計(jì)算機(jī)資源的完整性（Integrity）、機(jī)密性（Confidentiality）和可用性（ Availability ）的行為，即查看是否有違反安全策略的行為和遭到攻擊的跡象，并做出相應(yīng)的反應(yīng)。,4.2.1 入侵檢測(cè)概述,1入侵檢測(cè)概念 入侵是指任何企圖危機(jī)資源的完整性、機(jī)密性和可用性的活動(dòng)，不僅包括發(fā)起攻擊的人取得超出合法范圍的系統(tǒng)控制權(quán)，也包括收集漏洞信息

13、，造成拒絕服務(wù)等對(duì)計(jì)算機(jī)系統(tǒng)產(chǎn)生危害的行為。 入侵檢測(cè)（Intrusion Detection）的定義是指通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術(shù)。,入侵檢測(cè)系統(tǒng),入侵檢測(cè)系統(tǒng)IDS（Intrusion Detection System）是試圖實(shí)現(xiàn)檢測(cè)入侵行為的計(jì)算機(jī)系統(tǒng)，包含計(jì)算機(jī)軟件和硬件的組合。 入侵檢測(cè)系統(tǒng)具有更多的智能，對(duì)系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)控，獲取系統(tǒng)的審計(jì)數(shù)據(jù)或網(wǎng)絡(luò)數(shù)據(jù)包，然后將得到的數(shù)據(jù)進(jìn)行分析，并判斷系統(tǒng)或網(wǎng)絡(luò)是否出現(xiàn)異?；蛉肭中袨椋坏┌l(fā)現(xiàn)異常或入侵情況，發(fā)出報(bào)警并采取相應(yīng)的保護(hù)措

14、施。,入侵檢測(cè)是一種動(dòng)態(tài)的網(wǎng)絡(luò)安全技術(shù),它利用各種不同類(lèi)型的引擎，實(shí)時(shí)或定期的對(duì)網(wǎng)絡(luò)中相關(guān)的數(shù)據(jù)源進(jìn)行分析，依照引擎對(duì)特殊的數(shù)據(jù)或事件的認(rèn)識(shí)，將其中具有威脅性的部分提取出來(lái)，并觸發(fā)響應(yīng)機(jī)制。 入侵檢測(cè)的動(dòng)態(tài)性反映在入侵檢測(cè)的實(shí)時(shí)性，對(duì)網(wǎng)絡(luò)環(huán)境的變化具有一定程度上的自適應(yīng)性，這是以往靜態(tài)安全技術(shù)無(wú)法具有的。,2入侵檢測(cè)原理模型,Denning模型,圖4-1 Denning入侵檢測(cè)模型,上圖模型中包含6個(gè)主要部分： 實(shí)體（Subjects）：在目標(biāo)系統(tǒng)上活動(dòng)的實(shí)體，如用戶(hù)。 對(duì)象（Objects）：指系統(tǒng)資源，如文件、設(shè)備、命令等。 審計(jì)記錄（Audit records）：由主體、活動(dòng)（Actio

15、n）、異常條件（Exception-Condition）、資源使用狀況（Resource-Usage）和時(shí)間戳（Time-Stamp）等組成。 活動(dòng)檔案（Active Profile）：即系統(tǒng)正常行為模型，保存系統(tǒng)正?；顒?dòng)的有關(guān)信息。 異常記錄（Anomaly Record）：由事件、時(shí)間戳和審計(jì)記錄組成，表示異常事件的發(fā)生情況。 活動(dòng)規(guī)則（Active Rule）：判斷是否為入侵的準(zhǔn)則及相應(yīng)要采取的行動(dòng)。,2入侵檢測(cè)原理模型(續(xù)),CIDF模型,圖4-2 CIDF入侵檢測(cè)模型,2入侵檢測(cè)原理模型(續(xù)),上圖所示的模型中，入侵檢測(cè)系統(tǒng)分為4個(gè)基本組件： 事件產(chǎn)生器的任務(wù)是從入侵檢測(cè)系統(tǒng)之外的計(jì)

16、算環(huán)境中收集事件，但并不分析它們，并將這些事件轉(zhuǎn)換成CIDF的GIDO格式傳送給其他組件； 事件分析器分析從其他組件收到的GIDO，并將產(chǎn)生的新的GIDO再傳送給其他組件； 事件數(shù)據(jù)庫(kù)用來(lái)存儲(chǔ)GIDO，以備系統(tǒng)需要的時(shí)候使用； 響應(yīng)單元處理收到的GIDO，并根據(jù)處理結(jié)果，采取相應(yīng)的措施，如殺死相關(guān)進(jìn)程、將連接復(fù)位、修改文件權(quán)限等。,2入侵檢測(cè)原理模型(續(xù)),3入侵響應(yīng)機(jī)制,入侵響應(yīng)是入侵檢測(cè)技術(shù)的配套技術(shù)，一般的入侵檢測(cè)系統(tǒng)會(huì)同時(shí)使用這兩種技術(shù)。 入侵響應(yīng)技術(shù)可分為主動(dòng)響應(yīng)和被動(dòng)響應(yīng)兩種類(lèi)型。 主動(dòng)響應(yīng)和被動(dòng)響應(yīng)并不是相互排斥的。不管使用哪一種響應(yīng)機(jī)制，作為任務(wù)的一個(gè)重要部分，入侵檢測(cè)系統(tǒng)應(yīng)該

17、總能以日志的形式記錄下檢測(cè)結(jié)果。,（1）主動(dòng)響應(yīng),主動(dòng)響應(yīng)，即檢測(cè)到入侵后立即采取行動(dòng)。 主動(dòng)響應(yīng)有兩種形式：一種是由用戶(hù)驅(qū)動(dòng)的，一種是由系統(tǒng)本身自動(dòng)執(zhí)行的。 對(duì)入侵者采取反擊行動(dòng)、修正系統(tǒng)環(huán)境和收集盡可能多的信息是主動(dòng)響應(yīng)的基本手段。,對(duì)入侵者采取反擊行動(dòng),警告攻擊者、跟蹤攻擊者、斷開(kāi)危險(xiǎn)連接和對(duì)攻擊者的攻擊是最嚴(yán)厲的一種主動(dòng)反擊手段。 這種響應(yīng)方法有一定的風(fēng)險(xiǎn)： 被確認(rèn)為攻擊你的系統(tǒng)的源頭系統(tǒng)很可能是黑客的另一個(gè)犧牲品。 攻擊源的IP地址欺騙也是常有的事。 簡(jiǎn)單的反擊可能會(huì)惹起對(duì)手更大的攻擊。 反擊會(huì)使你自己冒違法犯罪的風(fēng)險(xiǎn)。,修正系統(tǒng)環(huán)境,修正系統(tǒng)環(huán)境較直接采取反擊的主動(dòng)性要差一些，當(dāng)與

18、提供調(diào)查支持的響應(yīng)結(jié)合在一起的時(shí)候，卻往往是一種更好的響應(yīng)方案。 修正系統(tǒng)環(huán)境以堵住導(dǎo)致入侵發(fā)生的漏洞的概念與許多研究者所提出的關(guān)鍵系統(tǒng)耦合的觀點(diǎn)是相一致的。 這種策略類(lèi)似于實(shí)時(shí)過(guò)程控制系統(tǒng)的反饋機(jī)制，即目前系統(tǒng)處理過(guò)程的輸出將用來(lái)調(diào)整和優(yōu)化下一個(gè)處理過(guò)程。,收集額外信息,當(dāng)被保護(hù)的系統(tǒng)非常重要并且系統(tǒng)的主人想進(jìn)行配置改進(jìn)時(shí)，收集額外信息特別有用。 以這種方式收集的信息對(duì)那些從事網(wǎng)絡(luò)安全威脅的趨勢(shì)分析的人來(lái)說(shuō)也是有價(jià)值的。 這種信息對(duì)那些必須在有敵意威脅的環(huán)境里運(yùn)行或易遭受大量攻擊的系是特別重要的。,（2）被動(dòng)響應(yīng),被動(dòng)響應(yīng)就是那些只向用戶(hù)提供信息而依靠用戶(hù)去采取下一步行動(dòng)的響應(yīng)。 被動(dòng)響應(yīng)是

19、很重要的，在一些情形下是系統(tǒng)惟一的響應(yīng)形式。以下列舉兩種常用的被動(dòng)響應(yīng)技術(shù)： 告警和通知 ：告警顯示屏；告警和警報(bào)的遠(yuǎn)程通知。 SNMP陷阱和插件,（3）響應(yīng)報(bào)警策略,如何報(bào)警和選取什么樣的報(bào)警，需要根據(jù)整個(gè)網(wǎng)絡(luò)的環(huán)境和安全的需求進(jìn)行確定。 不同的報(bào)警方式對(duì)網(wǎng)絡(luò)相關(guān)的設(shè)備有著不同的要求。 由于報(bào)警的形式很多，大部分都需要其他網(wǎng)絡(luò)設(shè)備和服務(wù)的協(xié)助，因此只有保證相關(guān)的設(shè)備和服務(wù)可以和入侵檢測(cè)系統(tǒng)正確地通信，才可以保證報(bào)警信息的及時(shí)送達(dá)。這就要求入侵檢測(cè)系統(tǒng)存在與其他設(shè)備互動(dòng)的接口。,4入侵檢測(cè)系統(tǒng)的基本結(jié)構(gòu),圖4-3 入侵檢測(cè)系統(tǒng)的基本結(jié)構(gòu),入侵檢測(cè)系統(tǒng)的基本結(jié)構(gòu)通常由事件產(chǎn)生器、事件分析器、事件

20、數(shù)據(jù)庫(kù)和響應(yīng)單元四個(gè)基本組件組成。 從具體實(shí)現(xiàn)的角度看，入侵檢測(cè)系統(tǒng)一般包括硬件和軟件兩部分。,5入侵檢測(cè)系統(tǒng)的功能,檢測(cè)和分析用戶(hù)與系統(tǒng)的活動(dòng)； 審計(jì)系統(tǒng)配置和脆弱性； 評(píng)估關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的一致性； 識(shí)別反映已知攻擊的活動(dòng)模式； 非正?；顒?dòng)模式的統(tǒng)計(jì)分析； 操作系統(tǒng)的審計(jì)跟蹤管理，通過(guò)用戶(hù)活動(dòng)的識(shí)別違規(guī)操作。,6入侵檢測(cè)系統(tǒng)的分類(lèi),異常檢測(cè)和誤用檢測(cè)。根據(jù)入侵檢測(cè)所采用的技術(shù)，可以分為異常檢測(cè)和誤用檢測(cè)。 異常檢測(cè)（Abnormal Detection）。異常入侵檢測(cè)是指能夠根據(jù)異常行為和使用計(jì)算機(jī)資源的情況檢測(cè)出來(lái)的入侵。 誤用檢測(cè)（Misuse Detection）。誤用入侵檢測(cè)（也

21、稱(chēng)濫用入侵檢測(cè)）是指利用已知系統(tǒng)和應(yīng)用軟件的弱點(diǎn)攻擊模式來(lái)檢測(cè)入侵。,6入侵檢測(cè)系統(tǒng)的分類(lèi)（續(xù)）,基于主機(jī)和網(wǎng)絡(luò)的檢測(cè)。按照入侵檢測(cè)輸入數(shù)據(jù)的來(lái)源和系統(tǒng)結(jié)構(gòu)，可以分為： 基于主機(jī)的入侵檢測(cè)系統(tǒng)（HIDS）。該系統(tǒng)通過(guò)監(jiān)視和分析主機(jī)上的審計(jì)日志，來(lái)檢測(cè)主機(jī)上是否發(fā)生入侵行為。,圖4-4 基于主機(jī)的入侵檢測(cè)系統(tǒng),HIDS的優(yōu)點(diǎn)是可精確判斷入侵事件，并及時(shí)進(jìn)行反應(yīng)。缺點(diǎn)是會(huì)占用寶貴的主機(jī)資源。,6入侵檢測(cè)系統(tǒng)的分類(lèi)（續(xù)）,基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（NIDS）。該系統(tǒng)一般被動(dòng)地在共享網(wǎng)段上進(jìn)行偵聽(tīng)，通過(guò)對(duì)捕獲網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行分析，能夠檢測(cè)該網(wǎng)段上發(fā)生的網(wǎng)絡(luò)入侵。,圖4-5 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng),這類(lèi)系統(tǒng)

22、的優(yōu)點(diǎn)是檢測(cè)速度快、隱蔽性好，不那么容易遭受攻擊，對(duì)主機(jī)資源消耗少，并且由于網(wǎng)絡(luò)協(xié)議是標(biāo)準(zhǔn)的，可以對(duì)網(wǎng)絡(luò)提供通用的保護(hù)而無(wú)須顧及異構(gòu)主機(jī)的不同架構(gòu)。但它只能監(jiān)視經(jīng)過(guò)本網(wǎng)段的活動(dòng)，且精確度較差，在交換網(wǎng)絡(luò)環(huán)境下難以配置，防欺騙能力也較弱。,6入侵檢測(cè)系統(tǒng)的分類(lèi)（續(xù)）,混合型入侵檢測(cè)系統(tǒng)。聯(lián)合使用基于主機(jī)和基于網(wǎng)絡(luò)這兩種方式能夠達(dá)到更好的檢測(cè)效果。 分布式入侵檢測(cè)系統(tǒng)（DIDS）是一種典型的混合型入侵檢測(cè)系統(tǒng)，也可以?xún)H僅是網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的分布式整合。,圖4-6 分布式入侵檢測(cè)系統(tǒng)框圖,6入侵檢測(cè)系統(tǒng)的分類(lèi)（續(xù)）,離線檢測(cè)和在線檢測(cè)。根據(jù)入侵檢測(cè)系統(tǒng)的工作方式分為離線檢測(cè)系統(tǒng)和在線檢測(cè)系統(tǒng)。 離線

23、檢測(cè)系統(tǒng)。在事后分析審計(jì)事件，從中檢查入侵活動(dòng)，是一種非實(shí)時(shí)工作的系統(tǒng)。 在線檢測(cè)。實(shí)施聯(lián)機(jī)的檢測(cè)系統(tǒng)，它包含對(duì)實(shí)時(shí)網(wǎng)絡(luò)數(shù)據(jù)包分析，對(duì)實(shí)時(shí)主機(jī)審計(jì)分析。,6入侵檢測(cè)系統(tǒng)的分類(lèi)（續(xù)）,集中式、等級(jí)式和協(xié)作式。按照體系結(jié)構(gòu)，IDS可分為集中式、等級(jí)式和協(xié)作式3種。 集中式。 等級(jí)式。 協(xié)作式。,7入侵檢測(cè)系統(tǒng)性能,準(zhǔn)確性：檢測(cè)系統(tǒng)具有低的假報(bào)警率和漏警率。 執(zhí)行性：入侵檢測(cè)系統(tǒng)處理審計(jì)事件的比率。如果執(zhí)行性很低，則無(wú)法實(shí)現(xiàn)入侵檢測(cè)系統(tǒng)的實(shí)時(shí)檢測(cè)。 完整性：如果一個(gè)入侵檢測(cè)系統(tǒng)不能檢測(cè)一個(gè)攻擊則認(rèn)為是不完整的。 容錯(cuò)性：入侵檢測(cè)系統(tǒng)本身應(yīng)具備抵抗攻擊的能力。 實(shí)時(shí)性：系統(tǒng)能盡快地察覺(jué)入侵企圖，以便制

24、止和限制破壞。,8入侵檢測(cè)系統(tǒng)的優(yōu)點(diǎn),可以檢測(cè)和分析系統(tǒng)事件以及用戶(hù)的行為； 可以測(cè)試系統(tǒng)設(shè)置的安全狀態(tài)； 以系統(tǒng)的安全狀態(tài)為基礎(chǔ)，跟蹤任何對(duì)系統(tǒng)安全的修改操作； 通過(guò)模式識(shí)別等技術(shù)從通信行為中檢測(cè)出已知的攻擊行為； 可以對(duì)網(wǎng)絡(luò)通信行為進(jìn)行統(tǒng)計(jì)，并進(jìn)行檢測(cè)分析； 管理操作系統(tǒng)認(rèn)證和日志機(jī)制并對(duì)產(chǎn)生的數(shù)據(jù)進(jìn)行分析處理； 在檢測(cè)到攻擊的時(shí)候，通過(guò)適當(dāng)?shù)姆绞竭M(jìn)行適當(dāng)?shù)膱?bào)警處理； 通過(guò)對(duì)分析引擎的配置對(duì)網(wǎng)絡(luò)的安全進(jìn)行評(píng)估和監(jiān)督； 允許非安全領(lǐng)域的管理人員對(duì)重要的安全事件進(jìn)行有效的處理。,9入侵檢測(cè)系統(tǒng)的局限性,入侵檢測(cè)系統(tǒng)無(wú)法彌補(bǔ)安全防御系統(tǒng)中的安全缺陷和漏洞。 對(duì)于高負(fù)載的網(wǎng)絡(luò)或主機(jī)，很難實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)

25、入侵的實(shí)時(shí)檢測(cè)、報(bào)警和迅速地進(jìn)行攻擊響應(yīng)。 檢測(cè)具有一定的后滯性，而對(duì)于已知的報(bào)警，一些沒(méi)有明顯特征的攻擊行為也很難檢測(cè)到，或需要付出提高誤報(bào)警率的代價(jià)才能夠正確檢測(cè)。 入侵檢測(cè)系統(tǒng)的主動(dòng)防御功能和聯(lián)動(dòng)防御功能會(huì)對(duì)網(wǎng)絡(luò)的行為產(chǎn)生影響，同樣也會(huì)成為攻擊者的目標(biāo)，實(shí)現(xiàn)以入侵檢測(cè)系統(tǒng)過(guò)敏自主防御為基礎(chǔ)的攻擊。,9入侵檢測(cè)系統(tǒng)的局限性（續(xù)）,入侵檢測(cè)系統(tǒng)無(wú)法單獨(dú)防止攻擊行為的滲透，只能調(diào)整相關(guān)網(wǎng)絡(luò)設(shè)備的參數(shù)或人為地進(jìn)行處理。 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)在純交換環(huán)境下無(wú)法正常工作，只有對(duì)交換環(huán)境進(jìn)行一定的處理。 入侵檢測(cè)系統(tǒng)主要是對(duì)網(wǎng)絡(luò)行為進(jìn)行分析檢測(cè)，不能修正信息資源中存在的安全問(wèn)題。 IDS系統(tǒng)本身還在迅速發(fā)

26、展和變化，尚未成熟。,9入侵檢測(cè)系統(tǒng)的局限性（續(xù)）,現(xiàn)有的IDS系統(tǒng)錯(cuò)報(bào)率（或稱(chēng)為虛警率）偏高，嚴(yán)重干擾了檢測(cè)結(jié)果。 事件響應(yīng)與恢復(fù)機(jī)制不完善。 IDS與其他安全技術(shù)的協(xié)作性不夠。 IDS缺少對(duì)檢測(cè)結(jié)果做進(jìn)一步說(shuō)明和分析的輔助工具，這妨礙了用戶(hù)進(jìn)一步理解看到的數(shù)據(jù)或圖表。 缺少防御功能檢測(cè)，作為一種被動(dòng)且功能有限的技術(shù)，缺乏主動(dòng)防御功能。 IDS缺乏國(guó)際統(tǒng)一的標(biāo)準(zhǔn),9入侵檢測(cè)系統(tǒng)的局限性（續(xù)）,產(chǎn)品適應(yīng)能力低 大型網(wǎng)絡(luò)的管理問(wèn)題 處理速度上的瓶頸 拒絕服務(wù)攻擊 插入和規(guī)避,10入侵檢測(cè)系統(tǒng)與防火墻的區(qū)別,“防火墻”是在被保護(hù)網(wǎng)絡(luò)周邊建立的、分隔被保護(hù)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的系統(tǒng)。 采用防火墻技術(shù)的前提

27、條件是：被保護(hù)的網(wǎng)絡(luò)具有明確定義的邊界和服務(wù)；網(wǎng)絡(luò)安全的威脅僅來(lái)自外部網(wǎng)絡(luò)。 但僅僅使用防火墻保障網(wǎng)絡(luò)安全是遠(yuǎn)遠(yuǎn)不夠的。,10.入侵檢測(cè)系統(tǒng)與防火墻的區(qū)別（續(xù)）,入侵檢測(cè)是防火墻的合理補(bǔ)充，為網(wǎng)絡(luò)安全提供實(shí)時(shí)的入侵檢測(cè)并采取相應(yīng)的防護(hù)手段。 入侵檢測(cè)被認(rèn)為是防火墻之后的第二道安全閘門(mén)，在不影響網(wǎng)絡(luò)性能的情況下，能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。 IDS一般不是采取預(yù)防的措施以防止入侵事件的發(fā)生，入侵檢測(cè)作為安全技術(shù)其主要目的在于：識(shí)別入侵者；識(shí)別入侵行為；檢測(cè)和監(jiān)視已成功的安全突破；為對(duì)抗入侵，及時(shí)提供重要信息，阻止事件的發(fā)生和事態(tài)的擴(kuò)大。,4.2.2 侵檢測(cè)方

28、法,1異常檢測(cè) 異常檢測(cè)指根據(jù)使用者的行為或資源使用狀況來(lái)判斷是否發(fā)生入侵事件，而不依賴(lài)于具體行為是否出現(xiàn)來(lái)檢測(cè)，所以也被稱(chēng)為基于行為的檢測(cè)。 異常檢測(cè)的主要思想是：根據(jù)系統(tǒng)的正常活動(dòng)建立一個(gè)特征文件，通過(guò)統(tǒng)計(jì)那些不同于我們已建立的特征文件的所有系統(tǒng)狀態(tài)來(lái)識(shí)別入侵。,異常活動(dòng)和入侵活動(dòng),圖4-7 異?；顒?dòng)集和入侵活動(dòng)集之間的關(guān)系,從圖中可以看出，異常檢測(cè)的關(guān)鍵問(wèn)題是如何選擇合適的域值，使得誤報(bào)和漏報(bào)減少，以及如何選擇選擇所要監(jiān)視的衡量特征。,（1）概率統(tǒng)計(jì)方法,該方法是根據(jù)異常檢測(cè)器觀察主體的活動(dòng)，產(chǎn)生描述這些活動(dòng)行為的參數(shù)。通過(guò)比較當(dāng)前的參數(shù)與已存儲(chǔ)的參數(shù)判斷異常行為，并且已存儲(chǔ)的參數(shù)需要根

29、據(jù)審計(jì)記錄情況不斷地加以更新。 設(shè)M1，M2，Mn為參數(shù)集的特征變量，這些變量可以是CPU的使用、I/O的使用、使用的地點(diǎn)及時(shí)間、郵件使用、文件訪問(wèn)數(shù)量、網(wǎng)絡(luò)會(huì)話時(shí)間等。用S1，S2，Sn分別表示參數(shù)集中變量M1，M2，Mn的異常測(cè)量值。 這些異常測(cè)量值的平方后加權(quán)計(jì)算得出參數(shù)異常值： ai0,概率統(tǒng)計(jì)的特點(diǎn),概率統(tǒng)計(jì)的優(yōu)越性在于所應(yīng)用的技術(shù)方法成熟。 但其也有一些不足： 統(tǒng)計(jì)測(cè)量對(duì)事件的發(fā)生的次序不敏感，單純的統(tǒng)計(jì)入侵檢測(cè)系統(tǒng)可能不會(huì)發(fā)覺(jué)事件當(dāng)中互相依次相連的入侵行為； 單純的統(tǒng)計(jì)入侵檢測(cè)系統(tǒng)將逐漸的訓(xùn)練成單一點(diǎn)，要么行為是異常的，要么是正常的； 難以確定異常閾值，閾值設(shè)置偏低或偏高均會(huì)導(dǎo)致

30、誤報(bào)； 統(tǒng)計(jì)異常檢測(cè)行為類(lèi)型模型是有限的。,（2）預(yù)測(cè)模式生成方法,該方法的假設(shè)條件是事件序列不是隨機(jī)的而是遵循可辨別的模式，它的特點(diǎn)是考慮了事件的序列及相互聯(lián)系。 它利用動(dòng)態(tài)的規(guī)則集來(lái)檢測(cè)入侵。這些規(guī)則由系統(tǒng)的歸納引擎根據(jù)已發(fā)生事件的情況產(chǎn)生，然后得到預(yù)測(cè)將要發(fā)生的事件的概率，歸納引擎為每一種事件設(shè)置可能發(fā)生的概率。其歸納出來(lái)的規(guī)則一般可寫(xiě)成如下形式： E1，Ek: (Ek+1,P(Ek+1), ,( En,P(En) 如果后來(lái)發(fā)生的事件Ek+1，En的統(tǒng)計(jì)結(jié)果與預(yù)測(cè)相比很不正常，則該事件便被標(biāo)志為異常行為。,預(yù)測(cè)模式生成方法的特點(diǎn),預(yù)測(cè)模式生成方法的主要優(yōu)點(diǎn)是： 基于規(guī)則的順序模式能夠檢測(cè)

31、出傳統(tǒng)方法所難以檢測(cè)的異?；顒?dòng)； 用該方法建立起來(lái)的系統(tǒng)，具有很強(qiáng)的適應(yīng)變化能力，這是由于低質(zhì)量的模式不斷被刪除，最終留下來(lái)的是高質(zhì)量的模式； 可以容易檢測(cè)到企圖在學(xué)習(xí)階段訓(xùn)練系統(tǒng)的入侵者； 實(shí)時(shí)性高，可以在收到審計(jì)事件幾秒鐘內(nèi)對(duì)異常活動(dòng)作出檢測(cè)并產(chǎn)生報(bào)警。 該方法的不足之處在于不在規(guī)則庫(kù)中的入侵將會(huì)漏報(bào)。,（3）神經(jīng)網(wǎng)絡(luò)方法,神經(jīng)網(wǎng)絡(luò)方法的基本思想就是用一系列信息單元訓(xùn)練神經(jīng)網(wǎng)絡(luò)中的神經(jīng)單元，該信息單元指的是命令。若神經(jīng)網(wǎng)絡(luò)被訓(xùn)練成能預(yù)測(cè)用戶(hù)輸入命令序列集合，則神經(jīng)網(wǎng)絡(luò)就構(gòu)成用戶(hù)的輪廓框架。 當(dāng)用這個(gè)神經(jīng)網(wǎng)絡(luò)預(yù)測(cè)不出某用戶(hù)正確的后繼命令，即在某種程度上表明了用戶(hù)行為與其輪廓框架的偏離，這是由

32、異常事件發(fā)生，以此就能檢測(cè)異常入侵。,神經(jīng)網(wǎng)絡(luò)方法的特點(diǎn),這種方法的優(yōu)點(diǎn)是： 不依賴(lài)于任何有關(guān)數(shù)據(jù)種類(lèi)的統(tǒng)計(jì)假設(shè)； 具有較好的抗干擾能力； 能自然的說(shuō)明各種影響輸出結(jié)果測(cè)量的相互關(guān)系。 其缺點(diǎn)是： 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)以及各元素的權(quán)重很難確定； 在設(shè)計(jì)網(wǎng)絡(luò)的過(guò)程中，輸入層輸入的命令個(gè)數(shù)的大小難以選取。若設(shè)置太小，則工作就差；若設(shè)置太高，網(wǎng)絡(luò)中需要處理的數(shù)據(jù)就會(huì)太多，降低了網(wǎng)絡(luò)的效率。,2誤用檢測(cè),誤用檢測(cè)技術(shù)（Misuse Detection）也稱(chēng)為基于知識(shí)的檢測(cè)技術(shù)或者模式匹配檢測(cè)技術(shù)。 它的前提是假設(shè)所有的網(wǎng)絡(luò)攻擊行為和方法都具有一定的模式或特征，如果把以前發(fā)現(xiàn)的所有網(wǎng)絡(luò)攻擊的特征總結(jié)出來(lái)并建立一

33、個(gè)入侵信息庫(kù)，那么入侵檢測(cè)系統(tǒng)可以將當(dāng)前捕獲到的網(wǎng)絡(luò)行為特征與入侵信息庫(kù)中的特征信息相比較，如果匹配，則當(dāng)前行為利被認(rèn)定為入侵行為。 可以看出，如果說(shuō)異常檢測(cè)是量化的入侵檢測(cè)分析手段，那么模式匹配就是一種質(zhì)化的入侵檢測(cè)手段。,（1）專(zhuān)家系統(tǒng),它將有關(guān)入侵的知識(shí)轉(zhuǎn)化為if-then結(jié)構(gòu)的規(guī)則，即將構(gòu)成入侵所要求的條件轉(zhuǎn)化為if部分，將發(fā)現(xiàn)入侵后采取的相應(yīng)措施轉(zhuǎn)化成then部分。 在具體實(shí)現(xiàn)中，專(zhuān)家系統(tǒng)主要面臨以下問(wèn)題：全面性問(wèn)題；效率問(wèn)題。,特征分析系統(tǒng),同專(zhuān)家系統(tǒng)一樣，特征分析也需要知道攻擊行為的具體知識(shí)。但是，攻擊方法的語(yǔ)義描述不是被轉(zhuǎn)化為檢測(cè)規(guī)則，而是在審計(jì)記錄中能直接找到的信息形式。 這

34、種方法的缺陷也和所有其他的濫用檢測(cè)方法一樣，即需要經(jīng)常為新發(fā)現(xiàn)的系統(tǒng)漏洞更新知識(shí)庫(kù)；另外，由于對(duì)不同操作系統(tǒng)平臺(tái)的具體攻擊方法可能不同，以及不同平臺(tái)的審計(jì)方式也可能不同，所以對(duì)特征分析檢測(cè)系統(tǒng)進(jìn)行構(gòu)造和維護(hù)的工作量都較大。,（2）模型推理,模型推理是指結(jié)合攻擊腳本推理出入侵行為是否出現(xiàn)。 其中有關(guān)攻擊者行為的知識(shí)被描述為：攻擊者目的，攻擊者達(dá)到此目的的可能行為步驟，以及對(duì)系統(tǒng)的特殊使用等。根據(jù)這些知識(shí)建立攻擊腳本庫(kù)，每一腳本都由一系列攻擊行為組成。,模型推理的檢測(cè)原理,檢測(cè)時(shí)先將這些攻擊腳本的子集看作系統(tǒng)正面臨的攻擊。 然后通過(guò)一個(gè)稱(chēng)為預(yù)測(cè)器的程序模塊根據(jù)當(dāng)前行為模式產(chǎn)生下一個(gè)需要驗(yàn)證的攻擊腳

35、本子集，并將它傳給決策器。 決策器收到信息后，根據(jù)這些假設(shè)的攻擊行為在審計(jì)記錄中可能出現(xiàn)的方式，將它們翻譯成與特定系統(tǒng)匹配的審計(jì)記錄格式。然后在審計(jì)記錄中尋找相應(yīng)信息來(lái)確認(rèn)或否認(rèn)這些攻擊,模型推理的特點(diǎn),模型推理方法的優(yōu)越性有：對(duì)不確定性的推理有合理的數(shù)學(xué)理論基礎(chǔ)，同時(shí)決策器使得攻擊腳本可以與審計(jì)記錄的上下文無(wú)關(guān)。另外，這種檢測(cè)方法也減少了需要處理的數(shù)據(jù)量。 但是創(chuàng)建入侵檢測(cè)模型的工作量比別的方法要大，在系統(tǒng)實(shí)現(xiàn)時(shí)，決策器如何有效地翻譯攻擊腳本也是一個(gè)問(wèn)題。,（3）狀態(tài)轉(zhuǎn)換分析,狀態(tài)轉(zhuǎn)換法將入侵過(guò)程看作一個(gè)行為序列，這個(gè)行為序列導(dǎo)致系統(tǒng)從初始狀態(tài)轉(zhuǎn)入被入侵狀態(tài)。 分析時(shí)，首先針對(duì)每一種入侵方法

36、確定系統(tǒng)的初始狀態(tài)和被入侵狀態(tài)，以及導(dǎo)致?tīng)顟B(tài)轉(zhuǎn)換的轉(zhuǎn)換條件。然后用狀態(tài)轉(zhuǎn)換圖來(lái)表示每一個(gè)狀態(tài)和特征事件，這些事件被集成于模型中，所以檢測(cè)時(shí)不需要一個(gè)個(gè)地查找審計(jì)記錄。 但是，狀態(tài)轉(zhuǎn)換是針對(duì)事件序列分析，所以不善于分析過(guò)分復(fù)雜的事件，而且不能檢測(cè)與系統(tǒng)狀態(tài)無(wú)關(guān)的入侵。,Petri網(wǎng),Petri網(wǎng)用于入侵行為分析是一種類(lèi)似于狀態(tài)轉(zhuǎn)換圖分析的方法。利用Petri網(wǎng)的有利之處在于它能一般化、圖形化地表達(dá)狀態(tài)，并且簡(jiǎn)潔明了。,圖4-8 Petri網(wǎng)分析一分鐘4次登錄失敗,（4）特征分析,特征分析誤用檢測(cè)與專(zhuān)家系統(tǒng)誤用檢測(cè)一樣，也需要搜集關(guān)于網(wǎng)絡(luò)入侵行為的各種知識(shí)。 特征分析誤用檢測(cè)將入侵行為表示成一個(gè)事

37、件序列或者轉(zhuǎn)換成某種可以直接在網(wǎng)絡(luò)數(shù)據(jù)包審計(jì)記錄中找到的數(shù)據(jù)樣板，而不進(jìn)行規(guī)則轉(zhuǎn)換，這樣可以直接從審計(jì)數(shù)據(jù)中提取相應(yīng)的數(shù)據(jù)與之匹配，因此不需要處理大量的數(shù)據(jù)，從而提高了運(yùn)行效率。,（5）條件概率,條件概率誤用檢測(cè)方法將網(wǎng)絡(luò)入侵方式看作一個(gè)事件序列，根據(jù)所觀測(cè)到的各種網(wǎng)絡(luò)事件的發(fā)生情況來(lái)推測(cè)入侵行為的發(fā)生。 條件概率誤用檢測(cè)方法應(yīng)用貝葉斯定理對(duì)入侵進(jìn)行推理檢測(cè)，原理如下： 事件序列表示為ES，先驗(yàn)概率為P（Intrusion），后驗(yàn)概率為P（ESIntrusion），事件出現(xiàn)的概率為P（ES），則 P（Intrusion | ES）=P（ES | Intrusion）P（Intrusion）/P

38、（ES） 可以計(jì)算出 P（ES）（P（ES | Intrusion）-P（ES | Intrusson）P（Intrusion）+P（ES | Intrusson）,（6）鍵盤(pán)監(jiān)控,鍵盤(pán)監(jiān)控誤用檢測(cè)方法假設(shè)每種網(wǎng)絡(luò)入侵行為都具有特定的擊鍵序列模式，入侵檢測(cè)系統(tǒng)監(jiān)視各個(gè)用戶(hù)的擊鍵模式，并將該模式與已有的入侵擊鍵模式相匹配，如果匹配成功就認(rèn)為是網(wǎng)絡(luò)入侵行為。 這種方法的不足之處是如果操作系統(tǒng)沒(méi)有提供相應(yīng)的支持，則缺少可靠的方法來(lái)捕獲用戶(hù)的擊鍵行為，可能存在多種擊鍵方式表示同一種攻擊的情況，而且不能對(duì)擊鍵進(jìn)行語(yǔ)義分析，攻擊者使用命令的各種別名就很容易欺騙這種技術(shù)。此外，因?yàn)檫@種技術(shù)僅分析擊鍵行為，所

39、以對(duì)于那些利用程序進(jìn)行自動(dòng)攻擊的行為無(wú)法檢測(cè)。,誤用檢測(cè)技術(shù)的優(yōu)點(diǎn),檢測(cè)準(zhǔn)確度高； 技術(shù)相對(duì)成熟； 便于進(jìn)行系統(tǒng)防護(hù)； 可以按功能劃分，縮小模式數(shù)據(jù)庫(kù)所涉及的模式量大小，也就是說(shuō)模式匹配具有很強(qiáng)的可分割性、獨(dú)立性。 模式匹配具有很強(qiáng)的針對(duì)性，對(duì)已知的入侵方法檢測(cè)效率很高。,誤用檢測(cè)技術(shù)的缺點(diǎn),不能檢測(cè)出新的入侵行為； 完全依賴(lài)于入侵特征的有效性； 通常不具備自學(xué)習(xí)能力，對(duì)新攻擊的檢測(cè)分析必須補(bǔ)充模式數(shù)據(jù)庫(kù)，維護(hù)特征庫(kù)的工作量巨大； 難以檢測(cè)來(lái)自?xún)?nèi)部用戶(hù)的攻擊； 可測(cè)量性與性能都和模式數(shù)據(jù)庫(kù)的大小、體系結(jié)構(gòu)有關(guān)； 可擴(kuò)展性差，沒(méi)有通用的模式規(guī)格說(shuō)明語(yǔ)言； 攻擊行為轉(zhuǎn)化為模式比較困難，并且不具備統(tǒng)

40、一性。,3異常檢測(cè)技術(shù)和誤用檢測(cè)技術(shù)的比較,基于異常檢測(cè)技術(shù)的入侵檢測(cè)系統(tǒng)如果想檢測(cè)到所有的網(wǎng)絡(luò)入侵行為，必須掌握被保護(hù)系統(tǒng)已知行為和預(yù)期行為的所有信息。 基于誤用檢測(cè)技術(shù)的入侵檢測(cè)系統(tǒng)只有擁有所有可能的入侵行為的先驗(yàn)知識(shí)，而且必須能識(shí)別各種入侵行為的過(guò)程細(xì)節(jié)或者每種入侵行為的特征模式，才能檢測(cè)到所有的入侵行為，該類(lèi)入侵檢測(cè)系統(tǒng)只能檢測(cè)出已有的入侵模式，必須不斷地對(duì)新出現(xiàn)的入侵行為進(jìn)行總結(jié)和歸納。,3異常檢測(cè)技術(shù)和誤用檢測(cè)技術(shù)的比較（續(xù)）,基于異常檢測(cè)技術(shù)的入侵檢測(cè)系統(tǒng)通常比基于誤用檢測(cè)技術(shù)的入侵檢測(cè)系統(tǒng)所做的工作要少很多，要求管理員能夠總結(jié)出被保護(hù)系統(tǒng)的所有正常行為狀態(tài)，對(duì)系統(tǒng)的已知和期望行

41、為進(jìn)行全面的分析，因此配置難度相對(duì)較大。 有些基于誤用檢測(cè)技術(shù)的入侵檢測(cè)系統(tǒng)允許管理員對(duì)入侵特征數(shù)據(jù)庫(kù)進(jìn)行修改，甚至允許管理員自己根據(jù)所發(fā)現(xiàn)的攻擊行為創(chuàng)建新的網(wǎng)絡(luò)入侵特征規(guī)則記錄，這種入侵檢測(cè)系統(tǒng)在系統(tǒng)配置方面的工作量會(huì)顯著增加。,3異常檢測(cè)技術(shù)和誤用檢測(cè)技術(shù)的比較（續(xù)）,基于異常檢測(cè)技術(shù)的入侵檢測(cè)系統(tǒng)所輸出的檢測(cè)結(jié)果，通常是在對(duì)實(shí)際行為與行為輪廓進(jìn)行異常分析等相關(guān)處理后得出的，這類(lèi)入侵檢測(cè)系統(tǒng)的檢測(cè)報(bào)告通常會(huì)比基于誤用檢測(cè)技術(shù)的入侵檢測(cè)系統(tǒng)具有更多的數(shù)據(jù)量。 大多數(shù)基于誤用檢測(cè)技術(shù)的入侵檢測(cè)系統(tǒng)，是將當(dāng)前行為模式與已有行為模式進(jìn)行匹配后產(chǎn)生檢測(cè)結(jié)論，其輸出內(nèi)容是列舉出入侵行為的類(lèi)型和名稱(chēng)，以

42、及提供相應(yīng)的處理建議。,4入侵檢測(cè)新技術(shù),遺傳算法 遺傳算法的基本原理是首先定義一組入侵檢測(cè)指令集，這些指令用于檢測(cè)出正?；蛘弋惓５男袨?。指令中包含若干字符串，所有的指令在定義初期的檢測(cè)能力都很有限，入侵檢測(cè)系統(tǒng)對(duì)這些指令逐步地進(jìn)行訓(xùn)練，促使指令中的字符串片段發(fā)生重組，以生成新的字符串指令。再?gòu)男碌闹噶钪薪?jīng)過(guò)測(cè)試篩選出檢測(cè)能力最強(qiáng)的部分指令，對(duì)它們進(jìn)行下一輪的訓(xùn)練。如此反復(fù)，使檢測(cè)指令的檢測(cè)能力不斷提高。直到指令的檢測(cè)能力不會(huì)有明顯的提高，訓(xùn)練過(guò)程即可結(jié)束，此時(shí)這些指令已經(jīng)具有一定的檢測(cè)能力，入侵檢測(cè)系統(tǒng)可以使用它們進(jìn)行網(wǎng)絡(luò)入侵檢測(cè)。,4入侵檢測(cè)新技術(shù)（續(xù)）,免疫技術(shù) 計(jì)算機(jī)免疫技術(shù)為入侵檢測(cè)

43、提供了一個(gè)思路，即通過(guò)正常行為的學(xué)習(xí)來(lái)識(shí)別不符合常態(tài)的行為序列。 當(dāng)系統(tǒng)的一個(gè)關(guān)鍵程序投入使用后，它的運(yùn)行情況一般變化不大，具有相對(duì)的穩(wěn)定性。因而可以利用系統(tǒng)進(jìn)程正常執(zhí)行軌跡中的系統(tǒng)調(diào)用短序列集，來(lái)構(gòu)建系統(tǒng)進(jìn)程正常執(zhí)行活動(dòng)的特征輪廓。由于利用這些關(guān)鍵程序的缺陷進(jìn)行攻擊時(shí)，對(duì)應(yīng)的進(jìn)程必然執(zhí)行一些不同于正常執(zhí)行時(shí)的代碼分支，因而就會(huì)出現(xiàn)關(guān)鍵程序特征輪廓中沒(méi)有的系統(tǒng)調(diào)用短序列。當(dāng)檢測(cè)到特征輪廓中不存在的系統(tǒng)調(diào)用序列的量達(dá)到某一條件后，就認(rèn)為被監(jiān)控的進(jìn)程正企圖攻擊系統(tǒng)。,4入侵檢測(cè)新技術(shù)（續(xù)）,數(shù)據(jù)挖掘方法 數(shù)據(jù)挖掘是指從大型數(shù)據(jù)庫(kù)或數(shù)據(jù)倉(cāng)庫(kù)中提取人們感興趣的知識(shí)，這些知識(shí)是隱含的、事先未知的潛在有用

44、信息。 數(shù)據(jù)挖掘技術(shù)在入侵檢測(cè)中主要有兩個(gè)方向，一是發(fā)現(xiàn)入侵的規(guī)則、模式，與誤用檢測(cè)（或模式匹配）檢測(cè)方法相結(jié)合；二是用于異常檢測(cè)，找出用戶(hù)正常行為，創(chuàng)建用戶(hù)的正常行為庫(kù)。 將數(shù)據(jù)挖掘技術(shù)應(yīng)用于入侵檢測(cè)是因?yàn)槠渚哂刑幚泶罅繑?shù)據(jù)記錄的能力。 數(shù)據(jù)采掘異常檢測(cè)方法的優(yōu)勢(shì)在于處理數(shù)據(jù)的能力，缺點(diǎn)是系統(tǒng)整體運(yùn)行效率較低。,4.2.3 入侵檢測(cè)系統(tǒng)的部署,根據(jù)所掌握的網(wǎng)絡(luò)檢測(cè)技術(shù)和安全需求，選取各種類(lèi)型的入侵檢測(cè)系統(tǒng)。 將多種入侵檢測(cè)系統(tǒng)按照預(yù)定的計(jì)劃進(jìn)行部署，確保每個(gè)入侵檢測(cè)系統(tǒng)都能夠在相應(yīng)部署點(diǎn)上發(fā)揮作用，共同防護(hù)，保障網(wǎng)絡(luò)的安全運(yùn)行。,1安全區(qū)域,安全區(qū)域（zone）是防火墻產(chǎn)品所引入的一個(gè)安全概

45、念，是防火墻產(chǎn)品區(qū)別于路由器的主要特征。 當(dāng)一個(gè)數(shù)據(jù)流通過(guò)防火墻設(shè)備的時(shí)候，根據(jù)其發(fā)起方向的不同，所引起的操作是截然不同的。由于這種安全級(jí)別上的差別，再采用在接口上檢查安全策略的方式已經(jīng)不適用，將造成用戶(hù)在配置上的混亂。因此，防火墻提出了安全區(qū)域的概念。 一個(gè)安全區(qū)域包括一個(gè)或多個(gè)接口的組合，具有一個(gè)安全級(jí)別。數(shù)據(jù)在屬于同一個(gè)安全區(qū)域的不同接口間流動(dòng)時(shí)不會(huì)引起任何檢查。,安全區(qū)域劃分,如圖4-9所示，一般防火墻上保留四個(gè)安全區(qū)域：,圖4-9 安全區(qū)域劃分,接口、網(wǎng)絡(luò)、安全區(qū)域,除了Local區(qū)域以外，在使用其他所有安全區(qū)域時(shí)，需要將安全區(qū)域分別與防火墻的特定接口相關(guān)聯(lián)，即將接口加人到區(qū)域。 另

46、外安全區(qū)域與各網(wǎng)絡(luò)的關(guān)聯(lián)遵循一些原則： 內(nèi)部網(wǎng)絡(luò)應(yīng)安排在安全級(jí)別較高的區(qū)域； 外部網(wǎng)絡(luò)應(yīng)安排在安全級(jí)別最低的區(qū)域； 一些可對(duì)外部提供有條件服務(wù)的網(wǎng)絡(luò)應(yīng)安排在安全級(jí)別中等的DMZ區(qū)。,入方向與出方向,如圖4-10所示，不同級(jí)別的安全區(qū)域間的數(shù)據(jù)流動(dòng)都將激發(fā)防火墻進(jìn)行安全策略的檢查，并且可以為不同流動(dòng)方向設(shè)置不同的安全策略。域間的數(shù)據(jù)流分兩個(gè)方向：,入方向（inbound）：數(shù)據(jù)由低級(jí)別的安全區(qū)域向高級(jí)別的安全區(qū)域傳輸?shù)姆较颍?出方向（outbound）；數(shù)據(jù)由高級(jí)別的安全區(qū)域向低級(jí)別的安全區(qū)域傳輸?shù)姆较颉?2入侵檢測(cè)系統(tǒng)的部署,基于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的部署?；诰W(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)可以在網(wǎng)絡(luò)的多個(gè)位

47、置進(jìn)行部署?？傮w來(lái)說(shuō)，入侵檢測(cè)的部署點(diǎn)可以劃分為4個(gè)位置：DMZ區(qū)、外網(wǎng)入口、內(nèi)網(wǎng)主干、關(guān)鍵子網(wǎng)，如圖4-11所示。,圖4-11 入侵檢測(cè)系統(tǒng)部署位置圖,DMZ區(qū),DMZ區(qū)部署點(diǎn)在DMZ區(qū)的總口上，這是入侵檢測(cè)器最常見(jiàn)的部署位置。 在這里入侵檢測(cè)器可以檢測(cè)到所有針對(duì)用戶(hù)向外提供服務(wù)的服務(wù)器進(jìn)行攻擊的行為。 在該部署點(diǎn)進(jìn)行入侵檢測(cè)有以下優(yōu)點(diǎn)： 檢測(cè)來(lái)自外部的攻擊，這些攻擊已經(jīng)滲入過(guò)第一層防御體系； 可以容易地檢測(cè)網(wǎng)絡(luò)防火墻的性能并找到配置策略中的問(wèn)題； DMZ區(qū)通常放置的是對(duì)內(nèi)外提供服務(wù)的重要的服務(wù)設(shè)備，因此，所檢測(cè)的對(duì)象集中于關(guān)鍵的服務(wù)設(shè)備；,外網(wǎng)入口,外網(wǎng)入口部署點(diǎn)位于防火墻之前，入侵檢測(cè)器

48、在這個(gè)部署點(diǎn)可以檢測(cè)所有進(jìn)出防火墻外網(wǎng)口的數(shù)據(jù)。 在這個(gè)位置上，入侵檢測(cè)器可以檢測(cè)到所有來(lái)自外部網(wǎng)絡(luò)的攻擊行為并進(jìn)行記錄，這些攻擊包括對(duì)內(nèi)部服務(wù)器的攻擊、對(duì)防火墻本身的攻擊以及內(nèi)網(wǎng)機(jī)器不正常的數(shù)據(jù)通信行為。 在該部署點(diǎn)進(jìn)行入侵檢測(cè)有以下優(yōu)點(diǎn)： 可以對(duì)針對(duì)目標(biāo)網(wǎng)絡(luò)的攻擊進(jìn)行計(jì)數(shù)、并記錄最為原始的攻擊數(shù)據(jù)包； 可以記錄針對(duì)目標(biāo)網(wǎng)絡(luò)的攻擊類(lèi)型。,內(nèi)網(wǎng)主干,內(nèi)網(wǎng)主干部署點(diǎn)是最常用的部署位置，在這里入侵檢測(cè)器主要檢測(cè)內(nèi)網(wǎng)流出和經(jīng)過(guò)防火墻過(guò)濾后流入內(nèi)網(wǎng)的網(wǎng)絡(luò)數(shù)據(jù)。 在這個(gè)位置，入侵檢測(cè)器可以檢測(cè)所有通過(guò)防火墻進(jìn)入的攻擊以及內(nèi)部網(wǎng)向外部的不正常操作，并且可以準(zhǔn)確地定位攻擊的源和目的，方便系統(tǒng)管理員進(jìn)行針對(duì)性

49、的網(wǎng)絡(luò)管理。 在該部署點(diǎn)進(jìn)行入侵檢測(cè)有以下優(yōu)點(diǎn)： 檢測(cè)大量的網(wǎng)絡(luò)通信提高了檢測(cè)攻擊的識(shí)別可能； 檢測(cè)內(nèi)網(wǎng)可信用戶(hù)的越權(quán)行為； 實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)絡(luò)信息的檢測(cè)。,關(guān)鍵子網(wǎng),通過(guò)對(duì)這些子網(wǎng)進(jìn)行安全檢測(cè)，可以檢測(cè)到來(lái)自?xún)?nèi)部以及外部的所有不正常的網(wǎng)絡(luò)行為，這樣可以有效地保護(hù)關(guān)鍵的網(wǎng)絡(luò)不會(huì)被外部或沒(méi)有權(quán)限的內(nèi)部用戶(hù)侵入，造成關(guān)鍵數(shù)據(jù)泄漏或丟失。 在該部署點(diǎn)進(jìn)行入侵檢測(cè)具有以下優(yōu)點(diǎn)： 集中資源用于檢測(cè)針對(duì)關(guān)鍵系統(tǒng)和資源的來(lái)自企業(yè)內(nèi)外部的攻擊； 將有限的資源進(jìn)行有效部署，獲取最高的使用價(jià)值。,（2）基于主機(jī)入侵檢測(cè)系統(tǒng)的部署,在基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)部署并配置完成后，基于主機(jī)的入侵檢測(cè)系統(tǒng)的部署可以給系統(tǒng)提供高級(jí)

50、別的保護(hù)。 基于主機(jī)的入侵檢測(cè)系統(tǒng)主要安裝在關(guān)鍵主機(jī)上，這樣可以減少規(guī)劃部署的花費(fèi)，使管理的精力集中在最重要最需要保護(hù)的主機(jī)上。 為了便于對(duì)基于主機(jī)的入侵檢測(cè)系統(tǒng)的檢測(cè)結(jié)果進(jìn)行及時(shí)檢查，需要對(duì)系統(tǒng)產(chǎn)生的日志進(jìn)行集中。通過(guò)進(jìn)行集中的分析、整理和顯示，可以大大減少對(duì)網(wǎng)絡(luò)安全系統(tǒng)日常維護(hù)的復(fù)雜性和難度。,4.2.4 入侵檢測(cè)技術(shù)發(fā)展,1入侵技術(shù)的發(fā)展 從最近幾年的發(fā)展趨勢(shì)看，入侵技術(shù)的發(fā)展與演化主要反映在下面幾個(gè)方面： （1）入侵和攻擊的復(fù)雜化與綜合化 （2）入侵主體的間接化 （3）入侵和攻擊的規(guī)模擴(kuò)大 （4）入侵和攻擊技術(shù)的分布化 （5）攻擊對(duì)象的轉(zhuǎn)移,2入侵檢測(cè)技術(shù)的發(fā)展方向,功能與性能提高 改

51、進(jìn)檢測(cè)方法，提高檢測(cè)準(zhǔn)確率，減少漏報(bào)和誤報(bào) 檢測(cè)和防范分布式攻擊和拒絕服務(wù)攻擊 實(shí)現(xiàn)入侵檢測(cè)系統(tǒng)與其他安全部件的互動(dòng) 入侵檢測(cè)系統(tǒng)的標(biāo)準(zhǔn)化工作 入侵檢測(cè)系統(tǒng)的測(cè)試和評(píng),3下一代IDS關(guān)鍵技術(shù),（1）智能關(guān)聯(lián) 智能關(guān)聯(lián)是將企業(yè)相關(guān)系統(tǒng)的信息(如主機(jī)特征信息)與網(wǎng)絡(luò)IDS檢測(cè)結(jié)構(gòu)相融合，從而減少誤警。 智能關(guān)聯(lián)包括主動(dòng)關(guān)聯(lián)和被動(dòng)關(guān)聯(lián)。主動(dòng)關(guān)聯(lián)是通過(guò)掃描確定主機(jī)漏洞；被動(dòng)關(guān)聯(lián)是借助操作系統(tǒng)的指紋識(shí)別技術(shù)，即通過(guò)分析IP、TCP報(bào)頭信息識(shí)別主機(jī)上的操作系統(tǒng)。,指紋識(shí)別技術(shù),IDS有時(shí)會(huì)出現(xiàn)誤報(bào)造成這種現(xiàn)象的原因是當(dāng)IDS檢測(cè)系統(tǒng)是否受到基于某種漏洞的攻擊時(shí)，沒(méi)有考慮主機(jī)的脆弱性信息。 因此新一代IDS

52、產(chǎn)品利用被動(dòng)指紋識(shí)別技術(shù)構(gòu)造一個(gè)主機(jī)信息庫(kù)，該技術(shù)通過(guò)對(duì)TCP、IP報(bào)頭中相關(guān)字段進(jìn)行識(shí)別來(lái)確定操作系統(tǒng)(OS)類(lèi)型。,被動(dòng)指紋識(shí)別技術(shù)的工作原理,被動(dòng)指紋識(shí)別技術(shù)的實(shí)質(zhì)是匹配分析法。 匹配雙方一個(gè)是來(lái)自源主機(jī)數(shù)據(jù)流中的TCP、IP報(bào)頭信息，另一個(gè)是特征數(shù)據(jù)庫(kù)中的目標(biāo)主機(jī)信息，通過(guò)將兩者做匹配來(lái)識(shí)別源主機(jī)發(fā)送的數(shù)據(jù)流中是否含有惡意信息。,被動(dòng)指紋識(shí)別技術(shù)的工作流程,指紋識(shí)別引擎檢查SYN報(bào)頭，提取特定標(biāo)識(shí)符； 從特征庫(kù)中提取目標(biāo)主機(jī)上的操作系統(tǒng)信息； 更新主機(jī)信息表； 傳感器檢測(cè)到帶有惡意信息的數(shù)據(jù)報(bào)，在發(fā)出警告前先與主機(jī)信息表中的內(nèi)容進(jìn)行比較； 傳感器發(fā)現(xiàn)該惡意數(shù)據(jù)報(bào)是針對(duì)Windows服務(wù)

53、器的，而目標(biāo)主機(jī)是Linux服務(wù)器，所以IDS將抑制該告警的產(chǎn)生。,被動(dòng)指紋識(shí)別技術(shù)的工作流程（續(xù)）,圖4-12 被動(dòng)指紋識(shí)別技術(shù)工作流程,（2）告警泛濫抑制,IDS產(chǎn)品使用告警泛濫抑制技術(shù)可以降低誤警率。 所謂“告警泛濫”是指短時(shí)間內(nèi)產(chǎn)生的關(guān)于同一攻擊的告警。 告警泛濫抑制技術(shù)是將一些規(guī)則或參數(shù)(包括警告類(lèi)型、源IP、目的IP以及時(shí)間窗大小)融入到IDS傳感器中，使傳感器能夠識(shí)別告警飽和現(xiàn)象并實(shí)施抑制操作。,（3）告警融合,該技術(shù)是將不同傳感器產(chǎn)生的、具有相關(guān)性的低級(jí)別告警融合成更高級(jí)別的警告信息，這有助于解決誤報(bào)和漏報(bào)問(wèn)題。 當(dāng)與低級(jí)別警告有關(guān)的條件或規(guī)則滿足時(shí)，安全管理員在IDS上定義的

54、元告警相關(guān)性規(guī)則就會(huì)促使高級(jí)別警告產(chǎn)生。 與警告相關(guān)性規(guī)則中定義的參數(shù)包括時(shí)間窗、事件數(shù)量、事件類(lèi)型IP地址、端口號(hào)、事件順序。,（4）可信任防御模型,下一代IDS產(chǎn)品中，融入可信任防御模型后，將會(huì)對(duì)第一代IPS產(chǎn)品遇到的問(wèn)題(誤報(bào)導(dǎo)致合法數(shù)據(jù)被阻塞、丟棄；自身原因造成的拒絕服務(wù)攻擊泛濫；應(yīng)用級(jí)防御)有個(gè)圓滿的解決。 可信任防御模型中采用的機(jī)制： 信任指數(shù) 拒絕服務(wù)攻擊（DoS） 應(yīng)用級(jí)攻擊,4IDS發(fā)展趨勢(shì),在安全漏洞被發(fā)現(xiàn)與被攻擊之間的時(shí)間差不斷縮小的情況下，基于特征檢測(cè)匹配技術(shù)的IDS已經(jīng)力不從心。 IDS出現(xiàn)了銷(xiāo)售停滯，但I(xiàn)DS不會(huì)立刻消失，而是將IDS將成為安全信息管理（SIM）框架

55、的組成部分。在SIM框架中，IDS的作用可以通過(guò)檢測(cè)和報(bào)告技術(shù)得到加強(qiáng)。 一些廠商通過(guò)將IDS報(bào)警與安全漏洞信息進(jìn)行關(guān)聯(lián)分析，著手解決IDS的缺陷。,4.2.5 與入侵檢測(cè)有關(guān)的新技術(shù),1入侵容忍系統(tǒng) 目前入侵檢測(cè)系統(tǒng)的性能（誤警率和檢測(cè)率）沒(méi)有得到大的提高，這主要是因?yàn)楝F(xiàn)有的檢測(cè)技術(shù)和響應(yīng)策略有根本的限制。 我們的網(wǎng)絡(luò)系統(tǒng)也應(yīng)像人體一樣具有入侵容忍能力，成為入侵容忍系統(tǒng)（Intrusion Tolerant System，簡(jiǎn)稱(chēng)ITS）。,（1）入侵容忍概述,入侵容忍概念 入侵容忍系統(tǒng)（也稱(chēng)為容侵系統(tǒng)）是指網(wǎng)絡(luò)系統(tǒng)在遭受一定的入侵或攻擊的情況下，仍然能夠提供所希望的服務(wù)。 網(wǎng)絡(luò)入侵容忍的主要研

56、究?jī)?nèi)容有三點(diǎn)：第一是研究專(zhuān)注于對(duì)服務(wù)產(chǎn)生威脅的事件的入侵觸發(fā)器；第二是充分利用容錯(cuò)理論研究中的優(yōu)秀成果；第三是利用研究所得的入侵容忍理論和技術(shù)最終能構(gòu)建一個(gè)新的網(wǎng)絡(luò)安全信息系統(tǒng)。,入侵容忍概念（續(xù)）,所謂入侵容忍，就是入侵容忍（Intrusfon Tolerance），也就是當(dāng)一個(gè)網(wǎng)絡(luò)系統(tǒng)遭受入侵，而一些安全技術(shù)都失效或者不能完全排除入侵所造成的影響時(shí)，入侵容忍就可以作為系統(tǒng)的最后一道防線，即使系統(tǒng)的某些組件遭受攻擊者的破壞，但整個(gè)系統(tǒng)仍能提供全部或者提供降級(jí)的服務(wù)。 之所以把這種方案稱(chēng)做入侵容忍，是因?yàn)樗腔谌肭謾z測(cè)和容錯(cuò)已做的工作的基礎(chǔ)之上的。,入侵容忍概念（續(xù)）,如圖4-13所示，它形

57、象地說(shuō)明了保護(hù)、檢測(cè)、入侵容忍三者之間的關(guān)系。,圖4-13 入侵容忍示意圖,容侵與容錯(cuò)的比較,在一個(gè)先進(jìn)的容錯(cuò)系統(tǒng)中，處理某個(gè)錯(cuò)誤可能包含以下四個(gè)步驟：錯(cuò)誤檢測(cè)、破壞情況估計(jì)、重新配置和恢復(fù)。 但是當(dāng)前的入侵檢測(cè)系統(tǒng)卻遠(yuǎn)遠(yuǎn)達(dá)不到這個(gè)程度，所以必須依靠入侵容忍系統(tǒng)來(lái)解決這個(gè)問(wèn)題。 從上面的討論可以看出，入侵容忍（Intrusion Tolerance，簡(jiǎn)稱(chēng)容侵）是容錯(cuò)（Fault Tolerance）的一種延伸。 所以很多容錯(cuò)的方法都可以應(yīng)用到容侵中來(lái)。冗余是計(jì)算機(jī)容錯(cuò)中一個(gè)有效的方法。,容侵與容錯(cuò)的比較（續(xù)）,由于容錯(cuò)技術(shù)發(fā)展得很成熟，怎么將容錯(cuò)方法應(yīng)用到我們的入侵容忍中來(lái)，將是一個(gè)很大的挑戰(zhàn)

58、。其難點(diǎn)主要表現(xiàn)在： 容錯(cuò)技術(shù)大多著眼于植根在設(shè)計(jì)或?qū)崿F(xiàn)階段的意外故障或者惡意故障。這個(gè)著眼點(diǎn)允許對(duì)可預(yù)言的故障行為進(jìn)行一些合理的假設(shè)。而表現(xiàn)為受到安全威脅的系統(tǒng)組件的主動(dòng)入侵，它的行為完全是受到惡意控制，使得故障行為不可預(yù)知。 主動(dòng)入侵也包括來(lái)自于系統(tǒng)組件外部的入侵，而在傳統(tǒng)的容錯(cuò)系統(tǒng)中根本就沒(méi)有考慮到。 現(xiàn)成的容錯(cuò)大多著眼于明確定義的硬軟件模塊，它們的故障模式相對(duì)容易定義。而考慮到大的分布式服務(wù)設(shè)施，每個(gè)組件具有復(fù)雜的功能，所以使得定義它們的故障模式更加困難。,（2）入侵容忍體系結(jié)構(gòu),圖4-14 入侵容忍體系結(jié)構(gòu),（2）入侵容忍體系結(jié)構(gòu)（續(xù)）,代理服務(wù)器 對(duì)正在進(jìn)行的請(qǐng)求，維持最新的和一致

59、的狀態(tài)； 服務(wù)環(huán)境的有效遷移； IDS和請(qǐng)求的負(fù)載控制。 接收監(jiān)視器 檢查結(jié)果的合理性； COTS服務(wù)器的可信狀態(tài)的監(jiān)視。 投票監(jiān)視器 在投票/裁決之前進(jìn)行復(fù)雜結(jié)果的轉(zhuǎn)換； 決定結(jié)果的發(fā)布者（可以固定指定，也可以動(dòng)態(tài)選擇）。,（2）入侵容忍體系結(jié)構(gòu)（續(xù)）,審計(jì)控制 進(jìn)行周期性診斷測(cè)試：驗(yàn)證審計(jì)記錄來(lái)檢測(cè)組件中的異常行為； 維護(hù)所有系統(tǒng)組件的審計(jì)日志。 自適應(yīng)性重新配置 當(dāng)出現(xiàn)意外的或者惡意的故障時(shí)，通過(guò)重新配置系統(tǒng)來(lái)自動(dòng)執(zhí)行安全策略。 此種體系結(jié)構(gòu)的缺陷。首先此種體系結(jié)構(gòu)中對(duì)于提供不同類(lèi)型服務(wù)的服務(wù)器，沒(méi)有必要全互聯(lián)，因?yàn)槭沟孟到y(tǒng)的代價(jià)較高，并且實(shí)現(xiàn)復(fù)雜，卻沒(méi)有什么實(shí)際用途。,（3）基于狀態(tài)遷移的入侵容忍模型,圖4-15 入侵容忍系統(tǒng)的狀態(tài)遷移圖,（3）基于狀態(tài)遷移的入侵容忍模型（續(xù)）,建立在此模型上的系統(tǒng)允許多個(gè)入侵容忍策略存在并且支持不同級(jí)別的安全需求，因?yàn)榇藸顟B(tài)轉(zhuǎn)換模型主要著眼于攻擊對(duì)系統(tǒng)服務(wù)所造成的影響，而不是攻擊過(guò)程本身。所以能夠處理以前未知的攻擊，只要這種攻擊對(duì)我們的服務(wù)所造成的影響與已知攻擊相似。 此種模型存在一定的缺陷。首先，此模型只是一個(gè)靜態(tài)轉(zhuǎn)換，而不