信息安全05-入侵檢測技術

1、第5章 入侵檢測技術內容提要：入侵檢測概述入侵檢測的技術實現分布式入侵檢測入侵檢測系統(tǒng)的標準入侵檢測系統(tǒng)示例本章小結2022/10/131入侵檢測測技術研研究最早早可追溯溯到1980年JamesP.Aderson所寫的一一份技術術報告，他首先先提出了了入侵檢檢測的概概念。1987年Dorothy Denning提出了入入侵檢測測系統(tǒng)（IDS，IntrusionDetection System）的抽象象模型（如圖5-1所示），首次提提出了入入侵檢測測可作為為一種計計算機系系統(tǒng)安全全防御措措施的概概念與傳統(tǒng)的的加密和和訪問控控制技術術相比，IDS是全新的的計算機機安全措措施。返回本章章首頁入侵檢測

2、測發(fā)展歷歷史2020-03-022返回本章章首頁入侵檢測測發(fā)展歷歷史2020-03-0231988年TeresaLunt等人進一一步改進進了Denning提出的入入侵檢測測模型，并創(chuàng)建建了IDES（IntrusionDetection ExpertSystem）該系統(tǒng)用用于檢測測單一主主機的入入侵嘗試試，提出出了與系系統(tǒng)平臺臺無關的的實時檢檢測思想想1995年開發(fā)的的NIDES（Next-GenerationIntrusion DetectionExpertSystem）作為IDES完善后的的版本可可以檢測測出多個個主機上上的入侵侵。返回本章章首頁入侵檢測測發(fā)展歷歷史2020-03-02419

3、90年，Heberlein等人提出出了一個個具有里里程碑意意義的新新型概念念：基于于網絡的的入侵檢檢測網絡安全全監(jiān)視器器NSM（Network Security Monitor）。1991年,NADIR（Network AnomalyDetection andIntrusionReporter）與DIDS（Distribute IntrusionDetectionSystem）提出了了通過收收集和合合并處理理來自多多個主機機的審計計信息可可以檢測測出一系系列針對對主機的的協同攻攻擊。返回本章章首頁入侵檢測測發(fā)展歷歷史2020-03-0251994年，Mark Crosbie和Gene Spaf

4、ford建議使用用自治代代理（autonomous agents）以提高高IDS的可伸縮縮性、可可維護性性、效率率和容錯錯性，該該理念非非常符合合計算機機科學其其他領域域（如軟軟件代理理，softwareagent）正在進進行的相相關研究究。另一個致致力于解解決當代代絕大多多數入侵侵檢測系系統(tǒng)伸縮縮性不足足的方法法于1996年提出，這就是是GrIDS（Graph-basedIntrusionDetection System）的設計計和實現現，該系系統(tǒng)可以以方便地地檢測大大規(guī)模自自動或協協同方式式的網絡絡攻擊。返回本章章首頁入侵檢測測發(fā)展歷歷史2020-03-026入侵檢測測技術研研究的主主要創(chuàng)

5、新新有：Forrest等將免疫疫學原理理運用于于分布式式入侵檢檢測領域域；1998年Ross Anderson和AbidaKhattak將信息檢檢索技術術引進入入侵檢測測；以及采用用狀態(tài)轉轉換分析析、數據據挖掘和和遺傳算算法等進進行誤用用和異常常檢測。返回本章章首頁入侵檢測測發(fā)展歷歷史2020-03-0275.1.1入侵檢測測原理入侵檢測測入侵檢測測是用于檢測任何損害或企企圖損害害系統(tǒng)的保密性、完整性或或可用性性的一種網絡安全全技術。它通過監(jiān)監(jiān)視受保保護系統(tǒng)統(tǒng)的狀態(tài)態(tài)和活動動，采用誤用用檢測（MisuseDetection）或異常檢測測（Anomaly Detection）的方式式，發(fā)現現非授

6、權的的或惡意意的系統(tǒng)及網網絡行為，為為防范入侵侵行為提提供有效效的手段段。返回本章章首頁2020-03-028圖5-2入侵檢測測原理框框圖返回本章章首頁2020-03-029入侵檢測測系統(tǒng)執(zhí)行入侵檢測測任務的的硬件或或軟件產產品入侵檢測測提供了了用于發(fā)發(fā)現入侵侵攻擊與與合法用用戶濫用用特權的的一種方方法。其應用前前提是入入侵行為為和合法法行為是是可區(qū)分分的，也也即可以以通過提提取行為為的模式式特征來來判斷該該行為的的性質。一般地，入侵檢檢測系統(tǒng)統(tǒng)需要解解決兩個個問題：如何充分分并可靠靠地提取取描述行行為特征征的數據據；如何根據據特征數數據，高高效并準準確地判判定行為為的性質質。返回本章章首頁2

7、020-03-02105.1.2系統(tǒng)結構構由于網絡絡環(huán)境和和系統(tǒng)安安全策略略的差異異，入侵侵檢測系系統(tǒng)在具具體實現現上也有有所不同同。從系統(tǒng)構構成上看看，入侵侵檢測系系統(tǒng)應包包括事件提取取、入侵分析析、入侵響應應和遠程管理理四大部分分，另外外還可能能結合安全知識識庫、數據存儲儲等功能模模塊，提提供更為為完善的的安全檢測測及數據據分析功功能（如圖5-3所示）。返回本章章首頁2020-03-0211圖5-3 入侵侵檢測系系統(tǒng)結構構返回本章章首頁2020-03-0212入侵檢測測的思想想源于傳傳統(tǒng)的系系統(tǒng)審計計，但拓拓寬了傳傳統(tǒng)審計計的概念念，它以以近乎不不間斷的的方式進進行安全全檢測，從而可可形成

8、一一個連續(xù)續(xù)的檢測測過程。這通常是是通過執(zhí)執(zhí)行下列列任務來來實現的的：監(jiān)視、分分析用戶戶及系統(tǒng)統(tǒng)活動；系統(tǒng)構造造和弱點點的審計計；識別分析析知名攻攻擊的行行為特征征并告警警；異常行為為特征的的統(tǒng)計分分析；評估重要要系統(tǒng)和和數據文文件的完完整性；操作系統(tǒng)統(tǒng)的審計計跟蹤管管理，并并識別用用戶違反反安全策策略的行行為。返回本章章首頁2020-03-02135.1.3系統(tǒng)分類類由于功能能和體系系結構的的復雜性性，入侵侵檢測按按照不同同的標準準有多種種分類方方法?？煞謩e從從數據源、檢測理理論、檢檢測時效效三個方面面來描述述入侵檢檢測系統(tǒng)統(tǒng)的類型型。返回本章章首頁2020-03-02145.1.3系統(tǒng)分類

9、類1基于數數據源的的分類通?？梢砸园讶肭智謾z測系系統(tǒng)分為為五類，即：基于主機機、基于網絡絡、混合入侵侵檢測、基于網關關基于文件件完整性性檢測返回本章章首頁2020-03-02152基于檢檢測理論論的分類類從具體的的檢測理理論上來來說，入入侵檢測測又可分分為異常常檢測和和誤用檢檢測。異常檢測測（Anomaly Detection）指根據據使用者者的行為為或資源源使用狀狀況的正正常程度度來判斷斷是否入入侵，而而不依賴賴于具體體行為是是否出現現來檢測測。誤用檢測測（MisuseDetection）指運用用已知攻攻擊方法法，根據據已定義義好的入入侵模式式，通過過判斷這這些入侵侵模式是是否出現現來檢測測

10、。返回本章章首頁2020-03-02163基于檢檢測時效效的分類類IDS在處理數數據的時時候可以以采用實時在線線檢測方方式，也可以以采用批批處理方方式，定定時對處處理原始始數據進進行離線檢測測，這兩種種方法各各有特點點（如圖圖5-5所示）。離線檢測測方式將將一段時時間內的的數據存存儲起來來，然后后定時發(fā)發(fā)給數據據處理單單元進行行分析，如果在在這段時時間內有有攻擊發(fā)發(fā)生就報報警。在線檢測測方式的的實時處處理是大大多數IDS所采用的的辦法，由于計計算機硬硬件速度度的提高高，使得得對攻擊擊的實時時檢測和和響應成成為可能能。返回本章章首頁2020-03-0217返回本章章首頁2020-03-02185

11、.2入侵檢測測的技術術實現對于入侵侵檢測的的研究，從早期期的審計跟蹤蹤數據分分析，到實時入侵侵檢測系系統(tǒng)，到目前前應用于于大型網網絡的分布式檢檢測系統(tǒng)統(tǒng)，基本上上已發(fā)展展成為具具有一定定規(guī)模和和相應理理論的研研究領域域。入侵檢測測的核心問題題在于如何何對安全全審計數數據進行行分析，以檢測測其中是是否包含含入侵或或異常行行為的跡跡象。這里，我我們先從從誤用檢測測和異常檢測測兩個方面面介紹當當前關于于入侵檢檢測技術術的主流流技術實實現，然然后對其其它類型型的檢測測技術作作簡要介介紹。返回本章章首頁2020-03-02195.2.1入侵檢測測分析模模型分析是入入侵檢測測的核心心功能，它既能能簡單到到

12、像一個個已熟悉悉日志情情況的管管理員去去建立決決策表，也能復復雜得像像一個集集成了幾幾百萬個個處理的的非參數數系統(tǒng)。入侵檢測測的分析析處理過過程可分分為三個個階段：構建分析析器，對對實際現現場數據據進行分分析，反反饋和提提煉過程程。其中，前前兩個階階段都包包含三個個功能：數據處處理、數數據分類類（數據據可分為為入侵指指示、非非入侵指指示或不不確定）和后處處理。返回本章章首頁2020-03-02205.2.2誤用檢測測（MisuseDetection）誤用檢測測是按照預定模式式搜尋事件件數據的的，最適適用于對對已知模式式的可靠靠檢測。執(zhí)行誤用用檢測，主要依賴于可靠的用用戶活動動記錄和和分析事事件

13、的方方法。1條件概概率預測測法條件概率率預測法法是基于統(tǒng)統(tǒng)計理論論來量化化全部外外部網絡絡事件序列中存在入侵侵事件的可能程度度。2020-03-02212產生式式/專家系統(tǒng)統(tǒng)用專家系統(tǒng)統(tǒng)對入侵進進行檢測測，主要要是檢測基于于特征的的入侵行行為。專家系統(tǒng)統(tǒng)的建立立依賴于于知識庫的的完備性性，而知識識庫的完完備性又又取決于審審計記錄錄的完備備性與實實時性。產生式/專家系統(tǒng)統(tǒng)是誤用用檢測早早期的方方案之一一，在MIDAS、IDES、NIDES、DIDS和CMDS中都使用用了這種種方法。返回本章章首頁2020-03-02223狀態(tài)轉轉換方法法狀態(tài)轉換換方法使使用系統(tǒng)狀態(tài)態(tài)和狀態(tài)轉換換表達式式來描述和和

14、檢測入入侵，采采用最優(yōu)模式式匹配技技巧來結構化化誤用檢檢測，增增強了檢檢測的速速度和靈靈活性。目前，主主要有三三種實現現方法：狀態(tài)轉換換分析、有色Petri-Net和語言/應用編程程接口（API）。返回本章章首頁2020-03-0223返回本章章首頁2020-03-02245KeystrokeMonitor和基于模模型的方方法KeystrokeMonitor是一種簡簡單的入入侵檢測測方法，它通過過分析用戶擊鍵鍵序列的的模式來檢測入入侵行為為，常用用于對主主機的入入侵檢測測。該方法具具有明顯顯的缺點點，首先，批批處理或或Shell程序可以以不通過過擊鍵而而直接調調用系統(tǒng)統(tǒng)攻擊命命令序列列；其次，

15、操操作系統(tǒng)統(tǒng)通常不不提供統(tǒng)統(tǒng)一的擊擊鍵檢測測接口，需通過過額外的的鉤子函函數（Hook）來監(jiān)測測擊鍵。返回本章章首頁2020-03-02255.2.3異常檢測測（Anomaly Detection）異常檢測測基于一一個假定定：用戶的行行為是可可預測的的、遵循循一致性性模式的的，且隨隨著用戶戶事件的的增加異異常檢測測會適應應用戶行行為的變變化。用戶行為為的特征征輪廓在在異常檢檢測中是是由度量（measure）集來描述，度量是是特定網網絡行為為的定量量表示，通常與與某個檢檢測閥值值或某個個域相聯聯系。異常檢測測可發(fā)現現未知的的攻擊方方法，體體現了強強健的保保護機制制，但對于給定的度度量集能否完備備

16、到表示所有有的異常常行為？仍需要深深入研究究。返回本章章首頁2020-03-02261Denning的原始模模型Dorothy Denning于1986年給出了了入侵檢檢測的IDES模型，她她認為在在一個系系統(tǒng)中可可以包括括四個統(tǒng)計計模型，每個模模型適合合于一個個特定類型型的系統(tǒng)統(tǒng)度量。（1）可操作作模型（2）平均和和標準偏偏差模型型（3）多變量量模型（4）Markov處理模型型返回本章章首頁2020-03-02272量化分分析異常檢測測最常用用的方法法就是將檢驗規(guī)規(guī)則和屬屬性以數數值形式式表示的的量化分分析，這種度度量方法法在Denning的可操作作模型中中有所涉涉及。量化分析析通過采采用從

17、簡單的加加法到比比較復雜雜的密碼碼學計算算得到的結結果作為為誤用檢檢測和異異常檢測測統(tǒng)計模模型的基基礎。常用量化化方法（1）閥值檢檢驗（2）基于目目標的集集成檢查查（3）量化分分析和數數據精簡簡返回本章章首頁2020-03-02283統(tǒng)計度量量統(tǒng)計度量量方法是產品化化的入侵侵檢測系系統(tǒng)中常常用的方方法，常常見于異異常檢測測。運用統(tǒng)計計方法，有效地地解決了了四個問問題：（1）選取有有效的統(tǒng)統(tǒng)計數據據測量點點，生成成能夠反反映主體體特征的的會話向向量；（2）根據主主體活動動產生的的審計記記錄，不不斷更新新當前主主體活動動的會話話向量；（3）采用統(tǒng)統(tǒng)計方法法分析數數據，判判斷當前前活動是是否符合合主

18、體的的歷史行行為特征征；（4）隨著時時間推移移，學習習主體的的行為特特征，更更新歷史史記錄。返回本章章首頁2020-03-02294非參數統(tǒng)統(tǒng)計度量量非參數統(tǒng)統(tǒng)計方法法通過使使用非數據區(qū)區(qū)分技術術，尤其是是群集分析析技術來分析參參數方法法無法考考慮的系系統(tǒng)度量量。群集分析析的基本本思想是是，根據據評估標標準（也也稱為特特性）將將收集到的的大量歷歷史數據據（一個個樣本集集）組織織成群，通過預預處理過過程，將將與具體事件件流（經常映映射為一一個具體體用戶）相關的的特性轉轉化為向量表示，再再采用群集算法法將彼此比比較相近近的向量量成員組組織成一一個行為類這樣使用用該分析析技術的的實驗結結果將會會表明

19、用用何種方方式構成成的群可可以可靠靠地對用用戶的行行為進行行分組并并識別。返回本章章首頁2020-03-02305基于規(guī)則則的方法法上面討論論的異常常檢測主主要基于于統(tǒng)計方法法，異常檢檢測的另另一個變變種就是是基于規(guī)則則的方法。與統(tǒng)計方方法不同同的是基基于規(guī)則則的檢測測使用規(guī)則集來表示和存存儲使用用模式。（1）Wisdom&Sense方法（2）基于時時間的引引導機（TIM）返回本章章首頁2020-03-02315.2.4其它檢測測技術這些技術術不能簡簡單地歸歸類為誤誤用檢測測或是異異常檢測測，而是是提供了了一種有有別于傳傳統(tǒng)入侵侵檢測視視角的技技術層次次，例如免疫疫系統(tǒng)、基因算算法、數數據挖掘

20、掘、基于于代理（Agent）的檢測測等它們或者者提供了更更具普遍遍意義的的分析技技術，或者提出了新新的檢測測系統(tǒng)架架構，因此無無論對于于誤用檢檢測還是是異常檢檢測來說說，都可可以得到到很好的的應用。返回本章章首頁2020-03-02321神經網網絡（NeuralNetwork）作為人工工智能（AI）的一個個重要分分支，神神經網絡絡（NeuralNetwork）在入侵侵檢測領領域得到到了很好好的應用用它使用自適應學學習技術術來提取異異常行為為的特征征，需要要對訓練數據據集進行行學習以以得出正正常的行行為模式式。這種方法法要求保保證用于于學習正正常模式式的訓練數據據的純潔潔性，即不包包含任何何入侵

21、或或異常的的用戶行行為。返回本章章首頁2020-03-02332免疫學方方法NewMexico大學的StephanieForrest提出了將將生物免免疫機制制引入計計算機系系統(tǒng)的安安全保護護框架中中。免疫系統(tǒng)統(tǒng)中最基基本也是是最重要要的能力力是識別“自我/非自我”（self/nonself），換句句話講，它能夠夠識別哪哪些組織織是屬于于正常機機體的，不屬于于正常的的就認為為是異常常，這個個概念和和入侵檢檢測中異異常檢測測的概念念非常相相似。返回本章章首頁2020-03-02343數據挖掘掘方法Columbia大學的WenkeLee在其博士士論文中中，提出出了將數數據挖掘掘（Data Minin

22、g,DM）技術應應用到入入侵檢測測中，通通過對網網絡數據據和主機機系統(tǒng)調調用數據據的分析析挖掘，發(fā)現誤誤用檢測測規(guī)則或或異常檢檢測模型型。具體的工工作包括括利用數據挖掘掘中的關關聯算法法和序列列挖掘算算法提取取用戶的的行為模模式，利用分類算法法對用戶戶行為和和特權程程序的系系統(tǒng)調用用進行分分類預測測。實驗結果果表明，這種方方法在入入侵檢測測領域有有很好的的應用前前景。返回本章章首頁2020-03-02354基因算法法基因算法法是進化化算法（evolutionaryalgorithms）的一種種，引入入了達爾爾文在進進化論中中提出的的自然選選擇的概概念（優(yōu)優(yōu)勝劣汰汰、適者者生存）對系統(tǒng)統(tǒng)進行優(yōu)優(yōu)

23、化。該該算法對對于處理理多維系系統(tǒng)的優(yōu)優(yōu)化是非非常有效效的。在基因算算法的研研究人員員看來，入侵檢檢測的過過程可以以抽象為為：為審計事事件記錄錄定義一一種向量量表示形形式，這這種向量量或者對對應于攻攻擊行為為，或者者代表正正常行為為。返回本章章首頁2020-03-02365基于代理理的檢測測近年來，一種基基于Agent的檢測技技術（Agent-BasedDetection）逐漸引引起研究究者的重重視。所謂Agent，實際上上可以看看作是在在執(zhí)行某項項特定監(jiān)監(jiān)視任務務的軟件件實體?；贏gent的入侵檢檢測系統(tǒng)統(tǒng)的靈活活性保證證它可以以為保障障系統(tǒng)的的安全提提供混合合式的架架構，綜綜合運用用誤用

24、檢檢測和異異常檢測測，從而而彌補兩兩者各自自的缺陷陷。返回本章章首頁2020-03-02375.3分布式入入侵檢測測分布式入入侵檢測測（DistributedIntrusionDetection）是目前前入侵檢檢測乃至至整個網網絡安全全領域的的熱點之之一。到目前為為止，還沒有有嚴格意義義上的分分布式入入侵檢測測的商業(yè)業(yè)化產品品，但研研究人員員已經提提出并完完成了多多個原型型系統(tǒng)。通常采用用的方法法中，一一種是對現有的的IDS進行規(guī)模模上的擴擴展，另一種種則通過過IDS之間的信信息共享享來實現。具體的處處理方法法上也分分為兩種種：分布式信信息收集集、集中中式處理理；分布式信信息收集集、分布布式處

25、理理。返回本章章首頁2020-03-02385.3.1分布式入入侵檢測測的優(yōu)勢勢分布式入入侵檢測測由于采采用了非非集中的的系統(tǒng)結結構和處處理方式式，相對對于傳統(tǒng)統(tǒng)的單機機IDS具有一些些明顯的的優(yōu)勢：（1）檢測大大范圍的的攻擊行行為（2）提高檢檢測的準準確度（3）提高檢檢測效率率（4）協調響響應措施施返回本章章首頁2020-03-02395.3.2分布式入入侵檢測測的技術術難點與傳統(tǒng)的的單機IDS相比較，分布式式入侵檢檢測系統(tǒng)統(tǒng)具有明明顯的優(yōu)優(yōu)勢。然然而，在實現分分布檢測測組件的的信息共共享和協協作上，卻存在在著一些些技術難難點。StanfordResearchInstitute（SRI）在對

26、EMERALD系統(tǒng)的研研究中，列舉了了分布式式入侵檢檢測必須須關注的的關鍵問問題：事件產生生及存儲儲、狀態(tài)空間間管理規(guī)則復雜雜度知識庫管管理推理技術術。返回本章章首頁2020-03-02405.3.3分布式入入侵檢測測現狀盡管分布布式入侵侵檢測存存在技術術和其它它層面的的難點，但由于于其相對對于傳統(tǒng)統(tǒng)的單機機IDS所具有的的優(yōu)勢，目前已已經成為為這一領領域的研研究熱點點。1Snortnet它通過對對傳統(tǒng)的的單機IDS進行規(guī)模模上的擴擴展，使系統(tǒng)統(tǒng)具備分分布式檢檢測的能能力，是是基于模式式匹配的分布式式入侵檢檢測系統(tǒng)統(tǒng)的一個個具體實實現。主要包括括三個組組件：網絡感應應器、代代理守護護程序和監(jiān)視

27、控制制臺。返回本章章首頁2020-03-02412Agent-Based基于Agent的IDS由于其良良好的靈靈活性和和擴展性性，是分分布式入入侵檢測測的一個個重要研研究方向向。國外一些些研究機機構在這這方面已已經做了了大量工工作，其其中Purdue大學的入入侵檢測測自治代代理（AAFID）和SRI的EMERALD最具代表表性。AAFID的體系結結構如圖圖5-10所示，其其特點是是形成了了一個基于代理理的分層層順序控控制和報報告結構構。返回本章章首頁2020-03-0242返回本章章首頁2020-03-02433DIDSDIDS(Distributed IntrusionDetectionSy

28、stem)是由UCDavis的SecurityLab完成的，它集成成了兩種種已有的的入侵檢檢測系統(tǒng)統(tǒng)，Haystack和NSM。Haystack由TracorAppliedSciencesandHaystack實驗室針針對多用用戶主機機的檢測測任務而而開發(fā)，數據源源來自主主機的系系統(tǒng)日志志。NSM則是由UCDavis開發(fā)的網網絡安全全監(jiān)視器器，通過過對數據據包、連連接記錄錄、應用用層會話話的分析析，結合合入侵特特征庫和和正常的的網絡流流或會話話記錄的的模式庫庫，判斷斷當前的的網絡行行為是否否包含入入侵或異異常。返回本章章首頁2020-03-02444GrIDSGrIDS（Graph-based

29、IntrusionDetection System）同樣由由UCDavis提出并實實現該系統(tǒng)實實現了一一種在大大規(guī)模網網絡中使使用圖形形化表示示的方法法來描述述網絡行行為的途途徑，其其設計目目標主要要針對大大范圍的的網絡攻攻擊，例例如掃描描、協同同攻擊、網絡蠕蠕蟲等。GrIDS的缺陷在在于只是是給出了了網絡連連接的圖圖形化表表示，具具體的入入侵判斷斷仍然需需要人工工完成，而且系系統(tǒng)的有有效性和和效率都都有待驗驗證和提提高。返回本章章首頁2020-03-02455IntrusionStrategyBoeing公司的Ming-YuhHuang提出從入侵者的的目的（IntrusionIntentio

30、n），或者者是入侵侵策略（IntrusionStrategy）入手，確定如如何在不不同的IDS組件之間間進行協協作檢測測。通過對入入侵策略略的分析析調整審計計策略和和參數，構成自適應的的審計檢檢測系統(tǒng)統(tǒng)。返回本章章首頁2020-03-02466數據融融合（Data Fusion）Timm Bass提出將數數據融合合（Data Fusion）的概念念應用到到入侵檢檢測中，從而將將分布式式入侵檢檢測任務務理解為為在層次化化模型下下對多個感應應器的數數據綜合合問題。在這個層層次化模模型中，入侵檢檢測的數數據源經經歷了從從數據（Data）到信息（Information）再到知識（Knowledge）三

31、個邏輯輯抽象層層次。返回本章章首頁2020-03-02477基于抽抽象（Abstraction-based）的方法法GMU的Peng Ning在其博士士論文中中提出了了一種基基于抽象象（Abstraction-based）的分布布式入侵侵檢測系系統(tǒng)，基基本思想想是：設立中間間層（systemview），提供與具具體系統(tǒng)統(tǒng)無關的的抽象信信息，用用于分布布式檢測測系統(tǒng)中中的信息共享享抽象信息息的內容容包括事事件信息息（event）以及系系統(tǒng)實體體間的斷斷言（dynamic predicate）。中間層用用于表示示IDS間的共享享信息的的表示方方式：IDS檢測到的的攻擊或或者IDS無法處理理的事件件

32、信息作作為event，IDS或受IDS監(jiān)控的系系統(tǒng)的狀狀態(tài)則作作為dynamic predicates。返回本章章首頁2020-03-02485.4入侵檢測測系統(tǒng)的的標準從20世紀90年代到現現在，入入侵檢測測系統(tǒng)的的研發(fā)呈呈現出百百家爭鳴鳴的繁榮榮局面，并在智能化和分布式兩個方向向取得了了長足的的進展。為了提高高IDS產品、組組件及與與其他安安全產品品之間的的互操作作性，DARPA和IETF的入侵檢檢測工作作組（IDWG）分別發(fā)發(fā)起制訂訂了一系系列建議草案案，從體系結構構、API、通信機機制、語語言格式式等方面來來規(guī)范IDS的標準。DARPA提出了公公共入侵侵檢測框框架CIDF，最早由由加州

33、大大學戴維維斯分校校的安全全實驗室室起草；IDWG提出了三三項建議議草案IDMEF、IDXP、TunnelProfile返回本章章首頁2020-03-02495.4.1IETF/IDWGIDWG定義了用用于入侵侵檢測與與響應（IDR）系統(tǒng)之之間或與與需要交交互的管管理系統(tǒng)統(tǒng)之間的的信息共共享所需需要的數據格式式和交換規(guī)程程。IDWG提出了三三項建議議草案：入侵檢測測消息交交換格式式（IDMEF）、入侵檢測測交換協協議（IDXP）隧道輪廓廓（TunnelProfile）。返回本章章首頁2020-03-02505.4.2CIDFCIDF的工作集集中體現現在四個個方面：IDS的體系結結構、通通信機制

34、制、描述述語言和應用編程程接口API。CIDF在IDES和NIDES的基礎上上提出了了一個通通用模型型，將入入侵檢測測系統(tǒng)分分為四個個基本組組件：事件產生生器、事事件分析析器、響響應單元元和事件件數據庫庫。其結構構如圖5-15所示。返回本章章首頁2020-03-0251返回本章章首頁2020-03-02525.5入侵檢測測系統(tǒng)示示例為了直觀觀地理解解入侵檢檢測的使使用、配配置等情情況，這這里我們們以Snort為例，對對構建以以Snort為基礎的的入侵檢檢測系統(tǒng)統(tǒng)做概要要介紹。返回本章章首頁2020-03-02535.5.1Snort簡介Snort是一個開開放源代代碼的免免費軟件件，它基基于li

35、bpcap的數據包包嗅探器器，并可以以作為一一個輕量量級的網網絡入侵侵檢測系系統(tǒng)（NIDS）。Snort具有很多多優(yōu)勢：代碼短小小、易于于安裝、便于配配置。功能十分分強大和和豐富集成了多多種告警警機制支支持實時時告警功功能具有非常常好擴展展能力遵循GPL，可以免免費使用用返回本章章首頁2020-03-02545.5.2Snort的體系結結構Snort在結構上上可分為為數據包捕捕獲和解碼子系系統(tǒng)、檢測引擎擎，以及日志及報報警子系系統(tǒng)三個部分分。1數據包包捕獲和和解碼子子系統(tǒng)該子系統(tǒng)統(tǒng)的功能能是捕獲獲共享網網絡的傳傳輸數據據，并按按照TCP/ IP協議的不不同層次次將數據據包解析析。2檢測引引擎檢

36、測引擎擎是NIDS實現的核核心，準準確性和和快速性性是衡量量其性能能的重要要指標。返回本章章首頁2020-03-0255為了能夠夠快速準準確地進進行檢測測和處理理，Snort在檢測規(guī)規(guī)則方面面做了較較為成熟熟的設計計。Snort將所有已已知的攻攻擊方法法以規(guī)則則的形式式存放在在規(guī)則庫庫中每一條規(guī)規(guī)則由規(guī)則頭和規(guī)則選項項兩部分組組成。規(guī)則頭對應于規(guī)規(guī)則樹結結點RTN（Rule TreeNode），包含含動作、協協議、源源（目的的）地址址和端口口以及數數據流向向，這是所所有規(guī)則則共有的的部分。規(guī)則選項項對應于規(guī)規(guī)則選項項結點OTN（OptionalTree Node），包含含報警信息息（msg）、

37、匹配配內容（content）等選項，這些內內容需要要根據具具體規(guī)則則的性質質確定。返回本章章首頁2020-03-0256檢測規(guī)則則除了包包括上述述的關于于“要檢測什什么”，還應應該定義義“檢測到了了該做什什么”。Snort定義了三三種處理理方式：alert（發(fā)送報報警信息息）、log（記錄該該數據包包）和pass（忽略該該數據包包），并定定義為規(guī)規(guī)則的第第一個匹匹配關鍵鍵字。這樣設計計的目的的是為了了在程序序中可以以組織整整個規(guī)則則庫，即將所有有的規(guī)則則按照處處理方式式組織成成三個鏈鏈表，以用于于更快速速準確地地進行匹匹配。如如圖5-17所示。返回本章章首頁2020-03-0257返回本章章首

38、頁2020-03-0258當Snort捕獲一個個數據包包時，首首先分析析該數據據包使用用哪個IP協議以決決定將與與某個規(guī)規(guī)則樹進進行匹配配。然后與RTN結點依次次進行匹匹配。當當與一個個頭結點點相匹配配時，向向下與OTN結點進行行匹配。每個OTN結點包含含一條規(guī)規(guī)則所對對應的全全部選項項，同時時包含一一組函數數指針，用來實實現對這這些選項項的匹配配操作。當數據包包與某個個OTN結點相匹匹配時，即判斷斷此數據據包為攻攻擊數據據包。具體流程程見圖5-18所示。返回本章章首頁2020-03-0259返回本章章首頁2020-03-02603日志及報報警子系系統(tǒng)一個好的的NIDS，更應該該提供友友好的輸

39、輸出界面面或發(fā)聲聲報警等等。Snort是一個輕輕量級的的NIDS，它的另另外一個個重要功功能就是是數據包記記錄器，它主要要采取用用TCPDUMP的格式記記錄信息息、向syslog發(fā)送報警警信息和以明文形式式記錄報報警信息息三種方式式。值得提出出的是，Snort在網絡數數據流量量非常大大時，可可以將數數據包信信息壓縮縮從而實實現快速速報警。返回本章章首頁2020-03-02615.5.3Snort的安裝與使使用1.Snort安裝模式式Snort可簡單安安裝為守護進程程模式，也可安安裝為包括很多多其他工工具的完完整的入入侵檢測測系統(tǒng)。簡單方式式安裝時時，可以以得到入入侵數據據的文本本文件或或二進制

40、制文件，然后用用文本編編輯器等等工具進進行查看看。Snort若與其它它工具一一起安裝裝，則可可以支持持更為復復雜的操操作。例如，將將Snort數據發(fā)送送給數據據庫系統(tǒng)統(tǒng)，從而而支持通通過Web界面進行行數據分分析，以以增強對對Snort捕獲數據據的直觀觀認識，避免耗耗費大量量時間查查閱晦澀澀的日志志文件。返回本章章首頁2020-03-0262返回本章章首頁2020-03-0263（2）更新Snort規(guī)則下載最新新的規(guī)則則文件snortrules-snapshot-CURRENT.tar.gz。其中，CURRENT表示最新新的版本本號。rootmail snort#mkdir/etc/snort

41、rootmail snort#cd/etc/snortrootmail snort#tar zxvf/path/to/snortrules-snapshot-CURRENT.tar.gz返回本章章首頁2020-03-0264（3）配置Snort建立config文件目錄錄：rootmail snort-2.8.0#mkdir/etc/snort復制Snort配置文件件snort.conf到Snort配置目錄錄：rootmail snort-2.8.0#cp./etc/snort.conf/etc/snort/編輯snort.conf：rootmail snort-2.8.0#vi/etc/sno

42、rt/snort.conf修改后，一些關關鍵設置置如下：varHOME_NETyournetworkvarRULE_PATH /etc/snort/rulespreprocessorhttp_inspect:globaliis_unicode_map/etc/snort/rules/unicode.map1252include /etc/snort/rules/reference.configinclude /etc/snort/rules/classification.config返回本章章首頁2020-03-0265（4）測試Snort# /usr/local/bin/snort -A fast-b-d-D-l/var/log/snort-c/etc/snort/snort.conf查看文件件/var/log/messages，若沒有有錯誤信信息，則則表示安安裝成功功。返回本章章首頁2020-03-02663Snort的工作模模式Snort有三種工工作模式式，即嗅