信息安全技術(shù)-08入侵檢測(cè)技術(shù)與網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)產(chǎn)品

1、信息安全技術(shù)第5講安全檢測(cè)測(cè)技術(shù)5.1入侵檢測(cè)測(cè)技術(shù)與與網(wǎng)絡(luò)入入侵檢測(cè)測(cè)系統(tǒng)產(chǎn)產(chǎn)品5.2漏洞檢測(cè)測(cè)技術(shù)和和微軟系系統(tǒng)漏洞洞檢測(cè)工工具M(jìn)BSA第5講安全檢測(cè)測(cè)技術(shù)5.1入侵檢測(cè)測(cè)技術(shù)與與網(wǎng)絡(luò)入入侵檢測(cè)測(cè)系統(tǒng)產(chǎn)產(chǎn)品傳統(tǒng)的操操作系統(tǒng)統(tǒng)加固技技術(shù)和防防火墻技技術(shù)等都都是靜態(tài)態(tài)安全防防御技術(shù)術(shù)，對(duì)網(wǎng)網(wǎng)絡(luò)環(huán)境境下日新新月異的的攻擊手手段缺乏乏主動(dòng)的的反應(yīng)；而入侵侵檢測(cè)技技術(shù)則是是動(dòng)態(tài)安安全技術(shù)術(shù)的核心心技術(shù)之之一，可可以作為為防火墻墻的合理理補(bǔ)充，幫助系系統(tǒng)對(duì)付付網(wǎng)絡(luò)攻攻擊，擴(kuò)擴(kuò)展系統(tǒng)統(tǒng)管理員員的安全全管理能能力(包括安全全審計(jì)、安全檢檢測(cè)、入入侵識(shí)別別、入侵侵取證和和響應(yīng)等等)，提高了了信息安安全基礎(chǔ)礎(chǔ)

2、結(jié)構(gòu)的的完整性性。第5講安全檢測(cè)測(cè)技術(shù)入侵檢測(cè)測(cè)系統(tǒng)(Intrusion DetectionSystem，IDS)是一類專專門面向向網(wǎng)絡(luò)入入侵的安安全監(jiān)測(cè)測(cè)系統(tǒng)，它從計(jì)計(jì)算機(jī)網(wǎng)網(wǎng)絡(luò)系統(tǒng)統(tǒng)中的若若干關(guān)鍵鍵點(diǎn)收集集信息，并分析析這些信信息，查查看網(wǎng)絡(luò)絡(luò)中是否否有違反反安全策策略的行行為和遭遭到襲擊擊的跡象象。入侵侵檢測(cè)被被認(rèn)為是是防火墻墻之后的的第二道道安全防防線，在在不影響響網(wǎng)絡(luò)性性能的情情況下能能對(duì)網(wǎng)絡(luò)絡(luò)進(jìn)行監(jiān)監(jiān)測(cè)，從從而提供供對(duì)內(nèi)部部攻擊、外部攻攻擊和誤誤操作的的實(shí)時(shí)保保護(hù)。第5講安全檢測(cè)測(cè)技術(shù)入侵檢測(cè)測(cè)系統(tǒng)主主要執(zhí)行行以下任任務(wù)：1)監(jiān)視、分分析用戶戶及系統(tǒng)統(tǒng)活動(dòng)。2)系統(tǒng)構(gòu)造造和弱點(diǎn)點(diǎn)的

3、審計(jì)計(jì)。3)識(shí)別反映映已知進(jìn)進(jìn)攻的活活動(dòng)模式式并報(bào)警警。4)異常行為為模式的的統(tǒng)計(jì)分分析。5)評(píng)估重要要系統(tǒng)和和數(shù)據(jù)文文件的完完整性。6)對(duì)操作系系統(tǒng)的審審計(jì)追蹤蹤管理，并識(shí)別別用戶違違反安全全策略的的行為。第5講安全檢測(cè)測(cè)技術(shù)一個(gè)成功功的入侵侵檢測(cè)系系統(tǒng)，不不但可使使系統(tǒng)管管理員時(shí)時(shí)刻了解解網(wǎng)絡(luò)系系統(tǒng)(包括程序序、文件件和硬件件設(shè)備等等)的任何變變更，還還能給網(wǎng)網(wǎng)絡(luò)安全全策略的的制訂提提供指南南。同時(shí)時(shí)，它應(yīng)應(yīng)該是管管理和配配置簡單單，使非非專業(yè)人人員能容容易地獲獲得網(wǎng)絡(luò)絡(luò)安全。當(dāng)然，入侵檢檢測(cè)的規(guī)規(guī)模還應(yīng)應(yīng)根據(jù)網(wǎng)網(wǎng)絡(luò)威脅脅、系統(tǒng)統(tǒng)構(gòu)造和和安全需需求的改改變而改改變。入入侵檢測(cè)測(cè)系統(tǒng)在在發(fā)現(xiàn)

4、入入侵后，應(yīng)及時(shí)時(shí)做出響響應(yīng)，包包括切斷斷網(wǎng)絡(luò)連連接、記記錄事件件和報(bào)警警等。第5講安全檢測(cè)測(cè)技術(shù)目前，入入侵檢測(cè)測(cè)系統(tǒng)主主要以模模式匹配配技術(shù)為為主，并并結(jié)合異異常匹配配技術(shù)。從實(shí)現(xiàn)現(xiàn)方式上上一般分分為兩種種：基于于主機(jī)和和基于網(wǎng)網(wǎng)絡(luò)，而而一個(gè)完完備的入入侵檢測(cè)測(cè)系統(tǒng)則則一定是是基于主主機(jī)和基基于網(wǎng)絡(luò)絡(luò)這兩種種方式兼兼?zhèn)涞姆址植际较迪到y(tǒng)。另另外，能能夠識(shí)別別的入侵侵手段數(shù)數(shù)量的多多少、最最新入侵侵手段的的更新是是否及時(shí)時(shí)也是評(píng)評(píng)價(jià)入侵侵檢測(cè)系系統(tǒng)的關(guān)關(guān)鍵指標(biāo)標(biāo)。第5講安全檢測(cè)測(cè)技術(shù)利用最新新的可適適應(yīng)網(wǎng)絡(luò)絡(luò)安全技技術(shù)和P2DR (Policy，Protection，Detection，Res

5、ponse，即策略略、保護(hù)護(hù)、探測(cè)測(cè)、反應(yīng)應(yīng))安全模型型，已經(jīng)經(jīng)可以深深入研究究入侵事事件、入入侵手段段本身及及被入侵侵目標(biāo)的的漏洞等等。隨著著P2DR安全模型型被廣泛泛認(rèn)同，入侵檢檢測(cè)系統(tǒng)統(tǒng)在信息息系統(tǒng)安安全中占占據(jù)越來來越重要要的地位位。第5講安全檢測(cè)測(cè)技術(shù)1.IDS分類根據(jù)檢測(cè)測(cè)方法不不同分類類根據(jù)數(shù)據(jù)據(jù)源不同同分類第5講安全檢測(cè)測(cè)技術(shù)(1)根據(jù)檢測(cè)測(cè)方法不不同分類類按具體的的檢測(cè)方方法，可可將入侵侵檢測(cè)系系統(tǒng)分為為基于行行為和基基于知識(shí)識(shí)兩類。第5講安全檢測(cè)測(cè)技術(shù)1)基于行為為的檢測(cè)測(cè)，也稱稱為異常常檢測(cè)。是指根據(jù)據(jù)使用者者的行為為或資源源使用狀狀況的正正常程度度來判斷斷是否發(fā)發(fā)生入侵

6、侵，而不不依賴具具體行為為是否出出現(xiàn)，即即建立被被檢測(cè)系系統(tǒng)正常常行為的的參考庫庫，并通通過與當(dāng)當(dāng)前行為為進(jìn)行比比較來尋尋找偏離離參考庫庫的異常常行為。對(duì)于異異常閾值值與特征征的選擇擇是異常常發(fā)現(xiàn)技技術(shù)的關(guān)關(guān)鍵。例例如，通通過流量量統(tǒng)計(jì)分分析將異異常時(shí)間間的異常常網(wǎng)絡(luò)流流量視為為可疑。第5講安全檢測(cè)測(cè)技術(shù)異常發(fā)現(xiàn)現(xiàn)技術(shù)的的局限是是，并非非所有的的入侵都都表現(xiàn)為為異常，而且系系統(tǒng)的軌軌跡也難難以計(jì)算算和更新新。例如如，一般般在白天天使用計(jì)計(jì)算機(jī)的的某用戶戶，如果果他突然然在午夜夜注冊(cè)登登記，則則有可能能被認(rèn)為為是入侵侵者在使使用。第5講安全檢測(cè)測(cè)技術(shù)2)基于知識(shí)識(shí)的檢測(cè)測(cè)，也被被稱為誤誤用檢測(cè)測(cè)

7、。是指運(yùn)用用已知攻攻擊方法法，根據(jù)據(jù)已定義義好的入入侵模式式，通過過與這些些入侵模模式是否否匹配來來判斷入入侵。入入侵模式式是入侵侵過程的的特征、條件、排列以以及事件件間的關(guān)關(guān)系，即即具體入入侵行為為的跡象象。這些些跡象不不僅對(duì)分分析已經(jīng)經(jīng)發(fā)生的的入侵行行為有幫幫助，而而且對(duì)即即將發(fā)生生的入侵侵也有警警戒作用用，因?yàn)闉橹灰坎糠譂M足足這些入入侵跡象象就意味味著可能能有入侵侵發(fā)生。第5講安全檢測(cè)測(cè)技術(shù)入侵模式式匹配的的關(guān)鍵是是如何表表達(dá)入侵侵的模式式，把入入侵與正正常行為為區(qū)分開開來。入入侵模式式匹配的的優(yōu)點(diǎn)是是誤報(bào)少少，局限限是它只只能發(fā)現(xiàn)現(xiàn)已知的的攻擊，對(duì)未知知的攻擊擊無能為為力。第5講安全

8、檢測(cè)測(cè)技術(shù)(2)根據(jù)數(shù)據(jù)據(jù)源不同同分類根據(jù)檢測(cè)測(cè)系統(tǒng)所所依據(jù)分分析的原原始數(shù)據(jù)據(jù)不同，可將入入侵檢測(cè)測(cè)分為來來自系統(tǒng)統(tǒng)日志和和網(wǎng)絡(luò)數(shù)數(shù)據(jù)包兩兩種。入侵檢測(cè)測(cè)的早期期研究主主要集中中在對(duì)主主機(jī)系統(tǒng)統(tǒng)日志文文件的分分析上，因?yàn)楫?dāng)當(dāng)時(shí)的用用戶對(duì)象象局限于于本地用用戶。操操作系統(tǒng)統(tǒng)的日志志文件中中包含了了詳細(xì)的的用戶信信息和系系統(tǒng)調(diào)用用數(shù)據(jù)，從中可可以分析析系統(tǒng)是是否被侵侵入以及及侵入者者留下的的痕跡等等審計(jì)信信息。第5講安全檢測(cè)測(cè)技術(shù)隨著因特特網(wǎng)的普普及，用用戶可隨隨機(jī)地從從不同客客戶機(jī)上上登錄，主機(jī)間間也經(jīng)常常需要交交換信息息，網(wǎng)絡(luò)絡(luò)數(shù)據(jù)包包中同樣樣也含有有用戶信信息。這這樣，就就使入侵侵檢測(cè)的的

9、對(duì)象范范圍擴(kuò)大大至整個(gè)個(gè)網(wǎng)絡(luò)。此外，還還可根據(jù)據(jù)系統(tǒng)運(yùn)運(yùn)行特性性分為實(shí)實(shí)時(shí)檢測(cè)測(cè)和周期期性檢測(cè)測(cè)，以及及根據(jù)檢檢測(cè)到入入侵行為為后是否否采取相相應(yīng)措施施而分為為主動(dòng)型型和被動(dòng)動(dòng)型等。圖5.1兩類檢測(cè)測(cè)的關(guān)系系第5講安全檢測(cè)測(cè)技術(shù)2.IDS的基本原原理由于對(duì)安安全事件件的檢測(cè)測(cè)通常包包括了大大量復(fù)雜雜的步驟驟，涉及及到很多多方面，任何單單一技術(shù)術(shù)都很難難提供完完備的檢檢測(cè)能力力，需要要綜合多多個(gè)檢測(cè)測(cè)系統(tǒng)以以達(dá)到盡盡量完備備的檢測(cè)測(cè)能力。在根據(jù)據(jù)安全事事件報(bào)警警的標(biāo)準(zhǔn)準(zhǔn)格式所所定義的的安全模模型中，對(duì)一些些入侵檢檢測(cè)術(shù)語語進(jìn)行了了規(guī)范，包括：第5講安全檢測(cè)測(cè)技術(shù)1)數(shù)據(jù)源(Datasource)

10、：入侵檢檢測(cè)系統(tǒng)統(tǒng)用來檢檢測(cè)非授授權(quán)或不不希望的的活動(dòng)的的原始信信息。通通常的數(shù)數(shù)據(jù)源包包括(但不限于于)原始的網(wǎng)網(wǎng)絡(luò)包、操作系系統(tǒng)審計(jì)計(jì)日志、應(yīng)用程程序日志志以及系系統(tǒng)生成成的校驗(yàn)驗(yàn)和數(shù)據(jù)據(jù)等。2)活動(dòng)(Activity)：由傳感感器或分分析器識(shí)識(shí)別出的的數(shù)據(jù)源源的實(shí)例例。例如如，網(wǎng)絡(luò)絡(luò)會(huì)話、用戶活活動(dòng)和應(yīng)應(yīng)用事件件等?；罨顒?dòng)既包包括極其其嚴(yán)重的的事件(例如明顯顯的惡意意攻擊)，也包括括不太嚴(yán)嚴(yán)重的事事件(如值得進(jìn)進(jìn)一步深深究的異異常用戶戶活動(dòng))。第5講安全檢測(cè)測(cè)技術(shù)3)傳感器(Sensor)：從數(shù)據(jù)據(jù)源搜集集數(shù)據(jù)的的入侵檢檢測(cè)構(gòu)件件或模塊塊。數(shù)據(jù)據(jù)搜集的的頻率由由具體提提供的入入侵檢測(cè)測(cè)系

11、統(tǒng)決決定。4)事件(Event)：在數(shù)據(jù)據(jù)源中發(fā)發(fā)生且被被分析器器檢測(cè)到到的，可可能導(dǎo)致致警報(bào)傳傳輸?shù)男行袨?。例例如?0s內(nèi)的3次失敗登登錄，可可能表示示強(qiáng)行登登錄嘗試試攻擊。第5講安全檢測(cè)測(cè)技術(shù)5)分析器(Analyzer)：入侵檢檢測(cè)的構(gòu)構(gòu)件或進(jìn)進(jìn)程，它它分析傳傳感器搜搜集的數(shù)數(shù)據(jù)，這這些數(shù)據(jù)據(jù)反映了了一些非非授權(quán)的的或不希希望的活活動(dòng)，以以及安全全管理員員感興趣趣的安全全事件的的跡象。在很多多現(xiàn)有的的入侵檢檢測(cè)系統(tǒng)統(tǒng)中，將將傳感器器和分析析器作為為同一構(gòu)構(gòu)件的不不同部分分。6)安全策略略(Securitypolicy)：預(yù)定義義的正式式文檔聲聲明，定定義哪些些服務(wù)可可以通過過被監(jiān)控控的

12、網(wǎng)段段，還包包括(但不限于于)哪些主機(jī)機(jī)不允許許外部網(wǎng)網(wǎng)絡(luò)訪問問，從而而支持組組織的安安全需求求。第5講安全檢測(cè)測(cè)技術(shù)7)報(bào)警(Alert)：由分析析器發(fā)給給管理器器的消息息，表明明一個(gè)事事件被檢檢測(cè)到。報(bào)警通通常包含含被檢測(cè)測(cè)到的異異常活動(dòng)動(dòng)的有關(guān)關(guān)信息和和事件細(xì)細(xì)節(jié)。當(dāng)一個(gè)入入侵正在在發(fā)生或或者試圖圖發(fā)生時(shí)時(shí)，IDS系統(tǒng)將發(fā)發(fā)布一個(gè)個(gè)Alert信息通知知系統(tǒng)管管理員。如果控控制臺(tái)與與IDS系統(tǒng)同在在一臺(tái)機(jī)機(jī)器，Alert信息將顯顯示在監(jiān)監(jiān)視器上上，也可可能伴隨隨著聲音音提示。如果是是遠(yuǎn)程控控制臺(tái)，那么Alert將通過IDS系統(tǒng)內(nèi)置置方法(通常是加加密的)、SNMP (簡單網(wǎng)絡(luò)絡(luò)管理協(xié)協(xié)議，

13、通通常不加加密)、E-mail、SMS(短信息)或者以上上幾種方方法的混混合方式式傳遞給給管理員員。第5講安全檢測(cè)測(cè)技術(shù)8)管理器(Manager)：入侵檢檢測(cè)的構(gòu)構(gòu)件或進(jìn)進(jìn)程，操操作員通通過它可可以管理理入侵檢檢測(cè)系統(tǒng)統(tǒng)的各種種構(gòu)件。典型管管理功能能通常包包括：傳傳感器配配置、分分析器配配置、事事件通告告管理、數(shù)據(jù)合合并及報(bào)報(bào)告等。9)通告(Notification)：入侵檢檢測(cè)系統(tǒng)統(tǒng)管理器器用來使使操作員員知曉事事件發(fā)生生的方法法。在很很多入侵侵檢測(cè)系系統(tǒng)中，盡管有有許多其其他的通通告技術(shù)術(shù)可以采采用，但但通常是是通過在在入侵檢檢測(cè)系統(tǒng)統(tǒng)管理器器屏幕上上顯示一一個(gè)彩色色圖標(biāo)、發(fā)送電電子郵件

14、件或?qū)ず艉魴C(jī)消息息，或者者發(fā)送SNMP的陷門來來實(shí)現(xiàn)。第5講安全檢測(cè)測(cè)技術(shù)10)管理員(Administrator)：負(fù)責(zé)維維護(hù)和管管理一個(gè)個(gè)組織機(jī)機(jī)構(gòu)的網(wǎng)網(wǎng)絡(luò)信息息系統(tǒng)安安全的人人員。管管理員與與負(fù)責(zé)安安裝配置置入侵檢檢測(cè)系統(tǒng)統(tǒng)及監(jiān)視視入侵檢檢測(cè)系統(tǒng)統(tǒng)輸出的的人員，可能是是一人也也可能是是多人；他可能能屬于網(wǎng)網(wǎng)絡(luò)/系統(tǒng)管理理組，也也可能是是一個(gè)單單獨(dú)的職職位。11)操作員(Operator)：入侵檢檢測(cè)系統(tǒng)統(tǒng)管理器器的主要要使用者者。操作作員監(jiān)視視入侵檢檢測(cè)系統(tǒng)統(tǒng)的輸出出，并負(fù)負(fù)責(zé)發(fā)起起或建議議進(jìn)一步步的行動(dòng)動(dòng)。第5講安全檢測(cè)測(cè)技術(shù)12)響應(yīng)(Response)：對(duì)一個(gè)個(gè)事件所所采取的的響應(yīng)

15、動(dòng)動(dòng)作。響響應(yīng)可以以由入侵侵檢測(cè)系系統(tǒng)體系系結(jié)構(gòu)中中的一些些實(shí)體自自動(dòng)執(zhí)行行，也可可由人工工發(fā)起?；镜牡捻憫?yīng)包包括：向向操作員員發(fā)送通通告、將將活動(dòng)記記入日志志、記錄錄描述事事件特征征的原始始數(shù)據(jù)、中斷網(wǎng)網(wǎng)絡(luò)連接接或用戶戶應(yīng)用程程序會(huì)話話過程，或者改改變網(wǎng)絡(luò)絡(luò)或系統(tǒng)統(tǒng)的訪問問控制等等。13)特征表示示(Signature)：分析器器用于標(biāo)標(biāo)識(shí)安全全管理員員感興趣趣的活動(dòng)動(dòng)的規(guī)則則。表示示符代表表了入侵侵檢測(cè)系系統(tǒng)的檢檢測(cè)機(jī)制制。第5講安全檢測(cè)測(cè)技術(shù)14)入侵檢測(cè)測(cè)系統(tǒng)(IDS)：由一個(gè)個(gè)或多個(gè)個(gè)傳感器器、分析析器、管管理器組組成，可可自動(dòng)分分析系統(tǒng)統(tǒng)活動(dòng)，是檢測(cè)測(cè)安全事事件的工工具或系系統(tǒng)。

16、第5講安全檢測(cè)測(cè)技術(shù)一個(gè)簡單單的入侵侵檢測(cè)系系統(tǒng)的示示意圖如如圖5.2所示。圖5.2簡單的入入侵檢測(cè)測(cè)系統(tǒng)示示意圖第5講安全檢測(cè)測(cè)技術(shù)系統(tǒng)可以以分成數(shù)數(shù)據(jù)采集集、入侵侵分析引引擎、管管理配置置、響應(yīng)應(yīng)處理和和相關(guān)的的輔助模模塊等。1)數(shù)據(jù)采集集模塊：為入侵侵分析引引擎模塊塊提供分分析用的的數(shù)據(jù)。一股有有操作系系統(tǒng)的審審計(jì)日志志、應(yīng)用用程序日日志、系系統(tǒng)生成成的校驗(yàn)驗(yàn)和數(shù)據(jù)據(jù)，以及及網(wǎng)絡(luò)數(shù)數(shù)據(jù)包等等。2)入侵分析析引擎模模塊：依依據(jù)輔助助模塊提提供的信信息(如攻擊模模式)，按照一一定的算算法對(duì)收收集到的的數(shù)據(jù)進(jìn)進(jìn)行分析析，從中中判斷是是否有入入侵行為為出現(xiàn)并并產(chǎn)生入入侵報(bào)警警。該模模塊是入入侵檢

17、測(cè)測(cè)系統(tǒng)的的核心模模塊。第5講安全檢測(cè)測(cè)技術(shù)3)管理配置置模塊：它的功功能是為為其他模模塊提供供配置服服務(wù)，是是入侵檢檢測(cè)系統(tǒng)統(tǒng)中模塊塊與用戶戶的接口口。4)響應(yīng)處理理模塊：當(dāng)發(fā)生生入侵后后，預(yù)先先為系統(tǒng)統(tǒng)提供緊緊急的措措施，如如關(guān)閉網(wǎng)網(wǎng)絡(luò)服務(wù)務(wù)、中斷斷網(wǎng)絡(luò)連連接及啟啟動(dòng)備份份系統(tǒng)等等。5)輔助模塊塊：協(xié)助助入侵分分析引擎擎模塊工工作，為為它提供供相應(yīng)的的信息，如攻擊擊模式庫庫、系統(tǒng)統(tǒng)配置庫庫和安全全控制策策略等。第5講安全檢測(cè)測(cè)技術(shù)3.入侵檢測(cè)測(cè)系統(tǒng)的的結(jié)構(gòu)由于IDS的物理實(shí)實(shí)現(xiàn)方式式不同，即系統(tǒng)統(tǒng)組成的的結(jié)構(gòu)不不同，按按檢測(cè)的的監(jiān)控位位置劃分分，入侵侵檢測(cè)系系統(tǒng)可分分為基于于主機(jī)、基于網(wǎng)網(wǎng)

18、絡(luò)和分分布式三三類。第5講安全檢測(cè)測(cè)技術(shù)(1)基于主機(jī)機(jī)的入侵侵檢測(cè)系系統(tǒng)這是早期期的入侵侵檢測(cè)系系統(tǒng)結(jié)構(gòu)構(gòu)，系統(tǒng)統(tǒng)(如圖5.2所示)的檢測(cè)目目標(biāo)主要要是主機(jī)機(jī)系統(tǒng)和和系統(tǒng)本本地用戶戶。檢測(cè)測(cè)原理是是在每一一個(gè)需要要保護(hù)的的主機(jī)上上運(yùn)行一一個(gè)代理理程序，根據(jù)主主機(jī)的審審計(jì)數(shù)據(jù)據(jù)和系統(tǒng)統(tǒng)的日志志發(fā)現(xiàn)可可疑事件件。檢測(cè)測(cè)系統(tǒng)可可以運(yùn)行行在被檢檢測(cè)的主主機(jī)或單單獨(dú)的主主機(jī)上，從而實(shí)實(shí)現(xiàn)監(jiān)控控。第5講安全檢測(cè)測(cè)技術(shù)這種類型型的系統(tǒng)統(tǒng)依賴于于審計(jì)數(shù)數(shù)據(jù)或系系統(tǒng)日志志的準(zhǔn)確確性和完完整性，以及安安全事件件的定義義。若入入侵者設(shè)設(shè)法逃避避審計(jì)或或進(jìn)行合合作入侵侵，就會(huì)會(huì)出現(xiàn)問問題。特特別是在在網(wǎng)絡(luò)環(huán)環(huán)境下，

19、單獨(dú)依依靠主機(jī)機(jī)審計(jì)信信息進(jìn)行行入侵檢檢測(cè)，將將難以適適應(yīng)網(wǎng)絡(luò)絡(luò)安全的的需求。第5講安全檢測(cè)測(cè)技術(shù)基于主機(jī)機(jī)的入侵侵檢測(cè)系系統(tǒng)可以以精確地地判斷入入侵事件件，并可可對(duì)入侵侵事件立立即進(jìn)行行反應(yīng)；還可針針對(duì)不同同操作系系統(tǒng)的特特點(diǎn)來判判斷應(yīng)用用層的入入侵事件件。但一一般與操操作系統(tǒng)統(tǒng)和應(yīng)用用層入侵侵事件的的結(jié)合過過于緊密密，通用用性較差差，并且且IDS的分析過過程會(huì)占占用寶貴貴的主機(jī)機(jī)資源。另外，對(duì)基于于網(wǎng)絡(luò)的的攻擊不不敏感，特別是是假冒IP的入侵。第5講安全檢測(cè)測(cè)技術(shù)由于服務(wù)務(wù)器需要要與因特特網(wǎng)交互互作用，因此在在各服務(wù)務(wù)器上應(yīng)應(yīng)當(dāng)安裝裝基于主主機(jī)的入入侵檢測(cè)測(cè)軟件，并將檢檢測(cè)結(jié)果果及時(shí)向向管

20、理員員報(bào)告。基于主主機(jī)的入入侵檢測(cè)測(cè)系統(tǒng)沒沒有帶寬寬的限制制，它們們密切監(jiān)監(jiān)視系統(tǒng)統(tǒng)日志，能識(shí)別別運(yùn)行代代理程序序的機(jī)器器上受到到的攻擊擊?；谟谥鳈C(jī)的的入侵檢檢測(cè)系統(tǒng)統(tǒng)提供了了基于網(wǎng)網(wǎng)絡(luò)系統(tǒng)統(tǒng)不能提提供的精精細(xì)功能能，包括括二進(jìn)制制完整性性檢查、系統(tǒng)日日志分析析和非法法進(jìn)程關(guān)關(guān)閉等功功能，并并能根據(jù)據(jù)受保護(hù)護(hù)站點(diǎn)的的實(shí)際情情況進(jìn)行行針對(duì)性性的定制制，使其其工作效效果明顯顯，誤警警率相當(dāng)當(dāng)?shù)?。?講安全檢測(cè)測(cè)技術(shù)(2)基于網(wǎng)絡(luò)絡(luò)的入侵侵檢測(cè)系系統(tǒng)隨著計(jì)算算機(jī)網(wǎng)絡(luò)絡(luò)技術(shù)的的發(fā)展，單獨(dú)依依靠主機(jī)機(jī)審計(jì)信信息進(jìn)行行入侵檢檢測(cè)將難難以適應(yīng)應(yīng)網(wǎng)絡(luò)安安全的需需求。因因此，人人們提出出了基于于網(wǎng)絡(luò)的的入侵檢

21、檢測(cè)系統(tǒng)統(tǒng)體系結(jié)結(jié)構(gòu)。這這種檢測(cè)測(cè)系統(tǒng)使使用原始始的網(wǎng)絡(luò)絡(luò)分組數(shù)數(shù)據(jù)包作作為進(jìn)行行攻擊分分析的數(shù)數(shù)據(jù)源，通常利利用一個(gè)個(gè)網(wǎng)絡(luò)適適配器來來實(shí)時(shí)監(jiān)監(jiān)視和分分析所有有通過網(wǎng)網(wǎng)絡(luò)進(jìn)行行傳輸?shù)牡耐ㄐ拧Ｒ坏z檢測(cè)到攻攻擊，IDS的相應(yīng)模模塊通過過通知、報(bào)警以以及中斷斷連接等等方式來來對(duì)攻擊擊做出反反應(yīng)?；诰W(wǎng)絡(luò)絡(luò)的入侵侵檢測(cè)系系統(tǒng)如圖圖5.3所示。圖5.3基于網(wǎng)絡(luò)絡(luò)的入侵侵檢測(cè)系系統(tǒng)示意意圖第5講安全檢測(cè)測(cè)技術(shù)系統(tǒng)中數(shù)數(shù)據(jù)采集集模塊由由過濾器器、網(wǎng)絡(luò)絡(luò)接口引引擎和過過濾規(guī)則則決策器器組成。它的功功能是按按一定的的規(guī)則從從網(wǎng)絡(luò)上上獲取與與安全事事件相關(guān)關(guān)的數(shù)據(jù)據(jù)包，然然后傳遞遞給入侵侵分析引引擎模塊塊進(jìn)行

22、安安全分析析；入侵侵分析引引擎模塊塊將根據(jù)據(jù)從采集集模塊傳傳來的數(shù)數(shù)據(jù)包并并結(jié)合網(wǎng)網(wǎng)絡(luò)安全全數(shù)據(jù)庫庫進(jìn)行分分析，把把分析結(jié)結(jié)果傳送送給管理理/配置模塊塊：而管管理/配置模塊塊的主要要功能是是管理其其他功能能模塊的的配置工工作，并并將入侵侵分析引引擎模塊塊的輸出出結(jié)果以以有效的的方式通通知網(wǎng)絡(luò)絡(luò)管理員員。第5講安全檢測(cè)測(cè)技術(shù)基于網(wǎng)絡(luò)絡(luò)的入侵侵檢測(cè)系系統(tǒng)有以以下優(yōu)點(diǎn)點(diǎn)：1)檢測(cè)的范范圍是整整個(gè)網(wǎng)段段，而不不僅是被被保護(hù)的的主機(jī)。2)實(shí)時(shí)檢測(cè)測(cè)和應(yīng)答答。一旦旦發(fā)生惡惡意訪問問或攻擊擊，基于于網(wǎng)絡(luò)的的IDS檢測(cè)就可可以隨時(shí)時(shí)發(fā)現(xiàn)它它們，因因此能夠夠更快地地做出反反應(yīng)，從從而將入入侵活動(dòng)動(dòng)對(duì)系統(tǒng)統(tǒng)的破壞

23、壞降到最最低。3)隱蔽性好好。由于于不需要要在每個(gè)個(gè)主機(jī)上上安裝，所以不不易被發(fā)發(fā)現(xiàn)?；诰W(wǎng)絡(luò)絡(luò)的入侵侵檢測(cè)系系統(tǒng)的端端系統(tǒng)甚甚至可以以沒有網(wǎng)網(wǎng)絡(luò)地址址，從而而使攻擊擊者沒有有攻擊的的目標(biāo)。第5講安全檢測(cè)測(cè)技術(shù)4)不需要任任何特殊殊的審計(jì)計(jì)和登錄錄機(jī)制，只要配配置網(wǎng)絡(luò)絡(luò)接口就就可以了了，不會(huì)會(huì)影響其其他數(shù)據(jù)據(jù)源。5)操作系統(tǒng)統(tǒng)獨(dú)立。基于網(wǎng)網(wǎng)絡(luò)的IDS并不依賴賴主機(jī)的的操作系系統(tǒng)作為為其檢測(cè)測(cè)資源，而基于于主機(jī)的的IDS需要特定定的操作作系統(tǒng)才才能發(fā)揮揮作用。第5講安全檢測(cè)測(cè)技術(shù)基于網(wǎng)絡(luò)絡(luò)的入侵侵檢測(cè)系系統(tǒng)的主主要不足足在于：只能檢檢測(cè)經(jīng)過過本網(wǎng)段段的活動(dòng)動(dòng)，并且且精確度度較差，在交換換式網(wǎng)絡(luò)

24、絡(luò)環(huán)境下下難以配配置，防防入侵欺欺騙的能能力也比比較差；而且無無法知道道主機(jī)內(nèi)內(nèi)部的安安全情況況，而主主機(jī)內(nèi)部部普通用用戶的威威脅也是是網(wǎng)絡(luò)信信息系統(tǒng)統(tǒng)安全的的重要組組成部分分；另外外，如果果數(shù)據(jù)流流進(jìn)行了了加密，就不能能審查其其內(nèi)容，對(duì)主機(jī)機(jī)上執(zhí)行行的命令令也就難難以檢測(cè)測(cè)。第5講安全檢測(cè)測(cè)技術(shù)因此，基基于網(wǎng)絡(luò)絡(luò)和基于于主機(jī)的的安全檢檢測(cè)在方方法上是是需要互互補(bǔ)的。第5講安全檢測(cè)測(cè)技術(shù)(3)分布式入入侵檢測(cè)測(cè)系統(tǒng)隨著網(wǎng)絡(luò)絡(luò)系統(tǒng)結(jié)結(jié)構(gòu)的復(fù)復(fù)雜化和和大型化化，帶來來了許多多新的入入侵檢測(cè)測(cè)問題，于是，產(chǎn)生了了分布式式入侵檢檢測(cè)系統(tǒng)統(tǒng)。分布布式IDS的目標(biāo)是是既能檢檢測(cè)網(wǎng)絡(luò)絡(luò)入侵行行為，又又能檢測(cè)

25、測(cè)主機(jī)的的入侵行行為。系系統(tǒng)通常常由數(shù)據(jù)據(jù)采集模模塊、通通信傳輸輸模塊、入侵檢檢測(cè)分析析模塊、響應(yīng)處處理模塊塊、管理理中心模模塊及安安全知識(shí)識(shí)庫組成成。第5講安全檢測(cè)測(cè)技術(shù)這些模塊塊可根據(jù)據(jù)不同情情況進(jìn)行行組合，例如，由數(shù)據(jù)據(jù)采集模模塊和通通信傳輸輸模塊組組合產(chǎn)生生出的新新模塊能能完成數(shù)數(shù)據(jù)采集集和傳輸輸這兩種種任務(wù)。所有這這些模塊塊組合起起來就變變成了一一個(gè)入侵侵檢測(cè)系系統(tǒng)。需需要特別別指出的的是，模模塊按網(wǎng)網(wǎng)絡(luò)配置置情況和和檢測(cè)的的需要，可以安安裝在單單獨(dú)的一一臺(tái)主機(jī)機(jī)上，也也可分散散在網(wǎng)絡(luò)絡(luò)中的不不同位置置，甚至至一些模模塊本身身就能夠夠單獨(dú)檢檢測(cè)本地地的入侵侵，同時(shí)時(shí)將入侵侵檢測(cè)的的局

26、部結(jié)結(jié)果信息息提供給給入侵檢檢測(cè)管理理中心。第5講安全檢測(cè)測(cè)技術(shù)分布式IDS結(jié)構(gòu)對(duì)大大型網(wǎng)絡(luò)絡(luò)的安全全是有幫幫助的，它能夠夠?qū)⒒谟谥鳈C(jī)和和基于網(wǎng)網(wǎng)絡(luò)的系系統(tǒng)結(jié)構(gòu)構(gòu)結(jié)合起起來，檢檢測(cè)所用用到的數(shù)數(shù)據(jù)源豐豐富，可可克服前前兩者的的弱點(diǎn)。但是，分布式式的結(jié)構(gòu)構(gòu)增加了了網(wǎng)絡(luò)管管理復(fù)雜雜度，如如傳輸安安全事件件過程中中增加了了對(duì)通信信安全問問題的處處理等。第5講安全檢測(cè)測(cè)技術(shù)4.入侵檢測(cè)測(cè)的基本本方法入侵檢測(cè)測(cè)的基本本方法主主要有基基于用戶戶行為概概率統(tǒng)計(jì)計(jì)模型、基于神神經(jīng)網(wǎng)絡(luò)絡(luò)、基于于專家系系統(tǒng)和基基于模型型推理等等。第5講安全檢測(cè)測(cè)技術(shù)(1)基于用戶戶行為概概率統(tǒng)計(jì)計(jì)模型的的入侵檢檢測(cè)方法法這種方法法是基于于對(duì)用戶戶歷史行行為以及及在早期期的證據(jù)據(jù)或模型型的基礎(chǔ)礎(chǔ)上進(jìn)行行的，系系統(tǒng)實(shí)時(shí)時(shí)檢測(cè)用用戶對(duì)系系統(tǒng)的使使用情況況，根據(jù)據(jù)系統(tǒng)內(nèi)內(nèi)部保存存的用戶戶行為概概率統(tǒng)計(jì)計(jì)模型進(jìn)進(jìn)行檢測(cè)測(cè)。當(dāng)有有可疑行行為發(fā)生生時(shí)，保保持追蹤蹤并監(jiān)測(cè)測(cè)、記錄錄該用戶戶的行為為。第5講安全檢測(cè)測(cè)技術(shù)通常系統(tǒng)統(tǒng)要根據(jù)據(jù)每個(gè)用用戶以前前的歷史史行為，生成每每個(gè)用戶戶的歷史史行為記記錄庫，當(dāng)某用用戶改變變其行為為習(xí)慣時(shí)時(shí)，這種種異常就就