安全審計與入侵檢測課件

第

4

章安全審計與入侵檢測4.1安全審計4.1.1安全審計概念4.1.2安全審計目的4.1.3安全審計內(nèi)容4.1.4安全審計分類和過程4.1.5審計日志管理4.1.6安全審計系統(tǒng)的組成、功能與特點4.2入侵檢測 4.2.1入侵檢測概述 4.2.2入侵檢測側(cè)方法4.2.3入侵檢測系統(tǒng)的部署4.2.4入侵檢測技術發(fā)展4.2.5與入侵檢測有關的新技術第4章安全審計與入侵檢測4.1安全審計14.1安全審計安全審計即是對安全方案中的功能提供持續(xù)的評估。安全審計可以為安全官員提供一組可進行分析的管理數(shù)據(jù)，以發(fā)現(xiàn)在何處發(fā)生了違反安全方案的事件。為了保證信息系統(tǒng)安全可靠的運行，需加強信息安全審計。4.1安全審計安全審計即是對安全方案中的功能提供持續(xù)的評24.1.1安全審計概念從總體上說，安全審計是采用數(shù)據(jù)挖掘和數(shù)據(jù)倉庫技術，實現(xiàn)在不同網(wǎng)絡環(huán)境中終端對終端的監(jiān)控和管理，必要時通過多種途徑向管理員發(fā)出警告或自動采取排錯措施，能對歷史數(shù)據(jù)進行分析、處理和追蹤。利用安全審計結果，可調(diào)整安全政策，堵住出現(xiàn)的漏洞。4.1.1安全審計概念從總體上說，安全審計是采用數(shù)據(jù)3安全審計日志利用安全審計日志進行監(jiān)控是一種更為主動的監(jiān)督管理形式，它也是一種檢測觸犯安全規(guī)定事件的手段。出于它自身的重要性，安全審計日志和監(jiān)控功能本身給安全帶來了額外的威脅，因此必須加強對這類信息的保護。對安全審計日志和監(jiān)控功能的使用也必須做審計記錄，否則蓄謀作案的內(nèi)部人員將有機可乘，逃脫審查。安全審計日志利用安全審計日志進行監(jiān)控是一種更為主動的監(jiān)督管理4安全審計和報警安全報警的產(chǎn)生是檢測到任何符合已定義報警條件的安全相關事件的結果。安全審計和報警的實現(xiàn)，可能需要使用其他安全服務來支持安全審計和報警服務，并確保它們正確而有把握地運行。安全審計和報警服務與其他安全服務的不同之處在于沒有單個的特定安全機制可以用于提供這種服務。安全審計和報警安全報警的產(chǎn)生是檢測到任何符合已定義報警條件5安全審計跟蹤安全審計跟蹤是一種很有價值的安全機制，可以通過事后的安全審計來檢測和調(diào)查安全策略執(zhí)行的情況以及安全遭到破壞的情況。安全審計需要安全審計跟蹤與安全有關的記錄信息，以及從安全審計跟蹤中得到的分析和報告信息。日志或記錄被視為一種安全機制，而分析和報告生成則被視為一種安全管理功能。安全審計跟蹤安全審計跟蹤是一種很有價值的安全機制，可以通過事64.1.2安全審計目的安全審計與報警的目的是根據(jù)適當安全機構的安全策略，確保與開放系統(tǒng)互聯(lián)的安全有關的事件得到處理，安全審計只在定義的安全策略范圍內(nèi)提供。具體的目的主要有：

輔助辨識和分析來經(jīng)授權的活動或攻擊；幫助保證那些實體響應行動處理這些活動；促進開發(fā)改進的損傷控制處理程序；認可與已建立的安全策略的一致性；報告那些可能與系統(tǒng)控制不相適應的信息；辨識可能需要的對控制、策略和處理程序的改變。4.1.2安全審計目的安全審計與報警的目的是根據(jù)適當安74.1.3安全審計內(nèi)容個人職能（IndividualAccountability）。審計跟蹤是管理人員用來維護個人職能的技術手段。事件重建（ReconstructionofEvents）。在發(fā)生故障后，審計跟蹤可以用于重建事件和數(shù)據(jù)恢復。入侵檢測（IntrusionDetection）。審計跟蹤記錄可以用來協(xié)助入侵檢測工作。故障分析（ProblemAnalysis）。審計跟蹤可以用于實時審計或監(jiān)控。4.1.3安全審計內(nèi)容個人職能（Individual84.1.4安全審計分類和過程安全審計分類按照審計對象分類：①網(wǎng)絡審計；②主機審計；③應用系統(tǒng)審計。按照審計方式分類：①人工審計；②半自動審計；③智能審計。審計過程的實現(xiàn)：

第一步，收集審計事件，產(chǎn)生審計記錄；第二步，根據(jù)記錄進行安全事件的分析；第三步，采取處理措施。審計范圍包括操作系統(tǒng)和各種應用程序。4.1.4安全審計分類和過程安全審計分類9審計的工作流程根據(jù)相應的審計條件判斷事件是否是審計事件。對審計事件的內(nèi)容按日志的模式記錄到審計日志中。對滿足報警條件的事件向?qū)徲媶T發(fā)送報警信息并記錄其內(nèi)容。當事件在一定時間內(nèi)頻繁發(fā)生，滿足逐出系統(tǒng)的條件值時，則將引起該事件的用戶逐出系統(tǒng)并記錄其內(nèi)容。審計員可以查詢、檢索審計日志以形成審計報告。審計的工作流程根據(jù)相應的審計條件判斷事件是否是審計事件。對104.1.5審計日志管理審計日志是記錄信息系統(tǒng)安全狀態(tài)和問題的依據(jù)，各級信息系統(tǒng)必須制定保存和調(diào)閱審計日志的管理制度。忽視日志管理很快會變成嚴重的問題，日志管理是確保記錄長期穩(wěn)定和有用的過程。

4.1.5審計日志管理審計日志是記錄信息系統(tǒng)安全狀態(tài)和11日志的內(nèi)容基于安全觀點考慮，理想的日志應該包括全部與數(shù)據(jù)、程序以及與系統(tǒng)資源相關事件的記錄。實際上，這樣的日志只能適用于某些有特殊需要的系統(tǒng)，因為它所付出的代價太大，因此，最好根據(jù)系統(tǒng)的安全目標和操作環(huán)境單獨設計日志。日志中的典型信息列舉如下：事件的性質(zhì)；全部相關組件的標識；有關事件的信息。日志的內(nèi)容基于安全觀點考慮，理想的日志應該包括全部與數(shù)據(jù)、12日志的作用當雇員涉嫌欺騙、貪污或有其他非法使用系統(tǒng)的行為時，日志可以為調(diào)查處理工作提供有效的證明。日志還可以作為責任認定的依據(jù)，當發(fā)生責任糾紛時，查閱日志不失是一種好方法。另外，日志作為系統(tǒng)運行記錄集，對分析系統(tǒng)畫了情況、排除故障和提高效率都會起到很好的幫助作用。日志的作用當雇員涉嫌欺騙、貪污或有其他非法使用系統(tǒng)的行為時13日志的管理方法日志管理最典型的方法是日志輪轉(zhuǎn)，即將舊的、已寫滿的日志文件移到一邊，新的空日志文件占用它們的位置。正確輪轉(zhuǎn)日志以后，還必須注意備份。經(jīng)常是已經(jīng)發(fā)現(xiàn)了攻擊，要回過頭來看看攻擊者還要試圖做什么。要完成這一點，需要對日志做索引；需要滾動舊的日志以離線存儲；需要檢索離線日志，并盡可能快地找出合適的日志項。日志的管理方法日志管理最典型的方法是日志輪轉(zhuǎn)，即將舊的、已144.1.6安全審計系統(tǒng)的組成、功能與特點1．安全審計系統(tǒng)的組成典型的安全審計系統(tǒng)包括：事件辨別器：提供事件的初始分析，并決定是否把該事件傳送給審計記錄器或報警處理器；事件記錄器：將接受來的消息生成審計記錄，并把此記錄存入一個安全審計跟蹤；報警處理器：產(chǎn)生一個審計消息，同時產(chǎn)生合適的行動以響應一個安全報警；審計分析器：檢查安全審計跟蹤，生成安全報警和安全審計消息；審計跟蹤驗證器：從安全審計跟蹤產(chǎn)生出安全審計報告；審計提供器：按照某些準則提供審計記錄；審計歸檔器：將安全審計跟蹤歸檔；審計跟蹤收集器：將一個分布式安全審計跟蹤的記錄匯集成一個安全審計跟蹤；審計調(diào)度器：將分布式安全審計跟蹤的某些部分或全部傳輸?shù)皆搶徲嬚{(diào)度器。4.1.6安全審計系統(tǒng)的組成、功能與特點1．安全審計系152．安全審計系統(tǒng)的基本功能內(nèi)容審計系統(tǒng)。內(nèi)容審計系統(tǒng)專用于防止非法信息惡意傳播，避免國家機密、商業(yè)信息、科研成果泄漏的產(chǎn)品；并可實時監(jiān)控網(wǎng)絡資源使用情況，提高整體工作效率。該系統(tǒng)一般具有如下功能：

①對用戶的網(wǎng)絡行為監(jiān)控、網(wǎng)絡傳輸內(nèi)容審計②掌握網(wǎng)絡使用情況，提高工作效率③網(wǎng)絡傳輸信息的實時采集、海量存儲、統(tǒng)計分析④網(wǎng)絡行為后期取證，對網(wǎng)絡潛在威脅者予以威懾2．安全審計系統(tǒng)的基本功能內(nèi)容審計系統(tǒng)。內(nèi)容審計系統(tǒng)專用于16安全審計系統(tǒng)的基本功能（續(xù)）日志審計系統(tǒng)。日志審計系統(tǒng)為不同的網(wǎng)設備及系統(tǒng)提供了統(tǒng)一的日志管理分析平臺，打破了組織中不同設備及系統(tǒng)之間存在的信息鴻溝。該系統(tǒng)一般具有如下功能：①全面支持安全設備（如防火墻，IDS、AV）、網(wǎng)絡設備（如Router、Switch）、應用系統(tǒng)（如WEB、Mail、Ftp、Database）、操作系統(tǒng)（如Windows、Linux、Unix）等多種產(chǎn)品及系統(tǒng)日志數(shù)據(jù)的收集和分析。②幫助管理員對網(wǎng)絡事件進行深度的挖掘分析，系統(tǒng)提供多達300多種的報表模板，支持管理員從不同角度進行網(wǎng)絡事件的可視化分析。同時系統(tǒng)還支持對網(wǎng)絡設備、主機、系統(tǒng)應用、多種網(wǎng)絡服務的全面監(jiān)視。③提供全局安全視圖，幫助管理員發(fā)現(xiàn)網(wǎng)絡、系統(tǒng)及應用中存在的安全漏洞和隱患，并進行不斷改進。④可自定義安全事件的危險級別，并實現(xiàn)基于EMAIL，鈴聲、手機短信等多種響應方式。安全審計系統(tǒng)的基本功能（續(xù)）日志審計系統(tǒng)。日志審計系統(tǒng)為不同173．安全審計系統(tǒng)的特點具有Client/Server結構，便于不同級別的管理員通過客戶端，針對不同的業(yè)務網(wǎng)段進行審計工作。力求得到被審計網(wǎng)絡中的硬/軟件資源的使用信息，使管理人員以最小的代價、最高的效率得到網(wǎng)絡中資源的使用情況，從而制定網(wǎng)絡維護和升級方案。審計單元向?qū)徲嬛行膮R報工作以及審計中心向下一級部門索取審計數(shù)據(jù)。提供實時監(jiān)控功能。事后的取證、分析。使用歷史記錄可以取得特定工作站、時間段或基于其他特定系統(tǒng)參數(shù)下，主機、服務器和網(wǎng)絡的使用信息；基于這些歷史記錄可以進行某些統(tǒng)計、分析操作?？勺詣舆M行審計工作，降低管理員工作壓力。3．安全審計系統(tǒng)的特點具有Client/Server結構，184.2入侵檢測入侵檢測是安全審計的重要內(nèi)容之一，是網(wǎng)絡安全防護的重要組成部分。入侵檢測技術是一種主動保護自己的網(wǎng)絡和系統(tǒng)免遭非法攻擊的網(wǎng)絡安全技術。它從計算機系統(tǒng)或者網(wǎng)絡中收集、分析信息，檢測任何企圖破壞計算機資源的完整性（Integrity）、機密性（Confidentiality）和可用性（Availability）的行為，即查看是否有違反安全策略的行為和遭到攻擊的跡象，并做出相應的反應。4.2入侵檢測入侵檢測是安全審計的重要內(nèi)容之一，194.2.1入侵檢測概述1．入侵檢測概念入侵是指任何企圖危機資源的完整性、機密性和可用性的活動，不僅包括發(fā)起攻擊的人取得超出合法范圍的系統(tǒng)控制權，也包括收集漏洞信息，造成拒絕服務等對計算機系統(tǒng)產(chǎn)生危害的行為。入侵檢測（IntrusionDetection）的定義是指通過從計算機網(wǎng)絡或計算機系統(tǒng)中的若干關鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術。4.2.1入侵檢測概述1．入侵檢測概念20入侵檢測系統(tǒng)入侵檢測系統(tǒng)IDS（IntrusionDetectionSystem）是試圖實現(xiàn)檢測入侵行為的計算機系統(tǒng)，包含計算機軟件和硬件的組合。入侵檢測系統(tǒng)具有更多的智能，對系統(tǒng)進行實時監(jiān)控，獲取系統(tǒng)的審計數(shù)據(jù)或網(wǎng)絡數(shù)據(jù)包，然后將得到的數(shù)據(jù)進行分析，并判斷系統(tǒng)或網(wǎng)絡是否出現(xiàn)異?；蛉肭中袨椋坏┌l(fā)現(xiàn)異?；蛉肭智闆r，發(fā)出報警并采取相應的保護措施。入侵檢測系統(tǒng)入侵檢測系統(tǒng)IDS（IntrusionDete21入侵檢測是一種動態(tài)的網(wǎng)絡安全技術它利用各種不同類型的引擎，實時或定期的對網(wǎng)絡中相關的數(shù)據(jù)源進行分析，依照引擎對特殊的數(shù)據(jù)或事件的認識，將其中具有威脅性的部分提取出來，并觸發(fā)響應機制。入侵檢測的動態(tài)性反映在入侵檢測的實時性，對網(wǎng)絡環(huán)境的變化具有一定程度上的自適應性，這是以往靜態(tài)安全技術無法具有的。入侵檢測是一種動態(tài)的網(wǎng)絡安全技術它利用各種不同類型的引擎，222．入侵檢測原理模型Denning模型圖4-1Denning入侵檢測模型2．入侵檢測原理模型Denning模型圖4-1Den23上圖模型中包含6個主要部分：①實體（Subjects）：在目標系統(tǒng)上活動的實體，如用戶。②對象（Objects）：指系統(tǒng)資源，如文件、設備、命令等。③審計記錄（Auditrecords）：由主體、活動（Action）、異常條件（Exception-Condition）、資源使用狀況（Resource-Usage）和時間戳（Time-Stamp）等組成。④活動檔案（ActiveProfile）：即系統(tǒng)正常行為模型，保存系統(tǒng)正?；顒拥挠嘘P信息。⑤異常記錄（AnomalyRecord）：由事件、時間戳和審計記錄組成，表示異常事件的發(fā)生情況。⑥活動規(guī)則（ActiveRule）：判斷是否為入侵的準則及相應要采取的行動。2．入侵檢測原理模型(續(xù))上圖模型中包含6個主要部分：2．入侵檢測原理模型(續(xù))24CIDF模型圖4-2CIDF入侵檢測模型2．入侵檢測原理模型(續(xù))CIDF模型圖4-2CIDF入侵檢測模型2．入侵檢測25上圖所示的模型中，入侵檢測系統(tǒng)分為4個基本組件：①事件產(chǎn)生器的任務是從入侵檢測系統(tǒng)之外的計算環(huán)境中收集事件，但并不分析它們，并將這些事件轉(zhuǎn)換成CIDF的GIDO格式傳送給其他組件；②事件分析器分析從其他組件收到的GIDO，并將產(chǎn)生的新的GIDO再傳送給其他組件；③事件數(shù)據(jù)庫用來存儲GIDO，以備系統(tǒng)需要的時候使用；④響應單元處理收到的GIDO，并根據(jù)處理結果，采取相應的措施，如殺死相關進程、將連接復位、修改文件權限等。2．入侵檢測原理模型(續(xù))上圖所示的模型中，入侵檢測系統(tǒng)分為4個基本組件：2．入侵檢測263．入侵響應機制入侵響應是入侵檢測技術的配套技術，一般的入侵檢測系統(tǒng)會同時使用這兩種技術。入侵響應技術可分為主動響應和被動響應兩種類型。主動響應和被動響應并不是相互排斥的。不管使用哪一種響應機制，作為任務的一個重要部分，入侵檢測系統(tǒng)應該總能以日志的形式記錄下檢測結果。3．入侵響應機制入侵響應是入侵檢測技術的配套技術，一般的入27（1）主動響應主動響應，即檢測到入侵后立即采取行動。主動響應有兩種形式：一種是由用戶驅(qū)動的，一種是由系統(tǒng)本身自動執(zhí)行的。對入侵者采取反擊行動、修正系統(tǒng)環(huán)境和收集盡可能多的信息是主動響應的基本手段。（1）主動響應主動響應，即檢測到入侵后立即采取行動。28對入侵者采取反擊行動警告攻擊者、跟蹤攻擊者、斷開危險連接和對攻擊者的攻擊是最嚴厲的一種主動反擊手段。這種響應方法有一定的風險：

被確認為攻擊你的系統(tǒng)的源頭系統(tǒng)很可能是黑客的另一個犧牲品。

攻擊源的IP地址欺騙也是常有的事。簡單的反擊可能會惹起對手更大的攻擊。反擊會使你自己冒違法犯罪的風險。

對入侵者采取反擊行動警告攻擊者、跟蹤攻擊者、斷開危險連接和29修正系統(tǒng)環(huán)境修正系統(tǒng)環(huán)境較直接采取反擊的主動性要差一些，當與提供調(diào)查支持的響應結合在一起的時候，卻往往是一種更好的響應方案。修正系統(tǒng)環(huán)境以堵住導致入侵發(fā)生的漏洞的概念與許多研究者所提出的關鍵系統(tǒng)耦合的觀點是相一致的。這種策略類似于實時過程控制系統(tǒng)的反饋機制，即目前系統(tǒng)處理過程的輸出將用來調(diào)整和優(yōu)化下一個處理過程。修正系統(tǒng)環(huán)境修正系統(tǒng)環(huán)境較直接采取反擊的主動性要差一些，當30收集額外信息當被保護的系統(tǒng)非常重要并且系統(tǒng)的主人想進行配置改進時，收集額外信息特別有用。以這種方式收集的信息對那些從事網(wǎng)絡安全威脅的趨勢分析的人來說也是有價值的。這種信息對那些必須在有敵意威脅的環(huán)境里運行或易遭受大量攻擊的系是特別重要的。收集額外信息當被保護的系統(tǒng)非常重要并且系統(tǒng)的主人想進行配置31（2）被動響應被動響應就是那些只向用戶提供信息而依靠用戶去采取下一步行動的響應。被動響應是很重要的，在一些情形下是系統(tǒng)惟一的響應形式。以下列舉兩種常用的被動響應技術：告警和通知：告警顯示屏；告警和警報的遠程通知。SNMP陷阱和插件（2）被動響應被動響應就是那些只向用戶提供信息而依靠用戶去32（3）響應報警策略

如何報警和選取什么樣的報警，需要根據(jù)整個網(wǎng)絡的環(huán)境和安全的需求進行確定。不同的報警方式對網(wǎng)絡相關的設備有著不同的要求。由于報警的形式很多，大部分都需要其他網(wǎng)絡設備和服務的協(xié)助，因此只有保證相關的設備和服務可以和入侵檢測系統(tǒng)正確地通信，才可以保證報警信息的及時送達。這就要求入侵檢測系統(tǒng)存在與其他設備互動的接口。（3）響應報警策略如何報警和選取什么樣的報警，需要根據(jù)整個334．入侵檢測系統(tǒng)的基本結構

圖4-3入侵檢測系統(tǒng)的基本結構入侵檢測系統(tǒng)的基本結構通常由事件產(chǎn)生器、事件分析器、事件數(shù)據(jù)庫和響應單元四個基本組件組成。從具體實現(xiàn)的角度看，入侵檢測系統(tǒng)一般包括硬件和軟件兩部分。4．入侵檢測系統(tǒng)的基本結構圖4-3入侵檢測系統(tǒng)的基本結345．入侵檢測系統(tǒng)的功能檢測和分析用戶與系統(tǒng)的活動；審計系統(tǒng)配置和脆弱性；評估關鍵系統(tǒng)和數(shù)據(jù)文件的一致性；識別反映已知攻擊的活動模式；非正?；顒幽Ｊ降慕y(tǒng)計分析；操作系統(tǒng)的審計跟蹤管理，通過用戶活動的識別違規(guī)操作。5．入侵檢測系統(tǒng)的功能檢測和分析用戶與系統(tǒng)的活動；356．入侵檢測系統(tǒng)的分類異常檢測和誤用檢測。根據(jù)入侵檢測所采用的技術，可以分為異常檢測和誤用檢測。異常檢測（AbnormalDetection）。異常入侵檢測是指能夠根據(jù)異常行為和使用計算機資源的情況檢測出來的入侵。

誤用檢測（MisuseDetection）。誤用入侵檢測（也稱濫用入侵檢測）是指利用已知系統(tǒng)和應用軟件的弱點攻擊模式來檢測入侵。6．入侵檢測系統(tǒng)的分類異常檢測和誤用檢測。根據(jù)入侵檢測所采366．入侵檢測系統(tǒng)的分類（續(xù)）基于主機和網(wǎng)絡的檢測。按照入侵檢測輸入數(shù)據(jù)的來源和系統(tǒng)結構，可以分為：基于主機的入侵檢測系統(tǒng)（HIDS）。該系統(tǒng)通過監(jiān)視和分析主機上的審計日志，來檢測主機上是否發(fā)生入侵行為。圖4-4基于主機的入侵檢測系統(tǒng)HIDS的優(yōu)點是可精確判斷入侵事件，并及時進行反應。缺點是會占用寶貴的主機資源。6．入侵檢測系統(tǒng)的分類（續(xù)）基于主機和網(wǎng)絡的檢測。按照入侵檢376．入侵檢測系統(tǒng)的分類（續(xù)）基于網(wǎng)絡的入侵檢測系統(tǒng)（NIDS）。該系統(tǒng)一般被動地在共享網(wǎng)段上進行偵聽，通過對捕獲網(wǎng)絡數(shù)據(jù)包進行分析，能夠檢測該網(wǎng)段上發(fā)生的網(wǎng)絡入侵。

圖4-5基于網(wǎng)絡的入侵檢測系統(tǒng)這類系統(tǒng)的優(yōu)點是檢測速度快、隱蔽性好，不那么容易遭受攻擊，對主機資源消耗少，并且由于網(wǎng)絡協(xié)議是標準的，可以對網(wǎng)絡提供通用的保護而無須顧及異構主機的不同架構。但它只能監(jiān)視經(jīng)過本網(wǎng)段的活動，且精確度較差，在交換網(wǎng)絡環(huán)境下難以配置，防欺騙能力也較弱。6．入侵檢測系統(tǒng)的分類（續(xù)）基于網(wǎng)絡的入侵檢測系統(tǒng)（NIDS386．入侵檢測系統(tǒng)的分類（續(xù)）混合型入侵檢測系統(tǒng)。聯(lián)合使用基于主機和基于網(wǎng)絡這兩種方式能夠達到更好的檢測效果。分布式入侵檢測系統(tǒng)（DIDS）是一種典型的混合型入侵檢測系統(tǒng)，也可以僅僅是網(wǎng)絡入侵檢測系統(tǒng)的分布式整合。圖4-6分布式入侵檢測系統(tǒng)框圖6．入侵檢測系統(tǒng)的分類（續(xù)）混合型入侵檢測系統(tǒng)。聯(lián)合使用基于396．入侵檢測系統(tǒng)的分類（續(xù)）離線檢測和在線檢測。根據(jù)入侵檢測系統(tǒng)的工作方式分為離線檢測系統(tǒng)和在線檢測系統(tǒng)。離線檢測系統(tǒng)。在事后分析審計事件，從中檢查入侵活動，是一種非實時工作的系統(tǒng)。在線檢測。實施聯(lián)機的檢測系統(tǒng)，它包含對實時網(wǎng)絡數(shù)據(jù)包分析，對實時主機審計分析。6．入侵檢測系統(tǒng)的分類（續(xù)）離線檢測和在線檢測。根據(jù)入侵檢測406．入侵檢測系統(tǒng)的分類（續(xù)）集中式、等級式和協(xié)作式。按照體系結構，IDS可分為集中式、等級式和協(xié)作式3種。

集中式。等級式。協(xié)作式。6．入侵檢測系統(tǒng)的分類（續(xù)）集中式、等級式和協(xié)作式。按照體系417．入侵檢測系統(tǒng)性能準確性：檢測系統(tǒng)具有低的假報警率和漏警率。執(zhí)行性：入侵檢測系統(tǒng)處理審計事件的比率。如果執(zhí)行性很低，則無法實現(xiàn)入侵檢測系統(tǒng)的實時檢測。完整性：如果一個入侵檢測系統(tǒng)不能檢測一個攻擊則認為是不完整的。容錯性：入侵檢測系統(tǒng)本身應具備抵抗攻擊的能力。實時性：系統(tǒng)能盡快地察覺入侵企圖，以便制止和限制破壞。7．入侵檢測系統(tǒng)性能準確性：檢測系統(tǒng)具有低的假報警率和漏警428．入侵檢測系統(tǒng)的優(yōu)點可以檢測和分析系統(tǒng)事件以及用戶的行為；可以測試系統(tǒng)設置的安全狀態(tài)；以系統(tǒng)的安全狀態(tài)為基礎，跟蹤任何對系統(tǒng)安全的修改操作；通過模式識別等技術從通信行為中檢測出已知的攻擊行為；可以對網(wǎng)絡通信行為進行統(tǒng)計，并進行檢測分析；管理操作系統(tǒng)認證和日志機制并對產(chǎn)生的數(shù)據(jù)進行分析處理；在檢測到攻擊的時候，通過適當?shù)姆绞竭M行適當?shù)膱缶幚?；通過對分析引擎的配置對網(wǎng)絡的安全進行評估和監(jiān)督；允許非安全領域的管理人員對重要的安全事件進行有效的處理。8．入侵檢測系統(tǒng)的優(yōu)點可以檢測和分析系統(tǒng)事件以及用戶的行為；439．入侵檢測系統(tǒng)的局限性入侵檢測系統(tǒng)無法彌補安全防御系統(tǒng)中的安全缺陷和漏洞。對于高負載的網(wǎng)絡或主機，很難實現(xiàn)對網(wǎng)絡入侵的實時檢測、報警和迅速地進行攻擊響應。檢測具有一定的后滯性，而對于已知的報警，一些沒有明顯特征的攻擊行為也很難檢測到，或需要付出提高誤報警率的代價才能夠正確檢測。入侵檢測系統(tǒng)的主動防御功能和聯(lián)動防御功能會對網(wǎng)絡的行為產(chǎn)生影響，同樣也會成為攻擊者的目標，實現(xiàn)以入侵檢測系統(tǒng)過敏自主防御為基礎的攻擊。9．入侵檢測系統(tǒng)的局限性入侵檢測系統(tǒng)無法彌補安全防御系統(tǒng)中449．入侵檢測系統(tǒng)的局限性（續(xù)）入侵檢測系統(tǒng)無法單獨防止攻擊行為的滲透，只能調(diào)整相關網(wǎng)絡設備的參數(shù)或人為地進行處理。網(wǎng)絡入侵檢測系統(tǒng)在純交換環(huán)境下無法正常工作，只有對交換環(huán)境進行一定的處理。入侵檢測系統(tǒng)主要是對網(wǎng)絡行為進行分析檢測，不能修正信息資源中存在的安全問題。IDS系統(tǒng)本身還在迅速發(fā)展和變化，尚未成熟。9．入侵檢測系統(tǒng)的局限性（續(xù)）入侵檢測系統(tǒng)無法單獨防止攻擊行459．入侵檢測系統(tǒng)的局限性（續(xù)）現(xiàn)有的IDS系統(tǒng)錯報率（或稱為虛警率）偏高，嚴重干擾了檢測結果。事件響應與恢復機制不完善。IDS與其他安全技術的協(xié)作性不夠。IDS缺少對檢測結果做進一步說明和分析的輔助工具，這妨礙了用戶進一步理解看到的數(shù)據(jù)或圖表。缺少防御功能檢測，作為一種被動且功能有限的技術，缺乏主動防御功能。IDS缺乏國際統(tǒng)一的標準9．入侵檢測系統(tǒng)的局限性（續(xù)）現(xiàn)有的IDS系統(tǒng)錯報率（或稱為469．入侵檢測系統(tǒng)的局限性（續(xù)）產(chǎn)品適應能力低大型網(wǎng)絡的管理問題處理速度上的瓶頸拒絕服務攻擊插入和規(guī)避9．入侵檢測系統(tǒng)的局限性（續(xù)）產(chǎn)品適應能力低4710．入侵檢測系統(tǒng)與防火墻的區(qū)別“防火墻”是在被保護網(wǎng)絡周邊建立的、分隔被保護網(wǎng)絡與外部網(wǎng)絡的系統(tǒng)。采用防火墻技術的前提條件是：被保護的網(wǎng)絡具有明確定義的邊界和服務；網(wǎng)絡安全的威脅僅來自外部網(wǎng)絡。但僅僅使用防火墻保障網(wǎng)絡安全是遠遠不夠的。10．入侵檢測系統(tǒng)與防火墻的區(qū)別“防火墻”是在被保護網(wǎng)絡周4810.入侵檢測系統(tǒng)與防火墻的區(qū)別（續(xù)）入侵檢測是防火墻的合理補充，為網(wǎng)絡安全提供實時的入侵檢測并采取相應的防護手段。入侵檢測被認為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡性能的情況下，能對網(wǎng)絡進行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。IDS一般不是采取預防的措施以防止入侵事件的發(fā)生，入侵檢測作為安全技術其主要目的在于：識別入侵者；識別入侵行為；檢測和監(jiān)視已成功的安全突破；為對抗入侵，及時提供重要信息，阻止事件的發(fā)生和事態(tài)的擴大。10.入侵檢測系統(tǒng)與防火墻的區(qū)別（續(xù)）入侵檢測是防火墻的合理494.2.2侵檢測方法1．異常檢測異常檢測指根據(jù)使用者的行為或資源使用狀況來判斷是否發(fā)生入侵事件，而不依賴于具體行為是否出現(xiàn)來檢測，所以也被稱為基于行為的檢測。異常檢測的主要思想是：根據(jù)系統(tǒng)的正常活動建立一個特征文件，通過統(tǒng)計那些不同于我們已建立的特征文件的所有系統(tǒng)狀態(tài)來識別入侵。4.2.2侵檢測方法1．異常檢測50異常活動和入侵活動圖4-7異?；顒蛹腿肭只顒蛹g的關系從圖中可以看出，異常檢測的關鍵問題是如何選擇合適的域值，使得誤報和漏報減少，以及如何選擇選擇所要監(jiān)視的衡量特征。異?；顒雍腿肭只顒訄D4-7異?；顒蛹腿肭只顒蛹g的關51（1）概率統(tǒng)計方法該方法是根據(jù)異常檢測器觀察主體的活動，產(chǎn)生描述這些活動行為的參數(shù)。通過比較當前的參數(shù)與已存儲的參數(shù)判斷異常行為，并且已存儲的參數(shù)需要根據(jù)審計記錄情況不斷地加以更新。設M1，M2，…，Mn為參數(shù)集的特征變量，這些變量可以是CPU的使用、I/O的使用、使用的地點及時間、郵件使用、文件訪問數(shù)量、網(wǎng)絡會話時間等。用S1，S2，…，Sn分別表示參數(shù)集中變量M1，M2，…，Mn的異常測量值。這些異常測量值的平方后加權計算得出參數(shù)異常值：

ai>0

（1）概率統(tǒng)計方法該方法是根據(jù)異常檢測器觀察主體的活動，產(chǎn)52概率統(tǒng)計的特點概率統(tǒng)計的優(yōu)越性在于所應用的技術方法成熟。但其也有一些不足：

①統(tǒng)計測量對事件的發(fā)生的次序不敏感，單純的統(tǒng)計入侵檢測系統(tǒng)可能不會發(fā)覺事件當中互相依次相連的入侵行為；②單純的統(tǒng)計入侵檢測系統(tǒng)將逐漸的訓練成單一點，要么行為是異常的，要么是正常的；③難以確定異常閾值，閾值設置偏低或偏高均會導致誤報；④統(tǒng)計異常檢測行為類型模型是有限的。概率統(tǒng)計的特點概率統(tǒng)計的優(yōu)越性在于所應用的技術方法成熟。53（2）預測模式生成方法該方法的假設條件是事件序列不是隨機的而是遵循可辨別的模式，它的特點是考慮了事件的序列及相互聯(lián)系。它利用動態(tài)的規(guī)則集來檢測入侵。這些規(guī)則由系統(tǒng)的歸納引擎根據(jù)已發(fā)生事件的情況產(chǎn)生，然后得到預測將要發(fā)生的事件的概率，歸納引擎為每一種事件設置可能發(fā)生的概率。其歸納出來的規(guī)則一般可寫成如下形式：

E1，…，Ek:(Ek+1,P(Ek+1)),…,(En,P(En))如果后來發(fā)生的事件Ek+1，…，En的統(tǒng)計結果與預測相比很不正常，則該事件便被標志為異常行為。（2）預測模式生成方法該方法的假設條件是事件序列不是隨機的54預測模式生成方法的特點預測模式生成方法的主要優(yōu)點是：

基于規(guī)則的順序模式能夠檢測出傳統(tǒng)方法所難以檢測的異?；顒樱挥迷摲椒ń⑵饋淼南到y(tǒng)，具有很強的適應變化能力，這是由于低質(zhì)量的模式不斷被刪除，最終留下來的是高質(zhì)量的模式；可以容易檢測到企圖在學習階段訓練系統(tǒng)的入侵者；實時性高，可以在收到審計事件幾秒鐘內(nèi)對異?；顒幼鞒鰴z測并產(chǎn)生報警。該方法的不足之處在于不在規(guī)則庫中的入侵將會漏報。

預測模式生成方法的特點預測模式生成方法的主要優(yōu)點是：55（3）神經(jīng)網(wǎng)絡方法神經(jīng)網(wǎng)絡方法的基本思想就是用一系列信息單元訓練神經(jīng)網(wǎng)絡中的神經(jīng)單元，該信息單元指的是命令。若神經(jīng)網(wǎng)絡被訓練成能預測用戶輸入命令序列集合，則神經(jīng)網(wǎng)絡就構成用戶的輪廓框架。當用這個神經(jīng)網(wǎng)絡預測不出某用戶正確的后繼命令，即在某種程度上表明了用戶行為與其輪廓框架的偏離，這是由異常事件發(fā)生，以此就能檢測異常入侵。

（3）神經(jīng)網(wǎng)絡方法神經(jīng)網(wǎng)絡方法的基本思想就是用一系列信息單56神經(jīng)網(wǎng)絡方法的特點這種方法的優(yōu)點是：不依賴于任何有關數(shù)據(jù)種類的統(tǒng)計假設；具有較好的抗干擾能力；能自然的說明各種影響輸出結果測量的相互關系。

其缺點是：網(wǎng)絡拓撲結構以及各元素的權重很難確定；在設計網(wǎng)絡的過程中，輸入層輸入的命令個數(shù)的大小難以選取。若設置太小，則工作就差；若設置太高，網(wǎng)絡中需要處理的數(shù)據(jù)就會太多，降低了網(wǎng)絡的效率。神經(jīng)網(wǎng)絡方法的特點這種方法的優(yōu)點是：572．誤用檢測誤用檢測技術（MisuseDetection）也稱為基于知識的檢測技術或者模式匹配檢測技術。它的前提是假設所有的網(wǎng)絡攻擊行為和方法都具有一定的模式或特征，如果把以前發(fā)現(xiàn)的所有網(wǎng)絡攻擊的特征總結出來并建立一個入侵信息庫，那么入侵檢測系統(tǒng)可以將當前捕獲到的網(wǎng)絡行為特征與入侵信息庫中的特征信息相比較，如果匹配，則當前行為利被認定為入侵行為。可以看出，如果說異常檢測是量化的入侵檢測分析手段，那么模式匹配就是一種質(zhì)化的入侵檢測手段。2．誤用檢測誤用檢測技術（MisuseDetection58（1）專家系統(tǒng)它將有關入侵的知識轉(zhuǎn)化為if-then結構的規(guī)則，即將構成入侵所要求的條件轉(zhuǎn)化為if部分，將發(fā)現(xiàn)入侵后采取的相應措施轉(zhuǎn)化成then部分。在具體實現(xiàn)中，專家系統(tǒng)主要面臨以下問題：全面性問題；效率問題。（1）專家系統(tǒng)它將有關入侵的知識轉(zhuǎn)化為if-then結構的59特征分析系統(tǒng)同專家系統(tǒng)一樣，特征分析也需要知道攻擊行為的具體知識。但是，攻擊方法的語義描述不是被轉(zhuǎn)化為檢測規(guī)則，而是在審計記錄中能直接找到的信息形式。這種方法的缺陷也和所有其他的濫用檢測方法一樣，即需要經(jīng)常為新發(fā)現(xiàn)的系統(tǒng)漏洞更新知識庫；另外，由于對不同操作系統(tǒng)平臺的具體攻擊方法可能不同，以及不同平臺的審計方式也可能不同，所以對特征分析檢測系統(tǒng)進行構造和維護的工作量都較大。特征分析系統(tǒng)同專家系統(tǒng)一樣，特征分析也需要知道攻擊行為的具體60（2）模型推理模型推理是指結合攻擊腳本推理出入侵行為是否出現(xiàn)。其中有關攻擊者行為的知識被描述為：攻擊者目的，攻擊者達到此目的的可能行為步驟，以及對系統(tǒng)的特殊使用等。根據(jù)這些知識建立攻擊腳本庫，每一腳本都由一系列攻擊行為組成。（2）模型推理模型推理是指結合攻擊腳本推理出入侵行為是否出61模型推理的檢測原理檢測時先將這些攻擊腳本的子集看作系統(tǒng)正面臨的攻擊。然后通過一個稱為預測器的程序模塊根據(jù)當前行為模式產(chǎn)生下一個需要驗證的攻擊腳本子集，并將它傳給決策器。決策器收到信息后，根據(jù)這些假設的攻擊行為在審計記錄中可能出現(xiàn)的方式，將它們翻譯成與特定系統(tǒng)匹配的審計記錄格式。然后在審計記錄中尋找相應信息來確認或否認這些攻擊模型推理的檢測原理檢測時先將這些攻擊腳本的子集看作系統(tǒng)正面臨62模型推理的特點模型推理方法的優(yōu)越性有：對不確定性的推理有合理的數(shù)學理論基礎，同時決策器使得攻擊腳本可以與審計記錄的上下文無關。另外，這種檢測方法也減少了需要處理的數(shù)據(jù)量。但是創(chuàng)建入侵檢測模型的工作量比別的方法要大，在系統(tǒng)實現(xiàn)時，決策器如何有效地翻譯攻擊腳本也是一個問題。模型推理的特點模型推理方法的優(yōu)越性有：對不確定性的推理有合理63（3）狀態(tài)轉(zhuǎn)換分析狀態(tài)轉(zhuǎn)換法將入侵過程看作一個行為序列，這個行為序列導致系統(tǒng)從初始狀態(tài)轉(zhuǎn)入被入侵狀態(tài)。分析時，首先針對每一種入侵方法確定系統(tǒng)的初始狀態(tài)和被入侵狀態(tài)，以及導致狀態(tài)轉(zhuǎn)換的轉(zhuǎn)換條件。然后用狀態(tài)轉(zhuǎn)換圖來表示每一個狀態(tài)和特征事件，這些事件被集成于模型中，所以檢測時不需要一個個地查找審計記錄。但是，狀態(tài)轉(zhuǎn)換是針對事件序列分析，所以不善于分析過分復雜的事件，而且不能檢測與系統(tǒng)狀態(tài)無關的入侵。（3）狀態(tài)轉(zhuǎn)換分析狀態(tài)轉(zhuǎn)換法將入侵過程看作一個行為序列，這64Petri網(wǎng)Petri網(wǎng)用于入侵行為分析是一種類似于狀態(tài)轉(zhuǎn)換圖分析的方法。利用Petri網(wǎng)的有利之處在于它能一般化、圖形化地表達狀態(tài)，并且簡潔明了。圖4-8Petri網(wǎng)分析一分鐘4次登錄失敗Petri網(wǎng)Petri網(wǎng)用于入侵行為分析是一種類似于狀態(tài)轉(zhuǎn)65（4）特征分析特征分析誤用檢測與專家系統(tǒng)誤用檢測一樣，也需要搜集關于網(wǎng)絡入侵行為的各種知識。特征分析誤用檢測將入侵行為表示成一個事件序列或者轉(zhuǎn)換成某種可以直接在網(wǎng)絡數(shù)據(jù)包審計記錄中找到的數(shù)據(jù)樣板，而不進行規(guī)則轉(zhuǎn)換，這樣可以直接從審計數(shù)據(jù)中提取相應的數(shù)據(jù)與之匹配，因此不需要處理大量的數(shù)據(jù)，從而提高了運行效率。（4）特征分析特征分析誤用檢測與專家系統(tǒng)誤用檢測一樣，也需66（5）條件概率條件概率誤用檢測方法將網(wǎng)絡入侵方式看作一個事件序列，根據(jù)所觀測到的各種網(wǎng)絡事件的發(fā)生情況來推測入侵行為的發(fā)生。條件概率誤用檢測方法應用貝葉斯定理對入侵進行推理檢測，原理如下：事件序列表示為ES，先驗概率為P（Intrusion），后驗概率為P（ES｜Intrusion），事件出現(xiàn)的概率為P（ES），則P（Intrusion|ES）=P（ES|Intrusion）×P（Intrusion）/P（ES）可以計算出P（ES）＝（P（ES|Intrusion）-P（ES|Intrusson））×P（Intrusion）+P（ES|Intrusson）（5）條件概率條件概率誤用檢測方法將網(wǎng)絡入侵方式看作一個事67（6）鍵盤監(jiān)控鍵盤監(jiān)控誤用檢測方法假設每種網(wǎng)絡入侵行為都具有特定的擊鍵序列模式，入侵檢測系統(tǒng)監(jiān)視各個用戶的擊鍵模式，并將該模式與已有的入侵擊鍵模式相匹配，如果匹配成功就認為是網(wǎng)絡入侵行為。這種方法的不足之處是如果操作系統(tǒng)沒有提供相應的支持，則缺少可靠的方法來捕獲用戶的擊鍵行為，可能存在多種擊鍵方式表示同一種攻擊的情況，而且不能對擊鍵進行語義分析，攻擊者使用命令的各種別名就很容易欺騙這種技術。此外，因為這種技術僅分析擊鍵行為，所以對于那些利用程序進行自動攻擊的行為無法檢測。（6）鍵盤監(jiān)控鍵盤監(jiān)控誤用檢測方法假設每種網(wǎng)絡入侵行為都具68誤用檢測技術的優(yōu)點檢測準確度高；技術相對成熟；便于進行系統(tǒng)防護；可以按功能劃分，縮小模式數(shù)據(jù)庫所涉及的模式量大小，也就是說模式匹配具有很強的可分割性、獨立性。模式匹配具有很強的針對性，對已知的入侵方法檢測效率很高。誤用檢測技術的優(yōu)點檢測準確度高；69誤用檢測技術的缺點不能檢測出新的入侵行為；完全依賴于入侵特征的有效性；通常不具備自學習能力，對新攻擊的檢測分析必須補充模式數(shù)據(jù)庫，維護特征庫的工作量巨大；難以檢測來自內(nèi)部用戶的攻擊；可測量性與性能都和模式數(shù)據(jù)庫的大小、體系結構有關；可擴展性差，沒有通用的模式規(guī)格說明語言；攻擊行為轉(zhuǎn)化為模式比較困難，并且不具備統(tǒng)一性。誤用檢測技術的缺點不能檢測出新的入侵行為；703．異常檢測技術和誤用檢測技術的比較基于異常檢測技術的入侵檢測系統(tǒng)如果想檢測到所有的網(wǎng)絡入侵行為，必須掌握被保護系統(tǒng)已知行為和預期行為的所有信息。基于誤用檢測技術的入侵檢測系統(tǒng)只有擁有所有可能的入侵行為的先驗知識，而且必須能識別各種入侵行為的過程細節(jié)或者每種入侵行為的特征模式，才能檢測到所有的入侵行為，該類入侵檢測系統(tǒng)只能檢測出已有的入侵模式，必須不斷地對新出現(xiàn)的入侵行為進行總結和歸納。3．異常檢測技術和誤用檢測技術的比較基于異常檢測技術的入侵713．異常檢測技術和誤用檢測技術的比較（續(xù)）基于異常檢測技術的入侵檢測系統(tǒng)通常比基于誤用檢測技術的入侵檢測系統(tǒng)所做的工作要少很多，要求管理員能夠總結出被保護系統(tǒng)的所有正常行為狀態(tài)，對系統(tǒng)的已知和期望行為進行全面的分析，因此配置難度相對較大。有些基于誤用檢測技術的入侵檢測系統(tǒng)允許管理員對入侵特征數(shù)據(jù)庫進行修改，甚至允許管理員自己根據(jù)所發(fā)現(xiàn)的攻擊行為創(chuàng)建新的網(wǎng)絡入侵特征規(guī)則記錄，這種入侵檢測系統(tǒng)在系統(tǒng)配置方面的工作量會顯著增加。3．異常檢測技術和誤用檢測技術的比較（續(xù)）基于異常檢測技術的723．異常檢測技術和誤用檢測技術的比較（續(xù)）基于異常檢測技術的入侵檢測系統(tǒng)所輸出的檢測結果，通常是在對實際行為與行為輪廓進行異常分析等相關處理后得出的，這類入侵檢測系統(tǒng)的檢測報告通常會比基于誤用檢測技術的入侵檢測系統(tǒng)具有更多的數(shù)據(jù)量。大多數(shù)基于誤用檢測技術的入侵檢測系統(tǒng)，是將當前行為模式與已有行為模式進行匹配后產(chǎn)生檢測結論，其輸出內(nèi)容是列舉出入侵行為的類型和名稱，以及提供相應的處理建議。3．異常檢測技術和誤用檢測技術的比較（續(xù)）基于異常檢測技術的734．入侵檢測新技術遺傳算法遺傳算法的基本原理是首先定義一組入侵檢測指令集，這些指令用于檢測出正?；蛘弋惓５男袨椤Ｖ噶钪邪舾勺址?，所有的指令在定義初期的檢測能力都很有限，入侵檢測系統(tǒng)對這些指令逐步地進行訓練，促使指令中的字符串片段發(fā)生重組，以生成新的字符串指令。再從新的指令中經(jīng)過測試篩選出檢測能力最強的部分指令，對它們進行下一輪的訓練。如此反復，使檢測指令的檢測能力不斷提高。直到指令的檢測能力不會有明顯的提高，訓練過程即可結束，此時這些指令已經(jīng)具有一定的檢測能力，入侵檢測系統(tǒng)可以使用它們進行網(wǎng)絡入侵檢測。4．入侵檢測新技術遺傳算法744．入侵檢測新技術（續(xù)）免疫技術

計算機免疫技術為入侵檢測提供了一個思路，即通過正常行為的學習來識別不符合常態(tài)的行為序列。當系統(tǒng)的一個關鍵程序投入使用后，它的運行情況一般變化不大，具有相對的穩(wěn)定性。因而可以利用系統(tǒng)進程正常執(zhí)行軌跡中的系統(tǒng)調(diào)用短序列集，來構建系統(tǒng)進程正常執(zhí)行活動的特征輪廓。由于利用這些關鍵程序的缺陷進行攻擊時，對應的進程必然執(zhí)行一些不同于正常執(zhí)行時的代碼分支，因而就會出現(xiàn)關鍵程序特征輪廓中沒有的系統(tǒng)調(diào)用短序列。當檢測到特征輪廓中不存在的系統(tǒng)調(diào)用序列的量達到某一條件后，就認為被監(jiān)控的進程正企圖攻擊系統(tǒng)。4．入侵檢測新技術（續(xù)）免疫技術754．入侵檢測新技術（續(xù)）數(shù)據(jù)挖掘方法

數(shù)據(jù)挖掘是指從大型數(shù)據(jù)庫或數(shù)據(jù)倉庫中提取人們感興趣的知識，這些知識是隱含的、事先未知的潛在有用信息。數(shù)據(jù)挖掘技術在入侵檢測中主要有兩個方向，一是發(fā)現(xiàn)入侵的規(guī)則、模式，與誤用檢測（或模式匹配）檢測方法相結合；二是用于異常檢測，找出用戶正常行為，創(chuàng)建用戶的正常行為庫。將數(shù)據(jù)挖掘技術應用于入侵檢測是因為其具有處理大量數(shù)據(jù)記錄的能力。數(shù)據(jù)采掘異常檢測方法的優(yōu)勢在于處理數(shù)據(jù)的能力，缺點是系統(tǒng)整體運行效率較低。4．入侵檢測新技術（續(xù)）數(shù)據(jù)挖掘方法764.2.3入侵檢測系統(tǒng)的部署根據(jù)所掌握的網(wǎng)絡檢測技術和安全需求，選取各種類型的入侵檢測系統(tǒng)。將多種入侵檢測系統(tǒng)按照預定的計劃進行部署，確保每個入侵檢測系統(tǒng)都能夠在相應部署點上發(fā)揮作用，共同防護，保障網(wǎng)絡的安全運行。4.2.3入侵檢測系統(tǒng)的部署根據(jù)所掌握的網(wǎng)絡檢測技術和771．安全區(qū)域安全區(qū)域（zone）是防火墻產(chǎn)品所引入的一個安全概念，是防火墻產(chǎn)品區(qū)別于路由器的主要特征。當一個數(shù)據(jù)流通過防火墻設備的時候，根據(jù)其發(fā)起方向的不同，所引起的操作是截然不同的。由于這種安全級別上的差別，再采用在接口上檢查安全策略的方式已經(jīng)不適用，將造成用戶在配置上的混亂。因此，防火墻提出了安全區(qū)域的概念。一個安全區(qū)域包括一個或多個接口的組合，具有一個安全級別。數(shù)據(jù)在屬于同一個安全區(qū)域的不同接口間流動時不會引起任何檢查。1．安全區(qū)域安全區(qū)域（zone）是防火墻產(chǎn)品所引入的一個安78安全區(qū)域劃分如圖4-9所示，一般防火墻上保留四個安全區(qū)域：圖4-9安全區(qū)域劃分安全區(qū)域劃分如圖4-9所示，一般防火墻上保留四個安全區(qū)域：79接口、網(wǎng)絡、安全區(qū)域除了Local區(qū)域以外，在使用其他所有安全區(qū)域時，需要將安全區(qū)域分別與防火墻的特定接口相關聯(lián)，即將接口加人到區(qū)域。另外安全區(qū)域與各網(wǎng)絡的關聯(lián)遵循一些原則：內(nèi)部網(wǎng)絡應安排在安全級別較高的區(qū)域；外部網(wǎng)絡應安排在安全級別最低的區(qū)域；一些可對外部提供有條件服務的網(wǎng)絡應安排在安全級別中等的DMZ區(qū)。接口、網(wǎng)絡、安全區(qū)域除了Local區(qū)域以外，在使用其他所有80入方向與出方向如圖4-10所示，不同級別的安全區(qū)域間的數(shù)據(jù)流動都將激發(fā)防火墻進行安全策略的檢查，并且可以為不同流動方向設置不同的安全策略。域間的數(shù)據(jù)流分兩個方向：入方向（inbound）：數(shù)據(jù)由低級別的安全區(qū)域向高級別的安全區(qū)域傳輸?shù)姆较颍怀龇较颍╫utbound）；數(shù)據(jù)由高級別的安全區(qū)域向低級別的安全區(qū)域傳輸?shù)姆较?。入方向與出方向如圖4-10所示，不同級別的安全區(qū)域間的數(shù)據(jù)812．入侵檢測系統(tǒng)的部署基于網(wǎng)絡入侵檢測系統(tǒng)的部署?；诰W(wǎng)絡的入侵檢測系統(tǒng)可以在網(wǎng)絡的多個位置進行部署?？傮w來說，入侵檢測的部署點可以劃分為4個位置：①DMZ區(qū)、②外網(wǎng)入口、③內(nèi)網(wǎng)主干、④關鍵子網(wǎng)，如圖4-11所示。圖4-11入侵檢測系統(tǒng)部署位置圖2．入侵檢測系統(tǒng)的部署基于網(wǎng)絡入侵檢測系統(tǒng)的部署?；诰W(wǎng)絡82DMZ區(qū)DMZ區(qū)部署點在DMZ區(qū)的總口上，這是入侵檢測器最常見的部署位置。在這里入侵檢測器可以檢測到所有針對用戶向外提供服務的服務器進行攻擊的行為。在該部署點進行入侵檢測有以下優(yōu)點：檢測來自外部的攻擊，這些攻擊已經(jīng)滲入過第一層防御體系；可以容易地檢測網(wǎng)絡防火墻的性能并找到配置策略中的問題；DMZ區(qū)通常放置的是對內(nèi)外提供服務的重要的服務設備，因此，所檢測的對象集中于關鍵的服務設備；DMZ區(qū)DMZ區(qū)部署點在DMZ區(qū)的總口上，這是入侵檢測器83外網(wǎng)入口外網(wǎng)入口部署點位于防火墻之前，入侵檢測器在這個部署點可以檢測所有進出防火墻外網(wǎng)口的數(shù)據(jù)。在這個位置上，入侵檢測器可以檢測到所有來自外部網(wǎng)絡的攻擊行為并進行記錄，這些攻擊包括對內(nèi)部服務器的攻擊、對防火墻本身的攻擊以及內(nèi)網(wǎng)機器不正常的數(shù)據(jù)通信行為。在該部署點進行入侵檢測有以下優(yōu)點：可以對針對目標網(wǎng)絡的攻擊進行計數(shù)、并記錄最為原始的攻擊數(shù)據(jù)包；可以記錄針對目標網(wǎng)絡的攻擊類型。

外網(wǎng)入口外網(wǎng)入口部署點位于防火墻之前，入侵檢測器在這個部署84內(nèi)網(wǎng)主干內(nèi)網(wǎng)主干部署點是最常用的部署位置，在這里入侵檢測器主要檢測內(nèi)網(wǎng)流出和經(jīng)過防火墻過濾后流入內(nèi)網(wǎng)的網(wǎng)絡數(shù)據(jù)。在這個位置，入侵檢測器可以檢測所有通過防火墻進入的攻擊以及內(nèi)部網(wǎng)向外部的不正常操作，并且可以準確地定位攻擊的源和目的，方便系統(tǒng)管理員進行針對性的網(wǎng)絡管理。在該部署點進行入侵檢測有以下優(yōu)點：檢測大量的網(wǎng)絡通信提高了檢測攻擊的識別可能；檢測內(nèi)網(wǎng)可信用戶的越權行為；實現(xiàn)對內(nèi)部網(wǎng)絡信息的檢測。內(nèi)網(wǎng)主干內(nèi)網(wǎng)主干部署點是最常用的部署位置，在這里入侵檢測器85關鍵子網(wǎng)通過對這些子網(wǎng)進行安全檢測，可以檢測到來自內(nèi)部以及外部的所有不正常的網(wǎng)絡行為，這樣可以有效地保護關鍵的網(wǎng)絡不會被外部或沒有權限的內(nèi)部用戶侵入，造成關鍵數(shù)據(jù)泄漏或丟失。在該部署點進行入侵檢測具有以下優(yōu)點：集中資源用于檢測針對關鍵系統(tǒng)和資源的來自企業(yè)內(nèi)外部的攻擊；將有限的資源進行有效部署，獲取最高的使用價值。關鍵子網(wǎng)通過對這些子網(wǎng)進行安全檢測，可以檢測到來自內(nèi)部以及86（2）基于主機入侵檢測系統(tǒng)的部署在基于網(wǎng)絡的入侵檢測系統(tǒng)部署并配置完成后，基于主機的入侵檢測系統(tǒng)的部署可以給系統(tǒng)提供高級別的保護。基于主機的入侵檢測系統(tǒng)主要安裝在關鍵主機上，這樣可以減少規(guī)劃部署的花費，使管理的精力集中在最重要最需要保護的主機上。為了便于對基于主機的入侵檢測系統(tǒng)的檢測結果進行及時檢查，需要對系統(tǒng)產(chǎn)生的日志進行集中。通過進行集中的分析、整理和顯示，可以大大減少對網(wǎng)絡安全系統(tǒng)日常維護的復雜性和難度。（2）基于主機入侵檢測系統(tǒng)的部署在基于網(wǎng)絡的入侵檢測系統(tǒng)部874.2.4入侵檢測技術發(fā)展1．入侵技術的發(fā)展

從最近幾年的發(fā)展趨勢看，入侵技術的發(fā)展與演化主要反映在下面幾個方面：

（1）入侵和攻擊的復雜化與綜合化（2）入侵主體的間接化（3）入侵和攻擊的規(guī)模擴大（4）入侵和攻擊技術的分布化（5）攻擊對象的轉(zhuǎn)移4.2.4入侵檢測技術發(fā)展1．入侵技術的發(fā)展882．入侵檢測技術的發(fā)展方向功能與性能提高改進檢測方法，提高檢測準確率，減少漏報和誤報檢測和防范分布式攻擊和拒絕服務攻擊實現(xiàn)入侵檢測系統(tǒng)與其他安全部件的互動入侵檢測系統(tǒng)的標準化工作入侵檢測系統(tǒng)的測試和評2．入侵檢測技術的發(fā)展方向功能與性能提高893．下一代IDS關鍵技術（1）智能關聯(lián)智能關聯(lián)是將企業(yè)相關系統(tǒng)的信息(如主機特征信息)與網(wǎng)絡IDS檢測結構相融合，從而減少誤警。智能關聯(lián)包括主動關聯(lián)和被動關聯(lián)。主動關聯(lián)是通過掃描確定主機漏洞；被動關聯(lián)是借助操作系統(tǒng)的指紋識別技術，即通過分析IP、TCP報頭信息識別主機上的操作系統(tǒng)。3．下一代IDS關鍵技術（1）智能關聯(lián)90指紋識別技術IDS有時會出現(xiàn)誤報造成這種現(xiàn)象的原因是當IDS檢測系統(tǒng)是否受到基于某種漏洞的攻擊時，沒有考慮主機的脆弱性信息。因此新一代IDS產(chǎn)品利用被動指紋識別技術構造一個主機信息庫，該技術通過對TCP、IP報頭中相關字段進行識別來確定操作系統(tǒng)(OS)類型。指紋識別技術IDS有時會出現(xiàn)誤報造成這種現(xiàn)象的原因是當ID91被動指紋識別技術的工作原理被動指紋識別技術的實質(zhì)是匹配分析法。匹配雙方一個是來自源主機數(shù)據(jù)流中的TCP、IP報頭信息，另一個是特征數(shù)據(jù)庫中的目標主機信息，通過將兩者做匹配來識別源主機發(fā)送的數(shù)據(jù)流中是否含有惡意信息。被動指紋識別技術的工作原理被動指紋識別技術的實質(zhì)是匹配分析法92被動指紋識別技術的工作流程指紋識別引擎檢查SYN報頭，提取特定標識符；從特征庫中提取目標主機上的操作系統(tǒng)信息；更新主機信息表；傳感器檢測到帶有惡意信息的數(shù)據(jù)報，在發(fā)出警告前先與主機信息表中的內(nèi)容進行比較；傳感器發(fā)現(xiàn)該惡意數(shù)據(jù)報是針對Windows服務器的，而目標主機是Linux服務器，所以IDS將抑制該告警的產(chǎn)生。被動指紋識別技術的工作流程指紋識別引擎檢查SYN報頭，提取特93被動指紋識別技術的工作流程（續(xù)）圖4-12被動指紋識別技術工作流程被動指紋識別技術的工作流程（續(xù)）圖4-12被動指紋識別技94（2）告警泛濫抑制IDS產(chǎn)品使用告警泛濫抑制技術可以降低誤警率。所謂“告警泛濫”是指短時間內(nèi)產(chǎn)生的關于同一攻擊的告警。告警泛濫抑制技術是將一些規(guī)則或參數(shù)(包括警告類型、源IP、目的IP以及時間窗大小)融入到IDS傳感器中，使傳感器能夠識別告警飽和現(xiàn)象并實施抑制操作。（2）告警泛濫抑制IDS產(chǎn)品使用告警泛濫抑制技術可以降低誤95（3）告警融合該技術是將不同傳感器產(chǎn)生的、具有相關性的低級別告警融合成更高級別的警告信息，這有助于解決誤報和漏報問題。當與低級別警告有關的條件或規(guī)則滿足時，安全管理員在IDS上定義的元告警相關性規(guī)則就會促使高級別警告產(chǎn)生。與警告相關性規(guī)則中定義的參數(shù)包括時間窗、事件數(shù)量、事件類型IP地址、端口號、事件順序。（3）告警融合該技術是將不同傳感器產(chǎn)生的、具有相關性的低級96（4）可信任防御模型下一代IDS產(chǎn)品中，融入可信任防御模型后，將會對第一代IPS產(chǎn)品遇到的問題(誤報導致合法數(shù)據(jù)被阻塞、丟棄；自身原因造成的拒絕服務攻擊泛濫；應用級防御)有個圓滿的解決。可信任防御模型中采用的機制：

①信任指數(shù)②拒絕服務攻擊（DoS）③應用級攻擊

（4）可信任防御模型下一代IDS產(chǎn)品中，融入可信任防御模型974．IDS發(fā)展趨勢在安全漏洞被發(fā)現(xiàn)與被攻擊之間的時間差不斷縮小的情況下，基于特征檢測匹配技術的IDS已經(jīng)力不從心。IDS出現(xiàn)了銷售停滯，但IDS不會立刻消失，而是將IDS將成為安全信息管理（SIM）框架的組成部分。在SIM框架中，IDS的作用可以通過檢測和報告技術得到加強。一些廠商通過將IDS報警與安全漏洞信息進行關聯(lián)分析，著手解決IDS的缺陷。4．IDS發(fā)展趨勢在安全漏洞被發(fā)現(xiàn)與被攻擊之間的時間差不斷984.2.5與入侵檢測有關的新技術1．入侵容忍系統(tǒng)目前入侵檢測系統(tǒng)的性能（誤警率和檢測率）沒有得到大的提高，這主要是因為現(xiàn)有的檢測技術和響應策略有根本的限制。我們的網(wǎng)絡系統(tǒng)也應像人體一樣具有入侵容忍能力，成為入侵容忍系統(tǒng)（IntrusionTolerantSystem，簡稱ITS）。4.2.5與入侵檢測有關的新技術1．入侵容忍系統(tǒng)99（1）入侵容忍概述入侵容忍概念入侵容忍系統(tǒng)（也稱為容侵系統(tǒng)）是指網(wǎng)絡系統(tǒng)在遭受一定的入侵或攻擊的情況下，仍然能夠提供所希望的服務。網(wǎng)絡入侵容忍的主要研究內(nèi)容有三點：第一是研究專注于對服務產(chǎn)生威脅的事件的入侵觸發(fā)器；第二是充分利用容錯理論研究中的優(yōu)秀成果；第三是利用研究所得的入侵容忍理論和技術最終能構建一個新的網(wǎng)絡安全信息系統(tǒng)。（1）入侵容忍概述入侵容忍概念100入侵容忍概念（續(xù)）所謂入侵容忍，就是入侵容忍（IntrusfonTolerance），也就是當一個網(wǎng)絡系統(tǒng)遭受入侵，而一些安全技術都失效或者不能完全排除入侵所造成的影響時，入侵容忍就可以作為系統(tǒng)的最后一道防線，即使系統(tǒng)的某些組件遭受攻擊者的破壞，但整個系統(tǒng)仍能提供全部或者提供降級的服務。之所以把這種方案稱做入侵容忍，是因為它是基于入侵檢測和容錯已做的工作的基礎之上的。入侵容忍概念（續(xù)）所謂入侵容忍，就是入侵容忍（Intrusf101入侵容忍概念（續(xù)）如圖4-13所示，它形象地說明了保護、檢測、入侵容忍三者之間的關系。圖4-13入侵容忍示意圖入侵容忍概念（續(xù)）如圖4-13所示，它形象地說明了保護、檢測102容侵與容錯的比較在一個先進的容錯系統(tǒng)中，處理某個錯誤可能包含以下四個步驟：錯誤檢測、破壞情況估計、重新配置和恢復。但是當前的入侵檢測系統(tǒng)卻遠遠達不到這個程度，所以必須依靠入侵容忍系統(tǒng)來解決這個問題。從上面的討論可以看出，入侵容忍（IntrusionTolerance，簡稱容侵）是容錯（FaultTolerance）的一種延伸。所以很多容錯的方法都可以應用到容侵中來。冗余是計算機容錯中一個有效的方法。容侵與容錯的比較在一個先進的容錯系統(tǒng)中，處理某個錯誤可能包103容侵與容錯的比較（續(xù)）由于容錯技術發(fā)展得很成熟，怎么將容錯方法應用到我們的入侵容忍中來，將是一個很大的挑戰(zhàn)。其難點主要表現(xiàn)在：容錯技術大多著眼于植根在設計或?qū)崿F(xiàn)階段的意外故障或者惡意故障。這個著眼點允許對可預言的故障行為進行一些合理的假設。而表現(xiàn)為受到安全威脅的系統(tǒng)組件的主動入侵，它的行為完全是受到惡意控制，使得故障行為不可預知。主動入侵也包括來自于系統(tǒng)組件外部的入侵，而在傳統(tǒng)的容錯系統(tǒng)中根本就沒有考慮到?，F(xiàn)成的容錯大多著眼于明確定義的硬軟件模塊，它們的故障模式相對容易定義。而考慮到大的分布式服務設施，每個組件具有復雜的功能，所以使得定義它們的故障模式更加困難。容侵與容錯的比較（續(xù)）由于容錯技術發(fā)展得很成熟，怎么將容錯方104（2）入侵容忍體系結構圖4-14入侵容忍體系結構（2）入侵容忍體系結構圖4-14入侵容忍體系結構105（2）入侵容忍體系結構（續(xù)）代理服務器對正在進行的請求，維持最新的和一致的狀態(tài)；服務環(huán)境的有效遷移；IDS和請求的負載控制。接收監(jiān)視器檢查結果的合理性；COTS服務器的可信狀態(tài)的監(jiān)視。投票監(jiān)視器在投票/裁決之前進行復雜結果的轉(zhuǎn)換；決定結果的發(fā)布者（可以固定指定，也可以動態(tài)選擇）。（2）入侵容忍體系結構（續(xù)）代理服務器106（2）入侵容忍體系結構（續(xù)）審計控制進行周期性診斷測試：驗證審計記錄來檢測組件中的異常行為；維護所有系統(tǒng)組件的審計日志。自適應性重新配置當出現(xiàn)意外的或者惡意的故障時，通過重新配置系統(tǒng)來自動執(zhí)行安全策略。此種體系結構的缺陷。首先此種體系結構中對于提供不同類型服務的服務器，沒有必要全互聯(lián)，因為使得系統(tǒng)的代價較高，并且實現(xiàn)復雜，卻沒有什么實際用途。（2）入侵容忍體系結構（續(xù)）審計控制107（3）基于狀態(tài)遷移的入侵容忍模型圖4-15入侵容忍系統(tǒng)的狀態(tài)遷移圖（3）基于狀態(tài)遷移的入侵容忍模型圖4-15入侵容忍系統(tǒng)108（3）基于狀態(tài)遷移的入侵容忍模型（續(xù)）建立在此模型上的系統(tǒng)允許多個入侵容忍策略存在并且支持不同級別的安全需求，因為此狀態(tài)轉(zhuǎn)換模型主要著眼于攻擊對系統(tǒng)服務所造成的影響，而不是攻擊過程本身。所以能夠處理以前未知的攻擊，只要這種攻擊對我們的服務所造成的影響與已知攻擊相似。此種模型存在一定的缺陷。首先，此模型只是一個靜態(tài)轉(zhuǎn)換，而不是動態(tài)的，只能用于靜態(tài)的分析系統(tǒng)的狀態(tài)，而不能動態(tài)的實時的分析。其次，此種模型只能處理單線程問題，對于多線程服務，此模型不適合描述。（3）基于狀態(tài)遷移的入侵容忍模型（續(xù)）建立在此模型上的系統(tǒng)允109（4）面向入侵容忍的秘密共享系統(tǒng)的設計圖4-16面向客侵的秘密共享系統(tǒng)（4）面向入侵容忍的秘密共享系統(tǒng)的設計圖4-16面向客110（5）高性能的網(wǎng)絡入侵容忍機制與模型研究我們主要研究以下內(nèi)容：①高性能的秘密共享入侵容忍模型研究基于代數(shù)編碼的防欺詐的（t，n）秘密共享體制研究?；赗SA數(shù)字簽名的防欺詐的（t，n）秘密共享體制研究。基于RSA加解密和HASH函數(shù)的防欺詐的（t，n）秘密共享體制研究。②自適應機制研究網(wǎng)絡安全風險分析與評估方法研究。信息、入侵、威脅與入侵容忍之間的非線性映射關系的建立。自適應入侵容忍理論、入侵容忍機制、入侵容忍模型研究；比較類似系統(tǒng)的生存能力特點的方法；新的基于進化神經(jīng)網(wǎng)絡的自適應入侵容忍機制研究。基于門限入侵容忍模型的自適應重構算法。③基于有限自動機的網(wǎng)絡攻擊誘騙機制研究。④基于計算機免疫原理的入侵容忍機制。⑤構建該入侵容忍模型的體系結構并實現(xiàn)一個原型系統(tǒng)。（5）高性能的網(wǎng)絡入侵容忍機制與模型研究我們主要研究以下內(nèi)111（5）高性能的網(wǎng)絡入侵容忍機制與模型研究（續(xù)）具體做法描述如下：①自適應入侵容忍算法、入侵容忍機制、入侵容忍模型研究的核心是要針對不同的風險模式，快速采取相應的入侵容忍策略。②基于（t，n）秘密共享理論的入侵容忍機制研究。③研究基于門限入侵容忍模型的自適應重構算法。④研究基于有限自動機的網(wǎng)絡攻擊誘騙機制，以較小的代價來建立網(wǎng)絡攻擊誘騙系統(tǒng)，使攻擊者與網(wǎng)絡攻擊誘騙系統(tǒng)交互。（5）高性能的網(wǎng)絡入侵容忍機制與模型研究（續(xù)）具體做法描述如112（5）高性能的網(wǎng)絡入侵容忍機制與模型研究（續(xù)）⑤為了使得網(wǎng)絡系統(tǒng)具有免疫能力，研究基于計算機免疫原理的入侵容忍機制，根據(jù)機體免疫原理，制造入侵容忍疫苗，對于同樣或相似的網(wǎng)絡注射入侵容忍疫苗，使其也具有類似的入侵容忍功能。⑥入侵容忍模型研究的怎樣，要有一個質(zhì)量評價，可采用形式化理論對入侵容忍模型進行評價。⑦基于上述理論研究構建入侵容忍系統(tǒng)的體系結構，并實現(xiàn)一個原型系統(tǒng)。（5）高性能的網(wǎng)絡入侵容忍機制與模型研究（續(xù)）⑤為了使得網(wǎng)113（6）具有入侵容忍的分布式協(xié)同入侵檢測系統(tǒng)具有入侵容忍的分布式協(xié)同入侵檢測系統(tǒng)的體系結構圖4-17具有的分布式協(xié)同入侵檢測系統(tǒng)的體系結構（6）具有入侵容忍的分布式協(xié)同入侵檢測系統(tǒng)具有入侵容忍的分114（6）具有入侵容忍的分布式協(xié)同入侵檢測系統(tǒng)（續(xù)）具有的分布式協(xié)同入侵檢測系統(tǒng)的邏輯分層圖4-18具有的分布式協(xié)同入侵檢測系統(tǒng)的邏輯分層（6）具有入侵容忍的分布式協(xié)同入侵檢測系統(tǒng)（續(xù)）具有的分布式1152．入侵防御系統(tǒng)（1）IPS的概念入侵檢測系統(tǒng)（IDS）是一種動態(tài)安全技術，但它不會主動在攻擊發(fā)生前阻斷它們。而入侵防護系統(tǒng)（IPS）則傾向于提供主動性的防護。IPS有時又稱IDP（IntrusiondetectionandPrevention），即入侵檢測和防御系統(tǒng)，指具備IDS的檢測能力，同時具備實時中止網(wǎng)絡入侵的新型安全技術設備。IPS主要包括檢測和防御兩大系統(tǒng)組成。2．入侵防御系統(tǒng)（1）IPS的概念116（2）IPS的工作原理入侵防護系統(tǒng)（IPS）則傾向于提供主動防護，其設計宗旨是預先對入侵活動和攻擊性網(wǎng)絡流量進行攔截，避免其造成損失，而不是簡單地在惡意流量傳送時或傳送后才發(fā)出警報。IPS是通過直接嵌入到網(wǎng)絡流量中實現(xiàn)這一功能的，即通過一個網(wǎng)絡端口接收來自外部系統(tǒng)的流量，經(jīng)過檢查確認其中不包含異?；顒踊蚩梢蓛?nèi)容后，再通過另外一個端口將它傳送到內(nèi)部系統(tǒng)中。（2）IPS的工作原理入侵防護系統(tǒng)（IPS）則傾向于提供主117IPS的工作原理圖圖4-19IPS的工作原理IPS的工作原理圖圖4-19IPS的工作原理118（3）IPS的分類基于主機的入侵防護(HIPS)HIPS通過在主機/服務器上安裝軟件代理程序，防止網(wǎng)絡攻擊入侵操作系統(tǒng)以及應用程序?；谥鳈C的入侵防護能夠保護服務器的安全弱點不被不法分子所利用。由于HIPS工作在受保護的主機/服務器上，它不但能夠利用特征和行為規(guī)則檢測，阻止諸如緩沖區(qū)溢出之類的已知攻擊，還能夠防范未知攻擊，防止針對Web頁面、應用和資源的未授權的任何非法訪問。HIPS與具體的主機/服務器操作系統(tǒng)平臺緊密相關，不同的平臺需要不同的軟件代理程序。（3）IPS的分類基于主機的入侵防護(HIPS)119（3）IPS的分類（續(xù)）基于網(wǎng)絡的入侵防護（NIPS）基于網(wǎng)絡的IPS設備只能阻止通過該設備的惡意信息流。為了提高IPS設備的使用效率，必須采用強迫信息流通過該設備的方式。NIPS通過檢測流經(jīng)的網(wǎng)絡流量，提供對網(wǎng)絡系統(tǒng)的安全保護。NIPS必須基于特定的硬件平臺，才能實現(xiàn)千兆級網(wǎng)絡流量的深度數(shù)據(jù)包檢測和阻斷功能。（3）IPS的分類（續(xù)）基于網(wǎng)絡的入侵防護（NIPS）120IPS在網(wǎng)絡中的部署圖4-20IPS在網(wǎng)絡中的部署示意圖IPS在網(wǎng)絡中的部署圖4-20IPS在網(wǎng)絡中的部署示意121（3）IPS的分類（續(xù)）應用入侵防護(AIP)NIPS產(chǎn)品有一個特例，即應用入侵防護(ApplicationIntrusionPrevention，AIP)，它把基于主機的入侵防護擴展成為位于應用服務器之前的網(wǎng)絡設備。AIP被設計成一種高性能的設備，配置在應用數(shù)據(jù)的網(wǎng)絡鏈路上，以確保用戶遵守設定好的安全策略，保護服務器的安全。NIPS工作在網(wǎng)絡上，直接對數(shù)據(jù)包進行檢測和阻斷，與具體的主機/服務器操作系統(tǒng)平臺無關。（3）IPS的分類（續(xù)）應用入侵防護(AIP)122（4）IPS技術的特征嵌入式運行只有以嵌入模式運行的IPS設備才能夠?qū)崿F(xiàn)實時的安全防護，實時阻攔所有可疑的數(shù)據(jù)包，并對該數(shù)據(jù)流的剩余部分進行攔截。高效處理能力IPS必須具有高效處理數(shù)據(jù)包的能力，對整個網(wǎng)絡性能的影響保持在最低水平。（4）IPS技術的特征嵌入式運行123（5）IPS面臨的挑戰(zhàn)IPS技術需要面對很多挑戰(zhàn)，其中主要有三點：單點故障。如果IPS出現(xiàn)故障而關閉，用戶就會面對一個由IPS造成的拒絕服務問題，所有客戶都將無法訪問企業(yè)網(wǎng)絡提供的應用。性能瓶頸。即使IPS設備不出現(xiàn)故障，它仍然是一個潛在的網(wǎng)絡瓶頸。誤報和漏報。誤報率和漏報率也需要IPS認真面對。

IPS廠商采用各種方式加以解決。一是綜合采用多種檢測技術，二是采用專用硬件加速系統(tǒng)來提高IPS的運行效率。（5）IPS面臨的挑戰(zhàn)IPS技術需要面對很多挑戰(zhàn)，其中主要124第

4

章安全審計與入侵檢測4.1安全審計4.1.1安全審計概念4.1.2安全審計目的4.1.3安全審計內(nèi)容4.1.4安全審計分類和過程4.1.5審計日志管理4.1.6安全審計系統(tǒng)的組成、功能與特點4.2入侵檢測 4.2.1入侵檢測概述 4.2.2入侵檢測側(cè)方法4.2.3入侵檢測系統(tǒng)的部署4.2.4入侵檢測技術發(fā)展4.2.5與入侵檢測有關的新技術第4章安全審計與入侵檢測4.1安全審計1254.1安全審計安全審計即是對安全方案中的功能提供持續(xù)的評估。安全審計可以為安全官員提供一組可進行分析的管理數(shù)據(jù)，以發(fā)現(xiàn)在何處發(fā)生了違反安全方案的事件。為了保證信息系統(tǒng)安全可靠的運行，需加強信息安全審計。4.1安全審計安全審計即是對安全方案中的功能提供持續(xù)的評1264.1.1安全審計概念從總體上說，安全審計是采用數(shù)據(jù)挖掘和數(shù)據(jù)倉庫技術，實現(xiàn)在不同網(wǎng)絡環(huán)境中終端對終端的監(jiān)控和管理，必要時通過多種途徑向管理員發(fā)出警告或自動采取排錯措施，能對歷史數(shù)據(jù)進行分析、處理和追蹤。利用安全審計結果，可調(diào)整安全政策，堵住出現(xiàn)的漏洞。4.1.1安全審計概念從總體上說，安全審計是采用數(shù)據(jù)127安全審計日志利用安全審計日志進行監(jiān)控是一種更為主動的監(jiān)督管理形式，它也是一種檢測觸犯安全規(guī)定事件的手段。出于它自身的重要性，安全審計日志和監(jiān)控功能本身給安全帶來了額外的威脅，因此必須加強對這類信息的保護。對安全審計日志和監(jiān)控功能的使用也必須做審計記錄，否則蓄謀作案的內(nèi)部人員將有機可乘，逃脫審查。安全審計日志利用安全審計日志進行監(jiān)控是一種更為主動的監(jiān)督管理128安全審計和報警安全報警的產(chǎn)生是檢測到任何符合已定義報警條件的安全相關事件的結果。安全審計和報警的實現(xiàn)，可能需要使用其他安全服務來支持安全審計和報警服務，并確保它們正確而有把握地運行。安全審計和報警服務與其他安全服務的不同之處在于沒有單個的特定安全機制可以用于提供這種服務。安全審計和報警安全報警的產(chǎn)生是檢測到任何符合已定義報警條件129安全審計跟蹤安全審計跟蹤是一種很有價值的安全機制，可以通過事后的安全審計來檢測和調(diào)查安全策略執(zhí)行的情況以及安全遭到破壞的情況。安全審計需要安全審計跟蹤與安全有關的記錄信息，以及從安全審計跟蹤中得到的分析和報告信息。日志或記錄被視為一種安全機制，而分析和報告生成則被視為一種安全管理功能。安全審計跟蹤安全審計跟蹤是一種很有價值的安全機制，可以通過事1304.1.2安全審計目的安全審計與報警的目的是根據(jù)適當安全機構的安全策略，確保與開放系統(tǒng)互聯(lián)的安全有關的事件得到處理，安全審計只在定義的安全策略范圍內(nèi)提供。具體的目的主要有：

輔助辨識和分析來經(jīng)授權的活動或攻擊；幫助保證那些實體響應行動處理這些活動；促進開發(fā)改進的損傷控制處理程序；認可與已建立的安全策略的一致性；報告那些可能與系統(tǒng)控制不相適應的信息；辨識可能需要的對控制、策略和處理程序的改變。4.1.2安全審計目的安全審計與報警的目的是根據(jù)適當安1314.1.3安全審計內(nèi)容個人職能（IndividualAccountability）。審計跟蹤是管理人員用來維護個人職能的技術手段。事件重建（ReconstructionofEvents）。在發(fā)生故障后，審計跟蹤可以用于重建事件和數(shù)據(jù)恢復。入侵檢測（