計(jì)算機(jī)網(wǎng)絡(luò)信息安全第11章

第11章入侵檢測(cè)技術(shù)的原理與應(yīng)用

11.1入侵檢測(cè)概述

11.2入侵檢測(cè)技術(shù)

11.3入侵檢測(cè)系統(tǒng)的組成與分類

11.4入侵檢測(cè)系統(tǒng)的評(píng)估指標(biāo)

11.5入侵檢測(cè)系統(tǒng)的部署方法與應(yīng)用案例

11.6本章小結(jié)

本章思考與練習(xí)

11.1入侵檢測(cè)概述

11.1.1入侵檢測(cè)概念20世紀(jì)80年代初期，平安專家認(rèn)為：“入侵是指未經(jīng)授權(quán)蓄意嘗試訪問信息、篡改信息、使系統(tǒng)不可用的行為。〞美國(guó)大學(xué)平安專家將入侵定義為“非法進(jìn)入信息系統(tǒng)，包括違反信息系統(tǒng)的平安策略或法律保護(hù)條例的動(dòng)作。〞我們認(rèn)為，入侵應(yīng)與受害目標(biāo)相關(guān)聯(lián)，該受害目標(biāo)可以是一個(gè)大的系統(tǒng)或單個(gè)對(duì)象。判斷與目標(biāo)相關(guān)的操作是入侵的依據(jù)是：對(duì)目標(biāo)的操作是否超出了目標(biāo)的平安策略范圍。因此，入侵是指違背訪問目標(biāo)的平安策略的行為。入侵檢測(cè)通過收集操作系統(tǒng)、系統(tǒng)程序、應(yīng)用程序、網(wǎng)絡(luò)包等信息，發(fā)現(xiàn)系統(tǒng)中違背平安策略或危及系統(tǒng)平安的行為。具有入侵檢測(cè)功能的系統(tǒng)稱為入侵檢測(cè)系統(tǒng)，簡(jiǎn)稱IDS。11.1.2入侵檢測(cè)系統(tǒng)模型最早的入侵檢測(cè)模型是由Denning給出的，該模型主要根據(jù)主機(jī)系統(tǒng)審計(jì)記錄數(shù)據(jù)，生成有關(guān)系統(tǒng)的假設(shè)干輪廓，并監(jiān)測(cè)輪廓的變化差異，發(fā)現(xiàn)系統(tǒng)的入侵行為，如圖11-1所示。圖11-1入侵檢測(cè)模型

現(xiàn)在，入侵行為的種類在不斷增多，許多攻擊都是經(jīng)過長(zhǎng)時(shí)期準(zhǔn)備的。面對(duì)這種情況，入侵檢測(cè)系統(tǒng)的不同功能組件之間、不同IDS之間共享這類攻擊信息是十分重要的。于是，一種通用的入侵檢測(cè)框架模型(簡(jiǎn)稱CIDF)就被提出來了。該模型認(rèn)為入侵檢測(cè)系統(tǒng)由事件產(chǎn)生器(eventgenerators)、事件分析器(eventanalyzers)、響應(yīng)單元(responseunits)和事件數(shù)據(jù)庫(eventdatabases)組成，如圖11-2所示。CIDF將入侵檢測(cè)系統(tǒng)需要分析的數(shù)據(jù)統(tǒng)稱為事件，它可以是網(wǎng)絡(luò)中的數(shù)據(jù)包，也可以是從系統(tǒng)日志等其他途徑得到的信息。事件產(chǎn)生器從整個(gè)計(jì)算環(huán)境中獲得事件，并向系統(tǒng)的其他局部提供事件。事件分析器分析所得到的數(shù)據(jù)，并產(chǎn)生分析結(jié)果。響應(yīng)單元對(duì)分析結(jié)果做出反響，如切斷網(wǎng)絡(luò)連接，改變文件屬性，簡(jiǎn)單報(bào)警等。事件數(shù)據(jù)庫存放各種中間和最終數(shù)據(jù)，數(shù)據(jù)存放的形式既可以是復(fù)雜的數(shù)據(jù)庫，也可以是簡(jiǎn)單的文本文件。CIDF模型具有很強(qiáng)的擴(kuò)展性，目前已經(jīng)得到廣泛認(rèn)同。圖11-2CIDF各組件之間的關(guān)系圖

11.1.3入侵檢測(cè)作用入侵檢測(cè)系統(tǒng)在網(wǎng)絡(luò)平安保障過程中扮演類似“預(yù)警機(jī)〞或“平安巡邏人員〞的角色，入侵檢測(cè)系統(tǒng)的直接目的不是阻止入侵事件的發(fā)生，而是通過檢測(cè)技術(shù)來發(fā)現(xiàn)系統(tǒng)中企圖或違背平安策略的行為，其作用表現(xiàn)為以下幾個(gè)方面：*發(fā)現(xiàn)受保護(hù)系統(tǒng)中的入侵行為或異常行為。*檢驗(yàn)平安保護(hù)措施的有效性。*分析受保護(hù)系統(tǒng)所面臨的威脅。*有利于阻止平安事件擴(kuò)大，及時(shí)報(bào)警觸發(fā)網(wǎng)絡(luò)平安應(yīng)急響應(yīng)。*可以為網(wǎng)絡(luò)平安策略的制定提供重要指導(dǎo)。*報(bào)警信息可用作網(wǎng)絡(luò)犯罪取證。11.2入侵檢測(cè)技術(shù)

11.2.1基于誤用的入侵檢測(cè)技術(shù) 基于誤用的入侵檢測(cè)通常稱為基于特征的入侵檢測(cè)方法，是指根據(jù)的入侵模式檢測(cè)入侵行為。攻擊者常常利用系統(tǒng)和應(yīng)用軟件中的漏洞技術(shù)進(jìn)行攻擊，而這些基于漏洞的攻擊方法具有某種特征模式。如果入侵者的攻擊方法恰好匹配上檢測(cè)系統(tǒng)中的特征模式，那么入侵行為可立即被檢測(cè)到，如圖11-3所示。圖11-3基于攻擊模式匹配的原理圖

顯然，誤用入侵檢測(cè)依賴于攻擊模式庫，因此，這種采用誤用入侵檢測(cè)技術(shù)的IDS產(chǎn)品的檢測(cè)能力就取決于攻擊模式庫的大小以及攻擊方法的覆蓋面。如果攻擊模式庫太小，那么IDS的有效性就大打折扣。而如果攻擊模式庫過大，那么IDS的性能會(huì)受到影響?；谏鲜龇治?，誤用入侵檢測(cè)的前提條件是，入侵行為能夠按某種方式進(jìn)行特征編碼，而入侵檢測(cè)的過程實(shí)際上就是模式匹配的過程。根據(jù)入侵特征描述的方式或構(gòu)造技術(shù)，誤用檢測(cè)方法可以進(jìn)一步細(xì)分。下面介紹幾種常見的誤用檢測(cè)方法。1．基于條件概率的誤用檢測(cè)方法基于條件概率的誤用檢測(cè)方法是指將入侵方式對(duì)應(yīng)一個(gè)事件序列，然后觀測(cè)事件發(fā)生序列，應(yīng)用貝葉斯定理進(jìn)行推理，推測(cè)入侵行為。令ES表示事件序列，先驗(yàn)概率為P(Intrusion)，后驗(yàn)概率為P(ES|Intrusion)，事件出現(xiàn)概率為P(ES)，那么：通常，網(wǎng)絡(luò)平安員可以給出先驗(yàn)概率P(Intrusion)，對(duì)入侵報(bào)告的數(shù)據(jù)統(tǒng)計(jì)處理可得出P(ES|?Intrusion)和P(ES|Intrusion)，于是可以計(jì)算出：因此，可以通過事件序列的觀測(cè)推算出P(Intrusion|ES)?；跅l件概率的誤用檢測(cè)方法是基于概率論的一種通用方法。它是對(duì)貝葉斯方法的改進(jìn)，其缺點(diǎn)是先驗(yàn)概率難以給出，而且事件的獨(dú)立性難以滿足。

2．基于狀態(tài)遷移的誤用檢測(cè)方法狀態(tài)遷移方法利用狀態(tài)圖表示攻擊特征，不同狀態(tài)刻畫了系統(tǒng)某一時(shí)刻的特征。初始狀態(tài)對(duì)應(yīng)于入侵開始前的系統(tǒng)狀態(tài)，危害狀態(tài)對(duì)應(yīng)于已成功入侵時(shí)刻的系統(tǒng)狀態(tài)。初始狀態(tài)與危害狀態(tài)之間的遷移可能有一個(gè)或多個(gè)中間狀態(tài)。攻擊者的操作將導(dǎo)致狀態(tài)發(fā)生遷移，使系統(tǒng)從初始狀態(tài)遷移到危害狀態(tài)?；跔顟B(tài)遷移的誤用檢測(cè)方法通過檢查系統(tǒng)的狀態(tài)變化來發(fā)現(xiàn)系統(tǒng)中的入侵行為。采用該方法的IDS有STAT(StateTransitionAnalysisTechnique)和USTAT(StateTransitionAnalysisToolforUNIX)。

3．基于鍵盤監(jiān)控的誤用檢測(cè)方法基于鍵盤監(jiān)控的誤用檢測(cè)方法是先假設(shè)入侵行為對(duì)應(yīng)特定的擊鍵序列模式，然后監(jiān)測(cè)用戶擊鍵模式，并將這一模式與入侵模式匹配，從而發(fā)現(xiàn)入侵行為。這種方法的缺點(diǎn)是，在沒有操作系統(tǒng)支持的情況下，缺少捕獲用戶擊鍵的可靠方法。此外，也可能存在多種擊鍵方式表示同一種攻擊。而且，如果沒有擊鍵語義分析，用戶假設(shè)提供別名(例如Kornshell)那么很容易欺騙這種檢測(cè)技術(shù)。最后，該方法也不能夠檢測(cè)惡意程序的自動(dòng)攻擊。4．基于規(guī)那么的誤用檢測(cè)方法基于規(guī)那么的誤用檢測(cè)方法(rule-basedmisusedetection)是指將攻擊行為或入侵模式表示成一種規(guī)那么，只要符合規(guī)那么就認(rèn)定它是一種入侵行為。這種方法的優(yōu)點(diǎn)是，檢測(cè)比較簡(jiǎn)單。存在的缺點(diǎn)是，檢測(cè)受到規(guī)那么庫限制，無法發(fā)現(xiàn)新的攻擊，并且容易受干擾。目前，大局部IDS都采用這種方法。SnortNIDS是典型的基于規(guī)那么的誤用檢測(cè)方法應(yīng)用實(shí)例。11.2.2基于異常的入侵檢測(cè)技術(shù) 異常檢測(cè)方法通過對(duì)計(jì)算機(jī)或網(wǎng)絡(luò)資源的統(tǒng)計(jì)分析，建立系統(tǒng)正常行為的“軌跡〞，定義一組系統(tǒng)正常情況的閾值，然后將系統(tǒng)運(yùn)行時(shí)的數(shù)值與所定義的“正常〞情況相比較，得出是否有被攻擊的跡象，如圖11-4所示。圖11-4異常檢測(cè)原理圖

但是，異常檢測(cè)的前提是異常行為包括入侵行為。理想情況下，異常行為集合等同于入侵行為集合，此時(shí)，如果IDS能夠檢測(cè)所有的異常行為，就說明能夠檢測(cè)所有的入侵行為。但是在現(xiàn)實(shí)中，入侵行為集合通常不等同于異常行為集合。事實(shí)上，行為有以下4種狀況：①行為是入侵行為，但不表現(xiàn)異常；②行為不是入侵行為，卻表現(xiàn)異常；③行為既不是入侵行為，也不表現(xiàn)異常；④行為是入侵行為，且表現(xiàn)異常。異常檢測(cè)方法的根本思路是構(gòu)造異常行為集合，從中發(fā)現(xiàn)入侵行為。異常檢測(cè)依賴于異常模型的建立，不同模型可構(gòu)成不同的檢測(cè)方法。1．基于統(tǒng)計(jì)的異常檢測(cè)方法基于統(tǒng)計(jì)的異常檢測(cè)方法就是利用數(shù)學(xué)統(tǒng)計(jì)理論技術(shù)，通過構(gòu)建用戶或系統(tǒng)正常行為的特征輪廓來檢測(cè)入侵。其中，統(tǒng)計(jì)性特征輪廓通常由主體特征變量的頻度、均值、方差、被監(jiān)控行為的屬性變量的統(tǒng)計(jì)概率分布以及偏差等統(tǒng)計(jì)量來描述。典型的系統(tǒng)主體特征有：系統(tǒng)的登錄與注銷時(shí)間、資源被占用的時(shí)間以及處理機(jī)、內(nèi)存和外設(shè)的使用情況等。至于統(tǒng)計(jì)的抽樣周期可以短到幾分鐘或長(zhǎng)達(dá)幾個(gè)月甚至更長(zhǎng)?；诮y(tǒng)計(jì)性特征輪廓的異常檢測(cè)器，通過對(duì)收集到的數(shù)據(jù)進(jìn)行統(tǒng)計(jì)處理，并與描述主體正常行為的統(tǒng)計(jì)性特征輪廓進(jìn)行比較，然后根據(jù)二者的偏差是否超過指定的門限來進(jìn)行進(jìn)一步的判斷和處理。許多入侵檢測(cè)系統(tǒng)或系統(tǒng)原型都采用了這種統(tǒng)計(jì)模型。2．基于模式預(yù)測(cè)的異常檢測(cè)方法基于模式預(yù)測(cè)的異常檢測(cè)方法的前提條件是，事件序列不是隨機(jī)發(fā)生的，而是服從某種可區(qū)分的模式，其特點(diǎn)是考慮了事件序列之間的相互聯(lián)系。平安專家Teng和Chen給出了一種基于時(shí)間的推理方法，即利用時(shí)間規(guī)那么識(shí)別用戶正常行為模式的特征。通過歸納學(xué)習(xí)產(chǎn)生這些規(guī)那么集，并能動(dòng)態(tài)地修改系統(tǒng)中的這些規(guī)那么，使之具有較高的預(yù)測(cè)性、準(zhǔn)確性和可信度。如果規(guī)那么大局部時(shí)間是正確的，并能夠成功地用于預(yù)測(cè)所觀察到的數(shù)據(jù)，那么規(guī)那么就具有較高的可信度。例如，TIM(Time-basedInductiveMachine)給出下述產(chǎn)生規(guī)那么： 其中，E1～E5表示平安事件。上述規(guī)那么說明，事件發(fā)生的順序是E1，E2，E3，E4，E5。事件E4發(fā)生的概率是95%，事件E5發(fā)生的概率是5%。通過事件中的臨時(shí)關(guān)系，TIM能夠產(chǎn)生更多的通用規(guī)那么。根據(jù)觀察到的用戶行為，歸納產(chǎn)生出一套規(guī)那么集，構(gòu)成用戶的行為輪廓框架。如果觀測(cè)到的事件序列匹配規(guī)那么的左邊，而后續(xù)的事件顯著地背離根據(jù)規(guī)那么預(yù)測(cè)到的事件，那么系統(tǒng)就可以檢測(cè)出這種偏離，說明用戶操作異常。這種方法的主要優(yōu)點(diǎn)有：(1)能較好地處理變化多樣的用戶行為，并具有很強(qiáng)的時(shí)序模式。(2)能夠集中考察少數(shù)幾個(gè)相關(guān)的平安事件，而不用關(guān)注可疑的整個(gè)登錄會(huì)話過程。(3)容易發(fā)現(xiàn)針對(duì)檢測(cè)系統(tǒng)的攻擊。 3．基于文本分類的異常檢測(cè)方法 基于文本分類的異常檢測(cè)方法的根本原理是將程序的系統(tǒng)調(diào)用視為某個(gè)文檔中的“字〞，而進(jìn)程運(yùn)行所產(chǎn)生的系統(tǒng)調(diào)用集合就產(chǎn)生一個(gè)“文檔〞。對(duì)于每個(gè)進(jìn)程所產(chǎn)生的“文檔〞，利用K-最近鄰聚類(K-NearestNeighbor)文本分類算法，分析文檔的相似性，發(fā)現(xiàn)異常的系統(tǒng)調(diào)用，從而檢測(cè)出入侵行為。

4．基于貝葉斯推理的異常檢測(cè)方法基于貝葉斯推理的異常檢測(cè)方法，是指在任意給定的時(shí)刻，測(cè)量A1，A2，...，An變量值，推理判斷系統(tǒng)是否發(fā)生入侵行為。其中，每個(gè)變量Ai表示系統(tǒng)某一方面的特征，例如磁盤I/O的活動(dòng)數(shù)量、系統(tǒng)中頁面出錯(cuò)的數(shù)目等。假定變量Ai可以取兩個(gè)值：1表示異常，0表示正常。令I(lǐng)表示系統(tǒng)當(dāng)前遭受的入侵攻擊。每個(gè)異常變量Ai的異?？煽啃院兔舾行苑謩e用P(Ai=1?|?I)和P(Ai=1?|??I)表示。于是，在給定每個(gè)Ai值的條件下，由貝葉斯定理得出I的可信度為

從而得到

因此，根據(jù)各種異常測(cè)量的值、入侵的先驗(yàn)概率、入侵發(fā)生時(shí)每種測(cè)量得到的異常概率，就能夠判斷出系統(tǒng)入侵的概率。但是為了保證檢測(cè)的準(zhǔn)確性，還需要考查各變量Ai之間的獨(dú)立性。

11.2.3其他1．基于標(biāo)準(zhǔn)的檢測(cè)方法基于標(biāo)準(zhǔn)的入侵檢測(cè)方法(specification-basedintrusiondetection)介于異常檢測(cè)和誤用檢測(cè)之間，其根本原理是：用一種策略描述語言PE-grammars事先定義系統(tǒng)特權(quán)程序有關(guān)平安的操作執(zhí)行序列(每個(gè)特權(quán)程序都有一組平安操作序列，這些操作序列構(gòu)成特權(quán)程序的平安跟蹤策略(tracepolicy))；假設(shè)特權(quán)程序的操作序列不符合已定義的操作序列，就進(jìn)行入侵報(bào)警。這種方法的優(yōu)點(diǎn)是，不僅能夠發(fā)現(xiàn)的攻擊，而且也能發(fā)現(xiàn)未知的攻擊。2．基于生物免疫的檢測(cè)方法基于生物免疫的檢測(cè)方法，是指模仿生物有機(jī)體的免疫系統(tǒng)工作機(jī)制，使受保護(hù)的系統(tǒng)能夠?qū)ⅰ胺亲晕?non-self)〞的攻擊行為與“自我(self)〞的合法行為區(qū)分開來。該方法綜合了異常檢測(cè)和誤用檢測(cè)兩種方法，其關(guān)鍵技術(shù)在于構(gòu)造系統(tǒng)“自我〞標(biāo)志以及標(biāo)志演變方法。3．基于攻擊誘騙的檢測(cè)方法基于攻擊誘騙的檢測(cè)方法，是指將一些虛假的系統(tǒng)或漏洞信息提供給入侵者，如果入侵者應(yīng)用這些信息攻擊系統(tǒng)，就可以推斷系統(tǒng)正在遭受入侵，并且平安管理員還可以誘惑入侵者，進(jìn)一步跟蹤攻擊來源。4．基于入侵報(bào)警的關(guān)聯(lián)檢測(cè)方法基于入侵報(bào)警的關(guān)聯(lián)檢測(cè)方法通過對(duì)原始的IDS報(bào)警事件的分類及相關(guān)性分析來發(fā)現(xiàn)復(fù)雜攻擊行為。其方法可以分為三類：第一類基于報(bào)警數(shù)據(jù)的相似性進(jìn)行報(bào)警關(guān)聯(lián)分析；第二類通過人為設(shè)置參數(shù)或通過機(jī)器學(xué)習(xí)的方法進(jìn)行報(bào)警關(guān)聯(lián)分析；第三類根據(jù)某種攻擊的前提條件與結(jié)果(preconditionsandconsequences)進(jìn)行報(bào)警關(guān)聯(lián)分析?；谌肭謭?bào)警的關(guān)聯(lián)檢測(cè)方法，有助于在大量報(bào)警數(shù)據(jù)中挖掘出潛在的關(guān)聯(lián)平安事件，消除冗余平安事件，找出報(bào)警事件的相關(guān)度及關(guān)聯(lián)關(guān)系，從而提高入侵判定的準(zhǔn)確性。11.3入侵檢測(cè)系統(tǒng)的組成與分類

11.3.1入侵檢測(cè)系統(tǒng)的組成一個(gè)入侵檢測(cè)系統(tǒng)主要由以下功能模塊組成：數(shù)據(jù)采集模塊、入侵分析引擎模塊、應(yīng)急處理模塊、管理配置模塊和相關(guān)的輔助模塊。數(shù)據(jù)采集模塊的功能是為入侵分析引擎模塊提供分析用的數(shù)據(jù)，包括操作系統(tǒng)的審計(jì)日志、應(yīng)用程序的運(yùn)行日志和網(wǎng)絡(luò)數(shù)據(jù)包等。入侵分析引擎模塊的功能是依據(jù)輔助模塊提供的信息(如攻擊模式)，根據(jù)一定的算法對(duì)收集到的數(shù)據(jù)進(jìn)行分析，從中判斷是否有入侵行為出現(xiàn)，并產(chǎn)生入侵報(bào)警。

該模塊是入侵檢測(cè)系統(tǒng)的核心模塊。管理配置模塊的功能是為其他模塊提供配置效勞，是IDS系統(tǒng)中的模塊與用戶的接口。應(yīng)急處理模塊的功能是發(fā)生入侵后，提供緊急響應(yīng)效勞，例如關(guān)閉網(wǎng)絡(luò)效勞/中斷網(wǎng)絡(luò)連接/啟動(dòng)備份系統(tǒng)等。輔助模塊的功能是協(xié)助入侵分析引擎模塊工作，為它提供相應(yīng)的信息，例如攻擊特征庫、漏洞信息等。圖11-5給出了一個(gè)通用的入侵檢測(cè)系統(tǒng)結(jié)構(gòu)。圖11-5中的系統(tǒng)是一個(gè)廣泛的概念，可以是工作站、網(wǎng)段、效勞器、防火墻、Web效勞器、企業(yè)網(wǎng)等。雖然每一種IDS在概念上是一致的，但在具體實(shí)現(xiàn)時(shí)，它在采用的分析數(shù)據(jù)方法、采集數(shù)據(jù)以及保護(hù)對(duì)象等關(guān)鍵方面還是有所區(qū)別。根據(jù)IDS的檢測(cè)數(shù)據(jù)來源和它的平安作用范圍，可將IDS分為三大類：第一類是基于主機(jī)的入侵檢測(cè)系統(tǒng)(簡(jiǎn)稱HIDS)，即通過分析主機(jī)的信息來檢測(cè)入侵行為；第二類是基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)(簡(jiǎn)稱NIDS)，即通過獲取網(wǎng)絡(luò)通信中的數(shù)據(jù)包，然后對(duì)這些數(shù)據(jù)包進(jìn)行攻擊特征掃描或異常建模來發(fā)現(xiàn)入侵行為；第三類是分布式入侵檢測(cè)系統(tǒng)(簡(jiǎn)稱DIDS)，DIDS從多臺(tái)主機(jī)、多個(gè)網(wǎng)段采集檢測(cè)數(shù)據(jù)，或者收集單個(gè)IDS的報(bào)警信息，然后根據(jù)收集到的信息進(jìn)行綜合分析，以發(fā)現(xiàn)入侵行為。圖11-5通用的入侵檢測(cè)系統(tǒng)示意圖

11.3.2基于主機(jī)的入侵檢測(cè)系統(tǒng)

基于主機(jī)的入侵檢測(cè)系統(tǒng)，簡(jiǎn)稱HIDS。HIDS收集主機(jī)系統(tǒng)的日志文件、系統(tǒng)調(diào)用以及應(yīng)用程序的使用、系統(tǒng)資源、網(wǎng)絡(luò)通信和用戶使用等信息，然后分析這些信息是否包含攻擊特征或異常情況，并依此來判斷該主機(jī)是否受到入侵。由于入侵行為會(huì)引起主機(jī)系統(tǒng)的變化，因此在實(shí)際的HIDS產(chǎn)品中，CPU利用率、內(nèi)存利用率、磁盤空間大小、網(wǎng)絡(luò)端口使用情況、注冊(cè)表、文件的完整性、進(jìn)程信息、系統(tǒng)調(diào)用等常作為識(shí)別入侵事件的依據(jù)。HIDS一般適合檢測(cè)到以下入侵行為：

*針對(duì)主機(jī)的端口或漏洞掃描；*重復(fù)失敗的登入嘗試；*遠(yuǎn)程口令破解；*主機(jī)系統(tǒng)的用戶帳號(hào)添加；*效勞啟動(dòng)或停止；*系統(tǒng)重啟動(dòng)；*文件的完整性或許可權(quán)變化；*注冊(cè)表修改；*重要系統(tǒng)啟動(dòng)文件變更；*程序的異常調(diào)用；*拒絕效勞攻擊。1．SWATCHSWATCH(TheSimpleWATCHerandfiler)是ToddAtkins開發(fā)的用于實(shí)時(shí)監(jiān)視日志的PERL程序。SWATCH利用指定的觸發(fā)器監(jiān)視日志記錄，當(dāng)日志記錄符合觸發(fā)器條件時(shí)，SWATCH會(huì)按預(yù)先定義好的方式通知系統(tǒng)管理員。SWATCH有一個(gè)很有用的安裝腳本，可以將所有的庫文件、手冊(cè)頁和PERL文件復(fù)制到相應(yīng)的目錄下。安裝完成后，只要?jiǎng)?chuàng)立一個(gè)配置文件，就可以運(yùn)行程序了。SWATCH的下載網(wǎng)址為/general/security-tools/swatch。2．TripwireTripwire是一個(gè)文件和目錄完整性檢測(cè)工具軟件包，用于協(xié)助管理員和用戶監(jiān)測(cè)特定文件的變化。Tripwire根據(jù)系統(tǒng)文件的規(guī)那么設(shè)置，將已破壞或被篡改的文件通知系統(tǒng)管理員，因而常作為損害控制測(cè)量工具。詳細(xì)資料請(qǐng)參看。3．網(wǎng)頁保護(hù)系統(tǒng)網(wǎng)頁保護(hù)系統(tǒng)的根本作用是防止網(wǎng)頁文件被入侵者非法修改，即在頁面文件被篡改后，能夠及時(shí)發(fā)現(xiàn)，產(chǎn)生報(bào)警，通知管理員，自動(dòng)恢復(fù)。它的工作原理是監(jiān)測(cè)網(wǎng)頁文件并生成完整性標(biāo)記，一旦發(fā)現(xiàn)網(wǎng)頁文件的完整性受到破壞，那么啟動(dòng)網(wǎng)頁備份系統(tǒng)，恢復(fù)正常的網(wǎng)頁內(nèi)容?；谥鳈C(jī)的入侵檢測(cè)系統(tǒng)的優(yōu)點(diǎn)：*可以檢測(cè)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)不能檢測(cè)的攻擊。*基于主機(jī)的入侵檢測(cè)系統(tǒng)可以運(yùn)行在應(yīng)用加密系統(tǒng)的網(wǎng)絡(luò)上，只要加密信息在到達(dá)被監(jiān)控的主機(jī)時(shí)或到達(dá)前解密。*基于主機(jī)的入侵檢測(cè)系統(tǒng)可以運(yùn)行在交換網(wǎng)絡(luò)中。

基于主機(jī)的入侵檢測(cè)系統(tǒng)的缺點(diǎn)：*必須在每個(gè)被監(jiān)控的主機(jī)上都安裝和維護(hù)信息收集模塊。*由于HIDS的一局部安裝在被攻擊的主機(jī)上，HIDS可能受到攻擊并被攻擊者破壞。*HIDS占用受保護(hù)的主機(jī)系統(tǒng)的系統(tǒng)資源，降低了主機(jī)系統(tǒng)的性能。*不能有效地檢測(cè)針對(duì)網(wǎng)絡(luò)中所有主機(jī)的網(wǎng)絡(luò)掃描。*不能有效地檢測(cè)和處理拒絕效勞攻擊。*只能使用它所監(jiān)控的主機(jī)的計(jì)算資源。11.3.3基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng) 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)，簡(jiǎn)稱NIDS。NIDS通過偵聽網(wǎng)絡(luò)系統(tǒng)，捕獲網(wǎng)絡(luò)數(shù)據(jù)包，并依據(jù)網(wǎng)絡(luò)數(shù)據(jù)包是否包含攻擊特征，或者網(wǎng)絡(luò)通信流是否異常來識(shí)別入侵行為。NIDS通常由一組用途單一的計(jì)算機(jī)組成，其構(gòu)成多分為兩局部：探測(cè)器和管理控制器。探測(cè)器分布在網(wǎng)絡(luò)中的不同區(qū)域，通過偵聽(嗅探)方式獲取網(wǎng)絡(luò)包，探測(cè)器將檢測(cè)到的攻擊行為形成一個(gè)報(bào)警事件，向管理控制器發(fā)送報(bào)警信息，報(bào)揭發(fā)生入侵行為。管理控制器可監(jiān)控不同網(wǎng)絡(luò)區(qū)域的探測(cè)器，接收來自探測(cè)器的報(bào)警信息。基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的典型配置如圖11-6所示。圖11-6基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的典型配置

一般說來，NIDS能夠檢測(cè)到以下入侵行為：*同步風(fēng)暴(SYNFlood)；*分布式拒絕效勞攻擊(DDoS)；*網(wǎng)絡(luò)掃描；*緩沖區(qū)溢出；*協(xié)議攻擊；*流量異常；*非法網(wǎng)絡(luò)訪問。當(dāng)前，NIDS的軟件產(chǎn)品有許多，國(guó)外產(chǎn)品有SessionWall、ISSRealSecure、CiscoSecureIDS等，國(guó)內(nèi)產(chǎn)品有中科安勝、三零盛安、南大蘇富特、聯(lián)想、東軟、天融信、方正、福建海峽、安氏中國(guó)、綠盟科技等。此外，因特網(wǎng)上有公開源代碼的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)Snort。Snort是輕量型的NIDS，它首先通過libpcap軟件包監(jiān)聽(sniffer/logger)獲得網(wǎng)絡(luò)數(shù)據(jù)包，然后進(jìn)行入侵檢測(cè)分析。其主要方法是基于規(guī)那么的審計(jì)分析，并進(jìn)行包的數(shù)據(jù)內(nèi)容搜索/匹配。目前，Snort能檢測(cè)緩沖區(qū)溢出、端口掃描、CGI攻擊、SMB探測(cè)等多種攻擊，還具有實(shí)時(shí)報(bào)警功能。詳細(xì)資料請(qǐng)參看?；诰W(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的優(yōu)點(diǎn)：*適當(dāng)?shù)呐渲每梢员O(jiān)控一個(gè)大型網(wǎng)絡(luò)的平安狀況。*基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的安裝對(duì)已有網(wǎng)絡(luò)影響很小，通常屬于被動(dòng)型的設(shè)備，它們只監(jiān)聽網(wǎng)絡(luò)而不干擾網(wǎng)絡(luò)的正常運(yùn)作。*基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)可以很好地防止攻擊，對(duì)于攻擊者甚至是不可見的。基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的缺點(diǎn)：*在高速網(wǎng)絡(luò)中，NIDS很難處理所有的網(wǎng)絡(luò)包，因此有可能出現(xiàn)漏檢現(xiàn)象。*交換機(jī)可以將網(wǎng)絡(luò)分為許多小單元VLAN，而多數(shù)交換機(jī)不提供統(tǒng)一的監(jiān)測(cè)端口，這就減少了基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的監(jiān)測(cè)范圍。*如果網(wǎng)絡(luò)流量被加密，那么NIDS中的探測(cè)器將無法對(duì)數(shù)據(jù)包中的協(xié)議進(jìn)行有效的析。*NIDS僅依靠網(wǎng)絡(luò)流量無法推知命令的執(zhí)行結(jié)果，從而無法判斷攻擊是否成功。11.3.4分布式入侵檢測(cè)系統(tǒng)隨著網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)的復(fù)雜化和大型化，帶來許多新的入侵檢測(cè)問題：(1)系統(tǒng)的漏洞分散在網(wǎng)絡(luò)中的各個(gè)主機(jī)上，這些漏洞有可能被攻擊者一起用來攻擊網(wǎng)絡(luò)，僅依靠基于主機(jī)或網(wǎng)絡(luò)的IDS不會(huì)發(fā)現(xiàn)入侵行為。(2)入侵行為不再是單一的行為，而是相互協(xié)作的入侵行為。(3)入侵檢測(cè)所依靠的數(shù)據(jù)來源分散化，收集原始的檢測(cè)數(shù)據(jù)變得困難。如交換型網(wǎng)絡(luò)使監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)包受到限制。(4)網(wǎng)絡(luò)速度傳輸加快，網(wǎng)絡(luò)的流量增大，集中處理原始數(shù)據(jù)的方式往往造成檢測(cè)瓶頸，從而導(dǎo)致漏檢。

1．基于主機(jī)檢測(cè)的分布式入侵檢測(cè)系統(tǒng)基于主機(jī)檢測(cè)的分布式入侵檢測(cè)系統(tǒng)，簡(jiǎn)稱HDIDS，其結(jié)構(gòu)分為兩個(gè)局部：主機(jī)探測(cè)器和入侵管理控制器。HDIDS將主機(jī)探測(cè)器按層次、分區(qū)域地配置和管理，把它們集成為一個(gè)可用于監(jiān)控、保護(hù)分布在網(wǎng)絡(luò)區(qū)域中的主機(jī)系統(tǒng)。HDIDS用于保護(hù)網(wǎng)絡(luò)的關(guān)鍵效勞器或其他具有敏感信息的系統(tǒng)，利用主機(jī)的系統(tǒng)資源、系統(tǒng)調(diào)用、審計(jì)日志等信息，判斷主機(jī)系統(tǒng)的運(yùn)行是否遵循平安規(guī)那么。在實(shí)際工作過程中，主機(jī)探測(cè)器多以平安代理(Agent)形式直接安裝在每個(gè)被保護(hù)的主機(jī)系統(tǒng)上，并通過網(wǎng)絡(luò)中的系統(tǒng)管理控制臺(tái)進(jìn)行遠(yuǎn)程控制。這種集中式的控制方式，便于對(duì)系統(tǒng)進(jìn)行狀態(tài)監(jiān)控、管理以及對(duì)檢測(cè)模塊的軟件進(jìn)行更新。HDIDS的典型配置如圖11-7所示。圖11-7基于主機(jī)的入侵檢測(cè)系統(tǒng)典型配置

2．基于網(wǎng)絡(luò)的分布式入侵檢測(cè)系統(tǒng)HDIDS只能保護(hù)主機(jī)的平安，而且要在每個(gè)受保護(hù)主機(jī)系統(tǒng)上都配置一個(gè)主機(jī)的探測(cè)器，如果當(dāng)網(wǎng)絡(luò)中需要保護(hù)的主機(jī)系統(tǒng)比較多時(shí)，其安裝配置的工作非常大。此外，對(duì)于一些復(fù)雜攻擊，主機(jī)探測(cè)器無能為力。因此，需要使用基于網(wǎng)絡(luò)的分布式入侵檢測(cè)系統(tǒng)，簡(jiǎn)稱NDIDS。NDIDS結(jié)構(gòu)分為兩局部：網(wǎng)絡(luò)探測(cè)器和管理控制器，如圖11-8所示。網(wǎng)絡(luò)探測(cè)器部署在重要的網(wǎng)絡(luò)區(qū)域，如效勞器所在的網(wǎng)段，用于收集網(wǎng)絡(luò)通信數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)流，通過采用異常和誤用兩種方法對(duì)收集到信息進(jìn)行分析，假設(shè)出現(xiàn)攻擊或異常網(wǎng)絡(luò)行為，就向管理控制器發(fā)送報(bào)警信息。圖11-8網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)功能模塊的分布式配置及管理

NDIDS一般適用于大規(guī)模網(wǎng)絡(luò)或者是地理區(qū)域分散的網(wǎng)絡(luò)，采用這種結(jié)構(gòu)有利于實(shí)現(xiàn)網(wǎng)絡(luò)的分布式平安管理?，F(xiàn)在市場(chǎng)上的網(wǎng)絡(luò)入侵系統(tǒng)一般支持分布式結(jié)構(gòu)。綜上所述，分布式IDS系統(tǒng)結(jié)構(gòu)能夠?qū)⒒谥鳈C(jī)和網(wǎng)絡(luò)的系統(tǒng)結(jié)構(gòu)結(jié)合起來，檢測(cè)所用到的數(shù)據(jù)源豐富，可以克服前兩者的弱點(diǎn)。但是，由于是分布式的結(jié)構(gòu)，所以帶來了新的弱點(diǎn)。例如，傳輸平安事件過程中增加了通信的平安問題處理，平安管理配置復(fù)雜度增加等。11.4入侵檢測(cè)系統(tǒng)的評(píng)估指標(biāo)

入侵檢測(cè)系統(tǒng)的主要指標(biāo)有：(1)可靠性。由于入侵檢測(cè)系統(tǒng)需要不間斷地監(jiān)測(cè)受保護(hù)系統(tǒng)，因此，要求入侵檢測(cè)系統(tǒng)具有容錯(cuò)能力，可以連續(xù)運(yùn)行。(2)可用性。入侵檢測(cè)系統(tǒng)運(yùn)行開銷要盡量小，特別是基于主機(jī)的入侵檢測(cè)系統(tǒng)，不能影響到主機(jī)和網(wǎng)絡(luò)的系統(tǒng)性能。(3)可擴(kuò)展性。該指標(biāo)主要評(píng)價(jià)入侵檢測(cè)系統(tǒng)配置修改和安裝部署的能力，以適應(yīng)新的攻擊技術(shù)方法不斷出現(xiàn)和系統(tǒng)環(huán)境的變遷需求。

(4)時(shí)效性。時(shí)效性要求入侵檢測(cè)系統(tǒng)必須盡快地分析報(bào)警數(shù)據(jù)，并將分析結(jié)果傳送到報(bào)警控制臺(tái)，以使系統(tǒng)平安管理者能夠在入侵攻擊尚未造成更大危害以前做出反響，阻止攻擊者破壞審計(jì)系統(tǒng)甚至入侵檢測(cè)系統(tǒng)的企圖。和上面的處理性能因素相比，該指標(biāo)的及時(shí)性要求更高。它不僅要求入侵檢測(cè)系統(tǒng)的處理速度要盡可能地快，而且要求傳播、反響檢測(cè)結(jié)果信息的時(shí)間盡可能少，能實(shí)時(shí)發(fā)現(xiàn)入侵企圖，以便及時(shí)制止入侵活動(dòng)和限制破壞程度。(5)準(zhǔn)確性。準(zhǔn)確性是指入侵檢測(cè)系統(tǒng)能正確地檢測(cè)出系統(tǒng)入侵活動(dòng)的能力。當(dāng)一個(gè)入侵檢測(cè)系統(tǒng)的檢測(cè)不準(zhǔn)確時(shí)，它就可能把系統(tǒng)中的合法活動(dòng)當(dāng)作入侵行為，或者把入侵行為作為正常行為，這時(shí)就出現(xiàn)誤報(bào)警和漏報(bào)警現(xiàn)象。實(shí)用的入侵檢測(cè)系統(tǒng)應(yīng)具有低的誤警率和漏警率。(6)平安性。與其他系統(tǒng)一樣，入侵檢測(cè)系統(tǒng)本身也往往存在平安漏洞。假設(shè)對(duì)入侵檢測(cè)系統(tǒng)攻擊成功，那么直接導(dǎo)致報(bào)警失靈，使攻擊者的攻擊行為無法被記錄。因此，入侵檢測(cè)系統(tǒng)的平安性要求具有保護(hù)自身的平安功能，具有抗攻擊干擾能力。11.5入侵檢測(cè)系統(tǒng)的部署方法與應(yīng)用案例

11.5.1IDS的部署方法與步驟IDS部署是指將IDS安裝在網(wǎng)絡(luò)系統(tǒng)區(qū)域中，使之能夠檢測(cè)到網(wǎng)絡(luò)中的攻擊行為。IDS部署的根本過程包含以下幾個(gè)步驟：第一步，根據(jù)組織或公司的平安策略要求，確定IDS要監(jiān)測(cè)的對(duì)象或要保護(hù)的網(wǎng)段；第二步，在監(jiān)測(cè)對(duì)象或保護(hù)網(wǎng)段安裝IDS探測(cè)器，采集網(wǎng)絡(luò)入侵檢