第5章入侵檢測技術(shù)

第五章入侵檢測技術(shù)5.1入侵檢測概述5.2入侵檢測系統(tǒng)分類5.3入侵檢測系統(tǒng)的分析方式5.4入侵檢測系統(tǒng)的設(shè)置

5.5入侵檢測系統(tǒng)的部署5.6入侵檢測系統(tǒng)的優(yōu)點與局限性本章學習目標（1）入侵檢測的結(jié)構(gòu)（2）入侵檢測系統(tǒng)分類（3）入侵檢測系統(tǒng)分析方式（4）入侵檢測系統(tǒng)的設(shè)置與部署（5）入侵檢測系統(tǒng)的優(yōu)缺點

5.1入侵檢測概述5.1.1基本概念

5.1.2入侵檢測系統(tǒng)的結(jié)構(gòu)

5.1.1基本概念1．入侵行為入侵行為主要指對系統(tǒng)資源的非授權(quán)使用，它可以造成系統(tǒng)數(shù)據(jù)的丟失和破壞，甚至會造成系統(tǒng)拒絕對合法用戶服務(wù)等后果。2．入侵檢測入侵檢測技術(shù)是一種網(wǎng)絡(luò)信息安全新技術(shù)，它可以彌補防火墻的不足，對網(wǎng)絡(luò)進行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時的檢測及采取相應(yīng)的防護手段，如記錄證據(jù)用于跟蹤和恢復(fù)、斷開網(wǎng)絡(luò)連接等。因此，入侵檢測系統(tǒng)被認為是防火墻之后的第二道安全閘門。入侵檢測技術(shù)是一種主動保護系統(tǒng)免受黑客攻擊的網(wǎng)絡(luò)安全技術(shù)。3．入侵檢測系統(tǒng)入侵檢測系統(tǒng)是一種能夠通過分析系統(tǒng)安全相關(guān)數(shù)據(jù)來檢測入侵活動的系統(tǒng)。入侵檢測系統(tǒng)的主要功能有以下幾點：監(jiān)測并分析用戶和系統(tǒng)的活動。核查系統(tǒng)配置和漏洞。評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性。識別已知的攻擊行為。統(tǒng)計分析異常行為。對操作系統(tǒng)進行日志管理，并識別違反安全策略的用戶活動。5.1.2入侵檢測系統(tǒng)的結(jié)構(gòu)CIDF（CommonIntrusionDetectionFramework）闡述了一個入侵檢測系統(tǒng)的通用模型，如圖5-1所示。5.2入侵檢測系統(tǒng)分類5.2.1基于主機的入侵檢測系統(tǒng)

5.2.2基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)

5.2.3基于內(nèi)核的入侵檢測系統(tǒng)

5.2.4兩種入侵檢測系統(tǒng)的結(jié)合運用5.2.5分布式的入侵檢測系統(tǒng)

5.2.1基于主機的入侵檢測系統(tǒng)

基于主機的入侵檢測系統(tǒng)用于保護單臺主機不受網(wǎng)絡(luò)攻擊行為的侵害，需要安裝在被保護的主機上。按照檢測對象的不同，基于主機的入侵檢測系統(tǒng)可以分為兩類：網(wǎng)絡(luò)連接檢測和主機文件檢測。

1．網(wǎng)絡(luò)連接檢測網(wǎng)絡(luò)連接檢測是對試圖進入該主機的數(shù)據(jù)流進行檢測，分析確定是否有入侵行為，避免或減少這些數(shù)據(jù)流進入主機系統(tǒng)后造成損害。2．主機文件檢測通常入侵行為會在主機的各種相關(guān)文件中留下痕跡，主機文件檢測能夠幫助系統(tǒng)管理員發(fā)現(xiàn)入侵行為或入侵企圖，及時采取補救措施。主機文件檢測的檢測對象主要包括以下幾種：（1）系統(tǒng)日志。（2）文件系統(tǒng)。（3）進程記錄。基于主機的入侵檢測系統(tǒng)具有以下優(yōu)點：檢測準確度較高?？梢詸z測到?jīng)]有明顯行為特征的入侵。能夠?qū)Σ煌牟僮飨到y(tǒng)進行有針對性的檢測。成本較低。不會因網(wǎng)絡(luò)流量影響性能。適于加密和交換環(huán)境?；谥鳈C的入侵檢測系統(tǒng)具有以下不足：實時性較差。無法檢測數(shù)據(jù)包的全部。檢測效果取決于日志系統(tǒng)。占用主機資源。隱蔽性較差。如果入侵者能夠修改校驗和，這種入侵檢測系統(tǒng)將無法起到預(yù)期的作用。5.2.2基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)

基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)通常是作為一個獨立的個體放置于被保護的網(wǎng)絡(luò)上，它使用原始的網(wǎng)絡(luò)分組數(shù)據(jù)包作為進行攻擊分析的數(shù)據(jù)源，一般利用一個網(wǎng)絡(luò)適配器來實時監(jiān)視和分析所有通過網(wǎng)絡(luò)進行傳輸?shù)耐ㄐ?。一旦檢測到攻擊，入侵檢測系統(tǒng)應(yīng)答模塊通過通知、報警以及中斷連接等方式來對攻擊做出反應(yīng)。

1．包嗅探器和網(wǎng)絡(luò)監(jiān)視器

2．包嗅探器和混雜模式

3．基于網(wǎng)絡(luò)的入侵檢測

基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)可以執(zhí)行以下任務(wù)：（1）檢測端口掃描。在攻擊一個系統(tǒng)時，一個入侵者通常對該系統(tǒng)進行端口掃描，從而判斷存在哪些脆弱性。企圖對Internet上的一臺主機進行端口掃描通常是一個人要試圖破壞網(wǎng)絡(luò)的一個信號。（2）檢測常見的攻擊行為。訪問Web服務(wù)器的80端口通常被認為是無害的活動，但是，一些訪問企圖事實上是故意在進行攻擊，或者試圖攻擊。（3）識別各種各樣可能的IP欺騙攻擊。用來將IP地址轉(zhuǎn)化為MAC地址的ARP協(xié)議通常是一個攻擊目標。通過在以太網(wǎng)上發(fā)送偽造的ARP數(shù)據(jù)包，已經(jīng)獲得系統(tǒng)訪問權(quán)限的入侵者可以假裝是一個不同的系統(tǒng)在進行操作?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)有以下優(yōu)點：可以提供實時的網(wǎng)絡(luò)行為檢測。可以同時保護多臺網(wǎng)絡(luò)主機。具有良好的隱蔽性。有效保護入侵證據(jù)。不影響被保護主機的性能?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)有以下不足：防入侵欺騙的能力通常較差。在交換式網(wǎng)絡(luò)環(huán)境中難以配置。檢測性能受硬件條件限制。不能處理加密后的數(shù)據(jù)。5.2.3基于內(nèi)核的入侵檢測系統(tǒng)

基于內(nèi)核的入侵檢測是一種較新的技術(shù)，近來它開始流行起來，特別是在Linux上。在Linux上目前可用的基于內(nèi)核的入侵檢測系統(tǒng)主要有兩種：OpenWall和LIDS。這些系統(tǒng)采取措施防止緩沖區(qū)溢出，增加文件系統(tǒng)的保護，封閉信號，從而使入侵者破壞系統(tǒng)越來越困難。LIDS同時也采取一些步驟以阻止根用戶的一些活動，例如安裝一個包嗅探器或改變防火墻策略。

5.2.4兩種入侵檢測系統(tǒng)的結(jié)合運用

基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)和基于主機的入侵檢測系統(tǒng)都有各自的優(yōu)勢和不足，這兩種方式各自都能發(fā)現(xiàn)對方無法檢測到的一些網(wǎng)絡(luò)入侵行為，如果同時使用互相彌補不足，會起到良好的檢測效果?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)通過檢查所有的數(shù)據(jù)包頭來進行檢測，而基于主機的入侵檢測系統(tǒng)并不查看包頭?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)可以研究負載的內(nèi)容，查找特定攻擊中使用的命令或語法，這類攻擊可以被實時檢查包序列的入侵檢測系統(tǒng)迅速識別；而基于主機的入侵檢測系統(tǒng)無法看到負載，因此也無法識別嵌入式的負載攻擊。

5.2.5分布式的入侵檢測系統(tǒng)

采用分布式結(jié)構(gòu)的入侵檢測模式是解決方案之一，也是目前入侵檢測技術(shù)的一個研究方向。這種模式的系統(tǒng)采用分布式智能代理的結(jié)構(gòu)，由一個或者多個中央智能代理和大量分布在網(wǎng)絡(luò)各處的本地代理組成。其中本地代理負責處理本地事件，中央代理負責統(tǒng)一調(diào)控各個本地代理的工作以及從整體上完成對網(wǎng)絡(luò)事件進行綜合分析的工作。檢測工作通過全部代理互相協(xié)作共同完成。5.3入侵檢測系統(tǒng)的分析方式

5.3.1異常檢測技術(shù)——基于行為的檢測

5.3.2誤用檢測技術(shù)——基于知識的檢測

5.3.3異常檢測技術(shù)和誤用檢測技術(shù)的比較

5.3.4其他入侵檢測技術(shù)的研究

5.3.1異常檢測技術(shù)——基于行為的檢測

1．異常檢測技術(shù)的基本原理

異常檢測技術(shù)（AnomalyDetection）也稱為基于行為的檢測技術(shù)，是指根據(jù)用戶的行為和系統(tǒng)資源的使用狀況判斷是否存在網(wǎng)絡(luò)入侵。

異常檢測技術(shù)首先假設(shè)網(wǎng)絡(luò)攻擊行為是不常見的或是異常的，區(qū)別于所有的正常行為。如果能夠為用戶和系統(tǒng)的所有正常行為總結(jié)活動規(guī)律并建立行為模型，那么入侵檢測系統(tǒng)可以將當前捕獲到的網(wǎng)絡(luò)行為與行為模型相對比，若入侵行為偏離了正常的行為軌跡，就可以被檢測出來。

2．異常檢測技術(shù)的評價

能夠檢測出新的網(wǎng)絡(luò)入侵方法的攻擊。較少依賴于特定的主機操作系統(tǒng)。對于內(nèi)部合法用戶的越權(quán)違法行為的檢測能力較強。異常檢測技術(shù)有以下不足：誤報率高。行為模型建立困難。難以對入侵行為進行分類和命名。3．異常檢測技術(shù)分類

（1）統(tǒng)計分析異常檢測。

（2）貝葉斯推理異常檢測。

（3）神經(jīng)網(wǎng)絡(luò)異常檢測。

（4）模式預(yù)測異常檢測。

（5）數(shù)據(jù)采掘異常檢測。

（6）機器學習異常檢測。

5.3.2誤用檢測技術(shù)——基于知識的檢測

1．誤用檢測技術(shù)入侵檢測系統(tǒng)的基本原理

誤用檢測技術(shù)（MisuseDetection）也稱為基于知識的檢測技術(shù)或者模式匹配檢測技術(shù)。它的前提是假設(shè)所有的網(wǎng)絡(luò)攻擊行為和方法都具有一定的模式或特征，如果把以往發(fā)現(xiàn)的所有網(wǎng)絡(luò)攻擊的特征總結(jié)出來并建立一個入侵信息庫，那么入侵檢測系統(tǒng)可以將當前捕獲到的網(wǎng)絡(luò)行為特征與入侵信息庫中的特征信息相比較，如果匹配，則當前行為就被認定為入侵行為。

2．誤用檢測技術(shù)的評價

誤用檢測技術(shù)有以下優(yōu)點：檢測準確度高。技術(shù)相對成熟。便于進行系統(tǒng)防護。誤用檢測技術(shù)有以下缺點：不能檢測出新的入侵行為。完全依賴于入侵特征的有效性。維護特征庫的工作量巨大。難以檢測來自內(nèi)部用戶的攻擊。3．誤用檢測技術(shù)的分類

（1）專家系統(tǒng)誤用檢測。

（2）特征分析誤用檢測。

（3）模型推理誤用檢測。

（4）條件概率誤用檢測。

（5）鍵盤監(jiān)控誤用檢測。

5.3.3異常檢測技術(shù)和誤用檢測技術(shù)的比較

基于異常檢測技術(shù)的入侵檢測系統(tǒng)如果想檢測到所有的網(wǎng)絡(luò)入侵行為，必須掌握被保護系統(tǒng)已知行為和預(yù)期行為的所有信息，這一點實際上無法做到，因此入侵檢測系統(tǒng)必須不斷地學習并更新已有的行為輪廓。對于基于誤用檢測技術(shù)的入侵檢測系統(tǒng)而言，只有擁有所有可能的入侵行為的先驗知識，而且必須能識別各種入侵行為的過程細節(jié)或者每種入侵行為的特征模式，才能檢測到所有的入侵行為，而這種情況也是不存在的，該類入侵檢測系統(tǒng)只能檢測出已有的入侵模式，必須不斷地對新出現(xiàn)的入侵行為進行總結(jié)和歸納。在入侵檢測系統(tǒng)的配置方面，基于異常檢測技術(shù)的入侵檢測系統(tǒng)通常比基于誤用檢測技術(shù)的入侵檢測系統(tǒng)所做的工作要少很多，因為異常檢測需要對系統(tǒng)和用戶的行為輪廓進行不斷地學習更新，需要做大量的數(shù)據(jù)分析處理工作，要求管理員能夠總結(jié)出被保護系統(tǒng)的所有正常行為狀態(tài)，對系統(tǒng)的已知和期望行為進行全面的分析，因此配置難度相對較大。但是，有些基于誤用檢測技術(shù)的入侵檢測系統(tǒng)允許管理員對入侵特征數(shù)據(jù)庫進行修改，甚至允許管理員自己根據(jù)所發(fā)現(xiàn)的攻擊行為創(chuàng)建新的網(wǎng)絡(luò)入侵特征規(guī)則記錄，這種入侵檢測系統(tǒng)在系統(tǒng)配置方面的工作量會顯著增加。

5.3.4其他入侵檢測技術(shù)的研究

入侵檢測系統(tǒng)的研究方向之一是將各個領(lǐng)域的研究成果應(yīng)用于入侵檢測中，以形成更高效、更為智能化的檢測算法，提高入侵檢測的應(yīng)用價值。目前研究的重點有遺傳算法和免疫技術(shù)等。1．遺傳算法遺傳算法的基本原理是首先定義一組入侵檢測指令集，這些指令用于檢測出正?；蛘弋惓５男袨?。2．免疫技術(shù)免疫技術(shù)應(yīng)用了生物醫(yī)學中的免疫系統(tǒng)原理。處于網(wǎng)絡(luò)環(huán)境中的主機之所以受到入侵，是因為主機系統(tǒng)本身以及所運行的應(yīng)用程序存在著各種脆弱性因素，網(wǎng)絡(luò)攻擊者正是利用這些漏洞來侵入到主機系統(tǒng)中的；在生物系統(tǒng)中同樣存在各種脆弱性因素，因此會受到病毒、病菌的攻擊。而生物體擁有免疫系統(tǒng)來負責檢測和抵御入侵，免疫機制包括特異性免疫和非特異性免疫。特異性免疫針對于特定的某種病毒，非特異性免疫可用于檢測和抵制以前從未體驗過的入侵類型。5.4入侵檢測系統(tǒng)的設(shè)置

入侵檢測系統(tǒng)的設(shè)置主要分為以下幾個基本的步驟：（1）確定入侵檢測需求。（2）設(shè)計入侵檢測系統(tǒng)在網(wǎng)絡(luò)中的拓撲位置。（3）配置入侵檢測系統(tǒng)。（4）入侵檢測系統(tǒng)磨合。（5）入侵檢測系統(tǒng)的使用及自調(diào)節(jié)。這些步驟的操作流程如圖5-2所示。

在圖5-2中可以看到，在設(shè)置的過程中要進行多次的回溯，而在這幾次回溯中，第3、第4步之間的回溯過程會重復(fù)多次，通過不斷地調(diào)整入侵檢測系統(tǒng)的檢測配置，將誤報警率和漏報警率降到最低，使得入侵檢測系統(tǒng)能夠在最佳狀態(tài)下進行檢測分析。而在使用中，隨著網(wǎng)絡(luò)整體結(jié)構(gòu)的改變（包括增加新的應(yīng)用或服務(wù)器、檢測方式更新等），入侵檢測系統(tǒng)的設(shè)置也要進行相應(yīng)地修改，以保證能夠適應(yīng)新的變化。

5.5入侵檢測系統(tǒng)的部署

5.5.1基于網(wǎng)絡(luò)入侵檢測系統(tǒng)的部署

5.5.2基于主機入侵檢測系統(tǒng)的部署

5.5.3報警策略

5.5.1基于網(wǎng)絡(luò)入侵檢測系統(tǒng)的部署

入侵檢測的部署點可以劃分為4個位置：①DMZ區(qū)；②外網(wǎng)入口；③內(nèi)網(wǎng)主干；④關(guān)鍵子網(wǎng)，如圖5-3所示。

5.5.2基于主機入侵檢測系統(tǒng)的部署

在基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)部署并配置完成后，基于主機的入侵檢測系統(tǒng)的部署可以給系統(tǒng)提供高級別的保護。但是，將基于主機的入侵檢測系統(tǒng)安裝在企業(yè)中的每一個主機上是一種相當大的時間和資金的浪費，同時每一臺主機都需要根據(jù)自身的情況進行特別的安裝和設(shè)置，相關(guān)的日志和升級維護是巨大的。因此，基于主機的入侵檢測系統(tǒng)主要安裝在關(guān)鍵主機上，這樣可以減少規(guī)劃部署的花費，使管理的精力集中在最重要最需要保護的主機上。同時，為了便于對基于主機的入侵檢測系統(tǒng)的檢測結(jié)果進行及時檢查，需要對系統(tǒng)產(chǎn)生的日志進行集中。通過進行集中的分析、整理和顯示，可以大大減少對網(wǎng)絡(luò)安全系統(tǒng)日常維護的復(fù)雜性和難度。由于基于主機的入侵檢測系統(tǒng)本身需要占用服務(wù)器的計算和存儲資源，因此，要根據(jù)服務(wù)器本身的空閑負載能力選取不同類型的入侵檢測系統(tǒng)并進行專門的配置。

5.5.3報警策略

入侵檢測系統(tǒng)在檢測到入侵行為時，需要報警并進行相應(yīng)的反應(yīng)。如何報警和選取什么樣的報警，需要根據(jù)整個網(wǎng)絡(luò)的環(huán)境和安全的需求進行確定。網(wǎng)絡(luò)安全需求不同，入侵檢測報警也就存在不同的方式。如對于一般性服務(wù)的企業(yè)，報警主要集中在已知的有威脅的攻擊行為上；關(guān)鍵性服務(wù)企業(yè)則需要將盡可能多的報警進行記錄并對部分認定的報警進行實時的反饋。5.6入侵檢測系統(tǒng)的優(yōu)點與局限性

5.6.1入侵檢測系統(tǒng)的優(yōu)點

5.6.2入侵檢測系統(tǒng)的局限性

5.6.1入侵檢測系統(tǒng)的優(yōu)點

入侵檢測系統(tǒng)作為一個迅速崛起并受到廣泛承認的安全組件，有著很多方面的安全優(yōu)勢：可以檢測和分析系統(tǒng)事件以及用戶的行為?？梢詼y試系統(tǒng)設(shè)置的安全狀態(tài)。以系統(tǒng)的安全狀態(tài)為基礎(chǔ)，跟蹤任何對系統(tǒng)安全的修改操作。通過模式識別等技術(shù)從通信行