第4章安全審計(jì)與入侵檢測(cè)

28十二月2023第4章安全審計(jì)與入侵檢測(cè)4.1安全審計(jì)安全審計(jì)即是對(duì)安全方案中的功能提供持續(xù)的評(píng)估。安全審計(jì)可以為安全官員提供一組可進(jìn)行分析的管理數(shù)據(jù)，以發(fā)現(xiàn)在何處發(fā)生了違反安全方案的事件。為了保證信息系統(tǒng)安全可靠的運(yùn)行，需加強(qiáng)信息安全審計(jì)。4.1.1安全審計(jì)概念從總體上說(shuō)，安全審計(jì)是采用數(shù)據(jù)挖掘和數(shù)據(jù)倉(cāng)庫(kù)技術(shù)，實(shí)現(xiàn)在不同網(wǎng)絡(luò)環(huán)境中終端對(duì)終端的監(jiān)控和管理，必要時(shí)通過(guò)多種途徑向管理員發(fā)出警告或自動(dòng)采取排錯(cuò)措施，能對(duì)歷史數(shù)據(jù)進(jìn)行分析、處理和追蹤。利用安全審計(jì)結(jié)果，可調(diào)整安全政策，堵住出現(xiàn)的漏洞。安全審計(jì)日志利用安全審計(jì)日志進(jìn)行監(jiān)控是一種更為主動(dòng)的監(jiān)督管理形式，它也是一種檢測(cè)觸犯安全規(guī)定事件的手段。出于它自身的重要性，安全審計(jì)日志和監(jiān)控功能本身給安全帶來(lái)了額外的威脅，因此必須加強(qiáng)對(duì)這類信息的保護(hù)。對(duì)安全審計(jì)日志和監(jiān)控功能的使用也必須做審計(jì)記錄，否則蓄謀作案的內(nèi)部人員將有機(jī)可乘，逃脫審查。安全審計(jì)和報(bào)警安全報(bào)警的產(chǎn)生是檢測(cè)到任何符合已定義報(bào)警條件的安全相關(guān)事件的結(jié)果。安全審計(jì)和報(bào)警的實(shí)現(xiàn)，可能需要使用其他安全服務(wù)來(lái)支持安全審計(jì)和報(bào)警服務(wù)，并確保它們正確而有把握地運(yùn)行。安全審計(jì)和報(bào)警服務(wù)與其他安全服務(wù)的不同之處在于沒(méi)有單個(gè)的特定安全機(jī)制可以用于提供這種服務(wù)。安全審計(jì)跟蹤安全審計(jì)跟蹤是一種很有價(jià)值的安全機(jī)制，可以通過(guò)事后的安全審計(jì)來(lái)檢測(cè)和調(diào)查安全策略執(zhí)行的情況以及安全遭到破壞的情況。安全審計(jì)需要安全審計(jì)跟蹤與安全有關(guān)的記錄信息，以及從安全審計(jì)跟蹤中得到的分析和報(bào)告信息。日志或記錄被視為一種安全機(jī)制，而分析和報(bào)告生成則被視為一種安全管理功能。4.1.2安全審計(jì)目的安全審計(jì)與報(bào)警的目的是根據(jù)適當(dāng)安全機(jī)構(gòu)的安全策略，確保與開(kāi)放系統(tǒng)互聯(lián)的安全有關(guān)的事件得到處理，安全審計(jì)只在定義的安全策略范圍內(nèi)提供。具體的目的主要有：

輔助辨識(shí)和分析來(lái)經(jīng)授權(quán)的活動(dòng)或攻擊；幫助保證那些實(shí)體響應(yīng)行動(dòng)處理這些活動(dòng)；促進(jìn)開(kāi)發(fā)改進(jìn)的損傷控制處理程序；認(rèn)可與已建立的安全策略的一致性；報(bào)告那些可能與系統(tǒng)控制不相適應(yīng)的信息；辨識(shí)可能需要的對(duì)控制、策略和處理程序的改變。4.1.3安全審計(jì)內(nèi)容個(gè)人職能（IndividualAccountability）。審計(jì)跟蹤是管理人員用來(lái)維護(hù)個(gè)人職能的技術(shù)手段。事件重建（ReconstructionofEvents）。在發(fā)生故障后，審計(jì)跟蹤可以用于重建事件和數(shù)據(jù)恢復(fù)。入侵檢測(cè)（IntrusionDetection）。審計(jì)跟蹤記錄可以用來(lái)協(xié)助入侵檢測(cè)工作。故障分析（ProblemAnalysis）。審計(jì)跟蹤可以用于實(shí)時(shí)審計(jì)或監(jiān)控。4.1.4安全審計(jì)分類和過(guò)程安全審計(jì)分類按照審計(jì)對(duì)象分類：①網(wǎng)絡(luò)審計(jì)；②主機(jī)審計(jì)；③應(yīng)用系統(tǒng)審計(jì)。按照審計(jì)方式分類：①人工審計(jì)；②半自動(dòng)審計(jì)；③智能審計(jì)。審計(jì)過(guò)程的實(shí)現(xiàn)：

第一步，收集審計(jì)事件，產(chǎn)生審計(jì)記錄；第二步，根據(jù)記錄進(jìn)行安全事件的分析；第三步，采取處理措施。審計(jì)范圍包括操作系統(tǒng)和各種應(yīng)用程序。審計(jì)的工作流程根據(jù)相應(yīng)的審計(jì)條件判斷事件是否是審計(jì)事件。對(duì)審計(jì)事件的內(nèi)容按日志的模式記錄到審計(jì)日志中。對(duì)滿足報(bào)警條件的事件向?qū)徲?jì)員發(fā)送報(bào)警信息并記錄其內(nèi)容。當(dāng)事件在一定時(shí)間內(nèi)頻繁發(fā)生，滿足逐出系統(tǒng)的條件值時(shí)，則將引起該事件的用戶逐出系統(tǒng)并記錄其內(nèi)容。審計(jì)員可以查詢、檢索審計(jì)日志以形成審計(jì)報(bào)告。4.1.5審計(jì)日志管理審計(jì)日志是記錄信息系統(tǒng)安全狀態(tài)和問(wèn)題的依據(jù)，各級(jí)信息系統(tǒng)必須制定保存和調(diào)閱審計(jì)日志的管理制度。忽視日志管理很快會(huì)變成嚴(yán)重的問(wèn)題，日志管理是確保記錄長(zhǎng)期穩(wěn)定和有用的過(guò)程。

日志的內(nèi)容基于安全觀點(diǎn)考慮，理想的日志應(yīng)該包括全部與數(shù)據(jù)、程序以及與系統(tǒng)資源相關(guān)事件的記錄。實(shí)際上，這樣的日志只能適用于某些有特殊需要的系統(tǒng)，因?yàn)樗冻龅拇鷥r(jià)太大，因此，最好根據(jù)系統(tǒng)的安全目標(biāo)和操作環(huán)境單獨(dú)設(shè)計(jì)日志。日志中的典型信息列舉如下：事件的性質(zhì)；全部相關(guān)組件的標(biāo)識(shí)；有關(guān)事件的信息。日志的作用當(dāng)雇員涉嫌欺騙、貪污或有其他非法使用系統(tǒng)的行為時(shí)，日志可以為調(diào)查處理工作提供有效的證明。日志還可以作為責(zé)任認(rèn)定的依據(jù)，當(dāng)發(fā)生責(zé)任糾紛時(shí)，查閱日志不失是一種好方法。另外，日志作為系統(tǒng)運(yùn)行記錄集，對(duì)分析系統(tǒng)畫(huà)了情況、排除故障和提高效率都會(huì)起到很好的幫助作用。日志的管理方法日志管理最典型的方法是日志輪轉(zhuǎn)，即將舊的、已寫(xiě)滿的日志文件移到一邊，新的空日志文件占用它們的位置。正確輪轉(zhuǎn)日志以后，還必須注意備份。經(jīng)常是已經(jīng)發(fā)現(xiàn)了攻擊，要回過(guò)頭來(lái)看看攻擊者還要試圖做什么。要完成這一點(diǎn)，需要對(duì)日志做索引；需要滾動(dòng)舊的日志以離線存儲(chǔ)；需要檢索離線日志，并盡可能快地找出合適的日志項(xiàng)。4.1.6安全審計(jì)系統(tǒng)的組成、功能與特點(diǎn)1．安全審計(jì)系統(tǒng)的組成典型的安全審計(jì)系統(tǒng)包括：事件辨別器：提供事件的初始分析，并決定是否把該事件傳送給審計(jì)記錄器或報(bào)警處理器；事件記錄器：將接受來(lái)的消息生成審計(jì)記錄，并把此記錄存入一個(gè)安全審計(jì)跟蹤；報(bào)警處理器：產(chǎn)生一個(gè)審計(jì)消息，同時(shí)產(chǎn)生合適的行動(dòng)以響應(yīng)一個(gè)安全報(bào)警；審計(jì)分析器：檢查安全審計(jì)跟蹤，生成安全報(bào)警和安全審計(jì)消息；審計(jì)跟蹤驗(yàn)證器：從安全審計(jì)跟蹤產(chǎn)生出安全審計(jì)報(bào)告；審計(jì)提供器：按照某些準(zhǔn)則提供審計(jì)記錄；審計(jì)歸檔器：將安全審計(jì)跟蹤歸檔；審計(jì)跟蹤收集器：將一個(gè)分布式安全審計(jì)跟蹤的記錄匯集成一個(gè)安全審計(jì)跟蹤；審計(jì)調(diào)度器：將分布式安全審計(jì)跟蹤的某些部分或全部傳輸?shù)皆搶徲?jì)調(diào)度器。2．安全審計(jì)系統(tǒng)的基本功能內(nèi)容審計(jì)系統(tǒng)。內(nèi)容審計(jì)系統(tǒng)專用于防止非法信息惡意傳播，避免國(guó)家機(jī)密、商業(yè)信息、科研成果泄漏的產(chǎn)品；并可實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)資源使用情況，提高整體工作效率。該系統(tǒng)一般具有如下功能：

①對(duì)用戶的網(wǎng)絡(luò)行為監(jiān)控、網(wǎng)絡(luò)傳輸內(nèi)容審計(jì)②掌握網(wǎng)絡(luò)使用情況，提高工作效率③網(wǎng)絡(luò)傳輸信息的實(shí)時(shí)采集、海量存儲(chǔ)、統(tǒng)計(jì)分析④網(wǎng)絡(luò)行為后期取證，對(duì)網(wǎng)絡(luò)潛在威脅者予以威懾安全審計(jì)系統(tǒng)的基本功能（續(xù)）日志審計(jì)系統(tǒng)。日志審計(jì)系統(tǒng)為不同的網(wǎng)設(shè)備及系統(tǒng)提供了統(tǒng)一的日志管理分析平臺(tái)，打破了組織中不同設(shè)備及系統(tǒng)之間存在的信息鴻溝。該系統(tǒng)一般具有如下功能：①全面支持安全設(shè)備（如防火墻，IDS、AV）、網(wǎng)絡(luò)設(shè)備（如Router、Switch）、應(yīng)用系統(tǒng)（如WEB、Mail、Ftp、Database）、操作系統(tǒng)（如Windows、Linux、Unix）等多種產(chǎn)品及系統(tǒng)日志數(shù)據(jù)的收集和分析。②幫助管理員對(duì)網(wǎng)絡(luò)事件進(jìn)行深度的挖掘分析，系統(tǒng)提供多達(dá)300多種的報(bào)表模板，支持管理員從不同角度進(jìn)行網(wǎng)絡(luò)事件的可視化分析。同時(shí)系統(tǒng)還支持對(duì)網(wǎng)絡(luò)設(shè)備、主機(jī)、系統(tǒng)應(yīng)用、多種網(wǎng)絡(luò)服務(wù)的全面監(jiān)視。③提供全局安全視圖，幫助管理員發(fā)現(xiàn)網(wǎng)絡(luò)、系統(tǒng)及應(yīng)用中存在的安全漏洞和隱患，并進(jìn)行不斷改進(jìn)。④可自定義安全事件的危險(xiǎn)級(jí)別，并實(shí)現(xiàn)基于EMAIL，鈴聲、手機(jī)短信等多種響應(yīng)方式。3．安全審計(jì)系統(tǒng)的特點(diǎn)具有Client/Server結(jié)構(gòu)，便于不同級(jí)別的管理員通過(guò)客戶端，針對(duì)不同的業(yè)務(wù)網(wǎng)段進(jìn)行審計(jì)工作。力求得到被審計(jì)網(wǎng)絡(luò)中的硬/軟件資源的使用信息，使管理人員以最小的代價(jià)、最高的效率得到網(wǎng)絡(luò)中資源的使用情況，從而制定網(wǎng)絡(luò)維護(hù)和升級(jí)方案。審計(jì)單元向?qū)徲?jì)中心匯報(bào)工作以及審計(jì)中心向下一級(jí)部門索取審計(jì)數(shù)據(jù)。提供實(shí)時(shí)監(jiān)控功能。事后的取證、分析。使用歷史記錄可以取得特定工作站、時(shí)間段或基于其他特定系統(tǒng)參數(shù)下，主機(jī)、服務(wù)器和網(wǎng)絡(luò)的使用信息；基于這些歷史記錄可以進(jìn)行某些統(tǒng)計(jì)、分析操作?？勺詣?dòng)進(jìn)行審計(jì)工作，降低管理員工作壓力。4.2入侵檢測(cè)入侵檢測(cè)是安全審計(jì)的重要內(nèi)容之一，是網(wǎng)絡(luò)安全防護(hù)的重要組成部分。入侵檢測(cè)技術(shù)是一種主動(dòng)保護(hù)自己的網(wǎng)絡(luò)和系統(tǒng)免遭非法攻擊的網(wǎng)絡(luò)安全技術(shù)。它從計(jì)算機(jī)系統(tǒng)或者網(wǎng)絡(luò)中收集、分析信息，檢測(cè)任何企圖破壞計(jì)算機(jī)資源的完整性（Integrity）、機(jī)密性（Confidentiality）和可用性（Availability）的行為，即查看是否有違反安全策略的行為和遭到攻擊的跡象，并做出相應(yīng)的反應(yīng)。4.2.1入侵檢測(cè)概述1．入侵檢測(cè)概念入侵是指任何企圖危機(jī)資源的完整性、機(jī)密性和可用性的活動(dòng)，不僅包括發(fā)起攻擊的人取得超出合法范圍的系統(tǒng)控制權(quán)，也包括收集漏洞信息，造成拒絕服務(wù)等對(duì)計(jì)算機(jī)系統(tǒng)產(chǎn)生危害的行為。入侵檢測(cè)（IntrusionDetection）的定義是指通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術(shù)。入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)IDS（IntrusionDetectionSystem）是試圖實(shí)現(xiàn)檢測(cè)入侵行為的計(jì)算機(jī)系統(tǒng)，包含計(jì)算機(jī)軟件和硬件的組合。入侵檢測(cè)系統(tǒng)具有更多的智能，對(duì)系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)控，獲取系統(tǒng)的審計(jì)數(shù)據(jù)或網(wǎng)絡(luò)數(shù)據(jù)包，然后將得到的數(shù)據(jù)進(jìn)行分析，并判斷系統(tǒng)或網(wǎng)絡(luò)是否出現(xiàn)異?；蛉肭中袨?，一旦發(fā)現(xiàn)異?；蛉肭智闆r，發(fā)出報(bào)警并采取相應(yīng)的保護(hù)措施。入侵檢測(cè)是一種動(dòng)態(tài)的網(wǎng)絡(luò)安全技術(shù)它利用各種不同類型的引擎，實(shí)時(shí)或定期的對(duì)網(wǎng)絡(luò)中相關(guān)的數(shù)據(jù)源進(jìn)行分析，依照引擎對(duì)特殊的數(shù)據(jù)或事件的認(rèn)識(shí)，將其中具有威脅性的部分提取出來(lái)，并觸發(fā)響應(yīng)機(jī)制。入侵檢測(cè)的動(dòng)態(tài)性反映在入侵檢測(cè)的實(shí)時(shí)性，對(duì)網(wǎng)絡(luò)環(huán)境的變化具有一定程度上的自適應(yīng)性，這是以往靜態(tài)安全技術(shù)無(wú)法具有的。2．入侵檢測(cè)原理模型Denning模型圖4-1Denning入侵檢測(cè)模型上圖模型中包含6個(gè)主要部分：①實(shí)體（Subjects）：在目標(biāo)系統(tǒng)上活動(dòng)的實(shí)體，如用戶。②對(duì)象（Objects）：指系統(tǒng)資源，如文件、設(shè)備、命令等。③審計(jì)記錄（Auditrecords）：由主體、活動(dòng)（Action）、異常條件（Exception-Condition）、資源使用狀況（Resource-Usage）和時(shí)間戳（Time-Stamp）等組成。④活動(dòng)檔案（ActiveProfile）：即系統(tǒng)正常行為模型，保存系統(tǒng)正?；顒?dòng)的有關(guān)信息。⑤異常記錄（AnomalyRecord）：由事件、時(shí)間戳和審計(jì)記錄組成，表示異常事件的發(fā)生情況。⑥活動(dòng)規(guī)則（ActiveRule）：判斷是否為入侵的準(zhǔn)則及相應(yīng)要采取的行動(dòng)。2．入侵檢測(cè)原理模型(續(xù))CIDF模型圖4-2CIDF入侵檢測(cè)模型2．入侵檢測(cè)原理模型(續(xù))上圖所示的模型中，入侵檢測(cè)系統(tǒng)分為4個(gè)基本組件：①事件產(chǎn)生器的任務(wù)是從入侵檢測(cè)系統(tǒng)之外的計(jì)算環(huán)境中收集事件，但并不分析它們，并將這些事件轉(zhuǎn)換成CIDF的GIDO格式傳送給其他組件；②事件分析器分析從其他組件收到的GIDO，并將產(chǎn)生的新的GIDO再傳送給其他組件；③事件數(shù)據(jù)庫(kù)用來(lái)存儲(chǔ)GIDO，以備系統(tǒng)需要的時(shí)候使用；④響應(yīng)單元處理收到的GIDO，并根據(jù)處理結(jié)果，采取相應(yīng)的措施，如殺死相關(guān)進(jìn)程、將連接復(fù)位、修改文件權(quán)限等。2．入侵檢測(cè)原理模型(續(xù))3．入侵響應(yīng)機(jī)制入侵響應(yīng)是入侵檢測(cè)技術(shù)的配套技術(shù)，一般的入侵檢測(cè)系統(tǒng)會(huì)同時(shí)使用這兩種技術(shù)。入侵響應(yīng)技術(shù)可分為主動(dòng)響應(yīng)和被動(dòng)響應(yīng)兩種類型。主動(dòng)響應(yīng)和被動(dòng)響應(yīng)并不是相互排斥的。不管使用哪一種響應(yīng)機(jī)制，作為任務(wù)的一個(gè)重要部分，入侵檢測(cè)系統(tǒng)應(yīng)該總能以日志的形式記錄下檢測(cè)結(jié)果。（1）主動(dòng)響應(yīng)主動(dòng)響應(yīng)，即檢測(cè)到入侵后立即采取行動(dòng)。主動(dòng)響應(yīng)有兩種形式：一種是由用戶驅(qū)動(dòng)的，一種是由系統(tǒng)本身自動(dòng)執(zhí)行的。對(duì)入侵者采取反擊行動(dòng)、修正系統(tǒng)環(huán)境和收集盡可能多的信息是主動(dòng)響應(yīng)的基本手段。對(duì)入侵者采取反擊行動(dòng)警告攻擊者、跟蹤攻擊者、斷開(kāi)危險(xiǎn)連接和對(duì)攻擊者的攻擊是最嚴(yán)厲的一種主動(dòng)反擊手段。這種響應(yīng)方法有一定的風(fēng)險(xiǎn)：

被確認(rèn)為攻擊你的系統(tǒng)的源頭系統(tǒng)很可能是黑客的另一個(gè)犧牲品。

攻擊源的IP地址欺騙也是常有的事。簡(jiǎn)單的反擊可能會(huì)惹起對(duì)手更大的攻擊。反擊會(huì)使你自己冒違法犯罪的風(fēng)險(xiǎn)。

修正系統(tǒng)環(huán)境修正系統(tǒng)環(huán)境較直接采取反擊的主動(dòng)性要差一些，當(dāng)與提供調(diào)查支持的響應(yīng)結(jié)合在一起的時(shí)候，卻往往是一種更好的響應(yīng)方案。修正系統(tǒng)環(huán)境以堵住導(dǎo)致入侵發(fā)生的漏洞的概念與許多研究者所提出的關(guān)鍵系統(tǒng)耦合的觀點(diǎn)是相一致的。這種策略類似于實(shí)時(shí)過(guò)程控制系統(tǒng)的反饋機(jī)制，即目前系統(tǒng)處理過(guò)程的輸出將用來(lái)調(diào)整和優(yōu)化下一個(gè)處理過(guò)程。收集額外信息當(dāng)被保護(hù)的系統(tǒng)非常重要并且系統(tǒng)的主人想進(jìn)行配置改進(jìn)時(shí)，收集額外信息特別有用。以這種方式收集的信息對(duì)那些從事網(wǎng)絡(luò)安全威脅的趨勢(shì)分析的人來(lái)說(shuō)也是有價(jià)值的。這種信息對(duì)那些必須在有敵意威脅的環(huán)境里運(yùn)行或易遭受大量攻擊的系是特別重要的。（2）被動(dòng)響應(yīng)被動(dòng)響應(yīng)就是那些只向用戶提供信息而依靠用戶去采取下一步行動(dòng)的響應(yīng)。被動(dòng)響應(yīng)是很重要的，在一些情形下是系統(tǒng)惟一的響應(yīng)形式。以下列舉兩種常用的被動(dòng)響應(yīng)技術(shù)：告警和通知：告警顯示屏；告警和警報(bào)的遠(yuǎn)程通知。SNMP陷阱和插件（3）響應(yīng)報(bào)警策略

如何報(bào)警和選取什么樣的報(bào)警，需要根據(jù)整個(gè)網(wǎng)絡(luò)的環(huán)境和安全的需求進(jìn)行確定。不同的報(bào)警方式對(duì)網(wǎng)絡(luò)相關(guān)的設(shè)備有著不同的要求。由于報(bào)警的形式很多，大部分都需要其他網(wǎng)絡(luò)設(shè)備和服務(wù)的協(xié)助，因此只有保證相關(guān)的設(shè)備和服務(wù)可以和入侵檢測(cè)系統(tǒng)正確地通信，才可以保證報(bào)警信息的及時(shí)送達(dá)。這就要求入侵檢測(cè)系統(tǒng)存在與其他設(shè)備互動(dòng)的接口。4．入侵檢測(cè)系統(tǒng)的基本結(jié)構(gòu)

圖4-3入侵檢測(cè)系統(tǒng)的基本結(jié)構(gòu)入侵檢測(cè)系統(tǒng)的基本結(jié)構(gòu)通常由事件產(chǎn)生器、事件分析器、事件數(shù)據(jù)庫(kù)和響應(yīng)單元四個(gè)基本組件組成。從具體實(shí)現(xiàn)的角度看，入侵檢測(cè)系統(tǒng)一般包括硬件和軟件兩部分。5．入侵檢測(cè)系統(tǒng)的功能檢測(cè)和分析用戶與系統(tǒng)的活動(dòng)；審計(jì)系統(tǒng)配置和脆弱性；評(píng)估關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的一致性；識(shí)別反映已知攻擊的活動(dòng)模式；非正常活動(dòng)模式的統(tǒng)計(jì)分析；操作系統(tǒng)的審計(jì)跟蹤管理，通過(guò)用戶活動(dòng)的識(shí)別違規(guī)操作。6．入侵檢測(cè)系統(tǒng)的分類異常檢測(cè)和誤用檢測(cè)。根據(jù)入侵檢測(cè)所采用的技術(shù)，可以分為異常檢測(cè)和誤用檢測(cè)。異常檢測(cè)（AbnormalDetection）。異常入侵檢測(cè)是指能夠根據(jù)異常行為和使用計(jì)算機(jī)資源的情況檢測(cè)出來(lái)的入侵。

誤用檢測(cè)（MisuseDetection）。誤用入侵檢測(cè)（也稱濫用入侵檢測(cè)）是指利用已知系統(tǒng)和應(yīng)用軟件的弱點(diǎn)攻擊模式來(lái)檢測(cè)入侵。6．入侵檢測(cè)系統(tǒng)的分類（續(xù)）基于主機(jī)和網(wǎng)絡(luò)的檢測(cè)。按照入侵檢測(cè)輸入數(shù)據(jù)的來(lái)源和系統(tǒng)結(jié)構(gòu)，可以分為：基于主機(jī)的入侵檢測(cè)系統(tǒng)（HIDS）。該系統(tǒng)通過(guò)監(jiān)視和分析主機(jī)上的審計(jì)日志，來(lái)檢測(cè)主機(jī)上是否發(fā)生入侵行為。圖4-4基于主機(jī)的入侵檢測(cè)系統(tǒng)HIDS的優(yōu)點(diǎn)是可精確判斷入侵事件，并及時(shí)進(jìn)行反應(yīng)。缺點(diǎn)是會(huì)占用寶貴的主機(jī)資源。6．入侵檢測(cè)系統(tǒng)的分類（續(xù)）基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（NIDS）。該系統(tǒng)一般被動(dòng)地在共享網(wǎng)段上進(jìn)行偵聽(tīng)，通過(guò)對(duì)捕獲網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行分析，能夠檢測(cè)該網(wǎng)段上發(fā)生的網(wǎng)絡(luò)入侵。

圖4-5基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)這類系統(tǒng)的優(yōu)點(diǎn)是檢測(cè)速度快、隱蔽性好，不那么容易遭受攻擊，對(duì)主機(jī)資源消耗少，并且由于網(wǎng)絡(luò)協(xié)議是標(biāo)準(zhǔn)的，可以對(duì)網(wǎng)絡(luò)提供通用的保護(hù)而無(wú)須顧及異構(gòu)主機(jī)的不同架構(gòu)。但它只能監(jiān)視經(jīng)過(guò)本網(wǎng)段的活動(dòng)，且精確度較差，在交換網(wǎng)絡(luò)環(huán)境下難以配置，防欺騙能力也較弱。6．入侵檢測(cè)系統(tǒng)的分類（續(xù)）混合型入侵檢測(cè)系統(tǒng)。聯(lián)合使用基于主機(jī)和基于網(wǎng)絡(luò)這兩種方式能夠達(dá)到更好的檢測(cè)效果。分布式入侵檢測(cè)系統(tǒng)（DIDS）是一種典型的混合型入侵檢測(cè)系統(tǒng)，也可以僅僅是網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的分布式整合。圖4-6分布式入侵檢測(cè)系統(tǒng)框圖6．入侵檢測(cè)系統(tǒng)的分類（續(xù)）離線檢測(cè)和在線檢測(cè)。根據(jù)入侵檢測(cè)系統(tǒng)的工作方式分為離線檢測(cè)系統(tǒng)和在線檢測(cè)系統(tǒng)。離線檢測(cè)系統(tǒng)。在事后分析審計(jì)事件，從中檢查入侵活動(dòng)，是一種非實(shí)時(shí)工作的系統(tǒng)。在線檢測(cè)。實(shí)施聯(lián)機(jī)的檢測(cè)系統(tǒng)，它包含對(duì)實(shí)時(shí)網(wǎng)絡(luò)數(shù)據(jù)包分析，對(duì)實(shí)時(shí)主機(jī)審計(jì)分析。6．入侵檢測(cè)系統(tǒng)的分類（續(xù)）集中式、等級(jí)式和協(xié)作式。按照體系結(jié)構(gòu)，IDS可分為集中式、等級(jí)式和協(xié)作式3種。

集中式。等級(jí)式。協(xié)作式。7．入侵檢測(cè)系統(tǒng)性能準(zhǔn)確性：檢測(cè)系統(tǒng)具有低的假報(bào)警率和漏警率。執(zhí)行性：入侵檢測(cè)系統(tǒng)處理審計(jì)事件的比率。如果執(zhí)行性很低，則無(wú)法實(shí)現(xiàn)入侵檢測(cè)系統(tǒng)的實(shí)時(shí)檢測(cè)。完整性：如果一個(gè)入侵檢測(cè)系統(tǒng)不能檢測(cè)一個(gè)攻擊則認(rèn)為是不完整的。容錯(cuò)性：入侵檢測(cè)系統(tǒng)本身應(yīng)具備抵抗攻擊的能力。實(shí)時(shí)性：系統(tǒng)能盡快地察覺(jué)入侵企圖，以便制止和限制破壞。8．入侵檢測(cè)系統(tǒng)的優(yōu)點(diǎn)可以檢測(cè)和分析系統(tǒng)事件以及用戶的行為；可以測(cè)試系統(tǒng)設(shè)置的安全狀態(tài)；以系統(tǒng)的安全狀態(tài)為基礎(chǔ)，跟蹤任何對(duì)系統(tǒng)安全的修改操作；通過(guò)模式識(shí)別等技術(shù)從通信行為中檢測(cè)出已知的攻擊行為；可以對(duì)網(wǎng)絡(luò)通信行為進(jìn)行統(tǒng)計(jì)，并進(jìn)行檢測(cè)分析；管理操作系統(tǒng)認(rèn)證和日志機(jī)制并對(duì)產(chǎn)生的數(shù)據(jù)進(jìn)行分析處理；在檢測(cè)到攻擊的時(shí)候，通過(guò)適當(dāng)?shù)姆绞竭M(jìn)行適當(dāng)?shù)膱?bào)警處理；通過(guò)對(duì)分析引擎的配置對(duì)網(wǎng)絡(luò)的安全進(jìn)行評(píng)估和監(jiān)督；允許非安全領(lǐng)域的管理人員對(duì)重要的安全事件進(jìn)行有效的處理。9．入侵檢測(cè)系統(tǒng)的局限性入侵檢測(cè)系統(tǒng)無(wú)法彌補(bǔ)安全防御系統(tǒng)中的安全缺陷和漏洞。對(duì)于高負(fù)載的網(wǎng)絡(luò)或主機(jī)，很難實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)入侵的實(shí)時(shí)檢測(cè)、報(bào)警和迅速地進(jìn)行攻擊響應(yīng)。檢測(cè)具有一定的后滯性，而對(duì)于已知的報(bào)警，一些沒(méi)有明顯特征的攻擊行為也很難檢測(cè)到，或需要付出提高誤報(bào)警率的代價(jià)才能夠正確檢測(cè)。入侵檢測(cè)系統(tǒng)的主動(dòng)防御功能和聯(lián)動(dòng)防御功能會(huì)對(duì)網(wǎng)絡(luò)的行為產(chǎn)生影響，同樣也會(huì)成為攻擊者的目標(biāo)，實(shí)現(xiàn)以入侵檢測(cè)系統(tǒng)過(guò)敏自主防御為基礎(chǔ)的攻擊。9．入侵檢測(cè)系統(tǒng)的局限性（續(xù)）入侵檢測(cè)系統(tǒng)無(wú)法單獨(dú)防止攻擊行為的滲透，只能調(diào)整相關(guān)網(wǎng)絡(luò)設(shè)備的參數(shù)或人為地進(jìn)行處理。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)在純交換環(huán)境下無(wú)法正常工作，只有對(duì)交換環(huán)境進(jìn)行一定的處理。入侵檢測(cè)系統(tǒng)主要是對(duì)網(wǎng)絡(luò)行為進(jìn)行分析檢測(cè)，不能修正信息資源中存在的安全問(wèn)題。IDS系統(tǒng)本身還在迅速發(fā)展和變化，尚未成熟。9．入侵檢測(cè)系統(tǒng)的局限性（續(xù)）現(xiàn)有的IDS系統(tǒng)錯(cuò)報(bào)率（或稱為虛警率）偏高，嚴(yán)重干擾了檢測(cè)結(jié)果。事件響應(yīng)與恢復(fù)機(jī)制不完善。IDS與其他安全技術(shù)的協(xié)作性不夠。IDS缺少對(duì)檢測(cè)結(jié)果做進(jìn)一步說(shuō)明和分析的輔助工具，這妨礙了用戶進(jìn)一步理解看到的數(shù)據(jù)或圖表。缺少防御功能檢測(cè)，作為一種被動(dòng)且功能有限的技術(shù)，缺乏主動(dòng)防御功能。IDS缺乏國(guó)際統(tǒng)一的標(biāo)準(zhǔn)9．入侵檢測(cè)系統(tǒng)的局限性（續(xù)）產(chǎn)品適應(yīng)能力低大型網(wǎng)絡(luò)的管理問(wèn)題處理速度上的瓶頸拒絕服務(wù)攻擊插入和規(guī)避10．入侵檢測(cè)系統(tǒng)與防火墻的區(qū)別“防火墻”是在被保護(hù)網(wǎng)絡(luò)周邊建立的、分隔被保護(hù)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的系統(tǒng)。采用防火墻技術(shù)的前提條件是：被保護(hù)的網(wǎng)絡(luò)具有明確定義的邊界和服務(wù)；網(wǎng)絡(luò)安全的威脅僅來(lái)自外部網(wǎng)絡(luò)。但僅僅使用防火墻保障網(wǎng)絡(luò)安全是遠(yuǎn)遠(yuǎn)不夠的。10.入侵檢測(cè)系統(tǒng)與防火墻的區(qū)別（續(xù)）入侵檢測(cè)是防火墻的合理補(bǔ)充，為網(wǎng)絡(luò)安全提供實(shí)時(shí)的入侵檢測(cè)并采取相應(yīng)的防護(hù)手段。入侵檢測(cè)被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下，能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。IDS一般不是采取預(yù)防的措施以防止入侵事件的發(fā)生，入侵檢測(cè)作為安全技術(shù)其主要目的在于：識(shí)別入侵者；識(shí)別入侵行為；檢測(cè)和監(jiān)視已成功的安全突破；為對(duì)抗入侵，及時(shí)提供重要信息，阻止事件的發(fā)生和事態(tài)的擴(kuò)大。4.2.2侵檢測(cè)方法1．異常檢測(cè)異常檢測(cè)指根據(jù)使用者的行為或資源使用狀況來(lái)判斷是否發(fā)生入侵事件，而不依賴于具體行為是否出現(xiàn)來(lái)檢測(cè)，所以也被稱為基于行為的檢測(cè)。異常檢測(cè)的主要思想是：根據(jù)系統(tǒng)的正?；顒?dòng)建立一個(gè)特征文件，通過(guò)統(tǒng)計(jì)那些不同于我們已建立的特征文件的所有系統(tǒng)狀態(tài)來(lái)識(shí)別入侵。異?；顒?dòng)和入侵活動(dòng)圖4-7異?；顒?dòng)集和入侵活動(dòng)集之間的關(guān)系從圖中可以看出，異常檢測(cè)的關(guān)鍵問(wèn)題是如何選擇合適的域值，使得誤報(bào)和漏報(bào)減少，以及如何選擇選擇所要監(jiān)視的衡量特征。（1）概率統(tǒng)計(jì)方法該方法是根據(jù)異常檢測(cè)器觀察主體的活動(dòng)，產(chǎn)生描述這些活動(dòng)行為的參數(shù)。通過(guò)比較當(dāng)前的參數(shù)與已存儲(chǔ)的參數(shù)判斷異常行為，并且已存儲(chǔ)的參數(shù)需要根據(jù)審計(jì)記錄情況不斷地加以更新。設(shè)M1，M2，…，Mn為參數(shù)集的特征變量，這些變量可以是CPU的使用、I/O的使用、使用的地點(diǎn)及時(shí)間、郵件使用、文件訪問(wèn)數(shù)量、網(wǎng)絡(luò)會(huì)話時(shí)間等。用S1，S2，…，Sn分別表示參數(shù)集中變量M1，M2，…，Mn的異常測(cè)量值。這些異常測(cè)量值的平方后加權(quán)計(jì)算得出參數(shù)異常值：

ai>0

概率統(tǒng)計(jì)的特點(diǎn)概率統(tǒng)計(jì)的優(yōu)越性在于所應(yīng)用的技術(shù)方法成熟。但其也有一些不足：

①統(tǒng)計(jì)測(cè)量對(duì)事件的發(fā)生的次序不敏感，單純的統(tǒng)計(jì)入侵檢測(cè)系統(tǒng)可能不會(huì)發(fā)覺(jué)事件當(dāng)中互相依次相連的入侵行為；②單純的統(tǒng)計(jì)入侵檢測(cè)系統(tǒng)將逐漸的訓(xùn)練成單一點(diǎn)，要么行為是異常的，要么是正常的；③難以確定異常閾值，閾值設(shè)置偏低或偏高均會(huì)導(dǎo)致誤報(bào)；④統(tǒng)計(jì)異常檢測(cè)行為類型模型是有限的。（2）預(yù)測(cè)模式生成方法該方法的假設(shè)條件是事件序列不是隨機(jī)的而是遵循可辨別的模式，它的特點(diǎn)是考慮了事件的序列及相互聯(lián)系。它利用動(dòng)態(tài)的規(guī)則集來(lái)檢測(cè)入侵。這些規(guī)則由系統(tǒng)的歸納引擎根據(jù)已發(fā)生事件的情況產(chǎn)生，然后得到預(yù)測(cè)將要發(fā)生的事件的概率，歸納引擎為每一種事件設(shè)置可能發(fā)生的概率。其歸納出來(lái)的規(guī)則一般可寫(xiě)成如下形式：E1，…，Ek:(Ek+1,P(Ek+1)),…,(En,P(En))如果后來(lái)發(fā)生的事件Ek+1，…，En的統(tǒng)計(jì)結(jié)果與預(yù)測(cè)相比很不正常，則該事件便被標(biāo)志為異常行為。預(yù)測(cè)模式生成方法的特點(diǎn)預(yù)測(cè)模式生成方法的主要優(yōu)點(diǎn)是：

基于規(guī)則的順序模式能夠檢測(cè)出傳統(tǒng)方法所難以檢測(cè)的異?；顒?dòng)；用該方法建立起來(lái)的系統(tǒng)，具有很強(qiáng)的適應(yīng)變化能力，這是由于低質(zhì)量的模式不斷被刪除，最終留下來(lái)的是高質(zhì)量的模式；可以容易檢測(cè)到企圖在學(xué)習(xí)階段訓(xùn)練系統(tǒng)的入侵者；實(shí)時(shí)性高，可以在收到審計(jì)事件幾秒鐘內(nèi)對(duì)異?；顒?dòng)作出檢測(cè)并產(chǎn)生報(bào)警。該方法的不足之處在于不在規(guī)則庫(kù)中的入侵將會(huì)漏報(bào)。

（3）神經(jīng)網(wǎng)絡(luò)方法神經(jīng)網(wǎng)絡(luò)方法的基本思想就是用一系列信息單元訓(xùn)練神經(jīng)網(wǎng)絡(luò)中的神經(jīng)單元，該信息單元指的是命令。若神經(jīng)網(wǎng)絡(luò)被訓(xùn)練成能預(yù)測(cè)用戶輸入命令序列集合，則神經(jīng)網(wǎng)絡(luò)就構(gòu)成用戶的輪廓框架。當(dāng)用這個(gè)神經(jīng)網(wǎng)絡(luò)預(yù)測(cè)不出某用戶正確的后繼命令，即在某種程度上表明了用戶行為與其輪廓框架的偏離，這是由異常事件發(fā)生，以此就能檢測(cè)異常入侵。

神經(jīng)網(wǎng)絡(luò)方法的特點(diǎn)這種方法的優(yōu)點(diǎn)是：不依賴于任何有關(guān)數(shù)據(jù)種類的統(tǒng)計(jì)假設(shè)；具有較好的抗干擾能力；能自然的說(shuō)明各種影響輸出結(jié)果測(cè)量的相互關(guān)系。

其缺點(diǎn)是：網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)以及各元素的權(quán)重很難確定；在設(shè)計(jì)網(wǎng)絡(luò)的過(guò)程中，輸入層輸入的命令個(gè)數(shù)的大小難以選取。若設(shè)置太小，則工作就差；若設(shè)置太高，網(wǎng)絡(luò)中需要處理的數(shù)據(jù)就會(huì)太多，降低了網(wǎng)絡(luò)的效率。2．誤用檢測(cè)誤用檢測(cè)技術(shù)（MisuseDetection）也稱為基于知識(shí)的檢測(cè)技術(shù)或者模式匹配檢測(cè)技術(shù)。它的前提是假設(shè)所有的網(wǎng)絡(luò)攻擊行為和方法都具有一定的模式或特征，如果把以前發(fā)現(xiàn)的所有網(wǎng)絡(luò)攻擊的特征總結(jié)出來(lái)并建立一個(gè)入侵信息庫(kù)，那么入侵檢測(cè)系統(tǒng)可以將當(dāng)前捕獲到的網(wǎng)絡(luò)行為特征與入侵信息庫(kù)中的特征信息相比較，如果匹配，則當(dāng)前行為利被認(rèn)定為入侵行為。可以看出，如果說(shuō)異常檢測(cè)是量化的入侵檢測(cè)分析手段，那么模式匹配就是一種質(zhì)化的入侵檢測(cè)手段。（1）專家系統(tǒng)它將有關(guān)入侵的知識(shí)轉(zhuǎn)化為if-then結(jié)構(gòu)的規(guī)則，即將構(gòu)成入侵所要求的條件轉(zhuǎn)化為if部分，將發(fā)現(xiàn)入侵后采取的相應(yīng)措施轉(zhuǎn)化成then部分。在具體實(shí)現(xiàn)中，專家系統(tǒng)主要面臨以下問(wèn)題：全面性問(wèn)題；效率問(wèn)題。特征分析系統(tǒng)同專家系統(tǒng)一樣，特征分析也需要知道攻擊行為的具體知識(shí)。但是，攻擊方法的語(yǔ)義描述不是被轉(zhuǎn)化為檢測(cè)規(guī)則，而是在審計(jì)記錄中能直接找到的信息形式。這種方法的缺陷也和所有其他的濫用檢測(cè)方法一樣，即需要經(jīng)常為新發(fā)現(xiàn)的系統(tǒng)漏洞更新知識(shí)庫(kù)；另外，由于對(duì)不同操作系統(tǒng)平臺(tái)的具體攻擊方法可能不同，以及不同平臺(tái)的審計(jì)方式也可能不同，所以對(duì)特征分析檢測(cè)系統(tǒng)進(jìn)行構(gòu)造和維護(hù)的工作量都較大。（2）模型推理模型推理是指結(jié)合攻擊腳本推理出入侵行為是否出現(xiàn)。其中有關(guān)攻擊者行為的知識(shí)被描述為：攻擊者目的，攻擊者達(dá)到此目的的可能行為步驟，以及對(duì)系統(tǒng)的特殊使用等。根據(jù)這些知識(shí)建立攻擊腳本庫(kù)，每一腳本都由一系列攻擊行為組成。模型推理的檢測(cè)原理檢測(cè)時(shí)先將這些攻擊腳本的子集看作系統(tǒng)正面臨的攻擊。然后通過(guò)一個(gè)稱為預(yù)測(cè)器的程序模塊根據(jù)當(dāng)前行為模式產(chǎn)生下一個(gè)需要驗(yàn)證的攻擊腳本子集，并將它傳給決策器。決策器收到信息后，根據(jù)這些假設(shè)的攻擊行為在審計(jì)記錄中可能出現(xiàn)的方式，將它們翻譯成與特定系統(tǒng)匹配的審計(jì)記錄格式。然后在審計(jì)記錄中尋找相應(yīng)信息來(lái)確認(rèn)或否認(rèn)這些攻擊模型推理的特點(diǎn)模型推理方法的優(yōu)越性有：對(duì)不確定性的推理有合理的數(shù)學(xué)理論基礎(chǔ)，同時(shí)決策器使得攻擊腳本可以與審計(jì)記錄的上下文無(wú)關(guān)。另外，這種檢測(cè)方法也減少了需要處理的數(shù)據(jù)量。但是創(chuàng)建入侵檢測(cè)模型的工作量比別的方法要大，在系統(tǒng)實(shí)現(xiàn)時(shí)，決策器如何有效地翻譯攻擊腳本也是一個(gè)問(wèn)題。（3）狀態(tài)轉(zhuǎn)換分析狀態(tài)轉(zhuǎn)換法將入侵過(guò)程看作一個(gè)行為序列，這個(gè)行為序列導(dǎo)致系統(tǒng)從初始狀態(tài)轉(zhuǎn)入被入侵狀態(tài)。分析時(shí)，首先針對(duì)每一種入侵方法確定系統(tǒng)的初始狀態(tài)和被入侵狀態(tài)，以及導(dǎo)致?tīng)顟B(tài)轉(zhuǎn)換的轉(zhuǎn)換條件。然后用狀態(tài)轉(zhuǎn)換圖來(lái)表示每一個(gè)狀態(tài)和特征事件，這些事件被集成于模型中，所以檢測(cè)時(shí)不需要一個(gè)個(gè)地查找審計(jì)記錄。但是，狀態(tài)轉(zhuǎn)換是針對(duì)事件序列分析，所以不善于分析過(guò)分復(fù)雜的事件，而且不能檢測(cè)與系統(tǒng)狀態(tài)無(wú)關(guān)的入侵。Petri網(wǎng)Petri網(wǎng)用于入侵行為分析是一種類似于狀態(tài)轉(zhuǎn)換圖分析的方法。利用Petri網(wǎng)的有利之處在于它能一般化、圖形化地表達(dá)狀態(tài)，并且簡(jiǎn)潔明了。圖4-8Petri網(wǎng)分析一分鐘4次登錄失?。?）特征分析特征分析誤用檢測(cè)與專家系統(tǒng)誤用檢測(cè)一樣，也需要搜集關(guān)于網(wǎng)絡(luò)入侵行為的各種知識(shí)。特征分析誤用檢測(cè)將入侵行為表示成一個(gè)事件序列或者轉(zhuǎn)換成某種可以直接在網(wǎng)絡(luò)數(shù)據(jù)包審計(jì)記錄中找到的數(shù)據(jù)樣板，而不進(jìn)行規(guī)則轉(zhuǎn)換，這樣可以直接從審計(jì)數(shù)據(jù)中提取相應(yīng)的數(shù)據(jù)與之匹配，因此不需要處理大量的數(shù)據(jù)，從而提高了運(yùn)行效率。（5）條件概率條件概率誤用檢測(cè)方法將網(wǎng)絡(luò)入侵方式看作一個(gè)事件序列，根據(jù)所觀測(cè)到的各種網(wǎng)絡(luò)事件的發(fā)生情況來(lái)推測(cè)入侵行為的發(fā)生。條件概率誤用檢測(cè)方法應(yīng)用貝葉斯定理對(duì)入侵進(jìn)行推理檢測(cè)，原理如下：事件序列表示為ES，先驗(yàn)概率為P（Intrusion），后驗(yàn)概率為P（ES｜Intrusion），事件出現(xiàn)的概率為P（ES），則P（Intrusion|ES）=P（ES|Intrusion）×P（Intrusion）/P（ES）可以計(jì)算出P（ES）＝（P（ES|Intrusion）-P（ES|Intrusson））×P（Intrusion）+P（ES|Intrusson）（6）鍵盤監(jiān)控鍵盤監(jiān)控誤用檢測(cè)方法假設(shè)每種網(wǎng)絡(luò)入侵行為都具有特定的擊鍵序列模式，入侵檢測(cè)系統(tǒng)監(jiān)視各個(gè)用戶的擊鍵模式，并將該模式與已有的入侵擊鍵模式相匹配，如果匹配成功就認(rèn)為是網(wǎng)絡(luò)入侵行為。這種方法的不足之處是如果操作系統(tǒng)沒(méi)有提供相應(yīng)的支持，則缺少可靠的方法來(lái)捕獲用戶的擊鍵行為，可能存在多種擊鍵方式表示同一種攻擊的情況，而且不能對(duì)擊鍵進(jìn)行語(yǔ)義分析，攻擊者使用命令的各種別名就很容易欺騙這種技術(shù)。此外，因?yàn)檫@種技術(shù)僅分析擊鍵行為，所以對(duì)于那些利用程序進(jìn)行自動(dòng)攻擊的行為無(wú)法檢測(cè)。誤用檢測(cè)技術(shù)的優(yōu)點(diǎn)檢測(cè)準(zhǔn)確度高；技術(shù)相對(duì)成熟；便于進(jìn)行系統(tǒng)防護(hù)；可以按功能劃分，縮小模式數(shù)據(jù)庫(kù)所涉及的模式量大小，也就是說(shuō)模式匹配具有很強(qiáng)的可分割性、獨(dú)立性。模式匹配具有很強(qiáng)的針對(duì)性，對(duì)已知的入侵方法檢測(cè)效率很高。誤用檢測(cè)技術(shù)的缺點(diǎn)不能檢測(cè)出新的入侵行為；完全依賴于入侵特征的有效性；通常不具備自學(xué)習(xí)能力，對(duì)新攻擊的檢測(cè)分析必須補(bǔ)充模式數(shù)據(jù)庫(kù)，維護(hù)特征庫(kù)的工作量巨大；難以檢測(cè)來(lái)自內(nèi)部用戶的攻擊；可測(cè)量性與性能都和模式數(shù)據(jù)庫(kù)的大小、體系結(jié)構(gòu)有關(guān)；可擴(kuò)展性差，沒(méi)有通用的模式規(guī)格說(shuō)明語(yǔ)言；攻擊行為轉(zhuǎn)化為模式比較困難，并且不具備統(tǒng)一性。3．異常檢測(cè)技術(shù)和誤用檢測(cè)技術(shù)的比較基于異常檢測(cè)技術(shù)的入侵檢測(cè)系統(tǒng)如果想檢測(cè)到所有的網(wǎng)絡(luò)入侵行為，必須掌握被保護(hù)系統(tǒng)已知行為和預(yù)期行為的所有信息。基于誤用檢測(cè)技術(shù)的入侵檢測(cè)系統(tǒng)只有擁有所有可能的入侵行為的先驗(yàn)知識(shí)，而且必須能識(shí)別各種入侵行為的過(guò)程細(xì)節(jié)或者每種入侵行為的特征模式，才能檢測(cè)到所有的入侵行為，該類入侵檢測(cè)系統(tǒng)只能檢測(cè)出已有的入侵模式，必須不斷地對(duì)新出現(xiàn)的入侵行為進(jìn)行總結(jié)和歸納。3．異常檢測(cè)技術(shù)和誤用檢測(cè)技術(shù)的比較（續(xù)）基于異常檢測(cè)技術(shù)的入侵檢測(cè)系統(tǒng)通常比基于誤用檢測(cè)技術(shù)的入侵檢測(cè)系統(tǒng)所做的工作要少很多，要求管理員能夠總結(jié)出被保護(hù)系統(tǒng)的所有正常行為狀態(tài)，對(duì)系統(tǒng)的已知和期望行為進(jìn)行全面的分析，因此配置難度相對(duì)較大。有些基于誤用檢測(cè)技術(shù)的入侵檢測(cè)系統(tǒng)允許管理員對(duì)入侵特征數(shù)據(jù)庫(kù)進(jìn)行修改，甚至允許管理員自己根據(jù)所發(fā)現(xiàn)的攻擊行為創(chuàng)建新的網(wǎng)絡(luò)入侵特征規(guī)則記錄，這種入侵檢測(cè)系統(tǒng)在系統(tǒng)配置方面的工作量會(huì)顯著增加。3．異常檢測(cè)技術(shù)和誤用檢測(cè)技術(shù)的比較（續(xù)）基于異常檢測(cè)技術(shù)的入侵檢測(cè)系統(tǒng)所輸出的檢測(cè)結(jié)果，通常是在對(duì)實(shí)際行為與行為輪廓進(jìn)行異常分析等相關(guān)處理后得出的，這類入侵檢測(cè)系統(tǒng)的檢測(cè)報(bào)告通常會(huì)比基于誤用檢測(cè)技術(shù)的入侵檢測(cè)系統(tǒng)具有更多的數(shù)據(jù)量。大多數(shù)基于誤用檢測(cè)技術(shù)的入侵檢測(cè)系統(tǒng)，是將當(dāng)前行為模式與已有行為模式進(jìn)行匹配后產(chǎn)生檢測(cè)結(jié)論，其輸出內(nèi)容是列舉出入侵行為的類型和名稱，以及提供相應(yīng)的處理建議。4．入侵檢測(cè)新技術(shù)遺傳算法遺傳算法的基本原理是首先定義一組入侵檢測(cè)指令集，這些指令用于檢測(cè)出正?；蛘弋惓５男袨?。指令中包含若干字符串，所有的指令在定義初期的檢測(cè)能力都很有限，入侵檢測(cè)系統(tǒng)對(duì)這些指令逐步地進(jìn)行訓(xùn)練，促使指令中的字符串片段發(fā)生重組，以生成新的字符串指令。再?gòu)男碌闹噶钪薪?jīng)過(guò)測(cè)試篩選出檢測(cè)能力最強(qiáng)的部分指令，對(duì)它們進(jìn)行下一輪的訓(xùn)練。如此反復(fù)，使檢測(cè)指令的檢測(cè)能力不斷提高。直到指令的檢測(cè)能力不會(huì)有明顯的提高，訓(xùn)練過(guò)程即可結(jié)束，此時(shí)這些指令已經(jīng)具有一定的檢測(cè)能力，入侵檢測(cè)系統(tǒng)可以使用它們進(jìn)行網(wǎng)絡(luò)入侵檢測(cè)。4．入侵檢測(cè)新技術(shù)（續(xù)）免疫技術(shù)

計(jì)算機(jī)免疫技術(shù)為入侵檢測(cè)提供了一個(gè)思路，即通過(guò)正常行為的學(xué)習(xí)來(lái)識(shí)別不符合常態(tài)的行為序列。當(dāng)系統(tǒng)的一個(gè)關(guān)鍵程序投入使用后，它的運(yùn)行情況一般變化不大，具有相對(duì)的穩(wěn)定性。因而可以利用系統(tǒng)進(jìn)程正常執(zhí)行軌跡中的系統(tǒng)調(diào)用短序列集，來(lái)構(gòu)建系統(tǒng)進(jìn)程正常執(zhí)行活動(dòng)的特征輪廓。由于利用這些關(guān)鍵程序的缺陷進(jìn)行攻擊時(shí)，對(duì)應(yīng)的進(jìn)程必然執(zhí)行一些不同于正常執(zhí)行時(shí)的代碼分支，因而就會(huì)出現(xiàn)關(guān)鍵程序特征輪廓中沒(méi)有的系統(tǒng)調(diào)用短序列。當(dāng)檢測(cè)到特征輪廓中不存在的系統(tǒng)調(diào)用序列的量達(dá)到某一條件后，就認(rèn)為被監(jiān)控的進(jìn)程正企圖攻擊系統(tǒng)。4．入侵檢測(cè)新技術(shù)（續(xù)）數(shù)據(jù)挖掘方法

數(shù)據(jù)挖掘是指從大型數(shù)據(jù)庫(kù)或數(shù)據(jù)倉(cāng)庫(kù)中提取人們感興趣的知識(shí)，這些知識(shí)是隱含的、事先未知的潛在有用信息。數(shù)據(jù)挖掘技術(shù)在入侵檢測(cè)中主要有兩個(gè)方向，一是發(fā)現(xiàn)入侵的規(guī)則、模式，與誤用檢測(cè)（或模式匹配）檢測(cè)方法相結(jié)合；二是用于異常檢測(cè)，找出用戶正常行為，創(chuàng)建用戶的正常行為庫(kù)。將數(shù)據(jù)挖掘技術(shù)應(yīng)用于入侵檢測(cè)是因?yàn)槠渚哂刑幚泶罅繑?shù)據(jù)記錄的能力。數(shù)據(jù)采掘異常檢測(cè)方法的優(yōu)勢(shì)在于處理數(shù)據(jù)的能力，缺點(diǎn)是系統(tǒng)整體運(yùn)行效率較低。4.2.3入侵檢測(cè)系統(tǒng)的部署根據(jù)所掌握的網(wǎng)絡(luò)檢測(cè)技術(shù)和安全需求，選取各種類型的入侵檢測(cè)系統(tǒng)。將多種入侵檢測(cè)系統(tǒng)按照預(yù)定的計(jì)劃進(jìn)行部署，確保每個(gè)入侵檢測(cè)系統(tǒng)都能夠在相應(yīng)部署點(diǎn)上發(fā)揮作用，共同防護(hù)，保障網(wǎng)絡(luò)的安全運(yùn)行。1．安全區(qū)域安全區(qū)域（zone）是防火墻產(chǎn)品所引入的一個(gè)安全概念，是防火墻產(chǎn)品區(qū)別于路由器的主要特征。當(dāng)一個(gè)數(shù)據(jù)流通過(guò)防火墻設(shè)備的時(shí)候，根據(jù)其發(fā)起方向的不同，所引起的操作是截然不同的。由于這種安全級(jí)別上的差別，再采用在接口上檢查安全策略的方式已經(jīng)不適用，將造成用戶在配置上的混亂。因此，防火墻提出了安全區(qū)域的概念。一個(gè)安全區(qū)域包括一個(gè)或多個(gè)接口的組合，具有一個(gè)安全級(jí)別。數(shù)據(jù)在屬于同一個(gè)安全區(qū)域的不同接口間流動(dòng)時(shí)不會(huì)引起任何檢查。安全區(qū)域劃分如圖4-9所示，一般防火墻上保留四個(gè)安全區(qū)域：圖4-9安全區(qū)域劃分接口、網(wǎng)絡(luò)、安全區(qū)域除了Local區(qū)域以外，在使用其他所有安全區(qū)域時(shí)，需要將安全區(qū)域分別與防火墻的特定接口相關(guān)聯(lián)，即將接口加人到區(qū)域。另外安全區(qū)域與各網(wǎng)絡(luò)的關(guān)聯(lián)遵循一些原則：內(nèi)部網(wǎng)絡(luò)應(yīng)安排在安全級(jí)別較高的區(qū)域；外部網(wǎng)絡(luò)應(yīng)安排在安全級(jí)別最低的區(qū)域；一些可對(duì)外部提供有條件服務(wù)的網(wǎng)絡(luò)應(yīng)安排在安全級(jí)別中等的DMZ區(qū)。入方向與出方向如圖4-10所示，不同級(jí)別的安全區(qū)域間的數(shù)據(jù)流動(dòng)都將激發(fā)防火墻進(jìn)行安全策略的檢查，并且可以為不同流動(dòng)方向設(shè)置不同的安全策略。域間的數(shù)據(jù)流分兩個(gè)方向：入方向（inbound）：數(shù)據(jù)由低級(jí)別的安全區(qū)域向高級(jí)別的安全區(qū)域傳輸?shù)姆较?；出方向（outbound）；數(shù)據(jù)由高級(jí)別的安全區(qū)域向低級(jí)別的安全區(qū)域傳輸?shù)姆较颉?．入侵檢測(cè)系統(tǒng)的部署基于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的部署?；诰W(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)可以在網(wǎng)絡(luò)的多個(gè)位置進(jìn)行部署?？傮w來(lái)說(shuō)，入侵檢測(cè)的部署點(diǎn)可以劃分為4個(gè)位置：①DMZ區(qū)、②外網(wǎng)入口、③內(nèi)網(wǎng)主干、④關(guān)鍵子網(wǎng)，如圖4-11所示。圖4-11入侵檢測(cè)系統(tǒng)部署位置圖DMZ區(qū)DMZ區(qū)部署點(diǎn)在DMZ區(qū)的總口上，這是入侵檢測(cè)器最常見(jiàn)的部署位置。在這里入侵檢測(cè)器可以檢測(cè)到所有針對(duì)用戶向外提供服務(wù)的服務(wù)器進(jìn)行攻擊的行為。在該部署點(diǎn)進(jìn)行入侵檢測(cè)有以下優(yōu)點(diǎn)：檢測(cè)來(lái)自外部的攻擊，這些攻擊已經(jīng)滲入過(guò)第一層防御體系；可以容易地檢測(cè)網(wǎng)絡(luò)防火墻的性能并找到配置策略中的問(wèn)題；DMZ區(qū)通常放置的是對(duì)內(nèi)外提供服務(wù)的重要的服務(wù)設(shè)備，因此，所檢測(cè)的對(duì)象集中于關(guān)鍵的服務(wù)設(shè)備；外網(wǎng)入口外網(wǎng)入口部署點(diǎn)位于防火墻之前，入侵檢測(cè)器在這個(gè)部署點(diǎn)可以檢測(cè)所有進(jìn)出防火墻外網(wǎng)口的數(shù)據(jù)。在這個(gè)位置上，入侵檢測(cè)器可以檢測(cè)到所有來(lái)自外部網(wǎng)絡(luò)的攻擊行為并進(jìn)行記錄，這些攻擊包括對(duì)內(nèi)部服務(wù)器的攻擊、對(duì)防火墻本身的攻擊以及內(nèi)網(wǎng)機(jī)器不正常的數(shù)據(jù)通信行為。在該部署點(diǎn)進(jìn)行入侵檢測(cè)有以下優(yōu)點(diǎn)：可以對(duì)針對(duì)目標(biāo)網(wǎng)絡(luò)的攻擊進(jìn)行計(jì)數(shù)、并記錄最為原始的攻擊數(shù)據(jù)包；可以記錄針對(duì)目標(biāo)網(wǎng)絡(luò)的攻擊類型。

內(nèi)網(wǎng)主干內(nèi)網(wǎng)主干部署點(diǎn)是最常用的部署位置，在這里入侵檢測(cè)器主要檢測(cè)內(nèi)網(wǎng)流出和經(jīng)過(guò)防火墻過(guò)濾后流入內(nèi)網(wǎng)的網(wǎng)絡(luò)數(shù)據(jù)。在這個(gè)位置，入侵檢測(cè)器可以檢測(cè)所有通過(guò)防火墻進(jìn)入的攻擊以及內(nèi)部網(wǎng)向外部的不正常操作，并且可以準(zhǔn)確地定位攻擊的源和目的，方便系統(tǒng)管理員進(jìn)行針對(duì)性的網(wǎng)絡(luò)管理。在該部署點(diǎn)進(jìn)行入侵檢測(cè)有以下優(yōu)點(diǎn)：檢測(cè)大量的網(wǎng)絡(luò)通信提高了檢測(cè)攻擊的識(shí)別可能；檢測(cè)內(nèi)網(wǎng)可信用戶的越權(quán)行為；實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)絡(luò)信息的檢測(cè)。關(guān)鍵子網(wǎng)通過(guò)對(duì)這些子網(wǎng)進(jìn)行安全檢測(cè)，可以檢測(cè)到來(lái)自內(nèi)部以及外部的所有不正常的網(wǎng)絡(luò)行為，這樣可以有效地保護(hù)關(guān)鍵的網(wǎng)絡(luò)不會(huì)被外部或沒(méi)有權(quán)限的內(nèi)部用戶侵入，造成關(guān)鍵數(shù)據(jù)泄漏或丟失。在該部署點(diǎn)進(jìn)行入侵檢測(cè)具有以下優(yōu)點(diǎn)：集中資源用于檢測(cè)針對(duì)關(guān)鍵系統(tǒng)和資源的來(lái)自企業(yè)內(nèi)外部的攻擊；將有限的資源進(jìn)行有效部署，獲取最高的使用價(jià)值。（2）基于主機(jī)入侵檢測(cè)系統(tǒng)的部署在基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)部署并配置完成后，基于主機(jī)的入侵檢測(cè)系統(tǒng)的部署可以給系統(tǒng)提供高級(jí)別的保護(hù)?；谥鳈C(jī)的入侵檢測(cè)系統(tǒng)主要安裝在關(guān)鍵主機(jī)上，這樣可以減少規(guī)劃部署的花費(fèi)，使管理的精力集中在最重要最需要保護(hù)的主機(jī)上。為了便于對(duì)基于主機(jī)的入侵檢測(cè)系統(tǒng)的檢測(cè)結(jié)果進(jìn)行及時(shí)檢查，需要對(duì)系統(tǒng)產(chǎn)生的日志進(jìn)行集中。通過(guò)進(jìn)行集中的分析、整理和顯示，可以大大減少對(duì)網(wǎng)絡(luò)安全系統(tǒng)日常維護(hù)的復(fù)雜性和難度。4.2.4入侵檢測(cè)技術(shù)發(fā)展1．入侵技術(shù)的發(fā)展

從最近幾年的發(fā)展趨勢(shì)看，入侵技術(shù)的發(fā)展與演化主要反映在下面幾個(gè)方面：

（1）入侵和攻擊的復(fù)雜化與綜合化（2）入侵主體的間接化（3）入侵和攻擊的規(guī)模擴(kuò)大（4）入侵和攻擊技術(shù)的分布化（5）攻擊對(duì)象的轉(zhuǎn)移2．入侵檢測(cè)技術(shù)的發(fā)展方向功能與性能提高改進(jìn)檢測(cè)方法，提高檢測(cè)準(zhǔn)確率，減少漏報(bào)和誤報(bào)檢測(cè)和防范分布式攻擊和拒絕服務(wù)攻擊實(shí)現(xiàn)入侵檢測(cè)系統(tǒng)與其他安全部件的互動(dòng)入侵檢測(cè)系統(tǒng)的標(biāo)準(zhǔn)化工作入侵檢測(cè)系統(tǒng)的測(cè)試和評(píng)3．下一代IDS關(guān)鍵技術(shù)（1）智能關(guān)聯(lián)智能關(guān)聯(lián)是將企業(yè)相關(guān)系統(tǒng)的信息(如主機(jī)特征信息)與網(wǎng)絡(luò)IDS檢測(cè)結(jié)構(gòu)相融合，從而減少誤警。智能關(guān)聯(lián)包括主動(dòng)關(guān)聯(lián)和被動(dòng)關(guān)聯(lián)。主動(dòng)關(guān)聯(lián)是通過(guò)掃描確定主機(jī)漏洞；被動(dòng)關(guān)聯(lián)是借助操作系統(tǒng)的指紋識(shí)別技術(shù)，即通過(guò)分析IP、TCP報(bào)頭信息識(shí)別主機(jī)上的操作系統(tǒng)。指紋識(shí)別技術(shù)IDS有時(shí)會(huì)出現(xiàn)誤報(bào)造成這種現(xiàn)象的原因是當(dāng)IDS檢測(cè)系統(tǒng)是否受到基于某種漏洞的攻擊時(shí)，沒(méi)有考慮主機(jī)的脆弱性信息。因此新一代IDS產(chǎn)品利用被動(dòng)指紋識(shí)別技術(shù)構(gòu)造一個(gè)主機(jī)信息庫(kù)，該技術(shù)通過(guò)對(duì)TCP、IP報(bào)頭中相關(guān)字段進(jìn)行識(shí)別來(lái)確定操作系統(tǒng)(OS)類型。被動(dòng)指紋識(shí)別技術(shù)的工作原理被動(dòng)指紋識(shí)別技術(shù)的實(shí)質(zhì)是匹配分析法。匹配雙方一個(gè)是來(lái)自源主機(jī)數(shù)據(jù)流中的TCP、IP報(bào)頭信息，另一個(gè)是特征數(shù)據(jù)庫(kù)中的目標(biāo)主機(jī)信息，通過(guò)將兩者做匹配來(lái)識(shí)別源主機(jī)發(fā)送的數(shù)據(jù)流中是否含有惡意信息。被動(dòng)指紋識(shí)別技術(shù)的工作流程指紋識(shí)別引擎檢查SYN報(bào)頭，提取特定標(biāo)識(shí)符；從特征庫(kù)中提取目標(biāo)主機(jī)上的操作系統(tǒng)信息；更新主機(jī)信息表；傳感器檢測(cè)到帶有惡意信息的數(shù)據(jù)報(bào)，在發(fā)出警告前先與主機(jī)信息表中的內(nèi)容進(jìn)行比較；傳感器發(fā)現(xiàn)該惡意數(shù)據(jù)報(bào)是針對(duì)Windows服務(wù)器的，而目標(biāo)主機(jī)是Linux服務(wù)器，所以IDS將抑制該告警的產(chǎn)生。被動(dòng)指紋識(shí)別技術(shù)的工作流程（續(xù)）圖4-12被動(dòng)指紋識(shí)別技術(shù)工作流程（2）告警泛濫抑制IDS產(chǎn)品使用告警泛濫抑制技術(shù)可以降低誤警率。所謂“告警泛濫”是指短時(shí)間內(nèi)產(chǎn)生的關(guān)于同一攻擊的告警。告警泛濫抑制技術(shù)是將一些規(guī)則或參數(shù)(包括警告類型、源IP、目的IP以及時(shí)間窗大小)融入到IDS傳感器中，使傳感器能夠識(shí)別告警飽和現(xiàn)象并實(shí)施抑制操作。（3）告警融合該技術(shù)是將不同傳感器產(chǎn)生的、具有相關(guān)性的低級(jí)別告警融合成更高級(jí)別的警告信息，這有助于解決誤報(bào)和漏報(bào)問(wèn)題。當(dāng)與低級(jí)別警告有關(guān)的條件或規(guī)則滿足時(shí)，安全管理員在IDS上定義的元告警相關(guān)性規(guī)則就會(huì)促使高級(jí)別警告產(chǎn)生。與警告相關(guān)性規(guī)則中定義的參數(shù)包括時(shí)間窗、事件數(shù)量、事件類型IP地址、端口號(hào)、事件順序。（4）可信任防御模型下一代IDS產(chǎn)品中，融入可信任防御模型后，將會(huì)對(duì)第一代IPS產(chǎn)品遇到的問(wèn)題(誤報(bào)導(dǎo)致合法數(shù)據(jù)被阻塞、丟棄；自身原因造成的拒絕服務(wù)攻擊泛濫；應(yīng)用級(jí)防御)有個(gè)圓滿的解決?？尚湃畏烙Ｐ椭胁捎玫臋C(jī)制：

①信任指數(shù)②拒絕服務(wù)攻擊（DoS）③應(yīng)用級(jí)攻擊

4．IDS發(fā)展趨勢(shì)在安全漏洞被發(fā)現(xiàn)與被攻擊之間的時(shí)間差不斷縮小的情況下，基于特征檢測(cè)匹配技術(shù)的IDS已經(jīng)力不從心。IDS出現(xiàn)了銷售停滯，但I(xiàn)DS不會(huì)立刻消失，而是將IDS將成為安全信息管理（SIM）框架的組成部分。在SIM框架中，IDS的作用可以通過(guò)檢測(cè)和報(bào)告技術(shù)得到加強(qiáng)。一些廠商通過(guò)將IDS報(bào)警與安全漏洞信息進(jìn)行關(guān)聯(lián)分析，著手解決IDS的缺陷。4.2.5與入侵檢測(cè)有關(guān)的新技術(shù)1．入侵容忍系統(tǒng)目前入侵檢測(cè)系統(tǒng)的性能（誤警率和檢測(cè)率）沒(méi)有得到大的提高，這主要是因?yàn)楝F(xiàn)有的檢測(cè)技術(shù)和響應(yīng)策略有根本的限制。我們的網(wǎng)絡(luò)系統(tǒng)也應(yīng)像人體一樣具有入侵容忍能力，成為入侵容忍系統(tǒng)（IntrusionTolerantSystem，簡(jiǎn)稱ITS）。（1）入侵容忍概述入侵容忍概念入侵容忍系統(tǒng)（也稱為容侵系統(tǒng)）是指網(wǎng)絡(luò)系統(tǒng)在遭受一定的入侵或攻擊的情況下，仍然能夠提供所希望的服務(wù)。網(wǎng)絡(luò)入侵容忍的主要研究?jī)?nèi)容有三點(diǎn)：第一是研究專注于對(duì)服務(wù)產(chǎn)生威脅的事件的入侵觸發(fā)器；第二是充分利用容錯(cuò)理論研究中的優(yōu)秀成果；第三是利用研究所得的入侵容忍理論和技術(shù)最終能構(gòu)建一個(gè)新的網(wǎng)絡(luò)安全信息系統(tǒng)。入侵容忍概念（續(xù)）所謂入侵容忍，就是入侵容忍（IntrusfonTolerance），也就是當(dāng)一個(gè)網(wǎng)絡(luò)系統(tǒng)遭受入侵，而一些安全技術(shù)都失效或者不能完全排除入侵所造成的影響時(shí)，入侵容忍就可以作為系統(tǒng)的最后一道防線，即使系統(tǒng)的某些組件遭受攻擊者的破壞，但整個(gè)系統(tǒng)仍能提供全部或者提供降級(jí)的服務(wù)。之所以把這種方案稱做入侵容忍，是因?yàn)樗腔谌肭謾z測(cè)和容錯(cuò)已做的工作的基礎(chǔ)之上的。入侵容忍概念（續(xù)）如圖4-13所示，它形象地說(shuō)明了保護(hù)、檢測(cè)、入侵容忍三者之間的關(guān)系。圖4-13入侵容忍示意圖容侵與容錯(cuò)的比較在一個(gè)先進(jìn)的容錯(cuò)系統(tǒng)中，處理某個(gè)錯(cuò)誤可能包含以下四個(gè)步驟：錯(cuò)誤檢測(cè)、破壞情況估計(jì)、重新配置和恢復(fù)。但是當(dāng)前的入侵檢測(cè)系統(tǒng)卻遠(yuǎn)遠(yuǎn)達(dá)不到這個(gè)程度，所以必須依靠入侵容忍系統(tǒng)來(lái)解決這個(gè)問(wèn)題。從上面的討論可以看出，入侵容忍（IntrusionTolerance，簡(jiǎn)稱容侵）是容錯(cuò)（FaultTolerance）的一種延伸。所以很多容錯(cuò)的方法都可以應(yīng)用到容侵中來(lái)。冗余是計(jì)算機(jī)容錯(cuò)中一個(gè)有效的方法。容侵與容錯(cuò)的比較（續(xù)）由于容錯(cuò)技術(shù)發(fā)展得很成熟，怎么將容錯(cuò)方法應(yīng)用到我們的入侵容忍中來(lái)，將是一個(gè)很大的挑戰(zhàn)。其難點(diǎn)主要表現(xiàn)在：容錯(cuò)技術(shù)大多著眼于植根在設(shè)計(jì)或?qū)崿F(xiàn)階段的意外故障或者惡意故障。這個(gè)著眼點(diǎn)允許對(duì)可預(yù)言的故障行為進(jìn)行一些合理的假設(shè)。而表現(xiàn)為受到安全威脅的系統(tǒng)組件的主動(dòng)入侵，它的行為完全是受到惡意控制，使得故障行為不可預(yù)知。主動(dòng)入侵也包括來(lái)自于系統(tǒng)組件外部的入侵，而在傳統(tǒng)的容錯(cuò)系統(tǒng)中根本就沒(méi)有考慮到?，F(xiàn)成的容錯(cuò)大多著眼于明確定義的硬軟件模塊，它們的故障模式相對(duì)容易定義。而考慮到大的分布式服務(wù)設(shè)施，每個(gè)組件具有復(fù)雜的功能，所以使得定義它們的故障模式更加困難。（2）入侵容忍體系結(jié)構(gòu)圖4-14入侵容忍體系結(jié)構(gòu)（2）入侵容忍體系結(jié)構(gòu)（續(xù)）代理服務(wù)器對(duì)正在進(jìn)行的請(qǐng)求，維持最新的和一致的狀態(tài)；服務(wù)環(huán)境的有效遷移；IDS和請(qǐng)求的負(fù)載控制。接收監(jiān)視器檢查結(jié)果的合理性；COTS服務(wù)器的可信狀態(tài)的監(jiān)視。投票監(jiān)視器在投票/裁決之前進(jìn)行復(fù)雜結(jié)果的轉(zhuǎn)換；決定結(jié)果的發(fā)布者（可以固定指定，也可以動(dòng)態(tài)選擇）。（2）入侵容忍體系結(jié)構(gòu)（續(xù)）審計(jì)控制進(jìn)行周期性診斷測(cè)試：驗(yàn)證審計(jì)記錄來(lái)檢測(cè)組件中的異常行為；維護(hù)所有系統(tǒng)組件的審計(jì)日志。自適應(yīng)性重新配置當(dāng)出現(xiàn)意外的或者惡意的故障時(shí)，通過(guò)重新配置系統(tǒng)來(lái)自動(dòng)執(zhí)行安全策略。此種體系結(jié)構(gòu)的缺陷。首先此種體系結(jié)構(gòu)中對(duì)于提供不同類型服務(wù)的服務(wù)器，沒(méi)有必要全互聯(lián)，因?yàn)槭沟孟到y(tǒng)的代價(jià)較高，并且實(shí)現(xiàn)復(fù)雜，卻沒(méi)有什么實(shí)際用途。（3）基于狀態(tài)遷移的入侵容忍模型圖4-15入侵容忍系統(tǒng)的狀態(tài)遷移圖（3）基于狀態(tài)遷移的入侵容忍模型（續(xù)）建立在此模型上的系統(tǒng)允許多個(gè)入侵容忍策略存在并且支持不同級(jí)別的安全需求，因?yàn)榇藸顟B(tài)轉(zhuǎn)換模型主要著眼于攻擊對(duì)系統(tǒng)服務(wù)所造成的影響，而不是攻擊過(guò)程本身。所以能夠處理以前未知的攻擊，只要這種攻擊對(duì)我們的服務(wù)所造成的影響與已知攻擊相似。此種模型存在一定的缺陷。首先，此模型只是一個(gè)靜態(tài)轉(zhuǎn)換，而不是動(dòng)態(tài)的，只能用于靜態(tài)的分析系統(tǒng)的狀態(tài)，而不能動(dòng)態(tài)的實(shí)時(shí)的分析。其次，此種模型只能處理單線程問(wèn)題，對(duì)于多線程服務(wù)，此模型不適合描述。（4）面向入侵容忍的秘密共享系統(tǒng)的設(shè)計(jì)圖4-16面向客侵的秘密共享系統(tǒng)（5）高性能的網(wǎng)絡(luò)入侵容忍機(jī)制與模型研究我們主要研究以下內(nèi)容：①高性能的秘密共享入侵容忍模型研究基于代數(shù)編碼的防欺詐的（t，n）秘密共享體制研究?；赗SA數(shù)字簽名的防欺詐的（t，n）