信息安全05入侵檢測技術(shù)

第5章入侵檢測技術(shù)內(nèi)容提要：入侵檢測概述入侵檢測的技術(shù)實現(xiàn)分布式入侵檢測入侵檢測系統(tǒng)的規(guī)范入侵檢測系統(tǒng)例如本章小結(jié)2024/1/181入侵檢測技術(shù)研討最早可追溯到1980年JamesP.Aderson所寫的一份技術(shù)報告，他首先提出了入侵檢測的概念。1987年DorothyDenning提出了入侵檢測系統(tǒng)〔IDS，IntrusionDetectionSystem〕的籠統(tǒng)模型〔如圖5-1所示〕，初次提出了入侵檢測可作為一種計算機系統(tǒng)平安防御措施的概念與傳統(tǒng)的加密和訪問控制技術(shù)相比，IDS是全新的計算機平安措施。前往本章首頁入侵檢測開展歷史2024/1/182前往本章首頁入侵檢測開展歷史2024/1/1831988年TeresaLunt等人進一步改良了Denning提出的入侵檢測模型，并創(chuàng)建了IDES〔IntrusionDetectionExpertSystem〕該系統(tǒng)用于檢測單一主機的入侵嘗試，提出了與系統(tǒng)平臺無關(guān)的實時檢測思想1995年開發(fā)的NIDES〔Next-GenerationIntrusionDetectionExpertSystem〕作為IDES完善后的版本可以檢測出多個主機上的入侵。前往本章首頁入侵檢測開展歷史2024/1/1841990年，Heberlein等人提出了一個具有里程碑意義的新型概念：基于網(wǎng)絡(luò)的入侵檢測——網(wǎng)絡(luò)平安監(jiān)視器NSM〔NetworkSecurityMonitor〕。1991年,NADIR〔NetworkAnomalyDetectionandIntrusionReporter〕與DIDS〔DistributeIntrusionDetectionSystem〕提出了經(jīng)過搜集和合并處置來自多個主機的審計信息可以檢測出一系列針對主機的協(xié)同攻擊。前往本章首頁入侵檢測開展歷史2024/1/1851994年，MarkCrosbie和GeneSpafford建議運用自治代理〔autonomousagents〕以提高IDS的可伸縮性、可維護性、效率和容錯性，該理念非常符合計算機科學其他領(lǐng)域〔如軟件代理，softwareagent〕正在進展的相關(guān)研討。另一個努力于處理當代絕大多數(shù)入侵檢測系統(tǒng)伸縮性缺乏的方法于1996年提出，這就是GrIDS〔Graph-basedIntrusionDetectionSystem〕的設(shè)計和實現(xiàn)，該系統(tǒng)可以方便地檢測大規(guī)模自動或協(xié)同方式的網(wǎng)絡(luò)攻擊。前往本章首頁入侵檢測開展歷史2024/1/186入侵檢測技術(shù)研討的主要創(chuàng)新有：Forrest等將免疫學原理運用于分布式入侵檢測領(lǐng)域；1998年RossAnderson和AbidaKhattak將信息檢索技術(shù)引進入侵檢測；以及采用形狀轉(zhuǎn)換分析、數(shù)據(jù)發(fā)掘和遺傳算法等進展誤用和異常檢測。前往本章首頁入侵檢測開展歷史2024/1/1875.1.1入侵檢測原理入侵檢測入侵檢測是用于檢測任何損害或企圖損害系統(tǒng)的嚴密性、完好性或可用性的一種網(wǎng)絡(luò)平安技術(shù)。它經(jīng)過監(jiān)視受維護系統(tǒng)的形狀和活動，采用誤用檢測〔MisuseDetection〕或異常檢測〔AnomalyDetection〕的方式，發(fā)現(xiàn)非授權(quán)的或惡意的系統(tǒng)及網(wǎng)絡(luò)行為，為防備入侵行為提供有效的手段。前往本章首頁2024/1/188圖5-2入侵檢測原理框圖前往本章首頁2024/1/189入侵檢測系統(tǒng)執(zhí)行入侵檢測義務(wù)的硬件或軟件產(chǎn)品入侵檢測提供了用于發(fā)現(xiàn)入侵攻擊與合法用戶濫用特權(quán)的一種方法。其運用前提是入侵行為和合法行為是可區(qū)分的，也即可以經(jīng)過提取行為的方式特征來判別該行為的性質(zhì)。普通地，入侵檢測系統(tǒng)需求處理兩個問題：如何充分并可靠地提取描畫行為特征的數(shù)據(jù)；如何根據(jù)特征數(shù)據(jù)，高效并準確地斷定行為的性質(zhì)。前往本章首頁2024/1/18105.1.2系統(tǒng)構(gòu)造由于網(wǎng)絡(luò)環(huán)境和系統(tǒng)平安戰(zhàn)略的差別，入侵檢測系統(tǒng)在詳細實現(xiàn)上也有所不同。從系統(tǒng)構(gòu)成上看，入侵檢測系統(tǒng)應(yīng)包括事件提取、入侵分析、入侵呼應(yīng)和遠程管理四大部分，另外還能夠結(jié)合平安知識庫、數(shù)據(jù)存儲等功能模塊，提供更為完善的平安檢測及數(shù)據(jù)分析功能〔如圖5-3所示〕。前往本章首頁2024/1/1811圖5-3入侵檢測系統(tǒng)構(gòu)造前往本章首頁2024/1/1812入侵檢測的思想源于傳統(tǒng)的系統(tǒng)審計，但拓寬了傳統(tǒng)審計的概念，它以近乎不延續(xù)的方式進展平安檢測，從而可構(gòu)成一個延續(xù)的檢測過程。這通常是經(jīng)過執(zhí)行以下義務(wù)來實現(xiàn)的：監(jiān)視、分析用戶及系統(tǒng)活動；系統(tǒng)構(gòu)造和弱點的審計；識別分析知名攻擊的行為特征并告警；異常行為特征的統(tǒng)計分析；評價重要系統(tǒng)和數(shù)據(jù)文件的完好性；操作系統(tǒng)的審計跟蹤管理，并識別用戶違反平安戰(zhàn)略的行為。前往本章首頁2024/1/18135.1.3系統(tǒng)分類由于功能和體系構(gòu)造的復(fù)雜性，入侵檢測按照不同的規(guī)范有多種分類方法?？煞謩e從數(shù)據(jù)源、檢測實際、檢測時效三個方面來描畫入侵檢測系統(tǒng)的類型。

前往本章首頁2024/1/18145.1.3系統(tǒng)分類1．基于數(shù)據(jù)源的分類通?？梢园讶肭謾z測系統(tǒng)分為五類，即：基于主機、基于網(wǎng)絡(luò)、混合入侵檢測、基于網(wǎng)關(guān)基于文件完好性檢測前往本章首頁2024/1/18152．基于檢測實際的分類從詳細的檢測實際上來說，入侵檢測又可分為異常檢測和誤用檢測。異常檢測〔AnomalyDetection〕指根據(jù)運用者的行為或資源運用情況的正常程度來判別能否入侵，而不依賴于詳細行為能否出現(xiàn)來檢測。誤用檢測〔MisuseDetection〕指運用知攻擊方法，根據(jù)已定義好的入侵方式，經(jīng)過判別這些入侵方式能否出現(xiàn)來檢測。前往本章首頁2024/1/18163．基于檢測時效的分類IDS在處置數(shù)據(jù)的時候可以采用實時在線檢測方式，也可以采用批處置方式，定時對處置原始數(shù)據(jù)進展離線檢測，這兩種方法各有特點〔如圖5-5所示〕。離線檢測方式將一段時間內(nèi)的數(shù)據(jù)存儲起來，然后定時發(fā)給數(shù)據(jù)處置單元進展分析，假設(shè)在這段時間內(nèi)有攻擊發(fā)生就報警。在線檢測方式的實時處置是大多數(shù)IDS所采用的方法，由于計算機硬件速度的提高，使得對攻擊的實時檢測和呼應(yīng)成為能夠。前往本章首頁2024/1/1817前往本章首頁2024/1/18185.2入侵檢測的技術(shù)實現(xiàn)對于入侵檢測的研討，從早期的審計跟蹤數(shù)據(jù)分析，到實時入侵檢測系統(tǒng)，到目前運用于大型網(wǎng)絡(luò)的分布式檢測系統(tǒng)，根本上已開展成為具有一定規(guī)模和相應(yīng)實際的研討領(lǐng)域。入侵檢測的中心問題在于如何對平安審計數(shù)據(jù)進展分析，以檢測其中能否包含入侵或異常行為的跡象。這里，我們先從誤用檢測和異常檢測兩個方面引見當前關(guān)于入侵檢測技術(shù)的主流技術(shù)實現(xiàn)，然后對其它類型的檢測技術(shù)作簡要引見。前往本章首頁2024/1/18195.2.1入侵檢測分析模型分析是入侵檢測的中心功能，它既能簡單到像一個已熟習日志情況的管理員去建立決策表，也能復(fù)雜得像一個集成了幾百萬個處置的非參數(shù)系統(tǒng)。入侵檢測的分析處置過程可分為三個階段：構(gòu)建分析器，對實踐現(xiàn)場數(shù)據(jù)進展分析，反響和提煉過程。其中，前兩個階段都包含三個功能：數(shù)據(jù)處置、數(shù)據(jù)分類〔數(shù)據(jù)可分為入侵指示、非入侵指示或不確定〕和后處置。前往本章首頁2024/1/18205.2.2誤用檢測〔MisuseDetection〕誤用檢測是按照預(yù)定方式搜索事件數(shù)據(jù)的，最適用于對知方式的可靠檢測。執(zhí)行誤用檢測，主要依賴于可靠的用戶活動記錄和分析事件的方法。1．條件概率預(yù)測法條件概率預(yù)測法是基于統(tǒng)計實際來量化全部外部網(wǎng)絡(luò)事件序列中存在入侵事件的能夠程度。2024/1/18212．產(chǎn)生式/專家系統(tǒng)用專家系統(tǒng)對入侵進展檢測，主要是檢測基于特征的入侵行為。專家系統(tǒng)的建立依賴于知識庫的完備性，而知識庫的完備性又取決于審計記錄的完備性與實時性。產(chǎn)生式/專家系統(tǒng)是誤用檢測早期的方案之一，在MIDAS、IDES、NIDES、DIDS和CMDS中都運用了這種方法。前往本章首頁2024/1/18223．形狀轉(zhuǎn)換方法形狀轉(zhuǎn)換方法運用系統(tǒng)形狀和形狀轉(zhuǎn)換表達式來描畫和檢測入侵，采用最優(yōu)方式匹配技巧來構(gòu)造化誤用檢測，加強了檢測的速度和靈敏性。目前，主要有三種實現(xiàn)方法：形狀轉(zhuǎn)換分析、有色Petri-Net和言語/運用編程接口〔API〕。前往本章首頁2024/1/18234．用于批方式分析的信息檢索技術(shù)當前大多數(shù)入侵檢測都是經(jīng)過對事件數(shù)據(jù)的實時搜集和分析來發(fā)現(xiàn)入侵的然而在攻擊被證明之后，要從大量的審計數(shù)據(jù)中尋覓證據(jù)信息，就必需借助于信息檢索〔IR，InformationRetrieval〕技術(shù)IR技術(shù)當前廣泛運用于WWW的搜索引擎上。IR系統(tǒng)運用反向文件作為索引，允許高效地搜索關(guān)鍵字或關(guān)鍵字組合，并運用Bayesian實際協(xié)助提煉搜索。前往本章首頁2024/1/18245．KeystrokeMonitor和基于模型的方法KeystrokeMonitor是一種簡單的入侵檢測方法，它經(jīng)過分析用戶擊鍵序列的方式來檢測入侵行為，常用于對主機的入侵檢測。該方法具有明顯的缺陷，首先，批處置或Shell程序可以不經(jīng)過擊鍵而直接調(diào)用系統(tǒng)攻擊命令序列；其次，操作系統(tǒng)通常不提供一致的擊鍵檢測接口，需經(jīng)過額外的鉤子函數(shù)〔Hook〕來監(jiān)測擊鍵。前往本章首頁2024/1/18255.2.3異常檢測〔AnomalyDetection〕異常檢測基于一個假定：用戶的行為是可預(yù)測的、遵照一致性方式的，且隨著用戶事件的添加異常檢測會順運用戶行為的變化。用戶行為的特征輪廓在異常檢測中是由度量〔measure〕集來描畫，度量是特定網(wǎng)絡(luò)行為的定量表示，通常與某個檢測閥值或某個域相聯(lián)絡(luò)。異常檢測可發(fā)現(xiàn)未知的攻擊方法，表達了強壯的維護機制，但對于給定的度量集能否完備到表示一切的異常行為？仍需求深化研討。前往本章首頁2024/1/18261．Denning的原始模型DorothyDenning于1986年給出了入侵檢測的IDES模型，她以為在一個系統(tǒng)中可以包括四個統(tǒng)計模型，每個模型適宜于一個特定類型的系統(tǒng)度量。〔1〕可操作模型〔2〕平均和規(guī)范偏向模型〔3〕多變量模型〔4〕Markov處置模型前往本章首頁2024/1/18272．量化分析異常檢測最常用的方法就是將檢驗規(guī)那么和屬性以數(shù)值方式表示的量化分析，這種度量方法在Denning的可操作模型中有所涉及。量化分析經(jīng)過采用從簡單的加法到比較復(fù)雜的密碼學計算得到的結(jié)果作為誤用檢測和異常檢測統(tǒng)計模型的根底。常用量化方法〔1〕閥值檢驗〔2〕基于目的的集成檢查〔3〕量化分析和數(shù)據(jù)精簡前往本章首頁2024/1/18283．統(tǒng)計度量統(tǒng)計度量方法是產(chǎn)品化的入侵檢測系統(tǒng)中常用的方法，常見于異常檢測。運用統(tǒng)計方法，有效地處理了四個問題：〔1〕選取有效的統(tǒng)計數(shù)據(jù)丈量點，生成可以反映主體特征的會話向量；〔2〕根據(jù)主體活動產(chǎn)生的審計記錄，不斷更新當前主體活動的會話向量；〔3〕采用統(tǒng)計方法分析數(shù)據(jù)，判別當前活動能否符合主體的歷史行為特征；〔4〕隨著時間推移，學習主體的行為特征，更新歷史記錄。前往本章首頁2024/1/18294．非參數(shù)統(tǒng)計度量非參數(shù)統(tǒng)計方法經(jīng)過運用非數(shù)據(jù)區(qū)分技術(shù)，尤其是群集分析技術(shù)來分析參數(shù)方法無法思索的系統(tǒng)度量。群集分析的根本思想是，根據(jù)評價規(guī)范〔也稱為特性〕將搜集到的大量歷史數(shù)據(jù)〔一個樣本集〕組織成群，經(jīng)過預(yù)處置過程，將與詳細事件流〔經(jīng)常映射為一個詳細用戶〕相關(guān)的特性轉(zhuǎn)化為向量表示，再采用群集算法將彼此比較相近的向量成員組織成一個行為類這樣運用該分析技術(shù)的實驗結(jié)果將會闡明用何種方式構(gòu)成的群可以可靠地對用戶的行為進展分組并識別。前往本章首頁2024/1/18305．基于規(guī)那么的方法上面討論的異常檢測主要基于統(tǒng)計方法，異常檢測的另一個變種就是基于規(guī)那么的方法。與統(tǒng)計方法不同的是基于規(guī)那么的檢測運用規(guī)那么集來表示和存儲運用方式?！?〕Wisdom&Sense方法〔2〕基于時間的引導機〔TIM〕前往本章首頁2024/1/18315.2.4其它檢測技術(shù)這些技術(shù)不能簡單地歸類為誤用檢測或是異常檢測，而是提供了一種有別于傳統(tǒng)入侵檢測視角的技術(shù)層次，例如免疫系統(tǒng)、基因算法、數(shù)據(jù)發(fā)掘、基于代理〔Agent〕的檢測等它們或者提供了更具普遍意義的分析技術(shù)，或者提出了新的檢測系統(tǒng)架構(gòu)，因此無論對于誤用檢測還是異常檢測來說，都可以得到很好的運用。前往本章首頁2024/1/18321．神經(jīng)網(wǎng)絡(luò)〔NeuralNetwork〕作為人工智能〔AI〕的一個重要分支，神經(jīng)網(wǎng)絡(luò)〔NeuralNetwork〕在入侵檢測領(lǐng)域得到了很好的運用它運用自順應(yīng)學習技術(shù)來提取異常行為的特征，需求對訓練數(shù)據(jù)集進展學習以得出正常的行為方式。這種方法要求保證用于學習正常方式的訓練數(shù)據(jù)的純真性，即不包含任何入侵或異常的用戶行為。前往本章首頁2024/1/18332．免疫學方法NewMexico大學的StephanieForrest提出了將生物免疫機制引入計算機系統(tǒng)的平安維護框架中。免疫系統(tǒng)中最根本也是最重要的才干是識別“自我/非自我〞〔self/nonself〕，換句話講，它可以識別哪些組織是屬于正常機體的，不屬于正常的就以為是異常，這個概念和入侵檢測中異常檢測的概念非常類似。前往本章首頁2024/1/18343．數(shù)據(jù)發(fā)掘方法Columbia大學的WenkeLee在其博士論文中，提出了將數(shù)據(jù)發(fā)掘〔DataMining,DM〕技術(shù)運用到入侵檢測中，經(jīng)過對網(wǎng)絡(luò)數(shù)據(jù)和主機系統(tǒng)調(diào)用數(shù)據(jù)的分析發(fā)掘，發(fā)現(xiàn)誤用檢測規(guī)那么或異常檢測模型。詳細的任務(wù)包括利用數(shù)據(jù)發(fā)掘中的關(guān)聯(lián)算法和序列發(fā)掘算法提取用戶的行為方式，利用分類算法對用戶行為和特權(quán)程序的系統(tǒng)調(diào)用進展分類預(yù)測。實驗結(jié)果闡明，這種方法在入侵檢測領(lǐng)域有很好的運用前景。前往本章首頁2024/1/18354．基因算法基因算法是進化算法〔evolutionaryalgorithms〕的一種，引入了達爾文在進化論中提出的自然選擇的概念〔優(yōu)勝劣汰、適者生存〕對系統(tǒng)進展優(yōu)化。該算法對于處置多維系統(tǒng)的優(yōu)化是非常有效的。在基因算法的研討人員看來，入侵檢測的過程可以籠統(tǒng)為：為審計事件記錄定義一種向量表示方式，這種向量或者對應(yīng)于攻擊行為，或者代表正常行為。前往本章首頁2024/1/18365．基于代理的檢測近年來，一種基于Agent的檢測技術(shù)〔Agent-BasedDetection〕逐漸引起研討者的注重。所謂Agent，實踐上可以看作是在執(zhí)行某項特定監(jiān)視義務(wù)的軟件實體?；贏gent的入侵檢測系統(tǒng)的靈敏性保證它可以為保證系統(tǒng)的平安提供混合式的架構(gòu)，綜合運用誤用檢測和異常檢測，從而彌補兩者各自的缺陷。前往本章首頁2024/1/18375.3分布式入侵檢測分布式入侵檢測〔DistributedIntrusionDetection〕是目前入侵檢測乃至整個網(wǎng)絡(luò)平安領(lǐng)域的熱點之一。到目前為止，還沒有嚴厲意義上的分布式入侵檢測的商業(yè)化產(chǎn)品，但研討人員曾經(jīng)提出并完成了多個原型系統(tǒng)。通常采用的方法中，一種是對現(xiàn)有的IDS進展規(guī)模上的擴展，另一種那么經(jīng)過IDS之間的信息共享來實現(xiàn)。詳細的處置方法上也分為兩種：分布式信息搜集、集中式處置；分布式信息搜集、分布式處置。前往本章首頁2024/1/18385.3.1分布式入侵檢測的優(yōu)勢分布式入侵檢測由于采用了非集中的系統(tǒng)構(gòu)造和處置方式，相對于傳統(tǒng)的單機IDS具有一些明顯的優(yōu)勢：〔1〕檢測大范圍的攻擊行為〔2〕提高檢測的準確度〔3〕提高檢測效率〔4〕協(xié)調(diào)呼應(yīng)措施前往本章首頁2024/1/18395.3.2分布式入侵檢測的技術(shù)難點與傳統(tǒng)的單機IDS相比較，分布式入侵檢測系統(tǒng)具有明顯的優(yōu)勢。然而，在實現(xiàn)分布檢測組件的信息共享和協(xié)作上，卻存在著一些技術(shù)難點。StanfordResearchInstitute〔SRI〕在對EMERALD系統(tǒng)的研討中，列舉了分布式入侵檢測必需關(guān)注的關(guān)鍵問題：事件產(chǎn)生及存儲、形狀空間管理規(guī)那么復(fù)雜度知識庫管理推理技術(shù)。前往本章首頁2024/1/18405.3.3分布式入侵檢測現(xiàn)狀雖然分布式入侵檢測存在技術(shù)和其它層面的難點，但由于其相對于傳統(tǒng)的單機IDS所具有的優(yōu)勢，目前曾經(jīng)成為這一領(lǐng)域的研討熱點。1．Snortnet它經(jīng)過對傳統(tǒng)的單機IDS進展規(guī)模上的擴展，使系統(tǒng)具備分布式檢測的才干，是基于方式匹配的分布式入侵檢測系統(tǒng)的一個詳細實現(xiàn)。主要包括三個組件：網(wǎng)絡(luò)感應(yīng)器、代理守護程序和監(jiān)視控制臺。前往本章首頁2024/1/18412．Agent-Based基于Agent的IDS由于其良好的靈敏性和擴展性，是分布式入侵檢測的一個重要研討方向。國外一些研討機構(gòu)在這方面曾經(jīng)做了大量任務(wù)，其中Purdue大學的入侵檢測自治代理〔AAFID〕和SRI的EMERALD最具代表性。AAFID的體系構(gòu)造如圖5-10所示，其特點是構(gòu)成了一個基于代理的分層順序控制和報告構(gòu)造。前往本章首頁2024/1/1842前往本章首頁2024/1/18433．DIDSDIDS(DistributedIntrusionDetectionSystem)是由UCDavis的SecurityLab完成的，它集成了兩種已有的入侵檢測系統(tǒng)，Haystack和NSM。Haystack由TracorAppliedSciencesandHaystack實驗室針對多用戶主機的檢測義務(wù)而開發(fā)，數(shù)據(jù)源來自主機的系統(tǒng)日志。NSM那么是由UCDavis開發(fā)的網(wǎng)絡(luò)平安監(jiān)視器，經(jīng)過對數(shù)據(jù)包、銜接記錄、運用層會話的分析，結(jié)合入侵特征庫和正常的網(wǎng)絡(luò)流或會話記錄的方式庫，判別當前的網(wǎng)絡(luò)行為能否包含入侵或異常。前往本章首頁2024/1/18444．GrIDSGrIDS〔Graph-basedIntrusionDetectionSystem〕同樣由UCDavis提出并實現(xiàn)該系統(tǒng)實現(xiàn)了一種在大規(guī)模網(wǎng)絡(luò)中運用圖形化表示的方法來描畫網(wǎng)絡(luò)行為的途徑，其設(shè)計目的主要針對大范圍的網(wǎng)絡(luò)攻擊，例如掃描、協(xié)同攻擊、網(wǎng)絡(luò)蠕蟲等。GrIDS的缺陷在于只是給出了網(wǎng)絡(luò)銜接的圖形化表示，詳細的入侵判別依然需求人工完成，而且系統(tǒng)的有效性和效率都有待驗證和提高。前往本章首頁2024/1/18455．IntrusionStrategyBoeing公司的Ming-YuhHuang提出從入侵者的目的〔IntrusionIntention〕，或者是入侵戰(zhàn)略〔IntrusionStrategy〕入手，確定如何在不同的IDS組件之間進展協(xié)作檢測。經(jīng)過對入侵戰(zhàn)略的分析調(diào)整審計戰(zhàn)略和參數(shù)，構(gòu)成自順應(yīng)的審計檢測系統(tǒng)。前往本章首頁2024/1/18466．數(shù)據(jù)交融〔DataFusion〕TimmBass提出將數(shù)據(jù)交融〔DataFusion〕的概念運用到入侵檢測中，從而將分布式入侵檢測義務(wù)了解為在層次化模型下對多個感應(yīng)器的數(shù)據(jù)綜合問題。在這個層次化模型中，入侵檢測的數(shù)據(jù)源閱歷了從數(shù)據(jù)〔Data〕到信息〔Information〕再到知識〔Knowledge〕三個邏輯籠統(tǒng)層次。前往本章首頁2024/1/18477．基于籠統(tǒng)〔Abstraction-based〕的方法GMU的PengNing在其博士論文中提出了一種基于籠統(tǒng)〔Abstraction-based〕的分布式入侵檢測系統(tǒng)，根本思想是：設(shè)立中間層〔systemview〕，提供與詳細系統(tǒng)無關(guān)的籠統(tǒng)信息，用于分布式檢測系統(tǒng)中的信息共享籠統(tǒng)信息的內(nèi)容包括事件信息〔event〕以及系統(tǒng)實體間的斷言〔dynamicpredicate〕。中間層用于表示IDS間的共享信息的表示方式：IDS檢測到的攻擊或者IDS無法處置的事件信息作為event，IDS或受IDS監(jiān)控的系統(tǒng)的形狀那么作為dynamicpredicates。前往本章首頁2024/1/18485.4入侵檢測系統(tǒng)的規(guī)范從20世紀90年代到如今，入侵檢測系統(tǒng)的研發(fā)呈現(xiàn)出百家爭鳴的昌盛局面，并在智能化和分布式兩個方向獲得了長足的進展。為了提高IDS產(chǎn)品、組件及與其他平安產(chǎn)品之間的互操作性，DARPA和IETF的入侵檢測任務(wù)組〔IDWG〕分別發(fā)起制定了一系列建議草案，從體系構(gòu)造、API、通訊機制、言語格式等方面來規(guī)范IDS的規(guī)范。DARPA提出了公共入侵檢測框架CIDF，最早由加州大學戴維斯分校的平安實驗室起草；IDWG提出了三項建議草案IDMEF、IDXP、TunnelProfile前往本章首頁2024/1/18495.4.1IETF/IDWGIDWG定義了用于入侵檢測與呼應(yīng)〔IDR〕系統(tǒng)之間或與需求交互的管理系統(tǒng)之間的信息共享所需求的數(shù)據(jù)格式和交換規(guī)程。IDWG提出了三項建議草案：入侵檢測音訊交換格式〔IDMEF〕、入侵檢測交換協(xié)議〔IDXP〕隧道輪廓〔TunnelProfile〕。前往本章首頁2024/1/18505.4.2CIDFCIDF的任務(wù)集中表達在四個方面：IDS的體系構(gòu)造、通訊機制、描畫言語和運用編程接口API。CIDF在IDES和NIDES的根底上提出了一個通用模型，將入侵檢測系統(tǒng)分為四個根本組件：事件產(chǎn)生器、事件分析器、呼應(yīng)單元和事件數(shù)據(jù)庫。其構(gòu)造如圖5-15所示。前往本章首頁2024/1/1851前往本章首頁2024/1/18525.5入侵檢測系統(tǒng)例如為了直觀地了解入侵檢測的運用、配置等情況，這里我們以Snort為例，對構(gòu)建以Snort為根底的入侵檢測系統(tǒng)做概要引見。前往本章首頁2024/1/18535.5.1Snort簡介Snort是一個開放源代碼的免費軟件，它基于libpcap的數(shù)據(jù)包嗅探器，并可以作為一個輕量級的網(wǎng)絡(luò)入侵檢測系統(tǒng)〔NIDS〕。Snort具有很多優(yōu)勢：代碼短小、易于安裝、便于配置。功能非常強大和豐富集成了多種告警機制支持實時告警功能具有非常好擴展才干遵照GPL，可以免費運用前往本章首頁2024/1/18545.5.2Snort的體系構(gòu)造Snort在構(gòu)造上可分為數(shù)據(jù)包捕獲和解碼子系統(tǒng)、檢測引擎，以及日志及報警子系統(tǒng)三個部分。1．數(shù)據(jù)包捕獲和解碼子系統(tǒng)該子系統(tǒng)的功能是捕獲共享網(wǎng)絡(luò)的傳輸數(shù)據(jù)，并按照TCP/IP協(xié)議的不同層次將數(shù)據(jù)包解析。2．檢測引擎檢測引擎是NIDS實現(xiàn)的中心，準確性和快速性是衡量其性能的重要目的。前往本章首頁2024/1/1855為了可以快速準確地進展檢測和處置，Snort在檢測規(guī)那么方面做了較為成熟的設(shè)計。Snort將一切知的攻擊方法以規(guī)那么的方式存放在規(guī)那么庫中每一條規(guī)那么由規(guī)那么頭和規(guī)那么選項兩部分組成。規(guī)那么頭對應(yīng)于規(guī)那么樹結(jié)點RTN〔RuleTreeNode〕，包含動作、協(xié)議、源〔目的〕地址和端口以及數(shù)據(jù)流向，這是一切規(guī)那么共有的部分。規(guī)那么選項對應(yīng)于規(guī)那么選項結(jié)點OTN〔OptionalTreeNode〕，包含報警信息〔msg〕、匹配內(nèi)容〔content〕等選項，這些內(nèi)容需求根據(jù)詳細規(guī)那么的性質(zhì)確定。前往本章首頁2024/1/1856檢測規(guī)那么除了包括上述的關(guān)于“要檢測什么〞，還應(yīng)該定義“檢測到了該做什么〞。Snort定義了三種處置方式：alert〔發(fā)送報警信息〕、log〔記錄該數(shù)據(jù)包〕和pass〔忽略該數(shù)據(jù)包〕，并定義為規(guī)那么的第一個匹配關(guān)鍵字。這樣設(shè)計的目的是為了在程序中可以組織整個規(guī)那么庫，即將一切的規(guī)那么按照處置方式組織成三個鏈表，以用于更快速準確地進展匹配。如圖5-17所示。前往本章首頁2024/1/1857前往本章首頁2024/1/1858當Snort捕獲一個數(shù)據(jù)包時，首先分析該數(shù)據(jù)包運用哪個IP協(xié)議以決議將與某個規(guī)那么樹進展匹配。然后與RTN結(jié)點依次進展匹配。當與一個頭結(jié)點相匹配時，向下與OTN結(jié)點進展匹配。每個OTN結(jié)點包含一條規(guī)那么所對應(yīng)的全部選項，同時包含一組函數(shù)指針，用來實現(xiàn)對這些選項的匹配操作。當數(shù)據(jù)包與某個OTN結(jié)點相匹配時，即判別此數(shù)據(jù)包為攻擊數(shù)據(jù)包。詳細流程見圖5-18所示。前往本章首頁2024/1/1859前往本章首頁2024/1/18603．日志及報警子系統(tǒng)一個好的NIDS，更應(yīng)該提供友好的輸出界面或發(fā)聲報警等。Snort是一個輕量級的NIDS，它的另外一個重要功能就是數(shù)據(jù)包記錄器，它主要采取用TCPDUMP的格式記錄信息、向syslog發(fā)送報警信息和以明文方式記錄報警信息三種方式。值得提出的是，Snort在網(wǎng)絡(luò)數(shù)據(jù)流量非常大時，可以將數(shù)據(jù)包信息緊縮從而實現(xiàn)快速報警。前往本章首頁2024/1/18615.5.3Snort的安裝與運用1.Snort安裝方式Snort可簡單安裝為守護進程方式，也可安裝為包括很多其他工具的完好的入侵檢測系統(tǒng)。簡一方式安裝時，可以得到入侵數(shù)據(jù)的文本文件或二進制文件，然后用文本編輯器等工具進展查看。Snort假設(shè)與其它工具一同安裝，那么可以支持更為復(fù)雜的操作。例如，將Snort數(shù)據(jù)發(fā)送給數(shù)據(jù)庫系統(tǒng)，從而支持經(jīng)過Web界面進展數(shù)據(jù)分析，以加強對Snort捕獲數(shù)據(jù)的直觀認識，防止耗費大量時間查閱晦澀的日志文件。前往本章首頁2024/1/18622．Snort的簡單安裝Snort的安裝程序可以在Snort官方網(wǎng)站上獲取。〔1〕安裝SnortSnort必需求有l(wèi)ibpcap庫的支持，在安裝前需確認系統(tǒng)曾經(jīng)安裝了libpcap庫。[root@mailsnort-2.8.0]#./configure--enable-dynamicplugin[root@mailsnort-2.8.0]#make[root@mailsnort-2.8.0]#makeinstall前往本章首頁2024/1/1863〔2〕更新Snort規(guī)那么下載最新的規(guī)那么文件snortrules-snapshot-CURRENT.tar.gz。其中，CURRENT表示最新的版本號。[root@mailsnort]#mkdir/etc/snort[root@mailsnort]#cd/etc/snort[root@mailsnort]#tarzxvf/path/to/snortrules-snapshot-CURRENT.tar.gz前往本章首頁2024/1/1864〔3〕配置Snort建立config文件目錄：[root@mailsnort-2.8.0]#mkdir/etc/snort復(fù)制Snort配置文件snort.conf到Snort配置目錄：[root@mailsnort-2.8.0]#cp./etc/snort.conf/etc/snort/編輯snort.conf：[root@mailsnort-2.8.0]#vi/etc/snort/snort.conf修正后，一些關(guān)鍵設(shè)置如下：varHOME_NETyournetworkvarRULE_PATH/etc/snort/rulespreprocessorhttp_inspect:global\iis_unicode_map/etc/snort/rules/unicode.map1252include/etc/snort/rules/reference.configinclude/etc/snort/rules/classification.config前往本章首頁2024/1/1865〔4〕測試Snort#/usr/local/bin/snort-Afast-b-d-D-l/var/log/snort-c/etc/snort/snort.conf查看文件/var/log/messages，假設(shè)沒有錯誤信息，那么表示安裝勝利。前往本章首頁2024/1/1866