《入侵檢測》課件第2章

第2章入侵檢測系統(tǒng)基礎(chǔ)知識

2.1入侵檢測系統(tǒng)的基本組成2.2入侵檢測系統(tǒng)的分類2.3基于主機(jī)的入侵檢測系統(tǒng)2.4基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)2.5分布式入侵檢測系統(tǒng)2.1入侵檢測系統(tǒng)的基本組成

1.信息收集

信息收集包括收集系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為，而且需要在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)（如不同網(wǎng)段和不同主機(jī)）收集信息。這除了盡可能擴(kuò)大檢測范圍以外，還要對來自不同源的信息進(jìn)行特征分析,比較之后得出問題的所在。入侵檢測在很大程度上依賴于收集信息的可靠性和正確性。入侵檢測利用的信息一般來自系統(tǒng)和網(wǎng)絡(luò)日志文件、非正常的目錄和文件改變、非正常的程序執(zhí)行等方面（這里不包括物理形式的入侵信息）。圖2.1入侵檢測過程

1)系統(tǒng)和網(wǎng)絡(luò)日志文件

日志文件中記錄了各種行為類型，每種類型又包含不同的信息，例如記錄“用戶活動(dòng)”類型的日志，包含登錄、用戶ID改變、用戶對文件的訪問、授權(quán)和認(rèn)證信息等內(nèi)容。日志中包含發(fā)生在系統(tǒng)和網(wǎng)絡(luò)上的不尋常和不期望活動(dòng)的證據(jù)，這些證據(jù)可以指出有人正在入侵或已成功入侵了系統(tǒng)。通過查看日志文件，能夠發(fā)現(xiàn)成功的入侵或入侵企圖，并很快地啟動(dòng)相應(yīng)的應(yīng)急響應(yīng)程序。對用戶活動(dòng)來講，不正常的或不期望的行為就是重復(fù)登錄失敗、登錄到不期望的位置以及非授權(quán)企圖訪問重要文件等。黑客經(jīng)常在系統(tǒng)日志文件中留下他們的蹤跡，因此，可以充分利用系統(tǒng)和網(wǎng)絡(luò)日志文件信息。

2)非正常的目錄和文件改變

網(wǎng)絡(luò)環(huán)境中的文件系統(tǒng)包含很多軟件和數(shù)據(jù)文件，它們經(jīng)常是黑客修改或破壞的目標(biāo)。目錄和文件中的非正常改變（包括修改、創(chuàng)建和刪除），特別是訪問那些正常情況下限制訪問的文件，很可能就是一種入侵產(chǎn)生的指示和信號。黑客經(jīng)常替換、修改和破壞他們獲得訪問權(quán)的系統(tǒng)上的文件，同時(shí)為了隱藏系統(tǒng)中他們的表現(xiàn)及活動(dòng)痕跡，都會盡力去替換系統(tǒng)程序或修改系統(tǒng)日志文件。

3)非正常的程序執(zhí)行

網(wǎng)絡(luò)系統(tǒng)上的程序執(zhí)行一般包括操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)、用戶啟動(dòng)的程序和特定目的的應(yīng)用，如WEB服務(wù)器。每個(gè)在系統(tǒng)上執(zhí)行的程序由一到多個(gè)進(jìn)程來實(shí)現(xiàn)。一個(gè)進(jìn)程的執(zhí)行行為由它運(yùn)行時(shí)執(zhí)行的操作來表現(xiàn)，操作執(zhí)行的方式不同，它利用的系統(tǒng)資源也就不同。操作包括計(jì)算、文件傳輸、設(shè)備和其它進(jìn)程，以及與網(wǎng)絡(luò)其它進(jìn)程的通信。一個(gè)進(jìn)程出現(xiàn)了不期望的行為可能表明黑客正在入侵系統(tǒng)，黑客可能會將程序或服務(wù)的運(yùn)行分解，從而導(dǎo)致失敗，或者是以非用戶管理員意圖的方式操作。

2.信息分析

對收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等信息，一般通過一定的技術(shù)手段進(jìn)行分析，如常用的模式匹配、統(tǒng)計(jì)分析和完整性分析等。其中,前兩種方法用于實(shí)時(shí)的入侵檢測,而完整性分析用于事后分析。入侵檢測是一個(gè)典型的數(shù)據(jù)處理過程。它通過對大量的系統(tǒng)審計(jì)數(shù)據(jù)進(jìn)行分析，來判斷被監(jiān)控的系統(tǒng)是否受到入侵攻擊。系統(tǒng)的檢測機(jī)制，其實(shí)就是一個(gè)系統(tǒng)主體行為（或事件）的分類系統(tǒng)，它需要把對系統(tǒng)具有惡意的行為從大量的系統(tǒng)行為中區(qū)分出來，而解決問題的關(guān)鍵就是如何從已知數(shù)據(jù)中獲得系統(tǒng)的正常行為知識和有關(guān)入侵行為的知識（如何定義、描述系統(tǒng)的行為）。在入侵檢測系統(tǒng)的研究領(lǐng)域中，相關(guān)的知識獲取技術(shù)，如數(shù)據(jù)挖掘、知識表述及獲取、特征選擇以及機(jī)器學(xué)習(xí)等技術(shù)以及各種分類算法的研究具有重要的地位，不同的檢測技術(shù)將在第3章討論。

3.結(jié)果處理

結(jié)果處理指控制臺根據(jù)報(bào)警產(chǎn)生預(yù)先定義的響應(yīng)，采取相應(yīng)措施，可以是重新配置路由器或防火墻、終止進(jìn)程、切斷連接、改變文件屬性，也可以只是簡單的報(bào)警。

結(jié)果處理可以分為兩步處理，第一步是信息保存，目的是便于系統(tǒng)管理員或其它人員對系統(tǒng)日志或網(wǎng)絡(luò)中的傳輸信息進(jìn)行查看和分析，需要將獲得的信息和分析的結(jié)果信息進(jìn)行保存，信息保存同時(shí)也可以為用戶對發(fā)現(xiàn)的攻擊提供數(shù)字證據(jù)；第二步是攻擊響應(yīng)，對發(fā)出的攻擊進(jìn)行相應(yīng)的處理，如發(fā)出報(bào)警、給系統(tǒng)管理員或相關(guān)的責(zé)任人發(fā)郵件等利用人為干預(yù)的形式解除攻擊，或是直接利用相應(yīng)的硬件設(shè)施進(jìn)行處理，如利用防火墻來切斷連接、過濾攻擊者的IP地址等方式迅速做出反應(yīng)。2.1.2入侵檢測系統(tǒng)模型及組件

1.入侵檢測系統(tǒng)的模型

1)入侵檢測系統(tǒng)的一般模型

在入侵檢測系統(tǒng)的發(fā)展歷程中，大致經(jīng)歷了集中式、層次式和集成式三個(gè)階段，代表這三個(gè)階段的入侵檢測系統(tǒng)的基本模型分別是通用入侵檢測模型（Denning模型）、層次化入侵檢測模型（IDM）和管理式入侵檢測模型（SNMP-IDSM）。（1）通用入侵檢測模型。

1987年，Denning提出了一個(gè)抽象的通用入侵檢測模型。該模型主要由六個(gè)部分構(gòu)成：主體、對象、審計(jì)記錄、活動(dòng)簡檔、異常記錄、活動(dòng)規(guī)則，模型如圖2.2所示。圖2.2通用入侵檢測模型

IDES與它的后繼NIDS都完全基于Denning模型，然而并不是所有的IDS都能完全符合該模型。與其它安全產(chǎn)品不同的是，入侵檢測系統(tǒng)需要更多的智能，它必須可以將得到的數(shù)據(jù)進(jìn)行分析，并得出有用的結(jié)果。一個(gè)合格的入侵檢測系統(tǒng)能大大地簡化管理員的工作，保證網(wǎng)絡(luò)安全運(yùn)行。這幾年，隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，應(yīng)用的網(wǎng)絡(luò)安全產(chǎn)品也越來越多，入侵檢測系統(tǒng)的市場發(fā)展很快，但是由于缺乏相應(yīng)的通用標(biāo)準(zhǔn)，各種入侵檢測系統(tǒng)各自為陣，系統(tǒng)之間的互操作性和互用性很差，這大大阻礙了入侵檢測系統(tǒng)的發(fā)展?；ヂ?lián)網(wǎng)工程任務(wù)組（IETF）的入侵檢測工作組（IDWG）和通用入侵檢測架構(gòu)（CIDF）組織都試圖對入侵檢測系統(tǒng)進(jìn)行標(biāo)準(zhǔn)化，并已提出了相關(guān)的草案。（2）IDM模型。

層次化入侵檢測模型將入侵檢測分為六個(gè)層次，分別是：數(shù)據(jù)、事件、主體、上下文、威脅、安全狀態(tài)。IDM模型給出了在推斷網(wǎng)絡(luò)中的計(jì)算機(jī)受攻擊時(shí)數(shù)據(jù)的抽象過程。也就是說，它給出了將分散的原始數(shù)據(jù)轉(zhuǎn)換為高層次有關(guān)入侵和被檢測環(huán)境的全部安全假設(shè)過程。通過把收集到的分散數(shù)據(jù)進(jìn)行加工抽象和數(shù)據(jù)關(guān)聯(lián)操作，IDM構(gòu)造了一臺虛擬的機(jī)器環(huán)境，這臺機(jī)器由所有相連的主機(jī)和網(wǎng)絡(luò)組成。將分布式系統(tǒng)看做一臺虛擬計(jì)算機(jī)的觀點(diǎn)簡化了跨越單機(jī)入侵行為的識別。IDM應(yīng)用于只有單臺計(jì)算機(jī)的小型網(wǎng)絡(luò)。（3）SNMP-IDSM模型。IDS系統(tǒng)之間的消息交換和協(xié)同檢測是以SNMP協(xié)議規(guī)定的報(bào)文格式和交互命令為基礎(chǔ)的。

SNMP是廣泛采用的一種網(wǎng)絡(luò)管理協(xié)議，定義了管理者與代理之間通信的流程、交互的數(shù)據(jù)格式，發(fā)布的管理命令及響應(yīng)等。其中，代理代表管理者根據(jù)管理者發(fā)布過來的請求對被管理對象執(zhí)行管理操作。SNMP-IDSM定義了IDS-MIB，IDS管理信息庫使得原始事件和抽象事件之間關(guān)系明確，并且易于擴(kuò)展。SNMP-IDSM的工作原理如圖2.3所示。圖2.3

IDSA與IDSＢ消息交換示意圖

SNMPGet:SNMP協(xié)議規(guī)定的提取被管理對象某些參數(shù)的命令。

SNMPSet：SNMP協(xié)議規(guī)定的對被管理對象進(jìn)行參數(shù)設(shè)置或初始化等命令。

TRAP:陷阱通知，在有異常情況的時(shí)候,代理主動(dòng)向管理者發(fā)送消息。

SNMP通告：管理者與管理者之間互相發(fā)送管理消息或異常的陷阱消息。

IDSB負(fù)責(zé)監(jiān)視主機(jī)B和請求最新的IDS事件，主機(jī)A的IDSA觀察到一個(gè)來自主機(jī)B的攻擊企圖，然后IDSA與IDSB聯(lián)系，IDSB響應(yīng)IDSA的請求，IDSB發(fā)現(xiàn)有人曾經(jīng)掃描主機(jī)B，某個(gè)用戶的異?；顒?dòng)事件被IDSB發(fā)布。IDSA懷疑主機(jī)B受到了攻擊，為了驗(yàn)證和尋找攻擊者的來源，IDSA使用MIB腳本發(fā)送一些代碼給IDSB。這些代碼的功能能夠搜集主機(jī)B的網(wǎng)絡(luò)活動(dòng)和用戶活動(dòng)的信息。最后，這些代碼的執(zhí)行結(jié)果表明用戶X在某個(gè)時(shí)候攻擊主機(jī)A，而且，IDSA進(jìn)一步得知用戶X來自主機(jī)C。這樣，IDSA和IDSC聯(lián)系，要求主機(jī)C向IDSA報(bào)告入侵事件。

2)基于系統(tǒng)行為分類的檢測模型

基于系統(tǒng)行為的入侵檢測的主要問題是，在給定的系統(tǒng)環(huán)境中，如何對系統(tǒng)的行為模式進(jìn)行定義、識別和分類。其中，分類就是采用一些分類算法，把一個(gè)數(shù)據(jù)項(xiàng)歸于預(yù)先定義的類別中的某一類。以系統(tǒng)行為模式的分類為例，由于系統(tǒng)的行為可以通過執(zhí)行系統(tǒng)軟件及相應(yīng)的服務(wù)程序來體現(xiàn)，顯然可以通過判斷系統(tǒng)中每個(gè)系統(tǒng)關(guān)鍵程序的執(zhí)行狀況來檢測整個(gè)系統(tǒng)的行為是否正常。通過收集足夠多關(guān)于某個(gè)系統(tǒng)關(guān)鍵程序的“正常”或“異?！被顒?dòng)的審計(jì)數(shù)據(jù)，然后指定“正常”與“異?！眱蓚€(gè)類別，用分類算法進(jìn)行學(xué)習(xí)，構(gòu)造一個(gè)二分類的分類器（通常的分類器多基于統(tǒng)計(jì)概率、決策樹、規(guī)則或神經(jīng)網(wǎng)絡(luò)）對系統(tǒng)進(jìn)程的審計(jì)跡數(shù)據(jù)進(jìn)行分類、分析，來判斷被監(jiān)控進(jìn)程的行為是否正常。由于程序執(zhí)行不僅有一定的順序，而且其功能也各不相同，對于不同的程序執(zhí)行跡，系統(tǒng)調(diào)用序列集合之間必然存在不同的系統(tǒng)調(diào)用子序列。由此可以達(dá)到區(qū)分不同程序的目的。為此，可以利用系統(tǒng)關(guān)鍵程序執(zhí)行跡中長度為k的系統(tǒng)調(diào)用序列集來構(gòu)造該程序的正常執(zhí)行的特征輪廓，且把系統(tǒng)中被監(jiān)控的所有關(guān)鍵程序的正常執(zhí)行特征輪廓（同一長度的系統(tǒng)調(diào)用子序列集）的并集（記為S）作為系統(tǒng)的正常執(zhí)行特征輪廓。定義：設(shè)A為被監(jiān)控系統(tǒng)的系統(tǒng)調(diào)用集合。系統(tǒng)行為模式空間U定義為某一固定長度k的系統(tǒng)調(diào)用序列的全集U={p=s1s2…sk|si∈A,i=1,2,…,k}，式中p被稱為長度為k的系統(tǒng)行為模式。

確定系統(tǒng)調(diào)用序列的長度k時(shí)必須注意：如果k比較小，那么系統(tǒng)正常執(zhí)行特征輪廓的集合S就有可能滿足S=U，這時(shí)U中的系統(tǒng)調(diào)用序列都是程序正常執(zhí)行跡的某個(gè)子序列，因而無法判定程序的執(zhí)行是否正常。因?yàn)槌绦蚴峭瓿梢欢üδ艿?，所以?dāng)k大于某一長度時(shí)，U中就會出現(xiàn)不在S中出現(xiàn)的系統(tǒng)調(diào)用子序列。記N=U-S，集合N表示在系統(tǒng)程序中不會出現(xiàn)的系統(tǒng)調(diào)用子序列。下面給出定義在系統(tǒng)行為模式空間U上的入侵檢測分類模型（見圖2.4）：D=(f,M)。在圖2.4中，M為系統(tǒng)正常行為模式（注意：M是通過對訓(xùn)練數(shù)據(jù)集－系統(tǒng)程序執(zhí)行跡集合的分析得到的，而S為理論上精確的系統(tǒng)正常模式集合）。線條所涵蓋的區(qū)域?yàn)镾集合，實(shí)線所圍區(qū)域?yàn)镸集合，f是一個(gè)二分類函數(shù)。給定一個(gè)行為模式，可判斷它是否是系統(tǒng)的正常行為，定義如下：圖2.4定義在系統(tǒng)行為模式集合上的入侵檢測系統(tǒng)模型對于一個(gè)檢測模型，其正確檢測率越高越好。但由于訓(xùn)練數(shù)據(jù)的不完全，可能有些程序的正常執(zhí)行模式不包含在檢測系統(tǒng)D＝（f，M）的模式集合M中，這樣在檢測時(shí)就可能出現(xiàn)把系統(tǒng)的正常行為誤判為入侵行為的錯(cuò)誤，這類錯(cuò)誤被稱為虛警。圖中，虛警所指為越過M界的線條，檢測系統(tǒng)在檢測過程中出現(xiàn)虛警的概率稱為系統(tǒng)的虛警率。

檢測分類器的建立可采用多種機(jī)器學(xué)習(xí)的方法來實(shí)現(xiàn)，典型的方法有：決策樹、規(guī)則提取、神經(jīng)網(wǎng)絡(luò)以及貝葉斯學(xué)習(xí)方法等。使用分類模型構(gòu)建異常檢測器的一個(gè)關(guān)鍵條件是：必須有“充足”的、能夠覆蓋盡可能多系統(tǒng)正常行為的訓(xùn)練數(shù)據(jù)，只有這樣才能夠使檢測器保持一個(gè)較低的虛警率?？梢韵韧ㄟ^有限的訓(xùn)練數(shù)據(jù)獲得基本分類器，然后使用在線學(xué)習(xí)算法不斷地更新分類器。由于不能保證訓(xùn)練數(shù)據(jù)沒有受到污染、損壞等原因，檢測系統(tǒng)D＝（f，M）提取的系統(tǒng)行為模式集合M中，也可能會存在一些異常模式。這樣檢測系統(tǒng)在檢測時(shí)就可能把某些入侵行為誤判為正常行為，這種錯(cuò)誤現(xiàn)象稱為漏警。圖中，漏警為M界內(nèi)非線條區(qū)域。漏警現(xiàn)象在基于知識的入侵檢測系統(tǒng)中比較普遍，因?yàn)榛谥R的入侵檢測系統(tǒng)是根據(jù)已知入侵行為的模式來檢測針對系統(tǒng)的入侵的。顯然，這類入侵檢測系統(tǒng)對于未知的入侵行為肯定會出現(xiàn)漏警。檢測系統(tǒng)在檢測過程中出現(xiàn)漏警的概率稱為系統(tǒng)的漏警率。與虛警現(xiàn)象相比，漏警的危害顯然更大。

3)面向數(shù)據(jù)處理的檢測模型

從以數(shù)據(jù)為中心的觀點(diǎn)來看，所有軟件（應(yīng)用）系統(tǒng)定義、開發(fā)的最終目的都是為了解決數(shù)據(jù)處理問題，也就是如何將一種形式的數(shù)據(jù)轉(zhuǎn)換成另一種形式的數(shù)據(jù)。其數(shù)據(jù)轉(zhuǎn)換過程必然經(jīng)歷數(shù)據(jù)的輸入、加工和輸出結(jié)果數(shù)據(jù)等步驟。同理，入侵檢測系統(tǒng)檢測入侵行為的過程也是一個(gè)典型的數(shù)據(jù)分析過程，異常檢測就是從審計(jì)數(shù)據(jù)中發(fā)現(xiàn)系統(tǒng)的不正常使用模式的過程，基于知識的入侵檢測則是對已知的入侵模式進(jìn)行編碼并使用審計(jì)數(shù)據(jù)對其進(jìn)行匹配的過程。因此，在分析、設(shè)計(jì)入侵檢測系統(tǒng)時(shí)可以從數(shù)據(jù)處理的角度來考慮。圖2.5給出了一個(gè)面向數(shù)據(jù)處理的入侵檢測系統(tǒng)模型，它的主要功能模塊包括：審計(jì)、數(shù)據(jù)預(yù)處理、規(guī)則（特征輪廓、入侵簽名等）提取、檢測以及響應(yīng)（事后處理、攻擊源的追蹤等）。圖2.5面向數(shù)據(jù)處理的入侵檢測系統(tǒng)模型審計(jì)功能模塊用來收集系統(tǒng)用戶、關(guān)鍵系統(tǒng)程序以及應(yīng)用程序活動(dòng)的審計(jì)日志數(shù)據(jù)。數(shù)據(jù)預(yù)處理功能模塊則是把系統(tǒng)審計(jì)日志中的數(shù)據(jù)轉(zhuǎn)換成檢測模塊（檢測器）能夠識別的數(shù)據(jù)格式，并提供初步的分析功能（在網(wǎng)絡(luò)環(huán)境下，異構(gòu)的被監(jiān)控系統(tǒng)將提供不同形式的審計(jì)數(shù)據(jù)，數(shù)據(jù)預(yù)處理功能模塊的重要性就更加明顯了）。規(guī)則提取模塊只在入侵檢測系統(tǒng)的學(xué)習(xí)階段起作用，用于從訓(xùn)練數(shù)據(jù)中提取描述系統(tǒng)正常特征輪廓或入侵簽名的判斷規(guī)則。檢測器則根據(jù)已知的檢測知識，分析數(shù)據(jù)預(yù)處理模塊給出的系統(tǒng)信息數(shù)據(jù)，對系統(tǒng)的行為進(jìn)行評判，得出結(jié)論。入侵檢測系統(tǒng)的控制器則根據(jù)檢測的結(jié)果給出報(bào)警和事件響應(yīng)、處理的策略，控制入侵檢測系統(tǒng)的響應(yīng)機(jī)制對入侵做出相應(yīng)的反應(yīng)，比如入侵簽名及系統(tǒng)規(guī)則庫更新，對入侵的追蹤、誘騙以及利用其它工具對系統(tǒng)進(jìn)行漏洞掃描分析，重新配置系統(tǒng)，堵塞系統(tǒng)安全漏洞等。

2.入侵檢測系統(tǒng)的組件

入侵檢測系統(tǒng)至少應(yīng)該包括三個(gè)功能模塊：提供事件記錄流的信息源、發(fā)現(xiàn)入侵跡象的分析引擎和基于分析引擎的響應(yīng)部件。

美國國防部高級計(jì)劃局提出的公共入侵檢測框架的一個(gè)入侵檢測系統(tǒng)的通用模型將入侵檢測系統(tǒng)分為四個(gè)組件：事件產(chǎn)生器、事件分析器、響應(yīng)單元和事件數(shù)據(jù)庫。在這個(gè)模型中，前三者以程序的形式出現(xiàn)，而最后一個(gè)則往往是文件或數(shù)據(jù)流。它們在入侵檢測系統(tǒng)中的位置和相互關(guān)系如圖2.6所示。圖2.6入侵檢測系統(tǒng)通用模型公共入侵檢測框架將需要分析的數(shù)據(jù)統(tǒng)稱為事件，它可以是網(wǎng)絡(luò)中的數(shù)據(jù)包，也可以是從系統(tǒng)日志等其它途徑得到的信息。

1)事件產(chǎn)生器

入侵檢測的第一步就是信息收集。收集的內(nèi)容包括整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)中的系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為，這是由事件產(chǎn)生器完成的。入侵檢測在很大程度上依賴于信息收集的可靠性、正確性和完備性。因此要確保采集、報(bào)告這些信息的軟件工具的可靠性，這些軟件本身應(yīng)具有相當(dāng)強(qiáng)的堅(jiān)固性，能夠防止被篡改而收集到錯(cuò)誤信息。事件產(chǎn)生器的作用是從整個(gè)計(jì)算環(huán)境中獲得事件，并向系統(tǒng)的其它部分提供此事件。

2)事件分析器

事件分析器是入侵檢測系統(tǒng)的核心，它的效率高低直接決定了整個(gè)入侵檢測系統(tǒng)的性能。其作用是分析得到的數(shù)據(jù)，并產(chǎn)生分析結(jié)果。根據(jù)事件分析的不同方式可將入侵檢測系統(tǒng)分為異常入侵檢測、誤用入侵檢測和完整性分析三類。

3)響應(yīng)單元

當(dāng)事件分析器發(fā)現(xiàn)入侵跡象后，入侵檢測系統(tǒng)的下一步工作就是響應(yīng)。而響應(yīng)的對象并不局限于可疑的攻擊者。響應(yīng)單元的作用是對分析結(jié)果做出反應(yīng)，它可以做出切斷連接、改變文件屬性等強(qiáng)烈反應(yīng)，也可以只是簡單報(bào)警。

目前，較完善的入侵檢測系統(tǒng)具有的響應(yīng)功能包括：

（1）根據(jù)攻擊類型自動(dòng)終止攻擊；

（2）終止可疑用戶的連接甚至所有用戶的連接，切斷攻擊者的網(wǎng)絡(luò)連接，減少損失；

（3）如果可疑用戶獲得賬號，則將其禁止，重新配置防火墻，更改其過濾規(guī)則，以防止此類攻擊重現(xiàn)；（4）向管理控制臺發(fā)出警告指出事件的發(fā)生；

（5）將事件的原始數(shù)據(jù)和分析結(jié)果記錄到日志中，并產(chǎn)生相應(yīng)的報(bào)告，包括時(shí)間、源地址、目的地址和類型描述等重要信息；

（6）必要時(shí)實(shí)時(shí)跟蹤事件，向安全管理人員發(fā)出提示性警報(bào)，可以通過鳴鈴或發(fā)E-mail等；

（7）可以執(zhí)行一個(gè)用戶自定義程序或腳本，方便用戶操作，同時(shí)也提供了系統(tǒng)擴(kuò)展的手段。

4)事件數(shù)據(jù)庫

事件數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，它可以是復(fù)雜的數(shù)據(jù)庫，也可以是簡單的文本文件。考慮到數(shù)據(jù)的龐大性和復(fù)雜性，一般都采用成熟的數(shù)據(jù)庫產(chǎn)品來支持。事件數(shù)據(jù)庫的作用是充分發(fā)揮數(shù)據(jù)庫的長處，方便其它系統(tǒng)模塊對數(shù)據(jù)的添加、刪除、訪問、排序和分類等操作。

在一般的入侵檢測系統(tǒng)中，事件產(chǎn)生器和事件分析器是比較重要的兩個(gè)組件，在設(shè)計(jì)時(shí)采用的策略不同，其功能和影響也會有很大的差別，而響應(yīng)單元和事件數(shù)據(jù)庫相對來說則比較固定。 2.2入侵檢測系統(tǒng)的分類

根據(jù)不同的分類標(biāo)準(zhǔn)，IDS可分為不同的類別。要考慮的因素（分類依據(jù)）主要有：數(shù)據(jù)源、入侵事件生成、事件處理、檢測方法等，可以用圖2.7來具體表示。圖2.7入侵檢測系統(tǒng)的分類2.2.1按IDS數(shù)據(jù)源的分類方式

按照數(shù)據(jù)源的不同，可以將入侵檢測系統(tǒng)分為三類：基于主機(jī)、基于網(wǎng)絡(luò)和混合型。

1.基于主機(jī)的入侵檢測系統(tǒng)（HIDS）

基于主機(jī)的（Host-Based）入侵檢測系統(tǒng)分析的數(shù)據(jù)是計(jì)算機(jī)操作系統(tǒng)的事件日志、應(yīng)用程序的事件日志、系統(tǒng)調(diào)用、端口調(diào)用和安全審計(jì)記錄。它是通過比較這些審計(jì)記錄文件的記錄與攻擊簽名（AttackSignature，用一種特定的方式來表示已知的攻擊模式），以發(fā)現(xiàn)它們是否匹配。如果匹配，則檢測系統(tǒng)向系統(tǒng)管理員發(fā)出入侵報(bào)警并采取相應(yīng)的行動(dòng)?；谥鳈C(jī)的入侵檢測系統(tǒng)結(jié)構(gòu)示意圖如圖2.8所示。圖2.8基于主機(jī)的系統(tǒng)結(jié)構(gòu)示意圖由于審計(jì)數(shù)據(jù)是收集系統(tǒng)用戶行為信息的主要方法，因而必須保證系統(tǒng)的審計(jì)數(shù)據(jù)不被修改。這就要求基于主機(jī)的入侵檢測系統(tǒng)必須滿足一個(gè)重要的實(shí)時(shí)性條件：檢測系統(tǒng)必須在攻擊者完全控制系統(tǒng)并更改審計(jì)數(shù)據(jù)之前完成對審計(jì)數(shù)據(jù)的分析、產(chǎn)生報(bào)警并采取相應(yīng)的措施。

主機(jī)入侵檢測系統(tǒng)保護(hù)的一般是所在的主機(jī)系統(tǒng)，基于主機(jī)的入侵檢測系統(tǒng)需要定義哪些是不合法的活動(dòng)，然后把這種安全策略轉(zhuǎn)換成入侵檢測規(guī)則。

2.基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（NIDS）

基于網(wǎng)絡(luò)的（NetworkBased）入侵檢測系統(tǒng)分析的數(shù)據(jù)是網(wǎng)絡(luò)上的數(shù)據(jù)包。它以原始的網(wǎng)絡(luò)數(shù)據(jù)包作為數(shù)據(jù)源，利用網(wǎng)絡(luò)適配器來實(shí)時(shí)地監(jiān)視并分析通過網(wǎng)絡(luò)進(jìn)行傳輸?shù)乃型ㄐ艠I(yè)務(wù)。其模型如圖2.9所示。圖2.9基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)模型

3.混合型入侵檢測模型（分布式的入侵檢測模型）

基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測系統(tǒng)都有不足之處，會造成防御系統(tǒng)的不全面?；旌闲腿肭謾z測模型綜合了基于網(wǎng)絡(luò)和基于主機(jī)入侵檢測系統(tǒng)的優(yōu)點(diǎn)，既可以發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊信息，也可以從系統(tǒng)日志中發(fā)現(xiàn)異常情況。系統(tǒng)通常由數(shù)據(jù)采集模塊、通信傳輸模塊、入侵檢測分析模塊、響應(yīng)處理模塊、管理中心模塊及安全知識庫組成，這些模塊可以根據(jù)不同的情況進(jìn)行組合?；旌闲偷娜肭謾z測系統(tǒng)對大型網(wǎng)絡(luò)的安全很有必要，它能夠?qū)⒒谥鳈C(jī)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)結(jié)合起來，檢測到的數(shù)據(jù)較豐富，可以克服單一結(jié)構(gòu)的不足。但混合型的入侵檢測系統(tǒng)增加了網(wǎng)絡(luò)管理的難度和開銷。圖2.10為分布式入侵檢測系統(tǒng)設(shè)計(jì)框圖實(shí)例，由圖可以看出，該系統(tǒng)的主要功能部件有網(wǎng)絡(luò)引擎、主機(jī)代理、分析系統(tǒng)、管理控制系統(tǒng)、存儲系統(tǒng)、響應(yīng)系統(tǒng)等。圖2.11是一個(gè)典型的分布式入侵檢測系統(tǒng)部署圖。圖2.10分布式入侵檢測系統(tǒng)設(shè)計(jì)框圖實(shí)例圖2.11典型的分布式入侵檢測系統(tǒng)部署圖網(wǎng)絡(luò)引擎主要是從網(wǎng)絡(luò)流量中獲取原始數(shù)據(jù)包，并對其進(jìn)行預(yù)處理，將預(yù)處理后的數(shù)據(jù)發(fā)送給分析系統(tǒng)；主機(jī)代理則是從受保護(hù)的主機(jī)系統(tǒng)獲取審計(jì)數(shù)據(jù)，并對其進(jìn)行預(yù)處理，將處理后的數(shù)據(jù)送往分析系統(tǒng)；分析系統(tǒng)對預(yù)處理后的數(shù)據(jù)進(jìn)行分析，根據(jù)不同的數(shù)據(jù)特點(diǎn)建立相應(yīng)的檢測模型，即采用不同的檢測算法對數(shù)據(jù)進(jìn)行分析處理，并將分析結(jié)果送到管理控制系統(tǒng)；管理控制系統(tǒng)是整個(gè)系統(tǒng)同用戶交互的窗口，它提供各種管理控制信息，并協(xié)調(diào)其它部件的工作；存儲系統(tǒng)是用來對各種結(jié)果進(jìn)行存儲的地方，并提供靈活的數(shù)據(jù)維護(hù)、處理和查詢服務(wù)，同時(shí)也是一個(gè)安全的日志系統(tǒng)；響應(yīng)系統(tǒng)則是對確認(rèn)的入侵行為采取相應(yīng)措施的子系統(tǒng)。

從所采用的技術(shù)角度來看，分布式入侵檢測系統(tǒng)的檢測機(jī)制是誤用檢測和異常檢測（見本章后面部分）并舉的方案。2.2.2按IDS所采用的分析技術(shù)分類

從技術(shù)上劃分，一般認(rèn)為入侵檢測有兩種模型：異常入侵檢測（AnomalyDetection）模型和誤用入侵檢測（MisuseDetection）模型。

1.異常檢測模型

異常檢測（AnomalyDetection）首先總結(jié)正常操作應(yīng)該具有的特征（用戶輪廓），當(dāng)用戶活動(dòng)與正常行為有重大偏離時(shí)即被認(rèn)為是入侵，也稱基于行為的（BehaviorBased）檢測。入侵活動(dòng)并不總是與異常活動(dòng)相符合,這種活動(dòng)存在四種可能性：圖2.12異常檢測系統(tǒng)模型（1）入侵性而非異常；

（2）非入侵性且異常；

（3）非入侵性且非異常；

（4）入侵且異常。

異常入侵要解決的問題就是構(gòu)造異?；顒?dòng)集并從中發(fā)現(xiàn)入侵性活動(dòng)子集。異常入侵檢測方法依賴于異常模型的建立，不同模型構(gòu)成不同的檢測方法。其檢測模型如圖2.12所示。異常檢測所面臨的關(guān)鍵問題有：

（1）特征量的選擇。

異常檢測首先是要建立系統(tǒng)或用戶的“正?！毙袨樘卣鬏喞?，這就要求在建立正常模型時(shí)，選取的特征量既要能準(zhǔn)確地體現(xiàn)系統(tǒng)或用戶的行為特征，又能使模型最優(yōu)化，即以最少的特征量涵蓋系統(tǒng)或用戶的行為特征。作為異常檢測的最關(guān)鍵的第一步，它將直接影響檢測性能的優(yōu)劣。（2）閾值的選定。

由于異常檢測是先建立正常的特征輪廓并以此作為比較的基準(zhǔn)，這個(gè)基準(zhǔn)，即閾值的選定是非常關(guān)鍵的，是直接衡量這一檢測方法準(zhǔn)確率高低的至關(guān)重要的因素。閾值選得過大，那漏警（FalseNegatives）率就會很高；閾值選得過小，則虛警（FalsePositives）率就會提高。（3）比較頻率的選取。

比較頻率，即經(jīng)過多長時(shí)間比較當(dāng)前的行為和已建立的正常行為特征輪廓來判斷入侵的發(fā)生與否也是一個(gè)重要因素。經(jīng)過的時(shí)間過長，檢測結(jié)果的漏警率會很高；經(jīng)過的時(shí)間過短，就存在虛警率提高的問題。另外，正常的行為特征輪廓存在更新的問題，這也是在選取比較的頻率時(shí)必須考慮的因素。

異常檢測法的優(yōu)點(diǎn)是：對于未知的入侵行為的檢測非常有效；檢測冒充合法用戶的入侵行為的有效方法但異常檢測的漏報(bào)率低，誤報(bào)率高；由于需要實(shí)時(shí)地建立和更新系統(tǒng)或用戶的特征輪廓，因而所需的計(jì)算量很大，對系統(tǒng)的處理性能要求也很高，但是不需要對每種入侵行為進(jìn)行定義。

2.誤用檢測模型

誤用檢測（MisuseDetection）：收集非正常操作的行為特征，建立相關(guān)的特征庫，當(dāng)監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時(shí)，系統(tǒng)就認(rèn)為這種行為是入侵。誤用檢測也被稱為基于知識的（KnowledgeBased）檢測。誤用檢測的基本前提是,假定所有可能的入侵行為都能被識別和表示。

誤用檢測的原理是：首先對已知的攻擊方法進(jìn)行攻擊簽名表示，攻擊簽名是指用一種特定的方式來表示已知的攻擊模式;然后根據(jù)已經(jīng)定義好的攻擊簽名，通過判斷這些攻擊簽名是否出現(xiàn)來判斷入侵行為的發(fā)生與否。這種方法是通過直接判斷攻擊簽名的出現(xiàn)與否來判斷入侵行為的，從這一點(diǎn)來看，它是一種直接的方法。誤用檢測模型如圖2.13所示。圖2.13誤用檢測系統(tǒng)模型誤用檢測的優(yōu)點(diǎn)：

（1）誤用檢測只需收集相關(guān)的數(shù)據(jù)，這樣系統(tǒng)的負(fù)擔(dān)就明顯減少了。誤用檢測是通過匹配模式庫來完成檢測過程的，所以在計(jì)算處理上對系統(tǒng)的要求不是很高。該方法類似于病毒檢測系統(tǒng)，其檢測的準(zhǔn)確率和效率都比較高，誤報(bào)率低；

（2）技術(shù)比較成熟，國際上一些頂尖的入侵檢測系統(tǒng)都采用該方法，如Cisco的NetRanger、IIS的RealSecure以及Axent公司的IntruderAlert等。誤用檢測的主要局限性表現(xiàn)在：

（1）不能檢測未知的入侵行為，漏警率會比較高；

（2）與系統(tǒng)的相關(guān)性很強(qiáng)，對于不同的操作系統(tǒng)，由于其實(shí)現(xiàn)機(jī)制不同，對其攻擊的方法也不盡相同，因而很難定義出統(tǒng)一的模式庫；

（3）對于系統(tǒng)內(nèi)部攻擊者的越權(quán)行為，由于它們沒有利用系統(tǒng)的缺陷，因而很難檢測出來；

（4）特征庫必須不斷更新。3.誤用和異常檢測混合的入侵檢測

圖2.14分布式入侵檢測系統(tǒng)的檢測機(jī)制示意圖2.2.3其它分類方式

1.按工作方式分類

按照入侵檢測的工作方式，可以分為實(shí)時(shí)入侵檢測和事后入侵檢測。

1)實(shí)時(shí)（在線式）入侵檢測

實(shí)時(shí)入侵檢測是指對網(wǎng)絡(luò)數(shù)據(jù)包或主機(jī)的審計(jì)數(shù)據(jù)等進(jìn)行實(shí)時(shí)分析，可以快速反應(yīng)，保護(hù)系統(tǒng)的安全。但在系統(tǒng)規(guī)模較大時(shí)，難以保證實(shí)時(shí)性。

2)事后（離線式）入侵檢測

事后入侵檢測是指通過事后分析審計(jì)事件和文件等，從中檢測入侵事件。這可以分析大量事件，調(diào)查長期的情況，有利于其它方法建立模型。但由于是在事后進(jìn)行，不能對系統(tǒng)提供及時(shí)的保護(hù)，而且很多入侵在完成后都將審計(jì)事件去掉，無法進(jìn)行分析。

2.按體系結(jié)構(gòu)分類

按入侵檢測的體系結(jié)構(gòu)，可以分為集中式、等級式和協(xié)作式三種。

1)集中式入侵檢測

這種結(jié)構(gòu)的IDS可能有多個(gè)分布于不同主機(jī)上的審計(jì)程序，但只有一個(gè)中央入侵檢測服務(wù)器。審計(jì)程序把當(dāng)?shù)厥占降臄?shù)據(jù)蹤跡發(fā)送給中央服務(wù)器進(jìn)行分析處理。這種結(jié)構(gòu)的IDS在可伸縮性、可配置性方面存在致命缺陷：第一，隨著網(wǎng)絡(luò)規(guī)模的增加，主機(jī)審計(jì)程序和服務(wù)器之間傳送的數(shù)據(jù)量就會驟增，導(dǎo)致網(wǎng)絡(luò)性能大大降低；第二，系統(tǒng)安全性脆弱，一旦中央服務(wù)器出現(xiàn)故障，整個(gè)系統(tǒng)就會陷入癱瘓；第三，根據(jù)各個(gè)主機(jī)不同需求配置服務(wù)器也非常復(fù)雜。

2)等級式入侵檢測

等級式入侵檢測用來監(jiān)控大型網(wǎng)絡(luò)，定義了若干個(gè)分等級的監(jiān)控區(qū)，每個(gè)IDS負(fù)責(zé)一個(gè)區(qū)，每一級IDS只負(fù)責(zé)所監(jiān)控區(qū)的分析，然后將當(dāng)?shù)氐姆治鼋Y(jié)果傳送給上一級IDS。這種結(jié)構(gòu)仍存兩個(gè)問題：首先，當(dāng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)改變時(shí)，區(qū)域分析結(jié)果的匯總機(jī)制也需要做相應(yīng)的調(diào)整；第二，這種結(jié)構(gòu)的IDS最后還是要把各地收集到的結(jié)果傳送到最高級的檢測服務(wù)器進(jìn)行全局分析，所以系統(tǒng)的安全性沒有實(shí)質(zhì)性的改進(jìn)。

3)協(xié)作式入侵檢測

協(xié)作式入侵檢測是將中央檢測服務(wù)器的任務(wù)分配給多個(gè)基于主機(jī)的IDS，這些IDS不分等級，各司其職，負(fù)責(zé)監(jiān)控當(dāng)?shù)刂鳈C(jī)的某些活動(dòng)。所以，其可伸縮性、安全性都得到了顯著的提高，但維護(hù)成本卻高了很多，并且增加了所監(jiān)控主機(jī)的工作負(fù)荷，如通信機(jī)制、審計(jì)開銷、蹤跡分析等。

3.根據(jù)入侵檢測的響應(yīng)方式分類

根據(jù)入侵檢測的響應(yīng)方式，可分為被動(dòng)響應(yīng)和主動(dòng)響應(yīng)。

1)被動(dòng)響應(yīng)型系統(tǒng)

被動(dòng)響應(yīng)型系統(tǒng)只會發(fā)出告警通知，將發(fā)生的不正常情況報(bào)告給管理員，本身并不試圖降低所造成的破壞，更不會主動(dòng)地對攻擊者采取反擊行動(dòng)。

2)主動(dòng)響應(yīng)型系統(tǒng)

主動(dòng)響應(yīng)系統(tǒng)可以分為兩類：

(1)對被攻擊系統(tǒng)實(shí)施控制的系統(tǒng)，它通過調(diào)整被攻擊系統(tǒng)的狀態(tài)，阻止或減輕攻擊影響，例如斷開網(wǎng)絡(luò)連接、增加安全日志、殺死可疑進(jìn)程等；

(2)對攻擊系統(tǒng)實(shí)施控制的系統(tǒng)，這種系統(tǒng)多被軍方所重視和采用。

4.根據(jù)入侵檢測的實(shí)效性角度分類

1)脫機(jī)分析

脫機(jī)分析就是在行為發(fā)生后，對產(chǎn)生的數(shù)據(jù)進(jìn)行分析，而不是在行為發(fā)生的同時(shí)進(jìn)行分析，如對日志的審核、對系統(tǒng)文件的完整性檢查等都屬于脫機(jī)分析。一般而言，脫機(jī)分析不會間隔很長時(shí)間，所謂的脫機(jī)只是與聯(lián)機(jī)相對而言。

2)聯(lián)機(jī)分析

聯(lián)機(jī)分析是在數(shù)據(jù)產(chǎn)生或者發(fā)生改變的同時(shí)對其進(jìn)行檢查，以發(fā)現(xiàn)攻擊行為。這種方式一般用于網(wǎng)絡(luò)的實(shí)時(shí)分析，對系統(tǒng)資源的要求比較高。

當(dāng)然，根據(jù)檢測方法還可以將入侵檢測系統(tǒng)分為基于知識的檢測和基于行為的檢測；根據(jù)對入侵行為的響應(yīng)可以把入侵檢測系統(tǒng)分為主動(dòng)IDS和被動(dòng)IDS（發(fā)現(xiàn)入侵行為后，只發(fā)出報(bào)警）；還根據(jù)IDS對入侵檢測的時(shí)間可分為實(shí)時(shí)入侵檢測IDS及定期入侵檢測IDS等。 2.3基于主機(jī)的入侵檢測系統(tǒng)

按IDS數(shù)據(jù)源的分類方式可將入侵檢測系統(tǒng)分為基于主機(jī)的入侵檢測系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。主機(jī)型入侵檢測系統(tǒng)是將檢測系統(tǒng)安裝在被重點(diǎn)檢測的主機(jī)之上，主要是對該主機(jī)的網(wǎng)絡(luò)實(shí)時(shí)連接以及系統(tǒng)審計(jì)日志、應(yīng)用程序日志等作為數(shù)據(jù)源而進(jìn)行智能分析和判斷，當(dāng)然也可以通過其它手段（如監(jiān)督系統(tǒng)調(diào)用）從所在的主機(jī)收集信息進(jìn)行分析。如果其中主體活動(dòng)十分可疑（特征或行為違反統(tǒng)計(jì)規(guī)律），入侵檢測系統(tǒng)就會采取相關(guān)措施。主機(jī)型入侵檢測系統(tǒng)保護(hù)的一般是所在的系統(tǒng)，而網(wǎng)絡(luò)型入侵檢測系統(tǒng)的數(shù)據(jù)源則是網(wǎng)絡(luò)上的數(shù)據(jù)包，往往將一臺機(jī)子的網(wǎng)卡設(shè)于混雜模式，監(jiān)聽所有本網(wǎng)段內(nèi)的數(shù)據(jù)包并進(jìn)行判斷。一般網(wǎng)絡(luò)型入侵檢測系統(tǒng)擔(dān)負(fù)著保護(hù)整個(gè)網(wǎng)段的任務(wù)。2.3.1基于主機(jī)的入侵檢測系統(tǒng)的工作原理

基于主機(jī)的入侵檢測系統(tǒng)（HIDS）的結(jié)構(gòu)圖如圖2.8所示?；舅枷胧菍⑷肭謾z測模塊安裝于網(wǎng)絡(luò)中的主動(dòng)節(jié)點(diǎn)上，這些主動(dòng)節(jié)點(diǎn)可以是需要重點(diǎn)保護(hù)的主機(jī)，也可以是關(guān)鍵路由節(jié)點(diǎn)。安裝于主機(jī)上的入侵檢測模塊主要通過對主機(jī)的審計(jì)日志進(jìn)行分析來發(fā)現(xiàn)針對主機(jī)的可疑行為，而運(yùn)行于路由節(jié)點(diǎn)上的入侵檢測模塊通過對經(jīng)過該節(jié)點(diǎn)轉(zhuǎn)發(fā)的數(shù)據(jù)包文進(jìn)行特征分析，通過模式識別來發(fā)現(xiàn)其中的入侵行為。為了防止誤報(bào)和漏報(bào)，這些運(yùn)行于不同節(jié)點(diǎn)上的入侵檢測系統(tǒng)需要協(xié)同工作來完成入侵攻擊的全局信息提取。首先，入侵檢測模塊分布于網(wǎng)絡(luò)的不同位置，同時(shí)收集并分析相同或不同類型的原始數(shù)據(jù)，當(dāng)某個(gè)可疑事件發(fā)生后有選擇地通知管理節(jié)點(diǎn)，而管理節(jié)點(diǎn)負(fù)責(zé)接收、關(guān)聯(lián)及處理多個(gè)檢測節(jié)點(diǎn)的不同類型的可疑事件，綜合分析后找出入侵行為并進(jìn)行報(bào)警或完成相應(yīng)的控制工作；其次，當(dāng)某個(gè)節(jié)點(diǎn)發(fā)現(xiàn)可疑行為后，可要求其它相關(guān)節(jié)點(diǎn)安裝運(yùn)行特定的程序來啟動(dòng)對特定信息的收集工作，并將收集到的信息返回該節(jié)點(diǎn)，通過綜合各節(jié)點(diǎn)送來的信息判斷是否為入侵行為?；谥鳈C(jī)的入侵檢測系統(tǒng)主要用于保護(hù)運(yùn)用關(guān)鍵應(yīng)用的服務(wù)器。其優(yōu)點(diǎn)是對分析“可能的攻擊行為”非常有用，不僅能夠指出入侵者試圖執(zhí)行哪種“危險(xiǎn)的命令”，還能分辨出入侵者運(yùn)行了什么命令，進(jìn)行了什么操作、執(zhí)行了哪些系統(tǒng)調(diào)用等。主機(jī)入侵檢測系統(tǒng)與網(wǎng)絡(luò)入侵檢測系統(tǒng)相比，能夠提供更為詳盡的用戶操作調(diào)用信息，且配置靈活。因此，基于主機(jī)的入侵檢測系統(tǒng)能確定攻擊是否成功，可用于加密的以及交換的環(huán)境，對網(wǎng)絡(luò)流量也不敏感并且不需要額外的硬件。2.3.2基于主機(jī)的IDS的優(yōu)缺點(diǎn)

1.基于主機(jī)的IDS的優(yōu)點(diǎn)

基于主機(jī)的IDS使用包含有確實(shí)已經(jīng)發(fā)生的事件信息的日志文件作為數(shù)據(jù)源，其優(yōu)點(diǎn)如下：

（1）能夠確定攻擊是否成功。

由于基于主機(jī)的IDS使用包含有確實(shí)已經(jīng)發(fā)生的事件信息的日志文件作為數(shù)據(jù)源，因而比基于網(wǎng)絡(luò)的IDS更能準(zhǔn)確地判斷出攻擊是否成功。（2）非常適合于加密和交換環(huán)境。基于主機(jī)的入侵檢測系統(tǒng)的環(huán)境如圖2.15所示。由于基于主機(jī)的IDS系統(tǒng)安裝在企業(yè)的各種主機(jī)和服務(wù)器上，其檢測工作是基于應(yīng)用層及其以上層次的，更加適于交換和加密的環(huán)境。因?yàn)榻粨Q設(shè)備可將大型網(wǎng)絡(luò)分成許多小型網(wǎng)絡(luò)部件加以管理，所以從覆蓋足夠大的網(wǎng)絡(luò)范圍的角度出發(fā)，很難確定配置基于網(wǎng)絡(luò)的IDS的最佳位置，而基于主機(jī)的入侵檢測系統(tǒng)可安裝在所需的重要主機(jī)上，在交換的環(huán)境中具有更高的能見度。由于加密方式位于協(xié)議堆棧內(nèi)，基于網(wǎng)絡(luò)的IDS是以網(wǎng)絡(luò)數(shù)據(jù)包作為數(shù)據(jù)源的，因此基于網(wǎng)絡(luò)的IDS可能對某些攻擊沒有反應(yīng)，而基于主機(jī)的IDS沒有這方面的限制，因?yàn)樗械募用軘?shù)據(jù)在到達(dá)主機(jī)之前必須被解密，這樣才能被操作系統(tǒng)所解析。圖2.15

HIDS在服務(wù)器上運(yùn)行環(huán)境示意圖（3）接近實(shí)時(shí)的檢測和響應(yīng)?；谥鳈C(jī)的IDS不能提供真正的實(shí)時(shí)響應(yīng)，但是由于現(xiàn)有的基于主機(jī)的IDS大多采取的是在日志文件形成的同時(shí)獲取審計(jì)數(shù)據(jù)信息，因而就為近實(shí)時(shí)的檢測和響應(yīng)提供了可能。

（4）不需要額外的硬件?；谥鳈C(jī)的IDS是駐留在現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)設(shè)施之上的，包括文件服務(wù)器、Web服務(wù)器和其它的共享資源等，這樣就減少了基于主機(jī)的IDS的實(shí)施成本。（5）可監(jiān)視特定的系統(tǒng)行為?；谥鳈C(jī)的IDS可以監(jiān)視用戶和文件的訪問活動(dòng)，而基于網(wǎng)絡(luò)的IDS就很難做到這一點(diǎn)?；谥鳈C(jī)的IDS還可以監(jiān)視通常只有管理員才能實(shí)施的行為，一旦發(fā)生了更改，基于主機(jī)的IDS就能檢測到不適當(dāng)?shù)母摹；谥鳈C(jī)的IDS還可以跟蹤影響系統(tǒng)日志記錄的策略的變化，因此可以監(jiān)視對用戶和文件的訪問活動(dòng)、管理員的行為、關(guān)鍵系統(tǒng)文件和可執(zhí)行文件的更改等行為。（6）基于主機(jī)的IDS可以監(jiān)視關(guān)鍵系統(tǒng)文件和可執(zhí)行文件的更改。試圖對關(guān)鍵的系統(tǒng)文件進(jìn)行覆蓋或試圖安裝特洛伊木馬或后門程序的操作都可被檢測出并被終止，而基于網(wǎng)絡(luò)的IDS有時(shí)就做不到這一點(diǎn)。

（7）可針對不同操作系統(tǒng)的特點(diǎn)判斷出應(yīng)用層的入侵事件。

因此，基于主機(jī)的入侵檢測系統(tǒng)具有檢測效率高、分析代價(jià)小、分析速度快的特點(diǎn)，能夠迅速并準(zhǔn)確地定位入侵者，并可以結(jié)合操作系統(tǒng)和應(yīng)用程序的行為特征對入侵進(jìn)行進(jìn)一步分析。

2.基于主機(jī)的IDS存在的問題

基于主機(jī)的IDS主要存在以下問題：

（1）在一定程度上依賴于系統(tǒng)的可靠性，要求系統(tǒng)本身應(yīng)具備基本的安全功能并具有合理的設(shè)置，然后才能提取入侵信息。

（2）即使進(jìn)行了正確的設(shè)置，對操作系統(tǒng)熟悉的攻擊者仍然有可能在入侵行為完成后及時(shí)地將系統(tǒng)日志抹去，從而不被發(fā)覺。（3）主機(jī)的日志能夠提供的信息有限，有的入侵手段和途徑不會在日志中有所反映，日志系統(tǒng)對有的入侵行為不能做出正確的響應(yīng)，如利用網(wǎng)絡(luò)協(xié)議棧的漏洞進(jìn)行的攻擊，通過Ping命令發(fā)送大數(shù)據(jù)包，造成系統(tǒng)協(xié)議棧溢出而死機(jī)，或是利用ARP欺騙來偽裝成其它主機(jī)進(jìn)行通信，這些手段都不會被高層的日志記錄下來。

（4）在數(shù)據(jù)提取的實(shí)時(shí)性、充分性、可靠性方面基于主機(jī)日志的入侵檢測系統(tǒng)不如基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。（5）基于主機(jī)的入侵檢測系統(tǒng)與操作系統(tǒng)和應(yīng)用層入侵事件結(jié)合過于緊密，通用性較差，分析過程也會占用主機(jī)的資源，對基于網(wǎng)絡(luò)的攻擊不敏感，如假冒IP的入侵等。

（6）所需配置的IDS數(shù)量眾多。2.3.3基于主機(jī)的入侵檢測系統(tǒng)的分類

按照檢測對象的不同，基于主機(jī)的入侵檢測系統(tǒng)可以分為兩類：網(wǎng)絡(luò)連接檢測和主機(jī)文件檢測。

1.網(wǎng)絡(luò)連接檢測

網(wǎng)絡(luò)連接檢測是對試圖進(jìn)入該主機(jī)的數(shù)據(jù)流進(jìn)行檢測，分析確定是否有入侵行為，避免或減少這些數(shù)據(jù)流進(jìn)入主機(jī)系統(tǒng)后造成的損害。網(wǎng)絡(luò)連接檢測可以有效地檢測出是否存在攻擊探測行為。攻擊探測幾乎是所有攻擊行為的前奏。系統(tǒng)管理員可以設(shè)置好訪問控制表，其中包括容易受到攻擊探測的網(wǎng)絡(luò)服務(wù)，并且為它們設(shè)置好訪問權(quán)限。如果入侵檢測系統(tǒng)發(fā)現(xiàn)有對未開放的服務(wù)端口進(jìn)行的網(wǎng)絡(luò)連接，說明有人在尋找系統(tǒng)漏洞，這些探測行為就會被入侵檢測系統(tǒng)記錄下來，同時(shí)這種未經(jīng)授權(quán)的連接也會被拒絕。

2.主機(jī)文件檢測

通常入侵行為會在主機(jī)的各種相關(guān)文件中留下痕跡，主機(jī)文件檢測能夠幫助系統(tǒng)管理員發(fā)現(xiàn)入侵行為或入侵企圖，及時(shí)采取補(bǔ)救措施。

主機(jī)文件檢測的檢測對象主要包括以下幾種：系統(tǒng)日志、基于應(yīng)用的日志信息、基于目標(biāo)的對象信息、文件系統(tǒng)、進(jìn)程記錄等。

1)系統(tǒng)日志

系統(tǒng)日志記錄了各種類型的信息，包括各用戶的行為記錄。如果日志文件中存在著異常的記錄，就可以認(rèn)為正在或已經(jīng)發(fā)生網(wǎng)絡(luò)入侵行為。這些異常包括不正常的反復(fù)登錄失效記錄、未授權(quán)用戶越權(quán)訪問重要文件、非正常登錄行為等。

2)基于應(yīng)用的日志信息

目前的應(yīng)用系統(tǒng)越來越趨向于面向?qū)ο蠛头植际浇Y(jié)構(gòu)，要想在單一的操作系統(tǒng)層次上獲得整個(gè)系統(tǒng)的完整信息已經(jīng)不太可能，而應(yīng)用日志通常代表了系統(tǒng)活動(dòng)的用戶級抽象信息，相對于系統(tǒng)級的安全數(shù)據(jù)來說，除去了大量的冗余信息，更易于管理員瀏覽和理解。例如,數(shù)據(jù)庫管理系統(tǒng)是典型的需要引入審計(jì)機(jī)制和入侵檢測的應(yīng)用環(huán)境；www服務(wù)器的日志信息也是最為常見的應(yīng)用級數(shù)據(jù)源，主流的www服務(wù)器都提供訪問日志機(jī)制。

3)基于目標(biāo)的對象信息

在某些受保護(hù)的系統(tǒng)中，進(jìn)行完全的內(nèi)核級安全審計(jì)將消耗大量的系統(tǒng)資源。在這種

情況下，產(chǎn)生了面向目標(biāo)進(jìn)行安全監(jiān)視的想法。在確定審計(jì)目標(biāo)之前，首先需要評估出系統(tǒng)中關(guān)鍵的或是有特殊價(jià)值的對象，針對每一個(gè)對象制定信息收集和監(jiān)視機(jī)制。受監(jiān)視目標(biāo)的每一次狀態(tài)的轉(zhuǎn)變都將與系統(tǒng)的安全策略進(jìn)行比較，出現(xiàn)的任何差異都作為日志記錄下來。

作為常見的基于目標(biāo)的監(jiān)視技術(shù)就是完整性校驗(yàn)，它可以監(jiān)視系統(tǒng)對象（如關(guān)鍵文件）的狀態(tài)變化。與動(dòng)態(tài)的審計(jì)機(jī)制和系統(tǒng)日志不同，這種方法提供的是靜態(tài)的安全檢查。

4)文件系統(tǒng)

惡意的網(wǎng)絡(luò)攻擊者會修改網(wǎng)絡(luò)主機(jī)上包含重要信息的各種數(shù)據(jù)文件，他們可能會刪除或者替換某些文件，或者盡量修改各種日志記錄以銷毀他們的攻擊行為可能留下的痕跡。如果入侵檢測系統(tǒng)發(fā)現(xiàn)文件系統(tǒng)發(fā)生了異常的改變，例如一些受限訪問的目錄或文件被非正常創(chuàng)建、修改或刪除，就可以懷疑發(fā)生了網(wǎng)絡(luò)入侵行為。

5)進(jìn)程記錄

主機(jī)系統(tǒng)中運(yùn)行著各種不同的應(yīng)用程序，包括各種服務(wù)程序。每個(gè)執(zhí)行中的程序都包含了一個(gè)或多個(gè)進(jìn)程，每個(gè)進(jìn)程都存在于特定的系統(tǒng)環(huán)境中，能夠訪問有限的系統(tǒng)資源、數(shù)據(jù)文件等，或者與特定的進(jìn)程進(jìn)行通信。入侵者可能將程序的進(jìn)程分解，使程序中止，或者令程序執(zhí)行違背系統(tǒng)用戶意圖的操作。如果入侵檢測系統(tǒng)發(fā)現(xiàn)某個(gè)進(jìn)程存在異常行為，就可以懷疑有網(wǎng)絡(luò)入侵。2.3.4基于主機(jī)的入侵檢測系統(tǒng)的體系結(jié)構(gòu)

在基于主機(jī)的入侵檢測系統(tǒng)中，通過分析某個(gè)主機(jī)的行為特征，來檢測系統(tǒng)是否遭到入侵。因此，必須收集所檢測的主機(jī)信息。也有一些基于主機(jī)的入侵檢測系統(tǒng)，為了簡化對一組主機(jī)的管理，常常將管理功能和攻擊報(bào)告集中到一個(gè)單一的控制臺上。基于主機(jī)的入侵檢測系統(tǒng)體系結(jié)構(gòu)如圖2.8所示，分集中式和分布式兩種。

1.集中式系統(tǒng)

集中式系統(tǒng)結(jié)構(gòu)的特點(diǎn)是代理負(fù)責(zé)收集來自不同目標(biāo)主機(jī)的日志，將日志進(jìn)行預(yù)處理并轉(zhuǎn)化為標(biāo)準(zhǔn)格式，由命令控制臺對這些日志集中處理。

該系統(tǒng)有如下優(yōu)點(diǎn)：

（1）能夠?qū)碜圆煌繕?biāo)主機(jī)的審計(jì)信息進(jìn)行集中處理，這種方式對目標(biāo)機(jī)的性能影響很小或沒有影響，這可以允許進(jìn)行更復(fù)雜的檢測；

（2）可以創(chuàng)建日志，作為原始數(shù)據(jù)的數(shù)據(jù)檔案，這些數(shù)據(jù)可用于起訴中；（3）可用于多主機(jī)標(biāo)志檢測；

（4）可將存儲在數(shù)據(jù)庫中的告警信息和原始數(shù)據(jù)結(jié)合起來分析，這能幫助許多入侵檢測，還可以進(jìn)行數(shù)據(jù)辨析以查看長期趨勢。

集中式系統(tǒng)也存在有以下的缺點(diǎn)：

（1）除非目標(biāo)機(jī)的數(shù)量較少或者檢測引擎很快，否則會對實(shí)時(shí)檢測或?qū)崟r(shí)響應(yīng)帶來影響；

（2）將大量原始數(shù)據(jù)集中起來會影響網(wǎng)絡(luò)通信量。

2.分布式系統(tǒng)

分布式系統(tǒng)結(jié)構(gòu)的特點(diǎn)是將不同的代理安裝在不同的目標(biāo)機(jī)上，實(shí)時(shí)地分析數(shù)據(jù)，但記錄本身在被目標(biāo)機(jī)上的檢測引擎分析提出了有用信息之后就被丟棄了。該結(jié)構(gòu)的優(yōu)點(diǎn)是實(shí)時(shí)告警、實(shí)時(shí)響應(yīng)；缺點(diǎn)是降低了目標(biāo)機(jī)的性能，沒有原始數(shù)據(jù)檔案，降低了數(shù)據(jù)辨析能力。2.3.5基于主機(jī)的入侵檢測系統(tǒng)的模型分析

基于主機(jī)的入侵檢測系統(tǒng)主要是對本機(jī)網(wǎng)絡(luò)連接及日志文件的檢測。這里分析一種叫做HostDefense的入侵檢測系統(tǒng)。HostDefense用于布置在需要保護(hù)的主機(jī)上，它通過實(shí)時(shí)獲取各服務(wù)器日志，識別攻擊模式，并可根據(jù)用戶自定義的安全策略對日志進(jìn)行檢測，捕獲違規(guī)活動(dòng)。系統(tǒng)能自動(dòng)響應(yīng)安全事件，提供控制臺實(shí)時(shí)報(bào)警、記錄安全事件的詳細(xì)信息、自動(dòng)生成安全審計(jì)報(bào)告。

目標(biāo)系統(tǒng)HostDefense主要是針對通過端口80入侵WEB服務(wù)器，因?yàn)榫W(wǎng)絡(luò)80端口總要打開，具有很大的威脅性，因此系統(tǒng)重點(diǎn)是檢測威脅性大的攻擊。HostDefense系統(tǒng)的模塊化設(shè)計(jì)圖如圖2.16所示。圖2.16基于主機(jī)的入侵檢測系統(tǒng)模塊化設(shè)計(jì)圖

1.數(shù)據(jù)采集模塊

數(shù)據(jù)采集模塊實(shí)現(xiàn)三個(gè)功能：數(shù)據(jù)采集、數(shù)據(jù)轉(zhuǎn)換和數(shù)據(jù)管理器模塊的通信。數(shù)據(jù)采集模塊是數(shù)據(jù)采集模塊和被檢測的數(shù)據(jù)源的接口，它采用多種方式（包括API接口函數(shù)、本地?cái)?shù)據(jù)的直接采集、在本管理設(shè)備上安裝采集程序）和數(shù)據(jù)源進(jìn)行交互。數(shù)據(jù)轉(zhuǎn)換模塊負(fù)責(zé)把采集的數(shù)據(jù)過濾并轉(zhuǎn)化為數(shù)據(jù)管理模塊定義的標(biāo)準(zhǔn)數(shù)據(jù)格式，為進(jìn)一步的數(shù)據(jù)整理分析作準(zhǔn)備。通信模塊負(fù)責(zé)把數(shù)據(jù)采集模塊處理后的數(shù)據(jù)傳送到數(shù)據(jù)管理模塊，同時(shí)也把中心控制臺發(fā)布的命令傳送到數(shù)據(jù)采集模塊。

2.數(shù)據(jù)庫管理模塊

（1）采集數(shù)據(jù)管理。數(shù)據(jù)管理器模塊負(fù)責(zé)采集到的數(shù)據(jù)的存儲和實(shí)時(shí)數(shù)據(jù)的管理，并把實(shí)時(shí)數(shù)據(jù)（端口分析結(jié)果）提供給監(jiān)控平臺模塊。目前，數(shù)據(jù)管理器模塊采用SqlServer作為后臺數(shù)據(jù)庫，進(jìn)行信息的存儲和調(diào)用。對Eventlog、Winsock2組件收集的數(shù)據(jù)進(jìn)行統(tǒng)一的存儲和查詢。對于用戶的自定義和智能內(nèi)置的報(bào)警進(jìn)行數(shù)據(jù)篩選和查詢。

（2）安全信息庫管理。安全信息庫管理為用戶提供漏洞信息、黑客攻擊特征庫、事故處理方式經(jīng)驗(yàn)知識庫、事故處理方法，使用戶在最短的時(shí)間內(nèi)發(fā)現(xiàn)問題，解決問題。

(3)安全信息庫的建立。安全信息庫建立的核心是找到入侵行為特征碼，以及相應(yīng)的行為變種，入庫以便建立規(guī)則庫。

3.安全分析模塊

安全分析模塊主要是把采集到的數(shù)據(jù)源與安全信息庫中的特征進(jìn)行比較分析，并把結(jié)果提供給監(jiān)控平臺模塊。數(shù)據(jù)分析器相當(dāng)于IDS的大腦，它必須具備高度的“智慧”和“判斷能力”。所以，在設(shè)計(jì)此模塊之前，需要對各種網(wǎng)絡(luò)協(xié)議、系統(tǒng)漏洞、攻擊手法、可能行為等有一個(gè)很清晰、深入的研究，然后制定相應(yīng)的安全規(guī)則和安全策略，再分別建立濫用檢測模型和異常檢測模型，讓機(jī)器模擬自己的分析過程，識別已知特征的攻擊和異常行為，最后將分析結(jié)果形成報(bào)警消息，發(fā)送給控制管理中心。數(shù)據(jù)分析模塊的設(shè)計(jì)需要不斷地更新、升級、完善，需要特別注意三個(gè)問題：

（1）優(yōu)化檢測模型和算法的設(shè)計(jì)，可確保系統(tǒng)的執(zhí)行效率；

（2）規(guī)則的制定要充分考慮包容性和可擴(kuò)展性，以提高系統(tǒng)的伸縮性；

（3）信息要遵循特定的標(biāo)準(zhǔn)格式，增強(qiáng)其共享與互操作能力，切忌隨意制定消息格式的不規(guī)范做法。

4.監(jiān)控平臺模塊

監(jiān)控平臺模塊負(fù)責(zé)向網(wǎng)絡(luò)管理員匯報(bào)各種網(wǎng)絡(luò)違規(guī)行為，并由管理員對一些惡意行為采取行動(dòng)（如阻斷、跟蹤等），它為用戶提供管理平臺，用戶可以通過多種方式進(jìn)行訪問，包括基于WEB的訪問方式，它還可向用戶提供集中監(jiān)控和管理的界面和日常閾值設(shè)置、功能設(shè)置、系統(tǒng)設(shè)置和報(bào)告模塊配置等操作界面。監(jiān)控平臺的主要任務(wù)有兩個(gè)：

(1)管理數(shù)據(jù)采集分析中心，以友好、便于查詢的方式顯示數(shù)據(jù)采集分析中心發(fā)送過來的警報(bào)消息；

(2)根據(jù)安全策略進(jìn)行一系列的響應(yīng)動(dòng)作，以阻止非法行為，確保網(wǎng)絡(luò)的安全。監(jiān)控平臺的設(shè)計(jì)重點(diǎn)是：警報(bào)信息查詢、采集器管理、規(guī)則管理（配置管理）及用戶管理。

(1)警報(bào)信息查詢：網(wǎng)絡(luò)管理員可以使用單一條件或復(fù)合條件進(jìn)行查詢，當(dāng)警報(bào)信息數(shù)量龐大、來源廣泛的時(shí)候，系統(tǒng)需要對警報(bào)信息按照危險(xiǎn)等級進(jìn)行分類，從而突出顯示網(wǎng)絡(luò)管理員需要的最重要信息。

(2)數(shù)據(jù)采集管理：控制臺可以一次管理多個(gè)采集器（包括啟動(dòng)、停止、配置、察看運(yùn)行狀態(tài)等），針對不同情況制定相應(yīng)的安全規(guī)則。

(3)規(guī)則庫管理功能：為用戶提供一個(gè)根據(jù)具體情況靈活配置安全策略的工具。

(4)用戶管理：對用戶權(quán)限進(jìn)行嚴(yán)格的定義，提供口令修改、添加用戶、刪除用戶、用戶權(quán)限配置等功能，有效保護(hù)系統(tǒng)使用的安全性。

5.報(bào)表生成模塊

報(bào)表生成模塊為用戶提供智能的定義報(bào)告和用戶自定義的生成報(bào)告，為用戶提供完備的日報(bào)、周報(bào)、月報(bào)和年報(bào)。

用SqlServer數(shù)據(jù)庫存儲警報(bào)信息和其它數(shù)據(jù)。該模塊的數(shù)據(jù)來源有兩個(gè)：安全分析模塊發(fā)來的報(bào)警信息及其它重要信息；管理員經(jīng)過條件查詢后對查詢結(jié)果處理所得的數(shù)據(jù)，如生成的本地文件、格式報(bào)表等。

6.HostDefense系統(tǒng)的運(yùn)行

（1）HostDefense系統(tǒng)首先要調(diào)試數(shù)據(jù)采集模塊、安全分析模塊與監(jiān)控平臺模塊之間的通信，三者之間是雙向的通信。監(jiān)控平臺模塊顯示、整理數(shù)據(jù)采集模塊和安全分析模塊發(fā)送過來的分析結(jié)果及其它信息，并接收監(jiān)控平臺模塊發(fā)來的配置、管理等命令。注意:確保這三者之間通信的安全性，最好對通信數(shù)據(jù)流進(jìn)行加密操作，以防止竊聽或篡改。同時(shí)，監(jiān)控平臺模塊的控制臺子模塊和數(shù)據(jù)庫子模塊之間也有大量的交互操作，如警報(bào)信息查詢、網(wǎng)絡(luò)事件重建等,如圖2.17所示。圖2.17采集、分析、報(bào)警三者通信圖

(2）在每臺需要保護(hù)的主機(jī)（如www服務(wù)器）上都安裝IDS的主機(jī)監(jiān)控系統(tǒng)，IDS可以實(shí)時(shí)監(jiān)控各種對主機(jī)的訪問請求，并及時(shí)將信息反饋給IDS服務(wù)器，這樣全網(wǎng)絡(luò)任何一臺主機(jī)受到攻擊時(shí)，系統(tǒng)都可以及時(shí)發(fā)現(xiàn)，并可將反饋信息及時(shí)傳送給監(jiān)控平臺進(jìn)行處理，并能自動(dòng)對入侵事件做出反應(yīng)。（3）安裝在服務(wù)器上的HostDefense有一個(gè)完整的黑客攻擊信息庫，其中存放著各種黑客攻擊行為的特征數(shù)據(jù)。每當(dāng)用戶對安裝了HostDefense主機(jī)監(jiān)控系統(tǒng)的服務(wù)器，如OA服務(wù)器、MIS服務(wù)器進(jìn)行操作時(shí)，主機(jī)監(jiān)控系統(tǒng)的數(shù)據(jù)采集模塊會實(shí)時(shí)采集數(shù)據(jù)，并迅速傳遞到HostDefense服務(wù)器上，此時(shí)，安全分析模塊采集來的數(shù)據(jù)與信息庫中的數(shù)據(jù)進(jìn)行匹配，一旦發(fā)現(xiàn)吻合，就認(rèn)為此操作是黑客攻擊行為。由于信息庫的內(nèi)容會不斷升級，因此可以保證新的黑客攻擊方法也能被及時(shí)發(fā)現(xiàn)。（4）對于安全和故障事件的報(bào)警，HostDefense系統(tǒng)會在本地發(fā)出實(shí)時(shí)報(bào)警監(jiān)測警報(bào)，同時(shí)會把嚴(yán)重的報(bào)警實(shí)時(shí)匯報(bào)到管理中心，在管理中心層能夠?qū)Ω鱾€(gè)機(jī)房的報(bào)警進(jìn)行實(shí)時(shí)的集中，并對各個(gè)分布點(diǎn)的數(shù)據(jù)進(jìn)行匯總分析，能夠按要求對相關(guān)數(shù)據(jù)進(jìn)行總體的關(guān)聯(lián)分析等。

報(bào)警方式：一旦系統(tǒng)出現(xiàn)異常，預(yù)警可以通過聲音、手機(jī)短信息、影像等各種多媒體方式及時(shí)通知相關(guān)人員或自動(dòng)進(jìn)行故障處理，從而最大限度地減少系統(tǒng)出現(xiàn)故障的可能，降低由此可能帶來的損失。（5）生成報(bào)表。HostDefense系統(tǒng)的報(bào)表生成是非常靈活和自由的，能夠根據(jù)用戶不同的要求生成不同的報(bào)表。如流量報(bào)表、服務(wù)器健康報(bào)表、某臺服務(wù)器的安全情況報(bào)表、所有機(jī)房發(fā)生攻擊事件的頻率報(bào)表、利用次數(shù)最多的攻擊方式報(bào)表?？梢愿鶕?jù)用戶需要生成各種組合式報(bào)表，所有的報(bào)表都可以跨設(shè)備、跨機(jī)房進(jìn)行統(tǒng)一的管理。而且報(bào)表的生成方式也多樣化,有柱線圖、餅圖、曲線圖等，格式有HTML、Excel。 2.4基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)

2.4.1基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的工作原理

網(wǎng)絡(luò)入侵檢測系統(tǒng)擔(dān)負(fù)著保護(hù)整個(gè)網(wǎng)段的任務(wù)。由遍及網(wǎng)絡(luò)的傳感器（Sensor）組成，傳感器是一臺將以太網(wǎng)卡置于混雜模式的設(shè)備，用于嗅探網(wǎng)絡(luò)上的數(shù)據(jù)包。網(wǎng)絡(luò)嗅探器（Sniffer）是攻擊者常用的收集信息的工具，但也是檢測系統(tǒng)收集網(wǎng)絡(luò)事件信息的有效方式。

為了能夠?qū)φ麄€(gè)網(wǎng)段進(jìn)行偵聽，系統(tǒng)會將本身的網(wǎng)卡設(shè)置為雜收模式（混雜模式）以接收網(wǎng)段內(nèi)的所有數(shù)據(jù)包。通常，系統(tǒng)會使用位于網(wǎng)絡(luò)層和傳輸層的網(wǎng)絡(luò)偵聽底層實(shí)現(xiàn)對網(wǎng)絡(luò)的偵聽，它們的主要任務(wù)是獲得經(jīng)過的所有包并傳給上一層。

圖2.18網(wǎng)卡接收數(shù)據(jù)的幾種模式在正常模式下，網(wǎng)卡接收到一個(gè)數(shù)據(jù)包就會檢查該數(shù)據(jù)包的目的地址，如果是本機(jī)地址或廣播地址，則將數(shù)據(jù)包放入接收緩沖區(qū)；若是其它目的地址的數(shù)據(jù)包則直接丟棄。因此，在正常模式下，主機(jī)僅處理以本機(jī)為目標(biāo)的數(shù)據(jù)包。在雜收模式下，網(wǎng)卡可以接收在本網(wǎng)段內(nèi)傳輸?shù)乃袛?shù)據(jù)包，無論這些數(shù)據(jù)包的目的地址是否為本機(jī)。目前，絕大部分網(wǎng)卡都提供這種設(shè)置，因此，在需要的時(shí)候，對網(wǎng)卡進(jìn)行合理的設(shè)置就能獲得經(jīng)過本網(wǎng)段的所有通信信息，從而實(shí)現(xiàn)網(wǎng)絡(luò)監(jiān)視的功能。基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)必須利用網(wǎng)卡的混雜模式，以獲得經(jīng)過本網(wǎng)段的所有數(shù)據(jù)信息，從而實(shí)現(xiàn)獲得網(wǎng)絡(luò)數(shù)據(jù)的功能。另外，因?yàn)椴煌僮飨到y(tǒng)的數(shù)據(jù)鏈路訪問不一樣，所以應(yīng)根據(jù)不同的操作系統(tǒng)提供不同的數(shù)據(jù)鏈路訪問接口，以獲得網(wǎng)絡(luò)數(shù)據(jù)包。2.4.2基于網(wǎng)絡(luò)的IDS的優(yōu)缺點(diǎn)

1.基于網(wǎng)絡(luò)的IDS的優(yōu)點(diǎn)

（1）攻擊者轉(zhuǎn)移證據(jù)更困難。

由于基于網(wǎng)絡(luò)的IDS使用正在發(fā)生的網(wǎng)絡(luò)通信進(jìn)行實(shí)時(shí)攻擊的檢測，因此攻擊者無法轉(zhuǎn)移證據(jù)，被檢測系統(tǒng)捕獲到的數(shù)據(jù)不僅包括攻擊方法，而且包括對識別和指控入侵者十分有用的信息。由于很多黑客對審計(jì)日志很了解，因而他們知道怎樣更改這些文件以藏匿他們的入侵蹤跡，而基于主機(jī)的IDS往往需要這些原始的未被修改的信息來進(jìn)行檢測，在這一點(diǎn)上，基于網(wǎng)絡(luò)的IDS有著明顯的優(yōu)勢。（2）實(shí)時(shí)檢測和應(yīng)答。

一旦發(fā)生惡意的訪問或攻擊，基于網(wǎng)絡(luò)的IDS可以隨時(shí)發(fā)現(xiàn)它們，以便能夠更快地作出反應(yīng)。這種實(shí)時(shí)性使得系統(tǒng)可以根據(jù)預(yù)先的設(shè)置迅速采取相應(yīng)的行動(dòng)，從而將入侵行為對系統(tǒng)的破壞減到最低，而基于主機(jī)的IDS只有在可疑的日志文件產(chǎn)生后才能判斷攻擊行為，這時(shí)往往對系統(tǒng)的破壞已經(jīng)產(chǎn)生。（3）能夠檢測到未成功的攻擊企圖。

有些攻擊行為是旨在針對防火墻后面的資源的攻擊（防火墻本身可能會拒絕這些攻擊企圖），利用放置在防火墻外的基于網(wǎng)絡(luò)的IDS就可以檢測到這種企圖，而基于主機(jī)的IDS并不能發(fā)現(xiàn)未能到達(dá)受防火墻保護(hù)的主機(jī)的攻擊企圖。通常，這些信息對于評估和改進(jìn)系統(tǒng)的安全策略是十分重要的。（4）操作系統(tǒng)無關(guān)性。

基于網(wǎng)絡(luò)的IDS并不依賴主機(jī)的操作系統(tǒng)作為檢測資源，這樣就與主機(jī)的操作系統(tǒng)無關(guān)，而基于主機(jī)的系統(tǒng)需要依賴特定的操作系統(tǒng)才能發(fā)揮作用。

（5）較低的成本。

基于網(wǎng)絡(luò)的IDS允許部署在一個(gè)或多個(gè)關(guān)鍵訪問點(diǎn)來檢查所有經(jīng)過的網(wǎng)絡(luò)通信，可以同時(shí)保護(hù)多臺主機(jī)或關(guān)鍵設(shè)備，因此，基于網(wǎng)絡(luò)的IDS系統(tǒng)并不需要在各種各樣的主機(jī)上進(jìn)行安裝，大大減少了安全和管理的復(fù)雜性，不影響被保護(hù)主機(jī)的性能，這樣所需的成本費(fèi)用也就相對較低。

2.基于網(wǎng)絡(luò)的IDS的缺點(diǎn)

（1）只能監(jiān)視通過本網(wǎng)段的活動(dòng)，并且精確度較差。因?yàn)檫@種方式是布署在本網(wǎng)段的，所以只能對本網(wǎng)段事件進(jìn)行監(jiān)視。（2）容易受到拒絕服務(wù)攻擊。

NIDS要檢測所捕獲的網(wǎng)絡(luò)通信數(shù)據(jù)并維持許多網(wǎng)絡(luò)事件的狀態(tài)信息，很容易受到拒絕服務(wù)攻擊。例如，入侵者可以發(fā)送許多到不同結(jié)點(diǎn)的數(shù)據(jù)包分段，使NIDS忙于組裝數(shù)據(jù)包而耗盡其資源或降低其處理速度。平均情況下一個(gè)幀的大小約有180字節(jié)，在100Mb/s的以太網(wǎng)上，能以50000個(gè)數(shù)據(jù)包/秒的速率傳輸。大多數(shù)的IDS系統(tǒng)能在每數(shù)據(jù)包1500字節(jié)的情況下處理100Mb/s的流量，卻很少有能在每數(shù)據(jù)包60字節(jié)的情況下處理100Mb/s的流量。這就意味著如果它們不能跟上高速的網(wǎng)絡(luò)流量，就必須開始丟棄數(shù)據(jù)包，甚至完全癱瘓。因此NIDS本身要精簡高效，除了在編程時(shí)加強(qiáng)對代碼的分析與測試工作，確保在內(nèi)存及其它資源的使用方面沒有潛在的問題外，在處理所捕獲的網(wǎng)絡(luò)原始數(shù)據(jù)時(shí)必須具有細(xì)致的完整性檢查和周全的出錯(cuò)處理機(jī)制，保證不會在處理一些惡意的及非正常信息包時(shí)發(fā)生意外的錯(cuò)誤。（3）在交換網(wǎng)絡(luò)環(huán)境中難于配置。

交換網(wǎng)絡(luò)環(huán)境主要工作在數(shù)據(jù)鏈路層及物理層，對于這種要想通過NIDS配置比較難。交換式網(wǎng)絡(luò)對NIDS將會造成問題，連到交換式網(wǎng)絡(luò)上的NIDS只能看到發(fā)送給自己的數(shù)據(jù)包，因而無法檢測網(wǎng)絡(luò)入侵行為。目前，NIDS常采用交換機(jī)上的端口鏡像（SpanPort）或分接器（Tap）將NIDS接在所要檢測的網(wǎng)絡(luò)上。

（4）防欺騙的能力比較差。對封裝在應(yīng)用層的入侵事件不能發(fā)現(xiàn)。（5）不適于加密環(huán)境。對于加密環(huán)境無能為力，加密主要發(fā)生在高層，為了進(jìn)行安全通信需要在高層如OSI的表示層對數(shù)據(jù)進(jìn)行加密，因此非通信主體雙方的NIDS對所捕獲的網(wǎng)絡(luò)數(shù)據(jù)無法解密，也就失去了入侵檢測的功能。

由于基于網(wǎng)絡(luò)的入侵檢測方式具有較強(qiáng)的數(shù)據(jù)提取能力，因此目前很多入侵檢測系統(tǒng)傾向于采用基于網(wǎng)絡(luò)的檢測手段來實(shí)現(xiàn)?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)模型如圖2.10所示。2.4.3基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的體系結(jié)構(gòu)

在基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)中，通過網(wǎng)卡捕獲本網(wǎng)段的數(shù)據(jù)包，應(yīng)用相應(yīng)的協(xié)議分析網(wǎng)絡(luò)數(shù)據(jù)，檢測網(wǎng)絡(luò)是否遭受入侵。通過偵聽網(wǎng)絡(luò)，基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)可以監(jiān)控大量信息，基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)通常由一組單一的主機(jī)組成，它們在網(wǎng)絡(luò)中的不同部分“竊聽”或捕獲網(wǎng)絡(luò)流量，同時(shí)向一個(gè)管理控制臺報(bào)告攻擊行為?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)體系結(jié)構(gòu)如圖2.19所示。圖2.19基于網(wǎng)絡(luò)的入侵檢測體系結(jié)構(gòu)2.4.4基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的模型分析

1.基于CIDF的網(wǎng)絡(luò)入侵檢測系統(tǒng)模型

圖2.20給出了基于CIDF的網(wǎng)絡(luò)入侵檢測系統(tǒng)結(jié)構(gòu)模型。此模型是在通用入侵檢測框架（CIDF）的基礎(chǔ)上建立起來的，在結(jié)構(gòu)和功能上都包含了CIDF中定義的主要模塊。圖2.20基于CIDF的網(wǎng)絡(luò)入侵檢測模型圖系統(tǒng)的數(shù)據(jù)源是網(wǎng)絡(luò)上的原始數(shù)據(jù)包或tcpdump文件中記錄的原始網(wǎng)絡(luò)數(shù)據(jù)包。網(wǎng)絡(luò)抓包引擎從數(shù)據(jù)源獲取數(shù)據(jù)，交給已經(jīng)注冊的數(shù)據(jù)預(yù)處理部件處理，其作用相當(dāng)于事件產(chǎn)生器。數(shù)據(jù)預(yù)處理模塊從原始數(shù)據(jù)包中提取關(guān)于網(wǎng)絡(luò)連接的特征模式，然后對其進(jìn)行同構(gòu)處理和歸一化處理等。入侵檢測引擎為誤用與異常檢測方法相結(jié)合的檢測分析器，對于誤用檢測，一般采用Snort規(guī)則匹配方法，因?yàn)镾nort規(guī)則分析引擎是目前應(yīng)用比較多而且代碼完全公開的誤用檢測方法；對于異常檢測，重點(diǎn)有基于神經(jīng)網(wǎng)絡(luò)和基于數(shù)據(jù)挖掘的檢測方法。入侵響應(yīng)模塊對數(shù)據(jù)分析器發(fā)現(xiàn)的入侵行為做出及時(shí)響應(yīng)，向控制臺產(chǎn)生告警信息，同時(shí)記錄信息到文件或數(shù)據(jù)庫（File/DB），以備取證。用戶主要通過用戶界面與控制臺交互信息，控制臺的作用主要是對各個(gè)模塊進(jìn)行配置，同時(shí)接收響應(yīng)模塊發(fā)送的告警信息。

2.基于數(shù)據(jù)包的網(wǎng)絡(luò)入侵檢測系統(tǒng)模型

根據(jù)網(wǎng)絡(luò)數(shù)據(jù)包，利用協(xié)議分析和模式匹配來檢測入侵，其流程考慮到CIDF模型，被設(shè)計(jì)成如圖2.21所示。圖2.21基于數(shù)據(jù)包的網(wǎng)絡(luò)入侵檢測模型圖

（1）網(wǎng)絡(luò)數(shù)據(jù)引擎模塊。

網(wǎng)絡(luò)數(shù)據(jù)引擎模塊可以捕獲監(jiān)聽網(wǎng)絡(luò)中的原始數(shù)據(jù)包，NIDS利用LIBPCAP的庫函數(shù)進(jìn)行數(shù)據(jù)采集，這些庫函數(shù)可以為應(yīng)用程序提供直接從數(shù)據(jù)鏈路層捕獲數(shù)據(jù)包的接口函數(shù)。網(wǎng)絡(luò)數(shù)據(jù)的解析機(jī)制是整個(gè)系統(tǒng)實(shí)現(xiàn)的基礎(chǔ)，其中最關(guān)鍵的是要保證轉(zhuǎn)包的高效率和很低的丟包率，這不僅僅取決于軟件的效率還同硬件的處理能力相關(guān)。（2）預(yù)處理模塊。

預(yù)處理模塊包括BPF和協(xié)議解碼，BPF過濾在后邊還會有詳細(xì)的介紹，協(xié)議解碼則是對數(shù)據(jù)包的一個(gè)標(biāo)準(zhǔn)化過程，包括了IP碎片重組、TCP流重組與HTTP(超文本傳輸協(xié)議)、Unicode、RPC、Telet解碼等功能。這個(gè)過程生成事件數(shù)據(jù)包，交給下層分析模塊分析處理。（3）規(guī)則匹配處理模塊。

規(guī)則匹配模塊對協(xié)議解碼模塊提交的數(shù)據(jù)，運(yùn)用匹配算法和規(guī)則庫中的規(guī)則進(jìn)行比較分析，從而判斷是否有入侵行為。

（4）入侵響應(yīng)模塊。

響應(yīng)模塊包括對確定的入侵行為采取相應(yīng)的響應(yīng)。響應(yīng)包括消極的措施，如記錄攻擊數(shù)據(jù)、存取捕獲數(shù)據(jù)，也可以采取保護(hù)措施，如切斷入侵者的TCP連接。（5）控制中心。

控制中心是整個(gè)入侵檢測系統(tǒng)和用戶交互的界面，用戶可通過控制中心配置系統(tǒng)中的規(guī)則庫，以檢測新的入侵方法，也可以通過控制中心對入侵與日志數(shù)據(jù)庫的數(shù)據(jù)進(jìn)行分析，更合理地配置整個(gè)系統(tǒng)。

（6）入侵與日志數(shù)據(jù)庫。

入侵與日志數(shù)據(jù)庫的作用是用來存儲網(wǎng)絡(luò)數(shù)據(jù)引擎模塊捕獲的原始數(shù)據(jù)、分析模塊產(chǎn)生的分析結(jié)果和入侵響應(yīng)模塊日志等的。入侵與日志數(shù)據(jù)庫也是不同部件之間數(shù)據(jù)處理的共享數(shù)據(jù)庫，為系統(tǒng)不同部件提供各自感興趣的數(shù)據(jù)。因此，入侵與日志數(shù)據(jù)庫應(yīng)該提供靈活的數(shù)據(jù)維護(hù)、處理和查詢服務(wù)。 2.5分布式入侵檢測系統(tǒng)

入侵檢測系統(tǒng)減輕了網(wǎng)絡(luò)安全管理人員的壓力，通過集中的、標(biāo)準(zhǔn)化的信息搜集和過濾，實(shí)時(shí)或定期地生成網(wǎng)絡(luò)和系統(tǒng)遭受攻擊的報(bào)告，使管理員可以從手工分析海量系統(tǒng)日志中解脫出來。同時(shí)，攻擊檢測提供了自動(dòng)檢測和響應(yīng)機(jī)制，使安全管理人員擺脫了手工分析和反應(yīng)的不利局面。另外，IDS有效地彌補(bǔ)了防火墻的缺陷，發(fā)現(xiàn)并阻斷一些已經(jīng)進(jìn)入防火墻的攻擊行為，同時(shí)還可以有效地發(fā)現(xiàn)或制止源自網(wǎng)絡(luò)內(nèi)部的攻擊行為。雖然IDS的功能日益增強(qiáng)，但它還不是解決網(wǎng)絡(luò)安全問題的“一攬子”方案。目前，IDS普遍存在一些有待克服的問題：（1）系統(tǒng)的弱點(diǎn)或漏洞分散在網(wǎng)絡(luò)中各個(gè)主機(jī)上，這些弱點(diǎn)有可能被入侵者一起用來攻擊網(wǎng)絡(luò)，而僅依靠HIDS或NIDS不能發(fā)現(xiàn)更多的入侵行為。

（2）現(xiàn)在的入侵行為表現(xiàn)出相互協(xié)作入侵的特點(diǎn)，如分布式拒絕服務(wù)攻擊（DDOS）。

（3）入侵檢測所需要的數(shù)據(jù)來源分散化，收集原始的檢測數(shù)據(jù)變得困難，如交換型網(wǎng)絡(luò)使得監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)包受到限制。

（4）由于網(wǎng)絡(luò)傳輸速度加快，網(wǎng)絡(luò)流量不斷增大，因此集中處理原始數(shù)據(jù)的方式往往造成檢測的實(shí)時(shí)性和有效性大打折扣。為了解決傳統(tǒng)的IDS存在的問題，產(chǎn)生了分布式入侵檢測系統(tǒng)（DistributedIntrusionDetectionSystem，DIDS）。DIDS的任務(wù)是用來監(jiān)視整個(gè)網(wǎng)絡(luò)環(huán)境中的安全狀態(tài)，包括網(wǎng)絡(luò)設(shè)施本身和其中包含的主機(jī)系統(tǒng)。

DIDS由主機(jī)代理、局域網(wǎng)代理和控制器三大部分組成。主機(jī)代理負(fù)責(zé)監(jiān)測某臺主機(jī)的安全，依據(jù)搜集到這臺主機(jī)活動(dòng)的信息產(chǎn)生主機(jī)安全事件，并將這些安全事件傳送到控制器。同樣，局域網(wǎng)代理監(jiān)測局域網(wǎng)的安全，依據(jù)搜集到的網(wǎng)絡(luò)數(shù)據(jù)包信息產(chǎn)生局域網(wǎng)安全事件，也把這些局域網(wǎng)安全事件傳給控制器?？刂破鞲鶕?jù)安全專家的知識、主機(jī)安全事件和網(wǎng)絡(luò)安全事件進(jìn)行入侵檢測推理分析，最后得出整個(gè)網(wǎng)絡(luò)的安全狀態(tài)結(jié)論。主機(jī)代理并不是安裝在局域網(wǎng)中所有的主機(jī)上，而是按照特定的安全需求設(shè)置的?？刂破鬟€提供了DIDS與安全管理人員的用戶接口。2.5.1分布式入侵檢測系統(tǒng)的設(shè)計(jì)思想

入侵檢測分析過程的分布實(shí)現(xiàn)如圖2.22所示。在分布式結(jié)構(gòu)中，n個(gè)檢測器分布在網(wǎng)絡(luò)環(huán)境中，直接接收Sensor（網(wǎng)絡(luò)傳感器）的數(shù)據(jù)，有效地利用各個(gè)主機(jī)的資源，消除了集中式檢測的運(yùn)算瓶頸和安全隱患，同時(shí)由于大量的數(shù)據(jù)不必在網(wǎng)絡(luò)中傳輸，大大降低了網(wǎng)絡(luò)帶寬的占用，提高了系統(tǒng)的運(yùn)行效率。在安全上，由于各個(gè)檢測器分布、獨(dú)立進(jìn)行探測，任何一個(gè)主機(jī)遭到攻擊都不影響其它部分的正常工作，從而增加了系統(tǒng)的穩(wěn)定性。分布式檢測系統(tǒng)在充分利用系統(tǒng)資源的同時(shí)，還可以實(shí)現(xiàn)對分布式攻擊等復(fù)雜網(wǎng)絡(luò)行為的檢測。圖2.22分布式入侵檢測系統(tǒng)分布式入侵檢測系統(tǒng)的幾個(gè)部件（主機(jī)代理、局域網(wǎng)代理和控制器）往往位于不同的主機(jī)上。系統(tǒng)中的部件是具有特定功能的獨(dú)立的應(yīng)用程序、小型的系統(tǒng)或者僅僅是一個(gè)非獨(dú)立的應(yīng)用程序的功能模塊。在部署時(shí)，這些部件可能在同一臺計(jì)算機(jī)上，也可以各自分布在一個(gè)大型網(wǎng)絡(luò)的不同地點(diǎn)。總之，部件能夠完成某一特定的功能，并且是分布式入侵檢測系統(tǒng)的一部分。部件之間通過統(tǒng)一的網(wǎng)絡(luò)接口進(jìn)行信息交換，這樣既簡化了部件之間的數(shù)據(jù)交換的復(fù)雜性，使得部件非常容易地分布在不同主機(jī)上，又給系統(tǒng)提供了一個(gè)擴(kuò)展的接口。

在當(dāng)前的網(wǎng)絡(luò)部署方案中，許多是安裝了兩套系統(tǒng)：IDS和防火墻。防火墻置于內(nèi)、外部網(wǎng)之間，IDS置于局域網(wǎng)內(nèi)，當(dāng)IDS檢測到入侵攻擊時(shí)，會給防火墻反饋信息，并在防火墻增加一條防止再次攻擊的規(guī)則，從而鞏固網(wǎng)絡(luò)的安全，如圖2.23所示。圖2.23入侵檢測系統(tǒng)與防火墻的結(jié)合2.5.2分布式入侵檢測系統(tǒng)的體系結(jié)構(gòu)

分布型是最廣泛應(yīng)用的體系結(jié)構(gòu)，從功能上可以分為兩個(gè)部分：主機(jī)代理和服務(wù)端。主機(jī)代理主要分布于各網(wǎng)絡(luò)主機(jī)上，用于數(shù)據(jù)采集，然后上傳給服務(wù)器。服務(wù)器端將主機(jī)代理采集上傳的數(shù)據(jù)作為數(shù)據(jù)源進(jìn)行入侵檢測，然后形成報(bào)告，并提供給用戶一個(gè)可查詢界面。基于分布式的入侵檢測系統(tǒng)體系結(jié)構(gòu)如圖2.24所示。圖2.24基于分布式的入侵檢測系統(tǒng)體系結(jié)構(gòu)在具體的分布式結(jié)構(gòu)中，主機(jī)代理的功能有比較大的差別。一種情況是主機(jī)代理只負(fù)責(zé)數(shù)據(jù)采集，多個(gè)主機(jī)代理把數(shù)據(jù)傳給服務(wù)器，服務(wù)器負(fù)責(zé)具體的數(shù)據(jù)處理功能。在這樣的系統(tǒng)中，服務(wù)器的處理能力往往成為系統(tǒng)結(jié)構(gòu)的瓶頸，而且大量數(shù)據(jù)采集也會嚴(yán)重占用網(wǎng)絡(luò)帶寬，降低網(wǎng)絡(luò)的正常傳輸能力。另一種情況是主機(jī)代理具有分析處理數(shù)據(jù)的能力，主機(jī)代理把分析過的數(shù)據(jù)傳給服務(wù)