【正文】 統(tǒng)和網(wǎng)絡(luò)日志文件信息。因?yàn)槿肭謾z測很大程度上依賴于采集信息的可靠性和正確性，因此我們必須保證數(shù)據(jù)采集的正確性。 數(shù)據(jù)事件其他系統(tǒng)事件影響數(shù)據(jù)分析數(shù)據(jù)源數(shù)據(jù)收集事件數(shù)據(jù)收集是入侵檢測的第一步，包括收集系統(tǒng)、網(wǎng)絡(luò)數(shù)據(jù)、用戶活動(dòng)狀態(tài)和行為數(shù)據(jù)。易于部署，這主要體現(xiàn)在對不同操作系統(tǒng)和體系結(jié)構(gòu)的可移植性、簡單的安裝機(jī)制， 以及操作員易于使用和理解。下面是入侵檢測系統(tǒng)應(yīng)該具備的特性：檢測用戶和系統(tǒng)的運(yùn)行狀況，必須在沒有(或很少)的人工干預(yù)下不間斷地運(yùn)行。入侵檢測包含兩層意思：一是對外部入侵(非授權(quán)使用)行為的檢測:二是對內(nèi)部用戶(合法用戶)濫用自身權(quán)限的檢測。以及任何企圖破壞計(jì)算機(jī)資源的完整性、保密性和可用性的行為。第二章 入侵檢測系統(tǒng)概述入侵檢測作為一種積極主動(dòng)的安全防護(hù)技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前進(jìn)行攔截和響應(yīng)。網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。近年來，我國互聯(lián)網(wǎng)發(fā)展取得了令人矚目的成績。由于網(wǎng)絡(luò)入侵的上述特性，如何通過計(jì)算機(jī)對其進(jìn)行檢測，就成為更強(qiáng)大的主動(dòng)策略和方案來增強(qiáng)網(wǎng)絡(luò)的安全性，其中有一個(gè)和有效的解決途徑就是入侵檢測。網(wǎng)絡(luò)安全的一個(gè)主要威脅是通過網(wǎng)絡(luò)對信息系統(tǒng)的入侵。介紹了入侵檢測系統(tǒng)的起源、系統(tǒng)分類、相關(guān)產(chǎn)品分類，對它的目前存在的問題進(jìn)行了分析，并對其發(fā)展趨勢作了簡單的概述。入侵檢測系統(tǒng)作為一種主動(dòng)的安全防護(hù)技術(shù)，提供了對內(nèi)、外部攻擊的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。相對于傳統(tǒng)對于系統(tǒng)的破壞手段，網(wǎng)絡(luò)入侵具有以下幾個(gè)特點(diǎn)：（1）沒有地域和時(shí)間限制；（2）通過網(wǎng)絡(luò)的攻擊往往混在在大量正常的網(wǎng)絡(luò)活動(dòng)中，隱蔽性強(qiáng)；（3）入侵手段更加隱蔽和復(fù)雜；（4）攻擊手段也有原來的單一攻擊向分布式方向發(fā)展。入侵檢測系統(tǒng)彌補(bǔ)防火墻的不足，為網(wǎng)絡(luò)安全提供實(shí)時(shí)的入侵檢測及采取相應(yīng)的防護(hù)手段，如記錄證據(jù)、跟蹤入侵、恢復(fù)或斷開網(wǎng)絡(luò)連接等等。根據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心最新發(fā)布的統(tǒng)計(jì)報(bào)告顯示，截至 2008 年底，我國上網(wǎng)用戶總數(shù)達(dá) 億人，互聯(lián)網(wǎng)的影響已經(jīng)逐漸滲透到我國國民經(jīng)濟(jì)的各個(gè)領(lǐng)域和人民生活的各個(gè)方面。 網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全。從網(wǎng)絡(luò)安全立體縱深多層次防御的角度出發(fā)，入侵檢測理應(yīng)受到人們的高度重視，這從國外入侵檢測產(chǎn)品市場的蓬勃發(fā)展就可以看出。入侵不僅指非系統(tǒng)用戶非授權(quán)地登陸系統(tǒng)和使用系統(tǒng)資源，還包括系統(tǒng)內(nèi)的用戶濫用權(quán)力對系統(tǒng)造成的破壞，如非法盜用他人帳戶，非法獲得系統(tǒng)管理員權(quán)限，修改或刪除系統(tǒng)文件等。入侵檢測系統(tǒng) (Intrusion Detection System，簡稱IDS)是試圖實(shí)現(xiàn)檢測入侵行為的計(jì)算機(jī)系統(tǒng)，包括計(jì)算機(jī)軟件和硬件的組合。監(jiān)測系統(tǒng)配置的正確性和安全漏洞，必須具有容錯(cuò)能力，即使系統(tǒng)崩潰也能繼續(xù)運(yùn)轉(zhuǎn)，且重新啟動(dòng)后無須重建知識(shí)庫。能檢測出攻擊，并作出反應(yīng)。而且需要在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)(不同網(wǎng)段和不同主機(jī))收集信息，這除了盡可能擴(kuò)大了檢測范圍的因素外，還有一個(gè)重要的因素就是從一個(gè)數(shù)據(jù)源來的信息有可能看不出疑點(diǎn)，但從幾個(gè)數(shù)據(jù)源來的信息的不一致性卻是可疑行為或入侵的的最好標(biāo)志。因?yàn)楹诳徒?jīng)常替換軟件以搞混和移走這些信息，例如替換被程序調(diào)用的子程序、記錄文件和其它工具。日志中包含發(fā)生在系統(tǒng)和網(wǎng)絡(luò)上的不尋常和不期望活動(dòng)的證據(jù)，這些證據(jù)可以指出有人正在入侵或已成功入侵了系統(tǒng)。網(wǎng)絡(luò)環(huán)境中的文件系統(tǒng)包含很多軟件和數(shù)據(jù)文件，他們經(jīng)常是黑客修改或破壞的目標(biāo)。每個(gè)在系統(tǒng)上執(zhí)行的程序由一到多個(gè)進(jìn)程來實(shí)現(xiàn)。黑客可能會(huì)將程序或服務(wù)的運(yùn)行分解，從而導(dǎo)致它失敗，或者是以非用戶或管理員意圖的方式操作。這個(gè)環(huán)節(jié)主要是對數(shù)據(jù)進(jìn)行深入分析，根據(jù)攻擊特征集發(fā)現(xiàn)攻擊，并根據(jù)分析的結(jié)果產(chǎn)生響應(yīng)事件，觸發(fā)事件響應(yīng)。該方法的一大優(yōu)點(diǎn)是只需采集相關(guān)的數(shù)據(jù)集合，顯著減少系統(tǒng)負(fù)擔(dān)，且技術(shù)已相當(dāng)成熟。在比較這一點(diǎn)上與模式匹配有些相象之處。具體的統(tǒng)計(jì)分析方法如基于專家系統(tǒng)的、基于模型推理的和基于神經(jīng)網(wǎng)絡(luò)的分析方法，目前正處于研究熱點(diǎn)和迅速發(fā)展之中。缺點(diǎn)是一般以批處理方式實(shí)現(xiàn)，用于事后分析而不用于實(shí)時(shí)響應(yīng)。響應(yīng)又可以分為主動(dòng)響應(yīng)和被動(dòng)響應(yīng)。事件響應(yīng)實(shí)際上就是P2DR 模型的R（響應(yīng)）采用適當(dāng)?shù)捻憫?yīng)（Response）可將系統(tǒng)調(diào)整到“最安全”或者“風(fēng)險(xiǎn)最低”的狀態(tài)。 根據(jù)檢測的數(shù)據(jù)源分類(Hostbased IDS)基于主機(jī)的入侵檢測系統(tǒng)簡稱為主機(jī)入侵檢測系統(tǒng)，系統(tǒng)的數(shù)據(jù)來源為操作系統(tǒng)事件日志、管理工具審計(jì)記錄和應(yīng)用程序?qū)徲?jì)記錄。同時(shí)它使用的是操作系統(tǒng)提供的信息，經(jīng)過加密的數(shù)據(jù)包在到達(dá)操作系統(tǒng)后，都已經(jīng)被解密，所以HIDS能很好地處理包加密的問題。配置和維護(hù)困難。存在數(shù)據(jù)欺騙問題。(Networkbased IDS)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)簡稱為網(wǎng)絡(luò)入侵檢測系統(tǒng)，數(shù)據(jù)來源為網(wǎng)絡(luò)中的數(shù)據(jù)包。并且，NIDS檢測網(wǎng)絡(luò)包時(shí)并不依靠操作系統(tǒng)來提供數(shù)據(jù)，因此有著對操作系統(tǒng)的獨(dú)立性。數(shù)據(jù)包的重新裝配問題。隨著VPN,SSH和SSL的應(yīng)用，數(shù)據(jù)加密越來越普遍，傳統(tǒng)的NIDS工作在網(wǎng)絡(luò)層，無法分析上層的加密數(shù)據(jù)，從而也無法檢測到加密后入侵網(wǎng)絡(luò)包。例如:當(dāng)為10M 網(wǎng)絡(luò)設(shè)計(jì)的NIDS應(yīng)用到IOO M網(wǎng)絡(luò)中去時(shí)就會(huì)造成比較高的丟包率，通常需要改變整個(gè)系統(tǒng)的結(jié)構(gòu)才能解決問題。但是，交換網(wǎng)絡(luò)不能被傳統(tǒng)網(wǎng)絡(luò)偵聽器監(jiān)視，從而無法對數(shù)據(jù)包進(jìn)行分析。網(wǎng)絡(luò)入侵檢測系統(tǒng)能夠檢測來自網(wǎng)絡(luò)的大部分攻擊，但對于來自內(nèi)部的攻擊如合法用戶濫自身權(quán)限的檢測，則主機(jī)入侵檢測系統(tǒng)更勝一籌，一個(gè)完備的入侵檢測系統(tǒng)應(yīng)該兩者兼?zhèn)?。誤用檢測搜索審計(jì)事件數(shù)據(jù)，查看其中是否存在預(yù)先定義好的誤用模式。它沒有各種入侵的相關(guān)知識(shí)，但是有被檢測系統(tǒng)、用戶乃至應(yīng)用程序正常行為的知識(shí)。異常檢測的一個(gè)很大的優(yōu)點(diǎn)是不需要保存各種攻擊特征的數(shù)據(jù)庫，隨著統(tǒng)計(jì)數(shù)據(jù)的增加，檢測的準(zhǔn)確性會(huì)越來越高，可能還會(huì)檢測到一些未知的攻擊。量化分析通常涉及到一系列的計(jì)算過程，包括從簡單的計(jì)數(shù)到復(fù)雜的加密運(yùn)算，計(jì)算的結(jié)果可以作為異常檢測統(tǒng)計(jì)模型的數(shù)據(jù)基礎(chǔ)。其他可以設(shè)置門限的系統(tǒng)屬性還有:特定類型的網(wǎng)絡(luò)連接數(shù)、試圖訪問文件的次數(shù)、訪問文件或目錄的個(gè)數(shù)及所訪問網(wǎng)絡(luò)系統(tǒng)的個(gè)數(shù)等。通常是使用消息摘要函數(shù)計(jì)算系統(tǒng)對象的密碼校驗(yàn)值，并將計(jì)算得到的值存放在安全的區(qū)域。典型的系統(tǒng)主體特征有:系統(tǒng)的登錄與注銷時(shí)間、資源被占用的時(shí)間以及處理機(jī)、內(nèi)存和外設(shè)的使用情況等。每個(gè)單元都能存儲(chǔ)一定的“知識(shí)”，單元之間通過帶有權(quán)值的連接進(jìn)行交互。接著便進(jìn)入入侵分析階段，網(wǎng)絡(luò)接收輸入的事件數(shù)據(jù)，與參考的歷史行為比較，判斷出兩者的相似度或偏離度。神經(jīng)網(wǎng)絡(luò)上述優(yōu)點(diǎn)使其能處理復(fù)雜的問題，例如對用戶或系統(tǒng)行為的學(xué)習(xí)和分析，這些都符合入侵檢測系統(tǒng)不斷面臨新的情況和新的入侵的現(xiàn)況。這種方法由于依據(jù)具體特征庫進(jìn)行判斷，所以檢測準(zhǔn)確度很高，并且因?yàn)闄z測結(jié)果有明確的參照，也為系統(tǒng)管理員做出相應(yīng)措施提供了方便。但由于采用誤用檢測技術(shù)的IDS在系統(tǒng)的實(shí)現(xiàn)、配置和維護(hù)方面都非常方便，因此得到了廣泛的應(yīng)用，如著名的開放源碼的Snort就采用了這種檢測手段。但是，這里黑盒子的生成是一件困難的事情，用戶必須把決策引擎和檢測規(guī)則以硬編碼的方式嵌入系統(tǒng)。根據(jù)系統(tǒng)審計(jì)記錄中包含的信息，可研制分析工具，對用戶活動(dòng)的狀態(tài)變化和己知入侵的狀態(tài)變遷圖加以比較。① 狀態(tài)轉(zhuǎn)移分析(State Transition Analysis)基于移動(dòng)Agent技術(shù)的IDS研究狀態(tài)轉(zhuǎn)移分析是使用狀態(tài)轉(zhuǎn)移圖來表示和檢測己知攻擊模式的誤用檢測技術(shù)。初始狀態(tài)表示在入侵發(fā)生之前的系統(tǒng)狀態(tài)，入侵狀態(tài)則表示入侵完成后系統(tǒng)所處的狀態(tài)。這種方法將入侵表示成