【正文】 LAN用來與分析工作站進行通信。如果交換機廠商把此端口開放出來，用戶可將IDS系統(tǒng)接到此端口上。優(yōu)點：可得到幾乎所有關鍵數(shù)據(jù)。缺點：必須購買額外的設備(Tap)；若所保護的資源眾多，IDS必須配備眾多網(wǎng)絡接口。他的功能基本上相當于一個完整的基于網(wǎng)絡的入侵檢測系統(tǒng)。單純的模式匹配方法的工作過程如下：1〕 分析網(wǎng)絡上的每一個數(shù)據(jù)包是否具有某種攻擊特征。下面給出一個例子可以很高的說明其工作原理。例如，對于WEB服務器GET /cgibin/phfHEAD /cgibin/phfGET //cgibin/phfGET /cgibin/foobar/../phfGET /cgibin/./phfGET%00/cgibin/phfGET /%63%67%69%2d%62%69%6e/phf都是合法而且有效的。他對于網(wǎng)絡中傳輸?shù)膱D像或音頻流同樣進行匹配。即使在100M的網(wǎng)絡中，以可以充分地檢測每一個數(shù)據(jù)包。2〕 IP協(xié)議規(guī)定IP包的第24字節(jié)處有一個1字節(jié)的第四層協(xié)議標識。該數(shù)據(jù)包是一個HTTP協(xié)議的數(shù)據(jù)包。它的結構如下：圖3－1 入侵檢測系統(tǒng)框圖監(jiān)聽部分：網(wǎng)絡監(jiān)聽模塊將網(wǎng)絡接口設置為混亂模式，將接收到達到網(wǎng)絡上傳輸?shù)臄?shù)據(jù)包截取下來，供協(xié)議分析模塊使用。為提高效率，數(shù)據(jù)包過濾應該在系統(tǒng)內核里來實現(xiàn)。數(shù)據(jù)包監(jiān)聽設備驅動程序直接從數(shù)據(jù)鏈路層取得網(wǎng)絡數(shù)據(jù)包不加修改地傳遞給運行在用戶層的應用程序，他在不同的WINDOWS系統(tǒng)下是不同。圖3－2 wincap結構圖協(xié)議分析：協(xié)議分析的功能是辨別數(shù)據(jù)包的協(xié)議類型，以便使用相應的數(shù)據(jù)分析程序來檢測數(shù)據(jù)包。 在該樹結構中可以加入自定義的協(xié)議結點，如在HTTP協(xié)議中可以把請求URL列入該樹中作為一個結點，再將URL中不同的方法作為子節(jié)點，這樣可以細化分析數(shù)據(jù)，提高檢測效率。下級協(xié)議代號是在協(xié)議樹中其父結點的編號，如TCP的下級協(xié)議是IP協(xié)議。圖3－3 協(xié)議樹示意圖數(shù)據(jù)分析：數(shù)據(jù)分析模塊的功能是分析某一特定協(xié)議數(shù)據(jù)，得出是否關注該主機的結論。同時葉子節(jié)點上的協(xié)議明確，分析程序可以少做一些冗余的工作，也由此提高了系統(tǒng)的處理速度。數(shù)據(jù)分析的方法是入侵檢測系統(tǒng)的核心。在我們設計的這個體系結構時充分考慮了系統(tǒng)的開放性，可以向系統(tǒng)中添加任何一種分析方法，也可以把多種分析方法同時運用到系統(tǒng)中。對于已經(jīng)有的分析功能，可以在入侵特征數(shù)據(jù)庫中添加新的入侵特征，以增強現(xiàn)有模式匹配分析方法的檢測能力。這樣對于網(wǎng)絡上的數(shù)量眾多達到網(wǎng)絡代理的配置和添加功能模塊可以集中或自動進行，減輕安全管理的難度。其主要來源有：1．系統(tǒng)和網(wǎng)絡日志文件黑客經(jīng)常在系統(tǒng)日志文件中留下他們的蹤跡，因此，充分利用系統(tǒng)和網(wǎng)絡日志文件信息是檢測入侵的必要條件。很顯然地，對用戶活動來講，不正常的或不期望的行為就是重復登錄失敗、登錄到不期望的位置以及非授權的企圖訪問重要文件等等。3．程序執(zhí)行中的不期望行為網(wǎng)絡系統(tǒng)上的程序執(zhí)行一般包括操作系統(tǒng)、網(wǎng)絡服務、用戶起動的程序和特定目的的應用，例如數(shù)據(jù)庫服務器。操作包括計算、文件傳輸、設備和其它進程，以及與網(wǎng)絡間其它進程的通訊。對于不同的主機，上面運行的應用程序也各不相同，因此不同廠商設計的基于主機的入侵檢測系統(tǒng)的各不相同。時至今日，日志分析也是非常有效地一種檢測方法，但是在分析技術和實時性上有了很大的提高。攻擊者一般都會添加、刪除或更改一些敏感的文件獲得權限或者留下后門，所以檢測這些文件的改變可以得到攻擊的信息。監(jiān)測的內容主要是包括是否違反安全政策、是否越權使用系統(tǒng)資源。它是基于主機的入侵檢測系統(tǒng)和基于網(wǎng)絡的入侵檢測系統(tǒng)的結合。應用網(wǎng)絡傳感器有兩大好處。隨著網(wǎng)絡速度的加快，有時候網(wǎng)絡傳感器的工作速度可能無法跟上網(wǎng)絡數(shù)據(jù)傳輸?shù)乃俣?。在交換網(wǎng)絡中，是不可能從一個中央位置處看見所有網(wǎng)絡數(shù)據(jù)的。該方式有如下優(yōu)點：1. 網(wǎng)絡速度不成問題。歸根結底，最佳的解決方案是將基于網(wǎng)絡的入侵檢測系統(tǒng)與基于主機的入侵檢測系統(tǒng)結合起來。我們選擇現(xiàn)有的數(shù)據(jù)庫系統(tǒng)來建立存儲系統(tǒng)。n 在世界課外進行過濾分析，在數(shù)據(jù)庫中只存放分析結果。這樣做的影響減低了系統(tǒng)實時性的要求。系統(tǒng)的實時性和檢測性能總是一對矛盾，在我們的系統(tǒng)中，為了在兩者中找到最佳結合點而設計了兩個分析層次。為了提高檢測粒度，就可以將提交的數(shù)量適量增大。使用相同的接口可以維護各系統(tǒng)間數(shù)據(jù)存儲的一致性，便于入侵檢測系統(tǒng)間的數(shù)據(jù)交換，同時也減小設計的復雜性。 對數(shù)據(jù)進行縮減的一種有效的辦法是把數(shù)據(jù)庫分為兩個主要的存儲裝置：原始數(shù)據(jù)數(shù)據(jù)庫和長期記錄數(shù)據(jù)庫。 原始數(shù)據(jù)數(shù)據(jù)庫中還重要的一個問題是存儲多少數(shù)據(jù)、原始數(shù)據(jù)要保存多長時間。 系統(tǒng)提供兩種保存原始數(shù)據(jù)的設置方式：按時間和按存儲容量。縮減數(shù)據(jù)格式一般只包括時間、源IP地址、目標IP地址、源端口、目標端口、協(xié)議標志?？雌饋硗萍夹g可以獲得更好的實時性，但推技術也有一個嚴重的問題。解決這種問題的一個簡單的辦法就是以流的方式有規(guī)律地推出事件檢測信息。但拉結構有一個很好的應用就是隱藏檢測器。即使是同一個分析系統(tǒng)中，也可以同時才用幾種檢測方法，對相同的數(shù)據(jù)使用不同的檢測方法進行分析，對各自的檢測結果進行比較，可以提高檢測準確度，也可以完善不同的檢測方法。它甚至有可能檢測出以前未出現(xiàn)過的攻擊方法，不像基于知識的檢測那樣受已知脆弱性的限制。基于行為的檢測方法主要有以下兩種。用于描述特征的變量類型有：1)操作密度：度量操作執(zhí)行的速率，常用于檢測通過長時間平均覺察不到的異常行為；2)審計記錄分布：度量在最新紀錄中所有操作類型的分布；3)范疇尺度：度量在一定動作范疇內特定操作的分布情況；4)數(shù)值尺度：度量那些產生數(shù)值結果的操作，如CPU使用量，I/O使用量。如果假設S1，S2，…，Sn 分別是用于描述特征的變量M1，M2，…，Mn 的異常程度值，Si值越大說明異常程度越大。這種方法的優(yōu)越性在于能應用成熟的概率統(tǒng)計理論。神經(jīng)網(wǎng)絡方法利用神經(jīng)網(wǎng)絡檢測入侵的基本思想是用一系列信息單元(命令)訓練神經(jīng)單元，這樣在給定一組輸入后，就可能預測出輸出。根據(jù)用戶的代表性命令序列訓練網(wǎng)絡后，該網(wǎng)絡就形成了相應用戶的特征表，于是網(wǎng)絡對下一事件的預測錯誤率在一定程度上反映了用戶行為的異常程度。窗口太小，則網(wǎng)絡輸出不好，窗口太大，則網(wǎng)絡會因為大量無關數(shù)據(jù)而降低效率。這種方法由于依據(jù)具體特征庫進行判斷，所以檢測準確度很高，并且因為檢測結果有明確的參照，也為系統(tǒng)管理員做出相應措施提供了方便。專家系統(tǒng)　　專家系統(tǒng)是基于知識的檢測中運用最多的一種方法。在具體實現(xiàn)中，專家系統(tǒng)主要面臨一下問題：1. 全面性問題，即難以科學地從各種入侵手段中抽象出全面的規(guī)則化知識；2. 效率問題，即所需處理的數(shù)據(jù)量過大，而且在大型系統(tǒng)上，如何獲得實時連續(xù)的審計數(shù)據(jù)也是個問題。這樣就不像專家系統(tǒng)一樣需要處理大量數(shù)據(jù)，從而大大提高了檢測效率。其中有關攻擊者行為的知識被描述為：攻擊者目的，攻擊者達到此目的的可能行為步驟，以及對系統(tǒng)的特殊使用等。決策器收到信息后，根據(jù)這些假設的攻擊行為在審計記錄中的可能出現(xiàn)方式，將它們翻譯成與特定系統(tǒng)匹配的審計記錄格式?！　∧Ｐ屯评矸椒ǖ膬?yōu)越性有：對不確定性的推理有合理的數(shù)學理論基礎，同時決策器使得攻擊腳本可以與審計記錄的上下文無關。狀態(tài)轉換法將入侵過程看作一個行為序列，這個行為序列導致系統(tǒng)從初始狀態(tài)轉入被入侵狀態(tài)。　　Petri 網(wǎng)用于入侵行為分析是一種類似于狀態(tài)轉換圖分析的方法。其中豎線代表狀態(tài)轉換，如果在狀態(tài) S1發(fā)生登錄失敗，則產生一個標志變量，并存儲事件發(fā)生時間 T1，同時轉入狀態(tài) S2。雖然很復雜的入侵特征能用Petri網(wǎng)表達得很簡單，但是對原始數(shù)據(jù)匹配時的計算量卻會很大。然后用狀態(tài)轉換圖來表示每一個狀態(tài)和特征事件，這些事件被集成于模型中，所以檢測時不需要一個個地查找審計記錄。但是創(chuàng)建入侵檢測模型的工作量比別的方法要大，并且在系統(tǒng)實現(xiàn)時決策器如何有效地翻譯攻擊腳本也是個問題。初始攻擊腳本子集的假設應滿足：易于在審計記錄中識別，并且出現(xiàn)頻率很高。檢測時先將這些攻擊腳本的子集看作系統(tǒng)正面臨的攻擊。另外，由于對不同操作系統(tǒng)平臺的具體攻擊方法可能不同，以及不同平臺的審計方式也可能不同，所以對特征分析檢測系統(tǒng)進行構造和維護的工作量都較大。像專家系統(tǒng)一樣，特征分析也需要知道攻擊行為的具體知識。當其中某個或某部分條件滿足時，系統(tǒng)就判斷為入侵行為發(fā)生。并且檢測范圍受已知知識的局限，尤其是難以檢測出內部人員的入侵行為，如合法用戶的泄漏，因為這些入侵行為并沒有利用系統(tǒng)脆弱性。因為很大一部分的入侵是利用了系統(tǒng)的脆弱性，通過分析入侵過程的特征、條件、排列以及事件間關系能具體描述入侵行為的跡象。神經(jīng)網(wǎng)絡方法的優(yōu)點在于能更好地處理原始數(shù)據(jù)的隨機特性，即不需要對這些數(shù)據(jù)作任何統(tǒng)計假設，并且有較好的抗干擾能力。實驗表明UNIX系統(tǒng)管理員的行為幾乎全是可以預測的，對于一般用戶，不可預測的行為也只占了很少的一部分。其次，定義是否入侵的判斷閾值也比較困難?！　∪绻x用標準偏差作為判別準則，則　　標準偏差：σ＝√M/(n1) μ2其中均值 μ=M/n　　如果某S值超出了μ177。在SRI/CSL的入侵檢測專家系統(tǒng)(IDES)中給出了一個特征簡表的結構：變量名，行為描述，例外情況，資源使用，時間周期，變量類型，門限值，主體，客體，值其中的變量名、主體、客體唯一確定了每一個特征簡表，特征值由系統(tǒng)根據(jù)審計數(shù)據(jù)周期性地產生。首先，檢測器根據(jù)用戶對象的動作為每個用戶都建立一個用戶特征表，通過比較當前特征與已存儲定型的以前特征，從而判斷是否是異常行為。尤其在用戶數(shù)目眾多，或工作目的經(jīng)常改變的環(huán)境中。 基于行為的檢測基于行為的檢測指根據(jù)使用者的行為或資源使用狀況來判斷是否入侵，而不依賴于具體行為是否出現(xiàn)來檢測，所以也被稱為異常檢測(Anomaly Detection)。 分析系統(tǒng)分析系統(tǒng)在整個ODIDS系統(tǒng)中處于二級分析結構中，它從存儲系統(tǒng)中的數(shù)據(jù)進行進一步的分析。如果沒有檢測到任何事件，就用加密的空字符串進行填充。經(jīng)過一段時間的觀察，攻擊者就能夠判斷出哪些是檢測器所忽略的。推技術是在檢測器探測到一個事件時就事件“推”給存儲系統(tǒng)。 長期記錄數(shù)據(jù)庫：長期記錄數(shù)據(jù)庫以縮減數(shù)據(jù)的格式記錄了很長一段時間內的檢測情況。但原始數(shù)據(jù)要占用大量的存儲器。這個數(shù)據(jù)庫應該建立多重索引和優(yōu)化，以便能夠進行最有效的搜索。這時分析員就需要系統(tǒng)提供所有的數(shù)據(jù)，包括數(shù)據(jù)包頭和內容，進行手工分析。采用直接載入數(shù)據(jù)庫的方法，在不同規(guī)模的入侵檢測系統(tǒng)可以使用相同的接口。而分析部件做個層次強調了對事件的深層次的分析和統(tǒng)計，已發(fā)掘新的未知的攻擊方法和分布式的攻擊形式，因此實時性在這個層次中的要求是可以減小的。如果每個數(shù)據(jù)得到就提交一次，這樣對信息處理會提供方便但對影響系統(tǒng)的運行性能。第二種方法的優(yōu)點就是能夠得到更好的性能和靈活性，但只要任何事情發(fā)生改變就必須重新處理數(shù)據(jù)載入的問題。跟據(jù)入侵檢測系統(tǒng)的規(guī)模，存儲系統(tǒng)也有和大的區(qū)別，它可能是一個單一的數(shù)據(jù)文件，也可能是一個數(shù)據(jù)庫系統(tǒng)，對于大規(guī)模的入侵檢測系統(tǒng)來也有可能配置一個數(shù)據(jù)倉庫作為其存儲系統(tǒng)。第四章 存儲系統(tǒng)和分析系統(tǒng) 存儲系統(tǒng) 存儲系統(tǒng)把系統(tǒng)檢測到的事件記錄下來，以便于以后的分析。2. 網(wǎng)絡棧在數(shù)據(jù)包到達主機網(wǎng)絡接口檢測器之前即已將它們解密。主機網(wǎng)絡接口檢測器位于服務器上網(wǎng)絡棧的附近。如果網(wǎng)絡數(shù)據(jù)被加密的話，網(wǎng)絡傳感器即不能起作用，原因是它無法正確地“看到”網(wǎng)絡數(shù)據(jù)。第二，即使在不工作的時候，網(wǎng)絡傳感器也能實時地檢測攻擊。比如對于斷口掃描的檢測，在網(wǎng)絡接口防護中檢測對本地主機的斷口掃描比在網(wǎng)絡引擎中檢測要容易得多。比如通過長時間的統(tǒng)計，一個用戶使用“l(fā)s”命令時，帶參數(shù)的“l(fā)s al”統(tǒng)計規(guī)律為％20，而在某一次登錄使用過程中使用他的使用概率達到％80，這肯定以該引起安全管理員的注意。用戶行為檢測：用戶行為檢測主要是對付內部人員的誤用和攻擊。不同的應用有不同的日志，因此日志分析都是針對不同的應用的。日志分析： 日志分析是最早出現(xiàn)的入侵檢測的方法，開始于六、七十年代。黑客可能會將程序或服務的運行分解，從而導致它失敗，或者是以非用戶或管理員意圖的方式操作。每個進程執(zhí)行在具有不同權限的環(huán)境中，這種環(huán)境控制著進程可訪問的系統(tǒng)資源、程序和數(shù)據(jù)文件等。目錄和文件中的不期望的改變（包括修改、創(chuàng)建和刪除），特別是那些正常情況下限制訪問的，很可能就是一種入侵產生的指示和信號。通過查看日志文件，能夠發(fā)現(xiàn)成功的入侵或入侵企圖，并很快地啟動相應的應急響應程序。在獲取高層信息以及實現(xiàn)一些特殊功能時，如針對系統(tǒng)資源情況的審計方面具有無法替代的作用。代理管理除與各部分間交互的部分外，主要實現(xiàn)一個動態(tài)的更新機制。這充分保證了系統(tǒng)可靠的安全服務。如發(fā)現(xiàn)一個HTTP請求某個服務器上的“/cgibin/phf”,這很很可能是一個攻擊者正在尋找系統(tǒng)的CGI漏洞。如時間、特定的數(shù)據(jù)包到來、管理員啟動、某種數(shù)據(jù)分析的結果、網(wǎng)絡上其他入侵檢測系統(tǒng)發(fā)送來數(shù)據(jù)等都可以觸發(fā)一個始數(shù)據(jù)分析函數(shù)的啟動檢測。一個協(xié)議數(shù)據(jù)可能有多個數(shù)據(jù)分析函數(shù)來處理它，這些函數(shù)的被放到一個鏈表中。數(shù)據(jù)分析函數(shù)鏈表是包含對該協(xié)議進行檢測的所有函數(shù)的鏈表。協(xié)議名稱是該協(xié)議的唯一標志。一個網(wǎng)絡數(shù)據(jù)包的分析就是一條從根到某個葉子的路徑。低級的動態(tài)鏈接庫運行在用戶層，他把應用程序和數(shù)據(jù)包監(jiān)聽設備驅動程序隔離開來，使得應用程序可以不加修改地在不同的WINDOWS系統(tǒng)上運行。同時wincap是從UNIX平臺上的LIPCAP移植過來的，它們具有相同的接口，減輕了不同平臺上開發(fā)網(wǎng)絡代理的難度。網(wǎng)絡監(jiān)聽模塊的過濾功能的效率是該網(wǎng)絡監(jiān)聽的關鍵，因為對于網(wǎng)絡上的每一數(shù)據(jù)包都會使用該模塊過濾，判斷是否符合過濾條件。可以看出，利用協(xié)議分析可以大大減小模式匹配的計算量，提高匹配的精確度，減少誤報率。3〕 TCP協(xié)議在第35字節(jié)處有一個2字節(jié)的應用層協(xié)議標識（端口號）?；趨f(xié)議分析的入侵檢測系統(tǒng)利用這個知識開始第一步檢測：1〕 跳過前面12個字節(jié)，讀取13字節(jié)處的2字節(jié)協(xié)議標識：0800。協(xié)議分析有效利用了網(wǎng)絡協(xié)議的層次性和相