【正文】 測系統(tǒng)設(shè)計與實現(xiàn) 1 引言 在計算機安全的發(fā)展中，系統(tǒng)安全模型在逐步的實踐中發(fā)生變化。 入侵檢測作為一種積極主動地安全防護技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵?？梢姡肭謾z測技術(shù)應(yīng)該進行進一步的研究。他們都在入侵檢測技術(shù)上有多年 的研究。入侵檢測系統(tǒng)作為一種商品也具有非常大的市場和效益。系統(tǒng)性能的高低在一 定 程度上可以通過量化指標(biāo)來表現(xiàn)。 “什么事 情 也沒有 ”實際上就是安全的最高境界。這個準(zhǔn)則的發(fā)布對操作系統(tǒng)、數(shù) 據(jù) 庫等方面的安全發(fā)展起到了很大的推動作用。 然 而，單純的防護技術(shù) 有許多方面的問題： 首先， 單純的防護技術(shù)容易導(dǎo)致系統(tǒng)的盲目建設(shè)，這種 盲 目包括兩分 布式入侵檢測系統(tǒng)設(shè)計與實現(xiàn) 3 方面：一方面是不了解安全威脅的嚴(yán)峻和當(dāng)前的安全現(xiàn)狀；另一方面是安全投入過 大 而又沒有真正抓住安全的關(guān)鍵環(huán)節(jié)，導(dǎo)致不必要的浪費。這 些 措施實際上就是一些緊急應(yīng)對和響應(yīng)措施。 防火墻的安全控制只能作用于外對內(nèi)或內(nèi)對外，即：對外可屏蔽內(nèi)部網(wǎng)的拓?fù)浣Y(jié)構(gòu)，封鎖外部網(wǎng)上的用戶連接內(nèi)部網(wǎng)上的重要站點或某些端口，對內(nèi)可屏蔽外部危險站點，但它很難解決內(nèi)部網(wǎng)控制內(nèi)部人員的安全問題。 防火墻的管理及配置相當(dāng)復(fù)雜，要想成功的維護防火墻，要求防火墻管理員對 網(wǎng)絡(luò)安全攻擊的手段及其與系統(tǒng)配置的關(guān)系有相當(dāng)深刻的了解。 .防火墻的安全控制主要是基于 IP 地址的，難于為用戶在防火墻內(nèi)外提供一致的安全策略 。 再次， 保證信息系統(tǒng)安全的經(jīng)典手段是 “存取控制 ”或 “訪問控制 ”，這種手段在經(jīng)典的以及現(xiàn)代的安全理論中都是實行系統(tǒng)安全策略的最重要的手段。 圖 1－ 1 P2DR 模型 P2DR 模型包含 4 個主要部分： Policy（安全策略） Protection（防護） Detection（檢測） Response（響應(yīng)） P2DR 模型是在整體的安全策略 （ Policy） 的控制和指 導(dǎo)下，在綜合運用防護工具 （ Protection， 如防火墻、操作系統(tǒng)身份認(rèn)證、加密等手段）的同時，利用檢測工具（ Detection， 如漏洞評估、入侵檢測等系統(tǒng)）了解和評估系統(tǒng)的安全狀態(tài)，通過適當(dāng)?shù)?響應(yīng)（ Response） 將系統(tǒng)調(diào)整分 布式入侵檢測系統(tǒng)設(shè)計與實現(xiàn) 5 到 “最安全 ”和 “風(fēng)險最低 ”的狀態(tài)。 入侵檢測系統(tǒng)的分類 按獲得原始數(shù)據(jù)的方法可以將入侵檢測系統(tǒng)分為基于網(wǎng)絡(luò)的入侵檢測和基于主機的入侵檢測系統(tǒng)。 現(xiàn)在的基于主機的入侵檢測系統(tǒng)保留了一種有力的工具，以理解以前的攻擊形式，并選擇合適的方法去抵御未來的攻擊。如果匹配，系統(tǒng)就會向管理員報警并向別的目標(biāo)報告，以采取措施。最后，許多產(chǎn)品都是監(jiān)聽端口的活動，并在特定端口被訪問時向管理員分 布式入侵檢測系統(tǒng)設(shè)計與實現(xiàn) 6 報警。 盡管基于網(wǎng)絡(luò) 的入侵檢測系統(tǒng)能很容易地提供廣泛覆蓋，但其價格通常是昂貴的。例如，基于主機的 IDS 可以監(jiān)督所有用戶登錄及退出登錄的情況，以及每位用戶 在聯(lián)接 .到網(wǎng)絡(luò)以后的行為。一旦發(fā)生了更改，基于主機的 IDS 就能檢測到這種不適當(dāng)?shù)母?。而基于網(wǎng)絡(luò)的系統(tǒng)有時會檢測不到這些行為?；谥鳈C的入侵檢測系統(tǒng)存在于現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)之中，包括文件服務(wù)器、 Web 服務(wù)器及其它共享資源。 ? 適用于被加密的以及切換的環(huán)境 由于基于主機的系統(tǒng)安裝 在遍布企業(yè)的各種主機上，它們比基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)更加適于分 布式入侵檢測系統(tǒng)設(shè)計與實現(xiàn) 7 交換的以及加密的環(huán)境?；谥鳈C的入侵檢測系統(tǒng)可安裝在所需的重要主機上，在交換的環(huán)境中具有更高的能見度。當(dāng) 操作系統(tǒng)及基于主機的系統(tǒng)發(fā)現(xiàn)即將到來的業(yè)務(wù)時，數(shù)據(jù)流已經(jīng)被解密了 ? 確定攻擊是否成功 由于基于主機的 IDS 使用含有已發(fā)生事件信息，它們可以比基于網(wǎng)絡(luò)的 IDS 更加準(zhǔn)確地判斷攻擊是否成功。反應(yīng)因產(chǎn)品而異，但通常都包括通知管理員、中斷連接并且 /或為法庭分析和證據(jù)收集而做的會話記錄。而大多數(shù)基于主機的產(chǎn)品 則要依靠對最近幾分鐘內(nèi)審計記錄的分析。 ? 視野更寬 基于網(wǎng)絡(luò)的 入侵檢測 甚至可以在網(wǎng)絡(luò)的邊緣上，即攻擊者還沒能接入網(wǎng)絡(luò)時就被 發(fā)現(xiàn)并 制止。 ? 攻擊者不易轉(zhuǎn)移證據(jù) 基于網(wǎng)絡(luò)的 IDS 使用正在發(fā)生的網(wǎng)絡(luò)通訊進行實時攻擊的檢測。 ? 操作系統(tǒng)無關(guān)性 基于網(wǎng)絡(luò)的 IDS 作為安全監(jiān)測資源，與主機的操作系統(tǒng)無關(guān)。這兩種方式都能發(fā)現(xiàn)對方無法檢測到的一些入侵行為。 基于網(wǎng)絡(luò)的 入侵檢測系統(tǒng) 可以研究負(fù)載的內(nèi)容，查找特定攻擊中使用的命令或語法，這類攻擊可以被實時檢查包序列的 入侵檢測系統(tǒng) 迅速識別。在這方面，基于主機的 入侵檢測系統(tǒng) 對基于網(wǎng)絡(luò)的 入侵檢測系統(tǒng) 是一個很好的補充，人們完全可以使用基于網(wǎng)絡(luò)的 入侵檢測系統(tǒng)分 布式入侵檢測系統(tǒng)設(shè)計與實現(xiàn) 9 提供早期報警，而使用基 于主機的 入侵檢測系統(tǒng) 來驗證攻擊是否取得成功。從技術(shù)上，入侵檢測分為兩類：一種基于模式匹配（ signaturebased）的入侵檢測系統(tǒng)，另一種基于異常發(fā)現(xiàn) (anomalybased)的入侵檢測系統(tǒng)。 而基于異常發(fā)現(xiàn)的檢測技術(shù)則是先定義一組系統(tǒng)“正?！鼻闆r的閥值，如 CPU利用率、內(nèi)存利用率、文件校驗和等（這類數(shù)據(jù)可以人為定義，也可以通過觀察系統(tǒng)、并用統(tǒng)計的辦法得出），然后將系統(tǒng)運行時的數(shù)值與所定義的“正常”情況比較，得出是否有被攻擊的跡象。審計系統(tǒng)實時地檢測用戶對系統(tǒng)的使用情況，根據(jù)系統(tǒng)內(nèi)部保持的用戶行為的概率統(tǒng)計模型進行監(jiān)測，當(dāng)發(fā)現(xiàn)有可疑的用戶行為發(fā)生時，保持跟蹤并監(jiān)測該用戶的行為。這種辦法同樣適用于檢測程序的 行為以及對數(shù)據(jù)資源（如文件或數(shù)據(jù)庫）的存取行為。神經(jīng)網(wǎng)絡(luò)可能用于解決傳統(tǒng)的統(tǒng)計分析技術(shù)所面臨的以下幾個問題： 分 布式入侵檢測系統(tǒng)設(shè)計與實現(xiàn) 10 ● 難于建立確切的統(tǒng)計分布 ● 難于實現(xiàn)方法的普適性 ● 算法實現(xiàn)比較昂貴 ● 系 統(tǒng)臃腫難于剪裁 目前，神經(jīng)網(wǎng)絡(luò)技術(shù)提出了對基于傳統(tǒng)統(tǒng)計技術(shù)的攻擊檢測方法的改進方向，但尚不十分成熟，所以傳統(tǒng)的統(tǒng)計方法仍將繼續(xù)發(fā)揮作用，也仍然能為發(fā)現(xiàn)用戶的異常行為提供相當(dāng)有參考價值的信息。例如 ，在數(shù)分鐘之內(nèi)某個用戶連續(xù)進行登錄，且失敗超過三次就可以被認(rèn)為是一種攻擊行為。用基于模型的推理方法人們能夠為某些行為建立特定的模型，從而能夠監(jiān)視具有特定行為特征的某些活動。 基于模式匹配的檢測技術(shù)和基于異常發(fā)現(xiàn)的檢測技術(shù) ，所得出的結(jié)論有非常大的差異。如果條件允許，兩者結(jié)合的檢測分 布式入侵檢測系統(tǒng)設(shè)計與實現(xiàn) 11 會達到更好的效果。 事件產(chǎn)生器的目的是從整個計算環(huán)境中獲得事件，并向系統(tǒng)的其他部分提供 此事件。 在現(xiàn)有的入侵檢測系統(tǒng)中，經(jīng)常用數(shù)據(jù)采集部分、分析部分和響應(yīng)部分來分別代替事件產(chǎn)生器、事件分析器和響應(yīng)單元這些術(shù)語。 分 布式入侵檢測系統(tǒng)設(shè)計與實現(xiàn) 12 第二章 分布式入侵檢測系統(tǒng) 現(xiàn)有入侵檢測系統(tǒng)的不足 入侵檢測系統(tǒng)不能很好的檢測所有的數(shù)據(jù)包：基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)難以跟上網(wǎng)絡(luò)速度的發(fā)展。 攻擊特征庫的更新不及時：絕大多數(shù)的入侵檢測系統(tǒng)都是適用模式匹配的分析方法，這要求攻擊特征庫的特征值應(yīng)該是最新的。另外，基于模式匹配和基于統(tǒng)計的分析方法各有所長，入侵檢測系統(tǒng)的發(fā)展趨勢是在 同一個系統(tǒng)中同時使用不同的分析方法。但入侵檢測系統(tǒng)不能很好的和其他安全產(chǎn)品協(xié)作。實時入侵檢測可以避免常規(guī)情況下，管理員通過的對系統(tǒng) 日志進行審計以查找入侵者或入侵行為線索時的種種不便與技術(shù)上的限制。并且在入侵檢測系統(tǒng)的整體功能設(shè)計上，也必須建立一種可以擴展的結(jié)構(gòu)，以便系統(tǒng)結(jié)構(gòu)本身能夠適應(yīng)未來可能出現(xiàn)的擴展要求。并且入侵檢測系統(tǒng)應(yīng)該在設(shè)計和實現(xiàn)中，因該能夠有針對性的考慮幾種可以預(yù)見的，對 應(yīng)于該入侵檢測系統(tǒng)的類型與工作原理的攻擊威脅，及其相應(yīng)的抵御方法。 分 布式入侵檢測系統(tǒng)設(shè)計與實現(xiàn) 14 系統(tǒng)概述 ODIDS 系統(tǒng)是基于部件的分布式入侵檢測系統(tǒng)。部件之間通過統(tǒng)一的網(wǎng)絡(luò)接口進行信息交換，這樣既簡化了部件之間的數(shù)據(jù)交換的復(fù)雜性，使得部件非常容易地分布在不同主機上，也給系統(tǒng)提供了一個擴展的接口。主機代理在所在主機以各種方法收集信息，包括分析日志、監(jiān)視用戶行為、分析系統(tǒng)調(diào)用、分析該主機的網(wǎng)絡(luò)通信等。存儲系統(tǒng)也是不同部件之間數(shù)據(jù)處理的共享數(shù)據(jù)庫，為系統(tǒng)不同部件提供各自感興趣的數(shù)據(jù)。同時負(fù)責(zé)分布式攻擊進行檢測。響應(yīng)包括消極的措施，如給管理員發(fā)電子郵件、消息、傳呼等。用戶可以提供控制臺配置系統(tǒng)中的各個部件，也通過控制臺了解各部件的運行情況。 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)需要有檢測器才能工作。 DMZ 是介于 ISP 和最外端防火墻界面之間的區(qū)域。這樣做對站點的好處就是：可以看到自己的站點和防火墻暴 露在多少種攻擊之下。 設(shè)置良好的防火墻確實阻止了大部分低層次的攻擊，人們也確實把太多的注意力放在檢測和分析這些低層次的攻擊上了。如果你的機構(gòu)有足夠的經(jīng)費這么做，會有如下優(yōu)點： ? 你無須猜測是否有攻擊滲透過防火墻。 4. 檢測器的其他位置 檢測器最通常的位置在防火墻外，但這當(dāng)然不是唯一一個對機構(gòu)有利的擺放位置。檢測器可以工作在這種環(huán)境中，但如果交換機的跨接端口沒有正確設(shè)置，入侵檢測將無法進行工作。有必要被檢測器配置兩塊接口卡，一塊連接到網(wǎng)絡(luò)跨接端口用于監(jiān)聽混雜模式（監(jiān)聽所有數(shù)據(jù)包，不管它們是否是發(fā)給檢測器）的，另一塊連接到單獨 VLAN 用來與分析工作站進行通信。如果交換機廠商把此端口開放出來，用戶可將 IDS 系統(tǒng)接到此端口上。 優(yōu)點：可得到幾乎所有關(guān)鍵數(shù)據(jù)。 缺點：必須購買額外的設(shè)備 (Tap)；若所保護的資源眾多， IDS 必須配備眾多網(wǎng)絡(luò)接口。他的功能基本上相當(dāng)于一個完整的基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。單純的模式匹配方法的工作過程如下： 1〕 分析網(wǎng)絡(luò)上的每一個數(shù)據(jù)包是否具有某種攻擊特征。 下面給出一個例子可以很高的說明其工作原理。例如，對于 WEB 服務(wù)器 GET /cgibin/phf HEAD /cgibin/phf GET //cgibin/phf GET /cgibin/foobar/../phf GET /cgibin/./phf GET%00/cgibin/phf GET /%63%67%69%2d%62%69%6e/phf 都是合法而且有效的。他對于網(wǎng)絡(luò)中傳輸?shù)膱D像或音頻流同樣進行匹配。即使在100M 的網(wǎng)絡(luò)中，以可以充分地檢測每一個數(shù)據(jù)包。 2〕 IP協(xié)議規(guī)定 IP包的第 24字節(jié)處有一個 1字節(jié)的第四層協(xié)議標(biāo)識。該數(shù)據(jù)包是一個 HTTP協(xié)議的數(shù)據(jù)包。 它的結(jié)構(gòu)如下： 分 布式入侵檢測系統(tǒng)設(shè)計與實現(xiàn) 22 圖 3－ 1 入侵檢測系統(tǒng)框圖 監(jiān)聽部分 ：網(wǎng)絡(luò)監(jiān)聽模塊將網(wǎng)絡(luò)接口設(shè)置為混亂模式，將接收到達到網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包截取下來，供協(xié)議分析模塊使用。 為提高效率，數(shù)據(jù)包過濾應(yīng)該在系統(tǒng)內(nèi)核里來實現(xiàn)。數(shù)據(jù)包監(jiān)聽設(shè)備驅(qū)動程序直接從數(shù)據(jù)鏈路層取得網(wǎng)絡(luò)數(shù)據(jù)包不加修改地傳遞給運行在用戶層的應(yīng)用程分 布式入侵檢測系統(tǒng)設(shè)計與實現(xiàn) 23 序，他在不同的 WINDOWS 系統(tǒng)下是不同。 圖 3－ 2 wincap 結(jié)構(gòu)圖 協(xié)議分析 ：協(xié)議分析的功能是辨別數(shù)據(jù)包的協(xié)議類型，以便使用相應(yīng)的數(shù)據(jù)分析程序來檢測數(shù)據(jù)包。 在該樹結(jié)構(gòu)中可以加入自定義的協(xié)議結(jié)點，如在 HTTP 協(xié)議中可以把請求 URL 列入該樹中作為一個結(jié)點，再將 URL 中不同 的方法作為子節(jié)點，這樣可以細(xì)化分析數(shù)據(jù)，提高檢測效率。下級協(xié)議代號是在協(xié)議樹中其父結(jié)點的編號，如 TCP 的下級協(xié)議是 IP 協(xié)議。 分 布式入侵檢測系統(tǒng)設(shè)計與實現(xiàn) 24 圖 3－ 3 協(xié)議樹示意圖 數(shù)據(jù)分析 ：數(shù)據(jù)分析模塊的功能是分析某一特定協(xié)議數(shù)據(jù)，得出是否關(guān)注該主機的結(jié)論。同時葉子節(jié)點上的協(xié)議明確，分析程序可以少做一些冗余的工作，也由此提高了系統(tǒng)的處理速度。 數(shù)據(jù)分析的方法是入侵檢測系統(tǒng)的核心。 在我們設(shè)計的這個體系結(jié)構(gòu)時充分考慮了系統(tǒng)的開放性，可以向系統(tǒng)中添加任何一種分析方法，也可以把多種分析方法同時運用到系統(tǒng)中。對于已經(jīng)有的分析功能，可以在入侵特征數(shù)據(jù)庫中添加新的入侵特征，以增強現(xiàn)有模式 匹配分析方法的檢測能力。這樣對于網(wǎng)絡(luò)上的數(shù)量眾多達到網(wǎng)絡(luò)代理的配置和添加功能模塊可以集中或自動進行，減輕安全管理的難度。其主要來源有： 1．系統(tǒng)和網(wǎng)絡(luò)日志文件 黑客經(jīng)常在系統(tǒng)日志文件中留下他們的蹤跡，因此，充分利用系統(tǒng)和網(wǎng)絡(luò)日志文件信息是檢測入侵的必要條件。很顯然地，對用戶活動來講，不正常的或不期望的行為就是重復(fù)登錄失敗、登錄到不期望的位置以及非授權(quán)的企圖訪問重要文件等等。 3．程序執(zhí)行中的不期望行為 網(wǎng)絡(luò)系統(tǒng)上的程序執(zhí)行一般包括操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)、用戶起動的程序和特定目的的應(yīng)用，例如數(shù)據(jù)庫服務(wù)器。操作包括計算、文件傳輸、設(shè)備和其它進程，以及與網(wǎng)絡(luò)間其它進程的通訊。對于不同的主機，上面運行的應(yīng)用程序也各不相同，因此不同廠商設(shè)計的基于主機的入侵檢測系統(tǒng)的各不相同。時至今日，日志分析也是非常有效地一種檢測方法，但是在分析技術(shù)和實時性上有了很大的提高。攻擊者一般都會添加、刪除或更改一些敏感的文件獲得權(quán)限或者留下后門，所以檢測這些文件的改變可以得到攻擊的信息。監(jiān)測的內(nèi)容主要是包括是否違反安全政策、是否越權(quán)使用系統(tǒng)