【正文】 起步較早，有比較完善的技術(shù)和相關(guān)產(chǎn)品。在本文的后面針對基于windows平臺并基于特征（規(guī)則）的入侵檢測系統(tǒng)響應(yīng)模塊的設(shè)計與實現(xiàn)作了詳細(xì)的說明，闡述了什么是入侵檢測、如何檢測、如何響應(yīng)等一系列問題，同時也給出了一套完整的設(shè)計思想和實現(xiàn)過程。網(wǎng)絡(luò)信息的傳輸、存儲、處理和使用都要求處于安全的狀態(tài)。Heady給出另外的入侵定義：入侵是指有關(guān)試圖破壞資源的完整性、機密性及可用性的活動集合。實施入侵：獲取帳號和密碼，登錄主機。清除日志記錄：黑客在退出被攻克的目標(biāo)前通常要進(jìn)行一些善后處理。端口掃描端口掃描的基本原理是掃描方通過向目標(biāo)系統(tǒng)的不同端口發(fā)送具有特殊位的數(shù)據(jù)包，并記錄目標(biāo)做出的應(yīng)答，通過分析得出關(guān)于目標(biāo)的相關(guān)信息。口令入侵口令入侵是指攻擊者使用合法的用戶帳號和口令登錄到目標(biāo)主機，然后再實施攻擊行為。特洛伊木馬程序可用于竊取目標(biāo)系統(tǒng)的敏感信息（例如用戶名和口令）、記錄用戶的鍵盤操作，直至遠(yuǎn)程控制目標(biāo)系統(tǒng)。防范方法：經(jīng)常檢查系統(tǒng)中運行的服務(wù)或開啟的端口號，如果陌生的服務(wù)程序在運行或陌生的端口號被開啟，就應(yīng)該進(jìn)一步查清是正常啟動的新服務(wù)還是特洛伊木馬程序。緩沖區(qū)溢出是目前最常見的攻擊收集。要達(dá)到這一目的，有幾種不同的方法：服務(wù)超載、報文洪水攻擊使系統(tǒng)變慢，以阻止處理常規(guī)工作、SYN、分布式拒絕服務(wù)攻擊。因為ping命令的數(shù)據(jù)報文幾乎會出現(xiàn)在每個網(wǎng)絡(luò)中，許多防火墻和網(wǎng)絡(luò)都認(rèn)為這種數(shù)據(jù)無危險而讓其通過。 防范的方法是設(shè)置ICMP數(shù)據(jù)包的智能過濾器。除rlogin外，rpc,rdist,rsh等（稱為R*命令）都可使用信任方案。防范的方法是禁用基于IP地址的信任關(guān)系：將MAC與IP綁定等。黑客只需先于域名服務(wù)器所發(fā)送給客戶機一個偽造的響應(yīng)數(shù)據(jù)報就可欺騙客戶機連接到非法的主機上，或者先在服務(wù)器驗證一個可信任的客戶機名的IP地址時欺騙服務(wù)器。臺灣的某個電子商務(wù)網(wǎng)站就曾遭到黑客冒充，造成大量用戶的信用卡密碼被盜。入侵者監(jiān)視一個會話已經(jīng)通過口令或其他較強的身份驗證之后，就搶占這個會話。這在當(dāng)時的歷史條件下是適用的，但在今天這樣商業(yè)和政府廣泛參與、INTERNET普遍應(yīng)用的條件下，INTERNET缺乏安全性的先天不足就給無孔不入的黑客許多可乘之機。3. 系統(tǒng)和網(wǎng)絡(luò)使用過程中的錯誤配置及誤操作完善的安全防范體系包括安全準(zhǔn)則的正確執(zhí)行，人為疏忽會造成系統(tǒng)錯誤配置。在這樣的條件下，具有主動防御能力的入侵檢測技術(shù)就顯的尤為重要。入侵檢測是對發(fā)生在計算機系統(tǒng)或網(wǎng)絡(luò)中的事件進(jìn)行監(jiān)控及對入侵信號的分析過程。輸出：事件的有關(guān)信息輸出：原始或低級事件響應(yīng)單元事件分析器事件數(shù)據(jù)庫事件產(chǎn)生器輸出：高級中級事件輸出：反應(yīng)或事件輸入：原始事件源（CIDF）的體系結(jié)構(gòu)（1）事件產(chǎn)生器（Event generators）事件產(chǎn)生器是入侵檢測系統(tǒng)中負(fù)責(zé)原始數(shù)據(jù)采集的部分，它對數(shù)據(jù)流、日志文件等進(jìn)行追蹤，然后將收集到的原始數(shù)據(jù)轉(zhuǎn)換為事件，并向系統(tǒng)的其他部分提供此事件。它是入侵檢測系統(tǒng)中的主動武器。由于需要在主機上安裝軟件，針對不同的系統(tǒng)、不同的版本需安裝不同的主機引擎，安裝配置較為復(fù)雜，同時對系統(tǒng)的運行和穩(wěn)定性都會造成影響。只需把它安裝在網(wǎng)絡(luò)的監(jiān)聽端口上，對網(wǎng)絡(luò)的運行影響較小。根據(jù)分析方法分類（1）誤用檢測（特征檢測 signaturebased）誤用檢測是基于已知的系統(tǒng)缺陷和入侵模式，所以又稱為特征檢測。但需要不斷更新攻擊的特征庫，系統(tǒng)靈活性和自適應(yīng)性較差，漏報較多。也就是，異常檢測是對用戶的正常行為建模，通過正常行為與用戶的行為進(jìn)行比較，如果二者的偏差超過了規(guī)定閾值則認(rèn)為該用戶的行為是異常的。審計程序?qū)?dāng)?shù)厥占降臄?shù)據(jù)蹤跡發(fā)送給中央服務(wù)器進(jìn)行分析處理。（3）分布式（協(xié)作式）入侵檢測系統(tǒng)分布式IDS是將中央檢測服務(wù)器的任務(wù)分配給多個基于主機的IDS，這些IDS不分等級，各司其職，負(fù)責(zé)監(jiān)控當(dāng)?shù)刂鳈C的某些活動。根據(jù)時效性分類（1）脫機分析：就是在行為發(fā)生后，對產(chǎn)生的數(shù)據(jù)進(jìn)行分析，而不是在行為發(fā)生時進(jìn)行分析。入侵檢測的核心在于對事件的分析，所以分析分類方法是較重要的。對于高速大規(guī)模的網(wǎng)絡(luò)來說，由于要分析處理大量的數(shù)據(jù)包，該方法的速度就成為了問題。例如：假設(shè)襲擊執(zhí)行的基礎(chǔ)協(xié)議是虛構(gòu)的BGS協(xié)議，攻擊要求非法變量foo必須傳遞到BGS型字段中。統(tǒng)計分析統(tǒng)計分析是通過設(shè)置極限閾值等方法，將檢測數(shù)據(jù)與已有的正常行為加以比較，如果超出極限值，則認(rèn)為是入侵行為。因此，將數(shù)據(jù)挖掘技術(shù)引入入侵檢測系統(tǒng)中，通過數(shù)據(jù)挖掘程序處理收集到的審計數(shù)據(jù)，為各種入侵行為和正常操作建立精確的行為模式，這是一個自動的過程。來自審計日志或正常網(wǎng)絡(luò)訪問行為的信息，經(jīng)數(shù)據(jù)信息預(yù)處理模塊的處理后即產(chǎn)生輸入向量。人類思維、語言具有模糊性，模糊思維形式和語言表達(dá)具有廣泛性、完美和高效的特征。將免疫系統(tǒng)應(yīng)用到入侵檢測當(dāng)中，本質(zhì)上是設(shè)計和實現(xiàn)一個分布式智能多代理系統(tǒng)。遺傳則模擬了上述進(jìn)化現(xiàn)象。由于新群體的成員是上一代群體的優(yōu)秀者，繼承了上一代的優(yōu)良形態(tài)，因而明顯優(yōu)于上一代。它的最終目的是利用多個傳感器共同或者聯(lián)合操作的優(yōu)勢，來提高整個系統(tǒng)的性能。以上所介紹的方法有些還處于研究階段，不能達(dá)到一定的檢測精度，漏報、誤報現(xiàn)象較為嚴(yán)重，還有待進(jìn)一步的研究。BM算法從匹配串（模式串：pattern）的最右端的第一個字符開始從右至左掃描，匹配字符串（text），一旦發(fā)生不匹配就用兩種規(guī)則向右移動模式串，直到匹配。y[i+j]。示意圖如下：, 只有u的一部分前綴出現(xiàn)在x中l(wèi) 壞字符規(guī)則（badcharacter shift）從右到左的掃描過程中，發(fā)現(xiàn)x[i]與y[j]不同，如果x中存在一個字符x[k]與y[i]相同，且ki那么就將直接將x向右移使x[k]與y[i]對齊，然后再從右到左進(jìn)行匹配。存放goodsuffix shift的數(shù)組為GoodSuffix[],則suff[i]=max{k | y[ik+1 .. i]=x[mk .. m1], 1≤ i m }。3 系統(tǒng)總體設(shè)計 系統(tǒng)概述系統(tǒng)構(gòu)建基于windows操作系統(tǒng)，并且兼容各種windows版本，系統(tǒng)的整體目標(biāo)是實現(xiàn)一個windows平臺下基于規(guī)則（基于誤用）的網(wǎng)絡(luò)入侵檢測系統(tǒng)，實現(xiàn)基于規(guī)則的網(wǎng)絡(luò)入侵檢測，在現(xiàn)有已知的入侵特征下建立規(guī)則庫，實現(xiàn)數(shù)據(jù)包地捕獲和分析，完成對漏洞攻擊和掃描等攻擊行為的檢測和報告。 系統(tǒng)總體結(jié)構(gòu)框架入侵檢測系統(tǒng)檢測模塊響應(yīng)模塊數(shù)據(jù)捕獲數(shù)據(jù)分析規(guī)則庫規(guī)則匹配引擎響應(yīng)單元日志庫 開發(fā)環(huán)境開發(fā)系統(tǒng)所采用的語言是C/C++。 帶有非法TCP 標(biāo)志聯(lián)合物的數(shù)據(jù)包：可通過對比TCP報頭中的標(biāo)志集與已知正確和錯誤標(biāo)記聯(lián)合的不同點來識別。 未登錄情況下使用文件和目錄命令對FTP服務(wù)器的文件訪問攻擊：通過創(chuàng)建具備狀態(tài)跟蹤 的特征樣板以監(jiān)視成功登錄的FTP對話、發(fā)現(xiàn)未經(jīng)驗證卻發(fā)命令的入侵企圖。這種數(shù)據(jù)包被許多入侵軟件采用，向防火墻、路由器以及IDS系統(tǒng)發(fā)起攻擊。 隨著時間推移，執(zhí)行新功能的協(xié)議可能不被包含于現(xiàn)有RFC中。例如，如果存在到端口31337或27374的可疑連接，就可報警說可能有特洛伊木馬在活動；再附加上其他更詳細(xì)地探測信息，就能夠進(jìn)一步地判斷是真馬還是假馬。 規(guī)則鏈表分類IP規(guī)則動態(tài)鏈表以數(shù)據(jù)庫規(guī)則記錄中的字段為IP時，加入該鏈表TCP規(guī)則動態(tài)鏈表以數(shù)據(jù)庫規(guī)則記錄中的字段為TCP時，加入該鏈表UDP規(guī)則動態(tài)鏈表以數(shù)據(jù)庫規(guī)則記錄中的字段為UDP時，加入該鏈表ICMP規(guī)則動態(tài)鏈表以數(shù)據(jù)庫規(guī)則記錄中的字段為ICMP時，加入該鏈表規(guī)則動態(tài)鏈表結(jié)構(gòu)定義如下：Typedef struct _RuleTreeP{ u_int8_t Ip_proto。 U_int16_t sourceport。 U_int16_t id。 U_int8_t flags。 U_int8_t itype。 u_char *content。(3)ICMP規(guī)則匹配如果數(shù)據(jù)包網(wǎng)絡(luò)層采用IP協(xié)議，且IP上層協(xié)議為ICMP那么進(jìn)入ICMPMatch()規(guī)則匹配的主函數(shù)，進(jìn)行匹配，匹配函數(shù)將遍歷UDP規(guī)則動態(tài)鏈表，匹配當(dāng)前規(guī)則中存在的規(guī)則選項。內(nèi)容可以有不同的格式：二進(jìn)制，文本或則兩則的混合。、。}其中PackToRule(p,pack)函數(shù)是調(diào)用其它事件分析程序進(jìn)行事件分析響應(yīng)。 測試系統(tǒng)是否能對攻擊檢測結(jié)果輸出。 根據(jù)結(jié)果編寫一條最適合的規(guī)則，對比snort里的規(guī)則。 檢查檢測結(jié)果。flags:FPU,12。 rev:7。但是值得注意的是攻擊軟件的數(shù)據(jù)特征會隨時變化，為了應(yīng)對這種隨時變化的情況就需要：編寫的規(guī)則要一般化，具有針對性；隨時注意攻擊特征的變化，修改規(guī)則庫。漏報和誤報不僅阻礙了IDS的進(jìn)一步應(yīng)用，也使得一些專家對IDS的存在價值提出置疑。發(fā)送數(shù)據(jù)包進(jìn)行測試。這就使得漏報的情況發(fā)生。例如，分析TTL值為64的數(shù)據(jù)包，IDS指紋引擎將操作系統(tǒng)范圍縮小到Linux或OpenBSD，因為這兩種操作系統(tǒng)具有同樣的TTL值，進(jìn)一步檢驗窗口值，IDS則可以區(qū)分Linux和OpenBSD。本系統(tǒng)設(shè)計實現(xiàn)了基于 windows的誤用（特征規(guī)則）檢測技術(shù)構(gòu)架的網(wǎng)絡(luò)入侵檢測系統(tǒng)以有效方式檢測入侵行為?；谡`用（特征規(guī)則）檢測技術(shù)提供了一些良好特性。由于能力和水平的限制，該系統(tǒng)還是存在誤報率高和漏報的問題，若想在短期開發(fā)一個完善的入侵檢測系統(tǒng)工作量比較大，所以本系統(tǒng)還有很多有待完善的地方，希望通過以后的繼續(xù)開發(fā)，使系統(tǒng)功能更加完善和高效。[4] [M].北京：電子工業(yè)出版社,2002。文檔來源：