【正文】 息。5〕 直到檢測到攻擊或網(wǎng)絡(luò)數(shù)據(jù)包中的所有字節(jié)匹配完畢，一個攻擊特征匹配結(jié)束6〕 對于每一個攻擊特征，重復(fù)2〕開始的比較。傳統(tǒng)的模式匹配的檢測方法的問題根本是他把網(wǎng)絡(luò)數(shù)據(jù)包看作是無序的隨意的字節(jié)流?；趨f(xié)議分析的入侵檢測系統(tǒng)利用這個知識開始第一步檢測：1〕 跳過前面12個字節(jié)，讀取13字節(jié)處的2字節(jié)協(xié)議標(biāo)識：0800。可以看出，利用協(xié)議分析可以大大減小模式匹配的計(jì)算量，提高匹配的精確度，減少誤報(bào)率。同時wincap是從UNIX平臺上的LIPCAP移植過來的，它們具有相同的接口，減輕了不同平臺上開發(fā)網(wǎng)絡(luò)代理的難度。一個網(wǎng)絡(luò)數(shù)據(jù)包的分析就是一條從根到某個葉子的路徑。數(shù)據(jù)分析函數(shù)鏈表是包含對該協(xié)議進(jìn)行檢測的所有函數(shù)的鏈表。如時間、特定的數(shù)據(jù)包到來、管理員啟動、某種數(shù)據(jù)分析的結(jié)果、網(wǎng)絡(luò)上其他入侵檢測系統(tǒng)發(fā)送來數(shù)據(jù)等都可以觸發(fā)一個始數(shù)據(jù)分析函數(shù)的啟動檢測。這充分保證了系統(tǒng)可靠的安全服務(wù)。在獲取高層信息以及實(shí)現(xiàn)一些特殊功能時，如針對系統(tǒng)資源情況的審計(jì)方面具有無法替代的作用。目錄和文件中的不期望的改變（包括修改、創(chuàng)建和刪除），特別是那些正常情況下限制訪問的，很可能就是一種入侵產(chǎn)生的指示和信號。黑客可能會將程序或服務(wù)的運(yùn)行分解，從而導(dǎo)致它失敗，或者是以非用戶或管理員意圖的方式操作。不同的應(yīng)用有不同的日志，因此日志分析都是針對不同的應(yīng)用的。比如通過長時間的統(tǒng)計(jì)，一個用戶使用“l(fā)s”命令時，帶參數(shù)的“l(fā)s al”統(tǒng)計(jì)規(guī)律為％20，而在某一次登錄使用過程中使用他的使用概率達(dá)到％80，這肯定以該引起安全管理員的注意。第二，即使在不工作的時候，網(wǎng)絡(luò)傳感器也能實(shí)時地檢測攻擊。主機(jī)網(wǎng)絡(luò)接口檢測器位于服務(wù)器上網(wǎng)絡(luò)棧的附近。第四章 存儲系統(tǒng)和分析系統(tǒng) 存儲系統(tǒng) 存儲系統(tǒng)把系統(tǒng)檢測到的事件記錄下來，以便于以后的分析。第二種方法的優(yōu)點(diǎn)就是能夠得到更好的性能和靈活性，但只要任何事情發(fā)生改變就必須重新處理數(shù)據(jù)載入的問題。而分析部件做個層次強(qiáng)調(diào)了對事件的深層次的分析和統(tǒng)計(jì)，已發(fā)掘新的未知的攻擊方法和分布式的攻擊形式，因此實(shí)時性在這個層次中的要求是可以減小的。這時分析員就需要系統(tǒng)提供所有的數(shù)據(jù)，包括數(shù)據(jù)包頭和內(nèi)容，進(jìn)行手工分析。但原始數(shù)據(jù)要占用大量的存儲器。推技術(shù)是在檢測器探測到一個事件時就事件“推”給存儲系統(tǒng)。如果沒有檢測到任何事件，就用加密的空字符串進(jìn)行填充。 基于行為的檢測基于行為的檢測指根據(jù)使用者的行為或資源使用狀況來判斷是否入侵，而不依賴于具體行為是否出現(xiàn)來檢測，所以也被稱為異常檢測(Anomaly Detection)。首先，檢測器根據(jù)用戶對象的動作為每個用戶都建立一個用戶特征表，通過比較當(dāng)前特征與已存儲定型的以前特征，從而判斷是否是異常行為?！　∪绻x用標(biāo)準(zhǔn)偏差作為判別準(zhǔn)則，則　　標(biāo)準(zhǔn)偏差：σ＝√M/(n1) μ2其中均值 μ=M/n　　如果某S值超出了μ177。實(shí)驗(yàn)表明UNIX系統(tǒng)管理員的行為幾乎全是可以預(yù)測的，對于一般用戶，不可預(yù)測的行為也只占了很少的一部分。因?yàn)楹艽笠徊糠值娜肭质抢昧讼到y(tǒng)的脆弱性，通過分析入侵過程的特征、條件、排列以及事件間關(guān)系能具體描述入侵行為的跡象。當(dāng)其中某個或某部分條件滿足時，系統(tǒng)就判斷為入侵行為發(fā)生。另外，由于對不同操作系統(tǒng)平臺的具體攻擊方法可能不同，以及不同平臺的審計(jì)方式也可能不同，所以對特征分析檢測系統(tǒng)進(jìn)行構(gòu)造和維護(hù)的工作量都較大。初始攻擊腳本子集的假設(shè)應(yīng)滿足：易于在審計(jì)記錄中識別，并且出現(xiàn)頻率很高。然后用狀態(tài)轉(zhuǎn)換圖來表示每一個狀態(tài)和特征事件，這些事件被集成于模型中，所以檢測時不需要一個個地查找審計(jì)記錄。其中豎線代表狀態(tài)轉(zhuǎn)換，如果在狀態(tài) S1發(fā)生登錄失敗，則產(chǎn)生一個標(biāo)志變量，并存儲事件發(fā)生時間 T1，同時轉(zhuǎn)入狀態(tài) S2。狀態(tài)轉(zhuǎn)換法將入侵過程看作一個行為序列，這個行為序列導(dǎo)致系統(tǒng)從初始狀態(tài)轉(zhuǎn)入被入侵狀態(tài)。決策器收到信息后，根據(jù)這些假設(shè)的攻擊行為在審計(jì)記錄中的可能出現(xiàn)方式，將它們翻譯成與特定系統(tǒng)匹配的審計(jì)記錄格式。這樣就不像專家系統(tǒng)一樣需要處理大量數(shù)據(jù)，從而大大提高了檢測效率。專家系統(tǒng)　　專家系統(tǒng)是基于知識的檢測中運(yùn)用最多的一種方法。窗口太小，則網(wǎng)絡(luò)輸出不好，窗口太大，則網(wǎng)絡(luò)會因?yàn)榇罅繜o關(guān)數(shù)據(jù)而降低效率。神經(jīng)網(wǎng)絡(luò)方法利用神經(jīng)網(wǎng)絡(luò)檢測入侵的基本思想是用一系列信息單元(命令)訓(xùn)練神經(jīng)單元，這樣在給定一組輸入后，就可能預(yù)測出輸出。如果假設(shè)S1，S2，…，Sn 分別是用于描述特征的變量M1，M2，…，Mn 的異常程度值，Si值越大說明異常程度越大?；谛袨榈臋z測方法主要有以下兩種。即使是同一個分析系統(tǒng)中，也可以同時才用幾種檢測方法，對相同的數(shù)據(jù)使用不同的檢測方法進(jìn)行分析，對各自的檢測結(jié)果進(jìn)行比較，可以提高檢測準(zhǔn)確度，也可以完善不同的檢測方法。解決這種問題的一個簡單的辦法就是以流的方式有規(guī)律地推出事件檢測信息?？s減數(shù)據(jù)格式一般只包括時間、源IP地址、目標(biāo)IP地址、源端口、目標(biāo)端口、協(xié)議標(biāo)志。 原始數(shù)據(jù)數(shù)據(jù)庫中還重要的一個問題是存儲多少數(shù)據(jù)、原始數(shù)據(jù)要保存多長時間。使用相同的接口可以維護(hù)各系統(tǒng)間數(shù)據(jù)存儲的一致性，便于入侵檢測系統(tǒng)間的數(shù)據(jù)交換，同時也減小設(shè)計(jì)的復(fù)雜性。系統(tǒng)的實(shí)時性和檢測性能總是一對矛盾，在我們的系統(tǒng)中，為了在兩者中找到最佳結(jié)合點(diǎn)而設(shè)計(jì)了兩個分析層次。n 在世界課外進(jìn)行過濾分析，在數(shù)據(jù)庫中只存放分析結(jié)果。歸根結(jié)底，最佳的解決方案是將基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)與基于主機(jī)的入侵檢測系統(tǒng)結(jié)合起來。在交換網(wǎng)絡(luò)中，是不可能從一個中央位置處看見所有網(wǎng)絡(luò)數(shù)據(jù)的。應(yīng)用網(wǎng)絡(luò)傳感器有兩大好處。監(jiān)測的內(nèi)容主要是包括是否違反安全政策、是否越權(quán)使用系統(tǒng)資源。時至今日，日志分析也是非常有效地一種檢測方法，但是在分析技術(shù)和實(shí)時性上有了很大的提高。操作包括計(jì)算、文件傳輸、設(shè)備和其它進(jìn)程，以及與網(wǎng)絡(luò)間其它進(jìn)程的通訊。很顯然地，對用戶活動來講，不正常的或不期望的行為就是重復(fù)登錄失敗、登錄到不期望的位置以及非授權(quán)的企圖訪問重要文件等等。這樣對于網(wǎng)絡(luò)上的數(shù)量眾多達(dá)到網(wǎng)絡(luò)代理的配置和添加功能模塊可以集中或自動進(jìn)行，減輕安全管理的難度。在我們設(shè)計(jì)的這個體系結(jié)構(gòu)時充分考慮了系統(tǒng)的開放性，可以向系統(tǒng)中添加任何一種分析方法，也可以把多種分析方法同時運(yùn)用到系統(tǒng)中。同時葉子節(jié)點(diǎn)上的協(xié)議明確，分析程序可以少做一些冗余的工作，也由此提高了系統(tǒng)的處理速度。下級協(xié)議代號是在協(xié)議樹中其父結(jié)點(diǎn)的編號，如TCP的下級協(xié)議是IP協(xié)議。圖3－2 wincap結(jié)構(gòu)圖協(xié)議分析：協(xié)議分析的功能是辨別數(shù)據(jù)包的協(xié)議類型，以便使用相應(yīng)的數(shù)據(jù)分析程序來檢測數(shù)據(jù)包。為提高效率，數(shù)據(jù)包過濾應(yīng)該在系統(tǒng)內(nèi)核里來實(shí)現(xiàn)。該數(shù)據(jù)包是一個HTTP協(xié)議的數(shù)據(jù)包。即使在100M的網(wǎng)絡(luò)中，以可以充分地檢測每一個數(shù)據(jù)包。例如，對于WEB服務(wù)器GET /cgibin/phfHEAD /cgibin/phfGET //cgibin/phfGET /cgibin/foobar/../phfGET /cgibin/./phfGET%00/cgibin/phfGET /%63%67%69%2d%62%69%6e/phf都是合法而且有效的。單純的模式匹配方法的工作過程如下：1〕 分析網(wǎng)絡(luò)上的每一個數(shù)據(jù)包是否具有某種攻擊特征。缺點(diǎn)：必須購買額外的設(shè)備(Tap)；若所保護(hù)的資源眾多，IDS必須配備眾多網(wǎng)絡(luò)接口。如果交換機(jī)廠商把此端口開放出來，用戶可將IDS系統(tǒng)接到此端口上。檢測器可以工作在這種環(huán)境中，但如果交換機(jī)的跨接端口沒有正確設(shè)置，入侵檢測將無法進(jìn)行工作。如果你的機(jī)構(gòu)有足夠的經(jīng)費(fèi)這么做，會有如下優(yōu)點(diǎn)：l 你無須猜測是否有攻擊滲透過防火墻。這樣做對站點(diǎn)的好處就是：可以看到自己的站點(diǎn)和防火墻暴露在多少種攻擊之下。基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)需要有檢測器才能工作。響應(yīng)包括消極的措施，如給管理員發(fā)電子郵件、消息、傳呼等。存儲系統(tǒng)也是不同部件之間數(shù)據(jù)處理的共享數(shù)據(jù)庫，為系統(tǒng)不同部件提供各自感興趣的數(shù)據(jù)。部件之間通過統(tǒng)一的網(wǎng)絡(luò)接口進(jìn)行信息交換，這樣既簡化了部件之間的數(shù)據(jù)交換的復(fù)雜性，使得部件非常容易地分布在不同主機(jī)上，也給系統(tǒng)提供了一個擴(kuò)展的接口。并且入侵檢測系統(tǒng)應(yīng)該在設(shè)計(jì)和實(shí)現(xiàn)中，因該能夠有針對性的考慮幾種可以預(yù)見的，對應(yīng)于該入侵檢測系統(tǒng)的類型與工作原理的攻擊威脅，及其相應(yīng)的抵御方法。實(shí)時入侵檢測可以避免常規(guī)情況下，管理員通過的對系統(tǒng)日志進(jìn)行審計(jì)以查找入侵者或入侵行為線索時的種種不便與技術(shù)上的限制。另外，基于模式匹配和基于統(tǒng)計(jì)的分析方法各有所長，入侵檢測系統(tǒng)的發(fā)展趨勢是在同一個系統(tǒng)中同時使用不同的分析方法。第二章 分布式入侵檢測系統(tǒng) 現(xiàn)有入侵檢測系統(tǒng)的不足入侵檢測系統(tǒng)不能很好的檢測所有的數(shù)據(jù)包：基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)難以跟上網(wǎng)絡(luò)速度的發(fā)展。事件產(chǎn)生器的目的是從整個計(jì)算環(huán)境中獲得事件，并向系統(tǒng)的其他部分提供此事件?；谀Ｊ狡ヅ涞臋z測技術(shù)和基于異常發(fā)現(xiàn)的檢測技術(shù)，所得出的結(jié)論有非常大的差異。例如，在數(shù)分鐘之內(nèi)某個用戶連續(xù)進(jìn)行登錄，且失敗超過三次就可以被認(rèn)為是一種攻擊行為。這種辦法同樣適用于檢測程序的行為以及對數(shù)據(jù)資源（如文件或數(shù)據(jù)庫）的存取行為。而基于異常發(fā)現(xiàn)的檢測技術(shù)則是先定義一組系統(tǒng)“正?！鼻闆r的閥值，如CPU利用率、內(nèi)存利用率、文件校驗(yàn)和等（這類數(shù)據(jù)可以人為定義，也可以通過觀察系統(tǒng)、并用統(tǒng)計(jì)的辦法得出），然后將系統(tǒng)運(yùn)行時的數(shù)值與所定義的“正?！鼻闆r比較，得出是否有被攻擊的跡象。在這方面，基于主機(jī)的入侵檢測系統(tǒng)對基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)是一個很好的補(bǔ)充，人們完全可以使用基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)提供早期報(bào)警，而使用基于主機(jī)的入侵檢測系統(tǒng)來驗(yàn)證攻擊是否取得成功。這兩種方式都能發(fā)現(xiàn)對方無法檢測到的一些入侵行為。l 攻擊者不易轉(zhuǎn)移證據(jù) 基于網(wǎng)絡(luò)的IDS使用正在發(fā)生的網(wǎng)絡(luò)通訊進(jìn)行實(shí)時攻擊的檢測。而大多數(shù)基于主機(jī)的產(chǎn)品則要依靠對最近幾分鐘內(nèi)審計(jì)記錄的分析。當(dāng)操作系統(tǒng)及基于主機(jī)的系統(tǒng)發(fā)現(xiàn)即將到來的業(yè)務(wù)時，數(shù)據(jù)流已經(jīng)被解密了l 確定攻擊是否成功 由于基于主機(jī)的IDS使用含有已發(fā)生事件信息，它們可以比基于網(wǎng)絡(luò)的IDS更加準(zhǔn)確地判斷攻擊是否成功。 l 適用于被加密的以及切換的環(huán)境 由于基于主機(jī)的系統(tǒng)安裝在遍布企業(yè)的各種主機(jī)上，它們比基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)更加適于交換的以及加密的環(huán)境。而基于網(wǎng)絡(luò)的系統(tǒng)有時會檢測不到這些行為。例如，基于主機(jī)的IDS可以監(jiān)督所有用戶登錄及退出登錄的情況。最后，許多產(chǎn)品都是監(jiān)聽端口的活動，并在特定端口被訪問時向管理員報(bào)警。現(xiàn)在的基于主機(jī)的入侵檢測系統(tǒng)保留了一種有力的工具，以理解以前的攻擊形式，并選擇合適的方法去抵御未來的攻擊。圖1－1 P2DR模型P2DR模型包含4個主要部分：Policy（安全策略）Protection（防護(hù)）Detection（檢測）Response（響應(yīng)）P2DR模型是在整體的安全策略（Policy）的控制和指導(dǎo)下，在綜合運(yùn)用防護(hù)工具（Protection，如防火墻、操作系統(tǒng)身份認(rèn)證、加密等手段）的同時，利用檢測工具（Detection，如漏洞評估、入侵檢測等系統(tǒng)）了解和評估系統(tǒng)的安全狀態(tài)，通過適當(dāng)?shù)捻憫?yīng)（Response）將系統(tǒng)調(diào)整到“最安全”和“風(fēng)險(xiǎn)最低”的狀態(tài)。.防火墻的安全控制主要是基于IP地址的，難于為用戶在防火墻內(nèi)外提供一致的安全策略。防火墻的安全控制只能作用于外對內(nèi)或內(nèi)對外，即：對外可屏蔽內(nèi)部網(wǎng)的拓?fù)浣Y(jié)構(gòu)，封鎖外部網(wǎng)上的用戶連接內(nèi)部網(wǎng)上的重要站點(diǎn)或某些端口，對內(nèi)可屏蔽外部危險(xiǎn)站點(diǎn)，但它很難解決內(nèi)部網(wǎng)控制內(nèi)部人員的安全問題。然而，單純的防護(hù)技術(shù)有許多方面的問題：首先，單純的防護(hù)技術(shù)容易導(dǎo)致系統(tǒng)的盲目建設(shè)，這種盲目包括兩方面：一方面是不了解安全威脅的嚴(yán)峻和當(dāng)前的安全現(xiàn)狀；另一方面是安全投入過大而又沒有真正抓住安全的關(guān)鍵環(huán)節(jié)，導(dǎo)致不必要的浪費(fèi)。“什么事情也沒有”實(shí)際上就是安全的最高境界。入侵檢測系統(tǒng)作為一種商品也具有非常大的市場和效益?？梢姡肭謾z測技術(shù)應(yīng)該進(jìn)行進(jìn)一步的研究。作者簽名： 日期： 年 月 日導(dǎo)師簽名： 日期： 年 月 日目 錄引言 1第一章 入侵檢測系統(tǒng)概述 2 TCSEC難以適應(yīng)新的網(wǎng)絡(luò)環(huán)境 2 P2DR：動態(tài)安全模型 4 入侵檢測系統(tǒng) 5 入侵檢測系統(tǒng)的分類 5 入侵檢測系統(tǒng)的發(fā)展趨勢 8 CIDF模型 11第二章 分布式入侵檢測系統(tǒng) 12 現(xiàn)有入侵檢測系統(tǒng)的不足 12 主要功能要求 13 系統(tǒng)概述 14 系統(tǒng)部署 15第三章 網(wǎng)絡(luò)引擎和主機(jī)代理 19 網(wǎng)絡(luò)引擎的設(shè)計(jì) 19 檢測匹配方法的改進(jìn) 19 網(wǎng)絡(luò)引擎設(shè)計(jì) 21 主機(jī)代理 25 數(shù)據(jù)來源 25 代理結(jié)構(gòu) 26第四章 存儲系統(tǒng)和分析系統(tǒng) 29 存儲系統(tǒng) 29 數(shù)據(jù)載入 29 數(shù)據(jù)縮減 30 推與拉技術(shù) 31 分析系統(tǒng) 32 基于行為的檢測 32 基于知識的檢測 34第五章 控制臺與響應(yīng)系統(tǒng) 37 控制臺 37 事件管理 37 安全管理 38 報(bào)告生成 38 部件管理 38 誤報(bào)警管理 39 響應(yīng)系統(tǒng) 39 常用響應(yīng)技術(shù) 40第六章 系統(tǒng)自身的安全 43 44 安全通信 45第七章 網(wǎng)絡(luò)引擎實(shí)現(xiàn) 52 檢測規(guī)則 52 規(guī)則格式 52 規(guī)則選項(xiàng) 55 匹配算法 59結(jié)束語 62致謝 63參考文獻(xiàn) 64分布式入侵檢測系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)引言在計(jì)算機(jī)安全的發(fā)展中，系統(tǒng)安全模型在逐步的實(shí)踐中發(fā)生變化。作 者 簽 名：　　 　 　　日　 期：　　 　 　　 指導(dǎo)教師簽名：　　 　 　　 日　　期：　　 　 　　 使用授權(quán)說明本人完全了解 大學(xué)關(guān)于收集、保存、使用畢業(yè)設(shè)計(jì)（論文）的規(guī)定，即：按照學(xué)校要求提交畢業(yè)設(shè)計(jì)（論文）的印刷本和電子版本；學(xué)校有權(quán)保存畢業(yè)設(shè)計(jì)（論文）的印刷本和電子版，并提供目錄檢索與閱覽服務(wù)；學(xué)?？梢圆捎糜坝?、縮印、數(shù)字化或其它復(fù)制手段保存論文；在不以贏利為目的前提下，學(xué)?？梢怨颊撐牡牟糠只蛉績?nèi)容。他將基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測系統(tǒng)有