【正文】 息。5〕 直到檢測到攻擊或網(wǎng)絡數(shù)據(jù)包中的所有字節(jié)匹配完畢，一個攻擊特征匹配結束6〕 對于每一個攻擊特征，重復2〕開始的比較。傳統(tǒng)的模式匹配的檢測方法的問題根本是他把網(wǎng)絡數(shù)據(jù)包看作是無序的隨意的字節(jié)流。基于協(xié)議分析的入侵檢測系統(tǒng)利用這個知識開始第一步檢測：1〕 跳過前面12個字節(jié)，讀取13字節(jié)處的2字節(jié)協(xié)議標識：0800?？梢钥闯?，利用協(xié)議分析可以大大減小模式匹配的計算量，提高匹配的精確度，減少誤報率。同時wincap是從UNIX平臺上的LIPCAP移植過來的，它們具有相同的接口，減輕了不同平臺上開發(fā)網(wǎng)絡代理的難度。一個網(wǎng)絡數(shù)據(jù)包的分析就是一條從根到某個葉子的路徑。數(shù)據(jù)分析函數(shù)鏈表是包含對該協(xié)議進行檢測的所有函數(shù)的鏈表。如時間、特定的數(shù)據(jù)包到來、管理員啟動、某種數(shù)據(jù)分析的結果、網(wǎng)絡上其他入侵檢測系統(tǒng)發(fā)送來數(shù)據(jù)等都可以觸發(fā)一個始數(shù)據(jù)分析函數(shù)的啟動檢測。這充分保證了系統(tǒng)可靠的安全服務。在獲取高層信息以及實現(xiàn)一些特殊功能時，如針對系統(tǒng)資源情況的審計方面具有無法替代的作用。目錄和文件中的不期望的改變（包括修改、創(chuàng)建和刪除），特別是那些正常情況下限制訪問的，很可能就是一種入侵產(chǎn)生的指示和信號。黑客可能會將程序或服務的運行分解，從而導致它失敗，或者是以非用戶或管理員意圖的方式操作。不同的應用有不同的日志，因此日志分析都是針對不同的應用的。比如通過長時間的統(tǒng)計，一個用戶使用“l(fā)s”命令時，帶參數(shù)的“l(fā)s al”統(tǒng)計規(guī)律為％20，而在某一次登錄使用過程中使用他的使用概率達到％80，這肯定以該引起安全管理員的注意。第二，即使在不工作的時候，網(wǎng)絡傳感器也能實時地檢測攻擊。主機網(wǎng)絡接口檢測器位于服務器上網(wǎng)絡棧的附近。第四章 存儲系統(tǒng)和分析系統(tǒng) 存儲系統(tǒng) 存儲系統(tǒng)把系統(tǒng)檢測到的事件記錄下來，以便于以后的分析。第二種方法的優(yōu)點就是能夠得到更好的性能和靈活性，但只要任何事情發(fā)生改變就必須重新處理數(shù)據(jù)載入的問題。而分析部件做個層次強調(diào)了對事件的深層次的分析和統(tǒng)計，已發(fā)掘新的未知的攻擊方法和分布式的攻擊形式，因此實時性在這個層次中的要求是可以減小的。這時分析員就需要系統(tǒng)提供所有的數(shù)據(jù)，包括數(shù)據(jù)包頭和內(nèi)容，進行手工分析。但原始數(shù)據(jù)要占用大量的存儲器。推技術是在檢測器探測到一個事件時就事件“推”給存儲系統(tǒng)。如果沒有檢測到任何事件，就用加密的空字符串進行填充。 基于行為的檢測基于行為的檢測指根據(jù)使用者的行為或資源使用狀況來判斷是否入侵，而不依賴于具體行為是否出現(xiàn)來檢測，所以也被稱為異常檢測(Anomaly Detection)。首先，檢測器根據(jù)用戶對象的動作為每個用戶都建立一個用戶特征表，通過比較當前特征與已存儲定型的以前特征，從而判斷是否是異常行為?！　∪绻x用標準偏差作為判別準則，則　　標準偏差：σ＝√M/(n1) μ2其中均值 μ=M/n　　如果某S值超出了μ177。實驗表明UNIX系統(tǒng)管理員的行為幾乎全是可以預測的，對于一般用戶，不可預測的行為也只占了很少的一部分。因為很大一部分的入侵是利用了系統(tǒng)的脆弱性，通過分析入侵過程的特征、條件、排列以及事件間關系能具體描述入侵行為的跡象。當其中某個或某部分條件滿足時，系統(tǒng)就判斷為入侵行為發(fā)生。另外，由于對不同操作系統(tǒng)平臺的具體攻擊方法可能不同，以及不同平臺的審計方式也可能不同，所以對特征分析檢測系統(tǒng)進行構造和維護的工作量都較大。初始攻擊腳本子集的假設應滿足：易于在審計記錄中識別，并且出現(xiàn)頻率很高。然后用狀態(tài)轉換圖來表示每一個狀態(tài)和特征事件，這些事件被集成于模型中，所以檢測時不需要一個個地查找審計記錄。其中豎線代表狀態(tài)轉換，如果在狀態(tài) S1發(fā)生登錄失敗，則產(chǎn)生一個標志變量，并存儲事件發(fā)生時間 T1，同時轉入狀態(tài) S2。狀態(tài)轉換法將入侵過程看作一個行為序列，這個行為序列導致系統(tǒng)從初始狀態(tài)轉入被入侵狀態(tài)。決策器收到信息后，根據(jù)這些假設的攻擊行為在審計記錄中的可能出現(xiàn)方式，將它們翻譯成與特定系統(tǒng)匹配的審計記錄格式。這樣就不像專家系統(tǒng)一樣需要處理大量數(shù)據(jù)，從而大大提高了檢測效率。專家系統(tǒng)　　專家系統(tǒng)是基于知識的檢測中運用最多的一種方法。窗口太小，則網(wǎng)絡輸出不好，窗口太大，則網(wǎng)絡會因為大量無關數(shù)據(jù)而降低效率。神經(jīng)網(wǎng)絡方法利用神經(jīng)網(wǎng)絡檢測入侵的基本思想是用一系列信息單元(命令)訓練神經(jīng)單元，這樣在給定一組輸入后，就可能預測出輸出。如果假設S1，S2，…，Sn 分別是用于描述特征的變量M1，M2，…，Mn 的異常程度值，Si值越大說明異常程度越大?；谛袨榈臋z測方法主要有以下兩種。即使是同一個分析系統(tǒng)中，也可以同時才用幾種檢測方法，對相同的數(shù)據(jù)使用不同的檢測方法進行分析，對各自的檢測結果進行比較，可以提高檢測準確度，也可以完善不同的檢測方法。解決這種問題的一個簡單的辦法就是以流的方式有規(guī)律地推出事件檢測信息。縮減數(shù)據(jù)格式一般只包括時間、源IP地址、目標IP地址、源端口、目標端口、協(xié)議標志。 原始數(shù)據(jù)數(shù)據(jù)庫中還重要的一個問題是存儲多少數(shù)據(jù)、原始數(shù)據(jù)要保存多長時間。使用相同的接口可以維護各系統(tǒng)間數(shù)據(jù)存儲的一致性，便于入侵檢測系統(tǒng)間的數(shù)據(jù)交換，同時也減小設計的復雜性。系統(tǒng)的實時性和檢測性能總是一對矛盾，在我們的系統(tǒng)中，為了在兩者中找到最佳結合點而設計了兩個分析層次。n 在世界課外進行過濾分析，在數(shù)據(jù)庫中只存放分析結果。歸根結底，最佳的解決方案是將基于網(wǎng)絡的入侵檢測系統(tǒng)與基于主機的入侵檢測系統(tǒng)結合起來。在交換網(wǎng)絡中，是不可能從一個中央位置處看見所有網(wǎng)絡數(shù)據(jù)的。應用網(wǎng)絡傳感器有兩大好處。監(jiān)測的內(nèi)容主要是包括是否違反安全政策、是否越權使用系統(tǒng)資源。時至今日，日志分析也是非常有效地一種檢測方法，但是在分析技術和實時性上有了很大的提高。操作包括計算、文件傳輸、設備和其它進程，以及與網(wǎng)絡間其它進程的通訊。很顯然地，對用戶活動來講，不正常的或不期望的行為就是重復登錄失敗、登錄到不期望的位置以及非授權的企圖訪問重要文件等等。這樣對于網(wǎng)絡上的數(shù)量眾多達到網(wǎng)絡代理的配置和添加功能模塊可以集中或自動進行，減輕安全管理的難度。在我們設計的這個體系結構時充分考慮了系統(tǒng)的開放性，可以向系統(tǒng)中添加任何一種分析方法，也可以把多種分析方法同時運用到系統(tǒng)中。同時葉子節(jié)點上的協(xié)議明確，分析程序可以少做一些冗余的工作，也由此提高了系統(tǒng)的處理速度。下級協(xié)議代號是在協(xié)議樹中其父結點的編號，如TCP的下級協(xié)議是IP協(xié)議。圖3－2 wincap結構圖協(xié)議分析：協(xié)議分析的功能是辨別數(shù)據(jù)包的協(xié)議類型，以便使用相應的數(shù)據(jù)分析程序來檢測數(shù)據(jù)包。為提高效率，數(shù)據(jù)包過濾應該在系統(tǒng)內(nèi)核里來實現(xiàn)。該數(shù)據(jù)包是一個HTTP協(xié)議的數(shù)據(jù)包。即使在100M的網(wǎng)絡中，以可以充分地檢測每一個數(shù)據(jù)包。例如，對于WEB服務器GET /cgibin/phfHEAD /cgibin/phfGET //cgibin/phfGET /cgibin/foobar/../phfGET /cgibin/./phfGET%00/cgibin/phfGET /%63%67%69%2d%62%69%6e/phf都是合法而且有效的。單純的模式匹配方法的工作過程如下：1〕 分析網(wǎng)絡上的每一個數(shù)據(jù)包是否具有某種攻擊特征。缺點：必須購買額外的設備(Tap)；若所保護的資源眾多，IDS必須配備眾多網(wǎng)絡接口。如果交換機廠商把此端口開放出來，用戶可將IDS系統(tǒng)接到此端口上。檢測器可以工作在這種環(huán)境中，但如果交換機的跨接端口沒有正確設置，入侵檢測將無法進行工作。如果你的機構有足夠的經(jīng)費這么做，會有如下優(yōu)點：l 你無須猜測是否有攻擊滲透過防火墻。這樣做對站點的好處就是：可以看到自己的站點和防火墻暴露在多少種攻擊之下?；诰W(wǎng)絡的入侵檢測系統(tǒng)需要有檢測器才能工作。響應包括消極的措施，如給管理員發(fā)電子郵件、消息、傳呼等。存儲系統(tǒng)也是不同部件之間數(shù)據(jù)處理的共享數(shù)據(jù)庫，為系統(tǒng)不同部件提供各自感興趣的數(shù)據(jù)。部件之間通過統(tǒng)一的網(wǎng)絡接口進行信息交換，這樣既簡化了部件之間的數(shù)據(jù)交換的復雜性，使得部件非常容易地分布在不同主機上，也給系統(tǒng)提供了一個擴展的接口。并且入侵檢測系統(tǒng)應該在設計和實現(xiàn)中，因該能夠有針對性的考慮幾種可以預見的，對應于該入侵檢測系統(tǒng)的類型與工作原理的攻擊威脅，及其相應的抵御方法。實時入侵檢測可以避免常規(guī)情況下，管理員通過的對系統(tǒng)日志進行審計以查找入侵者或入侵行為線索時的種種不便與技術上的限制。另外，基于模式匹配和基于統(tǒng)計的分析方法各有所長，入侵檢測系統(tǒng)的發(fā)展趨勢是在同一個系統(tǒng)中同時使用不同的分析方法。第二章 分布式入侵檢測系統(tǒng) 現(xiàn)有入侵檢測系統(tǒng)的不足入侵檢測系統(tǒng)不能很好的檢測所有的數(shù)據(jù)包：基于網(wǎng)絡的入侵檢測系統(tǒng)難以跟上網(wǎng)絡速度的發(fā)展。事件產(chǎn)生器的目的是從整個計算環(huán)境中獲得事件，并向系統(tǒng)的其他部分提供此事件?；谀Ｊ狡ヅ涞臋z測技術和基于異常發(fā)現(xiàn)的檢測技術，所得出的結論有非常大的差異。例如，在數(shù)分鐘之內(nèi)某個用戶連續(xù)進行登錄，且失敗超過三次就可以被認為是一種攻擊行為。這種辦法同樣適用于檢測程序的行為以及對數(shù)據(jù)資源（如文件或數(shù)據(jù)庫）的存取行為。而基于異常發(fā)現(xiàn)的檢測技術則是先定義一組系統(tǒng)“正常”情況的閥值，如CPU利用率、內(nèi)存利用率、文件校驗和等（這類數(shù)據(jù)可以人為定義，也可以通過觀察系統(tǒng)、并用統(tǒng)計的辦法得出），然后將系統(tǒng)運行時的數(shù)值與所定義的“正?！鼻闆r比較，得出是否有被攻擊的跡象。在這方面，基于主機的入侵檢測系統(tǒng)對基于網(wǎng)絡的入侵檢測系統(tǒng)是一個很好的補充，人們完全可以使用基于網(wǎng)絡的入侵檢測系統(tǒng)提供早期報警，而使用基于主機的入侵檢測系統(tǒng)來驗證攻擊是否取得成功。這兩種方式都能發(fā)現(xiàn)對方無法檢測到的一些入侵行為。l 攻擊者不易轉移證據(jù) 基于網(wǎng)絡的IDS使用正在發(fā)生的網(wǎng)絡通訊進行實時攻擊的檢測。而大多數(shù)基于主機的產(chǎn)品則要依靠對最近幾分鐘內(nèi)審計記錄的分析。當操作系統(tǒng)及基于主機的系統(tǒng)發(fā)現(xiàn)即將到來的業(yè)務時，數(shù)據(jù)流已經(jīng)被解密了l 確定攻擊是否成功 由于基于主機的IDS使用含有已發(fā)生事件信息，它們可以比基于網(wǎng)絡的IDS更加準確地判斷攻擊是否成功。 l 適用于被加密的以及切換的環(huán)境 由于基于主機的系統(tǒng)安裝在遍布企業(yè)的各種主機上，它們比基于網(wǎng)絡的入侵檢測系統(tǒng)更加適于交換的以及加密的環(huán)境。而基于網(wǎng)絡的系統(tǒng)有時會檢測不到這些行為。例如，基于主機的IDS可以監(jiān)督所有用戶登錄及退出登錄的情況。最后，許多產(chǎn)品都是監(jiān)聽端口的活動，并在特定端口被訪問時向管理員報警?，F(xiàn)在的基于主機的入侵檢測系統(tǒng)保留了一種有力的工具，以理解以前的攻擊形式，并選擇合適的方法去抵御未來的攻擊。圖1－1 P2DR模型P2DR模型包含4個主要部分：Policy（安全策略）Protection（防護）Detection（檢測）Response（響應）P2DR模型是在整體的安全策略（Policy）的控制和指導下，在綜合運用防護工具（Protection，如防火墻、操作系統(tǒng)身份認證、加密等手段）的同時，利用檢測工具（Detection，如漏洞評估、入侵檢測等系統(tǒng)）了解和評估系統(tǒng)的安全狀態(tài)，通過適當?shù)捻憫≧esponse）將系統(tǒng)調(diào)整到“最安全”和“風險最低”的狀態(tài)。.防火墻的安全控制主要是基于IP地址的，難于為用戶在防火墻內(nèi)外提供一致的安全策略。防火墻的安全控制只能作用于外對內(nèi)或內(nèi)對外，即：對外可屏蔽內(nèi)部網(wǎng)的拓撲結構，封鎖外部網(wǎng)上的用戶連接內(nèi)部網(wǎng)上的重要站點或某些端口，對內(nèi)可屏蔽外部危險站點，但它很難解決內(nèi)部網(wǎng)控制內(nèi)部人員的安全問題。然而，單純的防護技術有許多方面的問題：首先，單純的防護技術容易導致系統(tǒng)的盲目建設，這種盲目包括兩方面：一方面是不了解安全威脅的嚴峻和當前的安全現(xiàn)狀；另一方面是安全投入過大而又沒有真正抓住安全的關鍵環(huán)節(jié)，導致不必要的浪費?！笆裁词虑橐矝]有”實際上就是安全的最高境界。入侵檢測系統(tǒng)作為一種商品也具有非常大的市場和效益?？梢?，入侵檢測技術應該進行進一步的研究。作者簽名： 日期： 年 月 日導師簽名： 日期： 年 月 日目 錄引言 1第一章 入侵檢測系統(tǒng)概述 2 TCSEC難以適應新的網(wǎng)絡環(huán)境 2 P2DR：動態(tài)安全模型 4 入侵檢測系統(tǒng) 5 入侵檢測系統(tǒng)的分類 5 入侵檢測系統(tǒng)的發(fā)展趨勢 8 CIDF模型 11第二章 分布式入侵檢測系統(tǒng) 12 現(xiàn)有入侵檢測系統(tǒng)的不足 12 主要功能要求 13 系統(tǒng)概述 14 系統(tǒng)部署 15第三章 網(wǎng)絡引擎和主機代理 19 網(wǎng)絡引擎的設計 19 檢測匹配方法的改進 19 網(wǎng)絡引擎設計 21 主機代理 25 數(shù)據(jù)來源 25 代理結構 26第四章 存儲系統(tǒng)和分析系統(tǒng) 29 存儲系統(tǒng) 29 數(shù)據(jù)載入 29 數(shù)據(jù)縮減 30 推與拉技術 31 分析系統(tǒng) 32 基于行為的檢測 32 基于知識的檢測 34第五章 控制臺與響應系統(tǒng) 37 控制臺 37 事件管理 37 安全管理 38 報告生成 38 部件管理 38 誤報警管理 39 響應系統(tǒng) 39 常用響應技術 40第六章 系統(tǒng)自身的安全 43 44 安全通信 45第七章 網(wǎng)絡引擎實現(xiàn) 52 檢測規(guī)則 52 規(guī)則格式 52 規(guī)則選項 55 匹配算法 59結束語 62致謝 63參考文獻 64分布式入侵檢測系統(tǒng)設計與實現(xiàn)引言在計算機安全的發(fā)展中，系統(tǒng)安全模型在逐步的實踐中發(fā)生變化。作 者 簽 名：　　 　 　　日　 期：　　 　 　　 指導教師簽名：　　 　 　　 日　　期：　　 　 　　 使用授權說明本人完全了解 大學關于收集、保存、使用畢業(yè)設計（論文）的規(guī)定，即：按照學校要求提交畢業(yè)設計（論文）的印刷本和電子版本；學校有權保存畢業(yè)設計（論文）的印刷本和電子版，并提供目錄檢索與閱覽服務；學?？梢圆捎糜坝　⒖s印、數(shù)字化或其它復制手段保存論文；在不以贏利為目的前提下，學?？梢怨颊撐牡牟糠只蛉績?nèi)容。他將基于網(wǎng)絡和基于主機的入侵檢測系統(tǒng)有