【正文】 1987年 Dorothy Denning提出了入侵檢測(cè)系統(tǒng) （ IDS，Intrusion Detection System） 的抽象模型 （ 如圖 51所示 ） ，首次提出了入侵檢測(cè)可作為一種計(jì)算機(jī)系統(tǒng)安全防御措施的概念 ? 與傳統(tǒng)的加密和訪問控制技術(shù)相比 ， IDS是全新的計(jì)算機(jī)安全措施 。 ?它通過監(jiān)視受保護(hù)系統(tǒng)的狀態(tài)和活動(dòng) ， 采用誤用檢測(cè)（ Misuse Detection） 或 異常檢測(cè) （ Anomaly Detection）的方式 ， 發(fā)現(xiàn) 非授權(quán)的或惡意 的 系統(tǒng)及網(wǎng)絡(luò) 行為 ， 為 防范入侵行為提供有效的手段 。 返回本章首頁(yè) 13 第五章 入侵檢測(cè)技術(shù) 頁(yè) 2023/2/25 頁(yè)頁(yè) 系統(tǒng)分類 ? 由于功能和體系結(jié)構(gòu)的復(fù)雜性 ， 入侵檢測(cè)按照不同的標(biāo)準(zhǔn)有多種分類方法 。 返回本章首頁(yè) 17 第五章 入侵檢測(cè)技術(shù) 頁(yè) 2023/2/25 頁(yè)頁(yè)入 侵檢 測(cè)入 侵 ？用 戶 的 當(dāng) 前 操 作監(jiān) 測(cè)斷 開 連 接記 錄 證 據(jù)數(shù) 據(jù) 恢 復(fù)YN斷 開 連 接記 錄 證 據(jù)數(shù) 據(jù) 恢 復(fù)用 戶 歷 史 行 為專 家 經(jīng) 驗(yàn)神 經(jīng) 網(wǎng) 絡(luò) 模 型入 侵檢 測(cè)專 家 經(jīng) 驗(yàn)用 戶 的 歷 史 記 錄圖 5 5 （ a ） 實(shí) 時(shí) 入 侵 檢 測(cè) 的 功 能 原 理 圖 （ b ） 事 后 入 侵 檢 測(cè) 的 功 能 原 理 圖返回本章首頁(yè) 18 第五章 入侵檢測(cè)技術(shù) 頁(yè) 2023/2/25 頁(yè)頁(yè) 入侵檢測(cè)的技術(shù)實(shí)現(xiàn) ? 對(duì)于入侵檢測(cè)的研究 ， 從早期的 審計(jì)跟蹤數(shù)據(jù)分析 ，到 實(shí)時(shí)入侵檢測(cè)系統(tǒng) ， 到目前應(yīng)用于大型網(wǎng)絡(luò)的 分布式檢測(cè)系統(tǒng) ， 基本上已發(fā)展成為具有一定規(guī)模和相應(yīng)理論的研究領(lǐng)域 。 1． 條件概率預(yù)測(cè)法 ?條件概率預(yù)測(cè)法 是基于統(tǒng)計(jì)理論來(lái)量化全部外部網(wǎng)絡(luò)事件序列 中 存在入侵 事件的 可能程度 。 返回本章首頁(yè) 25 第五章 入侵檢測(cè)技術(shù) 頁(yè) 2023/2/25 頁(yè)頁(yè) 異常檢測(cè)（ Anomaly Detection） ? 異常檢測(cè)基于一個(gè)假定： 用戶的行為是可預(yù)測(cè)的 、 遵循一致性模式的 ， 且隨著用戶事件的增加異常檢測(cè)會(huì)適應(yīng)用戶行為的變化 。 返回本章首頁(yè) 29 第五章 入侵檢測(cè)技術(shù) 頁(yè) 2023/2/25 頁(yè)頁(yè)4． 非參數(shù)統(tǒng)計(jì)度量 ? 非參數(shù)統(tǒng)計(jì)方法通過使用 非數(shù)據(jù)區(qū)分技術(shù) ， 尤其是 群集分析技術(shù) 來(lái)分析參數(shù)方法無(wú)法考慮的系統(tǒng)度量 。 ?免疫系統(tǒng)中最基本也是最重要的能力是 識(shí)別 “ 自我 /非自我 ” （ self/nonself） ， 換句話講 ， 它能夠識(shí)別哪些組織是屬于正常機(jī)體的 ， 不屬于正常的就認(rèn)為是異常 ， 這個(gè)概念和入侵檢測(cè)中異常檢測(cè)的概念非常相似 。 ?所謂 Agent， 實(shí)際上可以看作是在 執(zhí)行某項(xiàng)特定監(jiān)視任務(wù)的軟件實(shí)體 。 ? Stanford Research Institute（ SRI） 在對(duì) EMERALD系統(tǒng)的研究中 ， 列舉了分布式入侵檢測(cè)必須關(guān)注的關(guān)鍵問題： ?事件產(chǎn)生及存儲(chǔ) 、 ?狀態(tài)空間管理 ?規(guī)則復(fù)雜度 ?知識(shí)庫(kù)管理 ?推理技術(shù) 。 ?Haystack由 Tracor Applied Sciences and Haystack實(shí)驗(yàn)室針對(duì)多用戶主機(jī)的檢測(cè)任務(wù)而開發(fā) ， 數(shù)據(jù)源來(lái)自主機(jī)的系統(tǒng)日志 。 返回本章首頁(yè) 47 第五章 入侵檢測(cè)技術(shù) 頁(yè) 2023/2/25 頁(yè)頁(yè)7． 基于抽象 （ Abstractionbased） 的方法 ? GMU的 Peng Ning在其博士論文中提出了一種基于抽象 （ Abstractionbased） 的分布式入侵檢測(cè)系統(tǒng) ， 基本思想是： ?設(shè)立中間層 （ system view） ， 提供與具體系統(tǒng)無(wú)關(guān)的抽象信息 ， 用于分布式檢測(cè)系統(tǒng)中的 信息共享 ?抽象信息的內(nèi)容包括事件信息 （ event） 以及系統(tǒng)實(shí)體間的斷言 （ dynamic predicate） 。 其結(jié)構(gòu)如圖 515所示 。 ? Snort 將所有已知的攻擊方法以規(guī)則的形式存放在規(guī)則庫(kù)中 ? 每一條規(guī)則由 規(guī)則頭 和 規(guī)則選項(xiàng) 兩部分組成 。 ? 然后與 RTN 結(jié)點(diǎn)依次進(jìn)行匹配 。 返回本章首頁(yè) 61 第五章 入侵檢測(cè)技術(shù) 頁(yè) 2023/2/25 頁(yè)頁(yè) Snort的 安裝與使用 Snort可簡(jiǎn)單安裝為 守護(hù)進(jìn)程模式 ，也可安裝為 包括很多其他工具的完整的入侵檢測(cè)系統(tǒng) 。 （ 1） 嗅探器 所謂的嗅探器模式就是 Snort從網(wǎng)絡(luò)上獲取數(shù)據(jù)包然之后顯示在控制臺(tái)上 。 返回本章首頁(yè) 71 第五章 入侵檢測(cè)技術(shù) 頁(yè) 2023/2/25 頁(yè)頁(yè)? 為了提高 IDS產(chǎn)品 、 組件及與其他安全產(chǎn)品之間的互操作性 ， DARPA和 IETF的入侵檢測(cè)工作組 （ IDWG） 發(fā)起制訂了一系列建議草案 ， 從 體系結(jié)構(gòu) 、 API、 通信機(jī)制 、 語(yǔ)言格式 等方面來(lái)規(guī)范 IDS的標(biāo)準(zhǔn) ， 但草案或建議目前都處于逐步完善之中 ， 尚無(wú)被廣泛接受的國(guó)際標(biāo)準(zhǔn) 。 若不指定輸出目錄 ， Snort就將日志輸出到 /var/log/snort目錄 。 返回本章首頁(yè) 62 第五章 入侵檢測(cè)技術(shù) 頁(yè) 2023/2/25 頁(yè)頁(yè)返回本章首頁(yè) 63 第五章 入侵檢測(cè)技術(shù) 頁(yè) 2023/2/25 頁(yè)頁(yè)（ 2） 更新 Snort規(guī)則 下載最新的規(guī)則文件 。 具體流程見圖 518所示 。 ?Snort 定義了三種處理方式： alert （ 發(fā)送報(bào)警信息 ） 、 log（ 記錄該數(shù)據(jù)包 ） 和 pass（ 忽略該數(shù)據(jù)包 ） ， 并定義為規(guī)則的第一個(gè)匹配關(guān)鍵字 。 ?功能十分強(qiáng)大和豐富 ?集成了多種告警機(jī)制支持實(shí)時(shí)告警功能 ?具有非常好擴(kuò)展能力 ?遵循 GPL， 可以免費(fèi)使用 返回本章首頁(yè) 54 第五章 入侵檢測(cè)技術(shù) 頁(yè) 2023/2/25 頁(yè)頁(yè) Snort的體系結(jié)構(gòu) Snort在結(jié)構(gòu)上可分為 數(shù)據(jù)包捕獲 和 解碼子系統(tǒng) 、檢測(cè)引擎 ， 以及 日志及報(bào)警子系統(tǒng) 三個(gè)部分 。 ?DARPA提出了公共入侵檢測(cè)框架 CIDF， 最早由加州大學(xué)戴維斯分校的安全實(shí)驗(yàn)室起草； ?IDWG 提 出 了 三 項(xiàng) 建 議 草 案 IDMEF 、 IDXP 、 Tunnel Profile 返回本章首頁(yè) 49 第五章 入侵檢測(cè)技術(shù) 頁(yè) 2023/2/25 頁(yè)頁(yè) IETF/IDWG ?IDWG定義了用于入侵檢測(cè)與響應(yīng) （ IDR） 系統(tǒng)之間或與需要交互的管理系統(tǒng)之間的信息共享所需要的 數(shù)據(jù)格式 和 交換規(guī)程 。 返回本章首頁(yè) 45 第五章 入侵檢測(cè)技術(shù) 頁(yè) 2023/2/25 頁(yè)頁(yè)5． Intrusion Strategy ? Boeing公司的 MingYuh Huang提出 ? 從 入侵者的目的 （ Intrusion Intention） ， 或者是入侵策略 （ Intrusion Strategy） 入手 ， 確定如何在不同的 IDS組件之間進(jìn)行協(xié)作檢測(cè) 。 返回本章首頁(yè) 41 第五章 入侵檢測(cè)技術(shù) 頁(yè) 2023/2/25 頁(yè)頁(yè)2． AgentBased ? 基于 Agent的 IDS由于其良好的靈活性和擴(kuò)展性 ， 是分布式入侵檢測(cè)的一個(gè)重要研究方向 。 ? 通常采用的方法中 ， 一種是 對(duì)現(xiàn)有的 IDS進(jìn)行規(guī)模上的擴(kuò)展 ， 另一種則通過 IDS之間的信息共享 來(lái)實(shí)現(xiàn) 。 返回本章首頁(yè) 35 第五章 入侵檢測(cè)技術(shù) 頁(yè) 2023/2/25 頁(yè)頁(yè)4． 基因算法 ? 基因算法是進(jìn)化算法 （ evolutionary algorithms）的一種 ， 引入了達(dá)爾文在進(jìn)化論中提出的自然選擇的概念 （ 優(yōu)勝劣汰 、 適者生存 ） 對(duì)系統(tǒng)進(jìn)行優(yōu)化 。 （ 1） WisdomSense方法 （ 2） 基于時(shí)間的引導(dǎo)機(jī) （ TIM） 返回本章首頁(yè) 31 第五章 入侵檢測(cè)技術(shù) 頁(yè) 2023/2/25 頁(yè)頁(yè) 其它檢測(cè)技術(shù) ?這些技術(shù)不能簡(jiǎn)單地歸類為誤用檢測(cè)或是異常檢測(cè) ，而是提供了一種有別于傳統(tǒng)入侵檢測(cè)視角的技術(shù)層次 ，例如免疫系統(tǒng) 、 基因算法 、 數(shù)據(jù)