【正文】 ...........................14 系統(tǒng)部署 ..........................................................................................15 第三章 網(wǎng)絡(luò)引擎和主機(jī)代理 ......................................................................19 網(wǎng)絡(luò)引擎的設(shè)計(jì) ..............................................................................19 檢測匹配方法的改進(jìn) ............................................................19 網(wǎng)絡(luò)引擎設(shè)計(jì) ........................................................................21 主機(jī)代理 ..........................................................................................25 數(shù)據(jù)來源 ................................................................................25 代理結(jié) 構(gòu) ................................................................................26 第四章 存儲系統(tǒng)和分析系統(tǒng) ......................................................................29 存儲系統(tǒng) ..........................................................................................29 數(shù)據(jù)載入 ................................................................................29 數(shù)據(jù)縮減 ................................................................................30 推與拉技術(shù) ............................................................................31 分析系統(tǒng) ..........................................................................................32 基于行為的檢測 ....................................................................32 基于知識的檢測 ....................................................................34 第五章 控制臺與響應(yīng)系統(tǒng) ..........................................................................37 控制臺 ..............................................................................................37 事件管理 .......................................................................................37 安全管理 .......................................................................................38 報(bào)告生成 .......................................................................................38 部件管理 .......................................................................................38 分布式入侵檢測系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) 誤報(bào)警管理 ...................................................................................39 響應(yīng)系統(tǒng) ..........................................................................................39 常用響應(yīng)技術(shù) ........................................................................40 第六章 系統(tǒng)自身的安全 ..............................................................................43 對付攻擊 ...........................................................................................44 安全通信 ..........................................................................................45 第七章 網(wǎng)絡(luò)引擎實(shí)現(xiàn) ..................................................................................52 檢測規(guī)則 ..........................................................................................52 規(guī)則格式 ................................................................................52 規(guī)則選項(xiàng) ................................................................................55 匹配算法 ..........................................................................................59 結(jié)束語 ............................................................................................................62 致謝 ..................................................................................錯(cuò)誤 !未定義書簽。但現(xiàn)狀是入侵檢測還不夠成熟，處于發(fā)展階段，或者是防火墻中集成較為初級的入侵檢測模塊。在經(jīng)濟(jì)領(lǐng)域中它可以及時(shí)發(fā)現(xiàn)、阻攔入侵行為，保護(hù)保護(hù)企業(yè)來自不滿員工、黑客和競爭對手威脅，保證企業(yè)信息信息平臺的正常運(yùn)轉(zhuǎn)。因此安全問題很容易表面上受到重視，而實(shí)際上沒有真正得到重視。 比如，采用 B 級操作系統(tǒng)和數(shù)據(jù)庫、在網(wǎng)絡(luò)出口配置防火墻、在信息傳輸和存儲中采用加密技 術(shù)、 使用集中的身份認(rèn)證產(chǎn)品等。但也有其明顯的局限性，諸如： .防火墻難于防內(nèi) 。根據(jù)美國財(cái)經(jīng)雜志統(tǒng)計(jì)資料表明， 30%的入侵發(fā)生在有防火墻的情況下。 P2DR： 動態(tài)安全模型 針 對日益嚴(yán)重的網(wǎng)絡(luò)安全問題和越來越突出的安全需 求，“ 可適應(yīng)網(wǎng)絡(luò)安全模型 ”和 “動態(tài)安全模型 ”應(yīng)運(yùn)而生 [5]。由于入 侵在當(dāng)時(shí)是相當(dāng)少見的，在對攻擊的事后分析就可以防止今后的攻擊。反應(yīng)的快慢與輪詢間隔的頻率有直接的關(guān)系。 基于主機(jī)的 IDS 監(jiān)視用戶和文件訪問活動，包括文件訪問、改變文件權(quán)限、試圖建立新的可執(zhí)行文件并且／或者試圖訪問特許服務(wù)。系統(tǒng)能夠檢測到那些欲重寫關(guān)鍵系統(tǒng)文件或者安裝特洛伊木馬或后門的嘗試并將它們中斷。 ? 對網(wǎng)絡(luò)流量不敏感 用代理的方式一般不會因?yàn)榫W(wǎng)絡(luò)流量的增加而丟掉對網(wǎng)絡(luò)行為的監(jiān)視?；谥鳈C(jī)的 IDS 沒有這方面的限制?；诰W(wǎng)絡(luò)的檢測有以下 優(yōu)點(diǎn) ： ? 偵測速度快 基于網(wǎng)絡(luò)的監(jiān)測器通常能在微秒或秒級發(fā)現(xiàn)問題。但是，如果在一個(gè)交換環(huán) 境下， 就需要特殊的配置。 入侵檢測系統(tǒng) 的發(fā)展趨勢 基于網(wǎng)絡(luò)和基于主機(jī)的 入侵檢測系統(tǒng) 都有各自的優(yōu)勢，兩者相互補(bǔ)充。比如基于主機(jī)的 入侵檢測系統(tǒng) 使用系統(tǒng)日志作為檢測依據(jù)，因此它們在確定攻擊是否已經(jīng)取得成功時(shí)與基于網(wǎng)絡(luò)的檢測系統(tǒng)相比具有更大的準(zhǔn)確性。此方法非常類似殺毒軟件。系統(tǒng)應(yīng)當(dāng)能夠避免 “ 肅反擴(kuò)大／縮小化 ” 的問題。 所謂專家系統(tǒng)是基于一套由專家經(jīng)驗(yàn)事先定義的規(guī)則的推理系統(tǒng)。 當(dāng)有證據(jù)表明某種特定的攻擊模型發(fā)生時(shí)，系統(tǒng)應(yīng)當(dāng)收集其他證據(jù)來證實(shí)或者否定攻擊的真實(shí)，以盡可能的避免錯(cuò)報(bào)。他也對于各部件之間的信息傳遞格式、通信方法和標(biāo)準(zhǔn) API 進(jìn)行了標(biāo)準(zhǔn)化。各種入侵檢測系統(tǒng)各自為陣，系統(tǒng)之間的互操作性很差，因此各廠商都在按照 CIDF 進(jìn)行信息交換的標(biāo)準(zhǔn)化工作。 檢測分析方法單一：攻擊方法的越來越復(fù)雜，單一的基于模式匹配或統(tǒng)計(jì)的分析方法已經(jīng)難以發(fā)現(xiàn)某一些攻擊。 主要功能要求 一個(gè)成功的入侵檢測系統(tǒng)至少要滿足以下五個(gè)主要功能要求： 實(shí)時(shí)性要求：如果攻擊或者攻擊的企圖能夠盡快的被發(fā)現(xiàn)，這就使得有可能查找出攻擊者的位置，阻止進(jìn)一步的攻擊活動，有可能把破壞控制在最小限度，并能夠記錄下攻擊者攻擊過程的全部網(wǎng)絡(luò)活動，并可作為證據(jù)回放。 安全性與可用性要求：入侵檢測系統(tǒng)必須盡可能的完善與健壯，不能向其宿主計(jì)算機(jī)系統(tǒng)以及其所屬的計(jì)算機(jī)環(huán)境中引入新的安全問題及安全隱患?？傊?，部件能夠完成某 一特定的功能，并且是 ODIDS 的一部分。儲存的原始數(shù)據(jù)在對發(fā)現(xiàn)入侵者進(jìn)行法律制裁時(shí)提 供確鑿的證據(jù)。 響應(yīng)系統(tǒng)是對確認(rèn)的入侵行為采取相應(yīng)措施的子系統(tǒng)。 一個(gè)比較典型的小型網(wǎng)絡(luò)上的 ODIDS 部署圖為 : 分 布式入侵檢測系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) 16 圖 2－ 2 ODIDS 典型部署圖 對于主機(jī)型 IDS，其數(shù)據(jù)采集部分當(dāng)然位于其所監(jiān)測的主機(jī)上。 雖然放在防火墻外的檢測器無法檢測到攻擊，但那種位置仍然是對攻擊進(jìn)行檢測的最佳位置。我在防火墻內(nèi)外多防止了檢測器。網(wǎng)絡(luò)在不斷地升級到 交換 VLAN 環(huán)境中?？山鉀Q的辦法有： 1．交換機(jī)的核心芯片上一般有一個(gè)用于調(diào)試的端口（ span port），任何其他端口的進(jìn)出信息都可從此得到。采用分接器的網(wǎng)絡(luò)結(jié)構(gòu)如下： 圖 23 分接器部署 優(yōu)點(diǎn)：再不降低網(wǎng)絡(luò)性能的前提下收集了所需的信息。單純使用模式匹配的方法有很大的弊端，在網(wǎng)絡(luò)引擎中我們使用協(xié)議分析和模式匹配結(jié)合的方法來分析網(wǎng)絡(luò)數(shù)據(jù)包。對攻擊特征微小的變形都將使得檢測失敗。他的高效使得匹配的計(jì)算量大幅度減小。于是系統(tǒng)跳過第 25到 34字節(jié)直接讀取第 35字節(jié)的端口號： 80。低效率的過濾程序會導(dǎo)致數(shù)據(jù)包丟失、分析部分來不及處理等。高級的靜態(tài)鏈接庫和應(yīng)用程序編譯在一起，他使用低級動態(tài)鏈接庫提供 的服務(wù)，向應(yīng)用程序提供完善的監(jiān)聽接口。協(xié)議代號是為了提高分析速度用的編號。一般情況下，數(shù)據(jù)分析盡可能地放到樹結(jié)構(gòu)的葉子結(jié)點(diǎn)上或盡可能地靠近葉子結(jié)點(diǎn)，因?yàn)闃涓糠终{(diào)用次數(shù)最多，過多的數(shù)據(jù)分析函數(shù)聚集在此會嚴(yán)重影響系統(tǒng)的性能。當(dāng)前發(fā)展的趨勢是更高級的統(tǒng)計(jì)分析方法、基于專家系統(tǒng)的分析方法和機(jī)于神經(jīng)網(wǎng)絡(luò)的分析方法等。因?yàn)榭刂婆_和網(wǎng)絡(luò)代理可能是分布在網(wǎng)絡(luò)的的不同主機(jī)上，因此需要網(wǎng)絡(luò)代理有一個(gè)代碼移動和動態(tài)更新的機(jī)制。日志文件中記錄了各種行為分 布式入侵檢測系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) 26 類型，每種類型又包含不同的信息，例如記錄“用戶活動”類型的日志，就包含登錄、用戶 ID 改變、用戶對文件的訪問、授權(quán)和認(rèn)證信息等內(nèi)容。一個(gè)進(jìn)程的執(zhí)行行為由它運(yùn)行 時(shí)執(zhí)行的操作來表現(xiàn)，操作執(zhí)行的方式不同，它利用的系統(tǒng)資源也就不同。當(dāng)時(shí)的系統(tǒng)管理員們通常是一行一行地手工分析程序日志，于是出現(xiàn)了一些幫助系統(tǒng)管理員分析這些程序日志的小程序，這便是最早期的入侵檢測系統(tǒng)了。統(tǒng)計(jì)表明％ 70 的攻擊來自于內(nèi)部，所以對內(nèi)部員工行為的檢測也是很重要的一個(gè)任務(wù)。對于用戶行為的分析也是一個(gè)監(jiān)測方面。比如用日志分析方法分 布式入侵檢測系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) 27 來檢測 CGI 攻擊的代價(jià)是非常小的，但日志分析屬于事后分析，攻擊已經(jīng)完成了。一個(gè)進(jìn)程出現(xiàn)了不期望的行為可能表明黑客正在入侵你的系統(tǒng)。 2．目錄和文件中的不期望的改變 網(wǎng)絡(luò)環(huán)境中的文件系統(tǒng)包含很多軟件和數(shù)據(jù)文件，包含重要信息的文件和