【正文】 使用下面的命令可以把所有的數(shù)據(jù)包記錄到一個(gè)單一的二進(jìn)制文件中： ./snort l ./log b 返回本章首頁(yè) 68 第五章 入侵檢測(cè)技術(shù) 頁(yè) 2023/2/25 頁(yè)頁(yè) 3． Snort的工作模式 （ 3） 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng) 通過(guò)下面命令行 ， 可以將 Snort啟動(dòng)為網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)模式： ./snort dev l ./log h 。 ? 每個(gè) OTN 結(jié)點(diǎn)包含一條規(guī)則所對(duì)應(yīng)的全部選項(xiàng) ， 同時(shí)包含一組函數(shù)指針 ， 用來(lái)實(shí)現(xiàn)對(duì)這些選項(xiàng)的匹配操作 。 返回本章首頁(yè) 53 第五章 入侵檢測(cè)技術(shù) 頁(yè) 2023/2/25 頁(yè)頁(yè) Snort簡(jiǎn)介 ?Snort 是一個(gè)開(kāi)放源代碼的免費(fèi)軟件 ， 它基于libpcap 的數(shù)據(jù)包嗅探器 ， 并可以作為一個(gè)輕量級(jí)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng) （ NIDS） 。 返回本章首頁(yè) 44 第五章 入侵檢測(cè)技術(shù) 頁(yè) 2023/2/25 頁(yè)頁(yè)4． GrIDS ? GrIDS （ Graphbased Intrusion Detection System） 同樣由 UC Davis提出并實(shí)現(xiàn) ?該系統(tǒng)實(shí)現(xiàn)了一種在大規(guī)模網(wǎng)絡(luò)中使用圖形化表示的方法來(lái)描述網(wǎng)絡(luò)行為的途徑 ， 其設(shè)計(jì)目標(biāo)主要針對(duì)大范圍的網(wǎng)絡(luò)攻擊 ， 例如掃描 、 協(xié)同攻擊 、網(wǎng)絡(luò)蠕蟲(chóng)等 。 返回本章首頁(yè) 37 第五章 入侵檢測(cè)技術(shù) 頁(yè) 2023/2/25 頁(yè)頁(yè) 分布式入侵檢測(cè) ? 分布式入侵檢測(cè) （ Distributed Intrusion Detection）是目前入侵檢測(cè)乃至整個(gè)網(wǎng)絡(luò)安全領(lǐng)域的熱點(diǎn)之一 。 返回本章首頁(yè) 30 第五章 入侵檢測(cè)技術(shù) 頁(yè) 2023/2/25 頁(yè)頁(yè)5． 基于規(guī)則的方法 ? 上面討論的異常檢測(cè)主要基于 統(tǒng)計(jì)方法 ， 異常檢測(cè)的另一個(gè)變種就是 基于規(guī)則 的方法 。 ? 專(zhuān)家系統(tǒng)的建立依賴(lài)于 知識(shí)庫(kù)的完備性 ， 而知識(shí)庫(kù)的完備性又 取決于審計(jì)記錄的完備性與實(shí)時(shí)性 。 返回本章首頁(yè) 14 第五章 入侵檢測(cè)技術(shù) 頁(yè) 2023/2/25 頁(yè)頁(yè) 系統(tǒng)分類(lèi) ?1． 基于數(shù)據(jù)源的分類(lèi) 通常可以把入侵檢測(cè)系統(tǒng)分為五類(lèi) ， 即： ?基于主機(jī) 、 ?基于網(wǎng)絡(luò) 、 ?混合入侵檢測(cè) 、 ?基于網(wǎng)關(guān) ?基于文件完整性檢測(cè) 返回本章首頁(yè) 15 第五章 入侵檢測(cè)技術(shù) 頁(yè) 2023/2/25 頁(yè)頁(yè)2． 基于檢測(cè)理論的分類(lèi) 從具體的檢測(cè)理論上來(lái)說(shuō) ， 入侵檢測(cè)又可分為異常檢測(cè)和誤用檢測(cè) 。 返回本章首頁(yè) 入侵檢測(cè)發(fā)展歷史 4 第五章 入侵檢測(cè)技術(shù) 頁(yè) 2023/2/25 頁(yè)頁(yè)? 1990年 ， Heberlein等人提出了一個(gè)具有里程碑意義的新型概念：基于網(wǎng)絡(luò)的入侵檢測(cè) —— 網(wǎng)絡(luò)安全監(jiān)視器 NSM（ Network Security Monitor） 。 ?一般地 ， 入侵檢測(cè)系統(tǒng)需要解決兩個(gè)問(wèn)題： ?如何充分并可靠地提取描述行為特征的數(shù)據(jù)； ?如何根據(jù)特征數(shù)據(jù) ， 高效并準(zhǔn)確地判定行為的性質(zhì) 。 返回本章首頁(yè) 19 第五章 入侵檢測(cè)技術(shù) 頁(yè) 2023/2/25 頁(yè)頁(yè) 入侵檢測(cè)分析模型 ? 分析是入侵檢測(cè)的核心功能 ， 它既能簡(jiǎn)單到像一個(gè)已熟悉日志情況的管理員去建立決策表 ， 也能復(fù)雜得像一個(gè)集成了幾百萬(wàn)個(gè)處理的非參數(shù)系統(tǒng) 。 返回本章首頁(yè) 26 第五章 入侵檢測(cè)技術(shù) 頁(yè) 2023/2/25 頁(yè)頁(yè)1． Denning的原始模型 Dorothy Denning于 1986年給出了入侵檢測(cè)的 IDES模型 ， 她認(rèn)為在一個(gè)系統(tǒng)中可以包括 四個(gè)統(tǒng)計(jì)模型 ， 每個(gè)模型適合于一個(gè) 特定類(lèi)型的系統(tǒng)度量 。 ? 實(shí)驗(yàn)結(jié)果表明 ， 這種方法在入侵檢測(cè)領(lǐng)域有很好的應(yīng)用前景 。 ? 主要包括三個(gè)組件： 網(wǎng)絡(luò)感應(yīng)器 、 代理守護(hù)程序 和 監(jiān)視控制臺(tái) 。 ? 為了提高 IDS產(chǎn)品 、 組件及與其他安全產(chǎn)品之間的互操作性 ，DARPA和 IETF的入侵檢測(cè)工作組 （ IDWG） 分別發(fā)起制訂了一系列 建議草案 ， 從 體系結(jié)構(gòu) 、 API、 通信機(jī)制 、 語(yǔ)言格式 等方面來(lái)規(guī)范 IDS的標(biāo)準(zhǔn) 。 返回本章首頁(yè) 56 第五章 入侵檢測(cè)技術(shù) 頁(yè) 2023/2/25 頁(yè)頁(yè)? 檢測(cè)規(guī)則除了包括上述的關(guān)于 “ 要檢測(cè)什么 ” ，還應(yīng)該定義 “ 檢測(cè)到了該做什么 ” 。 ?例如，將 Snort數(shù)據(jù)發(fā)送給數(shù)據(jù)庫(kù)系統(tǒng)，從而支持通過(guò) Web界面進(jìn)行數(shù)據(jù)分析，以增強(qiáng)對(duì) Snort捕獲數(shù)據(jù)的直觀(guān)認(rèn)識(shí)，避免耗費(fèi)大量時(shí)間查閱晦澀的日志文件。 ? 在安全實(shí)踐中 ， 部署入侵檢測(cè)是一項(xiàng)繁瑣的工作 ， 需要從三個(gè)方面對(duì)入侵檢測(cè)進(jìn)行改進(jìn) ， 即 ?突破檢測(cè)速度瓶頸制約 ， 適應(yīng)網(wǎng)絡(luò)通信需求； ?降低漏報(bào)和誤報(bào) ， 提高其安全性和準(zhǔn)確度； ?提高系統(tǒng)互動(dòng)性能 ， 增強(qiáng)全系統(tǒng)的安全性能 。 ?簡(jiǎn)單方式安裝時(shí)，可以得到入侵?jǐn)?shù)據(jù)的文本文件或二進(jìn)制文件，然后用文本編輯器等工具進(jìn)行查看。 ?規(guī)則頭 對(duì)應(yīng)于規(guī)則樹(shù)結(jié)點(diǎn) RTN（ Rule Tree Node） ，包含 動(dòng)作 、 協(xié)議 、 源 （ 目的 ） 地址和端口以及數(shù)據(jù)流向 ， 這是所有規(guī)則共有的部分 。 ?中間層用于表示 IDS間的共享信息的表示方式： ?IDS檢測(cè)到的攻擊或者 IDS無(wú)法處理的事件信息作為event ， IDS 或受 IDS 監(jiān)控的系統(tǒng)的狀態(tài)則作為dynamic predicates。 返回本章首頁(yè) 40 第五章 入侵檢測(cè)技術(shù) 頁(yè) 2023/2/25 頁(yè)頁(yè) 分布式入侵檢測(cè)現(xiàn)狀 盡管分布式入侵檢測(cè)存在技術(shù)和其它層面的難點(diǎn) ， 但由于其相對(duì)于傳統(tǒng)的單機(jī) IDS所具有的優(yōu)勢(shì) ， 目前已經(jīng)成為這一領(lǐng)域的研究熱點(diǎn) 。 返回本章首頁(yè) 34 第五章 入侵檢測(cè)技術(shù) 頁(yè) 2023/2/25 頁(yè)頁(yè)3． 數(shù)據(jù)挖掘方法 ? Columbia大學(xué)的 Wenke Lee在其博士論文中 ， 提出了將數(shù)據(jù)挖掘 （ Data Mining, DM） 技術(shù)應(yīng)用到入侵檢測(cè)中 ， 通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)和主機(jī)系統(tǒng)調(diào)用數(shù)據(jù)的分析挖掘 ， 發(fā)現(xiàn)誤用檢測(cè)規(guī)則或異常檢測(cè)模型 。 ? 用戶(hù)行為的特征輪廓在異常檢測(cè)中是由 度量 （ measure）集 來(lái)描述 ， 度量是特定網(wǎng)絡(luò)行為的定量表示 ， 通常與某個(gè)檢測(cè)閥值或某個(gè)域相聯(lián)系 。 ? 入侵檢測(cè)的 核心問(wèn)題 在于如何對(duì)安全審計(jì)數(shù)據(jù)進(jìn)行分析 ， 以檢測(cè)其中是否包含入侵或異常行為的跡象 。 返回本章首頁(yè) 8 第五章 入侵檢測(cè)技術(shù) 頁(yè) 2023/2/25 頁(yè)頁(yè)入 侵 檢 測(cè)分 析 引 擎歷 史 行 為特 定 行 為 模 式數(shù) 據(jù) 提 取入 侵 ? 否記 錄 證 據(jù)響 應(yīng) 處 理是安 全 策 略當(dāng) 前 系 統(tǒng)/ 用 戶(hù) 行 為知 識(shí) 庫(kù)其 它圖 52 入侵檢測(cè)原理框圖 返回本章首頁(yè) 9 第五章 入侵檢測(cè)技術(shù) 頁(yè) 2023/2/25 頁(yè)頁(yè)?入侵檢測(cè)系統(tǒng) ?執(zhí)行 入侵檢測(cè)任務(wù)的硬件或軟件產(chǎn)品 ?入侵檢測(cè)提供了用于發(fā)現(xiàn)入侵攻擊與合法用戶(hù)濫用特權(quán)的一種方法 。 返回本章首頁(yè) 入侵檢測(cè)發(fā)展歷史 5 第五章 入侵檢測(cè)技術(shù) 頁(yè) 2023/2/25 頁(yè)頁(yè)? 1994年 ， Mark Crosbie和 Gene Spafford建議使用自治代理（ autonomous agents） 以提高 IDS的可伸縮性 、 可維護(hù)性 、效率和容錯(cuò)性 ， 該理念非常符合計(jì)算機(jī)科學(xué)其他領(lǐng)域 （ 如軟件代理 ， software agent） 正在進(jìn)行的相關(guān)研究 。 誤用檢測(cè) （ Misuse Detection） 指運(yùn)用已知攻擊方法 ， 根據(jù)已定義好的入侵模式 ， 通過(guò)判斷這些入侵模式是否出現(xiàn)來(lái)檢測(cè) 。 返回本章首頁(yè) 22 第五章 入侵檢測(cè)技術(shù) 頁(yè) 2023/2/25 頁(yè)頁(yè)3． 狀態(tài)轉(zhuǎn)換方法 ? 狀態(tài)轉(zhuǎn)換方法使用 系統(tǒng)狀態(tài) 和 狀態(tài)轉(zhuǎn)換表達(dá)式 來(lái)描述和檢測(cè)入侵 ， 采用 最優(yōu)模式匹配技巧 來(lái)結(jié)構(gòu)化誤用檢測(cè) ， 增強(qiáng)了檢測(cè)的速度和靈活性 。 （ 1） WisdomSense方法 （ 2） 基于時(shí)間的引導(dǎo)機(jī) （ TIM）