【正文】 work on switch network fine.Keyword IDS。在主機代理中的網(wǎng)絡(luò)接口檢測功能，有效地解決了未來交換式網(wǎng)絡(luò)中入侵檢測系統(tǒng)無法檢測的致命弱點。檢測已經(jīng)是系統(tǒng)安全模型中非常重要的一部分。針對網(wǎng)絡(luò)吞吐量、主機的運算速度、數(shù)據(jù)庫的TPC指標(biāo)等這類性能問題，用戶可以根據(jù)自己的業(yè)務(wù)要求、資金條件等方面考慮取舍。當(dāng)發(fā)現(xiàn)問題之后就需要迅速做出響應(yīng)，比如，立即修補大壩的漏洞并進行加固；如果到達警戒水位，大壩就需要有人24小時監(jiān)守，還可能需要泄洪。防火墻只實現(xiàn)了粗粒度的訪問控制，且不能與企業(yè)內(nèi)部使用的其它安全機制（如訪問控制）集成使用，這樣，企業(yè)就必須為內(nèi)部的身份驗證和訪問控制管理維護單獨的數(shù)據(jù)庫。當(dāng)有文件發(fā)生變化時，IDS將新的記錄條目與攻擊標(biāo)記相比較，看它們是否匹配。操作系統(tǒng)記錄了任何有關(guān)用戶帳號的添加、刪除、更改的情況。業(yè)務(wù)鏡像和交換機上的管理端口對此有幫助，但這些技術(shù)有時并不適用。因此可以做得比較安全。許多基于IP的拒絕服務(wù)攻擊和碎片攻擊，只能通過查看它們通過網(wǎng)絡(luò)傳輸時的包首標(biāo)才能識別。對攻擊的實時檢測系統(tǒng)的工作原理是基于對用戶歷史行為的建模，以及在早期的證據(jù)或模型的基礎(chǔ)之上。4．基于模型推理的攻擊檢測技術(shù)攻擊者在入侵一個系統(tǒng)時往往采用一定的行為程序，如猜測口令的程序，這種行為程序構(gòu)成了某種具有一定行為特征的模型，根據(jù)這種模型所代表的攻擊意圖的行為特征，可以實時地檢測出惡意的攻擊企圖，盡管攻擊者并不一定都是惡意的。事件數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，它可以是復(fù)雜的數(shù)據(jù)庫，也可以是簡單的文本文件。不能和其他網(wǎng)絡(luò)安全產(chǎn)品互操作：入侵檢測不是安全的終極武器，一個安全的網(wǎng)絡(luò)中應(yīng)該根據(jù)安全政策使用多種安全產(chǎn)品。即：對于攻擊事件的錯報與漏報能夠控制在一定范圍內(nèi)。分析系統(tǒng)注重于高層次的分析方法，如基于統(tǒng)計的分析方法、基于神經(jīng)網(wǎng)絡(luò)的分析方法等。1. 放在防火墻之外入侵檢測器通常放置在防火墻外的DMZ中 ( Demilitarized Zone, 非軍事區(qū) )。如果你們機構(gòu)使用的是昂貴的入侵檢測系統(tǒng)解決方案，那么就不值得用這種檢測器放置方法，如果你使用內(nèi)外雙重檢測器，那就用防火墻內(nèi)部的監(jiān)測器做為緊急報警的裝置。2．把入侵檢測系統(tǒng)放在交換機內(nèi)部或防火墻內(nèi)部等數(shù)據(jù)流的關(guān)鍵入口、出口。7〕 直到每一個攻擊特征匹配完畢，對給數(shù)據(jù)包的匹配完畢。根據(jù)協(xié)議規(guī)范可以判斷這個網(wǎng)絡(luò)數(shù)據(jù)包是IP包。Wincap有三部分組成：一個數(shù)據(jù)包監(jiān)聽設(shè)備驅(qū)動程序，一個低級的動態(tài)連接庫和一個高級的靜態(tài)連接庫。該鏈表的每一結(jié)點包含可配置的數(shù)據(jù)，如是否啟動該檢測函數(shù)等。動態(tài)添加數(shù)據(jù)分析功能是通過添加新的動態(tài)連接庫中的數(shù)據(jù)分析函數(shù)來實現(xiàn)的。黑客經(jīng)常替換、修改和破壞他們獲得訪問權(quán)的系統(tǒng)上的文件，同時為了隱藏系統(tǒng)中他們的表現(xiàn)及活動痕跡，都會盡力去替換系統(tǒng)程序或修改系統(tǒng)日志文件。 文件監(jiān)測：文件監(jiān)測中的文件完整性檢測也屬于傳統(tǒng)項目，在UNIX平臺上早有廣泛的應(yīng)用。不過這種網(wǎng)絡(luò)傳感器也有局限性，因此在某些情況下也需要其它類型的傳感器：1. 快速網(wǎng)絡(luò)。構(gòu)造專用的存儲系統(tǒng)可以提高反應(yīng)速度，但那是一個艱難的過程。同時亦可以通過調(diào)節(jié)每次提交的數(shù)量來控制實時性的要求，如果系統(tǒng)硬件條件允許（有比較高的處理器速度、比較大的內(nèi)存、高速的外部存儲設(shè)備）可以將批量提交的數(shù)量減小，甚至可以是減小到每個數(shù)據(jù)就提交一次，以得到更好的實時性。同時原始數(shù)據(jù)的增加會延長數(shù)據(jù)庫檢索的時間，降低數(shù)據(jù)分析速度。總的說來，推對于入侵檢測系統(tǒng)來說是一種好的結(jié)構(gòu)。用戶特征表需要根據(jù)審計記錄情況不斷地加以更新。用于檢測的神經(jīng)網(wǎng)絡(luò)模塊結(jié)構(gòu)大致是這樣的：當(dāng)前命令和剛過去的w個命令組成了網(wǎng)絡(luò)的輸入，其中w是神經(jīng)網(wǎng)絡(luò)預(yù)測下一個命令時所包含的過去命令集的大小。其中的ifthen結(jié)構(gòu)構(gòu)成了描述具體攻擊的規(guī)則庫，狀態(tài)行為及其語義環(huán)境可根據(jù)審計事件得到，推理機根據(jù)規(guī)則和行為完成判斷工作。隨著一些腳本被確認(rèn)的次數(shù)增多，另一些腳本被確認(rèn)的次數(shù)減少，攻擊腳本不斷地得到更新。下面是這種方法的一個簡單示例，表示在一分鐘內(nèi)如果登錄失敗的次數(shù)超過4次，系統(tǒng)便發(fā)出警報。然后通過一個稱為預(yù)測器的程序模塊根據(jù)當(dāng)前行為模式，產(chǎn)生下一個需要驗證的攻擊腳本子集，并將它傳給決策器?；谥R的檢測方法大致有以下3種。閾值太低則漏檢率提高，閾值太高則誤檢率提高。其次由于統(tǒng)計簡表要不斷更新，入侵者如果知道某系統(tǒng)在檢測器的監(jiān)視之下，他們能慢慢地訓(xùn)練檢測系統(tǒng)，以至于最初認(rèn)為是異常的行為，經(jīng)一段時間訓(xùn)練后也認(rèn)為是正常的了。低層次的攻擊者不太可能有這樣的耐心，但對于高層次的攻擊者幾乎肯定會這樣做，例如高級經(jīng)濟間諜。原始數(shù)據(jù)數(shù)據(jù)庫中存儲很短一段時間內(nèi)的數(shù)據(jù)包，這個時間通常是3天到一周之間。如果分批提交，你就可以獲得更高的性能，但這樣延長了系統(tǒng)的等待時間。3. 由于主機網(wǎng)絡(luò)接口檢測器是直接位于主機上的，因此交換網(wǎng)絡(luò)也不成問題。網(wǎng)絡(luò)接口防護不僅僅是檢測系統(tǒng)的一部分，他也可以是一個獨立的安全保護工具。當(dāng)時的系統(tǒng)管理員們通常是一行一行地手工分析程序日志，于是出現(xiàn)了一些幫助系統(tǒng)管理員分析這些程序日志的小程序，這便是最早期的入侵檢測系統(tǒng)了。日志文件中記錄了各種行為類型，每種類型又包含不同的信息，例如記錄“用戶活動”類型的日志，就包含登錄、用戶ID改變、用戶對文件的訪問、授權(quán)和認(rèn)證信息等內(nèi)容。當(dāng)前發(fā)展的趨勢是更高級的統(tǒng)計分析方法、基于專家系統(tǒng)的分析方法和機于神經(jīng)網(wǎng)絡(luò)的分析方法等。協(xié)議代號是為了提高分析速度用的編號。低效率的過濾程序會導(dǎo)致數(shù)據(jù)包丟失、分析部分來不及處理等。他的高效使得匹配的計算量大幅度減小。單純使用模式匹配的方法有很大的弊端，在網(wǎng)絡(luò)引擎中我們使用協(xié)議分析和模式匹配結(jié)合的方法來分析網(wǎng)絡(luò)數(shù)據(jù)包?？山鉀Q的辦法有：1．交換機的核心芯片上一般有一個用于調(diào)試的端口（span port），任何其他端口的進出信息都可從此得到。我在防火墻內(nèi)外多防止了檢測器。一個比較典型的小型網(wǎng)絡(luò)上的ODIDS部署圖為:圖2－2 ODIDS典型部署圖對于主機型IDS，其數(shù)據(jù)采集部分當(dāng)然位于其所監(jiān)測的主機上。儲存的原始數(shù)據(jù)在對發(fā)現(xiàn)入侵者進行法律制裁時提供確鑿的證據(jù)。安全性與可用性要求：入侵檢測系統(tǒng)必須盡可能的完善與健壯，不能向其宿主計算機系統(tǒng)以及其所屬的計算機環(huán)境中引入新的安全問題及安全隱患。檢測分析方法單一：攻擊方法的越來越復(fù)雜，單一的基于模式匹配或統(tǒng)計的分析方法已經(jīng)難以發(fā)現(xiàn)某一些攻擊。他也對于各部件之間的信息傳遞格式、通信方法和標(biāo)準(zhǔn)API進行了標(biāo)準(zhǔn)化。所謂專家系統(tǒng)是基于一套由專家經(jīng)驗事先定義的規(guī)則的推理系統(tǒng)。此方法非常類似殺毒軟件。 入侵檢測系統(tǒng)的發(fā)展趨勢基于網(wǎng)絡(luò)和基于主機的入侵檢測系統(tǒng)都有各自的優(yōu)勢，兩者相互補充?；诰W(wǎng)絡(luò)的檢測有以下優(yōu)點：l 偵測速度快 基于網(wǎng)絡(luò)的監(jiān)測器通常能在微秒或秒級發(fā)現(xiàn)問題。l 對網(wǎng)絡(luò)流量不敏感 用代理的方式一般不會因為網(wǎng)絡(luò)流量的增加而丟掉對網(wǎng)絡(luò)行為的監(jiān)視?；谥鳈C的IDS監(jiān)視用戶和文件訪問活動，包括文件訪問、改變文件權(quán)限、試圖建立新的可執(zhí)行文件并且／或者試圖訪問特許服務(wù)。由于入侵在當(dāng)時是相當(dāng)少見的，在對攻擊的事后分析就可以防止今后的攻擊。根據(jù)美國財經(jīng)雜志統(tǒng)計資料表明，30%的入侵發(fā)生在有防火墻的情況下。比如，采用B級操作系統(tǒng)和數(shù)據(jù)庫、在網(wǎng)絡(luò)出口配置防火墻、在信息傳輸和存儲中采用加密技術(shù)、使用集中的身份認(rèn)證產(chǎn)品等。在經(jīng)濟領(lǐng)域中它可以及時發(fā)現(xiàn)、阻攔入侵行為，保護保護企業(yè)來自不滿員工、黑客和競爭對手威脅，保證企業(yè)信息信息平臺的正常運轉(zhuǎn)。涉密論文按學(xué)校規(guī)定處理。本文提出一種基于部件的入侵檢測系統(tǒng)，具有良好的分布性能和可擴展性。作 者 簽 名：　　 　 　　日　 期：　　 　 　　 指導(dǎo)教師簽名：　　 　 　　 日　　期：　　 　 　　 使用授權(quán)說明本人完全了解 大學(xué)關(guān)于收集、保存、使用畢業(yè)設(shè)計（論文）的規(guī)定，即：按照學(xué)校要求提交畢業(yè)設(shè)計（論文）的印刷本和電子版本；學(xué)校有權(quán)保存畢業(yè)設(shè)計（論文）的印刷本和電子版，并提供目錄檢索與閱覽服務(wù)；學(xué)?？梢圆捎糜坝　⒖s印、數(shù)字化或其它復(fù)制手段保存論文；在不以贏利為目的前提下，學(xué)校可以公布論文的部分或全部內(nèi)容。可見，入侵檢測技術(shù)應(yīng)該進行進一步的研究?！笆裁词虑橐矝]有”實際上就是安全的最高境界。防火墻的安全控制只能作用于外對內(nèi)或內(nèi)對外，即：對外可屏蔽內(nèi)部網(wǎng)的拓?fù)浣Y(jié)構(gòu)，封鎖外部網(wǎng)上的用戶連接內(nèi)部網(wǎng)上的重要站點或某些端口，對內(nèi)可屏蔽外部危險站點，但它很難解決內(nèi)部網(wǎng)控制內(nèi)部人員的安全問題。圖1－1 P2DR模型P2DR模型包含4個主要部分：Policy（安全策略）Protection（防護）Detection（檢測）Response（響應(yīng)）P2DR模型是在整體的安全策略（Policy）的控制和指導(dǎo)下，在綜合運用防護工具（Protection，如防火墻、操作系統(tǒng)身份認(rèn)證、加密等手段）的同時，利用檢測工具（Detection，如漏洞評估、入侵檢測等系統(tǒng)）了解和評估系統(tǒng)的安全狀態(tài)，通過適當(dāng)?shù)捻憫?yīng)（Response）將系統(tǒng)調(diào)整到“最安全”和“風(fēng)險最低”的狀態(tài)。最后，許多產(chǎn)品都是監(jiān)聽端口的活動，并在特定端口被訪問時向管理員報警。而基于網(wǎng)絡(luò)的系統(tǒng)有時會檢測不到這些行為。當(dāng)操作系統(tǒng)及基于主機的系統(tǒng)發(fā)現(xiàn)即將到來的業(yè)務(wù)時，數(shù)據(jù)流已經(jīng)被解密了l 確定攻擊是否成功 由于基于主機的IDS使用含有已發(fā)生事件信息，它們可以比基于網(wǎng)絡(luò)的IDS更加準(zhǔn)確地判斷攻擊是否成功。l 攻擊者不易轉(zhuǎn)移證據(jù) 基于網(wǎng)絡(luò)的IDS使用正在發(fā)生的網(wǎng)絡(luò)通訊進行實時攻擊的檢測。在這方面，基于主機的入侵檢測系統(tǒng)對基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)是一個很好的補充，人們完全可以使用基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)提供早期報警，而使用基于主機的入侵檢測系統(tǒng)來驗證攻擊是否取得成功。這種辦法同樣適用于檢測程序的行為以及對數(shù)據(jù)資源（如文件或數(shù)據(jù)庫）的存取行為?；谀Ｊ狡ヅ涞臋z測技術(shù)和基于異常發(fā)現(xiàn)的檢測技術(shù)，所得出的結(jié)論有非常大的差異。第二章 分布式入侵檢測系統(tǒng) 現(xiàn)有入侵檢測系統(tǒng)的不足入侵檢測系統(tǒng)不能很好的檢測所有的數(shù)據(jù)包：基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)難以跟上網(wǎng)絡(luò)速度的發(fā)展。實時入侵檢測可以避免常規(guī)情況下，管理員通過的對系統(tǒng)日志進行審計以查找入侵者或入侵行為線索時的種種不便與技術(shù)上的限制。部件之間通過統(tǒng)一的網(wǎng)絡(luò)接口進行信息交換，這樣既簡化了部件之間的數(shù)據(jù)交換的復(fù)雜性，使得部件非常容易地分布在不同主機上，也給系統(tǒng)提供了一個擴展的接口。響應(yīng)包括消極的措施，如給管理員發(fā)電子郵件、消息、傳呼等。這樣做對站點的好處就是：可以看到自己的站點和防火墻暴露在多少種攻擊之下。檢測器可以工作在這種環(huán)境中，但如果交換機的跨接端口沒有正確設(shè)置，入侵檢測將無法進行工作。缺點：必須購買額外的設(shè)備(Tap)；若所保護的資源眾多，IDS必須配備眾多網(wǎng)絡(luò)接口。例如，對于WEB服務(wù)器GET /cgibin/phfHEAD /cgibin/phfGET //cgibin/phfGET /cgibin/foobar/../phfGET /cgibin/./phfGET%00/cgibin/phfGET /%63%67%69%2d%62%69%6e/phf都是合法而且有效的。該數(shù)據(jù)包是一個HTTP協(xié)議的數(shù)據(jù)包。圖3－2 wincap結(jié)構(gòu)圖協(xié)議分析：協(xié)議分析的功能是辨別數(shù)據(jù)包的協(xié)議類型，以便使用相應(yīng)的數(shù)據(jù)分析程序來檢測數(shù)據(jù)包。同時葉子節(jié)點上的協(xié)議明確，分析程序可以少做一些冗余的工作，也由此提高了系統(tǒng)的處理速度。這樣對于網(wǎng)絡(luò)上的數(shù)量眾多達到網(wǎng)絡(luò)代理的配置和添加功能模塊可以集中或自動進行，減輕安全管理的難度。操作包括計算、文件傳輸、設(shè)備和其它進程，以及與網(wǎng)絡(luò)間其它進程的通訊。監(jiān)測的內(nèi)容主要是包括是否違反安全政策、是否越權(quán)使用系統(tǒng)資源。在交換網(wǎng)絡(luò)中，是不可能從一個中央位置處看見所有網(wǎng)絡(luò)數(shù)據(jù)的。n 在世界課外進行過濾分析，在數(shù)據(jù)庫中只存放分析結(jié)果。使用相同的接口可以維護各系統(tǒng)間數(shù)據(jù)存儲的一致性，便于入侵檢測系統(tǒng)間的數(shù)據(jù)交換，同時也減小設(shè)計的復(fù)雜性?？s減數(shù)據(jù)格式一般只包括時間、源IP地址、目標(biāo)IP地址、源端口、目標(biāo)端口、協(xié)議標(biāo)志。即使是同一個分析系統(tǒng)中，也可以同時才用幾種檢測方法，對相同的數(shù)據(jù)使用不同的檢測方法進行分析，對各自的檢測結(jié)果進行比較，可以提高檢測準(zhǔn)確度，也可以完善不同的檢測方法。如果假設(shè)S1，S2，…，Sn 分別是用于描述特征的變量M1，M2，…，Mn 的異常程度值，Si值越大說明異常程度越大。窗口太小，則網(wǎng)絡(luò)輸出不好，窗口太大，則網(wǎng)絡(luò)會因為大量無關(guān)數(shù)據(jù)而降低效率。這樣就不像專家系統(tǒng)一樣需要處理大量數(shù)據(jù)，從而大大提高了檢測效率。狀態(tài)轉(zhuǎn)換法將入侵過程看作一個行為序列，這個行為序列導(dǎo)致系統(tǒng)從初始狀態(tài)轉(zhuǎn)入被入侵狀態(tài)。然后用狀態(tài)轉(zhuǎn)換圖來表示每一個狀態(tài)和特征事件，這些事件被集成于模型中，所以檢測時不需要一個個地查找審計記錄。另外，由于對不同操作系統(tǒng)平臺的具體攻擊方法可能不同，以及不同平臺的審計方式也可能不同，所以對特征分析檢測系統(tǒng)進行構(gòu)造和維護的工作量都較大。因為很大一部分的入侵是利用了系統(tǒng)的脆弱性，通過分析入侵過程的特征、條件、排列以及事件間關(guān)系能具體描述入侵行為的跡象?！　∪绻x用標(biāo)準(zhǔn)偏差作為判別準(zhǔn)則，則　　標(biāo)準(zhǔn)偏差：σ＝√M/(n1) μ2其中均值 μ=M/n　　如果某S值超出了μ177。 基于行為的檢測基于行為的檢測指根據(jù)使用者的行為或資源使用狀況來判斷是否入侵，而不依賴于具體行為是否出現(xiàn)來檢測，所以也被稱為異常檢測(Anomaly Detection)。推技術(shù)是在檢測器探測到一個事件時就事件“推”給存儲系統(tǒng)。這時分析員就需要系統(tǒng)提供所有的數(shù)據(jù)，包括數(shù)據(jù)包頭和內(nèi)容，進行手工分析。第二種方法的優(yōu)點就是能夠得到更好的性能和靈活性，但只要任何事情發(fā)生改變就必須重新處理數(shù)據(jù)載入的問題。主機網(wǎng)絡(luò)接口檢測器位于服務(wù)器上網(wǎng)絡(luò)棧的附近。比如通過長時間的統(tǒng)計，一個用戶使用“l(fā)s”命令時，帶參數(shù)的“l(fā)s al”統(tǒng)計規(guī)律為％20，而在某一次登錄使用過程中使用他的使用概率達到％80，這肯定以該引起安全管理員的注意。黑客可能會將程序或服務(wù)的運行分解，從而導(dǎo)致它失敗，或者是以非