【文章內(nèi)容簡介】 DS 可以監(jiān)督所有用戶登錄及退出登錄的情況，以及每位用戶 在聯(lián)接 .到網(wǎng)絡以后的行為?；诰W(wǎng)絡的系統(tǒng)要做到這個程度是非常困難的?；谥鳈C技術還可監(jiān)視通常只有管理員才能實施的非正常行為。操作系統(tǒng)記錄了任何有關用戶帳號的添加、刪除、更改的情況。一旦發(fā)生了更改，基于主機的 IDS 就能檢測到這種不適當?shù)母?。基于主機的 IDS還可審計能影響系統(tǒng)記錄的校驗措施的改變。最后，基于主機的系統(tǒng)可以監(jiān)視關鍵系統(tǒng)文件和可執(zhí)行文件的更改。系統(tǒng)能夠檢測到那些欲重寫關鍵系統(tǒng)文件或者安裝特洛伊木馬或后門的嘗試并將它們中斷。而基于網(wǎng)絡的系統(tǒng)有時會檢測不到這些行為。 ? 視野集中 一旦入侵者得到了一個主機 的用戶名和口令，基于主機的代理是最有可能區(qū)分正常的活動和非法的活動的。 ? 易于用戶剪裁 每一個主機有其自己的代理，當然用戶剪裁更方便了。 ? 較少的主機 基于主機的方法有時不需要增加專門的硬件平臺?；谥鳈C的入侵檢測系統(tǒng)存在于現(xiàn)有的網(wǎng)絡結構之中，包括文件服務器、 Web 服務器及其它共享資源。這些使得基于主機的系統(tǒng)效率很高。因為它們不需要在網(wǎng)絡上另外安裝登記、維護及管理的硬件設備 。 ? 對網(wǎng)絡流量不敏感 用代理的方式一般不會因為網(wǎng)絡流量的增加而丟掉對網(wǎng)絡行為的監(jiān)視。 ? 適用于被加密的以及切換的環(huán)境 由于基于主機的系統(tǒng)安裝 在遍布企業(yè)的各種主機上，它們比基于網(wǎng)絡的入侵檢測系統(tǒng)更加適于分 布式入侵檢測系統(tǒng)設計與實現(xiàn) 7 交換的以及加密的環(huán)境。交換設備可將大型網(wǎng)絡分成許多的小型網(wǎng)絡段加以管理。所以從覆蓋足夠大的網(wǎng)絡范圍的角度出發(fā)，很難確定配置基于網(wǎng)絡的 IDS 的最佳位置。業(yè)務鏡像和交換機上的管理端口對此有幫助，但這些技術有時并不適用?；谥鳈C的入侵檢測系統(tǒng)可安裝在所需的重要主機上，在交換的環(huán)境中具有更高的能見度。某些加密方式也向基于網(wǎng)絡的入侵檢測發(fā)出了挑戰(zhàn)。根據(jù)加密方式在協(xié)議堆棧中的位置的不同，基于網(wǎng)絡的系統(tǒng)可能對某些攻擊沒有反應?；谥鳈C的 IDS 沒有這方面的限制。當 操作系統(tǒng)及基于主機的系統(tǒng)發(fā)現(xiàn)即將到來的業(yè)務時，數(shù)據(jù)流已經(jīng)被解密了 ? 確定攻擊是否成功 由于基于主機的 IDS 使用含有已發(fā)生事件信息，它們可以比基于網(wǎng)絡的 IDS 更加準確地判斷攻擊是否成功。在這方面，基于主機的 IDS 是基于網(wǎng)絡的 IDS 完美補充，網(wǎng)絡部分可以盡早提供警告，主機部分可以確定攻擊成功與否 2．基于網(wǎng)絡 的入侵檢測系統(tǒng) 基于網(wǎng)絡的入侵檢測系統(tǒng)使用原始網(wǎng)絡包作為數(shù)據(jù)源?；诰W(wǎng)絡的IDS 通常利用一個運行在隨機模式下網(wǎng)絡的適配器來實時監(jiān)視并分析通過網(wǎng)絡的所有通信業(yè)務。它的攻擊辯識模塊通常使用四種常用技術來識別攻擊 標志： ? 模式、表達式或字節(jié)匹配 ? 頻率或穿越閥值 ? 次要事件的相關性 ? 統(tǒng)計學意義上的非常規(guī)現(xiàn)象檢測 一旦檢測到了攻擊行為， IDS 的響應模塊就提供多種選項以通知、報警并對攻擊采取相應的反應。反應因產(chǎn)品而異，但通常都包括通知管理員、中斷連接并且 /或為法庭分析和證據(jù)收集而做的會話記錄。 基于網(wǎng)絡的 IDS有許多僅靠基于主機的入侵檢測法無法提供的功能。實際上，許多客戶在最初使用 IDS 時，都配置了基于網(wǎng)絡的入侵檢測?；诰W(wǎng)絡的檢測有以下 優(yōu)點 ： ? 偵測速度快 基于網(wǎng)絡的監(jiān)測器通常能在微秒或秒級發(fā)現(xiàn)問題。而大多數(shù)基于主機的產(chǎn)品 則要依靠對最近幾分鐘內(nèi)審計記錄的分析。 ? 隱蔽性好 一個網(wǎng)絡上的監(jiān)測器不像一個主機那樣顯眼和易被存取，因而也不那么容易遭受攻擊。基于網(wǎng)絡的監(jiān)視器 不運行其他的應用 程序， 不提供網(wǎng)絡服務，可以不響應其他計算機。因此可分 布式入侵檢測系統(tǒng)設計與實現(xiàn) 8 以做得比較安全。 ? 視野更寬 基于網(wǎng)絡的 入侵檢測 甚至可以在網(wǎng)絡的邊緣上，即攻擊者還沒能接入網(wǎng)絡時就被 發(fā)現(xiàn)并 制止。 ? 較少的監(jiān)測器 由于使用一個監(jiān)測器就可以保護一個共享的網(wǎng)段，所以你不需要很多的監(jiān)測器。相反地，如果基于主機，則在每個主機上都需要一個代理，這樣的話，花費昂貴，而且難于管理。但是，如果在一個交換環(huán) 境下， 就需要特殊的配置。 ? 攻擊者不易轉移證據(jù) 基于網(wǎng)絡的 IDS 使用正在發(fā)生的網(wǎng)絡通訊進行實時攻擊的檢測。所以攻擊者無法轉移證據(jù)。被捕獲的數(shù)據(jù)不僅包括的攻擊的方法，而且還包括可識別黑客身份和對其進行起訴的信息。許多黑客都熟知審記記錄，他們知道如何操縱這些文件掩蓋他們的作案痕跡，如何阻止需要這些信息的基于主機的系統(tǒng)去檢測入侵 。 ? 操作系統(tǒng)無關性 基于網(wǎng)絡的 IDS 作為安全監(jiān)測資源，與主機的操作系統(tǒng)無關。與之相比，基于主機的系統(tǒng)必須在特定的、沒有遭到破壞的操作系統(tǒng)中才能正常工作，生成有用的結果。 ? 占資源少 在被保護的 設備上不用占用任何資源。 入侵檢測系統(tǒng) 的發(fā)展趨勢 基于網(wǎng)絡和基于主機的 入侵檢測系統(tǒng) 都有各自的優(yōu)勢，兩者相互補充。這兩種方式都能發(fā)現(xiàn)對方無法檢測到的一些入侵行為。從某個重要服務器的鍵盤發(fā)出的 倍地 攻擊并不經(jīng)過網(wǎng)絡，因此就無法通過基于網(wǎng)絡的 入侵檢測系統(tǒng) 檢測到，只能通過使用基于主機的 入侵檢測系統(tǒng) 來檢測。基于網(wǎng)絡的 入侵檢測系統(tǒng) 通過檢查所有的 數(shù)據(jù) 包 的包頭 （ header）來進行檢測，而基于主機的 入侵檢測系統(tǒng) 并不查看包首標。許多基于 IP 的拒絕服務攻擊和碎片攻擊，只能通過查看它們通過網(wǎng)絡傳輸時的包首標才能識別。 基于網(wǎng)絡的 入侵檢測系統(tǒng) 可以研究負載的內(nèi)容，查找特定攻擊中使用的命令或語法，這類攻擊可以被實時檢查包序列的 入侵檢測系統(tǒng) 迅速識別。而基于主機的系統(tǒng)無法看到負載，因此也無法識別嵌入式的負載攻擊。聯(lián)合使用基于主機和基于網(wǎng)絡這兩種方式能夠達到更好的檢測效果。比如基于主機的 入侵檢測系統(tǒng) 使用系統(tǒng)日志作為檢測依據(jù)，因此它們在確定攻擊是否已經(jīng)取得成功時與基于網(wǎng)絡的檢測系統(tǒng)相比具有更大的準確性。在這方面，基于主機的 入侵檢測系統(tǒng) 對基于網(wǎng)絡的 入侵檢測系統(tǒng) 是一個很好的補充，人們完全可以使用基于網(wǎng)絡的 入侵檢測系統(tǒng)分 布式入侵檢測系統(tǒng)設計與實現(xiàn) 9 提供早期報警，而使用基 于主機的 入侵檢測系統(tǒng) 來驗證攻擊是否取得成功。 在下一代的入侵檢測系統(tǒng)中，將把現(xiàn)在的基于網(wǎng)絡和基于主機這兩種檢測技術很好地集成起來，提供集成化的攻擊簽名、檢測、報告和事件關聯(lián)功能。相信未來的集成化的入侵檢測產(chǎn)品不僅功能更加強大，而且部署和使用上也更加靈活方便。 對各種事件進行分析，從中發(fā)現(xiàn)違反安全策略的行為是入侵檢測系統(tǒng)的核心功能。從技術上，入侵檢測分為兩類：一種基于模式匹配（ signaturebased）的入侵檢測系統(tǒng)，另一種基于異常發(fā)現(xiàn) (anomalybased)的入侵檢測系統(tǒng)。 對于基于模式匹配的檢 測技術來說，首先要定義違背安全策略的事件的特征，如網(wǎng)絡數(shù)據(jù)包的某些頭信息。檢測主要判別所搜集到的數(shù)據(jù)特征是否在所收集到的入侵模式庫中出現(xiàn)。此方法非常類似殺毒軟件。 而基于異常發(fā)現(xiàn)的檢測技術則是先定義一組系統(tǒng)“正?！鼻闆r的閥值，如 CPU利用率、內(nèi)存利用率、文件校驗和等（這類數(shù)據(jù)可以人為定義，也可以通過觀察系統(tǒng)、并用統(tǒng)計的辦法得出），然后將系統(tǒng)運行時的數(shù)值與所定義的“正?！鼻闆r比較，得出是否有被攻擊的跡象。這種檢測方式的核心在于如何分析所系統(tǒng)運行情況。按照所使用的分析方法，可以分為以下幾種入 侵檢測系統(tǒng) ： 1． 基于審 計的攻擊檢測 基于審計信息的攻擊檢測工具以及自動分析工具可以向系統(tǒng)安全管理員報告計算機系統(tǒng)活動的評估報告，通常是脫機的、滯后的。 對攻擊的實時檢測系統(tǒng)的工作原理是基于對用戶歷史行為的建模，以及在早期的證據(jù)或模型的基礎之上。審計系統(tǒng)實時地檢測用戶對系統(tǒng)的使用情況，根據(jù)系統(tǒng)內(nèi)部保持的用戶行為的概率統(tǒng)計模型進行監(jiān)測，當發(fā)現(xiàn)有可疑的用戶行為發(fā)生時，保持跟蹤并監(jiān)測該用戶的行為。 系統(tǒng)應具備處理自適應的用戶參數(shù)的能力。能夠判斷使用行為的合法或可疑。系統(tǒng)應當能夠避免 “ 肅反擴大／縮小化 ” 的問題。這種辦法同樣適用于檢測程序的 行為以及對數(shù)據(jù)資源（如文件或數(shù)據(jù)庫）的存取行為。 2． 基于神經(jīng)網(wǎng)絡的攻擊檢測技術 [12] 如上所述，基于審計統(tǒng)計數(shù)據(jù)的攻擊檢測系統(tǒng)，具有一些天生的弱點，因為用戶的行為可以是非常復雜的，所以想要準確匹配一個用戶的歷史行為和當前的行為是相當困難的。錯發(fā)的警報往往來自于對審計數(shù)據(jù)的統(tǒng)計算法所基于的不準確或不貼切的假設。 SRI 的研究小組利用和發(fā)展神經(jīng)網(wǎng)絡技術來進行攻擊檢測。神經(jīng)網(wǎng)絡可能用于解決傳統(tǒng)的統(tǒng)計分析技術所面臨的以下幾個問題： 分 布式入侵檢測系統(tǒng)設計與實現(xiàn) 10 ● 難于建立確切的統(tǒng)計分布 ● 難于實現(xiàn)方法的普適性 ● 算法實現(xiàn)比較昂貴 ● 系 統(tǒng)臃腫難于剪裁 目前，神經(jīng)網(wǎng)絡技術提出了對基于傳統(tǒng)統(tǒng)計技術的攻擊檢測方法的改進方向，但尚不十分成熟，所以傳統(tǒng)的統(tǒng)計方法仍將繼續(xù)發(fā)揮作用，也仍然能為發(fā)現(xiàn)用戶的異常行為提供相當有參考價值的信息。 3． 基于專家系統(tǒng)的攻擊檢測技術 進行安全檢測工作自動化的另外一個值得重視的研究方向就是基于專家系統(tǒng)的攻擊檢測技術，即根據(jù)安全專家對可疑行為的分析經(jīng)驗來形成一套推理規(guī)則，然后再在此基礎之上構成相應的專家系統(tǒng)。由此專家系統(tǒng)自動進行對所涉及的攻擊操作的分析工作。 所謂專家系統(tǒng)是基于一套由專家經(jīng)驗事先定義的規(guī)則的推理系統(tǒng)。例如 ，在數(shù)分鐘之內(nèi)某個用戶連續(xù)進行登錄，且失敗超過三次就可以被認為是一種攻擊行為。類似的規(guī)則在統(tǒng)計系統(tǒng)似乎也有，同時應當說明的是基于規(guī)則的專家系統(tǒng)或推理系統(tǒng)也有其局限性，因為作為這類系統(tǒng)的基礎的推理規(guī)則一般都是根據(jù)已知的安全漏洞進行安排和策劃的，而對系統(tǒng)的最危險的威脅則主要是來自未知的安全漏洞。實現(xiàn)一個基于規(guī)則的專家系統(tǒng)是一個知識工程問題，而且其功能應當能夠隨著經(jīng)驗的積累而利用其自學習能力進行規(guī)則的擴充和修正。 4． 基于模型推理的攻擊檢測技術 攻擊者在入侵一個系統(tǒng)時往往采用一定的行為程序，如猜測口令的程序，這種 行為程序構成了某種具有一定行為特征的模型，根據(jù)這種模型所代表的攻擊意圖的行為特征，可以實時地檢測出惡意的攻擊企圖，盡管攻擊者并不一定都是惡意的。用基于模型的推理方法人們能夠為某些行為建立特定的模型，從而能夠監(jiān)視具有特定行為特征的某些活動。根據(jù)假設的攻擊腳本，這種系統(tǒng)就能檢測出非法的用戶行為。一般為了準確判斷，要為不同的入侵者和不同的系統(tǒng)建立特定的攻擊腳本。 當有證據(jù)表明某種特定的攻擊模型發(fā)生時，系統(tǒng)應當收集其他證據(jù)來證實或者否定攻擊的真實，以盡可能的避免錯報。 基于模式匹配的檢測技術和基于異常發(fā)現(xiàn)的檢測技術 ，所得出的結論有非常大的差異?；诋惓５臋z測技術的核心是維護一個入侵模式庫。對于已知得攻擊，它可以詳細、準確的報告報告出攻擊類型，但是對未知攻擊卻效果有限，而且入侵模式庫必須不斷更新?；诋惓０l(fā)現(xiàn)的檢測技術則無法準確判別出攻擊的手法，但它可以（至少在理論上可以）發(fā)現(xiàn)更廣泛的、甚至未知的攻擊分法。如果條件允許，兩者結合的檢測分 布式入侵檢測系統(tǒng)設計與實現(xiàn) 11 會達到更好的效果。 CIDF 模型 Common Intrusion Detection Framework (CIDF)闡述了一個入侵檢測系統(tǒng)（ IDS）的通用模型。它將一個入侵檢測 系統(tǒng)分為以下組件： ? 事件產(chǎn)生器（ Event generators） ? 事件分析器（ Event analyzers ? 響應單元（ Response units ） ? 事件數(shù)據(jù)庫（ Event databases ） CIDF 將入侵檢測系統(tǒng)需要分析的數(shù)據(jù)統(tǒng)稱為事件（ event） ,它可以是基于網(wǎng)絡的入侵檢測系統(tǒng)中網(wǎng)絡中的數(shù)據(jù)包，也可以是基于主機的入侵檢測系統(tǒng)從系統(tǒng)日志等其他途徑得到的信息。他也對于各部件之間的信息傳遞格式、通信方法和標準 API 進行了標準化。 事件產(chǎn)生器的目的是從整個計算環(huán)境中獲得事件，并向系統(tǒng)的其他部分提供 此事件。事件分析器分析得到的數(shù)據(jù)，并產(chǎn)生分析結果。響應單元則是對分析結果作出作出反應的功能單元，它可以作出切斷連接、改變文件屬性等強烈反應 ,甚至發(fā)動對攻擊者的反擊，也可以只是簡單的報警。事件數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，它可以是復雜的數(shù)據(jù)庫，也可以是簡單的文本文件。 在現(xiàn)有的入侵檢測系統(tǒng)中，經(jīng)常用數(shù)據(jù)采集部分、分析部分和響應部分來分別代替事件產(chǎn)生器、事件分析器和響應單元這些術語。且常用日志來簡單的指代事件數(shù)據(jù)庫。 CIDF 標準還沒有正式確立，也沒有一個入侵檢測商業(yè)產(chǎn)品完全所用該標準 ,但因為入侵 檢測系統(tǒng)的特殊性，其實各種入侵檢測系統(tǒng)的模型都有很大的相似性。各種入侵檢測系統(tǒng)各自為陣，系統(tǒng)之間的互操作性很差，因此各廠商都在按照 CIDF 進行信息交換的標準化工作。 分 布式入侵檢測系統(tǒng)設計與實現(xiàn) 12 第二章 分布式入侵檢測系統(tǒng) 現(xiàn)有入侵檢測系統(tǒng)的不足 入侵檢測系統(tǒng)不能很好的檢測所有的數(shù)據(jù)包：基于網(wǎng)絡的入侵檢測系統(tǒng)難以跟上網(wǎng)絡速度的發(fā)展。借或網(wǎng)絡的每一個數(shù)據(jù)包，并分析、匹配其中是否具有某種攻擊的特征需要花費時間和系統(tǒng)資源?，F(xiàn)有的入侵檢測系統(tǒng)在 10M網(wǎng)上檢查所有數(shù)據(jù)包中的幾十種攻擊特征時可以很好地工作?，F(xiàn)在很多網(wǎng)絡都是 50M、 100M 甚至千兆網(wǎng)絡，網(wǎng)絡速度的發(fā)展遠遠超過了數(shù)據(jù)包模式分析技術發(fā)展的速度。 攻擊特征庫的更新不及時：絕大多數(shù)的入侵檢測系統(tǒng)都是適用模式匹配的分析方法，這