【文章內(nèi)容簡介】 擊其它系統(tǒng)，并偷取敏感的私有信息等等。 入侵檢測技術(shù)的第二步 —— 信號分析 當(dāng)收集到證據(jù)后，用戶判斷它是否就是入侵呢？一般來說， IDS 有 一個知識庫，知識庫記錄了特定的安全策略。 IDS 獲得信息后，與知識庫中的安全策略進(jìn)行比較，進(jìn)而發(fā)現(xiàn)違反規(guī)定的安全策略的行為。 定義知識庫有很多種方式，最普遍的做法是檢測技術(shù)報(bào)文國是否含有攻擊特征。知識庫給出何種報(bào)文是攻擊的定義。這種方式的實(shí)現(xiàn)由簡單到復(fù)雜分了幾個層次，主要差別在于檢測技術(shù)的準(zhǔn)確性和效率上。簡單的實(shí)現(xiàn)方法是把攻擊特征和報(bào)文的數(shù)據(jù)進(jìn)行了字符串比較，發(fā)現(xiàn)匹配即報(bào)警。這種做法使準(zhǔn)確性和工作效率大為降低。為此，開發(fā)人員還有很多工作要做，如進(jìn)行校驗(yàn)和檢查，進(jìn)行 IP 碎片重組或 TCP 重組，實(shí)現(xiàn)協(xié)議解碼等等。 構(gòu)建知識庫的多種方法只是手段，目的是準(zhǔn)確定義入侵行不，這是 IDS 的核心，也是 IDS 和普通的網(wǎng)上行為管理軟件的差別所在。雖然它們都能監(jiān)視網(wǎng)絡(luò)行為，但是 IDS增加了記錄攻擊牲的知識庫，所以比風(fēng)上行為管理軟件提高了一個層次。而定義攻擊特征是一項(xiàng)專業(yè)性很強(qiáng)的工作，需要具有豐富安全背景的專家從眾多的攻擊行為中提煉出 通用的攻擊特征，攻擊特征的準(zhǔn)確性直接決定了 IDS 檢測技術(shù)的準(zhǔn)確性。 對上壕四類收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為等信息，一般通過三種技術(shù)手段進(jìn)行分析：模式匹配，統(tǒng)計(jì)分析和完整 性分析。其中前兩各方法用于實(shí)時的入侵檢測技術(shù)，而完整性分析內(nèi)里用于事后分析。 模式匹配 模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。該過程可以很簡單（如通過字符串匹配以尋找一個簡單的條目或指令），也可以很復(fù)雜（如利用下規(guī)的數(shù)學(xué)表達(dá)式來表示安全狀態(tài)的變化）。一般來講，一種進(jìn)攻模式可以用一個過程（如執(zhí)行一條指令）或一個輸出（如獲得權(quán)限）來表示。該方法的一個優(yōu)點(diǎn)只需收集相關(guān)的數(shù)據(jù)集合，顯著減少系統(tǒng)負(fù)擔(dān)，且技術(shù)已相當(dāng)成熟。它與病毒防火墻采用 的方法一樣，檢測技術(shù)準(zhǔn)確率和效率都相當(dāng)高。但是，該方法存在的弱點(diǎn)是需要不斷的升級以對付不斷出現(xiàn)的黑客攻擊手法，不能檢測技術(shù)到從未出現(xiàn)過的黑客攻擊手段。 統(tǒng)計(jì)分析 統(tǒng)計(jì)分析方法首先給系統(tǒng)對象（如用戶、文件、目錄和設(shè)備等）創(chuàng)建一個統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時的一些測量屬性（如訪問次數(shù)、操作失敗數(shù)和延時等）。測量屬性的平均值將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，任何觀察值在正常值范圍之外時，就認(rèn)為有入侵發(fā)生。例如，統(tǒng)計(jì)分析可能標(biāo)識一個不正常行為，因?yàn)樗l(fā)現(xiàn)一個在晚八點(diǎn)至早六點(diǎn)不登錄的帳肩戶卻在凌晨 兩點(diǎn)試圖登錄。其優(yōu)點(diǎn)是可檢測技術(shù)到未知的入侵和更為復(fù)雜的入侵，缺點(diǎn)是誤報(bào)、漏報(bào)率高，且不適應(yīng)用戶正常行為的突然改變。具體的統(tǒng)計(jì)分析方法如基于專家系統(tǒng)的、基于模型推理的和基于神經(jīng)網(wǎng)絡(luò)的分析方法，目前正處于研究熱點(diǎn)和迅速發(fā)展之中。 完整性分析 完整性分析主要關(guān)注某個文件或?qū)ο笫欠癖桓?，這經(jīng)常包括文件和目錄的內(nèi)容及屬性，它在發(fā)現(xiàn)被更改的、被絡(luò)伊化的應(yīng)用程序方面特別有效。完整性分析利用強(qiáng)有力的加密機(jī)制，稱為消息摘要函數(shù)（例如 MD5），它能識別哪怕是成功的攻擊導(dǎo)致了文件或其它對象的任何改變，它都能夠發(fā)現(xiàn) 。缺點(diǎn)是一般以批處理方式實(shí)現(xiàn)，不用于實(shí)時響應(yīng)。 盡管如此，完整性檢測技術(shù)方法還應(yīng)該是網(wǎng)絡(luò)安全產(chǎn)品的必要手段之一。 4 入侵檢測技術(shù)功能概要 監(jiān)督并分析用戶和系統(tǒng)的活動 檢查系統(tǒng)配置和漏洞 檢查關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性 識別代表已知攻擊的活動模式 對反常行不模式的統(tǒng)計(jì)分析 對操作系統(tǒng)的校驗(yàn)管理，判斷是否有破壞安全的用戶活動 提高了系統(tǒng)的監(jiān)察能力 跟蹤用戶從進(jìn)入到退出的所有活動或影響 識別并報(bào)告數(shù)據(jù)文件的改動 發(fā)現(xiàn)系 統(tǒng)配置的錯誤，必要時予以更正 識別特定類型的攻擊，并向相應(yīng)人員報(bào)警，以作出防御反應(yīng) 可使系統(tǒng)管理人員最新的版本升級添加到程序中 允許非專家人員從事系統(tǒng)安全工作 為信息安全策略的創(chuàng)建提供指導(dǎo) 入侵檢測技術(shù)作為一種積極主動地安全防護(hù)技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。從網(wǎng)絡(luò)安全立體縱深、多層次防御的角度出發(fā)，入侵檢測技術(shù)理應(yīng)受到人們的高度重視，這從國外入侵檢測技術(shù)產(chǎn)品市場蓬勃發(fā)展就可以看出。在國內(nèi)，隨著上網(wǎng)的關(guān)鍵部門、關(guān)鍵業(yè)務(wù) 越來越多，迫切需要具有自主版權(quán)的入侵檢測技術(shù)產(chǎn)品。但 現(xiàn)狀是入侵檢測技術(shù)僅僅停留在研究和實(shí)驗(yàn)樣品（缺乏升級和服務(wù)）階段，或者是防火墻中集成較為初級的入侵檢測技術(shù)模塊?？梢姡肭謾z測技術(shù)產(chǎn)品仍具有較大的發(fā)展空間，從技術(shù)途徑來講，我們認(rèn)為，除了完善常規(guī)的、傳統(tǒng)的技術(shù)（模式識別和完整性檢測技術(shù)）外，應(yīng)重點(diǎn)加強(qiáng)統(tǒng)計(jì)分析的相關(guān)技術(shù)研究。 5 入侵檢測技術(shù)分析 入侵分析的任務(wù)就是在提取到的龐大的數(shù)據(jù)中找到入侵的痕跡。入侵分析過程需要將提取到的事件與入侵檢測技術(shù)規(guī)則進(jìn)行比較，從而發(fā)現(xiàn)入侵行為。一方面入侵檢測技術(shù) 系統(tǒng)需要盡可能多地提取數(shù)據(jù)以獲得足夠的入侵證據(jù)，而另一方面由于入侵行為的千變?nèi)f化而導(dǎo)致判定入侵的規(guī)則越來越復(fù)雜，為了保證入侵檢測技術(shù)的效率和滿足實(shí)時性的要求，入侵分析必須在系統(tǒng)的性能和檢測技術(shù)能力之間進(jìn)行權(quán)衡，合理地設(shè)計(jì)分析策略，并且可能要犧牲一部分檢測技術(shù)能力來保證系統(tǒng)可靠、穩(wěn)定地運(yùn)行并具有較快的響應(yīng)速度。 分析策略是入侵分析的核心，系統(tǒng)檢測技術(shù)能力很大程度上取決于分析策略。在實(shí)現(xiàn)上，分析策略通常定義為一些完全獨(dú)立的檢測技術(shù)規(guī)則。基于網(wǎng)絡(luò)的入侵檢測技術(shù)系統(tǒng)通常使用報(bào)文的模式匹配或模式匹配序列來定義規(guī)則，檢測技術(shù)時將監(jiān)聽到的報(bào)文與模式匹配序列進(jìn)行比較，根據(jù)比較的結(jié)果來判斷是否有非正常的網(wǎng)絡(luò)行為。這樣以來，一個入侵行為能不能被檢測技術(shù)出來主要就看該入侵行為的過程或其關(guān)鍵特征能不能映射到基于網(wǎng)絡(luò)報(bào)文的匹配模式序列上去。有的入侵行為很容易映射，如 ARP 欺騙，但有的入侵行為是很難映射的，如從網(wǎng)絡(luò)上下載病毒。對于有的入侵行 為，即使理論上可以進(jìn)行映射，但是在實(shí)現(xiàn)上是不可行的，比如說有的網(wǎng)絡(luò)行為需要經(jīng)過非常復(fù)雜的步驟或較長的過程才能表現(xiàn)其入侵特性，這樣的行為由于具有非常龐大的模式匹配序列，需要綜合大量的數(shù)據(jù)報(bào)文來進(jìn)行匹配，因而在實(shí)際上是不可行的。而有的入侵行為由于需要進(jìn)行多層協(xié)議分析或有較強(qiáng)的上下文關(guān)系，需要消耗大量的處理能力來進(jìn)行檢測技術(shù)，因而在實(shí)現(xiàn)上也有很大的難度。 入侵分析按其檢測技術(shù)規(guī)則分類 基于特征的檢測技術(shù)規(guī)則 這種分析規(guī)則認(rèn)為入侵行為是可以用特征代碼來標(biāo)識的。比如說，對于嘗試帳號的入侵，雖然合法 用戶登錄和入侵者嘗試的操作過程是一樣的，但返回結(jié)果是不同的，入侵者返回的是嘗試失敗的報(bào)文，因此，只要提取嘗試失敗的報(bào)文中的關(guān)鍵字段或位組作為特征代碼，將它定義為檢測技術(shù)規(guī)則，就可以用來檢測技術(shù)該類入侵行為。這樣，分析策略就由若干條檢測技術(shù)規(guī)則構(gòu)成，每條檢測技術(shù)規(guī)則就是一個特征代碼，通過將數(shù)據(jù)與特征代碼比較的方式來發(fā)現(xiàn)入侵。 基于統(tǒng)計(jì)的檢測技術(shù)規(guī)則 這種分析規(guī)則認(rèn)為入侵行為應(yīng)該符合統(tǒng)計(jì)規(guī)律。例如，系統(tǒng)可以認(rèn)為一次密碼嘗試失敗并不算是入侵行為，因?yàn)榈拇_可能是合法用戶輸入失誤，但是如果在一分鐘內(nèi)有 8 次以 上同樣的操作就不可能完全是輸入失誤了，而可以認(rèn)定是入侵行為。因此，組成分析策略的檢測技術(shù)規(guī)則就是表示行為頻度的閥值，通過檢測技術(shù)出行為并統(tǒng)計(jì)其數(shù)量和頻度就可以發(fā)現(xiàn)入侵。 這兩種檢測技術(shù)規(guī)則各有其適用范圍，不同的入侵行為可能適應(yīng)于不同的規(guī)則，但就系統(tǒng)實(shí)現(xiàn)而言，由于基于統(tǒng)計(jì)檢測技術(shù)規(guī)則的入侵分析需要保存更多的檢測技術(shù)狀態(tài)和上下關(guān)系而需要消耗更多的系統(tǒng)處理能力和資源，實(shí)現(xiàn)難度相對較大。 一些新的分析技術(shù) 近幾年，為了改進(jìn)入侵檢測技術(shù)的分析技術(shù)，許多研究人員從各個方向入手，發(fā)展了一些新的分析方法，對于提高 入侵檢測技術(shù)系統(tǒng)的正確性、可適應(yīng)性等起到了一定的推動作用。下面是幾個不同的方向。 統(tǒng)計(jì)學(xué)方法 統(tǒng)計(jì)模型常用于對異常行為的檢測技術(shù) ,在統(tǒng)計(jì)模型中常用的測量參數(shù)包括審計(jì)事件的數(shù)量、間隔時間、資源消耗情況等。目前提出了可用于入侵檢測技術(shù)的 5 種統(tǒng)計(jì)模型包括： (1) 操作模型 :該模型假設(shè)異?？赏ㄟ^測量結(jié)果與一些固定指標(biāo)相比較得到 ,固定指標(biāo)可以根據(jù)經(jīng)驗(yàn)值或一段時間內(nèi)的統(tǒng)計(jì)平均得到 ,舉例來說 ,在短時間內(nèi)的多次失敗的登錄很可能是口令嘗試攻擊。 (2) 方差 :計(jì)算參數(shù)的方差 ,設(shè)定其置信區(qū)間 ,當(dāng)測量值超過置信區(qū)間 的范圍時表明有可能是異常。 (3) 多元模型 :操作模型的擴(kuò)展 ,通過同時分析多個參數(shù)實(shí)現(xiàn)檢測技術(shù)。 (4) 馬爾柯夫過程模型 :將每種類型的事件定義為系統(tǒng)狀態(tài) ,用狀態(tài)轉(zhuǎn)移矩陣來表示狀態(tài)的變化 ,若對應(yīng)于發(fā)生事件的狀態(tài)矩陣中轉(zhuǎn)移概率較小 ,則該事件可能是異常事件。 (5) 時間序列分析 :將事件計(jì)數(shù)與資源耗用根據(jù)時間排成序列 ,如果一個新事件在該時間發(fā)生的概率較低 ,則該事件可能是入侵。 入侵檢測技術(shù)的統(tǒng)計(jì)分析首先計(jì)算用戶會話過程的統(tǒng)計(jì)參數(shù) ,再進(jìn)行與閾值比較處理與加權(quán)處理 ,最終通過計(jì)算其 可疑 概率分析其為入侵事件的可能性 。統(tǒng)計(jì)方法的最大優(yōu)點(diǎn)是它可以 學(xué)習(xí) 用戶的使用習(xí)慣 ,從而具有較高檢出率與可用性。但是它的 學(xué)習(xí) 能力也給入侵者以機(jī)會通過逐步 訓(xùn)練使入侵事件符合正常操作的統(tǒng)計(jì)規(guī)律 ,從而透過入侵檢測技術(shù)系統(tǒng)。 入侵檢測技術(shù)的軟計(jì)算方法 入侵檢測技術(shù)的方法可有多種 ,針對異常入侵行為檢測技術(shù)的策略與方法往往也不是固定的 ,智能計(jì)算技術(shù)在入侵檢測技術(shù)中的應(yīng)用將大大提高檢測技術(shù)的效率與準(zhǔn)確性。所謂軟計(jì)算的方法包含了神經(jīng)網(wǎng)絡(luò)、遺傳算法與模糊技術(shù)。 基于專家系統(tǒng)的入侵檢測技術(shù)方法 基于專家系統(tǒng)的入侵檢測技術(shù)方法與 運(yùn)用統(tǒng)計(jì)方法與神經(jīng)網(wǎng)絡(luò)對入侵進(jìn)行檢測技術(shù)的方法不同 ,用專家系統(tǒng)對入侵進(jìn)行檢測技術(shù) ,經(jīng)常是針對有特征的入侵行為。 所謂的規(guī)則 ,即是知識。不同的系統(tǒng)與設(shè)置具有不同的規(guī)則 ,且規(guī)則之間往往無通用性。專家系統(tǒng)的建立依賴于知識庫的完備性 ,知識庫的完備性又取決于審計(jì)記錄的完備性與實(shí)時性。特征入侵的特征抽取與表達(dá) ,是入侵檢測技術(shù)專家系統(tǒng)的關(guān)鍵。將有關(guān)入侵的知識轉(zhuǎn)化為 ifthen 結(jié)構(gòu) (也可以是復(fù)合結(jié)構(gòu) ),if 部分為入侵特征 ,then 部分是系統(tǒng)防范措施。 運(yùn)用專家系統(tǒng)防范有特征入侵行為的有效性完全取決于專家系統(tǒng)知識庫的完備性 ,建立一個完備的知識庫對于一個大型網(wǎng)絡(luò)系統(tǒng)往往是不可能的 ,且如何根據(jù)審計(jì)記錄中的事件 ,提取狀態(tài)行為與語言環(huán)境也是較困難的。例如 ,ISS 公司為了建立比較完備的專家系統(tǒng) ,一方面與地下組織建立良好關(guān)系 ,并成立由許多工作人員與專家組成的 XForce 組織來進(jìn)行這一工作。 由于專家系統(tǒng)的不可移植性與規(guī)則的不完備性?，F(xiàn)已不宜單獨(dú)用于入侵檢測技術(shù) ,或單獨(dú)形成商品軟件。較適用的方法是將專家系統(tǒng)與采用軟計(jì)算方法技術(shù)的入侵檢測技術(shù)系統(tǒng)結(jié)合在一起 ,構(gòu)成一個以已知的入侵規(guī)則為基礎(chǔ) ,可擴(kuò)展的動態(tài)入侵事件檢測技術(shù)系統(tǒng) ,自適應(yīng)地進(jìn)行特征 與異常檢測技術(shù) ,實(shí)現(xiàn)高效的入侵檢測技術(shù)及其防御。 6 入侵檢測技術(shù)發(fā)展方向 可以看到 ,在入侵檢測技術(shù)技術(shù)發(fā)展的同時 ,入侵技術(shù)也在更新 ,一些地下組織已經(jīng)將如何繞過IDS 或攻擊 IDS 系統(tǒng)作為研究重點(diǎn)。高速網(wǎng)絡(luò) ,尤其是交換技術(shù)的發(fā)展以及通過加密信道的數(shù)據(jù)通信 ,使得通過共享網(wǎng)段偵聽的網(wǎng)絡(luò)數(shù)據(jù)采集方法顯得不足 ,而大量的通信量對數(shù)據(jù)分析也提出了新的要求。隨著信息系統(tǒng)對一個國家的社會生產(chǎn)與國民經(jīng)濟(jì)的影響越來越重要 ,信息戰(zhàn)已逐步被各個國家重視 ,信息戰(zhàn)中的主要攻擊 武器 之一就是網(wǎng)絡(luò)的入侵技術(shù) ,信息戰(zhàn)的防 御主要包括 保護(hù) 、 檢測技術(shù) 與 響應(yīng) ,入侵檢測技術(shù)則是其中 檢測技術(shù) 與 響應(yīng) 環(huán)節(jié)不可缺少的部分。近年對入侵檢測技術(shù)技術(shù)有幾個主要發(fā)展方向 : 分布式入侵檢測技術(shù)與通用入侵檢測技術(shù)架構(gòu) 傳統(tǒng)的 IDS 一般局限于單一的主機(jī)或網(wǎng)絡(luò)架構(gòu) ,對異構(gòu)系統(tǒng)及大規(guī)模的網(wǎng)絡(luò)的監(jiān)測明顯不足。同時不同的 IDS 系統(tǒng)之間不能協(xié)同工作能力 ,為解決這一問題 ,需要分布式入侵檢測技術(shù)技術(shù)與通用入侵檢測技術(shù)架構(gòu)。 CIDF 以構(gòu)建通用的 IDS 體系結(jié)構(gòu)與通信系統(tǒng)為目標(biāo) ,GrIDS 跟蹤與分析分布系統(tǒng)入侵 ,EMERALD 實(shí)現(xiàn)在大規(guī)模的網(wǎng)絡(luò)與 復(fù)雜環(huán)境中的入侵檢測技術(shù)。 應(yīng)用層入侵檢測技術(shù) 許多入侵的語義只有在應(yīng)用層才能理解 ,而目前的 IDS 僅能檢測技術(shù)如 WEB 之類的通用協(xié)議 ,而不能處理如 LotusNotes、數(shù)