【文章內(nèi)容簡介】 、分析部分和響應(yīng)部分來分別代替事件產(chǎn)生器、事件分析器和響應(yīng)單元這些術(shù)語。且常用日志來簡單的指代事件數(shù)據(jù)庫。CIDF標(biāo)準(zhǔn)還沒有正式確立，也沒有一個(gè)入侵檢測商業(yè)產(chǎn)品完全所用該標(biāo)準(zhǔn),但因?yàn)槿肭謾z測系統(tǒng)的特殊性，其實(shí)各種入侵檢測系統(tǒng)的模型都有很大的相似性。各種入侵檢測系統(tǒng)各自為陣，系統(tǒng)之間的互操作性很差，因此各廠商都在按照CIDF進(jìn)行信息交換的標(biāo)準(zhǔn)化工作。第二章 分布式入侵檢測系統(tǒng) 現(xiàn)有入侵檢測系統(tǒng)的不足入侵檢測系統(tǒng)不能很好的檢測所有的數(shù)據(jù)包：基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)難以跟上網(wǎng)絡(luò)速度的發(fā)展。借或網(wǎng)絡(luò)的每一個(gè)數(shù)據(jù)包，并分析、匹配其中是否具有某種攻擊的特征需要花費(fèi)時(shí)間和系統(tǒng)資源?，F(xiàn)有的入侵檢測系統(tǒng)在10M網(wǎng)上檢查所有數(shù)據(jù)包中的幾十種攻擊特征時(shí)可以很好地工作。現(xiàn)在很多網(wǎng)絡(luò)都是50M、100M甚至千兆網(wǎng)絡(luò)，網(wǎng)絡(luò)速度的發(fā)展遠(yuǎn)遠(yuǎn)超過了數(shù)據(jù)包模式分析技術(shù)發(fā)展的速度。攻擊特征庫的更新不及時(shí)：絕大多數(shù)的入侵檢測系統(tǒng)都是適用模式匹配的分析方法，這要求攻擊特征庫的特征值應(yīng)該是最新的。但現(xiàn)在很多入侵檢測系統(tǒng)沒有提供了某種如“推技術(shù)”的方法來時(shí)刻更新攻擊特征。在如今每天都有新漏洞發(fā)布、每天都有新的攻擊方法產(chǎn)生的情況下顯然不能滿足安全需求。檢測分析方法單一：攻擊方法的越來越復(fù)雜，單一的基于模式匹配或統(tǒng)計(jì)的分析方法已經(jīng)難以發(fā)現(xiàn)某一些攻擊。另外，基于模式匹配和基于統(tǒng)計(jì)的分析方法各有所長，入侵檢測系統(tǒng)的發(fā)展趨勢是在同一個(gè)系統(tǒng)中同時(shí)使用不同的分析方法?，F(xiàn)在幾乎所有的入侵檢測系統(tǒng)都使用了單一的分析方法。不同的入侵檢測系統(tǒng)之間不能互操作：在大型網(wǎng)絡(luò)中，網(wǎng)絡(luò)不同的部分可能使用了不同的入侵檢測系統(tǒng)，但現(xiàn)在的入侵檢測系統(tǒng)之間不能能夠交換信息，使得發(fā)現(xiàn)了攻擊時(shí)難以找到攻擊的源頭，甚至給入侵者制造了攻擊的漏洞。不能和其他網(wǎng)絡(luò)安全產(chǎn)品互操作：入侵檢測不是安全的終極武器，一個(gè)安全的網(wǎng)絡(luò)中應(yīng)該根據(jù)安全政策使用多種安全產(chǎn)品。但入侵檢測系統(tǒng)不能很好的和其他安全產(chǎn)品協(xié)作。比如，一個(gè)網(wǎng)絡(luò)中每兩個(gè)小時(shí)自動運(yùn)行一次漏洞掃描程序，如果他們不能夠互操作，入侵檢測系統(tǒng)將每兩個(gè)小時(shí)產(chǎn)生一次警報(bào)。結(jié)構(gòu)存在問題：現(xiàn)在的很多入侵檢測系統(tǒng)是從原來的基于網(wǎng)絡(luò)或基于主機(jī)的入侵檢測系統(tǒng)不斷改進(jìn)而得來的，在體系結(jié)構(gòu)等方面不能滿足分布、開放等要求。 主要功能要求一個(gè)成功的入侵檢測系統(tǒng)至少要滿足以下五個(gè)主要功能要求：實(shí)時(shí)性要求：如果攻擊或者攻擊的企圖能夠盡快的被發(fā)現(xiàn)，這就使得有可能查找出攻擊者的位置，阻止進(jìn)一步的攻擊活動，有可能把破壞控制在最小限度，并能夠記錄下攻擊者攻擊過程的全部網(wǎng)絡(luò)活動，并可作為證據(jù)回放。實(shí)時(shí)入侵檢測可以避免常規(guī)情況下，管理員通過的對系統(tǒng)日志進(jìn)行審計(jì)以查找入侵者或入侵行為線索時(shí)的種種不便與技術(shù)上的限制?？蓴U(kuò)展性要求：因?yàn)榇嬖诔汕先f種不同的已知和未知的攻擊手段，它們的攻擊行為特征也各不相同。所以必須建立一種機(jī)制，把入侵檢測系統(tǒng)的體系結(jié)構(gòu)與使用策略區(qū)分開。一個(gè)已經(jīng)建立的入侵檢測系統(tǒng)必須能夠保證在新的攻擊類型出現(xiàn)時(shí)，可以通過某種機(jī)制在無需對入侵檢測系統(tǒng)本身進(jìn)行改動的情況下，使系統(tǒng)能夠檢測到新的攻擊行為。并且在入侵檢測系統(tǒng)的整體功能設(shè)計(jì)上，也必須建立一種可以擴(kuò)展的結(jié)構(gòu)，以便系統(tǒng)結(jié)構(gòu)本身能夠適應(yīng)未來可能出現(xiàn)的擴(kuò)展要求。適應(yīng)性要求：入侵檢測系統(tǒng)必須能夠適用于多種不同的環(huán)境，比如高速大容量計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境，并且在系統(tǒng)環(huán)境發(fā)生改變，比如增加環(huán)境中的計(jì)算機(jī)系統(tǒng)數(shù)量，改變計(jì)算機(jī)系統(tǒng)類型時(shí)，入侵檢測系統(tǒng)應(yīng)當(dāng)依然能夠不作改變正常工作。適應(yīng)性也包括入侵檢測系統(tǒng)本身對其宿主平臺的適應(yīng)性，即：跨平臺工作的能力，適應(yīng)其宿主平臺軟、硬件配置的各種不同情況。安全性與可用性要求：入侵檢測系統(tǒng)必須盡可能的完善與健壯，不能向其宿主計(jì)算機(jī)系統(tǒng)以及其所屬的計(jì)算機(jī)環(huán)境中引入新的安全問題及安全隱患。并且入侵檢測系統(tǒng)應(yīng)該在設(shè)計(jì)和實(shí)現(xiàn)中，因該能夠有針對性的考慮幾種可以預(yù)見的，對應(yīng)于該入侵檢測系統(tǒng)的類型與工作原理的攻擊威脅，及其相應(yīng)的抵御方法。確保該入侵檢測系統(tǒng)的安全性與可用性。有效性要求：能夠證明根據(jù)某一設(shè)計(jì)所建立的入侵檢測系統(tǒng)是切實(shí)有效的。即：對于攻擊事件的錯(cuò)報(bào)與漏報(bào)能夠控制在一定范圍內(nèi)。 系統(tǒng)概述 ODIDS系統(tǒng)是基于部件的分布式入侵檢測系統(tǒng)。系統(tǒng)中的部件(Component)是具有特定功能的獨(dú)立的應(yīng)用程序、小型的系統(tǒng)或者僅僅是一個(gè)非獨(dú)立的應(yīng)用程序的功能模塊。在部署時(shí)，這些部件可能在同一臺計(jì)算機(jī)上，也可以各自分布在一個(gè)大型網(wǎng)絡(luò)的不同地點(diǎn)?？傊?，部件能夠完成某一特定的功能，并且是ODIDS的一部分。部件之間通過統(tǒng)一的網(wǎng)絡(luò)接口進(jìn)行信息交換，這樣既簡化了部件之間的數(shù)據(jù)交換的復(fù)雜性，使得部件非常容易地分布在不同主機(jī)上，也給系統(tǒng)提供了一個(gè)擴(kuò)展的接口。圖2－1 ODID系統(tǒng)框圖 ODIDS的主要部件有：網(wǎng)絡(luò)引擎(Network Engine)、主機(jī)代理(Host Agent)、存儲系統(tǒng)(Storage System)、分析系統(tǒng)(analyzer)、響應(yīng)系統(tǒng)(Response System)、控制臺（Manager Console）。 網(wǎng)絡(luò)引擎和主機(jī)代理屬于CIDF中的事件產(chǎn)生器（Event generators）。網(wǎng)絡(luò)引擎截獲網(wǎng)絡(luò)中的原始數(shù)據(jù)包，并從其中尋找可能的入侵信息或其他敏感信息。主機(jī)代理在所在主機(jī)以各種方法收集信息，包括分析日志、監(jiān)視用戶行為、分析系統(tǒng)調(diào)用、分析該主機(jī)的網(wǎng)絡(luò)通信等。但他們也具有數(shù)據(jù)分析功能，對于已知的攻擊，在這些部件中所用模式匹配的方法來檢測可以大大提高系統(tǒng)的處理速度，也可以減少分析部件的工作量及系統(tǒng)網(wǎng)絡(luò)傳輸?shù)挠绊憽?存儲系統(tǒng)的作用是用來存貯事件產(chǎn)生器捕獲的原始數(shù)據(jù)、分析結(jié)果等重要數(shù)據(jù)。儲存的原始數(shù)據(jù)在對發(fā)現(xiàn)入侵者進(jìn)行法律制裁時(shí)提供確鑿的證據(jù)。存儲系統(tǒng)也是不同部件之間數(shù)據(jù)處理的共享數(shù)據(jù)庫，為系統(tǒng)不同部件提供各自感興趣的數(shù)據(jù)。因此，存儲系統(tǒng)應(yīng)該提供靈活的數(shù)據(jù)維護(hù)、處理和查詢服務(wù)，同時(shí)也是一個(gè)安全的日志系統(tǒng)。 分析系統(tǒng)是對事件發(fā)生器捕獲的原始信息、其他入侵檢測系統(tǒng)提供的可疑信息進(jìn)行統(tǒng)一分析和和處理的系統(tǒng)。分析系統(tǒng)注重于高層次的分析方法，如基于統(tǒng)計(jì)的分析方法、基于神經(jīng)網(wǎng)絡(luò)的分析方法等。同時(shí)負(fù)責(zé)分布式攻擊進(jìn)行檢測。分析系統(tǒng)是整個(gè)入侵檢測系統(tǒng)的大腦，分析方法則是該系統(tǒng)的思維能力。各種分析方法都有各自的優(yōu)勢和不足，因此，系統(tǒng)中分析方法應(yīng)該是可以動態(tài)更換，并且多種算法可以并存的。 響應(yīng)系統(tǒng)是對確認(rèn)的入侵行為采取相應(yīng)措施的子系統(tǒng)。響應(yīng)包括消極的措施，如給管理員發(fā)電子郵件、消息、傳呼等。也可以采取保護(hù)性措施，如切斷入侵者的TCP連接、修改路由器的訪問控制策略等。也可以采取主動的反擊策略，對攻擊者進(jìn)行如DOS攻擊等，但這種以毒攻毒的方法在法律上是不許可的。 控制臺是整個(gè)入侵檢測系統(tǒng)和用戶交互的界面。用戶可以提供控制臺配置系統(tǒng)中的各個(gè)部件，也通過控制臺了解各部件的運(yùn)行情況。 系統(tǒng)部署對于一個(gè)小型的網(wǎng)絡(luò)，一般把分析系統(tǒng)、存儲系統(tǒng)和控制臺安裝在同一個(gè)計(jì)算機(jī)上，這既是從系統(tǒng)成本上考慮，也可以增加整個(gè)系統(tǒng)的反應(yīng)速度。在大型網(wǎng)絡(luò)中，分析系統(tǒng)工作負(fù)載大、存儲系統(tǒng)工作量也大，所以應(yīng)該分布在不同的計(jì)算機(jī)上。一個(gè)比較典型的小型網(wǎng)絡(luò)上的ODIDS部署圖為:圖2－2 ODIDS典型部署圖對于主機(jī)型IDS，其數(shù)據(jù)采集部分當(dāng)然位于其所監(jiān)測的主機(jī)上。基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)需要有檢測器才能工作。如果檢測器放的位置不正確，入侵檢測系統(tǒng)也無法工作在最佳狀態(tài)。一般說來檢測器放在防火墻附近比較好。1. 放在防火墻之外入侵檢測器通常放置在防火墻外的DMZ中 ( Demilitarized Zone, 非軍事區(qū) )。DMZ 是介于ISP和最外端防火墻界面之間的區(qū)域。這種安排使檢測器可以看見所有來自Internet 的攻擊，然而如果攻擊類型是TCP攻擊，而防火墻或過濾路由器能封鎖這種攻擊，那么入侵檢測系統(tǒng)可能就檢測不到這種攻擊的發(fā)生。因?yàn)樵S多攻擊類型只能通過檢測是否與字符串特征一致才能被發(fā)現(xiàn)，而字符串的傳送只有在TCP 3次握手才能進(jìn)行。雖然放在防火墻外的檢測器無法檢測到攻擊，但那種位置仍然是對攻擊進(jìn)行檢測的最佳位置。這樣做對站點(diǎn)的好處就是：可以看到自己的站點(diǎn)和防火墻暴露在多少種攻擊之下。2. 檢測器在防火墻內(nèi)有一些研究者認(rèn)為檢測器應(yīng)放在防火墻內(nèi)部，這種做法也有幾個(gè)充分理由，他們認(rèn)為，如果攻擊者能夠發(fā)現(xiàn)檢測器，就可能會對檢測器進(jìn)行攻擊，從而減小攻擊者的行動被審計(jì)的機(jī)會，防火墻內(nèi)的系統(tǒng)會比外面的系統(tǒng)脆弱性少一些，如果檢測器在防火墻內(nèi)就會少一些干擾，從而有可能減少誤報(bào)警 。如果本應(yīng)該被防火墻封鎖的攻擊滲透近來，檢測器在防火墻內(nèi)檢測到或就能發(fā)現(xiàn)防火墻的設(shè)置失誤。也許將檢測器放在防火墻內(nèi)部的最大理由就是設(shè)置良好的防火墻能夠阻止大部分的“幼稚腳本”的攻擊，使檢測器不用將大部分的注意力分散在這類攻擊上。設(shè)置良好的防火墻確實(shí)阻止了大部分低層次的攻擊，人們也確實(shí)把太多的注意力放在檢測和分析這些低層次的攻擊上了。3. 防火墻內(nèi)外都有檢測器 “越多越好”、“各有優(yōu)勢”你可能聽過這類口號。它們可不僅僅是個(gè)口號。我在防火墻內(nèi)外多防止了檢測器。如果你的機(jī)構(gòu)有足夠的經(jīng)費(fèi)這么做，會有如下優(yōu)點(diǎn)：l 你無須猜測是否有攻擊滲透過防火墻。l 你可以檢測來自內(nèi)部和外部的攻擊。l 你可以檢測到由于設(shè)置有問題而無法通過防火墻的內(nèi)部系統(tǒng)，這可以幫助系統(tǒng)管理員。如果你們機(jī)構(gòu)使用的是昂貴的入侵檢測系統(tǒng)解決方案，那么就不值得用這種檢測器放置方法，如果你使用內(nèi)外雙重檢測器，那就用防火墻內(nèi)部的監(jiān)測器做為緊急報(bào)警的裝置。4. 檢測器的其他位置檢測器最通常的位置在防火墻外，但這當(dāng)然不是唯一一個(gè)對機(jī)構(gòu)有利的擺放位置。許多入侵檢測系統(tǒng)都可以在不同位置支持機(jī)構(gòu)，這些檢測器可能在：l 與你有直接聯(lián)系的合伙人和經(jīng)常在防火墻內(nèi)的供應(yīng)商處；l 高價(jià)值的地方，比如研究或會計(jì)網(wǎng)絡(luò)；l 有大量不穩(wěn)定雇員（例如顧問或臨時(shí)職員）的地方；l 已被外部人員當(dāng)作目標(biāo)的子網(wǎng)或是已有跡象顯示有入侵和其他非法活動的子網(wǎng)。關(guān)于檢測器放置的最后一個(gè)問題就是它與誰連接。網(wǎng)絡(luò)在不斷地升級到交換VLAN環(huán)境中。檢測器可以工作在這種環(huán)境中，但如果交換機(jī)的跨接端口沒有正確設(shè)置，入侵檢測將無法進(jìn)行工作。如果檢測器要在交換網(wǎng)絡(luò)中工作，就必須對它進(jìn)行測試。TCP是雙向協(xié)議，分析員必須確保計(jì)策器能從對話雙方接收信息。還必須對檢測器進(jìn)行測試以保證它能從交換位置可靠地發(fā)送數(shù)據(jù)。有必要被檢測器配置兩塊接口卡，一塊連接到網(wǎng)絡(luò)跨接端口用于監(jiān)聽混雜模式（監(jiān)聽所有數(shù)據(jù)包，不管它們是否是發(fā)給檢測器）的，另一塊連接到單獨(dú)VLAN用來與分析工作站進(jìn)行通信。對于交換式以太網(wǎng)交換機(jī)，問題則會變得復(fù)雜。由于交換機(jī)不采用共享媒質(zhì)的辦法，傳統(tǒng)的采用一個(gè)sniffer來監(jiān)聽整個(gè)子網(wǎng)的辦法不再可行?？山鉀Q的辦法有：1．交換機(jī)的核心芯片上一般有一個(gè)用于調(diào)試的端口（span port），任何其他端口的進(jìn)出信息都可從此得到。如果交換機(jī)廠商把此端口開放出來，用戶可將IDS系統(tǒng)接到此端口上。優(yōu)點(diǎn)：無需改變IDS體系結(jié)構(gòu)。缺點(diǎn)：采用此端口會降低交換機(jī)性能。2．把入侵檢測系統(tǒng)放在交換機(jī)內(nèi)部或防火墻內(nèi)部等數(shù)據(jù)流的關(guān)鍵入口、出口。優(yōu)點(diǎn)：可得到幾乎所有關(guān)鍵數(shù)據(jù)。缺點(diǎn)：必須與其他廠商緊密合作，且會降低網(wǎng)絡(luò)性能。3．采用分接器（Tap），將其接在所有要監(jiān)測的線路上。采用分接器的網(wǎng)絡(luò)結(jié)構(gòu)如下：圖23 分接器部署優(yōu)點(diǎn)：再不降低網(wǎng)絡(luò)性能的前提下收集了所需的信息。缺點(diǎn)：必須購買額外的設(shè)備(Tap)；若所保護(hù)的資源眾多，IDS必須配備眾多網(wǎng)絡(luò)接口。4．使用具有網(wǎng)絡(luò)接口檢測功能的主機(jī)代理。第三章 網(wǎng)絡(luò)引擎和主機(jī)代理 網(wǎng)絡(luò)引擎的設(shè)計(jì)網(wǎng)絡(luò)引擎通過分析網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包，得到可能入侵的信息。他不單單是一個(gè)數(shù)據(jù)產(chǎn)生和傳輸?shù)墓ぞ?，也具有一定的分析能力。他的功能基本上相?dāng)于一個(gè)完整的基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。 檢測匹配方法的改進(jìn)模式匹配是第一代和第二代入侵檢測系統(tǒng)所使用的基于攻擊特征的網(wǎng)絡(luò)數(shù)據(jù)包分析技術(shù)。他的分析速度快、誤報(bào)率小等優(yōu)點(diǎn)是其它分析方法不可比擬的。單純使用模式匹配的方法有很大的弊端，在網(wǎng)絡(luò)引擎中我們使用協(xié)議分析和模式匹配結(jié)合的方法來分析網(wǎng)絡(luò)數(shù)據(jù)包。單純的模式匹配方法的工作過程如下：1〕 分析網(wǎng)絡(luò)上的每一個(gè)數(shù)據(jù)包是否具有某種攻擊特征。分析如下：2〕 從網(wǎng)絡(luò)數(shù)據(jù)包的包頭開始和攻擊特征比較3〕 如果比較結(jié)果相同，則檢測到一個(gè)可能的攻擊4〕 如果比較結(jié)果不同，從網(wǎng)絡(luò)數(shù)據(jù)包中下一個(gè)位置重新開始比較。5〕 直到檢測到攻擊或網(wǎng)絡(luò)數(shù)據(jù)包中的所有字節(jié)匹配完畢，一個(gè)攻擊特征匹配結(jié)束6〕 對于每一個(gè)攻擊特征，重復(fù)2〕開始的比較。7〕 直到每一個(gè)攻擊特征匹配完畢，對給數(shù)據(jù)包的匹配完畢。下面給出一個(gè)例子可以很高的說明其工作原理。AF7*Hy289s820800B9v5yt$0611tbhk76500801293ugdB2%00397e3912345678901234567890123456789012345678901234567890123456為監(jiān)聽到的網(wǎng)絡(luò)數(shù)據(jù)包，對于攻擊模式“GET /cgibin/./phf”，首先從數(shù)據(jù)包頭部開始比較：GET /cgibin/./phfAF7*Hy289s820800B9v5yt$0611tbhk76500801293ugdB2%00397e3912345678901234567890123456789012345678901234567890123456比較不成功，移動一個(gè)字節(jié)重新比較/cgibin/./phfAF7*Hy289s820800B9v5yt$0611tbhk76500801293ugdB2%00397e3912345678901234567890123456789012345678901234567890123456還是不成功，再移動一次:GET /cgibin/./phfAF7*Hy289s820800B9v5yt$0611tbhk76500801293ugdB2%00397e3912345678901234567890123456789012345678901