【文章內(nèi)容簡介】 、分析部分和響應(yīng)部分來分別代替事件產(chǎn)生器、事件分析器和響應(yīng)單元這些術(shù)語。且常用日志來簡單的指代事件數(shù)據(jù)庫。CIDF標準還沒有正式確立，也沒有一個入侵檢測商業(yè)產(chǎn)品完全所用該標準,但因為入侵檢測系統(tǒng)的特殊性，其實各種入侵檢測系統(tǒng)的模型都有很大的相似性。各種入侵檢測系統(tǒng)各自為陣，系統(tǒng)之間的互操作性很差，因此各廠商都在按照CIDF進行信息交換的標準化工作。第二章 分布式入侵檢測系統(tǒng) 現(xiàn)有入侵檢測系統(tǒng)的不足入侵檢測系統(tǒng)不能很好的檢測所有的數(shù)據(jù)包：基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)難以跟上網(wǎng)絡(luò)速度的發(fā)展。借或網(wǎng)絡(luò)的每一個數(shù)據(jù)包，并分析、匹配其中是否具有某種攻擊的特征需要花費時間和系統(tǒng)資源。現(xiàn)有的入侵檢測系統(tǒng)在10M網(wǎng)上檢查所有數(shù)據(jù)包中的幾十種攻擊特征時可以很好地工作?，F(xiàn)在很多網(wǎng)絡(luò)都是50M、100M甚至千兆網(wǎng)絡(luò)，網(wǎng)絡(luò)速度的發(fā)展遠遠超過了數(shù)據(jù)包模式分析技術(shù)發(fā)展的速度。攻擊特征庫的更新不及時：絕大多數(shù)的入侵檢測系統(tǒng)都是適用模式匹配的分析方法，這要求攻擊特征庫的特征值應(yīng)該是最新的。但現(xiàn)在很多入侵檢測系統(tǒng)沒有提供了某種如“推技術(shù)”的方法來時刻更新攻擊特征。在如今每天都有新漏洞發(fā)布、每天都有新的攻擊方法產(chǎn)生的情況下顯然不能滿足安全需求。檢測分析方法單一：攻擊方法的越來越復(fù)雜，單一的基于模式匹配或統(tǒng)計的分析方法已經(jīng)難以發(fā)現(xiàn)某一些攻擊。另外，基于模式匹配和基于統(tǒng)計的分析方法各有所長，入侵檢測系統(tǒng)的發(fā)展趨勢是在同一個系統(tǒng)中同時使用不同的分析方法?，F(xiàn)在幾乎所有的入侵檢測系統(tǒng)都使用了單一的分析方法。不同的入侵檢測系統(tǒng)之間不能互操作：在大型網(wǎng)絡(luò)中，網(wǎng)絡(luò)不同的部分可能使用了不同的入侵檢測系統(tǒng)，但現(xiàn)在的入侵檢測系統(tǒng)之間不能能夠交換信息，使得發(fā)現(xiàn)了攻擊時難以找到攻擊的源頭，甚至給入侵者制造了攻擊的漏洞。不能和其他網(wǎng)絡(luò)安全產(chǎn)品互操作：入侵檢測不是安全的終極武器，一個安全的網(wǎng)絡(luò)中應(yīng)該根據(jù)安全政策使用多種安全產(chǎn)品。但入侵檢測系統(tǒng)不能很好的和其他安全產(chǎn)品協(xié)作。比如，一個網(wǎng)絡(luò)中每兩個小時自動運行一次漏洞掃描程序，如果他們不能夠互操作，入侵檢測系統(tǒng)將每兩個小時產(chǎn)生一次警報。結(jié)構(gòu)存在問題：現(xiàn)在的很多入侵檢測系統(tǒng)是從原來的基于網(wǎng)絡(luò)或基于主機的入侵檢測系統(tǒng)不斷改進而得來的，在體系結(jié)構(gòu)等方面不能滿足分布、開放等要求。 主要功能要求一個成功的入侵檢測系統(tǒng)至少要滿足以下五個主要功能要求：實時性要求：如果攻擊或者攻擊的企圖能夠盡快的被發(fā)現(xiàn)，這就使得有可能查找出攻擊者的位置，阻止進一步的攻擊活動，有可能把破壞控制在最小限度，并能夠記錄下攻擊者攻擊過程的全部網(wǎng)絡(luò)活動，并可作為證據(jù)回放。實時入侵檢測可以避免常規(guī)情況下，管理員通過的對系統(tǒng)日志進行審計以查找入侵者或入侵行為線索時的種種不便與技術(shù)上的限制?？蓴U展性要求：因為存在成千上萬種不同的已知和未知的攻擊手段，它們的攻擊行為特征也各不相同。所以必須建立一種機制，把入侵檢測系統(tǒng)的體系結(jié)構(gòu)與使用策略區(qū)分開。一個已經(jīng)建立的入侵檢測系統(tǒng)必須能夠保證在新的攻擊類型出現(xiàn)時，可以通過某種機制在無需對入侵檢測系統(tǒng)本身進行改動的情況下，使系統(tǒng)能夠檢測到新的攻擊行為。并且在入侵檢測系統(tǒng)的整體功能設(shè)計上，也必須建立一種可以擴展的結(jié)構(gòu)，以便系統(tǒng)結(jié)構(gòu)本身能夠適應(yīng)未來可能出現(xiàn)的擴展要求。適應(yīng)性要求：入侵檢測系統(tǒng)必須能夠適用于多種不同的環(huán)境，比如高速大容量計算機網(wǎng)絡(luò)環(huán)境，并且在系統(tǒng)環(huán)境發(fā)生改變，比如增加環(huán)境中的計算機系統(tǒng)數(shù)量，改變計算機系統(tǒng)類型時，入侵檢測系統(tǒng)應(yīng)當依然能夠不作改變正常工作。適應(yīng)性也包括入侵檢測系統(tǒng)本身對其宿主平臺的適應(yīng)性，即：跨平臺工作的能力，適應(yīng)其宿主平臺軟、硬件配置的各種不同情況。安全性與可用性要求：入侵檢測系統(tǒng)必須盡可能的完善與健壯，不能向其宿主計算機系統(tǒng)以及其所屬的計算機環(huán)境中引入新的安全問題及安全隱患。并且入侵檢測系統(tǒng)應(yīng)該在設(shè)計和實現(xiàn)中，因該能夠有針對性的考慮幾種可以預(yù)見的，對應(yīng)于該入侵檢測系統(tǒng)的類型與工作原理的攻擊威脅，及其相應(yīng)的抵御方法。確保該入侵檢測系統(tǒng)的安全性與可用性。有效性要求：能夠證明根據(jù)某一設(shè)計所建立的入侵檢測系統(tǒng)是切實有效的。即：對于攻擊事件的錯報與漏報能夠控制在一定范圍內(nèi)。 系統(tǒng)概述 ODIDS系統(tǒng)是基于部件的分布式入侵檢測系統(tǒng)。系統(tǒng)中的部件(Component)是具有特定功能的獨立的應(yīng)用程序、小型的系統(tǒng)或者僅僅是一個非獨立的應(yīng)用程序的功能模塊。在部署時，這些部件可能在同一臺計算機上，也可以各自分布在一個大型網(wǎng)絡(luò)的不同地點?？傊?，部件能夠完成某一特定的功能，并且是ODIDS的一部分。部件之間通過統(tǒng)一的網(wǎng)絡(luò)接口進行信息交換，這樣既簡化了部件之間的數(shù)據(jù)交換的復(fù)雜性，使得部件非常容易地分布在不同主機上，也給系統(tǒng)提供了一個擴展的接口。圖2－1 ODID系統(tǒng)框圖 ODIDS的主要部件有：網(wǎng)絡(luò)引擎(Network Engine)、主機代理(Host Agent)、存儲系統(tǒng)(Storage System)、分析系統(tǒng)(analyzer)、響應(yīng)系統(tǒng)(Response System)、控制臺（Manager Console）。 網(wǎng)絡(luò)引擎和主機代理屬于CIDF中的事件產(chǎn)生器（Event generators）。網(wǎng)絡(luò)引擎截獲網(wǎng)絡(luò)中的原始數(shù)據(jù)包，并從其中尋找可能的入侵信息或其他敏感信息。主機代理在所在主機以各種方法收集信息，包括分析日志、監(jiān)視用戶行為、分析系統(tǒng)調(diào)用、分析該主機的網(wǎng)絡(luò)通信等。但他們也具有數(shù)據(jù)分析功能，對于已知的攻擊，在這些部件中所用模式匹配的方法來檢測可以大大提高系統(tǒng)的處理速度，也可以減少分析部件的工作量及系統(tǒng)網(wǎng)絡(luò)傳輸?shù)挠绊憽?存儲系統(tǒng)的作用是用來存貯事件產(chǎn)生器捕獲的原始數(shù)據(jù)、分析結(jié)果等重要數(shù)據(jù)。儲存的原始數(shù)據(jù)在對發(fā)現(xiàn)入侵者進行法律制裁時提供確鑿的證據(jù)。存儲系統(tǒng)也是不同部件之間數(shù)據(jù)處理的共享數(shù)據(jù)庫，為系統(tǒng)不同部件提供各自感興趣的數(shù)據(jù)。因此，存儲系統(tǒng)應(yīng)該提供靈活的數(shù)據(jù)維護、處理和查詢服務(wù)，同時也是一個安全的日志系統(tǒng)。 分析系統(tǒng)是對事件發(fā)生器捕獲的原始信息、其他入侵檢測系統(tǒng)提供的可疑信息進行統(tǒng)一分析和和處理的系統(tǒng)。分析系統(tǒng)注重于高層次的分析方法，如基于統(tǒng)計的分析方法、基于神經(jīng)網(wǎng)絡(luò)的分析方法等。同時負責分布式攻擊進行檢測。分析系統(tǒng)是整個入侵檢測系統(tǒng)的大腦，分析方法則是該系統(tǒng)的思維能力。各種分析方法都有各自的優(yōu)勢和不足，因此，系統(tǒng)中分析方法應(yīng)該是可以動態(tài)更換，并且多種算法可以并存的。 響應(yīng)系統(tǒng)是對確認的入侵行為采取相應(yīng)措施的子系統(tǒng)。響應(yīng)包括消極的措施，如給管理員發(fā)電子郵件、消息、傳呼等。也可以采取保護性措施，如切斷入侵者的TCP連接、修改路由器的訪問控制策略等。也可以采取主動的反擊策略，對攻擊者進行如DOS攻擊等，但這種以毒攻毒的方法在法律上是不許可的。 控制臺是整個入侵檢測系統(tǒng)和用戶交互的界面。用戶可以提供控制臺配置系統(tǒng)中的各個部件，也通過控制臺了解各部件的運行情況。 系統(tǒng)部署對于一個小型的網(wǎng)絡(luò)，一般把分析系統(tǒng)、存儲系統(tǒng)和控制臺安裝在同一個計算機上，這既是從系統(tǒng)成本上考慮，也可以增加整個系統(tǒng)的反應(yīng)速度。在大型網(wǎng)絡(luò)中，分析系統(tǒng)工作負載大、存儲系統(tǒng)工作量也大，所以應(yīng)該分布在不同的計算機上。一個比較典型的小型網(wǎng)絡(luò)上的ODIDS部署圖為:圖2－2 ODIDS典型部署圖對于主機型IDS，其數(shù)據(jù)采集部分當然位于其所監(jiān)測的主機上。基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)需要有檢測器才能工作。如果檢測器放的位置不正確，入侵檢測系統(tǒng)也無法工作在最佳狀態(tài)。一般說來檢測器放在防火墻附近比較好。1. 放在防火墻之外入侵檢測器通常放置在防火墻外的DMZ中 ( Demilitarized Zone, 非軍事區(qū) )。DMZ 是介于ISP和最外端防火墻界面之間的區(qū)域。這種安排使檢測器可以看見所有來自Internet 的攻擊，然而如果攻擊類型是TCP攻擊，而防火墻或過濾路由器能封鎖這種攻擊，那么入侵檢測系統(tǒng)可能就檢測不到這種攻擊的發(fā)生。因為許多攻擊類型只能通過檢測是否與字符串特征一致才能被發(fā)現(xiàn)，而字符串的傳送只有在TCP 3次握手才能進行。雖然放在防火墻外的檢測器無法檢測到攻擊，但那種位置仍然是對攻擊進行檢測的最佳位置。這樣做對站點的好處就是：可以看到自己的站點和防火墻暴露在多少種攻擊之下。2. 檢測器在防火墻內(nèi)有一些研究者認為檢測器應(yīng)放在防火墻內(nèi)部，這種做法也有幾個充分理由，他們認為，如果攻擊者能夠發(fā)現(xiàn)檢測器，就可能會對檢測器進行攻擊，從而減小攻擊者的行動被審計的機會，防火墻內(nèi)的系統(tǒng)會比外面的系統(tǒng)脆弱性少一些，如果檢測器在防火墻內(nèi)就會少一些干擾，從而有可能減少誤報警 。如果本應(yīng)該被防火墻封鎖的攻擊滲透近來，檢測器在防火墻內(nèi)檢測到或就能發(fā)現(xiàn)防火墻的設(shè)置失誤。也許將檢測器放在防火墻內(nèi)部的最大理由就是設(shè)置良好的防火墻能夠阻止大部分的“幼稚腳本”的攻擊，使檢測器不用將大部分的注意力分散在這類攻擊上。設(shè)置良好的防火墻確實阻止了大部分低層次的攻擊，人們也確實把太多的注意力放在檢測和分析這些低層次的攻擊上了。3. 防火墻內(nèi)外都有檢測器 “越多越好”、“各有優(yōu)勢”你可能聽過這類口號。它們可不僅僅是個口號。我在防火墻內(nèi)外多防止了檢測器。如果你的機構(gòu)有足夠的經(jīng)費這么做，會有如下優(yōu)點：l 你無須猜測是否有攻擊滲透過防火墻。l 你可以檢測來自內(nèi)部和外部的攻擊。l 你可以檢測到由于設(shè)置有問題而無法通過防火墻的內(nèi)部系統(tǒng)，這可以幫助系統(tǒng)管理員。如果你們機構(gòu)使用的是昂貴的入侵檢測系統(tǒng)解決方案，那么就不值得用這種檢測器放置方法，如果你使用內(nèi)外雙重檢測器，那就用防火墻內(nèi)部的監(jiān)測器做為緊急報警的裝置。4. 檢測器的其他位置檢測器最通常的位置在防火墻外，但這當然不是唯一一個對機構(gòu)有利的擺放位置。許多入侵檢測系統(tǒng)都可以在不同位置支持機構(gòu)，這些檢測器可能在：l 與你有直接聯(lián)系的合伙人和經(jīng)常在防火墻內(nèi)的供應(yīng)商處；l 高價值的地方，比如研究或會計網(wǎng)絡(luò)；l 有大量不穩(wěn)定雇員（例如顧問或臨時職員）的地方；l 已被外部人員當作目標的子網(wǎng)或是已有跡象顯示有入侵和其他非法活動的子網(wǎng)。關(guān)于檢測器放置的最后一個問題就是它與誰連接。網(wǎng)絡(luò)在不斷地升級到交換VLAN環(huán)境中。檢測器可以工作在這種環(huán)境中，但如果交換機的跨接端口沒有正確設(shè)置，入侵檢測將無法進行工作。如果檢測器要在交換網(wǎng)絡(luò)中工作，就必須對它進行測試。TCP是雙向協(xié)議，分析員必須確保計策器能從對話雙方接收信息。還必須對檢測器進行測試以保證它能從交換位置可靠地發(fā)送數(shù)據(jù)。有必要被檢測器配置兩塊接口卡，一塊連接到網(wǎng)絡(luò)跨接端口用于監(jiān)聽混雜模式（監(jiān)聽所有數(shù)據(jù)包，不管它們是否是發(fā)給檢測器）的，另一塊連接到單獨VLAN用來與分析工作站進行通信。對于交換式以太網(wǎng)交換機，問題則會變得復(fù)雜。由于交換機不采用共享媒質(zhì)的辦法，傳統(tǒng)的采用一個sniffer來監(jiān)聽整個子網(wǎng)的辦法不再可行?？山鉀Q的辦法有：1．交換機的核心芯片上一般有一個用于調(diào)試的端口（span port），任何其他端口的進出信息都可從此得到。如果交換機廠商把此端口開放出來，用戶可將IDS系統(tǒng)接到此端口上。優(yōu)點：無需改變IDS體系結(jié)構(gòu)。缺點：采用此端口會降低交換機性能。2．把入侵檢測系統(tǒng)放在交換機內(nèi)部或防火墻內(nèi)部等數(shù)據(jù)流的關(guān)鍵入口、出口。優(yōu)點：可得到幾乎所有關(guān)鍵數(shù)據(jù)。缺點：必須與其他廠商緊密合作，且會降低網(wǎng)絡(luò)性能。3．采用分接器（Tap），將其接在所有要監(jiān)測的線路上。采用分接器的網(wǎng)絡(luò)結(jié)構(gòu)如下：圖23 分接器部署優(yōu)點：再不降低網(wǎng)絡(luò)性能的前提下收集了所需的信息。缺點：必須購買額外的設(shè)備(Tap)；若所保護的資源眾多，IDS必須配備眾多網(wǎng)絡(luò)接口。4．使用具有網(wǎng)絡(luò)接口檢測功能的主機代理。第三章 網(wǎng)絡(luò)引擎和主機代理 網(wǎng)絡(luò)引擎的設(shè)計網(wǎng)絡(luò)引擎通過分析網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包，得到可能入侵的信息。他不單單是一個數(shù)據(jù)產(chǎn)生和傳輸?shù)墓ぞ撸簿哂幸欢ǖ姆治瞿芰?。他的功能基本上相當于一個完整的基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。 檢測匹配方法的改進模式匹配是第一代和第二代入侵檢測系統(tǒng)所使用的基于攻擊特征的網(wǎng)絡(luò)數(shù)據(jù)包分析技術(shù)。他的分析速度快、誤報率小等優(yōu)點是其它分析方法不可比擬的。單純使用模式匹配的方法有很大的弊端，在網(wǎng)絡(luò)引擎中我們使用協(xié)議分析和模式匹配結(jié)合的方法來分析網(wǎng)絡(luò)數(shù)據(jù)包。單純的模式匹配方法的工作過程如下：1〕 分析網(wǎng)絡(luò)上的每一個數(shù)據(jù)包是否具有某種攻擊特征。分析如下：2〕 從網(wǎng)絡(luò)數(shù)據(jù)包的包頭開始和攻擊特征比較3〕 如果比較結(jié)果相同，則檢測到一個可能的攻擊4〕 如果比較結(jié)果不同，從網(wǎng)絡(luò)數(shù)據(jù)包中下一個位置重新開始比較。5〕 直到檢測到攻擊或網(wǎng)絡(luò)數(shù)據(jù)包中的所有字節(jié)匹配完畢，一個攻擊特征匹配結(jié)束6〕 對于每一個攻擊特征，重復(fù)2〕開始的比較。7〕 直到每一個攻擊特征匹配完畢，對給數(shù)據(jù)包的匹配完畢。下面給出一個例子可以很高的說明其工作原理。AF7*Hy289s820800B9v5yt$0611tbhk76500801293ugdB2%00397e3912345678901234567890123456789012345678901234567890123456為監(jiān)聽到的網(wǎng)絡(luò)數(shù)據(jù)包，對于攻擊模式“GET /cgibin/./phf”，首先從數(shù)據(jù)包頭部開始比較：GET /cgibin/./phfAF7*Hy289s820800B9v5yt$0611tbhk76500801293ugdB2%00397e3912345678901234567890123456789012345678901234567890123456比較不成功，移動一個字節(jié)重新比較/cgibin/./phfAF7*Hy289s820800B9v5yt$0611tbhk76500801293ugdB2%00397e3912345678901234567890123456789012345678901234567890123456還是不成功，再移動一次:GET /cgibin/./phfAF7*Hy289s820800B9v5yt$0611tbhk76500801293ugdB2%00397e3912345678901234567890123456789012345678901