【文章內(nèi)容簡(jiǎn)介】 喬治敦大學(xué)的 Dorothy Denning 和 SRI/CSL（ SRI 公司計(jì)算機(jī)科學(xué)實(shí)驗(yàn)室）的 Peter Neumann 研究出了一種實(shí)時(shí)入侵檢測(cè)系統(tǒng)模型，取名為 IDES（入侵檢測(cè)專家系統(tǒng)）。 該模型獨(dú)立于特定的系統(tǒng)平臺(tái)、應(yīng)用環(huán)境、系統(tǒng)弱點(diǎn)以及入侵類型，為構(gòu)建入侵系統(tǒng)提供了一個(gè)通用的框架。 1988 年， SRI/CSL 的 Teresa Lunt 等 改進(jìn)了 Denning 的入侵檢測(cè)模型，并研發(fā)出了實(shí)際的 IDES。 1990 年時(shí)入侵檢測(cè)系統(tǒng)發(fā)展史上十分重要的一年。這一年，加州大學(xué)戴維斯分校的 等開發(fā)出了 NSM(Network Security Monitor)。該系統(tǒng)第一次直接將網(wǎng)絡(luò)作為審計(jì)數(shù)據(jù)的來源，因而可以在不將審計(jì)數(shù)計(jì)轉(zhuǎn)化成統(tǒng)一的格式情況下監(jiān)控異種主機(jī)。同時(shí)兩大陣營(yíng)正式形成：基于網(wǎng)絡(luò)的 IDS 和基于主機(jī)的 IDS。 ? 技術(shù)的進(jìn)步 從 20 世紀(jì) 90 年代到現(xiàn)在，入侵檢測(cè)系統(tǒng)的研發(fā)呈現(xiàn)出百家爭(zhēng)鳴的繁榮局面，并在智能化和分布式兩個(gè)方向取得 了長(zhǎng)足的進(jìn)展。目前， SRI/CSL、普渡大學(xué)、加州戴 5 維斯分校、洛斯阿拉莫斯國(guó)家實(shí)驗(yàn)室、哥倫比亞大學(xué)、新墨西哥大學(xué)等機(jī)構(gòu)在這些方面代表了當(dāng)前的最高水平。我國(guó)也有多家企業(yè)通過最初的技術(shù)引進(jìn)，逐漸發(fā)展成自主研發(fā)。 入侵檢測(cè)系統(tǒng)分類 基于主機(jī)的入侵檢測(cè)系統(tǒng) 基于主機(jī) IDS 部署在單主機(jī)上，利用操作系統(tǒng)產(chǎn)生的日志記錄作為主要信息源，通過對(duì)其進(jìn)行審計(jì)，檢測(cè)入侵行為。基于主機(jī) IDS 不對(duì)網(wǎng)絡(luò)數(shù)據(jù)包或掃描配置進(jìn)行檢查，而是對(duì)系統(tǒng)日志提供的大量數(shù)據(jù)進(jìn)行整理。早期的系統(tǒng)多為基于主機(jī)的，主要用來檢測(cè)內(nèi)部網(wǎng)絡(luò)的入侵 攻擊。后來用分布主機(jī)代理來實(shí)現(xiàn)。 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng) 基于網(wǎng)絡(luò)的 IDS 最早出現(xiàn)于 1990 年。它主要用于防御外部入侵攻擊。它通過監(jiān)控出入網(wǎng)絡(luò)的通信數(shù)據(jù)流，依據(jù)一定規(guī)則對(duì)數(shù)據(jù)流的內(nèi)容進(jìn)行分析，從而發(fā)現(xiàn)協(xié)議攻擊、運(yùn)行已知黑客程序的企圖和可能破壞安全策略的特征，做出入侵攻擊判斷。 為了能夠捕獲入侵攻擊行為，基于網(wǎng)絡(luò) IDS 必須位于能夠看到所以數(shù)據(jù)包的位置，這包括 :環(huán)網(wǎng)內(nèi)部、安全網(wǎng)絡(luò)中緊隨防火墻之后以及其它子網(wǎng)的路由器或網(wǎng)關(guān)之后。最佳位置便是位于 Inter 到內(nèi)部網(wǎng)絡(luò)的接入點(diǎn)。但是，同一子網(wǎng)的 2 個(gè)節(jié) 點(diǎn)之間交換數(shù)據(jù)報(bào)文并且交換數(shù)據(jù)報(bào)文不經(jīng)過 IDS，那么 IDS 可能就會(huì)忽略這些攻擊。 基于網(wǎng)絡(luò) IDS 的主要優(yōu)點(diǎn) : 1）由于 NIDS 直接收集網(wǎng)絡(luò)數(shù)據(jù)包，而網(wǎng)絡(luò)協(xié)議是標(biāo)準(zhǔn)的。因此， NIDS 如目標(biāo)系統(tǒng)的體系結(jié)構(gòu)無關(guān)，可用于監(jiān)視結(jié)構(gòu)不同的各類系統(tǒng) 。 2） NIDS 使用原始網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行檢測(cè)，因此它所收集的審計(jì)數(shù)據(jù)被篡改的可能性很小，而且它不影響被保護(hù)系統(tǒng)的性能 。 基于網(wǎng)絡(luò) IDS 的主要缺點(diǎn) : 1）缺乏終端系統(tǒng)對(duì)待定數(shù)據(jù)的處理方法等信息，使得從原始的數(shù)據(jù)包中重構(gòu)應(yīng)用層信息很困難。因此， NIDS 難以檢測(cè)發(fā)生在應(yīng)用層的攻擊 。而對(duì) 于加密傳輸方式進(jìn)行的入侵， NIDS 也無能為力 。 2） NIDS 只檢查它直接連接網(wǎng)段的通信，不能檢測(cè)到不同網(wǎng)段的網(wǎng)絡(luò)包，因此在交換式局域網(wǎng)中，它難以獲得不同交換端口的網(wǎng)絡(luò)信息 : 6 入侵檢測(cè)技術(shù) 異常檢測(cè) 異常檢測(cè)的假設(shè)是入侵者活動(dòng)異常于正常主體的活動(dòng)。根據(jù)這一理念建立主體正?；顒?dòng)的 “活動(dòng)簡(jiǎn)檔 ”，將當(dāng)前主體的活動(dòng)狀況與 “活動(dòng)簡(jiǎn)檔 ”相比較，當(dāng)違反其統(tǒng)計(jì)規(guī)律時(shí)，認(rèn)為該活動(dòng)可能是 “入侵 ”行為。異常檢測(cè)的難題在于如何建立 “活動(dòng)簡(jiǎn)檔 ”以及如何設(shè)計(jì) 統(tǒng)計(jì)算法 ，從而不把正常的操作作為 “入侵 ”或忽略真正的 “入侵 ”行為。 特征檢測(cè) 特征檢測(cè)這一檢測(cè)假設(shè)入侵者活動(dòng)可以用一種模式來表示，系統(tǒng)的目標(biāo)是檢測(cè)主體活動(dòng)是否符合這些模式。它可以將已有的入侵方法檢查出來，但對(duì)新的入侵方法無能為力。其難點(diǎn)在于如何 設(shè)計(jì)模式 既能夠表達(dá) “入侵 ”現(xiàn)象又不會(huì)將正常的活動(dòng) 包含進(jìn)來。 入侵檢測(cè)系統(tǒng)主流產(chǎn)品 近年來，國(guó)內(nèi)外不少?gòu)S家生產(chǎn)了自己的入侵檢測(cè)產(chǎn)品。這些產(chǎn)品己經(jīng)得到了廣泛的應(yīng)用，下面簡(jiǎn)要介紹一下國(guó)內(nèi)外的一些產(chǎn)品。 1） Cisco 公司的 Cisco Secure IDS Cisco Secure IDS 以前被稱為 NetRanger，該產(chǎn)品由控制器 (Director)、感應(yīng)器(Sensor)和入侵檢測(cè)模塊 IDSM(Intrusion Detection System Module)三大組成部分組成。感應(yīng)器分為網(wǎng)絡(luò)感應(yīng)器 (NIDS)和主機(jī)感應(yīng)器 (HIDS)兩部分，分別負(fù)責(zé) 對(duì)網(wǎng)絡(luò)信息和主機(jī)信息的收集和分析處理?？刂破饔糜趯?duì)系統(tǒng)進(jìn)行控制和管理。 Cisco Secure IDS 的另一個(gè)強(qiáng)項(xiàng)是其在檢測(cè)時(shí)不僅觀察單個(gè)包的內(nèi)容，而且還要看上下文，即從多個(gè)包中得到線索。 Cisco Secure IDS 是目前市場(chǎng)上基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)中經(jīng)受實(shí)踐考驗(yàn)最多的產(chǎn)品之一。 2） ISS RealSecure ISS是最早將基于主機(jī)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)完全集成到一個(gè)統(tǒng)一的管理框架中的供應(yīng)商之一。 ISS RealSecure 具有方便的管理控制臺(tái)，其服務(wù)器和網(wǎng)絡(luò)感應(yīng)器近幾年也取得了很快的發(fā)展。 RealSecure 采用分布式的體系結(jié)構(gòu)、系統(tǒng)分為兩層 :感應(yīng)器和管理器。感應(yīng)器包括 7 網(wǎng)絡(luò)感應(yīng)器、服務(wù)感應(yīng)器和系統(tǒng)感應(yīng)器三類。網(wǎng)絡(luò)感應(yīng)器主要是對(duì)網(wǎng)絡(luò)數(shù)據(jù)的分析檢測(cè)，服務(wù)感應(yīng)器主要是負(fù)責(zé)對(duì)系統(tǒng)日志和系統(tǒng)文件信息的檢測(cè)。管理器包括控制臺(tái)、事件收集器、事件數(shù)據(jù)庫(kù)和告警數(shù)據(jù)庫(kù)四個(gè)部分。 入侵檢測(cè)技術(shù)發(fā)展趨勢(shì) 入侵檢測(cè)技術(shù)在不斷地發(fā)展更新，近年來入侵檢測(cè)技術(shù)沿著以下幾個(gè)方向發(fā)展 : 1）分布式入侵檢測(cè)。為了躲避檢測(cè)，越來越多的攻擊者采用分布式協(xié)同的方式發(fā)起攻擊，傳統(tǒng)的 IDS 局限于單一的主機(jī)或網(wǎng)絡(luò)架構(gòu)，對(duì)異構(gòu)系統(tǒng)及大 規(guī)模的網(wǎng)絡(luò)檢測(cè)明顯不足，不同的系統(tǒng)之間不能協(xié)同工作。為解決這一問題，需要發(fā)展分布式入侵檢測(cè)技術(shù)與通用入侵檢測(cè)架構(gòu)。 2）智能化入侵檢測(cè)。入侵方法越來越多樣化與綜合化，盡管已經(jīng)有智能代理、神經(jīng)網(wǎng)絡(luò)與遺傳算法在入侵檢測(cè)領(lǐng)域應(yīng)用研究，但這只是一些嘗試性的研究工作，需要對(duì)智能化的 IDS 加以進(jìn)一步的研究以解決其自學(xué)習(xí)與自適應(yīng)能力。 8 第三章 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng) (Snort)研究 Snort 特點(diǎn) Snort 是一個(gè)以開放源代碼形式發(fā)行的一個(gè)功能強(qiáng)大、跨平臺(tái)、輕量級(jí)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，最初由 Martin Roesch 編寫，并由遍布世界各地的眾多程序員共同維護(hù)和升級(jí)。它利用 Libpcap 從網(wǎng)絡(luò)中采集數(shù)據(jù)并進(jìn)行分析，從而判斷是否存在可疑的網(wǎng)絡(luò)活動(dòng) 。就檢測(cè)模式而言，它基本上是基于誤用檢測(cè)技術(shù)，對(duì)數(shù)據(jù)進(jìn)行最直接最簡(jiǎn)單的搜索匹配。雖然 Snort 是一個(gè)輕量級(jí)的入侵檢測(cè)系統(tǒng)，但是它的功能卻非常強(qiáng)大，其特點(diǎn)如下 : 1） Snort 代碼短小，簡(jiǎn)潔，而且移植性非常好。目前支持 Linux 系列， Solaris，BSD 系列， IRIX， HPUNIX， Windows 系列等。 2） Snort 具有實(shí)時(shí)流量分析和日志 IP 網(wǎng)絡(luò)數(shù)據(jù)包的能力。能夠快速檢測(cè)網(wǎng)絡(luò)攻擊，及時(shí)發(fā)出警報(bào)。它提供的警報(bào)方式很多，比如 Syslog， Unixsocket， WinPopup等。 3） Snort 能夠進(jìn)行協(xié)議分析，內(nèi)容的匹配和搜索?，F(xiàn)在它能夠分析的協(xié)議有 TCP、UDP、和 ICMP。將來可以支持更多 IPX、 RIP、 OSPF 等。它能檢測(cè)多種方式的攻擊和探測(cè)。 Snort 的體系結(jié)構(gòu) 圖 31 Snort 的體系結(jié)構(gòu) 1） Sniffer(數(shù)據(jù)包嗅探器 ) 該子系統(tǒng) 的功能是捕獲網(wǎng)絡(luò)數(shù)據(jù)包并按照 TCP/IP 協(xié)議的不同層次將數(shù)據(jù)包進(jìn)行 9 解析。 Snort 利用 libpcaP 庫(kù)函數(shù)進(jìn)行數(shù)據(jù)采集，該庫(kù)函數(shù)可以為應(yīng)用程序提供直接從鏈路層捕獲數(shù)據(jù)包的接口函數(shù)，并可以設(shè)置數(shù)據(jù)包的過濾器來捕獲指定的數(shù)據(jù)。網(wǎng)絡(luò)數(shù)據(jù)采集和解析機(jī)制是整個(gè) NIDS 實(shí)現(xiàn)的基礎(chǔ)，其中關(guān)鍵的是要保證高速和較低的丟包率，這不僅僅取決于軟件的效率還同硬件的處理能力相關(guān)。對(duì)于解析機(jī)制來說，能夠處理數(shù)據(jù)包的類型的多樣性也同樣非常重要，目前 ,Snort 可以處理以太網(wǎng)，令牌環(huán)以及 SLIP 等多種類型的包。 2）預(yù)處理器 Snort 的 預(yù)處理器是介于數(shù)據(jù)包嗅探器與檢測(cè)引擎之間的可插入模塊，它的主要思想是在數(shù)據(jù)包送到 Snort 的檢測(cè)引擎之前提供一個(gè)報(bào)警、丟棄數(shù)據(jù)包或修改數(shù)據(jù)包的框架。 Snort 入侵檢測(cè)流程 基于規(guī)則的模式匹配是 Snort 檢測(cè)機(jī)制的核心。 Snort 的入侵檢測(cè)流程分兩大步：第一步是規(guī)則的解析流程，包括從規(guī)則文件中讀取規(guī)則和在內(nèi)存中組織規(guī)則；第二步是使用這些規(guī)則進(jìn)行匹配的規(guī)則匹配流程。下面將依次介紹入侵檢測(cè)的流程： 規(guī)則解析流程 Snort 首先讀取規(guī)則文件，緊接著依次讀取每一條規(guī)則。然后按照規(guī)則語(yǔ)法對(duì)其進(jìn)行解析 ，在內(nèi)存中對(duì)規(guī)則進(jìn)行組織，建立規(guī)則語(yǔ)法樹。 Snort 程序調(diào)用規(guī)則文件讀取函數(shù) ParseRulesFile()進(jìn)行規(guī)則文件的檢查、規(guī)則讀取和多行規(guī)則的整理。ParseR