【文章內(nèi)容簡介】 ； 提高了系統(tǒng)的監(jiān)察能力； 可以跟蹤用戶從進入到退出的所有活動或影響； 能夠識別并報告數(shù)據(jù)文件的改動； 可以發(fā)現(xiàn)系統(tǒng)配置的錯誤，并能在必要時予以改正； 可以識別特定類型的攻擊，并進行報警，作出防御響應(yīng)； 可以使管理人員最新的版本升級添加到程序中； 允許非專業(yè)人員從事系統(tǒng)安全工作； 可以為信息系統(tǒng)安全提供指導(dǎo)。 55 局限 但是，與其他任何工具一樣，入侵檢測也不是萬能的，它們的使用存在如下局限： 在無人干預(yù)的情形下，無法執(zhí)行對攻擊的檢測； 無法感知組織（公司）安全策略的內(nèi)容； 不能彌補網(wǎng)絡(luò)協(xié)議的漏洞； 不能彌補系統(tǒng)提供信息的質(zhì)量或完整性問題； 不能分析網(wǎng)絡(luò)繁忙時的所有事物； 不能總是對數(shù)據(jù)包級的攻擊進行處理； …… 56 入侵檢測系統(tǒng)的基本結(jié)構(gòu) 入侵檢測是防火墻的合理補充，幫助系統(tǒng)對付來自外部或內(nèi)部的攻擊，擴展了系統(tǒng)管理員的安全管理能力（如安全審計、監(jiān)視、攻擊識別及其響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。如 圖 ，入侵檢測系統(tǒng)的主要工作就是從信息系統(tǒng)的若干關(guān)鍵點上收集信息，然后分析這些信息，用來得到網(wǎng)絡(luò)中有無違反安全策略的行為和遭到襲擊的跡象。 57 數(shù)據(jù)收集 數(shù)據(jù)分析 結(jié)果處理 數(shù)據(jù) 數(shù)據(jù) 事件 結(jié)果 圖 入侵檢測系統(tǒng)的通用模型 入侵檢測系統(tǒng)這個模型比較粗略。但是它表明數(shù)據(jù)收集、數(shù)據(jù)分析和處理響應(yīng)是一個入侵檢測系統(tǒng)的最基本部件。 58 1 信息收集 （ 1） 數(shù)據(jù)收集的內(nèi)容 入侵檢測的第一步是在信息系統(tǒng)的一些關(guān)鍵點上收集信息。這些信息就是入侵檢測系統(tǒng)的輸入數(shù)據(jù)。 入侵檢測系統(tǒng)收集的數(shù)據(jù)一般有如下 4個方面： ①主機和網(wǎng)絡(luò)日志文件 ②目錄和文件中的不期望的改變 ③程序執(zhí)行中的不期望行為 ④物理形式的入侵信息 59 ①主機和網(wǎng)絡(luò)日志文件 主機和網(wǎng)絡(luò)日志文件中記錄了各種行為類型，每種行為類型又包含不同的信息，例如記錄“用戶活動”類型的日志，就包含登錄、用戶 ID改變、用戶對文件的訪問、授權(quán)和認證信息等內(nèi)容。這些信息包含了發(fā)生在主機和網(wǎng)絡(luò)上的不尋常和不期望活動的證據(jù)，留下黑客的蹤跡。通過查看日志文件，能夠發(fā)現(xiàn)成功的入侵或入侵企圖，并很快地啟動響應(yīng)的應(yīng)急響應(yīng)程序。因此，充分利用主機和網(wǎng)絡(luò)日志文件信息是檢測入侵的必要條件。 ②目錄和文件中的不期望的改變 網(wǎng)絡(luò)環(huán)境中的文件系統(tǒng)包含很多軟件和數(shù)據(jù)文件。包含重要信息的文件和私密數(shù)據(jù)文件經(jīng)常是黑客修改或破壞的目標。黑客經(jīng)常替換、修改和破壞他們獲得訪問權(quán)的系統(tǒng)上的文件，同時為了隱蔽系統(tǒng)中他們的活動痕跡，還會盡力替換系統(tǒng)程序或修改系統(tǒng)日志文件。因此，目錄和文件中的不期望的改變（包括修改、創(chuàng)建和刪除），特別是那些正常情況下限制訪問的對象，往往就是入侵產(chǎn)生的指示和信號。 60 ③程序執(zhí)行中的不期望行為 每個在系統(tǒng)上執(zhí)行的程序由一到多個進程來實現(xiàn)。每個進程都運行在特定權(quán)限的環(huán)境中，的行為由它運行時執(zhí)行的操作來表現(xiàn)，這種環(huán)境控制著進程可訪問的系統(tǒng)資源、程序和數(shù)據(jù)文件等；操作執(zhí)行的方式不同，利用的系統(tǒng)資源也就不同。 操作包括計算、文件傳輸、設(shè)備以及與網(wǎng)絡(luò)間其它進程的通訊。黑客可能會將程序或服務(wù)的運行分解，從而導(dǎo)致它的失敗，或者是以非用戶或管理員意圖的方式操作。因此，一個進程出現(xiàn)了不期望的行為可能表明黑客正在入侵你的系統(tǒng)。 ④物理形式的入侵信息 黑客總是想方設(shè)法（如通過網(wǎng)絡(luò)上的由用戶私自加上去的不安全 —— 未授權(quán)設(shè)備）去突破網(wǎng)絡(luò)的周邊防衛(wèi)，以便能夠在物理上訪問內(nèi)部網(wǎng)，在內(nèi)部網(wǎng)上安裝他們自己的設(shè)備和軟件。例如，用戶在家里可能安裝 Modem以訪問遠程辦公室，那么這一撥號訪問就成了威脅網(wǎng)絡(luò)安全的后門。黑客就會利用這個后門來訪問內(nèi)部網(wǎng)，從而越過了內(nèi)部網(wǎng)絡(luò)原有的防護措施，然后捕獲網(wǎng)絡(luò)流量，進而攻擊其它系統(tǒng)，并偷取敏感的私有信息等等。 61 （ 2）入侵檢測系統(tǒng)的數(shù)據(jù)收集機制 準確性、可靠性和效率是入侵檢測系統(tǒng)數(shù)據(jù)收集機制基本指標，在 IDS中占據(jù)著舉足輕重的位置。如果收集的數(shù)據(jù)時延較大，檢測就會失去作用；如果數(shù)據(jù)不完整，系統(tǒng)的檢測能力就會下降；如果由于錯誤或入侵者的行為致使收集的數(shù)據(jù)不正確， IDS就會無法檢測某些入侵，給用戶以安全的假象。 ①基于主機的數(shù)據(jù)收集和基于網(wǎng)絡(luò)的數(shù)據(jù)收集 基于主機的 IDS是在每臺要保護的主機后臺運行一個代理程序，檢測主機運行日志中記錄的未經(jīng)授權(quán)的可疑行徑，檢測正在運行的進程是否合法并及時做出響應(yīng)。 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)是在連接過程中監(jiān)視特定網(wǎng)段的數(shù)據(jù)流，查找每一數(shù)據(jù)包內(nèi)隱藏的惡意入侵，對發(fā)現(xiàn)的入侵做出及時的響應(yīng)。在這種系統(tǒng)中，使用網(wǎng)絡(luò)引擎執(zhí)行監(jiān)控任務(wù)。如 圖 ，網(wǎng)絡(luò)引擎所處的位置決定了所監(jiān)控的網(wǎng)段 62 子網(wǎng) 1 子網(wǎng) 2 子網(wǎng) 3 控制臺 防 火 墻 Web 服務(wù)器 域 名 服務(wù)器 Inter 網(wǎng)絡(luò)引擎 內(nèi)部網(wǎng) 圖 基于網(wǎng)絡(luò)的 IDS中網(wǎng)絡(luò)引擎的配置 63 如 圖 ，網(wǎng)絡(luò)引擎所處的位置決定了所監(jiān)控的網(wǎng)段。 網(wǎng)絡(luò)引擎配置在防火墻內(nèi)，可以監(jiān)測滲透過防火墻的攻擊； 網(wǎng)絡(luò)引擎配置在防火墻外的非軍事區(qū)，可以監(jiān)測對防火墻的攻擊； 網(wǎng)絡(luò)引擎配置在內(nèi)部網(wǎng)絡(luò)的各臨界網(wǎng)段，可以監(jiān)測內(nèi)部的攻擊。 控制臺用于監(jiān)控全網(wǎng)絡(luò)的網(wǎng)絡(luò)引擎。為了防止假扮控制臺入侵或攔截數(shù)據(jù)，在控制臺與網(wǎng)絡(luò)引擎之間應(yīng)創(chuàng)建安全通道。 64 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)主要用于實時監(jiān)控網(wǎng)絡(luò)關(guān)鍵路徑。它的隱蔽性好、視野寬、偵測速度快、占用資源少、實施簡便，并且還可以用單獨的計算機實現(xiàn)，不增加主機負擔。但難于發(fā)現(xiàn)所有數(shù)據(jù)包，對于加密環(huán)境無能為力，用在交換式以太網(wǎng)上比較困難。 基于主機的 IDS提供了基于網(wǎng)絡(luò)的 IDS不能提供的一些功能，如二進制完整性檢查、記錄分析和非法進程關(guān)閉等。同時由于不受交換機隔離的影響，在交換網(wǎng)絡(luò)中非常有用。但是它對網(wǎng)絡(luò)流量不敏感，并且由于運行在后臺，不能訪問被保護系統(tǒng)的核心功能（不能將攻擊阻擋在協(xié)議層之外）。它的內(nèi)在結(jié)構(gòu)沒有任何束縛，并可以利用操作系統(tǒng)提供的功能，結(jié)合異常分析，較準確地報告攻擊行為，而不是根據(jù)網(wǎng)上收集到的數(shù)據(jù)包去猜測發(fā)生的事件。但是它們往往要求為不同的平臺開發(fā)不同的程序，從而增加了主機的負擔。 總地看來，單純地使用基于主機的入侵檢測或基于網(wǎng)絡(luò)的入侵檢測，都會造成主動防御體系的不全面。但是，由于它們具有互補性，所以將兩種產(chǎn)品結(jié)合起來，無縫地部署在網(wǎng)絡(luò)內(nèi)，就會構(gòu)架成綜合了兩者優(yōu)勢的主動防御體系，即可以發(fā)現(xiàn)網(wǎng)段中的攻擊信息，又可以從系統(tǒng)日志中發(fā)現(xiàn)異常情況。這種系統(tǒng)一般為分布式，由多個部件組成。 基于主機和基于網(wǎng)絡(luò)的數(shù)據(jù)收集之間的比較 65 ②分布式與集中式數(shù)據(jù)收集機制 分布式 IDS收集的數(shù)據(jù)來自一些固定位置，而與受監(jiān)視的網(wǎng)元數(shù)量無關(guān)。集中式 IDS收集的數(shù)據(jù)來自一些與受監(jiān)視的網(wǎng)元數(shù)量有一定比例關(guān)系的位置。 ③直接監(jiān)控和間接監(jiān)控 IDS從它所監(jiān)控的對象處直接獲得數(shù)據(jù)，則稱為直接監(jiān)控；反之，如果 IDS依賴一個單獨的進程或工具獲得數(shù)據(jù)，則稱為間接監(jiān)控。 66 就檢測入侵行為而言，直接監(jiān)控要優(yōu)于間接監(jiān)控，因為： 從非直接數(shù)據(jù)源獲取的數(shù)據(jù)在被 IDS使用之前，入侵者還有進行修改的潛在機會。 非直接數(shù)據(jù)源可能無法記錄某些事件，例如它無法訪問監(jiān)視對象的內(nèi)部信息。 在間接監(jiān)控中，數(shù)據(jù)一般都是通過某種機制（如編寫審計代碼）生成的，但這些機制并不 IDS的具體要求，因而從間接數(shù)據(jù)源獲得的數(shù)據(jù)量要比從直接數(shù)據(jù)源大得多。并且間接監(jiān)控機制的可伸縮性小，一旦主機及其內(nèi)部被監(jiān)控要素增加，過濾數(shù)據(jù)的開銷會降低監(jiān)控主機的性能。 間接數(shù)據(jù)源的數(shù)據(jù)從產(chǎn)生到 IDS訪問之間有一個時延。 但是由于直接監(jiān)控操作的復(fù)雜性，目前的 IDS 產(chǎn)品中只有不足 20%使用了直接監(jiān)控機制。 直接監(jiān)控和間接監(jiān)控之間的比較 67 ④外部探測器和內(nèi)部探測器 外部探測器的監(jiān)控組件（程序）獨立于被監(jiān)測組件（硬件或軟件）實現(xiàn)。內(nèi)部探測器的監(jiān)控組件（程序）附加于被監(jiān)測個組件（硬件或軟件）實現(xiàn)。 表 。 68 比較 內(nèi)容 外部探測器 內(nèi)部探測器 錯誤潛在可能 引入和安全性： 代理消耗了過量資源； 庫調(diào)用錯誤地修改了某些參數(shù)； 有被入侵者修改的 要嵌入被監(jiān)控程序中 ， 修改被監(jiān)控程序時容易引進錯誤 。 對策：探測器代碼盡量短 。 不是分離進程 ， 不易被禁止或修改 可實現(xiàn)性可使用性可維護性 好： 探測器程序與被監(jiān)控程序分離 ， 從主機上進行修改 、 添加或刪除等較容易； 可以利用任何合適的編程語言 差： 需要集成到被監(jiān)視程序中 ， 難度較大 需要使用與被監(jiān)視程序相同的編程語言； 設(shè)計要求高 ， 修改 、 升級難度大 開銷 差： 數(shù)據(jù)生成和使用之間存在時延 小： 數(shù)據(jù)的產(chǎn)生和使用之間的時延小 ， 不是分離進程 ， 避免了創(chuàng)建進程的主機開銷； 完備性 差： 只能從 “ 外面 ” 監(jiān)察程序； 只能訪問外部可以獲得的數(shù)據(jù) ——獲取能力有限 好： 可以放置在所監(jiān)視程序的任何地方； 可以訪問所監(jiān)視程序中的任何信息 正確性 只能根據(jù)可獲數(shù)據(jù)作出基于經(jīng)驗的猜測 較完全 表 外部探測器和內(nèi)部探測器的優(yōu)缺點 69 2. 數(shù)據(jù)分析 數(shù)據(jù)分析是 IDS的核心，它的功能就是對從數(shù)據(jù)源提供的系統(tǒng)運行狀態(tài)和活動記錄進行同步、整理、組織、分類以及各種類型的細致分析，提取其中包含的系統(tǒng)活動特征或模式，用于對正常和異常行為的判斷。 入侵檢測系統(tǒng)的數(shù)據(jù)分析技術(shù)依檢測目標和數(shù)據(jù)屬性，分為 異常發(fā)現(xiàn)技術(shù)和模式發(fā)現(xiàn)技術(shù) 兩大類。最近幾年還出現(xiàn)了一些通用的技術(shù)。下面分別介紹。 70 異常發(fā)現(xiàn)技術(shù)用在基于異常檢測的 IDS中。如 圖 ，在這類系統(tǒng)中， 觀測到的不是已知的的入侵行為，而是所監(jiān)視通信系統(tǒng)中的異常現(xiàn)象。 如果建立了系統(tǒng)的正常行為軌跡，則在理論上就可以把所有與正常軌跡不同的系統(tǒng)狀態(tài)視為可疑企圖。由于正常情況具有一定的范圍，因此正確地選擇異常閾值和特征，決定何種程度才是異常，是異常發(fā)現(xiàn)技術(shù)的關(guān)鍵。 異常檢測只能檢測出那些與正常過程具有較大偏差的行為。由于對各種網(wǎng)絡(luò)環(huán)境的適應(yīng)性較弱，且缺乏精確的判定準則，異常檢測有可能出現(xiàn)虛報現(xiàn)象。 71 系統(tǒng)審計 比較器 入侵 正常活動 超限 底限 圖 異常檢測模型 72 異常發(fā)現(xiàn)技術(shù)分類 異常發(fā)現(xiàn)技術(shù)包括 表 。其中，自學(xué)習(xí)系統(tǒng)通過學(xué)習(xí)事例構(gòu)建正常行為模型，又可分為時序和非時序兩種；可編程系統(tǒng)需要通過程序測定異常事件，讓用戶知道哪些是足以破壞系統(tǒng)安全的異常行為，又可分為描述統(tǒng)計和缺省否定兩類。 類 型 方 法 系統(tǒng)名稱 自學(xué)習(xí)型 非時序 規(guī)則建模 Wisdom amp。 Sense 描述統(tǒng)計 IDES,NIDES,EMERRALD,JiNao,Haystack 時序 人工神經(jīng)網(wǎng)絡(luò) Hyperview 可編程型 描述統(tǒng)計 簡單統(tǒng)計 MIDAS,NADIR, Haystack 基于簡單規(guī)則 NSM 門限 Computerwatch, 缺省否認 狀態(tài)序列建模 DPEM,Janus,Bro 表 異常發(fā)現(xiàn)技術(shù) 73 模式發(fā)現(xiàn)又稱特征檢測或濫用檢測 。如 圖 ，它們是基于已知系統(tǒng)缺陷和入侵模式，即事先定義了一些非法行為，然后將觀察現(xiàn)象與之比較做出判斷。這種技術(shù)可以準確地檢測具有某些特征的攻擊，但是由于過度依賴實現(xiàn)定義好的安全策略，而無法檢測系統(tǒng)未知的攻擊行為，因而可能產(chǎn)生漏報。 模式發(fā)現(xiàn)技術(shù)通過對確知的決策規(guī)則編程實現(xiàn)，常用的技術(shù)有如下 4種。 74 系統(tǒng)審計 模式鑒別 入侵 正?；顒? 符合 不符合 圖 誤用檢測模型 75 常用的模式發(fā)現(xiàn)技術(shù) 模式發(fā)現(xiàn)技術(shù)通過對確知的決策規(guī)則編程實現(xiàn)，常用的技術(shù)有如下 4種： （ 1）狀態(tài)建模： 狀態(tài)建模將入侵行為表示成許多個不同的狀態(tài)。如果在觀察某個可疑行為期間，所有狀態(tài)都存在，則判定為惡意入侵。狀態(tài)建模從本質(zhì)上來講是時間序列模型，可以再細分為狀態(tài)轉(zhuǎn)換和 Petri網(wǎng)，前者將入侵行為的所有狀態(tài)形成一個簡單的遍歷鏈，后者將所有的狀態(tài)構(gòu)成一個更廣義的樹形結(jié)構(gòu)的 Petri網(wǎng)。 （ 2）串匹配： 串匹配通過對系統(tǒng)之間傳輸?shù)幕蛳到y(tǒng)自身產(chǎn)生的文本進行子串匹配實現(xiàn)。該方法靈活性欠差，但易于理解，目前有很多高效的算法，其執(zhí)行速度很快。 （ 3）專家系統(tǒng)： 專家系統(tǒng)可以在給定入侵行為描述規(guī)則的情況下，對系統(tǒng)的安全狀態(tài)進行推理。一般情況下，專家系統(tǒng)的檢測能力強大，靈活性也很高，但計算成本較高，通常以降低執(zhí)行速度為代價。