【文章內(nèi)容簡介】 技術(shù)。 入侵檢測系統(tǒng)（ IDS）：進(jìn)行入侵檢測的軟件與硬件的組 合。 入侵檢測的起源（ 1） 審計技術(shù)：產(chǎn)生、記錄并檢查按時間順序排列的系統(tǒng)事 件記錄的過程。 1980年， James P. Anderson的《計算機(jī)安全威脅監(jiān)控與 監(jiān)視》（《 Computer Security Threat Monitoring and Surveillance》） － 第一次詳細(xì)闡述了入侵檢測的概念 － 計算機(jī)系統(tǒng)威脅分類 : 外部滲透、內(nèi)部滲透和不法行為 － 提出了利用審計跟蹤數(shù)據(jù)監(jiān)視入侵活動的思想 － 這份報告被公認(rèn)為是入侵檢測的開山之作 入侵檢測的起源（ 2） 1984年到 1986年，喬治敦大學(xué)的 Dorothy Denning和 SRI/CSL的 Peter Neumann研究出了一個實(shí)時入侵檢測系統(tǒng)模 型 —— IDES（入侵檢測專家系統(tǒng)） 1990年，加州大學(xué)戴維斯分校的 L. T. Heberlein等人開發(fā) 出了 NSM（ Network Security Monitor） － 該系統(tǒng)第一次直接將網(wǎng)絡(luò)流作為審計數(shù)據(jù)來源，因而可以 在不將審計數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一格式的情況下監(jiān)控異種主機(jī) － 入侵檢測系統(tǒng)發(fā)展史翻開了新的一頁，兩大陣營正式形 成：基于網(wǎng)絡(luò)的 IDS和基于主機(jī)的 IDS 入侵檢測的起源（ 3） 1988年之后，美國開展對分布式入侵檢測系統(tǒng)（ DIDS）的 研究，將基于主機(jī)和基于網(wǎng)絡(luò)的檢測方法集成到一起。 DIDS是分布式入侵檢測系統(tǒng)歷史上的一個里程碑式的產(chǎn) 品。 從 20世紀(jì) 90年代到現(xiàn)在，入侵檢測系統(tǒng)的研發(fā)呈現(xiàn)出百家 爭鳴的繁榮局面，并在智能化和分布式兩個方向取得了長 足的進(jìn)展。 IDS基本結(jié)構(gòu) IDS通常包括以下功能部件： P182 事件產(chǎn)生器 事件分析器 事件數(shù)據(jù)庫 響應(yīng)單元 事件產(chǎn)生器（ 1） 負(fù)責(zé)原始數(shù)據(jù)采集，并將收集到的原始數(shù)據(jù)轉(zhuǎn)換為事 件，向系統(tǒng)的其他部分提供此事件。 收集內(nèi)容：系統(tǒng)、網(wǎng)絡(luò)數(shù)據(jù)及用戶活動的狀態(tài)和行為 需要在計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)（不同網(wǎng)段 和不同主機(jī)）收集信息 － 系統(tǒng)或網(wǎng)絡(luò)的日志文件 － 網(wǎng)絡(luò)流量 － 系統(tǒng)目錄和文件的異常變化 － 程序執(zhí)行中的異常行為 事件產(chǎn)生器（ 2） 注意： 入侵檢測很大程度上依賴于收集信息的可靠性和正確性 － 要保證用來檢測網(wǎng)絡(luò)系統(tǒng)的軟件的完整性 － 特別是入侵檢測系統(tǒng)軟件本身應(yīng)具有相當(dāng)強(qiáng)的堅固性， 防止被篡改而收集到錯誤的信息 事件分析器 接收事件信息，對其進(jìn)行分析，判斷是否為入侵行為或異常 現(xiàn)象，最后將判斷的結(jié)果轉(zhuǎn)變?yōu)楦婢畔ⅰ? 分析方法： － 模式匹配：將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進(jìn) 行比較，從而發(fā)現(xiàn)違背安全策略的行為 － 統(tǒng)計分析：首先給系統(tǒng)對象（如用戶、文件、目錄和設(shè)備等）創(chuàng)建一個統(tǒng) 計描述，統(tǒng)計正常使用時的一些測量屬性（如訪問次數(shù)、操作失敗次數(shù)和 延時等）；測量屬性的平均值和偏差將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比 較，任何觀察值在正常值范圍之外時，就認(rèn)為有入侵發(fā)生 － 完整性分析（往往用于事后分析）：主要關(guān)注某個文件或?qū)ο笫欠癖桓? 事件數(shù)據(jù)庫 存放各種中間和最終數(shù)據(jù)的地方。 從事件產(chǎn)生器或事件分析器接收數(shù)據(jù)，一般會將數(shù)據(jù)進(jìn) 行較長時間的保存。 響應(yīng)單元 根據(jù)告警信息做出反應(yīng)，是 IDS中的主動武器。 可做出： － 強(qiáng)烈反應(yīng)：切斷連接、改變文件屬性等 － 簡單的報警 入侵檢測的分類 按照分析方法 /檢測原理 按照數(shù)據(jù)來源 按照體系結(jié)構(gòu) 按照工作方式 入侵檢測性能關(guān)鍵參數(shù) 誤報 (false positive)：實(shí)際無害的事件卻被 IDS檢測為 攻擊事件。 漏報 (false negative)：一個攻擊事件未被 IDS檢測到或 被分析人員認(rèn)為是無害的。 入侵檢測的分類（ 1） 按照分析方法 /檢測原理 － 異常檢測（ Anomaly Detection ):首先總結(jié)正常操作應(yīng)該 具有的特征（用戶輪廓），試圖用定量的方式加以描述， 當(dāng)用戶活動與正常行為有重大偏離時即被認(rèn)為是入侵 － 誤用檢測（ Misuse Detection)：收集非正常操作的行為特 征，建立相關(guān)的特征庫，當(dāng)監(jiān)測的用戶或系統(tǒng)行為與庫中 的記錄相匹配時，系統(tǒng)就認(rèn)為這種行為是入侵 異常檢測 前提：入侵是異常活動的子集 用戶輪廓 (Profile): 通常定義為各種行為參數(shù)及其閥值 的集合，用于描述正常行為范圍 過程： 監(jiān)控 量化 比較 判定 修正 指標(biāo) :漏報率低 ,誤報率高 異常檢測原理模型 80 70 60 activity 50 measures40 30 20 10 0 異常檢測舉例 90 CPU Process Size probable intrusion normal profile abnormal 異常檢測特點(diǎn) 異常檢測系統(tǒng)的效率取決于用戶輪廓的完備性和監(jiān)控的頻 率 不需要對每種入侵行為進(jìn)行定義，因此能有效檢測未知的 入侵 系統(tǒng)能針對用戶行為的改變進(jìn)行自我調(diào)整和優(yōu)化，但隨著 檢測模型的逐步精確，異常檢測會消耗更多的系統(tǒng)資源 指標(biāo) :誤報低、漏報高 誤用檢測 前提：所有的入侵行為都有可被檢測到的特征 攻擊特征庫 : 當(dāng)監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄 相匹配時，系統(tǒng)就認(rèn)為這種行為是入侵 過程： 監(jiān)控 特征提取 匹配 判定 誤用檢測模型 Intrusion 誤用檢測舉例 pattern matching intrusion Patterns activities 例 : if (src_ip == dst_ip) then “ land attack” 誤用檢測 如果入侵特征與正常的用戶行為能匹配，則系統(tǒng)會發(fā)生 誤 報 ；如果沒有特征能與某種新的攻擊行為匹配，則系統(tǒng)會 發(fā)生 漏報 特點(diǎn)：采用模式匹配，誤用模式能明顯降低誤報率，但漏 報率隨之增加。攻擊特征的細(xì)微變化，會使得誤用檢測無 能為力。 入侵檢測的分類（ 2） 按照數(shù)據(jù)來源 － 基于主機(jī)：系統(tǒng)獲取數(shù)據(jù)的依據(jù)是系統(tǒng)運(yùn)行所在的主機(jī)， 保護(hù)的目標(biāo)也是系統(tǒng)運(yùn)行所在的主機(jī) － 基于網(wǎng)絡(luò)：系統(tǒng)獲取的數(shù)據(jù)是網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包，保護(hù)的 是網(wǎng)絡(luò)的正常運(yùn)行 － 混合型 Inter Customers Desktops Network Branch Office Telemuters Partners 基于主機(jī)的入侵檢測系統(tǒng)（ HIDS） Hacker Web Servers HIDS Servers HIDS HIDS的工作原理 X 檢測內(nèi)容： 系統(tǒng)調(diào)用、端口調(diào)用、審計記錄 、 系統(tǒng)日 志、應(yīng)用日志 客戶端 Inter 網(wǎng)絡(luò)服務(wù)器 1 HIDS 網(wǎng)絡(luò)服務(wù)器 2 HIDS 注意： 監(jiān)視與分析主機(jī)的審計記錄和日志文件 主要用于保護(hù)運(yùn)行關(guān)鍵應(yīng)用的服務(wù)器 最適合于檢測那些可以信賴的內(nèi)部人員的誤用以及已 經(jīng)避開了傳統(tǒng)的檢測方法而滲透到網(wǎng)絡(luò)中的活動 能否及時采集到審計記錄 如何保護(hù)作為攻擊目標(biāo)的 HIDS HIDS Inter Web Servers Customers Servers Network Branch Office Telemuters Partners 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（ NIDS） NIDS Desktops NIDS NIDS NIDS 基于網(wǎng)絡(luò)入侵檢測系統(tǒng)工作原理 數(shù)據(jù)包 =包頭信息 +有效數(shù)據(jù)部分 網(wǎng)絡(luò)服務(wù)器 1 網(wǎng)絡(luò)服務(wù)器 2 檢測內(nèi)容： 包頭信息 +有效數(shù)據(jù)部分 X 客戶端 Inter 注意： 在共享網(wǎng)段上對通信數(shù)據(jù)進(jìn)行偵聽采集數(shù)據(jù) 主機(jī)資源消耗少 提供對網(wǎng)絡(luò)通用的保護(hù) 如何適應(yīng)高速網(wǎng)絡(luò)環(huán)境 非共享網(wǎng)絡(luò)上如何采集數(shù)據(jù) 典型產(chǎn)品代表： Snort NIDS 兩類 IDS監(jiān)測 軟件 網(wǎng)絡(luò) IDS 偵測速度快 隱蔽性好 視野更寬 較少的監(jiān)測器 占資源少 主機(jī) IDS 視野集中 易于用戶自定義 保護(hù)更加周密 對網(wǎng)絡(luò)流量不敏感 入侵檢測的分類（ 3） 按照體系結(jié)構(gòu) － 集中式：有多個分布于不同主機(jī)上的審計程序，但只有一 個中央入侵檢測服務(wù)器。審計程序把當(dāng)?shù)厥占降臄?shù)據(jù)蹤 跡發(fā)送給中央服務(wù)器進(jìn)行分析處理。（可伸縮性、可配置 性差） － 分布式：將中央檢測