【文章內容簡介】 網段和不同主機）收集數據。入侵檢測很大程度上依賴于收集數據的準確性與可靠性，因此，必須使用精確的軟件來報告這些信息，因為黑客經常替換軟件以搞混和移走這些數據，例如替換被程序調用的子程序、庫和其它工具。數據的收集主要來源以下幾個方面：系統(tǒng)和網絡日志文件、目錄和文件不期望的改變、程序不期望的行為 、物理形式的入侵數據。 數據提取 從收集到的數據中提取有用的數據，以供數據分析之用。 數據分析 對收集到的有關系統(tǒng)、網絡運行、數據及用戶活動的狀態(tài)和行為等數據通過三種技術手段進行分析：模塊匹配、統(tǒng)計分析和完整性分析。 結果處理 記錄入侵事件，同時采取報警、中斷連接等措施。 入侵檢測技術的檢測模型 從技術上劃分，入侵檢測有兩種檢測模型： 畢業(yè)設計（論文）專用紙 第 頁 9 異常檢測模型 異常檢測模型：檢測與可接受行為之間的偏差。如果可以定義每項可接受的行為，那么每項不可接受的行為就應該 是入侵。首先總結正常操作應該具有的特征（用戶輪廓），用戶輪廓是指各種行為參數及其閾值的集合。 當用戶活動與正常行為有重大偏離時即被認為是入侵。這種檢測模型漏報率低，誤報率高。因為不需要對每種入侵行為進行定義，所以能有效檢測未知的入侵。 異常檢測的模型如圖 21 所示。 圖 21 異常檢測模型 誤用檢測模型 誤用檢測模型：檢測與已知的不可接受行為之間的匹配程度。如果可以定義所有的不可接受行為，那么每種能夠與之匹配的行為都會引起告警。收集非正常操作的 行為特征，建立相關的特征庫，當監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時，系統(tǒng)就認為這種行為是入侵。這種檢測模型誤報率低、漏報率高。對于已知的攻擊，它可以詳細、準確地報告出攻擊類型，但是對未知攻擊 的 效果有限，而且特征庫必須不斷更新。 誤用檢測的模型如圖 22 所示。 系統(tǒng)審計 比較 用戶輪廓 是否低于閾值 正常行為 入侵行為 Y N 畢業(yè)設計（論文）專用紙 第 頁 10 圖 22 誤用檢測模型 入侵檢測系統(tǒng)的分類 一般來說，入侵檢測系統(tǒng)可分為基于主機型入侵檢測系統(tǒng)、基于網絡型入侵檢測系統(tǒng)和基于代理型入侵檢測系統(tǒng)。 基于主機的入侵檢測系統(tǒng) 基于主機的入侵檢測系統(tǒng)通常以系統(tǒng)日志、應用程序日志等審計記錄文件作為數據源。它是通過比較這些審計記錄文件的記錄與攻擊簽名 (Attack Signature，指用一種特定的方式來表示已知的攻擊模式 )以發(fā)現它們是否匹配。如果匹配，檢測系統(tǒng)向系統(tǒng)管理員發(fā)出入侵報警并采取相應的行動?；谥鳈C的 IDS 可以精確地判斷入侵事件，并可對入侵事件及時做出反應?；谥鳈C的入侵檢測系統(tǒng)對系統(tǒng)內在的結構卻沒有任何約束，同時可以利用操作系統(tǒng)本身提供的功能，并結合異常檢測分析，更能準確的報告攻擊行為。 基于主機的入侵檢測系 統(tǒng)存在的不足之處在于：會占用主機的系統(tǒng)資源，增加系統(tǒng)負荷，而且針對不同的操作平臺必須開發(fā)出不同的程序，另外所需配置的數量眾多。 基于網絡的入侵檢測系統(tǒng) 基于網絡的入侵檢測系統(tǒng)把原始的網絡數據包作為數據源。利用網絡適配器來實時地監(jiān)視并分析通過網絡進行傳輸的所有通信業(yè)務。它的攻擊識別模塊進行攻擊簽名識別系統(tǒng)審計 比較 攻擊特征庫 是否匹配 正常行為 入侵行為 N Y 畢業(yè)設計（論文）專用紙 第 頁 11 的方法有：模式、表達式或字節(jié)碼匹配；頻率或閾值比較；次要事件的相關性處理；統(tǒng)計異常檢測。一旦檢測到攻擊， IDS 的響應模塊通過通知、報警以及中斷連接等方式來對攻擊行為做出反應。然而它只能監(jiān)視通 過本網段的活動，并且精確度較差，在交換網絡環(huán)境中難于配置，防欺騙的能力也比較差。 基于代理的入侵檢測系統(tǒng) 基于代理的入侵檢測系統(tǒng)用于監(jiān)視大型網絡系統(tǒng)。隨著網絡系統(tǒng)的復雜化和大型化，系統(tǒng)弱點趨于分布式，而且攻擊行為也表現為相互協(xié)作式特點，所以不同的 IDS之間需要共享信息，協(xié)同檢測。整個系統(tǒng)可以由一個中央監(jiān)視器和多個代理組成。中央監(jiān)視器負責對整個監(jiān)視系統(tǒng)的管理，它應該處于一個相對安全的地方。代理則被安放在被監(jiān)視的主機上 (如服務器、交換機、路由器等 )。代理負責對某一主機的活動進行監(jiān)視，如收集主機運行時 的審計數據和操作系統(tǒng)的數據信息，然后將這些數據傳送到中央監(jiān)視器。代理也可以接受中央監(jiān)控器的指令。這種系統(tǒng)的優(yōu)點是可以對大型分布式網絡進行檢測。 畢業(yè)設計（論文）專用紙 第 頁 12 第 3 章 入侵檢測的功能和關鍵技術 入侵檢測的功能 一個入侵檢測系統(tǒng)的功能結構至少包含事件提取、入侵分析、入侵響應和遠程管理四部分功能。 事件提取功能負責提取與被保護系統(tǒng)相關的運行數據或記錄，并負責對數據進行簡單的過濾。 入侵分析的任務就是在提取到的運行數據中找出入侵的痕跡，將授權的正常訪問行為和非授權的不正常訪問行為區(qū)分開，分析出入侵行為并對入侵者 進行定位。 入侵響應功能在分析出入侵行為后被觸發(fā)，根據入侵行為產生響應。 由于單個入侵檢測系統(tǒng)的檢測能力和檢測范圍的限制，入侵檢測系統(tǒng)一般采用分布監(jiān)視集中管理的結構，多個檢測單元運行于網絡中的各個網段或系統(tǒng)上，通過遠程管理功能在一臺管理站點上實現統(tǒng)一的管理和監(jiān)控。 入侵檢測的作用 防火墻是 Inter 網絡上最有效的安全保護屏障，防火墻在網絡安全中起到大門警衛(wèi)的作用，對進出的數據依照預先設定的規(guī)則進行匹配，符合規(guī)則的就予以放行，起到訪問控制的作用，是網絡安全的第一道閘門。但防火墻的功能也有局限 性，防火墻只能對進出網絡的數據進行分析，對網絡內部發(fā)生的事件完全無能為力。它是盡量阻止攻擊或延緩攻擊。在網絡環(huán)境下不但攻擊手段層出不窮，而且操作系統(tǒng)、安全系統(tǒng)也可能存在未知的漏洞，這就需要引入主動防御技術對系統(tǒng)安全加以補充，目前主動防御技術主要就是入侵檢測技術。 同時，由于防火墻處于網關的位置，不可能對進出攻擊作太多判斷，否則會嚴重影響網絡性能。如果把防火墻比作大門警衛(wèi)的話，入侵檢測就是網絡中不間斷的攝像機，入侵檢測通過旁路監(jiān)聽的方式不間斷的收取網絡數據，對網絡的運行和性能無任何影響，同時判斷其中是 否含有攻擊的企圖，通過各種手段向管理員報警。 畢業(yè)設計（論文）專用紙 第 頁 13 異常檢測技術 統(tǒng)計學方法 統(tǒng)計模型常用于對異常行為的檢測 ,在統(tǒng)計模型中常用的測量參數包括審計事件的數量、間隔時間、資源消耗情況等。目前提出了可用于入侵檢測的 5 種統(tǒng)計模型包括： 操作模型 :該模型假設異常可通過測量結果與一些固定指標相比較得到 ,固定指標可以根據經驗值或一段時間內的統(tǒng)計平均得到 ,舉例來說 ,在短時間內的多次失敗的登錄很可能是口令嘗試攻擊。 方差 :計算參數的方差 ,設定其置信區(qū)間 ,當測量值超過置信區(qū)間的范圍時表明有可能是異常。 多元 模型 :操作模型的擴展 ,通過同時分析多個參數實現檢測。 馬爾柯夫過程模型 :將每種類型的事件定義為系統(tǒng)狀態(tài) ,用狀態(tài)轉移矩陣來表示狀態(tài)的變化 ,若對應于發(fā)生事件的狀態(tài)矩陣中轉移概率較小 ,則該事件可能是異常事件。 時間序列分析 :將事件計數與資源耗用根據時間排成序列 ,如果一個新事件在該時間發(fā)生的概率較低 ,則該事件可能是入侵。 入侵檢測的統(tǒng)計分析首先計算用戶會話過程的統(tǒng)計參數 ,再進行與閾值比較處理與加權處理 ,最終通過計算其 可疑 概率分析其為入侵事件的可能性。統(tǒng)計方法的最大優(yōu)點是它可以 學習 用戶的使用習慣 ,從而具 有較高檢出率與可用性。但是它的 學習 能力也給入侵者以機會通過逐步 訓練 使入侵事件符合正常操作的統(tǒng)計規(guī)律 ,從而透過入侵檢測系統(tǒng)。 入侵檢測的軟計算方法 入侵檢測的方法可有多種 ,針對異常入侵行為檢測的策略與方法往往也不是固定的 ,智能計算技術在入侵檢測中的應用將大大提高檢測的效率與準確性。所謂軟計算的方法包含了神經網絡、遺傳算法與模糊技術。 基于專家系統(tǒng)的入侵檢測方法 基于專家系統(tǒng)的入侵檢測方法與運用統(tǒng)計方法與神經網絡對入侵進行檢測的方法不同 ,用專家系統(tǒng)對入侵進行檢測 ,經常是針對有 特征的入侵行為。 所謂的規(guī)則 ,即是知識。不同的系統(tǒng)與設置具有不同的規(guī)則 ,且規(guī)則之間往往無通用 畢業(yè)設計（論文）專用紙 第 頁 14 性。專家系統(tǒng)的建立依賴于知識庫的完備性 ,知識庫的完備性又取決于審計記錄的完備性與實時性。特征入侵的特征抽取與表達 ,是入侵檢測專家系統(tǒng)的關鍵。將有關入侵的知識轉化為 ifthen 結構 (也可以是復合結構 ),if 部分為入侵特征 ,then 部分是系統(tǒng)防范措施。 運用專家系統(tǒng)防范有特征入侵行為的有效性完全取決于專家系統(tǒng)知識庫的完備性 ,建立一個完備的知識庫對于一個大型網絡系統(tǒng)往往是不可能的 ,且如何根據審計記錄中的事件 ,提取狀態(tài) 行為與語言環(huán)境也是較困難的。例如 ,ISS 公司為了建立比較完備的專家系統(tǒng) ,一方面與地下組織建立良好關系 ,并成立由許多工作人員與專家組成的XForce 組織來進行這一工作。 由于專家系統(tǒng)的不可移植性與規(guī)則的不完備性?，F已不宜單獨用于入侵檢測 ,或單獨形成商品軟件。較適用的方法是將專家系統(tǒng)與采用軟計算方法技術的入侵檢測系統(tǒng)結合在一起 ,構成一個以已知的入侵規(guī)則為基礎 ,可擴展的動態(tài)入侵事件檢測系統(tǒng) ,自適應地進行特征與異常檢測 ,實現高效的入侵檢測及其防御。 誤用檢測技術 又稱為基于知識的檢測。其基本前提是：假定 所有可能的入侵行為都能被識別和表示。首先， 對已知的攻擊方法進行攻擊簽名 (攻擊簽名是指用一種特定的方式來表示已知的攻擊模式 )表示，然后根據已經定義好的攻擊簽名，通過判斷這些攻擊簽名是否出現來判斷入侵行為的發(fā)生與否。這種方法是依據是否出現攻擊簽名來判斷入侵行為，是一種直接的方法。 基于專家系統(tǒng)的誤用入侵檢測 專家系統(tǒng)是基于知識的檢測中運用最多的一種方法。該方法將有關入侵的知識轉化成 ifthen 結構的規(guī)則，即將構成入侵所要求的條件轉化為 if 部分，將發(fā)現入侵后采取的相應措施轉化成 then 部分。當其中 某個或某部分條件滿足時，系統(tǒng)就判斷為入侵行為發(fā)生。其中的 ifthen 結構構成了描述具體攻擊的規(guī)則庫。條件部分，即 if 后的規(guī)則化描述，可根據審計事件得到，然后根據規(guī)則和行為進行判斷，執(zhí)行 then 后的動作。 在具體實現中，專家系統(tǒng)需要從各種入侵手段中抽象出全面的規(guī)則化知識，需處理大量數據，在大型系統(tǒng)上尤為明顯。因此，大多運用與專家系統(tǒng)類似的特征分析法。特 畢業(yè)設計（論文）專用紙 第 頁 15 征分析不是將攻擊方法的語義描述轉化為檢測規(guī)則，而是在審計記錄中能直接找到的信息形式。這樣大大提高了檢測效率。這種方法的缺陷也和所有基于知識的檢測方法一樣，即需 要經常為新發(fā)現的系統(tǒng)漏洞更新知識庫，而且由于對不同操作系統(tǒng)平臺的具體攻擊方法和審計方式可能不同，特征分析檢測系統(tǒng)必須能適應這些不同。 基于模型推理的誤用入侵檢測 模型推理是指結合攻擊腳本來推斷入侵行為是否出現。其中有關攻擊者行為的知識被描述為：攻擊目的，攻擊者為達到此目的可能的行為步驟，以及對系統(tǒng)的特殊使用等?；谀Ｐ屯评淼恼`用檢測方法工作過程如下： （ 1） 根據攻擊知識建立攻擊腳本庫，每一腳本都由一系列攻擊行為組成； （ 2） 用這些攻擊腳本的子集來匹配當前行為模式，發(fā)現系統(tǒng)正面臨的可能攻擊； （ 3） 將當前行為模式輸入預測器模塊，產生下一個需要驗證的攻擊腳本子集，并將它傳給決策器； （ 4） 決策器根據這些假設的攻擊行為在審討記錄中的可能出現方式，將它們轉換成與特定系統(tǒng)匹配的審計記錄格式，然后在審計記錄中尋找相應信息來判斷這些行為模式是否為攻擊行為。 假設的初始攻擊腳本子集應易于在審計記錄中識別，并且出現頻率很高。隨著一些腳本被確認的次數增多，另一些腳本被確認的次數減少，從而攻擊腳本不斷地得到更新。 模型推理方法對不確定性的推理有合理的數學理論基礎，同時決策器使得攻擊腳本可以與審計記錄的上下文無關。另外， 這種檢測方法減少了需要處理的數據量。但其創(chuàng)建入侵檢 測模型的工作量比較大，并且決策器轉換攻擊腳本比較復雜。 基于狀態(tài)轉換分析的誤用入侵檢測 狀態(tài)轉換分析是將狀態(tài)轉換圖應用于入侵行為分析，它最早由 R． Kemmerer 提出。狀態(tài)轉換法將入侵過程看作一個行為序列，這個行為序列導致系統(tǒng)從初始狀態(tài)轉到被入侵狀態(tài)。 分析時首先針對每一種入侵方法確定系統(tǒng)的初始狀態(tài)和被入侵狀態(tài)，以及導致狀態(tài)轉換的轉換條件，即導致系統(tǒng)進人被入侵狀態(tài)必須執(zhí)行的操作 (特征事件 )；然后用狀態(tài)轉換 畢業(yè)設計（論文）專用紙 第 頁 16 圖來表示每一個狀態(tài)和特征事件，這些事件被 集成于模型中，所以檢測時不需要一個個地查找審計記錄。但是，狀態(tài)轉換是針對事件序列分析，所以不宜于分析十分復雜的事件，而且不能檢測與系統(tǒng)狀態(tài)無關的入侵。 基于條件概率的誤用入侵檢測 基于條件概率的誤用入侵檢測方法將入侵方式對應于一個事件序列，然后通過觀測事件發(fā)生的情況來推測入侵的出現。這種方法的依據是外部事件序列，根據貝葉斯定理