【文章內容簡介】 ，系統(tǒng)的活動行為是不斷變化的，就需要不斷的在線學習。該過程將帶來兩個可能后果，其一是在線學習階段，入侵檢測系統(tǒng)無法正常工作，否則生成額外的虛報警信號。還有一種可能性是，在學習階段，信息正遭受著非法的入侵攻擊，帶來的后果是，入侵檢測系統(tǒng)的學習結果中包含了相關入侵行為的信息，這樣系統(tǒng)就無法檢測到該種入侵行為。 在非規(guī)則入侵檢測中，最廣泛使用的技術是統(tǒng)計 分析 (Statistics Analysis)。系統(tǒng)或者用戶的當前行為通過按一定時間間隔采樣并計算出的一系列參數(shù)變量來描述，如每個會話進程的登錄和退出時間，占用資源的時間長短。在最初的模型中，系統(tǒng)計算出所有的變量的平均值，然后根據平均偏差檢測當前行為是否超過了某一值，當然，這樣的模型是很簡單和粗糙的，無法準確檢測異常活動。進一步的算法將單個用戶的參數(shù)變量數(shù)值與積累起來的群體參數(shù)變量進行比較，但是檢測能力的提高還是不大。目前在幾種非規(guī)則檢測系統(tǒng)中使用了一種更加復雜的模型，檢測系統(tǒng)同時計算并比較每個用戶的長期和 短期活動狀態(tài)，而狀態(tài)信息隨著用戶行為的變化而不斷更新。 另一種主要的非規(guī)則檢測技術是神經網絡技術。神經網絡技術通學習已有輸入 —— 輸出矢量對集合，進而抽象出其內在的聯(lián)系，然后得到新的輸入 —— 輸出的關系；這種技術在理論上能夠用來審計數(shù)據流中檢測入侵的痕跡。然而，目前尚無可靠地理論能夠說明神經網絡是如何學習范例中的內在關系的。神經網絡技術和統(tǒng)計分析技術的某些相似之處已經被理論證明，而使用神經網絡技術的優(yōu)勢在于它們能夠以一種更加簡潔快速的方式來表示各種狀態(tài)變量之間的非線性關系，同時，能夠自動進行學習 /重新訓練的過程 。 2 入侵檢測系統(tǒng)功能： 入侵檢測系統(tǒng)（ Intrusion Detection System， IDS）是一種計算機軟件系統(tǒng)，用于自動檢測上述入侵行為，并收集入侵證據，為數(shù)據恢復和事故處理提供依據。有些入侵檢測系統(tǒng)在檢測到入侵特征后還試圖做出某些響應，以遏制或阻止對系統(tǒng)的威脅或破壞。 （ 1） 審計系統(tǒng)的配置和存在的脆弱性 （ 2） 評估關鍵系統(tǒng)和數(shù)據文件的完整性和一致性 （ 3） 分析用戶和系統(tǒng)的活動情況 （ 4） 檢測并響應正在進行的或已經實現(xiàn)的違反系統(tǒng)安全策略的入侵活動 （ 5） 收集入侵證據 在設計網絡入侵檢測系統(tǒng)時，要特別對 來自組織機構內部的入侵行為予以更多的重視。據 FBI的研究， 80%的入侵和攻擊行為來自于組織機構內部。這是由于內部人員具有訪問系統(tǒng)資源的合法身份、了解系統(tǒng)數(shù)據的價值和熟悉系統(tǒng)的安全措施，從而可以使用某些系統(tǒng)特權或調用比審計 12 功能更低級的操作來逃避審計。 3 入侵檢測的分類 現(xiàn)有的分類，大都基于信息源和 分析 方法進行分類。 根據信息源的不同，分為基于主機型和基于網絡型兩大類 基于主機的入侵檢測 系統(tǒng)（ Hostbased Intrusion Detection System， HIDS） 基于主機的 IDS 可監(jiān)測系統(tǒng)、事件和 Windows NT 下的 安全 記錄以及 Unix環(huán)境下的系統(tǒng)記錄。當有文件被修改時， IDS將新的記錄條目與已知的攻擊特征相比較，看它們是否匹配。如果匹配，就會向系統(tǒng) 管理 員報警或者作出適當?shù)捻憫? 基于主機的 IDS 在發(fā)展過程 中融 入了其他技術。檢測對關鍵系統(tǒng)文件和可執(zhí)行文件入侵的一個常用方法是通過定期檢查文件的校驗和來進行的，以便發(fā)現(xiàn)異常的變化。反應的快慢取決于輪訊間隔時間的長短。許多產品都是監(jiān)聽端口的活動，并在特定端口被訪問時向 管理 員報警。這類檢測方法將基于網絡的入侵檢測的基本方法融入到基于主機的檢測環(huán)境中。 基于網絡的入侵檢測系統(tǒng)（ Networkbased Intrusion Detection System， NIDS） 基于網絡的入侵檢測系統(tǒng)以網絡包作為 分析 數(shù)據源。它通常利用一個工作在混雜模式下的網卡來實時監(jiān)視并 分析 通過網絡的數(shù)據流。它的 分析 模塊通常使用模式匹配、統(tǒng)計 分析 等技術來識別攻擊行為。一旦檢測到了攻擊行為， IDS的響應模塊就做出適當?shù)捻憫?，比如報警、切斷相關用戶的網絡連接等。不同入侵檢測系統(tǒng)在實現(xiàn)時采用的響應方式也可能不同，但通常都 包括通知管理 員、切斷連接、記錄相關的信息以提供必要的法律依據等 [5]。 基于主機和基于網絡的入侵檢測系統(tǒng)的集成 許多機構的網絡 安全 解決方案都同時采用了基于主機和基于網絡的兩種入侵檢測系統(tǒng)。因為這兩種系統(tǒng)在很大程度上是互補的。實際上，許多客戶在使 用 IDS時都配置了基于網絡的入侵檢測。在防火墻之外的檢測器檢測來自外部 Inter 的攻擊。 DNS、 Email和 Web 服務器 經常是攻擊的目標，但是它們又必須與外部網絡交互，不可能對其進行全部屏蔽，所以應當在各個 服務器上安裝基于主機的入侵檢測系統(tǒng)，其檢測結果也要向分析員控制臺報告。因此，即便是小規(guī)模的網絡結構也常常需要基于主機和基于網絡的兩種入侵檢測能力。下面給出一個中等規(guī)模的機構設置入侵檢測系統(tǒng)的入侵檢測解決方案 [6, 7]。 根據檢測所用分析方法的不同，可分為誤用檢測和異常檢測 誤用檢測（ Misuse Detection） 設定一些入侵活動的特征（ Signature），通過現(xiàn)在的活動是否與這些特征匹配來檢測。常用的檢測技術為： 專家系統(tǒng)：采用一系列的檢測規(guī)則分析入侵的特征行為。規(guī)則，即知識，是專家系統(tǒng)賴以判定入侵存在與否的依據。除了知識庫的完備性外，專家系統(tǒng)還依靠條件庫的完備性，這一點又取決于審計記錄的完備性、實時性和易用性。此外，匹配算法的快慢，也對專家系統(tǒng)的工作效率有很大的影響。 基于模型的入侵檢測方法：入侵 者在攻擊一個系統(tǒng)時往往采用一定的行為序列，如猜測口令 13 的行為序列。這種行為序列構成了具有一定行為特征的模型，根據這種模型所代表的攻擊意圖的行為特征，可以實時地檢測出惡意的攻擊企圖。與專家系統(tǒng)通常放棄處理那些不確定的中間結論的缺點相比，這一方法的優(yōu)點在于它基于完善的不確定性推理數(shù)學理論?；谀Ｐ偷娜肭謾z測方法可以僅監(jiān)測一些主要的審計事件。當這些事件發(fā)生后，再開始記錄詳細的審計，從而減少審計事件處理負荷。這種檢測方法的另外一個特點是可以檢測組合攻擊（ coordinate attack）和多層攻擊（ multistage attack）。為分布式 IDS 系統(tǒng)所采用。 簡單模式匹配（ Pattern Matching）：基于模式匹配的入侵檢測方法將已知的入侵特征編碼成為與審計記錄相符合的模式。當新的審計事件產生時，這一方法將尋找與它相匹配的已知入侵模式。 軟計算方法：軟計算方法包含了神經網絡、遺傳算法與模糊技術。近年來己有關于運用神經網絡進行入侵檢測實驗的報道，但還沒有正式的產品問世。 異常檢測（ Anomaly detection） 異常檢測假設入侵者活動異常于正常的活動。為實現(xiàn)該類檢測， IDS 建立正?；顒拥摹耙?guī)范集（ Normal profile）”，當主體的活動違反其統(tǒng)計規(guī)律時，認為可能是“入侵”行為。異常檢測的優(yōu)點之一為具有抽象系統(tǒng)正常行為從而檢測系統(tǒng)異常行為的能力。這種能力不受系統(tǒng)以前是否知道這種入侵與否的限制，所以能夠檢測新的入侵行為。大多數(shù)的正常行為的模型使用一種矩陣的數(shù)學模型，矩陣的數(shù)量來自于系統(tǒng)的各種指標。比如 CPU 使用率、內存使用率、登錄的時間和次數(shù)、網絡活動、文件的改動等。異常檢測的缺點是：若入侵者了解到檢測規(guī)律，就可以小心的避免系統(tǒng)指標的突變，而使用逐漸改變系統(tǒng)指標的方法逃避檢測。另外檢測效率也不高，檢測時間較長。最重要的是，這是一種“事后”的檢測，當檢測到入侵行為時，破壞早已經發(fā)生了。 統(tǒng)計方法是當前產品化的入侵檢測系統(tǒng)中常用的方法，它是一種成熟的入侵檢測方法，它使入侵檢測系統(tǒng)能夠學習主體的日常行為，將那些與正?；顒又g存在較大統(tǒng)計偏差的活動標識成為異常活動。常用的入侵檢測統(tǒng)計模型為：操作模型、方差、計算 參數(shù)的方差、多元模型、馬爾柯夫過程模型和時間序列分析。統(tǒng)計方法的最大優(yōu)點是它可以“學習”用戶的使用習慣，從而具有較高檢出率與可用性。但是它的“學習”能力也給入侵者以機會通過逐步“訓練”使入侵事件符合正常操作的統(tǒng)計規(guī)律，從而透過入侵檢測系統(tǒng) [8~11]。 防火墻與入侵檢測系統(tǒng)的局限性 現(xiàn)有防火墻的不足 限制了對希望服務的訪問 。 防火墻最明顯的不利之處是它所阻塞的某種服務也許正是用戶所需要的。 大量的潛在的后門防火墻不能保護節(jié)點系統(tǒng)上的潛在的后門。 對內部攻擊者幾乎無能為力防火墻一般不提供對來自于內部威脅的保護， 即防火墻對內部是信任的。 無法檢測加密的 Web 流量 14 如果你正在部署一個關鍵的門戶網站，希望所有的網絡層和應用層的漏洞都被屏蔽在應用程序之外。這個需求，對于傳統(tǒng)的網絡防火墻而言，是個大問題。 由于網絡防火墻對于加密的 SSL 流中的數(shù)據是不可見的，防火墻無法迅速截獲 SSL 數(shù)據流并對其解密，因此無法阻止應用程序的攻擊，甚至有些網絡防火墻，根本就不提供 數(shù)據解密 的功能。 普通應用程序加密后，也能輕易躲過防火墻的檢測 網絡防火墻無法看到的，不僅僅是 SSL 加密 的數(shù)據。對于應用程序加密的數(shù)據，同樣也不可見。在如今大多數(shù)網絡防火墻中，依賴的是靜態(tài)的特征庫，與入侵監(jiān)測系統(tǒng) (IDS， Intrusion Detect System)的原理類似。只有當應用層攻擊行為的特征與防火墻中的數(shù)據庫中已有的特征完全匹配時，防 火墻才能識別和截獲攻擊數(shù)據。 但如今，采用常見的編碼技術，就能夠地將惡意代碼和其他攻擊命令隱藏起來，轉換成某種形式，既能欺騙前端的網絡安全系統(tǒng)，又能夠在后臺服務器中執(zhí)行。這種加密后的攻擊代碼，只要與防火墻規(guī)則庫中的規(guī)則不一樣，就能夠躲過網絡防火墻，成功避開特征匹配。 對于 Web 應用程序，防范能力不足 網絡防火墻于 1990年發(fā)明，而商用的 Web 服務器，則在一年以后才面世。基于狀態(tài)檢測的防火墻，其設計原理，是基于網絡層 TCP 和 IP 地址，來設置與加強狀態(tài)訪問控制列表 (ACLs， Access Control Lists)。在這一方面，網絡防火墻表現(xiàn)確實十分出色。 近年來，實際應用過程中， HTTP 是主要的傳輸協(xié)議。主流的平臺供應商和大的應用程序供應商，均已轉移到基于 Web 的體系結構，安全防護的目標，不再只是重要的業(yè)務數(shù)據。網絡防火墻的防護范圍，發(fā)生了變化。 對于常規(guī)的企業(yè)局域網的防范，通用的網絡防火墻仍占有很高的市場份額，繼續(xù)發(fā)揮重要作用，但對于新近出現(xiàn)的上層協(xié)議，如 XML 和 SOAP 等應用的防范，網絡防火墻就顯得有些力不從心。 由于體系結構的原因，即使是最先進的網絡防火墻，在防范 Web應用程序時，由 于無法全面控制網絡、應用程序和數(shù)據流，也無法截獲應用層的攻擊。由于對于整體的應用數(shù)據流，缺乏完整的、基于會話 (Session)級別的監(jiān)控能力，因此很難預防新的未知的攻擊 應用防護特性，只適用于簡單情況 目前的數(shù)據中心服務器，時常會發(fā)生變動，比如： 定期需要部署新的應用程序 。 經常需要增加或更新軟件模塊 。 QA們經常會發(fā)現(xiàn)代碼中的 bug，已部署的系統(tǒng)需要定期打補丁。 在這樣動態(tài)復雜的環(huán)境中，安全專家們需要采用靈活的、粗粒度的方法，實施有效的防護策略。 雖然一些先進的網絡防火墻供應商，提 出了應用防護的特性，但只適用于簡單的環(huán)境中。細看就會發(fā)現(xiàn)，對于實際的企業(yè)應用來說，這些特征存在著局限性。在多數(shù)情況下，彈性概念 15 (proofofconcept)的特征無法應用于現(xiàn)實生活中的數(shù)據中心上。 比如，有些防火墻供應商，曾經聲稱能夠阻止緩存溢出：當黑客在瀏覽器的 URL 中輸入太長數(shù)據，試圖使后臺服務崩潰或使試圖非法訪問的時候，網絡防火墻能夠檢測并制止這種情況。 細看就會發(fā)現(xiàn)，這些供應商采用對 80端口數(shù)據流中，針對 URL 長度進行控制的方法，來實現(xiàn)這個功能的。 如果使用這個規(guī)則，將對所有的應用 程序生效。如果一個程序或者是一個簡單的 Web 網頁，確實需要涉及到很長的 URL 時，就要屏蔽該規(guī)則。 網絡防火墻的體系結構，決定了網絡防火墻是針對網絡端口和網絡層進行操作的，因此很難對應用層進行防護，除非是一些很簡單的應用程序。 無法擴展帶深度檢測功能 基于狀態(tài)檢測的網絡防火墻，如果希望只擴展深度檢測 (deep inspection)功能，而沒有相應增加網絡性能，這是不行的。 真正的針對所有網絡和應用程序流量的深度檢測功能，需要空前的處理能力，來完成大量的計算任務，包括以下幾個方面： SSL 加密 /解密功能 。 完全的雙向有效負載檢測 。 確保所有合法流量的正?；?。 廣泛的協(xié)議性能 。 這些任務，在基于標準 PC 硬件上，是無法高效運行的，雖然一些網絡防火墻供應商采用的是基于 ASIC 的平臺，但進一步研究，就能發(fā)現(xiàn)：舊的基于網絡的 ASIC 平臺對于新的深度檢測功能是無法支持的 3 入侵檢測系統(tǒng)不足 (1) IDS 系統(tǒng)本身還在迅速發(fā)展和變化，遠未成熟 (2) 現(xiàn)有 IDS 系統(tǒng)錯報或虛警概率偏高，嚴重干擾了結果 (3) IDS 與其它安全技術的協(xié)作性不夠 (4) IDS 缺少對檢測結果作進一步說明