【文章內(nèi)容簡(jiǎn)介】 ，系統(tǒng)的活動(dòng)行為是不斷變化的，就需要不斷的在線學(xué)習(xí)。該過程將帶來(lái)兩個(gè)可能后果，其一是在線學(xué)習(xí)階段，入侵檢測(cè)系統(tǒng)無(wú)法正常工作，否則生成額外的虛報(bào)警信號(hào)。還有一種可能性是，在學(xué)習(xí)階段，信息正遭受著非法的入侵攻擊，帶來(lái)的后果是，入侵檢測(cè)系統(tǒng)的學(xué)習(xí)結(jié)果中包含了相關(guān)入侵行為的信息，這樣系統(tǒng)就無(wú)法檢測(cè)到該種入侵行為。 在非規(guī)則入侵檢測(cè)中，最廣泛使用的技術(shù)是統(tǒng)計(jì) 分析 (Statistics Analysis)。系統(tǒng)或者用戶的當(dāng)前行為通過按一定時(shí)間間隔采樣并計(jì)算出的一系列參數(shù)變量來(lái)描述，如每個(gè)會(huì)話進(jìn)程的登錄和退出時(shí)間，占用資源的時(shí)間長(zhǎng)短。在最初的模型中，系統(tǒng)計(jì)算出所有的變量的平均值，然后根據(jù)平均偏差檢測(cè)當(dāng)前行為是否超過了某一值，當(dāng)然，這樣的模型是很簡(jiǎn)單和粗糙的，無(wú)法準(zhǔn)確檢測(cè)異?；顒?dòng)。進(jìn)一步的算法將單個(gè)用戶的參數(shù)變量數(shù)值與積累起來(lái)的群體參數(shù)變量進(jìn)行比較，但是檢測(cè)能力的提高還是不大。目前在幾種非規(guī)則檢測(cè)系統(tǒng)中使用了一種更加復(fù)雜的模型，檢測(cè)系統(tǒng)同時(shí)計(jì)算并比較每個(gè)用戶的長(zhǎng)期和 短期活動(dòng)狀態(tài)，而狀態(tài)信息隨著用戶行為的變化而不斷更新。 另一種主要的非規(guī)則檢測(cè)技術(shù)是神經(jīng)網(wǎng)絡(luò)技術(shù)。神經(jīng)網(wǎng)絡(luò)技術(shù)通學(xué)習(xí)已有輸入 —— 輸出矢量對(duì)集合，進(jìn)而抽象出其內(nèi)在的聯(lián)系，然后得到新的輸入 —— 輸出的關(guān)系；這種技術(shù)在理論上能夠用來(lái)審計(jì)數(shù)據(jù)流中檢測(cè)入侵的痕跡。然而，目前尚無(wú)可靠地理論能夠說(shuō)明神經(jīng)網(wǎng)絡(luò)是如何學(xué)習(xí)范例中的內(nèi)在關(guān)系的。神經(jīng)網(wǎng)絡(luò)技術(shù)和統(tǒng)計(jì)分析技術(shù)的某些相似之處已經(jīng)被理論證明，而使用神經(jīng)網(wǎng)絡(luò)技術(shù)的優(yōu)勢(shì)在于它們能夠以一種更加簡(jiǎn)潔快速的方式來(lái)表示各種狀態(tài)變量之間的非線性關(guān)系，同時(shí)，能夠自動(dòng)進(jìn)行學(xué)習(xí) /重新訓(xùn)練的過程 。 2 入侵檢測(cè)系統(tǒng)功能： 入侵檢測(cè)系統(tǒng)（ Intrusion Detection System， IDS）是一種計(jì)算機(jī)軟件系統(tǒng)，用于自動(dòng)檢測(cè)上述入侵行為，并收集入侵證據(jù)，為數(shù)據(jù)恢復(fù)和事故處理提供依據(jù)。有些入侵檢測(cè)系統(tǒng)在檢測(cè)到入侵特征后還試圖做出某些響應(yīng)，以遏制或阻止對(duì)系統(tǒng)的威脅或破壞。 （ 1） 審計(jì)系統(tǒng)的配置和存在的脆弱性 （ 2） 評(píng)估關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性和一致性 （ 3） 分析用戶和系統(tǒng)的活動(dòng)情況 （ 4） 檢測(cè)并響應(yīng)正在進(jìn)行的或已經(jīng)實(shí)現(xiàn)的違反系統(tǒng)安全策略的入侵活動(dòng) （ 5） 收集入侵證據(jù) 在設(shè)計(jì)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)時(shí)，要特別對(duì) 來(lái)自組織機(jī)構(gòu)內(nèi)部的入侵行為予以更多的重視。據(jù) FBI的研究， 80%的入侵和攻擊行為來(lái)自于組織機(jī)構(gòu)內(nèi)部。這是由于內(nèi)部人員具有訪問系統(tǒng)資源的合法身份、了解系統(tǒng)數(shù)據(jù)的價(jià)值和熟悉系統(tǒng)的安全措施，從而可以使用某些系統(tǒng)特權(quán)或調(diào)用比審計(jì) 12 功能更低級(jí)的操作來(lái)逃避審計(jì)。 3 入侵檢測(cè)的分類 現(xiàn)有的分類，大都基于信息源和 分析 方法進(jìn)行分類。 根據(jù)信息源的不同，分為基于主機(jī)型和基于網(wǎng)絡(luò)型兩大類 基于主機(jī)的入侵檢測(cè) 系統(tǒng)（ Hostbased Intrusion Detection System， HIDS） 基于主機(jī)的 IDS 可監(jiān)測(cè)系統(tǒng)、事件和 Windows NT 下的 安全 記錄以及 Unix環(huán)境下的系統(tǒng)記錄。當(dāng)有文件被修改時(shí)， IDS將新的記錄條目與已知的攻擊特征相比較，看它們是否匹配。如果匹配，就會(huì)向系統(tǒng) 管理 員報(bào)警或者作出適當(dāng)?shù)捻憫?yīng)。 基于主機(jī)的 IDS 在發(fā)展過程 中融 入了其他技術(shù)。檢測(cè)對(duì)關(guān)鍵系統(tǒng)文件和可執(zhí)行文件入侵的一個(gè)常用方法是通過定期檢查文件的校驗(yàn)和來(lái)進(jìn)行的，以便發(fā)現(xiàn)異常的變化。反應(yīng)的快慢取決于輪訊間隔時(shí)間的長(zhǎng)短。許多產(chǎn)品都是監(jiān)聽端口的活動(dòng)，并在特定端口被訪問時(shí)向 管理 員報(bào)警。這類檢測(cè)方法將基于網(wǎng)絡(luò)的入侵檢測(cè)的基本方法融入到基于主機(jī)的檢測(cè)環(huán)境中。 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（ Networkbased Intrusion Detection System， NIDS） 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)以網(wǎng)絡(luò)包作為 分析 數(shù)據(jù)源。它通常利用一個(gè)工作在混雜模式下的網(wǎng)卡來(lái)實(shí)時(shí)監(jiān)視并 分析 通過網(wǎng)絡(luò)的數(shù)據(jù)流。它的 分析 模塊通常使用模式匹配、統(tǒng)計(jì) 分析 等技術(shù)來(lái)識(shí)別攻擊行為。一旦檢測(cè)到了攻擊行為， IDS的響應(yīng)模塊就做出適當(dāng)?shù)捻憫?yīng)，比如報(bào)警、切斷相關(guān)用戶的網(wǎng)絡(luò)連接等。不同入侵檢測(cè)系統(tǒng)在實(shí)現(xiàn)時(shí)采用的響應(yīng)方式也可能不同，但通常都 包括通知管理 員、切斷連接、記錄相關(guān)的信息以提供必要的法律依據(jù)等 [5]。 基于主機(jī)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的集成 許多機(jī)構(gòu)的網(wǎng)絡(luò) 安全 解決方案都同時(shí)采用了基于主機(jī)和基于網(wǎng)絡(luò)的兩種入侵檢測(cè)系統(tǒng)。因?yàn)檫@兩種系統(tǒng)在很大程度上是互補(bǔ)的。實(shí)際上，許多客戶在使 用 IDS時(shí)都配置了基于網(wǎng)絡(luò)的入侵檢測(cè)。在防火墻之外的檢測(cè)器檢測(cè)來(lái)自外部 Inter 的攻擊。 DNS、 Email和 Web 服務(wù)器 經(jīng)常是攻擊的目標(biāo)，但是它們又必須與外部網(wǎng)絡(luò)交互，不可能對(duì)其進(jìn)行全部屏蔽，所以應(yīng)當(dāng)在各個(gè) 服務(wù)器上安裝基于主機(jī)的入侵檢測(cè)系統(tǒng)，其檢測(cè)結(jié)果也要向分析員控制臺(tái)報(bào)告。因此，即便是小規(guī)模的網(wǎng)絡(luò)結(jié)構(gòu)也常常需要基于主機(jī)和基于網(wǎng)絡(luò)的兩種入侵檢測(cè)能力。下面給出一個(gè)中等規(guī)模的機(jī)構(gòu)設(shè)置入侵檢測(cè)系統(tǒng)的入侵檢測(cè)解決方案 [6, 7]。 根據(jù)檢測(cè)所用分析方法的不同，可分為誤用檢測(cè)和異常檢測(cè) 誤用檢測(cè)（ Misuse Detection） 設(shè)定一些入侵活動(dòng)的特征（ Signature），通過現(xiàn)在的活動(dòng)是否與這些特征匹配來(lái)檢測(cè)。常用的檢測(cè)技術(shù)為： 專家系統(tǒng)：采用一系列的檢測(cè)規(guī)則分析入侵的特征行為。規(guī)則，即知識(shí)，是專家系統(tǒng)賴以判定入侵存在與否的依據(jù)。除了知識(shí)庫(kù)的完備性外，專家系統(tǒng)還依靠條件庫(kù)的完備性，這一點(diǎn)又取決于審計(jì)記錄的完備性、實(shí)時(shí)性和易用性。此外，匹配算法的快慢，也對(duì)專家系統(tǒng)的工作效率有很大的影響。 基于模型的入侵檢測(cè)方法：入侵 者在攻擊一個(gè)系統(tǒng)時(shí)往往采用一定的行為序列，如猜測(cè)口令 13 的行為序列。這種行為序列構(gòu)成了具有一定行為特征的模型，根據(jù)這種模型所代表的攻擊意圖的行為特征，可以實(shí)時(shí)地檢測(cè)出惡意的攻擊企圖。與專家系統(tǒng)通常放棄處理那些不確定的中間結(jié)論的缺點(diǎn)相比，這一方法的優(yōu)點(diǎn)在于它基于完善的不確定性推理數(shù)學(xué)理論。基于模型的入侵檢測(cè)方法可以僅監(jiān)測(cè)一些主要的審計(jì)事件。當(dāng)這些事件發(fā)生后，再開始記錄詳細(xì)的審計(jì)，從而減少審計(jì)事件處理負(fù)荷。這種檢測(cè)方法的另外一個(gè)特點(diǎn)是可以檢測(cè)組合攻擊（ coordinate attack）和多層攻擊（ multistage attack）。為分布式 IDS 系統(tǒng)所采用。 簡(jiǎn)單模式匹配（ Pattern Matching）：基于模式匹配的入侵檢測(cè)方法將已知的入侵特征編碼成為與審計(jì)記錄相符合的模式。當(dāng)新的審計(jì)事件產(chǎn)生時(shí)，這一方法將尋找與它相匹配的已知入侵模式。 軟計(jì)算方法：軟計(jì)算方法包含了神經(jīng)網(wǎng)絡(luò)、遺傳算法與模糊技術(shù)。近年來(lái)己有關(guān)于運(yùn)用神經(jīng)網(wǎng)絡(luò)進(jìn)行入侵檢測(cè)實(shí)驗(yàn)的報(bào)道，但還沒有正式的產(chǎn)品問世。 異常檢測(cè)（ Anomaly detection） 異常檢測(cè)假設(shè)入侵者活動(dòng)異常于正常的活動(dòng)。為實(shí)現(xiàn)該類檢測(cè)， IDS 建立正?；顒?dòng)的“規(guī)范集（ Normal profile）”，當(dāng)主體的活動(dòng)違反其統(tǒng)計(jì)規(guī)律時(shí)，認(rèn)為可能是“入侵”行為。異常檢測(cè)的優(yōu)點(diǎn)之一為具有抽象系統(tǒng)正常行為從而檢測(cè)系統(tǒng)異常行為的能力。這種能力不受系統(tǒng)以前是否知道這種入侵與否的限制，所以能夠檢測(cè)新的入侵行為。大多數(shù)的正常行為的模型使用一種矩陣的數(shù)學(xué)模型，矩陣的數(shù)量來(lái)自于系統(tǒng)的各種指標(biāo)。比如 CPU 使用率、內(nèi)存使用率、登錄的時(shí)間和次數(shù)、網(wǎng)絡(luò)活動(dòng)、文件的改動(dòng)等。異常檢測(cè)的缺點(diǎn)是：若入侵者了解到檢測(cè)規(guī)律，就可以小心的避免系統(tǒng)指標(biāo)的突變，而使用逐漸改變系統(tǒng)指標(biāo)的方法逃避檢測(cè)。另外檢測(cè)效率也不高，檢測(cè)時(shí)間較長(zhǎng)。最重要的是，這是一種“事后”的檢測(cè)，當(dāng)檢測(cè)到入侵行為時(shí)，破壞早已經(jīng)發(fā)生了。 統(tǒng)計(jì)方法是當(dāng)前產(chǎn)品化的入侵檢測(cè)系統(tǒng)中常用的方法，它是一種成熟的入侵檢測(cè)方法，它使入侵檢測(cè)系統(tǒng)能夠?qū)W習(xí)主體的日常行為，將那些與正?；顒?dòng)之間存在較大統(tǒng)計(jì)偏差的活動(dòng)標(biāo)識(shí)成為異常活動(dòng)。常用的入侵檢測(cè)統(tǒng)計(jì)模型為：操作模型、方差、計(jì)算 參數(shù)的方差、多元模型、馬爾柯夫過程模型和時(shí)間序列分析。統(tǒng)計(jì)方法的最大優(yōu)點(diǎn)是它可以“學(xué)習(xí)”用戶的使用習(xí)慣，從而具有較高檢出率與可用性。但是它的“學(xué)習(xí)”能力也給入侵者以機(jī)會(huì)通過逐步“訓(xùn)練”使入侵事件符合正常操作的統(tǒng)計(jì)規(guī)律，從而透過入侵檢測(cè)系統(tǒng) [8~11]。 防火墻與入侵檢測(cè)系統(tǒng)的局限性 現(xiàn)有防火墻的不足 限制了對(duì)希望服務(wù)的訪問 。 防火墻最明顯的不利之處是它所阻塞的某種服務(wù)也許正是用戶所需要的。 大量的潛在的后門防火墻不能保護(hù)節(jié)點(diǎn)系統(tǒng)上的潛在的后門。 對(duì)內(nèi)部攻擊者幾乎無(wú)能為力防火墻一般不提供對(duì)來(lái)自于內(nèi)部威脅的保護(hù)， 即防火墻對(duì)內(nèi)部是信任的。 無(wú)法檢測(cè)加密的 Web 流量 14 如果你正在部署一個(gè)關(guān)鍵的門戶網(wǎng)站，希望所有的網(wǎng)絡(luò)層和應(yīng)用層的漏洞都被屏蔽在應(yīng)用程序之外。這個(gè)需求，對(duì)于傳統(tǒng)的網(wǎng)絡(luò)防火墻而言，是個(gè)大問題。 由于網(wǎng)絡(luò)防火墻對(duì)于加密的 SSL 流中的數(shù)據(jù)是不可見的，防火墻無(wú)法迅速截獲 SSL 數(shù)據(jù)流并對(duì)其解密，因此無(wú)法阻止應(yīng)用程序的攻擊，甚至有些網(wǎng)絡(luò)防火墻，根本就不提供 數(shù)據(jù)解密 的功能。 普通應(yīng)用程序加密后，也能輕易躲過防火墻的檢測(cè) 網(wǎng)絡(luò)防火墻無(wú)法看到的，不僅僅是 SSL 加密 的數(shù)據(jù)。對(duì)于應(yīng)用程序加密的數(shù)據(jù)，同樣也不可見。在如今大多數(shù)網(wǎng)絡(luò)防火墻中，依賴的是靜態(tài)的特征庫(kù)，與入侵監(jiān)測(cè)系統(tǒng) (IDS， Intrusion Detect System)的原理類似。只有當(dāng)應(yīng)用層攻擊行為的特征與防火墻中的數(shù)據(jù)庫(kù)中已有的特征完全匹配時(shí)，防 火墻才能識(shí)別和截獲攻擊數(shù)據(jù)。 但如今，采用常見的編碼技術(shù)，就能夠地將惡意代碼和其他攻擊命令隱藏起來(lái)，轉(zhuǎn)換成某種形式，既能欺騙前端的網(wǎng)絡(luò)安全系統(tǒng)，又能夠在后臺(tái)服務(wù)器中執(zhí)行。這種加密后的攻擊代碼，只要與防火墻規(guī)則庫(kù)中的規(guī)則不一樣，就能夠躲過網(wǎng)絡(luò)防火墻，成功避開特征匹配。 對(duì)于 Web 應(yīng)用程序，防范能力不足 網(wǎng)絡(luò)防火墻于 1990年發(fā)明，而商用的 Web 服務(wù)器，則在一年以后才面世?；跔顟B(tài)檢測(cè)的防火墻，其設(shè)計(jì)原理，是基于網(wǎng)絡(luò)層 TCP 和 IP 地址，來(lái)設(shè)置與加強(qiáng)狀態(tài)訪問控制列表 (ACLs， Access Control Lists)。在這一方面，網(wǎng)絡(luò)防火墻表現(xiàn)確實(shí)十分出色。 近年來(lái)，實(shí)際應(yīng)用過程中， HTTP 是主要的傳輸協(xié)議。主流的平臺(tái)供應(yīng)商和大的應(yīng)用程序供應(yīng)商，均已轉(zhuǎn)移到基于 Web 的體系結(jié)構(gòu)，安全防護(hù)的目標(biāo)，不再只是重要的業(yè)務(wù)數(shù)據(jù)。網(wǎng)絡(luò)防火墻的防護(hù)范圍，發(fā)生了變化。 對(duì)于常規(guī)的企業(yè)局域網(wǎng)的防范，通用的網(wǎng)絡(luò)防火墻仍占有很高的市場(chǎng)份額，繼續(xù)發(fā)揮重要作用，但對(duì)于新近出現(xiàn)的上層協(xié)議，如 XML 和 SOAP 等應(yīng)用的防范，網(wǎng)絡(luò)防火墻就顯得有些力不從心。 由于體系結(jié)構(gòu)的原因，即使是最先進(jìn)的網(wǎng)絡(luò)防火墻，在防范 Web應(yīng)用程序時(shí)，由 于無(wú)法全面控制網(wǎng)絡(luò)、應(yīng)用程序和數(shù)據(jù)流，也無(wú)法截獲應(yīng)用層的攻擊。由于對(duì)于整體的應(yīng)用數(shù)據(jù)流，缺乏完整的、基于會(huì)話 (Session)級(jí)別的監(jiān)控能力，因此很難預(yù)防新的未知的攻擊 應(yīng)用防護(hù)特性，只適用于簡(jiǎn)單情況 目前的數(shù)據(jù)中心服務(wù)器，時(shí)常會(huì)發(fā)生變動(dòng)，比如： 定期需要部署新的應(yīng)用程序 。 經(jīng)常需要增加或更新軟件模塊 。 QA們經(jīng)常會(huì)發(fā)現(xiàn)代碼中的 bug，已部署的系統(tǒng)需要定期打補(bǔ)丁。 在這樣動(dòng)態(tài)復(fù)雜的環(huán)境中，安全專家們需要采用靈活的、粗粒度的方法，實(shí)施有效的防護(hù)策略。 雖然一些先進(jìn)的網(wǎng)絡(luò)防火墻供應(yīng)商，提 出了應(yīng)用防護(hù)的特性，但只適用于簡(jiǎn)單的環(huán)境中。細(xì)看就會(huì)發(fā)現(xiàn)，對(duì)于實(shí)際的企業(yè)應(yīng)用來(lái)說(shuō)，這些特征存在著局限性。在多數(shù)情況下，彈性概念 15 (proofofconcept)的特征無(wú)法應(yīng)用于現(xiàn)實(shí)生活中的數(shù)據(jù)中心上。 比如，有些防火墻供應(yīng)商，曾經(jīng)聲稱能夠阻止緩存溢出：當(dāng)黑客在瀏覽器的 URL 中輸入太長(zhǎng)數(shù)據(jù)，試圖使后臺(tái)服務(wù)崩潰或使試圖非法訪問的時(shí)候，網(wǎng)絡(luò)防火墻能夠檢測(cè)并制止這種情況。 細(xì)看就會(huì)發(fā)現(xiàn)，這些供應(yīng)商采用對(duì) 80端口數(shù)據(jù)流中，針對(duì) URL 長(zhǎng)度進(jìn)行控制的方法，來(lái)實(shí)現(xiàn)這個(gè)功能的。 如果使用這個(gè)規(guī)則，將對(duì)所有的應(yīng)用 程序生效。如果一個(gè)程序或者是一個(gè)簡(jiǎn)單的 Web 網(wǎng)頁(yè)，確實(shí)需要涉及到很長(zhǎng)的 URL 時(shí)，就要屏蔽該規(guī)則。 網(wǎng)絡(luò)防火墻的體系結(jié)構(gòu)，決定了網(wǎng)絡(luò)防火墻是針對(duì)網(wǎng)絡(luò)端口和網(wǎng)絡(luò)層進(jìn)行操作的，因此很難對(duì)應(yīng)用層進(jìn)行防護(hù)，除非是一些很簡(jiǎn)單的應(yīng)用程序。 無(wú)法擴(kuò)展帶深度檢測(cè)功能 基于狀態(tài)檢測(cè)的網(wǎng)絡(luò)防火墻，如果希望只擴(kuò)展深度檢測(cè) (deep inspection)功能，而沒有相應(yīng)增加網(wǎng)絡(luò)性能，這是不行的。 真正的針對(duì)所有網(wǎng)絡(luò)和應(yīng)用程序流量的深度檢測(cè)功能，需要空前的處理能力，來(lái)完成大量的計(jì)算任務(wù)，包括以下幾個(gè)方面： SSL 加密 /解密功能 。 完全的雙向有效負(fù)載檢測(cè) 。 確保所有合法流量的正?；?。 廣泛的協(xié)議性能 。 這些任務(wù)，在基于標(biāo)準(zhǔn) PC 硬件上，是無(wú)法高效運(yùn)行的，雖然一些網(wǎng)絡(luò)防火墻供應(yīng)商采用的是基于 ASIC 的平臺(tái)，但進(jìn)一步研究，就能發(fā)現(xiàn)：舊的基于網(wǎng)絡(luò)的 ASIC 平臺(tái)對(duì)于新的深度檢測(cè)功能是無(wú)法支持的 3 入侵檢測(cè)系統(tǒng)不足 (1) IDS 系統(tǒng)本身還在迅速發(fā)展和變化，遠(yuǎn)未成熟 (2) 現(xiàn)有 IDS 系統(tǒng)錯(cuò)報(bào)或虛警概率偏高，嚴(yán)重干擾了結(jié)果 (3) IDS 與其它安全技術(shù)的協(xié)作性不夠 (4) IDS 缺少對(duì)檢測(cè)結(jié)果作進(jìn)一步說(shuō)明