【正文】 比如通過(guò)長(zhǎng)時(shí)間的統(tǒng)計(jì)，一個(gè)用戶 使用“ ls”命令時(shí)，帶參數(shù)的“ ls al”統(tǒng)計(jì)規(guī)律為％ 20，而在某一次登錄使用過(guò)程中使用他的使用概率達(dá)到％ 80，這肯定以該引起安全管理員的注意。 用戶行為檢測(cè)： 用戶行為檢測(cè)主要是對(duì)付內(nèi)部人員的誤用和攻擊。不同的應(yīng)用有不同的日志，因此日志分析都是針對(duì)不同的應(yīng)用的。 日志分析： 日志分析是最早出現(xiàn)的入侵檢測(cè)的方法，開(kāi)始于六、七十年代。黑客可能會(huì)將程序或服務(wù)的運(yùn)行分解，從而導(dǎo)致它失敗，或者是以非用戶或管理員意圖的方式操作。每個(gè)進(jìn)程執(zhí)行在具有不同權(quán)限的環(huán)境中，這種環(huán)境控制著進(jìn)程可訪問(wèn)的系統(tǒng)資源、程序和數(shù)據(jù)文件等。目錄和文件中的不期望的改變（包括 修改、創(chuàng)建和刪除），特別是那些正常情況下限制訪問(wèn)的，很可能就是一種入侵產(chǎn)生的指示和信號(hào)。通過(guò)查看日 志文件，能夠發(fā)現(xiàn)成功的入侵或入侵企圖，并很快地啟動(dòng)相應(yīng)的應(yīng)急響應(yīng)程序。在獲取高層信息以及實(shí)現(xiàn)一些特殊功能時(shí)，如針對(duì)系統(tǒng)資源情況的審計(jì)方面具有無(wú)法替代的作用。代理管理除與各部分間交互的部分外，主要實(shí)現(xiàn)一個(gè)動(dòng)態(tài)的更新機(jī)制。這充分保證了系統(tǒng)可靠的安全服務(wù)。如發(fā)現(xiàn)一個(gè) HTTP 請(qǐng)求某個(gè)服務(wù)器上的“ /cgibin/phf” ,這很很可能是一個(gè)攻分 布式入侵檢測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) 25 擊者正在尋找系統(tǒng)的 CGI 漏洞。如時(shí)間、特定的數(shù)據(jù)包到來(lái)、管理員啟動(dòng)、某種數(shù)據(jù)分析的結(jié)果、網(wǎng)絡(luò)上其他入侵檢測(cè)系統(tǒng)發(fā)送來(lái)數(shù)據(jù)等都可以觸發(fā)一個(gè)始數(shù)據(jù)分析函數(shù)的啟動(dòng)檢測(cè)。一個(gè)協(xié)議數(shù)據(jù)可能有多個(gè)數(shù)據(jù)分析函數(shù)來(lái)處理它，這些函數(shù)的被放到一個(gè)鏈表中。數(shù)據(jù)分析函數(shù)鏈表是包含對(duì)該協(xié)議進(jìn)行檢測(cè)的所有函數(shù)的鏈表。協(xié)議名稱是該協(xié)議的唯一標(biāo)志。一個(gè)網(wǎng)絡(luò)數(shù)據(jù)包的分析就是一條從根到某個(gè)葉子的路徑。低級(jí)的動(dòng)態(tài)鏈接庫(kù)運(yùn)行在用戶層，他把應(yīng)用程序和數(shù)據(jù)包監(jiān)聽(tīng)設(shè)備驅(qū)動(dòng)程序隔離開(kāi)來(lái)，使得應(yīng)用程序可以不加修改地在不同的 WINDOWS 系統(tǒng)上運(yùn)行。同時(shí) wincap 是從 UNIX 平臺(tái)上的 LIPCAP 移植過(guò)來(lái)的，它們具有相同的接口，減輕了不同平臺(tái)上開(kāi) 發(fā)網(wǎng)絡(luò)代理的難度。網(wǎng)絡(luò)監(jiān)聽(tīng)模塊的過(guò)濾功能的效率是該網(wǎng)絡(luò)監(jiān)聽(tīng)的關(guān)鍵，因?yàn)閷?duì)于網(wǎng)絡(luò)上的每一數(shù)據(jù)包都會(huì)使用該模塊過(guò)濾，判斷是否符合過(guò)濾條件。 可以看出，利用協(xié)議分析可以大大減小模式匹配的計(jì)算量，提高匹配的精確度，減少誤報(bào)率。 3〕 TCP協(xié)議在第 35字節(jié)處有一個(gè) 2字節(jié)的應(yīng)用層協(xié)議標(biāo)識(shí)（端口號(hào)）?；趨f(xié)議分析的入侵檢測(cè)系 統(tǒng)利用這個(gè)知識(shí)開(kāi)始第一步檢測(cè)： 1〕 跳過(guò)前面 12個(gè)字節(jié)，讀取 13字節(jié)處的 2字節(jié)協(xié)議標(biāo)識(shí)： 0800。 分 布式入侵檢測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) 21 協(xié)議分析有效利用了網(wǎng)絡(luò)協(xié)議的層次性和相關(guān)協(xié) 議的知識(shí)快速地判斷攻擊特征是否存在。 傳統(tǒng)的模式匹配的檢測(cè)方法的問(wèn)題根本是他把網(wǎng)絡(luò)數(shù)據(jù)包看作是無(wú)序的隨意的字節(jié)流。 傳統(tǒng)模式匹配方法的問(wèn)題： 計(jì)算量大：對(duì)于一個(gè)特定網(wǎng)絡(luò)的每秒需要比較的最大次數(shù)為： 攻擊特征字節(jié)數(shù)網(wǎng)絡(luò)數(shù)據(jù)包字節(jié)數(shù)每秒數(shù)據(jù)包數(shù)量攻擊特征數(shù)量 如 果所有攻擊特征長(zhǎng)度為 20字節(jié)，網(wǎng)絡(luò)數(shù)據(jù)包平均長(zhǎng)度為 30字節(jié)，每秒30,000數(shù)據(jù)包，供給特征庫(kù)中有 4000條特征，那么，每秒比較次數(shù)為： 20 x 300 x 30,000 x 4,000 = 720,000,000,000 檢測(cè)準(zhǔn)確性：傳統(tǒng)的模式匹配只能檢測(cè)特定類型的攻擊。 5〕 直到檢測(cè)到攻擊或網(wǎng)絡(luò)數(shù)據(jù)包中的所有字節(jié)匹配完畢 ，一個(gè)攻擊特征匹配結(jié)束 6〕 對(duì)于每一個(gè)攻擊特征，重復(fù) 2〕開(kāi)始的比較。他的分析速度快、誤報(bào)率小等優(yōu)點(diǎn)是其它分析方法不可比擬的。 分 布式入侵檢測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) 19 第三章 網(wǎng)絡(luò)引擎和主機(jī)代理 網(wǎng)絡(luò)引擎的設(shè)計(jì) 網(wǎng)絡(luò)引擎通過(guò)分析網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包，得到可能入侵的信息。 3．采用分接器（ Tap），將其接在所 有要監(jiān)測(cè)的線路上。 缺點(diǎn)：采用此端口會(huì)降低交換機(jī)性能。由于交換機(jī)不采用共享媒質(zhì)的 辦法，傳統(tǒng)的采用一個(gè) sniffer 來(lái)監(jiān)聽(tīng)整個(gè)子網(wǎng)的辦法不再可行。 TCP 是雙向協(xié)議，分析員必須確保計(jì)策器能從對(duì)話雙方接收信息。 關(guān)于檢測(cè)器放置的最后一個(gè)問(wèn)題就是它與誰(shuí)連接。 ? 你可以檢測(cè)到由于設(shè)置有問(wèn)題而無(wú)法通過(guò)防火墻的內(nèi)部系統(tǒng)，這可以幫助系統(tǒng)管理員。它們可不僅僅是個(gè)口號(hào)。如果本應(yīng)該被防火墻封鎖的攻擊滲透近來(lái)，檢測(cè)器在防火墻內(nèi)檢測(cè)到或就能發(fā)現(xiàn)防火墻的設(shè)置失誤。因?yàn)樵S多攻擊類型只能通過(guò)檢測(cè)是否與字符串特征一致才能被發(fā)現(xiàn)，而字符串的傳送只有在 TCP 3 次握手才能進(jìn)行。一般說(shuō)來(lái)檢測(cè)器放在防火墻附近比較好。在大型網(wǎng)絡(luò)中，分析系統(tǒng)工作負(fù)載大、存儲(chǔ)系統(tǒng)工作量也大，所以應(yīng)該分布在不同的計(jì)算機(jī)上。也可以采取主動(dòng)的反擊策略，對(duì)攻擊者進(jìn)行如 DOS 攻擊等，但這種以毒攻毒的方法在法律上是不許可的。各種分析方法都有各自的優(yōu)勢(shì)和不足，因此，系統(tǒng)中分析方法應(yīng)該是可 以動(dòng)態(tài)更換，并且多種算法可以并存的。 分析系統(tǒng)是對(duì)事件發(fā)生器捕獲的原始信息、其他入侵檢測(cè)系統(tǒng)提供的可疑信息進(jìn)行統(tǒng)一分析和和處理的系統(tǒng)。 存儲(chǔ)系統(tǒng)的作用是用來(lái)存貯事件產(chǎn)生器捕獲的原始數(shù)據(jù)、分析結(jié)果等重要數(shù)據(jù)。 分 布式入侵檢測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) 15 網(wǎng)絡(luò)引擎和主機(jī)代理屬 于 CIDF 中的 事件產(chǎn)生器（ Event generators）。在部署時(shí)，這些部件可能在同一臺(tái)計(jì)算機(jī)上，也可以各自分布在一個(gè)大型網(wǎng)絡(luò)的不同地點(diǎn)。 有效性要求：能夠證明根據(jù)某一設(shè)計(jì)所建立的入侵檢測(cè)系統(tǒng)是切實(shí)有效的。適應(yīng)性也包括入侵檢測(cè)系統(tǒng)本身對(duì)其宿主平臺(tái)的適應(yīng)性，即：跨平臺(tái)工作的能力，適應(yīng)其宿主平臺(tái)軟、硬件配置的各種不同情況。所以必須建立一種機(jī)制，把入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)與使用策略區(qū)分開(kāi)。 結(jié)構(gòu)存在問(wèn)題：現(xiàn)在的很多入侵檢測(cè)系統(tǒng)是從原來(lái)的基于網(wǎng)絡(luò)或基分 布式入侵檢測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) 13 于主機(jī)的入侵檢測(cè) 系統(tǒng)不斷改進(jìn)而得來(lái)的，在體系結(jié)構(gòu)等方面不能滿足分布、開(kāi)放等要求。 不同的入侵檢測(cè)系統(tǒng)之間不能互操作：在大型網(wǎng)絡(luò)中，網(wǎng)絡(luò)不同的部分可能使用了不同的入侵檢測(cè)系統(tǒng)，但現(xiàn)在的入侵檢測(cè)系統(tǒng)之間不能能夠交換信息，使得發(fā)現(xiàn)了攻擊時(shí)難以找到攻擊的源頭，甚至給入侵者制造了攻擊的漏洞。在如今每天都有新漏洞發(fā)布、每天都有新的攻擊方法產(chǎn)生的情況下顯然不能滿足安全需求?，F(xiàn)有的入侵檢測(cè)系統(tǒng)在 10M網(wǎng)上檢查所有數(shù)據(jù)包中的幾十種攻擊特征時(shí)可以很好地工作。 CIDF 標(biāo)準(zhǔn)還沒(méi)有正式確立，也沒(méi)有一個(gè)入侵檢測(cè)商業(yè)產(chǎn)品完全所用該標(biāo)準(zhǔn) ,但因?yàn)槿肭?檢測(cè)系統(tǒng)的特殊性，其實(shí)各種入侵檢測(cè)系統(tǒng)的模型都有很大的相似性。響應(yīng)單元?jiǎng)t是對(duì)分析結(jié)果作出作出反應(yīng)的功能單元，它可以作出切斷連接、改變文件屬性等強(qiáng)烈反應(yīng) ,甚至發(fā)動(dòng)對(duì)攻擊者的反擊，也可以只是簡(jiǎn)單的報(bào)警。它將一個(gè)入侵檢測(cè) 系統(tǒng)分為以下組件： ? 事件產(chǎn)生器（ Event generators） ? 事件分析器（ Event analyzers ? 響應(yīng)單元（ Response units ） ? 事件數(shù)據(jù)庫(kù)（ Event databases ） CIDF 將入侵檢測(cè)系統(tǒng)需要分析的數(shù)據(jù)統(tǒng)稱為事件（ event） ,它可以是基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)中網(wǎng)絡(luò)中的數(shù)據(jù)包，也可以是基于主機(jī)的入侵檢測(cè)系統(tǒng)從系統(tǒng)日志等其他途徑得到的信息。對(duì)于已知得攻擊，它可以詳細(xì)、準(zhǔn)確的報(bào)告報(bào)告出攻擊類型，但是對(duì)未知攻擊卻效果有限，而且入侵模式庫(kù)必須不斷更新。一般為了準(zhǔn)確判斷，要為不同的入侵者和不同的系統(tǒng)建立特定的攻擊腳本。實(shí)現(xiàn)一個(gè)基于規(guī)則的專家系統(tǒng)是一個(gè)知識(shí)工程問(wèn)題，而且其功能應(yīng)當(dāng)能夠隨著經(jīng)驗(yàn)的積累而利用其自學(xué)習(xí)能力進(jìn)行規(guī)則的擴(kuò)充和修正。由此專家系統(tǒng)自動(dòng)進(jìn)行對(duì)所涉及的攻擊操作的分析工作。錯(cuò)發(fā)的警報(bào)往往來(lái)自于對(duì)審計(jì)數(shù)據(jù)的統(tǒng)計(jì)算法所基于的不準(zhǔn)確或不貼切的假設(shè)。能夠判斷使用行為的合法或可疑。按照所使用的分析方法，可以分為以下幾種入 侵檢測(cè)系統(tǒng) ： 1． 基于審 計(jì)的攻擊檢測(cè) 基于審計(jì)信息的攻擊檢測(cè)工具以及自動(dòng)分析工具可以向系統(tǒng)安全管理員報(bào)告計(jì)算機(jī)系統(tǒng)活動(dòng)的評(píng)估報(bào)告，通常是脫機(jī)的、滯后的。檢測(cè)主要判別所搜集到的數(shù)據(jù)特征是否在所收集到的入侵模式庫(kù)中出現(xiàn)。相信未來(lái)的集成化的入侵檢測(cè)產(chǎn)品不僅功能更加強(qiáng)大，而且部署和使用上也更加靈活方便。聯(lián)合使用基于主機(jī)和基于網(wǎng)絡(luò)這兩種方式能夠達(dá)到更好的檢測(cè)效果?；诰W(wǎng)絡(luò)的 入侵檢測(cè)系統(tǒng) 通過(guò)檢查所有的 數(shù)據(jù) 包 的包頭 （ header）來(lái)進(jìn)行檢測(cè)，而基于主機(jī)的 入侵檢測(cè)系統(tǒng) 并不查看包首標(biāo)。 ? 占資源少 在被保護(hù)的 設(shè)備上不用占用任何資源。被捕獲的數(shù)據(jù)不僅包括的攻擊的方法，而且還包括可識(shí)別黑客身份和對(duì)其進(jìn)行起訴的信息。相反地，如果基于主機(jī)，則在每個(gè)主機(jī)上都需要一個(gè)代理，這樣的話，花費(fèi)昂貴，而且難于管理。基于網(wǎng)絡(luò)的監(jiān)視器 不運(yùn)行其他的應(yīng)用 程序， 不提供網(wǎng)絡(luò)服務(wù)，可以不響應(yīng)其他計(jì)算機(jī)。實(shí)際上，許多客戶在最初使用 IDS 時(shí)，都配置了基于網(wǎng)絡(luò)的入侵檢測(cè)?；诰W(wǎng)絡(luò)的IDS 通常利用一個(gè)運(yùn)行在隨機(jī)模式下網(wǎng)絡(luò)的適配器來(lái)實(shí)時(shí)監(jiān)視并分析通過(guò)網(wǎng)絡(luò)的所有通信業(yè)務(wù)。根據(jù)加密方式在協(xié)議堆棧中的位置的不同，基于網(wǎng)絡(luò)的系統(tǒng)可能對(duì)某些攻擊沒(méi)有反應(yīng)。所以從覆蓋足夠大的網(wǎng)絡(luò)范圍的角度出發(fā)，很難確定配置基于網(wǎng)絡(luò)的 IDS 的最佳位置。因?yàn)樗鼈儾恍枰诰W(wǎng)絡(luò)上另外安裝登記、維護(hù)及管理的硬件設(shè)備 。 ? 易于用戶剪裁 每一個(gè)主機(jī)有其自己的代理，當(dāng)然用戶剪裁更方便了。最后，基于主機(jī)的系統(tǒng)可以監(jiān)視關(guān)鍵系統(tǒng)文件和可執(zhí)行文件的更改?；谥鳈C(jī)技術(shù)還可監(jiān)視通常只有管理員才能實(shí)施的非正常行為。 ? 更加細(xì)膩 這種方法可以很容易地監(jiān)測(cè)一些活動(dòng)，如對(duì)敏感文件、目錄、程序或端口的存取，而這些活動(dòng)很難在基于 網(wǎng)絡(luò)的系統(tǒng) 中被發(fā)現(xiàn)。 盡管基于主機(jī)的入侵檢查系統(tǒng)不如基于網(wǎng)絡(luò)的入侵檢查系統(tǒng)快捷，但它確實(shí)具有基于網(wǎng)絡(luò)的系統(tǒng)無(wú)法比擬的優(yōu)點(diǎn)。對(duì)關(guān)鍵系統(tǒng)文件和可執(zhí)行文件的入侵檢測(cè)的一個(gè)常用方法，是通過(guò)定期檢查校驗(yàn)和來(lái)進(jìn)行的，以便發(fā)現(xiàn)意外的變化。通常，基于主機(jī)的 IDS 可監(jiān)測(cè)系統(tǒng)、事件和 Window NT下的安全記錄以及 UNIX 環(huán)境下的系統(tǒng)記錄。在這一較為簡(jiǎn)單的環(huán)境里，檢查可疑行為的檢驗(yàn)記錄是很常見(jiàn)的操作。 入侵檢測(cè)系統(tǒng) 入 侵檢測(cè)具有監(jiān)視分析用戶和系統(tǒng)的行為、審計(jì)系統(tǒng)配置 和 漏洞、評(píng)估敏感系統(tǒng)和數(shù)據(jù)的完整性、識(shí)別攻擊行為、對(duì)異常行為進(jìn)行統(tǒng)計(jì)、自動(dòng)地收集和系 統(tǒng) 相關(guān)的補(bǔ)丁、進(jìn)行審計(jì)跟蹤識(shí)別違反安全法規(guī) 的行為、使用誘騙服務(wù)器記錄黑客行為等功能， 使 系統(tǒng)管理員可以較有效地監(jiān)視、審計(jì)、評(píng)估自己的系統(tǒng)。而且，無(wú)論在理論上還是在實(shí)踐中，試圖 徹底填補(bǔ)一個(gè)系統(tǒng)的安全漏洞都是不可能的，也還沒(méi)有一種切實(shí)可行的辦法解決合法用戶在通過(guò) “身份鑒別 ”或 “身份認(rèn)證 ”后濫用特權(quán)的問(wèn)題 。 .防火墻 只實(shí)現(xiàn)了粗粒度的訪問(wèn)控制 。一般來(lái)說(shuō)，由多個(gè)系統(tǒng)（路由器、過(guò)濾器、代理服務(wù)器、網(wǎng)關(guān)、堡壘主機(jī)）組成的防火墻，管理上有所疏忽是在所難免的。而據(jù)權(quán)威部門統(tǒng)計(jì)結(jié)果表明，網(wǎng)絡(luò)上的安全攻擊事件有 70%以上來(lái)自內(nèi)部攻擊。 防火墻技術(shù)是內(nèi)部網(wǎng)最重要的安全技術(shù)之一，其主要功能就是控制對(duì)受保護(hù)網(wǎng)絡(luò)的非法訪問(wèn)，它通過(guò)監(jiān)視、限制、更改通過(guò)網(wǎng)絡(luò)的數(shù)據(jù)流，一方面盡可能屏蔽內(nèi)部網(wǎng) 的拓?fù)浣Y(jié)構(gòu)，另一方面對(duì)內(nèi)屏蔽外部危險(xiǎn)站點(diǎn)，用以防范外對(duì)內(nèi)、內(nèi)對(duì)外的非法訪問(wèn)。這樣的檢測(cè)機(jī)制對(duì)保證大壩的安全至關(guān)重要。 傳 統(tǒng)的信息安全技術(shù)都集中在系統(tǒng)自身的加固和防護(hù) 上。實(shí)際上，安全就是防范潛在的危機(jī)。 而“ 安全 ”是一個(gè)非常難于量化的指標(biāo)，真正是一個(gè)看不 見(jiàn) 摸不著的東西。 信 息安全是一種很難量化的概念，我們可以把信息系統(tǒng)的 “性能 ”與“安全 ”做一 個(gè) 簡(jiǎn)單的對(duì)比。 入侵檢測(cè)系統(tǒng)在未來(lái)的網(wǎng)絡(luò)安全和軍事斗爭(zhēng)中將起到非常重要的作用。我們的目標(biāo)是設(shè)計(jì)一個(gè)分布式的入侵檢測(cè)系統(tǒng)，它具有可擴(kuò)展性、跨平臺(tái)性、安全性和開(kāi)放性，并實(shí)現(xiàn)了其中的網(wǎng)絡(luò)引擎部分。在國(guó)內(nèi)，隨著上網(wǎng)的關(guān)鍵部門、關(guān)鍵業(yè)務(wù)越來(lái) 越多，迫切需要具有自主版權(quán)的入侵檢測(cè)產(chǎn)品。 PDR2 表示 Protection、 Detection、 Recovery 和 Response，即保護(hù)、檢測(cè)、恢復(fù)和響應(yīng)。 分布式入侵檢測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) 涉密論文按學(xué)校規(guī)定處理。對(duì)本文的研究做出重要貢獻(xiàn)的個(gè)人和集體，均已在文中以明確方式標(biāo)明。對(duì)本研究提供過(guò)幫助和做出過(guò)貢獻(xiàn)的個(gè)人或集體，均已在文中作了明確的說(shuō)明并表示了謝意。在主機(jī)代理中的網(wǎng)絡(luò)接口檢測(cè)功能，有效地解決了未來(lái)交換式網(wǎng)絡(luò)中入侵檢測(cè)系統(tǒng)無(wú)法檢測(cè)的致命弱點(diǎn)。 本文提出一種基于部件的入侵檢測(cè)系統(tǒng)，具有良好的分布性能和可擴(kuò)展性。分布式入侵檢測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) 分布式入侵監(jiān)測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) 摘 要 隨著黑客入侵事件的日益猖獗，人們發(fā)現(xiàn)只從防御的角度構(gòu)造安全系統(tǒng)是不夠的。他將基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測(cè)系統(tǒng)有機(jī)地結(jié)合在一起，提供集成化的檢測(cè)、報(bào)告和 響應(yīng) 功能 。 關(guān)鍵字 入侵檢測(cè)；模式匹配 分布式入侵檢測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) Abstract With more and more site intruded by hackers, security expert found than only use crypt technology to build a security system is not enough. The Intrusion Detection is a new security technology, apart from tradition security protect techn