【正文】 主機(jī)網(wǎng)絡(luò)接。對(duì)于用戶行為的分析也是一個(gè)監(jiān)測(cè)方面。統(tǒng)計(jì)表明％ 70 的攻擊來自于內(nèi)部，所以對(duì)內(nèi)部員工行為的檢測(cè)也是很重要的一個(gè)任務(wù)。如果 WEB 服務(wù)的主頁(yè)文件被更改，幾乎可以肯定發(fā)生了攻擊。 文件監(jiān)測(cè)： 文件監(jiān)測(cè)中的文件完整性檢測(cè)也屬于傳統(tǒng)項(xiàng)目，在 UNIX平臺(tái)上早有廣泛的應(yīng)用。比如用日志分析方法分 布式入侵檢測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) 27 來檢測(cè) CGI 攻擊的代價(jià)是非常小的，但日志分析屬于事后分析，攻擊已經(jīng)完成了。當(dāng)時(shí)的系統(tǒng)管理員們通常是一行一行地手工分析程序日志，于是出現(xiàn)了一些幫助系統(tǒng)管理員分析這些程序日志的小程序，這便是最早期的入侵檢測(cè)系統(tǒng)了。 主機(jī)代理分為日志分 析、文件檢測(cè)、主機(jī)網(wǎng)絡(luò)接口檢測(cè)、用戶行為監(jiān)測(cè)及管理模塊和安全通信。 代理結(jié)構(gòu) 從以上可以看出，主機(jī)代理的數(shù)據(jù)來源比網(wǎng)絡(luò)引擎復(fù)雜得多，由于數(shù)據(jù)源的不同，分析方法也各不一樣。一個(gè)進(jìn)程出現(xiàn)了不期望的行為可能表明黑客正在入侵你的系統(tǒng)。一個(gè)進(jìn)程的執(zhí)行行為由它運(yùn)行 時(shí)執(zhí)行的操作來表現(xiàn)，操作執(zhí)行的方式不同，它利用的系統(tǒng)資源也就不同。每個(gè)在系統(tǒng)上執(zhí)行的程序由一到多個(gè)進(jìn)程來實(shí)現(xiàn)。黑客經(jīng)常替換、修改和破壞他們獲得訪問權(quán)的系統(tǒng)上的文件，同時(shí)為了隱藏系統(tǒng)中他們的表現(xiàn)及活動(dòng)痕跡，都會(huì)盡力去替換系統(tǒng)程序或修改系統(tǒng)日志文件。 2．目錄和文件中的不期望的改變 網(wǎng)絡(luò)環(huán)境中的文件系統(tǒng)包含很多軟件和數(shù)據(jù)文件，包含重要信息的文件和私有數(shù)據(jù)文件經(jīng)常是黑客修改或破壞的目標(biāo)。日志文件中記錄了各種行為分 布式入侵檢測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) 26 類型，每種類型又包含不同的信息，例如記錄“用戶活動(dòng)”類型的日志，就包含登錄、用戶 ID 改變、用戶對(duì)文件的訪問、授權(quán)和認(rèn)證信息等內(nèi)容。日志中包含發(fā)生在系統(tǒng)和網(wǎng)絡(luò)上的不尋常和不期望活動(dòng)的證據(jù)，這些證據(jù)可以指出有人正在入侵或己成功入侵了系統(tǒng)。 數(shù)據(jù)來源 主機(jī)代理的數(shù)據(jù)來源不像網(wǎng)絡(luò)引擎的數(shù)據(jù)來源那樣單一，它可以在系統(tǒng)所能夠訪問的有必要的所有地方獲得數(shù)據(jù)來分析。 主機(jī)代理 基于主機(jī)的入侵檢測(cè)要依賴于特定的操作系統(tǒng)和審計(jì)跟蹤日志獲取信息，此類系統(tǒng)的原始數(shù)據(jù)來源受到所依附具體操作系統(tǒng)平臺(tái)的限制，系統(tǒng)的實(shí)現(xiàn)主要針對(duì)某種特定的系統(tǒng) 平臺(tái)，在環(huán)境適應(yīng)性、可移植性方面問題較多。因?yàn)榭刂婆_(tái)和網(wǎng)絡(luò)代理可能是分布在網(wǎng)絡(luò)的的不同主機(jī)上，因此需要網(wǎng)絡(luò)代理有一個(gè)代碼移動(dòng)和動(dòng)態(tài)更新的機(jī)制。 引擎管理： 代理管理部分負(fù)責(zé)網(wǎng)絡(luò)引擎中各部分的協(xié)調(diào)和配置。動(dòng)態(tài)添加數(shù)據(jù)分析功能是通過添加新的動(dòng)態(tài)連接庫(kù)中的數(shù)據(jù)分析函數(shù)來實(shí)現(xiàn)的。甚至在不關(guān)閉系統(tǒng)的狀態(tài)下向系統(tǒng)動(dòng)態(tài)地添加新的數(shù)據(jù)分析功。當(dāng)前發(fā)展的趨勢(shì)是更高級(jí)的統(tǒng)計(jì)分析方法、基于專家系統(tǒng)的分析方法和機(jī)于神經(jīng)網(wǎng)絡(luò)的分析方法等。使用了快速的模式匹配算法，所有的攻擊方法被表示為模式信號(hào)存放在入侵特征數(shù)據(jù)庫(kù)中，當(dāng)前的數(shù)據(jù)如果和數(shù)據(jù)庫(kù)中某種特征匹配，就指出這是這種入侵行為。這些靈活的觸發(fā)方式提供了良好的可配置性，也提供了一個(gè)開放的分布的平臺(tái)使各種分析技術(shù)在一個(gè)系統(tǒng)中工作。 數(shù)據(jù)分析函數(shù)不僅 僅由數(shù)據(jù)包觸發(fā)，也可以是系統(tǒng)定義的某一個(gè)事件來觸發(fā)。一般情況下，數(shù)據(jù)分析盡可能地放到樹結(jié)構(gòu)的葉子結(jié)點(diǎn)上或盡可能地靠近葉子結(jié)點(diǎn)，因?yàn)闃涓糠终{(diào)用次數(shù)最多，過多的數(shù)據(jù)分析函數(shù)聚集在此會(huì)嚴(yán)重影響系統(tǒng)的性能。一個(gè)數(shù)據(jù)分析函數(shù)一般可以檢查一種協(xié)議的一類型入侵，這樣可以方便的進(jìn)行配置。該鏈表的每一結(jié)點(diǎn)包含可配置的數(shù)據(jù)，如是否啟動(dòng)該檢測(cè)函數(shù) 等。協(xié)議特征是用于判定一個(gè)數(shù)據(jù)包是否為該協(xié)議的特征數(shù)據(jù) ,這是協(xié)議分析模塊判斷該數(shù)據(jù)包的協(xié)議類型的主要依據(jù)。協(xié)議代號(hào)是為了提高分析速度用的編號(hào)。 樹的結(jié)點(diǎn)數(shù)據(jù)結(jié)構(gòu)中應(yīng)包含以下信息：該協(xié)議的特征、協(xié)議名稱、協(xié)議代號(hào)，下級(jí)協(xié)議代號(hào)，協(xié)議對(duì)應(yīng)的數(shù)據(jù)分析函數(shù)鏈表。在程序中動(dòng)態(tài)地維護(hù)和配置此樹結(jié)構(gòu)即可實(shí)現(xiàn)非常靈活的協(xié)議分析功能?？梢园阉械膮f(xié)議構(gòu)成一棵協(xié)議樹，一個(gè)特定的協(xié)議是該樹結(jié)構(gòu)中的一個(gè)結(jié)點(diǎn)，可以用一棵二叉樹來表示（如圖 3－ 3）。高級(jí)的靜態(tài)鏈接庫(kù)和應(yīng)用程序編譯在一起，他使用低級(jí)動(dòng)態(tài)鏈接庫(kù)提供 的服務(wù)，向應(yīng)用程序提供完善的監(jiān)聽接口。數(shù)據(jù)包監(jiān)聽設(shè)備驅(qū)動(dòng)程序支持BPF 過濾機(jī)制，可以靈活地設(shè)置過濾規(guī)則。 Wincap 有三部分組成：一個(gè)數(shù)據(jù)包監(jiān)聽設(shè)備驅(qū)動(dòng)程序，一個(gè)低級(jí)的動(dòng)態(tài)連接庫(kù)和一個(gè)高級(jí)的靜態(tài)連接庫(kù)。我們采用了專門為數(shù)據(jù)監(jiān)聽?wèi)?yīng)用程序設(shè)計(jì)的開發(fā)包里 Wincap 來實(shí)現(xiàn)這模塊，開發(fā)包中內(nèi)置的內(nèi)核層實(shí)現(xiàn)的 BDF 過濾機(jī)制和許多接口函數(shù)不但能夠提高監(jiān)聽部分的效率，也降低了我們開發(fā)的難度。低效率的過濾程序會(huì)導(dǎo)致數(shù)據(jù)包丟失、分析部分來不及處理等。由于效率的需要，有時(shí)要根據(jù)設(shè)置過濾網(wǎng)絡(luò)上的一些數(shù)據(jù)包，如特定 IP，特定 MAC地址、特 定協(xié)議的數(shù)據(jù)包。 網(wǎng)絡(luò)引擎設(shè)計(jì) 網(wǎng)絡(luò)引擎一般可分為以下幾部分：數(shù)據(jù)包截獲、協(xié)議分析、數(shù)據(jù)分析、引擎管理和安全通信。 HTTP 協(xié)議規(guī)定第 55 字節(jié)是 URL開始處，我們要檢測(cè)供給特征“ GET /cgibin/./phf”，因此要仔細(xì)檢測(cè)這個(gè) URL。于是系統(tǒng)跳過第 25到 34字節(jié)直接讀取第 35字節(jié)的端口號(hào)： 80。因此系統(tǒng)跳過的 15到 24字節(jié)直接讀取第四層協(xié)議標(biāo)識(shí)： 06，這個(gè)數(shù)據(jù)包是TCP協(xié)議。根據(jù)協(xié)議規(guī)范可以判斷這個(gè)網(wǎng)絡(luò)數(shù)據(jù)包是 IP包。 以下是基于協(xié)議分析的入侵檢測(cè)系統(tǒng)如何處理上面例中的數(shù)據(jù)包的： AF7*Hy289s820800B9v5yt$0611tbhk76500801293ugdB2%00397e3912345678901234567890123456789012345678901234567890123456 協(xié)議規(guī)范指出以太網(wǎng)絡(luò)數(shù)據(jù)包中第 13字節(jié)處包含了兩個(gè)字節(jié)的第三層協(xié)議標(biāo)識(shí)。他的高效使得匹配的計(jì)算量大幅度減小?？墒蔷W(wǎng)絡(luò)通信協(xié)議是一個(gè)高度格式化的、具有明確含義和取值的數(shù)據(jù)流，如果將協(xié)議分析和模式匹配方法結(jié)合起來，可以獲得更好的效率、更精確的結(jié)果。他對(duì)該網(wǎng)絡(luò)數(shù)據(jù)包的內(nèi)部結(jié)構(gòu)完全不了解。但以上的匹配方法卻不能檢測(cè)。對(duì)攻擊特征微小的變形都將使得檢測(cè)失敗。 AF7*Hy289s820800B9v5yt$0611tbhk76500801293ugdB2%00397e3912345678901234567890123456789012345678901234567890123456 為監(jiān)聽到的網(wǎng)絡(luò)數(shù)據(jù)包，對(duì)于攻擊模式 “GET /cgibin/./phf”，首先從數(shù)據(jù)包頭部開始比較： 分 布式入侵檢測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) 20 GET /cgibin/./phf AF7*Hy289s820800B9v5yt$0611tbhk76500801293ugdB2%00397e3912345678901234567890123456789012345678901234567890123456 比較不成功，移動(dòng)一個(gè)字節(jié)重新比較 /cgibin/./phf AF7*Hy289s820800B9v5yt$0611tbhk76500801293ugdB2%00397e3912345678901234567890123456789012345678901234567890123456 還是不成功，再移動(dòng)一次 : GET /cgibin/./phf AF7*Hy289s820800B9v5yt$0611tbhk76500801293ugdB2%00397e3912345678901234567890123456789012345678901234567890123456 重復(fù)比較，沒有一次匹配成功。 7〕 直到每一個(gè)攻擊特征匹配完畢，對(duì)給數(shù)據(jù)包的匹配完畢。分析如下： 2〕 從網(wǎng)絡(luò)數(shù)據(jù)包的包頭開始和攻擊特征比較 3〕 如果比較結(jié)果相同，則檢測(cè)到一個(gè)可能的攻擊 4〕 如果比較結(jié)果不同，從網(wǎng)絡(luò)數(shù)據(jù)包中下一個(gè)位置重新開始比較。單純使用模式匹配的方法有很大的弊端，在網(wǎng)絡(luò)引擎中我們使用協(xié)議分析和模式匹配結(jié)合的方法來分析網(wǎng)絡(luò)數(shù)據(jù)包。 檢測(cè)匹配方法的改進(jìn) 模 式匹配是第一代和第二代入侵檢測(cè)系統(tǒng)所使用的基于攻擊特征的網(wǎng)絡(luò)數(shù)據(jù)包分析技術(shù)。他不單單是一個(gè)數(shù)據(jù)產(chǎn)生和傳輸?shù)墓ぞ撸簿哂幸欢ǖ姆治瞿芰Α? 4．使用具有網(wǎng)絡(luò)接口檢測(cè)功能的主機(jī)代理。采用分接器的網(wǎng)絡(luò)結(jié)構(gòu)如下： 圖 23 分接器部署 優(yōu)點(diǎn)：再不降低網(wǎng)絡(luò)性能的前提下收集了所需的信息。 缺點(diǎn)：必須與其他廠商緊密合作，且會(huì)降低網(wǎng)絡(luò)性能。 2．把入侵檢測(cè)系統(tǒng)放在交換機(jī)內(nèi)部或防火墻內(nèi)部等數(shù)據(jù)流的關(guān)鍵入口、出口。 優(yōu)點(diǎn)：無需改變 IDS 體系結(jié)構(gòu)?？山鉀Q的辦法有： 1．交換機(jī)的核心芯片上一般有一個(gè)用于調(diào)試的端口（ span port），任何其他端口的進(jìn)出信息都可從此得到。 分 布式入侵檢測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) 18 對(duì)于交換式以太網(wǎng)交換機(jī)，問題則會(huì)變得復(fù)雜。還必須對(duì)檢測(cè)器進(jìn)行測(cè)試以保證它能從交換位置可靠地發(fā)送數(shù)據(jù)。如果檢測(cè)器要在交換網(wǎng)絡(luò)中工作，就必須對(duì)它進(jìn)行測(cè)試。網(wǎng)絡(luò)在不斷地升級(jí)到 交換 VLAN 環(huán)境中。許多入侵檢測(cè)系統(tǒng)都可以在不同位置支持機(jī)構(gòu)，這些檢測(cè)器可能在： ? 與你有直接聯(lián)系的合伙人和經(jīng)常在防火墻內(nèi)的供應(yīng)商處； ? 高價(jià)值的地方，比如研究或會(huì)計(jì)網(wǎng)絡(luò)； ? 有大量不穩(wěn)定雇員（例如顧問或臨時(shí)職員）的地方； ? 已被外部人員當(dāng)作目標(biāo)的子網(wǎng)或是已有跡象顯示有入侵和其他非法活動(dòng)的子網(wǎng)。 如果你們機(jī)構(gòu)使用的是昂貴的入侵檢測(cè)系統(tǒng)解決方案，那么就不值得用這 種檢測(cè)器放置方法，如果你使用內(nèi)外雙重檢測(cè)器，那就用防火墻內(nèi)部的監(jiān)測(cè)器做為緊急報(bào)警的裝置。 ? 你可以檢測(cè)來自內(nèi)部和外部的攻擊。我在防火墻內(nèi)外多防止了檢測(cè)器。 3. 防火墻內(nèi)外都有檢測(cè)器 “越多越好”、“各有優(yōu)勢(shì)”你可能聽過這類口號(hào)。也許將檢測(cè)器放在防火墻內(nèi)部的最大理由就是設(shè)置良好的防火墻能夠阻止大部分的“幼稚腳本”的攻擊，使檢測(cè)器不用將大部分的注意力 分散在這類攻擊上。 2. 檢測(cè)器在防火墻內(nèi) 有一些研究者認(rèn)為檢測(cè)器應(yīng)放在防火墻內(nèi)部，這種做法也有幾個(gè)充分理由，他們認(rèn)為，如果攻擊者能夠發(fā)現(xiàn)檢測(cè)器，就可能會(huì)對(duì)檢測(cè)器進(jìn)行攻擊，從而減小攻擊者的行動(dòng)被審計(jì)的機(jī)會(huì)，防火墻內(nèi)的系統(tǒng)會(huì)比外分 布式入侵檢測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) 17 面的系統(tǒng)脆弱性少一些，如果檢測(cè)器在防火墻內(nèi)就會(huì)少一些干擾，從而有可能減少誤報(bào)警 。 雖然放在防火墻外的檢測(cè)器無法檢測(cè)到攻擊，但那種位置仍然是對(duì)攻擊進(jìn)行檢測(cè)的最佳位置。這種安排使檢測(cè)器可以看見所有來自 Inter 的攻擊，然而如果攻擊類型是 TCP攻擊，而防火墻或過濾路由器能封鎖這種攻擊，那么入侵檢測(cè)系統(tǒng)可能就檢測(cè)不到這種攻擊的發(fā)生。 1. 放在防火墻之外 入侵檢測(cè)器通常放置在防火墻外的 DMZ 中 ( Demilitarized Zone, 非軍事區(qū) )。如果檢測(cè)器放的位置不正確，入侵檢測(cè)系統(tǒng)也無法工作在最佳狀態(tài)。 一個(gè)比較典型的小型網(wǎng)絡(luò)上的 ODIDS 部署圖為 : 分 布式入侵檢測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) 16 圖 2－ 2 ODIDS 典型部署圖 對(duì)于主機(jī)型 IDS，其數(shù)據(jù)采集部分當(dāng)然位于其所監(jiān)測(cè)的主機(jī)上。 系統(tǒng)部署 對(duì)于一個(gè)小型的網(wǎng)絡(luò)，一般把分析系統(tǒng)、存儲(chǔ)系統(tǒng)和控制臺(tái)安裝在同一個(gè)計(jì)算機(jī)上，這既是從系統(tǒng)成本上考慮，也可以增加整個(gè)系統(tǒng)的反應(yīng)速度。 控制臺(tái)是整個(gè)入侵檢測(cè)系統(tǒng)和用戶交互的界面。也可以采取保護(hù)性措施，如切斷入侵者的 TCP 連接、修改路由器的訪問控制策略等。 響應(yīng)系統(tǒng)是對(duì)確認(rèn)的入侵行為采取相應(yīng)措施的子系統(tǒng)。分析系統(tǒng)是整個(gè)入侵檢測(cè)系統(tǒng)的大腦，分析方法則是該系統(tǒng)的思維能力。分析系統(tǒng)注重于高層次的分析方法，如基于統(tǒng)計(jì)的分析方法、基于神經(jīng)網(wǎng)絡(luò)的分析方法等。因此，存儲(chǔ)系統(tǒng)應(yīng)該提供靈活的數(shù)據(jù)維護(hù)、處理和查詢服務(wù)，同時(shí)也是一個(gè)安全的日志系統(tǒng)。儲(chǔ)存的原始數(shù)據(jù)在對(duì)發(fā)現(xiàn)入侵者進(jìn)行法律制裁時(shí)提 供確鑿的證據(jù)。但他們也具有數(shù)據(jù)分析功能，對(duì)于已知的攻擊，在這些部件中所用模式匹配的方法來檢測(cè)可以大大提高系統(tǒng)的處理速度，也可以減少分析部件的工作量及系統(tǒng)網(wǎng)絡(luò)傳輸?shù)挠绊?。網(wǎng)絡(luò)引擎截獲網(wǎng)絡(luò)中的原始數(shù)據(jù)包，并從其中尋找可能的入侵信息或其他敏感信息。 圖 2－ 1 ODID 系統(tǒng)框圖 ODIDS 的主要部件有：網(wǎng)絡(luò)引擎 (Network Engine)、主機(jī)代理 (Host Agent)、存儲(chǔ)系統(tǒng) (Storage System)、分析系統(tǒng) (analyzer)、響應(yīng)系統(tǒng)(Response System)、控制臺(tái)（ Manager Console）?？傊?，部件能夠完成某 一特定的功能，并且是 ODIDS 的一部分。系統(tǒng)中的部件(Component)是具有特定功能的獨(dú)立的應(yīng)用程序、小型的系統(tǒng)或者僅僅是一個(gè)非獨(dú)立的應(yīng)用程序的功能模塊。即：對(duì)于攻擊事件的錯(cuò)報(bào)與漏報(bào)能夠控制在一定范圍內(nèi)。確保該入侵檢測(cè)系統(tǒng)的安全性與可用性。 安全性與可用性要求：入侵檢測(cè)系統(tǒng)必須盡可能的完善與健壯，不能向其宿主計(jì)算機(jī)系統(tǒng)以及其所屬的計(jì)算機(jī)環(huán)境中引入新的安全問題及安全隱患。 適應(yīng)性要求：入侵檢 測(cè)系統(tǒng)必須能夠適用于多種不同的環(huán)境，比如高速大容量計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境，并且在系統(tǒng)環(huán)境發(fā)生改變，比如增加環(huán)境中的計(jì)算機(jī)系統(tǒng)數(shù)量，改變計(jì)算機(jī)系統(tǒng)類型時(shí)，入侵檢測(cè)系統(tǒng)應(yīng)當(dāng)依然能夠不作改變正常工作。一個(gè)已經(jīng)建立的入侵檢測(cè)系統(tǒng)必須能夠保證在新的攻擊類型出現(xiàn)時(shí)，可以通過某種機(jī)制在無需對(duì)入侵檢測(cè)系統(tǒng)本身進(jìn)行改動(dòng)的情況下，使系統(tǒng)能夠檢測(cè)到新的攻擊行為。 可擴(kuò)