【正文】 在安全實(shí)踐中 ， 部署入侵檢測(cè)是一項(xiàng)繁瑣的工作 ， 需要從三個(gè)方面對(duì)入侵檢測(cè)進(jìn)行改進(jìn) ， 即突破檢測(cè)速度瓶頸制約 ， 適應(yīng)網(wǎng)絡(luò)通信需求；降低漏報(bào)和誤報(bào) ， 提高其安全性和準(zhǔn)確度；提高系統(tǒng)互動(dòng)性能 ， 增強(qiáng)全系統(tǒng)的安全性能 。 分布式入侵檢測(cè) （ Distributed Intrusion Detection） 對(duì)信息的處理方法分為兩種 ， 即分布式信息收集 、 集中式處理和分布式信息收集 、 分布式處理 。 返回本章首頁(yè) 第五章 入侵檢測(cè)技術(shù) Snort的安全防護(hù) 為保護(hù) Snort系統(tǒng)的運(yùn)行安全 ， 必須采取一些必要的安全防護(hù)措施 ， 主要包括： ?加固運(yùn)行 Snort系統(tǒng)的主機(jī) ?在隱秘端口上運(yùn)行 Snort ?在不配置 IP地址的接口上運(yùn)行 Snort 返回本章首頁(yè) 第五章 入侵檢測(cè)技術(shù) 本章小結(jié) 入侵檢測(cè) （ Intrusion Detection） 是保障網(wǎng)絡(luò)系統(tǒng)安全的關(guān)鍵部件 ， 它通過(guò)監(jiān)視受保護(hù)系統(tǒng)的狀態(tài)和活動(dòng) ， 采用誤用檢測(cè) （ Misuse Detection） 或異常檢測(cè) （ Anomaly Detection） 的方式 ， 發(fā)現(xiàn)非授權(quán)的或惡意的系統(tǒng)及網(wǎng)絡(luò)行為 ， 為防范入侵行為提供有效的手段 。 Snort會(huì)將每個(gè)包和規(guī)則集進(jìn)行匹配 ， 一旦匹配成功就會(huì)采取響應(yīng)措施 。 若只把 TCP/IP包頭信息打印在屏幕上 ，則只需要執(zhí)行下列命令： ./snort v 若顯示應(yīng)用層數(shù)據(jù) ， 則執(zhí)行： ./snort vd 若同時(shí)顯示數(shù)據(jù)鏈路層信息 ， 則執(zhí)行： ./snort vde 返回本章首頁(yè) 第五章 入侵檢測(cè)技術(shù) （ 2） 數(shù)據(jù)包記錄器 如果要把所有的數(shù)據(jù)包記錄到硬盤上 ， 則需要指定一個(gè)日志目錄 ， Snort將會(huì)自動(dòng)記錄數(shù)據(jù)包： ./snort dev l ./log 如果網(wǎng)絡(luò)速度很快 ， 或者希望日志更加緊湊以便事后分析 ， 則應(yīng)該使用二進(jìn)制日志文件格式 。 返回本章首頁(yè) 第五章 入侵檢測(cè)技術(shù) 3． Snort的工作模式 Snort有三種工作模式 ， 即嗅探器 、 數(shù)據(jù)包記錄器 、 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng) 。其中 ， CURRENT表示最新的版本號(hào) 。 （ 1） 安裝 Snort Snort必須要有 libpcap庫(kù)的支持 ， 在安裝前需確認(rèn)系統(tǒng)已經(jīng)安裝了 libpcap庫(kù) 。例如，將 Snort數(shù)據(jù)發(fā)送給數(shù)據(jù)庫(kù)系統(tǒng)，從而支持通過(guò) Web界面進(jìn)行數(shù)據(jù)分析，以增強(qiáng)對(duì)Snort捕獲數(shù)據(jù)的直觀認(rèn)識(shí)，避免耗費(fèi)大量時(shí)間查閱晦澀的日志文件。 ?簡(jiǎn)單方式安裝時(shí)，可以得到入侵?jǐn)?shù)據(jù)的文本文件或二進(jìn)制文件，然后用文本編輯器等工具進(jìn)行查看。 值得提出的是 ， Snort 在網(wǎng)絡(luò)數(shù)據(jù)流量非常大時(shí) ， 可以將數(shù)據(jù)包信息壓縮從而實(shí)現(xiàn)快速報(bào)警 。 返回本章首頁(yè) 第五章 入侵檢測(cè)技術(shù) NY學(xué) 5 1 8 S n o r t 學(xué) 學(xué) 學(xué) 學(xué) 學(xué) 學(xué) 學(xué)學(xué) 學(xué)學(xué) 學(xué) R u l e L i s t N o d e 下一 個(gè) 節(jié) 點(diǎn)學(xué) 學(xué) R u l e L i s t s 學(xué)NY學(xué) 學(xué) 學(xué) 學(xué)學(xué) 學(xué)學(xué) 學(xué) 學(xué) 學(xué) 學(xué) 學(xué) 學(xué)學(xué) 學(xué) 學(xué) 學(xué) 學(xué) 學(xué)學(xué) 學(xué) 學(xué) 學(xué) 學(xué) 學(xué) 學(xué) 學(xué) 學(xué)學(xué) 學(xué) 學(xué) 學(xué) 學(xué) 學(xué) 學(xué) 學(xué)學(xué) 學(xué) 學(xué) 學(xué) 學(xué)學(xué) 學(xué) 學(xué) 學(xué) 學(xué) 學(xué) 學(xué) 學(xué) 學(xué)學(xué) 學(xué) 學(xué) 學(xué) 學(xué) 學(xué) 學(xué) 學(xué)學(xué) 學(xué) 學(xué) 學(xué) 學(xué)Y學(xué) 學(xué) 學(xué) 學(xué) 學(xué) 學(xué) 學(xué) 學(xué)學(xué) 學(xué) T a g 學(xué) 學(xué) 學(xué) 學(xué) 學(xué) 學(xué)學(xué) 學(xué)N學(xué) 學(xué) 學(xué) 學(xué)學(xué) 學(xué) 學(xué)返回本章首頁(yè) 第五章 入侵檢測(cè)技術(shù) 3． 日志及報(bào)警子系統(tǒng) 一個(gè)好的 NIDS， 更應(yīng)該提供友好的輸出界面或發(fā)聲報(bào)警等 。 當(dāng)數(shù)據(jù)包與某個(gè) OTN 結(jié)點(diǎn)相匹配時(shí) ，即判斷此數(shù)據(jù)包為攻擊數(shù)據(jù)包 。 然后與 RTN 結(jié)點(diǎn)依次進(jìn)行匹配 ， 當(dāng)與一個(gè)頭結(jié)點(diǎn)相匹配時(shí) ， 向下與 OTN 結(jié)點(diǎn)進(jìn)行匹配 。 如圖 517所示 。Snort 定義了三種處理方式： alert （ 發(fā)送報(bào)警信息 ） 、 log（ 記錄該數(shù)據(jù)包 ） 和 pass（ 忽略該數(shù)據(jù)包 ） ， 并定義為規(guī)則的第一個(gè)匹配關(guān)鍵字 。 規(guī)則選項(xiàng)對(duì)應(yīng)于規(guī)則選項(xiàng)結(jié)點(diǎn) OTN（ Optional Tree Node） ， 包 含 報(bào) 警 信 息 （ msg） 、 匹 配 內(nèi) 容（ content） 等選項(xiàng) ， 這些內(nèi)容需要根據(jù)具體規(guī)則的性質(zhì)確定 。 Snort 將所有已知的攻擊方法以規(guī)則的形式存放在規(guī)則庫(kù)中 ， 每一條規(guī)則由規(guī)則頭和規(guī)則選項(xiàng)兩部分組成 。 2． 檢測(cè)引擎 檢測(cè)引擎是 NIDS實(shí)現(xiàn)的核心 ， 準(zhǔn)確性和快速性是衡量其性能的重要指 標(biāo) 。 ?功能十分強(qiáng)大和豐富 ?集成了多種告警機(jī)制支持實(shí)時(shí)告警功能 ?具有非常好擴(kuò)展能力 ?遵循 GPL， 可以免費(fèi)使用 返回本章首頁(yè) 第五章 入侵檢測(cè)技術(shù) Snort的體系結(jié)構(gòu) Snort在結(jié)構(gòu)上可分為數(shù)據(jù)包捕獲和解碼子系統(tǒng) 、 檢測(cè)引擎 ， 以及日志及報(bào)警子系統(tǒng)三個(gè)部分 。 返回本章首頁(yè) 第五章 入侵檢測(cè)技術(shù) Snort簡(jiǎn)介 Snort 是一個(gè)開(kāi)放源代碼的免費(fèi)軟件 ， 它基于 libpcap 的數(shù)據(jù)包嗅探器 ， 并可以作為一個(gè)輕量級(jí)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng) （ NIDS） 。 所謂事件是指 IDS需要分析的數(shù)據(jù) ， 它可以是網(wǎng)絡(luò)中的數(shù)據(jù)報(bào) ， 或者是系統(tǒng)中的日志 ， 或是其它途徑得來(lái)的數(shù)據(jù) 。 CIDF在 IDES和 NIDES的基礎(chǔ)上提出了一個(gè)通用模型 ， 將入侵檢測(cè)系統(tǒng)分為四個(gè)基本組件：事件產(chǎn)生器 、 事件分析器 、 響應(yīng)單元和事件數(shù)據(jù)庫(kù) 。 IDWG提出了三項(xiàng)建議草案： 入侵檢測(cè)消息交換格式 （ IDMEF） 、 入侵檢測(cè)交換協(xié)議（ IDXP） 以及隧道輪廓 （ Tunnel Profile） 。 入侵檢測(cè)工作組與其它 IETF組織協(xié)同工作 。 為了提高 IDS產(chǎn)品 、 組件及與其他安全產(chǎn)品之間的互操作性 ，DARPA和 IETF的入侵檢測(cè)工作組 （ IDWG） 發(fā)起制訂了一系列建議草案 ， 從體系結(jié)構(gòu) 、 API、通信機(jī)制 、 語(yǔ)言格式等方面來(lái)規(guī)范 IDS的標(biāo)準(zhǔn) 。 中間層用于表示 IDS間的共享信息時(shí)使用的對(duì)應(yīng)關(guān)系為： IDS檢測(cè)到的攻擊或者 IDS無(wú)法處理的事件信息作為 event， IDS或受 IDS監(jiān)控的系統(tǒng)的狀態(tài)則作為 dynamic predicates。 入侵檢測(cè)數(shù)據(jù)融合的重點(diǎn)在于使用已知的入侵檢測(cè)模板和模式識(shí)別，與前面介紹的數(shù)據(jù)挖掘不同，數(shù)據(jù)挖掘注重于發(fā)掘先前未發(fā)現(xiàn)的入侵中隱藏的模式，以幫助發(fā)現(xiàn)新的檢測(cè)模板。 第五章 入侵檢測(cè)技術(shù) 6． 數(shù)據(jù)融合 （ Data Fusion） Timm Bass提出將數(shù)據(jù)融合 （ Data Fusion） 的概念應(yīng)用到入侵檢測(cè)中 ， 從而將分布式入侵檢測(cè)任務(wù)理解為在層次化模型下對(duì)多個(gè)感應(yīng)器的數(shù)據(jù)綜合問(wèn)題 。因此，為了達(dá)到特定攻擊目的，攻擊者通常會(huì)按照固定的邏輯順序發(fā)起一系列攻擊行為，這種滿足邏輯偏序關(guān)系的行為可以有效地揭示入侵者的目的。通常，計(jì)算機(jī)攻擊事件的，攻擊的序列并不是隨的。 對(duì)入侵策略的分析可以幫助我們調(diào)整審計(jì)策略和參數(shù) ， 構(gòu)成自適應(yīng)的審計(jì)檢測(cè)系統(tǒng) 。 GrIDS的缺陷在于只是給出了網(wǎng)絡(luò)連接的圖形化表示 ， 具體的入侵判斷仍然需要人工完成 ， 而且系統(tǒng)的有效性和效率都有待驗(yàn)證和提高 。 ? DIDS雖然在結(jié)構(gòu)上引入了分布式的數(shù)據(jù)采集和部分的數(shù)據(jù)分析，但其核心分析功能仍然由單一的中心控制器來(lái)完成，因此并不是完全意義上的分布式入侵檢測(cè)，其入侵追蹤功能的實(shí)現(xiàn)也要求追蹤范圍在系統(tǒng)的監(jiān)控網(wǎng)絡(luò)之內(nèi)，因而不能在互聯(lián)網(wǎng)范圍內(nèi)大規(guī)模部署。 ? DIDS由主機(jī)監(jiān)視器、局域網(wǎng)監(jiān)視器和控制器三個(gè)組件組成，分析引擎采用基于規(guī)則的專家系統(tǒng)。 NSM則是由UC Davis開(kāi)發(fā)的網(wǎng)絡(luò)安全監(jiān)視器 ， 通過(guò)對(duì)數(shù)據(jù)包 、 連接記錄 、 應(yīng)用層會(huì)話的分析 ， 結(jié)合入侵特征庫(kù)和正常的網(wǎng)絡(luò)流或會(huì)話記錄的模式庫(kù) ， 判斷當(dāng)前的網(wǎng)絡(luò)行為是否包含入侵或異常 。 第五章 入侵檢測(cè)技術(shù) 學(xué) 學(xué) 學(xué) 學(xué)學(xué) 學(xué) 學(xué)學(xué) 學(xué) 學(xué) 學(xué) 學(xué) 學(xué)學(xué)學(xué)學(xué)學(xué)學(xué)學(xué)學(xué)學(xué)學(xué)學(xué)學(xué)學(xué)學(xué) 學(xué)學(xué) 5 1 0 A A F I D 學(xué) 學(xué) 學(xué) 學(xué) 學(xué)返回本章首頁(yè) 第五章 入侵檢測(cè)技術(shù) 3． DIDS DIDS（ Distributed Intrusion Detection System） 是由 UC Davis的 Security Lab完成的 ，它集成了兩種已有的入侵檢測(cè)系統(tǒng) ， Haystack和NSM。 ? EMERLD系統(tǒng)在形式和功能上與 AAFID自動(dòng)代理相似，其中心組件是 EMERLD服務(wù)監(jiān)控器以可編程方式部署在主機(jī)上，執(zhí)行不同功能。 AAFID的體系結(jié)構(gòu)允許冗余接收器的匯報(bào)，個(gè)別監(jiān)視器的失效并不影響入侵檢測(cè)系統(tǒng)的性能。 返回本章首頁(yè) 第五章 入侵檢測(cè)技術(shù) 主要發(fā)展現(xiàn)狀 2 AgentBased ? AAFID的體系結(jié)構(gòu)如圖所示，其特點(diǎn)是形成了一個(gè)基于代理的分層順序控制和報(bào)告結(jié)構(gòu)。國(guó)外一些研究機(jī)構(gòu)在這方面已經(jīng)做了大量工作 ，其中 Purdue大學(xué)的入侵檢測(cè)自治代理 （ AAFID）和 SRI的 EMERALD最具代表性 。但由于其檢測(cè)能力仍然依賴于原先的單機(jī) IDS，只是在系統(tǒng)的通信和管理能力上進(jìn)行了改進(jìn)，因此并沒(méi)有體現(xiàn)出分布式入侵檢測(cè)的真正優(yōu)勢(shì)。 主要包括三個(gè)組件：網(wǎng)絡(luò)感應(yīng)器 、 代理守護(hù)程序和監(jiān)視控制臺(tái) 。 第五章 入侵檢測(cè)技術(shù) 分布式入侵檢測(cè)現(xiàn)狀 盡管分布式入侵檢測(cè)存在技術(shù)和其它層面的難點(diǎn) ， 但由于其相對(duì)于傳統(tǒng)的單機(jī) IDS所具有的優(yōu)勢(shì) ， 目前已經(jīng)成為這一領(lǐng)域的研究熱點(diǎn) 。對(duì)于大 范圍的互聯(lián)網(wǎng)絡(luò)，單機(jī)系統(tǒng)無(wú)法滿足集中式處理方式所帶來(lái)的計(jì)算資 源、存儲(chǔ)資源和通信資源的需求，這就要求對(duì)安全審計(jì)數(shù)據(jù)采用分布 式處理方式，涉及如何設(shè)計(jì)和實(shí)現(xiàn)高效的分布式處理算法。在分布式環(huán)境下，知識(shí)庫(kù)最 大的問(wèn)題在于如何實(shí)現(xiàn)快速的規(guī)則升級(jí)和分發(fā)。反之，如果采用較為簡(jiǎn)單 的規(guī)則集，可以提高系統(tǒng)處理能力，卻會(huì)影響檢測(cè)準(zhǔn)確性。從檢測(cè)的準(zhǔn)確性角度，檢測(cè)規(guī)則或檢測(cè)模型越復(fù)雜，檢測(cè)的有 效性就越好，但同時(shí)也導(dǎo)致了復(fù)雜的狀態(tài)空間管理和分析算法。分布的大量安全事件數(shù)據(jù)如果仍然采用集中 式存儲(chǔ)方式，將導(dǎo)致網(wǎng)絡(luò)流量和存儲(chǔ)需求的劇增。 返回本章首頁(yè) 第五章 入侵檢測(cè)技術(shù) （ 1）事件產(chǎn)生及存儲(chǔ) 即安全事件應(yīng)該在系統(tǒng)的什么位置產(chǎn)生和存儲(chǔ)。 然而 ， 在實(shí)現(xiàn)分布檢測(cè)組件的信息共享和協(xié)作上 ， 卻存在著一些技術(shù)難點(diǎn) 。即使攻擊者使用網(wǎng)絡(luò)跳 轉(zhuǎn)（ hop）的方式來(lái)隱藏真實(shí) IP地址，在檢測(cè)系統(tǒng)的監(jiān)控范圍內(nèi)通過(guò) 對(duì)事件數(shù)據(jù)的相關(guān)和聚合，仍然有可能追查到攻擊者的真實(shí)來(lái)源。系統(tǒng)通過(guò)對(duì)各組件報(bào)告的入侵或異常特征，進(jìn)行綜合分析， 可以得出更為準(zhǔn)確的判斷結(jié)果。 分布式 IDS的各個(gè)檢測(cè)組件可以分別檢測(cè)不同的數(shù)據(jù)源，甚至可以 是特定應(yīng)用程序的日志，或者通過(guò)人工方式輸入的審計(jì)數(shù)據(jù)。傳統(tǒng) IDS為 了簡(jiǎn)化檢測(cè)過(guò)程和算法復(fù)雜度，通常采用單一類型數(shù)據(jù)源，以提高系 統(tǒng)檢測(cè)效率，但同時(shí)導(dǎo)致檢測(cè)系統(tǒng)數(shù)據(jù)的不完備。 （ 2）提高檢測(cè)效率 分布式入侵檢測(cè)實(shí)現(xiàn)了針對(duì)安全審計(jì)數(shù)據(jù)的分布式存儲(chǔ)和分布式計(jì) 算，不再依賴于系統(tǒng)中