【正文】 其中豎線代表狀態(tài)轉(zhuǎn)換，如果在狀態(tài) S1發(fā)生登錄失敗，則產(chǎn)生一個標(biāo)志變量，并存儲事件發(fā)生時間 T1，同時轉(zhuǎn)入狀態(tài) S2。雖然很復(fù)雜的入侵特征能用Petri網(wǎng)表達得很簡單，但是對原始數(shù)據(jù)匹配時的計算量卻會很大。　　Petri 網(wǎng)用于入侵行為分析是一種類似于狀態(tài)轉(zhuǎn)換圖分析的方法。然后用狀態(tài)轉(zhuǎn)換圖來表示每一個狀態(tài)和特征事件，這些事件被集成于模型中，所以檢測時不需要一個個地查找審計記錄。狀態(tài)轉(zhuǎn)換法將入侵過程看作一個行為序列，這個行為序列導(dǎo)致系統(tǒng)從初始狀態(tài)轉(zhuǎn)入被入侵狀態(tài)。但是創(chuàng)建入侵檢測模型的工作量比別的方法要大，并且在系統(tǒng)實現(xiàn)時決策器如何有效地翻譯攻擊腳本也是個問題?！　∧Ｐ屯评矸椒ǖ膬?yōu)越性有：對不確定性的推理有合理的數(shù)學(xué)理論基礎(chǔ)，同時決策器使得攻擊腳本可以與審計記錄的上下文無關(guān)。初始攻擊腳本子集的假設(shè)應(yīng)滿足：易于在審計記錄中識別，并且出現(xiàn)頻率很高。決策器收到信息后，根據(jù)這些假設(shè)的攻擊行為在審計記錄中的可能出現(xiàn)方式，將它們翻譯成與特定系統(tǒng)匹配的審計記錄格式。檢測時先將這些攻擊腳本的子集看作系統(tǒng)正面臨的攻擊。其中有關(guān)攻擊者行為的知識被描述為：攻擊者目的，攻擊者達到此目的的可能行為步驟，以及對系統(tǒng)的特殊使用等。另外，由于對不同操作系統(tǒng)平臺的具體攻擊方法可能不同，以及不同平臺的審計方式也可能不同，所以對特征分析檢測系統(tǒng)進行構(gòu)造和維護的工作量都較大。這樣就不像專家系統(tǒng)一樣需要處理大量數(shù)據(jù)，從而大大提高了檢測效率。像專家系統(tǒng)一樣，特征分析也需要知道攻擊行為的具體知識。在具體實現(xiàn)中，專家系統(tǒng)主要面臨一下問題：1. 全面性問題，即難以科學(xué)地從各種入侵手段中抽象出全面的規(guī)則化知識；2. 效率問題，即所需處理的數(shù)據(jù)量過大，而且在大型系統(tǒng)上，如何獲得實時連續(xù)的審計數(shù)據(jù)也是個問題。當(dāng)其中某個或某部分條件滿足時，系統(tǒng)就判斷為入侵行為發(fā)生。專家系統(tǒng)　　專家系統(tǒng)是基于知識的檢測中運用最多的一種方法。并且檢測范圍受已知知識的局限，尤其是難以檢測出內(nèi)部人員的入侵行為，如合法用戶的泄漏，因為這些入侵行為并沒有利用系統(tǒng)脆弱性。這種方法由于依據(jù)具體特征庫進行判斷，所以檢測準(zhǔn)確度很高，并且因為檢測結(jié)果有明確的參照，也為系統(tǒng)管理員做出相應(yīng)措施提供了方便。因為很大一部分的入侵是利用了系統(tǒng)的脆弱性，通過分析入侵過程的特征、條件、排列以及事件間關(guān)系能具體描述入侵行為的跡象。窗口太小，則網(wǎng)絡(luò)輸出不好，窗口太大，則網(wǎng)絡(luò)會因為大量無關(guān)數(shù)據(jù)而降低效率。神經(jīng)網(wǎng)絡(luò)方法的優(yōu)點在于能更好地處理原始數(shù)據(jù)的隨機特性，即不需要對這些數(shù)據(jù)作任何統(tǒng)計假設(shè)，并且有較好的抗干擾能力。根據(jù)用戶的代表性命令序列訓(xùn)練網(wǎng)絡(luò)后，該網(wǎng)絡(luò)就形成了相應(yīng)用戶的特征表，于是網(wǎng)絡(luò)對下一事件的預(yù)測錯誤率在一定程度上反映了用戶行為的異常程度。實驗表明UNIX系統(tǒng)管理員的行為幾乎全是可以預(yù)測的，對于一般用戶，不可預(yù)測的行為也只占了很少的一部分。神經(jīng)網(wǎng)絡(luò)方法利用神經(jīng)網(wǎng)絡(luò)檢測入侵的基本思想是用一系列信息單元(命令)訓(xùn)練神經(jīng)單元，這樣在給定一組輸入后，就可能預(yù)測出輸出。其次，定義是否入侵的判斷閾值也比較困難。這種方法的優(yōu)越性在于能應(yīng)用成熟的概率統(tǒng)計理論?！　∪绻x用標(biāo)準(zhǔn)偏差作為判別準(zhǔn)則，則　　標(biāo)準(zhǔn)偏差：σ＝√M/(n1) μ2其中均值 μ=M/n　　如果某S值超出了μ177。如果假設(shè)S1，S2，…，Sn 分別是用于描述特征的變量M1，M2，…，Mn 的異常程度值，Si值越大說明異常程度越大。在SRI/CSL的入侵檢測專家系統(tǒng)(IDES)中給出了一個特征簡表的結(jié)構(gòu)：變量名，行為描述，例外情況，資源使用，時間周期，變量類型，門限值，主體，客體，值其中的變量名、主體、客體唯一確定了每一個特征簡表，特征值由系統(tǒng)根據(jù)審計數(shù)據(jù)周期性地產(chǎn)生。用于描述特征的變量類型有：1)操作密度：度量操作執(zhí)行的速率，常用于檢測通過長時間平均覺察不到的異常行為；2)審計記錄分布：度量在最新紀(jì)錄中所有操作類型的分布；3)范疇尺度：度量在一定動作范疇內(nèi)特定操作的分布情況；4)數(shù)值尺度：度量那些產(chǎn)生數(shù)值結(jié)果的操作，如CPU使用量，I/O使用量。首先，檢測器根據(jù)用戶對象的動作為每個用戶都建立一個用戶特征表，通過比較當(dāng)前特征與已存儲定型的以前特征，從而判斷是否是異常行為?；谛袨榈臋z測方法主要有以下兩種。尤其在用戶數(shù)目眾多，或工作目的經(jīng)常改變的環(huán)境中。它甚至有可能檢測出以前未出現(xiàn)過的攻擊方法，不像基于知識的檢測那樣受已知脆弱性的限制。 基于行為的檢測基于行為的檢測指根據(jù)使用者的行為或資源使用狀況來判斷是否入侵，而不依賴于具體行為是否出現(xiàn)來檢測，所以也被稱為異常檢測(Anomaly Detection)。即使是同一個分析系統(tǒng)中，也可以同時才用幾種檢測方法，對相同的數(shù)據(jù)使用不同的檢測方法進行分析，對各自的檢測結(jié)果進行比較，可以提高檢測準(zhǔn)確度，也可以完善不同的檢測方法。 分析系統(tǒng)分析系統(tǒng)在整個ODIDS系統(tǒng)中處于二級分析結(jié)構(gòu)中，它從存儲系統(tǒng)中的數(shù)據(jù)進行進一步的分析。但拉結(jié)構(gòu)有一個很好的應(yīng)用就是隱藏檢測器。如果沒有檢測到任何事件，就用加密的空字符串進行填充。解決這種問題的一個簡單的辦法就是以流的方式有規(guī)律地推出事件檢測信息。經(jīng)過一段時間的觀察，攻擊者就能夠判斷出哪些是檢測器所忽略的?？雌饋硗萍夹g(shù)可以獲得更好的實時性，但推技術(shù)也有一個嚴(yán)重的問題。推技術(shù)是在檢測器探測到一個事件時就事件“推”給存儲系統(tǒng)?？s減數(shù)據(jù)格式一般只包括時間、源IP地址、目標(biāo)IP地址、源端口、目標(biāo)端口、協(xié)議標(biāo)志。 長期記錄數(shù)據(jù)庫：長期記錄數(shù)據(jù)庫以縮減數(shù)據(jù)的格式記錄了很長一段時間內(nèi)的檢測情況。 系統(tǒng)提供兩種保存原始數(shù)據(jù)的設(shè)置方式：按時間和按存儲容量。但原始數(shù)據(jù)要占用大量的存儲器。 原始數(shù)據(jù)數(shù)據(jù)庫中還重要的一個問題是存儲多少數(shù)據(jù)、原始數(shù)據(jù)要保存多長時間。這個數(shù)據(jù)庫應(yīng)該建立多重索引和優(yōu)化，以便能夠進行最有效的搜索。 對數(shù)據(jù)進行縮減的一種有效的辦法是把數(shù)據(jù)庫分為兩個主要的存儲裝置：原始數(shù)據(jù)數(shù)據(jù)庫和長期記錄數(shù)據(jù)庫。這時分析員就需要系統(tǒng)提供所有的數(shù)據(jù)，包括數(shù)據(jù)包頭和內(nèi)容，進行手工分析。使用相同的接口可以維護各系統(tǒng)間數(shù)據(jù)存儲的一致性，便于入侵檢測系統(tǒng)間的數(shù)據(jù)交換，同時也減小設(shè)計的復(fù)雜性。采用直接載入數(shù)據(jù)庫的方法，在不同規(guī)模的入侵檢測系統(tǒng)可以使用相同的接口。為了提高檢測粒度，就可以將提交的數(shù)量適量增大。而分析部件做個層次強調(diào)了對事件的深層次的分析和統(tǒng)計，已發(fā)掘新的未知的攻擊方法和分布式的攻擊形式，因此實時性在這個層次中的要求是可以減小的。系統(tǒng)的實時性和檢測性能總是一對矛盾，在我們的系統(tǒng)中，為了在兩者中找到最佳結(jié)合點而設(shè)計了兩個分析層次。如果每個數(shù)據(jù)得到就提交一次，這樣對信息處理會提供方便但對影響系統(tǒng)的運行性能。這樣做的影響減低了系統(tǒng)實時性的要求。第二種方法的優(yōu)點就是能夠得到更好的性能和靈活性，但只要任何事情發(fā)生改變就必須重新處理數(shù)據(jù)載入的問題。n 在世界課外進行過濾分析，在數(shù)據(jù)庫中只存放分析結(jié)果。跟據(jù)入侵檢測系統(tǒng)的規(guī)模，存儲系統(tǒng)也有和大的區(qū)別，它可能是一個單一的數(shù)據(jù)文件，也可能是一個數(shù)據(jù)庫系統(tǒng)，對于大規(guī)模的入侵檢測系統(tǒng)來也有可能配置一個數(shù)據(jù)倉庫作為其存儲系統(tǒng)。我們選擇現(xiàn)有的數(shù)據(jù)庫系統(tǒng)來建立存儲系統(tǒng)。第四章 存儲系統(tǒng)和分析系統(tǒng) 存儲系統(tǒng) 存儲系統(tǒng)把系統(tǒng)檢測到的事件記錄下來，以便于以后的分析。歸根結(jié)底，最佳的解決方案是將基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)與基于主機的入侵檢測系統(tǒng)結(jié)合起來。2. 網(wǎng)絡(luò)棧在數(shù)據(jù)包到達主機網(wǎng)絡(luò)接口檢測器之前即已將它們解密。該方式有如下優(yōu)點：1. 網(wǎng)絡(luò)速度不成問題。主機網(wǎng)絡(luò)接口檢測器位于服務(wù)器上網(wǎng)絡(luò)棧的附近。在交換網(wǎng)絡(luò)中，是不可能從一個中央位置處看見所有網(wǎng)絡(luò)數(shù)據(jù)的。如果網(wǎng)絡(luò)數(shù)據(jù)被加密的話，網(wǎng)絡(luò)傳感器即不能起作用，原因是它無法正確地“看到”網(wǎng)絡(luò)數(shù)據(jù)。隨著網(wǎng)絡(luò)速度的加快，有時候網(wǎng)絡(luò)傳感器的工作速度可能無法跟上網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)乃俣取５诙?，即使在不工作的時候，網(wǎng)絡(luò)傳感器也能實時地檢測攻擊。應(yīng)用網(wǎng)絡(luò)傳感器有兩大好處。比如對于斷口掃描的檢測，在網(wǎng)絡(luò)接口防護中檢測對本地主機的斷口掃描比在網(wǎng)絡(luò)引擎中檢測要容易得多。它是基于主機的入侵檢測系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的結(jié)合。比如通過長時間的統(tǒng)計，一個用戶使用“l(fā)s”命令時，帶參數(shù)的“l(fā)s al”統(tǒng)計規(guī)律為％20，而在某一次登錄使用過程中使用他的使用概率達到％80，這肯定以該引起安全管理員的注意。監(jiān)測的內(nèi)容主要是包括是否違反安全政策、是否越權(quán)使用系統(tǒng)資源。用戶行為檢測：用戶行為檢測主要是對付內(nèi)部人員的誤用和攻擊。攻擊者一般都會添加、刪除或更改一些敏感的文件獲得權(quán)限或者留下后門，所以檢測這些文件的改變可以得到攻擊的信息。不同的應(yīng)用有不同的日志，因此日志分析都是針對不同的應(yīng)用的。時至今日，日志分析也是非常有效地一種檢測方法，但是在分析技術(shù)和實時性上有了很大的提高。日志分析： 日志分析是最早出現(xiàn)的入侵檢測的方法，開始于六、七十年代。對于不同的主機，上面運行的應(yīng)用程序也各不相同，因此不同廠商設(shè)計的基于主機的入侵檢測系統(tǒng)的各不相同。黑客可能會將程序或服務(wù)的運行分解，從而導(dǎo)致它失敗，或者是以非用戶或管理員意圖的方式操作。操作包括計算、文件傳輸、設(shè)備和其它進程，以及與網(wǎng)絡(luò)間其它進程的通訊。每個進程執(zhí)行在具有不同權(quán)限的環(huán)境中，這種環(huán)境控制著進程可訪問的系統(tǒng)資源、程序和數(shù)據(jù)文件等。3．程序執(zhí)行中的不期望行為網(wǎng)絡(luò)系統(tǒng)上的程序執(zhí)行一般包括操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)、用戶起動的程序和特定目的的應(yīng)用，例如數(shù)據(jù)庫服務(wù)器。目錄和文件中的不期望的改變（包括修改、創(chuàng)建和刪除），特別是那些正常情況下限制訪問的，很可能就是一種入侵產(chǎn)生的指示和信號。很顯然地，對用戶活動來講，不正常的或不期望的行為就是重復(fù)登錄失敗、登錄到不期望的位置以及非授權(quán)的企圖訪問重要文件等等。通過查看日志文件，能夠發(fā)現(xiàn)成功的入侵或入侵企圖，并很快地啟動相應(yīng)的應(yīng)急響應(yīng)程序。其主要來源有：1．系統(tǒng)和網(wǎng)絡(luò)日志文件黑客經(jīng)常在系統(tǒng)日志文件中留下他們的蹤跡，因此，充分利用系統(tǒng)和網(wǎng)絡(luò)日志文件信息是檢測入侵的必要條件。在獲取高層信息以及實現(xiàn)一些特殊功能時，如針對系統(tǒng)資源情況的審計方面具有無法替代的作用。這樣對于網(wǎng)絡(luò)上的數(shù)量眾多達到網(wǎng)絡(luò)代理的配置和添加功能模塊可以集中或自動進行，減輕安全管理的難度。代理管理除與各部分間交互的部分外，主要實現(xiàn)一個動態(tài)的更新機制。對于已經(jīng)有的分析功能，可以在入侵特征數(shù)據(jù)庫中添加新的入侵特征，以增強現(xiàn)有模式匹配分析方法的檢測能力。這充分保證了系統(tǒng)可靠的安全服務(wù)。在我們設(shè)計的這個體系結(jié)構(gòu)時充分考慮了系統(tǒng)的開放性，可以向系統(tǒng)中添加任何一種分析方法，也可以把多種分析方法同時運用到系統(tǒng)中。如發(fā)現(xiàn)一個HTTP請求某個服務(wù)器上的“/cgibin/phf”,這很很可能是一個攻擊者正在尋找系統(tǒng)的CGI漏洞。數(shù)據(jù)分析的方法是入侵檢測系統(tǒng)的核心。如時間、特定的數(shù)據(jù)包到來、管理員啟動、某種數(shù)據(jù)分析的結(jié)果、網(wǎng)絡(luò)上其他入侵檢測系統(tǒng)發(fā)送來數(shù)據(jù)等都可以觸發(fā)一個始數(shù)據(jù)分析函數(shù)的啟動檢測。同時葉子節(jié)點上的協(xié)議明確，分析程序可以少做一些冗余的工作，也由此提高了系統(tǒng)的處理速度。一個協(xié)議數(shù)據(jù)可能有多個數(shù)據(jù)分析函數(shù)來處理它，這些函數(shù)的被放到一個鏈表中。圖3－3 協(xié)議樹示意圖數(shù)據(jù)分析：數(shù)據(jù)分析模塊的功能是分析某一特定協(xié)議數(shù)據(jù)，得出是否關(guān)注該主機的結(jié)論。數(shù)據(jù)分析函數(shù)鏈表是包含對該協(xié)議進行檢測的所有函數(shù)的鏈表。下級協(xié)議代號是在協(xié)議樹中其父結(jié)點的編號，如TCP的下級協(xié)議是IP協(xié)議。協(xié)議名稱是該協(xié)議的唯一標(biāo)志。 在該樹結(jié)構(gòu)中可以加入自定義的協(xié)議結(jié)點，如在HTTP協(xié)議中可以把請求URL列入該樹中作為一個結(jié)點，再將URL中不同的方法作為子節(jié)點，這樣可以細(xì)化分析數(shù)據(jù)，提高檢測效率。一個網(wǎng)絡(luò)數(shù)據(jù)包的分析就是一條從根到某個葉子的路徑。圖3－2 wincap結(jié)構(gòu)圖協(xié)議分析：協(xié)議分析的功能是辨別數(shù)據(jù)包的協(xié)議類型，以便使用相應(yīng)的數(shù)據(jù)分析程序來檢測數(shù)據(jù)包。低級的動態(tài)鏈接庫運行在用戶層，他把應(yīng)用程序和數(shù)據(jù)包監(jiān)聽設(shè)備驅(qū)動程序隔離開來，使得應(yīng)用程序可以不加修改地在不同的WINDOWS系統(tǒng)上運行。數(shù)據(jù)包監(jiān)聽設(shè)備驅(qū)動程序直接從數(shù)據(jù)鏈路層取得網(wǎng)絡(luò)數(shù)據(jù)包不加修改地傳遞給運行在用戶層的應(yīng)用程序，他在不同的WINDOWS系統(tǒng)下是不同。同時wincap是從UNIX平臺上的LIPCAP移植過來的，它們具有相同的接口，減輕了不同平臺上開發(fā)網(wǎng)絡(luò)代理的難度。為提高效率，數(shù)據(jù)包過濾應(yīng)該在系統(tǒng)內(nèi)核里來實現(xiàn)。網(wǎng)絡(luò)監(jiān)聽模塊的過濾功能的效率是該網(wǎng)絡(luò)監(jiān)聽的關(guān)鍵，因為對于網(wǎng)絡(luò)上的每一數(shù)據(jù)包都會使用該模塊過濾，判斷是否符合過濾條件。它的結(jié)構(gòu)如下：圖3－1 入侵檢測系統(tǒng)框圖監(jiān)聽部分：網(wǎng)絡(luò)監(jiān)聽模塊將網(wǎng)絡(luò)接口設(shè)置為混亂模式，將接收到達到網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包截取下來，供協(xié)議分析模塊使用。可以看出，利用協(xié)議分析可以大大減小模式匹配的計算量，提高匹配的精確度，減少誤報率。該數(shù)據(jù)包是一個HTTP協(xié)議的數(shù)據(jù)包。3〕 TCP協(xié)議在第35字節(jié)處有一個2字節(jié)的應(yīng)用層協(xié)議標(biāo)識（端口號）。2〕 IP協(xié)議規(guī)定IP包的第24字節(jié)處有一個1字節(jié)的第四層協(xié)議標(biāo)識。基于協(xié)議分析的入侵檢測系統(tǒng)利用這個知識開始第一步檢測：1〕 跳過前面12個字節(jié)，讀取13字節(jié)處的2字節(jié)協(xié)議標(biāo)識：0800。即使在100M的網(wǎng)絡(luò)中，以可以充分地檢測每一個數(shù)據(jù)包。協(xié)議分析有效利用了網(wǎng)絡(luò)協(xié)議的層次性和相關(guān)協(xié)議的知識快速地判斷攻擊特征是否存在。他對于網(wǎng)絡(luò)中傳輸?shù)膱D像或音頻流同樣進行匹配。傳統(tǒng)的模式匹配的檢測方法的問題根本是他把網(wǎng)絡(luò)數(shù)據(jù)包看作是無序的隨意的字節(jié)流。例如，對于WEB服務(wù)器GET /cgibin/phfHEAD /cgibin/phfGET //cgibin/phfGET /cgibin/foobar/../phfGET /cgibin/./phfGET%00/cgibin/phfGET /%63%67%69%2d%62%69%6e/phf都是合法而且有效的。 傳統(tǒng)模式匹配方法的問題：計算量大：對于一個特定網(wǎng)絡(luò)的每秒需要比較的最大次數(shù)為：攻擊特征字節(jié)數(shù)網(wǎng)絡(luò)數(shù)據(jù)包字節(jié)數(shù)每秒數(shù)據(jù)包數(shù)量攻擊特征數(shù)量如果所有攻擊特征長度為20字節(jié)，網(wǎng)絡(luò)數(shù)據(jù)包平均長度為30字節(jié)，每秒30,000數(shù)據(jù)包，供給特征庫中有4000條特征，那么，每秒比較次數(shù)為：