【正文】 展性要求：因?yàn)榇嬖诔汕先f(wàn)種不同的已知和未知的攻擊手段，它們的攻擊行為特征也各不相同。 主要功能要求 一個(gè)成功的入侵檢測(cè)系統(tǒng)至少要滿足以下五個(gè)主要功能要求： 實(shí)時(shí)性要求：如果攻擊或者攻擊的企圖能夠盡快的被發(fā)現(xiàn)，這就使得有可能查找出攻擊者的位置，阻止進(jìn)一步的攻擊活動(dòng)，有可能把破壞控制在最小限度，并能夠記錄下攻擊者攻擊過(guò)程的全部網(wǎng)絡(luò)活動(dòng)，并可作為證據(jù)回放。比如，一個(gè)網(wǎng)絡(luò)中每?jī)蓚€(gè)小時(shí)自動(dòng)運(yùn)行一次漏洞掃描程序，如果他們不能夠互操 作，入侵檢測(cè)系統(tǒng)將每?jī)蓚€(gè)小時(shí)產(chǎn)生一次警報(bào)。 不能和其他網(wǎng)絡(luò)安全產(chǎn)品互操作：入侵檢測(cè)不是安全的終極武器，一個(gè)安全的網(wǎng)絡(luò)中應(yīng)該根據(jù)安全政策使用多種安全產(chǎn)品?，F(xiàn)在幾乎所有的入侵檢測(cè)系統(tǒng)都使用了單一的分析方法。 檢測(cè)分析方法單一：攻擊方法的越來(lái)越復(fù)雜，單一的基于模式匹配或統(tǒng)計(jì)的分析方法已經(jīng)難以發(fā)現(xiàn)某一些攻擊。但現(xiàn)在很多入侵檢測(cè)系統(tǒng)沒(méi)有提供了某種如“推技術(shù)”的方法來(lái)時(shí)刻更新攻擊特征?，F(xiàn)在很多網(wǎng)絡(luò)都是 50M、 100M 甚至千兆網(wǎng)絡(luò)，網(wǎng)絡(luò)速度的發(fā)展遠(yuǎn)遠(yuǎn)超過(guò)了數(shù)據(jù)包模式分析技術(shù)發(fā)展的速度。借或網(wǎng)絡(luò)的每一個(gè)數(shù)據(jù)包，并分析、匹配其中是否具有某種攻擊的特征需要花費(fèi)時(shí)間和系統(tǒng)資源。各種入侵檢測(cè)系統(tǒng)各自為陣，系統(tǒng)之間的互操作性很差，因此各廠商都在按照 CIDF 進(jìn)行信息交換的標(biāo)準(zhǔn)化工作。且常用日志來(lái)簡(jiǎn)單的指代事件數(shù)據(jù)庫(kù)。事件數(shù)據(jù)庫(kù)是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，它可以是復(fù)雜的數(shù)據(jù)庫(kù)，也可以是簡(jiǎn)單的文本文件。事件分析器分析得到的數(shù)據(jù)，并產(chǎn)生分析結(jié)果。他也對(duì)于各部件之間的信息傳遞格式、通信方法和標(biāo)準(zhǔn) API 進(jìn)行了標(biāo)準(zhǔn)化。 CIDF 模型 Common Intrusion Detection Framework (CIDF)闡述了一個(gè)入侵檢測(cè)系統(tǒng)（ IDS）的通用模型?；诋惓０l(fā)現(xiàn)的檢測(cè)技術(shù)則無(wú)法準(zhǔn)確判別出攻擊的手法，但它可以（至少在理論上可以）發(fā)現(xiàn)更廣泛的、甚至未知的攻擊分法。基于異常的檢測(cè)技術(shù)的核心是維護(hù)一個(gè)入侵模式庫(kù)。 當(dāng)有證據(jù)表明某種特定的攻擊模型發(fā)生時(shí)，系統(tǒng)應(yīng)當(dāng)收集其他證據(jù)來(lái)證實(shí)或者否定攻擊的真實(shí)，以盡可能的避免錯(cuò)報(bào)。根據(jù)假設(shè)的攻擊腳本，這種系統(tǒng)就能檢測(cè)出非法的用戶行為。 4． 基于模型推理的攻擊檢測(cè)技術(shù) 攻擊者在入侵一個(gè)系統(tǒng)時(shí)往往采用一定的行為程序，如猜測(cè)口令的程序，這種 行為程序構(gòu)成了某種具有一定行為特征的模型，根據(jù)這種模型所代表的攻擊意圖的行為特征，可以實(shí)時(shí)地檢測(cè)出惡意的攻擊企圖，盡管攻擊者并不一定都是惡意的。類似的規(guī)則在統(tǒng)計(jì)系統(tǒng)似乎也有，同時(shí)應(yīng)當(dāng)說(shuō)明的是基于規(guī)則的專家系統(tǒng)或推理系統(tǒng)也有其局限性，因?yàn)樽鳛檫@類系統(tǒng)的基礎(chǔ)的推理規(guī)則一般都是根據(jù)已知的安全漏洞進(jìn)行安排和策劃的，而對(duì)系統(tǒng)的最危險(xiǎn)的威脅則主要是來(lái)自未知的安全漏洞。 所謂專家系統(tǒng)是基于一套由專家經(jīng)驗(yàn)事先定義的規(guī)則的推理系統(tǒng)。 3． 基于專家系統(tǒng)的攻擊檢測(cè)技術(shù) 進(jìn)行安全檢測(cè)工作自動(dòng)化的另外一個(gè)值得重視的研究方向就是基于專家系統(tǒng)的攻擊檢測(cè)技術(shù)，即根據(jù)安全專家對(duì)可疑行為的分析經(jīng)驗(yàn)來(lái)形成一套推理規(guī)則，然后再在此基礎(chǔ)之上構(gòu)成相應(yīng)的專家系統(tǒng)。 SRI 的研究小組利用和發(fā)展神經(jīng)網(wǎng)絡(luò)技術(shù)來(lái)進(jìn)行攻擊檢測(cè)。 2． 基于神經(jīng)網(wǎng)絡(luò)的攻擊檢測(cè)技術(shù) [12] 如上所述，基于審計(jì)統(tǒng)計(jì)數(shù)據(jù)的攻擊檢測(cè)系統(tǒng)，具有一些天生的弱點(diǎn)，因?yàn)橛脩舻男袨榭梢允欠浅?fù)雜的，所以想要準(zhǔn)確匹配一個(gè)用戶的歷史行為和當(dāng)前的行為是相當(dāng)困難的。系統(tǒng)應(yīng)當(dāng)能夠避免 “ 肅反擴(kuò)大／縮小化 ” 的問(wèn)題。 系統(tǒng)應(yīng)具備處理自適應(yīng)的用戶參數(shù)的能力。 對(duì)攻擊的實(shí)時(shí)檢測(cè)系統(tǒng)的工作原理是基于對(duì)用戶歷史行為的建模，以及在早期的證據(jù)或模型的基礎(chǔ)之上。這種檢測(cè)方式的核心在于如何分析所系統(tǒng)運(yùn)行情況。此方法非常類似殺毒軟件。 對(duì)于基于模式匹配的檢 測(cè)技術(shù)來(lái)說(shuō)，首先要定義違背安全策略的事件的特征，如網(wǎng)絡(luò)數(shù)據(jù)包的某些頭信息。 對(duì)各種事件進(jìn)行分析，從中發(fā)現(xiàn)違反安全策略的行為是入侵檢測(cè)系統(tǒng)的核心功能。 在下一代的入侵檢測(cè)系統(tǒng)中，將把現(xiàn)在的基于網(wǎng)絡(luò)和基于主機(jī)這兩種檢測(cè)技術(shù)很好地集成起來(lái)，提供集成化的攻擊簽名、檢測(cè)、報(bào)告和事件關(guān)聯(lián)功能。比如基于主機(jī)的 入侵檢測(cè)系統(tǒng) 使用系統(tǒng)日志作為檢測(cè)依據(jù)，因此它們?cè)诖_定攻擊是否已經(jīng)取得成功時(shí)與基于網(wǎng)絡(luò)的檢測(cè)系統(tǒng)相比具有更大的準(zhǔn)確性。而基于主機(jī)的系統(tǒng)無(wú)法看到負(fù)載，因此也無(wú)法識(shí)別嵌入式的負(fù)載攻擊。許多基于 IP 的拒絕服務(wù)攻擊和碎片攻擊，只能通過(guò)查看它們通過(guò)網(wǎng)絡(luò)傳輸時(shí)的包首標(biāo)才能識(shí)別。從某個(gè)重要服務(wù)器的鍵盤發(fā)出的 倍地 攻擊并不經(jīng)過(guò)網(wǎng)絡(luò)，因此就無(wú)法通過(guò)基于網(wǎng)絡(luò)的 入侵檢測(cè)系統(tǒng) 檢測(cè)到，只能通過(guò)使用基于主機(jī)的 入侵檢測(cè)系統(tǒng) 來(lái)檢測(cè)。 入侵檢測(cè)系統(tǒng) 的發(fā)展趨勢(shì) 基于網(wǎng)絡(luò)和基于主機(jī)的 入侵檢測(cè)系統(tǒng) 都有各自的優(yōu)勢(shì)，兩者相互補(bǔ)充。與之相比，基于主機(jī)的系統(tǒng)必須在特定的、沒(méi)有遭到破壞的操作系統(tǒng)中才能正常工作，生成有用的結(jié)果。許多黑客都熟知審記記錄，他們知道如何操縱這些文件掩蓋他們的作案痕跡，如何阻止需要這些信息的基于主機(jī)的系統(tǒng)去檢測(cè)入侵 。所以攻擊者無(wú)法轉(zhuǎn)移證據(jù)。但是，如果在一個(gè)交換環(huán) 境下， 就需要特殊的配置。 ? 較少的監(jiān)測(cè)器 由于使用一個(gè)監(jiān)測(cè)器就可以保護(hù)一個(gè)共享的網(wǎng)段，所以你不需要很多的監(jiān)測(cè)器。因此可分 布式入侵檢測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) 8 以做得比較安全。 ? 隱蔽性好 一個(gè)網(wǎng)絡(luò)上的監(jiān)測(cè)器不像一個(gè)主機(jī)那樣顯眼和易被存取，因而也不那么容易遭受攻擊?；诰W(wǎng)絡(luò)的檢測(cè)有以下 優(yōu)點(diǎn) ： ? 偵測(cè)速度快 基于網(wǎng)絡(luò)的監(jiān)測(cè)器通常能在微秒或秒級(jí)發(fā)現(xiàn)問(wèn)題。 基于網(wǎng)絡(luò)的 IDS有許多僅靠基于主機(jī)的入侵檢測(cè)法無(wú)法提供的功能。它的攻擊辯識(shí)模塊通常使用四種常用技術(shù)來(lái)識(shí)別攻擊 標(biāo)志： ? 模式、表達(dá)式或字節(jié)匹配 ? 頻率或穿越閥值 ? 次要事件的相關(guān)性 ? 統(tǒng)計(jì)學(xué)意義上的非常規(guī)現(xiàn)象檢測(cè) 一旦檢測(cè)到了攻擊行為， IDS 的響應(yīng)模塊就提供多種選項(xiàng)以通知、報(bào)警并對(duì)攻擊采取相應(yīng)的反應(yīng)。在這方面，基于主機(jī)的 IDS 是基于網(wǎng)絡(luò)的 IDS 完美補(bǔ)充，網(wǎng)絡(luò)部分可以盡早提供警告，主機(jī)部分可以確定攻擊成功與否 2．基于網(wǎng)絡(luò) 的入侵檢測(cè)系統(tǒng) 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)使用原始網(wǎng)絡(luò)包作為數(shù)據(jù)源?；谥鳈C(jī)的 IDS 沒(méi)有這方面的限制。某些加密方式也向基于網(wǎng)絡(luò)的入侵檢測(cè)發(fā)出了挑戰(zhàn)。業(yè)務(wù)鏡像和交換機(jī)上的管理端口對(duì)此有幫助，但這些技術(shù)有時(shí)并不適用。交換設(shè)備可將大型網(wǎng)絡(luò)分成許多的小型網(wǎng)絡(luò)段加以管理。 ? 對(duì)網(wǎng)絡(luò)流量不敏感 用代理的方式一般不會(huì)因?yàn)榫W(wǎng)絡(luò)流量的增加而丟掉對(duì)網(wǎng)絡(luò)行為的監(jiān)視。這些使得基于主機(jī)的系統(tǒng)效率很高。 ? 較少的主機(jī) 基于主機(jī)的方法有時(shí)不需要增加專門的硬件平臺(tái)。 ? 視野集中 一旦入侵者得到了一個(gè)主機(jī) 的用戶名和口令，基于主機(jī)的代理是最有可能區(qū)分正常的活動(dòng)和非法的活動(dòng)的。系統(tǒng)能夠檢測(cè)到那些欲重寫關(guān)鍵系統(tǒng)文件或者安裝特洛伊木馬或后門的嘗試并將它們中斷?；谥鳈C(jī)的 IDS還可審計(jì)能影響系統(tǒng)記錄的校驗(yàn)措施的改變。操作系統(tǒng)記錄了任何有關(guān)用戶帳號(hào)的添加、刪除、更改的情況。基于網(wǎng)絡(luò)的系統(tǒng)要做到這個(gè)程度是非常困難的。 基于主機(jī)的 IDS 監(jiān)視用戶和文件訪問(wèn)活動(dòng)，包括文件訪問(wèn)、改變文件權(quán)限、試圖建立新的可執(zhí)行文件并且／或者試圖訪問(wèn)特許服務(wù)。配置一個(gè)入侵監(jiān)測(cè)系統(tǒng)要花費(fèi)$10,000 以上，而基于主機(jī)的入侵檢測(cè)系統(tǒng)對(duì)于單獨(dú)－代理標(biāo)價(jià)僅幾百美元，并且客戶只需很少的費(fèi)用用于最初的安裝。這些優(yōu)點(diǎn)包括 ： ? 性能價(jià)格比高 在主機(jī)數(shù)量較少的情況下，這種方法的性能價(jià)格比可能更高。這類檢測(cè)方法將基于網(wǎng)絡(luò)的入侵檢測(cè)的基本方法融入到基于主機(jī)的檢測(cè)環(huán)境中。反應(yīng)的快慢與輪詢間隔的頻率有直接的關(guān)系。 基于主機(jī)的 IDS 在發(fā)展過(guò)程中融入了其它技術(shù)。當(dāng)有文件發(fā)生變化時(shí)， IDS將新的記錄條目與攻擊標(biāo)記相比較，看它們是否匹配。基于主機(jī)的 IDS仍使用驗(yàn)證記錄，但自動(dòng)化程度大大提高，并發(fā)展了精密的可迅速做出響應(yīng)的檢測(cè)技術(shù)。由于入 侵在當(dāng)時(shí)是相當(dāng)少見(jiàn)的，在對(duì)攻擊的事后分析就可以防止今后的攻擊。 1．基于主機(jī) 的入侵檢測(cè)系統(tǒng) 基于主機(jī)的入侵檢測(cè)出現(xiàn)在 80 年代初期，那時(shí)網(wǎng)絡(luò)還沒(méi)有今天這樣普遍、復(fù)雜，且網(wǎng)絡(luò)之間也沒(méi)有完全連通。 由于入侵檢測(cè)和響應(yīng)密切相關(guān)，而且現(xiàn)在沒(méi)有獨(dú)立的響應(yīng)系統(tǒng)，所以決大多數(shù)的入侵檢測(cè)系統(tǒng)都具有響應(yīng)功能。 防 護(hù)、檢測(cè)和響應(yīng)組成了一個(gè)完整的、動(dòng)態(tài)的安全循環(huán)。 P2DR： 動(dòng)態(tài)安全模型 針 對(duì)日益嚴(yán)重的網(wǎng)絡(luò)安全問(wèn)題和越來(lái)越突出的安全需 求，“ 可適應(yīng)網(wǎng)絡(luò)安全模型 ”和 “動(dòng)態(tài)安全模型 ”應(yīng)運(yùn)而生 [5]。但迄今為止，軟件工程技術(shù)還沒(méi)有達(dá)到 A2 級(jí)所要求的形式生成或證明一個(gè)系統(tǒng)的安全體系的程度，所以不可能百分之百地保證任何分 布式入侵檢測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) 4 一個(gè)系統(tǒng)（尤其是底層系統(tǒng)）中不存在安全漏洞。 防火墻只實(shí)現(xiàn)了粗粒度的訪問(wèn)控制，且不能與企業(yè)內(nèi)部使用的其它安全機(jī)制（如訪問(wèn)控制）集成使用，這樣，企業(yè)就必須為內(nèi)部的身份驗(yàn)證和訪問(wèn)控制管理維護(hù)單獨(dú)的數(shù)據(jù)庫(kù)。 許多防火墻對(duì)用戶的安全控制主要是基于用戶所用機(jī)器的 IP 地址而不是用戶身份，這樣就很難為同一用戶在防火墻內(nèi)外提供一致的安全控制策略，限制了企業(yè)網(wǎng)的物理范圍。根據(jù)美國(guó)財(cái)經(jīng)雜志統(tǒng)計(jì)資料表明， 30%的入侵發(fā)生在有防火墻的情況下。防火墻的安全策略無(wú)法進(jìn)行集中管理。 .防火墻難于管理和配置，易造成安全漏洞 。即防外不防內(nèi)。但也有其明顯的局限性，諸如： .防火墻難于防內(nèi) 。 其次， 防火墻策略 對(duì)于防范黑客有其明顯的局限性 [4]。 當(dāng) 發(fā)現(xiàn)問(wèn)題之后就需要迅速做出響應(yīng)，比如，立即修補(bǔ) 大 壩的漏洞并進(jìn)行加固；如果到達(dá)警戒水位，大壩就需要有人 24 小時(shí)監(jiān)守，還可能需要泄洪。舉例來(lái)說(shuō)，一個(gè)水庫(kù)的大壩到底應(yīng)當(dāng) 修 多高？大壩有沒(méi)有漏洞？修好的大壩現(xiàn)在是否處在危險(xiǎn)的狀態(tài)？實(shí)際上，我們需要相 應(yīng)的檢 測(cè) 機(jī)制，例如，利用工程探傷技術(shù)檢查大壩的質(zhì)量是否符合要求、觀察當(dāng)前的水位是否超出了警 戒 水位。 比如，采用 B 級(jí)操作系統(tǒng)和數(shù)據(jù)庫(kù)、在網(wǎng)絡(luò)出口配置防火墻、在信息傳輸和存儲(chǔ)中采用加密技 術(shù)、 使用集中的身份認(rèn)證產(chǎn)品等。 但 是隨著網(wǎng)絡(luò)的深入發(fā)展，這個(gè)標(biāo)準(zhǔn)已經(jīng)不能完全適應(yīng) 當(dāng) 前的技術(shù)需要，因?yàn)檫@個(gè)主要基于 環(huán)境的靜態(tài)安全模型和標(biāo)準(zhǔn)無(wú)法完全反 應(yīng) 分布式、動(dòng)態(tài)變化、發(fā)展迅速的 Inter 安全問(wèn)題。 TCSEC 難以適應(yīng)新的網(wǎng)絡(luò)環(huán)境 在 信息安全的發(fā)展史上有一個(gè)里程碑，這就是 1985 年美國(guó)國(guó)防部（ DoD）國(guó)家計(jì) 算 機(jī)安全中心（ NCSC）發(fā)布的可信計(jì)算機(jī)安全評(píng)估準(zhǔn)則（ TCSEC） [1]。但是， “什么事情也沒(méi)有 ”也正是導(dǎo)致忽視安全問(wèn)題的原 因 所在。因此安全問(wèn)題很容易表面上受到重視，而實(shí)際上沒(méi)有真正得到重視。換句話說(shuō)，系統(tǒng)性能的提高，用戶雖然摸不到，但卻是可以 看 到的。 針 對(duì)網(wǎng)絡(luò)吞吐量、主機(jī)的運(yùn)算速度、數(shù)據(jù)庫(kù)的 TPC 指標(biāo)等 這 類性能問(wèn)題，用戶可以根據(jù)自己的業(yè)務(wù)要求、資金條件等方面考慮取舍。 分 布式入侵檢測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) 2 第一章 入侵檢測(cè)系統(tǒng)概述 信 息系統(tǒng)的安全問(wèn)題是一個(gè)十分復(fù)雜的問(wèn)題，可以說(shuō)信 息 系統(tǒng)有多復(fù)雜，信息系統(tǒng)安全問(wèn)題就有多復(fù)雜；信息系統(tǒng)有什么樣的特性，信息系統(tǒng)安全就同 樣 具有類似的特性。在經(jīng)濟(jì)領(lǐng)域中它可以及時(shí)發(fā)現(xiàn)、阻攔入侵行為，保護(hù)保護(hù)企業(yè)來(lái)自不滿員工、黑客和競(jìng)爭(zhēng)對(duì)手威脅，保證企業(yè)信息信息平臺(tái)的正常運(yùn)轉(zhuǎn)。 其中 ISS 公司的 RealSecured 的智能攻擊識(shí)別技術(shù)是當(dāng)前IDS 系統(tǒng)中最為先進(jìn)的。 目前入侵檢測(cè)品主要廠商有 ISS 公司（ RealSecure）、 Axent 公司（ ITA、ESM）， 以 及 NAI（ CyberCop Monitor）。 本課題是網(wǎng)絡(luò)安全實(shí)驗(yàn)室自擬課題“網(wǎng)絡(luò)數(shù)據(jù)分析”的一部分。但現(xiàn)狀是入侵檢測(cè)還不夠成熟，處于發(fā)展階段，或者是防火墻中集成較為初級(jí)的入侵檢測(cè)模塊。從網(wǎng)絡(luò)安全立體縱深、多層次防御的角度出發(fā)，入侵檢測(cè)理應(yīng)受到人們的高度重視，這從國(guó)外入侵檢測(cè)產(chǎn)品市場(chǎng)的蓬勃發(fā)展就可以看出。檢測(cè)已經(jīng)是系統(tǒng)安全模型中非常重要的一部分。由 一開(kāi)始的靜態(tài)的系統(tǒng)安全模型逐漸過(guò)渡到動(dòng)態(tài)的安全模型，如 PDR2模型。 作者簽名： 日期： 年 月 日 導(dǎo)師簽名： 日期： 年 月 日 分布式入侵檢測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) 目 錄 引言 ..................................................................................................................1 第一章 入侵檢測(cè)系統(tǒng)概述 ............................................................................2 TCSEC 難以適應(yīng)新的網(wǎng)絡(luò)環(huán)境 ........................................................2 P2DR：動(dòng)態(tài)安全模型 .......................................................................4 入侵檢測(cè)系統(tǒng) ....................................................................................5 入侵檢測(cè)系統(tǒng)的分類