退出退出退出退出第第4 4章章 网络安全技术网络安全技术l学习目的：学习目的：了解入侵检测概念初步掌握入侵检测系统（IDS）的分析方法了解入侵检测系统（IDS）结构初步掌握入侵检测工具了解安全审计技术l学习重点：学习重点：入侵检测系统（IDS）的分析方法 入侵检测工具 安全审计技术 4.1 4.1 入侵检测系入侵检测系 统概述统概述当我们无法完全防止入侵时，那么只能希当我们无法完全防止入侵时，那么只能希望系统在受到攻击时，能尽快检测出入侵，而望系统在受到攻击时，能尽快检测出入侵，而且最好是实时的，以便可以采取相应的措施来且最好是实时的，以便可以采取相应的措施来对付入侵，这就是入侵检测系统要做的，它从对付入侵，这就是入侵检测系统要做的，它从计算机网络中的若干关键点收集信息，并分析计算机网络中的若干关键点收集信息，并分析这些信息，检查网络中是否有违反安全策略的这些信息，检查网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门。火墙之后的第二道安全闸门。4.1.1入侵检测定义入侵检测定义1、定义定义可以看到入侵检测的作用就在于及时地发现各可以看到入侵检测的作用就在于及时地发现各种攻击以及攻击企图并作出反应。我们可以给入侵种攻击以及攻击企图并作出反应。我们可以给入侵检测做一个简单的定义，入侵检测就是对（网络）检测做一个简单的定义，入侵检测就是对（网络）系统的运行状态进行监视，发现各种攻击企图、攻系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、击行为或者攻击结果，以保证系统资源的机密性、完整性与可用性。完整性与可用性。2、基本特性、基本特性经济性经济性 时效性时效性 安全性安全性 可扩展性可扩展性 2、入侵检测技术入侵检测技术主要的发展方向主要的发展方向v 体系结构方向进一步研究分布式入侵检测与通体系结构方向进一步研究分布式入侵检测与通用的入侵检测架构用的入侵检测架构。v 应用层入侵检测应用层入侵检测v 智能的入侵检测智能的入侵检测v 提供高层统计与决策提供高层统计与决策v 响应策略与恢复研究响应策略与恢复研究v 入侵检测的评测方法入侵检测的评测方法v 和其它网络安全部件的协作、与其他安全技术和其它网络安全部件的协作、与其他安全技术 的结合的结合4.1.3入侵检测系统的功能及分类入侵检测系统的功能及分类1 1、入侵检测系统的功能、入侵检测系统的功能v监测并分析用户和系统的活动，查找非法用户监测并分析用户和系统的活动，查找非法用户和合法用户的越权操作。和合法用户的越权操作。v检查系统配置和漏洞，并提示管理员修补漏洞检查系统配置和漏洞，并提示管理员修补漏洞（现在通常由安全扫描系统完成）。（现在通常由安全扫描系统完成）。v评估系统关键资源和数据文件的完整性。评估系统关键资源和数据文件的完整性。v识别已知的攻击行为。识别已知的攻击行为。v统计分析异常行为。统计分析异常行为。v操作系统日志管理，并识别违反安全策略的用操作系统日志管理，并识别违反安全策略的用户活动等。户活动等。2入侵检测的分类入侵检测的分类对入侵检测技术的分类方法很多，根据着眼对入侵检测技术的分类方法很多，根据着眼点的不同，主要有下列几种分法：按数据来源和点的不同，主要有下列几种分法：按数据来源和系统结构分类，入侵检测系统分为系统结构分类，入侵检测系统分为3 3类：基于主机类：基于主机的入侵检测系统，基于网络的入侵检测系统，分的入侵检测系统，基于网络的入侵检测系统，分布式入侵检测系统（混合型）。根据数据分析方布式入侵检测系统（混合型）。根据数据分析方法（也就是检测方法）的不同，可以将入侵检测法（也就是检测方法）的不同，可以将入侵检测系统分为系统分为2 2类：异常检测和误用检测。按数据分析类：异常检测和误用检测。按数据分析发生的时间不同，入侵检测系统可以分为发生的时间不同，入侵检测系统可以分为2 2类：离类：离线检测系统与在线检测系统。按照系统各个模块线检测系统与在线检测系统。按照系统各个模块运行的分布方式不同，可以分为运行的分布方式不同，可以分为2 2类：集中式检测类：集中式检测系统和分布式检测系统。系统和分布式检测系统。4.1.4入侵响应（入侵响应（IntrusionResponse）入侵响应就是当检测到入侵或攻击时，采取适当入侵响应就是当检测到入侵或攻击时，采取适当的措施阻止入侵和攻击的进行。入侵响应系统分类也有的措施阻止入侵和攻击的进行。入侵响应系统分类也有几种分类方式，按响应类型可分为：报警型响应系统、几种分类方式，按响应类型可分为：报警型响应系统、人工响应系统、自动响应系统；按响应方式可分为：基人工响应系统、自动响应系统；按响应方式可分为：基于主机的响应、基于网络的响应；按响应范围可分为：于主机的响应、基于网络的响应；按响应范围可分为：本地响应系统、协同入侵响应系统。当我们检测到入侵本地响应系统、协同入侵响应系统。当我们检测到入侵攻击时，采用的技术很多，又大致可分为被动入侵响应攻击时，采用的技术很多，又大致可分为被动入侵响应技术和主动入侵响应技术。被动入侵响应包括：记录安技术和主动入侵响应技术。被动入侵响应包括：记录安全事件、产生报警信息、记录附加日志、激活附加入侵全事件、产生报警信息、记录附加日志、激活附加入侵检测工具等。主动入侵响应包括隔离入侵者检测工具等。主动入侵响应包括隔离入侵者IP、禁止被、禁止被攻击对象的特定端口和服务、隔离被攻击对象、警告攻攻击对象的特定端口和服务、隔离被攻击对象、警告攻击者、跟踪攻击者、断开危险连接、攻击攻击者等。击者、跟踪攻击者、断开危险连接、攻击攻击者等。Garfinkel和和Spafford于于1996年推荐了两个重要年推荐了两个重要的响应方案：第一个是保持冷静，不要惊慌。第二的响应方案：第一个是保持冷静，不要惊慌。第二个是对每件事情都进行记录。个是对每件事情都进行记录。Chapman与与Zwicky也针对入侵攻击提出了如下七步建议：也针对入侵攻击提出了如下七步建议：第一步：估计形势并决定需要做出那些响应第一步：估计形势并决定需要做出那些响应第二步：如果有必要就断开连接或关闭资源第二步：如果有必要就断开连接或关闭资源第三步：事故分析和响应第三步：事故分析和响应第四步：根据响应策略向其他人报警第四步：根据响应策略向其他人报警第五步：保存系统状态第五步：保存系统状态第六步：恢复遭到攻击的系统工程第六步：恢复遭到攻击的系统工程第七步：记录所发生的一切第七步：记录所发生的一切4.1.5入侵跟踪技术入侵跟踪技术1、基础基础互联网的各种协议的了解互联网的各种协议的了解 在不同的网络层，主要的不同网络地址在不同的网络层，主要的不同网络地址 2 2、跟踪电子邮件、跟踪电子邮件简单邮件传输协议简单邮件传输协议SMTP 跟踪发信者最好的办法就是对邮件中附加的头信跟踪发信者最好的办法就是对邮件中附加的头信息中出现的整个路径作彻底的调查。息中出现的整个路径作彻底的调查。 SMTP邮件服务器保存的日志记录信息审计邮件服务器保存的日志记录信息审计3 3、跟踪、跟踪UsenetUsenet的信息传递的信息传递 对消息中附加的头信息中出现的整个路径作对消息中附加的头信息中出现的整个路径作彻底的调查和审计日志信息。彻底的调查和审计日志信息。4第三方跟踪工具第三方跟踪工具（NetscanPro）5蜜罐技术蜜罐技术4.2 入侵检测系统 （IDS）的分析 方法 入侵分析的任务就是在提取到的庞大数据入侵分析的任务就是在提取到的庞大数据中找到入侵的痕迹。入侵分析过程需要将提取到中找到入侵的痕迹。入侵分析过程需要将提取到的事件与入侵检测规则等进行比较，从而发现入的事件与入侵检测规则等进行比较，从而发现入侵行为。一方面入侵检测系统需要尽可能多地提侵行为。一方面入侵检测系统需要尽可能多地提取数据以获得足够的入侵证据，而另一方面由于取数据以获得足够的入侵证据，而另一方面由于入侵行为的千变万化而导致判定入侵的规则等越入侵行为的千变万化而导致判定入侵的规则等越来越复杂，为了保证入侵检测的效率和满足实时来越复杂，为了保证入侵检测的效率和满足实时性的要求，入侵分析必须在系统的性能和检测能性的要求，入侵分析必须在系统的性能和检测能力之间进行权衡，合理地设计分析策略，并且可力之间进行权衡，合理地设计分析策略，并且可能要牺牲一部分检测能力来保证系统可靠、稳定能要牺牲一部分检测能力来保证系统可靠、稳定地运行，并具有较快的响应速度。入侵检测分析地运行，并具有较快的响应速度。入侵检测分析技术主要分为两类：异常检测和误用检测。技术主要分为两类：异常检测和误用检测。4.2.1基于异常的入侵检测方法基于异常的入侵检测方法本本节节重重点点讨讨论论这这种种方方法法的的原原理理和和基基本本流流程程。需需要要注注意意的的是是这这个个领领域域基基本本上上是是一一个个边边缘缘学学科科，它它的的理理论论基基础础包包括括人人工工智智能能、神神经经网网络络以以及及统统计计学学等等，由由于于能能力力和和篇篇幅幅的的限限制制，我我们们无无法法一一一一介介绍绍相相关关的的理理论论，基基于于异异常常的的入入侵侵检检测测方方法法主主要要来来源源于于这这样样的的思思想想：任任何何人人的的正正常常行行为为都都是是有有一一定定的的规规律律的的，并并且且可可以以通通过过分分析析这这些些行行为为产产生生的的日日志志信信息息（假假定定日日志志信信息息足足够够完完全全）总总结结出出这这些些规规律律，而而入入侵侵和和滥滥用用行行为为则则通通常常和和正正常常的的行行为为存存在在严严重重的的差差异异，通通过过检检查查出出这这些些差差异异就就可可以以检检测测出出入入侵侵。这这样样，我我们们就就可可以以检检测测出出非非法法的的入入侵侵行行为为甚甚至至是是通通过过未未知知方方法法进进行行的的入入侵侵行行为为。此此外外不不属属于于入入侵侵的的异异常常用用户户行行为为（滥滥用用自己的权限）也能被检测到。自己的权限）也能被检测到。1基于统计学方法的异常检测系统基于统计学方法的异常检测系统 这种系统使用统计学的方法来学习和检测用户这种系统使用统计学的方法来学习和检测用户的行为。鉴于人工智能领域的发展缓慢，统计学方的行为。鉴于人工智能领域的发展缓慢，统计学方法可以说是一种比较现实的方法，一个典型的系统法可以说是一种比较现实的方法，一个典型的系统SRI InternationalSRI International的的NIDESNIDES（Next-generation Next-generation Intrusion Detection Expert SystemIntrusion Detection Expert System）。）。2.预测模式生成法预测模式生成法 使用该方法进行入侵检测的系统，利用动态的规使用该方法进行入侵检测的系统，利用动态的规则集来检测入侵，这些规则是由系统的归纳引擎，根则集来检测入侵，这些规则是由系统的归纳引擎，根据已发生的事件的情况来预测将来发生的事件的概率据已发生的事件的情况来预测将来发生的事件的概率来产生的，归纳引擎为每一种事件设置可能发生的概来产生的，归纳引擎为每一种事件设置可能发生的概率率。3.神经网络方法神经网络方法 利用神经网络检测入侵的基本思想是用一系列利用神经网络检测入侵的基本思想是用一系列信息单元（命令）训练神经单元，这样在给定一组信息单元（命令）训练神经单元，这样在给定一组输入后，就可能预测出输出。与统计理论相比，神输入后，就可能预测出输出。与统计理论相比，神经网络更好地表达了变量间的非线性关系，并且能经网络更好地表达了变量间的非线性关系，并且能自动学习和更新。自动学习和更新。4.基于数据挖掘技术的异常检测系统基于数据挖掘技术的异常检测系统 数据挖掘，也称为知识发现技术。对象行为日志数据挖掘，也称为知识发现技术。对象行为日志信息的数据量通常都非常大，如何从大量的数据中信息的数据量通常都非常大，如何从大量的数据中“浓缩浓缩”出一个值或一组值来表示对象行为的概貌，并出一个值或一组值来表示对象行为的概貌，并以此进行对象行为的异常分析和检测，就可以借用数以此进行对象行为的异常分析和检测，就可以借用数据挖掘的方法。其中有一种方式就是记录一定量的格据挖掘的方法。其中有一种方式就是记录一定量的格式化后的数据，来进行分析和入侵检测。式化后的数据，来进行分析和入侵检测。总结总结理理论论上上这这种种入入侵侵检检测测方方法法具具有有一一定定入入侵侵检检测测的的能能力力，并并且且相相对对于于基基于于误误用用的的入入侵侵检检测测有有一一个个非非常常强强的的优优势势，就就是是能能够够检检测测出出未未知知的的攻攻击击；但但在在实实际际中中，理理论论本本身身也存在一定的缺陷，比如：也存在一定的缺陷，比如：v基基于于异异常常的的入入侵侵监监测测系系统统首首先先学学习习对对象象的的正正常常行行为为，并并形形成成一一个个或或一一组组值值表表示示对对象象行行为为概概貌貌，而而表表示示概概貌貌的这些数据不容易进行正确性和准确性的验证。的这些数据不容易进行正确性和准确性的验证。v通通常常比比较较长长期期行行为为的的概概貌貌和和短短期期行行为为的的概概貌貌检检测测出出异异常常后后，只只能能模模糊糊地地报报告告存存在在异异常常，不不能能准准确确地地报报告告攻击类型和方式，因此也不能有效地阻止入侵行为。攻击类型和方式，因此也不能有效地阻止入侵行为。v通通常常基基于于异异常常的的入入侵侵监监测测系系统统首首先先要要有有一一个个学学习习过过程程，这这个个过过程程是是否否能能够够正正确确反反映映对对象象的的正正常常行行为为？因因为这个过程很可能会被入侵者利用。为这个过程很可能会被入侵者利用。这这些些问问题题使使大大多多数数此此类类的的系系统统仍仍然然停停留留在在研研究究领领域。域。.2.2基于误用的入侵检测方法基于误用的入侵检测方法 在介绍基于误用（在介绍基于误用（misuse）的入侵检测的）的入侵检测的概念之前，先看看误用（概念之前，先看看误用（misuse）的含义，在）的含义，在这里它指这里它指“可以用某种规则、方式或模型表示可以用某种规则、方式或模型表示的攻击或其它安全相关行为的攻击或其它安全相关行为”。那么基于误用。那么基于误用的入侵检测技术的含义是：通过某种方式预先的入侵检测技术的含义是：通过某种方式预先定义入侵行为，然后监视系统的运行，并从中定义入侵行为，然后监视系统的运行，并从中找出符合预先定义规则的入侵行为。找出符合预先定义规则的入侵行为。1专家系统专家系统 专家系统是基于知识的检测中早期运用较多的方法。专家系统是基于知识的检测中早期运用较多的方法。将有关入侵的知识转化成将有关入侵的知识转化成if-then结构的规则，即把构成入结构的规则，即把构成入侵所需要的条件转化为侵所需要的条件转化为if部分，把发现入侵后采取的相应措部分，把发现入侵后采取的相应措施转化为施转化为then部分。当其中某个或某部分条件满足时，系部分。当其中某个或某部分条件满足时，系统就判断为入侵行为发生。其中的统就判断为入侵行为发生。其中的if-then结构构成了描述结构构成了描述具体攻击的规则库，状态行为及其语义环境可根据审计事具体攻击的规则库，状态行为及其语义环境可根据审计事件得到，推理机根据规则和行为完成判断工作件得到，推理机根据规则和行为完成判断工作。2模式匹配模式匹配 基于模式匹配的入侵检测方式也像专家系统一样，也需基于模式匹配的入侵检测方式也像专家系统一样，也需要知道攻击行为的具体知识。但是攻击方法的语义描述不要知道攻击行为的具体知识。但是攻击方法的语义描述不是被转化抽象的检测规则，而是将已知的入侵特征编码成是被转化抽象的检测规则，而是将已知的入侵特征编码成与审计记录相符合的模式，因而能够在审计记录中直接寻与审计记录相符合的模式，因而能够在审计记录中直接寻找相匹配的已知入侵模式。这样就不像专家系统一样需要找相匹配的已知入侵模式。这样就不像专家系统一样需要处理大量数据，从而大大提高了检测效率处理大量数据，从而大大提高了检测效率3按键监视（按键监视（KeystrokeMonitor） 按键监视是一种很简单的入侵检测方法，按键监视是一种很简单的入侵检测方法，用来监视攻击模式的按键。用来监视攻击模式的按键。4Petric网状态转换网状态转换Petric网用于入侵行为分析是一种类似于状态网用于入侵行为分析是一种类似于状态转换图分析的方法。利用转换图分析的方法。利用Petric网的有利之处在于网的有利之处在于它能一般化、图形化地表达状态，并且简洁明了。它能一般化、图形化地表达状态，并且简洁明了。虽然很复杂的入侵特征能用虽然很复杂的入侵特征能用Petric网表达得很简单，网表达得很简单，但是对原始数据匹配时的计算量却会很大。但是对原始数据匹配时的计算量却会很大。5误用检测与异常检测的比较误用检测与异常检测的比较前前面面介介绍绍了了基基于于异异常常和和基基于于误误用用两两种种不不同同的的检检测测方方法法，下面简单地评述一下两者之间的差异：下面简单地评述一下两者之间的差异：v异异常常检检测测系系统统试试图图发发现现一一些些未未知知的的入入侵侵行行为为，而而误误用用检测系统则是标识一些已知的入侵行为。检测系统则是标识一些已知的入侵行为。v异异常常检检测测指指根根据据使使用用者者的的行行为为或或资资源源使使用用状状况况来来判判断断是是否否入入侵侵，而而不不依依赖赖于于具具体体行行为为是是否否出出现现来来检检测测；而而误误用用检检测测系系统统则则大大多多数数是是通通过过对对一一些些具具体体的的行行为为的的判判断断和和推理，从而检测出入侵。推理，从而检测出入侵。v异异常常检检测测的的主主要要缺缺陷陷在在于于误误检检率率很很高高，尤尤其其在在用用户户数数目目众众多多或或工工作作行行为为经经常常改改变变的的环环境境中中；而而误误用用检检测测系系统统由于依据具体特征库进行判断，准确度要高很多。由于依据具体特征库进行判断，准确度要高很多。v异异常常检检测测对对具具体体系系统统的的依依赖赖性性相相对对较较小小；而而误误用用检检测测系统对具体的系统依赖性太强，移植性不好。系统对具体的系统依赖性太强，移植性不好。4.3入侵检测系统入侵检测系统 （IDS）结构）结构响应单元事件分析器事件数据库事件产生器CDIFCDIF的模型的模型 为了提高为了提高IDS产品、组件及与其它安全产品产品、组件及与其它安全产品之间的互操作性，美国国防高级研究计划署之间的互操作性，美国国防高级研究计划署（DARPA）和互联网工程任务组（）和互联网工程任务组（IETF）的入侵）的入侵检测工作组（检测工作组（IDWG）提出的建议是公共入侵检测）提出的建议是公共入侵检测框架（框架（CDIF）。1 1、事件产生器、事件产生器CDIF将将IDS需要分析的数据统称为事件，它可以是网需要分析的数据统称为事件，它可以是网络中的数据包，也可以是从系统日志或其它途径得到的信络中的数据包，也可以是从系统日志或其它途径得到的信息。事件产生器的任务是从入侵检测系统之外的计算环境息。事件产生器的任务是从入侵检测系统之外的计算环境中收集事件，并将这些事件转换成中收集事件，并将这些事件转换成CDIF的的GIDO（统一入（统一入侵检测对象）格式传送给其它组件。侵检测对象）格式传送给其它组件。2、事件分析器事件分析器事件分析器分析从其它组件收到的事件分析器分析从其它组件收到的GIDO，并将产生的新，并将产生的新GIDO在传送给其它组件。分析器可以是一个轮廓在传送给其它组件。分析器可以是一个轮廓（profile）描述工具，统计性地检测现在的事件是否可能）描述工具，统计性地检测现在的事件是否可能与以前某个时间来自同一个时间序列；也可以是一个特与以前某个时间来自同一个时间序列；也可以是一个特征检测工具，用于在一个事件序列中检测是否有已知的征检测工具，用于在一个事件序列中检测是否有已知的误用攻击特性；此外，事件分析器还可以是一个相关器，误用攻击特性；此外，事件分析器还可以是一个相关器，观察事件之间的关系，将有联系的事件放在一起，以利观察事件之间的关系，将有联系的事件放在一起，以利于以后的进一步分析。于以后的进一步分析。3、事件数据库、事件数据库用来存储用来存储GIDO，以备系统需要的时候使用。，以备系统需要的时候使用。4.响应单元响应单元响响应应单单元元处处理理收收到到的的GIDO，并并据据此此采采取取相相应应的的措措施施，如如kill相相关关进进程程、将将连连接接复复位位、修修改改文文件件权权限限等。等。 以以上上4个个组组件件只只是是逻逻辑辑实实体体，一一个个组组件件可可能能是是某某台台计计算算机机上上的的一一个个进进程程甚甚至至线线程程，也也可可能能是是多多台台计计算算机机上上的的多多个个进进程程，它它们们以以GIDO格格式式进进行行数数据据交交换换。GIDO是是对对事事件件进进行行编编码码的的标标准准通通用用格格式式（由由CDIF描描述述语语言言CISL定定义义），GIDO数数据据流流在在图图中中已已标标出出，它它可可以以是是发发生生在在系系统统中中的的审审计计事事件件，也也可可以以是是对对审审计计事事件的分析结果。件的分析结果。.3基于智能代理技术的分布基于智能代理技术的分布 式入侵检测系统式入侵检测系统 分布式入侵检测系统是与简单的基于主机的入分布式入侵检测系统是与简单的基于主机的入侵检测系统不同的，它一般由多个部件组成分布在侵检测系统不同的，它一般由多个部件组成分布在网络的各个部分，完成相应的功能，如进行数据采网络的各个部分，完成相应的功能，如进行数据采集、分析等。通过中心的控制部件进行数据汇总、集、分析等。通过中心的控制部件进行数据汇总、分析、产生入侵报警等。一个简单的分布式入侵检分析、产生入侵报警等。一个简单的分布式入侵检测系统（测系统（DIDS）如下页图）如下页图所示所示。用户接口专家系统通信管理器网络监视器通信代理主机监视器通信代理主机监视器通信代理主机监视器通信代理DIDSDirectorDIDSDIDS的体系结构的体系结构共享网段共享网段4.3.2简单的分布式入侵检测系统简单的分布式入侵检测系统人人工工智智能能领领域域的的智智能能代代理理（Agent）技技术术越越来来越越热热，也也提提出出了了不不少少基基于于智智能能代代理理技技术术的的分分布布式式入入侵侵 检检 测测 系系 统统 ， 如如 基基 于于 自自 治治 代代 理理 （ AutonomousAgents）技技术术的的AAFID，还还有有基基于于移移动动代代理理的的分分布布式式入入侵侵检检测测系系统统等等等等，下下面面主主要要介介绍绍基基于于自自治治代代理理技技术术的的AAFID。AAFID的的系系统统结结构构可可以以从从下下页页图图的的实实例例中中看看出出，AAFID系系统统结结构构有有3个个重重要要的的部部件件：代代理理（Agents）、收收发发器器（Transceivers）和和监监视视器器（Monitors）组成。三者都被称为实体。）组成。三者都被称为实体。DBCEA用户接口遵循遵循AAFIDAAFID系统结构的系统结构的IDSIDS的物理表示的物理表示控制流数据流收发器监视器主机代理三三者者都都被被称称为为实实体体。三三种种实实体体之之间间的关系如下：的关系如下：v一一个个AAFID系系统统可可以以分分布布在在任任意意多多台台主主机机上上，每台主机上可以有任意多个代理。每台主机上可以有任意多个代理。v在在同同一一台台主主机机上上的的所所有有代代理理向向该该主主机机上上的的收收发发器传递信息。器传递信息。v每每台台主主机机只只能能有有一一个个收收发发器器，负负责责监监督督和和控控制制该该主主机机上上的的代代理理，可可以以向向代代理理发发送送控控制制命命令令，也也可以对代理所发送来的数据进行数据精简。可以对代理所发送来的数据进行数据精简。v收收发发器器可可以以向向一一个个或或多多个个监监视视器器报报告告结结果果。每每个个收收发发器器可可向向多多个个监监视视器器发发送送信信息息，这这样样可可以以避避免由于一个监视器故障而造成的单点故障问题免由于一个监视器故障而造成的单点故障问题v每个监视器监督和控制多个发送器；每个监视器监督和控制多个发送器；v监视器可以访问广域网，从而可以进行高层控制监视器可以访问广域网，从而可以进行高层控制协调，检测涉及多个主机的入侵；协调，检测涉及多个主机的入侵；v监视器之间也可以构成分层的结构，底层的监视监视器之间也可以构成分层的结构，底层的监视器向高层汇报；器向高层汇报；v监视器负责同用户进行交互，从用户界面获取控监视器负责同用户进行交互，从用户界面获取控制命令、向用户报告检测结果等；制命令、向用户报告检测结果等；v所有部件都为其他部件及用户提供所有部件都为其他部件及用户提供API，实现相，实现相互之间的调用。互之间的调用。其逻辑结构如下图所示：其逻辑结构如下图所示：用户接口ABCDE遵循遵循AAFIAAFI系统结构的系统结构的IDSIDS的逻辑表示的逻辑表示.3.4自适应入侵检测系统自适应入侵检测系统 由于入侵方法和入侵特征的不断变化，由于入侵方法和入侵特征的不断变化，入侵检测系统必须不断自学习，以便更新检入侵检测系统必须不断自学习，以便更新检测模型。为了适应这种需要，提出了一种具测模型。为了适应这种需要，提出了一种具有自适应模型生成特性的入侵检测系统。该有自适应模型生成特性的入侵检测系统。该系统的体系结构中包含三个组件：代理系统的体系结构中包含三个组件：代理（Agent）、探测器（）、探测器（Detector）以及自适）以及自适应模型生成器（应模型生成器（AdaptiveModelGenerator）。该体系结构如下页图所示。）。该体系结构如下页图所示。 代理代理向探测器提供收集到的各种数据，而探测器则向探测器提供收集到的各种数据，而探测器则用来分析和响应已经发生的入侵。代理同时还向自适用来分析和响应已经发生的入侵。代理同时还向自适应模型生成器（应模型生成器（AMG）发送数据，供其学习新的检）发送数据，供其学习新的检测模型。自适应模型生成器在学习新的检测模型的同测模型。自适应模型生成器在学习新的检测模型的同时，将学到的模型提供给探测器。时，将学到的模型提供给探测器。自自适适应应模模型型生生成成器器系系统统（如如下下图图所所示示）由由四四部部分分组组成成：数数据据接接收收、数数据据仓仓库库、模模型型生生成成器器和和模型分配器。模型分配器。模型生成器构架模型生成器构架自自适适应应模模型型生生成成器器系系统统各各部部分分具具有有的功能：的功能：v数数据据接接收收：从从传传感感器器接接收收数数据据并并将将其其转转换换为为一个表单，准备加入列数据仓库。一个表单，准备加入列数据仓库。v数据仓库：向数据库中存取数据。数据仓库：向数据库中存取数据。v模模型型生生成成器器：利利用用数数据据仓仓库库中中的的数数据据可可以以生生成成学学习习机机制制，利利用用该该学学习习机机制制可可以以建建立立一一定定的的模型。模型。v模模型型分分配配器器：将将生生成成的的模模型型通通过过模模型型分分配配器器分布到各探测器。分布到各探测器。4.3.5智能卡式入侵检测系统实现智能卡式入侵检测系统实现 本节从一个新的角度来设计入侵检测系统本节从一个新的角度来设计入侵检测系统智能智能卡系统，它可以将预防和检测模块集成在一起。在预防模卡系统，它可以将预防和检测模块集成在一起。在预防模块内，系统安全的有关数据存储在智能卡中，块内，系统安全的有关数据存储在智能卡中，用户只需将用户只需将其智能卡插入到读卡器中就可以完成登录认证其智能卡插入到读卡器中就可以完成登录认证。资源分配。资源分配的有关信息业存储在智能卡内。当用户登录成功，就可以的有关信息业存储在智能卡内。当用户登录成功，就可以根据预先的设置进行权限范围内的网络访问，并分配相应根据预先的设置进行权限范围内的网络访问，并分配相应的资源。采用这种方案就可以有效地阻止非法入侵者，的资源。采用这种方案就可以有效地阻止非法入侵者，同同时也可以防止合法用户访问权限范围以外的网络资源时也可以防止合法用户访问权限范围以外的网络资源，在，在检测模块内，在入侵检测引擎中加入智能卡用户特征信息检测模块内，在入侵检测引擎中加入智能卡用户特征信息的读取模块，并将不同用户的特征信息写入其各自的智能的读取模块，并将不同用户的特征信息写入其各自的智能卡中。系统在注册时将卡内信息读出并加以比较，如果能卡中。系统在注册时将卡内信息读出并加以比较，如果能够匹配则为合法用户，否则就为非法用户。够匹配则为合法用户，否则就为非法用户。1智能卡基础智能卡基础在本系统中，智能卡是核心部分。通过它可以在本系统中，智能卡是核心部分。通过它可以安全登录网络系统、保存用户环境配置文件和安全安全登录网络系统、保存用户环境配置文件和安全配置文件。但该设备没有得到广泛使用的主要原因配置文件。但该设备没有得到广泛使用的主要原因有：有：v 缺缺乏乏统统一一的的标标准准，尽尽管管已已通通过过ISO7816对对其其进进行行了了标标准准化化的的约约定定，但但是是标标准准允允许许供供应应商商在在其其读读卡卡机机上上使使用用自自己己的的通通信信代代码码。因因此此，智智能能卡卡的的读读卡卡程程序序是由供应商自己定制的。是由供应商自己定制的。v缺缺乏乏足足够够的的应应用用，因因为为智智能能卡卡目目前前主主要要用用于于存存储储信信息息，因因此此软软硬硬件件供供应应商商都都没没有有兴兴趣趣提提供供其其他他方方面面的应用。的应用。2设计智能卡系统设计智能卡系统 智能卡系统是基于统计的不规则检测系统（系智能卡系统是基于统计的不规则检测系统（系统也加入了误用检测方法）的改进版。因此，在智统也加入了误用检测方法）的改进版。因此，在智能卡式入侵检测系统时，通常都采用了常用入侵检能卡式入侵检测系统时，通常都采用了常用入侵检测系统的几个标准模块：测系统的几个标准模块：（1 1）审计日志生成模块）审计日志生成模块 主要用于收集用户信息和系统活动。这些特性是主要用于收集用户信息和系统活动。这些特性是基于信息是否可用来选择的。任何用户和系统的活动，基于信息是否可用来选择的。任何用户和系统的活动，只要能代表用户行为的特性都能进行使用。只要能代表用户行为的特性都能进行使用。（2 2）智能卡控制模块）智能卡控制模块 主主要要处处理理一一些些内内部部关关联联的的操操作作。它它包包括括以以下下三三方方面面的的内内容容：从从统统计计信信息息中中进进行行归归纳纳分分类类；将将归归纳纳的的分分类类信信息息存存储储到到用用户户的的智智能能卡卡中中或或从从智智能能卡卡中中将将信信息息转转储储回回来来；重新生成分类信息。重新生成分类信息。 智能卡除了用于登录认证之外，还可以用于处智能卡除了用于登录认证之外，还可以用于处理静态和动态的用户数据。理静态和动态的用户数据。v静态数据包括用户的个人信息和企业信息，也可以静态数据包括用户的个人信息和企业信息，也可以保存用于建立网络连接以及建立路由表等的网络信息。保存用于建立网络连接以及建立路由表等的网络信息。另外，还要输入用于区分合法或不合法网络活动的边另外，还要输入用于区分合法或不合法网络活动的边界值。界值。v用户动态配置文件则用于处理某些选定特性的统计用户动态配置文件则用于处理某些选定特性的统计汇总信息。汇总信息。 在处理完上述用户特性之后，审计日志生成模块在处理完上述用户特性之后，审计日志生成模块将收集用户和系统活动的统计数据，最后将这些信息将收集用户和系统活动的统计数据，最后将这些信息送到智能卡中进行计算和保存。送到智能卡中进行计算和保存。 （3 3）特性抽取模块特性抽取模块 主主要要用用于于对对选选定定审审计计特特性性的的用用户户特特性性进进行行汇汇总总。由由于于智智能能卡卡存存储储空空间间的的限限制制，因因此此审审计计事事件件日日志志不不能能全全部部保保存存在在智智能能卡卡中中，智智能能卡卡中中只只保保存存进进行行分分析析和统计比较等审计特性。和统计比较等审计特性。 在在特特性性抽抽取取的的过过程程中中，将将选选定定的的用用户户和和系系统统活活动动分分类类成成组组。每每个个特特性性都都将将被被分分别别抽抽取取。抽抽取取的的特特性性将将和和新新收收集集的的审审计计事事件件信信息息进进行行比比较较，以以生生成成新新的特性数据。的特性数据。 （4 4）入侵检测模块）入侵检测模块 抽抽取取出出来来的的平平均均值值、偏偏差差值值以以及及新新收收集集的的用用户户合合法法的的系系统统活活动动特特性性等等，都都将将和和全全面面特特性性统统计计数数据据进进行行比比较较。如如果果用用户户标标准准行行为为位位于于标标准准偏偏差差内内，则则属属于于正正常常；如如果果超超出出标标准准偏偏差差，则则被被认认为为是是异异常常行行为，从而产生报警信息。为，从而产生报警信息。 3智能卡系统性能分析智能卡系统性能分析 智能卡系统性的优点智能卡系统性的优点：v同一张卡就即可用于认证也可用于检测过程。同一张卡就即可用于认证也可用于检测过程。v 通通过过使使用用智智能能卡卡还还可可以以防防止止一一些些基基本本的的入入侵侵行行为为，如多重登录、尝试不同密码等如多重登录、尝试不同密码等。v 在在企企业业内内部部网网络络环环境境下下，通通过过智智能能卡卡系系统统还还可可以以建立分布式入侵检测系统建立分布式入侵检测系统。v 用户的信息就不必在网络上同步进行更新了。用户的信息就不必在网络上同步进行更新了。 智能卡系统性的缺点智能卡系统性的缺点：v（智智能能卡卡系系统统是是基基于于统统计计的的不不规规则则检检测测系系统统的的修修改改版版，因因此此它它和和传传统统的的基基于于统统计计的的不不规规则则检检测测系系统统具具有有同同样样的的优优点点。）一一方方面面，由由于于基基于于非非规规则则的的机机制制，因因此此就就不不需需要要基基于于规规则则的的专专家家系系统统的的大大量量资资源源和和数数据据库库；但但另另一一方方面面，在在这这个个系系统统中中不不能能像像基基于于专专家家系系统统的的方方法那样进行快速检测。法那样进行快速检测。v由由于于用用户户的的所所有有信信息息都都必必须须保保存存在在智智能能卡卡中中，所所以以就就受受到到智智能能卡卡的的存存储储容容量量的的限限制制。而而智智能能卡卡不不能能附附加加额额外外的的内内存存，除除非非重重新新设设计计和和生生产产，因因此此一一些些相相关关的的数数据据不不得得不不进进行行舍舍弃弃。由由于于只只能能抽抽取取关关键键数数据据，而而大大量量数数据据将将被被舍舍弃弃，这这样样，一一些些用用户户的的行行为为信信息息就就可可能能会与原始数据有所偏差。会与原始数据有所偏差。 4.3.6典型入侵检测系统简介典型入侵检测系统简介目前目前IDS产品有很多，免费的产品有产品有很多，免费的产品有Snort、shadow等。商品化的产品，国外的有等。商品化的产品，国外的有ISS公司的公司的RealSecure（分（分布式布式IDS）、）、Cisco的的NetRanger（NIDS）、）、CyberSafe公公司的司的Cebtrax（分布式（分布式IDS）、）、CA的的eTrustIDS、Symantee的的Intruder（HIDS）和）和NetProwler（NIDS）、）、NAI的的CyberMonitor、NetworkSecurityWizards公司的公司的DragonIDS系统（系统（NIDS），国内的有金诺网安的），国内的有金诺网安的KIDS、北方计算中心的北方计算中心的NISDetector、启明星辰的天阗黑客入侵、启明星辰的天阗黑客入侵检测与预警系统、中科网威检测与预警系统、中科网威“天眼天眼”网络入侵侦测系统、网络入侵侦测系统、复旦光华复旦光华S_Audit入侵检测与安全审计系统等。入侵检测与安全审计系统等。1. 1. 免费的免费的IDS-SnortIDS-SnortSnort是基于是基于libpcap的数据包嗅探器并可以作为的数据包嗅探器并可以作为一个轻量级的网络入侵检测系统（一个轻量级的网络入侵检测系统（NIDS）。可以运）。可以运行在各种操作系统平台，如行在各种操作系统平台，如UNIXUNIX系列和系列和WondowsWondows系列系列（需要（需要libpcap for win32libpcap for win32的支持），与很多商业产的支持），与很多商业产品相比，它对操作系统的依赖性比较低。其次用户品相比，它对操作系统的依赖性比较低。其次用户可以根据自己的需要及时在短时间内调整检测策略。可以根据自己的需要及时在短时间内调整检测策略。 Snort作为一个作为一个NIDS，其，其工作原理工作原理为在基为在基于共享网络上检测原始的网络传输数据，通过分析于共享网络上检测原始的网络传输数据，通过分析捕获的数据包，匹配入侵行为的特征或者从网络活捕获的数据包，匹配入侵行为的特征或者从网络活动的角度检测异常行为，进而采取入侵的预警或记动的角度检测异常行为，进而采取入侵的预警或记录。从检测模式而言，录。从检测模式而言，Snort属于误用检测，是基于属于误用检测，是基于规则的入侵检测工具。规则的入侵检测工具。Snort的结构主要分为三个部分：的结构主要分为三个部分：l l数数 据据 包包 捕捕 获获 和和 解解 析析 子子 系系 统统 （ Capture PacketMechanism from Link Layer and the PacketDecoder）：该该子子系系统统的的功功能能为为捕捕获获网网络络的的传传输输数数据据并并按按照照TCP/IP协协议议的的不不同同层层次次将将数数据据包包进进行行解解析析。Snort利利用用libpcap库库函函数数进进行行数数据据采采集集，该该库库函函数数可可以以为为应应用用程程序序提提供供直直接接从从链链路路层层捕捕获获数数据据包包的的接接口口函函数数并并可可以以设设置置数数据据包包的的过过滤滤器器以以来来捕捕获获指指定定的的数数据据。对对于于解解析析机机制制来来说说，能能够够处处理理数数据据包包的的类类型型的的多多样样性性也也同同样样非非常常重重要要，目目前前，Snort可可以以处处理理以以太太网网、令令牌牌环环及及SLIP等多种链路类型的包。等多种链路类型的包。l l检检测测引引擎擎（TheDetectEngine）：检检测测引引擎擎是是一一个个NIDS实实现现的的核核心心，准准确确性性和和快快速速性性是是衡衡量量其其性性能能的的重重要要指指标标，前前者者主主要要取取决决于于对对入入侵侵行行为为特特征征码码提提炼炼的的精精确确性性和和规规则则撰撰写写的的简简洁洁实实用用性性，由由于于网网络络入入侵侵检检测测系系统统本本身身角角色色的的被被动动性性只只能能被被动动的的检检测测流流经经本本网网络络的的数数据据，而而不不能能主主动动发发送送数数据据包包去去探探测测，所所以以只只有有将将入入侵侵行行为为的的特特征征码码归归结结为为协协议议的的不不同同字字段段的的特特征征值值，通通过过检检测测该该特特征征值值来来决决定定入入侵侵行行为为是是否否发发生生。后后者者主主要要取取决决于于引引擎擎的的组组织织结结构构，是是否否能能够够快快速速地地进进行行规规则则匹匹配配。Snort采采用用了了灵活的插件形式来组织规则库。灵活的插件形式来组织规则库。l l日志及报警子系统（日志及报警子系统（Logging/AlertingSubsystem）：入侵）：入侵检测系统的输出结果系统的重要特征是实时性和多样性，前检测系统的输出结果系统的重要特征是实时性和多样性，前者指能够在检测到入侵行为的同时及时记录和报警，后者是者指能够在检测到入侵行为的同时及时记录和报警，后者是指能够根据需要选择多种方式进行记录和报警。一个好的指能够根据需要选择多种方式进行记录和报警。一个好的NIDS，更应该提供友好的输出界面或发声报警等。，更应该提供友好的输出界面或发声报警等。工作流程工作流程：Snort程程序序通通过过libpcap接接口口从从网网络络中中抓抓取取一一个个数数据据包包，调调用用数数据据包包解解析析函函数数、根根据据数数据据包包的的类类型型和和所所处处的的网网络络层层次次，对对数数据据包包进进行行协协议议分分析析，包包括括数数据据链链路路层层、网网络络层层和和传传输输层层。解解析析后后的的结结果果存存放放在在一一个个Packet结结构构中中，用用于于以以后后的的分分析析。Snort的的工工作作流流程程如如右右图图所示。所示。解析命令行初始化解析规则库打开libpcap接口获取数据包解析数据包响应（报警、日志）与二维链表某节点匹配？ 生成二维链表是否Snort的工作流程 数据包解析过程完成以后，如果命令行中制数据包解析过程完成以后，如果命令行中制定了根据规则库对数据包进行分析，就会启动检定了根据规则库对数据包进行分析，就会启动检测引擎，将存放在测引擎，将存放在PacketPacket结构中的数据包的数据结构中的数据包的数据和规则库所生成的二维链表进行逐一的比较，如和规则库所生成的二维链表进行逐一的比较，如果找到匹配的规则条目，则根据其规定的响应方果找到匹配的规则条目，则根据其规定的响应方式进行响应（式进行响应（PassPass，LogLog，AlertAlert），然后结束一），然后结束一个数据包的处理过程，在抓下一个数据包；如果个数据包的处理过程，在抓下一个数据包；如果没有匹配的规则条目，则直接返回，然后再抓取没有匹配的规则条目，则直接返回，然后再抓取下一个数据包进行处理。下一个数据包进行处理。 2.商业商业IDS的代表的代表ISS的的RealSecureISS公公司司的的RealSecure是是一一个个计计算算机机网网络络上上自自动动实实时时的的入入侵侵检检测测和和响响应应系系统统。RealSecure提提供供实实时时的的网网络络监监视视，并并允允许许用用户户在在系系统统受受到到危危害害之之前前截截取取和和响响应应安安全全入入侵侵和和内内部部网网络络误误用用。RealSecure无无妨妨碍碍地地监监控控网网络络传传输输并并自自动动检检测测和和响响应应可可疑疑的的行行为为，从从而而最大程度地为企业提供安全。最大程度地为企业提供安全。RealSecure6.0之之前前的的版版本本有有三三大大组组件件：网网络络感感应应器器（又又称称为为RealSecureEngine）、主主机机感感应应器器（又称为（又称为RealSecureAgent）和管理器。）和管理器。在在6.0版版的的架架构构中中，包包括括了了两两个个主主要要的的组组件件，第第一一个个主主要要的的组组件件是是WorkgroupManager,其其中中又又包包含含四四个个小小组组件件：Console、EventCollector、EnterpriseDatabase和和 Asset Database； 第第 二二 个个 主主 要要 组组 件件 是是Sensor，而而Sensor有有NetworkSensor和和ServerSensor两种。两种。WorkgroupManagerConsole的功能有：的功能有：（1）控制和设定）控制和设定v策略修改：可以通过策略修改：可以通过Console对所有的对所有的Sensor进行策进行策略管理，设定适合的策略给不同的略管理，设定适合的策略给不同的Sensor。v配置修改：在配置修改：在Sensor上有很多可以被更改的配置，上有很多可以被更改的配置，例如：例如：NetworkSensor要监视哪个网卡等等，都可以要监视哪个网卡等等，都可以通过进行设定。通过进行设定。（2）及时资料分析）及时资料分析Console可可以以连连接接到到EventCollector，及及时时地地由由EventCollector接收事件的信息。接收事件的信息。v取得关于事件的详细资料，例如：源地址等。取得关于事件的详细资料，例如：源地址等。v可以取得关于某个事件的详细说明。可以取得关于某个事件的详细说明。v可以及时对画面上的事件显示进行管理。可以及时对画面上的事件显示进行管理。（3）报表）报表 可可以以由由指指定定IP地地址址、事事件件名名称称、时时间间间间隔隔等等来产生指定的报表格式。来产生指定的报表格式。整整个个架架构构如如下下页页图图所所示示。在在整整个个RealSecure运运行行过程中，各组件功能大致如下：过程中，各组件功能大致如下：vConsole：对对Event Collector、Sensor进进行行管管理理、及时显示发生事件、产生报表。及时显示发生事件、产生报表。vEventCollector：接接收收Sensor传传送送来来的的事事件件、将将事事件件记记录录到到Enterprise Database中中、将将事事件件传传送送给给Console。vSensor：进进行行侦侦测测，并并且且将将侦侦测测到到的的事事件件传传送送到到EventCollector。vDatabase：记录由：记录由EventCollector传送过来的事件。传送过来的事件。Console事件收集器ECSensorDatabase产生报表显示事件管理EC管理Sensor传送事件记录事件ISS RealSecure 6.0ISS RealSecure 6.0的体系结构的体系结构4.4入侵检测工具入侵检测工具 简介简介4.4.1日志审查日志审查SwatchSwatch工工具具的的目目的的是是为为了了补补充充UNIX系系统统的的日日志志能能力力，它它提提供供一一种种实实时时监监控控、审审计计日日志志和和报报告告的的能能力力；另另外外，Swatch是是使使用用Perl语语言言编编写写的的，因因而而它它的的可可便便携携性性和和可可扩扩展展性性比比较较好好。Swatch通通过过一一个个使使用用方方便便的的安安装装脚脚本本来来进进行行安安装装，将将所所有有的的库库文文件件、手手册册页页和和Perl文文件件复复制制到到相相应应目目录录下下在在进进行行安安装装即即可可。安安装装完完成成后后，只只要要创创建建一一个个配配置置文文件，就可以运行程序了。件，就可以运行程序了。Swatch具有以下特性：具有以下特性：v具具有有一一个个“backfinger”，可可以以捕捕获获攻攻击击主主机机的的finger信息。信息。v支持实时呼叫（因而可以接收到各种报告）。支持实时呼叫（因而可以接收到各种报告）。v支支持持命命令令的的有有条条件件执执行行（如如果果日日志志文文件件中中有有这这样样的的条条件件，就可以使用该特性）。就可以使用该特性）。Swatchrc是是Swatch的配置文件，它对于的配置文件，它对于Swatch来说非来说非常重要。这个文本文件用来告诉常重要。这个文本文件用来告诉Swatch需要监视什么日志、需要监视什么日志、寻找什么触发器和当触发时所要执行的动作。寻找什么触发器和当触发时所要执行的动作。Swatchrc文件的内容格式包括四个用制表符分隔的字文件的内容格式包括四个用制表符分隔的字段。其中，前两个字段是必须的，而后两个字段是可选的。段。其中，前两个字段是必须的，而后两个字段是可选的。第一个字段的格式是：第一个字段的格式是：/pattern/pattern/，其中的，其中的“pattern”是是Swatch将要进行搜索匹配的正则表达式，将要进行搜索匹配的正则表达式，也就是我们的触发器。第二个字段的格式是：也就是我们的触发器。第二个字段的格式是：Action，action.，其中的，其中的“action”是当表达式匹配时所要执是当表达式匹配时所要执行的动作。行的动作。Swatch允许指定包括允许指定包括E-mail、呼叫或任何指定、呼叫或任何指定的执行文件。第三个字段的格式是：的执行文件。第三个字段的格式是：HH：MM：SS，其，其中的中的HH是小时数，是小时数，MM是分钟数，是分钟数，SS是秒数。这个时间是秒数。这个时间间隔是设置间隔是设置Swatch忽略同一匹配表达式而只报告一次，即忽略同一匹配表达式而只报告一次，即使该表达式已经匹配了使该表达式已经匹配了20次。第四个字段（如果使用了第次。第四个字段（如果使用了第三个字段，则此字段就是必须的）是一个时间标签，格式三个字段，则此字段就是必须的）是一个时间标签，格式为：为：start：length。它定义了通知消息中的时间标签的位。它定义了通知消息中的时间标签的位置和长度。置和长度。4.3.2访问控制访问控制TcpwrapperTcpwrapper是由是由WietseVenema编写的著名的安全编写的著名的安全防护工具。防护工具。Internet上很多上很多Unix、Linux主机都使用它来主机都使用它来进行访问控制和日志记录。这款软件对于提高基础安全进行访问控制和日志记录。这款软件对于提高基础安全性来说非常重要，而且它还是完全免费的，下面就介绍性来说非常重要，而且它还是完全免费的，下面就介绍一下其安装、配置以及使用方法。一下其安装、配置以及使用方法。1.安装：安装：修改修改Makefile2.编译编译：make 然后修改然后修改inetd.conf3.控制文件的设置控制文件的设置Tcpwrapper的控制文件有两个：的控制文件有两个：/etc/hosts.allow和和/etc/hosts.deny。前者是处理允许。前者是处理允许连接的主机，而后者则是要拒绝的主机。连接的主机，而后者则是要拒绝的主机。4.4.3WatcherWatcher是是一一个个典典型型的的网网络络入入侵侵检检测测工工具具，它它是是由由KennethIngham在在新新墨墨西西哥哥大大学学计计算算中中心心工工作作时时开开发发的的，它它能能够够检检测测所所有有通通过过网网络络的的信信息息包包，并并将将它它当当成成恶恶意意的的攻攻击击行行为为记记录录在在syslog中中，网网络络管管理理员员根根据据记记录录下下来来的的日日志志就就可可以以分分析析判判断断系系统统是是否否在在遭遭受受恶恶意意攻攻击击。Watcher运运行行在在UNIX/linux系系统统上上，并并且且需需要要使使用用C编编译译器器。它它是是一一个个完完全全免免费费的的版版本本，而而且且只只有有一一个个C语语言言程程序序，因因此此安安装装起起来也非常简单。来也非常简单。Watcher的的最最新新版版本本可可以以检检测测到到端端口口扫扫描描行行为为和一些常见的拒绝服务攻击行为，具体如下：和一些常见的拒绝服务攻击行为，具体如下： l lTCP端口扫描端口扫描 l lUDP端口扫描端口扫描 l lSynflood攻击攻击 l lTeardrop攻击攻击 l lLand攻击攻击 l lSmurf攻击攻击 l lPingofdeath攻击攻击 使用格式为：使用格式为：Watcher参数参数。具体作用。具体作用如下表所示如下表所示:参数参数作作用用-ddevice将将device设定为当前的网卡，默认为第一个设定为当前的网卡，默认为第一个non_loopback的网络设备的网络设备-fflood设定接收到多少不完全的连接后才认为是设定接收到多少不完全的连接后才认为是flood攻击攻击-h帮助信息帮助信息-iicomlinit设定接收到多少设定接收到多少icmpechoreplies就认为是就认为是smurf攻击攻击-mlevel可以设定监控的机器，比如可以设定监控的机器，比如subnet为子域中的机器，而为子域中的机器，而all为所有为所有-pportlimit在在timeout的限制时间内有多少端口接收到信息包算是一次端口扫描的限制时间内有多少端口接收到信息包算是一次端口扫描-rreporttype如果如果reporttype设为设为DoS，那么只有拒绝服务攻击才会被记录；如果是，那么只有拒绝服务攻击才会被记录；如果是scand的话，那么只有扫描行为会记录。默认设置是记录所有东西的话，那么只有扫描行为会记录。默认设置是记录所有东西-ttimeout每隔每隔timeout的时间就记录信息包并打印出潜在的攻击行为的时间就记录信息包并打印出潜在的攻击行为-wwebcount设定我们从设定我们从80端口接收到多少信息包才算是一次端口扫描（端口接收到多少信息包才算是一次端口扫描（CGI）4.5现代安全审现代安全审 计技术计技术安全审计是一个安全的网络必须支持的功能特安全审计是一个安全的网络必须支持的功能特性，它记录用户使用计算机网络系统进行所有活动的性，它记录用户使用计算机网络系统进行所有活动的过程，是提高安全性的重要工具。它不仅能够识别谁过程，是提高安全性的重要工具。它不仅能够识别谁访问了系统，还能指出系统正被怎样使用。对于确定访问了系统，还能指出系统正被怎样使用。对于确定是否有网络攻击的情况，审计信息对于确定问题和攻是否有网络攻击的情况，审计信息对于确定问题和攻击源很重要。同时，系统事件的记录能够更迅速和系击源很重要。同时，系统事件的记录能够更迅速和系统地识别问题，并且它是后面阶段事故处理的重要依统地识别问题，并且它是后面阶段事故处理的重要依据，为网络犯罪行为及泄密行为提供取证基础。另外，据，为网络犯罪行为及泄密行为提供取证基础。另外，通过对安全事件的不断收集与积累并且加以分析，有通过对安全事件的不断收集与积累并且加以分析，有选择地对其中的某些站点或用户进行审计跟踪，以便选择地对其中的某些站点或用户进行审计跟踪，以便对发现或可能产生的破坏性行为提供有力的证据。对发现或可能产生的破坏性行为提供有力的证据。4.5.1安全审计现状安全审计现状TCSEC（TrustedComputerSystemEvalutionCriteria）准则，俗称橙皮书，是美国国防部发布的一个准则，用于评准则，俗称橙皮书，是美国国防部发布的一个准则，用于评估自动信息数据处理系统产品的安全措施的有效性。估自动信息数据处理系统产品的安全措施的有效性。1998年，国际标准化组织（年，国际标准化组织（ISO）和国际电工委员会）和国际电工委员会（IEC）发表了信息技术安全性评估通用规则）发表了信息技术安全性评估通用规则2.0版版（ISO/IEC15408），简称），简称CC准则或准则或CC标准。标准。CC准则是信准则是信息技术安全性通用评估准则，用来评估信息系统或信息产品息技术安全性通用评估准则，用来评估信息系统或信息产品的安全性。的安全性。 但是大部分的用户和专家对安全审计这个概念的理解都但是大部分的用户和专家对安全审计这个概念的理解都认为是认为是“日志记录日志记录”的功能。另一部分的集成商则认为安全的功能。另一部分的集成商则认为安全审计只需在原来各个产品的日志功能上进行一些改进即可。审计只需在原来各个产品的日志功能上进行一些改进即可。还有一部分厂商将安全审计和入侵检测产品等同起来。因此还有一部分厂商将安全审计和入侵检测产品等同起来。因此目前对于安全审计这个概念的理解还不统一，安全领域对于目前对于安全审计这个概念的理解还不统一，安全领域对于怎么样的产品才属于安全审计产品还没有一个普遍接受的认怎么样的产品才属于安全审计产品还没有一个普遍接受的认识。因此在市场上虽然有不同的厂商打出安全审计产品，但识。因此在市场上虽然有不同的厂商打出安全审计产品，但是无论是功能和性能都有很大的差别。是无论是功能和性能都有很大的差别。 目前的安全审计类产品情况：目前的安全审计类产品情况：1网络设备及防火墙日志网络设备及防火墙日志 目前的网络设备和防火墙中有些具备一定的日目前的网络设备和防火墙中有些具备一定的日志功能，但一般情况下只能记录自身运转状况和一志功能，但一般情况下只能记录自身运转状况和一些简单违规的信息。些简单违规的信息。2操作系统日志操作系统日志 目前服务器操作系统都有日志，但是这些日志目前服务器操作系统都有日志，但是这些日志往往只是记录一些零碎的信息（如用户登录的时间）往往只是记录一些零碎的信息（如用户登录的时间），从这些日志中无法看到用户到底做了些什么操作，从这些日志中无法看到用户到底做了些什么操作，整个入侵的步骤是如何发生的。而且分散在各个操整个入侵的步骤是如何发生的。而且分散在各个操作系统中的日志需要用户管理员分别查看，进行人作系统中的日志需要用户管理员分别查看，进行人工的综合、分析、判断，实际上是很难奏效的。工的综合、分析、判断，实际上是很难奏效的。3Sniff、Snoop类的工具类的工具这这些些工工具具从从一一定定意意义义上上使使得得网网络络上上传传输输的的数数据据变变得得可可见见，能能够够观观察察到到一一些些网网络络用用户户正正在在进进行行的的操操作作和和传传输输的的数数据据，所所以以这这些些工工具具对对正正在在发发生生的的违违规规操操作作能能够够起起到到一一定定的的检检测测作作用用，但但是是仅仅仅仅是是这这些些工工具具还还不不能能承承担担日日常常的的安安全全审审计计工工作作，因因为为这这些些工工具具只只是是对对单单包包进进行行解解码码，缺缺乏乏分分析析能能力力，无无法法判判断断是是否否是是重重要要的的信信息息和和违违规规的的信信息息；此此外外它它们们不不具具备备上上下下文文相相关关的的网网络络操操作作性性为为判判断断的的能能力力，也也缺缺乏乏报报警警响响应应的的能能力力。目目前前网网络络的的实实际际流流量量是是非非常常大大的的，如如果果不不加加分分析析全全部部记记录录的的话话，任任何何的的磁磁盘盘也也会会在在很很短短时时间间内内充充满满。所所以以这这些些只只是是些些辅辅助助判判断断网网络络故故障障的的工工具具，目目前前还还没没有有哪哪个个系系统统真真正正将将这这些些工工具具收收集集的的数据长时间完全记录下来。数据长时间完全记录下来。4.5.3安全审计标准安全审计标准CC中的网络信息中的网络信息 安全审计功能定义安全审计功能定义 该标准目前已被广发地用于评估一个系统的安全性。该标准目前已被广发地用于评估一个系统的安全性。在这个标准中完整的安全审计包括安全审计自动响应、安在这个标准中完整的安全审计包括安全审计自动响应、安全审计数据生成、安全审计分析、安全审计浏览、安全审全审计数据生成、安全审计分析、安全审计浏览、安全审计事件存储、安全审计事件选择等功能计事件存储、安全审计事件选择等功能。1.安全审计自动响应（安全审计自动响应（AU_APR）安安全全审审计计自自动动响响应应定定义义在在被被测测事事件件指指示示在在一一个个潜潜在在的的安安全全攻攻击击时时做做出出的的响响应应，它它是是管管理理审审计计事事件件的的需需要要，这这些些需需要要包包括括报报警警或或行行动动，例例如如包包括括实实时时报报警警的的生生成成、违违规规进进程程的的终终止止、中中断断服服务务、用用户户帐帐号号的的失失效效等等。根根据据审审计计事事件件的的不不同同系系统统将将做做出出不不同同的的响响应应。其其响响应应方方式式可可做做增增加加、删删除、修改等操作。除、修改等操作。2.安全审计数据生成（安全审计数据生成（AU_GEN） 该该功功能能要要求求记记录录与与安安全全相相关关的的事事件件的的出出现现，包包括括鉴鉴别别审审计计层层次次、列列举举可可被被审审计计的的事事件件类类型型，以以及及鉴鉴别别有有各各种种审审计计记记录录类类型型提提供供的的相相关关审审计计信信息息的的最最小小集集合合。系系统统可可定定义义可可审审计计事事件件清清单单，每每个个可可审审计计事事件件对对应应于于某某个个事件级别事件级别。3.安全审计分析（安全审计分析（AU_SAA） 此部分功能定义了分析系统活动和审计数据来寻求可此部分功能定义了分析系统活动和审计数据来寻求可能的或真正的安全违规操作。它可以用于入侵检测或对能的或真正的安全违规操作。它可以用于入侵检测或对违规的自动响应。当一个审计事件集出现或累计出现一违规的自动响应。当一个审计事件集出现或累计出现一定次数时可以确定一个违规的发生，并执行审计分析。定次数时可以确定一个违规的发生，并执行审计分析。事件的集合能够由经授权的用户进行增加、修改或删除事件的集合能够由经授权的用户进行增加、修改或删除等操作。审计分析分为潜在攻击分析、基于模板的异常等操作。审计分析分为潜在攻击分析、基于模板的异常检测、简单攻击试探和复杂攻击试探等几种类型。检测、简单攻击试探和复杂攻击试探等几种类型。4.安全审计浏览（安全审计浏览（AU_SAR）该该功功能能要要求求审审计计系系统统能能够够使使授授权权的的用用户户有有效效地地浏浏览览审审计计数数据据，它它包包括括审审计计浏浏览览、有有限限审审计计浏浏览览、可可选选审审计计浏览。浏览。5.安全审计事件存储（安全审计事件存储（AU_SEL） 系统能够维护、检查或修改审计事件的集合，能够系统能够维护、检查或修改审计事件的集合，能够学则对那些安全属性进行审计学则对那些安全属性进行审计6.安全审计事件选择（安全审计事件选择（AU_STG） 系系统统将将提提供供控控制制措措施施以以防防止止由由于于资资源源的的不不可可用用而而丢丢失失审审计计数数据据，能能够够创创建建、维维护护、访访问问它它所所保保护护的的对对象象的的审计踪迹，并保护其不被修改、非授权访问或破坏。审计踪迹，并保护其不被修改、非授权访问或破坏。4.5.1一个分布式入侵检测和安全一个分布式入侵检测和安全 审计系统审计系统S_Audit简介简介S_Audit网络安全审计系统在设计上采用了分布式网络安全审计系统在设计上采用了分布式审计和多层次审计相结合的方案。审计和多层次审计相结合的方案。网络安全审计系网络安全审计系统是对网络系统多个层次上的全面审计。多层次审统是对网络系统多个层次上的全面审计。多层次审计是指整个审计系统不仅能对网络数据通信操作进计是指整个审计系统不仅能对网络数据通信操作进行底层审计（如网络上的各种行底层审计（如网络上的各种Internet协议），还能协议），还能对系统和平台（包括操作系统和应用平台）进行中对系统和平台（包括操作系统和应用平台）进行中层审计，以及为应用软件服务提供高层审计，这使层审计，以及为应用软件服务提供高层审计，这使它区别传统的审计产品和它区别传统的审计产品和IDS系统，如下页图所示。系统，如下页图所示。网络安全审计层次结构图系统层审计网络层审计应用层审计 网络安全审计系统除了是一个多层次审计网络安全审计系统除了是一个多层次审计系统之外，还是一个分布式、多系统之外，还是一个分布式、多Agent结构的结构的审计系统，它在结构上具备可伸缩，易扩展审计系统，它在结构上具备可伸缩，易扩展的特点的特点。系统由审计中心、审计控制台和审系统由审计中心、审计控制台和审计计Agent组成，网络安全审计系统结构见下页组成，网络安全审计系统结构见下页图所示。图所示。审计控制台审计控制台审计中心审计数据库网络监听型审计Agent专用硬件（网探）入侵检测AgentHPSolarisNT典型应用Agent流量检测Agent用户自定义数据审计Agent文件共享Agent主机服务审计Agent系统嵌入型Agent主动信息获取型Agent配置，查询，管理审计API应用程序被审计网络数据上报网络安全审计系统结构图网络安全审计系统结构图审审计计AgentAgent主主要要可可以以分分为为网网络络监监听听型型AgentAgent、系系统嵌入型统嵌入型AgentAgent、主动信息获取型、主动信息获取型AgentAgent等。等。 1 1网络监听型网络监听型AgentAgent 对对于于网网络络监监听听型型的的审审计计AgentAgent，需需要要运运行行在在一一个个网网络络监监听听专专用用平平台台上上，在在系系统统中中，该该硬硬件件被被称称为为网网探探。目前实现的网络监听型审计目前实现的网络监听型审计AgentAgent有以下类型：有以下类型：v入入侵侵检检测测AgentAgent：主主要要实实现现对对已已知知入入侵侵手手段段的的检检测测功功能。能。v典典型型应应用用AgentAgent：实实现现在在TelnetTelnet、HTTPHTTP、FTPFTP、SMTPSMTP、POP3POP3上的应用审计功能上的应用审计功能v流流量量检检测测AgentAgent：主主要要实实现现对对实实时时和和历历史史流流量量的的检检测测功能。功能。v文文件件共共享享AgentAgent：主主要要实实现现对对WindowsWindows环环境境中中的的基基于于Netbios Over TCP/IPNetbios Over TCP/IP的文件共享审计功能。的文件共享审计功能。v用用户户自自定定义义数数据据审审计计AgentAgent：实实现现对对用用户户自自定定义义服服务务的审计功能。的审计功能。v 主主机机服服务务审审计计AgentAgent：实实现现对对网网络络上上的的主主机机所所开开放放的服务端口进行审计的功能。的服务端口进行审计的功能。2系统嵌入型系统嵌入型Agent系系统统嵌嵌入入型型Agent是是安安装装在在各各个个受受保保护护的的主主机机上上的的安安全全保保护护软软件件，这这些些软软件件实实现现基基于于主主机机的的安安全审计和监管。主要实现以下功能：全审计和监管。主要实现以下功能：v收收集集系系统统日日志志信信息息，并并根根据据规规则则判判断断异异常常事事件件的发生。的发生。v对对系系统统内内部部产产生生的的重重要要事事件件（并并不不一一定定产产生生系系统日志）进行收集。统日志）进行收集。v对对主主机机的的资资源源和和性性能能（包包括括CPU、内内存存占占用用、硬硬盘盘占占用用等等）进进行行例例行行的的监监视视和和记记录录，发发现现主主机机异常运转，并适时杀死异常进程。异常运转，并适时杀死异常进程。v发发现现主主机机中中存存在在的的异异常常代代码码（例例如如特特洛洛伊伊木木马马程序、后门程序、程序、后门程序、DDOS程序、程序、Proxy程序等）程序等）v对对电电子子邮邮件件进进行行审审查查（针针对对邮邮件件服服务务器器），发发现现垃垃圾圾邮邮件件中中转转情情况况，并并终终止止垃垃圾圾邮邮件件的的发发送送（针针对对垃垃圾圾邮邮件件源源头头主主机机），发发现现含含有有非非法法内内容容的邮件。的邮件。vWeb浏浏览览和和发发送送内内容容过过滤滤（例例如如对对于于Web方方式式的的BBS），自动删除含有不良内容的张贴文章。），自动删除含有不良内容的张贴文章。v实实现现系系统统强强制制性性的的审审计计（无无法法通通过过设设置置参参数数系系统参数而绕过审计）。统参数而绕过审计）。3主动信息获取型主动信息获取型Agent主主动动信信息息获获取取型型Agent主主要要实实现现针针对对一一些些非非主主机机类类别别的的设设备备的的日日志志收收集集，如如防防火火墙墙、交交换换机机、路路由由器器等等。这这些些设设备备一一般般以以硬硬件件和和固固化化型型的的软软件件提提供供应应用用，不不支支持持在在其其操操作作系系统统上上进进行行软软件件开开发发和和嵌嵌入入软软件件模模块块，所所以以针针对对这这些些设设备备的的日日志志收收集集需需要要采采用用主主动动信信息息采采集集的的方方法法。主主动动信信息息获获取取型型的的审审计计Agent以以软软件件形形式式运运行行在在相相应应的的主主机机上上，通通过过网网络络、console等等方方式式同同被被审审计计设设备备进进行行交交互互，收收集集设设备备产产生生的的日日志志或或者者定定时时轮轮询询一一些些参参数数，自自己己根根据据需需求求生生成成日日志志信信息息。主主动动信信息息获获取取型型Agent主主要要采采用用以以下下的手段进行信息获取：的手段进行信息获取：v通过通过SNMP的的TRAP方式。方式。v通过定时的通过定时的MIB轮询，获取关键参数。轮询，获取关键参数。v通过定时的通过定时的Telnetscript获取数值。获取数值。v通通过过Console口口定定时时运运行行操操作作终终端端script来来获获取取参参数。数。v通过管理接口，如通过管理接口，如HTTP方式的管理来获取参数。方式的管理来获取参数。v通过一些联动接口，如通过一些联动接口，如OPSEC接口获取参数。接口获取参数。v通过通过syslogserver的方式获取日志信息。的方式获取日志信息。4.6本章小结本章小结总总之之，入入侵侵检检测测作作为为一一种种积积极极主主动动的的安安全全防防护护技技术术，提提供供了了对对内内部部攻攻击击、外外部部攻攻击击和和误误操操作作的的实实时时保保护护，在在网网络络系系统统受受到到危危害害之之前前拦拦截截和和响响应应入入侵侵。从从网网络络安安全全立立体体纵纵深深、多多层层次次防防御御的的角角度度出出发发，入入侵检测应受到人们的高度重视。侵检测应受到人们的高度重视。安安全全审审计计功功能能其其实实在在CC标标准准中中有有较较完完备备的的定定义义，但但经经常常被被人人所所忽忽视视，对对安安全全审审计计的的概概念念也也往往往往认认识识得得不不够够全全面面，我我们们希希望望通通过过本本章章相相关关内内容容的的介介绍绍后后读者能对现代安全审计技术有所了解。读者能对现代安全审计技术有所了解。