计算机技术网络安全技术教程ch5入侵检测技术-

第五章第五章入侵检测技术入侵检测技术第第5章章入侵入侵检测技技术内容提要：内容提要：入侵入侵检测概述概述入侵入侵检测的技的技术实现分布式入侵分布式入侵检测入侵入侵检测系系统的的标准准入侵入侵检测系系统示例示例本章小本章小结第五章第五章入侵检测技术入侵检测技术 5.1 入侵入侵检测概述概述入入侵侵检测技技术研研究究最最早早可可追追溯溯到到1980年年James P.Aderson所所写写的的一一份份技技术报告告，他他首首先先提提出出了了入入侵侵检测的的概概念念。 1987年年 Dorothy Denning提提出出了了入入侵侵检测系系统（IDS，Intrusion Detection System）的的抽抽象象模模型型（如如图5-1所所示示），首首次次提提出出了了入入侵侵检测可可作作为一一种种计算算机机系系统安安全全防防御御措措施施的的概概念念，与与传统的的加加密密和和访问控控制制技技术相比，相比，IDS是全新的是全新的计算机安全措施。算机安全措施。返回本章首返回本章首页第五章第五章入侵检测技术入侵检测技术返回本章首返回本章首页第五章第五章入侵检测技术入侵检测技术入入侵侵检测技技术研研究究最最早早可可追追溯溯到到1980年年James P.Aderson所所写写的的一一份份技技术报告告，他他首首先先提提出出了了入入侵侵检测的的概概念念。 1987年年 Dorothy Denning提提出出了了入入侵侵检测系系统（IDS，Intrusion Detection System）的的抽抽象象模模型型（如如图5-1所所示示），首首次次提提出出了了入入侵侵检测可可作作为一一种种计算算机机系系统安安全全防防御御措措施施的的概概念念，与与传统的的加加密密和和访问控控制制技技术相比，相比，IDS是全新的是全新的计算机安全措施。算机安全措施。返回本章首返回本章首页第五章第五章入侵检测技术入侵检测技术 1988年年 Teresa Lunt等等人人进一一步步改改进了了Denning提提出出的的入入侵侵检测模模型型，并并创建建了了IDES（Intrusion Detection Expert System），该系系统用用于于检测单一一主主机机的的入入侵侵尝试，提提出出了了与与系系统平平台台无无关关的的实时检测思思想想，1995年年开开发的的NIDES（ Next-Generation Intrusion Detection Expert System）作作为IDES完完善善后后的的版版本本可可以以检测出多个主机上的入侵。出多个主机上的入侵。返回本章首返回本章首页第五章第五章入侵检测技术入侵检测技术 1990年年，Heberlein等等人人提提出出了了一一个个具具有有里里程程碑碑意意义的的新新型型概概念念：基基于于网网络的的入入侵侵检测网网络安安全全监视器器 NSM（ Network Security Monitor）。1991年年,NADIR（Network Anomaly Detection and Intrusion Reporter）与与DIDS（Distribute Intrusion Detection System）提提出出了了通通过收收集集和和合合并并处理理来来自自多多个个主主机机的的审计信息可以信息可以检测出一系列出一系列针对主机的主机的协同攻同攻击。返回本章首返回本章首页第五章第五章入侵检测技术入侵检测技术 1994年年，Mark Crosbie和和Gene Spafford建建议使使用用自自治治代代理理（autonomous agents）以以提提高高IDS的的可可伸伸缩性性、可可维护性性、效效率率和和容容错性性，该理理念念非非常常符符合合计算算机机科科学学其其他他领域域（如如软件件代代理理，software agent）正正在在进行行的的相相关关研研究究。另另一一个个致致力力于于解解决决当当代代绝大大多多数数入入侵侵检测系系统伸伸缩性性不不足足的的方方法法于于1996年年提提出出，这就就是是GrIDS（Graph-based Intrusion Detection System）的的设计和和实现，该系系统可可以以方方便便地地检测大大规模模自自动或或协同同方方式的网式的网络攻攻击。返回本章首返回本章首页第五章第五章入侵检测技术入侵检测技术近近年年来来，入入侵侵检测技技术研研究究的的主主要要创新新有有：Forrest等等将将免免疫疫学学原原理理运运用用于于分分布布式式入入侵侵检测领域域；1998年年Ross Anderson和和Abida Khattak将将信信息息检索索技技术引引进入入侵侵检测；以以及及采采用用状状态转换分分析析、数数据据挖挖掘掘和和遗传算算法法等等进行行误用用和和异异常常检测。返回本章首返回本章首页第五章第五章入侵检测技术入侵检测技术 5.1.1 入侵入侵检测原理原理图5-2给出出了了入入侵侵检测的的基基本本原原理理图。入入侵侵检测是是用用于于检测任任何何损害害或或企企图损害害系系统的的保保密密性性、完完整整性性或或可可用用性性的的一一种种网网络安安全全技技术。它它通通过监视受受保保护系系统的的状状态和和活活动，采采用用误用用检测（Misuse Detection）或或异异常常检测（Anomaly Detection）的的方方式式，发现非非授授权的的或或恶意意的的系系统及网及网络行行为，为防范入侵行防范入侵行为提供有效的手段。提供有效的手段。返回本章首返回本章首页第五章第五章入侵检测技术入侵检测技术图5-2 入侵检测原理框图返回本章首返回本章首页第五章第五章入侵检测技术入侵检测技术入入侵侵检测系系统（Intrusion Detection System，IDS）就就是是执行行入入侵侵检测任任务的的硬硬件件或或软件件产品品。IDS通通过实时的的分分析析，检查特特定定的的攻攻击模模式式、系系统配配置置、系系统漏漏洞洞、存存在在缺缺陷陷的的程程序序版版本本以以及及系系统或用或用户的行的行为模式，模式，监控与安全有关的活控与安全有关的活动。一一个个基基本本的的入入侵侵检测系系统需需要要解解决决两两个个问题：一一是是如如何何充充分分并并可可靠靠地地提提取取描描述述行行为特特征征的的数数据据；二二是是如如何何根根据据特特征征数数据据，高高效效并并准准确确地地判判定行定行为的性的性质。返回本章首返回本章首页第五章第五章入侵检测技术入侵检测技术 5.1.2 系系统结构构由由于于网网络环境境和和系系统安安全全策策略略的的差差异异，入入侵侵检测系系统在在具具体体实现上上也也有有所所不不同同。从从系系统构构成成上上看看，入入侵侵检测系系统应包包括括事事件件提提取取、入入侵侵分分析析、入入侵侵响响应和和远程程管管理理四四大大部部分分，另另外外还可可能能结合合安安全全知知识库、数数据据存存储等等功功能能模模块，提提供供更更为完完善的安全善的安全检测及数据分析功能（如及数据分析功能（如图5-3所示）。所示）。返回本章首返回本章首页第五章第五章入侵检测技术入侵检测技术图5-3 入侵检测系统结构返回本章首返回本章首页第五章第五章入侵检测技术入侵检测技术入入侵侵检测的的思思想想源源于于传统的的系系统审计，但但拓拓宽了了传统审计的的概概念念，它它以以近近乎乎不不间断断的的方方式式进行行安安全全检测，从从而而可可形形成成一一个个连续的的检测过程程。这通常是通通常是通过执行下列任行下列任务来来实现的：的：监视、分析用、分析用户及系及系统活活动；系系统构造和弱点的构造和弱点的审计；识别分析知名攻分析知名攻击的行的行为特征并告警；特征并告警；异常行异常行为特征的特征的统计分析；分析；评估重要系估重要系统和数据文件的完整性；和数据文件的完整性；操操作作系系统的的审计跟跟踪踪管管理理，并并识别用用户违反反安安全全策策略略的行的行为。返回本章首返回本章首页第五章第五章入侵检测技术入侵检测技术 5.1.3 系系统分分类由由于于功功能能和和体体系系结构构的的复复杂性性，入入侵侵检测按按照照不不同同的的标准准有有多多种种分分类方方法法。可可分分别从从数数据据源源、检测理理论、检测时效效三三个个方方面面来来描描述述入入侵侵检测系系统的的类型。型。 1基于数据源的分基于数据源的分类通通常常可可以以把把入入侵侵检测系系统分分为五五类，即即基基于于主主机机、基基于于网网络、混混合合入入侵侵检测、基基于于网网关关的的入入侵侵检测系系统以及文件完整性以及文件完整性检查系系统。返回本章首返回本章首页第五章第五章入侵检测技术入侵检测技术 2基于基于检测理理论的分的分类从从具具体体的的检测理理论上上来来说，入入侵侵检测又又可可分分为异常异常检测和和误用用检测。异异常常检测（Anomaly Detection）指指根根据据使使用用者者的的行行为或或资源源使使用用状状况况的的正正常常程程度度来来判判断断是是否入侵，而不依否入侵，而不依赖于具体行于具体行为是否出是否出现来来检测。误用用检测（Misuse Detection）指指运运用用已已知知攻攻击方方法法，根根据据已已定定义好好的的入入侵侵模模式式，通通过判判断断这些入侵模式是否出些入侵模式是否出现来来检测。返回本章首返回本章首页第五章第五章入侵检测技术入侵检测技术 3基于基于检测时效的分效的分类 IDS在在处理理数数据据的的时候候可可以以采采用用实时在在线检测方方式式，也也可可以以采采用用批批处理理方方式式，定定时对处理理原原始始数数据据进行行离离线检测，这两两种种方方法法各各有有特特点点（如如图5-5所示所示）。）。离离线检测方方式式将将一一段段时间内内的的数数据据存存储起起来来，然然后后定定时发给数数据据处理理单元元进行行分分析析，如如果果在在这段段时间内内有有攻攻击发生生就就报警警。在在线检测方方式式的的实时处理理是是大大多多数数IDS所所采采用用的的办法法，由由于于计算算机机硬硬件件速速度度的的提提高高，使使得得对攻攻击的的实时检测和和响响应成成为可能。可能。返回本章首返回本章首页第五章第五章入侵检测技术入侵检测技术返回本章首返回本章首页第五章第五章入侵检测技术入侵检测技术 5.2 入侵入侵检测的技的技术实现对于于入入侵侵检测的的研研究究，从从早早期期的的审计跟跟踪踪数数据据分分析析，到到实时入入侵侵检测系系统，到到目目前前应用用于于大大型型网网络的的分分布布式式检测系系统，基基本本上上已已发展展成成为具具有有一一定定规模模和和相相应理理论的的研研究究领域域。入入侵侵检测的的核核心心问题在在于于如如何何对安安全全审计数数据据进行行分分析析，以以检测其其中中是是否否包包含含入入侵侵或或异异常常行行为的的迹迹象象。这里里，我我们先先从从误用用检测和和异异常常检测两两个个方方面面介介绍当当前前关关于于入入侵侵检测技技术的的主主流流技技术实现，然然后后对其其它它类型的型的检测技技术作作简要介要介绍。返回本章首返回本章首页第五章第五章入侵检测技术入侵检测技术 5.2.1 入侵入侵检测分析模型分析模型分分析析是是入入侵侵检测的的核核心心功功能能，它它既既能能简单到到像像一一个个已已熟熟悉悉日日志志情情况况的的管管理理员去去建建立立决决策策表表，也也能能复复杂得得像像一一个个集集成成了了几几百百万万个个处理理的的非非参参数数系系统。入入侵侵检测的的分分析析处理理过程程可可分分为三三个个阶段段：构构建建分分析析器器，对实际现场数数据据进行行分分析析，反反馈和和提提炼过程程。其其中中，前前两两个个阶段段都都包包含含三三个个功功能能：数数据据处理理、数数据据分分类（数数据据可可分分为入入侵侵指指示示、非非入侵指示或不确定）和后入侵指示或不确定）和后处理。理。返回本章首返回本章首页第五章第五章入侵检测技术入侵检测技术 5.2.2 误用用检测（Misuse Detection）误用用检测是是按按照照预定定模模式式搜搜寻事事件件数数据据的的，最最适适用用于于对已已知知模模式式的的可可靠靠检测。执行行误用用检测，主主要要依依赖于于可可靠靠的的用用户活活动记录和和分分析析事事件件的的方方法。法。 1条件概率条件概率预测法法条条件件概概率率预测法法是是基基于于统计理理论来来量量化化全全部部外部网外部网络事件序列中存在入侵事件的可能程度。事件序列中存在入侵事件的可能程度。返回本章首返回本章首页第五章第五章入侵检测技术入侵检测技术 2产生式生式/ /专家系家系统用用专家家系系统对入入侵侵进行行检测，主主要要是是检测基基于于特特征征的的入入侵侵行行为。所所谓规则，即即是是知知识，专家家系系统的的建建立立依依赖于于知知识库的的完完备性性，而而知知识库的的完完备性又取决于性又取决于审计记录的完的完备性与性与实时性。性。产生生式式/专家家系系统是是误用用检测早早期期的的方方案案之之一一，在在MIDAS、IDES、NIDES、DIDS和和CMDS中都使用了中都使用了这种方法。种方法。返回本章首返回本章首页第五章第五章入侵检测技术入侵检测技术 3状状态转换方法方法状状态转换方方法法使使用用系系统状状态和和状状态转换表表达达式式来来描描述述和和检测入入侵侵，采采用用最最优模模式式匹匹配配技技巧巧来来结构构化化误用用检测，增增强了了检测的的速速度度和和灵灵活活性性。目目前前，主主要要有有三三种种实现方方法法：状状态转换分分析析、有有色色Petri-Net和和语言言/应用用编程接口（程接口（API）。）。返回本章首返回本章首页第五章第五章入侵检测技术入侵检测技术 4用于批模式分析的信息用于批模式分析的信息检索技索技术当当前前大大多多数数入入侵侵检测都都是是通通过对事事件件数数据据的的实时收收集集和和分分析析来来发现入入侵侵的的，然然而而在在攻攻击被被证实之之后后，要要从从大大量量的的审计数数据据中中寻找找证据据信信息息，就就必必须借借助助于于信信息息检索索（ IR， Information Retrieval）技技术，IR技技术当当前前广广泛泛应用用于于WWW的搜索引擎上。的搜索引擎上。 IR系系统使使用用反反向向文文件件作作为索索引引，允允许高高效效地地搜搜寻关关键字字或或关关键字字组合合，并并使使用用Bayesian理理论帮助提帮助提炼搜索。搜索。返回本章首返回本章首页第五章第五章入侵检测技术入侵检测技术 5Keystroke Monitor和基于模型的方法和基于模型的方法 Keystroke Monitor是是一一种种简单的的入入侵侵检测方方法法，它它通通过分分析析用用户击键序序列列的的模模式式来来检测入入侵侵行行为，常常用用于于对主主机机的的入入侵侵检测。该方方法法具具有有明明显的的缺缺点点，首首先先，批批处理理或或Shell程程序序可可以以不不通通过击键而而直直接接调用用系系统攻攻击命命令令序序列列；其其次次，操操作作系系统通通常常不不提提供供统一一的的击键检测接接口口，需需通通过额外的外的钩子函数（子函数（Hook）来来监测击键。返回本章首返回本章首页第五章第五章入侵检测技术入侵检测技术 5.2.3 异常异常检测（Anomaly Detection）异异常常检测基基于于一一个个假假定定：用用户的的行行为是是可可预测的的、遵遵循循一一致致性性模模式式的的，且且随随着着用用户事事件件的的增增加加异异常常检测会会适适应用用户行行为的的变化化。用用户行行为的的特特征征轮廓廓在在异异常常检测中中是是由由度度量量（measuremeasure）集集来来描描述述，度度量量是是特特定定网网络行行为的的定定量量表表示示，通通常常与某个与某个检测阀值或某个域相或某个域相联系。系。异异常常检测可可发现未未知知的的攻攻击方方法法，体体现了了强健健的的保保护机机制制，但但对于于给定定的的度度量量集集能能否否完完备到到表示所有的异常行表示所有的异常行为仍需要深入研究。仍需要深入研究。返回本章首返回本章首页第五章第五章入侵检测技术入侵检测技术 1Denning的原始模型的原始模型 Dorothy Denning于于1986年年给出出了了入入侵侵检测的的IDES模模型型，她她认为在在一一个个系系统中中可可以以包包括括四四个个统计模模型型，每每个个模模型型适适合合于于一一个个特特定定类型型的的系系统度量。度量。（1）可操作模型）可操作模型（2）平均和）平均和标准偏差模型准偏差模型（3）多）多变量模型量模型（4）Markov处理模型理模型返回本章首返回本章首页第五章第五章入侵检测技术入侵检测技术 2量化分析量化分析异异常常检测最最常常用用的的方方法法就就是是将将检验规则和和属属性性以以数数值形形式式表表示示的的量量化化分分析析，这种种度度量量方方法法在在Denning的的可可操操作作模模型型中中有有所所涉涉及及。量量化化分分析析通通过采采用用从从简单的的加加法法到到比比较复复杂的的密密码学学计算算得得到到的的结果果作作为误用用检测和和异异常常检测统计模模型型的的基基础。（1）阀值检验（2）基于目）基于目标的集成的集成检查（3）量化分析和数据精）量化分析和数据精简返回本章首返回本章首页第五章第五章入侵检测技术入侵检测技术 3统计度量度量统计度度量量方方法法是是产品品化化的的入入侵侵检测系系统中中常常用用的的方方法法，常常见于于异异常常检测。运运用用统计方方法法，有有效效地地解解决决了了四四个个问题：（1）选取取有有效效的的统计数数据据测量量点点，生生成成能能够反反映映主主体体特特征征的的会会话向向量量；（2）根根据据主主体体活活动产生生的的审计记录，不不断断更更新新当当前前主主体体活活动的的会会话向向量量；（3）采采用用统计方方法法分分析析数数据据，判判断断当当前前活活动是是否否符符合合主主体体的的历史史行行为特特征征；（4）随随着着时间推推移移，学学习主主体体的的行行为特征，更新特征，更新历史史记录。返回本章首返回本章首页第五章第五章入侵检测技术入侵检测技术 4非参数非参数统计度量度量非非参参数数统计方方法法通通过使使用用非非数数据据区区分分技技术，尤尤其其是是群群集集分分析析技技术来来分分析析参参数数方方法法无无法法考考虑的的系系统度度量量。群群集集分分析析的的基基本本思思想想是是，根根据据评估估标准准（也也称称为特特性性）将将收收集集到到的的大大量量历史史数数据据（一一个个样本本集集）组织成成群群，通通过预处理理过程程，将将与与具具体体事事件件流流（经常常映映射射为一一个个具具体体用用户）相相关关的的特特性性转化化为向向量量表表示示，再再采采用用群群集集算算法法将将彼彼此此比比较相相近近的的向向量量成成员组织成成一一个个行行为类，这样使使用用该分分析析技技术的的实验结果果将将会会表表明明用用何何种种方方式式构构成成的的群可以可靠地群可以可靠地对用用户的行的行为进行分行分组并并识别。返回本章首返回本章首页第五章第五章入侵检测技术入侵检测技术 5基于基于规则的方法的方法上上面面讨论的的异异常常检测主主要要基基于于统计方方法法，异异常常检测的的另另一一个个变种种就就是是基基于于规则的的方方法法。与与统计方方法法不不同同的的是是基基于于规则的的检测使使用用规则集集来来表表示和存示和存储使用模式。使用模式。（1）Wisdom&Sense方法方法（2）基于）基于时间的引的引导机（机（TIM）返回本章首返回本章首页第五章第五章入侵检测技术入侵检测技术 5.2.4 其它其它检测技技术这些些技技术不不能能简单地地归类为误用用检测或或是是异异常常检测，而而是是提提供供了了一一种种有有别于于传统入入侵侵检测视角角的的技技术层次次，例例如如免免疫疫系系统、基基因因算算法法、数数据据挖挖掘掘、基基于于代代理理（Agent）的的检测等等，它它们或或者者提提供供了了更更具具普普遍遍意意义的的分分析析技技术，或或者者提提出出了了新新的的检测系系统架架构构，因因此此无无论对于于误用用检测还是是异异常常检测来来说，都可以得到很好的，都可以得到很好的应用。用。返回本章首返回本章首页第五章第五章入侵检测技术入侵检测技术 1神神经网网络（Neural Network）作作为人人工工智智能能（AI）的的一一个个重重要要分分支支，神神经网网络（Neural Network）在在入入侵侵检测领域域得得到到了了很很好好的的应用用，它它使使用用自自适适应学学习技技术来来提提取取异异常常行行为的的特特征征，需需要要对训练数数据据集集进行行学学习以以得得出出正正常常的的行行为模模式式。这种种方方法法要要求求保保证用用于于学学习正正常常模模式式的的训练数数据据的的纯洁性性，即即不不包包含含任任何何入入侵侵或异常的用或异常的用户行行为。返回本章首返回本章首页第五章第五章入侵检测技术入侵检测技术 2免疫学方法免疫学方法 New Mexico大大学学的的Stephanie Forrest提提出出了了将将生生物物免免疫疫机机制制引引入入计算算机机系系统的的安安全全保保护框框架架中中。免免疫疫系系统中中最最基基本本也也是是最最重重要要的的能能力力是是识别“自自我我/非非自自我我”（self/nonself），换句句话讲，它它能能够识别哪哪些些组织是是属属于于正正常常机机体体的的，不不属属于于正正常常的的就就认为是是异异常常，这个个概概念念和和入入侵侵检测中中异异常常检测的概念非常相似。的概念非常相似。返回本章首返回本章首页第五章第五章入侵检测技术入侵检测技术 3数据挖掘方法数据挖掘方法 Columbia大大学学的的Wenke Lee在在其其博博士士论文文中中，提提出出了了将将数数据据挖挖掘掘（Data Mining, DM）技技术应用用到到入入侵侵检测中中，通通过对网网络数数据据和和主主机机系系统调用用数数据据的的分分析析挖挖掘掘，发现误用用检测规则或或异异常常检测模模型型。具具体体的的工工作作包包括括利利用用数数据据挖挖掘掘中中的的关关联算算法法和和序序列列挖挖掘掘算算法法提提取取用用户的的行行为模模式式，利利用用分分类算算法法对用用户行行为和和特特权程程序序的的系系统调用用进行行分分类预测。实验结果果表表明明，这种种方方法法在在入入侵侵检测领域有很好的域有很好的应用前景。用前景。返回本章首返回本章首页第五章第五章入侵检测技术入侵检测技术 4基因算法基因算法基基因因算算法法是是进化化算算法法（ evolutionary algorithms）的的一一种种，引引入入了了达达尔文文在在进化化论中中提提出出的的自自然然选择的的概概念念（优胜劣劣汰汰、适适者者生生存存）对系系统进行行优化化。该算算法法对于于处理理多多维系系统的的优化化是是非非常常有有效效的的。在在基基因因算算法法的的研研究究人人员看看来来，入入侵侵检测的的过程程可可以以抽抽象象为：为审计事事件件记录定定义一一种种向向量量表表示示形形式式，这种种向向量量或或者者对应于于攻攻击行行为，或者代表正常行，或者代表正常行为。返回本章首返回本章首页第五章第五章入侵检测技术入侵检测技术 5基于代理的基于代理的检测近近年年来来，一一种种基基于于 Agent的的检测技技术（Agent-Based Detection）逐逐渐引引起起研研究究者者的的重重视。所所谓Agent，实际上上可可以以看看作作是是在在执行行某某项特特定定监视任任务的的软件件实体体。基基于于Agent的的入入侵侵检测系系统的的灵灵活活性性保保证它它可可以以为保保障障系系统的的安安全全提提供供混混合合式式的的架架构构，综合合运运用用误用用检测和和异异常常检测，从而弥从而弥补两者各自的缺陷。两者各自的缺陷。返回本章首返回本章首页第五章第五章入侵检测技术入侵检测技术 5.3 分布式入侵分布式入侵检测分分布布式式入入侵侵检测（Distributed Intrusion Detection）是是目目前前入入侵侵检测乃乃至至整整个个网网络安安全全领域域的的热点点之之一一。到到目目前前为止止，还没没有有严格格意意义上上的的分分布布式式入入侵侵检测的的商商业化化产品品，但但研研究究人人员已已经提提出出并并完完成成了了多多个个原原型型系系统。通通常常采采用用的的方方法法中中，一一种种是是对现有有的的IDS进行行规模模上上的的扩展展，另另一一种种则通通过IDS之之间的的信信息息共共享享来来实现。具具体体的的处理理方方法法上上也也分分为两两种种：分分布布式式信信息息收收集集、集集中中式式处理；分布式信息收集、分布式理；分布式信息收集、分布式处理。理。返回本章首返回本章首页第五章第五章入侵检测技术入侵检测技术 5.3.1 分布式入侵分布式入侵检测的的优势分分布布式式入入侵侵检测由由于于采采用用了了非非集集中中的的系系统结构构和和处理理方方式式，相相对于于传统的的单机机IDS具具有有一一些些明明显的的优势：（1）检测大范大范围的攻的攻击行行为（2）提高）提高检测的准确度的准确度（3）提高）提高检测效率效率（4）协调响响应措施措施返回本章首返回本章首页第五章第五章入侵检测技术入侵检测技术 5.3.2 分布式入侵分布式入侵检测的技的技术难点点与与传统的的单机机IDS相相比比较，分分布布式式入入侵侵检测系系统具具有有明明显的的优势。然然而而，在在实现分分布布检测组件的信息共享和件的信息共享和协作上，却存在着一些技作上，却存在着一些技术难点。点。 Stanford Research Institute（ SRI）在在对EMERALD系系统的的研研究究中中，列列举了了分分布布式式入入侵侵检测必必须关关注注的的关关键问题：事事件件产生生及及存存储、状状态空空间管理及管理及规则复复杂度、知度、知识库管理、推理技管理、推理技术。返回本章首返回本章首页第五章第五章入侵检测技术入侵检测技术 5.3.3 分布式入侵分布式入侵检测现状状尽尽管管分分布布式式入入侵侵检测存存在在技技术和和其其它它层面面的的难点点，但但由由于于其其相相对于于传统的的单机机IDS所所具具有有的的优势，目前已，目前已经成成为这一一领域的研究域的研究热点。点。 1Snortnet 它它通通过对传统的的单机机IDS进行行规模模上上的的扩展展，使使系系统具具备分分布布式式检测的的能能力力，是是基基于于模模式式匹匹配配的的分分布布式式入入侵侵检测系系统的的一一个个具具体体实现。主主要要包包括括三三个个组件件：网网络感感应器器、代代理理守守护程程序序和和监视控制台控制台。返回本章首返回本章首页第五章第五章入侵检测技术入侵检测技术 2Agent-Based 基基于于Agent的的IDS由由于于其其良良好好的的灵灵活活性性和和扩展展性性，是是分分布布式式入入侵侵检测的的一一个个重重要要研研究究方方向向。国国外外一一些些研研究究机机构构在在这方方面面已已经做做了了大大量量工工作作，其其中中 Purdue大大学学的的入入侵侵检测自自治治代代理理（AAFID）和和SRI的的EMERALD最具代表性。最具代表性。 AAFID的的体体系系结构构如如图5-10所所示示，其其特特点点是是形成了一个基于代理的分形成了一个基于代理的分层顺序控制和序控制和报告告结构。构。返回本章首返回本章首页第五章第五章入侵检测技术入侵检测技术返回本章首返回本章首页第五章第五章入侵检测技术入侵检测技术 3DIDS DIDS（ Distributed Intrusion Detection System）是是由由UC Davis的的Security Lab完完成成的的，它它集集成成了了两两种种已已有有的的入入侵侵检测系系统，Haystack和和NSM。前前者者由由 Tracor Applied Sciences and Haystack实验室室针对多多用用户主主机机的的检测任任务而而开开发，数数据据源源来来自自主主机机的的系系统日日志志。NSM则是是由由UC Davis开开发的的网网络安安全全监视器器，通通过对数数据据包包、连接接记录、应用用层会会话的的分分析析，结合合入入侵侵特特征征库和和正正常常的的网网络流流或或会会话记录的的模模式式库，判判断断当当前前的网的网络行行为是否包含入侵或异常。是否包含入侵或异常。返回本章首返回本章首页第五章第五章入侵检测技术入侵检测技术 4GrIDS GrIDS（Graph-based Intrusion Detection System）同同样由由UC Davis提提出出并并实现，该系系统实现了了一一种种在在大大规模模网网络中中使使用用图形形化化表表示示的的方方法法来来描描述述网网络行行为的的途途径径，其其设计目目标主主要要针对大大范范围的的网网络攻攻击，例例如如扫描描、协同同攻攻击、网网络蠕蠕虫虫等等。GrIDS的的缺缺陷陷在在于于只只是是给出出了了网网络连接接的的图形形化化表表示示，具具体体的的入入侵侵判判断断仍仍然然需需要要人人工工完完成，而且系成，而且系统的有效性和效率都有待的有效性和效率都有待验证和提高。和提高。返回本章首返回本章首页第五章第五章入侵检测技术入侵检测技术 5Intrusion Strategy Boeing公公司司的的Ming-Yuh Huang从从另另一一个个角角度度对入入侵侵检测系系统进行行了了研研究究，针对分分布布式式入入侵侵检测所所存存在在的的问题，他他认为可可以以从从入入侵侵者者的的目目的的（ Intrusion Intention），或或者者是是入入侵侵策策略略（Intrusion Strategy）入入手手，帮帮助助我我们确确定定如如何何在在不不同同的的IDS组件件之之间进行行协作作检测。对入入侵侵策策略略的的分分析析可可以以帮帮助助我我们调整整审计策策略略和和参参数数，构成自适构成自适应的的审计检测系系统。返回本章首返回本章首页第五章第五章入侵检测技术入侵检测技术 6数据融合（数据融合（Data Fusion） Timm Bass提提出出将将数数据据融融合合（Data Fusion）的的概概念念应用用到到入入侵侵检测中中，从从而而将将分分布布式式入入侵侵检测任任务理理解解为在在层次次化化模模型型下下对多多个个感感应器器的的数数据据综合合问题。在在这个个层次次化化模模型型中中，入入侵侵检测的的数数据据源源经历了了从从数数据据（ Data）到到信信息息（Information）再再到到知知识（Knowledge）三三个个逻辑抽象抽象层次。次。返回本章首返回本章首页第五章第五章入侵检测技术入侵检测技术 7基于抽象（基于抽象（Abstraction-based）的方法的方法 GMU的的Peng Ning在在其其博博士士论文文中中提提出出了了一一种种基基于于抽抽象象（Abstraction-based）的的分分布布式式入入侵侵检测系系统，基基本本思思想想是是设立立中中间层（system view），提提供供与与具具体体系系统无无关关的的抽抽象象信信息息，用用于于分分布布式式检测系系统中中的的信信息息共共享享，抽抽象象信信息息的的内内容容包包括括事事件件信信息息（ event）以以及及系系统实体体间的的断断言言（ dynamic predicate）。中中间层用用于于表表示示IDS间的的共共享享信信息息时使使用用的的对应关关系系为：IDS检测到到的的攻攻击或或者者IDS无无法法处理理的的事事件件信信息息作作为event，IDS或或受受IDS监控控的的系系统的状的状态则作作为dynamic predicates。返回本章首返回本章首页第五章第五章入侵检测技术入侵检测技术 5.4 入侵入侵检测系系统的的标准准从从20世世纪90年年代代到到现在在，入入侵侵检测系系统的的研研发呈呈现出出百百家家争争鸣的的繁繁荣荣局局面面，并并在在智智能能化化和和分分布布式式两两个个方方向向取取得得了了长足足的的进展展。为了了提提高高IDS产品品、组件件及及与与其其他他安安全全产品品之之间的的互互操操作作性性，DARPA和和IETF的的入入侵侵检测工工作作组（IDWG）发起起制制订了了一一系系列列建建议草草案案，从从体体系系结构构、API、通信机制、通信机制、语言格式等方面来言格式等方面来规范范IDS的的标准。准。返回本章首返回本章首页第五章第五章入侵检测技术入侵检测技术 5.4.1 IETF/IDWG IDWG定定义了了用用于于入入侵侵检测与与响响应（IDR）系系统之之间或或与与需需要要交交互互的的管管理理系系统之之间的的信信息息共共享所需要的数据格式和交享所需要的数据格式和交换规程。程。 IDWG提提出出了了三三项建建议草草案案：入入侵侵检测消消息息交交换格格式式（IDMEF）、入入侵侵检测交交换协议（IDXP）以及隧道以及隧道轮廓（廓（Tunnel Profile）。）。返回本章首返回本章首页第五章第五章入侵检测技术入侵检测技术 5.4.2 CIDF CIDF的的工工作作集集中中体体现在在四四个个方方面面：IDS的的体体系系结构构、通通信信机机制制、描描述述语言言和和应用用编程程接接口口API。 CIDF在在IDES和和NIDES的的基基础上上提提出出了了一一个个通通用用模模型型，将将入入侵侵检测系系统分分为四四个个基基本本组件件：事事件件产生生器器、事事件件分分析析器器、响响应单元元和和事事件件数数据据库。其。其结构如构如图5-15所示。所示。返回本章首返回本章首页第五章第五章入侵检测技术入侵检测技术返回本章首返回本章首页第五章第五章入侵检测技术入侵检测技术 5.5 入侵入侵检测系系统示例示例为了了直直观地地理理解解入入侵侵检测的的使使用用、配配置置等等情情况况，这里里我我们以以Snort为例例，对构构建建以以Snort为基基础的的入入侵侵检测系系统做概要介做概要介绍。 Snort 是是一一个个开开放放源源代代码的的免免费软件件，它它基基于于libpcap 的的数数据据包包嗅嗅探探器器，并并可可以以作作为一一个个轻量量级的的网网络入侵入侵检测系系统（NIDS）。）。通通过在在中中小小型型网网络上上部部署署Snort系系统，可可以以在在分分析析捕捕获的的数数据据包包基基础上上，进行行入入侵侵行行为特特征征匹匹配配工工作作，或或从从网网络活活动的的角角度度检测异异常常行行为，并并完完成成入入侵的侵的预警或警或记录。返回本章首返回本章首页第五章第五章入侵检测技术入侵检测技术 5.5.1 Snort的体系的体系结构构 Snort在在结构构上上可可分分为数数据据包包捕捕获和和解解码子子系系统、检测引擎，以及日志及引擎，以及日志及报警子系警子系统三个部分。三个部分。 1数据包捕数据包捕获和解和解码子系子系统该子子系系统的的功功能能是是捕捕获共共享享网网络的的传输数数据据，并按照并按照TCP/ IP协议的不同的不同层次将数据包解次将数据包解析。析。 2检测引擎引擎检测引引擎擎是是NIDS实现的的核核心心，准准确确性性和和快快速性是衡量其性能的重要指速性是衡量其性能的重要指标。返回本章首返回本章首页第五章第五章入侵检测技术入侵检测技术为了了能能够快快速速准准确确地地进行行检测和和处理理，Snort在在检测规则方面做了方面做了较为成熟的成熟的设计。 Snort 将将所所有有已已知知的的攻攻击方方法法以以规则的的形形式式存存放放在在规则库中中，每每一一条条规则由由规则头和和规则选项两两部部分分组成成。规则头对应于于规则树结点点RTN（Rule Tree Node），包包含含动作作、协议、源源（目目的的）地地址址和和端端口口以以及及数数据据流流向向，这是是所所有有规则共共有有的的部部分分。规则选项对应于于规则选项结点点OTN（Optional Tree Node），包包含含报警警信信息息（ msg）、匹匹配配内内容容（content）等等选项，这些些内内容容需需要要根根据据具具体体规则的的性性质确定。确定。返回本章首返回本章首页第五章第五章入侵检测技术入侵检测技术检测规则除除了了包包括括上上述述的的关关于于“要要检测什什么么”，还应该定定义“检测到到了了该做做什什么么”。Snort 定定义了了三三种种处理理方方式式：alert （发送送报警警信信息息）、log（记录该数数据据包包）和和pass（忽忽略略该数数据据包），并定包），并定义为规则的第一个匹配关的第一个匹配关键字。字。这样设计的的目目的的是是为了了在在程程序序中中可可以以组织整整个个规则库，即即将将所所有有的的规则按按照照处理理方方式式组织成成三三个个链表表，以以用用于于更更快快速速准准确确地地进行行匹匹配配。如如图5-17所示所示。返回本章首返回本章首页第五章第五章入侵检测技术入侵检测技术返回本章首返回本章首页第五章第五章入侵检测技术入侵检测技术当当Snort 捕捕获一一个个数数据据包包时，首首先先分分析析该数数据据包包使使用用哪哪个个IP协议以以决决定定将将与与某某个个规则树进行行匹匹配配。然然后后与与RTN 结点点依依次次进行行匹匹配配，当当与与一一个个头结点点相相匹匹配配时，向向下下与与OTN 结点点进行行匹匹配配。每每个个OTN 结点点包包含含一一条条规则所所对应的的全全部部选项，同同时包包含含一一组函函数数指指针，用用来来实现对这些些选项的的匹匹配配操操作作。当当数数据据包包与与某某个个OTN 结点点相相匹匹配配时，即判断此数据包即判断此数据包为攻攻击数据包。数据包。具体流程具体流程见图5-18所示。所示。返回本章首返回本章首页第五章第五章入侵检测技术入侵检测技术返回本章首返回本章首页第五章第五章入侵检测技术入侵检测技术 3日志及日志及报警子系警子系统一一个个好好的的NIDS，更更应该提提供供友友好好的的输出出界界面面或或发声声报警警等等。Snort是是一一个个轻量量级的的NIDS，它它的的另另外外一一个个重重要要功功能能就就是是数数据据包包记录器器，它它主主要要采采取取用用TCPDUMP的的格格式式记录信信息息、向向syslog 发送送报警警信信息息和和以以明明文文形形式式记录报警警信信息息三三种种方方式。式。值得得提提出出的的是是，Snort 在在网网络数数据据流流量量非非常常大大时，可以将数据包信息，可以将数据包信息压缩从而从而实现快速快速报警。警。返回本章首返回本章首页第五章第五章入侵检测技术入侵检测技术 5.5.2 安装使用安装使用Snort 以以snort 1.8.6为例，可例，可执行下列命令安装：行下列命令安装：若从若从snort.org的的/dl/signatures/下下载最最新的新的规则库，则右右侧命命令可将令可将规则库安装到适安装到适当位置：当位置：返回本章首返回本章首页第五章第五章入侵检测技术入侵检测技术 5.5.3 Snort与与TCPDump的比的比较从从表表面面上上看看，Snort与与TCPDump是是非非常常相相似似的的，Snort与与它它的的最最大大共共同同之之处在在于于都都是是基基于于libpcap库，且且都都支支持持BPF过滤机机制制，但但Snort的的目目的的不不仅仅在在于于记录网网络数数据据包包，而而是是从从安安全全的的角角度度出出发来来解解析析分分析析它它。TCPDump通通过分分析析第第二二层或或第第三三层的的报文文进行行网网络故故障障诊断断，而而Snort则针对应用用层的的数数据据进行分析从而行分析从而实现检测入侵行入侵行为。此此外外，由由于于TCPDump旨旨在在快快速速完完整整地地记录流流量量，所所以以它它制制定定了了特特殊殊的的输出出格格式式、速速度度快快，但但不不易易阅读。而而Snort提提供供了了更更为友友好好的的输出出格格式式，有有利利于系于系统管理管理员直接分析。直接分析。返回本章首返回本章首页第五章第五章入侵检测技术入侵检测技术 5.5.4 部署部署IDS面面临的的问题由由于于系系统本本身身存存在在的的若若干干问题，使使得得实际部部署署IDS存存在在着着一一些些不不可可避避免免的的困困难，这就就需需要要我我们在在实际工作中工作中权衡利弊，衡利弊，扬长避短。避短。（1）突突破破检测速速度度瓶瓶颈制制约，适适应网网络通通信信需求。需求。（2）降降低低漏漏报和和误报，提提高高其其安安全全性性和和准准确确度。度。（3）提提高高系系统互互动性性能能，增增强全全系系统的的安安全全性能。性能。返回本章首返回本章首页第五章第五章入侵检测技术入侵检测技术 5.6 本章小本章小结结入入侵侵检测（Intrusion Detection）是是保保障障网网络系系统安安全全的的关关键部部件件，它它通通过监视受受保保护系系统的的状状态和和活活动，采采用用误用用检测（Misuse Detection）或或异异常常检测（Anomaly Detection）的的方方式式，发现非非授授权的的或或恶意意的的系系统及及网网络行行为，为防防范范入入侵侵行行为提提供供有效的手段。有效的手段。入入侵侵检测按按照照不不同同的的标准准有有多多种种分分类方方法法。分分布布式式入入侵侵检测（Distributed Intrusion Detection）对信信息息的的处理理方方法法分分为两两种种，即即分分布布式式信信息息收收集集、集中式集中式处理和分布式信息收集、分布式理和分布式信息收集、分布式处理。理。返回本章首返回本章首页第五章第五章入侵检测技术入侵检测技术为了了提提高高IDS产品品、组件件及及与与其其他他安安全全产品品之之间的的互互操操作作性性，DARPA和和IETF的的入入侵侵检测工工作作组（IDWG）发起起制制订了了一一系系列列建建议草草案案，从从体体系系结构构、API、通通信信机机制制、语言言格格式式等等方方面面来来规范范IDS的的标准准，但但草草案案或或建建议目目前前都都处于于逐逐步步完完善善之之中中，尚尚无被广泛接受的国无被广泛接受的国际标准。准。在在安安全全实践践中中，部部署署入入侵侵检测是是一一项繁繁琐的的工工作作，需需要要从从三三个个方方面面对入入侵侵检测进行行改改进，即即突突破破检测速速度度瓶瓶颈制制约，适适应网网络通通信信需需求求；降降低低漏漏报和和误报，提提高高其其安安全全性性和和准准确确度度；提提高高系系统互互动性性能，增能，增强全系全系统的安全性能。的安全性能。返回本章首返回本章首页第五章第五章入侵检测技术入侵检测技术本章到此本章到此结束，束，谢谢！