1、1,第五章 入侵檢測系統,李 劍 北京郵電大學信息安全中心 E-mail: 01086212346,2,目 錄,一. 入侵檢測概述 二. 入侵檢測技術 三. IDS的標準化 四. 入侵檢測的發展,3,入侵檢測,入侵監測系統處于防火墻之后對網絡活動進行實時檢測。許多情況下，由于可以記錄和禁止網絡活動，所以入侵監測系統是防火墻的延續。它們可以和防火墻和路由器配合工作。 入侵監測系統(IDS，Intrusion Detection System)與系統掃描器(System Scanner)不同。系統掃描器是根據攻擊特征數據庫來掃描系統漏洞的，它更關注配置上的漏洞而不是當前進出主機的流量。在遭受攻擊的

2、主機上，即使正在運行著掃描程序，也無法識別這種攻擊。IDS掃描當前網絡的活動，監視和記錄網絡的流量，根據定義好的規則來過濾從主機網卡到網線上的流量，提供實時報警。網絡掃描器檢測主機上先前設置的漏洞，而IDS監視和記錄網絡流量。如果在同一臺主機上運行IDS和掃描器，配置合理的IDS會發出許多報警。,4,5.1 入侵檢測概述,入侵檢測技術是一種主動保護自己免受攻擊的一種網絡安全技術。作為防火墻的合理補充，入侵檢測技術能夠幫助系統對付網絡攻擊，擴展了系統管理員的安全管理能力（包括安全審計、監視、攻擊識別和響應），提高了信息安全基礎結構的完整性。它從計算機網絡系統中的若干關鍵點收集信息，并分析這些信息

3、。入侵檢測被認為是防火墻之后的第二道安全閘門，在不影響網絡性能的情況下能對網絡進行監測。它可以防止或減輕上述的網絡威脅。,5,5.1.1 為什么需要入侵檢測系統,政府、銀行、大企業等機構都有自己的內網資源。企業經常在防火墻系統上投入大量的資金，在因特網入口處部署防火墻系統來保證安全， 依賴防火墻建立網絡的組織往往是“外緊內松”，無法阻止內部人員所做的攻擊,對信息流的控制缺乏靈活性，從外面看似非常安全，但內部缺乏必要的安全措施。據統計，全球80%以上的入侵來自于內部。由于性能的限制，防火墻通常不能提供實時的入侵檢測能力，對于企業內部人員所做的攻擊，防火墻形同虛設。 入侵檢測是對防火墻及其有益的補

4、充，入侵檢測系統能使在入侵攻擊對系統發生危害前檢測到入侵攻擊，并利用報警與防護系統驅逐入侵攻擊。,6,5.1.1 為什么需要入侵檢測系統,對防火墻和入侵檢測系統的聯系有一個經典的比喻：防火墻相當于一個把門的門衛，對于所有進出大門的人員進行審核，只有符合安全要求的人，就是那些有入門許可證的人才可以進、出大門； 門衛可以防止小偷進入大樓，但不能保證小偷100%地被拒之門外,而且對于那些本身就在大門內部的，以及那些具備入門證的、以合法身份進入了大門的人，是否做好事也無法監控，這時候就需要依靠入侵檢測系統來進行審計和控制,及時發現異常情況并發出警告。,7,5.1.2 入侵檢測的概念,本文中的“入侵”是

5、個廣義的概念，不僅包括被發起攻擊的人（如惡意的黑客）取得超出合法范圍的系統控制權，也包括收集漏洞信息，造成拒絕訪問（Denial of Service）等對計算機系統造成危害的行為。 入侵檢測，顧名思義，便是對入侵行為的發覺。它通過對計算機網絡或計算機系統中得若干關鍵點收集信息并對其進行分析，從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。進行入侵檢測的軟件與硬件的組合便是入侵檢測系統。與其他安全產品不同的是，入侵檢測系統需要更多的智能，它必須可以將得到的數據進行分析，并得出有用的結果。一個合格的入侵檢測系統能簡化管理員的工作，保證網絡安全的運行。,8,5.1.2 入侵檢測的概念,

6、由于入侵檢測系統的市場在近幾年中飛速發展，許多公司投入到這一領域上來。除了國外的ISS、axent、NFR、思科(Cisco)等公司外，國內也有數家公司（如啟明星辰、中聯綠盟、中科網威等）推出了自己相應的產品。但就目前而言，入侵檢測系統還缺乏相應的標準。 目前，試圖對IDS進行標準化的工作有兩個組織：IETF的IDWF (Intrusion Detection Working Group)和CIDF (Common Intrusion Detection Framework)，但進展非常緩慢，尚沒有被廣泛接收的標準出臺。,9,5.1.3 入侵檢測的歷史,從實驗室原型研究到推出商業化產品、走向市

7、場并獲得廣泛認同，入侵檢測系統已經走過了二十多年的風雨坎坷路。 1. 概念的誕生 1980年4月，James P. Anderson為美國空軍做了一份題為計算機安全威脅監控與監視（Computer Security Threat Monitoring and Surveillance）的技術報告，第一次詳細闡述了入侵檢測的概念。他提出了一種對計算機系統風險和威脅的分類方法，并將威脅分為外部滲透、內部滲透和不法行為3種，還提出了利用審計跟蹤數據監視入侵活動的思想。這份報告被公認為是入侵檢測的開山之作。,10,5.1.3 入侵檢測的歷史,2. 模型的發展 19841986年，喬治敦大學的Dorot

8、hy Denning和SRI/CSL（SRI公司計算機科學實驗室）的Peter Neumann研究出了一個實時入侵檢測系統模型，取名為入侵檢測專家系統（IDES）。該模型由6個部分組成：主體、對象、審計記錄、輪廓特征、異常記錄、活動規則。它獨立于特定的系統平臺、應用環境、系統弱點以及入侵類型，為構建入侵檢測系統提供了一個通用的框架。,11,5.1.3 入侵檢測的歷史,1988年，SRI/CSL的Teresa Lunt等人改進了Denning的入侵檢測模型，并開發出了一個IDES。該系統包括一個異常檢測器和一個專家系統，分別用于統計異常模型的建立和基于規則的特征分析檢測，如圖5.1所示。,12,

9、5.1.3 入侵檢測的歷史,3. 百花齊放的春天 1990年是入侵檢測系統發展史上的一個分水嶺。這一年，加州大學戴維斯分校的L. T. Heberlein等人開發出了NSM（Network Security Monitor）。該系統第一次直接將網絡流作為審計數據來源，因而可以在不將審計數據轉換成統一格式的情況下監控異種主機。從此之后，入侵檢測系統發展史翻開了新的一頁，基于網絡的IDS和基于主機的IDS兩大陣營正式形成。,13,5.1.3 入侵檢測的歷史,1988年的莫里斯蠕蟲事件發生之后，網絡安全才真正引起了軍方、學術界和企業的高度重視。美國空軍、國家安全局和能源部共同資助空軍密碼支持中心、勞

10、倫斯利弗摩爾國家實驗室、加州大學戴維斯分校、Haystack實驗室，開展對分布式入侵檢測系統（DIDS）的研究，將基于主機和基于網絡的檢測方法集成到一起，其總體結構如圖5.2所示。,14,5.1.3 入侵檢測的歷史,DIDS是分布式入侵檢測系統歷史上的一個里程碑式的產品，它的檢測模型采用了分層結構，包括數據、事件、主體、上下文、威脅、安全狀態等6層。 從20世紀90年代到現在，入侵檢測系統的研發呈現出百家爭鳴的繁榮局面，并在智能化和分布式兩個方向取得了長足的進展。目前，SRI/CSL、普渡大學、加州大學戴維斯分校、洛斯阿拉莫斯國家實驗室、哥倫比亞大學、新墨西哥大學等機構在這些方面的研究代表了當

11、前的最高水平。,15,5.1.4 入侵檢測的結構,IDS在結構上可劃分為數據收集和數據分析兩部分。 1、數據收集機制 數據收集機制在IDS中占據著舉足輕重的位置。如果收集的數據時延較大，檢測就會失去作用；如果數據不完整，系統的檢測能力就會下降；如果由于錯誤或入侵者的行為致使收集的數據不正確，IDS就會無法檢測某些入侵，給用戶以安全的假象。,16,5.1.4 入侵檢測的結構,IDS在結構上可劃分為數據收集和數據分析兩部分。 1、數據收集機制 數據收集機制在IDS中占據著舉足輕重的位置。如果收集的數據時延較大，檢測就會失去作用；如果數據不完整，系統的檢測能力就會下降；如果由于錯誤或入侵者的行為致使

12、收集的數據不正確，IDS就會無法檢測某些入侵，給用戶以安全的假象。,17,5.1.4 入侵檢測的結構,(1)分布式與集中式數據收集機制 分布式數據收集：檢測系統收集的數據來自一些固定位置而且與受監視的網元數量無關。 集中式數據收集：檢測系統收集的數據來自一些與受監視的網元數量有一定比例關系的位置。,18,5.1.4 入侵檢測的結構,(2)直接監控和間接監控 如果IDS從它所監控的對象處直接獲得數據，稱為直接監控；反之，如果IDS依賴一個單獨的進程或工具獲得數據，則稱為間接監控。 就檢測入侵行為而言，直接監控要優于間接監控，由于直接監控操作的復雜性，目前的IDS產品中只有不足20%使用了直接監控

13、機制。,19,5.1.4 入侵檢測的結構,(3)基于主機的數據收集和基于網絡的數據收集 基于主機的數據收集是從所監控的主機上獲取的數據; 基于網絡的數據收集是通過被監視網絡中的數據流獲得數據。 總體而言，基于主機的數據收集要優于基于網絡的數據收集。,20,5.1.4 入侵檢測的結構,(4) 外部探測器和內部探測器 外部探測器是負責監測主機中某個組件（硬件或軟件）的軟件。它將向IDS提供所需的數據，這些操作是通過獨立于系統的其他代碼來實施的。 內部探測器是負責監測主機中某個組件（硬件或軟件）的軟件。它將向IDS提供所需的數據，這些操作是通過該組件的代碼來實施的。 外部探測器和內部探測器在用于數據

14、收集時各有利弊，可以綜合使用。由于內部探測器實現起來的難度較大，所以在現有的IDS產品中，只有很少的一部分采用它。,21,5.1.4 入侵檢測的結構,2、數據分析機制 根據IDS如何處理數據，可以將IDS分為分布式IDS和集中式IDS。 分布式IDS：在一些與受監視組件相應的位置對數據進行分析的IDS。 集中式IDS：在一些固定且不受監視組件數量限制的位置對數據進行分析的IDS。 請注意，這些定義是基于受監視組件的數量而不是主機的數量，所以如果在系統中的不同組件中進行數據分析，除了安裝集中式IDS外，有可能在一個主機中安裝分布式數據分析的IDS。分布式和集中式IDS都可以使用基于主機、基于網絡

15、或兩者兼備的數據收集方式。,22,5.1.5 入侵檢測系統的作用,入侵檢測系統具有以下部分或全部功能： 監督并分析用戶和系統的活動； 檢查系統配置和漏洞； 檢查關鍵系統和數據文件的完整性； 識別代表已知攻擊的活動模式； 對反常行為模式的統計分析； 對操作系統的校驗管理，判斷是否有破壞安全的用戶活動。,23,5.1.5 入侵檢測系統的作用,入侵檢測系統和漏洞評估工具可以聯合起來，其的優點在于： 提高了信息安全體系其他部分的完整性； 提高了系統的監察能力； 跟蹤用戶從進入到退出的所有活動或影響； 識別并報告數據文件的改動； 發現系統配置的錯誤，必要時予以更正； 識別特定類型的攻擊，并向相應人員報警

16、，以作出防御反應； 可使系統管理人員最新的版本升級添加到程序中； 允許非專家人員從事系統安全工作； 為信息安全策略的創建提供指導。,24,5.1.5 入侵檢測系統的作用,必須修正對入侵檢測系統和漏洞評估工具不切實際的期望：這些產品并不是無所不能的，它們無法彌補力量薄弱的識別和確認機制。 在無人干預的情況下，無法執行對攻擊的檢查； 無法感知公司安全策略的內容； 不能彌補網絡協議的漏洞； 不能彌補由于系統提供信息的質量或完整性的問題； 不能分析網絡繁忙時所有事務； 不能總是對數據包級的攻擊進行處理； 不能應付現代網絡的硬件及特性。,25,5.1.6 入侵檢測的分類,1. 根據其采用的技術分。 (1

17、) 異常檢測 異常檢測的假設是入侵者活動異常于正常主體的活動，建立正?；顒拥摹盎顒雍啓n”，當前主體的活動違反其統計規律時，認為可能是“入侵”行為。通過檢測系統的行為或使用情況的變化來完成。 (2) 誤用檢測 誤用檢測也叫特征檢測，它假設入侵者活動可以用一種模式來表示，然后將觀察對象與之比較，判別是否符合這些模式。,26,5.1.6 入侵檢測的分類,2. 根據IDS所檢測對象的區別可分為基于主機的入侵檢測系統和基于網絡的入侵檢測系統。 (1) 基于主機的IDS 基于主機的IDS通過監視與分析主機的審計記錄檢測入侵。能否及時采集到審計是這些系統的弱點之一，入侵者會將主機審計子系統作為攻擊目標以避開

18、IDS。如圖5.3所示為基于主機的IDS。,27,5.1.6 入侵檢測的分類,(2) 基于網絡的IDS：基于網絡的IDS通過在共享網段上對通信數據的偵聽采集數據，分析可疑現象。這類系統不需要主機提供嚴格的審計，對主機資源消耗少，并可以提供對網絡通用的保護而無需顧及異構主機的不同架構。圖5.4所示為基于網絡的IDS。,28,5.1.6 入侵檢測的分類,(3) 分布式入侵檢測系統 目前這種技術在ISS的RealSecure等產品中已經有了應用。它檢測的數據也是來源于網絡中的數據包，不同的是，它采用分布式檢測、集中管理的方法。即在每個網段安裝一個黑匣子，該黑匣子相當于基于網絡的IDS，只是沒有用戶操

19、作界面。黑匣子用來監測其所在網段上的數據流，它根據集中安全管理中心制定的安全策略、響應規則等來分析檢測網絡數據，同時向集中安全管理中心發回安全事件信息。集中安全管理中心是整個分布式入侵檢測系統面向用戶的界面。它的特點是對數據保護的范圍比較大，但對網絡流量有一定的影響。,29,5.1.6 入侵檢測的分類,3. 根據工作方式分 (1) 離線檢測系統 離線檢測系統是非實時工作的系統，它在事后分析審計事件，從中檢查入侵活動。事后入侵檢測由網絡管理人員進行，具有網絡安全的專業知識，根據計算機系統對用戶操作所做的歷史審計記錄判斷是否存在入侵行為，如果有就斷開連接，并記錄入侵證據和進行數據恢復。事后入侵檢測

20、是管理員定期或不定期進行的，不具有實時性。,30,5.1.6 入侵檢測的分類,(2) 在線檢測系統 在線檢測系統是實時聯機的檢測系統，它包含對實時網絡數據包分析，實時主機審計分析。其工作過程是實時入侵檢測在網絡連接過程中進行，系統根據用戶的歷史行為模型、存儲在計算機中的專家知識以及神經網絡模型對用戶當前的操作進行判斷，一旦發現入侵跡象立即斷開入侵者與主機的連接，并收集證據和實施數據恢復。這個檢測過程是不斷循環進行的。,31,5.1.6 入侵檢測的分類,4. 按照體系結構分 (1)集中式 這種結構的IDS可能有多個分布于不同主機上的審計程序，但只有一個中央入侵檢測服務器。審計程序把當地收集到的數

21、據蹤跡發送給中央服務器進行分析處理。但這種結構的IDS在可伸縮性、可配置性方面存在致命缺陷：第一，隨著網絡規模的增加，主機審計程序和服務器之間傳送的數據量就會驟增，導致網絡性能大大降低；第二，系統安全性脆弱，一旦中央服務器出現故障，整個系統就會陷入癱瘓；第三，根據各個主機不同需求，配置服務器非常復雜。,32,5.1.6 入侵檢測的分類,(2)等級式 這種結構的IDS用來監控大型網絡，定義了若干個分等級的監控區，每個IDS負責一個區，每一級IDS只負責所監控區的分析，然后將當地的分析結果傳送給上一級IDS。這種結構仍存兩個問題：首先，當網絡拓撲結構改變時，區域分析結果的匯總機制也需要做相應的調整

22、；第二，這種結構的IDS最后還是要把各地收集到的結果傳送到最高級的檢測服務器進行全局分析，所以系統的安全性并沒有實質性的改進。,33,5.1.6 入侵檢測的分類,(3)協作式 這種結構的IDS將中央檢測服務器的任務分配給多個基于主機的IDS，這些IDS不分等級，各司其職，負責監控當地主機的某些活動。所以，其可伸縮性、安全性都得到了顯著的提高，但維護成本卻高了很多，并且增加了所監控主機的工作負荷，如通信機制、審計開銷、蹤跡分析等。,34,5.2 入侵檢測技術,5.2.1 誤用入侵檢測 誤用入侵檢測是指根據已知的入侵模式來檢測入侵。入侵者常常利用系統和應用軟件中弱點攻擊，而這些弱點易編成某種模式，

23、如果入侵者攻擊方式恰好匹配檢測系統中的模式庫，則入侵者即被檢測到，如圖5.5所示。,35,5.2 入侵檢測技術,誤用入侵檢測依賴于模式庫，或叫規則庫。如果沒有構造好模式庫，則IDS就不能檢測到入侵者。例如，因特網蠕蟲攻擊(Worm Attack)使用了fingered 和 sendmai1錯誤（Bugs），可以使用誤用檢測，與異常入侵檢測相反，誤用入侵檢測能直接檢測不利的或不能接受的行為，而異常入侵檢測是發現同正常行為相違背的行為。,36,5.2 入侵檢測技術,1. 基于條件概率誤用入侵檢測方法 基于條件概率誤用入侵檢測方法將入侵方式對應一個事件序列，然后通過觀測到事件發生情況來推測入侵出現。

24、這種方法的依據是外部事件序列，根據貝葉斯定理進行推理檢測入侵。令ES表示事件序列，先驗概率為P(I)，后驗概率為P(ES|I)，事件出現的概率為P(ES),則P(I|ES)=P(ES|I)P(I)/P(ES)，通常網絡安全專家可以給出先驗概率P(I)，對入侵報告數據進行統計處理得出P(ES|I)和P(ES|I),于是可以計算出：,37,5.2 入侵檢測技術,2. 基于專家系統誤用入侵檢測方法 基于專家系統誤用入侵檢測方法是通過將安全專家的知識表示成IF-THEN規則形成專家知識庫，然后，運用推理算法進行檢測入侵。編碼規則說明攻擊的必需條件作為IF的組成部分。當規則的左邊的全部條件都滿足時，規則

25、的右邊的動作才會執行。入侵檢測專家系統應用的實際問題是要處理大量的數據和依賴于審計跟蹤的次序，其推理方式主要有以下兩種。,38,5.2 入侵檢測技術,3. 基于狀態遷移分析誤用入侵檢測方法 狀態遷移分析方法將攻擊表示成一系列被臨近的系統狀態遷移。攻擊模式的狀態對應于系統狀態，并具有遷移到另外狀態的條件斷言。通過弧將連續的狀態連接起來表示狀態改變所需要的事件。允許事件類型被植入到模型，不需同審計記錄一一對應。攻擊模式只能說明事件序列，不能說明更復雜的事件。而且，除了通過植入模型的原始的斷言，沒有通用的方法來排除攻擊模式部分匹配。,39,5.2 入侵檢測技術,4. 基于鍵盤監控誤用入侵檢測方法 基

26、于鍵盤監控誤用入侵檢測方法假設入侵對應特定的擊鍵序列模式，然后監測用戶擊鍵模式，并將這一模式與入侵模式匹配，以此就能檢測入侵。這種方法的不利之處是在沒有操作系統支持的情況下，缺少捕獲用戶擊鍵的可靠方法，存在無數擊鍵方式表示同一種攻擊的可能。而且，沒有擊鍵語義分析，用戶很容易欺騙這種技術。因為這種技術僅僅分析擊鍵，所以不能夠很好地檢測到惡意程序執行結果的自動攻擊。,40,5.2 入侵檢測技術,5. 基于模型誤用入侵檢測方法 基于模型誤用入侵檢測方法是通過建立誤用證據模型，根據證據來推理來做出誤用發生判斷結論。Gravy和Lint首先提出這種方法。其方法要點是建立攻擊劇本（Attack Scena

27、rios）數據庫、預警器和規劃者。每個攻擊劇本表示成一個攻擊行為序列，在任意的給定時刻，攻擊劇本的子集都被用來推斷系統遭受入侵。根據當前的活動模型，預警器產生下一步行為，用來在審計跟蹤時作驗證使用。,41,5.2.2 異常入侵檢測,異常檢測指的是根據非正常行為（系統或用戶）和使用計算機資源非正常情況檢測出入侵行為。例如，如果用戶A早上8點鐘到下午5點鐘之間在辦公室使用計算機，則他在晚上使用辦公室計算機是異常的，就有可能是入侵；用戶B總是在下班后登錄到公司的終端服務器或是在深夜時來自B的賬號遠程登錄都可能是不正常的。異常檢測試圖用定量方式描述常規的或可接收的行為，以標記非常規的、潛在的入侵行為。

28、這種非常規的、潛在的入侵行為可以定義為威脅。圖5.6所示為異常入侵檢測模型。,42,5.2.2 異常入侵檢測,典型的威脅模型將威脅分為外部闖入、內部滲透和不當行為3種類型，并使用這種分類方法開發了一個安全監視系統，可檢測用戶的異常行為。 外部闖入指的是未經授權計算機系統用戶的入侵； 內部滲透是指已授權的計算機用戶訪問未經授權的數據； 不當行為指的是用戶雖經授權，但對授權數據和資源的使用不合法或濫用授權。,43,5.2.2 異常入侵檢測,1. 統計異常檢測方法 統計異常檢測方法根據異常檢測器觀察主體的活動，然后產生描述這些活動行為的參數。每一個參數保存記錄主體當前某種行為，并定時地將當前的參數與

29、存儲的參數合并。通過比較當前的參數與已存儲的參數判斷異常行為，從而檢測出網絡入侵。下面以IDES入侵檢測系統為例來說明一般統計異常檢測方法處理的過程。設M1, M2, , Mn為參數集的特征變量，這些變量可以是CPU的使用、I/O的使用、使用地點及時間，郵件使用，文件訪問數量，網絡會話時間等。用S1, S2, , Sn分別表示參數集中變量M1, M2, , Mn的異常測量值。這些值表明了異常程度，若Si的值越高，則表示Mi異常性就越大。將這些異常測量值的平方后加權計算得出參數異常值：a1S12+a2S22+anSn2, ai0。,44,5.2.2 異常入侵檢測,2. 基于特征選擇異常檢測方法

30、基于特征選擇異常檢測方法是通過從一組參數數據中挑選能檢測出入侵參數構成子集來準確地預測或分類已檢測到的入侵。異常入侵檢測的困難是在異常活動和入侵活動之間作出判斷。判斷符合實際的參數很復雜，因為合適地選擇參數子集依賴于檢測到的入侵類型，一個參數集對所有的各種各樣的入侵類型不可能是足夠的。預先確定特定的參數來檢測入侵可能會錯過單獨的、特別的環境下的入侵。最理想的檢測入侵參數集必須動態地決策判斷以獲得最好的效果。假設與入侵潛在相關的參數有n個，則這n個參數構成的子集有2n個。由于搜索空間同參數是指數關系，所以窮盡尋找最理想的參數子集的開銷太大。,45,5.2.2 異常入侵檢測,3. 基于貝葉斯推理異

31、常檢測方法 基于貝葉斯推理異常檢測方法是通過在任意給定的時刻，測量A1，A2，An變量值推理判斷是否有入侵事件發生。其中每個Ai變量表示系統不同的方面特征（如磁盤I/O的活動數量，或者系統中頁面出錯的數）。假定Ai變量具有兩個值，1表示是異常，0表示正常。I表示系統當前遭受入侵攻擊。每個異常變量Ai的異?？煽啃院兔舾行苑謩e表示為P(Ai=1|I)和P(Ai=1|I)。則在給定每個Ai的條件下，由貝葉斯定理得出I的可信度，根據各種異常測量的值、入侵的先驗概率及入侵發生時每種測量到的異常概率，能夠檢測判斷入侵的概率。但是為了檢測的準確性，還要必須考慮各測量Ai間的獨立性。,46,5.2.2 異常入

32、侵檢測,4. 基于貝葉斯網絡異常檢測方法 貝葉斯統計分析把先驗信息與樣本信息結合，用于統計推斷之中。用貝葉斯公式先驗信息與樣本信息綜合，得到后驗信息。而得到的后驗信息又可以作為新一輪計算的先驗，與進一步獲得的樣本信息綜合，求得下一個后驗信息。隨著這個過程繼續下去，后驗信息確實是越來越接近于真值。也就是說，貝葉斯方法的學習機制是確實存在而且有效的。這個學習的過程實際上是一個迭代的過程，數據統計工作者已經證明這個過程是收斂的，因為這樣得到后驗分布密度有上界，而且單調遞增。這意味著它將收斂于某個值。,47,5.2.2 異常入侵檢測,5. 基于模式預測異常檢測方法 基于模式預測異常檢測方法的假設條件是

33、事件序列不是隨機的，而是遵循可辨別的模式。這種檢測方法的特點是考慮了事件的序列及相互聯系。而基于時間的推理方法則利用時間規則識別用戶行為正常模式的特征。通過歸納學習產生這些規則集，能動態地修改系統中的規則，使之具有高的預測性、準確性和可信度。如果規則大部分時間是正確的，并能夠成功地運用預測所觀察到的數據，那么規則就具有高的可信度。,48,5.2.2 異常入侵檢測,6. 基于神經網絡異常檢測方法 基于神經網絡入侵檢測方法是訓練神經網絡連續的信息單元，信息單元指的是命令。網絡的輸入層是用戶當前輸入的命令和已執行過的若干個（如S）個命令；用戶執行過的命令被神經網絡使用來預測用戶輸入的下一個命令。若神

34、經網絡被訓練成預測用戶輸入命令序列集合，則神經網絡就構成用戶的輪廓框架。當用這個神經網絡預測不出某用戶正確的后繼命令，即在某種程度上表明了用戶行為與其輪廓框架的偏離，這時有異常事件發生，以此就能進行異常入侵檢測。,49,5.2.2 異常入侵檢測,7. 基于貝葉斯聚類異常檢測方法 基于貝葉斯聚類異常檢測方法通過在數據中發現不同類別數據集合，這些類反映了基本的因果機制（同類的成員比其他的更相似），以此就可以區分異常用戶類，進而推斷入侵事件發生來檢測異常入侵行為。Cheeseman和Stutz在1995年開發的自動分類程序（Autoclass Program）是一種無監督數據分類技術。,50,5.2

35、.2 異常入侵檢測,8. 基于機器學習異常檢測方法 這種異常檢測方法通過機器學習實現入侵檢測，其主要的方法有死記硬背式、監督、學習、歸納學習（示例學習）、類比學習等。Terran和Carla E.Brodley將異常檢測問題歸結為根據離散數據臨時序列學習獲得個體、系統和網絡的行為特征，并提出一個基于相似度實例學習方法（IBL），該方法通過新的序列相似度計算將原始數據（如離散事件流、無序的記錄）轉化成可度量的空間。,51,5.2.2 異常入侵檢測,9. 基于數據采掘異常檢測方法 計算機聯網導致大量審計記錄，而且審計記錄大多是以文件形式存放。若單獨依靠手工方法去發現記錄中的異常現象是不夠的，往往操

36、作不便，不容易找出審計記錄間相互關系。Wenke lee和Salvatore J. Stolfo 將數據采掘技術應用到入侵檢測研究領域中，從審計數據或數據流中提取感興趣的知識，這些知識是隱含的、事先未知的潛在有用信息，提取的知識表示為概念、規則、規律、模式等形式，并用這些知識去檢測異常入侵和已知入侵?；跀祿删虍惓z測方法目前已有現成的算法可以借用，這種方法的優點在于適應處理大量數據情況。但是，對于實時入侵檢測則還存在問題，需要開發出有效的數據采掘算法和適應的體系。,52,5.3 IDS的標準化,5.3.1 IDS標準化進展現狀 為了提高IDS產品、組件及與其他安全產品之間的互操作性，美國國

37、防高級研究計劃署（DARPA）和互聯網工程任務組（IETF）的入侵檢測工作組（IDWG）發起制訂了一系列建議草案，從體系結構、API、通信機制、語言格式等方面規范IDS的標準。 DARPA提出的建議是公共入侵檢測框架（CIDF），最早由加州大學戴維斯分校安全實驗室主持起草工作。1999年6月，IDWG就入侵檢測也出臺了一系列草案。但是，這兩個組織提出的草案或建議目前還正處于逐步完善之中，尚未被采納為廣泛接收的國際標準。不過，它們仍是入侵檢測領域最有影響力的建議，成為標準只是時間問題。,53,5.3 IDS的標準化,5.3.2 入侵檢測工作組 IDWG的任務是：定義數據格式和交換規程，用于入侵檢

38、測與響應（IDR）系統之間或與需要交互的管理系統之間的信息共享。IDWG提出的建議草案包括3部分內容：入侵檢測消息交換格式（IDMEF）、入侵檢測交換協議（IDXP）以及隧道輪廓（Tunnel Profile）。 1、IDMEF IDMEF描述了表示入侵檢測系統輸出信息的數據模型，并解釋了使用此模型的基本原理。該數據模型用XML實現，并設計了一個XML文檔類型定義。自動入侵檢測系統可以使用IDMEF提供的標準數據格式對可疑事件發出警報，提高商業、開放資源和研究系統之間的互操作性。IDMEF最適用于入侵檢測分析器（或稱為“探測器”）和接收警報的管理器（或稱為“控制臺”）之間的數據信道。,54,5

39、.3 IDS的標準化,(1) IDMEF的數據模型 IDMEF數據模型以面向對象的形式表示探測器傳遞給控制臺的警報數據，設計數據模型的目標是為警報提供確定的標準表達方式，并描述簡單警報和復雜警報之間的關系。 IDMEF數據模型各個主要部分之間的關系如圖5.7所示。,55,5.3 IDS的標準化,所有IDMEF消息的最高層類是IDMEF-Message，每一種類型的消息都是該類的子類。IDMEF目前定義了兩種類型的消息：Alert（警報）和Heartbeat（心跳），這兩種消息又分別包括各自的子類，以表示更詳細的消息。 需要注意的是，IDMEF數據模型并沒有對警報的分類和鑒別進行說明。例如，對一

40、個端口的掃描，一個分析器可能將其確定為一個多目標的單一攻擊，而另一個分析器可能將其確定為來自同一個源的多次攻擊。只有一個分析器決定了發送的警報類型，數據模型才能規定怎樣對這個警報進行格式化。 IDMEF數據模型是用統一建模語言（UML）描述的。UML用一個簡單的框架表示實體以及它們之間的關系，并將實體定義為類。IDMEF包括的主要類有IDMEF-Message類、Alert類、Heartbeat類、Core類、Time類和Support類，這些類還可以再細分為許多子類。,56,5.3 IDS的標準化,(2) 使用XML描述IDMEF文檔標記 IDWG最早曾提出兩個建議實現IDMEF：用SMI（

41、管理信息結構）描述一個SNMP MIB和使用DTD（文檔類型定義）描述XML文檔。IDWG 在1999年9月和2000年2月分別對這兩個建議進行了評估，認為XML最能符合IDMEF的要求，于是，在2000年2月的會議上決定采用XML方案。,57,5.3 IDS的標準化,2、IDXP IDXP（入侵檢測交換協議）是一個用于入侵檢測實體之間交換數據的應用層協議，能夠實現IDMEF消息、非結構文本和二進制數據之間的交換，并提供面向連接協議之上的雙方認證、完整性和保密性等安全特征。IDXP是BEEP的一部分，后者是一個用于面向連接的異步交互通用應用協議，IDXP的許多特色功能（如認證、保密性等）都是由

42、BEEP框架提供的。IDXP模型如下：,58,5.3.3 公共入侵檢測框架,公共入侵檢測框架(CIDF)所做的工作主要包括4部分：IDS的體系結構、通信機制、描述語言和應用編程接口API。 1CIDF的體系結構 CIDF在IDES和NIDES的基礎上提出了一個通用模型，將入侵檢測系統分為4個基本組件：事件產生器、事件分析器、響應單元和事件數據庫。結構如圖5.11所示。 在這個模型中，事件產生器、事件分析器和響應單元通常以應用程序的形式出現，而事件數據庫則往往是文件或數據流的形式，很多IDS廠商都以數據收集部分、數據分析部分和控制臺部分3個術語來分別代替事件產生器、事件分析器和響應單元。 CID

43、F將IDS需要分析的數據統稱為事件，它可以是網絡中的數據包，也可以是從系統日志或其他途徑得到的信息。,59,5.3.3 公共入侵檢測框架,公共入侵檢測框架(CIDF)所做的工作主要包括4部分：IDS的體系結構、通信機制、描述語言和應用編程接口API。,60,5.3.3 公共入侵檢測框架,(1) 事件產生器 事件產生器的任務是從入侵檢測系統之外的計算環境中收集事件，并將這些事件轉換成CIDF的GIDO格式傳送給其他組件。例如，事件產生器可以是讀取C2級審計蹤跡并將其轉換為GIDO格式的過濾器，也可以是被動地監視網絡并根據網絡數據流產生事件的另一種過濾器，還可以是SQL數據庫中產生描述事務的事件的

44、應用代碼。,61,5.3.3 公共入侵檢測框架,(2) 事件分析器 事件分析器分析從其他組件收到的GIDO, 并將產生的新GIDO再傳送給其他組件。分析器可以是一個輪廓描述工具，統計性地檢查現在的事件是否可能與以前某個事件來自同一個時間序列; 也可以是一個特征檢測工具，用于在一個事件序列中檢查是否有已知的濫用攻擊特征；此外，事件分析器還可以是一個相關器，觀察事件之間的關系，將有聯系的事件放到一起，以利于以后的進一步分析。 (3) 事件數據庫 事件數據庫用來存儲GIDO，以備系統需要的時候使用。 (4) 響應單元 響應單元處理收到的GIDO，并據此采取相應的措施，如殺死相關進程、將連接復位、修改

45、文件權限等。,62,5.3.3 公共入侵檢測框架,2、CIDF的通信機制 為了保證各個組件之間安全、高效地通信，CIDF將通信機制構造成一個三層模型：GIDO層、消息層和協商傳輸層。 要實現有目的的通信，各組件就必須能正確理解相互之間傳遞的各種數據的語義，GIDO層的任務就是提高組件之間的互操作性，所以GIDO就如何表示各種各樣的事件做了詳細的定義。 消息層確保被加密認證消息在防火墻或NAT等設備之間傳輸過程中的可靠性。消息層只負責將數據從發送方傳遞到接收方，而不攜帶任何有語義的信息；同樣，GIDO層也只考慮所傳遞信息的語義，而不關心這些消息怎樣被傳遞。,63,5.3.3 公共入侵檢測框架,3

46、、CIDF語言 CIDF的總體目標是實現軟件的復用和IDR（入侵檢測與響應）組件之間的互操作性。首先，IDR組件基礎結構必須是安全、健壯、可伸縮的，CIDF的工作重點是定義了一種應用層的語言CISL（公共入侵規范語言），用來描述IDR組件之間傳送的信息，以及制定一套對這些信息進行編碼的協議。CISL可以表示CIDF中的各種信息，如原始事件信息（審計蹤跡記錄和網絡數據流信息）、分析結果（系統異常和攻擊特征描述）、響應提示（停止某些特定的活動或修改組件的安全參數）等。,64,5.3.3 公共入侵檢測框架,4、CIDF的API接口 CIDF的API負責GIDO的編碼、解碼和傳遞，它提供的調用功能使得

47、程序員可以在不了解編碼和傳遞過程具體細節的情況下，以一種很簡單的方式構建和傳遞GIDO。 GIDO的生成分為兩個步驟：第一步，構造表示GIDO的樹形結構；第二步，將此結構編成字節碼。,65,5.4 入侵檢測的發展,隨著這么多年的發展，入侵檢測技術出現了一些問題，也有了一些新的發展方向。本節介紹入侵檢測系統存在的問題和其新的發展方向。 5.4.1 入侵檢測系統存在的問題 1誤/漏報率高 IDS常用的檢測方法有特征檢測、異常檢測、狀態檢測、協議分析等。而這些檢測方式都存在缺陷。比如異常檢測通常采用統計方法來進行檢測，而統計方法中的閾值難以有效確定，太小的值會產生大量的誤報，太大的值又會產生大量的漏

48、報。而在協議分析的檢測方式中，一般的IDS只簡單地處理了常用的如HTTP、FTP、SMTP等，其余大量的協議報文完全可能造成IDS漏報，如果考慮支持盡量多的協議類型分析，網絡的成本將無法承受。,66,5.4 入侵檢測的發展,2沒有主動防御能力 IDS技術采用了一種預設置式、特征分析式工作原理，所以檢測規則的更新總是落后于攻擊手段的更新。 3缺乏準確定位和處理機制 IDS僅能識別IP地址，無法定位IP地址，不能識別數據來源。IDS系統在發現攻擊事件的時候，只能關閉網絡出口和服務器等少數端口，但關閉同時會影響其他正常用戶的使用，因而其缺乏更有效的響應處理機制。 4性能普遍不足 現在市場上的IDS產

49、品大多采用的是特征檢測技術，這種IDS產品已不能適應交換技術和高帶寬環境的發展，在大流量沖擊、多IP分片情況下都可能造成IDS的癱瘓或丟包，形成DoS攻擊。,67,5.4.2 入侵檢測技術的發展方向,無論從規模與方法上入侵技術近年來都發生了變化。入侵的手段與技術也有了“進步與發展”。入侵技術的發展與演化主要反映在下列幾個方面。 1. 入侵或攻擊的綜合化與復雜化 入侵的手段有多種，入侵者往往采取一種攻擊手段。由于網絡防范技術的多重化，攻擊的難度增加，使得入侵者在實施入侵或攻擊時往往同時采取多種入侵的手段，以保證入侵的成功幾率，并可在攻擊實施的初期掩蓋攻擊或入侵的真實目的。 入侵主體對象的間接化，

50、即實施入侵與攻擊的主體的隱蔽化。通過一定的技術，可掩蓋攻擊主體的源地址及主機位置。即使用了隱蔽技術后，對于被攻擊對象攻擊的主體是無法直接確定的。,68,5.4.2 入侵檢測技術的發展方向,2. 入侵或攻擊的規模擴大 對于網絡的入侵與攻擊，在其初期往往是針對于某公司或一個網站，其攻擊的目的可能為某些網絡技術愛好者的獵奇行為，也不排除商業的盜竊與破壞行為。由于戰爭對電子技術與網絡技術的依賴性越來越大，隨之產生、發展、逐步升級到電子戰與信息戰。對于信息戰，無論其規模與技術都與一般意義上的計算機網絡的入侵與攻擊都不可相提并論。信息戰的成敗與國家主干通信網絡的安全是與任何主權國家領土安全一樣的國家安全。

51、,69,5.4.2 入侵檢測技術的發展方向,3. 入侵或攻擊技術的分布化 以往常用的入侵與攻擊行為往往由單機執行。防范技術的發展使得此類行為不能奏效。分布式拒絕服務在很短時間內可造成被攻擊主機的癱瘓。且此類分布式攻擊的單機信息模式與正常通信無差異，所以往往在攻擊發動的初期不易被確認。分布式攻擊是近期最常用的攻擊手段。,70,5.4.2 入侵檢測技術的發展方向,4. 攻擊對象的轉移 入侵與攻擊常以網絡為侵犯的主體，但近期來的攻擊行為卻發生了策略性的改變，由攻擊網絡改為攻擊網絡的防護系統，且有愈演愈烈的趨勢?，F已有專門針對IDS作攻擊的報道。攻擊者詳細地分析了IDS的審計方式、特征描述、通信模式，

52、找出IDS的弱點，然后加以攻擊。,71,5.4.2 入侵檢測技術的發展方向,今后的入侵檢測技術大致可朝下述3個方向發展。 1. 分布式入侵檢測 分布式入侵檢測有兩層含義。第一層含義，即針對分布式網絡攻擊的檢測方法；第二層含義即使用分布式的方法來檢測分布式的攻擊，其中的關鍵技術為檢測信息的協同處理與入侵攻擊的全局信息的提取。,72,5.4.2 入侵檢測技術的發展方向,2. 智能化入侵檢測 智能化入侵檢測即用智能化的方法與手段來進行入侵檢測。所謂的智能化方法，現階段常用的有神經網絡、遺傳算法、模糊技術、免疫原理等，這些方法常用于入侵特征的辨識與泛化。利用專家系統的思想來構建入侵檢測系統也是常用的方法之一。特別是具有自學習能力的專家系統，實現了知識庫的不斷更新與擴展，使設計的入侵檢測系統的防范能力不斷增強，應具有更廣泛的應用前景。應用智能體的概念來進行入侵檢測的嘗試也已有報道。較為一致的解決方案應為高效常規意義下的入侵檢測系統與具有智能檢測功能的檢測軟件或模塊的結合使用。,73,5.4.2 入侵檢測技術的發展方向,3. 全面的安全防御方案 全面的安全防御方案即用安全工程風險管理的思想與方法來處理網絡安全問題，將網絡