1、摘 要入侵檢測系統是一種主動保護網絡資源的網絡安全系統，近年來得到了廣泛的研究與應用。介紹了入侵檢測系統的起源、系統分類、相關產品分類，對它的目前存在的問題進行了分析，并對其發展趨勢作了簡單的概述。入侵檢測系統作為一種主動的安全防護技術，提供了對內、外部攻擊的實時保護，在網絡系統受到危害之前攔截和響應入侵。隨著網絡通信技術安全性的要求越來越高，入侵檢測系統能夠從網絡安全的立體縱深、多層次防御的角度出發提供完全服務，必將進一步受到人們的高度重視。關鍵詞：網絡，網絡安全，入侵檢測 目 錄第1章 緒論11.1課題背景11.2網絡安全1第2章 入侵檢測系統概述22.1入侵檢測系統簡介22.2對入侵檢測

2、系統的要求32.3入侵檢測系統的基本結構3第3章 入侵檢測系統的分類73.1 根據檢測的數據源分類73.2根據檢測使用的分析方法分類9第4章 入侵檢測技術的發展144.1網絡入侵檢測技術的發展過程144.2 ips研究與分析154.3網絡安全的發展方向ims174.4 技術展望19結 論20參考文獻21致 謝22第一章 緒論1.1課題背景近年來，互聯網技術在國際上得到了長足的發展，網絡環境變得越來越負載，網絡本身的安全性問題也就顯得更為重要。網絡安全的一個主要威脅是通過網絡對信息系統的入侵。相對于傳統對于系統的破壞手段，網絡入侵具有以下幾個特點：（1）沒有地域和時間限制；（2）通過網絡的攻擊往

3、往混在在大量正常的網絡活動中，隱蔽性強；（3）入侵手段更加隱蔽和復雜；（4）攻擊手段也有原來的單一攻擊向分布式方向發展。為了保證網絡的機密性、完整性和可用性，防火墻技術應運而生。但作為靜態的安全防御技術，單純的防火墻技術暴露出名先的不足和弱點，如無法解決安全后門的問題、不能阻止網絡的內部攻擊，而調查發現，50%以上的攻擊都來自內部；不能提供實時入侵檢測能力；對于病毒攻擊束手無策等。由于網絡入侵的上述特性，如何通過計算機對其進行檢測，就成為更強大的主動策略和方案來增強網絡的安全性，其中有一個和有效的解決途徑就是入侵檢測。入侵檢測系統彌補防火墻的不足，為網絡安全提供實時的入侵檢測及采取相應的防護手

4、段，如記錄證據、跟蹤入侵、恢復或斷開網絡連接等等。入侵檢測作為一種積極主動的安全防護技術，能夠同時對內部入侵，外部入侵和誤操作提供及時的保護，能夠在系統受到危害之前及時地記錄和響應入侵為系統管理員提供可靠的入侵記錄。因此研究高效的網絡安全防護和檢測技術，開發實用的安全監測系統具有重大的研究，時間和商業意義。1.2網絡安全近年來，我國互聯網發展取得了令人矚目的成績。根據中國互聯網絡信息中心最新發布的統計報告顯示，截至 2008 年底，我國上網用戶總數達 1.37 億人，互聯網的影響已經逐漸滲透到我國國民經濟的各個領域和人民生活的各個方面。 但是，隨著互聯網應用的不斷創新與發展，信息與網絡安全也面

5、臨著前所未有的嚴峻形勢，網絡安全領域所面臨的挑戰日益嚴峻。網絡安全問題不僅給廣大網民帶來了不便，甚至影響到我國信息化建設的進一步深化，威脅到國家的信息安全和經濟發展。網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統連續可靠正常地運行，網絡服務不中斷。 網絡安全從其本質上來講就是網絡上的信息安全。從廣義來說，凡是涉及到網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡安全的研究領域。網絡安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的綜合性學科。第二章

6、入侵檢測系統概述入侵檢測作為一種積極主動的安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網絡系統受到危害之前進行攔截和響應。從網絡安全立體縱深多層次防御的角度出發，入侵檢測理應受到人們的高度重視，這從國外入侵檢測產品市場的蓬勃發展就可以看出。2.1入侵檢測系統簡介1980年4月，james anderson為美國空軍做了一份題為computer security threat monitoring and surveillance)(計算機安全威脅監控和監視)的技術報告，第一次詳細闡述了入侵和入侵檢測的概念。入侵 (intrusion)是指對訪問，篡改信息，使系統不可靠或不可用

7、的有預謀、未授權嘗試的潛在可能性;以及任何企圖破壞計算機資源的完整性、保密性和可用性的行為。入侵不僅指非系統用戶非授權地登陸系統和使用系統資源，還包括系統內的用戶濫用權力對系統造成的破壞，如非法盜用他人帳戶，非法獲得系統管理員權限，修改或刪除系統文件等。入侵檢測 (intrusion detection)可以被定義為識別出正在發生的入侵企圖或已經發生的入侵活動的過程。它通過對計算機網絡或計算機系統中的若干關鍵點收集信息并對其進行分析，從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測包含兩層意思：一是對外部入侵(非授權使用)行為的檢測:二是對內部用戶(合法用戶)濫用自身權限的

8、檢測。入侵檢測系統 (intrusion detection system，簡稱ids)是試圖實現檢測入侵行為的計算機系統，包括計算機軟件和硬件的組合。入侵檢測系統對系統進行實時監控，對網絡或操作系統上的可疑行為做出策略反應，及時切斷資料入侵源、記錄、并通過各種途徑通知網絡管理員，最大幅度地保障系統安全，是防火墻的合理補充。2.2對入侵檢測系統的要求作為一種安全防護系統，入侵檢測系統旨在增強網絡系統的可靠性，因此，入侵檢測系統就成為了網絡系統的重要組成部分，因而它自身也應該具有足夠的可靠性，而不論它是基于何種機制。下面是入侵檢測系統應該具備的特性：1、檢測用戶和系統的運行狀況，必須在沒有(或很

9、少)的人工干預下不間斷地運行。2、監測系統配置的正確性和安全漏洞，必須具有容錯能力，即使系統崩潰也能繼續運轉，且重新啟動后無須重建知識庫。3、有很強的抗攻擊能力，能抵御破壞，能夠監測自身以確保不被攻擊者修改。4、有盡可能小的系統開銷，避免影響系統(ids所處環境)內其它組件正常操作。5、易于部署，這主要體現在對不同操作系統和體系結構的可移植性、簡單的安裝機制， 以及操作員易于使用和理解。6、能檢測出攻擊，并作出反應。包括不能將合法的活動誤認為是攻擊、不應遺漏任何真正的攻擊、應盡可能迅速及時報告入侵活動等功能。2.3入侵檢測系統的基本結構雖然目前存在諸多的入侵檢測模型和入侵檢測系統，但一個典型的

10、入侵檢測系統一般由數據采集、數據分析和事件響應三個部分組成。一個通用的入侵檢測系統結構如圖2.1所示。 數據事件其他系統事件影響數據分析數據源數據收集事件2.3.1數據收集數據收集是入侵檢測的第一步，包括收集系統、網絡數據、用戶活動狀態和行為數據。而且需要在計算機網絡系統中的若干不同關鍵點(不同網段和不同主機)收集信息，這除了盡可能擴大了檢測范圍的因素外，還有一個重要的因素就是從一個數據源來的信息有可能看不出疑點，但從幾個數據源來的信息的不一致性卻是可疑行為或入侵的的最好標志。獲得數據之后，需要對數據進行簡單處理，如流數據的解碼、字符編碼的轉換等等。然后將處理后的數據提交給數據分析模塊。因為入

11、侵檢測很大程度上依賴于采集信息的可靠性和正確性，因此我們必須保證數據采集的正確性。因為黑客經常替換軟件以搞混和移走這些信息，例如替換被程序調用的子程序、記錄文件和其它工具。黑客對系統的修改可能使系統功能失常并看起來跟正常的一樣。例如，linux 系統的ps 指令可以被替換為一個不顯示侵入過程的指令，或者編輯器被替換成一個讀取不同于指定文件的文件（黑客隱藏了初試文件并用另一版本代替）這需要保證用來檢測網絡系統的軟件的完整性，特別是入侵檢測系統軟件本身應具有相當強的堅固性，防止被篡改而采集到錯誤的信息。入侵檢測利用的信息一般來自以下三個方面（這里不包括物理形式的入侵信息）：1.系統和網絡日志文件黑

12、客經常在系統日志文件中留下他們的蹤跡，因此可以充分利用系統和網絡日志文件信息。日志中包含發生在系統和網絡上的不尋常和不期望活動的證據，這些證據可以指出有人正在入侵或已成功入侵了系統。通過查看日志文件，能夠發現成功的入侵或入侵企圖，并很快地啟動相應的應急響應程序。日志文件中記錄了各種行為類型，每種類型又包含不同的信息，例如記錄“用戶活動”類型的日志，就包含登錄、用戶id 改變、用戶對文件的訪問、授權和認證信息等內容。很顯然地，對用戶活動來講，不正常的或不期望的行為就是重復登錄失敗、登錄到不期望的位置以及非授權的企圖訪問重要文件等等。2.非正常的目錄和文件改變網絡環境中的文件系統包含很多軟件和數據

13、文件，他們經常是黑客修改或破壞的目標。目錄和文件中非正常改變（包括修改、創建和刪除）特別是那些正常情況下限制訪問的，很可能就是一種入侵產生的指示和信號。黑客經常替換、修改和破壞他們獲得訪問權的系統上的文件，同時為了隱藏系統中他們的表現及活動痕跡，都會盡力去替換系統程序或修改系統日志文件。3.非正常的程序執行網絡系統上的程序執行一般包括操作系統、網絡服務、用戶啟動的程序和特定目的的應用，例如web 服務器。每個在系統上執行的程序由一到多個進程來實現。一個進程的執行行為由它運行時執行的操作來表現，操作執行的方式不同，它利用的系統資源也就不同。操作包括計算、文件傳輸、設備和其它進程，以及與網絡間其它

14、進程的通訊。一個進程出現了不期望的行為可能表明黑客正在入侵你的系統。黑客可能會將程序或服務的運行分解，從而導致它失敗，或者是以非用戶或管理員意圖的方式操作。4.網絡數據包通過采樣網絡數據包，并進行相應處理，得到入侵檢測信息。當獲得數據之后，需要對數據進行簡單的處理，如對數據流的解碼、字符編碼的轉換等等，然后才將經過處理的數據提交給數據分析模塊。2.3.2數據分析數據分析是入侵檢測系統的核心部分。這個環節主要是對數據進行深入分析，根據攻擊特征集發現攻擊，并根據分析的結果產生響應事件，觸發事件響應。數據分析的方法較多，如模式匹配、協議分析、行為分析和統計分析等。1.模式匹配模式匹配就是將采集到的信

15、息與已知的網絡入侵和系統已有模式數據庫進行比較，從而發現違背安全策略的行為。該過程可以很簡單（如通過字符串匹配以尋找一個簡單的條目或指令）也可以很復雜（如利用正規的數學表達式來表示安全狀態的變化）一般來講，一種進攻模式可以用一個過程（如執行一條指令）或一個輸出（如獲得權限）來表示。該方法的一大優點是只需采集相關的數據集合，顯著減少系統負擔，且技術已相當成熟。它與病毒防火墻采用的方法一樣，檢測準確率和效率都相當高。但是，該方法存在的弱點是需要不斷的升級以對付不斷出現的黑客攻擊手法，不能檢測到從未出現過的黑客攻擊手段。2.統計分析統計分析方法首先給系統對象（如用戶、文件、目錄和設備等）創建一個統計

16、描述，統計正常使用時的一些測量屬性（如訪問次數、操作失敗次數和延時等）。在比較這一點上與模式匹配有些相象之處。測量屬性的平均值將被用來與網絡、系統的行為進行比較，任何觀察值在正常值范圍之外，時就認為有入侵發生。例如，本來都默認用guest 帳號登錄的，突然用admini 帳號登錄。這樣做的優點是可檢測到未知的入侵和更為復雜的入侵，缺點是誤報、漏報率高，且不適應用戶正常行為的突然改變。具體的統計分析方法如基于專家系統的、基于模型推理的和基于神經網絡的分析方法，目前正處于研究熱點和迅速發展之中。3.完整性分析完整性分析主要關注某個文件或對象是否被更改，這經常包括文件和目錄的內容及屬性，它在發現被更

17、改的、被特洛伊化的應用程序方面特別有效。完整性分析利用強有力的加密機制，稱為消息摘要函數（例如md5）， 它能識別哪怕是微小的變化。其優點是不管模式匹配方法和統計分析方法能否發現入侵，只要是成功的攻擊導致了文件或其它對象的任何改變，它都能夠發現。缺點是一般以批處理方式實現，用于事后分析而不用于實時響應。盡管如此，完整性檢測方法還應該是網絡安全產品的必要手段之一。例如，可以在每一天的某個特定時間內開啟完整性分析模塊，對網絡系統進行全面地掃描檢查。2.3.3事件響應事件響應在發現入侵后會及時作出響應，包括切斷網絡連接、記錄事件和報警等。響應又可以分為主動響應和被動響應。響應一般分為主動響應(實時阻

18、止或干擾入侵行為)和被動響應（報告和記錄所檢測出的問題）兩種類型。主動響應由用戶驅動或系統自動執行，可對入侵者采取行動（如斷開連接）、修正系統環境或采集有用信息：被動響應則包括報警和通知、日志記錄等。另外，還可以按策略配置響應，分別采取立即、緊急、適時、本地的長期和全局的長期等行為。事件響應實際上就是p2dr 模型的r（響應）采用適當的響應（response）可將系統調整到“最安全”或者“風險最低”的狀態。另外，還可以按策略配置響應，分別采取立即、緊急、適時、本地的長期和全局的長期等行為。第三章 入侵檢測系統的分類同任何事物的分類相似，采用不同的標準，就會得到不同的分類結果，入侵檢測系統也是如

19、此。根據檢測的數據源分類可以分為給予基于主機的入侵檢測系統、基于網絡的入侵檢測系統和混合入侵檢測系統；根據檢測使用的分析使用方法分類可以分為異常檢測和誤用檢測。3.1 根據檢測的數據源分類3.1.1基于主機的入侵檢測系統(host-based ids)基于主機的入侵檢測系統簡稱為主機入侵檢測系統，系統的數據來源為操作系統事件日志、管理工具審計記錄和應用程序審計記錄。它通過監視系統運行情況(文件的打開和訪問、文件權限的改變、用戶的登錄和特權服務的訪問等)、審計系統日志文件和應用程序(關系數據庫、web服務器)日志來檢測入侵。hids可以檢測到用戶濫用權限、創建后門帳戶、修改重要數據和改變安全配置

20、等行為，同時還可以定期對系統關鍵文件進行檢查，計算其校驗值來確信其完整性。hids檢測發生在主機上的活動，處理的都是操作系統事件或應用程序事件而不是網絡包，所以高速網絡對它沒有影響。同時它使用的是操作系統提供的信息，經過加密的數據包在到達操作系統后，都已經被解密，所以hids能很好地處理包加密的問題。并且，hids還可以綜合多個數據源進行進一步的分析，利用數據挖掘等技術來發現入侵。但是，hids也有自身的缺陷，主要有以下幾點：1, 影響系統性能。原始數據要經過集中、分析和歸檔，這些都需要占用系統資源，因此hids會在一定程度上降低系統性能。2、配置和維護困難。每臺被檢測的主機上都需安裝檢測系統

21、，每個系統都有維護和升級的任務，安裝和維護將是一筆不小的費用。3、易受內部破壞。由于hids安裝在被檢測的主機上，有權限的用戶或攻擊者可以關閉檢測程序從而使自己的行為在系統中沒有記錄，來逃避檢測。4、存在數據欺騙問題。攻擊者或有權限的用戶可以插入、修改或刪除審計記錄，借此逃避hids檢測。5、實時性較差。hids進行的多是事后檢測，因此當發現入侵時，系統多數己經受到了破壞。3.1.2基于網絡的入侵檢系統(network-based ids)基于網絡的入侵檢測系統簡稱為網絡入侵檢測系統，數據來源為網絡中的數據包。系統通過在計算機網絡中的某些點被動地監聽網絡上傳輸的原始流量，對獲取的網絡數據進行處

22、理，從中獲取有用的信息，再與已知攻擊特征相匹配或與正常網絡行為原型相比較來識別攻擊事件。nids的優勢在于它的實時性，當檢測到攻擊時，就能很快做出反應。另外nids可以在一個點上監測整個網絡中的數據包，不必像hids那樣，需要在每一臺主機上都安裝檢測系統，因此是一種經濟的解決方案。并且，nids檢測網絡包時并不依靠操作系統來提供數據，因此有著對操作系統的獨立性。但nids也有一些缺陷，因此也面臨著一些挑戰：1、單點錯誤問題。目前大多數的商業nids都采用了一個中央控制部件，它用于管理各個探測器的工作，以及對各個探測器產生的事件信息進行相關分析以此來檢測分布式協同攻擊。當這個中央控制部件由于受到

23、攻擊而癱瘓時，整個nids也就隨之失效了。2、數據包的重新裝配問題。不同的網絡的最大傳輸單元不同，一些大的網絡包常常被分成小的網絡包來傳遞。當大網絡包被拆分時，其中的攻擊特征有可能被分拆，nids在網絡層無法檢測到這些特征，而在上層這些拆分的包又會重新裝配起來，造成破壞。3、數據加密問題。隨著vpn,ssh和ssl的應用，數據加密越來越普遍，傳統的nids工作在網絡層，無法分析上層的加密數據，從而也無法檢測到加密后入侵網絡包。4、擴展性問題。nids通過將網卡設置成混雜模式來被動監聽網絡通訊。這就造成了系統的擴展性比較差。例如:當為10m 網絡設計的nids應用到ioo m網絡中去時就會造成比

24、較高的丟包率，通常需要改變整個系統的結構才能解決問題。5、交換式網絡問題。異步傳輸模式網絡以小的、固定長度的包一一信元傳送信息。53字節定長的信元與以往的包技術相比具有一些優點:短的信元可以快速交換、硬件實現容易。但是，交換網絡不能被傳統網絡偵聽器監視，從而無法對數據包進行分析。6. nids自身安全性問題。所有nids的攻擊檢測都是基于被動協議分析的。這種機制在根本上有一定的缺陷，易于受到如下三種攻擊：滲透攻擊、欺騙攻擊、拒絕服務攻擊。3.1.3混合入侵檢測系統網絡入侵檢測系統能夠檢測來自網絡的大部分攻擊，但對于來自內部的攻擊如合法用戶濫自身權限的檢測，則主機入侵檢測系統更勝一籌，一個完備的

25、入侵檢測系統應該兩者兼備。因此現代入侵檢測系統多是這兩種系統的融合一分布式入侵檢測系統，它能夠同時分析來自主機系統審計日志和網絡數據流的入侵檢測系統，系統由多個部件組成，采用分布式結構。3.2根據檢測使用的分析方法分類根據使用的分析方法不同，入侵檢測可以分為兩大類:異常檢測(anomaly detection)和誤用檢測(misuse detection)。異常檢測提取正常模式下審計數據的數學特征，檢查事件數據中是否存在與之相違背的異常模式。誤用檢測搜索審計事件數據，查看其中是否存在預先定義好的誤用模式。為了提高準確性，入侵檢測又引入了數據挖掘、人工智能、遺傳算法等技術。但是，入侵檢測技術還沒

26、有達到盡善盡美的程度，該領域的許多問題還有待解決。3.2.1異常檢測異常檢測又稱為基于行為的檢測，它基于這樣的原理，即認為入侵是系統中的異常行為。它沒有各種入侵的相關知識，但是有被檢測系統、用戶乃至應用程序正常行為的知識。它為統和用戶建立正常的使用模式，這些模式通常使用一組系統的度量來定義。所謂度量，是指統和用戶行為在特定方面的衡量標準如cpu的占用時間，文件是否被使用，終端的使用等.每一個度量都對應于一個門限值或相關的變動范圍。如果系統和用戶的行為超出了正常范圍，就認為發生了入侵。異常檢測的一個很大的優點是不需要保存各種攻擊特征的數據庫，隨著統計數據的增加，檢測的準確性會越來越高，可能還會檢

27、測到一些未知的攻擊。但由于用戶的行為有很大的不確定性，很難對其行為確定正常范圍，因此門限值的確定也比較困難，出錯的概率比較大時，它只能說明系統發生了異常的情況，并不能指出系統遭受了什么樣的攻擊，這給系統管理員采取應對措施帶來了一定困難。異常檢測中常用的方法有:量化分析、統計分析和神經網絡。1、量化分析量化分析是異常檢測中使用最為廣泛的方案，其特點是使用數字來定義檢測規則和系統屬性。量化分析通常涉及到一系列的計算過程，包括從簡單的計數到復雜的加密運算，計算的結果可以作為異常檢測統計模型的數據基礎。常用的量化分析方法有門限檢測、啟發式門限檢測和目標完整性檢查。門限檢測的基本思想是使用計數器來描述系

28、統和用戶行為的某些屬性，并設定可以接受的數值范圍，一旦在檢測過程中發現系統的實際屬性超出了設定的門限值，就認為系統出現了異常。門限檢測最經典的例子是操作系統設定的允許登錄失敗的最大次數。其他可以設置門限的系統屬性還有:特定類型的網絡連接數、試圖訪問文件的次數、訪問文件或目錄的個數及所訪問網絡系統的個數等。啟發式門限檢測是對門限檢測的改進，對于包含大量用戶和目標環境的系統來說，可以大幅度地提高檢測的準確性。舉例來說，傳統的門限設檢測規則是:一個小時內，如果登錄失敗的次數大于3次，就認為出現異常:而啟發式門限檢測將這個規則定義為:登錄失敗的次數大于一個異常數，就會發出警報。目標完整性檢查是對系統中

29、的某些關鍵對象，檢查其是否受到無意或惡意的更改。通常是使用消息摘要函數計算系統對象的密碼校驗值，并將計算得到的值存放在安全的區域。系統定時地計算校驗值，并與預先存儲值比較，如果發現偏差，就發出警報信息。2、統計分析統計分析是異常檢測最早和常用的技術，它是利用統計理論提取用戶或系統正常行為的特征輪廓。統計性特征輪廓通常由主體特征變量的頻度、均值、方差、被監控行為的屬性變量的統計概率分布以及偏差等統計量來描述。典型的系統主體特征有:系統的登錄與注銷時間、資源被占用的時間以及處理機、內存和外設的使用情況等。至于統計的抽樣周期可以從短到幾分鐘到長達幾個月甚至更長。基于統計性特征輪廓的異常檢測器，通過對

30、系統審計中的數據進行統計處理，并與描述主體行為的統計性特征輪廓進行比較，然后根據二者的偏差是否超過指定的門限來進一步判斷、處理。3、神經網絡神經網絡是人工智能里的一項技術，它是由大量并行的分布式處理單元組成。每個單元都能存儲一定的“知識”，單元之間通過帶有權值的連接進行交互。神經網絡所包含的知識體現在網絡結構當中，學習過程也就表現為權值的改變和連接的增加或刪除。利用神經網絡檢測入侵包括兩個階段。首先是學習階段，這個階段使用代表用戶行為的歷史數據進行訓練，完成神經網絡的構建和組裝;接著便進入入侵分析階段，網絡接收輸入的事件數據，與參考的歷史行為比較，判斷出兩者的相似度或偏離度。神經網絡使用以下方

31、法來標識異常的事件:改變單元的狀態、改變連接的權值、添加或刪除連接。同時也具有對所定義的正常模式進行逐步修正的功能。神經網絡有這樣一些優點: 大量的并行分布式結構、有自學習能力，能從周圍的環境中不斷學習新的知識并且能根據輸入產生合理的輸出。神經網絡上述優點使其能處理復雜的問題，例如對用戶或系統行為的學習和分析，這些都符合入侵檢測系統不斷面臨新的情況和新的入侵的現況。但目前神經網絡技術尚不十分成熟，所以還沒完善的產品。3.2.2誤用檢測誤用檢測又稱為基于知識的檢測或特征檢測，它的基本原理是運用己知攻擊方法，根據己定義好的入侵模式，通過判斷這些入侵模式是否出現來檢測。因為有很大一部分的入侵是利用了

32、系統的脆弱性，所以通過分析入侵過程的特征、條件、排列以及事件間的關系就能具體描述入侵行為的模式。這種方法由于依據具體特征庫進行判斷，所以檢測準確度很高，并且因為檢測結果有明確的參照，也為系統管理員做出相應措施提供了方便。主要缺陷在于對具體系統的依賴性太強，不但系統移植性不好，維護工作量大，而且將具體入侵手段抽象成知識也很困難。另外，檢測范圍受已知知識的局限，尤其是難以檢測出內部人員的入侵行為，如合法用戶的泄漏，因為這類入侵行為并沒有利用系統脆弱性。誤用檢測主要有以下主要方法:1、模式匹配模式匹配是最為通用的誤用檢測技術，其特點是原理簡單、擴展基于移動agent技術的ids研究性好、檢測效率高、

33、能做到實時的檢測，其缺點是只能適用于比較簡單的攻擊方式，且誤報率高。但由于采用誤用檢測技術的ids在系統的實現、配置和維護方面都非常方便，因此得到了廣泛的應用，如著名的開放源碼的snort就采用了這種檢測手段。2、專家系統專家系統是最早的誤用檢測方法之一，被許多經典的檢測模型所采用，如ides, nides, dids和cmds等。它首先使用類似于if-then的規則格式輸入已有的知識，然后輸入檢測數據，系統根據知識庫中的內容對檢測數據進行評估，判斷是否存在入侵行為模式。專家系統的優點在于把系統的推理控制過程和問題最終解答相分離，即用戶不需要理解或千預專家系統內部的推理過程，而只須把專家系統看

34、作一個自治的黑盒子。但是，這里黑盒子的生成是一件困難的事情，用戶必須把決策引擎和檢測規則以硬編碼的方式嵌入系統。使用基于規則語言的專家系統具有局限性:處理海量數據時效率低、缺乏處理序列數據的能力、無法處理判斷的不確定性、維護規則庫很困難等。狀態轉移將入侵過程看作一個狀態變遷序列，導致系統從初始的安全狀態轉變到被危害狀態。狀態變遷圖或入侵活動的圖形表示，用來準確地識別發生下一事件的條件，圖中只包括為成功實現入侵所必須發生的關鍵事件。根據系統審計記錄中包含的信息，可研制分析工具，對用戶活動的狀態變化和己知入侵的狀態變遷圖加以比較。由于系統的靈活性和處理速度的優勢，狀態轉移法已經成為當今最具競爭力的

35、入侵檢測模式之一。目前，實現基于狀態轉移的入侵檢測可以使用以下兩種方法:狀態轉移分析、著色petri網。狀態轉移分析是通過檢測攻擊行為所引起的系統狀態的變化來發現入侵的，而著色petri網則是通過對攻擊行為本身的特征進行模式匹配來檢測入侵的。 狀態轉移分析(state transition analysis)基于移動agent技術的ids研究狀態轉移分析是使用狀態轉移圖來表示和檢測己知攻擊模式的誤用檢測技術。netstatit4i系統采用了這種技術。狀態轉移分析使用有限狀態機模型來表示入侵過程。入侵過程是由一系列導致系統從初始狀態轉移到入侵狀態的行為組成。初始狀態表示在入侵發生之前的系統狀態，

36、入侵狀態則表示入侵完成后系統所處的狀態。系統狀態通常使用系統屬性或用戶權限來描述。用戶的行為和動作會導致系統狀態的改變，當系統狀態由正常狀態改變為入侵狀態時，即認為發生了入侵。 著色petri網另一種采用狀態轉移技術來優化誤用檢測的方法是由purdue university的sandeep kumar和gene spafford設計的著色petri網(c p-net)。這種方法將入侵表示成一個著色的petri網，特征匹配過程由標記(to ken)的動作構成。標記在審計記錄的驅動下，從初始狀態向最終狀態(標識入侵發生的狀態)逐步前進。處于各個狀態時，標記的顏色用來表示事件所處的系統環境。當標記出

37、現某種特定的顏色時，預示著目前的系統環境滿足了特征匹配的條件，此時就可以采取相應的響應動作。4、協議分析傳統的模式匹配方法的根本問題在于它把網絡數據包看作是無序的隨意的字節流。它對該網絡數據包的內部結構完全不了解，對于網絡中傳輸的圖像或音頻流同樣進行匹配。可是網絡通信協議是一個高度格式化的、具有明確含義和取值的數據流，如果將協議分析和模式匹配方法結合起來，可以獲得更好的效率、更精確的結果。協議分析方法的優點是計算量少、誤報率低、利用資源少；缺點是開發周期長、實現復雜、如果rfcs不太明確，允許開發商判斷、分析和實現，則不同開發商的不同產品可能在結構上有所不同，從而會導致比較高的誤報率。第四章

38、入侵檢測技術的發展 隨著計算機網絡的飛速發展，網絡安全風險系數不斷提高，曾經作為最主要安全防范手段的防火墻，已經不能滿足人們對網絡安全的需求。作為對防火墻有益的補充，ids（入侵檢測系統）能夠幫助網絡系統快速發現網絡攻擊的發生，擴展了系統管理員的安全管理能力（包括安全審計、監視、進攻識別和響應），提高了信息安全基礎結構的完整性。ids被認為是防火墻之后的第二道安全閘門，它能在不影響網絡性能的情況下對網絡進行監聽，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。 ids作為網絡安全架構中的重要一環，其重要地位有目共睹。隨著技術的不斷完善和更新，ids正呈現出新的發展態勢，ips（入侵防御系統）和

39、ims（入侵管理系統）就是在ids的基礎上發展起來的新技術。4.1網絡入侵檢測技術的發展過程 網絡入侵檢測技術發展到現在大致經歷了三個階段： 第一階段：入侵檢測系統（ids），ids能夠幫助網絡系統快速發現網絡攻擊的發生，擴展了系統管理員的安全管理能力（包括安全審計、監視、進攻識別和響應），提高了信息安全基礎結構的完整性。它能在不影響網絡性能的情況下對網絡進行監聽，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。但是ids只能被動地檢測攻擊，而不能主動地把變化莫測的威脅阻止在網絡之外。 第二階段：入侵防御系統（ips），相對與ids比較成熟的技術，ips還處于發展階段，ips綜合了防火墻、id

40、s、漏洞掃描與評估等安全技術，可以主動的、積極的防范、阻止系統入侵，它部署在網絡的進出口處，當它檢測到攻擊企圖后，它會自動地將攻擊包丟掉或采取措施將攻擊源阻斷，這樣攻擊包將無法到達目標，從而可以從根本上避免攻擊。 第三階段：入侵管理系統（ims），ims技術實際上包含了ids、ips的功能，并通過一個統一的平臺進行統一管理，從系統的層次來解決入侵行為。4.2 ips研究與分析 ips是針對ids的不足而提出的，因此從概念上就優于ids。ips相對與ids的進步具體體現在： （1）在ids阻斷功能的基礎上增加了必要的防御功能，以減輕檢測系統的壓力； （2）增加了更多的管理功能，如處理大量信息和可

41、疑事件，確認攻擊行為，組織防御措施等； （3）在ids監測的功能上增加了主動響應的功能，一旦發現有攻擊行為，立即響應，主動切斷連接； （4）ips以串聯的方式取代ids的并聯方式接入網絡中，通過直接嵌入到網絡流量中提供主動防護，預先對入侵活動和攻擊性網絡流量進行攔截。4.2.1 ips關鍵技術研究 ips通常由探測器和管理器組成。探測器包括流量分析器、檢測引擎、響應模塊、流量調整器等主要部件，如圖1所示：數據流輸入數據流輸出流量分析器響應模塊流量調整器檢測引擎異常檢測濫用檢測圖 4-1 探測器組成由于ips采用串連工作方式，流量分析器需要完成三個基本的功能： （1）截獲網絡數據包并處理異常情況

42、。異常數據包不一定是惡意攻擊，但通過合適的方式處理掉，就可以為檢測引擎省去一些不必要的處理工作。例如，流量分析器丟棄校驗和出錯的數據包，以后檢測引擎就不必要處理這樣的壞包。 （2）剔除基于數據包異常的規避攻擊。例如，分析器可以根據它對目標系統的了解，進行數據包的分片重組，還可以處理協議分析或校正異常等，從而識別規避攻擊。 （3）執行類似防火墻的訪問控制，根據端口號ip地址阻斷非法數據流。 檢測引擎是ips中最有價值的部分，一般都基于異常檢測模型和濫用檢測模型，識別不同屬性的攻擊。ips存在的最大隱患是有可能引發誤操作，這種“主動性”誤操作會阻塞合法的網絡事件，造成數據丟失，最終影響到商務操作和

43、客戶信任度。為避免發生這種情況，ips中采用了多種檢測方法，最大限度地正確判斷已知和未知攻擊。有些ips檢測引擎的模塊則已細化到針對緩沖區溢出、ddos/dos、網絡蠕蟲的檢測。 響應模塊需要根據不同的攻擊類型制定不同的響應策略，如丟棄數據包、中止會話、修改防火墻規則、報警、日志等。流量調整器主要完成兩個功能：數據包分類和流量管理。目前，大部分ips根據協議進行數據包分類，未來將提供具體到根據用戶或應用程序進行數據包分流的功能，通過對數據包設置不同的優先級，優化數據流的處理。當新的攻擊手段被發現之后，ips就會創建一個新的過濾器。ips數據包處理引擎是專業化定制的集成電路，可以深層檢查數據包的

44、內容。如果有攻擊者利用layer 2 （介質訪問控制層）至layer 7（應用層）的漏洞發起攻擊，ips能夠從數據流中檢查出這些攻擊并加以阻止。ips可以做到逐一字節地檢查數據包。所有流經ips的數據包都被分類，分類的依據是數據包中的報頭信息，如源ip地址和目的ip地址、端口號和應用域。每種過濾器負責分析相對應的數據包。通過檢查的數據包可以繼續前進，而包含惡意內容的數據包就會被丟棄，被懷疑的數據包需要接受進一步的檢查。針對不同的攻擊行為，ips需要不同的過濾器。每種過濾器都設有相應的過濾規則，為了確保準確性，這些規則的定義非常廣泛。在對傳輸內容進行分類時，過濾引擎還需要參照數據包的信息參數，并

45、將其解析至一個有意義的域中進行上下文分析，以提高過濾準確性。4.2.2 ips的優勢與局限性 ips是針對ids不能提供主動拒絕的特點而提出的一種新的安全技術，主要具有以下優點： （1）主動、實時預防攻擊。ips提供對攻擊的實時預防和分析，能夠在任何未授權活動開始前找出攻擊，并防止它進入重要的服務器資源。 （2）保護每個重要的服務器。通過配置ips，可以設定對服務器的專門保護方案，從而為企業的重要的資源提供深層防護。（3）誤報和漏報率低。雖然仍然無法做到完全不誤報漏報，但是相對于ids已經提高了一大步。 （4）深層防護。ips可進行深層防護。 （5）可管理性。ips可使安全設置和政策被各種應用

46、程序、用戶組和代理程序利用。雖然ips相對與ids的優勢明顯，但是它與ids一樣，需要解決網絡性能、安全精確度和安全效率問題。首先，ips系統需要考慮性能，即需要考慮發現入侵和作出響應的時間。ips設備以在線方式直接部署在網絡中，無疑會給網絡增加負荷，給數據傳輸帶來延時。為避免成為瓶頸，ips系統必須具有線速處理數據的能力，能夠提供與2層或者3層交換機相同的速度，而這一點取決于ips的軟件和硬件加速裝置。除了網絡性能之外，ips還需要考慮安全性，盡可能多得過濾掉惡意攻擊，這就使ips同樣面臨誤報和漏報問題。在提高準確性方面，ips面臨的壓力更大。一旦ips做出錯誤判斷，ips就會放過真正的攻擊

47、而阻斷合法的事務處理，從而造成損失。另外ips還存在一些其它的弊端：ips比較適合于阻止大范圍的、針對性不是很強的攻擊，但對單獨目標的攻擊阻截有可能失效，自動預防系統也無法阻止專門的惡意攻擊者的操作；ips還不具備足夠智能識別所有對數據庫應用的攻擊。4.3網絡安全的發展方向ims ims技術實際上包含了ids、ips的功能，并通過一個統一的平臺進行統一管理，從系統的層次來解決入侵行為。ims技術是一個過程，在行為未發生前要考慮網絡中有什么漏洞，判斷有可能會形成什么攻擊行為和面臨的入侵危險；在行為發生時或即將發生時，不僅要檢測出入侵行為，還要主動阻斷，終止入侵行為；在入侵行為發生后，還要深層次分

48、析入侵行為，通過關聯分析，來判斷是否還會出現下一個攻擊行為。ims具有大規模部署、入侵預警、精確定位以及監管結合四大典型特，這些特征本身具有一個明確的層次關系。首先，大規模部署是實施入侵管理的基礎條件，一個有組織的完整系統通過規模部署的作用，要遠遠大于單點系統簡單的疊加，ims對于網絡安全監控有著同樣的效用，可以實現從宏觀的安全趨勢分析到微觀的事件控制。第二、入侵預警。檢測和預警的最終目標就是一個“快”，要和攻擊者比時間。只有減小這個時間差，才能使損失降低到最小。要實現這個“快”字，入侵預警必須具有全面的檢測途徑，并以先進的檢測技術來實現高準確和高性能。入侵預警是ims進行規模部署后的直接作用，也是升華ims的一個非常重要的功能。第三、精確定位。入侵預警之后就需要進行精確定位，這是從發現問題到解決問題的必然途徑。精確定位的可視化可以幫助管理人員及時定位問題區域，良好的定位還可以通過聯運接口和其它安全設備進行合作抑制攻擊的繼續。ims要求做到對外定位到邊界，對內定位到設備。第四、監管結合