第8章入侵檢測系統教學提示：入侵檢測技術是實現安全監視的技術，是防火墻的合理補充，幫助系統對付網絡攻擊，擴展了系統管理員的安全管理能力。完善的入侵檢測系統包含了非常復雜的技術，本章的教學不是討論入侵檢測的細節內容，也不深入講解過于深奧的理論，而是強調學生概括掌握入侵檢測技術的基本概念、原理、功能和發展動態，以使學生在將來的工作中知道入侵檢測系統在構建完整的網絡安全基礎結構方面的重要意義，以對設備的選型有充分的理論依據。教學目標：本章的重點是掌握入侵檢測的概念、功能、工作原理、分類方法和主要類型，以及入侵檢測技術的發展方向。

8.1入侵檢測系統概述多數用戶在設計網絡安全防護系統時，往往只考慮到已知的安全威脅與有限范圍內的未知安全威脅。防護技術只能做到盡量阻止攻擊企圖的得逞或者延緩這個過程，而不能阻止各種攻擊事件的發生。同時在安全系統的實現過程中，還有可能留下或多或少的漏洞，這些都需要在運行過程中通過檢測手段的引入來加以彌補。如果與真實世界相比，防火墻等技術就像是一個大樓的安防系統，雖然它可能很先進也很完備，但是仍然需要與監視系統結合起來使用，仍然需要不斷地檢查大樓(包括安防系統本身)。

8.1.1入侵檢測定義入侵檢測系統(IDS，IntrusionDetectionSystem)是防火墻的合理補充，幫助系統對付網絡攻擊，擴展了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應)，提高了信息安全基礎結構的完整性。它從計算機網絡系統中的若干關鍵點收集信息，并分析這些信息，在發現入侵后，及時作出響應，包括切斷網絡連接、記錄事件和報警等。入侵檢測被認為是防火墻之后的第二道安全閘門，在不影響網絡性能的情況下能對網絡進行監測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。8.1.2入侵檢測系統的主要功能

1．可用性為了保證系統安全策略的實施而引入的入侵檢測系統必須不能妨礙系統的正常運行，保障系統性能。

2．時效性必須及時地發現各種入侵行為，理想情況是在事前發現攻擊企圖，比較現實的情況則是在攻擊行為發生的過程中檢測到。如果是事后才發現攻擊的結果，必須保證時效性，因為一個已經被攻擊過的系統往往就意味著后門的引入以及后續的攻擊行為。3．安全性 入侵檢測系統自身必須安全，如果入侵檢測系統自身的安全性得不到保障，首先意味著信息的無效，而更嚴重的是入侵者控制了入侵檢測系統即獲得了對系統的控制權，因為一般情況下入侵檢測系統都是以特權狀態運行的。4．可擴展性 可擴展性有兩方面的意義。首先是機制與數據的分離，在現在機制不變的前提下能夠對新的攻擊進行檢測，例如，使用特征碼表示攻擊特性。第二是體系結構的可擴展性，在有必要的時候可以在不對系統的整體結構進行修改的前提下加強檢測手段，以保證能夠檢測到新的攻擊，如AAFID系統的代理機制。8.2入侵檢測系統的組成為了提高IDS產品、組件及與其他安全產品之間的互操作性，美國國防高級研究計劃署(DARPA)和互聯網工程任務組(IETF)的入侵檢測工作組(IDWG)發起制定了一系列建議草案，從體系結構、API、通信機制、語言格式等方面規范IDS的標準。DARPA提出的建議是公共入侵檢測框架(CIDF)，最早由加州大學戴維斯分校安全室主持起草工作。CIDF提出了一個通用模型，將入侵檢測系統分為4個基本組件：事件產生器、事件分析器、響應單元和事件數據庫，其結構如圖所示。

圖8.1CIDF的模型8.2.1事件產生器CIDF將IDS需要分析的數據統稱為事件，事件既可以是網絡中的數據包，也可以是從系統日志或其他途徑得到的信息。事件產生器(EventGenerators)的任務是從入侵檢測系統之外的計算環境中收集事件，并將這些事件轉換成CIDF的(統一入侵檢測對象GIDO)格式傳送給其他組件。例如，事件產生器可以是讀取C2級審計跟蹤并將其轉換為GIDO格式的過濾器，也可以是被動地監視網絡并根據網絡數據流產生事件的另一種過濾器，還可以是SQL數據庫中產生描述事務的事件的應用代碼。8.2.2事件分析器事件分析器(EventAnalyzers)分析從其他組件收到的GIDO，并將產生的新GIDO再傳送給其他組件。分析器可以是一個輪廓(profile)描述工具，統計性地檢測現在的事件是否可能與以前某個時間來自同一個時間序列；也可以是一個特征檢測工具，用于在一個事件序列中檢測是否有已知的誤用攻擊特性；此外，事件分析器還可以是一個相關器，觀察事件之間的關系，將有聯系的事件放在一起，以利于以后的進一步分析。8.2.3事件數據庫 事件數據庫(EventDatabases)用來存儲GIDO，以備系統需要的時候使用。8.2.4事件響應單元事件響應單元(ResponseUnits)處理收到的GIDO，并據此采取相應的措施，如相關進程、將連接復位、修改文件權限等。在這個模型中，事件產生器、事件分析器和響應單元通常以應用程序的形式出現，而事件數據庫則往往是文件或數據流的方式，很多IDS廠商都以數據收集部分、數據分析部分和控制臺部分3個術語分別代表事件產生器、事件分析器、響應單元。以上4個組件只是邏輯實體，一個組件可能是某臺計算機上的一個進程甚至線程，也可能是多臺計算機上的多個進程，它們以GIDO格式進行數據轉換。GIDO是對事件進行編碼的標準通用格式(由CIDF描述語言CISL定義)，GIDO數據流在圖中已標出，它可以是發生在系統中的審計事件，也可以是對審計事件的結果分析。8.3入侵檢測系統的分類對入侵檢測技術的分類方法很多，根據著眼點的不同，主要有4種分類方法。(1)按數據來源和系統結構分類，入侵檢測系統分為3類：基于主機的入侵檢測系統、基于網絡的入侵檢測系統和分布式入侵檢測系統(混合型)。(2)根據數據分析方法(也就是檢測方法)的不同，可以將入侵檢測系統分為2類：異常檢測和誤用檢測。(3)按數據分析發生的時間不同，入侵檢測系統可以分為2類：離線檢測系統和在線檢測系統。(4)按照系統各個模塊運行的分布方式不同，可以分為2類：集中式檢測系統；和分布式檢測系統。

8.3.1按數據來源和系統結構分類

1．基于主機的入侵檢測系統基于主機的入侵檢測系統的輸入數據來源于系統的審計日志，即在每個要保護的主機上運行一個代理程序，一般只能檢測該主機上發生的入侵。基于主機的入侵檢測系統一般在重要的系統服務器、工作站或用戶機器上運行，監視操作系統或系統事件的可疑活動，尋找潛在的可疑活動(如嘗試登錄失敗)。此類系統需要定義清楚哪些是不合法的活動，然后把這種安全策略轉換成入侵檢測規則。

主機入侵檢測系統的優點主機入侵檢測系統對分析“可能的攻擊行為”非常有用。舉例來說，有時候它除了指出入侵者試圖執行一些“危險的命令”之外，還能分辨出入侵者干了什么事、他們運行了什么程序、打開了哪些文件、執行了哪些系統調用。主機入侵檢測系統與網絡入侵檢測系統相比通常能夠提供更詳盡的相關信息。主機入侵檢測系統通常情況下比網絡入侵檢測系統誤報率要低，因為檢測在主機上運行的命令序列比檢測網絡流更簡單，系統的復雜性也少得多。主機入侵檢測系統可部署在那些不需要廣泛的入侵檢測、傳感器與控制臺之間的通信帶寬不足的情況下。主機入侵檢測系統在不使用諸如“停止服務”、“注銷用戶”等響應方法時風險較少。2)主機入侵檢測系統的弱點主機入侵檢測系統安裝在我們需要保護的設備上。舉例來說，當一個數據庫服務器要保護時，就要在服務器本身上安裝入侵檢測系統。這會降低應用系統的效率。此外，它也會帶來一些額外的安全問題，安裝了主機入侵檢測系統后，將本不允許安全管理員有權力訪問的服務器變成他可以訪問的。主機入侵檢測系統的另一個問題是它依賴于服務器固有的日志與監視能力。如果服務器沒有配置日志功能，則必須重新配置，這將會給運行中的業務系統帶來不可預見的性能影響。全面部署主機入侵檢測系統代價較大，企業中很難將所有主機用主機入侵檢測系統保護，只能選擇部分主機保護。那些未安裝主機入侵檢測系統的機器將成為保護的盲點，入侵者可利用這些機器達到攻擊目標。主機入侵檢測系統除了監測自身的主機以外，根本不監測網絡上的情況。對入侵行為的分析工作量將隨著主機數目增加而增加。2．基于網絡的入侵檢測系統基于網絡的入侵檢測系統的輸入數據來源于網絡的信息流，該類系統一般被動地在網絡上監聽整個網絡上的信息流，通過捕獲網絡數據包，進行分析，檢測該網段上發生的網絡入侵，如圖8.2所示。圖8.2基于網絡的入侵檢測過程網絡入侵檢測系統的優點網絡入侵檢測系統能夠檢測那些來自網絡的攻擊，它能夠檢測到超過授權的非法訪問。網絡入侵檢測系統不需要改變服務器等主機的配置。由于它不會在業務系統的主機中安裝額外的軟件，從而不會影響這些機器的CPU、I/O與磁盤等資源的使用，不會影響業務系統的性能。由于網絡入侵檢測系統不像路由器、防火墻等關鍵設備那樣工作，因此它不會成為系統中的關鍵路徑。由于網絡入侵檢測系統發生故障不會影響正常業務的運行，因此部署一個網絡入侵檢測系統的風險比主機入侵檢測系統的風險少得多。網絡入侵檢測系統近年內有向專門的設備發展的趨勢，安裝這樣的一個網絡入侵檢測系統非常方便，只需將定制的設備接上電源，做很少一些配置，將其連到網絡上即可。

網絡入侵檢測系統的弱點網絡入侵檢測系統只檢查它直接連接網段的通信，不能檢測在不同網段的網絡包。在使用交換以太網的環境中就會出現監測范圍的局限，而安裝多臺網絡入侵檢測系統的傳感器會使部署整個系統的成本大大增加。網絡入侵檢測系統為了提高性能通常采用特征檢測的方法，它可以檢測出普通的一些攻擊，而很難檢測一些復雜的需要大量計算與分析時間的攻擊。網絡入侵檢測系統可能會將大量的數據傳回分析系統中。在一些系統中監聽特定的數據包會產生大量的分析數據流量。一些系統在實現時采用一定的方法來減少回傳的數據量，對入侵判斷的決策由傳感器實現，而中央控制臺成為狀態顯示與通信中心，不再作為入侵行為分析器。這樣的系統中的傳感器協同工作能力較弱。網絡入侵檢測系統處理加密的會話過程較困難，目前通過加密通道的攻擊尚不多，但隨著IPv6的普及，這個問題會越來越突出。3．分布式入侵檢測系統(混合型)分布式入侵檢測系統一般由多個部件組成，分布在網絡的各個部分，完成相應的功能，分別進行數據采集、數據分析等。通過中心的控制部件進行數據匯總、分析、產生入侵報警等。在這種結構下，不僅可以檢測到針對單獨主機的入侵，同時也可以檢測到針對整個網絡上的主機入侵。

8.3.2按工作原理分類1．異常檢測模型(AbnormalyDetectionModel)這種模型的特點是首先總結正常操作應該具有的特征，建立系統正常行為的軌跡，理論上可以把所有與正常軌跡不同的系統狀態視為可疑企圖。對于異常閾值與特征的選擇是異常發現技術的關鍵，例如，特定用戶的操作習慣與某種操作的頻率等；在得出正常操作模型之后，對后續的操作進行監視，一旦發現偏離正常統計學意義上的操作模式，即進行報警。可以看出，按照這種模型建立的系統需要具有一定的人工智能，由于人工智能領域本身的發展緩慢，基于異常檢測模型建立的入侵檢測系統的工作進展也不是很好。異常檢測技術的局限并非使所有的入侵都表現為異常，而且系統的軌跡難于計算和更新。2．誤用檢測模型(MisuseDetectionModel)誤用檢測又稱特征檢測，這種模型的特征是收集非正常操作(也就是入侵行為的特征)建立相關的特征庫；在后續的檢測過程中，將收集到的數據與特征庫中的特征代碼進行比較，得出是否是入侵的結論。可以看出，這種模型與主流的病毒檢測方法基本一致，當前流行的入侵檢測系統基本上采用這種模型。特征檢測的優點是誤報少，比較準確，局限是只能發現已知的攻擊，對未知的攻擊無能為力。8.4入侵檢測系統的工作原理入侵分析的任務就是在提取到的龐大數據中找到入侵的痕跡。入侵分析過程需要將提取到的事件與入侵檢測規則等進行比較，從而發現入侵行為。一方面入侵檢測系統需要盡可能多地提取數據以獲得足夠的入侵證據，而另一方面由于入侵行為的千變萬化而導致判定入侵的規則等越來越復雜。為了保證入侵檢測的效率和滿足實時性的要求，入侵分析必須在系統的性能和檢測能力之間進行權衡，合理地設計分析策略，并且可能要犧牲一部分檢測能力來保證系統可靠、穩定地運行，并具有較快的響應速度。入侵檢測分析技術主要分為兩類：異常檢測和誤用檢測。

8.4.1入侵檢測系統的檢測流程入侵檢測系統的檢測流程依次包括3個步驟：數據提取、數據分析和結果處理。數據提取模塊的作用在于為系統提供數據，數據的來源可以是主機上的日志信息、變動信息，也可以是網絡上的數據信息，甚至是流量變化等，這些都可以作為數據源。數據提取模塊在獲得數據之后，需要對數據進行簡單的處理，如簡單的過濾，數據格式的標準化等，然后將經過處理后的數據提交給數據分析模塊。數據分析模塊的作用在于對數據進行深入的分析，發現攻擊并根據分析的結果產生事件，傳遞給結果處理模塊。數據分析的方法很多種，可以簡單到對某種行為的計數，也可以是一個復雜的專家系統，該模塊是入侵檢測系統的核心。結果處理模塊的作用在于告警與反應，也就是發現攻擊企圖或者攻擊之后，需要系統及時地進行反應，包括報告、記錄、反應和恢復。8.4.2基于異常的入侵檢測方法基于異常的入侵檢測方法主要來源于這樣的思想：任何人的正常行為都有一定的規律，并且可以通過分析這些行為產生的日志信息(假定日志信息足夠安全)總結出這些規律，而入侵和濫用行為則通常和正常的行為存在嚴重的差異，通過檢查出這些差異就可以檢測出這些入侵。這樣就可以檢測出非法的入侵行為甚至是通過未知方法進行的入侵行為。此外不屬于入侵的異常用戶行為(濫用自己的權限)也能被檢測到。8.4.3基于誤用的入侵檢測方法基于誤用的入侵檢測技術的含義是：通過某種方式預先定義入侵行為，然后監視系統的運行，并中找出符合預先定義規則的入侵行為。基于誤用的入侵檢測技術也叫作基于特征的入侵檢測技術。

8.5入侵檢測系統的抗攻擊技術8.5.1入侵響應入侵響應(IntrusionResponse)就是當檢測到入侵或攻擊時，采取適當的措施阻止入侵和攻擊的進行。8.5.2入侵跟蹤技術要跟蹤入侵者，也就是知道入侵者所在的地址和其他信息。(1)媒體訪問控制地址(MAC)：由生產廠家設定的硬件地址。(2)IP地址：互聯網地址，如52。(3)域名：IP地址的名字化形式，如。(4)應用程序地址：代表特定應用服務程序，如電子郵件、網頁瀏覽。8.5.3蜜罐技術蜜罐(Honeypot)

是專門為吸引并“誘騙”那些試圖非法闖入他人計算機系統的人而設計的。8.6入侵檢測技術的發展方向入侵檢測從最初實驗室里的研究課題到目前的商業IDS產品，已經有20多年的發展歷史，隨著入侵檢測系統的研究和應用的不斷深入，近年對入侵檢測技術有以下幾個主要的發展方向。

8.6.1體系結構的新發展分布式入侵檢測一般由多個部件組成，分布在網絡的各個部分，完成相應的功能，如進行數據采集、分析等。通過中心的控制部件進行數據匯總、分析、產生入侵報警等。有的系統的中心控制部件可以監督和控制其他部件的活動，修改其配制等。

8.6.2應用層入侵檢測許多入侵的語義只有在應用層才能被理解，而目前的IDS僅能檢測諸如Web之類的通用協議，而不能處理諸如LotusNotes、數據庫系統等其他應用系統。許多基于客戶、服務器結構與中間件技術及對象技術的大型應用，需要應用層的入侵檢測保護。8.6.3基于智能代理技術的分布式入侵檢測系統

近些年來，智能代理技術越來越成熟，目前也提出了不少基于智能代理技術的分布式入侵檢測系統，如基于自治代理(AutonomousAgents)技術的AAFID(AutonomousAgentsForIntrusionDetesion)，還有基于移動代理的分布式入侵檢測系統等。下面主要介紹基于自治代理技術的AAFID。8.6.4自適應入侵檢測系統由于入侵方法和入侵特征的不斷變化，入侵檢測系統必須不斷自學習，以便更新檢測模型。為了適應這種需要，提出了一種具有自適應模型生成特性的入侵檢測系統。該系統的體系結構中包含3個組件：代理、探測器(Detector)及自適應模型生成器(AdaptiveModelGenerator，AMG)。代理向探測器提供收集到的各種數據，而探測器則用來分析和響應已經發生的入侵。代理同時還向自適應模型生成器(AMG)發送數據，供其學習新的檢測模型。

8.7入侵檢測工具與產品介紹8.7.1SessionWall-3/eTrustIntrusionDetection8.7.2RealSecure

8.7.3SkyBell8.7.4免費的IDS-Snort

8.8本章實訓入侵檢測軟件Sessio