入侵檢測的基本原理和結構入侵檢測的分類入侵檢測的技術指標入侵檢測的標準化和發展方向入侵檢測系統的實例第11章入侵檢測技術入侵檢測技術入侵檢測技術是主動保護自己免受攻擊的一種網絡安全技術。入侵檢測系統（Intrusion-detectionsystem，IDS）就是采用入侵檢測技術的系統。目前主要的網絡安全技術有IDS、防火墻、掃描器、VPN和防病毒技術。四種網絡安全技術的對比優點局限性IDS實時監控網絡安全狀況誤報警，緩慢攻擊，新的攻擊模式防火墻可簡化網絡管理，產品成熟無法處理網絡內部的攻擊Scanner簡單可操作，幫助系統管理員和安全服務人員解決實際問題并不能真正掃描漏洞VPN保護公網上的內部通信可視為防火墻上的一個漏洞防病毒針對文件與郵件，產品成熟功能單一入侵檢測系統概述入侵檢測系統的定義是入侵檢測系統是一種對網絡傳輸進行實時監視，在發現可疑傳輸時發出警報或者采取主動反應措施的網絡安全設備。它與其他網絡安全設備的不同之處便在于，IDS是一種積極主動的安全防護技術。1980年4月，JamesP.Anderson:《ComputerSecurityThreatMonitoringandSurveillance》（計算機安全威脅監控與監視）的技術報告，第一次詳細闡述了入侵檢測的概念。從1984年到1986年，喬治敦大學的DorothyDenning和SRI/CSL的PeterNeumann研究出了一個實時入侵檢測系統模型（IntrusionDetectionExpertSystem，IDES）。1990，加州大學戴維斯分校的L.T.Heberlein等人開發出了網絡安全監測器（NetworkSecurityMonitor，NSM）。入侵檢測系統概述審計數據源策略規則模式匹配器輪廓特征引擎異常檢測器警告/報告產生器IDES結構框架入侵檢測系統術語ALERT（警報）當一個入侵正在發生或者試圖發生時，IDS系統將發布一個alert信息通知系統管理員。Anomaly（異常）一個基于anomaly（異常）的IDS會構造一個當時活動的主機或網絡的大致輪廓，當有一個在這個輪廓以外的事件發生時，IDS就會告警。自動響應

指可以通過重新配置路由器和防火墻，拒絕那些來自同一地址的信息流；并通過在網絡上發送reset包切斷連接。

Signature（特征）

IDS的核心是攻擊特征，它使IDS在事件發生時觸發。

Promiscuous（混雜模式）如果網絡接口是混雜模式，就可以看到網段中所有的網絡通信量，不管其來源或目的地。

入侵檢測系統體系結構交換機交換機防火墻防火墻路由器Internet基于網絡的IDS基于主機的IDS內網基于網絡的IDSWWW服務器FTP服務器郵件服務器入侵檢測系統原理示意圖外部網絡DMZ區域內部網絡入侵檢測系統體系結構入侵檢測系統包括三個功能部件：（1）信息收集入侵檢測的第一步是信息收集，收集內容包括系統、網絡、數據及用戶活動的狀態和行為。信息收集的來源：網絡流量日志，系統或網絡的日志文件，網絡流量、系統目錄和文件的異常變化，程序執行中的異常行為等。（2）信息分析信息分析往往用于事后分析，包括：模式匹配、統計分析、完整性分析等。（3）結果處理結果處理的作用在于報警和響應，報警就是通知管理員，產生一個正式的警報，而響應就是對警報的安全事件的處理。入侵檢測的基本原理和結構入侵檢測的分類入侵檢測的技術指標入侵檢測的標準化和發展方向入侵檢測系統的實例目錄入侵檢測系統分類從技術上，入侵檢測分為兩類基于標志（signature-based）又叫做基于規則（rule-based）基于規則的檢測技術的核心是維護一個知識庫，對于已知的攻擊，它可以詳細、準確的報告出攻擊類型，但是對未知攻擊卻效果有限，而且知識庫必須不斷更新。基于異常情況（anomaly-based）基于異常的檢測技術則無法準確判別出攻擊的手法，但它可以（至少在理論上可以）判別更廣泛、甚至未發覺的攻擊。在兩種檢測技術的基礎上形成了兩種不同形式的檢測模型：入侵檢測可以分為異常檢測模型（AnomalyDetection)和誤用檢測模型（MisuseDetection)。入侵檢測系統分類從技術上，入侵檢測分為兩類異常檢測模型檢測與可接受行為之間的偏差。其效率取決于用戶輪廓的完備性和監控的頻率。異常入侵檢測方法：統計異常檢測、基于特征選擇異常檢測、基于貝葉斯推理異常檢測、基于貝葉斯網絡異常檢測、基于模式預測異常檢測、基于神經網絡異常檢測、基于貝葉斯聚類異常檢測、基于機器學習異常檢測、基于數據挖掘異常檢測、基于誤用的入侵檢測。監控量化比較判定修正異常檢測過程入侵檢測系統分類從技術上，入侵檢測分為兩類誤用檢測模型前提是所有的入侵行為都有可被檢測到的特征。主要思想是通過某種方式預先定義入侵行為，然后監視系統，從中找出符合預先定義規則的入侵行為。誤用入侵檢測方法主要有：基于條件概率誤用檢測、基于專家系統誤用檢測、基于狀態遷移誤用檢測、基于鍵盤監控誤用檢測、基于模型誤用檢測、基于誤用的入侵檢測。特點是錯報的概率比較低，但是漏報的概率比較高。誤用檢測過程監控特征提取匹配判定入侵檢測系統分類按照數據來源分類基于主機的入侵檢測系統基于主機的入侵檢測監視與分析主機的審計記錄，由于內部人員的威脅正變得更重要，基于主機入侵檢測主要發現特權濫用、關鍵數據的訪問及修改、安全配置的變化等威脅。該系統有兩種工作方式：集中式和分布式，集中式功能主要有：警報、監視、毀壞情況評估、遵從性分析等。存在問題:能否及時采集到審計記錄？如何保護作為攻擊目標主機審計子系統？入侵檢測系統分類按照數據來源分類基于網絡的入侵檢測系統基于網絡的入侵檢測系統在共享網段上對通信數據進行偵聽采集數據，主機資源消耗少，提供對網絡通用的保護。基于網絡的入侵檢測系統由遍及網絡的傳感器（Sensor)組成，傳感器向中央控制臺報告數據。存在問題：如何適應高速網絡環境？非共享網絡上如何采集數據？配置/管理網絡安全數據庫入侵分析引擎器傳感器傳感器分析結果入侵檢測的基本原理和結構入侵檢測的分類入侵檢測的技術指標入侵檢測的標準化和發展方向入侵檢測系統的實例目錄入侵檢測系統的技術指標誤報所謂入侵檢測系統誤報是指系統中的檢測算法將正常的網絡數據當成了攻擊。產生誤報的若干原因在基于規則的入侵檢測系統中，管理員對規則的定義不夠嚴禁可能導致產生誤報入侵檢測系統中采用異常檢測模型，則產生誤報的可能性將大大增加。在誤用檢測模型中，外部攻擊者只需要構建基于入侵規則的數據報文，就可以形成對入侵檢測系統的攻擊，產生大量的誤報信息。降低誤報的技術手段將傳統的基于特征的技術和協議分析技術相結合將基于異常的技術和傳統的基于特征的技術相結合強化IDS的安全管理功能入侵檢測系統的技術指標漏報與入侵檢測誤報相比，漏報導致的損失更加嚴重。漏報產生的原因基于誤用檢測模型的入侵檢測系統，由于規則不全或者規則庫的更新不及時基于異常檢測模型的入侵檢測系統由于不能正確界定異常和正常的現象減少漏報的措施及時更新規則庫，保證規則庫保持為最新狀態根據內部網絡的特點和相關管理維護經驗，定制適合內部網絡的相關規則正確定義異常檢測模型中的正常和異常情況，采用人工干預等方法和手段，提高異常檢測模型的識別能力入侵檢測系統的技術指標管理能力需要控制臺和日志分析程序來管理和分析多個網絡引擎及它們產生的警報；網絡設備產品提供商，為用戶提供遠程管理功能；存在問題：用戶只能被動地得到信息，而不能主動控制遠程的網絡引擎

。健壯性程序本身在各種網絡環境下都能正常工作；程序各個模塊之間的通信能夠不被破壞，不可仿冒。入侵檢測的基本原理和結構入侵檢測的分類入侵檢測的技術指標入侵檢測的標準化和發展方向入侵檢測系統的實例目錄標準化和發展方向 目前，對IDS進行標準化的工作有兩個組織：IETF的入侵檢測工作組(IDWG，/html.charters/OLD/idwg-charter.html)和通用入侵檢測框架(CIDF，/cidf/)。 從進展狀況來看，目前IDWG基本形成了4個RFC文檔，其中有3個文檔實在2007年3月從草案正式被接受為RFC文檔的，歷時數年之久，相當不容易；但是CIDF的進展就不盡如人意了，目前該項目組的工作基本處于停滯狀態，其思想和理念也沒有得到很好的貫徹和執行。標準化和發展方向入侵檢測工作組IDWG的主要工作是定義相關的數據格式和共享信息的交換過程，用于入侵檢測與響應（IntrusionDetectionandResponse，IDR）系統之間或與需要交互的管理系統之間的信息共享。IDWG已經形成了四份RFC文檔，主要包括三部分內容：隧道輪廓（TunnelProfile，RFC3620）、入侵檢測消息交換格式（IDMEF，RFC4766，RFC4765）以及入侵檢測交換協議（IDXP，RFC4767）。標準化和發展方向通用入侵檢測框架

CIDF所做的工作主要包括四部分：IDS的體系結構、通信機制、描述語言和應用編程接口API。提出了一個通用模型CIDF將一個入侵檢測系統分為四個組件：事件產生器（Eventgenerators）、事件分析器（Eventanalyzers）、響應單元（Responseunits）、事件數據庫（Eventdatabases）。CIDF的總體目標是實現軟件的復用和IDR（入侵檢測與響應）組件之間的互操作性。事件產生器響應單元事件數據庫事件分析器

CIDF的體系結構原始事件響應事件標準化和發展方向入侵檢測系統的技術難點存在問題誤報和漏報的矛盾隱私和安全的矛盾被動分析與主動發現的矛盾海量信息與分析代價的矛盾功能性和可管理性的矛盾單一的產品與復雜的網絡應用的矛盾網絡規模擴大，網絡速度提高，其需滿足高速大規模網絡應用需求標準化和發展方向入侵檢測系統發展趨勢分析技術的改進入侵檢測分析方法主要有：統計分析、模式匹配、數據重組、協議分析、行為分析等。目前最好綜合使用多種檢測技術，而不只是依靠傳統的統計分析和模式匹配技術。另外，規則庫是否及時更新也和檢測的準確程度相關。內容回卷和網絡審計功能的引入內容恢復即在協議分析的基礎上，對網絡中發生的行為加以完整的重組和記錄，網絡中發生的任何行為都逃不過它的監視。網絡審計即對網絡中所有的連接事件進行記錄。集成網絡分析和管理功能入侵檢測產品集成網管功能、掃描器(Scanner)、嗅探器(Sniffer)等功能是以后發展的方向標準化和發展方向入侵檢測系統發展趨勢提高安全性和易用性對易用性的要求也日益增強；全中文的圖形界面、自動的數據庫維護、多樣的報表輸出，這些都是入侵產品以后繼續發展細化的趨勢。改進對高速網絡的處理方法對大數據量處理的要求，入侵檢測的性能要求也逐步提高，出現了千兆入侵檢測等產品。網絡數據分流也是一個很好的解決方案，性價比也較好，是國際上較通用的一種作法。入侵檢測的基本原理和結構入侵檢測的分類入侵檢測的技術指標入侵檢測的標準化和發展方向入侵檢測系統的實例目錄LIDSLIDS全稱Linux入侵檢測系統，是增強Linux核心的安全的補丁程序。它主要應用了一種安全參考模型和強制訪問控制（MandatoryAccessControl）模型。LIDS能夠保護重要的系統文件、重要的系統進程、并能阻止對系統配制信息的改變和對設備的讀寫操作。LIDSLIDS主要功能保護檢測響應LIDS的安裝安裝LIDS安裝lids管理工具LIDS的配置SNORTSnort是一個開放源碼的網絡入侵檢測系統，可以免費獲得（）。Snort有三種工作模式：嗅探器、數據包記錄器、網絡入侵檢測系統。嗅探器模式就是snort從網絡上讀出數據包然后顯示在用戶的控制臺上。SNORT規則Snort的規則存儲在文本文件中，并可以用文本編輯器修改。規則以類別分組，不同類別的規則存儲在不同的文件中。規則實例

alerttcpanyany->/24111(content:"|000186a5|";msg:"mountdaccess";)SNORTSnort安裝使用SNORT需要安裝的軟件工具包括：SNORT、MySQL、APACHE、PHP、BASE、OlinkMaster；Snort在Debian操作系統下的安裝。1.首先配置好source.list#deb/debianetchmaincontribnon-free#deb-src/debianetchmaincontribnon-free2.安裝需要添加的基本模塊#apt-getinstallapache-sslapache-commonlibapache-mod-php5mysql-servermysql-commonmysql-clientphp5-mysqllibnet1libnet1-devlibpcre3libpcre3-devautoconfautomake1.9libpcap0.8libpcap0.8-devlibmysqlclient15-devphp5-gdlibphp-adodbvimgccmakephp5-clilibtool

libssl-devgcc-4.1g++-4.1#apt-getinstallzlib1gzlib-binzlib1g-devflexbison(/usr/share/adodb不再安裝在/usr/share/adodb下，而是安裝在/usr/share/php/adodb)SNORTSnort安裝Snort在Debian操作系統下的安裝。

3.安裝snort和配置mysql#apt-getinstallsnort#vi/usr/share/doc/snort-mysql/README-database.Debian#mysql--user=rootmysql>CREATEDATABASEsnort_db;>UPDATEuserSETPassword=PASSWORD('amionszmz')WHEREuser='snort';>GRANTallprivilegesonsnort_db.*tosnort@localhost;>GRANTallprivilegesonsnort_db.*tosnort;>flushprivileges;>exit#cd/usr/share/doc/snort-mysql#zcat

create_mysql.gz|mysql-usnortsnort_dbSNORTSnort安裝Snort在Debian操作系統下的安裝。#cd/etc/snort/;mvdb-pending-configdb-pending-config.bak#vi/etc/snort/snort.conf

添加

outputdatabase:log,mysql,user=snortdbname=snort_db#/etc/init.d/snortstart4.安裝和配置BASE#tarxzvf/home/amions/base-1.3.6.tar.gz#mv/home/amions/base-1.3.6/var/www#chown

root.root/var/www/base-1.3.6-Rf#cd/var/www/base-1.3.6/sql#zcat

create_base_tbls_mysql.sql|mysql-usnortsnort_db#mv/var/www/base-1.3.6/var/www/base訪問http://ip/base設置base#mv./base_conf.php/var/www/base一個基于異常檢測實例異常檢測測度假設正常流量行為特征是s（t），異常流量特征是n（t），故實際測量到的流量行為特征是y（t）=s（t）＋n（t）。

假設1.異常流量行為n（t）是一種偶然行為，n（t）和s（t）具有明顯差異。根據假設1，n（t）可以通過統計數學工具分離并加以識別。假設1也可能會存在一些不適應的情況：

1）如果異常流量行為n（t）不是一種偶然行為，那么統計分析過程中，異常行為將會作為正常行為；

2）如果n（t）和s（t）沒有明顯差異，異常行為特征n（t）被正常行為s（t）所掩蓋，不能被檢測。一個基于異常檢測實例異常檢測測度圖示了CERNET網絡某日內受到的ICMP掃描攻擊的觀測結果，可以看出，ICMP請求報文和應答報文的比值基本穩定在10以下，但其中出現2次大規模ICMP掃描攻擊使得兩者之間比值劇增。一個基于異常檢測實例實時抽樣測量平均吞吐量表示為其中，Tn是前n個單位時間內平均抽樣吞吐量的累加和（T0=0），tn＋1是第n+1個單位時間內平均抽樣吞吐量，使用Tn＋1代替Tn是存儲信息，因此新的平均抽樣吞吐量為

對于n+1個數據值，樣本標準差對總體標準差的無偏估計定義為：

一個基于異常檢測實例實時抽樣測量

對于每個測度，系統只要維護三個值：樣本均值、樣本累加和、樣本平方累加和。

標準差能通過計算：設