第７章網絡入侵檢測技術7.1入侵檢測原理7.1.1入侵檢測的概念

1980年，JamesP.Anderson等人第一次提出了入侵檢測（IntrusionDetection）的概念，其定義為：對潛在的有預謀的未經授權的訪問信息、操作信息致使系統不可靠、不穩定或無法使用的企圖的檢測和監視；并將威脅分為外部滲透、內部滲透和不法行為三種，還提出了利用審計跟蹤數據監視入侵活動的思想。換句話說，入侵檢測是指在計算機網絡或計算機系統中的若干關鍵點收集信息并對收集到的信息進行分析，從而判斷網絡或系統中是否有違反安全策略的行為和被攻擊的跡象，它是對入侵行為的發覺。從該定義可以看出，入侵檢測對安全保護采取的是一種積極、主動的防御策略，而傳統的安全技術都是一些消極、被動的保護措施。入侵檢測技術與傳統的安全技術不同，它對進入系統的訪問者（包括入侵者）能進行實時的監視和檢測，一旦發現訪問者對系統進行非法的操作（這時訪問者成為了入侵者），就會向系統管理員發出警報或者自動截斷與入侵者的連接，這樣就會大大提高系統的安全性。所以對入侵檢測技術研究是非常有必要的，并且它也是一種全新理念的網絡（系統）防護技術。入侵檢測作為其他經典手段的補充和加強，是任何一個安全系統中不可或缺的最后一道防線。入侵檢測可以分為兩種方法：被動、非在線地發現和實時、在線地發現計算機網絡系統中的攻擊者。從大量非法入侵或計算機盜竊案例可以清晰地看到，計算機系統的最基本防線“存取控制”和“訪問控制”，在許多場合并不是防止外界非法入侵和防止內部用戶攻擊的絕對屏障。大量攻擊成功的案例是由于系統內部人員不恰當地或惡意地濫用特權而導致的。入侵檢測是對傳統安全產品的合理補充，幫助系統對付網絡攻擊，擴展了系統管理員的安全管理能力（包括安全審計、監視、進攻識別和響應），提高了信息安全基礎結構的完整性。它從計算機網絡系統中的若干關鍵點收集信息，并分析這些信息，看網絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測系統（IDS，IntrusionDetectionSystem）被認為是防火墻之后的第二道安全閘門，在不影響網絡性能的情況下能對網絡進行監測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。這些都通過它執行以下任務來實現：

（1）監視、分析用戶及系統活動；（2）系統構造和弱點的審計；（3）識別反映已知進攻的活動模式并向相關人士報警；（4）異常行為模式的統計分析；（5）評估重要系統和數據文件的完整性；（6）對操作系統的審計跟蹤管理，并識別用戶違反安全策略的行為。7.1.2入侵檢測模型最早的入侵檢測模型是由DorothyDenning于1987年提出的CIDF(CommonIntrusion[JP]DetectionFramework)，該模型雖然與具體系統和具體輸入無關，但是對此后的大部分實用系統都有很大的借鑒價值。圖7.1表示了該通用模型的體系結構。圖7.1通用入侵檢測系統（CIDF）模型1. 異常檢測原理異常檢測原理指的是根據非正常行為（系統或用戶）和使用計算機資源非正常情況檢測出入侵行為。異常檢測原理模型如圖7.2所示。從圖7.2可以看出，異常檢測原理根據假設攻擊與正常的（合法的）活動有很大的差異來識別攻擊。異常檢測首先收集一段時期正常操作活動的歷史記錄，再建立代表用戶、主機或網絡連接的正常行為輪廓，然后收集事件數據并使用一些不同的方法來決定所檢測到的事件活動是否偏離了正常行為模式。基于異常檢測原理的入侵檢測方法和技術有如下幾種：圖7.2異常檢測原理模型

2. 誤用檢測原理誤用檢測原理是指根據已經知道的入侵方式來檢測入侵。入侵者常常利用系統和應用軟件中的弱點或漏洞來攻擊系統，而這些弱點或漏洞可以編成一些模式，如果入侵者的攻擊方式恰好匹配上檢測系統模式庫中的某種模式，則入侵即被檢測到了。誤用檢測原理模型如圖7.3所示。圖7.3誤用檢測原理模型

于誤用檢測原理的入侵檢測方法和技術主要有如下幾種：

(1)基于條件概率的誤用檢測方法；

(2)基于專家系統的誤用檢測方法；

(3)基于狀態遷移分析的誤用檢測方法；

(4)基于鍵盤監控的誤用檢測方法；

(5)基于模型的誤用檢測方法。

7.1.3

IDS在網絡中的位置當實際使用檢測系統的時候，首先面臨的問題就是決定應該在系統的什么位置安裝檢測和分析入侵行為用的感應器Sensor或檢測引擎Engine。對于基于主機的IDS，一般來說，直接將檢測代理安裝在受監控的主機系統上。對于基于網絡的IDS，情況稍微復雜一些，下面以一常見的網絡拓撲結構（見圖7.4）來分析IDS檢測引擎應該位于網絡中的哪些位置。圖7.4

IDS在網絡中的位置

位置1：感應器位于防火墻的外側，非系統信任域，它將負責檢測來自外部的所有入侵企圖（這可能產生大量的報告）。通過分析這些攻擊將幫助完善系統并決定是否在系統內部部署IDS。對于一個配置合理的防火墻來說，這些攻擊企圖不會帶來嚴重的問題，因為只有進入內部網絡的攻擊才會對系統造成真正的損失。位置2：很多站點都把對外提供服務的服務器單獨放在一個隔離的區域，通常稱為DMZ（非軍事化區）。在此放置一個檢測引擎是非常必要的，因為這里提供的很多服務都是黑客樂于攻擊的目標。位置3：此處應該是最重要、最應該放置檢測引擎的地方。對于那些已經透過系統邊緣防護，進入內部網絡準備進行惡意攻擊的黑客，這里正是利用IDS系統及時發現并作出反應的最佳地點。

7.2入侵檢測方法入侵檢測系統的實現方法有：（1）基于概率統計的檢測；（2）基于神經網絡的檢測；（3）基于專家系統的檢測；（4）基于模型推理的檢測；（5）基于免疫的檢測等。7.2.1基于概率統計的檢測基于概率統計的檢測技術是在異常入侵檢測中用的最普遍的技術，它是對用戶歷史行為建立的模型。根據該模型，當發現有可疑的用戶行為發生時保持跟蹤，并監視和記錄該用戶的行為。基于概率統計的檢測技術旨在對用戶歷史行為建模。根據該模型，當發現有可疑的用戶行為發生時，保持跟蹤，并監視和記錄該用戶的行為。SRI（StandfordResearchInstitute）研制開發的IDES（IntrusionDetectionExpertSystem）是一個典型的實時檢測系統。IDES系統能根據用戶以前的歷史行為，生成每個用戶的歷史行為記錄庫，并能自適應地學習被檢測系統中每個用戶的行為習慣，當某個用戶改變其行為習慣時，這種異常就被檢測出來。這種系統具有固有的弱點，比如，用戶的行為非常復雜，因而要想準確地匹配一個用戶的歷史行為和當前行為是非常困難的。這種方法的一些假設是不準確或不貼切的，會造成系統誤報或錯報、漏報。在這種實現方法中，首先檢測器根據用戶對象的動作為每一個用戶都建立一個用戶特征表，通過比較當前特征和已存儲的特征，判斷是否有異常行為。用戶特征表需要根據審計記錄情況而不斷地加以更新。在SRI的IDES中給出了一個特征簡表的結構：<變量名，行為描述，例外情況，資源使用，時間周期，變量類型，閾值，主體，客體，值>。其中，變量名、主體、客體唯一確定了每個特征簡表。特征值由系統根據審計數據周期地產生。這個特征值是所有有悖于用戶特征的異常程度值的函數。假設S1，S2，…，Sn分別是用于描述特征的變量M1，M2，…，Mn的異常程度值，Si值越大，表明異常程度越大，則這個特征值可以用所有Si的加權和來表示：式中：Ai表示每一特征的權值。M=A1S12+A2S22+A3S32+…+AnSn2(Ai>0)這種方法的優越性在于能應用成熟的概率統計理論，但不足之處在于：（1）統計檢測對于事件發生的次序不敏感，完全依靠統計理論可能會漏掉那些利用彼此相關聯事件的入侵行為；（2）定義判斷入侵的閾值比較困難，閾值太高則誤檢率提高，閾值太低則漏檢率增高。7.2.2基于神經網絡的檢測基于神經網絡的檢測技術的基本思想是用一系列信息單元訓練神經單元，在給出一定的輸入后，就可能預測出輸出。它是對基于概率統計的檢測技術的改進，主要克服了傳統的統計分析技術的一些問題，例如：（1）難以表達變量之間的非線性關系。（2）難以建立確切的統計分布。統計方法基本上是依賴對用戶行為的主觀假設，如偏差的高斯分布，錯發警報常由這些假設所導致。（3）難以實現方法的普遍性。適用于某一類用戶的檢測措施一般無法適用于另一類用戶。（4）實現價值比較昂貴。基于統計的算法對不同類型的用戶不具有自適應性，算法比較復雜龐大，算法實現上昂貴，而神經網絡技術實現的代價較小。（5）系統臃腫，難以剪裁。由于網絡系統是具有大量用戶的計算機系統，要保留大量的用戶行為信息，因而導致系統臃腫，難以剪裁。基于神經網絡的技術能把實時檢測到的信息有效地加以處理，作出攻擊可行性的判斷，不過這種技術現在還不成熟。7.2.3基于專家系統的檢測進行安全檢測工作自動化的另外一個值得重視的研究方向就是基于專家系統的檢測技術，即根據安全專家對可疑行為的分析經驗來形成一套推理規則，然后再在此基礎上形成相應的專家系統，由此專家系統自動進行對所涉及的攻擊操作的分析工作。所謂專家系統，是指基于一套由專家經驗事先定義的規則的推理系統。例如，在數分鐘之內某個用戶連續進行登錄，且失敗超過三次，就可以被認為是一種攻擊行為。類似的規則在統計系統中似乎也有。同時應當說明的是，基于規則的專家系統或推理系統也有其局限性，因為作為這類系統的基礎的推理規則，一般都是根據已知的安全漏洞進行安排和策劃的，而對系統最危險的威脅則主要是來自未知的安全漏洞。實現基于規則的專家系統是一個知識工程問題，而且其功能應當能夠隨著經驗的積累而利用其自學習能力進行規則的擴充和修正。

當然，這樣的能力需要在專家的指導和參與下才能實現，否則可能同樣會導致較多的誤報現象。一方面，推理機制使得系統面對一些新的行為現象時可能具備一定的應對能力（即有可能會發現一些新的安全漏洞）；另一方面，攻擊行為也可能不會觸發任何一個規則，從而被檢測到。專家系統對歷史數據的依賴性總的來說比基于統計技術的審計系統少，因此系統的適應性比較強，可以較靈活地適應廣譜的安全策略和檢測需求。但是迄今為止，推理系統和謂詞演算的可計算問題距離成熟解決都還有一定的距離。在具體實現過程中，專家系統主要面臨的問題如下：（1）全面性問題。很難從各種入侵手段中抽象出全面的規則化知識。（2）效率問題。需要處理的數據量過大，而且在大型系統上，很難獲得實時連續的審計數據。7.2.4基于模型推理的檢測攻擊者在攻擊一個系統時往往采用一定的行為程序（如猜測口令的程序），這種行為程序構成了某種具有一定行為特征的模型，根據這種模型所代表的攻擊意圖的行為特征，可以實時地檢測出惡意的攻擊企圖，雖然攻擊者并不一定都是惡意的。用基于模型的推理方法人們能夠為某些行為建立特定的模型，從而能夠監視具有特定行為特征的某些活動。根據假設的攻擊腳本，這種系統就能檢測出非法的用戶行為。一般為了準確判斷，要為不同的攻擊者和不同的系統建立特定的攻擊腳本。當有證據表明某種特定的攻擊模型發生時，系統應收集其他證據來證實或者否定攻擊的真實性，既不能漏報攻擊，對信息系統造成實際損害，又要盡可能地避免誤報。當然，上述的幾種方法都不能徹底地解決攻擊檢測問題，所以最好是綜合地利用各種手段強化計算機信息系統的安全程序以增加攻擊成功的難度，同時根據系統本身的特點輔助以較適合的攻擊檢測手段。7.2.5基于免疫的檢測基于免疫的檢測技術是運用自然免疫系統的某些特性到網絡安全系統中，使整個系統具有適應性、自我調節性、可擴展性。人的免疫系統成功地保護人體不受各種抗原和組織的侵害，這個重要的特性吸引了許多計算機安全專家和人工智能專家。通過學習免疫專家的研究，計算機專家提出了計算機免疫系統。在許多傳統的網絡安全系統中，每個目標都將它的系統日志和收集的信息傳送給相應的服務器，由服務器分析整個日志和信息，判斷是否發生了入侵。在大規模網絡中，網絡通信量極大，且絕大多數數據與入侵無關，檢測效率低。基于免疫的入侵檢測系統運用計算免疫的多層性、分布性、多樣性等特性設置動態代理，實時分層檢測和響應機制。7.2.6入侵檢測新技術數據挖掘技術被WenkeLee用于了入侵檢測中。用數據挖掘程序處理搜集到的審計數據，可以為各種入侵行為和正常操作建立精確的行為模式。這是一個自動的過程，不需要人工分析和編碼入侵模式。移動代理用于入侵檢測中，它具有能在主機間動態遷移、一定的智能性、與平臺無關性、分布的靈活性、低網絡數據流量和多代理合作特性，它適用于大規模信息搜集和動態處理。在入侵檢測系統中采用移動代理技術，可以提高入侵檢測系統的性能和整體功能。7.2.7其他相關問題為了防止過多的不相干信息的干擾，用于安全目的的攻擊檢測系統在審計系統之外還要配備適合系統安全策略的信息采集器或過濾器。同時，除了依靠來自審計子系統的信息，還應當充分利用來自其他信息源的信息。在某些系統內，可以在不同的層次進行審計跟蹤，如有些系統的安全機制中采用三級審計跟蹤，包括審計操作系統核心調用行為的、審計用戶和操作系統界面級行為的和審計應用程序內部行為的。另一個重要問題是決定攻擊檢測系統的運行場所。為了提高攻擊檢測系統的運行效率，可以安排在與被監視系統獨立的計算機上執行審計跟蹤分析和攻擊性檢測，這樣做既有效率方面的優點，也有安全方面的優點。監視系統的響應時間對被監測系統的運行完全沒有負面影響，也不會因為與其他安全有關的因素而受到影響。總之，為了有效地利用審計系統提供的信息，通過攻擊檢測措施防范攻擊威脅，計算機安全系統應當根據系統的具體條件選擇適用的主要攻擊檢測方法，并且有機地融合其他可選用的攻擊檢測方法。同時應當清醒地認識到，任何一種攻擊檢測措施都不能視之為一勞永逸的，必須配備有效的管理和措施。 7.3入侵檢測系統入侵檢測通過對計算機網絡或計算機系統中的若干關鍵點收集信息并進行分析，從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。進行入侵檢測的軟件與硬件的組合就是入侵檢測系統。入侵檢測系統執行的主要任務包括：監視、分析用戶及系統活動；審計系統構造和弱點；識別、反映已知進攻的活動模式，向相關人員報警；統計分析異常行為模式；評估重要系統和數據文件的完整性；審計、跟蹤管理操作系統，識別用戶違反安全策略的行為。入侵檢測一般分為3個步驟，依次為信息收集、數據分析和響應（包括被動響應和主動響應）。（1）信息收集的內容包括系統、網絡、數據及用戶活動的狀態和行為。入侵檢測利用的信息一般來自系統日志、目錄以及文件中的異常改變，程序執行中的異常行為及物理形式的入侵信息四個方面。（2）數據分析是入侵檢測的核心。它首先構建分析器，把收集到的信息經過預處理，建立一個行為分析引擎或模型，然后向模型中植入時間數據，并在知識庫中保存植入數據的模型。數據分析一般通過模式匹配、統計分析和完整性分析３種手段進行。前兩種方法用于實時入侵檢測，而完整性分析則用于事后分析。可用５種統計模型進行數據分析：操作模型、方差、多元模型、馬爾柯夫過程模型、時間序列分析。統計分析的最大優點是可以學習用戶的使用習慣。（3）入侵檢測系統在發現入侵后會及時作出響應，包括切斷網絡連接、記錄事件和報警等。響應一般分為主動響應（阻止攻擊或影響進而改變攻擊的進程）和被動響應（報告和記錄所檢測出的問題）兩種類型。主動響應由用戶驅動或系統本身自動執行，可對入侵者采取行動（如斷開連接）、修正系統環境或收集有用信息；被動響應則包括告警和通知、簡單網絡管理協議（SNMP）陷阱和插件等。另外，還可以按策略配置響應，可分別采取立即、緊急、適時、本地的長期和全局的長期等行動。7.3.1入侵檢測系統的構成一個入侵檢測系統的功能結構如圖7.5所示，它至少包含事件提取、入侵分析、入侵響應和遠程管理四部分功能。圖7.5中各部分功能如下：（1）事件提取功能負責提取與被保護系統相關的運行數據或記錄，并負責對數據進行簡單的過濾。（2）入侵分析的任務就是在提取到的運行數據中找出入侵的痕跡，將授權的正常訪問行為和非授權的不正常訪問行為區分開，分析出入侵行為并對入侵者進行定位。圖7.5入侵檢測系統功能構成（3）入侵響應功能在分析出入侵行為后被觸發，根據入侵行為產生響應。（4）由于單個入侵檢測系統的檢測能力和檢測范圍的限制，入侵檢測系統一般采用分布監視集中管理的結構，多個檢測單元運行于網絡中的各個網段或系統上，通過遠程管理功能在一臺管理站點上實現統一的管理和監控。7.3.2入侵檢測系統的分類

1.從數據來源的角度分類從數據來源看，入侵檢測系統有三種基本結構：基于網絡的入侵檢測系統、基于主機的入侵檢測系統和分布式入侵檢測系統。（1）基于網絡的入侵檢測系統（NIDS）數據來源于網絡上的數據流。NIDS能夠截獲網絡中的數據包，提取其特征并與知識庫中已知的攻擊簽名相比較，從而達到檢測的目的。其優點是偵測速度快，隱蔽性好，不容易受到攻擊，對主機資源消耗少；缺點是有些攻擊是由服務器的鍵盤發出的，不經過網絡，因而無法識別，誤報率較高。（2）基于主機的入侵檢測系統（HIDS）檢測分析所需數據來源于主機系統，通常是系統日志和審計記錄。ＨIDS通過對系統日志和審計記錄的不斷監控和分析來發現攻擊后誤操作。其優點是針對不同操作系統特點捕獲應用層入侵，誤報少；缺點是依賴于主機及其審計子系統，實時性差。（3）采用上述兩種數據來源的分布式入侵檢測系統（DIDS）能夠同時分析來自主機系統審計日志和網絡數據流的入侵檢測系統，一般為分布式結構，由多個部件組成。DIDS可以從多個主機獲取數據，也可以從網絡傳輸取得數據，克服了單一的HIDS、NIDS的不足。

2.從檢測的策略角度分類從檢測的策略來看，入侵檢測模型主要有三種：濫用檢測、異常檢測和完整性分析。（1）濫用檢測（MisuseDetection）就是將收集到的信息與已知的網絡入侵和系統誤用模式數據庫進行比較，從而發現違背安全策略的行為。該方法的優點是只需收集相關的數據集合，顯著減少了系統負擔，且技術已相當成熟。該方法存在的弱點是需要不斷的升級以對付不斷出現的黑客攻擊手法，不能檢測到從未出現過的黑客攻擊手段。（2）異常檢測（AnomalyDetection）首先給系統對象（如用戶、文件、目錄和設備等）創建一個統計描述，統計正常使用時的一些測量屬性（如訪問次數、操作失敗次數和延時等）。測量屬性的平均值將被用來與網絡、系統的行為進行比較，任何觀察值在正常值范圍之外時，就認為有入侵發生。其優點是可檢測到未知的入侵和更為復雜的入侵；缺點是誤報、漏報率高，且不適應用戶正常行為的突然改變。（3）完整性分析主要關注某個文件或對象是否被更改，這經常包括文件和目錄的內容及屬性，它在發現被更改的、被特洛伊化的應用程序方面特別有效。其優點只要是成功的攻擊導致了文件或其他對象的任何改變，它都能夠發現；缺點是一般以批處理方式實現，不用于實時響應。7.3.3基于主機的入侵檢測系統HIDS基于主機的入侵檢測出現在20世紀80年代初期，那時網絡還沒有今天這樣普遍、復雜，且網絡之間也沒有完全連通。其檢測的主要目標主要是主機系統和系統本地用戶。它的檢測原理是根據主機的審計數據和系統日志發現可疑事件。基于主機的入侵檢測系統可以運行在被檢測的主機或單獨的主機上，基本過程如圖7.6所示。圖7.6基于主機的入侵檢測系統結構示意圖在這一較為簡單的環境里，檢查可疑行為的檢驗記錄是很常見的操作。由于入侵在當時是相當少見的，因此對攻擊的事后分析就可以防止今后的攻擊。現在的基于主機的入侵檢測系統保留了一種有力的工具，以理解以前的攻擊形式，并選擇合適的方法去抵御未來的攻擊。基于主機的IDS仍使用驗證記錄，但自動化程度大大提高，并發展了精密的可迅速做出響應的檢測技術。通常，基于主機的IDS可監測系統、事件、Windows操作系統下的安全記錄以及UNIX環境下的系統記錄。當有文件發生變化時，IDS將新的記錄條目與攻擊標記相比較，看它們是否匹配。如果匹配，系統就會向管理員報警并向別的目標報告，以采取措施。基于主機的入侵檢測系統有以下優點：（1）監視特定的系統活動。基于主機的IDS監視用戶和訪問文件的活動，包括文件訪問、改變文件權限、試圖建立新的可執行文件、試圖訪問特殊的設備。例如，基于主機的IDS可以監督所有用戶的登錄及下網情況，以及每位用戶在連接到網絡以后的行為。對于基于網絡的系統要做到這種程度是非常困難的。基于主機技術還可監視只有管理員才能實施的非正常行為。操作系統記錄了任何有關用戶賬號的增加、刪除、更改的情況，改動一旦發生，基于主機的IDS就能檢測到這種不適當的改動。基于主機的IDS還可審計能影響系統記錄的校驗措施的改變。（2）非常適用于被加密的和交換的環境。既然基于主機的系統駐留在網絡中的各種主機上，它們可以克服基于網絡的入侵檢測系統在交換和加密環境中面臨的一些部署困難的問題。在大的交換網絡中確定安全IDS的最佳位置并且實現有效的網絡覆蓋非常困難，而基于主機的檢測通過駐留在所有需要的關鍵主機上避免了這一難題。根據加密駐留在協議棧中的位置，它可能讓基于網絡的IDS無法檢測到某些攻擊。基于主機的IDS并不具有這個限制。因為當操作系統（也包括基于主機的IDS）收到通信時，數據序列已經被解密了。（3）近實時的檢測和應答。盡管基于主機的檢測并不提供真正實時的應答，但新的基于主機的檢測技術已經能夠提供近實時的檢測和應答。早期的系統主要使用一個過程來定時檢查日志文件的狀態和內容，而許多現在的基于主機的系統在任何日志文件發生變化時都可以從操作系統及時接收一個中斷，這樣就大大減少了攻擊識別和應答之間的時間。（4）不需要額外的硬件。基于主機的檢測駐留在現有的網絡基礎設施上，包括文件服務器、Web服務器和其他的共享資源等。這減少了基于主機的IDS的實施成本，因為不需要增加新的硬件，所以也減少了以后維護和管理這些硬件設備的負擔。7.3.4基于網絡的入侵檢測系統NIDS隨著計算機網絡技術的發展，單獨地依靠主機審計信息進行入侵檢測已難以適應網絡安全的需求。因而人們提出了基于網絡的入侵檢測系統體系結構，這種檢測系統根據網絡流量、網絡數據包和協議來分析檢測入侵，其基本過程如圖7.7所示。圖7.7基于網絡的入侵檢測系統模型基于網絡的入侵檢測系統使用原始網絡包作為數據源。基于網絡的IDS通常利用一個運行在隨機模式下的網絡適配器來實時監視并分析通過網絡的所有通信業務。它的攻擊辨識模塊通常采用4種常用技術來識別攻擊標志：（1）模式、表達式或字節匹配；（2）頻率或穿越閾值；（3）低級事件的相關性；（4）統計學意義上的非常規現象檢測。基于網絡的入侵檢測系統主要有以下優點：（1）擁有成本低。基于網絡的IDS允許部署在一個或多個關鍵訪問點來檢查所有經過的網絡通信。因此，基于網絡的IDS系統并不需要在各種各樣的主機上進行安裝，大大減少了安全和管理的復雜性。（2）攻擊者轉移證據困難。基于網絡的IDS使用活動的網絡通信進行實時攻擊檢測，因此攻擊者無法轉移證據，被檢測系統捕獲的數據不僅包括攻擊方法，而且包括對識別和指控入侵者十分有用的信息。（3）實時檢測和響應。一旦發生惡意訪問或攻擊，基于網絡的IDS檢測可以隨時發現它們，因此能夠很快地作出反應。例如，對于黑客使用TCP啟動基于網絡的拒絕服務攻擊（DoS），IDS系統可以通過發送一個TCPreset來立即終止這個攻擊，這樣就可以避免目標主機遭受破壞或崩潰。這種實時性使得系統可以根據預先定義的參數迅速采取相應的行動，從而將入侵活動對系統的破壞減到最低。（4）能夠檢測未成功的攻擊企圖。一個放在防火墻外面的基于網絡的IDS可以檢測到旨在利用防火墻后面的資源的攻擊，盡管防火墻本身可能會拒絕這些攻擊企圖。基于主機的系統并不能發現未能到達受防火墻保護的主機的攻擊企圖，而這些信息對于評估和改進安全策略是十分重要的。（5）操作系統獨立。基于網絡的IDS并不依賴主機的操作系統作為檢測資源，而基于主機的系統需要特定的操作系統才能發揮作用。7.3.5分布式入侵檢測系統網絡系統結構復雜化和大型化帶來了許多新的入侵檢測問題：（1）系統的弱點或漏洞分散在網絡中的各個主機上，這些弱點有可能被入侵者一起用來攻擊網絡，而依靠惟一的主機或網絡IDS不會發現入侵行為。（2）入侵行為不再是單一的行為，而是表現出相互協作入侵的特點，例如分布式拒絕服務攻擊（DDoS）。（3）入侵檢測所依靠的數據來源分散化，收集原始檢測數據變得困難，如交換型網絡使得監聽網絡數據包受到限制。（4）網絡速度傳輸加快，網絡的流量加大，集中處理原始的數據方式往往會造成檢測瓶頸，從而導致漏建。基于這種情況，分布式的入侵檢測系統就應運而生。分布式IDS系統通常由數據采集構件、通信傳輸構件、入侵檢測分析構件、應急處理構件和管理構件組成，如圖7.8所示。這些構件可根據不同情形組合，例如數據采集構件和通信傳輸構件組合就產生出新的構件，它能完成數據采集和傳輸兩種任務。所有的這些構件組合起來就變成了一個入侵檢測系統。各構件的功能如下：（1）數據采集構件：收集檢測使用的數據，可駐留在網絡中的主機上或安裝在網絡中的監測點。需要通信傳輸構件的協作，將收集的信息傳送到入侵檢測分析構件處理。（2）通信傳輸構件：傳遞檢測的結果，處理原始的數據和控制命令，一般需要和其他構件協作完成通信功能。（3）入侵檢測分析構件：依據檢測的數據，采用檢測算法對數據進行誤用分析和異常分析，產生檢測結果、報警和應急信號。（4）應急處理構件：按入侵檢測的結果和主機、網絡的實際情況作出決策判斷，對入侵行為進行響應。（5）管理構件：管理其他的構件的配置，產生入侵總體報告，提供用戶和其他構件的管理接口，圖形化工具或者可視化的界面，供用戶查詢、配置入侵檢測系統情況等。圖7.8分布式入侵檢測系統結構示意圖 7.4入侵檢測系統的測試評估7.4.1測試評估概述入侵檢測系統的測試評估非常困難，涉及到操作系統、網絡環境、工具、軟件、硬件和數據庫等技術方面的問題。IDS目前沒有工業標準可參考來評測，判斷IDS檢測的準確性只有依靠黑箱法測試。另外，測試需要構建復雜的網絡環境和測試用例。由于入侵情況的變化，IDS系統也需要維護多種不同類型的信息（如正常和異常的用戶、系統和進程行為，可疑的通信量模式字符串，對各種攻擊行為的響應信息等），才能保證系統在一定時期內發揮有效的作用。7.4.2測試評估的內容一般可以從以下幾個方面去評價一個入侵檢測系統：（1）是否能保證自身的安全。和其他系統一樣，入侵檢測系統本身也往往存在安全漏洞。如果查詢bugtraq的郵件列表，諸如AxentNetProwler、NFR、ISSRealsecure等知名產品都有漏洞被發覺出來。若對入侵檢測系統攻擊成功，則直接導致其報警失靈，入侵者在其后所作的行為將無法被記錄。因此入侵檢測系統首先必須保證自己的安全性。（2）運行與維護系統的開銷。較少的資源消耗將不影響受保護主機或網絡的正常運行。（3）入侵檢測系統報警準確率。誤報和漏報的情況應盡量少。（4）網絡入侵檢測系統負載能力以及可支持的網絡類型。根據網絡入侵檢測系統所布署的網絡環境不同要求也不同。如果在512KB或2MB專線上布署網絡入侵檢測系統，則不需要高速的入侵檢測引擎，而在負荷較高的環境中，性能是一個非常重要的指標。

(5)支持的入侵特征數。入侵檢測系統的特征庫需要不斷更新才能檢測出新出現的攻擊方法，因此可以檢測的入侵特征數量也是衡量一個檢測系統性能的重要指標。（6）是否支持IP碎片重組。入侵檢測中，分析單個的數據包會導致許多誤報和漏報，IP碎片的重組可以提高檢測的精確度。而且，IP碎片是網絡攻擊中常用的方法，因此，IP碎片的重組還可以檢測利用IP碎片的攻擊。IP碎片重組的評測標準有三個性能參數：能重組的最大IP碎片數，能同時重組的IP包數，能進行重組的最大IP數據包的長度。（7）是否支持TCP流重組。TCP流重組是為了對完整的網絡對話進行分析，它是網絡入侵檢測系統對應用層進行分析的基礎。如檢查郵件內容、附件，檢查FTP傳輸的數據，禁止訪問有害網站，判斷非法HTTP請求等。

1．功能測試功能測試的數據能夠反映出IDS的攻擊檢測、報告、審計、報警等多種能力。

1）攻擊識別以TCP/IP協議攻擊識別為例，攻擊識別的能力可以分成以下幾種：（1）協議包頭攻擊分析的能力：IDS系統能夠識別與IP包頭相關的攻擊能力。常見的這種類型攻擊如LAND攻擊。其攻擊方式是通過構造源地址、目的地址、源端口、目的端口都相同的IP包發送，這樣會導致IP協議棧產生progressiveloop而崩潰。（2）重裝攻擊分析的能力：IDS能夠重裝多個IP包的分段并從中發現攻擊的能力。常見的重裝攻擊是Teardrop和PingofDeath。Teardrop通過發多個分段的IP包而使得當重裝包時，包的數據部分越界，進而引起協議和系統不可用。PingofDeath是ICMP包以多個分段包（碎片）發送，而當重裝時，數據部分大于65535B，從而超出TCP/IP協議所規定的范圍，引起TCP/IP協議棧崩潰。（3）數據驅動攻擊分析能力：IDS具有分析IP包的數據具體內容，例如HTTP的phf攻擊。Phf是一個CGI程序，允許在Web服務器上運行。phf處理復雜服務請求程序的漏洞，使得攻擊者可以執行特定的命令，攻擊者從而可以獲取敏感的信息或者危及到Web服務器的使用。

2）抗攻擊性

IDS可以抵御拒絕服務攻擊。對于某一時間內的重復攻擊，IDS報警能夠識別并能抑制不必要的報警。

3）過濾能力

IDS中的過濾器可方便地設置規則以根據需要過濾掉原始的數據信息，例如網絡上的數據包和審計文件記錄。一般要求IDS過濾器具有下面的能力：（1）可以修改或調整；（2）創建簡單的字符規則；（3）使用腳本工具創建復雜的規則。

4）報警報警機制是IDS必要的功能，例如發送入侵警報信號和應急處理機制。

5）日志

IDS的日志有以下功能：（1）保存日志的數據能力；（2）按特定的需求說明，日志內容可以選取。

6）報告

IDS的報告有以下功能：（1）產生入侵行為報告；（2）提供查詢報告；（3）創建和保存報告。

2．性能測試性能測試在各種不同的環境下，檢驗IDS的承受強度，主要的指標有下面幾點：（1）IDS的引擎吞吐量。這一指標可以表征IDS在預先不加載攻擊標簽情況下，IDS處理原始檢測數據的能力。（2）包的重裝。測試的目的就是評估IDS的包的重裝能力。例如，IDS的入侵標簽庫只有單一的PingofDeath標簽，這是來測試IDS的響應情況的。（3）過濾的效率。測試的目標就是評估IDS在攻擊的情況下過濾器的接收、處理和報警的效率。這種測試可以用LAND攻擊的基本包頭為引導，這種包的特性是源地址等于目標地址。

3.產品可用性測試

IDS可評估系統用戶界面的可用性、完整性和擴充性。IDS支持多個平臺操作系統，容易使用且穩定。7.4.3測試評估標準美國IDGInfoWorld測試中心的安全測試小組開發了一種可以視之為BenhMark類型的測試基準——IWSS16。該小組收集了若干種典型的可以公開得到的攻擊方法，對其進行組合，形成IWSS16。IWSS16組合了四種主要類型的攻擊手段。

1．收集信息攻擊網絡攻擊者經常在正式攻擊之前，進行試探性的攻擊，目標是獲取系統有用的信息，所以，收集信息攻擊檢測注意力集中在Ping掃描、端口掃描、賬戶掃描、DNS轉換等操作方面。網絡攻擊者經常使用的攻擊工具包括Strobe、NetScan、SATAN（Securityadministrator’sToolforAuditingNetwork）。利用這些工具可以獲取網絡上的內容、網絡的漏洞位置等信息。

2．獲取訪問權限攻擊在IWSS16中集成了一系列的破壞手段來獲取對網絡的特許訪問，其中包括許多故障制造攻擊，例如發送函件故障、遠程InternetMailAccessProtocol緩沖區溢出、FTP故障、phf故障等。通過這些攻擊造成的故障會暴露系統的漏洞，使攻擊者獲取訪問權限。

3．拒絕服務攻擊拒絕服務攻擊是最不容易捕獲的攻擊，因為不留任何痕跡，所以安全管理人員不易確定攻擊的來源。由于其攻擊目標是使得網絡上節點系統癱瘓，因此，這是很危險的攻擊。當然，就防守一方的難度而言，拒絕服務攻擊是比較容易防御的攻擊類型。這類攻擊的特點是以潮水般的申請使系統在應接不暇的狀態中崩潰；除此而外，拒絕服務攻擊還可以利用操作系統的弱點，有目標地進行針對性的攻擊。典型的拒絕服務攻擊包括Syn、PingofDeath、Land、Teardrop、InternetControlMessageProtocol（ICMP）、UserDatagramProtocol以及WindowsOutofBand等攻擊。

4．逃避檢測攻擊入侵者往往在攻擊之后，使用各種逃避檢測的手段，使其攻擊的行為不留痕跡，其中典型的做法是修改系統的安全審計記錄。7.4.4

IDS測試評估現狀以及存在的問題雖然IDS及其相關技術已獲得了很大的進展，但關于IDS的性能檢測及其相關評測工具、標準以及測試環境等方面的研究工作還很缺乏。

Puketza等人在1994年開創了對IDS評估系統研究的先河，在他們開發的軟件平臺上可以實現自動化的攻擊仿真。1998年，Debar等人在IDS實驗測試系統的研究中指出，在評估環境中仿真正常網絡流量是一件非常復雜而且耗時的工作。林肯實驗室在1998年、1999年進行的兩次IDS離線評估，是迄今為止最權威的IDS評估。在精心設計的測試網絡中，他們對正常網絡流量進行了仿真，實施了大量的攻擊，將記錄下的流量系統日志和主機上的文件系統映像等數據交由參加評估的IDS進行離線分析，最后根據各IDS提交的檢測結果做出評估報告。目前美國空軍羅馬實驗室對IDS進行了實時評估。羅馬實驗室的實時評估是林肯實驗室離線評估的補充，它主要對作為現行網絡中的一部分的完整系統進行測試，其目的是測試IDS在現有正常機器和網絡活動中檢測入侵行為的能力、IDS的響應能力及其對正常用戶的影響。IBM的Zurich研究實驗室也開發了一套IDS測評工具。此外，有些黑客工具軟件也可用來對IDS進行評測。 7.5典型的IDS系統及實例7.5.1典型的IDS系統入侵檢測系統大部分是基于各自的需求和設計獨立開發的，不同系統之間缺乏互操作性和互用性，這對入侵檢測系統的發展造成了障礙，因此DARPA（theDefenseAdvancedResearchProjectsAgency，美國國防部高級研究計劃局）在1997年3月開始著手CIDF（CommonIntrusionDetectionFramework，公共入侵檢測框架）標準的制定。現在加州大學Davis分校的安全實驗室已經完成CIDF標準，IETF（InternetEngineeringTaskForce，Internet工程任務組）成立了IDWG（IntrusionDetectionWorkingGroup，入侵檢測工作組）負責建立IDEF（IntrusionDetectionExchangeFormat，入侵檢測數據交換格式）標準，并提供支持該標準的工具，以更高效率地開發IDS系統。幾種典型的攻擊檢測系統如下。（1）NAI公司Cybercop攻擊檢測系統包括三個組成部分：CyberCopScanner、CybercopServer和CybercopNetwork。CybercopScanner的目標是在復雜的網絡環境中檢測出薄弱環節。CybercopScanner主要對Intranet、Web服務器、防火墻等網絡安全環節進行全面的檢查，從而發現這些安全環節的攻擊脆弱點。CybercopServer的目標是在復雜的網絡環境中提供防范、檢測和對攻擊作出反應，并能采取自動抗擊措施的工具。CybercopNetwork的主要功能是在復雜的網絡環境中通過循環監測網絡流量（Traffic）的手段保護網絡上的共享資源。Cybercop能夠生成多種形式的報告，包括HTLM、ASCII正文、RTF格式以及CommaDelimited格式。（2）ISS公司（InternetSecuritySystem）的RealSecure2.0forWindowsNT是一種領導市場的攻擊檢測方案。RealSecure2.0提供了分布式安全體系結構，多個檢測引擎可以監控不同的網絡并向中央管理控制臺報告，控制臺與引擎之間的通信可以采用128bitTSA進行認證和加密。（3）Abirnet公司的Session－wall－32.1是一種功能比較廣泛的安全產品，其中包括攻擊檢測系統功能。Session－wall－3提供定義監控、過濾及封鎖網絡流量的規則的功能，因此其解決方案比較簡潔、靈活。Session－Wall－3受到攻擊后即向本地控制臺發送警報、電子函件，并進行事件記錄，還具備向安全管理人員發信息的功能，它的報表功能也比較強。（4）Anzen公司的NFR（NetwareFlightRecorder）提供了一個網絡監控框架，利用這個框架可以有效地執行攻擊檢測任務。OEM公司可以基于NFR定制具備專門用途的攻擊檢測系統，有些軟件公司已經利用NFR開發出各自的產品。（5）IBM公司的IERS系統（InternetEmergencyResponseService）由兩個部件組成：NetRanger檢測器和Boulder監控中心。NetRanger檢測器負責監聽網絡上的可識別的通信數字簽名，一旦發現異常情況，就啟動Boulder監控中心的報警器報警。（6）中科網威信息技術有限公司的“天眼”入侵檢測系統、“火眼”網絡安全漏洞檢測系統是我國少有的幾個入侵檢測系統之一。它根據國內網絡的特殊情況，由中國科學院網絡安全關鍵技術研究組經過多年研究，綜合運用了多種檢測系統成果研制成功的。它根據系統的安全策略作出反映，實現了對非法入侵的定時報警、記錄事件，方便取證，自動阻斷通信連接，重置路由器、防火墻，同時能及時發現并及時提出解決方案，并列出可參考的全熱鏈接網絡及系統中易被黑客利用和可能被黑客利用的薄弱環節，防范黑客攻擊。該系統的總體技術水平達到了“國際先進水平”（1998年的關鍵技術“中國科學院若干網絡安全”項目成果鑒定會結論）。（7）啟明星辰公司的黑客入侵檢測與預警系統，集成了網絡監聽監控、實時協議分析、入侵行為分析及詳細日志審計跟蹤等功能。該系統主要包括兩部分：探測器和控制器。探測器能監視網絡上流過的所有數據包，根據用戶定義的條件進行檢測，識別出網絡中正在進行的攻擊。它能實時檢測到入侵信息并向控制器管理控制臺發出告警，由控制臺給出定位顯示，從而將入侵者從網絡中清除出去。探測器能夠監測所有類型的ＴＣＰ/ＩＰ網絡，其強大的檢測功能為用戶提供了最為全面、有效的入侵檢測能力。控制器是一個高性能管理系統，它能監控位于本地或遠程網段的多個探測器的活動；集中地配置策略，提供統一的數據管理和實時報警管理；顯示詳細的入侵告警信息（如入侵ＩＰ地址、目的ＩＰ地址、目的端口、攻擊特征），對事件的響應提供在線幫助，以最快的方式阻止入侵事件的發生。另外，它還能全面地記錄和管理日志，以便進行離線分析，對特殊事件提供智能判斷和回放功能。7.5.2入侵檢測系統實例Snort

1.Snort概述

Snort是一個輕量級網絡入侵檢測系統，具有實時數據流分析和日志IP網絡數據包的功能，能夠進行協議分析和內容搜索匹配，能夠檢測不同的攻擊方式并對攻擊進行實時報警。此外，Snort是一個跨平臺、開放源代碼的免費軟件，具有很好的擴展性和可移植性。Snort使用著名的網絡包捕獲器Libpcap進行開發。Libpcap是網絡數據包捕獲的標準接口，使用BPF數據包捕獲機制，它為Snort提供了一個可移植的數據包截獲和過濾機制。

2.Snort的結構

Snort的結構如圖7.9所示。它主要包括四個模塊：數據包嗅探器、預處理器、檢測引擎和報警輸出模塊。首先，Snort通過數據包嗅探器從網絡中捕獲數據包，而后交給預處理器進行處理，而后再交給檢測引擎來對每個包進行檢測判斷入侵，如果有入侵行為發生，通過報警輸出模塊進行記錄，告警信息也可存入數據庫中進行保存。圖7.9

Snort結構

1)數據包嗅探器數據包嗅探器模塊主要實現網絡數據包捕獲和解析的功能。Snort利用Libpcap庫函數進行數據采集，該庫函數可以為應用程序提供直接從鏈路層捕獲數據包的接口函數，并可以設置數據包過濾器來捕獲指定的數據，將捕獲的網絡數據包按照TCP/IP協議族的不同層次進行解析。

2)預處理器預處理器模塊針對可疑行為檢查包或者修改包，以便檢測引擎能對其正確解釋，還可以對網絡流進行標準化以便檢測引擎能夠準確匹配特征。

3)檢測引擎檢測引擎模塊是入侵檢測系統實現的核心，當數據包從預處理器送過來后，檢測引擎依據預先設置的規則檢查數據包，一旦發現數據包中的內容和某條規則相匹配，就通知報警輸出模塊。

4)報警/輸出模塊檢測引擎檢查后的Snort數據需要以某種方式輸出。如檢測引擎中的某條規則被匹配，則會觸發一條報警，這條報警信息、會通過網絡等方式或SNMP協議的trap命令送給日志文件，報警信息也可以記入數據庫。

3.Snort規則結構

Snort采用基于規則的網絡入侵模式搜索機制，對網絡數據包進行模式匹配，從中發現入侵或惡意攻擊行為。Snort規則就是使用一種簡單的描述語言來刻畫網絡上的帶有攻擊標識的數據包。Snort將所有已知的入侵行為以規則的形式存放在規則庫中，每一條規則由規則頭部和規則選項兩個部分組成。規則頭定義了規則的動作、所匹配網絡報文的協議、源地址、目的地址、源端口以及目標端口等信息；規則選項部分則包含了所要顯示給用戶查看的警告信息以及用來判定報文是否為攻擊報文的其他信息。一條規則可以用來探測一個或多個類型的入侵活動，一個好的規則可以來探測多種入侵特征。圖7.10

Snort規則頭部結構協議部分用來在一個特定協議的包上應用規則。這是規則所涉及的第一個條件。一些可以用到的協議如IP、ICMP、UDP等等。地址部分定義源或目的地址。地址可以是一個主機、一些主機的地址或者網絡地址。注意，在規則中有兩個地址段，依賴于方向段決定地址是源或者是目的地址。例如，方向段的值是“->”,那么左邊的地址就是源地址，右邊的地址是目的地址。如果協議是TCP或UDP，則端口部分用來確定規則所對應的包的源及目的端口;如果是網絡層協議，如IP或ICMP，則端口號就沒有意義了。方向部分用來確定地址和端口是源，還是目的。例如，這樣一個規則，當它探測到TTL為100的ICMPPing包時，就會產生告警：

alerticmpanyany->anyany(msg：″PingwithTTL=100″；ttl：100；)括號之前的部分叫做規則頭部，括號中的部分叫做規則選項。頭部依次包括如下部分。（1）規則的動作。在這個規則中，動作是alert(告警)，指如果符合后面的條件，就會產生一個告警。如果產生告警，默認的情況下將會記錄日志。（2）協議。在這個規則中，協議是icmp，也就是說這條規則僅僅對icmp包有效，如果一個包的協議不是icmp，Snort探測引擎就不理會這個包以節省CPU時間。協議部分在對某種協議的包應用Snort規則時是非常重要的。（3）源地址和源端口。在這個例子中，它們都被設置成了any，也就是這條規則將被應用在來自任何地方的icmp包上，當然，端口號與icmp是沒有什么關系的，僅僅與TCP和UDP有關系。（4）方向。->表示從左向右的方向，表示在這個符號的左面部分是源，右面是目的，也表示規則應用在從源到目的的包上；如果是<-，那么就相反。注意，也可以用<>來表示規則將應用在所有方向上。

(5)目的地址和端口。都是“any”，表示規則并不關心它們的目的地址。在這個規則中，由于any的作用，方向段并沒有實際的作用，因為它將被應用在所有方向的icmp包上。在括號中的規則選項部分表示：如果包符合TTL=100的條件就產生一條包含文字：“PingwithTTL=100”的告警。TTL是IP包頭部字段。

4.Snort典型規則示例

Snort規則的本質就是簡單模式匹配，即通過對數據包的分析得到所需信息，用以匹配自身的規則庫。如果能夠匹配某一規則，就產生事件報警或者做日志記錄，否則就丟棄(即便是屬于攻擊)。根據網絡入侵的分類，較典型的Snort規則有以下幾類：

1）端口掃描端口掃描通常指用同一個信息對目標主機的所有需要掃描的端口發送探測數據包，然后根據返回端口的狀態來分析目標主機端口是否打開可用的行為。這是黑客用于收集目標主機相關信息，從而發現某些內在安全弱點的常用手段。規則實例：

alerttcpanyany->$HOME_NETany(msg：″SYNFINScan″；flags：SF：)含義：當有人對系統進行SYNFIN掃描時，向管理員發出端口掃描的警報。

2）系統后門在大多數情況下，攻擊者入侵一個系統后，可能還想在適當的時候再次進入系統，一種較好的方法就是在這個已被入侵的系統中留一個后門。后門(backdoor)就是攻擊者再次進入網絡或系統而不被發現的隱蔽通道。最簡單的方法就是在主機上打開一個監聽的端口。規則實例：

alertudpanyany->$HOME_NET31337(msg：″BackOrifice″；)含義：當有人連接系統UDP端口31337時，向管理員發出后門程序BackOrifice活動的警報。

3)拒絕服務拒絕服務攻擊(DenialofService)是一種最早也是最常見的攻擊形式，攻擊者通過發送一些非法的數據包使系統癱瘓，或者發送大量的數據包使系統無法響應，從而達到破壞系統的目的。規則實例：

alerttcp$EXTERNAL_NETany->$HOME_NET12754(msg：″DDOSmstreamclienttohandler″；flow：to_server，established；content：″>″；flags：A+；reference：cve，2000-0138；classtype：attemped-doc：sid：247；rev：5；)含義：目的端口號為12754的TCP連接中，數據包含字符串“>”時，向管理員發出拒絕服務攻擊的警報。

4)緩沖區溢出緩沖區溢出也是一種較為常用的黑客技術。它通過往程序的緩沖區寫入超出其長度的內容，造成緩沖區的溢出，并利用精心構造的數據覆蓋程序的返回指針，從而改變程序的執行流程，達到執行攻擊代碼的目的。規則實例：

alerttcpanyany->$HOME_NET21(msg：″FTPbufferoverflowl!″；content：″|5057440A2F69|″；)

含義：當有人向系統TCP端口21發送的數據中帶有二進制數據“|5057440A2F69|”時，向管理員發出FTP溢出攻擊的警報。7.6入侵防護系統7.6.1

IPS的原理絕大多數IDS系統都是被動的，而不是主動的。也就是說，在網絡入侵實際發生之前，它們往往無法預先發出警報。而入侵防護系統則傾向于提供主動防護，即預先對入侵活動和攻擊性網絡流量進行攔截。也就是說，IPS是一種主動的、積極的入侵防范及阻止系統，它部署在網絡的進出口處，當檢測到攻擊企圖后，它會自動地將攻擊包丟掉或采取措施將攻擊源阻斷。簡單地說，入侵防護系統(IPS)是任何能夠檢測已知和未知攻擊并且在沒有人為干預的情況下能夠自動阻止攻擊的硬件或者軟件設備。IPS也稱為IDP(IntrusionDetection&Prevention，入侵檢測和防御系統)，是指不但能檢測入侵的發生，而且能通過一定的響應方式，實時地中止入侵行為的發生和發展，實時地保護網絡及信息系統不受實質性攻擊的一種智能化的安全產品。入侵防護系統通過一個網絡接口接收來自外部系統的流量，經過檢查確認不含有異常活動或可疑內容后，再通過另外一個網絡接口將它傳遞到內部系統中；有問題的數據包，以及所有來自該問題的后續包，都會被IPS給徹底清除掉，如圖7.11所示。圖7.11

IPS工作原理

IPS實現實時檢查和阻止入侵的原理在于IPS擁有數目眾多的過濾器，能夠防止各種攻擊。當新的攻擊手段被發現之后，IPS就會創建一個新的過濾器。IPS數據包處理引擎是專業化定制的集成電路，可以深層檢查數據包的內容。如果有攻擊者利用數據鏈路層至應用層的漏洞發起攻擊，IPS就能夠從數據流中檢查出這些攻擊并加以阻止。IPS可以做到逐一字節地檢查數據包。所有流經IPS的數據包都會被分類，分類的依據是數據包中的報頭信息，如源IP地址和目的IP地址、端口號和應用域。每種過濾器負責分析相對應的數據包。通過檢查的數據包可以繼續前進，包含惡意內容的數據包就會被丟棄，被懷疑的數據包需要接受進一步的檢查。7.6.2

IPS的分類

1.基于主機的入侵防護(HIPS)基于主機的入侵防護系統(HIPS)，通過在主機/服務器上安裝軟件代理程序，來防止網絡攻擊入侵操作系統以及應用程序。基于主機的入侵防護能夠保護服務器的安全弱點不被不法分子所利用；可以根據自定義的安全策略以及分析學習機制來阻斷對服務器、主機發起的惡意入侵；可以阻斷緩沖區溢出、改變登錄口令、改寫動態鏈接庫以及其他試圖從操作系統奪取控制權的入侵行為，整體提升主機的安全水平。在技術上，HIPS采用獨特的服務器保護途徑，利用由包過濾、狀態包檢測和實時入侵檢測組成的分層防護體系。這種體系能夠在提供合理吞吐率的前提下，最大限度地保護服務器的敏感內容，既可以以軟件形式嵌入到應用程序對操作系統的調用當中，通過攔截對操作系統的可疑調用，提供對主機的安全防護(現在大部分防病毒軟件的實時保護功能，實際上已經提供了部分這樣的功能)；也可以以更改操作系統內核程序的方式，提供比操作系統更加嚴謹的安全控制機制。由于HIPS工作在受保護的主機/服務器上，因此它與具體的主機/服務器操作系統平臺緊密相關，不同的平臺需要不同的軟件代理程序。

2.基于網絡的入侵防護(NIPS)基于網絡的入侵防護系統(NIPS)，通過檢測流經的網絡流量，來提供對網絡系統的安全保護。由于它采用串聯連接方式，因此一旦辨識出入侵行為，NIPS就可以阻止整個網絡會話，而不僅僅是復位會話。同樣由于實時在線，NIPS需要具備很高的性能，以免成為網絡的瓶頸，因此NIPS通常被設計成類似于交換機的網絡設備，提供線速吞吐速率以及多個網絡端口。基于特定的硬件平臺，才能真正實現千兆級網絡流量的深度數據包檢測和阻斷功能。這種特定的硬件平臺通常可以分為三類：第一類是網絡處理器(NP)，第二類是專用的FPGA編程芯片，第三類是專用的ASIC芯片。在技術上，NIPS吸取了目前NIDS所有的成熟技術，包括特征匹配、協議分析和異常檢測。特征匹配是最廣泛應用的技術，具有準確率高、速度快的特點。基于狀態的特征匹配不但能檢測攻擊行為的特征，還要檢查當前網絡的會話狀