第7章入侵檢測技術7.1入侵檢測技術概述7.2入侵檢測技術的發展現狀與趨勢7.3入侵檢測系統7.4入侵檢測產品7.5Windows2000入侵檢測技術實訓九Windows環境下輕型Snort入侵檢測系統的構建7.1入侵檢測技術概述7.1.1入侵檢測的起源

1.概念的誕生

1980年4月，JamesAnderson為美國空軍做了一份題為《ComputerSecurityThreatMonitoringandSurveillance》(計算機安全威脅監控與監視)的技術報告，第一次詳細闡述了入侵檢測的概念。這份報告被公認為是入侵檢測的開山之作。

2.模型的建立從1984年到1986年，喬治敦大學的DorothyDenning和SRI/CSL(SRI公司計算機科學實驗室)的PeterNeumann研究出了一個實時入侵檢測系統模型，取名為IDES(入侵檢測專家系統)。

1988年，SRI/CSL的TeresaLunt等人改進了Denning的入侵檢測模型，并開發出了一個IDES。

3.快速的發展

1990年是入侵檢測系統發展史上的一個分水嶺。這一年，加州大學戴維斯分校的L.T.Heberlein等人開發出了NSM(NetworkSecurityMonitor)。入侵檢測系統的兩大陣營正式形成：基于網絡的IDS和基于主機的IDS。

1988年的莫里斯蠕蟲事件發生之后，網絡安全才真正引起了軍方、學術界和企業的高度重視。各方相繼開展對分布式入侵檢測系統(DIDS)的研究。DIDS是分布式入侵檢測系統歷史上的一個里程碑式的產品。從20世紀90年代到現在，入侵檢測系統的研發呈現出百家爭鳴的繁榮局面，并在智能化和分布式兩個方向取得了長足的進展。7.1.2入侵檢測技術的概念入侵檢測是指“通過對行為、安全日志、審計數據或其它網絡上可以獲得的信息進行操作，檢測到對系統的闖入或闖入的企圖”(參見GB/T18336)，是檢測和響應計算機誤用的學科，其作用包括威懾、檢測、響應、損失情況評估、攻擊預測和起訴支持。入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。入侵檢測系統(IDS，IntrusionDetectionSystem)是進行入侵檢測的軟件與硬件的組合。上面的定義可以理解為：入侵檢測(IntrusionDetection)是識別針對計算機或網絡資源的惡意企圖和行為，并對此做出反應的過程。IDS則是完成如上功能的獨立系統。IDS能夠檢測未授權對象(人或程序)針對系統的入侵企圖或行為(Intrusion)，同時監控授權對象對系統資源的非法操作(Misuse)。入侵檢測系統具備以下的幾個功能：

(1)從系統的不同環節收集信息；

(2)分析信息，試圖尋找入侵活動的特征；

(3)自動對檢測到的行為做出響應；

(4)記錄并報告檢測過程結果。入侵檢測作為一種積極主動的安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網絡系統受到危害之前攔截和響應入侵。入侵檢測系統能很好地彌補防火墻的不足，從某種意義上說是防火墻的補充。為了能夠更好地理解入侵檢測系統，我們做一個比喻：假如防火墻是一幢大樓的門鎖，那么IDS就是這幢大樓里的監視系統。如果小偷爬窗進入大樓，或內部人員有越界行為，實時監視系統能發現情況并發出警告。7.1.3入侵檢測系統的工作流程和部署

1.入侵檢測系統的工作流程入侵檢測系統的工作流程大致分為以下幾個步驟：信息收集、信息分析和結果處理。

1)信息收集入侵檢測的第一步是信息收集，收集內容包括系統、網絡、數據及用戶活動的狀態和行為。由放置在不同網段的傳感器或不同主機的代理來收集信息，包括系統和網絡日志文件、網絡流量、非正常的目錄和文件改變、非正常的程序執行等。

2)信息分析收集到的有關系統、網絡、數據及用戶活動的狀態和行為等信息，被送到檢測引擎，檢測引擎駐留在傳感器中，一般通過三種技術手段進行分析：模式匹配、統計分析和完整性分析。當檢測到某種誤用模式時，產生一個告警并發送給控制臺。其具體的技術形式如下所述：

(1)模式匹配。模式匹配就是將收集到的信息與已知的網絡入侵和系統誤用模式數據庫進行比較，從而發現違背安全策略的行為。該過程可以很簡單(如通過字符串匹配以尋找一個簡單的條目或指令)，也可以很復雜(如利用正規的數學表達式來表示安全狀態的變化)。一般來講，一種進攻模式可以用一個過程(如執行一條指令)或一個輸出(如獲得權限)來表示。該方法的一大優點是只需收集相關的數據集合，顯著減少系統負擔，且技術已相當成熟。它與病毒防火墻采用的方法一樣，檢測準確率和效率都相當高。但是，該方法存在的弱點是需要不斷地升級以對付不斷出現的黑客攻擊手段，不能檢測到從未出現過的黑客攻擊手段。

(2)統計分析。分析方法首先給信息對象(如用戶、連接、文件、目錄和設備等)創建一個統計描述，統計正常使用時的一些測量屬性(如訪問次數、操作失敗次數和延時等)。測量屬性的平均值將被用來與網絡、系統的行為進行比較，任何觀察值在正常偏差之外時，就認為有入侵發生。例如，統計分析可能標識一個不正常行為，因為它發現一個在晚八點至早六點不登錄的帳戶卻在凌晨兩點試圖登錄。其優點是可檢測到未知的入侵和更為復雜的入侵，缺點是誤報、漏報率高，且不適應用戶正常行為的突然改變。具體的統計分析方法如基于專家系統的、基于模型推理的和基于神經網絡的分析方法，是目前的研究熱點，正處于迅速發展之中。

(3)完整性分析。完整性分析主要關注某個文件或對象是否被更改，包括文件和目錄的內容及屬性，它在發現被更改的、被特洛伊化的應用程序方面特別有效。完整性分析利用強有力的加密機制，能識別極其微小的變化。其優點是不管模式匹配方法和統計分析方法能否發現入侵，只要是成功的攻擊導致了文件或其它對象的任何改變，它都能夠發現。缺點是一般以批處理方式實現，不用于實時響應。這種方式主要應用于基于主機的入侵檢測系統(HIDS)。

3)結果處理控制臺按照告警產生預先定義的響應采取相應措施，可以是重新配置路由器或防火墻、終止進程、切斷連接、改變文件屬性，也可以只是簡單的告警。

2.入侵檢測系統的部署經典的入侵檢測系統的部署方式如圖7-1所示。圖7-1RealSecure的部署圖圖7-1為ISS(InternetSecuritySystems)RealSecure的部署圖，RealSecure是一種混合型的入侵檢測系統，提供基于網絡和基于主機的實時入侵檢測。其控制臺運行在Windows2000上。RealSecure的傳感器是自治的，能被許多控制臺控制。其各部分的功能如下：

(1)?RealSecure控制臺：對多臺網絡傳感器和服務器代理進行管理；對被管理傳感器進行遠程的配置和控制；各個監控器發現的安全事件實時地報告控制臺。

(2)?NetworkSensor(網絡引擎)：對網絡進行監聽并自動對可疑行為進行響應，最大程度保護網絡安全；運行在特定的主機上，監聽并解析所有的網絡信息，及時發現具有攻擊特征的信息包；檢測本地網段，查找每一數據包內隱藏的惡意入侵，對發現的入侵做出及時的響應。當檢測到攻擊時，網絡引擎能即刻做出響應，進行告警/通知(向控制臺告警、向安全管理員發E-mail、SNMPtrap、查看實時會話和通報其他控制臺)，記錄現場(記錄事件日志及整個會話)，采取安全響應行動(終止入侵連接、調整網絡設備配置、執行特定的用戶響應程序)。

(3)?ServerSensor(服務器代理，安裝在各個服務器上)：對主機的核心級事件、系統日志以及網絡活動實現實時入侵檢測；具有包攔截、智能報警以及阻塞通信的能力，能夠在入侵到達操作系統或應用程序之前主動阻止入侵；自動重新配置網絡引擎和選擇防火墻阻止黑客的進一步攻擊。7.1.4入侵檢測技術的分類現有對入侵檢測技術的分類，大都是基于信息源和分析方法進行的。

1.根據檢測對象分類根據信息源的不同，入侵檢測技術分為基于主機型和基于網絡型。

1)基于主機的入侵檢測系統(HIDS，Host-basedIntrusionDetectionSystem)基于主機的IDS可監測系統、事件和WindowsNT下的安全記錄以及Unix環境下的系統記錄。當有文件被修改時，IDS將新的記錄條目與已知的攻擊特征相比較，看它們是否匹配。如果匹配，就會向系統管理員報警或者做出適當的響應。基于主機的IDS在發展過程中融入了其他技術。檢測對關鍵系統文件和可執行文件入侵的一個常用方法是通過定期檢查文件的校驗和來進行的，這可以發現異常的變化，而反應的快慢取決于輪詢間隔時間的長短。許多產品都監聽端口的活動，并在特定端口被訪問時向管理員報警。這類檢測方法將基于網絡的入侵檢測的基本方法融入到基于主機的檢測環境中。

2)基于網絡的入侵檢測系統(NIDS，Network-basedIntrusionDetectionSystem)基于網絡的入侵檢測系統以網絡包作為分析數據源。它通常利用一個工作在混雜模式下的網卡來實時監視并分析通過網絡的數據流。它的分析模塊通常使用模式匹配、統計分析等技術來識別攻擊行為。一旦檢測到了攻擊行為，IDS的響應模塊就做出適當的響應，比如報警、切斷相關用戶的網絡連接等。不同入侵檢測系統在實現時采用的響應方式也可能不同，但通常都包括通知管理員、切斷連接、記錄相關的信息以提供必要的法律依據等。

3)基于主機和基于網絡的入侵檢測系統的集成許多機構的網絡安全解決方案都同時采用了基于主機和基于網絡的兩種入侵檢測系統，因為這兩種系統在很大程度上是互補的。實際上，許多客戶在使用IDS時都配置了基于網絡的入侵檢測。在防火墻之外的檢測器檢測來自外部Internet的攻擊。DNS、E-mail和Web服務器經常是攻擊的目標，但是它們又必須與外部網絡交互，不可能對其進行全部屏蔽，所以應當在各個服務器上安裝基于主機的入侵檢測系統，其檢測結果也要向分析員控制臺報告。因此，即便是小規模的網絡結構也常常需要基于主機和基于網絡的兩種入侵檢測能力。

2.根據檢測技術分類根據檢測所用分析方法的不同，可分為誤用檢測和異常檢測。

1)誤用檢測(MisuseDetection)檢測與已知的不可接受行為之間的匹配程度。如果可以定義所有的不可接受行為，那么每種能夠與之匹配的行為都會引起告警。收集非正常操作的行為特征，建立相關的特征庫，當監測的用戶或系統行為與庫中的記錄相匹配時，系統就認為這種行為是入侵。這種檢測模型誤報率低、漏報率高。對于已知的攻擊，它可以詳細、準確地報告出攻擊類型，但是對未知攻擊卻效果有限，而且特征庫必須不斷更新。設定一些入侵活動的特征(Signature)，通過現在的活動是否與這些特征匹配來檢測。常用的檢測技術有以下幾種。

(1)專家系統：采用一系列的檢測規則分析入侵的特征行為。規則，即知識，是專家系統賴以判定入侵存在與否的依據。除了知識庫的完備性外，專家系統還依靠條件庫的完備性，這一點又取決于審計記錄的完備性、實時性和易用性。此外，匹配算法的快慢，也對專家系統的工作效率有很大的影響。

(2)基于模型的入侵檢測方法：入侵者在攻擊一個系統時往往采用一定的行為序列，如猜測口令的行為序列。這種行為序列構成了具有一定行為特征的模型，根據這種模型所代表的攻擊意圖的行為特征，可以實時地檢測出惡意的攻擊企圖。與專家系統通常放棄處理那些不確定的中間結論的缺點相比，這一方法的優點在于它基于完善的不確定性推理數學理論。基于模型的入侵檢測方法可以僅監測一些主要的審計事件。當這些事件發生后，再開始記錄詳細的審計，從而減少審計事件處理負荷。這種檢測方法的另外一個特點是可以檢測組合攻擊(coordinateattack)和多層攻擊(multi-stageattack)，因此為分布式IDS系統所采用。

(3)簡單模式匹配(PatternMatching)：基于模式匹配的入侵檢測方法將已知的入侵特征編碼成為與審計記錄相符合的模式。當新的審計事件產生時，這一方法將尋找與它相匹配的已知入侵模式。

(4)軟計算方法：軟計算方法包含了神經網絡、遺傳算法與模糊技術。近年來已有關于運用神經網絡進行入侵檢測實驗的報道，但還沒有正式的產品問世。

2)異常檢測(AnomalyDetection)檢測與可接受行為之間的偏差。如果可以定義每項可接受的行為，那么每項不可接受的行為就都應該是入侵。首先總結正常操作應該具有的特征(用戶輪廓)，當用戶活動與正常行為有重大偏離時即被認為是入侵。這種檢測模型漏報率低，誤報率高。因為不需要對每種入侵行為進行定義，所以能有效檢測未知的入侵。異常檢測假設入侵者活動異于正常的活動。為實現該類檢測，IDS建立正常活動的“規范集”(NormalProfile)，當主體的活動違反其統計規律時，認為可能是“入侵”行為。異常檢測的優點：具有抽象系統正常行為從而檢測系統異常行為的能力。這種能力不受系統以前是否知道這種入侵與否的限制，所以能夠檢測新的入侵行為。異常檢測的缺點：若入侵者了解到檢測規律，就可以小心地避免系統指標的突變，而使用逐漸改變系統指標的方法逃避檢測；檢測效率不高，檢測時間較長；是一種“事后”檢測，當檢測到入侵行為時，破壞早已經發生了。

3)統計方法統計方法是當前產品化的入侵檢測系統中常用的方法，它是一種成熟的入侵檢測方法，它使入侵檢測系統能夠學習主體的日常行為，將那些與正常活動之間存在較大統計偏差的活動標識成異常活動。常用的入侵檢測統計模型為：操作模型、方差、計算參數的方差、多元模型、馬爾柯夫過程模型和時間序列分析。統計方法的最大優點是它可以“學習”用戶的使用習慣，從而具有較高檢出率與可用性。但是它的“學習”能力也給入侵者以機會：通過逐步“訓練”使入侵事件符合正常操作的統計規律，從而透過入侵檢測系統。入侵檢測系統的分類如圖7-2所示。圖7-2入侵檢測系統分類圖7.2入侵檢測技術的發展現狀與趨勢7.2.1發展現狀

1.應用領域越來越廣泛在互聯網高速上網迅速發展的今天，隨著安全事件的急劇增加以及入侵檢測技術的逐步成熟，入侵檢測系統將會有很大的應用前景。比如銀行的互聯網應用系統(支付網關、網上銀行等)、科研單位的開發系統、軍事系統、普通的電子商務系統、ICP等，都需要有IDS的護衛。移動通信由于具有不受地理位置的限制、可自由移動等優點而得到了用戶的普遍歡迎和廣泛使用。但是移動通信在帶來可移動的優越性的同時也帶來了系統安全性的問題。由于移動通信的固有特點，移動臺(MS)與基站(BS)之間的空中無線接口是開放的，整個通信過程，包括通信、鏈路的建立、信息的傳輸(如用戶的身份信息、位置信息、語音以及其它數據流)均暴露在第三方面前。而且在移動通信系統中，移動用戶與網絡之間不存在固定物理連接的特點使得移動用戶必須通過無線信道傳遞其身份信息，以便于網絡端能正確鑒別移動用戶的身份，而這些信息就可能被第三者截獲，并偽造信息，假冒此用戶身份使用通信服務。另外，無線網絡也容易受到黑客和病毒的攻擊。因此，IDS在無線網絡方面有廣闊的應用前景。越來越多的人通過互聯網將家中的計算機與公司聯網，而由于使用了寬帶，這些用戶的網絡或DSL調制解調器總是處于打開的狀態，對黑客有極大的誘惑力。黑客可以由此侵入網絡，盜竊信用卡、身份證明或進入網絡管理系統，一些傳播很快的病毒還會把個人計算機的內容暴露給黑客，這些都預示著IDS將逐漸走入家庭。

2.規模和方法發生了變化從規模與方法上，入侵技術近年來都發生了變化。主要反映在下列幾個方面：

(1)入侵或攻擊的綜合化與復雜化。由于網絡防范技術的多重化，攻擊的難度增加，使得入侵者在實施入侵或攻擊時往往同時采取多種入侵的手段，以保證入侵的成功幾率，并可在攻擊實施的初期掩蓋攻擊或入侵的真實目的。

(2)入侵主體對象的間接化，即實施入侵與攻擊的主體的隱蔽化。通過一定的技術，可掩蓋攻擊主體的源地址及主機位置。即使用了隱蔽技術后，對于被攻擊對象，攻擊的主體是無法直接確定的。

(3)入侵或攻擊的規模擴大。對于網絡的入侵與攻擊，其初期往往是針對某公司或一個網站，其攻擊的目的可能是某些網絡技術愛好者的獵奇行為，也不排除商業的盜竊與破壞行為。由于戰爭對電子技術與網絡技術的依賴性越來越大，隨之產生、發展、逐步升級到電子戰與信息戰。對于信息戰，無論其規模與技術都與一般意義上的計算機網絡的入侵與攻擊不可相提并論。信息戰的成敗和國家主干通信網絡的安全是與任何主權國家領土安全一樣重要的國家安全。

(4)入侵或攻擊技術的分布化。以往常用的入侵與攻擊行為往往由單機執行。由于防范技術的發展使得此類行為不能奏效。所謂的分布式拒絕服務(DDoS)在很短時間內可造成被攻擊主機的癱瘓。且此類分布式攻擊的單機信息模式與正常通信無差異，所以往往在攻擊發動的初期不易被確認。分布式攻擊是近年來最常用的攻擊手段之一。

(5)攻擊對象的轉移。入侵與攻擊常以網絡為侵犯的主體，但近期來的攻擊行為卻發生了策略性的改變，由攻擊網絡改為攻擊網絡的防護系統，且有愈演愈烈的趨勢。現已有專門針對IDS進行攻擊的報道。攻擊者詳細地分析了IDS的審計方式、特征描述、通信模式后找出IDS的弱點，然后加以攻擊。

3.目前IDS存在的缺陷入侵檢測系統作為網絡安全防護的重要手段，有很多地方值得我們進一步深入研究。目前的IDS還存在很多問題，有待于進一步完善。

1)高誤警(誤報)率誤警的傳統定義是將良性流量誤認為惡性的。廣義上講，誤警還包括對IDS用戶不關心事件的告警。因此，導致IDS產品高誤警率的原因是IDS檢測精度過低以及用戶對誤警概念的拓展。

2)產品適應能力低傳統的IDS產品在開發時沒有考慮特定網絡環境的需求，千篇一律。網絡技術在發展，網絡設備變得復雜化、多樣化，這就需要入侵檢測產品能動態調整，以適應不同環境的需求。

3)大型網絡的管理問題很多企業規模在不斷擴大，對IDS產品的部署從單點發展到跨區域全球部署，這就將公司對產品管理的問題提上了日程。首先，要確保新的產品體系結構能夠支持數以百計的IDS傳感器；其次，要能夠處理傳感器產生的告警事件；此外，還要解決攻擊特征庫的建立、配置以及更新問題。

4)缺少防御功能檢測，作為一種被動且功能有限的技術，缺乏主動防御功能。因此，需要在下一代IDS產品中嵌入防御功能，才能變被動為主動。

5)評價IDS產品沒有統一標準對入侵檢測系統的評價目前還沒有客觀的標準，標準的不統一使得入侵檢測系統之間不易互聯。隨著技術的發展和對新攻擊識別的增加，入侵檢測系統需要不斷升級才能保證網絡的安全性。

6)處理速度上的瓶頸隨著高速網絡技術如ATM、千兆以太網等的相繼出現，如何實現高速網絡下的實時入侵檢測是亟需解決的問題。目前的百兆、千兆IDS產品的性能指標與實際要求還存在很大的差距。7.2.2發展趨勢

1.發展方向今后的入侵檢測技術大致可朝下述三個方向發展。

1)分布式入侵檢測分布式入侵檢測有兩層含義：第一層，針對分布式網絡攻擊的檢測方法；第二層，使用分布式的方法來檢測分布式的攻擊，其中的關鍵技術為檢測信息的協同處理與入侵攻擊的全局信息的提取。分布式系統是現代IDS主要發展方向之一，它能夠在數據收集、入侵分析和自動響應方面最大限度地發揮系統資源的優勢，其設計模型具有很大的靈活性。

2)智能化入侵檢測智能化入侵檢測即使用智能化的方法與手段來進行入侵檢測。所謂的智能化方法，現階段常用的有神經網絡、遺傳算法、模糊技術、免疫原理等方法，這些方法常用于入侵特征的辨識與泛化。利用專家系統的思想來構建入侵檢測系統也是常用的方法之一。特別是具有自學習能力的專家系統，實現了知識庫的不斷更新與擴展，使設計的入侵檢測系統的防范能力不斷增強，應具有更廣泛的應用前景。應用智能體的概念來進行入侵檢測的嘗試也已有報道。較為一致的解決方案應為高效常規意義下的入侵檢測系統與具有智能檢測功能的檢測軟件或模塊的結合使用。

3)全面的安全防御方案結合防火墻、PKIX、安全電子交易(SET)等新的網絡安全與電子商務技術，提供完整的網絡安全保障。例如，基于網絡和基于主機的入侵檢測系統相結合，將把現在的基于網絡和基于主機這兩種檢測技術很好地集成起來，相互補充，提供集成化的攻擊、檢測、報告和事件關聯等功能。同時，使用安全工程風險管理的思想與方法來處理網絡安全問題，將網絡安全作為一個整體工程來處理。從管理、網絡結構、加密通道、防火墻、病毒防護、入侵檢測等多方位對所關注的網絡作全面的評估，然后提出可行的全面解決方案。

2.下一代IDS系統采用的技術為了降低誤警率，合理部署多級傳感器，有效控制跨區域的傳感器，下一代入侵檢測產品需要包含以下關鍵技術。

1)智能關聯智能關聯是將企業相關系統的信息(如主機特征信息)與網絡IDS檢測結構相融合，從而減少誤警。如系統的脆弱性信息需要包括特定的操作系統(OS)以及主機上運行的服務。當IDS使用智能關聯時，它可以參考目標主機上存在的、與脆弱性相關的所有告警信息。如果目標主機不存在某個攻擊可以利用的漏洞，IDS將抑制告警的產生。

2)告警泛濫抑制

IDS產品使用告警泛濫抑制技術可以降低誤警率。在利用漏洞的攻擊勢頭逐漸變強之時，IDS短時間內會產生大量的告警信息；而IDS傳感器卻要對同一攻擊重復記錄，尤其是蠕蟲在網絡中自我繁殖的過程中，這種現象最為嚴重。NFR(一家網絡安全公司)稱這種現象為“告警飽和”。“告警泛濫”是指短時間內產生的關于同一攻擊的告警。下一代IDS產品利用一些規則(規則的制定需要考慮傳感器)篩選產生的告警信息來抑制告警泛濫；IDS可根據用戶需求減少或抑制短時間內同一傳感器針對某個流量產生的重復告警。這樣，網管人員可以專注于公司網絡的安全狀況，不至于為泛濫的告警信息大傷腦筋。告警泛濫抑制技術是將一些規則或參數(包括告警類型、源IP、目的IP以及時間窗大小)融入到IDS傳感器中，使傳感器能夠識別告警飽和現象并實施抑制操作。有了這種技術，傳感器可以在告警前對警報進行預處理，抑制重復告警。例如，可以對傳感器進行適當配置，使它忽略在30?s內產生的針對同一主機的告警信息；IDS在抑制告警的同時可以記錄這些重復告警用于事后的統計分析。

3)告警融合該技術是將不同傳感器產生的、具有相關性的低級別告警融合成更高級別的告警信息，這有助于解決誤報和漏報問題。當與低級別告警有關的條件或規則滿足時，安全管理員在IDS上定義的元告警相關性規則就會促使高級別告警產生。元告警相關性規則中定義的參數包括時間窗、事件數量、事件類型IP地址、端口號、事件順序等。

4)可信任防御模型改進的IDS中應該包含可信任防御模型的概念。事實上，2004年多數傳統的IDS供應商已經逐漸地把防御功能加入到IDS產品中。與此同時，IPS(入侵防御系統)產品的使用率在增長，但是安全人士仍然為IDS產品預留了實現防御功能的空間。IDS產品供應商之所以這樣做，部分原因在于他們認識到防御功能能否有效地實施關鍵在于檢測功能的準確性和有效性。沒有精確的檢測就談不上建立可信任的防御模型。所以，開發出好的內嵌防御功能的IDS產品關鍵在于提高檢測的精確度。在下一代IDS產品中，融入可信任防御模型后，將會對第一代IDS產品遇到的問題(誤報導致合法數據被阻塞、丟棄；自身原因造成的拒絕服務攻擊泛濫；應用級防御)有個圓滿的解決。7.3入侵檢測系統7.3.1基于網絡的入侵檢測系統基于網絡的入侵檢測產品(NIDS)放置在比較重要的網段內，不停地監視網段中的各種數據包。對每一個數據包或可疑的數據包進行特征分析。如果數據包與產品內置的某些規則吻合，入侵檢測系統就會發出警報甚至直接切斷網絡連接。目前，大部分入侵檢測產品是基于網絡的。值得一提的是，在網絡入侵檢測系統中，有多個久負盛名的開放源碼軟件，如Snort、NFR、Shadow等，其中Snort的社區()非常活躍，其入侵特征更新速度與研發的進展已超過了大部分商品化產品。

1.網絡入侵檢測系統的優點網絡入侵檢測系統能夠檢測那些來自網絡的攻擊，它能夠檢測到超過授權的非法訪問。一個網絡入侵檢測系統不需要改變服務器等主機的配置。由于它不會在業務系統的主機中安裝額外的軟件，從而不會影響這些機器的CPU、I/O與磁盤等資源的使用，不會影響業務系統的性能。網絡入侵檢測系統發生故障不會影響正常業務的運行。部署一個網絡入侵檢測系統的風險比部署一個主機入侵檢測系統的風險少得多。網絡入侵檢測系統近年來有向專門設備發展的趨勢，安裝這樣的一個網絡入侵檢測系統非常方便，只需將定制的設備接上電源，做很少一些配置，將其連到網絡上即可。

2.網絡入侵檢測系統的弱點網絡入侵檢測系統只能檢查它直接連接網段的通信，不能檢測在不同網段的網絡包。在使用交換以太網的環境中就會出現監測范圍的局限。而安裝多臺網絡入侵檢測系統的傳感器會使部署整個系統的成本大大增加。網絡入侵檢測系統為了性能目標通常采用特征檢測的方法，它可以檢測出一些普通的攻擊，而很難實現一些復雜的需要大量計算與分析時間的攻擊檢測。網絡入侵檢測系統可能會將大量的數據傳回分析系統中。在一些系統中監聽特定的數據包會產生大量的分析數據流量。一些系統在實現時采用一定方法來減少回傳的數據量，對入侵判斷的決策由傳感器實現，而中央控制臺成為狀態顯示與通信中心，不再作為入侵行為分析器。這樣的系統中的傳感器協同工作能力較弱。網絡入侵檢測系統處理加密的會話過程較困難，目前通過加密通道的攻擊尚不多，但隨著IPv6的普及，這個問題會越來越突出。7.3.2基于主機的入侵檢測系統基于主機的入侵檢測產品(HIDS)通常安裝在被重點檢測的主機之上，主要是對該主機的網絡實時連接以及系統審計日志進行智能分析和判斷。如果其中主體活動十分可疑(特征或違反統計規律)，入侵檢測系統就會采取相應措施。

1.主機入侵檢測系統的優點主機入侵檢測系統對分析“可能的攻擊行為”非常有用。舉例來說，有時候它除了指出入侵者試圖執行一些“危險的命令”之外，還能分辨出入侵者干了什么事：他們運行了什么程序、打開了哪些文件、執行了哪些系統調用。主機入侵檢測系統與網絡入侵檢測系統相比通常能夠提供更詳盡的相關信息。主機入侵檢測系統通常情況下比網絡入侵檢測系統誤報率要低，因為檢測在主機上運行的命令序列比檢測網絡流更簡單，系統的復雜性也少得多。主機入侵檢測系統可部署在那些不需要廣泛的入侵檢測或傳感器與控制臺之間的通信帶寬不足的情況下。主機入侵檢測系統在不使用諸如“停止服務”、“注銷用戶”等響應方法時風險較少。

2.主機入侵檢測系統的弱點主機入侵檢測系統安裝在需要保護的設備上。當一個數據庫服務器需要保護時，就要在服務器本身安裝上入侵檢測系統，這會降低應用系統的效率，并帶來一些額外的安全問題，如安裝了主機入侵檢測系統后，將本不允許安全管理員訪問的服務器變成可以訪問的了。主機入侵檢測系統的另一個問題是它依賴于服務器固有的日志與監視能力。如果服務器沒有配置日志功能，則必須重新配置，這將會給運行中的業務系統帶來不可預見的性能影響。全面部署主機入侵檢測系統代價較大，企業中很難將所有主機用主機入侵檢測系統保護，只能選擇保護部分主機。那些未安裝主機入侵檢測系統的機器將成為保護的盲點，入侵者可利用這些機器攻擊目標。主機入侵檢測系統只監測自身的主機，根本不監測網絡上的情況。對入侵行為分析的工作量將隨著主機數目的增加而增加。7.3.3混合入侵檢測系統基于網絡的入侵檢測產品和基于主機的入侵檢測產品都有不足之處，單純使用一類產品會造成主動防御體系不全面。但是，它們的缺憾是互補的。如果這兩類產品能夠無縫結合起來部署在網絡內，則會構架成一套完整立體的主動防御體系，這個體系綜合了基于網絡和基于主機兩種結構特點的入侵檢測系統，既可發現網絡中的攻擊信息，也可從系統日志中發現異常情況。7.3.4文件完整性檢查系統文件完整性檢查系統檢查計算機中自上次檢查后文件的變化情況。文件完整性檢查系統保存有每個文件的數字文摘數據庫，每次檢查時，它重新計算文件的數字文摘并將它與數據庫中的值相比較，如不同，則表示文件已被修改，若相同，則表示文件未發生變化。文件的數字文摘通過Hash函數計算得到。不管文件長度如何，它的Hash函數計算結果總是一個固定長度的數字。與加密算法不同，Hash算法是一個不可逆的單向函數。采用安全性高的Hash算法，如MD5、SHA時，兩個不同的文件幾乎不可能得到相同的Hash結果。從而，當文件一被修改，就可檢測出來。在文件完整性檢查中功能最全面的當屬Tripwire，其開放源代碼的版本可從獲得。

1.文件完整性檢查系統的優點從數學上分析，攻克文件完整性檢查系統，無論是時間上還是空間上都是不可能的。文件完整性檢查系統是非常強勁的檢測文件是否被修改的工具。實際上，文件完整性檢查系統是檢測系統是否被非法使用的最重要的工具之一。文件完整性檢查系統具有相當的靈活性，可以配置成監測系統中所有文件或只監測某些重要文件。當一個入侵者攻擊系統時會干兩件事：首先，他要掩蓋蹤跡，即要通過更改系統中的可執行文件、庫文件或日志文件來隱藏他的活動；其次，他要做一些改動，保證下次能夠繼續入侵。這兩種活動都能夠被文件完整性檢查系統檢測出。

2.文件完整性檢查系統的弱點文件完整性檢查系統依賴于本地的文摘數據庫。與日志文件一樣，這些數據可能被入侵者修改。當一個入侵者取得管理員權限后，在完成破壞活動后，可以運行文件完整性檢查系統更新數據庫，從而瞞過系統管理員。當然，可以將文摘數據庫放在只讀的介質上，但這樣的配置又不夠靈活。做一次完整的文件完整性檢查是一個非常耗時的工作，在Tripwire中，在需要時可選擇檢查某些系統特性而不是完全的摘要，從而加快檢查速度。系統有些正常的更新操作可能會帶來大量的文件更新，從而產生比較繁雜的檢查與分析工作，如，在WindowsNT系統中升級MSOutlook會導致1800多個文件發生變化。7.4入侵檢測產品7.4.1主要的IDS公司及其產品目前國內外已有很多公司開發入侵檢測系統，有的作為獨立的產品，有的作為防火墻的一部分，其結構和功能也不盡相同。

1.?Cisco公司的NetRanger

1996年3月，WheelGroup基于多年的業界經驗推出了NetRanger。產品分為兩部分：監測網絡包和發告警的傳感器，以及接收并分析告警和啟動對策的控制器。另外，至少還需要一臺奔騰PC來運行傳感器程序以及一臺SunSparcStation通過OpenView或NetView來運行控制器程序。兩者都運行Sun的Solaris系統。

NetRanger以其高性能而聞名，而且它還非常易于裁剪。控制器程序可以綜合多站點的信息并監視散布在整個企業網上的攻擊。NetRanger的最大名聲在于其是針對企業而設計的。這種名聲的標志之一是其分銷渠道，EDS、PerotSystems、IBMGlobalServices都是其分銷商。

NetRanger在全球廣域網上運行得很成功。例如，它有一個路徑備份(Path-doubling)功能。如果一條路徑斷掉了，信息可以從備份路徑上傳過來。它甚至能做到從一個點上監測全網或把監測權轉給第三方。

NetRanger的另一個強項是其在檢測問題時不僅觀察單個包的內容，而且還看上下文，即從多個包中得到線索。這是很重要的一點，因為入侵者可能以字符模式存取一個端口，然后在每個包中只放一個字符。如果一個監測器只觀察單個包，它就永遠不會發現完整的信息。按照GartnerGroup的研究專家JudeO’Reilley的說法，NetRanger是目前市場上基于網絡的入侵檢測軟件中經受實踐考驗最多的產品之一。但是，對于某些用戶來講，NetRanger的強項也可能正好是其不足。它被設計為集成在OpenView或NetView下，在網絡運行中心(NOC)使用，其配置需要對UNIX有詳細的了解。NetRanger相對較昂貴，這對于一般的局域網來講也未必適合。

2.?NetworkAssociates公司的CyberCop

NetworkAssociates公司是1977年由以生產Sniffer類探測器聞名的NetworkGeneral公司與以生產反病毒產品為專業的McAfeeAssociates公司合并而成的。NetWorkAssociates從Cisco那里取得授權，將NetRanger的引擎和攻擊模式數據庫用在CyberCop中。

CyberCop基本上可以認為是NetRanger的局域網管理員版。這些局域網管理員正是NetWorkAssociates的主要客戶群。其軟件價格比NetRanger還貴，但其平臺卻可以是運行Solaris2.5.1的。另外，CyberCop被設計成一個網絡應用程序，一般在20分鐘內就可以安裝完畢。它預設了6種通常的配置模式：WindowsNT和UNIX的混合子網、UNIX子網、NT子網、遠程訪問、前沿網(如Internet的接入系統)和骨干網。它沒有Netware的配置。前端設計成瀏覽器方式主要是考慮易于使用，發揮NetworkGeneral在提煉包數據上的經驗，用戶使用時也易于查看和理解。像在Sniffer中一樣，它在幫助文檔里結合了專家知識。CyberCop還能生成可以被Sniffer識別的蹤跡文件。與NetRanger相比，CyberCop缺乏一些企業應用的特征，如路徑備份功能等。

3.?NetworkSecurityWizards公司的DragonIDS

NetworkSecurityWizards公司生產的Dragon產品能檢測到較多攻擊。Dragon是一個非常原始的工具，Dragon通過命令行方式來執行，只有非常簡單的基于Web的報告工具。指令集的簡單性也允許Dragon的用戶很方便地定制和產生自己的攻擊簽名。Dragon的攻擊行為表示方法通過使用一個基本的參數定義集合，用戶可以定義要搜索的端口、協議、樣本大小、字符串等。但是，Dragon沒有提供中央控制臺或任何類型的GUI管理工具，產生的數據冗長而又復雜，在易于使用和事件可管理性方面完全失敗。

4.中科網威的“天眼”入侵檢測系統中科網威信息技術有限公司的“天眼”入侵檢測系統、“火眼”網絡安全漏洞檢測系統是國內少有的幾個入侵檢測系統之一。它根據國內網絡的特殊情況，由中國科學院網絡安全關鍵技術研究組經過多年研究，綜合運用了多種檢測系統成果研制成功。它根據系統的安全策略做出反映，實現了對非法入侵的定時報警，記錄事件，方便取證，自動阻斷通信連接，重置路由器、防火墻，同時及時發現并及時提出解決方案，可列出可參考的全熱鏈接網絡和系統中易被黑客利用和可能被黑客利用的薄弱環節，防范黑客攻擊。該系統的總體技術水平達到了國際先進。

5.啟明星辰的SkyBell(天闐)啟明星辰公司的黑客入侵檢測與預警系統，集成了網絡監聽監控、實時協議分析、入侵行為分析及詳細日志審計跟蹤等功能。對黑客入侵能進行全方位的檢測，準確地判斷上述黑客攻擊方式，及時地進行報警或阻斷等措施。它可以在Internet和Intranet兩種環境中運行，以保護企業整個網絡的安全。SkyBell系統主要包括兩部分：探測器和控制器。其中探測器能監視網絡上流過的所有數據包，根據用戶定義的條件進行檢測，識別出網絡中正在進行的攻擊。實時檢測到入侵信息并向控制器管理控制臺發出告警，由控制臺給出定位顯示，從而將入侵者從網絡中清除出去。探測器能夠監測所有類型的TCP/IP網絡，強大的檢測功能為用戶提供了最為全面、有效的入侵檢測能力。其他的IDS產品還有很多，在此不再一一介紹，讀者可以參考表7-1中的IDS軟件廠商進行了解。表7-1主流的IDS軟件廠商及其網址7.4.2選擇入侵檢測產品應遵循的原則目前，市場上的入侵檢測產品大大小小有上百家，如何選擇適合自己的產品，是一件擺在廣大安全管理員和企業技術決策者面前很頭痛的事。下面就根據產品的綜合性能，談談選擇入侵檢測產品應遵循的原則。

(1)產品的攻擊檢測數量為多少？是否支持升級？

IDS的主要指標是它能發現的入侵方式的數量，幾乎每個星期都有新的漏洞和攻擊方法出現，產品的升級方式是否靈活直接影響到它功能的發揮。一個好的實時檢測產品應該能經常性升級，并可通過互聯網升級或下載升級包在本地升級。

(2)對于網絡入侵檢測系統，最大可處理流量(PPS)是多少？首先，要分析網絡入侵檢測系統所部署的網絡環境，如果在512kb或2Mb專線上布署網絡入侵檢測系統，則不需要高速的入侵檢測引擎，而在負荷較高的環境中，性能是一個非常重要的指標。

(3)產品容易被攻擊者躲避嗎？有些常用的躲開入侵檢測的方法，如分片、TTL欺騙、異常TCP分段、慢掃描、協同攻擊等。產品在設計時是否考慮到這些問題也是選擇IDS產品時應注意的問題。

(4)能否自定義異常事件？

IDS對特殊的監控需求只能通過用戶自己定制監控策略實現。一個優秀的IDS產品，必須提供靈活的用戶自定義策略能力，包括對服務、訪問者、被訪問者、端口、關鍵字以及事件的響應方式等策略。

(5)產品系統結構是否合理？一個成熟的產品，必須是集成了基于百兆網絡、基于千兆網絡、基于主機三種技術的系統。傳統的IDS大多是兩層結構的，即“控制臺/探測器”結構。一些先進的IDS產品開始采用三層架構進行部署，即“控制臺/事件收集器?+?安全數據庫/探測器”結構。對于大型網絡來說，三層結構更加易于實現分布部署和集中管理，從而提高安全決策的集中性。如果沒有遠程管理能力，三層結構對于大型網絡基本不具備可用性。

(6)產品的誤報和漏報率如何？有些IDS經常發出許多假警報，假警報常常掩蓋了真攻擊。這些產品在假警報重負下一再崩潰，而當真正的攻擊出現時，有些IDS產品不能捕獲攻擊，而另一些IDS產品的報告混雜在假警報中，很容易被錯過。過分復雜的界面使關掉假警報非常困難，幾乎所有IDS產品在默認設置狀態下都會產生非常多的假警報，給用戶帶來許多麻煩。

(7)系統本身是否安全？

IDS系統記錄了企業最敏感的數據，必須有自我保護機制，防止成為黑客的攻擊目標。

(8)產品實時監控性能如何？由IDS通信造成的對網絡的負載不能影響正常的網絡業務，必須對數據進行實時分析，否則無法在有攻擊時保護網絡，所以必須考慮網絡入侵檢測產品正常工作的最大帶寬數。

(9)系統是否易用？系統的易用性包括五個方面：①界面易用——全中文界面，方便易學，操作簡便靈活。②幫助易用——在監控到異常事件時能夠立刻查看報警事件的幫助信息，同時在聯機幫助中能夠按照多種方式查看產品幫助。③策略編輯易用——提供單獨的策略編輯器，可同時編輯多個策略，提供策略打印功能。④日志報告易用——提供靈活的報告定制能力。⑤報警事件優化技術——針對報警事件進行優化處理，將用戶從海量日志中解放出來。先進的IDS能夠將一定時間內的類似事件經過優化處理后合并進行報警，這樣，用戶面對的日志信息不僅更為清晰，而且可避免錯過重要報警信息。

(10)特征庫升級與維護的費用怎樣？像反病毒軟件一樣，入侵檢測系統的特征庫需要不斷更新才能檢測出新出現的攻擊方法。

(11)產品是否通過了國家權威機構的評測？主要的權威評測機構有：國家信息安全評測認證中心、公安部計算機信息系統安全產品質量監督檢驗中心等。

(12)系統的價格如何？當然，價格是必須考慮的一點，不過，性能價格比以及被保護系統的價值是更重要的因素。

(13)產品的可伸縮性如何？可伸縮性主要指系統支持的傳感器數目、最大數據庫大小、傳感器與控制臺之間通信帶寬和對審計日志溢出的處理等指標。

(14)運行與維護系統的開銷有多少？這主要指產品報表結構、處理誤報的方便程度、事件與日志查詢的方便程度以及使用該系統所需的技術人員數量等方面。

(15)產品支持的入侵特征數有多少？不同廠商對檢測特征庫大小的計算方法都不一樣，所以不能偏聽一面之辭。

(16)產品有哪些響應方法？要從本地、遠程等多個角度考察。自動更改防火墻配置是一個聽上去很“酷”的功能，但是，自動配置防火墻卻是一個極為危險的舉動。另外，購買IDS產品需要考慮多種因素，上面只是基本的要點。由于用戶的實際情況不同，用戶可根據自己的安全需要綜合考慮。7.5Windows2000入侵檢測技術

入侵檢測主要還是根據應用來進行的，提供了相應的服務就應該有相應的檢測分析系統來進行保護，對于一般的主機來說，主要應該注意以下幾個方面。

1.文件訪問日志與關鍵文件保護除了系統默認的安全審核外，對于關鍵文件(關鍵文件不僅僅指的是系統文件，還包括有可能對系統管理員或其他用戶構成危害的任何文件，例如系統管理員的配置、桌面文件等，這些都是有可能用來竊取系統管理員資料/密碼的)，還要加設文件訪問日志記錄對它們的訪問。文件訪問有很多的選項：訪問、修改、執行、新建、屬性更改等，一般關注訪問和修改就能起到很大的監視作用。例如：如果監視了系統目錄的修改、創建，甚至部分重要文件的訪問(例如cmd.exe,net.exe，system32目錄)，則入侵者很難在不引起注意的情況下安放后門。

注意：監視的關鍵文件和項目不能太多，否則不僅增加系統負擔，還會擾亂日常的日志監測工作。

2.進程監控進程監控技術是追蹤木馬后門的一個有力武器，90%以上的木馬和后門是以進程的形式存在的，作為系統管理員，必須了解服務器上運行的每個進程，這有助于發現入侵進程，異常的用戶進程或者異常的資源占用都有可能是非法進程。除了進程外，DLL文件也是危險的東西，例如把原本是exe類型的木馬改寫為dll后，使用rundll32運行就比較具有迷惑性。

3.注冊表校驗一般來說，如果一個入侵者只懂得使用流行的木馬，那么由于普通木馬只能寫入特定的幾個鍵值(比如Run、Runonce等)，查找起來是相對容易的。但是如果入侵者自己可以編寫或改寫木馬，則注冊表的任何地方都可以藏身(注冊表藏身千變萬化，例如需要特別提出來的FakeGina技術，這種利用WINNT外嵌登錄DLL(Ginadll)來獲得用戶密碼的方法最近比較流行，一旦中招，登錄用戶的密碼就會被記錄下來)，這樣靠手工查找幾乎沒有可能。應對的方法是監控注冊表的任何改動，這樣改寫注冊表的木馬就無所遁形了。監控注冊表的軟件非常多，很多追查木馬的軟件都帶有這樣的功能。還應該定期對注冊表進行備份，萬一注冊表被非授權修改，系統管理員也能在最短的時間內恢復。

4.端口監控雖然說不使用端口的木馬已經出現，但大部分的后門和木馬還是使用TCP連接的，對于由于種種原因不能封鎖端口的主機，監控端口狀況是非常重要的。通常查看端口狀態是使用netstat，但這不可能24小時使用，因此可用腳本來實現IP日志記錄，命令如下：

netstat-n-ptcp10>>Netstat.log該命令是每10秒鐘自動查看一次TCP的連接狀況，基于這個命令做一個Netlog.bat文件：

time/t>>Netstat.log

Netstat-n-ptcp10>>Netstat.log這個腳本將會自動記錄時間和TCP連接狀態。

注意：如果網站訪問量比較大，這樣的操作需要消耗一定的CPU時間，而且日志文件將越來越大。一旦發現異常的端口，可以使用特殊的程序來關聯端口、可執行文件和進程(如inzider就有這樣的功能，它可以發現服務器監聽的端口并找出與該端口關聯的文件，這樣無論是使用TCP還是UDP的木馬都無處藏身。

5.終端服務的日志監控單獨將終端服務(TerminalService)的日志監控分列出來是有原因的，微軟Windows2000服務器版中自帶的終端服務TerminalService是一個基于遠程桌面協議(RDP)的工具，它的速度非常快，也很穩定，可以成為一個很好的遠程管理軟件，但是因為這個軟件功能強大而且只受到密碼的保護，所以也非常危險，一旦入侵者擁有了管理員密碼，就能夠像操作本機一樣操作遠程服務器。打開日志審核的步驟：

(1)在“管理工具”中打開“遠程控制服務配置”(TerminalServiceConfigration)；

(2)點擊“連接”，右擊RDP服務(比如RDP-TCP(MicrosoftRDP5.0)；

(3)選中書簽“權限”，點擊左下角的“高級”，就能看到“審核”；

(4)加入一個Everyone組(代表所有的用戶)，然后審核其“連接”、“斷開”、“注銷”的成功和“登錄”的成功與失敗；

(5)從“管理工具”的“日志查看器”中查看。

注意：該工具不記錄客戶端的IP，只能查看在線用戶的IP，可以建立一個bat文件用來記錄登錄者的IP，其內容如下：

time/t>>TSLog.log

netstat-n-ptcp|find"：3389">>TSLog.log

startExplorer第一行是記錄用戶登錄的時間，time/t的意思是直接返回系統時間(如果不加/t，系統會等待你輸入新的時間)，然后用追加符號“>>”把這個時間記入TSLog.log作為日志的時間字段。第二行是記錄用戶的IP地址，netstat是用來顯示當前網絡連接狀況的命令，-n表示顯示IP和端口而不是域名、協議，-ptcp是只顯示tcp協議。然后用管道符號“|”把這個命令的結果輸出給find命令，從輸出結果中查找包含“:?3389”的行(這就是要記錄的用戶IP所在的行，如果更改了終端服務的端口，這個數值也要做相應的更改)。最后同樣把這個結果追加到日志文件TSLog.log中。在TSLog.log文件中，記錄格式如下：

22:40

TCP

8:3389

23:4903

ESTABLISHED

22:54

TCP

8:3389

9:1039

ESTABLISHED也就是說，只要這個bat文件一運行，所有連接到3389端口的IP都會被記錄。【實例】

1.任務描述假設一臺Web服務器開放了www服務，系統管理員已小心地配置了IIS，使用W3C擴展的日志格式，并至少記錄了時間(Time)、客戶端IP(ClientIP)、方法(Method)、URI資源(URIStem)、URI查詢(URIQuery)和協議狀態(ProtocolStatus)。用最近比較流行的Unicode漏洞來進行入侵檢測分析。

2.操作提示本實例利用IIS自帶的日志功能進行檢測。IIS自帶的日志文件默認存放在System32/LogFiles目錄下，一般是按24小時滾動的，在IIS管理器中可以對它進行詳細的配置。

1)默認狀態打開IE窗口，在地址欄輸入：/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir默認的情況下可以看到目錄列表(如果已經做過安全配置，請恢復默認安裝以便完成本實驗)。

2)查看日志記錄打開ex010318.log，ex代表W3C擴展格式，后面的一串數字代表日志的記錄日期，其中有如下記錄日志：

07:42:58GET/scripts/..\../winnt/system32\cmd.exe/c+dir200這行日志表示在格林威治時間07:42:58(就是北京時間23:42:58)，有入侵者從IP利用Unicode漏洞(%c1%1c被解碼為"\"，實際的情況會因為Windows語言版本的不同而有略微的差別)運行了cmd.exe，參數是/cdir，運行結果成功(HTTP200代表正確返回)。

3)使用軟件例如：想知道有沒有人從80端口上試圖取得Global.asa文件，可以使用NT自帶的find.exe工具。

(1)在“開始”菜單中打開“運行”文本框；

(2)輸入cmd命令，進入DOS提示符界面；

(3)在DOS提示符下輸入：

find"Global.asa"ex010318.log/i從文本文件中找到想過濾的字符串。

提示：“Global.asa”是需要查詢的字符串，ex010318.log是待過濾的文本文件，/i代表忽略大小寫。

find命令的參數如圖7-3所示。圖7-3find工具使用的參數【疑難解析】問：在終端服務的日志監控中，如何讓TSLog.bat批處理文件自動運行？答：終端服務允許為用戶自定義起始程序。在終端服務配置中，覆蓋用戶的登錄腳本設置并指定TSLog.bat為用戶登錄時需要打開的腳本，這樣每個用戶登錄后都必須執行這個腳本，因為默認的腳本(相當于shell環境)是Explorer(資源管理器)，所以要讓TSLog.bat自動運行，可在該批處理文件的最后一行加上啟動Explorer的命令：startExplorer。【知識能力拓展】要求：利用Windows2000自帶的安全日志系統完成基于安全日志的檢測。通過基于IIS日志的入侵監測能提前知道窺伺者的行蹤，但IIS只有在一個請求完成后才會寫入日志，如果一個請求中途失敗，日志文件中是不會有記錄的(這里的中途失敗并不是指發生HTTP400錯誤這樣的情況，而是從TCP層上沒有完成HTTP請求，例如在POST大量數據時異常中斷)，對于入侵者來說，就有可能繞過日志系統完成大量的活動。

Windows2000自帶了相當強大的安全日志系統，從用戶登錄到特權的使用都有非常詳細的記錄，但默認安裝下安全審核是關閉的，因此無法追蹤入侵者。

1.開啟“安全審核”

(1)選擇【開始】→【程序】→【管理工具】→【本地安全策略】，如圖7-4所示，打開“本地安全設置”對話框，如圖7-5所示。圖7-4選擇“本地安全策略”示意圖圖7-5“本地安全設置”對話框

(2)展開“本地策略”，在“審核策略”中打開必要的審核，如圖7-6所示。圖7-6“審核策略”詳細列表

(3)一般來說，登錄事件與帳戶管理需要同時打開成功和失敗審核，其他的審核打開失敗審核，如圖7-7所示。

(4)配置安全日志的大小及覆蓋方式。通常情況下，將安全日志的大小指定為50MB并且只允許覆蓋7天前的日志，就可以避免老練的入侵者通過洪水般的偽造入侵覆蓋掉真正行蹤的現象。圖7-7“審核帳戶登錄事件”設置

2.制定安全日志的檢查機制推薦安全日志檢查時間是每天上午(因為入侵者普遍喜歡在夜間行動)。另外，系統日志和應用程序日志也是非常好的輔助監測工具，一般來說，入侵者除了在安全日志中留下痕跡外(如果他拿到了Admin權限，那么他一定會去清除痕跡的)，在系統和應用程序日志中也會留下蛛絲馬跡，可以從這里發現某些線索。【本章小結】本章主要介紹了入侵檢測技術的基本情況：包括入侵檢測的起源、入侵檢測技術的概念、入侵檢測系統工作流程和部署、入侵檢測技術的分類，入侵檢測技術的發展現狀與趨勢；重點講解了入侵檢測系統：包括基于網絡的入侵檢測系統、基于主機的入侵檢測系統、混合入侵檢測系統和文件完整性檢查系統；并通過實例的方式介紹了Windows2000入侵檢測技術。通過本章的學習，可以讓讀者掌握入侵檢測的基本技術和入侵方式，增強計算機系統的防范。實訓九Windows環境下輕型Snort入侵檢測系統的構建※實訓目的※

(1)了解Snort+BASE入侵檢測系統所需要的軟件。

(2)了解Snort+BASE入侵檢測系統的構建過程。

(3)了解Snort+BASE進行入侵檢測的基本過程。

(4)熟悉入侵檢測的基本原理。※實訓環境※

(1)硬件環境：帶網卡并接入Internet的計算機。

(2)軟件環境：操作系統為Windows2000/2003Server，其他軟件說明見表7-2。表7-2軟件列表※實訓內容※

(1)下載Snort+BASE入侵檢測系統相關軟件。

(2)構建Snort+BASE入侵檢測系統。

(3)進行入侵檢測分析。※實訓基礎知識※

Snort是一套非常優秀的開放源代碼網絡監測系統，其基本原理基于網絡嗅探，即抓取并記錄經過檢測節點以太網接口的數據包并對其進行協議分析，篩選出符合危險特征的或是特殊的流量。網絡管理員可以根據警示信息分析網絡中的異常情況，及時發現入侵網絡的行為。基于Snort和BASE的入侵檢測系統通常采用“傳感器—數據庫—分析平臺”的三層架構體系。既可以部署于同一個主機平臺，也可以部署在不同的物理平臺上，具體的部署方案取決于實際環境需求。

(1)傳感器：傳感器即網絡數據包捕獲轉儲程序。可以由WinPcap和Snort構成傳感器部件，其中WinPcap作為系統底層網絡接口驅動，Snort作為數據報捕獲、篩選和轉儲程序。

(2)數據庫：數據庫用來存儲Snort獲得的記錄信息。數據庫可以是本地的也可以是遠程的，Snort2.8.0支持MySQL、MSSQL、PostgreSQL、ODBC、Oracle等數據庫接口，擴展性非常好。

(3)分析平臺：分析平臺是指對Snort的日志記錄中的網絡數據包的原始信息進行整理分析的環境。ACID是Snort早期最流行的分析平臺，現在已經由基于它再開發的BASE所取代。※實訓步驟※

1.安裝傳感器組件

1)安裝軟件

WinPcap和Snort的安裝過程同普通的應用軟件，為了操作方便，建議將Snort安裝在非系統分區內。安裝完Snort后，rules目錄為空，將另外下載的Snort規則包解壓拷貝到Snort安裝目錄下，注意規則包所對應的版本。

注意：為了提高抓包性能和質量，建議使用高性能的服務器網卡。另外，WinPcap和Snort應盡量使用最新的穩定版本，因為捕獲數據包的質量對于IDS來說非常重要。

2)修改設置修改Snort的設置文件d:\snort\rules\var\snort.conf，參考內容如下：

#設置規則包路徑

vard:\snort\rules

#設置數據庫連接

outputdatabase:log,mysql,user=snortuserpassword=snortdbname=snortdbhost=localhost

#設置動態預處理庫目錄

dynamicpreprocessordirectoryC:\Snort\lib\snort_dynamicpreprocessor

dynamicengineC:\Snort\lib\snort_dynamicengine\sf_engine.dll

2.安裝數據庫組件

1)安裝MySQL和圖形管理界面使用MySQL5.0.45forWin32的完整安裝程序，軟件包的安裝較簡單，服務端和客戶端程序是必選組件，其他可根據需要選擇安裝。建議安裝在非系統分區。另外，為了便于調試和管理MySQL服務，還安裝了它的圖形管理工具MySQLGUITools5.0r12forWin32。

2)創建數據庫和數據庫用戶使用圖形管理工具或命令行工具建立snortdb和snortarc兩個數據庫，snortdb是Snort存儲的數據庫，而snortarc是BASE的存檔數據庫。然后對這兩個數據庫建立用戶snortuser并授予CREATE/SELECT/INSERT/UPDATE/DELETE權限。命令行語句參考如下：

mysql>createdatabasesnortdb;

mysql>createdatabasesnortarc;

mysql>grantINSERT,SELECTonroot.*tosnortuser@localhost;

mysql>SETPASSWORDFORsnortuser@localhost=PASSWORD(\'snortpassword\');

mysql>grantCREATE,INSERT,SELECT,DELETE,UPDATEonsnortdb.*tosnortuser@localhost;

mysql>grantCREATE,INSERT,SELECT,DELETE,UPDATEonsnortdb.*tosnortuser;導入數據庫信息

mysql-uroot-p<./snort/schemas/create_mysqlsnortdb

mysql-uroot-p<./snort/schemas/create_mysqlsnortarc完成后查看數據庫情況,確認創建成功。

3.