介紹入侵檢測概念、過程分析和布署

1、http:/ 侵檢測的基本概念入侵檢測是指通過對(duì)行為、安全日志或?qū)徲?jì)數(shù)據(jù)或其它網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作，檢測到對(duì)系統(tǒng)的闖入或闖入的企圖（參見國標(biāo) GB/T18336）。入侵檢測是檢測和響應(yīng)計(jì)算機(jī)誤用的學(xué)科，其作用包括威懾、檢測、響應(yīng)、損失情況評(píng)估、攻擊預(yù)測和起訴支持。入侵檢測技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。進(jìn)行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)（Intrusion Detection System，簡稱 IDS）。2、 入侵檢測系統(tǒng)的發(fā)展歷史1980 年 JamesP.A

2、nderson 在給一個(gè)保密客戶寫的一份題為計(jì)算機(jī)安全威脅監(jiān)控與監(jiān)視的技術(shù)報(bào)告中指出，審計(jì)記錄可以用于識(shí)別計(jì)算機(jī)誤用，他給威脅進(jìn)行了分類，第一次詳細(xì)闡述了入侵檢測的概念。1984 年到 1986 年喬治敦大學(xué)的 DorothyDenning 和 SRI 公司計(jì)算機(jī)科學(xué)實(shí)驗(yàn)室的 PeterNeumann 研究出了一個(gè)實(shí)時(shí)入侵檢測系統(tǒng)模型- IDES（Intrusion Detection ExpertSystems 入侵檢測專家系統(tǒng)），是第一個(gè)在一個(gè)應(yīng)用中運(yùn)用了統(tǒng)計(jì)和基于規(guī)則兩種技術(shù)的系統(tǒng)，是入侵檢測研究中最有影響的一個(gè)系統(tǒng)。1989 年，加州大學(xué)戴維斯分校的 Todd Heberlein 寫了

3、一篇論文A NetworkSecurityMonitor，該監(jiān)控器用于捕獲 TCP/IP 分組，第一次直接將網(wǎng)絡(luò)流作為審計(jì)數(shù)據(jù)來源，因而可以在不將審計(jì)數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一格式的情況下監(jiān)控異種主機(jī)，網(wǎng)絡(luò)入侵檢測從此誕生。3、 系統(tǒng)模型為解決入侵檢測系統(tǒng)之間的互操作性，國際上的一些研究組織開展了標(biāo)準(zhǔn)化工作，目前對(duì) IDS 進(jìn)行標(biāo)準(zhǔn)化工作的有兩個(gè)組織：IETF 的 IntrusionDetection Working Group（IDWG）和 Common Intrusion DetectionFramework（CIDF）。CIDF 早期由美國國防部高級(jí)研究計(jì)劃局贊助研究，現(xiàn)在由 CIDF 工作組負(fù)責(zé)，

4、是一個(gè)開放組織。 CIDF 闡述了一個(gè)入侵檢測系統(tǒng)（IDS）的通用模型。它將一個(gè)入侵檢測系統(tǒng)分為以下組件：事件產(chǎn)生器（Event generators），用 E盒表示；事件分析器（Event analyzers），用 A 盒表示；響應(yīng)單元（Responseunits），用 R 盒表示；事件數(shù)據(jù)庫（Event databases），用 D 盒表示。CIDF 模型的結(jié)構(gòu)如下：E 盒通過傳感器收集事件數(shù)據(jù)，并將信息傳送給 A盒，A 盒檢測誤用模式；D 盒存儲(chǔ)來自 A、E 盒的數(shù)據(jù)，并為額外的分析提供信息；R 盒從 A、E 盒中提取數(shù)據(jù)，D 盒啟動(dòng)適當(dāng)?shù)捻憫?yīng)。A、E、D 及 R 盒之間的通信都基于 G

5、IDO（generalized Intrusion detection objects，通用入侵檢測對(duì)象）和 CISL（common intrusion specification language，通用入侵規(guī)范語言）。如果想在不同種類的 A、E、D 及 R 盒之間實(shí)現(xiàn)互操作，需要對(duì) GIDO實(shí)現(xiàn)標(biāo)準(zhǔn)化并使用 CISL。4、 分類4.1 按照檢測類型劃分 從技術(shù)上劃分，入侵檢測有兩種檢測模型：（1） 異常檢測模型（Anomaly Detection）：檢測與可接受行為之間的偏差。如果可以定義每項(xiàng)可接受的行為，那么每項(xiàng)不可接受的行為就應(yīng)該是入侵。首先總結(jié)正常操作應(yīng)該具有的特征（用戶輪廓），當(dāng)用戶

6、活動(dòng)與正常行為有重大偏離時(shí)即被認(rèn)為是入侵。這種檢測模型漏報(bào)率低，誤報(bào)率高。因?yàn)椴恍枰獙?duì)每種入侵行為進(jìn)行定義，所以能有效檢測未知的入侵。（2） 誤用檢測模型（Misuse Detection）：檢測與已知的不可接受行為之間的匹配程度。如果可以定義所有的不可接受行為，那么每種能夠與之匹配的行為都會(huì)引起告警。收集非正常操作的行為特征，建立相關(guān)的特征庫，當(dāng)監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時(shí)，系統(tǒng)就認(rèn)為這種行為是入侵。這種檢測模型誤報(bào)率低、漏報(bào)率高。對(duì)于已知的攻擊，它可以詳細(xì)、準(zhǔn)確地報(bào)告出攻擊類型，但是對(duì)未知攻擊卻效果有限，而且特征庫必須不斷更新。4.2 按照檢測對(duì)象劃分基于主機(jī)：系統(tǒng)分析的數(shù)據(jù)是

7、計(jì)算機(jī)操作系統(tǒng)的事件日志、應(yīng)用程序的事件日志、系統(tǒng)調(diào)用、端口調(diào)用和安全審計(jì)記錄。主機(jī)型入侵檢測系統(tǒng)保護(hù)的一般是所在的主機(jī)系統(tǒng)。是由代理（agent）來實(shí)現(xiàn)的，代理是運(yùn)行在目標(biāo)主機(jī)上的小的可執(zhí)行程序，它們與命令控制臺(tái)（console）通信?；诰W(wǎng)絡(luò)：系統(tǒng)分析的數(shù)據(jù)是網(wǎng)絡(luò)上的數(shù)據(jù)包。網(wǎng)絡(luò)型入侵檢測系統(tǒng)擔(dān)負(fù)著保護(hù)整個(gè)網(wǎng)段的任務(wù)，基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)由遍及網(wǎng)絡(luò)的傳感器（sensor）組成，傳感器是一臺(tái)將以太網(wǎng)卡置于混雜模式的計(jì)算機(jī)，用于嗅探網(wǎng)絡(luò)上的數(shù)據(jù)包?；旌闲停夯诰W(wǎng)絡(luò)和基于主機(jī)的入侵檢測系統(tǒng)都有不足之處，會(huì)造成防御體系的不全面，綜合了基于網(wǎng)絡(luò)和基于主機(jī)的混合型入侵檢測系統(tǒng)既可以發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊信

8、息，也可以從系統(tǒng)日志中發(fā)現(xiàn)異常情況。5、 入侵檢測過程分析 過程分為三部分：信息收集、信息分析和結(jié)果處理。（1） 信息收集：入侵檢測的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為。由放置在不同網(wǎng)段的傳感器或不同主機(jī)的代理來收集信息，包括系統(tǒng)和網(wǎng)絡(luò)日志文件、網(wǎng)絡(luò)流量、非正常的目錄和文件改變、非正常的程序執(zhí)行。（2）信息分析：收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等信息，被送到檢測引擎，檢測引擎駐留在傳感器中，一般通過三種技術(shù)手段進(jìn)行分析：模式匹配、統(tǒng)計(jì)分析和完整性分析。當(dāng)檢測到某種誤用模式時(shí)，產(chǎn)生一個(gè)告警并發(fā)送給控制臺(tái)。（3）結(jié)果處理：控制臺(tái)按照告警產(chǎn)生預(yù)先定義的響應(yīng)采取相應(yīng)措施，可以是重新配置路由器或防火墻、終止進(jìn)程、切斷連接、改變文件屬性，也可以只是簡單的告警。6、IDS 部署實(shí)