入侵檢測技術(shù)方案

曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版Internet自身的開放性的特點，使得網(wǎng)絡(luò)安全防護的方式發(fā)生了很大變化，傳統(tǒng)的網(wǎng)絡(luò)強調(diào)統(tǒng)一而集中的安全管理和控制，可采取加密、認證、訪問控制、審計以及日志等多種技術(shù)手段，它們的實施.是由通信雙方共同完成：因為Internet網(wǎng)絡(luò)結(jié)構(gòu)錯綜復(fù)雜，因此安全防護方式截然不同。Internet的安全技術(shù)涉及傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)和分布式網(wǎng)絡(luò)安全技術(shù)，主要是解決如何利用Internet進行安全通信，同時保護內(nèi)部網(wǎng)絡(luò)免受外部攻擊。于是在此情況下，出現(xiàn)了防火墻和入侵檢測技術(shù)。第8章入侵檢測技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)8.1入侵檢測概述

8.1.1入侵檢測原理

8.1.2入侵檢測系統(tǒng)結(jié)構(gòu)

8.1.3入侵檢測系統(tǒng)分類 8.2入侵檢測技術(shù)

8.2.1入侵檢測分析模型

8.2.2誤用檢測

8.2.3異常檢測

8.2.4其他檢測技術(shù) 8.3入侵檢測系統(tǒng)的標(biāo)準(zhǔn)

8.3.1IETF/IDWG 8.3.2CIDF 8.4入侵檢測系統(tǒng)部署

8.4.1入侵檢測系統(tǒng)部署的原則

8.4.2入侵檢測系統(tǒng)部署實例

8.4.3入侵檢測特征庫的建立與應(yīng)用 第8章入侵檢測技術(shù)8.1入侵檢測概述 第8章入侵檢測技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版8.5典型入侵檢測產(chǎn)品簡介

8.5.1入侵檢測工具Snort 8.5.2Cisco公司的NetRanger 8.5.3NetworkAssociates公司的CyberCop 8.5.4InternetSecuritySystem公司的RealSecure 8.5.5中科網(wǎng)威的“天眼”入侵檢測系統(tǒng) 8.6案例

8.6.1Snort的安裝與使用 第8章入侵檢測技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版

入侵是所有試圖破壞網(wǎng)絡(luò)信息的完整性、保密性、可用性、可信任性的行為。入侵是一個廣義的概念，不僅包括發(fā)起攻擊的人取得超出合法范圍的系統(tǒng)控制權(quán)，也包括收集漏洞信息，造成拒絕服務(wù)等危害計算機和網(wǎng)絡(luò)的行為。入侵檢測作為安全技術(shù)其作用在于：識別入侵者識別入侵行為檢測和監(jiān)視己成功的安全突破為對抗入侵及時提供重要信息，阻止事件的發(fā)生和事態(tài)的擴大。8.1入侵檢測概述曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版通過監(jiān)視受保護系統(tǒng)的狀態(tài)和活動，采用誤用檢測或異常檢測的方式，發(fā)現(xiàn)非授權(quán)或惡意的系統(tǒng)及網(wǎng)絡(luò)行為，為防范入侵行為提供有效的手段。8.1.1入侵檢測原理

曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版

為解決入侵檢測系統(tǒng)之間的互操作性，國際上的一些研究組織開展了標(biāo)準(zhǔn)化工作，目前對IDS進行標(biāo)準(zhǔn)化工作的有兩個組織：IETF的IntrusionDetectionWorkingGroup（IDWG）和CommonIntrusionDetectionFramework（CIDF）。CIDF模型模型結(jié)構(gòu)如圖8-1所示。

圖8-1CIDF模型結(jié)構(gòu)圖8.1.2入侵檢測系統(tǒng)結(jié)構(gòu)

曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版從系統(tǒng)構(gòu)成上看，入侵檢測系統(tǒng)應(yīng)包括事件提取、入侵分析、入侵響應(yīng)和遠程管理四大部分，另外還可能結(jié)合安全知識庫、數(shù)據(jù)存儲等功能模塊，提供更為完善的安全檢測及數(shù)據(jù)分析功能。如圖8-2所示。圖8-2系統(tǒng)構(gòu)成8.1.2入侵檢測系統(tǒng)結(jié)構(gòu)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版1.IDS在結(jié)構(gòu)上可劃分為數(shù)據(jù)收集和數(shù)據(jù)分析兩部分。（1）數(shù)據(jù)收集機制分布式與集中式數(shù)據(jù)收集機制。直接監(jiān)控和間接監(jiān)控?；谥鳈C的數(shù)據(jù)收集和基于網(wǎng)絡(luò)的數(shù)據(jù)收集。外部探測器和內(nèi)部探測器（2）數(shù)據(jù)分析機制根據(jù)IDS如何處理數(shù)據(jù)，可以將IDS分為分布式IDS和集中式IDS。分布式IDS：在一些與受監(jiān)視組件相應(yīng)的位置對數(shù)據(jù)進行分析的IDS。集中式IDS：在一些固定且不受監(jiān)視組件數(shù)量限制的位置對數(shù)據(jù)進行分析的IDS。（3）縮短數(shù)據(jù)收集與數(shù)據(jù)分析的距離在實際操作過程中，數(shù)據(jù)收集和數(shù)據(jù)分析通常被劃分成兩個步驟，在不同的時間甚至是不同的地點進行。但這一分離存在著缺點，在實際使用過程中，數(shù)據(jù)收集與數(shù)據(jù)分析功能之間應(yīng)盡量縮短距離。8.1.2入侵檢測系統(tǒng)結(jié)構(gòu)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版

根據(jù)入侵檢測采用的技術(shù)，可以分為異常檢測和誤用檢測。根據(jù)入侵檢測監(jiān)測的對象和所處的位置，分為基于網(wǎng)絡(luò)和基于主機兩種。

1.基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)以網(wǎng)絡(luò)數(shù)據(jù)包作為分析數(shù)據(jù)源，在被監(jiān)視網(wǎng)絡(luò)的網(wǎng)絡(luò)數(shù)據(jù)流中尋找攻擊特征和異常特征。它通常利用一個土作在混雜模式卜的網(wǎng)卡來實時監(jiān)視并分析通過網(wǎng)絡(luò)的數(shù)據(jù)流，使用模式匹配、統(tǒng)計分析等技術(shù)來識別攻擊行為。一旦檢測到了攻擊行為，其響應(yīng)模塊就做出適當(dāng)?shù)捻憫?yīng)，如報警、切斷網(wǎng)絡(luò)連接等。

NIDS優(yōu)點是能檢測許多基于主機的系統(tǒng)檢測小到的攻擊，而更可靠：具有更好的實時特性，對受保護的主機和網(wǎng)絡(luò)系統(tǒng)的性能影響很小或幾乎沒有影響并且無需對原來的系統(tǒng)和結(jié)構(gòu)進行改動；網(wǎng)絡(luò)監(jiān)聽引擎是透明的，可以降低檢測系統(tǒng)本身遭受攻擊的可能性。其局限性是：無法檢測物理的侵入被監(jiān)視主機系統(tǒng)的活動、內(nèi)部人員在授權(quán)范圍內(nèi)從事的非法活動和在網(wǎng)絡(luò)數(shù)據(jù)包中無異常而只能通過主機狀態(tài)的異常變化才能反映出來的攻擊；在協(xié)議解析和模式匹配等方而的計算成本很高，不能檢查加密的數(shù)據(jù)包，嚴(yán)重依賴于高層協(xié)議(如應(yīng)用層)的解析能力，不知道接收節(jié)點對數(shù)據(jù)包的處理過程以及由此引起的狀態(tài)變化。8.1.3入侵檢測系統(tǒng)分類

曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版2．基于主機的入侵檢測系統(tǒng)基于主機的入侵檢測是將檢測系統(tǒng)安裝在被重點檢測的主機之上，主要是對該主機的網(wǎng)絡(luò)實時連接以及系統(tǒng)審計日志進行智能分析和判斷。如果其中主體活動可疑(特征或行為違反統(tǒng)計規(guī)律)，入侵檢測系統(tǒng)就會采取相應(yīng)措施。其特點主要是對分析“可能的攻擊行為”非常有用，不僅能夠指出入侵者試圖執(zhí)行哪種“危險的命令”，還能分辨出入侵者運行了什么命令，進行了哪些操作、執(zhí)行了哪些系統(tǒng)調(diào)用等。主機入侵檢測系統(tǒng)與網(wǎng)絡(luò)入侵檢測系統(tǒng)相比，能夠提供更為詳盡的用戶操作調(diào)用信息?；谥鳈C的入侵檢測系統(tǒng)有集中式和分布式兩種體系結(jié)構(gòu)，這兩種結(jié)構(gòu)都是基于代理的檢測結(jié)構(gòu)。代理是在目標(biāo)系統(tǒng)上可執(zhí)行的小程序，它們與命令控制平臺進行通信。如果正確地操作，這些代理不會明顯地降低口標(biāo)系統(tǒng)的性能，但它們會帶來部署和支持方面的問題。8.1.3入侵檢測系統(tǒng)分類

曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版（1）集中式體系結(jié)構(gòu)該結(jié)構(gòu)的特點是代理負責(zé)收集來自不同目標(biāo)主機的日志，將日志進行預(yù)處理并轉(zhuǎn)化為標(biāo)準(zhǔn)格式，山命令控制臺對這些日志集中處理。該系統(tǒng)有如下優(yōu)點:能夠?qū)碜圆煌跇?biāo)主機的審計信息進行集中處理，這種方式對目標(biāo)機的性能影響很小或沒有影響，這可以允許進行更復(fù)雜的檢測。可以創(chuàng)建日志，作為原始數(shù)據(jù)的數(shù)據(jù)檔案，這些數(shù)據(jù)可用于起訴中?？捎糜诙嘀鳈C標(biāo)志檢測?？蓪⒋鎯υ跀?shù)據(jù)庫中的告警信息和原始數(shù)據(jù)結(jié)合起來分析，這能幫助許多入侵檢測，還可以進行數(shù)據(jù)辨析以查看長期趨勢。同時集中式系統(tǒng)也存在有以下的缺點：除非口標(biāo)機的數(shù)量較少或者檢測引擎很快，否則會對實時檢測或?qū)崟r響應(yīng)帶來影響。將大量原始數(shù)據(jù)集中起來會影響網(wǎng)絡(luò)通信量8.1.3入侵檢測系統(tǒng)分類

曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版（2）分布式體系結(jié)構(gòu)該結(jié)構(gòu)的特點是將不同的代理安裝在不同的目標(biāo)機上，實時地分析數(shù)據(jù)，但記錄本身在被目標(biāo)機上的檢測引擎分析提出有用信息之后就被丟棄了。該結(jié)構(gòu)的優(yōu)點是實時告警、實時響應(yīng)。缺點是降低了口標(biāo)機的性能，沒有原始數(shù)據(jù)檔案，降低了數(shù)據(jù)辨析能力。8.1.3入侵檢測系統(tǒng)分類

曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版

人們多年來對入侵檢測的研究，使得該研究領(lǐng)域已具有一定的規(guī)模和相應(yīng)的理論體系。入侵檢測的核心問題在于如何對安全審計數(shù)據(jù)進行分析，以檢測其中是否包含入侵或異常行為的跡象。分析是入侵檢測的核心功能，它既能簡單到像一個已熟悉日志情況的管理員去建立決策表，也能復(fù)雜得像一個集成了幾百萬個處理的非參數(shù)系統(tǒng)。入侵檢測過程分析過程分為三部分：信息收集、信息分析和結(jié)果處理。信息收集：入侵檢測的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為。由放置在不同網(wǎng)段的傳感器或不同主機的代理來收集信息，包括系統(tǒng)和網(wǎng)絡(luò)日志文件、網(wǎng)絡(luò)流量、非正常的目錄和文件改變、非正常的程序執(zhí)行。信息分析：收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為等信息，被送到檢測引擎，檢測引擎駐留在傳感器中，一般通過三種技術(shù)手段進行分析：模式匹配、統(tǒng)計分析和完整性分析。當(dāng)檢測到某種誤用模式時，產(chǎn)生一個告警并發(fā)送給控制臺。結(jié)果處理：控制臺按照告警產(chǎn)生預(yù)先定義的響應(yīng)采取相應(yīng)措施，可以是重新配置路由器或防火墻、終止進程、切斷連接、改變文件屬性，也可以只是簡單的告警。8.2入侵檢測技術(shù)

8.2.1入侵檢測分析模型曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版

誤用檢測也被稱為基于知識的檢測，它指運用己知的攻擊方法，根據(jù)己定義好的入侵模式，通過判斷這些入侵模式是否出現(xiàn)來檢測?；谀Ｊ狡ヅ涞恼`用入侵檢測模式匹配就是將捕獲到的數(shù)據(jù)與己知網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進行比較，從而發(fā)現(xiàn)違背安全策略的行為。基于專家系統(tǒng)的誤用入侵檢測基于專家系統(tǒng)的誤用入侵檢測方法是通過將安全專家的知識表示成規(guī)則形成專家知識庫，然后運用推理算法檢測入侵。用專家系統(tǒng)對入侵進行檢測，經(jīng)常是針對有特征的入侵行為。所謂的規(guī)則，即是知識，專家系統(tǒng)的建立依賴于知識庫的完備性，知識庫的完備性又取決于審計記錄的完備性與實時性。在具體實現(xiàn)中，專家系統(tǒng)主要面臨以下問題:

難以科學(xué)地從各種入侵手段中抽象出全面地規(guī)則化知識；所需處理地數(shù)據(jù)量過大，而且在大型系統(tǒng)上，如何實時連續(xù)地審計數(shù)據(jù)也是一個問題。8.2.2誤用檢測

曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版

異常檢測也被稱為基于行為的檢測，基于行為的檢測指根據(jù)使用者的行為或資源使用狀況來判斷是否入侵?；谛袨榈臋z測與系統(tǒng)相對無關(guān)，通用型較強。異常檢測方法主要有以下兩種。

1.統(tǒng)計分析概率統(tǒng)計方法是基于行為的入侵檢測中應(yīng)用最早也是最多的一種方法。首先，檢測器根據(jù)用戶對象的動作為每個用戶都建立一個用戶特征表，通過比較當(dāng)前特征與己存儲定型的以前特征，從而判斷是否是異常行為。用戶特征表需要根據(jù)審計記錄情況不斷地加以更新。

2．神經(jīng)網(wǎng)絡(luò)神經(jīng)網(wǎng)絡(luò)方法是利用一個包含很多計算單兀的網(wǎng)絡(luò)來完成復(fù)雜的映射函數(shù)，這些單元通過使用加權(quán)的連接相互作用。一個神經(jīng)網(wǎng)絡(luò)只是根據(jù)單元和它們間的權(quán)值連接編碼成網(wǎng)絡(luò)結(jié)構(gòu)，實際的學(xué)習(xí)過程是通過改變權(quán)值和加入或移去連接進行的。神經(jīng)網(wǎng)絡(luò)處理分為兩個階段：首先，通過正常系統(tǒng)行為對該網(wǎng)絡(luò)進行訓(xùn)練，調(diào)整其結(jié)構(gòu)和權(quán)值：然后將所觀測到的韋件流輸入網(wǎng)絡(luò)，由此判別這些事件流是正常(與訓(xùn)練數(shù)據(jù)匹配的)還是異常。同時，系統(tǒng)也能利用這些觀測到的數(shù)據(jù)進行訓(xùn)練，從而使網(wǎng)絡(luò)可以學(xué)習(xí)系統(tǒng)行為的一些變化。8.2.3異常檢測曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版1．基于規(guī)則的入侵檢測基于規(guī)則的入侵檢測是通過觀察系統(tǒng)里發(fā)生的事件并將該事件與系統(tǒng)的規(guī)則集進行匹配，來判斷該事件是否與某條規(guī)則所代表的入侵行為相對應(yīng)?；谝?guī)則的入侵檢測分為：基于規(guī)則的異常檢測和基于規(guī)則的滲透檢測。

2．分布式入侵檢測分布式入侵檢測系統(tǒng)設(shè)計應(yīng)包含：主機代理模塊、局域網(wǎng)監(jiān)測代理模塊和中央管理器模塊三個模塊。8.2.4其他檢測技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版

為了提高IDS產(chǎn)品、組件及與其他安全產(chǎn)品之間的互操作性，美國國防高級研究計劃署（DARPA）和互聯(lián)網(wǎng)工程任務(wù)組（IETF）的入侵檢測工作組（IDWG）發(fā)起制訂了一系列建議草案，從體系結(jié)構(gòu)、API、通信機制、語言格式等方面規(guī)范IDS的標(biāo)準(zhǔn)。1．IDMEF

IDMEF描述了表示入侵檢測系統(tǒng)輸出信息的數(shù)據(jù)模型，并解釋了使用此模型的基本原理。該數(shù)據(jù)模型用XML實現(xiàn)，并設(shè)計了一個XML文檔類型定義。2．IDXP

IDXP（入侵檢測交換協(xié)議）是一個用于入侵檢測實體之間交換數(shù)據(jù)的應(yīng)用層協(xié)議，能夠?qū)崿F(xiàn)IDMEF消息、非結(jié)構(gòu)文本和二進制數(shù)據(jù)之間的交換，并提供面向連接協(xié)議之上的雙方認證、完整性和保密性等安全特征。

8.3入侵檢測系統(tǒng)的標(biāo)準(zhǔn)

8.3.1IETF/IDWG

曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版CIDF是一套規(guī)范，它定義了IDS表達檢測信息的標(biāo)準(zhǔn)語言以及IDS組件之間的通信協(xié)議。符合CIDF規(guī)范的IDS可以共享檢測信息，相互通信，協(xié)同工作，還可以與其它系統(tǒng)配合實施統(tǒng)一的配置響應(yīng)和恢復(fù)策略。CIDF的主要作用在于集成各種IDS使之協(xié)同工作，實現(xiàn)各IDS之間的組件重用，所以CIDF也是構(gòu)建分布式IDS的基礎(chǔ)。

CIDF的規(guī)格文檔由四部分組成，分別為：體系結(jié)構(gòu)（TheCommonIntrusionDetectionFrameworkArchitecture）規(guī)范語言（ACommonIntrusionSpecificationLanguage）內(nèi)部通訊（CommunicationintheCommonIntrusionDetectionFramework）程序接口（CommonIntrusionDetectionFrameworkAPIs）

CIDF的體系結(jié)構(gòu)文檔闡述了一個標(biāo)準(zhǔn)的IDS的通用模型；規(guī)范語言定義了一個用來描述各種檢測信息的標(biāo)準(zhǔn)語言；內(nèi)部通訊定義了IDS組件之間進行通信的標(biāo)準(zhǔn)協(xié)議；程序接口提供了一整套標(biāo)準(zhǔn)的應(yīng)用程序接口（API函數(shù)）。

8.3.2CIDF

曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版1．入侵檢測引擎放在防火墻之外在這種情況下，入侵檢測系統(tǒng)能接收到防火墻外網(wǎng)口的所有信息，管理員可以清楚地看到所有來自Internet的攻擊，當(dāng)與防火墻聯(lián)動時，防火墻可以動態(tài)阻斷發(fā)生攻擊的連接。2．入侵檢測引擎放在防火墻之內(nèi)在這種情況下，穿透防火墻的攻擊與來自于局域網(wǎng)內(nèi)部的攻擊都可以被入侵檢測系統(tǒng)監(jiān)聽到，管理員可以清楚地看到哪些攻擊真正對自己的網(wǎng)絡(luò)構(gòu)成了威脅。3．防火墻內(nèi)外都裝有入侵檢測引擎在這種情況下，可以檢測來自內(nèi)部和外部的所有攻擊，管理員可以清楚地看出是否有攻擊穿透防火墻，對自己網(wǎng)絡(luò)所面對的安全威脅了如指掌。4．將入侵檢測引擎安裝在其它關(guān)鍵位置安裝在需要重點保護的網(wǎng)段，如財務(wù)部的子網(wǎng)，對該子網(wǎng)中發(fā)生的所有連接進行監(jiān)控；安裝在內(nèi)部兩個不同子網(wǎng)之間，監(jiān)視兩個子網(wǎng)之間的所有連接。根據(jù)網(wǎng)絡(luò)的拓撲結(jié)構(gòu)的不同，入侵檢測系統(tǒng)的監(jiān)聽端口可以接在共享媒質(zhì)的集線器（Hub）上、交換機的調(diào)試端口（spanport）上、或?qū)楸O(jiān)聽所增設(shè)的分接器（Tap）上。

8.4入侵檢測系統(tǒng)部署

8.4.1入侵檢測系統(tǒng)部署的原則

曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版

國內(nèi)某省級公司，隨著業(yè)務(wù)需求的進一步擴展，原有的網(wǎng)絡(luò)及系統(tǒng)平臺已經(jīng)不能滿足應(yīng)用需求,必須升級優(yōu)化現(xiàn)有系統(tǒng)，其中提高網(wǎng)絡(luò)的安全性是重中之重。該公司信息系統(tǒng)基礎(chǔ)設(shè)施包括電力系統(tǒng)網(wǎng)絡(luò)、局域網(wǎng)和互聯(lián)網(wǎng)三個部分。電力系統(tǒng)網(wǎng)絡(luò)是承載該公司與各個子公司內(nèi)部業(yè)務(wù)交流的核心平臺，局域網(wǎng)是該公司內(nèi)部日常辦公的主要載體，外部信息的獲取和發(fā)布通過互聯(lián)網(wǎng)來完成。該公司的局域網(wǎng)核心交換機為CiscoCatalyst，以千兆下聯(lián)若干臺百兆交換機，均為CiscoCatalyst3524XL/3550系列交換機，并劃分了多個VLAN；在網(wǎng)絡(luò)出口處，該公司通過Cisco7401交換機與Internet連接，Internet接入邊界有最基本的安全設(shè)備，一臺硬件防火墻和一臺VPN設(shè)備。公司提供包括WWW、SMTP、FTP等互聯(lián)網(wǎng)應(yīng)用服務(wù)，目前開設(shè)了一個內(nèi)部信息發(fā)布、員工交流站點和一個對外展示企業(yè)形象的站點，公司還架設(shè)了一個供300多人使用的郵件系統(tǒng)。同時公司還擁有很多的重要應(yīng)用系統(tǒng)，其中包括企業(yè)OA系統(tǒng)和各種信息管理系統(tǒng)。目前大流量的應(yīng)用主要集中在局域網(wǎng)內(nèi)，因此局域網(wǎng)的壓力很大；大部分的應(yīng)用必須跨廣域網(wǎng)，但由于應(yīng)用剛剛起步，因此跨廣域網(wǎng)的流量不很大，隨著信息化建設(shè)的逐步深入，廣域網(wǎng)潛在的瓶頸將會嚴(yán)重影響應(yīng)用的普及；公司與各個子公司之間以VPN相連8.4.2入侵檢測系統(tǒng)部署實例

曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版1．安全需求分析用戶目前主要的管理信息系統(tǒng)包括EAM（企業(yè)設(shè)備管理系統(tǒng)EnterpriseAssetManagement）、財務(wù)系統(tǒng)、生產(chǎn)調(diào)度系統(tǒng)、辦公自動化系統(tǒng)和生產(chǎn)調(diào)度監(jiān)視系統(tǒng)等。這些關(guān)鍵系統(tǒng)同時運行在該公司統(tǒng)一的電力系統(tǒng)網(wǎng)絡(luò)平臺之上，系統(tǒng)之間存在業(yè)務(wù)邏輯交叉和數(shù)據(jù)交換，因此系統(tǒng)的安全具有很大的關(guān)聯(lián)性，特別是對于互聯(lián)網(wǎng)接入的安全需要特別的關(guān)注。經(jīng)過一段時間的檢測分析發(fā)現(xiàn)，該用戶網(wǎng)絡(luò)主要存在如下威脅：a.網(wǎng)上存在大量的端口掃描試探、發(fā)送垃圾郵件等網(wǎng)絡(luò)濫用行為；b.發(fā)現(xiàn)部分主機由于未及時安裝補丁程序或設(shè)置不當(dāng)、口令強度不夠等原因而被黑客入侵，并被安裝后門程序；c拒絕服務(wù)攻擊發(fā)生頻率不高，但一般影響較大；d.蠕蟲病毒傳播和泛濫，危害不可小視。

2．部署實施策略盡管防火墻能夠通過強化網(wǎng)絡(luò)安全策略抵御來自外部網(wǎng)絡(luò)的非法訪問，但對網(wǎng)絡(luò)內(nèi)部發(fā)起的攻擊無能為力。為此，采用了榕基基于網(wǎng)絡(luò)的實時入侵檢測技術(shù)，動態(tài)監(jiān)測來自于外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的所有訪問行為。當(dāng)檢測到來自內(nèi)外網(wǎng)絡(luò)針對或通過防火墻的攻擊行為，會及時響應(yīng)，并通知防火墻實時阻斷攻擊源，從而進一步提高了系統(tǒng)的抗攻擊能力，更有效地保護了網(wǎng)絡(luò)資源，提高了防御體系級別。

7.8防火墻發(fā)展動態(tài)與趨勢

曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版入侵檢測系統(tǒng)可以和防火墻獲取相同的網(wǎng)絡(luò)數(shù)據(jù)，當(dāng)入侵檢測系統(tǒng)發(fā)現(xiàn)異常攻擊時，立即通知防火墻，防火墻迅速做出反應(yīng)阻止當(dāng)前攻擊事件的繼續(xù)，從而使得攻擊失敗，這樣的防御體系能夠?qū)糇鞒鰧崟r的防御，達到安全處理應(yīng)急事件的目的。目前榕基RJ-IDS入侵檢測系統(tǒng)已經(jīng)可以和市場上大部分主流防火墻（超過20種）進行聯(lián)動阻斷入侵者，如天融信、東軟、億陽、三星等。根據(jù)用戶網(wǎng)絡(luò)的實際狀況，在千兆主干網(wǎng)絡(luò)上部署了具備超強檢測能力的榕基千兆型網(wǎng)絡(luò)入侵檢測系統(tǒng)RJ-IDS1000-F，以此檢測逃避防火墻攔截的攻擊流。在內(nèi)部網(wǎng)段上，由于最可能受到的是來自內(nèi)部人員的攻擊和內(nèi)植木馬病毒的攻擊，所以在各個VLAN內(nèi)部部署百兆型網(wǎng)絡(luò)入侵檢測系統(tǒng)RJ-IDS100，隨時檢測內(nèi)部的網(wǎng)絡(luò)威脅。榕基RJ-IDS入侵檢測系統(tǒng)是一個分布式的基于B/S的網(wǎng)絡(luò)入侵檢測系統(tǒng)。分布式的結(jié)構(gòu)利于應(yīng)用的擴展，B/S結(jié)構(gòu)應(yīng)用在網(wǎng)絡(luò)環(huán)境中非常方便。實時地將告警日志按各種條件進行分類有助于幫助管理員迅速地發(fā)現(xiàn)某些特定攻擊。榕基RJ-IDS入侵檢測系統(tǒng)可以按多種標(biāo)準(zhǔn)動態(tài)地切換告警日志的分類，包括高、中、低風(fēng)險、資產(chǎn)等，對歷史攻擊事件可以進行事件分析綜合查詢。經(jīng)過一段時間的運行，榕基RJ-IDS入侵檢測系統(tǒng)在防范外部攻擊和阻止內(nèi)部非法訪問方面取得了良好的成效，根據(jù)統(tǒng)計分析后的數(shù)據(jù)顯示，部署后該用戶的網(wǎng)絡(luò)安全狀態(tài)得到了極大的改善，網(wǎng)絡(luò)中信息流通更加暢通，企業(yè)員工的滿意度很高。曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版

特征(Signature)的基本概念：IDS中的特征一般指用于判別通訊信息種類的特征數(shù)據(jù)，以下是一些典型情況及識別方法：來自保留IP地址的連接企圖：可通過檢查IP報頭(IPheader)的來源地址輕易地識別。帶有非法TCP標(biāo)識的數(shù)據(jù)包：可通過對比TCP報頭中的標(biāo)志集與已知正確和錯誤標(biāo)記的不同點來識別。含有特殊病毒信息的Email：可通過對比每封Email的主題信息和病態(tài)Email的主題信息來識別，或者通過搜索特定名字的附件來識別。查詢負載中的DNS緩沖區(qū)溢出企圖：可通過解析DNS域及檢查每個域的長度來識別利用DNS域的緩沖區(qū)溢出企圖；還有另外一個識別方法是，在負載中搜索“殼代碼利用”(ExploitShellcode)的序列代碼組合。針對POP3服務(wù)器的DoS攻擊：通過跟蹤記錄某個命令連續(xù)發(fā)出的次數(shù)，看看是否超過了預(yù)設(shè)上限，而發(fā)出報警信息。未登錄情況下使用文件和目錄命令對FTP服務(wù)器的文件訪問攻擊：通過創(chuàng)建具備狀態(tài)跟蹤的特征數(shù)據(jù)以監(jiān)視成功登錄的FTP對話、發(fā)現(xiàn)未經(jīng)驗證卻發(fā)命令的入侵企圖。從以上分類可以看出特征的涵蓋范圍很廣，有簡單的報頭域數(shù)值、有高度復(fù)雜的連接狀態(tài)跟蹤、有擴展的協(xié)議分析。

8.4.3入侵檢測特征庫的建立與應(yīng)用

曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版

用戶需要知道的是，不同的IDS產(chǎn)品具有的特征功能也有所差異。如有些網(wǎng)絡(luò)IDS系統(tǒng)只允許很少地定制存在的特征數(shù)據(jù)或者編寫需要的特征數(shù)據(jù)，另外一些則允許在很寬的范圍內(nèi)定制或編寫用戶需求的特征數(shù)據(jù)，甚至可以是任意特征；再則一些IDS系統(tǒng)只能檢查確定的報頭或負載數(shù)值，另外一些則可以獲取任何信息包的任何位置的數(shù)據(jù)。特征是檢測數(shù)據(jù)包中的可疑內(nèi)容是否存在攻擊行為的對照物。IDS系統(tǒng)本身已經(jīng)擁有了特征庫，為什么還需要定制或編寫特征呢?筆者以為，也許你經(jīng)?？吹揭恍┦煜さ耐ㄓ嵭畔⒘髟诰W(wǎng)絡(luò)上游蕩，由于IDS系統(tǒng)的特征數(shù)據(jù)庫滯后或者這些通訊信息本身就不是攻擊或探測數(shù)據(jù)，IDS系統(tǒng)并不會十分關(guān)注這樣的信息，但身為網(wǎng)絡(luò)的管理員，我們必須對這樣的可疑數(shù)據(jù)提高警惕，因此我們需要指定一些特征樣本，捕捉它們、仔細分析它們從何而來，目的又是什么。因此唯一的辦法就是對現(xiàn)有特征數(shù)據(jù)庫進行一些定制配置或者編寫新的特征數(shù)據(jù)。特征的定制或編寫程度可粗可細，完全取決于實際需求?；蛘呤侵慌袛嗍欠癜l(fā)生了異常行為而不確定具體是什么攻擊，從而節(jié)省資源和時間；或者是判斷出具體的攻擊手段或漏洞利用方式，從而獲取更多的信息。曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版Snort是目前應(yīng)用最為廣泛的一個IDS產(chǎn)品，它被定位為一個輕量級的入侵檢測系統(tǒng)，它具有以下幾個特點：1．它是一個輕量級的網(wǎng)絡(luò)入侵檢測系統(tǒng)，所謂輕量級是指該軟件在運行時只占用極少的網(wǎng)絡(luò)資源，對原有網(wǎng)絡(luò)性能影響很小。2．從數(shù)據(jù)來源上看，它是一個基于網(wǎng)絡(luò)入侵的檢測軟件，即它作為嗅探器對發(fā)往同一網(wǎng)絡(luò)的其他主機的流量進行捕獲，然后進行分析。3．它的工作采用誤用檢測模型，即首先建立入侵行為特征哭，然后在檢測過程中，將收集到的數(shù)據(jù)包和特征代碼r進行比較，以得出是否入侵的結(jié)論。4．它是用c語言編寫的開放源代碼網(wǎng)絡(luò)入侵檢測系統(tǒng)。其源代碼可以被自由的讀取、傳播和修改，任何一個程序員都可以自由地為其添加功能，修改錯誤，任意傳播。這使它能迅速發(fā)展完善并推廣應(yīng)用。5．它是一個跨平臺的軟件，所支持的操作系統(tǒng)非常廣泛，比如windows，linux，sunos等都支持。在windows下安裝比較簡單：首先下載windows下網(wǎng)絡(luò)數(shù)據(jù)包捕獲工具winpcap（[url]www.winpc[/url]），然后下載snort安裝包，直接雙擊安裝即可。6．Snort有三種主要模式：信息包嗅探器、信息包記錄器或成熟的入侵探測系統(tǒng)。8.5典型入侵檢測產(chǎn)品簡介

8.5.1入侵檢測工具Snort

曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版NetRanger以其高性能而聞名，而且它還非常易于裁剪?？刂破鞒绦蚩梢跃C合多站點的信息并監(jiān)視散布在整個企業(yè)網(wǎng)上的攻擊。NetRanger的最大名聲在于其是針對企業(yè)而設(shè)計的。這種名聲的標(biāo)志之一是其分銷渠道，EDS、PerotSystems、IBMGlobalServices都是其分銷商。

NetRanger在全球廣域網(wǎng)上運行很成功。例如，它有一個路徑備份(Path-doubling)功能。如果一條路徑斷掉了，信息可以從備份路徑上傳過來。它甚至能做到從一個點上監(jiān)測全網(wǎng)或把監(jiān)測權(quán)轉(zhuǎn)給第三方。

NetRanger的另一個強項是其在檢測問題時不僅觀察單個包的內(nèi)容，而且還看上下文，即從多個包中得到線索。這是很重要的一點，因為入侵者可能以字符模式存取一個端口，然后在每個包中只放一個字符。如果一個監(jiān)測器只觀察單個包，它就永遠不會發(fā)現(xiàn)完整的信息。按照GartnerGroup公司的研究專家JudeO'Reilley的說法，NetRanger是目前市場上基于網(wǎng)絡(luò)的入侵檢測軟件中經(jīng)受實踐考驗最多的產(chǎn)品之一。對于某些用戶來講，NetRanger的強項也可能正好是其不足。它被設(shè)計為集成在OpenView或NetView下，在網(wǎng)絡(luò)運行中心(NOC)使用，其配置需要對Unix有詳細的了解。NetRanger相對較昂貴，這對于一般的局域網(wǎng)來講未必很適合。8.5.2Cisco公司的NetRanger曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版CyberCop被設(shè)計成一個網(wǎng)絡(luò)應(yīng)用程序，一般在20分鐘內(nèi)就可以安裝完畢。它預(yù)設(shè)了6種通常的配置模式:WindowsNT和Unix的混合子網(wǎng)、Unix子網(wǎng)、NT子網(wǎng)、遠程訪問、前沿網(wǎng)(如Internet的接入系統(tǒng))和骨干網(wǎng)。它沒有Netware的配置。前端設(shè)計成瀏覽器方式主要是考慮易于使用，發(fā)揮NetworkGeneral在提煉包數(shù)據(jù)上的經(jīng)驗，用戶使用時也易于查看和理解。像在Sniffer中一樣，它在幫助文檔里結(jié)合了專家知識。CyberCop還能生成可以被Sniffer識別的蹤跡文件。與NetRanger相比，CyberCop缺乏一些企業(yè)應(yīng)用的特征，如路徑備份功能等。按照CyberCop產(chǎn)品經(jīng)理KatherineStolz的說法，NetworkAssociates公司在安全領(lǐng)域?qū)⒂幸幌盗械呐e措和合作。"我們定位在大規(guī)模的安全上，我們將成為整體解決方案的提供者。"

8.5.3NetworkAssociates公司的CyberCop

曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版RealSecure的優(yōu)勢在于其簡潔性和低價格。與NetRanger和CyberCop類似，RealSecure在結(jié)構(gòu)上也是兩部分。引擎部分負責(zé)監(jiān)測信息包并生成告警，控制臺接收報警并作為配置及產(chǎn)生數(shù)據(jù)庫報告的中心點。兩部分都可以在NT、Solaris、SunOS和Linux上運行，并可以在混合的操作系統(tǒng)或匹配的操作系統(tǒng)環(huán)境下使用。它們都能在商用微機上運行。對于一個小型的系統(tǒng)，將引擎和控制臺放在同一臺機器上運行是可以的，但這對于NetRanger或CyberCop卻不行。RealSecure的引擎價值1萬美元，控制臺是免費的。一個引擎可以向多個控制臺報告，一個控制臺也可以管理多個引擎。

RealSecure可以對CheckPointSoftware的FireWall-1重新進行配置。根據(jù)入侵檢測技術(shù)經(jīng)理MarkWood的說法，ISS還計劃使其能對Cisco的路由器進行重新配置，同時也正開發(fā)OpenView下的應(yīng)用。

8.5.4InternetSecuritySystem公司的RealSecure

曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版

中科網(wǎng)威信息技術(shù)有限公司的“天眼”入侵檢測系統(tǒng)、“火眼”網(wǎng)絡(luò)安全漏洞檢測系統(tǒng)是國內(nèi)少有的幾個入侵檢測系統(tǒng)之一。它根據(jù)國內(nèi)網(wǎng)絡(luò)的特殊情況，由中國科學(xué)院網(wǎng)絡(luò)安全關(guān)鍵技術(shù)研究組經(jīng)過多年研究，綜合運用了多種檢測系統(tǒng)成果制研成功的。它根據(jù)系統(tǒng)的安全策略作出反映，實現(xiàn)了對非法入侵的定時報警、記錄事件，方便取證，自動阻斷通信連接，重置路由器、防火墻，同時及時發(fā)現(xiàn)并及時提出解決方案，它可列出可參考的全熱鏈接網(wǎng)絡(luò)和系統(tǒng)中易被黑客利用和可能被黑客利用的薄弱環(huán)節(jié)，防范黑客攻擊。該系統(tǒng)的總體技術(shù)水平達到了“國際先進水平”8.5.5中科網(wǎng)威的“天眼”入侵檢測系統(tǒng)

曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版1.Snort安裝模式

Snort可簡單安裝為守護進程模式，也可安裝為包括很多其他工具的完整的入侵檢測系統(tǒng)。簡單方式安裝時，可以得到入侵數(shù)據(jù)的文本文件或二進制文件，然后用文本編輯器等工具進行查看。

Snort若與其它工具一起安裝，則可以支持更為復(fù)雜的操作。例如，將Snort數(shù)據(jù)發(fā)送給數(shù)據(jù)庫系統(tǒng)，從而支持通過Web界面進行數(shù)據(jù)分析，以增強對Snort捕獲數(shù)據(jù)的直觀認識，避免耗費大量時間查閱晦澀的日志文件。2．Snort的簡單安裝3．Snort的工作模式

Snort有三種工作模式，即嗅探器、數(shù)據(jù)包記錄器、網(wǎng)絡(luò)入侵檢測系統(tǒng)。8.6案例

8.6.1Snort的安裝與使用

曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)人有了知識，就會具備各種分析能力，明辨是非的能力。所以我們要勤懇讀書，廣泛閱讀，古人說“書中自有黃金屋。”通過閱讀科技書籍，我們能豐富知識，培養(yǎng)邏輯思維能力；通過閱讀文學(xué)作品，我們能提高文學(xué)鑒賞水平，培養(yǎng)文學(xué)情趣；通過閱讀報刊，我們能增長見識，擴大自己的知識面。有許多書籍還能培養(yǎng)我們的道德情操，給我們巨大的精神力量，鼓舞我們前進。人有了知識，就會具備各種分析能力，第8章入侵檢測技術(shù)方案曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版Internet自身的開放性的特點，使得網(wǎng)絡(luò)安全防護的方式發(fā)生了很大變化，傳統(tǒng)的網(wǎng)絡(luò)強調(diào)統(tǒng)一而集中的安全管理和控制，可采取加密、認證、訪問控制、審計以及日志等多種技術(shù)手段，它們的實施.是由通信雙方共同完成：因為Internet網(wǎng)絡(luò)結(jié)構(gòu)錯綜復(fù)雜，因此安全防護方式截然不同。Internet的安全技術(shù)涉及傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)和分布式網(wǎng)絡(luò)安全技術(shù)，主要是解決如何利用Internet進行安全通信，同時保護內(nèi)部網(wǎng)絡(luò)免受外部攻擊。于是在此情況下，出現(xiàn)了防火墻和入侵檢測技術(shù)。第8章入侵檢測技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)8.1入侵檢測概述

8.1.1入侵檢測原理

8.1.2入侵檢測系統(tǒng)結(jié)構(gòu)

8.1.3入侵檢測系統(tǒng)分類 8.2入侵檢測技術(shù)

8.2.1入侵檢測分析模型

8.2.2誤用檢測

8.2.3異常檢測

8.2.4其他檢測技術(shù) 8.3入侵檢測系統(tǒng)的標(biāo)準(zhǔn)

8.3.1IETF/IDWG 8.3.2CIDF 8.4入侵檢測系統(tǒng)部署

8.4.1入侵檢測系統(tǒng)部署的原則

8.4.2入侵檢測系統(tǒng)部署實例

8.4.3入侵檢測特征庫的建立與應(yīng)用 第8章入侵檢測技術(shù)8.1入侵檢測概述 第8章入侵檢測技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版8.5典型入侵檢測產(chǎn)品簡介

8.5.1入侵檢測工具Snort 8.5.2Cisco公司的NetRanger 8.5.3NetworkAssociates公司的CyberCop 8.5.4InternetSecuritySystem公司的RealSecure 8.5.5中科網(wǎng)威的“天眼”入侵檢測系統(tǒng) 8.6案例

8.6.1Snort的安裝與使用 第8章入侵檢測技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版

入侵是所有試圖破壞網(wǎng)絡(luò)信息的完整性、保密性、可用性、可信任性的行為。入侵是一個廣義的概念，不僅包括發(fā)起攻擊的人取得超出合法范圍的系統(tǒng)控制權(quán)，也包括收集漏洞信息，造成拒絕服務(wù)等危害計算機和網(wǎng)絡(luò)的行為。入侵檢測作為安全技術(shù)其作用在于：識別入侵者識別入侵行為檢測和監(jiān)視己成功的安全突破為對抗入侵及時提供重要信息，阻止事件的發(fā)生和事態(tài)的擴大。8.1入侵檢測概述曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版通過監(jiān)視受保護系統(tǒng)的狀態(tài)和活動，采用誤用檢測或異常檢測的方式，發(fā)現(xiàn)非授權(quán)或惡意的系統(tǒng)及網(wǎng)絡(luò)行為，為防范入侵行為提供有效的手段。8.1.1入侵檢測原理

曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版

為解決入侵檢測系統(tǒng)之間的互操作性，國際上的一些研究組織開展了標(biāo)準(zhǔn)化工作，目前對IDS進行標(biāo)準(zhǔn)化工作的有兩個組織：IETF的IntrusionDetectionWorkingGroup（IDWG）和CommonIntrusionDetectionFramework（CIDF）。CIDF模型模型結(jié)構(gòu)如圖8-1所示。

圖8-1CIDF模型結(jié)構(gòu)圖8.1.2入侵檢測系統(tǒng)結(jié)構(gòu)

曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版從系統(tǒng)構(gòu)成上看，入侵檢測系統(tǒng)應(yīng)包括事件提取、入侵分析、入侵響應(yīng)和遠程管理四大部分，另外還可能結(jié)合安全知識庫、數(shù)據(jù)存儲等功能模塊，提供更為完善的安全檢測及數(shù)據(jù)分析功能。如圖8-2所示。圖8-2系統(tǒng)構(gòu)成8.1.2入侵檢測系統(tǒng)結(jié)構(gòu)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版1.IDS在結(jié)構(gòu)上可劃分為數(shù)據(jù)收集和數(shù)據(jù)分析兩部分。（1）數(shù)據(jù)收集機制分布式與集中式數(shù)據(jù)收集機制。直接監(jiān)控和間接監(jiān)控?；谥鳈C的數(shù)據(jù)收集和基于網(wǎng)絡(luò)的數(shù)據(jù)收集。外部探測器和內(nèi)部探測器（2）數(shù)據(jù)分析機制根據(jù)IDS如何處理數(shù)據(jù)，可以將IDS分為分布式IDS和集中式IDS。分布式IDS：在一些與受監(jiān)視組件相應(yīng)的位置對數(shù)據(jù)進行分析的IDS。集中式IDS：在一些固定且不受監(jiān)視組件數(shù)量限制的位置對數(shù)據(jù)進行分析的IDS。（3）縮短數(shù)據(jù)收集與數(shù)據(jù)分析的距離在實際操作過程中，數(shù)據(jù)收集和數(shù)據(jù)分析通常被劃分成兩個步驟，在不同的時間甚至是不同的地點進行。但這一分離存在著缺點，在實際使用過程中，數(shù)據(jù)收集與數(shù)據(jù)分析功能之間應(yīng)盡量縮短距離。8.1.2入侵檢測系統(tǒng)結(jié)構(gòu)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版

根據(jù)入侵檢測采用的技術(shù)，可以分為異常檢測和誤用檢測。根據(jù)入侵檢測監(jiān)測的對象和所處的位置，分為基于網(wǎng)絡(luò)和基于主機兩種。

1.基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)以網(wǎng)絡(luò)數(shù)據(jù)包作為分析數(shù)據(jù)源，在被監(jiān)視網(wǎng)絡(luò)的網(wǎng)絡(luò)數(shù)據(jù)流中尋找攻擊特征和異常特征。它通常利用一個土作在混雜模式卜的網(wǎng)卡來實時監(jiān)視并分析通過網(wǎng)絡(luò)的數(shù)據(jù)流，使用模式匹配、統(tǒng)計分析等技術(shù)來識別攻擊行為。一旦檢測到了攻擊行為，其響應(yīng)模塊就做出適當(dāng)?shù)捻憫?yīng)，如報警、切斷網(wǎng)絡(luò)連接等。

NIDS優(yōu)點是能檢測許多基于主機的系統(tǒng)檢測小到的攻擊，而更可靠：具有更好的實時特性，對受保護的主機和網(wǎng)絡(luò)系統(tǒng)的性能影響很小或幾乎沒有影響并且無需對原來的系統(tǒng)和結(jié)構(gòu)進行改動；網(wǎng)絡(luò)監(jiān)聽引擎是透明的，可以降低檢測系統(tǒng)本身遭受攻擊的可能性。其局限性是：無法檢測物理的侵入被監(jiān)視主機系統(tǒng)的活動、內(nèi)部人員在授權(quán)范圍內(nèi)從事的非法活動和在網(wǎng)絡(luò)數(shù)據(jù)包中無異常而只能通過主機狀態(tài)的異常變化才能反映出來的攻擊；在協(xié)議解析和模式匹配等方而的計算成本很高，不能檢查加密的數(shù)據(jù)包，嚴(yán)重依賴于高層協(xié)議(如應(yīng)用層)的解析能力，不知道接收節(jié)點對數(shù)據(jù)包的處理過程以及由此引起的狀態(tài)變化。8.1.3入侵檢測系統(tǒng)分類

曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版2．基于主機的入侵檢測系統(tǒng)基于主機的入侵檢測是將檢測系統(tǒng)安裝在被重點檢測的主機之上，主要是對該主機的網(wǎng)絡(luò)實時連接以及系統(tǒng)審計日志進行智能分析和判斷。如果其中主體活動可疑(特征或行為違反統(tǒng)計規(guī)律)，入侵檢測系統(tǒng)就會采取相應(yīng)措施。其特點主要是對分析“可能的攻擊行為”非常有用，不僅能夠指出入侵者試圖執(zhí)行哪種“危險的命令”，還能分辨出入侵者運行了什么命令，進行了哪些操作、執(zhí)行了哪些系統(tǒng)調(diào)用等。主機入侵檢測系統(tǒng)與網(wǎng)絡(luò)入侵檢測系統(tǒng)相比，能夠提供更為詳盡的用戶操作調(diào)用信息。基于主機的入侵檢測系統(tǒng)有集中式和分布式兩種體系結(jié)構(gòu)，這兩種結(jié)構(gòu)都是基于代理的檢測結(jié)構(gòu)。代理是在目標(biāo)系統(tǒng)上可執(zhí)行的小程序，它們與命令控制平臺進行通信。如果正確地操作，這些代理不會明顯地降低口標(biāo)系統(tǒng)的性能，但它們會帶來部署和支持方面的問題。8.1.3入侵檢測系統(tǒng)分類

曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版（1）集中式體系結(jié)構(gòu)該結(jié)構(gòu)的特點是代理負責(zé)收集來自不同目標(biāo)主機的日志，將日志進行預(yù)處理并轉(zhuǎn)化為標(biāo)準(zhǔn)格式，山命令控制臺對這些日志集中處理。該系統(tǒng)有如下優(yōu)點:能夠?qū)碜圆煌跇?biāo)主機的審計信息進行集中處理，這種方式對目標(biāo)機的性能影響很小或沒有影響，這可以允許進行更復(fù)雜的檢測?？梢詣?chuàng)建日志，作為原始數(shù)據(jù)的數(shù)據(jù)檔案，這些數(shù)據(jù)可用于起訴中?？捎糜诙嘀鳈C標(biāo)志檢測?？蓪⒋鎯υ跀?shù)據(jù)庫中的告警信息和原始數(shù)據(jù)結(jié)合起來分析，這能幫助許多入侵檢測，還可以進行數(shù)據(jù)辨析以查看長期趨勢。同時集中式系統(tǒng)也存在有以下的缺點：除非口標(biāo)機的數(shù)量較少或者檢測引擎很快，否則會對實時檢測或?qū)崟r響應(yīng)帶來影響。將大量原始數(shù)據(jù)集中起來會影響網(wǎng)絡(luò)通信量8.1.3入侵檢測系統(tǒng)分類

曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版（2）分布式體系結(jié)構(gòu)該結(jié)構(gòu)的特點是將不同的代理安裝在不同的目標(biāo)機上，實時地分析數(shù)據(jù)，但記錄本身在被目標(biāo)機上的檢測引擎分析提出有用信息之后就被丟棄了。該結(jié)構(gòu)的優(yōu)點是實時告警、實時響應(yīng)。缺點是降低了口標(biāo)機的性能，沒有原始數(shù)據(jù)檔案，降低了數(shù)據(jù)辨析能力。8.1.3入侵檢測系統(tǒng)分類

曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版

人們多年來對入侵檢測的研究，使得該研究領(lǐng)域已具有一定的規(guī)模和相應(yīng)的理論體系。入侵檢測的核心問題在于如何對安全審計數(shù)據(jù)進行分析，以檢測其中是否包含入侵或異常行為的跡象。分析是入侵檢測的核心功能，它既能簡單到像一個已熟悉日志情況的管理員去建立決策表，也能復(fù)雜得像一個集成了幾百萬個處理的非參數(shù)系統(tǒng)。入侵檢測過程分析過程分為三部分：信息收集、信息分析和結(jié)果處理。信息收集：入侵檢測的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為。由放置在不同網(wǎng)段的傳感器或不同主機的代理來收集信息，包括系統(tǒng)和網(wǎng)絡(luò)日志文件、網(wǎng)絡(luò)流量、非正常的目錄和文件改變、非正常的程序執(zhí)行。信息分析：收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為等信息，被送到檢測引擎，檢測引擎駐留在傳感器中，一般通過三種技術(shù)手段進行分析：模式匹配、統(tǒng)計分析和完整性分析。當(dāng)檢測到某種誤用模式時，產(chǎn)生一個告警并發(fā)送給控制臺。結(jié)果處理：控制臺按照告警產(chǎn)生預(yù)先定義的響應(yīng)采取相應(yīng)措施，可以是重新配置路由器或防火墻、終止進程、切斷連接、改變文件屬性，也可以只是簡單的告警。8.2入侵檢測技術(shù)

8.2.1入侵檢測分析模型曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版

誤用檢測也被稱為基于知識的檢測，它指運用己知的攻擊方法，根據(jù)己定義好的入侵模式，通過判斷這些入侵模式是否出現(xiàn)來檢測?；谀Ｊ狡ヅ涞恼`用入侵檢測模式匹配就是將捕獲到的數(shù)據(jù)與己知網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進行比較，從而發(fā)現(xiàn)違背安全策略的行為?；趯＜蚁到y(tǒng)的誤用入侵檢測基于專家系統(tǒng)的誤用入侵檢測方法是通過將安全專家的知識表示成規(guī)則形成專家知識庫，然后運用推理算法檢測入侵。用專家系統(tǒng)對入侵進行檢測，經(jīng)常是針對有特征的入侵行為。所謂的規(guī)則，即是知識，專家系統(tǒng)的建立依賴于知識庫的完備性，知識庫的完備性又取決于審計記錄的完備性與實時性。在具體實現(xiàn)中，專家系統(tǒng)主要面臨以下問題:

難以科學(xué)地從各種入侵手段中抽象出全面地規(guī)則化知識；所需處理地數(shù)據(jù)量過大，而且在大型系統(tǒng)上，如何實時連續(xù)地審計數(shù)據(jù)也是一個問題。8.2.2誤用檢測

曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版

異常檢測也被稱為基于行為的檢測，基于行為的檢測指根據(jù)使用者的行為或資源使用狀況來判斷是否入侵?；谛袨榈臋z測與系統(tǒng)相對無關(guān)，通用型較強。異常檢測方法主要有以下兩種。

1.統(tǒng)計分析概率統(tǒng)計方法是基于行為的入侵檢測中應(yīng)用最早也是最多的一種方法。首先，檢測器根據(jù)用戶對象的動作為每個用戶都建立一個用戶特征表，通過比較當(dāng)前特征與己存儲定型的以前特征，從而判斷是否是異常行為。用戶特征表需要根據(jù)審計記錄情況不斷地加以更新。

2．神經(jīng)網(wǎng)絡(luò)神經(jīng)網(wǎng)絡(luò)方法是利用一個包含很多計算單兀的網(wǎng)絡(luò)來完成復(fù)雜的映射函數(shù)，這些單元通過使用加權(quán)的連接相互作用。一個神經(jīng)網(wǎng)絡(luò)只是根據(jù)單元和它們間的權(quán)值連接編碼成網(wǎng)絡(luò)結(jié)構(gòu)，實際的學(xué)習(xí)過程是通過改變權(quán)值和加入或移去連接進行的。神經(jīng)網(wǎng)絡(luò)處理分為兩個階段：首先，通過正常系統(tǒng)行為對該網(wǎng)絡(luò)進行訓(xùn)練，調(diào)整其結(jié)構(gòu)和權(quán)值：然后將所觀測到的韋件流輸入網(wǎng)絡(luò)，由此判別這些事件流是正常(與訓(xùn)練數(shù)據(jù)匹配的)還是異常。同時，系統(tǒng)也能利用這些觀測到的數(shù)據(jù)進行訓(xùn)練，從而使網(wǎng)絡(luò)可以學(xué)習(xí)系統(tǒng)行為的一些變化。8.2.3異常檢測曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版1．基于規(guī)則的入侵檢測基于規(guī)則的入侵檢測是通過觀察系統(tǒng)里發(fā)生的事件并將該事件與系統(tǒng)的規(guī)則集進行匹配，來判斷該事件是否與某條規(guī)則所代表的入侵行為相對應(yīng)。基于規(guī)則的入侵檢測分為：基于規(guī)則的異常檢測和基于規(guī)則的滲透檢測。

2．分布式入侵檢測分布式入侵檢測系統(tǒng)設(shè)計應(yīng)包含：主機代理模塊、局域網(wǎng)監(jiān)測代理模塊和中央管理器模塊三個模塊。8.2.4其他檢測技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版

為了提高IDS產(chǎn)品、組件及與其他安全產(chǎn)品之間的互操作性，美國國防高級研究計劃署（DARPA）和互聯(lián)網(wǎng)工程任務(wù)組（IETF）的入侵檢測工作組（IDWG）發(fā)起制訂了一系列建議草案，從體系結(jié)構(gòu)、API、通信機制、語言格式等方面規(guī)范IDS的標(biāo)準(zhǔn)。1．IDMEF

IDMEF描述了表示入侵檢測系統(tǒng)輸出信息的數(shù)據(jù)模型，并解釋了使用此模型的基本原理。該數(shù)據(jù)模型用XML實現(xiàn)，并設(shè)計了一個XML文檔類型定義。2．IDXP

IDXP（入侵檢測交換協(xié)議）是一個用于入侵檢測實體之間交換數(shù)據(jù)的應(yīng)用層協(xié)議，能夠?qū)崿F(xiàn)IDMEF消息、非結(jié)構(gòu)文本和二進制數(shù)據(jù)之間的交換，并提供面向連接協(xié)議之上的雙方認證、完整性和保密性等安全特征。

8.3入侵檢測系統(tǒng)的標(biāo)準(zhǔn)

8.3.1IETF/IDWG

曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版CIDF是一套規(guī)范，它定義了IDS表達檢測信息的標(biāo)準(zhǔn)語言以及IDS組件之間的通信協(xié)議。符合CIDF規(guī)范的IDS可以共享檢測信息，相互通信，協(xié)同工作，還可以與其它系統(tǒng)配合實施統(tǒng)一的配置響應(yīng)和恢復(fù)策略。CIDF的主要作用在于集成各種IDS使之協(xié)同工作，實現(xiàn)各IDS之間的組件重用，所以CIDF也是構(gòu)建分布式IDS的基礎(chǔ)。

CIDF的規(guī)格文檔由四部分組成，分別為：體系結(jié)構(gòu)（TheCommonIntrusionDetectionFrameworkArchitecture）規(guī)范語言（ACommonIntrusionSpecificationLanguage）內(nèi)部通訊（CommunicationintheCommonIntrusionDetectionFramework）程序接口（CommonIntrusionDetectionFrameworkAPIs）

CIDF的體系結(jié)構(gòu)文檔闡述了一個標(biāo)準(zhǔn)的IDS的通用模型；規(guī)范語言定義了一個用來描述各種檢測信息的標(biāo)準(zhǔn)語言；內(nèi)部通訊定義了IDS組件之間進行通信的標(biāo)準(zhǔn)協(xié)議；程序接口提供了一整套標(biāo)準(zhǔn)的應(yīng)用程序接口（API函數(shù)）。

8.3.2CIDF

曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版1．入侵檢測引擎放在防火墻之外在這種情況下，入侵檢測系統(tǒng)能接收到防火墻外網(wǎng)口的所有信息，管理員可以清楚地看到所有來自Internet的攻擊，當(dāng)與防火墻聯(lián)動時，防火墻可以動態(tài)阻斷發(fā)生攻擊的連接。2．入侵檢測引擎放在防火墻之內(nèi)在這種情況下，穿透防火墻的攻擊與來自于局域網(wǎng)內(nèi)部的攻擊都可以被入侵檢測系統(tǒng)監(jiān)聽到，管理員可以清楚地看到哪些攻擊真正對自己的網(wǎng)絡(luò)構(gòu)成了威脅。3．防火墻內(nèi)外都裝有入侵檢測引擎在這種情況下，可以檢測來自內(nèi)部和外部的所有攻擊，管理員可以清楚地看出是否有攻擊穿透防火墻，對自己網(wǎng)絡(luò)所面對的安全威脅了如指掌。4．將入侵檢測引擎安裝在其它關(guān)鍵位置安裝在需要重點保護的網(wǎng)段，如財務(wù)部的子網(wǎng)，對該子網(wǎng)中發(fā)生的所有連接進行監(jiān)控；安裝在內(nèi)部兩個不同子網(wǎng)之間，監(jiān)視兩個子網(wǎng)之間的所有連接。根據(jù)網(wǎng)絡(luò)的拓撲結(jié)構(gòu)的不同，入侵檢測系統(tǒng)的監(jiān)聽端口可以接在共享媒質(zhì)的集線器（Hub）上、交換機的調(diào)試端口（spanport）上、或?qū)楸O(jiān)聽所增設(shè)的分接器（Tap）上。

8.4入侵檢測系統(tǒng)部署

8.4.1入侵檢測系統(tǒng)部署的原則

曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版

國內(nèi)某省級公司，隨著業(yè)務(wù)需求的進一步擴展，原有的網(wǎng)絡(luò)及系統(tǒng)平臺已經(jīng)不能滿足應(yīng)用需求,必須升級優(yōu)化現(xiàn)有系統(tǒng)，其中提高網(wǎng)絡(luò)的安全性是重中之重。該公司信息系統(tǒng)基礎(chǔ)設(shè)施包括電力系統(tǒng)網(wǎng)絡(luò)、局域網(wǎng)和互聯(lián)網(wǎng)三個部分。電力系統(tǒng)網(wǎng)絡(luò)是承載該公司與各個子公司內(nèi)部業(yè)務(wù)交流的核心平臺，局域網(wǎng)是該公司內(nèi)部日常辦公的主要載體，外部信息的獲取和發(fā)布通過互聯(lián)網(wǎng)來完成。該公司的局域網(wǎng)核心交換機為CiscoCatalyst，以千兆下聯(lián)若干臺百兆交換機，均為CiscoCatalyst3524XL/3550系列交換機，并劃分了多個VLAN；在網(wǎng)絡(luò)出口處，該公司通過Cisco7401交換機與Internet連接，Internet接入邊界有最基本的安全設(shè)備，一臺硬件防火墻和一臺VPN設(shè)備。公司提供包括WWW、SMTP、FTP等互聯(lián)網(wǎng)應(yīng)用服務(wù)，目前開設(shè)了一個內(nèi)部信息發(fā)布、員工交流站點和一個對外展示企業(yè)形象的站點，公司還架設(shè)了一個供300多人使用的郵件系統(tǒng)。同時公司還擁有很多的重要應(yīng)用系統(tǒng)，其中包括企業(yè)OA系統(tǒng)和各種信息管理系統(tǒng)。目前大流量的應(yīng)用主要集中在局域網(wǎng)內(nèi)，因此局域網(wǎng)的壓力很大；大部分的應(yīng)用必須跨廣域網(wǎng)，但由于應(yīng)用剛剛起步，因此跨廣域網(wǎng)的流量不很大，隨著信息化建設(shè)的逐步深入，廣域網(wǎng)潛在的瓶頸將會嚴(yán)重影響應(yīng)用的普及；公司與各個子公司之間以VPN相連8.4.2入侵檢測系統(tǒng)部署實例

曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版1．安全需求分析用戶目前主要的管理信息系統(tǒng)包括EAM（企業(yè)設(shè)備管理系統(tǒng)EnterpriseAssetManagement）、財務(wù)系統(tǒng)、生產(chǎn)調(diào)度系統(tǒng)、辦公自動化系統(tǒng)和生產(chǎn)調(diào)度監(jiān)視系統(tǒng)等。這些關(guān)鍵系統(tǒng)同時運行在該公司統(tǒng)一的電力系統(tǒng)網(wǎng)絡(luò)平臺之上，系統(tǒng)之間存在業(yè)務(wù)邏輯交叉和數(shù)據(jù)交換，因此系統(tǒng)的安全具有很大的關(guān)聯(lián)性，特別是對于互聯(lián)網(wǎng)接入的安全需要特別的關(guān)注。經(jīng)過一段時間的檢測分析發(fā)現(xiàn)，該用戶網(wǎng)絡(luò)主要存在如下威脅：a.網(wǎng)上存在大量的端口掃描試探、發(fā)送垃圾郵件等網(wǎng)絡(luò)濫用行為；b.發(fā)現(xiàn)部分主機由于未及時安裝補丁程序或設(shè)置不當(dāng)、口令強度不夠等原因而被黑客入侵，并被安裝后門程序；c拒絕服務(wù)攻擊發(fā)生頻率不高，但一般影響較大；d.蠕蟲病毒傳播和泛濫，危害不可小視。

2．部署實施策略盡管防火墻能夠通過強化網(wǎng)絡(luò)安全策略抵御來自外部網(wǎng)絡(luò)的非法訪問，但對網(wǎng)絡(luò)內(nèi)部發(fā)起的攻擊無能為力。為此，采用了榕基基于網(wǎng)絡(luò)的實時入侵檢測技術(shù)，動態(tài)監(jiān)測來自于外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的所有訪問行為。當(dāng)檢測到來自內(nèi)外網(wǎng)絡(luò)針對或通過防火墻的攻擊行為，會及時響應(yīng)，并通知防火墻實時阻斷攻擊源，從而進一步提高了系統(tǒng)的抗攻擊能力，更有效地保護了網(wǎng)絡(luò)資源，提高了防御體系級別。

7.8防火墻發(fā)展動態(tài)與趨勢

曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版入侵檢測系統(tǒng)可以和防火墻獲取相同的網(wǎng)絡(luò)數(shù)據(jù)，當(dāng)入侵檢測系統(tǒng)發(fā)現(xiàn)異常攻擊時，立即通知防火墻，防火墻迅速做出反應(yīng)阻止當(dāng)前攻擊事件的繼續(xù)，從而使得攻擊失敗，這樣的防御體系能夠?qū)糇鞒鰧崟r的防御，達到安全處理應(yīng)急事件的目的。目前榕基RJ-IDS入侵檢測系統(tǒng)已經(jīng)可以和市場上大部分主流防火墻（超過20種）進行聯(lián)動阻斷入侵者，如天融信、東軟、億陽、三星等。根據(jù)用戶網(wǎng)絡(luò)的實際狀況，在千兆主干網(wǎng)絡(luò)上部署了具備超強檢測能力的榕基千兆型網(wǎng)絡(luò)入侵檢測系統(tǒng)RJ-IDS1000-F，以此檢測逃避防火墻攔截的攻擊流。在內(nèi)部網(wǎng)段上，由于最可能受到的是來自內(nèi)部人員的攻擊和內(nèi)植木馬病毒的攻擊，所以在各個VLAN內(nèi)部部署百兆型網(wǎng)絡(luò)入侵檢測系統(tǒng)RJ-IDS100，隨時檢測內(nèi)部的網(wǎng)絡(luò)威脅。榕基RJ-IDS入侵檢測系統(tǒng)是一個分布式的基于B/S的網(wǎng)絡(luò)入侵檢測系統(tǒng)。分布式的結(jié)構(gòu)利于應(yīng)用的擴展，B/S結(jié)構(gòu)應(yīng)用在網(wǎng)絡(luò)環(huán)境中非常方便。實時地將告警日志按各種條件進行分類有助于幫助管理員迅速地發(fā)現(xiàn)某些特定攻擊。榕基RJ-IDS入侵檢測系統(tǒng)可以按多種標(biāo)準(zhǔn)動態(tài)地切換告警日志的分類，包括高、中、低風(fēng)險、資產(chǎn)等，對歷史攻擊事件可以進行事件分析綜合查詢。經(jīng)過一段時間的運行，榕基RJ-IDS入侵檢測系統(tǒng)在防范外部攻擊和阻止內(nèi)部非法訪問方面取得了良好的成效，根據(jù)統(tǒng)計分析后的數(shù)據(jù)顯示，部署后該用戶的網(wǎng)絡(luò)安全狀態(tài)得到了極大的改善，網(wǎng)絡(luò)中信息流通更加暢通，企業(yè)員工的滿意度很高。曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)曾湘黔主編：網(wǎng)絡(luò)安全技術(shù)

清華大學(xué)出版社出版

特征(Signature)的基本概念：IDS中的特征一般指用于判別通訊信息種類的特征數(shù)據(jù)，以下是一些典型情況及識別方法：來自保留IP地址的連接企圖：可通過檢查IP報頭(IPheader)的來源地址輕易地識別。帶有非法TCP標(biāo)識的數(shù)據(jù)包：可通過對比TCP報頭中的標(biāo)志集與已知正確和錯誤標(biāo)記的不同點來識別。含有特殊病毒信息的Email：可通過對比每封Email的主題信息和病態(tài)Email的主題信息來識別，或者通過搜索特定名字的附件來識別。查詢負載中的DNS緩沖區(qū)溢出企圖：可通過解析DNS域及檢查每個域的長度來識別利用DNS域的緩沖區(qū)溢出企圖；還有另外一個識別方法是，在負載中搜索“殼代碼利用”(ExploitShellcode)的序列代碼組合。針對POP3服務(wù)器的