第5章入侵檢測技術(shù)

第五章入侵檢測技術(shù)5.1入侵檢測概述5.2入侵檢測系統(tǒng)分類5.3入侵檢測系統(tǒng)的分析方式5.4入侵檢測系統(tǒng)的設(shè)置

5.5入侵檢測系統(tǒng)的部署5.6入侵檢測系統(tǒng)的優(yōu)點(diǎn)與局限性本章學(xué)習(xí)目標(biāo)（1）入侵檢測的結(jié)構(gòu)（2）入侵檢測系統(tǒng)分類（3）入侵檢測系統(tǒng)分析方式（4）入侵檢測系統(tǒng)的設(shè)置與部署（5）入侵檢測系統(tǒng)的優(yōu)缺點(diǎn)

5.1入侵檢測概述5.1.1基本概念

5.1.2入侵檢測系統(tǒng)的結(jié)構(gòu)

5.1.1基本概念1．入侵行為入侵行為主要指對(duì)系統(tǒng)資源的非授權(quán)使用，它可以造成系統(tǒng)數(shù)據(jù)的丟失和破壞，甚至?xí)斐上到y(tǒng)拒絕對(duì)合法用戶服務(wù)等后果。2．入侵檢測入侵檢測技術(shù)是一種網(wǎng)絡(luò)信息安全新技術(shù)，它可以彌補(bǔ)防火墻的不足，對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)的檢測及采取相應(yīng)的防護(hù)手段，如記錄證據(jù)用于跟蹤和恢復(fù)、斷開網(wǎng)絡(luò)連接等。因此，入侵檢測系統(tǒng)被認(rèn)為是防火墻之后的第二道安全閘門。入侵檢測技術(shù)是一種主動(dòng)保護(hù)系統(tǒng)免受黑客攻擊的網(wǎng)絡(luò)安全技術(shù)。3．入侵檢測系統(tǒng)入侵檢測系統(tǒng)是一種能夠通過分析系統(tǒng)安全相關(guān)數(shù)據(jù)來檢測入侵活動(dòng)的系統(tǒng)。入侵檢測系統(tǒng)的主要功能有以下幾點(diǎn)：監(jiān)測并分析用戶和系統(tǒng)的活動(dòng)。核查系統(tǒng)配置和漏洞。評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性。識(shí)別已知的攻擊行為。統(tǒng)計(jì)分析異常行為。對(duì)操作系統(tǒng)進(jìn)行日志管理，并識(shí)別違反安全策略的用戶活動(dòng)。5.1.2入侵檢測系統(tǒng)的結(jié)構(gòu)CIDF（CommonIntrusionDetectionFramework）闡述了一個(gè)入侵檢測系統(tǒng)的通用模型，如圖5-1所示。5.2入侵檢測系統(tǒng)分類5.2.1基于主機(jī)的入侵檢測系統(tǒng)

5.2.2基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)

5.2.3基于內(nèi)核的入侵檢測系統(tǒng)

5.2.4兩種入侵檢測系統(tǒng)的結(jié)合運(yùn)用5.2.5分布式的入侵檢測系統(tǒng)

5.2.1基于主機(jī)的入侵檢測系統(tǒng)

基于主機(jī)的入侵檢測系統(tǒng)用于保護(hù)單臺(tái)主機(jī)不受網(wǎng)絡(luò)攻擊行為的侵害，需要安裝在被保護(hù)的主機(jī)上。按照檢測對(duì)象的不同，基于主機(jī)的入侵檢測系統(tǒng)可以分為兩類：網(wǎng)絡(luò)連接檢測和主機(jī)文件檢測。

1．網(wǎng)絡(luò)連接檢測網(wǎng)絡(luò)連接檢測是對(duì)試圖進(jìn)入該主機(jī)的數(shù)據(jù)流進(jìn)行檢測，分析確定是否有入侵行為，避免或減少這些數(shù)據(jù)流進(jìn)入主機(jī)系統(tǒng)后造成損害。2．主機(jī)文件檢測通常入侵行為會(huì)在主機(jī)的各種相關(guān)文件中留下痕跡，主機(jī)文件檢測能夠幫助系統(tǒng)管理員發(fā)現(xiàn)入侵行為或入侵企圖，及時(shí)采取補(bǔ)救措施。主機(jī)文件檢測的檢測對(duì)象主要包括以下幾種：（1）系統(tǒng)日志。（2）文件系統(tǒng)。（3）進(jìn)程記錄。基于主機(jī)的入侵檢測系統(tǒng)具有以下優(yōu)點(diǎn)：檢測準(zhǔn)確度較高。可以檢測到?jīng)]有明顯行為特征的入侵。能夠?qū)Σ煌牟僮飨到y(tǒng)進(jìn)行有針對(duì)性的檢測。成本較低。不會(huì)因網(wǎng)絡(luò)流量影響性能。適于加密和交換環(huán)境?；谥鳈C(jī)的入侵檢測系統(tǒng)具有以下不足：實(shí)時(shí)性較差。無法檢測數(shù)據(jù)包的全部。檢測效果取決于日志系統(tǒng)。占用主機(jī)資源。隱蔽性較差。如果入侵者能夠修改校驗(yàn)和，這種入侵檢測系統(tǒng)將無法起到預(yù)期的作用。5.2.2基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)

基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)通常是作為一個(gè)獨(dú)立的個(gè)體放置于被保護(hù)的網(wǎng)絡(luò)上，它使用原始的網(wǎng)絡(luò)分組數(shù)據(jù)包作為進(jìn)行攻擊分析的數(shù)據(jù)源，一般利用一個(gè)網(wǎng)絡(luò)適配器來實(shí)時(shí)監(jiān)視和分析所有通過網(wǎng)絡(luò)進(jìn)行傳輸?shù)耐ㄐ?。一旦檢測到攻擊，入侵檢測系統(tǒng)應(yīng)答模塊通過通知、報(bào)警以及中斷連接等方式來對(duì)攻擊做出反應(yīng)。

1．包嗅探器和網(wǎng)絡(luò)監(jiān)視器

2．包嗅探器和混雜模式

3．基于網(wǎng)絡(luò)的入侵檢測

基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)可以執(zhí)行以下任務(wù)：（1）檢測端口掃描。在攻擊一個(gè)系統(tǒng)時(shí)，一個(gè)入侵者通常對(duì)該系統(tǒng)進(jìn)行端口掃描，從而判斷存在哪些脆弱性。企圖對(duì)Internet上的一臺(tái)主機(jī)進(jìn)行端口掃描通常是一個(gè)人要試圖破壞網(wǎng)絡(luò)的一個(gè)信號(hào)。（2）檢測常見的攻擊行為。訪問Web服務(wù)器的80端口通常被認(rèn)為是無害的活動(dòng)，但是，一些訪問企圖事實(shí)上是故意在進(jìn)行攻擊，或者試圖攻擊。（3）識(shí)別各種各樣可能的IP欺騙攻擊。用來將IP地址轉(zhuǎn)化為MAC地址的ARP協(xié)議通常是一個(gè)攻擊目標(biāo)。通過在以太網(wǎng)上發(fā)送偽造的ARP數(shù)據(jù)包，已經(jīng)獲得系統(tǒng)訪問權(quán)限的入侵者可以假裝是一個(gè)不同的系統(tǒng)在進(jìn)行操作?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)有以下優(yōu)點(diǎn)：可以提供實(shí)時(shí)的網(wǎng)絡(luò)行為檢測?？梢酝瑫r(shí)保護(hù)多臺(tái)網(wǎng)絡(luò)主機(jī)。具有良好的隱蔽性。有效保護(hù)入侵證據(jù)。不影響被保護(hù)主機(jī)的性能。基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)有以下不足：防入侵欺騙的能力通常較差。在交換式網(wǎng)絡(luò)環(huán)境中難以配置。檢測性能受硬件條件限制。不能處理加密后的數(shù)據(jù)。5.2.3基于內(nèi)核的入侵檢測系統(tǒng)

基于內(nèi)核的入侵檢測是一種較新的技術(shù)，近來它開始流行起來，特別是在Linux上。在Linux上目前可用的基于內(nèi)核的入侵檢測系統(tǒng)主要有兩種：OpenWall和LIDS。這些系統(tǒng)采取措施防止緩沖區(qū)溢出，增加文件系統(tǒng)的保護(hù)，封閉信號(hào)，從而使入侵者破壞系統(tǒng)越來越困難。LIDS同時(shí)也采取一些步驟以阻止根用戶的一些活動(dòng)，例如安裝一個(gè)包嗅探器或改變防火墻策略。

5.2.4兩種入侵檢測系統(tǒng)的結(jié)合運(yùn)用

基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)和基于主機(jī)的入侵檢測系統(tǒng)都有各自的優(yōu)勢和不足，這兩種方式各自都能發(fā)現(xiàn)對(duì)方無法檢測到的一些網(wǎng)絡(luò)入侵行為，如果同時(shí)使用互相彌補(bǔ)不足，會(huì)起到良好的檢測效果?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)通過檢查所有的數(shù)據(jù)包頭來進(jìn)行檢測，而基于主機(jī)的入侵檢測系統(tǒng)并不查看包頭。基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)可以研究負(fù)載的內(nèi)容，查找特定攻擊中使用的命令或語法，這類攻擊可以被實(shí)時(shí)檢查包序列的入侵檢測系統(tǒng)迅速識(shí)別；而基于主機(jī)的入侵檢測系統(tǒng)無法看到負(fù)載，因此也無法識(shí)別嵌入式的負(fù)載攻擊。

5.2.5分布式的入侵檢測系統(tǒng)

采用分布式結(jié)構(gòu)的入侵檢測模式是解決方案之一，也是目前入侵檢測技術(shù)的一個(gè)研究方向。這種模式的系統(tǒng)采用分布式智能代理的結(jié)構(gòu)，由一個(gè)或者多個(gè)中央智能代理和大量分布在網(wǎng)絡(luò)各處的本地代理組成。其中本地代理負(fù)責(zé)處理本地事件，中央代理負(fù)責(zé)統(tǒng)一調(diào)控各個(gè)本地代理的工作以及從整體上完成對(duì)網(wǎng)絡(luò)事件進(jìn)行綜合分析的工作。檢測工作通過全部代理互相協(xié)作共同完成。5.3入侵檢測系統(tǒng)的分析方式

5.3.1異常檢測技術(shù)——基于行為的檢測

5.3.2誤用檢測技術(shù)——基于知識(shí)的檢測

5.3.3異常檢測技術(shù)和誤用檢測技術(shù)的比較

5.3.4其他入侵檢測技術(shù)的研究

5.3.1異常檢測技術(shù)——基于行為的檢測

1．異常檢測技術(shù)的基本原理

異常檢測技術(shù)（AnomalyDetection）也稱為基于行為的檢測技術(shù)，是指根據(jù)用戶的行為和系統(tǒng)資源的使用狀況判斷是否存在網(wǎng)絡(luò)入侵。

異常檢測技術(shù)首先假設(shè)網(wǎng)絡(luò)攻擊行為是不常見的或是異常的，區(qū)別于所有的正常行為。如果能夠?yàn)橛脩艉拖到y(tǒng)的所有正常行為總結(jié)活動(dòng)規(guī)律并建立行為模型，那么入侵檢測系統(tǒng)可以將當(dāng)前捕獲到的網(wǎng)絡(luò)行為與行為模型相對(duì)比，若入侵行為偏離了正常的行為軌跡，就可以被檢測出來。

2．異常檢測技術(shù)的評(píng)價(jià)

能夠檢測出新的網(wǎng)絡(luò)入侵方法的攻擊。較少依賴于特定的主機(jī)操作系統(tǒng)。對(duì)于內(nèi)部合法用戶的越權(quán)違法行為的檢測能力較強(qiáng)。異常檢測技術(shù)有以下不足：誤報(bào)率高。行為模型建立困難。難以對(duì)入侵行為進(jìn)行分類和命名。3．異常檢測技術(shù)分類

（1）統(tǒng)計(jì)分析異常檢測。

（2）貝葉斯推理異常檢測。

（3）神經(jīng)網(wǎng)絡(luò)異常檢測。

（4）模式預(yù)測異常檢測。

（5）數(shù)據(jù)采掘異常檢測。

（6）機(jī)器學(xué)習(xí)異常檢測。

5.3.2誤用檢測技術(shù)——基于知識(shí)的檢測

1．誤用檢測技術(shù)入侵檢測系統(tǒng)的基本原理

誤用檢測技術(shù)（MisuseDetection）也稱為基于知識(shí)的檢測技術(shù)或者模式匹配檢測技術(shù)。它的前提是假設(shè)所有的網(wǎng)絡(luò)攻擊行為和方法都具有一定的模式或特征，如果把以往發(fā)現(xiàn)的所有網(wǎng)絡(luò)攻擊的特征總結(jié)出來并建立一個(gè)入侵信息庫，那么入侵檢測系統(tǒng)可以將當(dāng)前捕獲到的網(wǎng)絡(luò)行為特征與入侵信息庫中的特征信息相比較，如果匹配，則當(dāng)前行為就被認(rèn)定為入侵行為。

2．誤用檢測技術(shù)的評(píng)價(jià)

誤用檢測技術(shù)有以下優(yōu)點(diǎn)：檢測準(zhǔn)確度高。技術(shù)相對(duì)成熟。便于進(jìn)行系統(tǒng)防護(hù)。誤用檢測技術(shù)有以下缺點(diǎn)：不能檢測出新的入侵行為。完全依賴于入侵特征的有效性。維護(hù)特征庫的工作量巨大。難以檢測來自內(nèi)部用戶的攻擊。3．誤用檢測技術(shù)的分類

（1）專家系統(tǒng)誤用檢測。

（2）特征分析誤用檢測。

（3）模型推理誤用檢測。

（4）條件概率誤用檢測。

（5）鍵盤監(jiān)控誤用檢測。

5.3.3異常檢測技術(shù)和誤用檢測技術(shù)的比較

基于異常檢測技術(shù)的入侵檢測系統(tǒng)如果想檢測到所有的網(wǎng)絡(luò)入侵行為，必須掌握被保護(hù)系統(tǒng)已知行為和預(yù)期行為的所有信息，這一點(diǎn)實(shí)際上無法做到，因此入侵檢測系統(tǒng)必須不斷地學(xué)習(xí)并更新已有的行為輪廓。對(duì)于基于誤用檢測技術(shù)的入侵檢測系統(tǒng)而言，只有擁有所有可能的入侵行為的先驗(yàn)知識(shí)，而且必須能識(shí)別各種入侵行為的過程細(xì)節(jié)或者每種入侵行為的特征模式，才能檢測到所有的入侵行為，而這種情況也是不存在的，該類入侵檢測系統(tǒng)只能檢測出已有的入侵模式，必須不斷地對(duì)新出現(xiàn)的入侵行為進(jìn)行總結(jié)和歸納。在入侵檢測系統(tǒng)的配置方面，基于異常檢測技術(shù)的入侵檢測系統(tǒng)通常比基于誤用檢測技術(shù)的入侵檢測系統(tǒng)所做的工作要少很多，因?yàn)楫惓z測需要對(duì)系統(tǒng)和用戶的行為輪廓進(jìn)行不斷地學(xué)習(xí)更新，需要做大量的數(shù)據(jù)分析處理工作，要求管理員能夠總結(jié)出被保護(hù)系統(tǒng)的所有正常行為狀態(tài)，對(duì)系統(tǒng)的已知和期望行為進(jìn)行全面的分析，因此配置難度相對(duì)較大。但是，有些基于誤用檢測技術(shù)的入侵檢測系統(tǒng)允許管理員對(duì)入侵特征數(shù)據(jù)庫進(jìn)行修改，甚至允許管理員自己根據(jù)所發(fā)現(xiàn)的攻擊行為創(chuàng)建新的網(wǎng)絡(luò)入侵特征規(guī)則記錄，這種入侵檢測系統(tǒng)在系統(tǒng)配置方面的工作量會(huì)顯著增加。

5.3.4其他入侵檢測技術(shù)的研究

入侵檢測系統(tǒng)的研究方向之一是將各個(gè)領(lǐng)域的研究成果應(yīng)用于入侵檢測中，以形成更高效、更為智能化的檢測算法，提高入侵檢測的應(yīng)用價(jià)值。目前研究的重點(diǎn)有遺傳算法和免疫技術(shù)等。1．遺傳算法遺傳算法的基本原理是首先定義一組入侵檢測指令集，這些指令用于檢測出正常或者異常的行為。2．免疫技術(shù)免疫技術(shù)應(yīng)用了生物醫(yī)學(xué)中的免疫系統(tǒng)原理。處于網(wǎng)絡(luò)環(huán)境中的主機(jī)之所以受到入侵，是因?yàn)橹鳈C(jī)系統(tǒng)本身以及所運(yùn)行的應(yīng)用程序存在著各種脆弱性因素，網(wǎng)絡(luò)攻擊者正是利用這些漏洞來侵入到主機(jī)系統(tǒng)中的；在生物系統(tǒng)中同樣存在各種脆弱性因素，因此會(huì)受到病毒、病菌的攻擊。而生物體擁有免疫系統(tǒng)來負(fù)責(zé)檢測和抵御入侵，免疫機(jī)制包括特異性免疫和非特異性免疫。特異性免疫針對(duì)于特定的某種病毒，非特異性免疫可用于檢測和抵制以前從未體驗(yàn)過的入侵類型。5.4入侵檢測系統(tǒng)的設(shè)置

入侵檢測系統(tǒng)的設(shè)置主要分為以下幾個(gè)基本的步驟：（1）確定入侵檢測需求。（2）設(shè)計(jì)入侵檢測系統(tǒng)在網(wǎng)絡(luò)中的拓?fù)湮恢?。?）配置入侵檢測系統(tǒng)。（4）入侵檢測系統(tǒng)磨合。（5）入侵檢測系統(tǒng)的使用及自調(diào)節(jié)。這些步驟的操作流程如圖5-2所示。

在圖5-2中可以看到，在設(shè)置的過程中要進(jìn)行多次的回溯，而在這幾次回溯中，第3、第4步之間的回溯過程會(huì)重復(fù)多次，通過不斷地調(diào)整入侵檢測系統(tǒng)的檢測配置，將誤報(bào)警率和漏報(bào)警率降到最低，使得入侵檢測系統(tǒng)能夠在最佳狀態(tài)下進(jìn)行檢測分析。而在使用中，隨著網(wǎng)絡(luò)整體結(jié)構(gòu)的改變（包括增加新的應(yīng)用或服務(wù)器、檢測方式更新等），入侵檢測系統(tǒng)的設(shè)置也要進(jìn)行相應(yīng)地修改，以保證能夠適應(yīng)新的變化。

5.5入侵檢測系統(tǒng)的部署

5.5.1基于網(wǎng)絡(luò)入侵檢測系統(tǒng)的部署

5.5.2基于主機(jī)入侵檢測系統(tǒng)的部署

5.5.3報(bào)警策略

5.5.1基于網(wǎng)絡(luò)入侵檢測系統(tǒng)的部署

入侵檢測的部署點(diǎn)可以劃分為4個(gè)位置：①DMZ區(qū)；②外網(wǎng)入口；③內(nèi)網(wǎng)主干；④關(guān)鍵子網(wǎng)，如圖5-3所示。

5.5.2基于主機(jī)入侵檢測系統(tǒng)的部署

在基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)部署并配置完成后，基于主機(jī)的入侵檢測系統(tǒng)的部署可以給系統(tǒng)提供高級(jí)別的保護(hù)。但是，將基于主機(jī)的入侵檢測系統(tǒng)安裝在企業(yè)中的每一個(gè)主機(jī)上是一種相當(dāng)大的時(shí)間和資金的浪費(fèi)，同時(shí)每一臺(tái)主機(jī)都需要根據(jù)自身的情況進(jìn)行特別的安裝和設(shè)置，相關(guān)的日志和升級(jí)維護(hù)是巨大的。因此，基于主機(jī)的入侵檢測系統(tǒng)主要安裝在關(guān)鍵主機(jī)上，這樣可以減少規(guī)劃部署的花費(fèi)，使管理的精力集中在最重要最需要保護(hù)的主機(jī)上。同時(shí)，為了便于對(duì)基于主機(jī)的入侵檢測系統(tǒng)的檢測結(jié)果進(jìn)行及時(shí)檢查，需要對(duì)系統(tǒng)產(chǎn)生的日志進(jìn)行集中。通過進(jìn)行集中的分析、整理和顯示，可以大大減少對(duì)網(wǎng)絡(luò)安全系統(tǒng)日常維護(hù)的復(fù)雜性和難度。由于基于主機(jī)的入侵檢測系統(tǒng)本身需要占用服務(wù)器的計(jì)算和存儲(chǔ)資源，因此，要根據(jù)服務(wù)器本身的空閑負(fù)載能力選取不同類型的入侵檢測系統(tǒng)并進(jìn)行專門的配置。

5.5.3報(bào)警策略

入侵檢測系統(tǒng)在檢測到入侵行為時(shí)，需要報(bào)警并進(jìn)行相應(yīng)的反應(yīng)。如何報(bào)警和選取什么樣的報(bào)警，需要根據(jù)整個(gè)網(wǎng)絡(luò)的環(huán)境和安全的需求進(jìn)行確定。網(wǎng)絡(luò)安全需求不同，入侵檢測報(bào)警也就存在不同的方式。如對(duì)于一般性服務(wù)的企業(yè)，報(bào)警主要集中在已知的有威脅的攻擊行為上；關(guān)鍵性服務(wù)企業(yè)則需要將盡可能多的報(bào)警進(jìn)行記錄并對(duì)部分認(rèn)定的報(bào)警進(jìn)行實(shí)時(shí)的反饋。5.6入侵檢測系統(tǒng)的優(yōu)點(diǎn)與局限性

5.6.1入侵檢測系統(tǒng)的優(yōu)點(diǎn)

5.6.2入侵檢測系統(tǒng)的局限性

5.6.1入侵檢測系統(tǒng)的優(yōu)點(diǎn)

入侵檢測系統(tǒng)作為一個(gè)迅速崛起并受到廣泛承認(rèn)的安全組件，有著很多方面的安全優(yōu)勢：可以檢測和分析系統(tǒng)事件以及用戶的行為?？梢詼y試系統(tǒng)設(shè)置的安全狀態(tài)。以系統(tǒng)的安全狀態(tài)為基礎(chǔ)，跟蹤任何對(duì)系統(tǒng)安全的修改操作。通過模式識(shí)別等技術(shù)從通信行