入侵檢測技術(shù)與實例

入侵檢測技術(shù)與實例第一頁，共64頁。5.1入侵檢測概述

入侵檢測技術(shù)研究最早可追溯到1980年JamesP.Aderson所寫的一份技術(shù)報告，他首先提出了入侵檢測的概念。1987年DorothyDenning提出了入侵檢測系統(tǒng)（IDS，IntrusionDetectionSystem）的抽象模型（如圖5-1所示），首次提出了入侵檢測可作為一種計算機系統(tǒng)安全防御措施的概念，與傳統(tǒng)的加密和訪問控制技術(shù)相比，IDS是全新的計算機安全措施。返回本章首頁第二頁，共64頁。返回本章首頁第三頁，共64頁。1988年TeresaLunt等人進一步改進了Denning提出的入侵檢測模型，并創(chuàng)建了IDES（IntrusionDetectionExpertSystem），該系統(tǒng)用于檢測單一主機的入侵嘗試，提出了與系統(tǒng)平臺無關(guān)的實時檢測思想，1995年開發(fā)的NIDES（Next-GenerationIntrusionDetectionExpertSystem）作為IDES完善后的版本可以檢測出多個主機上的入侵。返回本章首頁第四頁，共64頁。1990年，Heberlein等人提出了一個具有里程碑意義的新型概念：基于網(wǎng)絡(luò)的入侵檢測——網(wǎng)絡(luò)安全監(jiān)視器NSM（NetworkSecurityMonitor）。1991年,NADIR（NetworkAnomalyDetectionandIntrusionReporter）與DIDS（DistributeIntrusionDetectionSystem）提出了通過收集和合并處理來自多個主機的審計信息可以檢測出一系列針對主機的協(xié)同攻擊。返回本章首頁第五頁，共64頁。1994年，MarkCrosbie和GeneSpafford建議使用自治代理（autonomousagents）以提高IDS的可伸縮性、可維護性、效率和容錯性，該理念非常符合計算機科學其他領(lǐng)域（如軟件代理，softwareagent）正在進行的相關(guān)研究。另一個致力于解決當代絕大多數(shù)入侵檢測系統(tǒng)伸縮性不足的方法于1996年提出，這就是GrIDS（Graph-basedIntrusionDetectionSystem）的設(shè)計和實現(xiàn)，該系統(tǒng)可以方便地檢測大規(guī)模自動或協(xié)同方式的網(wǎng)絡(luò)攻擊。返回本章首頁第六頁，共64頁。近年來，入侵檢測技術(shù)研究的主要創(chuàng)新有：Forrest等將免疫學原理運用于分布式入侵檢測領(lǐng)域；1998年RossAnderson和AbidaKhattak將信息檢索技術(shù)引進入侵檢測；以及采用狀態(tài)轉(zhuǎn)換分析、數(shù)據(jù)挖掘和遺傳算法等進行誤用和異常檢測。返回本章首頁第七頁，共64頁。5.1.1入侵檢測原理

圖5-2給出了入侵檢測的基本原理圖。入侵檢測是用于檢測任何損害或企圖損害系統(tǒng)的保密性、完整性或可用性的一種網(wǎng)絡(luò)安全技術(shù)。它通過監(jiān)視受保護系統(tǒng)的狀態(tài)和活動，采用誤用檢測（MisuseDetection）或異常檢測（AnomalyDetection）的方式，發(fā)現(xiàn)非授權(quán)的或惡意的系統(tǒng)及網(wǎng)絡(luò)行為，為防范入侵行為提供有效的手段。返回本章首頁第八頁，共64頁。圖5-2入侵檢測原理框圖

返回本章首頁第九頁，共64頁。

入侵檢測系統(tǒng)（IntrusionDetectionSystem，IDS）就是執(zhí)行入侵檢測任務(wù)的硬件或軟件產(chǎn)品。IDS通過實時的分析，檢查特定的攻擊模式、系統(tǒng)配置、系統(tǒng)漏洞、存在缺陷的程序版本以及系統(tǒng)或用戶的行為模式，監(jiān)控與安全有關(guān)的活動。一個基本的入侵檢測系統(tǒng)需要解決兩個問題：一是如何充分并可靠地提取描述行為特征的數(shù)據(jù)；二是如何根據(jù)特征數(shù)據(jù)，高效并準確地判定行為的性質(zhì)。返回本章首頁第十頁，共64頁。5.1.2系統(tǒng)結(jié)構(gòu)由于網(wǎng)絡(luò)環(huán)境和系統(tǒng)安全策略的差異，入侵檢測系統(tǒng)在具體實現(xiàn)上也有所不同。從系統(tǒng)構(gòu)成上看，入侵檢測系統(tǒng)應(yīng)包括事件提取、入侵分析、入侵響應(yīng)和遠程管理四大部分，另外還可能結(jié)合安全知識庫、數(shù)據(jù)存儲等功能模塊，提供更為完善的安全檢測及數(shù)據(jù)分析功能（如圖5-3所示）。返回本章首頁第十一頁，共64頁。圖5-3入侵檢測系統(tǒng)結(jié)構(gòu)返回本章首頁第十二頁，共64頁。入侵檢測的思想源于傳統(tǒng)的系統(tǒng)審計，但拓寬了傳統(tǒng)審計的概念，它以近乎不間斷的方式進行安全檢測，從而可形成一個連續(xù)的檢測過程。這通常是通過執(zhí)行下列任務(wù)來實現(xiàn)的：監(jiān)視、分析用戶及系統(tǒng)活動；系統(tǒng)構(gòu)造和弱點的審計；識別分析知名攻擊的行為特征并告警；異常行為特征的統(tǒng)計分析；評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為。返回本章首頁第十三頁，共64頁。5.1.3系統(tǒng)分類由于功能和體系結(jié)構(gòu)的復雜性，入侵檢測按照不同的標準有多種分類方法?？煞謩e從數(shù)據(jù)源、檢測理論、檢測時效三個方面來描述入侵檢測系統(tǒng)的類型。

1．基于數(shù)據(jù)源的分類

通?？梢园讶肭謾z測系統(tǒng)分為五類，即基于主機、基于網(wǎng)絡(luò)、混合入侵檢測、基于網(wǎng)關(guān)的入侵檢測系統(tǒng)以及文件完整性檢查系統(tǒng)。返回本章首頁第十四頁，共64頁。

2．基于檢測理論的分類

從具體的檢測理論上來說，入侵檢測又可分為異常檢測和誤用檢測。

異常檢測（AnomalyDetection）指根據(jù)使用者的行為或資源使用狀況的正常程度來判斷是否入侵，而不依賴于具體行為是否出現(xiàn)來檢測。

誤用檢測（MisuseDetection）指運用已知攻擊方法，根據(jù)已定義好的入侵模式，通過判斷這些入侵模式是否出現(xiàn)來檢測。

返回本章首頁第十五頁，共64頁。

3．基于檢測時效的分類

IDS在處理數(shù)據(jù)的時候可以采用實時在線檢測方式，也可以采用批處理方式，定時對處理原始數(shù)據(jù)進行離線檢測，這兩種方法各有特點（如圖5-5所示）。

離線檢測方式將一段時間內(nèi)的數(shù)據(jù)存儲起來，然后定時發(fā)給數(shù)據(jù)處理單元進行分析，如果在這段時間內(nèi)有攻擊發(fā)生就報警。在線檢測方式的實時處理是大多數(shù)IDS所采用的辦法，由于計算機硬件速度的提高，使得對攻擊的實時檢測和響應(yīng)成為可能。返回本章首頁第十六頁，共64頁。返回本章首頁第十七頁，共64頁。5.2入侵檢測的技術(shù)實現(xiàn)對于入侵檢測的研究，從早期的審計跟蹤數(shù)據(jù)分析，到實時入侵檢測系統(tǒng)，到目前應(yīng)用于大型網(wǎng)絡(luò)的分布式檢測系統(tǒng)，基本上已發(fā)展成為具有一定規(guī)模和相應(yīng)理論的研究領(lǐng)域。入侵檢測的核心問題在于如何對安全審計數(shù)據(jù)進行分析，以檢測其中是否包含入侵或異常行為的跡象。這里，我們先從誤用檢測和異常檢測兩個方面介紹當前關(guān)于入侵檢測技術(shù)的主流技術(shù)實現(xiàn)，然后對其它類型的檢測技術(shù)作簡要介紹。返回本章首頁第十八頁，共64頁。5.2.1入侵檢測分析模型分析是入侵檢測的核心功能，它既能簡單到像一個已熟悉日志情況的管理員去建立決策表，也能復雜得像一個集成了幾百萬個處理的非參數(shù)系統(tǒng)。入侵檢測的分析處理過程可分為三個階段：構(gòu)建分析器;對實際現(xiàn)場數(shù)據(jù)進行分析;反饋和提煉過程。其中，前兩個階段都包含三個功能：數(shù)據(jù)處理、數(shù)據(jù)分類（數(shù)據(jù)可分為入侵指示、非入侵指示或不確定）和后處理。返回本章首頁第十九頁，共64頁。5.2.2誤用檢測（MisuseDetection）

誤用檢測是按照預定模式搜尋事件數(shù)據(jù)的，最適用于對已知模式的可靠檢測。執(zhí)行誤用檢測，主要依賴于可靠的用戶活動記錄和分析事件的方法。

1．條件概率預測法條件概率預測法是基于統(tǒng)計理論來量化全部外部網(wǎng)絡(luò)事件序列中存在入侵事件的可能程度。返回本章首頁第二十頁，共64頁。2．產(chǎn)生式/專家系統(tǒng)

用專家系統(tǒng)對入侵進行檢測，主要是檢測基于特征的入侵行為。所謂規(guī)則，即是知識，專家系統(tǒng)的建立依賴于知識庫的完備性，而知識庫的完備性又取決于審計記錄的完備性與實時性。產(chǎn)生式/專家系統(tǒng)是誤用檢測早期的方案之一，在MIDAS、IDES、NIDES、DIDS和CMDS中都使用了這種方法。返回本章首頁第二十一頁，共64頁。3．狀態(tài)轉(zhuǎn)換方法

狀態(tài)轉(zhuǎn)換方法使用系統(tǒng)狀態(tài)和狀態(tài)轉(zhuǎn)換表達式來描述和檢測入侵，采用最優(yōu)模式匹配技巧來結(jié)構(gòu)化誤用檢測，增強了檢測的速度和靈活性。目前，主要有三種實現(xiàn)方法：狀態(tài)轉(zhuǎn)換分析、有色Petri-Net和語言/應(yīng)用編程接口（API）。返回本章首頁第二十二頁，共64頁。

4．用于批模式分析的信息檢索技術(shù)當前大多數(shù)入侵檢測都是通過對事件數(shù)據(jù)的實時收集和分析來發(fā)現(xiàn)入侵的，然而在攻擊被證實之后，要從大量的審計數(shù)據(jù)中尋找證據(jù)信息，就必須借助于信息檢索（IR，InformationRetrieval）技術(shù)，IR技術(shù)當前廣泛應(yīng)用于WWW的搜索引擎上。IR系統(tǒng)使用反向文件作為索引，允許高效地搜尋關(guān)鍵字或關(guān)鍵字組合，并使用Bayesian理論幫助提煉搜索。返回本章首頁第二十三頁，共64頁。

5．KeystrokeMonitor和基于模型的方法KeystrokeMonitor是一種簡單的入侵檢測方法，它通過分析用戶擊鍵序列的模式來檢測入侵行為，常用于對主機的入侵檢測。該方法具有明顯的缺點，首先，批處理或Shell程序可以不通過擊鍵而直接調(diào)用系統(tǒng)攻擊命令序列；其次，操作系統(tǒng)通常不提供統(tǒng)一的擊鍵檢測接口，需通過額外的鉤子函數(shù)（Hook）來監(jiān)測擊鍵。返回本章首頁第二十四頁，共64頁。5.2.3異常檢測（AnomalyDetection）

異常檢測基于一個假定：用戶的行為是可預測的、遵循一致性模式的，且隨著用戶事件的增加異常檢測會適應(yīng)用戶行為的變化。用戶行為的特征輪廓在異常檢測中是由度量（measure）集來描述，度量是特定網(wǎng)絡(luò)行為的定量表示，通常與某個檢測閥值或某個域相聯(lián)系。異常檢測可發(fā)現(xiàn)未知的攻擊方法，體現(xiàn)了強健的保護機制，但對于給定的度量集能否完備到表示所有的異常行為仍需要深入研究。返回本章首頁第二十五頁，共64頁。1．Denning的原始模型DorothyDenning于1986年給出了入侵檢測的IDES模型，她認為在一個系統(tǒng)中可以包括四個統(tǒng)計模型，每個模型適合于一個特定類型的系統(tǒng)度量:

（1）可操作模型

（2）平均和標準偏差模型

（3）多變量模型

（4）Markov處理模型

返回本章首頁第二十六頁，共64頁。2．量化分析異常檢測最常用的方法就是將檢驗規(guī)則和屬性以數(shù)值形式表示的量化分析，這種度量方法在Denning的可操作模型中有所涉及。量化分析通過采用從簡單的加法到比較復雜的密碼學計算得到的結(jié)果作為誤用檢測和異常檢測統(tǒng)計模型的基礎(chǔ)。（1）閥值檢驗（2）基于目標的集成檢查（3）量化分析和數(shù)據(jù)精簡返回本章首頁第二十七頁，共64頁。3．統(tǒng)計度量

統(tǒng)計度量方法是產(chǎn)品化的入侵檢測系統(tǒng)中常用的方法，常見于異常檢測。運用統(tǒng)計方法，有效地解決了四個問題：（1）選取有效的統(tǒng)計數(shù)據(jù)測量點，生成能夠反映主體特征的會話向量；（2）根據(jù)主體活動產(chǎn)生的審計記錄，不斷更新當前主體活動的會話向量；（3）采用統(tǒng)計方法分析數(shù)據(jù)，判斷當前活動是否符合主體的歷史行為特征；（4）隨著時間推移，學習主體的行為特征，更新歷史記錄。返回本章首頁第二十八頁，共64頁。4．非參數(shù)統(tǒng)計度量非參數(shù)統(tǒng)計方法通過使用非數(shù)據(jù)區(qū)分技術(shù)，尤其是群集分析技術(shù)來分析參數(shù)方法無法考慮的系統(tǒng)度量。群集分析的基本思想是，根據(jù)評估標準（也稱為特性）將收集到的大量歷史數(shù)據(jù)（一個樣本集）組織成群，通過預處理過程，將與具體事件流（經(jīng)常映射為一個具體用戶）相關(guān)的特性轉(zhuǎn)化為向量表示，再采用群集算法將彼此比較相近的向量成員組織成一個行為類，這樣使用該分析技術(shù)的實驗結(jié)果將會表明用何種方式構(gòu)成的群可以可靠地對用戶的行為進行分組并識別。返回本章首頁第二十九頁，共64頁。5．基于規(guī)則的方法上面討論的異常檢測主要基于統(tǒng)計方法，異常檢測的另一個變種就是基于規(guī)則的方法。與統(tǒng)計方法不同的是基于規(guī)則的檢測使用規(guī)則集來表示和存儲使用模式。（1）Wisdom&Sense方法（2）基于時間的引導機（TIM）返回本章首頁第三十頁，共64頁。5.2.4其它檢測技術(shù)

這些技術(shù)不能簡單地歸類為誤用檢測或是異常檢測，而是提供了一種有別于傳統(tǒng)入侵檢測視角的技術(shù)層次，例如免疫系統(tǒng)、基因算法、數(shù)據(jù)挖掘、基于代理（Agent）的檢測等，它們或者提供了更具普遍意義的分析技術(shù)，或者提出了新的檢測系統(tǒng)架構(gòu)，因此無論對于誤用檢測還是異常檢測來說，都可以得到很好的應(yīng)用。返回本章首頁第三十一頁，共64頁。

1．神經(jīng)網(wǎng)絡(luò)（NeuralNetwork）

作為人工智能（AI）的一個重要分支，神經(jīng)網(wǎng)絡(luò)（NeuralNetwork）在入侵檢測領(lǐng)域得到了很好的應(yīng)用，它使用自適應(yīng)學習技術(shù)來提取異常行為的特征，需要對訓練數(shù)據(jù)集進行學習以得出正常的行為模式。這種方法要求保證用于學習正常模式的訓練數(shù)據(jù)的純潔性，即不包含任何入侵或異常的用戶行為。返回本章首頁第三十二頁，共64頁。2．免疫學方法

NewMexico大學的StephanieForrest提出了將生物免疫機制引入計算機系統(tǒng)的安全保護框架中。免疫系統(tǒng)中最基本也是最重要的能力是識別“自我/非自我”（self/nonself），換句話講，它能夠識別哪些組織是屬于正常機體的，不屬于正常的就認為是異常，這個概念和入侵檢測中異常檢測的概念非常相似。

返回本章首頁第三十三頁，共64頁。3．數(shù)據(jù)挖掘方法

Columbia大學的WenkeLee在其博士論文中，提出了將數(shù)據(jù)挖掘（DataMining,DM）技術(shù)應(yīng)用到入侵檢測中，通過對網(wǎng)絡(luò)數(shù)據(jù)和主機系統(tǒng)調(diào)用數(shù)據(jù)的分析挖掘，發(fā)現(xiàn)誤用檢測規(guī)則或異常檢測模型。具體的工作包括利用數(shù)據(jù)挖掘中的關(guān)聯(lián)算法和序列挖掘算法提取用戶的行為模式，利用分類算法對用戶行為和特權(quán)程序的系統(tǒng)調(diào)用進行分類預測。實驗結(jié)果表明，這種方法在入侵檢測領(lǐng)域有很好的應(yīng)用前景。返回本章首頁第三十四頁，共64頁。

4．基因算法基因算法是進化算法（evolutionaryalgorithms）的一種，引入了達爾文在進化論中提出的自然選擇的概念（優(yōu)勝劣汰、適者生存）對系統(tǒng)進行優(yōu)化。該算法對于處理多維系統(tǒng)的優(yōu)化是非常有效的。在基因算法的研究人員看來，入侵檢測的過程可以抽象為：為審計事件記錄定義一種向量表示形式，這種向量或者對應(yīng)于攻擊行為，或者代表正常行為。

返回本章首頁第三十五頁，共64頁。5．基于代理的檢測近年來，一種基于Agent的檢測技術(shù)（Agent-BasedDetection）逐漸引起研究者的重視。所謂Agent，實際上可以看作是在執(zhí)行某項特定監(jiān)視任務(wù)的軟件實體?；贏gent的入侵檢測系統(tǒng)的靈活性保證它可以為保障系統(tǒng)的安全提供混合式的架構(gòu)，綜合運用誤用檢測和異常檢測，從而彌補兩者各自的缺陷。返回本章首頁第三十六頁，共64頁。5.3分布式入侵檢測

分布式入侵檢測（DistributedIntrusionDetection）是目前入侵檢測乃至整個網(wǎng)絡(luò)安全領(lǐng)域的熱點之一。到目前為止，還沒有嚴格意義上的分布式入侵檢測的商業(yè)化產(chǎn)品，但研究人員已經(jīng)提出并完成了多個原型系統(tǒng)。通常采用的方法中，一種是對現(xiàn)有的IDS進行規(guī)模上的擴展，另一種則通過IDS之間的信息共享來實現(xiàn)。具體的處理方法上也分為兩種：分布式信息收集、集中式處理；分布式信息收集、分布式處理。返回本章首頁第三十七頁，共64頁。5.3.1分布式入侵檢測的優(yōu)勢分布式入侵檢測由于采用了非集中的系統(tǒng)結(jié)構(gòu)和處理方式，相對于傳統(tǒng)的單機IDS具有一些明顯的優(yōu)勢：（1）檢測大范圍的攻擊行為（2）提高檢測的準確度（3）提高檢測效率（4）協(xié)調(diào)響應(yīng)措施返回本章首頁第三十八頁，共64頁。5.3.2分布式入侵檢測的技術(shù)難點與傳統(tǒng)的單機IDS相比較，分布式入侵檢測系統(tǒng)具有明顯的優(yōu)勢。然而，在實現(xiàn)分布檢測組件的信息共享和協(xié)作上，卻存在著一些技術(shù)難點。

StanfordResearchInstitute（SRI）在對EMERALD系統(tǒng)的研究中，列舉了分布式入侵檢測必須關(guān)注的關(guān)鍵問題：事件產(chǎn)生及存儲、狀態(tài)空間管理及規(guī)則復雜度、知識庫管理、推理技術(shù)。

返回本章首頁第三十九頁，共64頁。5.3.3分布式入侵檢測現(xiàn)狀

盡管分布式入侵檢測存在技術(shù)和其它層面的難點，但由于其相對于傳統(tǒng)的單機IDS所具有的優(yōu)勢，目前已經(jīng)成為這一領(lǐng)域的研究熱點。1．Snortnet它通過對傳統(tǒng)的單機IDS進行規(guī)模上的擴展，使系統(tǒng)具備分布式檢測的能力，是基于模式匹配的分布式入侵檢測系統(tǒng)的一個具體實現(xiàn)。主要包括三個組件：網(wǎng)絡(luò)感應(yīng)器、代理守護程序和監(jiān)視控制臺。返回本章首頁第四十頁，共64頁。2．Agent-Based基于Agent的IDS由于其良好的靈活性和擴展性，是分布式入侵檢測的一個重要研究方向。國外一些研究機構(gòu)在這方面已經(jīng)做了大量工作，其中Purdue大學的入侵檢測自治代理（AAFID）和SRI的EMERALD最具代表性。

AAFID的體系結(jié)構(gòu)如圖5-10所示，其特點是形成了一個基于代理的分層順序控制和報告結(jié)構(gòu)。

返回本章首頁第四十一頁，共64頁。返回本章首頁第四十二頁，共64頁。

3．DIDS

DIDS（DistributedIntrusionDetectionSystem）是由UCDavis的SecurityLab完成的，它集成了兩種已有的入侵檢測系統(tǒng)，Haystack和NSM。前者由TracorAppliedSciencesandHaystack實驗室針對多用戶主機的檢測任務(wù)而開發(fā)，數(shù)據(jù)源來自主機的系統(tǒng)日志。NSM則是由UCDavis開發(fā)的網(wǎng)絡(luò)安全監(jiān)視器，通過對數(shù)據(jù)包、連接記錄、應(yīng)用層會話的分析，結(jié)合入侵特征庫和正常的網(wǎng)絡(luò)流或會話記錄的模式庫，判斷當前的網(wǎng)絡(luò)行為是否包含入侵或異常。返回本章首頁第四十三頁，共64頁。

4．GrIDS

GrIDS（Graph-basedIntrusionDetectionSystem）同樣由UCDavis提出并實現(xiàn)，該系統(tǒng)實現(xiàn)了一種在大規(guī)模網(wǎng)絡(luò)中使用圖形化表示的方法來描述網(wǎng)絡(luò)行為的途徑，其設(shè)計目標主要針對大范圍的網(wǎng)絡(luò)攻擊，例如掃描、協(xié)同攻擊、網(wǎng)絡(luò)蠕蟲等。GrIDS的缺陷在于只是給出了網(wǎng)絡(luò)連接的圖形化表示，具體的入侵判斷仍然需要人工完成，而且系統(tǒng)的有效性和效率都有待驗證和提高。

返回本章首頁第四十四頁，共64頁。

5．IntrusionStrategy

Boeing公司的Ming-YuhHuang從另一個角度對入侵檢測系統(tǒng)進行了研究，針對分布式入侵檢測所存在的問題，他認為可以從入侵者的目的（IntrusionIntention），或者是入侵策略（IntrusionStrategy）入手，幫助我們確定如何在不同的IDS組件之間進行協(xié)作檢測。對入侵策略的分析可以幫助我們調(diào)整審計策略和參數(shù)，構(gòu)成自適應(yīng)的審計檢測系統(tǒng)。

返回本章首頁第四十五頁，共64頁。6．數(shù)據(jù)融合（DataFusion）

TimmBass提出將數(shù)據(jù)融合（DataFusion）的概念應(yīng)用到入侵檢測中，從而將分布式入侵檢測任務(wù)理解為在層次化模型下對多個感應(yīng)器的數(shù)據(jù)綜合問題。在這個層次化模型中，入侵檢測的數(shù)據(jù)源經(jīng)歷了從數(shù)據(jù)（Data）到信息（Information）再到知識（Knowledge）三個邏輯抽象層次。

返回本章首頁第四十六頁，共64頁。

7．基于抽象（Abstraction-based）的方法

GMU的PengNing在其博士論文中提出了一種基于抽象（Abstraction-based）的分布式入侵檢測系統(tǒng)，基本思想是設(shè)立中間層（systemview），提供與具體系統(tǒng)無關(guān)的抽象信息，用于分布式檢測系統(tǒng)中的信息共享，抽象信息的內(nèi)容包括事件信息（event）以及系統(tǒng)實體間的斷言（dynamicpredicate）。中間層用于表示IDS間的共享信息時使用的對應(yīng)關(guān)系為：IDS檢測到的攻擊或者IDS無法處理的事件信息作為event，IDS或受IDS監(jiān)控的系統(tǒng)的狀態(tài)則作為dynamicpredicates。

返回本章首頁第四十七頁，共64頁。5.4入侵檢測系統(tǒng)的標準從20世紀90年代到現(xiàn)在，入侵檢測系統(tǒng)的研發(fā)呈現(xiàn)出百家爭鳴的繁榮局面，并在智能化和分布式兩個方向取得了長足的進展。為了提高IDS產(chǎn)品、組件及與其他安全產(chǎn)品之間的互操作性，DARPA和IETF的入侵檢測工作組（IDWG）發(fā)起制訂了一系列建議草案，從體系結(jié)構(gòu)、API、通信機制、語言格式等方面來規(guī)范IDS的標準。

返回本章首頁第四十八頁，共64頁。5.4.1IETF之IDWG

IDWG定義了用于入侵檢測與響應(yīng)（IDR）系統(tǒng)之間或與需要交互的管理系統(tǒng)之間的信息共享所需要的數(shù)據(jù)格式和交換規(guī)程。

IDWG提出了三項建議草案：入侵檢測消息交換格式（IDMEF）、入侵檢測交換協(xié)議（IDXP）以及隧道輪廓（TunnelProfile）。

返回本章首頁第四十九頁，共64頁。5.4.2CIDF

CIDF的工作集中體現(xiàn)在四個方面：IDS的體系結(jié)構(gòu)、通信機制、描述語言和應(yīng)用編程接口API。

CIDF在IDES和NIDES的基礎(chǔ)上提出了一個通用模型，將入侵檢測系統(tǒng)分為四個基本組件：事件產(chǎn)生器、事件分析器、響應(yīng)單元和事件數(shù)據(jù)庫。其結(jié)構(gòu)如圖5-15所示。返回本章首頁第五十頁，共64頁。返回本章首頁第五十一頁，共64頁。5.5入侵檢測系統(tǒng)示例為了直觀地理解入侵檢測的使用、配置等情況，這里我們以Snort為例，對構(gòu)建以Snort為基礎(chǔ)的入侵檢測系統(tǒng)做概要介紹。

Snort是一個開放源代碼的免費軟件，它基于libpcap的數(shù)據(jù)包嗅探器，并可以作為一個輕量級的網(wǎng)絡(luò)入侵檢測系統(tǒng)（NIDS）。

通過在中小型網(wǎng)絡(luò)上部署Snort系統(tǒng)，可以在分析捕獲的數(shù)據(jù)包基礎(chǔ)上，進行入侵行為特征匹配工作，或從網(wǎng)絡(luò)活動的角度檢測異常行為，并完成入侵的預警或記錄。

返回本章首頁第五十二頁，共64頁。5.5.1Snort的體系結(jié)構(gòu)

Snort在結(jié)構(gòu)上可分為數(shù)據(jù)包捕獲和解碼子系統(tǒng)、檢測引擎，以及日志及報警子系統(tǒng)三個部分。

1．數(shù)據(jù)包捕獲和解碼子系統(tǒng)該子系統(tǒng)的功能是捕獲共享網(wǎng)絡(luò)的傳輸數(shù)據(jù)，并按照TCP/IP協(xié)議的不同層次將數(shù)據(jù)包解析。

2．檢測引擎檢測引擎是NIDS實現(xiàn)的核心，準確性和快速性是衡量其性能的重要指標。

返回本章首頁第五十三頁，共64頁。

為了能夠快速準確地進行檢測和處理，Snort在檢測規(guī)則方面做了較為成熟的設(shè)計。Snort將所有已知的攻擊方法以規(guī)則的形式存放在規(guī)則庫中，每一條規(guī)則由規(guī)則頭和規(guī)則選項兩部分組成。規(guī)則頭對應(yīng)于規(guī)則樹結(jié)點RTN（RuleTreeNode），包含動作、協(xié)議、源（目的）地址和端口以及數(shù)據(jù)流向，這是所有規(guī)則共有的部分。規(guī)則選項對應(yīng)于規(guī)則選項結(jié)點OTN（OptionalTreeNode），包含報警信息（msg）、匹配內(nèi)容（content）等選項，這些內(nèi)容需要根據(jù)具體規(guī)則的性質(zhì)確定。返回本章首頁第五十四頁，共64頁。

檢測規(guī)則除了包括上述的關(guān)于“要檢測什么”，還應(yīng)該定義“檢測到了該做什么”。Snort定義了三種處理方式：alert（發(fā)送報警信息）、log（記錄該數(shù)據(jù)包）和pass（忽略該數(shù)據(jù)包），并定義為規(guī)則的第一個匹配關(guān)鍵字。這樣設(shè)計的目的是為了在程序中可以組織整個規(guī)則庫，即將所有的規(guī)則按照處理方式組織成三個鏈表，以用于更快速準確地進行匹配。如圖5-17所示。返回本章首頁第五十五頁，共64頁。返回本章首頁第五十六頁，共64頁。

當Snort捕獲一個數(shù)據(jù)包時，首先分析該數(shù)據(jù)包使用哪個IP協(xié)議以決定將與某個規(guī)則樹進行匹配。然后與RTN結(jié)點依次進行匹配，當與一個頭結(jié)點相匹配時，向下與OTN結(jié)點進行匹配。每個OTN結(jié)點包含一條規(guī)則所對應(yīng)的全部選項，同時包含一組函數(shù)指針，用來實現(xiàn)對這些選項的匹配操作。當數(shù)據(jù)包與某個OTN結(jié)點相匹配時，即判斷此數(shù)據(jù)包為攻擊