nids網(wǎng)絡(luò)立體防御系統(tǒng)可行性研究報(bào)告

目錄一．總論近年來,網(wǎng)絡(luò)攻擊變得越來越普遍,也越來越難于防范.舊的單層次的安全體系結(jié)構(gòu)日益顯得力不從心，通過不斷分析和研究入侵檢測的模型及原理，分析它們的長處以及不足，在國際上提出了一種新的安全體系結(jié)構(gòu)--網(wǎng)絡(luò)入侵檢測，她使得各安全因素能夠有機(jī)的結(jié)合，從而最大程。同時(shí)，現(xiàn)在世界上每年因利用計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行犯罪所造成的直接經(jīng)濟(jì)損失令人吃驚。據(jù)美國ABA(AmericanBarAssociation)組織調(diào)查和專家估計(jì)，美國每年因計(jì)算機(jī)犯罪所造成的經(jīng)濟(jì)損失高達(dá)150億美元。據(jù)報(bào)道，在Internet上，每天大約有4起計(jì)算機(jī)犯罪發(fā)生。計(jì)算機(jī)犯罪，作為一種更為隱蔽的犯罪手段，給社會(huì)帶來了很大的危害，因此網(wǎng)絡(luò)安全問題已經(jīng)成為世界各國研究的熱門話題?，F(xiàn)代計(jì)算機(jī)系統(tǒng)功能日漸復(fù)雜，網(wǎng)絡(luò)體系日漸強(qiáng)大，正在對社會(huì)產(chǎn)生巨大深遠(yuǎn)的影響，但同時(shí)由于計(jì)算機(jī)網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互連性等特征，致使網(wǎng)絡(luò)易受黑客、惡意軟件和其他不軌的攻擊，所以使得安全問題越來越突出。對于軍用的自動(dòng)化指揮網(wǎng)絡(luò)系統(tǒng)而言，其網(wǎng)上信息的安全和保密尤為重要。因此，要提高計(jì)算機(jī)網(wǎng)絡(luò)的防御能力，加強(qiáng)網(wǎng)絡(luò)的安全措施，否則該網(wǎng)絡(luò)將是個(gè)無用、甚至?xí)＜皣野踩木W(wǎng)絡(luò)。無論是在局域網(wǎng)還是在廣域網(wǎng)中，都存在著自然和人為等諸多因素的脆弱性和潛在威脅。故此，網(wǎng)絡(luò)的防御措施應(yīng)是能全方位地針對各種不同的威脅和脆弱性，這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。影響計(jì)算機(jī)網(wǎng)絡(luò)安全的因素很多，有些因素可能是有意的，也可能是無意的；可能是人為的，也可能是非人為的。歸結(jié)起來，針對網(wǎng)絡(luò)安全的威脅主要有4個(gè)方面：實(shí)體摧毀是計(jì)算機(jī)網(wǎng)絡(luò)安全面對的“硬殺傷”威脅。主要有電磁攻擊、兵力破壞和火力。2.無意失誤如操作員安全配置不當(dāng)造成的安全漏洞，用戶安全意識不強(qiáng)，用戶口令選擇不慎，用戶將自己的帳號隨意轉(zhuǎn)借他人或與別人共享等都會(huì)對網(wǎng)絡(luò)安全帶來威脅。3.黑客攻擊這是計(jì)算機(jī)網(wǎng)絡(luò)所面臨的最大威脅。此類攻擊又可以分為2種：一種是網(wǎng)絡(luò)攻擊，以各種方式有選擇地破壞對方信息的有效性和完整性；另一類是網(wǎng)絡(luò)偵察，它是在不影響網(wǎng)絡(luò)正常工作的情況下，進(jìn)行截獲、竊取、破譯以獲得對方重要的機(jī)密信息。這2種攻擊均可對計(jì)算機(jī)網(wǎng)絡(luò)造成極大的危害。網(wǎng)絡(luò)軟件不可能是百分之百的無缺陷和無漏洞的，然而，這些漏洞和缺陷恰恰是黑客進(jìn)行攻擊的首選目標(biāo)。另外，軟件的“后門”都是軟件公司的設(shè)計(jì)編程人員為了方便而設(shè)置的，一般不其造成的后果將不堪設(shè)想。戰(zhàn)模型包含4個(gè)層次:第1層次，實(shí)體層次的計(jì)算機(jī)網(wǎng)絡(luò)對抗;第2層次，能量層次的計(jì)算機(jī)網(wǎng)絡(luò)對抗;第3層次，信息層次(邏輯層次)的計(jì)算機(jī)網(wǎng)絡(luò)對抗;第4層次，感知層次(超技術(shù)層次)的計(jì)算機(jī)網(wǎng)絡(luò)對抗。針對不同層次對抗，計(jì)算機(jī)網(wǎng)絡(luò)策。網(wǎng)絡(luò)安全問題自從其出現(xiàn)就受到了廣泛的重視，國內(nèi)外許多研究結(jié)構(gòu)和研究人員都致力于這方面的研究，并且取得了一定的成果，有些技術(shù)已經(jīng)形成了一套較為完整的理論體系。從廣義上講，計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)主要有:[2](5)防火墻技術(shù);(6)安全管理技術(shù);傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)被廣泛的應(yīng)用，在網(wǎng)絡(luò)安全的保護(hù)中發(fā)揮了重要的作用，但是每種技術(shù)也存在著這樣或那樣的安全缺陷或隱患，所以有必要對網(wǎng)絡(luò)安全技術(shù)作進(jìn)一步的分析和研究，而目前大多的網(wǎng)絡(luò)安全產(chǎn)品由于基于單層次的安全體系結(jié)構(gòu)，只能提供一定程度的安全保護(hù)，越來越不適應(yīng)現(xiàn)代信息社會(huì)的發(fā)展需要?；谶@種情況，華夏網(wǎng)絡(luò)提出了構(gòu)建一種基于網(wǎng)絡(luò)入侵檢測的立體防御系統(tǒng)，即建立一套多層次的全方位的網(wǎng)絡(luò)防御及檢測體系，把各種單一的安全部分有機(jī)的結(jié)合起來，使它們互相配合、互相依托、相互促進(jìn)，形成一套完整的功能,遠(yuǎn)遠(yuǎn)大于局部系統(tǒng)的安全系統(tǒng)。該系統(tǒng)能最大的程度提高整個(gè)網(wǎng)絡(luò)的安全性，同時(shí)實(shí)現(xiàn)安全和防御的可擴(kuò)展性(物理范圍)，可擴(kuò)充性(邏輯范圍)，透明性及可操作性，使其適用于不同的具體應(yīng)用環(huán)境，適用于不同的用戶，滿足用戶不同要求。同時(shí)，在提供較高的安全性的同時(shí)，使系統(tǒng)具有很高的可用性性能。這種新的安全體系結(jié)構(gòu)主要由三大部分組成:(1)防火墻系統(tǒng)；(2)入侵檢測系統(tǒng)(IDS)；(3)信息及綜合決策系統(tǒng)。、目前的進(jìn)展情況、申請技術(shù)創(chuàng)新基金的必要性1.2.1本項(xiàng)目的社會(huì)經(jīng)濟(jì)意義1.2.2項(xiàng)目目前的進(jìn)展情況申請技術(shù)創(chuàng)新基金的必要性1.3本企業(yè)實(shí)施項(xiàng)目的優(yōu)勢和風(fēng)險(xiǎn)1.3.1本企業(yè)實(shí)施項(xiàng)目的優(yōu)勢1.3.2本企業(yè)實(shí)施項(xiàng)目的風(fēng)險(xiǎn)1.4項(xiàng)目計(jì)劃目標(biāo)技術(shù)、質(zhì)量指標(biāo)計(jì)劃新增投資來源1.5主要技術(shù)、經(jīng)濟(jì)指標(biāo)對比二．申報(bào)企業(yè)情況2.2企業(yè)人員及開發(fā)能力論述2.2.1企業(yè)法定代表人的基本情況2.2.2企業(yè)人員情況2.2.3新產(chǎn)品開發(fā)能力2.2.4項(xiàng)目技術(shù)負(fù)責(zé)人的基本情況2.3企業(yè)財(cái)務(wù)經(jīng)濟(jì)狀況2.3.1企業(yè)財(cái)務(wù)經(jīng)濟(jì)狀況及預(yù)測2.4企業(yè)管理情況2.4.1企業(yè)管理制度介紹2.4.2公司質(zhì)量保障體系建設(shè)3公司榮譽(yù)2.5企業(yè)發(fā)展思路可信賴的網(wǎng)絡(luò)G可信賴的網(wǎng)絡(luò)G三．技術(shù)可行性和成熟性分析3.1項(xiàng)目的技術(shù)創(chuàng)新性論述3.1.1項(xiàng)目產(chǎn)品的基本原理下面是對組成系統(tǒng)的三大部分的基本原理進(jìn)行介紹:2.1防火墻古時(shí)候，人們常在寓所之間砌起一道磚墻，一旦火災(zāi)發(fā)生，它能夠防止火勢蔓延到別的寓所，這種墻因此而得名“防火墻”?，F(xiàn)在，如果一個(gè)網(wǎng)絡(luò)接到了Internet上，它的用戶就可以訪問外部世界并與之通信。但同時(shí)，外部世界也同樣可以訪問該網(wǎng)絡(luò)并與之交互。為安全起見，可以在該網(wǎng)絡(luò)和Internet之間插入一個(gè)中介系統(tǒng)，豎起一道安全屏障。這道屏障的作用是阻斷來自外部通過網(wǎng)絡(luò)對本網(wǎng)絡(luò)的威脅和入侵，提供扼守本網(wǎng)絡(luò)的安全和審計(jì)的唯一關(guān)卡。這種中介系統(tǒng)也叫做“防火墻”或“防火墻系統(tǒng)”。防火墻就是一種由軟件、硬件構(gòu)成的系統(tǒng)，用來在兩個(gè)網(wǎng)絡(luò)之間實(shí)施存取控制策略。圖1是防火墻在互連的網(wǎng)絡(luò)中的位置。[3]盡管防火墻有各種不同的類型,但所有的防火墻都有一個(gè)共同的特征:基于源地址基礎(chǔ)上的區(qū)分和拒絕某些訪問的能力.[4]一般都將防火墻內(nèi)的網(wǎng)絡(luò)稱為“可信賴的網(wǎng)絡(luò)”(trustednetwork),而將外部的internet稱為“不可信賴的網(wǎng)絡(luò)”(mistrustfulnetwork).防火墻分組過濾分組過濾分組過濾路由器R應(yīng)用網(wǎng)關(guān)路由器R不可信賴防火墻是近期發(fā)展起來的一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施，它是一個(gè)用以阻止網(wǎng)絡(luò)中的黑客訪問某個(gè)機(jī)構(gòu)網(wǎng)絡(luò)的屏障，也可稱之為控制進(jìn)／出2個(gè)方向通信的門檻。一個(gè)防火墻系統(tǒng)通常由屏蔽路由器和代理服務(wù)器組成。屏蔽路由器是一個(gè)多端口的IP路由器，它通過對每一個(gè)到來的IP包依據(jù)一組規(guī)則進(jìn)行檢查來判斷是否對之進(jìn)行轉(zhuǎn)發(fā)。代理服務(wù)器是防火墻系統(tǒng)中的一個(gè)服務(wù)器進(jìn)程，它能夠代替網(wǎng)絡(luò)用戶完成特定的TCP／IP功能。一個(gè)代理服務(wù)器本質(zhì)上是一個(gè)應(yīng)用層的網(wǎng)關(guān)，一個(gè)為特定網(wǎng)絡(luò)應(yīng)用而連接2個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)。Chewick和Bellovin對防火墻的定義為，[5]防火墻是一個(gè)由多個(gè)部件組成的集合或系統(tǒng)，它被放置在兩個(gè)網(wǎng)絡(luò)之間，并具有以下特性:。換句話說，防火墻置于內(nèi)部可信網(wǎng)絡(luò)和外部不可信網(wǎng)絡(luò)之間，作為一個(gè)阻塞點(diǎn)來監(jiān)視和拋棄應(yīng)用防火墻的確是一種重要的新型安全措施。防火墻在概念上非常簡單,它可以分為:基于過濾器(filter-based)和基于代理(proxy-based)的兩大類設(shè)備之一。[6]目前的防火墻主要有包過濾防火墻、代理防火墻2種類型，并在計(jì)算機(jī)網(wǎng)絡(luò)得到了廣泛的應(yīng)用。包過濾防火墻，包過濾技術(shù)是根據(jù)定義好的過濾規(guī)則審查每個(gè)數(shù)據(jù)包并確定數(shù)據(jù)包是否與過濾規(guī)則相匹配，從而決定數(shù)據(jù)包能否通過，它的特點(diǎn)是開銷小，速度快，缺點(diǎn)是定義數(shù)據(jù)包過濾器比較復(fù)雜，且不能理解特定服務(wù)的上下文環(huán)境。代理防火墻(應(yīng)用層防火墻)，代理防火墻采用代理(Proxy)技術(shù)與TCP連接的全過程，這樣從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過防火墻處理后，就象來自于防火墻外部網(wǎng)卡一樣，從而目的。其核心技術(shù)就是代理服務(wù)器技術(shù)，特點(diǎn)是安全性很高，缺點(diǎn)是對于每個(gè)中斷的internet服務(wù)，都需要提供相應(yīng)的代理程序，且對于計(jì)算機(jī)的性能有一定的要求。但是，防火墻也不能解決進(jìn)入防火墻的數(shù)據(jù)帶來的所有安全問題。如果用戶抓來一個(gè)程序在本地運(yùn)行，那個(gè)程序很可能就包含一段惡意的代碼，或泄露敏感信息，或?qū)χM(jìn)行破壞。防火墻的另一個(gè)缺點(diǎn)是很少有防火墻制造商推出簡便易用的“監(jiān)獄看守”型的防火墻，大多數(shù)的產(chǎn)品還停留在需要網(wǎng)絡(luò)管理員手工建立的水平上。因此有必要將它們?nèi)诤希瑯?gòu)成了一個(gè)典型的防火墻系統(tǒng)。2.2入侵檢測系統(tǒng)(IDS)2.2.1入侵檢測系統(tǒng)的定義入侵檢測最早是由JamesAnderson于1980年提出來的，其定義是：潛在的有預(yù)謀的未經(jīng)從該定義可以看出，入侵檢測對安全保護(hù)采取的是一種積極、主動(dòng)的防御策略，而傳統(tǒng)的安全技屏障，這些技術(shù)將完全失去作用，對系統(tǒng)不再提供保護(hù)，而入侵者則對系統(tǒng)可以進(jìn)行肆無忌憚的是入侵檢測技術(shù)則不同，它對進(jìn)入系統(tǒng)的訪問者(包括入侵者)能進(jìn)行實(shí)時(shí)的監(jiān)視和檢測，一旦發(fā)現(xiàn)訪問者對系統(tǒng)進(jìn)行非法的操作(這時(shí)訪問者成為了入侵者)，就會(huì)向系統(tǒng)管理員發(fā)出警報(bào)或者自動(dòng)截?cái)嗯c入侵者的連接，這樣就會(huì)大大提高系統(tǒng)的安全性。所以對入侵檢測技術(shù)研究是非常必要的，并且它也是一種全新理念的網(wǎng)絡(luò)(系統(tǒng))防護(hù)技術(shù)。圖2為入侵檢測一般過程示意圖，箭頭所指方向?yàn)榱鞒谭较?。輸入過程包括：用戶或者安全管理人員定義的配置規(guī)則和作為事件檢測的原始數(shù)據(jù)，對于代理監(jiān)視器來講原始數(shù)據(jù)是原始網(wǎng)絡(luò)包；輸出過程包括：系統(tǒng)發(fā)起的對安全用戶或管理用戶或管理員定義的規(guī)則原始數(shù)據(jù)包入侵發(fā)現(xiàn)攻擊特征圖2入侵發(fā)現(xiàn)示意圖2.2.2入侵檢測系統(tǒng)的模型與原理入侵檢測系統(tǒng)(IDS,IntrusionDetectionSystem)用來識別針對計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系以具體說來，IDS的主要功能有以下方面:(1)監(jiān)測并分析用戶和系統(tǒng)的活動(dòng)；(2)核查系統(tǒng)配置和漏洞；(3)評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性；(4)識別已知的攻擊行為；(5)統(tǒng)計(jì)分析異常行為；(6)操作系統(tǒng)日志管理，并識別違反安全策略的用戶活動(dòng)。入侵檢測系統(tǒng)及預(yù)警系統(tǒng)(IntrusionDetection&AlertSystem)能夠從一系列的系統(tǒng)和網(wǎng)絡(luò)資源中收集信息并對這些信息加以分析，以期能找到入侵(intrusion)或者是濫用misuse管理員報(bào)警和作出一定的處理如切斷入侵檢測連接等。入侵檢測功能原理如圖3所示：斷開連接恢復(fù)數(shù)據(jù)異常記錄斷開連接恢復(fù)數(shù)據(jù)異常記錄行為特征模塊規(guī)則模塊變量閥值用戶的當(dāng)前操用戶的當(dāng)前操作用戶行為數(shù)據(jù)庫入侵檢測監(jiān)測N入侵YY記錄證明記錄證明圖3入侵檢測功能原理最早的入侵檢測模型是由DorothyDenning于1986年提出來的，該模型雖然與具體系統(tǒng)和具體輸入無關(guān)，但是對此后的大部分實(shí)用系統(tǒng)都有很大的借鑒價(jià)值。圖4表示了該通用模型的體系審計(jì)記錄、網(wǎng)絡(luò)數(shù)據(jù)包特征表更新規(guī)則更新事事件產(chǎn)生器圖4通用的入侵檢測系統(tǒng)模型在該模型中，事件產(chǎn)生器可根據(jù)具體應(yīng)用環(huán)境而有所不同，一般來自審計(jì)記錄、網(wǎng)絡(luò)數(shù)據(jù)包以及其它可視行為，這些事件構(gòu)成了入侵檢測的基礎(chǔ)。行為特征表是整個(gè)檢測系統(tǒng)的核心，它包含了用于計(jì)算用戶行為特征的所有變量，這些記錄可根據(jù)具體采用的統(tǒng)計(jì)方法以及事件記錄中的具體動(dòng)作模式而定義，并根據(jù)匹配上的記錄數(shù)據(jù)更新變量值。如果有統(tǒng)計(jì)變量的值達(dá)到了異常程度，行為特征表將產(chǎn)生異常記錄，并采取一定的措施。規(guī)則模塊可以由系統(tǒng)安全策略、入侵模式等組成，它一方面為判斷是否入侵提供參考機(jī)制，另一方面為根據(jù)事件記錄、異常記錄以及有效日期等控制并更新其它模塊的狀態(tài)。在具體實(shí)現(xiàn)上，規(guī)則的選擇與更新可能不盡相同，但一的檢測，而規(guī)則模塊執(zhí)行基于知識的檢測。根據(jù)入侵檢測模型，入侵檢測系統(tǒng)的原理可以分為如下兩種：(1)異常檢測原理該原理指的是根據(jù)非正常行為(系統(tǒng)或用戶)和使用計(jì)算機(jī)資源非正常情況檢測出入侵行為，如圖5所示：命命令、系統(tǒng)調(diào)用、應(yīng)用使用、網(wǎng)絡(luò)連接異常行為正常行為圖5異常檢測原理模型從圖5可以看出，異常檢測原理根據(jù)假設(shè)攻擊與正常的(合法的)活動(dòng)有很大的差異來識別攻擊。異常檢測首先收集一段時(shí)期正常操作活動(dòng)的歷史記錄，再建立代表用戶、主機(jī)或網(wǎng)絡(luò)連接的正常行為輪廓，然后收集事件數(shù)據(jù)并使用一些不同的方法來決定所檢測到的事件活動(dòng)是否異常檢測技術(shù)即假定所有入侵行為都是與正常行為不同的。[14]如果建立系統(tǒng)正常行為的軌跡,那么理論上可以把所有與正常軌跡不同的系統(tǒng)狀態(tài)視為可疑企圖。對于異常閥值與特征的選擇是異常檢測技術(shù)的關(guān)鍵。比如,通過流量統(tǒng)計(jì)分析將異常時(shí)間的異常網(wǎng)絡(luò)流量視為可疑。異常檢測技術(shù)的局限是并非所有的入侵都表現(xiàn)為異常,而且系統(tǒng)的軌跡難以計(jì)算和更新。異常檢測技術(shù)的核心是建立行為模型，目前主要是由以下幾種方法:[10](2)誤用檢測原理該原理是指根據(jù)已經(jīng)知道的入侵檢測方式來檢測入侵。入侵者常常利用系統(tǒng)或應(yīng)用軟件中的弱點(diǎn)或漏洞來攻擊系統(tǒng)而這些弱點(diǎn)或漏洞可以編成一些模式，如果入侵者攻擊方式恰好匹配上檢測系統(tǒng)模式庫中的某種方式，則入侵即被檢測到了。如圖6所示：攻擊者模式庫圖6誤用檢測模型的入侵方法都可以用匹配的方法發(fā)現(xiàn)。模式發(fā)現(xiàn)的關(guān)鍵是如何表達(dá)入侵的模式,把真正的入侵與正誤用檢測技術(shù)主要分為以下幾種:[10]2.2.3入侵檢測的研究動(dòng)態(tài)從分類上看，入侵檢測系統(tǒng)可以分為：基于網(wǎng)絡(luò)的檢測系統(tǒng)：分布在網(wǎng)絡(luò)上或者是設(shè)置在被監(jiān)視的主機(jī)附近，檢查網(wǎng)絡(luò)通信情況以及分析是否有異?；顒?dòng)，它能提供網(wǎng)段的整個(gè)信息，由于要檢測整個(gè)網(wǎng)段的流量，所以，它處理的信息量很大，易受到拒絕服務(wù)攻擊(DOS)攻擊?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)把原始的網(wǎng)絡(luò)數(shù)據(jù)作為數(shù)據(jù)源。它是利用網(wǎng)絡(luò)適配器來實(shí)時(shí)的監(jiān)測,并分析通過網(wǎng)絡(luò)進(jìn)行傳輸?shù)乃型ㄐ艠I(yè)務(wù)。一旦檢測到攻擊,IDS的響應(yīng)模塊通過通知、報(bào)警以及中斷連接等方式來對攻擊行為作出反應(yīng)。基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的主要優(yōu)點(diǎn)是:①成本低;②攻擊者轉(zhuǎn)移證據(jù)困難;③定時(shí)的檢測和響應(yīng);④能夠檢測到未成功的攻擊企圖;⑤操作系統(tǒng)獨(dú)立?；谥鳈C(jī)的檢測系統(tǒng)：在被監(jiān)視的主機(jī)上運(yùn)行，檢查這些主機(jī)上的對外流量，文件系統(tǒng)的完整性及各種活動(dòng)是否合法以及是否可以接受，它能給主機(jī)提供較高程度的保護(hù)，但每臺受保護(hù)主機(jī)都需要安裝相應(yīng)的軟件，且不能提供網(wǎng)段的整體信息?；谥鳈C(jī)的入侵檢測系統(tǒng)一般以系統(tǒng)日志、序日志等審計(jì)記錄文件作為數(shù)據(jù)源.一旦發(fā)現(xiàn)數(shù)據(jù)發(fā)生變化,IDS就將比較新的日志記錄與攻擊簽名是否匹配。若匹配,IDS就向各系統(tǒng)管理員發(fā)出入侵報(bào)警并采取相應(yīng)的行動(dòng)?；谥鳈C(jī)的入侵檢測系統(tǒng)具有的主要優(yōu)點(diǎn)是:①非常適合于加密和交換環(huán)境；②近實(shí)時(shí)的檢測和應(yīng)答；③不需要格外的硬件。各自的優(yōu)勢，因此，文章在參考了有關(guān)資料后，[13]提出了一個(gè)分布式入侵檢測系統(tǒng)的實(shí)現(xiàn)方案，這在該文的后面有較為詳細(xì)的說明。從技術(shù)上看，入侵檢測又分為基于標(biāo)識(signature-based)和基于異常情況(anomaly-對于基于標(biāo)識的檢測技術(shù)來說，首先要定義違背安全策略的事件特征，如網(wǎng)絡(luò)數(shù)據(jù)包的某些頭信息，判別這類特征是否在所收集的數(shù)據(jù)中出現(xiàn)。此方法非常類似殺毒軟件，因此，它能較為準(zhǔn)基于異常的檢測技術(shù)則是先定義一組系統(tǒng)“正?！鼻闆r的數(shù)值，如cpu的利用率，內(nèi)存利用率，文件校驗(yàn)等(這類數(shù)據(jù)可以人為定義，也可以通過觀察系統(tǒng)，并用統(tǒng)計(jì)的方法得出)，然后將系行的數(shù)值與所定義的“正?！鼻闆r比較，得出是否有被攻擊的跡象。這種檢測方式的核心在于如何定義所謂的“正常”情況。它的特點(diǎn)是對已知和未知的攻擊都有一定的檢測能力，缺點(diǎn)是誤報(bào)率高。入侵檢測很大程度上依賴于收集信息的可靠性和正確性。通常一個(gè)完整的入侵檢測技術(shù)需要利用的數(shù)據(jù)或文件來自于以下4個(gè)方面:[11](1)系統(tǒng)和網(wǎng)絡(luò)日志文件黑客經(jīng)常在系統(tǒng)日志中留下他們的蹤跡。因此，充分利用系統(tǒng)和網(wǎng)絡(luò)日志文件信息是檢測入侵行顯示出有人正在入侵或己成功入侵該系統(tǒng)。通過查看日志文件，能夠發(fā)現(xiàn)成功的入侵或入侵企圖，。(2)目錄和文件中的不期望的改變網(wǎng)絡(luò)環(huán)境中的文件系統(tǒng)包含很多軟件和數(shù)據(jù)文件，包含重要信息的文件和私有數(shù)據(jù)文件經(jīng)常是黑客關(guān)注或試圖破壞的目標(biāo)。目錄和文件中的不期望的改變(包括修改、創(chuàng)建和刪除)，特別是那些正常情況下限制訪問的數(shù)據(jù)，很可能就是一種入侵產(chǎn)生的標(biāo)志和信號。(3)程序執(zhí)行中的不期望行為網(wǎng)絡(luò)系統(tǒng)上的“程序執(zhí)行”一般包括操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)、用戶啟動(dòng)的程序和特定目的的應(yīng)用，的方式也就不同。一個(gè)進(jìn)程出現(xiàn)了不期望的行為，可能預(yù)示著有黑客正在入侵系統(tǒng)。(4)物理形式的入侵信息這包括兩個(gè)方面的內(nèi)容，一是未經(jīng)授權(quán)的對網(wǎng)絡(luò)硬件的連接;二是對物理資源的未授權(quán)訪問 (非法訪問)。黑客會(huì)想方設(shè)法的突破網(wǎng)絡(luò)周邊的防衛(wèi)，如果他們能夠在物理上訪問內(nèi)部網(wǎng)，就能安裝他們自己的設(shè)備和軟件。因此，黑客就可以知道網(wǎng)上的由用戶加上去的不安全(未授權(quán))設(shè)備，然后利用這些設(shè)備訪問網(wǎng)絡(luò)。2.3信息及綜合決策系統(tǒng)介紹信息及綜合決策系統(tǒng)是數(shù)據(jù)庫及基于數(shù)據(jù)庫的信息處理系統(tǒng)的結(jié)合，是整個(gè)系統(tǒng)的信息匯總點(diǎn)，也是綜合信息的處理機(jī)構(gòu)。3.1.2項(xiàng)目產(chǎn)品的關(guān)鍵技術(shù)內(nèi)容由前面的論述可以看出，任何單一的安全部件都只能實(shí)現(xiàn)一定程度的安全，任何單層次的結(jié)構(gòu)所保障的安全也都是極其有限的，只有把他們有機(jī)的結(jié)合在一起，使他們互為依托，互相補(bǔ)充，圖7立體防御系統(tǒng)結(jié)構(gòu)圖整個(gè)系統(tǒng)由三大部分組成：外圍防火墻系統(tǒng)由主防火墻和主機(jī)防火墻組成，中間為系統(tǒng)的核心，由分布式入侵檢測系統(tǒng)組成，其具體結(jié)構(gòu)及工作原理將在后面的入侵檢測預(yù)警模型中進(jìn)行詳細(xì)的闡述，內(nèi)層信息及綜合決策系統(tǒng)由信息數(shù)據(jù)庫、中央決策控制器及受保護(hù)主機(jī)上的單機(jī)信息庫構(gòu)成。由此看出，通過外圍防火墻的攔截，中部分布式入侵檢測系統(tǒng)的實(shí)時(shí)及非實(shí)時(shí)的監(jiān)測，內(nèi)部信息及綜合決策系統(tǒng)的全局布局決策，使得各種安全部件能夠最大程度地發(fā)揮其性能，從而使整個(gè)系統(tǒng)成為一個(gè)全方位、多層次的立體防御系統(tǒng)。3.2結(jié)構(gòu)闡述3.2.1防火墻系統(tǒng)整個(gè)系統(tǒng)通過主防火墻與Internet相連，利用主防火墻，可對來自外部的大多數(shù)攻擊進(jìn)行防在子網(wǎng)內(nèi)部，有一般用戶和受保護(hù)主機(jī)，后者多為一些重要的服務(wù)器，是重點(diǎn)保護(hù)的對象。受保護(hù)服務(wù)器通過主防火墻與內(nèi)部子網(wǎng)相連。主機(jī)防火墻的功能主要為：(1)因?yàn)橹鳈C(jī)防火墻是直接面向受保護(hù)主機(jī)的，因此可對它進(jìn)行更具體，更有針對性的配置，從而對通過主防火墻的數(shù)據(jù)包進(jìn)行再過濾，減少可能發(fā)生的攻擊，從這個(gè)意義上來說，主防火墻相當(dāng)于宏觀上的調(diào)控，而主機(jī)防火墻相當(dāng)于微觀上的調(diào)控。(2)防止來自內(nèi)部的攻擊，根據(jù)調(diào)查，大部分的攻擊都來自網(wǎng)絡(luò)內(nèi)部，因此主機(jī)防火墻的賦予不同的訪問權(quán)限，從而大大提高系統(tǒng)的安全性。主防火墻與主機(jī)防火墻的另一個(gè)重要作用在于可過濾掉大量無用的數(shù)據(jù)，減少傳遞給入侵檢測系統(tǒng)及信息數(shù)據(jù)庫的無意義流量，這對減輕整個(gè)系統(tǒng)的負(fù)荷，防止DOS(拒絕服務(wù))攻擊有著重要的意義，其中主機(jī)防火墻只是邏輯上的結(jié)構(gòu)，它完全可以合并在受保護(hù)主機(jī)上，從而降低系統(tǒng)3.2.3信息及綜合決策系統(tǒng)如前面提到的，信息及綜合決策系統(tǒng)由信息數(shù)據(jù)庫和中央決策控制器及各受保護(hù)主機(jī)上的單機(jī)信息數(shù)據(jù)庫是整個(gè)系統(tǒng)的日志數(shù)據(jù)匯總中心，負(fù)責(zé)將網(wǎng)絡(luò)中所有的預(yù)警、故障、事務(wù)日志進(jìn)行匯總，并按照統(tǒng)一的格式保存入數(shù)據(jù)庫。在網(wǎng)絡(luò)管理員進(jìn)行檢查時(shí)，負(fù)責(zé)將所有的數(shù)據(jù)分類統(tǒng)計(jì)，并作出各種報(bào)告，以協(xié)助管理員對網(wǎng)絡(luò)進(jìn)行更為完善的配置。中央決策控制器負(fù)責(zé)對匯總后的信息進(jìn)行分析，從而能發(fā)現(xiàn)單機(jī)無法發(fā)現(xiàn)的可能入侵(如對多個(gè)服務(wù)器的并行掃描)，當(dāng)確定有入侵且危害較大時(shí)，中央決策及控制器則采取緊急措施，如通過對防火墻的配置來阻斷連接，對未被入侵的主機(jī)進(jìn)行屏蔽，從而防止危害的擴(kuò)大，同時(shí)記錄入侵過程，可同時(shí)收集入侵證據(jù)，同時(shí)還可以根據(jù)入侵的危害及范圍通過各種方式向管理員發(fā)出不同級別的報(bào)警信息；另一方面，管理員可通過它對各防火墻進(jìn)行配置，對單機(jī)信息庫進(jìn)行更新，從而便于整個(gè)系統(tǒng)的維護(hù)和管理。單機(jī)信息庫儲存了所對應(yīng)受保護(hù)主機(jī)的狀態(tài)信息，模式信息，是各分布式Agent的決策依據(jù)，因?yàn)閷Σ煌闹鳈C(jī)而言，這些信息有著很大的差別，因此設(shè)立單機(jī)信息庫是非常有必要的。由上面分析可看出，以上各個(gè)部分緊密聯(lián)系，相互配合，成為一個(gè)不可分割的整體。在極大的保證了系統(tǒng)的安全性、可靠性和高性能的同時(shí)，兼顧了系統(tǒng)的可用性、易用性，同時(shí)由于采用了基于Agent的分布式的體系結(jié)構(gòu)可以很容易地添加受保護(hù)主機(jī)，大大的增強(qiáng)了系統(tǒng)的可擴(kuò)展性。通過對防火墻的配置和對單機(jī)信息庫的更新，對Agent功能的增強(qiáng)，使得增加新的功能非常容易，從而保證了整個(gè)系統(tǒng)有著很好的可擴(kuò)充性。3.1.3項(xiàng)目產(chǎn)品的技術(shù)創(chuàng)新點(diǎn)傳統(tǒng)的集中式入侵檢測技術(shù)的基本模型是在網(wǎng)絡(luò)的不同網(wǎng)段中放置多個(gè)傳感器或探測器用來收集當(dāng)前網(wǎng)絡(luò)狀態(tài)信息，然后這些信息被傳送到中央控制臺進(jìn)行處理和分析，或者更進(jìn)一步的情況是，這些傳感器具有某種主動(dòng)性，能夠接收中央控制臺的某些命令和下載某些識別模板這種集中式模型具有幾個(gè)明顯的缺陷。首先，面對在大規(guī)模、異質(zhì)網(wǎng)絡(luò)基礎(chǔ)上發(fā)起的復(fù)雜攻擊行為，中央控制臺的業(yè)務(wù)負(fù)荷將會(huì)達(dá)到不可承受的地步，以致于無法具有足夠能力來處理來自四面八方的消息事件。其次，由于網(wǎng)絡(luò)傳輸?shù)臅r(shí)延問題，到達(dá)中央控制臺的數(shù)據(jù)包中的事件消息只是反映了它剛被生成時(shí)的環(huán)境狀態(tài)情況，已經(jīng)不能反映可能隨著時(shí)間已經(jīng)改變的當(dāng)前狀態(tài)。要面對不斷出現(xiàn)的新型攻擊手段。華夏網(wǎng)絡(luò)的分布式的入侵檢測系統(tǒng)將解決這個(gè)問題。通過將入侵檢測系統(tǒng)的信息采集和處理功能部分分布到多臺機(jī)器上，經(jīng)本地處理后，將可疑的單機(jī)無法處理的數(shù)據(jù)傳輸給入侵檢測系統(tǒng)的中心決策系統(tǒng)，在中心決策系統(tǒng)對信息進(jìn)行綜合后作出響應(yīng)。這樣，大大減少了網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)量，使網(wǎng)絡(luò)負(fù)擔(dān)大大減輕，同時(shí)極大地增強(qiáng)了系統(tǒng)的魯棒性?；谶@種想法，華夏網(wǎng)絡(luò)提出了基于網(wǎng)絡(luò)入侵檢測的預(yù)警模型。IDS預(yù)警系統(tǒng)的體系結(jié)構(gòu)和實(shí)現(xiàn)方法如圖8所示：信息數(shù)據(jù)庫主機(jī)IDS處理模式庫行為模模式庫行為模式確定數(shù)據(jù)收集器數(shù)據(jù)源數(shù)據(jù)源數(shù)據(jù)源數(shù)據(jù)源圖8單機(jī)上的預(yù)警子模塊整個(gè)安全防護(hù)體系中，分布于各主機(jī)的入侵檢測系統(tǒng)模塊對所負(fù)責(zé)的主機(jī)上的信息數(shù)據(jù)進(jìn)行監(jiān)控和審查，將可疑的信息和數(shù)據(jù)收集之后，交給下面的數(shù)據(jù)分析系統(tǒng)進(jìn)行分析，提取這些受到懷疑的信息的特征，并將這些特征信息加以歸納和總結(jié)，然后將產(chǎn)生出的對這些信息的結(jié)果提交給系統(tǒng)中的模式庫和模式匹配系統(tǒng)(模式庫