網(wǎng)絡安全入侵檢測系統(tǒng)畢業(yè)論文

山西綜合職業(yè)技術(shù)學院輕工分院畢業(yè)論文PAGEPAGE1摘要入侵檢測系統(tǒng)是一種主動保護網(wǎng)絡資源的網(wǎng)絡安全系統(tǒng)，近年來得到了廣泛的研究與應用。介紹了入侵檢測系統(tǒng)的起源、系統(tǒng)分類、相關產(chǎn)品分類，對它的目前存在的問題進行了分析，并對其發(fā)展趨勢作了簡單的概述。入侵檢測系統(tǒng)作為一種主動的安全防護技術(shù)，提供了對內(nèi)、外部攻擊的實時保護，在網(wǎng)絡系統(tǒng)受到危害之前攔截和響應入侵。隨著網(wǎng)絡通信技術(shù)安全性的要求越來越高，入侵檢測系統(tǒng)能夠從網(wǎng)絡安全的立體縱深、多層次防御的角度出發(fā)提供完全服務，必將進一步受到人們的高度重視。關鍵詞：網(wǎng)絡，網(wǎng)絡安全，入侵檢測目錄第1章緒論 11.1課題背景 11.2網(wǎng)絡安全 1第2章入侵檢測系統(tǒng)概述 22.1入侵檢測系統(tǒng)簡介 22.2對入侵檢測系統(tǒng)的要求 32.3入侵檢測系統(tǒng)的基本結(jié)構(gòu) 3第3章入侵檢測系統(tǒng)的分類 73.1根據(jù)檢測的數(shù)據(jù)源分類 73.2根據(jù)檢測使用的分析方法分類 9第4章入侵檢測技術(shù)的發(fā)展 144.1網(wǎng)絡入侵檢測技術(shù)的發(fā)展過程 144.2IPS研究與分析 154.3網(wǎng)絡安全的發(fā)展方向——IMS 174.4技術(shù)展望 19結(jié)論 20參考文獻 21致謝 22戶(合法用戶)濫用自身權(quán)限的檢測。入侵檢測系統(tǒng)(IntrusionDetectionSystem，簡稱IDS)是試圖實現(xiàn)檢測入侵行為的計算機系統(tǒng)，包括計算機軟件和硬件的組合。入侵檢測系統(tǒng)對系統(tǒng)進行實時監(jiān)控，對網(wǎng)絡或操作系統(tǒng)上的可疑行為做出策略反應，及時切斷資料入侵源、記錄、并通過各種途徑通知網(wǎng)絡管理員，最大幅度地保障系統(tǒng)安全，是防火墻的合理補充。2.2對入侵檢測系統(tǒng)的要求作為一種安全防護系統(tǒng)，入侵檢測系統(tǒng)旨在增強網(wǎng)絡系統(tǒng)的可靠性，因此，入侵檢測系統(tǒng)就成為了網(wǎng)絡系統(tǒng)的重要組成部分，因而它自身也應該具有足夠的可靠性，而不論它是基于何種機制。下面是入侵檢測系統(tǒng)應該具備的特性：1、檢測用戶和系統(tǒng)的運行狀況，必須在沒有(或很少)的人工干預下不間斷地運行。2、監(jiān)測系統(tǒng)配置的正確性和安全漏洞，必須具有容錯能力，即使系統(tǒng)崩潰也能繼續(xù)運轉(zhuǎn)，且重新啟動后無須重建知識庫。3、有很強的抗攻擊能力，能抵御破壞，能夠監(jiān)測自身以確保不被攻擊者修改。4、有盡可能小的系統(tǒng)開銷，避免影響系統(tǒng)(IDS所處環(huán)境)內(nèi)其它組件正常操作。5、易于部署，這主要體現(xiàn)在對不同操作系統(tǒng)和體系結(jié)構(gòu)的可移植性、簡單的安裝機制，以及操作員易于使用和理解。6、能檢測出攻擊，并作出反應。包括不能將合法的活動誤認為是攻擊、不應遺漏任何真正的攻擊、應盡可能迅速及時報告入侵活動等功能。2.3入侵檢測系統(tǒng)的基本結(jié)構(gòu)雖然目前存在諸多的入侵檢測模型和入侵檢測系統(tǒng)，但一個典型的入侵檢測系統(tǒng)一般由數(shù)據(jù)采集、數(shù)據(jù)分析和事件響應三個部分組成。一個通用的入侵檢測系統(tǒng)結(jié)構(gòu)如圖2.1所示。數(shù)據(jù)數(shù)據(jù)事件其他系統(tǒng)事件影響數(shù)據(jù)分析數(shù)據(jù)源數(shù)據(jù)收集事件2.3.1數(shù)據(jù)收集是入侵檢測的第一步，包括收集系統(tǒng)、網(wǎng)絡數(shù)據(jù)、用戶活動狀態(tài)和行為數(shù)據(jù)。而且需要在計算機網(wǎng)絡系統(tǒng)中的若干不同關鍵點(不同網(wǎng)段和不同主機)收集信息，這除了盡可能擴大了檢測范圍的因素外，還有一個重要的因素就是從一個數(shù)據(jù)源來的信息有可能看不出疑點，但從幾個數(shù)據(jù)源來的信息的不一致性卻是可疑行為或入侵的的最好標志。獲得數(shù)據(jù)之后，需要對數(shù)據(jù)進行簡單處理，如流數(shù)據(jù)的解碼、字符編碼的轉(zhuǎn)換等等。然后將處理后的數(shù)據(jù)提交給數(shù)據(jù)分析模塊。因為入侵檢測很大程度上依賴于采集信息的可靠性和正確性，因此我們必須保證數(shù)據(jù)采集的正確性。因為黑客經(jīng)常替換軟件以搞混和移走這些信息，例如替換被程序調(diào)用的子程序、記錄文件和其它工具。黑客對系統(tǒng)的修改可能使系統(tǒng)功能失常并看起來跟正常的一樣。例如，Linux系統(tǒng)的PS指令可以被替換為一個不顯示侵入過程的指令，或者編輯器被替換成一個讀取不同于指定文件的文件（黑客隱藏了初試文件并用另一版本代替）這需要保證用來檢測網(wǎng)絡系統(tǒng)的軟件的完整性，特別是入侵檢測系統(tǒng)軟件本身應具有相當強的堅固性，防止被篡改而采集到錯誤的信息。入侵檢測利用的信息一般來自以下三個方面（這里不包括物理形式的入侵信息）：1.系統(tǒng)和網(wǎng)絡日志文件黑客經(jīng)常在系統(tǒng)日志文件中留下他們的蹤跡，因此可以充分利用系統(tǒng)和網(wǎng)絡日志文件信息。日志中包含發(fā)生在系統(tǒng)和網(wǎng)絡上的不尋常和不期望活動的證據(jù)，這些證據(jù)可以指出有人正在入侵或已成功入侵了系統(tǒng)。通過查看日志文件，能夠發(fā)現(xiàn)成功的入侵或入侵企圖，并很快地啟動相應的應急響應程序。日志文件中記錄了各種行為類型，每種類型又包含不同的信息，例如記錄“用戶活動”類型的日志，就包含登錄、用戶ID改變、用戶對文件的訪問、授權(quán)和認證信息等內(nèi)容。很顯然地，對用戶活動來講，不正常的或不期望的行為就是重復登錄失敗、登錄到不期望的位置以及非授權(quán)的企圖訪問重要文件等等。2.非正常的目錄和文件改變網(wǎng)絡環(huán)境中的文件系統(tǒng)包含很多軟件和數(shù)據(jù)文件，他們經(jīng)常是黑客修改或破壞的目標。目錄和文件中非正常改變（包括修改、創(chuàng)建和刪除）特別是那些正常情況下限制訪問的，很可能就是一種入侵產(chǎn)生的指示和信號。黑客經(jīng)常替換、修改和破壞他們獲得訪問權(quán)的系統(tǒng)上的文件，同時為了隱藏系統(tǒng)中他們的表現(xiàn)及活動痕跡，都會盡力去替換系統(tǒng)程序或修改系統(tǒng)日志文件。3.非正常的程序執(zhí)行網(wǎng)絡系統(tǒng)上的程序執(zhí)行一般包括操作系統(tǒng)、網(wǎng)絡服務、用戶啟動的程序和特定目的的應用，例如WEB服務器。每個在系統(tǒng)上執(zhí)行的程序由一到多個進程來實現(xiàn)。一個進程的執(zhí)行行為由它運行時執(zhí)行的操作來表現(xiàn)，操作執(zhí)行的方式不同，它利用的系統(tǒng)資源也就不同。操作包括計算、文件傳輸、設備和其它進程，以及與網(wǎng)絡間其它進程的通訊。一個進程出現(xiàn)了不期望的行為可能表明黑客正在入侵你的系統(tǒng)。黑客可能會將程序或服務的運行分解，從而導致它失敗，或者是以非用戶或管理員意圖的方式操作。4.網(wǎng)絡數(shù)據(jù)包通過采樣網(wǎng)絡數(shù)據(jù)包，并進行相應處理，得到入侵檢測信息。當獲得數(shù)據(jù)之后，需要對數(shù)據(jù)進行簡單的處理，如對數(shù)據(jù)流的解碼、字符編碼的轉(zhuǎn)換等等，然后才將經(jīng)過處理的數(shù)據(jù)提交給數(shù)據(jù)分析模塊。2.數(shù)據(jù)分析是入侵檢測系統(tǒng)的核心部分。這個環(huán)節(jié)主要是對數(shù)據(jù)進行深入分析，根據(jù)攻擊特征集發(fā)現(xiàn)攻擊，并根據(jù)分析的結(jié)果產(chǎn)生響應事件，觸發(fā)事件響應。數(shù)據(jù)分析的方法較多，如模式匹配、協(xié)議分析、行為分析和統(tǒng)計分析等。1.模式匹配模式匹配就是將采集到的信息與已知的網(wǎng)絡入侵和系統(tǒng)已有模式數(shù)據(jù)庫進行比較，從而發(fā)現(xiàn)違背安全策略的行為。該過程可以很簡單（如通過字符串匹配以尋找一個簡單的條目或指令）也可以很復雜（如利用正規(guī)的數(shù)學表達式來表示安全狀態(tài)的變化）一般來講，一種進攻模式可以用一個過程（如執(zhí)行一條指令）或一個輸出（如獲得權(quán)限）來表示。該方法的一大優(yōu)點是只需采集相關的數(shù)據(jù)集合，顯著減少系統(tǒng)負擔，且技術(shù)已相當成熟。它與病毒防火墻采用的方法一樣，檢測準確率和效率都相當高。但是，該方法存在的弱點是需要不斷的升級以對付不斷出現(xiàn)的黑客攻擊手法，不能檢測到從未出現(xiàn)過的黑客攻擊手段。2.統(tǒng)計分析統(tǒng)計分析方法首先給系統(tǒng)對象（如用戶、文件、目錄和設備等）創(chuàng)建一個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性（如訪問次數(shù)、操作失敗次數(shù)和延時等）。在比較這一點上與模式匹配有些相象之處。測量屬性的平均值將被用來與網(wǎng)絡、系統(tǒng)的行為進行比較，任何觀察值在正常值范圍之外，時就認為有入侵發(fā)生。例如，本來都默認用GUEST帳號登錄的，突然用ADMINI帳號登錄。這樣做的優(yōu)點是可檢測到未知的入侵和更為復雜的入侵，缺點是誤報、漏報率高，且不適應用戶正常行為的突然改變。具體的統(tǒng)計分析方法如基于專家系統(tǒng)的、基于模型推理的和基于神經(jīng)網(wǎng)絡的分析方法，目前正處于研究熱點和迅速發(fā)展之中。3.完整性分析完整性分析主要關注某個文件或?qū)ο笫欠癖桓?，這經(jīng)常包括文件和目錄的內(nèi)容及屬性，它在發(fā)現(xiàn)被更改的、被特洛伊化的應用程序方面特別有效。完整性分析利用強有力的加密機制，稱為消息摘要函數(shù)（例如MD5），它能識別哪怕是微小的變化。其優(yōu)點是不管模式匹配方法和統(tǒng)計分析方法能否發(fā)現(xiàn)入侵，只要是成功的攻擊導致了文件或其它對象的任何改變，它都能夠發(fā)現(xiàn)。缺點是一般以批處理方式實現(xiàn)，用于事后分析而不用于實時響應。盡管如此，完整性檢測方法還應該是網(wǎng)絡安全產(chǎn)品的必要手段之一。例如，可以在每一天的某個特定時間內(nèi)開啟完整性分析模塊，對網(wǎng)絡系統(tǒng)進行全面地掃描檢查。2.3.3事件響應在發(fā)現(xiàn)入侵后會及時作出響應，包括切斷網(wǎng)絡連接、記錄事件和報警等。響應又可以分為主動響應和被動響應。響應一般分為主動響應(實時阻止或干擾入侵行為)和被動響應（報告和記錄所檢測出的問題）兩種類型。主動響應由用戶驅(qū)動或系統(tǒng)自動執(zhí)行，可對入侵者采取行動（如斷開連接）、修正系統(tǒng)環(huán)境或采集有用信息：被動響應則包括報警和通知、日志記錄等。另外，還可以按策略配置響應，分別采取立即、緊急、適時、本地的長期和全局的長期等行為。事件響應實際上就是P2DR模型的R（響應）采用適當?shù)捻憫≧esponse）可將系統(tǒng)調(diào)整到“最安全”或者“風險最低”的狀態(tài)。另外，還可以按策略配置響應，分別采取立即、緊急、適時、本地的長期和全局的長期等行為。第三章入侵檢測系統(tǒng)的分類同任何事物的分類相似，采用不同的標準，就會得到不同的分類結(jié)果，入侵檢測系統(tǒng)也是如此。根據(jù)檢測的數(shù)據(jù)源分類可以分為給予基于主機的入侵檢測系統(tǒng)、基于網(wǎng)絡的入侵檢測系統(tǒng)和混合入侵檢測系統(tǒng)；根據(jù)檢測使用的分析使用方法分類可以分為異常檢測和誤用檢測。3.1根據(jù)檢測的數(shù)據(jù)源分類3.1.1基于主機的入侵檢測系統(tǒng)(Host-basedIDS)基于主機的入侵檢測系統(tǒng)簡稱為主機入侵檢測系統(tǒng)，系統(tǒng)的數(shù)據(jù)來源為操作系統(tǒng)事件日志、管理工具審計記錄和應用程序?qū)徲嬘涗洝Ｋㄟ^監(jiān)視系統(tǒng)運行情況(文件的打開和訪問、文件權(quán)限的改變、用戶的登錄和特權(quán)服務的訪問等)、審計系統(tǒng)日志文件和應用程序(關系數(shù)據(jù)庫、Web服務器)日志來檢測入侵。HIDS可以檢測到用戶濫用權(quán)限、創(chuàng)建后門帳戶、修改重要數(shù)據(jù)和改變安全配置等行為，同時還可以定期對系統(tǒng)關鍵文件進行檢查，計算其校驗值來確信其完整性。HIDS檢測發(fā)生在主機上的活動，處理的都是操作系統(tǒng)事件或應用程序事件而不是網(wǎng)絡包，所以高速網(wǎng)絡對它沒有影響。同時它使用的是操作系統(tǒng)提供的信息，經(jīng)過加密的數(shù)據(jù)包在到達操作系統(tǒng)后，都已經(jīng)被解密，所以HIDS能很好地處理包加密的問題。并且，HIDS還可以綜合多個數(shù)據(jù)源進行進一步的分析，利用數(shù)據(jù)挖掘等技術(shù)來發(fā)現(xiàn)入侵。但是，HIDS也有自身的缺陷，主要有以下幾點：1,影響系統(tǒng)性能。原始數(shù)據(jù)要經(jīng)過集中、分析和歸檔，這些都需要占用系統(tǒng)資源，因此HIDS會在一定程度上降低系統(tǒng)性能。2、配置和維護困難。每臺被檢測的主機上都需安裝檢測系統(tǒng)，每個系統(tǒng)都有維護和升級的任務，安裝和維護將是一筆不小的費用。3、易受內(nèi)部破壞。由于HIDS安裝在被檢測的主機上，有權(quán)限的用戶或攻擊者可以關閉檢測程序從而使自己的行為在系統(tǒng)中沒有記錄，來逃避檢測。4、存在數(shù)據(jù)欺騙問題。攻擊者或有權(quán)限的用戶可以插入、修改或刪除審計記錄，借此逃避HIDS檢測。5、實時性較差。HIDS進行的多是事后檢測，因此當發(fā)現(xiàn)入侵時，系統(tǒng)多數(shù)己經(jīng)受到了破壞。3.1.2基于網(wǎng)絡的入侵檢系統(tǒng)(Network-basedIDS)基于網(wǎng)絡的入侵檢測系統(tǒng)簡稱為網(wǎng)絡入侵檢測系統(tǒng)，數(shù)據(jù)來源為網(wǎng)絡中的數(shù)據(jù)包。系統(tǒng)通過在計算機網(wǎng)絡中的某些點被動地監(jiān)聽網(wǎng)絡上傳輸?shù)脑剂髁浚瑢Λ@取的網(wǎng)絡數(shù)據(jù)進行處理，從中獲取有用的信息，再與已知攻擊特征相匹配或與正常網(wǎng)絡行為原型相比較來識別攻擊事件。NIDS的優(yōu)勢在于它的實時性，當檢測到攻擊時，就能很快做出反應。另外NIDS可以在一個點上監(jiān)測整個網(wǎng)絡中的數(shù)據(jù)包，不必像HIDS那樣，需要在每一臺主機上都安裝檢測系統(tǒng)，因此是一種經(jīng)濟的解決方案。并且，NIDS檢測網(wǎng)絡包時并不依靠操作系統(tǒng)來提供數(shù)據(jù)，因此有著對操作系統(tǒng)的獨立性。但NIDS也有一些缺陷，因此也面臨著一些挑戰(zhàn)：1、單點錯誤問題。目前大多數(shù)的商業(yè)NIDS都采用了一個中央控制部件，它用于管理各個探測器的工作，以及對各個探測器產(chǎn)生的事件信息進行相關分析以此來檢測分布式協(xié)同攻擊。當這個中央控制部件由于受到攻擊而癱瘓時，整個NIDS也就隨之失效了。2、數(shù)據(jù)包的重新裝配問題。不同的網(wǎng)絡的最大傳輸單元不同，一些大的網(wǎng)絡包常常被分成小的網(wǎng)絡包來傳遞。當大網(wǎng)絡包被拆分時，其中的攻擊特征有可能被分拆，NIDS在網(wǎng)絡層無法檢測到這些特征，而在上層這些拆分的包又會重新裝配起來，造成破壞。3、數(shù)據(jù)加密問題。隨著VPN,SSH和SSL的應用，數(shù)據(jù)加密越來越普遍，傳統(tǒng)的NIDS工作在網(wǎng)絡層，無法分析上層的加密數(shù)據(jù)，從而也無法檢測到加密后入侵網(wǎng)絡包。4、擴展性問題。NIDS通過將網(wǎng)卡設置成混雜模式來被動監(jiān)聽網(wǎng)絡通訊。這就造成了系統(tǒng)的擴展性比較差。例如:當為10M網(wǎng)絡設計的NIDS應用到IOOM網(wǎng)絡中去時就會造成比較高的丟包率，通常需要改變整個系統(tǒng)的結(jié)構(gòu)才能解決問題。5、交換式網(wǎng)絡問題。異步傳輸模式網(wǎng)絡以小的、固定長度的包一一信元傳送信息。53字節(jié)定長的信元與以往的包技術(shù)相比具有一些優(yōu)點:短的信元可以快速交換、硬件實現(xiàn)容易。但是，交換網(wǎng)絡不能被傳統(tǒng)網(wǎng)絡偵聽器監(jiān)視，從而無法對數(shù)據(jù)包進行分析。6.NIDS自身安全性問題。所有NIDS的攻擊檢測都是基于被動協(xié)議分析的。這種機制在根本上有一定的缺陷，易于受到如下三種攻擊：滲透攻擊、欺騙攻擊、拒絕服務攻擊。3.1.3混合入侵檢測系統(tǒng)網(wǎng)絡入侵檢測系統(tǒng)能夠檢測來自網(wǎng)絡的大部分攻擊，但對于來自內(nèi)部的攻擊如合法用戶濫自身權(quán)限的檢測，則主機入侵檢測系統(tǒng)更勝一籌，一個完備的入侵檢測系統(tǒng)應該兩者兼?zhèn)?。因此現(xiàn)代入侵檢測系統(tǒng)多是這兩種系統(tǒng)的融合一分布式入侵檢測系統(tǒng)，它能夠同時分析來自主機系統(tǒng)審計日志和網(wǎng)絡數(shù)據(jù)流的入侵檢測系統(tǒng)，系統(tǒng)由多個部件組成，采用分布式結(jié)構(gòu)。3.2根據(jù)檢測使用的分析方法分類根據(jù)使用的分析方法不同，入侵檢測可以分為兩大類:異常檢測(anomalydetection)和誤用檢測(misusedetection)。異常檢測提取正常模式下審計數(shù)據(jù)的數(shù)學特征，檢查事件數(shù)據(jù)中是否存在與之相違背的異常模式。誤用檢測搜索審計事件數(shù)據(jù)，查看其中是否存在預先定義好的誤用模式。為了提高準確性，入侵檢測又引入了數(shù)據(jù)挖掘、人工智能、遺傳算法等技術(shù)。但是，入侵檢測技術(shù)還沒有達到盡善盡美的程度，該領域的許多問題還有待解決。3.異常檢測又稱為基于行為的檢測，它基于這樣的原理，即認為入侵是系統(tǒng)中的異常行為。它沒有各種入侵的相關知識，但是有被檢測系統(tǒng)、用戶乃至應用程序正常行為的知識。它為統(tǒng)和用戶建立正常的使用模式，這些模式通常使用一組系統(tǒng)的度量來定義。所謂度量，是指統(tǒng)和用戶行為在特定方面的衡量標準如CPU的占用時間，文件是否被使用，終端的使用等.每一個度量都對應于一個門限值或相關的變動范圍。如果系統(tǒng)和用戶的行為超出了正常范圍，就認為發(fā)生了入侵。異常檢測的一個很大的優(yōu)點是不需要保存各種攻擊特征的數(shù)據(jù)庫，隨著統(tǒng)計數(shù)據(jù)的增加，檢測的準確性會越來越高，可能還會檢測到一些未知的攻擊。但由于用戶的行為有很大的不確定性，很難對其行為確定正常范圍，因此門限值的確定也比較困難，出錯的概率比較大時，它只能說明系統(tǒng)發(fā)生了異常的情況，并不能指出系統(tǒng)遭受了什么樣的攻擊，這給系統(tǒng)管理員采取應對措施帶來了一定困難。異常檢測中常用的方法有:量化分析、統(tǒng)計分析和神經(jīng)網(wǎng)絡。1、量化分析量化分析是異常檢測中使用最為廣泛的方案，其特點是使用數(shù)字來定義檢測規(guī)則和系統(tǒng)屬性。量化分析通常涉及到一系列的計算過程，包括從簡單的計數(shù)到復雜的加密運算，計算的結(jié)果可以作為異常檢測統(tǒng)計模型的數(shù)據(jù)基礎。常用的量化分析方法有門限檢測、啟發(fā)式門限檢測和目標完整性檢查。門限檢測的基本思想是使用計數(shù)器來描述系統(tǒng)和用戶行為的某些屬性，并設定可以接受的數(shù)值范圍，一旦在檢測過程中發(fā)現(xiàn)系統(tǒng)的實際屬性超出了設定的門限值，就認為系統(tǒng)出現(xiàn)了異常。門限檢測最經(jīng)典的例子是操作系統(tǒng)設定的允許登錄失敗的最大次數(shù)。其他可以設置門限的系統(tǒng)屬性還有:特定類型的網(wǎng)絡連接數(shù)、試圖訪問文件的次數(shù)、訪問文件或目錄的個數(shù)及所訪問網(wǎng)絡系統(tǒng)的個數(shù)等。啟發(fā)式門限檢測是對門限檢測的改進，對于包含大量用戶和目標環(huán)境的系統(tǒng)來說，可以大幅度地提高檢測的準確性。舉例來說，傳統(tǒng)的門限設檢測規(guī)則是:一個小時內(nèi)，如果登錄失敗的次數(shù)大于3次，就認為出現(xiàn)異常:而啟發(fā)式門限檢測將這個規(guī)則定義為:登錄失敗的次數(shù)大于一個異常數(shù)，就會發(fā)出警報。目標完整性檢查是對系統(tǒng)中的某些關鍵對象，檢查其是否受到無意或惡意的更改。通常是使用消息摘要函數(shù)計算系統(tǒng)對象的密碼校驗值，并將計算得到的值存放在安全的區(qū)域。系統(tǒng)定時地計算校驗值，并與預先存儲值比較，如果發(fā)現(xiàn)偏差，就發(fā)出警報信息。2、統(tǒng)計分析統(tǒng)計分析是異常檢測最早和常用的技術(shù)，它是利用統(tǒng)計理論提取用戶或系統(tǒng)正常行為的特征輪廓。統(tǒng)計性特征輪廓通常由主體特征變量的頻度、均值、方差、被監(jiān)控行為的屬性變量的統(tǒng)計概率分布以及偏差等統(tǒng)計量來描述。典型的系統(tǒng)主體特征有:系統(tǒng)的登錄與注銷時間、資源被占用的時間以及處理機、內(nèi)存和外設的使用情況等。至于統(tǒng)計的抽樣周期可以從短到幾分鐘到長達幾個月甚至更長?；诮y(tǒng)計性特征輪廓的異常檢測器，通過對系統(tǒng)審計中的數(shù)據(jù)進行統(tǒng)計處理，并與描述主體行為的統(tǒng)計性特征輪廓進行比較，然后根據(jù)二者的偏差是否超過指定的門限來進一步判斷、處理。3、神經(jīng)網(wǎng)絡神經(jīng)網(wǎng)絡是人工智能里的一項技術(shù)，它是由大量并行的分布式處理單元組成。每個單元都能存儲一定的“知識”，單元之間通過帶有權(quán)值的連接進行交互。神經(jīng)網(wǎng)絡所包含的知識體現(xiàn)在網(wǎng)絡結(jié)構(gòu)當中，學習過程也就表現(xiàn)為權(quán)值的改變和連接的增加或刪除。利用神經(jīng)網(wǎng)絡檢測入侵包括兩個階段。首先是學習階段，這個階段使用代表用戶行為的歷史數(shù)據(jù)進行訓練，完成神經(jīng)網(wǎng)絡的構(gòu)建和組裝;接著便進入入侵分析階段，網(wǎng)絡接收輸入的事件數(shù)據(jù)，與參考的歷史行為比較，判斷出兩者的相似度或偏離度。神經(jīng)網(wǎng)絡使用以下方法來標識異常的事件:改變單元的狀態(tài)、改變連接的權(quán)值、添加或刪除連接。同時也具有對所定義的正常模式進行逐步修正的功能。神經(jīng)網(wǎng)絡有這樣一些優(yōu)點:大量的并行分布式結(jié)構(gòu)、有自學習能力，能從周圍的環(huán)境中不斷學習新的知識并且能根據(jù)輸入產(chǎn)生合理的輸出。神經(jīng)網(wǎng)絡上述優(yōu)點使其能處理復雜的問題，例如對用戶或系統(tǒng)行為的學習和分析，這些都符合入侵檢測系統(tǒng)不斷面臨新的情況和新的入侵的現(xiàn)況。但目前神經(jīng)網(wǎng)絡技術(shù)尚不十分成熟，所以還沒完善的產(chǎn)品。3.2.2誤用檢測誤用檢測又稱為基于知識的檢測或特征檢測，它的基本原理是運用己知攻擊方法，根據(jù)己定義好的入侵模式，通過判斷這些入侵模式是否出現(xiàn)來檢測。因為有很大一部分的入侵是利用了系統(tǒng)的脆弱性，所以通過分析入侵過程的特征、條件、排列以及事件間的關系就能具體描述入侵行為的模式。這種方法由于依據(jù)具體特征庫進行判斷，所以檢測準確度很高，并且因為檢測結(jié)果有明確的參照，也為系統(tǒng)管理員做出相應措施提供了方便。主要缺陷在于對具體系統(tǒng)的依賴性太強，不但系統(tǒng)移植性不好，維護工作量大，而且將具體入侵手段抽象成知識也很困難。另外，檢測范圍受已知知識的局限，尤其是難以檢測出內(nèi)部人員的入侵行為，如合法用戶的泄漏，因為這類入侵行為并沒有利用系統(tǒng)脆弱性。誤用檢測主要有以下主要方法:1、模式匹配模式匹配是最為通用的誤用檢測技術(shù)，其特點是原理簡單、擴展基于移動Agent技術(shù)的IDS研究性好、檢測效率高、能做到實時的檢測，其缺點是只能適用于比較簡單的攻擊方式，且誤報率高。但由于采用誤用檢測技術(shù)的IDS在系統(tǒng)的實現(xiàn)、配置和維護方面都非常方便，因此得到了廣泛的應用，如著名的開放源碼的Snort就采用了這種檢測手段。2、專家系統(tǒng)專家系統(tǒng)是最早的誤用檢測方法之一，被許多經(jīng)典的檢測模型所采用，如IDES,NIDES,DIDS和CMDS等。它首先使用類似于if-then的規(guī)則格式輸入已有的知識，然后輸入檢測數(shù)據(jù)，系統(tǒng)根據(jù)知識庫中的內(nèi)容對檢測數(shù)據(jù)進行評估，判斷是否存在入侵行為模式。專家系統(tǒng)的優(yōu)點在于把系統(tǒng)的推理控制過程和問題最終解答相分離，即用戶不需要理解或千預專家系統(tǒng)內(nèi)部的推理過程，而只須把專家系統(tǒng)看作一個自治的黑盒子。但是，這里黑盒子的生成是一件困難的事情，用戶必須把決策引擎和檢測規(guī)則以硬編碼的方式嵌入系統(tǒng)。使用基于規(guī)則語言的專家系統(tǒng)具有局限性:處理海量數(shù)據(jù)時效率低、缺乏處理序列數(shù)據(jù)的能力、無法處理判斷的不確定性、維護規(guī)則庫很困難等。狀態(tài)轉(zhuǎn)移將入侵過程看作一個狀態(tài)變遷序列，導致系統(tǒng)從初始的安全狀態(tài)轉(zhuǎn)變到被危害狀態(tài)。狀態(tài)變遷圖或入侵活動的圖形表示，用來準確地識別發(fā)生下一事件的條件，圖中只包括為成功實現(xiàn)入侵所必須發(fā)生的關鍵事件。根據(jù)系統(tǒng)審計記錄中包含的信息，可研制分析工具，對用戶活動的狀態(tài)變化和己知入侵的狀態(tài)變遷圖加以比較。由于系統(tǒng)的靈活性和處理速度的優(yōu)勢，狀態(tài)轉(zhuǎn)移法已經(jīng)成為當今最具競爭力的入侵檢測模式之一。目前，實現(xiàn)基于狀態(tài)轉(zhuǎn)移的入侵檢測可以使用以下兩種方法:狀態(tài)轉(zhuǎn)移分析、著色Petri網(wǎng)。狀態(tài)轉(zhuǎn)移分析是通過檢測攻擊行為所引起的系統(tǒng)狀態(tài)的變化來發(fā)現(xiàn)入侵的，而著色Petri網(wǎng)則是通過對攻擊行為本身的特征進行模式匹配來檢測入侵的。①狀態(tài)轉(zhuǎn)移分析(StateTransitionAnalysis)基于移動Agent技術(shù)的IDS研究狀態(tài)轉(zhuǎn)移分析是使用狀態(tài)轉(zhuǎn)移圖來表示和檢測己知攻擊模式的誤用檢測技術(shù)。NetSTATIt4I系統(tǒng)采用了這種技術(shù)。狀態(tài)轉(zhuǎn)移分析使用有限狀態(tài)機模型來表示入侵過程。入侵過程是由一系列導致系統(tǒng)從初始狀態(tài)轉(zhuǎn)移到入侵狀態(tài)的行為組成。初始狀態(tài)表示在入侵發(fā)生之前的系統(tǒng)狀態(tài)，入侵狀態(tài)則表示入侵完成后系統(tǒng)所處的狀態(tài)。系統(tǒng)狀態(tài)通常使用系統(tǒng)屬性或用戶權(quán)限來描述。用戶的行為和動作會導致系統(tǒng)狀態(tài)的改變，當系統(tǒng)狀態(tài)由正常狀態(tài)改變?yōu)槿肭譅顟B(tài)時，即認為發(fā)生了入侵。②著色Petri網(wǎng)另一種采用狀態(tài)轉(zhuǎn)移技術(shù)來優(yōu)化誤用檢測的方法是由PurdueUniversity的SandeepKumar和GeneSpafford設計的著色Petri網(wǎng)(CP-Net)。這種方法將入侵表示成一個著色的Petri網(wǎng)，特征匹配過程由標記(token)的動作構(gòu)成。標記在審計記錄的驅(qū)動下，從初始狀態(tài)向最終狀態(tài)(標識入侵發(fā)生的狀態(tài))逐步前進。處于各個狀態(tài)時，標記的顏色用來表示事件所處的系統(tǒng)環(huán)境。當標記出現(xiàn)某種特定的顏色時，預示著目前的系統(tǒng)環(huán)境滿足了特征匹配的條件，此時就可以采取相應的響應動作。4、協(xié)議分析傳統(tǒng)的模式匹配方法的根本問題在于它把網(wǎng)絡數(shù)據(jù)包看作是無序的隨意的字節(jié)流。它對該網(wǎng)絡數(shù)據(jù)包的內(nèi)部結(jié)構(gòu)完全不了解，對于網(wǎng)絡中傳輸?shù)膱D像或音頻流同樣進行匹配?？墒蔷W(wǎng)絡通信協(xié)議是一個高度格式化的、具有明確含義和取值的數(shù)據(jù)流，如果將協(xié)議分析和模式匹配方法結(jié)合起來，可以獲得更好的效率、更精確的結(jié)果。協(xié)議分析方法的優(yōu)點是計算量少、誤報率低、利用資源少；缺點是開發(fā)周期長、實現(xiàn)復雜、如果RFCs不太明確，允許開發(fā)商判斷、分析和實現(xiàn)，則不同開發(fā)商的不同產(chǎn)品可能在結(jié)構(gòu)上有所不同，從而會導致比較高的誤報率。第四章入侵檢測技術(shù)的發(fā)展隨著計算機網(wǎng)絡的飛速發(fā)展，網(wǎng)絡安全風險系數(shù)不斷提高，曾經(jīng)作為最主要安全防范手段的防火墻，已經(jīng)不能滿足人們對網(wǎng)絡安全的需求。作為對防火墻有益的補充，IDS（入侵檢測系統(tǒng)）能夠幫助網(wǎng)絡系統(tǒng)快速發(fā)現(xiàn)網(wǎng)絡攻擊的發(fā)生，擴展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、進攻識別和響應），提高了信息安全基礎結(jié)構(gòu)的完整性。IDS被認為是防火墻之后的第二道安全閘門，它能在不影響網(wǎng)絡性能的情況下對網(wǎng)絡進行監(jiān)聽，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。IDS作為網(wǎng)絡安全架構(gòu)中的重要一環(huán)，其重要地位有目共睹。隨著技術(shù)的不斷完善和更新，IDS正呈現(xiàn)出新的發(fā)展態(tài)勢，IPS（入侵防御系統(tǒng)）和IMS（入侵管理系統(tǒng)）就是在IDS的基礎上發(fā)展起來的新技術(shù)。4.1網(wǎng)絡入侵檢測技術(shù)的發(fā)展過程網(wǎng)絡入侵檢測技術(shù)發(fā)展到現(xiàn)在大致經(jīng)歷了三個階段：第一階段：入侵檢測系統(tǒng)（IDS），IDS能夠幫助網(wǎng)絡系統(tǒng)快速發(fā)現(xiàn)網(wǎng)絡攻擊的發(fā)生，擴展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、進攻識別和響應），提高了信息安全基礎結(jié)構(gòu)的完整性。它能在不影響網(wǎng)絡性能的情況下對網(wǎng)絡進行監(jiān)聽，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。但是IDS只能被動地檢測攻擊，而不能主動地把變化莫測的威脅阻止在網(wǎng)絡之外。第二階段：入侵防御系統(tǒng)（IPS），相對與IDS比較成熟的技術(shù)，IPS還處于發(fā)展階段，IPS綜合了防火墻、IDS、漏洞掃描與評估等安全技術(shù)，可以主動的、積極的防范、阻止系統(tǒng)入侵，它部署在網(wǎng)絡的進出口處，當它檢測到攻擊企圖后，它會自動地將攻擊包丟掉或采取措施將攻擊源阻斷，這樣攻擊包將無法到達目標，從而可以從根本上避免攻擊。第三階段：入侵管理系統(tǒng)（IMS），IMS技術(shù)實際上包含了IDS、IPS的功能，并通過一個統(tǒng)一的平臺進行統(tǒng)一管理，從系統(tǒng)的層次來解決入侵行為。4.2IPS研究與分析IPS是針對IDS的不足而提出的，因此從概念上就優(yōu)于IDS。IPS相對與IDS的進步具體體現(xiàn)在：（1）在IDS阻斷功能的基礎上增加了必要的防御功能，以減輕檢測系統(tǒng)的壓力；（2）增加了更多的管理功能，如處理大量信息和可疑事件，確認攻擊行為，組織防御措施等；（3）在IDS監(jiān)測的功能上增加了主動響應的功能，一旦發(fā)現(xiàn)有攻擊行為，立即響應，主動切斷連接；（4）IPS以串聯(lián)的方式取代IDS的并聯(lián)方式接入網(wǎng)絡中，通過直接嵌入到網(wǎng)絡流量中提供主動防護，預先對入侵活動和攻擊性網(wǎng)絡流量進行攔截。4.2.1IPS關鍵技術(shù)研究IPS通常由探測器和管理器組成。探測器包括流量分析器、檢測引擎、響應模塊、流量調(diào)整器等主要部件，如圖1所示：數(shù)據(jù)流輸入數(shù)據(jù)流輸入數(shù)據(jù)流輸出流量分析器響應模塊流量調(diào)整器檢測引擎異常檢測濫用檢測圖4-1探測器組成由于IPS采用串連工作方式，流量分析器需要完成三個基本的功能：（1）截獲網(wǎng)絡數(shù)據(jù)包并處理異常情況。異常數(shù)據(jù)包不一定是惡意攻擊，但通過合適的方式處理掉，就可以為檢測引擎省去一些不必要的處理工作。例如，流量分析器丟棄校驗和出錯的數(shù)據(jù)包，以后檢測引擎就不必要處理這樣的壞包。（2）剔除基于數(shù)據(jù)包異常的規(guī)避攻擊。例如，分析器可以根據(jù)它對目標系統(tǒng)的了解，進行數(shù)據(jù)包的分片重組，還可以處理協(xié)議分析或校正異常等，從而識別規(guī)避攻擊。（3）執(zhí)行類似防火墻的訪問控制，根據(jù)端口號IP地址阻斷非法數(shù)據(jù)流。檢測引擎是IPS中最有價值的部分，一般都基于異常檢測模型和濫用檢測模型，識別不同屬性的攻擊。IPS存在的最大隱患是有可能引發(fā)誤操作，這種“主動性”誤操作會阻塞合法的網(wǎng)絡事件，造成數(shù)據(jù)丟失，最終影響到商務操作和客戶信任度。為避免發(fā)生這種情況，IPS中采用了多種檢測方法，最大限度地正確判斷已知和未知攻擊。有些IPS檢測引擎的模塊則已細化到針對緩沖區(qū)溢出、DDoS/DoS、網(wǎng)絡蠕蟲的檢測。響應模塊需要根據(jù)不同的攻擊類型制定不同的響應策略，如丟棄數(shù)據(jù)包、中止會話、修改防火墻規(guī)則、報警、日志等。流量調(diào)整器主要完成兩個功能：數(shù)據(jù)包分類和流量管理。目前，大部分IPS根據(jù)協(xié)議進行數(shù)據(jù)包分類，未來將提供具體到根據(jù)用戶或應用程序進行數(shù)據(jù)包分流的功能，通過對數(shù)據(jù)包設置不同的優(yōu)先級，優(yōu)化數(shù)據(jù)流的處理。當新的攻擊手段被發(fā)現(xiàn)之后，IPS就會創(chuàng)建一個新的過濾器。IPS數(shù)據(jù)包處理引擎是專業(yè)化定制的集成電路，可以深層檢查數(shù)據(jù)包的內(nèi)容。如果有攻擊者利用Layer2（介質(zhì)訪問控制層）至Layer7（應用層）的漏洞發(fā)起攻擊，IPS能夠從數(shù)據(jù)流中檢查出這些攻擊并加以阻止。IPS可以做到逐一字節(jié)地檢查數(shù)據(jù)包。所有流經(jīng)IPS的數(shù)據(jù)包都被分類，分類的依據(jù)是數(shù)據(jù)包中的報頭信息，如源IP地址和目的IP地址、端口號和應用域。每種過濾器負責分析相對應的數(shù)據(jù)包。通過檢查的數(shù)據(jù)包可以繼續(xù)前進，而包含惡意內(nèi)容的數(shù)據(jù)包就會被丟棄，被懷疑的數(shù)據(jù)包需要接受進一步的檢查。針對不同的攻擊行為，IPS需要不同的過濾器。每種過濾器都設有相應的過濾規(guī)則，為了確保準確性，這些規(guī)則的定義非常廣泛。在對傳輸內(nèi)容進行分類時，過濾引擎還需要參照數(shù)據(jù)包的信息參數(shù)，并將其解析至一個有意義的域中進行上下文分析，以提高過濾準確性。4.2.2IPS的優(yōu)勢與局限性IPS是針對IDS不能提供主動拒絕的特點而提出的一種新的安全技術(shù)，主要具有以下優(yōu)點：（1）主動、實時預防攻擊。IPS提供對攻擊的實時預防和分析，能夠在任何未授權(quán)活動開始前找出攻擊，并防止它進入重要的服務器資源。（2）保護每個重要的服務器。通過配置IPS，可以設定對服務器的專門保護方案，從而為企業(yè)的重要的資源提供深層防護。（3）誤報和漏報率低。雖然仍然無法做到完全不誤報漏報，但是相對于IDS已經(jīng)提高了一大步。（4）深層防護。IPS可進行深層防護。（5）可管理性。IPS可使安全設置和政策被各種應用程序、用戶組和代理程序利用。雖然IPS相對與IDS的優(yōu)勢明顯，但是它與IDS一樣，需要解決網(wǎng)絡性能、安全精確度和安全效率問題。首先，IPS系統(tǒng)需要考慮性能，即需要考慮發(fā)現(xiàn)入侵和作出響應的時間。IPS設備以在線方式直接部署在網(wǎng)絡中，無疑會給網(wǎng)絡增加負荷，給數(shù)據(jù)傳輸帶來延時。為避免成為瓶頸，IPS系統(tǒng)必須具有線速處理數(shù)據(jù)的能力，能夠提供與2層或者3層交換機相同的速度，而這一點取決于IPS的軟件和硬件加速裝置。除了網(wǎng)絡性能之外，IPS還需要考慮安全性，盡可能多得過濾掉惡意攻擊，這就使IPS同樣面臨誤報和漏報問題。在提高準確性方面，IPS面臨的壓力更大。一旦IPS做出錯誤判斷，IPS就會放過真正的攻擊而阻斷合法的事務處理，從而造成損失。另外IPS還存在一些其它的弊端：IPS比較適合于阻止大范圍的、針對性不是很強的攻擊，但對單獨目標的攻擊阻截有可能失效，自動預防系統(tǒng)也無法阻止專門的惡意攻擊者的操作；IPS還不具備足夠智能識別所有對數(shù)據(jù)庫應用的攻擊。4.3網(wǎng)絡安全的發(fā)展方向——IMSIMS技術(shù)實際上包含了IDS、IPS的功能，并通過一個統(tǒng)一的平臺進行統(tǒng)一管理，從系統(tǒng)的層次來解決入侵行為。IMS技術(shù)是一個過程，在行為未發(fā)生前要考慮網(wǎng)絡中有什么漏洞，判斷有可能會形成什么攻擊行為和面臨的入侵危險；在行為發(fā)生時或即將發(fā)生時，不僅要檢測出入侵行為，還要主動阻斷，終止入侵行為；在入侵行為發(fā)生后，還要深層次分析入侵行為，通過關聯(lián)分析，來判斷是否還會出現(xiàn)下一個攻擊行為。IMS具有大規(guī)模部署、入侵預警、精確定位以及監(jiān)管結(jié)合四大典型特，這些特征本身具有一個明確的層次關系。首先，大規(guī)模部署是實施入侵管理的基礎條件，一個有組織的完整系統(tǒng)通過規(guī)模部署的作用，要遠遠大于單點系統(tǒng)簡單的疊加，IMS對于網(wǎng)絡安全監(jiān)控有著同樣的效用，可以實現(xiàn)從宏觀的安全趨勢分析到微觀的事件控制。第二、入侵預警。檢測和預警的最終目標就是一個“快”，要和攻擊者比時間。只有減小這個時間差，才能使損失降低到最小。要實現(xiàn)這個“快”字，入侵預警必須具有全面的檢測途徑，并以先進的檢測技術(shù)來實現(xiàn)高準確和高性能。入侵預警是IMS進行規(guī)模部署后的直接作用，也是升華IMS的一個非常重要的功能。第三、精確定位。入侵預警之后就需要進行精確定位，這是從發(fā)現(xiàn)問題到解決問題的必然途徑。精確定位的可視化可以幫助管理人員及時定位問題區(qū)域，良好的定位還可以通過聯(lián)運接口和其它安全設備進行合作抑制攻擊的繼續(xù)。IMS要求做到對外定位到邊界，對內(nèi)定位到設備。第四、監(jiān)管結(jié)合。監(jiān)管結(jié)合就是把檢測提升到管理，形成自改善的全面保障體系。網(wǎng)絡安全防護技術(shù)發(fā)展到IMS階段，已經(jīng)不再局限于某類簡單的產(chǎn)品