入侵檢測系統(tǒng)理論概念

IDS入侵檢測系統(tǒng)專題

入侵監(jiān)測系統(tǒng)處于防火墻之后對網(wǎng)絡(luò)活動進行實時檢測。許多情況下，由于可以記錄和禁止網(wǎng)絡(luò)活動，所

以入侵監(jiān)測系統(tǒng)是防火墻的延續(xù)。它們可以和你的防火墻和路由器配合工作。

入侵監(jiān)測系統(tǒng)IDS與系統(tǒng)掃描器systemscanner不同。系統(tǒng)掃描器是根據(jù)攻擊特征數(shù)據(jù)庫來掃描系統(tǒng)漏洞

的，它更關(guān)注配置上的漏洞而不是當(dāng)前進出你的主機的流量。在遭受攻擊的主機上，即使正在運行著掃描

程序，也無法識別這種攻擊IDS掃描當(dāng)前網(wǎng)絡(luò)的活動，監(jiān)視和記錄網(wǎng)絡(luò)的流量，根據(jù)定義好的規(guī)則來

過濾從主機網(wǎng)卡到網(wǎng)線上的流量，提供實時報警。網(wǎng)絡(luò)掃描器檢測主機上先前設(shè)置的漏洞，而IDS監(jiān)視和

記錄網(wǎng)絡(luò)流量。如果在同?臺主機上運行IDS和掃描器的話，配置合理的IDS會發(fā)出許多報警。

入侵檢測技術(shù)IDS是一種主動保護H已免受攻擊的一種網(wǎng)絡(luò)安全技術(shù)。作為防火墻的合理補充

入侵檢測技術(shù)能夠幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴展了系統(tǒng)管理員的安全管理能力（包括安全審計、

監(jiān)視、攻擊識別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計算機網(wǎng)絡(luò)系統(tǒng)中的若干

關(guān)鍵點收集信息，并分析這些信息。入侵檢測被認(rèn)為是防火墻之后的第二道安全閘門，在不影

響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進行監(jiān)測。它可以防止或減輕上述的網(wǎng)絡(luò)威脅。

IDS二十年風(fēng)雨歷程

從實驗室原型研究到推出商業(yè)化產(chǎn)品、走向市場并獲得廣泛認(rèn)同，入侵檢測系統(tǒng)（IDS）已

經(jīng)走過了二十多年的風(fēng)雨坎坷路。

概念的誕生

1980年4月，JamesP.Anderson為美國空軍做了一份題為《ComputerSecurityThreat

MonitoringandSurveillance》（計算機安全威脅監(jiān)控與監(jiān)視）的技術(shù)報告，第詼詳細闡述了

入侵檢測的概念。他提出了一種對計算機系統(tǒng)風(fēng)險和威脅的分類方法，并將威脅分為外部滲

透、內(nèi)部滲透和不法行為三種（如圖1所示），還提出了利用審計跟蹤數(shù)據(jù)監(jiān)視入侵活動的

思想。這份報告被公認(rèn)為是入侵檢測的開山之作。

圖2IDES結(jié)構(gòu)機架

模型的發(fā)展

從1984年到1986年，喬治敦大學(xué)的DorothyDenning和SRI/CSL（SRI公司計算機科

學(xué)實驗室）的PeterNeumann研究出了一個實時入侵檢測系統(tǒng)模型，取名為IDES（入侵檢

測專家系統(tǒng)）。該模型由六個部分組成：主體、對象、審計記錄、輪廓特征、異常記錄、活

動規(guī)則。它獨立于特定的系統(tǒng)平臺、應(yīng)用環(huán)境、系統(tǒng)弱點以及入侵類型，為構(gòu)建入侵檢測系

統(tǒng)提供了一個通用的框架。

1988年，SRI/CSL的TeresaLunt等人改進了Denning的入侵檢測模型，并開發(fā)出了一

個IDES。該系統(tǒng)包括一個異常檢測器和一個專家系統(tǒng)，分別用于統(tǒng)計異常模型的建立和基

于規(guī)則的特征分析檢測（如圖2所示）。

圖2IDES結(jié)構(gòu)楸架

百花齊放的春天

1990年是入侵檢測系統(tǒng)發(fā)展史上的一個分水嶺。這一年，加州大學(xué)戴維斯分校的L.T.

Heberlein等人開發(fā)出了NSM（NetworkSecurityMonitor）（＞該系統(tǒng)第一次直接將網(wǎng)絡(luò)流作為

審計數(shù)據(jù)來源，因而可以在不將審計數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一格式的情況下監(jiān)控異種主機。從此之后,

入侵檢測系統(tǒng)發(fā)展史翻開了新的一頁，兩大陣營正式形成：基于網(wǎng)絡(luò)的IDS和基于主機的

IDS。

1988年的莫里斯蠕蟲事件發(fā)生之后，網(wǎng)絡(luò)安全才真正引起了軍方、學(xué)術(shù)界和企業(yè)的高

度重視。美國空軍、國家安全局和能源部共同資助空軍密碼支持中心、勞倫斯利弗摩爾國家

實驗室、加州大學(xué)戴維斯分校、Haystack實驗室，開展對分布式入侵檢測系統(tǒng)（DIDS）的

研究，將基于主機和基于網(wǎng)絡(luò)的檢測方法集成到?起，其總體結(jié)構(gòu)如圖3所示。

圖3DIDS結(jié)構(gòu)框圖

DIDS是分布式入侵檢測系統(tǒng)歷史上的?個里程碑式的產(chǎn)品，它的檢測模型采用了分層

結(jié)構(gòu)，包括數(shù)據(jù)、事件、主體、上下文、威脅、安全狀態(tài)等6層。

從20世紀(jì)90年代到現(xiàn)在，入侵檢測系統(tǒng)的研發(fā)呈現(xiàn)出百家爭鳴的繁榮局面，并在智能

化和分布式兩個方向取得了長足的進展。目前，SRI/CSL、普渡大學(xué)、加州大學(xué)戴維斯分校、

洛斯阿拉莫斯國家實驗室、哥倫比亞大學(xué)、新墨西哥大學(xué)等機構(gòu)在這些方面的研究代表了當(dāng)

前的最高水平。

入侵檢測系統(tǒng)(IDS)簡介

第一章入侵檢測系統(tǒng)概念

當(dāng)越來越多的公司將其核心業(yè)務(wù)向互聯(lián)網(wǎng)轉(zhuǎn)移的時候，網(wǎng)絡(luò)安全作為一個無法回避的問

題呈現(xiàn)在人們面前。傳統(tǒng)上，公司一般采用防火墻作為安全的第一道防線。而隨著攻擊者知

識的日趨成熟，攻擊工具與手法的日趨復(fù)雜多樣，單純的防火墻策略已經(jīng)無法滿足對安全高

度敏感的部門的需要，網(wǎng)絡(luò)的防衛(wèi)必須采用一種縱深的、多樣的手段。與此同時，當(dāng)今的網(wǎng)

絡(luò)環(huán)境也變得越來越復(fù)雜，各式各樣的復(fù)雜的設(shè)備，需要不斷升級、補漏的系統(tǒng)使得網(wǎng)絡(luò)管

理員的工作不斷加重，不經(jīng)意的疏忽便有可能造成安全的重大隱患。在這種環(huán)境下，入侵檢

測系統(tǒng)成為了安全市場上新的熱點，不僅愈來愈多的受到人們的關(guān)注，而且已經(jīng)開始在各種

不同的環(huán)境中發(fā)揮其關(guān)鍵作用。

本文中的“入侵”(Intrusion)是個廣義的概念，不僅包括被發(fā)起攻擊的人(如惡意的黑

客)取得超出合法范圍的系統(tǒng)控制權(quán),也包括收集漏洞信息，造成拒絕訪問(DenialofService)

等對計算機系統(tǒng)造成危害的行為。

入侵檢測(IntrusionDetection),顧名思義，便是對入侵行為的發(fā)覺。它通過對計算機

網(wǎng)

絡(luò)或計算機系統(tǒng)中得若干關(guān)鍵點收集信息并對其進行分析,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否

有違反安全策略的行為和被攻擊的跡象。進行入侵檢測的軟件與硬件的組合便是入侵檢測系

統(tǒng)(IntrusionDetectionSystem,簡稱IDS)。與其他安全產(chǎn)品不同的是，入侵檢測系統(tǒng)需要更

多的智能，它必須可以將得到的數(shù)據(jù)進行分析，并得出有用的結(jié)果。一個合格的入侵檢測系

統(tǒng)能大大的簡化管理員的工作，保證網(wǎng)絡(luò)安全的運行。

具體說來，入侵檢測系統(tǒng)的主要功能有([2])：

a.監(jiān)測并分析用戶和系統(tǒng)的活動；

b.核查系統(tǒng)配置和漏洞；

c.評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性；

出識別已知的攻擊行為；

e.統(tǒng)計分析異常行為；

￡操作系統(tǒng)日志管理，并識別違反安全策略的用戶活動。

由于入侵檢測系統(tǒng)的市場在近幾年中飛速發(fā)展，許多公司投入到這一領(lǐng)域上來。除了國

外的ISS、axent、NFR,cisco等公司外，國內(nèi)也有數(shù)家公司(如中聯(lián)綠盟，中科網(wǎng)威等)

推出了自己相應(yīng)的產(chǎn)品。但就目前而言，入侵檢測系統(tǒng)還缺乏相應(yīng)的標(biāo)準(zhǔn)。目前，試圖對

IDS進行標(biāo)

準(zhǔn)化的工作有兩個組織:IETF的IntrusionDetectionWorkingGroup(idwg)和CommonInt

rusionDetectionFramework(CIDF),但進展非常緩慢，尚沒有被廣泛接收的標(biāo)準(zhǔn)出臺。

第二章入侵檢測系統(tǒng)模型

2.1CIDF模型

CommonIntrusionDetectionFramework(CIDF)(http:〃/)闡述了,?個入侵

檢測系統(tǒng)(IDS)的通用模型。它將一個入侵檢測系統(tǒng)分為以下組件：

1事件產(chǎn)生器(Eventgenerators)

1事件分析器(Eventanalyzers

1響應(yīng)單元(Responseunits)

1事件數(shù)據(jù)庫(Eventdatabases)

CIDF將IDS需要分析的數(shù)據(jù)統(tǒng)稱為事件(event)，它可以是網(wǎng)絡(luò)中的數(shù)據(jù)包，也可以

是從系統(tǒng)

日志等其他途徑得到的信息。

事件產(chǎn)生器的目的是從整個計算環(huán)境中獲得事件，并向系統(tǒng)的其他部分提供此事件。事

件分析器分析得到的數(shù)據(jù)，并產(chǎn)生分析結(jié)果。響應(yīng)單元則是對分析結(jié)果作出作出反應(yīng)的功能

單元，它可以作出切斷連接、改變文件屬性等強烈反應(yīng)，也可以只是簡單的報警。事件數(shù)據(jù)

庫是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，它可以是復(fù)雜的數(shù)據(jù)庫，也可以是簡單的文本

文件。

在這個模型中，前三者以程序的形式出現(xiàn)，而最后一個則往往是文件或數(shù)據(jù)流的形式。

在其他文章中，經(jīng)常用數(shù)據(jù)采集部分、分析部分和控制臺部分來分別代替事件產(chǎn)生器、

事件分析器和響應(yīng)單元這些術(shù)語。且常用日志來簡單的指代事件數(shù)據(jù)庫。如不特別指明，木

文中兩套術(shù)語意義相同。

2.2IDS分類

一般來說，入侵檢測系統(tǒng)可分為主機型和網(wǎng)絡(luò)型。

主機型入侵檢測系統(tǒng)往往以系統(tǒng)日志、應(yīng)用程序日志等作為數(shù)據(jù)源，當(dāng)然也可以通過其

他手段(如監(jiān)督系統(tǒng)調(diào)用)從所在的主機收集信息進行分析。主機型入侵檢測系統(tǒng)保護的一

般是所在的系統(tǒng)。

網(wǎng)絡(luò)型入侵檢測系統(tǒng)的數(shù)據(jù)源則是網(wǎng)絡(luò)上的數(shù)據(jù)包。往往將一臺機子的網(wǎng)卡設(shè)于混雜模

式(promisemode),監(jiān)聽所有本網(wǎng)段內(nèi)的數(shù)據(jù)包并進行判斷。?般網(wǎng)絡(luò)型入侵檢測系統(tǒng)擔(dān)負

著保護整個網(wǎng)段的任務(wù)。

不難看出，網(wǎng)絡(luò)型IDS的優(yōu)點主要是簡便：一個網(wǎng)段上只需安裝一個或幾個這樣的系

統(tǒng)，便可以監(jiān)測整個網(wǎng)段的情況。且由于往往分出單獨的計算機做這種應(yīng)用，不會給運行關(guān)

鍵業(yè)務(wù)的主機帶來負載上的增加。但由于現(xiàn)在網(wǎng)絡(luò)的日趨復(fù)雜和高速網(wǎng)絡(luò)的普及，這種結(jié)構(gòu)

正受到越來越大的挑戰(zhàn)。一個典型的例子便是交換式以太網(wǎng)。

而盡管主機型IDS的缺點顯而易見：必須為不同平臺開發(fā)不同的程序、增加系統(tǒng)負荷、

所需安裝數(shù)量眾多等，但是內(nèi)在結(jié)構(gòu)卻沒有任何束縛，同時可以利用操作系統(tǒng)本身提供的功

能、并結(jié)合異常分析，更準(zhǔn)確的報告攻擊行為。參考文獻［7］對此做了描述，感興趣的讀者

可參看。

入侵檢測系統(tǒng)的幾個部件往往位于不同的主機上。一般來說會有三臺機器，分別運行事

件產(chǎn)生器、事件分析器和響應(yīng)單元。在安裝IDS的時候，關(guān)鍵是選擇數(shù)據(jù)采集部分所在的

位置，因為它決定了“事件”的可見度。

對于主機型IDS,其數(shù)據(jù)采集部分當(dāng)然位于其所監(jiān)測的主機上。

對于網(wǎng)絡(luò)型IDS,其數(shù)據(jù)采集部分則有多種可能：

(1)如果網(wǎng)段用總線式的集線器相連，則可將其簡單的接在集線器的一個端口上即可;

(2)對于交換式以太網(wǎng)交換機，問題則會變得復(fù)雜。由于交換機不采用共享媒質(zhì)的辦

法，傳統(tǒng)的采用一個sniffer來監(jiān)聽整個子網(wǎng)的辦法不再可行?？山鉀Q的辦法有：

a.交換機的核心芯片上一般有一個用于調(diào)試的端口(spanport),任何其他端口的進出信

息都可從此得到。如果交換機廠商把此端口開放出來，用戶可將IDS系統(tǒng)接到此端口上。

優(yōu)點：無需改變JDS體系結(jié)構(gòu)。

缺點：采用此端口會降低交換機性能。

b.把入侵檢測系統(tǒng)放在交換機內(nèi)部或防火墻內(nèi)部等數(shù)據(jù)流的關(guān)鍵入口、出口。

優(yōu)點：可得到幾乎所有關(guān)鍵數(shù)據(jù)。

缺點：必須與其他廠商緊密合作，且會降低網(wǎng)絡(luò)性能。

c.采用分接器(Tap),將其接在所有要監(jiān)測的線路上。

優(yōu)點：再不降低網(wǎng)絡(luò)性能的前提下收集了所需的信息。

缺點：必須購買額外的設(shè)備(Tap)；若所保護的資源眾多，IDS必須配備眾多網(wǎng)絡(luò)接口。

d.可能唯一在理論上沒有限制的辦法就是采用主機型IDSo

2.3通信協(xié)議

IDS系統(tǒng)組件之間需要通信，不同的廠商的IDS系統(tǒng)之間也需要通信。因此，定義統(tǒng)一

的協(xié)議，使各部分能夠根據(jù)協(xié)議所致訂的的標(biāo)準(zhǔn)進行溝通是很有必要的。

IETFH前有?個專門的小組IntrusionDetectionWorkingGroup(idwg)負責(zé)定義這種通信

格式，稱作IntrusionDetectionExchangeFormat。目前只有相關(guān)的草案(internetdraft),

并未形成正式的RFC文檔。盡管如此，草案為IDS各部分之間甚至不同IDS系統(tǒng)之間的通

信提供了一定的指引。

IAP（IntrusionAlertProtocol）是idwg制定的、運行于TCP之上的應(yīng)用層協(xié)議，其設(shè)計在

很大程度上參考了HTTP,但補充了許多其他功能（如可從任意端發(fā)起連接，結(jié)合了加密、

身份驗證等）。對于IAP的具體實現(xiàn)，請參看[9],其中給出了非常詳盡的說明。這里我們

主要討論?下設(shè)計?個入侵檢測系統(tǒng)通信協(xié)議時應(yīng)考慮的問題：

1.分析系統(tǒng)與控制系統(tǒng)之間傳輸?shù)男畔⑹欠浅Ｖ匾男畔?，因此必須要保持?jǐn)?shù)據(jù)的

真實性和完整性。必須有一定的機制進行通信雙方的身份驗證和保密傳輸（同時防止主動和

被動攻擊）。

2.通信的雙方均有可能因異常情況而導(dǎo)致通信中斷，IDS系統(tǒng)必須有額外措施保證系

統(tǒng)正常工作。

2.4入侵檢測技術(shù)

對各種事件進行分析，從中發(fā)現(xiàn)違反安全策略的行為是入侵檢測系統(tǒng)的核心功能。從技

術(shù)上，入侵檢測分為兩類：一種基于標(biāo)志（signature-based）,另一種基于異常情況

（anomaly-based）o

對于基于標(biāo)識的檢測技術(shù)來說，首先要定義違背安全策略的事件的特征，如網(wǎng)絡(luò)數(shù)據(jù)包

的某些頭信息。檢測主要判別這類特征是否在所收集到的數(shù)據(jù)中出現(xiàn)。此方法非常類似殺毒

軟件。

而基于異常的檢測技術(shù)則是先定義一組系統(tǒng)“正常”情況的數(shù)值，如CPU利用率、內(nèi)存

利用率、文件校驗和等（這類數(shù)據(jù)可以人為定義，也可以通過觀察系統(tǒng)、并用統(tǒng)計的辦法得

出），然后將系統(tǒng)運行時的數(shù)值與所定義的“正?！鼻闆r比較，得出是否有被攻擊的跡象。這

種檢測方式的核心在于如何定義所謂的“正常”情況。

兩種檢測技術(shù)的方法、所得出的結(jié)論有非常大的差異?；诋惓５臋z測技術(shù)的核心是維

護一個知識庫。對于已知得攻擊，它可以詳細、準(zhǔn)確的報告報告出攻擊類型，但是對未知攻

擊卻效果有限，而且知識庫必須不斷更新?；诋惓５臋z測技術(shù)則無法準(zhǔn)確判別出攻擊的手

法，但它可以（至少在理論上可以）判別更廣范、甚至未發(fā)覺的攻擊。

如果條件允許，兩者結(jié)合的檢測會達到更好的效果。

第四章存在的問題

盡管有眾多的商業(yè)產(chǎn)品出現(xiàn)，與諸如防火墻等技術(shù)高度成熟的產(chǎn)品相比，入侵檢測系統(tǒng)

還存在相當(dāng)多的問題。這一章我們便要討論?下對其進行威脅的主要因素，值得注意的是，

這些問題大多是目前入侵檢測系統(tǒng)的結(jié)構(gòu)所難以克服的（包括waRcher）,而且這些矛盾可

能越來越尖銳。

什么是入侵檢測

入侵檢測是防火墻的合理補充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴展了系統(tǒng)管理員的安全管理能力

（包括安全審計、監(jiān)視、進攻識別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計算

機網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的

行為和遭到襲擊的跡象。入侵檢測被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性

能的情況下能對網(wǎng)絡(luò)進行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。這些

都通過它執(zhí)行以下任務(wù)來實現(xiàn)：

?監(jiān)視、分析用戶及系統(tǒng)活動；

?系統(tǒng)構(gòu)造和弱點的審計?；

?識別反映已知進攻的活動模式并向相關(guān)人士報警；

?異常行為模式的統(tǒng)計分析；

?評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；

?操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為。

對一個成功的入侵檢測系統(tǒng)來講,它不但可使系統(tǒng)管理員時刻了解網(wǎng)絡(luò)系統(tǒng)（包括程序、

文件和硬件設(shè)備等）的任何變更，還能給網(wǎng)絡(luò)安全策略的制訂提供指南。更為重要的一點是,

它應(yīng)該管理、配置簡單，從而使非專業(yè)人員非常容易地獲得網(wǎng)絡(luò)安全。而且，入侵檢測的規(guī)

模還應(yīng)根據(jù)網(wǎng)絡(luò)威脅、系統(tǒng)構(gòu)造和安全需求的改變而改變。入侵檢測系統(tǒng)在發(fā)現(xiàn)入侵后，會

及時作出響應(yīng)，包括切斷網(wǎng)絡(luò)連接、記錄事件和報警等。

信息收集

入侵檢測的第一步是信息收集，內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為。

而且，需要在計算機網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點（不同網(wǎng)段和不同主機）收集信息，這除

了盡可能擴大檢測范圍的因素外，還有一個重要的因素就是從一個源來的信息有可能看不出

疑點，但從幾個源來的信息的不一致性卻是可疑行為或入侵的最好標(biāo)識。

當(dāng)然，入侵檢測很大程度上依賴于收集信息的可靠性和正確性，因此，很有必要只利用

所知道的真正的和精確的軟件來報告這些信息。因為黑客經(jīng)常替換軟件以搞混和移走這些信

息，例如替換被程序調(diào)用的子程序、庫和其它工具。黑客對系統(tǒng)的修改可能使系統(tǒng)功能失常

并看起來跟正常的一樣，而實際上不是。例如，unix系統(tǒng)的PS指令可以被替換為一個不顯

示侵入過程的指令，或者是編輯器被替換成?個讀取不同于指定文件的文件（黑客隱藏了初

試文件并用另一版本代替）。這需要保證用來檢測網(wǎng)絡(luò)系統(tǒng)的軟件的完整性，特別是入侵檢

測系統(tǒng)軟件本身應(yīng)具有相當(dāng)強的堅固性，防止被篡改而收集到錯誤的信息。

入侵檢測利用的信息一般來自以下四個方面：

1.系統(tǒng)和網(wǎng)絡(luò)日志文件

黑客經(jīng)常在系統(tǒng)日志文件中留下他們的蹤跡，因此，充分利用系統(tǒng)和網(wǎng)絡(luò)日志文件信息

是檢測入侵的必要條件。日志中包含發(fā)生在系統(tǒng)和網(wǎng)絡(luò)上的不尋常和不期望活動的證據(jù)，這

些證據(jù)可以指出有人正在入侵或已成功入侵了系統(tǒng)。通過查看日志文件，能夠發(fā)現(xiàn)成功的入

侵或入侵企圖，并很快地啟動相應(yīng)的應(yīng)急響應(yīng)程序。日志文件中記錄了各種行為類型，每種

類型又包含不同的信息，例如記錄“用戶活動”類型的日志，就包含登錄、用戶ID改變、用

戶對文件的訪問、授權(quán)和認(rèn)證信息等內(nèi)容。很顯然地，對用戶活動來講，不正常的或不期望

的行為就是重復(fù)登錄失敗、登錄到不期望的位置以及非授權(quán)的企圖訪問重要文件等等。

2.目錄和文件中的不期望的改變

網(wǎng)絡(luò)環(huán)境中的文件系統(tǒng)包含很多軟件和數(shù)據(jù)文件，包含重要信息的文件和私有數(shù)據(jù)文件

經(jīng)常是黑客修改或破壞的目標(biāo)。目錄和文件中的不期望的改變（包括修改、創(chuàng)建和刪除），

特別是那些正常情況下限制訪問的，很可能就是?種入侵產(chǎn)生的指示和信號。黑客經(jīng)常替換、

修改和破壞他們獲得訪問權(quán)的系統(tǒng)上的文件，同時為了隱藏系統(tǒng)中他們的表現(xiàn)及活動痕跡，

都會盡力去替換系統(tǒng)程序或修改系統(tǒng)II志文件。

3.程序執(zhí)行中的不期望行為

網(wǎng)絡(luò)系統(tǒng)上的程序執(zhí)行?般包括操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)、用戶起動的程序和特定目的的應(yīng)

用，例如數(shù)據(jù)庫服務(wù)器。每個在系統(tǒng)上執(zhí)行的程序由一到多個進程來實現(xiàn)。每個進程執(zhí)行在

具有不同權(quán)限的環(huán)境中，這種環(huán)境控制著進程可訪問的系統(tǒng)資源、程序和數(shù)據(jù)文件等。?個

進程的執(zhí)行行為由它運行時執(zhí)行的操作來表現(xiàn)，操作執(zhí)行的方式不同，它利用的系統(tǒng)資源也

就不同。操作包括計算、文件傳輸、設(shè)備和其它進程，以及與網(wǎng)絡(luò)間其它進程的通訊。

?個進程出現(xiàn)了不期望的行為可能表明黑客正在入侵你的系統(tǒng)。黑客可能會將程序或服

務(wù)的運行分解，從而導(dǎo)致它失敗，或者是以非用戶或管理員意圖的方式操作。

4.物理形式的入侵信息

這包括兩個方面的內(nèi)容，一是未授權(quán)的對網(wǎng)絡(luò)硬件連接;二是對物理資源的未授權(quán)訪問。

黑客會想方設(shè)法去突破網(wǎng)絡(luò)的周邊防衛(wèi)，如果他們能夠在物理上訪問內(nèi)部網(wǎng)，就能安裝他們

自己的設(shè)備和軟件。依此，黑客就可以知道網(wǎng)上的由用戶加上去的不安全（未授權(quán)）設(shè)備，

然后利用這些設(shè)備訪問網(wǎng)絡(luò)。例如，用戶在家里可能安裝Modem以訪問遠程辦公室，與此

同時黑客正在利用自動工具來識別在公共電話線上的Modem,如果一撥號訪問流量經(jīng)過了

這些自動工具，那么這?撥號訪問就成為了威脅網(wǎng)絡(luò)安全的后門。黑客就會利用這個后門來

訪問內(nèi)部網(wǎng)，從而越過了內(nèi)部網(wǎng)絡(luò)原有的防護措施，然后捕獲網(wǎng)絡(luò)流量，進而攻擊其它系統(tǒng),

并偷取敏感的私有信息等等。

信號分析

對上述四類收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為等信息，?般通過

三種技術(shù)手段進行分析：模式匹配，統(tǒng)計分析和完整性分析。其中前兩種方法用于實時的入

侵檢測，而完整性分析則用于事后分析。

1.模式匹配

模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進行比較，從而

發(fā)現(xiàn)違背安全策略的行為。該過程可以很簡單（如通過字符串匹配以尋找一個簡單的條目或

指令），也可以很復(fù)雜（如利用正規(guī)的數(shù)學(xué)表達式來表示安全狀態(tài)的變化）。一般來講，一種

進攻模式可以用一個過程（如執(zhí)行一條指令）或一個輸出（如獲得權(quán)限）來表示。該方法的

一大優(yōu)點是只需收集相關(guān)的數(shù)據(jù)集合，顯著減少系統(tǒng)負擔(dān)，且技術(shù)已相當(dāng)成熟。它與病毒防

火墻采用的方法一樣，檢測準(zhǔn)確率和效率都相當(dāng)高。但是，該方法存在的弱點是需要不斷的

升級以對付不斷出現(xiàn)的黑客攻擊手法，不能檢測到從未出現(xiàn)過的黑客攻擊手段。

2.統(tǒng)計分析

統(tǒng)計分析方法首先給系統(tǒng)對象（如用戶、文件、目錄和設(shè)備等）創(chuàng)建一個統(tǒng)計描述，統(tǒng)

計正常使用時的一些測量屬性（如訪問次數(shù)、操作失敗次數(shù)和延時等）。測量屬性的平均值

將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進行比較，任何觀察值在正常值范圍之外時，就認(rèn)為有入侵發(fā)

生。例如，統(tǒng)計分析可能標(biāo)識一個不正常行為，因為它發(fā)現(xiàn)一個在晚八點至早六點不登錄的

帳戶卻在凌晨兩點試圖登錄。其優(yōu)點是可檢測到未知的入侵和更為復(fù)雜的入侵,缺點是誤報、

漏報率高，且不適應(yīng)用戶正常行為的突然改變。具體的統(tǒng)計分析方法如基于專家系統(tǒng)的、基

于模型推理的和基于神經(jīng)網(wǎng)絡(luò)的分析方法，目前正處于研究熱點和迅速發(fā)展之中。

3.完整性分析

完整性分析主要關(guān)注某個文件或?qū)ο笫欠癖桓?，這經(jīng)常包括文件和目錄的內(nèi)容及屬

性，它在發(fā)現(xiàn)被更改的、被特絡(luò)伊化的應(yīng)用程序方面特別有效。完整性分析利用強有力的加

密機制，稱為消息摘要函數(shù)（例如MD5）,它能識別哪怕是微小的變化。其優(yōu)點是不管模式

匹配方法和統(tǒng)計分析方法能否發(fā)現(xiàn)入侵，只要是成功的攻擊導(dǎo)致了文件或其它對象的任何改

變，它都能夠發(fā)現(xiàn)。缺點是一般以批處理方式實現(xiàn)，不用于實時響應(yīng)。盡管如此，完整性檢

測方法還應(yīng)該是網(wǎng)絡(luò)安全產(chǎn)品的必要手段之一。例如，可以在每一天的某個特定時間內(nèi)開啟

完整性分析模塊，對網(wǎng)絡(luò)系統(tǒng)進行全面地掃描檢查。

入侵檢測系統(tǒng)的典型代表是ISS公司（國際互聯(lián)網(wǎng)安全系統(tǒng)公司）的RealSecure。它是

計算機網(wǎng)絡(luò)上自動實時的入侵檢測和響應(yīng)系統(tǒng)。它無妨礙地監(jiān)控網(wǎng)絡(luò)傳輸并自動檢測和響應(yīng)

可疑的行為，在系統(tǒng)受到危害之前截取和響應(yīng)安全漏洞和內(nèi)部誤用，從而最大程度地為企'也

網(wǎng)絡(luò)提供安全。

入侵檢測功能

?監(jiān)督并分析用戶和系統(tǒng)的活動

?檢查系統(tǒng)配置和漏洞

?檢查關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性

?識別代表已知攻擊的活動模式

?對反常行為模式的統(tǒng)計分析

?對操作系統(tǒng)的校驗管理，判斷是否有破壞安全的用戶活動。

?入侵檢測系統(tǒng)和漏洞評估工具的優(yōu)點在于：

?提高了信息安全體系其它部分的完整性

?提高了系統(tǒng)的監(jiān)察能力

?跟蹤用戶從進入到退出的所有活動或影響

?識別并報告數(shù)據(jù)文件的改動

?發(fā)現(xiàn)系統(tǒng)配置的錯誤，必要時予以更正

?識別特定類型的攻擊，并向相應(yīng)人員報警，以作出防御反應(yīng)

?可使系統(tǒng)管理人員最新的版本升級添加到程序中

?允許非專家人員從事系統(tǒng)安全工作

?為信息安全策略的創(chuàng)建提供指導(dǎo)

?必須修正對入侵檢測系統(tǒng)和漏洞評估工具不切實際的期望：這些產(chǎn)品并不是無所不能

的，它們無法彌補力量薄弱的識別和確認(rèn)機制

?在無人干預(yù)的情況下，無法執(zhí)行對攻擊的檢查

?無法感知公司安全策略的內(nèi)容

?不能彌補網(wǎng)絡(luò)協(xié)議的漏洞

?不能彌補由于系統(tǒng)提供信息的質(zhì)量或完整性的問題

?它們不能分析網(wǎng)絡(luò)繁忙時所有事務(wù)

?它們不能總是對數(shù)據(jù)包級的攻擊進行處理

?它們不能應(yīng)付現(xiàn)代網(wǎng)絡(luò)的硬件及特性

入侵檢測作為一種積極主動地安全防護技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的

實時保護，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。從網(wǎng)絡(luò)安全立體縱深、多層次防御的

角度出發(fā)，入侵檢測理應(yīng)受到人們的高度重視，這從國外入侵檢測產(chǎn)品市

IDS:安全新亮點

為什么要用IDS?

談到網(wǎng)絡(luò)安全，人們第一個想到的是防火墻。但隨著技術(shù)的發(fā)展，網(wǎng)絡(luò)日趨復(fù)雜，傳統(tǒng)

防火墻所暴露出來的不足和弱點引出了人們對入侵檢測系統(tǒng)(IDS)技術(shù)的研究和開發(fā)。首先,

傳統(tǒng)的防火墻在工作時，就像深宅大院雖有高大的院墻，卻不能擋住小老鼠甚至是家賊的偷

襲一樣，因為入侵者可以找到防火墻背后可能敞開的后門。其次，防火墻完全不能阻止來自

內(nèi)部的襲擊，而通過調(diào)查發(fā)現(xiàn)，50%的攻擊都將來自于內(nèi)部，對于企業(yè)內(nèi)部心懷不滿的員工

來說，防火墻形同虛設(shè)。再者，由于性能的限制，防火墻通常不能提供實時的入侵檢測能力，

而這一點，對于現(xiàn)在層出不窮的攻擊技術(shù)來說是至關(guān)重要的。第四，防火墻對于病毒也束手

無策。因此，以為在Internet入口處部署防火墻系統(tǒng)就足夠安全的想法是不切實際的。

入侵檢測系統(tǒng)(IDS)可以彌補防火墻的不足，為網(wǎng)絡(luò)安全提供實時的入侵檢測及采取相

應(yīng)的防護手段，如記錄證據(jù)用于跟蹤、恢復(fù)、斷開網(wǎng)絡(luò)連接等。

IDS概念解析

入侵檢測系統(tǒng)全稱為IntrusionDetectiveSystem,它從計算機網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點

收集信息，并分析這些信息，檢查網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入

侵檢測被認(rèn)為是防火墻之后的第二道安全閘門。IDS主要執(zhí)行如下任務(wù)：

1.監(jiān)視、分析用戶及系統(tǒng)活動。

2.系統(tǒng)構(gòu)造和弱點的審計。

3.識別反映已知進攻的活動模式并向相關(guān)人士報警。

4.異常行為模式的統(tǒng)計分析。

5.評估重要系統(tǒng)和數(shù)據(jù)文件的完整性。

6.操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為。

一個成功的入侵檢測系統(tǒng)，不僅可使系統(tǒng)管理員時刻了解網(wǎng)絡(luò)系統(tǒng)(包括程序、文件和

硬件設(shè)備等)的任何變更，還能給網(wǎng)絡(luò)安全策略的制訂提供依據(jù)。它應(yīng)該管理配置簡單，使

非專業(yè)人員非常容易地獲得網(wǎng)絡(luò)安全。入侵檢測的規(guī)模還應(yīng)根據(jù)網(wǎng)絡(luò)規(guī)模、系統(tǒng)構(gòu)造和安全

需求的改變而改變。入侵檢測系統(tǒng)在發(fā)現(xiàn)入侵后，會及時作出響應(yīng)，包括切斷網(wǎng)絡(luò)連接、記

錄事件和報警等。IDS系統(tǒng)工作方式如圖1所示。

IDS分類

入侵檢測通過對入侵行為的過程與特征進行研究，使安全系統(tǒng)對入侵事件和入侵過程作

出實時響應(yīng)。

一般來講，入侵檢測系統(tǒng)采用如下兩項技術(shù)：

?是異常發(fā)現(xiàn)技術(shù)。假定所有入侵行為都是與正常行為不同的。如果建立系統(tǒng)正常行為

的軌跡，那么理論上可以把所有與正常軌跡不同的系統(tǒng)狀態(tài)視為可疑企圖。對于異常閥值與

特征的選擇是異常發(fā)現(xiàn)技術(shù)的關(guān)鍵。比如，通過流量統(tǒng)計分析將異常時間的異常網(wǎng)絡(luò)流量視

為可疑。異常發(fā)現(xiàn)技術(shù)的局限是并非所有的入侵都表現(xiàn)為異常，而且系統(tǒng)的軌跡難于計算和

更新。

二是模式發(fā)現(xiàn)技術(shù)。假定所有入侵行為和手段（及其變種）都能夠表達為一種模式或特

征，那么所有已知的入侵方法都可以用匹配的方法發(fā)現(xiàn)。模式發(fā)現(xiàn)的關(guān)鍵是如何表達入侵的

模式，把真正的入侵與正常行為區(qū)分開來。模式發(fā)現(xiàn)的優(yōu)點是誤報少，局限是它只能發(fā)現(xiàn)已

知的攻擊，對未知的攻擊無能為力。

入侵檢測系統(tǒng)按其輸入數(shù)據(jù)的來源來看，可以分為3類：

1.基于主機的入侵檢測系統(tǒng)：其輸入數(shù)據(jù)來源于系統(tǒng)的審計日志，一般只能檢測該主

機上發(fā)生的入侵。

2.基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)：其輸入數(shù)據(jù)來源于網(wǎng)絡(luò)的信息流，能夠檢測該網(wǎng)段上發(fā)

生的網(wǎng)絡(luò)入侵。

3.采用上述兩種數(shù)據(jù)來源的分布式入侵檢測系統(tǒng)；能夠同時分析來自主機系統(tǒng)審計日

志和網(wǎng)絡(luò)數(shù)據(jù)流的入侵檢測系統(tǒng)，一般為分布式結(jié)構(gòu)，由多個部件組成。

基于行為的檢測方法主要有：概率統(tǒng)計法與神經(jīng)網(wǎng)絡(luò)法。

目前的方法雖然能夠在某些方面有很好的效果，但從總體來看都各有不足，孤立地去評

估都是不可取的。因而現(xiàn)在越來越多的入侵檢測系統(tǒng)都同時具有這幾方面的技術(shù)，互相補充

不足，共同完成檢測任務(wù)。

IDS結(jié)構(gòu)

總體來講，入侵檢測系統(tǒng)的功能有：

1.監(jiān)視用戶和系統(tǒng)的運行狀況，查找非法用戶和合法用戶的越權(quán)操作。

2.檢測系統(tǒng)配置的正確性和安全漏洞，并提示管理員修補漏洞。

3.對用戶的非正?；顒舆M行統(tǒng)計分析，發(fā)現(xiàn)入侵行為的規(guī)律。

4.檢查系統(tǒng)程序和數(shù)據(jù)的一致性與正確性。如計算和比較文件系統(tǒng)的校驗和能夠?qū)崟r

對檢測到的入侵行為進行反應(yīng)。

根據(jù)以上入侵檢測系統(tǒng)的功能，可以把它的功能結(jié)構(gòu)分為兩大部分：中心檢測平臺和代

理服務(wù)器。代理服務(wù)器是負責(zé)從各個操作系統(tǒng)中采集審計數(shù)據(jù)，并把審計數(shù)據(jù)轉(zhuǎn)換成與平臺

無關(guān)的格式后傳送到中心檢測平臺，或者把中心平臺的審計數(shù)據(jù)需求傳送到各個操作系統(tǒng)

中。而中心檢測平臺由專家系統(tǒng)、知識庫和管理員組成，其功能是根據(jù)代理服務(wù)器采集來的

審計數(shù)據(jù)進行專家系統(tǒng)分析，產(chǎn)生系統(tǒng)安全報告。管理員可以向各個主機提供安全管理功能,

根據(jù)專家系統(tǒng)的分析向各個代理服務(wù)器發(fā)出審計數(shù)據(jù)的需求。另外，在中心檢測平臺和代理

服務(wù)器之間通過安全的RPC進行通信。IDS結(jié)構(gòu)如圖2所示。

IDS展望

入侵技術(shù)研究包括三個部分：

1.密切跟蹤分析國際上入侵技術(shù)的發(fā)展，不斷獲得最新的攻擊方法。通過分析這些已

知的攻擊方法，豐富預(yù)警系統(tǒng)的檢測能力。

2.加強并利用預(yù)警系統(tǒng)的審計、跟蹤和現(xiàn)場記錄功能，記錄并反饋異常事件。通過實

例分析提取可疑的網(wǎng)絡(luò)活動特征，擴充系統(tǒng)的檢測范圍，使系統(tǒng)能夠應(yīng)對未知的入侵活動。

3.利用攻擊技術(shù)的研究成果，創(chuàng)造新的入侵方法，并應(yīng)用于檢測技術(shù)。

入侵檢測作為一種積極主動的安全防護技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的

實時保護，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。從網(wǎng)絡(luò)安全立體縱深、多層次防御的

角度出發(fā)，入侵檢測受到了人們的高度重視。國內(nèi)的現(xiàn)狀是入侵檢測僅僅停留在研究和實驗

樣品（缺乏升級和服務(wù)）階段，或者是防火墻中集成較為初級的入侵檢測模塊階段?？梢姡?/p>

入侵檢測產(chǎn)品仍具有較大的發(fā)展空間。從技術(shù)上講，除了完善常規(guī)的、傳統(tǒng)的技術(shù)（模式識

別和完整性檢測）外，應(yīng)重點加強統(tǒng)計分析的相關(guān)技術(shù)研究。目前，許多學(xué)者在研究新的檢

測方法，如采用自動代理主動防御的方法、將免疫學(xué)原理應(yīng)用到入侵檢測的方法等。

IDS的標(biāo)準(zhǔn)化

標(biāo)準(zhǔn)化進展現(xiàn)狀

為了提高IDS產(chǎn)品、組件及與其他安全產(chǎn)品之間的互操作性，美國國防高級研究計劃

署（DARPA）和互聯(lián)網(wǎng)工程任務(wù)組（IETF）的入侵檢測工作組（IDWG）發(fā)起制訂了?系

列建議草案，從體系結(jié)構(gòu)、API、通信機制、語言格式等方面規(guī)范IDS的標(biāo)準(zhǔn)。

DARPA提出的建議是公共入侵檢測框架（CIDF）,最早由加州大學(xué)戴維斯分校安全實

驗室主持起草工作。1999年6月，IDWG就入侵檢測也出臺了一系列草案。但是，這兩個

組織提出的草案或建議H前還正處于逐步完善之中，尚未被采納為廣泛接受的國際標(biāo)準(zhǔn)。不

過，它們?nèi)允侨肭謾z測領(lǐng)域最有影響力的建議，成為標(biāo)準(zhǔn)只是時間問題。

入侵檢測工作組（IDWG）

IDWG的任務(wù)是：定義數(shù)據(jù)格式和交換規(guī)程，用于入侵檢測與響應(yīng)（IDR）系統(tǒng)之間或

與需要交互的管理系統(tǒng)之間的信息共享。IDWG提出的建議草案包括三部分內(nèi)容：入侵檢測

消息交換格式（IDMEF）、入侵檢測交換協(xié)議（IDXP）以及隧道輪廓（TunnelProfile）,

一、IDMEF

IDMEF描述了表示入侵檢測系統(tǒng)輸出信息的數(shù)據(jù)模型，并解釋了使用此模型的基本原

理。該數(shù)據(jù)模型用XML實現(xiàn)，并設(shè)計了一個XML文檔類型定義。自動入侵檢測系統(tǒng)可以

使用IDMEF提供的標(biāo)準(zhǔn)數(shù)據(jù)格式對可疑事件發(fā)出警報，提高商業(yè)、開放資源和研究系統(tǒng)之

間的互操作性。IDMEF最適用于入侵檢測分析器（或稱為“探測器”）和接收警報的管理器

（或稱為“控制臺”）之間的數(shù)據(jù)信道。

1.IDMEF的數(shù)據(jù)模型

IDMEF數(shù)據(jù)模型以面向?qū)ο蟮男问奖硎咎綔y器傳遞給控制臺的警報數(shù)據(jù)，設(shè)計數(shù)據(jù)模

型的目標(biāo)是為警報提供確定的標(biāo)準(zhǔn)表達方式，并描述簡單警報和復(fù)雜警報之間的關(guān)系。

IDMEF數(shù)據(jù)模型各個主要部分之間的關(guān)系如圖1所示。

1DMEFMessage

圖1IDMEF數(shù)據(jù)模型各個主要部分之間的關(guān)系

所有IDMEF消息的最高層類是IDMEF-Message,每一種類型的消息都是該類的子類。

IDMEF目前定義了兩種類型的消息：Alert（警報）和Heartbeat（心跳），這兩種消息乂分別

包括各自的子類，以表示更詳細的消息。

需要注意的是，IDMEF數(shù)據(jù)模型并沒有對警報的分類和鑒別進行說明。例如，對?個

端口的掃描，一個分析器可能將其確定為一個多目標(biāo)的單一攻擊，而另一個分析器可能將其

確定為來自同一個源的多次攻擊。只有一個分析器決定了發(fā)送的警報類型，數(shù)據(jù)模型才能規(guī)

定怎樣對這個警報進行格式化。

IDMEF數(shù)據(jù)模型是用統(tǒng)一建模語言（UML）描述的。UML用一個簡單的框架表示實

體以及它們之間的關(guān)系，并將實體定義為類。IDMEF包括的主要類有IDMEF-Message類、

Alert類、Heartbeat類、Core類、Time類和Support類，這些類還可以再細分為許多子類。

2.使用XML描述IDMEF文檔標(biāo)記

IDWG最早曾提出兩個建議實現(xiàn)IDMEF：用SMI（管理信息結(jié)構(gòu)）描述一個SNMPMIB

和使用DTD（文檔類型定義）描述XML文檔。IDWG在1999年9月和2000年2月分別

對這兩個建議進行了評估，認(rèn)為XML最能符合1DMEF的要求，于是，在2000年2月的會

議上決定采用XML方案。

XML是SGML（標(biāo)準(zhǔn)通用標(biāo)記語言）的簡化版本，是ISO8879標(biāo)準(zhǔn)對文本標(biāo)記說明進

行定義的一種語法。作為一種表示和交換網(wǎng)絡(luò)文檔及數(shù)據(jù)的語言，XML能夠有效地解決

HTML面臨的許多問題，所以獲得了業(yè)界的普遍青睞。1998年10月，WWW聯(lián)盟（W3C）

將XML作為一項建議公布于眾。此后不久，WWW聯(lián)盟又發(fā)布了一份建議，定義了XML

文檔中的名字空間。

XML是一種元語言——即一個描述其他語言的語言，它允許應(yīng)用程序定義自己的標(biāo)記,

還可以為不同類型的文檔和應(yīng)用程序定義定制化的標(biāo)記語言。

XMLDTD（文檔類型定義）可用來聲明文檔所用的標(biāo)記，它包括元素（文檔包括的不

同信息部分）、屬性（信息的特征）和內(nèi)容模型（各部分信息之間的關(guān)系）。

二、IDXP

IDXP（入侵檢測交換協(xié)議）是一個用于入侵檢測實體之間交換數(shù)據(jù)的應(yīng)用層協(xié)議，能

夠?qū)崿F(xiàn)IDMEF消息、非結(jié)構(gòu)文本和二進制數(shù)據(jù)之間的交換，并提供面向連接協(xié)議之上的雙

方認(rèn)證、完整性和保密性等安全特征。IDXP是BEEP的一部分，后者是一個用于面向連接

的異步交互通用應(yīng)用協(xié)議，IDXP的許多特色功能（如認(rèn)證、保密性等）都是由BEEP框架

提供的。IDXP模型如下：

1.建立連接

使用IDXP傳送數(shù)據(jù)的入侵檢測實體被稱為IDXP的對等體，對等體只能成對地出現(xiàn)，

在BEEP會話上進行通信的對等體可以使用一個或多個BEEP信道傳輸數(shù)據(jù)。

對等體可以是管理器，也可以是分析器。分析器和管理器之間是多對多的關(guān)系，即一個

分析器可以與多個管理器通信，同樣，一個管理器也可以與多個分析器通信；管理器與管理

器之間也是多對多的關(guān)系，所以，一個管理器可以通過多個中間管理器接收來自多個分析器

的大量警報。但是，IDXP規(guī)定，分析器之間不可以建立交換。

入侵檢測實體之間的IDXP通信在BEEP信道上完成。兩個希望建立IDXP通信的入侵

檢測實體在打開BEEP信道之前，首先要進行一次BEEP會話，然后就有關(guān)的安全特性問題

進行協(xié)商，協(xié)商好BEEP安全輪廓之后，互致問候，然后開始IDXP交換。

圖2是兩個入侵檢測實體"Alice”和“Bob”之間建立IDXP通信的過程：

AliceBob

xpoti11????????????>

.............何帔...........一…Q

--------啟動安全輪冼[2]----------------------->

一?-?一"啟動]nxp（3].........................>

圖2兩個入侵檢測實體"Alice.和

“Bob~之間建立IDW11值的過程

注意：IDXP對等實體之間可能有多個代理，這些代理可能是防火墻，也可能是將公司

每個部門分析器的數(shù)據(jù)轉(zhuǎn)發(fā)給總管理器的代理。隧道輪廓描述了使用代理時的IDXP交換。

2.傳輸數(shù)據(jù)

?對入侵檢測實體進行BEEP會話時，可以使用IDXP輪廓打開一個或多個BEEP信道,

這樣就可以使用額外的信道建立額外的BEEP會話。但是，大多數(shù)情況下，額外信道都應(yīng)在

已有的BEEP會話上打開，而不是用IDXP輪廓打開一個包含額外信道的新BEEP會話。

在每個信道匕對等體都以客戶機/服務(wù)器模式進行通信，BEEP會話發(fā)起者為客戶機，

而收聽者則為服務(wù)器。

圖3描述了一個分析器將數(shù)據(jù)傳送給個管理器的簡單過程。

BEE檢話

分國I

-isnesi-

圖3?個分析器將數(shù)據(jù)傳送給?個管理器的同單過程

在次BEEP會話時，使用多個BEEP信道有利于對在IDXP對等體之間傳輸?shù)臄?shù)據(jù)進

行分類和優(yōu)先權(quán)設(shè)置。例如，一個管理器Ml在向另一個管理器M2傳送警報數(shù)據(jù)時，可以

用不同的信道傳送不同類型的警報數(shù)據(jù)，在每個信道上管理器Ml的作用都相當(dāng)于個客戶

器，而M2則對不同信道上的數(shù)據(jù)作出相應(yīng)的處理，如圖4所示。

=??*aEH0公話?***??■■“

?TDU贊!*?aJ網(wǎng)臨的警投

WW8M2

iDxr>e?.基了主機的警以(??S)

iMHe*.XMVIK

圖4多個BEEP信道有利于對在IDXP對等體之間

傳輸?shù)臄?shù)據(jù)進行分類和優(yōu)先權(quán)設(shè)置

3.斷開連接

在有些情況下，一個IDXP對等體可以選擇關(guān)閉某個IDXP信道。在關(guān)閉一個信道時，

對等體在0信道上發(fā)送一個“關(guān)閉”元素，指明要關(guān)閉哪?個信道。一個IDXP對等體也可以

通過在0信道上發(fā)送一個指明要“關(guān)閉”0信道的元素，來關(guān)閉整個BEEP會話。

在上面這個模型中，1DXP對等實體之間采用了一個BEEP安全輪廓實現(xiàn)端到端的安

全，而無需通過中間的代理建立安全信任，因此，只有IDXP對等體之間是相互信任的，而

代理是不可信的。

公共入侵檢測框架（CIDF）

CIDF所做的工作主要包括四部分：IDS的體系結(jié)構(gòu)、通信機制、描述語言和應(yīng)用編程

接口APL

?,CIDF的體系結(jié)構(gòu)

CIDF在IDES和NIDES的基礎(chǔ)上提出了-一個通用模型，將入侵檢測系統(tǒng)分為四個基本

組件：事件產(chǎn)生器、事件分析器、響應(yīng)單元和事件數(shù)據(jù)庫。結(jié)構(gòu)如圖5所示。

在這個模型中，事件產(chǎn)生器、事件分析器和響應(yīng)單元通常以應(yīng)用程序的形式出現(xiàn)，而事

件數(shù)據(jù)庫則往往是文件或數(shù)據(jù)流的形式，很多IDS廠商都以數(shù)據(jù)收集部分、數(shù)據(jù)分析部分

和控制臺部分三個術(shù)語來分別代替事件產(chǎn)生器、事件分析器和響應(yīng)單元.

CIDF將IDS需要分析的數(shù)據(jù)統(tǒng)稱為事件，它可以是網(wǎng)絡(luò)中的數(shù)據(jù)包，也可以是從系統(tǒng)

日志或其他途徑得到的信息。

以上四個組件只是邏輯實體，一個組件可能是某臺計算機上的一個進程甚至線程，也可

能是多個計算機上的多個進程，它們以GIDO（統(tǒng)入侵檢測對象）格式進行數(shù)據(jù)交換。GIDO

是對事件進行編碼的標(biāo)準(zhǔn)通用格式（由CIDF描述語言CISL定義），GIDO數(shù)據(jù)流在圖5中

以虛線表示，它可以是發(fā)生在系統(tǒng)中的審計事件，也可以是對審計事件的分析結(jié)果。

*M.?flflOIICIi

|9ft分/■

_______<■,iMM.e

圖5CIDF的體系站樹

1.事件產(chǎn)生器

事件產(chǎn)生器的任務(wù)是從入侵檢測系統(tǒng)之外的計算環(huán)境中收集事件,并將這些事件轉(zhuǎn)換成

CIDF的GIDO格式傳送給其他組件。例如，事件產(chǎn)生器可以是讀取C2級審計蹤跡并將其

轉(zhuǎn)換為GIDO格式的過濾器，也可以是被動地監(jiān)視網(wǎng)絡(luò)并根據(jù)網(wǎng)絡(luò)數(shù)據(jù)流產(chǎn)生事件的另一種

過濾器，還可以是SQL數(shù)據(jù)庫中產(chǎn)生描述事務(wù)的事件的應(yīng)用代碼。

2.事件分析器

事件分析器分析從其他組件收到的GIDO,并將產(chǎn)生的新GIDO再傳送給其他組件。分

析器可以是一個輪廓描述工具，統(tǒng)計性地檢查現(xiàn)在的事件是否可能與以前某個事件來自同一

個時間序列；也可以是一個特征檢測工具，用于在一個事件序列中檢查是否有已知的濫用攻

擊特征；此外，事件分析器還可以是一個相關(guān)器，觀察事件之間的關(guān)系，將有聯(lián)系的事件放

到一起，以利于以后的進一步分析。

3.事件數(shù)據(jù)庫

用來存儲GIDO,以備系統(tǒng)需要的時候使用。

4.響應(yīng)單元

響應(yīng)單元處理收到的GIDO,并據(jù)此采取相應(yīng)的措施，如殺死相關(guān)進程、將連接復(fù)位、

修改文件權(quán)限等。

由于CIDF有一個標(biāo)準(zhǔn)格式GIDO,所以這些組件也適用于其他環(huán)境，只需要將典型的

環(huán)境特征轉(zhuǎn)換成GIDO格式，這樣就提高了組件之間的消息共享和互通。

二、CIDF的通信機制

為了保證各個組件之間安全、高效的通信,CIDF將通信機制構(gòu)造成一個三層模型:GIDO

層、消息層和協(xié)商傳輸層。

要實現(xiàn)有目的的通信，各組件就必須能正確理解相互之間傳遞的各種數(shù)據(jù)的語義,GIDO

層的任務(wù)就是提高組件之間的互操作性，所以GIDO就如何表示各種各樣的事

IDS的分類

根據(jù)檢測原理進行分類

傳統(tǒng)的觀點根據(jù)入侵行為的屬性將其分為異常和濫用兩種1然后分別對其建立異常檢測

模型和濫用檢測模型。近四五年來乂涌現(xiàn)出了一些新的檢測方法，它們產(chǎn)生的模型對異常和

濫用都適用，如人工免疫方法、遺傳算法、數(shù)據(jù)挖掘等。根據(jù)系統(tǒng)所采用的檢測模型，將

IDS分為三類。

1.異常檢測

在異常檢測中，觀察到的不是已知的入侵行為，而是所研究的通信過程中的異?，F(xiàn)象，

它通過檢測系統(tǒng)的行為或使用情況的變化來完成。在建立該模型之前，首先必須建立統(tǒng)計概

率模型，明確所觀察對象的正常情況，然后決定在何種程度上將?個行為標(biāo)為“異?！保⑷?/p>

何做出具體決策。

異常檢測只能識別出那些與正常過程有較大偏差的行為，而無法知道具體的入侵情況。

由于對各種網(wǎng)絡(luò)環(huán)境的適應(yīng)性不強，且缺乏精確的判定準(zhǔn)則，異常檢測經(jīng)常會出現(xiàn)虛警情況。

異常檢測可以通過以下系統(tǒng)實現(xiàn)。

(1)自學(xué)習(xí)系統(tǒng)

自學(xué)習(xí)系統(tǒng)通過學(xué)習(xí)事例構(gòu)建正常行為模型，乂可分為時序和非時序兩種。

(2)編程系統(tǒng)

該類系統(tǒng)需要通過編程學(xué)習(xí)如何檢測確定的異常事件，從而讓用戶知道什么樣的異常行

為足以破壞系統(tǒng)的安全。編程系統(tǒng)可以再細分為描述統(tǒng)計和缺省否認(rèn)兩種。

異常檢測IDS分類如表1所示。

表1異常檢測分類表

WixkwnASctwc

IDES.(IMIRAU)

IhyMMk

人1?心M珞Hypcrvtea

牌?械計UIDAS.NM>IR.

?1冏隼裳，SSM

(ompMcfUWb

伏金序列罐21AMS.Rro

2.濫用檢測

在濫用檢測中，入侵過程模型及它在被觀察系統(tǒng)中留下的蹤跡是決策的基礎(chǔ)。所以，可

事先定義某些特征的行為是非法的，然后將觀察對象與之進行比較以做出判別。

濫用檢測基于已知的系統(tǒng)缺陷和入侵模式，故又稱特征檢測。它能夠準(zhǔn)確地檢測到某些

特征的攻擊，但卻過度依賴事先定義好的安全策略，所以無法檢測系統(tǒng)未知的攻擊行為，從

而產(chǎn)生漏警。

濫用檢測通過對確知決策規(guī)則編程實現(xiàn)，可以分為以下四種：

(1)狀態(tài)建模：它將入侵行為表示成許多個不同的狀態(tài)。如果在觀察某個可疑行為期

間，所有狀態(tài)都存在，則判定為惡意入侵。狀態(tài)建模從本質(zhì)上來講是時間序列模型，可以再

細分為狀態(tài)轉(zhuǎn)換和Petri網(wǎng)，前者將入侵行為的所有狀態(tài)形成一個簡單的遍歷鏈，后者將所

有狀態(tài)構(gòu)成?個更廣義的樹形結(jié)構(gòu)的Petri網(wǎng)。

(2)專家系統(tǒng)：它可以在給定入侵行為描述規(guī)則的情況卜，對系統(tǒng)的安全狀態(tài)進行推

理。?般情況下，專家系統(tǒng)的檢測能力強大，靈活性也很高，但計算成本較高，通常以降低

執(zhí)行速度為代價。

(3)串匹配：它通過對系統(tǒng)之間傳輸?shù)幕蛳到y(tǒng)自身產(chǎn)生的文本進行子串匹配實現(xiàn)。該

方法靈活性欠差，但易于理解，目前有很多高效的算法，其執(zhí)行速度很快。

(4)基于簡單規(guī)則：類似于專家系統(tǒng)，但相對簡單一些，故執(zhí)行速度快。

濫用檢測IDS分類如表2所示。

表2濫用檢測分類表

伏擊籍臨USTM

PEMIDIOT

0*桑埃MDES.EMERALD.MIDAS.Dlt)S

中“配\SM

種眩螳甯的心總方法

|41NADIR.ASAX.JINM.lUyuxl

3.混合檢測

近兒年來，混合檢測日益受到人們的重視。這類檢測在做出決策之前，既分析系統(tǒng)的正

常行為，同時還觀察可疑的入侵行為，所以判斷更全面、準(zhǔn)確、可靠。它通常根據(jù)系統(tǒng)的正

常數(shù)據(jù)流背景來檢測入侵行為，故而也有人稱其為“啟發(fā)式特征檢測

WenkeLee從數(shù)據(jù)挖掘得到啟示，開發(fā)出了一個混合檢測器RIPPER。它并不為不同的

入侵行為分別建立模型，而是首先通過大量的事例學(xué)習(xí)什么是入侵行為以及什么是系統(tǒng)的正

常行為，發(fā)現(xiàn)描述系統(tǒng)特征的一致使用模式，然后再形成對異常和濫用都適用的檢測模型。

根據(jù)系統(tǒng)特征分類

作為一個完整的系統(tǒng)，IDS顯然不應(yīng)該只包括檢測器，它的很多系統(tǒng)特征同樣值得認(rèn)真

研究。為此，將以下一些重要特征作為分類的考慮因素。

1.檢測時間：有些系統(tǒng)以實時或近乎實時的方式檢測入侵活動，而另一些系統(tǒng)在處理

審計數(shù)據(jù)時則存在一定的延時。一般的實時系統(tǒng)可以對歷史審計數(shù)據(jù)進行離線操作，系統(tǒng)就

能夠根據(jù)以前保存的數(shù)據(jù)重建過去發(fā)生的重要安全事件。

2.數(shù)據(jù)處理的粒度：有些系統(tǒng)采用了連續(xù)處理的方式，而另一些系統(tǒng)則在特定的時間

間隔內(nèi)對數(shù)據(jù)進行批處理操作，這就涉及到處理粒度的問題。它跟檢測時間有一定關(guān)系，但

二者并不完全一樣，?個系統(tǒng)可能在相當(dāng)長的時延內(nèi)進行連續(xù)數(shù)據(jù)處理，也可以實時地處理

少量的批處理數(shù)據(jù)。

3.審計數(shù)據(jù)來源：主要有兩種來源：網(wǎng)絡(luò)數(shù)據(jù)和基于主機的安全日志文件。后者包括

操作系統(tǒng)的內(nèi)核日志、應(yīng)用程序日志、網(wǎng)絡(luò)設(shè)備(如路由器和防火墻)日志等。

4.入侵檢測響應(yīng)方式：分為主動響應(yīng)和被動響應(yīng)。被動響應(yīng)型系統(tǒng)只會發(fā)出告警通知,

將發(fā)生的不正常情況報告給管理員，本身并不試圖降低所造成的破壞，更不會主動地對攻擊

者采取反擊行動。主動響應(yīng)系統(tǒng)可以分為兩類：

(1)對被攻擊系統(tǒng)實施控制。它通過調(diào)整被攻擊系統(tǒng)的狀態(tài)，阻止或減輕攻擊影響，

例如斷開網(wǎng)絡(luò)連接、增加安全日志、殺死可疑進程等。

(2)對攻擊系統(tǒng)實施控制的系統(tǒng)。這種系統(tǒng)多被軍方所重視和采用。

目前，主動響應(yīng)系統(tǒng)還比較少，即使做出主動響應(yīng)，一般也都是斷開可疑攻擊的網(wǎng)絡(luò)連

接，或是阻塞可疑的系統(tǒng)調(diào)用，若失敗，則終止該進程。但由于系統(tǒng)暴露于拒絕服務(wù)攻擊下,

這種防御?般也難以實施。

5.數(shù)據(jù)收集地點：審計數(shù)據(jù)源可能來自某單一節(jié)點，也可能來自于網(wǎng)絡(luò)中多個分布式

節(jié)點。

6.數(shù)據(jù)處理地點：審計數(shù)據(jù)可以集中處理，也可以分布處理。

7.安全性：指系統(tǒng)本身的抗攻擊能力。

8.互操作性：不同的IDS運行的操作系統(tǒng)平臺往往不一樣，其數(shù)據(jù)來源、通信機制、

消息格式也不盡相同，?個IDS與其他IDS或其他安全產(chǎn)品之間的互操作性是衡量其先進

與否的一個重要標(biāo)志。

系統(tǒng)特征IDS分類如表3所示。

表3系統(tǒng)特征IDS分類表

2弊發(fā)布，N收彳It

份

Haysuck198811實時批處理上機被動集中式集中式低低

MIDAS1988實時連續(xù)主機被動集中式集中式&低

IDES1988實時連接主機被動集中式分布式抵低

w&s1989實時連續(xù)主機被動集中式集中式低低

(omp-uatch1990非實時批處理主機檢動集中式集中式抵低

NSM1990實時連接網(wǎng)絡(luò)被動集中式集中式&低

NADIR199111實時連續(xù)主機鼓動集中式分布式ft低

1992實時連挨主機被動集中式集中式低低

OIDS1992實時連續(xù)皆有械動分布式分布式低低

ASAX1992實時連續(xù)上機鼓動集中式集中式低較高

USTAT1993實時連續(xù)主機被動集中式集中式低低

DPEMIW實時批處理上機檢動分布式分布式低低

IDIOT1994實時連侯上機被動集中式集中式低抬高

NIDES1995實時連續(xù)主機被動集中式集中式低依打

GrIDS19%物時批處理皆有被動分布式分布式低低

CSM1996實時連或主機1:動分布式分布式低低

Janus1996女時連續(xù)主機主動集中式集中式低低

JiNao1997實時批處珅主機被動分布式分布式低低

IMhRALD1997實時連續(xù)皆有主動分布式分布式中等高

Bro1998實時連接網(wǎng)絡(luò)被動集中式集中式低

根據(jù)體系結(jié)構(gòu)分類

按照體系結(jié)構(gòu)，IDS可分為集中式、等級式和協(xié)作式三種，如