《入侵檢測(cè)與防御原理及實(shí)踐（微課版）》 課件 CH2 入侵檢測(cè)與防御原理

第二章入侵檢測(cè)與防御原理入侵檢測(cè)與防御基本概念入侵檢測(cè)系統(tǒng)的基本模型入侵檢測(cè)系統(tǒng)的分類入侵檢測(cè)與防御的關(guān)鍵技術(shù)入侵檢測(cè)與防御的流程入侵檢測(cè)系統(tǒng)的體系架構(gòu)入侵檢測(cè)與防御基本概念2.1入侵檢測(cè)基本概念入侵檢測(cè)：依據(jù)一定的安全策略，對(duì)網(wǎng)絡(luò)及系統(tǒng)的運(yùn)行狀況進(jìn)行檢測(cè)，識(shí)別對(duì)計(jì)算機(jī)或網(wǎng)絡(luò)信息的惡意行為，并對(duì)此行為做出響應(yīng)的過(guò)程。入侵檢測(cè)系統(tǒng)（IntrusionDetectionSystem，IDS）：具有入侵檢測(cè)功能的系統(tǒng)，是進(jìn)行入侵檢測(cè)的軟件與硬件的組合。一般來(lái)講，攻擊分為來(lái)自外部網(wǎng)絡(luò)的攻擊，來(lái)自內(nèi)部網(wǎng)絡(luò)的攻擊以及內(nèi)部人員誤操作導(dǎo)致的虛假攻擊，IDS會(huì)從這三個(gè)方面進(jìn)行分析?？梢詫DS理解為一位有豐富經(jīng)驗(yàn)的網(wǎng)絡(luò)偵查員，任務(wù)就是分析出可疑信息并做出相應(yīng)處理。IDS通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。IDS通過(guò)分析網(wǎng)絡(luò)行為、安全日志、審計(jì)數(shù)據(jù)和其他信息對(duì)應(yīng)執(zhí)行監(jiān)視系統(tǒng)活動(dòng)、審計(jì)系統(tǒng)漏洞、識(shí)別攻擊行為和報(bào)警攻擊。入侵檢測(cè)基本概念入侵檢測(cè)系統(tǒng)的主要功能：監(jiān)視、分析用戶及系統(tǒng)的活動(dòng)；系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)；識(shí)別已知的進(jìn)攻并報(bào)警；對(duì)異常行為模式進(jìn)行統(tǒng)計(jì)分析；評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性；對(duì)操作系統(tǒng)進(jìn)行審計(jì)跟蹤管理；識(shí)別用戶違反安全策略的行為。入侵檢測(cè)系統(tǒng)的部署入侵檢測(cè)系統(tǒng)的類型不同、應(yīng)用環(huán)境不同，部署方案也就會(huì)有所差別。基于主機(jī)的入侵檢測(cè)系統(tǒng)一般用于保護(hù)關(guān)鍵主機(jī)或服務(wù)器，因此只要將它部署到這些關(guān)鍵主機(jī)或服務(wù)器中即可?；诰W(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)來(lái)說(shuō)，根據(jù)網(wǎng)絡(luò)環(huán)境的不同，其部署方案也就會(huì)有所不同。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)通常采用旁路部署的方式常見(jiàn)的部署位置：服務(wù)器區(qū)域的交換機(jī)上；Internet接入路由器之后的第一臺(tái)交換機(jī)上；重點(diǎn)保護(hù)網(wǎng)段的局域網(wǎng)交換機(jī)上。入侵檢測(cè)系統(tǒng)的部署共享介質(zhì)網(wǎng)絡(luò)環(huán)境下的數(shù)據(jù)捕獲網(wǎng)卡默認(rèn)只接收廣播包和與自己MAC地址匹配的數(shù)據(jù)幀。要想捕獲流經(jīng)網(wǎng)卡的但不屬于自己主機(jī)的所有數(shù)據(jù)流，就必須繞開(kāi)系統(tǒng)正常工作的處理機(jī)制，直接訪問(wèn)網(wǎng)絡(luò)底層。首先需要將網(wǎng)卡的工作模式設(shè)置為混雜（Promiscuous）模式，使之可以接收目標(biāo)地址不是自己的MAC地址的數(shù)據(jù)包，然后直接訪問(wèn)數(shù)據(jù)鏈路層，獲取數(shù)據(jù)并由應(yīng)用程序進(jìn)行過(guò)濾處理。UNIX中可用Libpcap包捕獲函數(shù)庫(kù)直接與內(nèi)核驅(qū)動(dòng)交互操作，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的捕獲。WINDOW中可用Winpcap（）或npcap（），通過(guò)VxD虛擬設(shè)備驅(qū)動(dòng)程序?qū)崿F(xiàn)網(wǎng)絡(luò)數(shù)據(jù)捕獲的功能。在WindowsXp/2003/Vista/2008上可以使用WinpcapWin7及以后上可以使用npcap，64bit，要匹配入侵檢測(cè)系統(tǒng)的部署交換網(wǎng)絡(luò)環(huán)境下的數(shù)據(jù)捕獲正常情況下，處于監(jiān)聽(tīng)狀態(tài)下的網(wǎng)絡(luò)設(shè)備只能捕獲與它連接的HUB或交換機(jī)端口上的數(shù)據(jù)，無(wú)法監(jiān)聽(tīng)其他端口和網(wǎng)段的數(shù)據(jù)。若想捕獲其他數(shù)據(jù)，可用以下方法：（1）將數(shù)據(jù)包捕獲程序放在網(wǎng)關(guān)或代理服務(wù)器上（2）給交換機(jī)配置端口鏡像（3）在交換機(jī)和路由器之間連接一個(gè)HUB（4）實(shí)現(xiàn)ARP欺騙入侵檢測(cè)系統(tǒng)的部署網(wǎng)絡(luò)中沒(méi)有部署防火墻時(shí)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)通常安裝在網(wǎng)絡(luò)入口處的交換機(jī)上，以便監(jiān)聽(tīng)所有進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包并進(jìn)行相應(yīng)的保護(hù)。交換機(jī)上需要啟用端口鏡像。入侵檢測(cè)系統(tǒng)的部署網(wǎng)絡(luò)中部署防火墻時(shí)入侵檢測(cè)系統(tǒng)常部署在防火墻之后，在防火墻的一次過(guò)濾之后進(jìn)行二次防御。來(lái)自外部的針對(duì)防火墻本身的攻擊行為也需注意。安全性要求高的環(huán)境，也可在防火墻外部部署IDS。入侵防御技術(shù)可以深度感知并檢測(cè)流經(jīng)的數(shù)據(jù)流量，對(duì)惡意報(bào)文進(jìn)行丟棄以阻斷攻擊，對(duì)濫用報(bào)文進(jìn)行限流以保護(hù)網(wǎng)絡(luò)帶寬資源。入侵防御技術(shù)是一種既能發(fā)現(xiàn)又能阻止入侵行為的新安全防御技術(shù)。通過(guò)檢測(cè)發(fā)現(xiàn)網(wǎng)絡(luò)入侵后，能自動(dòng)丟棄入侵報(bào)文或阻斷攻擊源，從而從根本上避免攻擊行為。IPS使得IDS和防火墻走向統(tǒng)一。入侵防御系統(tǒng)(IPS，IntrusionPreventionSystem)能夠檢測(cè)到攻擊行為（包括已知和未知攻擊），并能夠有效地阻斷攻擊的硬件和軟件系統(tǒng)。融合了防火墻和入侵檢測(cè)技術(shù)。是對(duì)防病毒軟件和防火墻的補(bǔ)充。入侵防御的基本概念入侵防御的基本概念入侵防御系統(tǒng)的功能：在線檢測(cè)網(wǎng)絡(luò)和主機(jī)；根據(jù)預(yù)定的安全策略，對(duì)數(shù)據(jù)包進(jìn)行深度檢測(cè)；發(fā)現(xiàn)攻擊后能實(shí)施有效的阻斷，防止攻擊到達(dá)目標(biāo)網(wǎng)絡(luò)或主機(jī)。（1）入侵防護(hù)。（2）應(yīng)用保護(hù)。（3）網(wǎng)絡(luò)架構(gòu)保護(hù)。（4）性能保護(hù)。（5）Web安全。（6）流量控制。（7）上網(wǎng)監(jiān)管。入侵防御系統(tǒng)的部署入侵防御系統(tǒng)（IPS）主要用于一些重要服務(wù)器的入侵防護(hù)，比如OA系統(tǒng)、ERP系統(tǒng)數(shù)據(jù)庫(kù)、FTP服務(wù)器、Web服務(wù)器等。部署IPS時(shí)應(yīng)該首先保護(hù)重要設(shè)備，而不是保護(hù)所有的設(shè)備。當(dāng)然，如果是小型網(wǎng)絡(luò)，可以將IPS部署在網(wǎng)絡(luò)前端保護(hù)所有服務(wù)器和辦公終端。在辦公網(wǎng)絡(luò)中，以下區(qū)域需要部署IPS：（1）網(wǎng)絡(luò)邊界，比如辦公網(wǎng)絡(luò)與外部網(wǎng)絡(luò)連接的位置。（2）重要的集群服務(wù)器前端。（3）辦公網(wǎng)內(nèi)部接入層。（4）其他區(qū)域可根據(jù)情況酌情部署。入侵防御的基本概念入侵防御系統(tǒng)的部署（1）IPS串聯(lián)部署：實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)，阻斷各種隱蔽攻擊。內(nèi)網(wǎng)管理，對(duì)上網(wǎng)行為進(jìn)行管理。串聯(lián)的IPS死機(jī)時(shí)，可使用硬件Bypass開(kāi)啟網(wǎng)絡(luò)全通功能（2）IPS并聯(lián)部署： 系統(tǒng)穩(wěn)定性高，部分設(shè)備宕機(jī)不會(huì)中斷網(wǎng)絡(luò)。監(jiān)控網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)，可以分析數(shù)據(jù)、安全審計(jì)。入侵防御的基本概念入侵防御技術(shù)的優(yōu)勢(shì)（1）實(shí)時(shí)阻斷攻擊。（2）深層防護(hù)。（3）全方位防護(hù)。（4）內(nèi)外兼防。（5）不斷升級(jí)，精準(zhǔn)防護(hù)。入侵防御的基本概念入侵檢測(cè)系統(tǒng)（IDS）可以對(duì)網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。入侵防御系統(tǒng)（IPS）作為一種新型網(wǎng)絡(luò)安全防護(hù)技術(shù)，它在入侵檢測(cè)的基礎(chǔ)上添加了防御功能，一旦發(fā)現(xiàn)網(wǎng)絡(luò)攻擊，可以根據(jù)該攻擊的威脅級(jí)別立即采取抵御措施。IPS能夠?qū)崿F(xiàn)積極、主動(dòng)地阻止入侵攻擊行為對(duì)網(wǎng)絡(luò)或系統(tǒng)造成危害，同時(shí)結(jié)合漏洞掃描、防火墻、IDS等構(gòu)成整體、深度的網(wǎng)絡(luò)安全防護(hù)體系。入侵檢測(cè)與入侵防御的區(qū)別IDS與IPS的區(qū)別（1）功能不同（2）實(shí)時(shí)性要求不同（3）部署方式不同：旁路VS串聯(lián)（4）部署位置不同：中心點(diǎn)VS網(wǎng)絡(luò)邊界（5）檢測(cè)攻擊的方法不同。IPS可以實(shí)施深層防御安全策略，可在應(yīng)用層檢測(cè)出攻擊并予以阻斷，這是防火墻和入侵檢測(cè)產(chǎn)品做不到的。（6）價(jià)值不同：監(jiān)管VS實(shí)施（7）響應(yīng)方式不同：報(bào)警VS阻斷入侵檢測(cè)與入侵防御的區(qū)別IPSVS防火墻（1）IPS可以發(fā)現(xiàn)從內(nèi)、外部的攻擊；防火墻只能發(fā)現(xiàn)流經(jīng)它的惡意流量。（2）防火墻是被動(dòng)防御，旨在保護(hù)，屬于靜態(tài)安全防御技術(shù)；而IDS/IPS則是主動(dòng)出擊尋找潛在的攻擊者，發(fā)現(xiàn)入侵行為，是動(dòng)態(tài)安全技術(shù)的核心技術(shù)之一。（3）一般來(lái)說(shuō)，防火墻采用白名單機(jī)制；而IPS采用黑名單機(jī)制。（4）防火墻是粒度比較粗的訪問(wèn)控制產(chǎn)品，功能多。而IPS的功能則比較單一。如果把防火墻比作大門(mén)警衛(wèi)，IDS/IPS就是網(wǎng)絡(luò)中的監(jiān)控系統(tǒng)，不間斷地獲取網(wǎng)絡(luò)數(shù)據(jù)并進(jìn)行分析，發(fā)現(xiàn)問(wèn)題及時(shí)采取響應(yīng)措施。IDS/IPS是網(wǎng)絡(luò)的第二道安全閘門(mén)，能夠積極主動(dòng)地阻止入侵攻擊行為對(duì)網(wǎng)絡(luò)或系統(tǒng)造成危害，是防火墻的必要補(bǔ)充，同時(shí)結(jié)合漏洞掃描、防火墻等構(gòu)成了整體、深度的網(wǎng)絡(luò)安全防護(hù)體系。入侵檢測(cè)與入侵防御的區(qū)別入侵檢測(cè)與防御技術(shù)發(fā)展趨勢(shì)主要包括五個(gè)方向。1）分布式入侵檢測(cè)2）更廣泛的信息源3）更快速的處理能力4）可擴(kuò)展性問(wèn)題5）綜合的安全態(tài)勢(shì)感知入侵檢測(cè)與防御的發(fā)展趨勢(shì)入侵檢測(cè)系統(tǒng)的基本模型2.2入侵檢測(cè)系統(tǒng)的基本模型入侵檢測(cè)系統(tǒng)的發(fā)展階段：集中式階段層次式階段集成式階段入侵檢測(cè)系統(tǒng)每階段代表性的基本模型：通用入侵檢測(cè)模型（Denning模型）：是一個(gè)基于主機(jī)的入侵檢測(cè)模型。層次式入侵檢測(cè)模型（IDM）管理式入侵檢測(cè)模型（SNMP-IDSM）通用入侵檢測(cè)模型檢測(cè)原理：Denning入侵檢測(cè)模型認(rèn)為，非法用戶的操作與合法用戶的操作有很多不同點(diǎn)，但異常行為并不一定是入侵的結(jié)果，為此需要建立活動(dòng)規(guī)則集并讓其進(jìn)行學(xué)習(xí)以分辨異常行為。系統(tǒng)在對(duì)按照一定的規(guī)則學(xué)習(xí)用戶行為模型后，將當(dāng)前發(fā)生的事件和模型進(jìn)行比較，如果不匹配則認(rèn)為異常。模型組成部分：主體：如進(jìn)程、服務(wù)連接等對(duì)象：系統(tǒng)上的資源審計(jì)記錄活動(dòng)簡(jiǎn)檔異常記錄活動(dòng)規(guī)則層次化入侵檢測(cè)模型（IDM）層次化入侵檢測(cè)系統(tǒng)基于異常檢測(cè)和誤用檢測(cè)，將入侵檢測(cè)動(dòng)態(tài)地分為攻擊檢測(cè)和入侵檢測(cè)。（1）攻擊檢測(cè)是指在入侵檢測(cè)系統(tǒng)中已經(jīng)有對(duì)此種入侵的描述，利用誤用檢測(cè)可將其檢測(cè)出來(lái)，比較簡(jiǎn)單、效率較高、誤用率較低。（2）入侵檢測(cè)是指在入侵檢測(cè)系統(tǒng)中沒(méi)有對(duì)此種入侵的描述，只能用異常檢測(cè)確定其是否為入侵行為，主要針對(duì)疑難的、未知的情況。該模型給出了推斷網(wǎng)絡(luò)主機(jī)受到攻擊時(shí)數(shù)據(jù)的抽象過(guò)程。通過(guò)把收集到的分散數(shù)據(jù)進(jìn)行加工抽象和關(guān)聯(lián)操作，IDM構(gòu)造了一臺(tái)虛擬的機(jī)器環(huán)境，這臺(tái)機(jī)器由所有相連的主機(jī)和網(wǎng)絡(luò)組成。將分布式系統(tǒng)看做一臺(tái)虛擬機(jī)器簡(jiǎn)化了對(duì)跨域單機(jī)的入侵行為識(shí)別。層次化入侵檢測(cè)模型結(jié)構(gòu)層次化模型將IDS分為六個(gè)部分，由低到高分別是數(shù)據(jù)層、事件層、主體層、上下文層、威脅曾和安全狀態(tài)層。（1）數(shù)據(jù)層：包括主機(jī)操作系統(tǒng)的審計(jì)記錄、局域網(wǎng)監(jiān)視器結(jié)果和第三方審計(jì)軟件包提供的數(shù)據(jù)。（2）事件層：用事件描述第一層客體內(nèi)容所表示的含義和固有的特征性質(zhì)，通過(guò)動(dòng)作和領(lǐng)域說(shuō)明。（3）主體層：主體是唯一標(biāo)識(shí)號(hào)，用來(lái)鑒別在網(wǎng)絡(luò)中跨越多臺(tái)主機(jī)使用的用戶。（4）上下文層：說(shuō)明事件發(fā)生時(shí)所處的環(huán)境和產(chǎn)生的背景，分為時(shí)間型和空間型。（5）威脅層：分析事件對(duì)網(wǎng)絡(luò)和主機(jī)構(gòu)成的威脅。（6）安全狀態(tài)層：用數(shù)字值（1-100）表示網(wǎng)絡(luò)的安全狀態(tài)。數(shù)字越大，安全性越低。管理式入侵檢測(cè)模型基于SNMP的IDS模型（SNMP-IDSM）管理式入侵檢測(cè)模型以SNMP為公共語(yǔ)言來(lái)實(shí)現(xiàn)IDS系統(tǒng)之間的消息交換和協(xié)同檢測(cè)，明確原始事件和抽象事件之間關(guān)系。管理式入侵檢測(cè)系統(tǒng)管理式入侵檢測(cè)系統(tǒng)采用五元組形式<WHRER,WHEN,WHO,WHAT,HOW>來(lái)描述攻擊事件。（1）WHRER：描述產(chǎn)生攻擊的位置，包括目標(biāo)所在地和事件發(fā)生地點(diǎn)。（2）WHEN：事件的時(shí)間戳，說(shuō)明事件的起始時(shí)間、終止時(shí)間、信息頻度或發(fā)生的次數(shù)。（3）WHO：表明IDS觀察到的事件，記錄哪個(gè)用戶或進(jìn)程觸發(fā)事件。（4）WHAT：記錄詳細(xì)信息，例如協(xié)議類型、說(shuō)明數(shù)據(jù)和包的內(nèi)容。（5）HOW：用來(lái)連接原始事件和抽象事件。原始事件和抽象事件用四元組

<WHRER,WHEN,WHO,WHAT>來(lái)描述入侵檢測(cè)系統(tǒng)的分類2.3按數(shù)據(jù)源分類按數(shù)據(jù)來(lái)源分：（1）基于主機(jī)（Host-Based）的入侵檢測(cè)系統(tǒng)其檢測(cè)的目標(biāo)系統(tǒng)主要是主機(jī)系統(tǒng)和本地用戶。可監(jiān)測(cè)系統(tǒng)、事件和操作系統(tǒng)下的安全記錄以及系統(tǒng)記錄。當(dāng)有文件發(fā)生變化時(shí)，入侵檢測(cè)系統(tǒng)將新的記錄條目與攻擊標(biāo)記相比較，看它們是否匹配。如果匹配，系統(tǒng)就會(huì)向管理員報(bào)警，以采取措施。（2）基于網(wǎng)絡(luò)（Network-Based）的入侵檢測(cè)系統(tǒng)不依賴于被保護(hù)的主機(jī)操作系統(tǒng)，實(shí)時(shí)監(jiān)視并分析通過(guò)網(wǎng)絡(luò)的所有通信業(yè)務(wù)。（3）基于混合數(shù)據(jù)源的入侵檢測(cè)系統(tǒng)綜合了基于網(wǎng)絡(luò)和基于主機(jī)兩種特點(diǎn)的混合型入侵檢測(cè)系統(tǒng)。以多種數(shù)據(jù)源為檢測(cè)目標(biāo)，來(lái)提高IDS的性能?？膳渲贸煞植际侥Ｊ?，通常在需要監(jiān)視的服務(wù)器和網(wǎng)絡(luò)路徑上安裝監(jiān)視模塊，分別向管理服務(wù)器報(bào)告及上傳證據(jù)，提供跨平臺(tái)的入侵監(jiān)視解決方案?；谥鳈C(jī)的入侵檢測(cè)系統(tǒng)功能：可監(jiān)測(cè)系統(tǒng)、事件和操作系統(tǒng)下的安全記錄以及系統(tǒng)記錄。檢測(cè)的原理：每個(gè)被保護(hù)的主機(jī)系統(tǒng)上都運(yùn)行一個(gè)客戶端程序，用于實(shí)時(shí)檢測(cè)系統(tǒng)中的信息通信，若根據(jù)規(guī)則審計(jì)出有入侵的數(shù)據(jù)，立即由檢測(cè)系統(tǒng)的主機(jī)進(jìn)行分析，如果是入侵行為，及時(shí)進(jìn)行響應(yīng)。關(guān)鍵點(diǎn)：分析數(shù)據(jù)的準(zhǔn)確性和效率適用于檢測(cè)利用操作系統(tǒng)和應(yīng)用程序運(yùn)行特征的攻擊手段，如利用后門(mén)進(jìn)行的攻擊等?；谥鳈C(jī)的入侵檢測(cè)系統(tǒng)審計(jì)數(shù)據(jù)的獲取獲取方式：（1）直接監(jiān)測(cè)——直接監(jiān)測(cè)從數(shù)據(jù)產(chǎn)生或從屬的對(duì)象直接獲得數(shù)據(jù)。例如：為了直接監(jiān)測(cè)主機(jī)CPU的負(fù)荷，必須直接從主機(jī)相應(yīng)內(nèi)核的結(jié)構(gòu)獲得數(shù)據(jù)；要監(jiān)測(cè)inetd進(jìn)程提供的網(wǎng)絡(luò)訪問(wèn)服務(wù)，必須直接從inetd進(jìn)程獲得關(guān)于那些訪問(wèn)的數(shù)據(jù)；（2）間接監(jiān)測(cè)——從反映被監(jiān)測(cè)對(duì)象行為的某個(gè)源獲得數(shù)據(jù)。例如：間接監(jiān)測(cè)主機(jī)CPU的負(fù)荷可以通過(guò)讀取一個(gè)記錄CPU負(fù)荷的日志文件獲得；間接監(jiān)測(cè)訪問(wèn)網(wǎng)絡(luò)服務(wù)可以通過(guò)讀取inetd進(jìn)程產(chǎn)生的日志文件或輔助程序獲得間接監(jiān)測(cè)還可以通過(guò)查看發(fā)往主機(jī)的特定端口的網(wǎng)絡(luò)數(shù)據(jù)包?；谥鳈C(jī)的入侵檢測(cè)系統(tǒng)審計(jì)數(shù)據(jù)的獲取入侵檢測(cè)時(shí)，直接監(jiān)測(cè)要好于間接監(jiān)測(cè)，原因如下：（1）間接數(shù)據(jù)源（如審計(jì)跟蹤）的數(shù)據(jù)可能在IDS使用這些數(shù)據(jù)之前被篡改。（2）一些事件可能沒(méi)有被間接數(shù)據(jù)源記錄。（3）使用間接監(jiān)測(cè)，數(shù)據(jù)是通過(guò)某些機(jī)制產(chǎn)生的，這些機(jī)制并不知道哪些數(shù)據(jù)是IDS真正需要的。間接監(jiān)測(cè)數(shù)據(jù)量大，需處理后才能用于檢測(cè)。（4）直接監(jiān)測(cè)比間接監(jiān)測(cè)時(shí)延更短，確保IDS能更及時(shí)地做出反應(yīng)。基于主機(jī)的入侵檢測(cè)系統(tǒng)審計(jì)數(shù)據(jù)的獲取Linux與UNIX系統(tǒng)中可用于入侵檢測(cè)的日志文件和審計(jì)信息：Acct或pacct：記錄每個(gè)用戶使用的命令記錄。Aculog：保存著用戶撥出去的Modems記錄。Loginlog：記錄一些不正常的Login記錄。Wtmp：記錄當(dāng)前登錄到系統(tǒng)中的所有用戶，此文件隨著用戶進(jìn)入和離開(kāi)系統(tǒng)而不斷變化。Syslog：重要的日志文件，使用syslogd守護(hù)程序來(lái)獲得日志信息。Uucp：記錄UUCP的信息，可以被本地UUCP活動(dòng)更新，也可由遠(yuǎn)程站點(diǎn)發(fā)起的動(dòng)作修改。Access_log：用于運(yùn)行了NCSAHTTPD的服務(wù)器，記錄有什么站點(diǎn)連接過(guò)該服務(wù)器。history日志：保存了用戶最近輸入命令的記錄?；谥鳈C(jī)的入侵檢測(cè)系統(tǒng)審計(jì)數(shù)據(jù)的獲取Linux與UNIX系統(tǒng)中可用于入侵檢測(cè)的日志文件和審計(jì)信息：Lastlog：記錄了用戶最近的Login記錄和每個(gè)用戶的最初目的地，有時(shí)是最后不成功的Login的記錄。Messages：記錄輸出到系統(tǒng)控制臺(tái)的記錄，另外的信息由syslog來(lái)生成。Sulog：記錄使用su命令的記錄。Utmp：記錄用戶登錄和退出事件。ftp日志：執(zhí)行帶-l選項(xiàng)的ftpd能夠獲得記錄功能。httpd日志：HTTPD服務(wù)器在日志中記錄每一個(gè)Web訪問(wèn)記錄。secure：記錄一些使用遠(yuǎn)程登錄及本地登錄的事件。基于主機(jī)的入侵檢測(cè)系統(tǒng)審計(jì)數(shù)據(jù)的獲取Windows基本審計(jì)信息：注冊(cè)登錄事件目錄服務(wù)訪問(wèn)審計(jì)賬戶管理對(duì)象訪問(wèn)審計(jì)策略變更特權(quán)使用進(jìn)程跟蹤系統(tǒng)事件等基于主機(jī)的入侵檢測(cè)系統(tǒng)數(shù)據(jù)預(yù)處理是IDS的輔助功能模塊，為核心檢測(cè)模塊服務(wù)，它必須是一個(gè)快速的數(shù)據(jù)處理過(guò)程。常用的預(yù)處理方法基于粗糙集理論的約簡(jiǎn)法基于粗糙集理論的屬性離散化屬性的約簡(jiǎn)基于主機(jī)的入侵檢測(cè)技術(shù)基于統(tǒng)計(jì)模型的入侵檢測(cè)技術(shù)基于專家系統(tǒng)的入侵檢測(cè)技術(shù)基于狀態(tài)轉(zhuǎn)移分析的入侵檢測(cè)技術(shù)基于完整性檢查的入侵檢測(cè)技術(shù)基于智能體的入侵檢測(cè)技術(shù)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)基于網(wǎng)絡(luò)的IDS分析的數(shù)據(jù)主要包括網(wǎng)絡(luò)上的數(shù)據(jù)包，擔(dān)負(fù)著保護(hù)整個(gè)網(wǎng)段的任務(wù)?；诰W(wǎng)絡(luò)的IDS由遍及網(wǎng)絡(luò)的傳感器（sensor）組成，傳感器實(shí)際上是一臺(tái)將以太網(wǎng)卡置于混雜模式的計(jì)算機(jī)，用于嗅探網(wǎng)絡(luò)上的數(shù)據(jù)包。使用原始數(shù)據(jù)包作為數(shù)據(jù)源，利用運(yùn)行在混雜模式下的網(wǎng)絡(luò)適配器實(shí)時(shí)監(jiān)視分析通過(guò)網(wǎng)絡(luò)的通信業(yè)務(wù)。不依賴于操作系統(tǒng)根據(jù)相應(yīng)的網(wǎng)絡(luò)協(xié)議和工作原理，捕獲和過(guò)濾網(wǎng)絡(luò)數(shù)據(jù)包，并進(jìn)行入侵特征識(shí)別和協(xié)議分析，從而檢測(cè)出網(wǎng)絡(luò)中存在的入侵行為。協(xié)議的數(shù)據(jù)包結(jié)構(gòu)數(shù)據(jù)包的捕獲機(jī)制特征識(shí)別和協(xié)議分析基于混合數(shù)據(jù)源的入侵檢測(cè)系統(tǒng)基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測(cè)系統(tǒng)都有不足之處，會(huì)造成防御體系的不全面。綜合了基于網(wǎng)絡(luò)和基于主機(jī)兩種特點(diǎn)的混合型入侵檢測(cè)系統(tǒng)既可以發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊信息，也可以從系統(tǒng)日志中發(fā)現(xiàn)異常情況。以多種數(shù)據(jù)源為檢測(cè)目標(biāo)，來(lái)提高IDS的性能?？膳渲贸煞植际侥Ｊ?，通常在需要監(jiān)視的服務(wù)器和網(wǎng)絡(luò)路徑上安裝監(jiān)視模塊，分別向管理服務(wù)器報(bào)告及上傳證據(jù)，提供跨平臺(tái)的入侵監(jiān)視解決方案。按分析方法分類按分析方法分類可分為異常入侵檢測(cè)系統(tǒng)和誤用入侵檢測(cè)系統(tǒng)（1）異常入侵檢測(cè)系統(tǒng)利用被監(jiān)控系統(tǒng)正常行為的信息作為檢測(cè)系統(tǒng)中入侵行為和異?；顒?dòng)的依據(jù)。建立系統(tǒng)或用戶的正常行為模式庫(kù)，不屬于這個(gè)庫(kù)的行為將被視為異常行為。將異常活動(dòng)與異常閾值和特征比較，判斷入侵行為。異常閾值和特征的選擇是關(guān)鍵。但是，入侵活動(dòng)的特征并不總是與異常活動(dòng)的特征相符合，而是存在4種可能性：（1）是入侵行為，但不是異常行為。（2）不是入侵行為，但是表現(xiàn)為異常行為。（3）不是入侵行為，也不是異常行為。（4）是入侵行為，也表現(xiàn)為異常行為。常用的方法有基于數(shù)據(jù)挖掘的異常檢測(cè)方法、基于機(jī)器學(xué)習(xí)的異常檢測(cè)方法、基于特征不匹配的異常檢測(cè)方法。按分析方法分類按分析方法分類可分為異常入侵檢測(cè)系統(tǒng)和誤用入侵檢測(cè)系統(tǒng)（2）誤用入侵檢測(cè)系統(tǒng)依賴于入侵特征的模式庫(kù)，根據(jù)已知入侵攻擊的信息來(lái)檢測(cè)系統(tǒng)中的入侵和攻擊。誤用入侵檢測(cè)能直接檢測(cè)出入侵特征模式庫(kù)中已涵蓋的入侵行為或不可接受的行為。而異常入侵檢測(cè)則是發(fā)現(xiàn)同正常行為相違背的行為。誤用入侵檢測(cè)的主要對(duì)象是那些能夠被精確地按某種方式編碼的攻擊。通過(guò)捕獲攻擊及重新整理，可確認(rèn)入侵活動(dòng)是基于同一弱點(diǎn)進(jìn)行攻擊的入侵方法的變種。誤用入侵檢測(cè)系統(tǒng)的主要缺點(diǎn)是它只能檢測(cè)已知的攻擊行為，不能檢測(cè)未知的入侵行為。常用的方法有基于條件概率的誤用檢測(cè)、基于專家系統(tǒng)的誤用檢測(cè)、基于神經(jīng)網(wǎng)絡(luò)的誤用檢測(cè)。按檢測(cè)方式分類按檢測(cè)方式分為實(shí)時(shí)檢測(cè)系統(tǒng)和非實(shí)時(shí)檢測(cè)系統(tǒng)（1）實(shí)時(shí)檢測(cè)系統(tǒng)也稱為在線檢測(cè)系統(tǒng)，它通過(guò)實(shí)時(shí)監(jiān)測(cè)并分析網(wǎng)絡(luò)流量、主機(jī)審計(jì)記錄及各種日志信息來(lái)發(fā)現(xiàn)攻擊。它包含對(duì)實(shí)時(shí)網(wǎng)絡(luò)數(shù)據(jù)包的分析、實(shí)時(shí)主機(jī)審計(jì)分析。其工作過(guò)程是實(shí)時(shí)入侵檢測(cè)在網(wǎng)絡(luò)連接過(guò)程中進(jìn)行，系統(tǒng)根據(jù)用戶的歷史行為模型、存儲(chǔ)在計(jì)算機(jī)中的專家知識(shí)以及神經(jīng)網(wǎng)絡(luò)模型對(duì)用戶當(dāng)前的操作進(jìn)行判斷，一旦發(fā)現(xiàn)入侵跡象立即斷開(kāi)入侵者與主機(jī)的連接，并收集證據(jù)和實(shí)施數(shù)據(jù)恢復(fù)。這個(gè)檢測(cè)過(guò)程是不斷循環(huán)進(jìn)行的。在高速網(wǎng)絡(luò)中，檢測(cè)率難以令人滿意，但隨著計(jì)算機(jī)硬件速度的提高，對(duì)入侵攻擊進(jìn)行實(shí)時(shí)檢測(cè)和響應(yīng)成為可能。這種實(shí)時(shí)性是在一定的條件下，一定的系統(tǒng)規(guī)模中，具有的相對(duì)實(shí)時(shí)性。按檢測(cè)方式分類按檢測(cè)方式分為實(shí)時(shí)檢測(cè)系統(tǒng)和非實(shí)時(shí)檢測(cè)系統(tǒng)（2）非實(shí)時(shí)檢測(cè)系統(tǒng)也稱為離線檢測(cè)系統(tǒng)，是非實(shí)時(shí)工作的入侵檢測(cè)系統(tǒng)。它在入侵事件發(fā)生后分析審計(jì)事件，從中檢查入侵活動(dòng)。事后入侵檢測(cè)由網(wǎng)絡(luò)管理人員進(jìn)行，他們具有網(wǎng)絡(luò)安全的專業(yè)知識(shí)，根據(jù)計(jì)算機(jī)系統(tǒng)對(duì)用戶操作所做的歷史審計(jì)記錄判斷是否存在入侵行為。如果有，就斷開(kāi)連接，并記錄入侵證據(jù)和實(shí)施數(shù)據(jù)恢復(fù)。事后入侵檢測(cè)是管理員定期或不定期進(jìn)行的，不具有實(shí)時(shí)性。非實(shí)時(shí)的離線批處理方式雖然不能及時(shí)發(fā)現(xiàn)入侵攻擊，但它可以運(yùn)用復(fù)雜的分析方法發(fā)現(xiàn)某些實(shí)時(shí)方式不能發(fā)現(xiàn)的入侵攻擊，可以一次分析大量事件，系統(tǒng)的成本更低。按檢測(cè)結(jié)果分類按檢測(cè)結(jié)果分為二分類入侵檢測(cè)系統(tǒng)和多分類入侵檢測(cè)系統(tǒng)（1）二分類入侵檢測(cè)系統(tǒng)只提供是否發(fā)生入侵攻擊的結(jié)論性判斷，不能提供更多可讀的、有意義的信息，如具體的入侵行為。只輸出有入侵發(fā)生，而不報(bào)告具體的入侵類型。（2）多分類入侵檢測(cè)系統(tǒng)能夠分辨出當(dāng)前系統(tǒng)所遭受的入侵攻擊的具體類型，輸出的不僅僅是有無(wú)入侵發(fā)生，還會(huì)報(bào)告具體的入侵類型，以便于安全員快速采取合適的應(yīng)對(duì)措施。按響應(yīng)方式分類按響應(yīng)方式分為主動(dòng)的入侵檢測(cè)系統(tǒng)和被動(dòng)的入侵檢測(cè)系統(tǒng)。（1）主動(dòng)的入侵檢測(cè)系統(tǒng)主動(dòng)的入侵檢測(cè)系統(tǒng)在檢測(cè)出入侵行為后，可自動(dòng)地對(duì)目標(biāo)系統(tǒng)中的漏洞采取修補(bǔ)、強(qiáng)制可疑用戶（可疑的入侵者）退出系統(tǒng)以及關(guān)閉相關(guān)服務(wù)等對(duì)策和響應(yīng)措施。（2）被動(dòng)的入侵檢測(cè)系統(tǒng)被動(dòng)的入侵檢測(cè)系統(tǒng)在檢測(cè)出對(duì)系統(tǒng)的入侵攻擊后產(chǎn)生報(bào)警信息通知系統(tǒng)安全管理員，之后的處理工作則由系統(tǒng)管理員來(lái)完成。按分布方式分為集中式入侵檢測(cè)系統(tǒng)和分布式入侵檢測(cè)系統(tǒng)。（1）集中式入侵檢測(cè)系統(tǒng)系統(tǒng)的各個(gè)模塊包括數(shù)據(jù)的收集與分析以及響應(yīng)都集中在一臺(tái)主機(jī)上運(yùn)行，把分析結(jié)果輸出或通知管理員。適用于網(wǎng)絡(luò)環(huán)境比較簡(jiǎn)單的情況。（2）分布式入侵檢測(cè)系統(tǒng)系統(tǒng)由多個(gè)模塊組成，各模塊分布在網(wǎng)絡(luò)中不同的設(shè)備上，完成數(shù)據(jù)的收集、數(shù)據(jù)分析、控制輸出分析結(jié)果等功能。一般來(lái)說(shuō)分布性主要體現(xiàn)在數(shù)據(jù)收集模塊上，如果網(wǎng)絡(luò)環(huán)境比較復(fù)雜、數(shù)據(jù)量比較大，那么數(shù)據(jù)分析模塊也會(huì)分布，一般是按照層次性的原則進(jìn)行組織的。按分布方式分類入侵檢測(cè)系統(tǒng)的體系架構(gòu)2.4入侵檢測(cè)系統(tǒng)的體系架構(gòu)CIDF的體系結(jié)構(gòu)文檔將一個(gè)入侵檢測(cè)系統(tǒng)分為四個(gè)相對(duì)獨(dú)立的組件:（1）事件產(chǎn)生器：負(fù)責(zé)原始數(shù)據(jù)采集，從系統(tǒng)的不同環(huán)節(jié)收集信息，并將收集到的原始數(shù)據(jù)轉(zhuǎn)換成事件，向系統(tǒng)的其他部分提供此事件。（2）事件分析器：接收事件信息，并對(duì)其進(jìn)行分析，判斷是否為入侵行為或異?，F(xiàn)象，之后將判斷的結(jié)果轉(zhuǎn)變?yōu)楦婢畔ⅰ７治龇椒ㄓ心Ｊ狡ヅ?、統(tǒng)計(jì)分析、完整性分析3種。（3）事件數(shù)據(jù)庫(kù)：存放中間數(shù)據(jù)和最終數(shù)據(jù)的地方。（4）響應(yīng)單元：根據(jù)告警信息做出反應(yīng)。入侵檢測(cè)系統(tǒng)的工作模式無(wú)論是什么類型的入侵檢測(cè)系統(tǒng)，其工作模式都可以總結(jié)為以下4個(gè)步驟：（1）從系統(tǒng)的不同環(huán)節(jié)收集信息。（2）分析該信息，試圖尋找入侵活動(dòng)的特征。（3）自動(dòng)對(duì)檢測(cè)到的行為進(jìn)行響應(yīng)。（4）記錄并且報(bào)告檢測(cè)過(guò)程和結(jié)果。入侵檢測(cè)系統(tǒng)的功能結(jié)構(gòu)一個(gè)典型的入侵檢測(cè)系統(tǒng)從功能上分為感應(yīng)器、分析器、管理器3個(gè)部分感應(yīng)器：收集信息分析器：分析信息管理器：展示分析結(jié)果入侵檢測(cè)與防御的流程2.5入侵檢測(cè)與防御的流程入侵檢測(cè)與防御技術(shù)的核心問(wèn)題就是如何獲取描述行為特征的數(shù)據(jù)，如何利用特征數(shù)據(jù)精確地判斷行為的性質(zhì)以及如何按照預(yù)定策略實(shí)施響應(yīng)。入侵檢測(cè)與防御的流程可以分為信息收集、信息分析和告警與響應(yīng)3個(gè)階段。（1）信息收集階段從入侵檢測(cè)系統(tǒng)的信息源中收集信息，包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)以及用戶活動(dòng)的狀態(tài)和行為等。信息的可靠性和準(zhǔn)確性直接影響檢測(cè)結(jié)果。（2）信息分析階段分析從信息源中收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等信息，找到表示入侵行為的異常信息。入侵檢測(cè)的分析方法包括模式匹配、統(tǒng)計(jì)分析、完整性分析等。（3）告警與響應(yīng)階段：根據(jù)檢測(cè)到的攻擊企圖或事件的類型或性質(zhì)，選擇通知管理員，或者采取相應(yīng)的響應(yīng)措施阻止入侵行為的繼續(xù)。信息收集階段信息收集，即從入侵檢測(cè)系統(tǒng)的信息源中收集信息，這些信息是能反映受保護(hù)系統(tǒng)運(yùn)行狀態(tài)的原始數(shù)據(jù)，包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)以及用戶活動(dòng)的狀態(tài)和行為等，以便為后續(xù)的入侵分析提供安全審計(jì)數(shù)據(jù)。在進(jìn)行信息收集時(shí)，需要在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的不同關(guān)鍵點(diǎn)（不同網(wǎng)段、不同主機(jī)）收集。信息收集的范圍越廣，入侵檢測(cè)系統(tǒng)的檢測(cè)范圍越大。從一個(gè)信息源收集到的信息可能看不出疑點(diǎn)，但從幾個(gè)信息源收集到的信息的不一致性卻可能是可疑行為或入侵的最好標(biāo)志。信息收集階段信息收集獲取的原始數(shù)據(jù)可能非常龐大，并存在雜亂性、重復(fù)性和不完整性等問(wèn)題。（1）雜亂性是指各個(gè)代理服務(wù)器的審計(jì)機(jī)制的配置并不完全相同，所產(chǎn)生的審計(jì)日志信息存在一些差異，所以有些數(shù)據(jù)就顯得雜亂無(wú)章。（2）重復(fù)性是指對(duì)于同一個(gè)客觀事物，系統(tǒng)中存在多個(gè)物理描述。（3）不完整性是指由于實(shí)際系統(tǒng)存在的缺陷以及一些人為因素，造成數(shù)據(jù)記錄中出現(xiàn)數(shù)據(jù)屬性的值丟失或不確定的情況。數(shù)據(jù)源的可靠性數(shù)據(jù)質(zhì)量、數(shù)據(jù)數(shù)量和數(shù)據(jù)預(yù)處理的效率都會(huì)直接影響IDS的檢測(cè)性能，所以信息收集是整個(gè)IDS的基礎(chǔ)工作。在獲得原始數(shù)據(jù)之后，還需要通過(guò)數(shù)據(jù)集成、數(shù)據(jù)清洗、數(shù)據(jù)簡(jiǎn)化等幾個(gè)方面對(duì)原始數(shù)據(jù)進(jìn)行預(yù)處理。信息收集階段典型的數(shù)據(jù)獲取系統(tǒng)：AAFID，采用主機(jī)分布式檢測(cè)框架數(shù)據(jù)獲取系統(tǒng)的結(jié)構(gòu)圖信息收集階段數(shù)據(jù)的預(yù)處理入侵檢測(cè)系統(tǒng)分析數(shù)據(jù)的來(lái)源與數(shù)據(jù)結(jié)構(gòu)的異構(gòu)性，實(shí)際系統(tǒng)所提供數(shù)據(jù)的不完全相關(guān)性、冗余性、概念上的模糊性以及海量審計(jì)數(shù)據(jù)中可能存在大量的無(wú)意義信息等問(wèn)題，使得系統(tǒng)提供的原始信息很難直接被檢測(cè)系統(tǒng)使用，而且還可能造成檢測(cè)結(jié)果的偏差，降低系統(tǒng)的檢測(cè)性能。在被檢測(cè)模塊使用之前，如何對(duì)不理想的原始數(shù)據(jù)進(jìn)行有效的歸納、進(jìn)行格式統(tǒng)一、轉(zhuǎn)換和處理，是網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)需要研究的關(guān)鍵問(wèn)題之一。信息收集階段通常數(shù)據(jù)預(yù)處理應(yīng)包括的功能：數(shù)據(jù)集成、數(shù)據(jù)清理、數(shù)據(jù)變換、數(shù)據(jù)簡(jiǎn)化、數(shù)據(jù)融合。信息收集階段入侵檢測(cè)系統(tǒng)的信息源可以包括以下方面：（1）基于主機(jī)數(shù)據(jù)源（2）基于網(wǎng)絡(luò)數(shù)據(jù)源（3）應(yīng)用程序日志文件（4）其他入侵檢測(cè)系統(tǒng)的報(bào)警信息（5）其它網(wǎng)絡(luò)設(shè)備和安全產(chǎn)品的信息基于主機(jī)的數(shù)據(jù)源審計(jì)數(shù)據(jù)是收集一個(gè)給定機(jī)器用戶活動(dòng)信息的唯一方法。系統(tǒng)的審計(jì)數(shù)據(jù)很可能被修改，所以要求滿足實(shí)時(shí)性條件：檢測(cè)者必須在攻擊者接管并暗中破壞系統(tǒng)審計(jì)數(shù)據(jù)或入侵檢測(cè)系統(tǒng)之前完成對(duì)審計(jì)數(shù)據(jù)的分析、采取報(bào)警等相應(yīng)的措施?；谥鳈C(jī)的數(shù)據(jù)源主要包括：系統(tǒng)運(yùn)行狀態(tài)信息：可利用系統(tǒng)命令獲得，但因無(wú)法以結(jié)構(gòu)化的方式收集或存儲(chǔ)信息，很難滿足IDS連續(xù)收集數(shù)據(jù)的要求。系統(tǒng)記賬信息：是通用性的信息源，有記錄格式一致、壓縮以節(jié)省空間、開(kāi)銷(xiāo)小、易集成等優(yōu)點(diǎn)，但也有空間達(dá)到90%自動(dòng)停止、缺乏精確的時(shí)間戳、缺乏精確的命令識(shí)別（只記錄命令的前8個(gè)字符）、缺乏活動(dòng)記錄（只記錄運(yùn)行終止的信息）、獲取信息的時(shí)間太遲等缺點(diǎn)，導(dǎo)致其不能可靠地作為IDS的數(shù)據(jù)源，一般只作為審計(jì)數(shù)據(jù)的一個(gè)補(bǔ)充?；谥鳈C(jī)數(shù)據(jù)源基于主機(jī)的數(shù)據(jù)源主要包括：系統(tǒng)日志：易用但不安全，只有少數(shù)IDS常用。C2級(jí)安全審計(jì)信息：記錄了所有潛在的安全相關(guān)事件的信息是唯一能對(duì)系統(tǒng)活動(dòng)信息進(jìn)行可靠收集的機(jī)制，是大多數(shù)IDS的主要信息源。優(yōu)點(diǎn)：可對(duì)用戶進(jìn)行驗(yàn)證、可通過(guò)配置審計(jì)系統(tǒng)實(shí)現(xiàn)審計(jì)事件的分類、可根據(jù)用戶/類別/審計(jì)事件/系統(tǒng)調(diào)用的成功和失敗獲取詳細(xì)的參數(shù)化信息。缺點(diǎn)：詳細(xì)監(jiān)控時(shí)耗費(fèi)大量系統(tǒng)資源、通過(guò)填充磁盤(pán)空間可造成DOS攻擊、異構(gòu)環(huán)境獲得的審計(jì)數(shù)據(jù)量大且復(fù)雜?；诰W(wǎng)絡(luò)的數(shù)據(jù)源商業(yè)入侵檢測(cè)產(chǎn)品中，最常見(jiàn)的是基于網(wǎng)絡(luò)的數(shù)據(jù)源?；诰W(wǎng)絡(luò)的入侵檢測(cè)方法：需要從網(wǎng)絡(luò)上傳輸?shù)木W(wǎng)絡(luò)通信流中采集信息?；诰W(wǎng)絡(luò)的數(shù)據(jù)源的優(yōu)勢(shì)：通過(guò)網(wǎng)絡(luò)監(jiān)控獲得信息的性能代價(jià)低，不影響網(wǎng)絡(luò)上運(yùn)行的其他系統(tǒng)的性能。網(wǎng)絡(luò)監(jiān)控器對(duì)用戶是透明的，攻擊者難以發(fā)現(xiàn)。網(wǎng)絡(luò)監(jiān)控器可以發(fā)現(xiàn)一些不易被發(fā)現(xiàn)的攻擊的證據(jù)，如基于非法格式包和各種拒絕服務(wù)攻擊的網(wǎng)絡(luò)攻擊等?；诰W(wǎng)絡(luò)的數(shù)據(jù)源兩種基于網(wǎng)絡(luò)的數(shù)據(jù)源：SNMP信息網(wǎng)絡(luò)通信包將網(wǎng)絡(luò)通信包作為入侵檢測(cè)系統(tǒng)的分析數(shù)據(jù)源，可以解決以下安全相關(guān)的問(wèn)題。（1）檢測(cè)只能通過(guò)分析網(wǎng)絡(luò)業(yè)務(wù)才能檢測(cè)出的網(wǎng)絡(luò)攻擊，如拒絕服務(wù)攻擊。（2）不存在HIDS在網(wǎng)絡(luò)環(huán)境下遇到的審計(jì)記錄格式的異構(gòu)性問(wèn)題，因?yàn)镮T網(wǎng)絡(luò)的協(xié)議基本采用標(biāo)準(zhǔn)的TCP/IP。（3）由于使用專門(mén)的設(shè)備進(jìn)行信息收集和分析，不會(huì)影響網(wǎng)絡(luò)的性能。（4）某些工具可通過(guò)簽名分析報(bào)文的頭信息來(lái)檢測(cè)針對(duì)主機(jī)的攻擊。這種方法也存在一些典型的弱點(diǎn):（1）報(bào)文信息和發(fā)出命令的用戶之間沒(méi)有可靠的聯(lián)系，因此很難確定入侵者。（2）若使用了加密技術(shù)，這些檢測(cè)工具將會(huì)失去大量有用的信息。應(yīng)用程序日志文件系統(tǒng)應(yīng)用服務(wù)器化，使得應(yīng)用程序日志文件更加重要。優(yōu)勢(shì)精確性（Accuracy）:直接從應(yīng)用日志中提取信息，可以保證入侵檢測(cè)系統(tǒng)獲取安全信息的準(zhǔn)確性。完整性（Completeness）:應(yīng)用程序的日志文件包含所有的相關(guān)信息，還能提供審計(jì)記錄或網(wǎng)絡(luò)包中沒(méi)有的內(nèi)部數(shù)據(jù)信息。性能（Performance）:通過(guò)應(yīng)用程序選擇與安全相關(guān)的信息，使得系統(tǒng)的信息收集機(jī)制的開(kāi)銷(xiāo)遠(yuǎn)小于安全審計(jì)記錄的情況。缺點(diǎn)只要系統(tǒng)能正常寫(xiě)應(yīng)用程序日志才能檢測(cè)出攻擊行為無(wú)法檢測(cè)不利用應(yīng)用程序代碼的攻擊行為其他入侵檢測(cè)系統(tǒng)的報(bào)警信息其他IDS的報(bào)警信息也是重要的數(shù)據(jù)來(lái)源IDS從針對(duì)主機(jī)發(fā)展為針對(duì)網(wǎng)絡(luò)、分布式系統(tǒng)基于網(wǎng)絡(luò)、分布式環(huán)境的檢測(cè)系統(tǒng)采用分層結(jié)構(gòu)以覆蓋較大的范圍。局部入侵檢測(cè)系統(tǒng)（如傳統(tǒng)的基于主機(jī)的入侵檢測(cè)系統(tǒng)）進(jìn)行局部的檢測(cè)，然后把局部檢測(cè)結(jié)果匯報(bào)給上層的檢測(cè)系統(tǒng)，各局部入侵檢測(cè)系統(tǒng)也可參考其他局部入侵檢測(cè)系統(tǒng)的結(jié)果，以彌補(bǔ)不同檢測(cè)機(jī)制的入侵檢測(cè)系統(tǒng)的不足。其它設(shè)備網(wǎng)絡(luò)設(shè)備大多具有完善的關(guān)于設(shè)備的性能、使用統(tǒng)計(jì)資料的日志信息，如交換機(jī)、路由器、網(wǎng)絡(luò)管理系統(tǒng)等，幫助判斷已探測(cè)出的問(wèn)題是與安全相關(guān)的還是與系統(tǒng)其它方面原因相關(guān)。安全產(chǎn)品大多能夠產(chǎn)出自己的與安全相關(guān)的活動(dòng)日志，如防火墻、安全掃描系統(tǒng)、訪問(wèn)控制系統(tǒng)等，日志包含信息。信息分析階段信息分析是入侵檢測(cè)行為過(guò)程中的核心環(huán)節(jié)，沒(méi)有信息分析就沒(méi)有入侵檢測(cè)。入侵檢測(cè)分析引擎也稱為入侵檢測(cè)模型，是IDS的核心模塊，負(fù)責(zé)對(duì)信息收集階段提交的數(shù)據(jù)進(jìn)行分析。從入侵檢測(cè)的角度來(lái)說(shuō)，信息分析是指針對(duì)用戶和系統(tǒng)活動(dòng)數(shù)據(jù)進(jìn)行有效的組織、整理并提取特征，以發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中違反安全策略的行為和被攻擊的跡象。信息分析可以實(shí)時(shí)進(jìn)行，也可以事后分析。在很多情況下，事后的進(jìn)一步分析是為了尋找行為的負(fù)責(zé)人。信息分析階段信息分析的主要目的是提高信息系統(tǒng)的安全性。除了檢測(cè)入侵行為，還要達(dá)到以下目標(biāo)：（1）威懾攻擊者：目標(biāo)系統(tǒng)使用IDS進(jìn)行入侵分析對(duì)入侵者具有很大的威懾力，因?yàn)槠涔粜袨榭赡軙?huì)被發(fā)現(xiàn)或被追蹤。（2）安全規(guī)劃和管理：入侵分析可能會(huì)發(fā)現(xiàn)在系統(tǒng)安全規(guī)劃和管理中存在的漏洞，安全管理員可以根據(jù)分析結(jié)果對(duì)系統(tǒng)進(jìn)行重新配置，避免被攻擊者用來(lái)竊取信息或破壞系統(tǒng)。（3）獲取入侵證據(jù)：入侵分析可以提供有關(guān)入侵行為詳細(xì)、可信的證據(jù)，用于追究入侵者的責(zé)任。信息分析階段入侵分析應(yīng)考慮的因素（1）需求：入侵檢測(cè)系統(tǒng)支持可說(shuō)明性和實(shí)時(shí)檢測(cè)和響應(yīng)兩個(gè)需求可說(shuō)明性指連接一個(gè)活動(dòng)與人或負(fù)責(zé)它的實(shí)體的能力，要求一致、可靠地識(shí)別和鑒別系統(tǒng)中的每個(gè)用戶。實(shí)時(shí)檢測(cè)和響應(yīng)包括快速識(shí)別與攻擊相關(guān)的事件鏈，阻斷攻擊或隱蔽系統(tǒng)，以避免攻擊者的影響。（2）入侵分析的子目標(biāo)：包括保留系統(tǒng)執(zhí)行的情況、識(shí)別影響性能的問(wèn)題、歸檔和保護(hù)時(shí)間日志的完整性等。（3）目標(biāo)劃分：目標(biāo)和要求應(yīng)按照優(yōu)先順序區(qū)分開(kāi)，這決定了子系統(tǒng)的結(jié)構(gòu)。（4）平衡：在系統(tǒng)的需求與目標(biāo)有沖突時(shí)進(jìn)行適當(dāng)?shù)钠胶?。信息分析階段分析是入侵檢測(cè)的核心功能，可以很簡(jiǎn)單（如根據(jù)日志建立決策表），也可以很復(fù)雜（如集成數(shù)百萬(wàn)個(gè)非參數(shù)的統(tǒng)計(jì)量）。入侵分析模型包含了能在系統(tǒng)事件日志中找到入侵證據(jù)的所有方法，它把入侵分析過(guò)程分為3個(gè)階段：構(gòu)建分析器：即構(gòu)建分析引擎，負(fù)責(zé)執(zhí)行預(yù)處理、分類和后處理的核心功能。分析數(shù)據(jù)：分析現(xiàn)場(chǎng)實(shí)際數(shù)據(jù)，識(shí)別入侵和其他重要活動(dòng)。反饋和更新：如更新攻擊特征數(shù)據(jù)庫(kù)前兩個(gè)階段都包含三個(gè)功能，即數(shù)據(jù)處理、數(shù)據(jù)分類（數(shù)據(jù)可分為入侵指示、非入侵指示或不確定）和后處理。信息分析階段1.構(gòu)建分析器（1）收集事件信息：收集一個(gè)系統(tǒng)或?qū)嶒?yàn)環(huán)境的事件信息。（2）預(yù)處理信息：將收集的事件信息進(jìn)行轉(zhuǎn)換，以備分析引擎使用。誤用檢測(cè)中包括轉(zhuǎn)換表格中的事件信息，異常檢測(cè)中將事件數(shù)據(jù)轉(zhuǎn)換成數(shù)據(jù)表或規(guī)范的表格。（3）建立行為分析引擎：按設(shè)計(jì)原則建立一個(gè)數(shù)據(jù)區(qū)分器，此區(qū)分器能把入侵指示數(shù)據(jù)和非入侵指示數(shù)據(jù)分開(kāi)。誤用檢測(cè)在規(guī)則或其他模式描繪的行為上建立數(shù)據(jù)區(qū)分引擎，異常檢測(cè)由用戶過(guò)去行為的統(tǒng)計(jì)特征輪廓建立。（4）將預(yù)處理過(guò)的事件數(shù)據(jù)輸入分析引擎中：誤用檢測(cè)將收集到的有意義的攻擊數(shù)據(jù)輸入到分析引擎，異常檢測(cè)通過(guò)運(yùn)行異常檢測(cè)器，輸入收集到的數(shù)據(jù)，基于這些數(shù)據(jù)計(jì)算用戶輪廓。（5）保存已輸入數(shù)據(jù)模型：將輸入數(shù)據(jù)模型存儲(chǔ)到預(yù)定的位置信息分析階段2.分析數(shù)據(jù)在對(duì)實(shí)際數(shù)據(jù)分析階段，分析器需要分析現(xiàn)場(chǎng)實(shí)際數(shù)據(jù)，識(shí)別入侵和其他重要活動(dòng)。（1）輸入事件記錄：收集可靠的信息源產(chǎn)生的事件記錄。（2）事件預(yù)處理：誤用檢測(cè)中事件數(shù)據(jù)通常都轉(zhuǎn)化成對(duì)應(yīng)于攻擊信號(hào)的表格，異常檢測(cè)中事件數(shù)據(jù)通常被精簡(jiǎn)成一個(gè)輪廓向量。（3）比較事件記錄和知識(shí)庫(kù)：對(duì)格式化的事件記錄和知識(shí)庫(kù)的內(nèi)容進(jìn)行比較，進(jìn)行判定處理。（4）產(chǎn)生響應(yīng)：若事件記錄是入侵或其它重要行為的返回一個(gè)響應(yīng)。響應(yīng)可以是警報(bào)、日志或其他指定的行為。信息分析階段3.反饋和更新（1）反饋和更新是一個(gè)非常重要的過(guò)程。這個(gè)階段的功能：根據(jù)每天出現(xiàn)的新攻擊方式更新攻擊信息的特征數(shù)據(jù)庫(kù)。（2）反饋時(shí)間間隔：大多數(shù)基于誤用檢測(cè)分析方案都有一些關(guān)于最大時(shí)間間隔的主張，以便在這段時(shí)間內(nèi)匹配一次攻擊事件。異常檢測(cè)系統(tǒng)中，依靠執(zhí)行異常檢測(cè)的類型定時(shí)更新歷史統(tǒng)計(jì)特征輪廓，將每個(gè)用戶的摘要資料加入知識(shí)庫(kù)中，并且刪除最老的資料。信息分析階段入侵檢測(cè)的分析方法：（1）誤用檢測(cè)（2）異常檢測(cè)（3）基于狀態(tài)的協(xié)議分析技術(shù)（4）其他檢測(cè)方法信息分析方法1.誤用檢測(cè)（1）誤用入侵檢測(cè)原理：根據(jù)已知的入侵模式來(lái)檢測(cè)入侵，如果入侵者的攻擊方式與檢測(cè)系統(tǒng)中的模式庫(kù)匹配，則認(rèn)為入侵發(fā)生。依賴于模式庫(kù)（2）誤用入侵檢測(cè)的局限性：僅適用于已知使用模式的可靠檢測(cè)，只能檢測(cè)到已知的入侵方式。信息分析方法誤用檢測(cè)的主要方法（1）模式匹配方法是最基本的誤用入侵檢測(cè)方法，該方法將已知的入侵特征轉(zhuǎn)換成模式，存放于模式數(shù)據(jù)庫(kù)中模式匹配模型將發(fā)送的事件與入侵模式庫(kù)中的入侵模式進(jìn)行匹配，如果匹配成功，則認(rèn)為有入侵行為發(fā)生。（2）專家系統(tǒng)方法是最傳統(tǒng)、最通用的誤用入侵檢測(cè)方法。通過(guò)利用專家系統(tǒng)內(nèi)大量豐富的專家水平的經(jīng)驗(yàn)和知識(shí)（if-then規(guī)則），分析發(fā)生事件是否是入侵行為。缺點(diǎn)：不適于處理大批量數(shù)據(jù)；不能對(duì)連續(xù)有序的數(shù)據(jù)進(jìn)行處理；不能處理不確定性（3）狀態(tài)轉(zhuǎn)換方法使用系統(tǒng)狀態(tài)和狀態(tài)轉(zhuǎn)換表達(dá)式來(lái)描述和檢測(cè)已知入侵。主要方法有狀態(tài)轉(zhuǎn)換分析和有色Petri網(wǎng)誤用檢測(cè)的主要方法狀態(tài)轉(zhuǎn)換分析使用高級(jí)狀態(tài)轉(zhuǎn)換圖表分析和檢測(cè)已知的入侵攻擊方式入侵由系統(tǒng)初始狀態(tài)到入侵狀態(tài)的一系列動(dòng)作組成通過(guò)用戶動(dòng)作實(shí)現(xiàn)系統(tǒng)狀態(tài)的轉(zhuǎn)換入侵可通過(guò)系統(tǒng)狀態(tài)的變化進(jìn)行檢測(cè)誤用檢測(cè)的主要方法有色Petri網(wǎng)（ColouredPetriNets，簡(jiǎn)稱CP-Nets或者CPNs）CP-Nets是描述事件與條件關(guān)系的網(wǎng)絡(luò)，是一種用于建模和驗(yàn)證并發(fā)和分布式系統(tǒng)以及其他系統(tǒng)的語(yǔ)言。任何系統(tǒng)都可抽象為狀態(tài)、活動(dòng)（或事件）及其之間關(guān)系的三元組。Petri網(wǎng)結(jié)構(gòu)是一個(gè)三元組N=(P,T,F)，其中P為位置，表示系統(tǒng)狀態(tài)；T為遷移，表示資源的消耗、使用及使系統(tǒng)產(chǎn)生變化的活動(dòng)；F為流關(guān)系，表示位置和遷移之間的依賴關(guān)系?？捎肅P-Net的變種表示和檢測(cè)入侵模式：一個(gè)入侵為一個(gè)CP-Net，通過(guò)令牌顏色來(lái)模擬事件上下文，通過(guò)從起始狀態(tài)到結(jié)束狀態(tài)逐步移動(dòng)令牌來(lái)表示一個(gè)入侵，當(dāng)模式匹配時(shí)，指定的動(dòng)作被執(zhí)行。入侵可通過(guò)模式匹配構(gòu)成攻擊的特征進(jìn)行檢測(cè)每個(gè)入侵信號(hào)表示為代表事件和其上下文關(guān)系的一種模式誤用檢測(cè)的主要方法有色Petri網(wǎng)（ColouredPetriNets，簡(jiǎn)稱CP-Nets或者CPNs）TCP連接的CP-Net信息分析方法2.異常檢測(cè)異常檢測(cè)的前提假設(shè)：用戶表現(xiàn)為可預(yù)測(cè)的、一致的系統(tǒng)使用模式。異常檢測(cè)需要建立正常系統(tǒng)或用戶行為特征輪廓，將實(shí)際系統(tǒng)或用戶行為和這些輪廓進(jìn)行比較，來(lái)檢測(cè)入侵行為。異常檢測(cè)模型異常檢測(cè)異常判斷結(jié)果（1）入侵性而非異常：活動(dòng)具有入侵性卻因?yàn)椴皇钱惓６鴮?dǎo)致不能檢測(cè)，IDS不報(bào)告入侵，發(fā)生漏檢現(xiàn)象。（2）非入侵性而卻異常：活動(dòng)不具有入侵性，但因?yàn)樗钱惓５?，IDS報(bào)告入侵，發(fā)生誤報(bào)現(xiàn)象。（3）非入侵也非異常：活動(dòng)不具有入侵性，因此IDS沒(méi)有將活動(dòng)報(bào)告為入侵，這屬于正確判斷。（4）入侵且異常：活動(dòng)具有入侵性，且活動(dòng)是異常的，I因此DS將其報(bào)告為入侵。異常檢測(cè)異常檢測(cè)的方法：Denning的原始模型量化分析統(tǒng)計(jì)度量非統(tǒng)計(jì)度量基于規(guī)則的方法神經(jīng)網(wǎng)絡(luò)Denning的原始模型IDES模型主張?jiān)谝粋€(gè)系統(tǒng)中包括4個(gè)統(tǒng)計(jì)模型，每個(gè)模型適合于一個(gè)特定類型的系統(tǒng)度量。（1）可操作模型：將度量和閾值比較，在度量超過(guò)閾值時(shí)觸發(fā)異常。（2）平均和標(biāo)準(zhǔn)偏差模型：假定所有的分析器知道系統(tǒng)行為度量是平均和標(biāo)準(zhǔn)偏差，將觀察落在信任間隔之外的行為定義為異常。（3）多變量模型：多變量模型是對(duì)平均和標(biāo)準(zhǔn)偏差模型的一個(gè)擴(kuò)展，是基于兩個(gè)或多個(gè)度量來(lái)執(zhí)行的。（4）Markov處理模型：檢測(cè)器把不同類型的審計(jì)事件作為一個(gè)狀態(tài)變量，并且使用一個(gè)狀態(tài)轉(zhuǎn)換矩陣來(lái)描述在不同狀態(tài)間的轉(zhuǎn)換頻率。量化分析量化分析采用計(jì)算形式進(jìn)行分析，檢測(cè)規(guī)則和屬性以數(shù)值形式表述。常見(jiàn)的量化分析形勢(shì)如下：（1）閾值檢測(cè)：根據(jù)屬性計(jì)數(shù)描述用戶和系統(tǒng)行為，這些計(jì)數(shù)是有許可級(jí)別的。（2）啟發(fā)式閾值檢測(cè)：在簡(jiǎn)單閾值檢測(cè)的基礎(chǔ)上進(jìn)一步分析觀察。（3）基于目標(biāo)的集成檢測(cè)：使用消息函數(shù)計(jì)算可疑客體的加密校驗(yàn)和，將結(jié)果保存，系統(tǒng)定期重新計(jì)算校驗(yàn)和，并與存儲(chǔ)的參考值比較。（4）量化分析和數(shù)據(jù)精簡(jiǎn)：使用量化分析從龐大的時(shí)間信息中刪除過(guò)?；蛉哂嘈畔ⅰ＝y(tǒng)計(jì)度量（1）IDES/NIDES：應(yīng)用統(tǒng)計(jì)分析技術(shù)為每個(gè)用戶和系統(tǒng)建立和維護(hù)歷史統(tǒng)計(jì)特征輪廓。（2）Haystack：通過(guò)分析用戶會(huì)話與已建立的入侵類型的相似度和使用互補(bǔ)統(tǒng)計(jì)方法檢測(cè)用戶會(huì)話活動(dòng)與正常用戶會(huì)話特征輪廓之間的偏差，統(tǒng)計(jì)異常檢測(cè)。（3）統(tǒng)計(jì)分析：用戶行為的變化必須在相應(yīng)的度量上產(chǎn)生一個(gè)經(jīng)常的、顯著地變化以便統(tǒng)計(jì)分析檢測(cè)。非統(tǒng)計(jì)度量（1）檢測(cè)原理：系統(tǒng)使用非統(tǒng)計(jì)度量可以容納可預(yù)測(cè)性比較低的行為，并且可以引入在參數(shù)分析中無(wú)法引入的系統(tǒng)屬性。（2）非統(tǒng)計(jì)度量的優(yōu)點(diǎn)：可根據(jù)實(shí)驗(yàn)結(jié)果對(duì)相似操作系統(tǒng)操作分組?？梢跃?jiǎn)事件數(shù)據(jù)。基于規(guī)則的方法（1）WisdomandSenseW&S能在多種系統(tǒng)平臺(tái)上運(yùn)行并能在操作系統(tǒng)和應(yīng)用級(jí)描述活動(dòng)，其使用兩種移植規(guī)則庫(kù)的方法：手工輸入它們（反映一個(gè)策略陳述）和從歷史審計(jì)記錄中產(chǎn)生它們。（2）TIMTIM使用一個(gè)引導(dǎo)方法動(dòng)態(tài)產(chǎn)生定義入侵的規(guī)則，與其他異常監(jiān)測(cè)系統(tǒng)不同，TIM在時(shí)間順序中查找模式，而不是在單個(gè)事件中查找模式。神經(jīng)網(wǎng)絡(luò)（1）神經(jīng)網(wǎng)絡(luò)的構(gòu)成：神經(jīng)網(wǎng)絡(luò)由許多簡(jiǎn)單處理元素單元組成，這些單元通過(guò)使用加權(quán)的連接相互作用，神經(jīng)網(wǎng)絡(luò)使用可適應(yīng)學(xué)習(xí)技術(shù)來(lái)描述異常行為。（2）神經(jīng)網(wǎng)絡(luò)的處理涉及兩個(gè)階段：將代表用戶行為的歷史或其他樣本數(shù)據(jù)集移入網(wǎng)絡(luò)。網(wǎng)絡(luò)接受事件數(shù)據(jù)并與歷史行為參數(shù)比較，判斷之間的相似處和不同處。信息分析方法3.協(xié)議分析（1）模式匹配技術(shù)特征檢測(cè)的傳統(tǒng)方法是模式匹配技術(shù)，其基本原理是將發(fā)生的事件模式與特征庫(kù)中的模式匹配分析。工作過(guò)程

從網(wǎng)絡(luò)數(shù)據(jù)包的包頭開(kāi)始和攻擊特征比較；如果比較結(jié)果相同，則檢測(cè)到一個(gè)可能的攻擊；如果比較結(jié)果不同，從網(wǎng)絡(luò)數(shù)據(jù)包中下一個(gè)位置重新開(kāi)始比較；直到檢測(cè)到攻擊或網(wǎng)絡(luò)數(shù)據(jù)包中的所有字節(jié)匹配完畢，一個(gè)攻擊特征匹配結(jié)束。對(duì)于每一個(gè)攻擊特征，重復(fù)1到4步的操作。直到每一個(gè)攻擊特征匹配完畢，對(duì)給定數(shù)據(jù)包的匹配完畢。缺點(diǎn)：計(jì)算量大，只能檢測(cè)特定類型的攻擊，對(duì)攻擊特征的微小變形都會(huì)使檢測(cè)失敗，攻擊特征庫(kù)必須足夠龐大。協(xié)議分析（2）協(xié)議分析技術(shù)網(wǎng)絡(luò)通信協(xié)議是一個(gè)高度格式化的、具有明確含義和取值的數(shù)據(jù)流，把協(xié)議分析和模式匹配方法結(jié)合起來(lái)，可以獲得更好的效率、更精確的結(jié)果。協(xié)議分析技術(shù)是新一代IDS/IPS探測(cè)攻擊手法的主要技術(shù)，它利用網(wǎng)絡(luò)協(xié)議高度的規(guī)則性可以精確定位檢測(cè)域，分析攻擊特征，有針對(duì)性地使用詳細(xì)具體的檢測(cè)手段，提高檢測(cè)的全面性、準(zhǔn)確性和效率。協(xié)議分析需要根據(jù)其所屬協(xié)議的類型，將數(shù)據(jù)包進(jìn)行解碼后再進(jìn)行分析。相對(duì)于模式匹配技術(shù)，它更準(zhǔn)確、分析速度更快。協(xié)議分析技術(shù)根據(jù)協(xié)議精確定位檢測(cè)域，分析攻擊特征，有針對(duì)性地使用詳細(xì)具體的檢測(cè)手段，提高檢測(cè)的全面性、準(zhǔn)確性和效率。協(xié)議分析的功能是辨別數(shù)據(jù)包的協(xié)議類型，以便使用相應(yīng)的數(shù)據(jù)分析程序來(lái)檢測(cè)數(shù)據(jù)包?？砂阉袇f(xié)議看成一棵協(xié)議樹(shù)，一個(gè)特定的協(xié)議是該樹(shù)結(jié)構(gòu)中的一個(gè)結(jié)點(diǎn)，可用一棵二叉樹(shù)來(lái)表示。一個(gè)網(wǎng)絡(luò)數(shù)據(jù)包的分析就是一條從根到某個(gè)葉子的路徑。在程序中動(dòng)態(tài)地維護(hù)和配置此樹(shù)結(jié)構(gòu)即可實(shí)現(xiàn)非常靈活的協(xié)議分析功能。協(xié)議分析有效利用了網(wǎng)絡(luò)協(xié)議的層次性和相關(guān)協(xié)議的知識(shí)快速地判斷攻擊特征是否存在。數(shù)據(jù)報(bào)文的分層封裝TCP/IP包格式以太網(wǎng)幀格式IP數(shù)據(jù)報(bào)頭格式TCP/IP包格式總結(jié)：Source和Destination即IP源目地址字段，是IP協(xié)議最核心的字段Id+Flags+FO三個(gè)字段可以實(shí)現(xiàn)IP數(shù)據(jù)分片和重組TotalLength和HeaderLength標(biāo)記IP頭部和上層數(shù)據(jù)的邊界TTL生存時(shí)間字段可以實(shí)現(xiàn)網(wǎng)絡(luò)防環(huán)和生存計(jì)時(shí)DSCP服務(wù)區(qū)分符可以實(shí)現(xiàn)流量控制Checksum字段可以數(shù)據(jù)包完整性校驗(yàn)Protocol字段標(biāo)記上層應(yīng)用ARP/RARP報(bào)文格式TCP/IP包格式Hardwaretype硬件類型，標(biāo)識(shí)鏈路層協(xié)議Protocoltype協(xié)議類型，標(biāo)識(shí)網(wǎng)絡(luò)層協(xié)議Hardwaresize硬件地址大小，標(biāo)識(shí)MAC地址長(zhǎng)度Protocolsize協(xié)議地址大小，標(biāo)識(shí)IP地址長(zhǎng)度Opcode操作代碼，標(biāo)識(shí)ARP數(shù)據(jù)包類型SenderMACaddress發(fā)送者M(jìn)ACSenderIPaddress發(fā)送者IPTargetMACaddress目標(biāo)MAC，此處全0表示在請(qǐng)求TargetIPaddress目標(biāo)IPICMP回應(yīng)請(qǐng)求與應(yīng)答報(bào)文格式TCP/IP包格式TCP報(bào)文格式TCP/IP包格式TCP報(bào)文格式TCP/IP包格式UDP報(bào)文格式TCP/IP包格式協(xié)議分析利用協(xié)議分析技術(shù)可以解決以下問(wèn)題：（1）分析數(shù)據(jù)包中的命令字符串。例如，黑客經(jīng)常使用的HTTP攻擊，因?yàn)镠TTP允許用十六進(jìn)制表示URL。（2）進(jìn)行IP碎片重組，防止IP碎片攻擊。不同類型的網(wǎng)絡(luò)，鏈路層數(shù)據(jù)都有一個(gè)上限。如果IP層數(shù)據(jù)包的長(zhǎng)度超過(guò)這個(gè)上限，就要分片處理，各自路由到達(dá)目標(biāo)主機(jī)后再進(jìn)行重組。因此，黑客可以利用碎片重組算法進(jìn)行攻擊。（3）減低誤報(bào)率。因?yàn)楹?jiǎn)單模式識(shí)別很難限定匹配的開(kāi)始點(diǎn)和終結(jié)點(diǎn)，也就不能準(zhǔn)確定位攻擊串的位置，當(dāng)某協(xié)議的其他位置出現(xiàn)該字串時(shí)，也會(huì)被認(rèn)為是攻擊串，這就產(chǎn)生了誤報(bào)現(xiàn)象。協(xié)議分析技術(shù)可以針對(duì)不同的異常和攻擊，靈活定制檢測(cè)方式，由此可檢測(cè)大量異常。但對(duì)于一些多步驟、分布式的復(fù)雜攻擊的檢測(cè)，單憑單一數(shù)據(jù)包檢測(cè)或簡(jiǎn)單重組是無(wú)法實(shí)現(xiàn)的。所以，可以在協(xié)議分析的基礎(chǔ)上引入狀態(tài)轉(zhuǎn)移檢測(cè)技術(shù)。特征（signature）的基本概念I(lǐng)DS中的特征是指用于判別通訊信息種類的樣板數(shù)據(jù)，可分為多種，以下是一些典型情況及識(shí)別方法：來(lái)自保留IP地址的連接企圖：可通過(guò)檢查IP報(bào)頭的來(lái)源地址識(shí)別。帶有非法TCP標(biāo)志組合的數(shù)據(jù)包：可通過(guò)對(duì)比TCP報(bào)頭中的標(biāo)志集與已知正確和錯(cuò)誤標(biāo)記組合的不同點(diǎn)來(lái)識(shí)別。含有特殊病毒信息的Email：可通過(guò)對(duì)比每封Email的主題信息和病態(tài)Email的主題信息來(lái)識(shí)別，或者通過(guò)搜索特定名字的附近來(lái)識(shí)別。查詢負(fù)載中的DNS緩沖區(qū)溢出企圖：可通過(guò)解析DNS域及檢查每個(gè)域的長(zhǎng)度來(lái)識(shí)別利用DNS域的緩沖區(qū)溢出企圖。還有另外一個(gè)識(shí)別方法是：在負(fù)載中搜索“殼代碼利用”（exploitshellcode）的序列代碼組合。通過(guò)對(duì)POP3服務(wù)器發(fā)出上千次同一命令而導(dǎo)致的DoS攻擊：通過(guò)跟蹤記錄某個(gè)命令連續(xù)發(fā)出的次數(shù)，看看是否超過(guò)了預(yù)設(shè)上限，而發(fā)出報(bào)警信息。未登錄情況下使用文件和目錄命令對(duì)FTP服務(wù)器的文件訪問(wèn)攻擊：通過(guò)創(chuàng)建具備狀態(tài)跟蹤的特征樣板以監(jiān)視成功登錄的FTP對(duì)話、發(fā)現(xiàn)未經(jīng)驗(yàn)證卻發(fā)命令的入侵企圖。典型特征--報(bào)頭值一般情況下，異常報(bào)頭值的來(lái)源有以下幾種：許多包含報(bào)頭值漏洞利用的入侵?jǐn)?shù)據(jù)都會(huì)故意違反RFC的標(biāo)準(zhǔn)定義。許多包含錯(cuò)誤代碼的不完善軟件也會(huì)產(chǎn)生違反RFC定義的報(bào)頭值數(shù)據(jù)。并非所有的操作系統(tǒng)和應(yīng)用程序都能全面擁護(hù)RFC定義。隨著時(shí)間推移，執(zhí)行新功能的協(xié)議可能不被包含于現(xiàn)有RFC中。候選特征只具有SYN和FIN標(biāo)志集的數(shù)據(jù)包，這是公認(rèn)的惡意行為跡象。沒(méi)有設(shè)置ACK標(biāo)志，但卻具有不同確認(rèn)號(hào)碼數(shù)值的數(shù)據(jù)包，而正常情況應(yīng)該是0。來(lái)源端口和目標(biāo)端口都被設(shè)置為21的數(shù)據(jù)包，經(jīng)常與FTP服務(wù)器關(guān)聯(lián)。這“種端口相同的情況一般被稱為“反身”（reflexive），除了個(gè)別時(shí)候如進(jìn)行一些特別NetBIOS通訊外，正常情況下不應(yīng)該出現(xiàn)這種現(xiàn)象?！胺瓷怼倍丝诒旧聿⒉贿`反TCP標(biāo)準(zhǔn)，但大多數(shù)情況下它們并非預(yù)期數(shù)值。例如在一個(gè)正常的FTP對(duì)話中，目標(biāo)端口一般是21，而來(lái)源端口通常都高于1023。TCP窗口尺寸為1028，IP標(biāo)識(shí)號(hào)碼在所有數(shù)據(jù)包中為39426。根據(jù)IPRFC的定義，這2類數(shù)值應(yīng)在數(shù)據(jù)包間有所不同，因此，如果持續(xù)不變，就表明可疑。報(bào)頭值關(guān)鍵元素IP地址，特別保留地址、非路由地址、廣播地址。不應(yīng)被使用的端口號(hào)，特別是眾所周知的協(xié)議端口號(hào)和木馬端口號(hào)。異常信息包片斷。特殊TCP標(biāo)志組合值。不應(yīng)該經(jīng)常出現(xiàn)的ICMP字節(jié)或代碼。信息分析方法4.其他檢測(cè)方法（1）免疫系統(tǒng)方法（2）遺傳算法（3）基于代理的檢測(cè)（4）數(shù)據(jù)挖掘免疫系統(tǒng)方法（1）進(jìn)行異常檢測(cè)系統(tǒng)按照兩個(gè)階段對(duì)入侵檢測(cè)分析處理，第一階段建立一個(gè)正常行為特征輪廓的知識(shí)庫(kù)，第二階段將特征輪廓用于監(jiān)控異常系統(tǒng)行為。（2）比較描述正常行為的不同方法研究監(jiān)控更復(fù)雜的系統(tǒng)時(shí)，基于時(shí)間的較簡(jiǎn)單的順序模型比一些有力的數(shù)據(jù)模型技術(shù)（例如隱馬爾可夫模型）的效果更好。遺傳算法（1）遺傳算法的分析步驟：使用一位串對(duì)問(wèn)題的解決辦法進(jìn)行編碼。與進(jìn)化標(biāo)準(zhǔn)比較，找到一個(gè)合適的函數(shù)測(cè)試群體中的每個(gè)個(gè)體。（2）遺傳算法的優(yōu)點(diǎn)：準(zhǔn)確率高、時(shí)間復(fù)雜度低。（3）遺傳算法的缺點(diǎn)：系統(tǒng)不能檢測(cè)多個(gè)同時(shí)攻擊。如果幾個(gè)攻擊有相同的事件或組事件，并且攻擊者使用這個(gè)共性進(jìn)行多個(gè)同時(shí)攻擊，系統(tǒng)不能找到一個(gè)優(yōu)化的假設(shè)向量。系統(tǒng)不能在審計(jì)跟蹤中精確地定位攻擊?；诖淼臋z測(cè)（1）定義：是指在一個(gè)主機(jī)上執(zhí)行某種安全監(jiān)控功能的軟件實(shí)體。（2）基于代理的入侵檢測(cè)方法有：入侵檢測(cè)的自動(dòng)代理代理需要實(shí)現(xiàn)一個(gè)分層順序控制和報(bào)告結(jié)構(gòu)，可以是多層分層結(jié)構(gòu)的監(jiān)控器控制和合并來(lái)自多個(gè)接收器的信息。EMERLDEMERLD是一個(gè)復(fù)合入侵檢測(cè)器，使用特征分析和統(tǒng)計(jì)特征輪廓來(lái)檢測(cè)安全問(wèn)題，支持大規(guī)模網(wǎng)絡(luò)下的自動(dòng)響應(yīng)。數(shù)據(jù)挖掘（1）數(shù)據(jù)挖掘的目的：是發(fā)現(xiàn)能用于描述程序和用戶行為的系統(tǒng)特性一致使用模式。（2）數(shù)據(jù)挖掘的常用方法有：分類：給幾個(gè)預(yù)定義種類賦予一個(gè)數(shù)據(jù)條目。關(guān)聯(lián)分析：識(shí)別數(shù)據(jù)實(shí)體中字段間的自相關(guān)和互相關(guān)。序列模式分析：使序列模式模型化。告警與響應(yīng)階段經(jīng)過(guò)信息分析確定系統(tǒng)存在問(wèn)題之后，就要讓管理員知道這些問(wèn)題的存在或采取行動(dòng)，這個(gè)階段稱為響應(yīng)期。響應(yīng)處理模塊根據(jù)預(yù)先設(shè)定的策略，記錄入侵過(guò)程采集入侵證據(jù)、追蹤入侵源、執(zhí)行入侵報(bào)警、恢復(fù)受損系統(tǒng)或以自動(dòng)或用戶設(shè)置的方式阻斷攻擊過(guò)程，響應(yīng)處理模塊同時(shí)也向信息收集模塊、檢測(cè)分析引擎和模式庫(kù)提交反饋信息。例如，要求信息收集模塊提供更詳細(xì)的審計(jì)數(shù)據(jù)或采集其他類型的審計(jì)數(shù)據(jù)源；優(yōu)化檢測(cè)分析引擎的檢測(cè)規(guī)則；更新模式庫(kù)中的正常或入侵行為模式等。理想情況下，IDS/IPS的這一部分應(yīng)該具有豐富的響應(yīng)功能特性，并且可以根據(jù)不同用戶的需求自定義響應(yīng)機(jī)制。告警與響應(yīng)階段1.IDS對(duì)響應(yīng)的要求：應(yīng)符合特定的需求環(huán)境，符合通用的安全管理或事件處理標(biāo)準(zhǔn)，或者要能夠反映本地管理的關(guān)注點(diǎn)和策略。商業(yè)IDS應(yīng)該允許不同用戶自定義響應(yīng)機(jī)制。3類用戶：安全管理員、系統(tǒng)管理員、調(diào)查員。響應(yīng)需求的影響因素：IDS的運(yùn)行環(huán)境（操作系統(tǒng)）：基于網(wǎng)絡(luò)OR主機(jī)、聲響告警、可視化告警。所監(jiān)控的系統(tǒng)的功能：關(guān)鍵業(yè)務(wù)系統(tǒng)需提供主動(dòng)響應(yīng)機(jī)制，能終止攻擊行為，保證可用性。規(guī)則或法令的需求：如軍事計(jì)算環(huán)境、在線股票交易環(huán)境等給用戶傳授專業(yè)技術(shù)：提供有效的信息和解釋說(shuō)明，指導(dǎo)用戶采取適當(dāng)?shù)男袆?dòng)。告警與響應(yīng)階段2.響應(yīng)的類型（1）主動(dòng)響應(yīng)主動(dòng)響注重在檢測(cè)到入侵后立即采取行動(dòng)，主動(dòng)響應(yīng)有對(duì)入侵者采取反擊行動(dòng)、修正系統(tǒng)環(huán)境、收集盡可能多的信息三種形式。（2）被動(dòng)響應(yīng)被動(dòng)響應(yīng)是指僅向用戶報(bào)告和記錄所檢測(cè)出的問(wèn)題，依靠用戶去采取下一步行動(dòng)的響應(yīng)，有告警和通知、SNMPTrap和插件兩種形式。告警與響應(yīng)階段主動(dòng)響應(yīng)的方法（1）記錄事件日志對(duì)入侵事件記錄在日志里，方便復(fù)查和長(zhǎng)期分析；在用戶的行為被確定為入侵之前，記錄附加日志，以便收集信息。最好把日志記錄在專門(mén)的數(shù)據(jù)庫(kù)中，這樣可起到長(zhǎng)期保存的效果。（2）隔離入侵者的IP地址通過(guò)重新配置邊緣路由器或防火墻，阻斷該IP地址的數(shù)據(jù)包進(jìn)入，以免受到更嚴(yán)重的攻擊。（3）禁止被攻擊對(duì)象的特定端口或服務(wù)關(guān)閉已受攻擊的特定端口或服務(wù)，可以避免影響其他服務(wù)。必要時(shí)可以停止已受攻擊的主機(jī)，以免其他主機(jī)受影響。告警與響應(yīng)階段主動(dòng)響應(yīng)的方法（4）修正系統(tǒng)環(huán)境是常用的最佳響應(yīng)方案，特別是與提供調(diào)查支持的響應(yīng)結(jié)合的時(shí)候。修正導(dǎo)致入侵發(fā)生的漏洞（5）收集額外信息常用于被保護(hù)系統(tǒng)非常重要，且系統(tǒng)的擁有者想進(jìn)行規(guī)則矯正時(shí)。這種響應(yīng)常與特殊服務(wù)器（蜜罐、誘餌、玻璃魚(yú)缸）配合使用，營(yíng)造裝備著文件系統(tǒng)和其他帶有欺騙性的系統(tǒng)屬性的服務(wù)器迷惑入侵者。蜜罐技術(shù)本質(zhì)上是一種對(duì)攻擊方進(jìn)行欺騙的技術(shù)，通過(guò)布置一些作為誘餌的主機(jī)、網(wǎng)絡(luò)服務(wù)或者信息，誘使攻擊方對(duì)它們實(shí)施攻擊，從而可以對(duì)攻擊行為進(jìn)行捕獲和分析，了解攻擊方所使用的工具與方法，推測(cè)攻擊意圖和動(dòng)機(jī)，能夠讓防御方清晰地了解他們所面對(duì)的安全威脅，并通過(guò)技術(shù)和管理手段來(lái)增強(qiáng)實(shí)際系統(tǒng)的安全防護(hù)能力。有商業(yè)蜜罐，也有開(kāi)源蜜罐（如Kippo、HFish、bap、Opencanary、RiotPot、T-Pot等）告警與響應(yīng)階段告警與響應(yīng)階段主動(dòng)響應(yīng)的方法（6）對(duì)入侵者采取反擊行動(dòng)最主要的方式是對(duì)攻擊者實(shí)施反擊。追蹤入侵者的攻擊來(lái)源，切斷入侵者的機(jī)器或網(wǎng)絡(luò)的連接以保護(hù)系統(tǒng)。對(duì)攻擊者實(shí)施反擊行動(dòng)可能帶來(lái)的危險(xiǎn)性：黑客通常的做法是：先黑掉一個(gè)系統(tǒng)，再以此為跳板去攻擊別的系統(tǒng)。黑客可能利用IP地址欺騙使用虛假地址或別人的地址進(jìn)行攻擊。簡(jiǎn)單的反擊可能會(huì)引來(lái)對(duì)方更大的反擊。反擊會(huì)使你自己冒違法犯罪的風(fēng)險(xiǎn)：無(wú)辜的對(duì)方告你要求賠償、反擊行為本身違反法律法規(guī)、受到紀(jì)律處分等建議的做法：上報(bào)權(quán)威部門(mén)，并請(qǐng)求它們的幫助。比較溫和的做法：中斷TCP連接，或與防火墻路由器聯(lián)動(dòng)阻塞入侵來(lái)源的數(shù)據(jù)包。還可以聯(lián)系攻擊源的系統(tǒng)管理員，請(qǐng)求協(xié)助確認(rèn)和處理相關(guān)問(wèn)題。告警與響應(yīng)階段被動(dòng)響應(yīng)的方法（1）告警和通知包括告警顯示屏和遠(yuǎn)程通知兩種方法。前者令屏幕告警或窗口告警消息出現(xiàn)在入侵檢測(cè)系統(tǒng)控制臺(tái)上，或由用戶配置的其他系統(tǒng)上，后者通過(guò)撥號(hào)尋呼、移動(dòng)電話、EMAIL等方式向系統(tǒng)管理員和安全工作人員發(fā)出告警和警報(bào)消息。攻擊連續(xù)的情況下不建議用EMAIL。（2）利用網(wǎng)絡(luò)管理協(xié)議入侵檢測(cè)系統(tǒng)設(shè)計(jì)成與網(wǎng)絡(luò)管理工具一起使用利用簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SNMP）的消息或SNMPTrap作為告警選項(xiàng)使用系統(tǒng)網(wǎng)絡(luò)管理基礎(chǔ)設(shè)施來(lái)傳送告警，并可在網(wǎng)絡(luò)管理控制臺(tái)看到告警和警報(bào)信息。告警與響應(yīng)階段3.常見(jiàn)的告警與響應(yīng)方式自動(dòng)終止攻擊終止用戶連接禁止用戶賬號(hào)重新配置防火墻，阻塞攻擊的源地址向管理控制臺(tái)發(fā)出警告向網(wǎng)管平臺(tái)發(fā)出SNMPTrap記錄事件日志向管理員發(fā)出電子郵件執(zhí)行用戶自定義程序告警與響應(yīng)階段4.聯(lián)動(dòng)響應(yīng)機(jī)制（1）聯(lián)動(dòng)響應(yīng)機(jī)制的定義：入侵檢測(cè)系統(tǒng)與其他安全技術(shù)聯(lián)動(dòng)響應(yīng)，可聯(lián)動(dòng)的安全技術(shù)包括防火墻、安全掃描器、防病毒系統(tǒng)、安全加密系統(tǒng)等。（2）聯(lián)動(dòng)的基本過(guò)程是“報(bào)警-轉(zhuǎn)換-響應(yīng)”：告警與響應(yīng)階段4.聯(lián)動(dòng)響應(yīng)機(jī)制IDS和防火墻之間的聯(lián)動(dòng)包含以下三種方式:（1）嵌入結(jié)合方式：把IDS嵌入防火墻中，把兩個(gè)產(chǎn)品合成一體。由于IDS本身就是一個(gè)復(fù)雜的系統(tǒng)，合成后的系統(tǒng)從實(shí)施到性能都會(huì)受到很大影響。（2）端口映像方式：防火墻將網(wǎng)絡(luò)中指定的一部分流量鏡像到IDS中，IDS再將處理后的結(jié)果通知防火墻，要求其相應(yīng)地修改安全策略。這種方式適用于通信量不大但在內(nèi)網(wǎng)和非軍事區(qū)都有需求的情況。（3）接口開(kāi)放方式：IDS和防火墻各開(kāi)放一個(gè)接口供對(duì)方調(diào)用，并按照預(yù)定的協(xié)議進(jìn)行通信。當(dāng)IDS發(fā)現(xiàn)網(wǎng)絡(luò)中的數(shù)據(jù)存在攻擊企圖時(shí)，通過(guò)開(kāi)放的接口實(shí)現(xiàn)與防火墻的通信，雙方按照固定的協(xié)議進(jìn)行網(wǎng)絡(luò)安全事件的傳輸，更改防火墻安全策略，對(duì)攻擊的源頭進(jìn)行封堵。這種方式比較靈活，目前常見(jiàn)的形式是安全廠家以自己的產(chǎn)品為核心，提供開(kāi)放接口，以實(shí)現(xiàn)互動(dòng)。告警與響應(yīng)階段《毛澤東選集》第七卷總而言之，要團(tuán)結(jié)一切可以團(tuán)結(jié)的人，這樣，我們就可以把敵人縮小到最少，只剩下帝國(guó)主義和本國(guó)的少數(shù)親帝國(guó)主義分子，即同帝國(guó)主義有密切聯(lián)系的大資本家和大地主。對(duì)我們來(lái)說(shuō)，朋友越多越好，敵人越少越好。為了這個(gè)目的，我們黨必須充分利用一切可以利用的力量。思政要點(diǎn)：團(tuán)結(jié)入侵檢測(cè)與防御的關(guān)鍵技術(shù)2.6數(shù)據(jù)包分析技術(shù)IP分片重組技術(shù)TCP狀態(tài)檢測(cè)技術(shù)TCP流重組技術(shù)應(yīng)用識(shí)別與管理技術(shù)入侵檢測(cè)與防御的關(guān)鍵技術(shù)數(shù)據(jù)包分析，也叫數(shù)據(jù)包嗅探或協(xié)議分析，是指捕獲和解釋網(wǎng)絡(luò)上在線傳輸數(shù)據(jù)的過(guò)程，并充分利用通信協(xié)議的已知結(jié)構(gòu)，更快更有效地處理信息數(shù)據(jù)幀和連接。數(shù)據(jù)包分析的目的通常是為了更好地了解網(wǎng)絡(luò)上正在發(fā)生的事情，了解用戶使用了什么協(xié)議和應(yīng)用，傳輸了什么信息。數(shù)據(jù)包分析技術(shù)的主要應(yīng)用：了解網(wǎng)絡(luò)特征、查看網(wǎng)絡(luò)上的通信主體、確認(rèn)誰(shuí)或是哪些應(yīng)用在占用網(wǎng)絡(luò)帶寬、識(shí)別網(wǎng)絡(luò)使用高峰時(shí)間、識(shí)別可能的攻擊或惡意活動(dòng)、尋找不安全以及濫用網(wǎng)絡(luò)資源的應(yīng)用等。數(shù)據(jù)包分析技術(shù)對(duì)接口上接收到的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行解碼，分析其鏈路層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層協(xié)議。根據(jù)不同的協(xié)議選擇解碼器，解析數(shù)據(jù)包內(nèi)部?jī)?nèi)容，通過(guò)匹配不同的規(guī)則庫(kù)和安全模型確定該數(shù)據(jù)包是否阻斷或者轉(zhuǎn)發(fā)。數(shù)據(jù)包解析過(guò)程如圖所示。數(shù)據(jù)包分析技術(shù)接收數(shù)據(jù)包解碼器協(xié)議解碼器規(guī)則庫(kù)匹配MTU：以太網(wǎng)默認(rèn)為1500字節(jié)MSS：1460字節(jié)IP分片重組技術(shù)TCP分段當(dāng)TCP要傳輸長(zhǎng)度超過(guò)MSS的數(shù)據(jù)時(shí)，會(huì)先對(duì)數(shù)據(jù)進(jìn)行分段正常情況下，TCP不會(huì)造成IP分片的，而UDP，只要數(shù)據(jù)大于MSS，就會(huì)造成IP分片。數(shù)據(jù)拆分為MSS的長(zhǎng)度，放進(jìn)單獨(dú)的網(wǎng)絡(luò)包中，加上各層的頭部進(jìn)行封裝IP分片發(fā)生在網(wǎng)絡(luò)接口層，不僅源端主機(jī)會(huì)進(jìn)行分片，中間的路由器也有可能分片TCP分段避免了IP分片的發(fā)生，因此，IP分片多用于UDP協(xié)議思考：使用TCP時(shí)會(huì)有IP分片嗎？IP分片重組技術(shù)IP分片重組技術(shù)IP首部與分片相關(guān)的字段：（1）標(biāo)識(shí)字段：16位，是一個(gè)計(jì)數(shù)器，用來(lái)產(chǎn)生數(shù)據(jù)包的標(biāo)識(shí)，來(lái)自同一個(gè)IP報(bào)文的分片具有相同的ID。（2）標(biāo)志字段：3位，目前只有前兩位有意義，標(biāo)志字段的最低位是MF，中間位是DF，只有當(dāng)DF=0時(shí)才允許分片。（3）偏移位：13位，其作用是指出較長(zhǎng)的分組在分片后在原分組中的相對(duì)位置，片偏移以8字節(jié)為偏移單位。IP分片重組技術(shù)對(duì)于長(zhǎng)度超過(guò)MTU（1500字節(jié)）的IP報(bào)文，網(wǎng)絡(luò)接口層會(huì)將其分片分成若干個(gè)長(zhǎng)度不超過(guò)1500字節(jié)的IP報(bào)文（分片）進(jìn)行傳輸。20B8BIP分片重組的定義：是指IP協(xié)議在傳輸數(shù)據(jù)包時(shí)，將數(shù)據(jù)報(bào)文分成若干個(gè)分片進(jìn)行傳輸，并且在目標(biāo)系統(tǒng)中進(jìn)行重組的過(guò)程。分片數(shù)據(jù)的重組只會(huì)發(fā)生在目的端的網(wǎng)絡(luò)接口層。IP分片重組的流程：IP層接收到發(fā)送的IP數(shù)據(jù)包后，需要判斷向本地哪個(gè)接口發(fā)送數(shù)據(jù)（選路），并查詢?cè)摻涌讷@得其MTU，將MTU與數(shù)據(jù)包長(zhǎng)度進(jìn)行比較，如果需要?jiǎng)t進(jìn)行分片。IP分片重組可以發(fā)生在原始發(fā)送端主機(jī)上，或者發(fā)生在中間路由器上。IP分片重組技術(shù)在IP分片包中，用分片偏移字段標(biāo)志分片包的順序，但只有第一個(gè)分片包含有端口信息。當(dāng)IP分片包通過(guò)分組過(guò)濾防火墻時(shí)，防火墻只根據(jù)第一個(gè)分片包的信息判斷是否允許通過(guò)，后續(xù)其他的分片防火墻不再進(jìn)行檢測(cè)，直接讓它們通過(guò)。攻擊者就可以先發(fā)送第一個(gè)合法的IP分片，騙過(guò)防火墻的檢測(cè)，封裝了惡意數(shù)據(jù)的后續(xù)分片包就可以直接繞過(guò)防火墻，到達(dá)內(nèi)部網(wǎng)絡(luò)主機(jī)，從而威脅網(wǎng)絡(luò)和主機(jī)的安全。攻擊者利用IP分片的原理，使用分片數(shù)據(jù)包轉(zhuǎn)發(fā)工具（如Fragroute），將攻擊請(qǐng)求分成若干IP分片包發(fā)送給目標(biāo)主機(jī)；目標(biāo)主機(jī)接收到分片包后，進(jìn)行分片重組還原出真正的請(qǐng)求。分片攻擊包括分片覆蓋、分片重寫(xiě)、分片超時(shí)和針對(duì)網(wǎng)絡(luò)拓?fù)涞姆制夹g(shù)等。分片增加了入侵檢測(cè)和防御系統(tǒng)的檢測(cè)難度，是目前攻擊者繞過(guò)攻擊的普通手段。IP分片重組技術(shù)入侵防御系統(tǒng)需要在內(nèi)存中緩存分片，模擬目標(biāo)主機(jī)對(duì)網(wǎng)絡(luò)上傳輸?shù)姆制M(jìn)行重組，還原出真正的請(qǐng)求內(nèi)容后再分析，以防止分片攻擊。（1）入侵防御系統(tǒng)通過(guò)包的段偏移判斷是否是分片；（2）通過(guò)源IP和ID號(hào)判斷是否來(lái)自同一個(gè)包；（3）通過(guò)標(biāo)志位是否為0和數(shù)據(jù)長(zhǎng)度判斷包的所有分片到達(dá)。IP分片重組技術(shù)入侵防御系統(tǒng)對(duì)TCP的連接狀態(tài)進(jìn)行檢測(cè)和監(jiān)控，判斷不同狀態(tài)下可能存在的攻擊方式，同時(shí)對(duì)應(yīng)用內(nèi)容進(jìn)行數(shù)據(jù)采集和特征檢測(cè)。TCP的狀態(tài)有：（1）CLOSED：關(guān)閉狀態(tài)（初始狀態(tài)）。（2）LISTEN：服務(wù)器端的某個(gè)SOCKET處于監(jiān)聽(tīng)狀態(tài)，可以接受連接。（3）SYN_SENT：客戶端已發(fā)送SYN報(bào)文。（4）SYN_RCVD:接收到SYN報(bào)文。（5