计算机技术网络安全技术教程ch5入侵检测技术

1、第五章第五章 入侵检测技术入侵检测技术 第第5章章 入侵检测技术入侵检测技术 内容提要：内容提要： 入侵检测概述入侵检测概述 入侵检测的技术实现入侵检测的技术实现 分布式入侵检测分布式入侵检测 入侵检测系统的标准入侵检测系统的标准 入侵检测系统示例入侵检测系统示例 本章小结本章小结 第五章第五章 入侵检测技术入侵检测技术 5.1 入侵检测概述入侵检测概述 入侵检测技术研究最早可追溯到入侵检测技术研究最早可追溯到1980年年 James P.Aderson所写的一份技术报告，他首先所写的一份技术报告，他首先 提出了入侵检测的概念。提出了入侵检测的概念。1987年年Dorothy Denning提

2、出了入侵检测系统（提出了入侵检测系统（IDS，Intrusion Detection System）的抽象模型（如图的抽象模型（如图5-1所示），所示）， 首次提出了入侵检测可作为一种计算机系统安全首次提出了入侵检测可作为一种计算机系统安全 防御措施的概念，与传统的加密和访问控制技术防御措施的概念，与传统的加密和访问控制技术 相比，相比，IDS是全新的计算机安全措施。是全新的计算机安全措施。 返回本章首页返回本章首页 第五章第五章 入侵检测技术入侵检测技术 返回本章首页返回本章首页 第五章第五章 入侵检测技术入侵检测技术 入侵检测技术研究最早可追溯到入侵检测技术研究最早可追溯到1980年年 J

3、ames P.Aderson所写的一份技术报告，他首先所写的一份技术报告，他首先 提出了入侵检测的概念。提出了入侵检测的概念。1987年年Dorothy Denning提出了入侵检测系统（提出了入侵检测系统（IDS，Intrusion Detection System）的抽象模型（如图的抽象模型（如图5-1所示），所示）， 首次提出了入侵检测可作为一种计算机系统安全首次提出了入侵检测可作为一种计算机系统安全 防御措施的概念，与传统的加密和访问控制技术防御措施的概念，与传统的加密和访问控制技术 相比，相比，IDS是全新的计算机安全措施。是全新的计算机安全措施。 返回本章首页返回本章首页 第五章第

4、五章 入侵检测技术入侵检测技术 1988年年Teresa Lunt等人进一步改进了等人进一步改进了 Denning提出的入侵检测模型，并创建了提出的入侵检测模型，并创建了IDES （Intrusion Detection Expert System），），该系统该系统 用于检测单一主机的入侵尝试，提出了与系统平用于检测单一主机的入侵尝试，提出了与系统平 台无关的实时检测思想，台无关的实时检测思想，1995年开发的年开发的NIDES （Next-Generation Intrusion Detection Expert System）作为作为IDES完善后的版本可以检测出多完善后的版本可以检测出

5、多 个主机上的入侵。个主机上的入侵。 返回本章首页返回本章首页 第五章第五章 入侵检测技术入侵检测技术 1990年，年，Heberlein等人提出了一个具有里等人提出了一个具有里 程碑意义的新型概念：基于网络的入侵检测程碑意义的新型概念：基于网络的入侵检测 网络安全监视器网络安全监视器NSM（Network Security Monitor）。）。1991年年,NADIR（Network Anomaly Detection and Intrusion Reporter）与与DIDS （Distribute Intrusion Detection System）提出提出 了通过收集和合并处理来自

6、多个主机的审计信息了通过收集和合并处理来自多个主机的审计信息 可以检测出一系列针对主机的协同攻击。可以检测出一系列针对主机的协同攻击。 返回本章首页返回本章首页 第五章第五章 入侵检测技术入侵检测技术 1994年，年，Mark Crosbie和和Gene Spafford建建 议使用自治代理（议使用自治代理（autonomous agents）以提高以提高 IDS的可伸缩性、可维护性、效率和容错性，该的可伸缩性、可维护性、效率和容错性，该 理念非常符合计算机科学其他领域（如软件代理，理念非常符合计算机科学其他领域（如软件代理， software agent）正在进行的相关研究。另一个正在进行的

7、相关研究。另一个 致力于解决当代绝大多数入侵检测系统伸缩性不致力于解决当代绝大多数入侵检测系统伸缩性不 足的方法于足的方法于1996年提出，这就是年提出，这就是GrIDS（Graph- based Intrusion Detection System）的设计和实的设计和实 现，该系统可以方便地检测大规模自动或协同方现，该系统可以方便地检测大规模自动或协同方 式的网络攻击。式的网络攻击。 返回本章首页返回本章首页 第五章第五章 入侵检测技术入侵检测技术 近年来，入侵检测技术研究的主要创新有：近年来，入侵检测技术研究的主要创新有： Forrest等将免疫学原理运用于分布式入侵检测等将免疫学原理运用

8、于分布式入侵检测 领域；领域；1998年年Ross Anderson和和Abida Khattak将将 信息检索技术引进入侵检测；以及采用状态转换信息检索技术引进入侵检测；以及采用状态转换 分析、数据挖掘和遗传算法等进行误用和异常检分析、数据挖掘和遗传算法等进行误用和异常检 测。测。 返回本章首页返回本章首页 第五章第五章 入侵检测技术入侵检测技术 5.1.1 入侵检测原理入侵检测原理 图图5-2给出了入侵检测的基本原理图。入侵给出了入侵检测的基本原理图。入侵 检测是用于检测任何损害或企图损害系统的保密检测是用于检测任何损害或企图损害系统的保密 性、完整性或可用性的一种网络安全技术。它通性、完

9、整性或可用性的一种网络安全技术。它通 过监视受保护系统的状态和活动，采用误用检测过监视受保护系统的状态和活动，采用误用检测 （Misuse Detection）或异常检测（或异常检测（Anomaly Detection）的方式，发现非授权的或恶意的系统的方式，发现非授权的或恶意的系统 及网络行为，为防范入侵行为提供有效的手段。及网络行为，为防范入侵行为提供有效的手段。 返回本章首页返回本章首页 第五章第五章 入侵检测技术入侵检测技术 图5-2 入侵检测原理框图 返回本章首页返回本章首页 第五章第五章 入侵检测技术入侵检测技术 入侵检测系统（入侵检测系统（Intrusion Detection

10、System， IDS）就是执行入侵检测任务的硬件或软件产品。就是执行入侵检测任务的硬件或软件产品。 IDS通过实时的分析，检查特定的攻击模式、系通过实时的分析，检查特定的攻击模式、系 统配置、系统漏洞、存在缺陷的程序版本以及系统配置、系统漏洞、存在缺陷的程序版本以及系 统或用户的行为模式，监控与安全有关的活动。统或用户的行为模式，监控与安全有关的活动。 一个基本的入侵检测系统需要解决两个问一个基本的入侵检测系统需要解决两个问 题：一是如何充分并可靠地提取描述行为特征的题：一是如何充分并可靠地提取描述行为特征的 数据；二是如何根据特征数据，高效并准确地判数据；二是如何根据特征数据，高效并准确地

11、判 定行为的性质。定行为的性质。 返回本章首页返回本章首页 第五章第五章 入侵检测技术入侵检测技术 5.1.2 系统结构系统结构 由于网络环境和系统安全策略的差异，入侵由于网络环境和系统安全策略的差异，入侵 检测系统在具体实现上也有所不同。从系统构成检测系统在具体实现上也有所不同。从系统构成 上看，入侵检测系统应包括事件提取、入侵分析、上看，入侵检测系统应包括事件提取、入侵分析、 入侵响应和远程管理四大部分，另外还可能结合入侵响应和远程管理四大部分，另外还可能结合 安全知识库、数据存储等功能模块，提供更为完安全知识库、数据存储等功能模块，提供更为完 善的安全检测及数据分析功能（如图善的安全检测

12、及数据分析功能（如图5-3所示）。所示）。 返回本章首页返回本章首页 第五章第五章 入侵检测技术入侵检测技术 数据提取 入侵分析数据存储 响应处理 原始数据流 知识库 图5-3 入侵检测系统结构 返回本章首页返回本章首页 第五章第五章 入侵检测技术入侵检测技术 入侵检测的思想源于传统的系统审计，但拓入侵检测的思想源于传统的系统审计，但拓 宽了传统审计的概念，它以近乎不间断的方式进宽了传统审计的概念，它以近乎不间断的方式进 行安全检测，从而可形成一个连续的检测过程。行安全检测，从而可形成一个连续的检测过程。 这通常是通过执行下列任务来实现的：这通常是通过执行下列任务来实现的： 监视、分析用户及系

13、统活动；监视、分析用户及系统活动； 系统构造和弱点的审计；系统构造和弱点的审计； 识别分析知名攻击的行为特征并告警；识别分析知名攻击的行为特征并告警； 异常行为特征的统计分析；异常行为特征的统计分析； 评估重要系统和数据文件的完整性；评估重要系统和数据文件的完整性； 操作系统的审计跟踪管理，并识别用户违反安全策略操作系统的审计跟踪管理，并识别用户违反安全策略 的行为。的行为。 返回本章首页返回本章首页 第五章第五章 入侵检测技术入侵检测技术 5.1.3 系统分类系统分类 由于功能和体系结构的复杂性，入侵检测按由于功能和体系结构的复杂性，入侵检测按 照不同的标准有多种分类方法。可分别从数据源、照

14、不同的标准有多种分类方法。可分别从数据源、 检测理论、检测时效三个方面来描述入侵检测系检测理论、检测时效三个方面来描述入侵检测系 统的类型。统的类型。 1基于数据源的分类基于数据源的分类 通常可以把入侵检测系统分为五类，即基于通常可以把入侵检测系统分为五类，即基于 主机、基于网络、混合入侵检测、基于网关的入主机、基于网络、混合入侵检测、基于网关的入 侵检测系统以及文件完整性检查系统。侵检测系统以及文件完整性检查系统。 返回本章首页返回本章首页 第五章第五章 入侵检测技术入侵检测技术 2基于检测理论的分类基于检测理论的分类 从具体的检测理论上来说，入侵检测又可分从具体的检测理论上来说，入侵检测又

15、可分 为异常检测和误用检测。为异常检测和误用检测。 异常检测（异常检测（Anomaly Detection）指根据使指根据使 用者的行为或资源使用状况的正常程度来判断是用者的行为或资源使用状况的正常程度来判断是 否入侵，而不依赖于具体行为是否出现来检测。否入侵，而不依赖于具体行为是否出现来检测。 误用检测（误用检测（Misuse Detection）指运用已知指运用已知 攻击方法，根据已定义好的入侵模式，通过判断攻击方法，根据已定义好的入侵模式，通过判断 这些入侵模式是否出现来检测。这些入侵模式是否出现来检测。 返回本章首页返回本章首页 第五章第五章 入侵检测技术入侵检测技术 3基于检测时效的

16、分类基于检测时效的分类 IDS在处理数据的时候可以采用实时在线检在处理数据的时候可以采用实时在线检 测方式，也可以采用批处理方式，定时对处理原测方式，也可以采用批处理方式，定时对处理原 始数据进行离线检测，这两种方法各有特点（如始数据进行离线检测，这两种方法各有特点（如 图图5-5所示所示）。）。 离线检测方式将一段时间内的数据存储起来，离线检测方式将一段时间内的数据存储起来， 然后定时发给数据处理单元进行分析，如果在这然后定时发给数据处理单元进行分析，如果在这 段时间内有攻击发生就报警。在线检测方式的实段时间内有攻击发生就报警。在线检测方式的实 时处理是大多数时处理是大多数IDS所采用的办法

17、，由于计算机所采用的办法，由于计算机 硬件速度的提高，使得对攻击的实时检测和响应硬件速度的提高，使得对攻击的实时检测和响应 成为可能。成为可能。 返回本章首页返回本章首页 第五章第五章 入侵检测技术入侵检测技术 返回本章首页返回本章首页 第五章第五章 入侵检测技术入侵检测技术 5.2 入侵检测的技术实现入侵检测的技术实现 对于入侵检测的研究，从早期的审计跟踪数对于入侵检测的研究，从早期的审计跟踪数 据分析，到实时入侵检测系统，到目前应用于大据分析，到实时入侵检测系统，到目前应用于大 型网络的分布式检测系统，基本上已发展成为具型网络的分布式检测系统，基本上已发展成为具 有一定规模和相应理论的研究

18、领域。入侵检测的有一定规模和相应理论的研究领域。入侵检测的 核心问题在于如何对安全审计数据进行分析，以核心问题在于如何对安全审计数据进行分析，以 检测其中是否包含入侵或异常行为的迹象。这里，检测其中是否包含入侵或异常行为的迹象。这里， 我们先从误用检测和异常检测两个方面介绍当前我们先从误用检测和异常检测两个方面介绍当前 关于入侵检测技术的主流技术实现，然后对其它关于入侵检测技术的主流技术实现，然后对其它 类型的检测技术作简要介绍。类型的检测技术作简要介绍。 返回本章首页返回本章首页 第五章第五章 入侵检测技术入侵检测技术 5.2.1 入侵检测分析模型入侵检测分析模型 分析是入侵检测的核心功能，

19、它既能简单到分析是入侵检测的核心功能，它既能简单到 像一个已熟悉日志情况的管理员去建立决策表，像一个已熟悉日志情况的管理员去建立决策表， 也能复杂得像一个集成了几百万个处理的非参数也能复杂得像一个集成了几百万个处理的非参数 系统。入侵检测的分析处理过程可分为三个阶段：系统。入侵检测的分析处理过程可分为三个阶段： 构建分析器，对实际现场数据进行分析，反馈和构建分析器，对实际现场数据进行分析，反馈和 提炼过程。其中，前两个阶段都包含三个功能：提炼过程。其中，前两个阶段都包含三个功能： 数据处理、数据分类（数据可分为入侵指示、非数据处理、数据分类（数据可分为入侵指示、非 入侵指示或不确定）和后处理。

20、入侵指示或不确定）和后处理。 返回本章首页返回本章首页 第五章第五章 入侵检测技术入侵检测技术 5.2.2 误用检测（误用检测（Misuse Detection） 误用检测是按照预定模式搜寻事件数据的，误用检测是按照预定模式搜寻事件数据的， 最适用于对已知模式的可靠检测。执行误用检测，最适用于对已知模式的可靠检测。执行误用检测， 主要依赖于可靠的用户活动记录和分析事件的方主要依赖于可靠的用户活动记录和分析事件的方 法。法。 1条件概率预测法条件概率预测法 条件概率预测法是基于统计理论来量化全部条件概率预测法是基于统计理论来量化全部 外部网络事件序列中存在入侵事件的可能程度。外部网络事件序列中存

21、在入侵事件的可能程度。 返回本章首页返回本章首页 第五章第五章 入侵检测技术入侵检测技术 2产生式产生式/ /专家系统专家系统 用专家系统对入侵进行检测，主要是检测基用专家系统对入侵进行检测，主要是检测基 于特征的入侵行为。所谓规则，即是知识，专家于特征的入侵行为。所谓规则，即是知识，专家 系统的建立依赖于知识库的完备性，而知识库的系统的建立依赖于知识库的完备性，而知识库的 完备性又取决于审计记录的完备性与实时性。完备性又取决于审计记录的完备性与实时性。 产生式产生式/专家系统是误用检测早期的方案之一，专家系统是误用检测早期的方案之一， 在在MIDAS、IDES、NIDES、DIDS和和CMD

22、S中都中都 使用了这种方法。使用了这种方法。 返回本章首页返回本章首页 第五章第五章 入侵检测技术入侵检测技术 3状态转换方法状态转换方法 状态转换方法使用系统状态和状态转换表达状态转换方法使用系统状态和状态转换表达 式来描述和检测入侵，采用最优模式匹配技巧来式来描述和检测入侵，采用最优模式匹配技巧来 结构化误用检测，增强了检测的速度和灵活性。结构化误用检测，增强了检测的速度和灵活性。 目前，主要有三种实现方法：状态转换分析、有目前，主要有三种实现方法：状态转换分析、有 色色Petri-Net和语言和语言/应用编程接口（应用编程接口（API）。）。 返回本章首页返回本章首页 第五章第五章 入侵

23、检测技术入侵检测技术 4用于批模式分析的信息检索技术用于批模式分析的信息检索技术 当前大多数入侵检测都是通过对事件数据的当前大多数入侵检测都是通过对事件数据的 实时收集和分析来发现入侵的，然而在攻击被证实时收集和分析来发现入侵的，然而在攻击被证 实之后，要从大量的审计数据中寻找证据信息，实之后，要从大量的审计数据中寻找证据信息， 就必须借助于信息检索（就必须借助于信息检索（IR，Information Retrieval）技术，技术，IR技术当前广泛应用于技术当前广泛应用于WWW 的搜索引擎上。的搜索引擎上。 IR系统使用反向文件作为索引，允许高效系统使用反向文件作为索引，允许高效 地搜寻关键

24、字或关键字组合，并使用地搜寻关键字或关键字组合，并使用Bayesian理理 论帮助提炼搜索。论帮助提炼搜索。 返回本章首页返回本章首页 第五章第五章 入侵检测技术入侵检测技术 5Keystroke Monitor和基于模型的方法和基于模型的方法 Keystroke Monitor是一种简单的入侵检测是一种简单的入侵检测 方法，它通过分析用户击键序列的模式来检测入方法，它通过分析用户击键序列的模式来检测入 侵行为，常用于对主机的入侵检测。该方法具有侵行为，常用于对主机的入侵检测。该方法具有 明显的缺点，首先，批处理或明显的缺点，首先，批处理或Shell程序可以不程序可以不 通过击键而直接调用系统

25、攻击命令序列；其次，通过击键而直接调用系统攻击命令序列；其次， 操作系统通常不提供统一的击键检测接口，需通操作系统通常不提供统一的击键检测接口，需通 过额外的钩子函数（过额外的钩子函数（Hook）来监测击键。来监测击键。 返回本章首页返回本章首页 第五章第五章 入侵检测技术入侵检测技术 5.2.3 异常检测（异常检测（Anomaly Detection） 异常检测基于一个假定：用户的行为是可预异常检测基于一个假定：用户的行为是可预 测的、遵循一致性模式的，且随着用户事件的增测的、遵循一致性模式的，且随着用户事件的增 加异常检测会适应用户行为的变化。用户行为的加异常检测会适应用户行为的变化。用户

26、行为的 特征轮廓在异常检测中是由度量（特征轮廓在异常检测中是由度量（measuremeasure）集集 来描述，度量是特定网络行为的定量表示，通常来描述，度量是特定网络行为的定量表示，通常 与某个检测阀值或某个域相联系。与某个检测阀值或某个域相联系。 异常检测可发现未知的攻击方法，体现了强异常检测可发现未知的攻击方法，体现了强 健的保护机制，但对于给定的度量集能否完备到健的保护机制，但对于给定的度量集能否完备到 表示所有的异常行为仍需要深入研究。表示所有的异常行为仍需要深入研究。 返回本章首页返回本章首页 第五章第五章 入侵检测技术入侵检测技术 1Denning的原始模型的原始模型 Dorot

27、hy Denning于于1986年给出了入侵检测年给出了入侵检测 的的IDES模型，她认为在一个系统中可以包括四模型，她认为在一个系统中可以包括四 个统计模型，每个模型适合于一个特定类型的系个统计模型，每个模型适合于一个特定类型的系 统度量。统度量。 （1）可操作模型）可操作模型 （2）平均和标准偏差模型）平均和标准偏差模型 （3）多变量模型）多变量模型 （4）Markov处理模型处理模型 返回本章首页返回本章首页 第五章第五章 入侵检测技术入侵检测技术 2量化分析量化分析 异常检测最常用的方法就是将检验规则和属异常检测最常用的方法就是将检验规则和属 性以数值形式表示的量化分析，这种度量方法在

28、性以数值形式表示的量化分析，这种度量方法在 Denning的可操作模型中有所涉及。量化分析通的可操作模型中有所涉及。量化分析通 过采用从简单的加法到比较复杂的密码学计算得过采用从简单的加法到比较复杂的密码学计算得 到的结果作为误用检测和异常检测统计模型的基到的结果作为误用检测和异常检测统计模型的基 础。础。 （1）阀值检验）阀值检验 （2）基于目标的集成检查）基于目标的集成检查 （3）量化分析和数据精简）量化分析和数据精简 返回本章首页返回本章首页 第五章第五章 入侵检测技术入侵检测技术 3统计度量统计度量 统计度量方法是产品化的入侵检测系统中常统计度量方法是产品化的入侵检测系统中常 用的方法

29、，常见于异常检测。运用统计方法，有用的方法，常见于异常检测。运用统计方法，有 效地解决了四个问题：（效地解决了四个问题：（1）选取有效的统计数）选取有效的统计数 据测量点，生成能够反映主体特征的会话向量；据测量点，生成能够反映主体特征的会话向量； （2）根据主体活动产生的审计记录，不断更新）根据主体活动产生的审计记录，不断更新 当前主体活动的会话向量；（当前主体活动的会话向量；（3）采用统计方法）采用统计方法 分析数据，判断当前活动是否符合主体的历史行分析数据，判断当前活动是否符合主体的历史行 为特征；（为特征；（4）随着时间推移，学习主体的行为）随着时间推移，学习主体的行为 特征，更新历史记

30、录。特征，更新历史记录。 返回本章首页返回本章首页 第五章第五章 入侵检测技术入侵检测技术 4非参数统计度量非参数统计度量 非参数统计方法通过使用非数据区分技术，非参数统计方法通过使用非数据区分技术， 尤其是群集分析技术来分析参数方法无法考虑的尤其是群集分析技术来分析参数方法无法考虑的 系统度量。群集分析的基本思想是，根据评估标系统度量。群集分析的基本思想是，根据评估标 准（也称为特性）将收集到的大量历史数据（一准（也称为特性）将收集到的大量历史数据（一 个样本集）组织成群，通过预处理过程，将与具个样本集）组织成群，通过预处理过程，将与具 体事件流（经常映射为一个具体用户）相关的特体事件流（经

31、常映射为一个具体用户）相关的特 性转化为向量表示，再采用群集算法将彼此比较性转化为向量表示，再采用群集算法将彼此比较 相近的向量成员组织成一个行为类，这样使用该相近的向量成员组织成一个行为类，这样使用该 分析技术的实验结果将会表明用何种方式构成的分析技术的实验结果将会表明用何种方式构成的 群可以可靠地对用户的行为进行分组并识别。群可以可靠地对用户的行为进行分组并识别。 返回本章首页返回本章首页 第五章第五章 入侵检测技术入侵检测技术 5基于规则的方法基于规则的方法 上面讨论的异常检测主要基于统计方法，异上面讨论的异常检测主要基于统计方法，异 常检测的另一个变种就是基于规则的方法。与统常检测的另

32、一个变种就是基于规则的方法。与统 计方法不同的是基于规则的检测使用规则集来表计方法不同的是基于规则的检测使用规则集来表 示和存储使用模式。示和存储使用模式。 （1）Wisdom&Sense方法方法 （2）基于时间的引导机（）基于时间的引导机（TIM） 返回本章首页返回本章首页 第五章第五章 入侵检测技术入侵检测技术 5.2.4 其它检测技术其它检测技术 这些技术不能简单地归类为误用检测或是异这些技术不能简单地归类为误用检测或是异 常检测，而是提供了一种有别于传统入侵检测视常检测，而是提供了一种有别于传统入侵检测视 角的技术层次，例如免疫系统、基因算法、数据角的技术层次，例如免疫系统、基因算法、

33、数据 挖掘、基于代理（挖掘、基于代理（Agent）的检测等，它们或者的检测等，它们或者 提供了更具普遍意义的分析技术，或者提出了新提供了更具普遍意义的分析技术，或者提出了新 的检测系统架构，因此无论对于误用检测还是异的检测系统架构，因此无论对于误用检测还是异 常检测来说，都可以得到很好的应用。常检测来说，都可以得到很好的应用。 返回本章首页返回本章首页 第五章第五章 入侵检测技术入侵检测技术 1神经网络（神经网络（Neural Network） 作为人工智能（作为人工智能（AI）的一个重要分支，神的一个重要分支，神 经网络（经网络（Neural Network）在入侵检测领域得到在入侵检测领域

34、得到 了很好的应用，它使用自适应学习技术来提取异了很好的应用，它使用自适应学习技术来提取异 常行为的特征，需要对训练数据集进行学习以得常行为的特征，需要对训练数据集进行学习以得 出正常的行为模式。这种方法要求保证用于学习出正常的行为模式。这种方法要求保证用于学习 正常模式的训练数据的纯洁性，即不包含任何入正常模式的训练数据的纯洁性，即不包含任何入 侵或异常的用户行为。侵或异常的用户行为。 返回本章首页返回本章首页 第五章第五章 入侵检测技术入侵检测技术 2免疫学方法免疫学方法 New Mexico大学的大学的Stephanie Forrest提出提出 了将生物免疫机制引入计算机系统的安全保护框

35、了将生物免疫机制引入计算机系统的安全保护框 架中。免疫系统中最基本也是最重要的能力是识架中。免疫系统中最基本也是最重要的能力是识 别别“自我自我/非自我非自我”（self/nonself），），换句话讲，换句话讲， 它能够识别哪些组织是属于正常机体的，不属于它能够识别哪些组织是属于正常机体的，不属于 正常的就认为是异常，这个概念和入侵检测中异正常的就认为是异常，这个概念和入侵检测中异 常检测的概念非常相似。常检测的概念非常相似。 返回本章首页返回本章首页 第五章第五章 入侵检测技术入侵检测技术 3数据挖掘方法数据挖掘方法 Columbia大学的大学的Wenke Lee在其博士论文中，在其博士论

36、文中， 提出了将数据挖掘（提出了将数据挖掘（Data Mining, DM）技术应技术应 用到入侵检测中，通过对网络数据和主机系统调用到入侵检测中，通过对网络数据和主机系统调 用数据的分析挖掘，发现误用检测规则或异常检用数据的分析挖掘，发现误用检测规则或异常检 测模型。具体的工作包括利用数据挖掘中的关联测模型。具体的工作包括利用数据挖掘中的关联 算法和序列挖掘算法提取用户的行为模式，利用算法和序列挖掘算法提取用户的行为模式，利用 分类算法对用户行为和特权程序的系统调用进行分类算法对用户行为和特权程序的系统调用进行 分类预测。实验结果表明，这种方法在入侵检测分类预测。实验结果表明，这种方法在入侵

37、检测 领域有很好的应用前景。领域有很好的应用前景。 返回本章首页返回本章首页 第五章第五章 入侵检测技术入侵检测技术 4基因算法基因算法 基因算法是进化算法（基因算法是进化算法（evolutionary algorithms）的一种，引入了达尔文在进化论中的一种，引入了达尔文在进化论中 提出的自然选择的概念（优胜劣汰、适者生存）提出的自然选择的概念（优胜劣汰、适者生存） 对系统进行优化。该算法对于处理多维系统的优对系统进行优化。该算法对于处理多维系统的优 化是非常有效的。在基因算法的研究人员看来，化是非常有效的。在基因算法的研究人员看来， 入侵检测的过程可以抽象为：为审计事件记录定入侵检测的过

38、程可以抽象为：为审计事件记录定 义一种向量表示形式，这种向量或者对应于攻击义一种向量表示形式，这种向量或者对应于攻击 行为，或者代表正常行为。行为，或者代表正常行为。 返回本章首页返回本章首页 第五章第五章 入侵检测技术入侵检测技术 5基于代理的检测基于代理的检测 近 年 来 ， 一 种 基 于近 年 来 ， 一 种 基 于 A g e n t 的 检 测 技 术的 检 测 技 术 （Agent-Based Detection）逐渐引起研究者的重逐渐引起研究者的重 视。所谓视。所谓Agent，实际上可以看作是在执行某项实际上可以看作是在执行某项 特定监视任务的软件实体。基于特定监视任务的软件实

39、体。基于Agent的入侵检的入侵检 测系统的灵活性保证它可以为保障系统的安全提测系统的灵活性保证它可以为保障系统的安全提 供混合式的架构，综合运用误用检测和异常检测，供混合式的架构，综合运用误用检测和异常检测， 从而弥补两者各自的缺陷。从而弥补两者各自的缺陷。 返回本章首页返回本章首页 第五章第五章 入侵检测技术入侵检测技术 5.3 分布式入侵检测分布式入侵检测 分布式入侵检测（分布式入侵检测（Distributed Intrusion Detection）是目前入侵检测乃至整个网络安全领是目前入侵检测乃至整个网络安全领 域的热点之一。到目前为止，还没有严格意义上域的热点之一。到目前为止，还没

40、有严格意义上 的分布式入侵检测的商业化产品，但研究人员已的分布式入侵检测的商业化产品，但研究人员已 经提出并完成了多个原型系统。通常采用的方法经提出并完成了多个原型系统。通常采用的方法 中，一种是对现有的中，一种是对现有的IDS进行规模上的扩展，另进行规模上的扩展，另 一种则通过一种则通过IDS之间的信息共享来实现。具体的之间的信息共享来实现。具体的 处理方法上也分为两种：分布式信息收集、集中处理方法上也分为两种：分布式信息收集、集中 式处理；分布式信息收集、分布式处理。式处理；分布式信息收集、分布式处理。 返回本章首页返回本章首页 第五章第五章 入侵检测技术入侵检测技术 5.3.1 分布式入

41、侵检测的优势分布式入侵检测的优势 分布式入侵检测由于采用了非集中的系统结分布式入侵检测由于采用了非集中的系统结 构和处理方式，相对于传统的单机构和处理方式，相对于传统的单机IDS具有一些具有一些 明显的优势：明显的优势： （1）检测大范围的攻击行为）检测大范围的攻击行为 （2）提高检测的准确度）提高检测的准确度 （3）提高检测效率）提高检测效率 （4）协调响应措施）协调响应措施 返回本章首页返回本章首页 第五章第五章 入侵检测技术入侵检测技术 5.3.2 分布式入侵检测的技术难点分布式入侵检测的技术难点 与传统的单机与传统的单机IDS相比较，分布式入侵检测相比较，分布式入侵检测 系统具有明显的

42、优势。然而，在实现分布检测组系统具有明显的优势。然而，在实现分布检测组 件的信息共享和协作上，却存在着一些技术难点。件的信息共享和协作上，却存在着一些技术难点。 Stanford Research Institute（SRI）在对在对 EMERALD系统的研究中，列举了分布式入侵系统的研究中，列举了分布式入侵 检测必须关注的关键问题：事件产生及存储、状检测必须关注的关键问题：事件产生及存储、状 态空间管理及规则复杂度、知识库管理、推理技态空间管理及规则复杂度、知识库管理、推理技 术。术。 返回本章首页返回本章首页 第五章第五章 入侵检测技术入侵检测技术 5.3.3 分布式入侵检测现状分布式入侵

43、检测现状 尽管分布式入侵检测存在技术和其它层面的尽管分布式入侵检测存在技术和其它层面的 难点，但由于其相对于传统的单机难点，但由于其相对于传统的单机IDS所具有的所具有的 优势，目前已经成为这一领域的研究热点。优势，目前已经成为这一领域的研究热点。 1Snortnet 它通过对传统的单机它通过对传统的单机IDS进行规模上的扩展，进行规模上的扩展， 使系统具备分布式检测的能力，是基于模式匹配使系统具备分布式检测的能力，是基于模式匹配 的分布式入侵检测系统的一个具体实现。主要包的分布式入侵检测系统的一个具体实现。主要包 括三个组件：网络感应器括三个组件：网络感应器、代理守护程序和监视代理守护程序和

44、监视 控制台控制台。 返回本章首页返回本章首页 第五章第五章 入侵检测技术入侵检测技术 2Agent-Based 基于基于Agent的的IDS由于其良好的灵活性和扩由于其良好的灵活性和扩 展性，是分布式入侵检测的一个重要研究方向。展性，是分布式入侵检测的一个重要研究方向。 国外一些研究机构在这方面已经做了大量工作，国外一些研究机构在这方面已经做了大量工作， 其中其中Purdue大学的入侵检测自治代理（大学的入侵检测自治代理（AAFID） 和和SRI的的EMERALD最具代表性。最具代表性。 AAFID的体系结构如图的体系结构如图5-10所示，其特点是所示，其特点是 形成了一个基于代理的分层顺序

45、控制和报告结构。形成了一个基于代理的分层顺序控制和报告结构。 返回本章首页返回本章首页 第五章第五章 入侵检测技术入侵检测技术 返回本章首页返回本章首页 第五章第五章 入侵检测技术入侵检测技术 3DIDS DIDS（Distributed Intrusion Detection System）是由是由UC Davis的的Security Lab完成的，完成的， 它集成了两种已有的入侵检测系统，它集成了两种已有的入侵检测系统，Haystack和和 NSM。前者由前者由Tracor Applied Sciences and Haystack实验室针对多用户主机的检测任务而开实验室针对多用户主机的检

46、测任务而开 发，数据源来自主机的系统日志。发，数据源来自主机的系统日志。NSM则是由则是由 UC Davis开发的网络安全监视器，通过对数据包、开发的网络安全监视器，通过对数据包、 连接记录、应用层会话的分析，结合入侵特征库连接记录、应用层会话的分析，结合入侵特征库 和正常的网络流或会话记录的模式库，判断当前和正常的网络流或会话记录的模式库，判断当前 的网络行为是否包含入侵或异常。的网络行为是否包含入侵或异常。 返回本章首页返回本章首页 第五章第五章 入侵检测技术入侵检测技术 4GrIDS GrIDS（Graph-based Intrusion Detection System）同样由同样由U

47、C Davis提出并实现，该系统提出并实现，该系统 实现了一种在大规模网络中使用图形化表示的方实现了一种在大规模网络中使用图形化表示的方 法来描述网络行为的途径，其设计目标主要针对法来描述网络行为的途径，其设计目标主要针对 大范围的网络攻击，例如扫描、协同攻击、网络大范围的网络攻击，例如扫描、协同攻击、网络 蠕虫等。蠕虫等。GrIDS的缺陷在于只是给出了网络连接的缺陷在于只是给出了网络连接 的图形化表示，具体的入侵判断仍然需要人工完的图形化表示，具体的入侵判断仍然需要人工完 成，而且系统的有效性和效率都有待验证和提高。成，而且系统的有效性和效率都有待验证和提高。 返回本章首页返回本章首页 第五

48、章第五章 入侵检测技术入侵检测技术 5Intrusion Strategy Boeing公司的公司的Ming-Yuh Huang从另一个角从另一个角 度对入侵检测系统进行了研究，针对分布式入侵度对入侵检测系统进行了研究，针对分布式入侵 检测所存在的问题，他认为可以从入侵者的目的检测所存在的问题，他认为可以从入侵者的目的 （Intrusion Intention），），或者是入侵策略或者是入侵策略 （Intrusion Strategy）入手，帮助我们确定如何入手，帮助我们确定如何 在不同的在不同的IDS组件之间进行协作检测。对入侵策组件之间进行协作检测。对入侵策 略的分析可以帮助我们调整审计策

49、略和参数，构略的分析可以帮助我们调整审计策略和参数，构 成自适应的审计检测系统。成自适应的审计检测系统。 返回本章首页返回本章首页 第五章第五章 入侵检测技术入侵检测技术 6数据融合（数据融合（Data Fusion） Timm Bass提出将数据融合（提出将数据融合（Data Fusion） 的概念应用到入侵检测中，从而将分布式入侵检的概念应用到入侵检测中，从而将分布式入侵检 测任务理解为在层次化模型下对多个感应器的数测任务理解为在层次化模型下对多个感应器的数 据综合问题。在这个层次化模型中，入侵检测的据综合问题。在这个层次化模型中，入侵检测的 数 据 源 经 历 了 从 数 据 （数 据

50、源 经 历 了 从 数 据 （ D a t a ） 到 信 息到 信 息 （Information）再到知识（再到知识（Knowledge）三个逻三个逻 辑抽象层次。辑抽象层次。 返回本章首页返回本章首页 第五章第五章 入侵检测技术入侵检测技术 7基于抽象（基于抽象（Abstraction-based）的方法的方法 GMU的的Peng Ning在其博士论文中提出了一种在其博士论文中提出了一种 基于抽象（基于抽象（Abstraction-based）的分布式入侵检测的分布式入侵检测 系统，基本思想是设立中间层（系统，基本思想是设立中间层（system view），），提提 供与具体系统无关的抽象

51、信息，用于分布式检测系供与具体系统无关的抽象信息，用于分布式检测系 统中的信息共享，抽象信息的内容包括事件信息统中的信息共享，抽象信息的内容包括事件信息 （event）以及系统实体间的断言（以及系统实体间的断言（dynamic predicate）。）。中间层用于表示中间层用于表示IDS间的共享信息时间的共享信息时 使用的对应关系为：使用的对应关系为：IDS检测到的攻击或者检测到的攻击或者IDS无法无法 处理的事件信息作为处理的事件信息作为event，IDS或受或受IDS监控的系监控的系 统的状态则作为统的状态则作为dynamic predicates。 返回本章首页返回本章首页 第五章第五章

52、 入侵检测技术入侵检测技术 5.4 入侵检测系统的标准入侵检测系统的标准 从从20世纪世纪90年代到现在，入侵检测系统的研年代到现在，入侵检测系统的研 发呈现出百家争鸣的繁荣局面，并在智能化和分发呈现出百家争鸣的繁荣局面，并在智能化和分 布式两个方向取得了长足的进展。为了提高布式两个方向取得了长足的进展。为了提高IDS 产品、组件及与其他安全产品之间的互操作性，产品、组件及与其他安全产品之间的互操作性， DARPA和和IETF的入侵检测工作组（的入侵检测工作组（IDWG）发发 起制订了一系列建议草案，从体系结构、起制订了一系列建议草案，从体系结构、API、 通信机制、语言格式等方面来规范通信机

53、制、语言格式等方面来规范IDS的标准。的标准。 返回本章首页返回本章首页 第五章第五章 入侵检测技术入侵检测技术 5.4.1 IETF/IDWG IDWG定义了用于入侵检测与响应（定义了用于入侵检测与响应（IDR） 系统之间或与需要交互的管理系统之间的信息共系统之间或与需要交互的管理系统之间的信息共 享所需要的数据格式和交换规程。享所需要的数据格式和交换规程。 IDWG提出了三项建议草案：入侵检测消提出了三项建议草案：入侵检测消 息交换格式（息交换格式（IDMEF）、）、入侵检测交换协议入侵检测交换协议 （IDXP）以及隧道轮廓（以及隧道轮廓（Tunnel Profile）。）。 返回本章首页

54、返回本章首页 第五章第五章 入侵检测技术入侵检测技术 5.4.2 CIDF CIDF的工作集中体现在四个方面：的工作集中体现在四个方面：IDS的的 体系结构、通信机制、描述语言和应用编程接口体系结构、通信机制、描述语言和应用编程接口 API。 CIDF在在IDES和和NIDES的基础上提出了一个的基础上提出了一个 通用模型，将入侵检测系统分为四个基本组件：通用模型，将入侵检测系统分为四个基本组件： 事件产生器、事件分析器、响应单元和事件数据事件产生器、事件分析器、响应单元和事件数据 库。其结构如图库。其结构如图5-15所示。所示。 返回本章首页返回本章首页 第五章第五章 入侵检测技术入侵检测技

55、术 返回本章首页返回本章首页 第五章第五章 入侵检测技术入侵检测技术 5.5 入侵检测系统示例入侵检测系统示例 为了直观地理解入侵检测的使用、配置等情况，为了直观地理解入侵检测的使用、配置等情况， 这里我们以这里我们以Snort为例，对构建以为例，对构建以Snort为基础的入为基础的入 侵检测系统做概要介绍。侵检测系统做概要介绍。 Snort 是一个开放源代码的免费软件，它基于是一个开放源代码的免费软件，它基于 libpcap 的数据包嗅探器，并可以作为一个轻量级的的数据包嗅探器，并可以作为一个轻量级的 网络入侵检测系统（网络入侵检测系统（NIDS）。）。 通过在中小型网络上部署通过在中小型网

56、络上部署Snort系统，可以在分系统，可以在分 析捕获的数据包基础上，进行入侵行为特征匹配工析捕获的数据包基础上，进行入侵行为特征匹配工 作，或从网络活动的角度检测异常行为，并完成入作，或从网络活动的角度检测异常行为，并完成入 侵的预警或记录。侵的预警或记录。 返回本章首页返回本章首页 第五章第五章 入侵检测技术入侵检测技术 5.5.1 Snort的体系结构的体系结构 Snort在结构上可分为数据包捕获和解码子在结构上可分为数据包捕获和解码子 系统、检测引擎，以及日志及报警子系统三个部系统、检测引擎，以及日志及报警子系统三个部 分。分。 1数据包捕获和解码子系统数据包捕获和解码子系统 该子系统

57、的功能是捕获共享网络的传输数据，该子系统的功能是捕获共享网络的传输数据， 并按照并按照TCP/ IP协议的不同层次将数据包解协议的不同层次将数据包解析。析。 2检测引擎检测引擎 检测引擎是检测引擎是NIDS实现的核心，准确性和快实现的核心，准确性和快 速性是衡量其性能的重要指速性是衡量其性能的重要指标。标。 返回本章首页返回本章首页 第五章第五章 入侵检测技术入侵检测技术 为了能够快速准确地进行检测和处理，为了能够快速准确地进行检测和处理，Snort在在 检测规则方面做了较为成熟的设计。检测规则方面做了较为成熟的设计。 Snort 将所有已知的攻击方法以规则的形式存将所有已知的攻击方法以规则的

58、形式存 放在规则库中，每一条规则由规则头和规则选项两放在规则库中，每一条规则由规则头和规则选项两 部分组成。规则头对应于规则树结点部分组成。规则头对应于规则树结点RTN（Rule Tree Node），），包含动作、协议、源（目的）地址和包含动作、协议、源（目的）地址和 端口以及数据流向，这是所有规则共有的部分。规端口以及数据流向，这是所有规则共有的部分。规 则选项对应于规则选项结点则选项对应于规则选项结点OTN（Optional Tree Node），），包含报警信息（包含报警信息（msg）、）、匹配内容匹配内容 （content）等选项，这些内容需要根据具体规则的等选项，这些内容需要根据具

59、体规则的 性质确定。性质确定。 返回本章首页返回本章首页 第五章第五章 入侵检测技术入侵检测技术 检测规则除了包括上述的关于检测规则除了包括上述的关于“要检测什要检测什 么么”，还应该定义，还应该定义“检测到了该做什么检测到了该做什么”。 Snort 定义了三种处理方式：定义了三种处理方式：alert （发送报警信发送报警信 息）、息）、log（记录该数据包）和记录该数据包）和pass（忽略该数忽略该数 据包），并定义为规则的第一个匹配关键字。据包），并定义为规则的第一个匹配关键字。 这样设计的目的是为了在程序中可以组织整这样设计的目的是为了在程序中可以组织整 个规则库，即将所有的规则按照处理

60、方式组织成个规则库，即将所有的规则按照处理方式组织成 三个链表，以用于更快速准确地进行匹配。三个链表，以用于更快速准确地进行匹配。 如如 图图5-17所示所示 。 返回本章首页返回本章首页 第五章第五章 入侵检测技术入侵检测技术 返回本章首页返回本章首页 第五章第五章 入侵检测技术入侵检测技术 当当Snort 捕获一个数据包时，首先分析该数捕获一个数据包时，首先分析该数 据包使用哪个据包使用哪个IP协议以决定将与某个规则树进行协议以决定将与某个规则树进行 匹配。然后与匹配。然后与RTN 结点依次进行匹配，当与一结点依次进行匹配，当与一 个头结点相匹配时，向下与个头结点相匹配时，向下与OTN 结