电子商务安全技术第11章课件

系统入侵的鉴别与防御

(续)系统入侵的鉴别与防御

(续)1IntrusionIntrusion:Attemptingtobreakintoormisuseyoursystem.Intrudersmaybefromoutsidethenetworkorlegitimateusersofthenetwork.Intrusioncanbeaphysical,systemorremoteintrusion.入侵行为主要是指对系统资源的非授权使用，它可以造成系统数据的丢失和破坏、可以造成系统拒绝对合法用户服务等危害。IntrusionIntrusion:Attemptin2传统的信息安全方法采用严格的访问控制和数据加密策略来防护，但在复杂系统中，这些策略是不充分的。它们是系统安全不可缺的部分但不能完全保证系统的安全入侵检测（IntrusionDetection）是对入侵行为的发觉。它通过从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象IntrusionDetection传统的信息安全方法采用严格的访问控制和数据加密策略来防护，但3入侵检测的定义对系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可用性进行入侵检测的软件与硬件的组合便是入侵检测系统IDS:IntrusionDetectionSystem

入侵检测的定义对系统的运行状态进行监视，发现各种攻击企图、攻4入侵检测系统IDS（IntrusionDetectionSystem）就是入侵检测系统，它通过抓取网络上的所有报文，分析处理后，报告异常和重要的数据模式和行为模式，使网络安全管理员清楚地了解网络上发生的事件，并能够采取行动阻止可能的破坏。入侵检测系统IDS（IntrusionDetection5监控室=控制中心后门保安=防火墙摄像机=探测引擎CardKey形象地说，它就是网络摄象机，能够捕获并记录网络上的所有数据，同时它也是智能摄象机，能够分析网络数据并提炼出可疑的、异常的网络数据，它还是X光摄象机，能够穿透一些巧妙的伪装，抓住实际的内容。它还不仅仅只是摄象机，还包括保安员的摄象机，能够对入侵行为自动地进行反击：阻断连接、关闭道路（与防火墙联动）。监控室=控制中心后门保安=防火墙摄像机=探测引擎CardK6FirewallInternetServersDMZIDSAgentIntranet监控中心router攻击者发现攻击发现攻击发现攻击报警报警IDSAgentFirewallInternetServersDMZID7访问控制认证NAT加密防病毒、内容过滤流量管理常用的安全防护措施－防火墙访问控制加密常用的安全防护措施－防火墙8一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。

两个安全域之间通信流的唯一通道安全域1HostAHostB安全域2HostCHostDUDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根据访问控制规则决定进出网络的行为防火墙一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组9%c1%1c%c1%1cDirc:\防火墙的局限%c1%1c%c1%1cDirc:\防火墙的局限10防火墙的局限性防火墙不能防止通向站点的后门。防火墙一般不提供对内部的保护。防火墙无法防范数据驱动型的攻击。防火墙本身的防攻击能力不够，容易成为被攻击的首要目标防火墙不能根据网络被恶意使用和攻击的情况动态调整自己的策略防火墙的局限性防火墙不能防止通向站点的后门。11网络安全工具的特点优点局限性防火墙可简化网络管理，产品成熟无法处理网络内部的攻击IDS实时监控网络安全状态误报警，缓慢攻击，新的攻击模式Scanner简单可操作，帮助系统管理员和安全服务人员解决实际问题并不能真正扫描漏洞VPN保护公网上的内部通信可视为防火墙上的一个漏洞防病毒针对文件与邮件，产品成熟功能单一网络安全工具的特点优点局限性防火墙可简化网络管理，产品成熟无12IDS存在与发展的必然性网络攻击的破坏性、损失的严重性日益增长的网络安全威胁单纯的防火墙无法防范复杂多变的攻击IDS存在与发展的必然性网络攻击的破坏性、损失的严重性13为什么需要IDS关于防火墙网络边界的设备自身可以被攻破对某些攻击保护很弱不是所有的威胁来自防火墙外部入侵很容易入侵教程随处可见各种工具唾手可得为什么需要IDS关于防火墙14防火墙与IDS联动时间Dt-检测时间Pt-防护时间Rt-响应时间Pt-防护时间>+防火墙与IDS联动时间Dt-检测时间Pt-防护时间Rt-响应15在安全体系中，IDS是唯一一个通过数据和行为模式判断其是否有效的系统，防火墙就象一道门，它可以阻止一类人群的进入，但无法阻止同一类人群中的破坏分子，也不能阻止内部的破坏分子；访问控制系统可以不让低级权限的人做越权工作，但无法保证高级权限的做破坏工作，也无法保证低级权限的人通过非法行为获得高级权限入侵检测系统的作用在安全体系中，IDS是唯一一个通过数据和行为模式判断其是否有16入侵检测系统的作用实时检测实时地监视、分析网络中所有的数据报文发现并实时处理所捕获的数据报文安全审计对系统记录的网络事件进行统计分析发现异常现象得出系统的安全状态，找出所需要的证据主动响应主动切断连接或与防火墙联动，调用其他程序处理入侵检测系统的作用实时检测17入侵检测技术——IDS的作用入侵检测技术——IDS的作用18入侵检测的特点

一个完善的入侵检测系统的特点：经济性时效性安全性可扩展性入侵检测的特点一个完善的入侵检测系统的特点：19入侵检测技术——IDS的优点实时检测网络系统的非法行为网络IDS系统不占用系统的任何资源网络IDS系统是一个独立的网络设备，可以做到对黑客透明，因此其本身的安全性高它既是实时监测系统，也是记录审计系统，可以做到实时保护，事后分析取证主机IDS系统运行于保护系统之上，可以直接保护、恢复系统通过与防火墙的联动，可以更有效地阻止非法入侵和破坏入侵检测技术——IDS的优点实时检测网络系统的非法行为201980年Anderson提出：入侵检测概念，分类方法1987年Denning提出了一种通用的入侵检测模型独立性：系统、环境、脆弱性、入侵种类系统框架：异常检测器，专家系统90年初：CMDS™、NetProwler™、NetRanger™、ISSRealSecure™入侵检测起源（1）1980年Anderson提出：入侵检测概念，分类方法入21入侵检测的起源（2）审计技术：产生、记录并检查按时间顺序排列的系统事件记录的过程审计的目标：确定和保持系统活动中每个人的责任重建事件评估损失监测系统的问题区提供有效的灾难恢复阻止系统的不正当使用入侵检测的起源（2）审计技术：产生、记录并检查按时间顺序排列22入侵检测的起源（3）计算机安全和审计美国国防部在70年代支持“可信信息系统”的研究，最终审计机制纳入《可信计算机系统评估准则》（TCSEC）C2级以上系统的要求的一部分“褐皮书”《理解可信系统中的审计指南》入侵检测的起源（3）计算机安全和审计23入侵检测的起源（4）1980年4月，JamesP.Anderson:《ComputerSecurityThreatMonitoringandSurveillance》（计算机安全威胁监控与监视）的技术报告，第一次详细阐述了入侵检测的概念他提出了一种对计算机系统风险和威胁的分类方法，并将威胁分为外部渗透、内部渗透和不法行为三种还提出了利用审计跟踪数据监视入侵活动的思想。这份报告被公认为是入侵检测的开山之作入侵检测的起源（4）1980年4月，JamesP.And24入侵检测的起源（5）

从1984年到1986年，乔治敦大学的DorothyDenning和SRI/CSL的PeterNeumann研究出了一个实时入侵检测系统模型，取名为IDES（入侵检测专家系统）入侵检测的起源（5）从1984年到1986年，乔治敦25入侵检测的起源（6）1990，加州大学戴维斯分校的L.T.Heberlein等人开发出了NSM（NetworkSecurityMonitor）该系统第一次直接将网络流作为审计数据来源，因而可以在不将审计数据转换成统一格式的情况下监控异种主机入侵检测系统发展史翻开了新的一页，两大阵营正式形成：基于网络的IDS和基于主机的IDS入侵检测的起源（6）1990，加州大学戴维斯分校的L.T.26入侵检测的起源（7）入侵检测的起源（7）27IDS物理结构IDS引擎IDS控制中心事件上报控制和策略下发IDS物理结构IDS引擎IDS控制中心事件上报控制和策略下发28IDS物理结构——探测引擎采用旁路方式全面侦听网上信息流，实时分析将分析结果与探测器上运行的策略集相匹配执行报警、阻断、日志等功能。完成对控制中心指令的接收和响应工作。探测器是由策略驱动的网络监听和分析系统。IDS物理结构——探测引擎采用旁路方式全面侦听网上信息流，实29IDS物理结构——引擎的功能结构IDS物理结构——引擎的功能结构30提供报警显示提供对预警信息的记录和检索、统计功能制定入侵监测的策略；控制探测器系统的运行状态收集来自多台引擎的上报事件，综合进行事件分析，以多种方式对入侵事件作出快速响应。这种分布式结构有助于系统管理员的集中管理，全面搜集多台探测引擎的信息，进行入侵行为的分析。IDS物理结构——控制中心提供报警显示IDS物理结构——控制中心31IDS物理结构——控制中心的功能结构IDS物理结构——控制中心的功能结构32IDS的系统结构单机结构：引擎和控制中心在一个系统之上，不能远距离操作，只能在现场进行操作。优点是结构简单，不会因为通讯而影响网络带宽和泄密。分布式结构就是引擎和控制中心在2个系统之上，通过网络通讯，可以远距离查看和操作。目前的大多数IDS系统都是分布式的。优点不是必需在现场操作，可以用一个控制中心控制多个引擎，可以统一进行策略编辑和下发，可以统一查看申报的事件，可以通过分开事件显示和查看的功能提高处理速度等等。IDS的系统结构单机结构：引擎和控制中心在一个系统之上，33IDS的系统结构----分布式结构图IDS的系统结构----分布式结构图34IDS性能指标系统结构事件数量处理带宽定义事件事件响应自身安全

多级管理事件库更新友好界面日志分析资源占用率抗打击能力

IDS性能指标系统结构多级管理35日志分析所谓日志分析，就是按照事件的各种属性、源、目的地址分布等信息进行统计分析、数据检索等操作，提供各种分析的图形、表格信息，使用户十分清楚地了解所发生地总体态势，并方便地查找出所需要地事件。IDS的事件按照类型一般分为3大类：记录事件、可疑事件、非法事件。日志分析所谓日志分析，就是按照事件的各种属性、源、目的地址分36事件响应当IDS系统产生了一个事件后，不仅仅是报告显示该事件，还可以进行一系列操作对该事件进行实时处理。按照处理方法的不同，一般分为基本（被动）响应和积极（主动）响应2种。事件响应当IDS系统产生了一个事件后，不仅仅是报告显示该事件37基本响应是IDS所产生的响应只是为了更好地通知安全人员，并不对该网络行为进行进行自动的阻断行为。基本响应主要由下面几种：事件上报：事件日志：Email通知：手机短信息：呼机信息：Windows消息：基本响应基本响应是IDS所产生的响应只是为了更好地通知安全人员，并不38通过IDS的事件积极响应，IDS系统可以直接阻止网络非法行为，保障被保护系统的安全。阻断：通过发送扰乱报文，IDS系统破坏正常的网络连接，使非法行为无法继续进行。源阻断：通过记忆网络非法行为的源IP地址，在一段时间内阻断所有该地址的网络连接，使网络非法行为在其行动的初期就被有效地组织。联动：通过防火墙的联动，IDS系统可以彻底阻止网络非法行为基本响应通过IDS的事件积极响应，IDS系统可以直接阻止网络非法行为39考察IDS系统的一个关键性指标是报警事件的多少。一般而言，事件越多，表明IDS系统能够处理的能力越强。一般而言，这个数量在500－1000之间，应该与流行系统的漏洞数目相关。事件数量考察IDS系统的一个关键性指标是报警事件的多少。一般而言，事40作为分布式结构的IDS系统，通讯是其自身安全的关键因素。这包含2个部分：一是身份认证，一是数据加密。身份认证是要保证一个引擎，或者子控制中心只能由固定的上级进行控制，任何非法的控制行为将予以阻止，如下图所示：通讯作为分布式结构的IDS系统，通讯是其自身安全的关键因素。这包41探测引擎控制中心探测引擎控制中心非法控制中心通讯实例探测引擎控制中心探测引擎控制中心非法控制中心通讯实例42事件响应基本（被动）响应积极（主动）响应事件响应基本（被动）响应43连接申请方被连接方连接申请报文连接确认报文数据通讯报文通讯结束申请报文确认报文发送确认和连接报文数据通讯报文确认报文通讯结束申请报文TCP连接是经过3次握手建立连接、4次握手中断连接而完成的TCP连接的建立与拆除连接申请方被连接方连接申请报文连接确认报文数据通讯报44IDS设备开始报文后续报文防火墙监测网络报文设置命令IDS设备开始报文后续报文防火墙监测网络报文设置命令45隐蔽性：在作为一个安全的网络设备，IDS是不希望被网络上的其他系统发现，尤其不能让其他网络系统所访问。关闭所有可能的端口、修改系统的设置，阻止一切没有必要的网络行为、关闭所有网络行为，进行无IP地址抓包。定制操作系统自身安全隐蔽性：在作为一个安全的网络设备，IDS是不希望被网络上的其46分级管理的主要指标是管理层数目，至少具有主控、子控2级控制中心分级管理的另一个指标是各级系统的处理能力是否分档次多级管理分级管理的主要指标是管理层数目，至少具有主控、子控2级控制中47IDS的一个主要特点，就是更新快，否则就会失去作用。目前由于internet网络的发展，一个蠕虫病毒可能一天就流行与全世界因此IDS事件的增加速度，必须能够跟上需要的发展事件库更新IDS的一个主要特点，就是更新快，否则就会失去作用。目前由于48好的IDS系统必须有能力抵抗黑客的恶意信息的破坏IDS杀手：在短时间内发送大量的具有黑客特征的报文信息，使一个报文至少产生1个以上的IDS事件，造成IDS系统在1秒内生成成百上千的事件，最终“累死”IDS系统，同时掩护真正地黑客行为。IDS欺骗：目前地IDS系统主要使基于数据的模式匹配，因此，不少黑客程序通过把黑客特征信息分开，改变形式等措施，使IDS系统的数据匹配失效，从而躲过IDS的监控。如碎包抗打击能力好的IDS系统必须有能力抵抗黑客的恶意信息的破坏抗打击能力49IDS功能结构入侵检测是监测计算机网络和系统,以发现违反安全策略事件的过程简单地说，入侵检测系统包括三个功能部件：（1）信息收集（2）信息分析（3）结果处理IDS功能结构入侵检测是监测计算机网络和系统,以发现违反安全50信息收集（1）入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为。需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息，尽可能扩大检测范围从一个源来的信息有可能看不出疑点信息收集（1）入侵检测的第一步是信息收集，收集内容包括系统、51信息收集（2）入侵检测很大程度上依赖于收集信息的可靠性和正确性，因此，要保证用来检测网络系统的软件的完整性，特别是入侵检测系统软件本身应具有相当强的坚固性，防止被篡改而收集到错误的信息信息收集（2）入侵检测很大程度上依赖于收集信息的可靠性和正确52信息收集的来源系统或网络的日志文件网络流量系统目录和文件的异常变化程序执行中的异常行为信息收集的来源系统或网络的日志文件53系统或网络的日志文件黑客经常在系统日志文件中留下他们的踪迹，因此，充分利用系统和网络日志文件信息是检测入侵的必要条件日志文件中记录了各种行为类型，每种类型又包含不同的信息，例如记录“用户活动”类型的日志，就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容显然，对用户活动来讲，不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等系统或网络的日志文件黑客经常在系统日志文件中留下他们的踪迹，54系统目录和文件的异常变化网络环境中的文件系统包含很多软件和数据文件，包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标。目录和文件中的不期望的改变（包括修改、创建和删除），特别是那些正常情况下限制访问的，很可能就是一种入侵产生的指示和信号入侵者经常替换、修改和破坏他们获得访问权的系统上的文件，同时为了隐藏系统中他们的表现及活动痕迹，都会尽力去替换系统程序或修改系统日志文件

系统目录和文件的异常变化网络环境中的文件系统包含很多软件和数55信息分析模式匹配统计分析完整性分析，往往用于事后分析信息分析模式匹配56模式匹配模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为一般来讲，一种进攻模式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表示。该过程可以很简单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化）模式匹配模式匹配就是将收集到的信息与已知的网络入侵和系统误用57统计分析统计分析方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生统计分析统计分析方法首先给系统对象（如用户、文件、目录和设备58完整性分析完整性分析主要关注某个文件或对象是否被更改，这经常包括文件和目录的内容及属性，它在发现被更改的、被安装木马的应用程序方面特别有效完整性分析完整性分析主要关注某个文件或对象是否被更改，这经常59入侵检测的分类（1）按照分析方法（检测方法）异常检测模型（AnomalyDetection):首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵。也称为基于行为的检测。误用检测模型（MisuseDetection)：收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。也称为基于知识的检测。入侵检测的分类（1）按照分析方法（检测方法）60异常检测BelowThresholdlevelsExceedThresholdLevelsSystemAuditMetricsProfilerIntrusionNormalActivity异常检测模型(基于行为的检测）异常检测BelowThresholdlevelsExce61前提：入侵是异常活动的子集用户轮廓(Profile):通常定义为各种行为参数及其阀值的集合，用于描述正常行为范围过程监控

量化比较判定

修正指标:漏报(falsepositive),错报(falsenegative)异常检测前提：入侵是异常活动的子集异常检测62异常检测如果系统错误地将异常活动定义为入侵，称为误报(falsepositive)；如果系统未能检测出真正的入侵行为则称为漏报(falsenegative)。特点：异常检测系统的效率取决于用户轮廓的完备性和监控的频率。因为不需要对每种入侵行为进行定义，因此能有效检测未知的入侵。同时系统能针对用户行为的改变进行自我调整和优化，但随着检测模型的逐步精确，异常检测会消耗更多的系统资源。与系统无关，通用性强。误检率高。

异常检测如果系统错误地将异常活动定义为入侵，称为误报(fal63AnomalyDetectionactivitymeasuresprobableintrusionRelativelyhighfalsepositiverate- anomaliescanjustbenewnormalactivities.0102030405060708090CPUProcessSizenormalprofileabnormalAnomalyDetectionactivitymeas64基于误用的入侵检测思想：运用已知攻击方法，根据已定义好的入侵模式，通过判断这些入侵模式是否出现来检测。因为很大一部分的入侵是利用了系统的脆弱性，通过分析入侵过程的特征、条件、次序以及事件间关系能具体描述入侵行为的迹象。也称基于知识的入侵检测。依据具体特征库进行判断，所以检测准确度很高，并且因为检测结果有明确的参照，也为系统管理员做出相应措施提供了方便。重要问题如何全面的描述攻击的特征如何排除干扰，减小误报解决问题的方式基于误用的入侵检测思想：运用已知攻击方法，根据已定义好的入侵65SystemAuditMetricsPatternMatcherIntrusionNormalActivityNoSignatureMatchSignatureMatch误用检测模型（基于知识的检测）误用检测SystemAuditMetricsPatternMat66前提：所有的入侵行为都有可被检测到的特征攻击特征库:当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵过程监控

特征提取匹配判定指标错报低漏报高

误用检测前提：所有的入侵行为都有可被检测到的特征误用检测67误用检测模型如果入侵特征与正常的用户行能匹配，则系统会发生误报；如果没有特征能与某种新的攻击行为匹配，则系统会发生漏报。特点：采用特征匹配，误用模式能明显降低错报率，但漏报率随之增加。攻击特征的细微变化，会使得滥用检测无能为力误用检测模型如果入侵特征与正常的用户行能匹配，则系统会发生误68MisuseDetectionIntrusionPatternsactivitiespatternmatchingintrusionCan’tdetectnewattacksExample:if(src_ip==dst_ip)then“landattack”MisuseDetectionIntrusionPatt69入侵检测的分类（2）按照数据来源：基于主机：系统获取数据的依据是系统运行所在的主机，保护的目标也是系统运行所在的主机基于网络：系统获取的数据是网络传输的数据包，保护的是网络的运行混合型入侵检测的分类（2）按照数据来源：70监视与分析主机的审计记录可以不运行在监控主机上能否及时采集到审计记录？如何保护作为攻击目标主机审计子系统？基于主机监视与分析主机的审计记录基于主机71在共享网段上对通信数据进行侦听采集数据主机资源消耗少提供对网络通用的保护如何适应高速网络环境？非共享网络上如何采集数据？基于网络在共享网段上对通信数据进行侦听采集数据基于网络72两类IDS监测软件网络IDS侦测速度快隐蔽性好视野更宽较少的监测器占资源少主机IDS视野集中易于用户自定义保护更加周密对网络流量不敏感两类IDS监测软件网络IDS主机IDS73入侵检测的分类（3）按系统各模块的运行方式集中式：系统的各个模块包括数据的收集分析集中在一台主机上运行分布式：系统的各个模块分布在不同的计算机和设备上入侵检测的分类（3）按系统各模块的运行方式74入侵检测的分类（4）根据时效性脱机分析：行为发生后，对产生的数据进行分析联机分析：在数据产生的同时或者发生改变时进行分析入侵检测的分类（4）根据时效性75当一个入侵正在发生或者试图发生时，IDS系统将发布一个alert信息通知系统管理员如果控制台与IDS系统同在一台机器，alert信息将显示在监视器上，也可能伴随着声音提示如果是远程控制台，那么alert将通过IDS系统内置方法（通常是加密的）、SNMP（简单网络管理协议，通常不加密）、email、SMS（短信息）或者以上几种方法的混合方式传递给管理员常用术语——Alert（警报）当一个入侵正在发生或者试图发生时，IDS系统将发布一个ale76当有某个事件与一个已知攻击的信号相匹配时，多数IDS都会告警一个基于anomaly（异常）的IDS会构造一个当时活动的主机或网络的大致轮廓，当有一个在这个轮廓以外的事件发生时，IDS就会告警有些IDS厂商将此方法看做启发式功能，但一个启发式的IDS应该在其推理判断方面具有更多的智能常用术语——

Anomaly（异常）当有某个事件与一个已知攻击的信号相匹配时，多数IDS都会告警77首先，可以通过重新配置路由器和防火墙，拒绝那些来自同一地址的信息流;其次，通过在网络上发送reset包切断连接但是这两种方式都有问题，攻击者可以反过来利用重新配置的设备，其方法是：通过伪装成一个友方的地址来发动攻击，然后IDS就会配置路由器和防火墙来拒绝这些地址，这样实际上就是对“自己人”拒绝服务了发送reset包的方法要求有一个活动的网络接口，这样它将置于攻击之下，一个补救的办法是：使活动网络接口位于防火墙内，或者使用专门的发包程序，从而避开标准IP栈需求常用术语——

AutomatedResponse首先，可以通过重新配置路由器和防火墙，拒绝那些来自同一地址的78IDS的核心是攻击特征，它使IDS在事件发生时触发特征信息过短会经常触发IDS，导致误报或错报，过长则会减慢IDS的工作速度有人将IDS所支持的特征数视为IDS好坏的标准，但是有的产商用一个特征涵盖许多攻击，而有些产商则会将这些特征单独列出，这就会给人一种印象，好像它包含了更多的特征，是更好的IDS常用术语——

Signatures（特征）IDS的核心是攻击特征，它使IDS在事件发生时触发常用术语—79默认状态下，IDS网络接口只能看到进出主机的信息，也就是所谓的non-promiscuous（非混杂模式）如果网络接口是混杂模式，就可以看到网段中所有的网络通信量，不管其来源或目的地这对于网络IDS是必要的，但同时可能被信息包嗅探器所利用来监控网络通信量交换型HUB可以解决这个问题，在能看到全面通信量的地方，会都许多跨越（span）端口常用术语——Promiscuous（混杂模式）默认状态下，IDS网络接口只能看到进出主机的信息，也就是所谓80试验模型（OperationalModel）平均值和标准差模型（MeanandStandardDeviationModel）:多变量模型（MultivariateModel）:多个随机变量的相关性计算，马尔可夫过程模型（MarkovProcessModel）：初始分布和概率转移矩阵；预测新的事件的出现频率太低，则表明出现异常情况。时序模型（TimeSeriesModel）：该模型通过间隔计时器和资源计数器两种类型随机变量参数之间的相隔时间和它们的值来判断入侵入侵检测相关的数学模型试验模型（OperationalModel）入侵检测相关的81统计异常检测基于特征选择异常检测基于贝叶斯推理异常检测基于贝叶斯网络异常检测基于模式预测异常检测基于神经网络异常检测基于贝叶斯聚类异常检测基于机器学习异常检测基于数据挖掘异常检测异常入侵检测方法统计异常检测异常入侵检测方法82基于行为的检测——概率统计方法操作密度审计记录分布范畴尺度数值尺度记录的具体操作包括：CPU的使用，I/O的使用，使用地点及时间，邮件使用，编辑器使用，编译器使用，所创建、删除、访问或改变的目录及文件，网络上活动等。基于行为的检测——概率统计方法操作密度记录的具体操作包括：83基本思想是用一系列信息单元(命令)训练神经单元，这样在给定一组输入后，就可能预测出输出。当前命令和刚过去的w个命令组成了网络的输入，其中w是神经网络预测下一个命令时所包含的过去命令集的大小。根据用户的代表性命令序列训练网络后，该网络就形成了相应用户的特征表，于是网络对下一事件的预测错误率在一定程度上反映了用户行为的异常程度。目前还不很成熟。基于行为的检测——神经网络方法基本思想是用一系列信息单元(命令)训练神经单元，这样在给定一84神经网络检测思想神经网络检测思想85基于条件概率误用检测基于专家系统误用检测基于状态迁移误用检测基于键盘监控误用检测基于模型误用检测误用入侵检测方法基于条件概率误用检测误用入侵检测方法86基于知识的检测——模型推理模型推理是指结合攻击脚本推理出入侵行为是否出现。其中有关攻击者行为的知识被描述为：攻击者目的，攻击者达到此目的的可能行为步骤，以及对系统的特殊使用等。根据这些知识建立攻击脚本库，每一脚本都由一系列攻击行为组成。

基于知识的检测——模型推理模型推理是指结合攻击脚本推理出入87基于知识的检测——状态迁移分析状态迁移法将入侵过程看作一个行为序列，这个行为序列导致系统从初始状态转入被入侵状态。分析时首先针对每一种入侵方法确定系统的初始状态和被入侵状态，以及导致状态迁移的转换条件，即导致系统进入被入侵状态必须执行的操作(特征事件)。然后用状态转换图来表示每一个状态和特征事件，这些事件被集成于模型中，所以检测时不需要一个个地查找审计记录。但是，状态转换是针对事件序列分析，所以不善于分析过分复杂的事件，而且不能检测与系统状态无关的入侵。

基于知识的检测——状态迁移分析状态迁移法将入侵过程看作一个88Petri网分析一分钟内4次登录失败Petri网分析一分钟内4次登录失败89基于生物免疫检测基于伪装检测其它基于生物免疫检测其它90基于协议分析的检测检测要点TCP协议：protocol:tcp目地端口21：dstport:21必须是已经建立的连接：conn_status:established（TCP层状态跟踪）必须是FTP已经登录成功：ftp_login:success（应用层状态跟踪）协议命令分析，把cd命令与后面的参数分开来，看cd后面是目录名是否为“\..%20.”：ftpcomm_cd_para:”\..%20.”（协议解码）分析下一个服务器回应的包，是“250”（成功）还是“550”（失败）：ftp_reply:”250”|”550”（应用层状态跟踪）很难让这种分析产生误报和漏报，而且还能跟踪攻击是否成功。基于协议分析的检测检测要点91活动数据源感应器分析器管理器操作员管理员事件警报通告应急安全策略安全策略入侵检测系统原理图活动数据源感应器分析器管理器操作员管理员事件警报通应急安全策92攻击模式库入侵检测器应急措施配置系统库数据采集安全控制系统审计记录/协议数据等系统操作简单的入侵检测示意图攻击模式库入侵检测器应急措施配置系统库数据采集安全控制系统审93基于主机的入侵检测系统系统分析主机产生的数据（应用程序及操作系统的事件日志）由于内部人员的威胁正变得更重要基于主机的检测威胁基于主机的结构优点及问题基于主机的入侵检测系统系统分析主机产生的数据（应用程序及操作94基于主机的检测威胁特权滥用关键数据的访问及修改安全配置的变化基于主机的检测威胁特权滥用95基于主机的入侵检测系统结构基于主机的入侵检测系统通常是基于代理的，代理是运行在目标系统上的可执行程序，与中央控制计算机通信集中式：原始数据在分析之前要先发送到中央位置分布式：原始数据在目标系统上实时分析，只有告警命令被发送给控制台基于主机的入侵检测系统结构基于主机的入侵检测系统通常是基于代96目标系统审计记录收集方法审计记录预处理异常检测误用检测安全管理员接口审计记录数据归档/查询审计记录数据库审计记录基于审计的入侵检测系统结构示意图目标系统审计记录收集方法审计记录预处理异常检测误用检测安全管97集中式检测的优缺点优点：不会降低目标机的性能统计行为信息多主机标志、用于支持起诉的原始数据缺点：不能进行实时检测不能实时响应影响网络通信量集中式检测的优缺点优点：98分布式检测的优缺点优点：实时告警实时响应缺点：降低目标机的性能没有统计行为信息没有多主机标志没有用于支持起诉的原始数据降低了数据的辨析能力系统离线时不能分析数据分布式检测的优缺点优点：99操作模式操作主机入侵检测系统的方式警告监视毁坏情况评估遵从性操作模式操作主机入侵检测系统的方式100基于主机的技术面临的问题性能：降低是不可避免的部署/维护损害欺骗基于主机的技术面临的问题性能：降低是不可避免的101基于网络的入侵检测系统入侵检测系统分析网络数据包基于网络的检测威胁基于网络的结构优点及问题基于网络的入侵检测系统入侵检测系统分析网络数据包102基于网络的检测威胁非授权访问数据/资源的窃取拒绝服务基于网络的检测威胁非授权访问103基于网络的入侵检测系统结构基于网络的入侵检测系统由遍及网络的传感器（Sensor)组成，传感器会向中央控制台报告。传感器通常是独立的检测引擎，能获得网络分组、找寻误用模式，然后告警。传统的基于传感器的结构分布式网络节点结构基于网络的入侵检测系统结构基于网络的入侵检测系统由遍及网络的104传统的基于传感器的结构传感器（通常设置为混杂模式）用于嗅探网络上的数据分组，并将分组送往检测引擎检测引擎安装在传感器计算机本身网络分接器分布在关键任务网段上，每个网段一个传统的基于传感器的结构传感器（通常设置为混杂模式）用于嗅探网105管理/配置入侵分析引擎器网络安全数据库嗅探器嗅探器分析结果基于网络的入侵检测系统模型管理/配置入侵分析引擎器网络安全数据库嗅探器嗅探器分析结果基106分布式网络节点结构为解决高速网络上的丢包问题，1999年6月，出现的一种新的结构，将传感器分布到网络上的每台计算机上每个传感器检查流经他的网络分组，然后传感器相互通信，主控制台将所有的告警聚集、关联起来分布式网络节点结构为解决高速网络上的丢包问题，1999年6月107数据采集构件应急处理构件通信传输构件检测分析构件管理构件安全知识库分布式入侵检测系统结构示意图数据采集构件应急处理构件通信传输构件检测分析构件管理构件安全108基于网络的入侵检测的好处威慑外部人员检测自动响应及报告基于网络的入侵检测的好处威慑外部人员109基于网络的技术面临的问题分组重组高速网络加密对NIDS的规避基于网络的技术面临的问题分组重组110对NIDS的规避及对策基于网络层的规避及对策基于应用层的规避及对策对NIDS的规避及对策基于网络层的规避及对策111基于网络层的规避及对策理论1998年1月Ptacek&Newsham论文：《Insertion,Evasion,andDenialofService:EludingNetworkIntrusionDetection》主要思想一个网络上被动的设备很难只根据网络上的数据预计受保护的终端系统的行为，利用IDS对数据包的分析处理方式与终端服务器TCP/IP实现方式的不同，进行插入、逃避及拒绝服务攻击，使IDS无法正确地检测到攻击。基于网络层的规避及对策理论112对数据包的不同处理方式当处理到重叠的TCP/IP分片时，有些系统保留新数据，有些系统保留老数据，IDS处理重叠时可能与终端系统不同WindowsNT4.0保留老数据Linux保留新数据终端系统可能会丢弃某些带了不被支持或不寻常的TCP/IP选项的数据包，IDS则可能还会处理那些包终端系统可能被配置成丢弃源路由的包终端系统可能丢弃有老时间戳的包终端系统可能丢弃某些带有特殊TCP/IP选项组合的包因为网络拓扑与数据包TTL值的设置，IDS和终端系统可能收到不同的数据包对数据包的不同处理方式当处理到重叠的TCP/IP分片时，有些113更多的不同…在进行TCP/IP分片的重组时，IDS与终端系统的所设定的超时可能不同，造成重组的结果不同IDS与终端系统的硬件能力不同，导致一方能够完成的重组对另一方来说不可能完成所有以上这些的不同，使下面的这几种攻击成为可能。更多的不同…在进行TCP/IP分片的重组时，IDS与终端系统114插入攻击在数据流中插入多余的字符，而这些多余的字符会使IDS接受而被终端系统所丢弃。插入攻击在数据流中插入多余的字符，而这些多余的字符会使IDS115逃避攻击想办法使数据流中的某些数据包造成终端系统会接受而IDS会丢弃局面。逃避攻击想办法使数据流中的某些数据包造成终端系统会接受而ID116拒绝服务攻击IDS本身的资源也是有限的，攻击者可以想办法使其耗尽其中的某种资源而使之失去正常的功能。CPU，攻击者可以迫使IDS去执行一些特别耗费计算时间而又无意义的事内存，连接状态的保留、数据包的重组都需要大量的内存，攻击者可以想办法使IDS不停的消耗内存日志记录空间，攻击者可以不停地触发某个事件让IDS不停地记录，最终占满记录空间IDS需要处理网络上所有的数据包，如果攻击者能使IDS所在的网络达到很高的流量，IDS的检测能力将急剧下降拒绝服务攻击IDS本身的资源也是有限的，攻击者可以想办法使其117基于网络的入侵检测系统的主要优点有：（1）成本低。（2）攻击者转移证据很困难。（3）实时检测和应答。一旦发生恶意访问或攻击，基于网络的IDS检测可以随时发现它们，因此能够更快地作出反应。从而将入侵活动对系统的破坏减到最低。（4）能够检测未成功的攻击企图。（5）操作系统独立。基于网络的IDS并不依赖主机的操作系统作为检测资源。而基于主机的系统需要特定的操作系统才能发挥作用。基于主机的IDS的主要优势有：（1）非常适用于加密和交换环境。（2）实时的检测和应答。（3）不需要额外的硬件。主机IDS和网络IDS的比较基于网络的入侵检测系统的主要优点有：主机IDS和网络IDS的118基于异常的入侵检测思想：任何正常人的行为有一定的规律需要考虑的问题：（1）选择哪些数据来表现用户的行为（2）通过以上数据如何有效地表示用户的行为，主要在于学习和检测方法的不同（3）考虑学习过程的时间长短、用户行为的时效性等问题基于异常的入侵检测思想：任何正常人的行为有一定的规律119数据选取的原则（1）数据能充分反映用户行为特征的全貌（2）应使需要的数据量最小（3）数据提取难度不应太大数据选取的原则（1）数据能充分反映用户行为特征的全貌120NIDS抓包PF_PACKET从链路层抓包libpcap提供API函数winpcapWindows下的抓包库NIDS抓包PF_PACKET121分析数据包EthernetIPTCP模式匹配EthernetIPTCP协议分析HTTPUnicodeXML分析数据包EthernetIPTCP模式匹配Ethernet122模式匹配模式匹配123协议分析协议分析124一个攻击检测实例老版本的Sendmail漏洞利用$telnet25WIZshell或者DEBUG#直接获得rootshell！一个攻击检测实例老版本的Sendmail漏洞利用125简单的匹配检查每个packet是否包含： “WIZ” |“DEBUG”简单的匹配检查每个packet是否包含：126检查端口号缩小匹配范围Port25:{ “WIZ” |“DEBUG”}检查端口号缩小匹配范围127深入决策树只判断客户端发送部分Port25:{ Client-sends:“WIZ”| Client-sends:“DEBUG”}深入决策树只判断客户端发送部分128响应策略弹出窗口报警E-mail通知切断TCP连接执行自定义程序与其他安全产品交互FirewallSNMPTrap响应策略弹出窗口报警129压制调速撤消连接回避隔离SYN/ACKRESETs自动响应压制调速自动响应130一个高级的网络节点在使用“压制调速”技术的情况下，可以采用路由器把攻击者引导到一个经过特殊装备的系统上，这种系统被成为蜜罐蜜罐是一种欺骗手段，它可以用于错误地诱导攻击者，也可以用于收集攻击信息，以改进防御能力蜜罐能采集的信息量由自身能提供的手段以及攻击行为数量决定蜜罐一个高级的网络节点在使用“压制调速”技术的情况下，可以采用路131BOF:

NFRWindowspecter是商业产品，运行在Windows平台上DeceptionToolkit:DTK是一个状态机，实际上它能虚拟任何服务，并可方便地利用其中的功能直接模仿许多服务程序Mantrap:

Recourse最多达四种操作系统运行在Solaris平台Honeynets:它是一个专门设计来让人“攻陷”的网络，一旦被入侵者所攻破，入侵者的一切信息、工具等都将被用来分析学习蜜罐实例BOF:NFRWindows蜜罐实例132主动攻击模型主动攻击模型133CIDFCIDF134ComponentsEventgenerators("E-boxes")Eventanalyzers("A-boxes")Eventdatabases("D-boxes")Responseunits("R-boxes")ComponentsEventgenerators("E135EventGenerators

obtaineventsfromthelargercomputationalenvironmentoutsidetheintrusiondetectionsystemprovidethemintheCIDFgidoformattotherestofthesystem.EventGeneratorsobtainevent136EventGeneratorsconvertingfeaturesoftypicalcomputationalenvironmentsintostandardgidoformatre-usableinthatCIDFhasastandardgidoformatitisusefultospecifyaninterfaceforhoweventgeneratorsareconfiguredandusedEventGeneratorsconvertingfea137EventAnalyzersReceivegidosfromothercomponentsAnalyzethem,andreturnnewgidos(whichpresumablyrepresentsomekindofsynthesisorsummaryoftheinputevents)EventAnalyzersReceivegidos138EventDatabasesThesecomponentssimplyexisttogivepersistencetoCIDFgidoswherethatisnecessary

EventDatabasesThesecomponent139ResponseUnitsConsumegidoswhichdirectthemCarryoutsomekindofactiononbehalfofotherCIDFcomponents,andtheycarryoutthisaction.Thisincludessuchthingsaskillingprocesses,resettingconnections,alteringfilepermissions,etc.ResponseUnitsConsumegidosw140CISLACommonIntrusionSpecificationLanguageAlanguagethatcanbeusedtodisseminateeventrecords,analysisresults,andcountermeasuredirectivesamongstintrusiondetectionandresponsecomponents.Wegiveanencodingthattranslatesthesemessagesintoanefficientoctetstream.CISLACommonIntrusionSpecifi141配置互操作性：相互发现并交换数据语法互操作性：正确识别交换的数据语义互操作性：相互理解交换的数据CIDF互操作性配置互操作性：相互发现并交换数据CIDF互操作性142分析互补互纠核实调整响应CIDF协同方式分析CIDF协同方式143LanguageGoalsList

Anylanguageusedtoexchangeinformationaboutattacksshouldhavethefollowingqualities:Expressive.Componentsshouldbeabletoexpressawiderangeofintrusion-andmisuse-relatedphenomenaandprescriptions.Uniqueinexpression.Componentsshouldnotbeabletoexpressagivensentimentinanearlyinfinitenumberofways;instead,thereshouldbeoneorasmallnumberof"natural"expressions.Precise.Themeaningofanutteranceinthelanguageshouldbewell-defined.Butthislanguageshouldalsobe...Layered.Specificsensesshouldbeexpressedascasesofgeneralsenses,sothatdifferentreceiverswithdifferentrequirementscandiscernasmuchastheyneedfromamessage.Self-defining.Consumersthatreceiveareportshouldbeabletointerpretmessagestothedegreethattheyneedto,withoutrecoursetoout-of-bandnegotiation.LanguageGoalsListAnylan144LanguageGoalsListEfficient.Messagesshouldconsumeaslittleofsystemresourcesaspossible.Especially,itshouldbepossibletoomitcontextualinformationinmostofasequenceofsimilarmessages.Extensible.Ifagroupofproducersandconsumersdecideonadditionalinformationtheywishtobeabletoexpress,theycandefineawayofdoingsowithaminimumoftroubleandnotloseanycompatibilitywithotherCIDFcomponentsthatdonotknowtheirextension.Theseextensionsmaybearbitrarilycomplex.Simple.Producersshouldbeabletoencodeinformationquickly;consumersshouldbeabletoextracttheinformationtheyneedwithouthavingtodoexcessiveprocessing.Portable.Thelanguageshouldsupportavarietyofplatformsandtransportmechanisms---supportmeaningthattheenvironmentshouldnotfundamentallylimitwhatinformationisexchanged.Easytoimplement.Ifthelanguageistoodifficulttoimplement,thenitwillnotbeused.LanguageGoalsListEfficient.145OPSECOpenPlatformforSecurity

Anopen,industry-wideinitiativewhichenablescustomerstodeploymulti-vendorsecuritysolutionsunifiedbyasinglemanagementframework.DevelopedbyCheckPointSoftwareTechnologies,ithasbecomethedefactoindustrystandardplatformforachievingtrueenterprise-widesecurityintegrationatthepolicylevel.TheOPSECarchitectureallowscustomerstobuildthesecurenetworkthatmeetstheirspecificbusinessneeds.Customerscanchoosefromover200best-of-breedproducts,fromrouters,switches,servers,gatewaysandVPNdevices,toanti-virus,intrusiondetection,URLfiltering,highavailabilityandothersecurityandreportingapplications.TheycanalsosignupwithManagedServiceProviderswhoseofferingsarebasedonCheckPointandOPSECsolutions.

OPSECOpenPlatformforSecurit146基于主机和基于网络的入侵检测系统采集、分析的数据不全面入侵检测由各个检测引擎独立完成，中心管理控制平台并不具备检测入侵的功能，缺乏综合分析在响应上，除了日志和告警，检测引擎只能通过发送RST包切断网络连接，或向攻击源发送目标不可达信息来实现安全控制IDS现状基于主机和基于网络的入侵检测系统采集、分析的数据不全面IDS147目前IDS实现的功能是相对初级的IDS也需要充分利用数据信息的相关性IDS作为网络安全整体解决方案的重要部分，与其他安全设备之间应该有着紧密的联系IDS需要一种新的系统体系来克服自身的不足，并将IDS的各个功能模块与其他安全产品有机地融合起来,这就需要引入协同的概念协同目前IDS实现的功能是相对初级的协同148基于网络的IDS需要采集动态数据（网络数据包）基于主机的IDS需要采集静态数据（日志文件等）目前的IDS将网络数据包的采集、分析与日志文件的采集、分析割裂开来，没有在这两类原始数据的相关性上作考虑。在数据采集上进行协同并充分利用各层次的数据，是提高入侵检测能力的首要条件数据采集协同基于网络的IDS需要采集动态数据（网络数据包）数据采集协同149入侵检测不仅需要利用模式匹配和异常检测技术来分析某个检测引擎所采集的数据，以发现一些简单的入侵行为，还需要在此基础上利用数据挖掘技术，分析多个检测引擎提交的审计数据以发现更为复杂的入侵行为。

两个层面上进行单个检测引擎采集的数据：综合使用检测技术，以发现较为常见的、典型的攻击行为<——本地引擎多个检测引擎的审计数据：利用数据挖掘技术进行分析，以发现较为复杂的攻击行为<——中心管理控制平台数据分析协同

入侵检测不仅需要利用模式匹配和异常检测技术来分析某个检测引擎150数据挖掘技术是一种决策支持过程，它主要基于AI，机器学习统计等技术，能高度自动化地分析原有数据，做出归纳性推理，从中挖掘出潜在的模式，预测出客户的行为运用关联分析，能够提取入侵行为在时间和空间上的关联，可以进行的关联包括源IP关联、目标IP关联、数据包特征关联、时间周期关联、网络流量关联等；运用序列模式分析可以进行入侵行为的时间序列特征分析；利用以上的分析结构，可以制订入侵行为的分类标准，并进行形式化的描述，通过一定的训练数据集来构造检测模型；运用聚类分析，能优化或完全抛弃既有的模型，对入侵行为重新划分并用显示或隐式的方法进行描述数据挖掘数据挖掘技术是一种决策支持过程，它主要基于AI，机器学习统计151数据准备数据清理和集成数据挖掘知识表示模式评估数据挖掘过程数据准备数据挖掘过程152从审计数据中提取特征，以帮助区分正常数据和攻击行为将这些特征用于模式匹配或异常检测模型描述一种人工异常产生方法，来降低异常检测算法的误报率提供一种结合模式匹配和异常检测模型的方法数据挖掘从审计数据中提取特征，以帮助区分正常数据和攻击行为数据挖掘153引擎观察原始数据并计算用于模型评估的特征检测器获取引擎的数据并利用检测模型来评估它是否是一个攻击数据仓库被用作数据和模型的中心存储地;模型产生的主要目的是为了加快开发以及分发新的入侵检测模型的速度基本框架引擎观察原始数据并计算用于模型评估的特征基本框架154理想的情况是，建立相关安全产品能够相互通信并协同工作的安全体系，实现防火墙、IDS、病毒防护系统和审计系统等的互通与联动，以实现整体安全防护响应协同：当IDS检测到需要阻断的入侵行为时，立即迅速启动联动机制，自动通知防火墙或其他安全控制设备对攻击源进行封堵，达到整体安全控制的效果。IDS与防火墙的联动，可封堵源自外部网络的攻击IDS与网络管理系统的联动，可封堵被利用的网络设备和主机IDS与操作系统的联动，可封堵有恶意的用户账号IDS与内网监控管理系统的联动，可封堵内部网络上恶意的主机响应协同理想的情况是，建立相关安全产品能够相互通信并协同工作的安全体155通过在防火墙中驻留的一个IDSAgent对象，以接收来自IDS的控制消息，然后再增加防火墙的过滤规则，最终实现联动CiscoCIDF(CISL)ISSCheckpointIDS与Firewall联动通过在防火墙中驻留的一个IDSAgent对象，以接收来自I156只需收集相关的数据集合，显著减少系统负担技术已相当成熟检测准确率和效率都相当高模式匹配优点只需收集相关的数据集合，显著减少系统负担模式匹配优点1571．计算负荷大：支撑这一算法所需的计算量非常惊人，对一个满负荷的100兆以太网而言，所需的计算量是每秒720亿次计算。这一计算速度要求大大超出了现有的技术条件。同时，这种办法虽然可以把系统构建为部分覆盖的功能，但是这样的系统有严重的性能问题，并容易被黑客规避2．检测准确率低：第二个根本弱点是使用固定的特征模式来检测入侵只能检测特定的特征，这将会错过通过对原始攻击串做对攻击效果无影响的微小变形而衍生所得的攻击3.没有理解能力：模式匹配系统没有判别模式的真实含义和实际效果的能力，因此，所有的变形都将成为攻击特征库里一个不同的特征，这就是模式匹配系统有一个庞大的特征库的原因模式匹配缺点1．计算负荷大：支撑这一算法所需的计算量非常惊人，对一个满负158高速网络的出现

基于模式匹配的入侵检测系统在一个满负荷的100兆以太网上，将不得不丢弃30%～75%的数据流量某些系统，即使在利用率为20%的100兆以太网上也已经开始漏掉某些攻击行为攻击技术的提高降低错报率和漏报率的要求新技术的出现高速网络的出现新技术的出现159协议分析加命令解析技术是一种新的入侵检测技术，它结合高速数据包捕捉、协议分析和命令解析来进行入侵检测，给入侵检测战场带来了许多决定性的优势由于有了协议分析加命令解析的高效技术，基于运行在单个Intel架构计算机上的入侵检测系统的千兆网络警戒系统，就能分析一个高负载的千兆以太网上同时存在的超过300万个连接，而不错漏一个包协议分析＋命令解析协议分析加命令解析技术是一种新的入侵检测技术，它结合高速数据160协议分析充分利用了网络协议的高度有序性，使用这些知识快速检测某个攻击特征的存在因为系统在每一层上都沿着协议栈向上解码，因此可以使用所有当前已知的协议信息，来排除所有不属于这一个协议结构的攻击。协议分析协议分析充分利用了网络协议的高度有序性，使用这些知识快速检测161协议解码ProtocolAnalysisEther、IP、ARPTCP、UDP、ICMPHTTP、Telnet、DNS、FTP、IRC、NetBIOS、SMB、SMTP、SNMP、TFTP、RPC、POP3、Finger、rlogin、MIME、IMAP4、VNC、RealAudio、NetGames、MSSQL协议解码ProtocolAnalysis162协议分析的优势效率高检测0-day漏洞脚本例如大量的90字符可能是ShellCode中的NOOP操作。依据RFC，执行协议异常分析协议分析的优势效率高163解析器是一个命令解释程序，入侵检测引擎包括了多种不同的命令语法解析器，因此，它能对不同的高层协议——如Telnet、FTP、HTTP、SMTP、SNMP、DNS等的用户命令进行详细的分析。命令解析器具有读取攻击串及其所有可能的变形，并发掘其本质含义的能力。这样，在攻击特征库中只需要一个特征，就能检测这一攻击所有可能的变形。解析器在发掘出命令的真实含义后将给恶意命令做好标记，主机将会在这些包到达操作系统、应用程序之前丢弃它们。命令解析解析器是一个命令解释程序，入侵检测引擎包括了多种不同的命令语164第一步——直接跳到第13个字节，并读取2个字节的协议标识。如果值是0800，则说明这个以太网帧的数据域携带的是IP包，基于协议解码的入侵检测利用这一信息指示第二步的检测工作。第二步——跳到第24个字节处读取1字节的第四层协议标识。如果读取到的值是06，则说明这个IP帧的数据域携带的是TCP包，入侵检测利用这一信息指示第三步的检测工作。第三步——跳到第35个字节处读取一对端口号。如果有一个端口号是0080，则说明这个TCP帧的数据域携带的是HTTP包，基于协议解码的入侵检测利用这一信息指示第四步的检测工作。第四步——让解析器从第55个字节开始读取URL。URL串将被提交给HTTP解析器，在它被允许提交给Web服务器前，由HTTP解析器来分析它是否可能会做攻击行为。典型例子第一步——直接跳到第13个字节，并读取2个字节的协议标识。如165●提高了性能：协议分析利用已知结构的通信协议，与模式匹配系统中传统的穷举分析方法相比，在处理数据帧和连接时更迅速、有效。●提高了准确性：与非智能化的模式匹配相比，协议分析减少了虚警和误判的可能性，命令解析（语法分析）和协议解码技术的结合，在命令字符串到达操作系统或应用程序之前，模拟它的执行，以确定它是否具有恶意。●基于状态的分析：当协议分析入侵检测系统引擎评估某个包时，它考虑了在这之前相关的数据包内容，以及接下来可能出现的数据包。与此相反，模式匹配入侵检测系统孤立地考察每个数据包。●反规避能力：因为协议分析入侵检测系统具有判别通信行为真实意图的能力，它较少地受到黑客所用的像URL