计算机网络安全入侵检测技术

第5章入侵检测技术内容提要：入侵检测概述入侵检测的技术实现分布式入侵检测入侵检测系统的标准入侵检测系统示例本章小结5.1入侵检测概述

入侵检测技术研究最早可追溯到1980年JamesP.Aderson所写的一份技术报告，他首先提出了入侵检测的概念。1987年DorothyDenning提出了入侵检测系统（IDS，IntrusionDetectionSystem）的抽象模型（如图5-1所示），首次提出了入侵检测可作为一种计算机系统安全防御措施的概念，与传统的加密和访问控制技术相比，IDS是全新的计算机安全措施。返回本章首页返回本章首页

入侵检测技术研究最早可追溯到1980年JamesP.Aderson所写的一份技术报告，他首先提出了入侵检测的概念。1987年DorothyDenning提出了入侵检测系统（IDS，IntrusionDetectionSystem）的抽象模型（如图5-1所示），首次提出了入侵检测可作为一种计算机系统安全防御措施的概念，与传统的加密和访问控制技术相比，IDS是全新的计算机安全措施。返回本章首页1988年TeresaLunt等人进一步改进了Denning提出的入侵检测模型，并创建了IDES（IntrusionDetectionExpertSystem），该系统用于检测单一主机的入侵尝试，提出了与系统平台无关的实时检测思想，1995年开发的NIDES（Next-GenerationIntrusionDetectionExpertSystem）作为IDES完善后的版本可以检测出多个主机上的入侵。返回本章首页1990年，Heberlein等人提出了一个具有里程碑意义的新型概念：基于网络的入侵检测——网络安全监视器NSM（NetworkSecurityMonitor）。1991年,NADIR（NetworkAnomalyDetectionandIntrusionReporter）与DIDS（DistributeIntrusionDetectionSystem）提出了通过收集和合并处理来自多个主机的审计信息可以检测出一系列针对主机的协同攻击。返回本章首页1994年，MarkCrosbie和GeneSpafford建议使用自治代理（autonomousagents）以提高IDS的可伸缩性、可维护性、效率和容错性，该理念非常符合计算机科学其他领域（如软件代理，softwareagent）正在进行的相关研究。另一个致力于解决当代绝大多数入侵检测系统伸缩性不足的方法于1996年提出，这就是GrIDS（Graph-basedIntrusionDetectionSystem）的设计和实现，该系统可以方便地检测大规模自动或协同方式的网络攻击。返回本章首页近年来，入侵检测技术研究的主要创新有：Forrest等将免疫学原理运用于分布式入侵检测领域；1998年RossAnderson和AbidaKhattak将信息检索技术引进入侵检测；以及采用状态转换分析、数据挖掘和遗传算法等进行误用和异常检测。返回本章首页5.1.1入侵检测原理

图5-2给出了入侵检测的基本原理图。入侵检测是用于检测任何损害或企图损害系统的保密性、完整性或可用性的一种网络安全技术。它通过监视受保护系统的状态和活动，采用误用检测（MisuseDetection）或异常检测（AnomalyDetection）的方式，发现非授权的或恶意的系统及网络行为，为防范入侵行为提供有效的手段。返回本章首页图5-2入侵检测原理框图

返回本章首页入侵检检测系系统（（IntrusionDetectionSystem，，IDS））就是执行入入侵检测任任务的硬件件或软件产产品。IDS通过实时的的分析，检检查特定的的攻击模式式、系统配配置、系统统漏洞、存存在缺陷的的程序版本本以及系统统或用户的的行为模式式，监控与与安全有关关的活动。。一个基本的的入侵检测测系统需要要解决两个个问题：一一是如何充充分并可靠靠地提取描描述行为特特征的数据据；二是如如何根据特特征数据，，高效并准准确地判定定行为的性性质。返回本章首首页5.1.2系统结构由于网络环环境和系统统安全策略略的差异，，入侵检测测系统在具具体实现上上也有所不不同。从系系统构成上上看，入侵侵检测系统统应包括事事件提取、、入侵分析析、入侵响响应和远程程管理四大大部分，另另外还可能能结合安全全知识库、、数据存储储等功能模模块，提供供更为完善善的安全检检测及数据据分析功能能（如图5-3所示示）。返回本章首首页图5-3入入侵检测测系统结构构返回本章首首页入侵检测的的思想源于于传统的系系统审计，，但拓宽了了传统审计计的概念，，它以近乎乎不间断的的方式进行行安全检测测，从而可可形成一个个连续的检检测过程。。这通常是是通过执行行下列任务务来实现的的：监视、分析析用户及系系统活动；；系统构造和和弱点的审审计；识别分析知知名攻击的的行为特征征并告警；；异常行为特特征的统计计分析；评估重要系系统和数据据文件的完完整性；操作系统的的审计跟踪踪管理，并并识别用户户违反安全全策略的行行为。返回本章首首页5.1.3系统分类由于功能和和体系结构构的复杂性性，入侵检检测按照不不同的标准准有多种分分类方法。。可分别从从数据源、、检测理论论、检测时时效三个方方面来描述述入侵检测测系统的类类型。1．基于数据据源的分类类通常可以把把入侵检测测系统分为为五类，即即基于主机机、基于网网络、混合合入侵检测测、基于网网关的入侵侵检测系统统以及文件件完整性检检查系统。。返回本章首首页2．基于检测测理论的分分类从具体的检检测理论上上来说，入入侵检测又又可分为异异常检测和和误用检测测。异常检测（（AnomalyDetection）指根据使用用者的行为为或资源使使用状况的的正常程度度来判断是是否入侵，，而不依赖赖于具体行行为是否出出现来检测测。误用检测（（MisuseDetection）指运用已知知攻击方法法，根据已已定义好的的入侵模式式，通过判判断这些入入侵模式是是否出现来来检测。返回本章首首页3．基于检测测时效的分分类IDS在处理数据据的时候可可以采用实实时在线检检测方式，，也可以采采用批处理理方式，定定时对处理理原始数据据进行离线线检测，这这两种方法法各有特点点（如图5-5所所示）。离线检测方方式将一段段时间内的的数据存储储起来，然然后定时发发给数据处处理单元进进行分析，，如果在这这段时间内内有攻击发发生就报警警。在线检检测方式的的实时处理理是大多数数IDS所采用的办办法，由于于计算机硬硬件速度的的提高，使使得对攻击击的实时检检测和响应应成为可能能。返回本章首首页返回本章首首页5.2入侵检测的的技术实现现对于入侵检检测的研究究，从早期期的审计跟跟踪数据分分析，到实实时入侵检检测系统，，到目前应应用于大型型网络的分分布式检测测系统，基基本上已发发展成为具具有一定规规模和相应应理论的研研究领域。。入侵检测测的核心问问题在于如如何对安全全审计数据据进行分析析，以检测测其中是否否包含入侵侵或异常行行为的迹象象。这里，，我们先从从误用检测测和异常检检测两个方方面介绍当当前关于入入侵检测技技术的主流流技术实现现，然后对对其它类型型的检测技技术作简要要介绍。返回本章首首页5.2.1入侵检测分分析模型分析是入侵侵检测的核核心功能，，它既能简简单到像一一个已熟悉悉日志情况况的管理员员去建立决决策表，也也能复杂得得像一个集集成了几百百万个处理理的非参数数系统。入入侵检测的的分析处理理过程可分分为三个阶阶段：构建建分析器，，对实际现现场数据进进行分析，，反馈和提提炼过程。。其中，前前两个阶段段都包含三三个功能：：数据处理理、数据分分类（数据据可分为入入侵指示、、非入侵指指示或不确确定）和后后处理。返回本章首首页5.2.2误用检测（（MisuseDetection））误用检测是是按照预定定模式搜寻寻事件数据据的，最适适用于对已已知模式的的可靠检测测。执行误误用检测，，主要依赖赖于可靠的的用户活动动记录和分分析事件的的方法。1．条件概率率预测法条件概率预预测法是基基于统计理理论来量化化全部外部部网络事件件序列中存存在入侵事事件的可能能程度。返回本章首首页2．产生式/专家系统统用专家系统统对入侵进进行检测，，主要是检检测基于特特征的入侵侵行为。所所谓规则，，即是知识识，专家系系统的建立立依赖于知知识库的完完备性，而而知识库的的完备性又又取决于审审计记录的的完备性与与实时性。。产生式/专专家系统是是误用检测测早期的方方案之一，，在MIDAS、IDES、NIDES、、DIDS和CMDS中都使用了了这种方法法。返回本章首首页3．状态转换换方法状态转换方方法使用系系统状态和和状态转换换表达式来来描述和检检测入侵，，采用最优优模式匹配配技巧来结结构化误用用检测，增增强了检测测的速度和和灵活性。。目前，主主要有三种种实现方法法：状态转转换分析、、有色Petri-Net和语言/应应用编程接接口（API）。。返回本章首首页返回本章首首页5．KeystrokeMonitor和基于模型型的方法KeystrokeMonitor是一种简单单的入侵检检测方法，，它通过分分析用户击击键序列的的模式来检检测入侵行行为，常用用于对主机机的入侵检检测。该方方法具有明明显的缺点点，首先，，批处理或或Shell程序可以不不通过击键键而直接调调用系统攻攻击命令序序列；其次次，操作系系统通常不不提供统一一的击键检检测接口，，需通过额额外的钩子子函数（Hook））来监测击键键。返回本章首首页5.2.3异常检测（（AnomalyDetection）异常检测基基于一个假假定：用户户的行为是是可预测的的、遵循一一致性模式式的，且随随着用户事事件的增加加异常检测测会适应用用户行为的的变化。用用户行为的的特征轮廓廓在异常检检测中是由由度量（measure）集来描述，，度量是特特定网络行行为的定量量表示，通通常与某个个检测阀值值或某个域域相联系。。异常检测可可发现未知知的攻击方方法，体现现了强健的的保护机制制，但对于于给定的度度量集能否否完备到表表示所有的的异常行为为仍需要深深入研究。。返回本章首首页1．Denning的原始模型型DorothyDenning于1986年给出了入入侵检测的的IDES模型，她认认为在一个个系统中可可以包括四四个统计模模型，每个个模型适合合于一个特特定类型的的系统度量量。（1）可操作模模型（2）平均和标标准偏差模模型（3）多变量模模型（4）Markov处理模型返回本章首首页2．量化分分析异常检测最最常用的方方法就是将将检验规则则和属性以以数值形式式表示的量量化分析，，这种度量量方法在Denning的可操作模模型中有所所涉及。量量化分析通通过采用从从简单的加加法到比较较复杂的密密码学计算算得到的结结果作为误误用检测和和异常检测测统计模型型的基础。。（1）阀值检验验（2）基于目标标的集成检检查（3）量化分析析和数据精精简返回本章首首页3．统计度量统计度量方方法是产品品化的入侵侵检测系统统中常用的的方法，常常见于异常常检测。运运用统计方方法，有效效地解决了了四个问题题：（1））选取有效效的统计数数据测量点点，生成能能够反映主主体特征的的会话向量量；（2））根据主体体活动产生生的审计记记录，不断断更新当前前主体活动动的会话向向量；（3）采用统统计方法分分析数据，，判断当前前活动是否否符合主体体的历史行行为特征；；（4）随随着时间推推移，学习习主体的行行为特征，，更新历史史记录。返回本章首首页4．非参数统计计度量非参数统计计方法通过过使用非数数据区分技技术，尤其其是群集分分析技术来来分析参数数方法无法法考虑的系系统度量。。群集分析析的基本思思想是，根根据评估标标准（也称称为特性））将收集到到的大量历历史数据（（一个样本本集）组织织成群，通通过预处理理过程，将将与具体事事件流（经经常映射为为一个具体体用户）相相关的特性性转化为向向量表示，，再采用群群集算法将将彼此比较较相近的向向量成员组组织成一个个行为类，，这样使用用该分析技技术的实验验结果将会会表明用何何种方式构构成的群可可以可靠地地对用户的的行为进行行分组并识识别。返回本章首首页5．基于规则则的方法法上面讨论论的异常常检测主主要基于于统计方方法，异异常检测测的另一一个变种种就是基基于规则则的方法法。与统统计方法法不同的的是基于于规则的的检测使使用规则则集来表表示和存存储使用用模式。。（1）Wisdom&Sense方法（2）基基于时间间的引导导机（TIM））返回本章章首页5.2.4其它检测测技术这些技术术不能简简单地归归类为误误用检测测或是异异常检测测，而是是提供了了一种有有别于传传统入侵侵检测视视角的技技术层次次，例如如免疫系系统、基基因算法法、数据据挖掘、、基于代代理（Agent）的检测等等，它们们或者提提供了更更具普遍遍意义的的分析技技术，或或者提出出了新的的检测系系统架构构，因此此无论对对于误用用检测还还是异常常检测来来说，都都可以得得到很好好的应用用。返回本章章首页1．神经经网络（（NeuralNetwork）作为人工工智能（（AI）的一个重重要分支支，神经经网络（（NeuralNetwork）在入侵检检测领域域得到了了很好的的应用，，它使用用自适应应学习技技术来提提取异常常行为的的特征，，需要对对训练数数据集进进行学习习以得出出正常的的行为模模式。这这种方法法要求保保证用于于学习正正常模式式的训练练数据的的纯洁性性，即不不包含任任何入侵侵或异常常的用户户行为。。返回本章章首页2．免疫学方方法NewMexico大学的StephanieForrest提出了将将生物免免疫机制制引入计计算机系系统的安安全保护护框架中中。免疫疫系统中中最基本本也是最最重要的的能力是是识别“自我/非自我”（self/nonself），换句话讲讲，它能能够识别别哪些组组织是属属于正常常机体的的，不属属于正常常的就认认为是异异常，这这个概念念和入侵侵检测中中异常检检测的概概念非常常相似。。返回本章章首页3．数据挖掘掘方法Columbia大学的WenkeLee在其博士士论文中中，提出出了将数数据挖掘掘（DataMining,DM））技术应用用到入侵侵检测中中，通过过对网络络数据和和主机系系统调用用数据的的分析挖挖掘，发发现误用用检测规规则或异异常检测测模型。。具体的的工作包包括利用用数据挖挖掘中的的关联算算法和序序列挖掘掘算法提提取用户户的行为为模式，，利用分分类算法法对用户户行为和和特权程程序的系系统调用用进行分分类预测测。实验验结果表表明，这这种方法法在入侵侵检测领领域有很很好的应应用前景景。返回本章章首页4．基因算法法基因算法法是进化化算法（（evolutionaryalgorithms）的一种，，引入了了达尔文文在进化化论中提提出的自自然选择择的概念念（优胜胜劣汰、、适者生生存）对对系统进进行优化化。该算算法对于于处理多多维系统统的优化化是非常常有效的的。在基基因算法法的研究究人员看看来，入入侵检测测的过程程可以抽抽象为：：为审计计事件记记录定义义一种向向量表示示形式，，这种向向量或者者对应于于攻击行行为，或或者代表表正常行行为。返回本章章首页5．基于代理理的检测测近年来，，一种基基于Agent的检测技技术（Agent-BasedDetection））逐渐引起起研究者者的重视视。所谓谓Agent，实际上可可以看作作是在执执行某项项特定监监视任务务的软件件实体。。基于Agent的入侵检检测系统统的灵活活性保证证它可以以为保障障系统的的安全提提供混合合式的架架构，综综合运用用误用检检测和异异常检测测，从而而弥补两两者各自自的缺陷陷。返回本章章首页5.3分布式入入侵检测测分布式入入侵检测测（DistributedIntrusionDetection）是目前入入侵检测测乃至整整个网络络安全领领域的热热点之一一。到目目前为止止，还没没有严格格意义上上的分布布式入侵侵检测的的商业化化产品，，但研究究人员已已经提出出并完成成了多个个原型系系统。通通常采用用的方法法中，一一种是对对现有的的IDS进行规模模上的扩扩展，另另一种则则通过IDS之间的信信息共享享来实现现。具体体的处理理方法上上也分为为两种：：分布式式信息收收集、集集中式处处理；分分布式信信息收集集、分布布式处理理。返回本章章首页5.3.1分布式入入侵检测测的优势势分布式入入侵检测测由于采采用了非非集中的的系统结结构和处处理方式式，相对对于传统统的单机机IDS具有一些些明显的的优势：：（1）检检测大范范围的攻攻击行为为（2）提提高检测测的准确确度（3）提提高检测测效率（4）协协调响应应措施返回本章章首页5.3.2分布式入入侵检测测的技术术难点与传统的的单机IDS相比较，，分布式式入侵检检测系统统具有明明显的优优势。然然而，在在实现分分布检测测组件的的信息共共享和协协作上，，却存在在着一些些技术难难点。StanfordResearchInstitute（SRI）在对EMERALD系统的研研究中，，列举了了分布式式入侵检检测必须须关注的的关键问问题：事事件产生生及存储储、状态态空间管管理及规规则复杂杂度、知知识库管管理、推推理技术术。返回本章章首页5.3.3分布式入入侵检测测现状尽管分布布式入侵侵检测存存在技术术和其它它层面的的难点，，但由于于其相对对于传统统的单机机IDS所具有的的优势，，目前已已经成为为这一领领域的研研究热点点。1．Snortnet它通过对对传统的的单机IDS进行规模模上的扩扩展，使使系统具具备分布布式检测测的能力力，是基基于模式式匹配的的分布式式入侵检检测系统统的一个个具体实实现。主主要包括括三个组组件：网网络感应应器、代理守护护程序和和监视控控制台。返回本章章首页2．Agent-Based基于Agent的IDS由于其良良好的灵灵活性和和扩展性性，是分分布式入入侵检测测的一个个重要研研究方向向。国外外一些研研究机构构在这方方面已经经做了大大量工作作，其中中Purdue大学的入入侵检测测自治代代理（AAFID）和SRI的EMERALD最具代表表性。AAFID的体系结结构如图图5-10所示示，其特特点是形形成了一一个基于于代理的的分层顺顺序控制制和报告告结构。。返回本章章首页返回本章章首页3．DIDSDIDS（DistributedIntrusionDetectionSystem）是由UCDavis的SecurityLab完成的，，它集成成了两种种已有的的入侵检检测系统统，Haystack和NSM。。前者由TracorAppliedSciencesandHaystack实验室针针对多用用户主机机的检测测任务而而开发，，数据源源来自主主机的系系统日志志。NSM则是由UCDavis开发的网网络安全全监视器器，通过过对数据据包、连连接记录录、应用用层会话话的分析析，结合合入侵特特征库和和正常的的网络流流或会话话记录的的模式库库，判断断当前的的网络行行为是否否包含入入侵或异异常。返回本章章首页4．GrIDSGrIDS（Graph-basedIntrusionDetectionSystem）同样由UCDavis提出并实实现，该该系统实实现了一一种在大大规模网网络中使使用图形形化表示示的方法法来描述述网络行行为的途途径，其其设计目目标主要要针对大大范围的的网络攻攻击，例例如扫描描、协同同攻击、、网络蠕蠕虫等。。GrIDS的缺陷在在于只是是给出了了网络连连接的图图形化表表示，具具体的入入侵判断断仍然需需要人工工完成，，而且系系统的有有效性和和效率都都有待验验证和提提高。返回本章章首页5．IntrusionStrategyBoeing公司的Ming-YuhHuang从另一个个角度对对入侵检检测系统统进行了了研究，，针对分分布式入入侵检测测所存在在的问题题，他认认为可以以从入侵侵者的目目的（IntrusionIntention），或者是入入侵策略略（IntrusionStrategy）入手，帮帮助我们们确定如如何在不不同的IDS组件之间间进行协协作检测测。对入入侵策略略的分析析可以帮帮助我们们调整审审计策略略和参数数，构成成自适应应的审计计检测系系统。返回本章章首页6．数据融融合（DataFusion）TimmBass提出将数数据融合合（DataFusion）的概念应应用到入入侵检测测中，从从而将分分布式入入侵检测测任务理理解为在在层次化化模型下下对多个个感应器器的数据据综合问问题。在在这个层层次化模模型中，，入侵检检测的数数据源经经历了从从数据（（Data）到信息（（Information）再到知识识（Knowledge）三个逻辑抽象象层次。返回本章首页页7．基于抽象（（Abstraction-based）的方法GMU的PengNing在其博士论文文中提出了一一种基于抽象象（Abstraction-based）的分布式入侵侵检测系统，，基本思想是是设立中间层层（systemview），提供与具体系系统无关的抽抽象信息，用用于分布式检检测系统中的的信息共享，，抽象信息的的内容包括事事件信息（event）以及系统实体体间的断言（（dynamicpredicate）。中间层用于表表示IDS间的的共共享享信信息息时时使使用用的的对对应应关关系系为为：：IDS检测测到到的的攻攻击击或或者者IDS无法法处处理理的的事事件件信信息息作作为为event，IDS或受受IDS监控控的的系系统统的的状状态态则则作作为为dynamicpredicates。返回回本本章章首首页页5.4入侵侵检检测测系系统统的的标标准准从20世纪纪90年代代到到现现在在，，入入侵侵检检测测系系统统的的研研发发呈呈现现出出百百家家争争鸣鸣的的繁繁荣荣局局面面，，并并在在智智能能化化和和分分布布式式两两个个方方向向取取得得了了长长足足的的进进展展。。为为了了提提高高IDS产品品、、组组件件及及与与其其他他安安全全产产品品之之间间的的互互操操作作性性，，DARPA和IETF的入入侵侵检检测测工工作作组组（（IDWG）发起起制制订订了了一一系系列列建建议议草草案案，，从从体体系系结结构构、、API、通信信机机制制、、语语言言格格式式等等方方面面来来规规范范IDS的标标准准。。返回回本本章章首首页页5.4.1IETF/IDWGIDWG定义义了了用用于于入入侵侵检检测测与与响响应应（（IDR）系统统之之间间或或与与需需要要交交互互的的管管理理系系统统之之间间的的信信息息共共享享所所需需要要的的数数据据格格式式和和交交换换规规程程。。IDWG提出出了了三三项项建建议议草草案案：：入入侵侵检检测测消消息息交交换换格格式式（（IDMEF）、、入侵侵检检测测交交换换协协议议（（IDXP）以及及隧隧道道轮轮廓廓（（TunnelProfile）。。返回回本本章章首首页页5.4.2CIDFCIDF的工工作作集集中中体体现现在在四四个个方方面面：：IDS的体体系系结结构构、、通通信信机机制制、、描描述述语语言言和和应应用用编编程程接接口口API。。CIDF在IDES和NIDES的基基础础上上提提出出了了一一个个通通用用模模型型，，将将入入侵侵检检测测系系统统分分为为四四个个基基本本组组件件：：事事件件产产生生器器、、事事件件分分析析器器、、响响应应单单元元和和事事件件数数据据库库。。其其结结构构如如图图5-15所所示示。。返回回本本章章首首页页返回回本本章章首首页页5.5入侵侵检检测测系系统统示示例例为了了直直观观地地理理解解入入侵侵检检测测的的使使用用、、配配置置等等情情况况，，这这里里我我们们以以Snort为例例，，对对构构建建以以Snort为基基础础的的入入侵侵检检测测系系统统做做概概要要介介绍绍。。Snort是一一个个开开放放源源代代码码的的免免费费软软件件，，它它基基于于libpcap的数数据据包包嗅嗅探探器器，，并并可可以以作作为为一一个个轻轻量量级级的的网网络络入入侵侵检检测测系系统统（（NIDS）。。通过过在在中中小小型型网网络络上上部部署署Snort系统统，，可可以以在在分分析析捕捕获获的的数数据据包包基基础础上上，，进进行行入入侵侵行行为为特特征征匹匹配配工工作作，，或或从从网网络络活活动动的的角角度度检检测测异异常常行行为为，，并并完完成成入入侵侵的的预预警警或或记记录录。。返回回本本章章首首页页5.5.1Snort的体体系系结结构构Snort在结结构构上上可可分分为为数数据据包包捕捕获获和和解解码码子子系系统统、、检检测测引引擎擎，，以以及及日日志志及及报报警警子子系系统统三三个个部部分分。。1．．数数据据包包捕捕获获和和解解码码子子系系统统该子子系系统统的的功功能能是是捕捕获获共共享享网网络络的的传传输输数数据据，，并并按按照照TCP/IP协议议的的不不同同层层次次将将数数据据包包解解析。。2．．检检测测引引擎擎检测测引引擎擎是是NIDS实现的核心，，准确性和快快速性是衡量量其性能的重重要指标。返回本章首页页为了能够快速速准确地进行行检测和处理理，Snort在检测规则方方面做了较为为成熟的设计计。Snort将所有已知的的攻击方法以以规则的形式式存放在规则则库中，每一一条规则由规规则头和规则则选项两部分分组成。规则则头对应于规规则树结点RTN（RuleTreeNode），包含动作、协协议、源（目目的）地址和和端口以及数数据流向，这这是所有规则则共有的部分分。规则选项项对应于规则则选项结点OTN（OptionalTreeNode），包含报警信息息（msg）、匹配内容（content）等选项，这些些内容需要根根据具体规则则的性质确定定。返回本章首页页检测规则除了了包括上述的的关于“要检测什么”，还应该定义义“检测到了该做做什么”。Snort定义了三种处处理方式：alert（发送报警信息息）、log（记录该数据包包）和pass（忽略该数据包包），并定义义为规则的第第一个匹配关关键字。这样设计的目目的是为了在在程序中可以以组织整个规规则库，即将将所有的规则则按照处理方方式组织成三三个链表，以以用于更快速速准确地进行行匹配。如图5-17所示。返回本章首页页返回本章首页页当Snort捕获一个数据据包时，首先先分析该数据据包使用哪个个IP协议以决定将将与某个规则则树进行匹配配。然后与RTN结点依次进行行匹配，当与与一个头结点点相匹配时，，向下与OTN结点进行匹配配。每个OTN结点包含一条条规则所对应应的全部选项项，同时包含含一组函数指指针，用来实实现对这些选选项的匹配操操作。当数据据包与某个OTN结点相匹配时时，即判断此此数据包为攻攻击数据包。。具体流程见图图5-18所所示。返回本章首页页返回本章首页页3．日志及报警子子系统一个好的NIDS，更应该提供友友好的输出界界面或发声报报警等。Snort是一个轻量级级的NIDS，它的另外一个个重要功能就就是数据包记记录器，它主主要采取用TCPDUMP的格式记录信信息、向syslog发送报警信息息和以明文形形式记录报警警信息三种方方式。值得提出的是是，Snort在网络数据流流量非常大时时，可以将数数据包信息压压缩从而实现现快速报警。。返回本章首页页5.5.2安装使用Snort以snort1.8.6为例，可执行行下列命令安安装：若从的/dl/signatures/下载最新的规规则库，则右右侧命令可将将规则库安装装到适当位置置：返回本章首页页5.5.3Snort与TCPDump的比较从表面上看，，Snort与TCPDump是非常相似的的，Snort与它的最大共共同之处在于于都是基于libpcap库，且都支持持BPF过滤机制，但但Snort的目的不仅仅仅在于记录网网络数据包，，而是从安全全的角度出发发来解析分析析它。TCPDump通过分析第二二层或第三层层的报文进行行网络故障诊诊断，而Snort则针对应用层层的数据进行行分析从而实实现检测入侵侵行为。此外，由于TCPDump旨在快速完整整地记录流量量，所以它制制定了特殊的的输出格式、、速度快，但但不易阅读。。而Snort提供了更为友友好的输出格格式，有利于于系统管理员员直接分析。。返回本章首页页5.5.4部署IDS面临的问题由于系统本身身存在的若干干问题，使得得实际部署IDS存在着一些不不可避免的困困难，这就需需要我们在实实际工作中权权衡利弊，扬扬长避短。（1）突破检检测速度瓶颈颈制约，适应应网络通信需需求。（2）降低漏漏报和误报，，提高其安全全性和准确度度。（3）提高系系统互动性能能，增强全系系统的安全性性能。返回本章首页页5.6本章章小结入侵检测（IntrusionDetection）是保障网络系系统安全的关关键部件，它它通过监视受受保护系统的的状态和活动动，采用误用用检测（MisuseDetection）或异常检测（（AnomalyDetection）的方式，发现现非授权的或或恶意的系统统及网络行为为，为防范入入侵行为提供供有效的手段段。入侵检测按照照不同的标准准有多种分类类方法。分布布式入侵检测测（DistributedIntrusionDetection）对信息的处理理方法分为两两种，即分布布式信息收集集、集中式处处理和分布式式信息收集、、分布式处理理。返回本章首页页为了提高IDS产品、组件及及与其他安全全产品之间的的互操作性，，DARPA和IETF的入侵检测工工作组（IDWG）发起制订了一一系列建议草草案，从体系系结构、API、通信机制、语语言格式等方方面来规范IDS的标准，但草草案或建议目目前都处于逐逐步完善之中中，尚无被广广泛接受的国国际标准。在安全实践中中，部署入侵侵检测是一项项繁琐的工作作，需要从三三个方面对入入侵检测进行行改进，即突突破检测速度度瓶颈制约，，适应网络通通信需求；降降低漏报和误误报，提高其其安全性和准准确度；提高高系统互动性性能，增强全全系统的安全全性能。返回本章首页页本章到此结束束，谢谢！9、静夜夜四无无邻，，荒居居旧业业贫。。。12月月-2212月月-22Wednesday,December28,202210、雨中黄叶叶树，灯下下白头人。。。21:53:3621:53:3621:5312/28/20229:53:36PM11、以我独沈久久，愧君相见见频。。12月-2221:53:3621:53Dec-2228-Dec-2212、故人人江海海别，，几度度隔山山川。。。21:53:3621:53:3621:53Wednesday,December28,202213、乍见翻翻疑梦，，相悲各各问年。。。12月-2212月-2221:53:3621:53:36December28,202214、他乡生白发发，旧国见青青山。。28十二月月20229:53:36下午21:53:3612月-2215、比比不不了了得得就就不不比比，，得得不不到到的的就就不不要要。