第5章入侵检测技术

第五章入侵检测技术5.1入侵检测概述5.2入侵检测系统分类5.3入侵检测系统的分析方式5.4入侵检测系统的设置

5.5入侵检测系统的部署5.6入侵检测系统的优点与局限性本章学习目标（1）入侵检测的结构（2）入侵检测系统分类（3）入侵检测系统分析方式（4）入侵检测系统的设置与部署（5）入侵检测系统的优缺点

5.1入侵检测概述5.1.1基本概念

5.1.2入侵检测系统的结构

5.1.1基本概念1．入侵行为入侵行为主要指对系统资源的非授权使用，它可以造成系统数据的丢失和破坏，甚至会造成系统拒绝对合法用户服务等后果。2．入侵检测入侵检测技术是一种网络信息安全新技术，它可以弥补防火墙的不足，对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时的检测及采取相应的防护手段，如记录证据用于跟踪和恢复、断开网络连接等。因此，入侵检测系统被认为是防火墙之后的第二道安全闸门。入侵检测技术是一种主动保护系统免受黑客攻击的网络安全技术。3．入侵检测系统入侵检测系统是一种能够通过分析系统安全相关数据来检测入侵活动的系统。入侵检测系统的主要功能有以下几点：监测并分析用户和系统的活动。核查系统配置和漏洞。评估系统关键资源和数据文件的完整性。识别已知的攻击行为。统计分析异常行为。对操作系统进行日志管理，并识别违反安全策略的用户活动。5.1.2入侵检测系统的结构CIDF（CommonIntrusionDetectionFramework）阐述了一个入侵检测系统的通用模型，如图5-1所示。5.2入侵检测系统分类5.2.1基于主机的入侵检测系统

5.2.2基于网络的入侵检测系统

5.2.3基于内核的入侵检测系统

5.2.4两种入侵检测系统的结合运用5.2.5分布式的入侵检测系统

5.2.1基于主机的入侵检测系统

基于主机的入侵检测系统用于保护单台主机不受网络攻击行为的侵害，需要安装在被保护的主机上。按照检测对象的不同，基于主机的入侵检测系统可以分为两类：网络连接检测和主机文件检测。

1．网络连接检测网络连接检测是对试图进入该主机的数据流进行检测，分析确定是否有入侵行为，避免或减少这些数据流进入主机系统后造成损害。2．主机文件检测通常入侵行为会在主机的各种相关文件中留下痕迹，主机文件检测能够帮助系统管理员发现入侵行为或入侵企图，及时采取补救措施。主机文件检测的检测对象主要包括以下几种：（1）系统日志。（2）文件系统。（3）进程记录。基于主机的入侵检测系统具有以下优点：检测准确度较高。可以检测到没有明显行为特征的入侵。能够对不同的操作系统进行有针对性的检测。成本较低。不会因网络流量影响性能。适于加密和交换环境。基于主机的入侵检测系统具有以下不足：实时性较差。无法检测数据包的全部。检测效果取决于日志系统。占用主机资源。隐蔽性较差。如果入侵者能够修改校验和，这种入侵检测系统将无法起到预期的作用。5.2.2基于网络的入侵检测系统

基于网络的入侵检测系统通常是作为一个独立的个体放置于被保护的网络上，它使用原始的网络分组数据包作为进行攻击分析的数据源，一般利用一个网络适配器来实时监视和分析所有通过网络进行传输的通信。一旦检测到攻击，入侵检测系统应答模块通过通知、报警以及中断连接等方式来对攻击做出反应。

1．包嗅探器和网络监视器

2．包嗅探器和混杂模式

3．基于网络的入侵检测

基于网络的入侵检测系统可以执行以下任务：（1）检测端口扫描。在攻击一个系统时，一个入侵者通常对该系统进行端口扫描，从而判断存在哪些脆弱性。企图对Internet上的一台主机进行端口扫描通常是一个人要试图破坏网络的一个信号。（2）检测常见的攻击行为。访问Web服务器的80端口通常被认为是无害的活动，但是，一些访问企图事实上是故意在进行攻击，或者试图攻击。（3）识别各种各样可能的IP欺骗攻击。用来将IP地址转化为MAC地址的ARP协议通常是一个攻击目标。通过在以太网上发送伪造的ARP数据包，已经获得系统访问权限的入侵者可以假装是一个不同的系统在进行操作。基于网络的入侵检测系统有以下优点：可以提供实时的网络行为检测。可以同时保护多台网络主机。具有良好的隐蔽性。有效保护入侵证据。不影响被保护主机的性能。基于网络的入侵检测系统有以下不足：防入侵欺骗的能力通常较差。在交换式网络环境中难以配置。检测性能受硬件条件限制。不能处理加密后的数据。5.2.3基于内核的入侵检测系统

基于内核的入侵检测是一种较新的技术，近来它开始流行起来，特别是在Linux上。在Linux上目前可用的基于内核的入侵检测系统主要有两种：OpenWall和LIDS。这些系统采取措施防止缓冲区溢出，增加文件系统的保护，封闭信号，从而使入侵者破坏系统越来越困难。LIDS同时也采取一些步骤以阻止根用户的一些活动，例如安装一个包嗅探器或改变防火墙策略。

5.2.4两种入侵检测系统的结合运用

基于网络的入侵检测系统和基于主机的入侵检测系统都有各自的优势和不足，这两种方式各自都能发现对方无法检测到的一些网络入侵行为，如果同时使用互相弥补不足，会起到良好的检测效果。基于网络的入侵检测系统通过检查所有的数据包头来进行检测，而基于主机的入侵检测系统并不查看包头。基于网络的入侵检测系统可以研究负载的内容，查找特定攻击中使用的命令或语法，这类攻击可以被实时检查包序列的入侵检测系统迅速识别；而基于主机的入侵检测系统无法看到负载，因此也无法识别嵌入式的负载攻击。

5.2.5分布式的入侵检测系统

采用分布式结构的入侵检测模式是解决方案之一，也是目前入侵检测技术的一个研究方向。这种模式的系统采用分布式智能代理的结构，由一个或者多个中央智能代理和大量分布在网络各处的本地代理组成。其中本地代理负责处理本地事件，中央代理负责统一调控各个本地代理的工作以及从整体上完成对网络事件进行综合分析的工作。检测工作通过全部代理互相协作共同完成。5.3入侵检测系统的分析方式

5.3.1异常检测技术——基于行为的检测

5.3.2误用检测技术——基于知识的检测

5.3.3异常检测技术和误用检测技术的比较

5.3.4其他入侵检测技术的研究

5.3.1异常检测技术——基于行为的检测

1．异常检测技术的基本原理

异常检测技术（AnomalyDetection）也称为基于行为的检测技术，是指根据用户的行为和系统资源的使用状况判断是否存在网络入侵。

异常检测技术首先假设网络攻击行为是不常见的或是异常的，区别于所有的正常行为。如果能够为用户和系统的所有正常行为总结活动规律并建立行为模型，那么入侵检测系统可以将当前捕获到的网络行为与行为模型相对比，若入侵行为偏离了正常的行为轨迹，就可以被检测出来。

2．异常检测技术的评价

能够检测出新的网络入侵方法的攻击。较少依赖于特定的主机操作系统。对于内部合法用户的越权违法行为的检测能力较强。异常检测技术有以下不足：误报率高。行为模型建立困难。难以对入侵行为进行分类和命名。3．异常检测技术分类

（1）统计分析异常检测。

（2）贝叶斯推理异常检测。

（3）神经网络异常检测。

（4）模式预测异常检测。

（5）数据采掘异常检测。

（6）机器学习异常检测。

5.3.2误用检测技术——基于知识的检测

1．误用检测技术入侵检测系统的基本原理

误用检测技术（MisuseDetection）也称为基于知识的检测技术或者模式匹配检测技术。它的前提是假设所有的网络攻击行为和方法都具有一定的模式或特征，如果把以往发现的所有网络攻击的特征总结出来并建立一个入侵信息库，那么入侵检测系统可以将当前捕获到的网络行为特征与入侵信息库中的特征信息相比较，如果匹配，则当前行为就被认定为入侵行为。

2．误用检测技术的评价

误用检测技术有以下优点：检测准确度高。技术相对成熟。便于进行系统防护。误用检测技术有以下缺点：不能检测出新的入侵行为。完全依赖于入侵特征的有效性。维护特征库的工作量巨大。难以检测来自内部用户的攻击。3．误用检测技术的分类

（1）专家系统误用检测。

（2）特征分析误用检测。

（3）模型推理误用检测。

（4）条件概率误用检测。

（5）键盘监控误用检测。

5.3.3异常检测技术和误用检测技术的比较

基于异常检测技术的入侵检测系统如果想检测到所有的网络入侵行为，必须掌握被保护系统已知行为和预期行为的所有信息，这一点实际上无法做到，因此入侵检测系统必须不断地学习并更新已有的行为轮廓。对于基于误用检测技术的入侵检测系统而言，只有拥有所有可能的入侵行为的先验知识，而且必须能识别各种入侵行为的过程细节或者每种入侵行为的特征模式，才能检测到所有的入侵行为，而这种情况也是不存在的，该类入侵检测系统只能检测出已有的入侵模式，必须不断地对新出现的入侵行为进行总结和归纳。在入侵检测系统的配置方面，基于异常检测技术的入侵检测系统通常比基于误用检测技术的入侵检测系统所做的工作要少很多，因为异常检测需要对系统和用户的行为轮廓进行不断地学习更新，需要做大量的数据分析处理工作，要求管理员能够总结出被保护系统的所有正常行为状态，对系统的已知和期望行为进行全面的分析，因此配置难度相对较大。但是，有些基于误用检测技术的入侵检测系统允许管理员对入侵特征数据库进行修改，甚至允许管理员自己根据所发现的攻击行为创建新的网络入侵特征规则记录，这种入侵检测系统在系统配置方面的工作量会显著增加。

5.3.4其他入侵检测技术的研究

入侵检测系统的研究方向之一是将各个领域的研究成果应用于入侵检测中，以形成更高效、更为智能化的检测算法，提高入侵检测的应用价值。目前研究的重点有遗传算法和免疫技术等。1．遗传算法遗传算法的基本原理是首先定义一组入侵检测指令集，这些指令用于检测出正常或者异常的行为。2．免疫技术免疫技术应用了生物医学中的免疫系统原理。处于网络环境中的主机之所以受到入侵，是因为主机系统本身以及所运行的应用程序存在着各种脆弱性因素，网络攻击者正是利用这些漏洞来侵入到主机系统中的；在生物系统中同样存在各种脆弱性因素，因此会受到病毒、病菌的攻击。而生物体拥有免疫系统来负责检测和抵御入侵，免疫机制包括特异性免疫和非特异性免疫。特异性免疫针对于特定的某种病毒，非特异性免疫可用于检测和抵制以前从未体验过的入侵类型。5.4入侵检测系统的设置

入侵检测系统的设置主要分为以下几个基本的步骤：（1）确定入侵检测需求。（2）设计入侵检测系统在网络中的拓扑位置。（3）配置入侵检测系统。（4）入侵检测系统磨合。（5）入侵检测系统的使用及自调节。这些步骤的操作流程如图5-2所示。

在图5-2中可以看到，在设置的过程中要进行多次的回溯，而在这几次回溯中，第3、第4步之间的回溯过程会重复多次，通过不断地调整入侵检测系统的检测配置，将误报警率和漏报警率降到最低，使得入侵检测系统能够在最佳状态下进行检测分析。而在使用中，随着网络整体结构的改变（包括增加新的应用或服务器、检测方式更新等），入侵检测系统的设置也要进行相应地修改，以保证能够适应新的变化。

5.5入侵检测系统的部署

5.5.1基于网络入侵检测系统的部署

5.5.2基于主机入侵检测系统的部署

5.5.3报警策略

5.5.1基于网络入侵检测系统的部署

入侵检测的部署点可以划分为4个位置：①DMZ区；②外网入口；③内网主干；④关键子网，如图5-3所示。

5.5.2基于主机入侵检测系统的部署

在基于网络的入侵检测系统部署并配置完成后，基于主机的入侵检测系统的部署可以给系统提供高级别的保护。但是，将基于主机的入侵检测系统安装在企业中的每一个主机上是一种相当大的时间和资金的浪费，同时每一台主机都需要根据自身的情况进行特别的安装和设置，相关的日志和升级维护是巨大的。因此，基于主机的入侵检测系统主要安装在关键主机上，这样可以减少规划部署的花费，使管理的精力集中在最重要最需要保护的主机上。同时，为了便于对基于主机的入侵检测系统的检测结果进行及时检查，需要对系统产生的日志进行集中。通过进行集中的分析、整理和显示，可以大大减少对网络安全系统日常维护的复杂性和难度。由于基于主机的入侵检测系统本身需要占用服务器的计算和存储资源，因此，要根据服务器本身的空闲负载能力选取不同类型的入侵检测系统并进行专门的配置。

5.5.3报警策略

入侵检测系统在检测到入侵行为时，需要报警并进行相应的反应。如何报警和选取什么样的报警，需要根据整个网络的环境和安全的需求进行确定。网络安全需求不同，入侵检测报警也就存在不同的方式。如对于一般性服务的企业，报警主要集中在已知的有威胁的攻击行为上；关键性服务企业则需要将尽可能多的报警进行记录并对部分认定的报警进行实时的反馈。5.6入侵检测系统的优点与局限性

5.6.1入侵检测系统的优点

5.6.2入侵检测系统的局限性

5.6.1入侵检测系统的优点

入侵检测系统作为一个迅速崛起并受到广泛承认的安全组件，有着很多方面的安全优势：可以检测和分析系统事件以及用户的行为。可以测试系统设置的安全状态。以系统的安全状态为基础，跟踪任何对系统安全的修改操作。通过模式识别等技术从通信行