第5章系统攻击与入侵检测1

第5章系统攻击与入侵检测1第一页，共223页。本章学习目标本章主要讲解系统入侵的基本原理、主要方法以及如何实现入侵检测，进行主动防御。通过本章学习，读者应该掌握以下内容：l

系统入侵的概念l

几种系统攻击方法的原理l

入侵检测的原理l

入侵检测系统的组成及结构第二页，共223页。5.1系统攻击概述系统攻击或入侵是指利用系统安全漏洞，非授权进入他人系统（主机或网络）的行为。了解自己系统的漏洞及入侵者的攻击手段，才能更好的保护自己的系统。5.1.1黑客与入侵者黑客：Hacher,有较高技术水平，热衷于系统漏洞的发现与修复。骇客/入侵者：Cracher\Intruder，非法获得系统访问权偷窃、破坏数据，拒绝合法用户的请求，修改删除程序，造成系统瘫痪。第三页，共223页。黑客步骤一窥探设施踩点扫描查点第四页，共223页。要确认的信息因特网环境中要确认的信息：域名网络块（IP地址范围）经因特网可到达的IP地址每个系统上运行的TCP/UDP服务系统的体系结构（X86或SPARC）访问控制机制和相关的访问控制列表入侵检测系统IDS系统查点（用户名，组名，系统旗标，路由表，SNMP信息）第五页，共223页。要确认的信息在内联网环境中要确认的信息连网协议（IP，IPX，DECNet等）内部域名其他和因特网一样。在外联网环境中要确认的信息连接源地址和目标地址连接类型访问控制机制第六页，共223页。要确认的信息远程访问要确认的信息：模拟/数字电话号码远程系统类型认证机制VPN及相关协议（IPSec,PPTP)第七页，共223页。黑客步骤二攻击操作系统（windows/UNIX/NetWare)踩点（选择目标）查点（确定是哪种操作系统及尽量多的信息）获取Administrator账号和密码（猜，偷，抢，骗）巩固权力（安装后门或进一步获取整个网络的信息）掩盖踪迹（禁用审计，清空事件日志，隐藏文件）第八页，共223页。黑客步骤三攻击网络攻击拨号攻击PBX攻击Voicemail攻击VPN攻击网络设施防火墙攻击拒绝服务攻击第九页，共223页。黑客步骤四攻击软件攻击Web服务器攻击电子邮件服务器第十页，共223页。5.1.2系统攻击的三个阶段（1）收集信息(位置、路由、系统结构、技术细节）PingTracertNslookup（2）探测系统安全弱点（分析补丁接口、扫描器）（3）实施攻击（掩盖行迹，预留后门，安装探测程序，取得特权、扩大攻击范围）第十一页，共223页。5.1.3网络入侵的对象固有的安全漏洞

（协议、口令、缓冲区溢出）2.系统维护措施不完善的系统

3．缺乏良好安全体系的系统第十二页，共223页。5.2系统攻击方法5.2.1口令攻击1．获取口令的一些方法（1）通过网络监听获得用户口令（2）口令的穷举攻击（3）利用系统管理员的失误2．设置安全的口令（1）口令的选择：字母数字及标点的组合，如：Ha,Pp@y!和w/(X,y)*;使用一句话的开头字母做口令，如：由Afoxjumpsoveralazydog!产生口令：AfJoAld!。（2）口令的保存：记住、放到安全的地方，加密最好。（3）口令的使用：输入口令不要让别人看到；不要在不同的系统上使用同一口令；定期改变口令。第十三页，共223页。3．一次性口令（OTP，One-TimePassword）。所谓的一次性口令就是一个口令仅使用一次，能有效地抵制重放攻击，这样窃取系统的口令文件、窃听网络通信获取口令及穷举攻击猜测口令等攻击方式都不能生效。OTP的主要思路是：在登录过程中加入不确定因素，使每次登录过程中的生成的口令不相同。使用一次性口令的系统中，用户可以得到一个口令列表，每次登录使用完一个口令后就将它从列表明中删除；用户也可以使用IC卡或其他的硬件卡来存储用户的秘密信息，这些信息再随机数、系统时间等参数一起通过散列得到一个一次性口令。

第十四页，共223页。攻击NT/2000踩点(选择目标)查点(知道是否是NT/2000操作系统)获取Administrator账号巩固权力掩盖踪迹第十五页，共223页。获取Administrator账号手段远程密码猜测窃听网络密码交换缓冲区溢出DoS攻击特权升级第十六页，共223页。（一）远程密码猜测猜测：就是提示输入用户名和密码时，人工的猜测密码。对策：禁用TCP/UDP的135-139号端口账号策略（最小长度，失败登录次数限制，有效期等）设置强装密码（大写，小写，数字非字母字符，7个符号）审计与记录设置（注意529号，539号事件）入侵检测：实时盗窃报警第十七页，共223页。（二）窍听网络密码交换手段：在用户登录服务器时把密码嗅控下来（一般在同一局域网中窍听）工具：L0phtcrack过程：对己捕获的NT密码数据库文件进行猜测，但这个文件不易获取，所以就转为捕获SMB会话分组。危害：只要窍听的时间足够长（几天），任何人都可以获得管理员身份。第十八页，共223页。窍听的对策改掉管理员和管理员组的名称和描述禁止LanMan认证，防止域控制器接收LM认证请求，接收NTLMv2认证。（但此法将使Win9x用户不能登录域控制器）启用SMB签名（加密SMB分组，但性能会下降）。第十九页，共223页。（三）缓冲区溢出原理：一些不健壮的应用程序没有对输入的长度是否合适作出检查，于是没有预料的输入内容就溢出到“cpu执行栈“中的另一部分来执行，这样一些精心设计的溢出程序就可以获得管理员权限。常见溢出：Winhlp32：以system特权运行批文件。NTRAS:有system特权的命令提示。第二十页，共223页。缓冲区溢出对策程序员应具有良好的编程习惯。一般用户及时打相关应用程序的补丁。网络管理员应经常上一些安全网站获取最新漏洞信息，及时给系统打补丁，并告知一般用户。用一些工具如：Bowall。长远来看，编程模式或CPU体系结构的改进时才能根本解决此问题。第二十一页，共223页。（四）DoS（拒绝服务）当攻击者把一些代码潜在NT系统的启动文件中时，通过该攻击迫使目标系统重启，从而达到获取密码的效果。对策：打补丁一些外围安全产品第二十二页，共223页。（五）特权升级前期工作可获得一些用户名和密码，但这些获得的用户可能不是管理员用户，没什么权限。因此就需要把这些用户升级为管理员用户。若系统管理员犯了配置时的致命错误，就有可能给攻击者使用工具来升组特权。第二十三页，共223页。特权升级手段虹吸（hoovering)getAdmin工具Sechole工具欺骗用户（最好是管理员）去执行代码，将攻击者的账号提升为超级用户。特洛伊（Trojan）木马可执行注册表键第二十四页，共223页。（1）虹吸获得用户账号后，再去查点以汲取更多的信息（如下）：可写的Web服务器或FTP目录（Srvinfo工具）从.bat或脚本文件中找出应用程序密码（Find工具）探测对注册表部分内容的访问（Regdmp工具）第二十五页，共223页。（2）Getadmin工具把一个用户加到管理员组缺点：在本地系统上运行，而一般用户是无权本地登录到一台NT服务器的。适用的用户：Operators用户(Account,BackupServer等）因特网服务器账号IUSR_machine_name第二十六页，共223页。（3）Sechole工具把一个用户加到本地管理员或域管理员组。缺点：在目标系统上本地运行。优点：若目标系统上运行IIS程序，且有可写和可执行的目录，则该工具可从远程启动，而把IUSR_machine_name加入管理员组。对策：打补丁对可执行目录阻止写权限审计Web服务器的执行特权第二十七页，共223页。（4）欺骗用户比如：将代码放在文件（网页，邮件附件，好友文件，安装文件）中，当用户（最好是管理员）打开这些文件时，也就执行了这些文件中的代码。这些代码的功能就是将攻击者的账号提升为超级用户。第二十八页，共223页。（5）特洛伊木马把木马程序放在系统文件夹中改装为一个系统程序，当用户使用这个系统程序时，木马就运行了，当该木马程序的功能是升级超级用户时，就可以完成操作了。对策：安装杀毒软件。注意查看常用的系统文件的大小（创建时间，写入时间）。运用一些工业组的文件系统保护工具（如Tripwire,对系统文件计算检验和）。备份好数据，重装系统。第二十九页，共223页。（6）可执行注册表键修改一些注册表键值以达到执行批处理文件的结果，不过这种远程访问注册表的权限属于ServerOperators用户组总结：特权升级很难实施。第三十页，共223页。巩固权力这是取得（Administrator)管理员权限后动作。破解SAM（安全账号管理器）文件发掘信任漏洞嗅探程序（Sniffer)远程控制与后门端口重定向第三十一页，共223页。（一）破解SAM文件SAMSecurityAccountsManagerSAM包含本地系统或本地域上的所有用户名和经过加密的密码。手段：获取SAM文件破解文件里的密码第三十二页，共223页。（1）获取SAM文件手段位置：\winnt\system32\config目录“SAM”\winnt\repair文件夹中有拷贝“SAM._”手段1：启动到另一系统（因SAM在本系统是上锁的），复制到软盘。手段2：由NT修复磁盘工具创建SAM文件的拷贝。Rdisk/s命令会放到Repair文件夹中Expandsam._sam命令解压第三十三页，共223页。（1）获取SAM文件手段手段3：从SAM中直接从注册表中抽取密码散列值。工具1：pwdump工具2：pwdump2(适合经过SYSKEY增强的SAM文件）工具3：L0phcrack手段4：直接从网络嗅探SMB中的密码散列值。工具是sniff和L0phcrack。第三十四页，共223页。（2）破解SAM密码工具是L0phcrack第三十五页，共223页。破解SAM文件的对策强壮的NT密码。最好是7位放一些不可显示的ASCII字符，如按下Numlock键后，输入alt-255或Alt-129保护SAM文件：锁住服务器。实现syskey(128位），安装补丁。审计对SAM的访问（不现实的）第三十六页，共223页。（二）发掘信任漏洞当获得的是某个独立服务器的管理员账号后，而不是域控制器的管理员账号时，要想获得整个域的信息所使用的。错误的配置：互为镜像的本地和域管理员凭证LSA密码自动登录注册表键键击记录器第三十七页，共223页。（1）本地和域管理员账号互为镜像的本地和域管理员凭证：就是本地系统管理员账号密码和域控制器中的域管理员账号和密码相同对策：无论是域还是本地管理员账号应该经常更改。第三十八页，共223页。（2）LSA密码LSALocalSecurityAuthority本地安全权威外部系统登录密码不加密，当一个域用户通过某独立服务器登录域时，这时这个用户的密码就保存在该独立服务器的注册表中。HLM\security\policy\secrets对策：打LSA补丁。第三十九页，共223页。LSA密码LSA密码有：服务器账号密码缓存最后10个用户注册到机器上的密码散列FTP和Web用户的明文密码远程访问服务器（RAS）拨号账户和密码进行域访问的计算机账号密码第四十页，共223页。（3）自动登录注册表键\\HKLM\software\Microsoft\Winodws\CurrentVersion\winlogon\AutoAdminlogon。NT会设为自动登录，但用户名和密码会话在\defaultUsername和\defaultPasswd键中。对策是删除AutoAdminlogon键第四十一页，共223页。（4）键击记录器在己获得管理员权限的服务器上安装键击记录器程序。记下该服务器上的按键记录放到一个文件中，以后再来取。对策：注意查看注册表中的启动项。\\HKLM\software\Microsoft\Winodws\CurrentVersion\run第四十二页，共223页。（三）嗅探程序利用占领的系统，在本地网段上进行窃听。工具：BUTTsniff和WinPcap-Win32对策：尽量使用加密通信工具（如ssh,ssl,pgp或IP层加密IPSec)采用交换网络可降低风险第四十三页，共223页。（四）远程控制与后门取得了某系统的管理员权限后，在该系统中安装远程命令行工具和一些以后用的后门程序。实现的条件：调度服务（计划任务）在目标系统上运行，可用SC程序实现。C:\>ScIP地址startschedule可用nettime命令检查远程系统上的时间。第四十四页，共223页。（四）远程控制与后门常见的后门程序Netcat(nc俗名叫瑞士军刀）netBus(nbsrv.exe)BackOrifice2000WinVNC(图开界面的）（WinVNC.exeVnchooks.dll)第四十五页，共223页。(五）端口重定向一般是在攻占了防火墙后，在防火墙后的原始分组重定向到攻击者的机器或其他目标。常用工具：Nc80|cmd.exe|nc25Rinetdfpipe第四十六页，共223页。（六）一般性的对策文件名：检查常用后门程序的文件名（大多数后门程序可以改名）此法不太有效。注册表项：注册表中的启动（HKLM或HKCU中Run和Runonce)启动菜单第四十七页，共223页。（六）一般性的对策进程：熟悉那些后门程序的进程名，还有熟悉WinNT/2000中正常的进程名和数目。端口：netstat–a此命令可检查本机打开了哪些端口。要知道后门程序打开的端口。要知道自己的机器平时常用的端口，发现可疑端口要注意。第四十八页，共223页。（七）终级破坏Rootkit控制操作系统代码，对NT核心添补程序，抢夺系统调用，可以隐藏进程，注册表键和文件，将调用重定向到木马功能上。对策：重装系统：不是系统恢复，完备的文档及高度自动化的安装过程，如GHOST备份或服务器的CD-ROM版的完整配置。代码校验和工具，如MD5Sum,Tripwire第四十九页，共223页。MD5Sum为什么要创建文件指纹验证?1、共享文件从网上被下载回来运行，如果这个文件被人修改过了，添加了木马或者病毒在里面，如何发现这种问题？2、下载一个iso文件，下了半天，又是断点续传，但文件到底有没有被破坏？第五十页，共223页。掩盖踪迹禁止审计清空事件日志隐藏文件第五十一页，共223页。（一）禁止审计这是取得管理员权限后所做的第一件事。Auditpol/disable第五十二页，共223页。（二）清空事件日志Elsave–s\\主机名-l“security”-c第五十三页，共223页。(三）隐藏文件Attrib+h目录名或文件名NTFS分流：把木马程序附在一些系统文件后面

cpnc.exe1.txt:nc.exe{把NC放在1.txt文件后面）Cp1.txt:nc.exenc.exe反分流执行这样的文件用：start1.txt:nc.exe第五十四页，共223页。WIN2000中的EFS对文件加密EFS（Encrypting)随机产生的文件加密密钥由其他密钥加密的。由用户公钥加密后的FEK以一个称为DDF（数据解密字段）的文件属性保存，当用户访问文件时，他的私钥对DDF进行解密，解出FEK，然后再解密文件。第五十五页，共223页。WIN2000中的EFS对文件加密而用恢复代理RA密钥对FEK进行加密后的结果，保存在叫DRF（数据恢得字段）的属性中，本地管理员是恢复代理时（缺省是这样），任何获得管理员身份的人，就可以用其私钥解开DRF，然后揭求FEK，用FEK就可解密EFS保护的文件了。FEK：Key文件加密密钥第五十六页，共223页。WIN2000中的EFS对文件加密加密文件的方法是：创建一个空的加密文件夹，再在此文件夹中直接创建文件。第五十七页，共223页。5.2.2IP欺骗1．IP欺骗的工作原理（1）使被信任主机丧失工作能力TCPSYN-Flood：t1:Z（X）－－－SYN－－－>BZ（X）－－－SYN－－－＞BZ（X）－－－SYN－－－＞B……………t2:X＜－－－SYN/ACK--------BX＜－－－SYN/ACK--------B……………t3:X＜－－－RST－－－B第五十八页，共223页。（2）序列号猜测攻击者先与被攻击主机的一个端口（SMTP是一个很好的选择）建立起正常的连接。通常，这个过程被重复若干次，并将目标主机最后所发送的ISN（初始序列号）存储起来。攻击者还需要估计他的主机与被信任主机之间的RTT时间（往返时间），这个RTT时间是通过多次统计平均求出的。RTT对于估计下一个ISN是非常重要的。一般每秒钟ISN增加128000，每次连接增加64000。现在就不难估计出ISN的大小了，它是128000乘以RTT的一半，如果此时目标主机刚刚建立过一个连接，那么再加上一个64000。

第五十九页，共223页。(3）实施欺骗Z伪装成A信任的主机B攻击目标A的过程如下：t1:Z（B）－－SYN－－－>At2:B＜－－－SYN/ACK－－－At3:Z（B）－－－ACK－－－＞At4:Z（B）－－－—PSH－－－＞A第六十页，共223页。2.IP欺骗的防止（1）抛弃基于地址的信任策略（2）进行包过滤（3）使用加密方法（4）使用随机化的初始序列号第六十一页，共223页。5.2.3端口扫描1．端口与服务许多的TCP/IP程序都是可以通过网络启动的客户/服务器结构。服务器上运行着一个守护进程，当客户有请求到达服务器时，服务器就启动一个服务进程与其进行通信。为简化这一过程，每个应用服务程序（如、Telnet等）被赋予一个唯一的地址，这个地址称为端口。端口号由16位的二进制数据表示，范围为0~65535。守护进程在一个端口上监听，等待客户请求。

第六十二页，共223页。端口的分类1、公认端口：0-1023

HTTP：80、TELNET：23SMTP：25、DNS：53SNMP：1692、注册端口：1024---49151松散的绑定一些服务3、动态和私有端口：49152—65535一般不分配第六十三页，共223页。2．端口扫描

一种常用方法，可以了解远程服务器提供的各种服务及其TCP端口分配，了解服务器的操作系统及目标网络结构等信息。系统管理员使用扫描工具，可以及时检查和发现自己系统的安全弱点和安全漏洞。端口扫描也广泛被入侵者用来寻找攻击线索和攻击入口。比如：是否能用匿名登陆，是否有可写的FTP目录，是否能用TELNET等等。端口扫描程序在网上很容易找到，因而许多人认为扫描工具是入侵工具中最危险的一类。

第六十四页，共223页。扫描器简介数据库扫描器操作系统扫描器网络安全扫描器（网络服务、应用程序、网络设备、网络协议）常用：NSS、SSTAN、ISS、NESSUSHSCAN第六十五页，共223页。5.2.4网络监听

网络监听可以监视网络的状态、数据流动情况以及网络上传输的信息，是网络管理员的一种监视和管理网络的一种方法，但网络监听工具也常是黑客们经常使用的工具。当信息以明文的形式在网络上传输时，便可以使用网络监听的方式来进行攻击。只要将网络接口设置在监听模式，便可以源源不断地将网上传输的信息截获。网络监听可以在网上的任何一个位置实施，如局域网中的主机、网关或远程网的调制解调器之间等。黑客们用得最多的是截获用户的口令。

第六十六页，共223页。1．网络监听的原理以太网协议的工作方式为将要发送的数据帧发往物理连接在一起的所有主机。在帧头中包含着应该接收数据包的主机的地址。数据帧到达一台主机的网络接口时，在正常情况下，网络接口读入数据帧，并检查数据帧帧头中的地址字段，如果数据帧中携带的物理地址是自己的，或者物理地址是广播地址，则将数据帧交给上层协议软件，否则就将这个帧丢弃。对于每一个到达网络接口的数据帧，都要进行这个过程。然而，当主机工作在监听模式下，不管数据帧的目的地址是什么，所有的数据帧都将被交给上层协议软件处理。第六十七页，共223页。2．网络监听工具及其作用

嗅探器（sniffer）就是一种网络监听工具。sniffer工作在网络环境中的底层，它会拦截所有的正在网络上传送的数据，并且通过相应的软件处理，可以实时分析这些数据的内容，进而分析所处的网络状态和整体布局,Sniffer实施的是一种消极的安全攻击，它们极其安静地躲在某个主机上偷听别人的通信，具有极好隐蔽性。

网络监听对系统管理员是很重要的，系统管理员通过监听可以诊断出大量的不可见问题，这些问题有些涉及两台或多台计算机之间的异常通讯，有些牵涉到各种协议的漏洞和缺陷。

第六十八页，共223页。第六十九页，共223页。第七十页，共223页。第七十一页，共223页。第七十二页，共223页。第七十三页，共223页。第七十四页，共223页。3．如何发现sniffer通过下面的方法可以分析出网络上是否存在sniffer进行分析。网络通讯掉包率反常的高。网络带宽将出现异常。对于怀疑运行监听程序的主机，用正确的IP地址和错误的物理地址去PING，正常的机器不接受错误的物理地址，处于监听状态的机器能接受，这种方法依赖系统的IPSTACK，对有些系统可能行不通。

往网上发大量包含着不存在的物理地址的包,由于监听程序将处理这些包，将导致性能下降，通过比较前后该机器性能（icmpechodelay等方法）加以判断。第七十五页，共223页。5.2.5拒绝服务（DoS）1．什么是拒绝服务拒绝服务攻击（DenialofService）是指一个用户占据了大量的共享资源，使系统没有剩余的资源给其它用户提供服务的一种攻击方式。拒绝服务攻击的结果可以降低系统资源的可用性，

2．拒绝服务攻击的方式信息数据包流量式：SYN-Flooding攻击:过载攻击:服务过载、进程过载攻击、系统过载攻击、磁盘过载攻击

第七十六页，共223页。3．分布式拒绝服务（DDoS）DDoS就是利用通过组织和操纵更多的机器来发起进攻，来实现拒绝服务攻击。分布式拒绝服务攻击程序由两部分组成：在主控主机上的客户端和在代理主机上的守护进程。主控端向其代理端发送要攻击的目标主机的列表，代理端据此列表对目标进行拒绝服务攻击。由一个主控端控制的多个代理端能够在攻击过程中相互协同，保证攻击的连续性。

第七十七页，共223页。5.2.6缓冲区溢出缓冲区溢出是目前最为常见的安全漏洞，也是黑客利用最多的攻击漏洞。

1．缓冲区溢出的原理在程序试图将数据放到机器内存中的某一个位置的时候，如果没有足够的空间就会发生缓冲区溢出。大多造成缓冲区溢出的原因是程序中没有仔细检查用户输入参数而造成的。

危害：一是过长的字符串覆盖了相邻的存储单元，引起程序运行失败，严重的可导致系统崩溃；另有一个结果就是利用这种漏洞可以执行任意指令，甚至可以取得系统根用户的权限。第七十八页，共223页。例如下面一段简单的C程序：voidfuction(char*str){charbuf[10];gets(buf);strcat(str,buf);}main(){charstr[20];scanf(“%s”,str);printf(“%s”,fuction(str));}第七十九页，共223页。缓冲区溢出漏洞攻击的分析代码放置的方法（植入法、利用已经存在代码）控制程序的转移（激活记录、函数指针、长跳转缓冲区）第八十页，共223页。3．缓冲区溢出的保护目前有四种基本的方法保护缓冲区免受缓冲区溢出的攻击和影响：一是强制编写正确的代码的方法。二是通过操作系统使得缓冲区不可执行，从而阻止攻击者植入攻击代码。三是利用编译器的边界检查来实现缓冲区的保护。四是一种间接的方法，该方法在程序指针失效前进行完整性检查。第八十一页，共223页。5.2.7电子邮件的攻击电子邮件轰炸电子邮件欺骗第八十二页，共223页。5.2.8各种攻击第八十三页，共223页。缓冲区溢出身份欺骗拨号式扫描/移位式扫描病毒/蠕虫/特洛伊木马直接访问远程控制软件探测扫描Rootkit嗅探第八十四页，共223页。应用程序泛洪UDP欺骗无赖设备WEB应用程序数据整理中间人（MITM）分布式拒绝服务（DDoS)TCP欺骗ARP重定向/ARP欺骗TCP/SYN泛洪第八十五页，共223页。IP欺骗IP重定向传输重定向Smurf(利用Ping程序中使用的ICMP协议。攻击者首先制造出源地址是受攻击主机的IP地址的包;然后攻击者将这些包发送...因此,Smurf攻击实际上是一种IP欺骗式的攻击,将导致拒绝服务攻击的结果。)MAC泛洪MAC欺骗网络操纵STP重定向第八十六页，共223页。安全技术身份识别技术主机和应用安全网络防火墙内容过滤网络入侵检测系统NIDS加密技术第八十七页，共223页。身份识别技术可重用密码RADIUS/TACACS+OTP一次性密码PKI智能卡生物特征识别第八十八页，共223页。可重用密码注意健壮性（可用主动密码检测工具进行检查）。教育员工。限制登录次数。可以检测身份欺骗，可以阻止直接访问。第八十九页，共223页。RADIUS/TACACS+是为网络提供集中认证服务的协议。通常称为AAA服务器（认证，授权，记账）。RADIUS是开放标准，使用UDP协议，只对密码加密。TACACS+是Cisco开发的协议，使用TCP，并对整个通信加密。可以检测身份欺骗，可以阻止直接访问。第九十页，共223页。OTP一次性密码OneTimePassword一般需要令牌和个人识别码PINpersonalidentificationnumber.或者令牌与PIN码一起生成登录密码。或者令牌生成登录密码，然后与PIN码一起使用。用户要记住PIN码。一般和RADIUS一起使用。第九十一页，共223页。PKIPKIPublicKeyInfrastructure公钥基础设施。一种检验用户身份识别的数字证书机制。最主要的是认证中心CA。用在：安全电子邮件；安全站点访问—SSL；VPN；电子文档数字签名。第九十二页，共223页。智能卡智能卡提供了在卡里存储身份识别信息的能力。如：SIM卡subscriberidentitymodules客户身份识别卡。是一台功能齐全的计算机。因为是计算机，所以易受攻击。价钱可能较贵。电子证书可以存储在智能卡中。第九十三页，共223页。5.3入侵检测5.3.1入侵检测概述谈到网络安全，人们第一个想到的是防火墙。但随着技术的发展，网络日趋复杂，传统防火墙所暴露出来的不足和弱点引出了人们对入侵检测系统(IDS)技术的研究和开发。首先，传统的防火墙在工作时，就像深宅大院虽有高大的院墙，却不能挡住小老鼠甚至是家贼的偷袭一样，因为入侵者可以找到防火墙背后可能敞开的后门。其次，防火墙完全不能阻止来自内部的袭击，而通过调查发现，50%的攻击都将来自于内部，对于企业内部心怀不满的员工来说，防火墙形同虚设。再者，由于性能的限制，防火墙通常不能提供实时的入侵检测能力，而这一点，对于现在层出不穷的攻击技术来说是至关重要的。第四，防火墙对于病毒也束手无策。因此，以为在Internet入口处部署防火墙系统就足够安全的想法是不切实际的。第九十四页，共223页。为什么要用IDS?入侵检测系统(IDS)可以弥补防火墙的不足，为网络安全提供实时的入侵检测及采取相应的防护手段，如记录证据用于跟踪、恢复、断开网络连接等。第九十五页，共223页。IDS有些专家把入侵检测系统（IDS）比喻成网络中的摄像机。就现场监视和记录数据而言，二者确实有很多相似之处。任何一个企业和机构都想让自己的网络更安全、可靠，但对价格不菲的IDS所能起到的真正作用却心存狐疑。IDS最大的尴尬是：性能价格比还远未达到企业所能欣然接受的程度。第九十六页，共223页。IDS的发展历程从实验室原型研究到推出商业化产品、走向市场并获得广泛认同，入侵检测系统（IDS）已经走过了二十多年的风雨坎坷路。概念的诞生模型的发展百花齐放的春天第九十七页，共223页。概念的诞生1980年4月，JamesP.Anderson为美国空军做了一份题为《ComputerSecurityThreatMonitoringandSurveillance》（计算机安全威胁监控与监视）的技术报告，第一次详细阐述了入侵检测的概念。他提出了一种对计算机系统风险和威胁的分类方法，并将威胁分为外部渗透、内部渗透和不法行为三种，还提出了利用审计跟踪数据监视入侵活动的思想。这份报告被公认为是入侵检测的开山之作。第九十八页，共223页。模型的发展从1984年到1986年，乔治敦大学的DorothyDenning和SRI/CSL（SRI公司计算机科学实验室）的PeterNeumann研究出了一个实时入侵检测系统模型，取名为IDES（入侵检测专家系统）。该模型由六个部分组成：主体、对象、审计记录、轮廓特征、异常记录、活动规则。它独立于特定的系统平台、应用环境、系统弱点以及入侵类型，为构建入侵检测系统提供了一个通用的框架。

1988年，SRI/CSL的TeresaLunt等人改进了Denning的入侵检测模型，并开发出了一个IDES。该系统包括一个异常检测器和一个专家系统，分别用于统计异常模型的建立和基于规则的特征分析检测（如图2所示）。第九十九页，共223页。百花齐放的春天1990年是入侵检测系统发展史上的一个分水岭。这一年，加州大学开发出了NSM（NetworkSecurityMonitor）。该系统第一次直接将网络流作为审计数据来源，因而可以在不将审计数据转换成统一格式的情况下监控异种主机。从此之后，入侵检测系统发展史翻开了新的一页，两大阵营正式形成：基于网络的IDS和基于主机的IDS。1988年的莫里斯蠕虫事件发生之后，网络安全才真正引起了美国军方、学术界和企业的高度重视，开发了DIDS。第一百页，共223页。百花齐放的春天DIDS是分布式入侵检测系统历史上的一个里程碑式的产品，它的检测模型采用了分层结构，包括数据、事件、主体、上下文、威胁、安全状态等6层。从20世纪90年代到现在，入侵检测系统的研发呈现出百家争鸣的繁荣局面，并在智能化和分布式两个方向取得了长足的进展。第一百零一页，共223页。5.3.2.入侵检测的主要任务和作用入侵检测系统（IDS）：是主动保护自己免受攻击的一种网络安全技术。IDS对网络或系统上的可疑行为作出策略反应，及时切断入侵源，记录并通过各种途径通知网络管理员最大幅度地保障系统安全。O监视、分析用户及系统活动O系统构造和弱点的审计O识别进攻，并报警O异常行为模式的统计分析O评估重要系统和数据文件的完整性O操作系统的审计跟踪管理，识别违反安全策略行为第一百零二页，共223页。5.3.3入侵检测系统的工作原理1.信息收集

(1)系统和网络日志文件

(2)目录和文件中的不期望的改变

(3)程序执行中的不期望行为

(4)物理形式的入侵信息

2.信号分析

(1)模式匹配：

(2)统计分析

(3)完整性分析第一百零三页，共223页。5.3.4入侵检测系统的分类按照入侵检测系统的数据来源划分（1）基于主机的入侵检测系统（2）基于网络的入侵检测系统（3）采用上述两种数据来源的分布式的入侵检测系统2．按照入侵检测系统采用的检测方法来分类（1）基于行为的入侵检测系统：（2）基于模型推理的入侵检测系统：（3）采用两者混合检测的入侵检测系统：

第一百零四页，共223页。3．按照入侵检测的时间的分类（1）实时入侵检测系统：根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断，一旦发现入侵迹象，立即断开入侵者与主机的连接，并征集证据和实施数据恢复。（自动地、循环地进行）（2）事后入侵检测系统：由网络管理员根据专业知识和计算机系统对用户操作所做的历史审计记录判断用户有无入侵行为第一百零五页，共223页。5.3.5入侵检测系统的CIDF模型

通用入侵检测框架（CIDF）是由美国加州大学Davis分校的安全实验室提出的框架。CIDF从逻辑上把IDS分成面向任务的一个组件集合，这些组件一起定义了入侵检测系统的结构。这些组件包括：事件发生器（E-boxes）、分析引擎(A-boxes)、存贮机制（D-boxes）以及对抗措施（C-boxes）。

第一百零六页，共223页。图5-1CIDF组件关系

第一百零七页，共223页。5.4入侵检测系统的结构入侵检测系统的结构大体上可分为三种模式：基于主机系统的结构、基于网络系统的结构、基于分布式系统的结构第一百零八页，共223页。5.4.1基于主机的入侵检测系统第一百零九页，共223页。

这种类型的系统依赖于审计数据或系统日志的准确性、完整性以及安全事件的定义。若入侵者设法逃避审计或进行合作入侵，则基于主机的检测系统的弱点就暴露出来了。特别是在现代的网络环境下，单独地依靠主机审计信息进行入侵检测难以适应网络安全的需求。

第一百一十页，共223页。这主要表现在以下四个方面：一是主机的审计信息弱点，如易受攻击，入侵者可通过使用某些系统特权或调用比审计本身更低级的操作来逃避审计。二是不能通过分析主机审计记录来检测网络攻击。三是IDS的运行或多或少影响服务器性能。四是基于主机的IDS只能对服务器的特定用户、应用程序执行动作、日志进行检测，所能检测到的攻击类型受到限制。第一百一十一页，共223页。5.4.2基于网络的入侵检测系统第一百一十二页，共223页。基于网络的IDS的优点是：（1）服务器平台独立：基于网络的IDS监视通信流量而不影响服务器平台的变化和更新。（2）配置简单：基于网络的IDS环境只需要一个普通的网络访问接口。（3）检测多种攻击：基于网络的IDS探测器可以监视多种多样的攻击包括协议攻击和特定环境的攻击，长于识别与网络低层操作有关的攻击。第一百一十三页，共223页。5.4.3基于分布式系统的入侵检测技术典型的入侵检测系统是一个统一集中的代码块，它位于系统内核或内核之上，监控传送到内核的所有请求。但是，随着网络系统结构复杂化和大型化，系统的弱点或漏洞将趋于分布化。另外，入侵行为不再是单一的行为，而是表现出相互协作的入侵特点，在这种背景下，产生了基于分布式的入侵检测系统。

第一百一十四页，共223页。

基于分布式系统的IDS结构

第一百一十五页，共223页。5.5入侵检测产品简介5.5.1Cisco公司的NetRangerNetRanger是基本网络的入侵检测系统，可在Internet/Intranet两种环境中运行。系统包括两部分：检测网络包和发出报警的检测器，接收并分析报警和启动对策的控制器。

5.5.2ISS公司的RealSecure

RealSecure2.0forWindowsNT是一种领导市场的攻击检测方案，它提供了分布式的安全体系结构。多个检测引擎可以监控不同的网络并向中央管理控制台报告。控制台与引擎之间的通信可以通过128bitRSA进行认证和加密。第一百一十六页，共223页。免费IDS资源目前，IDS产品可分为硬件和软件两种类型，但无论选择哪种，都有一个共同的特点:昂贵。即便在单点安装的情况下，无论是硬件类型的费用，还是软件类型的许可费，动辄数万元乃至十余万元。相对于规模不是很大、费用支出有限的企业，承受起来勉为其难。是不是安全防御可以不搞了？答案是否定的。事实上，互联网在给我们带来挑战的同时，也给我们带来无数的宝贵资源，只等我们去开发、利用。开放源代码软件（OpenSourceSoftware）便是其中之一。第一百一十七页，共223页。免费IDS资源第一百一十八页，共223页。IDMEFIDMEF描述了表示入侵检测系统输出信息的数据模型，并解释了使用此模型的基本原理。该数据模型用XML实现，并设计了一个XML文档类型定义。自动入侵检测系统可以使用IDMEF提供的标准数据格式对可疑事件发出警报，提高商业、开放资源和研究系统之间的互操作性。IDMEF最适用于入侵检测分析器（或称为“探测器”）和接收警报的管理器（或称为“控制台”）之间的数据信道。IDMEF的数据模型使用XML描述IDMEF文档标记第一百一十九页，共223页。IDMEF数据模型IDMEF数据模型以面向对象的形式表示探测器传递给控制台的警报数据，设计数据模型的目标是为警报提供确定的标准表达方式，并描述简单警报和复杂警报之间的关系。IDMEF数据模型各个主要部分之间的关系如图1所示。第一百二十页，共223页。IDMEF数据模型所有IDMEF消息的最高层类是IDMEF-Message，每一种类型的消息都是该类的子类。IDMEF目前定义了两种类型的消息：Alert（警报）和Heartbeat（心跳），这两种消息又分别包括各自的子类，以表示更详细的消息。需要注意的是，IDMEF数据模型并没有对警报的分类和鉴别进行说明。例如，对一个端口的扫描，一个分析器可能将其确定为一个多目标的单一攻击，而另一个分析器可能将其确定为来自同一个源的多次攻击。只有一个分析器决定了发送的警报类型，数据模型才能规定怎样对这个警报进行格式化。IDMEF数据模型是用统一建模语言（UML）描述的。UML用一个简单的框架表示实体以及它们之间的关系，并将实体定义为类。IDMEF包括的主要类有IDMEF-Message类、Alert类、Heartbeat类、Core类、Time类和Support类，这些类还可以再细分为许多子类。第一百二十一页，共223页。使用XML描述IDMEF文档标记IDWG最早曾提出两个建议实现IDMEF：用SMI(管理信息结构)描述一个SNMPMIB和使用DTD（文档类型定义）描述XML文档。IDWG在1999年9月和2000年2月分别对这两个建议进行了评估，认为XML最能符合IDMEF的要求，于是，在2000年2月的会议上决定采用XML方案。XML是SGML(标准通用标记语言)的简化版本，是ISO8879标准对文本标记说明进行定义的一种语法。作为一种表示和交换网络文档及数据的语言，XML能够有效地解决HTML面临的许多问题，所以获得了业界的普遍青睐。1998年10月，WWW联盟(W3C)将XML作为一项建议公布于众。此后不久，WWW联盟又发布了一份建议，定义了XML文档中的名字空间。XMLDTD（文档类型定义）可用来声明文档所用的标记，它包括元素（文档包括的不同信息部分）、属性（信息的特征）和内容模型（各部分信息之间的关系）。第一百二十二页，共223页。IDXPIDXP（入侵检测交换协议）是一个用于入侵检测实体之间交换数据的应用层协议，能够实现IDMEF消息、非结构文本和二进制数据之间的交换，并提供面向连接协议之上的双方认证、完整性和保密性等安全特征。IDXP是BEEP的一部分，后者是一个用于面向连接的异步交互通用应用协议，IDXP的许多特色功能（如认证、保密性等）都是由BEEP框架提供的。IDXP模型如下：建立连接传输数据断开连接第一百二十三页，共223页。建立连接使用IDXP传送数据的入侵检测实体被称为IDXP的对等体，对等体只能成对地出现，在BEEP会话上进行通信的对等体可以使用一个或多个BEEP信道传输数据。对等体可以是管理器，也可以是分析器。分析器和管理器之间是多对多的关系，即一个分析器可以与多个管理器通信，同样，一个管理器也可以与多个分析器通信；管理器与管理器之间也是多对多的关系，所以，一个管理器可以通过多个中间管理器接收来自多个分析器的大量警报。但是，IDXP规定，分析器之间不可以建立交换。第一百二十四页，共223页。建立连接入侵检测实体之间的IDXP通信在BEEP信道上完成。两个希望建立IDXP通信的入侵检测实体在打开BEEP信道之前，首先要进行一次BEEP会话，然后就有关的安全特性问题进行协商，协商好BEEP安全轮廓之后，互致问候，然后开始IDXP交换。图2是两个入侵检测实体“Alice”和“Bob”之间建立IDXP通信的过程。注意：IDXP对等实体之间可能有多个代理，这些代理可能是防火墙，也可能是将公司每个部门分析器的数据转发给总管理器的代理。隧道轮廓描述了使用代理时的IDXP交换。第一百二十五页，共223页。传输数据一对入侵检测实体进行BEEP会话时，可以使用IDXP轮廓打开一个或多个BEEP信道，这样就可以使用额外的信道建立额外的BEEP会话。但是，大多数情况下，额外信道都应在已有的BEEP会话上打开，而不是用IDXP轮廓打开一个包含额外信道的新BEEP会话。在每个信道上，对等体都以客户机/服务器模式进行通信，BEEP会话发起者为客户机，而收听者则为服务器。第一百二十六页，共223页。传输数据图3描述了一个分析器将数据传送给一个管理器的简单过程。

第一百二十七页，共223页。传输数据在一次BEEP会话时，使用多个BEEP信道有利于对在IDXP对等体之间传输的数据进行分类和优先权设置。例如，一个管理器M1在向另一个管理器M2传送警报数据时，可以用不同的信道传送不同类型的警报数据，在每个信道上管理器M1的作用都相当于一个客户器，而M2则对不同信道上的数据作出相应的处理，如图4所示。第一百二十八页，共223页。断开连接

在有些情况下，一个IDXP对等体可以选择关闭某个IDXP信道。在关闭一个信道时，对等体在0信道上发送一个“关闭”元素，指明要关闭哪一个信道。一个IDXP对等体也可以通过在0信道上发送一个指明要“关闭”0信道的元素，来关闭整个BEEP会话。在上面这个模型中，IDXP对等实体之间采用了一个BEEP安全轮廓实现端到端的安全，而无需通过中间的代理建立安全信任，因此，只有IDXP对等体之间是相互信任的，而代理是不可信的。第一百二十九页，共223页。公共入侵检测框架（CIDF）CIDF所做的工作主要包括四部分：IDS的体系结构通信机制描述语言应用编程接口API第一百三十页，共223页。IDS的体系结构CIDF在IDES和NIDES的基础上提出了一个通用模型，将入侵检测系统分为四个基本组件：事件产生器、事件分析器、响应单元和事件数据库。结构如图5所示。在这个模型中，事件产生器、事件分析器和响应单元通常以应用程序的形式出现，而事件数据库则往往是文件或数据流的形式，很多IDS厂商都以数据收集部分、数据分析部分和控制台部分三个术语来分别代替事件产生器、事件分析器和响应单元。第一百三十一页，共223页。IDS的体系结构

CIDF将IDS需要分析的数据统称为事件，它可以是网络中的数据包，也可以是从系统日志或其他途径得到的信息。以上四个组件只是逻辑实体，一个组件可能是某台计算机上的一个进程甚至线程，也可能是多个计算机上的多个进程，它们以GIDO（统一入侵检测对象）格式进行数据交换。GIDO是对事件进行编码的标准通用格式（由CIDF描述语言CISL定义），GIDO数据流在图5中以虚线表示，它可以是发生在系统中的审计事件，也可以是对审计事件的分析结果。第一百三十二页，共223页。事件产生器事件产生器的任务是从入侵检测系统之外的计算环境中收集事件，并将这些事件转换成CIDF的GIDO格式传送给其他组件。例如，事件产生器可以是读取C2级审计踪迹并将其转换为GIDO格式的过滤器，也可以是被动地监视网络并根据网络数据流产生事件的另一种过滤器，还可以是SQL数据库中产生描述事务的事件的应用代码。第一百三十三页，共223页。事件分析器事件分析器分析从其他组件收到的GIDO,并将产生的新GIDO再传送给其他组件。分析器可以是一个轮廓描述工具，统计性地检查现在的事件是否可能与以前某个事件来自同一个时间序列;也可以是一个特征检测工具，用于在一个事件序列中检查是否有已知的滥用攻击特征；此外，事件分析器还可以是一个相关器，观察事件之间的关系，将有联系的事件放到一起，以利于以后的进一步分析。第一百三十四页，共223页。事件数据库用来存储GIDO，以备系统需要的时候使用。第一百三十五页，共223页。响应单元响应单元处理收到的GIDO，并据此采取相应的措施，如杀死相关进程、将连接复位、修改文件权限等。由于CIDF有一个标准格式GIDO，所以这些组件也适用于其他环境，只需要将典型的环境特征转换成GIDO格式，这样就提高了组件之间的消息共享和互通。第一百三十六页，共223页。CIDF的通信机制为了保证各个组件之间安全、高效的通信，CIDF将通信机制构造成一个三层模型：GIDO层、消息层和协商传输层。要实现有目的的通信，各组件就必须能正确理解相互之间传递的各种数据的语义，GIDO层的任务就是提高组件之间的互操作性，所以它就如何表示各种各样的事件做了详细的定义。消息层确保被加密认证消息在防火墙或NAT等设备之间传输过程中的可靠性。消息层只负责将数据从发送方传递到接收方，而不携带任何有语义的信息；同样，GIDO层也只考虑所传递信息的语义，而不关心这些消息怎样被传递。单一的传输协议无法满足CIDF各种各样的应用需求，只有当两个特定的组件对信道使用达成一致认识时，才能进行通信。协商传输层规定GIDO在各个组件之间的传输机制。第一百三十七页，共223页。CIDF的通信机制CIDF的通信机制主要讨论消息的封装和传递，主要分为四个方面：配对服务

路由

消息层

消息层处理

第一百三十八页，共223页。配对服务配对服务采用了一个大型目录服务LDAP（轻量级目录访问协议），每个组件都要到此目录服务进行注册，并通告其他组件它所使用或产生的GIDO类型。在此基础上，组件才能被归入它所属的类别中，组件之间才能互相通信。配对服务还支持一些安全选项（如公钥证书、完整性机制等），为各个组件之间安全通信、共享信息提供了一种统一的标准机制，大大提高了组件的互操作性，降低了开发多组件入侵检测与响应系统的难度。第一百三十九页，共223页。路由组件之间要通信时，有时需经过非透明的防火墙，发送方先将数据包传递给防火墙的关联代理，然后再由此代理将数据包转发到目的地。CIDF采用了两种路由：源路由和绝对路由。第一百四十页，共223页。消息层消息层要实现的功能包括：（1）提供一个开放的体系结构。（2）使消息独立于操作系统、编程语言和网络协议。（3）简化向CIDF中增添新组件的过程。（4）支持鉴定与保密等安全需求。（5）同步（封锁进程与非封锁进程）。第一百四十一页，共223页。消息层处理消息层处理规定了消息层消息的处理方式它包括四个规程：标准规程、可靠传输规程、保密规程和鉴定规程。第一百四十二页，共223页。CIDF语言CIDF的总体目标是实现软件的复用和IDR（入侵检测与响应）组件之间的互操作性。首先，IDR组件基础结构必须是安全、健壮、可伸缩的，CIDF的工作重点是定义了一种应用层的语言CISL（公共入侵规范语言），用来描述IDR组件之间传送的信息，以及制定一套对这些信息进行编码的协议。CISL可以表示CIDF中的各种信息，如原始事件信息（审计踪迹记录和网络数据流信息）、分析结果（系统异常和攻击特征描述）、响应提示（停止某些特定的活动或修改组件的安全参数）等。第一百四十三页，共223页。CIDF语言CISL使用了一种被称为S表达式的通用语言构建方法，S表达式可以对标记和数据进行简单的递归编组，即对标记加上数据，然后封装在括号内完成编组，这跟LISP有些类似。S表达式的最开头是语义标识符（简称为SID），用于显示编组列表的语义。例如下面的S表达式：(HostName‘’)该编组列表的SID是HostName，它说明后面的字符串“”将被解释为一个主机的名字。有时侯，只有使用很复杂的S表达式才能描述出某些事件的详细情况，这就需要使用大量的SID。SID在CISL中起着非常重要的作用，用来表示时间、定位、动作、角色、属性等，只有使用大量的SID，才能构造出合适的句子。CISL使用范例对各种事件和分析结果进行编码，把编码的句子进行适当的封装，就得到了GIDO。GIDO的构建与编码是CISL的重点。第一百四十四页，共223页。CIDF的API接口CIDF的API负责GIDO的编码、解码和传递，它提供的调用功能使得程序员可以在不了解编码和传递过程具体细节的情况下，以一种很简单的方式构建和传递GIDO。GIDO的生成分为两个步骤：第一，构造表示GIDO的树型结构；第二，将此结构编成字节码。第一百四十五页，共223页。构造树形结构在构造树形结构时，SID被分为两组：一组把S表达式作为参数（即动词、副词、角色、连接词等），另一组把单个数据或一个数据阵列作为参数（即原子），这样就可以把一个完整的句子表示成一棵树，每个SID表示成一个节点，最高层的SID是树根。因为每个S表达式都包含一定的数据，所以，树的每个分支末端都有表示原子SID的叶子。第一百四十六页，共223页。编码和解码由于编码规则是定义好的，所以对树进行编码只是一个深度优先遍历和对各个节点依次编码的过程。在这种情况下，我们可以先对V编码，然后对R1子树编码，再对R2子树编码。如果上面的句子是一个连接句的一部分，那么，每个成分句都可以从中完好地提取出来。也就是说，如果句子事先已经编码，在插入到一个连接句时无须再进行编码。将字节码进行解码跟上面的过程正好相反，在SID码的第一个字节里有一个比特位显示其需要的参数：是基本数据类型，还是S表达式序列。然后语法分析器再对后面的字节进行解释。CIDF的API并不能根据树构建逻辑GIDO，但提供了将树以普通GIDO的S表达式格式进行打印的功能。CIDF的API为实现者和应用开发者都提供了很多的方便，它分为两类：GIDO编码/解码API和消息层API。第一百四十七页，共223页。IDS分类根据检测原理进行分类根据系统特征分类根据体系结构分类发展趋势第一百四十八页，共223页。根据检测原理进行分类传统的观点根据入侵行为的属性将其分为异常和滥用两种，然后分别对其建立异常检测模型和滥用检测模型。近四五年来又涌现出了一些新的检测方法，它们产生的模型对异常和滥用都适用，如人工免疫方法、遗传算法、数据挖掘等。根据系统所采用的检测模型，将IDS分为三类。异常检测滥用检测混合检测第一百四十九页，共223页。异常检测在异常检测中，观察到的不是已知的入侵行为，而是所研究的通信过程中的异常现象，它通过检测系统的行为或使用情况的变化来完成。在建立该模型之前，首先必须建立统计概率模型，明确所观察对象的正常情况，然后决定在何种程度上将一个行为标为“异常”，并如何做出具体决策。异常检测只能识别出那些与正常过程有较大偏差的行为，而无法知道具体的入侵情况。由于对各种网络环境的适应性不强，且缺乏精确的判定准则，异常检测经常会出现虚警情况。异常检测可以通过以下系统实现。（1）自学习系统（2）编程系统第一百五十页，共223页。自学习系统自学习系统通过学习事例构建正常行为模型，又可分为时序和非时序两种。第一百五十一页，共223页。编程系统该类系统需要通过编程学习如何检测确定的异常事件，从而让用户知道什么样的异常行为足以破坏系统的安全。编程系统可以再细分为描述统计和缺省否认两种。异常检测IDS分类如表1所示。第一百五十二页，共223页。滥用检测在滥用检测中，入侵过程模型及它在被观察系统中留下的踪迹是决策的基础。所以，可事先定义某些特征的行为是非法的，然后将观察对象与之进行比较以做出判别。滥用检测基于已知的系统缺陷和入侵模式，故又称特征检测。它能够准确地检测到某些特征的攻击，但却过度依赖事先定义好的安全策略，所以无法检测系统未知的攻击行为，从而产生漏警。滥用检测通过对确知决策规则编程实现，可以分为以下四种：状态建模

专家系统

串匹配

基于简单规则第一百五十三页，共223页。状态建模它将入侵行为表示成许多个不同的状态。如果在观察某个可疑行为期间，所有状态都存在，则判定为恶意入侵。状态建模从本质上来讲是时间序列模型，可以再细分为状态转换和Petri网，前者将入侵行为的所有状态形成一个简单的遍历链，后者将所有状态构成一个更广义的树形结构的Petri网。第一百五十四页，共223页。专家系统它可以在给定入侵行为描述规则的情况下，对系统的安全状态进行推理。一般情况下，专家系统的检测能力强大，灵活性也很高，但计算成本较高，通常以降低执行速度为代价。第一百五十五页，共223页。串匹配它通过对系统之间传输的或系统自身产生的文本进行子串匹配实现。该方法灵活性欠差，但易于理解，目前有很多高效的算法，其执行速度很快。第一百五十六页，共223页。基于简单规则类似于专家系统，但相对简单一些，故执行速度快。第一百五十七页，共223页。滥用检测滥用检测IDS分类如表2所示

第一百五十八页，共223页。混合检测近几年来，混合检测日益受到人们的重视。这类检测在做出决策之前，既分析系统的正常行为，同时还观察可疑的入侵行为，所以判断更全面、准确、可靠。它通常根据系统的正常数据流背景来检测入侵行为，故而也有人称其为“启发式特征检测”。WenkeLee从数据挖掘得到启示，开发出了一个混合检测器RIPPER。它并不为不同的入侵行为分别建立模型，而是首先通过大量的事例学习什么是入侵行为以及什么是系统的正常行为，发现描述系统特征的一致使用模式，然后再形成对异常和滥用都适用的检测模型。第一百五十九页，共223页。根据系统特征分类作为一个完整的系统，IDS显然不应该只包括检测器，它的很多系统特征同样值得认真研究。为此，将以下一些重要特征作为分类的考虑因素：检测时间数据处理的粒度审计数据来源入侵检测响应方式数据收集地点数据处理地点互操作性第一百六十页，共223页。检测时间有些系统以实时或近乎实时的方式检测入侵活动，而另一些系统在处理审计数据时则存在一定的延时。一般的实时系统可以对历史审计数据进行离线操作，系统就能够根据以前保存的数据重建过去发生的重要安全事件。第一百六十一页，共223页。数据处理的粒度有些系统采用了连续处理的方式，而另一些系统则在特定的时间间隔内对数据进行批处理操作，这就涉及到处理粒度的问题。它跟检测时间有一定关系，但二者并不完全一样，一个系统可能在相当长的时延内进行连续数据处理，也可以实时地处理少量的批处理数据。第一百六十二页，共223页。审计数据来源主要有两种来源：网络数据和基于主机的安全日志文件。后者包括操作系统的内核日志、应用程序日志、网络设备（如路由器和防火墙）日志等。第一百六十三页，共223页。入侵检测响应方式分为主动响应和被动响应。被动响应型系统只会发出告警通知，将发生的不正常情况报告给管理员，本身并不试图降低所造成的破坏，更不会主动地对攻击者采取反击行动。主动响应系统可以分为两类：对被攻击系统实施控制。它通过调整被攻击系统的状态，阻止或减轻攻击影响，例如断开网络连接、增加安全日志、杀死可疑进程等。对攻击系统实施控制的系统。这种系统多被军方所重视和采用。目前，主动响应系统还比较少，即使做出主动响应，一般也都是断开可疑攻击的网络连接，或是阻塞可疑的系统调用，若失败，则终止该进程。但由于系统暴露于拒绝服务攻击下，这种防御一般也难以实施。第一百六十四页，共223页。数据处理地点审计数据可以集中处理，也可以分布处理。第一百六十五页，共223页。安全性和互操作性安全性：指系统本身的抗攻击能力。互操作性：不同的IDS运行的操作系统平台往往不一样，其数据来源、通信机制、消息格式也不尽相同，一个IDS与其他IDS或其他安全产品之间的互操作性是衡量其先进与否的一个重要标志。第一百六十六页，共223页。系统特征IDS分类表

第一百六十七页，共223页。根据体系结构分类按照体系结构，IDS可分为集中式、等级式和协作式三种，如表4所示。

第一百六十八页，共223页。集中式这种结构的IDS可能有多个分布于不同主机上的审计程序，但只有一个中央入侵检测服务器。审计程序把当地收集到的数据踪迹发送给中央服务器进行分析处理。但这种结构的IDS在可伸缩性、可配置性方面存在致命缺陷：第一，随着网络规模的增加，主机审计程序和服务器之间传送的数据量就会骤增，导致网络性能大大降低；第二，系统安全性脆弱，一旦中央服务器出现故障，整个系统就会陷入瘫痪；第三，根据各个主机不同需求配置服务器也非常复杂。第一百六十九页，共223页。等级式它用来监控大型网络，定义了若干个分等级的监控区，每个IDS负责一个区，每一级IDS只负责所监控区的分析，然后将当地的分析结果传送给上一级IDS。这种结构仍存两个问题：首先，当网络拓扑结构改变时，区域分析结果的汇总机制也需要做相应的调整；第二，这种结构的IDS最后还是要把各地收集到的结果传送到最高级的检测服务器进行全局分析，所以系统的安全性并没有实质性的改进。第一百七十页，共223页。协作式将中央检测服务器的任务分配给多个基于主机的IDS，这些IDS不分等级，各司其职，负责监控当地主机的某些活动。所以，其可伸缩性、安全性都得到了显著的提高，但维护成本却高了很多，并且增加了所监控主机的工作负荷，如通信机制、审计开销、踪迹分析等。第一百七十一页，共223页。IDS的发展趋势一个有趣的现象是:基于网络的IDS被人们讨论得最多，似乎它应该代表IDS的发展潮流，但实际情况并非如此。部分原因是：①所监控的网络流量超过100Mbps之后，计算量非常之大，系统的数据处理与分析能力会显著降低，这使得它面临着一个难以逾越的技术门槛；②只能监控明文格式数据流，无法监