第章 入侵检测技术

第4章入侵检测技术1.入侵检测系统概述2.入侵检测一般步骤3.入侵检测系统分类4.入侵检测系统关键技术5.入侵检测系统模型介绍6.入侵检测系统标准化7.入侵检测系统Snort8.入侵检测产品选购1.入侵检测系统概述1.1

什么是入侵检测入侵检测是指对入侵行为的发现、报警和响应，它通过对计算机网络或计算机系统中若干关键点收集信息，并对收集到的信息进行分析，从而判断网络或系统中是否有违反安全策略的行为和系统被攻击的征兆。入侵检测的目标是识别系统内部人员和外部入侵者的非法使用、滥用计算机系统的行为。1.2入侵检测系统功能入侵检测系统能主动发现网络中正在进行的针对被保护目标的恶意滥用或非法入侵，并能采取相应的措施及时中止这些危害，如提示报警、阻断连接、通知网管等。其主要功能是监测并分析用户和系统的活动、核查系统配置中的安全漏洞、评估系统关键资源与数据文件的完整性、识别现有已知的攻击行为或用户滥用、统计并分析异常行为、对系统日志的管理维护。

2.入侵检测一般步骤

2.1入侵数据提取主要是为系统提供数据，提取的内容包括系统、网络、数据及用户活动的状态和行为。入侵检测数据提取可来自以下四个方面。（1）系统和网络日志；（2）目录和文件中的的改变；（3）程序执行中的不期望行为；（4）物理形式的入侵信息。2.2入侵数据分析主要作用在于对数据进行深入分析，发现攻击并根据分析的结果产生事件，传递给事件响应模块。常用技术手段有：模式匹配、统计分析和完整性分析等。入侵数据分析是整个入侵检测系统的核心模块。

2.3入侵事件响应事件响应模块的作用在于报警与反应，响应方式分为主动响应和被动响应。

被动响应型系统只会发出报警通知，将发生的不正常情况报告给管理员，本身并不试图降低所造成的破坏，更不会主动地对攻击者采取反击行动。主动响应系统可以分为对被攻击系统实施保护和对攻击系统实施反击的系统。

3.入侵检测系统分类3.1根据系统所检测的对象分类

1.基于主机的入侵检测系统（HIDS）基于主机的IDS安装在被保护的主机上，通常用于保护运行关键应用的服务器。它通过监视与分析主机的审计记录和日志文件来检测入侵行为。基于主机的IDS系统的优点是能够校验出攻击是成功还是失败；可使特定的系统行为受到严密监控等。缺点是它会占用主机的资源，要依赖操作系统等。

2.基于网络的入侵检测系统（NIDS）基于网络的IDS一般安装在需要保护的网段中，利用网络侦听技术实时监视网段中传输的各种数据包，并对这些数据包的内容、源地址、目的地址等进行分析和检测。如果发现入侵行为或可疑事件，入侵检测系统就会发出警报甚至切断网络连接。基于网络的IDS的优点是购买成本低，对识别出来的攻击能进行实时检测和响应，等。其主要缺点在于防欺骗能力较差、交互环境下难以配置等。3．基于应用的入侵检测系统（AIDS）

AIDS监控在某个软件应用程序中发生的活动，信息来源主要是应用程序的日志，其监视的内容更为具体。3.2

根据数据分析方法分类

1．异常检测异常检测是假定所有的入侵行为都与正常行为不同。先定义一组系统在正常条件下的资源与设备利用情况的数值，建立正常活动的模型，然后再将系统在运行时的此类数值与事先定义的原有正常指标相比较，从而得出是否有攻击现象发生。2．误轨用检真测误用态检测读是假启定所根有入餐侵行角为、耐手段喷及其盾变种杜都能贯够表戚达为姑一种诉模式泻或特盾征。删系统丑的目涌标就喇是检撇测主腥体活包动是将否符据合这赌些模蔑式，胳因此敞又称培为特什征检蝇测。3.衡3根据锅体系丝式结构控分类根据ID杯S的系舌统结年构，幅可分阵为集牌中式分、等最级式罗和分还布式吗三种秒。1．集票中式版入侵丘检测屈系统集中爱式ID秃S可能邀有多壶个分霜布于接不同公主机班上的郑审计蜓程序迷，但傅只有滚一个棒中央广入侵摩检测险服务平器。审计吨程序裙将当再地收堂集到领的数肤据发租送给漫中央色服务岔器进缝行分魄析处典理。2．等沈级式渣入侵饮检测锋系统等级名式ID配S中，愁定义亦了若断干个哈分等题级的会监控睛区域旺，每窗个ID禁S负责鼻一个壳区域槐，每显一级ID锯S只负技责所抓监控筒区的魄分析障，然由后将竞当地蜂的分坐析结筛果传妨送给涉上一共级ID厌S。3．分息布式例入侵腔检测泼系统分布也式ID蜓S将中失央检楚测服摄务器仙的任贝务分尼配给迁多个执基于仇主机畅的ID粒S，这疑些ID羽S不分臂等级异，各辈负其免职，斯负责允监控臣当地纷主机忍的某焰些活亭动。4.入侵齿检测健系统延关键炸技术入侵罢检测杨系统懒研发少中涉蜻及的可关键喇技术单包括介入侵权检测暗技术穿、入食侵检领测系星统的汁描述旦语言趁、入绪侵检卫测的割体系罩结构宜等。4.入侵卖检测抚系统浮关键银技术1．模坊式匹职配模式韵匹配赞就是请将收膨集到狂的信叙息与摸已知史的网蔬络入宋侵和畏系统痒误用木模式金数据足库进乞行比徒较，宋从而规发现梢违背笔安全雪策略难的行秋为。愚模式践匹配况方法得是入载侵检而测领亭域中穗应用射最为肤广泛清的检冶测手英段和着机制烦之一渣，通行常用愿于误肠用检放测。2．统登计分到析统计梁分析苦方法扑首先渐给用仙户、缴文件亮、目听录和残设备暗等系俩统对泛象创凝建一浩个统申计描粗述。统计脉正常森使用季时的氏一些秤测量登属性笑，测桃量属顺性的制平均捆值将疤被用巧来与羞网络阻、系厅统的罚行为艘进行皇比较叮，任伏何观刷察值葛在正欺常值拼范围暑之外运时，示就认煮为有资入侵茶发生暂。常枪用的茧入侵础检测土统计配分析戴模型展有：（1）操怨作模磁型：（2）方愚差：（3）多沿元模茫型：（4）马逆尔可矩夫过什程模朵型（5）时事间序咳列分吓析3．专会家系抹统专家插系统惠是一觉种以卵知识办为基脆础，杂根据扛人类蛙专家移的知贸识和胳经验免进行雀推理御，解贿决需懒要专鼠家才宽能解遥决的滑复杂左问题贪的计哗算机绞程序池系统梳。用鹅专家洽系统尚对入状侵进廊行检彼测主尸要是阀针对面误用剧检测雕，是轿针对械有特渣征入惧侵的知行为晌。4．神斑经网临络神经护网络贵具有枯自适返应、固自组译织、拆自学鹿习的捆能力纤，可档以处歌理一惠些环俯境信振息复鹅杂、欲背景晒知识睁不清肺楚的赤问题荣。5．数丝式据挖煎掘数据肤挖掘佣是从匪大量幸的数少据中倾抽取挠出潜构在的敬、有昌价值敌的知笑识（牧即模喝型或负规则趟）的氧过程徒。对术于入您侵检浮测系银统来识说，带也需斗要从壮大量娱的数者据中暗提取禽入侵细特征惹。6．协等议分谢析协议译分析枝是利采用网债络协佳议的缺高度坟规则耀性快窝速探价测攻烫击的御存在煮。协汇议分兄析技识术对扰协议鉴进行种解码份，减亏少了忍入侵债检测恰系统婶需要擦分析巩的数甩据量枣。5.入侵析检测馒系统葬模型衬介绍5.矩1分布羞式入牲侵检欧测系养统这个章模型秆主要号是入梁侵检网测系悲统基盆本结效构的茂具体斑化。叨这个顺模型奖的特揪点有衫：1．分劝布性是；2．标右准性银；3．可勾扩充莫性；4．良浇好的联系统窃降级忠性；5．载脚荷最捎小性期。5.雾2基于女移动撞代理丑的入勤侵检沿测系易统5.趋3智能与入侵讲检测范系统5.享2基于张移动香代理狮的入鸟侵检尊测系贪统6.入侵唯检测旋系统背标准掘化目前钞，对ID狡S进行丛标准志化的群工作艳有两境个组蛋织：IE移TF的入蝇侵检钟测工两作组ID环WG和通轮用入相侵检讨测框丙架CI仗DF。6.齐1入侵近检测填工作坐组ID晃WGID王WG的工皇作目帜标是邀定义织入侵番检测卵系统惠中的价数据捕格式垮、信守息交浮换过摆程和慨交换桨协议喇。ID伞WG的文牵档定胞义了丙入侵怕检测肢系统乓中信味息交个换需债求ID顿ME苦R、信修息交障换的戏格式ID蚊ME嫂F、入桨侵检臂测交街换协石议ID催XP以及很一种黄可以乏绕过临防火坝墙的掌数据淘传输好方法TU畜NN忍EL。6.担2通用享入侵喉检测露框架CI抱DFCI梳DF是一脂套规勾范，晋它定地义了ID聚S表达翠检测貌信息薪的标课准语健言以慈及ID好S组件薄之间喜的通湾信协堪议。CI鄙DF的文变档由烟四个敢部分届组成妻：体则系结系构、扣规范慨语言吧、内检部通骗信和刊程序趣接口碌。1．体万系结求构CI冬DF的体酿系结授构文快档将爆一个ID务S分为4个组泽件：船事件字产生筛器、隆事件素分析灰器、逗事件铃数据无库和设响应预单元天。（1）事臂件产朴生器壁：事和件产搭生器辱是负离责从司整个谨计算帐环境鲁中获超取事眯件，包然后睁将事品件转座化为GI造DO标准筝格式应提交拜给其行它组裹件使铃用。（2）事目件分疤析器震：事期件分遥析器仗从其赔他组棒件接游收GI代DO数据敲，并为分析劣它们语，然伞后以练一个挪新的GI读DO形式蒙返回概分析臣结果扯。（3）事傅件数笑据库摧：事朋件数礼据库亮负责GI瞎DO的存此储，军是存见放各办种中两间和且最终冒数据铁的地物方的爱统称咬。（4）响蛇应单叶元：吸响应拿单元缠是对伤分析退结果犬作出舱反应堪的功疤能单捏元，贷它可也以是办终止寺进程舌、切袜断连婆接、元改变搁文件甩属性困，也猾可以镰只是仰简单姐的报旗警和义记录擦。2．规将范语闪言规范博语言粗定义王了一创个用哭来描射述各鹿种检较测信廉息的悦标准员语言湾，定仆义了党一种范用于迁表示厌原始蚊事件驶信息交、分行析结摩果和需响应泳指令滴的语联言，结称为CI猾SL。3．内足部通关信内部配通信莫定义菠了ID衡S组件糖之间羽进行烤通信棚的标继准协剑议。汪一种盼为匹张配服会务法仆，另样一种助为消骡息层例法。妥匹配屠服务漠为CI觉DF各组贼件之磁间的聋相互挠识别郑、定表位和穷信息坡共享淋提供钥了一境个标兰准的答统一卖机制疲。4．程滥序接纠口程序捎接口景提供诱了一村整套阔标准舅的应吧用程与序接脖口。7.入侵碌检测眼系统Sn级or村tSn绍or估t是一夸个免谋费的晨、开僚放源妈代码万的基沈于网卡络的夫入侵粉检测笨系统判，具较有很雨好的烦扩展贺性和到可移宴植性自。1．Sn肢or公t主要家功能Sn月or啦t主要昨功能栽有三贸种：欲数据旋包嗅北探器跃、数架据包剧记录宇器、跟网络屯入侵客检测舞。2．Sn宾or薯t特点（1）Sn签or论t是一述个跨棚平台深、轻查量级沃的网马络入峡侵检族测软贿件。（2）Sn荐or驶t采用减基于累规则赞的网义络信呆息搜盟索机灰制，集对数幅据包铸进行蹲内容字的模膀式匹孙配，循从中席发现斯入侵围和探绿测行垦为。（3）Sn恢or昆t具有众实时志数据臭流量鞭分析府和监惊测IP网络替数据疮包的呀能力漠，能伐够进敏行协俗议分鉴析，唉对内暗容进谎行搜照索/匹配相。它汉能够液检测便各种殊不同眠的攻恐击方峰式，也对攻症击进待行实窜时报路警。碗它还残可以则用来矛截获胡网络乞中的非数据惜包并腔记录加数据厕包日申志。（4）Sn尚or谈t的报沙警机坝制丰此富。（5）Sn拢or横t的日络志格茅式既鸽可以卡是二讽进制早格式织，也很可以慨解码基成AS仰CI锄I字符骡形式块，便间于用蹄户检地查。（6）Sn绳or帖t使用耗一种牺简单钓的规僻则描艳述语示言，洞能够蔬很快握对新全的网之络攻关击作疲出反堂应。（7）Sn餐or叙t支持识插件茄。可垮以使芳用具尿有特板定功台能的淡报告父、检展测子尤系统品插件销对其考功能闲进行吊扩展羞。3．Sn帆or勇t组成（1）数树据包袍解码黎器。雀数据训包解已码器归主要谨是对铃各种遗协议浓栈上牧的数站据包笼进行篮解析耀、预助处理执，以啊便提控交给某检测疗引擎畅进行欣规则衡匹配肆。（2）检朵测引场擎。Sn海or防t用一滚个二巧维链唐表存仓储它洪的检育测规爽则，衫一维址称为荡规则菊头，偶另一玩维称鉴为规堡则选打项。雁规则尺匹配扣查找王采用框递归涌的方坐法进躬行，赴检测额机制捞只针页对当欣前已浅经建是立的宣链表遭选项施进行刊检测给。（3）日池志子度系统日。Sn亭or誉t可供脚选择忘的日丽志形疑式有唇三种较：文疼本形钉式、擦二进怒制形永式、污关闭镰日志段服务娱。（4）报中警子档系统男。报抓警形愈式有角五种雾：报序警信页息可摸发往楼系统总日志具，用置文本工形式捉记录拜