国家信息化安全教育课程之入侵检测技术

入侵检测技术国家信息化安全教育认证培训课程国家信息化安全教育课程之入侵检测技术第1页参加课程需掌握知识TCP/IP协议原理对防火墙有初步认识对局域网和广域网有初步认识Unix简单操作国家信息化安全教育课程之入侵检测技术第2页课程内容入侵知识介绍入侵检测技术入侵检测系统选择和使用国家信息化安全教育课程之入侵检测技术第3页课程目标了解入侵检测概念、术语掌握网络入侵技术和黑客惯用各种伎俩掌握入侵检测系统防范入侵原理了解入侵检测产品布署方案了解入侵检测产品选型标准了解入侵检测技术发展方向国家信息化安全教育课程之入侵检测技术第4页§1.入侵检测系统概述概要背景介绍入侵检测提出入侵检测相关术语入侵检测系统分类入侵检测系统构件入侵检测系统布署方式动态安全模型P2DR国家信息化安全教育课程之入侵检测技术第5页§1.1背景介绍§1.1.1信息社会出现新问题信息时代到来，电子商务、电子政务，网络改变人们生活，人类进入信息化社会计算机系统与网络广泛应用，商业和国家机密信息保护以及信息时代电子、信息反抗需求存放信息系统面临极大安全威胁潜在网络、系统缺点危及系统安全传统安全保密技术都有各自不足，不能够确保系统安全国家信息化安全教育课程之入侵检测技术第6页§1.1背景介绍§1.1.2信息系统安全问题操作系统脆弱性计算机网络资源开放、信息共享以及网络复杂性增大了系统不安全性数据库管理系统等应用系统设计中存在安全性缺点缺乏有效安全管理国家信息化安全教育课程之入侵检测技术第7页§1.1.3黑客攻击猖獗网络内部、外部泄密拒绝服务攻击逻辑炸弹特洛伊木马黑客攻击计算机病毒后门、隐蔽通道蠕虫国家信息化安全教育课程之入侵检测技术第8页这就是黑客国家信息化安全教育课程之入侵检测技术第9页§1.1背景介绍§1.1.4我国安全形势非常严峻1998年2月25日：黑客入侵中国公众多媒体通信网广州蓝天BBS系统并得到系统最高权限，系统失控长达15小时。为国内首例网上黑客案件。1998年9月22日，黑客入侵扬州工商银行电脑系统，将72万元注入其户头，提出26万元。为国内首例利用计算机偷窃银行巨款案件。国家信息化安全教育课程之入侵检测技术第10页§1.1背景介绍§1.1.4我国安全形势非常严峻（续）1999年4月16日：黑客入侵中亚信托投资企业上海某证券营业部，造成340万元损失。1999年11月14日至17日：新疆乌鲁木齐市发生首起针对银行自动提款机黑客案件，用户信用卡被盗1.799万元。1999年11月23日：银行内部人员经过更改程序，用虚假信息从本溪某银行提取出86万元。国家信息化安全教育课程之入侵检测技术第11页§1.1背景介绍§1.1.4我国安全形势非常严峻（续）年2月1日：黑客攻击了大连市赛伯网络服务有限企业，造成经济损失20多万元。年2月1日至2日：中国公共多媒体信息网兰州节点——“飞天网景信息港”遭到黑客攻击。年3月2日：黑客攻击世纪龙企业21CN。国家信息化安全教育课程之入侵检测技术第12页§1.1背景介绍§1.1.4我国安全形势非常严峻（续）年3月6日至8日：黑客攻击实华开EC123网站达16次，同一时期，号称全球最大汉字网上书店“当当书店”也遭到屡次黑客攻击。年3月8日：山西日报国际互联网站遭到黑客数次攻击，被迫关机，这是国内首例黑客攻击省级党报网站事件。年3月8日：黑客攻击国内最大电子邮局--拥有200万用户广州163，系统无法正常登录。国家信息化安全教育课程之入侵检测技术第13页§1.1背景介绍§1.1.4我国安全形势非常严峻（续）年3月9日:IT163.com-全国网上连锁商城遭到黑客攻击，网站页面文件全部被删除，各种数据库遭到不一样程度破坏，网站无法运行，15日才恢复正常，损失巨大。年3月25日：重庆某银行储户个人帐户被非法提走5万余元。年6月11、12日：中国香港特区政府互联网服务指南主页遭到黑客入侵，服务被迫暂停。国家信息化安全教育课程之入侵检测技术第14页被黑WEB页面DOJHOMEPAGE国家信息化安全教育课程之入侵检测技术第15页§1.2入侵检测提出§1.2.1什么是入侵检测系统入侵检测系统是一套监控计算机系统或网络系统中发生事件，依据规则进行安全审计软件或硬件系统。国家信息化安全教育课程之入侵检测技术第16页§1.2入侵检测提出§1.2.2为何需要IDS？入侵很轻易入侵教程随地可见各种工具唾手可得防火墙不能确保绝正确安全网络边界设备本身能够被攻破对一些攻击保护很弱不是全部威胁来自防火墙外部防火墙是锁，入侵检测系统是监视器国家信息化安全教育课程之入侵检测技术第17页§1.2入侵检测提出§1.2.3入侵检测任务检测来自内部攻击事件和越权访问85％以上攻击事件来自于内部攻击防火墙只能防外，难于防内入侵检测系统作为防火墙系统一个有效补充入侵检测系统能够有效防范防火墙开放服务入侵国家信息化安全教育课程之入侵检测技术第18页§1.2入侵检测提出§1.2.3入侵检测任务经过事先发觉风险来阻止入侵事件发生，提前发觉试图攻击或滥用网络系统人员。检测其它安全工具没有发觉网络工具事件。提供有效审计信息，详细统计黑客入侵过程，从而帮助管理员发觉网络脆弱性。国家信息化安全教育课程之入侵检测技术第19页§1.2入侵检测提出§1.2.3入侵检测任务网络中可被入侵者利用资源在一些大型网络中，管理员没有时间跟踪系统漏洞而且安装对应系统补丁程序。用户和管理员在配置和使用系统中失误。对于一些存在安全漏洞服务、协议和软件，用户有时候不得不使用。国家信息化安全教育课程之入侵检测技术第20页§1.2入侵检测提出§1.2.4入侵检测发展历史1980年，JamesAnderson最早提出入侵检测概念1987年，D．E．Denning首次给出了一个入侵检测抽象模型，并将入侵检测作为一个新安全防御办法提出。1988年，Morris蠕虫事件直接刺激了IDS研究1988年，创建了基于主机系统,有IDES，Haystack等1989年，提出基于网络IDS系统,有NSM，NADIR，DIDS等国家信息化安全教育课程之入侵检测技术第21页§1.2入侵检测提出§1.2.4入侵检测发展历史（续）90年代，不停有新思想提出，如将人工智能、神经网络、含糊理论、证据理论、分布计算技术等引入IDS系统年2月，对Yahoo！、Amazon、CNN等大型网站DDOS攻击引发了对IDS系统新一轮研究热潮20～今，RedCode、求职信等新型病毒不停出现，深入促进了IDS发展。国家信息化安全教育课程之入侵检测技术第22页§1.3入侵检测相关术语IDS(IntrusionDetectionSystems)入侵检测系统Promiscuous混杂模式Signatures特征国家信息化安全教育课程之入侵检测技术第23页§1.3入侵检测相关术语Alerts警告Anomaly异常国家信息化安全教育课程之入侵检测技术第24页§1.3入侵检测相关术语Console控制台Sensor传感器国家信息化安全教育课程之入侵检测技术第25页§1.4入侵检测系统分类概要Host-BasedIDSNetwork-BasedIDSStack-BasedIDS国家信息化安全教育课程之入侵检测技术第26页§1.4入侵检测系统分类§1.4.1Host-BasedIDS(HIDS)基于主机入侵检测系统系统安装在主机上面，对本主机进行安全检测国家信息化安全教育课程之入侵检测技术第27页§1.4入侵检测系统分类HIDS优点性能价格比高细腻性，审计内容全方面视野集中适合用于加密及交换环境国家信息化安全教育课程之入侵检测技术第28页§1.4入侵检测系统分类HIDS缺点额外产生安全问题HIDS依赖性强假如主机数目多，代价过大不能监控网络上情况国家信息化安全教育课程之入侵检测技术第29页§1.4入侵检测系统分类§1.4.2Network-BasedIDS(NIDS)基于网络入侵检测系统系统安装在比较主要网段内国家信息化安全教育课程之入侵检测技术第30页§1.4入侵检测系统分类NIDS优点检测范围广无需改变主机配置和性能独立性和操作系统无关性安装方便国家信息化安全教育课程之入侵检测技术第31页§1.4入侵检测系统分类NIDS缺点不能检测不一样网段网络包极难检测复杂需要大量计算攻击协同工作能力弱难以处理加密会话国家信息化安全教育课程之入侵检测技术第32页§1.4入侵检测系统分类§1.4.3Stack-BasedIDS(NNIDS)网络节点入侵检测系统安装在网络节点主机中结合了NIDS和HIDS技术适合于高速交换环境和加密数据国家信息化安全教育课程之入侵检测技术第33页§1.5入侵检测系统构件国家信息化安全教育课程之入侵检测技术第34页§1.5入侵检测系统构件事件产生器(Eventgenerators)事件产生器目标是从整个计算环境中取得事件，并向系统其它部分提供此事件。国家信息化安全教育课程之入侵检测技术第35页§1.5入侵检测系统构件事件分析器(Eventanalyzers)事件分析器分析得到数据，并产生分析结果。国家信息化安全教育课程之入侵检测技术第36页§1.5入侵检测系统构件响应单元(Responseunits)响应单元则是对分析结果作出作出反应功效单元，它能够作出切断连接、改变文件属性等强烈反应,甚至发动对攻击者还击，也能够只是简单报警。国家信息化安全教育课程之入侵检测技术第37页§1.5入侵检测系统构件事件数据库(Eventdatabases)事件数据库是存放各种中间和最终数据地方统称，它能够是复杂数据库，也能够是简单文本文件。国家信息化安全教育课程之入侵检测技术第38页§1.6入侵检测系统布署方式SwitchIDSSensorMonitoredServersConsole经过端口镜像实现（SPAN/PortMonitor）国家信息化安全教育课程之入侵检测技术第39页§1.6入侵检测系统布署方式检测器布署位置放在边界防火墙之内放在边界防火墙之外放在主要网络中枢放在一些安全级别需求高子网国家信息化安全教育课程之入侵检测技术第40页Internet检测器布署示意图布署一布署二布署三布署四国家信息化安全教育课程之入侵检测技术第41页§1.6入侵检测系统布署方式检测器放置于防火墙DMZ区域能够查看受保护区域主机被攻击状态能够看出防火墙系统策略是否合理能够看出DMZ区域被黑客攻击重点国家信息化安全教育课程之入侵检测技术第42页§1.6入侵检测系统布署方式检测器放置于路由器和边界防火墙之间能够审计全部来自Internet上面对保护网络攻击数目能够审计全部来自Internet上面对保护网络攻击类型国家信息化安全教育课程之入侵检测技术第43页§1.6入侵检测系统布署方式检测器放在主要网络中枢监控大量网络数据，可提升检测黑客攻击可能性可经过授权用户权利周界来发觉为授权用户行为国家信息化安全教育课程之入侵检测技术第44页§1.6入侵检测系统布署方式检测器放在安全级别高子网对非常主要系统和资源入侵检测国家信息化安全教育课程之入侵检测技术第45页§1.7动态安全模型P2DR国家信息化安全教育课程之入侵检测技术第46页§1.7动态安全模型P2DRPolicy——策略Protection—防护Detection——检测Response——响应国家信息化安全教育课程之入侵检测技术第47页§2.网络入侵技术概要入侵知识介绍网络入侵普通步骤国家信息化安全教育课程之入侵检测技术第48页§2.1入侵知识介绍入侵(Intrusion)入侵是指未经授权蓄意尝试访问信息、窜改信息，使系统不可靠或不能使用行为。入侵企图破坏计算机资源完整性、机密性、可用性、可控性国家信息化安全教育课程之入侵检测技术第49页§2.1入侵知识介绍当前主要漏洞：缓冲区溢出拒绝服务攻击漏洞代码泄漏、信息泄漏漏洞配置修改、系统修改漏洞脚本执行漏洞远程命令执行漏洞其它类型漏洞国家信息化安全教育课程之入侵检测技术第50页§2.1入侵知识介绍入侵者入侵者能够是一个手工发出命令人，也可是一个基于入侵脚本或程序自动公布命令计算机。国家信息化安全教育课程之入侵检测技术第51页§2.1入侵知识介绍侵入系统主要路径物理侵入当地侵入远程侵入国家信息化安全教育课程之入侵检测技术第52页§2.2网络入侵普通步骤进行网络攻击是一件系统性很强工 作，其主要工作流程是：目标探测和信息搜集本身隐藏利用漏洞侵入主机稳固和扩大战果去除日志国家信息化安全教育课程之入侵检测技术第53页§2.2.1目标探测和信息搜集目标探测和信息搜集端口扫描漏洞扫描利用snmp了解网络结构国家信息化安全教育课程之入侵检测技术第54页§2.2.1目标探测和信息搜集利用扫描器软件什么是扫描器Scanner扫描器工作原理扫描器能告诉我们什么国家信息化安全教育课程之入侵检测技术第55页§2.2.1目标探测和信息搜集惯用扫描器软件SATAN（安全管理员网络分析工具）

Nessus(网络评定软件)

国家信息化安全教育课程之入侵检测技术第56页§2.2.1目标探测和信息搜集惯用扫描器软件（续）流光（NT扫描工具）

Mscan（Linux下漏洞扫描器）

国家信息化安全教育课程之入侵检测技术第57页§2.2.1目标探测和信息搜集什么是SNMP简单网络管理协议协议无关性搜集网络管理信息网络管理软件国家信息化安全教育课程之入侵检测技术第58页§2.2.1目标探测和信息搜集Snmp用途用于网络管理，网管工具Communitystrings也成为黑客入侵一直辅助伎俩国家信息化安全教育课程之入侵检测技术第59页§2.2.1目标探测和信息搜集Snmp查询工具SolarWinds经过其中IPNetworkBrowser工具

LANguardNetworkScanner/lannetscan/国家信息化安全教育课程之入侵检测技术第60页SolarWindsIPNetworkBrowser国家信息化安全教育课程之入侵检测技术第61页LanguardNetworkScanner国家信息化安全教育课程之入侵检测技术第62页§2.2.2本身隐藏经典黑客使用以下技术来隐藏IP地址经过telnet在以前攻克Unix主机上跳转经过终端管理器在windows主机上跳转配置代理服务器更高级黑客，精通利用电话交换侵入主机国家信息化安全教育课程之入侵检测技术第63页§2.2.3利用漏洞侵入主机已经利用扫描器发觉漏洞比如CGI/IIS漏洞充分掌握系统信息深入入侵国家信息化安全教育课程之入侵检测技术第64页§2.2.4稳固和扩大战果安装后门添加系统账号利用LKM利用信任主机国家信息化安全教育课程之入侵检测技术第65页§2.2.4稳固和扩大战果什么是木马客户端软件服务端软件木马开启方式修改注册表修改INI文件作为服务开启国家信息化安全教育课程之入侵检测技术第66页§2.2.4稳固和扩大战果BOBO客户端程序能够监视、管理和使用其它网络中运行了BO服务器程序计算机系统冰河国产木马程序普通杀毒软件均可发觉国家信息化安全教育课程之入侵检测技术第67页§2.2.4稳固和扩大战果黑客入侵主机后，可添加管理员账号Windows主机账号Unix主机账号国家信息化安全教育课程之入侵检测技术第68页§2.2.4稳固和扩大战果什么是LKMLoadableKernelModules动态加载无需重新编译内核国家信息化安全教育课程之入侵检测技术第69页§2.2.4稳固和扩大战果控制了主机以后，能够利用该主机对其它邻近和信任主机进行入侵控制了代理服务器，能够利用该服务器对内部网络深入入侵国家信息化安全教育课程之入侵检测技术第70页§2.2.5去除日志去除入侵日志使管理员无法发觉系统已被入侵国家信息化安全教育课程之入侵检测技术第71页§2.2.5去除日志（windows）去除系统日志去除IIS日志去除FTP日志去除数据库连接日志国家信息化安全教育课程之入侵检测技术第72页系统日志国家信息化安全教育课程之入侵检测技术第73页IIS日志国家信息化安全教育课程之入侵检测技术第74页§2.2.5去除日志（Unix）登陆信息/var/log/home/user/.bash_historylastlog国家信息化安全教育课程之入侵检测技术第75页网络入侵步骤总览选中攻击目标获取普通用户权限擦除入侵痕迹安装后门新建帐号获取超级用户权限攻击其它主机获取或修改信息从事其它非法活动扫描网络利用系统已知漏洞、经过输入区向CGI发送特殊命令、发送尤其大数据造成缓冲区溢出、猜测已知用户口令，从而发觉突破口。国家信息化安全教育课程之入侵检测技术第76页§3IDS工作原理目标经过本章学习，能够掌握入侵检测系统对网络入侵事件分析方法和原理。概要入侵检测引擎工作流程入侵检测分析方式入侵检测技术国家信息化安全教育课程之入侵检测技术第77页§3.1入侵检测引擎工作流程国家信息化安全教育课程之入侵检测技术第78页§3.1.1监听部分网络接口混杂模式依据设置过滤一些数据包过滤程序算法主要性国家信息化安全教育课程之入侵检测技术第79页§3.1.1监听部分监听器设置以下规则进行过滤：Onlycheckthefollowingpacket源地址为国家信息化安全教育课程之入侵检测技术第80页§3.1.2协议分析协议IPXICMPOSPFTCPUDPFTPTelnetPOP3SMTPHTTPDNSTFTPIGMPEGPGGPNFSIPPPPIPV6ATMNetBEUI国家信息化安全教育课程之入侵检测技术第81页§3.1.3数据分析依据对应协议调用对应数据分析函数一个协议数据有多个数据分析函数处理数据分析方法是入侵检测系统关键快速模式匹配算法国家信息化安全教育课程之入侵检测技术第82页§3.1.4引擎管理协调和配置给模块间工作数据分析后处理方式AlertLogCallFirewall国家信息化安全教育课程之入侵检测技术第83页§3.2入侵检测分析方式异常检测（AnomalyDetection）

统计模型误报较多误用检测（MisuseDetection）维护一个入侵特征知识库（CVE）准确性高完整性分析

国家信息化安全教育课程之入侵检测技术第84页§3.2.1异常检测基本原理正常行为特征轮廓检验系统运行情况是否偏离预设门限？国家信息化安全教育课程之入侵检测技术第85页§3.2.1异常检测异常检测优点：能够检测到未知入侵能够检测冒用他人帐号行为含有自适应，自学习功效不需要系统先验知识国家信息化安全教育课程之入侵检测技术第86页§3.2.1异常检测异常检测缺点：漏报、误报率高入侵者能够逐步改变自己行为模式来逃避检测正当用户正常行为突然改变也会造成误警统计算法计算量庞大，效率很低统计点选取和参考库建立比较困难国家信息化安全教育课程之入侵检测技术第87页§3.2.2误用检测采取匹配技术检测已知攻击提前建立已出现入侵行为特征检测当前用户行为特征国家信息化安全教育课程之入侵检测技术第88页§3.2.2误用检测误用检测优点算法简单系统开销小准确率高效率高国家信息化安全教育课程之入侵检测技术第89页§3.2.2误用检测误用检测缺点被动只能检测出已知攻击新类型攻击会对系统造成很大威胁模式库建立和维护难模式库要不停更新知识依赖于硬件平台操作系统系统中运行应用程序国家信息化安全教育课程之入侵检测技术第90页§3.2.3完整性分析经过检验系统当前系统配置，诸如系统文件内容或者系统表，来检验系统是否已经或者可能会遭到破坏。其优点是不论模式匹配方法和统计分析方法能否发觉入侵，只要是成功攻击造成了文件或其它对象任何改变，它都能够发觉。缺点是普通以批处理方式实现，不用于实时响应。国家信息化安全教育课程之入侵检测技术第91页§3.3入侵检测详细技术基于统计方法入侵检测技术基于神经网络入侵检测技术基于教授系统入侵检测技术基于模型推理入侵检测技术国家信息化安全教育课程之入侵检测技术第92页§3.3.1基于统计方法审计系统实时地检测用户对系统使用情况，依据系统内部保持用户行为概率统计模型进行监测，当发觉有可疑用户行为发生时，保持跟踪并监测、统计该用户行为。国家信息化安全教育课程之入侵检测技术第93页§3.3.2基于神经网络采取神经网络技术，依据实时检测到信息有效地加以处理作出攻击可能性判断。神经网络技术能够用于处理传统统计分析技术所面临以下问题：难于建立确切统计分布造成难于实现方法普适性算法实现比较昂贵系统臃肿难于剪裁国家信息化安全教育课程之入侵检测技术第94页§3.3.3基于教授系统依据安全教授对可疑行为分析经验来形成一套推理规则，然后再在此基础之上组成对应教授系统，并应用于入侵检测。基于规则教授系统或推进系统也有一定不足。国家信息化安全教育课程之入侵检测技术第95页§3.3.4基于模型推理用基于模型推理方法人们能够为一些行为建立特定模型，从而能够监视含有特定行为特征一些活动。依据假设攻击脚本，这种系统就能检测出非法用户行为。普通为了准确判断，要为不一样攻击者和不一样系统建立特定攻击脚本。国家信息化安全教育课程之入侵检测技术第96页§3.4其它检测技术免疫系统方法遗传算法基于代理检测数据挖掘国家信息化安全教育课程之入侵检测技术第97页§4入侵检测缺点目标经过本章学习，学员能够了解黑客怎样逃避入侵检测系统审计。概要利用字符串匹配缺点分割IP数据包拒绝服务攻击国家信息化安全教育课程之入侵检测技术第98页§4.1利用字符串匹配缺点路径坑骗HEX编码二次HEX编码Unicode(UTF-8)国家信息化安全教育课程之入侵检测技术第99页§4.1.1路径坑骗改变字符串外形，不过实质相同假如入侵检测对scripts/iisadmin匹配能够经过以下逃避：scripts/./iisadminScripts/sample/../iisadminScripts\iisadmin国家信息化安全教育课程之入侵检测技术第100页§4.1.2路径坑骗处理方法协议分析URL标准化国家信息化安全教育课程之入侵检测技术第101页§4.1.3HEX编码URL中将%20代替空格WEB服务器可识别HEX编码入侵检测系统无法识别使用%73代替s，提交/script%73/iisadmin国家信息化安全教育课程之入侵检测技术第102页§4.1.4HEX编码处理方法依赖协议分析使用于WEB服务器相同分析器分析HEX编码然后进行URL分析发觉攻击国家信息化安全教育课程之入侵检测技术第103页§4.1.5二次HEX编码微软IIS服务器对HEX码进行二次解码解码前：scripts/..%255c../winnt%25是%编码第一次解码：scripts/..%5c../winnt%5是\编码第二次解码：scripts/..\../winnt等同于scripts/../../winnt国家信息化安全教育课程之入侵检测技术第104页§4.1.6Unicode(UTF-8)%7f以上编码属于unicode序列%c0%af是一个正当Unicode序列Scripts/..%c0%af../winnt转换后为：scripts/../../winnt国家信息化安全教育课程之入侵检测技术第105页§4.1.7防止字符匹配缺点小结解码IP包头文件，确定协议类型分析HTTP请求全部成份进行URL处理，防止路径坑骗、HEX编码、二次编码和Unicode字符串匹配Alert国家信息化安全教育课程之入侵检测技术第106页§4.2分割IP数据包有效逃避伎俩切割一个攻击IP包分割后IP包单独经过入侵检测入侵检测系统无法匹配成功国家信息化安全教育课程之入侵检测技术第107页§4.3拒绝服务攻击攻击原理发送大量黑客入侵包入侵检测系统会发出大量Alert审计数据库空间将溢出入侵检测系统停顿工作国家信息化安全教育课程之入侵检测技术第108页§4.3拒绝服务攻击攻击后果大量消耗设备处理能力，使黑客有机可乘硬盘空间满，造成审计无法继续产生大量Alert，造成管理机无法处理造成管理员无法审查全部Alert造成设备死锁国家信息化安全教育课程之入侵检测技术第109页§5入侵检测标准化概要：入侵检测框架标准草案入侵检测数据交换标准化标准化工作总结国家信息化安全教育课程之入侵检测技术第110页§5.1入侵检测框架标准草案入侵检测系统体系结构通信机制描述语言国家信息化安全教育课程之入侵检测技术第111页§5.1.1CIDF体系结构国家信息化安全教育课程之入侵检测技术第112页§5.1.1CIDF体系结构事件产生器事件分析器事件数据库响应单元国家信息化安全教育课程之入侵检测技术第113页§5.1.2CIDF六种协同方式1.分析（Analyzing）：以下列图所表示。国家信息化安全教育课程之入侵检测技术第114页§5.1.2CIDF六种协同方式2.互补（Complementing）：以下列图所表示。国家信息化安全教育课程之入侵检测技术第115页§5.1.2CIDF六种协同方式3.互纠（Reinforcing）：以下列图所表示。国家信息化安全教育课程之入侵检测技术第116页§5.1.2CIDF六种协同方式4.核实（Verifying）：以下列图所表示。国家信息化安全教育课程之入侵检测技术第117页§5.1.2CIDF六种协同方式5.调整（AdjustingMonitoring）：以下列图所表示。国家信息化安全教育课程之入侵检测技术第118页§5.1.2CIDF六种协同方式6.响应（Responding）：以下列图所表示。国家信息化安全教育课程之入侵检测技术第119页§5.1.3CIDF通信机制CIDF通信机制模型GIDO层；消息层；协商传输层CIDF通信机制内容配对服务；路由；消息层；消息层处理。国家信息化安全教育课程之入侵检测技术第120页CIDF通信机制模型GIDO层消息层协商传输层国家信息化安全教育课程之入侵检测技术第121页§5.1.4CIDF描述语言应用层语言CISL（公共入侵规范语言）CISL能够表示CIDF中各种信息：如原始事件信息（审计踪迹统计和网络数据流信息）、分析结果（系统异常和攻击特征描述）、响应提醒（停顿一些特定活动或修改组件安全参数）等等。国家信息化安全教育课程之入侵检测技术第122页§5.2数据交换标准数据交换标准定义了数据格式和交换规程，用于入侵检测或响应（IDR）系统之间或与需要交互管理系统之间信息共享；数据交换标准主要内容：入侵检测消息交换格式（IDMEF）；入侵检测交换协议（IDXP）。国家信息化安全教育课程之入侵检测技术第123页§5.2.1入侵检测消息交换格式IDMEFIDMEF描述了表示入侵检测系统输出信息数据模型（该数据模型用XML实现），并解释了使用此模型基本原理，并设计了一个XML文档类型定义（XMLDTD）；自动入侵检测系统能够使用IDMEF提供标准数据格式对可疑事件发出警报，提升商业、开放资源和研究系统之间互操作性；IDMEF最适合用于入侵检测分析器（或称为“探测器”）和接收警报管理器（或称为“控制台”）之间数据信道。国家信息化安全教育课程之入侵检测技术第124页§5.2.2IDMEF数据模型图国家信息化安全教育课程之入侵检测技术第125页§5.2.3文档标识语言XMLXML（ExtensibleMarkupLanguage可扩展标识语言）是SGML（StandardGeneralizedMarkupLanguage标准通用标识语言）简化版本，是ISO8879标准对文本标识说明进行定义一个语法。作为一个表示和交换网络文档及数据语言，XML能够有效地处理HTML面临许多问题。国家信息化安全教育课程之入侵检测技术第126页§5.2.4入侵检测交换协议IDXP国家信息化安全教育课程之入侵检测技术第127页§5.2.5IDXP通信国家信息化安全教育课程之入侵检测技术第128页§5.3IDS标准化发展要使得国内厂商做出安全产品，能够符合国际标准、与其它安全产品相互沟通、而且含有长久生命力，就必须把IDS标准化提升到一个主要高度；当前国内还没有制订出成熟入侵检测系统标准草案。要建立国内入侵检测系统标准和IDS产品测试开展。国家信息化安全教育课程之入侵检测技术第129页§6IDS产品评定与选型标准目标经过本章学习，学员能够具备对自己或者客户网络结构提出入侵检测系统方面提议。概要IDS评定与测试环境和策略考虑IDS产品功效和品质国家信息化安全教育课程之入侵检测技术第130页§6.1IDS评定与测试入侵检测系统能发觉入侵行为吗？入侵检测系统是否到达了开发者设计目标？什么样入侵检测系统才是用户需要性能优良入侵检测系统呢？

要回答这些问题，就要对入侵检测系统进行测试和评定。国家信息化安全教育课程之入侵检测技术第131页§6.1.1IDS评价标准Porras等给出了评价入侵检测系统性能三个原因：准确性（Accuracy）处理性能（Performance）完备性（Completeness）Debar等增加了两个性能评价测度容错性（FaultTolerance）及时性（Timeliness）国家信息化安全教育课程之入侵检测技术第132页§6.1.2IDS测试评定步骤创建、选择一些测试工具或测试脚本确定计算环境所要求条件，比如背景计算机活动级别配置运行入侵检测系统运行测试工具或测试脚本分析入侵检测系统检测结果国家信息化安全教育课程之入侵检测技术第133页§6.1.3IDS测试分类入侵识别测试（也可说是入侵检测系统有效性测试）资源消耗测试强度测试国家信息化安全教育课程之入侵检测技术第134页§6.1.4评定IDS性能指标检测率、虚警率及检测可信度(最主要指标)入侵检测系统本身抗攻击能力延迟时间资源占用情况系统可用性。系统使用友好程度。日志、报警、汇报以及响应能力国家信息化安全教育课程之入侵检测技术第135页§6.1.5性能指标接收器特征（ROC）曲线

国家信息化安全教育课程之入侵检测技术第136页§6.2环境和策略考虑§6.2.1你系统环境网络中存在那些应用和设备？当前拥有那些防范办法？你企业业务经营方向？企业中系统环境和网络管理正式度？国家信息化安全教育课程之入侵检测技术第137页§6.2.2你安全目标和任务是否主要关注来自企业外部入侵事件？你企业关注来自内部人员入侵吗？你企业是否使用IDS用于管理控制超出于网络入侵防范？国家信息化安全教育课程之入侵检测技术第138页§6.3IDS产品功效和品质产品是否可扩展产品是怎样测试产品管理和操作难易度产品售后服务怎样产品日常维护详细承诺国家信息化安全教育课程之入侵检测技术第139页§6.3.1产品是否可扩展？针对你自己网络结构，IDS系统是否含有良好可扩展性？国家信息化安全教育课程之入侵检测技术第140页§6.3.2产品是怎样测试？针对你网络特点，产品提供者是否已测试？该产品是否进行过攻击测试？国家信息化安全教育课程之入侵检测技术第141页§6.3.3产品售后服务怎样？产品安装和配置承诺是什么？产品日常维护承诺是什么？产品培训承诺是什么？还能提供哪些额外培训及其费用？国家信息化安全教育课程之入侵检测技术第142页§6.3.4产品维护详细承诺？入侵检测规则库升级费用？入侵检测规则库升级周期？当一直新攻击出现后，规则升级速度？是否包含软件升级（费用）？当发觉软件问题后，厂商响应速度？国家信息化安全教育课程之入侵检测技术第143页§7Liunx下实现一个简单入侵检测系统本章内容介绍：系统框架数据采集部分数据分析部分告警与响应性能分析国家信息化安全教育课程之入侵检测技术第144页§7.1系统框架从实现结构上看，waRcher分成三个应用程序，它们分别是：数据搜集及分析程序(agent)；告警信息搜集程序(listener)；告警信息显示程序(console)。国家信息化安全教育课程之入侵检测技术第145页§7.2数据采集部分Agent采取了linux2.2内核中提供PF_PACKET类型socket（并未采取libpcap提供API接口）,直接从链路层获取数据帧数据采集部分还做了一项工作就是将网卡置于混杂模式，这么能够监听到整个网段数据国家信息化安全教育课程之入侵检测技术第146页§7.3数据分析部分数据分析部分实际上与数据采集部分作为一个进程(agent)存在,主要是为了简化程序设计复杂性。框图详见下一页国家信息化安全教育课程之入侵检测技术第147页国家信息化安全教育课程之入侵检测技术第148页§7.4告警与响应经过采集和分析模块后，假如判断为攻击行为或异常行为，IDS进行告警发生告警后，能够人为进行响应，也能够经过预先设定对应模块进行自动响应最常见响应方式是IDS和防火墙联动国家信息化安全教育课程之入侵检测技术第149页§7.5性能分析IDS系统面临一个矛盾便是性能与功效折衷对waRcher而言，其可能影响性能有三个地方：内核到应用层转换（包括数据拷贝）；数据分析（大量数据匹配操作）；统计日志（IO操作）。国家信息化安全教育课程之入侵检测技术第150页§8Snort分析内容概要：Snort安装与配置Snort使用Snort规则Snort总体结构分析国家信息化安全教育课程之入侵检测技术第151页§8.1Snort安装与配置Snort是一个用C语言编写开放源代码软件，符合GPL（GNUGeneralPublicLicense）要求，当前最新版本是1.8，其作者为MartinRoesch。Snort称自己是一个跨平台、轻量级网络入侵检测软件，实际上它是一个基于libpcap网络数据包嗅探器和日志统计工具，能够用于入侵检测。从入侵检测分类上来看，Snort应该算是一个基于网络和误用入侵检测软件。国家信息化安全教育课程之入侵检测技术第152页§8.1.1Snort介绍Snort由三个主要子系统组成：数据包解码器检测引擎日志与报警系统国家信息化安全教育课程之入侵检测技术第153页§8.1.2底层库安装与配置安装Snort所必须底层库有三个：Libpcap提供接口函数主要实现和封装了与数据包截获相关过程Libnet提供接口函数主要实现和封装了数据包结构和发送过程NDISpacketcaptureDriver是为了方便用户在Windows环境下抓取和处理网络数据包而提供驱动程序国家信息化安全教育课程之入侵检测技术第154页§8.1.2底层库安装与配置以Libpcap为例，讲解库安装：检验Libpcap解开压缩包#tar–zxvflibpcap.tar.z正式安装#cdlibpcap#./configure#make#makecheck#makeinstall国家信息化安全教育课程之入侵检测技术第155页§8.1.3Snort安装Linux环境下安装（确认Libpcap已经安装成功），安装过程以下：#tar–zxvfsnort-1.8.tar.gz#cdsnort-1.8#./configure#make#makeinstall国家信息化安全教育课程之入侵检测技术第156页§8.1.3Snort安装Solaris环境下安装（确认Libpcap已经安装成功）在Solaris下，一样能够按照Linux下步骤和方法使用源代码包进行安装，另外还提供了Solaris特有PacketFormat包，安装方法则比较冷门一点，所以在此另行说明。安装过程以下：#pkgtranssnort-1.8-sol-2.7-sparc-local/var/spool/pkg#pkgadd在此选择“Mrsnort”选项进行安装即可。国家信息化安全教育课程之入侵检测技术第157页§8.1.3Snort安装Win32环境下安装解开snort-1.8-win32-source.zip用VC++打开位于snort-1.8-win32-source\snort-1.7\win32-Prj目录下snort.dsw文件选择“Win32Release”编译选项进行编译在Release目录下会生成所需Snort.exe可执行文件。国家信息化安全教育课程之入侵检测技术第158页§8.1.3Snort安装国家信息化安全教育课程之入侵检测技术第159页§8.1.3Snort安装国家信息化安全教育课程之入侵检测技术第160页§8.1.4Snort配置配置Snort并不需要自已编写配置文件，只需对Snort.conf文件进行修改即可设置网络变量配置预处理器配置输出插件配置所使用规则集国家信息化安全教育课程之入侵检测技术第161页§8.2Snort使用

§8.2.1Libpcap命令行

Snort和大多数基于Libpcap应用程序一样，能够使用标准BPF类型过滤器。设置过滤器关键字分为以下几类：属性类关键字：说明后面所跟值意义，这么关键字有host、net、port方向类关键字：说明报文流向，这么关键字有：src、dst、srcordst、srcanddst协议类关键字：用来限制协议，这么关键字有：ether、fddi、ip、arp、rarp、decnet、lat、sca、moprc、mopdl、tcp、udp等

国家信息化安全教育课程之入侵检测技术第162页§8.2.2Snort命令行

Snort命令行参数很多，可使用Snort-?命令列出这些参数及其简单解释

常见参数有：-A<alert>设置警告模式-a显示ARP报文-b以tcpdump格式统计报文到日志文件

-c<cf>使用配置文件<cf>-d：显示应用层数据-v：更详细地输出

详细解释能够使用mansnort命令查看帮助页，或者直接阅读README文件和USAGE文件

国家信息化安全教育课程之入侵检测技术第163页§8.2.3高性能配置方式假如在一个高数据流量（比如大于100Mbps）网络环境下运行Snort，就需要考虑怎样配置Snort才能使它高效率地运行./snort–b–Afast–csnort-lib./snort–d–csnort-lib–l./log–h/24–rsnort.log国家信息化安全教育课程之入侵检测技术第164页§8.2.4Snort配置实例国家信息化安全教育课程之入侵检测技术第165页§8.2.4Snort配置实例国家信息化安全教育课程之入侵检测技术第166页§8.2.4Snort配置实例国家信息化安全教育课程之入侵检测技术第167页§8.2.4Snort配置实例国家信息化安全教育课程之入侵检测技术第168页§8.2.4Snort配置实例国家信息化安全教育课程之入侵检测技术第169页§8.2.5使用Snort

国家信息化安全教育课程之入侵检测技术第170页§8.2.5使用Snort国家信息化安全教育课程之入侵检测技术第171页§8.3Snort规则本节内容包含：规则语法规则头规则选项预处理器输出模块对规则更新国家信息化安全教育课程之入侵检测技术第172页8.3.1规则语法Snort使用了一个简单不过灵活、高效规则描述语言来对检测规则进行表述每一个Snort规则描述都必须在单独一行内完成Snort规则能够划分为两个逻辑部分：规则头（RuleHeader）和规则选项（RuleOptions）国家信息化安全教育课程之入侵检测技术第173页8.3.2规则头规则动作（Alert、Log、Pass）协议IP地址端口号方向操作符国家信息化安全教育课程之入侵检测技术第174页8.3.3规则选项是Snort系统入侵检测引擎关键部分全部Snort规则选项之间都使用分号来分离规则选项中关键字与选项参数之间使用冒号隔离当前有三十几个关键字（msg、log、ttl、id、content、flags、seq等）国家信息化安全教育课程之入侵检测技术第175页8.3.4预处理器预处理器引用大大扩展Snort功效，使得用户和程序员能够轻易地加入模块化插件预处理器程序在系统检测引擎执行前被调用，但在数据包解码工作之后预处理程序经过preprocessor关键字来引入和配置preprocessor<name>:<options>国家信息化安全教育课程之入侵检测技术第176页8.3.5输出模块输出模块引入使得Snort能够以愈加灵活方式来格式化