第6章 入侵检测技术

计算机网络安全技术主编刘永华中国水利水电出版社1第5章入侵监测技术

2本章主要内容：入侵监测的概念、组成、功能及分类入侵检测模型和体系结构常用的入侵检测技术入侵检测系统与协同入侵检测发展现状和趋势3本章要求：掌握：入侵监测的概念、组成、功能及分类，入侵检测模型和体系结构。了解：常用的入侵检测技术，入侵检测系统与协同，入侵检测发展现状和趋势。46.1入侵检测概述

6.1.1入侵检测概念这里对入侵检测相关的一些基本概念作如下通俗的定义。入侵(Intrusion)指的就是试图破坏计算机保密性、完整性、可用性或可控性的一系列活动。入侵活动包括非授权用户试图存取数据、处理数据，或者妨碍计算机正常运行等活动。入侵检测(IntrusionDetection)就是对计算机网络和计算机系统的关键节点信息进行收集分析，检测其中是否有违反安全策略的事件发生或攻击迹象，并通知系统安全管理员(SiteSecurityOfficer)。入侵检测系统(IntrusionDetectionSystem，简称IDS)是用于入侵检测的软件和硬件的合称，是加载入侵检测技术的系统。56.1.2入侵检测系统组成事件产生器响应单元事件分析器事件数据库66.1.3入侵检测功能1．监控、分析用户和系统的活动入侵检测系统通过获取进出某台主机及整个网络的数据，或者通过查看主机日志等信息来监控用户和系统活动。获取网络数据的方法一般是“抓包”，即将数据流中的所有包都抓下来进行分析。72．发现入侵企图或异常现象这是入侵检测系统的核心功能。主要包括两个方面，一是入侵检测系统对进出网络或主机的数据流进行监控，查看是否存在入侵行为；另一方面则评估系统关键资源和数据文件的完整性，查看系统是否已经遭受了入侵。前者的作用是在入侵行为发生时及时发现，从而避免系统遭受攻击；而后者一般是攻击行为已经发生，但可以通过攻击行为留下的痕迹的一些情况，从而避免再次遭受攻击。对系统资源完整性的检查也有利于对攻击者进行追踪或者取证。83．记录、报警和响应入侵检测系统在检测到攻击后，应该采取相应的措施来阻止或响应攻击。它应该首先记录攻击的基本情况，其次应该能够及时发出警告。良好的入侵检测系统，不仅应该能把相关数据记录在文件或数据库中，还应该提供报表打印功能。必要时，系统还能够采取必要的响应行为，如拒绝接收所有来自某台计算机的数据，追踪入侵行为等。实现与防火墙等安全部件的交互响应，也是入侵检测系统需要研究和完善的功能之一。96.2入侵检测系统分类6.2.1根据数据源分类入侵检测系统要对所监控的网络或主机的当前状态做出判断，需要以原始数据中包含的信息为基础。按照原始数据的来源，可以将入侵检测系统分为基于主机的入侵检测系统、基于网络的入侵检测系统和基于应用的入侵检测系统等类型。101.基于主机的入侵检测系统基于主机的入侵检测系统主要用于保护运行关键应用的服务器，它通过监视与分析主机的审计记录和日志文件来检测入侵，日志中包含发生在系统上的不寻常活动的证据，这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件，能够发现成功的入侵或入侵企图，并启动相应的应急措施。112．基于网络的入侵检测系统基于网络的入侵检测系统主要用于实时监控网络关键路径的信息，它能够监听网络上的所有分组，并采集数据以分析可疑现象。基于网络的入侵检测系统使用原始网络包作为数据源，通常利用一个运行在混杂模式下的网络适配器来实时监视，并分析通过网络的所有通信业务。基于网络的入侵检测系统可以提供许多基于主机的入侵检测法无法提供的功能。许多客户在最初使用入侵检测系统时，都配置了基于网络的入侵检测。123．基于应用的入侵检测系统基于应用(Application)的入侵检测系统是基于主机的入侵检测系统的一个特殊子集，其特性、优缺点与基于主机的入侵检测系统基本相同。由于这种技术能够更准确地监控用户某一应用行为，所以在日益流行的电子商务中越来越受到注意。136.2.2根据检测原理分类根据系统所采用的检测方法，将入侵检测分为异常入侵检测和误用入侵检测两类。14(1)异常入侵检测。异常入侵检测是指能够根据异常行为和使用计算机资源的情况检测入侵。异常入侵检测试图用定量的方式描述可以接受的行为特征，以区分非正常的、潜在的入侵行为。Anderson做了如何通过识别“异常”行为来检测入侵的早期工作，他提出了一个威胁模型，将威胁分为外部闯入(用户虽然授权，但对授权数据和资源的使用不合法，或滥用授权)、内部渗透和不当行为3种类型，并采用这种分类方法开发了一个安全监视系统，可检测用户的异常行为。

15(2)误用入侵检测。误用入侵检测是指利用已知系统和应用软件的弱点攻击模式来检测入侵。与异常入侵检测不同，误用入侵检测能直接检测不利或不可接受的行为，而异常入侵检测则是检查出与正常行为相违背的行为。166.2.3根据体系结构分类6.2.3根据体系结构分类1．集中式集中式入侵检测系统包含多个分布于不同主机上的审计程序，但只有一个中央入侵检测服务器，审计程序把收集到的数据发送给中央服务器进行分析处理。172．等级式在等级式(部分分布式)入侵检测系统中，定义了若干个分等级的监控区域，每个入侵检测系统负责一个区域，每一级入侵检测系统只负责分析所监控区域，然后将当地的分析结果传送给上一级入侵检测系统。183．协作式协作式(分布式)入侵检测系统将中央检测服务器的任务分配给多个基于主机的入侵检测系统，这些入侵检测系统不分等级，各司其职，负责监控当地主机的某些活动。所以，可伸缩性、安全性都得到了显著的提高，但维护成本也相应增大，并且增加了所监控主机的工作负荷，如通信机制、审计开销、踪迹分析等。196.2.4根据工作方式分类

入侵检测系统根据工作方式可分为离线检测系统和在线检测系统。(1)离线检测。离线检测系统是一种非实时工作的系统，在事件发生后分析审计事件，从中检查入侵事件。这类系统的成本低，可以分析大量事件，调查长期的情况；但由于是在事后进行，不能对系统提供及时的保护，而且很多入侵在完成后都会将审计事件删除，因而无法审计。(2)在线检测。在线检测对网络数据包或主机的审计事件进行实时分析，可以快速响应，保护系统安全；但在系统规模较大时，难以保证实时性。206.2.5根据系统其他特征分类作为一个完整的系统，其系统特征同样值得认真研究。一般来说可以将以下一些重要特征作为分类的考虑因素。

1．系统的设计目标2．事件生成／收集的方式3．检测时间(同步技术)4．入侵检测响应方式5．数据处理地点216.3入侵检测技术6.3.1误用检测技术误用检测技术指通过将收集到的数据与预先确定的特征知识库里的各种攻击模式进行比较，如果发现有攻击特征，则判断有攻击，对检测已知攻击比较有效。特征知识库是将已知的攻击方法和技术的特征提取出来，来建立的一个知识库。常用的误用检测技术有专家系统、模型推理和状态转换分析等。221.专家系统专家系统是误用检测技术中运用最多的一种方法。它将有关入侵的知识转化为If-Then结构的规则，即将构成入侵所要求的条件转化为If部分，将发现入侵后采取的相应措施转化成Then部分。当其中某个或某部分条件满足时，系统就判断为入侵行为发生。其中的If-Then结构构成了描述具体攻击的规则库，状态行为及其语义环境可根据审计事件得到，推理机制根据规则和行为完成判断工作。232.模型推理模型推理是指结合攻击脚本推理出入侵行为是否出现，其中攻击行为描述攻击目的、攻击步骤，以及对系统的特殊使用等。3.状态转换分析状态转换分析最早由R.Kemmerer提出，即将状态转换图应用于入侵行为的分析。246.3.2异常检测技术误用检测技术需要已知入侵的行为模式，所以不能检测未知的入侵。异常检测则可以检测未知的入侵。基于异常检测的入侵检测首先要构建用户正常行为的统计模型，然后将当前行为与正常行为特征相比较来检测入侵。常用的异常检测技术有概率统计方法和神经网络方法两种。251.概率统计方法概率统计方法是异常检测技术中应用最早也是最多的一种方法。首先，检测器根据用户的动作建立用户特征表，通过比较当前特征与已存储定型的特征，从而判断是否为异常行为。用户特征表需要根据审计记录情况不断加以更新。262.神经网络方法利用神经网络检测入侵的基本思想是用一系列信息单元(命令)训练神经元，这样在给定一组输入值后，就可能预测出输出结果。与统计理论相比，神经网络更好地表达了变量间的非线性关系，并且能自动学习和更新。实验表明，UNIX系统管理员的行为几乎全是可以预测的，不可预测的行为只占了很少的一部分。276.3.3高级检测技术高级检测技术主要包括文件完整性检查、计算机免疫技术、遗传算法、模糊证据理论、数据挖掘和数据融合等。281.文件完整性检查文件完整性检查系统检查计算机中自上次检查后文件的变化情况，它能够保存每个文件的数字文摘数据库，每次检查时，重新计算文件的数字文摘，并将其与数据库中的值相比较。如不同，则说明文件已被修改；若相同，说明文件未发生变化。2.计算机免疫技术Forrest等人首次提出计算机免疫技术，这种免疫机制在处理外来异常时呈现了分布的、多样性的、自治的以及自修复的特征，免疫系统通过识别异常或以前未出现的特征来确定入侵。计算机免疫技术为入侵检测提供了一个思路，即通过正常行为的学习来识别不符合常态的行为序列。293.遗传算法遗传算法的基本思想来源于Darwin的进化论和Mendel的遗传学说，最早由BagleyJ.D在1967年提出。遗传算法在入侵检测中的应用时间不长，在一些研究试验中，利用若干字符串序列来定义用于分析检测的指令组，这些指令在初始训练阶段不断进化，提高分析能力。此外，也有人将遗传算法与神经网络相结合，将其应用于网络的学习、网络的结构设计和网络的分析等方面，然后应用到入侵检测领域。304.模糊证据理论入侵检测的评判标准本身就具有一定的模糊性，模糊证据理论因此被引入到入侵检测中。李之棠等建立了一种基于模糊专家系统的入侵检测框架模型，该模型吸收了误用检测和异常检测的优点，能较好地降低漏警率和虚警率。5.数据挖掘数据挖掘(DataMining)也称数据库中的知识发现(KDD，KnowledgeDiscoveryinDatabase)。数据挖掘是指从大型数据库中提取人们感兴趣的知识，提取的知识一般可表示为概念(Concepts)、规则(Rules)、规律(Regularities)和模式(Patterns)等形式。数据挖掘是一门交叉性学科，涉及到机器学习、模式识别、归纳推理、统计学、数据库、数据可视化以及高性能计算等多个领域。

316.数据融合数据融合是针对同一系统中使用多个或多类传感器这一特定问题展开的一种新的数据处理方法，因此数据融合又称作多传感器信息融合或信息融合。多传感器数据融合的定义可概括为充分利用不同时间与空间的多传感器数据资源，采用计算机技术对按时间序列获得的多传感器观测数据，在一定规则下进行分析、综合、支配和使用，获得对被测对象的一致性解释与描述，进而实现相应的决策和评估，使系统获得比其各组成部分更充分的信息。326.3.4入侵诱骗技术1.概念入侵诱骗技术是较传统入侵检测技术更为主动的一种安全技术。入侵诱骗技术包括蜜罐(Honeypot)和蜜网(Honeynet)两种，加载蜜罐技术和蜜网技术的系统分别称为蜜罐系统和蜜网系统。顾名思义，入侵诱骗技术就是用特有的特征吸引攻击者，以便对攻击者的各种攻击行为进行分析，并找到有效的对付方法。为了吸引攻击者，网络安全专家通常还在Honeypot上故意留下一些安全后门，或者放置一些网络攻击者希望得到的敏感信息(当然这些信息都是虚假的信息)。当攻击者正为攻入目标系统而沾沾自喜，他在目标系统中的所有行为，包括输入的字符、执行的操作等都已经被Honeypot所记录。332.蜜罐技术Honeypot是一种被侦听、被攻击或已经被入侵的资源，也就是说，无论如何对Honeypot进行配置，最终目的就是使得整个系统处于被侦听、被攻击的状态。Honeypot并非一种安全解决方案，这是因为它并不会“修理”任何错误，它只是一种工具，如何使用这个工具取决于使用者想要做到什么。Honeypot可以仅仅是一个对其他系统和应用的仿真，也可以创建一个监禁环境将攻击者围困其中，还可以是一个标准的产品系统。无论使用者如何建立和使用Honeypot，只有Honeypot受到攻击，其作用才能发挥出来。343.蜜网技术Honeynet可以获取攻击者信息，大部分传统的Honeypot都进行对攻击的诱骗或检测。这些传统的Honeypot通常都是—个单独的系统，用于模拟其他系统、已知的服务和弱点。Honeynet不同于传统的Honeypot，它并不是一种比传统的Honeypot更好的解决方案，只是其侧重点不同而已。其工作实质是在各种网络迹象中获取所需的信息，而不是对攻击进行诱骗或检测。356.3.5入侵响应技术入侵响应技术是入侵检测技术的配套技术，一般的入侵检测系统会同时使用这两种技术。根据系统设计的功能和目的不同，有时也称以实施入侵响应技术为主的系统为入侵响应系统。入侵响应技术可分为主动响应和被动响应两种类型。在主动响应里，入侵检测系统能阻塞攻击，或影响进而改变攻击的进程；在被动攻击里，入侵检测系统仅仅简单地报告和记录所检测出的问题。主动响应和被动响应并不是相互排斥的。不管使用哪一种响应机制，入侵检测系统总能以日志的形式记录检测结果。361.主动响应即检测到入侵后立即采取行动。主动响应有两种形式，一种是由用户驱动的，一种是由系统本身自动执行的。对入侵者采取反击行动，修正系统环境和收集尽可能多的信息是主动响应的基本手段。(1)对入侵者采取反击行动(2)修正系统环境(3)收集额外信息372.被动响应被动响应就是只向用户提供信息，而由用户去决定是否采取下一步行动的响应。在早期的入侵检测系统里，所有的响应都是被动的。

386.4入侵检测体系6.4.1入侵检测模型为