第4章安全审计与入侵检测

28十二月2023第4章安全审计与入侵检测4.1安全审计安全审计即是对安全方案中的功能提供持续的评估。安全审计可以为安全官员提供一组可进行分析的管理数据，以发现在何处发生了违反安全方案的事件。为了保证信息系统安全可靠的运行，需加强信息安全审计。4.1.1安全审计概念从总体上说，安全审计是采用数据挖掘和数据仓库技术，实现在不同网络环境中终端对终端的监控和管理，必要时通过多种途径向管理员发出警告或自动采取排错措施，能对历史数据进行分析、处理和追踪。利用安全审计结果，可调整安全政策，堵住出现的漏洞。安全审计日志利用安全审计日志进行监控是一种更为主动的监督管理形式，它也是一种检测触犯安全规定事件的手段。出于它自身的重要性，安全审计日志和监控功能本身给安全带来了额外的威胁，因此必须加强对这类信息的保护。对安全审计日志和监控功能的使用也必须做审计记录，否则蓄谋作案的内部人员将有机可乘，逃脱审查。安全审计和报警安全报警的产生是检测到任何符合已定义报警条件的安全相关事件的结果。安全审计和报警的实现，可能需要使用其他安全服务来支持安全审计和报警服务，并确保它们正确而有把握地运行。安全审计和报警服务与其他安全服务的不同之处在于没有单个的特定安全机制可以用于提供这种服务。安全审计跟踪安全审计跟踪是一种很有价值的安全机制，可以通过事后的安全审计来检测和调查安全策略执行的情况以及安全遭到破坏的情况。安全审计需要安全审计跟踪与安全有关的记录信息，以及从安全审计跟踪中得到的分析和报告信息。日志或记录被视为一种安全机制，而分析和报告生成则被视为一种安全管理功能。4.1.2安全审计目的安全审计与报警的目的是根据适当安全机构的安全策略，确保与开放系统互联的安全有关的事件得到处理，安全审计只在定义的安全策略范围内提供。具体的目的主要有：

辅助辨识和分析来经授权的活动或攻击；帮助保证那些实体响应行动处理这些活动；促进开发改进的损伤控制处理程序；认可与已建立的安全策略的一致性；报告那些可能与系统控制不相适应的信息；辨识可能需要的对控制、策略和处理程序的改变。4.1.3安全审计内容个人职能（IndividualAccountability）。审计跟踪是管理人员用来维护个人职能的技术手段。事件重建（ReconstructionofEvents）。在发生故障后，审计跟踪可以用于重建事件和数据恢复。入侵检测（IntrusionDetection）。审计跟踪记录可以用来协助入侵检测工作。故障分析（ProblemAnalysis）。审计跟踪可以用于实时审计或监控。4.1.4安全审计分类和过程安全审计分类按照审计对象分类：①网络审计；②主机审计；③应用系统审计。按照审计方式分类：①人工审计；②半自动审计；③智能审计。审计过程的实现：

第一步，收集审计事件，产生审计记录；第二步，根据记录进行安全事件的分析；第三步，采取处理措施。审计范围包括操作系统和各种应用程序。审计的工作流程根据相应的审计条件判断事件是否是审计事件。对审计事件的内容按日志的模式记录到审计日志中。对满足报警条件的事件向审计员发送报警信息并记录其内容。当事件在一定时间内频繁发生，满足逐出系统的条件值时，则将引起该事件的用户逐出系统并记录其内容。审计员可以查询、检索审计日志以形成审计报告。4.1.5审计日志管理审计日志是记录信息系统安全状态和问题的依据，各级信息系统必须制定保存和调阅审计日志的管理制度。忽视日志管理很快会变成严重的问题，日志管理是确保记录长期稳定和有用的过程。

日志的内容基于安全观点考虑，理想的日志应该包括全部与数据、程序以及与系统资源相关事件的记录。实际上，这样的日志只能适用于某些有特殊需要的系统，因为它所付出的代价太大，因此，最好根据系统的安全目标和操作环境单独设计日志。日志中的典型信息列举如下：事件的性质；全部相关组件的标识；有关事件的信息。日志的作用当雇员涉嫌欺骗、贪污或有其他非法使用系统的行为时，日志可以为调查处理工作提供有效的证明。日志还可以作为责任认定的依据，当发生责任纠纷时，查阅日志不失是一种好方法。另外，日志作为系统运行记录集，对分析系统画了情况、排除故障和提高效率都会起到很好的帮助作用。日志的管理方法日志管理最典型的方法是日志轮转，即将旧的、已写满的日志文件移到一边，新的空日志文件占用它们的位置。正确轮转日志以后，还必须注意备份。经常是已经发现了攻击，要回过头来看看攻击者还要试图做什么。要完成这一点，需要对日志做索引；需要滚动旧的日志以离线存储；需要检索离线日志，并尽可能快地找出合适的日志项。4.1.6安全审计系统的组成、功能与特点1．安全审计系统的组成典型的安全审计系统包括：事件辨别器：提供事件的初始分析，并决定是否把该事件传送给审计记录器或报警处理器；事件记录器：将接受来的消息生成审计记录，并把此记录存入一个安全审计跟踪；报警处理器：产生一个审计消息，同时产生合适的行动以响应一个安全报警；审计分析器：检查安全审计跟踪，生成安全报警和安全审计消息；审计跟踪验证器：从安全审计跟踪产生出安全审计报告；审计提供器：按照某些准则提供审计记录；审计归档器：将安全审计跟踪归档；审计跟踪收集器：将一个分布式安全审计跟踪的记录汇集成一个安全审计跟踪；审计调度器：将分布式安全审计跟踪的某些部分或全部传输到该审计调度器。2．安全审计系统的基本功能内容审计系统。内容审计系统专用于防止非法信息恶意传播，避免国家机密、商业信息、科研成果泄漏的产品；并可实时监控网络资源使用情况，提高整体工作效率。该系统一般具有如下功能：

①对用户的网络行为监控、网络传输内容审计②掌握网络使用情况，提高工作效率③网络传输信息的实时采集、海量存储、统计分析④网络行为后期取证，对网络潜在威胁者予以威慑安全审计系统的基本功能（续）日志审计系统。日志审计系统为不同的网设备及系统提供了统一的日志管理分析平台，打破了组织中不同设备及系统之间存在的信息鸿沟。该系统一般具有如下功能：①全面支持安全设备（如防火墙，IDS、AV）、网络设备（如Router、Switch）、应用系统（如WEB、Mail、Ftp、Database）、操作系统（如Windows、Linux、Unix）等多种产品及系统日志数据的收集和分析。②帮助管理员对网络事件进行深度的挖掘分析，系统提供多达300多种的报表模板，支持管理员从不同角度进行网络事件的可视化分析。同时系统还支持对网络设备、主机、系统应用、多种网络服务的全面监视。③提供全局安全视图，帮助管理员发现网络、系统及应用中存在的安全漏洞和隐患，并进行不断改进。④可自定义安全事件的危险级别，并实现基于EMAIL，铃声、手机短信等多种响应方式。3．安全审计系统的特点具有Client/Server结构，便于不同级别的管理员通过客户端，针对不同的业务网段进行审计工作。力求得到被审计网络中的硬/软件资源的使用信息，使管理人员以最小的代价、最高的效率得到网络中资源的使用情况，从而制定网络维护和升级方案。审计单元向审计中心汇报工作以及审计中心向下一级部门索取审计数据。提供实时监控功能。事后的取证、分析。使用历史记录可以取得特定工作站、时间段或基于其他特定系统参数下，主机、服务器和网络的使用信息；基于这些历史记录可以进行某些统计、分析操作。可自动进行审计工作，降低管理员工作压力。4.2入侵检测入侵检测是安全审计的重要内容之一，是网络安全防护的重要组成部分。入侵检测技术是一种主动保护自己的网络和系统免遭非法攻击的网络安全技术。它从计算机系统或者网络中收集、分析信息，检测任何企图破坏计算机资源的完整性（Integrity）、机密性（Confidentiality）和可用性（Availability）的行为，即查看是否有违反安全策略的行为和遭到攻击的迹象，并做出相应的反应。4.2.1入侵检测概述1．入侵检测概念入侵是指任何企图危机资源的完整性、机密性和可用性的活动，不仅包括发起攻击的人取得超出合法范围的系统控制权，也包括收集漏洞信息，造成拒绝服务等对计算机系统产生危害的行为。入侵检测（IntrusionDetection）的定义是指通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。入侵检测系统入侵检测系统IDS（IntrusionDetectionSystem）是试图实现检测入侵行为的计算机系统，包含计算机软件和硬件的组合。入侵检测系统具有更多的智能，对系统进行实时监控，获取系统的审计数据或网络数据包，然后将得到的数据进行分析，并判断系统或网络是否出现异常或入侵行为，一旦发现异常或入侵情况，发出报警并采取相应的保护措施。入侵检测是一种动态的网络安全技术它利用各种不同类型的引擎，实时或定期的对网络中相关的数据源进行分析，依照引擎对特殊的数据或事件的认识，将其中具有威胁性的部分提取出来，并触发响应机制。入侵检测的动态性反映在入侵检测的实时性，对网络环境的变化具有一定程度上的自适应性，这是以往静态安全技术无法具有的。2．入侵检测原理模型Denning模型图4-1Denning入侵检测模型上图模型中包含6个主要部分：①实体（Subjects）：在目标系统上活动的实体，如用户。②对象（Objects）：指系统资源，如文件、设备、命令等。③审计记录（Auditrecords）：由主体、活动（Action）、异常条件（Exception-Condition）、资源使用状况（Resource-Usage）和时间戳（Time-Stamp）等组成。④活动档案（ActiveProfile）：即系统正常行为模型，保存系统正常活动的有关信息。⑤异常记录（AnomalyRecord）：由事件、时间戳和审计记录组成，表示异常事件的发生情况。⑥活动规则（ActiveRule）：判断是否为入侵的准则及相应要采取的行动。2．入侵检测原理模型(续)CIDF模型图4-2CIDF入侵检测模型2．入侵检测原理模型(续)上图所示的模型中，入侵检测系统分为4个基本组件：①事件产生器的任务是从入侵检测系统之外的计算环境中收集事件，但并不分析它们，并将这些事件转换成CIDF的GIDO格式传送给其他组件；②事件分析器分析从其他组件收到的GIDO，并将产生的新的GIDO再传送给其他组件；③事件数据库用来存储GIDO，以备系统需要的时候使用；④响应单元处理收到的GIDO，并根据处理结果，采取相应的措施，如杀死相关进程、将连接复位、修改文件权限等。2．入侵检测原理模型(续)3．入侵响应机制入侵响应是入侵检测技术的配套技术，一般的入侵检测系统会同时使用这两种技术。入侵响应技术可分为主动响应和被动响应两种类型。主动响应和被动响应并不是相互排斥的。不管使用哪一种响应机制，作为任务的一个重要部分，入侵检测系统应该总能以日志的形式记录下检测结果。（1）主动响应主动响应，即检测到入侵后立即采取行动。主动响应有两种形式：一种是由用户驱动的，一种是由系统本身自动执行的。对入侵者采取反击行动、修正系统环境和收集尽可能多的信息是主动响应的基本手段。对入侵者采取反击行动警告攻击者、跟踪攻击者、断开危险连接和对攻击者的攻击是最严厉的一种主动反击手段。这种响应方法有一定的风险：

被确认为攻击你的系统的源头系统很可能是黑客的另一个牺牲品。

攻击源的IP地址欺骗也是常有的事。简单的反击可能会惹起对手更大的攻击。反击会使你自己冒违法犯罪的风险。

修正系统环境修正系统环境较直接采取反击的主动性要差一些，当与提供调查支持的响应结合在一起的时候，却往往是一种更好的响应方案。修正系统环境以堵住导致入侵发生的漏洞的概念与许多研究者所提出的关键系统耦合的观点是相一致的。这种策略类似于实时过程控制系统的反馈机制，即目前系统处理过程的输出将用来调整和优化下一个处理过程。收集额外信息当被保护的系统非常重要并且系统的主人想进行配置改进时，收集额外信息特别有用。以这种方式收集的信息对那些从事网络安全威胁的趋势分析的人来说也是有价值的。这种信息对那些必须在有敌意威胁的环境里运行或易遭受大量攻击的系是特别重要的。（2）被动响应被动响应就是那些只向用户提供信息而依靠用户去采取下一步行动的响应。被动响应是很重要的，在一些情形下是系统惟一的响应形式。以下列举两种常用的被动响应技术：告警和通知：告警显示屏；告警和警报的远程通知。SNMP陷阱和插件（3）响应报警策略

如何报警和选取什么样的报警，需要根据整个网络的环境和安全的需求进行确定。不同的报警方式对网络相关的设备有着不同的要求。由于报警的形式很多，大部分都需要其他网络设备和服务的协助，因此只有保证相关的设备和服务可以和入侵检测系统正确地通信，才可以保证报警信息的及时送达。这就要求入侵检测系统存在与其他设备互动的接口。4．入侵检测系统的基本结构

图4-3入侵检测系统的基本结构入侵检测系统的基本结构通常由事件产生器、事件分析器、事件数据库和响应单元四个基本组件组成。从具体实现的角度看，入侵检测系统一般包括硬件和软件两部分。5．入侵检测系统的功能检测和分析用户与系统的活动；审计系统配置和脆弱性；评估关键系统和数据文件的一致性；识别反映已知攻击的活动模式；非正常活动模式的统计分析；操作系统的审计跟踪管理，通过用户活动的识别违规操作。6．入侵检测系统的分类异常检测和误用检测。根据入侵检测所采用的技术，可以分为异常检测和误用检测。异常检测（AbnormalDetection）。异常入侵检测是指能够根据异常行为和使用计算机资源的情况检测出来的入侵。

误用检测（MisuseDetection）。误用入侵检测（也称滥用入侵检测）是指利用已知系统和应用软件的弱点攻击模式来检测入侵。6．入侵检测系统的分类（续）基于主机和网络的检测。按照入侵检测输入数据的来源和系统结构，可以分为：基于主机的入侵检测系统（HIDS）。该系统通过监视和分析主机上的审计日志，来检测主机上是否发生入侵行为。图4-4基于主机的入侵检测系统HIDS的优点是可精确判断入侵事件，并及时进行反应。缺点是会占用宝贵的主机资源。6．入侵检测系统的分类（续）基于网络的入侵检测系统（NIDS）。该系统一般被动地在共享网段上进行侦听，通过对捕获网络数据包进行分析，能够检测该网段上发生的网络入侵。

图4-5基于网络的入侵检测系统这类系统的优点是检测速度快、隐蔽性好，不那么容易遭受攻击，对主机资源消耗少，并且由于网络协议是标准的，可以对网络提供通用的保护而无须顾及异构主机的不同架构。但它只能监视经过本网段的活动，且精确度较差，在交换网络环境下难以配置，防欺骗能力也较弱。6．入侵检测系统的分类（续）混合型入侵检测系统。联合使用基于主机和基于网络这两种方式能够达到更好的检测效果。分布式入侵检测系统（DIDS）是一种典型的混合型入侵检测系统，也可以仅仅是网络入侵检测系统的分布式整合。图4-6分布式入侵检测系统框图6．入侵检测系统的分类（续）离线检测和在线检测。根据入侵检测系统的工作方式分为离线检测系统和在线检测系统。离线检测系统。在事后分析审计事件，从中检查入侵活动，是一种非实时工作的系统。在线检测。实施联机的检测系统，它包含对实时网络数据包分析，对实时主机审计分析。6．入侵检测系统的分类（续）集中式、等级式和协作式。按照体系结构，IDS可分为集中式、等级式和协作式3种。

集中式。等级式。协作式。7．入侵检测系统性能准确性：检测系统具有低的假报警率和漏警率。执行性：入侵检测系统处理审计事件的比率。如果执行性很低，则无法实现入侵检测系统的实时检测。完整性：如果一个入侵检测系统不能检测一个攻击则认为是不完整的。容错性：入侵检测系统本身应具备抵抗攻击的能力。实时性：系统能尽快地察觉入侵企图，以便制止和限制破坏。8．入侵检测系统的优点可以检测和分析系统事件以及用户的行为；可以测试系统设置的安全状态；以系统的安全状态为基础，跟踪任何对系统安全的修改操作；通过模式识别等技术从通信行为中检测出已知的攻击行为；可以对网络通信行为进行统计，并进行检测分析；管理操作系统认证和日志机制并对产生的数据进行分析处理；在检测到攻击的时候，通过适当的方式进行适当的报警处理；通过对分析引擎的配置对网络的安全进行评估和监督；允许非安全领域的管理人员对重要的安全事件进行有效的处理。9．入侵检测系统的局限性入侵检测系统无法弥补安全防御系统中的安全缺陷和漏洞。对于高负载的网络或主机，很难实现对网络入侵的实时检测、报警和迅速地进行攻击响应。检测具有一定的后滞性，而对于已知的报警，一些没有明显特征的攻击行为也很难检测到，或需要付出提高误报警率的代价才能够正确检测。入侵检测系统的主动防御功能和联动防御功能会对网络的行为产生影响，同样也会成为攻击者的目标，实现以入侵检测系统过敏自主防御为基础的攻击。9．入侵检测系统的局限性（续）入侵检测系统无法单独防止攻击行为的渗透，只能调整相关网络设备的参数或人为地进行处理。网络入侵检测系统在纯交换环境下无法正常工作，只有对交换环境进行一定的处理。入侵检测系统主要是对网络行为进行分析检测，不能修正信息资源中存在的安全问题。IDS系统本身还在迅速发展和变化，尚未成熟。9．入侵检测系统的局限性（续）现有的IDS系统错报率（或称为虚警率）偏高，严重干扰了检测结果。事件响应与恢复机制不完善。IDS与其他安全技术的协作性不够。IDS缺少对检测结果做进一步说明和分析的辅助工具，这妨碍了用户进一步理解看到的数据或图表。缺少防御功能检测，作为一种被动且功能有限的技术，缺乏主动防御功能。IDS缺乏国际统一的标准9．入侵检测系统的局限性（续）产品适应能力低大型网络的管理问题处理速度上的瓶颈拒绝服务攻击插入和规避10．入侵检测系统与防火墙的区别“防火墙”是在被保护网络周边建立的、分隔被保护网络与外部网络的系统。采用防火墙技术的前提条件是：被保护的网络具有明确定义的边界和服务；网络安全的威胁仅来自外部网络。但仅仅使用防火墙保障网络安全是远远不够的。10.入侵检测系统与防火墙的区别（续）入侵检测是防火墙的合理补充，为网络安全提供实时的入侵检测并采取相应的防护手段。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下，能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。IDS一般不是采取预防的措施以防止入侵事件的发生，入侵检测作为安全技术其主要目的在于：识别入侵者；识别入侵行为；检测和监视已成功的安全突破；为对抗入侵，及时提供重要信息，阻止事件的发生和事态的扩大。4.2.2侵检测方法1．异常检测异常检测指根据使用者的行为或资源使用状况来判断是否发生入侵事件，而不依赖于具体行为是否出现来检测，所以也被称为基于行为的检测。异常检测的主要思想是：根据系统的正常活动建立一个特征文件，通过统计那些不同于我们已建立的特征文件的所有系统状态来识别入侵。异常活动和入侵活动图4-7异常活动集和入侵活动集之间的关系从图中可以看出，异常检测的关键问题是如何选择合适的域值，使得误报和漏报减少，以及如何选择选择所要监视的衡量特征。（1）概率统计方法该方法是根据异常检测器观察主体的活动，产生描述这些活动行为的参数。通过比较当前的参数与已存储的参数判断异常行为，并且已存储的参数需要根据审计记录情况不断地加以更新。设M1，M2，…，Mn为参数集的特征变量，这些变量可以是CPU的使用、I/O的使用、使用的地点及时间、邮件使用、文件访问数量、网络会话时间等。用S1，S2，…，Sn分别表示参数集中变量M1，M2，…，Mn的异常测量值。这些异常测量值的平方后加权计算得出参数异常值：

ai>0

概率统计的特点概率统计的优越性在于所应用的技术方法成熟。但其也有一些不足：

①统计测量对事件的发生的次序不敏感，单纯的统计入侵检测系统可能不会发觉事件当中互相依次相连的入侵行为；②单纯的统计入侵检测系统将逐渐的训练成单一点，要么行为是异常的，要么是正常的；③难以确定异常阈值，阈值设置偏低或偏高均会导致误报；④统计异常检测行为类型模型是有限的。（2）预测模式生成方法该方法的假设条件是事件序列不是随机的而是遵循可辨别的模式，它的特点是考虑了事件的序列及相互联系。它利用动态的规则集来检测入侵。这些规则由系统的归纳引擎根据已发生事件的情况产生，然后得到预测将要发生的事件的概率，归纳引擎为每一种事件设置可能发生的概率。其归纳出来的规则一般可写成如下形式：E1，…，Ek:(Ek+1,P(Ek+1)),…,(En,P(En))如果后来发生的事件Ek+1，…，En的统计结果与预测相比很不正常，则该事件便被标志为异常行为。预测模式生成方法的特点预测模式生成方法的主要优点是：

基于规则的顺序模式能够检测出传统方法所难以检测的异常活动；用该方法建立起来的系统，具有很强的适应变化能力，这是由于低质量的模式不断被删除，最终留下来的是高质量的模式；可以容易检测到企图在学习阶段训练系统的入侵者；实时性高，可以在收到审计事件几秒钟内对异常活动作出检测并产生报警。该方法的不足之处在于不在规则库中的入侵将会漏报。

（3）神经网络方法神经网络方法的基本思想就是用一系列信息单元训练神经网络中的神经单元，该信息单元指的是命令。若神经网络被训练成能预测用户输入命令序列集合，则神经网络就构成用户的轮廓框架。当用这个神经网络预测不出某用户正确的后继命令，即在某种程度上表明了用户行为与其轮廓框架的偏离，这是由异常事件发生，以此就能检测异常入侵。

神经网络方法的特点这种方法的优点是：不依赖于任何有关数据种类的统计假设；具有较好的抗干扰能力；能自然的说明各种影响输出结果测量的相互关系。

其缺点是：网络拓扑结构以及各元素的权重很难确定；在设计网络的过程中，输入层输入的命令个数的大小难以选取。若设置太小，则工作就差；若设置太高，网络中需要处理的数据就会太多，降低了网络的效率。2．误用检测误用检测技术（MisuseDetection）也称为基于知识的检测技术或者模式匹配检测技术。它的前提是假设所有的网络攻击行为和方法都具有一定的模式或特征，如果把以前发现的所有网络攻击的特征总结出来并建立一个入侵信息库，那么入侵检测系统可以将当前捕获到的网络行为特征与入侵信息库中的特征信息相比较，如果匹配，则当前行为利被认定为入侵行为。可以看出，如果说异常检测是量化的入侵检测分析手段，那么模式匹配就是一种质化的入侵检测手段。（1）专家系统它将有关入侵的知识转化为if-then结构的规则，即将构成入侵所要求的条件转化为if部分，将发现入侵后采取的相应措施转化成then部分。在具体实现中，专家系统主要面临以下问题：全面性问题；效率问题。特征分析系统同专家系统一样，特征分析也需要知道攻击行为的具体知识。但是，攻击方法的语义描述不是被转化为检测规则，而是在审计记录中能直接找到的信息形式。这种方法的缺陷也和所有其他的滥用检测方法一样，即需要经常为新发现的系统漏洞更新知识库；另外，由于对不同操作系统平台的具体攻击方法可能不同，以及不同平台的审计方式也可能不同，所以对特征分析检测系统进行构造和维护的工作量都较大。（2）模型推理模型推理是指结合攻击脚本推理出入侵行为是否出现。其中有关攻击者行为的知识被描述为：攻击者目的，攻击者达到此目的的可能行为步骤，以及对系统的特殊使用等。根据这些知识建立攻击脚本库，每一脚本都由一系列攻击行为组成。模型推理的检测原理检测时先将这些攻击脚本的子集看作系统正面临的攻击。然后通过一个称为预测器的程序模块根据当前行为模式产生下一个需要验证的攻击脚本子集，并将它传给决策器。决策器收到信息后，根据这些假设的攻击行为在审计记录中可能出现的方式，将它们翻译成与特定系统匹配的审计记录格式。然后在审计记录中寻找相应信息来确认或否认这些攻击模型推理的特点模型推理方法的优越性有：对不确定性的推理有合理的数学理论基础，同时决策器使得攻击脚本可以与审计记录的上下文无关。另外，这种检测方法也减少了需要处理的数据量。但是创建入侵检测模型的工作量比别的方法要大，在系统实现时，决策器如何有效地翻译攻击脚本也是一个问题。（3）状态转换分析状态转换法将入侵过程看作一个行为序列，这个行为序列导致系统从初始状态转入被入侵状态。分析时，首先针对每一种入侵方法确定系统的初始状态和被入侵状态，以及导致状态转换的转换条件。然后用状态转换图来表示每一个状态和特征事件，这些事件被集成于模型中，所以检测时不需要一个个地查找审计记录。但是，状态转换是针对事件序列分析，所以不善于分析过分复杂的事件，而且不能检测与系统状态无关的入侵。Petri网Petri网用于入侵行为分析是一种类似于状态转换图分析的方法。利用Petri网的有利之处在于它能一般化、图形化地表达状态，并且简洁明了。图4-8Petri网分析一分钟4次登录失败（4）特征分析特征分析误用检测与专家系统误用检测一样，也需要搜集关于网络入侵行为的各种知识。特征分析误用检测将入侵行为表示成一个事件序列或者转换成某种可以直接在网络数据包审计记录中找到的数据样板，而不进行规则转换，这样可以直接从审计数据中提取相应的数据与之匹配，因此不需要处理大量的数据，从而提高了运行效率。（5）条件概率条件概率误用检测方法将网络入侵方式看作一个事件序列，根据所观测到的各种网络事件的发生情况来推测入侵行为的发生。条件概率误用检测方法应用贝叶斯定理对入侵进行推理检测，原理如下：事件序列表示为ES，先验概率为P（Intrusion），后验概率为P（ES｜Intrusion），事件出现的概率为P（ES），则P（Intrusion|ES）=P（ES|Intrusion）×P（Intrusion）/P（ES）可以计算出P（ES）＝（P（ES|Intrusion）-P（ES|Intrusson））×P（Intrusion）+P（ES|Intrusson）（6）键盘监控键盘监控误用检测方法假设每种网络入侵行为都具有特定的击键序列模式，入侵检测系统监视各个用户的击键模式，并将该模式与已有的入侵击键模式相匹配，如果匹配成功就认为是网络入侵行为。这种方法的不足之处是如果操作系统没有提供相应的支持，则缺少可靠的方法来捕获用户的击键行为，可能存在多种击键方式表示同一种攻击的情况，而且不能对击键进行语义分析，攻击者使用命令的各种别名就很容易欺骗这种技术。此外，因为这种技术仅分析击键行为，所以对于那些利用程序进行自动攻击的行为无法检测。误用检测技术的优点检测准确度高；技术相对成熟；便于进行系统防护；可以按功能划分，缩小模式数据库所涉及的模式量大小，也就是说模式匹配具有很强的可分割性、独立性。模式匹配具有很强的针对性，对已知的入侵方法检测效率很高。误用检测技术的缺点不能检测出新的入侵行为；完全依赖于入侵特征的有效性；通常不具备自学习能力，对新攻击的检测分析必须补充模式数据库，维护特征库的工作量巨大；难以检测来自内部用户的攻击；可测量性与性能都和模式数据库的大小、体系结构有关；可扩展性差，没有通用的模式规格说明语言；攻击行为转化为模式比较困难，并且不具备统一性。3．异常检测技术和误用检测技术的比较基于异常检测技术的入侵检测系统如果想检测到所有的网络入侵行为，必须掌握被保护系统已知行为和预期行为的所有信息。基于误用检测技术的入侵检测系统只有拥有所有可能的入侵行为的先验知识，而且必须能识别各种入侵行为的过程细节或者每种入侵行为的特征模式，才能检测到所有的入侵行为，该类入侵检测系统只能检测出已有的入侵模式，必须不断地对新出现的入侵行为进行总结和归纳。3．异常检测技术和误用检测技术的比较（续）基于异常检测技术的入侵检测系统通常比基于误用检测技术的入侵检测系统所做的工作要少很多，要求管理员能够总结出被保护系统的所有正常行为状态，对系统的已知和期望行为进行全面的分析，因此配置难度相对较大。有些基于误用检测技术的入侵检测系统允许管理员对入侵特征数据库进行修改，甚至允许管理员自己根据所发现的攻击行为创建新的网络入侵特征规则记录，这种入侵检测系统在系统配置方面的工作量会显著增加。3．异常检测技术和误用检测技术的比较（续）基于异常检测技术的入侵检测系统所输出的检测结果，通常是在对实际行为与行为轮廓进行异常分析等相关处理后得出的，这类入侵检测系统的检测报告通常会比基于误用检测技术的入侵检测系统具有更多的数据量。大多数基于误用检测技术的入侵检测系统，是将当前行为模式与已有行为模式进行匹配后产生检测结论，其输出内容是列举出入侵行为的类型和名称，以及提供相应的处理建议。4．入侵检测新技术遗传算法遗传算法的基本原理是首先定义一组入侵检测指令集，这些指令用于检测出正常或者异常的行为。指令中包含若干字符串，所有的指令在定义初期的检测能力都很有限，入侵检测系统对这些指令逐步地进行训练，促使指令中的字符串片段发生重组，以生成新的字符串指令。再从新的指令中经过测试筛选出检测能力最强的部分指令，对它们进行下一轮的训练。如此反复，使检测指令的检测能力不断提高。直到指令的检测能力不会有明显的提高，训练过程即可结束，此时这些指令已经具有一定的检测能力，入侵检测系统可以使用它们进行网络入侵检测。4．入侵检测新技术（续）免疫技术

计算机免疫技术为入侵检测提供了一个思路，即通过正常行为的学习来识别不符合常态的行为序列。当系统的一个关键程序投入使用后，它的运行情况一般变化不大，具有相对的稳定性。因而可以利用系统进程正常执行轨迹中的系统调用短序列集，来构建系统进程正常执行活动的特征轮廓。由于利用这些关键程序的缺陷进行攻击时，对应的进程必然执行一些不同于正常执行时的代码分支，因而就会出现关键程序特征轮廓中没有的系统调用短序列。当检测到特征轮廓中不存在的系统调用序列的量达到某一条件后，就认为被监控的进程正企图攻击系统。4．入侵检测新技术（续）数据挖掘方法

数据挖掘是指从大型数据库或数据仓库中提取人们感兴趣的知识，这些知识是隐含的、事先未知的潜在有用信息。数据挖掘技术在入侵检测中主要有两个方向，一是发现入侵的规则、模式，与误用检测（或模式匹配）检测方法相结合；二是用于异常检测，找出用户正常行为，创建用户的正常行为库。将数据挖掘技术应用于入侵检测是因为其具有处理大量数据记录的能力。数据采掘异常检测方法的优势在于处理数据的能力，缺点是系统整体运行效率较低。4.2.3入侵检测系统的部署根据所掌握的网络检测技术和安全需求，选取各种类型的入侵检测系统。将多种入侵检测系统按照预定的计划进行部署，确保每个入侵检测系统都能够在相应部署点上发挥作用，共同防护，保障网络的安全运行。1．安全区域安全区域（zone）是防火墙产品所引入的一个安全概念，是防火墙产品区别于路由器的主要特征。当一个数据流通过防火墙设备的时候，根据其发起方向的不同，所引起的操作是截然不同的。由于这种安全级别上的差别，再采用在接口上检查安全策略的方式已经不适用，将造成用户在配置上的混乱。因此，防火墙提出了安全区域的概念。一个安全区域包括一个或多个接口的组合，具有一个安全级别。数据在属于同一个安全区域的不同接口间流动时不会引起任何检查。安全区域划分如图4-9所示，一般防火墙上保留四个安全区域：图4-9安全区域划分接口、网络、安全区域除了Local区域以外，在使用其他所有安全区域时，需要将安全区域分别与防火墙的特定接口相关联，即将接口加人到区域。另外安全区域与各网络的关联遵循一些原则：内部网络应安排在安全级别较高的区域；外部网络应安排在安全级别最低的区域；一些可对外部提供有条件服务的网络应安排在安全级别中等的DMZ区。入方向与出方向如图4-10所示，不同级别的安全区域间的数据流动都将激发防火墙进行安全策略的检查，并且可以为不同流动方向设置不同的安全策略。域间的数据流分两个方向：入方向（inbound）：数据由低级别的安全区域向高级别的安全区域传输的方向；出方向（outbound）；数据由高级别的安全区域向低级别的安全区域传输的方向。2．入侵检测系统的部署基于网络入侵检测系统的部署。基于网络的入侵检测系统可以在网络的多个位置进行部署。总体来说，入侵检测的部署点可以划分为4个位置：①DMZ区、②外网入口、③内网主干、④关键子网，如图4-11所示。图4-11入侵检测系统部署位置图DMZ区DMZ区部署点在DMZ区的总口上，这是入侵检测器最常见的部署位置。在这里入侵检测器可以检测到所有针对用户向外提供服务的服务器进行攻击的行为。在该部署点进行入侵检测有以下优点：检测来自外部的攻击，这些攻击已经渗入过第一层防御体系；可以容易地检测网络防火墙的性能并找到配置策略中的问题；DMZ区通常放置的是对内外提供服务的重要的服务设备，因此，所检测的对象集中于关键的服务设备；外网入口外网入口部署点位于防火墙之前，入侵检测器在这个部署点可以检测所有进出防火墙外网口的数据。在这个位置上，入侵检测器可以检测到所有来自外部网络的攻击行为并进行记录，这些攻击包括对内部服务器的攻击、对防火墙本身的攻击以及内网机器不正常的数据通信行为。在该部署点进行入侵检测有以下优点：可以对针对目标网络的攻击进行计数、并记录最为原始的攻击数据包；可以记录针对目标网络的攻击类型。

内网主干内网主干部署点是最常用的部署位置，在这里入侵检测器主要检测内网流出和经过防火墙过滤后流入内网的网络数据。在这个位置，入侵检测器可以检测所有通过防火墙进入的攻击以及内部网向外部的不正常操作，并且可以准确地定位攻击的源和目的，方便系统管理员进行针对性的网络管理。在该部署点进行入侵检测有以下优点：检测大量的网络通信提高了检测攻击的识别可能；检测内网可信用户的越权行为；实现对内部网络信息的检测。关键子网通过对这些子网进行安全检测，可以检测到来自内部以及外部的所有不正常的网络行为，这样可以有效地保护关键的网络不会被外部或没有权限的内部用户侵入，造成关键数据泄漏或丢失。在该部署点进行入侵检测具有以下优点：集中资源用于检测针对关键系统和资源的来自企业内外部的攻击；将有限的资源进行有效部署，获取最高的使用价值。（2）基于主机入侵检测系统的部署在基于网络的入侵检测系统部署并配置完成后，基于主机的入侵检测系统的部署可以给系统提供高级别的保护。基于主机的入侵检测系统主要安装在关键主机上，这样可以减少规划部署的花费，使管理的精力集中在最重要最需要保护的主机上。为了便于对基于主机的入侵检测系统的检测结果进行及时检查，需要对系统产生的日志进行集中。通过进行集中的分析、整理和显示，可以大大减少对网络安全系统日常维护的复杂性和难度。4.2.4入侵检测技术发展1．入侵技术的发展

从最近几年的发展趋势看，入侵技术的发展与演化主要反映在下面几个方面：

（1）入侵和攻击的复杂化与综合化（2）入侵主体的间接化（3）入侵和攻击的规模扩大（4）入侵和攻击技术的分布化（5）攻击对象的转移2．入侵检测技术的发展方向功能与性能提高改进检测方法，提高检测准确率，减少漏报和误报检测和防范分布式攻击和拒绝服务攻击实现入侵检测系统与其他安全部件的互动入侵检测系统的标准化工作入侵检测系统的测试和评3．下一代IDS关键技术（1）智能关联智能关联是将企业相关系统的信息(如主机特征信息)与网络IDS检测结构相融合，从而减少误警。智能关联包括主动关联和被动关联。主动关联是通过扫描确定主机漏洞；被动关联是借助操作系统的指纹识别技术，即通过分析IP、TCP报头信息识别主机上的操作系统。指纹识别技术IDS有时会出现误报造成这种现象的原因是当IDS检测系统是否受到基于某种漏洞的攻击时，没有考虑主机的脆弱性信息。因此新一代IDS产品利用被动指纹识别技术构造一个主机信息库，该技术通过对TCP、IP报头中相关字段进行识别来确定操作系统(OS)类型。被动指纹识别技术的工作原理被动指纹识别技术的实质是匹配分析法。匹配双方一个是来自源主机数据流中的TCP、IP报头信息，另一个是特征数据库中的目标主机信息，通过将两者做匹配来识别源主机发送的数据流中是否含有恶意信息。被动指纹识别技术的工作流程指纹识别引擎检查SYN报头，提取特定标识符；从特征库中提取目标主机上的操作系统信息；更新主机信息表；传感器检测到带有恶意信息的数据报，在发出警告前先与主机信息表中的内容进行比较；传感器发现该恶意数据报是针对Windows服务器的，而目标主机是Linux服务器，所以IDS将抑制该告警的产生。被动指纹识别技术的工作流程（续）图4-12被动指纹识别技术工作流程（2）告警泛滥抑制IDS产品使用告警泛滥抑制技术可以降低误警率。所谓“告警泛滥”是指短时间内产生的关于同一攻击的告警。告警泛滥抑制技术是将一些规则或参数(包括警告类型、源IP、目的IP以及时间窗大小)融入到IDS传感器中，使传感器能够识别告警饱和现象并实施抑制操作。（3）告警融合该技术是将不同传感器产生的、具有相关性的低级别告警融合成更高级别的警告信息，这有助于解决误报和漏报问题。当与低级别警告有关的条件或规则满足时，安全管理员在IDS上定义的元告警相关性规则就会促使高级别警告产生。与警告相关性规则中定义的参数包括时间窗、事件数量、事件类型IP地址、端口号、事件顺序。（4）可信任防御模型下一代IDS产品中，融入可信任防御模型后，将会对第一代IPS产品遇到的问题(误报导致合法数据被阻塞、丢弃；自身原因造成的拒绝服务攻击泛滥；应用级防御)有个圆满的解决。可信任防御模型中采用的机制：

①信任指数②拒绝服务攻击（DoS）③应用级攻击

4．IDS发展趋势在安全漏洞被发现与被攻击之间的时间差不断缩小的情况下，基于特征检测匹配技术的IDS已经力不从心。IDS出现了销售停滞，但IDS不会立刻消失，而是将IDS将成为安全信息管理（SIM）框架的组成部分。在SIM框架中，IDS的作用可以通过检测和报告技术得到加强。一些厂商通过将IDS报警与安全漏洞信息进行关联分析，着手解决IDS的缺陷。4.2.5与入侵检测有关的新技术1．入侵容忍系统目前入侵检测系统的性能（误警率和检测率）没有得到大的提高，这主要是因为现有的检测技术和响应策略有根本的限制。我们的网络系统也应像人体一样具有入侵容忍能力，成为入侵容忍系统（IntrusionTolerantSystem，简称ITS）。（1）入侵容忍概述入侵容忍概念入侵容忍系统（也称为容侵系统）是指网络系统在遭受一定的入侵或攻击的情况下，仍然能够提供所希望的服务。网络入侵容忍的主要研究内容有三点：第一是研究专注于对服务产生威胁的事件的入侵触发器；第二是充分利用容错理论研究中的优秀成果；第三是利用研究所得的入侵容忍理论和技术最终能构建一个新的网络安全信息系统。入侵容忍概念（续）所谓入侵容忍，就是入侵容忍（IntrusfonTolerance），也就是当一个网络系统遭受入侵，而一些安全技术都失效或者不能完全排除入侵所造成的影响时，入侵容忍就可以作为系统的最后一道防线，即使系统的某些组件遭受攻击者的破坏，但整个系统仍能提供全部或者提供降级的服务。之所以把这种方案称做入侵容忍，是因为它是基于入侵检测和容错已做的工作的基础之上的。入侵容忍概念（续）如图4-13所示，它形象地说明了保护、检测、入侵容忍三者之间的关系。图4-13入侵容忍示意图容侵与容错的比较在一个先进的容错系统中，处理某个错误可能包含以下四个步骤：错误检测、破坏情况估计、重新配置和恢复。但是当前的入侵检测系统却远远达不到这个程度，所以必须依靠入侵容忍系统来解决这个问题。从上面的讨论可以看出，入侵容忍（IntrusionTolerance，简称容侵）是容错（FaultTolerance）的一种延伸。所以很多容错的方法都可以应用到容侵中来。冗余是计算机容错中一个有效的方法。容侵与容错的比较（续）由于容错技术发展得很成熟，怎么将容错方法应用到我们的入侵容忍中来，将是一个很大的挑战。其难点主要表现在：容错技术大多着眼于植根在设计或实现阶段的意外故障或者恶意故障。这个着眼点允许对可预言的故障行为进行一些合理的假设。而表现为受到安全威胁的系统组件的主动入侵，它的行为完全是受到恶意控制，使得故障行为不可预知。主动入侵也包括来自于系统组件外部的入侵，而在传统的容错系统中根本就没有考虑到。现成的容错大多着眼于明确定义的硬软件模块，它们的故障模式相对容易定义。而考虑到大的分布式服务设施，每个组件具有复杂的功能，所以使得定义它们的故障模式更加困难。（2）入侵容忍体系结构图4-14入侵容忍体系结构（2）入侵容忍体系结构（续）代理服务器对正在进行的请求，维持最新的和一致的状态；服务环境的有效迁移；IDS和请求的负载控制。接收监视器检查结果的合理性；COTS服务器的可信状态的监视。投票监视器在投票/裁决之前进行复杂结果的转换；决定结果的发布者（可以固定指定，也可以动态选择）。（2）入侵容忍体系结构（续）审计控制进行周期性诊断测试：验证审计记录来检测组件中的异常行为；维护所有系统组件的审计日志。自适应性重新配置当出现意外的或者恶意的故障时，通过重新配置系统来自动执行安全策略。此种体系结构的缺陷。首先此种体系结构中对于提供不同类型服务的服务器，没有必要全互联，因为使得系统的代价较高，并且实现复杂，却没有什么实际用途。（3）基于状态迁移的入侵容忍模型图4-15入侵容忍系统的状态迁移图（3）基于状态迁移的入侵容忍模型（续）建立在此模型上的系统允许多个入侵容忍策略存在并且支持不同级别的安全需求，因为此状态转换模型主要着眼于攻击对系统服务所造成的影响，而不是攻击过程本身。所以能够处理以前未知的攻击，只要这种攻击对我们的服务所造成的影响与已知攻击相似。此种模型存在一定的缺陷。首先，此模型只是一个静态转换，而不是动态的，只能用于静态的分析系统的状态，而不能动态的实时的分析。其次，此种模型只能处理单线程问题，对于多线程服务，此模型不适合描述。（4）面向入侵容忍的秘密共享系统的设计图4-16面向客侵的秘密共享系统（5）高性能的网络入侵容忍机制与模型研究我们主要研究以下内容：①高性能的秘密共享入侵容忍模型研究基于代数编码的防欺诈的（t，n）秘密共享体制研究。基于RSA数字签名的防欺诈的（t，n）