《入侵检测与防御原理及实践（微课版）》 课件 CH2 入侵检测与防御原理

第二章入侵检测与防御原理入侵检测与防御基本概念入侵检测系统的基本模型入侵检测系统的分类入侵检测与防御的关键技术入侵检测与防御的流程入侵检测系统的体系架构入侵检测与防御基本概念2.1入侵检测基本概念入侵检测：依据一定的安全策略，对网络及系统的运行状况进行检测，识别对计算机或网络信息的恶意行为，并对此行为做出响应的过程。入侵检测系统（IntrusionDetectionSystem，IDS）：具有入侵检测功能的系统，是进行入侵检测的软件与硬件的组合。一般来讲，攻击分为来自外部网络的攻击，来自内部网络的攻击以及内部人员误操作导致的虚假攻击，IDS会从这三个方面进行分析。可以将IDS理解为一位有丰富经验的网络侦查员，任务就是分析出可疑信息并做出相应处理。IDS通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。IDS通过分析网络行为、安全日志、审计数据和其他信息对应执行监视系统活动、审计系统漏洞、识别攻击行为和报警攻击。入侵检测基本概念入侵检测系统的主要功能：监视、分析用户及系统的活动；系统构造和弱点的审计；识别已知的进攻并报警；对异常行为模式进行统计分析；评估重要系统和数据文件的完整性；对操作系统进行审计跟踪管理；识别用户违反安全策略的行为。入侵检测系统的部署入侵检测系统的类型不同、应用环境不同，部署方案也就会有所差别。基于主机的入侵检测系统一般用于保护关键主机或服务器，因此只要将它部署到这些关键主机或服务器中即可。基于网络的入侵检测系统来说，根据网络环境的不同，其部署方案也就会有所不同。网络入侵检测系统通常采用旁路部署的方式常见的部署位置：服务器区域的交换机上；Internet接入路由器之后的第一台交换机上；重点保护网段的局域网交换机上。入侵检测系统的部署共享介质网络环境下的数据捕获网卡默认只接收广播包和与自己MAC地址匹配的数据帧。要想捕获流经网卡的但不属于自己主机的所有数据流，就必须绕开系统正常工作的处理机制，直接访问网络底层。首先需要将网卡的工作模式设置为混杂（Promiscuous）模式，使之可以接收目标地址不是自己的MAC地址的数据包，然后直接访问数据链路层，获取数据并由应用程序进行过滤处理。UNIX中可用Libpcap包捕获函数库直接与内核驱动交互操作，实现对网络数据包的捕获。WINDOW中可用Winpcap（）或npcap（），通过VxD虚拟设备驱动程序实现网络数据捕获的功能。在WindowsXp/2003/Vista/2008上可以使用WinpcapWin7及以后上可以使用npcap，64bit，要匹配入侵检测系统的部署交换网络环境下的数据捕获正常情况下，处于监听状态下的网络设备只能捕获与它连接的HUB或交换机端口上的数据，无法监听其他端口和网段的数据。若想捕获其他数据，可用以下方法：（1）将数据包捕获程序放在网关或代理服务器上（2）给交换机配置端口镜像（3）在交换机和路由器之间连接一个HUB（4）实现ARP欺骗入侵检测系统的部署网络中没有部署防火墙时网络入侵检测系统通常安装在网络入口处的交换机上，以便监听所有进出网络的数据包并进行相应的保护。交换机上需要启用端口镜像。入侵检测系统的部署网络中部署防火墙时入侵检测系统常部署在防火墙之后，在防火墙的一次过滤之后进行二次防御。来自外部的针对防火墙本身的攻击行为也需注意。安全性要求高的环境，也可在防火墙外部部署IDS。入侵防御技术可以深度感知并检测流经的数据流量，对恶意报文进行丢弃以阻断攻击，对滥用报文进行限流以保护网络带宽资源。入侵防御技术是一种既能发现又能阻止入侵行为的新安全防御技术。通过检测发现网络入侵后，能自动丢弃入侵报文或阻断攻击源，从而从根本上避免攻击行为。IPS使得IDS和防火墙走向统一。入侵防御系统(IPS，IntrusionPreventionSystem)能够检测到攻击行为（包括已知和未知攻击），并能够有效地阻断攻击的硬件和软件系统。融合了防火墙和入侵检测技术。是对防病毒软件和防火墙的补充。入侵防御的基本概念入侵防御的基本概念入侵防御系统的功能：在线检测网络和主机；根据预定的安全策略，对数据包进行深度检测；发现攻击后能实施有效的阻断，防止攻击到达目标网络或主机。（1）入侵防护。（2）应用保护。（3）网络架构保护。（4）性能保护。（5）Web安全。（6）流量控制。（7）上网监管。入侵防御系统的部署入侵防御系统（IPS）主要用于一些重要服务器的入侵防护，比如OA系统、ERP系统数据库、FTP服务器、Web服务器等。部署IPS时应该首先保护重要设备，而不是保护所有的设备。当然，如果是小型网络，可以将IPS部署在网络前端保护所有服务器和办公终端。在办公网络中，以下区域需要部署IPS：（1）网络边界，比如办公网络与外部网络连接的位置。（2）重要的集群服务器前端。（3）办公网内部接入层。（4）其他区域可根据情况酌情部署。入侵防御的基本概念入侵防御系统的部署（1）IPS串联部署：实时监控数据，阻断各种隐蔽攻击。内网管理，对上网行为进行管理。串联的IPS死机时，可使用硬件Bypass开启网络全通功能（2）IPS并联部署： 系统稳定性高，部分设备宕机不会中断网络。监控网络传输的数据，可以分析数据、安全审计。入侵防御的基本概念入侵防御技术的优势（1）实时阻断攻击。（2）深层防护。（3）全方位防护。（4）内外兼防。（5）不断升级，精准防护。入侵防御的基本概念入侵检测系统（IDS）可以对网络、系统的运行状况进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。入侵防御系统（IPS）作为一种新型网络安全防护技术，它在入侵检测的基础上添加了防御功能，一旦发现网络攻击，可以根据该攻击的威胁级别立即采取抵御措施。IPS能够实现积极、主动地阻止入侵攻击行为对网络或系统造成危害，同时结合漏洞扫描、防火墙、IDS等构成整体、深度的网络安全防护体系。入侵检测与入侵防御的区别IDS与IPS的区别（1）功能不同（2）实时性要求不同（3）部署方式不同：旁路VS串联（4）部署位置不同：中心点VS网络边界（5）检测攻击的方法不同。IPS可以实施深层防御安全策略，可在应用层检测出攻击并予以阻断，这是防火墙和入侵检测产品做不到的。（6）价值不同：监管VS实施（7）响应方式不同：报警VS阻断入侵检测与入侵防御的区别IPSVS防火墙（1）IPS可以发现从内、外部的攻击；防火墙只能发现流经它的恶意流量。（2）防火墙是被动防御，旨在保护，属于静态安全防御技术；而IDS/IPS则是主动出击寻找潜在的攻击者，发现入侵行为，是动态安全技术的核心技术之一。（3）一般来说，防火墙采用白名单机制；而IPS采用黑名单机制。（4）防火墙是粒度比较粗的访问控制产品，功能多。而IPS的功能则比较单一。如果把防火墙比作大门警卫，IDS/IPS就是网络中的监控系统，不间断地获取网络数据并进行分析，发现问题及时采取响应措施。IDS/IPS是网络的第二道安全闸门，能够积极主动地阻止入侵攻击行为对网络或系统造成危害，是防火墙的必要补充，同时结合漏洞扫描、防火墙等构成了整体、深度的网络安全防护体系。入侵检测与入侵防御的区别入侵检测与防御技术发展趋势主要包括五个方向。1）分布式入侵检测2）更广泛的信息源3）更快速的处理能力4）可扩展性问题5）综合的安全态势感知入侵检测与防御的发展趋势入侵检测系统的基本模型2.2入侵检测系统的基本模型入侵检测系统的发展阶段：集中式阶段层次式阶段集成式阶段入侵检测系统每阶段代表性的基本模型：通用入侵检测模型（Denning模型）：是一个基于主机的入侵检测模型。层次式入侵检测模型（IDM）管理式入侵检测模型（SNMP-IDSM）通用入侵检测模型检测原理：Denning入侵检测模型认为，非法用户的操作与合法用户的操作有很多不同点，但异常行为并不一定是入侵的结果，为此需要建立活动规则集并让其进行学习以分辨异常行为。系统在对按照一定的规则学习用户行为模型后，将当前发生的事件和模型进行比较，如果不匹配则认为异常。模型组成部分：主体：如进程、服务连接等对象：系统上的资源审计记录活动简档异常记录活动规则层次化入侵检测模型（IDM）层次化入侵检测系统基于异常检测和误用检测，将入侵检测动态地分为攻击检测和入侵检测。（1）攻击检测是指在入侵检测系统中已经有对此种入侵的描述，利用误用检测可将其检测出来，比较简单、效率较高、误用率较低。（2）入侵检测是指在入侵检测系统中没有对此种入侵的描述，只能用异常检测确定其是否为入侵行为，主要针对疑难的、未知的情况。该模型给出了推断网络主机受到攻击时数据的抽象过程。通过把收集到的分散数据进行加工抽象和关联操作，IDM构造了一台虚拟的机器环境，这台机器由所有相连的主机和网络组成。将分布式系统看做一台虚拟机器简化了对跨域单机的入侵行为识别。层次化入侵检测模型结构层次化模型将IDS分为六个部分，由低到高分别是数据层、事件层、主体层、上下文层、威胁曾和安全状态层。（1）数据层：包括主机操作系统的审计记录、局域网监视器结果和第三方审计软件包提供的数据。（2）事件层：用事件描述第一层客体内容所表示的含义和固有的特征性质，通过动作和领域说明。（3）主体层：主体是唯一标识号，用来鉴别在网络中跨越多台主机使用的用户。（4）上下文层：说明事件发生时所处的环境和产生的背景，分为时间型和空间型。（5）威胁层：分析事件对网络和主机构成的威胁。（6）安全状态层：用数字值（1-100）表示网络的安全状态。数字越大，安全性越低。管理式入侵检测模型基于SNMP的IDS模型（SNMP-IDSM）管理式入侵检测模型以SNMP为公共语言来实现IDS系统之间的消息交换和协同检测，明确原始事件和抽象事件之间关系。管理式入侵检测系统管理式入侵检测系统采用五元组形式<WHRER,WHEN,WHO,WHAT,HOW>来描述攻击事件。（1）WHRER：描述产生攻击的位置，包括目标所在地和事件发生地点。（2）WHEN：事件的时间戳，说明事件的起始时间、终止时间、信息频度或发生的次数。（3）WHO：表明IDS观察到的事件，记录哪个用户或进程触发事件。（4）WHAT：记录详细信息，例如协议类型、说明数据和包的内容。（5）HOW：用来连接原始事件和抽象事件。原始事件和抽象事件用四元组

<WHRER,WHEN,WHO,WHAT>来描述入侵检测系统的分类2.3按数据源分类按数据来源分：（1）基于主机（Host-Based）的入侵检测系统其检测的目标系统主要是主机系统和本地用户。可监测系统、事件和操作系统下的安全记录以及系统记录。当有文件发生变化时，入侵检测系统将新的记录条目与攻击标记相比较，看它们是否匹配。如果匹配，系统就会向管理员报警，以采取措施。（2）基于网络（Network-Based）的入侵检测系统不依赖于被保护的主机操作系统，实时监视并分析通过网络的所有通信业务。（3）基于混合数据源的入侵检测系统综合了基于网络和基于主机两种特点的混合型入侵检测系统。以多种数据源为检测目标，来提高IDS的性能。可配置成分布式模式，通常在需要监视的服务器和网络路径上安装监视模块，分别向管理服务器报告及上传证据，提供跨平台的入侵监视解决方案。基于主机的入侵检测系统功能：可监测系统、事件和操作系统下的安全记录以及系统记录。检测的原理：每个被保护的主机系统上都运行一个客户端程序，用于实时检测系统中的信息通信，若根据规则审计出有入侵的数据，立即由检测系统的主机进行分析，如果是入侵行为，及时进行响应。关键点：分析数据的准确性和效率适用于检测利用操作系统和应用程序运行特征的攻击手段，如利用后门进行的攻击等。基于主机的入侵检测系统审计数据的获取获取方式：（1）直接监测——直接监测从数据产生或从属的对象直接获得数据。例如：为了直接监测主机CPU的负荷，必须直接从主机相应内核的结构获得数据；要监测inetd进程提供的网络访问服务，必须直接从inetd进程获得关于那些访问的数据；（2）间接监测——从反映被监测对象行为的某个源获得数据。例如：间接监测主机CPU的负荷可以通过读取一个记录CPU负荷的日志文件获得；间接监测访问网络服务可以通过读取inetd进程产生的日志文件或辅助程序获得间接监测还可以通过查看发往主机的特定端口的网络数据包。基于主机的入侵检测系统审计数据的获取入侵检测时，直接监测要好于间接监测，原因如下：（1）间接数据源（如审计跟踪）的数据可能在IDS使用这些数据之前被篡改。（2）一些事件可能没有被间接数据源记录。（3）使用间接监测，数据是通过某些机制产生的，这些机制并不知道哪些数据是IDS真正需要的。间接监测数据量大，需处理后才能用于检测。（4）直接监测比间接监测时延更短，确保IDS能更及时地做出反应。基于主机的入侵检测系统审计数据的获取Linux与UNIX系统中可用于入侵检测的日志文件和审计信息：Acct或pacct：记录每个用户使用的命令记录。Aculog：保存着用户拨出去的Modems记录。Loginlog：记录一些不正常的Login记录。Wtmp：记录当前登录到系统中的所有用户，此文件随着用户进入和离开系统而不断变化。Syslog：重要的日志文件，使用syslogd守护程序来获得日志信息。Uucp：记录UUCP的信息，可以被本地UUCP活动更新，也可由远程站点发起的动作修改。Access_log：用于运行了NCSAHTTPD的服务器，记录有什么站点连接过该服务器。history日志：保存了用户最近输入命令的记录。基于主机的入侵检测系统审计数据的获取Linux与UNIX系统中可用于入侵检测的日志文件和审计信息：Lastlog：记录了用户最近的Login记录和每个用户的最初目的地，有时是最后不成功的Login的记录。Messages：记录输出到系统控制台的记录，另外的信息由syslog来生成。Sulog：记录使用su命令的记录。Utmp：记录用户登录和退出事件。ftp日志：执行带-l选项的ftpd能够获得记录功能。httpd日志：HTTPD服务器在日志中记录每一个Web访问记录。secure：记录一些使用远程登录及本地登录的事件。基于主机的入侵检测系统审计数据的获取Windows基本审计信息：注册登录事件目录服务访问审计账户管理对象访问审计策略变更特权使用进程跟踪系统事件等基于主机的入侵检测系统数据预处理是IDS的辅助功能模块，为核心检测模块服务，它必须是一个快速的数据处理过程。常用的预处理方法基于粗糙集理论的约简法基于粗糙集理论的属性离散化属性的约简基于主机的入侵检测技术基于统计模型的入侵检测技术基于专家系统的入侵检测技术基于状态转移分析的入侵检测技术基于完整性检查的入侵检测技术基于智能体的入侵检测技术基于网络的入侵检测系统基于网络的IDS分析的数据主要包括网络上的数据包，担负着保护整个网段的任务。基于网络的IDS由遍及网络的传感器（sensor）组成，传感器实际上是一台将以太网卡置于混杂模式的计算机，用于嗅探网络上的数据包。使用原始数据包作为数据源，利用运行在混杂模式下的网络适配器实时监视分析通过网络的通信业务。不依赖于操作系统根据相应的网络协议和工作原理，捕获和过滤网络数据包，并进行入侵特征识别和协议分析，从而检测出网络中存在的入侵行为。协议的数据包结构数据包的捕获机制特征识别和协议分析基于混合数据源的入侵检测系统基于网络和基于主机的入侵检测系统都有不足之处，会造成防御体系的不全面。综合了基于网络和基于主机两种特点的混合型入侵检测系统既可以发现网络中的攻击信息，也可以从系统日志中发现异常情况。以多种数据源为检测目标，来提高IDS的性能。可配置成分布式模式，通常在需要监视的服务器和网络路径上安装监视模块，分别向管理服务器报告及上传证据，提供跨平台的入侵监视解决方案。按分析方法分类按分析方法分类可分为异常入侵检测系统和误用入侵检测系统（1）异常入侵检测系统利用被监控系统正常行为的信息作为检测系统中入侵行为和异常活动的依据。建立系统或用户的正常行为模式库，不属于这个库的行为将被视为异常行为。将异常活动与异常阈值和特征比较，判断入侵行为。异常阈值和特征的选择是关键。但是，入侵活动的特征并不总是与异常活动的特征相符合，而是存在4种可能性：（1）是入侵行为，但不是异常行为。（2）不是入侵行为，但是表现为异常行为。（3）不是入侵行为，也不是异常行为。（4）是入侵行为，也表现为异常行为。常用的方法有基于数据挖掘的异常检测方法、基于机器学习的异常检测方法、基于特征不匹配的异常检测方法。按分析方法分类按分析方法分类可分为异常入侵检测系统和误用入侵检测系统（2）误用入侵检测系统依赖于入侵特征的模式库，根据已知入侵攻击的信息来检测系统中的入侵和攻击。误用入侵检测能直接检测出入侵特征模式库中已涵盖的入侵行为或不可接受的行为。而异常入侵检测则是发现同正常行为相违背的行为。误用入侵检测的主要对象是那些能够被精确地按某种方式编码的攻击。通过捕获攻击及重新整理，可确认入侵活动是基于同一弱点进行攻击的入侵方法的变种。误用入侵检测系统的主要缺点是它只能检测已知的攻击行为，不能检测未知的入侵行为。常用的方法有基于条件概率的误用检测、基于专家系统的误用检测、基于神经网络的误用检测。按检测方式分类按检测方式分为实时检测系统和非实时检测系统（1）实时检测系统也称为在线检测系统，它通过实时监测并分析网络流量、主机审计记录及各种日志信息来发现攻击。它包含对实时网络数据包的分析、实时主机审计分析。其工作过程是实时入侵检测在网络连接过程中进行，系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断，一旦发现入侵迹象立即断开入侵者与主机的连接，并收集证据和实施数据恢复。这个检测过程是不断循环进行的。在高速网络中，检测率难以令人满意，但随着计算机硬件速度的提高，对入侵攻击进行实时检测和响应成为可能。这种实时性是在一定的条件下，一定的系统规模中，具有的相对实时性。按检测方式分类按检测方式分为实时检测系统和非实时检测系统（2）非实时检测系统也称为离线检测系统，是非实时工作的入侵检测系统。它在入侵事件发生后分析审计事件，从中检查入侵活动。事后入侵检测由网络管理人员进行，他们具有网络安全的专业知识，根据计算机系统对用户操作所做的历史审计记录判断是否存在入侵行为。如果有，就断开连接，并记录入侵证据和实施数据恢复。事后入侵检测是管理员定期或不定期进行的，不具有实时性。非实时的离线批处理方式虽然不能及时发现入侵攻击，但它可以运用复杂的分析方法发现某些实时方式不能发现的入侵攻击，可以一次分析大量事件，系统的成本更低。按检测结果分类按检测结果分为二分类入侵检测系统和多分类入侵检测系统（1）二分类入侵检测系统只提供是否发生入侵攻击的结论性判断，不能提供更多可读的、有意义的信息，如具体的入侵行为。只输出有入侵发生，而不报告具体的入侵类型。（2）多分类入侵检测系统能够分辨出当前系统所遭受的入侵攻击的具体类型，输出的不仅仅是有无入侵发生，还会报告具体的入侵类型，以便于安全员快速采取合适的应对措施。按响应方式分类按响应方式分为主动的入侵检测系统和被动的入侵检测系统。（1）主动的入侵检测系统主动的入侵检测系统在检测出入侵行为后，可自动地对目标系统中的漏洞采取修补、强制可疑用户（可疑的入侵者）退出系统以及关闭相关服务等对策和响应措施。（2）被动的入侵检测系统被动的入侵检测系统在检测出对系统的入侵攻击后产生报警信息通知系统安全管理员，之后的处理工作则由系统管理员来完成。按分布方式分为集中式入侵检测系统和分布式入侵检测系统。（1）集中式入侵检测系统系统的各个模块包括数据的收集与分析以及响应都集中在一台主机上运行，把分析结果输出或通知管理员。适用于网络环境比较简单的情况。（2）分布式入侵检测系统系统由多个模块组成，各模块分布在网络中不同的设备上，完成数据的收集、数据分析、控制输出分析结果等功能。一般来说分布性主要体现在数据收集模块上，如果网络环境比较复杂、数据量比较大，那么数据分析模块也会分布，一般是按照层次性的原则进行组织的。按分布方式分类入侵检测系统的体系架构2.4入侵检测系统的体系架构CIDF的体系结构文档将一个入侵检测系统分为四个相对独立的组件:（1）事件产生器：负责原始数据采集，从系统的不同环节收集信息，并将收集到的原始数据转换成事件，向系统的其他部分提供此事件。（2）事件分析器：接收事件信息，并对其进行分析，判断是否为入侵行为或异常现象，之后将判断的结果转变为告警信息。分析方法有模式匹配、统计分析、完整性分析3种。（3）事件数据库：存放中间数据和最终数据的地方。（4）响应单元：根据告警信息做出反应。入侵检测系统的工作模式无论是什么类型的入侵检测系统，其工作模式都可以总结为以下4个步骤：（1）从系统的不同环节收集信息。（2）分析该信息，试图寻找入侵活动的特征。（3）自动对检测到的行为进行响应。（4）记录并且报告检测过程和结果。入侵检测系统的功能结构一个典型的入侵检测系统从功能上分为感应器、分析器、管理器3个部分感应器：收集信息分析器：分析信息管理器：展示分析结果入侵检测与防御的流程2.5入侵检测与防御的流程入侵检测与防御技术的核心问题就是如何获取描述行为特征的数据，如何利用特征数据精确地判断行为的性质以及如何按照预定策略实施响应。入侵检测与防御的流程可以分为信息收集、信息分析和告警与响应3个阶段。（1）信息收集阶段从入侵检测系统的信息源中收集信息，包括系统、网络、数据以及用户活动的状态和行为等。信息的可靠性和准确性直接影响检测结果。（2）信息分析阶段分析从信息源中收集到的有关系统、网络、数据及用户活动的状态和行为等信息，找到表示入侵行为的异常信息。入侵检测的分析方法包括模式匹配、统计分析、完整性分析等。（3）告警与响应阶段：根据检测到的攻击企图或事件的类型或性质，选择通知管理员，或者采取相应的响应措施阻止入侵行为的继续。信息收集阶段信息收集，即从入侵检测系统的信息源中收集信息，这些信息是能反映受保护系统运行状态的原始数据，包括系统、网络、数据以及用户活动的状态和行为等，以便为后续的入侵分析提供安全审计数据。在进行信息收集时，需要在计算机网络系统中的不同关键点（不同网段、不同主机）收集。信息收集的范围越广，入侵检测系统的检测范围越大。从一个信息源收集到的信息可能看不出疑点，但从几个信息源收集到的信息的不一致性却可能是可疑行为或入侵的最好标志。信息收集阶段信息收集获取的原始数据可能非常庞大，并存在杂乱性、重复性和不完整性等问题。（1）杂乱性是指各个代理服务器的审计机制的配置并不完全相同，所产生的审计日志信息存在一些差异，所以有些数据就显得杂乱无章。（2）重复性是指对于同一个客观事物，系统中存在多个物理描述。（3）不完整性是指由于实际系统存在的缺陷以及一些人为因素，造成数据记录中出现数据属性的值丢失或不确定的情况。数据源的可靠性数据质量、数据数量和数据预处理的效率都会直接影响IDS的检测性能，所以信息收集是整个IDS的基础工作。在获得原始数据之后，还需要通过数据集成、数据清洗、数据简化等几个方面对原始数据进行预处理。信息收集阶段典型的数据获取系统：AAFID，采用主机分布式检测框架数据获取系统的结构图信息收集阶段数据的预处理入侵检测系统分析数据的来源与数据结构的异构性，实际系统所提供数据的不完全相关性、冗余性、概念上的模糊性以及海量审计数据中可能存在大量的无意义信息等问题，使得系统提供的原始信息很难直接被检测系统使用，而且还可能造成检测结果的偏差，降低系统的检测性能。在被检测模块使用之前，如何对不理想的原始数据进行有效的归纳、进行格式统一、转换和处理，是网络入侵检测系统需要研究的关键问题之一。信息收集阶段通常数据预处理应包括的功能：数据集成、数据清理、数据变换、数据简化、数据融合。信息收集阶段入侵检测系统的信息源可以包括以下方面：（1）基于主机数据源（2）基于网络数据源（3）应用程序日志文件（4）其他入侵检测系统的报警信息（5）其它网络设备和安全产品的信息基于主机的数据源审计数据是收集一个给定机器用户活动信息的唯一方法。系统的审计数据很可能被修改，所以要求满足实时性条件：检测者必须在攻击者接管并暗中破坏系统审计数据或入侵检测系统之前完成对审计数据的分析、采取报警等相应的措施。基于主机的数据源主要包括：系统运行状态信息：可利用系统命令获得，但因无法以结构化的方式收集或存储信息，很难满足IDS连续收集数据的要求。系统记账信息：是通用性的信息源，有记录格式一致、压缩以节省空间、开销小、易集成等优点，但也有空间达到90%自动停止、缺乏精确的时间戳、缺乏精确的命令识别（只记录命令的前8个字符）、缺乏活动记录（只记录运行终止的信息）、获取信息的时间太迟等缺点，导致其不能可靠地作为IDS的数据源，一般只作为审计数据的一个补充。基于主机数据源基于主机的数据源主要包括：系统日志：易用但不安全，只有少数IDS常用。C2级安全审计信息：记录了所有潜在的安全相关事件的信息是唯一能对系统活动信息进行可靠收集的机制，是大多数IDS的主要信息源。优点：可对用户进行验证、可通过配置审计系统实现审计事件的分类、可根据用户/类别/审计事件/系统调用的成功和失败获取详细的参数化信息。缺点：详细监控时耗费大量系统资源、通过填充磁盘空间可造成DOS攻击、异构环境获得的审计数据量大且复杂。基于网络的数据源商业入侵检测产品中，最常见的是基于网络的数据源。基于网络的入侵检测方法：需要从网络上传输的网络通信流中采集信息。基于网络的数据源的优势：通过网络监控获得信息的性能代价低，不影响网络上运行的其他系统的性能。网络监控器对用户是透明的，攻击者难以发现。网络监控器可以发现一些不易被发现的攻击的证据，如基于非法格式包和各种拒绝服务攻击的网络攻击等。基于网络的数据源两种基于网络的数据源：SNMP信息网络通信包将网络通信包作为入侵检测系统的分析数据源，可以解决以下安全相关的问题。（1）检测只能通过分析网络业务才能检测出的网络攻击，如拒绝服务攻击。（2）不存在HIDS在网络环境下遇到的审计记录格式的异构性问题，因为IT网络的协议基本采用标准的TCP/IP。（3）由于使用专门的设备进行信息收集和分析，不会影响网络的性能。（4）某些工具可通过签名分析报文的头信息来检测针对主机的攻击。这种方法也存在一些典型的弱点:（1）报文信息和发出命令的用户之间没有可靠的联系，因此很难确定入侵者。（2）若使用了加密技术，这些检测工具将会失去大量有用的信息。应用程序日志文件系统应用服务器化，使得应用程序日志文件更加重要。优势精确性（Accuracy）:直接从应用日志中提取信息，可以保证入侵检测系统获取安全信息的准确性。完整性（Completeness）:应用程序的日志文件包含所有的相关信息，还能提供审计记录或网络包中没有的内部数据信息。性能（Performance）:通过应用程序选择与安全相关的信息，使得系统的信息收集机制的开销远小于安全审计记录的情况。缺点只要系统能正常写应用程序日志才能检测出攻击行为无法检测不利用应用程序代码的攻击行为其他入侵检测系统的报警信息其他IDS的报警信息也是重要的数据来源IDS从针对主机发展为针对网络、分布式系统基于网络、分布式环境的检测系统采用分层结构以覆盖较大的范围。局部入侵检测系统（如传统的基于主机的入侵检测系统）进行局部的检测，然后把局部检测结果汇报给上层的检测系统，各局部入侵检测系统也可参考其他局部入侵检测系统的结果，以弥补不同检测机制的入侵检测系统的不足。其它设备网络设备大多具有完善的关于设备的性能、使用统计资料的日志信息，如交换机、路由器、网络管理系统等，帮助判断已探测出的问题是与安全相关的还是与系统其它方面原因相关。安全产品大多能够产出自己的与安全相关的活动日志，如防火墙、安全扫描系统、访问控制系统等，日志包含信息。信息分析阶段信息分析是入侵检测行为过程中的核心环节，没有信息分析就没有入侵检测。入侵检测分析引擎也称为入侵检测模型，是IDS的核心模块，负责对信息收集阶段提交的数据进行分析。从入侵检测的角度来说，信息分析是指针对用户和系统活动数据进行有效的组织、整理并提取特征，以发现网络或系统中违反安全策略的行为和被攻击的迹象。信息分析可以实时进行，也可以事后分析。在很多情况下，事后的进一步分析是为了寻找行为的负责人。信息分析阶段信息分析的主要目的是提高信息系统的安全性。除了检测入侵行为，还要达到以下目标：（1）威慑攻击者：目标系统使用IDS进行入侵分析对入侵者具有很大的威慑力，因为其攻击行为可能会被发现或被追踪。（2）安全规划和管理：入侵分析可能会发现在系统安全规划和管理中存在的漏洞，安全管理员可以根据分析结果对系统进行重新配置，避免被攻击者用来窃取信息或破坏系统。（3）获取入侵证据：入侵分析可以提供有关入侵行为详细、可信的证据，用于追究入侵者的责任。信息分析阶段入侵分析应考虑的因素（1）需求：入侵检测系统支持可说明性和实时检测和响应两个需求可说明性指连接一个活动与人或负责它的实体的能力，要求一致、可靠地识别和鉴别系统中的每个用户。实时检测和响应包括快速识别与攻击相关的事件链，阻断攻击或隐蔽系统，以避免攻击者的影响。（2）入侵分析的子目标：包括保留系统执行的情况、识别影响性能的问题、归档和保护时间日志的完整性等。（3）目标划分：目标和要求应按照优先顺序区分开，这决定了子系统的结构。（4）平衡：在系统的需求与目标有冲突时进行适当的平衡。信息分析阶段分析是入侵检测的核心功能，可以很简单（如根据日志建立决策表），也可以很复杂（如集成数百万个非参数的统计量）。入侵分析模型包含了能在系统事件日志中找到入侵证据的所有方法，它把入侵分析过程分为3个阶段：构建分析器：即构建分析引擎，负责执行预处理、分类和后处理的核心功能。分析数据：分析现场实际数据，识别入侵和其他重要活动。反馈和更新：如更新攻击特征数据库前两个阶段都包含三个功能，即数据处理、数据分类（数据可分为入侵指示、非入侵指示或不确定）和后处理。信息分析阶段1.构建分析器（1）收集事件信息：收集一个系统或实验环境的事件信息。（2）预处理信息：将收集的事件信息进行转换，以备分析引擎使用。误用检测中包括转换表格中的事件信息，异常检测中将事件数据转换成数据表或规范的表格。（3）建立行为分析引擎：按设计原则建立一个数据区分器，此区分器能把入侵指示数据和非入侵指示数据分开。误用检测在规则或其他模式描绘的行为上建立数据区分引擎，异常检测由用户过去行为的统计特征轮廓建立。（4）将预处理过的事件数据输入分析引擎中：误用检测将收集到的有意义的攻击数据输入到分析引擎，异常检测通过运行异常检测器，输入收集到的数据，基于这些数据计算用户轮廓。（5）保存已输入数据模型：将输入数据模型存储到预定的位置信息分析阶段2.分析数据在对实际数据分析阶段，分析器需要分析现场实际数据，识别入侵和其他重要活动。（1）输入事件记录：收集可靠的信息源产生的事件记录。（2）事件预处理：误用检测中事件数据通常都转化成对应于攻击信号的表格，异常检测中事件数据通常被精简成一个轮廓向量。（3）比较事件记录和知识库：对格式化的事件记录和知识库的内容进行比较，进行判定处理。（4）产生响应：若事件记录是入侵或其它重要行为的返回一个响应。响应可以是警报、日志或其他指定的行为。信息分析阶段3.反馈和更新（1）反馈和更新是一个非常重要的过程。这个阶段的功能：根据每天出现的新攻击方式更新攻击信息的特征数据库。（2）反馈时间间隔：大多数基于误用检测分析方案都有一些关于最大时间间隔的主张，以便在这段时间内匹配一次攻击事件。异常检测系统中，依靠执行异常检测的类型定时更新历史统计特征轮廓，将每个用户的摘要资料加入知识库中，并且删除最老的资料。信息分析阶段入侵检测的分析方法：（1）误用检测（2）异常检测（3）基于状态的协议分析技术（4）其他检测方法信息分析方法1.误用检测（1）误用入侵检测原理：根据已知的入侵模式来检测入侵，如果入侵者的攻击方式与检测系统中的模式库匹配，则认为入侵发生。依赖于模式库（2）误用入侵检测的局限性：仅适用于已知使用模式的可靠检测，只能检测到已知的入侵方式。信息分析方法误用检测的主要方法（1）模式匹配方法是最基本的误用入侵检测方法，该方法将已知的入侵特征转换成模式，存放于模式数据库中模式匹配模型将发送的事件与入侵模式库中的入侵模式进行匹配，如果匹配成功，则认为有入侵行为发生。（2）专家系统方法是最传统、最通用的误用入侵检测方法。通过利用专家系统内大量丰富的专家水平的经验和知识（if-then规则），分析发生事件是否是入侵行为。缺点：不适于处理大批量数据；不能对连续有序的数据进行处理；不能处理不确定性（3）状态转换方法使用系统状态和状态转换表达式来描述和检测已知入侵。主要方法有状态转换分析和有色Petri网误用检测的主要方法状态转换分析使用高级状态转换图表分析和检测已知的入侵攻击方式入侵由系统初始状态到入侵状态的一系列动作组成通过用户动作实现系统状态的转换入侵可通过系统状态的变化进行检测误用检测的主要方法有色Petri网（ColouredPetriNets，简称CP-Nets或者CPNs）CP-Nets是描述事件与条件关系的网络，是一种用于建模和验证并发和分布式系统以及其他系统的语言。任何系统都可抽象为状态、活动（或事件）及其之间关系的三元组。Petri网结构是一个三元组N=(P,T,F)，其中P为位置，表示系统状态；T为迁移，表示资源的消耗、使用及使系统产生变化的活动；F为流关系，表示位置和迁移之间的依赖关系。可用CP-Net的变种表示和检测入侵模式：一个入侵为一个CP-Net，通过令牌颜色来模拟事件上下文，通过从起始状态到结束状态逐步移动令牌来表示一个入侵，当模式匹配时，指定的动作被执行。入侵可通过模式匹配构成攻击的特征进行检测每个入侵信号表示为代表事件和其上下文关系的一种模式误用检测的主要方法有色Petri网（ColouredPetriNets，简称CP-Nets或者CPNs）TCP连接的CP-Net信息分析方法2.异常检测异常检测的前提假设：用户表现为可预测的、一致的系统使用模式。异常检测需要建立正常系统或用户行为特征轮廓，将实际系统或用户行为和这些轮廓进行比较，来检测入侵行为。异常检测模型异常检测异常判断结果（1）入侵性而非异常：活动具有入侵性却因为不是异常而导致不能检测，IDS不报告入侵，发生漏检现象。（2）非入侵性而却异常：活动不具有入侵性，但因为它是异常的，IDS报告入侵，发生误报现象。（3）非入侵也非异常：活动不具有入侵性，因此IDS没有将活动报告为入侵，这属于正确判断。（4）入侵且异常：活动具有入侵性，且活动是异常的，I因此DS将其报告为入侵。异常检测异常检测的方法：Denning的原始模型量化分析统计度量非统计度量基于规则的方法神经网络Denning的原始模型IDES模型主张在一个系统中包括4个统计模型，每个模型适合于一个特定类型的系统度量。（1）可操作模型：将度量和阈值比较，在度量超过阈值时触发异常。（2）平均和标准偏差模型：假定所有的分析器知道系统行为度量是平均和标准偏差，将观察落在信任间隔之外的行为定义为异常。（3）多变量模型：多变量模型是对平均和标准偏差模型的一个扩展，是基于两个或多个度量来执行的。（4）Markov处理模型：检测器把不同类型的审计事件作为一个状态变量，并且使用一个状态转换矩阵来描述在不同状态间的转换频率。量化分析量化分析采用计算形式进行分析，检测规则和属性以数值形式表述。常见的量化分析形势如下：（1）阈值检测：根据属性计数描述用户和系统行为，这些计数是有许可级别的。（2）启发式阈值检测：在简单阈值检测的基础上进一步分析观察。（3）基于目标的集成检测：使用消息函数计算可疑客体的加密校验和，将结果保存，系统定期重新计算校验和，并与存储的参考值比较。（4）量化分析和数据精简：使用量化分析从庞大的时间信息中删除过剩或冗余信息。统计度量（1）IDES/NIDES：应用统计分析技术为每个用户和系统建立和维护历史统计特征轮廓。（2）Haystack：通过分析用户会话与已建立的入侵类型的相似度和使用互补统计方法检测用户会话活动与正常用户会话特征轮廓之间的偏差，统计异常检测。（3）统计分析：用户行为的变化必须在相应的度量上产生一个经常的、显著地变化以便统计分析检测。非统计度量（1）检测原理：系统使用非统计度量可以容纳可预测性比较低的行为，并且可以引入在参数分析中无法引入的系统属性。（2）非统计度量的优点：可根据实验结果对相似操作系统操作分组。可以精简事件数据。基于规则的方法（1）WisdomandSenseW&S能在多种系统平台上运行并能在操作系统和应用级描述活动，其使用两种移植规则库的方法：手工输入它们（反映一个策略陈述）和从历史审计记录中产生它们。（2）TIMTIM使用一个引导方法动态产生定义入侵的规则，与其他异常监测系统不同，TIM在时间顺序中查找模式，而不是在单个事件中查找模式。神经网络（1）神经网络的构成：神经网络由许多简单处理元素单元组成，这些单元通过使用加权的连接相互作用，神经网络使用可适应学习技术来描述异常行为。（2）神经网络的处理涉及两个阶段：将代表用户行为的历史或其他样本数据集移入网络。网络接受事件数据并与历史行为参数比较，判断之间的相似处和不同处。信息分析方法3.协议分析（1）模式匹配技术特征检测的传统方法是模式匹配技术，其基本原理是将发生的事件模式与特征库中的模式匹配分析。工作过程

从网络数据包的包头开始和攻击特征比较；如果比较结果相同，则检测到一个可能的攻击；如果比较结果不同，从网络数据包中下一个位置重新开始比较；直到检测到攻击或网络数据包中的所有字节匹配完毕，一个攻击特征匹配结束。对于每一个攻击特征，重复1到4步的操作。直到每一个攻击特征匹配完毕，对给定数据包的匹配完毕。缺点：计算量大，只能检测特定类型的攻击，对攻击特征的微小变形都会使检测失败，攻击特征库必须足够庞大。协议分析（2）协议分析技术网络通信协议是一个高度格式化的、具有明确含义和取值的数据流，把协议分析和模式匹配方法结合起来，可以获得更好的效率、更精确的结果。协议分析技术是新一代IDS/IPS探测攻击手法的主要技术，它利用网络协议高度的规则性可以精确定位检测域，分析攻击特征，有针对性地使用详细具体的检测手段，提高检测的全面性、准确性和效率。协议分析需要根据其所属协议的类型，将数据包进行解码后再进行分析。相对于模式匹配技术，它更准确、分析速度更快。协议分析技术根据协议精确定位检测域，分析攻击特征，有针对性地使用详细具体的检测手段，提高检测的全面性、准确性和效率。协议分析的功能是辨别数据包的协议类型，以便使用相应的数据分析程序来检测数据包。可把所有协议看成一棵协议树，一个特定的协议是该树结构中的一个结点，可用一棵二叉树来表示。一个网络数据包的分析就是一条从根到某个叶子的路径。在程序中动态地维护和配置此树结构即可实现非常灵活的协议分析功能。协议分析有效利用了网络协议的层次性和相关协议的知识快速地判断攻击特征是否存在。数据报文的分层封装TCP/IP包格式以太网帧格式IP数据报头格式TCP/IP包格式总结：Source和Destination即IP源目地址字段，是IP协议最核心的字段Id+Flags+FO三个字段可以实现IP数据分片和重组TotalLength和HeaderLength标记IP头部和上层数据的边界TTL生存时间字段可以实现网络防环和生存计时DSCP服务区分符可以实现流量控制Checksum字段可以数据包完整性校验Protocol字段标记上层应用ARP/RARP报文格式TCP/IP包格式Hardwaretype硬件类型，标识链路层协议Protocoltype协议类型，标识网络层协议Hardwaresize硬件地址大小，标识MAC地址长度Protocolsize协议地址大小，标识IP地址长度Opcode操作代码，标识ARP数据包类型SenderMACaddress发送者MACSenderIPaddress发送者IPTargetMACaddress目标MAC，此处全0表示在请求TargetIPaddress目标IPICMP回应请求与应答报文格式TCP/IP包格式TCP报文格式TCP/IP包格式TCP报文格式TCP/IP包格式UDP报文格式TCP/IP包格式协议分析利用协议分析技术可以解决以下问题：（1）分析数据包中的命令字符串。例如，黑客经常使用的HTTP攻击，因为HTTP允许用十六进制表示URL。（2）进行IP碎片重组，防止IP碎片攻击。不同类型的网络，链路层数据都有一个上限。如果IP层数据包的长度超过这个上限，就要分片处理，各自路由到达目标主机后再进行重组。因此，黑客可以利用碎片重组算法进行攻击。（3）减低误报率。因为简单模式识别很难限定匹配的开始点和终结点，也就不能准确定位攻击串的位置，当某协议的其他位置出现该字串时，也会被认为是攻击串，这就产生了误报现象。协议分析技术可以针对不同的异常和攻击，灵活定制检测方式，由此可检测大量异常。但对于一些多步骤、分布式的复杂攻击的检测，单凭单一数据包检测或简单重组是无法实现的。所以，可以在协议分析的基础上引入状态转移检测技术。特征（signature）的基本概念IDS中的特征是指用于判别通讯信息种类的样板数据，可分为多种，以下是一些典型情况及识别方法：来自保留IP地址的连接企图：可通过检查IP报头的来源地址识别。带有非法TCP标志组合的数据包：可通过对比TCP报头中的标志集与已知正确和错误标记组合的不同点来识别。含有特殊病毒信息的Email：可通过对比每封Email的主题信息和病态Email的主题信息来识别，或者通过搜索特定名字的附近来识别。查询负载中的DNS缓冲区溢出企图：可通过解析DNS域及检查每个域的长度来识别利用DNS域的缓冲区溢出企图。还有另外一个识别方法是：在负载中搜索“壳代码利用”（exploitshellcode）的序列代码组合。通过对POP3服务器发出上千次同一命令而导致的DoS攻击：通过跟踪记录某个命令连续发出的次数，看看是否超过了预设上限，而发出报警信息。未登录情况下使用文件和目录命令对FTP服务器的文件访问攻击：通过创建具备状态跟踪的特征样板以监视成功登录的FTP对话、发现未经验证却发命令的入侵企图。典型特征--报头值一般情况下，异常报头值的来源有以下几种：许多包含报头值漏洞利用的入侵数据都会故意违反RFC的标准定义。许多包含错误代码的不完善软件也会产生违反RFC定义的报头值数据。并非所有的操作系统和应用程序都能全面拥护RFC定义。随着时间推移，执行新功能的协议可能不被包含于现有RFC中。候选特征只具有SYN和FIN标志集的数据包，这是公认的恶意行为迹象。没有设置ACK标志，但却具有不同确认号码数值的数据包，而正常情况应该是0。来源端口和目标端口都被设置为21的数据包，经常与FTP服务器关联。这“种端口相同的情况一般被称为“反身”（reflexive），除了个别时候如进行一些特别NetBIOS通讯外，正常情况下不应该出现这种现象。“反身”端口本身并不违反TCP标准，但大多数情况下它们并非预期数值。例如在一个正常的FTP对话中，目标端口一般是21，而来源端口通常都高于1023。TCP窗口尺寸为1028，IP标识号码在所有数据包中为39426。根据IPRFC的定义，这2类数值应在数据包间有所不同，因此，如果持续不变，就表明可疑。报头值关键元素IP地址，特别保留地址、非路由地址、广播地址。不应被使用的端口号，特别是众所周知的协议端口号和木马端口号。异常信息包片断。特殊TCP标志组合值。不应该经常出现的ICMP字节或代码。信息分析方法4.其他检测方法（1）免疫系统方法（2）遗传算法（3）基于代理的检测（4）数据挖掘免疫系统方法（1）进行异常检测系统按照两个阶段对入侵检测分析处理，第一阶段建立一个正常行为特征轮廓的知识库，第二阶段将特征轮廓用于监控异常系统行为。（2）比较描述正常行为的不同方法研究监控更复杂的系统时，基于时间的较简单的顺序模型比一些有力的数据模型技术（例如隐马尔可夫模型）的效果更好。遗传算法（1）遗传算法的分析步骤：使用一位串对问题的解决办法进行编码。与进化标准比较，找到一个合适的函数测试群体中的每个个体。（2）遗传算法的优点：准确率高、时间复杂度低。（3）遗传算法的缺点：系统不能检测多个同时攻击。如果几个攻击有相同的事件或组事件，并且攻击者使用这个共性进行多个同时攻击，系统不能找到一个优化的假设向量。系统不能在审计跟踪中精确地定位攻击。基于代理的检测（1）定义：是指在一个主机上执行某种安全监控功能的软件实体。（2）基于代理的入侵检测方法有：入侵检测的自动代理代理需要实现一个分层顺序控制和报告结构，可以是多层分层结构的监控器控制和合并来自多个接收器的信息。EMERLDEMERLD是一个复合入侵检测器，使用特征分析和统计特征轮廓来检测安全问题，支持大规模网络下的自动响应。数据挖掘（1）数据挖掘的目的：是发现能用于描述程序和用户行为的系统特性一致使用模式。（2）数据挖掘的常用方法有：分类：给几个预定义种类赋予一个数据条目。关联分析：识别数据实体中字段间的自相关和互相关。序列模式分析：使序列模式模型化。告警与响应阶段经过信息分析确定系统存在问题之后，就要让管理员知道这些问题的存在或采取行动，这个阶段称为响应期。响应处理模块根据预先设定的策略，记录入侵过程采集入侵证据、追踪入侵源、执行入侵报警、恢复受损系统或以自动或用户设置的方式阻断攻击过程，响应处理模块同时也向信息收集模块、检测分析引擎和模式库提交反馈信息。例如，要求信息收集模块提供更详细的审计数据或采集其他类型的审计数据源；优化检测分析引擎的检测规则；更新模式库中的正常或入侵行为模式等。理想情况下，IDS/IPS的这一部分应该具有丰富的响应功能特性，并且可以根据不同用户的需求自定义响应机制。告警与响应阶段1.IDS对响应的要求：应符合特定的需求环境，符合通用的安全管理或事件处理标准，或者要能够反映本地管理的关注点和策略。商业IDS应该允许不同用户自定义响应机制。3类用户：安全管理员、系统管理员、调查员。响应需求的影响因素：IDS的运行环境（操作系统）：基于网络OR主机、声响告警、可视化告警。所监控的系统的功能：关键业务系统需提供主动响应机制，能终止攻击行为，保证可用性。规则或法令的需求：如军事计算环境、在线股票交易环境等给用户传授专业技术：提供有效的信息和解释说明，指导用户采取适当的行动。告警与响应阶段2.响应的类型（1）主动响应主动响注重在检测到入侵后立即采取行动，主动响应有对入侵者采取反击行动、修正系统环境、收集尽可能多的信息三种形式。（2）被动响应被动响应是指仅向用户报告和记录所检测出的问题，依靠用户去采取下一步行动的响应，有告警和通知、SNMPTrap和插件两种形式。告警与响应阶段主动响应的方法（1）记录事件日志对入侵事件记录在日志里，方便复查和长期分析；在用户的行为被确定为入侵之前，记录附加日志，以便收集信息。最好把日志记录在专门的数据库中，这样可起到长期保存的效果。（2）隔离入侵者的IP地址通过重新配置边缘路由器或防火墙，阻断该IP地址的数据包进入，以免受到更严重的攻击。（3）禁止被攻击对象的特定端口或服务关闭已受攻击的特定端口或服务，可以避免影响其他服务。必要时可以停止已受攻击的主机，以免其他主机受影响。告警与响应阶段主动响应的方法（4）修正系统环境是常用的最佳响应方案，特别是与提供调查支持的响应结合的时候。修正导致入侵发生的漏洞（5）收集额外信息常用于被保护系统非常重要，且系统的拥有者想进行规则矫正时。这种响应常与特殊服务器（蜜罐、诱饵、玻璃鱼缸）配合使用，营造装备着文件系统和其他带有欺骗性的系统属性的服务器迷惑入侵者。蜜罐技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。有商业蜜罐，也有开源蜜罐（如Kippo、HFish、bap、Opencanary、RiotPot、T-Pot等）告警与响应阶段告警与响应阶段主动响应的方法（6）对入侵者采取反击行动最主要的方式是对攻击者实施反击。追踪入侵者的攻击来源，切断入侵者的机器或网络的连接以保护系统。对攻击者实施反击行动可能带来的危险性：黑客通常的做法是：先黑掉一个系统，再以此为跳板去攻击别的系统。黑客可能利用IP地址欺骗使用虚假地址或别人的地址进行攻击。简单的反击可能会引来对方更大的反击。反击会使你自己冒违法犯罪的风险：无辜的对方告你要求赔偿、反击行为本身违反法律法规、受到纪律处分等建议的做法：上报权威部门，并请求它们的帮助。比较温和的做法：中断TCP连接，或与防火墙路由器联动阻塞入侵来源的数据包。还可以联系攻击源的系统管理员，请求协助确认和处理相关问题。告警与响应阶段被动响应的方法（1）告警和通知包括告警显示屏和远程通知两种方法。前者令屏幕告警或窗口告警消息出现在入侵检测系统控制台上，或由用户配置的其他系统上，后者通过拨号寻呼、移动电话、EMAIL等方式向系统管理员和安全工作人员发出告警和警报消息。攻击连续的情况下不建议用EMAIL。（2）利用网络管理协议入侵检测系统设计成与网络管理工具一起使用利用简单网络管理协议（SNMP）的消息或SNMPTrap作为告警选项使用系统网络管理基础设施来传送告警，并可在网络管理控制台看到告警和警报信息。告警与响应阶段3.常见的告警与响应方式自动终止攻击终止用户连接禁止用户账号重新配置防火墙，阻塞攻击的源地址向管理控制台发出警告向网管平台发出SNMPTrap记录事件日志向管理员发出电子邮件执行用户自定义程序告警与响应阶段4.联动响应机制（1）联动响应机制的定义：入侵检测系统与其他安全技术联动响应，可联动的安全技术包括防火墙、安全扫描器、防病毒系统、安全加密系统等。（2）联动的基本过程是“报警-转换-响应”：告警与响应阶段4.联动响应机制IDS和防火墙之间的联动包含以下三种方式:（1）嵌入结合方式：把IDS嵌入防火墙中，把两个产品合成一体。由于IDS本身就是一个复杂的系统，合成后的系统从实施到性能都会受到很大影响。（2）端口映像方式：防火墙将网络中指定的一部分流量镜像到IDS中，IDS再将处理后的结果通知防火墙，要求其相应地修改安全策略。这种方式适用于通信量不大但在内网和非军事区都有需求的情况。（3）接口开放方式：IDS和防火墙各开放一个接口供对方调用，并按照预定的协议进行通信。当IDS发现网络中的数据存在攻击企图时，通过开放的接口实现与防火墙的通信，双方按照固定的协议进行网络安全事件的传输，更改防火墙安全策略，对攻击的源头进行封堵。这种方式比较灵活，目前常见的形式是安全厂家以自己的产品为核心，提供开放接口，以实现互动。告警与响应阶段《毛泽东选集》第七卷总而言之，要团结一切可以团结的人，这样，我们就可以把敌人缩小到最少，只剩下帝国主义和本国的少数亲帝国主义分子，即同帝国主义有密切联系的大资本家和大地主。对我们来说，朋友越多越好，敌人越少越好。为了这个目的，我们党必须充分利用一切可以利用的力量。思政要点：团结入侵检测与防御的关键技术2.6数据包分析技术IP分片重组技术TCP状态检测技术TCP流重组技术应用识别与管理技术入侵检测与防御的关键技术数据包分析，也叫数据包嗅探或协议分析，是指捕获和解释网络上在线传输数据的过程，并充分利用通信协议的已知结构，更快更有效地处理信息数据帧和连接。数据包分析的目的通常是为了更好地了解网络上正在发生的事情，了解用户使用了什么协议和应用，传输了什么信息。数据包分析技术的主要应用：了解网络特征、查看网络上的通信主体、确认谁或是哪些应用在占用网络带宽、识别网络使用高峰时间、识别可能的攻击或恶意活动、寻找不安全以及滥用网络资源的应用等。数据包分析技术对接口上接收到的网络数据包进行解码，分析其链路层、网络层、传输层和应用层协议。根据不同的协议选择解码器，解析数据包内部内容，通过匹配不同的规则库和安全模型确定该数据包是否阻断或者转发。数据包解析过程如图所示。数据包分析技术接收数据包解码器协议解码器规则库匹配MTU：以太网默认为1500字节MSS：1460字节IP分片重组技术TCP分段当TCP要传输长度超过MSS的数据时，会先对数据进行分段正常情况下，TCP不会造成IP分片的，而UDP，只要数据大于MSS，就会造成IP分片。数据拆分为MSS的长度，放进单独的网络包中，加上各层的头部进行封装IP分片发生在网络接口层，不仅源端主机会进行分片，中间的路由器也有可能分片TCP分段避免了IP分片的发生，因此，IP分片多用于UDP协议思考：使用TCP时会有IP分片吗？IP分片重组技术IP分片重组技术IP首部与分片相关的字段：（1）标识字段：16位，是一个计数器，用来产生数据包的标识，来自同一个IP报文的分片具有相同的ID。（2）标志字段：3位，目前只有前两位有意义，标志字段的最低位是MF，中间位是DF，只有当DF=0时才允许分片。（3）偏移位：13位，其作用是指出较长的分组在分片后在原分组中的相对位置，片偏移以8字节为偏移单位。IP分片重组技术对于长度超过MTU（1500字节）的IP报文，网络接口层会将其分片分成若干个长度不超过1500字节的IP报文（分片）进行传输。20B8BIP分片重组的定义：是指IP协议在传输数据包时，将数据报文分成若干个分片进行传输，并且在目标系统中进行重组的过程。分片数据的重组只会发生在目的端的网络接口层。IP分片重组的流程：IP层接收到发送的IP数据包后，需要判断向本地哪个接口发送数据（选路），并查询该接口获得其MTU，将MTU与数据包长度进行比较，如果需要则进行分片。IP分片重组可以发生在原始发送端主机上，或者发生在中间路由器上。IP分片重组技术在IP分片包中，用分片偏移字段标志分片包的顺序，但只有第一个分片包含有端口信息。当IP分片包通过分组过滤防火墙时，防火墙只根据第一个分片包的信息判断是否允许通过，后续其他的分片防火墙不再进行检测，直接让它们通过。攻击者就可以先发送第一个合法的IP分片，骗过防火墙的检测，封装了恶意数据的后续分片包就可以直接绕过防火墙，到达内部网络主机，从而威胁网络和主机的安全。攻击者利用IP分片的原理，使用分片数据包转发工具（如Fragroute），将攻击请求分成若干IP分片包发送给目标主机；目标主机接收到分片包后，进行分片重组还原出真正的请求。分片攻击包括分片覆盖、分片重写、分片超时和针对网络拓扑的分片技术等。分片增加了入侵检测和防御系统的检测难度，是目前攻击者绕过攻击的普通手段。IP分片重组技术入侵防御系统需要在内存中缓存分片，模拟目标主机对网络上传输的分片包进行重组，还原出真正的请求内容后再分析，以防止分片攻击。（1）入侵防御系统通过包的段偏移判断是否是分片；（2）通过源IP和ID号判断是否来自同一个包；（3）通过标志位是否为0和数据长度判断包的所有分片到达。IP分片重组技术入侵防御系统对TCP的连接状态进行检测和监控，判断不同状态下可能存在的攻击方式，同时对应用内容进行数据采集和特征检测。TCP的状态有：（1）CLOSED：关闭状态（初始状态）。（2）LISTEN：服务器端的某个SOCKET处于监听状态，可以接受连接。（3）SYN_SENT：客户端已发送SYN报文。（4）SYN_RCVD:接收到SYN报文。（5