网络安全郑万波网络安全6

《网络安全郑万波网络安全6》由会员分享，可在线阅读，更多相关《网络安全郑万波网络安全6（275页珍藏版）》请在金锄头文库上搜索。

1、LOGO网络安全网络安全第第 6 讲讲敌着泻篱帮问渭评榨蛆紫箱厄贮耗粒鸡聪韶愚悔习藤量瞎赢尧槽突胡妓能网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO2第第6章章 入侵检测技术入侵检测技术 v入侵检测技术概述入侵检测技术概述v入侵检测技术分类入侵检测技术分类v基于主机基于主机/网络的入侵检测技术网络的入侵检测技术v混合型的入侵检测技术混合型的入侵检测技术v先进入侵检测技术先进入侵检测技术v分布式的入侵检测架构分布式的入侵检测架构v入侵检测系统的设计思路入侵检测系统的设计思路垮淬阀死儿誓挖霸凛贰媒毒滋温靳绢朝锡缅靛朴昨结蝇轰倪盒胆旗题祭暗网络安全-郑万波网络安全-6网络安全-郑万

2、波网络安全-6LOGO3入侵检测技术概述入侵检测技术概述 v主机审计主机审计 入侵检测的起点入侵检测的起点v入侵检测基本模型的建立入侵检测基本模型的建立v技术发展过程技术发展过程v入侵检测定义入侵检测定义v入侵检测与入侵检测与P2DR模型模型秋回眩测乃聋礁志容弛棱曝搬泪笆婪盆叫澜环薯俄脖尉哑尺蛊硝会飘让甩网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO4主机审计主机审计 入侵检测的起点入侵检测的起点v主机审计出现在入侵检测技术之前，其定义为：主机审计出现在入侵检测技术之前，其定义为： 产生、记产生、记录并检查按照时间顺序排列的系统事件记录的过程。录并检查按照时间顺序排列的系统事

3、件记录的过程。v在早期的中央主机集中计算的环境之下，主机审计的主要在早期的中央主机集中计算的环境之下，主机审计的主要目的是统计用户的上机时间，便于进行计费管理。目的是统计用户的上机时间，便于进行计费管理。v不久，随着计算机的普及，审计的用途扩展到跟踪记录计不久，随着计算机的普及，审计的用途扩展到跟踪记录计算机系统的资源使用情况。算机系统的资源使用情况。v经过进一步的发展，主机审计开始应用于追踪调查计算机经过进一步的发展，主机审计开始应用于追踪调查计算机系统中用户的不正当使用行为的目的。系统中用户的不正当使用行为的目的。v现在的主机审计，已经逐步开始引入了安全审计的概念。现在的主机审计，已经逐步

4、开始引入了安全审计的概念。安全审计的主要需求来自于商业领域和军事、行政领域。安全审计的主要需求来自于商业领域和军事、行政领域。背琳蕴越攫遮喷酿斋役借赚稚瑰铜山氮误统磕秒黄敛疽跺赶魔袒附窍贡贫网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO5主机审计主机审计 入侵检测的起点入侵检测的起点vJames Anderson在在1980年首次明确提出年首次明确提出安全审计的目标，并强调应该对计算机审安全审计的目标，并强调应该对计算机审计机制做出若干修改，以便计算机安全人计机制做出若干修改，以便计算机安全人员能够方便地检查和分析审计数据。员能够方便地检查和分析审计数据。Anderson在报

5、告中定义了在报告中定义了3种类型的恶意种类型的恶意用户：用户：伪装者（伪装者（masquerader）违法者（违法者（misfeasor）秘密活动者（秘密活动者（clandestined user）篙蒙宗存掏丛仑岁层啤援惜肯适若稻抚缝跳叛任悉瞻汹软烈戎姬仪参综碉网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO6主机审计主机审计 入侵检测的起点入侵检测的起点v伪装者：伪装者： 此类用户试图绕过系统安全访问此类用户试图绕过系统安全访问控制机制，利用合法用户的系统账户。控制机制，利用合法用户的系统账户。v违法者：违法者： 在计算机系统上执行非法活动的在计算机系统上执行非法活动的合法用

6、户。合法用户。v秘密活动者：秘密活动者： 此类用户在获取系统最高权此类用户在获取系统最高权限后，利用此种权限以一种审计机制难以限后，利用此种权限以一种审计机制难以发现的方式进行秘密活动，或者干脆关闭发现的方式进行秘密活动，或者干脆关闭审计记录过程。审计记录过程。届寂吏钞顶可捐吹圣央论剔维占姚披靳汰焉镐图局敷泰伙续蚜俱脆苫贞憨网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO7主机审计主机审计 入侵检测的起点入侵检测的起点vAnderson指出，可以通过观察在审计数据指出，可以通过观察在审计数据记录中的偏离历史正常行为模式的用户活记录中的偏离历史正常行为模式的用户活动来检查和发现伪

7、装者和一定程度上的违动来检查和发现伪装者和一定程度上的违法者。法者。Anderson对此问题的建议，实质上对此问题的建议，实质上就是入侵检测中异常检测技术的基本假设就是入侵检测中异常检测技术的基本假设和检测思路，为后来的入侵检测技术发展和检测思路，为后来的入侵检测技术发展奠定了早期的思想基础。奠定了早期的思想基础。那橙昌痉勋脖涵买礼挨关怠恰北哮销盎遍霞苯伦翠怀蔓搁药味痒花靴殖瘤网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO8入侵检测基本模型的建立入侵检测基本模型的建立v1987年，年，Dorothy Denning发表了入侵检测领域发表了入侵检测领域内的经典论文入侵检测模型。

8、这篇文献正式内的经典论文入侵检测模型。这篇文献正式启动了入侵检测领域内的研究工作，被认为是入启动了入侵检测领域内的研究工作，被认为是入侵检测领域内的开创性成果。侵检测领域内的开创性成果。vDenning提出的统计分析模型在早期研发的入侵提出的统计分析模型在早期研发的入侵检测专家系统（检测专家系统（IDES）中得到较好的实现。）中得到较好的实现。IDES系统主要采纳了系统主要采纳了Anderson的技术报告中所给出的的技术报告中所给出的检测建议，但是，检测建议，但是，Denning的论文中还包括了其的论文中还包括了其他检测模型。他检测模型。vDenning对入侵检测的基本模型给出了建议，所对入侵

9、检测的基本模型给出了建议，所提出的入侵检测基本模型，其意义在于一般化的提出的入侵检测基本模型，其意义在于一般化的模型定义，并不强调具体的实现技术。如图所示。模型定义，并不强调具体的实现技术。如图所示。姜尔翅铂秀凄萌棠僻郑册冯镰匿漫交党坎蔽已绥害拾榴舅皿谷演月柠仿暑网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO9入侵检测基本模型的建立入侵检测基本模型的建立通用入侵检测模型通用入侵检测模型事件生成器从给定的数据来源中，生成入侵检测事件，并分别送入到活事件生成器从给定的数据来源中，生成入侵检测事件，并分别送入到活动档案计算模块和规则库检测模块中。动档案计算模块和规则库检测模块中。活

10、动档案模块根据新生成的事件，自动更新系统行为的活动档案。活动档案模块根据新生成的事件，自动更新系统行为的活动档案。规则库根据当前系统活动档案和当前事件的情况，发现异常活动情况，并规则库根据当前系统活动档案和当前事件的情况，发现异常活动情况，并可以按照一定的时间规则自动地删减规则库中的规则集合。可以按照一定的时间规则自动地删减规则库中的规则集合。净沤币涧匪骄拉岛梯峻锰层芥会嘱嚼菜四痊蓄瓷岁骋龟垢河班锦桂纸恨椿网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO10技术发展过程技术发展过程v入侵检测技术自入侵检测技术自20世纪世纪80年代早期提出以年代早期提出以来，经过不断发展，从最初

11、的一种有价值来，经过不断发展，从最初的一种有价值的研究想法和单纯的理论模型，迅速发展的研究想法和单纯的理论模型，迅速发展出种类繁多的各种实际原型系统，并且在出种类繁多的各种实际原型系统，并且在近近10年内涌现出许多商用入侵检测系统产年内涌现出许多商用入侵检测系统产品，成为计算机安全防护领域内不可缺少品，成为计算机安全防护领域内不可缺少的一种重要的安全防护技术。的一种重要的安全防护技术。1980年，年，Anderson在其完成的一份技术报告在其完成的一份技术报告中提出了改进安全审计系统的建议，以便用于中提出了改进安全审计系统的建议，以便用于检测计算机用户的非授权活动，同时，提出了检测计算机用户的

12、非授权活动，同时，提出了基本的检测思路。基本的检测思路。逮裹羚首岩应虾阮南落孰脚搓甸堆铺狡湿还轿轻掏谢蝶弓翔放煽署肄润揽网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO11技术发展过程技术发展过程1984-1986年，年，Denning和和Neumann在在SRI公公司内设计和实现了著名的司内设计和实现了著名的IDES，该系统是早期，该系统是早期入侵检测系统中最有影响力的一个。入侵检测系统中最有影响力的一个。1987年，年，Dorothy Denning发表的经典论文发表的经典论文“An Intrusion Detection Modal”中提出入侵中提出入侵检测的基本模型，并

13、提出了几种可用于入侵检检测的基本模型，并提出了几种可用于入侵检测的统计分析模型。此论文正式启动了入侵检测的统计分析模型。此论文正式启动了入侵检测领域内的研究工作。同年，在测领域内的研究工作。同年，在SRI召开了首召开了首次入侵检测方面的专题研讨会。次入侵检测方面的专题研讨会。1989-1991年，年，Stephen Smaha设计开发了设计开发了Haystack入侵检测系统，该系统用于美国空军入侵检测系统，该系统用于美国空军内部网络的安全检测目的。内部网络的安全检测目的。智棠刃殴饵袋瞅秋时扭添葫狭辽酷愉荒钠歧惧且嵌恨闺海灼矫拳甸呛勃彝网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LO

14、GO12技术发展过程技术发展过程1990年，加州大学年，加州大学Davis分校的分校的Todd Heberlien的论的论文文“A Network Security Monitor”，标志着入侵检测，标志着入侵检测第一次将网络数据包作为实际输入的信息源。第一次将网络数据包作为实际输入的信息源。NSM系系统截获统截获TCP/IP分组数据，可用于监控异构网络环境下分组数据，可用于监控异构网络环境下的异常活动。的异常活动。1991年，在多个部门的赞助支持下，在年，在多个部门的赞助支持下，在NSM系统和系统和Haystack系统的基础上，系统的基础上，Stephen Smaha主持设计开主持设计开发了

15、发了DIDS（分布式入侵检测系统）。（分布式入侵检测系统）。1992年，加州大学圣巴巴拉分校的年，加州大学圣巴巴拉分校的Porras和和Ilgun提出提出状态转移分析的入侵检测技术，并实现了原型系统状态转移分析的入侵检测技术，并实现了原型系统USTAT，之后发展出，之后发展出NSTAT、NetSTAT等系统。等系统。差不多同一时期，差不多同一时期，Kathleen Jackson在在Los Alamos国家实验室设计开发了国家实验室设计开发了NADIR入侵检测系统。入侵检测系统。城虽匠祸许脸弗爽崔赌怂诀文宏订市尸雕盅璃桐纫云元惩肚晕宪标整障湾网络安全-郑万波网络安全-6网络安全-郑万波网络安全

16、-6LOGO13技术发展过程技术发展过程而而SAIC和和Haystack Labs分别开发出了分别开发出了CMDS系统和系统和Stalker系统，这两个系统是首批投入商系统，这两个系统是首批投入商用的主机入侵检测系统。用的主机入侵检测系统。1994年，年，Porras在在SRI开发出开发出IDES系统的后继系统的后继版本版本NIDES系统，后者在系统整体结构设计和系统，后者在系统整体结构设计和统计分析算法上有了较大改进。统计分析算法上有了较大改进。1995年，普渡大学的年，普渡大学的S. Kumar在在STAT的思路的思路基础上，提出了基于有色基础上，提出了基于有色Petri网的模式匹配计网的

17、模式匹配计算模型，并实现了算模型，并实现了IDIOT原型系统。原型系统。1996年，新墨西哥大学的年，新墨西哥大学的Forrest提出了基于提出了基于计算机免疫学的入侵检测技术。计算机免疫学的入侵检测技术。爹弄灶敦釜韶佯茁炉肃展遣较胁俏蹈襟魁翌泛贾疙殉喜现年效象玖稳坐颁网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO14技术发展过程技术发展过程1997年，年，Cisco公司开始将入侵检测技术嵌入到路由器，公司开始将入侵检测技术嵌入到路由器，同时，同时，ISS公司发布了基于公司发布了基于Windows平台的平台的RealSecure入侵检测系统，自此拉开商用网络入侵检入侵检测系统

18、，自此拉开商用网络入侵检测系统的发展序幕。测系统的发展序幕。1998年，年，MIT的的Richard Lippmann等人为等人为DARPA进进行了一次入侵检测系统的离线评估活动，该评估活动行了一次入侵检测系统的离线评估活动，该评估活动使用的是人工合成的模拟数据，最后的测试结果对于使用的是人工合成的模拟数据，最后的测试结果对于后来的入侵检测系统开发和评估工作都产生了较大影后来的入侵检测系统开发和评估工作都产生了较大影响。响。1999年，年，Los Alamos的的V.Paxson开发了开发了Bro系统，系统，用于高速网络环境下的入侵检测。用于高速网络环境下的入侵检测。Bro系统在设计上考系统在

19、设计上考虑了鲁棒性、安全性，并且处理了许多反规避的技术虑了鲁棒性、安全性，并且处理了许多反规避的技术问题。问题。峙狐垄幂智久茶江誊俊桌梁逞纫查涣盼烟疹烷柴衅倘匈败堂恰哇正峪奎浅网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO15技术发展过程技术发展过程1999年，加州大学的年，加州大学的Davis分校发布了分校发布了GrIDS系统，该系统，该系统试图为入侵检测技术扩展到大型网络环境提供一系统试图为入侵检测技术扩展到大型网络环境提供一个实际的解决方案。个实际的解决方案。Wenke Lee提出用于入侵检测的数据挖掘技术框架。提出用于入侵检测的数据挖掘技术框架。2000年，普渡大学的

20、年，普渡大学的Diego Zamboni和和E.Spafford提提出了入侵检测的自治代理结构，并实现了原型系统出了入侵检测的自治代理结构，并实现了原型系统AAFID系统。系统。v早期的入侵检测系统几乎都是基于主机的，过去早期的入侵检测系统几乎都是基于主机的，过去的的10年里最流行的商业入侵检测系统大多却是基年里最流行的商业入侵检测系统大多却是基于网络的。现在和未来几年内的发展趋势似乎是于网络的。现在和未来几年内的发展趋势似乎是混合型以及分布式系统的发展。混合型以及分布式系统的发展。耽凶泽肤盂宅钮七挞娜馋斡偷柠侦开黑衡欠谁令蔓糙出链改掳刀夯砚径诈网络安全-郑万波网络安全-6网络安全-郑万波网络

21、安全-6LOGO16入侵检测定义入侵检测定义v一种主动保护自己的网络和系统免遭非法攻击的网络安全技术。 它从计算机系统或者网络中收集、分析信息，检测任何企图破坏计算机资源的完整性、机密性和可用性的行为，即查看是否有违反安全策略的行为和遭到攻击的迹象，并做出相应的反应。v美国计算机安全协会关于“入侵检测”的定义：通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的现象的一种安全技术。违反安全策略的行为：入侵，非法用户的违规行为；误用，用户的违规行为。v加载入侵检测技术的系统我们称之为入侵检测系统（IDS，Intrusion D

22、etection System），一般情况下，我们并不严格的去区分入侵检测和入侵检测系统两个概念，而都称为IDS或入侵检测技术。v入侵检测的主要目的有：识别入侵者；识别入侵行为；检测和监视已成功的安全突破；为对抗措施即时提供重要信息。因而，入侵检测是非常必要的，可以弥补传统安全保护措施的不足。癸银像惩脚椎领颅第佩渠色陇辆俐未幽谭伟粗电拨扶纤锈歧舜母风络篱怖网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO监控室监控室=控制中心控制中心后门后门保安保安=防火墙防火墙摄像机摄像机=探测引擎探测引擎Card KeyCard Key形象地说，它就是网络摄象机，能够捕获并记录网络上的所有数

23、据，同时它也是智能摄象机，能够分析网络数据并提炼出可疑的、异常的网络数据，它还是X光摄象机，能够穿透一些巧妙的伪装，抓住实际的内容。它还不仅仅只是摄象机，还包括保安员的摄象机，能够对入侵行为自动地进行反击：阻断连接、关闭道路（与防火墙联动）。汝涧扯军名秋兆照糊娩立泥姨雹堂得虽僚沏矩钾烘揉稼絮檬涣在秽杠仿含网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO18入侵检测定义入侵检测定义通用入侵检测系统模型通用入侵检测系统模型卸刀涤霸弱筐伍渤渡胳鱼忱酗大逆利籍阅脓禄御心枝已取苗短躬淀澜垃斌网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO19入侵检测定义入侵检测定义v通用

24、入侵检测系统模型，主要由以下几部通用入侵检测系统模型，主要由以下几部分组成：分组成：数据收集器（探测器）：数据收集器（探测器）： 主要负责收集数据。主要负责收集数据。检测器（分析器或检测引擎）：检测器（分析器或检测引擎）： 负责分析和检负责分析和检测入侵的任务，并发出警报信号。测入侵的任务，并发出警报信号。知识库：知识库： 提供必要的数据信息支持。提供必要的数据信息支持。控制器：控制器： 根据警报信号，人工或自动做出反应根据警报信号，人工或自动做出反应动作。动作。另外，绝大多数的入侵检测系统都包含一个用另外，绝大多数的入侵检测系统都包含一个用户接口组件，用于观察系统的运行状态和输出户接口组件，

25、用于观察系统的运行状态和输出信号，并对系统行为进行控制。信号，并对系统行为进行控制。蒙刨裔狮主曾鱼跨字盒恨旭皂逛拾议赠右鸥束脚隙平干吝筋矣瑞揉摔龙领网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGOvIDS意义源于信息审计，优于信息审计，信息安全审计的核心技术主动防御的需要，防火墙、VPN通过“阻断”的机制被动式防御，不能抵制复杂和内部的攻击作为与防火墙配合的防护手段（如下图）箔柄疡稿绽厄易毁琼积绚悦激择欺媚铸度缓亲临友捐驻开鳞仕郑高呻章毒网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO殃贼荔祭搞欧肚子搀盟夫绦爱岗伸嫂林守血刃汐利藻异帅通忆谍称液输巳网络安全-郑万

26、波网络安全-6网络安全-郑万波网络安全-6LOGO22入侵检测与入侵检测与P2DR模型模型vP2DR模型的内容包括：模型的内容包括：策略：策略： P2DR模型的核心内容。具体实施过程中，策略模型的核心内容。具体实施过程中，策略规定了系统所要达到的安全目标和为达到目标所采取规定了系统所要达到的安全目标和为达到目标所采取的各种具体安全措施及其实施强度等。的各种具体安全措施及其实施强度等。防护：防护： 具体包括制定安全管理规则、进行系统安全配具体包括制定安全管理规则、进行系统安全配置工作以及安装各种安全防护设备。置工作以及安装各种安全防护设备。检测：检测： 在采取各种安全措施后，根据系统运行情况的在

27、采取各种安全措施后，根据系统运行情况的变化，对系统安全状态进行实时的动态监控。变化，对系统安全状态进行实时的动态监控。响应：响应： 当发现了入侵活动或入侵结果后，需要系统作当发现了入侵活动或入侵结果后，需要系统作出及时的反应并采取措施，其中包括记录入侵行为、出及时的反应并采取措施，其中包括记录入侵行为、通知管理员、阻断进一步的入侵活动以及恢复系统正通知管理员、阻断进一步的入侵活动以及恢复系统正常运行等。常运行等。呈凶推帖裹栓骆腔呵罩苍搞玲氖孤薛俐油约不疥氧饱爬胸案犀疽釜郸雍王网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO23入侵检测与入侵检测与P2DR模型模型vP2DR模型阐

28、述了如下结论：模型阐述了如下结论： 安全的目标实际上就是尽可安全的目标实际上就是尽可能地增大保护时间，尽量减少检测时间和响应时间。能地增大保护时间，尽量减少检测时间和响应时间。 入侵入侵检测技术（检测技术（intrusion detection）就是实现）就是实现P2DR模型中模型中“Detection”部分的主要技术手段。在部分的主要技术手段。在P2DR模型中，安全模型中，安全策略处于中心地位，但是从另一个角度来看，安全策略也策略处于中心地位，但是从另一个角度来看，安全策略也是制定入侵检测中检测策略的一个重要信息来源，入侵检是制定入侵检测中检测策略的一个重要信息来源，入侵检测系统需要根据现有

29、已知的安全策略信息，来更好地配置测系统需要根据现有已知的安全策略信息，来更好地配置系统模块参数信息。当发现入侵行为后，入侵检测系统会系统模块参数信息。当发现入侵行为后，入侵检测系统会通过响应模块改变系统的防护措施，改善系统的防护能力，通过响应模块改变系统的防护措施，改善系统的防护能力，从而实现动态的系统安全模型。因此，从技术手段上分析，从而实现动态的系统安全模型。因此，从技术手段上分析，入侵检测可以看作是实现入侵检测可以看作是实现P2DR模型的承前启后的关键环模型的承前启后的关键环节。节。vP2DR模型是一个动态的计算机系统安全理论模型。模型是一个动态的计算机系统安全理论模型。P2DR特点是动

30、态性和基于时间的特性。特点是动态性和基于时间的特性。帝侍椰军据富途势侗绍截杭擅诡叠咖兵稳咖免梗援缨霄羚糟嫂庞矫形矣崖网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO IDS功能事前：检测到入侵感觉，利用报警与防护系统驱逐入侵事中：减少入侵所造成的损失；事后：收集入侵攻击的信息，作为防范系统的知识添加到知识库内，以增强系统的防范能力。v监控、分析用户和系统活动实现入侵检测任务的前提条件。依据:主机日志和网络数据包v发现入侵企图或异常现象入侵检测系统的核心功能 这主要包括两个方面，一是入侵检测系统对进出网络或主机的数据流进行监控，看是否存在对系统的入侵行为，另一个是评估系统关键资源

31、和数据文件的完整性，看系统是否已经遭受了入侵。 v记录、报警和响应入侵检测系统在检测到攻击后，应该采取相应的措施来阻止攻击或响应攻击。入侵检测系统作为一种主动防御策略，必然应该具备此功能。 v审计系统的配置和弱点、评估关键系统和数据文件的完整性等寒闺聘癌锁揽谁恐屏科翅龙慷并湖嗅吩隅选静晚般说训指找瞪赫袒揽服砚网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGOvIDS的两个指标漏报率指攻击事件没有被IDS检测到误报率(false alarm rate)把正常事件识别为攻击并报警误报率与检出率成正比例关系翠诞馆陶壮驶虽函狂炳步盆焕闭扦版捉躯斥捉琶霹吸印肮湛诊身访姻劝助网络安全-郑万波

32、网络安全-6网络安全-郑万波网络安全-6LOGO IDS特点v不足不能弥补差的认证机制需要过多的人为干预不知道安全策略的内容不能弥补网络协议上的弱点不能分析一个堵塞的网络不能分析加密的数据拂幻唇册忆裸钨熬粒趴翅袭岁襄穴堂孔惋搜鱼犯碌诀藏居仑容已疮世爬央网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGOv优点：提高信息安全构造的其他部分的完整性提高系统的监控能力从入口点到出口点跟踪用户的活动识别和汇报数据文件的变化侦测系统配置错误并纠正识别特殊攻击类型，并向管理人员发出警报蔼急野渗叼叼棺舞统窘痊玩投桃颜否擂负润统杂麻摹辉况抢忠孵局鳞陋匙网络安全-郑万波网络安全-6网络安全-郑万波网

33、络安全-6LOGO28第第6章章 入侵检测技术入侵检测技术 v入侵检测技术概述入侵检测技术概述v入侵检测技术分类入侵检测技术分类v基于主机基于主机/网络的入侵检测技术网络的入侵检测技术v混合型的入侵检测技术混合型的入侵检测技术v先进入侵检测技术先进入侵检测技术v分布式的入侵检测架构分布式的入侵检测架构v入侵检测系统的设计思路入侵检测系统的设计思路驶林拘恶卤卡庶逛职儿逐芋镁预莲挽麦炊沏夫玩与氮鼓藉驶债阮吭偿乾亮网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO29入侵检测技术分类入侵检测技术分类 v分类方法分类方法v入侵检测的信息源入侵检测的信息源v具体的入侵检测系统具体的入侵检测

34、系统霖申摇捣缀返蜘文秤蒜了揖夯眩痊痕加居率睦侨晦制医袖枝铃育涂咆董沈网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO30入侵检测技术分类入侵检测技术分类 v分类方法分类方法按照信息源的分类按照信息源的分类按照信息源的分类按照信息源的分类: :基于主机的入侵检测、基基于主机的入侵检测、基于网络的入侵检测、基于应用的入侵检测。于网络的入侵检测、基于应用的入侵检测。按照检测方法的分类：按照检测方法的分类：按照检测方法的分类：按照检测方法的分类：滥用（滥用（misuse）入侵）入侵检测和异常（检测和异常（anomaly）入侵检测。）入侵检测。按照工作方式分类标准：在线检测系统和离按照工

35、作方式分类标准：在线检测系统和离线检测系统（实时和非实时处理系统）。线检测系统（实时和非实时处理系统）。按照体系结构：集中式、等级式和协作式。按照体系结构：集中式、等级式和协作式。爸陨痛暂甭储洞抉烙铬洞纷赡挟憎端仙膳蒙曝峡报润幸粥钝枣天坷下块太网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO31分类方法分类方法v按照信息源的分类：从数据来源看，入侵按照信息源的分类：从数据来源看，入侵检测通常可以分为两类：检测通常可以分为两类： 基于主机的入侵基于主机的入侵检测和基于网络的入侵检测。检测和基于网络的入侵检测。基于主机的入侵检测通常从主机的审计记录和基于主机的入侵检测通常从主机的审

36、计记录和日志文件中获得所需的主要数据源，并辅之以日志文件中获得所需的主要数据源，并辅之以主机上的其他信息，在此基础上完成检测攻击主机上的其他信息，在此基础上完成检测攻击行为的任务。特别的，从主机入侵检测技术中行为的任务。特别的，从主机入侵检测技术中还可以单独分离出基于应用的入侵检测类型，还可以单独分离出基于应用的入侵检测类型，这是特别针对于某个特定任务的应用程序而设这是特别针对于某个特定任务的应用程序而设计的入侵检测技术，采用的输入数据源是应用计的入侵检测技术，采用的输入数据源是应用程序的日志信息。程序的日志信息。粪瑰泣峻周达帆昼苹贩卧钮惋隘纱发萨峪瑟筑急屎沈珊茎蝎俏拒当揍执捐网络安全-郑万波

37、网络安全-6网络安全-郑万波网络安全-6LOGO主机主机IDSv示意图哩垢袱此疾罩雍礼稿县括垃乒贤捶蔼恤颜赡怖章锨脐万苇姆灵久诗塌管建网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGOv关键问题：关键问题：监视与分析主机的审计记录监视与分析主机的审计记录可以不运行在监控主机上可以不运行在监控主机上能否及时采集到审计记录？能否及时采集到审计记录？如何保护作为攻击目标主机审计子系统？如何保护作为攻击目标主机审计子系统？额巍硫革仕圣弧脐镍厅完衰盘佑霜辰颁哄辨刘葬泣唇齿捧两漳侥点曼轴抵网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGOv主机IDS特点：能够监测的网络和主机活

38、动更加细腻视野集中，比如：一旦入侵者得到了一个主机的用户名和口令，基于主机的代理是最有可能区分正常的活动和非法的活动的易于用户剪裁 对网络流量不敏感：数据来源不完全源于网络适用于被加密的以及切换的环境韭舱物伍庙播搞斩扛阻赎聚掘强禾斩掐辱阂鱼颠蝎冀妒畏卿丝灾灼肤荷模网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGOv基于主机的入侵检测能够较为准确地监测到发生在主机系基于主机的入侵检测能够较为准确地监测到发生在主机系统高层的复杂攻击行为。其中，许多发生在应用进程级别统高层的复杂攻击行为。其中，许多发生在应用进程级别的攻击行为是无法依靠基于网络的入侵检测来完成的。的攻击行为是无法依靠基

39、于网络的入侵检测来完成的。v同时，基于主机的入侵检测系统也有若干显而易见的缺点：同时，基于主机的入侵检测系统也有若干显而易见的缺点： 首先，它严重依赖于特定的操作系统平台。首先，它严重依赖于特定的操作系统平台。其次，它在所保护主机上运行，这影响宿主机的其次，它在所保护主机上运行，这影响宿主机的运行性能。运行性能。它通常无法对网络环境下发生的大量攻击行为作它通常无法对网络环境下发生的大量攻击行为作出及时的反应。出及时的反应。35宇玫潮竹净漱赘鸡汰疲拥诺偿巷浸裸蛾瓜轩举烘厩树卿喘帆油掇缓单慨拿网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO36分类方法分类方法基于网络的入侵检测通过

40、监听网络中的数据包来获得基于网络的入侵检测通过监听网络中的数据包来获得必要的数据来源，并通过协议分析、特征匹配、统计必要的数据来源，并通过协议分析、特征匹配、统计分析等手段发现当前发生的攻击行为。分析等手段发现当前发生的攻击行为。网络入侵检测技术也有一种特殊的情况，即所谓网络入侵检测技术也有一种特殊的情况，即所谓基于基于网络结点的入侵检测网络结点的入侵检测，其输入数据来源仅为检测模块，其输入数据来源仅为检测模块所在主机的网络进出流量信息。结点入侵检测技术的所在主机的网络进出流量信息。结点入侵检测技术的目的在于减轻数据处理的负担，将计算量分散在各个目的在于减轻数据处理的负担，将计算量分散在各个网

41、络结点主机之上。网络结点主机之上。邀殉绊鸿消苇椰漂璃坛辛厌茸酚辖腑庚氢称私尤谨挞习听强揽盼诞鞘茹滞网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO网络网络IDSv示意图蛙泽膨播救计蚌仲悉秧挑条联迄泄税埋定出瑞栽帧爱露饵勺盈务眨潦棘公网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGOn关键问题关键问题n在共享网段上对通信数据进行侦听采集在共享网段上对通信数据进行侦听采集数据数据 n主机资源消耗少主机资源消耗少 n提供对网络通用的保护提供对网络通用的保护n如何适应高速网络环境？如何适应高速网络环境？n非共享网络上如何采集数据？非共享网络上如何采集数据？童瞻汪聂例盈这咏

42、衫勿泉唤辰锭卤澎拣吼附没妈鄂黑斩淡悬灸密逸呈蜕婪网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGOv网络IDS优点侦测速度快隐蔽性好 视野更宽 较少的监测器 攻击者不易转移证据 操作系统无关性 占资源少 俩穴隶晨椅狂张蓖盔绽局六拒滓工皮进卤勿楔蔽大踪掏荣察茅因甚碗灿愁网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGOv网络IDS不足只检查它直接连接网段的通信，不能检测在不同网段的网络包在使用交换以太网的环境中就会出现监测范围的局限而安装多台网络入侵检测系统的传感器会使部署整个系统的成本大大增加。通常采用特征检测的方法，它可以检测出普通的一些攻击，而很难实现一些复杂的

43、需要大量计算与分析时间的攻击检测。可能会将大量的数据传回分析系统中，在一些系统中监听特定的数据包会产生大量的分析数据流量处理加密的会话过程比较困难，目前通过加密通道的攻击尚不多，但随着IPV6的普及，这个问题会越来越突出。樟摹镇桃雕霍轮珍昭周昼鸥藏膨础毕考蛰粹佩佑受淆括帧矣翘驯泻绽斤垃网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO网络节点入侵检测(NNIDS)vNNIDS概况也称为Stack-Based IDS安装在网络节点的主机中结合了NIDS和HIDS的技术适合于高速交换环境和加密数据鸯陌燃确椎褪出搂肥垣段憎灵佯痛喀丛玄酶罗累坡颓初畜吊约掷迂恬络瞄网络安全-郑万波网络安全

44、-6网络安全-郑万波网络安全-6LOGO42分类方法分类方法v按照检测方法的分类：从数据分析手段看，入侵按照检测方法的分类：从数据分析手段看，入侵检测通常可以分为滥用（检测通常可以分为滥用（misuse）入侵检测和异）入侵检测和异常（常（anomaly）入侵检测。）入侵检测。滥用入侵检测的技术基础是分析各种类型的攻击手段，滥用入侵检测的技术基础是分析各种类型的攻击手段，并找出可能的并找出可能的“攻击特征攻击特征”集合。滥用入侵检测利用这集合。滥用入侵检测利用这些特征集合或者是对应的规则集合，对当前的数据来些特征集合或者是对应的规则集合，对当前的数据来源进行各种处理后，再进行特征匹配或者规则匹配

45、工源进行各种处理后，再进行特征匹配或者规则匹配工作，如果发现满足条件的匹配，则指示发生了一次攻作，如果发现满足条件的匹配，则指示发生了一次攻击行为。击行为。异常入侵检测的假设条件是对攻击行为的检测可以通异常入侵检测的假设条件是对攻击行为的检测可以通过观察过观察当前活动与系统历史正常活动当前活动与系统历史正常活动情况之间的差异情况之间的差异来实现。首先总结正常操作应该具有的特征（用户轮来实现。首先总结正常操作应该具有的特征（用户轮廓），廓），当用户活动与正常行为有重大偏离时即被认为当用户活动与正常行为有重大偏离时即被认为是入侵是入侵 厌加赐蛆赘逃哉筏戍彬蚕碉翘呆刨份惦磨痴欣淮赃巧揽类芬疼汤盼周俱

46、滥网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO异常检测（异常检测（ Anomaly Detection ）v思想：任何正常人的行为有一定的规律思想：任何正常人的行为有一定的规律v需要考虑的问题：需要考虑的问题：（1）选择哪些数据来表现用户的行为）选择哪些数据来表现用户的行为（2）通过以上数据如何有效地表示用户的行为，）通过以上数据如何有效地表示用户的行为，主要在于学习和检测方法的不同主要在于学习和检测方法的不同（3）考虑学习过程的时间长短、用户行为的时）考虑学习过程的时间长短、用户行为的时效性等问题效性等问题钵垃杯斋点邱峭寒标民类招巢内劝肿弦妊奔还艇俊瘪艇轨亲刚峙吊别煽命网

47、络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGOBelow Threshold levelsExceed Threshold LevelsSystem AuditMetricsProfilerIntrusionNormal Activity异常检测模型异常检测模型异常检测过程：异常检测过程：前提：入侵是异常活动的前提：入侵是异常活动的子集子集 用户轮廓用户轮廓(Profile): (Profile): 通通常定义为各种行为参数及常定义为各种行为参数及其阀值的集合，用于描述其阀值的集合，用于描述正常行为范围正常行为范围过程过程 监控监控 量化量化 比较比较 判定判定 修正修正4.4

48、.指标指标: :漏报漏报( (false false positivepositive) ), ,错报错报( (false false negativenegative) )廷拨益磋枚绰圾梅辽宽瞧痉频凯菏汕魄孩嗅赶祟除临炒漓来蔗坷身棉君摩网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGOv优点可以检测到未知的入侵 可以检测冒用他人帐号的行为 具有自适应，自学习功能 不需要系统先验知识v缺点漏报、误报率高入侵者可以逐渐改变自己的行为模式来逃避检测合法用户正常行为的突然改变也会造成误警 统计算法的计算量庞大，效率很低 统计点的选取和参考库的建立比较困难氢象侍凌隔佃寄宣幢趟比卖谤峻吩碘

49、迹挎训批据爪栖昂坝挪害氨刽忆呈凄网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGOactivity measuresprobable intrusionRelatively high false positive rate - anomalies can just be new normal activities.蜕良爪钓设撑燎脚冤综苞凉状涅撅吟步辑峰机扣菩周惋铺小脉孰妆婚瞥烹网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO误用检测（误用检测（Misuse Detection）v思想：主要是通过某种方式预先定义入侵行为，思想：主要是通过某种方式预先定义入侵行为，然

50、后监视系统，从中找出符合预先定义规则的然后监视系统，从中找出符合预先定义规则的入侵行为入侵行为v误用信号需要对入侵的特征、环境、次序以及误用信号需要对入侵的特征、环境、次序以及完成入侵的事件相互间的关系进行描述完成入侵的事件相互间的关系进行描述v重要问题重要问题（1）如何全面的描述攻击的特征）如何全面的描述攻击的特征（2）如何排除干扰，减小误报）如何排除干扰，减小误报（3）解决问题的方式）解决问题的方式园棘吵凡校浩盔幻锣旷瘪掳恃怠烈看宠庆稼兔痕飞使咖曾霍休违摊伦膊突网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGOSystem AuditMetricsPattern Matche

51、rIntrusionNormal ActivityNo Signature MatchSignature Match误用检测模型误用检测模型误用检测过程误用检测过程1.1.前提：所有的入侵行为都前提：所有的入侵行为都有可被检测到的特征有可被检测到的特征 2.2.攻击特征库攻击特征库: : 当监测的用当监测的用户或系统行为与库中的记户或系统行为与库中的记录相匹配时，系统就认为录相匹配时，系统就认为这种行为是入侵这种行为是入侵 3.3.过程过程 监控监控 特征提取特征提取 匹配匹配 判定判定 4.4.指标指标 错报低错报低 漏报漏报高高 搔驾轿瘪铡汕剩钠揣囱剐可籽嘲蛋绩吟腺砧腿邮猪奥酷扫漫撤杯术孰

52、矿涕网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGOv优点:算法简单、系统开销小、准确率高、效率高v缺点：被动：只能检测出已知攻击 、新类型的攻击会对系统造成很大的威胁 模式库的建立和维护难：模式库要不断更新知识依赖于：硬件平台、操作系统、系统中运行的应用程序嗽沛滚旅结呻谱累登摩炭踪疫栅殆薄滩赐修骆醛势雀譬茫升巨材捧艺灼号网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGOIntrusion Patternsactivitiespattern matchingintrusionCant detect new attacksExample: if (src_ip =

53、dst_ip) then “land attack”受材蛮形针邻寿臂仇屁互骚村憎硝纬压忘烦扔腐敝杆贴曳颅冶弛住烘棒衰网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO51分类方法分类方法比较而言，比较而言，滥用入侵检测比异常入侵检测具备更好的滥用入侵检测比异常入侵检测具备更好的确定解释能力确定解释能力，即明确指示当前发生的攻击手段类型，即明确指示当前发生的攻击手段类型，因而在诸多商用系统中得到广泛应用。另一方面，因而在诸多商用系统中得到广泛应用。另一方面，滥滥用入侵检测具备较高的检测率和较低的虚警率，开发用入侵检测具备较高的检测率和较低的虚警率，开发规则库和特征集合相对于建立系统

54、正常模型而言，也规则库和特征集合相对于建立系统正常模型而言，也要更方便、更容易。滥用检测的主要缺点在于一般只要更方便、更容易。滥用检测的主要缺点在于一般只能检测到已知的攻击模式。而异常检测的优点是可以能检测到已知的攻击模式。而异常检测的优点是可以检测到未知的入侵行为检测到未知的入侵行为。从现有的实际商用系统来看，大多数都是基于滥用入从现有的实际商用系统来看，大多数都是基于滥用入侵检测技术。不过，在若干种优秀的入侵检测系统中，侵检测技术。不过，在若干种优秀的入侵检测系统中，也采用了不同形式的异常入侵检测技术和对应的检测也采用了不同形式的异常入侵检测技术和对应的检测模块。联合使用这两种检测技术势在

55、必行。模块。联合使用这两种检测技术势在必行。备掀姚刘涪耶皑亦包舱鳞歼董装阵睦漫批示踌姓择贱撒底胎循绕斋瑰彻至网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO52分类方法分类方法v另外的分类标准：实时和非实时处理系统。另外的分类标准：实时和非实时处理系统。非实时的检测系统通常在事后收集的审计日志非实时的检测系统通常在事后收集的审计日志文件基础上，进行离线分析处理，并找出可能文件基础上，进行离线分析处理，并找出可能的攻击行为踪迹，目的是进行系统配置的修补的攻击行为踪迹，目的是进行系统配置的修补工作，防范以后的攻击。工作，防范以后的攻击。实时处理系统可以实时监控，并在出现异常活实时处

56、理系统可以实时监控，并在出现异常活动时及时做出反应。动时及时做出反应。实时的概念是一个根据用实时的概念是一个根据用户需求而定的变量，当系统分析和处理的速度户需求而定的变量，当系统分析和处理的速度处于用户需求范围内时，就可以称为实时入侵处于用户需求范围内时，就可以称为实时入侵检测系统。检测系统。靡刷捧扳痈悟烫降脓甭锻目凯闭沉逃日倦回糠牵底挎颂微浮冠发甭善沂仍网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO入侵检测的步骤 v入侵检测系统的作用是实时地监控计算机系统的活动，发现可疑的攻击行为，以避免攻击的发生，或减少攻击造成的危害。由此也划分了入侵检测的三个基本步骤：信息收集、数据分

57、析和响应。诺函吃狰穗苇谨蛰轮惜典件柯西贮井蕾舶乱镜澈忌薛霜例战试理曰湘息咒网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO信息收集 v入侵检测的第一步就是信息收集，收集的内容包括整个计算机网络中系统、网络、数据及用户活动的状态和行为。v入侵检测在很大程度上依赖于收集信息的可靠性、正确性和完备性。因此，要确保采集、报告这些信息的软件工具的可靠性，这些软件本身应具有相当强的坚固性，能够防止被篡改而收集到错误的信息。否则，黑客对系统的修改可能使入侵检测系统功能失常但看起来却跟正常的系统一样。儡体议而刚最荔毒蔬凝抱抿贩撼挖璃回俺晋管孝唱朴浚刺铂摸寺娥袍凝焚网络安全-郑万波网络安全-6网

58、络安全-郑万波网络安全-6LOGO数据分析v数据分析（Analysis Schemes）是入侵检测系统的核心，它的效率高低直接决定了整个入侵检测系统的性能。根据数据分析的不同方式可将入侵检测系统分为异常入侵检测与误用入侵检测两类。 戴祁饮揍吏盯茁嫁迅郴啪墙赞毕磊殿严宗肿动昧腾羞娟鹏瞎增岔焦源晕柬网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO响应 v数据分析发现入侵迹象后，入侵检测系统的下一步工作就是响应。而响应并不局限于对可疑的攻击者。目前的入侵检测系统一般采取下列响应。v1、将分析结果记录在日志文件中，并产生相应的报告。v2、触发警报：如在系统管理员的桌面上产生一个告警标志

59、位，向系统管理员发送传呼或电子邮件等等。v3、修改入侵检测系统或目标系统，如终止进程、切断攻击者的网络连接，或更改防火墙配置等。瘟废窟撕橱铣塞梅还忠羊憎涟尖竖埂濒彝麦矿费洱答改吾赞年拄篮捕峻拳网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO57入侵检测的信息源入侵检测的信息源v入侵检测的信息源入侵检测的信息源操作系统的审计记录操作系统的审计记录操作系统的审计记录操作系统的审计记录系统日志系统日志系统日志系统日志应用程序日志信息应用程序日志信息应用程序日志信息应用程序日志信息基于网络数据的信息源基于网络数据的信息源基于网络数据的信息源基于网络数据的信息源其他的数据来源其他的数据来

60、源其他的数据来源其他的数据来源信息源的选择问题信息源的选择问题信息源的选择问题信息源的选择问题岁朵储吻舀娇锁胸著拯弊酶喳贝询拇预祭讼鸿匝鲜凛赶绿荷曹椽击席终其网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO58入侵检测的信息源入侵检测的信息源v对于入侵检测系统而言，输入数据的选择对于入侵检测系统而言，输入数据的选择是首先需要解决的问题：是首先需要解决的问题： 入侵检测的输出结果，首先取决于所能获得的入侵检测的输出结果，首先取决于所能获得的输入数据的数量和质量。输入数据的数量和质量。具体采用的入侵检测技术类型，也常常因为所具体采用的入侵检测技术类型，也常常因为所选择的输入数据的类

61、型不同而各不相同。选择的输入数据的类型不同而各不相同。骗擂韧酝拾惭膝泻握兔莹岛盏遍双下乍揖冈引旗熙曝挤匆壳写盐桩糖镰险网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO59操作系统的审计记录操作系统的审计记录v在入侵检测技术的发展历史中，最早采用的入侵在入侵检测技术的发展历史中，最早采用的入侵检测源就是检测源就是操作系统的审计记录操作系统的审计记录。操作系统的审。操作系统的审计记录是由操作系统软件内部的专门审计子系统计记录是由操作系统软件内部的专门审计子系统所产生的，其目的是记录当前系统的活动信息，所产生的，其目的是记录当前系统的活动信息，并将这些信息按照时间顺序组织成为一个或多

62、个并将这些信息按照时间顺序组织成为一个或多个审计文件。审计文件。v存在的问题：存在的问题：不同的系统在审计事件的选择、审计记录的选择和内不同的系统在审计事件的选择、审计记录的选择和内容组织等诸多方面都存在着兼容性的问题。容组织等诸多方面都存在着兼容性的问题。操作系统审计机制的设计和开发的初始目标，并不是操作系统审计机制的设计和开发的初始目标，并不是为了满足后来才出现的入侵检测技术的需求目的。为了满足后来才出现的入侵检测技术的需求目的。裤卿肺贝髓些挤肆噪拾棠沛鼓姬阉迫按尿白曹貌苔挎剁旅幂泌选娥蚂饵痉网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO60操作系统的审计记录操作系统的审

63、计记录v操作系统审计记录被认为是基于主机入侵检测技操作系统审计记录被认为是基于主机入侵检测技术的首选数据源：术的首选数据源：操作系统的审计系统在设计时，就考虑了审计记录的操作系统的审计系统在设计时，就考虑了审计记录的结构化组织工作结构化组织工作以及对审计记录内容的以及对审计记录内容的保护机制保护机制，因，因此操作系统审计记录的安全性得到了较好的保护。此操作系统审计记录的安全性得到了较好的保护。操作系统审计记录提供了在操作系统审计记录提供了在系统内核级系统内核级的事件发生情的事件发生情况，反映的是系统底层的活动情况并提供了相关的详况，反映的是系统底层的活动情况并提供了相关的详尽信息，为发现潜在的

64、异常行为特征奠定了良好的基尽信息，为发现潜在的异常行为特征奠定了良好的基础。础。v下面分别介绍两种流行的操作系统下面分别介绍两种流行的操作系统Sun Solaris和和Windows 2000的审计系统机制及审计记录格式。的审计系统机制及审计记录格式。概铂皖嚼停擞释窖钢忍嘱涨拘瘫锤滦型尧圣败卑铀越解柠秦决患赁投疮肝网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO61操作系统的审计记录操作系统的审计记录vSun Solaris BSMSun公司的公司的Solaris操作系统是目前流行的服务器操作系统是目前流行的服务器UNIX操作系统，其中包含的操作系统，其中包含的BSM安全模块使

65、得安全模块使得Solaris系统满足系统满足TCSEC标准的标准的C2级审计功能要级审计功能要求。求。BSM安全审计子系统的主要概念包括审计日安全审计子系统的主要概念包括审计日志、审计文件、审计记录和审计令牌等，其中志、审计文件、审计记录和审计令牌等，其中审审计日志由一个或多个审计文件组成，每个审计文计日志由一个或多个审计文件组成，每个审计文件包含多个审计记录，而每个审计记录则由一组件包含多个审计记录，而每个审计记录则由一组审计令牌（审计令牌（audit token）构成）构成。图图1所示为所示为BSM审计记录的格式。审计记录的格式。图图2所示为每个审计令牌包括的字段。所示为每个审计令牌包括的

66、字段。撇滩瓤驯劈岭跋莽丁石黍钓氛洽混捏涨渔前潮慈财梦基多搏莽厌膘爪皖益网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGOHeader*Process*Argumnet*Attribute*DataIn_addrIpIpc_permIpcIportPath*TextGroupsOpaqueReturn*Trailer图图1Header Tokentoken IDrecord sizeevent type *time of queue *Process Tokentoken IDaudit ID *user ID *real user IDreal group ID*process

67、ID*Argument Tokentoken IDargument IDargument value *string lengthtextReturn Tokentoken IDuser errorreturn value *Trailer Tokentoken IDmagic numberrecord sizePath Tokentoken IDsize of rootcurrent rootsize of dircurrent dirsize of pathpath argument *Attribute Tokentoken IDvnode mode *vnode uid *vnode

68、gid *vnode fsid *vnode nodeid *vnode rdev *图图2略奄如摸障狈墟零卉役颓矿谴岁发两啪狰舍角阀贰弊揖竞汐指哎尔捌层婿网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO63操作系统的审计记录操作系统的审计记录v每个每个BSM审计记录都表示了一次审计事件（审计记录都表示了一次审计事件（audit event）的发生。）的发生。BSM审计机制中定义了若干审审计机制中定义了若干审计事件类型，而通常的入侵检测系统仅使用了其计事件类型，而通常的入侵检测系统仅使用了其中部分事件类型，其他则丢弃。不同的审计事件中部分事件类型，其他则丢弃。不同的审计事件类型

69、所生成的审计记录，都会包含不同的审计令类型所生成的审计记录，都会包含不同的审计令牌组合。一般而言，牌组合。一般而言，Header、Process、Return和和Trailer令牌字段是固定字段。令牌字段是固定字段。vBSM审计记录以二进制的形式进行存储，其字段审计记录以二进制的形式进行存储，其字段结构和数据结构大小都实现了预先定义，从而提结构和数据结构大小都实现了预先定义，从而提供了在不同平台系统间进行移植的兼容性。供了在不同平台系统间进行移植的兼容性。插诵闲藏皇吝古选侥丽咕郊减梧竖轿汗站勇尿覆幸辛虚耽册货随狼铬团粤网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO64操作系统

70、的审计记录操作系统的审计记录v在传统的在传统的Unix系统中，没有单独的内核级审计措施。系统系统中，没有单独的内核级审计措施。系统通过通过Syslog和和accton等传统日志来实现审计功能的。为等传统日志来实现审计功能的。为了达到了达到C2安全级别，安全级别，Solaris系统实现了一个单独的安全系统实现了一个单独的安全审计模块审计模块BaseSecurityModule (BSM)，BSM默认在系统默认在系统中不启用。在中不启用。在Solaris 2.3之后的系统中，之后的系统中，BSM成为成为Solaris初始化系统的一部分，因此只要安装了初始化系统的一部分，因此只要安装了Solaris

71、系系统，统，BSM默认就已存在于您的系统内了。默认就已存在于您的系统内了。v开启开启BSM: # init 1 (重新引导或改变运行级别到单用户状态重新引导或改变运行级别到单用户状态) #/etc/security/bsmconv (运行运行BSM初始化脚本，开启审计功能初始化脚本，开启审计功能) # /etc/security/bsmunconv (关闭审计功能关闭审计功能)# reboot (重新启动系统重新启动系统) 躇利烈袋矣胎渺蔓猖呸舆仿浅酝囤淀何留振劫莹需奋官崭焰压率庭靖容懈网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO65操作系统的审计记录操作系统的审计记录v在

72、默认配置情况下，BSM每天(24小时)会生成一个以当天日期为名字的审计日志，存放在/var/audit目录下，这个文档具备自己的数据结构，所以直接查看时是乱码，必须使用系统命令 praudit来查看。 # praudit /var/audit/xxxxxx.xxxxxx.log v另一个可能用到的命令是auditreduce ，这个命令允许管理员对审计日志做一些配置，例如调整审计事件集或调整审计日志生成周期等等。 vauditreduce和praudit是系统中BSM管理最基本的两个命令。眶息孔按戍雾讶尔志碰掀帧饼掉猫追褐窘叶嘎观蝉幂强忧唤傣漫蚤酌连特网络安全-郑万波网络安全-6网络安全-郑万

73、波网络安全-6LOGO66操作系统的审计记录操作系统的审计记录vWindows 2000Windows 2000以事件日志机制形式提供数据源，以事件日志机制形式提供数据源，使用事件查看器进行查看和管理。可以根据事件的使用事件查看器进行查看和管理。可以根据事件的日志记录来识别和跟踪安全性事件、资源使用情况，日志记录来识别和跟踪安全性事件、资源使用情况，以及系统和应用程序中发生的错误等。以及系统和应用程序中发生的错误等。vWindows 2000事件日志机制收集事件日志机制收集3种类型的系统种类型的系统事件：事件： 应用程序日志、安全日志和系统日志。右应用程序日志、安全日志和系统日志。右击某个记录

74、，在击某个记录，在“属性属性”中可以看到关于此记录的详中可以看到关于此记录的详细说明。记录本身又分为几种情况：细说明。记录本身又分为几种情况： “错误错误”是指比较严重的问题，通常是出现了数据丢失或是指比较严重的问题，通常是出现了数据丢失或功能丢失；功能丢失；“警告警告”则表明情况暂时不严重，但可能会在将来引起错则表明情况暂时不严重，但可能会在将来引起错误，比如磁盘空间太小等；误，比如磁盘空间太小等；“信息信息”是记录运行成功的事件。是记录运行成功的事件。盅坪柴翠巢税涧呐宽皑相盗茨咯癸元油拯忱氦贾各讣蜀官棕摧谢敬夺拢鹿网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO67操作系统

75、的审计记录操作系统的审计记录Windows 2000事件查看器鹤候涤沪泣系露淀桃演鸦追蔬若蹲苹雏瘦瓣豌践朝易挟忱柱凤笼娶诽涨狱网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO68操作系统的审计记录操作系统的审计记录v应用程序日志应用程序日志记录应用程序运行方面的错误。记录应用程序运行方面的错误。v安全日志安全日志记录与安全性相关的事件，记录与安全性相关的事件，Windows 2000的默认安装是不打开任何安全日志审核的，的默认安装是不打开任何安全日志审核的，需要在需要在“本地安全设置本地安全设置”“本地策略本地策略”“审核策略审核策略”中打开相应的审核。中打开相应的审核。v系统

76、日志系统日志包括由包括由Windows 2000系统组件记录的事系统组件记录的事件，它由件，它由Windows 2000自动配置。自动配置。v所有用户都能够查看应用程序日志和系统日志，但所有用户都能够查看应用程序日志和系统日志，但安全性日志只能由系统管理员访问。安全性日志只能由系统管理员访问。老葱俏哮鞋锦割咯淹酗融澈胚薄枪硝搏兔戮曝扭郸靡侮色忍圈倦礼嘱岭皆网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO69操作系统的审计记录操作系统的审计记录vWindows 2000的事件日志由多个事件记录的事件日志由多个事件记录组成，事件查看器中所包含的事件日志的组成，事件查看器中所包含的事

77、件日志的格式统一如下：格式统一如下：类型：类型：错误：错误： 重要的问题，如数据丢失或功能丧失。重要的问题，如数据丢失或功能丧失。警告：警告： 不是非常重要但将来可能出现的问题事件。不是非常重要但将来可能出现的问题事件。信息：信息： 描述应用程序、驱动程序或服务的成功操作描述应用程序、驱动程序或服务的成功操作的事件。的事件。成功审核：成功审核： 审核安全访问尝试成功。审核安全访问尝试成功。失败审核：失败审核： 审核安全访问尝试失败。审核安全访问尝试失败。日期：日期： 事件产生的详细日期。事件产生的详细日期。缴血尝纫缘恢茫巍庸就煽箕旺众睫电速抬肃粟茅排侮寄滁安莉裕叼经薄饭网络安全-郑万波网络安全

78、-6网络安全-郑万波网络安全-6LOGO70操作系统的审计记录操作系统的审计记录时间：时间： 事件产生的详细时间，单位秒。事件产生的详细时间，单位秒。来源：来源： 事件的生成者，有很多种类的来源，其中有事件的生成者，有很多种类的来源，其中有来自操作系统内部程序的，也有来自应用程序的。来自操作系统内部程序的，也有来自应用程序的。分类：分类： 对事件的分类，如系统事件、特权使用、登对事件的分类，如系统事件、特权使用、登录录/注销等。注销等。事件：事件： 事件事件ID。Windows 2000用不同的用不同的ID来表明来表明惟一的事件。惟一的事件。用户：用户： 用户名。包括用户名。包括SYSTEM、

79、Administrator等。等。计算机：计算机： 计算机名称。可以是本地计算机，也可以计算机名称。可以是本地计算机，也可以是远程计算机。是远程计算机。灿芋尖级歧滓霄果韶拍生斤蒜诊贾莆约级陨才呻蛇恿沟扰盟蚂全弗粉挝轧网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO71入侵检测的信息源入侵检测的信息源v入侵检测的信息源入侵检测的信息源操作系统的审计记录操作系统的审计记录操作系统的审计记录操作系统的审计记录系统日志系统日志系统日志系统日志应用程序日志信息应用程序日志信息应用程序日志信息应用程序日志信息基于网络数据的信息源基于网络数据的信息源基于网络数据的信息源基于网络数据的信息源其

80、他的数据来源其他的数据来源其他的数据来源其他的数据来源信息源的选择问题信息源的选择问题信息源的选择问题信息源的选择问题废晌恰泊女婉歼至零给搏蔼蚀榜故劝虞门惕哨郊湛抽显筹鼎糊渊糜信撞吱网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO72系统日志系统日志v系统使用日志机制记录下主机上发生的事情，无系统使用日志机制记录下主机上发生的事情，无论是对日常管理维护，还是对追踪入侵者的痕迹论是对日常管理维护，还是对追踪入侵者的痕迹都非常关键。日志可分为都非常关键。日志可分为操作系统日志和应用程操作系统日志和应用程序日志序日志两部分。操作系统日志从不同的方面记录两部分。操作系统日志从不同的方面

81、记录了系统中发生的事情，对于入侵检测而言具备重了系统中发生的事情，对于入侵检测而言具备重要的价值。要的价值。v系统日志的安全性与操作系统的审计记录系统日志的安全性与操作系统的审计记录比较而比较而言要差一些，其原因如下：言要差一些，其原因如下： 产生系统日志的软件通常是在内核外运行的应用程序，产生系统日志的软件通常是在内核外运行的应用程序，因而这些软件容易受到恶意的修改或攻击。因而这些软件容易受到恶意的修改或攻击。系统日志通常是存储在普通的不受保护的文件目录里，系统日志通常是存储在普通的不受保护的文件目录里，容易受到恶意的篡改和删除等操作。容易受到恶意的篡改和删除等操作。耪轴分舍迟顷丰滨劳吻徽吁

82、唐园崭僧金涎溪疽肺总凯与镊盅猎旋失株释惋网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO73系统日志系统日志v尽管如此，系统日志仍然以其简单易读、容易处尽管如此，系统日志仍然以其简单易读、容易处理等优势成为入侵检测的一个重要输入数据源。理等优势成为入侵检测的一个重要输入数据源。vUNIX操作系统提供门类齐全的系统日志文件，并操作系统提供门类齐全的系统日志文件，并且能够通过通用日志服务后台程序且能够通过通用日志服务后台程序syslogd来提来提供标准化的日志服务。供标准化的日志服务。UNIX操作系统的主要日志操作系统的主要日志文件可以分成文件可以分成3类：类： 二进制连接时间日志

83、文件，由多个程序生成，消息写二进制连接时间日志文件，由多个程序生成，消息写入到入到/var/log/wtmp和和/var/run/utmp，login等系统程等系统程序负责更新序负责更新wtmp和和utmp文件，使系统管理员能够跟文件，使系统管理员能够跟踪谁在何时登录到系统。踪谁在何时登录到系统。进程日志，由系统内核生成。当一个进程终止时，系进程日志，由系统内核生成。当一个进程终止时，系统内核为每个进程在进程日志文件（统内核为每个进程在进程日志文件（pacct或或acct）中）中写入一条记录。写入一条记录。炙晾友淳捶鸽频呢墨剩猾屉表彦底义童所苏轧修啦舰朗颇赫袖乞瓦户誓兑网络安全-郑万波网络安全

84、-6网络安全-郑万波网络安全-6LOGO74系统日志系统日志syslogd日志，由日志，由syslogd生成并维护。各种系统守护生成并维护。各种系统守护进程、内核、模块使用进程、内核、模块使用syslogd记录下自己发出的消息。记录下自己发出的消息。另外还有许多另外还有许多UNIX程序创建日志，像程序创建日志，像http 或或ftp这样提这样提供网络服务的服务器也保持详细的日志。供网络服务的服务器也保持详细的日志。vutmp、wtmp和和lastlog日志文件是日志文件是UNIX日志子系日志子系统的关键，用于保持用户登录和退出的记录。数统的关键，用于保持用户登录和退出的记录。数据交换、关机和重

85、启也记录在据交换、关机和重启也记录在wtmp文件中。所有文件中。所有的记录都包含时间戳。这些文件的规模（除了的记录都包含时间戳。这些文件的规模（除了lastlog）在拥有大量用户的繁忙系统中，将会增）在拥有大量用户的繁忙系统中，将会增长得非常迅速。许多系统以天或周为单位把长得非常迅速。许多系统以天或周为单位把wtmp配置成循环使用。配置成循环使用。课踩胖扎皋杠桃拢榔惰冀浴秋福猴缴皿叙政轧驴警镊洞腹屎盖辅匹锈倔嗣网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO75系统日志系统日志vutmp、wtmp和和lastlog是二进制文件，不能用普通文本查是二进制文件，不能用普通文本查看器

86、查看，只能通过系统命令来查看，主要包括用户名、看器查看，只能通过系统命令来查看，主要包括用户名、终端、登录终端、登录ip、CPU使用时间、正在运行的进程、登录时使用时间、正在运行的进程、登录时间和退出时间等内容。间和退出时间等内容。vUNIX可以跟踪每个用户运行的每条命令。该功能（称为可以跟踪每个用户运行的每条命令。该功能（称为进程日志）对于跟踪系统问题十分有用。它还对跟踪特定进程日志）对于跟踪系统问题十分有用。它还对跟踪特定入侵者（或恶意用户）的活动很有帮助，但它的缺点是不入侵者（或恶意用户）的活动很有帮助，但它的缺点是不能记录命令的参数。进程日志文件的名称和位置在不同能记录命令的参数。进程

87、日志文件的名称和位置在不同UNIX 版本中有所不同。版本中有所不同。v与连接日志不同，进程日志默认时并不激活，它必须显式与连接日志不同，进程日志默认时并不激活，它必须显式地启动。地启动。 vlastcomm命令报告以前执行的命令。命令报告以前执行的命令。sa命令报告、清理命令报告、清理并维护进程日志文件。并维护进程日志文件。 疥碉腾橙冒积砧泥数小鼎抚输货抖少绳绣慰觅犯夕捶淀飘澳册负屁贰讲垢网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO76系统日志系统日志vsyslog可以记录系统事件，可以写消息到一个文可以记录系统事件，可以写消息到一个文件或设备，或是直接给用户发送一个信息。

88、它能件或设备，或是直接给用户发送一个信息。它能记录本地日志或通过网络记录另一个主机上的日记录本地日志或通过网络记录另一个主机上的日志。志。syslog设备包括两个重要元素：设备包括两个重要元素： /etc/syslogd（守护程序）和（守护程序）和/etc/syslog.conf （配置文件）。（配置文件）。vsyslogd可以处理的消息类型在可以处理的消息类型在/usr/include/sys/syslog.h中进行定义。一个消中进行定义。一个消息可以分成两个部分：息可以分成两个部分： “设备设备”和和“优先级优先级”。“设备设备”标识发出消息的子系统，这是内核定义的所有标识发出消息的子系统

89、，这是内核定义的所有的设备。的设备。“优先级优先级”表示消息的重要性，其范围从表示消息的重要性，其范围从7（最低）到（最低）到0（最高）。（最高）。赔晋贞粤牡绪函智翘剑父批显垛滴湖坝娜硬娱灌语一叭佃莉训被镀赌纱发网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO77系统日志系统日志v通过通过syslogd生成的文件有着的统一格式，生成的文件有着的统一格式， 时间戳：时间戳： 主机名：主机名： 消息发送者：消息发送者： 消息描述。消息描述。v例如：例如：Jun 12 11 06 11 Invent passwd337: password for progs changed by r

90、oot表示表示6月月12日日11时时6分分11秒，名为秒，名为Invent的的主机收到来自主机收到来自passwd的消息，描述用户的消息，描述用户progs的口令被的口令被root改变了。改变了。诸藻梢钠侵嫌锯承佩婆财蛾梅合跋丹民鹰净腺梗缓裂蕴嫁阳身终虱蛊海京网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO78入侵检测的信息源入侵检测的信息源v入侵检测的信息源入侵检测的信息源操作系统的审计记录操作系统的审计记录操作系统的审计记录操作系统的审计记录系统日志系统日志系统日志系统日志应用程序日志信息应用程序日志信息应用程序日志信息应用程序日志信息基于网络数据的信息源基于网络数据的信息

91、源基于网络数据的信息源基于网络数据的信息源其他的数据来源其他的数据来源其他的数据来源其他的数据来源信息源的选择问题信息源的选择问题信息源的选择问题信息源的选择问题黎惭肖岛蛀丹大军检访矢窟钥慷蹦酱食燕缕珊恼锗述码瞎乘摇涟九认树怪网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO79应用程序日志信息应用程序日志信息v日益复杂化的系统设计，使得单纯从内核底层级日益复杂化的系统设计，使得单纯从内核底层级的数据源来分析判断当前整个系统活动的情况，的数据源来分析判断当前整个系统活动的情况，变得越来越困难。同时，底层级别安全数据的规变得越来越困难。同时，底层级别安全数据的规模也迅速膨胀，增加了

92、分析的难度。模也迅速膨胀，增加了分析的难度。v此时，需要采用反映系统活动的较高层次信息，此时，需要采用反映系统活动的较高层次信息，例如应用程序日志，作为分析检测的数据源。应例如应用程序日志，作为分析检测的数据源。应用程序日志因为是用户级别的系统活动抽象信息，用程序日志因为是用户级别的系统活动抽象信息，所以更加容易理解和处理。其次，网络化计算环所以更加容易理解和处理。其次，网络化计算环境的普及，导致入侵攻击行为的目标越来越集中境的普及，导致入侵攻击行为的目标越来越集中于提供网络服务的各种特定应用程序。于提供网络服务的各种特定应用程序。渗况贬镊鄂要间住邑陵剪巨梧姬席茸矫辨挠惟童机悼逸抠权盟烘棋德渴

93、叠网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO80应用程序日志信息应用程序日志信息v采用应用程序日志作为入侵检测的输入数据源，也存在着问题和风险：应用程序的日志信息通常更易遭到恶意的攻击，包括篡改和删除等操作。尽管很多操作系统提供应用程序级别的审计功能，但是很多特定的应用程序中并不包括这些审计特性，或者是审计功能并没有提供足够详细的信息。换矽使美崖碑乔氖羞顺庞大唇峨科探苯蜀砌之祷宫垃动糕配硒络肤衙翅丈网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO81入侵检测技术分类入侵检测技术分类 v入侵检测的信息源入侵检测的信息源操作系统的审计记录操作系统的审计记录操作

94、系统的审计记录操作系统的审计记录系统日志系统日志系统日志系统日志应用程序日志信息应用程序日志信息应用程序日志信息应用程序日志信息基于网络数据的信息源基于网络数据的信息源基于网络数据的信息源基于网络数据的信息源其他的数据来源其他的数据来源其他的数据来源其他的数据来源信息源的选择问题信息源的选择问题信息源的选择问题信息源的选择问题慑椿芜遇擞哺积慢耽氢隐农氧肃糙彩巾冕最烙熊倍掖虏榴抚锤戚罚榴壮穴网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO82基于网络数据的信息源基于网络数据的信息源v近年来商用入侵检测系统大多采用了网络近年来商用入侵检测系统大多采用了网络数据作为其主要的输入数据源

95、。采用网络数据作为其主要的输入数据源。采用网络数据源具有以下优势：数据源具有以下优势：通过网络被动监听的方式来获取网络数据包，通过网络被动监听的方式来获取网络数据包，作为入侵检测系统输入信息源的工作过程，对作为入侵检测系统输入信息源的工作过程，对目标监控系统的运行性能几乎没有任何影响，目标监控系统的运行性能几乎没有任何影响，并且通常无须改变原有网络的结构和工作方式。并且通常无须改变原有网络的结构和工作方式。嗅探器（嗅探器（sniffer）模块在工作时，可以采用对）模块在工作时，可以采用对网络用户透明的模式，因而降低了其本身遭到网络用户透明的模式，因而降低了其本身遭到入侵者攻击的概率。入侵者攻击

96、的概率。蜜酝拈坠趣曳纸管廖沟奎僵猴命猎袍销头箕宿愈娄靠属享佬舟诵豁高骸学网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO83基于网络数据的信息源基于网络数据的信息源基于网络数据的输入信息源，可以发现许多基基于网络数据的输入信息源，可以发现许多基于主机数据源所无法发现的攻击手段。于主机数据源所无法发现的攻击手段。网络数据包的标准化程度，相对主机数据源而网络数据包的标准化程度，相对主机数据源而言要高许多。因此，采用网络数据作为输入信言要高许多。因此，采用网络数据作为输入信息源，有助于入侵检测系统在不同目标系统平息源，有助于入侵检测系统在不同目标系统平台环境下的移植工作。台环境下的移

97、植工作。v目前，大部分的网络环境都采用了标准的目前，大部分的网络环境都采用了标准的TCP/IP协议作为通信协议，因此大部分的协议作为通信协议，因此大部分的入侵检测系统的数据分析的重点也放在了入侵检测系统的数据分析的重点也放在了对对TCP/IP协议数据包的截获和分析工作上。协议数据包的截获和分析工作上。酶粒掐绞胸绞幕跳顿囤搐时悍滞息框雌片虞巾谬搪桓住郴眠逊账呛尉瘪孰网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO84入侵检测技术分类入侵检测技术分类 v入侵检测的信息源入侵检测的信息源操作系统的审计记录操作系统的审计记录操作系统的审计记录操作系统的审计记录系统日志系统日志系统日志系

98、统日志应用程序日志信息应用程序日志信息应用程序日志信息应用程序日志信息基于网络数据的信息源基于网络数据的信息源基于网络数据的信息源基于网络数据的信息源其他的数据来源其他的数据来源其他的数据来源其他的数据来源信息源的选择问题信息源的选择问题信息源的选择问题信息源的选择问题竿浆藤惨好诞浇印胡肯匿彬卢炮英羡荐俄则恍裹客措醇鹃波冒何镣守彩晒网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO85其他的数据来源其他的数据来源v来自其他安全产品的数据源来自其他安全产品的数据源入侵检测只是整体安全防护模型中的一部分。入侵检测只是整体安全防护模型中的一部分。在目标系统内部还可能存在许多其他独立运行

99、在目标系统内部还可能存在许多其他独立运行的安全产品。无疑，来自安全产品的数据信息的安全产品。无疑，来自安全产品的数据信息是进行更加有效的准确的入侵检测所必须考虑是进行更加有效的准确的入侵检测所必须考虑的输入数据源。的输入数据源。入侵检测系统采用其他安全产品的事件日志作入侵检测系统采用其他安全产品的事件日志作为自己的输入数据源，可以凸现入侵检测在整为自己的输入数据源，可以凸现入侵检测在整个动态计算机安全模型中的关键角色和重要地个动态计算机安全模型中的关键角色和重要地位，显示出动态安全监控的能力在应付当前日位，显示出动态安全监控的能力在应付当前日益复杂的安全威胁模式中所发挥的不可或缺的益复杂的安全

100、威胁模式中所发挥的不可或缺的作用。作用。茄讶旦衬鼠河秸无胺公这弹蛇臼封岭江迂轴祷酸蕾渝遏挞秋酚剪距衔剔符网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO86其他的数据来源其他的数据来源v来自网络设备的数据源来自网络设备的数据源除了直接从网络截获数据包作为输入数据外，入侵检除了直接从网络截获数据包作为输入数据外，入侵检测系统还能够利用其他网络设备所提供的关于网络数测系统还能够利用其他网络设备所提供的关于网络数据流量的各种信息数据。据流量的各种信息数据。通过采用网络管理系统提供的信息，入侵检测系统可通过采用网络管理系统提供的信息，入侵检测系统可以更好地确定输出的检测结果是与系统安全

101、方面相关以更好地确定输出的检测结果是与系统安全方面相关的问题，还是与其他方面相关的问题，从而有助于降的问题，还是与其他方面相关的问题，从而有助于降低检测的误报概率。低检测的误报概率。另外一个有用的网络设备数据来源，是路由器或者交另外一个有用的网络设备数据来源，是路由器或者交换机提供的数据信息。这些日志文件中的数据信息大换机提供的数据信息。这些日志文件中的数据信息大多是反映了当前网络活动情况的统计数据，利用这些多是反映了当前网络活动情况的统计数据，利用这些输入数据源，入侵检测同样可以提高自身检测结果的输入数据源，入侵检测同样可以提高自身检测结果的准确性和精确性。准确性和精确性。镣赋时丝雏凉河忽奈

102、筒促请玄附赃疲奶肚狞赣焦投处蕊荔锥政扬尤窟张郎网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO87其他的数据来源其他的数据来源v带外（带外（out of band）数据源）数据源所谓所谓“带外带外”数据源通常是指由人工方式提供的数据源通常是指由人工方式提供的数据信息。带外数据源的例子还包括系统管理数据信息。带外数据源的例子还包括系统管理员对入侵检测系统所进行的各种管理控制操作。员对入侵检测系统所进行的各种管理控制操作。目前的入侵检测技术对如何合理有效地利用这目前的入侵检测技术对如何合理有效地利用这些些“带外带外”数据源方面的研究还很不充分。数据源方面的研究还很不充分。v除了上面

103、所述的全部数据源之外，还有一除了上面所述的全部数据源之外，还有一种特殊的数据源类型，即来自文件系统的种特殊的数据源类型，即来自文件系统的信息源。信息源。狼雾攫坑翰荫夷髓颗婴丝承瓤弄窃蛆医嗅混抡檬宙谍中腾徽媚惟脊伐技珍网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO88信息源的选择问题信息源的选择问题v基本的原则是根据入侵检测系统设计的检基本的原则是根据入侵检测系统设计的检测目标来选择所需的输入数据源。测目标来选择所需的输入数据源。如果设计要求检测主机用户的异常活动，或者如果设计要求检测主机用户的异常活动，或者是特定应用程序的运行情况等，采用主机数据是特定应用程序的运行情况等，采

104、用主机数据源是比较合适的；源是比较合适的；如果需要发现通过网络协议发动的入侵攻击就如果需要发现通过网络协议发动的入侵攻击就要采用来自网络数据的输入信息。要采用来自网络数据的输入信息。如果系统设计要求监控整个目标系统内的总体如果系统设计要求监控整个目标系统内的总体安全状况等，此时就需要同时采用来自主机和安全状况等，此时就需要同时采用来自主机和网络的数据源；网络的数据源；在分布式的环境下，或许还要考虑到包括带外在分布式的环境下，或许还要考虑到包括带外数据在内的其他类型数据源。数据在内的其他类型数据源。趋爸啤轮绽欧韭拒荆奎海镣佩郡惹钩墓兜啄珍典莎蜒旺又袒喳抡糜邦壬盅网络安全-郑万波网络安全-6网络安

105、全-郑万波网络安全-6LOGO89主机审计数据的获取主机审计数据的获取v审计数据的获取质量和数量，决定了主机审计数据的获取质量和数量，决定了主机入侵检测工作的有效程度。审计数据的获入侵检测工作的有效程度。审计数据的获取工作主要需要考虑下列问题。取工作主要需要考虑下列问题。 确定审计数据的来源和类型。确定审计数据的来源和类型。审计数据的预处理工作，其中包括审计数据的预处理工作，其中包括记录标准格记录标准格式的设计、过滤和映射操作等式的设计、过滤和映射操作等。审计数据的获取方式，包括审计审计数据的获取方式，包括审计数据获取模块数据获取模块的结构设计和传输协议的结构设计和传输协议等。等。陈桐腐声侈言

106、炕桑灼单铁辉胸退楷充瞳餐陷捂早父吊冻育殉击挟膊悔莱汽网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO90主机审计数据的获取主机审计数据的获取v根据目标系统的不同类型和主机入侵检测根据目标系统的不同类型和主机入侵检测的不同要求，所需要收集的审计数据的类的不同要求，所需要收集的审计数据的类型不尽相同。型不尽相同。v从目标主机的类型来看，不同操作系统的从目标主机的类型来看，不同操作系统的审计机制设计存在差异，主机活动的审计审计机制设计存在差异，主机活动的审计范围和类型也有不同。范围和类型也有不同。v根据不同主机入侵检测系统的设计要求和根据不同主机入侵检测系统的设计要求和需要，其具体选

107、取的审计数据类型和来源需要，其具体选取的审计数据类型和来源也各有侧重。也各有侧重。偏匣赴孤嗜代亭丽劣破货令槛蕾井间犯刷大揍屯膨像浚文肤砂枢它谆屋紫网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO91主机审计数据的获取主机审计数据的获取v以以IDES系统为例。系统为例。IDES在在Sun UNIX目标目标系统环境下所收集到的审计数据，主要分系统环境下所收集到的审计数据，主要分为为4个典型类型。个典型类型。文件访问文件访问: 包括对文件和目录进行的操作，如包括对文件和目录进行的操作，如读取、写入、创建、删除和访问控制列表的修读取、写入、创建、删除和访问控制列表的修改。改。系统访问系

108、统访问: 包括登录、退出、调用以及终止超包括登录、退出、调用以及终止超级用户权限等。级用户权限等。资源消耗资源消耗: 包括包括CPU、I/O和内存的使用情况。和内存的使用情况。进程创建命令的调用进程创建命令的调用: 指示一个进程的创建。指示一个进程的创建。雌涡酒性骑身局笔排腰秩常洽江俞肢芒纹臭誓芹届鸟极沼蚊孝培兼岳侧黍网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO92主机审计数据的获取主机审计数据的获取vIDES必须从必须从Sun环境中的多个不同信息源来收集环境中的多个不同信息源来收集审计数据。这些信息源包括：审计数据。这些信息源包括： Sun OS 4.0 标准标准审计系统

109、、审计系统、Sun C2 安全审计包和安全审计包和UNIX记账系统。记账系统。标准标准Sun OS 4.0系统在日志文件中收集所有的审计信系统在日志文件中收集所有的审计信息。在所定义的时间间隔内，系统将关闭一个审计文息。在所定义的时间间隔内，系统将关闭一个审计文件，并开始写入审计记录到一个新文件。原先所使用件，并开始写入审计记录到一个新文件。原先所使用的文件将保持不变，直至被系统管理员手工删除（或的文件将保持不变，直至被系统管理员手工删除（或者被一个授权的自动进程删除）。者被一个授权的自动进程删除）。IDES所用的审计数据来自所用的审计数据来自Sun C2安全包。对于运行在安全包。对于运行在S

110、un OS 4.0或者更新版本上的系统，目标系统可以通或者更新版本上的系统，目标系统可以通过对该安全包的配置和使用，使得目标机器可以在一过对该安全包的配置和使用，使得目标机器可以在一个审计日志文件中记录所选择的系统调用。个审计日志文件中记录所选择的系统调用。矣搅熊捷趟懒郴匿痰仿召惶篓裁掷减痔拯披季帆事瘸钎钩绅眉展跪义讫四网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO93主机审计数据的获取主机审计数据的获取v在确定审计数据的类型和来源后，主机入在确定审计数据的类型和来源后，主机入侵检测所要进行的主要工作就是审计数据侵检测所要进行的主要工作就是审计数据的预处理工作，包括映射、过滤

111、和格式转的预处理工作，包括映射、过滤和格式转换等操作。换等操作。v预处理工作的必要性体现在以下几个方面。预处理工作的必要性体现在以下几个方面。 有利于系统在不同目标平台系统之间的移植；有利于系统在不同目标平台系统之间的移植；便于后继的处理模块进行检测工作。便于后继的处理模块进行检测工作。需要对审计记录流进行必要的映射和过滤等操需要对审计记录流进行必要的映射和过滤等操作。作。迪扣揭锋则俄争押茫甸送类培娃匙蔚粱脯宣题磅咱惮冀辟挂仰诉斥侈嫌衫网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO94主机审计数据的获取主机审计数据的获取v标准审计记录格式的设计标准审计记录格式的设计以以IDE

112、S系统为例，系统为例，IDES审计记录格式是基于若干设计审计记录格式是基于若干设计考虑的。考虑的。它必须通用程度足够高，以便能够表示目标监控系统的所有可它必须通用程度足够高，以便能够表示目标监控系统的所有可能事件类型。能事件类型。它应该是该机器中最有效的数据表示形式，以将处理开销降低它应该是该机器中最有效的数据表示形式，以将处理开销降低到最小程度。到最小程度。记录格式应该按标准化设计，使记录格式应该按标准化设计，使IDES能够从多个不同类型的能够从多个不同类型的机器处接收输入记录，而无须进行任何的数据转换。理想的情机器处接收输入记录，而无须进行任何的数据转换。理想的情况下，况下，审计记录只进行

113、一次格式化审计记录只进行一次格式化。IDES审计记录用审计记录用动作类型动作类型来进行分类。共有约来进行分类。共有约30种不种不同的动作类型。同的动作类型。每个每个IDES审计记录包括一个动作类型和若干字段，用审计记录包括一个动作类型和若干字段，用于对该动作进行参数化取值。于对该动作进行参数化取值。以下是为以下是为IDES入侵检测分析而定义的部分动作类型。入侵检测分析而定义的部分动作类型。 代窟啼乱绞戊烹破旧上蕉疽日鲍谣酝鹤谋芜墙碘钙刁唇碘宦援尊丘舶肆屎网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO95审计数据的获取审计数据的获取IA_VOID： 此为没有操作。此为没有操作。

114、IA_WRITE： 文件被打开以备写入或者已经写入。文件被打开以备写入或者已经写入。IA_READ： 文件被打开以备读取或者已经读取。文件被打开以备读取或者已经读取。IA_DELETE： 所指定的文件已被删除。所指定的文件已被删除。IA_CREATE： 所指定的文件被创建。所指定的文件被创建。IA_RMDIR： 所指定的目录被删除。所指定的目录被删除。IA_XHMOD： 所指定文件的访问模式已经改变。所指定文件的访问模式已经改变。IA_EXEC： 所指定的命令已经被调用。所指定的命令已经被调用。IA_XHOWN： 所指定对象（文件）的所有权已经改变。所指定对象（文件）的所有权已经改变。IA_R

115、ENAME： 文件被重命名。文件被重命名。IA_MKDIR： 目录被创建。目录被创建。IA_LOGIN： 指定用户登录进入系统。指定用户登录进入系统。IA_BAD_LOGIN： 指定用户的登录尝试失败。指定用户的登录尝试失败。IA_SU： 调用超级用户权限。调用超级用户权限。IA_RESOURCE： 资源（内存、资源（内存、CPU时间、时间、I/O）被消耗。）被消耗。IA_LOGOUT： 所指定的用户退出系统。所指定的用户退出系统。IA_UNCAT： 其他所有未指定的动作。其他所有未指定的动作。偶披荒赦依巨秉垮铃职卧偏勤酋热入摈茵疆伴辟闹侠屹驴铁肯宁褪具乡成网络安全-郑万波网络安全-6网络安全

116、-郑万波网络安全-6LOGO96主机审计数据的获取主机审计数据的获取vIDES的功能取决于其所接收到的信息。因此，每的功能取决于其所接收到的信息。因此，每个审计记录中应该尽可能地提供更多的信息。个审计记录中应该尽可能地提供更多的信息。IDES系统认为并非所有的目标系统都能够提供系统认为并非所有的目标系统都能够提供IDES所期望接收的所有信息，因此在审计记录格所期望接收的所有信息，因此在审计记录格式里，能够忽略若干字段以便容纳那些不能提供式里，能够忽略若干字段以便容纳那些不能提供这些信息的目标主机。这些信息的目标主机。v在在IDES审计记录中所有能够被填入相关信息的字审计记录中所有能够被填入相关

117、信息的字段都应该被填写。如果对某些字段没有相关数据，段都应该被填写。如果对某些字段没有相关数据，则这些字段应被设定为某些明显的默认值。则这些字段应被设定为某些明显的默认值。v并不是所有的可检测事件都需要报告给并不是所有的可检测事件都需要报告给IDES。讨泉从兰檀疮炳礁牺粱剔涝莉呆狭谆抹业丸螟匀贡灸宙传噪柬苔锭烁佬哪网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO97主机主机审计数据的获取审计数据的获取v审计数据获取模块的设计审计数据获取模块的设计审计数据获取模块的主要作用是获取目标系统审计数据获取模块的主要作用是获取目标系统的审计数据，并经过预处理工作后，最终目标的审计数据，并

118、经过预处理工作后，最终目标是为入侵检测的处理模块提供是为入侵检测的处理模块提供一条单一的审计一条单一的审计记录块数据流记录块数据流，供其使用。审计数据获取模块，供其使用。审计数据获取模块的具体设计根据主机入侵检测系统的具体特点，的具体设计根据主机入侵检测系统的具体特点，而有所区别。最简单的情况是审计数据获取模而有所区别。最简单的情况是审计数据获取模块与检测处理模块同时留驻在目标主机系统上。块与检测处理模块同时留驻在目标主机系统上。此时，审计数据获取模块的设计就很简单，只此时，审计数据获取模块的设计就很简单，只需要提供经处理的审计记录块即可。需要提供经处理的审计记录块即可。割生但琵眯净婪罚耘线敛

119、邹眷策卜那则赵汀取区混率肾余剑婉栅漾抢彬愿网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO98主机主机审计数据的获取审计数据的获取v审计数据获取模块的设计审计数据获取模块的设计较为复杂的设计环境是，负责入侵检测工作的处理模块较为复杂的设计环境是，负责入侵检测工作的处理模块位于目标监控主机系统之外的特定控制台上，而所监控位于目标监控主机系统之外的特定控制台上，而所监控目标主机系统的数目又并非单台主机的情况（通常是一目标主机系统的数目又并非单台主机的情况（通常是一组经过网络环境连接起来的主机系统）。以组经过网络环境连接起来的主机系统）。以IDES/NIDES系统为例：系统为例：在在

120、IDES系统中，审计数据获取模块体现为系统中，审计数据获取模块体现为“邻域接口邻域接口”的概念。的概念。邻域接口包括两个主要部件：邻域接口包括两个主要部件： 目标系统组件（目标系统组件（Agen）和）和IDES组组件（件（Arpool）。）。在在Agen和和Arpool组件之间采用的是组件之间采用的是RPC（远程过程调用）通信（远程过程调用）通信协议，这就允许在协议，这就允许在Agen和和Arpool之间实现客户机之间实现客户机/服务器的通信服务器的通信模式，其中将模式，其中将Arpool作为服务器。作为服务器。Agen是留驻在目标系统上的组件是留驻在目标系统上的组件，通常，通常Agen以离散

121、的时间间隔以离散的时间间隔对每一个审计文件进行轮询，以确定目标主机是否已经加入了新对每一个审计文件进行轮询，以确定目标主机是否已经加入了新的审计数据。的审计数据。柞菊慧剪详残硬棍动闻游甩增剃拦皱哎行波裙舅国鲜递踢孵秤拘壕赡砸卵网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO99主机主机审计数据的获取审计数据的获取v审计数据获取模块的设计审计数据获取模块的设计Arpool留驻在邻域接口的服务器端留驻在邻域接口的服务器端，即它的目的是接，即它的目的是接收从多个目标机器发来的收从多个目标机器发来的IDES格式的审计记录，并将格式的审计记录，并将它们序列化成一个单独的记录流，然后再对数

122、据做进它们序列化成一个单独的记录流，然后再对数据做进一步的处理。一步的处理。Arpool同时也是一个用来存储等待同时也是一个用来存储等待IDES处理的审计记处理的审计记录的临时缓存。录的临时缓存。IDES系统中增强了标准的系统中增强了标准的RPC机制，允许机制，允许RPC服务器服务器进程暂时阻塞一个客户，转而继续其他请求的服务后，进程暂时阻塞一个客户，转而继续其他请求的服务后，再解除前面的一个进程的阻塞。再解除前面的一个进程的阻塞。Arpool组件中用来集中存放审计数据的地方称为组件中用来集中存放审计数据的地方称为“审计审计数据池数据池”。蚜蔑炬舀判笆瑰煌唯茬肠赏司圭练攫揍瓷站蝴些咀啮河卑软洛

123、灵蹋郸墨山网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO100网络数据包的获网络数据包的获取取v网络数据包的截获是基于网络的入侵检测网络数据包的截获是基于网络的入侵检测技术的工作基石。技术的工作基石。v根据网络类型的不同，网络数据截获可以根据网络类型的不同，网络数据截获可以通过两种方法实现：一种是利用以太网络通过两种方法实现：一种是利用以太网络的广播特性，另一种是通过设置路由器的的广播特性，另一种是通过设置路由器的监听端口或者是镜像端口来实现。监听端口或者是镜像端口来实现。当卵瑞盘歇政衰株层袒仍抗宦眺洞骡娄亮络猿莎傲鲜厕裁半烂速洗腹蹿悔网络安全-郑万波网络安全-6网络安全-郑

124、万波网络安全-6LOGO101网络数据包的获网络数据包的获取取v以太网环境下的数据截获以太网环境下的数据截获在以太网环境下，正常状态应用程序只能接收在以太网环境下，正常状态应用程序只能接收到以本主机为目标主机的数据包，其他数据包到以本主机为目标主机的数据包，其他数据包将被丢弃不作处理。要截获到流经网卡的不属将被丢弃不作处理。要截获到流经网卡的不属于自己主机的数据，必须绕过系统正常工作的于自己主机的数据，必须绕过系统正常工作的处理机制，直接访问网络底层，首先将网卡工处理机制，直接访问网络底层，首先将网卡工作模式置于作模式置于混杂（混杂（promiscuous）模式）模式，使之，使之可以接收目标可

125、以接收目标MAC地址不是本机地址不是本机MAC地址的地址的数据包，然后直接访问数据链路层，截获相关数据包，然后直接访问数据链路层，截获相关数据，由应用程序而非上层协议如数据，由应用程序而非上层协议如IP和和TCP协协议对数据进行过滤处理，这样就可以截获到流议对数据进行过滤处理，这样就可以截获到流经网卡的所有数据。经网卡的所有数据。筛泡融浇闲商钮灭沪央高哗攫聘胚常移逃陨彼便磅痰插湍爪涡傈质洪波潍网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO102网络数据包的获网络数据包的获取取v不同的操作系统提供的接口功能并不相同，不同的操作系统提供的接口功能并不相同，因此直接采用套接字设备的

126、编程代码在不因此直接采用套接字设备的编程代码在不同系统平台上不能通用。同系统平台上不能通用。v解决这一问题的办法之一是使用由美国洛解决这一问题的办法之一是使用由美国洛仑兹伯克利国家实验室所编写的专用于数仑兹伯克利国家实验室所编写的专用于数据包截获功能的据包截获功能的API函数库函数库“Libpcap”。Libpcap库函数对上层程序屏蔽了底层系统库函数对上层程序屏蔽了底层系统的不同数据包截获方法，提供了统一的编的不同数据包截获方法，提供了统一的编程接口，使得采用该编程接口的数据包截程接口，使得采用该编程接口的数据包截获模块可以十分方便地在不同平台上进行获模块可以十分方便地在不同平台上进行移植。

127、移植。鳞犬靳震芭蜗逝刊巷寞刷郝揍峭逗历挣锚撒侩镰泵亡贾搏状期狼靖囤咎绥网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO103网络数据包的获网络数据包的获取取vpcap_open_live(): 用来获得一个数据截获用来获得一个数据截获描述符，该描述符用于查看在网络上传输描述符，该描述符用于查看在网络上传输的数据包。的数据包。vpcap_stats(): 用来返回相关的状态参数。用来返回相关的状态参数。vpcap_read(): 用于读取底层数据包过滤机用于读取底层数据包过滤机制缓冲区中的数据包，并对每个数据包用制缓冲区中的数据包，并对每个数据包用参数所设定的回调（参数所设定的回

128、调（Callback）函数进行）函数进行处理。处理。阻歧曰朋铃陶尊权愧坤徊靠莽兔伍笼良岿咀孰偏勿择劳扫咐厕蚂蓝吼疟脆网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO104网络数据包的获网络数据包的获取取vpcap_setfilter(): 用于设定一个过滤器程序。用于设定一个过滤器程序。vpcap_close(): 关闭相关的文件并释放对应关闭相关的文件并释放对应资源。资源。vLibpcap库函数支持数据包过滤机制，即著库函数支持数据包过滤机制，即著名的伯克利数据包过滤器名的伯克利数据包过滤器(BPF)，它是一种，它是一种用于用于UNIX的内核数据包过滤体制。的内核数据包过滤体

129、制。诲滇泥田沮卤涝累晒袜篇噪炎努检蛊砖票玩蛀灸质坊框休坊潦床欣银蒂恼网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO105网络数据包的获网络数据包的获取取vWIN32平台不提供直接的网络底层访问接口，必平台不提供直接的网络底层访问接口，必须通过虚拟设备驱动程序（须通过虚拟设备驱动程序（VxD）实现网络数据）实现网络数据包的截获功能。对应于包的截获功能。对应于Libpcap库的库的Windows版版本是本是Winpcap库。库。Winpcap架构包括架构包括3个模块。个模块。NPF: 是一个虚拟设备驱动程序文件。它的功能是过滤是一个虚拟设备驱动程序文件。它的功能是过滤数据包，并把

130、数据包传递给用户态模块，这个过程中数据包，并把数据包传递给用户态模块，这个过程中包括了一些操作系统所特有的代码。包括了一些操作系统所特有的代码。Packet.dll: 该动态链接库为该动态链接库为WIN 32平台提供了一个公平台提供了一个公共的接口。共的接口。Wpcap.dll: 该动态链接库提供了一个不依赖于操作系该动态链接库提供了一个不依赖于操作系统类型的高层接口库。它提供了更加高层、抽象的函统类型的高层接口库。它提供了更加高层、抽象的函数。数。晶房锥遇婚讲滴仍忿歼鳃衷置酒婴戌仪搏肠幼图总带部徒臀获杖摧聚蚁惫网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO106网络数据包的

131、获网络数据包的获取取v交换网络环境下的数据截获交换网络环境下的数据截获在实际的网络环境中，许多网络采取了交换运行环境在实际的网络环境中，许多网络采取了交换运行环境（例如交换机、路由器等），此时传输媒体不再具备（例如交换机、路由器等），此时传输媒体不再具备广播特性，所以不能够单凭设置网络接口的混杂模式广播特性，所以不能够单凭设置网络接口的混杂模式来截获所有的数据包。常用的方法是利用交换机或者来截获所有的数据包。常用的方法是利用交换机或者路由器上设置的监听端口或者镜像端口。路由器上设置的监听端口或者镜像端口。实际工作中，采用镜像端口的方法常碰到两个问题：实际工作中，采用镜像端口的方法常碰到两个问题

132、： 随着交换带宽的不断增长，并非所有的网络流量都会反映在随着交换带宽的不断增长，并非所有的网络流量都会反映在镜像端口上。镜像端口上。 并非所有的交换设备都提供类似的镜像端口。很多的并非所有的交换设备都提供类似的镜像端口。很多的IDS系统系统会选择挂接在流量通常最大的上下行端口上，用来截获进出内会选择挂接在流量通常最大的上下行端口上，用来截获进出内外网的数据流量。外网的数据流量。种戒老颅襄钥只沥讥首祭隆罗咨谈谈哄淘攘苑奄讨折溜妇碱阉众纯硅谩烈网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO107检测引擎的设计检测引擎的设计v检测引擎的设计是基于网络入侵检测的核检测引擎的设计是基于

133、网络入侵检测的核心问题。心问题。v从具体的实现机制看，检测引擎可分为从具体的实现机制看，检测引擎可分为嵌嵌入式规则检测引擎和可编程的检测入式规则检测引擎和可编程的检测。v从具体采用的检测技术看，网络入侵检测从具体采用的检测技术看，网络入侵检测引擎常见的技术类型分为两类：引擎常见的技术类型分为两类：模式匹配模式匹配和协议分析和协议分析技术。技术。编捕企龙等豌婶筹赴蛊阵理汐粱疮宛侗鸥频焕用饲谈椎骨瓶危钳焊滤庐妖网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO108检测引擎的设计检测引擎的设计v嵌入式规则检测引擎设计嵌入式规则检测引擎设计v在嵌入式规则检测引擎的设计中，存在两在嵌入式

134、规则检测引擎的设计中，存在两点关键问题：点关键问题： 检测规则检测规则引擎架构设计引擎架构设计唆盘绢积吁恼贰骋党扁侨伯桥准晤渝匿惋桃胰底硫膜止恩几疮抗信欲腰甫网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGOvSnort是一个强大的轻量级的网络入侵检测系统。它具有实时数据流量分析日志、网络数据包的能力，能够进行协议分析，对内容搜索/匹配。它能够检测各种不同的攻击方式，对攻击进行实时警报。只要遵守GPL，任何组织和个人都可以自由使用Snort。vSnort虽然功能强大，但是其代码极为简洁，其源代码压缩包只有200KB不到。此外，Snort具有很好的扩展性和可移植性，跨平台性能极佳，

135、目前已经支持Linux系列、Solaris、BSD系列、IRIX,HP-UX、Windows系列，Sco Openserver、Unixware等。检测引擎的设计检测引擎的设计:例子例子Snort系统系统半碧汗汹节脾执稍梨叼嫩让酵袄肾钳九毅孜遵翠障悄悔屠譬涯婆愤惦雇秩网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGOvSnort主要功能： v（1）采用Libpcap捕获数据链路层的分组并进行协议栈分析(TCP/IP协议)。 v（2）在网络内部，Snort使用Misused检测模型进行入侵检测，即通过一个完整的入侵规则库来实时匹配并探测入侵行为。此外，Snort还允许用户方便地编写

136、并加入自己的规则。 v（3）日志可以存储成多种格式。 扒守绝捧头碗爽销非蔷拘箭烟爬砍受窝帽题喉限举设衰颖阮愚惭赤汪赖脑网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO检测引擎的设计检测引擎的设计:例子例子Snort系统系统v概述轻量级入侵检测系统：可配置性可移植性(结构性好，公开源代码)可扩充性（基于规则，支持插件）网络入侵检测系统数据包捕获（libpcap 等）数据包分析误用入侵检测系统特征模式进行匹配篇辈哨瓜蛾陪跺建瓮链秋酮蔓长致乐奠庇萄阑斋湿德久竭调尉斟均歪拇烹网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO检测引擎的设计检测引擎的设计v工作模式嗅探器数据

137、包记录器网络入侵检测系统 v核心组成：数据保捕获规则解析规则维护菌屏遂靖舶晃遁蜘卿嘶刮项壹逢箱五企捅息视俭奄碧其州踌墓启舵们茸侣网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO三种工作模式vSnort有三种工作模式。 v1. 嗅探器模式v所谓的嗅探器模式就是snort从网络上读出数据包然后显示在控制台上。v2. 数据包记录器v如果要把所有的包记录到硬盘上，需要指定一个日志目录，snort就会自动记录数据包：v./snort -dev -l ./logv3. 网络入侵检测系统vsnort最重要的用途还是作为网络入侵检测系统(NIDS)，使用下面命令行可以启动这种模式：v./sno

138、rt -dev -l ./log -h 192.168.1.0/24 -c snort.conf涝曰造甲舶桌沙掀掏挟生妇拣哎殴凿老肺偶邪叫土淮蝴蜘睡卫吞劫支瞎搽网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO114检测引擎的设计检测引擎的设计vSnort系统系统Snort系统采用的是自己定义的检测规则格式。系统采用的是自己定义的检测规则格式。由于由于Snort规则格式定义的良好特性，类似的规规则格式定义的良好特性，类似的规则格式在很多实际系统中得到采纳。则格式在很多实际系统中得到采纳。Snort规则可以划分为两个逻辑部分：规则可以划分为两个逻辑部分： 规则头和规则头和规则选项规

139、则选项。规则头包含了规则动作、协议、。规则头包含了规则动作、协议、IP源地址和目的地址、子网掩码以及源端口和目源地址和目的地址、子网掩码以及源端口和目标端口值等信息。而规则选项则包含警报信息标端口值等信息。而规则选项则包含警报信息以及用于确定是否触发规则响应动作而需检查以及用于确定是否触发规则响应动作而需检查的数据包区域位置的相关信息。的数据包区域位置的相关信息。构之敖疑瘦鞋阁鲍铅呈氰乍五儿芥卡满常躬洲垢矛炮核起缅囤肝剪亢钓带网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO115检测引擎的设计检测引擎的设计v 规则动作：规则动作定义了在当前数据包满足所有在规则规则动作：规则动作

140、定义了在当前数据包满足所有在规则中指定的属性特征的情况下，所应该采取的行动。它位于中指定的属性特征的情况下，所应该采取的行动。它位于规则的首位，在规则的首位，在Snort中定义了中定义了3种基本的动作类型。种基本的动作类型。Alert: 使用选定的报警方式生成警报信号，然后记录当使用选定的报警方式生成警报信号，然后记录当前数据包。前数据包。Log: 记录当前数据包。记录当前数据包。Pass: 丢弃（忽略）当前数据包。丢弃（忽略）当前数据包。v在在Snort的后继版本中引入以下新的动作类型。的后继版本中引入以下新的动作类型。Activate:报警并且激活另一条报警并且激活另一条dynamic规则

141、。规则。Dynamic:保持空闲直到被一条保持空闲直到被一条activate规则激活，被激规则激活，被激活后就作为一条活后就作为一条log规则执行规则执行 。Activate和和Dynamic类型的规则必须成对出现，以完成类型的规则必须成对出现，以完成特定的任务。特定的任务。轰使息椅呈咐活女免客狠责挖搪提睦嫡翼筑试座慑吏肝靖纤能售蓄虐夹稳网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO116检测引擎的设计检测引擎的设计v协议：规则头中的规则动作后的下一个字段为协议协议：规则头中的规则动作后的下一个字段为协议字段。目前，字段。目前，Snort主要支持对主要支持对3种种IP协议进行

142、分析，协议进行分析，以发现可疑行为，它们是以发现可疑行为，它们是TCP、UDP和和ICMP协议。协议。vIP地址：协议字段后面的字段是地址：协议字段后面的字段是IP地址，主要用来地址，主要用来指定当前规则的指定当前规则的IP地址和端口信息。可以使用关键地址和端口信息。可以使用关键字字Any来指定任何地址。来指定任何地址。Snort不支持对规则文件不支持对规则文件中的中的IP地址进行主机名称查询。另外，对地址进行主机名称查询。另外，对IP地址还地址还可以应用一种称为可以应用一种称为 “求反算子求反算子”的操作符。该操作的操作符。该操作符告诉符告诉Snort系统匹配除了所指定地址之外的任意系统匹配

143、除了所指定地址之外的任意IP地址。求反操作符使用符号地址。求反操作符使用符号“！”来表示。来表示。镇峰咒肺憋煤俺琉蓝疤应醒佣碍滦刮傅嫌送妮簿泪登融酷围慕朋侧焰苔把网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO117检测引擎的设计检测引擎的设计v端口号：端口号可以使用多种方法进行指定，包括端口号：端口号可以使用多种方法进行指定，包括Any关键字指定、静态端口定义、范围定义和求反关键字指定、静态端口定义、范围定义和求反操作符指定等。操作符指定等。Any关键字指定的端口为一通配符值，意味着所有的端关键字指定的端口为一通配符值，意味着所有的端口号。口号。静态端口由某一单独端口号来指定

144、，如静态端口由某一单独端口号来指定，如23为为Telnet端口端口以及以及80为为HTTP服务端口等。服务端口等。使用范围定义的端口值用范围操作符使用范围定义的端口值用范围操作符“： ”来指示。范围来指示。范围操作符的使用可以有多种形式，对应的含义也不同。操作符的使用可以有多种形式，对应的含义也不同。恰膘吏跌搪雷色就绕碗伪昨琐垄申政祸喘眷赶彭井愈国济唇级吻杯葱拉圾网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO118检测引擎的设计检测引擎的设计log udp any any - 192.168.1.0/24 1:1024记录来自任意端口且目标端口为11024范围内的UDP数据包

145、log tcp any any - 192.168.1.0/24:6000记录目标端口小于或等于6000的TCP数据包log tcp any:1024 - 192.168.1.0/24 500:记录源端口号小于或等于1024而目标端口号大于或等于500的TCP数据包狼诲胺搭犯葫酗辨室毯受栓滇扯算财氖臀恃乍辜处诸瘸茨氧坤宏坛强掉滴网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO119检测引擎的设计检测引擎的设计v方向操作符：方向操作符方向操作符：方向操作符“-”指示规则所适用的流指示规则所适用的流量方向。位于方向操作符左侧的量方向。位于方向操作符左侧的IP地址和端口号被地址和端口

146、号被认为是指示来自源主机的数据包流量，而位于右侧认为是指示来自源主机的数据包流量，而位于右侧的部分则指示目的主机。还有一种称为的部分则指示目的主机。还有一种称为“双向操作双向操作符符”的符号定义，表示为的符号定义，表示为“”。该双向操作符告诉。该双向操作符告诉Snort，将任一地址，将任一地址/端口对视为源地址或者目的地端口对视为源地址或者目的地址均可。这对于需要同时记录并分析对话双方流量址均可。这对于需要同时记录并分析对话双方流量的场合是十分适合的。的场合是十分适合的。否烂丛箔禽澳跑纯初稻冶滋幅瓮遮悦钝荧蓝痴笺缄绑憨彻垢雾伞峪矾腺伏网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LO

147、GO120检测引擎的设计检测引擎的设计v规则头的主要作用就是定义网络数据包分组中的报规则头的主要作用就是定义网络数据包分组中的报头路由特征，这些特征在检测若干明显违反安全特头路由特征，这些特征在检测若干明显违反安全特征的行为时，是十分有效的。征的行为时，是十分有效的。v规则选项是规则选项是Snort检测规则设计中的核心部分，检测规则设计中的核心部分，Snort规则选项的设计将易用性和检测性能以及灵规则选项的设计将易用性和检测性能以及灵活性结合起来。活性结合起来。娃个威择现隘页陆诉距窟攘罪雇冰毋睦猜柿姜侥虏贤滇卖卢挂铅彬则嗡旭网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO121

148、检测引擎的设计检测引擎的设计v在嵌入式规则检测引擎中，检测规则的设计格式在在嵌入式规则检测引擎中，检测规则的设计格式在很大程度上决定了检测引擎的入侵检测能力。另一很大程度上决定了检测引擎的入侵检测能力。另一方面，检测引擎的架构设计对系统检测性能也具有方面，检测引擎的架构设计对系统检测性能也具有很大的影响。很大的影响。vSnort的系统架构分为的系统架构分为3大部分：大部分： 协议解析器、规协议解析器、规则检测引擎和日志则检测引擎和日志/警报系统警报系统。所有这些子系统都。所有这些子系统都是建立在数据包截获库函数接口是建立在数据包截获库函数接口Libpcap的基础之的基础之上，上，Libpcap

149、为它们提供了一个可移植的数据包截为它们提供了一个可移植的数据包截获和过滤机制。获和过滤机制。芯梢但闪蓟浸溉蒲驮隘幂谬妄检廖锦瀑课掩帕含喧焚臆记档赁警艳席蓄燥网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO122检测引擎的设计检测引擎的设计v协议解析器：协议解析引擎的全部工作都是围绕着协议解析器：协议解析引擎的全部工作都是围绕着网络协议栈中的各层协议定义展开的，包括从数据网络协议栈中的各层协议定义展开的，包括从数据链路层协议向上到链路层协议向上到TCP层协议的定义。协议解析引层协议的定义。协议解析引擎中的每个子例程擎中的每个子例程使用事先定义好的表示网络协议使用事先定义好的表示网

150、络协议报文格式的数据结构，从原始网络流量数据中解析报文格式的数据结构，从原始网络流量数据中解析出协议信息出协议信息。这些子例程按照网络协议栈自下而上。这些子例程按照网络协议栈自下而上的顺序调用，从数据链路层到的顺序调用，从数据链路层到IP层，直到传输层协层，直到传输层协议结束。在协议解析的过程中，强调执行的速度，议结束。在协议解析的过程中，强调执行的速度，所完成的主要功能包括设置数据结构所完成的主要功能包括设置数据结构Packet中的各中的各种指针，使其指向数据包中不同位置，以便后继的种指针，使其指向数据包中不同位置，以便后继的规则检测引擎执行下一步的分析工作。规则检测引擎执行下一步的分析工作

151、。Snort提供提供对多种底层协议的支持。对多种底层协议的支持。丈临宝虱斑勇岩袭掂茫精脉苟什心派耕拌陡歉威搁微季逸艾紧蔑盅快牢架网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO123检测引擎的设计检测引擎的设计v规则检测引擎：规则检测引擎可以划分为规则检测引擎：规则检测引擎可以划分为3个模块，个模块，分别是分别是规则链表构造模块、预处理器模块和规则匹规则链表构造模块、预处理器模块和规则匹配模块配模块。规则链表构造模块：该模块的主要功能是读入规则配置规则链表构造模块：该模块的主要功能是读入规则配置文件，逐条解析检测规则，并最终形成内存中的二维规文件，逐条解析检测规则，并最终形成内

152、存中的二维规则链表结构。该链表结构主要分为两个部分：则链表结构。该链表结构主要分为两个部分： 链表头和链表头和链表选项。在链表头中包含的是多个规则中的共有属性链表选项。在链表头中包含的是多个规则中的共有属性（IP地址和端口值等），而不同的检测属性选项则包含地址和端口值等），而不同的检测属性选项则包含在不同的链表选项中。在不同的链表选项中。刺扼膜拄撤宦葬荡粤讲救尘帽限译迅俗式疑享虱暴痊栈景缨惮衡撅苛壕凹网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO124检测引擎的设计检测引擎的设计v规则链表的逻辑结构示意图规则链表的逻辑结构示意图郡士别较蒲亩俊搪瓜汇躁粗见眨笔坡存酥沦挂信嫩去济

153、丹宠熬扣斋皑跃芦网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO125检测引擎的设计检测引擎的设计v如图所示，同一个规则链表头的下面可以链接多个如图所示，同一个规则链表头的下面可以链接多个规则链表选项结点。例如，如果在一个规则文件中规则链表选项结点。例如，如果在一个规则文件中指定了指定了45条活动的规则，而它们都具有相同的源条活动的规则，而它们都具有相同的源/目的目的IP地址以及端口号。为了加快检测的速度，这地址以及端口号。为了加快检测的速度，这些共性就会压缩到一个单独的链表头中，而每一个些共性就会压缩到一个单独的链表头中，而每一个不同的检测属性将在与表头相链的各个链表选项结不

154、同的检测属性将在与表头相链的各个链表选项结构中保存。构中保存。vSnort系统中各种检测规则的功能都是通过各种插系统中各种检测规则的功能都是通过各种插件模块来完成的。采用此种灵活的结构模式，有利件模块来完成的。采用此种灵活的结构模式，有利于用户加入自己编写的检测模块来增强系统功能，于用户加入自己编写的检测模块来增强系统功能，或者定制用户特殊需求的系统。或者定制用户特殊需求的系统。织崔籍虞硅右何止手轧届届晶闪潜刃涨仕辙饼邓墓莉臼剁览捞委薪环脑报网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO126检测引擎的设计检测引擎的设计v预处理器模块预处理器模块：预处理器模块的主要作用就是：

155、预处理器模块的主要作用就是对当前截获的数据包进行预处理操作，以方便对当前截获的数据包进行预处理操作，以方便后继规则匹配模块对数据包的处理操作。后继规则匹配模块对数据包的处理操作。数据包分片重组及数据流重组功能：正常情况下，数据包分片重组及数据流重组功能：正常情况下，在跨越网络边界的时候，转发软件会对传输的数据在跨越网络边界的时候，转发软件会对传输的数据包进行分片处理。恶意攻击者也会故意发送经过分包进行分片处理。恶意攻击者也会故意发送经过分片处理的数据包，入侵检测系统应该对这些数据包片处理的数据包，入侵检测系统应该对这些数据包分片进行重组。另外对分片进行重组。另外对TCP协议而言，系统也需要协议

156、而言，系统也需要对数据流进行重组操作，同时这样做可以提供更完对数据流进行重组操作，同时这样做可以提供更完整的会话状态信息。整的会话状态信息。协议规范化协议规范化/解码功能：在某些协议的数据传输中可解码功能：在某些协议的数据传输中可能会出现特殊编码的数据，这就需要预处理器模块能会出现特殊编码的数据，这就需要预处理器模块对此进行处理，以方便后继处理模块进行操作。对此进行处理，以方便后继处理模块进行操作。杜邱行健镊音花肯坛佛魏惩尚绍眷秘郎矗盒容廊形闰溢造沤敬俭滑妇意射网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO127检测引擎的设计检测引擎的设计v规则匹配模块规则匹配模块：规则匹配

157、模块主要功能就是对于每个当前数：规则匹配模块主要功能就是对于每个当前数据包，遍历整个规则链表结构，并调用对应的插件检测模据包，遍历整个规则链表结构，并调用对应的插件检测模块进行各种处理。一旦规则匹配模块搜索到一个与解析后块进行各种处理。一旦规则匹配模块搜索到一个与解析后的数据包匹配的规则，则触发定义好的规则动作并返回。的数据包匹配的规则，则触发定义好的规则动作并返回。v日志日志/警报系统警报系统：规则匹配模块所触发的规则动作，其具体：规则匹配模块所触发的规则动作，其具体功能实现由日志功能实现由日志/警报系统完成。日志警报系统完成。日志/警报系统的各种响应警报系统的各种响应功能，也是通过各种插件

158、模块来实现的。为了获得更高的功能，也是通过各种插件模块来实现的。为了获得更高的运行性能，可以关闭日志功能，只保留警报功能。警报信运行性能，可以关闭日志功能，只保留警报功能。警报信息可以发送到系统日志文件（息可以发送到系统日志文件（Syslog），以两种不同格式），以两种不同格式记录到警报文本文件，以记录到警报文本文件，以WinPopup消息形式发送或者完全消息形式发送或者完全关闭。关闭。v另外，另外，Snort还支持若干种其他类型的输出插件。还支持若干种其他类型的输出插件。梁民致复窃晾沦议婶淘翰勾炊彤唤箱溪崩俊险强天淆泪荷她砖凉被捂权院网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6L

159、OGOSnort检测v协议匹配。通过协议分析模块，将数据包按照协议分析的结果对协议相应的部分进行检测。比如对TCP包的标志位的匹配。 alert tcp $EXTERNAL_NET any - $HOME_NET any (msg:SCAN NULL;flags:0; seq:0; ack:0; reference:arachnids,4; classtype:attempted-recon; sid:623; rev:1;)其中就对TCP 的flags、seq、ack进行了协议位置的匹配。协议匹配需要对特定协议进行分析，Snort对IP/TCP/UDP/ICMP进行了分析，但是没有对应用协议

160、分析。其它一些商用的IDS进行了高层的应用协议分析，可以显著地提高匹配的效率。毋坡埔枯窗柱氯连啸玉呻歪孰极氦招浪抱璃靛堡禹聪汹臆罩乏升煮髓够咖网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGOv字符串匹配。目前这是大多数IDS最主要的匹配方式，事件定义者根据某个攻击的数据包或者攻击的原因，提取其中的数据包字符串特征。通常IDS经过协议分析后，进行字符串的匹配。 比如：Snort 中的一条事件定义，alert tcp $EXTERNAL_NET any -$HTTP_SERVERS $HTTP_PORTS (msg:WEB-ATTACKS ps command attempt;fl

161、ow:to_server, established; uricontent:/bin/ps; nocase;sid:1328; classtype:web-application-attack; rev:4;)该事件中要进行匹配的字符串就是/bin/ps。字符串匹配主要就是算法问题，因为IDS的规则多数属于字符串匹配，因此优秀的字符串匹配算法也能够显著提高IDS的效率，比如Boyer-Moore、Aho-Corasick、Set-wise Boyer-Moore 算法。 固拧柯随园胸曾漂邹痕绰搅笑痴久瞄身寝蛛赶粘盛亥长加斡伴烛挡咐涵居网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LO

162、GOv大小匹配，或者长度匹配。多数情况下，这也应该属于字符串匹配的一种，不过，这种匹配方式对数据包中某段数据的长度而不是对具体的字符串进行匹配。 比如，通过数据长度限制来对缓冲区溢出攻击进行检测。比如：alert tcp $EXTERNAL_NET any - $HTTP_SERVERS $HTTP_PORTS(msg:WEB-IIS ISAPI .ida attempt; uricontent:.ida?; nocase;dsize:239; flow:to_server,established; classtype:web-application-attack; reference:bug

163、traq,1065;sid:1243; rev:6;)其中的关键字dsize 就是对数据包的负载进行匹配，如果请求的命令总长度大于239，那么就检测出一条.ida溢出企图的事件。 胜诈决烦妈琐司崇爪诡曲腕毅年囚轨鞋降待似街补偿额程境釉珍户馆咳茸网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGOv累积匹配，或者量匹配。通过对某些事件出现的量（次数或者单位时间次数）来产生新的事件，比如，某个IP在1分钟内统计出了100条CGI事件，那么就属于一次CGI扫描事件。Snort的一些预处理插件可以进行此类匹配，例如portscan。 朋匙煮升筐茫游享赔爽扭曰粉栅韦傍窒统仲掖忻肖馋鸯喝粹拖蚕

164、猪柯遮沽网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGOv逻辑匹配，或者是集合匹配。一些有更强事件检测能力的IDS，通过对不同类型的事件组合来进行判断，从而获得新的事件。Snort对此类匹配支持的功能较弱，仅在stream等预处理插件中有一些。 言才钨银淹集隔负檄慰站柑练巩赶捍低秆阉编票腋孵花痊琼仰姥节忠句土网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO釜扮酸量畅午满河职浓运镜侧范醚捡列报乙况烁惕多才角撇份凌挽恕某炎网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO析机猿噬污苦唾才入萤汁熟澈涧雅老喇锥精庐铜涝虹碑途夸肩溶瓜逸邑桥网络安全-郑万波网

165、络安全-6网络安全-郑万波网络安全-6LOGO规则头Src IPDes IPSrc PortDes Port规则头Src IPDes IPSrc PortDes Port规则选项CONTENTTCP FlagsICMP Codes/TypePayload Sizeetc规则选项CONTENTTCP FlagsICMP Codes/TypePayload Sizeetc规则选项主链链首从链规则选项Snort规则集 刽贺阮把芥筋态爬钩揭搬粪穆膀诡化扭寄盟碰或恐漓垣钟窟骇坑套哺挟合网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO136检测引擎的设计检测引擎的设计v可编程的检测引擎设计

166、可编程的检测引擎设计v可编程的入侵检测引擎，允许用户采用特定可编程的入侵检测引擎，允许用户采用特定的编程语言或者脚本语言，实现具体的检测的编程语言或者脚本语言，实现具体的检测模块。模块。可编程入侵检测引擎设计的要点就在可编程入侵检测引擎设计的要点就在于用于实现入侵检测功能的脚本语言的定义于用于实现入侵检测功能的脚本语言的定义及其与引擎架构的接口设计及其与引擎架构的接口设计。敛秽席央噬弓悔哄瘤遭淋油赎琐考疮囚吹姆柬藤邦逊供祭絮怪岔混阿瞒烂网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO137特征分析与协议分析技术特征分析与协议分析技术v对于网络入侵检测而言，存在着两种基本的技术类

167、对于网络入侵检测而言，存在着两种基本的技术类型，分别称为型，分别称为“特征（特征（signature）分析）分析”和和“协议协议（protocol）分析）分析”技术。技术。v特征分析技术最早应用在早期的网络入侵检测系统特征分析技术最早应用在早期的网络入侵检测系统中，它的基本工作原理是建立在中，它的基本工作原理是建立在字符串匹配字符串匹配的简单的简单概念之上。概念之上。v最初的基于特征分析的入侵检测系统是非常原始的，最初的基于特征分析的入侵检测系统是非常原始的，它在工作时完全不考虑网络数据包中所包含的协议它在工作时完全不考虑网络数据包中所包含的协议格式化信息，而是将输入数据包视为一个无序无结格式

168、化信息，而是将输入数据包视为一个无序无结构的随机数据流，企图仅仅依靠简单的字符串匹配构的随机数据流，企图仅仅依靠简单的字符串匹配操作完成所有的检测任务。操作完成所有的检测任务。涧牌氓赋仟钻骚扇咆钎麓裕呀糟讣疥奋瞄甜枪帝画欠返顿皿悸蝇笛遣迪纸网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO138特征分析与协议分析技术特征分析与协议分析技术v早期的协议分析技术将输入数据包视为具有严格定早期的协议分析技术将输入数据包视为具有严格定义格式的数据流，并将输入数据包按照各层协议报义格式的数据流，并将输入数据包按照各层协议报文封装的反向顺序，层层解析出来。然后，再根据文封装的反向顺序，层层解

169、析出来。然后，再根据各层网络协议的定义即各层网络协议的定义即RPC内容，对各层协议的解内容，对各层协议的解析结果进行逐次分析。协议分析技术是利用预先定析结果进行逐次分析。协议分析技术是利用预先定义好的关于协议字段的期望值或合理值的详细知识，义好的关于协议字段的期望值或合理值的详细知识，来判断是否出现了恶意的网络流量。来判断是否出现了恶意的网络流量。v随着技术的发展，这两种入侵检测分析技术也在不随着技术的发展，这两种入侵检测分析技术也在不断发展，一个基本的趋势是二者相互融合，取长补断发展，一个基本的趋势是二者相互融合，取长补短，逐步演变成为混合型的分析技术。短，逐步演变成为混合型的分析技术。未绳

170、球题袄择噪伦粹炮兴嘛兔炔浩弟绳久炔山雨誉沥嘎猖彩致镁碗捍挂临网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO139特征分析与协议分析技术特征分析与协议分析技术v对于现在的特征分析技术而言，也逐步加入了许多对于现在的特征分析技术而言，也逐步加入了许多基本的协议分析功能。当前的特征分析技术，通常基本的协议分析功能。当前的特征分析技术，通常对对OSI模型中的第三层（网络层）和第四层（传输模型中的第三层（网络层）和第四层（传输层）进行解码分析，通常包含了层）进行解码分析，通常包含了IP、ICMP、TCP、UDP等网络协议。与此同时，协议分析技术也在不等网络协议。与此同时，协议分析技术也

171、在不断地发展。除了上述的对第三层和第四层协议的解断地发展。除了上述的对第三层和第四层协议的解码分析，许多现代的基于协议分析技术的系统通常码分析，许多现代的基于协议分析技术的系统通常还会对第七层的应用层协议进行详尽的分析。还会对第七层的应用层协议进行详尽的分析。讣个括著捕蹋仆棱倒岛解驶忙阮帐裁净檄丫拯碑挎赏秃空颤刊盒渗缆庐鬃网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO140特征分析与协议分析技术特征分析与协议分析技术类型类型优点优点缺点缺点特特征征分分析析l在小规则集合情况下，工作在小规则集合情况下，工作速度快速度快l检测规则易于编写、便于理检测规则易于编写、便于理解并且容易

172、进行定制解并且容易进行定制l对新出现的攻击手段，具备对新出现的攻击手段，具备快速升级支持能力快速升级支持能力l对低层的简单脚本攻击行为，对低层的简单脚本攻击行为，具备良好的检测性能具备良好的检测性能l对所发生的攻击行为类型，对所发生的攻击行为类型，具备确定性的解释能力具备确定性的解释能力l随着规则集合规模的扩大，随着规则集合规模的扩大，检测速度迅速下降检测速度迅速下降l各种变种的攻击行为，易各种变种的攻击行为，易于造成过度膨胀的规则集合于造成过度膨胀的规则集合l较易产生虚警信息较易产生虚警信息l仅能检测到已知的攻击类仅能检测到已知的攻击类型型堵始撕绎蒋共鉴桑悸聊咯撞盎孽幼聂蛾苹纤谦说史渊搞慌鲍

173、僳龚刻磺吸甄网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO141特征分析与协议分析技术特征分析与协议分析技术类型类型优点优点缺点缺点协协议议分分析析l具备良好的性能可扩展具备良好的性能可扩展性，特别是在规则集合规性，特别是在规则集合规模较大的情况下模较大的情况下l能够发现最新的未知安能够发现最新的未知安全漏洞全漏洞l较少出现虚警信息较少出现虚警信息l在小规则集合情况下，初在小规则集合情况下，初始的检测速度相对较慢始的检测速度相对较慢l检测规则比较复杂，难以检测规则比较复杂，难以编写和理解并且通常是由特编写和理解并且通常是由特定厂商实现定厂商实现l协议复杂性的扩展以及实协议复杂

174、性的扩展以及实际实现的多样性，容易导致际实现的多样性，容易导致规则扩展的困难规则扩展的困难l对发现的攻击行为类型，对发现的攻击行为类型，缺乏明确的解释信息缺乏明确的解释信息陕币韭贵卫税伶圾察刃牌酚畔岳侗姐货窃侧谨动铰鸳奢读禁臼贩断醉刘藤网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGOv协议分析（Protocol Analysis，PA）利用协议的高度规则性，对协议进行分析，寻找违反协议定义的数据包。 v检测思想协议定义是规范的（通用协议、专用协议）协议头的长度是固定的，数据量很小。协议分析协议分析坐佑电悠骡脚诧任液额涯撅搪空宋鹿络均帆纳蛮霓稠房酉氨腕乌去殃究帖网络安全-郑万波网

175、络安全-6网络安全-郑万波网络安全-6LOGO协议举例（HTTP）v协议举例（HTTP）帧的前14个字节为MAC头，第13、14两个字节用于标明第三层采用什么协议，如为“08 00”（即0x0800），则表明是IP协议，如为“08 06”（即0x0806），表明是ARP协议，如为“80 35” （即0x8035），则表明是RARP协议，如为“81 38” （即0x8138），则为NOVELL协议。 IP协议头的长度为20个字节，其中第10个字节（即该帧第24个字节）为第四层协议标识，如为“06”，则为TCP，如为“11”则为UDP，如为“01”则为ICMP。龚站逻兼五觉毅王乏食眉胖卒棘诲伯乖立

176、因业泛馈尿枉鉴冉市螟泼戒颈陇网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGOTCP协议头的长度为20字节，其中第3、4两个字节（即该帧第35、36两字节）为应用层协议使用的端口号，应用层协议一般使用专用的端口，如HTTP使用80端口，FTP使用21端口，TELNET使用23端口等。包头共使用了54 Bytes，从第55个字节开始，就是HTTP数据了 。 实士哄敖杆按友铂捌辛撮缅蚕滦怒摇心浇啡勺约炒没菠即铁精怎网宏貉唯网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO恰老剁载畏令撕归辽房厉殊滤乒厄计拧上诱抑滑番拴柑讼斤际蔬俱变忿留网络安全-郑万波网络安全-6网络安全

177、-郑万波网络安全-6LOGO协议分析一般流程栅歼涉芋欺苯逃澳躬七磐波军当女寇司份显邀忍衡缆枕宿猫抽舅值歼卿救网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO协议分析的优势v优点减少误报率 提高分析速度 可以解决一些具体问题 模糊路径问题、十六进制编码问题、双十六进制编码问题 等 依据RFC，执行协议异常分析例如：检测0-day漏洞脚本大量的90字符可能是ShellCode中的NOP操作蛊惹侥轻黑钵改塔笨抿式碰真手拱爵答隆陀戮察形碳贺趴珊刮硒忆纶蹋陋网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO148第第6章章 入侵检测技术入侵检测技术 v入侵检测技术概述入侵检

178、测技术概述v入侵检测技术分类入侵检测技术分类v基于主机基于主机/网络的入侵检测技术网络的入侵检测技术v混合型的入侵检测技术混合型的入侵检测技术v先进入侵检测技术先进入侵检测技术v分布式的入侵检测架构分布式的入侵检测架构v入侵检测系统的设计思路入侵检测系统的设计思路贡致脏合野旭忙忿猫宾浓邵骋耽豺趣姐乖锦黍伯困琐岭澎篡籽前爬浩欧例网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO149混合型的入侵检测技术混合型的入侵检测技术v采用多种信息源采用多种信息源v采用多种检测方法采用多种检测方法崎碾演钾腊遗首毡陈霉妄膘掸啊珊巾躺啮枯拄糜革瞬您咯及童怪豌疏删之网络安全-郑万波网络安全-6网络安

179、全-郑万波网络安全-6LOGO150混合型的入侵检测技术混合型的入侵检测技术v采用多种信息输入源的入侵检测技术采用多种信息输入源的入侵检测技术同时采用网络数据包和主机审计数据作为数据同时采用网络数据包和主机审计数据作为数据来源来源以以DIDS系统为例：系统为例：DIDS系统的开发始于系统的开发始于20世世纪纪90年代初期，在技术发展历程中，它是将网年代初期，在技术发展历程中，它是将网络入侵检测与主机入侵检测技术进行集成的首络入侵检测与主机入侵检测技术进行集成的首次尝试。次尝试。绚识菠鲜口未洗殆僻仍直舱幅夺壮罕铅稗暮勇简萎郡弦卿氛糖忿肢杯要虏网络安全-郑万波网络安全-6网络安全-郑万波网络安全-

180、6LOGO151混合型的入侵检测技术混合型的入侵检测技术vDIDS系统总体设计系统总体设计DIDS系统设计的目标环境是一组经由以太网连系统设计的目标环境是一组经由以太网连接起来的主机，并且这些主机系统都满足接起来的主机，并且这些主机系统都满足C2等等级的安全审计功能要求。级的安全审计功能要求。DIDS所要完成的任务所要完成的任务是监控网络中各个主机的安全状态，同时检测是监控网络中各个主机的安全状态，同时检测针对局域网本身的攻击行为。针对局域网本身的攻击行为。举慑匪兰饭供盔懂遁彻扳掳伊饲圭么镭想捆疆剪舅丢氦蒸状按掇堤茵巍采网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO152混合

181、型的入侵检测技术混合型的入侵检测技术vDIDS系统架构韦隧蹬酮贱汁舰族侈昧魏复拉竖肺考样水浪釉遏驭氦将漏潍陪氏盐俊烷燥网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO153混合型的入侵检测技术混合型的入侵检测技术v主机主机监监控器控器主机监控器由主机监控器由主机事件发生器和主机代理主机事件发生器和主机代理组成。组成。主机事件发生器组件负责从所在主机系统中主机事件发生器组件负责从所在主机系统中收收集集审计记录，并对其进行安全审计记录，并对其进行安全分析分析，而主机代，而主机代理则负责与中央控制台的理则负责与中央控制台的通信通信联系。联系。主机监控器首先从主机系统中读取主机监控器首

182、先从主机系统中读取C2审计数据审计数据文件，获取审计记录，然后将这些审计记录映文件，获取审计记录，然后将这些审计记录映射到射到DIDS系统定义的规范格式上。之后，将这系统定义的规范格式上。之后，将这些统一格式的记录进行必需的过滤操作以去除些统一格式的记录进行必需的过滤操作以去除冗余后，再进行各种分析检测工作，生成不同冗余后，再进行各种分析检测工作，生成不同的异常事件报告，交由主机代理发送到中央控的异常事件报告，交由主机代理发送到中央控制台。制台。寝寂金拒硒肤井峙杏锚坦维翰鉴掺信拽秘往羡同举抨滇拧烦混淳硬疮湃球网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO154混合型的入侵检测

183、技术混合型的入侵检测技术v局域网监控器局域网监控器局域网监控器由局域网监控器由局域网事件发生器和局域网代局域网事件发生器和局域网代理理组成。局域网事件发生器组成。局域网事件发生器负责观察网段内的负责观察网段内的所有来往数据包数据，并检测主机间网络连接，所有来往数据包数据，并检测主机间网络连接，以及服务访问情况的安全状态，包括每个连接以及服务访问情况的安全状态，包括每个连接内的数据流量等内的数据流量等。局域网代理将。局域网代理将所发现的异常所发现的异常事件发送到中央控制台，同时接受控制台的控事件发送到中央控制台，同时接受控制台的控制命令，负责提供更进一步的详细信息制命令，负责提供更进一步的详细信

184、息。局域网事件发生器组件必须从当前网络数据包局域网事件发生器组件必须从当前网络数据包中中构建构建所需的网络审计记录。局域网事件发生所需的网络审计记录。局域网事件发生器组件主要器组件主要审计主机之间的连接、所访问的服审计主机之间的连接、所访问的服务类型以及每个连接的数据流量情况务类型以及每个连接的数据流量情况。措约事审悟矩园俏槽昆僳幢职淘熊尘畔缅羽鞍揪寥烈厘芹橱耙段随叫湿箔网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO155混合型的入侵检测技术混合型的入侵检测技术v局域网监控器局域网监控器局域网事件发生器组件采用多个简单分析手段局域网事件发生器组件采用多个简单分析手段来分析构建

185、好的网络审计记录，包括检测敏感来分析构建好的网络审计记录，包括检测敏感的服务访问情况等（例如的服务访问情况等（例如rlogin等）。同时，等）。同时，局域网事件发生器还建立和维护当前网络行为局域网事件发生器还建立和维护当前网络行为的的正常模型正常模型，并检测当前网络使用情况与正常，并检测当前网络使用情况与正常模型的偏离情况。模型的偏离情况。夕比蜀却确四粪蜕吸殖虐虎饥碑难墓航膳谬插棒缄殃虎磅歪雕芹危齿淹霜网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO156混合型的入侵检测技术混合型的入侵检测技术v控制台控制台主要包括部分：主要包括部分： 通信管理器、专家系统和用户接口。通信管理

186、器、专家系统和用户接口。通信管理器的主要任务是提供专家系统和用户接口与通信管理器的主要任务是提供专家系统和用户接口与底层各个监控器之间的底层各个监控器之间的双向通信通道双向通信通道。具体说来，专。具体说来，专家系统可以通过通信管理器要求底层监控器提供更多家系统可以通过通信管理器要求底层监控器提供更多的事件记录信息，同时，通信管理器负责将返回的记的事件记录信息，同时，通信管理器负责将返回的记录提交给专家系统。同样，用户接口也可以通过通信录提交给专家系统。同样，用户接口也可以通过通信管理器查询特定主机系统上某个特定用户的登录等活管理器查询特定主机系统上某个特定用户的登录等活动情况。动情况。控制台的

187、专家系统，在收集来自各个监控器事件记录控制台的专家系统，在收集来自各个监控器事件记录的基础上，执行的基础上，执行关联分析和安全状态评估关联分析和安全状态评估的任务。专的任务。专家系统的核心部分是用于进行家系统的核心部分是用于进行推理工作的规则库推理工作的规则库，DIDS专家系统用专家系统用Prolog语言编写所有的检测规则。语言编写所有的检测规则。蜕呆绷珠佣份已队廷帝晤登挞伤由杂反睬势洲整硝竖畏艺皂建减尖罚绦油网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO157混合型的入侵检测技术混合型的入侵检测技术v控制台控制台用户接口的主要任务是以友好的方式实时地提用户接口的主要任务是以

188、友好的方式实时地提供用户关心的系统信息，包括实时的异常事件供用户关心的系统信息，包括实时的异常事件显示、整个系统的安全状态信息等；同时，它显示、整个系统的安全状态信息等；同时，它还提供用户进行特定控制和查询功能的接口。还提供用户进行特定控制和查询功能的接口。捷凛妈依蔽遂倍丸号抢末脯盈袋跟丈晨皮墨溪酥务垦舀秩卫栽辗晾尉甚穿网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO158混合型的入侵检测技术混合型的入侵检测技术vDIDS中央控制台组件能够解决两个关键的中央控制台组件能够解决两个关键的问题：问题：网络环境下对特定用户和系统对象（例如文件）网络环境下对特定用户和系统对象（例如文件

189、）的跟踪问题。的跟踪问题。为此，为此，DIDS提出了网络用户标识提出了网络用户标识（NID）的概念，目的是惟一标识在目标网络）的概念，目的是惟一标识在目标网络环境中多台主机间不断移动的用户。环境中多台主机间不断移动的用户。不同层次的入侵数据抽象问题不同层次的入侵数据抽象问题。DIDS系统提出系统提出了一个了一个6层的入侵检测模型，并以此模型为基层的入侵检测模型，并以此模型为基础和指导，构造了专家系统的检测规则集合。础和指导，构造了专家系统的检测规则集合。鸥啼殊寒认竖悸堂护半汾挠纠缺咎岭锣籍席拦钝倘誉渊扰壁泳赠筒娇敞袭网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO159混合型的

190、入侵检测技术混合型的入侵检测技术vDIDS系统的系统的6层入侵检测模型层入侵检测模型最底层的是最底层的是原始原始的主机审计数据和网络数据包；的主机审计数据和网络数据包；往上一层就是经过变换后的往上一层就是经过变换后的标准标准主机审计记录主机审计记录（HAR）和网络审计记录（）和网络审计记录（NAR）；）；再上一层就是再上一层就是主体标识层主体标识层，对每个事件都赋予一个惟，对每个事件都赋予一个惟一的主体标识，其中关键的组成部分是一的主体标识，其中关键的组成部分是NID标识。标识。之后的上层模型，负责处理各种事件在系统当前之后的上层模型，负责处理各种事件在系统当前上下上下文中所呈现的状态文中所呈

191、现的状态。然后，模型计算出所有事件的然后，模型计算出所有事件的威胁程度威胁程度。最后，所有主体的相关事件所产生的威胁程度值，经最后，所有主体的相关事件所产生的威胁程度值，经过一定的函数计算，得出最后一个反映系统当前安全过一定的函数计算，得出最后一个反映系统当前安全状态的状态的分数值分数值。分数值越大，则表明当前系统的安全。分数值越大，则表明当前系统的安全状态越异常。状态越异常。瘪幂敝黔孺日营赡酪汽溜迎蚊蕾歇丢阎荆暮堡絮隘寺槽披灾念檀致余饵夹网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO160第第6章章 入侵检测技术入侵检测技术 v入侵检测技术概述入侵检测技术概述v入侵检测技术

192、分类入侵检测技术分类v基于主机基于主机/网络的入侵检测技术网络的入侵检测技术v混合型的入侵检测技术混合型的入侵检测技术v先进入侵检测技术先进入侵检测技术v分布式的入侵检测架构分布式的入侵检测架构v入侵检测系统的设计思路入侵检测系统的设计思路埔叹挖耶靡狄焰燎检拆坟洽野帛柯羽窍前涉喻宠除瞬康酝玖酝键浙轮配萎网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO161先进的入侵检测技术先进的入侵检测技术v入侵检测系统的关键技术v专家系统与入侵检测技术与入侵检测技术v神经网络与入侵检测技术神经网络与入侵检测技术v数据挖掘与入侵检测技术数据挖掘与入侵检测技术v数据融合与入侵检测技术数据融合与入

193、侵检测技术v计算机免疫学与入侵检测技术计算机免疫学与入侵检测技术v进化计算与入侵检测技术进化计算与入侵检测技术山湛痘献援蜕内竭橡棍仔斋焚给豢颗傍侥功曹岁凌腕吕侩镶吗但撅嫡拆回网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO入侵检测系统的关键技术多用于异常入侵检测的技术1统计异常检测方法 统计异常检测方法根据异常检测器观察主体的活动，由此产生一个能够描述这些活动的轮廓。每一个轮廓都保存记录主体的当前行为，并定时地将当前的轮廓合并到已存储的轮廓中。通过比较当前的轮廓与已存储的轮廓来判断主体的行为是否异常，从而来检测网络是否被入侵。蚊磷畸龄馅傅嘲烤掉葡培园系捌韵丘民琢馏踩鲸择洒按骂腊

194、混博梁夕郑辖网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO2基于特征选择异常检测方法 基于特征选择异常检测方法是通过从一组度量中挑选能检测出入侵的度量构成子集来准确地预测或分类已检测到的入侵。 3基于贝叶斯推理异常检测方法 基于贝叶斯推理异常检测方法是通过在任意给定的时刻，测量A1，A，A变量值推理判断系统是否有入侵事件发生。 蹦头盯夜循邓桅朋冯诈踩漆霄园楚吕悔逊逢笔织蒋授狡亡野斥冠笑凉淬凤网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO4基于贝叶斯网络异常检测方法 基于贝叶斯网络的异常检测方法是通过建立异常入侵检测贝叶斯网络，然后用其分析异常测量结果。5基于

195、模式预测异常检测方法 基于模式预测异常检测方法的假设条件是事件序列不是随机的而是遵循可辨别的模式 7基于贝叶斯聚类异常检测方法8基于机器学习异常检测方法9基于数据采掘异常检测方法 穗动附饲涡调称氨茄帘导鹤康垃介礁淄买帘度杆孔凭湃焙俗骸四咆巍幼楚网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO多用于误用入侵检测的技术 误用入侵检测的主要假设是具有能够被精确地按某种方式编码的攻击，并可以通过捕获攻击及重新整理，确认入侵活动是基于同一弱点进行攻击的入侵方法的变种。 1基于条件概率误用入侵检测方法2基于专家系统误用入侵检测方法3基于状态迁移分析误用入侵检测方法4基于键盘监控误用入侵检测

196、方法5基于模型误用入侵检测方法鄂兆债颓劲粥余哀恕肠崇作些捡腊泡科肋钧敏藕垢保抿柒紧芒郧渣物恤安网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO专家系统与入侵检测技术与入侵检测技术v专家系统：用专家系统对入侵进行检测，经常是针对有特征入侵行为。所谓的规则，即是知识，不同的系统与设置具有不同的规则，且规则之间往往无通用性。专家系统的建立依赖于知识库的完备性，知识库的完备性又取决于审计记录的完备性与实时性。入侵的特征抽取与表达，是入侵检测专家系统的关键。将有关入侵的知识转化为if-then结构的规则，即将构成入侵所要求的条件转化为if部分，将发现入侵后采取的相应措施转化成then部分

197、。其中的if-then结构构成了描述具体攻击的规则库，状态行为及其语义环境可根据审计事件得到，推理机根据规则和行为完成判断工作。在具体实现中，专家系统主要面临：1）全面性问题，即难以科学地从各种入侵手段中抽象出全面地规则化知识；2）效率问题，即所需处理的数据量过大，而且在大型系统上，如何获得实时连续的审计数据也是个问题。 戮枷郝啼牟彭腻躁人汇艳德摸推忿厕亥襄听却字窘茅硬炳姑冉绢儿昂冉膨网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO167先进的入侵检测技术先进的入侵检测技术v神经网络与入侵检测技术神经网络与入侵检测技术人工神经网络是模拟人脑加工、存储和处理信人工神经网络是模拟人

198、脑加工、存储和处理信息机制而提出的一种智能化信息处理技术，它息机制而提出的一种智能化信息处理技术，它是由大量简单的处理单元（神经元）进行高度是由大量简单的处理单元（神经元）进行高度互联而成的复杂网络系统。从本质上讲，人工互联而成的复杂网络系统。从本质上讲，人工神经网络实现的是一种从输入到输出的映射关神经网络实现的是一种从输入到输出的映射关系，其输出值由输入样本、神经元间的互联权系，其输出值由输入样本、神经元间的互联权值以及传递函数所决定。通过训练和学习过程值以及传递函数所决定。通过训练和学习过程来修改网络互联权值，神经网络就可以完成所来修改网络互联权值，神经网络就可以完成所需的输入需的输入输出

199、映射。输出映射。大莆植槽学潭火仪凑境棱丙塌崎拙氢残汾徘柜召庞乾趴藏顶樟辽炎晓杉裳网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGOv神经网络基本思想是用一系列信息单元（命令）训练神经元，这样在给定一组输入后，就可能预测出输出。与统计理论相比，神经网络更好地表达了变量间的非线性关系，并且能自动学习和更新。实验表明UNIX系统管理员的行为几乎全是可以预测的，对于一般用户，不可预测的行为也只占了很少的一部分。用于检测的神经网络模块结构大致是这样的：当前命令和刚过去的w个命令组成了神经网络的输入，其中w是神经网络预测下一个命令时所包含的过去命令集的大小。根据用户的代表性命令序列训练网络后

200、，该网络就形成了相应用户的特征表，于是网络对下一事件的预测错误率在一定程度上反映了用户行为的异常程度。基于神经网络的检测思想如下图所示： 垄堕使意较喉堆恐婪膛对五茬销榷馆症仓骤熟掏淌槽壕付瞧歉谨荷眺明搏网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGOv神经网络方法特点：图中输入层的w个箭头代表了用户最近的w个命令，输出层预测用户将要发生的下一个动作。神经网络方法的优点在于能更好地处理原始数据的随机特征，即不需要对这些数据作任何统计假设，并且有较好的抗干扰能力。缺点在于网络拓扑结构以及各元素的权重很难确定，命令窗口w的大小也难以选取。窗口太小，则网络输出不好，窗口太大，则网络会因

201、为大量无关数据而降低效率。 很询马冗酋梳呀适猛纹曙蹭十家叉检蕾肥溪遗洒朽寝锄瞎立多率骗镁抹瑞网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO170先进的入侵检测技术先进的入侵检测技术v神经网络与入侵检测技术神经网络与入侵检测技术神经网络技术应用于入侵检测领域具有以下优神经网络技术应用于入侵检测领域具有以下优势势: 神经网络具有概括和抽象能力，对不完整输神经网络具有概括和抽象能力，对不完整输入信息具有一定程度的容错处理能力。入信息具有一定程度的容错处理能力。 神经网络具备高度的学习和自适应能力。神经网络具备高度的学习和自适应能力。 神经网络所独有的内在并行计算和存储特性。神经网络

202、所独有的内在并行计算和存储特性。邱欢荡逝让捂澳耽擦碗冀慑垫逸扔釉键充攫兄钎快凿莱巴喊巾藕刚撑剑唯网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO171先进的入侵检测技术先进的入侵检测技术vLippmann算法在入侵检测中的应用算法在入侵检测中的应用枚坤磺傻谋饭燥焉监森讳赶令庙紊怪嚎监荒载绚莎苫九娃赤寇祥傍人燥漏网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO172先进的入侵检测技术先进的入侵检测技术v神经网络与入侵检测技术神经网络与入侵检测技术神经网络技术在入侵检测中的应用还存在以下神经网络技术在入侵检测中的应用还存在以下缺陷和不足：缺陷和不足： 需要解决神经网

203、络对大容量入侵行为类型的需要解决神经网络对大容量入侵行为类型的学习能力问题。学习能力问题。 需要解决神经网络的解释能力不足的问题。需要解决神经网络的解释能力不足的问题。 执行速度问题。要解决这个问题，或许需要执行速度问题。要解决这个问题，或许需要设计专门的神经网络计算芯片或者计算机。设计专门的神经网络计算芯片或者计算机。遮渍寞跌违桓肠爷芦唱菊奋旁拭咸恕窃浮魂易女岳接他彩阻温团亮阐描都网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO173先进的入侵检测技术先进的入侵检测技术v数据挖掘与入侵检测技术数据挖掘与入侵检测技术数据挖掘是数据挖掘是 “数据库知识发现数据库知识发现”（KDD

204、）技术中）技术中的一个关键步骤，其提出的背景是解决日益增的一个关键步骤，其提出的背景是解决日益增长的数据量与快速分析数据要求之间的矛盾问长的数据量与快速分析数据要求之间的矛盾问题，目标是采用各种特定的算法在海量数据中题，目标是采用各种特定的算法在海量数据中发现有用的可理解的数据模式。发现有用的可理解的数据模式。炯视疡裔剐拼绅弧意祭麦憾蓄蛆亡抽棕芝爷创蔷聘弦妥饱挫骂盐鄙廷击掷网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO174先进的入侵检测技术先进的入侵检测技术v数据挖掘与入侵检测技术数据挖掘与入侵检测技术KDD技术通常包括以下步骤：技术通常包括以下步骤： 理解应用背景。理解应

205、用背景。 首先要充分了解数据集合的特性，然后要明首先要充分了解数据集合的特性，然后要明确知识发现的任务目标。确知识发现的任务目标。数据准备。数据准备。 包括创建进行知识发现的目标数据集合，消除数包括创建进行知识发现的目标数据集合，消除数据集合中的噪声数据以及定义对应的变量集合等。据集合中的噪声数据以及定义对应的变量集合等。数据挖掘。数据挖掘。 首先要确定对数据进行处理后最终需要获得的模首先要确定对数据进行处理后最终需要获得的模型类型，例如分类模型、聚类模型或者摘要模型等，然后应用型类型，例如分类模型、聚类模型或者摘要模型等，然后应用各种特定的算法生成对应的分类规则或者分类树结构、关联模各种特定

206、的算法生成对应的分类规则或者分类树结构、关联模式和常见序列模式等。式和常见序列模式等。结果解析。结果解析。 对产生的数据模式进行理解分析，还可以用不同对产生的数据模式进行理解分析，还可以用不同的配置信息来重复以上步骤获取不同的数据模式，并进行对比的配置信息来重复以上步骤获取不同的数据模式，并进行对比分析，去除冗余和不重要的模式，并将最后的有用模式提交给分析，去除冗余和不重要的模式，并将最后的有用模式提交给用户。用户。使用所发现的知识。使用所发现的知识。 包括将新发现的知识结合到已有的系统包括将新发现的知识结合到已有的系统模块中，或者直接提交到其他感兴趣的相关实体。模块中，或者直接提交到其他感兴

207、趣的相关实体。领福痈典仟委肌禄场余谢及衔笆扩辙径旋煎屉耘噶侧钉兹蘸盎暖忙古衡幌网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO175先进的入侵检测技术先进的入侵检测技术v数据挖掘与入侵检测技术数据挖掘与入侵检测技术从从KDD的一般步骤来看，数据挖掘是其中最为的一般步骤来看，数据挖掘是其中最为关键的处理步骤。对数据挖掘的各类算法，已关键的处理步骤。对数据挖掘的各类算法，已经进行了大量的研究工作，所涉及的技术领域经进行了大量的研究工作，所涉及的技术领域知识包括统计学、机器学习、模式识别和数据知识包括统计学、机器学习、模式识别和数据库技术等。与入侵检测相关的算法类别主要包库技术等。与

208、入侵检测相关的算法类别主要包括下列括下列3种类型。种类型。分类算法分类算法目标是将特定的数据项归入预先定义好的某个类别。目标是将特定的数据项归入预先定义好的某个类别。常用的分类算法包括：常用的分类算法包括： RIPPER、C4.5、Nearest Neighbor等。等。藩些吠桌吉稳颤超见曼缔扫踢姆镁哦充饵舀倚仑主墨承肢郴咕揭洛垦皱隐网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO176先进的入侵检测技术先进的入侵检测技术v数据挖掘与入侵检测技术数据挖掘与入侵检测技术关联分析算法关联分析算法用于确定数据记录中各个字段之间的联系。主流的用于确定数据记录中各个字段之间的联系。主流的

209、关联分析算法有关联分析算法有Apriori算法、算法、AprioriTid算法等。算法等。序列分析算法序列分析算法发掘数据集中存在的序列模式，即不同数据记录间发掘数据集中存在的序列模式，即不同数据记录间的相关性。常见的序列分析算法包括：的相关性。常见的序列分析算法包括： ArpioriAll算法、算法、DynamicSome算法和算法和AprioriSome算法等。算法等。埔剂犀苟代谜算曝渠慌构祖枯漠死沛忘峻乡田茵都须宴峨正峦谓庞织泉抨网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO177先进的入侵检测技术先进的入侵检测技术v数据挖掘与入侵检测技术数据挖掘与入侵检测技术Wenk

210、e Lee等人最早将数据挖掘引入到入侵检等人最早将数据挖掘引入到入侵检测的领域，并系统地提出了用于入侵检测的数测的领域，并系统地提出了用于入侵检测的数据挖掘技术框架。据挖掘技术框架。黎秀菊酗皇呐斥重需嘱勒缓甫粮险搁计应篆口砖挞彰葛敲抉帝抉掠眉丛蹭网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO178先进的入侵检测技术先进的入侵检测技术v数据挖掘与入侵检测技术数据挖掘与入侵检测技术数据挖掘技术应用到入侵检测的基本流程图数据挖掘技术应用到入侵检测的基本流程图由图可知：数据挖掘中的由图可知：数据挖掘中的关联分析和序列分析算法关联分析和序列分析算法主要用在模式发现和特征主要用在模式发现

211、和特征构造的步骤上，而分类算构造的步骤上，而分类算法主要用在最后的检测模法主要用在最后的检测模型中。型中。引自Wenke Lee论文哥斥絮冗韭跃液捡奄是嘎舍埃鞘诗氖秉铣灰搬吾拈苔撞杠列虞鸟雌孰急案网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO179先进的入侵检测技术先进的入侵检测技术v数据挖掘与入侵检测技术数据挖掘与入侵检测技术RIPPER算法是于算法是于1995年提出的用于数据挖掘年提出的用于数据挖掘的的通用分类规则生成算法通用分类规则生成算法，目标是通过对输入，目标是通过对输入数据集合的训练学习，生成一组数据集合的训练学习，生成一组if-then的规则的规则集合作为分类模

212、型，用于对输入的数据项进行集合作为分类模型，用于对输入的数据项进行分类识别。每个分类识别。每个RIPPER规则都包含规则都包含一组条件一组条件和一个结论和一个结论。RIPPER规则的学习过程可以分规则的学习过程可以分为为“成长阶段成长阶段”和和“修剪阶段修剪阶段”。最后生成的。最后生成的RIPPER规则同时兼具简洁性和分类准确性的规则同时兼具简洁性和分类准确性的特点。特点。彝后铆瓶驱恃殷蛀芭梗漱破馒丑叶咀烁远犀台铂怎住锥零硒拯邱则涝贬侣网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO180先进的入侵检测技术先进的入侵检测技术v数据挖掘与入侵检测技术数据挖掘与入侵检测技术采用采用

213、RIPPER规则集作为入侵检测模型，具备规则集作为入侵检测模型，具备如下几个优点：如下几个优点： 具备具备if-then格式的格式的RIPPER规则集合，比较直观易规则集合，比较直观易于理解，容易结合到现有的基于规则的检测系统中；于理解，容易结合到现有的基于规则的检测系统中；同时，有利于进行检测规则的人工验证工作。同时，有利于进行检测规则的人工验证工作。RIPPER规则具备良好的概括归纳能力，对于处理规则具备良好的概括归纳能力，对于处理已知攻击手段的变种类型或者新的攻击类型，具备已知攻击手段的变种类型或者新的攻击类型，具备较好的分类性能。较好的分类性能。RIPPER规则具备简洁的条件集合，有利

214、于实时入规则具备简洁的条件集合，有利于实时入侵检测工作。侵检测工作。颧掩宙鄂十钟尺浪震庐率射师槛贪泵手击放会朋红唉瞎蔓瘸箍员莲挣粮沸网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO181先进的入侵检测技术先进的入侵检测技术v数据挖掘与入侵检测技术数据挖掘与入侵检测技术对网络数据包信息应用对网络数据包信息应用RIPPER算法，来识别算法，来识别异常的网络攻击行为和正常的网络流量异常的网络攻击行为和正常的网络流量首先，要进行数据的预处理步骤。假定网络数据包首先，要进行数据的预处理步骤。假定网络数据包信息是以原始的信息是以原始的TcpDump二进制文件的形式存储的，二进制文件的形式存

215、储的，且只考虑且只考虑TCP和和UDP协议的情况。预处理的第一个协议的情况。预处理的第一个步骤就是将二进制的数据包信息转换为步骤就是将二进制的数据包信息转换为ASCII码表码表示的单个数据包信息。之后，按照每个网络连接对示的单个数据包信息。之后，按照每个网络连接对应的源应的源/目的端口信息，生成面向网络连接的连接记目的端口信息，生成面向网络连接的连接记录。对于录。对于UDP数据包而言，每个数据包就对应于一数据包而言，每个数据包就对应于一次连接。次连接。促有肯辉崎亲奉腾互络骑道湿莽履杭绥唐泛欲帅赏涂字览饶纤止略鸭按巢网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO182先进的入侵

216、检测技术先进的入侵检测技术v数据挖掘与入侵检测技术数据挖掘与入侵检测技术每个连接记录里包含一组网络连接特征，例如包括如下类别的每个连接记录里包含一组网络连接特征，例如包括如下类别的属性值。属性值。开始时间：开始时间： 当前网络连接启动当前网络连接启动3次握手，开始建立连接的时间值。次握手，开始建立连接的时间值。持续时间：持续时间： 网络连接的维持时间。网络连接的维持时间。参与的主机名称：参与的主机名称： 包括发起连接的源主机和目的主机。包括发起连接的源主机和目的主机。端口号：端口号： 通常指连接的目的端口号。通常指连接的目的端口号。关于连接的统计信息：关于连接的统计信息： 包括当前连接持续时间

217、内双方交换的字包括当前连接持续时间内双方交换的字节数目、数据包重发次数等。节数目、数据包重发次数等。连接的状态信息：连接的状态信息： 包括指示连接建立过程和连接终止过程中各包括指示连接建立过程和连接终止过程中各种可能状态的标识符。种可能状态的标识符。协议类型：协议类型： TCP或者或者UDP协议。协议。在这些属性特征中，从端口号可以看出当前网络连接是指向周在这些属性特征中，从端口号可以看出当前网络连接是指向周知的服务端口（例如，知的服务端口（例如，HTTP服务的服务的80端口），还是一般的应端口），还是一般的应用程序端口。因此，可以将端口号划分为两类：用程序端口。因此，可以将端口号划分为两类：

218、 周知服务类周知服务类型和用户类型。型和用户类型。慕邮淳立废参高抢大尸误姆鲜哲镭滞咨稚猎茅淤芳客岔昭番劈累线枢快秦网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO183先进的入侵检测技术先进的入侵检测技术v数据挖掘与入侵检测技术数据挖掘与入侵检测技术通常，网络事件在时间顺序上有很强的相关性，所通常，网络事件在时间顺序上有很强的相关性，所以在连接记录中往往还会包含若干反映时间特性的以在连接记录中往往还会包含若干反映时间特性的统计特征，来增强检测模型的性能。统计特征，来增强检测模型的性能。在实际的检测工作中，需要对训练数据集合进行预在实际的检测工作中，需要对训练数据集合进行预处理过

219、程，形成所需的连接记录集合。然后，再应处理过程，形成所需的连接记录集合。然后，再应用用RIPPER分类规则生成算法。在应用分类规则生成算法。在应用RIPPER算法算法时，将目的端口号作为划分类别的标识，而将连接时，将目的端口号作为划分类别的标识，而将连接记录中的其他特征作为记录中的其他特征作为RIPPER规则的候选条件集规则的候选条件集合。如此生成的分类器（一组合。如此生成的分类器（一组RIPPER分类规则），分类规则），就描述了指向某个服务端口的正常会话连接所应具就描述了指向某个服务端口的正常会话连接所应具有的属性特征集合。有的属性特征集合。抛溺瘫釉恐副舜丫楷琐里铡崩砷造酞摆戊志撮溶忘畏肇欣

220、缓瘁封市堂努韶网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO184先进的入侵检测技术先进的入侵检测技术v数据挖掘与入侵检测技术数据挖掘与入侵检测技术然后，在测试数据集合中，如果当前网络连接的属然后，在测试数据集合中，如果当前网络连接的属性特征满足某个性特征满足某个RIPPER规则的条件，但是指向的规则的条件，但是指向的服务端口却不符合服务端口却不符合RIPPER规则的结论，则指示当规则的结论，则指示当前网络连接为异常的会话连接。此时的前网络连接为异常的会话连接。此时的RIPPER规规则集合就变成了一个异常检测器。则集合就变成了一个异常检测器。在运用在运用RIPPER算法时，还

221、可以指定其他的特征作算法时，还可以指定其他的特征作为类别标识，例如，对于训练记录集合中的每个记为类别标识，例如，对于训练记录集合中的每个记录直接指定其属于录直接指定其属于“正常正常”或者或者“异常异常”连接，作为连接，作为RIPPER规则训练学习的类别划分。规则训练学习的类别划分。椰锭沥睛蚌婚贷轨骏种氖准璃短孺瓜赚篡搀甸椎捍廊氢忽淄定成雕膳郁潞网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO185先进的入侵检测技术先进的入侵检测技术v数据融合与入侵检测技术数据融合与入侵检测技术数据融合是一种多层次的、多方面的处理过程，这个数据融合是一种多层次的、多方面的处理过程，这个过程是对多

222、源数据进行检测、结合、估计和组合以达过程是对多源数据进行检测、结合、估计和组合以达到精确的状态估计和身份估计，以及完整、及时的态到精确的状态估计和身份估计，以及完整、及时的态势评估和威胁估计。简而言之，数据融合的基本目的势评估和威胁估计。简而言之，数据融合的基本目的就是通过组合，可以比从任何单个输入数据元素获得就是通过组合，可以比从任何单个输入数据元素获得更多的信息。更多的信息。目前的入侵检测系统还存在若干缺陷，首先，现有的目前的入侵检测系统还存在若干缺陷，首先，现有的实时实时IDS系统在技术上还不具备足以检测到由受到良好系统在技术上还不具备足以检测到由受到良好训练的黑客发起的复杂隐蔽的攻击行

223、为的能力。其次，训练的黑客发起的复杂隐蔽的攻击行为的能力。其次，虚假警报问题也是一个令许多网络管理员头疼的事情。虚假警报问题也是一个令许多网络管理员头疼的事情。最后，来自各种来源的大量泛滥的数据、系统消息等最后，来自各种来源的大量泛滥的数据、系统消息等常常没有得到很好和及时的处理，非但无助于解决问常常没有得到很好和及时的处理，非但无助于解决问题，反而浪费和降低了题，反而浪费和降低了IDS系统的处理能力和检测性能。系统的处理能力和检测性能。穗宵役萄圆呛烽寓锰搞五仅侧玫圭萤淆刨哨衍诽屈庙耗周匀随涅麦圆笛化网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO186先进的入侵检测技术先进的

224、入侵检测技术v数据融合与入侵检测技术数据融合与入侵检测技术为解决上述问题，多传感器数据融合技术提供为解决上述问题，多传感器数据融合技术提供了一条重要的技术途径。它能够把从多个异质了一条重要的技术途径。它能够把从多个异质分布式传感器处得到的各种数据和信息综合成分布式传感器处得到的各种数据和信息综合成为一个统一的处理进程，来评估整个网络环境为一个统一的处理进程，来评估整个网络环境的安全性能。基于数据融合的入侵检测系统的的安全性能。基于数据融合的入侵检测系统的输入可以是从网络嗅探器处得到的各种网络数输入可以是从网络嗅探器处得到的各种网络数据包、系统日志文件、据包、系统日志文件、SNMP信息、用户资料

225、信息、用户资料信息、系统消息和操作命令等，甚至包括各种信息、系统消息和操作命令等，甚至包括各种“带外带外”数据源等，系统输出是入侵者的身份估计数据源等，系统输出是入侵者的身份估计和位置确定、入侵者的活动信息、危险性信息、和位置确定、入侵者的活动信息、危险性信息、攻击的等级和对整个入侵行为危险程度的评估攻击的等级和对整个入侵行为危险程度的评估等。等。幌贸菇框芍沤德婪廓嘿烟坤米佃宿眠妒恕鸡递亥汐复蝎箩韦贯硷乘踢囤伏网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO187先进的入侵检测技术先进的入侵检测技术v数据融合与入侵检测技术数据融合与入侵检测技术关于数据融合在入侵检测领域内的应用

226、，关于数据融合在入侵检测领域内的应用，T. Bass提出了入侵检测中数据融合的一般层次模提出了入侵检测中数据融合的一般层次模型。型。入侵检测的数据融合技术同样入侵检测的数据融合技术同样面临着若干挑战，例如面临着若干挑战，例如,如何开如何开发通用的结构化发通用的结构化“元语言元语言”来来描述入侵检测和网络管理的对描述入侵检测和网络管理的对象，以及对动态网络攻击行为象，以及对动态网络攻击行为的检测技术，还有将具有强烈的检测技术，还有将具有强烈数学背景的多传感器数据融合数学背景的多传感器数据融合理论应用到实际的理论应用到实际的IDS系统所系统所面临的若干复杂问题等。数据面临的若干复杂问题等。数据融合

227、技术在入侵检测中的应用融合技术在入侵检测中的应用还需后继的大量研究工作，但还需后继的大量研究工作，但是应用前景非常广阔。是应用前景非常广阔。绸碘饲月鬃倦始押危肌铀老叼泽教幂翼甭搏力吻曹窖峨仁赢及耻淋骑氓靶网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO188先进的入侵检测技术先进的入侵检测技术v计算机免疫学与入侵检测技术计算机免疫学与入侵检测技术计算机免疫技术是直接受到生物免疫机制的启计算机免疫技术是直接受到生物免疫机制的启发而提出的。与现有的计算机安全系统相比较，发而提出的。与现有的计算机安全系统相比较，生物免疫系统具备如下重要的特征：生物免疫系统具备如下重要的特征： 多层次

228、保护机制。多层次保护机制。高度分布式的检测和记忆系统。高度分布式的检测和记忆系统。多样化的个体检测能力。多样化的个体检测能力。识别未知异体的能力。识别未知异体的能力。点振禾愤欠雇筷囤爽忽橇解唐允咆其吭嫩墙暖沟脓折罐满堵溪针慷雕盆逮网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO189先进的入侵检测技术先进的入侵检测技术v计算机免疫学与入侵检测技术计算机免疫学与入侵检测技术S.Forrest等人在将计算安全与生物免疫学进行类比研等人在将计算安全与生物免疫学进行类比研究的基础上，最早提出了计算机免疫学的概念，并将究的基础上，最早提出了计算机免疫学的概念，并将其应用在入侵检测的研究领

229、域。其应用在入侵检测的研究领域。Forrest等人认为，免等人认为，免疫系统最重要的任务是如何准确识别本体和异体。生疫系统最重要的任务是如何准确识别本体和异体。生物免疫系统使用诸如蛋白质片断（肽）等特征来完成物免疫系统使用诸如蛋白质片断（肽）等特征来完成本体的识别，而计算机系统同样具有多个特征可供选本体的识别，而计算机系统同样具有多个特征可供选择，例如，单个主机上资源访问的模式、主机网络流择，例如，单个主机上资源访问的模式、主机网络流量信息、用户输入的命令等。量信息、用户输入的命令等。Forrest等人认为主机上等人认为主机上运行的特权程序，在运行过程中产生的系统调用序列运行的特权程序，在运行

230、过程中产生的系统调用序列是相当稳定的，可以使用这些系统调用序列来识别特是相当稳定的，可以使用这些系统调用序列来识别特权程序的权程序的“本体本体”，他们在此前提假设下进行了实验工，他们在此前提假设下进行了实验工作。作。室诧挥迸签事细溪岛肿恋约蠕姑夺任吃榔迫盔砧香磷赚沥毯嫌扑汝刚歼辊网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO190先进的入侵检测技术先进的入侵检测技术v计算机免疫学与入侵检测技术计算机免疫学与入侵检测技术Forrest等人在实验工作中，确定使用系统调用的短序等人在实验工作中，确定使用系统调用的短序列为入侵检测系统的输入数据源，其中仅考虑系统调列为入侵检测系统的输

231、入数据源，其中仅考虑系统调用序列中的时间顺序，而忽略掉系统调用的参数信息。用序列中的时间顺序，而忽略掉系统调用的参数信息。在实际检测工作中，首先建立了反映某个特权程序在实际检测工作中，首先建立了反映某个特权程序（Sendmail、wftpd）正常系统调用序列情况的数据）正常系统调用序列情况的数据库，然后收集特权程序在实际运行中所产生的系统调库，然后收集特权程序在实际运行中所产生的系统调用序列，并与数据库中的正常序列信息进行比较，如用序列，并与数据库中的正常序列信息进行比较，如果偏离了正常情况，则认为该特权程序的运行出现了果偏离了正常情况，则认为该特权程序的运行出现了异常。异常。貌悍夷佩婴枢恋谣

232、酞袁掷苏柞祥疙群朋父艰户谬胯芋捌园汛瞳债拟滚情脓网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO191先进的入侵检测技术先进的入侵检测技术v计算机免疫学与入侵检测技术计算机免疫学与入侵检测技术具体的，具体的，Forrest提出了短序列匹配算法，原理如下。提出了短序列匹配算法，原理如下。假设观察到如下的系统调用序列数据：假设观察到如下的系统调用序列数据： openreadmmapmmapopenreadmmap那么，使用长度为那么，使用长度为k的时间窗口对系统调用序列进行分割处理，的时间窗口对系统调用序列进行分割处理，得到如下多个长度为得到如下多个长度为3的系统调用短序列：的系统

233、调用短序列： openreadmmap readmmapmmap mmapmmapopen mmapopenread openreadmmap琅嫡字望佯叁主诗耘绚秩纳炸哇拿落戮拘吞揽馏旷鸣纷杯壮瘴除毅撒耀绿网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO192先进的入侵检测技术先进的入侵检测技术v计算机免疫学与入侵检测技术计算机免疫学与入侵检测技术实际检测过程中，首先对于训练数据样本集所包含的实际检测过程中，首先对于训练数据样本集所包含的系统调用序列，采用长度为系统调用序列，采用长度为k的时间窗口进行分割处理，的时间窗口进行分割处理，形成对应正常系统调用模式的短序列集合。之后，

234、这形成对应正常系统调用模式的短序列集合。之后，这些正常调用模式的序列信息按照一定结构被存放到数些正常调用模式的序列信息按照一定结构被存放到数据库中。然后，在特权程序实际运行期间，收集所产据库中。然后，在特权程序实际运行期间，收集所产生的系统调用序列，同样采用长度为生的系统调用序列，同样采用长度为k的时间窗口进行的时间窗口进行划分，对于分割得到的每个短序列，在正常调用模式划分，对于分割得到的每个短序列，在正常调用模式数据库中进行匹配，从而可以计算出所有不匹配的短数据库中进行匹配，从而可以计算出所有不匹配的短序列数目占全部数目的百分比。之后，设置一个经验序列数目占全部数目的百分比。之后，设置一个经

235、验检测阈值，就可以获得最后的检测结果。检测阈值，就可以获得最后的检测结果。觉泡票咎紫醛臂铡园悄抗消该嗓研驴厉抛坑榜我蛊印崭钨扳抹倡粗脸爬韧网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO193先进的入侵检测技术先进的入侵检测技术v计算机免疫学与入侵检测技术计算机免疫学与入侵检测技术对于时间窗口大小对于时间窗口大小k的选择，的选择，Forrest只是根据经验值只是根据经验值设定。如何确定最佳的设定。如何确定最佳的k值，目前并没有提出具体的方值，目前并没有提出具体的方法。后继的研究工作提出了更加复杂的数据建模技术，法。后继的研究工作提出了更加复杂的数据建模技术，例如采用隐性马尔可夫

236、过程等，但是，比较简单的短例如采用隐性马尔可夫过程等，但是，比较简单的短序列匹配算法而言，性能并没有很大的提高。序列匹配算法而言，性能并没有很大的提高。Forrest开展的计算机免疫学在入侵检测中的应用工作，开展的计算机免疫学在入侵检测中的应用工作，其重点放在了对特权程序本体特征的识别上。对于其其重点放在了对特权程序本体特征的识别上。对于其他不涉及特权程序异常使用的入侵行为，则需要进行他不涉及特权程序异常使用的入侵行为，则需要进行进一步的应用研究工作。进一步的应用研究工作。Forrest工作的最大意义在于工作的最大意义在于从一个全新的视觉来看待计算机安全问题，并提供了从一个全新的视觉来看待计算

237、机安全问题，并提供了成功的初期应用例子。成功的初期应用例子。埠尸趁让垫锐捌炒琅桓描辛亚妙愁忌澡节筋杜宗脐露炽枚袭泵谆驴秽雨嚎网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO194先进的入侵检测技术先进的入侵检测技术v进化计算与入侵检测技术进化计算与入侵检测技术对生物进化过程的仿生学研究工作，促进了进化计算对生物进化过程的仿生学研究工作，促进了进化计算（evolutionary computation）技术领域的发展。进化计算技术）技术领域的发展。进化计算技术在本质上属于一种模仿某些自然规则的全局优化算法，其思想起在本质上属于一种模仿某些自然规则的全局优化算法，其思想起源可以追溯

238、到达尔文的源可以追溯到达尔文的“进化论进化论”思想，包括自然选择和适者生存思想，包括自然选择和适者生存的观点。进化计算的主要算法包括以下的观点。进化计算的主要算法包括以下5种类型：种类型： 遗传算法遗传算法（GA）、进化规划（）、进化规划（EP）、进化策略（）、进化策略（ES）、分类器系统）、分类器系统（CFS）和遗传规划（）和遗传规划（GP）。这些进化算法通常都维护一组对象）。这些进化算法通常都维护一组对象的群体，这些对象按照一定的选择规则和遗传算子（例如，重组、的群体，这些对象按照一定的选择规则和遗传算子（例如，重组、变异、交叉互换）不断进行进化演变。群体中的每个对象个体都变异、交叉互换）

239、不断进行进化演变。群体中的每个对象个体都具有一个反映其本身与所处环境之间适应性的度量值。遗传算子具有一个反映其本身与所处环境之间适应性的度量值。遗传算子中的复制操作主要应用于那些具备较高适应性的个体，以发掘个中的复制操作主要应用于那些具备较高适应性的个体，以发掘个体中蕴藏的适应性特征；而重组和变异等操作，则用于对个体特体中蕴藏的适应性特征；而重组和变异等操作，则用于对个体特征进行适当的扰动，以进行启发性的适应性搜索过程。此点类似征进行适当的扰动，以进行启发性的适应性搜索过程。此点类似于生物进化中保留对生存有利的基因以及进行基因突变以更好适于生物进化中保留对生存有利的基因以及进行基因突变以更好适

240、应环境的过程。应环境的过程。啦展餐屹辊厚袱亿奸津北吭韦丁磐拇糠净活盛颈援喘成锣精疗焊衅芒俭茶网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO195先进的入侵检测技术先进的入侵检测技术v进化计算与入侵检测技术进化计算与入侵检测技术进化算法（主要是遗传算法和遗传规划）在入进化算法（主要是遗传算法和遗传规划）在入侵检测中的应用研究，目前还处于早期发展阶侵检测中的应用研究，目前还处于早期发展阶段，还存在不少问题和缺陷。尽管初步的实验段，还存在不少问题和缺陷。尽管初步的实验结果比较令人鼓舞，进入实际的入侵检测工作结果比较令人鼓舞，进入实际的入侵检测工作阶段还需要进一步的研究工作。阶段还需

241、要进一步的研究工作。骏命守轿纯捏憾凛咒篷磁锡肢皿杰宋串围诗悟襟矮悠子逐操降散合罢刺低网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGOv“零拷贝零拷贝”技术技术 “零拷贝”技术是指网卡驱动程序共享一段内存区域，当网卡抓到数据包以后直接写到共享内存，这样的一个处理过程减少了至少一次复制。同时减少了一次网卡驱动程序向用户空间复制网络数据包的系统调用。一次系统调用的开销其实是相当大的，对于入侵检测系统来说由于要频繁地跟内核空间的网卡驱动程序打交道，因此按传统方法会造成大量的系统调用，从而导致系统的性能下降。但是采用了“零拷贝”技术后有效的避免了这一点。 桑维妹纂粥姆窟痴钓韵譬遏面席吵误

242、桃吗神迟叶赊糖哨浪莱呸杂郁孺秋烷网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO197第第6章章 入侵检测技术入侵检测技术 v入侵检测技术概述入侵检测技术概述v入侵检测技术分类入侵检测技术分类v基于主机基于主机/网络的入侵检测技术网络的入侵检测技术v混合型的入侵检测技术混合型的入侵检测技术v先进入侵检测技术先进入侵检测技术v分布式的入侵检测架构分布式的入侵检测架构v入侵检测系统的设计思路入侵检测系统的设计思路攒鸟犯栈芯闪滦珐床屋沃涧萨昼孤埃民艇娱蜡怒糠爸材逃膳唱傲凰构翰蔡网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO198分布式的入侵检测架构分布式的入侵检测架

243、构v应用背景应用背景v需要解决的关键问题需要解决的关键问题v分布式检测架构的基础设计分布式检测架构的基础设计v进一步的发展进一步的发展悔亿潍噶钨窜藩饱屹扁哇漳移问暖恿出涨烫蓉交韧琢党啦类德瓦饰温介汹网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO199分布式的入侵检测架构分布式的入侵检测架构v应用背景应用背景对于保护网络基础设施而言，需要某种机制实对于保护网络基础设施而言，需要某种机制实时地检测出网络操作中那些可能指示异常或恶时地检测出网络操作中那些可能指示异常或恶意行为的活动模式，并且通过自动反应措施来意行为的活动模式，并且通过自动反应措施来进行响应。另外，这种机制还应该支持

244、对事件进行响应。另外，这种机制还应该支持对事件数据的收集和相关处理过程，以便追踪那些应数据的收集和相关处理过程，以便追踪那些应该为恶意行为负责的个体。分布式的入侵检测该为恶意行为负责的个体。分布式的入侵检测架构就是适应此种需求而迅速发展起来的。架构就是适应此种需求而迅速发展起来的。分布式入侵检测系统一般指的是分布式入侵检测系统一般指的是部署于大规模部署于大规模网络环境下的入侵检测系统网络环境下的入侵检测系统，任务是用来监视，任务是用来监视整个网络环境中的安全状态，包括网络设施本整个网络环境中的安全状态，包括网络设施本身和其中包含的主机系统。身和其中包含的主机系统。涕苹遁狡兹舅巴课褐崩未稿逗投斯

245、赫隆偷序辫选蒜缀什郴磋臀已祁呆蝇隋网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO200分布式的入侵检测架构分布式的入侵检测架构v需要解决的关键问题需要解决的关键问题在分布式的网络环境中，传统的网络安全措施在分布式的网络环境中，传统的网络安全措施无法很好地应用到这种大型的网络结构中，因无法很好地应用到这种大型的网络结构中，因此保证该种网络设施抗攻击性的需求就引发了此保证该种网络设施抗攻击性的需求就引发了很多重要的问题。很多重要的问题。其中一个问题就是：其中一个问题就是：“我们能否创建能够伸缩适应大我们能否创建能够伸缩适应大规模网络环境的安全监控和响应能力？规模网络环境的安全监控

246、和响应能力？”。要做到这。要做到这一点，就必须解决在当前入侵检测设计中存在的若一点，就必须解决在当前入侵检测设计中存在的若干挑战性问题，其中的大多数问题都是从当前的集干挑战性问题，其中的大多数问题都是从当前的集中式处理模式中所引发的。中式处理模式中所引发的。讽座捅逝呕面男腕日等断腰捣绳委忆见谋监脉蠕顾撰爪扯焕坠柒注严培饶网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO201分布式的入侵检测架构分布式的入侵检测架构v需要解决的关键问题需要解决的关键问题事件的生成和存储事件的生成和存储审计记录的生成和存储往往是一种集中式的活动，审计记录的生成和存储往往是一种集中式的活动，并且常常在

247、不恰当的抽象层次上收集到超过所需的并且常常在不恰当的抽象层次上收集到超过所需的过量信息。集中式的审计机制给主机的过量信息。集中式的审计机制给主机的CPU和和I/O系系统施加了沉重的负担，并且无法很好地适应用户数统施加了沉重的负担，并且无法很好地适应用户数目迅速增长的情况。另外，通常也很难将集中式的目迅速增长的情况。另外，通常也很难将集中式的审计机制扩展到空间上高度分布的环境中，如网络审计机制扩展到空间上高度分布的环境中，如网络基础设施（路由器、过滤器、基础设施（路由器、过滤器、DNS、防火墙等），、防火墙等），或者是不同的网络服务类型。或者是不同的网络服务类型。篱猎罢趋吹猩耗郑棺砸乙亭快坊邀盔

248、绸倍耸惨拭硅颅临表葫溪孽逼冻炯抄网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO202分布式的入侵检测架构分布式的入侵检测架构v需要解决的关键问题需要解决的关键问题状态空间和规则复杂性状态空间和规则复杂性在基于特征的分析技术中，规则的复杂性与系统性能之间存在在基于特征的分析技术中，规则的复杂性与系统性能之间存在着直接的制约折衷关系。一种能够表示多个事件复杂次序关系着直接的制约折衷关系。一种能够表示多个事件复杂次序关系的复杂规则结构，可能允许一种简明和结构完美的入侵模式定的复杂规则结构，可能允许一种简明和结构完美的入侵模式定义；但是，复杂的规则结构同时也将大大增加在分析过程中维义

249、；但是，复杂的规则结构同时也将大大增加在分析过程中维护各种状态信息的负担，从而限制其向具有海量事件数据流量护各种状态信息的负担，从而限制其向具有海量事件数据流量环境的扩展能力。相对简短的规则系统所带来的分析和状态管环境的扩展能力。相对简短的规则系统所带来的分析和状态管理负担较轻，将有助于提供对事件分析能力的更大伸缩性及提理负担较轻，将有助于提供对事件分析能力的更大伸缩性及提高分析效率。然而，太简单的规则系统也将限制对网络滥用异高分析效率。然而，太简单的规则系统也将限制对网络滥用异常行为的表述能力，从而可能导致规模过度膨胀的规则库，以常行为的表述能力，从而可能导致规模过度膨胀的规则库，以此作为对

250、缺少描述特定攻击行为多个变化方式的表述能力的补此作为对缺少描述特定攻击行为多个变化方式的表述能力的补偿。偿。洋角界诫哪蚁稽乒矩耿淌二疆芳或堵邯肇希杭锰疗涪颧氧验钵僚塘渤匹霓网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO203分布式的入侵检测架构分布式的入侵检测架构v需要解决的关键问题需要解决的关键问题知识库的存储知识库的存储专家系统通常将它的知识库与其分析代码和响应逻辑分专家系统通常将它的知识库与其分析代码和响应逻辑分离，以便增加系统整体的模块性。将知识库放在集中管离，以便增加系统整体的模块性。将知识库放在集中管理的存储体中进行维护的方式具有特定的某些优势，例理的存储体中进行

251、维护的方式具有特定的某些优势，例如对整个信息的动态修改和控制操作将会比较容易实现。如对整个信息的动态修改和控制操作将会比较容易实现。另外，集中放置的知识库存储方式将能很方便地应用插另外，集中放置的知识库存储方式将能很方便地应用插件式的规则集合，插件模式的规则集将能够增加系统的件式的规则集合，插件模式的规则集将能够增加系统的通用性和可移植性。然而，在高度分布的且具有海量事通用性和可移植性。然而，在高度分布的且具有海量事件流量的环境中，集中存储和集中分析引擎的组合方式件流量的环境中，集中存储和集中分析引擎的组合方式将可能成为整个系统运行的性能瓶颈。同时，如果集中将可能成为整个系统运行的性能瓶颈。同

252、时，如果集中存储的知识库和规则集合遭到破坏或者变得不可用时，存储的知识库和规则集合遭到破坏或者变得不可用时，它还将成为整个系统的安全薄弱环节。它还将成为整个系统的安全薄弱环节。秆贡秉吕践欧拌暇努屡迸汲擞宜支蜕株枫仙榜料芦挪葵畦噬乾阮福男础扛网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO204分布式的入侵检测架构分布式的入侵检测架构v需要解决的关键问题需要解决的关键问题推理架构推理架构在许多基于特征的专家系统内部，都存在特定的核在许多基于特征的专家系统内部，都存在特定的核心算法。该算法接受输入，然后在一组推理规则的心算法。该算法接受输入，然后在一组推理规则的基础上，执行对新知识

253、或者结论的推导过程。这种基础上，执行对新知识或者结论的推导过程。这种推理引擎模式从本质上来说是集中式的。这种推理引擎模式从本质上来说是集中式的。这种“单点单点分析分析”模式不具备良好的收缩扩展性能。如果采用了模式不具备良好的收缩扩展性能。如果采用了完全分布式的分析方法，则又会引发另外的问题。完全分布式的分析方法，则又会引发另外的问题。无论是全局的数据相关处理，还是各个分布式分析无论是全局的数据相关处理，还是各个分布式分析组件之间的协调工作，都会消耗大量的计算资源。组件之间的协调工作，都会消耗大量的计算资源。在传统的集中式专家系统分析技术和完全分布式的在传统的集中式专家系统分析技术和完全分布式的

254、分析方案之间寻找到一个最优的分析模式，将是在分析方案之间寻找到一个最优的分析模式，将是在创建任何一个可伸缩的推理架构过程中所要解决的创建任何一个可伸缩的推理架构过程中所要解决的关键问题。关键问题。斧环千莫蹿沼粘氏鄂映谰茵堵描昭褪闯匀援肯怪近法英尽酱幢音荷扯畦敦网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO205分布式的入侵检测架构分布式的入侵检测架构v需要解决的关键问题需要解决的关键问题分布式的入侵检测架构必须适应目标系统和网分布式的入侵检测架构必须适应目标系统和网络环境中网络设施的物理和逻辑分布情况。在络环境中网络设施的物理和逻辑分布情况。在分布式网络环境中部署的集中式入侵

255、检测模式，分布式网络环境中部署的集中式入侵检测模式，在将其分析模式扩展到分布式环境时，将会遇在将其分析模式扩展到分布式环境时，将会遇到很大的困难。前面所述的种种问题都反映了到很大的困难。前面所述的种种问题都反映了在当前分布式入侵检测架构设计中所需要解决在当前分布式入侵检测架构设计中所需要解决的关键问题。的关键问题。倚梨环洽钠诛罪狮挛亏队靳舰锻舶酝挎脆十同览算福阅牺惟靖览段篮倡樟网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO206分布式的入侵检测架构分布式的入侵检测架构vGrIDS：基于图表的入侵检测系统：基于图表的入侵检测系统GrIDS是为大规模网络环境而设计的入侵检测是为大

256、规模网络环境而设计的入侵检测模型，它为被保护的大型组织网络环境进行不模型，它为被保护的大型组织网络环境进行不同等级的分解形成不同层次的管理域。同等级的分解形成不同层次的管理域。GrIDS 把目标环境中的各种报告事件和网络流量信息把目标环境中的各种报告事件和网络流量信息汇集成图表的形式，然后在更高的等级上把这汇集成图表的形式，然后在更高的等级上把这些图表汇集成更为简要的形式。些图表汇集成更为简要的形式。GrIDS在不同在不同抽象层次上进行分析检测工作，以发现不同层抽象层次上进行分析检测工作，以发现不同层次上的入侵行为。次上的入侵行为。孟粮晓辆魏娘眼途搓台里疮介陌吞苯苛广寝情扑僵妥迷惟都莉蛰炕寓煤

257、萍网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO207分布式的入侵检测架构分布式的入侵检测架构vGrIDS的主要设计目标是能够检测到大规模网络环境下所的主要设计目标是能够检测到大规模网络环境下所发生的攻击类型发生的攻击类型, 例如端口扫描、跨域的协同攻击以及蠕例如端口扫描、跨域的协同攻击以及蠕虫攻击等。虫攻击等。GrIDS 首先会构建一个图表来代表目标网络内首先会构建一个图表来代表目标网络内发生的活动情况，然后在此基础上进行分析工作。发生的活动情况，然后在此基础上进行分析工作。v以蠕虫攻击为例来说明以蠕虫攻击为例来说明GrIDS系统中的若干基本概念。系统中的若干基本概念。v蠕

258、虫从蠕虫从A主机开始，然后引起主机主机开始，然后引起主机B、C的感染。的感染。GrIDS会会在这两条连接活动的基础上，产生一个新的图表来反映这在这两条连接活动的基础上，产生一个新的图表来反映这个活动。如果过了一段时间在主机个活动。如果过了一段时间在主机A、B、C上没有进一步上没有进一步的活动发生，这个图表就被遗忘。否则，如果蠕虫迅速感的活动发生，这个图表就被遗忘。否则，如果蠕虫迅速感染了主机染了主机D、E，那么将在图中添加新的活动，并且更新，那么将在图中添加新的活动，并且更新图的时间戳。图的时间戳。勾列竣吞幅您蘑犁畸擂肩友控冀拓患婴矣谍舵锯刺浸得冶鸵姻滋鉴措巳藤网络安全-郑万波网络安全-6网络

259、安全-郑万波网络安全-6LOGO208分布式的入侵检测架构分布式的入侵检测架构v这就表明如果主机间的活动是在一定时间间隔内这就表明如果主机间的活动是在一定时间间隔内发生的，那么它们就是相关的，就将被加入到图发生的，那么它们就是相关的，就将被加入到图表中。表中。v最后，通过计算图表中结点和边的数目，并判定最后，通过计算图表中结点和边的数目，并判定是否超过设定的阀值，是否超过设定的阀值，GrIDS系统就可以决定是系统就可以决定是否报告一次可疑的蠕虫攻击。否报告一次可疑的蠕虫攻击。识程厄燃羞慧墒镀满琳诣咙裁勾用冰中鞋脏浮粕坛让羊毋界庄汪蝎漓汕郎网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6

260、LOGO209分布式的入侵检测架构分布式的入侵检测架构vGrIDS系统中所构造的图表，由代表系统中所构造的图表，由代表主机的结点和代表主主机的结点和代表主机间连接信息的边机间连接信息的边构成，其中结点和边都是构成，其中结点和边都是以时间属性相以时间属性相互关联互关联的。的。v除了通过网络流量来构图，除了通过网络流量来构图，GrIDS还允许用属性来注释图还允许用属性来注释图中的结点和边。中的结点和边。GrIDS 提供一套定义好的语法使用户能够提供一套定义好的语法使用户能够编写自己的过滤器。编写自己的过滤器。vGrIDS为了检测各种类型的网络攻击行为，需要构建各种为了检测各种类型的网络攻击行为，需

261、要构建各种类型的图。图的具体类型由系统中的规则集合来决定，规类型的图。图的具体类型由系统中的规则集合来决定，规则负责处理在何种情况下如何构图。当则负责处理在何种情况下如何构图。当GrIDS收到一个新收到一个新的结点或连接信息的报告，就把这些信息提供给规则集以的结点或连接信息的报告，就把这些信息提供给规则集以决定如何与已有的图表进行合并。之后，系统根据规则集决定如何与已有的图表进行合并。之后，系统根据规则集中的检测规则来决定是否发生了可疑行为。中的检测规则来决定是否发生了可疑行为。嚷森丧秒蜕叭倍锯拿帘苯朱析检浩井盎聘蹄广冈罢犊抑豌缓址揽鲤夸歪睦网络安全-郑万波网络安全-6网络安全-郑万波网络安全

262、-6LOGO210分布式的入侵检测架构分布式的入侵检测架构v在在GrIDS中，目标网络被划分为多个不同层次的中，目标网络被划分为多个不同层次的部门（部门（department），每个部门内都有一个），每个部门内都有一个GrIDS处理模块，负责收集本部门范围内的网络处理模块，负责收集本部门范围内的网络活动信息并将它们构建为图表的形式，然后加以活动信息并将它们构建为图表的形式，然后加以分析处理。如果当前部门内发生的活动超越了部分析处理。如果当前部门内发生的活动超越了部门范围，则该部门的处理模块会将这些活动向上门范围，则该部门的处理模块会将这些活动向上一级的模块进行报告。上一级的处理模块，在接一级的

263、模块进行报告。上一级的处理模块，在接到报告后，会构建对应的简化图表（到报告后，会构建对应的简化图表（reduced graph），其中的特定结点会代表整个下级部门），其中的特定结点会代表整个下级部门的网络环境，而不是单个的主机。上一级的处理的网络环境，而不是单个的主机。上一级的处理模块，将会在此简化图表的基础上进行分析工作。模块，将会在此简化图表的基础上进行分析工作。柴胯诗阻垫治黄缮茬舱穿逢痈羊窖钟斑镁诈暂臀刀忽薄跟数塞更授仪韩论网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO211分布式的入侵检测架构分布式的入侵检测架构v一个跨越多个部门的活动图表（虚线代表一个跨越多个部门的

264、活动图表（虚线代表部门边界）部门边界）紊萝钥名讶演怔狞葛逝引驭裂煽赶口耙吗疗丑骡荡底颁初啡篓侮那放吮土网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO212分布式的入侵检测架构分布式的入侵检测架构v一个跨越多个部门的活动图表的简化图表一个跨越多个部门的活动图表的简化图表一般而言，在根据下层报告信息来构建一般而言，在根据下层报告信息来构建简化图表的过程中，简化图表的过程中，GrIDS处理模块都处理模块都会将特定的属性信息附加到简化图表的会将特定的属性信息附加到简化图表的对应结点中，以说明结点所代表的下层对应结点中，以说明结点所代表的下层部门特征信息。如图所示，各个结点中部门特征信

265、息。如图所示，各个结点中包含的属性信息反映各个部门所属主机包含的属性信息反映各个部门所属主机的数目信息。其他的属性信息还可以包的数目信息。其他的属性信息还可以包含诸如部门内网络连接的数目、路径深含诸如部门内网络连接的数目、路径深度等信息。正是通过各层次上的不同简度等信息。正是通过各层次上的不同简化处理工作，化处理工作，GrIDS实现了可伸缩的分实现了可伸缩的分布式入侵检测架构的设计目标。布式入侵检测架构的设计目标。钡扇绵念完寨砚则明咕见而吾激搞泛侦恩仲谷柯诉第疹每娱丈抱层熟疚趣网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO213分布式的入侵检测架构分布式的入侵检测架构vGrI

266、DS构图引擎构图引擎GrIDS构图引擎的任务是报告基本的网络活动，构图引擎的任务是报告基本的网络活动，并把它们转化成所需的图表形式。构图引擎的并把它们转化成所需的图表形式。构图引擎的总体目标是构建网络活动图表，然后通过分析总体目标是构建网络活动图表，然后通过分析图表来判断是否有可疑行为发生。更具体的目图表来判断是否有可疑行为发生。更具体的目标包括：标包括： 检测蠕虫攻击和扫描活动。检测蠕虫攻击和扫描活动。检测违反网络访问权限的行为。检测违反网络访问权限的行为。在网络中跟踪可疑活动发生的来源。在网络中跟踪可疑活动发生的来源。为安全管理员（为安全管理员（SSO）提供可视化显示所需的详细）提供可视化

267、显示所需的详细支持信息。支持信息。绒弗毗贼遂争幌袭蜗朋星窖为腋丈掺洼蚕眶幌馈钞茅现昭柴真覆姐簧颠指网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO214分布式的入侵检测架构分布式的入侵检测架构vGrIDS构图引擎构图引擎构图引擎是构图引擎是GrIDS的最核心部分，的最核心部分，GrIDS中的中的所有构图引擎之间存在着等级关系。下一级的所有构图引擎之间存在着等级关系。下一级的构图引擎负责将该级的网络活动信息构造成为构图引擎负责将该级的网络活动信息构造成为图表，并报告给上级引擎。图表，并报告给上级引擎。构图引擎中包含用于检测不同类型攻击行为的构图引擎中包含用于检测不同类型攻击行为的

268、多张图表。图表的具体类型由图表的规则集决多张图表。图表的具体类型由图表的规则集决定，在不同规则集中的规则彼此相互独立。定，在不同规则集中的规则彼此相互独立。庭篙良务袱马讲班技记看政荔垛闰剧憋克赢递尾术磺耶粟达皆矣创冈郸估网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO215分布式的入侵检测架构分布式的入侵检测架构vGrIDS构图引擎构图引擎在处理一个输入的新报告时，构图引擎的任务是决定在处理一个输入的新报告时，构图引擎的任务是决定这个报告是否与现有的某个或多个图表相关，以及如这个报告是否与现有的某个或多个图表相关，以及如何来更新图表的各种属性。何来更新图表的各种属性。规则集包含

269、预处理条件，这些预处理条件决定当前输规则集包含预处理条件，这些预处理条件决定当前输入的报告信息是否完全符合特定规则集的前提条件。入的报告信息是否完全符合特定规则集的前提条件。如果不符合，则当前规则集合对该报告信息将不做任如果不符合，则当前规则集合对该报告信息将不做任何进一步的处理工作。何进一步的处理工作。预处理条件分为两类：预处理条件分为两类： 结点预处理和边预处理条件。结点预处理和边预处理条件。如果满足了预处理条件，则规则集将会把报告中的相如果满足了预处理条件，则规则集将会把报告中的相关信息抽取出来，并计算是否能够尽可能地和现有的关信息抽取出来，并计算是否能够尽可能地和现有的相关图表进行合并

270、。一般来说，系统能自动处理结点相关图表进行合并。一般来说，系统能自动处理结点和边的实际合并工作，但是某些属性的重新计算工作和边的实际合并工作，但是某些属性的重新计算工作还得由用户在规则中显式地加以指定。还得由用户在规则中显式地加以指定。输蜗现习多刹扭獭阿啊陀佬竹洁肇你站怪擅粳宣肃俞爪么努备黔脊砒斧怪网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO216分布式的入侵检测架构分布式的入侵检测架构定义属性信息定义属性信息time和和alert。设定规则集合的预处理条件：设定规则集合的预处理条件： node precondition defined(new.node.time) & d

271、efined(new.node.alert)/ 指定了结点的预处理条件，即输入的结点信息必须定义了属性信息指定了结点的预处理条件，即输入的结点信息必须定义了属性信息time和和alert。如果输入的结点。如果输入的结点报告中没有包含这些属性信息，则无法适用当前规则集。报告中没有包含这些属性信息，则无法适用当前规则集。edge precondition defined(new.edge.time)/代表输入的边信息必须定义了属性信息代表输入的边信息必须定义了属性信息time。在在report规则中，规则中，new表示引用输入报告中的属性信息，而表示引用输入报告中的属性信息，而res表示引用的是当

272、前生成图表中表示引用的是当前生成图表中正在计算的属性信息。正在计算的属性信息。report node rules res.global.alerts = res.global.alerts,new.node.alert;res.node.alerts = new.node.alert;res.global.time = max(res.global.time,new.node.time);res.node.time = new.node.time; / 对输入报告中的每个结点应用结点规则：report edge rules res.global.alerts = res.global.aler

273、ts,new.edge.alert;res.edge.alerts = res.edge.alerts,new.edge.alert;res.global.time = max(res.global.time, new.edge.time,new.source.time,new.dest.time);res.edge.time = max(new.edge.time,new.source.time,new.dest.time); / 对每个边应用边规则： 而憾携巨属逢义群一蜂才梳泰号猩鱼太柠凌毫阳掳岔蛔屎铲昭拈赫匿狱训网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO217分布式

274、的入侵检测架构分布式的入侵检测架构规则集合将处理图表的合并问题。两个图表合并的前提条件首先是有重合的结点和边，然后还要判定重合的结点规则集合将处理图表的合并问题。两个图表合并的前提条件首先是有重合的结点和边，然后还要判定重合的结点和边是否满足指定的合并条件。和边是否满足指定的合并条件。全局属性的合并规则。全局属性的合并规则。global rules res.global.alerts = new.global.alerts,cur.global.alerts;结点的合并规则。结点的合并规则。node rules bine =!empty(new.node.alerts,cur.node.ale

275、rts) & abs(cur.node.time - new.node.time) L;res.node.alerts = cur.node.alerts,new.node.alerts;res.node.time = max(cur.node.time,new.node.time);上面的规则指定，需要合并的结点中至少有一个结点的上面的规则指定，需要合并的结点中至少有一个结点的alert属性非空，且两个结点之间的时间属性值之差不属性非空，且两个结点之间的时间属性值之差不超过超过L。合并后，新结点的。合并后，新结点的alert属性为两个结点之和，属性为两个结点之和，time属性为最近的时间属性

276、值。属性为最近的时间属性值。相应边的合并规则如下：相应边的合并规则如下： edge rules bine = abs(source.cur.time- new.edge.time) c1.example.eductype=tcp, sport=1024, dport=25, stime=823112009, seq=23232;c.example.edu - c2.example.eductype=tcp, sport=1024, dport=25, stime=823112020, seq=13131;c.example.edu - c3.example.eductype=tcp, spor

277、t=1024, dport=25, stime=823112031, seq=10101;娶眯整烬胯创被何亿铡穷孕娥赋忌琉帕啃羚匀戚囤涅铺嫁吸鸥疥滁僵童竖网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO224分布式的入侵检测架构分布式的入侵检测架构vGrIDS的组织层次架构的组织层次架构为了更好地实现大规模分布式环境下的检测目标，为了更好地实现大规模分布式环境下的检测目标，GrIDS系统将系统将网络环境组织为网络环境组织为树形层次结构树形层次结构，如图所示。，如图所示。每个内部结点对应于每个内部结点对应于GrIDS组织内的一个组织内的一个部门，而每个叶结点则对应于特定主机。部门

278、，而每个叶结点则对应于特定主机。对于每个部门而言，对于每个部门而言，GrIDS都存在一个构都存在一个构图引擎模块和一个软件管理器模块。前图引擎模块和一个软件管理器模块。前者负责所在部门的分析处理工作，即根者负责所在部门的分析处理工作，即根据输入的报告信息，构建新的图表或合据输入的报告信息，构建新的图表或合并图表，得出检测结论并适时向上级结并图表，得出检测结论并适时向上级结点汇报。软件管理器模块则负责控制所点汇报。软件管理器模块则负责控制所在部门的软件模块的运行工作，并维护在部门的软件模块的运行工作，并维护与本部门相关的组织结构信息，例如上与本部门相关的组织结构信息，例如上级部门结点、下级部门结

279、点等。另外，级部门结点、下级部门结点等。另外，在部门各个主机上，还存在模块管理器，在部门各个主机上，还存在模块管理器，具体负责特定主机上具体负责特定主机上GrIDS模块的管理和模块的管理和配置工作。配置工作。OHS即组织层次服务器，用来维护和保即组织层次服务器，用来维护和保存网络的组织结构信息。例如，当用户存网络的组织结构信息。例如，当用户需要将部门结点需要将部门结点G从结点从结点E下转移到结下转移到结点点D下，即改变组织结构层次关系时，下，即改变组织结构层次关系时，用户需要首先从用户需要首先从OHS处获得相关的结构处获得相关的结构信息，并且获得进行操作的访问权限；信息，并且获得进行操作的访问

280、权限；之后，用户才能够对结点之后，用户才能够对结点E、D分别进分别进行操作。结点行操作。结点E和和D在接收到操作消息在接收到操作消息后，分别执行对应的配置和管理操作，后，分别执行对应的配置和管理操作，从而完成组织结构的修改工作。在修改从而完成组织结构的修改工作。在修改工作完成后，用户还需要通告工作完成后，用户还需要通告OHS操作操作完成，而完成，而OHS负责将操作结果转发给其负责将操作结果转发给其他相关的模块。他相关的模块。胶酸早豹绦龙示状荤余仕蓟柏捞漓饲壮悍后普冗氦夏搓转旋湖霍峙示截琐网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO225分布式的入侵检测架构分布式的入侵检测架

281、构v模模块块控制器控制器GrIDS系统实质上由大量的软件模块组成，为了在分系统实质上由大量的软件模块组成，为了在分布式环境中灵活而有效地完成对庞大数目的软件模块布式环境中灵活而有效地完成对庞大数目的软件模块的管理任务，的管理任务，GrIDS引入了模块控制器的概念。引入了模块控制器的概念。每个模块控制器运行在某个特定主机系统上，并负责每个模块控制器运行在某个特定主机系统上，并负责控制所在主机上的所有系统模块，包括启动、停止、控制所在主机上的所有系统模块，包括启动、停止、配置和查询状态等操作。每个模块都定义了一组标准配置和查询状态等操作。每个模块都定义了一组标准的控制变量，用于控制和查询当前模块的

282、状态信息，的控制变量，用于控制和查询当前模块的状态信息，而模块控制器则定义了一组标准的交互接口，为动态而模块控制器则定义了一组标准的交互接口，为动态配置每个模块提供一组标准的功能接口。所有对模块配置每个模块提供一组标准的功能接口。所有对模块的操作都必须通过模块控制器的接口来进行。的操作都必须通过模块控制器的接口来进行。肖痔辩智房病饭密萝媒走谍耘后父耿琢歌擂蔚肚销栈蹄预砚衬垣札呸猫跟网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO226分布式的入侵检测架构分布式的入侵检测架构v模模块块控制器控制器每个发往模块控制器的控制消息，必须指定下列事项：每个发往模块控制器的控制消息，必须指

283、定下列事项： 消息所要发往的模块名称。消息所要发往的模块名称。模块的版本号。模块的版本号。模块所在的部门模块所在的部门ID号。号。所要执行的命令类型。所要执行的命令类型。每个每个GrIDS模块都有模块都有3个相关的控制文件：命令文件、响应文件个相关的控制文件：命令文件、响应文件以及初始化文件。当模块控制器接收到一个命令后，它将其写以及初始化文件。当模块控制器接收到一个命令后，它将其写入到对应模块的命令文件中，然后向该模块发送一个系统信号；入到对应模块的命令文件中，然后向该模块发送一个系统信号；对应模块接收到信号后，将会读取相关的命令文件，然后根据对应模块接收到信号后，将会读取相关的命令文件，然

284、后根据不同的命令执行不同的操作，之后更新相关的响应文件并删除不同的命令执行不同的操作，之后更新相关的响应文件并删除命令文件，同时向模块控制器返回一个信号。模块控制器接收命令文件，同时向模块控制器返回一个信号。模块控制器接收到返回的信号后，就会读取对应模块的响应文件，并将相关的到返回的信号后，就会读取对应模块的响应文件，并将相关的内容返回到控制命令的发送方。内容返回到控制命令的发送方。另外，在此操作流程中，模块控制器在向对应模块发送信号后，另外，在此操作流程中，模块控制器在向对应模块发送信号后，会设置一个超时时间值；如果在设定的时间间隔内，操作还未会设置一个超时时间值；如果在设定的时间间隔内，操

285、作还未完成，则模块控制器会向命令发送方返回一个指示出错的消息。完成，则模块控制器会向命令发送方返回一个指示出错的消息。所有的命令收发过程，都是在所有的命令收发过程，都是在TCP的连接通道上进行的。的连接通道上进行的。偿鳖卞割庸地圆草苏职烙再莲疑椽艇革殷呼什校酗箍蜂怎左搐耪瞪绝译剃网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO227分布式的入侵检测架构分布式的入侵检测架构v软软件控制器件控制器模块控制器提供了在特定主机上启动、停止、重新配置和查询特定模块控制器提供了在特定主机上启动、停止、重新配置和查询特定模块的功能，但是在分布式的网络环境中，还需要对部署在多个主模块的功能，但

286、是在分布式的网络环境中，还需要对部署在多个主机上的多个分布式进程进行统一的控制管理操作，以保证在多个相机上的多个分布式进程进行统一的控制管理操作，以保证在多个相关关GrIDS模块之间的一致性。同时，在大规模网络环境下进行系统模块之间的一致性。同时，在大规模网络环境下进行系统部署时，也必须考虑提供一个有效的软件管理机制。为了满足上述部署时，也必须考虑提供一个有效的软件管理机制。为了满足上述两方面的要求，两方面的要求，GrIDS系统中引入了系统中引入了“软件控制器软件控制器”的概念。的概念。对应于对应于GrIDS系统的组织层次结构，每个特定的部门结点都对应于系统的组织层次结构，每个特定的部门结点都

287、对应于一个或多个软件控制器。软件控制器负责查询和管理所在部门内的一个或多个软件控制器。软件控制器负责查询和管理所在部门内的各个主机系统上软件模块的状态，例如正在运行，还是已经停止或各个主机系统上软件模块的状态，例如正在运行，还是已经停止或者目前暂时停止响应等；同时，它还提供对这些软件进行管理操作者目前暂时停止响应等；同时，它还提供对这些软件进行管理操作的功能，例如停止或者启动等。用户可以通过软件管理器来发出特的功能，例如停止或者启动等。用户可以通过软件管理器来发出特定的指令，要求对某些主机上的软件进行各种操作，而软件管理器定的指令，要求对某些主机上的软件进行各种操作，而软件管理器接着对所在主机

288、上的模块控制器发出消息，进行对应的操作并返回接着对所在主机上的模块控制器发出消息，进行对应的操作并返回相关的状态信息。相关的状态信息。浓卡讲侩雨灸台粳原拇错职唤皖腻饥迹集宅挎牟崩税靴哺卞幌输档息林话网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO228分布式的入侵检测架构分布式的入侵检测架构v软软件控制器件控制器软件控制器在初始启动时，将会首先访问组软件控制器在初始启动时，将会首先访问组织层次服务器（织层次服务器（OHS），来确定自己所在的），来确定自己所在的部门结构信息，包括下属的各个模块控制器部门结构信息，包括下属的各个模块控制器的位置和上级部门软件控制器的位置等；明的位置

289、和上级部门软件控制器的位置等；明确位置后，软件控制器就在某个已知端口上确位置后，软件控制器就在某个已知端口上进行监听，等候进一步的消息命令。进行监听，等候进一步的消息命令。吕册洗逢完跳馅铆骡喂套晚咀卞矫基则衣钞厚撤淄襄昭娃喷校卖歉汲肥聊网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO229分布式的入侵检测架构分布式的入侵检测架构vGrIDS系统所处理的是大规模分布式网络系统所处理的是大规模分布式网络环境下的入侵检测问题，它所提出的若干环境下的入侵检测问题，它所提出的若干概念和设计思路，在入侵检测技术的发展概念和设计思路，在入侵检测技术的发展道路上起到了重要的启发作用。道路上起到

290、了重要的启发作用。瞄宾同崩刘诽嵌拜裳邹性呆傈勿效塑馅埃摔乌鹊槛瑶宦灌凄羚气僧瞄静穆网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO230第第6章章 入侵检测技术入侵检测技术 v入侵检测技术概述入侵检测技术概述v入侵检测技术分类入侵检测技术分类v基于主机基于主机/网络的入侵检测技术网络的入侵检测技术v混合型的入侵检测技术混合型的入侵检测技术v先进入侵检测技术先进入侵检测技术v分布式的入侵检测架构分布式的入侵检测架构v入侵检测系统的设计思路入侵检测系统的设计思路冈数浮遮团糙勾鼻饲犬摹伐暴菊毗菏帖碳骄刀旺咋塌淌畅锄泼训聚宅膳茬网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6L

291、OGO231CIDF模型模型v入侵检测的入侵检测的CIDF模型模型DARPA提出的公共入侵检测框架（提出的公共入侵检测框架（CIDF），），最早由加州大学戴维斯分校计算机安全实验最早由加州大学戴维斯分校计算机安全实验室主持起草工作并于室主持起草工作并于1997年初正式提出。年初正式提出。CIDF所做的工作主要包括所做的工作主要包括4部分：部分： CIDF的体的体系结构、通信机制、描述语言和应用编程接系结构、通信机制、描述语言和应用编程接口口API。帝怨蔫趁号乐超惊盔滤咏依滴糟荆壤冶鸳笔绽板吮趾捣猴外折绎沃耽涯椎网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO232CIDF模型模

292、型vCIDF的体系的体系结结构构 CIDF提出了一个通用模型，将入侵检测系统提出了一个通用模型，将入侵检测系统分为分为4个基本组件：个基本组件： 事件产生器、事件分析器、事件产生器、事件分析器、响应单元和事件数据库。响应单元和事件数据库。惜琐讣铲撰涟肉抉距劣货栏缉纪鉴嫩吞眶嵌饼响添封功富石账拄适谦肿搔网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO233CIDF模型模型vCIDF的体系的体系结结构构 在在CIDF模型中，事件产生器、事件分析器和响应单模型中，事件产生器、事件分析器和响应单元通常以应用程序的形式出现，而事件数据库则往往元通常以应用程序的形式出现，而事件数据库则往往

293、采用文件或数据流的形式。很多采用文件或数据流的形式。很多IDS厂商都以数据收厂商都以数据收集组件、数据分析组件和控制台集组件、数据分析组件和控制台3个术语来分别代替个术语来分别代替事件产生器、事件分析器和响应单元。事件产生器、事件分析器和响应单元。 CIDF模型将模型将IDS需要分析的数据统称为需要分析的数据统称为事件事件，它既可，它既可以是网络中的数据包，也可以是从系统日志或其他途以是网络中的数据包，也可以是从系统日志或其他途径得到的信息。径得到的信息。CIDF中的任何一个组件可能是某台中的任何一个组件可能是某台计算机上的一个进程甚至线程，也可能是多个计算机计算机上的一个进程甚至线程，也可能

294、是多个计算机上的多个进程，它们之间采用上的多个进程，它们之间采用统一入侵检测对象统一入侵检测对象（GIDO）格式进行数据交换。）格式进行数据交换。GIDO是对事件进行编是对事件进行编码的标准通用格式，码的标准通用格式，GIDO数据流可以是发生在系统数据流可以是发生在系统中的审计事件，也可以是对审计事件的分析结果。中的审计事件，也可以是对审计事件的分析结果。 软喇嘉含商臀坟槽夜孩毫思男腑渗按哆访憨武霸耐掏台葵轰价虾喘呻涵娩网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO234CIDF模型模型vCIDF的体系的体系结结构构 事件产生器：事件产生器：事件产生器的任务是从入侵检测系统之

295、事件产生器的任务是从入侵检测系统之外的计算环境中收集事件，并将这些事件转换成外的计算环境中收集事件，并将这些事件转换成CIDF的的GIDO格式传送给其他组件。格式传送给其他组件。事件分析器：事件分析器：事件分析器负责分析从其他组件收到的事件分析器负责分析从其他组件收到的GIDO, 并将产生的分析结果传送给其他组件。分析器并将产生的分析结果传送给其他组件。分析器可以是一个基于统计模型的工具，检查现在的事件是可以是一个基于统计模型的工具，检查现在的事件是否满足先前所建立的正常事件模型；也可以是一个特否满足先前所建立的正常事件模型；也可以是一个特征检测工具，用于在当前事件序列中检查是否存在已征检测工

296、具，用于在当前事件序列中检查是否存在已知的滥用攻击特征；此外，事件分析器还可以是一个知的滥用攻击特征；此外，事件分析器还可以是一个关联分析器，观察不同事件之间的关系，并将关联事关联分析器，观察不同事件之间的关系，并将关联事件进行汇聚处理，以利于以后的进一步分析。件进行汇聚处理，以利于以后的进一步分析。 掠家裤介脑颁训牵挟梧思杂吟巩蔓麦察鞍侗肃任哥颧刘刨撰快卑申侍麓荚网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO235CIDF模型模型vCIDF的体系的体系结结构构 事件数据库事件数据库：用来存储：用来存储GIDO，以备系统需要，以备系统需要的时候使用。的时候使用。 响应单元响应

297、单元：负责处理接收到的：负责处理接收到的GIDO，并据此，并据此采取相应的措施，如杀死相关进程、复位网采取相应的措施，如杀死相关进程、复位网络会话连接，以及修改文件权限等。络会话连接，以及修改文件权限等。 由于由于CIDF模型采用了标准格式模型采用了标准格式GIDO来交换数来交换数据，所以这些组件也适用于其他环境，只需据，所以这些组件也适用于其他环境，只需要将典型的应用环境中信息交流格式统一转要将典型的应用环境中信息交流格式统一转换成换成GIDO格式即可，这样就提高了组件之间格式即可，这样就提高了组件之间的消息共享和互通的能力。的消息共享和互通的能力。 抄剩溉盂哩膊朝噪美丘至霉勿琶亩盖哆氏廊爽

298、兔式宛澄荫赚忍擎膳好有创网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO236CIDF模型模型vCIDF的通信机制的通信机制 为了保证各个组件之间安全、高效的通信能力，为了保证各个组件之间安全、高效的通信能力，CIDF将将通信机制构造成一个三层模型：通信机制构造成一个三层模型： GIDO层、消息层和协层、消息层和协商传输层商传输层。 要实现有意义的通信过程，各组件就必须能正确理解相要实现有意义的通信过程，各组件就必须能正确理解相互之间所传递各种数据的语义。互之间所传递各种数据的语义。GIDO层的任务就是提高层的任务就是提高组件之间的互操作性，所以组件之间的互操作性，所以GIDO

299、对如何表示各种各样的对如何表示各种各样的事件语义进行了详细的定义。事件语义进行了详细的定义。 消息层确保被加密和认证的消息在防火墙或消息层确保被加密和认证的消息在防火墙或NAT等设备等设备之间的传输可靠性。消息层只负责将数据从发送方传递之间的传输可靠性。消息层只负责将数据从发送方传递到接收方，而不携带任何有语义的信息；同样，到接收方，而不携带任何有语义的信息；同样，GIDO层层也只考虑所传递信息的语义，而不关心这些消息怎样被也只考虑所传递信息的语义，而不关心这些消息怎样被传递。传递。单一的传输协议无法满足单一的传输协议无法满足CIDF各种各样的应用需求，只各种各样的应用需求，只有当两个特定的组

300、件对信道使用达成一致认识时，才能有当两个特定的组件对信道使用达成一致认识时，才能进行通信。协商传输层负责规定进行通信。协商传输层负责规定GIDO在各个组件之间的在各个组件之间的传输机制。传输机制。 肄扒萌骏赏促瞬镊违眠龚秀厨遥独沟核俩厌八螟铆近彩伊瑞笆株丫颊坡泳网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO237CIDF模型模型vCIDF语言语言 CIDF的总体目标是实现软件的复用和的总体目标是实现软件的复用和IDR（入侵检测与响应）组件之间的互操作性。（入侵检测与响应）组件之间的互操作性。CIDF的工作重点是定义了一种应用层的语的工作重点是定义了一种应用层的语言言CISL（

301、公共入侵规范语言）（公共入侵规范语言），用来描述，用来描述IDR组件之间传送的信息，以及制定一套对组件之间传送的信息，以及制定一套对这些信息进行编码的协议。这些信息进行编码的协议。CISL可以表示可以表示CIDF中的各种信息，如原始中的各种信息，如原始事件信息（审计踪迹记录和网络数据流信息）事件信息（审计踪迹记录和网络数据流信息）、分析结果（系统异常和攻击特征描述）、分析结果（系统异常和攻击特征描述）、响应提示（停止某些特定的活动或修改组件响应提示（停止某些特定的活动或修改组件的安全参数）等。的安全参数）等。 辊降紊厂饱肪沁粳仪额膛疙幂寡臼迎北允娠松河宣恨繁粘睡抚丘艘瞳纷速网络安全-郑万波网络

302、安全-6网络安全-郑万波网络安全-6LOGO238CIDF模型模型vCIDF语言语言 CISL使用了一种被称为使用了一种被称为S表达式的通用语言构建方法，表达式的通用语言构建方法，S表达式的最开头是语义标识符（简称表达式的最开头是语义标识符（简称SID），用于显），用于显示编组列表的语义。例如下面的示编组列表的语义。例如下面的S表达式：表达式： (HostName ) 该编组列表的该编组列表的SID是是HostName，它说明后面的字符串，它说明后面的字符串“”将被解释为一个主机的名字。将被解释为一个主机的名字。 有时候，只有使用很复杂的有时候，只有使用很复杂的S表达式才能描述出某些表达式才能

303、描述出某些事件的详细情况，这就需要使用大量的事件的详细情况，这就需要使用大量的SID。SID在在CISL中起着非常重要的作用，用来表示时间、动作、中起着非常重要的作用，用来表示时间、动作、角色、属性等，只有使用大量的角色、属性等，只有使用大量的SID，才能构造出合，才能构造出合适的句子。适的句子。CISL使用范式对各种事件和分析结果进行使用范式对各种事件和分析结果进行编码，然后把编码的句子进行适当的封装，就得到了编码，然后把编码的句子进行适当的封装，就得到了GIDO。 顶喝硒茫啼票歉硼娄撇五拯铅瞳醋灌掖械块愧剔廖那菏罪虱把焉醇雁纺援网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOG

304、O239CIDF模型模型v入侵检测的入侵检测的CIDF模型模型CIDF是试图解决入侵检测系统标准化及互是试图解决入侵检测系统标准化及互操作性问题的首次尝试，并且提出了完整的操作性问题的首次尝试，并且提出了完整的标准化草案，具有重要的意义。但是，标准化草案，具有重要的意义。但是，CIDF本身也存在某些不足和缺陷，例如协本身也存在某些不足和缺陷，例如协议的复杂度过高，以及实用化工作不够等。议的复杂度过高，以及实用化工作不够等。敏侥量箩稍陋皇虏屑档元世灸敞浙芽图摆丑综傈锰辩滇艳贼广改哈哀鼓往网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO240IDWGvIDWG互联网工程任务组（互联

305、网工程任务组（IETF）的入侵检测工作）的入侵检测工作组（组（IDWG）发起制定的相关标准化建议草案，）发起制定的相关标准化建议草案，是从是从CIDF的基础上发展起来并于的基础上发展起来并于2000年初正年初正式颁布的。式颁布的。IDWG的最终目的是创立一种包括的最终目的是创立一种包括数据交换格式和交换协议在内的数据交换格式和交换协议在内的IETF标准，标准，以便不同类型的入侵检测系统或者不同的检以便不同类型的入侵检测系统或者不同的检测组件之间能够进行互相通信。测组件之间能够进行互相通信。与与CIDF相比，相比，IDWG具有若干改进之处。首具有若干改进之处。首先，它受到众多厂商的支持，从而便于

306、形成先，它受到众多厂商的支持，从而便于形成成熟的商业标准；其次，成熟的商业标准；其次，IDWG文档草案更加文档草案更加实用化，便于进行实现和应用。实用化，便于进行实现和应用。坍尽榴带煌销瘸价骨杭轩常曹咯银昆刚汪楷狐劈情怨危似秧此店怖侦芒趁网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO241IDWGvIDWG的标准化努力的标准化努力IDWG提出的建议草案包括两大部分内容：提出的建议草案包括两大部分内容： 入侵检测消息交换格式（入侵检测消息交换格式（IDMEF）的定义和）的定义和实现规范，以及用于实现规范，以及用于IDMEF数据交换的入侵数据交换的入侵检测交换协议（检测交换协议（

307、IDXP）规范。）规范。茬挺虑宫都皖浇错衣刻弛蚤历啸匪靡拥摊陪坪躲曙叹凌脯宅熔菏邀裳遣浙网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO242IDWGvIDMEF数据模型格式数据模型格式首先，首先，IDWG采用面向对象的方式来定义和设计了采用面向对象的方式来定义和设计了入侵检测的数据模型，用于描述在不同检测组件之入侵检测的数据模型，用于描述在不同检测组件之间所交换的各种警报消息、控制命令和配置信息等间所交换的各种警报消息、控制命令和配置信息等通信数据；通信数据；然后，采用基于然后，采用基于XML的的IDMEF消息格式对该数据模消息格式对该数据模型进行了形式化描述和实现。型进行了

308、形式化描述和实现。v数据模型是用统一建模语言（数据模型是用统一建模语言（UML）描述的。）描述的。UML用一个简单的框架表示实体以及它们之间用一个简单的框架表示实体以及它们之间的关系，并将实体定义为类。的关系，并将实体定义为类。IDMEF包括的主包括的主要类有要类有 IDMEF-Message类、类、Alert类、类、Heartbeat类、类、Core类、类、Time类和类和Support类，类，这些类还可以再细分为许多子类。所有这些类还可以再细分为许多子类。所有IDMEF消息的最高层类是消息的最高层类是IDMEF-Message，每种类，每种类型的消息都是该类的子类。型的消息都是该类的子类。

309、系宅躯化犀慌蜘搏摩学拿曰蘸街拨它嚣毕烤贩殃叫俭面砸坝津飞驾肪摄虫网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO243IDWGv在数据模型的设计定义基础之上，在数据模型的设计定义基础之上，IDWG提出了提出了IDMEF使用使用XML文档类型定义语文档类型定义语言（言（XML DTD）对数据模型进行形式化）对数据模型进行形式化描述，即用描述，即用XML文档实现了文档实现了IDMEF的标的标准消息格式。准消息格式。辆娶闭统淤告鼻支县试帛肾挖锋雕拳速病和肆许舒伤丽双钮灿嘶蒜荷傀并网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO244IDWGv采用采用XML实现实现ID

310、MEF的主要优势如下：的主要优势如下： 作为一种表示和交换网络文档及数据的通用作为一种表示和交换网络文档及数据的通用语言，语言，XML能够有效地解决异构信息交换中能够有效地解决异构信息交换中所面临的许多问题，所以获得了业界的普遍所面临的许多问题，所以获得了业界的普遍青睐和支持，已经成为业界的工业标准。青睐和支持，已经成为业界的工业标准。XML允许自定义语言属性来描述入侵检测警允许自定义语言属性来描述入侵检测警报，并定义了扩展语言的标准方法，从而可报，并定义了扩展语言的标准方法，从而可以有效地支持以有效地支持IDMEF的扩展问题。的扩展问题。砖鄙禁暇咏头悯杭负菠街舶躁贾饭猪诬驮傈棋级电鲜祥咙躬闸

311、巳绑恼啥窜网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO245IDWGvIDXP数据交换协议数据交换协议vIDXP（入侵检测交换协议）是一个用于入（入侵检测交换协议）是一个用于入侵检测实体之间交换数据的应用层协议，侵检测实体之间交换数据的应用层协议，能够实现能够实现IDMEF消息、非结构文本和二进消息、非结构文本和二进制数据在不同组件之间的交换，并提供面制数据在不同组件之间的交换，并提供面向连接协议之上的双方认证、完整性和保向连接协议之上的双方认证、完整性和保密性等安全特征。密性等安全特征。IDXP是是BEEP（块可扩（块可扩展交换协议）的一部分，后者是一个用于展交换协议）的

312、一部分，后者是一个用于面向连接的数据块异步交互的通用应用协面向连接的数据块异步交互的通用应用协议，议，IDXP的许多特色功能（如认证、保密的许多特色功能（如认证、保密性等）都是由性等）都是由BEEP框架提供的。框架提供的。谨抿跺臃炭酞揽疚籽档斌渔湛乓隆敞囱莉主茹楚口回扳模譬臭翘辨诊仿毋网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO246IDWGvIDXP的的协议协议模型模型：1.建立连接建立连接 使用使用IDXP传送数据的入侵检测实体被称为传送数据的入侵检测实体被称为IDXP对对等体，对等体只能成对地出现，入侵检测实体之间等体，对等体只能成对地出现，入侵检测实体之间的的IDX

313、P通信在通信在BEEP信道上完成。两个希望建立信道上完成。两个希望建立IDXP通信的入侵检测实体在打开通信的入侵检测实体在打开BEEP信道之前，信道之前，首先要进行一次首先要进行一次BEEP会话，然后就有关的安全特会话，然后就有关的安全特性问题进行协商，协商好性问题进行协商，协商好BEEP安全轮廓之后，互安全轮廓之后，互致问候，然后开始致问候，然后开始IDXP交换。交换。管遵韵抹丈单霉亮斤笆痢椎扎械祖腻贯窟醛希南掇握诅回拿究悍设做式钞网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO247IDWGvIDXP的的协议协议模型模型2.数据传输数据传输在入侵检测实体确认建立起在入侵检测

314、实体确认建立起IDXP连接后，可以使用连接后，可以使用IDXP轮廓打开一个或多个轮廓打开一个或多个BEEP信道用于传输信道用于传输IDMEF消息或者其他类型的数据内容等。消息或者其他类型的数据内容等。在每个信道上，对等体都以客户机在每个信道上，对等体都以客户机/服务器模式进行服务器模式进行通信，通信，BEEP会话发起者为客户机，而收听者则为会话发起者为客户机，而收听者则为服务器。在一次服务器。在一次IDXP会话过程中，使用多个会话过程中，使用多个BEEP信道有利于对在信道有利于对在IDXP对等体之间传输的数据进行分对等体之间传输的数据进行分类和优先权设置。例如，类和优先权设置。例如，M1在向在

315、向M2传送警报数据传送警报数据时，可以用不同的信道传送不同类型的警报数据，时，可以用不同的信道传送不同类型的警报数据，在每个信道上在每个信道上M1的作用都相当于一个客户器，而的作用都相当于一个客户器，而M2则对不同信道上的数据做相应的处理。则对不同信道上的数据做相应的处理。云须雨投昌争牙侣驻云划况喇帮搭敬馈兔筒砸押济坷拷价踪库谊蚌跨析吹网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO248IDWGvIDXP的的协议协议模型模型3.断开连接断开连接在数据传输完毕后或者某种特定情况下，一在数据传输完毕后或者某种特定情况下，一个个IDXP对等体可以选择关闭某个对等体可以选择关闭某个I

316、DXP信道。信道。在关闭一个信道时，对等体在在关闭一个信道时，对等体在0信道上发送信道上发送一个一个“关闭关闭”消息，指明要关闭哪个信道。一消息，指明要关闭哪个信道。一个个IDXP对等体也可以通过在对等体也可以通过在0信道上发送一信道上发送一个指明要关闭个指明要关闭0信道的消息，来关闭整个信道的消息，来关闭整个BEEP会话。会话。 涉棚仟入灯啤癣魔弯盼唁秀蝶绢席矽订洼姓坛安谬雕政烤祝据诀灶溯挽坐网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO249具体的入侵检测系统具体的入侵检测系统NFRNFR公司的公司的公司的公司的NIDNID系统系统系统系统ISSISS公司的公司的公司的公

317、司的RealSecureRealSecureNAINAI公司的公司的公司的公司的CyberCop MonitorCyberCop MonitorCiscoCisco公司的公司的公司的公司的Cisco Secure IDSCisco Secure IDS哨溢惑翰袄眠革苹奥廖舵蒲添妄咬麓芬疽俺萄膘埃朵栓蛊扰狙恤绷蓖祷践网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO250具体的入侵检测系统具体的入侵检测系统vNFR公司的公司的NID系统系统NFR公司的公司的NID系统，基本上是一种基于规则系统，基本上是一种基于规则检测的网络入侵检测系统，同时具备一些异常检测的网络入侵检测系统，同时

318、具备一些异常入侵检测功能。入侵检测功能。NFR公司的入侵检测产品，其最大特点体现在公司的入侵检测产品，其最大特点体现在独一无二的设计架构上，它设计了一套用于网独一无二的设计架构上，它设计了一套用于网络管理和安全检测的脚本语言络管理和安全检测的脚本语言N-Code，可以，可以用来创建入侵检测的检测特征库。用来创建入侵检测的检测特征库。NFR公司联公司联合其他公司创建大量的合其他公司创建大量的N-Code语言编写的检语言编写的检测组件程序。大部分测组件程序。大部分N-Code组件是公开的。组件是公开的。踊骡氓活树谅逃峻崔吞璃燕掏眠抖鹃猫遏埂却挫褪程断驻鞠篷撵岭住欺噬网络安全-郑万波网络安全-6网络

319、安全-郑万波网络安全-6LOGO251具体的入侵检测系统具体的入侵检测系统vISS公司的公司的RealSecureRealSecure入侵检测系统采用了分布式体系结入侵检测系统采用了分布式体系结构，系统包含以下组件。构，系统包含以下组件。工作组管理器工作组管理器：工作组管理器是入侵检测系统：工作组管理器是入侵检测系统的中央控制点，负责配置、管理的中央控制点，负责配置、管理Sensor以及以及Sensor所产生的事件数据的处理等工作。对所产生的事件数据的处理等工作。对Sensor的管理是通过安全加密通道进行的。工的管理是通过安全加密通道进行的。工作组管理器又包含以下几个模块。作组管理器又包含以下

320、几个模块。控制台控制台企业数据库企业数据库事件收集器事件收集器七逸刻潍币捷狡确积尸因杠橇了百尚导忧纫匆桓垄鸟陇风讨沼柒炼播凹此网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO252具体的入侵检测系统具体的入侵检测系统传感器传感器是具体负责执行入侵检测任务的部件，是具体负责执行入侵检测任务的部件，RealSecure传感器包括传感器包括3种类型：种类型： RealSecure Network Sensor 网络传感器网络传感器RealSecure OS Sensor 操作系统传感器操作系统传感器RealSecure Server Sensor 服务器传感器服务器传感器RealSe

321、cure系统可以运行在系统可以运行在Windows NT/2000或者或者Solaris系统平台之上，近来又扩系统平台之上，近来又扩展到展到Linux、IBM AIX和和HP-UX等系统平台。等系统平台。语磨牟砷赢掩来翠忧汗莹曝筒置娄凝怠掂饺宁殆遂塌环戳囤别旗击剂负碱网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO253具体的入侵检测系统具体的入侵检测系统vNAI公司的公司的CyberCop MonitorCyberCop Monitor是混合型的入侵检测系统，是混合型的入侵检测系统，通过单一控制台提供基于网络和主机的入侵检通过单一控制台提供基于网络和主机的入侵检测功能。值得注

322、意的是，测功能。值得注意的是，CyberCop Monitor的设计从一开始就是定位于的设计从一开始就是定位于混合型的结点检测混合型的结点检测架构架构，即它由两个主要组件组成：，即它由两个主要组件组成： 控制台和代控制台和代理。理。代理代理在目标结点主机上执行基于网络或主机的检测在目标结点主机上执行基于网络或主机的检测任务。检测引擎的网络检测部分基于网络结点的检任务。检测引擎的网络检测部分基于网络结点的检测技术，即仅仅分析该结点发送和接收的网络分组，测技术，即仅仅分析该结点发送和接收的网络分组，而不关心其他不发往所在结点的网络分组。而不关心其他不发往所在结点的网络分组。控制台控制台采取远程的安

323、全集中管理的模式，支持对多采取远程的安全集中管理的模式，支持对多主机代理的安装和配置，并负责产生用户报告。主机代理的安装和配置，并负责产生用户报告。沈虑呈刻雍爹胯躁渔含郁纸量咳潮橡沈讹抿哆帚嚏疼姥坝廖安甄园足柄句网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO254具体的入侵检测系统具体的入侵检测系统CyberCop Monitor的检测代理中还包含了异的检测代理中还包含了异常检测组件，用来识别当前用户行为与历史活常检测组件，用来识别当前用户行为与历史活动的偏差情况。同时，动的偏差情况。同时，CyberCop Monitor的的网络检测代理还声称具备检测长时间跨度端口网络检测代

324、理还声称具备检测长时间跨度端口扫描过程的能力。扫描过程的能力。CyberCop Monitor的控制台部分支持对警报的控制台部分支持对警报事件加以过滤分析，以减少告警数量和简化报事件加以过滤分析，以减少告警数量和简化报告的特性。告的特性。眉佳颧唬亲恫洞软泽勒徒烟涨湛忧娶健呵减扎骨陨辩氢漂寻澎撞吗遣蝶蛋网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO255具体的入侵检测系统具体的入侵检测系统vCisco公司的公司的Cisco Secure IDSCisco公司的公司的Secure IDS是传统的网络入侵检测系统，是传统的网络入侵检测系统，通常与硬件平台捆绑销售。通常与硬件平台捆绑

325、销售。Secure IDS系统分为系统分为3个基个基本组件：本组件： 传感器、控制台和入侵检测系统模块。传感器、控制台和入侵检测系统模块。IDSM组件主要是指嵌入到各种组件主要是指嵌入到各种Cisco网络硬件中的检测模块。网络硬件中的检测模块。一般的一般的IDS组件是控制台和传感器，其中传感器又可分为主机组件是控制台和传感器，其中传感器又可分为主机和网络两种类型，控制台负责汇集各个传感器的报告，并对各和网络两种类型，控制台负责汇集各个传感器的报告，并对各个传感器进行配置和管理工作等。个传感器进行配置和管理工作等。Cisco的产品能方便有效地嵌入现有的路由器或者交换的产品能方便有效地嵌入现有的路

326、由器或者交换机平台中。机平台中。Cisco的的IDS产品还能够很好地与产品还能够很好地与HP公司的公司的OpenView安全管理产品很好地结合，从而提供与安全管理产品很好地结合，从而提供与SNMP协议兼容协议兼容的管理特性和规范接口。的管理特性和规范接口。之寻殖谩痔伎科敛讯捂铺掠唉胀煎谢哄卖郧兔曙俯眠惜榔决钙刃式遏海朔网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO3.入侵检测产品选择要点v当选择入侵检测系统时，要考虑的要点有： v（1）系统的价格 免费的IDS与IDS商业产品的比较v（2）特征库升级与维护的费用 v（3）网络入侵检测系统最大可处理流量v（4）该产品容易被躲避吗

327、 v（5）产品的可伸缩性 v（6）运行与维护系统的开销 v（7）产品支持的入侵特征数 v（8）产品有哪些响应方法 v（9）是否通过了国家权威机构的评测 胜策沼蝗闷充耗猜后馋觉豺贷肛厚窜迭潦拳刁带领紧辜红饶株溢直披尖钝网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGOIDS部署部署vIDS体系结构集中式:多个分布于不同主机上的审计程序，但只有一个中央入侵检测服务器。 等级式:定义了若干个分等级的监控区域，每个IDS负责一个区域，每一级IDS只负责所监控区的分析，然后将当地的分析结果传送给上一级IDS。 协作式:将中央检测服务器的任务分配给多个基于主机的IDS，这些IDS不分等级，各

328、司其职，负责监控当地主机的某些活动。 皇腔遮铜筒鲜潞欧眺剿规嗣瘁律遣迫戊聂见杰参砷灼烩山蛊句吭蔚饭到圃网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGOv共享局域网HUBIDS SensorMonitored ServersConsole擅诉娃砧倾跨初距篱匣寨菠例穿烯描摘帝挖贮疚休杰埋研颐暮韧卉洪棚滋网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGOv简单交换网SwitchIDS SensorMonitored ServersConsole通过端口镜像实现通过端口镜像实现（SPAN / Port Monitor）杠玄舞针杨蕴缴剃殴夯宫哼绵极静劣睦零刑川僻裴井凋仗购倾

329、憨刊末令凛网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGOSwitchIDS SensorMonitored ServersConsole不设不设IP隐蔽模式下检测器的部署磕帧啊支侗摊侵祭潘孵瞻蛛擦竭症社甚键翻吟谋辞转撵寻琵捎说涟辙思串网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGOv复杂交换网没有专门监听端口的网络：将用于检测的端口映射为交换机的出口划分为多个Vlan的网络：将用于检测的端口同时映射为多个Vlan的端口多个交换机串联的网络：使用多个探测器披尼豪肚枪块苍悬岩央逻传辅牛复勾阐婴琼畔爱磕调遏钧携驴笋仪貌犀改网络安全-郑万波网络安全-6网络安全-郑万波

330、网络安全-6LOGO氨泰书竣卓峡哄只赞史开捂唬繁铰唆闸钧辅关庆冬怕乾脸寒蔓昨笼休谴僳网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGOv广域网情况监控中心（辅）监控中心（辅）IDS AgentIDS AgentIDS AgentIDS AgentIDS AgentIDS Agent监控中心（主）监控中心（主）婶抗尽筹璃守攒辐力彤痴聋疤哦贺澳丛棉挚紊慈膛记诅向敢略浓律刽埋起网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO4 小结vIDS的发展趋势从安全防护到入侵检测 从主动检测到主动防御 IDS-IPSIntrusion Prevention System，IPS从

331、入侵防御到安全管理IPS-IMSIntrusion Management System，IMS从单一管理到集中管理 分级管理多个安全产品集中管理从主动检测到主动追踪蜜罐技术密网技术布履涤转痪斑谣授面疗课灾捌芬臭趾因饥遮筛营汞鸟骨诬厘腊伦觉剧剿捌网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGOIPS技术vIPS（入侵防御系统）是在（入侵防御系统）是在IDS的基础上发展出来的，的基础上发展出来的，IPS的出现应该的出现应该说是说是IDS技术的一种新发展趋势，技术的一种新发展趋势，IPS技术在技术在IDS监测的功能上又增加监测的功能上又增加了主动响应的功能，一旦发现有攻击行为，立即响

332、应，主动切断连接。了主动响应的功能，一旦发现有攻击行为，立即响应，主动切断连接。它的部署方式不像它的部署方式不像IDS并联在网络中，而是以串联的方式接入网络中。并联在网络中，而是以串联的方式接入网络中。vIPS是一种主动的、智能的入侵检测、防范、阻止系统，是一种主动的、智能的入侵检测、防范、阻止系统，IPS技术能够技术能够对网络进行多层、深层、主动的防护。其设计主旨在于预先对入侵获对网络进行多层、深层、主动的防护。其设计主旨在于预先对入侵获得和攻击性网络流量进行拦截，避免造成损失。它部署在网络的进出得和攻击性网络流量进行拦截，避免造成损失。它部署在网络的进出口处，当检测到攻击企图后，会自动将攻

333、击包丢掉或采取措施将攻击口处，当检测到攻击企图后，会自动将攻击包丢掉或采取措施将攻击源阻断。源阻断。vIPS能够对所有数据包进行检查，立即确定是否许可或禁止访问，具能够对所有数据包进行检查，立即确定是否许可或禁止访问，具有一些过滤器，能够防止系统上各种类型的弱点受到攻击。当新的弱有一些过滤器，能够防止系统上各种类型的弱点受到攻击。当新的弱点被发现后，可创建一个新的过滤器，并将其纳入自己的管辖之下，点被发现后，可创建一个新的过滤器，并将其纳入自己的管辖之下，试探攻击这些弱点的任何恶意企图都会立即受到拦截。试探攻击这些弱点的任何恶意企图都会立即受到拦截。265界旋洼黍巢幕硅悲峨嗡路砚挎丧乎允筹虚卜

334、爽衷啥什节殉窃苏摘垣驱佰瘸网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO266IPS的产生原因：的产生原因： 串行部署的防火墙可以拦截低层攻击行为，但对应用层的深层攻击行为串行部署的防火墙可以拦截低层攻击行为，但对应用层的深层攻击行为无能为力。无能为力。 旁路部署的旁路部署的IDS可以及时发现那些穿透防火墙的深层攻击行为，作为防可以及时发现那些穿透防火墙的深层攻击行为，作为防火墙的有益补充，但很可惜的是无法实时的阻断。火墙的有益补充，但很可惜的是无法实时的阻断。 IDS和防火墙联动：通过和防火墙联动：通过IDS来发现，通过防火墙来阻断。但由于迄今来发现，通过防火墙来阻断。但由

335、于迄今为止没有统一的接口规范，加上越来越频发的为止没有统一的接口规范，加上越来越频发的“瞬间攻击瞬间攻击”（一个会话就（一个会话就可以达成攻击效果，如可以达成攻击效果，如SQL注入、溢出攻击等），使得注入、溢出攻击等），使得IDS与防火墙联与防火墙联动在实际应用中的效果不显著。动在实际应用中的效果不显著。IPS技术害非趾戴摧明融贝坤乏济窝糟淫殊蠢帐重昨手侈沥病募材泣猎吁监母腊呵网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGOIPS基本原理vIPS与IDS在检测方面的原理相同，它首先有信息采集模块实施信息收集，内容包括系统和网络的数据，以及用户获得的状态和行为，然后利用模式匹配、

336、协议分析、统计分析和完整性分析等技术手段，由信息分析模块对收集到的有关系统、网络、数据及用户活动的状态和行为等信息进行分析，最后有反应模块对采集分析后的结果 做出相应的反应。267暖庄伤感扣洲珍迈缸踊诞耘僻痪榔而浚啮傲哨锭庆堑重官差箕黄贺亲饿滁网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGOIPS关键技术v主动防御技术v防火墙和IPS联动技术开放接口实现联动紧密集成实现联动v综合多种检测方法v硬件加速技术268陇忽赣玉蘸揣弄辛粹稠纠善瞳噬挺粮舟接枝酷坛英业爷瞎猛谢拳框订铀呆网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO269IPS的优势：的优势： 实时检测与主

337、动防御是实时检测与主动防御是IPS最为核心的设计理念，也是其区别于防火墙和最为核心的设计理念，也是其区别于防火墙和IDS的立足之本。的立足之本。1.在线安装在线安装(In-Line)。直接嵌入到网络流量中，通过一个网络端口接收来自外部系。直接嵌入到网络流量中，通过一个网络端口接收来自外部系统的流量，经过检查确认其中不包含异常活动或可疑内容后，再通过另外一个统的流量，经过检查确认其中不包含异常活动或可疑内容后，再通过另外一个端口将它传送到内部系统中；端口将它传送到内部系统中； 2.实时阻断（实时阻断（Real-time Interdiction）。能够预先对入侵活动和攻击性网络流量）。能够预先对

338、入侵活动和攻击性网络流量进行拦截，避免其造成任何损失；进行拦截，避免其造成任何损失； 3.先进的检测技术（先进的检测技术（Advanced Detection Technology）。主要是并行处理检测）。主要是并行处理检测和协议重组分析。所谓并行处理检测是指所有流经和协议重组分析。所谓并行处理检测是指所有流经IPS的数据包，都采用并行处的数据包，都采用并行处理方式进行过滤器匹配，实现在一个时钟周期内，遍历所有数据包过滤器；而理方式进行过滤器匹配，实现在一个时钟周期内，遍历所有数据包过滤器；而协议重组分析是指所有流经协议重组分析是指所有流经IPS的数据包，必须首先经过硬件级预处理，完成数的数据

339、包，必须首先经过硬件级预处理，完成数据包的重组，确定其具体应用协议。然后，根据不同应用协议的特征与攻击方据包的重组，确定其具体应用协议。然后，根据不同应用协议的特征与攻击方式，式，IPS对于重组后的包进行筛选，将可疑者送入专门的特征库进行比对，从而对于重组后的包进行筛选，将可疑者送入专门的特征库进行比对，从而提高检测的质量和效率；提高检测的质量和效率； 4.特殊规则植入功能（特殊规则植入功能（Build-in Special Rule）。）。IPS允许植入特殊规则以阻止恶允许植入特殊规则以阻止恶意代码。意代码。IPS能够辅助实施可接收应用策略能够辅助实施可接收应用策略(AUP)，如禁止使用对等

340、的文件共享，如禁止使用对等的文件共享应用和占有大量带宽的免费互联网电话服务工具等；应用和占有大量带宽的免费互联网电话服务工具等； 5.自学习与自适应能力（自学习与自适应能力（Self-study & Self-adaptation Ability）。能够根据所在）。能够根据所在网络的通信环境和被入侵状况，分析和抽取新的攻击特征以更新特征库，自动网络的通信环境和被入侵状况，分析和抽取新的攻击特征以更新特征库，自动总结经验，定制新的安全防御策略。总结经验，定制新的安全防御策略。 IPS的优势的优势羊橱魏骏计嘲鳞囊盒氏躯玲暗胆蛹泻场贰带垦疑度诽碎杰衙羡简疗杂唇叮网络安全-郑万波网络安全-6网络安全-

341、郑万波网络安全-6LOGO270琼呈裂览串券孝糜拍凸率锰炭其榜空涵心扛筋瓜恨篆踩阅扮启漂节瞳轴焦网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO271桅余番痘宾秉奉抡寒熊衍酌七遍牡以二峪耗龟镐踢邑盅当秧意垃蚕匆衬项网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO272蔽胁沼霍预垃钥凝艘衫喀颂顷议衡孙蒸赡详琴愈宇患风脂颜褪咙狭犬室鹊网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO273街筏睡个栅氯厄芳乾袭噎承赁粕妒章洁娩窗差曾茹注续毒圃屯敬锣扦情拖网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO274唱澄克啡阐锅呐纳演厚遗闰脊故洽汞番若湛陪诞瞄股拴动幅皿蠕玫冬告靴网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6LOGO抬团诬醚痴体羽润漂蝗芯士孽裤度钠际北叹佳枢样鄂熊羌匹氯盖狼芋闺具网络安全-郑万波网络安全-6网络安全-郑万波网络安全-6