第六章入侵检测系统

入侵检测的主要目的有：识别入侵者；识
别入侵行为；检测和监视已成功的安全突破； 为对抗措施即时提供重要信息。因而，入侵 检测是非常必要的，可以弥补传统安全保护 措施的不足。
入侵检测系统的主要功能是检测，当然还
有其他的功能选项，因而增加了计算机系统 和网络的安全性。

使用入侵检测系统有如下优点：

统计正常使用时的一些测量属性，测量属性的平均
值将被用来与网络、系统的行为进行比较，任何观察 值在正常值范围之外时，就认为有入侵发生。常用的 入侵检测统计分析模型有： （1）操作模型： （2）方差： （3）多元模型： （4）马尔可夫过程模型 （5）时间序列分析
3．专家系统 专家系统是一种以知识为基础，根据人类专家的知识 和经验进行推理，解决需要专家才能解决的复杂问题 的计算机程序系统。用专家系统对入侵进行检测主要 是针对误用检测，是针对有特征入侵的行为。 4．神经网络 神经网络具有自适应、自组织、自学习的能力，可以 处理一些环境信息复杂、背景知识不清楚的问题。
入侵
•对信息系统的非授权访问及（或）未经许可 在信息系统中进行操作
入侵检测
•对企图入侵、正在进行的入侵或已经发生的 入侵进行识别的过程
入侵检测系统（IDS）
•用于辅助进行入侵检测或者独立进行入侵检 测的自动化工具
入侵检测（Intrusion
Detection）技术是一种 动态的网络检测技术，主要用于识别对计算机 和网络资源的恶意使用行为，包括来自外部用 户的入侵行为和内部用户的未经授权活动。一 旦发现网络入侵现象，则应当做出适当的反应。 对于正在进行的网络攻击，则采取适当的方法 来阻断攻击（与防火墙联动），以减少系统损 失。对于已经发生的网络攻击，则应通过分析 日志记录找到发生攻击的原因和入侵者的踪迹， 作为增强网络系统安全性和追究入侵者法律责 任的依据。它从计算机网络系统中的若干关键 点收集信息，并分析这些信息，看看网络中是 否有违反安全策略的行为和遭到袭击的迹象。
入侵检测是防火墙的合理补充，它帮助系统对付网 络攻击，扩展了系统管理员的安全管理能力(包括 安全审计、监视、进攻识别和响应)，提高了信息 安全基础结构的完整性。 因为访问控制和保护模型本身存着在以下问题。 （1）弱口令问题。 （2）静态安全措施不足以保护安全对象属性。 （3）软件的Bug-Free近期无法解决。 （4）软件生命周期缩短和软件测试不充分。 （5）系统软件缺陷的修补工作复杂，而且源代码大 多数不公开，也缺乏修补Bug的专门技术，导致修 补进度太慢，因而计算机系统的不安全系统将持续 一段时间。
3．基于应用的入侵检测系统（AIDS） AIDS监控在某个软件应用程序中发生的活动，信息来 源主要是应用程序的日志，其监视的内容更为具体。

根据数据分析方法分类
1．异常检测
通过对系统审计数据的分析建立起系统主体
(单个用户、一组用户、主机，甚至是系统 中的某个关键的程序和文件等)的正常行为 特征轮廓；检测时，如果系统中的审计数据 与已建立的主体的正常行为特征有较大出入 就认为是一个入侵行为。这一检测方法称 “异常检测技术”。

攻击
•攻击者利用工具，出于某种动机，对目标系统采 取的行动，其后果是获取/破坏/篡改目标系统 的数据或访问权限
事件
•在攻击过程中发生的可以识别的行动或行动造成 的后果；在入侵检测系统中，事件常常具有一 系列属性和详细的描述信息可供用户查看。 • CIDF 将入侵检测系统需要分析的数据统称为事 件（event）
4．探测引擎与控制中心的通信
作为分布式结构的IDS系统，通信是其自身安全的 关键因素。通信安全通过身份认证和数据加密两种方法 来实现。 身份认证是要保证一个引擎，或者子控制中心只能 由固定的上级进行控制，任何非法的控制行为将予以阻 止。身份认证采用非对称加密算法，通过拥有对方的公 钥，进行加密、解密完成身份认证。
① 检测防护部分阻止不了的入侵；
② 检测入侵的前兆；
③ 对入侵事件进行归档； ④ 对网络遭受的威胁程度进行评估； ⑤ 对入侵事件进行恢复。

入侵检测系统利用优化匹配模式和统计学技术把传 统的电子数据处理和安全审查结合起来，已经发展 成为构筑完整的现代网络安全技术的一个必不可少 的部分。
1．入侵数据提取
自身安全指的是探测引擎的安全性。要有良好的隐蔽 性，一般使用定制的操作系统。
9．终端安全
主要指控制中心的安全性。有多个用户、多个级别的 控制中心，不同的用户应该有不同的权限，保证控制中心 的安全性。
入侵检测系统研发中涉及的关键技术包括入侵检测 技术、入侵检测系统的描述语言、入侵检测的体系 结构等。 1、模式匹配 模式匹配就是将收集到的信息与已知的网络入侵和系 统误用模式数据库进行比较，从而发现违背安全策略 的行为。模式匹配方法是入侵检测领域中应用最为广 泛的检测手段和机制之一，通常用于误用检测。 2．统计分析 统计分析方法首先给用户、文件、目录和设备等系统 对象创建一个统计描述。
2. 基于网络的入侵检测系统（NIDS）
基于网络的IDS一般安装在需要保护的网段
中，利用网络侦听技术实时监视网段中传输 的各种数据包，并对这些数据包的内容、源 地址、目的地址等进行分析和检测。如果发 现入侵行为或可疑事件，入侵检测系统就会 发出警报甚至切断网络连接。 基于网络的IDS的优点是购买成本低，对识 别出来的攻击能进行实时检测和响应，等。 其主要缺点在于防欺骗能力较差、交互环境 下难以配臵等。
5．数据挖掘 数据挖掘是从大量的数据中抽取出潜在的、有价值的 知识（即模型或规则）的过程。对于入侵检测系统来 说，也需要从大量的数据中提取入侵特征。 6．协议分析 协议分析是利用网络协议的高度规则性快速探测攻击 的存在。协议分析技术对协议进行解码，减少了入侵 检测系统需要分析的数据量。
这个模型主要是入侵检测系统基本结构的具体化。
这个模型的特点有： 1．分布性； 2．标准性； 3．可扩充性； 4．良好的系统降级性； 5．载荷最小性。
目前，对IDS进行标准化的工作有两个组织：IETF的
入侵检测工作组IDWG和通用入侵检测框架CIDF。 入侵检测工作组IDWG IDWG的工作目标是定义入侵检测系统中的数据格式、 信息交换过程和交换协议。IDWG的文档定义了入侵 检测系统中信息交换需求IDMER、信息交换的格式 IDMEF、入侵检测交换协议IDXP以及一种可以绕过防 火墙的数据传输方法TUNNEL。
探测引擎 探测引擎
控制中心
控非法制中心
控制中心
事件的可定义性或可定义事件是IDS的一个主要特性。
6．二次事件
对事件进行实时统计分析，并产生新的高级事件能力。
7．事件响应
通过事件上报、事件日志、Email通知、手机短信息、 语音报警等方式进行响应。
还可通过TCP阻断、防火墙联动等方式主动响应。
8．自身安全
主要是为系统提供数据，提取的内容包括系统、网络、 数据及用户活动的状态和行为。入侵检测数据提取可 来自以下四个方面。 （1）系统和网络日志； （2）目录和文件中的的改变； （3）程序执行中的不期望行为； （4）物理形式的入侵信息。
2．入侵数据分析 主要作用在于对数据进行深入分析，发现攻击并根据 分析的结果产生事件，传递给事件响应模块。常用技 术手段有：模式匹配、统计分析和完整性分析等。入 侵数据分析是整个入侵检测系统的核心模块。 3．入侵事件响应 事件响应模块的作用在于报警与反应，响应方式分为 主动响应和被动响应。 被动响应型系统只会发出报警通知，将发生的不正 常情况报告给管理员，本身并不试图降低所造成的破 坏，更不会主动地对攻击者采取反击行动。 主动响应系统可以分为对被攻击系统实施保护和对 攻击系统实施反击的系统。
（1）事件产生器：事件产生器是负责从整个计算环 境中获取事件，然后将事件转化为GIDO标准格式提 交给其它组件使用。 （2）事件分析器：事件分析器从其他组件接收GIDO 数据，并分析它们，然后以一个新的GIDO形式返回 分析结果。 （3）事件数据库：事件数据库负责GIDO的存储，是 存放各种中间和最终数据的地方的统称。 （4）响应单元：响应单元是对分析结果作出反应的 功能单元，它可以是终止进程、切断连接、改变文件 属性，也可以只是简单的报警和记录。

防火墙是所有保护网络的方法中最能普遍 接受的方法，能阻挡外部入侵者，但对内部 攻击无能为力；同时，防火墙绝对不是坚不 可摧的，即使是某些防火墙本身也会引起一 些安全问题。防火墙不能防止通向站点的后 门，不提供对内部的保护，无法防范数据驱 动型的攻击，不能防止用户由Internet上下 载被病毒感染的计算机程序或将该类程序附 在电子邮件上传输。
根据系统所检测的对象分类
1. 基于主机的入侵检测系统（HIDS） 基于主机的IDS安装在被保护的主机上，通 常用于保护运行关键应用的服务器。它通过 监视与分析主机的审计记录和日志文件来检 测入侵行为。 基于主机的IDS系统的优点是能够校验出攻 击是成功还是失败；可使特定的系统行为受 到严密监控等。缺点是它会占用主机的资源， 要依赖操作系统等。
入侵检测系统（IDS）由入侵检测的软件与硬件 组合而成，被认为是防火墙之后的第二道安全闸门， 在不影响网络性能的情况下能对网络进行监测，提 供对内部攻击、外部攻击和误操作的实时保护。这 些都通过它执行以下任务来实现： 1）监视、分析用户及系统活动。 2）系统构造和弱点的审计。 3）识别反映已知进攻的活动模式并向相关人士 报警。 4）异常行为模式的统计分析。 5）评估重要系统和数据文件的完整性。 6）操作系统的审计跟踪管理，并识别用户违反 安全策略的行为。
一般采用统计或基于规则描述的方法建立系
统主体的行为特征轮廓，即统计性特征轮廓 和基于规则描述的特征轮廓。
2．误用检测
误用检测技术(Misuse
Detection)通过检测 用户行为中的那些与某些已知的入侵行为模 式类似的行为或那些利用系统中缺陷或是间 接地违背系统安全规则的行为，来检测系统 中的入侵活动，是一种基于已有的知识的检 测。 这种入侵检测技术的主要局限在于它只 是根据已知的入侵序列和系统缺陷的模式来 检测系统中的可疑行为，而不能处理对新的 入侵攻击行为以及未知的、潜在的系统缺陷 的检测。

入侵检测系统能主动发现网源自文库中正在进行的针对被
保护目标的恶意滥用或非法入侵，并能采取相应的措 施及时中止这些危害，如提示报警、阻断连接、通知 网管等。 其主要功能是监测并分析用户和系统的活动、核查 系统配臵中的安全漏洞、评估系统关键资源与数据文 件的完整性、识别现有已知的攻击行为或用户滥用、 统计并分析异常行为、对系统日志的管理维护。
通用入侵检测框架CIDF
CIDF是一套规范，它定义了IDS表达检测信息的标准 语言以及IDS组件之间的通信协议。 CIDF的文档由四个部分组成：体系结构、规范语言、 内部通信和程序接口。 1．体系结构 CIDF的体系结构文档将一个IDS分为4个组件：事件产 生器、事件分析器、事件数据库和响应单元。
1．系统结构
好的IDS应能采用分级、远距离分式部署和管理。
主控制中心
子控制中心
主控制中心
探测引擎
探测引擎
子控制中心
子控制中心
探测引擎
2．事件数量
考察IDS系统的一个关键性指标是报警事件的多少。 一般而言，事件越多，表明IDS系统能够处理的能力越 强。
3．处理带宽
IDS的处理带宽，即IDS能够处理的网络流量，是IDS 的一个重要性能。目前的网络IDS系统一般能够处理20～ 30M网络流量，经过专门定制的系统可以勉强处理40～ 60M的流量。

根据IDS的系统结构，可分为集中式、等级式和分布式三
种。 1．集中式入侵检测系统 集中式IDS可能有多个分布于不同主机上的审计程序，但 只有一个中央入侵检测服务器。 审计程序将当地收集到的数据发送给中央服务器进行分析 处理。 2．等级式入侵检测系统 等级式IDS中，定义了若干个分等级的监控区域，每个IDS 负责一个区域，每一级IDS只负责所监控区的分析，然后 将当地的分析结果传送给上一级IDS。 3．分布式入侵检测系统 分布式IDS将中央检测服务器的任务分配给多个基于主机 的IDS，这些IDS不分等级，各负其职，负责监控当地主机 的某些活动。