入侵檢測(cè)系統(tǒng)

1、第八章 入侵檢測(cè)系統(tǒng)第一節(jié) 引言通過電子手段對(duì)一個(gè)組織信息庫的惡意攻擊稱為信息戰(zhàn) (information warfare) 。 攻擊的目的可能干擾組織的正?；顒?dòng)，甚至企圖對(duì)組織的信息庫造成嚴(yán)重的破壞。對(duì) 信息戰(zhàn)的各種抵抗措施都可歸結(jié)為三類：保護(hù)、檢測(cè)、響應(yīng)。保護(hù) ( 入侵的防范 ) 指保護(hù)硬件、軟件、數(shù)據(jù)抵御各種攻擊的技術(shù)。目前各種網(wǎng)絡(luò) 安全設(shè)施如防火墻及vpn各種加密技術(shù)，身份認(rèn)證技術(shù)，易攻擊性掃描等都屬于保護(hù) 的范圍之內(nèi)，它們是計(jì)算機(jī)系統(tǒng)的第一道防線。檢測(cè) ( 入侵的檢測(cè) ) 研究如何高效正確地檢測(cè)網(wǎng)絡(luò)攻擊。只有入侵防范不足以保護(hù) 計(jì)算機(jī)的安全，任何系統(tǒng)及協(xié)議都不可避免地存在缺陷，可能是

2、協(xié)議本身也可能是協(xié) 議的實(shí)現(xiàn)，還有一些技術(shù)之外的社會(huì)關(guān)系問題，都能威脅信息安全。因此即使采用這 些保護(hù)措施，入侵者仍可能利用相應(yīng)缺陷攻入系統(tǒng)，這意味著入侵檢測(cè)具有其他安全 措施所不能代替的作用。響應(yīng) ( 入侵的響應(yīng) ) 是入侵檢測(cè)之后的處理工作，主要包括損失評(píng)估，根除入侵者 留下的后門，數(shù)據(jù)恢復(fù)，收集入侵者留下的證據(jù)等。這三種安全措施構(gòu)成完整的信息 戰(zhàn)防御系統(tǒng)。入侵檢測(cè)(Intrusion Detection， ID)是本章討論的主題之一，它通過監(jiān)測(cè)計(jì)算機(jī)系統(tǒng)的某些信息，加以分析，檢測(cè)入侵行為，并做出反應(yīng)。入侵檢測(cè)系統(tǒng)所檢測(cè)的 系統(tǒng)信息包括系統(tǒng)記錄，網(wǎng)絡(luò)流量，應(yīng)用程序日志等。入侵( Intru

3、sion )定義為未經(jīng) 授權(quán)的計(jì)算機(jī)使用者以及不正當(dāng)使用 (misuse) 計(jì)算機(jī)的合法用戶 (內(nèi)部威脅 )，危害或 試圖危害資源的完整性、 保密性、可用性的行為。入侵檢測(cè)系統(tǒng) (Intrusion Detection System, IDS)是實(shí)現(xiàn)入侵檢測(cè)功能的硬件與軟件。入侵檢測(cè)基于這樣一個(gè)假設(shè)，即： 入侵行為與正常行為有顯著的不同，因而是可以檢測(cè)的。入侵檢測(cè)的研究開始于20世紀(jì)80年代，進(jìn)入 90年代入侵檢測(cè)成為研究與應(yīng)用的熱點(diǎn)，其間出現(xiàn)了許多研究原型與 商業(yè)產(chǎn)品。入侵檢測(cè)系統(tǒng)在功能上是入侵防范系統(tǒng)的補(bǔ)充， 而并不是入侵防范系統(tǒng)的替代。 相 反，它與這些系統(tǒng)共同工作，檢測(cè)出已經(jīng)躲過這些系

4、統(tǒng)控制的攻擊行為。入侵檢測(cè)系 統(tǒng)是計(jì)算機(jī)系統(tǒng)安全、網(wǎng)絡(luò)安全的第二道防線。一個(gè)理想的入侵檢測(cè)系統(tǒng)具有如下特性：? 能以最小的人為干預(yù)持續(xù)運(yùn)行。? 能夠從系統(tǒng)崩潰中恢復(fù)和重置。? 能抵抗攻擊。IDS必須能監(jiān)測(cè)自身和檢測(cè)自己是否已經(jīng)被攻擊者所改變。? 運(yùn)行時(shí)占用系統(tǒng)的開銷最小。? 能夠根據(jù)被監(jiān)視系統(tǒng)的安全策略進(jìn)行配置。? 能在使用過程中適應(yīng)系統(tǒng)和用戶行為的改變。當(dāng)被監(jiān)控系統(tǒng)的規(guī)模和受攻擊的機(jī)會(huì)增加時(shí)，我們認(rèn)為下列的特征也同樣重要：? 能夠檢測(cè)具有一定規(guī)模的網(wǎng)絡(luò)。? 保證當(dāng)IDS某一部分被攻破時(shí)，對(duì)其余部分造成的影響盡可能的小。? 允許動(dòng)態(tài)的再配置，即它必須有不用重新啟動(dòng)而能再次配置的功能。? 提供很

5、低的誤報(bào)率。? 提供互操作性，在不同環(huán)境中運(yùn)行的IDS組件能夠相互作用。? 提供方便的用戶界面，使管理者方便地配置和監(jiān)視系統(tǒng)。? 能夠以實(shí)時(shí)或接近于實(shí)時(shí)的方式檢測(cè)入侵。目前的入侵檢測(cè)系統(tǒng)(包括研究的原型和商業(yè)化的 IDS)的數(shù)目已經(jīng)超過一百個(gè)， 它們只具有上述特征的一部分。第二節(jié) 入侵檢測(cè)系統(tǒng)結(jié)構(gòu)CIDF (Common Intrusion Detection Framework)定義了通用的 IDS系統(tǒng)結(jié)構(gòu)，它將入侵檢測(cè)系統(tǒng)分為四個(gè)功能模塊，如圖所示：圖CIDF模型事件產(chǎn)生器(Eve nt gen erater， E-box )收集入侵檢測(cè)事件，并提供給IDS其他部 件處理，是IDS的信息源

6、。事件包含的范圍很廣泛， 既可以是網(wǎng)絡(luò)活動(dòng)也可是系統(tǒng)調(diào)用 序列等系統(tǒng)信息。事件的質(zhì)量、數(shù)量與種類對(duì)IDS性能的影響極大。事件分析器( Analysis engine, A-box )對(duì)輸入的事件進(jìn)行分析并檢測(cè)入侵。許 多IDS的研究都集中于如何提高事件分析器的能力，包括提高對(duì)已知入侵識(shí)別的準(zhǔn)確性 以及提高發(fā)現(xiàn)未知入侵的幾率等。事件數(shù)據(jù)庫( Event database, D-box ) E-boxes 和 A-boxes 產(chǎn)生大量的數(shù)據(jù)， 這些數(shù)據(jù)必須被妥善地存儲(chǔ)，以備將來使用。D-box的功能就是存儲(chǔ)和管理這些數(shù)據(jù)，用于IDS的訓(xùn)練和證據(jù)保存。事件響應(yīng)器(Responseunit, C-bo

7、x)對(duì)入侵做出響應(yīng)，包括向管理員發(fā)出警告， 切斷入侵連接，根除入侵者留下的后門以及數(shù)據(jù)恢復(fù)等。CIDF概括了 IDS的功能，并進(jìn)行了合理的劃分。利用這個(gè)模型可描述當(dāng)今現(xiàn)有的 各種IDS的系統(tǒng)結(jié)構(gòu)。對(duì)IDS的設(shè)計(jì)及實(shí)現(xiàn)提供了有價(jià)值的指導(dǎo)。第三節(jié) 入侵檢測(cè)系統(tǒng)分類為了準(zhǔn)確地分類，首先要確定用來分類的 IDS 特征。 IDS 是復(fù)雜的系統(tǒng)，若只用一 種特征分類，結(jié)果將是粗糙的。因此本章根據(jù)多種特征對(duì) IDS 進(jìn)行了不同角度的分類。 事件分析器是 IDS 的核心部分，故首先對(duì)檢測(cè)方法進(jìn)行分類。其次從事件產(chǎn)生器的角 度分類，將采集事件種類或采集事件的方法作為分類標(biāo)準(zhǔn)。一、檢測(cè)方法分類入侵檢測(cè)的方法可大體

8、分為兩類：濫用檢測(cè) （misuse detection） 、異常檢測(cè)（anomaly detection） 。在 IDS 中，任何一個(gè)事件都可能屬于以下三種情況 :? 已知入侵? 已知正常狀態(tài)? 無法判定狀態(tài)第三種事件可能是一種未知的入侵 , 也可能是正常狀態(tài)， 但在現(xiàn)有的系統(tǒng)和技術(shù)下 無法判定。目前的檢測(cè)方法都是對(duì)已知入侵和已知正常狀態(tài)的識(shí)別，其中濫用檢測(cè)識(shí) 別已知入侵，但對(duì)于無法判定狀態(tài)中的未知入侵將漏報(bào) （false negative），異常檢測(cè)根據(jù)已知的正常狀態(tài)將已知入侵、無法判定狀態(tài)都當(dāng)作異常，因此會(huì)產(chǎn)生誤報(bào) （false positive） 。（一）濫用檢測(cè) 根據(jù)對(duì)已知入侵的知識(shí)，

9、在輸入事件中檢測(cè)入侵。這種方法不關(guān)心正常行為，只 研究已知入侵，能較準(zhǔn)確地檢測(cè)已知入侵，但對(duì)未知入侵的檢測(cè)能力有限。目前大多 數(shù)的商業(yè) IDS 都使用此類方法。濫用檢測(cè)所采用的技術(shù)包括：（二）專家系統(tǒng)使用專家系統(tǒng)技術(shù)，用規(guī)則表示入侵。通常使用的是 forward-chaining 、 production-based 等專家系統(tǒng)工具。例如DARPA勺Emerald項(xiàng)目，將P-BESTX具箱應(yīng) 用于入侵檢測(cè)。（三）狀態(tài)轉(zhuǎn)換模型將入侵表示為一系列系統(tǒng)狀態(tài)轉(zhuǎn)換，通過監(jiān)視系統(tǒng)或網(wǎng)絡(luò)狀態(tài)勺改變發(fā)現(xiàn)入侵。 典型系統(tǒng)是 NetSTAT。（四）協(xié)議分析與字符串匹配 將已知攻擊模式與輸入事件進(jìn)行匹配以判定入侵勺

10、發(fā)生，這種方法具有速度高、 擴(kuò)展性好勺特點(diǎn)，但容易產(chǎn)生誤報(bào)。典型系統(tǒng)包括shadow、Bro 和 Snort 等。（五）異常檢測(cè)與濫用檢測(cè)相反，異常檢測(cè)對(duì)系統(tǒng)正常狀態(tài)進(jìn)行研究，通過監(jiān)測(cè)用戶行為模式、 主機(jī)系統(tǒng)調(diào)用特征、網(wǎng)絡(luò)連接狀態(tài)等，建立系統(tǒng)常態(tài)模型。在運(yùn)行中，將當(dāng)前系統(tǒng)行 為與常態(tài)模型進(jìn)行比較，根據(jù)其與常態(tài)偏離勺程度判定事件勺性質(zhì)。這種方法很有可 能檢測(cè)到未知入侵與變種攻擊，但現(xiàn)有系統(tǒng)通常都存在大量勺誤報(bào)。未知入侵勺檢測(cè) 是IDS中最具挑戰(zhàn)性的問題，其難度比不正當(dāng)行為檢測(cè)要大。異常檢測(cè)通常使用統(tǒng)計(jì) 學(xué)方法和機(jī)器學(xué)習(xí)方法。（六）統(tǒng)計(jì)學(xué)方法使用統(tǒng)計(jì)分析方法建立系統(tǒng)常態(tài)模型。統(tǒng)計(jì)的數(shù)據(jù)源包括：用戶

11、的擊鍵特征、 telnet 對(duì)話的平均長(zhǎng)度等。通過監(jiān)測(cè)輸入值與期望值的偏離程度判斷事件的屬性， Emerald和cmds都包括了這種方式。(七) 機(jī)器學(xué)習(xí)方法 將機(jī)器學(xué)習(xí)領(lǐng)域的方法和工具如神經(jīng)網(wǎng)絡(luò)、數(shù)據(jù)挖掘、遺傳算法、貝葉斯網(wǎng)絡(luò)和 人工免疫系統(tǒng)等應(yīng)用于異常檢測(cè)中。這種方法也是通過建立常態(tài)模型進(jìn)行異常識(shí)別。 每種方法都具有不同的適用范圍和特色。目前研究的熱點(diǎn)之一是噪聲數(shù)據(jù)學(xué)習(xí)。(八) 混合檢測(cè) 上述兩類檢測(cè)方法各有所長(zhǎng)，濫用檢測(cè)能夠準(zhǔn)確高效地發(fā)現(xiàn)已知攻擊；異常檢測(cè) 能識(shí)別未知攻擊。目前任何一種系統(tǒng)都不能很好地完成全部入侵檢測(cè)任務(wù)?；旌?IDS 中同時(shí)包含模式識(shí)別與異常識(shí)別系統(tǒng)，并且根據(jù)兩種方法的

12、特點(diǎn)對(duì)其進(jìn)行分工，既能 精確識(shí)別已知攻擊， 又能發(fā)現(xiàn)部分未知攻擊， 可減少誤報(bào)和漏報(bào)。 Emerlad 是一種典型 的混合系統(tǒng)。二、系統(tǒng)結(jié)構(gòu)分類從 IDS 所監(jiān)視的事件種類上可分為基于網(wǎng)絡(luò)的 IDS(Network-based IDS ，NIDS) 和基于主機(jī)的IDS。按照IDS的響應(yīng)方式可分為實(shí)時(shí)IDS和非實(shí)時(shí)IDS,按照采集事件 的方式分為分布式 IDS 與集中式 IDS?；谥鳈C(jī)的IDS數(shù)據(jù)源包括：系統(tǒng)調(diào)用序列，存儲(chǔ)系統(tǒng)的活動(dòng)記錄，系統(tǒng)日志等。 由于基于主機(jī)的IDS對(duì)主機(jī)的信息有充分的掌握并且擁有對(duì)主機(jī)的較強(qiáng)的控制權(quán)，因 此與網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)相比， 其檢測(cè)的準(zhǔn)確性更高， 誤報(bào)率更低。 同

13、時(shí)基于主機(jī)的 IDS 更難以欺騙，對(duì)攻擊的響應(yīng)也更有效：可切斷入侵連接，殺死進(jìn)程。它的缺點(diǎn)是只能 對(duì)一個(gè)主機(jī)進(jìn)行保護(hù)，并對(duì)主機(jī)產(chǎn)生一定的負(fù)擔(dān)，而且移植性差?；诰W(wǎng)絡(luò)的IDS通過監(jiān)視網(wǎng)絡(luò)流量檢測(cè)入侵活動(dòng)，簡(jiǎn)稱為網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(NIDS)。NIDS能對(duì)整個(gè)網(wǎng)絡(luò)加以保護(hù)，其優(yōu)點(diǎn)在于簡(jiǎn)便性和可移植性。NIDS的使用不會(huì)對(duì)現(xiàn)有網(wǎng)絡(luò)系統(tǒng)造成明顯影響，并能應(yīng)用于各種網(wǎng)絡(luò)環(huán)境。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)由于 只處理網(wǎng)絡(luò)數(shù)據(jù)，對(duì)數(shù)據(jù)的語義掌握是不充分的，容易受到攻擊和欺騙。適應(yīng)高速網(wǎng) 及提高可擴(kuò)展性是NIDS需要解決的問題。以上兩種IDS都不能單獨(dú)完成有效的入侵檢測(cè)，二者的結(jié)合能達(dá)到取長(zhǎng)補(bǔ)短的效 果。目前一些商業(yè)IDS

14、已經(jīng)采用了這種方案，如 RealSecurity ，Axnet。IDS的應(yīng)用規(guī)模也是一個(gè)重要的參數(shù)。 現(xiàn)有的商業(yè)IDS的應(yīng)用范圍都是局域網(wǎng)。隨 著網(wǎng)絡(luò)入侵的發(fā)展，攻擊已進(jìn)化為從不同主機(jī)發(fā)起的協(xié)同攻擊。對(duì)這種攻擊的檢測(cè)是 現(xiàn)有IDS所不能勝任的，需要依靠多點(diǎn)分布式網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，通過聯(lián)防來檢測(cè)。三、典型的入侵檢測(cè)系統(tǒng)IDS 的研究從上世紀(jì) 80 年代就已開始， 第一個(gè)商業(yè) IDS 也在 1991 年誕生。目前各 種 IDS 研究項(xiàng)目和商業(yè)產(chǎn)品的數(shù)量極為龐大，下面對(duì)具有代表性的入侵檢測(cè)系統(tǒng)加以 介紹，分為商業(yè) IDS、IDS 研究項(xiàng)目和自由軟件三個(gè)類別。（一）開放源碼的 IDS 項(xiàng)目： Snor

15、tSnort 是一種運(yùn)行于單機(jī)的基于濫用檢測(cè)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。 Snort 通過 libpcap 獲取網(wǎng)絡(luò)包，并進(jìn)行協(xié)議分析。它定義了一種簡(jiǎn)單靈活的網(wǎng)絡(luò)入侵描述語言， 對(duì)網(wǎng)絡(luò)入侵進(jìn)行描述（入侵特征或入侵信號(hào)）。Snort根據(jù)入侵描述對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行匹 配和搜索，能夠檢測(cè)到多種網(wǎng)絡(luò)攻擊與偵察，包括 : 緩沖區(qū)溢出攻擊，端口掃描， CGI 攻擊，SMB貞察等。并提供了多種攻擊響應(yīng)方式。對(duì)于最新的攻擊方法，使用Snort的入侵描述語言能夠快速方便地寫出新攻擊的描述，從而使 Snort 能夠檢測(cè)到這種攻 擊。在 Internet 上已建立了發(fā)布 Snort 入侵模式數(shù)據(jù)庫的站點(diǎn)。 Snort 是極具活

16、力的 自由軟件，在世界各地的志愿者開發(fā)下，技術(shù)和功能在不斷提高。（二）商業(yè)產(chǎn)品國(guó)際市場(chǎng)上的主流商業(yè) IDS 產(chǎn)品大部分為基于網(wǎng)絡(luò)的， 采用濫用檢測(cè)方法的系統(tǒng)。 主要有：1、RealSecureRealSecure 由 In ternet Security Systems （ISS）開發(fā)，包括三種系統(tǒng)部件：網(wǎng) 絡(luò)入侵檢測(cè) agent ，主機(jī)入侵檢測(cè) agent 和管理控制臺(tái)。 RealSecure 屬于分布式結(jié)構(gòu)， 每個(gè)網(wǎng)絡(luò)監(jiān)視器運(yùn)行于專用的工作站上，監(jiān)視不同的網(wǎng)段。 RealSecure 的入侵檢測(cè)方 法屬于濫用檢測(cè)，能夠檢測(cè)幾乎所有的主流攻擊方式，并實(shí)現(xiàn)了基于主機(jī)檢測(cè)和基于 網(wǎng)絡(luò)檢測(cè)的無縫集

17、成。 對(duì)于不同的應(yīng)用程序如 Exchange、MSSQL、LDAP、Oracle 和 Sybase 等， RealSecure 提供了專門的系統(tǒng)代理進(jìn)行入侵檢測(cè)。整個(gè)系統(tǒng)由一個(gè)管理程序進(jìn)行 配置和與用戶的交互， 可提供安全報(bào)告等信息。 RealSecure 的缺點(diǎn)是無法進(jìn)行包重組， 這使得它容易受到欺騙。 ISS 在七種 IDS 的評(píng)測(cè)中得到了最高的評(píng)價(jià)。2、NFRNetwork Flight Recorder? （NFR） 是一種基于濫用檢測(cè)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。它提供兩種版本：商業(yè)版，研究版（提供源碼），目前已停止了研究版的發(fā)行。NFF使用經(jīng)過修改的Libpcap進(jìn)行網(wǎng)絡(luò)抓包，并擁有一種完善

18、的包分析腳本語言N-code，通過它編寫對(duì)各種攻擊的檢測(cè)及處理程序。NFF是世界上第一種具有TCP包重組功能的IDS 產(chǎn)品，這使得NFR能夠抵抗Ptacek和Newshan提出的躲避IDS的方法。（三）研究系統(tǒng)主要包括：1、EMERALDEMERALD （Event Monitoring Enabling Responses to Anomalous LiveDisturbances）是DARP入侵檢測(cè)研究的一個(gè)子項(xiàng)目，集成了濫用檢測(cè)模塊和異常檢測(cè) 分析模塊協(xié)同進(jìn)行分析。它的開發(fā)充分應(yīng)用了軟件工程的思想，系統(tǒng)各模塊具有獨(dú)立 性、可重用性。系統(tǒng)的設(shè)計(jì)目標(biāo)包括可快速集成新穎的分析技術(shù)，能夠迅速適應(yīng)現(xiàn)有 網(wǎng)絡(luò)環(huán)境配置的動(dòng)態(tài)改變等。EMERA應(yīng)用了專家系統(tǒng)P-B