第八章入侵檢測系統(tǒng)

1、第八章 入侵檢測系統(tǒng)2022-3-72內(nèi)容提要內(nèi)容提要 入侵檢測技術(shù)用來發(fā)現(xiàn)攻擊行為，進而采取正確的響應(yīng)措施，是安全防御的重要環(huán)節(jié)。通過本章學習使學生能夠掌握入侵檢測系統(tǒng)的基本原理，在了解Snort工作原理的基礎(chǔ)上，掌握其安裝和使用方法，了解入侵防御技術(shù)的特點及其和入侵檢測的區(qū)別。2022-3-73第八章第八章 入侵檢測系統(tǒng)入侵檢測系統(tǒng) 8.1 入侵檢測系統(tǒng)概述8.2 入侵檢測系統(tǒng)的組成8.3 入侵檢測的相關(guān)技術(shù)8.4 入侵檢測系統(tǒng)Snort8.5 入侵防御系統(tǒng)8.6 實驗：基于snort的入侵檢測系統(tǒng)安裝和使用8.7 小結(jié) 習題2022-3-748.1 8.1 入侵檢測系統(tǒng)概述入侵檢測系統(tǒng)概

2、述 入侵檢測系統(tǒng)全稱為入侵檢測系統(tǒng)全稱為Intrusion Detection SystemIntrusion Detection System（IDSIDS），國際計算機安全協(xié)會（），國際計算機安全協(xié)會（International International Computer Security AssociationComputer Security Association，ICSAICSA）入侵檢測系統(tǒng)）入侵檢測系統(tǒng)論壇將其論壇將其定義為：通過從計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若定義為：通過從計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集信息進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否干關(guān)鍵點收集信息進行分析，

3、從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到攻擊的跡象。有違反安全策略的行為和遭到攻擊的跡象。 相對于防火墻來說，入侵檢測通常被認為是一種相對于防火墻來說，入侵檢測通常被認為是一種動態(tài)動態(tài)的防護手段的防護手段。與其他安全產(chǎn)品不同的是，入侵檢測系統(tǒng)需。與其他安全產(chǎn)品不同的是，入侵檢測系統(tǒng)需要較復雜的技術(shù)，它將得到的數(shù)據(jù)進行分析，并得出有用要較復雜的技術(shù)，它將得到的數(shù)據(jù)進行分析，并得出有用的結(jié)果。一個合格的入侵檢測系統(tǒng)能大大地的結(jié)果。一個合格的入侵檢測系統(tǒng)能大大地簡化簡化管理員的管理員的工作，使管理員能夠更容易地工作，使管理員能夠更容易地監(jiān)視監(jiān)視、審計審計網(wǎng)絡(luò)和計算機系網(wǎng)絡(luò)和計算機系統(tǒng)，統(tǒng)，

4、擴展擴展了管理員的安全管理能力，了管理員的安全管理能力，保證保證網(wǎng)絡(luò)和計算機系網(wǎng)絡(luò)和計算機系統(tǒng)的安全運行。統(tǒng)的安全運行。2022-3-758.1 8.1 入侵檢測系統(tǒng)概述（續(xù)）入侵檢測系統(tǒng)概述（續(xù)） 防火墻防火墻是所有保護網(wǎng)絡(luò)的方法中最能普遍接受的是所有保護網(wǎng)絡(luò)的方法中最能普遍接受的方法，能阻擋外部入侵者，但方法，能阻擋外部入侵者，但對內(nèi)部攻擊無能為力對內(nèi)部攻擊無能為力；同時，防火墻絕對不是堅不可摧的，即使是某些防火同時，防火墻絕對不是堅不可摧的，即使是某些防火墻本身也會引起一些安全問題。防火墻不能墻本身也會引起一些安全問題。防火墻不能防止通向防止通向站點的后門，不提供對內(nèi)部的保護，無法防范數(shù)

5、據(jù)驅(qū)站點的后門，不提供對內(nèi)部的保護，無法防范數(shù)據(jù)驅(qū)動型的攻擊，不能防止用戶由動型的攻擊，不能防止用戶由InternetInternet上下載被病毒上下載被病毒感染的計算機程序或?qū)⒃擃惓绦蚋皆陔娮余]件上傳輸感染的計算機程序或?qū)⒃擃惓绦蚋皆陔娮余]件上傳輸。 入侵檢測是防火墻的入侵檢測是防火墻的合理補充合理補充，它幫助系統(tǒng)對付網(wǎng)，它幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴展了系統(tǒng)管理員的安全管理能力絡(luò)攻擊，擴展了系統(tǒng)管理員的安全管理能力( (包括安全包括安全審計、監(jiān)視、進攻識別和響應(yīng)審計、監(jiān)視、進攻識別和響應(yīng)) )，提高了信息安全基礎(chǔ)，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。結(jié)構(gòu)的完整性。 2022-3-768.1 入侵檢

6、測系統(tǒng)概述（續(xù)）入侵檢測系統(tǒng)概述（續(xù)）相關(guān)術(shù)語相關(guān)術(shù)語攻擊攻擊攻擊者利用工具，出于某種動機，對目標系統(tǒng)采取的行動，攻擊者利用工具，出于某種動機，對目標系統(tǒng)采取的行動，其后果是獲取其后果是獲取/ /破壞破壞/ /篡改目標系統(tǒng)的數(shù)據(jù)或訪問權(quán)限篡改目標系統(tǒng)的數(shù)據(jù)或訪問權(quán)限事件事件在攻擊過程中發(fā)生的可以識別的行動或行動造成的后果在攻擊過程中發(fā)生的可以識別的行動或行動造成的后果。在在入侵檢測系統(tǒng)中，事件常常具有一系列屬性和詳細的描述信入侵檢測系統(tǒng)中，事件常常具有一系列屬性和詳細的描述信息可供用戶查看。息可供用戶查看。也可以也可以將入侵檢測系統(tǒng)需要分析的數(shù)據(jù)統(tǒng)將入侵檢測系統(tǒng)需要分析的數(shù)據(jù)統(tǒng)稱為事件（稱為事

7、件（eventevent）2022-3-77入侵入侵 對信息系統(tǒng)的非授權(quán)訪問及（或）未經(jīng)許可在信息系統(tǒng)對信息系統(tǒng)的非授權(quán)訪問及（或）未經(jīng)許可在信息系統(tǒng)中進行操作中進行操作入侵檢測入侵檢測對企圖入侵、正在進行的入侵或已經(jīng)發(fā)生的入侵進行識對企圖入侵、正在進行的入侵或已經(jīng)發(fā)生的入侵進行識別的過程別的過程入侵檢測系統(tǒng)（入侵檢測系統(tǒng)（IDSIDS）用于輔助進行入侵檢測或者獨立進行入侵檢測的用于輔助進行入侵檢測或者獨立進行入侵檢測的自動化自動化工具工具8.1 8.1 入侵檢測系統(tǒng)概述（續(xù)）入侵檢測系統(tǒng)概述（續(xù)）2022-3-78 入侵檢測（入侵檢測（Intrusion DetectionIntrusion

8、 Detection）技術(shù)是一種動態(tài)）技術(shù)是一種動態(tài)的網(wǎng)絡(luò)檢測技術(shù)，的網(wǎng)絡(luò)檢測技術(shù)，主要用于識別對計算機和網(wǎng)絡(luò)資源的主要用于識別對計算機和網(wǎng)絡(luò)資源的惡意使用行為，包括來自外部用戶的入侵行為和內(nèi)部用惡意使用行為，包括來自外部用戶的入侵行為和內(nèi)部用戶的未經(jīng)授權(quán)活動。一旦發(fā)現(xiàn)網(wǎng)絡(luò)入侵現(xiàn)象，則應(yīng)當做戶的未經(jīng)授權(quán)活動。一旦發(fā)現(xiàn)網(wǎng)絡(luò)入侵現(xiàn)象，則應(yīng)當做出適當?shù)姆磻?yīng)出適當?shù)姆磻?yīng)：對于正在進行的網(wǎng)絡(luò)攻擊，則采取適當：對于正在進行的網(wǎng)絡(luò)攻擊，則采取適當?shù)姆椒▉碜钄喙簦ㄅc防火墻聯(lián)動），以減少系統(tǒng)損失；的方法來阻斷攻擊（與防火墻聯(lián)動），以減少系統(tǒng)損失；對于已經(jīng)發(fā)生的網(wǎng)絡(luò)攻擊，則應(yīng)通過分析日志記錄找到對于已經(jīng)發(fā)生的網(wǎng)

9、絡(luò)攻擊，則應(yīng)通過分析日志記錄找到發(fā)生攻擊的原因和入侵者的蹤跡，作為增強網(wǎng)絡(luò)系統(tǒng)安發(fā)生攻擊的原因和入侵者的蹤跡，作為增強網(wǎng)絡(luò)系統(tǒng)安全性和追究入侵者法律責任的依據(jù)。它從計算機網(wǎng)絡(luò)系全性和追究入侵者法律責任的依據(jù)。它從計算機網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息，并分析這些信息，看看網(wǎng)統(tǒng)中的若干關(guān)鍵點收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。 8.1 8.1 入侵檢測系統(tǒng)概述（續(xù)）入侵檢測系統(tǒng)概述（續(xù)）2022-3-798.1 8.1 入侵檢測系統(tǒng)概述（續(xù)）入侵檢測系統(tǒng)概述（續(xù)） 入侵檢測系統(tǒng)（入侵檢測系統(tǒng)（IDSIDS）由）

10、由入侵檢測的軟件與硬件組合入侵檢測的軟件與硬件組合而而成，被認為是防火墻之后的第二道安全閘門，在成，被認為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進行監(jiān)測，提供對內(nèi)部攻擊、外部攻性能的情況下能對網(wǎng)絡(luò)進行監(jiān)測，提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護擊和誤操作的實時保護。這些都通過它執(zhí)行以下任務(wù)來實現(xiàn)：。這些都通過它執(zhí)行以下任務(wù)來實現(xiàn)： 1 1）監(jiān)視、分析用戶及系統(tǒng)活動。）監(jiān)視、分析用戶及系統(tǒng)活動。 2 2）系統(tǒng)構(gòu)造和弱點的審計。）系統(tǒng)構(gòu)造和弱點的審計。 3 3）識別反映已知進攻的活動模式并向相關(guān)人士報警。）識別反映已知進攻的活動模式并向相關(guān)人士報警。 4 4）

11、異常行為模式的統(tǒng)計分析。）異常行為模式的統(tǒng)計分析。 5 5）評估重要系統(tǒng)和數(shù)據(jù)文件的完整性。）評估重要系統(tǒng)和數(shù)據(jù)文件的完整性。 6 6）操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策）操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為。略的行為。 2022-3-710入侵檢測系統(tǒng)的作用入侵檢測系統(tǒng)的作用監(jiān)控網(wǎng)絡(luò)和系統(tǒng)監(jiān)控網(wǎng)絡(luò)和系統(tǒng)發(fā)現(xiàn)入侵企圖或異?，F(xiàn)象發(fā)現(xiàn)入侵企圖或異?，F(xiàn)象實時報警實時報警主動響應(yīng)主動響應(yīng)審計跟蹤審計跟蹤 形象地說，它就是網(wǎng)絡(luò)攝形象地說，它就是網(wǎng)絡(luò)攝像像機，能夠捕獲并記錄網(wǎng)絡(luò)上機，能夠捕獲并記錄網(wǎng)絡(luò)上的所有數(shù)據(jù)，同時它也是智能攝的所有數(shù)據(jù)，同時它也是智能攝像像機，能夠分析網(wǎng)絡(luò)數(shù)

12、據(jù)并機，能夠分析網(wǎng)絡(luò)數(shù)據(jù)并提煉出可疑的、異常的網(wǎng)絡(luò)數(shù)據(jù)，它還是提煉出可疑的、異常的網(wǎng)絡(luò)數(shù)據(jù)，它還是X X光攝光攝像像機，能夠機，能夠穿透一些巧妙的偽裝，抓住實際的內(nèi)容。它還不僅僅只是攝穿透一些巧妙的偽裝，抓住實際的內(nèi)容。它還不僅僅只是攝像像機，還包括保安員的攝機，還包括保安員的攝像像機機。2022-3-7118.1 8.1 入侵檢測系統(tǒng)概述（續(xù)）入侵檢測系統(tǒng)概述（續(xù)）2022-3-7128.1 8.1 入侵檢測系統(tǒng)概述（續(xù)入侵檢測系統(tǒng)概述（續(xù)）入侵檢測的發(fā)展歷程入侵檢測的發(fā)展歷程 19801980年年，概念的誕生，概念的誕生1984198419861986年，模型的發(fā)展年，模型的發(fā)展 1990

13、1990年，形成網(wǎng)絡(luò)年，形成網(wǎng)絡(luò)IDSIDS和主機和主機IDSIDS兩大陣營兩大陣營九十年代后至今，百家爭鳴、繁榮昌盛九十年代后至今，百家爭鳴、繁榮昌盛2022-3-713入侵檢測的實現(xiàn)方式入侵檢測的實現(xiàn)方式 入侵檢測系統(tǒng)根據(jù)數(shù)據(jù)包來源的不同，采用不用的實入侵檢測系統(tǒng)根據(jù)數(shù)據(jù)包來源的不同，采用不用的實現(xiàn)方式，一般地可分為網(wǎng)絡(luò)型、主機型，也可是這兩種類現(xiàn)方式，一般地可分為網(wǎng)絡(luò)型、主機型，也可是這兩種類型的混合應(yīng)用。型的混合應(yīng)用?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)（基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（NIDSNIDS）基于主機的入侵檢測系統(tǒng)（基于主機的入侵檢測系統(tǒng)（HIDSHIDS）混合型入侵檢測系統(tǒng)（混合型入侵檢測系統(tǒng)

14、（Hybrid IDSHybrid IDS）2022-3-714入侵檢測的實現(xiàn)方式入侵檢測的實現(xiàn)方式 1 1、網(wǎng)絡(luò)、網(wǎng)絡(luò)IDSIDS： 網(wǎng)絡(luò)網(wǎng)絡(luò)IDSIDS是網(wǎng)絡(luò)上的一個監(jiān)聽設(shè)備是網(wǎng)絡(luò)上的一個監(jiān)聽設(shè)備( (或一個專用主機或一個專用主機) )，通過監(jiān)聽網(wǎng)絡(luò)上的所有報文，根據(jù)協(xié)議進行分析，并報告通過監(jiān)聽網(wǎng)絡(luò)上的所有報文，根據(jù)協(xié)議進行分析，并報告網(wǎng)絡(luò)中的非法使用者信息。網(wǎng)絡(luò)中的非法使用者信息。 安裝在被保護的網(wǎng)段（共享網(wǎng)絡(luò)、交換環(huán)境中交換機要安裝在被保護的網(wǎng)段（共享網(wǎng)絡(luò)、交換環(huán)境中交換機要 支持端口映射）中支持端口映射）中混雜模式監(jiān)聽混雜模式監(jiān)聽分析網(wǎng)段中所有的數(shù)據(jù)包分析網(wǎng)段中所有的數(shù)據(jù)包實時檢測和

15、響應(yīng)實時檢測和響應(yīng)2022-3-7158.1 8.1 入侵檢測系統(tǒng)概述（續(xù)）入侵檢測系統(tǒng)概述（續(xù)）圖圖8-1 8-1 網(wǎng)絡(luò)網(wǎng)絡(luò)IDSIDS工作模型工作模型 NY2022-3-7168.1 8.1 入侵檢測系統(tǒng)概述（續(xù)）入侵檢測系統(tǒng)概述（續(xù)）網(wǎng)絡(luò)網(wǎng)絡(luò)IDS優(yōu)勢優(yōu)勢(1) (1) 實時分析網(wǎng)絡(luò)數(shù)據(jù)實時分析網(wǎng)絡(luò)數(shù)據(jù)，檢測網(wǎng)絡(luò)系統(tǒng)的非法行為；，檢測網(wǎng)絡(luò)系統(tǒng)的非法行為；(2) (2) 網(wǎng)絡(luò)網(wǎng)絡(luò)IDSIDS系統(tǒng)系統(tǒng)單獨架設(shè)單獨架設(shè)，不占用其它計算機系統(tǒng)的任何資，不占用其它計算機系統(tǒng)的任何資源；源；(3) (3) 網(wǎng)絡(luò)網(wǎng)絡(luò)IDSIDS系統(tǒng)是一個系統(tǒng)是一個獨立的網(wǎng)絡(luò)設(shè)備獨立的網(wǎng)絡(luò)設(shè)備，可以做到對黑客透，可以做

16、到對黑客透明，因此其本身的安全性高；明，因此其本身的安全性高；(4) (4) 它既可以用于實時監(jiān)測系統(tǒng)，也是記錄審計系統(tǒng)，可以它既可以用于實時監(jiān)測系統(tǒng)，也是記錄審計系統(tǒng)，可以做到做到實時保護實時保護，事后取證分析事后取證分析；(5) (5) 通過通過與防火墻的聯(lián)動與防火墻的聯(lián)動，不但可以對攻擊預警，還可以更，不但可以對攻擊預警，還可以更有效地阻止非法入侵和破壞。有效地阻止非法入侵和破壞。(6)(6)不會增加網(wǎng)絡(luò)中主機的負擔不會增加網(wǎng)絡(luò)中主機的負擔。2022-3-7178.1 8.1 入侵檢測系統(tǒng)概述（續(xù)）入侵檢測系統(tǒng)概述（續(xù)）網(wǎng)絡(luò)網(wǎng)絡(luò)IDS的劣勢的劣勢(1) (1) 交換環(huán)境和高速環(huán)境需附加條

17、件交換環(huán)境和高速環(huán)境需附加條件(2) (2) 不能處理加密數(shù)據(jù)不能處理加密數(shù)據(jù)(3) (3) 資源及處理能力局限資源及處理能力局限(4) (4) 系統(tǒng)相關(guān)的脆弱性系統(tǒng)相關(guān)的脆弱性2022-3-718 入侵檢測的實現(xiàn)方式入侵檢測的實現(xiàn)方式 2 2、主機、主機IDSIDS 運行于被檢測的主機之上，通過查詢、監(jiān)聽當前系統(tǒng)運行于被檢測的主機之上，通過查詢、監(jiān)聽當前系統(tǒng)的各種資源的使用運行狀態(tài)，發(fā)現(xiàn)系統(tǒng)資源被非法使用和的各種資源的使用運行狀態(tài)，發(fā)現(xiàn)系統(tǒng)資源被非法使用和修改的事件，進行上報和處理。修改的事件，進行上報和處理。 安裝于被保護的主機中安裝于被保護的主機中 主要主要分析主機內(nèi)部活動分析主機內(nèi)部活

18、動 占用一定的系統(tǒng)資源占用一定的系統(tǒng)資源2022-3-719主機主機IDS優(yōu)勢優(yōu)勢(1) (1) 精確地判斷攻擊行為是否成功。精確地判斷攻擊行為是否成功。(2) (2) 監(jiān)控主機上特定用戶活動、系統(tǒng)運行情況監(jiān)控主機上特定用戶活動、系統(tǒng)運行情況(3) HIDS(3) HIDS能夠檢測到能夠檢測到NIDSNIDS無法檢測的攻擊無法檢測的攻擊(4) (4) HIDSHIDS適用加密的和交換的環(huán)境適用加密的和交換的環(huán)境(5) (5) 不需要額外的硬件設(shè)備不需要額外的硬件設(shè)備2022-3-720主機主機IDS的劣勢的劣勢(1) HIDS(1) HIDS對被保護主機的影響對被保護主機的影響(2) HIDS

19、(2) HIDS的安全性受到宿主操作系統(tǒng)的限制的安全性受到宿主操作系統(tǒng)的限制(3) HIDS(3) HIDS的數(shù)據(jù)源受到審計系統(tǒng)限制的數(shù)據(jù)源受到審計系統(tǒng)限制(4) (4) 被木馬化的系統(tǒng)內(nèi)核能夠騙過被木馬化的系統(tǒng)內(nèi)核能夠騙過HIDSHIDS(5) (5) 維護維護/ /升級不方便升級不方便2022-3-7213 3、兩種實現(xiàn)方式的比較、兩種實現(xiàn)方式的比較： 1)1)如果攻擊不經(jīng)過網(wǎng)絡(luò)如果攻擊不經(jīng)過網(wǎng)絡(luò), ,基于網(wǎng)絡(luò)的基于網(wǎng)絡(luò)的IDSIDS無法檢測到只無法檢測到只能通過使用基于主機的能通過使用基于主機的IDSIDS來檢測；來檢測； 2 2) )基于網(wǎng)絡(luò)的基于網(wǎng)絡(luò)的IDSIDS通過檢查所有的包頭來

20、進行檢測通過檢查所有的包頭來進行檢測，而，而基于主機的基于主機的IDSIDS并不查看包頭。并不查看包頭。主機主機IDSIDS往往不能識別基于往往不能識別基于IPIP的拒絕服務(wù)攻擊和碎片攻擊的拒絕服務(wù)攻擊和碎片攻擊； 3)3)基于網(wǎng)絡(luò)的基于網(wǎng)絡(luò)的IDSIDS可以研究數(shù)據(jù)包的內(nèi)容，查找特定攻可以研究數(shù)據(jù)包的內(nèi)容，查找特定攻擊中使用的命令或語法，這類攻擊可以被實時檢查包序列擊中使用的命令或語法，這類攻擊可以被實時檢查包序列的的IDSIDS迅速識別；而基于主機的系統(tǒng)無法看到負載，因此也迅速識別；而基于主機的系統(tǒng)無法看到負載，因此也無法識別嵌入式的數(shù)據(jù)包攻擊。無法識別嵌入式的數(shù)據(jù)包攻擊。2022-3-7

21、224 4、混合型入侵檢測系統(tǒng)（、混合型入侵檢測系統(tǒng)（Hybrid IDSHybrid IDS） 在新一代的入侵檢測系統(tǒng)中將把現(xiàn)在的基于網(wǎng)絡(luò)和基在新一代的入侵檢測系統(tǒng)中將把現(xiàn)在的基于網(wǎng)絡(luò)和基于主機這兩種檢測技術(shù)很好地集成起來，提供集成化的攻于主機這兩種檢測技術(shù)很好地集成起來，提供集成化的攻擊簽名檢測報告和事件關(guān)聯(lián)功能。擊簽名檢測報告和事件關(guān)聯(lián)功能。 可以深入地研究入侵事件入侵手段本身及被入侵目標可以深入地研究入侵事件入侵手段本身及被入侵目標的漏洞等的漏洞等。2022-3-723入侵檢測系統(tǒng)的功能（小結(jié)）入侵檢測系統(tǒng)的功能（小結(jié)）n1、監(jiān)視并分析用戶和系統(tǒng)的活動，查找非法用戶和合法用戶的越權(quán)操作

22、；n2、檢測系統(tǒng)配置的正確性和安全漏洞，并提示管理員修補漏洞；n3、對用戶的非正?；顒舆M行統(tǒng)計分析，發(fā)現(xiàn)入侵行為的規(guī)律；n4、檢查系統(tǒng)程序和數(shù)據(jù)一致性與正確性，如計算和比較文件系統(tǒng)的校驗；n5、能夠?qū)崟r對檢測到的入侵行為作出反應(yīng)；n6、操作系統(tǒng)的審計跟蹤管理。2022-3-7248.2 入侵檢測系統(tǒng)的組成 根據(jù)不同的網(wǎng)絡(luò)環(huán)境和系統(tǒng)的應(yīng)用，入侵檢測系統(tǒng)在根據(jù)不同的網(wǎng)絡(luò)環(huán)境和系統(tǒng)的應(yīng)用，入侵檢測系統(tǒng)在具體實現(xiàn)上也有所不同。從系統(tǒng)構(gòu)成上看，具體實現(xiàn)上也有所不同。從系統(tǒng)構(gòu)成上看，入侵檢測系統(tǒng)入侵檢測系統(tǒng)至少包括數(shù)據(jù)提取、人侵分析、響應(yīng)處理三個部分至少包括數(shù)據(jù)提取、人侵分析、響應(yīng)處理三個部分，另外，另外

23、還可能還可能結(jié)合安全知識庫、數(shù)據(jù)存儲等功能模塊結(jié)合安全知識庫、數(shù)據(jù)存儲等功能模塊，提供更為，提供更為完善的安全檢測及數(shù)據(jù)分析功能。如完善的安全檢測及數(shù)據(jù)分析功能。如19871987年年DenningDenning提出提出的通用入侵檢測模型主要由六部分構(gòu)成，的通用入侵檢測模型主要由六部分構(gòu)成，IDESIDES與它的后繼與它的后繼版本版本NIDESNIDES都完全基于都完全基于DenningDenning的模型；另外，在總結(jié)現(xiàn)有的模型；另外，在總結(jié)現(xiàn)有的入侵檢測系統(tǒng)的基礎(chǔ)上提出了一個入侵檢測系統(tǒng)的通用的入侵檢測系統(tǒng)的基礎(chǔ)上提出了一個入侵檢測系統(tǒng)的通用模型如圖模型如圖8-28-2所示。所示。 202

24、2-3-7258.2 入侵檢測系統(tǒng)的組成 通用入侵檢測框架通用入侵檢測框架 (Common Intrusion Detection (Common Intrusion Detection FrameworkFramework，CIDF)CIDF)把一個入侵檢測系統(tǒng)分為以下組件把一個入侵檢測系統(tǒng)分為以下組件: :圖圖8-2 CIDF8-2 CIDF的入侵檢測通用模型的入侵檢測通用模型2022-3-7268.2 入侵檢測系統(tǒng)的組成 CIDFCIDF把一個入侵檢測系統(tǒng)分為以下組件把一個入侵檢測系統(tǒng)分為以下組件: :事件產(chǎn)生器：事件產(chǎn)生器：負責原始數(shù)據(jù)采集，并將收集到的原始數(shù)據(jù)轉(zhuǎn)負責原始數(shù)據(jù)采集，并將

25、收集到的原始數(shù)據(jù)轉(zhuǎn)換為事件，向系統(tǒng)的其他部分提供此事件，又稱傳感器換為事件，向系統(tǒng)的其他部分提供此事件，又稱傳感器(sensor)(sensor)。事件分析器：事件分析器：接收事件信息，對其進行分析，判斷是否為入接收事件信息，對其進行分析，判斷是否為入侵行為或異常現(xiàn)象，最后將判斷結(jié)果變?yōu)榫嫘畔?。侵行為或異常現(xiàn)象，最后將判斷結(jié)果變?yōu)榫嫘畔ⅰＪ录?shù)據(jù)庫：事件數(shù)據(jù)庫：存放各種中間和最終入侵信息的地方，并從事存放各種中間和最終入侵信息的地方，并從事件產(chǎn)生器和事件分析器接收需要保存的事件，一般會將數(shù)件產(chǎn)生器和事件分析器接收需要保存的事件，一般會將數(shù)據(jù)長時間保存。據(jù)長時間保存。事件響應(yīng)器：事件響應(yīng)器：

26、是根據(jù)入侵檢測的結(jié)果，對入侵的行為作出適是根據(jù)入侵檢測的結(jié)果，對入侵的行為作出適當?shù)姆从?，可選的響應(yīng)措施包括主動響應(yīng)和被動響應(yīng)。當?shù)姆从?，可選的響應(yīng)措施包括主動響應(yīng)和被動響應(yīng)。2022-3-7278.2 入侵檢測系統(tǒng)的組成IDSIDS的基本結(jié)構(gòu)的基本結(jié)構(gòu) 無論無論IDSIDS系統(tǒng)是網(wǎng)絡(luò)型的還是主機型的，從功能上看，都可系統(tǒng)是網(wǎng)絡(luò)型的還是主機型的，從功能上看，都可分為兩大部分：探測引擎和控制中心。前者用于讀取原始數(shù)據(jù)和分為兩大部分：探測引擎和控制中心。前者用于讀取原始數(shù)據(jù)和產(chǎn)生事件；后者用于顯示和分析事件以及策略定制等工作。產(chǎn)生事件；后者用于顯示和分析事件以及策略定制等工作。 2022-3-72

27、88.2 入侵檢測系統(tǒng)的組成（續(xù)）IDSIDS的基本結(jié)構(gòu)的基本結(jié)構(gòu) 圖圖8-3 8-3 引擎的工作流程引擎的工作流程 引擎的主要功能引擎的主要功能為：原始數(shù)據(jù)讀取、為：原始數(shù)據(jù)讀取、數(shù)據(jù)分析、產(chǎn)生事件、數(shù)據(jù)分析、產(chǎn)生事件、策略匹配、事件處理、策略匹配、事件處理、通信等功能通信等功能 2022-3-7298.2 入侵檢測系統(tǒng)的組成（續(xù)）IDSIDS的基本結(jié)構(gòu)的基本結(jié)構(gòu) 圖圖8-4 8-4 控制中心的工作流程控制中心的工作流程 控制中心的主要功能為：通信、事件讀取、事件顯示、策控制中心的主要功能為：通信、事件讀取、事件顯示、策略定制、日志分析、系統(tǒng)幫助等。略定制、日志分析、系統(tǒng)幫助等。通信事件讀取

28、事件顯示策略定制日志分析系統(tǒng)幫助事件/策略數(shù)據(jù)庫2022-3-7308.38.3入侵檢測的相關(guān)技術(shù)入侵檢測的相關(guān)技術(shù)IDSIDS采用的技術(shù)采用的技術(shù) 入侵檢測主要通過專家系統(tǒng)、模式匹配、協(xié)議分析入侵檢測主要通過專家系統(tǒng)、模式匹配、協(xié)議分析或狀態(tài)轉(zhuǎn)換等方法來確定入侵行為。入侵檢測技術(shù)有：或狀態(tài)轉(zhuǎn)換等方法來確定入侵行為。入侵檢測技術(shù)有：靜態(tài)配置分析技術(shù)靜態(tài)配置分析技術(shù)異常檢測技術(shù)異常檢測技術(shù)誤用檢測技術(shù)誤用檢測技術(shù) 1 1靜態(tài)配置分析技術(shù)靜態(tài)配置分析技術(shù) 靜態(tài)配置分析是通過檢查系統(tǒng)的當前系統(tǒng)配置，諸靜態(tài)配置分析是通過檢查系統(tǒng)的當前系統(tǒng)配置，諸如系統(tǒng)文件的內(nèi)容或系統(tǒng)表，來檢查系統(tǒng)是否已經(jīng)或者如系統(tǒng)文

29、件的內(nèi)容或系統(tǒng)表，來檢查系統(tǒng)是否已經(jīng)或者可能會遭到破壞。可能會遭到破壞。靜態(tài)是指檢查系統(tǒng)的靜態(tài)特征靜態(tài)是指檢查系統(tǒng)的靜態(tài)特征( (系統(tǒng)配系統(tǒng)配置信息置信息) )，而不是系統(tǒng)中的活動，而不是系統(tǒng)中的活動。 2022-3-7318.38.3入侵檢測的相關(guān)技術(shù)（續(xù)）入侵檢測的相關(guān)技術(shù)（續(xù)）IDSIDS采用的技術(shù)采用的技術(shù) 2 2、異常檢測技術(shù)、異常檢測技術(shù) 通過對系統(tǒng)審計數(shù)據(jù)的分析通過對系統(tǒng)審計數(shù)據(jù)的分析建立起系統(tǒng)主體建立起系統(tǒng)主體( (單個用戶、單個用戶、一組用戶、主機，甚至是系統(tǒng)中的某個關(guān)鍵的程序和文件等一組用戶、主機，甚至是系統(tǒng)中的某個關(guān)鍵的程序和文件等) )的的正常行為特征輪廓正常行為特征輪

30、廓；檢測時，如果系統(tǒng)中的審計數(shù)據(jù)與已建；檢測時，如果系統(tǒng)中的審計數(shù)據(jù)與已建立的主體的正常行為特征有立的主體的正常行為特征有較大出入較大出入就認為是一個入侵行為。就認為是一個入侵行為。這一檢測方法稱這一檢測方法稱“異常檢測技術(shù)異常檢測技術(shù)”。 一般采用統(tǒng)計或基于規(guī)則描述的方法一般采用統(tǒng)計或基于規(guī)則描述的方法建立系統(tǒng)主體的行為建立系統(tǒng)主體的行為特征輪廓，即統(tǒng)計性特征輪廓和基于規(guī)則描述的特征輪廓特征輪廓，即統(tǒng)計性特征輪廓和基于規(guī)則描述的特征輪廓。2022-3-7328.38.3入侵檢測的相關(guān)技術(shù)（續(xù)）入侵檢測的相關(guān)技術(shù)（續(xù)）IDSIDS采用的技術(shù)采用的技術(shù) 3 3誤用檢測技術(shù)誤用檢測技術(shù) 誤用檢測技

31、術(shù)誤用檢測技術(shù)(Misuse Detection)(Misuse Detection)通過檢測用戶行為中通過檢測用戶行為中的那些與某些已知的入侵行為模式類似的行為或那些利用系統(tǒng)的那些與某些已知的入侵行為模式類似的行為或那些利用系統(tǒng)中缺陷或是間接地違背系統(tǒng)安全規(guī)則的行為，來檢測系統(tǒng)中的中缺陷或是間接地違背系統(tǒng)安全規(guī)則的行為，來檢測系統(tǒng)中的入侵活動，是一種入侵活動，是一種基于已有知識的檢測基于已有知識的檢測。 這種入侵檢測技術(shù)的主要局限在于它只是根據(jù)已知的入侵這種入侵檢測技術(shù)的主要局限在于它只是根據(jù)已知的入侵序列和系統(tǒng)缺陷的模式來檢測系統(tǒng)中的可疑行為，序列和系統(tǒng)缺陷的模式來檢測系統(tǒng)中的可疑行為，而

32、不能處理而不能處理對新的入侵攻擊行為以及未知的、潛在的系統(tǒng)缺陷的檢測對新的入侵攻擊行為以及未知的、潛在的系統(tǒng)缺陷的檢測。2022-3-7338.38.3入侵檢測的相關(guān)技術(shù)（續(xù)）入侵檢測的相關(guān)技術(shù)（續(xù)）入侵檢測入侵檢測分析分析技術(shù)的比較技術(shù)的比較 1 1模式匹配的缺陷模式匹配的缺陷 1 1）計算負荷大）計算負荷大 2 2）檢測準確率低）檢測準確率低 2 2協(xié)議分析新技術(shù)的優(yōu)勢協(xié)議分析新技術(shù)的優(yōu)勢 1 1）提高了性能）提高了性能 2 2）提高了準確性）提高了準確性 3 3）反規(guī)避能力）反規(guī)避能力 4 4）系統(tǒng)資源開銷?。┫到y(tǒng)資源開銷小 2022-3-7348.38.3入侵檢測的相關(guān)技術(shù)（續(xù)）入侵檢

33、測的相關(guān)技術(shù)（續(xù)）入侵檢測系統(tǒng)的性能指標1 1、入侵檢測系統(tǒng)的主要相關(guān)術(shù)語：、入侵檢測系統(tǒng)的主要相關(guān)術(shù)語： 警告警告(Alert/Alarm)(Alert/Alarm)：用來表示一個系統(tǒng)被攻擊者攻擊，用來表示一個系統(tǒng)被攻擊者攻擊，一般包含從攻擊內(nèi)容中得到的攻擊信息，或者異常事件和統(tǒng)一般包含從攻擊內(nèi)容中得到的攻擊信息，或者異常事件和統(tǒng)計信息。計信息。 誤警誤警(False Positive)(False Positive)：也成誤報，指入侵檢測系統(tǒng)對也成誤報，指入侵檢測系統(tǒng)對那些良性事件的報警，這表明那些良性事件的報警，這表明IDSIDS的錯誤報警，太多的誤警的錯誤報警，太多的誤警可能導致正常的

34、報警事件被淹沒?？赡軐е抡５膱缶录谎蜎]。 漏警漏警(False Negative)(False Negative)：也稱漏報，當一個攻擊事件已也稱漏報，當一個攻擊事件已經(jīng)發(fā)生，而入侵檢測系統(tǒng)卻沒有有效地檢測出來，如果漏警經(jīng)發(fā)生，而入侵檢測系統(tǒng)卻沒有有效地檢測出來，如果漏警太多，或者關(guān)鍵入侵事件的漏報就使入侵檢測系統(tǒng)失去了其太多，或者關(guān)鍵入侵事件的漏報就使入侵檢測系統(tǒng)失去了其存在意義；存在意義；2022-3-7358.38.3入侵檢測的相關(guān)技術(shù)（續(xù)）入侵檢測的相關(guān)技術(shù)（續(xù)）噪聲噪聲(Noise)(Noise)：指入侵檢測系統(tǒng)生成但又沒有真正威脅的報指入侵檢測系統(tǒng)生成但又沒有真正威脅的報警，

35、這些報警是正確的，并且也是可疑的，如配置于防火警，這些報警是正確的，并且也是可疑的，如配置于防火墻之外的入侵檢測系統(tǒng)檢測到的掃描事件，可能被防火墻墻之外的入侵檢測系統(tǒng)檢測到的掃描事件，可能被防火墻過濾而沒有產(chǎn)生掃描攻擊，但是入侵檢測系統(tǒng)卻檢測到并過濾而沒有產(chǎn)生掃描攻擊，但是入侵檢測系統(tǒng)卻檢測到并產(chǎn)生報警。產(chǎn)生報警。重復報警重復報警(Repetitive Alarm)(Repetitive Alarm)： 指入侵檢測系統(tǒng)對某一入指入侵檢測系統(tǒng)對某一入侵事件的反復報警，重復報警并不表示入侵檢測系統(tǒng)的錯侵事件的反復報警，重復報警并不表示入侵檢測系統(tǒng)的錯誤行為，太多的重復報警也可能使網(wǎng)絡(luò)管理員產(chǎn)生視覺

36、疲誤行為，太多的重復報警也可能使網(wǎng)絡(luò)管理員產(chǎn)生視覺疲勞，影響對其他攻擊產(chǎn)生適當響應(yīng)，另外與其他安全技術(shù)勞，影響對其他攻擊產(chǎn)生適當響應(yīng)，另外與其他安全技術(shù)協(xié)同工作也可能產(chǎn)生嚴重問題，過多的重復報警可能會產(chǎn)協(xié)同工作也可能產(chǎn)生嚴重問題，過多的重復報警可能會產(chǎn)生拒絕服務(wù)。生拒絕服務(wù)。入侵檢測系統(tǒng)的性能指標2022-3-736入侵檢測系統(tǒng)的性能指標入侵檢測系統(tǒng)的性能指標2 2、準確性指標準確性指標在很大程度上取決于測試時采用的樣本集和測試環(huán)境。包括：在很大程度上取決于測試時采用的樣本集和測試環(huán)境。包括：檢測率檢測率(%)(%)：指被監(jiān)控系統(tǒng)在受到入侵攻擊時，檢測系統(tǒng)能：指被監(jiān)控系統(tǒng)在受到入侵攻擊時，檢測

37、系統(tǒng)能夠正確報警的概率。通常利用已知入侵攻擊的實驗數(shù)據(jù)夠正確報警的概率。通常利用已知入侵攻擊的實驗數(shù)據(jù)集合來測試系統(tǒng)的檢測率。其值為：檢測到的攻擊數(shù)集合來測試系統(tǒng)的檢測率。其值為：檢測到的攻擊數(shù)/ /攻擊事件總數(shù)；攻擊事件總數(shù)；誤警率誤警率(%)(%)：是指把那些正確事件誤報為攻擊以及把一種攻：是指把那些正確事件誤報為攻擊以及把一種攻擊行為誤報為另一種攻擊的概率，其值為：擊行為誤報為另一種攻擊的概率，其值為：1 1( (正確的正確的告警數(shù)告警數(shù)/ /總的告警數(shù)總的告警數(shù)) )；漏警率漏警率(%)(%)：已經(jīng)攻擊而沒有檢測出來的攻擊占所有攻擊的：已經(jīng)攻擊而沒有檢測出來的攻擊占所有攻擊的概率，通常

38、利用已知入侵攻擊的實驗數(shù)據(jù)集合來測試系概率，通常利用已知入侵攻擊的實驗數(shù)據(jù)集合來測試系統(tǒng)的漏報率。其值為統(tǒng)的漏報率。其值為( (攻擊事件檢測到的攻擊數(shù)攻擊事件檢測到的攻擊數(shù))/)/攻攻擊事件總數(shù)；擊事件總數(shù)；重復報警率重復報警率(%)(%)：重復報警占所有報警的比率，其值為重復：重復報警占所有報警的比率，其值為重復報警數(shù)報警數(shù)/ /總的報警數(shù)。總的報警數(shù)。8.38.3入侵檢測的相關(guān)技術(shù)（續(xù)）入侵檢測的相關(guān)技術(shù)（續(xù)）2022-3-737入侵檢測系統(tǒng)的性能指標入侵檢測系統(tǒng)的性能指標3 3、效率指標效率指標 根據(jù)用戶系統(tǒng)的實際需求，根據(jù)用戶系統(tǒng)的實際需求，以保證入侵檢測準確以保證入侵檢測準確性的前提

39、下，提高入侵檢測系統(tǒng)的最大處理能力性的前提下，提高入侵檢測系統(tǒng)的最大處理能力。效。效率指標也取決于不同的設(shè)備級別，如百兆網(wǎng)絡(luò)環(huán)境下率指標也取決于不同的設(shè)備級別，如百兆網(wǎng)絡(luò)環(huán)境下和千兆網(wǎng)絡(luò)環(huán)境下入侵檢測系統(tǒng)的效率指標一定有很和千兆網(wǎng)絡(luò)環(huán)境下入侵檢測系統(tǒng)的效率指標一定有很大差別。效率指標主要包括：大差別。效率指標主要包括：最大處理能力、每秒能最大處理能力、每秒能監(jiān)控的網(wǎng)絡(luò)連接數(shù)、每秒能夠處理的事件數(shù)等監(jiān)控的網(wǎng)絡(luò)連接數(shù)、每秒能夠處理的事件數(shù)等。8.38.3入侵檢測的相關(guān)技術(shù)（續(xù)）入侵檢測的相關(guān)技術(shù)（續(xù)）2022-3-738入侵檢測系統(tǒng)的性能指標入侵檢測系統(tǒng)的性能指標n最大處理能力最大處理能力： 指網(wǎng)

40、絡(luò)入侵檢測系統(tǒng)在維持其正常檢測率的情況指網(wǎng)絡(luò)入侵檢測系統(tǒng)在維持其正常檢測率的情況下，系統(tǒng)低于其漏警指標的最大網(wǎng)絡(luò)流量。下，系統(tǒng)低于其漏警指標的最大網(wǎng)絡(luò)流量。目的是驗目的是驗證系統(tǒng)在維持正常檢測的情況下能夠正常報警的最大證系統(tǒng)在維持正常檢測的情況下能夠正常報警的最大流量。流量。以每秒數(shù)據(jù)流量（以每秒數(shù)據(jù)流量（MbpsMbps或或GbpsGbps）來表示。取決）來表示。取決于三個因素，其一是入侵檢測系統(tǒng)抓包能力，其二是于三個因素，其一是入侵檢測系統(tǒng)抓包能力，其二是分析引擎的分析能力，最后還與數(shù)據(jù)包的大小有直接分析引擎的分析能力，最后還與數(shù)據(jù)包的大小有直接關(guān)系，相同流量下，網(wǎng)絡(luò)數(shù)據(jù)包越小，數(shù)據(jù)包越多

41、，關(guān)系，相同流量下，網(wǎng)絡(luò)數(shù)據(jù)包越小，數(shù)據(jù)包越多，處理能力越差。處理能力越差。8.38.3入侵檢測的相關(guān)技術(shù)（續(xù)）入侵檢測的相關(guān)技術(shù)（續(xù)）2022-3-739入侵檢測系統(tǒng)的性能指標入侵檢測系統(tǒng)的性能指標n每秒能監(jiān)控的網(wǎng)絡(luò)連接數(shù)每秒能監(jiān)控的網(wǎng)絡(luò)連接數(shù)：網(wǎng)絡(luò)入侵檢測系統(tǒng)不僅要：網(wǎng)絡(luò)入侵檢測系統(tǒng)不僅要對單個的數(shù)據(jù)包作檢測，對單個的數(shù)據(jù)包作檢測，還要將相同網(wǎng)絡(luò)連接的數(shù)據(jù)還要將相同網(wǎng)絡(luò)連接的數(shù)據(jù)包組合起來作分析包組合起來作分析。網(wǎng)絡(luò)連接的跟蹤能力和數(shù)據(jù)包重網(wǎng)絡(luò)連接的跟蹤能力和數(shù)據(jù)包重組能力是網(wǎng)絡(luò)入侵檢測系統(tǒng)進行協(xié)議分析、應(yīng)用層入組能力是網(wǎng)絡(luò)入侵檢測系統(tǒng)進行協(xié)議分析、應(yīng)用層入侵分析的基礎(chǔ)侵分析的基礎(chǔ)。例如：

42、檢測利用。例如：檢測利用HTTPHTTP協(xié)議的攻擊、敏協(xié)議的攻擊、敏感內(nèi)容檢測、郵件檢測、感內(nèi)容檢測、郵件檢測、TelnetTelnet會話的記錄與回放、會話的記錄與回放、硬盤共享的監(jiān)控等。硬盤共享的監(jiān)控等。n每秒能夠處理的事件數(shù)每秒能夠處理的事件數(shù)：網(wǎng)絡(luò)入侵檢測系統(tǒng)檢測到網(wǎng)：網(wǎng)絡(luò)入侵檢測系統(tǒng)檢測到網(wǎng)絡(luò)攻擊和可疑事件后，會生成安全事件或稱報警事件，絡(luò)攻擊和可疑事件后，會生成安全事件或稱報警事件，并將事件記錄在事件日志中。每秒能夠處理的事件數(shù)，并將事件記錄在事件日志中。每秒能夠處理的事件數(shù)，反映了檢測分析引擎的處理能力和事件日志記錄的后反映了檢測分析引擎的處理能力和事件日志記錄的后端處理能力。端

43、處理能力。8.38.3入侵檢測的相關(guān)技術(shù)（續(xù)）入侵檢測的相關(guān)技術(shù)（續(xù)）2022-3-740入侵檢測系統(tǒng)的性能指標入侵檢測系統(tǒng)的性能指標n系統(tǒng)指標系統(tǒng)指標 系統(tǒng)指標主要表示系統(tǒng)本身運行的穩(wěn)定性和使用系統(tǒng)指標主要表示系統(tǒng)本身運行的穩(wěn)定性和使用的方便性。系統(tǒng)指標主要包括：最大規(guī)則數(shù)、平均的方便性。系統(tǒng)指標主要包括：最大規(guī)則數(shù)、平均無故障間隔等。無故障間隔等。 最大規(guī)則數(shù)最大規(guī)則數(shù)：系統(tǒng)允許配置的入侵檢測規(guī)則條目：系統(tǒng)允許配置的入侵檢測規(guī)則條目的最大數(shù)目。的最大數(shù)目。 平均無故障間隔平均無故障間隔：系統(tǒng)無故障連續(xù)工作的時間。：系統(tǒng)無故障連續(xù)工作的時間。8.38.3入侵檢測的相關(guān)技術(shù)（續(xù)）入侵檢測的相關(guān)

44、技術(shù)（續(xù)）2022-3-741入侵檢測系統(tǒng)的性能指標入侵檢測系統(tǒng)的性能指標n其它指標其它指標系統(tǒng)結(jié)構(gòu)：系統(tǒng)結(jié)構(gòu)：完備的完備的IDSIDS應(yīng)能采用分級、遠距離分式式部署和管理。應(yīng)能采用分級、遠距離分式式部署和管理。8.38.3入侵檢測的相關(guān)技術(shù)（續(xù)）入侵檢測的相關(guān)技術(shù)（續(xù)）2022-3-7428.38.3入侵檢測的相關(guān)技術(shù)（續(xù)）入侵檢測的相關(guān)技術(shù)（續(xù)）事件數(shù)量：事件數(shù)量：考察考察IDSIDS系統(tǒng)的一個關(guān)鍵性指標是報警事件的系統(tǒng)的一個關(guān)鍵性指標是報警事件的多少。一般而言，事件越多，表明多少。一般而言，事件越多，表明IDSIDS系統(tǒng)能夠處理的能系統(tǒng)能夠處理的能力越強。力越強。 處理帶寬處理帶寬 ：I

45、DSIDS的處理帶寬，即的處理帶寬，即IDSIDS能夠處理的網(wǎng)絡(luò)流量，能夠處理的網(wǎng)絡(luò)流量，是是IDSIDS的一個重要性能。目前的網(wǎng)絡(luò)的一個重要性能。目前的網(wǎng)絡(luò)IDSIDS系統(tǒng)一般能夠處系統(tǒng)一般能夠處理理202030M30M網(wǎng)絡(luò)流量，經(jīng)過專門定制的系統(tǒng)可以勉強處理網(wǎng)絡(luò)流量，經(jīng)過專門定制的系統(tǒng)可以勉強處理404060M60M的流量。的流量。 入侵檢測系統(tǒng)的性能指標2022-3-7438.38.3入侵檢測的相關(guān)技術(shù)（續(xù)）入侵檢測的相關(guān)技術(shù)（續(xù)） 入侵檢測系統(tǒng)的性能指標探測引擎與控制中心的通信：探測引擎與控制中心的通信：作為分布式結(jié)構(gòu)的作為分布式結(jié)構(gòu)的IDSIDS系統(tǒng)，系統(tǒng)，通信是其自身安全的關(guān)鍵因素

46、。通信是其自身安全的關(guān)鍵因素。通信安全通過身份認證通信安全通過身份認證和數(shù)據(jù)加密兩種方法來實現(xiàn)和數(shù)據(jù)加密兩種方法來實現(xiàn)。 身份認證是要保證一個引擎，或者子控制中心只能身份認證是要保證一個引擎，或者子控制中心只能由固定的上級進行控制，任何非法的控制行為將予以阻由固定的上級進行控制，任何非法的控制行為將予以阻止。止。身份認證采用非對稱加密算法，通過擁有對方的公身份認證采用非對稱加密算法，通過擁有對方的公鑰，進行加密、解密完成身份認證鑰，進行加密、解密完成身份認證。2022-3-7448.38.3入侵檢測的相關(guān)技術(shù)（續(xù)）入侵檢測的相關(guān)技術(shù)（續(xù)） 入侵檢測系統(tǒng)的性能指標事件定義：事件定義：事件的可定義

47、性或可定義事件是事件的可定義性或可定義事件是IDSIDS的一個主要的一個主要特性。特性。 二次事件：二次事件：對事件進行實時統(tǒng)計分析，并產(chǎn)生新的高級事對事件進行實時統(tǒng)計分析，并產(chǎn)生新的高級事件能力。件能力。事件響應(yīng)：事件響應(yīng)：通過事件上報、事件日志、通過事件上報、事件日志、EmailEmail通知、手機短通知、手機短信息、語音報警等方式進行響應(yīng)，也可通過信息、語音報警等方式進行響應(yīng)，也可通過TCPTCP阻斷、防火阻斷、防火墻聯(lián)動等方式主動響應(yīng)。墻聯(lián)動等方式主動響應(yīng)。2022-3-7458.38.3入侵檢測的相關(guān)技術(shù)（續(xù)）入侵檢測的相關(guān)技術(shù)（續(xù)） 入侵檢測系統(tǒng)的性能指標自身安全：自身安全：自身安

48、全指的是自身安全指的是探測引擎的安全性探測引擎的安全性。要有良。要有良好的隱蔽性，一般使用定制的操作系統(tǒng)。好的隱蔽性，一般使用定制的操作系統(tǒng)。終端安全終端安全 ：主要指控制中心的安全性。有多個用戶、多主要指控制中心的安全性。有多個用戶、多個級別的控制中心，不同的用戶應(yīng)該有不同的權(quán)限，保個級別的控制中心，不同的用戶應(yīng)該有不同的權(quán)限，保證控制中心的安全性。證控制中心的安全性。2022-3-7468.38.3入侵檢測的相關(guān)技術(shù)（續(xù)）入侵檢測的相關(guān)技術(shù)（續(xù)） 入侵檢測系統(tǒng)面臨的主要問題 入侵檢測系統(tǒng)作為一種新型網(wǎng)絡(luò)安全防護手段，發(fā)揮入侵檢測系統(tǒng)作為一種新型網(wǎng)絡(luò)安全防護手段，發(fā)揮很大作用，但是與諸如防火

49、墻等技術(shù)高度成熟的產(chǎn)品相比，很大作用，但是與諸如防火墻等技術(shù)高度成熟的產(chǎn)品相比，入侵檢測系統(tǒng)還存在相當多的問題：入侵檢測系統(tǒng)還存在相當多的問題：1 1、層出不窮的入侵手段、層出不窮的入侵手段2 2、越來越多的信息采用加密的方法傳輸、越來越多的信息采用加密的方法傳輸3 3、不斷增大的網(wǎng)絡(luò)流量、不斷增大的網(wǎng)絡(luò)流量4 4、缺乏標準、缺乏標準5 5、誤報率過高、誤報率過高2022-3-7478.4 8.4 入侵檢測系統(tǒng)入侵檢測系統(tǒng)SnortSnort8.4.1 Snort概述概述 nSnortSnort是一個功能強大、跨平臺、輕量級的網(wǎng)絡(luò)入侵檢是一個功能強大、跨平臺、輕量級的網(wǎng)絡(luò)入侵檢測系統(tǒng)，從入侵檢

50、測分類上來看，測系統(tǒng)，從入侵檢測分類上來看，SnortSnort應(yīng)該是個基于應(yīng)該是個基于網(wǎng)絡(luò)和誤用的入侵檢測軟件。它可以運行在網(wǎng)絡(luò)和誤用的入侵檢測軟件。它可以運行在LinuxLinux、OpenBSDOpenBSD、FreeBSDFreeBSD、SolarisSolaris、以及其它、以及其它Unix Unix 系統(tǒng)、系統(tǒng)、WindowsWindows等操作系統(tǒng)之上。等操作系統(tǒng)之上。SnortSnort是一個用是一個用C C語言編寫的語言編寫的開放源代碼軟件，符合開放源代碼軟件，符合GPL(GNUGPL(GNU通用公共許可證通用公共許可證 GNU GNU General Public Lice

51、nse)General Public License)的要求，由于其是開源且免的要求，由于其是開源且免費的，許多研究和使用入侵檢測系統(tǒng)都是從費的，許多研究和使用入侵檢測系統(tǒng)都是從SnortSnort開始，開始，因而因而SnortSnort在入侵檢測系統(tǒng)方面占有重要地位。在入侵檢測系統(tǒng)方面占有重要地位。SnortSnort的的網(wǎng)站是網(wǎng)站是。用戶可以登陸網(wǎng)站得到。用戶可以登陸網(wǎng)站得到源代碼，在源代碼，在LinuxLinux和和WindowsWindows環(huán)境下的安裝可執(zhí)行文件，環(huán)境下的安裝可執(zhí)行文件，并可以下載描述入侵特征

52、的規(guī)則文件。并可以下載描述入侵特征的規(guī)則文件。2022-3-7488.4 8.4 入侵檢測系統(tǒng)入侵檢測系統(tǒng)SnortSnort.2系統(tǒng)組成和處理流程系統(tǒng)組成和處理流程 圖85 Snort程序流程圖2022-3-7498.4 8.4 入侵檢測系統(tǒng)入侵檢測系統(tǒng)SnortSnort（續(xù)）（續(xù)）n雖然雖然SnortSnort是一個輕量級的入侵檢測系統(tǒng)，但是它的功能是一個輕量級的入侵檢測系統(tǒng)，但是它的功能卻非常強大，其特點如下：卻非常強大，其特點如下： 1 1、跨平臺性、跨平臺性 2 2、功能完備、功能完備 3 3、使用插件的形式、使用插件的形式 4 4、SnortSnort規(guī)則描述簡單

53、規(guī)則描述簡單nSnortSnort基于規(guī)則的檢測機制十分簡單和靈活，使得可以迅基于規(guī)則的檢測機制十分簡單和靈活，使得可以迅速對新的入侵行為做出反應(yīng)，發(fā)現(xiàn)網(wǎng)絡(luò)中潛在的安全漏速對新的入侵行為做出反應(yīng)，發(fā)現(xiàn)網(wǎng)絡(luò)中潛在的安全漏洞。同時該網(wǎng)站提供幾乎與洞。同時該網(wǎng)站提供幾乎與http:/（應(yīng)急（應(yīng)急響應(yīng)中心，負責全球的網(wǎng)絡(luò)安全事件以及漏洞的發(fā)布）響應(yīng)中心，負責全球的網(wǎng)絡(luò)安全事件以及漏洞的發(fā)布）同步的規(guī)則庫更新，因此甚至許多商業(yè)的入侵檢測軟件同步的規(guī)則庫更新，因此甚至許多商業(yè)的入侵檢測軟件直接就使用直接就使用SnortSnort的規(guī)則庫。的規(guī)則庫

54、。2022-3-7501、SNORT的優(yōu)點的優(yōu)點snortsnort是一個輕量級的入侵檢測系統(tǒng)是一個輕量級的入侵檢測系統(tǒng) snortsnort的可移植性很好的可移植性很好 snortsnort的功能非常強大的功能非常強大 擴展性能較好，對于新的攻擊威脅反應(yīng)迅速擴展性能較好，對于新的攻擊威脅反應(yīng)迅速 snortsnort的擴展能力較強。的擴展能力較強。遵循公共通用許可證遵循公共通用許可證GPLGPL2022-3-751 2、SNORT的安裝的安裝 （1 1）如何獲得）如何獲得snortsnort 可以從可以從snortsnort的站點的站點httphttp：//www.

55、獲得其源獲得其源代碼或者代碼或者RPMRPM包。使用源代碼安裝包。使用源代碼安裝snortsnort需要需要libpcaplibpcap庫，庫，可以從可以從ftpftp：//下載下載。 （2 2）安裝）安裝snortsnort bash#rpm -ihv -nodepsbash#rpm -ihv -nodeps snort-1.7-1.i386.rpm snort-1.7-1.i386.rpm 2022-3-752 3、SNORT的應(yīng)用的應(yīng)用 （1 1）作為嗅探器）作為嗅探器 把把TCP/IPTCP/IP包頭信息打印在屏

56、幕上，輸入下面的命令：包頭信息打印在屏幕上，輸入下面的命令： ./snort -v./snort -v 要看到應(yīng)用層的數(shù)據(jù)，可以使用下面的命令：要看到應(yīng)用層的數(shù)據(jù)，可以使用下面的命令： ./snort -vd./snort -vd 要顯示數(shù)據(jù)鏈路層的信息，使用下面的命令：要顯示數(shù)據(jù)鏈路層的信息，使用下面的命令： ./snort -vde./snort -vde 下面的命令就和上面最后的一條命令等價：下面的命令就和上面最后的一條命令等價： ./snort -d -v -e./snort -d -v -e2022-3-753 （2 2）記錄數(shù)據(jù)包）記錄數(shù)據(jù)包 指定一個日志目錄：指定一個日志目錄：

57、./snort -dev -l ./log./snort -dev -l ./log 目錄以數(shù)據(jù)包目的主機的目錄以數(shù)據(jù)包目的主機的IPIP地址命名，例如地址命名，例如： ./snort -dev -l ./log -h /24./snort -dev -l ./log -h /24 把所有的包日志到一個單一的二進制文件中：把所有的包日志到一個單一的二進制文件中： ./snort -l ./log -b./snort -l ./log -b 在嗅探器模式下把一個在嗅探器模式下把一個tcpdumptcpdu

58、mp格式的二進制文件中的格式的二進制文件中的包打印到屏幕上，可以輸入下面的命令：包打印到屏幕上，可以輸入下面的命令： ./snort -dv -r packet.log./snort -dv -r packet.log 從日志文件中提取從日志文件中提取ICMPICMP包，只需要輸入下面的命令行：包，只需要輸入下面的命令行： ./snort -dvr packet.log icmp./snort -dvr packet.log icmp2022-3-754 （3 3）作為入侵檢測系統(tǒng)）作為入侵檢測系統(tǒng) 使用下面命令行可以啟動入侵檢測模式：使用下面命令行可以啟動入侵檢測模式： ./snort -d

59、ev -l ./log -h /24 -c ./snort -dev -l ./log -h /24 -c snort.confsnort.conf 如果想長期使用如果想長期使用snortsnort作為自己的入侵檢測系統(tǒng)，最作為自己的入侵檢測系統(tǒng)，最好不要使用好不要使用-v-v選項。因為使用這個選項，使選項。因為使用這個選項，使snortsnort向屏幕向屏幕上輸出一些信息，會大大降低上輸出一些信息，會大大降低snortsnort的處理速度，從而在的處理速度，從而在向顯示器輸出的過程中丟棄一些包。向顯示器輸出的過程中丟棄一些包。 此外，在絕大多數(shù)情況

60、下，也沒有必要記錄數(shù)據(jù)鏈此外，在絕大多數(shù)情況下，也沒有必要記錄數(shù)據(jù)鏈路層的包頭，所以路層的包頭，所以-e-e選項也可以不用：選項也可以不用： ./snort -d -h /24 -l ./log -c ./snort -d -h /24 -l ./log -c snort.confsnort.conf2022-3-755 （4 4）配置實例配置實例 使用默認的日志方式（以解碼的使用默認的日志方式（以解碼的ASCIIASCII格式）并格式）并且把報警發(fā)給且把報警發(fā)給syslogsyslog： ./snort -c snort.conf./snort -