成果网络安全ns

1、IDS提供了主动的防御作为动态的提供了对内部防御技术，检测、外部的实时保护，使得网络系统在受到危害之前和响应防御因此，为。提供了主动的检测系统得到了业界和研究界的广泛关注，是的研究热点。2检测1.IDS简介检测源于传统的系统审计，从八十年代初期提出的理论雏形到实现商品化的今天已经走过了三十多年的历史。作为一项主动的权对象（用户或进程）技术，它能够检测未授系统（主机或网络）的用，行为，对象对系统的使并保存相关行为的法律证据，并可根据配置的要求在特定的情况下采取必要的响应措施（警报、驱除、防卫反击等）。3检测与检测系统?就是试图破坏网络信息的性、网络完整性和可用性的行为。方式一般有：(1) 未(2

2、) 已经经的用户系统；的用户企图获得更高权限，或者是已的用户所给定的权限等。检测是监测计算机网络和系统，以发的过程。现安全策略4检测检测系统检测系统（IDS，Intrusion Detection Systems）则是自动监视出现在计算机或网络系统中的断是否有，分析这些，从而判发生的软件或硬件。检测系统是实现般位于内部网的后面，用于检测外部监测的系统，一处，安装在者的的和内部用户的活动。5检测检测系统的主要功能(1)监视分析用户和系统的行为；(2)审计系统配置和漏洞； (3)评估敏感系统和数据的完整性；(4)识别行为；(5)对异常行为进行统计；(6)自动收集与系统相关的补丁；(7)进行审计跟踪

3、,识别为；(8)使用诱骗服务器安全策略的行行为；6检测检测系统的主要功能（续1）(9)使系统管理员可以较有效地监视、审计、评估的系统。此外，由于以大多数检测和响应密切相关，所检测系统都具有响应的功能。7检测检测系统的发展历史(1) 安全审计阶段审计的定义是：产生、并检查按时间顺序排列的系统的过程。审计系统包括审计跟踪产生器、日志器、分析器和报告机制。而所有审计的前提是有一个支配审计过程的规则集。因规则的确切形式和内容的不同可将审计划分为金融审计、管理审计和安全审计等。在安全审计中，规则集通常以安全策略的形式表达。8检测检测系统的诞生阶段(2)1980年，James P. Anderson在为美

4、国的一份中提出了基准监视器的概念，该报告检测系统的开创性工作。被认为是在这份报告中，他建议改变计算机审计机制，以便为跟踪问题的计算机安全提供信息。Anderson的报告还清楚地阐述了安全审计机制的目标。其后Anderson还建议：一些用户行为的一些统计分析应当具备判不正常使用模式的能力，这或许是可以用来发现者的法。9检测19841986年，Dorothy Denning等人研究并开发了一个实时的型，命名为IDES（检测系统模系统），检测提出了反常活动和计算机不正常使用间的相关性，该模型是许多80年代的检测研究和系统的基础。Denning于1987年文被认为是另一篇的关于这一问题的论检测的开创性

5、之作。10检测检测系统的发展阶段(3)受Anderson和IDES的影响，20世纪80年代出现了大量的检测原型系统，如：Audit Analysis Project， Discovery，Haystack等，80年代末和90年代初出现了许多的检测系统。较有影响的是ComputerWatch审计跟踪分析工具ISOA（助理）实时安全监视器以及Lcyde VAX审计等。11检测NSM：Network Security Monitor1990年，Heberlein等提出了一个新的概念：检测NSM（Network基于网络的Security Monitor），NSM与此前的检测系统最大的区别在于它测主机的

6、审计，而是通过在局域网上主动地监视网络信息流量来追踪可疑行为。12检测1991年，NADIR（Network Anomaly Detection and Intrusion Reporter）与DIDS（Distribute Intrusion Detection System）提出了收集和合并处理来自多个主机的审计信息以一系列主机的协同。1994年，Marke等建议使用自治（autonomous agents）以提高IDS的可伸缩性、可维护性、效率和容错性，该理念非常符合正在进行的计算机科学其他领域（如软件）的研究。13检测另一个致力于解决当代绝大多数检测系统伸缩性不足的途径于1996年提出

7、，这就是GBIDS（Graphic-Based Intrusion Detection System），该系统使得对大规模自动或协同的检测更为便利。以后人们又相继提出了将免疫原理和信息检索技术引进到措施，使得检测系统中等一系列检测系统更加实用和可靠。14检测CIDF模型由于检测系统大部分都是开发的，不同系统之间缺乏互操作性和互用性，这对检测系统的发展造成了障碍，因此，DARPA（the DefenseAdvanced Research Prouects Agency，美国国防部高级研究计划局）在1997年3月开始着手CIDF（Common Intrusion Detection Framewo

8、rk）标准的制定。15检测CIDFCIDF由S.Staniford等人提出，主要有三个目的： 一是IDS构件共享，即一个IDS系统的构件可被另一个系统使用； 二是数据共享，即通过提供标准的数据格式， 使得IDS中的各类数据可以在不同的系统之间传递并共享； 三是完善互用性标准，并建立一套开发接口和支持工具，以提供开发部分构件的能力。16检测CIDF框架结构图17检测产生器CIDF模型将检测需要分析的数据称作事件（Event），它可以是基于网络的检测检系统的数据包，也可以是基于主机的测系统从系统日志等其它途径得到的信息。模型也对各个部件之间的信息传递格式、通信方法和API进行了标准化。产生器的目的

9、是从整个的计算机环境，并的（也称做信息源）中获得其他部分提供该，这些数据源可以是网络、主机或应用系统中的信息。18检测分析器、响应单元、数据库分析器从产生器中获得数据，通过各种分析方法一般为误用检测和异常检测方法来分析数据，决定是否已经发生或者正在发生，在这里分析方法的选择是一项非常重要的工作；响应单元则是对分析结果作出反应的功能单元。最简单的响应是，通知管理者的发生，由管理者决定采取应对的措施。数据库是存放各种中间和最终数据的地方的总称，它可以是复杂的数据库，也可以是简单的文本文件。19检测目录服务构件目录服务构件用于各构件其他的构件，以及其他构件传递的数据并认证其他构件的使用，以防止IDS

10、系统本身受到。它可以管理和发布密钥，提供构件信息和告诉用户构件的功能接口。20检测信息源、分析部件和响应部件在现有的检测系统中，经常用信息源、分析部件和响应部件来分别代替产生器、分析器和响应单元等术语。因此，人们往往将信息源、分析和响应称做检测系统的处理模式。虽然CIDF具有明显的优点，但实际上由于目前标准还在制定之中，因此它还没有得到广泛地应用，也没有一个检测系统完全使用该标准，但未来的IDS系统将可能遵循CIDF标准。检测211.1IDS的分类1、按检测数据来源分类（1）HIDS：基于主机的 HIDS的检测数据来源于操检测系统的审计跟踪记录、主机的系统日志文件和系统应用软件日志，一些先进的

11、HIDS还能够使用第软件生成的日志信息。这些信息主要集中于系统调用及应用层审计方面，HIDS试图从这些信息中寻找和操作的痕迹。22检测基于主机的检测系统Internet告警23检测检测内容：系统调用、端口、系统日志、安全审计网络服务器1网络服务器2HIDSHIDSNIDS：基于网络的检测系统（2）NIDS：基于网络的检测系统 NIDS它模块的工作方式与器类似，所有流经的网络数据包，提取并提交收集到的数据信息给分析引擎，由分析引擎根据检测规则对数据信息进行检测分析，用以是否有问题存在。 通常NIDS检测保护的是一个局域网络。越来越网络，NIDS也多的行为开始依赖于或因此而变得愈加重要了。24检测

12、基于网络的检测系统告警客户端Internet25检测NIDS检测内容：数据包头信息、有效数据部分网络服务器1网络服务器2LIDS：基于Linux内核的检测系统（3）LIDS：基于Linux内核的 这是一种基于Linux内核的检测系统检测系统。它在模式以及命令进入Linux内核中实现了参考(Mandatory Access Control)模式，可以实时监视操作状态，旨在从。级加强系统的安 在某种程度上可以认为它的检测数据来源于操的内核操作，在这一级别上检测活动，因此其安全特性要高于其他两类IDS。和26检测2、按检测分析引擎的行为分类（1）AD：异常检测(Anormality Detectio

13、n) 此种检测行为基于统计分析，因此是动态的。首先中的重要（如内存）选取统计量，并统计其正常使用情况下的基准值，然后系统的使用情况，当与基准值的偏差超过一定范围时认定有动发生。或活 就检测准确性而言，它不如MD，误报率较高，但它的弹性较大，检测灵活，在自动检行为方面较MD有优势。测新的27检测（2）MD：误用检测(Misuse Detection)（2）MD：误用检测(Misuse Detection) 这种检测行为基于特征匹配，是一种静态分析方法。通过对比已知的段以及系统漏洞的签名特征来手是否有或操作发生。 通常而言，MD检测的准确性较高，其成功的一个关键因素在于匹配规则库的完备性。28检测

14、1.2NIDS的检测模型13分析引擎24529检测设备响应部件台器台和器台 主要用于对NIDS的其他部件进行配置管理。作台可以与NIDS的主体功能部为辅助部件，件（或称检测器）分离，甚至可以处于NIDS保护检测的范围之外。因此台不是必须的，各个模块通常还提供其他的配置接口，大多数NIDS可以在缺省模式下工作。器 负责从网络上交给分析引擎。数据包，经过适当处理后提30检测分析引擎+响应部件+设备分析引擎 是NIDS的，由它对数据进行检测分析，发现问题则触发响应机制，在需要时可以与响应部件设备交互。当响应机制被触发时，响应部件会根据预先的配置采取适当的响应措施。设备根据预定义的规则安全，用以提供的

15、一部分法律证据，并可以作为统计用户行为的数据源。31检测1.3NIDS的主要技术与性能(1) 对网络数据包进行协议分析。目前分析的主要协议包括IP、TCP、UDP、ICMP（个还支持ARP、IPV6、IPX等）以及其他一些别的应用协议，如TELNET、HTTP、FTP、SMTP、POP等。不同NIDS对协议分析的深度不尽相同，如是否检测校验和、是否支持碎片重组、是否支持边界检查、是否跟踪的连接等。(2) 对数据包内容进行特征匹配。尽管个别NIDS可能附带其他统计分析功能，但出于检测准确性的考虑，特征匹配(基于误用的监测)是目前绝大多数NIDS普遍采用的技术。32检测(3) 优化系统结构。传统的

16、NIDS多采用集中模式，依靠提高和检测速度以适应网络扩充和带宽增加；目前的NIDS趋向于采用分布检测，层级管理的模式。(4) 多响应措施。NIDS的响应很多，包括发出警报（屏幕文字、声音警报、电子邮件、日志、通知等）、驱除（ 击（不可达信息、关闭连接、终止进程等）、防卫反用户、地址、与其他安全工具交互配合调整、使用其他工具回击等）等。(5) 增强自身安。包括减少（或消除）关键节点、分离端口与管理端口、关闭检测器主机的开放端口、检测器主机的网卡不配置IP地址、检测器与台之间的通信加密、检测器与检测台之间相互认证等。332. Anti-NIDS概述Anti-NIDS的目标是：使NIDS检测不到入侵

17、行为的发生，或无法对行为做出响应，或无法证明行为的责任。其策略主要有三种：其一，规避NIDS的检测；NIDS自身发起其二，常运行；，使其无法正其三，借助NIDS的某些响应功能达到目的。检测或342.1 NIDS所(1)检测的工作量 NIDS需要高效的检测方法和大量的系统的几个问题。 通常NIDS检测保护的是一个局域网络，其数据流量通常会比单机高出一到两个数量级，且由于协议的层次封装特性，使得很多信息要逐层地从网络数据包中提取并分析，NIDS的检测分析工作因此而变得十分繁杂。NIDS必须尽快地处理网络数据包，以保持与网络同步，避免丢包。 NIDS的检测是使NIDS更加容易密集型的，这在某种程度上

18、DoS。35检测(2) 检测方法的局限性(2) 检测方法的局限性 复杂的、智能化方法的作用十分有限，而AD方法受限于某些的请求使用在数据传输过程中的模糊性与隐含性，也难以在NIDS中发挥另人满意的功效。特征匹配成为NIDS分析引擎的一个不可或缺的模块功能。 特征匹配作为一种轻量级的检测方法有其固有的缺陷，缺乏弹性（尤其是字符串匹配），如何完备定义匹配特征（也即匹配特征库的完备性）是决定检测性能的一个关键问题。36检测(3) 网络协议的多样性与复杂性 TCP/IP协议族本身十分庞杂，各种协议不下几十种，呈现横向和纵向深入的两维分布。为了适应网络检测的需要，NIDS须对其中的大部分协议进行模拟分析

19、检测工作，这会使得分析引擎变得臃肿而效率低下。 更为重要的是部分协议（如IP协议、TCP协议等）非常复杂，使精确地模拟分析十分，其难度随着协议层次的上升而增加。到了应用层，这种模拟分析工作几乎无法继续，由于缺少主机信息， NIDS将难于理解应用层的意图，更无法模拟或理解某些应用提供的功能（如bash提供的tab键命令补齐功能）作用于具体环境下所产生的效果。37检测(4) 系统实现的差异 具体实现时，各值和可选功能，会有全按RFC，对那些建议的偏好。NIDS为了逼近各的实现就必须尽可能多地了解每一对这些不一致情况的处理方式，然后根据实际应用中检测保护的对象再决定分析动作。但这种想法在实际中并全可

20、行，有些问题不仅仅是系统的实现问题，还包含了用户的配置选择（如是否计算UDP数据报的校验和），因此很难做到与目的一致性处理。 另外，某些系统（如Unix）出于操作的自由性和应用的方便性，用户对网络底层进行直接操作，致使者几乎可以随心所欲地构造各种的数据包。38检测2.2 规避NIDS基于特征匹配检测固有的脆弱性，者可以利用上面提到的几个问题，对普通的行为加以掩饰，或使NIDS无法接收准确完整的特征，或使特征变得模糊而难以识别，NIDS在检测不到特征的情况下将很难识别从而无法检测到 法称为规避NIDS。者的行为意图，的发生。这种手39检测2.3NIDS主要利用了其NIDS密集型检测的特点，对其实

21、施DoS，并且通常结合技术，使得NIDS既不能找到能执行正常的检测功能。的真正来源，又不者利用这种空隙可以进行其他活动。者还可以利用NIDS软件中可能存在的缺另外陷（或漏洞）对NIDS本身进行，并可能导致DoSNIDS的部分功能失效（取得与上面类似的效果）或是获得某些额外权限，继而为其他的活动打开方便。40检测2.4 利用NIDS这种策略主要利用了NIDS的响应机制。作为NIDS必不可少的一个模块，响应部件除了警报功能之外，通常还配置了其他一些防护性功能。尽管这些功能的性可能不是很强，但其性通常很强。如果这些功能行使得不够谨慎，入侵者能够误导响应部件执行这些功能来对付目标系统，则它将成为破坏系

22、统的工具，而NIDS本身却不知道真正侵做出检测。，因而也无法对这种入41检测3.规避NIDS检测的几种技术分析引擎是IDS的检测主体，规避NIDS的检测就是要隐藏或消除NIDS分析引擎检测规特征，使入则中所对应的行为模式或侵行为淹没在正常的网络流量“噪声”中。42检测3.1 Insertion技术Insertion是指诱使NIDS接受一些目收或是拒绝接受的数据包。无法接通常情况下NIDS与目应该接受相同的数据包，并按照相同的方式分析处理，这样才能保证NIDS对那些目的进行有效地检测。但是由于NIDS不可能完全了解目的处理方式（即使是相同的系统也可能会因为配置问题而进行不同的处理），因此，如果N

23、IDS接受了那些目无法接收或是拒绝接受的数据包就有可能导致问题的发生。Insertion是一种比较常见的规避NIDS检测的技术，它主要对下述两个方面造成影响。检测43其一，非单特征点的特征进行操作，将导致特征失效。44检测NIDS 接受的数据包：OFXNI目接受的数据包：OFNI者数据包：OFXNI3.1Insertion技术（续2）假设“INFO”作为的一个特征串，者分四个数据包发出该特征串，并在第二个特征点“N”之后一个迷惑数据包“X”，该数据包对于来说是无法接收或拒绝接受的，但NIDS目与NIDS得到不同却错误地接受了，于是目的“特征串”。从目来看显然发生了，但对于NIDS来说它将无法检

24、测到“INFO”，因此也据此的发生。对于这种情况而言，特征应该是非单特征点的，因为单特征点是无法Insertion的，而且需要特可以导致NIDS征的分割传输，并在传输中间错误接受的迷惑性数据包。45检测3.1Insertion技术（续3）失去状态同步其二，对于面向连接的协议，状态是一个十分重要的信息，传输的每一个数据包都携带状态信息，并且会对连接双方的状态造成影响。为了对这样的协议进行分析，NIDS将不得不保持同样的或是类似的状态信息以跟踪连接。一旦NIDS错误地接受了目无法接收或是拒绝接受的数据包，那么两者之间的状态就会产生不一致，我们称之为“失去状态同步”。失去状态同步的NIDS在对该连接

25、的后继数据包的。如图(Next)所示。处理上将遇到46检测处于状态A，NIDS跟踪连接也保持为这一状假设目 态。现在目一个携带状态B的数据包，因为某种者没有接收(或接受)数据包，而NIDS却接受了该数据包并更新状态为B，于是与目失去状态同步。在NIDS找回状态同步之前，对后继数据包接受与处理上产生不一致。更为严重的是，NIDS可可能会与目能会在错误接受的数据包的误导下复位或终止相应的状态跟踪，以至放弃或失去对目连接的跟踪。这种影响并不基于特征匹配，但它只适用于需要维护状态信息的或面向连接的情况。47检测NIDS状态A接受数据包：状态改为BB目状态A没接受数据包： 状态保持AB者数据包：B3.2

26、 Evasion技术这种技术与Insertion有些相似，这一次是NIDS错误地拒绝了本应接受的数据包，从而导致NIDS比目“少”看到了东西，这种非一致性同样可能产生问题。其影响也是两个方面。48检测(1) 特征匹配问题49检测NIDS接受数据包：ONI目接受数据包：OFNI者数据包：OFNI(1) 特征匹配问题（续1）特征串“INFO”，并且者分四个数据包对第三个特征点数据包“F”进行一些特殊处理，使之看起来像一个不合理数据包，NIDS于是错误地将其拒绝，而目本身却认为其是合法的而加以接受。显然NIDS无法匹配到“INFO”，但确实发生了。更为的是，特征不必分割传输（即不限制特征点数目），而

27、是只包含在一个数据包里，但该数据包却被NIDS错误地拒绝接受，那么当然这里讨论的Evasion只限于软件不被检测。引起的拒绝接受，而通过其他途径（如拨号连接）导致的NIDS接收不到数据包也能产生同样的效果。50检测(2)与Insertion中的第二点很相似，NIDS会因为少接受了数据包而错过状态的改变，从而导致失去状态同步不同的地方在于：目的状态更新可能对应着连接重置或连接终止，NIDS因为错过了状态更新而无法了解到这一情况，从而继续进行无意义地跟踪DoS并占用，留下的潜在。51检测NIDS，状态A没接受数据包：状态保持AB目，状态A接受数据包：状态改为BB者数据包：B3.3 Tousle技术

28、该技术打乱特征点的次序，即将特征数据分割，并设法使包含各个特征点数据包不能按照特征点的原始次序到达目，由目根据相关信息恢复数据包的原始次序，而由于某些因素NIDS不能同样地对数据包排序。于是即使NIDS与目接受了同样的数据包，但由于接受次序的不同，两者还是面对不同的“特征”。这种技术的影响主要集中于那些特征（点）具有次序概念的系统和应用中，尤其是配。检测特征串匹523.3Tousle技术(续1)53检测NIDS接收数据包：不排序或排序不正确，得不到“INFO”I（1）F（3）O（4）N（2）目接收并排序后得到数据包：O（4）F（3）N（2）I（1）者数据包：I（1）F（3）O（4）N（2）3.

29、3Tousle技术(续2)者将特征串“INFO”分割为四个数据包进行传输，每个数据包携带的数字代表其在原始数据中者以(2)(4)(3)(1)的顺序的位置。现各个数据包，不考虑网络拥塞和路由引起的传输问题，则数据包将很可能按的顺序到达目标系统和NIDS。目能够根据每个数据包中的位置信息重构原始数据，得到特征串“INFO”；而NIDS由于某种没能够排序数据包或是不正确地排序数据包，于是得到了与原始数据不同的“特征串”，错过对的检测。54检测3.4 Anamorphosis-Polymorph技术该技术受变种技术的启发，特征匹配缺模式，或通过乏弹性的固有缺陷，适当改变某种（如加密）隐藏特征，或使特征

30、在一定程度上发生变化（但对影响），以规避NIDS的检测。不造成实质在某种程度上类似于就是用于缓冲区溢出变种，一个很好的例子的多态shellcode技术。55检测修改shellcode规避检测56检测3.4 Anamorphosis-Polymorph技术（续3）对于“冗余”操作来说，其目的只是为了增加跳转的几率，因此任何不影响有效载荷执行的操作都可以用来代替nop指令序列。这种“变种”操作很多，依目的指令集而定，就IA32体系而言，粗略估计有不下五十种的操作可以选择。57检测如果以之代替shellcode中的nop序列，则那些检测特征系列nop的分析引擎将失败；如果分析引擎还能检测其他的替代操

31、作，那么仅是为此目的而增加的特征就多达几十个；而且即使是这样，因为“冗余”操作是一系列的操作，者还可以将各种替代操作以一种随机的方式组合，只要不超过shellcode的长度，则将产生成千上万种组合操作方式，这里不妨保守地计算一下：所有可以替代的操作选定为50种，“冗余”操作长度为5条指令，那么所有可能的组合共有50*50*50*50*50种之巨，这是简单匹配难以对付的。58检测3.5 Substitution技术该技术是一类规避技术的统称，其想法是：不直接传输特征，退而选择其他迂回的，使输入依靠目的解释来完成，以达到同样的目的。这种技术的好处在于传输过程不必出现特征数据，因此不易被基于特征匹配

32、的分析引擎所检测，缺点是受限于目持。的支59检测宏替换60检测宏替换假定分析引擎匹配检测“attack”作为某特征。者若直接传输“attack”，则将很容易被检测到；现支持，也可以是相关应已知目（可以是操者设定宏“MAP =用程序支持）支持宏扩展，attack”，则者可以以输入宏“MAP”来代替输入“attack”，然后由目将其翻译为“attack”，再据此实现者的意图。由于宏名字是由者随意选择的，NIDS无法检测宏名字，因此可能错过对此次的检测。有时迂回可能在的，那么这么简单，比如宏定义不是以前就存“MAP = attack”的数据包可能会被分析引擎检测到，尽管以这种方式检测到的“attac

33、k”可能会增加误报率，但于此次是无益的，因此需要更加迂回的检测。61二次宏技术attack62检测二次宏技术这里可以采用二次宏技术，简单来说，者可以定义“M = att，A = ac，P = k”，再定义“BAM =MAP”，之后输入“BAM”，目经过两次宏扩展后同样会得到“attack”，而在整个传输的过程中出现“attack”，加之宏名字选择的随意性和将宏定义的嵌套性，NIDS除非支持同样的扩展机制，否则将很难检测到这样的特征。实际上Substitution技术所描述的决不仅仅是类似的宏扩展技术，其他诸如某些shell所支持令别名功能以及tab键技术、环境变量技术、命令历史命令补齐功能等，

34、都可以看作是Substitution技术的不同应用实例。检测633.6 Unicode-Related技术者只是简单地以ASCII码形式传输如果序列，那么其中的特征数据将很容易被NIDS所识别。现在者把特征数据以Unicode标准的UTF-8编码形式进行传输支持Unicode），情况将会（假设目发生改变。(1) NIDS不支持Unicode(这种情况现在已经不多了)，这样的分析引擎无法通过特征匹配来检测以Unicode方式传输的特征数据。64检测3.6 Unicode-Related技术（续1）(2) NIDS支持Unicode，检测特征数据之前先进行编码转换，即分析引擎先把数据包的有效内容转

35、化为Unicode，再对之进行特征匹配。但由于新旧标准的覆盖问题，分析引擎只有按照目所支持的标准进行转换才能确保“看”到的内容与目保持一致。潜在的问题是目标系统的多样性，为此NIDS需要了解每一个被检测保护系统所支持的标准，甚至是目上每一个支持Unicode服务的所支持标准，这是一个烦琐而繁重的工作。如果对Unicode的支持是可选的，那么这种试图了解几乎不可能的。65检测3.6 Unicode-Related技术（续2）(3) NIDS支持Unicode，检测特征数据之前不进行编码转换，即直接匹配UTF-8格式的编码。这种方法节 省了转换时间，也避免了因支持标准不一致而导致 的误解释，但是一

36、个必须面对的新问题是多重表示。随特征点的增多（绝大多数字符都有多重表示）， 这将产生同前一节中的“冗余”替换一样的组合问题。曾经有人做过统计，在微软Windows2K Advance Server的IIS上，Unicode的字符“A”有近30 种的表示方法，“E”对应34种，“I”对应36种，“O”对应39种，“U”对应58种，仅一个字符串“AEIOU”就对应30*34*36*39*58种表示方法，以现有的匹配算法和的处理能力，对付如此巨量的特征匹配并非易事。66检测4. 4.1 拒绝服务NIDS 同很多DoSNIDS的DoS攻一样，的有限性，由于NIDS击也是基于系统密集型的特点，使得NID

37、S更容检测的的DoS。而NIDS易此类本身作为一个fail open的系统，通常与被保护系统分离（这是目前的通用模式），那么 当DoS原有的检测响应功能之后，被保护系 统将处于开放状态（与被保护之前相比较）。67检测4.1 拒绝服务（续1） 另一方面，NIDS的DoS也有其与众不同的一面。目前的NIDS出于自身安全的需要，通常不为检测器主机的网卡配置IP地址，这样普通的基于目标地址的直接DoS方式在这里就显得没有用武之地了。NIDS的DoS几乎所有的用NIDS网络的特点，对其进行间接DoS攻击。通常需要结合地址的隐蔽性。技术以加强68检测（续2）- (1)消耗网络带宽4.1 拒绝服务目前比较流

38、行的一种DoS方法称为分布式DoS(DDoS)，者利用已经的大量大量主机对目标网络(或主机)几乎同时的数据包，在双方带宽对DoS的不对称情况下，NIDS将很快达到处理能力的上限，现有NIDS几乎无法抵御这种DDoS。有一点需要注意的是，共享式HUB环境下NIDS的DoS的可能会造成整个目所在网络的拥塞，降低目的可检测 用性，使得的最终目的受到影响；69（续3） (2) 消耗系统内存4.1 拒绝服务NIDS的可用内存空间不足将严重影响其性能，使其处理效率降低，甚至导致操作失败。需求的不同，对内存的时空占有率也是不同的，容易导致NIDS内存DoS的通常是那种动态需求数量大，占用时间长的内存空间分配

39、，主要包括：新数据包的到达。对数据包碎片的排序重组。跟踪已经建立的连接。70检测（续4）(3) 消耗CPU处理周期4.1 拒绝服务在NIDS中，CPU处理周期的DoS攻击比较有限，但还是有一些情况会对DoS的处理周期造成很大的浪费，从而降低系统性能。一种情况就是大量数据包的到达所引起的频繁中断，除非有专门的硬件处理，否则是不可避免的。另一种情况是由内存的分配与引起的。频繁的内存申请与会使内存空间中形成很多小的碎片（包括内存泄露），这种不连续性（或不可用性）达到一定程度就会影响71检测系统的性能为此很多系统配备内存碎片回（续5）(4) 消耗4.1 拒绝服务设备根据预定义的规则，安全。这些事件既可

40、以作为用户行为的统计数据源，也可以作为入侵证据的一部分，其安、可用性和持久性十分重要。者往往不能直接该模块，但是却可以利用NIDS的其他机制间接完成相应的。者可以模拟大量的、可以引起NIDS注意的虚假，如果这些行为触发了预定义的规的则，那么将导致空间的损耗，一个空间告罄(qng)，根据系统的情况是或后继策略，无法，或循环覆盖以前的信息。也会歪曲用户即使达不到上述目的，虚行为特征，还会对相应的法律证明产生误导作用。72检测4.2其他台是一个很特殊的部件，它虽不是NIDS运行所必须的，却拥有管理配置权限，而且它通常与NIDS的主体部分分离，尽管检测器主机网卡为确保安全而不配置IP地址，但其管理网卡

41、却通常要配置以保持同台的通信，于是给留下了可能。另外，NIDS很难保证在设计上或代码编写上不存在缺陷。如果者能够利用这些缺陷而取得额外权限，那么就可以以一定权限操作NIDS，如重新配置NIDS（当然并不一定是最高用户的权限），其危害以估计。如Snort RPC预处理器之缓冲区者可能利用它对NIDS进行拒绝溢出漏洞，器进程的执行权限（通常是root）服务或以执行任意指令。73检测5. 利用NIDS无法对行为或活动做出响应的NIDS几乎是无用的，但做出何种响应适当的，却并不容易把握。对于那些配置防护性功能或可以与其他安全工具交互的NIDS来说，响应措施是的，可能会给系统的安全带来危害。74检测5.

42、 利用NIDS（续1）之所以说响应，在于响应措施的性通常很强，NIDS可能会导而采取响应措施，如果虚假者冒充目的误，则NIDS在不能有效识别真正来源的情况下将会把原先者的响应措施转移到目定。从目身上，其影响视响应措施而的角度看，它的直接危害来源于检测保护其的NIDS，而且还着入侵者进一步的。75检测5. 利用NIDS（续2）按照响应措施对系统安全的潜在影响，NIDS的响应措施大致可以分成三级：警报驱除防卫反击其影响级别是次第升高的。76检测5.1 警报和驱除警报级别的响应措施包括屏幕文字、声音警报、电子邮件、日志、通知等。由于是低影响级别的，因此对系统安全造成什么危害，利用的意义并不大。不过频

43、繁的警报会影响用户的正常使用，尤其是虚假的警报更会使人们怀疑NIDS的度，时间久了，可能会导致“狼来了”的效应，使得管理者忽略或干脆关闭（或部分关闭）警报功能。77检测5.1 警报和驱除（续1）驱除级别的响应措施包括不可达信息、关闭连接、终止进程等，这些行为通常属于的行为，即使被者利用，对系统所造成的影响也是十分短暂的，如TCP连接中断、HTTP请求失败等，但这对下一次的连接或是请求没有影响。因此这一影响级别的利用价值也是十分有限的。78检测5.2 利用防卫反击这是安全影响级别最高的响应措施，也是安全隐患最大的级别，通常由它所造成的影响是持久的，有些甚至是难以恢复的。在这个级别上，如果NIDS

44、检测到的措施（有些也许是在被发生，那么它采取之后而采取的补救措施）可能包括用户、地址、与其他安全工具交互配合调整、使用其他工具回击等。下图给出了利用NIDS高安全影响级别响应措施对付目的示意。79检测5.2 利用防卫反击（续1）80检测5.2 利用防卫反击（续2）A与DoS现在从外部看多大的区别，含了一点假设，即没有者DoS基本达到。这里隐者知道什么样的攻击行为可以触发NIDS响应以新的措施。响应措施的不同造成的安全危害也不一 样，但其共同点是这种危害由被误导的NIDS的响应直接所为，因此不在其检测之列。配置更上检测 述划分并不意味着响应部件能够按照先低级再中高级的顺序选择不同影响级别的816

45、. IDS的发展方向随着网络技术和网络规模的不断发展，人们对计算机网络的依赖也不断增强。与此同时，遍，网络系统的也越来越普手法日趋复杂。随着网络技术和相关学科的发展和日趋成熟，IDS未来发展的趋势主要表现在以下方面。82检测6.1 宽带高速实时检测技术大量高速网络技术(如ATM、千兆以太网等)在近年相继出现。在此背景下，各种宽带接入层出不穷。如何实现高速网络下的实时检测已的的问题。目前的千兆IDS经成为现实性能指标与实际要求相差很远。要提高其性能主要需考虑以下两个方面：首先，IDS的软件结构和算法需要重新设计，以适应高速网的环境，提高运行速度和效率；其次，随着高速网络技术的不断发展与成熟，新的

46、高速网络协议的设计也必将成为未来发展的趋势，那么，现有IDS如何适应和利用未来的新网络协议，将是一个全新的问题。83检测6.2 大规模分布式的检测技术传统的集中式IDS的基本模型是在网络的不同网段放置多个探测器，收集当前网络状态信息，然后将这些信息传送到台进行处理。这种方式存在明显的缺陷：首先，对于大规模分布式，台的负荷将会超过其处理极限，这种情况会造成大量信息处理的遗漏，导致漏警率增高；其次，多个探测器收集到的数据在网络上传输会在一定程度上增加网络负担，导致网络系统性能降低；再者，由于网络传输的时延问题，台处理的网络数据包所包含的信息只反映探测器接收它时的网络状态，不能实时反映当前网络状态。

47、84检测面对以上问题，新的解决方法也随之产生，如Purdue大学开发的AAFID系统。该系统是Purdue大学设计的一种采用树形分层构造的群体，其根部是监视器，提供全局的分的、管理及分析由上一层节点提供的信息。树叶部专门负责收集信息。处在中间层的被称为收，一方面发器。这些收发器一方面实现对底层的可以对信息进行预处理，把精练的信息反馈给上层的监视器。这种结构采用了本地处理本地、负责整体分析的模式。与集中式不同，它强调通过全体智能的协同工作来分析策略。这种方法明显优于前者，但同时带来了一些新的问题，如间的协作、间的通信等。这些问题仍在进一步研究之中。85检测6.3 数据挖掘技术的日益复杂和网络数据流量的急剧增加操导致审计数据以惊人的速度增