第8章 入侵检测系统

第8章入侵检测系统教学提示：入侵检测技术是实现安全监视的技术，是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力。完善的入侵检测系统包含了非常复杂的技术，本章的教学不是讨论入侵检测的细节内容，也不深入讲解过于深奥的理论，而是强调学生概括掌握入侵检测技术的基本概念、原理、功能和发展动态，以使学生在将来的工作中知道入侵检测系统在构建完整的网络安全基础结构方面的重要意义，以对设备的选型有充分的理论依据。教学目标：本章的重点是掌握入侵检测的概念、功能、工作原理、分类方法和主要类型，以及入侵检测技术的发展方向。

8.1入侵检测系统概述多数用户在设计网络安全防护系统时，往往只考虑到已知的安全威胁与有限范围内的未知安全威胁。防护技术只能做到尽量阻止攻击企图的得逞或者延缓这个过程，而不能阻止各种攻击事件的发生。同时在安全系统的实现过程中，还有可能留下或多或少的漏洞，这些都需要在运行过程中通过检测手段的引入来加以弥补。如果与真实世界相比，防火墙等技术就像是一个大楼的安防系统，虽然它可能很先进也很完备，但是仍然需要与监视系统结合起来使用，仍然需要不断地检查大楼(包括安防系统本身)。

8.1.1入侵检测定义入侵检测系统(IDS，IntrusionDetectionSystem)是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，在发现入侵后，及时作出响应，包括切断网络连接、记录事件和报警等。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。8.1.2入侵检测系统的主要功能

1．可用性为了保证系统安全策略的实施而引入的入侵检测系统必须不能妨碍系统的正常运行，保障系统性能。

2．时效性必须及时地发现各种入侵行为，理想情况是在事前发现攻击企图，比较现实的情况则是在攻击行为发生的过程中检测到。如果是事后才发现攻击的结果，必须保证时效性，因为一个已经被攻击过的系统往往就意味着后门的引入以及后续的攻击行为。3．安全性 入侵检测系统自身必须安全，如果入侵检测系统自身的安全性得不到保障，首先意味着信息的无效，而更严重的是入侵者控制了入侵检测系统即获得了对系统的控制权，因为一般情况下入侵检测系统都是以特权状态运行的。4．可扩展性 可扩展性有两方面的意义。首先是机制与数据的分离，在现在机制不变的前提下能够对新的攻击进行检测，例如，使用特征码表示攻击特性。第二是体系结构的可扩展性，在有必要的时候可以在不对系统的整体结构进行修改的前提下加强检测手段，以保证能够检测到新的攻击，如AAFID系统的代理机制。8.2入侵检测系统的组成为了提高IDS产品、组件及与其他安全产品之间的互操作性，美国国防高级研究计划署(DARPA)和互联网工程任务组(IETF)的入侵检测工作组(IDWG)发起制定了一系列建议草案，从体系结构、API、通信机制、语言格式等方面规范IDS的标准。DARPA提出的建议是公共入侵检测框架(CIDF)，最早由加州大学戴维斯分校安全室主持起草工作。CIDF提出了一个通用模型，将入侵检测系统分为4个基本组件：事件产生器、事件分析器、响应单元和事件数据库，其结构如图所示。

图8.1CIDF的模型8.2.1事件产生器CIDF将IDS需要分析的数据统称为事件，事件既可以是网络中的数据包，也可以是从系统日志或其他途径得到的信息。事件产生器(EventGenerators)的任务是从入侵检测系统之外的计算环境中收集事件，并将这些事件转换成CIDF的(统一入侵检测对象GIDO)格式传送给其他组件。例如，事件产生器可以是读取C2级审计跟踪并将其转换为GIDO格式的过滤器，也可以是被动地监视网络并根据网络数据流产生事件的另一种过滤器，还可以是SQL数据库中产生描述事务的事件的应用代码。8.2.2事件分析器事件分析器(EventAnalyzers)分析从其他组件收到的GIDO，并将产生的新GIDO再传送给其他组件。分析器可以是一个轮廓(profile)描述工具，统计性地检测现在的事件是否可能与以前某个时间来自同一个时间序列；也可以是一个特征检测工具，用于在一个事件序列中检测是否有已知的误用攻击特性；此外，事件分析器还可以是一个相关器，观察事件之间的关系，将有联系的事件放在一起，以利于以后的进一步分析。8.2.3事件数据库 事件数据库(EventDatabases)用来存储GIDO，以备系统需要的时候使用。8.2.4事件响应单元事件响应单元(ResponseUnits)处理收到的GIDO，并据此采取相应的措施，如相关进程、将连接复位、修改文件权限等。在这个模型中，事件产生器、事件分析器和响应单元通常以应用程序的形式出现，而事件数据库则往往是文件或数据流的方式，很多IDS厂商都以数据收集部分、数据分析部分和控制台部分3个术语分别代表事件产生器、事件分析器、响应单元。以上4个组件只是逻辑实体，一个组件可能是某台计算机上的一个进程甚至线程，也可能是多台计算机上的多个进程，它们以GIDO格式进行数据转换。GIDO是对事件进行编码的标准通用格式(由CIDF描述语言CISL定义)，GIDO数据流在图中已标出，它可以是发生在系统中的审计事件，也可以是对审计事件的结果分析。8.3入侵检测系统的分类对入侵检测技术的分类方法很多，根据着眼点的不同，主要有4种分类方法。(1)按数据来源和系统结构分类，入侵检测系统分为3类：基于主机的入侵检测系统、基于网络的入侵检测系统和分布式入侵检测系统(混合型)。(2)根据数据分析方法(也就是检测方法)的不同，可以将入侵检测系统分为2类：异常检测和误用检测。(3)按数据分析发生的时间不同，入侵检测系统可以分为2类：离线检测系统和在线检测系统。(4)按照系统各个模块运行的分布方式不同，可以分为2类：集中式检测系统；和分布式检测系统。

8.3.1按数据来源和系统结构分类

1．基于主机的入侵检测系统基于主机的入侵检测系统的输入数据来源于系统的审计日志，即在每个要保护的主机上运行一个代理程序，一般只能检测该主机上发生的入侵。基于主机的入侵检测系统一般在重要的系统服务器、工作站或用户机器上运行，监视操作系统或系统事件的可疑活动，寻找潜在的可疑活动(如尝试登录失败)。此类系统需要定义清楚哪些是不合法的活动，然后把这种安全策略转换成入侵检测规则。

主机入侵检测系统的优点主机入侵检测系统对分析“可能的攻击行为”非常有用。举例来说，有时候它除了指出入侵者试图执行一些“危险的命令”之外，还能分辨出入侵者干了什么事、他们运行了什么程序、打开了哪些文件、执行了哪些系统调用。主机入侵检测系统与网络入侵检测系统相比通常能够提供更详尽的相关信息。主机入侵检测系统通常情况下比网络入侵检测系统误报率要低，因为检测在主机上运行的命令序列比检测网络流更简单，系统的复杂性也少得多。主机入侵检测系统可部署在那些不需要广泛的入侵检测、传感器与控制台之间的通信带宽不足的情况下。主机入侵检测系统在不使用诸如“停止服务”、“注销用户”等响应方法时风险较少。2)主机入侵检测系统的弱点主机入侵检测系统安装在我们需要保护的设备上。举例来说，当一个数据库服务器要保护时，就要在服务器本身上安装入侵检测系统。这会降低应用系统的效率。此外，它也会带来一些额外的安全问题，安装了主机入侵检测系统后，将本不允许安全管理员有权力访问的服务器变成他可以访问的。主机入侵检测系统的另一个问题是它依赖于服务器固有的日志与监视能力。如果服务器没有配置日志功能，则必须重新配置，这将会给运行中的业务系统带来不可预见的性能影响。全面部署主机入侵检测系统代价较大，企业中很难将所有主机用主机入侵检测系统保护，只能选择部分主机保护。那些未安装主机入侵检测系统的机器将成为保护的盲点，入侵者可利用这些机器达到攻击目标。主机入侵检测系统除了监测自身的主机以外，根本不监测网络上的情况。对入侵行为的分析工作量将随着主机数目增加而增加。2．基于网络的入侵检测系统基于网络的入侵检测系统的输入数据来源于网络的信息流，该类系统一般被动地在网络上监听整个网络上的信息流，通过捕获网络数据包，进行分析，检测该网段上发生的网络入侵，如图8.2所示。图8.2基于网络的入侵检测过程网络入侵检测系统的优点网络入侵检测系统能够检测那些来自网络的攻击，它能够检测到超过授权的非法访问。网络入侵检测系统不需要改变服务器等主机的配置。由于它不会在业务系统的主机中安装额外的软件，从而不会影响这些机器的CPU、I/O与磁盘等资源的使用，不会影响业务系统的性能。由于网络入侵检测系统不像路由器、防火墙等关键设备那样工作，因此它不会成为系统中的关键路径。由于网络入侵检测系统发生故障不会影响正常业务的运行，因此部署一个网络入侵检测系统的风险比主机入侵检测系统的风险少得多。网络入侵检测系统近年内有向专门的设备发展的趋势，安装这样的一个网络入侵检测系统非常方便，只需将定制的设备接上电源，做很少一些配置，将其连到网络上即可。

网络入侵检测系统的弱点网络入侵检测系统只检查它直接连接网段的通信，不能检测在不同网段的网络包。在使用交换以太网的环境中就会出现监测范围的局限，而安装多台网络入侵检测系统的传感器会使部署整个系统的成本大大增加。网络入侵检测系统为了提高性能通常采用特征检测的方法，它可以检测出普通的一些攻击，而很难检测一些复杂的需要大量计算与分析时间的攻击。网络入侵检测系统可能会将大量的数据传回分析系统中。在一些系统中监听特定的数据包会产生大量的分析数据流量。一些系统在实现时采用一定的方法来减少回传的数据量，对入侵判断的决策由传感器实现，而中央控制台成为状态显示与通信中心，不再作为入侵行为分析器。这样的系统中的传感器协同工作能力较弱。网络入侵检测系统处理加密的会话过程较困难，目前通过加密通道的攻击尚不多，但随着IPv6的普及，这个问题会越来越突出。3．分布式入侵检测系统(混合型)分布式入侵检测系统一般由多个部件组成，分布在网络的各个部分，完成相应的功能，分别进行数据采集、数据分析等。通过中心的控制部件进行数据汇总、分析、产生入侵报警等。在这种结构下，不仅可以检测到针对单独主机的入侵，同时也可以检测到针对整个网络上的主机入侵。

8.3.2按工作原理分类1．异常检测模型(AbnormalyDetectionModel)这种模型的特点是首先总结正常操作应该具有的特征，建立系统正常行为的轨迹，理论上可以把所有与正常轨迹不同的系统状态视为可疑企图。对于异常阈值与特征的选择是异常发现技术的关键，例如，特定用户的操作习惯与某种操作的频率等；在得出正常操作模型之后，对后续的操作进行监视，一旦发现偏离正常统计学意义上的操作模式，即进行报警。可以看出，按照这种模型建立的系统需要具有一定的人工智能，由于人工智能领域本身的发展缓慢，基于异常检测模型建立的入侵检测系统的工作进展也不是很好。异常检测技术的局限并非使所有的入侵都表现为异常，而且系统的轨迹难于计算和更新。2．误用检测模型(MisuseDetectionModel)误用检测又称特征检测，这种模型的特征是收集非正常操作(也就是入侵行为的特征)建立相关的特征库；在后续的检测过程中，将收集到的数据与特征库中的特征代码进行比较，得出是否是入侵的结论。可以看出，这种模型与主流的病毒检测方法基本一致，当前流行的入侵检测系统基本上采用这种模型。特征检测的优点是误报少，比较准确，局限是只能发现已知的攻击，对未知的攻击无能为力。8.4入侵检测系统的工作原理入侵分析的任务就是在提取到的庞大数据中找到入侵的痕迹。入侵分析过程需要将提取到的事件与入侵检测规则等进行比较，从而发现入侵行为。一方面入侵检测系统需要尽可能多地提取数据以获得足够的入侵证据，而另一方面由于入侵行为的千变万化而导致判定入侵的规则等越来越复杂。为了保证入侵检测的效率和满足实时性的要求，入侵分析必须在系统的性能和检测能力之间进行权衡，合理地设计分析策略，并且可能要牺牲一部分检测能力来保证系统可靠、稳定地运行，并具有较快的响应速度。入侵检测分析技术主要分为两类：异常检测和误用检测。

8.4.1入侵检测系统的检测流程入侵检测系统的检测流程依次包括3个步骤：数据提取、数据分析和结果处理。数据提取模块的作用在于为系统提供数据，数据的来源可以是主机上的日志信息、变动信息，也可以是网络上的数据信息，甚至是流量变化等，这些都可以作为数据源。数据提取模块在获得数据之后，需要对数据进行简单的处理，如简单的过滤，数据格式的标准化等，然后将经过处理后的数据提交给数据分析模块。数据分析模块的作用在于对数据进行深入的分析，发现攻击并根据分析的结果产生事件，传递给结果处理模块。数据分析的方法很多种，可以简单到对某种行为的计数，也可以是一个复杂的专家系统，该模块是入侵检测系统的核心。结果处理模块的作用在于告警与反应，也就是发现攻击企图或者攻击之后，需要系统及时地进行反应，包括报告、记录、反应和恢复。8.4.2基于异常的入侵检测方法基于异常的入侵检测方法主要来源于这样的思想：任何人的正常行为都有一定的规律，并且可以通过分析这些行为产生的日志信息(假定日志信息足够安全)总结出这些规律，而入侵和滥用行为则通常和正常的行为存在严重的差异，通过检查出这些差异就可以检测出这些入侵。这样就可以检测出非法的入侵行为甚至是通过未知方法进行的入侵行为。此外不属于入侵的异常用户行为(滥用自己的权限)也能被检测到。8.4.3基于误用的入侵检测方法基于误用的入侵检测技术的含义是：通过某种方式预先定义入侵行为，然后监视系统的运行，并中找出符合预先定义规则的入侵行为。基于误用的入侵检测技术也叫作基于特征的入侵检测技术。

8.5入侵检测系统的抗攻击技术8.5.1入侵响应入侵响应(IntrusionResponse)就是当检测到入侵或攻击时，采取适当的措施阻止入侵和攻击的进行。8.5.2入侵跟踪技术要跟踪入侵者，也就是知道入侵者所在的地址和其他信息。(1)媒体访问控制地址(MAC)：由生产厂家设定的硬件地址。(2)IP地址：互联网地址，如52。(3)域名：IP地址的名字化形式，如。(4)应用程序地址：代表特定应用服务程序，如电子邮件、网页浏览。8.5.3蜜罐技术蜜罐(Honeypot)

是专门为吸引并“诱骗”那些试图非法闯入他人计算机系统的人而设计的。8.6入侵检测技术的发展方向入侵检测从最初实验室里的研究课题到目前的商业IDS产品，已经有20多年的发展历史，随着入侵检测系统的研究和应用的不断深入，近年对入侵检测技术有以下几个主要的发展方向。

8.6.1体系结构的新发展分布式入侵检测一般由多个部件组成，分布在网络的各个部分，完成相应的功能，如进行数据采集、分析等。通过中心的控制部件进行数据汇总、分析、产生入侵报警等。有的系统的中心控制部件可以监督和控制其他部件的活动，修改其配制等。

8.6.2应用层入侵检测许多入侵的语义只有在应用层才能被理解，而目前的IDS仅能检测诸如Web之类的通用协议，而不能处理诸如LotusNotes、数据库系统等其他应用系统。许多基于客户、服务器结构与中间件技术及对象技术的大型应用，需要应用层的入侵检测保护。8.6.3基于智能代理技术的分布式入侵检测系统

近些年来，智能代理技术越来越成熟，目前也提出了不少基于智能代理技术的分布式入侵检测系统，如基于自治代理(AutonomousAgents)技术的AAFID(AutonomousAgentsForIntrusionDetesion)，还有基于移动代理的分布式入侵检测系统等。下面主要介绍基于自治代理技术的AAFID。8.6.4自适应入侵检测系统由于入侵方法和入侵特征的不断变化，入侵检测系统必须不断自学习，以便更新检测模型。为了适应这种需要，提出了一种具有自适应模型生成特性的入侵检测系统。该系统的体系结构中包含3个组件：代理、探测器(Detector)及自适应模型生成器(AdaptiveModelGenerator，AMG)。代理向探测器提供收集到的各种数据，而探测器则用来分析和响应已经发生的入侵。代理同时还向自适应模型生成器(AMG)发送数据，供其学习新的检测模型。

8.7入侵检测工具与产品介绍8.7.1SessionWall-3/eTrustIntrusionDetection8.7.2RealSecure

8.7.3SkyBell8.7.4免费的IDS-Snort

8.8本章实训入侵检测软件Sessio