《计算机网络安全基础与技能训练》课件第7章

第7章入侵检测技术7.1入侵检测技术概述7.2入侵检测技术的发展现状与趋势7.3入侵检测系统7.4入侵检测产品7.5Windows2000入侵检测技术实训九Windows环境下轻型Snort入侵检测系统的构建7.1入侵检测技术概述7.1.1入侵检测的起源

1.概念的诞生

1980年4月，JamesAnderson为美国空军做了一份题为《ComputerSecurityThreatMonitoringandSurveillance》(计算机安全威胁监控与监视)的技术报告，第一次详细阐述了入侵检测的概念。这份报告被公认为是入侵检测的开山之作。

2.模型的建立从1984年到1986年，乔治敦大学的DorothyDenning和SRI/CSL(SRI公司计算机科学实验室)的PeterNeumann研究出了一个实时入侵检测系统模型，取名为IDES(入侵检测专家系统)。

1988年，SRI/CSL的TeresaLunt等人改进了Denning的入侵检测模型，并开发出了一个IDES。

3.快速的发展

1990年是入侵检测系统发展史上的一个分水岭。这一年，加州大学戴维斯分校的L.T.Heberlein等人开发出了NSM(NetworkSecurityMonitor)。入侵检测系统的两大阵营正式形成：基于网络的IDS和基于主机的IDS。

1988年的莫里斯蠕虫事件发生之后，网络安全才真正引起了军方、学术界和企业的高度重视。各方相继开展对分布式入侵检测系统(DIDS)的研究。DIDS是分布式入侵检测系统历史上的一个里程碑式的产品。从20世纪90年代到现在，入侵检测系统的研发呈现出百家争鸣的繁荣局面，并在智能化和分布式两个方向取得了长足的进展。7.1.2入侵检测技术的概念入侵检测是指“通过对行为、安全日志、审计数据或其它网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图”(参见GB/T18336)，是检测和响应计算机误用的学科，其作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。入侵检测系统(IDS，IntrusionDetectionSystem)是进行入侵检测的软件与硬件的组合。上面的定义可以理解为：入侵检测(IntrusionDetection)是识别针对计算机或网络资源的恶意企图和行为，并对此做出反应的过程。IDS则是完成如上功能的独立系统。IDS能够检测未授权对象(人或程序)针对系统的入侵企图或行为(Intrusion)，同时监控授权对象对系统资源的非法操作(Misuse)。入侵检测系统具备以下的几个功能：

(1)从系统的不同环节收集信息；

(2)分析信息，试图寻找入侵活动的特征；

(3)自动对检测到的行为做出响应；

(4)记录并报告检测过程结果。入侵检测作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。入侵检测系统能很好地弥补防火墙的不足，从某种意义上说是防火墙的补充。为了能够更好地理解入侵检测系统，我们做一个比喻：假如防火墙是一幢大楼的门锁，那么IDS就是这幢大楼里的监视系统。如果小偷爬窗进入大楼，或内部人员有越界行为，实时监视系统能发现情况并发出警告。7.1.3入侵检测系统的工作流程和部署

1.入侵检测系统的工作流程入侵检测系统的工作流程大致分为以下几个步骤：信息收集、信息分析和结果处理。

1)信息收集入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为。由放置在不同网段的传感器或不同主机的代理来收集信息，包括系统和网络日志文件、网络流量、非正常的目录和文件改变、非正常的程序执行等。

2)信息分析收集到的有关系统、网络、数据及用户活动的状态和行为等信息，被送到检测引擎，检测引擎驻留在传感器中，一般通过三种技术手段进行分析：模式匹配、统计分析和完整性分析。当检测到某种误用模式时，产生一个告警并发送给控制台。其具体的技术形式如下所述：

(1)模式匹配。模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。该过程可以很简单(如通过字符串匹配以寻找一个简单的条目或指令)，也可以很复杂(如利用正规的数学表达式来表示安全状态的变化)。一般来讲，一种进攻模式可以用一个过程(如执行一条指令)或一个输出(如获得权限)来表示。该方法的一大优点是只需收集相关的数据集合，显著减少系统负担，且技术已相当成熟。它与病毒防火墙采用的方法一样，检测准确率和效率都相当高。但是，该方法存在的弱点是需要不断地升级以对付不断出现的黑客攻击手段，不能检测到从未出现过的黑客攻击手段。

(2)统计分析。分析方法首先给信息对象(如用户、连接、文件、目录和设备等)创建一个统计描述，统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常偏差之外时，就认为有入侵发生。例如，统计分析可能标识一个不正常行为，因为它发现一个在晚八点至早六点不登录的帐户却在凌晨两点试图登录。其优点是可检测到未知的入侵和更为复杂的入侵，缺点是误报、漏报率高，且不适应用户正常行为的突然改变。具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法，是目前的研究热点，正处于迅速发展之中。

(3)完整性分析。完整性分析主要关注某个文件或对象是否被更改，包括文件和目录的内容及属性，它在发现被更改的、被特洛伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制，能识别极其微小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵，只要是成功的攻击导致了文件或其它对象的任何改变，它都能够发现。缺点是一般以批处理方式实现，不用于实时响应。这种方式主要应用于基于主机的入侵检测系统(HIDS)。

3)结果处理控制台按照告警产生预先定义的响应采取相应措施，可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性，也可以只是简单的告警。

2.入侵检测系统的部署经典的入侵检测系统的部署方式如图7-1所示。图7-1RealSecure的部署图图7-1为ISS(InternetSecuritySystems)RealSecure的部署图，RealSecure是一种混合型的入侵检测系统，提供基于网络和基于主机的实时入侵检测。其控制台运行在Windows2000上。RealSecure的传感器是自治的，能被许多控制台控制。其各部分的功能如下：

(1) RealSecure控制台：对多台网络传感器和服务器代理进行管理；对被管理传感器进行远程的配置和控制；各个监控器发现的安全事件实时地报告控制台。

(2) NetworkSensor(网络引擎)：对网络进行监听并自动对可疑行为进行响应，最大程度保护网络安全；运行在特定的主机上，监听并解析所有的网络信息，及时发现具有攻击特征的信息包；检测本地网段，查找每一数据包内隐藏的恶意入侵，对发现的入侵做出及时的响应。当检测到攻击时，网络引擎能即刻做出响应，进行告警/通知(向控制台告警、向安全管理员发E-mail、SNMPtrap、查看实时会话和通报其他控制台)，记录现场(记录事件日志及整个会话)，采取安全响应行动(终止入侵连接、调整网络设备配置、执行特定的用户响应程序)。

(3) ServerSensor(服务器代理，安装在各个服务器上)：对主机的核心级事件、系统日志以及网络活动实现实时入侵检测；具有包拦截、智能报警以及阻塞通信的能力，能够在入侵到达操作系统或应用程序之前主动阻止入侵；自动重新配置网络引擎和选择防火墙阻止黑客的进一步攻击。7.1.4入侵检测技术的分类现有对入侵检测技术的分类，大都是基于信息源和分析方法进行的。

1.根据检测对象分类根据信息源的不同，入侵检测技术分为基于主机型和基于网络型。

1)基于主机的入侵检测系统(HIDS，Host-basedIntrusionDetectionSystem)基于主机的IDS可监测系统、事件和WindowsNT下的安全记录以及Unix环境下的系统记录。当有文件被修改时，IDS将新的记录条目与已知的攻击特征相比较，看它们是否匹配。如果匹配，就会向系统管理员报警或者做出适当的响应。基于主机的IDS在发展过程中融入了其他技术。检测对关键系统文件和可执行文件入侵的一个常用方法是通过定期检查文件的校验和来进行的，这可以发现异常的变化，而反应的快慢取决于轮询间隔时间的长短。许多产品都监听端口的活动，并在特定端口被访问时向管理员报警。这类检测方法将基于网络的入侵检测的基本方法融入到基于主机的检测环境中。

2)基于网络的入侵检测系统(NIDS，Network-basedIntrusionDetectionSystem)基于网络的入侵检测系统以网络包作为分析数据源。它通常利用一个工作在混杂模式下的网卡来实时监视并分析通过网络的数据流。它的分析模块通常使用模式匹配、统计分析等技术来识别攻击行为。一旦检测到了攻击行为，IDS的响应模块就做出适当的响应，比如报警、切断相关用户的网络连接等。不同入侵检测系统在实现时采用的响应方式也可能不同，但通常都包括通知管理员、切断连接、记录相关的信息以提供必要的法律依据等。

3)基于主机和基于网络的入侵检测系统的集成许多机构的网络安全解决方案都同时采用了基于主机和基于网络的两种入侵检测系统，因为这两种系统在很大程度上是互补的。实际上，许多客户在使用IDS时都配置了基于网络的入侵检测。在防火墙之外的检测器检测来自外部Internet的攻击。DNS、E-mail和Web服务器经常是攻击的目标，但是它们又必须与外部网络交互，不可能对其进行全部屏蔽，所以应当在各个服务器上安装基于主机的入侵检测系统，其检测结果也要向分析员控制台报告。因此，即便是小规模的网络结构也常常需要基于主机和基于网络的两种入侵检测能力。

2.根据检测技术分类根据检测所用分析方法的不同，可分为误用检测和异常检测。

1)误用检测(MisuseDetection)检测与已知的不可接受行为之间的匹配程度。如果可以定义所有的不可接受行为，那么每种能够与之匹配的行为都会引起告警。收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。这种检测模型误报率低、漏报率高。对于已知的攻击，它可以详细、准确地报告出攻击类型，但是对未知攻击却效果有限，而且特征库必须不断更新。设定一些入侵活动的特征(Signature)，通过现在的活动是否与这些特征匹配来检测。常用的检测技术有以下几种。

(1)专家系统：采用一系列的检测规则分析入侵的特征行为。规则，即知识，是专家系统赖以判定入侵存在与否的依据。除了知识库的完备性外，专家系统还依靠条件库的完备性，这一点又取决于审计记录的完备性、实时性和易用性。此外，匹配算法的快慢，也对专家系统的工作效率有很大的影响。

(2)基于模型的入侵检测方法：入侵者在攻击一个系统时往往采用一定的行为序列，如猜测口令的行为序列。这种行为序列构成了具有一定行为特征的模型，根据这种模型所代表的攻击意图的行为特征，可以实时地检测出恶意的攻击企图。与专家系统通常放弃处理那些不确定的中间结论的缺点相比，这一方法的优点在于它基于完善的不确定性推理数学理论。基于模型的入侵检测方法可以仅监测一些主要的审计事件。当这些事件发生后，再开始记录详细的审计，从而减少审计事件处理负荷。这种检测方法的另外一个特点是可以检测组合攻击(coordinateattack)和多层攻击(multi-stageattack)，因此为分布式IDS系统所采用。

(3)简单模式匹配(PatternMatching)：基于模式匹配的入侵检测方法将已知的入侵特征编码成为与审计记录相符合的模式。当新的审计事件产生时，这一方法将寻找与它相匹配的已知入侵模式。

(4)软计算方法：软计算方法包含了神经网络、遗传算法与模糊技术。近年来已有关于运用神经网络进行入侵检测实验的报道，但还没有正式的产品问世。

2)异常检测(AnomalyDetection)检测与可接受行为之间的偏差。如果可以定义每项可接受的行为，那么每项不可接受的行为就都应该是入侵。首先总结正常操作应该具有的特征(用户轮廓)，当用户活动与正常行为有重大偏离时即被认为是入侵。这种检测模型漏报率低，误报率高。因为不需要对每种入侵行为进行定义，所以能有效检测未知的入侵。异常检测假设入侵者活动异于正常的活动。为实现该类检测，IDS建立正常活动的“规范集”(NormalProfile)，当主体的活动违反其统计规律时，认为可能是“入侵”行为。异常检测的优点：具有抽象系统正常行为从而检测系统异常行为的能力。这种能力不受系统以前是否知道这种入侵与否的限制，所以能够检测新的入侵行为。异常检测的缺点：若入侵者了解到检测规律，就可以小心地避免系统指标的突变，而使用逐渐改变系统指标的方法逃避检测；检测效率不高，检测时间较长；是一种“事后”检测，当检测到入侵行为时，破坏早已经发生了。

3)统计方法统计方法是当前产品化的入侵检测系统中常用的方法，它是一种成熟的入侵检测方法，它使入侵检测系统能够学习主体的日常行为，将那些与正常活动之间存在较大统计偏差的活动标识成异常活动。常用的入侵检测统计模型为：操作模型、方差、计算参数的方差、多元模型、马尔柯夫过程模型和时间序列分析。统计方法的最大优点是它可以“学习”用户的使用习惯，从而具有较高检出率与可用性。但是它的“学习”能力也给入侵者以机会：通过逐步“训练”使入侵事件符合正常操作的统计规律，从而透过入侵检测系统。入侵检测系统的分类如图7-2所示。图7-2入侵检测系统分类图7.2入侵检测技术的发展现状与趋势7.2.1发展现状

1.应用领域越来越广泛在互联网高速上网迅速发展的今天，随着安全事件的急剧增加以及入侵检测技术的逐步成熟，入侵检测系统将会有很大的应用前景。比如银行的互联网应用系统(支付网关、网上银行等)、科研单位的开发系统、军事系统、普通的电子商务系统、ICP等，都需要有IDS的护卫。移动通信由于具有不受地理位置的限制、可自由移动等优点而得到了用户的普遍欢迎和广泛使用。但是移动通信在带来可移动的优越性的同时也带来了系统安全性的问题。由于移动通信的固有特点，移动台(MS)与基站(BS)之间的空中无线接口是开放的，整个通信过程，包括通信、链路的建立、信息的传输(如用户的身份信息、位置信息、语音以及其它数据流)均暴露在第三方面前。而且在移动通信系统中，移动用户与网络之间不存在固定物理连接的特点使得移动用户必须通过无线信道传递其身份信息，以便于网络端能正确鉴别移动用户的身份，而这些信息就可能被第三者截获，并伪造信息，假冒此用户身份使用通信服务。另外，无线网络也容易受到黑客和病毒的攻击。因此，IDS在无线网络方面有广阔的应用前景。越来越多的人通过互联网将家中的计算机与公司联网，而由于使用了宽带，这些用户的网络或DSL调制解调器总是处于打开的状态，对黑客有极大的诱惑力。黑客可以由此侵入网络，盗窃信用卡、身份证明或进入网络管理系统，一些传播很快的病毒还会把个人计算机的内容暴露给黑客，这些都预示着IDS将逐渐走入家庭。

2.规模和方法发生了变化从规模与方法上，入侵技术近年来都发生了变化。主要反映在下列几个方面：

(1)入侵或攻击的综合化与复杂化。由于网络防范技术的多重化，攻击的难度增加，使得入侵者在实施入侵或攻击时往往同时采取多种入侵的手段，以保证入侵的成功几率，并可在攻击实施的初期掩盖攻击或入侵的真实目的。

(2)入侵主体对象的间接化，即实施入侵与攻击的主体的隐蔽化。通过一定的技术，可掩盖攻击主体的源地址及主机位置。即使用了隐蔽技术后，对于被攻击对象，攻击的主体是无法直接确定的。

(3)入侵或攻击的规模扩大。对于网络的入侵与攻击，其初期往往是针对某公司或一个网站，其攻击的目的可能是某些网络技术爱好者的猎奇行为，也不排除商业的盗窃与破坏行为。由于战争对电子技术与网络技术的依赖性越来越大，随之产生、发展、逐步升级到电子战与信息战。对于信息战，无论其规模与技术都与一般意义上的计算机网络的入侵与攻击不可相提并论。信息战的成败和国家主干通信网络的安全是与任何主权国家领土安全一样重要的国家安全。

(4)入侵或攻击技术的分布化。以往常用的入侵与攻击行为往往由单机执行。由于防范技术的发展使得此类行为不能奏效。所谓的分布式拒绝服务(DDoS)在很短时间内可造成被攻击主机的瘫痪。且此类分布式攻击的单机信息模式与正常通信无差异，所以往往在攻击发动的初期不易被确认。分布式攻击是近年来最常用的攻击手段之一。

(5)攻击对象的转移。入侵与攻击常以网络为侵犯的主体，但近期来的攻击行为却发生了策略性的改变，由攻击网络改为攻击网络的防护系统，且有愈演愈烈的趋势。现已有专门针对IDS进行攻击的报道。攻击者详细地分析了IDS的审计方式、特征描述、通信模式后找出IDS的弱点，然后加以攻击。

3.目前IDS存在的缺陷入侵检测系统作为网络安全防护的重要手段，有很多地方值得我们进一步深入研究。目前的IDS还存在很多问题，有待于进一步完善。

1)高误警(误报)率误警的传统定义是将良性流量误认为恶性的。广义上讲，误警还包括对IDS用户不关心事件的告警。因此，导致IDS产品高误警率的原因是IDS检测精度过低以及用户对误警概念的拓展。

2)产品适应能力低传统的IDS产品在开发时没有考虑特定网络环境的需求，千篇一律。网络技术在发展，网络设备变得复杂化、多样化，这就需要入侵检测产品能动态调整，以适应不同环境的需求。

3)大型网络的管理问题很多企业规模在不断扩大，对IDS产品的部署从单点发展到跨区域全球部署，这就将公司对产品管理的问题提上了日程。首先，要确保新的产品体系结构能够支持数以百计的IDS传感器；其次，要能够处理传感器产生的告警事件；此外，还要解决攻击特征库的建立、配置以及更新问题。

4)缺少防御功能检测，作为一种被动且功能有限的技术，缺乏主动防御功能。因此，需要在下一代IDS产品中嵌入防御功能，才能变被动为主动。

5)评价IDS产品没有统一标准对入侵检测系统的评价目前还没有客观的标准，标准的不统一使得入侵检测系统之间不易互联。随着技术的发展和对新攻击识别的增加，入侵检测系统需要不断升级才能保证网络的安全性。

6)处理速度上的瓶颈随着高速网络技术如ATM、千兆以太网等的相继出现，如何实现高速网络下的实时入侵检测是亟需解决的问题。目前的百兆、千兆IDS产品的性能指标与实际要求还存在很大的差距。7.2.2发展趋势

1.发展方向今后的入侵检测技术大致可朝下述三个方向发展。

1)分布式入侵检测分布式入侵检测有两层含义：第一层，针对分布式网络攻击的检测方法；第二层，使用分布式的方法来检测分布式的攻击，其中的关键技术为检测信息的协同处理与入侵攻击的全局信息的提取。分布式系统是现代IDS主要发展方向之一，它能够在数据收集、入侵分析和自动响应方面最大限度地发挥系统资源的优势，其设计模型具有很大的灵活性。

2)智能化入侵检测智能化入侵检测即使用智能化的方法与手段来进行入侵检测。所谓的智能化方法，现阶段常用的有神经网络、遗传算法、模糊技术、免疫原理等方法，这些方法常用于入侵特征的辨识与泛化。利用专家系统的思想来构建入侵检测系统也是常用的方法之一。特别是具有自学习能力的专家系统，实现了知识库的不断更新与扩展，使设计的入侵检测系统的防范能力不断增强，应具有更广泛的应用前景。应用智能体的概念来进行入侵检测的尝试也已有报道。较为一致的解决方案应为高效常规意义下的入侵检测系统与具有智能检测功能的检测软件或模块的结合使用。

3)全面的安全防御方案结合防火墙、PKIX、安全电子交易(SET)等新的网络安全与电子商务技术，提供完整的网络安全保障。例如，基于网络和基于主机的入侵检测系统相结合，将把现在的基于网络和基于主机这两种检测技术很好地集成起来，相互补充，提供集成化的攻击、检测、报告和事件关联等功能。同时，使用安全工程风险管理的思想与方法来处理网络安全问题，将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、入侵检测等多方位对所关注的网络作全面的评估，然后提出可行的全面解决方案。

2.下一代IDS系统采用的技术为了降低误警率，合理部署多级传感器，有效控制跨区域的传感器，下一代入侵检测产品需要包含以下关键技术。

1)智能关联智能关联是将企业相关系统的信息(如主机特征信息)与网络IDS检测结构相融合，从而减少误警。如系统的脆弱性信息需要包括特定的操作系统(OS)以及主机上运行的服务。当IDS使用智能关联时，它可以参考目标主机上存在的、与脆弱性相关的所有告警信息。如果目标主机不存在某个攻击可以利用的漏洞，IDS将抑制告警的产生。

2)告警泛滥抑制

IDS产品使用告警泛滥抑制技术可以降低误警率。在利用漏洞的攻击势头逐渐变强之时，IDS短时间内会产生大量的告警信息；而IDS传感器却要对同一攻击重复记录，尤其是蠕虫在网络中自我繁殖的过程中，这种现象最为严重。NFR(一家网络安全公司)称这种现象为“告警饱和”。“告警泛滥”是指短时间内产生的关于同一攻击的告警。下一代IDS产品利用一些规则(规则的制定需要考虑传感器)筛选产生的告警信息来抑制告警泛滥；IDS可根据用户需求减少或抑制短时间内同一传感器针对某个流量产生的重复告警。这样，网管人员可以专注于公司网络的安全状况，不至于为泛滥的告警信息大伤脑筋。告警泛滥抑制技术是将一些规则或参数(包括告警类型、源IP、目的IP以及时间窗大小)融入到IDS传感器中，使传感器能够识别告警饱和现象并实施抑制操作。有了这种技术，传感器可以在告警前对警报进行预处理，抑制重复告警。例如，可以对传感器进行适当配置，使它忽略在30 s内产生的针对同一主机的告警信息；IDS在抑制告警的同时可以记录这些重复告警用于事后的统计分析。

3)告警融合该技术是将不同传感器产生的、具有相关性的低级别告警融合成更高级别的告警信息，这有助于解决误报和漏报问题。当与低级别告警有关的条件或规则满足时，安全管理员在IDS上定义的元告警相关性规则就会促使高级别告警产生。元告警相关性规则中定义的参数包括时间窗、事件数量、事件类型IP地址、端口号、事件顺序等。

4)可信任防御模型改进的IDS中应该包含可信任防御模型的概念。事实上，2004年多数传统的IDS供应商已经逐渐地把防御功能加入到IDS产品中。与此同时，IPS(入侵防御系统)产品的使用率在增长，但是安全人士仍然为IDS产品预留了实现防御功能的空间。IDS产品供应商之所以这样做，部分原因在于他们认识到防御功能能否有效地实施关键在于检测功能的准确性和有效性。没有精确的检测就谈不上建立可信任的防御模型。所以，开发出好的内嵌防御功能的IDS产品关键在于提高检测的精确度。在下一代IDS产品中，融入可信任防御模型后，将会对第一代IDS产品遇到的问题(误报导致合法数据被阻塞、丢弃；自身原因造成的拒绝服务攻击泛滥；应用级防御)有个圆满的解决。7.3入侵检测系统7.3.1基于网络的入侵检测系统基于网络的入侵检测产品(NIDS)放置在比较重要的网段内，不停地监视网段中的各种数据包。对每一个数据包或可疑的数据包进行特征分析。如果数据包与产品内置的某些规则吻合，入侵检测系统就会发出警报甚至直接切断网络连接。目前，大部分入侵检测产品是基于网络的。值得一提的是，在网络入侵检测系统中，有多个久负盛名的开放源码软件，如Snort、NFR、Shadow等，其中Snort的社区()非常活跃，其入侵特征更新速度与研发的进展已超过了大部分商品化产品。

1.网络入侵检测系统的优点网络入侵检测系统能够检测那些来自网络的攻击，它能够检测到超过授权的非法访问。一个网络入侵检测系统不需要改变服务器等主机的配置。由于它不会在业务系统的主机中安装额外的软件，从而不会影响这些机器的CPU、I/O与磁盘等资源的使用，不会影响业务系统的性能。网络入侵检测系统发生故障不会影响正常业务的运行。部署一个网络入侵检测系统的风险比部署一个主机入侵检测系统的风险少得多。网络入侵检测系统近年来有向专门设备发展的趋势，安装这样的一个网络入侵检测系统非常方便，只需将定制的设备接上电源，做很少一些配置，将其连到网络上即可。

2.网络入侵检测系统的弱点网络入侵检测系统只能检查它直接连接网段的通信，不能检测在不同网段的网络包。在使用交换以太网的环境中就会出现监测范围的局限。而安装多台网络入侵检测系统的传感器会使部署整个系统的成本大大增加。网络入侵检测系统为了性能目标通常采用特征检测的方法，它可以检测出一些普通的攻击，而很难实现一些复杂的需要大量计算与分析时间的攻击检测。网络入侵检测系统可能会将大量的数据传回分析系统中。在一些系统中监听特定的数据包会产生大量的分析数据流量。一些系统在实现时采用一定方法来减少回传的数据量，对入侵判断的决策由传感器实现，而中央控制台成为状态显示与通信中心，不再作为入侵行为分析器。这样的系统中的传感器协同工作能力较弱。网络入侵检测系统处理加密的会话过程较困难，目前通过加密通道的攻击尚不多，但随着IPv6的普及，这个问题会越来越突出。7.3.2基于主机的入侵检测系统基于主机的入侵检测产品(HIDS)通常安装在被重点检测的主机之上，主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。如果其中主体活动十分可疑(特征或违反统计规律)，入侵检测系统就会采取相应措施。

1.主机入侵检测系统的优点主机入侵检测系统对分析“可能的攻击行为”非常有用。举例来说，有时候它除了指出入侵者试图执行一些“危险的命令”之外，还能分辨出入侵者干了什么事：他们运行了什么程序、打开了哪些文件、执行了哪些系统调用。主机入侵检测系统与网络入侵检测系统相比通常能够提供更详尽的相关信息。主机入侵检测系统通常情况下比网络入侵检测系统误报率要低，因为检测在主机上运行的命令序列比检测网络流更简单，系统的复杂性也少得多。主机入侵检测系统可部署在那些不需要广泛的入侵检测或传感器与控制台之间的通信带宽不足的情况下。主机入侵检测系统在不使用诸如“停止服务”、“注销用户”等响应方法时风险较少。

2.主机入侵检测系统的弱点主机入侵检测系统安装在需要保护的设备上。当一个数据库服务器需要保护时，就要在服务器本身安装上入侵检测系统，这会降低应用系统的效率，并带来一些额外的安全问题，如安装了主机入侵检测系统后，将本不允许安全管理员访问的服务器变成可以访问的了。主机入侵检测系统的另一个问题是它依赖于服务器固有的日志与监视能力。如果服务器没有配置日志功能，则必须重新配置，这将会给运行中的业务系统带来不可预见的性能影响。全面部署主机入侵检测系统代价较大，企业中很难将所有主机用主机入侵检测系统保护，只能选择保护部分主机。那些未安装主机入侵检测系统的机器将成为保护的盲点，入侵者可利用这些机器攻击目标。主机入侵检测系统只监测自身的主机，根本不监测网络上的情况。对入侵行为分析的工作量将随着主机数目的增加而增加。7.3.3混合入侵检测系统基于网络的入侵检测产品和基于主机的入侵检测产品都有不足之处，单纯使用一类产品会造成主动防御体系不全面。但是，它们的缺憾是互补的。如果这两类产品能够无缝结合起来部署在网络内，则会构架成一套完整立体的主动防御体系，这个体系综合了基于网络和基于主机两种结构特点的入侵检测系统，既可发现网络中的攻击信息，也可从系统日志中发现异常情况。7.3.4文件完整性检查系统文件完整性检查系统检查计算机中自上次检查后文件的变化情况。文件完整性检查系统保存有每个文件的数字文摘数据库，每次检查时，它重新计算文件的数字文摘并将它与数据库中的值相比较，如不同，则表示文件已被修改，若相同，则表示文件未发生变化。文件的数字文摘通过Hash函数计算得到。不管文件长度如何，它的Hash函数计算结果总是一个固定长度的数字。与加密算法不同，Hash算法是一个不可逆的单向函数。采用安全性高的Hash算法，如MD5、SHA时，两个不同的文件几乎不可能得到相同的Hash结果。从而，当文件一被修改，就可检测出来。在文件完整性检查中功能最全面的当属Tripwire，其开放源代码的版本可从获得。

1.文件完整性检查系统的优点从数学上分析，攻克文件完整性检查系统，无论是时间上还是空间上都是不可能的。文件完整性检查系统是非常强劲的检测文件是否被修改的工具。实际上，文件完整性检查系统是检测系统是否被非法使用的最重要的工具之一。文件完整性检查系统具有相当的灵活性，可以配置成监测系统中所有文件或只监测某些重要文件。当一个入侵者攻击系统时会干两件事：首先，他要掩盖踪迹，即要通过更改系统中的可执行文件、库文件或日志文件来隐藏他的活动；其次，他要做一些改动，保证下次能够继续入侵。这两种活动都能够被文件完整性检查系统检测出。

2.文件完整性检查系统的弱点文件完整性检查系统依赖于本地的文摘数据库。与日志文件一样，这些数据可能被入侵者修改。当一个入侵者取得管理员权限后，在完成破坏活动后，可以运行文件完整性检查系统更新数据库，从而瞒过系统管理员。当然，可以将文摘数据库放在只读的介质上，但这样的配置又不够灵活。做一次完整的文件完整性检查是一个非常耗时的工作，在Tripwire中，在需要时可选择检查某些系统特性而不是完全的摘要，从而加快检查速度。系统有些正常的更新操作可能会带来大量的文件更新，从而产生比较繁杂的检查与分析工作，如，在WindowsNT系统中升级MSOutlook会导致1800多个文件发生变化。7.4入侵检测产品7.4.1主要的IDS公司及其产品目前国内外已有很多公司开发入侵检测系统，有的作为独立的产品，有的作为防火墙的一部分，其结构和功能也不尽相同。

1. Cisco公司的NetRanger

1996年3月，WheelGroup基于多年的业界经验推出了NetRanger。产品分为两部分：监测网络包和发告警的传感器，以及接收并分析告警和启动对策的控制器。另外，至少还需要一台奔腾PC来运行传感器程序以及一台SunSparcStation通过OpenView或NetView来运行控制器程序。两者都运行Sun的Solaris系统。

NetRanger以其高性能而闻名，而且它还非常易于裁剪。控制器程序可以综合多站点的信息并监视散布在整个企业网上的攻击。NetRanger的最大名声在于其是针对企业而设计的。这种名声的标志之一是其分销渠道，EDS、PerotSystems、IBMGlobalServices都是其分销商。

NetRanger在全球广域网上运行得很成功。例如，它有一个路径备份(Path-doubling)功能。如果一条路径断掉了，信息可以从备份路径上传过来。它甚至能做到从一个点上监测全网或把监测权转给第三方。

NetRanger的另一个强项是其在检测问题时不仅观察单个包的内容，而且还看上下文，即从多个包中得到线索。这是很重要的一点，因为入侵者可能以字符模式存取一个端口，然后在每个包中只放一个字符。如果一个监测器只观察单个包，它就永远不会发现完整的信息。按照GartnerGroup的研究专家JudeO’Reilley的说法，NetRanger是目前市场上基于网络的入侵检测软件中经受实践考验最多的产品之一。但是，对于某些用户来讲，NetRanger的强项也可能正好是其不足。它被设计为集成在OpenView或NetView下，在网络运行中心(NOC)使用，其配置需要对UNIX有详细的了解。NetRanger相对较昂贵，这对于一般的局域网来讲也未必适合。

2. NetworkAssociates公司的CyberCop

NetworkAssociates公司是1977年由以生产Sniffer类探测器闻名的NetworkGeneral公司与以生产反病毒产品为专业的McAfeeAssociates公司合并而成的。NetWorkAssociates从Cisco那里取得授权，将NetRanger的引擎和攻击模式数据库用在CyberCop中。

CyberCop基本上可以认为是NetRanger的局域网管理员版。这些局域网管理员正是NetWorkAssociates的主要客户群。其软件价格比NetRanger还贵，但其平台却可以是运行Solaris2.5.1的。另外，CyberCop被设计成一个网络应用程序，一般在20分钟内就可以安装完毕。它预设了6种通常的配置模式：WindowsNT和UNIX的混合子网、UNIX子网、NT子网、远程访问、前沿网(如Internet的接入系统)和骨干网。它没有Netware的配置。前端设计成浏览器方式主要是考虑易于使用，发挥NetworkGeneral在提炼包数据上的经验，用户使用时也易于查看和理解。像在Sniffer中一样，它在帮助文档里结合了专家知识。CyberCop还能生成可以被Sniffer识别的踪迹文件。与NetRanger相比，CyberCop缺乏一些企业应用的特征，如路径备份功能等。

3. NetworkSecurityWizards公司的DragonIDS

NetworkSecurityWizards公司生产的Dragon产品能检测到较多攻击。Dragon是一个非常原始的工具，Dragon通过命令行方式来执行，只有非常简单的基于Web的报告工具。指令集的简单性也允许Dragon的用户很方便地定制和产生自己的攻击签名。Dragon的攻击行为表示方法通过使用一个基本的参数定义集合，用户可以定义要搜索的端口、协议、样本大小、字符串等。但是，Dragon没有提供中央控制台或任何类型的GUI管理工具，产生的数据冗长而又复杂，在易于使用和事件可管理性方面完全失败。

4.中科网威的“天眼”入侵检测系统中科网威信息技术有限公司的“天眼”入侵检测系统、“火眼”网络安全漏洞检测系统是国内少有的几个入侵检测系统之一。它根据国内网络的特殊情况，由中国科学院网络安全关键技术研究组经过多年研究，综合运用了多种检测系统成果研制成功。它根据系统的安全策略做出反映，实现了对非法入侵的定时报警，记录事件，方便取证，自动阻断通信连接，重置路由器、防火墙，同时及时发现并及时提出解决方案，可列出可参考的全热链接网络和系统中易被黑客利用和可能被黑客利用的薄弱环节，防范黑客攻击。该系统的总体技术水平达到了国际先进。

5.启明星辰的SkyBell(天阗)启明星辰公司的黑客入侵检测与预警系统，集成了网络监听监控、实时协议分析、入侵行为分析及详细日志审计跟踪等功能。对黑客入侵能进行全方位的检测，准确地判断上述黑客攻击方式，及时地进行报警或阻断等措施。它可以在Internet和Intranet两种环境中运行，以保护企业整个网络的安全。SkyBell系统主要包括两部分：探测器和控制器。其中探测器能监视网络上流过的所有数据包，根据用户定义的条件进行检测，识别出网络中正在进行的攻击。实时检测到入侵信息并向控制器管理控制台发出告警，由控制台给出定位显示，从而将入侵者从网络中清除出去。探测器能够监测所有类型的TCP/IP网络，强大的检测功能为用户提供了最为全面、有效的入侵检测能力。其他的IDS产品还有很多，在此不再一一介绍，读者可以参考表7-1中的IDS软件厂商进行了解。表7-1主流的IDS软件厂商及其网址7.4.2选择入侵检测产品应遵循的原则目前，市场上的入侵检测产品大大小小有上百家，如何选择适合自己的产品，是一件摆在广大安全管理员和企业技术决策者面前很头痛的事。下面就根据产品的综合性能，谈谈选择入侵检测产品应遵循的原则。

(1)产品的攻击检测数量为多少？是否支持升级？

IDS的主要指标是它能发现的入侵方式的数量，几乎每个星期都有新的漏洞和攻击方法出现，产品的升级方式是否灵活直接影响到它功能的发挥。一个好的实时检测产品应该能经常性升级，并可通过互联网升级或下载升级包在本地升级。

(2)对于网络入侵检测系统，最大可处理流量(PPS)是多少？首先，要分析网络入侵检测系统所部署的网络环境，如果在512kb或2Mb专线上布署网络入侵检测系统，则不需要高速的入侵检测引擎，而在负荷较高的环境中，性能是一个非常重要的指标。

(3)产品容易被攻击者躲避吗？有些常用的躲开入侵检测的方法，如分片、TTL欺骗、异常TCP分段、慢扫描、协同攻击等。产品在设计时是否考虑到这些问题也是选择IDS产品时应注意的问题。

(4)能否自定义异常事件？

IDS对特殊的监控需求只能通过用户自己定制监控策略实现。一个优秀的IDS产品，必须提供灵活的用户自定义策略能力，包括对服务、访问者、被访问者、端口、关键字以及事件的响应方式等策略。

(5)产品系统结构是否合理？一个成熟的产品，必须是集成了基于百兆网络、基于千兆网络、基于主机三种技术的系统。传统的IDS大多是两层结构的，即“控制台/探测器”结构。一些先进的IDS产品开始采用三层架构进行部署，即“控制台/事件收集器 + 安全数据库/探测器”结构。对于大型网络来说，三层结构更加易于实现分布部署和集中管理，从而提高安全决策的集中性。如果没有远程管理能力，三层结构对于大型网络基本不具备可用性。

(6)产品的误报和漏报率如何？有些IDS经常发出许多假警报，假警报常常掩盖了真攻击。这些产品在假警报重负下一再崩溃，而当真正的攻击出现时，有些IDS产品不能捕获攻击，而另一些IDS产品的报告混杂在假警报中，很容易被错过。过分复杂的界面使关掉假警报非常困难，几乎所有IDS产品在默认设置状态下都会产生非常多的假警报，给用户带来许多麻烦。

(7)系统本身是否安全？

IDS系统记录了企业最敏感的数据，必须有自我保护机制，防止成为黑客的攻击目标。

(8)产品实时监控性能如何？由IDS通信造成的对网络的负载不能影响正常的网络业务，必须对数据进行实时分析，否则无法在有攻击时保护网络，所以必须考虑网络入侵检测产品正常工作的最大带宽数。

(9)系统是否易用？系统的易用性包括五个方面：①界面易用——全中文界面，方便易学，操作简便灵活。②帮助易用——在监控到异常事件时能够立刻查看报警事件的帮助信息，同时在联机帮助中能够按照多种方式查看产品帮助。③策略编辑易用——提供单独的策略编辑器，可同时编辑多个策略，提供策略打印功能。④日志报告易用——提供灵活的报告定制能力。⑤报警事件优化技术——针对报警事件进行优化处理，将用户从海量日志中解放出来。先进的IDS能够将一定时间内的类似事件经过优化处理后合并进行报警，这样，用户面对的日志信息不仅更为清晰，而且可避免错过重要报警信息。

(10)特征库升级与维护的费用怎样？像反病毒软件一样，入侵检测系统的特征库需要不断更新才能检测出新出现的攻击方法。

(11)产品是否通过了国家权威机构的评测？主要的权威评测机构有：国家信息安全评测认证中心、公安部计算机信息系统安全产品质量监督检验中心等。

(12)系统的价格如何？当然，价格是必须考虑的一点，不过，性能价格比以及被保护系统的价值是更重要的因素。

(13)产品的可伸缩性如何？可伸缩性主要指系统支持的传感器数目、最大数据库大小、传感器与控制台之间通信带宽和对审计日志溢出的处理等指标。

(14)运行与维护系统的开销有多少？这主要指产品报表结构、处理误报的方便程度、事件与日志查询的方便程度以及使用该系统所需的技术人员数量等方面。

(15)产品支持的入侵特征数有多少？不同厂商对检测特征库大小的计算方法都不一样，所以不能偏听一面之辞。

(16)产品有哪些响应方法？要从本地、远程等多个角度考察。自动更改防火墙配置是一个听上去很“酷”的功能，但是，自动配置防火墙却是一个极为危险的举动。另外，购买IDS产品需要考虑多种因素，上面只是基本的要点。由于用户的实际情况不同，用户可根据自己的安全需要综合考虑。7.5Windows2000入侵检测技术

入侵检测主要还是根据应用来进行的，提供了相应的服务就应该有相应的检测分析系统来进行保护，对于一般的主机来说，主要应该注意以下几个方面。

1.文件访问日志与关键文件保护除了系统默认的安全审核外，对于关键文件(关键文件不仅仅指的是系统文件，还包括有可能对系统管理员或其他用户构成危害的任何文件，例如系统管理员的配置、桌面文件等，这些都是有可能用来窃取系统管理员资料/密码的)，还要加设文件访问日志记录对它们的访问。文件访问有很多的选项：访问、修改、执行、新建、属性更改等，一般关注访问和修改就能起到很大的监视作用。例如：如果监视了系统目录的修改、创建，甚至部分重要文件的访问(例如cmd.exe,net.exe，system32目录)，则入侵者很难在不引起注意的情况下安放后门。

注意：监视的关键文件和项目不能太多，否则不仅增加系统负担，还会扰乱日常的日志监测工作。

2.进程监控进程监控技术是追踪木马后门的一个有力武器，90%以上的木马和后门是以进程的形式存在的，作为系统管理员，必须了解服务器上运行的每个进程，这有助于发现入侵进程，异常的用户进程或者异常的资源占用都有可能是非法进程。除了进程外，DLL文件也是危险的东西，例如把原本是exe类型的木马改写为dll后，使用rundll32运行就比较具有迷惑性。

3.注册表校验一般来说，如果一个入侵者只懂得使用流行的木马，那么由于普通木马只能写入特定的几个键值(比如Run、Runonce等)，查找起来是相对容易的。但是如果入侵者自己可以编写或改写木马，则注册表的任何地方都可以藏身(注册表藏身千变万化，例如需要特别提出来的FakeGina技术，这种利用WINNT外嵌登录DLL(Ginadll)来获得用户密码的方法最近比较流行，一旦中招，登录用户的密码就会被记录下来)，这样靠手工查找几乎没有可能。应对的方法是监控注册表的任何改动，这样改写注册表的木马就无所遁形了。监控注册表的软件非常多，很多追查木马的软件都带有这样的功能。还应该定期对注册表进行备份，万一注册表被非授权修改，系统管理员也能在最短的时间内恢复。

4.端口监控虽然说不使用端口的木马已经出现，但大部分的后门和木马还是使用TCP连接的，对于由于种种原因不能封锁端口的主机，监控端口状况是非常重要的。通常查看端口状态是使用netstat，但这不可能24小时使用，因此可用脚本来实现IP日志记录，命令如下：

netstat-n-ptcp10>>Netstat.log该命令是每10秒钟自动查看一次TCP的连接状况，基于这个命令做一个Netlog.bat文件：

time/t>>Netstat.log

Netstat-n-ptcp10>>Netstat.log这个脚本将会自动记录时间和TCP连接状态。

注意：如果网站访问量比较大，这样的操作需要消耗一定的CPU时间，而且日志文件将越来越大。一旦发现异常的端口，可以使用特殊的程序来关联端口、可执行文件和进程(如inzider就有这样的功能，它可以发现服务器监听的端口并找出与该端口关联的文件，这样无论是使用TCP还是UDP的木马都无处藏身。

5.终端服务的日志监控单独将终端服务(TerminalService)的日志监控分列出来是有原因的，微软Windows2000服务器版中自带的终端服务TerminalService是一个基于远程桌面协议(RDP)的工具，它的速度非常快，也很稳定，可以成为一个很好的远程管理软件，但是因为这个软件功能强大而且只受到密码的保护，所以也非常危险，一旦入侵者拥有了管理员密码，就能够像操作本机一样操作远程服务器。打开日志审核的步骤：

(1)在“管理工具”中打开“远程控制服务配置”(TerminalServiceConfigration)；

(2)点击“连接”，右击RDP服务(比如RDP-TCP(MicrosoftRDP5.0)；

(3)选中书签“权限”，点击左下角的“高级”，就能看到“审核”；

(4)加入一个Everyone组(代表所有的用户)，然后审核其“连接”、“断开”、“注销”的成功和“登录”的成功与失败；

(5)从“管理工具”的“日志查看器”中查看。

注意：该工具不记录客户端的IP，只能查看在线用户的IP，可以建立一个bat文件用来记录登录者的IP，其内容如下：

time/t>>TSLog.log

netstat-n-ptcp|find"：3389">>TSLog.log

startExplorer第一行是记录用户登录的时间，time/t的意思是直接返回系统时间(如果不加/t，系统会等待你输入新的时间)，然后用追加符号“>>”把这个时间记入TSLog.log作为日志的时间字段。第二行是记录用户的IP地址，netstat是用来显示当前网络连接状况的命令，-n表示显示IP和端口而不是域名、协议，-ptcp是只显示tcp协议。然后用管道符号“|”把这个命令的结果输出给find命令，从输出结果中查找包含“: 3389”的行(这就是要记录的用户IP所在的行，如果更改了终端服务的端口，这个数值也要做相应的更改)。最后同样把这个结果追加到日志文件TSLog.log中。在TSLog.log文件中，记录格式如下：

22:40

TCP

8:3389

23:4903

ESTABLISHED

22:54

TCP

8:3389

9:1039

ESTABLISHED也就是说，只要这个bat文件一运行，所有连接到3389端口的IP都会被记录。【实例】

1.任务描述假设一台Web服务器开放了www服务，系统管理员已小心地配置了IIS，使用W3C扩展的日志格式，并至少记录了时间(Time)、客户端IP(ClientIP)、方法(Method)、URI资源(URIStem)、URI查询(URIQuery)和协议状态(ProtocolStatus)。用最近比较流行的Unicode漏洞来进行入侵检测分析。

2.操作提示本实例利用IIS自带的日志功能进行检测。IIS自带的日志文件默认存放在System32/LogFiles目录下，一般是按24小时滚动的，在IIS管理器中可以对它进行详细的配置。

1)默认状态打开IE窗口，在地址栏输入：/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir默认的情况下可以看到目录列表(如果已经做过安全配置，请恢复默认安装以便完成本实验)。

2)查看日志记录打开ex010318.log，ex代表W3C扩展格式，后面的一串数字代表日志的记录日期，其中有如下记录日志：

07:42:58GET/scripts/..\../winnt/system32\cmd.exe/c+dir200这行日志表示在格林威治时间07:42:58(就是北京时间23:42:58)，有入侵者从IP利用Unicode漏洞(%c1%1c被解码为"\"，实际的情况会因为Windows语言版本的不同而有略微的差别)运行了cmd.exe，参数是/cdir，运行结果成功(HTTP200代表正确返回)。

3)使用软件例如：想知道有没有人从80端口上试图取得Global.asa文件，可以使用NT自带的find.exe工具。

(1)在“开始”菜单中打开“运行”文本框；

(2)输入cmd命令，进入DOS提示符界面；

(3)在DOS提示符下输入：

find"Global.asa"ex010318.log/i从文本文件中找到想过滤的字符串。

提示：“Global.asa”是需要查询的字符串，ex010318.log是待过滤的文本文件，/i代表忽略大小写。

find命令的参数如图7-3所示。图7-3find工具使用的参数【疑难解析】问：在终端服务的日志监控中，如何让TSLog.bat批处理文件自动运行？答：终端服务允许为用户自定义起始程序。在终端服务配置中，覆盖用户的登录脚本设置并指定TSLog.bat为用户登录时需要打开的脚本，这样每个用户登录后都必须执行这个脚本，因为默认的脚本(相当于shell环境)是Explorer(资源管理器)，所以要让TSLog.bat自动运行，可在该批处理文件的最后一行加上启动Explorer的命令：startExplorer。【知识能力拓展】要求：利用Windows2000自带的安全日志系统完成基于安全日志的检测。通过基于IIS日志的入侵监测能提前知道窥伺者的行踪，但IIS只有在一个请求完成后才会写入日志，如果一个请求中途失败，日志文件中是不会有记录的(这里的中途失败并不是指发生HTTP400错误这样的情况，而是从TCP层上没有完成HTTP请求，例如在POST大量数据时异常中断)，对于入侵者来说，就有可能绕过日志系统完成大量的活动。

Windows2000自带了相当强大的安全日志系统，从用户登录到特权的使用都有非常详细的记录，但默认安装下安全审核是关闭的，因此无法追踪入侵者。

1.开启“安全审核”

(1)选择【开始】→【程序】→【管理工具】→【本地安全策略】，如图7-4所示，打开“本地安全设置”对话框，如图7-5所示。图7-4选择“本地安全策略”示意图图7-5“本地安全设置”对话框

(2)展开“本地策略”，在“审核策略”中打开必要的审核，如图7-6所示。图7-6“审核策略”详细列表

(3)一般来说，登录事件与帐户管理需要同时打开成功和失败审核，其他的审核打开失败审核，如图7-7所示。

(4)配置安全日志的大小及覆盖方式。通常情况下，将安全日志的大小指定为50MB并且只允许覆盖7天前的日志，就可以避免老练的入侵者通过洪水般的伪造入侵覆盖掉真正行踪的现象。图7-7“审核帐户登录事件”设置

2.制定安全日志的检查机制推荐安全日志检查时间是每天上午(因为入侵者普遍喜欢在夜间行动)。另外，系统日志和应用程序日志也是非常好的辅助监测工具，一般来说，入侵者除了在安全日志中留下痕迹外(如果他拿到了Admin权限，那么他一定会去清除痕迹的)，在系统和应用程序日志中也会留下蛛丝马迹，可以从这里发现某些线索。【本章小结】本章主要介绍了入侵检测技术的基本情况：包括入侵检测的起源、入侵检测技术的概念、入侵检测系统工作流程和部署、入侵检测技术的分类，入侵检测技术的发展现状与趋势；重点讲解了入侵检测系统：包括基于网络的入侵检测系统、基于主机的入侵检测系统、混合入侵检测系统和文件完整性检查系统；并通过实例的方式介绍了Windows2000入侵检测技术。通过本章的学习，可以让读者掌握入侵检测的基本技术和入侵方式，增强计算机系统的防范。实训九Windows环境下轻型Snort入侵检测系统的构建※实训目的※

(1)了解Snort+BASE入侵检测系统所需要的软件。

(2)了解Snort+BASE入侵检测系统的构建过程。

(3)了解Snort+BASE进行入侵检测的基本过程。

(4)熟悉入侵检测的基本原理。※实训环境※

(1)硬件环境：带网卡并接入Internet的计算机。

(2)软件环境：操作系统为Windows2000/2003Server，其他软件说明见表7-2。表7-2软件列表※实训内容※

(1)下载Snort+BASE入侵检测系统相关软件。

(2)构建Snort+BASE入侵检测系统。

(3)进行入侵检测分析。※实训基础知识※

Snort是一套非常优秀的开放源代码网络监测系统，其基本原理基于网络嗅探，即抓取并记录经过检测节点以太网接口的数据包并对其进行协议分析，筛选出符合危险特征的或是特殊的流量。网络管理员可以根据警示信息分析网络中的异常情况，及时发现入侵网络的行为。基于Snort和BASE的入侵检测系统通常采用“传感器—数据库—分析平台”的三层架构体系。既可以部署于同一个主机平台，也可以部署在不同的物理平台上，具体的部署方案取决于实际环境需求。

(1)传感器：传感器即网络数据包捕获转储程序。可以由WinPcap和Snort构成传感器部件，其中WinPcap作为系统底层网络接口驱动，Snort作为数据报捕获、筛选和转储程序。

(2)数据库：数据库用来存储Snort获得的记录信息。数据库可以是本地的也可以是远程的，Snort2.8.0支持MySQL、MSSQL、PostgreSQL、ODBC、Oracle等数据库接口，扩展性非常好。

(3)分析平台：分析平台是指对Snort的日志记录中的网络数据包的原始信息进行整理分析的环境。ACID是Snort早期最流行的分析平台，现在已经由基于它再开发的BASE所取代。※实训步骤※

1.安装传感器组件

1)安装软件

WinPcap和Snort的安装过程同普通的应用软件，为了操作方便，建议将Snort安装在非系统分区内。安装完Snort后，rules目录为空，将另外下载的Snort规则包解压拷贝到Snort安装目录下，注意规则包所对应的版本。

注意：为了提高抓包性能和质量，建议使用高性能的服务器网卡。另外，WinPcap和Snort应尽量使用最新的稳定版本，因为捕获数据包的质量对于IDS来说非常重要。

2)修改设置修改Snort的设置文件d:\snort\rules\var\snort.conf，参考内容如下：

#设置规则包路径

vard:\snort\rules

#设置数据库连接

outputdatabase:log,mysql,user=snortuserpassword=snortdbname=snortdbhost=localhost

#设置动态预处理库目录

dynamicpreprocessordirectoryC:\Snort\lib\snort_dynamicpreprocessor

dynamicengineC:\Snort\lib\snort_dynamicengine\sf_engine.dll

2.安装数据库组件

1)安装MySQL和图形管理界面使用MySQL5.0.45forWin32的完整安装程序，软件包的安装较简单，服务端和客户端程序是必选组件，其他可根据需要选择安装。建议安装在非系统分区。另外，为了便于调试和管理MySQL服务，还安装了它的图形管理工具MySQLGUITools5.0r12forWin32。

2)创建数据库和数据库用户使用图形管理工具或命令行工具建立snortdb和snortarc两个数据库，snortdb是Snort存储的数据库，而snortarc是BASE的存档数据库。然后对这两个数据库建立用户snortuser并授予CREATE/SELECT/INSERT/UPDATE/DELETE权限。命令行语句参考如下：

mysql>createdatabasesnortdb;

mysql>createdatabasesnortarc;

mysql>grantINSERT,SELECTonroot.*tosnortuser@localhost;

mysql>SETPASSWORDFORsnortuser@localhost=PASSWORD(\'snortpassword\');

mysql>grantCREATE,INSERT,SELECT,DELETE,UPDATEonsnortdb.*tosnortuser@localhost;

mysql>grantCREATE,INSERT,SELECT,DELETE,UPDATEonsnortdb.*tosnortuser;导入数据库信息

mysql-uroot-p<./snort/schemas/create_mysqlsnortdb

mysql-uroot-p<./snort/schemas/create_mysqlsnortarc完成后查看数据库情况,确认创建成功。

3.