《计算机系统安全》课件第13章

第13章入侵检测的方法与技术13.1入侵检测技术概述13.2入侵的主要方法和手段13.3入侵检测技术的基础知识13.4入侵检测系统的关键技术13.5入侵检测的描述、评测与部署13.6入侵检测系统的发展趋势和研究方向习题

13.1入侵检测技术概述13.1.1入侵检测技术概述近年来随着计算机技术的不断发展和网络规模的不断扩大，系统遭受的入侵和攻击越来越多，网络与信息安全问题变得越来越突出。

在网络与信息安全策略中引入入侵检测系统的第二个原因是其他安全策略不能完成网络安全的所有保护功能。现在的网络安全策略主要有数据加密、信息隐藏、身份识别和验证、防火墙、入侵检测、物理隔离等。13.1.2入侵检测的安全任务网络安全是一个系统的概念，有效的安全策略或方案的制定，是网络信息安全的首要任务。入侵检测技术是为保证计算机系统的安全而设计与配置的,它能够及时发现并报告系统中未授权或异常的现象，是一种用于检测计算机网络和系统中违反安全策略行为的技术。入侵检测系统的应用，可以在系统遭到破坏前检测到入侵攻击，并利用报警与防护系统响应攻击，从而减少入侵攻击造成的损失。

一般来说，一个网络系统的安全需求主要体现在以下三方面：

(1)机密性（Confidentiality）。

(2)完整性（Integrity）。

(3)可用性（Availability）。13.1.3入侵检测系统的历史入侵检测系统的概念是由Anderson于1980年提出来的，20年来，入侵检测系统经历了不少变化，得到了比较大的发展。下面是入侵检测系统发展历史中比较重要的事件。

20世纪70年代，美国等发达国家就开始了对计算机和网络遭受攻击进行防范的研究，审计跟踪是当时的主要方法。

1980年4月，JamesP.Anderson为美国空军做了一份题为《ComputerSecurityThreatMonitoringandSurveillance》(“计算机安全威胁监控与监视”)的技术报告，第一次详细阐述了入侵检测的概念。他提出了一种对计算机系统风险和威胁的分类方法，并将威胁分为外部渗透、内部渗透和不法行为三种，还提出了利用审计跟踪数据，监视入侵活动的思想，这份报告被公认为是入侵检测的开山之作。

1984～1986年，乔治顿大学的DorothyDenning和SRI/CSL(SRI公司计算机科学实验室)的PeterNeumann研究出了一个实时入侵检测系统模型，取名为IDES(入侵检测专家系统)。该模型由六个部分组成：主体、对象、审计记录、轮廓特征、异常记录和活动规则。它独立于特定的系统平台、应用环境、系统弱点以及入侵类型，为构建入侵检测系统提供了一个通用的框架。1987年，Denning提出了一个经典的异常检测抽象模型，首次将入侵检测作为一种计算机系统安全的防御措施提出。他的论文《Anintrusiondetectionmodel》被认为是另一篇入侵检测的奠基之作。

1988年MorrisInternet蠕虫事件促使了许多IDS系统的开发研究。1988年SRI/CSL的TeresaLunt等人改进了Denning的入侵检测模型，并开发出一个IDES，该系统包括一个异常检测器和一个专家系统，分别用于统计异常模型的建立和基于规则的特征分析检测。1990年是入侵检测系统发展史上的一个分水岭，这一年，加州大学戴维斯分校的L.T.Heberlein等人开发出了NSM(NetworkSecurityMonitor)，该系统第一次直接将网络数据流作为审计数据来源，因而可以在不将审计数据转换成统一格式的情况下监控异种主机。从此之后，入侵检测系统发展史翻开了新的一页，两大阵营正式形成：基于网络的入侵检测系统和基于主机的入侵检测系统。

1991年，美国空军等多部门进行联合，开展对分布式入侵检测系统(DIDS)的研究，首次将基于主机和基于网络的检测方法集成到一起。DIDS是分布式入侵检测系统历史上的一个里程碑式的产品。

1994年，Markcrosbie和GeneSpafford建议使用自治代理(autonomousagents)以便提高入侵检测系统的可伸缩性、可维护性、效率和容错性。

1994年，Markcrosbie和GeneSpafford建议使用自治代理(autonomousagents)以便提高入侵检测系统的可伸缩性、可维护性、效率和容错性。

1996年开始提出的GrIDS(GraphbasedIntrusionDetectionSystem)的设计和实现，解决了入侵检测系统伸缩性不足的问题，该系统使得对大规模自动或协同攻击的检测更为便利。

1997年MarkCrosbie和GeneSpafford将遗传算法运用到入侵检测中，学者们陆续将神经网络、模糊识别、免疫系统、数据挖掘和协议分析等方法应用到入侵检测中，目前这些方法多数都处在理论研究阶段。13.2入侵的主要方法和手段

12.3.1主要漏洞漏洞是指系统硬件、操作系统、软件、网络协议、数据库等在设计、实现上出现的可以被攻击者利用的错误、缺陷和疏漏。通俗一点说，漏洞就是可以被攻击者利用的系统弱点。1.设计上的缺陷在进行软、硬件及协议设计时，难免会有考虑不周的地方，这就使得软、硬件和协议在结构、功能等方面存在缺陷和疏漏。即使有些软、硬件和协议在设计时没有漏洞，随着新的需求不断增加，使用场合不断变化，也可能会出现不能适应新环境、新需求的缺陷和疏漏。

2.操作系统的漏洞现在的操作系统，无论是Windows还是UNIX和Linux，都存在着漏洞。这些漏洞有的是因为设计时考虑不周，有的是因为代码的编写错误，还有的是因为在权限管理和系统保密等方面不够完善。无论是哪一种，都对系统的安全构成很大威胁。3.软件的错误、缺陷和漏洞软件在编写过程中总难免有漏洞。比如在内存分配、变量赋值、出错处理等方面，在正常的使用情况下不会出问题，但若随意分配内存、任意赋值，系统就有可能因资源耗竭、缓冲器溢出等原因瘫痪和崩溃。4.数据库的安全漏洞数据库是数据的存储和管理系统。在进行数据库设计和代码实现时，以及在用户对数据库进行配置和使用时，都可能出现疏漏和错误。而数据库系统存放的数据往往比计算机系统本身的价值大很多，因此，数据库的安全问题不容忽视。5.用户的管理漏洞这是一种常见的情况。虽然这种情况的发生往往是由于人为的原因，但这种疏忽却非常普遍。管理人员疏忽、安全防范意识不强和管理人员能力低下，都可能成为管理上的漏洞。比如管理人员疏忽大意，造成口令泄露、重要资料被窃或因管理人员水平较低，造成系统配置错误等。13.2.2入侵系统的主要途径入侵者一般可以分为两类：内部的和外部的。下面介绍入侵者进入系统的主要途径。

1.物理侵入物理侵入是指一个入侵者对主机有物理进入权限或能够直接接触到主机，比如他们能够使用键盘，有权移走硬盘。这种入侵方法比较普遍，也比较有效。2.系统侵入系统侵入表现为入侵者已经拥有了较低权限的系统用户身份，如果系统没有打最新的漏洞补丁，就会给入侵者提供一个利用知名漏洞获取系统管理员权限的机会。

3.远程侵入远程侵入是指入侵者通过网络远程进入系统。比如通过植入木马实现对目标主机的控制，远程发起对目标主机的攻击等。13.2.3主要的攻击方法现有的系统攻击方法主要有以下几种：

1.目标探测和信息收集为了实现攻击，入侵者一般会首先在网络上扫描可以攻击的主机和可以利用的端口并收集这些目标主机的相关信息。扫描的类型主要有：地址扫描、端口扫描、漏洞扫描。高级的扫描技术主要有：半开方扫描、FIN扫描、反向映射、慢速扫描、乱序扫描等。

2.缓冲区溢出攻击目前很多攻击都属于缓冲区溢出攻击，它主要是利用程序设计上的漏洞，比如不执行数组边界检查和类型安全检查，以不安全的方式访问或复制缓冲区等，故意输入错误的数据，错误的使用程序，使系统为程序变量、数组等分配的缓冲区出现溢出错误，从而使系统崩溃或使自己获得超级用户的权限。面举例说明：

intmain(intargc,char**argv){charbuffer［128］;strcpy(buffer,argv［1］);}

3.拒绝服务攻击（DoS，DenialofService）拒绝服务攻击也是入侵者常用的一种攻击手段，它通过抢占目标主机系统资源，使得系统过载或崩溃，从而达到阻止合法用户使用系统的目的。比如在1996年出现的SYN风暴拒绝服务攻击，它是通过创建大量“半连接”来进行攻击，其攻击的本质是利用了TCP/IP协议的弱点和缺陷。图13-1SYN风暴拒绝服务攻击原理图4.Web攻击

Web攻击是利用CGI、Web服务器、Web浏览器等中存在的安全漏洞，通过一些攻击手段,达到损害系统安全而使系统崩溃的目的。

5.使用木马网络安全中的“木马”一词源于荷马史诗中的“特洛伊木马”的故事，将一队士兵藏在一个大木马中，混进特洛伊城中，晚上悄悄出来，夺取胜利。6.计算机病毒攻击计算机病毒攻击主要是使用可以疯狂地自我复制的病毒（如蠕虫病毒），使系统和网络资源很快耗尽，从而达到使系统崩溃和网络瘫痪的目的。

7.对邮件系统攻击这些攻击方法是专门针对邮件系统的，它主要是通过使用邮件群发软件，大量地向一个邮箱或一个邮件系统发送邮件，从而占满邮箱的使用空间，耗尽邮件系统的资源，导致邮件系统崩溃。

8.其他攻击方法还有一些其他的攻击方法，如口令窃取、逻辑炸弹等。13.3入侵检测技术的基础知识13.3.1入侵检测系统要实现的功能作为入侵检测系统，至少应该完成以下功能:1.监控、分析用户和系统的活动这是入侵检测系统能够完成入侵检测任务的前提条件。入侵检测系统通过获取进出某台主机的数据或整个网络的数据，或者通过查看主机的日志等信息来实现对用户和系统活动的监控。

2.发现入侵企图和异常现象这是入侵检测系统的核心功能，主要包括两个方面：一是对进出网络和主机的数据流进行监控，看是否存在对系统的入侵行为；另一个是评估系统的关键资源和数据文件的完整性，看系统是否已经遭受了入侵。前者的作用是在入侵行为发生时及时发现，从而避免系统遭受攻击，而后者一般是在系统遭受攻击后，通过攻击行为留下的痕迹了解攻击行为的一些情况，从而避免再次遭受攻击。3.记录、报警和响应入侵检测系统在检测到攻击后，应该采取相应的措施来阻止攻击或响应攻击。入侵检测系统作为一种主动防御策略，必须具备此功能。入侵检测系统应该首先记录攻击的基本情况，其次应该能够及时发出报警。好的入侵检测系统，不仅应该能够把相关数据记录在文件中或数据库中，还应该提供好的报表打印功能。13.3.2入侵检测系统的基本构成从功能的角度看，一个入侵检测系统通常包括以下一些组件:(1)事件产生器。

(2)事件分析器。

(3)事件数据库。

(4)响应单元。图13-2入侵检测系统的基本构成图13.3.3入侵检测系统的体系结构从具体实现的角度看，入侵检测系统至少应该包括四大模块：数据收集模块、通信模块、入侵检测模块和反应模块。其中信息收集模块与特定的环境和监视的对象有比较密切的关系；通信模块是对所收集到的数据进行预处理和分类，然后把处理的结果按照一定的格式传输给检测它的模块；最后由检测判断模块根据一定的安全策略判断入侵行为并采取相应的防御或反击。

除了要识别众多的攻击特征之外，一个大型的入侵检测系统还应该具备自我更新、对网络行为详细日志记录的保留和统计分析等功能。因此，一个完整的检测系统应该具有数据收集模块、通信模块、检测模块、数据库模块和管理模块等。这些模块之间的关系如图13-3所示。图13-3入侵检测系统的功能模块图

与传统的入侵检测系统相比较，大规模网络环境下的分布式入侵检测系统具有一些新的特征：

(1)分布分析（DistributedAnalysis）。

(2)负载平衡（LoadBalancing）。

(3)灵活性（Complexity)。

(4)允许动态配置（DynamicConfigurable）。

(5)协同性（Cooperative）。

(6)任务分派和数据融合（TaskDispatchandDataFusion)。(7)可伸缩性和可扩展性（ScalabilityandExpandability)。

(8)安全与可靠性（SecurityandReliability)。

(9)互操作性（Interoperability)。13.3.4入侵检测系统的分类从不同的侧面，按照不同的分类标准，可以将入侵检测系统分为不同的类别。图13-4所示为几种常用的分类方法。图13-4入侵检测系统的分类(1)按照控制策略分类：控制策略描述了入侵检测系统的各个元素是如何控制的，以及入侵检测系统的输入和输出是如何管理的。

(2)按照响应方式分类：按照响应方式的不同，入侵检测系统可以划分为主动响应入侵检测系统和被动响应入侵检测系统。

(3)按照信息源分类：按照信息源的不同，入侵检测系统主要可以分为基于主机的入侵检测系统和基于网络的入侵检测系统，这是目前最通用的入侵检测系统的划分方法。(4)按照入侵分析方法分类：按照入侵分析方法,入侵检测系统可以划分为误用检测型入侵检测系统和异常检测型入侵检测系统。13.4入侵检测系统的关键技术13.4.1入侵检测系统的信息源

1.基于主机的信息源

(1)系统运行状态信息。

(2)系统记账信息。

(3)系统日志（Syslog）。

(4)C2级的安全性审计信息。2．基于网络的数据源基于网络的数据源主要包括：SNMP信息和网络数据包。

(1)SNMP信息。

(2)网络数据包。

3.应用程序的日志文件系统应用服务器化的趋势，使得应用程序的日志文件在入侵检测系统的分析数据源中具有相当重要的地位。与系统审计迹和网络通信包相比，使用应用程序的日志文件具有三方面优势。(1)精确性（Accuracy）：C2审计数据和网络包必须经过数据预处理，才能使入侵检测系统了解应用程序的相关信息。

(2)完整性（Completeness）：使用C2审计数据或网络数据包时，为了重建应用层的会话，需要对多个审计调用或网络通信包进行重组（特别是在多主机系统中）。

(3)性能（Performance）：通过应用程序选择与安全相关的信息，使得系统的信息收集机制的开销远小于利用安全审计迹的情况。

使用应用程序日志文件的缺点：

(1)只有当系统能够正常写应用程序日志文件时，利用应用程序日志的检测方法才能够检测到对系统的攻击行为。

(2)许多入侵攻击只是针对系统软件低层协议中的安全漏洞，诸如网络驱动程序、IP协议等。

4.其他入侵检测系统报警信息随着网络技术和分布式系统的发展，入侵检测系统也从针对主机系统转向针对网络和分布式系统。基于网络、分布式环境的检测系统为了覆盖较大的范围，一般采用的分层结构，用许多局部的入侵检测系统（可以是传统的基于主机的入侵检测系统）进行局部的检测，然后把局部检测结果汇报给上层的检测系统，而且各局部入侵检测系统也可采用其他局部入侵检测系统的结果作为参考，以弥补不同检测机制的入侵检测系统的不足。13.4.2入侵检测技术

1.模式匹配模式匹配的方法用于误用检测。它先建立一个攻击特征库，然后检查发送过来的数据是否包含这些攻击特征。这是最传统最简单的入侵检测方法。

2.统计模型统计模型用于异常检测，它通过设置极限阈值等方法，将检测数据与已有的正常行为比较，如果超出极限值，就认为是入侵行为。

3.专家系统专家系统主要针对误用检测。专家系统的建立依赖于知识库的完备性，知识库的完备性又取决于审计记录的完备性与实时性。在专家系统中，审计事件被表述成有语义的事实，推理引擎根据这些规则和事实进行判定。入侵特征的提取与表达是该检测方法的关键。

4.神经网络神经网络具有自适应、自组织、自学习的能力，可以处理一些环境信息复杂、背景知识不清楚的问题。有学者把神经网络技术也用于入侵检测系统，以检测未知攻击。5.模糊系统模糊理论在知识和规则获取中具有重要作用。人类思维、语言具有模糊性。模糊思维形式和语言表达具有广泛、完美和高效的特征。

6.遗传算法遗传算法能在搜索过程中自动获得和积累有关搜索空间的知识，并自适应地控制搜索过程，从而得到最优解或次优解。遗传算法的主要特点是简单、通用、鲁棒性强，适用于并行分布处理，应用范围比较广。

7.免疫系统有的学者在研究中注意到：计算机系统的保护机制和生物免疫系统之间有着显著的相似性，即两个系统运行的关键是执行“自己”和“异己”识别的能力，也就是说，一个组织的免疫系统能够决定哪些东西是无害的，哪些东西是有害的。8.数据挖掘数据挖掘是数据库中的一项技术，它的作用就是从大型数据中抽取知识。对于入侵检测系统来说，也需要从大量的数据中提取出入侵的特征。

9.数据融合数据融合技术通过综合来自多个不同的传感器或数据源的数据，对有关事件、行为以及状态进行分析和推论。10.协议分析协议分析是新一代IDS系统探测攻击的主要技术，它利用网络协议的高度规则性快速探测攻击的存在。协议分析技术的提出弥补了模式匹配技术的一些不足，比如工作量大、探测准确度低等。13.4.3入侵响应技术

在入侵检测系统检测到入侵攻击后，就要对入侵行为做出相应的处理，这在入侵检测处理模型中称为入侵响应。按照响应的内容，入侵响应可分为三类：系统保护、动态策略和入侵对抗。

1.主动响应主动响应能够阻止正在进行的攻击，使得攻击者不能够继续访问。更为主动的响应则是IDS系统在检测到攻击时会对攻击者进行反击，这种响应存在法律上的风险，有可能影响网络上的无辜用户，应该谨慎采用。下面我们介绍几种常用的主动响应技术。(1)撤销连接。(2)断路响应。(3)SYN/ACK（SYN包/应答响应）。(4)屏蔽发生内部滥用的主机。2.被动响应技术(1)自动通知。(2)隔离技术。13.4.4安全部件互动协议和接口标准

1.统一模型语言UMLUML提供了一种简单的结构来表示实体及其相互关系。UML把实体定义为类，每种类都有自己的属性。IDMEF模型只采用UML定义的两种关系：继承和聚合。2.XML文档类型定义DTDXMLDTD定义文档使用的标志，包括元素、属性和实体模式。元素是文档标志的主要部分，元素声明定义了文档组成部分的名称及内容，例如：<!ELEMENT书（前言，章节，附录，参考文献，索引）>

属性声明定义了要用到的各属性的名称、内容类型和属性类型。例如：

<!ATTLIST书书名CDATA＃REQUIRED

作者CDATA＃REQUIRED>3.XML文档这部分内容在前面章节已经介绍过，这里不再赘述。在IDMEF数据模型中主要定义了三种类：报文类（IDMEFMessage）、警报类（Alerts）和心跳类（Heartbeats）。报文类是所有IDMEF报文的最高级别的类，其他类型的报文都是它的子类。目前，IDMEF只定义了两种报文：警报（Alert）和心跳（Heartbeats）。(1)IDMEFMessage在IDMEFDTD中的声明如下：

<!ENTITY%attlist.idmef″versionCDATA＃FIXED′1.0′″><!ELEMENTIDMEFMessage(l(Alert|Heartbeat)*)><!ATTLISTIDMEFMessage%attlist.idmef;>(2)警报类。每当分析器探测到它所寻找的事件时，就发送警报报文给控制器。警报类由几个集合类组成，并且有3个子类：工具警报类（ToolAlert）、相互关系警报类（CorrelationAlert）和溢出警报类（OverflowAlert）。警报类在IDMEFDTD中声明如下：

<!ELEMENTAlert(Analyzer,CreateTime,DetectTime?,AnalyzerTime?,Source*,Target*,Classification,Assessment?,(ToolAlert|OverflowAlert|CorrelationAlert)?,AdditionalData*)><!ATTLISTAlertidentCDATA'0'>(3)心跳类。分析器使用心跳类向控制器指示它们当前的状态，每隔一段时间发送一次，比如每隔10分钟或每隔1小时。心跳类在IDMEFDTD中声明如下：

<!ELEMENTHeartbeat(Analyzer,CreateTime,DetectTime?,AdditionalData*)><!ATTLISTHeartbeatidentCDATA′0′>13.4.5代理和移动代理技术

1.代理(Agent)

代理最早起源于人工智能，是软件应用里的一个新领域，现被广泛地应用于人工智能、网络管理、软件工程等领域，存在着自动代理、智能代理、软件代理等多种叫法，要给它下一个统一的定义是很困难的，因为它不仅是一个技术概念，还是一个比喻。

2.代理的特征

·自治性(Autonomy)：代理的动作和行为是根据自身的知识、内部状态和对外部环境的感知来进行控制的。它的运行不受人或其他代理的直接干涉。

·反应性(Reactivity)：代理能及时感知环境的变化而做出相应的反应。

·社会性(Socialability)：可以通过某种代理语言与其他代理或人进行交互和通信。在Multi代理中，代理应具有协作和协商能力。

·自适应性(Adaptivity)：代理能够根据知识库中的事实和规则进行推理，还能够总结以前的经验，校正行为，即具有学习和自适应的能力。

·推理能力(Inferentialcapability)：代理能够按照抽象的说明完成任务。

·移动性(Mobility)：代理能够自主地在网络上跨平台漫游，且状态和行为具有连续性。3.移动代理(Mobileagent)

根据不同的标准，代理有多种分类方法。如根据体系结构(architecture)可分为协商(deliberative)代理、反应(reactive)代理和社会(social)代理；根据属性(attributes)可分为协作(collaborative)代理、接口(interface)代理和知识(learning)代理；而根据移动性(mobility)可分为静态(stationary)代理和移动(mobile)代理。在此，我们只介绍在入侵检测中应用较多的移动代理。图13-5移动代理系统示意图4.代理技术应用于入侵检测系统与传统IDS是单一整体模块不同，将代理技术应用于入侵检测后，系统将形成一个个互相独立的自主运行的进程（代理），并且这些进程可以在异种网络中从一台机器迁移到另一台机器。代理观察系统行为，相互协作，把认为异常的所有行为标记出来。(1)减轻了网络负载，减少了系统延时。(2)自治连续异步地运行。(3)能动态配置以适应网络变化。(4)在异构环境下运行。(5)增强IDS的健壮性和容错能力。(6)多点检测。5.代理技术的缺陷(1)性能问题。(2)安全问题。(3)代码大小问题。6.代理技术在入侵检测系统中的应用实例前面介绍了代理的基本知识，下面介绍一个使用代理技术的入侵检测系统。IDA是由日本InformationtechnologyPromotionAgency(IPA)开发的一个树状分级代理系统。该系统包含管理器(Manager)、传感器(Sensors)、追踪代理(TracingAgent)、信息收集代理(Informationgatheringagent)、公告板(BulletinBoard)和消息板(MessageBoard)等部件。13.5入侵检测的描述、评测与部署13.5.1入侵检测系统描述设计、实现入侵检测的一个关键就是如何准确地描述、检测、报告和响应攻击，这需要通过描述语言来实现。因此对于描述语言的研究是入侵检测系统研究的一个基础工作。1.事件语言在入侵检测系统中，一般将IDS需要分析的数据统称为事件（Event）。事件语言（EventLanguages）就用于描述事件，重点是对数据格式的描述。

2.响应语言入侵检测系统在检测到攻击后，一般会采取被动或者主动的响应措施。响应语言（ResponseLanguages）即是用来描述系统反应行为的语言。3.报告语言报告语言（ReportLanguages）是用于描述报警格式的语言，这些报警一般包含攻击的一些基本信息，如攻击源、攻击目标和攻击的类型等。

4.关联语言关联语言（CorrelationLanguages）是现在研究的一个焦点，它通过分析几个IDS提供的报警，从而生成新的报警，也就是说，通过明确攻击之间的关系，达到识别协同攻击的目的。5.漏洞利用语言

漏洞利用语言（ExploitLanguages）用于描述一种攻击实施的步骤，它一般是常用的可执行语言，如Ｃ、Ｃ++、Perl和TCL等。

6.检测语言检测语言（DetectionLanguages)用于描述攻击特征，它提供了一些机制和抽象方法，使得IDS可以发现攻击。这类语言比较多，主要有PBest、STATL、Snort、SNPL、NCode、Kumar和BRO等。XML有以下特点:(1)严格的规范、清晰的语义。(2)数据的共享与重用。(3)良好的扩展性。(4)平台无关性。13.5.2入侵检测系统的测试与评估多数的测试过程都遵循下面的基本测试步骤：

(1)创建、选择一些测试工具和测试脚本，这些脚本和工具主要用来生成和模拟正常行为及入侵，也就是模拟入侵检测系统运行的实际环境；

(2)确定计算环境所要求的条件，比如背景计算机活动的级别；

(3)配置运行入侵检测系统；

(4)运行测试工具和测试脚本；

(5)分析入侵检测系统的检测结果。

1.检测率、误报率及检测可信度检测率是指被监测系统在受到入侵攻击时，检测系统能够正确报警的概率。误报率是指检测系统在检测时出现误报（或称虚警）的概率。

2.入侵检测系统本身的抗攻击能力和其他系统一样，入侵检测系统本身往往也存在安全漏洞。若对入侵检测系统攻击成功，则直接导致其报警失灵，入侵者在其后所作的行为将无法被记录。

3.其他性能指标

(1)检测延迟：检测延迟是指从攻击发生至入侵检测系统检测到入侵之间的延迟时间。延迟时间的长短直接关系到入侵攻击破坏的程度。

(2)资源的占用情况：即系统在达到某种检测有效性时对资源的需求情况。

(3)负荷能力：入侵检测系统有其设计的负荷能力，在超出负荷能力的情况下，性能会出现不同程度的下降。(4)日志、报警、报告以及响应能力：日志能力是指检测系统保存日志的能力和按照特定要求选取日志内容的能力。

(5)系统的可行性：主要是指系统安装、配置、管理和使用的方便程度，系统界面的友好程度，攻击规则库维护的简易程度等方面。13.5.3入侵检测在网络中的部署在网络中正确的部署入侵检测系统，对于充分发挥入侵检测系统的性能，有效保护目标网络非常重要。一个好的部署方案可以有效地发挥入侵检测系统的保护功能；反之，错误的部署方案不但不能起到保护作用，反而有可能给系统带来新的安全威胁。因此，在网络中部署入侵检测系统之前，首先要根据被保护网络的拓扑结构以及使用者的需求,制定好正确的部署方案，以达到保护的目的。通常,IDS监控保护的基本单位是一个网段或者一台主机，被保护网络对各主机、各子网段的安全性要求程度一般都不相同，所以确定IDS的保护对象是合理使用IDS的关键。在优先保护的网段中部署IDS系统，并配置以合适的检测策略。比如，在防火墙之内部署IDS时，可把安全策略配置得紧一些，即使用最大化的检测策略；而在防火墙之外部署时则可采用较为宽松的策略。这是由于经过防火墙过滤后，内部网络的安全状况相对比较简单，误报的可能性较低，而防火墙外的情况则较为复杂，误报的可能性也较大。另外，在一定的情况下，有些内部可信任的主机也可能会触发IDS的检测引擎，从而形成报警，而对于用户来说，这些报警事件是没有什么参考价值的，所以需要在检测范围中排除这些主机的IP地址。通常IDS系统中都有一个过滤器(FILTER)模块或具有登记可信任主机的功能选项，允许用户加入所有他们信任的主机IP地址。

图13-6给出了入侵检测系统在网络中的几种比较典型的部署方案。图13-6入侵检测系统在网络中的部署部署方案一是将入侵检测系统放到防火墙和外部网络之间，也就是将入侵检测系统放到防火墙之外的非军事区中。非军事区是介于ISP和最外端防火墙界面之间的区域。这种安排使入侵检测系统可以看到所有来自Internet的攻击。但是，如果攻击的类型是TCP攻击，而防火墙或过滤型路由器能够封锁这种攻击，那么入侵检测系统就可能检测不到这种攻击的发生。原因是入侵检测系统需要通过检测是否存在与特征库中的特征字符串相匹配的数据包才能发现此类攻击，而带有这些特征串的数据包的传送只有在进行了TCP的三次握手之后才能进行。由于防火墙和过滤型路由器在连接的握手阶段就切断了这些连接，因此带有特征串的数据包就不会出现，于是这种攻击也就不会被入侵检测系统发现。虽然放置在非军事区的入侵检测不能全面地发现对系统发起的所有攻击，但是，这个位置仍然是对攻击进行检测的最佳位置。将IDS放到这个位置的优点是可以发现自己的网络和防火墙暴露在哪些攻击之下，但这种方案也存在如下缺点：一是它无法检测防火墙内部用户发起的攻击和误用事件；二是入侵检测系统完全暴露，很容易成为黑客入侵的对象。部署方案二是将入侵检测系统放在防火墙和路由器之间，即放在防火墙内部。将入侵检测系统放在边界防火墙内部可以看出防火墙系统安全策略配置得是否合理。比如IDS系统发现外部用户可以匿名登录军事区内的FTP服务器，而这是不希望的，经分析后可知这是由于防火墙没有关闭FTP服务器的21端口造成的，此时应该调整防火墙策略，关闭FTP服务器的端口以达到提高系统安全的目的。部署方案三是将入侵检测系统放于主要的网络中枢，用于保护一些安全需求高的子网。这种方案的主要目的是要专门保护网络中的一些重要的环节和区域。部署方案四是将入侵检测系统放置到需要保护的主机上，从而实现对该主机的保护。此外，目前大多数的IDS系统主要采用基于包特征的检测技术来组建，它们的基本原理是对网络上的所有数据包进行复制并检测，然后与内部的攻击特征数据库(规则库)进行匹配比较，如果相符即产生报警或响应。这种检测方式虽然比异常统计检测技术更加精，但会给IDS带来较大的负载，所以需要对检测策略作进一步的调整和优化。具体做法是根据被保护网络自身网络的业务应用情况，选择最适合的检测策略(可根据操作系统、应用服务或部署位置等来选择)，并对所选的策略进行修改;选择具有参考价值的检测规则，去除一些无关紧要的选项，如对于全部是Windows的应用环境，则完全可以把UNIX的规则去掉。有些IDS除了提供攻击特征检测规则的定制功能外，还提供了对端口扫描检测规则的自定义、信任主机地址排除和扫描模式等参数，这些参数的合理配置能将IDS的检测能力优化到最理想的状态。13.6入侵检测系统的发展趋势和研究方向近些年，随着计算机技术的发展和网络的普及，入侵技术无论从规模上还是方法上都发生了很大的变化，入侵的方法和手段不断提高，识别入侵和攻击的难度也在不断加大。主要体现在：入侵和攻击变得复杂化，攻击者往往综合使用多种手段以保证入侵的成功；入侵者往往借助其他脆弱的主机和网络发起攻击，采用攻击间接化的方式隐蔽自己；入侵的规模不断扩大，往往采用大规模合作或者采用分布式技术对目标进行攻击；入侵检测等安全设备也逐渐成为攻击的主要目标。此外，随着网络和通信技术的不断发展，新的应用环境也给入侵检测系统提出了新的要求，如大规模高速网络的出现和加密技术的应用等。入侵检测技术必须不断改进和发展，以适应网络技术和系统安全的新需求。目前，对入侵检测系统的研究主要集中在以下几个方面：

(1)面向大规模、高速网络的入侵检测技术。当前网络的规模越来越大，高速网络设备不断投入使用，网路数据流量不断增长，这些都要求入侵检测技术必须能够适应大规模高速网络的要求，否则就会产生漏报或成为系统的性能瓶颈，影响整个系统的正常工作。由于当前的入侵检测系统通常以并联方式接入网络，如果其检测速度跟不上网络数据的传输速度，那么检测系统就会漏掉其中的部分数据包，从而导致漏报而影响检测的准确性和有效性。在IDS中，截获网络的每一个数据包，并分析、匹配其中是否具有某种攻击的特征，需要花费大量的时间和系统资源。现有的大部分IDS只有几十兆的检测速度，随着百兆甚至千兆网络的大量应用，IDS技术发展的速度已经远远落后于网络速度的发展。为了能够适应高速网的要求，必须改进IDS中一些现有的技术。目前正处于研究工作中的网络数据分流技术能够解决一部分问题。

(2)智能化的入侵检测技术。智能化的入侵检测的含义是指使用智能化的方法与手段来进行入侵检测。实现智能化入侵检测系统的核心工作就是对智能化入侵检测方法的研究。为了达到智能检测的目的，研究人员在IDS中引入了人工智能和其他领域的一些概念和方法，这些方法主要有神经网络、模糊理论、免疫系统、