系統(tǒng)入侵的鑒別與防御

(續(xù))IntrusionIntrusion:Attemptingtobreakintoormisuseyoursystem.Intrudersmaybefromoutsidethenetworkorlegitimateusersofthenetwork.Intrusioncanbeaphysical,systemorremoteintrusion.入侵行為主要是指對系統(tǒng)資源的非授權(quán)使用，它可以造成系統(tǒng)數(shù)據(jù)的丟失和破壞、可以造成系統(tǒng)拒絕對合法用戶服務(wù)等危害。傳統(tǒng)的信息安全方法采用嚴(yán)格的訪問控制和數(shù)據(jù)加密策略來防護(hù)，但在復(fù)雜系統(tǒng)中，這些策略是不充分的。它們是系統(tǒng)安全不可缺的部分但不能完全保證系統(tǒng)的安全入侵檢測（IntrusionDetection）是對入侵行為的發(fā)覺。它通過從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)的關(guān)鍵點(diǎn)收集信息并進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象IntrusionDetection入侵檢測的定義對系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證系統(tǒng)資源的機(jī)密性、完整性和可用性進(jìn)行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)IDS:IntrusionDetectionSystem

入侵檢測系統(tǒng)IDS（IntrusionDetectionSystem）就是入侵檢測系統(tǒng)，它通過抓取網(wǎng)絡(luò)上的所有報(bào)文，分析處理后，報(bào)告異常和重要的數(shù)據(jù)模式和行為模式，使網(wǎng)絡(luò)安全管理員清楚地了解網(wǎng)絡(luò)上發(fā)生的事件，并能夠采取行動阻止可能的破壞。監(jiān)控室=控制中心后門保安=防火墻攝像機(jī)=探測引擎CardKey形象地說，它就是網(wǎng)絡(luò)攝象機(jī)，能夠捕獲并記錄網(wǎng)絡(luò)上的所有數(shù)據(jù)，同時它也是智能攝象機(jī)，能夠分析網(wǎng)絡(luò)數(shù)據(jù)并提煉出可疑的、異常的網(wǎng)絡(luò)數(shù)據(jù)，它還是X光攝象機(jī)，能夠穿透一些巧妙的偽裝，抓住實(shí)際的內(nèi)容。它還不僅僅只是攝象機(jī)，還包括保安員的攝象機(jī)，能夠?qū)θ肭中袨樽詣拥剡M(jìn)行反擊：阻斷連接、關(guān)閉道路（與防火墻聯(lián)動）。FirewallInternetServersDMZIDSAgentIntranet監(jiān)控中心router攻擊者發(fā)現(xiàn)攻擊發(fā)現(xiàn)攻擊發(fā)現(xiàn)攻擊報(bào)警報(bào)警IDSAgent訪問控制認(rèn)證NAT加密防病毒、內(nèi)容過濾流量管理常用的安全防護(hù)措施－防火墻一種高級訪問控制設(shè)備，置于不同網(wǎng)絡(luò)安全域之間的一系列部件的組合，它是不同網(wǎng)絡(luò)安全域間通信流的唯一通道，能根據(jù)企業(yè)有關(guān)的安全政策控制（允許、拒絕、監(jiān)視、記錄）進(jìn)出網(wǎng)絡(luò)的訪問行為。

兩個安全域之間通信流的唯一通道安全域1HostAHostB安全域2HostCHostDUDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根據(jù)訪問控制規(guī)則決定進(jìn)出網(wǎng)絡(luò)的行為防火墻%c1%1c%c1%1cDirc:\防火墻的局限防火墻的局限性防火墻不能防止通向站點(diǎn)的后門。防火墻一般不提供對內(nèi)部的保護(hù)。防火墻無法防范數(shù)據(jù)驅(qū)動型的攻擊。防火墻本身的防攻擊能力不夠，容易成為被攻擊的首要目標(biāo)防火墻不能根據(jù)網(wǎng)絡(luò)被惡意使用和攻擊的情況動態(tài)調(diào)整自己的策略網(wǎng)絡(luò)安全工具的特點(diǎn)優(yōu)點(diǎn)局限性防火墻可簡化網(wǎng)絡(luò)管理，產(chǎn)品成熟無法處理網(wǎng)絡(luò)內(nèi)部的攻擊IDS實(shí)時監(jiān)控網(wǎng)絡(luò)安全狀態(tài)誤報(bào)警，緩慢攻擊，新的攻擊模式Scanner簡單可操作，幫助系統(tǒng)管理員和安全服務(wù)人員解決實(shí)際問題并不能真正掃描漏洞VPN保護(hù)公網(wǎng)上的內(nèi)部通信可視為防火墻上的一個漏洞防病毒針對文件與郵件，產(chǎn)品成熟功能單一IDS存在與發(fā)展的必然性網(wǎng)絡(luò)攻擊的破壞性、損失的嚴(yán)重性日益增長的網(wǎng)絡(luò)安全威脅單純的防火墻無法防范復(fù)雜多變的攻擊為什么需要IDS關(guān)于防火墻網(wǎng)絡(luò)邊界的設(shè)備自身可以被攻破對某些攻擊保護(hù)很弱不是所有的威脅來自防火墻外部入侵很容易入侵教程隨處可見各種工具唾手可得防火墻與IDS聯(lián)動時間Dt-檢測時間Pt-防護(hù)時間Rt-響應(yīng)時間Pt-防護(hù)時間>+在安全體系中，IDS是唯一一個通過數(shù)據(jù)和行為模式判斷其是否有效的系統(tǒng)，防火墻就象一道門，它可以阻止一類人群的進(jìn)入，但無法阻止同一類人群中的破壞分子，也不能阻止內(nèi)部的破壞分子；訪問控制系統(tǒng)可以不讓低級權(quán)限的人做越權(quán)工作，但無法保證高級權(quán)限的做破壞工作，也無法保證低級權(quán)限的人通過非法行為獲得高級權(quán)限入侵檢測系統(tǒng)的作用入侵檢測系統(tǒng)的作用實(shí)時檢測實(shí)時地監(jiān)視、分析網(wǎng)絡(luò)中所有的數(shù)據(jù)報(bào)文發(fā)現(xiàn)并實(shí)時處理所捕獲的數(shù)據(jù)報(bào)文安全審計(jì)對系統(tǒng)記錄的網(wǎng)絡(luò)事件進(jìn)行統(tǒng)計(jì)分析發(fā)現(xiàn)異?，F(xiàn)象得出系統(tǒng)的安全狀態(tài)，找出所需要的證據(jù)主動響應(yīng)主動切斷連接或與防火墻聯(lián)動，調(diào)用其他程序處理入侵檢測技術(shù)——IDS的作用入侵檢測的特點(diǎn)

一個完善的入侵檢測系統(tǒng)的特點(diǎn)：經(jīng)濟(jì)性時效性安全性可擴(kuò)展性入侵檢測技術(shù)——IDS的優(yōu)點(diǎn)實(shí)時檢測網(wǎng)絡(luò)系統(tǒng)的非法行為網(wǎng)絡(luò)IDS系統(tǒng)不占用系統(tǒng)的任何資源網(wǎng)絡(luò)IDS系統(tǒng)是一個獨(dú)立的網(wǎng)絡(luò)設(shè)備，可以做到對黑客透明，因此其本身的安全性高它既是實(shí)時監(jiān)測系統(tǒng)，也是記錄審計(jì)系統(tǒng)，可以做到實(shí)時保護(hù)，事后分析取證主機(jī)IDS系統(tǒng)運(yùn)行于保護(hù)系統(tǒng)之上，可以直接保護(hù)、恢復(fù)系統(tǒng)通過與防火墻的聯(lián)動，可以更有效地阻止非法入侵和破壞1980年Anderson提出：入侵檢測概念，分類方法1987年Denning提出了一種通用的入侵檢測模型獨(dú)立性：系統(tǒng)、環(huán)境、脆弱性、入侵種類系統(tǒng)框架：異常檢測器，專家系統(tǒng)90年初：CMDS?、NetProwler?、NetRanger?、ISSRealSecure?入侵檢測起源（1）入侵檢測的起源（2）審計(jì)技術(shù)：產(chǎn)生、記錄并檢查按時間順序排列的系統(tǒng)事件記錄的過程審計(jì)的目標(biāo)：確定和保持系統(tǒng)活動中每個人的責(zé)任重建事件評估損失監(jiān)測系統(tǒng)的問題區(qū)提供有效的災(zāi)難恢復(fù)阻止系統(tǒng)的不正當(dāng)使用入侵檢測的起源（3）計(jì)算機(jī)安全和審計(jì)美國國防部在70年代支持“可信信息系統(tǒng)”的研究，最終審計(jì)機(jī)制納入《可信計(jì)算機(jī)系統(tǒng)評估準(zhǔn)則》（TCSEC）C2級以上系統(tǒng)的要求的一部分“褐皮書”《理解可信系統(tǒng)中的審計(jì)指南》入侵檢測的起源（4）1980年4月，JamesP.Anderson:《ComputerSecurityThreatMonitoringandSurveillance》（計(jì)算機(jī)安全威脅監(jiān)控與監(jiān)視）的技術(shù)報(bào)告，第一次詳細(xì)闡述了入侵檢測的概念他提出了一種對計(jì)算機(jī)系統(tǒng)風(fēng)險(xiǎn)和威脅的分類方法，并將威脅分為外部滲透、內(nèi)部滲透和不法行為三種還提出了利用審計(jì)跟蹤數(shù)據(jù)監(jiān)視入侵活動的思想。這份報(bào)告被公認(rèn)為是入侵檢測的開山之作入侵檢測的起源（5）

從1984年到1986年，喬治敦大學(xué)的DorothyDenning和SRI/CSL的PeterNeumann研究出了一個實(shí)時入侵檢測系統(tǒng)模型，取名為IDES（入侵檢測專家系統(tǒng)）入侵檢測的起源（6）1990，加州大學(xué)戴維斯分校的L.T.Heberlein等人開發(fā)出了NSM（NetworkSecurityMonitor）該系統(tǒng)第一次直接將網(wǎng)絡(luò)流作為審計(jì)數(shù)據(jù)來源，因而可以在不將審計(jì)數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一格式的情況下監(jiān)控異種主機(jī)入侵檢測系統(tǒng)發(fā)展史翻開了新的一頁，兩大陣營正式形成：基于網(wǎng)絡(luò)的IDS和基于主機(jī)的IDS入侵檢測的起源（7）IDS物理結(jié)構(gòu)IDS引擎IDS控制中心事件上報(bào)控制和策略下發(fā)IDS物理結(jié)構(gòu)——探測引擎采用旁路方式全面?zhèn)陕牼W(wǎng)上信息流，實(shí)時分析將分析結(jié)果與探測器上運(yùn)行的策略集相匹配執(zhí)行報(bào)警、阻斷、日志等功能。完成對控制中心指令的接收和響應(yīng)工作。探測器是由策略驅(qū)動的網(wǎng)絡(luò)監(jiān)聽和分析系統(tǒng)。IDS物理結(jié)構(gòu)——引擎的功能結(jié)構(gòu)提供報(bào)警顯示提供對預(yù)警信息的記錄和檢索、統(tǒng)計(jì)功能制定入侵監(jiān)測的策略；控制探測器系統(tǒng)的運(yùn)行狀態(tài)收集來自多臺引擎的上報(bào)事件，綜合進(jìn)行事件分析，以多種方式對入侵事件作出快速響應(yīng)。這種分布式結(jié)構(gòu)有助于系統(tǒng)管理員的集中管理，全面搜集多臺探測引擎的信息，進(jìn)行入侵行為的分析。IDS物理結(jié)構(gòu)——控制中心IDS物理結(jié)構(gòu)——控制中心的功能結(jié)構(gòu)IDS的系統(tǒng)結(jié)構(gòu)單機(jī)結(jié)構(gòu)：引擎和控制中心在一個系統(tǒng)之上，不能遠(yuǎn)距離操作，只能在現(xiàn)場進(jìn)行操作。優(yōu)點(diǎn)是結(jié)構(gòu)簡單，不會因?yàn)橥ㄓ嵍绊懢W(wǎng)絡(luò)帶寬和泄密。分布式結(jié)構(gòu)就是引擎和控制中心在2個系統(tǒng)之上，通過網(wǎng)絡(luò)通訊，可以遠(yuǎn)距離查看和操作。目前的大多數(shù)IDS系統(tǒng)都是分布式的。優(yōu)點(diǎn)不是必需在現(xiàn)場操作，可以用一個控制中心控制多個引擎，可以統(tǒng)一進(jìn)行策略編輯和下發(fā)，可以統(tǒng)一查看申報(bào)的事件，可以通過分開事件顯示和查看的功能提高處理速度等等。IDS的系統(tǒng)結(jié)構(gòu)----分布式結(jié)構(gòu)圖IDS性能指標(biāo)系統(tǒng)結(jié)構(gòu)事件數(shù)量處理帶寬定義事件事件響應(yīng)自身安全

多級管理事件庫更新友好界面日志分析資源占用率抗打擊能力

日志分析所謂日志分析，就是按照事件的各種屬性、源、目的地址分布等信息進(jìn)行統(tǒng)計(jì)分析、數(shù)據(jù)檢索等操作，提供各種分析的圖形、表格信息，使用戶十分清楚地了解所發(fā)生地總體態(tài)勢，并方便地查找出所需要地事件。IDS的事件按照類型一般分為3大類：記錄事件、可疑事件、非法事件。事件響應(yīng)當(dāng)IDS系統(tǒng)產(chǎn)生了一個事件后，不僅僅是報(bào)告顯示該事件，還可以進(jìn)行一系列操作對該事件進(jìn)行實(shí)時處理。按照處理方法的不同，一般分為基本（被動）響應(yīng)和積極（主動）響應(yīng)2種?；卷憫?yīng)是IDS所產(chǎn)生的響應(yīng)只是為了更好地通知安全人員，并不對該網(wǎng)絡(luò)行為進(jìn)行進(jìn)行自動的阻斷行為?；卷憫?yīng)主要由下面幾種：事件上報(bào)：事件日志：Email通知：手機(jī)短信息：呼機(jī)信息：Windows消息：基本響應(yīng)通過IDS的事件積極響應(yīng)，IDS系統(tǒng)可以直接阻止網(wǎng)絡(luò)非法行為，保障被保護(hù)系統(tǒng)的安全。阻斷：通過發(fā)送擾亂報(bào)文，IDS系統(tǒng)破壞正常的網(wǎng)絡(luò)連接，使非法行為無法繼續(xù)進(jìn)行。源阻斷：通過記憶網(wǎng)絡(luò)非法行為的源IP地址，在一段時間內(nèi)阻斷所有該地址的網(wǎng)絡(luò)連接，使網(wǎng)絡(luò)非法行為在其行動的初期就被有效地組織。聯(lián)動：通過防火墻的聯(lián)動，IDS系統(tǒng)可以徹底阻止網(wǎng)絡(luò)非法行為基本響應(yīng)考察IDS系統(tǒng)的一個關(guān)鍵性指標(biāo)是報(bào)警事件的多少。一般而言，事件越多，表明IDS系統(tǒng)能夠處理的能力越強(qiáng)。一般而言，這個數(shù)量在500－1000之間，應(yīng)該與流行系統(tǒng)的漏洞數(shù)目相關(guān)。事件數(shù)量作為分布式結(jié)構(gòu)的IDS系統(tǒng)，通訊是其自身安全的關(guān)鍵因素。這包含2個部分：一是身份認(rèn)證，一是數(shù)據(jù)加密。身份認(rèn)證是要保證一個引擎，或者子控制中心只能由固定的上級進(jìn)行控制，任何非法的控制行為將予以阻止，如下圖所示：通訊探測引擎控制中心探測引擎控制中心非法控制中心通訊實(shí)例事件響應(yīng)基本（被動）響應(yīng)積極（主動）響應(yīng)連接申請方被連接方連接申請報(bào)文連接確認(rèn)報(bào)文數(shù)據(jù)通訊報(bào)文通訊結(jié)束申請報(bào)文確認(rèn)報(bào)文發(fā)送確認(rèn)和連接報(bào)文數(shù)據(jù)通訊報(bào)文確認(rèn)報(bào)文通訊結(jié)束申請報(bào)文TCP連接是經(jīng)過3次握手建立連接、4次握手中斷連接而完成的TCP連接的建立與拆除IDS設(shè)備開始報(bào)文后續(xù)報(bào)文防火墻監(jiān)測網(wǎng)絡(luò)報(bào)文設(shè)置命令隱蔽性：在作為一個安全的網(wǎng)絡(luò)設(shè)備，IDS是不希望被網(wǎng)絡(luò)上的其他系統(tǒng)發(fā)現(xiàn)，尤其不能讓其他網(wǎng)絡(luò)系統(tǒng)所訪問。關(guān)閉所有可能的端口、修改系統(tǒng)的設(shè)置，阻止一切沒有必要的網(wǎng)絡(luò)行為、關(guān)閉所有網(wǎng)絡(luò)行為，進(jìn)行無IP地址抓包。定制操作系統(tǒng)自身安全分級管理的主要指標(biāo)是管理層數(shù)目，至少具有主控、子控2級控制中心分級管理的另一個指標(biāo)是各級系統(tǒng)的處理能力是否分檔次多級管理IDS的一個主要特點(diǎn)，就是更新快，否則就會失去作用。目前由于internet網(wǎng)絡(luò)的發(fā)展，一個蠕蟲病毒可能一天就流行與全世界因此IDS事件的增加速度，必須能夠跟上需要的發(fā)展事件庫更新好的IDS系統(tǒng)必須有能力抵抗黑客的惡意信息的破壞IDS殺手：在短時間內(nèi)發(fā)送大量的具有黑客特征的報(bào)文信息，使一個報(bào)文至少產(chǎn)生1個以上的IDS事件，造成IDS系統(tǒng)在1秒內(nèi)生成成百上千的事件，最終“累死”IDS系統(tǒng)，同時掩護(hù)真正地黑客行為。IDS欺騙：目前地IDS系統(tǒng)主要使基于數(shù)據(jù)的模式匹配，因此，不少黑客程序通過把黑客特征信息分開，改變形式等措施，使IDS系統(tǒng)的數(shù)據(jù)匹配失效，從而躲過IDS的監(jiān)控。如碎包抗打擊能力IDS功能結(jié)構(gòu)入侵檢測是監(jiān)測計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng),以發(fā)現(xiàn)違反安全策略事件的過程簡單地說，入侵檢測系統(tǒng)包括三個功能部件：（1）信息收集（2）信息分析（3）結(jié)果處理信息收集（1）入侵檢測的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為。需要在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)（不同網(wǎng)段和不同主機(jī)）收集信息，盡可能擴(kuò)大檢測范圍從一個源來的信息有可能看不出疑點(diǎn)信息收集（2）入侵檢測很大程度上依賴于收集信息的可靠性和正確性，因此，要保證用來檢測網(wǎng)絡(luò)系統(tǒng)的軟件的完整性，特別是入侵檢測系統(tǒng)軟件本身應(yīng)具有相當(dāng)強(qiáng)的堅(jiān)固性，防止被篡改而收集到錯誤的信息信息收集的來源系統(tǒng)或網(wǎng)絡(luò)的日志文件網(wǎng)絡(luò)流量系統(tǒng)目錄和文件的異常變化程序執(zhí)行中的異常行為系統(tǒng)或網(wǎng)絡(luò)的日志文件黑客經(jīng)常在系統(tǒng)日志文件中留下他們的蹤跡，因此，充分利用系統(tǒng)和網(wǎng)絡(luò)日志文件信息是檢測入侵的必要條件日志文件中記錄了各種行為類型，每種類型又包含不同的信息，例如記錄“用戶活動”類型的日志，就包含登錄、用戶ID改變、用戶對文件的訪問、授權(quán)和認(rèn)證信息等內(nèi)容顯然，對用戶活動來講，不正常的或不期望的行為就是重復(fù)登錄失敗、登錄到不期望的位置以及非授權(quán)的企圖訪問重要文件等等系統(tǒng)目錄和文件的異常變化網(wǎng)絡(luò)環(huán)境中的文件系統(tǒng)包含很多軟件和數(shù)據(jù)文件，包含重要信息的文件和私有數(shù)據(jù)文件經(jīng)常是黑客修改或破壞的目標(biāo)。目錄和文件中的不期望的改變（包括修改、創(chuàng)建和刪除），特別是那些正常情況下限制訪問的，很可能就是一種入侵產(chǎn)生的指示和信號入侵者經(jīng)常替換、修改和破壞他們獲得訪問權(quán)的系統(tǒng)上的文件，同時為了隱藏系統(tǒng)中他們的表現(xiàn)及活動痕跡，都會盡力去替換系統(tǒng)程序或修改系統(tǒng)日志文件

信息分析模式匹配統(tǒng)計(jì)分析完整性分析，往往用于事后分析模式匹配模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為一般來講，一種進(jìn)攻模式可以用一個過程（如執(zhí)行一條指令）或一個輸出（如獲得權(quán)限）來表示。該過程可以很簡單（如通過字符串匹配以尋找一個簡單的條目或指令），也可以很復(fù)雜（如利用正規(guī)的數(shù)學(xué)表達(dá)式來表示安全狀態(tài)的變化）統(tǒng)計(jì)分析統(tǒng)計(jì)分析方法首先給系統(tǒng)對象（如用戶、文件、目錄和設(shè)備等）創(chuàng)建一個統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時的一些測量屬性（如訪問次數(shù)、操作失敗次數(shù)和延時等）測量屬性的平均值將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，任何觀察值在正常值范圍之外時，就認(rèn)為有入侵發(fā)生完整性分析完整性分析主要關(guān)注某個文件或?qū)ο笫欠癖桓?，這經(jīng)常包括文件和目錄的內(nèi)容及屬性，它在發(fā)現(xiàn)被更改的、被安裝木馬的應(yīng)用程序方面特別有效入侵檢測的分類（1）按照分析方法（檢測方法）異常檢測模型（AnomalyDetection):首先總結(jié)正常操作應(yīng)該具有的特征（用戶輪廓），當(dāng)用戶活動與正常行為有重大偏離時即被認(rèn)為是入侵。也稱為基于行為的檢測。誤用檢測模型（MisuseDetection)：收集非正常操作的行為特征，建立相關(guān)的特征庫，當(dāng)監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時，系統(tǒng)就認(rèn)為這種行為是入侵。也稱為基于知識的檢測。異常檢測BelowThresholdlevelsExceedThresholdLevelsSystemAuditMetricsProfilerIntrusionNormalActivity異常檢測模型(基于行為的檢測）前提：入侵是異?；顒拥淖蛹脩糨喞?Profile):通常定義為各種行為參數(shù)及其閥值的集合，用于描述正常行為范圍過程監(jiān)控

量化

比較

判定

修正指標(biāo):漏報(bào)(falsepositive),錯報(bào)(falsenegative)異常檢測異常檢測如果系統(tǒng)錯誤地將異常活動定義為入侵，稱為誤報(bào)(falsepositive)；如果系統(tǒng)未能檢測出真正的入侵行為則稱為漏報(bào)(falsenegative)。特點(diǎn)：異常檢測系統(tǒng)的效率取決于用戶輪廓的完備性和監(jiān)控的頻率。因?yàn)椴恍枰獙γ糠N入侵行為進(jìn)行定義，因此能有效檢測未知的入侵。同時系統(tǒng)能針對用戶行為的改變進(jìn)行自我調(diào)整和優(yōu)化，但隨著檢測模型的逐步精確，異常檢測會消耗更多的系統(tǒng)資源。與系統(tǒng)無關(guān)，通用性強(qiáng)。誤檢率高。

AnomalyDetectionactivitymeasuresprobableintrusionRelativelyhighfalsepositiverate- anomaliescanjustbenewnormalactivities.0102030405060708090CPUProcessSizenormalprofileabnormal基于誤用的入侵檢測思想：運(yùn)用已知攻擊方法，根據(jù)已定義好的入侵模式，通過判斷這些入侵模式是否出現(xiàn)來檢測。因?yàn)楹艽笠徊糠值娜肭质抢昧讼到y(tǒng)的脆弱性，通過分析入侵過程的特征、條件、次序以及事件間關(guān)系能具體描述入侵行為的跡象。也稱基于知識的入侵檢測。依據(jù)具體特征庫進(jìn)行判斷，所以檢測準(zhǔn)確度很高，并且因?yàn)闄z測結(jié)果有明確的參照，也為系統(tǒng)管理員做出相應(yīng)措施提供了方便。重要問題如何全面的描述攻擊的特征如何排除干擾，減小誤報(bào)解決問題的方式SystemAuditMetricsPatternMatcherIntrusionNormalActivityNoSignatureMatchSignatureMatch誤用檢測模型（基于知識的檢測）誤用檢測前提：所有的入侵行為都有可被檢測到的特征攻擊特征庫:當(dāng)監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時，系統(tǒng)就認(rèn)為這種行為是入侵過程監(jiān)控

特征提取

匹配

判定指標(biāo)錯報(bào)低漏報(bào)高

誤用檢測誤用檢測模型如果入侵特征與正常的用戶行能匹配，則系統(tǒng)會發(fā)生誤報(bào)；如果沒有特征能與某種新的攻擊行為匹配，則系統(tǒng)會發(fā)生漏報(bào)。特點(diǎn)：采用特征匹配，誤用模式能明顯降低錯報(bào)率，但漏報(bào)率隨之增加。攻擊特征的細(xì)微變化，會使得濫用檢測無能為力MisuseDetectionIntrusionPatternsactivitiespatternmatchingintrusionCan’tdetectnewattacksExample:if(src_ip==dst_ip)then“l(fā)andattack”入侵檢測的分類（2）按照數(shù)據(jù)來源：基于主機(jī)：系統(tǒng)獲取數(shù)據(jù)的依據(jù)是系統(tǒng)運(yùn)行所在的主機(jī)，保護(hù)的目標(biāo)也是系統(tǒng)運(yùn)行所在的主機(jī)基于網(wǎng)絡(luò)：系統(tǒng)獲取的數(shù)據(jù)是網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包，保護(hù)的是網(wǎng)絡(luò)的運(yùn)行混合型監(jiān)視與分析主機(jī)的審計(jì)記錄可以不運(yùn)行在監(jiān)控主機(jī)上能否及時采集到審計(jì)記錄？如何保護(hù)作為攻擊目標(biāo)主機(jī)審計(jì)子系統(tǒng)？基于主機(jī)在共享網(wǎng)段上對通信數(shù)據(jù)進(jìn)行偵聽采集數(shù)據(jù)主機(jī)資源消耗少提供對網(wǎng)絡(luò)通用的保護(hù)如何適應(yīng)高速網(wǎng)絡(luò)環(huán)境？非共享網(wǎng)絡(luò)上如何采集數(shù)據(jù)？基于網(wǎng)絡(luò)兩類IDS監(jiān)測軟件網(wǎng)絡(luò)IDS偵測速度快隱蔽性好視野更寬較少的監(jiān)測器占資源少主機(jī)IDS視野集中易于用戶自定義保護(hù)更加周密對網(wǎng)絡(luò)流量不敏感入侵檢測的分類（3）按系統(tǒng)各模塊的運(yùn)行方式集中式：系統(tǒng)的各個模塊包括數(shù)據(jù)的收集分析集中在一臺主機(jī)上運(yùn)行分布式：系統(tǒng)的各個模塊分布在不同的計(jì)算機(jī)和設(shè)備上入侵檢測的分類（4）根據(jù)時效性脫機(jī)分析：行為發(fā)生后，對產(chǎn)生的數(shù)據(jù)進(jìn)行分析聯(lián)機(jī)分析：在數(shù)據(jù)產(chǎn)生的同時或者發(fā)生改變時進(jìn)行分析當(dāng)一個入侵正在發(fā)生或者試圖發(fā)生時，IDS系統(tǒng)將發(fā)布一個alert信息通知系統(tǒng)管理員如果控制臺與IDS系統(tǒng)同在一臺機(jī)器，alert信息將顯示在監(jiān)視器上，也可能伴隨著聲音提示如果是遠(yuǎn)程控制臺，那么alert將通過IDS系統(tǒng)內(nèi)置方法（通常是加密的）、SNMP（簡單網(wǎng)絡(luò)管理協(xié)議，通常不加密）、email、SMS（短信息）或者以上幾種方法的混合方式傳遞給管理員常用術(shù)語——Alert（警報(bào)）當(dāng)有某個事件與一個已知攻擊的信號相匹配時，多數(shù)IDS都會告警一個基于anomaly（異常）的IDS會構(gòu)造一個當(dāng)時活動的主機(jī)或網(wǎng)絡(luò)的大致輪廓，當(dāng)有一個在這個輪廓以外的事件發(fā)生時，IDS就會告警有些IDS廠商將此方法看做啟發(fā)式功能，但一個啟發(fā)式的IDS應(yīng)該在其推理判斷方面具有更多的智能常用術(shù)語——

Anomaly（異常）首先，可以通過重新配置路由器和防火墻，拒絕那些來自同一地址的信息流;其次，通過在網(wǎng)絡(luò)上發(fā)送reset包切斷連接但是這兩種方式都有問題，攻擊者可以反過來利用重新配置的設(shè)備，其方法是：通過偽裝成一個友方的地址來發(fā)動攻擊，然后IDS就會配置路由器和防火墻來拒絕這些地址，這樣實(shí)際上就是對“自己人”拒絕服務(wù)了發(fā)送reset包的方法要求有一個活動的網(wǎng)絡(luò)接口，這樣它將置于攻擊之下，一個補(bǔ)救的辦法是：使活動網(wǎng)絡(luò)接口位于防火墻內(nèi)，或者使用專門的發(fā)包程序，從而避開標(biāo)準(zhǔn)IP棧需求常用術(shù)語——

AutomatedResponseIDS的核心是攻擊特征，它使IDS在事件發(fā)生時觸發(fā)特征信息過短會經(jīng)常觸發(fā)IDS，導(dǎo)致誤報(bào)或錯報(bào)，過長則會減慢IDS的工作速度有人將IDS所支持的特征數(shù)視為IDS好壞的標(biāo)準(zhǔn)，但是有的產(chǎn)商用一個特征涵蓋許多攻擊，而有些產(chǎn)商則會將這些特征單獨(dú)列出，這就會給人一種印象，好像它包含了更多的特征，是更好的IDS常用術(shù)語——

Signatures（特征）默認(rèn)狀態(tài)下，IDS網(wǎng)絡(luò)接口只能看到進(jìn)出主機(jī)的信息，也就是所謂的non-promiscuous（非混雜模式）如果網(wǎng)絡(luò)接口是混雜模式，就可以看到網(wǎng)段中所有的網(wǎng)絡(luò)通信量，不管其來源或目的地這對于網(wǎng)絡(luò)IDS是必要的，但同時可能被信息包嗅探器所利用來監(jiān)控網(wǎng)絡(luò)通信量交換型HUB可以解決這個問題，在能看到全面通信量的地方，會都許多跨越（span）端口常用術(shù)語——Promiscuous（混雜模式）試驗(yàn)?zāi)Ｐ停∣perationalModel）平均值和標(biāo)準(zhǔn)差模型（MeanandStandardDeviationModel）:多變量模型（MultivariateModel）:多個隨機(jī)變量的相關(guān)性計(jì)算，馬爾可夫過程模型（MarkovProcessModel）：初始分布和概率轉(zhuǎn)移矩陣；預(yù)測新的事件的出現(xiàn)頻率太低，則表明出現(xiàn)異常情況。時序模型（TimeSeriesModel）：該模型通過間隔計(jì)時器和資源計(jì)數(shù)器兩種類型隨機(jī)變量參數(shù)之間的相隔時間和它們的值來判斷入侵入侵檢測相關(guān)的數(shù)學(xué)模型統(tǒng)計(jì)異常檢測基于特征選擇異常檢測基于貝葉斯推理異常檢測基于貝葉斯網(wǎng)絡(luò)異常檢測基于模式預(yù)測異常檢測基于神經(jīng)網(wǎng)絡(luò)異常檢測基于貝葉斯聚類異常檢測基于機(jī)器學(xué)習(xí)異常檢測基于數(shù)據(jù)挖掘異常檢測異常入侵檢測方法基于行為的檢測——概率統(tǒng)計(jì)方法操作密度審計(jì)記錄分布范疇尺度數(shù)值尺度記錄的具體操作包括：CPU的使用，I/O的使用，使用地點(diǎn)及時間，郵件使用，編輯器使用，編譯器使用，所創(chuàng)建、刪除、訪問或改變的目錄及文件，網(wǎng)絡(luò)上活動等?；舅枷胧怯靡幌盗行畔卧?命令)訓(xùn)練神經(jīng)單元，這樣在給定一組輸入后，就可能預(yù)測出輸出。當(dāng)前命令和剛過去的w個命令組成了網(wǎng)絡(luò)的輸入，其中w是神經(jīng)網(wǎng)絡(luò)預(yù)測下一個命令時所包含的過去命令集的大小。根據(jù)用戶的代表性命令序列訓(xùn)練網(wǎng)絡(luò)后，該網(wǎng)絡(luò)就形成了相應(yīng)用戶的特征表，于是網(wǎng)絡(luò)對下一事件的預(yù)測錯誤率在一定程度上反映了用戶行為的異常程度。目前還不很成熟?；谛袨榈臋z測——神經(jīng)網(wǎng)絡(luò)方法神經(jīng)網(wǎng)絡(luò)檢測思想基于條件概率誤用檢測基于專家系統(tǒng)誤用檢測基于狀態(tài)遷移誤用檢測基于鍵盤監(jiān)控誤用檢測基于模型誤用檢測誤用入侵檢測方法基于知識的檢測——模型推理模型推理是指結(jié)合攻擊腳本推理出入侵行為是否出現(xiàn)。其中有關(guān)攻擊者行為的知識被描述為：攻擊者目的，攻擊者達(dá)到此目的的可能行為步驟，以及對系統(tǒng)的特殊使用等。根據(jù)這些知識建立攻擊腳本庫，每一腳本都由一系列攻擊行為組成。

基于知識的檢測——狀態(tài)遷移分析狀態(tài)遷移法將入侵過程看作一個行為序列，這個行為序列導(dǎo)致系統(tǒng)從初始狀態(tài)轉(zhuǎn)入被入侵狀態(tài)。分析時首先針對每一種入侵方法確定系統(tǒng)的初始狀態(tài)和被入侵狀態(tài)，以及導(dǎo)致狀態(tài)遷移的轉(zhuǎn)換條件，即導(dǎo)致系統(tǒng)進(jìn)入被入侵狀態(tài)必須執(zhí)行的操作(特征事件)。然后用狀態(tài)轉(zhuǎn)換圖來表示每一個狀態(tài)和特征事件，這些事件被集成于模型中，所以檢測時不需要一個個地查找審計(jì)記錄。但是，狀態(tài)轉(zhuǎn)換是針對事件序列分析，所以不善于分析過分復(fù)雜的事件，而且不能檢測與系統(tǒng)狀態(tài)無關(guān)的入侵。

Petri網(wǎng)分析一分鐘內(nèi)4次登錄失敗基于生物免疫檢測基于偽裝檢測其它基于協(xié)議分析的檢測檢測要點(diǎn)TCP協(xié)議：protocol:tcp目地端口21：dstport:21必須是已經(jīng)建立的連接：conn_status:established（TCP層狀態(tài)跟蹤）必須是FTP已經(jīng)登錄成功：ftp_login:success（應(yīng)用層狀態(tài)跟蹤）協(xié)議命令分析，把cd命令與后面的參數(shù)分開來，看cd后面是目錄名是否為“\..%20.”：ftpcomm_cd_para:”\..%20.”（協(xié)議解碼）分析下一個服務(wù)器回應(yīng)的包，是“250”（成功）還是“550”（失?。篺tp_reply:”250”|”550”（應(yīng)用層狀態(tài)跟蹤）很難讓這種分析產(chǎn)生誤報(bào)和漏報(bào)，而且還能跟蹤攻擊是否成功?；顒訑?shù)據(jù)源感應(yīng)器分析器管理器操作員管理員事件警報(bào)通告應(yīng)急安全策略安全策略入侵檢測系統(tǒng)原理圖攻擊模式庫入侵檢測器應(yīng)急措施配置系統(tǒng)庫數(shù)據(jù)采集安全控制系統(tǒng)審計(jì)記錄/協(xié)議數(shù)據(jù)等系統(tǒng)操作簡單的入侵檢測示意圖基于主機(jī)的入侵檢測系統(tǒng)系統(tǒng)分析主機(jī)產(chǎn)生的數(shù)據(jù)（應(yīng)用程序及操作系統(tǒng)的事件日志）由于內(nèi)部人員的威脅正變得更重要基于主機(jī)的檢測威脅基于主機(jī)的結(jié)構(gòu)優(yōu)點(diǎn)及問題基于主機(jī)的檢測威脅特權(quán)濫用關(guān)鍵數(shù)據(jù)的訪問及修改安全配置的變化基于主機(jī)的入侵檢測系統(tǒng)結(jié)構(gòu)基于主機(jī)的入侵檢測系統(tǒng)通常是基于代理的，代理是運(yùn)行在目標(biāo)系統(tǒng)上的可執(zhí)行程序，與中央控制計(jì)算機(jī)通信集中式：原始數(shù)據(jù)在分析之前要先發(fā)送到中央位置分布式：原始數(shù)據(jù)在目標(biāo)系統(tǒng)上實(shí)時分析，只有告警命令被發(fā)送給控制臺目標(biāo)系統(tǒng)審計(jì)記錄收集方法審計(jì)記錄預(yù)處理異常檢測誤用檢測安全管理員接口審計(jì)記錄數(shù)據(jù)歸檔/查詢審計(jì)記錄數(shù)據(jù)庫審計(jì)記錄基于審計(jì)的入侵檢測系統(tǒng)結(jié)構(gòu)示意圖集中式檢測的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：不會降低目標(biāo)機(jī)的性能統(tǒng)計(jì)行為信息多主機(jī)標(biāo)志、用于支持起訴的原始數(shù)據(jù)缺點(diǎn)：不能進(jìn)行實(shí)時檢測不能實(shí)時響應(yīng)影響網(wǎng)絡(luò)通信量分布式檢測的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：實(shí)時告警實(shí)時響應(yīng)缺點(diǎn)：降低目標(biāo)機(jī)的性能沒有統(tǒng)計(jì)行為信息沒有多主機(jī)標(biāo)志沒有用于支持起訴的原始數(shù)據(jù)降低了數(shù)據(jù)的辨析能力系統(tǒng)離線時不能分析數(shù)據(jù)操作模式操作主機(jī)入侵檢測系統(tǒng)的方式警告監(jiān)視毀壞情況評估遵從性基于主機(jī)的技術(shù)面臨的問題性能：降低是不可避免的部署/維護(hù)損害欺騙基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)入侵檢測系統(tǒng)分析網(wǎng)絡(luò)數(shù)據(jù)包基于網(wǎng)絡(luò)的檢測威脅基于網(wǎng)絡(luò)的結(jié)構(gòu)優(yōu)點(diǎn)及問題基于網(wǎng)絡(luò)的檢測威脅非授權(quán)訪問數(shù)據(jù)/資源的竊取拒絕服務(wù)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)結(jié)構(gòu)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)由遍及網(wǎng)絡(luò)的傳感器（Sensor)組成，傳感器會向中央控制臺報(bào)告。傳感器通常是獨(dú)立的檢測引擎，能獲得網(wǎng)絡(luò)分組、找尋誤用模式，然后告警。傳統(tǒng)的基于傳感器的結(jié)構(gòu)分布式網(wǎng)絡(luò)節(jié)點(diǎn)結(jié)構(gòu)傳統(tǒng)的基于傳感器的結(jié)構(gòu)傳感器（通常設(shè)置為混雜模式）用于嗅探網(wǎng)絡(luò)上的數(shù)據(jù)分組，并將分組送往檢測引擎檢測引擎安裝在傳感器計(jì)算機(jī)本身網(wǎng)絡(luò)分接器分布在關(guān)鍵任務(wù)網(wǎng)段上，每個網(wǎng)段一個管理/配置入侵分析引擎器網(wǎng)絡(luò)安全數(shù)據(jù)庫嗅探器嗅探器分析結(jié)果基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)模型分布式網(wǎng)絡(luò)節(jié)點(diǎn)結(jié)構(gòu)為解決高速網(wǎng)絡(luò)上的丟包問題，1999年6月，出現(xiàn)的一種新的結(jié)構(gòu)，將傳感器分布到網(wǎng)絡(luò)上的每臺計(jì)算機(jī)上每個傳感器檢查流經(jīng)他的網(wǎng)絡(luò)分組，然后傳感器相互通信，主控制臺將所有的告警聚集、關(guān)聯(lián)起來數(shù)據(jù)采集構(gòu)件應(yīng)急處理構(gòu)件通信傳輸構(gòu)件檢測分析構(gòu)件管理構(gòu)件安全知識庫分布式入侵檢測系統(tǒng)結(jié)構(gòu)示意圖基于網(wǎng)絡(luò)的入侵檢測的好處威懾外部人員檢測自動響應(yīng)及報(bào)告基于網(wǎng)絡(luò)的技術(shù)面臨的問題分組重組高速網(wǎng)絡(luò)加密對NIDS的規(guī)避對NIDS的規(guī)避及對策基于網(wǎng)絡(luò)層的規(guī)避及對策基于應(yīng)用層的規(guī)避及對策基于網(wǎng)絡(luò)層的規(guī)避及對策理論1998年1月Ptacek&Newsham論文：《Insertion,Evasion,andDenialofService:EludingNetworkIntrusionDetection》主要思想一個網(wǎng)絡(luò)上被動的設(shè)備很難只根據(jù)網(wǎng)絡(luò)上的數(shù)據(jù)預(yù)計(jì)受保護(hù)的終端系統(tǒng)的行為，利用IDS對數(shù)據(jù)包的分析處理方式與終端服務(wù)器TCP/IP實(shí)現(xiàn)方式的不同，進(jìn)行插入、逃避及拒絕服務(wù)攻擊，使IDS無法正確地檢測到攻擊。對數(shù)據(jù)包的不同處理方式當(dāng)處理到重疊的TCP/IP分片時，有些系統(tǒng)保留新數(shù)據(jù)，有些系統(tǒng)保留老數(shù)據(jù)，IDS處理重疊時可能與終端系統(tǒng)不同WindowsNT4.0保留老數(shù)據(jù)Linux保留新數(shù)據(jù)終端系統(tǒng)可能會丟棄某些帶了不被支持或不尋常的TCP/IP選項(xiàng)的數(shù)據(jù)包，IDS則可能還會處理那些包終端系統(tǒng)可能被配置成丟棄源路由的包終端系統(tǒng)可能丟棄有老時間戳的包終端系統(tǒng)可能丟棄某些帶有特殊TCP/IP選項(xiàng)組合的包因?yàn)榫W(wǎng)絡(luò)拓?fù)渑c數(shù)據(jù)包TTL值的設(shè)置，IDS和終端系統(tǒng)可能收到不同的數(shù)據(jù)包更多的不同…在進(jìn)行TCP/IP分片的重組時，IDS與終端系統(tǒng)的所設(shè)定的超時可能不同，造成重組的結(jié)果不同IDS與終端系統(tǒng)的硬件能力不同，導(dǎo)致一方能夠完成的重組對另一方來說不可能完成所有以上這些的不同，使下面的這幾種攻擊成為可能。插入攻擊在數(shù)據(jù)流中插入多余的字符，而這些多余的字符會使IDS接受而被終端系統(tǒng)所丟棄。逃避攻擊想辦法使數(shù)據(jù)流中的某些數(shù)據(jù)包造成終端系統(tǒng)會接受而IDS會丟棄局面。拒絕服務(wù)攻擊IDS本身的資源也是有限的，攻擊者可以想辦法使其耗盡其中的某種資源而使之失去正常的功能。CPU，攻擊者可以迫使IDS去執(zhí)行一些特別耗費(fèi)計(jì)算時間而又無意義的事內(nèi)存，連接狀態(tài)的保留、數(shù)據(jù)包的重組都需要大量的內(nèi)存，攻擊者可以想辦法使IDS不停的消耗內(nèi)存日志記錄空間，攻擊者可以不停地觸發(fā)某個事件讓IDS不停地記錄，最終占滿記錄空間IDS需要處理網(wǎng)絡(luò)上所有的數(shù)據(jù)包，如果攻擊者能使IDS所在的網(wǎng)絡(luò)達(dá)到很高的流量，IDS的檢測能力將急劇下降基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的主要優(yōu)點(diǎn)有：（1）成本低。（2）攻擊者轉(zhuǎn)移證據(jù)很困難。（3）實(shí)時檢測和應(yīng)答。一旦發(fā)生惡意訪問或攻擊，基于網(wǎng)絡(luò)的IDS檢測可以隨時發(fā)現(xiàn)它們，因此能夠更快地作出反應(yīng)。從而將入侵活動對系統(tǒng)的破壞減到最低。（4）能夠檢測未成功的攻擊企圖。（5）操作系統(tǒng)獨(dú)立?；诰W(wǎng)絡(luò)的IDS并不依賴主機(jī)的操作系統(tǒng)作為檢測資源。而基于主機(jī)的系統(tǒng)需要特定的操作系統(tǒng)才能發(fā)揮作用?；谥鳈C(jī)的IDS的主要優(yōu)勢有：（1）非常適用于加密和交換環(huán)境。（2）實(shí)時的檢測和應(yīng)答。（3）不需要額外的硬件。主機(jī)IDS和網(wǎng)絡(luò)IDS的比較基于異常的入侵檢測思想：任何正常人的行為有一定的規(guī)律需要考慮的問題：（1）選擇哪些數(shù)據(jù)來表現(xiàn)用戶的行為（2）通過以上數(shù)據(jù)如何有效地表示用戶的行為，主要在于學(xué)習(xí)和檢測方法的不同（3）考慮學(xué)習(xí)過程的時間長短、用戶行為的時效性等問題數(shù)據(jù)選取的原則（1）數(shù)據(jù)能充分反映用戶行為特征的全貌（2）應(yīng)使需要的數(shù)據(jù)量最?。?）數(shù)據(jù)提取難度不應(yīng)太大NIDS抓包PF_PACKET從鏈路層抓包libpcap提供API函數(shù)winpcapWindows下的抓包庫分析數(shù)據(jù)包EthernetIPTCP模式匹配EthernetIPTCP協(xié)議分析HTTPUnicodeXML模式匹配協(xié)議分析一個攻擊檢測實(shí)例老版本的Sendmail漏洞利用$telnet25WIZshell或者DEBUG#直接獲得rootshell！簡單的匹配檢查每個packet是否包含： “WIZ” |“DEBUG”檢查端口號縮小匹配范圍Port25:{ “WIZ” |“DEBUG”}深入決策樹只判斷客戶端發(fā)送部分Port25:{ Client-sends:“WIZ”| Client-sends:“DEBUG”}響應(yīng)策略彈出窗口報(bào)警E-mail通知切斷TCP連接執(zhí)行自定義程序與其他安全產(chǎn)品交互FirewallSNMPTrap壓制調(diào)速撤消連接回避隔離SYN/ACKRESETs自動響應(yīng)一個高級的網(wǎng)絡(luò)節(jié)點(diǎn)在使用“壓制調(diào)速”技術(shù)的情況下，可以采用路由器把攻擊者引導(dǎo)到一個經(jīng)過特殊裝備的系統(tǒng)上，這種系統(tǒng)被成為蜜罐蜜罐是一種欺騙手段，它可以用于錯誤地誘導(dǎo)攻擊者，也可以用于收集攻擊信息，以改進(jìn)防御能力蜜罐能采集的信息量由自身能提供的手段以及攻擊行為數(shù)量決定蜜罐BOF:

NFRWindowspecter是商業(yè)產(chǎn)品，運(yùn)行在Windows平臺上DeceptionToolkit:DTK是一個狀態(tài)機(jī)，實(shí)際上它能虛擬任何服務(wù)，并可方便地利用其中的功能直接模仿許多服務(wù)程序Mantrap:

Recourse最多達(dá)四種操作系統(tǒng)運(yùn)行在Solaris平臺Honeynets:它是一個專門設(shè)計(jì)來讓人“攻陷”的網(wǎng)絡(luò)，一旦被入侵者所攻破，入侵者的一切信息、工具等都將被用來分析學(xué)習(xí)蜜罐實(shí)例主動攻擊模型CIDFComponentsEventgenerators("E-boxes")Eventanalyzers("A-boxes")Eventdatabases("D-boxes")Responseunits("R-boxes")EventGenerators

obtaineventsfromthelargercomputationalenvironmentoutsidetheintrusiondetectionsystemprovidethemintheCIDFgidoformattotherestofthesystem.EventGeneratorsconvertingfeaturesoftypicalcomputationalenvironmentsintostandardgidoformatre-usableinthatCIDFhasastandardgidoformatitisusefultospecifyaninterfaceforhoweventgeneratorsareconfiguredandusedEventAnalyzersReceivegidosfromothercomponentsAnalyzethem,andreturnnewgidos(whichpresumablyrepresentsomekindofsynthesisorsummaryoftheinputevents)EventDatabasesThesecomponentssimplyexisttogivepersistencetoCIDFgidoswherethatisnecessary

ResponseUnitsConsumegidoswhichdirectthemCarryoutsomekindofactiononbehalfofotherCIDFcomponents,andtheycarryoutthisaction.Thisincludessuchthingsaskillingprocesses,resettingconnections,alteringfilepermissions,etc.CISLACommonIntrusionSpecificationLanguageAlanguagethatcanbeusedtodisseminateeventrecords,analysisresults,andcountermeasuredirectivesamongstintrusiondetectionandresponsecomponents.Wegiveanencodingthattranslatesthesemessagesintoanefficientoctetstream.配置互操作性：相互發(fā)現(xiàn)并交換數(shù)據(jù)語法互操作性：正確識別交換的數(shù)據(jù)語義互操作性：相互理解交換的數(shù)據(jù)CIDF互操作性分析互補(bǔ)互糾核實(shí)調(diào)整響應(yīng)CIDF協(xié)同方式LanguageGoalsList

Anylanguageusedtoexchangeinformationaboutattacksshouldhavethefollowingqualities:Expressive.Componentsshouldbeabletoexpressawiderangeofintrusion-andmisuse-relatedphenomenaandprescriptions.Uniqueinexpression.Componentsshouldnotbeabletoexpressagivensentimentinanearlyinfinitenumberofways;instead,thereshouldbeoneorasmallnumberof"natural"expressions.Precise.Themeaningofanutteranceinthelanguageshouldbewell-defined.Butthislanguageshouldalsobe...Layered.Specificsensesshouldbeexpressedascasesofgeneralsenses,sothatdifferentreceiverswithdifferentrequirementscandiscernasmuchastheyneedfromamessage.Self-defining.Consumersthatreceiveareportshouldbeabletointerpretmessagestothedegreethattheyneedto,withoutrecoursetoout-of-bandnegotiation.LanguageGoalsListEfficient.Messagesshouldconsumeaslittleofsystemresourcesaspossible.Especially,itshouldbepossibletoomitcontextualinformationinmostofasequenceofsimilarmessages.Extensible.Ifagroupofproducersandconsumersdecideonadditionalinformationtheywishtobeabletoexpress,theycandefineawayofdoingsowithaminimumoftroubleandnotloseanycompatibilitywithotherCIDFcomponentsthatdonotknowtheirextension.Theseextensionsmaybearbitrarilycomplex.Simple.Producersshouldbeabletoencodeinformationquickly;consumersshouldbeabletoextracttheinformationtheyneedwithouthavingtodoexcessiveprocessing.Portable.Thelanguageshouldsupportavarietyofplatformsandtransportmechanisms---supportmeaningthattheenvironmentshouldnotfundamentallylimitwhatinformationisexchanged.Easytoimplement.Ifthelanguageistoodifficulttoimplement,thenitwillnotbeused.OPSECOpenPlatformforSecurity

Anopen,industry-wideinitiativewhichenablescustomerstodeploymulti-vendorsecuritysolutionsunifiedbyasinglemanagementframework.DevelopedbyCheckPointSoftwareTechnologies,ithasbecomethedefactoindustrystandardplatformforachievingtrueenterprise-widesecurityintegrationatthepolicylevel.TheOPSECarchitectureallowscustomerstobuildthesecurenetworkthatmeetstheirspecificbusinessneeds.Customerscanchoosefromover200best-of-breedproducts,fromrouters,switches,servers,gatewaysandVPNdevices,toanti-virus,intrusiondetection,URLfiltering,highavailabilityandothersecurityandreportingapplications.TheycanalsosignupwithManagedServiceProviderswhoseofferingsarebasedonCheckPointandOPSECsolutions.

基于主機(jī)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)采集、分析的數(shù)據(jù)不全面入侵檢測由各個檢測引擎獨(dú)立完成，中心管理控制平臺并不具備檢測入侵的功能，缺乏綜合分析在響應(yīng)上，除了日志和告警，檢測引擎只能通過發(fā)送RST包切斷網(wǎng)絡(luò)連接，或向攻擊源發(fā)送目標(biāo)不可達(dá)信息來實(shí)現(xiàn)安全控制IDS現(xiàn)狀目前IDS實(shí)現(xiàn)的功能是相對初級的IDS也需要充分利用數(shù)據(jù)信息的相關(guān)性IDS作為網(wǎng)絡(luò)安全整體解決方案的重要部分，與其他安全設(shè)備之間應(yīng)該有著緊密的聯(lián)系IDS需要一種新的系統(tǒng)體系來克服自身的不足，并將IDS的各個功能模塊與其他安全產(chǎn)品有機(jī)地融合起來,這就需要引入?yún)f(xié)同的概念協(xié)同基于網(wǎng)絡(luò)的IDS需要采集動態(tài)數(shù)據(jù)（網(wǎng)絡(luò)數(shù)據(jù)包）基于主機(jī)的IDS需要采集靜態(tài)數(shù)據(jù)（日志文件等）目前的IDS將網(wǎng)絡(luò)數(shù)據(jù)包的采集、分析與日志文件的采集、分析割裂開來，沒有在這兩類原始數(shù)據(jù)的相關(guān)性上作考慮。在數(shù)據(jù)采集上進(jìn)行協(xié)同并充分利用各層次的數(shù)據(jù)，是提高入侵檢測能力的首要條件數(shù)據(jù)采集協(xié)同入侵檢測不僅需要利用模式匹配和異常檢測技術(shù)來分析某個檢測引擎所采集的數(shù)據(jù)，以發(fā)現(xiàn)一些簡單的入侵行為，還需要在此基礎(chǔ)上利用數(shù)據(jù)挖掘技術(shù)，分析多個檢測引擎提交的審計(jì)數(shù)據(jù)以發(fā)現(xiàn)更為復(fù)雜的入侵行為。

兩個層面上進(jìn)行單個檢測引擎采集的數(shù)據(jù)：綜合使用檢測技術(shù)，以發(fā)現(xiàn)較為常見的、典型的攻擊行為<——本地引擎多個檢測引擎的審計(jì)數(shù)據(jù)：利用數(shù)據(jù)挖掘技術(shù)進(jìn)行分析，以發(fā)現(xiàn)較為復(fù)雜的攻擊行為<——中心管理控制平臺數(shù)據(jù)分析協(xié)同

數(shù)據(jù)挖掘技術(shù)是一種決策支持過程，它主要基于AI，機(jī)器學(xué)習(xí)統(tǒng)計(jì)等技術(shù)，能高度自動化地分析原有數(shù)據(jù)，做出歸納性推理，從中挖掘出潛在的模式，預(yù)測出客戶的行為運(yùn)用關(guān)聯(lián)分析，能夠提取入侵行為在時間和空間上的關(guān)聯(lián)，可以進(jìn)行的關(guān)聯(lián)包括源IP關(guān)聯(lián)、目標(biāo)IP關(guān)聯(lián)、數(shù)據(jù)包特征關(guān)聯(lián)、時間周期關(guān)聯(lián)、網(wǎng)絡(luò)流量關(guān)聯(lián)等；運(yùn)用序列模式分析可以進(jìn)行入侵行為的時間序列特征分析；利用以上的分析結(jié)構(gòu)，可以制訂入侵行為的分類標(biāo)準(zhǔn)，并進(jìn)行形式化的描述，通過一定的訓(xùn)練數(shù)據(jù)集來構(gòu)造檢測模型；運(yùn)用聚類分析，能優(yōu)化或完全拋棄既有的模型，對入侵行為重新劃分并用顯示或隱式的方法進(jìn)行描述數(shù)據(jù)挖掘數(shù)據(jù)準(zhǔn)備數(shù)據(jù)清理和集成數(shù)據(jù)挖掘知識表示模式評估數(shù)據(jù)挖掘過程從審計(jì)數(shù)據(jù)中提取特征，以幫助區(qū)分正常數(shù)據(jù)和攻擊行為將這些特征用于模式匹配或異常檢測模型描述一種人工異常產(chǎn)生方法，來降低異常檢測算法的誤報(bào)率提供一種結(jié)合模式匹配和異常檢測模型的方法數(shù)據(jù)挖掘引擎觀察原始數(shù)據(jù)并計(jì)算用于模型評估的特征檢測器獲取引擎的數(shù)據(jù)并利用檢測模型來評估它是否是一個攻擊數(shù)據(jù)倉庫被用作數(shù)據(jù)和模型的中心存儲地;模型產(chǎn)生的主要目的是為了加快開發(fā)以及分發(fā)新的入侵檢測模型的速度基本框架理想的情況是，建立相關(guān)安全產(chǎn)品能夠相互通信并協(xié)同工作的安全體系，實(shí)現(xiàn)防火墻、IDS、病毒防護(hù)系統(tǒng)和審計(jì)系統(tǒng)等的互通與聯(lián)動，以實(shí)現(xiàn)整體安全防護(hù)響應(yīng)協(xié)同：當(dāng)IDS檢測到需要阻斷的入侵行為時，立即迅速啟動聯(lián)動機(jī)制，自動通知防火墻或其他安全控制設(shè)備對攻擊源進(jìn)行封堵，達(dá)到整體安全控制的效果。IDS與防火墻的聯(lián)動，可封堵源自外部網(wǎng)絡(luò)的攻擊IDS與網(wǎng)絡(luò)管理系統(tǒng)的聯(lián)動，可封堵被利用的網(wǎng)絡(luò)設(shè)備和主機(jī)IDS與操作系統(tǒng)的聯(lián)動，可封堵有惡意的用戶賬號IDS與內(nèi)網(wǎng)監(jiān)控管理系統(tǒng)的聯(lián)動，可封堵內(nèi)部網(wǎng)絡(luò)上惡意的主機(jī)響應(yīng)協(xié)同通過在防火墻中駐留的一個IDSAgent對象，以接收來自IDS的控制消息，然后再增加防火墻的過濾規(guī)則，最終實(shí)現(xiàn)聯(lián)動CiscoCIDF(CISL)ISSCheckpointIDS與Firewall聯(lián)動只需收集相關(guān)的數(shù)據(jù)集合，顯著減少系統(tǒng)負(fù)擔(dān)技術(shù)已相當(dāng)成熟檢測準(zhǔn)確率和效率都相當(dāng)高模式匹配優(yōu)點(diǎn)1．計(jì)算負(fù)荷大：支撐這一算法所需的計(jì)算量非常驚人，對一個滿負(fù)荷的100兆以太網(wǎng)而言，所需的計(jì)算量是每秒720億次計(jì)算。這一計(jì)算速度要求大大超出了現(xiàn)有的技術(shù)條件。同時，這種辦法雖然可以把系統(tǒng)構(gòu)建為部分覆蓋的功能，但是這樣的系統(tǒng)有嚴(yán)重的性能問題，并容易被黑客規(guī)避2．檢測準(zhǔn)確率低：第二個根本弱點(diǎn)是使用固定的特征模式來檢測入侵只能檢測特定的特征，這將會錯過通過對原始攻擊串做對攻擊效果無影響的微小變形而衍生所得的攻擊3.沒有理解能力：模式匹配系統(tǒng)沒有判別模式的真實(shí)含義和實(shí)際效果的能力，因此，所有的變形都將成為攻擊特征庫里一個不同的特征，這就是模式匹配系統(tǒng)有一個龐大的特征庫的原因模式匹配缺點(diǎn)高速網(wǎng)絡(luò)的出現(xiàn)

基于模式匹配的入侵檢測系統(tǒng)在一個滿負(fù)荷的100兆以太網(wǎng)上，將不得不丟棄30%～75%的數(shù)據(jù)流量某些系統(tǒng)，即使在利用率為20%的100兆以太網(wǎng)上也已經(jīng)開始漏掉某些攻擊行為攻擊技術(shù)的提高降低錯報(bào)率和漏報(bào)率的要求新技術(shù)的出現(xiàn)協(xié)議分析加命令解析技術(shù)是一種新的入侵檢測技術(shù)，它結(jié)合高速數(shù)據(jù)包捕捉、協(xié)議分析和命令解析來進(jìn)行入侵檢測，給入侵檢測戰(zhàn)場帶來了許多決定性的優(yōu)勢由于有了協(xié)議分析加命令解析的高效技術(shù)，基于運(yùn)行在單個Intel架構(gòu)計(jì)算機(jī)上的入侵檢測系統(tǒng)的千兆網(wǎng)絡(luò)警戒系統(tǒng)，就能分析一個高負(fù)載的千兆以太網(wǎng)上同時存在的超過300萬個連接，而不錯漏一個包協(xié)議分析＋命令解析協(xié)議分析充分利用了網(wǎng)絡(luò)協(xié)議的高度有序性，使用這些知識快速檢測某個攻擊特征的存在因?yàn)橄到y(tǒng)在每一層上都沿著協(xié)議棧向上解碼，因此可以使用所有當(dāng)前已知的協(xié)議信息，來排除所有不屬于這一個協(xié)議結(jié)構(gòu)的攻擊。協(xié)議分析協(xié)議解碼ProtocolAnalysisEther、IP、ARPTCP、UDP、ICMPHTTP、Telnet、DNS、FTP、IRC、NetBIOS、SMB、SMTP、SNMP、TFTP、RPC、POP3、Finger、rlogin、MIME、IMAP4、VNC、RealAudio、NetGames、MSSQL協(xié)議分析的優(yōu)勢效率高檢測0-day漏洞腳本例如大量的90字符可能是ShellCode中的NOOP操作。依據(jù)RFC，執(zhí)行協(xié)議異常分析解析器是一個命令解釋程序，入侵檢測引擎包括了多種不同的命令語法解析器，因此，它能對不同的高層協(xié)議——如Telnet、FTP、HTTP、SMTP、SNMP、DNS等的用戶命令進(jìn)行詳細(xì)的分析。命令解析器具有讀取攻擊串及其所有可能的變形，并發(fā)掘其本質(zhì)含義的能力。這樣，在攻擊特征庫中只需要一個特征，就能檢測這一攻擊所有可能的變形。解析器在發(fā)掘出命令的真實(shí)含義后將給惡意命令做好標(biāo)記，主機(jī)將會在這些包到達(dá)操作系統(tǒng)、應(yīng)用程序之前丟棄它們。命令解析第一步——直接跳到第13個字節(jié)，并讀取2個字節(jié)的協(xié)議標(biāo)識。如果值是0800，則說明這個以太網(wǎng)幀的數(shù)據(jù)域攜帶的是IP包，基于協(xié)議解碼的入侵檢測利用這一信息指示第二步的檢測工作。