入侵檢測系統的概念 入侵行為主要是指對系統資源的非授權使用,可以造成系統數據的丟失和破壞、系統拒絕服務等危害。對于入侵檢測而言的網絡攻擊可以分為4類: ①檢查單IP包(包括TCP、UDP)首部即可發覺的攻擊,如winnuke、ping of death、land.c、部分OS detection、source routing等。 ②檢查單IP包,但同時要檢查數據段信息才能發覺的攻擊,如利用CGI漏洞,緩存溢出攻擊等。 ③通過檢測發生頻率才能發覺的攻擊,如端口掃描、SYN Flood、smurf攻擊等。 ④利用分片進行的攻擊,如teadrop,nestea,jolt等。此類攻擊利用了分片組裝算法的種種漏洞。若要檢查此類攻擊,必須提前(在IP層接受或轉發時,而不是在向上層發送時)作組裝嘗試。分片不僅可用來攻擊,還可用來逃避未對分片進行組裝嘗試的入侵檢測系統的檢測。 入侵檢測通過對計算機網絡或計算機系統中的若干關鍵點收集信息并進行分析,從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。進行入侵檢測的軟件與硬件的組合就是入侵檢測系統。 入侵檢測系統執行的主要任務包括:監視、分析用戶及系統活動;審計系統構造和弱點;識別、反映已知進攻的活動模式,向相關人士報警;統計分析異常行為模式;評估重要系統和數據文件的完整性;審計、跟蹤管理操作系統,識別用戶違反安全策略的行為。入侵檢測一般分為3個步驟,依次為信息收集、數據分析、響應(被動響應和主動響應)。 信息收集的內容包括系統、網絡、數據及用戶活動的狀態和行為。入侵檢測利用的信息一般來自系統日志、目錄以及文件中的異常改變、程序執行中的異常行為及物理形式的入侵信息4個方面。 數據分析是入侵檢測的核心。它首先構建分析器,把收集到的信息經過預處理,建立一個行為分析引擎或模型,然后向模型中植入時間數據,在知識庫中保存植入數據的模型。數據分析一般通過模式匹配、統計分析和完整性分析3種手段進行。前兩種方法用于實時入侵檢測,而完整性分析則用于事后分析。可用5種統計模型進行數據分析:操作模型、方差、多元模型、馬爾柯夫過程模型、時間序列分析。統計分析的最大優點是可以學習用戶的使用習慣。 入侵檢測系統在發現入侵后會及時作出響應,包括切斷網絡連接、記錄事件和報警等。響應一般分為主動響應(阻止攻擊或影響進而改變攻擊的進程)和被動響應(報告和記錄所檢測出的問題)兩種類型。主動響應由用戶驅動或系統本身自動執行,可對入侵者采取行動(如斷開連接)、修正系統環境或收集有用信息;被動響應則包括告警和通知、簡單網絡管理協議(SNMP)陷阱和插件等。另外,還可以按策略配置響應,可分別采取立即、緊急、適時、本地的長期和全局的長期等行動。 IDS分類 一般來說,入侵檢測系統可分為主機型和網絡型。 主機型入侵檢測系統往往以系統日志、應用程序日志等作為數據源,當然也可以通過其他手段(如監督系統調用)從所在的主機收集信息進行分析。主機型入侵檢測系統保護的一般是所在的系統。 網絡型入侵檢測系統的數據源則是網絡上的數據包。往往將一臺機子的網卡設于混雜模式(promisc mode),監聽所有本網段內的數據包并進行判斷。一般網絡型入侵檢測系統擔負著保護整個網段的任務。 不難看出,網絡型IDS的優點主要是簡便:一個網段上只需安裝一個或幾個這樣的系統,便可以監測整個網段的情況。且由于往往分出單獨的計算機做這種應用,不會給運行關鍵業務的主機帶來負載上的增加。但由于現在網絡的日趨復雜和高速網絡的普及,這種結構正受到越來越大的挑戰。一個典型的例子便是交換式以太網。 而盡管主機型IDS的缺點顯而易見:必須為不同平臺開發不同的程序、增加系統負荷、所需安裝數量眾多等,但是內在結構卻沒有任何束縛,同時可以利用操作系統本身提供的功能、并結合異常分析,更準確的報告攻擊行為。參考文獻[7]對此做了描述,感興趣的讀者可參看。 入侵檢測系統的幾個部件往往位于不同的主機上。一般來說會有三臺機器,分別運行事件產生器、事件分析器和響應單元。將前兩者合在一起,只需兩臺。在安裝IDS的時候,關鍵是選擇數據采集部分所在的位置,因為它決定了“事件”的可見度。 對于主機型IDS,其數據采集部分當然位于其所監測的主機上。 對于網絡型IDS,其數據采集部分則有多種可能: (1)如果網段用總線式的集線器相連,則可將其簡單的接在集線器的一個端口上即可; (2)對于交換式以太網交換機,問題則會變得復雜。由于交換機不采用共享媒質的辦法,傳統的采用一個sniffer來監聽整個子網的辦法不再可行。可解決的辦法有: a. 交換機的核心芯片上一般有一個用于調試的端口(span port),任何其他端口的進出信息都可從此得到。如果交換機廠商把此端口開放出來,用戶可將IDS系統接到此端口上。 優點:無需改變IDS體系結構。 缺點:采用此端口會降低交換機性能。 b. 把入侵檢測系統放在交換機內部或防火墻內部等數據流的關鍵入口、出口。 優點:可得到幾乎所有關鍵數據。 缺點:必須與其他廠商緊密合作,且會降低網絡性能。 c. 采用分接器(Tap),將其接在所有要監測的線路上。 優點:在不降低網絡性能的前提下收集了所需的信息。 缺點:必須購買額外的設備(Tap);若所保護的資源眾多,IDS必須配備眾多網絡接口。 d. 可能唯一在理論上沒有限制的辦法就是采用主機型IDS。 通信協議 IDS系統組件之間需要通信,不同的廠商的IDS系統之間也需要通信。因此,定義統一的協議,使各部分能夠根據協議所制訂的標準進行溝通是很有必要的。 IETF目前有一個專門的小組Intrusion Detection Working Group (IDWG)負責定義這種通信格式,稱作Intrusion Detection Exchange Format。目前只有相關的草案(internet draft),并未形成正式的RFC文檔。盡管如此,草案為IDS各部分之間甚至不同IDS系統之間的通信提供了一定的指引。 IAP(Intrusion Alert Protocol)是IDWG制定的、運行于TCP之上的應用層協議,其設計在很大程度上參考了HTTP,但補充了許多其他功能(如可從任意端發起連接,結合了加密、身份驗證等)。對于IAP的具體實現,請參看 [4],其中給出了非常詳盡的說明。這里我們主要討論一下設計一個入侵檢測系統通信協議時應考慮的問題: (1)分析系統與控制系統之間傳輸的信息是非常重要的信息,因此必須要保持數據的真實性和完整性。必須有一定的機制進行通信雙方的身份驗證和保密傳輸(同時防止主動和被動攻擊)。 (2)通信的雙方均有可能因異常情況而導致通信中斷,IDS系統必須有額外措施保證系統正常工作。 入侵檢測技術 對各種事件進行分析,從中發現違反安全策略的行為是入侵檢測系統的核心功能。從技術上,入侵檢測分為兩類:一種基于標志(signature-based),另一種基于異常情況(anomaly-based)。 對于基于標識的檢測技術來說,首先要定義違背安全策略的事件的特征,如網絡數據包的某些頭信息。檢測主要判別這類特征是否在所收集到的數據中出現。此方法非常類似殺毒軟件。 而基于異常的檢測技術則是先定義一組系統“正常”情況的數值,如CPU利用率、內存利用率、文件校驗和等(這類數據可以人為定義,也可以通過觀察系統、并用統計的辦法得出),然后將系統運行時的數值與所定義的“正常”情況比較,得出是否有被攻擊的跡象。這種檢測方式的核心在于如何定義所謂的“正常”情況。 兩種檢測技術的方法、所得出的結論有非常大的差異。基于異常的檢測技術的核心是維護一個知識庫。對于已知得攻擊,它可以詳細、準確的報告出攻擊類型,但是對未知攻擊卻效果有限,而且知識庫必須不斷更新。基于異常的檢測技術則無法準確判別出攻擊的手法,但它可以(至少在理論上可以)判別更廣泛甚至未發覺的攻擊。 如果條件允許,兩者結合的檢測會達到更好的效果. 入侵檢測系統技術和主要方法 入侵檢測系統技術 可以采用概率統計方法、專家系統、神經網絡、模式匹配、行為分析等來實現入侵檢測系統的檢測機制,以分析事件的審計記錄、識別特定的模式、生成檢測報告和最終的分析結果。 發現入侵檢測一般采用如下兩項技術: ① 異常發現技術,假定所有入侵行為都是與正常行為不同的。它的原理是,假設可以建立系統正常行為的軌跡,所有與正常軌跡不同的系統狀態則視為可疑企圖。異常閥值與特征的選擇是其成敗的關鍵。其局限在于,并非所有的入侵都表現為異常,而且系統的軌跡難于計算和更新。 ② 是模式發現技術,它是假定所有入侵行為和手段(及其變種)都能夠表達為一種模式或特征,所有已知的入侵方法都可以用匹配的方法發現。模式發現技術的關鍵是如何表達入侵的模式,以正確區分真正的入侵與正常行為。模式發現的優點是誤報少,局限是只能發現已知的攻擊,對未知的攻擊無能為力。 入侵檢測的主要方法 靜態配置分析 靜態配置分析通過檢查系統的當前系統配置,諸如系統文件的內容或者系統表,來檢查系統是否已經或者可能會遭到破壞。靜態是指檢查系統的靜態特征(系統配置信息),而不是系統中的活動。 采用靜態分析方法主要有以下幾方面的原因:入侵者對系統攻擊時可能會留下痕跡,這可通過檢查系統的狀態檢測出來;系統管理員以及用戶在建立系統時難免會出現一些錯誤或遺漏一些系統的安全性措施;另外,系統在遭受攻擊后,入侵者可能會在系統中安裝一些安全性后門以方便對系統進行進一步的攻擊。 所以,靜態配置分析方法需要盡可能了解系統的缺陷,否則入侵者只需要簡單地利用那些系統中未知的安全缺陷就可以避開檢測系統。

基本很難，因為就算你買來了，國內沒有這輛車的數據沒有辦法上牌照。

入侵檢測系統的概念 入侵行為主要是指對系統資源的非授權使用,可以造成系統數據的丟失和破壞、系統拒絕服務等危害。對于入侵檢測而言的網絡攻擊可以分為4類： ①檢查單IP包（包括TCP、UDP）首部即可發覺的攻擊,如winnuke、ping of death、land.c、部分OS detection、source routing等。 ②檢查單IP包,但同時要檢查數據段信息才能發覺的攻擊,如利用CGI漏洞,緩存溢出攻擊等。 ③通過檢測發生頻率才能發覺的攻擊,如端口掃描、SYN Flood、smurf攻擊等。 ④利用分片進行的攻擊,如teadrop,nestea,jolt等。此類攻擊利用了分片組裝算法的種種漏洞。若要檢查此類攻擊,必須提前（在IP層接受或轉發時,而不是在向上層發送時）作組裝嘗試。分片不僅可用來攻擊,還可用來逃避未對分片進行組裝嘗試的入侵檢測系統的檢測。 入侵檢測通過對計算機網絡或計算機系統中的若干關鍵點收集信息并進行分析,從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。進行入侵檢測的軟件與硬件的組合就是入侵檢測系統。 入侵檢測系統執行的主要任務包括：監視、分析用戶及系統活動；審計系統構造和弱點；識別、反映已知進攻的活動模式,向相關人士報警；統計分析異常行為模式；評估重要系統和數據文件的完整性；審計、跟蹤管理操作系統,識別用戶違反安全策略的行為。入侵檢測一般分為3個步驟,依次為信息收集、數據分析、響應（被動響應和主動響應）。 信息收集的內容包括系統、網絡、數據及用戶活動的狀態和行為。入侵檢測利用的信息一般來自系統日志、目錄以及文件中的異常改變、程序執行中的異常行為及物理形式的入侵信息4個方面。 數據分析是入侵檢測的核心。它首先構建分析器,把收集到的信息經過預處理,建立一個行為分析引擎或模型,然后向模型中植入時間數據,在知識庫中保存植入數據的模型。數據分析一般通過模式匹配、統計分析和完整性分析3種手段進行。前兩種方法用于實時入侵檢測,而完整性分析則用于事后分析。可用5種統計模型進行數據分析：操作模型、方差、多元模型、馬爾柯夫過程模型、時間序列分析。統計分析的最大優點是可以學習用戶的使用習慣。 入侵檢測系統在發現入侵后會及時作出響應,包括切斷網絡連接、記錄事件和報警等。響應一般分為主動響應（阻止攻擊或影響進而改變攻擊的進程）和被動響應（報告和記錄所檢測出的問題）兩種類型。主動響應由用戶驅動或系統本身自動執行,可對入侵者采取行動（如斷開連接）、修正系統環境或收集有用信息；被動響應則包括告警和通知、簡單網絡管理協議（SNMP）陷阱和插件等。另外,還可以按策略配置響應,可分別采取立即、緊急、適時、本地的長期和全局的長期等行動。 IDS分類 一般來說,入侵檢測系統可分為主機型和網絡型。 主機型入侵檢測系統往往以系統日志、應用程序日志等作為數據源,當然也可以通過其他手段（如監督系統調用）從所在的主機收集信息進行分析。主機型入侵檢測系統保護的一般是所在的系統。 網絡型入侵檢測系統的數據源則是網絡上的數據包。往往將一臺機子的網卡設于混雜模式（promisc mode）,監聽所有本網段內的數據包并進行判斷。一般網絡型入侵檢測系統擔負著保護整個網段的任務。 不難看出,網絡型IDS的優點主要是簡便：一個網段上只需安裝一個或幾個這樣的系統,便可以監測整個網段的情況。且由于往往分出單獨的計算機做這種應用,不會給運行關鍵業務的主機帶來負載上的增加。但由于現在網絡的日趨復雜和高速網絡的普及,這種結構正受到越來越大的挑戰。一個典型的例子便是交換式以太網。 而盡管主機型IDS的缺點顯而易見：必須為不同平臺開發不同的程序、增加系統負荷、所需安裝數量眾多等,但是內在結構卻沒有任何束縛,同時可以利用操作系統本身提供的功能、并結合異常分析,更準確的報告攻擊行為。參考文獻[7]對此做了描述,感興趣的讀者可參看。 入侵檢測系統的幾個部件往往位于不同的主機上。一般來說會有三臺機器,分別運行事件產生器、事件分析器和響應單元。將前兩者合在一起,只需兩臺。在安裝IDS的時候,關鍵是選擇數據采集部分所在的位置,因為它決定了“事件”的可見度。 對于主機型IDS,其數據采集部分當然位于其所監測的主機上。 對于網絡型IDS,其數據采集部分則有多種可能： （1）如果網段用總線式的集線器相連,則可將其簡單的接在集線器的一個端口上即可； （2）對于交換式以太網交換機,問題則會變得復雜。由于交換機不采用共享媒質的辦法,傳統的采用一個sniffer來監聽整個子網的辦法不再可行。可解決的辦法有： a. 交換機的核心芯片上一般有一個用于調試的端口（span port）,任何其他端口的進出信息都可從此得到。如果交換機廠商把此端口開放出來,用戶可將IDS系統接到此端口上。 優點：無需改變IDS體系結構。 缺點：采用此端口會降低交換機性能。 b. 把入侵檢測系統放在交換機內部或防火墻內部等數據流的關鍵入口、出口。 優點：可得到幾乎所有關鍵數據。 缺點：必須與其他廠商緊密合作,且會降低網絡性能。 c. 采用分接器（Tap）,將其接在所有要監測的線路上。 優點：在不降低網絡性能的前提下收集了所需的信息。 缺點：必須購買額外的設備(Tap)；若所保護的資源眾多,IDS必須配備眾多網絡接口。 d. 可能唯一在理論上沒有限制的辦法就是采用主機型IDS。 通信協議 IDS系統組件之間需要通信,不同的廠商的IDS系統之間也需要通信。因此,定義統一的協議,使各部分能夠根據協議所制訂的標準進行溝通是很有必要的。 IETF目前有一個專門的小組Intrusion Detection Working Group (IDWG)負責定義這種通信格式,稱作Intrusion Detection Exchange Format。目前只有相關的草案（internet draft）,并未形成正式的RFC文檔。盡管如此,草案為IDS各部分之間甚至不同IDS系統之間的通信提供了一定的指引。 IAP(Intrusion Alert Protocol)是IDWG制定的、運行于TCP之上的應用層協議,其設計在很大程度上參考了HTTP,但補充了許多其他功能（如可從任意端發起連接,結合了加密、身份驗證等）。對于IAP的具體實現,請參看 [4],其中給出了非常詳盡的說明。這里我們主要討論一下設計一個入侵檢測系統通信協議時應考慮的問題： （1）分析系統與控制系統之間傳輸的信息是非常重要的信息,因此必須要保持數據的真實性和完整性。必須有一定的機制進行通信雙方的身份驗證和保密傳輸（同時防止主動和被動攻擊）。 （2）通信的雙方均有可能因異常情況而導致通信中斷,IDS系統必須有額外措施保證系統正常工作。 入侵檢測技術 對各種事件進行分析,從中發現違反安全策略的行為是入侵檢測系統的核心功能。從技術上,入侵檢測分為兩類：一種基于標志（signature-based）,另一種基于異常情況(anomaly-based)。 對于基于標識的檢測技術來說,首先要定義違背安全策略的事件的特征,如網絡數據包的某些頭信息。檢測主要判別這類特征是否在所收集到的數據中出現。此方法非常類似殺毒軟件。 而基于異常的檢測技術則是先定義一組系統“正常”情況的數值,如CPU利用率、內存利用率、文件校驗和等（這類數據可以人為定義,也可以通過觀察系統、并用統計的辦法得出）,然后將系統運行時的數值與所定義的“正常”情況比較,得出是否有被攻擊的跡象。這種檢測方式的核心在于如何定義所謂的“正常”情況。 兩種檢測技術的方法、所得出的結論有非常大的差異。基于異常的檢測技術的核心是維護一個知識庫。對于已知得攻擊,它可以詳細、準確的報告出攻擊類型,但是對未知攻擊卻效果有限,而且知識庫必須不斷更新。基于異常的檢測技術則無法準確判別出攻擊的手法,但它可以（至少在理論上可以）判別更廣泛甚至未發覺的攻擊。 如果條件允許,兩者結合的檢測會達到更好的效果. 入侵檢測系統技術和主要方法 入侵檢測系統技術 可以采用概率統計方法、專家系統、神經網絡、模式匹配、行為分析等來實現入侵檢測系統的檢測機制,以分析事件的審計記錄、識別特定的模式、生成檢測報告和最終的分析結果。 發現入侵檢測一般采用如下兩項技術： ① 異常發現技術,假定所有入侵行為都是與正常行為不同的。它的原理是,假設可以建立系統正常行為的軌跡,所有與正常軌跡不同的系統狀態則視為可疑企圖。異常閥值與特征的選擇是其成敗的關鍵。其局限在于,并非所有的入侵都表現為異常,而且系統的軌跡難于計算和更新。 ② 是模式發現技術,它是假定所有入侵行為和手段（及其變種）都能夠表達為一種模式或特征,所有已知的入侵方法都可以用匹配的方法發現。模式發現技術的關鍵是如何表達入侵的模式,以正確區分真正的入侵與正常行為。模式發現的優點是誤報少,局限是只能發現已知的攻擊,對未知的攻擊無能為力。 入侵檢測的主要方法 靜態配置分析 靜態配置分析通過檢查系統的當前系統配置,諸如系統文件的內容或者系統表,來檢查系統是否已經或者可能會遭到破壞。靜態是指檢查系統的靜態特征（系統配置信息）,而不是系統中的活動。 采用靜態分析方法主要有以下幾方面的原因：入侵者對系統攻擊時可能會留下痕跡,這可通過檢查系統的狀態檢測出來；系統管理員以及用戶在建立系統時難免會出現一些錯誤或遺漏一些系統的安全性措施；另外,系統在遭受攻擊后,入侵者可能會在系統中安裝一些安全性后門以方便對系統進行進一步的攻擊。 所以,靜態配置分析方法需要盡可能了解系統的缺陷,否則入侵者只需要簡單地利用那些系統中未知的安全缺陷就可以避開檢測系統。