入侵檢測(cè)與防范技術(shù)IDSIPS綜述與分析

入侵檢測(cè)與防范技術(shù)（IDS/IPS）綜述與分析卓雪君

學(xué)號(hào)：2007310381

（清華大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)系,北京市100084）摘要：本文從入侵檢測(cè)/入侵防范的概念入手，對(duì)兩者的技術(shù)特點(diǎn)，原理進(jìn)行了詳細(xì)的分析，進(jìn)而討論了入侵檢測(cè)和入侵防范之間的關(guān)系。并在此基礎(chǔ)上對(duì)入侵檢測(cè)/入侵防范產(chǎn)品進(jìn)行了調(diào)研，著重對(duì)開(kāi)源IDS軟件snort進(jìn)行了介紹。最后給出了一系列反入侵檢測(cè)技術(shù)，并提出了入侵檢測(cè)/入侵防范技術(shù)所存在的問(wèn)題以及發(fā)展趨勢(shì)。關(guān)鍵字：入侵檢測(cè)系統(tǒng)、入侵防范系統(tǒng)、安全I(xiàn)ntrusionDetectionSystemandIntrusionPreventionSystem:

ASurvey

ZhuoXue-JunDept.ofComputerScienceandTechnology,TsinghuaUniversity,Beijing

100084,ChinaAbstract：StartingfromtheconceptofIntrusionDetectionandIntrusionProtection,thisarticlepresentsadetailedanalysisoftheirtechnologicalcharacteristicsandprinciples,andthendiscussestheirrelationships.Basedonthis,thearticlegivesasurveyoftheintrusiondetection/protectionproductsandputthefocusontheopen-sourceIDS（IntrusionDetectionSystem）softwaresnort.Atlast,aseriesofanti-intrusiondetectiontechniquesareintroduced,aswellassomeexistingproblemsandfuturetrendoftheintrusiondetection/protectiontechnology.KeyWords：IntrusionDetectionSystem;IntrusionPreventionSystem;Security計(jì)算機(jī)安全逐步成為一個(gè)國(guó)際化的問(wèn)題，每年全球因?yàn)橛?jì)算機(jī)安全系統(tǒng)被破壞而造成的經(jīng)濟(jì)損失也在不斷飆升。對(duì)于企業(yè)、機(jī)關(guān)乃至個(gè)人來(lái)說(shuō)，如何保護(hù)自身的安全不受到黑客的攻擊成為了一個(gè)現(xiàn)實(shí)而至關(guān)重要的問(wèn)題。傳統(tǒng)的網(wǎng)絡(luò)安全防范工具是防火墻，它是一種用來(lái)加強(qiáng)網(wǎng)絡(luò)之間訪問(wèn)控制的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備，通過(guò)對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包和鏈接方式按照一定的安全策略進(jìn)行檢查，來(lái)決定網(wǎng)絡(luò)之間的通信是否被允許。防火墻能有效地控制內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的訪問(wèn)及數(shù)據(jù)傳送，從而達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的信息不受外部非授權(quán)用戶的訪問(wèn)和過(guò)濾不良信息的目的。但是防火墻不能防止來(lái)自網(wǎng)絡(luò)內(nèi)部的攻擊，而事實(shí)證明往往大部分的攻擊都是來(lái)自網(wǎng)絡(luò)內(nèi)部，此外由于防火墻性能的限制使得它不具備實(shí)時(shí)監(jiān)控入侵的能力。在這個(gè)需求背景下，入侵檢測(cè)技術(shù)乃至入侵防范便應(yīng)運(yùn)而生，可以彌補(bǔ)防火墻的不足，為網(wǎng)絡(luò)提供實(shí)時(shí)的監(jiān)控，并結(jié)合其他的網(wǎng)絡(luò)安全產(chǎn)品，在網(wǎng)絡(luò)系統(tǒng)受到威脅之前對(duì)入侵行為做出實(shí)時(shí)反應(yīng)。1.IDS/IPS技術(shù)介紹入侵指的是破壞目標(biāo)系統(tǒng)資源的完整性、機(jī)密性或可用性的一系列活動(dòng)，入侵檢測(cè)系統(tǒng)所檢測(cè)的入侵行為不包括物理入侵，而是僅包括從系統(tǒng)內(nèi)部或者外部發(fā)起的，嘗試或者實(shí)施對(duì)系統(tǒng)資源的非授權(quán)訪問(wèn)、操縱或破環(huán)的行為［1,2］。入侵檢測(cè)系統(tǒng)IDS(IntrusionDetectionSystem)是通過(guò)收集網(wǎng)絡(luò)系統(tǒng)信息來(lái)進(jìn)行入侵分析的軟件與硬件的智能組合。對(duì)IDS進(jìn)行標(biāo)準(zhǔn)化工作的兩個(gè)組織分別是作為國(guó)際互聯(lián)網(wǎng)標(biāo)準(zhǔn)的制定者IETF的IntrusionDetectionworkingGroup(IDWG，入侵檢測(cè)工作組)和CommonIntrusionDetectionFramework(CIDF，通用入侵檢測(cè)框架)。入侵防范系統(tǒng)IPS(IntrusionPreventionSystem)的功能是不僅能實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)信息，發(fā)現(xiàn)識(shí)別出入侵信息，主動(dòng)智能進(jìn)行防御。如一旦發(fā)現(xiàn)有攻擊行為，立即相應(yīng)主動(dòng)切斷連接。IDS和IPS都屬于網(wǎng)絡(luò)入侵檢測(cè)技術(shù)，兩者在技術(shù)應(yīng)用上有著很多相同點(diǎn)，但其防御手段卻有著很大的區(qū)別。入侵檢測(cè)的基本模型從1984年到1986年間，喬治敦大學(xué)的DorothyDenning⑶和SRI/CSL(SRI公司計(jì)算機(jī)科學(xué)實(shí)驗(yàn)室)的PeterNeumann最早所提出的入侵檢測(cè)系統(tǒng)的抽象模型主要由主體、對(duì)象、審計(jì)記錄、異常記錄、活動(dòng)規(guī)則和活動(dòng)文檔六部分組成。為了使分布在網(wǎng)絡(luò)中不同主機(jī)上的IDS能夠互相通信，交換檢測(cè)數(shù)據(jù)和分析結(jié)果，StuartStaniford-Chen等人提出了公共入侵檢測(cè)框架(CommonIntrusionDetectionFramework，CIDF)［4］。CIDF中闡述了一個(gè)入侵檢測(cè)系統(tǒng)的通用模型，它將入侵檢測(cè)系統(tǒng)分成了四個(gè)組件如圖1.1所示。事件產(chǎn)生器(EventGenerators):從計(jì)算機(jī)網(wǎng)絡(luò)中獲取數(shù)據(jù)包或從計(jì)算機(jī)系統(tǒng)日志中獲取信息。事件分析器(EventAnalyzers):分析事件產(chǎn)生器獲取的事件，做出總結(jié)。⑶響應(yīng)單元(ResponseUnits):根據(jù)事件分析器分析的結(jié)果做出響應(yīng)，保護(hù)被保護(hù)系統(tǒng)免受攻擊和破壞。(4)事件數(shù)據(jù)庫(kù)(EventDatabases):記錄事件產(chǎn)生器產(chǎn)生的所有事件以及事件分析器對(duì)事件分析的結(jié)果。圖1.1CIDF入侵檢測(cè)通用模型入侵檢測(cè)系統(tǒng)分類(lèi)入侵檢測(cè)系統(tǒng)按照不同的角度可以有不同的分類(lèi)方法［6,7］。根據(jù)檢測(cè)的方法分類(lèi)入侵檢測(cè)系統(tǒng)根據(jù)采用的分析方法可以分為異常檢測(cè)和誤用檢測(cè)兩類(lèi)。異常檢測(cè)又被稱(chēng)為基于行為或基于統(tǒng)計(jì)的入侵檢測(cè)。它是通過(guò)預(yù)先定義一組系統(tǒng)正常的數(shù)據(jù)值，然后根據(jù)系統(tǒng)運(yùn)行時(shí)的數(shù)據(jù)值和已經(jīng)定義好的正常數(shù)據(jù)值進(jìn)行比較，最后得出是否有被攻擊的跡象［8］。這種方式可以檢測(cè)出未知的攻擊類(lèi)型，但是往往誤報(bào)率比較高。誤用檢測(cè)又被稱(chēng)為基于知識(shí)或基于特征的入侵檢測(cè)。它從已有的各類(lèi)攻擊中提取出攻擊的模式特征，形成規(guī)則庫(kù)。任何與規(guī)則庫(kù)中的模式相一致的都被認(rèn)為是入侵行為。這種檢測(cè)方法誤報(bào)率低，但只能檢測(cè)已有的攻擊，存在一定的漏報(bào)率。根據(jù)數(shù)據(jù)源的分類(lèi)入侵檢測(cè)系統(tǒng)根據(jù)數(shù)據(jù)源的分類(lèi)可以分為基于主機(jī)的入侵檢測(cè)和基于網(wǎng)絡(luò)的入侵檢測(cè)?；谥鳈C(jī)的入侵檢測(cè)系統(tǒng)(HIDS)是通過(guò)分析主機(jī)上的系統(tǒng)日志和應(yīng)用程序日志等信息，來(lái)判斷是否發(fā)生了入侵。HIDS通常情況下比NIDS誤報(bào)率要低，因?yàn)闄z測(cè)在主機(jī)上運(yùn)行的命令比檢測(cè)網(wǎng)絡(luò)流更簡(jiǎn)單，系統(tǒng)的復(fù)雜性也少得多。但是HIDS必須為不同的平臺(tái)開(kāi)發(fā)不同的程序，而且全面部署HIDS的代價(jià)也非常大，此外因?yàn)樗鼘?duì)于網(wǎng)絡(luò)上的情況不予以監(jiān)視，所以對(duì)入侵檢測(cè)行為的分析工作量將隨著主機(jī)數(shù)目增加而增加?；诰W(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)(NIDS)是通過(guò)分析關(guān)鍵網(wǎng)絡(luò)段或重點(diǎn)部位的數(shù)據(jù)包，來(lái)實(shí)時(shí)判斷是否有網(wǎng)絡(luò)攻擊⑼。NIDS有一個(gè)非常顯著的優(yōu)點(diǎn)是一個(gè)網(wǎng)段上只需安裝一個(gè)或幾個(gè)這樣的系統(tǒng)，便可以檢測(cè)整個(gè)網(wǎng)段的情況，但這種方式不能解析監(jiān)聽(tīng)到的加密信息以及交換網(wǎng)絡(luò)上的數(shù)據(jù)包，而且在高速網(wǎng)絡(luò)上監(jiān)聽(tīng)數(shù)據(jù)包時(shí)會(huì)大大增加系統(tǒng)的開(kāi)銷(xiāo)。根據(jù)體系結(jié)構(gòu)分類(lèi)入侵檢測(cè)系統(tǒng)根據(jù)體系結(jié)構(gòu)可分為集中式入侵檢測(cè)系統(tǒng)和分布式入侵檢測(cè)系統(tǒng)。集中式入侵檢測(cè)系統(tǒng)是指分析部件位于固定數(shù)量的場(chǎng)地，包括基于主機(jī)的集中式入侵檢測(cè)系統(tǒng)和基于網(wǎng)絡(luò)的集中式入侵檢測(cè)系統(tǒng)。分布式入侵檢測(cè)系統(tǒng)是指運(yùn)行數(shù)據(jù)分析部件的場(chǎng)地和被監(jiān)測(cè)的主機(jī)的數(shù)量成比例，通過(guò)分布在不同主機(jī)或網(wǎng)絡(luò)上的監(jiān)測(cè)實(shí)體來(lái)協(xié)同完成檢測(cè)任務(wù)。根據(jù)響應(yīng)方式分類(lèi)入侵檢測(cè)系統(tǒng)根據(jù)響應(yīng)方式可分為主動(dòng)響應(yīng)入侵檢測(cè)系統(tǒng)和被動(dòng)響應(yīng)入侵檢測(cè)系統(tǒng)。(1)主動(dòng)響應(yīng)入侵檢測(cè)系統(tǒng)是指當(dāng)一個(gè)特定類(lèi)型的入侵被檢測(cè)到時(shí)，它會(huì)自動(dòng)收集輔助信息，或改變當(dāng)時(shí)的環(huán)境以堵住入侵發(fā)生的漏洞，甚至可以對(duì)攻擊者采取行動(dòng)。(2)被動(dòng)響應(yīng)入侵檢測(cè)系統(tǒng)是指當(dāng)入侵檢測(cè)系統(tǒng)檢測(cè)到入侵信息時(shí)，把入侵信息遞交給網(wǎng)絡(luò)管理員處理。入侵檢測(cè)技術(shù)異常入侵檢測(cè)技術(shù)基于異常入侵檢測(cè)技術(shù)的IDS工作原理如圖1.2所示：圖1.2基于異常檢測(cè)IDS工作原理圖(1)基于統(tǒng)計(jì)的異常檢測(cè)技術(shù)基于統(tǒng)計(jì)的異常檢測(cè)技術(shù)通過(guò)對(duì)系統(tǒng)審計(jì)中的數(shù)據(jù)進(jìn)行統(tǒng)計(jì)處理，然后與描述主體正常行為的統(tǒng)計(jì)性特征進(jìn)行比較，最后根據(jù)兩者之間的偏差是否超過(guò)指定的限度來(lái)判斷是否有入侵行為發(fā)生。在這種方法中入侵檢測(cè)系統(tǒng)可以主動(dòng)學(xué)習(xí)主體的日常行為，并將那些與正常行為偏差較大的行為標(biāo)志為異常，產(chǎn)生告警。(2)基于特征選擇的異常檢測(cè)技術(shù)基于特征選擇的異常檢測(cè)技術(shù)是通過(guò)從一組度量中選擇出能夠檢測(cè)入侵的度量構(gòu)成子集，從而預(yù)測(cè)或分類(lèi)檢測(cè)到的入侵行為。異常檢測(cè)的關(guān)鍵在于難以區(qū)分異常行為和入侵行為，選擇合適的度量也很困難。度量子集的選取依賴(lài)于入侵的類(lèi)型，一個(gè)度量不可能適應(yīng)于所有的入侵類(lèi)型?；谏窠?jīng)網(wǎng)絡(luò)的異常檢測(cè)技術(shù)基于神經(jīng)網(wǎng)絡(luò)的異常檢測(cè)技術(shù)是通過(guò)對(duì)系統(tǒng)提供的審計(jì)數(shù)據(jù)的自學(xué)習(xí)過(guò)程，從中提取正常用戶或系統(tǒng)活動(dòng)的特征模式。該方法的關(guān)鍵是在檢測(cè)前必須對(duì)入侵樣本進(jìn)行訓(xùn)練，使其具備對(duì)某些入侵行為進(jìn)行分類(lèi)的能力，從而能夠正確識(shí)別入侵行為?；谟?jì)算機(jī)免疫技術(shù)的異常檢測(cè)方法計(jì)算機(jī)免疫技術(shù)是通過(guò)模仿生物有機(jī)體的免疫系統(tǒng)工作機(jī)制，使得受保護(hù)的系統(tǒng)能夠區(qū)分正常的行為和非正常的行為。它首先利用系統(tǒng)進(jìn)程正常執(zhí)行的軌跡中的系統(tǒng)調(diào)用短序列集來(lái)構(gòu)造系統(tǒng)進(jìn)程正常執(zhí)行活動(dòng)的特征輪廓，并實(shí)時(shí)檢測(cè)系統(tǒng)進(jìn)程是否符合正常的特征輪廓。誤用入侵檢測(cè)技術(shù)基于異常入侵檢測(cè)技術(shù)的IDS工作原理如圖1.3所示：審計(jì)數(shù)據(jù)致分析入侵特征偏離正常行為入侵行為新的入侵模式入侵響應(yīng)圖審計(jì)數(shù)據(jù)致分析入侵特征偏離正常行為入侵行為新的入侵模式入侵響應(yīng)圖1.3基于誤用檢測(cè)IDS工作原理圖基于專(zhuān)家系統(tǒng)的誤用檢測(cè)技術(shù)基于專(zhuān)家系統(tǒng)的檢測(cè)方法也稱(chēng)基于規(guī)則的檢測(cè)方法。該方法根據(jù)安全專(zhuān)家對(duì)可疑行為進(jìn)行分析的經(jīng)驗(yàn)形成一套推理的規(guī)則，然后運(yùn)用推理算法來(lái)檢測(cè)入侵。snort入侵檢測(cè)系統(tǒng)就采用了這種方法?；跔顟B(tài)遷移分析的誤用檢測(cè)技術(shù)入侵行為是攻擊者執(zhí)行的一系列操作，使系統(tǒng)從某一種初始狀態(tài)轉(zhuǎn)到一個(gè)危及系統(tǒng)安全的狀態(tài)。其中的初始狀態(tài)代表入侵前的系統(tǒng)狀態(tài)，而危及系統(tǒng)安全的狀態(tài)則代表入侵發(fā)生后的系統(tǒng)狀態(tài)。這樣在這兩個(gè)狀態(tài)之間可能存在一個(gè)或多個(gè)中間狀態(tài)的遷移。而狀態(tài)遷移分析主要是考慮入侵行為對(duì)這其中的中間狀態(tài)遷移的影響，這種方法可以檢測(cè)出協(xié)同攻擊和時(shí)間跨度較大的攻擊，但這種方法中的狀態(tài)和轉(zhuǎn)換動(dòng)作很難進(jìn)行精確的表達(dá)，且只適合于那些多個(gè)步驟間具有全序關(guān)系的入侵行為的檢測(cè)?；谀Ｊ狡ヅ涞恼`用檢測(cè)技術(shù)模式匹配就是通過(guò)提取已有攻擊信息的特征編碼成模式，然后將審計(jì)信息與該模式進(jìn)行匹配，從中發(fā)現(xiàn)是否存在攻擊行為。該方法原理簡(jiǎn)單，可擴(kuò)展性好，準(zhǔn)確率和效率都很高，可以實(shí)時(shí)檢測(cè)，且技術(shù)已經(jīng)相當(dāng)成熟，但需要不斷升級(jí)已有的模式庫(kù)以便檢測(cè)新的攻擊，以及不能檢測(cè)出從未出現(xiàn)過(guò)的攻擊。入侵防范系統(tǒng)分類(lèi)入侵防范系統(tǒng)分類(lèi)方式與入侵檢測(cè)系統(tǒng)類(lèi)似，可以分為：基于主機(jī)的入侵防范系統(tǒng)(HIPS)HIPS通過(guò)在主機(jī)/服務(wù)器上安裝代理程序，防止網(wǎng)絡(luò)攻擊入侵操作系統(tǒng)以及應(yīng)用程序?；谥鳈C(jī)的入侵防護(hù)能夠保護(hù)服務(wù)器的安全弱點(diǎn)不被不法分子所利用。基于主機(jī)的入侵防護(hù)技術(shù)可以根據(jù)自定義的安全策略以及分析學(xué)習(xí)機(jī)制來(lái)阻斷對(duì)服務(wù)器、主機(jī)發(fā)起的惡意入侵。HIPS可以阻斷緩沖區(qū)溢出、改變登錄口令、改寫(xiě)動(dòng)態(tài)鏈接庫(kù)以及其他試圖從操作系統(tǒng)奪取控制權(quán)的入侵行為，整體提升主機(jī)的安全水平。在技術(shù)上，HIPS采用獨(dú)特的服務(wù)器保護(hù)途徑，利用由包過(guò)濾、狀態(tài)包檢測(cè)和實(shí)時(shí)入侵檢測(cè)組成分層防護(hù)體系。這種體系能夠在提供合理吞吐率的前提下，最大限度地保護(hù)服務(wù)器的敏感內(nèi)容，既可以以軟件形式嵌入到應(yīng)用程序?qū)Σ僮飨到y(tǒng)的調(diào)用當(dāng)中，通過(guò)攔截針對(duì)操作系統(tǒng)的可疑調(diào)用，提供對(duì)主機(jī)的安全防護(hù)；也可以以更改操作系統(tǒng)內(nèi)核程序的方式，提供比操作系統(tǒng)更加嚴(yán)謹(jǐn)?shù)陌踩刂茩C(jī)制。由于HIPS工作在受保護(hù)的主機(jī)/服務(wù)器上，它不但能夠利用特征和行為規(guī)則檢測(cè)，阻止諸如緩沖區(qū)溢出之類(lèi)的已知攻擊，還能夠防范未知攻擊，防止針對(duì)Web頁(yè)面、應(yīng)用和資源的未授權(quán)的任何非法訪問(wèn)。與HIDS類(lèi)似HIPS與具體的主機(jī)/服務(wù)器操作系統(tǒng)平臺(tái)緊密相關(guān)，不同的平臺(tái)需要不同的軟件代理程序。⑵基于網(wǎng)絡(luò)的入侵防范系統(tǒng)(NIPS)NIPS通過(guò)檢測(cè)流經(jīng)的網(wǎng)絡(luò)流量，提供對(duì)網(wǎng)絡(luò)系統(tǒng)的安全保護(hù)。由于它采用在線連接方式，所以一旦辨識(shí)出入侵行為，NIPS就可以去除整個(gè)網(wǎng)絡(luò)會(huì)話，而不僅僅是復(fù)位會(huì)話。同樣由于實(shí)時(shí)在線，NIPS需要具備很高的性能，以免成為網(wǎng)絡(luò)的瓶頸，因此NIPS通常被設(shè)計(jì)成類(lèi)似于交換機(jī)的網(wǎng)絡(luò)設(shè)備，提供線速吞吐速率以及多個(gè)網(wǎng)絡(luò)端口。NIPS必須基于特定的硬件平臺(tái)，才能實(shí)現(xiàn)千兆級(jí)網(wǎng)絡(luò)流量的深度數(shù)據(jù)包檢測(cè)和阻斷功能。這種特定的硬件平臺(tái)通常可以分為三類(lèi)：一類(lèi)是網(wǎng)絡(luò)處理器，一類(lèi)是專(zhuān)用的FPGA編程芯片，第三類(lèi)是專(zhuān)用的ASIC芯片。在技術(shù)上，NIPS吸取了目前NIDS所有的成熟技術(shù)，包括特征匹配、協(xié)議分析和異常檢測(cè)。特征匹配是最廣泛應(yīng)用的技術(shù)，具有準(zhǔn)確率高、速度快的特點(diǎn)。基于狀態(tài)的特征匹配不但檢測(cè)攻擊行為的特征，還要檢查當(dāng)前網(wǎng)絡(luò)的會(huì)話狀態(tài)，避免受到欺騙攻擊。協(xié)議分析是一種較新的入侵檢測(cè)技術(shù)，它充分利用網(wǎng)絡(luò)協(xié)議的高度有序性，并結(jié)合高速數(shù)據(jù)包捕捉和協(xié)議分析，來(lái)快速檢測(cè)某種攻擊特征。協(xié)議分析正在逐漸進(jìn)入成熟應(yīng)用階段。協(xié)議分析能夠理解不同協(xié)議的工作原理，以此分析這些協(xié)議的數(shù)據(jù)包，來(lái)尋找可疑或不正常的訪問(wèn)行為。協(xié)議分析不僅僅基于協(xié)議標(biāo)準(zhǔn)，還基于協(xié)議的具體實(shí)現(xiàn)，這是因?yàn)楹芏鄥f(xié)議的實(shí)現(xiàn)偏離了協(xié)議標(biāo)準(zhǔn)。通過(guò)協(xié)議分析，IPS能夠針對(duì)插入與規(guī)避攻擊進(jìn)行檢測(cè)。但是異常檢測(cè)的誤報(bào)率比較高，NIPS不將其作為主要技術(shù)。入侵防范技術(shù)IDS通過(guò)監(jiān)視網(wǎng)絡(luò)或系統(tǒng)資源，尋找違反安全策略的行為或攻擊跡象，并產(chǎn)生告警，因此絕大多數(shù)IDS系統(tǒng)是被動(dòng)的，在攻擊實(shí)際發(fā)生之前，它們往往無(wú)法預(yù)先發(fā)出警報(bào)，而且在入侵發(fā)生后也不能主動(dòng)采取一些防護(hù)措施。而入侵檢測(cè)系統(tǒng)(IPS)則傾向于提供主動(dòng)防御，其設(shè)計(jì)宗旨是預(yù)先對(duì)入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，避免其造成損失，而不是簡(jiǎn)單的在惡意流量傳送時(shí)或傳送后才發(fā)出警報(bào)。IPS是通過(guò)直接嵌入到網(wǎng)絡(luò)流量中來(lái)實(shí)現(xiàn)這一功能的，即通過(guò)一個(gè)網(wǎng)絡(luò)端口接收來(lái)自外部系統(tǒng)的流量，經(jīng)過(guò)檢查確定其中不包含異?；顒?dòng)或可疑內(nèi)容后，在通過(guò)另一個(gè)端口允許其繼續(xù)向前傳輸。這樣有問(wèn)題的數(shù)據(jù)包，以及所有來(lái)自同一數(shù)據(jù)流的后續(xù)數(shù)據(jù)包都可以在IPS中被攔截下來(lái)。其工作原理如圖1.4所示：IPS實(shí)現(xiàn)實(shí)時(shí)檢查和阻止入侵的原理在于IPS擁有數(shù)目眾多的過(guò)濾器，能夠防止各種攻擊。當(dāng)新的攻擊手段被發(fā)現(xiàn)之后，IPS就會(huì)創(chuàng)建一個(gè)新的過(guò)濾器。IPS數(shù)據(jù)包處理引擎是專(zhuān)業(yè)化定制的集成電路，可以深層檢查數(shù)據(jù)包的內(nèi)容。如果有攻擊者利用從2層到5層的漏洞發(fā)起攻擊，IPS都能夠從數(shù)據(jù)流中檢查出這些攻擊并加以阻止。而傳統(tǒng)的防火墻只能對(duì)3層和4層進(jìn)行檢查，不能檢測(cè)應(yīng)用層的內(nèi)容。此外防火墻的包過(guò)濾技術(shù)不會(huì)針對(duì)每一字節(jié)進(jìn)行檢查，而IPS可以做到逐一字節(jié)地檢查數(shù)據(jù)包。所有流經(jīng)IPS的數(shù)據(jù)包都被分類(lèi)，分類(lèi)的依據(jù)是數(shù)據(jù)包中的報(bào)頭信息，如源IP地址和目的IP地址、端口號(hào)和應(yīng)用域。每種過(guò)濾器負(fù)責(zé)分析相對(duì)應(yīng)的數(shù)據(jù)包。通過(guò)檢查的數(shù)據(jù)包可以繼續(xù)前進(jìn)，包含惡意內(nèi)容的數(shù)據(jù)包就會(huì)被丟棄，被懷疑的數(shù)據(jù)包需要接受進(jìn)一步的檢查。針對(duì)不同的攻擊行為，IPS需要不同的過(guò)濾器。每種過(guò)濾器都設(shè)有相應(yīng)的過(guò)濾規(guī)則，為了確保準(zhǔn)確性，這些規(guī)則的定義非常廣泛。在對(duì)傳輸內(nèi)容進(jìn)行分類(lèi)時(shí)，過(guò)濾引擎還需要參照數(shù)據(jù)包的信息參數(shù)，并將其解析至一個(gè)有意義的域中進(jìn)行上下文分析，以提高過(guò)濾準(zhǔn)確性。綜上所述，IPS需要具有如下的基本特性：嵌入式運(yùn)行：只有以嵌入模式運(yùn)行的IPS設(shè)備才能夠?qū)崿F(xiàn)實(shí)時(shí)的安全防護(hù)，實(shí)時(shí)阻攔所有可疑的數(shù)據(jù)包，并對(duì)該數(shù)據(jù)流的剩余部分進(jìn)行攔截。深入分析和控制：IPS必須具有深入分析能力，以確定哪些惡意流量已經(jīng)被攔截，根據(jù)攻擊類(lèi)型、策略等來(lái)確定哪些流量應(yīng)該被攔截。入侵特征庫(kù)：高質(zhì)量的入侵特征庫(kù)是IPS高效運(yùn)行的必要條件，IPS還應(yīng)該定期升級(jí)入侵特征庫(kù)，并快速應(yīng)用到所有傳感器。高效處理能力：IPS必須具有高效處理數(shù)據(jù)包的能力，對(duì)整個(gè)網(wǎng)絡(luò)性能的影響保持在最低水平。入侵檢測(cè)系統(tǒng)與入侵防范系統(tǒng)關(guān)系從工作原理和檢測(cè)機(jī)制上來(lái)看，IDS和IPS的共同點(diǎn)在于它們都是要求接入網(wǎng)絡(luò)，對(duì)網(wǎng)絡(luò)上的數(shù)據(jù)進(jìn)行審計(jì)，根據(jù)事先定義好的安全策略對(duì)分析得到的結(jié)果做出判斷和響應(yīng)。而不同之處在于IDS受檢測(cè)機(jī)制影響往往安裝在網(wǎng)絡(luò)的旁路上，被動(dòng)的監(jiān)聽(tīng)網(wǎng)絡(luò)，是一種并聯(lián)的接入方式。而IPS是串聯(lián)到網(wǎng)絡(luò)中的，以主動(dòng)的方式檢測(cè)網(wǎng)絡(luò)信息流。這樣對(duì)于IPS性能要求往往更高。而在數(shù)據(jù)保護(hù)和內(nèi)容安全方面，IPS沒(méi)有太多的建樹(shù)，與此相比IDS在檢測(cè)網(wǎng)絡(luò)流和追查非法訪問(wèn)方面具有優(yōu)勢(shì)，可以幫助用戶保護(hù)數(shù)據(jù)安全。但是IDS的響應(yīng)能力十分有限，除了進(jìn)行TCP復(fù)位和請(qǐng)求更改防火墻規(guī)則外，IDS不能進(jìn)一步的對(duì)攻擊行為做出響應(yīng)，IPS則傾向于提供主動(dòng)的防護(hù)，它可以預(yù)先對(duì)入侵活動(dòng)和攻擊性的網(wǎng)絡(luò)流量進(jìn)行攔截。2003年，Gartner公司副總裁RichardStiennon發(fā)表了一篇題為入侵檢測(cè)已壽終正寢，入侵防御將萬(wàn)古長(zhǎng)青的報(bào)告，在當(dāng)時(shí)引發(fā)了安全業(yè)界的震動(dòng)。但是至今關(guān)于IDS和IPS關(guān)系的討論已逐步趨于平淡，特別是在2006年IDC年度安全市場(chǎng)報(bào)告中，明確指出IDS和IPS是兩個(gè)獨(dú)立的市場(chǎng)。目前來(lái)看無(wú)論是從業(yè)界還是用戶的角度來(lái)看普遍都認(rèn)為IDS和IPS是兩類(lèi)產(chǎn)品，其側(cè)重點(diǎn)不一樣，IDS注重的是網(wǎng)絡(luò)安全狀況的監(jiān)管，而IPS關(guān)注的是對(duì)入侵行為的控制，如圖1.5所示：綜上所述，不同的部署目標(biāo)決定了IPS和IDS各自的不同的定位。從需求角度來(lái)說(shuō)，可以擬定三種部署情況：

(1)只需要IPS，不需要IDS,這種情況的使用環(huán)境是只關(guān)注風(fēng)險(xiǎn)控制，而并不關(guān)注風(fēng)險(xiǎn)管理的用戶，比如低風(fēng)險(xiǎn)的行業(yè)，如圖1.6所示：LANLANWANLAN圖WANLAN圖1.6只需部署IPS示意圖(2)只需要IDS，不需要IPS，這種情況往往適用于監(jiān)控機(jī)構(gòu)，他們只需要對(duì)用戶的安全狀況做了解，而不用對(duì)入侵行為做出防御，如圖1.7所示：LAN圖LAN圖1.6只需部署IDS示意圖既需要IDS也需要IPS,這種情況適用于高風(fēng)險(xiǎn)行業(yè)用戶，既需要關(guān)注風(fēng)險(xiǎn)管理與風(fēng)險(xiǎn)控制，又需要通過(guò)風(fēng)險(xiǎn)管理不斷完善風(fēng)險(xiǎn)控制措施，如圖1.8所示：圖1.6既需部署IDS又需部署IPS示意圖2.IDS/IPS產(chǎn)品調(diào)研國(guó)內(nèi)外IDS/IPS產(chǎn)品概況絕大多數(shù)的入侵檢測(cè)產(chǎn)品都以純軟件的形式出售，但為了達(dá)到性能最佳，往往需要對(duì)安裝的系統(tǒng)進(jìn)行優(yōu)化調(diào)整。這樣把產(chǎn)品做成黑盒子的形式出售就可以達(dá)到目的，如Cisco公司的SecureIDS和金諾網(wǎng)安的KIDS等。同時(shí)隨著入侵檢測(cè)產(chǎn)品在規(guī)模龐大企業(yè)中的應(yīng)用越來(lái)越廣泛，分布式技術(shù)也開(kāi)始融入到入侵檢測(cè)產(chǎn)品中來(lái)，目前絕大多數(shù)的入侵檢測(cè)產(chǎn)品尤其是企業(yè)級(jí)的產(chǎn)品都具有分布式結(jié)構(gòu)?；诰W(wǎng)絡(luò)的入侵檢測(cè)產(chǎn)品放置在比較重要的網(wǎng)段內(nèi)，對(duì)每一個(gè)數(shù)據(jù)包或可疑的數(shù)據(jù)包進(jìn)行特征分析。商品化的產(chǎn)品包括：國(guó)外的ISSRealSecureNetworkSensor、CiscoSecureIDS、CAe-TrustIDS、Axent的NetProwler，以及國(guó)內(nèi)的金諾網(wǎng)安KIDS、北方計(jì)算中心NISDetector、啟明星辰天闐黑客入侵檢測(cè)與預(yù)警系統(tǒng)和中科網(wǎng)威天眼網(wǎng)絡(luò)入侵偵測(cè)系統(tǒng)等?；谥鳈C(jī)的入侵檢測(cè)產(chǎn)品主要對(duì)主機(jī)的網(wǎng)絡(luò)實(shí)時(shí)連接以及系統(tǒng)審計(jì)日志進(jìn)行智能分析和判斷?；谥鳈C(jī)的入侵檢測(cè)系統(tǒng)有:ISSRealSecureOSSensor、Emeraldexpert-BSM、金諾網(wǎng)安KIDS等。混合式入侵檢測(cè)系統(tǒng)綜合了基于網(wǎng)絡(luò)和主機(jī)的兩種結(jié)構(gòu)特點(diǎn)，既可發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊信息，也可從系統(tǒng)日志中發(fā)現(xiàn)異常情況。商品化產(chǎn)品有:ISSServerSensor、NAICyberCopMonitor、金諾網(wǎng)安KIDS等。文件完整性檢查工具通過(guò)檢查文件的數(shù)字摘要與其他一些屬性，判斷文件是否被修改，從而檢測(cè)出可能的入侵。這個(gè)領(lǐng)域的產(chǎn)品有半開(kāi)放源代碼的Tripwire等。在全球范圍內(nèi)，根據(jù)Infonetics研究公司2007年9月的報(bào)告顯示，第三季度全球IDS/IPS產(chǎn)品收入為1.35億美元，比第二季度下滑1%，預(yù)計(jì)2008年第三季度會(huì)上升至1.82美元，漲幅可達(dá)到35%。預(yù)計(jì)2007年IDS/IPS全球年收入可達(dá)到9.32億美元，2003?2007年復(fù)合年增長(zhǎng)率可達(dá)到21%。Infonetics首席分析師JeffWilson認(rèn)為根據(jù)IDS/IPS收入分析預(yù)測(cè)表明，到2007年基于主機(jī)的產(chǎn)品和基于網(wǎng)絡(luò)的入侵檢測(cè)與入侵防范產(chǎn)品會(huì)在大多數(shù)環(huán)境里很好的共存。調(diào)查進(jìn)一步表示，爭(zhēng)奪IDS/IPS市場(chǎng)霸主的戰(zhàn)斗正在激烈進(jìn)行，Cisco和ISS平分秋色，全球收入份額為22%；賽門(mén)鐵克位居整個(gè)IDS/IPS市場(chǎng)第三，并且位居基于主機(jī)的IDS/IPS市場(chǎng)第一；McAfee在整個(gè)IDS/IPS市場(chǎng)排名第四，比第二季度增加幾個(gè)百分點(diǎn)，McAfee還位居在線式IPS硬件市場(chǎng)首位；基于網(wǎng)絡(luò)的傳統(tǒng)IDS產(chǎn)品占支出的39%，基于主機(jī)的IDS/IPS占32%，基于在線網(wǎng)絡(luò)的IDS/IPS占29%；北美占全部IDS產(chǎn)品收入的一半多，歐洲、中東和非洲地區(qū)約占五分之一，亞太地區(qū)排在第三，而加勒比海和拉美地區(qū)是相差較遠(yuǎn)的第四名。而在國(guó)內(nèi)，通信世界網(wǎng)2007年11月20日消息表明，根據(jù)國(guó)際權(quán)威調(diào)查機(jī)構(gòu)IDC的最新報(bào)告，2007年上半年，啟明星辰公司的天闐入侵檢測(cè)系統(tǒng)和天清入侵防御系統(tǒng)雙雙拔得頭籌。IDC統(tǒng)計(jì)數(shù)據(jù)還進(jìn)一步表明，2007年上半年，除傳統(tǒng)的IDS硬件市場(chǎng)保持穩(wěn)定增長(zhǎng)外，新興的IPS硬件市場(chǎng)也一路上揚(yáng)，預(yù)期2007年IDS國(guó)內(nèi)市場(chǎng)總額可達(dá)6億元人民幣，而IPS也將達(dá)2億元人民幣，再次證明了IDC之前提出的IDS>IPS兩個(gè)市場(chǎng)相互獨(dú)立的觀點(diǎn)。此外福建海峽黑盾入侵檢測(cè)系統(tǒng)、上海金諾KIDS3.3入侵檢測(cè)系統(tǒng)以及海信眼鏡蛇入侵檢測(cè)系統(tǒng)等都具有比較好的口碑。國(guó)內(nèi)IPS起步比較晚，2005年9月，綠盟科技推出了國(guó)內(nèi)安全廠商的第一款具有自主知識(shí)產(chǎn)權(quán)的IPS產(chǎn)品——冰之眼網(wǎng)絡(luò)入侵保護(hù)系統(tǒng)ICEYENIPS，一舉打破了目前國(guó)內(nèi)IPS市場(chǎng)由國(guó)外產(chǎn)品壟斷的局面，在國(guó)內(nèi)安全市場(chǎng)上掀起一個(gè)新的IPS研發(fā)和應(yīng)用高潮?？v觀全局，盡管在眾多的IDS/IPS產(chǎn)品中不乏精品，但是就整體市場(chǎng)而言，各種產(chǎn)品表現(xiàn)良莠不齊?？梢哉f(shuō)目前中國(guó)IDS/IPS市場(chǎng)的真正格局還未真正形成。開(kāi)源免費(fèi)IDS產(chǎn)品Snort介紹Snort概述1998年，MartinRoesch開(kāi)發(fā)了開(kāi)放源代碼的入侵檢測(cè)系統(tǒng)Snort，直至今天已發(fā)展成為一個(gè)跨平臺(tái)的軟件包，具有實(shí)時(shí)流量分析、網(wǎng)絡(luò)IP數(shù)據(jù)包記錄、協(xié)議分析等功能，是最具代表性的免費(fèi)的IDS產(chǎn)品，其主要特點(diǎn)有：(1)輕量級(jí)，Snort雖然功能強(qiáng)大，但是其代碼卻短小精悍，源代碼的壓縮包僅200K。⑵移植性好,Snort的跨平臺(tái)性極佳，目前已經(jīng)可以支持Linux、Windows、MacOSX、Solaris、BSD、IRIX、Tru64、HP-UX等操作系統(tǒng)⑶速度快，Snort可以運(yùn)行在100Mbps的網(wǎng)絡(luò)上，監(jiān)測(cè)網(wǎng)絡(luò)中的入侵行為。⑷易于配置，Snort安裝配置容易，且規(guī)則語(yǔ)法非常簡(jiǎn)單，方便用戶根據(jù)自身需要下載或自己編寫(xiě)。(5)靈活易擴(kuò)展，Snort可以使用具有特定功能的報(bào)告，檢測(cè)子系統(tǒng)插件對(duì)其功能進(jìn)行擴(kuò)展。Snort當(dāng)前支持的插件包括：數(shù)據(jù)庫(kù)日志輸出插件，破碎數(shù)據(jù)包檢測(cè)插件，斷口掃描檢測(cè)插件，HTTPURI插件，XML網(wǎng)頁(yè)生成等。⑹免費(fèi)，這也是Snort最誘人的一大特點(diǎn)。Snort主要由以下幾大部分組成：數(shù)據(jù)包解碼器，預(yù)處理器，檢測(cè)引擎和報(bào)警輸出模塊。Snort從網(wǎng)卡取得數(shù)據(jù)包后先用預(yù)處理插件進(jìn)行處理，然后經(jīng)過(guò)檢測(cè)引擎中的所有規(guī)則鏈，如果有符合規(guī)則鏈的數(shù)據(jù)包則會(huì)被檢測(cè)出來(lái)，按照規(guī)則進(jìn)行處理，如圖2.1所示：

Snort運(yùn)行模式Snort有三種主要的運(yùn)行模式：數(shù)據(jù)包嗅探器模式、數(shù)據(jù)包記錄器模式以及成熟的侵入探測(cè)系統(tǒng)模式：(1)數(shù)據(jù)包嗅探器模式該模式類(lèi)似于tcpdump，是從網(wǎng)絡(luò)上捕獲數(shù)據(jù)包，然后將數(shù)據(jù)包的詳細(xì)信息顯示在控制臺(tái)上。?$snort—v顯示TCP/IP包頭信息，打印在屏幕上$snort-vd顯示TCP/IP包頭以及應(yīng)用層數(shù)據(jù)信息。$snort-dev顯示TCP/IP包頭、應(yīng)用層數(shù)據(jù)以及鏈路層信息，如圖2.2所示：圖2.2snort數(shù)據(jù)包嗅探器模式(2)數(shù)據(jù)包記錄器模式該模式可以將數(shù)據(jù)包信息以不同的格式記錄到磁盤(pán)上，方便用戶對(duì)數(shù)據(jù)進(jìn)行事后分析。這這個(gè)模式下需要制定一個(gè)日志文件路徑，snort就會(huì)自動(dòng)記錄數(shù)據(jù)包了。①$snort—dev—1./log-l參數(shù)后面跟的是log文件的路徑，該目錄必須存在，否則snort就會(huì)報(bào)告錯(cuò)誤信息并退出。當(dāng)snort在這種模式下運(yùn)行，它會(huì)記錄所有看到的包將其放到一個(gè)目錄中，這個(gè)目錄以數(shù)據(jù)包目的主機(jī)的IP地址命名，如圖2.3所示：snort」og. snortsnort」og, snort」og? snort」og,1213386669 1213386681 1213386695 1213386703 1213386707圖2.3snort數(shù)據(jù)包記錄器模式Snort數(shù)據(jù)包記錄器運(yùn)行模式可以將數(shù)據(jù)包信息以不同的格式保存在磁盤(pán)上，女口ASCII碼、tcpdump格式、XML等。@$snort-dv-rpacket.log可以使用任何支持tcpdump二進(jìn)制格式的嗅探器程序從snort所生成的文件中讀出數(shù)據(jù)包，同時(shí)snort也可以在嗅探器模式下把一個(gè)tcpdump格式的二進(jìn)制文件中的包打印到屏幕上。@$snort-dvrpacket.logicmp在數(shù)據(jù)包記錄器和入侵檢測(cè)模式下，可以通過(guò)BPF(BSDPacketFilter)接口，使用許多方式維護(hù)日志文件中的數(shù)據(jù)。例如，使用上述命令可以從日志文件中提取ICMP包。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)模式Snort最重要的運(yùn)行模式就是網(wǎng)絡(luò)入侵檢測(cè)模式。?$snort-dev-l./log-cetc/snort/snort.conf使用-c命令參數(shù)可以導(dǎo)入規(guī)則文件，snort就可以利用該規(guī)則文件對(duì)數(shù)據(jù)包進(jìn)行檢查，如果有規(guī)則匹配了，就會(huì)產(chǎn)生告警信息，默認(rèn)告警信息會(huì)保存到/var/log/snort目錄下，如圖2.4所示：[**][1:1411:10]SNMPpublicaccessudp[**][Classificaticm:AttemptedInformationLeak][Prior2]04/234:53:43?706593192?168?1?69：1028->192?168?1?200：161UDPTTL:128TOS:OxOID:16643IpLen:20DgmLen:106Lmn:78[Xref=>http://eve?Eit「E?org/cgi-bin/cvename?cgi?門(mén)bee=200：2?0013][Xrmf=>http://eve??org/cgi-bin/cvename?cgi?name=2002-0012][Xref=>http://eve??org/cgi-bin/cvename?cgi?riBniE=].999?0517][只「總卡=>http://ww?securityfocus?conn/bid/4089] =>http://ww.securityfocus?coin/bid/4088][Xref=>http://ww.SRCLirityfciCLis?cciin/bicl/2112][**][1:1417:9]SNMPrequestudp[**][Classificaticm:AttemptedInformationLeak][Priority:2]04/23?14:53:43.706593192.168?1?69:1028->192?168?1?200:161UDPTTL:128TOS:OxQID:16643IpLen:20DgmLen：].O6Len:78[Xref=>http://eve?Eit「E?org/cgi-bin/cvename?cgi?門(mén)bee=200：2?0013][Xrmf=>http://eve??org/cgi-bin/cvename?cgi?name=2002-0012][Xref=>http://ww?secu「ityfocus?com/bid/4132][Xref=>http://ww?secu「ityfocus?com/bid/4089]=>http://ww.securityfocus?com/bid/4088][**][119:15:1](http_inspect)OVERSIZEREQUEST?URIDIRECTORY[**][Priority:3]04/23?14：58：36.429245192?168?1?69:4719->203?209?2B0?252:80TCPTTL:128TOS:OxOID:17194IpLen:20DgmLen:J.5CODF***A****Seq:0x9C117CC0Ack:0x15165563Win:OxFFFFTcpLen:20[**][119:7:1](http_inspect)IISUNICODECODEPOINTENCODING[**]圖2.4snort入侵檢測(cè)系統(tǒng)模式Snort規(guī)則語(yǔ)法Snort規(guī)則語(yǔ)法非常簡(jiǎn)單，易于掌握。規(guī)則文件用戶可以在網(wǎng)上down到也可以根據(jù)自身的需要自己來(lái)編寫(xiě)。這也增加了snort的靈活性。RuleNodeOptionNodeOptionNodeOptionNodeRuleRuleNodeNodeOptionRuleNodeOptionNodeOptionNodeOptionNodeRuleRuleNodeNodeOptionNodeOption

NodeOption

Node圖2.5snort規(guī)則語(yǔ)法其中一條規(guī)則由規(guī)則頭部和規(guī)則選項(xiàng)兩部分組成，如圖2.5所示。規(guī)則頭部包括了：動(dòng)作、協(xié)議、源目的IP地址、源/目的端口號(hào)等字段。規(guī)則選項(xiàng)包含了特征碼和告警信息等字段。alertiemp$EXTERNAL_NETany->$H0ME_NETany(msg:||ICMPPINGNMAP||;dsize:0;itype:8;)上面這條規(guī)則是對(duì)ICMPPING攻擊進(jìn)行了判斷，其中alert”表示的動(dòng)作是當(dāng)規(guī)則匹配的時(shí)候既會(huì)產(chǎn)生告警，又會(huì)記錄到log中；icmp”是協(xié)議字段；這條規(guī)則定義的源地址是外網(wǎng)地址，目的地址為內(nèi)網(wǎng)地址，且沒(méi)有設(shè)定端口號(hào)；itype:8”表示ICMP數(shù)據(jù)包類(lèi)型為8；dsize:0”表示數(shù)據(jù)負(fù)載為0當(dāng)這些條件都匹配的時(shí)候就會(huì)產(chǎn)生一條告警ICMPPINGNMAP”。Snort+Acid-Base運(yùn)行環(huán)境因?yàn)閟nort是一個(gè)免費(fèi)開(kāi)源的IDS軟件，所以它并沒(méi)有為用戶提供一個(gè)友好的交互界面，這樣用戶靠肉眼來(lái)查看海量的告警信息是非常費(fèi)勁的，因此作者在ubuntu7.10下配置了一個(gè)Snort+Acid-Base環(huán)境，將snort的告警信息保存在數(shù)據(jù)庫(kù)中，然后通過(guò)為基于PHP的入侵檢測(cè)數(shù)據(jù)庫(kù)分析控制臺(tái)(Acid-Base)顯示出告警信息的統(tǒng)計(jì)情況，具體步驟如下：安裝snort、MySQL、Apache2、Base$sudoapt-getinstalllibpcap0.8-devlibmysqlclient15-devmysql-client-5.0mysql-server-5.0bisonflexapache2libapache2-mod-php5php5-gdphp5-mysqllibphp-adodbphp-pearpcregrepsnortsnort-rules-default安裝snort-mysql輔助工具$sudoapt-getinstallsnort-mysql建立snort數(shù)據(jù)庫(kù)$mysql-uroot-pmysql>CREATEDATABASEsnort;mysql>grantCREATE,INSERT,SELECT,UPDATEonsnort.*tosnort@localhost;mysql>grantCREATE,INSERT,SELECT,UPDATEonsnort.*tosnort;mysql>SETPASSWORDFORsnort@localhost=PASSWORD('123123');mysql>exit(4)使用snort-mysql在數(shù)據(jù)庫(kù)中建立表項(xiàng)$cd/usr/share/doc/snort-mysql$zcatcreate_mysql.gz|mysql-usnort-Dsnort-psnort-db(4)修改snort配置文件#varHOME_NETanyvarHOME_NET/16#varEXTERNAL_NETanyvarEXTERNAL_NET!$HOME_NET

(5)安裝并配置base$sudoapt-getinstallacidbase$sudocpR/usr/share/acidbase//var/www/$rmbase_conf.php$touchbase_conf.php$sudochmod757acidbase/配置好環(huán)境后就可以運(yùn)行snort，告警信息會(huì)導(dǎo)入到數(shù)據(jù)庫(kù)對(duì)應(yīng)的表項(xiàng)中,并在入侵檢測(cè)數(shù)據(jù)庫(kù)分析控制臺(tái)上會(huì)顯示出告警的統(tǒng)計(jì)信息，如圖2.6，2.7所示：Sensors/Total:2/2UniqueAlerts:6Categories:3Sensors/Total:2/2UniqueAlerts:6Categories:3TotalNumberofAlerts:148TrafficProfilebyProtocolTCP(45%)UDP(0%)SrcIPaddrs:9Dest.IPaddrs:35UniqueIPlinks36SourcePorts:65ICMP(3%)PortscanTraffic(51%)oTCP(65)UDP(0)?DestPorts:2oTCP(2)UDP(0)圖2.6acid-base告警事件統(tǒng)計(jì)信息aID <Signature><Timestamp><SourceAddress><Dest.Address><Layer4Proto>#0-(1-1)[snort](http_inspect)BAREBYTEUNICODEENCODING2008-05-3123:57:499:158300:80TCP廠#l-(l-2)[snort](httpjnspect)BAREBYTEUNICODEENCODING2008-06-0100:12:519:158900:80TCP廠#2-(1-3)[snort](httpjnspect)BAREB^EUNICODEENCODING2008-06-0100:27:50192?168?丄?69：].593222.216.28?100：80TCP廠#3-(1-4)[snort](httpjnspect)BAREBYTEUNICODEENCODING2008-06-0100:42:489:160000:80TCP廠#4-(1-5)[snort](httpjnspect)BAREBYTEUNICODEENCODING2008-06-0100:57:479:160500:80TCP廠#5-(l-6)[snort](http」nspect)BAREBYTEUNICODEENCODING2008-06-0101:12:479:161000:80TCP廠#6-(l-7)[snort](http」nspect)BAREBYTEUNICODEENCODING2008-06-0101:27:469:161700:80TCP廠#7-(l-8)[snort](httpjnspect)BAREBYTEUNICODEENCODING2008-06-0101:42:459:162400:80TCP廠#8-(l-9)[snort](httpjnspect)BAREB^EUNICODEENCODING2008-06-0101:57:45192?168?丄?69：].628222.216.28?100：80TCP廠#9-(1?丄0)[snort](http」nspect)BAREBYTEUNICODEENCODING2008-06-0102:12:449:163400:80TCP廠#10-(1?l：L)[snort](http」nspect)BAREBYTEUNICODEENCODING2008-06-0102:27:449:163900:80TCP廠#11-(1?12)[snort](http」nspect)BAREBYTEUNICODEENCODING2008-06-0102:42:439:164400:80TCP廠#12-(1?13)[snort](http」nspect)BAREBYTEUNICODEENCODING2008-06-0102:57:439:164800:80TCP圖2.7acid-base告警事件統(tǒng)計(jì)信息b3.反IDS/IPS技術(shù)分析反IDS/IPS方法主要有兩種，一種是首先攻擊入侵檢測(cè)系統(tǒng)使其失效，而另一種方法則是利用各種手段躲過(guò)IDS系統(tǒng)的檢測(cè)。利用字符串匹配弱點(diǎn)技術(shù)針對(duì)基本字符串匹配弱點(diǎn)來(lái)躲過(guò)IDS檢查的入侵方法是最早被提出和實(shí)現(xiàn)的。一些基于特征碼的入侵檢測(cè)設(shè)備幾乎完全依賴(lài)于字符串匹配算法。雖然不是所有的入侵檢測(cè)系統(tǒng)都是純粹基于特征碼檢測(cè)的，但是絕大多數(shù)對(duì)字符串匹配算法有很大的依賴(lài)。比如拿2.2節(jié)中介紹的snort的特征碼來(lái)進(jìn)行討論，在UNIX系統(tǒng)中，/etc/passwd是一個(gè)重要的文件，它包含用戶名、組成員關(guān)系和為用戶分配的shell等信息。下面是用于檢測(cè)的snort檢測(cè)規(guī)則：alerttcp$EXTERNAL_NETany->$HTTP_SERVERS80(msg:"WEB-MISC/etc/passwd"；flags:A+；content:"/etc/passwd"；nocase；classtype:attempted-recon； sid:1122；rev:l)snort使用字符串匹配算法對(duì)包含特征碼(/etc/passwd)的HTTP請(qǐng)求進(jìn)行檢測(cè)。但是這個(gè)規(guī)則的特征碼過(guò)于簡(jiǎn)單了，攻擊者可以通過(guò)修改攻擊字符串，便能輕松地逃過(guò)檢測(cè)。例如，把攻擊請(qǐng)求由GET/etc/passwd改為GET/etc//\//passwd，就可以輕松的繞過(guò)snort的檢查了。這是最基本的逃避技術(shù)，對(duì)這種技術(shù)的檢測(cè)也相對(duì)容易一些，只要在編寫(xiě)特征碼時(shí)能夠仔細(xì)考慮一下攻擊可能出現(xiàn)的變體。目前大多數(shù)流行入侵檢測(cè)系統(tǒng)都有非常強(qiáng)大的字符串匹配能力，足以檢測(cè)此類(lèi)攻擊的大多數(shù)變體。不過(guò)，仍然有些編寫(xiě)不太好的特征碼可以給攻擊者以可乘之機(jī)。多變shell代碼技術(shù)多變shell代碼(polymorphicshellcode)技術(shù)由K2開(kāi)發(fā)的，設(shè)計(jì)思想來(lái)源于病毒逃避技術(shù)。使用這種技術(shù)重新構(gòu)造的shell代碼非常危險(xiǎn)，入侵檢測(cè)設(shè)備非常難以檢測(cè)到。這種技術(shù)只用于緩沖區(qū)溢出攻擊，對(duì)付基于特征碼的檢測(cè)系統(tǒng)非常有效。例如有如下snort規(guī)則：alerttcp$EXTERNAL_NETany->$HOME_NET22(msg:"EXPLOITsshCRC32overflow/bin/sh"；flags:A+；content:"/bin/sh"；reference:bugtraq,2347；reference:cve,CVE-2001-0144；classtype:shellcode-detect； sid:1324；rev:1；)alerttcp$EXTERNAL_NETany->$HOME_NET22(msg:"EXPLOITsshCRC32overflowNOOP"；flags:A+；content:"909090909090909090909090909090)上面的第一條規(guī)則簡(jiǎn)單地檢查從外部到$HOME_NET,目標(biāo)端口是22的數(shù)據(jù)包，搜索其中是否包含字符串/bin/sh。第二條規(guī)則是檢查其中是否包含x86空操作字符(0x90)。而多變shell代碼使用很多方法逃避字符串匹配系統(tǒng)的檢測(cè)。首先可以使用其它的字符代替0x90執(zhí)行無(wú)操作指令。對(duì)于X86架構(gòu)，有55種替代方式。這些替代方式以一種偽隨機(jī)的方式結(jié)合到一塊，建立緩沖區(qū)溢出shell代碼包含無(wú)操作指令的部分。除此之外，shell代碼本身也采用XOR機(jī)制編碼。通過(guò)這種方式建立的緩沖區(qū)溢出shell代碼被重組后不會(huì)包含以上的特征碼，從而能夠逃過(guò)字符串匹配檢測(cè)。會(huì)話拼接技術(shù)上面討論的方法都是屬于攻擊數(shù)據(jù)在一個(gè)數(shù)據(jù)包中，沒(méi)有涉及攻擊數(shù)據(jù)和會(huì)話通過(guò)多個(gè)數(shù)據(jù)包投遞的情況。會(huì)話拼接技術(shù)就是把會(huì)話數(shù)據(jù)放到多個(gè)數(shù)據(jù)包中發(fā)出。通過(guò)這種方式，每次只發(fā)送幾個(gè)字節(jié)的數(shù)據(jù)，就可能避開(kāi)字符串匹配入侵檢測(cè)系統(tǒng)的監(jiān)視。要監(jiān)視這種攻擊，需要入侵檢測(cè)系統(tǒng)或者能夠理解、監(jiān)視網(wǎng)絡(luò)會(huì)話。Snort中使用以下規(guī)則來(lái)監(jiān)視會(huì)話拼接：alerttcp$EXTERNAL_NETany->$HTTP_SERVERS80(msg:"WEB-MISCwhiskerspacespliceattack"；content:"20"；flags:A+；dsize:l；reference:arachnids,296；classtype:attempted-recon；reference)這條規(guī)則使snort檢測(cè)目標(biāo)為$HTTP_SERVERS80端口的ACK報(bào)文的負(fù)載長(zhǎng)度是否等于l以及是否包含空格。使用這條規(guī)則可以精確地檢測(cè)出拼接攻擊。但是攻擊者只要稍加修改就可以避開(kāi)這個(gè)檢測(cè)。為了能夠檢測(cè)可能出現(xiàn)的會(huì)話拼接攻擊，可以對(duì)上面這條snort規(guī)則進(jìn)行擴(kuò)展，使其檢查負(fù)載很短的HTTP請(qǐng)求。但是，這樣做的副作用是提高了誤報(bào)警數(shù)量，而且在某些情況下攻擊者還是能夠避開(kāi)監(jiān)視。為了真正有效地檢測(cè)這種攻擊，需要入侵檢測(cè)系統(tǒng)能夠完整地理解網(wǎng)絡(luò)會(huì)話，不過(guò)這是非常困難的。拒絕服務(wù)攻擊技術(shù)這是一種比較野蠻的攻擊方法。拒絕服務(wù)可以針對(duì)檢測(cè)設(shè)備本身和管理設(shè)備。利用Stick或其它一些測(cè)試工具能夠使入侵檢測(cè)設(shè)備產(chǎn)生大量的報(bào)警。使用這些工具，可以消耗檢測(cè)設(shè)備的處理能力，從而真正的攻擊逃過(guò)檢測(cè)；塞滿硬盤(pán)空間，使檢測(cè)設(shè)備無(wú)法記錄日志；使檢測(cè)設(shè)備產(chǎn)生超出其處理能力的報(bào)警；使系統(tǒng)管理人員無(wú)法研究所有的報(bào)警。對(duì)IDS來(lái)說(shuō)這類(lèi)工具非常難以對(duì)付。木馬技術(shù)IDS檢測(cè)木馬和后門(mén)程序一般是通過(guò)端口來(lái)判斷的，即通過(guò)后門(mén)程序的默認(rèn)端口的連接來(lái)判斷，女如Netspy默認(rèn)端口是7306,BO2k默認(rèn)端口是54320,所以只要后門(mén)程序不使用默認(rèn)值就可以逃過(guò)一些IDS的法眼。目前大部分后門(mén)程序的通信都已采用加密的方式，所以目前大部分IDS只能通過(guò)非正常端口建立連接來(lái)判斷，如果后門(mén)程序采用正常的端口進(jìn)行通信，IDS就很有可能漏報(bào)。4.IDS/IPS存在的問(wèn)題及發(fā)展趨勢(shì)IDS/IPS存在的問(wèn)題IDS/IPS不但可以發(fā)現(xiàn)外部攻擊也可以發(fā)現(xiàn)內(nèi)部的攻擊，成為了防火墻的必要補(bǔ)充。但是由于這項(xiàng)技術(shù)誕生的時(shí)間還不是很長(zhǎng)，并且防范和攻擊之間總是存在著一種此消彼長(zhǎng)的博弈關(guān)系，所以入侵檢測(cè)/防范產(chǎn)品中還是存在有不少問(wèn)題。漏報(bào)和誤報(bào)這一問(wèn)題可以說(shuō)幾乎對(duì)于所有的安全軟件都是存在的。造成漏報(bào)的原因有很多。首先入侵檢測(cè)產(chǎn)品的一個(gè)重要的指標(biāo)就是包截獲能力，當(dāng)網(wǎng)絡(luò)數(shù)據(jù)流量超過(guò)入侵檢測(cè)產(chǎn)品本身的包獲取能力時(shí)，就會(huì)有部分?jǐn)?shù)據(jù)包無(wú)法被分析，這樣就有可能導(dǎo)致漏報(bào)。然后隨著攻擊技術(shù)的不斷發(fā)展，如果IDS/IPS產(chǎn)品不能及時(shí)更新攻擊規(guī)則庫(kù)的話也會(huì)對(duì)新的攻擊類(lèi)型沒(méi)有任何抵抗能力。此外還有一些如特殊隧道、后門(mén)以及碎片等反IDS/IPS技術(shù)也會(huì)造成產(chǎn)品的漏報(bào)，利用這些技術(shù)可以使惡意的數(shù)據(jù)流巧妙的躲過(guò)IDS/IPS的檢查。誤報(bào)也是一個(gè)值得關(guān)注的問(wèn)題，以為它的存在可能會(huì)分散管理員的注意力，從而忽略了一些重要的攻擊信息。造成誤報(bào)的主要原因有，當(dāng)大量發(fā)送包含有攻擊特征數(shù)據(jù)到指定的網(wǎng)絡(luò)環(huán)境時(shí)，就可能造成整個(gè)IDS/IPS系統(tǒng)被這些報(bào)警信息所淹沒(méi)從而崩潰。此外因?yàn)槟壳傲餍械腎DS/IPS技術(shù)還是基于數(shù)據(jù)特征匹配的，那么對(duì)于一些偶然含有攻擊特征的無(wú)害數(shù)據(jù)包，IDS/IPS往往也會(huì)不加判斷的進(jìn)行報(bào)警。隱私和安全之間的矛盾IDS/IPS可以接收到網(wǎng)絡(luò)中所有的數(shù)據(jù)，并對(duì)此進(jìn)行分析和記錄，這一過(guò)程對(duì)于安全來(lái)說(shuō)是非常重要的，但對(duì)于用戶來(lái)說(shuō)可能也會(huì)涉及到隱私被侵犯的問(wèn)題。如何來(lái)權(quán)衡隱私和安全也是IDS/IPS所要面對(duì)的一大問(wèn)題。告警信息處理首先因?yàn)榘踩O(shè)備的規(guī)范標(biāo)準(zhǔn)并不是很多，這樣各個(gè)設(shè)備制造商都會(huì)定義自己告警信息格式，而格式上的不同就對(duì)告警的統(tǒng)一分析處理造成了一定的障礙。其次，入侵檢測(cè)，防火墻等安全設(shè)備都會(huì)產(chǎn)生大量安全事件數(shù)據(jù)，單憑管理員手工對(duì)這些數(shù)據(jù)進(jìn)行分析是完全難以想象的。再次，由于技術(shù)上的原因很多現(xiàn)有的網(wǎng)絡(luò)安全工具在對(duì)網(wǎng)絡(luò)真實(shí)攻擊，漏洞以及安全事件進(jìn)行報(bào)警的同時(shí)還會(huì)產(chǎn)生大量的虛警。根據(jù)統(tǒng)計(jì)，在一個(gè)缺省配置的NIDS所產(chǎn)生的告警數(shù)據(jù)中，虛警的數(shù)量最高可能占到報(bào)警數(shù)據(jù)的99％［10］。這樣大量的虛警會(huì)淹沒(méi)真實(shí)的告警，從而管理員就難以判斷告警的真實(shí)性。此外，現(xiàn)有的大部分IDS/IPS檢測(cè)到的攻擊都為入侵過(guò)程中單一攻擊行為，沒(méi)有將前后攻擊步驟關(guān)聯(lián)起來(lái)進(jìn)行分析［11］。這樣對(duì)網(wǎng)絡(luò)安全事件所產(chǎn)生的告警進(jìn)行統(tǒng)計(jì)分析成為了目前網(wǎng)絡(luò)安全領(lǐng)域所面臨的一大焦點(diǎn)問(wèn)題。通過(guò)對(duì)來(lái)自不同類(lèi)型的IDS或其它安全設(shè)備所產(chǎn)生的告警進(jìn)行規(guī)格化，聚合和關(guān)聯(lián)處理可以在很大程度上減少管理員的負(fù)擔(dān)，并且可以有效的提高了告警質(zhì)量［12］。這在安全領(lǐng)域中是十分有意義且富有挑戰(zhàn)性的一項(xiàng)工作。IDS/IPS發(fā)展趨勢(shì)2003年Gartner公司說(shuō)入侵檢測(cè)系統(tǒng)不值得購(gòu)買(mǎi)。此外還預(yù)測(cè)，到2005年入侵檢測(cè)系統(tǒng)會(huì)變得過(guò)時(shí)。Gartner表示，入侵檢測(cè)系統(tǒng)沒(méi)有像廠商承諾的那樣增加一個(gè)附加的安全層，許多情況證明入侵檢測(cè)系統(tǒng)是既昂貴又無(wú)效的投資。作為替代產(chǎn)品，企業(yè)應(yīng)該把錢(qián)花在提供網(wǎng)絡(luò)級(jí)和應(yīng)用級(jí)防火墻功能的軟件上。還認(rèn)為，入侵檢測(cè)系統(tǒng)是一次市場(chǎng)失敗，廠商現(xiàn)在大力宣傳的入侵防御系統(tǒng)也停滯不前。入侵檢測(cè)系統(tǒng)的功能正向防火墻轉(zhuǎn)移，防火墻將能對(duì)內(nèi)容和惡意流量阻塞執(zhí)行深入的包檢查，還能進(jìn)行反病毒活動(dòng)。但個(gè)人認(rèn)為入侵檢測(cè)/防范技術(shù)并沒(méi)有過(guò)時(shí)，因?yàn)橐S護(hù)一個(gè)系統(tǒng)/網(wǎng)絡(luò)的安全性需要首先按照系統(tǒng)的安全要求對(duì)系統(tǒng)進(jìn)行安全配置，然后監(jiān)視網(wǎng)絡(luò)活動(dòng)，發(fā)現(xiàn)入侵行為，此外還需要進(jìn)行事后分析審計(jì)，然后重新返回到第一步重新進(jìn)行安全配置，這是一個(gè)循環(huán)往復(fù)的過(guò)程。那么在這個(gè)過(guò)程中需要一個(gè)起到監(jiān)視作用的預(yù)警系統(tǒng)，用來(lái)監(jiān)視網(wǎng)絡(luò)中的通信并進(jìn)行實(shí)時(shí)的相應(yīng)、告警。所以ID