14.1.6　入侵检测技术

入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，用于检测计算机网络中违反安全策略行为。违反安全策略的行为有入侵——非法用户的违规行为、滥用——用户的违规行为。入侵检测系统能够识别出任何不希望有的活动，从而限制这些活动保护系统的安全。入侵检测系统的应用，能使在入侵攻击对系统发生危害前检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中，能减少入侵攻击所造成的损失。在被入侵攻击后，收集入侵攻击的相关信息，作为防范系统的知识，添加到知识库内，以增强系统的防范能力。

1．入侵检测系统类型

从技术上看，基本分为基于网络和基于主机的入侵检测系统。混合入侵检测系统可以弥补一些基于网络与基于主机的片面性缺陷。有时候，文件的完整性检査工具也可看做是一类入侵检测产品。

（1）基于网络的入侵检测

基于网络的入侵检测系统（NIDS）放置在比较重要的网段内，不停地监视网段中的各种数据包。对每一个数据包或可疑的数据包进行特征分析。如果数据包与内置的某些规则吻合，入侵检测系统就会发出警报甚至直接切断网络连接。目前，大部分入侵检测产品是基于网络的。典型的网络入侵检测系统有Snort、NFR、Shadow等。

1）优点

NIDS能够检测那些来自网络的攻击，它能够检测到超过授权的非法访问。

一个NIDS不需要改变服务器等主机的配置。由于它不会在业务系统的主机中安装额外的软件，从而不会影响这些机器的CPU、I/O与磁盘等资源的使用，不会影响业务系统的性能。

由于NIDS不像路由器、防火墙等关键设备方式工作，它不会成为系统中的关键路径。NIDS发生故障不会影响正常业务的运行。部署一个NIDS的风险比主机入侵检测系统的风险少得多。

NIDS可以是专门的独立设备，安装非常方便，只需将定制的设备接上电源，做很少一些配置，将其连到网络上即可。

2）弱点

NIDS只检査它直接连接网段的通信，不能检测在不同网段的网络包。在使用交换以太网的环境中就会出现监测范围的局限。而安装多台NIDS的传感器会使部署整个系统的成本大大增加。

NIDS为了性能目标通常采用特征检测的方法，它可以检测出普通的一些攻击，而很难实现一些复杂的需要大量计算与分析时间的攻击检测。

NIDS可能会将大量的数据传回分析系统中。在一些系统中监听特定的数据包会产生大量的分析数据流量。一些系统在实现时采用一定方法来减少回传的数据量，对入侵判断的决策由传感器实现，而中央控制台成为状态显示与通信中心，不再作为入侵行为分析器。这样的系统中的传感器协同工作能力较弱。

NIDS处理加密的会话过程较困难，目前通过加密通道的攻击还不多，但随着IPv6的普及，这个问题会越来越突出。

（2）基于主机的入侵检测

基于主机的入侵检测系统（HIDS）通常安装在被重点检测的主机之上，主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。如果其中主体活动十分可疑（特征或违反统计规律），入侵检测系统就会采取相应措施。

1）优点

HIDS对分析“可能的攻击行为”非常有用。它除了指出入侵者试图执行一些“危险的命令”之外，还能分辨出入侵者做了什么事，运行了什么程序，打开了哪些文件，执行了哪些系统调用。HIDS与NIDS相比通常能够提供更详尽的相关信息。

因为检测在主机上运行的命令序列比检测网络流更简单，系统的复杂性也少得多，所以在通常情况下HIDS比N1DS误报率要低。

HIDS可部署在那些不需要广泛的入侵检测、传感器与控制台之间的通信带宽不足的情况下。

2）弱点

HIDS安装在需要保护的设备上，这会降低应用系统的效率，也会带来一些额外的安全问题。HIDS依赖于服务器固有的日志与监视能力。如果服务器没有配置日志功能，则必须重新配置。HIDS只监测自身的主机，不监测网络上的情况。

（3）混合入侵检测

基于网络的入侵检测产品和基于主机的入侵检测产品都有不足之处，单纯使用一类产品会造成主动防御体系不全面。如果这两类产品能够无缝结合起来部署在网络内，则会构架成一套完整立体的主动防御体系，既可发现网络中的攻击信息，也可从系统日志中发现异常情况。

（4）文件完整性检査

文件完整性检查系统检査计算机中自上次检査后文件变化情况。文件完整性检査系统保存有每个文件的信息摘要数据库，每次检査时，重新计算文件的信息摘要并将它与数据库中的值相比较，如不同，则文件已被修改；若相同，文件则未发生变化。

文件的信息摘要通过Hash函数计算得到。通常采用安全性高的Hash算法，如MD5、SHA时，两个不同的文件几乎不可能得到相同的Hash结果。

1）优点

从数学上分析，攻克文件完整性检查系统，无论是时间上还是空间上都是不可能的。

文件完整性检査系统具有相当的灵活性，可以配置成为监测系统中所有文件或某些重要文件。

入侵者攻击系统时，首先，要掩盖自己的踪迹，即要通过更改系统中的可执行文件、库文件或日志文件来隐藏他的活动；其次，要做一些改动保证下次能够继续入侵。这两种活动都能够被文件完整性检查系统检测出来。

2）弱点

文件完整性检查系统依赖于本地的信息摘要数据库。与日志文件一样，这些数据可能被入侵者修改。当一个入侵者取得管理员权限后，在完成破坏活动后，可以运行文件完整性检查系统更新数据库，从而瞒过系统管理员。当然，可以将信息摘要数据库放在只读的介质上，但这样的配置不够灵活性。

做一次完整的文件完整性检查是一个非常耗时的工作。

系统有些正常的更新操作可能会带来大量的文件更新，从而产生比较繁杂的检查与分析工作。例如，在Windows操作系统中升级MicrosoftOutlook将会引起1800多个文件变化。

2．入侵检测技术分析

本节对入侵检测技术分类和检测方式做介绍。

（1）技术分类

入侵检测系统所采用的技术可分为特征检测与异常检测两种。

1）特征检测

特征检测（Signature-based detection）又称为Misuse detection，这一检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来，但对新的入侵方法无能为力。其难点在于如何设计出相关模式，既能够刻画“入侵”现象，又不会将正常的活动包含进来。

2）异常检测

异常检测（Anomaly detection）的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统计规律时，认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。

（2）常用检测方法

入侵检测系统常用的检测方法有特征检测、统计检测和专家系统。据公安部计算机信息系统安全产品质量监督检验中心的报告，国内送检的入侵检测产品中95%是属于使用入侵模板进行模式匹配的特征检测产品，其他5%是采用概率统计的统计检测产品与基于日志的专家知识库系产品。

1）特征检测

特征检测对已知的攻击或入侵的方式做出确定性的描述，形成相应的事件模式。当被审计的事件与已知的入侵事件模式相匹配时，即报警。原理上与专家系统相仿。其检测方法上与计算机病毒的检测方式类似。目前，基于对包特征描述的模式匹配应用较为广泛。该方法预报检测的准确率较高，但对于无经验知识的入侵与攻击行为无能为力。

2）统计检测

统计模型常用异常检测，在统计模型中常用的测量参数包括审计事件的数量、间隔时间、资源消耗情况等。常用的入侵检测5种统计模型如下。

·操作模型：该模型假设异常可通过测量结果与一些固定指标相比较得到，固定指标可以根据经验值或一段时间内的统计平均得到，例如在短时间内的多次失败的登录很有可能是口令尝试攻击。

·方差：计算参数的方差，设定其置信区间，当测量值超过置信区间的范围时表明有可能是异常。

·多元模型：操作模型的扩展，通过同时分析多个参数实现检测。

·马尔柯夫过程模型：将每种类型的事件定义为系统状态，用状态转移矩阵来表示状态的变化，当一个事件发生时，或状态矩阵该转移的概率较小时，则可能是异常事件。

·时间序列分析：将事件计数与资源耗用根据时间排成序列，如果一个新事件在该时间发生的概率较低，则该事件可能是入侵。

统计方法的最大优点是它可以“学习”用户的使用习惯，从而具有较高检出率与可用性。但是它的“学习”能力也可使入侵者通过逐步“训练”使入侵事件符合正常操作的统计规律，从而透过入侵检测系统。

3）专家系统

专家系统对入侵进行检测针对有特征的入侵行为，即规则或知识。不同的系统与设置具有不同的规则，规则之间一般无通用性。专家系统的建立依赖于知识库的完备性，知识库的完备性又取决于审计记录的完备性与实时性。入侵的特征抽取与表达，是建立入侵检测专家系统的关键。在系统实现中，将有关入侵的知识转化为if-then结构（也可以是复合结构），条件部分为入侵特征，then部分是系统防范措施。