入侵检测信号分析技术手段

10.5.1　入侵检测系统IDS

入侵检测系统IDS（Intrusion Detection Systems）是继防火墙、数据加密等保护措施后的新一代安全保障系统，是为保证计算机系统的安全而设计的一种能够及时发现并报告系统中未授权活动或异常现象的技术，入侵检测既能检测出外部网络的入侵行为，又能监督内部网络中未授权的活动，目前已经成为防火墙之后的第二道安全网关。

做一个形象的比喻：假如防火墙是一幢大楼的门锁，那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告，入侵检测系统能够识别出任何不希望有的活动，从而达到限制这些活动，以保护系统的安全。

入侵检测系统的应用，能使在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中，能减少入侵攻击所造成的损失。在被入侵攻击后，收集入侵攻击的相关信息，作为防范系统的知识，添加入知识库内，以增强系统的防范能力。

典型的入侵检测系统由信息收集、信息分析和结果处理三个部分构成，信息处理的流程也是按照以下顺序完成（如图10-18所示）。

①信息收集：入侵检测的第一步是信息收集。收集内容包括系统、网络、数据及用户活动的状态和行为。由放置在不同网段的探测器或不同主机的代理来收集信息，包括系统和网络日志文件、网络流量、非正常的目录和文件改变、非正常的程序执行。

②信息分析：收集到的有关系统、网络、数据及用户活动的状态和行为等信息，被送到信息分析检测引擎，通过分析检测来发现入侵。当检测到入侵时，产生一个告警并发送给控制台。

③结果处理：控制台按照告警产生预先定义的响应采取相应措施，可以是重新配置路由器或防火墙、可以是终止进程、切断连接、改变文件属性等保护措施。

图10-18 典型的入侵检测系统

10.5.2　入侵检测系统的分类

按照检测系统所分析的对象出发，可以把入侵检测系统分为基于网络入侵检测系统、基于主机的入侵检测系统和混合式入侵检测系统三种类型。

①基于网络的入侵检测系统（Network IDS）主要由管理站和探测器构成。入侵检测系统的输入数据来源于网络的数据流量包，探测器放置在比较重要的网段内，不停地监视网段中的各种数据包。对每一个数据包或可疑的数据包进行特征分析。如果数据包与产品内置的某些规则吻合，探测器将向管理站报告，管理站将发出警报甚至直接切断网络连接。目前，大部分入侵检测产品是基于网络的。

②基于主机的入侵检测产品（Host IDS）通常是安装在被重点检测的主机之上，入侵检测系统的输入数据来源于主机系统地审计日志，主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。如果其中主体活动十分可疑（特征或违反统计规律），入侵检测系统就会采取相应措施，以达到保护主机的目的。

基于网络的入侵检测产品和基于主机的入侵检测产品都有不足之处，单纯使用一类产品会造成主动防御体系不全面。但是，它们的缺憾是互补的，将这两种技术结合起来实现的入侵检测系统就是混合入侵检测系统。混合入侵检测系统既可发现网络中的攻击信息，也可从主机系统日志中发现异常情况。

③混合入侵检测系统由多个部件组成，各个部件分布在网络的各个部分，所以混合式入侵检测系统又称为分布式入侵检测系统。混合式入侵检测系统的各个部分共同完成数据信息采集、数据信息分析，并通过中心的控制部件进行数据汇总、分析处理、产生入侵报警等结果处理。

分析处理是入侵检测系统的关键部分，按照入侵检测系统所采用的分析方法可分为特征检测、异常检测以及协议分析三种。

（1）特征检测

特征检测（Signature-based detection），这一检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。通过模式匹配，发现违背安全政策的行为。特征检测它可以将已有的入侵方法检查出来，但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来，特征检测方法上与计算机病毒的检测方式类似，目前基于对包特征描述的模式匹配应用较为广泛。

（2）异常检测

异常检测（Anomaly detection）的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动档案”，将当前主体的活动状况与“活动档案”相比较，当违反其统计规律时，认为该活动可能是“入侵”行为。异常行为检测通常采用阈值检测，例如，用户在一段时间内存取文件的次数，用户登录失败的次数，进程的CPU利用率，磁盘空间的变化等。异常检测的难题在于如何建立“活动档案”以及如何设计统计算法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。

（3）协议分析

协议分析是一种新一代的入侵检测技术，它利用网络协议的高度规则来快速检测攻击的存在。协议分析入侵检测系统结合了高速数据包捕获、协议分析与命令解析、特征模式匹配几种方法，较大地提高了入侵检的准确性。

新一代协议分析IDS网络入侵检测引擎包含数量众多的命令解析器，可以对在不同的上层应用协议上，对每一个用户命令做出详细分析，协议解析也大大降低了模式匹配IDS系统中常见的误报现象。

使用命令解析器可以确保一个特征串的实际意义被真正理解，辨认出串是不是攻击或可疑的。在基于协议分析的IDS中，各种协议都被解析，如果出现IP碎片设置，数据包将首先被重装，然后详细分析来了解潜在的攻击行为。

新一代协议分析IDS系统网络传感器采用新设计的高性能数据包驱动器，使其不仅支持线速百兆流量检测，而且千兆网络传感器具有高达900M网络流量的100%检测能力，不会忽略任何一个数据包。

10.5.3　入侵检测系统的部署

入侵检测系统IDS是一个监听设备，无须跨接在任何链路上，自生也不产生网络流量。因此，对IDS部署的要求是IDS应当挂接在所关注的流量流经的链路上。在这里，“所关注的流量”指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。目前，大部分的网络都采用交换式网络结构。因此，IDS在交换式网络中的位置一般部署在尽可能靠近攻击源、尽可能靠近受保护资源的地方。网络中，这些位置通常有：

①Internet接入路由器之后的第一台交换机上；

②重点保护的主机上，服务器子网区域的交换机上；

③重点保护网段的局域网交换机上；

④DMZ网段的交换机上。

工作时每个受监视的主机、交换机都运行着一个监视模块，用于采集相关信息，然后通过通信代理将采集的信息送到控制主机，控制主机汇集从各个监视模块送来的相关事件信息，送到主机的事件分析器根据规则库进行事件分析处理，然后根据规则制定的相应方式通过事件响应单元进行结果处理。