系统入侵

入侵检测系统.txt你不能让所有人满意，因为不是所有的人都是人成功人士是—在牛B的路

上，一路勃起你以为我会眼睁睁看着你去送死吗？我会闭上眼睛的侵检测系统在linux下的

完美运用方案

入侵检测系统简介

当越来越多的公司将其核心业务向互联网转移的时候，网络安全作为一个无法回避的问

题呈现在人们面前。传统上，公司一般采用防火墙作为安全的第一道防线。而随着攻击者知

识的日趋成熟，攻击工具与手法的日趋复杂多样，单纯的防火墙策略已经无法满足对安全高

度敏感的部门的需要，网络的防卫必须采用一种纵深的、多样的手段。与此同时，当今的网

络环境也变得越来越复杂，各式各样的复杂的设备，需要不断升级、补漏的系统使得网络管

理员的工作不断加重，不经意的疏忽便有可能造成安全的重大隐患。在这种环境下，入侵检

测系统成为了安全市场上新的热点，不仅愈来愈多的受到人们的关注，而且已经开始在各种

不同的环境中发挥其关键作用。

本文中的“入侵”（Intrusion）是个广义的概念，不仅包括被发起攻击的人（如恶意的

黑客）取得超出合法范围的系统控制权，也包括收集漏洞信息，造成拒绝访问（Denialof

Service）等对计算机系统造成危害的行为。

入侵检测（IntrusionDetection），顾名思义，便是对入侵行为的发觉。它通过对计算

机网络或计算机系统中得若干关键点收集信息并对其进行分析，从中发现网络或系统中是否

有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系

统（IntrusionDetectionsystem,简称IDS）。与其他安全产品不同的是，入侵检测系统需

要更多的智能，它必须可以将得到的数据进行分析，并得出有用的结果。一个合格的入侵检

测系统能大大的简化管理员的工作，保证网络安全的运行。

具体说来，入侵检测系统的主要功能有：

a.监测并分析用户和系统的活动；

b.核查系统配置和漏洞；

c.评估系统关键资源和数据文件的完整性；

d.识别已知的攻击行为；

e.统计分析异常行为；

f.操作系统日志管理，并识别违反安全策略的用户活动。

由于入侵检测系统的市场在近几年中飞速发展，许多公司投入到这一领域上来。ISS、

axent、NFR、cisco等公司都推出了自己相应的产品（国内目前还没有成熟的产品出现）。但

就目前而言，入侵检测系统还缺乏相应的标准。目前，试图对IDS进行标准化的工作有两个

组织：IETF的IntrusionDetectionWorkingGroup(idwg)和CommonIntrusionDetection

Framework(CIDF)，但进展非常缓慢，尚没有被广泛接收的标准出台。

入侵检测系统模型

CIDF模型

CommonIntrusionDetectionFramework(CIDF)（/）阐述了一

个入侵检测系统（IDS）的通用模型。它将一个入侵检测系统分为以下组件：

l事件产生器（Eventgenerators）

l事件分析器（Eventanalyzers

l响应单元（Responseunits）

l事件数据库（Eventdatabases）

CIDF将IDS需要分析的数据统称为事件（event）,它可以是网络中的数据包，也可以是

从系统日志等其他途径得到的信息。

事件产生器的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件。事

件分析器分析得到的数据，并产生分析结果。响应单元则是对分析结果作出作出反应的功能

单元，它可以作出切断连接、改变文件属性等强烈反应，也可以只是简单的报警。事件数据

库是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本

文件。

在这个模型中，前三者以程序的形式出现，而最后一个则往往是文件或数据流的形式。

在其他文章中，经常用数据采集部分、分析部分和控制台部分来分别代替事件产生器、

事件分析器和响应单元这些术语。且常用日志来简单的指代事件数据库。如不特别指明，本

文中两套术语意义相同。

IDS分类

一般来说，入侵检测系统可分为主机型和网络型。

主机型入侵检测系统往往以系统日志、应用程序日志等作为数据源，当然也可以通过其

他手段（如监督系统调用）从所在的主机收集信息进行分析。主机型入侵检测系统保护的一

般是所在的系统。

网络型入侵检测系统的数据源则是网络上的数据包。往往将一台机子的网卡设于混杂模

式（promiscmode）,监听所有本网段内的数据包并进行判断。一般网络型入侵检测系统担负

着保护整个网段的任务。

不难看出，网络型IDS的优点主要是简便：一个网段上只需安装一个或几个这样的系统，

便可以监测整个网段的情况。且由于往往分出单独的计算机做这种应用，不会给运行关键业

务的主机带来负载上的增加。但由于现在网络的日趋复杂和高速网络的普及，这种结构正受

到越来越大的挑战。一个典型的例子便是交换式以太网。

而尽管主机型IDS的缺点显而易见：必须为不同平台开发不同的程序、增加系统负荷、

所需安装数量众多等，但是内在结构却没有任何束缚，同时可以利用操作系统本身提供的功

能、并结合异常分析，更准确的报告攻击行为。《NextGenerationIntrusionDetectionin

High-SpeedNetworks》对此做了描述，感兴趣的读者可参看。

入侵检测系统的几个部件往往位于不同的主机上。一般来说会有三台机器，分别运行事

件产生器、事件分析器和响应单元。HereLine将前两者合在了一起，因此只需两台。在安装

IDS的时候，关键是选择数据采集部分所在的位置，因为它决定了“事件”的可见度。

对于主机型IDS，其数据采集部分当然位于其所监测的主机上。

对于网络型IDS，其数据采集部分则有多种可能：

（1）如果网段用总线式的集线器相连，则可将其简单的接在集线器的一个端口上即可；

（2）对于交换式以太网交换机，问题则会变得复杂。由于交换机不采用共享媒质的办法，

传统的采用一个sniffer来监听整个子网的办法不再可行。可解决的办法有：

a.交换机的核心芯片上一般有一个用于调试的端口（spanport），任何其他端口的进出

信息都可从此得到。如果交换机厂商把此端口开放出来，用户可将IDS系统接到此端口上。

优点：无需改变IDS体系结构。

缺点：采用此端口会降低交换机性能。

b.把入侵检测系统放在交换机内部或防火墙内部等数据流的关键入口、出口。

优点：可得到几乎所有关键数据。

缺点：必须与其他厂商紧密合作，且会降低网络性能。

c.采用分接器（Tap），将其接在所有要监测的线路上。

优点：再不降低网络性能的前提下收集了所需的信息。

缺点：必须购买额外的设备(Tap)；若所保护的资源众多，IDS必须配备众多网络接口。

d.可能唯一在理论上没有限制的办法就是采用主机型IDS。

通信协议

IDS系统组件之间需要通信，不同的厂商的IDS系统之间也需要通信。因此，定义统一

的协议，使各部分能够根据协议所致订的的标准进行沟通是很有必要的。

IETF目前有一个专门的小组IntrusionDetectionWorkingGroup(idwg)负责定义这种

通信格式，称作IntrusionDetectionExchangeformat。目前只有相关的草案（internet

draft），并未形成正式的RFC文档。尽管如此，草案为IDS各部分之间甚至不同IDS系统之

间的通信提供了一定的指引。

IAP(IntrusionAlertProtocol)是idwg制定的、运行于TCP之上的应用层协议，其设

计在很大程度上参考了HTTP，但补充了许多其他功能（如可从任意端发起连接，结合了加密、

身份验证等）。对于IAP的具体实现，请参看《IntrusionAlertProtocol-IAP》，其中给

出了非常详尽的说明。这里我们主要讨论一下设计一个入侵检测系统通信协议时应考虑的问

题：

1．分析系统与控制系统之间传输的信息是非常重要的信息，因此必须要保持数据的真实

性和完整性。必须有一定的机制进行通信双方的身份验证和保密传输（同时防止主动和被动

攻击）。

2.通信的双方均有可能因异常情况而导致通信中断，IDS系统必须有额外措施保证系统

正常工作。

入侵检测技术

对各种事件进行分析，从中发现违反安全策略的行为是入侵检测系统的核心功能。从技

术上，入侵检测分为两类：一种基于标志（signature-based），另一种基于异常情况

(anomaly-based)。

对于基于标识的检测技术来说，首先要定义违背安全策略的事件的特征，如网络数据包

的某些头信息。检测主要判别这类特征是否在所收集到的数据中出现。此方法非常类似杀毒

软件。

而基于异常的检测技术则是先定义一组系统“正常”情况的数值，如CPU利用率、内存

利用率、文件校验和等（这类数据可以人为定义，也可以通过观察系统、并用统计的办法得

出），然后将系统运行时的数值与所定义的“正常”情况比较，得出是否有被攻击的迹象。这

种检测方式的核心在于如何定义所谓的“正常”情况。

两种检测技术的方法、所得出的结论有非常大的差异。基于异常的检测技术的核心是维

护一个知识库。对于已知得攻击，它可以详细、准确的报告报告出攻击类型，但是对未知攻

击却效果有限，而且知识库必须不断更新。基于异常的检测技术则无法准确判别出攻击的手

法，但它可以（至少在理论上可以）判别更广范、甚至未发觉的攻击。

如果条件允许，两者结合的检测会达到更好的效果。

系统框架

HereLine是一个在linux下运行的基于标识检测的网络IDS。从逻辑上分为数据采集、

数据分析和结果显示三部分，符合CIDF的规范。

从实现结构上看，HereLine分成三个应用程序，它们分别是：

1．数据收集及分析程序(watcher)；2.告警信息收集程序(listener)；3.告警信息显示

程序(console)。watcher是数据采集和数据分析的合体；listener接收watcher发出的告警

信息，并将接到的信息存储为日志；console为管理员