第一章 入侵檢測系統概念
當越來越多的公司將其核心業務向互聯網轉移的時候，網絡安全作為一個無法回避的問題呈現在人們面前。傳統上，公司一般采用防火墻作為安全的第一道防線。而隨著攻擊者知識的日趨成熟，攻擊工具與手法的日趨復雜多樣，單純的防火墻策略已經無法滿足對安全高度敏感的部門的需要，網絡的防衛必須采用一種縱深的、多樣的手段。與此同時，當今的網絡環境也變得越來越復雜，各式各樣的復雜的設備，需要不斷升級、補漏的系統使得網絡管理員的工作不斷加重，不經意的疏忽便有可能造成安全的重大隱患。在這種環境下，入侵檢測系統成為了安全市場上新的熱點，不僅愈來愈多的受到人們的關注，而且已經開始在各種不同的環境中發揮其關鍵作用。
本文中的“入侵”（Intrusion）是個廣義的概念，不僅包括被發起攻擊的人（如惡意的黑客）取得超出合法范圍的系統控制權，也包括收集漏洞信息，造成拒絕訪問（Denial of Service）等對計算機系統造成危害的行為。
入侵檢測（Intrusion Detection），顧名思義，便是對入侵行為的發覺。它通過對計算機網絡或計算機系統中得若干關鍵點收集信息并對其進行分析，從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。進行入侵檢測的軟件與硬件的組合便是入侵檢測系統（Intrusion Detection System,簡稱IDS）。與其他安全產品不同的是，入侵檢測系統需要更多的智能，它必須可以將得到的數據進行分析，并得出有用的結果。一個合格的入侵檢測系統能大大的簡化管理員的工作，保證網絡安全的運行。
具體說來，入侵檢測系統的主要功能有（[2]）：
a.監測并分析用戶和系統的活動；
b.核查系統配置和漏洞；
c.評估系統關鍵資源和數據文件的完整性；
d.識別已知的攻擊行為；
e.統計分析異常行為；
f.操作系統日志管理，并識別違反安全策略的用戶活動。
由于入侵檢測系統的市場在近幾年中飛速發展，許多公司投入到這一領域上來。除了國外的ISS、axent、NFR、cisco等公司外，國內也有數家公司（如中聯綠盟，中科網威等）推出了自己相應的產品。但就目前而言，入侵檢測系統還缺乏相應的標準。目前，試圖對IDS進行標準化的工作有兩個組織：IETF的Intrusion Detection Working Group (idwg)和Common Intrusion Detection Framework (CIDF)，但進展非常緩慢，尚沒有被廣泛接收的標準出臺。
第二章 入侵檢測系統模型
2.1 CIDF模型
Common Intrusion Detection Framework (CIDF)（http://www.gidos.org/）闡述了一個入侵檢測系統（IDS）的通用模型。它將一個入侵檢測系統分為以下組件：
l事件產生器（Event generators）
l 事件分析器（Event analyzers
l 響應單元（Response units ）
l　事件數據庫（Event databases ）
CIDF將IDS需要分析的數據統稱為事件（event）,它可以是網絡中的數據包，也可以是從系統日志等其他途徑得到的信息。
事件產生器的目的是從整個計算環境中獲得事件，并向系統的其他部分提供此事件。事件分析器分析得到的數據，并產生分析結果。響應單元則是對分析結果作出作出反應的功能單元，它可以作出切斷連接、改變文件屬性等強烈反應，也可以只是簡單的報警。事件數據庫是存放各種中間和最終數據的地方的統稱，它可以是復雜的數據庫，也可以是簡單的文本文件。
在這個模型中，前三者以程序的形式出現，而最后一個則往往是文件或數據流的形式。
在其他文章中，經常用數據采集部分、分析部分和控制臺部分來分別代替事件產生器、事件分析器和響應單元這些術語。且常用日志來簡單的指代事件數據庫。如不特別指明，本文中兩套術語意義相同。
2.2 IDS分類
一般來說，入侵檢測系統可分為主機型和網絡型。
主機型入侵檢測系統往往以系統日志、應用程序日志等作為數據源，當然也可以通過其他手段（如監督系統調用）從所在的主機收集信息進行分析。主機型入侵檢測系統保護的一般是所在的系統。
網絡型入侵檢測系統的數據源則是網絡上的數據包。往往將一臺機子的網卡設于混雜模式（promisc mode）,監聽所有本網段內的數據包并進行判斷。一般網絡型入侵檢測系統擔負著保護整個網段的任務。
不難看出，網絡型IDS的優點主要是簡便：一個網段上只需安裝一個或幾個這樣的系統，便可以監測整個網段的情況。且由于往往分出單獨的計算機做這種應用，不會給運行關鍵業務的主機帶來負載上的增加。但由于現在網絡的日趨復雜和高速網絡的普及，這種結構正受到越來越大的挑戰。一個典型的例子便是交換式以太網。
而盡管主機型IDS的缺點顯而易見：必須為不同平臺開發不同的程序、增加系統負荷、所需安裝數量眾多等，但是內在結構卻沒有任何束縛，同時可以利用操作系統本身提供的功能、并結合異常分析，更準確的報告攻擊行為。參考文獻[7]對此做了描述，感興趣的讀者可參看。
入侵檢測系統的幾個部件往往位于不同的主機上。一般來說會有三臺機器，分別運行事件產生器、事件分析器和響應單元。在安裝IDS的時候，關鍵是選擇數據采集部分所在的位置，因為它決定了“事件”的可見度。
對于主機型IDS，其數據采集部分當然位于其所監測的主機上。
對于網絡型IDS，其數據采集部分則有多種可能：
（1）如果網段用總線式的集線器相連，則可將其簡單的接在集線器的一個端口上即可；
（2）對于交換式以太網交換機，問題則會變得復雜。由于交換機不采用共享媒質的辦法，傳統的采用一個sniffer來監聽整個子網的辦法不再可行?？山鉀Q的辦法有：
a.交換機的核心芯片上一般有一個用于調試的端口（span port），任何其他端口的進出信息都可從此得到。如果交換機廠商把此端口開放出來，用戶可將IDS系統接到此端口上。
優點：無需改變IDS體系結構。
缺點：采用此端口會降低交換機性能。
b.把入侵檢測系統放在交換機內部或防火墻內部等數據流的關鍵入口、出口。
優點：可得到幾乎所有關鍵數據。
缺點：必須與其他廠商緊密合作，且會降低網絡性能。
c.采用分接器（Tap），將其接在所有要監測的線路上。
優點：再不降低網絡性能的前提下收集了所需的信息。
缺點：必須購買額外的設備(Tap)；若所保護的資源眾多，IDS必須配備眾多網絡接口。
d.可能唯一在理論上沒有限制的辦法就是采用主機型IDS。
2.3 通信協議
IDS系統組件之間需要通信，不同的廠商的IDS系統之間也需要通信。因此，定義統一的協議，使各部分能夠根據協議所致訂的的標準進行溝通是很有必要的。
IETF目前有一個專門的小組Intrusion Detection Working Group (idwg)負責定義這種通信
格式，稱作Intrusion Detection Exchange Format。目前只有相關的草案（internet draft），并未形成正式的RFC文檔。盡管如此，草案為IDS各部分之間甚至不同IDS系統之間的通信提供了一定的指引。
IAP(Intrusion Alert Protocol)是idwg制定的、運行于TCP之上的應用層協議，其設計在很大程度上參考了HTTP，但補充了許多其他功能（如可從任意端發起連接，結合了加密、身份驗證等）。對于IAP的具體實現，請參看 [9]，其中給出了非常詳盡的說明。這里我們主要討論一下設計一個入侵檢測系統通信協議時應考慮的問題：
1．　分析系統與控制系統之間傳輸的信息是非常重要的信息，因此必須要保持數據的真實性和完整性。必須有一定的機制進行通信雙方的身份驗證和保密傳輸（同時防止主動和被動攻擊）。
2. 通信的雙方均有可能因異常情況而導致通信中斷，IDS系統必須有額外措施保證系統正常工作。
2.4入侵檢測技術
對各種事件進行分析，從中發現違反安全策略的行為是入侵檢測系統的核心功能。從技術上，入侵檢測分為兩類：一種基于標志（signature-based），另一種基于異常情況(anomaly-based)。
對于基于標識的檢測技術來說，首先要定義違背安全策略的事件的特征，如網絡數據包的某些頭信息。檢測主要判別這類特征是否在所收集到的數據中出現。此方法非常類似殺毒軟件。
而基于異常的檢測技術則是先定義一組系統“正?！鼻闆r的數值，如CPU利用率、內存利用率、文件校驗和等（這類數據可以人為定義，也可以通過觀察系統、并用統計的辦法得出），然后將系統運行時的數值與所定義的“正?！鼻闆r比較，得出是否有被攻擊的跡象。這種檢測方式的核心在于如何定義所謂的“正?！鼻闆r。
兩種檢測技術的方法、所得出的結論有非常大的差異?；诋惓５臋z測技術的核心是維護一個知識庫。對于已知得攻擊，它可以詳細、準確的報告報告出攻擊類型，但是對未知攻擊卻效果有限，而且知識庫必須不斷更新?；诋惓５臋z測技術則無法準確判別出攻擊的手法，但它可以（至少在理論上可以）判別更廣范、甚至未發覺的攻擊。
如果條件允許，兩者結合的檢測會達到更好的效果。
第四章 存在的問題
盡管有眾多的商業產品出現，與諸如防火墻等技術高度成熟的產品相比，入侵檢測系統還存在相當多的問題。這一章我們便要討論一下對其進行威脅的主要因素，值得注意的是，這些問題大多是目前入侵檢測系統的結構所難以克服的（包括waRcher），而且這些矛盾可能越來越尖銳。
以下便是對入侵檢測產品提出挑戰的主要因素[3]：
1.攻擊者不斷增加的知識，日趨成熟多樣自動化工具，以及越來越復雜細致的攻擊手法。
下圖是CERT每年處理的安全事件（縱坐標）的統計：
不難看出，安全問題正日漸突出，尤其是2000年初出現了對諸如Yahoo，ebay等著名ICP的攻擊事件。IDS必須不斷跟蹤最新的安全技術，才能不致被攻擊者遠遠超越。
2.惡意信息采用加密的方法傳輸。
網絡入侵檢測系統通過匹配網絡數據包發現攻擊行為，IDS往往假設攻擊信息是通過明文傳輸的，因此對信息的稍加改變便可能騙過IDS的檢測。TFN現在便已經通過加密的方法傳輸控制信息。還有許多系統通過VPN（虛擬專用網）進行網絡之間的互聯，如果IDS不了解其所用的隧道機制，會出現大量的誤報和漏報。
3.必須協調、適應多樣性的環境中的不同的安全策略。
網絡及其中的設備越來越多樣化，即存在關鍵資源如郵件服務器、企業數據庫，也存在眾多相對不是很重要的PC機。不同企業之間這種情況也往往不盡相同。IDS要能有所定制以更適應多樣的環境要求。
4.不斷增大的網絡流量。
用戶往往要求IDS盡可能快的報警，因此需要對獲得的數據進行實時的分析，這導致對所在系統的要求越來越高，商業產品一般都建議采用當前最好的硬件環境（如NFR5.0要求主頻最少700以上的機器）。盡管如此，對百兆以上的流量，單一的IDS系統仍很難應付?？梢韵胍?，隨著網絡流量的進一步加大（許多大型ICP目前都有數百兆的帶寬），對IDS將提出更大的挑戰，在PC機上運行純軟件系統的方式需要突破。
5.廣泛接受的術語和概念框架的缺乏。
入侵檢測系統的廠家基本處于各自為戰的情況，標準的缺乏使得其間的互通幾乎不可能。
6.不斷變化的入侵檢測市場給購買、維護IDS造成的困難。
入侵檢測系統是一項新生事物，隨著技術水平的上升和對新攻擊的識別的增加，IDS需要不斷的升級才能保證網絡的安全性，而不同廠家之間的產品在升級周期、升級手段上均有很大差別。因此用戶在購買時很難做出決定，同時維護時也往處于很被動的局面。
7.采用不恰當的自動反應所造成的風險。
入侵檢測系統可以很容易的與防火墻結合，當發現有攻擊行為時，過濾掉所有來自攻擊者的IP的數據。但是，不恰當的反應很容易帶來新的問題，一個典型的例子便是：攻擊者假冒大量不同的IP進行模擬攻擊，而IDS系統自動配置防火墻將這些實際上并沒有進行任何攻擊的地址都過濾掉，于是形成了新的拒絕訪問攻擊（DOS）。
8.對IDS自身的攻擊。
和其他系統一樣，IDS本身也往往存在安全漏洞。如果查詢bugtraq的郵件列表，諸如Axent NetProwler,NFR,ISS Realsecure等知名產品都有漏洞被發覺出來。若對IDS攻擊成功，則直接導致其報警失靈，入侵者在其后所作的行為將無法被記錄。（這也是為什么安全防衛必須多樣化的原因之一。）
9.大量的誤報和漏報使得發現問題的真正所在非常困難。
采用當前的技術及模型，完美的入侵檢測系統無法實現。參考文獻[1]中提到了若干種逃避IDS檢測的辦法，這種現象存在的主要原因是：
IDS必須清楚的了解所有操作系統網絡協議的運作情況，甚至細節，才能準確的進行分析，否則[1]中提到的insertion,evasion的問題便無法解決。而不同操作系統之間，甚至同一操作系統的不同版本之間對協議處理的細節均有所不同。而力求全面則必然違背IDS高效工作的原則。
10.客觀的評估與測試信息的缺乏。
11.交換式局域網造成網絡數據流的可見性下降，同時更快的網絡使數據的實時分析越發困難。
第四章 結論
未來的入侵檢測系統將會結合其它網絡管理軟件，形成入侵檢測、網絡管理、網絡監控三位一體的工具。強大的入侵檢測軟件的出現極大的方便了網絡的管理，其實時報警為網絡安全增加了又一道保障。盡管在技術上仍有許多未克服的問題，但正如攻擊技術不斷發展一樣，入侵的檢測也會不斷更新、成熟。同時，正如本文一開始便提到的，網絡安全需要縱深的、多樣的防護。即使擁有當前最強大的入侵檢測系統，如果不及時修補網絡中的安全漏洞的話，安全也無從談起。
參考文獻
[1]《Insertion, Evasion, and Denial of Service:Eluding Network Intrusion Detecti
on》
Thomas H. Ptacektqbf@securenetworks.com
Timothy N. Newsham　newsham@securenetworks.com
Secure Networks, Inc.
January, 1998
[2]《An Introduction to Intrusion Detection& ASSESSMENT》
ICSA, Inc.
[3]《State of the Practice of Intrusion Detection　Technologies》
Julia Allen， Alan Christie， William Fithen， John McHugh，Jed Pickel ，
Ed Stoner等
January 2000
[4]《IDS Buyer’s Guide》
ICSA lab
[5]《IDS FAQ》
Robert Graham (nids-faq@RobertGraham.com)
March 21, 2000
[6]《Network Based Intrusion Detection-A review of technologies》
DENMAC SYSTEMS, INC
NOVEMBER 1999
[7]《Next Generation Intrusion Detection in High-Speed Networks》
Network Associates
[8]《Intrusion Detection Message Exchange Requirements》
Internet-Draft　Internet Engineering Task Force
Wood, M.　 Internet Security Systems
October, 1999
[9]《Intrusion Alert Protocol - IAP》
Internet DraftInternet Engineering Task Force
Gupta　Hewlett-Packard
March 31, 2000
[10]《Building Into The Linux Network Layer 》
kossak , lifeline
Phrack Magazine　Vol. 9 , Issue 55 , 09.09.99 , 12 of 19
[11]《Watcher》
hyperion 〈hyperion@hacklab.com〉
Phrack Magazine　 Volume 8, Issue 53 July 8, 1998, article 11 of 15
[12]《Designing and Attacking Port Scan Detection Tools》
solar designer 〈solar@false.com〉
Phrack Magazine　 Volume 8, Issue 53 July 8, 1998, article 13 of 15
[13]《The Art of Port Scanning》
Fyodor 〈fyodor@dhp.com〉
Phrack Magazine　 Volume 7, Issue 51 September 01, 1997, article 11 of 17
[14]《Remote OS detection via TCP/IP Stack FingerPrinting》
Fyodor (www.insecure.org)
October 18, 1998
[15]《UNIX network programming》
W.Richard Stevens
ISBN 7-302-02942-3
[16]《Developing linux application with GTK+ and GDK》
Eric Harlow
ISBN 7-5053-5680-1
[17] 《The Common Intrusion Detection Framework Architecture》
Phil Porras, SRI
Dan Schnackenberg, Boeing
Stuart Staniford-Chen, UC
Davis, editor
Maureen Stillman, Oddysey Research
Felix Wu, NCSU
[18]《 A Common Intrusion Detection Framework》
Clifford Kahn, Phillip A. Porras ,Stuart Staniford-Chen ,Brian Tung
15 July 1998
原作者：yawl