作者：金波吴 咏炜 邹淳

　　系统风险与入侵检测

　　计算机网络的安全是一个国际化的问题，每年全球因计算机网络的安全系统被破坏而造成的经济损失达数百亿美元。进入新世纪之后，上述损失将达2000亿美元以上。

　　政府、银行、大企业等机构都有自己的内网资源。从这些组织的网络办公环境可以看出，行政结构是金字塔型，但是局域网的网络管理却是平面型的，从网络安全的角度看，当公司的内部系统被入侵、破坏与泄密是一个严重的问题，以及由此引出的更多有关网络安全的问题都应该引起我们的重视。据统计，全球80%以上的入侵来自于内部。此外，不太自律的员工对网络资源无节制的滥用对企业可能造成巨大的损失。

　　当商户、银行与其他商业与金融机构在电子商务热潮中纷纷进入Internet，以政府上网为标志的数字政府使国家机关与Internet互联。通过Internet实现包括个人、企业与政府的全社会信息共享已逐步成为现实。随着网络应用范围的不断扩大，对网络的各类攻击与破坏也与日俱增。无论政府、商务，还是金融、媒体的网站都在不同程度上受到入侵与破坏。网络安全已成为国家与国防安全的重要组成部分，同时也是国家网络经济发展的关键。

　　据统计：信息窃贼在过去5年中以250%速度增长，99%的大公司都发生过大的入侵事件。世界著名的商业网站，如Yahoo、Buy、EBay、Amazon、CNN都曾被黑客入侵，造成巨大的经济损失。甚至连专门从事网络安全的RSA网站也受到黑客的攻击。

　　对入侵攻击的检测与防范、保障计算机系统、网络系统及整个信息基础设施的安全已经成为刻不容缓的重要课题。

　　网络安全是一个系统的概念，有效的安全策略或方案的制定，是网络信息安全的首要目标。网络安全技术主要有，认证授权、数据加密、访问控制、安全审计等。本文着重讨论的入侵检测技术是安全审计中的核心技术之一，是网络安全防护的重要组成部分。

　　入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。违反安全策略的行为有：入侵—非法用户的违规行为；滥用—用户的违规行为。

　　利用审计记录，入侵检测系统能够识别出任何不希望有的活动，从而达到限制这些活动，以保护系统的安全。入侵检测系统的应用，能使在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中，能减少入侵攻击所造成的损失。在被入侵攻击后，收集入侵攻击的相关信息，作为防范系统的知识，添加入知识库内，以增强系统的防范能力。

　　入侵检测产品分析

　　1.入侵检测产品

　　经过几年的发展，入侵检测产品开始步入快速的成长期。一个入侵检测产品通常由两部分组成：传感器(Sensor)与控制台(Console)。传感器负责采集数据(网络包、系统日志等)、分析数据并生成安全事件。控制台主要起到中央管理的作用，商品化的产品通常提供图形界面的控制台，这些控制台基本上都支持Windows NT平台。

　　从技术上看，这些产品基本上分为以下几类：基于网络的产品和基于主机的产品。混合的入侵检测系统可以弥补一些基于网络与基于主机的片面性缺陷。此外，文件的完整性检查工具也可看作是一类入侵检测产品。

　　2.基于网络的入侵检测

　　基于网络的入侵检测产品(NIDS)放置在比较重要的网段内，不停地监视网段中的各种数据包。对每一个数据包或可疑的数据包进行特征分析。如果数据包与产品内置的某些规则吻合，入侵检测系统就会发出警报甚至直接切断网络连接。目前，大部分入侵检测产品是基于网络的。值得一提的是，在网络入侵检测系统中，有多个久负盛名的开放源码软件，它们是Snort、NFR、Shadow等，其中Snort的社区(http://www.snort.org)非常活跃，其入侵特征更新速度与研发的进展已超过了大部分商品化产品。

　　网络入侵检测系统的优点：

　　网络入侵检测系统能够检测那些来自网络的攻击，它能够检测到超过授权的非法访问。

　　一个网络入侵检测系统不需要改变服务器等主机的配置。由于它不会在业务系统的主机中安装额外的软件，从而不会影响这些机器的CPU、I/O与磁盘等资源的使用，不会影响业务系统的性能。

　　由于网络入侵检测系统不像路由器、防火墙等关键设备方式工作，它不会成为系统中的关键路径。网络入侵检测系统发生故障不会影响正常业务的运行。布署一个网络入侵检测系统的风险比主机入侵检测系统的风险少得多。

　　网络入侵检测系统近年内有向专门的设备发展的趋势，安装这样的一个网络入侵检测系统非常方便，只需将定制的设备接上电源，做很少一些配置，将其连到网络上即可。

　　网络入侵检测系统的弱点：

　　网络入侵检测系统只检查它直接连接网段的通信，不能检测在不同网段的网络包。在使用交换以太网的环境中就会出现监测范围的局限。而安装多台网络入侵检测系统的传感器会使布署整个系统的成本大大增加。

　　网络入侵检测系统为了性能目标通常采用特征检测的方法，它可以检测出普通的一些攻击，而很难实现一些复杂的需要大量计算与分析时间的攻击检测。

　　网络入侵检测系统可能会将大量的数据传回分析系统中。在一些系统中监听特定的数据包会产生大量的分析数据流量。一些系统在实现时采用一定方法来减少回传的数据量，对入侵判断的决策由传感器实现，而中央控制台成为状态显示与通信中心，不再作为入侵行为分析器。这样的系统中的传感器协同工作能力较弱。

　　网络入侵检测系统处理加密的会话过程较困难，目前通过加密通道的攻击尚不多，但随着IPv6的普及，这个问题会越来越突出。

　　3.基于主机的入侵检测

　　基于主机的入侵检测产品(HIDS)通常是安装在被重点检测的主机之上，主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。如果其中主体活动十分可疑(特征或违反统计规律)，入侵检测系统就会采取相应措施。

　　主机入侵检测系统的优点：

　　主机入侵检测系统对分析“可能的攻击行为”非常有用。举例来说，有时候它除了指出入侵者试图执行一些“危险的命令”之外，还能分辨出入侵者干了什么事：他们运行了什么程序、打开了哪些文件、执行了哪些系统调用。主机入侵检测系统与网络入侵检测系统相比通常能够提供更详尽的相关信息。

　　主机入侵检测系统通常情况下比网络入侵检测系统误报率要低，因为检测在主机上运行的命令序列比检测网络流更简单，系统的复杂性也少得多。

　　主机入侵检测系统可布署在那些不需要广泛的入侵检测、传感器与控制台之间的通信带宽不足的情况下。主机入侵检测系统在不使用诸如“停止服务”、“注销用户”等响应方法时风险较少。

　　主机入侵检测系统的弱点：

　　主机入侵检测系统安装在我们需要保护的设备上。举例来说，当一个数据库服务器要保护时，就要在服务器本身上安装入侵检测系统。这会降低应用系统的效率。此外，它也会带来一些额外的安全问题，安装了主机入侵检测系统后，将本不允许安全管理员有权力访问的服务器变成他可以访问的了。

　　主机入侵检测系统的另一个问题是它依赖于服务器固有的日志与监视能力。如果服务器没有配置日志功能，则必需重新配置，这将会给运行中的业务系统带来不可预见的性能影响。

　　全面布署主机入侵检测系统代价较大，企业中很难将所有主机用主机入侵检测系统保护，只能选择部分主机保护。那些未安装主机入侵检测系统的机器将成为保护的盲点，入侵者可利用这些机器达到攻击目标。

　　主机入侵检测系统除了监测自身的主机以外，根本不监测网络上的情况。对入侵行为的分析的工作量将随着主机数目增加而增加。

　　4.混合入侵检测

　　基于网络的入侵检测产品和基于主机的入侵检测产品都有不足之处，单纯使用一类产品会造成主动防御体系不全面。但是，它们的缺憾是互补的。如果这两类产品能够无缝结合起来部署在网络内，则会构架成一套完整立体的主动防御体系，综合了基于网络和基于主机两种结构特点的入侵检测系统，既可发现网络中的攻击信息，也可从系统日志中发现异常情况。

　　5.文件完整性检查

　　文件完整性检查系统检查计算机中自上次检查后文件变化情况。文件完整性检查系统保存有每个文件的数字文摘数据库，每次检查时，它重新计算文件的数字文摘并将它与数据库中的值相比较，如不同，则文件已被修改，若相同，文件则未发生变化。

　　文件的数字文摘通过Hash函数计算得到。不管文件长度如何，它的Hash函数计算结果是一个固定长度的数字。与加密算法不同，Hash算法是一个不可逆的单向函数。采用安全性高的Hash算法，如MD5、SHA时，两个不同的文件几乎不可能得到相同的Hash结果。从而，当文件一被修改，就可检测出来。在文件完整性检查中功能最全面的当属Tripwire，其开放源代码的版本可从www.tripwire.org中获得。

　　文件完整性检查系统的优点：

　　从数学上分析，攻克文件完整性检查系统，无论是时间上还是空间上都是不可能的。文件完整性检查系统是非常强劲的检测文件被修改的工具。实际上，文件完整性检查系统是一个检测系统被非法使用的最重要的工具之一。

　　文件完整性检查系统具有相当的灵活性，可以配置成为监测系统中所有文件或某些重要文件。

　　当一个入侵者攻击系统时，他会干两件事，首先，他要掩盖他的踪迹，即他要通过更改系统中的可执行文件、库文件或日志文件来隐藏他的活动；其它，他要作一些改动保证下次能够继续入侵。这两种活动都能够被文件完整性检查系统检测出。

　　文件完整性检查系统的弱点：

　　文件完整性检查系统依赖于本地的文摘数据库。与日志文件一样，这些数据可能被入侵者修改。当一个入侵者取得管理员权限后，在完成破坏活动后，可以运行文件完整性检查系统更新数据库，从而瞒过系统管理员。当然，可以将文摘数据库放在只读的介质上，但这样的配置不够灵活性。

　　做一次完整的文件完整性检查是一个非常耗时的工作，在Tripwire中，在需要时可选择检查某些系统特性而不是完全的摘要，从而加快检查速度。

　　系统有些正常的更新操作可能会带来大量的文件更新，从而产生比较繁杂的检查与分析工作，如，在Windows NT系统中升级MS-Outlook将会带来1800多个文件变化。

　　入侵检测技术分析

　　1.技术分类

　　入侵检测系统所采用的技术可分为特征检测与异常检测两种。

　　特征检测

　　特征检测(Signature-based detection)又称Misuse detection，这一检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来，但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。

　　异常检测

　　异常检测(Anomaly detection)的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统计规律时，认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。

　　2.常用检测方法

　　入侵检测系统常用的检测方法有特征检测、统计检测与专家系统。据公安部计算机信息系统安全产品质量监督检验中心的报告，国内送检的入侵检测产品中95%是属于使用入侵模板进行模式匹配的特征检测产品，其他5%是采用概率统计的统计检测产品与基于日志的专家知识库系产品。

　　特征检测

　　特征检测对已知的攻击或入侵的方式作出确定性的描述，形成相应的事件模式。当被审计的事件与已知的入侵事件模式相匹配时，即报警。原理上与专家系统相仿。其检测方法上与计算机病毒的检测方式类似。目前基于对包特征描述的模式匹配应用较为广泛。

　　该方法预报检测的准确率较高，但对于无经验知识的入侵与攻击行为无能为力。

　　统计检测

　　统计模型常用异常检测，在统计模型中常用的测量参数包括：审计事件的数量、间隔时间、资源消耗情况等。常用的入侵检测5种统计模型为：

　　●操作模型，该模型假设异常可通过测量结果与一些固定指标相比较得到，固定指标可以根据经验值或一段时间内的统计平均得到，举例来说，在短时间内的多次失败的登录很有可能是口令尝试攻击；

　　●方差，计算参数的方差，设定其置信区间，当测量值超过置信区间的范围时表明有可能是异常；

　　●多元模型，操作模型的扩展，通过同时分析多个参数实现检测；

　　●马尔柯夫过程模型，将每种类型的事件定义为系统状态，用状态转移矩阵来表示状态的变化，当一个事件发生时，或状态矩阵该转移的概率较小则可能是异常事件；

　　●时间序列分析，将事件计数与资源耗用根据时间排成序列，如果一个新事件在该时间发生的概率较低，则该事件可能是入侵。

　　统计方法的最大优点是它可以“学习”用户的使用习惯，从而具有较高检出率与可用性。但是它的“学习”能力也给入侵者以机会通过逐步“训练”使入侵事件符合正常操作的统计规律，从而透过入侵检测系统。

　　专家系统

　　用专家系统对入侵进行检测，经常是针对有特征入侵行为。所谓的规则，即是知识，不同的系统与设置具有不同的规则，且规则之间往往无通用性。专家系统的建立依赖于知识库的完备性，知识库的完备性又取决于审计记录的完备性与实时性。入侵的特征抽取与表达，是入侵检测专家系统的关键。在系统实现中，将有关入侵的知识转化为if-then结构(也可以是复合结构)，条件部分为入侵特征，then部分是系统防范措施。运用专家系统防范有特征入侵行为的有效性完全取决于专家系统知识库的完备性。

　　入侵检测产品选择要点

　　当您选择入侵检测系统时，要考虑的要点有：

　　1.系统的价格

　　当然，价格是必需考虑的要点，不过，性能价格比、以及要保护系统的价值可是更重要的因素。

　　2.特征库升级与维护的费用

　　象反病毒软件一样，入侵检测的特征库需要不断更新才能检测出新出现的攻击方法。

　　3.对于网络入侵检测系统，最大可处理流量(包/秒PPS)是多少

　　首先，要分析网络入侵检测系统所布署的网络环境，如果在512K或2M专线上布署网络入侵检测系统，则不需要高速的入侵检测引擎，而在负荷较高的环境中，性能是一个非常重要的指标。

　　4.该产品容易被躲避吗

　　有些常用的躲开入侵检测的方法，如：分片、TTL欺骗、异常TCP分段、慢扫描、协同攻击等。

　　5.产品的可伸缩性

　　系统支持的传感器数目、最大数据库大小、传感器与控制台之间通信带宽和对审计日志溢出的处理。

　　6.运行与维护系统的开销

　　产品报表结构、处理误报的方便程度、事件与事志查询的方便程度以及使用该系统所需的技术人员数量。

　　7.产品支持的入侵特征数

　　不同厂商对检测特征库大小的计算方法都不一样，所以不能偏听一面之辞。

　　8.产品有哪些响应方法

　　要从本地、远程等多个角度考察。自动更改防火墙配置是一个听上去很“酷”的功能，但是，自动配置防火墙可是一个极为危险的举动。

　　9.是否通过了国家权威机构的评测

　　主要的权威测评机构有：国家信息安全测评认证中心、公安部计算机信息系统安全产品质量监督检验中心。

　　入侵检测技术发展方向

　　无论从规模与方法上入侵技术近年来都发生了变化。入侵的手段与技术也有了“进步与发展”。入侵技术的发展与演化主要反映在下列几个方面：

　　入侵或攻击的综合化与复杂化。入侵的手段有多种，入侵者往往采取一种攻击手段。由于网络防范技术的多重化，攻击的难度增加，使得入侵者在实施入侵或攻击时往往同时采取多种入侵的手段，以保证入侵的成功几率，并可在攻击实施的初期掩盖攻击或入侵的真实目的。

　　入侵主体对象的间接化，即实施入侵与攻击的主体的隐蔽化。通过一定的技术，可掩盖攻击主体的源地址及主机位置。即使用了隐蔽技术后，对于被攻击对象攻击的主体是无法直接确定的。

　　入侵或攻击的规模扩大。对于网络的入侵与攻击，在其初期往往是针对于某公司或一个网站，其攻击的目的可能为某些网络技术爱好者的猎奇行为，也不排除商业的盗窃与破坏行为。由于战争对电子技术与网络技术的依赖性越来越大，随之产生、发展、逐步升级到电子战与信息战。对于信息战，无论其规模与技术都与一般意义上的计算机网络的入侵与攻击都不可相提并论。信息战的成败与国家主干通信网络的安全是与任何主权国家领土安全一样的国家安全。

　　入侵或攻击技术的分布化。以往常用的入侵与攻击行为往往由单机执行。由于防范技术的发展使得此类行为不能奏效。所谓的分布式拒绝服务(DDoS)在很短时间内可造成被攻击主机的瘫痪。且此类分布式攻击的单机信息模式与正常通信无差异，所以往往在攻击发动的初期不易被确认。分布式攻击是近期最常用的攻击手段。

　　攻击对象的转移。入侵与攻击常以网络为侵犯的主体，但近期来的攻击行为却发生了策略性的改变，由攻击网络改为攻击网络的防护系统，且有愈演愈烈的趋势。现已有专门针对IDS作攻击的报道。攻击者详细地分析了IDS的审计方式、特征描述、通信模式找出IDS的弱点，然后加以攻击。

　　今后的入侵检测技术大致可朝下述三个方向发展。

　　分布式入侵检测：第一层含义，即针对分布式网络攻击的检测方法；第二层含义即使用分布式的方法来检测分布式的攻击，其中的关键技术为检测信息的协同处理与入侵攻击的全局信息的提取。

　　智能化入侵检测：即使用智能化的方法与手段来进行入侵检测。所谓的智能化方法，现阶段常用的有神经网络、遗传算法、模糊技术、免疫原理等方法，这些方法常用于入侵特征的辨识与泛化。利用专家系统的思想来构建入侵检测系统也是常用的方法之一。特别是具有自学习能力的专家系统，实现了知识库的不断更新与扩展，使设计的入侵检测系统的防范能力不断增强，应具有更广泛的应用前景。应用智能体的概念来进行入侵检测的尝试也已有报道。较为一致的解决方案应为高效常规意义下的入侵检测系统与具有智能检测功能的检测软件或模块的结合使用。

　　全面的安全防御方案：即使用安全工程风险管理的思想与方法来处理网络安全问题，将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、入侵检测多方位全面对所关注的网络作全面的评估，然后提出可行的全面解决方案。

   短信节日传情奖中奖：数码相机、CD/VCD……大奖总值5万元！