入侵检测

    对于通过 络连接的系统来说，一个重要的安全问题是由用户或软件引起的恶意或者至少是不期望发生的非法入侵。用户非法入侵可能采用的方式是在未经授权的情况下登录到计算机，也可能是已授权用户非法获取更高级别的权限或进行其权限以外的操作。软件非法入侵可能采取的方式有病毒，蠕虫或特洛伊木马程序等。

入侵者

假冒者（masquerader）:指未经授权就使用计算机的人或穿透系统的访问控制机制而冒用合法用户账户的人

违法者（misfeasor）:指访问未经未经授权的数据，程序或资源的合法用户，或虽被授予访问权限，但却错误地使用这些特权的合法用户。

秘密者（clandestiner user）:获取了对系统的超级控制权，并使用此控制逃避审计和访问控制或者阻止生成审计记录的个人。

    假冒者可能是外部用户，违法者通常是内部用户，而秘密用户可能是外部用户也可以是内部用户。

【CRAN04】列出如下的入侵实例：

远程获取电子邮件服务器超级用户（root）权限

破坏Web服务器

猜测和破解口令

复制含有信用卡 等信息的数据库

在没有授权的情况下，查看敏感数据（包括工资记录和医疗信息等）

运行数据包嗅探器（sniffer），以捕获工作站上授权用户的用户名和口令

利用匿名FTP服务器的权限错误（permission error）发送盗版的软件和音乐文件

拨 到一个不安全的调制解调器并获取内部 络访问权

乔装成一个执行者，调用帮助平台，重新设置该执行者的电子邮件口令并学习新的口令。

在未被注意的情况下，未经许可登录工作站。

入侵者行为模型

入侵者的行为模式的一些实例

黑客：传统上，黑客入侵计算机是为了寻找刺激或者是为了提高其在领域中的地位。入侵检测系统（intrusion detection system,IDS）和入侵防护系统（intrusion prevention system,IPS）是专门为应对这种黑客威胁而设计的。随着入侵者问题认识的深入，众多的计算机紧急应急事件响应小组（CERT）已经建立起来。这些互相协作的组织收集有关系统漏洞的信息，并把这些信息发送给系统管理员。黑客们也习惯性的定期查看CERT 告。

犯罪：有组织的黑客群体已经成为基于Internet的系统最普遍的威胁。这些组织的成员可能是在公司或政府供职，但一般都松散地附属于一个黑客团体。一个典型的特点是，这些团伙的成员都很年轻，东欧，俄罗斯或东南亚的黑客通常是在Web上做生意。他们在地下论坛中碰面，以交换情 和数据，以及进行协作攻击。

内部攻击：内部攻击是最难检测和组织的。员工已经访问并了解了企业数据库的结构和内容。

入侵检测

安全入侵：一个安全事件或多个安全事件的组合构成一个安全事故（security incident）,在安全事故中入侵者在未经授权的情况下获取或尝试获取一个系统（或系统资源）的访问权限。

入侵检测：一种监控并分析系统事件的安全服务，目标是发现未经授权而访问系统资源的尝试活动，并提供实时或近似实时的 警。

IDS可分为如下几类：

基于主机的IDS：检测一台主机的特征和该主机发生的与可疑活动相关的事件

基于 络的IDS：检测特定的 段或设备道的流量并分析 络，传输和应用协议，用以识别可疑的活动。

IDS包括以下三个逻辑组件：

传感器（sensor）:传感器负责收集数据。传感器的输入可以是包含入侵证据的系统的任何一部分。传感器输入的类型包括 络数据包、日志文件和系统调用迹。传感器收集并向分析器转发这些信息。

分析器（analyzer）:分析器从一个或多个传感器或者其他分析器接收输入。分析器负责确定是否发生了入侵。此组件的输出表明是否发生了入侵。输出可以包含支持入侵发生结论的证据。分析器可以提供指导，用于判断什么活动是入侵导致的结果。

用户接口（user interface）：利用IDS的用户接口，用户可以查看系统输出或控制系统的行为。在某些系统中，用户接口可以看做是经理，主管或者控制台组件。

基本原理

    身份认证设备，访问控制设施和防火墙在阻断入侵方面都起到了一定作用。另一道防线是入侵检测。

入侵检测基于如下假设：入侵者的行为和合法用户的行为之间存在可以量化的差别。当然，我们不能期望入侵者的攻击和一个授权用户对资源的正常使用之间能够做到清晰，精确的区分。事实上，我们认为两者之间会有一些重叠的部分。

入侵检测技术

与基于主机的入侵检测一样，基于 络的入侵检测使用特征检测和异常检测技术。

特征检测【SCAR07】列出一下例子，这些例子的攻击类型都适用于特征检测：

• 应用层侦察和攻击：大多数NIDS技术都要分析几十个应用协议，包括动态主机配置协议（Dynamic Host Configuration Protocol, DHCP）、DNS、Finger、FTP、HTTP、Internet消息访问协议（Internet Message Access Protocol,IMAP）、Internet中继聊天（Internet Relay Chat,IRC）、 络文件系统（Network File System,NFS）、邮局协议（Post Office Protocol,POP）、rlogin/rsh、远程过程调用（Remote Procedure Call,RPC）、会话发起协议（Session Initiation Protocol,SIP）、消息服务块（Server Message Block,SMB）、SMTP、SNMP、Telent和简单文件传输协议（Trivial File Transfer Protocol，TFTP）以及数据库协议，即时消息应用和对等文件共享软件。NIDS主要查找已被标识为面向这些协议的攻击模式。攻击的实例包括缓冲区溢出、口令猜测和恶意软件传输等。
• 传输层侦查和攻击：NIDS分析TCP和UDP流量，也可能是其他传输层协议。攻击的例子有异常数据包碎片，易受攻击端口扫描和TCP特定攻击（如SYN洪泛）
• 络层侦查和攻击：NIDS在这一层通常分析IPv4、ICMP和IGMP。攻击的实例是IP地址欺骗和非法的IP首部值。
• 意外应用服务：NIDS试图确定传输连接上的活动是否与预期应用协议一致。一个实例是主机运行未经授权的应用服务。
• 策略违背：实例包括使用不恰当的Web站点和禁用的应用协议。

异常检测技术[SCAR07]列出以下实例，这类例子的攻击类型都适用于异常检测：

• 拒绝服务攻击（Dos）攻击：这种攻击涉及或者显著提高数据包流量，或显著增加连接尝试次数，试图搞垮目标系统。异常检测适用于此类攻击。
• 扫描：当攻击者通过发送不同种类的数据包探测目标 络或系统时，发生扫描攻击。使用从目标接收到的反馈，攻击者可以了解系统的许多特征和安全漏洞。因此，对攻击者来说，扫描攻击作为一种目标识别工具。通过应用层（如标题抓取（banner grabging））、传输层（如TCP和UDP端口扫描）和 络层（如ICMP扫描）的正常流模式，可以检测到扫描。
• 蠕虫：可以以多种方式检测到蠕虫在主机之间出传播。某些蠕虫快速传播并占用大量的带宽。还可以检测到蠕虫，因为他们导致通常不通信的主机相互通信，并且可能导致主机使用它们通常不使用的端口。很多蠕虫也执行扫描。

警 日志记录

    当传感器检测到潜在的危险时，它将发送一个警 并记录与记录与事件相关的信息。NIDS分析模块可以使用此信息来细化入侵检测参数和算法，安全管理员可以使用此信息来涉及保护技术。由NIDS传感器记录的典型信息如下：

    时间戳（通常是日期和时间）

    连接或会话ID

    时间或警 类型

    分级（如优先级，严重性，影响和信任等）

     络层、传输层和应用层协议

    源和目的IP地址

    源和目的TCP或UDP端口，或者ICMP类型和代码

    通过连接传输的字节数

    已解码的有效载荷数据，如应用程序请求和响应

    状态相关的信息（经过身份验证的用户名）