第 5 章　防火墙与入侵检测技术

第5章　防火墙与入侵检测技术 5.1　防火墙概述 5.1.1　防火墙的概念 1．防火墙的定义防火墙是指隔离本地网络与外界网络之间的一道防御系统。 2．使用防火墙的目的：（1）限制访问者进入被严格控制的点。（2）防止侵入者接近内部设施。（3）限制访问者离开被严格控制的点，有效的保护内部资源。（4）检查、过滤和屏蔽有害的服务。

3．防火墙的特征 典型的防火墙具有以下三个方面的基本特性：（1）所有进出网络的数据流都必须经过防火墙（2）只有符合安全策略的数据流才能通过防火墙（3）防火墙自身应具有非常强的抗攻击的能力

4.防火墙的局限性 （1）防火墙不能防范不经过防火墙的攻击。（2）防火墙不能解决来自内部网络的攻击和安全问题。（3）防火墙不能防止策略配置不当或错误配置引起的安全威胁。（4）防火墙不能防止可接触的人为或自然的破坏。（5）防火墙不能防止利用标准网络协议中的缺陷进行的攻击。（6）防火墙不能防止利用服务器系统漏洞所进行的攻击。（7）防火墙几乎不能防范病毒。（8）防火墙不能防止数据驱动式的攻击。（9）防火墙不能防止内部的泄密行为。（10）防火墙不能防止本身的安全漏洞的威胁。（11）防火墙不能防备全部的威胁。

5.1.2　防火墙的功能 1．防火墙的基本功能（1）防火墙是网络安全的屏障（2）防火墙可以强化网络安全策略（3）对网络存取和访问进行监控审计（4）防止内部信息的外泄 2．防火墙增值功能（1）内容过滤（2）虚拟专用网络（VPN）。（3）网络地址转换（NAT）。（4）负载均衡。（5）故障忍耐。（6）入侵检测。

5.2　防火墙技术 5.2.1　防火墙的类型 1．数据包过滤型防火墙数据包过滤（Packet Filtering）技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制表(Access Control Table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。数据包过滤防火墙逻辑简单，价格便宜，易于安装和使用，网络性能和透明性好，它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备，因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。分组过滤或包过滤，是一种通用、廉价、有效的安全手段。之所以通用，因为它不针对各个具体的网络服务采取特殊的处理方式；之所以廉价，因为大多数路由器都提供分组过滤功能；之所以有效，因为它能很大程度地满足企业的安全要求。所根据的信息来源于IP、TCP或UDP包头。

2．应用级网关 应用级网关(Application Level Gateways)是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。实际中的应用网关通常安装在专用工作站系统上。数据包过滤和应用网关防火墙有一个共同的特点，就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑，则防火墙内外的计算机系统建立直接联系，防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，这有利于实施非法访问和攻击。

3. 代理服务器型防火墙 代理服务(Proxy Service)也称链路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels)，也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”，由代理服务器上代理程序来实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。此外，代理服务也对过往的数据包进行分析、注册登记，形成报告，同时当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。应用代理型防火墙是内部网与外部网的隔离点，起着监视和隔绝应用层通信流的作用。同时也常结合过滤器的功能。它工作在OSI模型的最高层，掌握着应用系统中可用作安全决策的全部信息。

4. 复合型防火墙 由于对更高安全性的要求，常把基于包过滤的方法与基于应用代理的方法结合起来，形成复合型防火墙产品。这种结合通常是以下两种方案。屏蔽主机防火墙体系结构：在该结构中，分组过滤路由器或防火墙与Internet相连，同时一个堡垒主机安装在内部网络，通过在分组过滤路由器或防火墙上过滤规则的设置，使堡垒主机成为Internet上其它节点所能到达的惟一节点，这确保了内部网络不受未授权外部用户的攻击。屏蔽子网防火墙体系结构：堡垒机放在一个子网内，形成非军事区，两个分组过滤路由器放在这一子网的两端，使这一子网与Internet及内部网络分离。在屏蔽子网防火墙体系结构中，堡垒主机和分组过滤路由器共同构成了整个防火墙的安全基础。

5.2.2　防火墙的主要技术 1．包过滤技术（1）包过滤技术的原理包过滤技术的原理在于监视并过滤网络上流入流出的IP包，拒绝发送可疑的包。基于协议特定的标准，路由器在其端口能够区分包和限制包的能力叫包过滤（Packet Filtering）。由于Internet与Intranet的连接多数都要使用路由器，所以路由器成为内外通信的必经端口，过滤路由器也可以称作包过滤路由器或筛选路由器（Packet Filter Router）。防火墙常常就是这样一个具备包过滤功能的简单路由器，这种防火墙应该是足够安全的，但前提是配置合理。然而一个包过滤规则是否完全严密及必要是很难判定的，因而在安全要求较高的场合，通常还配合使用其他的技术来加强安全性。路由器逐一审查数据包以判定它是否与其他包过滤规则相匹配。

（2）包过滤路由器的优点 1）简单实用。 2）速度快、效率高。 3）包过滤路由器对用户和应用来讲是透明的（3）包过滤路由器的局限性 1）定义包过滤器规则是一项复杂的工作 2）路由器包的吞吐量随过滤数目的增加而减少。 3）不能彻底防止地址欺骗。 4）一些应用协议不适合于数据包过滤，即使是完美的数据包过滤，也会发现一些协议不很适合于经由数据包过滤的安全保护。 5）正常的数据包过滤路由器无法执行某些安全策略。 6）一些包过滤路由器不提供任何日志能力。 7）面对复杂的过滤需求，任何直接经过路由器的数据包都有被用做数据驱动式攻击的潜在危险。 8）IP包过滤难以进行行之有效的流量控制。

2．代理服务技术 （1）代理服务原理代理服务是运行在防火墙主机上的一些特定的应用程序或者服务器程序，它是基于软件的过滤数据包的防火墙。代理服务具有网络地址转换（NAT）的功能，NAT对所有内部地址作转换，使外部网络无法了解内部网络的内部结构，同时使用NAT的网络，与外部网络的连接只能由内部网络发起，极大地提高了内部网络的安全性。NAT的另一个的用途是解决IP地址匮乏问题。防火墙利用NAT技术，不同的内部主机向外连接时可以使用相同的IP地址；而内部网络内的计算机互相通信时则使用内部IP地址。两个IP地址不会发生冲突，内部网络对外部网络来说是透明的，防火墙能详尽记录每一个主机的通信，确保每个分组送往正确的地址。代理防火墙对互联网暴露，又是内部网络用户的主要连接点。代理程序将用户对互联网络的服务请求依据已制定的安全规则向外提交。代理服务替代了用户与互联网络的连接。在代理服务中，内外各个站点之间的连接被切断了，都必须经过代理方才能相互连通。代理服务在幕后操纵着站点间的连接。

（2）代理技术的优点 1）代理易于配置 2）代理能生成各项记录 3）代理能灵活、完全地控制进出流量、内容 4）代理能过滤数据内容 5）代理能为用户提供透明的加密机制 6）代理可以方便地与其他安全手段集成

（3）代理技术的缺点 1）代理速度较路由器慢 2）代理对用户不透明 3）对于每项服务代理可能要求不同的服务器 4）代理服务通常要求对客户、过程之一或两者进行限制 5）代理服务不能保证免受所有协议弱点的限制 6）代理不能改进底层协议的安全性

5.2.3　防火墙的常见体系结构 1．双宿主主机体系结构双宿主主机体系结构是围绕具有双重宿主的主机而构筑的，该主机至少有两个网络接口，位于内部网络和外部网络之间。双宿主主机实际上是一台拥有两个IP地址的计算机或服务器，为内、外部网络所共有，起到隔离内、外部网络的功能。双宿主主机充当与这些接口相连的网络之间的路由器。防火墙内部的系统能与双宿主主机通信，防火墙外部的系统也能与双宿主主机通信，但是内部与外部之间不能直接相互通信。双宿主主机体系结构非常简单，一般通过代理来实现，或通过用户直接登录到该主机来提供服务。这种体系结构的缺点是，服务器简化了用户的访问过程，虽然可以做到对用户透明，但用户账号本身可能会带来很多的安全问题；注册登录机制也会让用户感到麻烦；同时，该结构的防火墙由单机构成，是没有冗余机制的“单失效点”，因此这种防火墙结构还是不完善的。

2．屏蔽主机体系结构 屏蔽主机体系结构防火墙由过滤路由器和运行网关软件的堡垒主机构成，在该体系结构中提供安全保护的堡垒主机安装在内部网络上，过滤路由器位于内部网络和外部网络之间，通常在路由器上设置过滤规则，并使该主机成为从外部网络惟一可直接到达的主机，以确保内部网络不被未授权的外部用户的攻击。堡垒主机与其它主机在同一子网，一旦被攻破或越过，整个内部网络和堡垒主机之间就再也没有任何阻挡了。它会完全暴露在外部网络之上，因此堡垒主机必须是高度安全的计算机系统。屏蔽主机防火墙实现了网络层和应用层的安全，因而比单独的包过滤或应用网关代理更安全。在该方式中，过滤路由器是否配置正确是关键，如果路由器被攻破，堡垒主机就可能被越过，使内部网络完全暴露。在屏蔽的路由器和防火墙上应该设置数据包过滤功能，配置的原则按下列之一执行：（1）允许其他的内部主机为了某些服务与外部网络上的主机连接（即允许那些已经由数据包过滤的服务）；（2）不允许来自内部主机的所有连接（强迫那些主机经由堡垒主机使用代理服务）。用户可以针对不同的服务混合使用这些手段，某些服务可以被允许直接经由数据包过滤，而其他服务可以被允许仅仅间接地经过代理。这完全取决于用户实行的安全策略。

3．屏蔽子网体系结构 屏蔽子网体系结构通过添加额外的安全机制到屏蔽主机体系结构之中，即通过添加参数网络更进一步地把内部网络与Internet隔离开。在这种结构下，即使堡垒主机被攻破，也不能直接侵入到内部网络，因为还内部路由器这一道障碍。如图5-5所示。堡垒主机是最容易受到侵袭的设备，也是能够被攻破的设备。在屏蔽主机体系结构中，堡垒主机是非常诱人的攻击目标。如果它与其他内部机器之间没有其他的防御手段时，一旦攻击者成功地侵入堡垒主机，那么就会毫无阻挡地进入到内部网络。通过在参数网络上隔离堡垒主机，可以减少堡垒主机被侵入的几率，因为它只给入侵者有限的访问机会，而不是全部。屏蔽子网体系结构最简单的形式是由两个屏蔽路由器构成的，每一个都连接到参数网络。一个位于参数网络与内部的网络之间，另一个位于参数网络与外部网络之间。如果想要侵入到内部网络，攻击者不得不通过两个路由器。即使攻击者有能力侵入堡垒主机，他仍将面临内部路由器这道屏障。这样，整个网络的安全机制就不会因一点被攻击破而全部瘫痪。

5.3　防火墙的设计5.3.1　防火墙的设计 1．设计防火墙的一般原则设计和选用防火墙首先要明确哪些数据是必须保护的，这些数据被入侵会导致什么样的后果及网络不同区域需要什么等级的安全级别。不管采用原始设计还是使用现成的防火墙，对于管理员来说，要根据安全级别确定防火墙的安全标准。其次，设计或选用防火墙必须与网络接口匹配，要尽量防止所能想到的威胁。防火墙可以是软件或硬件模块，并能集成于网桥、网关、路由器等设备之中。在实际应用中，应当从安全策略出发，选择最适合于本企业的防火墙产品。如果从不明确的思想开始，而且没有一个打算做什么的清楚概念，则是很危险的。相反，如果有了采用适当的安全级别和特别设计出来的防火墙，入侵者对网络的入侵就必须付出昂贵的时间和金钱的代价，而且容易暴露并将面临较大的风险。

2．防火墙设计策略 有两级网络政策会直接影响防火墙系统的设计、安装和使用。高级政策是网络访问政策，它用来定义那些受限制的网络许可或明确拒绝的服务，如何使用这些服务以及这种政策的例外条件。低级政策描述防火墙实际上如何尽力限制访问，并过滤在高层政策所定义的服务。（1）服务访问策略 Internet防火墙是机构总体安全策略的一部分，机构总体安全策略定义了安全防御的方方面面。为确保成功，机构必须知道其所要保护的是什么。安全策略必须建立在精心进行的安全分析、风险评估以及商业需求分析基础之上。如果机构没有详尽的安全策略，无论如何精心构建的防火墙都会被绕过去。服务访问政策应当是整个机构有关保护机构信息资源政策的延伸。要使防火墙取得成功，服务访问政策必须既切合实际，又稳妥可靠，而且应当在实施防火墙前草拟出来。切合实际的政策是一个平衡的政策，既能防护网络免受已知风险，而且仍能使用户利用网络资源。防火墙可以实施各种不同的服务访问政策。一个典型的政策可以不允许从Internet访问内部网点，但要允许从内部网点访问Internet。另一个典型政策是允许从Internet进行某些访问，但是或许只许可访问经过选择的系统，如Web服务器和电子邮件服务器。防火墙常常实施允许某些用户从Internet访问经过选择的内部主系统的服务访问政策，但是，这种访问只是在必要时，而且只能与认证措施组合时才允许进行。

（2）设计策略 防火墙设计策略是防火墙专用的，它定义用来实施服务访问策略的规则，阐述了一个机构对安全的看法。Internet防火墙可能会扮演两种截然相反的姿态。 1）拒绝除明确许可以外的任何一种服务，即拒绝一切未予特许的东西。需要确定所有可以被提供的服务以及它们的安全特性，然后，开放这些服务，并将所有其他未被列入的服务排斥在外，禁止访问。 2）允许除明确拒绝以外的任何一种服务，即允许一切未被特别拒绝的东西。需要确定那些认为是不安全的服务，禁止其访问；而其他服务则被认为是安全的，允许访问。第一种比较保守，这是一个受推荐的方案，因为它能提供一个非常安全的环境。但是，能穿过防火墙的服务，无论在数量上还是类型上，都受到很大的限制。第二种则较灵活，可以提供较多的服务。由于将易使用这个特点放在了安全性的前面，所以存在的风险较大。当受保护网络的规模增大时，很难保证网络的安全。

5.3.2　防火墙设计案例 1．应用背景某一大型公司网络拥有自己的FTP、HTTP以及E-Mail服务器。目前主要存在的问题是：网络运行效率低，网络安全管理几乎处于失控状态，一些保密数据，无法得到安全控制、病毒和拒绝服务等现象经常发生。为此，该公司决定寻求一个针对该网络的信息安全方案，重点要求： * 重要数据的安全控制。 * 对上网用户进行控制管理，限时限量。 * 内外网均可以通过公司的Mail服务器收发邮件，自由访问Web服务器。 2．安全需求分析该公司的网络信息系统，应解决以下的安全问题： * 局域网内部安全问题。 * 连接Internet时网络层的安全。 * 防止黑客入侵。 * 广域网信息传输的保密性。 * 远程访问的安全性。 * 评估网络的整体安全性。

3．方案设计 在安全方案设计中，防火墙应具有非常好的包过滤功能、代理功能、地址转换功能、地址绑定功能、时间段控制访问功能、防止IP地址欺骗功能、DMZ功能、VPN功能等，以及高速稳定、安全可靠、兼容性好等特点，以满足网络系统的需求，实现网络系统统一的安全策略，确保网络系统安全有效地运行。针对网络系统当前的现状，可以把网络的安全需求分为两级，首先是内部网包括主域控制器、备份域控制器、所有工作站的安全应当放在第一位的，然后是E-Mail、WWW、FTP等对外网提供服务的服务器的安全。根据这个思路，设计的网络安全解决方案及其结构示意图。防火墙的流量管理控制模块针对内网客户机配置流量访问控制功能，达到对客户机访问Internet管理和某些异常流量变化情况的监控。如：可以分别对IP地址配置访问流量，达到限定流量后将禁止此IP地址对Internet的访问；可以对设定的IP地址进行流量日志统计，达到监控的目的。对外服务器接入方案：把所有对外提供服务的服务器，包括E-Mail、WWW、FTP等服务器接在防火墙的DMZ管理区，进行集中管理，对每台服务器作相应的控制访问策略。如只允许访问HTTP服务器的WWW服务，其余访问被禁止；允许FTP访问通过防火墙，其余服务禁止等。客户机接入方案：内部用户在访问Internet时，通过防火墙的地址转换技术，将内部网络地址转换成有效的外网地址，达到访问Internet的目的；对Internet某些授权的用户访问内部网络，可通过防火墙的地址映射技术，将外部Internet用户对防火墙的访问映射到内部网络的固定客户机上。这样就可以实现内、外网用户分别发起的访问。

4．经验和教训 防火墙只是一种信息安全技术，安全策略才是防火墙使用中的核心问题。使用防火墙时除选购合适的防火墙外，更重要的是用好防火墙，如果使用不合理，病毒和黑客就可以通过系统漏洞或者其他手段避开防火墙，内部人员管理不完善也有可能使得防火墙形同虚设。此外，为了提高防火墙的安全性，防火墙还需要和其他安全技术（如IDS）相配合使用，也要注意防火墙的升级、维护和及时更新。 5.3.3　防火墙的发展趋势 1．防火墙技术的发展趋势随着新的网络攻击的出现，防火墙技术也有一些新的发展趋势。这主要可以从包过滤技术、防火墙体系结构和防火墙系统管理三方面来体现。

（2）防火墙的体系结构发展趋势 随着网络应用的增加，对网络带宽提出了更高的要求。这意味着防火墙要能够以非常高的速率处理数据。另外，在以后几年里，多媒体应用将会越来越普遍，它要求数据穿过防火墙所带来的延迟要足够小。为了满足这种需要，一些防火墙制造商开发了基于ASIC的防火墙和基于网络处理器的防火墙。从执行速度的角度看来，基于网络处理器的防火墙也是基于软件的解决方案，它需要在很大程度上依赖于软件的性能，但是由于这类防火墙中有一些专门用于处理数据层面任务的引擎，从而减轻了CPU的负担，该类防火墙的性能要比传统防火墙的性能好许多。与基于ASIC的纯硬件防火墙相比，基于网络处理器的防火墙具有软件色彩，因而更加具有灵活性。基于ASIC的防火墙使用专门的硬件处理网络数据流，因此具有更好的性能。但是纯硬件的ASIC防火墙缺乏可编程性，这就使得它缺乏灵活性，从而跟不上防火墙功能的快速发展。理想的解决方案是增加ASIC芯片的可编程性，使其与软件更好地配合。这样的防火墙就可以同时满足来自灵活性和运行性能的要求。

（3）防火墙的系统管理发展趋势 防火墙的系统管理的发展趋势，主要体现在： 1）集中式管理，分布式和分层的安全结构是将来的趋势。集中式管理可以降低管理成本，并保证在大型网络中安全策略的一致性。快速响应和快速防御也要求采用集中式管理系统。 2）强大的审计功能和自动日志分析功能。这两点的应用可以更早地发现潜在的威胁并预防攻击的发生。日志功能还可以帮助管理员有效地发现系统中存的安全漏洞，及时地调整安全策略等各方面管理具有非常大的帮助。不过具有这种功能的防火墙通常是比较高级的，早期的静态包过滤防火墙是不具有的。 3）网络安全产品的系统化。随着网络安全技术的发展，现在有一种提法，叫做“建立以防火墙为核心的网络安全体系”。因为在现实中现有的防火墙技术难以满足当前网络安全需求。通过建立一个以防火墙为核心的安全体系，就可以为内部网络系统部署多道安全防线，各种安全技术各司其职，从各方面防御外来入侵。如IDS设备就能很好地与防火墙一起联合使用。

2．分布式防火墙技术 目前，分布式防火墙技术已在逐渐兴起，并在国外一些大的网络设备开发商中得到了实现，由于其优越的安全防护体系，符合未来的发展趋势，所以这一技术一出现便得到许多用户的认可和接受。（1）分布式防火墙的产生分布式防火墙是一种主机驻留式的安全系统，它是以主机为保护对象，其设计理念是主机以外的任何用户访问都是不可信任的，都需要进行过滤。它通常用于保护网络中的关键节点服务器、数据及工作站免受非法入侵的破坏。分布式防火墙负责对网络边界、各子网和网络内部各节点之间的安全防护，所以“分布式防火墙”是一个完整的系统，而不是单一的产品。（2）分布式防火墙的主要特点 1）主机驻留；2）嵌入操作系统内核；3）类似于个人防火墙； 4）适用于服务器托管。（3）分布式防火墙的主要优势 1）增强的系统安全性；2）提高了系统性能。消除了结构性瓶颈问题，提高了系统性能；3）系统的扩展性；4）实施主机策略；5）应用更为广泛，支持VPN通信。

5.4　入侵检测技术 5.4.1　入侵检测概述 1．入侵检测的概念入侵检测是对入侵行为的检测，它通过收集和分析计算机网络或计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合称为入侵检测系统（Intrusion Detection System，IDS）。入侵监测系统处于防火墙之后对网络活动进行实时检测，是防火墙的延续。入侵监测系统与系统扫描器不同。系统扫描器是根据攻击特征数据库来扫描系统漏洞的，它更关注配置上的漏洞，而不是当前进出主机的流量。在遭受攻击的主机上，即使正在运行着扫描程序，也无法识别这种攻击。入侵检测系统则扫描当前网络的活动，监视和记录网络的流量，根据定义好的规则来过滤从主机网卡到网线上的流量，提供实时报警。 2．入侵检测的发展

3．入侵检测系统的功能 入侵检测系统是一种积极主动的安全防御设备，它具的主要功能：（1）监测、记录并分析用户和系统的活动，查找非法用户和合法用户的越权操作，防止网络入侵事件的发生。（2）识别已知的攻击行为，统计分析异常行为，检测其它安全措施未能阻止的攻击或安全违规行为。（3）检测黑客在攻击前的探测行为，报告计算机系统或网络中存在的安全威胁，预先给管理员发出警报。（4）核查系统配置和漏洞，帮助管理员诊断网络中存在的安全弱点，并提示管理员修补漏洞。（5）在复杂的网络系统中部署入侵检测系统，可以提高网络安全管理的效率和质量。（6）评估系统关键资源和数据文件的完整性。（7）操作系统日志管理，并识别违反安全策略的用户活动等。。

5.4.2　入侵检测系统的分类 入侵检测系统分类的方法也有很多种，通常有以下三种： 1．根据检测的信息源分类（1）基于主机的入侵检测系统（HIDS）基于主机的入侵检测系统的信息源是系统审计日志。基于主机的入侵检测系统通常是安装在被重点检测的主机之上，即在每个要保护的主机上运行一个代理程序，主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。监视操作系统或系统事件级别的可疑活动，寻找潜在的可疑活动，并采取相应措施。基于主机的IDS使用可迅速做出响应的检测技术。通过监控系统、事件和Window NT下的安全记录以及UNIX环境下的系统记录。将新的记录条目与攻击标记相比较，如果匹配，系统就会采取报警等措施。基于主机的入侵检测系统的特点是：主机型入侵检测系统通常情况下比网络型入侵检测系统误报率要低，因为检测在主机上运行的命令序列比检测网络流更简单，系统的复杂性也少得多。主机型入侵检测系统安装在需要保护的设备上，这会降低应用系统的效率。主机型入侵检测系统依赖于服务器固有的日志与监视能力，如果服务器没有配置日志功能，则必需重新配置，这将会给运行中的业务系统带来不可预见的性能影响。

（2）基于网络的入侵检测系统 基于网络的入侵检测系统的信息源来自于网络。该类系统一般被动地在网络上监听整个网段上的信息流，通过捕获网络数据包，分析可疑现象，以检测该网段上发生的网络入侵。基于网络型入侵检测系统的特点是：基于网络型入侵检测系统不需要改变服务器等主机的配置。由于它不会在主机中安装额外的软件，对主机资源的消耗少，所以不会影响主机系统的性能。基于网络的入侵检测系统只检查与它直接相连的共享网段，而对其它网段则鞭长莫及，在交换式以太网的环境中就会出现监测范围的局限，而安装多台网络型入侵检测系统的传感器会使整个系统运行的成本大大增加。（3）分布式入侵检测系统分布式入侵检测系统一般由分布在各主机或者各子网的自治代理组成，各代理之间的关系是平行和独立的。每一个代理都能根据自身在本地环境中形成的独有的决策规划对所收集的数据进行分析和决策，在必要时也可以在中心的控制下各代理之间相互协作，进行数据汇总、分析、产生入侵警报等，以便做出更全面和更准确的结论。这种结构不仅可以检测到针对单独主机的入侵，同时也可以检测到针对整个网络上主机的入侵。

2．根据工作方式分类 （1）离线检测系统离线检测系统是非实时工作的系统，它在事后分析审计事件，从中检查入侵活动。（2）在线检测系统在线检测系统是实时联机的检测系统，它包含对实时网络数据包分析以及实时主机审计分析。基于网络型入侵检测系统的特点是：基于网络型入侵检测系统不需要改变服务器等主机的配置。由于它不会在主机中安装额外的软件，对主机资源的消耗少，所以不会影响主机系统的性能。基于网络的入侵检测系统只检查与它直接相连的共享网段，而对其它网段则鞭长莫及，在交换式以太网的环境中就会出现监测范围的局限，而安装多台网络型入侵检测系统的传感器会使整个系统运行的成本大大增加。

3．根据检测原理分类 传统的观点根据入侵行为的属性将其分为异常和滥用两种，然后分别对其建立异常检测模型和滥用检测模型。近年来又涌现出了一些新的检测方法，它们产生的模型对异常和滥用都适用，如人工免疫方法、遗传算法、数据挖掘等。根据系统所采用的检测模型，将IDS分为三类。（1）异常检测（Abnormal Detection）在异常检测中，观察到的不是已知的入侵行为，而是所研究的通信过程中的异常现象，它通过检测系统的行为或使用情况的变化来完成。在建立该模型之前，首先必须建立统计概率模型，明确所观察对象的正常情况，然后决定在何种程度上将一个行为标为"异常"，并如何做出具体决策。异常检测只能识别出那些与正常过程有较大偏差的行为，而无法知道具体的入侵情况。由于对各种网络环境的适应性不强，且缺乏精确的判定准则，异常检测经常会出现虚警情况。　异常检测可以通过以下系统实现。 * 自学习系统。自学习系统通过学习事例构建正常行为模型，又可分为时序和非时序两种。 * 编程系统。该类系统需要通过编程学习如何检测确定的异常事件，从而让用户知道什么样的异常行为足以破坏系统的安全。编程系统可以再细分为描述统计和缺省否认两种。

（2）滥用检测 滥用检测又称特征检测，它假定所有入侵行为和手段（及其变种）都能够表达为一种模式或特征，那么所有已知的入侵方法都可以用匹配的方法发现。模式发现的关键是如何表达入侵的模式，把真正的入侵与正常行为区分开来。模式发现的优点是误报少，局限是它只能发现已知的攻击，对未知的攻击无能为力。滥用检测通过对确知决策规则编程实现，可以分为以下四种： * 状态建模。它将入侵行为表示成许多个不同的状态。如果在观察某个可疑行为期间，所有状态都存在，则判定为恶意入侵。状态建模从本质上来讲是时间序列模型，可以再细分为状态转换和Petri网，前者将入侵行为的所有状态形成一个简单的遍历链，后者将所有状态构成一个更广义的树形结构的Petri网。 * 专家系统。它可以在给定入侵行为描述规则的情况下，对系统的安全状态进行推理。一般情况下，专家系统的检测能力强大，灵活性也很高，但计算成本较高，通常以降低执行速度为代价。 * 串匹配。它通过对系统之间传输的或系统自身产生的文本进行子串匹配实现。该方法灵活性欠差，但易于理解，目前有很多高效的算法，其执行速度很快。 * 基于简单规则。类似于专家系统，但相对简单一些，故执行速度快。

（3）混合检测 混合检测也有人称其为“启发式特征检测”，近年来混合检测日益受到人们的重视。它通常根据系统的正常数据流背景来检测入侵行为，在做出决策之前，既分析系统的正常行为，同时还观察可疑的入侵行为，所以判断更全面、准确、可靠。 Wenke Lee从数据挖掘得到启示，开发出了一个混合检测器RIPPER。它并不为不同的入侵行为分别建立模型，而是首先通过大量的事例学习什么是入侵行为以及什么是系统的正常行为，发现描述系统特征的一致使用模式，然后再形成对异常和滥用都适用的检测模型。

5.4.3　入侵检测系统的结构 1．Denning的通用入侵检测模型最早的通用入侵检测模型由Denning于1987年提出，如图5-7所示。该模型假设：入侵行为明显区别于正常的活动，入侵者使用系统的模式不同于正常用户的使用模式，通过监控系统的跟踪记录，可以识别入侵者异常使用系统的模式，从而检测出入侵者违反系统安全性的情况。 Denning的模型中有6个主要构件：主体、对象、审计记录、轮廓特征、异常记录和行为规则。特征轮廓表示主体的行为特色，也是模型检测方面的关键。行为规则描述系统验证一定条件后抽取的行为，检测异常行为，能把异常和可能的入侵关联起来并提出报告。审计记录由一个行为触发，而且记录主体尝试的行为、行为本身、行动对准的目标、任何可能导致例外的情况以及行为消耗的资源和独特的时间戳标记。审计记录会和范型进行比较（使用适当的规则），那些符合异常条件的事件将被识别出来。这个模型独立于特定的系统平台、应用环境、系统弱点以及入侵的类型，也不需要额外的关于安全机制、系统脆弱性或漏洞攻击方面的知识，他为构建入侵监测系统提供了一个通用的框架。

2．SRI/CSL的IDES模型 1988年，SRI/CSL的Tersa Lunt等人改进了Denning的入侵检测模型，并开发了一个IDES（Instrusion-Detection Expert System）。IDES模型基于这样的假设：有可能建立一个框架来描述发生在主体（通常是用户）和客体（通常是文件、程序或设备）之间的正常的交互作用。这个框架由一个使用规则库（规则库描述了已知的违例行为）的专家系统支持。该系统包括一个异常检测器和一个专家系统，分别用于统计异常模型的建立和基于规则的特征分析检测。

3．CIDF模型 CIDF阐述了一个入侵检测系统（IDS）的通用模型。它将一个入侵检测系统分为以下组件：（1）事件产生器E盒（Event generators） CIDF将IDS需要分析的数据统称为事件，它可以是网络中的数据包，也可以是从系统日志或其他途径得到的信息。事件产生器的任务是从入侵检测系统之外的计算环境中收集事件，并将这些事件转换成CIDF的GIDO（Generalized Intrusion Detection Objects，通用入侵检测对象）格式传送给其他组件。（2）事件分析器A盒（Event analyzers）事件分析器分析从其他组件收到的GIDO，并将产生的新GIDO再传送给其他组件。分析器可以是一个轮廓描述工具，统计性地检查现在的事件是否可能与以前某个事件来自同一个时间序列；也可以是一个特征检测工具，用于在一个事件序列中检查是否有已知的滥用攻击特征；此外，事件分析器还可以是一个相关器，观察事件之间的关系，将有联系的事件放到一起，以利于以后的进一步分析。（3）事件数据库D盒（Event databases）用于存储GIDO，以备系统需要的时候使用。（4）响应单元R盒（Responseunits）响应单元处理收到的GIDO，并据此采取相应的措施，如杀死相关进程、将连接复位、修改文件权限等。

5.4.4　入侵检测系统的分析方法 1．异常入侵检测技术异常检测（Anomaly Detection）指的是根据非正常行为（系统或用户）和使用计算机资源非正常情况检测出入侵行为。异常入侵要解决的问题就是构造异常活动集，并从中发现入侵性活动子集。异常入侵检测方法依赖于异常模型的建立，不同模型就构成不同的检测方法。异常检测通过观测到的一组测量值偏离度来预测用户行为的变化，然后做出决策判断的检测技术。异常检测指根据使用者的行为或资源使用状况来判断是否入侵，而不依赖于具体行为是否出现来检测，检测与系统相对无关，通用性较强。它甚至有可能检测出以前未出现过的攻击方法，不像基于知识的检测（滥用检测）那样受已知脆弱性的限制。但因为不可能对整个系统内的所有用户行为进行全面的描述，况且每个用户的行为是经常改变的，所以它的主要缺陷在于误检率很高，尤其在用户数目众多，或工作目的经常改变的环境中。其次由于统计简表要不断更新，入侵者如果知道某系统在检测器的监视之下，他们能慢慢地训练检测系统，以致于最初认为是异常的行为，经一段时间训练后也认为是正常的了。基于行为的检测方法主要有概率统计（包括贝叶斯网络等）、预测模式、机器学习、神经网络、模糊技术等。

（1）概率统计检测方法 （2）基于特征选择检测方法（3）基于贝叶斯网络异常检测方法（4）基于模式预测异常检测方法（5）基于神经网络异常检测方法（6）基于贝叶斯聚类异常检测方法（7）基于机器学习异常检测方法（8）基于数据挖掘异常检测方法

2．滥用入侵检测技术 滥用检测（Misuse Detection）也称特征检测（Signature-based）或基于知识（Knowledge-based）的检测，指运用已知攻击的方法，根据已定义好的入侵模式，通过判断这些入侵模式是否出现来检测。因为很大一部分的入侵是利用了系统的脆弱性，通过分析入侵过程的特征、条件、排列以及事件间关系就能具体描述入侵行为的迹象。这种方法由于依据具体特征库进行判断，所以检测准确度很高，并且因为检测结果有明确的参照，也为系统管理员做出相应措施提供了方便。这种方法的主要缺陷在于与具体系统依赖性太强，不但系统移植性不好，维护工作量大，而且将具体入侵手段抽象成知识也很困难。并且检测范围受已知知识的局限，尤其是难以检测出内部人员的入侵行为，如合法用户的泄漏，因为这些入侵行为并没有利用系统脆弱性。基于知识的检测方法大致有专家系统、模式匹配与协议分析、基于模型、按键监视、模型推理、状态转换、Petric网状态转换等。（1）基于条件概率滥用入侵检测方法（2）基于专家系统滥用入侵检测方法（3）基于状态迁移分析滥用入侵检测方法（4）基于按键监控滥用入侵检测方法（5）基于模型滥用入侵检测方法

5.4.5　入侵检测的发展方向 1．体系结构研究 2．响应技术 3．智能入侵检测 4．宽带高速实时的检测技术 5．检测技术的整合性 6．高层统计与决策 7．入侵检测的评测方法 8．入侵检测系统的标准化

第 5 章 防火墙与入侵检测技术