網(wǎng)絡(luò)安全:入侵檢測(cè)系統(tǒng)常用的檢測(cè)方法

入侵檢測(cè)系統(tǒng)常用的檢測(cè)方法有特征檢測(cè)、統(tǒng)計(jì)檢測(cè)與專家系統(tǒng)。據(jù)公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心的報(bào)告，國(guó)內(nèi)送檢的入侵檢測(cè)產(chǎn)品中95％是屬于使用入侵模板進(jìn)行模式匹配的特征檢測(cè)產(chǎn)品，其他5％是采用概率統(tǒng)計(jì)的統(tǒng)計(jì)檢測(cè)產(chǎn)品與基于日志的專家知識(shí)庫(kù)系產(chǎn)品。
    特征檢測(cè)
    特征檢測(cè)對(duì)已知的攻擊或入侵的方式作出確定性的描述，形成相應(yīng)的事件模式。當(dāng)被審計(jì)的事件與已知的入侵事件模式相匹配時(shí)，即報(bào)警。原理上與專家系統(tǒng)相仿。其檢測(cè)方法上與計(jì)算機(jī)病毒的檢測(cè)方式類似。目前基于對(duì)包特征描述的模式匹配應(yīng)用較為廣泛。該方法預(yù)報(bào)檢測(cè)的準(zhǔn)確率較高，但對(duì)于無(wú)經(jīng)驗(yàn)知識(shí)的入侵與攻擊行為無(wú)能為力。
    統(tǒng)計(jì)檢測(cè)
    統(tǒng)計(jì)模型常用異常檢測(cè)，在統(tǒng)計(jì)模型中常用的測(cè)量參數(shù)包括：審計(jì)事件的數(shù)量、間隔時(shí)間、資源消耗情況等。常用的入侵檢測(cè)5種統(tǒng)計(jì)模型為：
    1、操作模型，該模型假設(shè)異常可通過(guò)測(cè)量結(jié)果與一些固定指標(biāo)相比較得到，固定指標(biāo)可以根據(jù)經(jīng)驗(yàn)值或一段時(shí)間內(nèi)的統(tǒng)計(jì)平均得到，舉例來(lái)說(shuō)，考試,大提示在短時(shí)間內(nèi)的多次失敗的登錄很有可能是口令嘗試攻擊；
    2、方差，計(jì)算參數(shù)的方差，設(shè)定其置信區(qū)間，當(dāng)測(cè)量值超過(guò)置信區(qū)間的范圍時(shí)表明有可能是異常；
    3、多元模型，操作模型的擴(kuò)展，通過(guò)同時(shí)分析多個(gè)參數(shù)實(shí)現(xiàn)檢測(cè)；
    4、馬爾柯夫過(guò)程模型，將每種類型的事件定義為系統(tǒng)狀態(tài)，用狀態(tài)轉(zhuǎn)移矩陣來(lái)表示狀態(tài)的變化，當(dāng)一個(gè)事件發(fā)生時(shí)，或狀態(tài)矩陣該轉(zhuǎn)移的概率較小則可能是異常事件；
    5、時(shí)間序列分析，將事件計(jì)數(shù)與資源耗用根據(jù)時(shí)間排成序列，如果一個(gè)新事件在該時(shí)間發(fā)生的概率較低，則該事件可能是入侵。
    統(tǒng)計(jì)方法的優(yōu)點(diǎn)是它可以“學(xué)習(xí)”用戶的使用習(xí)慣，從而具有較高檢出率與可用性。但是它的“學(xué)習(xí)”能力也給入侵者以機(jī)會(huì)通過(guò)逐步“訓(xùn)練”使入侵事件符合正常操作的統(tǒng)計(jì)規(guī)律，從而透過(guò)入侵檢測(cè)系統(tǒng)。
    專家系統(tǒng)
    用專家系統(tǒng)對(duì)入侵進(jìn)行檢測(cè)，經(jīng)常是針對(duì)有特征入侵行為。所謂的規(guī)則，即是知識(shí)，不同的系統(tǒng)與設(shè)置具有不同的規(guī)則，且規(guī)則之間往往無(wú)通用性。專家系統(tǒng)的建立依賴于知識(shí)庫(kù)的完備性，知識(shí)庫(kù)的完備性又取決于審計(jì)記錄的完備性與實(shí)時(shí)性。入侵的特征抽取與表達(dá)，是入侵檢測(cè)專家系統(tǒng)的關(guān)鍵。在系統(tǒng)實(shí)現(xiàn)中，將有關(guān)入侵的知識(shí)轉(zhuǎn)化為if-then結(jié)構(gòu)（也可以是復(fù)合結(jié)構(gòu)），條件部分為入侵特征，then部分是系統(tǒng)防范措施。運(yùn)用專家系統(tǒng)防范有特征入侵行為的有效性完全取決于專家系統(tǒng)知識(shí)庫(kù)的完備性。
    文件完整性檢查
    文件完整性檢查系統(tǒng)檢查計(jì)算機(jī)中自上次檢查后文件變化情況。文件完整性檢查系統(tǒng)保存有每個(gè)文件的數(shù)字文摘數(shù)據(jù)庫(kù)，每次檢查時(shí)，它重新計(jì)算文件的數(shù)字文摘并將它與數(shù)據(jù)庫(kù)中的值相比較，如不同，則文件已被修改，若相同，文件則未發(fā)生變化。
    文件的數(shù)字文摘通過(guò)Hash函數(shù)計(jì)算得到。不管文件長(zhǎng)度如何，它的Hash函數(shù)計(jì)算結(jié)果是一個(gè)固定長(zhǎng)度的數(shù)字。與加密算法不同，Hash算法是一個(gè)不可逆的單向函數(shù)。采用安全性高的Hash算法，如MD5、SHA時(shí)，兩個(gè)不同的文件幾乎不可能得到相同的Hash結(jié)果。從而，當(dāng)文件一被修改，就可檢測(cè)出來(lái)。在文件完整性檢查中功能面的當(dāng)屬Tripwire。
    文件完整性檢查系統(tǒng)的優(yōu)點(diǎn)
    從數(shù)學(xué)上分析，攻克文件完整性檢查系統(tǒng)，無(wú)論是時(shí)間上還是空間上都是不可能的。文件完整性檢查系統(tǒng)是非常強(qiáng)勁的檢測(cè)文件被修改的工具。實(shí)際上，文件完整性檢查系統(tǒng)是一個(gè)檢測(cè)系統(tǒng)被非法使用的最重要的工具之一。
    文件完整性檢查系統(tǒng)具有相當(dāng)?shù)撵`活性，可以配置成為監(jiān)測(cè)系統(tǒng)中所有文件或某些重要文件。
    當(dāng)一個(gè)入侵者攻擊系統(tǒng)時(shí)，他會(huì)干兩件事，首先，他要掩蓋他的蹤跡，即他要通過(guò)更改系統(tǒng)中的可執(zhí)行文件、庫(kù)文件或日志文件來(lái)隱藏他的活動(dòng)；其它，他要作一些改動(dòng)保證下次能夠繼續(xù)入侵。這兩種活動(dòng)都能夠被文件完整性檢查系統(tǒng)檢測(cè)出。
    文件完整性檢查系統(tǒng)的弱點(diǎn)
    文件完整性檢查系統(tǒng)依賴于本地的文摘數(shù)據(jù)庫(kù)。與日志文件一樣，這些數(shù)據(jù)可能被入侵者修改。當(dāng)一個(gè)入侵者取得管理員權(quán)限后，在完成破壞活動(dòng)后，可以運(yùn)行文件完整性檢查系統(tǒng)更新數(shù)據(jù)庫(kù)，從而瞞過(guò)系統(tǒng)管理員。當(dāng)然，可以將文摘數(shù)據(jù)庫(kù)放在只讀的介質(zhì)上，但這樣的配置不夠靈活性。
    做一次完整的文件完整性檢查是一個(gè)非常耗時(shí)的工作，在Tripwire中，在需要時(shí)可選擇檢查某些系統(tǒng)特性而不是完全的摘要，從而加快檢查速度。
    系統(tǒng)有些正常的更新操作可能會(huì)帶來(lái)大量的文件更新，從而產(chǎn)生比較繁雜的檢查與分析工作，如，在Windows NT系統(tǒng)中升級(jí)MS-Outlook將會(huì)帶來(lái)1800多個(gè)文件變化。