8.3.3 分布式入侵检测系统
基于网络与基于主机的IDS相比具有明显的 优点，如部署数量少，能实时监测、具有OS 独立性等，但同时也有较大的缺陷：只能检 查一个广播型网段上的通信、难以处理加密 的会话过程。 由此看出，二者各有优势，且具有互补性， 把二者结合起来使用，有可能改善入侵检测 系统的检测效果，这就是分布式入侵检测系 统（Distributed IDS,DIDS）形成的原因。
第8章 入侵检测技术

本章介绍入侵检测系统的基本概念和发展方 向，体系结构和公共入侵检测框架CIDF。论 述了基于主机的（HIDS）、基于网络的 （NIDS）和分布式的（DIDS）入侵检测系 统的内涵和特点；详细描述了检测：异常检 测法和基于误用检测法
8.1 入侵检测系统概述
传统的计算机安全技术已不能满足复杂系统 的安全性要求. 入侵检测系统已成为网络计算机系统中一个 有效的防范检测手段，对正常和误用的系统 行为提供了识别的技术. 入侵是指对任何企图危及资源的完整性、机 密性和可用性的活动。入侵检测（Intrusion Detection），顾名思义，就是对入侵行为的 发觉

8.3 入侵检测系统的类型
从数据来源和系统结构分类，入侵检测系统 分为3类： 基于主机的入侵检测系统：主机型IDS驻留 在一台主机上，监控那些有入侵动作的机器。 基于网络的入侵检测系统：对流动在网络中 的其他主机发送和接收的流量进行监控。 分布式入侵检测系统(混合型)：由多个部件 组成，分布在网络的各个部分，它们分别进 行数据采集、分析等工作 。

基于主机的入侵检测系统有一些重大缺点。 因为HIDS是基于主机的，它对整个网络的拓 扑结构认识有限。 攻击者可以控制一台未安装HIDS的机器，然 后对受保护的主机进行合法访问，这时HIDS 检测不出攻击，使得入侵检测系统变得毫无 用处。唯一的办法成了要在每一台可能遭受 攻击的主机上安装HIDS，这将导致成本过高， 而且也未必能保证绝对的安全。

CIDF定义的体系结构
输入：原始事件源 事件生成器 输出：原始 或低级事件 输出： 高级中断事件 响应单元
输出：反应或事件
输出：事件的存储信息 事件数据库 目录服务器
事件分析器
事件生成器是采集和过滤事件数据的程序或 模块。 事件分析器分析事件数据和任何CIDF组件传 送给它的各种数据。 事件数据库是各种原始数据或已加工过数据 的存储器。

响应单元是针对分析组件产生的分析结果， 根据响应策略采取相应的行为，发出命令响 应攻击，如杀死进程或复位连接。 目录服务器组件用于各组件定位其他组件， 以及控制其他组件传递的数据并认证其他组 件的使用，以防止IDS本身受到攻击。

从图中可以看出，各组件之间采用松散的耦 合方式，实现入侵检测系统功能的4个组件通 过目录服务器组件进行定位、认证，即提供 配置和目录服务的组件，把其他组件连接到 一起。 组件可采用分级体系结构、网状体系结构或 者混和结构来组织。

（2）入侵检测的智能化 入侵方法越来越多样化和综合化，传统的 入侵检测分析方法无法完全实现检测功能， 保证计算机的安全。 入侵检测与智能代理、神经网络以及遗传算 法的结合是更深一层的研究，特别是智能代 理的IDS需要加以进一步的研究以解决自学 习能力与适应能力。
(3) 响应策略的研究 入侵检测系统只实现了检测功能，未能及 时的做出相应的响应。所以入侵检测系统的 响应策略是十分重要的。识别出入侵后的响 应策略是IDS维护系统安全性、完整性的关 键。 （４）网络安全技术相结合 结合防火墙、PKI、安全电子交易（SET） 等新的网络安全与电子商务技术，提供完整 的网络安全保障。

各探测代理不仅实现信息过滤，同时监视所 在系统；而分析层和管理层则可对全局的信 息进行关联性分析。 这样对网络信息进行分流，提高了检测速度， 解决了检测效率低的问题，使得DIDS本身抗 击拒绝服务攻击的能力也得到了增强。


DIDS由主机代理（Host Agent）、局域网 代理（LAN Agent）和控制器（DIDS Director）三部分组成，主机代理负责监测 某台主机的安全，依据搜集到这台主机活动 的信息产生主机安全事件，并将这些安全事 件传送到控制器。


和分级体系相反，网状体系结构 ，允许信息 从任何节点流向任何其他节点。如图
网状结构的通信通常不是很有效，因为没有 限制的通信流。 但是，网状体系结构功能的灵活性弥补了通 信效率低的不足。这种体系结构将收集、汇 聚和命令控制功能集成到一个驻留在每个监 控系统上的组件中。

混和模型是一种综合分级和网状体系结构最 佳特征的方法。 混和模型采用网状体系结构，它没有明确的 根，但是保留整体的分级结构，并允许组件 不按严格的分级结构灵活的通信。

8.2 入侵检测系统的发展历史和现状
入侵检测系统目前主要存在的问题有： （1）IDS产品的检测准确率比较低，漏报和 误报比较多。 （2）入侵检测系统不能对攻击做出响应 （3） IDS维护比较难 （4） 缺乏国际国内标准，IDS产品的测评缺 乏统一的标准和平台

入侵检测系统的发展

8.4.3 对入侵检测系统的新的攻击和威胁
网络攻击多种多样，攻击者发动攻击的典型 方式主要包括简单攻击、环形攻击、旋转门 柄攻击、分布式攻击以及链式攻击，攻击过 程中的一些行为类型表明了攻击者访问系统 的企图； 另外一些行为则试图隐藏攻击者的真实身份 或者攻击者的恶意行为或企图

混和体系结构
命令和控制节点 汇聚节点
收集节点
一般地，层次化的体系结构通信效率较高。 在此层次结构中，信息提炼、过滤向上，控 制命令向下。此种体系结构对于中央控制管 理的可扩展分布式入侵检测系统非常适合。 目前并没有公认的体系结构，因为人们对大 规模网络入侵检测的功能、覆盖范围和检测 方法认识尚不统一。


分级体系结构采用树形结构，命令和控制组 件在上层，信息汇聚中间层，操作单元位于 叶节点。操作单元可以是基于网络的IDS、 基于主机IDS、防病毒以及攻击响应系统。
分级体系结构
命令和控制节点
汇聚节点
收集节点
分级体系结构导致有效的通信 分级体系结构对于创建可扩展的、具有中央 管理点的分布IDS很有用。 但是，这些结构要求较严格，因为需要和组 件相关的功能和通信线。

基于主机的IDS具有如下优点
能够更加准确地判断攻击是否成功 监视特定的系统活动 HIDS可以检测到那些基于网络的系统察觉不 到的攻击

8.3.2 基于网络的入侵检测系统
基于网络的入侵检测系统通过在共享网段上 对通信数据进行侦听，采集数据，分析可疑 现象，系统根据网络流量、协议分析、简单 网络管理协议信息等检测入侵。 网络入侵检测系统(Network-based IDS,NIDS)放置在网络基础设施的关键区域， 监控流向其他主机的流量。

基于主机的入侵检测系统图
审计数据
审计数据过滤
相关数据
审计分析
分析员
基于主机的入侵检测系统
此系统依赖于审计数据或系统日志的准确 性和完整性以及安全事件的定义。 这些系统的实现不全在目标主机上，有些 采用独立的外围处理机，也有的使用网络 将主机的信息传送到中央分析单元。 但全部是根据目标系统的审计记录工作， 不一定能及时采集到审计记录是这些系统 的弱点，因此入侵者可能会将主机审计系 统作为攻击目标以避开入侵检测系统。

DIDS综合了基于主机和基于网络的IDS的功 能。它通过收集、合并来自多个主机的审计 数据和检查网络通信，能够检测出多个主机 发起的协同攻击。 DIDS系统在框架上结合了Haystack系统和 NSM系统的特点，进行数据的分布式监视， 集中式分析。

DIDS的分布性表现在两个方面： 首先，数据包过滤的工作由分布在各网络设 备（包括联网主机）上的探测代理完成； 其次，探测代理认为可疑的数据包将被根据 其类型交给专用的分析层设备处理。

8.4.2 通用入侵检测框架
通用入侵检测框架CIDF（Common Intrusion Detection Framework）定义了 大多数IDS要具有的基本组件。 CIDF是为了解决不同IDS的互操作性和共存 问题而提出的，它试图建立通用的入侵检测 体系结构。 CIDF可以提供IDS组件共享、数据共享，并 完善互用性标准，最终建立一套开发接口和 支持工具，以提高独立开发部分组件的能力。



（1）体系结构的发展 现有入侵检测系统多采用单一体系结构，即所 有的工作包括数据采集、分析都由单一主机上的单 一程序来完成。 而一些分布式的入侵检测系统只是在数据采集 上实现了分布式，数据的分析、入侵的发现还是由 单个的程序来完成，造成系统的可扩展性较差、单 点失效、系统缺乏灵活性和配置性等缺点。具有多 系统的、可以互相协同工作的、可重用的通用入侵 检测体系结构是重要的研究方向


在现有的网络环境下，单独依靠主机审计信 息进行入侵检测难以满足网络安全的需求， 由于主机的审计数据的弱点，如易受攻击， 而且入侵者可以通过使用某些系统特权和调 用比审计本身更低级的操作来逃避审计，因 此不能仅仅通过分析主机的审计记录来检测 网络攻击。
基于主机的HIDS(Host-based IDS , HIDS)在 操作系统、应用程序或内核层次上对攻击进 行监控，监视和寻找操作系统的可疑事件。 要发现一些恶意事件，HIDS需要和主机协调 一致，被监控的主机系统深入的知识只能由 入侵检测系统所掌握。要检测一些攻击， HIDS必须具备主机的正常行为的知识。

基于网络的入侵检测系统的数据来源于网络 的信息流，NIDS被动地在网络上监听整个网 络上的信息流，分析所截获的网络数据包， 检测其是否发生网络入侵。 NIDS与基于主机的入侵检测系统对比，前 者对入侵者而言是透明的，入侵者不知道有 入侵检测系统的存在。