剖析IDS 入侵检测系统

入侵检测技术是主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、攻击识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息。这期专题我们将从入侵检测技术的原理、技术应用以及其产品和发展方向来入手讲解入侵检测技术……

通常来说，一个企业或机构准备进军此领域时，往往选择从基于网络的IDS入手，因为网上有很多这方面的开放源代码和资料，实现起来比较容易，并且，基于网络的IDS适应能力强。有了简单网络IDS的开发经验，再向基于主机的IDS、分布式IDS、智能IDS等方面迈进的难度就小了很多。在此，笔者将以基于网络的IDS为例，介绍典型的IDS开发思路。

　　根据CIDF规范，我们从功能上将 入侵检测 系统划分为四个基本部分：数据采集子系统、数据分析子系统、控制台子系统、数据库管理子系统，如附图所示。

　　具体实现起来，一般都将数据采集子系统（又称探测器）和数据分析子系统在Linux或Unix平台上实现，我们称之为数据采集分析中心;将控制台子系统在Windows NT或2000上实现，数据库管理子系统基于Access或其他功能更强大的数据库，多跟控制台子系统结合在一起，我们称之为控制管理中心。本文以Linux和Windows NT平台为例介绍数据采集分析中心和控制管理中心的实现。

　　可以按照如下步骤构建一个基本的入侵检测系统。

　　 第一步 获取libpcap和tcpdump

　　 审计踪迹是IDS的数据来源，而数据采集机制是实现IDS的基础，否则，巧妇难为无米之炊，入侵检测就无从谈起。

　　数据采集子系统位于IDS的最底层，其主要目的是从网络环境中获取事件，并向其他部分提供事件。目前比较流行的做法是：使用libpcap和tcpdump，将网卡置于“混杂”模式，捕获某个网段上所有的数据流。

　　libpcap是Unix或Linux从内核捕获网络数据包的必备工具，它是独立于系统的API接口，为底层网络监控提供了一个可移植的框架，可用于网络统计收集、安全监控、网络调试等应用。

　　tcpdump是用于网络监控的工具，可能是Unix上最著名的sniffer了，它的实现基于libpcap接口，通过应用布尔表达式打印数据包首部，具体执行过滤转换、包获取和包显示等功能。tcpdump可以帮助我们描述系统的正常行为，并最终识别出那些不正常的行为，当然，它只是有益于收集关于某网段上的数据流（网络流类型、连接等）信息，至于分析网络活动是否正常，那是程序员和管理员所要做的工作。

　　libpcap和tcpdump在网上广为流传，开发者可以到相关网站下载。

第二步 构建并配置探测器，实现数据采集功能

　　 1. 应根据自己网络的具体情况，选用合适的软件及硬件设备，如果你的网络数据流量很小，用一般的PC机安装Linux即可，如果所监控的网络流量非常大，则需要用一台性能较高的机器。

　　2. 在Linux服务器上开出一个日志分区，用于采集数据的存储。

　　3. 创建libpcap库。从网上下载的通常都是libpcap.tar.z的压缩包，所以，应先将其解压缩、解包，然后执行配置脚本，创建适合于自己系统环境的Makefile，再用make命令创建libpcap库。libpcap安装完毕之后，将生成一个libpcap库、三个include文件和一个man页面（即用户手册）。

　　4. 创建tcpdump。与创建libpcap的过程一样，先将压缩包解压缩、解包到与libpcap相同的父目录下，然后配置、安装tcpdump。

　　如果配置、创建、安装等操作一切正常的话，到这里，系统已经能够收集到网络数据流了。至于如何使用libpcap和tcpdump，还需要参考相关的用户手册。

　　第三步 建立数据分析模块

　　 网上有一些开放源代码的数据分析软件包，这给我们构建数据分析模块提供了一定的便利条件，但这些“免费的午餐”一般都有很大的局限性，要开发一个真正功能强大、实用的IDS，通常都需要开发者自己动手动脑 设计 数据分析模块，而这往往也是整个IDS的工作重点。

　　数据分析模块相当于IDS的大脑，它必须具备高度的“智慧”和“判断能力”。所以，在设计此模块之前，开发者需要对各种网络协议、系统漏洞、攻击手法、可疑行为等有一个很清晰、深入的研究，然后制订相应的安全规则库和安全策略，再分别建立滥用检测模型和异常检测模型，让机器模拟自己的分析过程，识别确知特征的攻击和异常行为，最后将分析结果形成报警消息，发送给控制管理中心。

　　设计数据分析模块的工作量浩大，并且，考虑到“道高一尺，魔高一丈”的 黑客 手法日益翻新，所以，这注定是一个没有终点的过程，需要不断地更新、升级、完善。在这里需要特别注意三个问题：① 应 优化 检测模型和算法的设计，确保系统的执行效率；② 安全规则的制订要充分考虑包容性和可扩展性，以提高系统的伸缩性；③ 报警消息要遵循特定的标准格式，增强其共享与互操作能力，切忌随意制订消息格式的不规范做法。

　　第四步 构建控制台子系统

　　 控制台子系统负责向网络管理员汇报各种网络违规行为，并由管理员对一些恶意行为采取行动（如阻断、跟踪等）。由于Linux或Unix平台在支持界面操作方面远不如常用的Windows产品流行，所以，为了把IDS做成一个通用、易用的系统，笔者建议将控制台子系统在Windows系列平台上实现。

　　控制台子系统的主要任务有两个：① 管理数据采集分析中心，以友好、便于查询的方式显示数据采集分析中心发送过来的警报消息；② 根据安全策略进行一系列的响应动作，以阻止非法行为，确保网络的安全。

　　控制台子系统的设计重点是：警报信息查询、探测器管理、规则管理及用户管理。

　　1．警报信息查询：网络管理员可以使用单一条件或复合条件进行查询，当警报信息数量庞大、来源广泛的时候，系统需要对警报信息按照危险等级进行分类，从而突出显示网络管理员需要的最重要信息。

　　2．探测器管理：控制台可以一次管理多个探测器（包括启动、停止、配置、查看运行状态等），查询各个网段的安全状况，针对不同情况制订相应的安全规则。

　　3．规则库管理功能：为用户提供一个根据不同网段具体情况灵活配置安全策略的工具，如一次定制可应用于多个探测器、默认安全规则等。

　　4．用户管理：对用户权限进行严格的定义，提供口令修改、添加用户、删除用户、用户权限配置等功能，有效保护系统使用的安全性。

　　第五步 构建数据库管理子系统

　　 一个好的入侵检测系统不仅仅应当为管理员提供实时、丰富的警报信息，还应详细地记录现场数据，以便于日后需要取证时重建某些网络事件。

　　数据库管理子系统的前端程序通常与控制台子系统集成在一起，用Access或其他数据库存储警报信息和其他数据。该模块的数据来源有两个：① 数据分析子系统发来的报警信息及其他重要信息；② 管理员经过条件查询后对查询结果处理所得的数据，如生成的本地文件、格式报表等。

　　第六步 联调，一个基本的IDS搭建完毕

　　 以上几步完成之后，一个IDS的最基本框架已被实现。但要使这个IDS顺利地运转起来，还需要保持各个部分之间安全、顺畅地通信和交互，这就是联调工作所要解决的问题。

　　首先，要实现数据采集分析中心和控制管理中心之间的通信，二者之间是双向的通信。控制管理中心显示、整理数据采集分析中心发送过来的分析结果及其他信息，数据采集分析中心接收控制管理中心发来的配置、管理等命令。注意确保这二者之间通信的安全性，最好对通信数据流进行加密操作，以防止被窃听或篡改。同时，控制管理中心的控制台子系统和数据库子系统之间也有大量的交互操作，如警报信息查询、网络事件重建等。

　　联调通过之后，一个基本的IDS就搭建完毕。后面要做的就是不断完善各部分功能，尤其是提高系统的检测能力。