摘要：基于濫用和基于異常的檢測模型是IDS系統(tǒng)兩大檢測模型，其對應(yīng)的技術(shù)即為網(wǎng)絡(luò)引擎和主機(jī)代理。本文主機(jī)代理采用基于異常的模型進(jìn)行入侵檢測，與數(shù)據(jù)庫中存儲的入侵特征庫進(jìn)行比較，從而判斷是否是一次攻擊，從而實(shí)現(xiàn)一個網(wǎng)絡(luò)引擎可以監(jiān)視具有多臺主機(jī)的整個網(wǎng)段，通過網(wǎng)絡(luò)引擎實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)中所有組件不受攻擊。
關(guān)鍵詞：檢測模型；網(wǎng)絡(luò)引擎；主機(jī)代理；特征庫

    近年來入侵檢測系統(tǒng)(IDS)成為一個非?；钴S的研究領(lǐng)域。所謂入侵檢測，就是通過從計算機(jī)網(wǎng)絡(luò)或計算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對其進(jìn)行分析，以發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象。在二十世紀(jì)八十年代，大多數(shù)入侵者都是高水平的專家，他們經(jīng)常自己研究入侵系統(tǒng)的方法，而很少使用自動工具和現(xiàn)成的代碼。雖然現(xiàn)在的入侵者的整體技術(shù)水平越來越不如以前，但是現(xiàn)在的攻擊工具卻越來越高級。這使得任何人都可以使用現(xiàn)成的工具來攻擊Internet上的計算機(jī)系統(tǒng)。入侵檢測系統(tǒng)的目標(biāo)是將攻擊的各種表象特征化，以確認(rèn)所有真正的攻擊而且又不誤認(rèn)非攻擊活動。

1 網(wǎng)絡(luò)引擎引入及設(shè)計
    網(wǎng)絡(luò)引擎通過分析網(wǎng)絡(luò)上傳輸?shù)?strong>數(shù)據(jù)包，得到可能入侵的信息。它不僅是一個數(shù)據(jù)產(chǎn)生和傳輸?shù)墓ぞ?，也具有一定的分析能力。它的功能基本上相?dāng)于一個完整的基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。為了提高網(wǎng)絡(luò)引擎的檢測的速度和準(zhǔn)確度，首先，基于已知的攻擊手段來建立黑客攻擊的元數(shù)據(jù)庫，保存所有已知的黑客攻擊知識，按照其類別進(jìn)行分類。其次，采用建立模糊模型來對網(wǎng)絡(luò)引擎上報事件進(jìn)行分析。
    網(wǎng)安入侵檢測系統(tǒng)中的網(wǎng)絡(luò)引擎是在windows NT平臺上，使用Visual C++6．0編程實(shí)現(xiàn)。網(wǎng)絡(luò)引擎分為以下幾個模塊：數(shù)據(jù)包截獲、協(xié)議分析、數(shù)據(jù)分析。結(jié)構(gòu)如圖1所示。

    1)數(shù)據(jù)包截獲  該模塊將網(wǎng)絡(luò)接口設(shè)置為混雜模式，將流經(jīng)網(wǎng)絡(luò)的數(shù)據(jù)包截取下來，供協(xié)議分析模塊使用。由于效率的需要，有時要根據(jù)設(shè)置過濾網(wǎng)絡(luò)上的一些數(shù)據(jù)包，如特定IP、特定MAC地址、特定協(xié)議的數(shù)據(jù)包。該模塊的過濾功能的效率是該網(wǎng)絡(luò)監(jiān)聽的關(guān)鍵，因?yàn)閷τ诰W(wǎng)絡(luò)上的每一數(shù)據(jù)包都會使用該模塊過濾，判斷是否符合過濾條件。低效率的過濾程序會導(dǎo)致數(shù)據(jù)包丟失、分析部分來不及處理。
    為提高效率，本系統(tǒng)采用了專門為數(shù)據(jù)監(jiān)聽?wèi)?yīng)用程序設(shè)計的開發(fā)包Winpcap來實(shí)現(xiàn)這模塊，開發(fā)包中內(nèi)置的內(nèi)核層所實(shí)現(xiàn)的BPF過濾機(jī)制和許多接口函數(shù)，不但能夠提高監(jiān)聽部分的效率，也降低了開發(fā)的難度。同時Winpcap是從UNIX平臺上的Libpcap移植過來的，它們具有相同的接口，減輕了不同平臺上開發(fā)網(wǎng)絡(luò)代理的難度。Winpcap有3部分組成：一個數(shù)據(jù)包監(jiān)聽設(shè)備驅(qū)動程序，一個低級的動態(tài)連接庫和一個高級的靜態(tài)連接庫。數(shù)據(jù)包監(jiān)聽設(shè)備驅(qū)動程序直接從數(shù)據(jù)鏈路層取得網(wǎng)絡(luò)數(shù)據(jù)包，并不加修改地傳遞給運(yùn)行在用戶層的應(yīng)用程序。數(shù)據(jù)包監(jiān)聽設(shè)備驅(qū)動程序支持BPF過濾機(jī)制，可以靈活地設(shè)置過濾規(guī)則。低級的動態(tài)鏈接庫運(yùn)行在用戶層，它把應(yīng)用程序和數(shù)據(jù)包監(jiān)聽設(shè)備驅(qū)動程序隔離開來，使得應(yīng)用程序可以不加修改地在不同Windows系統(tǒng)上運(yùn)行。高級靜態(tài)鏈接庫和應(yīng)用程序編譯在一起，它使用低級動態(tài)鏈接庫提供的服務(wù)，向應(yīng)用程序提供完善的監(jiān)聽接口。
    2)協(xié)議分析  協(xié)議分析的功能是辨別數(shù)據(jù)包的協(xié)議類型，以便使用相應(yīng)的數(shù)據(jù)分析程序來檢測數(shù)據(jù)包。把所有的協(xié)議構(gòu)成一棵協(xié)議樹，一個特定的協(xié)議是該樹結(jié)構(gòu)中的一個節(jié)點(diǎn)，可以用一棵二又樹來表示，如圖2所示。

    一個網(wǎng)絡(luò)數(shù)據(jù)包的分析就是一條從根到某個葉子的路徑。在程序中動態(tài)地維護(hù)和配置此樹結(jié)構(gòu)即可實(shí)現(xiàn)非常靈活的協(xié)議分析功能。在該樹結(jié)構(gòu)中可以加入自定義的協(xié)議節(jié)點(diǎn)，如在HTTP協(xié)議中可以把請求URL列入該樹中作為一個點(diǎn)，再將URL中不同的方法作為子節(jié)點(diǎn)，這樣可以細(xì)化分析數(shù)據(jù)，提高檢測效率。樹的結(jié)點(diǎn)數(shù)據(jù)結(jié)構(gòu)中包含以下信息：該協(xié)議的特征、協(xié)議名稱、協(xié)議代號，下級協(xié)議代號，協(xié)議對應(yīng)的數(shù)據(jù)分析函數(shù)鏈表。協(xié)議名稱是該協(xié)議的唯一標(biāo)志。協(xié)議代號是為了提高分析速度用的編號。下級協(xié)議代號是在協(xié)議樹中其父結(jié)點(diǎn)的編號，如TCP的下級協(xié)議是IP協(xié)議。協(xié)議特征是用于判定一個數(shù)據(jù)包是否為該協(xié)議的特征數(shù)據(jù)，這是協(xié)議分析模塊判斷該數(shù)據(jù)包的協(xié)議類型的主要依據(jù)。數(shù)據(jù)分析函數(shù)鏈表是包含對該協(xié)議進(jìn)行檢測的所有函數(shù)的鏈表。該鏈表的每一節(jié)點(diǎn)包含可配置的數(shù)據(jù)，如是否啟動該檢測函數(shù)等。 
    3)數(shù)據(jù)分析  數(shù)據(jù)分析模塊的功能是分析某一特定協(xié)議數(shù)據(jù)。一個數(shù)據(jù)分析函數(shù)檢查一種協(xié)議類型的入侵，這樣可以方便地進(jìn)行配置。一個協(xié)議數(shù)據(jù)可能有多個數(shù)據(jù)分析函數(shù)來處理它，這些函數(shù)地被放到一個鏈表中。一般情況下，數(shù)據(jù)分析盡可能地放到樹結(jié)構(gòu)的葉子節(jié)點(diǎn)上或盡可能地靠近葉子節(jié)點(diǎn)，因?yàn)闃涓糠终{(diào)用次數(shù)最多，過多的數(shù)據(jù)分析函數(shù)聚集在此會嚴(yán)重影響系統(tǒng)的性能。同時葉子節(jié)點(diǎn)上的協(xié)議明確，分析程序可以少做一些冗余的工作，也由此提高了系統(tǒng)的處理速度。數(shù)據(jù)分析函數(shù)不僅僅由數(shù)據(jù)包觸發(fā)，也可以是系統(tǒng)定義的某一個事件來觸發(fā)。如時間、特定的數(shù)據(jù)包到來、管理員啟動、某種數(shù)據(jù)分析的結(jié)果等都可以觸發(fā)一個數(shù)據(jù)分析函數(shù)的啟動檢測。這些靈活的觸發(fā)方式提供了良好的可配置性，也提供了一個開放的、分布的平臺使各種分析技術(shù)在一個系統(tǒng)中工作。
    數(shù)據(jù)分析的方法是入侵檢測系統(tǒng)的核心。使用了快速的模式匹配算法，所有的攻擊方法被表示為模式信號，存放在入侵特征數(shù)據(jù)庫中，當(dāng)前的數(shù)據(jù)如果和數(shù)據(jù)庫中某種特征匹配，就指出這是這種入侵行為。如發(fā)現(xiàn)一個HTTP請求某個服務(wù)器上的“／cgi—bin／phf”，這很可能是一個攻擊者正在尋找系統(tǒng)的CGI漏洞。
    本文設(shè)計這個體系結(jié)構(gòu)時充分考慮了系統(tǒng)的開放性，可以向系統(tǒng)中添加任何一種分析方法，也可以把多種分析方法同時運(yùn)用到系統(tǒng)中，甚至在不關(guān)閉系統(tǒng)的狀態(tài)下向系統(tǒng)動態(tài)地添加新的數(shù)據(jù)分析功能。這充分保證了系統(tǒng)的可靠安全服務(wù)。動態(tài)添加數(shù)據(jù)分析功能是通過添加新的動態(tài)連接庫中的數(shù)據(jù)分析函數(shù)來實(shí)現(xiàn)的。對于已經(jīng)有的分析功能，可以在入侵特征數(shù)據(jù)庫中添加新的入侵特征，以增強(qiáng)現(xiàn)有模式匹配分析方法的檢測能力。

2 檢測規(guī)則和匹配算法
    網(wǎng)絡(luò)引擎的實(shí)現(xiàn)中，最為關(guān)鍵的部分是數(shù)據(jù)分析模塊。該模塊中涉及到兩個問題：如何描述入侵行為；使用什么算法來快速檢測入侵行為的存在。
    在實(shí)現(xiàn)中，本文使用了與SNORT兼容的檢測規(guī)則來描述入侵行為，使用一種改進(jìn)的Boyer-Moore-Horspool算法來進(jìn)行匹配。模式匹配是第一代和第二代入侵檢測系統(tǒng)所使用的基于攻擊特征的網(wǎng)絡(luò)數(shù)據(jù)包分析技術(shù)。它的分析速度快、誤報率小等優(yōu)點(diǎn)是其他分析方法不可比擬的。協(xié)議分析有效利用了網(wǎng)絡(luò)協(xié)議的層次性和相關(guān)協(xié)議的知識，快速地判斷攻擊特征是否存在。它的高效使得匹配的計算量大幅度減小。
    本文在網(wǎng)絡(luò)引擎的數(shù)據(jù)分析模塊中使用協(xié)議分析和模式匹配結(jié)合的方法來分析網(wǎng)絡(luò)數(shù)據(jù)包。首先使用協(xié)議分析來判斷要進(jìn)行哪種類型的特征檢測，然后使用檢測規(guī)則來進(jìn)行匹配。
2．1 檢測規(guī)則
    每一個基于模式匹配的人檢測方法都需要一個已定的入侵模式。這就需要一種對入侵行為的描述方法。現(xiàn)在的各種入侵檢測系統(tǒng)中的描述方法各有不同，每個廠商定義自己的描述方法，每種方法各有優(yōu)缺點(diǎn)。在網(wǎng)安入侵檢測系統(tǒng)中，采用了Snort的入侵行為描述方法。Snort是一個開放源代碼的輕量級的基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。這種描述方法簡單、易于實(shí)現(xiàn)，能夠描述絕大多數(shù)的入侵行為。由于其簡單，因此檢測速度比較快。每條規(guī)則分為邏輯上的兩部分：規(guī)則頭部和規(guī)則選項。規(guī)則頭部包含規(guī)則的操作、協(xié)議、源IP地址和目標(biāo)IP地址及其網(wǎng)絡(luò)掩碼和端口。規(guī)則選項包括報警信息及需要檢測模式信息。以下是一個例子：
    alert tcp any any->192．168．1．0／24 111(content：“|00 01 86 a5|”；msg：“mounted access”；)
    以上規(guī)則描述了：任何使用TCP協(xié)議連接網(wǎng)絡(luò)IP地址192．168．1．1到192．168．1．255的任何主機(jī)的111端口的數(shù)據(jù)包中，如果出現(xiàn)了二進(jìn)制數(shù)據(jù)00 01 86 a5，便發(fā)出警告信息mounted access。在圓括號前的部分是規(guī)則頭部，在圓括號中的部分是規(guī)則選項。規(guī)則選項部分中冒號前面的詞組稱為選項關(guān)鍵字。規(guī)則選項不是規(guī)則的必需部分，它只是用來定義收集特定數(shù)據(jù)包的特定特征。一條規(guī)則中不同部分必須同時滿足才能執(zhí)行，相當(dāng)于“與”操作。而同一個規(guī)則數(shù)據(jù)庫文件中的所有規(guī)則之間相當(dāng)于一個“或”操作。規(guī)則頭部包含了定義數(shù)據(jù)包“從哪里來，到什么地方去、干什么”以及發(fā)現(xiàn)滿足這個規(guī)則所有條件的數(shù)據(jù)包時應(yīng)該干什么的信息。規(guī)則的第一項是規(guī)則操作，第二項是協(xié)議，第三項是IP地址和端口。規(guī)則操作說明當(dāng)發(fā)現(xiàn)適合條件的數(shù)據(jù)包時應(yīng)該做些什么。有3種操作：alert、log和pass。
    alert：使用選定的告警方法產(chǎn)生警報，并記錄這個數(shù)據(jù)包。
    log：記錄該數(shù)據(jù)包。
    pass：忽略該數(shù)據(jù)包。
    規(guī)則頭部的第二部分是協(xié)議。
    規(guī)則頭部的第三部分是IP地址和端口。關(guān)鍵字“any”可以用來定義任何IP地址。網(wǎng)絡(luò)引擎不提供從主機(jī)名稱到IP地址的轉(zhuǎn)換，所以IP地址規(guī)定為點(diǎn)分十進(jìn)制的IP地址格式，在IP地址后指定網(wǎng)絡(luò)掩碼。例如任何由外部網(wǎng)絡(luò)發(fā)起的連接可以表示為：
    alert tcp ! 192．168．1．0／24 any->192．168．1．0／24 111
    端口號可以用幾種方法指定：用“any”、數(shù)字、范圍以及用“非”操作符。“any”指定任意端口。靜態(tài)數(shù)值指定一個單一端口，如80為HTYP，23為TELNET等。指定端口范圍用“：”，它可以指定一個范圍內(nèi)的所有端口。如：
    log udp any any->192．168．1．0／24 1：1024
    記錄從任意主機(jī)發(fā)起的到目標(biāo)網(wǎng)絡(luò)的任何主機(jī)上的1～1 024端口的UDP協(xié)議數(shù)據(jù)包。
    log tcp any any->192．168．1．0／24：6000
    記錄從任意主機(jī)發(fā)起的到目標(biāo)網(wǎng)絡(luò)的任何主機(jī)上的端口號小于等于6 000的TCP協(xié)議數(shù)據(jù)。
    log top any：1024->192．168．1．0／24 500：
2．2 匹配算法
    匹配算法是檢測引擎的關(guān)鍵，它直接影響系統(tǒng)的實(shí)時性能。在網(wǎng)絡(luò)數(shù)據(jù)包搜索入侵特征時，需要一個有效的字符串搜索算法。字符串搜索算法中，最著名的兩個是KMP算法(Knuth-Morris-Pratt)和BM算法(Boyer-Moore)。兩個算法在最壞情況下均具有線性的搜索時間。在實(shí)用上，KMP算法并不比最簡單的c庫函數(shù)strstr()快多少，而BM算法則往往比KMP算法快上3～5倍。但是BM算法還不是最快的算法，還有很多改進(jìn)的BM算法存在。
    第一次匹配結(jié)果是在第二個字符處發(fā)現(xiàn)不匹配，于是要把子串往后移動。但是該移動多少呢?最簡單的做法是移動一個字符位置；KMP是利用已經(jīng)匹配部分的信息來移動；BM算法是做反向比較，并根據(jù)已經(jīng)匹配的部分來確定移動量。Boyer-Moore-Hompool算法根據(jù)被比較串對齊的最后一個字符(r)來決定位移量的多少。本文的方法是根據(jù)緊跟在當(dāng)前子串之后的那個字符(例子中的i)獲得位移量。
    顯然，由于上一次匹配的失敗，移動是必然的，因此，設(shè)移動步數(shù)為N，則N≥1。但N的最大值是多少?如果這個字符在模式串中，顯然應(yīng)該根據(jù)模式串的位置來決定。如果它在模式串中就沒有出現(xiàn)，顯然連它自己也不用比較了，因此可以移動到該字符的下一個字符開始比較。以上面的例子，子串“search”中并不存在“i”，則說明可以直接跳過一大片，從“i”之后的那個字符開始作下一步的比較，如下：
    substring searching procedure
    search＾
    比較的結(jié)果，第1個字符又不匹配，再看子串后面的那個字符，是“r”，它在子串中出現(xiàn)在倒數(shù)第3位，于是把子串向前移動3位，使2個“r”對齊，如下：
    substring searching procedure
    search
    這次匹配成功了。回顧整個過程，只移動了兩次子串就找到了匹配位置，可以看出，用這個算法，每一步的移動量都比BMH算法要大，所以比BMH算法更快。
    以下是用類封裝的搜索算法：
   
   
2．3 檢測舉例
    以下是網(wǎng)絡(luò)引擎判斷某個網(wǎng)絡(luò)數(shù)據(jù)包是否是CGI攻擊的一個示例，協(xié)議規(guī)范指出以太網(wǎng)絡(luò)數(shù)據(jù)包中第13字節(jié)處包含了2個字節(jié)的第三層協(xié)議標(biāo)識。本入侵檢測系統(tǒng)利用該知識開始第1步檢測：跳過前面12個字節(jié)，讀取13字節(jié)處的2字節(jié)協(xié)議標(biāo)識：08。根據(jù)協(xié)議規(guī)范可以判斷這個網(wǎng)絡(luò)數(shù)據(jù)包是IP包。IP協(xié)議規(guī)定IP包的第24字節(jié)處有一個1字節(jié)的第四層協(xié)議標(biāo)識。因此系統(tǒng)跳過的15到24字節(jié)直接讀取第四層協(xié)議標(biāo)識：06，這個數(shù)據(jù)包是TCP協(xié)議。TCP協(xié)議在第35字節(jié)處有一個2字節(jié)的應(yīng)用層協(xié)議標(biāo)識(端口號)。于是系統(tǒng)跳過第25到34字節(jié)直接讀取第35字節(jié)的端口號：80。
    該數(shù)據(jù)包是一個HTTP協(xié)議的數(shù)據(jù)包。HTTP協(xié)議規(guī)定第55字節(jié)是URL開始處，檢測特征“GET／cgi—bin／．／phf”，因此對這個URL進(jìn)行模式匹配?？梢钥闯觯脜f(xié)議分析可以減小模式匹配的計算量，提高匹配的精確度，減少誤報率。

3 主機(jī)代理
    基于主機(jī)的入侵檢測要依賴于特定的操作系統(tǒng)和審計跟蹤日志獲取信息，此類系統(tǒng)的原始數(shù)據(jù)來源受到所依附具體操作系統(tǒng)平臺的限制，系統(tǒng)的實(shí)現(xiàn)主要針對某種特定的系統(tǒng)平臺，在環(huán)境適應(yīng)性、可移植性方面問題較多。在獲取高層信息以及實(shí)現(xiàn)一些特殊功能時，如針對系統(tǒng)資源情況的審計方面具有無法替代的作用。本文設(shè)計的入侵檢測系統(tǒng)應(yīng)用于Windows操作系統(tǒng)。
3．1 數(shù)據(jù)來源
    主機(jī)代理的數(shù)據(jù)來源不像網(wǎng)絡(luò)引擎的數(shù)據(jù)來源那樣單一，它可以在系統(tǒng)所能夠訪問的所有地方獲得數(shù)據(jù)來分析。網(wǎng)安入侵檢測系統(tǒng)主機(jī)代理的數(shù)據(jù)來源有：
    1)系統(tǒng)和網(wǎng)絡(luò)日志文件  黑客經(jīng)常在系統(tǒng)日志文件中留下他們的蹤跡，因此，充分利用系統(tǒng)和網(wǎng)絡(luò)日志文件信息是檢測入侵的必要條件。日志中包含發(fā)生在系統(tǒng)和網(wǎng)絡(luò)上的不尋常和不期望活動的證據(jù)，這些證據(jù)可以指出有人正在入侵或己成功入侵了系統(tǒng)。通過查看日志文件，能夠發(fā)現(xiàn)成功的入侵或入侵企圖，并很快地啟動相應(yīng)的應(yīng)急響應(yīng)程序。日志文件中記錄了各種行為類型，每種類型又包含不同的信息，例如記錄“用戶活動”類型的日志，就包含登錄、用戶ID改變、用戶對文件的訪問、授權(quán)和認(rèn)證信息等內(nèi)容。很顯然地，對用戶活動來講，不正常的或不期望的行為就是重復(fù)登錄失敗、登錄到不期望的位置以及非授權(quán)的企圖訪問重要文件等等。
    2)目錄和文件中的不期望的改變  網(wǎng)絡(luò)環(huán)境中的文件系統(tǒng)包含很多軟件和數(shù)據(jù)文件，包含重要信息的文件和私有數(shù)據(jù)文件經(jīng)常是黑客修改或破壞的目標(biāo)。目錄和文件中的不期望的改變(包括增加、刪除、修改)，特別是那些正常情況下限制訪問的，很可能就是一種入侵產(chǎn)生的指示和信號。黑客經(jīng)常替換、修改和破壞他們獲得訪問權(quán)的系統(tǒng)上的文件，同時為了隱藏系統(tǒng)中他們的表現(xiàn)及活動痕跡，都會盡力去替換系統(tǒng)程序或修改系統(tǒng)日志文件。
    3)程序執(zhí)行中的不期望行為  網(wǎng)絡(luò)系統(tǒng)上的程序執(zhí)行一般包括操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)、用戶啟動的程序和特定目的的應(yīng)用，例如數(shù)據(jù)庫服務(wù)器。每個在系統(tǒng)上執(zhí)行的程序由一到多個進(jìn)程來實(shí)現(xiàn)。每個進(jìn)程執(zhí)行在具有不同權(quán)限的環(huán)境中，這種環(huán)境控制著進(jìn)程可訪問的系統(tǒng)資源、程序和數(shù)據(jù)文件等。一個進(jìn)程的執(zhí)行行為由它運(yùn)行時執(zhí)行的操作來表現(xiàn)，操作執(zhí)行的方式不同，它利用的系統(tǒng)資源也就不同。操作包括計算、文件傳輸、設(shè)備和其它進(jìn)程，以及與網(wǎng)絡(luò)間其他進(jìn)程的通訊。一個進(jìn)程出現(xiàn)了不期望的行為可能表明黑客正在入侵你的系統(tǒng)。黑客可能會將程序或服務(wù)的運(yùn)行分解，從而導(dǎo)致它失敗，或者是以非用戶或管理員意圖的方式操作。
3．2 代理結(jié)構(gòu)
    從以上可以看出，主機(jī)代理的數(shù)據(jù)來源比網(wǎng)絡(luò)引擎復(fù)雜得多，由于數(shù)據(jù)源的不同，分析方法也各不一樣。本系統(tǒng)的主機(jī)代理分為日志分析、文件檢測、用戶行為監(jiān)測、主機(jī)網(wǎng)絡(luò)接口檢測。

4 結(jié)束語
    本文設(shè)計的入侵檢測系統(tǒng)使用了網(wǎng)絡(luò)引擎來檢測流經(jīng)網(wǎng)絡(luò)的數(shù)據(jù)包，一個網(wǎng)絡(luò)引擎可以監(jiān)視具有多臺主機(jī)的整個網(wǎng)段，從路由器的基礎(chǔ)設(shè)施到應(yīng)用程序的訪問，可以說網(wǎng)絡(luò)引擎能夠檢測企業(yè)網(wǎng)絡(luò)中所有組件所受到的攻擊。不過網(wǎng)絡(luò)引擎在下列情況下也有局限性：
    1)快速網(wǎng)絡(luò)  隨著網(wǎng)絡(luò)速度的加快，有時候網(wǎng)絡(luò)引擎的工作速度無法跟上網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)乃俣取?br />     2)加密數(shù)據(jù)  如果網(wǎng)絡(luò)數(shù)據(jù)被加密的話，網(wǎng)絡(luò)引擎即不能起作用，原因是它無法正確地“看到”網(wǎng)絡(luò)數(shù)據(jù)。
    3)交換網(wǎng)絡(luò)  在交換網(wǎng)絡(luò)中，是不可能從一個中央位置處看見所有網(wǎng)絡(luò)數(shù)據(jù)的。因?yàn)橥ǔ＞W(wǎng)絡(luò)數(shù)據(jù)都是停留在交換的網(wǎng)段內(nèi)部。而利用主機(jī)代理，就不受上述情況的限制。利用網(wǎng)絡(luò)引擎和主機(jī)代理，將基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)和基于主機(jī)的入侵檢測系統(tǒng)結(jié)合起來，就構(gòu)成了實(shí)現(xiàn)網(wǎng)絡(luò)入侵檢測的比較可靠的解決方案。