入侵检测技术发展方向

　　无论从规模与方法上入侵技术近年来都发生了变化。入侵的手段与技术也有了“进步与发展”。入侵技术的发展与演化主要反映在下列几个方面：

　　入侵或攻击的综合化与复杂化。入侵的手段有多种，入侵者往往采取一种攻击手段。由于网络防范技术的多重化，攻击的难度增加，使得入侵者在实施入侵或攻击时往往同时采取多种入侵的手段，以保证入侵的成功几率，并可在攻击实施的初期掩盖攻击或入侵的真实目的。

　　入侵主体对象的间接化，即实施入侵与攻击的主体的隐蔽化。通过一定的技术，可掩盖攻击主体的源地址及主机位置。即使用了隐蔽技术后，对于被攻击对象攻击的主体是无法直接确定的。

　　入侵或攻击的规模扩大。对于网络的入侵与攻击，在其初期往往是针对于某公司或一个网站，其攻击的目的可能为某些网络技术爱好者的猎奇行为，也不排除商业的盗窃与破坏行为。由于战争对电子技术与网络技术的依赖性越来越大，随之产生、发展、逐步升级到电子战与信息战。对于信息战，无论其规模与技术都与一般意义上的计算机网络的入侵与攻击都不可相提并论。信息战的成败与国家主干通信网络的安全是与任何主权国家领土安全一样的国家安全。

　　入侵或攻击技术的分布化。以往常用的入侵与攻击行为往往由单机执行。由于防范技术的发展使得此类行为不能奏效。所谓的分布式拒绝服务（DDoS）在很短时间内可造成被攻击主机的瘫痪。且此类分布式攻击的单机信息模式与正常通信无差异，所以往往在攻击发动的初期不易被确认。分布式攻击是近期最常用的攻击手段。

　　攻击对象的转移。入侵与攻击常以网络为侵犯的主体，但近期来的攻击行为却发生了策略性的改变，由攻击网络改为攻击网络的防护系统，且有愈演愈烈的趋势。现已有专门针对IDS作攻击的报道。攻击者详细地分析了IDS的审计方式、特征描述、通信模式找出IDS的弱点，然后加以攻击。

　　今后的入侵检测技术大致可朝下述三个方向发展。

　　分布式入侵检测

　　第一层含义，即针对分布式网络攻击的检测方法；第二层含义即使用分布式的方法来检测分布式的攻击，其中的关键技术为检测信息的协同处理与入侵攻击的全局信息的提取。

　　智能化入侵检测

　　即使用智能化的方法与手段来进行入侵检测。所谓的智能化方法，现阶段常用的有神经网络、遗传算法、模糊技术、免疫原理等方法，这些方法常用于入侵特征的辨识与泛化。利用专家系统的思想来构建入侵检测系统也是常用的方法之一。特别是具有自学习能力的专家系统，实现了知识库的不断更新与扩展，使设计的入侵检测系统的防范能力不断增强，应具有更广泛的应用前景。应用智能体的概念来进行入侵检测的尝试也已有报道。较为一致的解决方案应为高效常规意义下的入侵检测系统与具有智能检测功能的检测软件或模块的结合使用。

　　全面的安全防御方案

　　即使用安全工程风险管理的思想与方法来处理网络安全问题，将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、入侵检测多方位全面对所关注的网络作全面的评估，然后提出可行的全面解决方案。

　　基于内核的入侵检测

　　基于内核的入侵检测是一种相当巧妙的新型的Linux入侵检测系统。现在最主要的基于内核的入侵检测系统叫做LIDS，并可以从http://www.lids.org/ 下载。

　　什么是LIDS？LIDS是一种基于Linux内核的入侵检测和预防系统。

　　LIDS的保护目的是防止超级用户root的篡改系统重要部分的。LIDS主要的特点是提高系统的安全性，防止直接的端口连接或者是存储器连接，防止原始磁碟的使用，同时还要保护系统日志文件。LIDS当然也会适当制止一些特定的系统操作，譬如：安装sniffer、修改防火墙的配置文件。

　　LIDS文档工程

　　LIDS比安装PortSentry和LogCheck要复杂一点，但是很幸运的是，在LIDS的主页上面有详细的安装和配置手册。

　　安装LIDS

　　首先，在安装之前，我们需要大部分最新的LIDS软件包（我使用的是0.9）和适当的内核版本。我现在使用的是从Red Hat主页上下载的2.2.14-12版本的内核，因为其中包含一些安全补丁。同时你也需要你使用的内核的一些源代码。

　　现在的LIDS主要是适用于2.2.14版本的内核。我安装的在2.2.14的内核的Red Hat Linux 6.2上面安装了LIDS。在安装LIDS之前，我在ftp.redhat.com下载了最新的内核版本，并且依照http://www.redhat.com/support/docs/howto/kernel-upgrade/kernel-upgrade.html 安装了这个内核。

　　接着的事情就是升级内核源代码。这里我们是这样做的：

　　rpm -Uhv kernel-source-2.2.14-12.i386.rpm然后就是编译和安装lidsadm这个程序：

　　cd /usr/local/src/security/lids-0.9/lidsadm-0.9make

　　make install

　　生成一个RipeMD-160口令，这个以后将会在安装进内核的：

　　lidsadm -P输入口令是"anypass"，得到秘钥"d502d92bfead11d1ef17887c9db07a78108859e8"。接着，我把Redhat的配置文件拷贝到我的结构体系中，在/usr/src/linux目录下面：

　　cd /usr/src/linux/configs/

　　cp kernel-2.2.12-i686.config ..

　　下面我们就使用下面的命令来安装LIDS：

　　cd /usr/src

　　patch -p0 同时我们应该注意到Red Hat所提供的内核和Linus发布的标准的2.2.14版本的内核有一些细微的差别，因为其中包含一些修改过的驱动程序。同样lids-0.9-2.2.14-redhat.patch文件也是和LIDS发布的标准的lids-0.9-2.2.14.patch有一些细微的差别，不过可能后者并不是特别适合于Red Hat系统。

　　最后，就是配置、编译和安装内核了：

　　cd /usr/src/linuxmake menuconfig

　　make dep; make clean

　　make

　　install; make modules; make modules_install

　　下面的脚本展示了在配置内核的过程中我设置的LIDS配置选项：

　　[*] Linux Intrusion Detection System support (EXPERIMENTAL)--- LIDS features

　　[ ] Hang up console when raising a securit alert

　　[*] Security alert when execing unprotected programs before sealing

　　[ ] Do not execute unprotected programs before sealing LIDS

　　[*] Enable init children lock feature

　　[*] Try not to flood logs

　　(60) Authorised time between two identic logs (seconds)

　　[*] Allow switching LIDS protections

　　RipeMD-160 encrypted password: d502d92bfead11d1ef17887c9db07a78108859e8

　　(3) Number of attempts to submit password

　　(3) Time to wait after a fail (seconds)

　　[*] Allow remote users to switch LIDS protections

　　[ ] Allow any program to switch LIDS protections

　　[*] Allow reloading config. file

　　[ ] Hide some known processes

　　[*] Port Scanner Detector in kernel

　　[ ] Send security alerts through network

　　--- Special authorizations

　　[ ] Allow some known processes to access /dev/mem (xfree, etc.)

　　[ ] Allow some known processes to access raw disk devices

　　[ ] Allow some known processes to access io ports

　　[ ] Allow some known processes to change routes

　　--- Special UPS

　　[*] Allow some known processes to unmount devices

　　Allowed processes: "/etc/rc.d/init.d/halt;/etc/rc.d/init.d/netfs"

　　[*] Unmounting capability is inherited

　　[*] Allow some known processes to kill init children

　　Allowed processes: "/etc/rc.d/init.d/halt"

　　[*] Killing capability is inherited

　　看得出，我没有使用UPS，同时运行的是一个需要能够远程访问的服务器，我就按照上面的文件进行了配置，但是在实际应用过程中，每个人的系统根据环境不一样，会有一些差别。