【正文】 式，這時可以利用自己制作的抓包工具、或是利用現(xiàn)有的監(jiān)聽 工具，如 Sniffer、 Netxray、 Tcpdump等工具就可以輕而易舉地截取包括用戶名、口令在內(nèi)的信息。 (3)WWW 攻擊：這一技術(shù)常采用兩種方式進行，一種是 URL（統(tǒng)一資源定位器）地址重寫， 6 另一種是相關(guān)信息掩蓋。前者是利用 URL 地址重寫將用戶瀏覽的網(wǎng)頁鏈接指向攻擊者的服務(wù)器，使得瀏覽者在查看信息的時候，不經(jīng)意進入到攻擊者的全套里；后者一般利用文檔信息、表單信息掩蓋結(jié)合前一種方式同時進行。常常使用 Java、 ActiveX、 JavaScript 程序來完成。 (4)木馬攻擊：這一攻擊常常是基 于網(wǎng)絡(luò)中的客戶機 /服務(wù)器原理。攻擊者利用在被攻擊者的計算機中安裝通過端口進行通信的客戶機 /服務(wù)器程序，使被控制端啟動一個默認(rèn)端口，成為服務(wù)器，而攻擊者作為客戶機一方，利用此端口可以發(fā)出連接請求，進而啟動被控制端的相應(yīng)程序，將該計算機完全控制；或者在被攻擊的計算機內(nèi)安裝具有觸發(fā)機制的程序，當(dāng)對該機操作觸發(fā)該程序，可將計算機內(nèi)的重要信息定時或不定時傳到異地的機器上去。常用的工具有 Glacier、SubSeven、 Acidshiver 等。 (5)緩沖區(qū)溢出攻擊：由于軟件編碼或是系統(tǒng)本身沒有對執(zhí)行的程序與緩 沖施加控制，使得在接受輸入的過程中，當(dāng)攻擊通過往程序的緩沖區(qū)寫入超出其長度的內(nèi)容時，系統(tǒng)會處于不穩(wěn)定狀態(tài)，利用這種不穩(wěn)定狀態(tài)，攻擊者可以通過加入代碼，在有 ROOT 權(quán)限的內(nèi)存中運行想要的指令，從而擁有系統(tǒng)管理員的權(quán)限，控制該機。如 DNSoverflow、 standoverflow 等。 (6)Dos攻擊：引起拒絕服務(wù)攻擊原因很多，有的是操作系統(tǒng)漏洞，有的是協(xié)議漏洞，有的是軟件本身的漏洞，還有的是錯誤配置的原因。大體上是利用合理的服務(wù)請求來占用過多的服務(wù)資源，致使資源耗盡或是資源過載，造成服務(wù)器癱瘓，其它 用戶無法想用該服務(wù)資源。常用的工具有 Smurf、 Stacheldraht、 Trinoo 等。 (7)DDOS 攻擊：分布式拒絕服務(wù)攻擊，首先通過以上所列舉得某種技術(shù)獲得多臺計算機的控制權(quán)，并在某一臺運行特定程序使其成為主控端，在其他機器中運行特定程序成為代理端，主控端控制多個代理端。當(dāng)主控端發(fā)出攻擊命令，每個響應(yīng)攻擊命令的代理端會向目標(biāo)主機發(fā)送拒絕服務(wù)攻擊的數(shù)據(jù)包，達到攻擊的目的。常用的工具有 TFN、 Trinoo、 Stacheldraht 等。 3 網(wǎng)絡(luò)安全體系 面對越來越嚴(yán)重的網(wǎng)絡(luò)安全問題，人們制定 了一系列的安全法則和評測標(biāo)準(zhǔn)，用來構(gòu)筑一個相對穩(wěn)固的安全系統(tǒng)。無論是安全模型，還是系統(tǒng)安全等級評估標(biāo)準(zhǔn)，人們主要是從身份認(rèn)證和訪問控制這兩個方面來保證系統(tǒng)的安全性。但是，傳統(tǒng)的身份認(rèn)證技術(shù)，并不能抵制脆弱性的口令、字典攻擊、特洛伊木馬、網(wǎng)絡(luò)窺探器等攻擊手段。對于訪問控制，入侵者也可以利用脆弱性程序或系統(tǒng)漏洞繞過訪問控制，或者提升用戶權(quán)限，或者非法讀寫文件等。網(wǎng)絡(luò)防火墻雖然為網(wǎng)絡(luò)服務(wù)提供了較好的身份認(rèn)證和訪問控制技術(shù)，但是防火墻并不能阻擋所有的入侵行為。 7 針對原有安全模型的缺陷，有些學(xué)者提出計算機信息系統(tǒng) 安全的管理模型應(yīng)包括 4 部分，如圖 11 所示。在這個模型中，構(gòu)筑一個安全系統(tǒng)防御模塊只是其中一小部分。檢測模塊用于發(fā)現(xiàn)各種違反系統(tǒng)安全規(guī)則的入侵行為。調(diào)查模塊將檢測模塊所獲得的數(shù)據(jù)加以分析，并確認(rèn)當(dāng)前所發(fā)生的有關(guān)入侵企圖。事后分析模塊分析將來如何抵制類似的入侵行為。在這以前，人們的注意力集中在防御模塊上，隨著系統(tǒng)脆弱性評估及入侵檢測工作的深入，檢測模塊也越來越受到人們的重視，而后兩個模塊的工作尚有待于進一步的開展。 當(dāng)今社會，對于信息系統(tǒng)的攻擊日趨頻繁。安全的概念已經(jīng)不局限于信息的保護，人們需要的是對整個信息 和信息系統(tǒng)的保護和防御，從而確保它們的保密性、完整性、可用性、可控性、不可否認(rèn)性等，包括了對信息的保護、檢測、反應(yīng)和恢復(fù)能力（ PDRR），其基本組成如圖 12所示。 1． 4 目前網(wǎng)絡(luò)安全現(xiàn)狀 目前最流行的網(wǎng)絡(luò)安全解決方案是入侵檢測系統(tǒng)和防火墻技術(shù)。 入侵檢測，就是對入侵行為的發(fā)現(xiàn)。它通過對計算機網(wǎng)絡(luò)和計算機系統(tǒng)中的若干關(guān)鍵點收集 8 信息并對其進行分析，從而發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的痕跡。 IDS通常架設(shè)在網(wǎng)絡(luò)重要節(jié)點與主機系統(tǒng)之上，可檢測網(wǎng)絡(luò)流量與內(nèi)容，或者分析網(wǎng)絡(luò)內(nèi)的信息流動。 防火 墻是用一個或一組網(wǎng)絡(luò)設(shè)備（計算機系統(tǒng)或路由器等），在兩個或多個網(wǎng)絡(luò)間加強訪問控制，以保護一個網(wǎng)絡(luò)不受來自另一個網(wǎng)絡(luò)攻擊的安全技術(shù)。其主要作用是執(zhí)行安全策略、提供訪問控制、防止不希望的以及未授權(quán)的通訊進出被保護的網(wǎng)絡(luò)、強化內(nèi)部網(wǎng)絡(luò)安全等。主機防火墻是一種網(wǎng)絡(luò)安全軟件，運行在受保護的主機上。其原理是通過在操作系統(tǒng)的網(wǎng)絡(luò)協(xié)議框架的適當(dāng)位置插入攔截點，讓所有的數(shù)據(jù)包都通過攔截點，再根據(jù)安全策略制定的過濾規(guī)則對通過的數(shù)據(jù)包進行檢查，過濾掉不允許通過的數(shù)據(jù)包，以保護主機不受外界的非法訪問和攻擊。 論文研究的內(nèi)容 和意義 目前，一般 IDS 所共有的一個缺點是生成的報警和日志的數(shù)量過于龐大。就目前的發(fā)展現(xiàn)狀來看， IDS還不能做到完全的自動化，對于檢測結(jié)果的最終確認(rèn)必須有人的參與，而數(shù)量龐大的報警和日志超出人的處理能力，必須找到辦法來解決這一問題。另外一個缺點是很多入侵檢測系統(tǒng)仍然采用人工響應(yīng)的形式。由于響應(yīng)及時性不夠并且無法處理大規(guī)模高速網(wǎng)絡(luò)中大量的安全事件，該方法已經(jīng)不能夠滿足目前入侵響應(yīng)的需求。 采用分布式入侵檢測體系結(jié)構(gòu) —— 基于分層部件的入侵檢測系統(tǒng)是目前解決這些問題的常用方法。分布式入侵檢測體系結(jié)構(gòu)具有良好的性能 和可擴展性，它將入侵潔廁系統(tǒng)和防火墻技術(shù)有機地結(jié)合在一起，可以實現(xiàn)對網(wǎng)絡(luò)的全面保護和深度防御。首先，本文總結(jié)了現(xiàn)有入侵檢測系統(tǒng)的體系結(jié)構(gòu)、報警融合、報警響應(yīng)，指出了現(xiàn)有入侵檢測系統(tǒng)錯在的問題， 介紹了入侵檢測系統(tǒng)將來可能的發(fā)展方向。接著，重點研究了分布式入侵檢測系統(tǒng)的體系結(jié)構(gòu)和各個功能的設(shè)計實現(xiàn)，具體研究內(nèi)容包括：系統(tǒng)結(jié)構(gòu)、控制臺設(shè)計、報警融合、報警響應(yīng)。最后，針對局域網(wǎng)實際安全需求，實現(xiàn)了分布式入侵檢測系統(tǒng)對網(wǎng)絡(luò)安全的保護，取得了不錯的應(yīng)用效果。 論文組織與安排 本文共分為五章。除本章緒論外，其它各 章的內(nèi)容安排如下： 防火墻與入侵檢測技術(shù)介紹 防火墻技術(shù) 防火墻是通過提供訪問控制服務(wù)來實現(xiàn)對網(wǎng)絡(luò)和受保護主機的網(wǎng)絡(luò)安全防護的，防火墻技術(shù)應(yīng)該結(jié)合入侵檢測系統(tǒng)和防木馬等技術(shù)，提供給用戶個高的網(wǎng)絡(luò)安全性。防火墻是一種網(wǎng)絡(luò)安全軟件，作為一個應(yīng)用程序或者服務(wù)，運行在受保護的主機上，為主機提供網(wǎng)絡(luò)安全保護。其主要手段是分析主機操作系統(tǒng)網(wǎng)絡(luò)協(xié)議架構(gòu)，在適當(dāng)?shù)奈恢貌迦霐r截點，所有的網(wǎng)絡(luò)數(shù)據(jù)包通訊都要經(jīng)過這些攔截點，再按照根據(jù)從策略服務(wù)器傳來的安全策略制定的過濾規(guī)則（訪問控制規(guī)則）對經(jīng)過攔截點的網(wǎng)絡(luò)信 息流進行監(jiān)控和審查，過濾掉任何不符合安全規(guī)則的信息，以保護主機不受外界的非法訪問和攻擊。對于主機防火墻來講，主機以外的網(wǎng)絡(luò)都是不可信的，而不像傳統(tǒng)邊界防火墻那樣信任內(nèi)網(wǎng)、防御外網(wǎng)。在制定安全策略的時候可以針對內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)確定不同 9 德過灘規(guī)則，但本質(zhì)上，內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)是平等的，都要進行防御。 1 防火墻的功能： （ 1） 過濾不安全服務(wù)和非法用戶 網(wǎng)路入侵有許多都是通過運行一些不安全的程序來實現(xiàn)的，這些程序有些是用戶知道的，有些是用戶不能擦覺的，它通過網(wǎng)絡(luò)悄悄地潛入你的計算機系統(tǒng)，伺機發(fā)作，實施破壞。因此 ，作為防火墻，應(yīng)當(dāng)能夠過濾掉所有的不安全數(shù)據(jù)，阻止它們進入內(nèi)部網(wǎng)絡(luò)，對于允許的安全數(shù)據(jù)，則可以自出入。這樣既可以保證正常的上網(wǎng)活動，又可以防止危機數(shù)據(jù)對自己的侵襲，保證上網(wǎng)安全。除了過濾不安全服務(wù)，防火墻還可以阻止非法用戶對內(nèi)部網(wǎng)絡(luò)的訪問，只允許授權(quán)的用戶訪問，針對不同的服務(wù)面向不同的用戶開放，這樣可以靈活地設(shè)置用戶的訪問權(quán)限，提高網(wǎng)絡(luò)的安全性。 （ 2） 控制訪問特殊站點 一般情況下，上網(wǎng)以后可以獲得各種信息，而網(wǎng)上信息五花八門，各式各樣的內(nèi)容都有。如果不加限制，就容易獲得一些色情、暴力等不健康的內(nèi)容，同時根據(jù)需要 ，有時我們要控制訪問某些站點，通過防火墻就可以實現(xiàn)這些目的。 （ 3） 監(jiān)視 Inter 安全和預(yù)警 對于來歷不明的數(shù)據(jù)，防火墻可以發(fā)出預(yù)警信息，同時可以監(jiān)視誰在使用網(wǎng)絡(luò)，他們在網(wǎng)上干什么，他們何時使用過網(wǎng)絡(luò)，在網(wǎng)上去了何處等內(nèi)容，獲得相關(guān)數(shù)據(jù)，為日后的安全技術(shù)分析提供依據(jù)。 2 防火墻的分類 按照功能防火墻分為以下 3 類 （ 1） 包過濾型 防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些 “包 ” 是否來自可信任的安全站點，一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包，防火墻便會將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實際情況靈活制訂判 斷規(guī)則。 （ 2）應(yīng)用級網(wǎng)關(guān) 應(yīng)用級網(wǎng)關(guān)能夠在應(yīng)用層上理解協(xié)議，通過網(wǎng)關(guān)復(fù)制傳遞數(shù)據(jù)，實現(xiàn)復(fù)雜的控制訪問，一般通過代理服務(wù)器完成操作控制。 （ 3） 規(guī)則檢查防火墻 規(guī)則檢查防火墻集中了上述二類防火墻的特點，同時又有自己先進的算法，因此安全功能更好，目前市場上流行的防火墻大多屬于該類產(chǎn)品。 入侵檢測系統(tǒng) 1 常用的入侵檢測技術(shù) 入侵檢測過程事一個檢測系統(tǒng)與入侵攻擊者之間對抗的決策分析過程，其技術(shù)基礎(chǔ)事基于知識和冗余推理方法的信息融合技術(shù)，而大部分工作是通過模式匹配、數(shù)據(jù)挖掘、特征選取以及機器學(xué)習(xí)等方法對數(shù) 據(jù)進行分類處理。常用的入侵檢測技術(shù)分為兩大類，即濫用檢測和異常檢測 [6]。濫用檢測（ Misuse Detection）是根據(jù)已知的入侵模式特征，通過對被監(jiān)視目標(biāo)特定行為的模式匹配 10 來進行的關(guān)于已知入侵的檢測；而異常檢測（ Anomaly Detection）則是事先以最近的歷史數(shù)據(jù)建立被監(jiān)視目標(biāo)（用戶，系統(tǒng)和網(wǎng)絡(luò)資源等）在正常情況下的行為和狀態(tài)的統(tǒng)計描述，通過檢測這些統(tǒng)計描述的當(dāng)前值是否顯著偏離了其相應(yīng)的正常情況下的統(tǒng)計描述來進行入侵的檢測。 （ 1） 濫用入侵檢測技術(shù) 濫用入侵檢測技術(shù)的應(yīng)用是建立在對過去各種已知網(wǎng)絡(luò)入 侵方法和系統(tǒng)缺陷知識的積累上，它需要首先建立一個包含上述已知信息的數(shù)據(jù)庫，然后在收集到的網(wǎng)絡(luò)活動信息中尋找與數(shù)據(jù)庫項目匹配相關(guān)的蛛絲馬跡。當(dāng)發(fā)現(xiàn)符合條件的活動線素后，它就會觸發(fā)一個警告，這就是說，任何不符合特定匹配條件的活動都將會被認(rèn)為是合法和可以接受的，哪怕其中包含隱藏的入侵行為。因此，濫用檢測系統(tǒng)具備較高的檢測準(zhǔn)確性，但是，它的完整性（即檢測全部入侵行為的能力）則取決于其數(shù)據(jù)庫的幾時更新程度。 可以看出，濫用入侵檢測技術(shù)的優(yōu)點在于具有非常低的虛警率，同時檢測的匹配條件可以進行清楚的描述，從而有利于安全管 理人員采取清晰明確的預(yù)防保護措施。然而，濫用入侵檢測技術(shù)的一個明顯缺陷在于，手機所有已知或是已發(fā)現(xiàn)攻擊行為和系統(tǒng)脆弱性信息的困難性以及幾時更新龐大數(shù)據(jù)庫需要消耗大量精力和時間，這是一項艱苦工作。另一個存在的問題事可移植性，因為關(guān)于網(wǎng)絡(luò)攻擊的絕大多數(shù)是與主機的操作系統(tǒng)、軟件平臺和應(yīng)用類型密切相關(guān)的，因此帶來的后果是這樣的入侵檢測系統(tǒng)只能在某個特定的環(huán)境下生效。最后，檢測內(nèi)部用戶的濫用權(quán)限的活動將變得相當(dāng)困難，因為通常該種行為并未利用任何系統(tǒng)缺陷。 在濫用入侵檢測系統(tǒng)中，研究者們提出基于各種技術(shù)類型的檢測器， 如專家系統(tǒng)技術(shù)、特征分析技術(shù)、 Petri網(wǎng)技術(shù)、狀態(tài)轉(zhuǎn)移分析技術(shù)等等。 專家系統(tǒng)技術(shù)在各種開發(fā)模型中得到廣泛應(yīng)用。通常，專家系統(tǒng)中包含一系列描述攻擊行為的規(guī)則，當(dāng)審計數(shù)據(jù)事件被轉(zhuǎn)換成為能夠被專家系統(tǒng)理解的包含特定警告程度信息的事實后，專家系統(tǒng)應(yīng)用一個推理機在事實和規(guī)則的基礎(chǔ)上推出最后結(jié)論。這里，原始的審計數(shù)據(jù)被抽象成系統(tǒng)能夠理解的事實，有利于進一步應(yīng)用更高層次的各種分析技術(shù)。 采用專家系統(tǒng)技術(shù)的典型例子有 SRI 公司開發(fā)的入侵檢測專家系統(tǒng)（ IDES， Intrusion Detection Expert System）。由于處理速度的原因，專家系統(tǒng)技術(shù)目前只是在各種研究原型中得到應(yīng)用，而商業(yè)化的軟件產(chǎn)品采用了其他效率更高的技術(shù)，其中目前應(yīng)用最廣泛的就是特征分析技術(shù)。與專家系統(tǒng)技術(shù)比較，相同之處是同樣要收集關(guān)于網(wǎng)絡(luò)入侵行為的各種知識，不同點是特征分析技術(shù)更直接的運用收集到的各種知識，例如入侵行為可以被轉(zhuǎn)化成它們在實施過程中所產(chǎn)生的一個事件序列或某種系統(tǒng)審計文件以及網(wǎng)絡(luò)數(shù)據(jù)包中的數(shù)據(jù)樣板模型。 （ 2） 異常檢測技術(shù) 又稱為基于行為（ Behavior Based）的入侵檢測技術(shù)，它是建立在如下假設(shè)基礎(chǔ)上的，即任何一種入侵 行為都能由于其偏離正?；蛘咂谕南到y(tǒng)和用戶的活動規(guī)律而被檢測出來。描述正確或是合法的模型是從對過去通過各種渠道收集到的大量歷史活動資料的分析中得出來的。入侵檢測系統(tǒng)將它與當(dāng)前的活動情況進行對比，如果發(fā)現(xiàn)了當(dāng)前狀態(tài)偏離了正常的模型狀態(tài)，則系統(tǒng)發(fā)出警 11 告信號，這就是說，任何不符合以往活動規(guī)律的行為都將視為入侵行為。因此，非規(guī)則入侵檢測系統(tǒng)的檢測完整性很高，但要保證它具有很高的正確性很困難。 此類檢測技術(shù)的優(yōu)點在于它能夠發(fā)現(xiàn)任何企圖發(fā)掘、試探系統(tǒng)最新和未知漏洞的行為，同時在某種程度上，它較少依賴特定的操作系統(tǒng)環(huán)境。 另外，對于合法用戶超越其權(quán)限的違法行為的檢測能力大大加強。 較高的虛報警率是此種方法的主要缺陷，因為信息系統(tǒng)所有的正?；顒硬⒉灰欢ㄔ趯W(xué)習(xí)建模階段就被全部了解。另外