【正文】 式，這時可以利用自己制作的抓包工具、或是利用現(xiàn)有的監(jiān)聽 工具，如 Sniffer、 Netxray、 Tcpdump等工具就可以輕而易舉地截取包括用戶名、口令在內的信息。 (3)WWW 攻擊：這一技術常采用兩種方式進行，一種是 URL（統(tǒng)一資源定位器）地址重寫， 6 另一種是相關信息掩蓋。前者是利用 URL 地址重寫將用戶瀏覽的網頁鏈接指向攻擊者的服務器，使得瀏覽者在查看信息的時候，不經意進入到攻擊者的全套里；后者一般利用文檔信息、表單信息掩蓋結合前一種方式同時進行。常常使用 Java、 ActiveX、 JavaScript 程序來完成。 (4)木馬攻擊：這一攻擊常常是基 于網絡中的客戶機 /服務器原理。攻擊者利用在被攻擊者的計算機中安裝通過端口進行通信的客戶機 /服務器程序，使被控制端啟動一個默認端口，成為服務器，而攻擊者作為客戶機一方，利用此端口可以發(fā)出連接請求，進而啟動被控制端的相應程序，將該計算機完全控制；或者在被攻擊的計算機內安裝具有觸發(fā)機制的程序，當對該機操作觸發(fā)該程序，可將計算機內的重要信息定時或不定時傳到異地的機器上去。常用的工具有 Glacier、SubSeven、 Acidshiver 等。 (5)緩沖區(qū)溢出攻擊：由于軟件編碼或是系統(tǒng)本身沒有對執(zhí)行的程序與緩 沖施加控制，使得在接受輸入的過程中，當攻擊通過往程序的緩沖區(qū)寫入超出其長度的內容時，系統(tǒng)會處于不穩(wěn)定狀態(tài)，利用這種不穩(wěn)定狀態(tài)，攻擊者可以通過加入代碼，在有 ROOT 權限的內存中運行想要的指令，從而擁有系統(tǒng)管理員的權限，控制該機。如 DNSoverflow、 standoverflow 等。 (6)Dos攻擊：引起拒絕服務攻擊原因很多，有的是操作系統(tǒng)漏洞，有的是協(xié)議漏洞，有的是軟件本身的漏洞，還有的是錯誤配置的原因。大體上是利用合理的服務請求來占用過多的服務資源，致使資源耗盡或是資源過載，造成服務器癱瘓，其它 用戶無法想用該服務資源。常用的工具有 Smurf、 Stacheldraht、 Trinoo 等。 (7)DDOS 攻擊：分布式拒絕服務攻擊，首先通過以上所列舉得某種技術獲得多臺計算機的控制權，并在某一臺運行特定程序使其成為主控端，在其他機器中運行特定程序成為代理端，主控端控制多個代理端。當主控端發(fā)出攻擊命令，每個響應攻擊命令的代理端會向目標主機發(fā)送拒絕服務攻擊的數據包，達到攻擊的目的。常用的工具有 TFN、 Trinoo、 Stacheldraht 等。 3 網絡安全體系 面對越來越嚴重的網絡安全問題，人們制定 了一系列的安全法則和評測標準，用來構筑一個相對穩(wěn)固的安全系統(tǒng)。無論是安全模型，還是系統(tǒng)安全等級評估標準，人們主要是從身份認證和訪問控制這兩個方面來保證系統(tǒng)的安全性。但是，傳統(tǒng)的身份認證技術，并不能抵制脆弱性的口令、字典攻擊、特洛伊木馬、網絡窺探器等攻擊手段。對于訪問控制，入侵者也可以利用脆弱性程序或系統(tǒng)漏洞繞過訪問控制，或者提升用戶權限，或者非法讀寫文件等。網絡防火墻雖然為網絡服務提供了較好的身份認證和訪問控制技術，但是防火墻并不能阻擋所有的入侵行為。 7 針對原有安全模型的缺陷，有些學者提出計算機信息系統(tǒng) 安全的管理模型應包括 4 部分，如圖 11 所示。在這個模型中，構筑一個安全系統(tǒng)防御模塊只是其中一小部分。檢測模塊用于發(fā)現(xiàn)各種違反系統(tǒng)安全規(guī)則的入侵行為。調查模塊將檢測模塊所獲得的數據加以分析，并確認當前所發(fā)生的有關入侵企圖。事后分析模塊分析將來如何抵制類似的入侵行為。在這以前，人們的注意力集中在防御模塊上，隨著系統(tǒng)脆弱性評估及入侵檢測工作的深入，檢測模塊也越來越受到人們的重視，而后兩個模塊的工作尚有待于進一步的開展。 當今社會，對于信息系統(tǒng)的攻擊日趨頻繁。安全的概念已經不局限于信息的保護，人們需要的是對整個信息 和信息系統(tǒng)的保護和防御，從而確保它們的保密性、完整性、可用性、可控性、不可否認性等，包括了對信息的保護、檢測、反應和恢復能力（ PDRR），其基本組成如圖 12所示。 1． 4 目前網絡安全現(xiàn)狀 目前最流行的網絡安全解決方案是入侵檢測系統(tǒng)和防火墻技術。 入侵檢測，就是對入侵行為的發(fā)現(xiàn)。它通過對計算機網絡和計算機系統(tǒng)中的若干關鍵點收集 8 信息并對其進行分析，從而發(fā)現(xiàn)網絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的痕跡。 IDS通常架設在網絡重要節(jié)點與主機系統(tǒng)之上，可檢測網絡流量與內容，或者分析網絡內的信息流動。 防火 墻是用一個或一組網絡設備（計算機系統(tǒng)或路由器等），在兩個或多個網絡間加強訪問控制，以保護一個網絡不受來自另一個網絡攻擊的安全技術。其主要作用是執(zhí)行安全策略、提供訪問控制、防止不希望的以及未授權的通訊進出被保護的網絡、強化內部網絡安全等。主機防火墻是一種網絡安全軟件，運行在受保護的主機上。其原理是通過在操作系統(tǒng)的網絡協(xié)議框架的適當位置插入攔截點，讓所有的數據包都通過攔截點，再根據安全策略制定的過濾規(guī)則對通過的數據包進行檢查，過濾掉不允許通過的數據包，以保護主機不受外界的非法訪問和攻擊。 論文研究的內容 和意義 目前，一般 IDS 所共有的一個缺點是生成的報警和日志的數量過于龐大。就目前的發(fā)展現(xiàn)狀來看， IDS還不能做到完全的自動化，對于檢測結果的最終確認必須有人的參與，而數量龐大的報警和日志超出人的處理能力，必須找到辦法來解決這一問題。另外一個缺點是很多入侵檢測系統(tǒng)仍然采用人工響應的形式。由于響應及時性不夠并且無法處理大規(guī)模高速網絡中大量的安全事件，該方法已經不能夠滿足目前入侵響應的需求。 采用分布式入侵檢測體系結構 —— 基于分層部件的入侵檢測系統(tǒng)是目前解決這些問題的常用方法。分布式入侵檢測體系結構具有良好的性能 和可擴展性，它將入侵潔廁系統(tǒng)和防火墻技術有機地結合在一起，可以實現(xiàn)對網絡的全面保護和深度防御。首先，本文總結了現(xiàn)有入侵檢測系統(tǒng)的體系結構、報警融合、報警響應，指出了現(xiàn)有入侵檢測系統(tǒng)錯在的問題， 介紹了入侵檢測系統(tǒng)將來可能的發(fā)展方向。接著，重點研究了分布式入侵檢測系統(tǒng)的體系結構和各個功能的設計實現(xiàn)，具體研究內容包括：系統(tǒng)結構、控制臺設計、報警融合、報警響應。最后，針對局域網實際安全需求，實現(xiàn)了分布式入侵檢測系統(tǒng)對網絡安全的保護，取得了不錯的應用效果。 論文組織與安排 本文共分為五章。除本章緒論外，其它各 章的內容安排如下： 防火墻與入侵檢測技術介紹 防火墻技術 防火墻是通過提供訪問控制服務來實現(xiàn)對網絡和受保護主機的網絡安全防護的，防火墻技術應該結合入侵檢測系統(tǒng)和防木馬等技術，提供給用戶個高的網絡安全性。防火墻是一種網絡安全軟件，作為一個應用程序或者服務，運行在受保護的主機上，為主機提供網絡安全保護。其主要手段是分析主機操作系統(tǒng)網絡協(xié)議架構，在適當的位置插入攔截點，所有的網絡數據包通訊都要經過這些攔截點，再按照根據從策略服務器傳來的安全策略制定的過濾規(guī)則（訪問控制規(guī)則）對經過攔截點的網絡信 息流進行監(jiān)控和審查，過濾掉任何不符合安全規(guī)則的信息，以保護主機不受外界的非法訪問和攻擊。對于主機防火墻來講，主機以外的網絡都是不可信的，而不像傳統(tǒng)邊界防火墻那樣信任內網、防御外網。在制定安全策略的時候可以針對內部網絡和外部網絡確定不同 9 德過灘規(guī)則，但本質上，內部網絡和外部網絡是平等的，都要進行防御。 1 防火墻的功能： （ 1） 過濾不安全服務和非法用戶 網路入侵有許多都是通過運行一些不安全的程序來實現(xiàn)的，這些程序有些是用戶知道的，有些是用戶不能擦覺的，它通過網絡悄悄地潛入你的計算機系統(tǒng)，伺機發(fā)作，實施破壞。因此 ，作為防火墻，應當能夠過濾掉所有的不安全數據，阻止它們進入內部網絡，對于允許的安全數據，則可以自出入。這樣既可以保證正常的上網活動，又可以防止危機數據對自己的侵襲，保證上網安全。除了過濾不安全服務，防火墻還可以阻止非法用戶對內部網絡的訪問，只允許授權的用戶訪問，針對不同的服務面向不同的用戶開放，這樣可以靈活地設置用戶的訪問權限，提高網絡的安全性。 （ 2） 控制訪問特殊站點 一般情況下，上網以后可以獲得各種信息，而網上信息五花八門，各式各樣的內容都有。如果不加限制，就容易獲得一些色情、暴力等不健康的內容，同時根據需要 ，有時我們要控制訪問某些站點，通過防火墻就可以實現(xiàn)這些目的。 （ 3） 監(jiān)視 Inter 安全和預警 對于來歷不明的數據，防火墻可以發(fā)出預警信息，同時可以監(jiān)視誰在使用網絡，他們在網上干什么，他們何時使用過網絡，在網上去了何處等內容，獲得相關數據，為日后的安全技術分析提供依據。 2 防火墻的分類 按照功能防火墻分為以下 3 類 （ 1） 包過濾型 防火墻通過讀取數據包中的地址信息來判斷這些 “包 ” 是否來自可信任的安全站點，一旦發(fā)現(xiàn)來自危險站點的數據包，防火墻便會將這些數據拒之門外。系統(tǒng)管理員也可以根據實際情況靈活制訂判 斷規(guī)則。 （ 2）應用級網關 應用級網關能夠在應用層上理解協(xié)議，通過網關復制傳遞數據，實現(xiàn)復雜的控制訪問，一般通過代理服務器完成操作控制。 （ 3） 規(guī)則檢查防火墻 規(guī)則檢查防火墻集中了上述二類防火墻的特點，同時又有自己先進的算法，因此安全功能更好，目前市場上流行的防火墻大多屬于該類產品。 入侵檢測系統(tǒng) 1 常用的入侵檢測技術 入侵檢測過程事一個檢測系統(tǒng)與入侵攻擊者之間對抗的決策分析過程，其技術基礎事基于知識和冗余推理方法的信息融合技術，而大部分工作是通過模式匹配、數據挖掘、特征選取以及機器學習等方法對數 據進行分類處理。常用的入侵檢測技術分為兩大類，即濫用檢測和異常檢測 [6]。濫用檢測（ Misuse Detection）是根據已知的入侵模式特征，通過對被監(jiān)視目標特定行為的模式匹配 10 來進行的關于已知入侵的檢測；而異常檢測（ Anomaly Detection）則是事先以最近的歷史數據建立被監(jiān)視目標（用戶，系統(tǒng)和網絡資源等）在正常情況下的行為和狀態(tài)的統(tǒng)計描述，通過檢測這些統(tǒng)計描述的當前值是否顯著偏離了其相應的正常情況下的統(tǒng)計描述來進行入侵的檢測。 （ 1） 濫用入侵檢測技術 濫用入侵檢測技術的應用是建立在對過去各種已知網絡入 侵方法和系統(tǒng)缺陷知識的積累上，它需要首先建立一個包含上述已知信息的數據庫，然后在收集到的網絡活動信息中尋找與數據庫項目匹配相關的蛛絲馬跡。當發(fā)現(xiàn)符合條件的活動線素后，它就會觸發(fā)一個警告，這就是說，任何不符合特定匹配條件的活動都將會被認為是合法和可以接受的，哪怕其中包含隱藏的入侵行為。因此，濫用檢測系統(tǒng)具備較高的檢測準確性，但是，它的完整性（即檢測全部入侵行為的能力）則取決于其數據庫的幾時更新程度。 可以看出，濫用入侵檢測技術的優(yōu)點在于具有非常低的虛警率，同時檢測的匹配條件可以進行清楚的描述，從而有利于安全管 理人員采取清晰明確的預防保護措施。然而，濫用入侵檢測技術的一個明顯缺陷在于，手機所有已知或是已發(fā)現(xiàn)攻擊行為和系統(tǒng)脆弱性信息的困難性以及幾時更新龐大數據庫需要消耗大量精力和時間，這是一項艱苦工作。另一個存在的問題事可移植性，因為關于網絡攻擊的絕大多數是與主機的操作系統(tǒng)、軟件平臺和應用類型密切相關的，因此帶來的后果是這樣的入侵檢測系統(tǒng)只能在某個特定的環(huán)境下生效。最后，檢測內部用戶的濫用權限的活動將變得相當困難，因為通常該種行為并未利用任何系統(tǒng)缺陷。 在濫用入侵檢測系統(tǒng)中，研究者們提出基于各種技術類型的檢測器， 如專家系統(tǒng)技術、特征分析技術、 Petri網技術、狀態(tài)轉移分析技術等等。 專家系統(tǒng)技術在各種開發(fā)模型中得到廣泛應用。通常，專家系統(tǒng)中包含一系列描述攻擊行為的規(guī)則，當審計數據事件被轉換成為能夠被專家系統(tǒng)理解的包含特定警告程度信息的事實后，專家系統(tǒng)應用一個推理機在事實和規(guī)則的基礎上推出最后結論。這里，原始的審計數據被抽象成系統(tǒng)能夠理解的事實，有利于進一步應用更高層次的各種分析技術。 采用專家系統(tǒng)技術的典型例子有 SRI 公司開發(fā)的入侵檢測專家系統(tǒng)（ IDES， Intrusion Detection Expert System）。由于處理速度的原因，專家系統(tǒng)技術目前只是在各種研究原型中得到應用，而商業(yè)化的軟件產品采用了其他效率更高的技術，其中目前應用最廣泛的就是特征分析技術。與專家系統(tǒng)技術比較，相同之處是同樣要收集關于網絡入侵行為的各種知識，不同點是特征分析技術更直接的運用收集到的各種知識，例如入侵行為可以被轉化成它們在實施過程中所產生的一個事件序列或某種系統(tǒng)審計文件以及網絡數據包中的數據樣板模型。 （ 2） 異常檢測技術 又稱為基于行為（ Behavior Based）的入侵檢測技術，它是建立在如下假設基礎上的，即任何一種入侵 行為都能由于其偏離正常或者期望的系統(tǒng)和用戶的活動規(guī)律而被檢測出來。描述正確或是合法的模型是從對過去通過各種渠道收集到的大量歷史活動資料的分析中得出來的。入侵檢測系統(tǒng)將它與當前的活動情況進行對比，如果發(fā)現(xiàn)了當前狀態(tài)偏離了正常的模型狀態(tài)，則系統(tǒng)發(fā)出警 11 告信號，這就是說，任何不符合以往活動規(guī)律的行為都將視為入侵行為。因此，非規(guī)則入侵檢測系統(tǒng)的檢測完整性很高，但要保證它具有很高的正確性很困難。 此類檢測技術的優(yōu)點在于它能夠發(fā)現(xiàn)任何企圖發(fā)掘、試探系統(tǒng)最新和未知漏洞的行為，同時在某種程度上，它較少依賴特定的操作系統(tǒng)環(huán)境。 另外，對于合法用戶超越其權限的違法行為的檢測能力大大加強。 較高的虛報警率是此種方法的主要缺陷，因為信息系統(tǒng)所有的正?；顒硬⒉灰欢ㄔ趯W習建模階段就被全部了解。另外