【文章內(nèi)容簡介】 措施中或缺少防護措施時，系統(tǒng)所具有的弱點。 所謂風(fēng)險，是對某個已知的、可能引發(fā)某種成功攻擊的脆弱性的代價的測度。當(dāng)某個脆弱的資源的價值越高，且成功攻擊的概率越大時，風(fēng)險就越高；反之，當(dāng)某個脆弱資源的價值越低，且成功攻擊的概率越小時，風(fēng)險就越低。風(fēng)險分析能夠提供定量的方法，以確定是否應(yīng)保證防護措施方面的資金投入。 安全威脅有事時可以分為故意的（如黑客浸透）和偶然的（如信息被發(fā)往錯誤的地方）兩類。故意的威脅又可以進一步分為被動 攻擊和主動攻擊。被動攻擊只對信息進行監(jiān)聽（如搭線竊聽），而不對其進行修改。主動攻擊卻對信息進行故意的修改（如改動某次金融會話過程中貨幣的數(shù)量）。總之，被動攻擊比主動攻擊更容易以更少的花費付諸實施。 目前尚沒有統(tǒng)一的方法來對各種威脅加以區(qū)別和分類，也難以搞清各種威脅之間的相互關(guān)系。不同威脅的存在及其嚴(yán)重性隨著環(huán)境的變化而變化。然而，為了解釋網(wǎng)絡(luò)安全服務(wù)的作用，人們對現(xiàn)代計算機網(wǎng)絡(luò)以及通信過程中常遇到的一些威脅匯編成一些圖表。下面分三個階段對威脅進行分析：首先對基本的威脅加以區(qū)分；其次，對主要的可實現(xiàn)的威脅進行 分類；最后，對潛在的威脅進行分類。 安全威脅的來源 基本威脅 下面 4 種基本安全威脅直接反映了本章初始劃分的 4 個安全目標(biāo)。 信息被泄露或透漏給某個非授權(quán)的人或?qū)嶓w。這種威脅來自諸如竊聽、搭線或其他更加錯綜復(fù)雜的信息探測攻擊。 數(shù)據(jù)的一致性通過非授權(quán)的增刪、修改和破壞而受到損壞。 對信息或資源的訪問被無條件地阻止。這可能是由以下攻擊所致：攻擊者通過對系統(tǒng)進行非法的、根本無法成功的訪問嘗試而使系統(tǒng)產(chǎn)生過量的負荷，從而導(dǎo)致系統(tǒng)的資源在合法用戶看來是不可用 的。拒絕服務(wù)也可能是因為系統(tǒng)在物理上或邏輯上受到破壞而終端服務(wù)。 某個資源被某個非法授權(quán)的人，或以某種非授權(quán)的方式使用。例如，侵入某個計算機系統(tǒng)的攻擊者會利用此系統(tǒng)作為盜用電信服務(wù)的基點，或者作為侵入其第 5 頁（共 23 頁） 他系統(tǒng)的橋頭堡。 主要的可實現(xiàn)的威脅 在安全威脅中，主要的可實現(xiàn)威脅應(yīng)該引起高度關(guān)注，因為這類威脅一旦成功實施就會直接導(dǎo)致其他任何威脅的實施。只要的可實現(xiàn)威脅包括侵入威脅和植入威脅。 一、 主要的侵入類型的威脅如下： 某個實體（人或者系統(tǒng)）假裝成另外一個不同的實體。這是突入某一安全 防線最常用的方法。這個非授權(quán)的實體提示某個防線的守衛(wèi)者，使其相信他是一個合法的實體，此后便取了此合法的權(quán)利和特權(quán)。黑客大多采取這種假冒攻擊方式來實施攻擊。 為了獲得非授權(quán)的權(quán)利和特權(quán)，某個攻擊者會發(fā)掘系統(tǒng)的缺陷和安全性上的脆弱之處。例如，攻擊者通過各種手段發(fā)現(xiàn)原本應(yīng)保密，但是又暴露出來的一些系統(tǒng)“特征”。攻擊者可以繞過防線守衛(wèi)者侵入系統(tǒng)內(nèi)部。 一個授權(quán)以既定目的使用某個系統(tǒng)或資源的人，卻將其權(quán)限用于其他非授權(quán)的目的。這種攻擊的發(fā)起者往往屬于系統(tǒng)內(nèi)的某個合法用戶，因此這個攻擊又稱為 “內(nèi)部攻擊”。 二、 主要的植入類型的威脅如下： （ trojan horse） 軟件中含有一個察覺不出的或者無害的程序段。當(dāng)他被執(zhí)行時，會破壞用戶的安全性。例如一個表面上具有合法目的的應(yīng)用程序軟件，如文件編輯軟件，它具有一個暗藏的目的，就是將用戶的文件復(fù)制到一個隱藏的秘密文件中，這種應(yīng)用程序就稱為特洛伊木馬。此后，植入特洛伊木馬的那個攻擊者就是可以閱讀到該用戶的文件。 （ trap door） 在某個系統(tǒng)或其部件中設(shè)置“機關(guān)”，使在提供特定的輸入數(shù)據(jù)時，允許違反安全策略。例如，一個用戶登 錄子系統(tǒng)，如果設(shè)置有陷阱門，當(dāng)攻擊者輸入一個特別的用戶身份號時，就可以繞過通常的口令檢測。 潛在威脅 在某個特定的環(huán)境中，如果對任何一個基本威脅或者主要的可實現(xiàn)威脅進行分析，就能夠發(fā)現(xiàn)某些特定的潛在威脅，而任意一種潛在威脅都可能導(dǎo)致一些更基本的威脅的發(fā)生。例如，在對信息泄露這種基本威脅進行分析時，有可能找以下幾種潛在的威脅（不考慮主要的可實現(xiàn)威脅）： ? 竊聽（ eavesdropping）； ? 流量分析（ traffic analysis）； ? 操作人員的不慎所導(dǎo)致的信息泄露； 第 6 頁（共 23 頁） ? 媒體廢棄物所導(dǎo)致的信息泄露。 圖 21 列出了一些典型的威脅以及它們之間的相互關(guān)系。注意，圖中的路徑可以交錯。例如，假冒攻擊可以成為所有基本威脅的基礎(chǔ)，同時假冒攻擊本身也存在信息泄露的潛在威脅（因為信息泄露可能暴露某個口令，而用此口令可以實施假冒攻擊）。表 21 列出了各種威脅之間的差異，并分別進行了描述。 圖 21 典型的威脅及其相互關(guān)系 網(wǎng)絡(luò)安全防護措施 安全領(lǐng)域存在有多種類型的防護措施。除了采用密碼技術(shù)的防護措施之外，還有其他類型的安全防護措施： 計算機病毒的防范技術(shù) 在網(wǎng)絡(luò)環(huán)境下，防范計算機病毒僅采用單一的方 法來進行已經(jīng)無任何意義，要想徹底清除網(wǎng)絡(luò)病毒，必須選擇與網(wǎng)絡(luò)適合的全方位防病毒產(chǎn)品。如果對互聯(lián)網(wǎng)而言，除了需要網(wǎng)關(guān)的防病毒軟件，還必須對上網(wǎng)計算機的安全進行強化；如果在防范內(nèi)部局域網(wǎng)病毒時需要一個具有服務(wù)器操作系統(tǒng)平臺的防病毒軟件，這是遠遠不夠的，還需要針對各種桌面操作系統(tǒng)的防病毒軟件；如果在網(wǎng)絡(luò)內(nèi)部使用電子郵件進行信息交換時，為了識別出隱藏在電子郵件和附件中的病毒，還需要增加一套基于郵件服務(wù)器平臺的郵件防病毒軟件。由此可見，要想徹底的清除病毒，是需要使用全方位的防病毒產(chǎn)品進行配合。另外，在管理方面，要打擊 盜版，因為盜版軟件很容易染上病毒，訪問可靠的網(wǎng)站，在下載電子郵件附件時要先進行病毒掃描，確保無病毒后進行下載，最重要的是要對數(shù)據(jù)庫數(shù)據(jù)隨時進行備份。 身份認證技術(shù) 系統(tǒng)對用戶身份證明的核查的過程就是身份認證，就是對用戶是否具有它所第 7 頁（共 23 頁） 請求資源的存儲使用權(quán)進行查明。用戶向系統(tǒng)出示自己的身份證明的過程就是所謂的身份識別。一般情況下，將身份認證和身份識別統(tǒng)稱為身份認證。隨著黑客或木馬程序從網(wǎng)上截獲密碼的事件越來越多，用戶關(guān)鍵信息被竊情況越來越多，用戶已經(jīng)越來越認識到身份認證這一技術(shù)的重要性。身份認證 技術(shù)可以用于解決用戶的物理身份和數(shù)字身份的一致性問題，給其他安全技術(shù)提供權(quán)限管理的依據(jù)。 對于身份認證系統(tǒng)而言，合法用戶的身份是否易于被其他人冒充，這是最重要的技術(shù)指標(biāo)。用戶身份如果被其他不法分子冒充，不僅會對合法用戶的利益產(chǎn)生損害，而且還會對其他用戶的利益甚至整個系統(tǒng)都產(chǎn)生危害。由此可知，身份認證不僅是授權(quán)控制的基礎(chǔ)，而且還是整個信息安全體系的基礎(chǔ)。身份認證技術(shù)有以下幾種：基于口令的認證技術(shù)、給予密鑰的認證鑒別技術(shù)、基于智能卡和智能密碼鑰匙 (UsBKEY)的認證技術(shù)、基于生物特征識別的認證技術(shù)。對于生物 識別技術(shù)而言，其核心就是如何獲取這些生物特征，并將之轉(zhuǎn)換為數(shù)字信息、存儲于計算機中，并且完成驗證與識別個人身份是需要利用可靠的匹配算法來進行的。 入侵檢測技術(shù) 入侵檢測就是對 網(wǎng)絡(luò) 入侵行為進行檢測，入侵檢測技術(shù)屬于一種積極主動地安全保護技術(shù)，它對內(nèi)部攻擊、外部攻擊以及誤操作都提供了實時保護。入侵檢測一般采用誤用檢測技術(shù)和異常監(jiān)測技術(shù)。 這種檢測技術(shù)是假設(shè)所有的入侵者的活動都能夠表達為中 特征或模式，對已知的入侵行為進行分析并且把相應(yīng)的特征模型建立出來，這樣就把對入侵行為的檢測變成對特征模型匹配的搜索，如果與已知的入侵特征匹配，就斷定是攻擊，否則，便不是。對已知的攻擊，誤用入侵檢測技術(shù)檢測準(zhǔn)確度較高，但是對已知攻擊的變體或者是一些新型的攻擊的檢測準(zhǔn)確度則不高。因此，要想保證系統(tǒng)檢測能力的完備性是需要不斷的升級模型才行。目前，在絕大多數(shù)的商業(yè)化入侵檢測系統(tǒng)中，基本上都是采用這種檢測技術(shù)構(gòu)建。 異常檢測技術(shù)假設(shè)所有入侵者活動都與正常用戶的活動不同，分析正常用戶的活動并且構(gòu)建模型，把所有不同于正常模型的用戶活動狀態(tài)的數(shù)量統(tǒng)計出來，如果此活動與統(tǒng)計 規(guī)律 不相符，則表示可以是入侵行為。這種技術(shù)彌補了誤用檢測技術(shù)的不足，它能夠檢測到未知的入侵。但是，在許多環(huán)境中，建立正常用戶活動模式的特征輪廓以及對活動的異常性進行報警的閾值的確定都是比較困難的，另外，不是所有的非法入侵活動都在統(tǒng)計規(guī)律上表示異常。今后對入侵檢測技術(shù)的研究主要放在對異 常監(jiān)測技術(shù)方面。 另外， 計算 機網(wǎng)絡(luò)安全防范策略還包括一些被動防范策略。被動式防范策略主要包括隱藏 IP 地址、關(guān)閉端口、更換管理員賬戶等，本文只對以上 兩 種進行分析。 第 8 頁（共 23 頁） 第 3 章 入侵檢測原理 入侵檢測的概述 入侵檢測是指對入侵檢測行為的發(fā)現(xiàn) \報警和響應(yīng) ,他通過對計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析 ,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象 . 入侵檢測系統(tǒng) (intrusion detection system ,IDM ) 是完成入侵檢測功能的軟件和硬件的集合。 1980 年 4 月， James P . Anderson 在美國空軍起草的技術(shù)報告《計算機安全威脅檢測與監(jiān)視》中第一次詳細闡述了入侵檢測的概念。隨著網(wǎng)絡(luò)安全風(fēng)險系數(shù)不斷提高，防火墻作為曾經(jīng)最主要的安全防范手段已經(jīng)不能滿足人們對網(wǎng)絡(luò)安全的需求。作為對防火墻極其有益的補充，位于其后的第二道安全閘門 IDS 能夠幫助網(wǎng)絡(luò)系統(tǒng)快速發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的發(fā)生，有效擴展系統(tǒng)管理員的安全管理能力及提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。 IDS 能在不影響網(wǎng) 絡(luò)及主機性能的情況下對網(wǎng)絡(luò)數(shù)據(jù)流和主機審計數(shù)據(jù)進行監(jiān)聽和分析，對可疑的網(wǎng)絡(luò)連接和系統(tǒng)行為進行記錄和報警，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。 入侵檢測的功能 ? 入侵檢測的功能主要體現(xiàn)在一下幾個方面： ? 監(jiān)視并分析用戶和系統(tǒng)的活動。 ? 檢查系統(tǒng)配置和漏洞。 ? 識別已知的攻擊行為并報警。 ? 統(tǒng)計分析異常行為。 ? 評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性。 ? 操作系統(tǒng)的審計跟蹤管理，并識別違反安全策略的用戶行為。 入侵檢測的模型 為了提高 IDS 產(chǎn)品、組件及與其他安全產(chǎn)品之間的互操作性，美國國防高級研 究計劃署和 Inter 工程任組的入侵檢測工作組（ IDWG）發(fā)起并制定了一系列建議草案，從體系結(jié)構(gòu)、 API、通信機制、語言格式等方面規(guī)范 IDS 的標(biāo)準(zhǔn)。圖 31 是有美國國防高級研究計劃署所提出的通用入侵檢測框架（ mon intrusion detection framework, CIDF ）模型，將一個 IDS 分為事件產(chǎn)生器、分析引擎、響應(yīng)單元和事件數(shù)據(jù)庫 4 個組件。 第 9 頁（共 23 頁） 圖 31 入侵檢測通用模型 事件 產(chǎn)生器為入侵檢測系統(tǒng)提供必要的輸入，這些輸入構(gòu)成了檢測的基礎(chǔ)。分析引擎接收來自事件產(chǎn)生器的數(shù)據(jù)并檢查數(shù)據(jù)以發(fā)現(xiàn)入侵跡象。響應(yīng)單元對分析結(jié)果做出反應(yīng)，控制網(wǎng)絡(luò)或系統(tǒng)產(chǎn)生和分析結(jié)果相應(yīng)的動作。 入侵檢測的流程 基于 CIDF 模型，入侵檢測流程主要包括 3 個步驟，即信息收集、信息分析和結(jié)果處理。 入侵檢測的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為。這些信息由分布在主機或者網(wǎng)絡(luò)上的事件產(chǎn)生器提供，一般為審計記錄、網(wǎng)絡(luò)數(shù)據(jù)包以及其他可視行為。不同的入侵檢測系統(tǒng) 間需要收集的信息由于分析方