【文章內容簡介】 一種能及時發(fā)現(xiàn)并報告系統(tǒng)中未授權或異?，F(xiàn)象的技術，可實時監(jiān)控和檢測網(wǎng)絡或系統(tǒng)中的活動狀態(tài)，一旦發(fā)現(xiàn)網(wǎng)絡中的可 疑行為或惡意攻擊， IDS 便可做出及時的報警和響應，甚至可以調整防火墻的配置策略，與其進行聯(lián)動。 目前，入侵檢測系統(tǒng)已能為來自內外部的各種入侵提供全面的安全防御，給客戶帶來識別各種黑客入侵的方法和手段、監(jiān)控內部人員的誤操作等，幫用戶及時發(fā)現(xiàn)并解決安全問題和協(xié)助管理員加強網(wǎng)絡安全的管理。 第二章 常用入侵手段與防范對策 黑客入侵過程概述 隨著通訊和計算機技術的迅猛發(fā)展，計算機網(wǎng)絡向世界各個角落迅速延伸。國家政府機構、各企事業(yè)單位不僅大多建立了自己的局域網(wǎng)系統(tǒng)，而且通過各種方式與互聯(lián)網(wǎng)相連。通過上 網(wǎng)樹立形象、開展業(yè)務，已經(jīng)成為政府辦公、企業(yè)發(fā)展的重要手段。然而， Inter（互聯(lián)網(wǎng)）這一開放系統(tǒng)在給人們帶來便利的同時，也帶來一些問題 。例如 網(wǎng)絡安全問題愈來愈突出， 關于通過網(wǎng)絡攻擊信息系統(tǒng)，造成經(jīng)濟損失的事件已有多起，并時常見諸報端。在科技最發(fā)達、防御最嚴密的美國國防部五角大樓內，每年都有成千上萬的非法入侵者侵入其內部網(wǎng)絡系統(tǒng)，我國的 ISP、證券公司及銀行也多次被國內外黑客攻擊。 但是仍然 有些單位對自己網(wǎng)絡的安全問題毫無認識，以致對是否遭受黑客入侵及 自身的 網(wǎng)絡安全問題毫不知曉。 11 我國信息化事業(yè)能否順利 發(fā)展，一個很關鍵的因素便是網(wǎng)絡信息的安全問題，這已成為制約網(wǎng)絡發(fā)展的首要因素。許多單位不敢涉足網(wǎng)絡領域、許多行業(yè)不能充分利用網(wǎng)絡的性能優(yōu)勢、許多個人對網(wǎng)絡安全沒信心，這些都成為網(wǎng)絡發(fā)展的制約因素，所以，重視和加快網(wǎng)絡安全問題的研究和產(chǎn)品開發(fā)具有重要意義。 黑客入侵防范是網(wǎng)絡安全的重要組成部分。北京中科網(wǎng)威信息技術有限公司在多年研究工作的基礎上，提出了一種動態(tài)、多層次的黑客入侵防范體系。它以評估為基礎，以策略為核心，以防護、偵測、響應和恢復為手段構成一個體系 —— 中科網(wǎng)威黑客入侵防范體系，如圖所示： 完整準確的安全評估是中科網(wǎng)威黑客入侵防范體系的基礎。她對現(xiàn)有或將要構建的整個網(wǎng)絡的安全防護性能作出科學、準確的分析評估，并保障將要實施的安全策略技術上的可實現(xiàn)性、經(jīng)濟上的可行性和組織上的可執(zhí)行性。一個成功的網(wǎng)絡安全體系開始于一個全面的安全策略，它是所有安全技術和措施的基礎，也是整個中科網(wǎng)威黑客入侵防范體系的核心。 防護是用于提高安全性能，抵抗入侵的主動防御手段。它通過建立一種機制來檢查系統(tǒng)的安全設置，發(fā)現(xiàn)整個網(wǎng)絡的風險和弱點，確保每層是相互配合而不是相互抵觸地工作，檢測與策略相違背的情況，確保與公司安全政策 保持一致。在防護中通過使用漏洞掃描工具及時發(fā)現(xiàn)問題并進行修補，使用防護工具，通過抗毀技術、系統(tǒng)安全優(yōu)化配置技術的實施，防火墻、 VPN、加密認證等技術和措施的使用，來提高網(wǎng)絡抵抗黑客入侵的能力。偵測是保證主動及時發(fā)現(xiàn)攻擊行為，為快速響應提供可能的關鍵環(huán)節(jié)。使用基于網(wǎng)絡的和基于主機的 IDS，加上對偵測系統(tǒng)實施隱蔽技術，可以防止黑客發(fā)現(xiàn)防護手段進而破壞偵測系統(tǒng)，從而為及時發(fā)現(xiàn)攻擊行為并做出響應贏得時間。采用與防火墻互聯(lián)互動、互動互防的技術手段，形成一個整體策略，而不是單兵作戰(zhàn)，強調協(xié)作技術，設立安全監(jiān)控中心，掌握 整個網(wǎng)絡的安全運行狀態(tài)，是防止入侵的關鍵環(huán)節(jié)。 中科網(wǎng)威黑客入侵防范體系 11 12 在發(fā)現(xiàn)入侵行為后，為及時切斷入侵、抵抗攻擊者的進一步破壞活動，做出及時準確的響應是必須的。使用實時響應阻斷系統(tǒng)、攻擊源跟蹤系統(tǒng)、取證系統(tǒng)和必要的反擊系統(tǒng)來確保響應的準確、有效和及時，預防同類事件的再發(fā)生，并為捕獲攻擊者提供可能，為抵抗黑客入侵提供有效的保障。 恢復是防范體系的又一個環(huán)節(jié)，無論防范多嚴密，都很難確保萬無一失，所以，采用亡羊補牢、猶為未晚的策略，使用完善的備份機制確保內容的可恢復性，借助自動恢復系統(tǒng)、快速恢復系統(tǒng)來控制和修復破壞，將損失降至最低。 針對以上體系，北京中科網(wǎng)威信息技術有限公司專門研制開發(fā)了一系列網(wǎng)絡安全產(chǎn)品 —— “火眼”網(wǎng)絡安全評估分析系統(tǒng)、“天眼”入侵偵測系統(tǒng)、“磐石”網(wǎng)站監(jiān)控與恢復系統(tǒng)、“長城”防火墻。它們處于體系中的一個或多個層次，適用于各級 Inter /Intra 信息系統(tǒng)、金融證券和其它網(wǎng)絡，它們能成為您網(wǎng)絡的安全守護神，忠實地維護您的形象和保護您的利益。 常用入侵手段與防范對策 入侵檢測系統(tǒng)通過對計算機網(wǎng)絡或系統(tǒng)中的若干關鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)是否有違反安全策略的行為和被攻擊的跡象，它不僅能檢測來自外部的入侵行為，同時也監(jiān)督內部用戶的未授權活動，因此成為繼防病毒和防火墻之后另一被廣泛注意的網(wǎng)絡安全設備。這是一種集檢測、記錄、報警、響應的動態(tài)安全技術，它已經(jīng)漸漸地從 “ 入侵檢測 ” 發(fā)展為 “ 入侵防御 ” 了。 在入侵檢測系統(tǒng)檢測到網(wǎng)絡中的攻擊或未授權行為時，傳統(tǒng)的響應方式是顯示消息、形成日志、報警或使用 Email 等方式通知安全管理員，然后由管理員手工采取相應措施來阻止入侵。這無疑給安全管理增加了很多的工作量和難度，也大大地提高了安全維護費用，因此系統(tǒng)需要具有更多主動響應行為的入侵檢測系統(tǒng)，如今的入侵檢 測系統(tǒng)可以通過發(fā)復位包的方式，或者執(zhí)行一段用戶編寫的程序，自動切斷危險的連接。 而且，入侵檢測系統(tǒng)作為整體安全技術的一個組成部分，它還應該和其他安全組件協(xié)同工作、建立互動的響應機制。例如，防火墻作為限制內外網(wǎng)絡互相訪問的關口，其配置的過濾規(guī)則阻止了非授權用戶對公司網(wǎng)絡的訪問，因此在入侵檢測系統(tǒng)發(fā)現(xiàn)攻擊行為時，由它自動地修改防火墻的安全策略，就能封堵可疑的網(wǎng)絡通信。這也是為什么入侵檢測系統(tǒng)和防火墻之間的聯(lián)系越來越緊密的原因之一。 在入侵防御系統(tǒng)中，如何降低檢測系統(tǒng)的誤報率是非常關鍵的。在傳統(tǒng)的入侵 檢測系統(tǒng)中，誤報對安全管理員形成一種滋擾，大量的誤報還可能淹沒真正的攻擊行為，使安全管理員無從響應。在建立聯(lián)動的一體化安全防御體系中，入侵檢測系統(tǒng)可以自動調整其他安全組件的策略，來防止進一步的攻擊，這時誤報帶來的負面影響可能更大了 —— 因為誤報觸動策略調整之后，本該許可的訪問就無法訪問了，這形成了一種新的 DoS 形式。 同時，先進的入侵防御系統(tǒng)還必須是一個全方位的安全管理。它一方面要集中管理全網(wǎng)以及各設備的安全事件，將數(shù)據(jù)進行標準化、集中、并進行關聯(lián)和智能分析，以降低誤報率和預告威脅的趨勢；另一方面 還要結合漏洞掃描， 13 提前確定系統(tǒng)是否存在已知漏洞，做到 “ 防范于未然 ” ，以建立前攝性的、而不僅僅是響應式的安全防御體系 。 基于其它方法的入侵檢測技術主要有 :利用專家系統(tǒng)進行入侵檢測，其主要是將有關的入侵知識組織成知識庫，再利用推理引擎進行檢測。但是這種技術主要缺點在于知識的組織困難。利用數(shù)據(jù)挖掘進行入侵檢測，數(shù)據(jù)挖掘是數(shù)據(jù)庫的一項技術，它的作用從大型數(shù)據(jù)庫中抽取知識，這和分析日志的行為相近。通過數(shù)據(jù)挖掘程序搜集到審計數(shù)據(jù)，為各種入侵行為和正常操作建立精確的行為模式。 除專家系統(tǒng)、數(shù)據(jù)挖掘技術之外，還有神經(jīng) 網(wǎng)絡，模糊系統(tǒng)，遺傳算法等。但是這些方法都有一定的缺點。 入侵檢測系統(tǒng)的由來及發(fā)展過程 在 IDS 尚未 出現(xiàn)時，網(wǎng)絡安全管理人員主要依靠人工閱讀網(wǎng)絡日志來分析是否有網(wǎng)絡入侵事件的發(fā)生。隨著網(wǎng)絡的發(fā)展， FBI/CSI 的統(tǒng)計數(shù)字表明入侵和攻擊的模式發(fā)生了變化。在 2020 年， 70%的攻擊主要來自于外部網(wǎng)絡，另 30% 的攻擊來自于內部。從而促使網(wǎng)絡安全領域對網(wǎng)絡入侵檢測技術進行研究，并提出了 IDS。由干硬件發(fā)展的飛速發(fā)展，使得 IDS 對網(wǎng)絡通訊可以進行實時檢測和實時報等，形成目前的 IDS 模式。 入 侵 檢 測系統(tǒng)的關鍵技術 1． 基于行為的入侵檢測技術 基于行為的入侵檢測技術主要依靠統(tǒng)計的方法來實現(xiàn)對入侵行為的檢測。它通過統(tǒng)計網(wǎng)絡的日常行為建立一個模型，該模型由各項表示正常行為的統(tǒng)計數(shù)字組成。例如 :在某一段時間內登錄某臺主機失敗次數(shù)。在很短時間內重復發(fā)生登錄某臺主機口令出錯的次數(shù)等。符合這個模型的網(wǎng)絡行為即視為正常，不符合的即視為入侵行為。 這種入侵檢測檢測技術的缺點主要在于模型的建立非常困難。建立模型需要花費一定的時間，而且該入侵檢測技術會造成誤報等。為解決誤報警問題，需要根據(jù)網(wǎng)絡的實際使用情 況對各種設定的統(tǒng)計值進行不斷的調節(jié)。 2. 基