【文章內(nèi)容簡介】 特定的輸入數(shù)據(jù)時，允許違反安全策略。例如，一個用戶登錄子系統(tǒng)，如果設(shè)置有陷阱門，當(dāng)攻擊者輸入一個特別的用戶身份號時，就可以繞過通常的口令檢測。在某個特定的環(huán)境中，如果對任何一個基本威脅或者主要的可實現(xiàn)威脅進(jìn)行分析，就能夠發(fā)現(xiàn)某些特定的潛在威脅，而任意一種潛在威脅都可能導(dǎo)致一些更基本的威脅的發(fā)生。例如，在對信息泄露這種基本威脅進(jìn)行分析時，有可能找以下幾種潛在的威脅（不考慮主要的可實現(xiàn)威脅）：178。 竊聽（eavesdropping）；178。 流量分析（traffic analysis）；178。 操作人員的不慎所導(dǎo)致的信息泄露；178。 媒體廢棄物所導(dǎo)致的信息泄露。圖21列出了一些典型的威脅以及它們之間的相互關(guān)系。注意，圖中的路徑可以交錯。例如，假冒攻擊可以成為所有基本威脅的基礎(chǔ)，同時假冒攻擊本身也存在信息泄露的潛在威脅（因為信息泄露可能暴露某個口令，而用此口令可以實施假冒攻擊）。表21列出了各種威脅之間的差異，并分別進(jìn)行了描述。圖21 典型的威脅及其相互關(guān)系安全領(lǐng)域存在有多種類型的防護(hù)措施。除了采用密碼技術(shù)的防護(hù)措施之外，還有其他類型的安全防護(hù)措施：在網(wǎng)絡(luò)環(huán)境下，防范計算機(jī)病毒僅采用單一的方法來進(jìn)行已經(jīng)無任何意義，要想徹底清除網(wǎng)絡(luò)病毒，必須選擇與網(wǎng)絡(luò)適合的全方位防病毒產(chǎn)品。如果對互聯(lián)網(wǎng)而言，除了需要網(wǎng)關(guān)的防病毒軟件，還必須對上網(wǎng)計算機(jī)的安全進(jìn)行強(qiáng)化；如果在防范內(nèi)部局域網(wǎng)病毒時需要一個具有服務(wù)器操作系統(tǒng)平臺的防病毒軟件，這是遠(yuǎn)遠(yuǎn)不夠的，還需要針對各種桌面操作系統(tǒng)的防病毒軟件；如果在網(wǎng)絡(luò)內(nèi)部使用電子郵件進(jìn)行信息交換時，為了識別出隱藏在電子郵件和附件中的病毒，還需要增加一套基于郵件服務(wù)器平臺的郵件防病毒軟件。由此可見，要想徹底的清除病毒，是需要使用全方位的防病毒產(chǎn)品進(jìn)行配合。另外，在管理方面，要打擊盜版，因為盜版軟件很容易染上病毒，訪問可靠的網(wǎng)站，在下載電子郵件附件時要先進(jìn)行病毒掃描，確保無病毒后進(jìn)行下載，最重要的是要對數(shù)據(jù)庫數(shù)據(jù)隨時進(jìn)行備份。身份認(rèn)證技術(shù)系統(tǒng)對用戶身份證明的核查的過程就是身份認(rèn)證，就是對用戶是否具有它所請求資源的存儲使用權(quán)進(jìn)行查明。用戶向系統(tǒng)出示自己的身份證明的過程就是所謂的身份識別。一般情況下，將身份認(rèn)證和身份識別統(tǒng)稱為身份認(rèn)證。隨著黑客或木馬程序從網(wǎng)上截獲密碼的事件越來越多，用戶關(guān)鍵信息被竊情況越來越多，用戶已經(jīng)越來越認(rèn)識到身份認(rèn)證這一技術(shù)的重要性。身份認(rèn)證技術(shù)可以用于解決用戶的物理身份和數(shù)字身份的一致性問題，給其他安全技術(shù)提供權(quán)限管理的依據(jù)。對于身份認(rèn)證系統(tǒng)而言，合法用戶的身份是否易于被其他人冒充，這是最重要的技術(shù)指標(biāo)。用戶身份如果被其他不法分子冒充，不僅會對合法用戶的利益產(chǎn)生損害，而且還會對其他用戶的利益甚至整個系統(tǒng)都產(chǎn)生危害。由此可知，身份認(rèn)證不僅是授權(quán)控制的基礎(chǔ)，而且還是整個信息安全體系的基礎(chǔ)。身份認(rèn)證技術(shù)有以下幾種：基于口令的認(rèn)證技術(shù)、給予密鑰的認(rèn)證鑒別技術(shù)、基于智能卡和智能密碼鑰匙(UsBKEY)的認(rèn)證技術(shù)、基于生物特征識別的認(rèn)證技術(shù)。對于生物識別技術(shù)而言，其核心就是如何獲取這些生物特征，并將之轉(zhuǎn)換為數(shù)字信息、存儲于計算機(jī)中，并且完成驗證與識別個人身份是需要利用可靠的匹配算法來進(jìn)行的。入侵檢測就是對網(wǎng)絡(luò)入侵行為進(jìn)行檢測，入侵檢測技術(shù)屬于一種積極主動地安全保護(hù)技術(shù)，它對內(nèi)部攻擊、外部攻擊以及誤操作都提供了實時保護(hù)。入侵檢測一般采用誤用檢測技術(shù)和異常監(jiān)測技術(shù)。這種檢測技術(shù)是假設(shè)所有的入侵者的活動都能夠表達(dá)為中特征或模式，對已知的入侵行為進(jìn)行分析并且把相應(yīng)的特征模型建立出來，這樣就把對入侵行為的檢測變成對特征模型匹配的搜索，如果與已知的入侵特征匹配，就斷定是攻擊，否則，便不是。對已知的攻擊，誤用入侵檢測技術(shù)檢測準(zhǔn)確度較高，但是對已知攻擊的變體或者是一些新型的攻擊的檢測準(zhǔn)確度則不高。因此，要想保證系統(tǒng)檢測能力的完備性是需要不斷的升級模型才行。目前，在絕大多數(shù)的商業(yè)化入侵檢測系統(tǒng)中，基本上都是采用這種檢測技術(shù)構(gòu)建。2. 異常檢測技術(shù)異常檢測技術(shù)假設(shè)所有入侵者活動都與正常用戶的活動不同，分析正常用戶的活動并且構(gòu)建模型，把所有不同于正常模型的用戶活動狀態(tài)的數(shù)量統(tǒng)計出來，如果此活動與統(tǒng)計規(guī)律不相符，則表示可以是入侵行為。這種技術(shù)彌補(bǔ)了誤用檢測技術(shù)的不足，它能夠檢測到未知的入侵。但是，在許多環(huán)境中，建立正常用戶活動模式的特征輪廓以及對活動的異常性進(jìn)行報警的閾值的確定都是比較困難的，另外，不是所有的非法入侵活動都在統(tǒng)計規(guī)律上表示異常。今后對入侵檢測技術(shù)的研究主要放在對異常監(jiān)測技術(shù)方面?！　×硗猓嬎銠C(jī)網(wǎng)絡(luò)安全防范策略還包括一些被動防范策略。被動式防范策略主要包括隱藏IP地址、關(guān)閉端口、更換管理員賬戶等，本文只對以上兩種進(jìn)行分析。第3章 入侵檢測原理入侵檢測是指對入侵檢測行為的發(fā)現(xiàn)\報警和響應(yīng),他通過對計算機(jī)網(wǎng)絡(luò)或計算機(jī)系統(tǒng)中的若干關(guān)鍵點收集信息并對其進(jìn)行分析,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象.入侵檢測系統(tǒng)(intrusion detection system ,IDM ) 是完成入侵檢測功能的軟件和硬件的集合。1980 年4月，James P . Anderson 在美國空軍起草的技術(shù)報告《計算機(jī)安全威脅檢測與監(jiān)視》中第一次詳細(xì)闡述了入侵檢測的概念。隨著網(wǎng)絡(luò)安全風(fēng)險系數(shù)不斷提高，防火墻作為曾經(jīng)最主要的安全防范手段已經(jīng)不能滿足人們對網(wǎng)絡(luò)安全的需求。作為對防火墻極其有益的補(bǔ)充，位于其后的第二道安全閘門IDS能夠幫助網(wǎng)絡(luò)系統(tǒng)快速發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的發(fā)生，有效擴(kuò)展系統(tǒng)管理員的安全管理能力及提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。IDS 能在不影響網(wǎng)絡(luò)及主機(jī)性能的情況下對網(wǎng)絡(luò)數(shù)據(jù)流和主機(jī)審計數(shù)據(jù)進(jìn)行監(jiān)聽和分析，對可疑的網(wǎng)絡(luò)連接和系統(tǒng)行為進(jìn)行記錄和報警，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護(hù)。u 入侵檢測的功能主要體現(xiàn)在一下幾個方面：u 監(jiān)視并分析用戶和系統(tǒng)的活動。u 檢查系統(tǒng)配置和漏洞。u 識別已知的攻擊行為并報警。u 統(tǒng)計分析異常行為。u 評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性。u 操作系統(tǒng)的審計跟蹤管理，并識別違反安全策略的用戶行為。為了提高IDS產(chǎn)品、組件及與其他安全產(chǎn)品之間的互操作性，美國國防高級研究計劃署和Internet 工程任組的入侵檢測工作組（IDWG）發(fā)起并制定了一系列建議草案，從體系結(jié)構(gòu)、API、通信機(jī)制、語言格式等方面規(guī)范IDS 的標(biāo)準(zhǔn)。圖 31 是有美國國防高級研究計劃署所提出的通用入侵檢測框架（mon intrusion detection framework, CIDF ）模型，將一個IDS 分為事件產(chǎn)生器、分析引擎、響應(yīng)單元和事件數(shù)據(jù)庫4個組件。策略審計記錄或網(wǎng)絡(luò)數(shù)據(jù)包 事件數(shù)據(jù)庫分析引擎 事件產(chǎn)生器響應(yīng)單元圖 31 入侵檢測通用模型 事件產(chǎn)生器為入侵檢測系統(tǒng)提供必要的輸入，這些輸入構(gòu)成了檢測的基礎(chǔ)。分析引擎接收來自事件產(chǎn)生器的數(shù)據(jù)并檢查數(shù)據(jù)以發(fā)現(xiàn)入侵跡象。響應(yīng)單元對分析結(jié)果做出反應(yīng)，控制網(wǎng)絡(luò)或系統(tǒng)產(chǎn)生和分析結(jié)果相應(yīng)的動作。 基于CIDF 模型，入侵檢測流程主要包括3個步驟，即信息收集、信息分析和結(jié)果處理。入侵檢測的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為。這些信息由分布在主機(jī)或者網(wǎng)絡(luò)上的事件產(chǎn)生器提供，一般為審計記錄、網(wǎng)絡(luò)數(shù)據(jù)包以及其他可視行為。不同的入侵檢測系統(tǒng)間需要收集的信息由于分析方法的不同而有所區(qū)別。信息分析階段通過分析上一階段提供的數(shù)據(jù)來判斷是否發(fā)生入侵。分析引擎中使用檢測入侵技術(shù)對所收集到的信息進(jìn)行分析，以判斷與該信息相對應(yīng)的事件是否違反看系統(tǒng)的安全策略或存在入侵的先兆。信息分析是入侵檢測的核心步驟，分析引擎中所采用的技術(shù)直接影響到入侵檢測的性能。分析引擎使用何種技術(shù)也是區(qū)分不同入侵檢測產(chǎn)品的重要依據(jù)?？刂婆_按照報警產(chǎn)生預(yù)先定義的響應(yīng)采取相應(yīng)措施，反應(yīng)的形式可以是較為強(qiáng)雷的切斷鏈接或改變文件屬性等，也可以是簡單的向管理員發(fā)出警報。 對網(wǎng)絡(luò)和主機(jī)的各種事件進(jìn)行分析，從而發(fā)現(xiàn)是否有違反安全策略的行為是IDS的核心任務(wù)。因此，入侵檢測常用的技術(shù)主要體現(xiàn)在IDS的分析引擎上。分析引擎以事件產(chǎn)生器獲取的主機(jī)或網(wǎng)絡(luò)事件為輸入，通過分析事件或先驗知識建立判斷入侵的模型。根據(jù)建立模型的方法不同，入侵檢測技術(shù)主要有一下兩個思路：第一種，根據(jù)已知的攻擊行為知識，推斷當(dāng)前行為是否是攻擊行為。第二種，根據(jù)已知的正常行為只是，推斷當(dāng)前行為是否是正常行為。若不是正常行為，則認(rèn)為該行為是攻擊行為。 因此，目前主要有兩種方法用來解決入侵檢測問題：誤用檢測技術(shù)和異常檢測技術(shù)。誤用檢測技術(shù)基于第一種檢測思路，異常檢測技術(shù)基于第二種檢測思路。在IDS中，常采用兩種方法相結(jié)合的方式。 異常檢測技術(shù)也稱為基于行為的檢測技術(shù)，是指根據(jù)用戶的行為和系統(tǒng)資源的使用狀況判斷是否存在網(wǎng)絡(luò)入侵。異常檢測基于一個假設(shè)，即入侵行為在于偏離系統(tǒng)正常使用的事件中，而異常檢測就是要找出偏離正常行為的事件并從中發(fā)現(xiàn)入侵。異常檢測一般先建立用戶正常行為的模型