【文章內容簡介】 若干關鍵點收集信息并對其進行分析，從中發(fā)現網絡中或系統(tǒng)中潛在的違反安全策略的行為和被攻擊的跡象。 入侵檢測系統(tǒng)入侵檢測系統(tǒng)功能構成，包括事件提取、入侵分析、入侵響應和遠程管理四部分如圖33所示。圖33 入侵檢測系統(tǒng)組成入侵檢測所利用的信息一般來自以下四個方面：系統(tǒng)和網絡日志文件、目錄和文件中的不期望的改變、程序執(zhí)行中的不期望行為、物理形式的入侵信息。常用的分析方法有模式匹配、統(tǒng)計分析、完整性分析。模式匹配是將收集到的信息與已知的網絡入侵和系統(tǒng)誤用模式數據庫進行比較，從而發(fā)現違背安全策略的行為。統(tǒng)計分析方法首先給系統(tǒng)對象(如用戶、文件、目錄和設備等)創(chuàng)建一個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性。測量屬性的平均值將被用來與網絡、系統(tǒng)的行為進行比較。當觀察值超出正常值范圍時，就有可能發(fā)生入侵行為。 入侵檢測分類入侵檢測通過對入侵和攻擊行為的檢測，查出系統(tǒng)的入侵者或合法用戶對系統(tǒng)資源的濫用和誤用。根據不同的檢測方法，將入侵檢測分為異常入侵檢測和誤用人侵檢測。異常檢測又稱為基于行為的檢測。其基本前提是：假定所有的入侵行為都是異常的。首先建立系統(tǒng)或用戶的“正?！毙袨樘卣鬏喞?，通過比較當前的系統(tǒng)或用戶的行為是否偏離正常的行為特征輪廓來判斷是否發(fā)生了入侵。此方法不依賴于是否表現出具體行為來進行檢測，是一種間接的方法。常用的具體方法有：統(tǒng)計異常檢測方法、基于特征選擇異常檢測方法、基于貝葉斯推理異常檢測方法、基于貝葉斯網絡異常檢測方法、基于模式預測異常檢測方法、基于神經網絡異常檢測方法、基于機器學習異常檢測方法、基于數據采掘異常檢測方法等。采用異常檢測的關鍵問題有如下兩個方面：(1) 特征量的選擇在建立系統(tǒng)或用戶的行為特征輪廓的正常模型時，選取的特征量既要能準確地體現系統(tǒng)或用戶的行為特征，又能使模型最優(yōu)化，即以最少的特征量就能涵蓋系統(tǒng)或用戶的行為特征。(2) 參考閾值的選定由于異常檢測是以正常的特征輪廓作為比較的參考基準，因此，參考閾值的選定是非常關鍵的。閾值設定得過大，那漏警率會很高；閾值設定的過小，則虛警率就會提高。合適的參考閾值的選定是決定這一檢測方法準確率的至關重要的因素。由此可見，異常檢測技術難點是“正?！毙袨樘卣鬏喞拇_定、特征量的選取、特征輪廓的更新。由于這幾個因素的制約，異常檢測的虛警率很高，但對于未知的入侵行為的檢測非常有效。此外，由于需要實時地建立和更新系統(tǒng)或用戶的特征輪廓，這樣所需的計算量很大，對系統(tǒng)的處理性能要求很高。（二）誤用檢測 又稱為基于知識的檢測。其基本前提是：假定所有可能的入侵行為都能被識別和表示。首先，對已知的攻擊方法進行攻擊簽名(攻擊簽名是指用一種特定的方式來表示已知的攻擊模式)表示，然后根據已經定義好的攻擊簽名，通過判斷這些攻擊簽名是否出現來判斷入侵行為的發(fā)生與否。這種方法是依據是否出現攻擊簽名來判斷入侵行為，是一種直接的方法。常用的具體方法有：基于條件概率誤用入侵檢測方法、基于專家系統(tǒng)誤用入侵檢測方法、基于狀態(tài)遷移分析、誤用入侵檢測方法、基于鍵盤監(jiān)控誤用入侵檢測方法、基于模型誤用入侵檢測方法。誤用檢測的關鍵問題是攻擊簽名的正確表示。誤用檢測是根據攻擊簽名來判斷入侵的，根據對已知的攻擊方法的了解，用特定的模式語言來表示這種攻擊，使得攻擊簽名能夠準確地表示入侵行為及其所有可能的變種，同時又不會把非入侵行為包含進來。由于多數入侵行為是利用系統(tǒng)的漏洞和 應用程序的缺陷，因此，通過分析攻擊過程的特征、條件、排列以及事件間的關系，就可具體描述入侵行為的跡象。這些跡象不僅對分析已經發(fā)生的入侵行為有幫助，而且對即將發(fā)生的入侵也有預警作用。誤用檢測將收集到的信息與已知的攻擊簽名模式庫進行比較，從中發(fā)現違背安全策略的行為。由于只需要收集相關的數據，這樣系統(tǒng)的負擔明顯減少。該方法類似于病毒檢測系統(tǒng)，其檢測的準確率和效率都比較高。入侵檢測就是通過對系統(tǒng)數據的分析、發(fā)現非授權的網絡訪問和攻擊行為，然后采取報警、切斷入侵線路等對抗措施。為此目的而設計的系統(tǒng)稱為入侵檢測系統(tǒng)。一個簡單的入侵檢測系統(tǒng)。入侵檢測系統(tǒng)的基本任務：通過實時檢測網絡系統(tǒng)狀態(tài)，判斷入侵行為發(fā)生，并產生報警。從功能實現的角度可以把這個系統(tǒng)劃分為三大模塊：信息收集模塊、信息處理與通訊模塊、入侵判斷與反應模塊。其中信息收集模塊與特定的環(huán)境，監(jiān)視的對象有比較密切的關系:信息處理與通訊模塊，是對所收集到的數據進行預處理和分類，然后把處理的結果按照一定的格式傳輸給檢測判斷模塊。最后由檢測判斷模塊根據一定的安全策略判斷入侵行為的發(fā)生并采取相應的反擊。隨著網絡系統(tǒng)結構的復雜化和大型化，系統(tǒng)的弱點或漏洞將趨向于分布式。另外，入侵行為不再是單一的行為，而是表現出相互協作入侵的特點。入侵檢測系統(tǒng)要求可適應性、可訓練性、高效性、容錯性、可擴展性等要求。不同的IDS之間也需要共享信息，協同檢測。(Agent)技術 代理(Ageni)是指能在特定的環(huán)境下無須人工干預和監(jiān)督完成某項工作的實體。它具有自適應性、智能性和協作性。代理既能獨立地完成自己的工作，又能與其它代理協作共同完成某項任務，且代理能夠接受控制并能感知環(huán)境的變化而影響環(huán)境。代理分布于系統(tǒng)中的關鍵點及關鍵服務器，包括防火墻、對外提供各項服務的服務器、內部網關和服務器，完成絕大多數的入侵檢測和響應任務。代理可以針對特定的應用環(huán)境進行配置和編程，使得代理占用負載最小。同時，代理可以與其它代理和中心服務器進行有限的交互，交換數據和控制信息。由于代理是獨立的功能實體，在一個多代理系統(tǒng)中，單個的功能代理能夠增加到系統(tǒng)中去或從系統(tǒng)中刪除，并且能夠對某個代理進行重配置，而不會影響到系統(tǒng)的其它部分?？梢钥吹?，在一個由多代理組成的入侵檢測系統(tǒng)中，單個代理的失效只會影響到該代理和與之協作的部分代理，系統(tǒng)的其它部分仍能正常工作。如果能將入侵檢測系統(tǒng)的功能合理地分配給各個代理，就能大大減少系統(tǒng)失效的風險。多代理系統(tǒng)所具有的這些優(yōu)點使之能較好地解決常規(guī)入侵檢測系統(tǒng)的缺陷。 入侵檢測與防火墻實現聯動防火墻與入侵檢測這兩種技術具有較強的互補性。目前，實現入侵檢測和防火墻之間的聯動有兩種方式可以實現，一種是實現緊密結合，即把入侵檢測系統(tǒng)嵌入到防火墻中，即入侵檢測系統(tǒng)的數據來源不再來源于抓包，而是流經防火墻的數據流。所有通過的包不僅要接受防火墻檢測規(guī)則的驗證，還需要經過入侵檢測，判斷是否具有攻擊性，以達到真正的實時阻斷，這實際上是把兩個產品合成一體。但是，由于入侵檢測系統(tǒng)本身也是一個很龐大的系統(tǒng)，所以無論從實施難度、合成后的性能等方面都會因此受到很大影響。所以，目前還沒有廠商做到這一步，仍處于理論研究階段。但是不容否認，各個安全產品的緊密結合是一種趨勢。第二種方式是通過開放接口來實現聯動，即防火墻或者入侵檢測系統(tǒng)開放一個接口供對方調用，按照一定的協議進行通訊、警報和傳輸。目前開放協議的常見形式有:安全廠家提供IDS的開放接口，供各個防火墻廠商使用，以實現互動。這種方式比較靈活，不影響防火墻和入侵檢測系統(tǒng)的性能。 數據加密技術數據加密技術是網絡中最基本的安全技術，主要是通過對網絡中傳輸的信息進行數據加密來保障其安全性，這是一種主動安全防御策略，用很小的代價即可為信息提供相當大的安全保護。 數據加密原理數據加密是通過某種函數進行變換，把正常數據包文（稱為明文或明碼）轉換為密文（密碼）。解密是指把密文還原成明文的過程。密碼體制是指一個系統(tǒng)所采用基本工作方式以及它的兩個基本構成要素，即加密/解密算法和密鑰。密鑰是一個數值，它和加密算法一起生成特別的密文。傳統(tǒng)密碼體制所用的加密密鑰和解密密鑰相同，稱為對稱密碼體制。如果加密密鑰和解密密鑰不相同，則稱為非對稱密碼體制，密鑰可以看作是密碼算法中的可變參數。從數學的角度來看，改變了密鑰，實際上也就改變了明文與密文之間等價的數學函數關系。密碼算法是相對穩(wěn)定的，在這種意義上，可以把密碼算法視為常量，而密鑰則是一個變量。在設計加密系統(tǒng)中，加密算法是可以公開的，真正需要保密的是密鑰，密鑰本質是非常大的數，密鑰大小用位表示。在公開密鑰加密方法中，密鑰越大密文就越安全。利用密碼技術，在信源和通信信道之間對報文進行加密，經過信道傳輸，到信宿接收時進行解密，以實現網絡通信保密。通常加密算法為：C=Ek(M)。其中，K為密鑰，M為明文，C為密文；E為加密算法，密文C是明文M使用密鑰K經過加密算法計算后的結果。加密算法可以公開，而密鑰只能由通信雙方來掌握。 對稱密鑰體系在對稱型密鑰體系中，加密和解密采用同一密鑰，故將這種體系稱為秘密密鑰密碼體制或私鑰密碼體制。 在對稱密碼體系中，最為著名的是DES分組算法，DES將二進制序列明文分為每64位一組，使用64位的密鑰，對64位二進制數進行分組加密，每輪產生一個48位的“每輪”密鑰值，并參與下一輪的加密過程，經過16輪的迭代、乘積變換、壓縮等處理后產生64位密文數據。另一個成功的分組加密算法，它的核心是一個乘法/加法非線性構件，通過8輪迭代，能使明碼數據更好地擴散和混淆[16]。 非對稱密鑰體系非對稱加密技術將加密和解密分開并采用一對不同的密鑰進行。RSA算法的原理是數論的歐拉原理：尋求兩個大的素數容易，將它們的乘積分解開及其困難，具體做法是：選擇兩個100位的十進制大素數p和q，計算出它們的積N=pq,將N公開；再計算出N的歐拉函數，Φ（N）=(p1)*(q1),定義Φ（N）為小于等于N且與N互素的數個數；然后，用戶從[0, Φ（N）1] 中任選一個與Φ（N）互素的數e，同時根據下式計算出另一個數d: ed=1 modΦ（N）這樣就產生了一對密鑰：pk=（e,N）,sk=(d,N).若用整數X表示明文，Y表示密文，則有，加密：Y= Xe modN；解密：X=Ye modN。數字信封中采用了單鑰密碼體制和公鑰密碼體制。信息發(fā)送者首先利用隨機產生的對稱密碼加密信息，再利用接收方的公鑰加密對稱密碼，被公鑰加密后的對稱密碼稱之為數字信封。信息接收方要解密信息時，必須先用自己的私鑰解密數字信封，得到對稱密碼，再利用對稱密碼解密所得到的信息，這樣就保證了數據傳輸的真實性和完整性。 反病毒技術 計算機病毒的介紹計算機病毒就是能夠通過某種途徑潛伏在計算機存儲介質里，當達到某種條件時，即被激活的具有對計算機資源進行破壞作用的一組程序或指令集合。隨著計算機技術的發(fā)展尤其是網絡技術的普及，計算機病毒進入了一個新的階段網絡蠕蟲病毒暴發(fā)階段，2001至今，網絡蠕蟲已經成為網絡病毒的主流。 計算機病毒的組成與分類經對目前出現的計算機病毒的分析發(fā)現，所有計算機病毒都是由三部分組成的，即病毒引導模塊、病毒傳染模塊和病毒表現模塊。（1）引導模塊：負責將病毒引導到內存，并向系統(tǒng)中請求一定的存儲空間，對相應的存儲空間實施保護，以防止其他程序覆蓋，并且修改系統(tǒng)的一些功能入口，在這些入口處引導病毒傳染模塊和病毒實現模塊。（2）傳染模塊：它是整個病毒程序的核心，傳染模塊又分為兩部分：判斷部分、傳染部分。（3）表現模塊：包括病毒觸發(fā)條件判斷和具體表現。而從技術來分可以分為：網絡病毒、郵件病毒、文件型病毒、宏病毒、引導型病毒、變體病毒、混合型病毒、其它類型病毒（java,pdf,圖文病毒）[19]。 病毒的檢測和清除想要知道自己的計算機中是否染有病毒，可以根據以下幾種情況來做簡單判斷。（1）計算機執(zhí)行速度越來越慢。（2）系統(tǒng)出現莫名其妙的死機或者重啟。（3）網絡速度變慢或者出現一些陌生的網絡連接。（4）文件夾無緣無故多了一些文件。（5）突然出現藍屏或無端黑屏等。除此以外，還可以用幾種專業(yè)手段來檢查：(1)比較法用原始備份與被檢測的引導扇區(qū)或被監(jiān)測的文件進行比較，比較時可以靠打印的代碼清除。(2)搜索法利用每一種計算機病毒體含有的特定字符串對被檢測的對象進行掃描。如果在被檢測對象內部發(fā)現了某一種特定字符串，就表明發(fā)現了該字符串所代表的計算機病毒。(3)分析法計算機病毒檢測分析法是防殺計算機病毒工作中不可缺少的重要技術，需要專門人員對各種病毒詳盡地分析。(4)人工智能陷阱技術和宏病毒陷阱技術 人工智能陷阱是一種監(jiān)測計算機行為的常駐或掃描技術。它將所有的計算機病毒所產生的行為歸納起來，一旦發(fā)現內存中的程序有任何不當的行為，系統(tǒng)就會有所警覺，并告知使用者；宏病毒陷阱技術是結合了搜索法和人工智能陷阱技術，依行為模式來偵測已知及未知的宏病毒。(5)軟件仿真掃描法軟件仿真技術是成功地仿真CPU執(zhí)行，在DOS虛擬機下偽執(zhí)行計算機病毒程序，安全并確定地將其解密使其顯露本來的面目，再加以掃描。第四章 網絡安全防范 telnet入侵防范Telnet協議是TCP/IP協議族中的一員，是Internet遠程登錄服務的標準協議和主要方式。它為用戶提供了在本地計算機上完成遠程主機工作的能力。在終端使用者的電腦上使用telnet程序，用它連接到服務器。終端使用者可以在telnet程序中輸入命令，這些命令會在服務器上運行，就像直接在服務器的控制臺上輸入一樣?？梢栽诒镜鼐湍芸刂品掌?。要開始一個telnet會話，必須輸入用戶名和密碼來登錄服務器。Telnet是常用的遠程控制Web服務器的方法。telnet可能是黑客常用的攻擊方式，我們可以通過修改telnet服務端口，停用telnet服務，甚至把telnet控制臺管理工具刪除。具體方法如下：通過修改telnet端口來防止黑客輕易入侵在命令提示符窗口中輸入 Tlntadmn config port=168命令，回車后即可將telnet端口修改成168。如果將telnet的最大連接數設為0，這樣就可以讓一般的黑客豪無辦法，設置方法同上。如果根本不需要telnet，完全可以把它刪掉，因為該服務實在是太危險了，這樣黑客想用telnet入侵就會非常困難了。 防止Administrator賬號被破解Windows 2000/xp/2003系統(tǒng)的Administrator賬號是不能被停用的，也不能設置安全策略，這樣黑客就可以一遍又一遍地嘗試這個賬號的密碼，直到被破解，為了防止這種侵入，我們可以把Administrator賬號更名：在“組策略”窗口中，依次展開“本地