【文章內(nèi)容簡(jiǎn)介】 制本身并不安全。 3G系統(tǒng)想保留該功能，但是如何完善、利用好該功能是進(jìn)一步要研究的問題。 全網(wǎng)范圍內(nèi)加密和合法偵聽是 3G系統(tǒng)提出的新功能，然而這兩個(gè)功能之間存在一定的矛盾。如果提供全網(wǎng)范圍內(nèi)加密，那么勢(shì)必使合法偵聽變得困難?，F(xiàn)有的 2G系統(tǒng)只提供無線鏈路上的加密，在有線 網(wǎng)段數(shù)據(jù)是以明文方式傳輸?shù)?，所以偵聽很容易?shí)現(xiàn)。 3G系統(tǒng)為得到更高的安全性能，希望數(shù)據(jù)在全網(wǎng)范圍內(nèi)都要加密傳送。因此在有線網(wǎng)段必須提 供合法偵聽的接口，在需要的情況下進(jìn)行偵聽。但偵聽接口如何提供仍是一個(gè)未明確的問題。如果用戶選擇全網(wǎng)加密功能，將會(huì)涉及到一系列問題。如：全網(wǎng)加密的同步機(jī)制的設(shè)計(jì)；數(shù)據(jù)通道如何適應(yīng)全網(wǎng)加密功能；如何為內(nèi)網(wǎng)用戶通道在網(wǎng)關(guān)終止全網(wǎng)加密功能和全網(wǎng)密鑰管理功能；如何處理多方會(huì)話；如何進(jìn)行全網(wǎng)加密控制 —— 算法選擇、模式選擇和用戶控制；以及在建立連接時(shí)用戶訪問區(qū)寄存器 VLR間交換訪問鏈路密 鑰的確切機(jī)制。 第二章 入侵檢測(cè)技術(shù) 第一節(jié) 入侵檢測(cè)技術(shù)分析 入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。違反安全策略的行為有：入侵 —— 非法用戶的違規(guī)行為；濫用 —— 用戶的違規(guī)行為。 利用審計(jì)記錄，入侵檢測(cè)系統(tǒng)能夠識(shí)別出任何不希望有的活動(dòng)，從而達(dá)到限制這些活動(dòng)，以保護(hù)系統(tǒng)的安全。入侵檢測(cè)系統(tǒng)的應(yīng)用，能使在入侵攻擊對(duì)系統(tǒng)發(fā)生危害前，檢測(cè)到入侵攻擊，并利用報(bào)警與防護(hù)系統(tǒng)驅(qū)逐入侵攻擊。在入侵攻擊 過程中，能減少入侵攻擊所造成的損失。在被入侵攻擊后，收集入侵攻擊的相關(guān)信息，作為防范系統(tǒng)的知識(shí)，添加入知識(shí)庫(kù)內(nèi)，以增強(qiáng)系統(tǒng)的防范能力。 管理學(xué)院 信管 2K11 班學(xué)生 楊曉偉 畢業(yè)論文 第 8 頁(yè) 共 16頁(yè) 濟(jì)南大學(xué)畢業(yè)設(shè)計(jì)（論文）用紙 入侵檢測(cè)技術(shù)分析 入侵檢測(cè)系統(tǒng)所采用的技術(shù)可分為特征檢測(cè)與異常檢測(cè)兩種。 特征檢測(cè) 特征檢測(cè) (Signaturebased detection)又稱 Misuse detection，這一檢測(cè)假設(shè)入侵者活動(dòng)可以用一種模式來表示，系統(tǒng)的目標(biāo)是檢測(cè)主體活動(dòng)是否符合這些模式。它可以將已有的入侵方法檢查出來，但對(duì)新的入侵方法無能為力。其難點(diǎn)在 于如何設(shè)計(jì)模式既能夠表達(dá)“入侵”現(xiàn)象又不會(huì)將正常的活動(dòng)包含進(jìn)來。 異常檢測(cè) 異常檢測(cè) (Anomaly detection)的假設(shè)是入侵者活動(dòng)異常于正常主體的活動(dòng)。根據(jù)這一理念建立主體正?；顒?dòng)的“活動(dòng)簡(jiǎn)檔”，將當(dāng)前主體的活動(dòng)狀況與“活動(dòng)簡(jiǎn)檔”相比較，當(dāng)違反其統(tǒng)計(jì)規(guī)律時(shí)，認(rèn)為該活動(dòng)可能是“入侵”行為。異常檢測(cè)的難題在于如何建立“活動(dòng)簡(jiǎn)檔”以及如何設(shè)計(jì)統(tǒng)計(jì)算法，從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為。 入侵檢測(cè)系統(tǒng)常用的檢測(cè)方法有特征檢測(cè)、統(tǒng)計(jì)檢測(cè)與專家系 統(tǒng)。據(jù)公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心的報(bào)告，國(guó)內(nèi)送檢的入侵檢測(cè)產(chǎn)品中 95％是屬于使用入侵模板進(jìn)行模式匹配的特征檢測(cè)產(chǎn)品，其他 5％是采用概率統(tǒng)計(jì)的統(tǒng)計(jì)檢測(cè)產(chǎn)品與基于日志的專家知識(shí)庫(kù)系產(chǎn)品。 特征檢測(cè) 特征檢測(cè)對(duì)已知的攻擊或入侵的方式作出確定性的描述，形成相應(yīng)的事件模式。當(dāng)被審計(jì)的事件與已知的入侵事件模式相匹配時(shí)，即報(bào)警。原理上與專家系統(tǒng)相仿。其檢測(cè)方法上與計(jì)算機(jī)病毒的檢測(cè)方式類似。目前基于對(duì)包特征描述的模式匹配應(yīng)用較為廣泛。 該方法預(yù)報(bào)檢測(cè)的準(zhǔn)確率較高，但對(duì)于無經(jīng)驗(yàn)知識(shí)的入侵與 攻擊行為無能為力。 統(tǒng)計(jì)檢測(cè) 統(tǒng)計(jì)模型常用異常檢測(cè)，在統(tǒng)計(jì)模型中常用的測(cè)量參數(shù)包括：審計(jì)事件的數(shù)量、間隔時(shí)間、資源消耗情況等。常用的入侵檢測(cè) 5種統(tǒng)計(jì)模型為： ● 操作模型，該模型假設(shè)異?？赏ㄟ^測(cè)量結(jié)果與一些固定指標(biāo)相比較得到，固定指標(biāo)可以根據(jù)經(jīng)驗(yàn)值或一段時(shí)間內(nèi)的統(tǒng)計(jì)平均得到，舉例來說，在短時(shí)間內(nèi)的多次失敗的登錄很有可能是口令嘗試攻擊； ● 方差，計(jì)算參數(shù)的方差，設(shè)定其置信區(qū)間，當(dāng)測(cè)量值超過置信區(qū)間的范圍時(shí)表明有可能是異常； ● 多元模型，操作模型的擴(kuò)展，通過同時(shí)分析多個(gè)參數(shù)實(shí)現(xiàn) 檢測(cè)； ● 馬爾柯夫過程模型，將每種類型的事件定義為系統(tǒng)狀態(tài)，用狀態(tài)轉(zhuǎn)移矩陣來表示狀態(tài)的變化，當(dāng)一個(gè)事件發(fā)生時(shí)，或狀態(tài)矩陣該轉(zhuǎn)移的概率較小則可能是異常事件； ● 時(shí)間序列分析，將事件計(jì)數(shù)與資源耗用根據(jù)時(shí)間排成序列，如果一個(gè)新事件在該時(shí)間發(fā)生的概率較低，則該事件可能是入侵。 統(tǒng)計(jì)方法的最大優(yōu)點(diǎn)是它可以“學(xué)習(xí)”用戶的使用習(xí)慣，從而具有較高檢出率與可用性。但是它的“學(xué)習(xí)”能力也給入侵者以機(jī)會(huì)通過逐步“訓(xùn)練”使入侵事件符合正常操作的統(tǒng)計(jì)規(guī)律，從而透過入侵檢測(cè)系統(tǒng)。 專家系統(tǒng) 用專家系統(tǒng) 對(duì)入侵進(jìn)行檢測(cè)，經(jīng)常是針對(duì)有特征入侵行為。所謂的規(guī)則，即是知識(shí)，不同的系統(tǒng)與設(shè)置具有不同的規(guī)則，且規(guī)則之間往往無通用性。專家系統(tǒng)的建立依賴于知識(shí)庫(kù)的完備性，知識(shí)庫(kù)的完備性又取決于審計(jì)記錄的完備性與實(shí)時(shí)性。入侵的特征抽取與管理學(xué)院 信管 2K11 班學(xué)生 楊曉偉 畢業(yè)論文 第 9 頁(yè) 共 16頁(yè) 濟(jì)南大學(xué)畢業(yè)設(shè)計(jì)（論文）用紙 表達(dá)，是入侵檢測(cè)專家系統(tǒng)的關(guān)鍵。在系統(tǒng)實(shí)現(xiàn)中，將有關(guān)入侵的知識(shí)轉(zhuǎn)化為 ifthen 結(jié)構(gòu)（也可以是復(fù)合結(jié)構(gòu)），條件部分為入侵特征， then 部分是系統(tǒng)防范措施。運(yùn)用專家系統(tǒng)防范有特征入侵行為的有效性完全取決于專家系統(tǒng)知識(shí)庫(kù)的完備性。 第二節(jié) 入侵檢測(cè)分類及產(chǎn)品選擇 入侵檢測(cè)技術(shù)主要分為基于網(wǎng)絡(luò)的 產(chǎn)品和基于主機(jī)的產(chǎn)品。混合的入侵檢測(cè)系統(tǒng)可以彌補(bǔ)一些基于網(wǎng)絡(luò)與基于主機(jī)的片面性缺陷。此外，文件的完整性檢查工具也可看作是一類入侵檢測(cè)產(chǎn)品。 1. 基于網(wǎng)絡(luò)的入侵檢測(cè) 基于網(wǎng)絡(luò)的入侵檢測(cè)產(chǎn)品（ NIDS）放置在比較重要的網(wǎng)段內(nèi)，不停地監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包。對(duì)每一個(gè)數(shù)據(jù)包或可疑的數(shù)據(jù)包進(jìn)行特征分析。如果數(shù)據(jù)包與產(chǎn)品內(nèi)置的某些規(guī)則吻合，入侵檢測(cè)系統(tǒng)就會(huì)發(fā)出警報(bào)甚至直接切斷網(wǎng)絡(luò)連接。目前，大部分入侵檢測(cè)產(chǎn)品是基于網(wǎng)絡(luò)的。值得一提的是，在網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)中，有多個(gè)久負(fù)盛名的開放源碼軟件，它們是 Snort、 NFR、 Shadow 等，其中 Snort 的社區(qū) (躍，其入侵特征更新速度與研發(fā)的進(jìn)展已超過了大部分商品化產(chǎn)品。 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的優(yōu)點(diǎn)： 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)能夠檢測(cè)那些來自網(wǎng)絡(luò)的攻擊，它能夠檢測(cè)到超過授權(quán)的非法訪問。 一個(gè)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)不需要改變服務(wù)器等主機(jī)的配置。由于它不會(huì)在業(yè)務(wù)系統(tǒng)的主機(jī)中安裝額外的軟件，從而不會(huì)影響這些機(jī)器的 CPU、 I/O 與磁盤等資源的使用，不會(huì)影響業(yè)務(wù)系統(tǒng)的性能。 由于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)不像路由器、防火墻等關(guān)鍵設(shè)備 方式工作，它不會(huì)成為系統(tǒng)中的關(guān)鍵路徑。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)發(fā)生故障不會(huì)影響正常業(yè)務(wù)的運(yùn)行。布署一個(gè)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的風(fēng)險(xiǎn)比主機(jī)入侵檢測(cè)系統(tǒng)的風(fēng)險(xiǎn)少得多。 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)近年內(nèi)有向?qū)ｉT的設(shè)備發(fā)展的趨勢(shì)，安裝這樣的一個(gè)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)非常方便，只需將定制的設(shè)備接上電源，做很少一些配置，將其連到網(wǎng)絡(luò)上即可。 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的弱點(diǎn)： 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)只檢查它直接連接網(wǎng)段的通信，不能檢測(cè)在不同網(wǎng)段的網(wǎng)絡(luò)包。在使用交換以太網(wǎng)的環(huán)境中就會(huì)出現(xiàn)監(jiān)測(cè)范圍的局限。而安裝多臺(tái)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的傳感器會(huì)使布署整個(gè) 系統(tǒng)的成本大大增加。 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)為了性能目標(biāo)通常采用特征檢測(cè)的方法，它可以檢測(cè)出普通的一些攻擊，而很難實(shí)現(xiàn)一些復(fù)雜的需要大量計(jì)算與分析時(shí)間的攻擊檢測(cè)。 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)可能會(huì)將大量的數(shù)據(jù)傳回分析系統(tǒng)中。在一些系統(tǒng)中監(jiān)聽特定的數(shù)據(jù)包會(huì)產(chǎn)生大量的分析數(shù)據(jù)流量。一些系統(tǒng)在實(shí)現(xiàn)時(shí)采用一定方法來減少回傳的數(shù)據(jù)量，對(duì)入侵判斷的決策由傳感器實(shí)現(xiàn)，而中央控制臺(tái)成為狀態(tài)顯示與通信中心，不再作為入侵行為分析器。這樣的系統(tǒng)中的傳感器協(xié)同工作能力較弱。 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)處理加密的會(huì)話過程較困難，目前通過加密 通道的攻擊尚不多，但隨著 IPv6 的普及，這個(gè)問題會(huì)越來越突出。 2． 基于主機(jī)的入侵檢測(cè) 基于主機(jī)的入侵檢測(cè)產(chǎn)品（ HIDS）通常是安裝在被重點(diǎn)檢測(cè)的主機(jī)之上，主要是對(duì)該主機(jī)的網(wǎng)絡(luò)實(shí)時(shí)連接以及系統(tǒng)審計(jì)日志進(jìn)行智能分析和判斷。如果其中主體活動(dòng)十分可疑(特征或違反統(tǒng)計(jì)規(guī)律 )，入侵檢測(cè)系統(tǒng)就會(huì)采取相應(yīng)措施。 主機(jī)入侵檢測(cè)系統(tǒng)的優(yōu)點(diǎn)： 管理學(xué)院 信管 2K11 班學(xué)生 楊曉偉 畢業(yè)論文 第 10 頁(yè) 共 16頁(yè) 濟(jì)南大學(xué)畢業(yè)設(shè)計(jì)（論文）用紙 主機(jī)入侵檢測(cè)系統(tǒng)對(duì)分析“可能的攻擊行為”非常有用。舉例來說，有時(shí)候它除了指出入侵者試圖執(zhí)行一些“危險(xiǎn)的命令”之外，還能分辨出入侵者干了什么事：他們運(yùn)行了什么程序 、打開了哪些文件、執(zhí)行了哪些系統(tǒng)調(diào)用。主機(jī)入侵檢測(cè)系統(tǒng)與網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)相比通常能夠提供更詳盡的相關(guān)信息。 主機(jī)入侵檢測(cè)系統(tǒng)通常情況下比網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)誤報(bào)率要低，因?yàn)闄z測(cè)在主機(jī)上運(yùn)行的命令序列比檢測(cè)網(wǎng)絡(luò)流更簡(jiǎn)單，系統(tǒng)的復(fù)雜性也少得多。 主機(jī)入侵檢測(cè)系統(tǒng)可布署在那些不需要廣泛的入侵檢測(cè)、傳感器與控制臺(tái)之間的通信帶寬不足的情況下。主機(jī)入侵檢測(cè)系統(tǒng)在不使用諸如“停止服務(wù)” 、“注銷用戶”等響應(yīng)方法時(shí)風(fēng)險(xiǎn)較少。 主機(jī)入侵檢測(cè)系統(tǒng)的弱點(diǎn)： 主機(jī)入侵檢測(cè)系統(tǒng)安裝在我們需要保護(hù)的設(shè)備上。舉例來 說，當(dāng)一個(gè)數(shù)據(jù)庫(kù)服務(wù)器要保護(hù)時(shí)，就要在服務(wù)器本身上安裝入侵檢測(cè)系統(tǒng)。這會(huì)降低應(yīng)用系統(tǒng)的效率。此外，它也會(huì)帶來一些額外的安全問題，安裝了主機(jī)入侵檢測(cè)系統(tǒng)后，將本不允許安全管理員有權(quán)力訪問的服務(wù)器變成他可以訪問的了。 主機(jī)入侵檢測(cè)系統(tǒng)的另一個(gè)問題是它依賴于服務(wù)器固有的日志與監(jiān)視能力。如果服務(wù)器沒有配置日志功能，則必需重新配置，這將會(huì)給運(yùn)行中的業(yè)務(wù)系統(tǒng)帶來不可預(yù)見的性能影響。 全面布署主機(jī)入侵檢測(cè)系統(tǒng)代價(jià)較大，企業(yè)中很難將所有主機(jī)用主機(jī)入侵檢測(cè)系統(tǒng)保護(hù)，只能選擇部分主機(jī)保護(hù)。那些未安裝主機(jī)入侵檢測(cè)系統(tǒng) 的機(jī)器將成為保護(hù)的盲點(diǎn)，入侵者可利用這些機(jī)器達(dá)到攻擊目標(biāo)。