【文章內容簡介】 制本身并不安全。 3G系統想保留該功能，但是如何完善、利用好該功能是進一步要研究的問題。 全網范圍內加密和合法偵聽是 3G系統提出的新功能，然而這兩個功能之間存在一定的矛盾。如果提供全網范圍內加密，那么勢必使合法偵聽變得困難。現有的 2G系統只提供無線鏈路上的加密，在有線 網段數據是以明文方式傳輸的，所以偵聽很容易實現。 3G系統為得到更高的安全性能，希望數據在全網范圍內都要加密傳送。因此在有線網段必須提 供合法偵聽的接口，在需要的情況下進行偵聽。但偵聽接口如何提供仍是一個未明確的問題。如果用戶選擇全網加密功能，將會涉及到一系列問題。如：全網加密的同步機制的設計；數據通道如何適應全網加密功能；如何為內網用戶通道在網關終止全網加密功能和全網密鑰管理功能；如何處理多方會話；如何進行全網加密控制 —— 算法選擇、模式選擇和用戶控制；以及在建立連接時用戶訪問區(qū)寄存器 VLR間交換訪問鏈路密 鑰的確切機制。 第二章 入侵檢測技術 第一節(jié) 入侵檢測技術分析 入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發(fā)現并報告系統中未授權或異?，F象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。違反安全策略的行為有：入侵 —— 非法用戶的違規(guī)行為；濫用 —— 用戶的違規(guī)行為。 利用審計記錄，入侵檢測系統能夠識別出任何不希望有的活動，從而達到限制這些活動，以保護系統的安全。入侵檢測系統的應用，能使在入侵攻擊對系統發(fā)生危害前，檢測到入侵攻擊，并利用報警與防護系統驅逐入侵攻擊。在入侵攻擊 過程中，能減少入侵攻擊所造成的損失。在被入侵攻擊后，收集入侵攻擊的相關信息，作為防范系統的知識，添加入知識庫內，以增強系統的防范能力。 管理學院 信管 2K11 班學生 楊曉偉 畢業(yè)論文 第 8 頁 共 16頁 濟南大學畢業(yè)設計（論文）用紙 入侵檢測技術分析 入侵檢測系統所采用的技術可分為特征檢測與異常檢測兩種。 特征檢測 特征檢測 (Signaturebased detection)又稱 Misuse detection，這一檢測假設入侵者活動可以用一種模式來表示，系統的目標是檢測主體活動是否符合這些模式。它可以將已有的入侵方法檢查出來，但對新的入侵方法無能為力。其難點在 于如何設計模式既能夠表達“入侵”現象又不會將正常的活動包含進來。 異常檢測 異常檢測 (Anomaly detection)的假設是入侵者活動異常于正常主體的活動。根據這一理念建立主體正?；顒拥摹盎顒雍啓n”，將當前主體的活動狀況與“活動簡檔”相比較，當違反其統計規(guī)律時，認為該活動可能是“入侵”行為。異常檢測的難題在于如何建立“活動簡檔”以及如何設計統計算法，從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為。 入侵檢測系統常用的檢測方法有特征檢測、統計檢測與專家系 統。據公安部計算機信息系統安全產品質量監(jiān)督檢驗中心的報告，國內送檢的入侵檢測產品中 95％是屬于使用入侵模板進行模式匹配的特征檢測產品，其他 5％是采用概率統計的統計檢測產品與基于日志的專家知識庫系產品。 特征檢測 特征檢測對已知的攻擊或入侵的方式作出確定性的描述，形成相應的事件模式。當被審計的事件與已知的入侵事件模式相匹配時，即報警。原理上與專家系統相仿。其檢測方法上與計算機病毒的檢測方式類似。目前基于對包特征描述的模式匹配應用較為廣泛。 該方法預報檢測的準確率較高，但對于無經驗知識的入侵與 攻擊行為無能為力。 統計檢測 統計模型常用異常檢測，在統計模型中常用的測量參數包括：審計事件的數量、間隔時間、資源消耗情況等。常用的入侵檢測 5種統計模型為： ● 操作模型，該模型假設異?？赏ㄟ^測量結果與一些固定指標相比較得到，固定指標可以根據經驗值或一段時間內的統計平均得到，舉例來說，在短時間內的多次失敗的登錄很有可能是口令嘗試攻擊； ● 方差，計算參數的方差，設定其置信區(qū)間，當測量值超過置信區(qū)間的范圍時表明有可能是異常； ● 多元模型，操作模型的擴展，通過同時分析多個參數實現 檢測； ● 馬爾柯夫過程模型，將每種類型的事件定義為系統狀態(tài)，用狀態(tài)轉移矩陣來表示狀態(tài)的變化，當一個事件發(fā)生時，或狀態(tài)矩陣該轉移的概率較小則可能是異常事件； ● 時間序列分析，將事件計數與資源耗用根據時間排成序列，如果一個新事件在該時間發(fā)生的概率較低，則該事件可能是入侵。 統計方法的最大優(yōu)點是它可以“學習”用戶的使用習慣，從而具有較高檢出率與可用性。但是它的“學習”能力也給入侵者以機會通過逐步“訓練”使入侵事件符合正常操作的統計規(guī)律，從而透過入侵檢測系統。 專家系統 用專家系統 對入侵進行檢測，經常是針對有特征入侵行為。所謂的規(guī)則，即是知識，不同的系統與設置具有不同的規(guī)則，且規(guī)則之間往往無通用性。專家系統的建立依賴于知識庫的完備性，知識庫的完備性又取決于審計記錄的完備性與實時性。入侵的特征抽取與管理學院 信管 2K11 班學生 楊曉偉 畢業(yè)論文 第 9 頁 共 16頁 濟南大學畢業(yè)設計（論文）用紙 表達，是入侵檢測專家系統的關鍵。在系統實現中，將有關入侵的知識轉化為 ifthen 結構（也可以是復合結構），條件部分為入侵特征， then 部分是系統防范措施。運用專家系統防范有特征入侵行為的有效性完全取決于專家系統知識庫的完備性。 第二節(jié) 入侵檢測分類及產品選擇 入侵檢測技術主要分為基于網絡的 產品和基于主機的產品。混合的入侵檢測系統可以彌補一些基于網絡與基于主機的片面性缺陷。此外，文件的完整性檢查工具也可看作是一類入侵檢測產品。 1. 基于網絡的入侵檢測 基于網絡的入侵檢測產品（ NIDS）放置在比較重要的網段內，不停地監(jiān)視網段中的各種數據包。對每一個數據包或可疑的數據包進行特征分析。如果數據包與產品內置的某些規(guī)則吻合，入侵檢測系統就會發(fā)出警報甚至直接切斷網絡連接。目前，大部分入侵檢測產品是基于網絡的。值得一提的是，在網絡入侵檢測系統中，有多個久負盛名的開放源碼軟件，它們是 Snort、 NFR、 Shadow 等，其中 Snort 的社區(qū) (躍，其入侵特征更新速度與研發(fā)的進展已超過了大部分商品化產品。 網絡入侵檢測系統的優(yōu)點： 網絡入侵檢測系統能夠檢測那些來自網絡的攻擊，它能夠檢測到超過授權的非法訪問。 一個網絡入侵檢測系統不需要改變服務器等主機的配置。由于它不會在業(yè)務系統的主機中安裝額外的軟件，從而不會影響這些機器的 CPU、 I/O 與磁盤等資源的使用，不會影響業(yè)務系統的性能。 由于網絡入侵檢測系統不像路由器、防火墻等關鍵設備 方式工作，它不會成為系統中的關鍵路徑。網絡入侵檢測系統發(fā)生故障不會影響正常業(yè)務的運行。布署一個網絡入侵檢測系統的風險比主機入侵檢測系統的風險少得多。 網絡入侵檢測系統近年內有向專門的設備發(fā)展的趨勢，安裝這樣的一個網絡入侵檢測系統非常方便，只需將定制的設備接上電源，做很少一些配置，將其連到網絡上即可。 網絡入侵檢測系統的弱點： 網絡入侵檢測系統只檢查它直接連接網段的通信，不能檢測在不同網段的網絡包。在使用交換以太網的環(huán)境中就會出現監(jiān)測范圍的局限。而安裝多臺網絡入侵檢測系統的傳感器會使布署整個 系統的成本大大增加。 網絡入侵檢測系統為了性能目標通常采用特征檢測的方法，它可以檢測出普通的一些攻擊，而很難實現一些復雜的需要大量計算與分析時間的攻擊檢測。 網絡入侵檢測系統可能會將大量的數據傳回分析系統中。在一些系統中監(jiān)聽特定的數據包會產生大量的分析數據流量。一些系統在實現時采用一定方法來減少回傳的數據量，對入侵判斷的決策由傳感器實現，而中央控制臺成為狀態(tài)顯示與通信中心，不再作為入侵行為分析器。這樣的系統中的傳感器協同工作能力較弱。 網絡入侵檢測系統處理加密的會話過程較困難，目前通過加密 通道的攻擊尚不多，但隨著 IPv6 的普及，這個問題會越來越突出。 2． 基于主機的入侵檢測 基于主機的入侵檢測產品（ HIDS）通常是安裝在被重點檢測的主機之上，主要是對該主機的網絡實時連接以及系統審計日志進行智能分析和判斷。如果其中主體活動十分可疑(特征或違反統計規(guī)律 )，入侵檢測系統就會采取相應措施。 主機入侵檢測系統的優(yōu)點： 管理學院 信管 2K11 班學生 楊曉偉 畢業(yè)論文 第 10 頁 共 16頁 濟南大學畢業(yè)設計（論文）用紙 主機入侵檢測系統對分析“可能的攻擊行為”非常有用。舉例來說，有時候它除了指出入侵者試圖執(zhí)行一些“危險的命令”之外，還能分辨出入侵者干了什么事：他們運行了什么程序 、打開了哪些文件、執(zhí)行了哪些系統調用。主機入侵檢測系統與網絡入侵檢測系統相比通常能夠提供更詳盡的相關信息。 主機入侵檢測系統通常情況下比網絡入侵檢測系統誤報率要低，因為檢測在主機上運行的命令序列比檢測網絡流更簡單，系統的復雜性也少得多。 主機入侵檢測系統可布署在那些不需要廣泛的入侵檢測、傳感器與控制臺之間的通信帶寬不足的情況下。主機入侵檢測系統在不使用諸如“停止服務” 、“注銷用戶”等響應方法時風險較少。 主機入侵檢測系統的弱點： 主機入侵檢測系統安裝在我們需要保護的設備上。舉例來 說，當一個數據庫服務器要保護時，就要在服務器本身上安裝入侵檢測系統。這會降低應用系統的效率。此外，它也會帶來一些額外的安全問題，安裝了主機入侵檢測系統后，將本不允許安全管理員有權力訪問的服務器變成他可以訪問的了。 主機入侵檢測系統的另一個問題是它依賴于服務器固有的日志與監(jiān)視能力。如果服務器沒有配置日志功能，則必需重新配置，這將會給運行中的業(yè)務系統帶來不可預見的性能影響。 全面布署主機入侵檢測系統代價較大，企業(yè)中很難將所有主機用主機入侵檢測系統保護，只能選擇部分主機保護。那些未安裝主機入侵檢測系統 的機器將成為保護的盲點，入侵者可利用這些機器達到攻擊目標。