【文章內(nèi)容簡介】 DWare)、間諜軟件 (SpyWare)、惡意共享軟件(Malicious ShareWare)等等都處在合法商業(yè)軟件和電腦病毒之間的灰色地帶。它們既不屬于正規(guī)商業(yè)軟件，也不屬于真正的病毒；既有一定的實(shí)用價(jià)值，也會給用戶帶來種種干擾。 (7) 緩沖器溢出：指當(dāng)計(jì)算機(jī)向緩沖區(qū)內(nèi) 填充數(shù)據(jù)位數(shù)時(shí)超過了緩沖區(qū)本身的容量溢出的數(shù)據(jù)覆蓋在合法數(shù)據(jù)上，理想的情況是程序檢查數(shù)據(jù)長度并不允許輸入超過緩沖區(qū)長度的字符，但是絕大多數(shù)程序都會假設(shè)數(shù)據(jù)長度總是與所分配的儲存空間相匹配，這就為緩沖區(qū)溢出埋下隱患操作系統(tǒng)所使用的緩沖區(qū)又被稱為堆棧 .。在各個(gè)操作進(jìn)程之間，指令會被臨時(shí)儲存在堆棧當(dāng)中 ,堆棧也會出現(xiàn)緩沖區(qū)溢出。 (8) 暴力破解：用軟件猜出口令。通常的做法是通過監(jiān)視通信信道上的口令包，破解口令的加密形式。 (9) 社會工程：攻擊者利用人際關(guān)系的互動性所發(fā)出的攻擊，通常攻擊者如果 3 沒有辦法通過物理 入侵的辦法直接取得所需要的資料時(shí)，就會通過電子郵件或者電話對所需要的資料進(jìn)行騙取，再利用這些資料獲取主機(jī)的權(quán)限以達(dá)到其本身的目的 當(dāng)前入侵檢測技術(shù)的發(fā)展方向主要有兩個(gè)：一是基于異常方式的入侵檢測 (Anomaly Detection)，另一個(gè)是基于誤用方式的入侵檢測 (Misuse Detection)。 基于異常入侵檢測技術(shù)是通過檢測攻擊者與合法用戶具有的不同特征來識別入侵行為。例如，如果用戶 A僅僅是在早上 9點(diǎn)鐘到下午 5點(diǎn)鐘之間在辦公室使用計(jì)算機(jī)，則用戶 A 在晚上的活動是異常的，就有 可能是入侵。異常檢測試圖通過定量方式描述常規(guī)的或可接受的行為，以標(biāo)記非常規(guī)的、潛在的入侵行為。異常入侵檢測的主要前提是入侵性活動作為異?；顒拥淖蛹?，異常檢測主要使用概率統(tǒng)計(jì)方法，還有順序模式歸納產(chǎn)生法和神經(jīng)網(wǎng)絡(luò)等檢測方法。隨著對計(jì)算機(jī)系統(tǒng)弱點(diǎn)和攻擊方法的不斷收集和研究，入侵特征化描述的方法越來越有效，這使得誤用檢測的使用也越來越廣泛。 基于誤用入侵檢測技術(shù)是根據(jù)己知的入侵模式來檢測。入侵者常常利用系統(tǒng)和應(yīng)用軟件的弱點(diǎn)進(jìn)行攻擊，而這些弱點(diǎn)可以歸類為某種模式，如果入侵者攻擊方式恰好匹配上檢測系統(tǒng)中的模式庫，則 入侵者即被檢測到。例如， Windows的 IIS 常見的 CGI,SQL 等漏洞，就可以根據(jù)它的攻擊特征進(jìn)行檢測。誤用檢測使用的方法主要有專家系統(tǒng)、狀態(tài)轉(zhuǎn)換分析、基于模型的方法和模式匹配，人工智能技術(shù)、免疫檢測和自主代理等方法正在實(shí)踐或者科研當(dāng)中。 (1)基于統(tǒng)計(jì)分析 這種入侵檢測方法是基于對歷史數(shù)據(jù)、早期的證據(jù)或模型的基礎(chǔ)上進(jìn)行建模，系統(tǒng)實(shí)時(shí)檢測用戶對系統(tǒng)的使用情況與保存的概率統(tǒng)計(jì)模型進(jìn)行比較，當(dāng)發(fā)現(xiàn)有可疑的用戶行為發(fā)生時(shí)，保持跟蹤并檢測與記錄該用戶的行為。 (2)基于神經(jīng)網(wǎng)絡(luò)的分析方法 這種方法對用戶的行為具有自學(xué)習(xí)和自適應(yīng)的能力，能夠根據(jù)實(shí)際檢測到的信息有效地加以處理并做出入侵可能性的判斷。但該方法尚不成熟，也沒有較完善的入侵檢測系統(tǒng)出現(xiàn)。 (3)基于專家系統(tǒng)的分析方法 這種方法根據(jù)安全專家對可疑行為的分析經(jīng)驗(yàn)建立一套推理規(guī)則，在此基礎(chǔ)上建立相應(yīng)的專家系統(tǒng)，從而自動對所涉及的入侵行為進(jìn)行分析與檢測。該方法可隨著經(jīng)驗(yàn)的積累和利用自學(xué)習(xí)功能進(jìn)行規(guī)則的擴(kuò)充和修正。這種方法目前在大部分的入侵檢測系統(tǒng)中得到應(yīng)用 2 Snort 簡介 Snort 系統(tǒng)是一個(gè)以開放源代 碼的形式發(fā)行的網(wǎng)絡(luò)入侵檢測系統(tǒng)，由Martin Roesch 編寫，并由遍布在世界各地的眾多程序員共同維護(hù)和升級。 Snort 4 運(yùn)行在 Libpcap 庫函數(shù)的基礎(chǔ)之上，系統(tǒng)代碼遵循 GNU/GPL 協(xié)議。它是一個(gè)輕量級的網(wǎng)絡(luò)入侵檢測系統(tǒng)。這里所謂的輕量級是指在檢測時(shí)盡可能低地影響網(wǎng)絡(luò)的正常操作，一個(gè)優(yōu)秀的輕量級的網(wǎng)絡(luò)入侵檢測系統(tǒng)應(yīng)該具備跨系統(tǒng)平臺操作，對系統(tǒng)影響最小 等特征，并且管理員能夠在短時(shí)間內(nèi)通過修改配置進(jìn)行實(shí)時(shí)的安全響應(yīng) ,更為重要的是能夠成為整體安全結(jié)構(gòu)的重要成員。 Snort 作為網(wǎng)絡(luò)入侵檢測系統(tǒng)中的典型范例，首先 它可以運(yùn)行在多種操作系統(tǒng)平臺之上，例如 UNIX 系列和 Windows (需要 1ibpcap for win32Winpcap 的支持 )，與很多商業(yè)產(chǎn)品相比，它對操作系統(tǒng)的依賴性比較低。其次用戶可以根據(jù)自己的需要及時(shí)在短時(shí)間內(nèi)調(diào)整檢測策略。就檢測攻擊的種類來說， Snort 檢測規(guī)則包括對緩沖區(qū)溢出，端口掃描和 CGI 攻擊等等。另外， Snort 還可以作為數(shù)據(jù)包嗅探器和數(shù)據(jù)包記錄器使用 。 Snort 有三種工作模式：嗅探器、數(shù)據(jù)包記錄器、網(wǎng)絡(luò)入侵檢測系統(tǒng)。嗅探器模式僅僅是從網(wǎng)絡(luò)上讀取數(shù)據(jù)包并作為連續(xù)不斷的流顯示在終 端上。數(shù)據(jù)包記錄器模式把數(shù)據(jù)包記錄到硬盤上。網(wǎng)路入侵檢測模式是最復(fù)雜的，而且是可配置的。我們可以讓 snort 分析網(wǎng)絡(luò)數(shù)據(jù)流以匹配用戶定義的一些規(guī)則，并根據(jù)檢測結(jié)果采取一定的動作。 Snort 系統(tǒng)工作原理 Snort 作為一個(gè)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng) (NIDS)，在基于共享網(wǎng)絡(luò)上檢測原始的網(wǎng)絡(luò)傳輸數(shù)據(jù)，通過分析捕獲的數(shù)據(jù)包，匹配入侵行為的特征或者從網(wǎng)絡(luò)活動的角度檢測異常行為，進(jìn)而采取入侵的告警或記錄。從檢測模式而言，Snort 屬于是誤用檢測，即對已知攻擊的特征模式進(jìn)行匹配。從本質(zhì)上來說，Snort 是基于 規(guī)則檢測的入侵檢測工具，即針對每一種入侵行為，都提煉出它的特征值并按照規(guī)范寫成檢驗(yàn)規(guī)則，從而形成一個(gè)規(guī)則數(shù)據(jù)庫。其次將捕獲得數(shù)據(jù)包按照規(guī)則庫逐一匹配，若匹配成功，則認(rèn)為該入侵行為成立。 入侵行為主要是指對系統(tǒng)資源的非授權(quán)使用 ,可以造成系統(tǒng)數(shù)據(jù)的丟失和破壞、系統(tǒng)拒絕服務(wù)等危害。對于入侵檢測而言的網(wǎng)絡(luò)攻擊可以分為 4 類： ① 檢查單 IP包（包括 TCP、 UDP）首部即可發(fā)覺的攻擊 ,如 winnuke、 ping of death、 、部分 OS detection、 source routing 等。 ② 檢查單 IP包 ,但同時(shí)要檢查數(shù)據(jù)段信息才能發(fā)覺的攻擊 ,如利用 CGI漏洞 ,緩存溢出攻擊等。 ③ 通過檢測發(fā)生頻率才能發(fā)覺的攻擊 ,如端口掃描、 SYN Flood、 smurf 攻擊等。 ④ 利用分片進(jìn)行的攻擊 ,如 teadrop,nestea,jolt 等。此類攻擊利用了分片組裝算法的種種漏洞。若要檢查此類攻擊 ,必須提前（在 IP 層接受或轉(zhuǎn)發(fā)時(shí) ,而不是在向上層發(fā)送時(shí)）作組裝嘗試。分片不僅可用來攻擊 ,還可用來逃避未對分片進(jìn)行組裝嘗試的入侵檢測系統(tǒng)的檢測。 入侵檢測通過對計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并進(jìn)行分析 ,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系 統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。進(jìn)行入侵檢測的軟件與硬件的組合就是入侵檢測系統(tǒng)。 入侵檢測系統(tǒng)執(zhí)行的主要任務(wù)包括：監(jiān)視、分析用戶及系統(tǒng)活動；審計(jì)系統(tǒng)構(gòu)造和弱點(diǎn)；識別、反映已知進(jìn)攻的活動模式 ,向相關(guān)人士報(bào)警；統(tǒng)計(jì)分析異常行為模式；評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；審計(jì)、跟蹤管理操作系統(tǒng) , 5 識別用戶違反安全策略的行為。入侵檢測一般分為 3個(gè)步驟 ,依次為信息收集、數(shù)據(jù)分析、響應(yīng)（被動響應(yīng)和主動響應(yīng)）。 信息收集的內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為。入侵檢測利用的信息一般來自系統(tǒng)日志、目錄以及文件 中的異常改變、程序執(zhí)行中的異常行為及物理形式的入侵信息 4個(gè)方面。 數(shù)據(jù)分析是入侵檢測的核心。它首先構(gòu)建分析器 ,把收集到的信息經(jīng)過預(yù)處理 ,建立一個(gè)行為分析引擎或模型 ,然后向模型中植入時(shí)間數(shù)據(jù) ,在知識庫中保存植入數(shù)據(jù)的模型。數(shù)據(jù)分析一般通過模式匹配、統(tǒng)計(jì)分析和完整性分析 3 種手段進(jìn)行。前兩種方法用于實(shí)時(shí)入侵檢測 ,而完整性分析則用于事后分析。可用5種統(tǒng)計(jì)模型進(jìn)行數(shù)據(jù)分析：操作模型、方差、多元模型、馬爾柯夫過程模型、時(shí)間序列分析。統(tǒng)計(jì)分析的最大優(yōu)點(diǎn)是可以學(xué)習(xí)用戶的使用習(xí)慣。 入侵檢測系統(tǒng)在發(fā)現(xiàn)入侵后會及時(shí)作出響應(yīng) ,包 括切斷網(wǎng)絡(luò)連接、記錄事件和報(bào)警等。響應(yīng)一般分為主動響應(yīng)（阻止攻擊或影響進(jìn)而改變攻擊的進(jìn)程）和被動響應(yīng)（報(bào)告和記錄所檢測出的問題）兩種類型。主動響應(yīng)由用戶驅(qū)動或系統(tǒng)本身自動執(zhí)行 ,可對入侵者采取行動（如斷開連接）、修正系統(tǒng)環(huán)境或收集有用信息；被動響應(yīng)則包括告警和通知、簡單網(wǎng)絡(luò)管理協(xié)議（ SNMP）陷阱和插件等。另外 ,還可以按策略配置響應(yīng) ,可分別采取立即、緊急、適時(shí)、本地的長期和全局的長期等行動。 Snort 系統(tǒng)的特點(diǎn) （ 1） Snort 是一個(gè)輕量級的入侵檢測系統(tǒng)它雖然功能強(qiáng)大，但是代碼卻極為 簡潔、短小，其源代碼壓縮包不到 2兆。 （ 2） Snort 的可移植性很好 Snort 的跨平臺性能極佳，目前已經(jīng)支持 Linux， Solaris， BSD， IRIX， HPUX， windows 等系統(tǒng)。采用插入式檢測引擎，可以作為標(biāo)準(zhǔn)的網(wǎng)絡(luò)入侵檢測系統(tǒng)、主機(jī)入侵檢測系統(tǒng)使用；與 Netfilter 結(jié)合使用，可以作為網(wǎng)關(guān) IDS (Gateway IDS)等系統(tǒng)指紋識別工具結(jié)合使用，可以作為基于目標(biāo)的 IDS(Target— based IDS)。 （ 3） Snort 的功能非常強(qiáng)大 Snort 具有實(shí)時(shí)流量分析和日志 IP 網(wǎng)絡(luò)數(shù)據(jù)包的能力。能夠快速地檢測網(wǎng)絡(luò)攻擊，及時(shí)地發(fā)出報(bào)警。 Snort 的報(bào)警機(jī)制很豐富，例如： syslog、用戶指定的文件、一個(gè) UNIX 套接字，還有使用 SAMBA 協(xié)議向 Windows 客戶程序發(fā)出WinPopup消息。利用 XML插件， Snort可以使用 SNML(簡單網(wǎng)絡(luò)標(biāo)記語言， simple work markup language)把日志存放到一個(gè)文件或者適時(shí)報(bào)警。 Snort 能夠進(jìn)行協(xié)議分析，內(nèi)容的搜索 /匹配。現(xiàn)在 Snort 能夠分析的協(xié)議有 TCP， UDP，ICMP 等。將來