【正文】 括切斷網(wǎng)絡(luò)連接、記錄事件和報(bào)警等。IDS 分類(lèi)入侵檢測(cè)通過(guò)對(duì)入侵行為的過(guò)程與特征進(jìn)行研究，使安全系統(tǒng)對(duì)入侵事件和入侵過(guò)程作出實(shí)時(shí)響應(yīng)。入侵檢測(cè)系統(tǒng)按其輸入數(shù)據(jù)的來(lái)源來(lái)看，可以分為以下兩種：：其輸入數(shù)據(jù)來(lái)源于系統(tǒng)的審計(jì)日志，一般只能檢測(cè)該主機(jī)上發(fā)生的入侵。：其輸入數(shù)據(jù)來(lái)源于網(wǎng)絡(luò)的信息流，能夠檢測(cè)該網(wǎng)段上發(fā)生的網(wǎng)絡(luò)入侵。IDS 功能結(jié)構(gòu)總體來(lái)講，入侵檢測(cè)系統(tǒng)的功能有：1．監(jiān)視用戶(hù)和系統(tǒng)的運(yùn)行狀況，查找非法用戶(hù)和合法用戶(hù)的越權(quán)操作。2．檢測(cè)系統(tǒng)配置的正確性和安全漏洞，并提示管理員修補(bǔ)漏洞。3．對(duì)用戶(hù)的非正常活動(dòng)進(jìn)行統(tǒng)計(jì)分析，發(fā)現(xiàn)入侵行為的規(guī)律。4．檢查系統(tǒng)程序和數(shù)據(jù)的一致性與正確性。如計(jì)算和比較文件系統(tǒng)的校驗(yàn)和能夠?qū)崟r(shí)對(duì)檢測(cè)到的入侵行為進(jìn)行反應(yīng)。. 天闐(tian)黑客入侵檢測(cè)系統(tǒng)功能特點(diǎn)網(wǎng)絡(luò)版天闐是基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)，以下稱(chēng)為天闐網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。天闐網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)是通過(guò)監(jiān)視網(wǎng)絡(luò)中的數(shù)據(jù)包來(lái)發(fā)現(xiàn)黑客的入侵企圖，它可以運(yùn)行在一臺(tái)單獨(dú)的計(jì)算機(jī)上監(jiān)視整個(gè)網(wǎng)絡(luò)的信息。天闐網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)是一種分布式的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，可以適用于31 / 59任何規(guī)模的網(wǎng)絡(luò)。無(wú)論是小型局域網(wǎng)還是跨地區(qū)的城際網(wǎng)絡(luò)，都可以自由，靈活的來(lái)部署天闐。天闐網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)由兩部分構(gòu)成，控制中心和網(wǎng)絡(luò)探測(cè)器?？刂浦行募淳W(wǎng)絡(luò)探測(cè)器的前端操作界面。一個(gè)網(wǎng)絡(luò)探測(cè)器可以監(jiān)測(cè)一個(gè)共享網(wǎng)絡(luò)，一個(gè)控制中心可以管理一個(gè)或多個(gè)網(wǎng)絡(luò)探測(cè)器，組成局部獨(dú)立的預(yù)警網(wǎng)絡(luò)（見(jiàn)下圖） 。網(wǎng) 絡(luò) 1 網(wǎng) 絡(luò) 2 網(wǎng) 絡(luò) n多個(gè)局部預(yù)警網(wǎng)絡(luò)可以相互聯(lián)系，按照一定的規(guī)則構(gòu)建成一個(gè)多層次，分級(jí)管理的大規(guī)模的預(yù)警網(wǎng)絡(luò)。網(wǎng) 絡(luò) 網(wǎng) 絡(luò) 網(wǎng) 絡(luò) 分 控 制 中 心 網(wǎng) 絡(luò) 網(wǎng) 絡(luò) 總 控 制 中 心網(wǎng)絡(luò)探測(cè)器是預(yù)警系統(tǒng)中檢測(cè)部分的核心。通過(guò)對(duì)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)監(jiān)聽(tīng)，收集網(wǎng)絡(luò)上的信息，并對(duì)這些信息進(jìn)行實(shí)時(shí)的分析，看是否對(duì)被保護(hù)的網(wǎng)絡(luò)構(gòu)32 / 59成威脅，然后按照預(yù)先定義的策略自動(dòng)報(bào)警，阻斷和記錄日志等?？刂浦行氖穷A(yù)警系統(tǒng)的管理和配置工具，同時(shí)，它也接收來(lái)自網(wǎng)絡(luò)探測(cè)器的實(shí)時(shí)報(bào)警信息，控制中心還提供了將實(shí)時(shí)報(bào)警信息轉(zhuǎn)發(fā)至郵件信箱的功能?？刂浦行目梢跃庉嫞薷暮头职l(fā)下屬網(wǎng)絡(luò)探測(cè)器和下屬分控制中心的策略定義，給下屬網(wǎng)絡(luò)探測(cè)器升級(jí)事件庫(kù)。系統(tǒng)特點(diǎn)164。 內(nèi)置了多種預(yù)定義策略，并允許用戶(hù)添加修改策略；164。 同防火墻進(jìn)行聯(lián)合行動(dòng)，阻斷任何非法連接；164。 實(shí)時(shí)顯示分析結(jié)果；164。 開(kāi)放式事件特征庫(kù)，任何人都可以自行定義和添加特征事件；164。 包含一個(gè)報(bào)表分析軟件，事后可對(duì)日志進(jìn)行二次分析；164。 網(wǎng)絡(luò)流量分析，可以幫助分析網(wǎng)絡(luò)故障；164。 提供固化版本的網(wǎng)絡(luò)探測(cè)器，即插即用，方便安裝；系統(tǒng)運(yùn)行環(huán)境164。 天闐主機(jī)版探測(cè)引擎：Solaris 7 (SPARC)控制中心：Windows 2022164。 天闐網(wǎng)絡(luò)版探測(cè)引擎：RedHat Linux 控制中心：windows 2022針對(duì)華能電力網(wǎng)絡(luò)安全系統(tǒng)，我們采用 CA 公司的 Kill2022 產(chǎn)品進(jìn)行網(wǎng)絡(luò)防毒。. 病毒介紹隨著電腦的普及，幾乎所有的電腦用戶(hù)都已知道“計(jì)算機(jī)病毒”這一名詞。對(duì)于大多數(shù)計(jì)算機(jī)用戶(hù)來(lái)說(shuō)，談到“計(jì)算機(jī)病毒”似乎覺(jué)得它深不可測(cè)，無(wú)法琢磨。而對(duì)于企業(yè)用戶(hù)，由于辦公自動(dòng)化及電子商務(wù)的逐步深入的應(yīng)用，企業(yè)對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)的依賴(lài)越來(lái)越強(qiáng)。這使得企業(yè)的辦公效率進(jìn)一步加快，給企業(yè)33 / 59帶來(lái)了巨大的效益。但是，同時(shí)計(jì)算機(jī)病毒及黑客也給企業(yè)帶來(lái)了極大的風(fēng)險(xiǎn)。試想如果由于病毒或黑客的襲擊，使得整個(gè)企業(yè)辦公網(wǎng)絡(luò)癱瘓、數(shù)據(jù)庫(kù)無(wú)法進(jìn)行查詢(xún)或重要數(shù)據(jù)丟失、重要文件無(wú)法使用、計(jì)算機(jī)通信無(wú)法進(jìn)行甚至重要客戶(hù)資料被黑客竊取等情況發(fā)生，將給企業(yè)帶來(lái)多大的損失。所以企業(yè)網(wǎng)絡(luò)的防病毒及黑客更是比單機(jī)防病毒更為重要。以下對(duì)病毒作一簡(jiǎn)要介紹。. 病毒歷史自從 1946 年第一臺(tái)馮諾依曼型計(jì)算機(jī) ENIAC 出世以來(lái)，計(jì)算機(jī)已被應(yīng)用到人類(lèi)社會(huì)的各個(gè)領(lǐng)域。然而，1988 年發(fā)生在美國(guó)的“蠕蟲(chóng)病毒”事件，給計(jì)算機(jī)技術(shù)的發(fā)展罩上了一層陰影。蠕蟲(chóng)病毒是由美國(guó) CORNELL 大學(xué)研究生莫里斯編寫(xiě)。雖然并無(wú)惡意，但在當(dāng)時(shí)， “蠕蟲(chóng)”在 INTERNET 上大肆傳染，使得數(shù)千臺(tái)連網(wǎng)的計(jì)算機(jī)停止運(yùn)行，并造成巨額損失，成為一時(shí)的輿論焦點(diǎn)。 在國(guó)內(nèi)，最初引起人們注意的病毒是 80 年代末出現(xiàn)的“黑色星期五” ，“米氏病毒” ， “小球病毒”等。因當(dāng)時(shí)軟件種類(lèi)不多，用戶(hù)之間的軟件交流較為頻繁且反病毒軟件并不普及，造成病毒的廣泛流行。后來(lái)出現(xiàn)的 word 宏病毒及 win95 下的 CIH 病毒，使人們對(duì)病毒的認(rèn)識(shí)更加深了一步。最初對(duì)病毒理論的構(gòu)思可追溯到科幻小說(shuō)。在 70 年代美國(guó)作家雷恩出版的《P1 的青春》 一書(shū)中構(gòu)思了一種能夠自我復(fù)制，利用通信進(jìn)行傳播的計(jì)算機(jī)程序，并稱(chēng)之為計(jì)算機(jī)病毒。. 病毒定義“計(jì)算機(jī)病毒 ”為什么叫做病毒。首先，與醫(yī)學(xué)上的“病毒”不同，它不是天然存在的，是某些人利用計(jì)算機(jī)軟、硬件所固有的脆弱性，編制具有特殊功能的程序。由于它與生物醫(yī)學(xué)上的“病毒”同樣有傳染和破壞的特性，因此這一名詞是由生物醫(yī)學(xué)上的“病毒”概念引申而來(lái)。 從廣義上定義，凡能夠引起計(jì)算機(jī)故障，破壞計(jì)算機(jī)數(shù)據(jù)的程序統(tǒng)稱(chēng)為計(jì)算機(jī)病毒。依據(jù)此定義，諸如邏輯炸彈，蠕蟲(chóng)等均可稱(chēng)為計(jì)算機(jī)病毒。在34 / 59國(guó)內(nèi)，專(zhuān)家和研究者對(duì)計(jì)算機(jī)病毒也做過(guò)不盡相同的定義，但一直沒(méi)有公認(rèn)的明確定義。直至 1994 年 2 月 18 日，我國(guó)正式頒布實(shí)施了《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》 ，在《條例》第二十八條中明確指出：“計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。 ”此定義具有法律性、權(quán)威性。 （此節(jié)內(nèi)容摘自《計(jì)算機(jī)安全管理與實(shí)用技術(shù)》一書(shū)）. 病毒的產(chǎn)生那么究竟它是如何產(chǎn)生的呢？其過(guò)程可分為：程序設(shè)計(jì)傳播潛伏觸發(fā)、運(yùn)行 實(shí)行攻擊。究其產(chǎn)生的原因不外乎以下幾種： 開(kāi)個(gè)玩笑，一個(gè)惡作劇。某些愛(ài)好計(jì)算機(jī)并對(duì)計(jì)算機(jī)技術(shù)精通的人士為了炫耀自己的高超技術(shù)和智慧，憑借對(duì)軟硬件的深入了解，編制這些特殊的程序。這些程序通過(guò)載體傳播出去后，在一定條件下被觸發(fā)。如顯示一些動(dòng)畫(huà)，播放一段音樂(lè)，或提一些智力問(wèn)答題目等，其目的無(wú)非是自我表現(xiàn)一下。這類(lèi)病毒一般都是良性的，不會(huì)有破壞操作。 產(chǎn)生于個(gè)別人的報(bào)復(fù)心理。每個(gè)人都處于社會(huì)環(huán)境中，但總有人對(duì)社會(huì)不滿(mǎn)或受到不公證的待遇。如果這種情況發(fā)生在一個(gè)編程高手身上，那么他有可能會(huì)編制一些危險(xiǎn)的程序。在國(guó)外有這樣的事例：某公司職員在職期間編制了一段代碼隱藏在其公司的系統(tǒng)中，一旦檢測(cè)到他的名字在工資報(bào)表中刪除，該程序立即發(fā)作，破壞整個(gè)系統(tǒng)。類(lèi)似案例在國(guó)內(nèi)亦出現(xiàn)過(guò)。用于版權(quán)保護(hù)。計(jì)算機(jī)發(fā)展初期，由于在法律上對(duì)于軟件版權(quán)保護(hù)還沒(méi)有象今天這樣完善。很多商業(yè)軟件被非法復(fù)制，有些開(kāi)發(fā)商為了保護(hù)自己的利益制作了一些特殊程序，附在產(chǎn)品中。如：巴基斯坦病毒，其制作者是為了追蹤那些非法拷貝他們產(chǎn)品的用戶(hù)。用于這種目的的病毒目前已不多見(jiàn)。用于特殊目的。某組織或個(gè)人為達(dá)到特殊目的，對(duì)政府機(jī)構(gòu)、單位的特殊系統(tǒng)進(jìn)行宣傳或破壞?；蛴糜谲娛履康?。. 病毒特征這種特殊程序有以下幾種特征： 傳染性是病毒的基本特征。在生物界，通過(guò)傳染病毒從一個(gè)生物體擴(kuò)散到另一個(gè)生物體。在適當(dāng)?shù)臈l件下，它可得到大量繁殖，并使被感染的生物體表現(xiàn)出病癥甚至死亡。同樣，計(jì)算機(jī)病毒也會(huì)通過(guò)各種渠道從已被感染的計(jì)算機(jī)擴(kuò)散到未被感染的計(jì)算機(jī)，在某些情況下造成被感染的計(jì)算機(jī)工作失常甚至癱瘓。與生物病毒不同的是，計(jì)算機(jī)病毒是一段人為編制的計(jì)算機(jī)程序代碼，這段程序代碼一旦進(jìn)入計(jì)算機(jī)并得以執(zhí)行，它會(huì)搜尋其他符合其傳染條件的程序或存儲(chǔ)介質(zhì)，確定目標(biāo)后再將自身代碼插入其中，達(dá)到自我繁殖的目的。只要一臺(tái)計(jì)算機(jī)染毒，如不及時(shí)處理，那么病毒會(huì)在這臺(tái)機(jī)子上迅速擴(kuò)散，其中的35 / 59大量文件（一般是可執(zhí)行文件）會(huì)被感染。而被感染的文件又成了新的傳染源，再與其他機(jī)器進(jìn)行數(shù)據(jù)交換或通過(guò)網(wǎng)絡(luò)接觸，病毒會(huì)繼續(xù)進(jìn)行傳染。 正常的計(jì)算機(jī)程序一般是不會(huì)將自身的代碼強(qiáng)行連接到其它程序之上的。而病毒卻能使自身的代碼強(qiáng)行傳染到一切符合其傳染條件的未受到傳染的程序之上。計(jì)算機(jī)病毒可通過(guò)各種可能的渠道，如軟盤(pán)、計(jì)算機(jī)網(wǎng)絡(luò)去傳染其它的計(jì)算機(jī)。當(dāng)你在一臺(tái)機(jī)器上發(fā)現(xiàn)了病毒時(shí)，往往曾在這臺(tái)計(jì)算機(jī)上用過(guò)的軟盤(pán)已感染上了病毒，而與這臺(tái)機(jī)器相聯(lián)網(wǎng)的其它計(jì)算機(jī)也許也被該病毒侵染上了。是否具有傳染性是判別一個(gè)程序是否為計(jì)算機(jī)病毒的最重要條件。 未經(jīng)授權(quán)而執(zhí)行。一般正常的程序是由用戶(hù)調(diào)用，再由系統(tǒng)分配資源，完成用戶(hù)交給的任務(wù)。其目的對(duì)用戶(hù)是可見(jiàn)的、透明的。而病毒具有正常程序的一切特性，它隱藏再正常程序中，當(dāng)用戶(hù)調(diào)用正常程序時(shí)竊取到系統(tǒng)的控制權(quán)，先于正常程序執(zhí)行，病毒的動(dòng)作、目的對(duì)用戶(hù)時(shí)未知的，是未經(jīng)用戶(hù)允許的。 隱蔽性。病毒一般是具有很高編程技巧、短小精悍的程序。通常附在正常程序中或磁盤(pán)較隱蔽的地方，也有個(gè)別的以隱含文件形式出現(xiàn)。目的是不讓用戶(hù)發(fā)現(xiàn)它的存在。如果不經(jīng)過(guò)代碼分析，病毒程序與正常程序是不容易區(qū)別開(kāi)來(lái)的。一般在沒(méi)有防護(hù)措施的情況下，計(jì)算機(jī)病毒程序取得系統(tǒng)控制權(quán)后，可以在很短的時(shí)間里傳染大量程序。而且受到傳染后，計(jì)算機(jī)系統(tǒng)通常仍能正常運(yùn)行，使用戶(hù)不會(huì)感到任何異常。試想，如果病毒在傳染到計(jì)算機(jī)上之后，機(jī)器馬上無(wú)法正常運(yùn)行，那么它本身便無(wú)法繼續(xù)進(jìn)行傳染了。正是由于隱蔽性，計(jì)算機(jī)病毒得以在用戶(hù)沒(méi)有察覺(jué)的情況下擴(kuò)散到上百萬(wàn)臺(tái)計(jì)算機(jī)中。 大部分的病毒的代碼之所以設(shè)計(jì)得非常短小，也是為了隱藏。病毒一般只有幾百或 1k字節(jié)，而 PC 機(jī)對(duì) DOS 文件的存取速度可達(dá)每秒幾百 KB 以上，所以病毒轉(zhuǎn)瞬之間便可將這短短的幾百字節(jié)附著到正常程序之中，使人非常不易被察覺(jué)。 潛伏性。大部分的病毒感染系統(tǒng)之后一般不會(huì)馬上發(fā)作，它可長(zhǎng)期隱藏在系統(tǒng)中，只有在滿(mǎn)足其特定條件時(shí)才啟動(dòng)其表現(xiàn)（破壞）模塊。只有這樣它才可進(jìn)行廣泛地傳播。如“PETER2”在每年 2 月 27 日會(huì)提三個(gè)問(wèn)題，答錯(cuò)后會(huì)將硬盤(pán)加密。著名的“黑色星期五”在逢 13 號(hào)的星期五發(fā)作。國(guó)內(nèi)的“上海一號(hào)”會(huì)在每年三、六、九月的 13 日發(fā)作。當(dāng)然，最令人難忘的便是 26 日發(fā)作的 CIH。這些病毒在平時(shí)會(huì)隱藏得很好，只有在發(fā)作日才會(huì)露出本來(lái)面目。破壞性。任何病毒只要侵入系統(tǒng)，都會(huì)對(duì)系統(tǒng)及應(yīng)用程序產(chǎn)生程度不同的影響。輕者會(huì)降低計(jì)算機(jī)工作效率，占用系統(tǒng)資源，重者可導(dǎo)致系統(tǒng)崩潰。由此特性可將病毒分為良性病毒與惡性病毒。良性病度可能只顯示些畫(huà)面或出點(diǎn)音樂(lè)、無(wú)聊的語(yǔ)句，或者根本沒(méi)有任何破壞動(dòng)作，但會(huì)占用系統(tǒng)資源。這類(lèi)病毒較多，如：GENP、小球、WBOOT 等。惡性病毒則有明確得目的，或破壞數(shù)據(jù)、刪除文件或加密磁盤(pán)、格式化磁盤(pán)，有的對(duì)數(shù)據(jù)造成不可挽回的破壞。這也反映出病毒編制者的險(xiǎn)惡用心。. 病毒分類(lèi)從第一個(gè)病毒出世以來(lái)，究竟世界上有多少種病毒，說(shuō)法不一。無(wú)論多少種，病毒的數(shù)量仍在不斷增加。據(jù)國(guó)外統(tǒng)計(jì)，計(jì)算機(jī)病毒以 10 種/周的速度遞增，另?yè)?jù)我國(guó)公安部統(tǒng)計(jì)，國(guó)內(nèi)以 4 種/月的速度遞增。如此多的種類(lèi)，做一下分類(lèi)可更好地了解它們。36 / 59 按傳染方式分為：引導(dǎo)型病毒、文件型病毒和混合型病毒。 文件型病毒一般只傳染磁盤(pán)上的可執(zhí)行文件（COM，EXE） 。在用戶(hù)調(diào)用染毒的可執(zhí)行文件時(shí)，病毒首先被運(yùn)行，然后病毒駐留內(nèi)存伺機(jī)傳染其他文件或直接傳染其他文件。其特點(diǎn)是附著于正常程序文件，成為程序文件的一個(gè)外殼或部件。這是較為常見(jiàn)的傳染方式。 混合型病毒兼有以上兩種病毒的特點(diǎn)，既染引導(dǎo)區(qū)又染文件，因此擴(kuò)大了這種病毒的傳染途徑（如 97 年國(guó)內(nèi)流行較廣的“TPVO3783（SPY） ”） 。 按連接方式分為：源碼型病毒、入侵型病毒、操作系統(tǒng)型病毒、外殼型病毒。 源碼病毒較為少見(jiàn)，亦難以編寫(xiě)。因?yàn)樗舾呒?jí)語(yǔ)言編寫(xiě)的源程序，在源程序編譯之前插入其中，并隨源程序一起編譯、連接成可執(zhí)行文件。此時(shí)剛剛生成的可執(zhí)行文件便已經(jīng)帶毒了。 入侵型病毒可用自身代替正常程序種的部分模塊或堆棧區(qū)。因此這類(lèi)病毒只攻擊某些特定程序，針對(duì)性強(qiáng)。一般情況下也難以被發(fā)現(xiàn)，清除起來(lái)也較困難。 操作系統(tǒng)病毒可用其自身部分加入或替代操作系統(tǒng)的部分功能。因其直接感染操作系統(tǒng)，這類(lèi)病毒的危害性也較大。外殼病毒將自身附在正常程序的開(kāi)頭或結(jié)尾，相當(dāng)于給正常程序加了個(gè)外殼。大部份的文件型病毒都屬于這一類(lèi)。新興一族：宏病毒。宏病毒是近兩年才出現(xiàn)的，如分類(lèi)它可算做文件型。在此對(duì)其專(zhuān)門(mén)介紹。按破壞性可分為：良性病毒，惡性病毒。. 為何使用 CA 公司的 Kill2022 網(wǎng)絡(luò)防病毒KILL 作為全球第二大軟件企業(yè) CA 公司與中國(guó)公安部金辰公司合作推出的全中文防病毒產(chǎn)品。他具有世界領(lǐng)先的反病毒技術(shù)：主動(dòng)內(nèi)核技術(shù)（ActiveK）技術(shù)，Kill 通過(guò)全方位的管理、多種報(bào)警機(jī)制、完整的病毒報(bào)告、遠(yuǎn)程服務(wù)器支持，幫助管理員更好的實(shí)施防病毒工作。同時(shí) Kill 的技術(shù)支持中心由合資企業(yè)負(fù)責(zé)，可以獨(dú)立針對(duì)中國(guó)流行的病毒進(jìn)行及時(shí)的更新與服務(wù)。KILL 是一個(gè)用于 Windows NT 網(wǎng)絡(luò)的功能強(qiáng)大的新一代網(wǎng)絡(luò)防病毒產(chǎn)品。37 / 59KILL 系列產(chǎn)品包括保護(hù)您的 Windows NT 服務(wù)器、 Windows 95/9Windows NT Workstation、Wi