【正文】 于各種安全漏洞和缺陷，攻擊入侵者可以很容易地發(fā)動對目標(biāo)系統(tǒng)的攻擊入侵，盜用目標(biāo)系統(tǒng)的計算資源，或者搜集目標(biāo)系統(tǒng)的數(shù)據(jù)信息。單從技術(shù)角度而言，攻擊入侵者的動機(jī)是成為目標(biāo)機(jī)器的主人。只要他們獲得了一臺網(wǎng)絡(luò)機(jī)器的超級用戶權(quán)限，則攻擊入侵者就有可能在該機(jī)器上修改資源配置、安裝木馬程序、隱藏行蹤、執(zhí)行惡意進(jìn)程、發(fā)動網(wǎng)絡(luò)攻擊等。試問，誰又愿意別人在自己的機(jī)器上肆無忌憚地進(jìn)行這些操作呢？更何況這些入侵者的動機(jī)也不是那么單純。當(dāng)今的攻擊入侵者規(guī)模已經(jīng)非常巨大，不再是單純地為了炫耀技術(shù)、挑戰(zhàn)難度，而是在經(jīng)濟(jì)利益的驅(qū)動下，形成了龐大的黑客產(chǎn)業(yè)鏈。因此，在 Inter 包括像云計算這樣龐大的分布式網(wǎng)絡(luò)環(huán)境中，任何個體都有可能面臨著各種各樣的網(wǎng)絡(luò)攻擊和入侵。常見的網(wǎng)絡(luò)入侵攻擊形式主要有 [19]：拒絕服務(wù)攻擊（DoS）主要通過大量占用目標(biāo)服務(wù)器的計算資源并造成目標(biāo)服務(wù)器崩潰來組織該服務(wù)器提供服務(wù)，這是一種很容易實(shí)施的攻擊行為。拒絕服務(wù)攻擊有很多種類型，包括：（1）PING 死攻擊在早起階段，路由器對數(shù)據(jù)包的最大尺寸都進(jìn)行了限制。許多操作系統(tǒng)對 TCP/IP棧的實(shí)現(xiàn)都規(guī)定 ICMP 數(shù)據(jù)包的大小為 64KB，同時在讀取數(shù)據(jù)包的標(biāo)題頭后，根據(jù)其中所包含信息生成有效載荷的緩沖區(qū)，因此當(dāng)產(chǎn)生畸形的聲稱自己尺寸超過 ICMP 上限（即 64KB）的數(shù)據(jù)包時，就會出現(xiàn)內(nèi)存分配錯誤，導(dǎo)致 TCP/IP 堆棧崩潰，致使接收方死機(jī)。（2）淚滴攻擊淚滴攻擊是一種利用在 TCP/IP 堆棧中信任 IP 碎片中包標(biāo)題頭所包含信息來實(shí)現(xiàn)攻擊的技術(shù)。IP 分段含有指示該分段所包含的是原包的哪一段的信息，某些TCP/IP（包括 Service pack 4 以前的 NT）在收到含有重疊偏移的偽造分段時將崩潰。（3）UDP 攻擊許多假冒攻擊利用簡單的 TCP/IP 服務(wù)，例如 Chargen 和 Echo 來傳送占滿帶寬的無意義數(shù)據(jù)。通過偽造與某個機(jī)器的 Chargen 服務(wù)之間的一詞 UDP 連接，將回復(fù)地址設(shè)定為開著 Echo 服務(wù)的另一臺機(jī)器，就能實(shí)現(xiàn)在兩臺機(jī)器之間生成大量的無用數(shù)據(jù)流。當(dāng)這些無用數(shù)據(jù)流足夠多時，就會導(dǎo)致帶寬服務(wù)的 UDP 攻擊。（4）SYN 攻擊某些 TCP/IP 棧的實(shí)現(xiàn)只能接收有限數(shù)量的計算機(jī)發(fā)來的 ACK 消息，因為它們用于建立連接的緩沖區(qū)大小有限。如果使用偽造連接的初始信息充滿該緩沖區(qū)，則該服務(wù)器將會停止響應(yīng)后續(xù)的連接，直至緩沖區(qū)的連接嘗試超時。同樣，即使 TCP/IP 棧實(shí)現(xiàn)對連接數(shù)量沒有限制，SYN 攻擊同樣有效。（5）Land 攻擊Land 攻擊的實(shí)現(xiàn)思想是通過將某個特定封裝的 SYN 數(shù)據(jù)包的源和目的地址設(shè)定為同一個服務(wù)器地址，以使該服務(wù)器向其自身地址發(fā)送 SYNACK 消息，從而導(dǎo)致該服務(wù)器地址又向自身地址發(fā)送 ACK 消息并建立空連接。根據(jù) TCP/IP 連接的特點(diǎn)，該空連接將被保留到超時處理。如此循環(huán)下去，則網(wǎng)絡(luò)中將會存在大量的空連接占滿帶寬，造成 Land 攻擊。Land 攻擊破壞性較大，經(jīng)常造成 UNIX、NT 等系統(tǒng)的死機(jī)或崩潰。（6）Smurf 攻擊當(dāng)將回復(fù)地址設(shè)置成受害網(wǎng)絡(luò)的廣播地址，將會產(chǎn)生大量 ICMP 應(yīng)答請求（即PING）數(shù)據(jù)包，Smurf 攻擊就是通過使用這些數(shù)據(jù)包來淹沒受害主機(jī)達(dá)到攻擊目的。由于回復(fù)地址為廣播地址，因此將會造成整個網(wǎng)絡(luò)的所有主機(jī)都對該 ICMP 應(yīng)答請求進(jìn)行回復(fù)，而導(dǎo)致整個網(wǎng)絡(luò)癱瘓。Smurf 攻擊比 PING 死攻擊的流量要高出一到兩個數(shù)量級。進(jìn)一步，更加復(fù)雜的 Smurf 攻擊通過將源地址設(shè)為第三方主機(jī)，就可以造成第三方主機(jī)崩潰。（7）Fraggle 攻擊Fraggle 攻擊是在 Smurf 攻擊基礎(chǔ)上加以修改實(shí)現(xiàn)的，與 Smurf 攻擊的不同之處是fraggle 攻擊利用的是 UDP 應(yīng)答消息而不是 ICMP 應(yīng)答請求。（8）Email 攻擊Email 炸彈是比較早期的匿名攻擊之一。通過操縱一臺機(jī)器不斷地向某一郵件地址發(fā)送大量的 Email，攻擊者能夠耗盡接收地址機(jī)器的網(wǎng)絡(luò)帶寬，從而導(dǎo)致對方癱瘓或崩潰。（9）畸形消息攻擊許多操作系統(tǒng)的服務(wù)都存在畸形消息攻擊問題。所謂畸形消息攻擊，是指存在完整性或格式規(guī)范錯誤的消息引發(fā)的系統(tǒng)問題。由于許多操作系統(tǒng)的后臺服務(wù)在處理所接收的信息之前，很少進(jìn)行完整性或格式規(guī)范的錯誤校驗，導(dǎo)致在收到畸形消息后發(fā)生崩潰。所謂利用型攻擊，是嘗試直接對目標(biāo)機(jī)器進(jìn)行控制的一類攻擊。常見的利用型攻擊有三種：（1）口令破譯入侵攻擊者利用網(wǎng)絡(luò)掃描工具，尋找到一臺目標(biāo)機(jī)器。當(dāng)入侵攻擊者識別并發(fā)現(xiàn)該機(jī)器采用了基于 NetBIOS、Tel 或 NFS 的用戶帳號，就可能成功地猜測出登錄口令，進(jìn)而控制該機(jī)器。（2）木馬攻擊木馬是一種攻擊力很強(qiáng)的病毒程序，其中最著名的就是特洛伊木馬。這是一個由黑客或不引人懷疑的方式秘密安裝到目標(biāo)機(jī)器的程序，一旦安全成功便可取得管理員權(quán)限，而操控該木馬程序的網(wǎng)絡(luò)入侵者就可以遠(yuǎn)程訪問目標(biāo)機(jī)器。常見的后門木馬程序有：NetBus、BackOrifice、BO2k 等，用于操控目標(biāo)機(jī)器的工具程序有cat、VNC、pcAnywhere 等。（3）緩沖區(qū)益處諸如 strcpy()、strcat()之類的不進(jìn)行有效位校驗的函數(shù)，經(jīng)常會帶來一些災(zāi)難性后果，而且已經(jīng)大量存在于很多的軟件程序中。許多入侵攻擊者經(jīng)常會利用這些不安全的函數(shù)編寫軟件程序，并將其分配在緩沖區(qū)有效空間尾部以造成緩沖區(qū)溢出來打開目標(biāo)機(jī)器的安全防護(hù)缺口。當(dāng)緩沖區(qū)發(fā)生溢出后，將會返回函數(shù)指針指向惡意程序代碼，從而給了入侵攻擊者控制目標(biāo)機(jī)器的途徑。信息收集型攻擊主要用于搜集入侵所需的相關(guān)信息，并不對目標(biāo)本身帶來破壞。主要的信息收集攻擊技術(shù)包括：掃描嗅探、體系架構(gòu)探測、信息服務(wù)利用、虛假消息攻擊、COOKIE 漏洞攻擊、IE 框架漏洞攻擊等技術(shù)。（1）掃描嗅探技術(shù)掃描嗅探技術(shù)又包括地址掃描、端口掃描、反向映射、慢速掃描等技術(shù)。其中，地址掃描主要是利用 ping 等程序命令來探測目標(biāo)地址。如果存在反饋，則表示該目標(biāo)地址存在，并可獲得目標(biāo)地址的部分信息；端口掃描主要是利用一些軟件工具，向某個范圍的主機(jī)連接的一系列 TCP 端口發(fā)送消息，并最終返回其所成功建立連接的主機(jī)所開啟的各種端口號；反向映射主要是黑客通過向目標(biāo)機(jī)器發(fā)送虛假消息，例如RESET 消息、SYNACK 消息、DNS 響應(yīng)數(shù)據(jù)包等，然后根據(jù)所反饋的信息內(nèi)容，例如“host unreachable”來判斷哪些機(jī)器是存在的；慢速掃描是為了躲避掃描偵測器而出現(xiàn)的一種掃描方式，由于多數(shù)掃描偵測器是通過監(jiān)控給定時間里觀察主機(jī)發(fā)送的連接數(shù)目來判斷是否被掃描的，因此為了躲避掃描偵測器的監(jiān)測，入侵攻擊者特意將掃描速度放慢以匹配正常主機(jī)發(fā)送連接的數(shù)據(jù)，從而導(dǎo)致慢速掃描技術(shù)的出現(xiàn)。（2）體系架構(gòu)探測體系架構(gòu)探測的原理是：由于每種類型的操作系統(tǒng)對掃描都有各自的響應(yīng)方式，入侵者通過將不同操作系統(tǒng)遇到掃描時所產(chǎn)生的響應(yīng)方式存入數(shù)據(jù)庫；然后基于此數(shù)據(jù)庫開發(fā)出能夠自動掃描和比照的自動工具，以檢查來自目標(biāo)機(jī)器的對探測虛假數(shù)據(jù)包所作出的響應(yīng)。通過將目標(biāo)機(jī)器所發(fā)出的響應(yīng)方式與數(shù)據(jù)庫中的已知響應(yīng)進(jìn)行比照，從而判斷目標(biāo)機(jī)器所運(yùn)行的操作系統(tǒng)。（3）信息服務(wù)利用信息服務(wù)利用攻擊主要包括 DNS 域轉(zhuǎn)換、Finger 服務(wù)、LDAP 服務(wù)等形式。其中，DNS 域轉(zhuǎn)換是因為 DNS 協(xié)議不對轉(zhuǎn)換或信息更新進(jìn)行身份驗證，從而導(dǎo)致其被入侵者以不同的方式加以利用發(fā)動攻擊；Finger 命令主要被用來嗅探 finger 服務(wù)器以獲得有關(guān)該服務(wù)器的用戶信息；LDAP 協(xié)議主要被用來探測網(wǎng)絡(luò)內(nèi)部系統(tǒng)及其用戶信息 [28]。（4）虛假消息攻擊虛假消息攻擊主要用來攻擊目標(biāo)配置錯誤的消息，包括 DNS 高速緩存污染、偽造電子郵件等形式。其中，DNS 高速緩存污染是因為 DNS 服務(wù)器與其它名稱服務(wù)器交換信息時不驗證相互身份，使得入侵攻擊者有機(jī)會將錯誤信息融入進(jìn)來以把用戶指向自己的服務(wù)器；偽造電子郵件攻擊是由于 SMTP 不鑒定郵件發(fā)送者的身份信息，使得入侵攻擊者可以將自己偽造成某個郵件地址內(nèi)部客戶熟悉和信任的人，向內(nèi)部客戶發(fā)送虛假電子郵件，并在郵件中暗藏可以安裝的木馬程序或者一個指向惡意網(wǎng)站的鏈接，從而發(fā)動攻擊。（5）COOKIE 漏洞攻擊在很早之前，COOKIE 的安全漏洞問題就被發(fā)現(xiàn)，有關(guān) COOKIE 的軟件也不斷涌現(xiàn)，從而越來越多的人開始知道 COOKIE 的作用與漏洞問題，相應(yīng)的 COOKIE 安全漏洞攻擊軟件也層出不窮，有經(jīng)驗的入侵攻擊者可以利用 COOKIE 記錄獲得用戶帳號、密碼等信息。（6）IE 框架漏洞攻擊對于微軟 Windows 系統(tǒng)中的 IE 瀏覽器，一直都是眾多入侵攻擊者青睞的對象，因為該瀏覽器軟件存在很多容易攻破的薄弱之處?？蚣埽‵rames）功能就是一個例子，入侵攻擊者利用 VB 腳本可以在網(wǎng)絡(luò)安全域之間取得信息的弱點(diǎn)，從而在 IE 的歷史記錄信息中，獲得眾多用戶的個人資料甚至是用戶網(wǎng)上銀行的帳號記錄等。167。 入侵檢測的工作流程入侵檢測系統(tǒng)需要解決的三個關(guān)鍵問題分別是如何捕獲網(wǎng)絡(luò)系統(tǒng)和主機(jī)系統(tǒng)中的各種行為特征數(shù)據(jù)、如何分析這些行為特征數(shù)據(jù)以判別各種行為的合法性、在判別出非法的入侵行為后如何采取相應(yīng)的處理措施。因此，入侵檢測系統(tǒng)應(yīng)至少包括數(shù)據(jù)捕獲、行為判別和入侵處理三個功能模塊。一個基本的入侵檢測系統(tǒng)的工作原理和系統(tǒng)結(jié)構(gòu)，如圖 29 所示。圖 29 入侵檢測系統(tǒng)的工作流程通常，入侵檢測系統(tǒng)的工作步驟如下 [14]：：捕獲內(nèi)容包括網(wǎng)絡(luò)系統(tǒng)和主機(jī)系統(tǒng)以及用戶的各種狀態(tài)和行為數(shù)據(jù)，具體包括來自截取的網(wǎng)絡(luò)數(shù)據(jù)包、監(jiān)視獲得的系統(tǒng)調(diào)用、網(wǎng)絡(luò)和主機(jī)系統(tǒng)的日志文件、目錄和文件中的不期望改變，程序執(zhí)行中的不期望行為、物理形式的入侵信息等。數(shù)據(jù)捕獲主要借助插樁技術(shù)或各種網(wǎng)絡(luò)抓包工具、系統(tǒng)監(jiān)控軟件等完成；：入侵行為的判別是通過對捕獲到的大量行為數(shù)據(jù)進(jìn)行分析而發(fā)現(xiàn)的。通常，入侵檢測系統(tǒng)收集到的各種行為數(shù)據(jù)量非常巨大，而且絕大部分行為數(shù)據(jù)都是正常的，只有很少部分的異常行為數(shù)據(jù)才意味著可能入侵行為的發(fā)生，因此入侵檢測系統(tǒng)可以通過設(shè)定閾值以減少行為數(shù)據(jù)分析的工作量。行為判別可以采用的方法包括數(shù)據(jù)挖掘、神經(jīng)網(wǎng)絡(luò)、遺傳算法、專家系統(tǒng)、模型推理等；：當(dāng)入侵檢測系統(tǒng)經(jīng)過行為數(shù)據(jù)的分析和判別，確定了入侵行為的發(fā)生后，就應(yīng)根據(jù)預(yù)先設(shè)定的安全策略進(jìn)行相應(yīng)的入侵處理。通常，入侵檢測系統(tǒng)會根據(jù)異常行為性質(zhì)或所受攻擊類型，做出對應(yīng)的安全告警或響應(yīng)措施。例如，當(dāng)入侵檢測系統(tǒng)發(fā)現(xiàn)入侵行為后，可以通過報警告知網(wǎng)絡(luò)或主機(jī)系統(tǒng)管理員發(fā)生了異常行為的入侵，對于非常嚴(yán)重的入侵行為還可以直接切斷網(wǎng)絡(luò)連接以及關(guān)閉主機(jī)系統(tǒng)等處理。簡而言之，入侵檢測系統(tǒng)的工作方式為：用戶機(jī)器連接到網(wǎng)絡(luò)上后，出于諸多原因，用戶同意部分被授權(quán)者通過網(wǎng)絡(luò)訪問用戶機(jī)器，例如一臺連接到 Inter 的 Web服務(wù)器愿意讓所熟識的客戶、職員或潛在客戶訪問存儲在 Web 服務(wù)器上的頁面；但是，用戶并不同意未經(jīng)授權(quán)的職員、客戶或其它第三方訪問自己的機(jī)器，比如用戶不同意除了公司雇傭的網(wǎng)頁設(shè)計人員以外的人員修改儲存于該 Web 服務(wù)器上的頁面，典型做法之一就是使用防火墻或者某種認(rèn)證系統(tǒng)來防止未經(jīng)授權(quán)的訪問。但是在某些情況下，簡單的使用防火墻或者認(rèn)證系統(tǒng)可能會被攻破，而需要更強(qiáng)大、更主動的防御方式。入侵檢測系統(tǒng)就是這樣一種能夠?qū)崿F(xiàn)入侵或者攻擊主動發(fā)現(xiàn)并預(yù)警的系統(tǒng)，它會對未經(jīng)授權(quán)的連接企圖做出反應(yīng)，甚至可以抵御部分入侵攻擊。167。 云計算的入侵檢測在現(xiàn)實(shí)世界中，對網(wǎng)絡(luò)、系統(tǒng)和數(shù)據(jù)的入侵是真實(shí)存在的。幸運(yùn)的是，今天這個技術(shù)領(lǐng)域中的大多數(shù)標(biāo)準(zhǔn)和規(guī)則對于監(jiān)控、預(yù)警或者入侵檢測的需求都有了明確的定義。下面將討論在云計算環(huán)境中實(shí)施入侵檢測的一些要素。具體而言，包括云計算環(huán)境中入侵檢測的實(shí)施位置、實(shí)施人員以及將來可行的一些實(shí)施方案。167。 云服務(wù)模型和入侵檢測入侵檢測實(shí)施的可行性在很大程度上依賴于所使用的云服務(wù)模型。目前，云計算存在三種典型的服務(wù)模型：（SaaS）：現(xiàn)實(shí)情況是 SaaS 的用戶基本上只能依賴于他們的服務(wù)供應(yīng)商實(shí)現(xiàn)入侵檢測。用戶可以設(shè)置選項獲得一些日志，也可以部署對于這些信息的監(jiān)控和報警，但是大部分的入侵檢測是由服務(wù)供應(yīng)商來實(shí)現(xiàn)的；（PaaS）：類似于 SaaS，這一層次上的大部分入侵檢測服務(wù)也是由服務(wù)供應(yīng)商來實(shí)現(xiàn)的。因為入侵檢測系統(tǒng)的經(jīng)典形式是在應(yīng)用程序外部的。用戶必須依賴于其服務(wù)供應(yīng)商在 Paas 上部署入侵檢測系統(tǒng)。然而，用戶可以配置其應(yīng)用和平臺登錄到一個中心服務(wù)器，進(jìn)而可以在此服務(wù)器上建立監(jiān)控和警報系統(tǒng)（例如，用戶可以自己實(shí)現(xiàn)入侵檢測） ；（IaaS）：這對用戶來說是部署入侵檢測系統(tǒng)最靈活可控的方式。不象其它兩種方式，IaaS 給用戶提供了更多的選擇權(quán)。這也是本文所研究入侵檢測系統(tǒng)所重點(diǎn)針對的服務(wù)模型。在開展云計算環(huán)境的入侵檢測時，首先應(yīng)該回答如下幾個問題：1．應(yīng)該在哪里實(shí)施 IaaS 云上的入侵檢測？當(dāng)談及 IaaS 云上的入侵檢測時，我們需要斟酌部署的位置。有三個主要的候選位置：（1）在虛擬機(jī)上：在虛擬機(jī)層上部署入侵檢測系統(tǒng)使用戶可以監(jiān)控系統(tǒng)的活動，對突發(fā)事件檢測和報警；（2）在管理程序和主機(jī)系統(tǒng)上：在管理程序上部署入侵檢測系統(tǒng)使用戶不僅可以監(jiān)控管理程序還可以在管理程序和虛擬機(jī)之間切換。這對入侵檢測系統(tǒng)來說是一個更核心的位置，但是考慮到性能因素當(dāng)數(shù)據(jù)量很大時需要刪除一些日志信息。而且我們可以看到現(xiàn)在這個模式發(fā)展的還很不成熟；（3）在虛擬網(wǎng)絡(luò)中：部署入侵檢測系統(tǒng)監(jiān)控虛擬網(wǎng)絡(luò)（例如，建立在主機(jī)之間的網(wǎng)絡(luò)）使用戶可以監(jiān)控主機(jī)上的虛擬機(jī)之間的網(wǎng)絡(luò)交通，同時還可以監(jiān)控虛