【正文】 單的遞歸編組，即對(duì)標(biāo)記加上數(shù)據(jù)，然后封裝在括號(hào)內(nèi)完成編組，這跟 LISP有些類似。 S表達(dá)式的最開頭是語(yǔ)義標(biāo)識(shí)符（簡(jiǎn)稱為 SID）， 用于顯示編組列表的語(yǔ)義。例如下面的 S表達(dá)式： （ HostName ‘first. example. ’） 102 該編組列表的 SID是 HostName， 它說(shuō)明后面的字符串“ first. example. ”將被解釋為一個(gè)主機(jī)的名字。 有時(shí)侯，只有使用很復(fù)雜的 S 表達(dá)式才能描述出某些事件的詳細(xì)情況，這就需要使用大量的 SID。 SID在 CISL中起著非常重要的作用，用來(lái)表示時(shí)間、定位、動(dòng)作、角色、屬性等，只有使用大量的 SID， 才能構(gòu)造出合適的句子。 CISL使用范例對(duì)各種事件和分析結(jié)果進(jìn)行編碼，把編碼的句子進(jìn)行適當(dāng)?shù)姆庋b，就得到了 GIDO。 GIDO的構(gòu)建與編碼是 CISL的重點(diǎn)。 103 CIDF的 API負(fù)責(zé) GIDO的編碼、解碼和傳遞，它提供的調(diào)用功能使程序員可以在不了解編碼和傳遞過(guò)程具體細(xì)節(jié)的情況下，以一種很簡(jiǎn)單的方式構(gòu)建和傳遞 GIDO。 GIDOD 生成分為兩個(gè)步驟： 在構(gòu)造樹形結(jié)構(gòu)時(shí)， SID分為兩組：一組把 S表達(dá)式作為參數(shù)（即動(dòng)詞、副詞、角色、連接詞等），另一組把單個(gè)數(shù)據(jù)或一個(gè)數(shù)據(jù)陣列作為參數(shù)（即原子），這樣就可以把一個(gè)完整的句子表示成一棵樹，每個(gè) SID表示成一個(gè)節(jié)點(diǎn)，最高層的 SID是樹根。因?yàn)槊總€(gè) S表達(dá)式都包含一定的數(shù)據(jù)，所以，樹的每個(gè)分支末端都有表示原子 SID的葉子。 （ 1）構(gòu)造表示 GIDO的樹形結(jié)構(gòu) （ 2）將此結(jié)構(gòu)編成字節(jié)碼 將字節(jié)碼進(jìn)行解碼跟上面的過(guò)程正好相反。 CIDF的 API為實(shí)現(xiàn)者和應(yīng)用開發(fā)者都提供了很多的方便，并分為兩類：GIDO編碼 /解碼 API和消息層 API。 104 IDWG的標(biāo)準(zhǔn)化工作 ? 1999年 6月， IDWG就入侵檢測(cè)出臺(tái)了一系列草案。它定義了數(shù)據(jù)格式和交換規(guī)程，用于入侵檢測(cè)與響應(yīng)（ IDR） 系統(tǒng)之間與需要交互的管理系統(tǒng)之間的信息共享，包括三部分內(nèi)容：入侵檢測(cè)消息交換格式（ IDMEF）、 入侵檢測(cè)交換協(xié)議（ IDXP）以及隧道輪廓（ Tunnel Profile）。 105 IDMEF描述了入侵檢測(cè)系統(tǒng)輸出信息的數(shù)據(jù)模型，并解釋了使用此模型的基本原理。該數(shù)據(jù)模型用 XML實(shí)現(xiàn)，并設(shè)計(jì)了一個(gè) XML文檔類型定義。自動(dòng)入侵檢測(cè)系統(tǒng)可以使用 IDMEF 提供的標(biāo)準(zhǔn)數(shù)據(jù)格式對(duì)可疑事件發(fā)出警報(bào)，提高商業(yè)、開放資源和研究系統(tǒng)之間的互操作性。IDMEF最適用于入侵檢測(cè)分析器（或稱為“探測(cè)器”）和接收警報(bào)的管理器（或稱為“控制臺(tái)”）之間的數(shù)據(jù)信道。 （ 1） IDME的數(shù)據(jù)模型 IDMEF數(shù)據(jù)模型以面向?qū)ο蟮男问奖硎咎綔y(cè)器傳遞給控制臺(tái)的警報(bào)數(shù)據(jù)，設(shè)計(jì)數(shù)據(jù)模型的目標(biāo)是為警報(bào)提供確定的標(biāo)準(zhǔn)表達(dá)方式，并描述簡(jiǎn)單警報(bào)和復(fù)雜警報(bào)之間的關(guān)系。 IDMEF數(shù)據(jù)模型各個(gè)主要部分之間的關(guān)系如 圖 。 106 IDMEFMessage Alert Analyzer Heartbeat Analyzer Create Time Detect Time Analyzer Time Source Target Class Node User Process Service Node User Process Service Create Time AdditionalData 圖 IDME數(shù)據(jù)模型各個(gè)主要部分之間的關(guān)系 107 IDMEF數(shù)據(jù)模型是用統(tǒng)一建模語(yǔ)言（ UML） 描述的。 UML用一個(gè)簡(jiǎn)單的框架表示實(shí)體以及它們之間的關(guān)系，并將實(shí)體定義為類。 IDMEF包括的主要類有 IDMEFMessage類、Alert類、 Heartbeat類、 Core類、 Time類 Support類，這些類還可以再細(xì)分為許多子類。所有 IDMEF消息的最高層是IDMEFMessage， 每一種類型的消息都是該類的子類。 需要注意的是， IDMEF數(shù)據(jù)模型并沒(méi)有對(duì)警報(bào)的分類和鑒別進(jìn)行說(shuō)明。例如，對(duì)一個(gè)端口的掃描，一個(gè)分析器可能將其確定為一個(gè)多目標(biāo)的單一攻擊，而另一個(gè)分析器可能將其確定為來(lái)自同一個(gè)源的多次攻擊。只有一個(gè)分析器決定了發(fā)送的警報(bào)類型，數(shù)據(jù)模型才能規(guī)定怎樣對(duì)這個(gè)警報(bào)進(jìn)行格式化。 108 （ 2）使用 XML描述 IDMEF文檔標(biāo)記 XML是一種元語(yǔ)言，它允許應(yīng)用程序定義自己的標(biāo)記，還可以為不同類型的文檔和應(yīng)用程序定義定制化的標(biāo)記語(yǔ)言。 XML DTD（ 文檔類型定義）可用來(lái)聲明文檔所用的標(biāo)記，它包括元素（文檔包括的不同信息部分）、屬性（信息的特征）和內(nèi)容模型（各部分之間的關(guān)系）。 109 IDXP （ 入侵檢測(cè)交換協(xié)議）是一個(gè)用于入侵檢測(cè)實(shí)體之間交換數(shù)據(jù)的應(yīng)用層協(xié)議，能夠?qū)崿F(xiàn) IDMEF消息、非結(jié)構(gòu)文本和二進(jìn)制數(shù)據(jù)之間的交換，并提供面向連接協(xié)議之上的雙向認(rèn)證、完整性和保密性等安全特征。 IDMEF是 BEEP的一部分，后者是一個(gè)用于面向連接異步交互通用應(yīng)用協(xié)議。 IDXP的許多特色功能（如認(rèn)證、保密性等）都是由 BEEP框架提供的。 IDXP模型如下： （ 1） 建立連接 入侵檢測(cè)實(shí)體之間的 IDXP通信在 BEEP信道上完成。兩個(gè)希望建立IDXP通信的入侵檢測(cè)實(shí)體在打開 BEEP 信道之前，首先要進(jìn)行一次BEEP會(huì)話，然后就有關(guān)的安全特性問(wèn)題進(jìn)行協(xié)商，協(xié)商好 BEEP安全輪廓之后，互致問(wèn)候，然后開始 IDXP交換。 圖 A和 B之間建立 IDXP通信的過(guò)程： 110 問(wèn)候 xport 連接 [1] 啟動(dòng)安全輪廓 [2] 問(wèn)候 啟動(dòng) IDXP[3] 圖 兩個(gè)入侵檢測(cè)實(shí)體“ Alice”和“ Bob”之間建立 IDXP通信的過(guò)程 111 使用 IDXP傳送數(shù)據(jù)的入侵檢測(cè)實(shí)體被稱為 IDXP的對(duì)等體，對(duì)等體只能成對(duì)地出現(xiàn)，在 BEEP會(huì)話上進(jìn)行通信的對(duì)等體可以使用一個(gè)或多個(gè) BEEP 信道傳輸數(shù)據(jù)。對(duì)等體可以是管理器，也可以是分析器。分析器和管理器之間是多對(duì)多的關(guān)系，即一個(gè)分析器可以與多個(gè)管理器通信，同樣，一個(gè)管理器也可以與多個(gè)分析器通信；管理器與管理器之間也是多對(duì)多的關(guān)系。所以，一個(gè)管理器可以通過(guò) 多個(gè)中間管理器接收來(lái)自多哥分析器的大量警報(bào)。但是， IDXP 規(guī)定，分析器之間不可以建立交換。 112 （ 2） 傳輸數(shù)據(jù) 在每個(gè)信道上，對(duì)等體都以客戶機(jī) /服務(wù)器模式進(jìn)行通信， BEEP會(huì)話發(fā)起者為客戶機(jī)，而收聽者則為服務(wù)器。 圖 數(shù)據(jù)傳輸給一個(gè)管理器的簡(jiǎn)單過(guò)程。 分析器 （客戶機(jī)） 管理器 （服務(wù)器） IDXP輪廓 IBEEP會(huì)話 圖 一個(gè)分析器將數(shù)據(jù)傳輸給一個(gè)管理器的簡(jiǎn)單過(guò)程 113 在一次 BEEP會(huì)話時(shí)，使用多個(gè) BEEP 信道有利于對(duì)在 IDXP 對(duì)等體之間傳輸?shù)臄?shù)據(jù)進(jìn)行分類和優(yōu)先權(quán)設(shè)置。例如，一個(gè)管理器 M1在向另一個(gè)管理器 M2傳送警報(bào)數(shù)據(jù)時(shí)，可以用不同的信道傳送不同類型的警報(bào)數(shù)據(jù)，在每個(gè)信道上管理器 M1的作用都相當(dāng)于一個(gè)客戶器，而 M2則對(duì)不同信道上的數(shù)據(jù)作出相應(yīng)的處理。如 圖 。 管理器 M1 （ 客戶機(jī)） 管理器 M2 （ 服務(wù)器） IDXP輪廓，基于主機(jī)的警報(bào) IBEEP會(huì)話 IDXP輪廓，基于網(wǎng)絡(luò)的警報(bào) IDXP輪廓，其他警報(bào) 圖 多個(gè) BEEP信道有利于對(duì)在 IDXP對(duì)等體之間傳輸?shù)? 數(shù)據(jù)進(jìn)行分類和優(yōu)先權(quán)設(shè)置 114 （ 3） 斷開連接 在有些情況下，一個(gè) IDXP對(duì)等體可以選擇關(guān)閉某個(gè)信道。在關(guān)閉一個(gè)信道時(shí)，對(duì)等體在 0信道上發(fā)送一個(gè)“關(guān)閉”元素指明要關(guān)閉哪一個(gè)信道。 IDXP對(duì)等體也可以通過(guò)在 0信道上發(fā)送一個(gè)指明要“關(guān)閉” 0信道的元素，來(lái)關(guān)閉整個(gè) BEEP會(huì)話。 在上面這個(gè)模型中， IDXP對(duì)等實(shí)體之間采用了 BEEP安全輪廓實(shí)現(xiàn)端到端的安全，而無(wú)需通過(guò)中間的代理建立安全信任，因此只有 IDXP對(duì)等體之間是相互信任的，而代理是不可信的。 115 網(wǎng)絡(luò)誘騙 ? 防火墻以及入侵檢測(cè)都是被動(dòng)防御技術(shù)，而網(wǎng)絡(luò)誘騙是一種主動(dòng)防御技術(shù)。 項(xiàng) 目 被動(dòng)防御系統(tǒng) 主動(dòng)防御系統(tǒng) 主動(dòng)性 被動(dòng)地守株待兔式防御 主動(dòng)跟蹤攻擊者 攻防 方式 攻擊者主動(dòng)選擇攻擊目標(biāo) ，可隨意攻擊； 事先掌握攻擊者的行為 ， 進(jìn)行跟蹤 ， 有效制止攻擊者的破壞行為 對(duì)攻擊者的威懾 對(duì)攻擊方不構(gòu)成威脅 能對(duì)攻擊者造成威脅和損害： 誘惑黑客攻擊虛假網(wǎng)絡(luò)而忽視真正的網(wǎng)絡(luò) 加重黑客的工作量 ， 消耗其資源 ， 讓系統(tǒng)管理員有足夠時(shí)間響應(yīng)； 收集黑客信息和企圖 ， 以便系統(tǒng)進(jìn)行安全防護(hù)和檢測(cè) 。 為起訴留下證據(jù) 表 主動(dòng)防御與被動(dòng)防御的比較 116 蜜罐主機(jī)技術(shù) 網(wǎng)絡(luò)誘騙技術(shù)的核心是蜜罐（ Honey Pot）。 它是運(yùn)行在 Inter上的充滿誘惑力的計(jì)算機(jī)系統(tǒng)。這種計(jì)算機(jī)系統(tǒng)有如下一些特點(diǎn)： 蜜罐是一個(gè)包含有漏洞的誘騙系統(tǒng)，它通過(guò)模擬一個(gè)或多個(gè)易受攻擊的主機(jī)，給攻擊者提供一個(gè)容易攻擊的目標(biāo)。 蜜罐不向外界提供真正有價(jià)值的服務(wù)。 所有與蜜罐的連接嘗試都被視為可疑的連接。 這樣，蜜罐就可以實(shí)現(xiàn)如下目的： 引誘攻擊，拖延對(duì)真正有價(jià)值目標(biāo)的攻擊； 消耗攻擊者的時(shí)間，以便收集信息，獲取證據(jù)。 下面介紹蜜罐的三種主要形式。 117 空系統(tǒng)是一種沒(méi)有任何虛假和模擬的環(huán)境的完全真實(shí)的計(jì)算機(jī)系統(tǒng)，但是有真實(shí)的操作系統(tǒng)和應(yīng)用程序，也有真實(shí)的漏洞。這是一種簡(jiǎn)單的蜜罐主機(jī)。 但是，空系統(tǒng)（以及模擬系統(tǒng)）會(huì)很快被攻擊者發(fā)現(xiàn)，因?yàn)樗麄儠?huì)發(fā)現(xiàn)這不是期待的目標(biāo)。 建立一些提供 Inter服務(wù)的服務(wù)器鏡像系統(tǒng)，會(huì)對(duì)攻擊者感到真實(shí)，也就更具有欺騙性。另一方面，由于是鏡像系統(tǒng)，所以比較安全。 虛擬系統(tǒng)是在一臺(tái)真實(shí)的物理機(jī)器上運(yùn)行一些仿真軟件，模擬出多臺(tái)虛擬機(jī)，構(gòu)建多個(gè)蜜罐主機(jī)。這種虛擬系統(tǒng)不但逼真，而且成本較低，資源利用率較高。此外，即使攻擊成功，也不會(huì)威脅宿主操作系統(tǒng)安全。 118 蜜網(wǎng)技術(shù) ? 蜜網(wǎng)（ Honey Net） 技術(shù)也稱陷阱網(wǎng)絡(luò)技術(shù)。它由多個(gè)蜜罐主機(jī)、路由器、防火墻、 IDS、 審計(jì)系統(tǒng)等組成，為攻擊者制造一個(gè)攻擊環(huán)境，供防御者研究攻擊者的攻擊行為。 圖 。 119 Inter 路由器 防火墻 IDS 日志及報(bào)警管理主機(jī) 安全管理子網(wǎng) Linux 密罐主機(jī) 交換機(jī) Windows 密罐主機(jī) Solaris 密罐主機(jī) 日志 密罐主機(jī) 蜜網(wǎng)子網(wǎng) 圖 第一代蜜網(wǎng)結(jié)構(gòu) 120 （ 1） 防火墻 防火墻隔離內(nèi)網(wǎng)和外網(wǎng)，防止入侵者以蜜網(wǎng)作為跳板攻擊其他系統(tǒng)。其配置規(guī)則為：不限制外網(wǎng)對(duì)蜜網(wǎng)的訪問(wèn)，但需要對(duì)蜜罐主機(jī)對(duì)外的連接予以控制，包括： 限制對(duì)外連接的目的地； 限制蜜罐主機(jī)主動(dòng)對(duì)外連接； 限制對(duì)外連接的協(xié)議； …… 。 （ 2） 路由器 路由器放在防火墻與蜜網(wǎng)之間，利用路由器具有控制功能來(lái)彌補(bǔ)防火墻的不足，例如防止地址欺騙攻擊、 DoS攻擊等。 （ 3） IDS IDS是蜜網(wǎng)中的數(shù)據(jù)捕獲設(shè)備，用于檢測(cè)和記錄網(wǎng)絡(luò)中可疑的通信連接，報(bào)警可疑的網(wǎng)絡(luò)活動(dòng)。 121 圖 。 路由器 HUB 密罐 蜜網(wǎng)子網(wǎng) 密罐 密罐 HUB 蜜網(wǎng)探測(cè)器 蜜網(wǎng)子網(wǎng) 受保護(hù)子網(wǎng) 圖 第 二 代蜜網(wǎng)結(jié)構(gòu) 122 第二代蜜網(wǎng)技術(shù)將數(shù)據(jù)控制和數(shù)據(jù)捕獲集中到蜜網(wǎng)探測(cè)器中進(jìn)行。這樣，帶來(lái)的好處是： 便于安裝和管理； 隱蔽性更強(qiáng)； 可以監(jiān)控非授權(quán)活動(dòng)； 可以采取積極的響應(yīng)方法限制非法活動(dòng)的效果，如修改攻擊代碼字節(jié)，使攻擊失效等。 123 第三代密網(wǎng)是目前正在開發(fā)的密網(wǎng)技術(shù)。它是建立在一個(gè)物理的設(shè)備上的分布式虛擬系統(tǒng)。如 圖 ，這樣就把蜜罐、數(shù)據(jù)控制、數(shù)據(jù)捕獲、數(shù)據(jù)記錄等，都集中到一臺(tái)物理的設(shè)備上。 Inter 宿主機(jī)系統(tǒng) 虛擬系統(tǒng) 虛擬系統(tǒng) … 虛擬系統(tǒng) 圖 第 三 代蜜網(wǎng)結(jié)構(gòu) 124 常見(jiàn)網(wǎng)絡(luò)誘騙工具及產(chǎn)品 1. 蜜罐實(shí)現(xiàn)工具 （ 1） wid wid是一個(gè)在 Windows上實(shí)現(xiàn)蜜罐的簡(jiǎn)單工具。它安裝簡(jiǎn)單，界面友好，適合初學(xué)者使用；確定是過(guò)于簡(jiǎn)單，并不能真正誘騙攻擊者進(jìn)入。 （ 2） DTK DTK（ Deception Tool Kit， 可以從 C語(yǔ)言和 Perl腳本語(yǔ)言寫成的一種蜜罐工具軟件，能在支持 C語(yǔ)言和 Perl的系統(tǒng)（ Unix） 上運(yùn)行。它能夠監(jiān)聽 HTTP、 FTP、 Tel等常用服務(wù)器所使用的端口，模擬標(biāo)準(zhǔn)服務(wù)器對(duì)接收到的請(qǐng)求所作出的響應(yīng)，還可以模擬多種常見(jiàn)的系統(tǒng)漏洞。不足之處是，模擬不太逼真，構(gòu)建過(guò)程麻煩。 （ 3） honeyd Honeyd（ 可以從 個(gè)專用的蜜罐構(gòu)建軟件，可以虛擬多種主機(jī)，配置運(yùn)行不同的服務(wù)和操作系統(tǒng)。 125 2.