【正文】 單的遞歸編組，即對標(biāo)記加上數(shù)據(jù)，然后封裝在括號內(nèi)完成編組，這跟 LISP有些類似。 S表達式的最開頭是語義標(biāo)識符（簡稱為 SID）， 用于顯示編組列表的語義。例如下面的 S表達式： （ HostName ‘first. example. ’） 102 該編組列表的 SID是 HostName， 它說明后面的字符串“ first. example. ”將被解釋為一個主機的名字。 有時侯，只有使用很復(fù)雜的 S 表達式才能描述出某些事件的詳細(xì)情況，這就需要使用大量的 SID。 SID在 CISL中起著非常重要的作用，用來表示時間、定位、動作、角色、屬性等，只有使用大量的 SID， 才能構(gòu)造出合適的句子。 CISL使用范例對各種事件和分析結(jié)果進行編碼，把編碼的句子進行適當(dāng)?shù)姆庋b，就得到了 GIDO。 GIDO的構(gòu)建與編碼是 CISL的重點。 103 CIDF的 API負(fù)責(zé) GIDO的編碼、解碼和傳遞，它提供的調(diào)用功能使程序員可以在不了解編碼和傳遞過程具體細(xì)節(jié)的情況下，以一種很簡單的方式構(gòu)建和傳遞 GIDO。 GIDOD 生成分為兩個步驟： 在構(gòu)造樹形結(jié)構(gòu)時， SID分為兩組：一組把 S表達式作為參數(shù)（即動詞、副詞、角色、連接詞等），另一組把單個數(shù)據(jù)或一個數(shù)據(jù)陣列作為參數(shù)（即原子），這樣就可以把一個完整的句子表示成一棵樹，每個 SID表示成一個節(jié)點，最高層的 SID是樹根。因為每個 S表達式都包含一定的數(shù)據(jù)，所以，樹的每個分支末端都有表示原子 SID的葉子。 （ 1）構(gòu)造表示 GIDO的樹形結(jié)構(gòu) （ 2）將此結(jié)構(gòu)編成字節(jié)碼 將字節(jié)碼進行解碼跟上面的過程正好相反。 CIDF的 API為實現(xiàn)者和應(yīng)用開發(fā)者都提供了很多的方便，并分為兩類：GIDO編碼 /解碼 API和消息層 API。 104 IDWG的標(biāo)準(zhǔn)化工作 ? 1999年 6月， IDWG就入侵檢測出臺了一系列草案。它定義了數(shù)據(jù)格式和交換規(guī)程，用于入侵檢測與響應(yīng)（ IDR） 系統(tǒng)之間與需要交互的管理系統(tǒng)之間的信息共享，包括三部分內(nèi)容：入侵檢測消息交換格式（ IDMEF）、 入侵檢測交換協(xié)議（ IDXP）以及隧道輪廓（ Tunnel Profile）。 105 IDMEF描述了入侵檢測系統(tǒng)輸出信息的數(shù)據(jù)模型，并解釋了使用此模型的基本原理。該數(shù)據(jù)模型用 XML實現(xiàn)，并設(shè)計了一個 XML文檔類型定義。自動入侵檢測系統(tǒng)可以使用 IDMEF 提供的標(biāo)準(zhǔn)數(shù)據(jù)格式對可疑事件發(fā)出警報，提高商業(yè)、開放資源和研究系統(tǒng)之間的互操作性。IDMEF最適用于入侵檢測分析器（或稱為“探測器”）和接收警報的管理器（或稱為“控制臺”）之間的數(shù)據(jù)信道。 （ 1） IDME的數(shù)據(jù)模型 IDMEF數(shù)據(jù)模型以面向?qū)ο蟮男问奖硎咎綔y器傳遞給控制臺的警報數(shù)據(jù)，設(shè)計數(shù)據(jù)模型的目標(biāo)是為警報提供確定的標(biāo)準(zhǔn)表達方式，并描述簡單警報和復(fù)雜警報之間的關(guān)系。 IDMEF數(shù)據(jù)模型各個主要部分之間的關(guān)系如 圖 。 106 IDMEFMessage Alert Analyzer Heartbeat Analyzer Create Time Detect Time Analyzer Time Source Target Class Node User Process Service Node User Process Service Create Time AdditionalData 圖 IDME數(shù)據(jù)模型各個主要部分之間的關(guān)系 107 IDMEF數(shù)據(jù)模型是用統(tǒng)一建模語言（ UML） 描述的。 UML用一個簡單的框架表示實體以及它們之間的關(guān)系，并將實體定義為類。 IDMEF包括的主要類有 IDMEFMessage類、Alert類、 Heartbeat類、 Core類、 Time類 Support類，這些類還可以再細(xì)分為許多子類。所有 IDMEF消息的最高層是IDMEFMessage， 每一種類型的消息都是該類的子類。 需要注意的是， IDMEF數(shù)據(jù)模型并沒有對警報的分類和鑒別進行說明。例如，對一個端口的掃描，一個分析器可能將其確定為一個多目標(biāo)的單一攻擊，而另一個分析器可能將其確定為來自同一個源的多次攻擊。只有一個分析器決定了發(fā)送的警報類型，數(shù)據(jù)模型才能規(guī)定怎樣對這個警報進行格式化。 108 （ 2）使用 XML描述 IDMEF文檔標(biāo)記 XML是一種元語言，它允許應(yīng)用程序定義自己的標(biāo)記，還可以為不同類型的文檔和應(yīng)用程序定義定制化的標(biāo)記語言。 XML DTD（ 文檔類型定義）可用來聲明文檔所用的標(biāo)記，它包括元素（文檔包括的不同信息部分）、屬性（信息的特征）和內(nèi)容模型（各部分之間的關(guān)系）。 109 IDXP （ 入侵檢測交換協(xié)議）是一個用于入侵檢測實體之間交換數(shù)據(jù)的應(yīng)用層協(xié)議，能夠?qū)崿F(xiàn) IDMEF消息、非結(jié)構(gòu)文本和二進制數(shù)據(jù)之間的交換，并提供面向連接協(xié)議之上的雙向認(rèn)證、完整性和保密性等安全特征。 IDMEF是 BEEP的一部分，后者是一個用于面向連接異步交互通用應(yīng)用協(xié)議。 IDXP的許多特色功能（如認(rèn)證、保密性等）都是由 BEEP框架提供的。 IDXP模型如下： （ 1） 建立連接 入侵檢測實體之間的 IDXP通信在 BEEP信道上完成。兩個希望建立IDXP通信的入侵檢測實體在打開 BEEP 信道之前，首先要進行一次BEEP會話，然后就有關(guān)的安全特性問題進行協(xié)商，協(xié)商好 BEEP安全輪廓之后，互致問候，然后開始 IDXP交換。 圖 A和 B之間建立 IDXP通信的過程： 110 問候 xport 連接 [1] 啟動安全輪廓 [2] 問候 啟動 IDXP[3] 圖 兩個入侵檢測實體“ Alice”和“ Bob”之間建立 IDXP通信的過程 111 使用 IDXP傳送數(shù)據(jù)的入侵檢測實體被稱為 IDXP的對等體，對等體只能成對地出現(xiàn)，在 BEEP會話上進行通信的對等體可以使用一個或多個 BEEP 信道傳輸數(shù)據(jù)。對等體可以是管理器，也可以是分析器。分析器和管理器之間是多對多的關(guān)系，即一個分析器可以與多個管理器通信，同樣，一個管理器也可以與多個分析器通信；管理器與管理器之間也是多對多的關(guān)系。所以，一個管理器可以通過 多個中間管理器接收來自多哥分析器的大量警報。但是， IDXP 規(guī)定，分析器之間不可以建立交換。 112 （ 2） 傳輸數(shù)據(jù) 在每個信道上，對等體都以客戶機 /服務(wù)器模式進行通信， BEEP會話發(fā)起者為客戶機，而收聽者則為服務(wù)器。 圖 數(shù)據(jù)傳輸給一個管理器的簡單過程。 分析器 （客戶機） 管理器 （服務(wù)器） IDXP輪廓 IBEEP會話 圖 一個分析器將數(shù)據(jù)傳輸給一個管理器的簡單過程 113 在一次 BEEP會話時，使用多個 BEEP 信道有利于對在 IDXP 對等體之間傳輸?shù)臄?shù)據(jù)進行分類和優(yōu)先權(quán)設(shè)置。例如，一個管理器 M1在向另一個管理器 M2傳送警報數(shù)據(jù)時，可以用不同的信道傳送不同類型的警報數(shù)據(jù)，在每個信道上管理器 M1的作用都相當(dāng)于一個客戶器，而 M2則對不同信道上的數(shù)據(jù)作出相應(yīng)的處理。如 圖 。 管理器 M1 （ 客戶機） 管理器 M2 （ 服務(wù)器） IDXP輪廓，基于主機的警報 IBEEP會話 IDXP輪廓，基于網(wǎng)絡(luò)的警報 IDXP輪廓，其他警報 圖 多個 BEEP信道有利于對在 IDXP對等體之間傳輸?shù)? 數(shù)據(jù)進行分類和優(yōu)先權(quán)設(shè)置 114 （ 3） 斷開連接 在有些情況下，一個 IDXP對等體可以選擇關(guān)閉某個信道。在關(guān)閉一個信道時，對等體在 0信道上發(fā)送一個“關(guān)閉”元素指明要關(guān)閉哪一個信道。 IDXP對等體也可以通過在 0信道上發(fā)送一個指明要“關(guān)閉” 0信道的元素，來關(guān)閉整個 BEEP會話。 在上面這個模型中， IDXP對等實體之間采用了 BEEP安全輪廓實現(xiàn)端到端的安全，而無需通過中間的代理建立安全信任，因此只有 IDXP對等體之間是相互信任的，而代理是不可信的。 115 網(wǎng)絡(luò)誘騙 ? 防火墻以及入侵檢測都是被動防御技術(shù)，而網(wǎng)絡(luò)誘騙是一種主動防御技術(shù)。 項 目 被動防御系統(tǒng) 主動防御系統(tǒng) 主動性 被動地守株待兔式防御 主動跟蹤攻擊者 攻防 方式 攻擊者主動選擇攻擊目標(biāo) ，可隨意攻擊； 事先掌握攻擊者的行為 ， 進行跟蹤 ， 有效制止攻擊者的破壞行為 對攻擊者的威懾 對攻擊方不構(gòu)成威脅 能對攻擊者造成威脅和損害： 誘惑黑客攻擊虛假網(wǎng)絡(luò)而忽視真正的網(wǎng)絡(luò) 加重黑客的工作量 ， 消耗其資源 ， 讓系統(tǒng)管理員有足夠時間響應(yīng)； 收集黑客信息和企圖 ， 以便系統(tǒng)進行安全防護和檢測 。 為起訴留下證據(jù) 表 主動防御與被動防御的比較 116 蜜罐主機技術(shù) 網(wǎng)絡(luò)誘騙技術(shù)的核心是蜜罐（ Honey Pot）。 它是運行在 Inter上的充滿誘惑力的計算機系統(tǒng)。這種計算機系統(tǒng)有如下一些特點： 蜜罐是一個包含有漏洞的誘騙系統(tǒng)，它通過模擬一個或多個易受攻擊的主機，給攻擊者提供一個容易攻擊的目標(biāo)。 蜜罐不向外界提供真正有價值的服務(wù)。 所有與蜜罐的連接嘗試都被視為可疑的連接。 這樣，蜜罐就可以實現(xiàn)如下目的： 引誘攻擊，拖延對真正有價值目標(biāo)的攻擊； 消耗攻擊者的時間，以便收集信息，獲取證據(jù)。 下面介紹蜜罐的三種主要形式。 117 空系統(tǒng)是一種沒有任何虛假和模擬的環(huán)境的完全真實的計算機系統(tǒng)，但是有真實的操作系統(tǒng)和應(yīng)用程序，也有真實的漏洞。這是一種簡單的蜜罐主機。 但是，空系統(tǒng)（以及模擬系統(tǒng)）會很快被攻擊者發(fā)現(xiàn)，因為他們會發(fā)現(xiàn)這不是期待的目標(biāo)。 建立一些提供 Inter服務(wù)的服務(wù)器鏡像系統(tǒng)，會對攻擊者感到真實，也就更具有欺騙性。另一方面，由于是鏡像系統(tǒng)，所以比較安全。 虛擬系統(tǒng)是在一臺真實的物理機器上運行一些仿真軟件，模擬出多臺虛擬機，構(gòu)建多個蜜罐主機。這種虛擬系統(tǒng)不但逼真，而且成本較低，資源利用率較高。此外，即使攻擊成功，也不會威脅宿主操作系統(tǒng)安全。 118 蜜網(wǎng)技術(shù) ? 蜜網(wǎng)（ Honey Net） 技術(shù)也稱陷阱網(wǎng)絡(luò)技術(shù)。它由多個蜜罐主機、路由器、防火墻、 IDS、 審計系統(tǒng)等組成，為攻擊者制造一個攻擊環(huán)境，供防御者研究攻擊者的攻擊行為。 圖 。 119 Inter 路由器 防火墻 IDS 日志及報警管理主機 安全管理子網(wǎng) Linux 密罐主機 交換機 Windows 密罐主機 Solaris 密罐主機 日志 密罐主機 蜜網(wǎng)子網(wǎng) 圖 第一代蜜網(wǎng)結(jié)構(gòu) 120 （ 1） 防火墻 防火墻隔離內(nèi)網(wǎng)和外網(wǎng)，防止入侵者以蜜網(wǎng)作為跳板攻擊其他系統(tǒng)。其配置規(guī)則為：不限制外網(wǎng)對蜜網(wǎng)的訪問，但需要對蜜罐主機對外的連接予以控制，包括： 限制對外連接的目的地； 限制蜜罐主機主動對外連接； 限制對外連接的協(xié)議； …… 。 （ 2） 路由器 路由器放在防火墻與蜜網(wǎng)之間，利用路由器具有控制功能來彌補防火墻的不足，例如防止地址欺騙攻擊、 DoS攻擊等。 （ 3） IDS IDS是蜜網(wǎng)中的數(shù)據(jù)捕獲設(shè)備，用于檢測和記錄網(wǎng)絡(luò)中可疑的通信連接，報警可疑的網(wǎng)絡(luò)活動。 121 圖 。 路由器 HUB 密罐 蜜網(wǎng)子網(wǎng) 密罐 密罐 HUB 蜜網(wǎng)探測器 蜜網(wǎng)子網(wǎng) 受保護子網(wǎng) 圖 第 二 代蜜網(wǎng)結(jié)構(gòu) 122 第二代蜜網(wǎng)技術(shù)將數(shù)據(jù)控制和數(shù)據(jù)捕獲集中到蜜網(wǎng)探測器中進行。這樣，帶來的好處是： 便于安裝和管理； 隱蔽性更強； 可以監(jiān)控非授權(quán)活動； 可以采取積極的響應(yīng)方法限制非法活動的效果，如修改攻擊代碼字節(jié)，使攻擊失效等。 123 第三代密網(wǎng)是目前正在開發(fā)的密網(wǎng)技術(shù)。它是建立在一個物理的設(shè)備上的分布式虛擬系統(tǒng)。如 圖 ，這樣就把蜜罐、數(shù)據(jù)控制、數(shù)據(jù)捕獲、數(shù)據(jù)記錄等，都集中到一臺物理的設(shè)備上。 Inter 宿主機系統(tǒng) 虛擬系統(tǒng) 虛擬系統(tǒng) … 虛擬系統(tǒng) 圖 第 三 代蜜網(wǎng)結(jié)構(gòu) 124 常見網(wǎng)絡(luò)誘騙工具及產(chǎn)品 1. 蜜罐實現(xiàn)工具 （ 1） wid wid是一個在 Windows上實現(xiàn)蜜罐的簡單工具。它安裝簡單，界面友好，適合初學(xué)者使用；確定是過于簡單，并不能真正誘騙攻擊者進入。 （ 2） DTK DTK（ Deception Tool Kit， 可以從 C語言和 Perl腳本語言寫成的一種蜜罐工具軟件，能在支持 C語言和 Perl的系統(tǒng)（ Unix） 上運行。它能夠監(jiān)聽 HTTP、 FTP、 Tel等常用服務(wù)器所使用的端口，模擬標(biāo)準(zhǔn)服務(wù)器對接收到的請求所作出的響應(yīng)，還可以模擬多種常見的系統(tǒng)漏洞。不足之處是，模擬不太逼真，構(gòu)建過程麻煩。 （ 3） honeyd Honeyd（ 可以從 個專用的蜜罐構(gòu)建軟件，可以虛擬多種主機，配置運行不同的服務(wù)和操作系統(tǒng)。 125 2.