【導讀】從技術上來說，網(wǎng)絡安全由安全的操作系統(tǒng)、國內(nèi)的發(fā)展現(xiàn)狀，使讀者從總體上對這門學科有了初步的認識。原理，并提出了對其防護的可行性和有效性的建議。分析了他們實現(xiàn)的工作原理，以及深入了解其工作的過程。2網(wǎng)絡攻擊行為技術特點分析………Smurfing拒絕服務………惡意軟件………………利用脆弱性……………操縱IP包……………

　　

【正文】 安全漏洞，并提示管理員修補漏洞。 ◆ 對用戶的非正?；顒舆M行統(tǒng)計分析，發(fā)現(xiàn)入侵行為的規(guī)律。 ◆ 檢查系統(tǒng)程序和數(shù)據(jù)的一致性與正確性。如計算和比較文件系統(tǒng)的校驗和能夠?qū)崟r對檢測到的入侵行為進行反應。 最早的入侵檢測模型由 Dorothy Denning 在 1987 年提出。這個模型與具體系統(tǒng)和具體的輸入無關，并對此后的大部分實用系統(tǒng)都有很高的借鑒價值。 Common Intrusion Detection Framework(CIDF)闡述了一個入侵檢測系統(tǒng)（ IDS）的通用模型。它將一個入侵檢測系統(tǒng)分為以下組件： 1) 事件產(chǎn)生器（ Event Generators） 2) 事件分析器（ Event Analyzers） 3) 響應單元（ Response Units） 4) 事件數(shù)據(jù)庫（ Event Databases） CIDF 將 IDS 需要分析的數(shù)據(jù)統(tǒng)稱為事件（ event），它可以是網(wǎng)絡中的數(shù)據(jù)包，也可以是從系統(tǒng)日志等其他路徑得到的消息。入侵檢測的通用模型如圖 32 所示。 北京航空航天大學畢業(yè)設計 (論文 ) 第 26 頁 圖 事件產(chǎn)生器的目的是從整個計算機環(huán)境中獲得事件，并向系統(tǒng)的其他 部 分 提供此事件。事件分析器分析得到的數(shù)據(jù)，并產(chǎn)生分析結果。響應單元則是對分析結果作出反應的功能單元，它可以 做 出切斷連接、改變文件屬性等強烈反應，也可以只是簡單的報警，事件數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，它可以是復雜的數(shù)據(jù)庫，也可以是簡單的文本文件。 事件產(chǎn)生器可根據(jù)具體應用環(huán)境而有所不同，一般可來自審計記錄、網(wǎng)絡數(shù)據(jù)包以及其他可視行為。這些事件構成了檢測的基礎。行為特征表是整個檢測系統(tǒng)的核心，它包含了用于計算用戶行為特征的所有變量，這些變量可根據(jù)具體所采納的統(tǒng)計方法以及事件記錄中的具體動作模式而 定義，并根據(jù)匹配記錄數(shù)據(jù)更新變量值。 如果有統(tǒng)計變量的值達到了異常程度，則行為特征表產(chǎn)生異常記錄，并采取一定的措施。規(guī)則模塊可以由系統(tǒng)安全策略、攻擊模式等組成。它一方面為判斷是否被攻擊提供參考機制，另一方面根據(jù)事件記錄、異常記錄以及有效日期等控制并更新其他模塊的狀態(tài)。在具體實現(xiàn)上，規(guī)則的選擇與更新可能不盡相同，但一般地，行為特征模塊執(zhí)行基于行為的檢測，而規(guī)則模塊執(zhí)行基于知識的檢測 。 檢測策略 入侵檢測的基礎就是信息的收集。信息包括系統(tǒng)、網(wǎng)絡的數(shù)據(jù)及用戶活動的狀態(tài)和行為。信息收集機制可以有許多種方式 ，主要分為四類：收集主機數(shù)據(jù)、收集網(wǎng)絡數(shù)據(jù)、收集應用程序的信息。根據(jù)收集機制不同就相應有四種不同的檢測策略：基于主機、基于網(wǎng)絡、混合分布式以及基于應用程序的監(jiān)測 。 北京航空航天大學畢業(yè)設計 (論文 ) 第 27 頁 入侵監(jiān)測分析技術 入侵分析就是在提取到的龐大的數(shù)據(jù)中找到入侵的痕跡。提取到事件作為信息輸入到檢測系統(tǒng)之中，檢測系統(tǒng)對其進行分析和處理，從而得到網(wǎng)絡入侵的判斷，一方面入侵檢測系統(tǒng)需要盡可能多地提取數(shù)據(jù)以獲得足夠的入侵證據(jù)，而另一方面由于入侵行為的千變?nèi)f化而導致判定入侵的規(guī)則越來越復雜，為了保證入侵檢測的效率和滿足實時性要求，入侵分析必須在 系統(tǒng)的性能和檢測能力之間進行權衡，合理設計分析策略 。 入侵檢測可分為異常檢測（ Anomaly detection）和誤用檢測（ Misuse Dectection）兩種類型。 異常檢測技術，又稱為基于行為的入侵檢測技術。它識別主機或網(wǎng)絡中異常的或不尋常行為。異常檢測技術的前提是假定所有的入侵行為都與正常行為不同；攻擊與正常的（合法的）活動有大的差異。異常發(fā)現(xiàn)技術的流程是從審計記錄中提取一些相關屬性進行統(tǒng)計，為每個用戶建立一個扼要描述文件和輪廓是用戶正常行為的統(tǒng)計概要，當用戶行為和它以前所建立的輪廓差異大到一定 程度時，就認為可能有入侵行為發(fā)生。用戶的輪廓可根據(jù)具體需要定期修改 。 圖 誤用檢測又稱為模式發(fā)現(xiàn)技術，假設所有入侵者活動都可以用一種模式來表示，則所有已知的入侵方法都可以用匹配的方法發(fā)現(xiàn)，系統(tǒng)的目標是檢測主體活動是否符合這些模式。特征檢測系統(tǒng)是建立在使用某種模式或者特征描述方法能夠?qū)θ魏我阎暨M行表達這一理論基礎上的。特征檢測系統(tǒng)的主要問題是如何確定所定義的攻擊特征模式可以覆蓋與實際攻擊相關的所有要素，以及如何對入侵活動的特征進行匹配?？梢哉f，要想實現(xiàn)一個理論上能夠百分之百正確檢測所 有攻擊活動的違規(guī)檢測系統(tǒng)，首先必須保證能夠用數(shù)學語言百分 北京航空航天大學畢業(yè)設計 (論文 ) 第 28 頁 圖 誤用 檢測 模型 與異常入侵檢測相比，誤用入侵檢測能直接檢測不利的或不可接受的行為，而異常入侵檢測是檢查出與正常行為相違背的行為。誤用入侵檢測的主要前提條件是具有能夠被精確地按某種方式編碼的攻擊，并可以通過捕獲攻擊及重新整理，確認入侵活動是基于同一弱點進行攻擊的入侵方法的變種。因此，誤用入侵檢測是指通過按預先定義好的入侵模式以及觀察到入侵發(fā)生的情況進行模式匹配來進行入侵檢測。 該技術的關鍵點在于如何表達入侵模式，把真正的入侵與正常行為區(qū)分 開來。模式發(fā)現(xiàn)的優(yōu)點是誤報少，局限是它只能發(fā)現(xiàn)已知的攻擊，對未知的攻擊無能為力。其檢測方法與計算機病毒的檢測方式類似。其難點在于如何設計模式，既能夠表達“入侵”現(xiàn)象又不會將正常的活動包含起來。 誤用監(jiān)測的優(yōu)點： ◆ 能很高效地發(fā)現(xiàn)已知的攻擊，誤報率低； ◆ 可以有效地判定特定的攻擊手段和工具，可幫助安全管理人員做出正 確地補救措施； ◆ 對安全人員的專業(yè)技能要求不高。 誤用監(jiān)測的缺點： ◆ 只能發(fā)現(xiàn)特征庫中已有的攻擊，因而必須不斷地更新特征庫； ◆ 特征庫的定義較為嚴格，故可能無法發(fā)現(xiàn)常見攻擊的變種； ◆ 當特征庫很大時，檢測速度會很低 。 入侵檢測的分析方法 北京航空航天大學畢業(yè)設計 (論文 ) 第 29 頁 入侵檢測按照其檢測規(guī)則可以有很多種分析方法，下面介紹的是目前比較主流而且前沿的分析方法 。 1） 統(tǒng)計方法 概率統(tǒng)計是產(chǎn)品化的入侵檢測系統(tǒng)中常用的方法，它通常用于異常檢測。統(tǒng)計方法是一種成熟的入侵檢測方法，它使入侵檢測系統(tǒng)能夠?qū)W習主體的日常行為，將那些與正?；顒又g存在較大統(tǒng)計偏差的活動標識成為異常活動。統(tǒng)計分析是異常檢測技術中應用最早也是最多的一種方法。首先給系統(tǒng)對象（如用戶、文件、目錄和設備等）創(chuàng)建一個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性（如 訪問次數(shù)，操作失敗次數(shù)和延時等）。當觀察值在正常值范圍之外，可以認為有入侵發(fā)生。檢測的原理： 1. 為系統(tǒng)中存在的主體和對象（如用戶、工作組、 CPU 負載、磁盤和內(nèi)存使用情況、網(wǎng)絡的連接頻度、單個用戶的進程數(shù)等）定義相應的統(tǒng)計量。通過觀察歷史數(shù)據(jù)或一段時間的自學習，為每個統(tǒng)計量定義一個基值（期望值，表示正常狀態(tài)）； 2. 根 據(jù) 這 些 統(tǒng) 計 量 利 用 統(tǒng) 計 方 法 建 立 系 統(tǒng) 正 常 運 行 時 的 剖 析 模 型（ ProfileModel），并通過某些數(shù)學處理（如 Weighting function）組合上述統(tǒng)計量，得到一個總體度量值（系統(tǒng)的 正常值、健康值）； 3. 當系統(tǒng)活動時，原來定義的統(tǒng)計量就會發(fā)生變化，從而引起系統(tǒng)剖析模型（ Profile）狀態(tài)（及對應度量值）的改變，一旦這種偏移量超過可接收的范圍，即認為系統(tǒng)發(fā)生異常，系統(tǒng)可能正受到入侵。在統(tǒng)計手段方法中，先要生成主體的行為特征原型文件，某些系統(tǒng)會根據(jù)實際情況不斷調(diào)整當前原型文件，統(tǒng)計手段的主要優(yōu)點是可以自適應學習用戶的行為，主要問題是其可能被入侵者逐漸訓練以至最終將入侵事件誤認為正常，并且閾值設置不當會導致大比例的“誤報”與“漏報”，此外，由于統(tǒng)計量度對事件順序的不敏感性，事件間的關系 會漏掉。此問題可以用預測模式生成技術解決 。 2） 神經(jīng)網(wǎng)絡 神經(jīng)網(wǎng)絡作為入侵檢測的分析方法，其想法是用給定的 n 個動作訓練神經(jīng)網(wǎng)絡去預測用戶的下一個命令，訓練周期之后，神經(jīng)網(wǎng)絡使用已出現(xiàn)在網(wǎng)中的用戶特征匹配實際的用戶命令，標志統(tǒng)計差異較大的事件為非法。 該檢測技術主要從系統(tǒng)程序的正常執(zhí)行軌跡或遭受入侵攻擊的執(zhí)行軌跡中提取關鍵程序的正常系統(tǒng)，調(diào)用子序列或標示已知入侵的系統(tǒng)調(diào)用子序列，將它們作為訓練數(shù) 北京航空航天大學畢業(yè)設計 (論文 ) 第 30 頁 據(jù)來構造相應的基于多層感知器的神經(jīng)網(wǎng)絡分類器，監(jiān)控系統(tǒng)中關鍵程序的執(zhí)行情況，從而判斷并監(jiān)控程序是否受到已知或未知 的入侵攻擊。基于神經(jīng)網(wǎng)絡的入侵檢測技術在進行入侵檢測識別前要用入侵樣本進行訓練，以使其具備對某些入侵行為進行分類的能力，從而能夠正確“認識”各種入侵行為。該學習過程主要是改變神經(jīng)元之間的連接權值，以便將有關入侵行為的信息存儲到神經(jīng)網(wǎng)絡中，一旦基于神經(jīng)網(wǎng)絡的檢測模型學習完成之后，就可以進行識別入侵檢測了，采用神經(jīng)網(wǎng)絡的檢測模型具有高維性、廣泛互連性以及子適應性等優(yōu)點。 基于神經(jīng)網(wǎng)絡的入侵檢測技術是最近幾年來的研究熱點之一，該入侵檢測技術的關鍵在于檢測前要用入侵樣本進行訓練，以使其具備對某些入侵行為進行分類的能 力，從而能夠正確“認識”各種入侵行為，采用神經(jīng)網(wǎng)絡的檢測模型具有高維性，廣泛互聯(lián)性以及自適應性等優(yōu)點， 等人通過使用 MLP 神經(jīng)網(wǎng)絡分析數(shù)據(jù)包與入侵簽名匹配的結果，得到了較高的正確率，在后來的研究中，很多學者還提出了很多改進算法，使基于神經(jīng)網(wǎng)絡的入侵檢測系統(tǒng)的正確率也有很大的提高。 3） 專家系統(tǒng) 入侵檢測的另外一個值得重視的研究方向就是基于專家系統(tǒng)的入侵檢測技術，即根據(jù)安全專家對可疑行為的分析經(jīng)驗來形成一套推理規(guī)則，然后再在此基礎之上構成相應的專家系統(tǒng)。 用專家系統(tǒng)對入侵進行檢測，經(jīng)常是針 對有特征入侵行為。所謂的規(guī)則，即是知識，不同的系統(tǒng)與設置具有不同的規(guī)則，且規(guī)則之間往往無通用性。專家系統(tǒng)的建立依賴于知識庫的完備性，知識庫的完備性又取決于審計記錄的完備性與實時性。入侵的特征抽取與表達，是入侵檢測專家系統(tǒng)的關鍵。在系統(tǒng)實現(xiàn)中，將有關入侵的知識轉(zhuǎn)化為 ifthen 結構（也可以是復合結構），條件部分為入侵特征， then 部分是系統(tǒng)防范措施。運用專家系統(tǒng)防范入侵行為的有效性完全取決于專家系統(tǒng)知識庫的完備性。 專家系統(tǒng)對歷史數(shù)據(jù)的依賴性總的來說比較小，因此系統(tǒng)的適應性比較強，可以較靈活地適應安全 策略和檢測的要求?；谝?guī)則的專家系統(tǒng)和推理系統(tǒng)也有其局限性，這類系統(tǒng)的基礎推理規(guī)則一般都是根據(jù)已知的安全漏洞進行安排和策劃的，所以它不能識別未知的安全漏洞，而對系統(tǒng)的最危險的威脅又主要是來自未知的安全漏洞；另外系統(tǒng)需要經(jīng)常為新發(fā)現(xiàn)的系統(tǒng)漏洞更新知識庫，就要求系統(tǒng)能夠隨著經(jīng)驗的積累而利用其自 北京航空航天大學畢業(yè)設計 (論文 ) 第 31 頁 學能力進行對規(guī)則的擴充和修正。 4） 狀態(tài)轉(zhuǎn)移分析 在狀態(tài)轉(zhuǎn)移分析中，入侵被表示成為目標系統(tǒng)的狀態(tài)轉(zhuǎn)化圖。當分析審計事件時，若根據(jù)對應的條件布爾表達式，系統(tǒng)從安全狀態(tài)轉(zhuǎn)化到不安全地狀態(tài)，則該事件標記為入侵事件。 狀態(tài)轉(zhuǎn)換法將 攻擊過程看作一個行為序列，這個行為序列導致系統(tǒng)從初始狀態(tài)轉(zhuǎn)入被攻擊狀態(tài)。分析時首先針對每一種攻擊方法確定系統(tǒng)的初始狀態(tài)和被攻擊狀態(tài)，以及導致狀態(tài)轉(zhuǎn)換的轉(zhuǎn)換條件，即導致系統(tǒng)進入被攻擊狀態(tài)必須執(zhí)行的操作（特征事件）。然后用狀態(tài)轉(zhuǎn)換圖來表示每一個狀態(tài)和特征事件，這些事件被集成于模型中，所以檢測時不需要一個個的查找審計記錄。但是，狀態(tài)轉(zhuǎn)換是針對事件序列分析，所以不善于分析過分復雜的事件，而且不能檢測與系統(tǒng)狀態(tài)無關的攻擊。 5） 模式匹配 基于模式匹配的入侵檢測方法將已知入侵特征編碼成為與審計記錄相符合的模式，當新的審 計事件產(chǎn)生時，這一方法將尋找與它相匹配的已知入侵模式。假定所有入侵行為和手段都能夠表達為一種模式和特征，那么所有已知的入侵方法都可以用匹配的方法發(fā)現(xiàn)。模式發(fā)現(xiàn)的關鍵是如何表達入侵的模式，定義發(fā)現(xiàn)入侵的規(guī)則庫，把真正的入侵行為與正常行為區(qū)分開來。 這種方法試圖建立入侵行為的描述模型。尋找那些表示有入侵發(fā)生的特定行為。這就必須了解入侵的方法和手段。同時建立用來辨別不同入侵行為的規(guī)則庫。這種方法無須考慮用戶正常行為方式，只要發(fā)現(xiàn)某些特定行為，就使用一定的規(guī)則來判定是否有相應的入侵發(fā)生。 攻擊者在攻擊一個系統(tǒng)時往往 采用一定的行為程序，如猜測口令的程序，這種行為程序構成了某種具有一定行為特征的模型，根據(jù)這種模型所代表的攻擊意圖的行為特征，可以實時地檢測出惡意的攻擊企圖，用基于模型推理的入侵檢測方法，人們能夠為某些行為建立特定的模型，從而能夠監(jiān)視具有特定