【導(dǎo)讀】從技術(shù)上來(lái)說(shuō)，網(wǎng)絡(luò)安全由安全的操作系統(tǒng)、國(guó)內(nèi)的發(fā)展現(xiàn)狀，使讀者從總體上對(duì)這門學(xué)科有了初步的認(rèn)識(shí)。原理，并提出了對(duì)其防護(hù)的可行性和有效性的建議。分析了他們實(shí)現(xiàn)的工作原理，以及深入了解其工作的過(guò)程。2網(wǎng)絡(luò)攻擊行為技術(shù)特點(diǎn)分析………Smurfing拒絕服務(wù)………惡意軟件………………利用脆弱性……………操縱IP包……………

　　

【正文】 安全漏洞，并提示管理員修補(bǔ)漏洞。 ◆ 對(duì)用戶的非正常活動(dòng)進(jìn)行統(tǒng)計(jì)分析，發(fā)現(xiàn)入侵行為的規(guī)律。 ◆ 檢查系統(tǒng)程序和數(shù)據(jù)的一致性與正確性。如計(jì)算和比較文件系統(tǒng)的校驗(yàn)和能夠?qū)崟r(shí)對(duì)檢測(cè)到的入侵行為進(jìn)行反應(yīng)。 最早的入侵檢測(cè)模型由 Dorothy Denning 在 1987 年提出。這個(gè)模型與具體系統(tǒng)和具體的輸入無(wú)關(guān)，并對(duì)此后的大部分實(shí)用系統(tǒng)都有很高的借鑒價(jià)值。 Common Intrusion Detection Framework(CIDF)闡述了一個(gè)入侵檢測(cè)系統(tǒng)（ IDS）的通用模型。它將一個(gè)入侵檢測(cè)系統(tǒng)分為以下組件： 1) 事件產(chǎn)生器（ Event Generators） 2) 事件分析器（ Event Analyzers） 3) 響應(yīng)單元（ Response Units） 4) 事件數(shù)據(jù)庫(kù)（ Event Databases） CIDF 將 IDS 需要分析的數(shù)據(jù)統(tǒng)稱為事件（ event），它可以是網(wǎng)絡(luò)中的數(shù)據(jù)包，也可以是從系統(tǒng)日志等其他路徑得到的消息。入侵檢測(cè)的通用模型如圖 32 所示。 北京航空航天大學(xué)畢業(yè)設(shè)計(jì) (論文 ) 第 26 頁(yè) 圖 事件產(chǎn)生器的目的是從整個(gè)計(jì)算機(jī)環(huán)境中獲得事件，并向系統(tǒng)的其他 部 分 提供此事件。事件分析器分析得到的數(shù)據(jù)，并產(chǎn)生分析結(jié)果。響應(yīng)單元?jiǎng)t是對(duì)分析結(jié)果作出反應(yīng)的功能單元，它可以 做 出切斷連接、改變文件屬性等強(qiáng)烈反應(yīng)，也可以只是簡(jiǎn)單的報(bào)警，事件數(shù)據(jù)庫(kù)是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，它可以是復(fù)雜的數(shù)據(jù)庫(kù)，也可以是簡(jiǎn)單的文本文件。 事件產(chǎn)生器可根據(jù)具體應(yīng)用環(huán)境而有所不同，一般可來(lái)自審計(jì)記錄、網(wǎng)絡(luò)數(shù)據(jù)包以及其他可視行為。這些事件構(gòu)成了檢測(cè)的基礎(chǔ)。行為特征表是整個(gè)檢測(cè)系統(tǒng)的核心，它包含了用于計(jì)算用戶行為特征的所有變量，這些變量可根據(jù)具體所采納的統(tǒng)計(jì)方法以及事件記錄中的具體動(dòng)作模式而 定義，并根據(jù)匹配記錄數(shù)據(jù)更新變量值。 如果有統(tǒng)計(jì)變量的值達(dá)到了異常程度，則行為特征表產(chǎn)生異常記錄，并采取一定的措施。規(guī)則模塊可以由系統(tǒng)安全策略、攻擊模式等組成。它一方面為判斷是否被攻擊提供參考機(jī)制，另一方面根據(jù)事件記錄、異常記錄以及有效日期等控制并更新其他模塊的狀態(tài)。在具體實(shí)現(xiàn)上，規(guī)則的選擇與更新可能不盡相同，但一般地，行為特征模塊執(zhí)行基于行為的檢測(cè)，而規(guī)則模塊執(zhí)行基于知識(shí)的檢測(cè) 。 檢測(cè)策略 入侵檢測(cè)的基礎(chǔ)就是信息的收集。信息包括系統(tǒng)、網(wǎng)絡(luò)的數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為。信息收集機(jī)制可以有許多種方式 ，主要分為四類：收集主機(jī)數(shù)據(jù)、收集網(wǎng)絡(luò)數(shù)據(jù)、收集應(yīng)用程序的信息。根據(jù)收集機(jī)制不同就相應(yīng)有四種不同的檢測(cè)策略：基于主機(jī)、基于網(wǎng)絡(luò)、混合分布式以及基于應(yīng)用程序的監(jiān)測(cè) 。 北京航空航天大學(xué)畢業(yè)設(shè)計(jì) (論文 ) 第 27 頁(yè) 入侵監(jiān)測(cè)分析技術(shù) 入侵分析就是在提取到的龐大的數(shù)據(jù)中找到入侵的痕跡。提取到事件作為信息輸入到檢測(cè)系統(tǒng)之中，檢測(cè)系統(tǒng)對(duì)其進(jìn)行分析和處理，從而得到網(wǎng)絡(luò)入侵的判斷，一方面入侵檢測(cè)系統(tǒng)需要盡可能多地提取數(shù)據(jù)以獲得足夠的入侵證據(jù)，而另一方面由于入侵行為的千變?nèi)f化而導(dǎo)致判定入侵的規(guī)則越來(lái)越復(fù)雜，為了保證入侵檢測(cè)的效率和滿足實(shí)時(shí)性要求，入侵分析必須在 系統(tǒng)的性能和檢測(cè)能力之間進(jìn)行權(quán)衡，合理設(shè)計(jì)分析策略 。 入侵檢測(cè)可分為異常檢測(cè)（ Anomaly detection）和誤用檢測(cè)（ Misuse Dectection）兩種類型。 異常檢測(cè)技術(shù)，又稱為基于行為的入侵檢測(cè)技術(shù)。它識(shí)別主機(jī)或網(wǎng)絡(luò)中異常的或不尋常行為。異常檢測(cè)技術(shù)的前提是假定所有的入侵行為都與正常行為不同；攻擊與正常的（合法的）活動(dòng)有大的差異。異常發(fā)現(xiàn)技術(shù)的流程是從審計(jì)記錄中提取一些相關(guān)屬性進(jìn)行統(tǒng)計(jì)，為每個(gè)用戶建立一個(gè)扼要描述文件和輪廓是用戶正常行為的統(tǒng)計(jì)概要，當(dāng)用戶行為和它以前所建立的輪廓差異大到一定 程度時(shí)，就認(rèn)為可能有入侵行為發(fā)生。用戶的輪廓可根據(jù)具體需要定期修改 。 圖 誤用檢測(cè)又稱為模式發(fā)現(xiàn)技術(shù)，假設(shè)所有入侵者活動(dòng)都可以用一種模式來(lái)表示，則所有已知的入侵方法都可以用匹配的方法發(fā)現(xiàn)，系統(tǒng)的目標(biāo)是檢測(cè)主體活動(dòng)是否符合這些模式。特征檢測(cè)系統(tǒng)是建立在使用某種模式或者特征描述方法能夠?qū)θ魏我阎暨M(jìn)行表達(dá)這一理論基礎(chǔ)上的。特征檢測(cè)系統(tǒng)的主要問(wèn)題是如何確定所定義的攻擊特征模式可以覆蓋與實(shí)際攻擊相關(guān)的所有要素，以及如何對(duì)入侵活動(dòng)的特征進(jìn)行匹配?？梢哉f(shuō)，要想實(shí)現(xiàn)一個(gè)理論上能夠百分之百正確檢測(cè)所 有攻擊活動(dòng)的違規(guī)檢測(cè)系統(tǒng)，首先必須保證能夠用數(shù)學(xué)語(yǔ)言百分 北京航空航天大學(xué)畢業(yè)設(shè)計(jì) (論文 ) 第 28 頁(yè) 圖 誤用 檢測(cè) 模型 與異常入侵檢測(cè)相比，誤用入侵檢測(cè)能直接檢測(cè)不利的或不可接受的行為，而異常入侵檢測(cè)是檢查出與正常行為相違背的行為。誤用入侵檢測(cè)的主要前提條件是具有能夠被精確地按某種方式編碼的攻擊，并可以通過(guò)捕獲攻擊及重新整理，確認(rèn)入侵活動(dòng)是基于同一弱點(diǎn)進(jìn)行攻擊的入侵方法的變種。因此，誤用入侵檢測(cè)是指通過(guò)按預(yù)先定義好的入侵模式以及觀察到入侵發(fā)生的情況進(jìn)行模式匹配來(lái)進(jìn)行入侵檢測(cè)。 該技術(shù)的關(guān)鍵點(diǎn)在于如何表達(dá)入侵模式，把真正的入侵與正常行為區(qū)分 開來(lái)。模式發(fā)現(xiàn)的優(yōu)點(diǎn)是誤報(bào)少，局限是它只能發(fā)現(xiàn)已知的攻擊，對(duì)未知的攻擊無(wú)能為力。其檢測(cè)方法與計(jì)算機(jī)病毒的檢測(cè)方式類似。其難點(diǎn)在于如何設(shè)計(jì)模式，既能夠表達(dá)“入侵”現(xiàn)象又不會(huì)將正常的活動(dòng)包含起來(lái)。 誤用監(jiān)測(cè)的優(yōu)點(diǎn)： ◆ 能很高效地發(fā)現(xiàn)已知的攻擊，誤報(bào)率低； ◆ 可以有效地判定特定的攻擊手段和工具，可幫助安全管理人員做出正 確地補(bǔ)救措施； ◆ 對(duì)安全人員的專業(yè)技能要求不高。 誤用監(jiān)測(cè)的缺點(diǎn)： ◆ 只能發(fā)現(xiàn)特征庫(kù)中已有的攻擊，因而必須不斷地更新特征庫(kù)； ◆ 特征庫(kù)的定義較為嚴(yán)格，故可能無(wú)法發(fā)現(xiàn)常見攻擊的變種； ◆ 當(dāng)特征庫(kù)很大時(shí)，檢測(cè)速度會(huì)很低 。 入侵檢測(cè)的分析方法 北京航空航天大學(xué)畢業(yè)設(shè)計(jì) (論文 ) 第 29 頁(yè) 入侵檢測(cè)按照其檢測(cè)規(guī)則可以有很多種分析方法，下面介紹的是目前比較主流而且前沿的分析方法 。 1） 統(tǒng)計(jì)方法 概率統(tǒng)計(jì)是產(chǎn)品化的入侵檢測(cè)系統(tǒng)中常用的方法，它通常用于異常檢測(cè)。統(tǒng)計(jì)方法是一種成熟的入侵檢測(cè)方法，它使入侵檢測(cè)系統(tǒng)能夠?qū)W習(xí)主體的日常行為，將那些與正?；顒?dòng)之間存在較大統(tǒng)計(jì)偏差的活動(dòng)標(biāo)識(shí)成為異常活動(dòng)。統(tǒng)計(jì)分析是異常檢測(cè)技術(shù)中應(yīng)用最早也是最多的一種方法。首先給系統(tǒng)對(duì)象（如用戶、文件、目錄和設(shè)備等）創(chuàng)建一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性（如 訪問(wèn)次數(shù)，操作失敗次數(shù)和延時(shí)等）。當(dāng)觀察值在正常值范圍之外，可以認(rèn)為有入侵發(fā)生。檢測(cè)的原理： 1. 為系統(tǒng)中存在的主體和對(duì)象（如用戶、工作組、 CPU 負(fù)載、磁盤和內(nèi)存使用情況、網(wǎng)絡(luò)的連接頻度、單個(gè)用戶的進(jìn)程數(shù)等）定義相應(yīng)的統(tǒng)計(jì)量。通過(guò)觀察歷史數(shù)據(jù)或一段時(shí)間的自學(xué)習(xí)，為每個(gè)統(tǒng)計(jì)量定義一個(gè)基值（期望值，表示正常狀態(tài)）； 2. 根 據(jù) 這 些 統(tǒng) 計(jì) 量 利 用 統(tǒng) 計(jì) 方 法 建 立 系 統(tǒng) 正 常 運(yùn) 行 時(shí) 的 剖 析 模 型（ ProfileModel），并通過(guò)某些數(shù)學(xué)處理（如 Weighting function）組合上述統(tǒng)計(jì)量，得到一個(gè)總體度量值（系統(tǒng)的 正常值、健康值）； 3. 當(dāng)系統(tǒng)活動(dòng)時(shí)，原來(lái)定義的統(tǒng)計(jì)量就會(huì)發(fā)生變化，從而引起系統(tǒng)剖析模型（ Profile）狀態(tài)（及對(duì)應(yīng)度量值）的改變，一旦這種偏移量超過(guò)可接收的范圍，即認(rèn)為系統(tǒng)發(fā)生異常，系統(tǒng)可能正受到入侵。在統(tǒng)計(jì)手段方法中，先要生成主體的行為特征原型文件，某些系統(tǒng)會(huì)根據(jù)實(shí)際情況不斷調(diào)整當(dāng)前原型文件，統(tǒng)計(jì)手段的主要優(yōu)點(diǎn)是可以自適應(yīng)學(xué)習(xí)用戶的行為，主要問(wèn)題是其可能被入侵者逐漸訓(xùn)練以至最終將入侵事件誤認(rèn)為正常，并且閾值設(shè)置不當(dāng)會(huì)導(dǎo)致大比例的“誤報(bào)”與“漏報(bào)”，此外，由于統(tǒng)計(jì)量度對(duì)事件順序的不敏感性，事件間的關(guān)系 會(huì)漏掉。此問(wèn)題可以用預(yù)測(cè)模式生成技術(shù)解決 。 2） 神經(jīng)網(wǎng)絡(luò) 神經(jīng)網(wǎng)絡(luò)作為入侵檢測(cè)的分析方法，其想法是用給定的 n 個(gè)動(dòng)作訓(xùn)練神經(jīng)網(wǎng)絡(luò)去預(yù)測(cè)用戶的下一個(gè)命令，訓(xùn)練周期之后，神經(jīng)網(wǎng)絡(luò)使用已出現(xiàn)在網(wǎng)中的用戶特征匹配實(shí)際的用戶命令，標(biāo)志統(tǒng)計(jì)差異較大的事件為非法。 該檢測(cè)技術(shù)主要從系統(tǒng)程序的正常執(zhí)行軌跡或遭受入侵攻擊的執(zhí)行軌跡中提取關(guān)鍵程序的正常系統(tǒng)，調(diào)用子序列或標(biāo)示已知入侵的系統(tǒng)調(diào)用子序列，將它們作為訓(xùn)練數(shù) 北京航空航天大學(xué)畢業(yè)設(shè)計(jì) (論文 ) 第 30 頁(yè) 據(jù)來(lái)構(gòu)造相應(yīng)的基于多層感知器的神經(jīng)網(wǎng)絡(luò)分類器，監(jiān)控系統(tǒng)中關(guān)鍵程序的執(zhí)行情況，從而判斷并監(jiān)控程序是否受到已知或未知 的入侵攻擊?；谏窠?jīng)網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)在進(jìn)行入侵檢測(cè)識(shí)別前要用入侵樣本進(jìn)行訓(xùn)練，以使其具備對(duì)某些入侵行為進(jìn)行分類的能力，從而能夠正確“認(rèn)識(shí)”各種入侵行為。該學(xué)習(xí)過(guò)程主要是改變神經(jīng)元之間的連接權(quán)值，以便將有關(guān)入侵行為的信息存儲(chǔ)到神經(jīng)網(wǎng)絡(luò)中，一旦基于神經(jīng)網(wǎng)絡(luò)的檢測(cè)模型學(xué)習(xí)完成之后，就可以進(jìn)行識(shí)別入侵檢測(cè)了，采用神經(jīng)網(wǎng)絡(luò)的檢測(cè)模型具有高維性、廣泛互連性以及子適應(yīng)性等優(yōu)點(diǎn)。 基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)是最近幾年來(lái)的研究熱點(diǎn)之一，該入侵檢測(cè)技術(shù)的關(guān)鍵在于檢測(cè)前要用入侵樣本進(jìn)行訓(xùn)練，以使其具備對(duì)某些入侵行為進(jìn)行分類的能 力，從而能夠正確“認(rèn)識(shí)”各種入侵行為，采用神經(jīng)網(wǎng)絡(luò)的檢測(cè)模型具有高維性，廣泛互聯(lián)性以及自適應(yīng)性等優(yōu)點(diǎn)， 等人通過(guò)使用 MLP 神經(jīng)網(wǎng)絡(luò)分析數(shù)據(jù)包與入侵簽名匹配的結(jié)果，得到了較高的正確率，在后來(lái)的研究中，很多學(xué)者還提出了很多改進(jìn)算法，使基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的正確率也有很大的提高。 3） 專家系統(tǒng) 入侵檢測(cè)的另外一個(gè)值得重視的研究方向就是基于專家系統(tǒng)的入侵檢測(cè)技術(shù)，即根據(jù)安全專家對(duì)可疑行為的分析經(jīng)驗(yàn)來(lái)形成一套推理規(guī)則，然后再在此基礎(chǔ)之上構(gòu)成相應(yīng)的專家系統(tǒng)。 用專家系統(tǒng)對(duì)入侵進(jìn)行檢測(cè)，經(jīng)常是針 對(duì)有特征入侵行為。所謂的規(guī)則，即是知識(shí)，不同的系統(tǒng)與設(shè)置具有不同的規(guī)則，且規(guī)則之間往往無(wú)通用性。專家系統(tǒng)的建立依賴于知識(shí)庫(kù)的完備性，知識(shí)庫(kù)的完備性又取決于審計(jì)記錄的完備性與實(shí)時(shí)性。入侵的特征抽取與表達(dá)，是入侵檢測(cè)專家系統(tǒng)的關(guān)鍵。在系統(tǒng)實(shí)現(xiàn)中，將有關(guān)入侵的知識(shí)轉(zhuǎn)化為 ifthen 結(jié)構(gòu)（也可以是復(fù)合結(jié)構(gòu)），條件部分為入侵特征， then 部分是系統(tǒng)防范措施。運(yùn)用專家系統(tǒng)防范入侵行為的有效性完全取決于專家系統(tǒng)知識(shí)庫(kù)的完備性。 專家系統(tǒng)對(duì)歷史數(shù)據(jù)的依賴性總的來(lái)說(shuō)比較小，因此系統(tǒng)的適應(yīng)性比較強(qiáng)，可以較靈活地適應(yīng)安全 策略和檢測(cè)的要求。基于規(guī)則的專家系統(tǒng)和推理系統(tǒng)也有其局限性，這類系統(tǒng)的基礎(chǔ)推理規(guī)則一般都是根據(jù)已知的安全漏洞進(jìn)行安排和策劃的，所以它不能識(shí)別未知的安全漏洞，而對(duì)系統(tǒng)的最危險(xiǎn)的威脅又主要是來(lái)自未知的安全漏洞；另外系統(tǒng)需要經(jīng)常為新發(fā)現(xiàn)的系統(tǒng)漏洞更新知識(shí)庫(kù)，就要求系統(tǒng)能夠隨著經(jīng)驗(yàn)的積累而利用其自 北京航空航天大學(xué)畢業(yè)設(shè)計(jì) (論文 ) 第 31 頁(yè) 學(xué)能力進(jìn)行對(duì)規(guī)則的擴(kuò)充和修正。 4） 狀態(tài)轉(zhuǎn)移分析 在狀態(tài)轉(zhuǎn)移分析中，入侵被表示成為目標(biāo)系統(tǒng)的狀態(tài)轉(zhuǎn)化圖。當(dāng)分析審計(jì)事件時(shí)，若根據(jù)對(duì)應(yīng)的條件布爾表達(dá)式，系統(tǒng)從安全狀態(tài)轉(zhuǎn)化到不安全地狀態(tài)，則該事件標(biāo)記為入侵事件。 狀態(tài)轉(zhuǎn)換法將 攻擊過(guò)程看作一個(gè)行為序列，這個(gè)行為序列導(dǎo)致系統(tǒng)從初始狀態(tài)轉(zhuǎn)入被攻擊狀態(tài)。分析時(shí)首先針對(duì)每一種攻擊方法確定系統(tǒng)的初始狀態(tài)和被攻擊狀態(tài)，以及導(dǎo)致狀態(tài)轉(zhuǎn)換的轉(zhuǎn)換條件，即導(dǎo)致系統(tǒng)進(jìn)入被攻擊狀態(tài)必須執(zhí)行的操作（特征事件）。然后用狀態(tài)轉(zhuǎn)換圖來(lái)表示每一個(gè)狀態(tài)和特征事件，這些事件被集成于模型中，所以檢測(cè)時(shí)不需要一個(gè)個(gè)的查找審計(jì)記錄。但是，狀態(tài)轉(zhuǎn)換是針對(duì)事件序列分析，所以不善于分析過(guò)分復(fù)雜的事件，而且不能檢測(cè)與系統(tǒng)狀態(tài)無(wú)關(guān)的攻擊。 5） 模式匹配 基于模式匹配的入侵檢測(cè)方法將已知入侵特征編碼成為與審計(jì)記錄相符合的模式，當(dāng)新的審 計(jì)事件產(chǎn)生時(shí)，這一方法將尋找與它相匹配的已知入侵模式。假定所有入侵行為和手段都能夠表達(dá)為一種模式和特征，那么所有已知的入侵方法都可以用匹配的方法發(fā)現(xiàn)。模式發(fā)現(xiàn)的關(guān)鍵是如何表達(dá)入侵的模式，定義發(fā)現(xiàn)入侵的規(guī)則庫(kù)，把真正的入侵行為與正常行為區(qū)分開來(lái)。 這種方法試圖建立入侵行為的描述模型。尋找那些表示有入侵發(fā)生的特定行為。這就必須了解入侵的方法和手段。同時(shí)建立用來(lái)辨別不同入侵行為的規(guī)則庫(kù)。這種方法無(wú)須考慮用戶正常行為方式，只要發(fā)現(xiàn)某些特定行為，就使用一定的規(guī)則來(lái)判定是否有相應(yīng)的入侵發(fā)生。 攻擊者在攻擊一個(gè)系統(tǒng)時(shí)往往 采用一定的行為程序，如猜測(cè)口令的程序，這種行為程序構(gòu)成了某種具有一定行為特征的模型，根據(jù)這種模型所代表的攻擊意圖的行為特征，可以實(shí)時(shí)地檢測(cè)出惡意的攻擊企圖，用基于模型推理的入侵檢測(cè)方法，人們能夠?yàn)槟承┬袨榻⑻囟ǖ哪Ｐ?，從而能夠監(jiān)視具有特定