【正文】 這種方法無須考慮用戶正常行為方式，只要發(fā)現(xiàn)某些特定行為，就使用一定的規(guī)則來判定是否有相應(yīng)的入侵發(fā)生。這就必須了解入侵的方法和手段。 這種方法試圖建立入侵行為的描述模型。假定所有入侵行為和手段都能夠表達為一種模式和特征，那么所有已知的入侵方法都可以用匹配的方法發(fā)現(xiàn)。但是，狀態(tài)轉(zhuǎn)換是針對事件序列分析，所以不善于分析過分復(fù)雜的事件，而且不能檢測與系統(tǒng)狀態(tài)無關(guān)的攻擊。分析時首先針對每一種攻擊方法確定系統(tǒng)的初始狀態(tài)和被攻擊狀態(tài)，以及導(dǎo)致狀態(tài)轉(zhuǎn)換的轉(zhuǎn)換條件，即導(dǎo)致系統(tǒng)進入被攻擊狀態(tài)必須執(zhí)行的操作（特征事件）。當(dāng)分析審計事件時，若根據(jù)對應(yīng)的條件布爾表達式，系統(tǒng)從安全狀態(tài)轉(zhuǎn)化到不安全地狀態(tài)，則該事件標記為入侵事件?；谝?guī)則的專家系統(tǒng)和推理系統(tǒng)也有其局限性，這類系統(tǒng)的基礎(chǔ)推理規(guī)則一般都是根據(jù)已知的安全漏洞進行安排和策劃的，所以它不能識別未知的安全漏洞，而對系統(tǒng)的最危險的威脅又主要是來自未知的安全漏洞；另外系統(tǒng)需要經(jīng)常為新發(fā)現(xiàn)的系統(tǒng)漏洞更新知識庫，就要求系統(tǒng)能夠隨著經(jīng)驗的積累而利用其自 北京航空航天大學(xué)畢業(yè)設(shè)計 (論文 ) 第 31 頁 學(xué)能力進行對規(guī)則的擴充和修正。運用專家系統(tǒng)防范入侵行為的有效性完全取決于專家系統(tǒng)知識庫的完備性。入侵的特征抽取與表達，是入侵檢測專家系統(tǒng)的關(guān)鍵。所謂的規(guī)則，即是知識，不同的系統(tǒng)與設(shè)置具有不同的規(guī)則，且規(guī)則之間往往無通用性。 3） 專家系統(tǒng) 入侵檢測的另外一個值得重視的研究方向就是基于專家系統(tǒng)的入侵檢測技術(shù)，即根據(jù)安全專家對可疑行為的分析經(jīng)驗來形成一套推理規(guī)則，然后再在此基礎(chǔ)之上構(gòu)成相應(yīng)的專家系統(tǒng)。該學(xué)習(xí)過程主要是改變神經(jīng)元之間的連接權(quán)值，以便將有關(guān)入侵行為的信息存儲到神經(jīng)網(wǎng)絡(luò)中，一旦基于神經(jīng)網(wǎng)絡(luò)的檢測模型學(xué)習(xí)完成之后，就可以進行識別入侵檢測了，采用神經(jīng)網(wǎng)絡(luò)的檢測模型具有高維性、廣泛互連性以及子適應(yīng)性等優(yōu)點。 該檢測技術(shù)主要從系統(tǒng)程序的正常執(zhí)行軌跡或遭受入侵攻擊的執(zhí)行軌跡中提取關(guān)鍵程序的正常系統(tǒng)，調(diào)用子序列或標示已知入侵的系統(tǒng)調(diào)用子序列，將它們作為訓(xùn)練數(shù) 北京航空航天大學(xué)畢業(yè)設(shè)計 (論文 ) 第 30 頁 據(jù)來構(gòu)造相應(yīng)的基于多層感知器的神經(jīng)網(wǎng)絡(luò)分類器，監(jiān)控系統(tǒng)中關(guān)鍵程序的執(zhí)行情況，從而判斷并監(jiān)控程序是否受到已知或未知 的入侵攻擊。此問題可以用預(yù)測模式生成技術(shù)解決 。通過觀察歷史數(shù)據(jù)或一段時間的自學(xué)習(xí)，為每個統(tǒng)計量定義一個基值（期望值，表示正常狀態(tài)）； 2. 根 據(jù) 這 些 統(tǒng) 計 量 利 用 統(tǒng) 計 方 法 建 立 系 統(tǒng) 正 常 運 行 時 的 剖 析 模 型（ ProfileModel），并通過某些數(shù)學(xué)處理（如 Weighting function）組合上述統(tǒng)計量，得到一個總體度量值（系統(tǒng)的 正常值、健康值）； 3. 當(dāng)系統(tǒng)活動時，原來定義的統(tǒng)計量就會發(fā)生變化，從而引起系統(tǒng)剖析模型（ Profile）狀態(tài)（及對應(yīng)度量值）的改變，一旦這種偏移量超過可接收的范圍，即認為系統(tǒng)發(fā)生異常，系統(tǒng)可能正受到入侵。當(dāng)觀察值在正常值范圍之外，可以認為有入侵發(fā)生。統(tǒng)計分析是異常檢測技術(shù)中應(yīng)用最早也是最多的一種方法。 1） 統(tǒng)計方法 概率統(tǒng)計是產(chǎn)品化的入侵檢測系統(tǒng)中常用的方法，它通常用于異常檢測。 誤用監(jiān)測的缺點： ◆ 只能發(fā)現(xiàn)特征庫中已有的攻擊，因而必須不斷地更新特征庫； ◆ 特征庫的定義較為嚴格，故可能無法發(fā)現(xiàn)常見攻擊的變種； ◆ 當(dāng)特征庫很大時，檢測速度會很低 。其難點在于如何設(shè)計模式，既能夠表達“入侵”現(xiàn)象又不會將正常的活動包含起來。模式發(fā)現(xiàn)的優(yōu)點是誤報少，局限是它只能發(fā)現(xiàn)已知的攻擊，對未知的攻擊無能為力。因此，誤用入侵檢測是指通過按預(yù)先定義好的入侵模式以及觀察到入侵發(fā)生的情況進行模式匹配來進行入侵檢測?？梢哉f，要想實現(xiàn)一個理論上能夠百分之百正確檢測所 有攻擊活動的違規(guī)檢測系統(tǒng)，首先必須保證能夠用數(shù)學(xué)語言百分 北京航空航天大學(xué)畢業(yè)設(shè)計 (論文 ) 第 28 頁 圖 誤用 檢測 模型 與異常入侵檢測相比，誤用入侵檢測能直接檢測不利的或不可接受的行為，而異常入侵檢測是檢查出與正常行為相違背的行為。特征檢測系統(tǒng)是建立在使用某種模式或者特征描述方法能夠?qū)θ魏我阎暨M行表達這一理論基礎(chǔ)上的。用戶的輪廓可根據(jù)具體需要定期修改 。異常檢測技術(shù)的前提是假定所有的入侵行為都與正常行為不同；攻擊與正常的（合法的）活動有大的差異。 異常檢測技術(shù)，又稱為基于行為的入侵檢測技術(shù)。提取到事件作為信息輸入到檢測系統(tǒng)之中，檢測系統(tǒng)對其進行分析和處理，從而得到網(wǎng)絡(luò)入侵的判斷，一方面入侵檢測系統(tǒng)需要盡可能多地提取數(shù)據(jù)以獲得足夠的入侵證據(jù)，而另一方面由于入侵行為的千變?nèi)f化而導(dǎo)致判定入侵的規(guī)則越來越復(fù)雜，為了保證入侵檢測的效率和滿足實時性要求，入侵分析必須在 系統(tǒng)的性能和檢測能力之間進行權(quán)衡，合理設(shè)計分析策略 。根據(jù)收集機制不同就相應(yīng)有四種不同的檢測策略：基于主機、基于網(wǎng)絡(luò)、混合分布式以及基于應(yīng)用程序的監(jiān)測 。信息包括系統(tǒng)、網(wǎng)絡(luò)的數(shù)據(jù)及用戶活動的狀態(tài)和行為。在具體實現(xiàn)上，規(guī)則的選擇與更新可能不盡相同，但一般地，行為特征模塊執(zhí)行基于行為的檢測，而規(guī)則模塊執(zhí)行基于知識的檢測 。規(guī)則模塊可以由系統(tǒng)安全策略、攻擊模式等組成。行為特征表是整個檢測系統(tǒng)的核心，它包含了用于計算用戶行為特征的所有變量，這些變量可根據(jù)具體所采納的統(tǒng)計方法以及事件記錄中的具體動作模式而 定義，并根據(jù)匹配記錄數(shù)據(jù)更新變量值。 事件產(chǎn)生器可根據(jù)具體應(yīng)用環(huán)境而有所不同，一般可來自審計記錄、網(wǎng)絡(luò)數(shù)據(jù)包以及其他可視行為。事件分析器分析得到的數(shù)據(jù)，并產(chǎn)生分析結(jié)果。入侵檢測的通用模型如圖 32 所示。 Common Intrusion Detection Framework(CIDF)闡述了一個入侵檢測系統(tǒng)（ IDS）的通用模型。 最早的入侵檢測模型由 Dorothy Denning 在 1987 年提出。 ◆ 檢查系統(tǒng)程序和數(shù)據(jù)的一致性與正確性。 ◆ 檢測系統(tǒng)配置的正確性和安全漏洞，并提示管理員修補漏洞。但是入侵檢測的能力不如實時入侵檢測系統(tǒng)。 入侵檢測可分為實時入侵檢測和事后檢測兩種：實時入侵 檢測在網(wǎng)絡(luò)連接過程中進行，系統(tǒng)根據(jù)用戶的歷史行為模型、存儲在計算機中的專家知識以及神經(jīng)網(wǎng)絡(luò)模型對用戶當(dāng)前的操作進行判斷，一旦發(fā)現(xiàn)入侵跡象立即斷開入侵者與主機的連接，并收集證據(jù)和實施數(shù)據(jù)恢復(fù)。入侵檢測原理如圖 所示。 入侵檢測通過旁路偵聽的方式，對計算機 網(wǎng)絡(luò)和計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。 入侵檢測系統(tǒng)（ Intrusion Detection System）可以定義為對計算機和網(wǎng)絡(luò)資源上的惡意使用行為進行識別和響應(yīng)的處理系統(tǒng)。 入侵檢測技術(shù) 入侵檢測的基本原理 入侵檢測，是對入侵行為的發(fā)覺。內(nèi)外網(wǎng)的通信數(shù)據(jù)流應(yīng)該是： Inter—— 堡壘主機 —— 內(nèi)部包過濾路由器 —— 內(nèi)部網(wǎng)主 機。這個子網(wǎng)被定義為“非軍事區(qū)（ demilitarized zone）”網(wǎng)絡(luò)，這一網(wǎng)絡(luò)所受到的威脅不會影響到內(nèi)部網(wǎng)絡(luò)，網(wǎng)絡(luò)管理員可以將堡壘主機 、 WEB 服務(wù)器、 Email 服 北京航空航天大學(xué)畢業(yè)設(shè)計 (論文 ) 第 24 頁 務(wù)器等公用服務(wù)器放在非軍事區(qū)網(wǎng)絡(luò)中。 3)屏蔽子網(wǎng)型防火墻 屏蔽子網(wǎng)型防火墻在屏蔽主機型體系結(jié)構(gòu)基礎(chǔ)上增加了一臺內(nèi)部包過濾路由器，增設(shè)了一個周邊防御網(wǎng)段，在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間建立起 一個被隔離的子網(wǎng)。而且，這些“可信任的”服務(wù)仍然有可能成為潛在的安全漏洞。 這種類型的防火墻的主要安全問題也就出 在“可信任”上。 2)屏蔽主機型防火墻 屏蔽主機防火墻（ Screened Firewall）其實是包過濾和代理功能的結(jié)合，其中代理服務(wù)器作為堡壘主機安裝在包過濾網(wǎng)關(guān)靠近內(nèi)部網(wǎng)的一側(cè)。但由于擔(dān)任了內(nèi)、外網(wǎng)的通 信橋梁，當(dāng)通信量大的時候，該主機就成為網(wǎng)絡(luò)通信的瓶頸。 圖 雙宿 /多宿主機體系結(jié)構(gòu) 這種體系結(jié)構(gòu)的防火墻簡單明了，易于實現(xiàn)，成本低。 1)雙宿主機 \多宿主機模式 所謂多宿主主機是指具有多個網(wǎng)絡(luò)接口卡的主機，每個網(wǎng)卡都與網(wǎng)絡(luò)相連，比較常見的是雙宿主主機。 NAT 的目的就是解決 IP 地址空間不足問題和向外界隱藏內(nèi)部網(wǎng)結(jié)構(gòu)。在防火墻上實現(xiàn) NAT 后，可以隱藏受保護網(wǎng)絡(luò)的內(nèi)部拓撲結(jié)構(gòu)，在一定程度上提高網(wǎng)絡(luò)的安全性。 NAT 包括靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換 、動態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換、網(wǎng)絡(luò)地址及端口轉(zhuǎn)換、動態(tài)網(wǎng)絡(luò)地址及端口轉(zhuǎn)換、端口映射等。 代理防火墻的最大缺點就是速度相對比較慢，當(dāng)用戶對內(nèi)外網(wǎng)絡(luò)網(wǎng)關(guān)的吞吐量要求比較高時，（比如要求達到 75－ 100Mbps 時）代理防火墻就會成為內(nèi)外網(wǎng)絡(luò)之間的瓶頸，所幸的是，目前用戶接入 Inter 的速度一般都遠低于這個數(shù)字 。代理服務(wù)器在轉(zhuǎn)發(fā)數(shù)據(jù)包之前，還可以預(yù)先進行身份驗證和日志記錄。代理服務(wù)的過程如圖 所示 、 圖 代理服務(wù)過程 代理類型防火墻的最突出的優(yōu)點就是安全。反過來也是一樣。 動態(tài)包過濾是靜態(tài)包過濾技術(shù)的發(fā)展和演化，它比靜態(tài)包過濾要智能一些，但是因為動態(tài)包過濾是靜態(tài)包過濾的繼承，所以它保留了靜態(tài)包過濾的一個根本缺點：不知道狀態(tài)信息，而且動態(tài)包過濾技術(shù)仍只能對數(shù)據(jù)的 IP 地址信息進行過濾，不能對用戶身份的合法性進行鑒定，同時通常也沒有日志記錄 。 采用狀態(tài)檢測技術(shù)的防火墻在運行過程中一直維護著一張狀態(tài)表，這張表記錄了從受保護網(wǎng)絡(luò)發(fā)出的數(shù)據(jù)包的狀態(tài)信息，然后防火墻根據(jù)該表內(nèi)容對返回受保護網(wǎng)絡(luò)的數(shù)據(jù)包進行分析判斷，這樣，只有響應(yīng)受保護網(wǎng)絡(luò)請求的數(shù)據(jù)包才被放行。這樣就解決了靜態(tài)包過濾技術(shù)使用和管理難度大的問題。 3） 動態(tài)包過濾 “動態(tài)包過濾” (Dynamic packet filter)技術(shù)首先是由 USC 信息科學(xué)院 BobBraden 于 1992 年開發(fā)提出的，它屬于第四代防火墻技術(shù)，后來演變?yōu)槟壳八f的狀態(tài)監(jiān)視(Stateful inspection)技術(shù)。但是因為它工作在網(wǎng)絡(luò)層，只檢查 IP 和 TCP 包頭，不檢查包的數(shù)據(jù)，提供的安全性不高。 過濾機制是：最后的規(guī)則如果與前面的規(guī)則沖突，最后的規(guī)則有效。包過濾防火墻的弱點主要在于規(guī)則的復(fù)雜性。包過濾類型的防火墻遵循的一條規(guī)則就是“最小特權(quán)原則”，即明確允許那些管理員希望通 過的數(shù)據(jù)包，禁止其他數(shù)據(jù)包。表中的每一條規(guī)則都是基于數(shù)據(jù)包的包頭信息制定的。在大多數(shù)運用中，常常是這幾種技術(shù)的組合。 防火墻的關(guān)鍵技術(shù) 防火墻在實現(xiàn)上主要有兩大主流技術(shù)：包過濾和代理服務(wù)。 為了實現(xiàn)過濾這一功能，防火墻常采取以下措施： IP 地址過濾；對 TCP/UDP 服務(wù)的源端口、目的端口進行過濾；檢查 TCP 的 ACK 位；設(shè)置代理服務(wù)器，這幾種技術(shù)各有優(yōu)缺點。防火墻的實現(xiàn)形式有很多種，其中包括：直接取代系統(tǒng)已經(jīng)裝備的 TCP/IP 協(xié)議棧；在已有的協(xié)議棧上裝載防火墻軟件模塊；防火墻單獨用作一套獨立的操作系統(tǒng)；作為應(yīng)用型防火墻，只對特定類型的網(wǎng)絡(luò)連接提供保護；硬件防火墻等。 防火墻的工作原理 防火墻就是一種過濾塞，它過濾的是在網(wǎng)絡(luò)中承載通信數(shù)據(jù)的通信包。在設(shè)計該策略前，設(shè)計者應(yīng)先從兩個防火墻設(shè)計的基本策略中選擇其一，并根據(jù)它和服務(wù)訪問策略以及經(jīng)費 來選擇合適的防火墻系統(tǒng)結(jié)構(gòu)和 北京航空航天大學(xué)畢業(yè)設(shè)計 (論文 ) 第 19 頁 組件。 （ 2）防火墻設(shè)計策略。服務(wù)訪問策略是高層的策略，明確定義了受保護網(wǎng)絡(luò)允許和拒絕的網(wǎng)絡(luò)服務(wù)及其使用范圍，以及安全措施（如認證等）。 網(wǎng)絡(luò)安全策略是防火墻系統(tǒng)的最重要組成部分，它決定了受保護網(wǎng)絡(luò)的安全性和易用性。當(dāng)發(fā)生可疑動作時，防火墻能進行適當(dāng)?shù)膱缶?，并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細信息。 有效記錄和審計內(nèi)、外部網(wǎng)絡(luò)之間的連接和使用：防火墻可以對內(nèi)、外部網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計。 強化網(wǎng)絡(luò)安全策略：通過以防火墻為中心的安全方案配置，能將所有安全軟件 (如口令、加密、身份認證、審計等 )配置在防火墻上。 隔離內(nèi)外網(wǎng)絡(luò)，保護內(nèi) 部網(wǎng)絡(luò)：這是防火墻的最基本功能，它通過隔離內(nèi)、外部網(wǎng)絡(luò)來確保內(nèi)部網(wǎng)絡(luò)的安全。這種實現(xiàn)要求所有的流量都要通過這個檢查點。它滿足以下條件： 1) 內(nèi)部和外部之間的所有網(wǎng)絡(luò)數(shù)據(jù)流必須經(jīng)過防火墻； 2) 只有符合安全政策的數(shù)據(jù)流才能通過防火墻； 3) 防火墻自身應(yīng)對滲透（ peneration）免疫 ； 防火墻功能和安全策略 北京航空航天大學(xué)畢業(yè)設(shè)計 (論文 ) 第 18 頁 對防火墻的兩大需求是保障內(nèi)部網(wǎng)的安全和保證內(nèi)部網(wǎng)同外部網(wǎng)的