【正文】 對(duì)簡(jiǎn)單的和復(fù)雜的入侵行為都有能力描述。 以上功能是由各主機(jī)上的 Agent來(lái)完成的。 IDS 預(yù)警系統(tǒng)的體系結(jié)構(gòu)和實(shí)現(xiàn)方法如圖 8所示： 圖 8 單機(jī)上的預(yù)警子模塊 整個(gè)安全防護(hù)體系中，分布于各主機(jī)的入侵檢測(cè)系統(tǒng)模塊對(duì)所負(fù)責(zé)的主機(jī)上的信息數(shù)據(jù)進(jìn)行監(jiān)控和審查，將可疑的信息和數(shù)據(jù)收集之后，交給下面的數(shù)據(jù)分析系統(tǒng)進(jìn)行分析，提取這些受到懷疑的信息的特征，并將這些特征信息加以歸納和總結(jié)，然后將產(chǎn)生出的對(duì)這些信息的結(jié)果提交給系統(tǒng)中的模式庫(kù)和模式匹配系統(tǒng)（模式庫(kù)存于單機(jī)子信息中）；模式匹配系統(tǒng)的任務(wù)就是根據(jù)數(shù)據(jù)分析系統(tǒng)送來(lái)的經(jīng)過(guò)處理后的信息在模式庫(kù)中進(jìn)行查找匹配；如果模式匹配系統(tǒng)信 息 數(shù) 據(jù) 庫(kù) 模式匹配及行為模式判斷 主機(jī) IDS 處理 行為模 式確定 數(shù)據(jù) 收集器 模式庫(kù) 數(shù)據(jù)源 數(shù)據(jù)源 數(shù)據(jù)源 李蕭蕭的個(gè)人主頁(yè) 需要文檔請(qǐng)給我留言。這樣，大大減少了網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)量，使網(wǎng)絡(luò)負(fù)擔(dān)大大減輕，同時(shí)極大地增強(qiáng)了系統(tǒng)的魯棒性。 華夏網(wǎng)絡(luò)的分布式的入侵檢測(cè)系統(tǒng)將解決這個(gè)問(wèn)題。其次，由于網(wǎng)絡(luò)傳輸?shù)臅r(shí)延問(wèn)題，到達(dá)中央控制臺(tái)的數(shù)據(jù)包中的事件消息只是反映了它剛被生成時(shí)的環(huán)境狀態(tài)情況，已經(jīng)不能反映可能隨著時(shí)間已經(jīng)改變的當(dāng)前狀態(tài)。 這種集中式模型具有幾個(gè)明顯的缺陷。 3． 1． 3 項(xiàng)目產(chǎn)品的技術(shù)創(chuàng)新點(diǎn) 傳統(tǒng)的集中式入侵檢測(cè)技術(shù)的基本模型是在網(wǎng)絡(luò)的不同網(wǎng)段中放置多個(gè)傳感器或探測(cè)器用來(lái)收集當(dāng)前網(wǎng)絡(luò)狀態(tài)信息，然后這些信息被傳送到中央控制臺(tái)進(jìn) 行處理和分析，或者更進(jìn)一步的情況是，這些傳感器具有某種主動(dòng)性，能夠接收中央控制臺(tái)的某些命令和下載某些識(shí)別模板李蕭蕭的個(gè)人主頁(yè) 需要文檔請(qǐng)給我留言。在極大的保證了系統(tǒng)的安全性、可靠性和高性能的同時(shí)，兼顧了系統(tǒng)的可用性、易用性，同時(shí)由于采用了基于 Agent 的分布式的體系結(jié)構(gòu)可以很容易地添加受保護(hù)主機(jī)，大大的增強(qiáng)了系統(tǒng)的可擴(kuò)展性。 單機(jī)信息庫(kù)儲(chǔ)存了所對(duì)應(yīng)受保護(hù)主機(jī)的狀態(tài)信息，模式信息，是各分布式 Agent 的決策依據(jù)，因?yàn)閷?duì)不同的主機(jī)而言，這些信息有著很大的差別，因此設(shè)立單機(jī)信息庫(kù)是非常有必要的。在網(wǎng)絡(luò)管理員進(jìn)行檢查時(shí)，負(fù)責(zé)將所有的數(shù)據(jù)分類(lèi)統(tǒng)計(jì)，并作出各種報(bào)告，以協(xié)助管理員對(duì)網(wǎng)絡(luò)進(jìn)行更為完善的配置。 綜合決策系統(tǒng) 如前面提到的，信息及綜合決策系統(tǒng)由信息數(shù)據(jù)庫(kù)和中央決策控制器及各受保護(hù)主機(jī)上的單機(jī)信息庫(kù)組成構(gòu)成。 予不同的訪問(wèn)權(quán)限，從而大大提高系統(tǒng)的安全性。 主機(jī)防火墻的功能主要為： （ 1） 因?yàn)橹鳈C(jī)防火墻是直接面向受保護(hù)主機(jī)的，因此可對(duì)它進(jìn)行更具體，更有針對(duì)性的配置，從而對(duì)通過(guò)主防火墻的數(shù)據(jù)包進(jìn)行再過(guò)濾，減少可能發(fā)生的攻擊，從這個(gè)意義上來(lái)說(shuō)，主防火墻相當(dāng)于宏觀上 的調(diào)控，而主機(jī)防火墻相當(dāng)于微觀上的調(diào)控。 結(jié)構(gòu)闡述 防火墻系統(tǒng) 整個(gè)系統(tǒng)通過(guò)主防火墻與 Inter 相連，利用主防火墻，可對(duì)來(lái)自外部的大多數(shù)攻擊進(jìn)行防范，在子網(wǎng)內(nèi)部，有一般用戶(hù)和受保護(hù)主機(jī)，后者多為一些重要的服務(wù)器，是重點(diǎn)保護(hù)的對(duì)象。 圖 7 立體防御系統(tǒng)結(jié)構(gòu)圖 整個(gè)系統(tǒng)由三大部分組成： 外圍防火墻系統(tǒng)由主防火墻和主機(jī)防火墻組成，中間為系統(tǒng)的核心，由分布式入侵檢測(cè)系統(tǒng)組成，其具體結(jié)構(gòu)及工作原理將在后面的入侵檢測(cè)預(yù)警模型中 進(jìn)行 詳細(xì)的闡述，內(nèi)層信息及綜合決策系統(tǒng)由信息數(shù)據(jù)庫(kù)、中央決策控制器及受保護(hù)主機(jī)上的單機(jī)信息庫(kù)構(gòu)成。 3． 1． 2 項(xiàng)目產(chǎn)品的關(guān)鍵技術(shù)內(nèi)容 由前面的論述可以看出，任何單一的安全部件都只能實(shí)現(xiàn)一定程度的安全，任何單層次的結(jié)構(gòu)所保障的安全也都是極其有限的，只有把他們有機(jī)的結(jié)合在一起，使他們互為依托，互相補(bǔ)充，才能實(shí)現(xiàn)系統(tǒng)的真正安全，基于此，提出了立體防御系統(tǒng)，其結(jié)構(gòu)組 成如圖 7所示。因此，黑客就可以知道網(wǎng)上的由用戶(hù)加上去的不安全（未授權(quán)）設(shè)備，然后利用這些設(shè)備訪問(wèn)網(wǎng)絡(luò)。 二是對(duì)物理資源的未授權(quán)訪問(wèn)（非法訪問(wèn)）。一個(gè)進(jìn)程出現(xiàn)了不期望的行為，可能預(yù)示著有黑客正在入侵系統(tǒng)。每個(gè)進(jìn)程執(zhí)行在具有不同權(quán)限的環(huán)境中，這種環(huán)境控制著進(jìn)程可訪問(wèn)的系統(tǒng)資源、程序和數(shù)據(jù)文件等。目錄和文件中的不期望的改變（包括修改、創(chuàng)建和刪除），特別是那些正常情況下限制訪問(wèn)的數(shù)據(jù)，很可能就是一種入侵產(chǎn)生的標(biāo)志和信號(hào)。 李蕭蕭的個(gè)人主頁(yè) 需要文檔請(qǐng)給我留言。日志中記錄著在系統(tǒng)或網(wǎng) 絡(luò)上的不尋常和不期望活動(dòng)的證據(jù)， 這些證據(jù)可以顯示出有人正在入侵或己成功入侵該系統(tǒng)。通常一個(gè)完整的入侵檢測(cè)技術(shù)需要利用的數(shù)據(jù)或文件來(lái)自于以下 4 個(gè)方面 :[11] (1) 系統(tǒng)和網(wǎng)絡(luò)日志文件 黑客經(jīng)常在系統(tǒng)日志中留下他們的蹤跡。它的特點(diǎn)是對(duì)已知和未知的攻擊都有一定的檢測(cè)能力，缺點(diǎn)是誤報(bào)率高。 基于異常的檢測(cè)技術(shù)則是先定義一組系統(tǒng)“正?！鼻闆r的數(shù)值，如 cpu 的利用率，內(nèi)存利用率，文件校驗(yàn)等（這類(lèi)數(shù)據(jù)可以人為定義， 也可以通過(guò)觀察系統(tǒng)，并用統(tǒng)計(jì)的方法得出），然后將系統(tǒng)運(yùn)行的數(shù)值與所定義的“正?！鼻闆r比較，得出是否有被攻擊的跡象。 對(duì)于基于標(biāo)識(shí)的檢測(cè)技術(shù)來(lái)說(shuō)，首先要定義違背安全策略的事件特征，如網(wǎng)絡(luò)數(shù)據(jù)包的某些頭信息，判別這類(lèi)特征是否在所收集的數(shù)據(jù)中出現(xiàn)。 由此看出，兩種入侵檢測(cè)系統(tǒng)各有優(yōu)缺點(diǎn)，只有把他們有機(jī)的結(jié)合，才能取長(zhǎng)補(bǔ)短，充分發(fā)揮各自的優(yōu)勢(shì)，因此，文章在參考了有關(guān)資料后， [13]提出了一個(gè)分布式入侵檢測(cè)系統(tǒng)的實(shí)現(xiàn)方案，這在該文的后面有較 為詳細(xì)的說(shuō)明。 若匹配 , IDS 就向各系統(tǒng)管理員發(fā)出入侵報(bào)警并采取相應(yīng)的行動(dòng) 。 基于主機(jī)的檢測(cè)系統(tǒng)：在被監(jiān)視的主機(jī)上運(yùn)行，檢查這些主機(jī)上的對(duì)外流量，文件系統(tǒng)的完整性及各種活動(dòng)是否合法以及是否可以接受，它能給主機(jī)提供較高程度的保護(hù)，但每臺(tái)受保護(hù)主機(jī)都需要安裝相應(yīng)的軟件，且不能提供網(wǎng)段的整體信息。④能夠檢測(cè)到未成功的攻擊企圖 。②攻擊者轉(zhuǎn)移證據(jù)困難 。 一旦檢測(cè)到攻擊 , IDS 的響應(yīng)模塊通過(guò)通知、報(bào)警以及中斷連接等方式來(lái)對(duì)攻擊行為作出反應(yīng) 。 數(shù)據(jù)作為數(shù)據(jù)源 。 入侵檢測(cè)的研究動(dòng)態(tài) 從分類(lèi)上看，入侵檢測(cè)系統(tǒng)可以分為： 基于網(wǎng)絡(luò)的檢測(cè)系統(tǒng)：分布在網(wǎng)絡(luò)上或者是設(shè)置在被監(jiān)視的主機(jī)附近，檢查網(wǎng)絡(luò)通信情況以及分析是否有異?；顒?dòng)，它能提供網(wǎng)段的整個(gè)信息，由于要檢測(cè)整個(gè)網(wǎng)段的流量，所以，它處理的信息量很大，易受到拒絕服務(wù)攻擊（ DOS）攻擊。 (4) 條件概率誤用檢測(cè)。 (2) 特征分析誤用檢測(cè)。局限是它只能發(fā)現(xiàn)已知的攻擊 ,對(duì)未知 的攻擊無(wú)能為力。模式發(fā)現(xiàn)的關(guān)鍵是如何表達(dá)入侵的模式 ,把真正的入侵與正常行為區(qū)分開(kāi)來(lái)。入侵者常常利用系統(tǒng)或應(yīng)用軟件中的弱點(diǎn)或漏洞來(lái)攻擊系統(tǒng)而這些弱點(diǎn)或漏洞可以編成一些模式，如果入侵者攻擊方式恰好匹配上檢測(cè)系統(tǒng)模式庫(kù)中的某種方式，則入侵即被檢測(cè)到了。 (6) 機(jī)器學(xué)習(xí)異常檢測(cè)。 正常行為 異常行為 李蕭蕭的個(gè)人主頁(yè) 需要文檔請(qǐng)給我留言。 (3) 神經(jīng)網(wǎng)絡(luò)異常檢測(cè)。 異 常檢測(cè)技術(shù)的核心是建立行為模型，目前主要是由以下幾種方法 :[10] (1) 統(tǒng)計(jì)分析異常檢測(cè)。比如 ,通過(guò)流量統(tǒng)計(jì)分析將異常時(shí)間的異常網(wǎng)絡(luò)流量視為可疑。 [14]如果建立系統(tǒng)正常行為的軌跡 ,那么理論上可以把所有與正常軌跡不同的系統(tǒng)狀態(tài)視為可疑企圖。異常檢 測(cè)首先收集一段時(shí)期正常操作活動(dòng)的歷史記錄，再建立代表用戶(hù)、主機(jī)或網(wǎng)絡(luò)連接的正常行為輪廓，然后收集事件數(shù)據(jù)并使用一些不同的方法來(lái)決定所檢測(cè)到的事件活動(dòng)是否偏離 了正常行為模式。在具體實(shí)現(xiàn)上，規(guī)則的選擇 與更新可能不盡相同，但一般地，行為特征模塊執(zhí)行基于行為的檢測(cè)，而規(guī)則模塊執(zhí)行基于知識(shí)的檢測(cè)。如果有統(tǒng)計(jì)變量的值達(dá)到了異常程度，行為特征表將產(chǎn)生異常記錄，并采取一定的措施。行為特征表是整個(gè)檢測(cè)系統(tǒng)的核心，它包含了用于計(jì)算用戶(hù)行為特征的所有變量，這些記錄可根據(jù)具體采用的統(tǒng)計(jì)方法以及事件記錄規(guī)則模塊 行為特征模塊 事件產(chǎn)生器 斷開(kāi)連接 記錄證明 恢復(fù)數(shù)據(jù) 入侵檢測(cè) 監(jiān)測(cè) 入侵 用戶(hù)行為數(shù) 據(jù) 庫(kù) 用戶(hù)的當(dāng)前操作 李蕭蕭的個(gè)人主頁(yè) 需要文檔請(qǐng)給我留言。圖 4 表示了該通用模型的體系結(jié)構(gòu)。入侵檢測(cè)功能原理如圖 3所示： 入侵發(fā)現(xiàn) 攻擊特征 (signatures) 李蕭蕭的個(gè)人主頁(yè) 需要文檔請(qǐng)給我留言。 入侵檢測(cè)系統(tǒng)及預(yù)警系統(tǒng)（ Intrusion Detection amp。在系統(tǒng)受到危害之前發(fā)出警告，對(duì)攻擊作出實(shí)時(shí)的響應(yīng)，并提供補(bǔ)救措施，最大程度地保障了系 統(tǒng)安全。 [16] 用戶(hù)或管理員 定義的規(guī)則 報(bào)警 報(bào)表 原始數(shù)據(jù)包 圖 2 入侵發(fā)現(xiàn)示意圖 入侵檢測(cè)系統(tǒng)的模型與原理 入侵檢測(cè)系統(tǒng)（ IDS,Intrusion Detection System）用來(lái)識(shí)別針對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)，或者更廣泛意義上的信息系統(tǒng)的非法攻擊，包括檢測(cè)外界非法入侵者的惡意攻擊或試探，以及內(nèi)部合法用戶(hù)的超越使用權(quán)限的非法行動(dòng)。圖 2 為入侵檢測(cè)一般過(guò)程示意圖，箭頭所指方向?yàn)榱鞒谭较颉? 是入侵檢測(cè)技術(shù)則不同，它對(duì)進(jìn)入系統(tǒng)的訪問(wèn)者（包括入侵者）能進(jìn)行實(shí)時(shí)的監(jiān)視和檢測(cè)，一旦發(fā)現(xiàn)訪問(wèn)者對(duì)系統(tǒng)進(jìn)行非法的操作（這時(shí)訪問(wèn)者成為了入侵者），就會(huì)向系統(tǒng)管理員發(fā)出警報(bào)或者自動(dòng)截?cái)嗯c入侵者的連接，這樣就會(huì)大大提高系統(tǒng)的安全性。對(duì)于這些，傳統(tǒng)的安全技術(shù)是無(wú)能為力的。 [7] 從該定義可以看出，入侵檢測(cè)對(duì)安全保護(hù)采取的是一種積極、主動(dòng)的防御策略，而傳統(tǒng)的安全技術(shù)都是一些消極、被動(dòng)的保護(hù)措 施。 因此有必要將它們?nèi)诤?，?gòu)成了一個(gè)典型的防火墻系統(tǒng)。如果用戶(hù)抓來(lái)一個(gè)程序在本地運(yùn)行，那個(gè)程序很可能就包含一段惡意的代碼，或泄露敏感信息，或?qū)χM(jìn)行破壞。其核心技術(shù)就是代理服務(wù)器技術(shù)，特點(diǎn)是安全性很高，缺點(diǎn)是對(duì)于每個(gè)中斷的 inter 服務(wù)，都需要提供相應(yīng)的代理程序，且對(duì)于計(jì)算機(jī)的性能有一定的要求。 包過(guò)濾防火墻，包過(guò)濾技術(shù)是根據(jù)定義好的過(guò)濾規(guī)則審查每個(gè)數(shù)據(jù)包并確定數(shù)據(jù)包是否與過(guò)濾規(guī)則相匹配，從而決定數(shù)據(jù)包能否通過(guò)，它的特點(diǎn)是開(kāi)銷(xiāo)小，速度快，缺點(diǎn)是定義數(shù)據(jù)包過(guò)濾器比較復(fù)雜，且不能理解特定服務(wù)的上下文 環(huán)境。 防火墻在概念上非常簡(jiǎn)單 ,它可以分為 :基于過(guò)濾器 (filterbased)和基于代理 (proxybased)的兩大類(lèi)設(shè)備之一。 換句話(huà)說(shuō)，防火墻置于內(nèi)部可信網(wǎng)絡(luò)和外部不可信網(wǎng)絡(luò)之間，作為一個(gè)阻塞點(diǎn)來(lái)監(jiān)視和拋棄應(yīng)用層的流量以及傳輸層和網(wǎng)絡(luò)層的數(shù)據(jù)包。 (2) 只有有內(nèi)部訪問(wèn)策略授權(quán)的通信才被允許通過(guò)。一個(gè)代理服務(wù)器本質(zhì)上是一個(gè)應(yīng)用層的網(wǎng)關(guān)，一個(gè)為特定網(wǎng)絡(luò)應(yīng)用而連接 2個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)。代 理服務(wù)器是防火墻系分組過(guò)濾 分組過(guò)濾 路由器 R 應(yīng)用網(wǎng)關(guān) 路由器 R G 內(nèi)聯(lián)網(wǎng) 因特網(wǎng) 李蕭蕭的個(gè)人主頁(yè) 需要文檔請(qǐng)給我留言。一個(gè)防火墻系統(tǒng)通常由屏蔽路由器和代理服務(wù)器組成。圖 1 是防火墻在互連的網(wǎng)絡(luò)中的位置。這種中介系統(tǒng)也叫做 “ 防火墻 ” 或 “ 防火墻系統(tǒng) ” 。為安全起見(jiàn)，可以在該網(wǎng)絡(luò)和 Inter 之間插入一個(gè)中介系統(tǒng)，豎起一道安全屏障?，F(xiàn)在，如果一個(gè)網(wǎng)絡(luò)接到了 Inter 上， 它 的用戶(hù)就可以訪問(wèn)外部世界并與之通信。 1． 2 項(xiàng)