【正文】 絡(luò)防火墻，如果希望只擴(kuò)展深度檢測 (deep inspection)功能，而沒有相應(yīng)增加網(wǎng)絡(luò)性能，這是不行的。如果一個(gè)程序或者是一個(gè)簡單的 Web 網(wǎng)頁，確實(shí)需要涉及到很長的 URL 時(shí)，就要屏蔽該規(guī)則。 細(xì)看就會發(fā)現(xiàn)，這些供應(yīng)商采用對 80端口數(shù)據(jù)流中，針對 URL 長度進(jìn)行控制的方法，來實(shí)現(xiàn)這個(gè)功能的。在多數(shù)情況下，彈性概念 15 (proofofconcept)的特征無法應(yīng)用于現(xiàn)實(shí)生活中的數(shù)據(jù)中心上。 雖然一些先進(jìn)的網(wǎng)絡(luò)防火墻供應(yīng)商，提 出了應(yīng)用防護(hù)的特性，但只適用于簡單的環(huán)境中。 QA們經(jīng)常會發(fā)現(xiàn)代碼中的 bug，已部署的系統(tǒng)需要定期打補(bǔ)丁。由于對于整體的應(yīng)用數(shù)據(jù)流，缺乏完整的、基于會話 (Session)級別的監(jiān)控能力，因此很難預(yù)防新的未知的攻擊 應(yīng)用防護(hù)特性，只適用于簡單情況 目前的數(shù)據(jù)中心服務(wù)器，時(shí)常會發(fā)生變動，比如： 定期需要部署新的應(yīng)用程序 。 對于常規(guī)的企業(yè)局域網(wǎng)的防范，通用的網(wǎng)絡(luò)防火墻仍占有很高的市場份額，繼續(xù)發(fā)揮重要作用，但對于新近出現(xiàn)的上層協(xié)議，如 XML 和 SOAP 等應(yīng)用的防范，網(wǎng)絡(luò)防火墻就顯得有些力不從心。主流的平臺供應(yīng)商和大的應(yīng)用程序供應(yīng)商，均已轉(zhuǎn)移到基于 Web 的體系結(jié)構(gòu)，安全防護(hù)的目標(biāo)，不再只是重要的業(yè)務(wù)數(shù)據(jù)。在這一方面，網(wǎng)絡(luò)防火墻表現(xiàn)確實(shí)十分出色。 對于 Web 應(yīng)用程序，防范能力不足 網(wǎng)絡(luò)防火墻于 1990年發(fā)明，而商用的 Web 服務(wù)器，則在一年以后才面世。 但如今，采用常見的編碼技術(shù)，就能夠地將惡意代碼和其他攻擊命令隱藏起來，轉(zhuǎn)換成某種形式，既能欺騙前端的網(wǎng)絡(luò)安全系統(tǒng)，又能夠在后臺服務(wù)器中執(zhí)行。在如今大多數(shù)網(wǎng)絡(luò)防火墻中，依賴的是靜態(tài)的特征庫，與入侵監(jiān)測系統(tǒng) (IDS， Intrusion Detect System)的原理類似。 普通應(yīng)用程序加密后，也能輕易躲過防火墻的檢測 網(wǎng)絡(luò)防火墻無法看到的，不僅僅是 SSL 加密 的數(shù)據(jù)。這個(gè)需求，對于傳統(tǒng)的網(wǎng)絡(luò)防火墻而言，是個(gè)大問題。 對內(nèi)部攻擊者幾乎無能為力防火墻一般不提供對來自于內(nèi)部威脅的保護(hù)， 即防火墻對內(nèi)部是信任的。 防火墻最明顯的不利之處是它所阻塞的某種服務(wù)也許正是用戶所需要的。但是它的“學(xué)習(xí)”能力也給入侵者以機(jī)會通過逐步“訓(xùn)練”使入侵事件符合正常操作的統(tǒng)計(jì)規(guī)律，從而透過入侵檢測系統(tǒng) [8~11]。常用的入侵檢測統(tǒng)計(jì)模型為：操作模型、方差、計(jì)算 參數(shù)的方差、多元模型、馬爾柯夫過程模型和時(shí)間序列分析。最重要的是，這是一種“事后”的檢測，當(dāng)檢測到入侵行為時(shí)，破壞早已經(jīng)發(fā)生了。異常檢測的缺點(diǎn)是：若入侵者了解到檢測規(guī)律，就可以小心的避免系統(tǒng)指標(biāo)的突變，而使用逐漸改變系統(tǒng)指標(biāo)的方法逃避檢測。大多數(shù)的正常行為的模型使用一種矩陣的數(shù)學(xué)模型，矩陣的數(shù)量來自于系統(tǒng)的各種指標(biāo)。異常檢測的優(yōu)點(diǎn)之一為具有抽象系統(tǒng)正常行為從而檢測系統(tǒng)異常行為的能力。 異常檢測（ Anomaly detection） 異常檢測假設(shè)入侵者活動異常于正常的活動。 軟計(jì)算方法：軟計(jì)算方法包含了神經(jīng)網(wǎng)絡(luò)、遺傳算法與模糊技術(shù)。 簡單模式匹配（ Pattern Matching）：基于模式匹配的入侵檢測方法將已知的入侵特征編碼成為與審計(jì)記錄相符合的模式。這種檢測方法的另外一個(gè)特點(diǎn)是可以檢測組合攻擊（ coordinate attack）和多層攻擊（ multistage attack）?；谀Ｐ偷娜肭謾z測方法可以僅監(jiān)測一些主要的審計(jì)事件。這種行為序列構(gòu)成了具有一定行為特征的模型，根據(jù)這種模型所代表的攻擊意圖的行為特征，可以實(shí)時(shí)地檢測出惡意的攻擊企圖。此外，匹配算法的快慢，也對專家系統(tǒng)的工作效率有很大的影響。規(guī)則，即知識，是專家系統(tǒng)賴以判定入侵存在與否的依據(jù)。 根據(jù)檢測所用分析方法的不同，可分為誤用檢測和異常檢測 誤用檢測（ Misuse Detection） 設(shè)定一些入侵活動的特征（ Signature），通過現(xiàn)在的活動是否與這些特征匹配來檢測。因此，即便是小規(guī)模的網(wǎng)絡(luò)結(jié)構(gòu)也常常需要基于主機(jī)和基于網(wǎng)絡(luò)的兩種入侵檢測能力。在防火墻之外的檢測器檢測來自外部 Inter 的攻擊。因?yàn)檫@兩種系統(tǒng)在很大程度上是互補(bǔ)的。不同入侵檢測系統(tǒng)在實(shí)現(xiàn)時(shí)采用的響應(yīng)方式也可能不同，但通常都 包括通知管理 員、切斷連接、記錄相關(guān)的信息以提供必要的法律依據(jù)等 [5]。它的 分析 模塊通常使用模式匹配、統(tǒng)計(jì) 分析 等技術(shù)來識別攻擊行為。 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（ Networkbased Intrusion Detection System， NIDS） 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)以網(wǎng)絡(luò)包作為 分析 數(shù)據(jù)源。許多產(chǎn)品都是監(jiān)聽端口的活動，并在特定端口被訪問時(shí)向 管理 員報(bào)警。檢測對關(guān)鍵系統(tǒng)文件和可執(zhí)行文件入侵的一個(gè)常用方法是通過定期檢查文件的校驗(yàn)和來進(jìn)行的，以便發(fā)現(xiàn)異常的變化。如果匹配，就會向系統(tǒng) 管理 員報(bào)警或者作出適當(dāng)?shù)捻憫?yīng)。 根據(jù)信息源的不同，分為基于主機(jī)型和基于網(wǎng)絡(luò)型兩大類 基于主機(jī)的入侵檢測 系統(tǒng)（ Hostbased Intrusion Detection System， HIDS） 基于主機(jī)的 IDS 可監(jiān)測系統(tǒng)、事件和 Windows NT 下的 安全 記錄以及 Unix環(huán)境下的系統(tǒng)記錄。這是由于內(nèi)部人員具有訪問系統(tǒng)資源的合法身份、了解系統(tǒng)數(shù)據(jù)的價(jià)值和熟悉系統(tǒng)的安全措施，從而可以使用某些系統(tǒng)特權(quán)或調(diào)用比審計(jì) 12 功能更低級的操作來逃避審計(jì)。 （ 1） 審計(jì)系統(tǒng)的配置和存在的脆弱性 （ 2） 評估關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性和一致性 （ 3） 分析用戶和系統(tǒng)的活動情況 （ 4） 檢測并響應(yīng)正在進(jìn)行的或已經(jīng)實(shí)現(xiàn)的違反系統(tǒng)安全策略的入侵活動 （ 5） 收集入侵證據(jù) 在設(shè)計(jì)網(wǎng)絡(luò)入侵檢測系統(tǒng)時(shí)，要特別對 來自組織機(jī)構(gòu)內(nèi)部的入侵行為予以更多的重視。 2 入侵檢測系統(tǒng)功能： 入侵檢測系統(tǒng)（ Intrusion Detection System， IDS）是一種計(jì)算機(jī)軟件系統(tǒng)，用于自動檢測上述入侵行為，并收集入侵證據(jù)，為數(shù)據(jù)恢復(fù)和事故處理提供依據(jù)。然而，目前尚無可靠地理論能夠說明神經(jīng)網(wǎng)絡(luò)是如何學(xué)習(xí)范例中的內(nèi)在關(guān)系的。 另一種主要的非規(guī)則檢測技術(shù)是神經(jīng)網(wǎng)絡(luò)技術(shù)。進(jìn)一步的算法將單個(gè)用戶的參數(shù)變量數(shù)值與積累起來的群體參數(shù)變量進(jìn)行比較，但是檢測能力的提高還是不大。系統(tǒng)或者用戶的當(dāng)前行為通過按一定時(shí)間間隔采樣并計(jì)算出的一系列參數(shù)變量來描述，如每個(gè)會話進(jìn)程的登錄和退出時(shí)間，占用資源的時(shí)間長短。還有一種可能性是，在學(xué)習(xí)階段，信息正遭受著非法的入侵攻擊，帶來的后果是，入侵檢測系統(tǒng)的學(xué)習(xí)結(jié)果中包含了相關(guān)入侵行為的信息，這樣系統(tǒng)就無法檢測到該種入侵行為。另外，系統(tǒng)的活動行為是不斷變化的，就需要不斷的在線學(xué)習(xí)。 另外，對于合法用戶超越其權(quán)限的違法行為的檢測能力大大加強(qiáng)。因此，非規(guī)則入侵檢測系統(tǒng)的檢測完整性很高，但要保證它具有很高的正確性很困難。描述正確或是合法的模型是從對過去通過各種渠道收集到的大量歷史活動資料的分析中得出來的。與專家系統(tǒng)技術(shù)比較，相同之處是同樣要收集關(guān)于網(wǎng)絡(luò)入侵行為的各種知識，不同點(diǎn)是特征分析技術(shù)更直接的運(yùn)用收集到的各種知識，例如入侵行為可以被轉(zhuǎn)化成它們在實(shí)施過程中所產(chǎn)生的一個(gè)事件序列或某種系統(tǒng)審計(jì)文件以及網(wǎng)絡(luò)數(shù)據(jù)包中的數(shù)據(jù)樣板模型。 采用專家系統(tǒng)技術(shù)的典型例子有 SRI 公司開發(fā)的入侵檢測專家系統(tǒng)（ IDES， Intrusion Detection Expert System）。通常，專家系統(tǒng)中包含一系列描述攻擊行為的規(guī)則，當(dāng)審計(jì)數(shù)據(jù)事件被轉(zhuǎn)換成為能夠被專家系統(tǒng)理解的包含特定警告程度信息的事實(shí)后，專家系統(tǒng)應(yīng)用一個(gè)推理機(jī)在事實(shí)和規(guī)則的基礎(chǔ)上推出最后結(jié)論。 在濫用入侵檢測系統(tǒng)中，研究者們提出基于各種技術(shù)類型的檢測器， 如專家系統(tǒng)技術(shù)、特征分析技術(shù)、 Petri網(wǎng)技術(shù)、狀態(tài)轉(zhuǎn)移分析技術(shù)等等。另一個(gè)存在的問題事可移植性，因?yàn)殛P(guān)于網(wǎng)絡(luò)攻擊的絕大多數(shù)是與主機(jī)的操作系統(tǒng)、軟件平臺和應(yīng)用類型密切相關(guān)的，因此帶來的后果是這樣的入侵檢測系統(tǒng)只能在某個(gè)特定的環(huán)境下生效。 可以看出，濫用入侵檢測技術(shù)的優(yōu)點(diǎn)在于具有非常低的虛警率，同時(shí)檢測的匹配條件可以進(jìn)行清楚的描述，從而有利于安全管 理人員采取清晰明確的預(yù)防保護(hù)措施。當(dāng)發(fā)現(xiàn)符合條件的活動線素后，它就會觸發(fā)一個(gè)警告，這就是說，任何不符合特定匹配條件的活動都將會被認(rèn)為是合法和可以接受的，哪怕其中包含隱藏的入侵行為。濫用檢測（ Misuse Detection）是根據(jù)已知的入侵模式特征，通過對被監(jiān)視目標(biāo)特定行為的模式匹配 10 來進(jìn)行的關(guān)于已知入侵的檢測；而異常檢測（ Anomaly Detection）則是事先以最近的歷史數(shù)據(jù)建立被監(jiān)視目標(biāo)（用戶，系統(tǒng)和網(wǎng)絡(luò)資源等）在正常情況下的行為和狀態(tài)的統(tǒng)計(jì)描述，通過檢測這些統(tǒng)計(jì)描述的當(dāng)前值是否顯著偏離了其相應(yīng)的正常情況下的統(tǒng)計(jì)描述來進(jìn)行入侵的檢測。 入侵檢測系統(tǒng) 1 常用的入侵檢測技術(shù) 入侵檢測過程事一個(gè)檢測系統(tǒng)與入侵攻擊者之間對抗的決策分析過程，其技術(shù)基礎(chǔ)事基于知識和冗余推理方法的信息融合技術(shù)，而大部分工作是通過模式匹配、數(shù)據(jù)挖掘、特征選取以及機(jī)器學(xué)習(xí)等方法對數(shù) 據(jù)進(jìn)行分類處理。 （ 2）應(yīng)用級網(wǎng)關(guān) 應(yīng)用級網(wǎng)關(guān)能夠在應(yīng)用層上理解協(xié)議，通過網(wǎng)關(guān)復(fù)制傳遞數(shù)據(jù)，實(shí)現(xiàn)復(fù)雜的控制訪問，一般通過代理服務(wù)器完成操作控制。 2 防火墻的分類 按照功能防火墻分為以下 3 類 （ 1） 包過濾型 防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些 “包 ” 是否來自可信任的安全站點(diǎn)，一旦發(fā)現(xiàn)來自危險(xiǎn)站點(diǎn)的數(shù)據(jù)包，防火墻便會將這些數(shù)據(jù)拒之門外。如果不加限制，就容易獲得一些色情、暴力等不健康的內(nèi)容，同時(shí)根據(jù)需要 ，有時(shí)我們要控制訪問某些站點(diǎn)，通過防火墻就可以實(shí)現(xiàn)這些目的。除了過濾不安全服務(wù)，防火墻還可以阻止非法用戶對內(nèi)部網(wǎng)絡(luò)的訪問，只允許授權(quán)的用戶訪問，針對不同的服務(wù)面向不同的用戶開放，這樣可以靈活地設(shè)置用戶的訪問權(quán)限，提高網(wǎng)絡(luò)的安全性。因此 ，作為防火墻，應(yīng)當(dāng)能夠過濾掉所有的不安全數(shù)據(jù)，阻止它們進(jìn)入內(nèi)部網(wǎng)絡(luò)，對于允許的安全數(shù)據(jù)，則可以自出入。在制定安全策略的時(shí)候可以針對內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)確定不同 9 德過灘規(guī)則，但本質(zhì)上，內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)是平等的，都要進(jìn)行防御。其主要手段是分析主機(jī)操作系統(tǒng)網(wǎng)絡(luò)協(xié)議架構(gòu)，在適當(dāng)?shù)奈恢貌迦霐r截點(diǎn)，所有的網(wǎng)絡(luò)數(shù)據(jù)包通訊都要經(jīng)過這些攔截點(diǎn)，再按照根據(jù)從策略服務(wù)器傳來的安全策略制定的過濾規(guī)則（訪問控制規(guī)則）對經(jīng)過攔截點(diǎn)的網(wǎng)絡(luò)信 息流進(jìn)行監(jiān)控和審查，過濾掉任何不符合安全規(guī)則的信息，以保護(hù)主機(jī)不受外界的非法訪問和攻擊。除本章緒論外，其它各 章的內(nèi)容安排如下： 防火墻與入侵檢測技術(shù)介紹 防火墻技術(shù) 防火墻是通過提供訪問控制服務(wù)來實(shí)現(xiàn)對網(wǎng)絡(luò)和受保護(hù)主機(jī)的網(wǎng)絡(luò)安全防護(hù)的，防火墻技術(shù)應(yīng)該結(jié)合入侵檢測系統(tǒng)和防木馬等技術(shù)，提供給用戶個(gè)高的網(wǎng)絡(luò)安全性。最后，針對局域網(wǎng)實(shí)際安全需求，實(shí)現(xiàn)了分布式入侵檢測系統(tǒng)對網(wǎng)絡(luò)安全的保護(hù)，取得了不錯(cuò)的應(yīng)用效果。首先，本文總結(jié)了現(xiàn)有入侵檢測系統(tǒng)的體系結(jié)構(gòu)、報(bào)警融合、報(bào)警響應(yīng)，指出了現(xiàn)有入侵檢測系統(tǒng)錯(cuò)在的問題， 介紹了入侵檢測系統(tǒng)將來可能的發(fā)展方向。 采用分布式入侵檢測體系結(jié)構(gòu) —— 基于分層部件的入侵檢測系統(tǒng)是目前解決這些問題的常用方法。另外一個(gè)缺點(diǎn)是很多入侵檢測系統(tǒng)仍然采用人工響應(yīng)的形式。 論文研究的內(nèi)容 和意義 目前，一般 IDS 所共有的一個(gè)缺點(diǎn)是生成的報(bào)警和日志的數(shù)量過于龐大。主機(jī)防火墻是一種網(wǎng)絡(luò)安全軟件，運(yùn)行在受保護(hù)的主機(jī)上。 防火 墻是用一個(gè)或一組網(wǎng)絡(luò)設(shè)備（計(jì)算機(jī)系統(tǒng)或路由器等），在兩個(gè)或多個(gè)網(wǎng)絡(luò)間加強(qiáng)訪問控制，以保護(hù)一個(gè)網(wǎng)絡(luò)不受來自另一個(gè)網(wǎng)絡(luò)攻擊的安全技術(shù)。它通過對計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集 8 信息并對其進(jìn)行分析，從而發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的痕跡。 1． 4 目前網(wǎng)絡(luò)安全現(xiàn)狀 目前最流行的網(wǎng)絡(luò)安全解決方案是入侵檢測系統(tǒng)和防火墻技術(shù)。 當(dāng)今社會，對于信息系統(tǒng)的攻擊日趨頻繁。事后分析模塊分析將來如何抵制類似的入侵行為。檢測模塊用于發(fā)現(xiàn)各種違反系統(tǒng)安全規(guī)則的入侵行為。 7 針對原有安全模型的缺陷，有些學(xué)者提出計(jì)算機(jī)信息系統(tǒng) 安全的管理模型應(yīng)包括 4 部分，如圖 11 所示。對于訪問控制，入侵者也可以利用脆弱性程序或系統(tǒng)漏洞繞過訪問控制，或者提升用戶權(quán)限，或者非法讀寫文件等。無論是安全模型，還是系統(tǒng)安全等級評估標(biāo)準(zhǔn)，人們主要是從身份認(rèn)證和訪問控制這兩個(gè)方面來保證系統(tǒng)的安全性。常用的工具有 TFN、 Trinoo、 Stacheldraht 等。 (7)DDOS 攻擊：分布式拒絕服務(wù)攻擊，首先通過以上所列舉得某種技術(shù)獲得多臺計(jì)算機(jī)的控制權(quán)，并在某一臺運(yùn)行特定程序使其成為主控端，在其他機(jī)器中運(yùn)行特定程序成為代理端，主控端控制多個(gè)代理端。大體上是利用合理的服務(wù)請求來占用過多的服務(wù)資源，致使資源耗盡或是資源過載，造成服務(wù)器癱瘓，其它 用戶無法想用該服務(wù)資源。如 DNSoverflow、 standoverflow 等。常用的工具有 Glacier、SubSeven、 Acidshiver 等。 (4)木馬攻擊：這一攻擊常常是基 于網(wǎng)絡(luò)中的客戶機(jī) /服務(wù)器原理。前者是利用 URL 地址重寫將用戶瀏覽的網(wǎng)頁鏈接指向攻擊者的服務(wù)器，使得瀏覽者在查看信息的時(shí)候，不經(jīng)意進(jìn)入到攻擊者的全套里；后者一般利用文檔信息、表單信息掩蓋結(jié)合前一種方式同時(shí)進(jìn)行。 (