【正文】 絡(luò)防火墻，如果希望只擴(kuò)展深度檢測(cè) (deep inspection)功能，而沒(méi)有相應(yīng)增加網(wǎng)絡(luò)性能，這是不行的。如果一個(gè)程序或者是一個(gè)簡(jiǎn)單的 Web 網(wǎng)頁(yè)，確實(shí)需要涉及到很長(zhǎng)的 URL 時(shí)，就要屏蔽該規(guī)則。 細(xì)看就會(huì)發(fā)現(xiàn)，這些供應(yīng)商采用對(duì) 80端口數(shù)據(jù)流中，針對(duì) URL 長(zhǎng)度進(jìn)行控制的方法，來(lái)實(shí)現(xiàn)這個(gè)功能的。在多數(shù)情況下，彈性概念 15 (proofofconcept)的特征無(wú)法應(yīng)用于現(xiàn)實(shí)生活中的數(shù)據(jù)中心上。 雖然一些先進(jìn)的網(wǎng)絡(luò)防火墻供應(yīng)商，提 出了應(yīng)用防護(hù)的特性，但只適用于簡(jiǎn)單的環(huán)境中。 QA們經(jīng)常會(huì)發(fā)現(xiàn)代碼中的 bug，已部署的系統(tǒng)需要定期打補(bǔ)丁。由于對(duì)于整體的應(yīng)用數(shù)據(jù)流，缺乏完整的、基于會(huì)話 (Session)級(jí)別的監(jiān)控能力，因此很難預(yù)防新的未知的攻擊 應(yīng)用防護(hù)特性，只適用于簡(jiǎn)單情況 目前的數(shù)據(jù)中心服務(wù)器，時(shí)常會(huì)發(fā)生變動(dòng)，比如： 定期需要部署新的應(yīng)用程序 。 對(duì)于常規(guī)的企業(yè)局域網(wǎng)的防范，通用的網(wǎng)絡(luò)防火墻仍占有很高的市場(chǎng)份額，繼續(xù)發(fā)揮重要作用，但對(duì)于新近出現(xiàn)的上層協(xié)議，如 XML 和 SOAP 等應(yīng)用的防范，網(wǎng)絡(luò)防火墻就顯得有些力不從心。主流的平臺(tái)供應(yīng)商和大的應(yīng)用程序供應(yīng)商，均已轉(zhuǎn)移到基于 Web 的體系結(jié)構(gòu)，安全防護(hù)的目標(biāo)，不再只是重要的業(yè)務(wù)數(shù)據(jù)。在這一方面，網(wǎng)絡(luò)防火墻表現(xiàn)確實(shí)十分出色。 對(duì)于 Web 應(yīng)用程序，防范能力不足 網(wǎng)絡(luò)防火墻于 1990年發(fā)明，而商用的 Web 服務(wù)器，則在一年以后才面世。 但如今，采用常見(jiàn)的編碼技術(shù)，就能夠地將惡意代碼和其他攻擊命令隱藏起來(lái)，轉(zhuǎn)換成某種形式，既能欺騙前端的網(wǎng)絡(luò)安全系統(tǒng)，又能夠在后臺(tái)服務(wù)器中執(zhí)行。在如今大多數(shù)網(wǎng)絡(luò)防火墻中，依賴(lài)的是靜態(tài)的特征庫(kù)，與入侵監(jiān)測(cè)系統(tǒng) (IDS， Intrusion Detect System)的原理類(lèi)似。 普通應(yīng)用程序加密后，也能輕易躲過(guò)防火墻的檢測(cè) 網(wǎng)絡(luò)防火墻無(wú)法看到的，不僅僅是 SSL 加密 的數(shù)據(jù)。這個(gè)需求，對(duì)于傳統(tǒng)的網(wǎng)絡(luò)防火墻而言，是個(gè)大問(wèn)題。 對(duì)內(nèi)部攻擊者幾乎無(wú)能為力防火墻一般不提供對(duì)來(lái)自于內(nèi)部威脅的保護(hù)， 即防火墻對(duì)內(nèi)部是信任的。 防火墻最明顯的不利之處是它所阻塞的某種服務(wù)也許正是用戶所需要的。但是它的“學(xué)習(xí)”能力也給入侵者以機(jī)會(huì)通過(guò)逐步“訓(xùn)練”使入侵事件符合正常操作的統(tǒng)計(jì)規(guī)律，從而透過(guò)入侵檢測(cè)系統(tǒng) [8~11]。常用的入侵檢測(cè)統(tǒng)計(jì)模型為：操作模型、方差、計(jì)算 參數(shù)的方差、多元模型、馬爾柯夫過(guò)程模型和時(shí)間序列分析。最重要的是，這是一種“事后”的檢測(cè)，當(dāng)檢測(cè)到入侵行為時(shí)，破壞早已經(jīng)發(fā)生了。異常檢測(cè)的缺點(diǎn)是：若入侵者了解到檢測(cè)規(guī)律，就可以小心的避免系統(tǒng)指標(biāo)的突變，而使用逐漸改變系統(tǒng)指標(biāo)的方法逃避檢測(cè)。大多數(shù)的正常行為的模型使用一種矩陣的數(shù)學(xué)模型，矩陣的數(shù)量來(lái)自于系統(tǒng)的各種指標(biāo)。異常檢測(cè)的優(yōu)點(diǎn)之一為具有抽象系統(tǒng)正常行為從而檢測(cè)系統(tǒng)異常行為的能力。 異常檢測(cè)（ Anomaly detection） 異常檢測(cè)假設(shè)入侵者活動(dòng)異常于正常的活動(dòng)。 軟計(jì)算方法：軟計(jì)算方法包含了神經(jīng)網(wǎng)絡(luò)、遺傳算法與模糊技術(shù)。 簡(jiǎn)單模式匹配（ Pattern Matching）：基于模式匹配的入侵檢測(cè)方法將已知的入侵特征編碼成為與審計(jì)記錄相符合的模式。這種檢測(cè)方法的另外一個(gè)特點(diǎn)是可以檢測(cè)組合攻擊（ coordinate attack）和多層攻擊（ multistage attack）?；谀Ｐ偷娜肭謾z測(cè)方法可以僅監(jiān)測(cè)一些主要的審計(jì)事件。這種行為序列構(gòu)成了具有一定行為特征的模型，根據(jù)這種模型所代表的攻擊意圖的行為特征，可以實(shí)時(shí)地檢測(cè)出惡意的攻擊企圖。此外，匹配算法的快慢，也對(duì)專(zhuān)家系統(tǒng)的工作效率有很大的影響。規(guī)則，即知識(shí)，是專(zhuān)家系統(tǒng)賴(lài)以判定入侵存在與否的依據(jù)。 根據(jù)檢測(cè)所用分析方法的不同，可分為誤用檢測(cè)和異常檢測(cè) 誤用檢測(cè)（ Misuse Detection） 設(shè)定一些入侵活動(dòng)的特征（ Signature），通過(guò)現(xiàn)在的活動(dòng)是否與這些特征匹配來(lái)檢測(cè)。因此，即便是小規(guī)模的網(wǎng)絡(luò)結(jié)構(gòu)也常常需要基于主機(jī)和基于網(wǎng)絡(luò)的兩種入侵檢測(cè)能力。在防火墻之外的檢測(cè)器檢測(cè)來(lái)自外部 Inter 的攻擊。因?yàn)檫@兩種系統(tǒng)在很大程度上是互補(bǔ)的。不同入侵檢測(cè)系統(tǒng)在實(shí)現(xiàn)時(shí)采用的響應(yīng)方式也可能不同，但通常都 包括通知管理 員、切斷連接、記錄相關(guān)的信息以提供必要的法律依據(jù)等 [5]。它的 分析 模塊通常使用模式匹配、統(tǒng)計(jì) 分析 等技術(shù)來(lái)識(shí)別攻擊行為。 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（ Networkbased Intrusion Detection System， NIDS） 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)以網(wǎng)絡(luò)包作為 分析 數(shù)據(jù)源。許多產(chǎn)品都是監(jiān)聽(tīng)端口的活動(dòng)，并在特定端口被訪問(wèn)時(shí)向 管理 員報(bào)警。檢測(cè)對(duì)關(guān)鍵系統(tǒng)文件和可執(zhí)行文件入侵的一個(gè)常用方法是通過(guò)定期檢查文件的校驗(yàn)和來(lái)進(jìn)行的，以便發(fā)現(xiàn)異常的變化。如果匹配，就會(huì)向系統(tǒng) 管理 員報(bào)警或者作出適當(dāng)?shù)捻憫?yīng)。 根據(jù)信息源的不同，分為基于主機(jī)型和基于網(wǎng)絡(luò)型兩大類(lèi) 基于主機(jī)的入侵檢測(cè) 系統(tǒng)（ Hostbased Intrusion Detection System， HIDS） 基于主機(jī)的 IDS 可監(jiān)測(cè)系統(tǒng)、事件和 Windows NT 下的 安全 記錄以及 Unix環(huán)境下的系統(tǒng)記錄。這是由于內(nèi)部人員具有訪問(wèn)系統(tǒng)資源的合法身份、了解系統(tǒng)數(shù)據(jù)的價(jià)值和熟悉系統(tǒng)的安全措施，從而可以使用某些系統(tǒng)特權(quán)或調(diào)用比審計(jì) 12 功能更低級(jí)的操作來(lái)逃避審計(jì)。 （ 1） 審計(jì)系統(tǒng)的配置和存在的脆弱性 （ 2） 評(píng)估關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性和一致性 （ 3） 分析用戶和系統(tǒng)的活動(dòng)情況 （ 4） 檢測(cè)并響應(yīng)正在進(jìn)行的或已經(jīng)實(shí)現(xiàn)的違反系統(tǒng)安全策略的入侵活動(dòng) （ 5） 收集入侵證據(jù) 在設(shè)計(jì)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)時(shí)，要特別對(duì) 來(lái)自組織機(jī)構(gòu)內(nèi)部的入侵行為予以更多的重視。 2 入侵檢測(cè)系統(tǒng)功能： 入侵檢測(cè)系統(tǒng)（ Intrusion Detection System， IDS）是一種計(jì)算機(jī)軟件系統(tǒng)，用于自動(dòng)檢測(cè)上述入侵行為，并收集入侵證據(jù)，為數(shù)據(jù)恢復(fù)和事故處理提供依據(jù)。然而，目前尚無(wú)可靠地理論能夠說(shuō)明神經(jīng)網(wǎng)絡(luò)是如何學(xué)習(xí)范例中的內(nèi)在關(guān)系的。 另一種主要的非規(guī)則檢測(cè)技術(shù)是神經(jīng)網(wǎng)絡(luò)技術(shù)。進(jìn)一步的算法將單個(gè)用戶的參數(shù)變量數(shù)值與積累起來(lái)的群體參數(shù)變量進(jìn)行比較，但是檢測(cè)能力的提高還是不大。系統(tǒng)或者用戶的當(dāng)前行為通過(guò)按一定時(shí)間間隔采樣并計(jì)算出的一系列參數(shù)變量來(lái)描述，如每個(gè)會(huì)話進(jìn)程的登錄和退出時(shí)間，占用資源的時(shí)間長(zhǎng)短。還有一種可能性是，在學(xué)習(xí)階段，信息正遭受著非法的入侵攻擊，帶來(lái)的后果是，入侵檢測(cè)系統(tǒng)的學(xué)習(xí)結(jié)果中包含了相關(guān)入侵行為的信息，這樣系統(tǒng)就無(wú)法檢測(cè)到該種入侵行為。另外，系統(tǒng)的活動(dòng)行為是不斷變化的，就需要不斷的在線學(xué)習(xí)。 另外，對(duì)于合法用戶超越其權(quán)限的違法行為的檢測(cè)能力大大加強(qiáng)。因此，非規(guī)則入侵檢測(cè)系統(tǒng)的檢測(cè)完整性很高，但要保證它具有很高的正確性很困難。描述正確或是合法的模型是從對(duì)過(guò)去通過(guò)各種渠道收集到的大量歷史活動(dòng)資料的分析中得出來(lái)的。與專(zhuān)家系統(tǒng)技術(shù)比較，相同之處是同樣要收集關(guān)于網(wǎng)絡(luò)入侵行為的各種知識(shí)，不同點(diǎn)是特征分析技術(shù)更直接的運(yùn)用收集到的各種知識(shí)，例如入侵行為可以被轉(zhuǎn)化成它們?cè)趯?shí)施過(guò)程中所產(chǎn)生的一個(gè)事件序列或某種系統(tǒng)審計(jì)文件以及網(wǎng)絡(luò)數(shù)據(jù)包中的數(shù)據(jù)樣板模型。 采用專(zhuān)家系統(tǒng)技術(shù)的典型例子有 SRI 公司開(kāi)發(fā)的入侵檢測(cè)專(zhuān)家系統(tǒng)（ IDES， Intrusion Detection Expert System）。通常，專(zhuān)家系統(tǒng)中包含一系列描述攻擊行為的規(guī)則，當(dāng)審計(jì)數(shù)據(jù)事件被轉(zhuǎn)換成為能夠被專(zhuān)家系統(tǒng)理解的包含特定警告程度信息的事實(shí)后，專(zhuān)家系統(tǒng)應(yīng)用一個(gè)推理機(jī)在事實(shí)和規(guī)則的基礎(chǔ)上推出最后結(jié)論。 在濫用入侵檢測(cè)系統(tǒng)中，研究者們提出基于各種技術(shù)類(lèi)型的檢測(cè)器， 如專(zhuān)家系統(tǒng)技術(shù)、特征分析技術(shù)、 Petri網(wǎng)技術(shù)、狀態(tài)轉(zhuǎn)移分析技術(shù)等等。另一個(gè)存在的問(wèn)題事可移植性，因?yàn)殛P(guān)于網(wǎng)絡(luò)攻擊的絕大多數(shù)是與主機(jī)的操作系統(tǒng)、軟件平臺(tái)和應(yīng)用類(lèi)型密切相關(guān)的，因此帶來(lái)的后果是這樣的入侵檢測(cè)系統(tǒng)只能在某個(gè)特定的環(huán)境下生效。 可以看出，濫用入侵檢測(cè)技術(shù)的優(yōu)點(diǎn)在于具有非常低的虛警率，同時(shí)檢測(cè)的匹配條件可以進(jìn)行清楚的描述，從而有利于安全管 理人員采取清晰明確的預(yù)防保護(hù)措施。當(dāng)發(fā)現(xiàn)符合條件的活動(dòng)線素后，它就會(huì)觸發(fā)一個(gè)警告，這就是說(shuō)，任何不符合特定匹配條件的活動(dòng)都將會(huì)被認(rèn)為是合法和可以接受的，哪怕其中包含隱藏的入侵行為。濫用檢測(cè)（ Misuse Detection）是根據(jù)已知的入侵模式特征，通過(guò)對(duì)被監(jiān)視目標(biāo)特定行為的模式匹配 10 來(lái)進(jìn)行的關(guān)于已知入侵的檢測(cè)；而異常檢測(cè)（ Anomaly Detection）則是事先以最近的歷史數(shù)據(jù)建立被監(jiān)視目標(biāo)（用戶，系統(tǒng)和網(wǎng)絡(luò)資源等）在正常情況下的行為和狀態(tài)的統(tǒng)計(jì)描述，通過(guò)檢測(cè)這些統(tǒng)計(jì)描述的當(dāng)前值是否顯著偏離了其相應(yīng)的正常情況下的統(tǒng)計(jì)描述來(lái)進(jìn)行入侵的檢測(cè)。 入侵檢測(cè)系統(tǒng) 1 常用的入侵檢測(cè)技術(shù) 入侵檢測(cè)過(guò)程事一個(gè)檢測(cè)系統(tǒng)與入侵攻擊者之間對(duì)抗的決策分析過(guò)程，其技術(shù)基礎(chǔ)事基于知識(shí)和冗余推理方法的信息融合技術(shù)，而大部分工作是通過(guò)模式匹配、數(shù)據(jù)挖掘、特征選取以及機(jī)器學(xué)習(xí)等方法對(duì)數(shù) 據(jù)進(jìn)行分類(lèi)處理。 （ 2）應(yīng)用級(jí)網(wǎng)關(guān) 應(yīng)用級(jí)網(wǎng)關(guān)能夠在應(yīng)用層上理解協(xié)議，通過(guò)網(wǎng)關(guān)復(fù)制傳遞數(shù)據(jù)，實(shí)現(xiàn)復(fù)雜的控制訪問(wèn)，一般通過(guò)代理服務(wù)器完成操作控制。 2 防火墻的分類(lèi) 按照功能防火墻分為以下 3 類(lèi) （ 1） 包過(guò)濾型 防火墻通過(guò)讀取數(shù)據(jù)包中的地址信息來(lái)判斷這些 “包 ” 是否來(lái)自可信任的安全站點(diǎn)，一旦發(fā)現(xiàn)來(lái)自危險(xiǎn)站點(diǎn)的數(shù)據(jù)包，防火墻便會(huì)將這些數(shù)據(jù)拒之門(mén)外。如果不加限制，就容易獲得一些色情、暴力等不健康的內(nèi)容，同時(shí)根據(jù)需要 ，有時(shí)我們要控制訪問(wèn)某些站點(diǎn)，通過(guò)防火墻就可以實(shí)現(xiàn)這些目的。除了過(guò)濾不安全服務(wù)，防火墻還可以阻止非法用戶對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)，只允許授權(quán)的用戶訪問(wèn)，針對(duì)不同的服務(wù)面向不同的用戶開(kāi)放，這樣可以靈活地設(shè)置用戶的訪問(wèn)權(quán)限，提高網(wǎng)絡(luò)的安全性。因此 ，作為防火墻，應(yīng)當(dāng)能夠過(guò)濾掉所有的不安全數(shù)據(jù)，阻止它們進(jìn)入內(nèi)部網(wǎng)絡(luò)，對(duì)于允許的安全數(shù)據(jù)，則可以自出入。在制定安全策略的時(shí)候可以針對(duì)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)確定不同 9 德過(guò)灘規(guī)則，但本質(zhì)上，內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)是平等的，都要進(jìn)行防御。其主要手段是分析主機(jī)操作系統(tǒng)網(wǎng)絡(luò)協(xié)議架構(gòu)，在適當(dāng)?shù)奈恢貌迦霐r截點(diǎn)，所有的網(wǎng)絡(luò)數(shù)據(jù)包通訊都要經(jīng)過(guò)這些攔截點(diǎn)，再按照根據(jù)從策略服務(wù)器傳來(lái)的安全策略制定的過(guò)濾規(guī)則（訪問(wèn)控制規(guī)則）對(duì)經(jīng)過(guò)攔截點(diǎn)的網(wǎng)絡(luò)信 息流進(jìn)行監(jiān)控和審查，過(guò)濾掉任何不符合安全規(guī)則的信息，以保護(hù)主機(jī)不受外界的非法訪問(wèn)和攻擊。除本章緒論外，其它各 章的內(nèi)容安排如下： 防火墻與入侵檢測(cè)技術(shù)介紹 防火墻技術(shù) 防火墻是通過(guò)提供訪問(wèn)控制服務(wù)來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)和受保護(hù)主機(jī)的網(wǎng)絡(luò)安全防護(hù)的，防火墻技術(shù)應(yīng)該結(jié)合入侵檢測(cè)系統(tǒng)和防木馬等技術(shù)，提供給用戶個(gè)高的網(wǎng)絡(luò)安全性。最后，針對(duì)局域網(wǎng)實(shí)際安全需求，實(shí)現(xiàn)了分布式入侵檢測(cè)系統(tǒng)對(duì)網(wǎng)絡(luò)安全的保護(hù)，取得了不錯(cuò)的應(yīng)用效果。首先，本文總結(jié)了現(xiàn)有入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)、報(bào)警融合、報(bào)警響應(yīng)，指出了現(xiàn)有入侵檢測(cè)系統(tǒng)錯(cuò)在的問(wèn)題， 介紹了入侵檢測(cè)系統(tǒng)將來(lái)可能的發(fā)展方向。 采用分布式入侵檢測(cè)體系結(jié)構(gòu) —— 基于分層部件的入侵檢測(cè)系統(tǒng)是目前解決這些問(wèn)題的常用方法。另外一個(gè)缺點(diǎn)是很多入侵檢測(cè)系統(tǒng)仍然采用人工響應(yīng)的形式。 論文研究的內(nèi)容 和意義 目前，一般 IDS 所共有的一個(gè)缺點(diǎn)是生成的報(bào)警和日志的數(shù)量過(guò)于龐大。主機(jī)防火墻是一種網(wǎng)絡(luò)安全軟件，運(yùn)行在受保護(hù)的主機(jī)上。 防火 墻是用一個(gè)或一組網(wǎng)絡(luò)設(shè)備（計(jì)算機(jī)系統(tǒng)或路由器等），在兩個(gè)或多個(gè)網(wǎng)絡(luò)間加強(qiáng)訪問(wèn)控制，以保護(hù)一個(gè)網(wǎng)絡(luò)不受來(lái)自另一個(gè)網(wǎng)絡(luò)攻擊的安全技術(shù)。它通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集 8 信息并對(duì)其進(jìn)行分析，從而發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的痕跡。 1． 4 目前網(wǎng)絡(luò)安全現(xiàn)狀 目前最流行的網(wǎng)絡(luò)安全解決方案是入侵檢測(cè)系統(tǒng)和防火墻技術(shù)。 當(dāng)今社會(huì)，對(duì)于信息系統(tǒng)的攻擊日趨頻繁。事后分析模塊分析將來(lái)如何抵制類(lèi)似的入侵行為。檢測(cè)模塊用于發(fā)現(xiàn)各種違反系統(tǒng)安全規(guī)則的入侵行為。 7 針對(duì)原有安全模型的缺陷，有些學(xué)者提出計(jì)算機(jī)信息系統(tǒng) 安全的管理模型應(yīng)包括 4 部分，如圖 11 所示。對(duì)于訪問(wèn)控制，入侵者也可以利用脆弱性程序或系統(tǒng)漏洞繞過(guò)訪問(wèn)控制，或者提升用戶權(quán)限，或者非法讀寫(xiě)文件等。無(wú)論是安全模型，還是系統(tǒng)安全等級(jí)評(píng)估標(biāo)準(zhǔn)，人們主要是從身份認(rèn)證和訪問(wèn)控制這兩個(gè)方面來(lái)保證系統(tǒng)的安全性。常用的工具有 TFN、 Trinoo、 Stacheldraht 等。 (7)DDOS 攻擊：分布式拒絕服務(wù)攻擊，首先通過(guò)以上所列舉得某種技術(shù)獲得多臺(tái)計(jì)算機(jī)的控制權(quán)，并在某一臺(tái)運(yùn)行特定程序使其成為主控端，在其他機(jī)器中運(yùn)行特定程序成為代理端，主控端控制多個(gè)代理端。大體上是利用合理的服務(wù)請(qǐng)求來(lái)占用過(guò)多的服務(wù)資源，致使資源耗盡或是資源過(guò)載，造成服務(wù)器癱瘓，其它 用戶無(wú)法想用該服務(wù)資源。如 DNSoverflow、 standoverflow 等。常用的工具有 Glacier、SubSeven、 Acidshiver 等。 (4)木馬攻擊：這一攻擊常常是基 于網(wǎng)絡(luò)中的客戶機(jī) /服務(wù)器原理。前者是利用 URL 地址重寫(xiě)將用戶瀏覽的網(wǎng)頁(yè)鏈接指向攻擊者的服務(wù)器，使得瀏覽者在查看信息的時(shí)候，不經(jīng)意進(jìn)入到攻擊者的全套里；后者一般利用文檔信息、表單信息掩蓋結(jié)合前一種方式同時(shí)進(jìn)行。 (