【正文】 2．基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)。 71 第 10章 網(wǎng)絡(luò)安全 入侵檢測(cè)系統(tǒng)分類 按照檢測(cè)對(duì)象和工作凡是的不同，入侵檢測(cè)系統(tǒng)劃分為： 1．基于主機(jī)的入侵檢測(cè)系統(tǒng)。 A、 E、 D及 R盒之間的通信都基于GIDO（ generalized Intrusion detection objects，通用入侵檢測(cè)對(duì)象）和 CISL（ mon intrusion specification language，通用入侵規(guī)范語言）。它將一個(gè)入侵檢測(cè)系統(tǒng)分為以下組件：事件產(chǎn)生器（ Event generators），用 E盒表示；事件分析器（ Event analyzers），用 A盒表示；響應(yīng)單元（ Responseunits），用 R盒表示；事件數(shù)據(jù)庫（ Event databases），用 D盒表示。 CIDF早期由美國國防部高級(jí)研究計(jì)劃局贊助研究，現(xiàn)在由CIDF工作組負(fù)責(zé)，是一個(gè)開放組織。這些都通過它執(zhí)行以下任務(wù)來實(shí)現(xiàn)： 66 第 10章 網(wǎng)絡(luò)安全 ? 監(jiān)視、分析用戶及系統(tǒng)活動(dòng)； ? 系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)； ? 識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警； ? 異常行為模式的統(tǒng)計(jì)分析； ? 評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性； ? 操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略的行為。 65 第 10章 網(wǎng)絡(luò)安全 入侵檢測(cè)的概念 入侵檢測(cè)是從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，看看網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的一種機(jī)制。例如，可以只允許通過訪問萬維網(wǎng)的應(yīng)用，而阻止 FTP 應(yīng)用的通過。 (2) 應(yīng)用級(jí)防火墻 ——從應(yīng)用程序來進(jìn)行接入控制。屬于這類的有分組過濾和授權(quán)服務(wù)器。不過在大多數(shù)情況下防火墻的主要功能是 ―阻止 ‖。 ? ―允許 ‖的功能與 ―阻止 ‖恰好相反。 61 第 10章 網(wǎng)絡(luò)安全 防火墻在互連網(wǎng)絡(luò)中的位置 G 內(nèi)聯(lián)網(wǎng) 可信賴的網(wǎng)絡(luò) 不可信賴的網(wǎng)絡(luò) 分組過濾 路由器 R 分組過濾 路由器 R 應(yīng)用網(wǎng)關(guān) 外局域網(wǎng) 內(nèi)局域網(wǎng) 防火墻 因特網(wǎng) 62 第 10章 網(wǎng)絡(luò)安全 防火墻的功能 ? 防火墻的功能有兩個(gè)：阻止和允許。 ? 防火墻內(nèi)的網(wǎng)絡(luò)稱為 ―可信賴的網(wǎng)絡(luò) ‖(trusted work)，而將外部的因特網(wǎng)稱為 ―不可信賴的網(wǎng)絡(luò) ‖(untrusted work)。 59 第 10章 網(wǎng)絡(luò)安全 RSA 算法舉例 明文 19 19 = = 20807 公開密鑰 = {5, 119} 加密 5 2476099 119 及余數(shù) 66 密文 66 66 = = ?10 秘密密鑰 = {77, 119} 解密 77 ...? 10 119 及余數(shù) 19 明文 19 140 138 60 第 10章 網(wǎng)絡(luò)安全 防火墻 (firewall) ? 防火墻是由軟件、硬件構(gòu)成的系統(tǒng)，用來在兩個(gè)網(wǎng)絡(luò)之間實(shí)施接入控制策略。 再除以 119，得出商為 ...? 10138，余數(shù)為 19。這就是對(duì)應(yīng)于明文 19 的密文 Y 的值。用公開密鑰加密時(shí)，先計(jì)算 Xe ? 195 ? 2476099。先把明文劃分為分組，使每個(gè) 明文分組的二進(jìn)制值不超過 n, 即不超過 119。 于是，公開密鑰 PK ? (e, n) ? {5, 119}, 秘密密鑰 SK ? {77, 119}。然后根據(jù) (910)式， 5d ? 1 mod 96 解出 d。 從 [0, 95]中選擇一個(gè)與 96 互素的數(shù) e。 計(jì)算出 n ? pq ? 7 ? 17 ? 119。用戶計(jì)算出滿足下式的 d ed ? 1 mod ?(n) (1010) 作為解密指數(shù)。用戶從 [0, ?(n) ? 1]中選擇一個(gè)與 ?(n)互素的數(shù) e 作為公開的加密指數(shù)。用戶再計(jì)算出 n 的歐拉函數(shù) ?(n) ? (p ? 1)(q ? 1) (109) ?(n) 定義為不超過 n 并與 n 互素的數(shù)的個(gè)數(shù)。實(shí)際上 n 是幾百比特長的數(shù)。 n 稱為 RSA算法的模數(shù)。 54 第 10章 網(wǎng)絡(luò)安全 (1) 加密算法 ? 若用整數(shù) X 表示明文，用整數(shù) Y 表示密文（ X 和 Y 均小于 n），則加密和解密運(yùn)算為： 加密： Y ? Xe mod n (107) 解密： X ? Yd mod n (108) 55 第 10章 網(wǎng)絡(luò)安全 (2) 密鑰的產(chǎn)生 ① 計(jì)算 n。 ? N 為兩個(gè)大素?cái)?shù) p 和 q 之積（素?cái)?shù) p 和 q 一般為 100 位以上的十進(jìn)數(shù)）， e 和 d 滿足一定的關(guān)系。 ? 每個(gè)用戶有兩個(gè)密鑰：加密密鑰 PK ? {e, n} 和解密密鑰 SK ? {d, n}。 (5) 加密和解密算法都是公開的。 ? 此外 ， 加密和解密的運(yùn)算可以對(duì)調(diào) ， 即 EPK(DSK(X)) ? X 51 第 10章 網(wǎng)絡(luò)安全 公開密鑰算法的特點(diǎn) (2) 加密密鑰是公開的，但不能用它來解密，即 DPK(EPK(X)) ? X (106) (3) 在計(jì)算機(jī)上可容易地產(chǎn)生成對(duì)的 PK 和 SK。公開密鑰還需要密鑰分配協(xié)議，具體的分配過程并不比采用傳統(tǒng)加密方法時(shí)更為簡單。在這方面，公開密鑰密碼體制并不具有比傳統(tǒng)加密體制更加優(yōu)越之處。 ? 雖然秘密密鑰 SK 是由公開密鑰 PK 決定的，但卻不能根據(jù) PK 計(jì)算出 SK。 48 第 10章 網(wǎng)絡(luò)安全 加密密鑰與解密密鑰 ? 在公開密鑰密碼體制中，加密密鑰 (即公開密鑰 ) PK 是公開信息，而解密密鑰 (即秘密密鑰 ) SK 是需要保密的。 ? 公開密鑰密碼體制的產(chǎn)生主要是因?yàn)閮蓚€(gè)方面的原因，一是由于常規(guī)密鑰密碼體制的密鑰分配問題，另一是由于對(duì)數(shù)字簽名的需求。因此加密時(shí)是 EDE，解密時(shí)是 DED。 46 第 10章 網(wǎng)絡(luò)安全 三重 DES (Triple DES) ? 三重 DES 使用兩個(gè)密鑰，執(zhí)行三次 DES 算法。 ? 目前較為嚴(yán)重的問題是 DES 的密鑰的長度。盡管人們?cè)谄谱g DES 方面取得了許多進(jìn)展，但至今仍未能找到比窮舉搜索密鑰更有效的方法。 ? 為了提高 DES 的安全性 ， 可采用加密分組鏈接的方法 。 ? 也就是說 ， 對(duì)于 DES 算法 ， 相同的明文就產(chǎn)生相同的密文 。 ? 使用的密鑰為 64 bit（實(shí)際密鑰長度為 56 bit，有 8 bit 用于奇偶校驗(yàn) )。 ? 然后對(duì)每一個(gè) 64 bit 二進(jìn)制數(shù)據(jù)進(jìn)行加密處理，產(chǎn)生一組 64 bit 密文數(shù)據(jù)。 ? 在加密前，先對(duì)整個(gè)明文進(jìn)行分組。 ? 分組密碼算法的一個(gè)重要特點(diǎn)就是：當(dāng)給定一個(gè)密鑰后 ， 若明文分組相同 ， 那么所變換出密文分組也相同 。 這就是分組密碼 。關(guān)鍵是序列的周期要足夠長，且序列要有很好的隨機(jī)性（這很難尋找）。 ? 密碼學(xué)家試圖模仿這種一次一密亂碼本體制。這也可稱為一次一密亂碼本體制。 38 第 10章 網(wǎng)絡(luò)安全 序列密碼體制的保密性 ? 序列密碼體制的保密性完全在于密鑰的隨機(jī)性。 20 第 10章 網(wǎng)絡(luò)安全 CIPHER 145326 attack begins atfour 密文的得出 密鑰 順序 明文 先讀順序?yàn)? 1 的明文列，即 aba 21 第 10章 網(wǎng)絡(luò)安全 CIPHER 145326 attack begins atfour 密文的得出 密鑰 順序 明文 再讀順序?yàn)? 2 的明文列，即 u 22 第 10章 網(wǎng)絡(luò)安全 CIPHER 145326 attack begins atfour 密文的得出 密鑰 順序 明文 再讀順序?yàn)? 3 的明文列，即 aio 23 第 10章 網(wǎng)絡(luò)安全 CIPHER 145326 attack begins atfour 密文的得出 密鑰 順序 明文 再讀順序?yàn)? 4 的明文列，即 tet 24 第 10章 網(wǎng)絡(luò)安全 CIPHER 145326 attack begins atfour 密文的得出 密鑰 順序 明文 再讀順序?yàn)? 5 的明文列，即 tgf 25 第 10章 網(wǎng)絡(luò)安全 CIPHER 145326 attack begins atfour 密文的得出 密鑰 順序 明文 最后讀順序?yàn)? 6 的明文列，即 ksr 因此密文就是： abauaiotettgfksr 26 第 10章 網(wǎng)絡(luò)安全 CIPHER 145326 attack begins atfour 接收端收到密文后按列寫下 密鑰 順序 明文 先寫下第 1 列密文 aba 收到的密文： abauaiotettgfksr 27 第 10章 網(wǎng)絡(luò)安全 CIPHER 145326 attack begins atfour 接收端收到密文后按列寫下 密鑰 順序 明文 再寫下第 2 列密文 u 收到的密文： abauaiotettgfksr 28 第 10章 網(wǎng)絡(luò)安全 CIPHER 145326 attack begins atfour 接收端收到密文后按列寫下 密鑰 順序 明文 再寫下第 3 列密文 aio 收到的密文： abauaiotettgfksr 29 第 10章 網(wǎng)絡(luò)安全 CIPHER 145326 attack begins atfour 接收端收到密文后按列寫下 密鑰 順序 明文 再寫下第 4 列密文 tet 收到的密文： abauaiotettgfksr 30 第 10章 網(wǎng)絡(luò)安全 CIPHER 145326 attack begins atfour 接收端收到密文后按列寫下 密鑰 順序 明文 再寫下第 5 列密文 tgf 收到的密文： abauaiotettgfksr 31 第 10章 網(wǎng)絡(luò)安全 CIPHER 145326 attack begins atfour 接收端收到密文后按列寫下 密鑰 順序 明文 最后寫下第 6 列密文 ksr 收到的密文： abauaiotettgfksr 32 第 10章 網(wǎng)絡(luò)安全 CIPHER 145326 attack begins atfour 接收端從密文解出明文 密鑰 順序 明文 最后按行讀出明文 收到的密文： abauaiotettgfksr 33 第 10章 網(wǎng)絡(luò)安全 CIPHER 145326 attack begins atfour 接收端從密文解出明文 密鑰 順序 明文 最后按行讀出明文 收到的密文： abauaiotettgfksr 34 第 10章 網(wǎng)絡(luò)安全 CIPHER 145326 attack begins atfour 接收端從密文解出明文 密鑰 順序 明文 最后按行讀出明文 收到的密文： abauaiotettgfksr 得出明文： attackbeginsatfour 35 第 10章 網(wǎng)絡(luò)安全 序列密碼與分組密碼 ? 序列碼體制是將明文 X 看成是連續(xù)的比特流 (或字符流 )x1x2… ，并且用密鑰序列 K ? k1k2… 中的第 i 個(gè)元素 ki 對(duì)明文中的 xi 進(jìn)行加密，即 E (X ) E (