【正文】 文件。文件完整性檢查系統(tǒng)是非常強(qiáng)勁的檢測(cè)文件被修改的工具。在文件完整性檢查中功能最全面的當(dāng)屬 Tripwire，其開放源代碼的版本可從 中獲得。采用安全性高的 Hash 算法，如 MD SHA 時(shí)，兩個(gè)不同的文件幾乎不可能 得到相同的 Hash 結(jié)果。不管文件長(zhǎng)度如何，它的 Hash 函數(shù)計(jì)算結(jié)果是一個(gè)固定長(zhǎng)度的數(shù)字。文件完整性檢查系統(tǒng)保存有每個(gè)文件的數(shù)字文摘數(shù)據(jù)庫(kù)，每次檢查時(shí)，它重新計(jì)算文件的數(shù)字文摘并將它與數(shù)據(jù)庫(kù)中的值相比較，如不同，則文件已被修改，若相同，文件則未發(fā)生變化。如果這兩類產(chǎn)品能夠無(wú)縫結(jié)合起來(lái)部署在網(wǎng)絡(luò)內(nèi)，則會(huì)構(gòu)架成一套完整立體的主動(dòng)防御體系，綜合了基于網(wǎng)絡(luò)和基于主機(jī)兩種結(jié)構(gòu)特點(diǎn)的入侵檢測(cè)系統(tǒng)，既可發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊信息，也可從系統(tǒng) 日志中發(fā)現(xiàn)異常情況。 3． 混合入侵檢測(cè) 基于網(wǎng)絡(luò)的入侵檢測(cè)產(chǎn)品和基于主機(jī)的入侵檢測(cè)產(chǎn)品都有不足之處，單純使用一類產(chǎn)品會(huì)造成主動(dòng)防御體系不全面。 主機(jī)入侵檢測(cè)系統(tǒng)除了監(jiān)測(cè)自身的主機(jī)以外，根本不監(jiān)測(cè)網(wǎng)絡(luò)上的情況。 全面布署主機(jī)入侵檢測(cè)系統(tǒng)代價(jià)較大，企業(yè)中很難將所有主機(jī)用主機(jī)入侵檢測(cè)系統(tǒng)保護(hù)，只能選擇部分主機(jī)保護(hù)。 主機(jī)入侵檢測(cè)系統(tǒng)的另一個(gè)問題是它依賴于服務(wù)器固有的日志與監(jiān)視能力。這會(huì)降低應(yīng)用系統(tǒng)的效率。 主機(jī)入侵檢測(cè)系統(tǒng)的弱點(diǎn)： 主機(jī)入侵檢測(cè)系統(tǒng)安裝在我們需要保護(hù)的設(shè)備上。 主機(jī)入侵檢測(cè)系統(tǒng)可布署在那些不需要廣泛的入侵檢測(cè)、傳感器與控制臺(tái)之間的通信帶寬不足的情況下。主機(jī)入侵檢測(cè)系統(tǒng)與網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)相比通常能夠提供更詳盡的相關(guān)信息。 主機(jī)入侵檢測(cè)系統(tǒng)的優(yōu)點(diǎn)： 管理學(xué)院 信管 2K11 班學(xué)生 楊曉偉 畢業(yè)論文 第 10 頁(yè) 共 16頁(yè) 濟(jì)南大學(xué)畢業(yè)設(shè)計(jì)（論文）用紙 主機(jī)入侵檢測(cè)系統(tǒng)對(duì)分析“可能的攻擊行為”非常有用。 2． 基于主機(jī)的入侵檢測(cè) 基于主機(jī)的入侵檢測(cè)產(chǎn)品（ HIDS）通常是安裝在被重點(diǎn)檢測(cè)的主機(jī)之上，主要是對(duì)該主機(jī)的網(wǎng)絡(luò)實(shí)時(shí)連接以及系統(tǒng)審計(jì)日志進(jìn)行智能分析和判斷。這樣的系統(tǒng)中的傳感器協(xié)同工作能力較弱。在一些系統(tǒng)中監(jiān)聽特定的數(shù)據(jù)包會(huì)產(chǎn)生大量的分析數(shù)據(jù)流量。 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)為了性能目標(biāo)通常采用特征檢測(cè)的方法，它可以檢測(cè)出普通的一些攻擊，而很難實(shí)現(xiàn)一些復(fù)雜的需要大量計(jì)算與分析時(shí)間的攻擊檢測(cè)。在使用交換以太網(wǎng)的環(huán)境中就會(huì)出現(xiàn)監(jiān)測(cè)范圍的局限。 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)近年內(nèi)有向?qū)ｉT的設(shè)備發(fā)展的趨勢(shì)，安裝這樣的一個(gè)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)非常方便，只需將定制的設(shè)備接上電源，做很少一些配置，將其連到網(wǎng)絡(luò)上即可。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)發(fā)生故障不會(huì)影響正常業(yè)務(wù)的運(yùn)行。由于它不會(huì)在業(yè)務(wù)系統(tǒng)的主機(jī)中安裝額外的軟件，從而不會(huì)影響這些機(jī)器的 CPU、 I/O 與磁盤等資源的使用，不會(huì)影響業(yè)務(wù)系統(tǒng)的性能。 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的優(yōu)點(diǎn)： 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)能夠檢測(cè)那些來(lái)自網(wǎng)絡(luò)的攻擊，它能夠檢測(cè)到超過授權(quán)的非法訪問。目前，大部分入侵檢測(cè)產(chǎn)品是基于網(wǎng)絡(luò)的。對(duì)每一個(gè)數(shù)據(jù)包或可疑的數(shù)據(jù)包進(jìn)行特征分析。此外，文件的完整性檢查工具也可看作是一類入侵檢測(cè)產(chǎn)品。 第二節(jié) 入侵檢測(cè)分類及產(chǎn)品選擇 入侵檢測(cè)技術(shù)主要分為基于網(wǎng)絡(luò)的 產(chǎn)品和基于主機(jī)的產(chǎn)品。在系統(tǒng)實(shí)現(xiàn)中，將有關(guān)入侵的知識(shí)轉(zhuǎn)化為 ifthen 結(jié)構(gòu)（也可以是復(fù)合結(jié)構(gòu)），條件部分為入侵特征， then 部分是系統(tǒng)防范措施。專家系統(tǒng)的建立依賴于知識(shí)庫(kù)的完備性，知識(shí)庫(kù)的完備性又取決于審計(jì)記錄的完備性與實(shí)時(shí)性。 專家系統(tǒng) 用專家系統(tǒng) 對(duì)入侵進(jìn)行檢測(cè)，經(jīng)常是針對(duì)有特征入侵行為。 統(tǒng)計(jì)方法的最大優(yōu)點(diǎn)是它可以“學(xué)習(xí)”用戶的使用習(xí)慣，從而具有較高檢出率與可用性。 統(tǒng)計(jì)檢測(cè) 統(tǒng)計(jì)模型常用異常檢測(cè)，在統(tǒng)計(jì)模型中常用的測(cè)量參數(shù)包括：審計(jì)事件的數(shù)量、間隔時(shí)間、資源消耗情況等。目前基于對(duì)包特征描述的模式匹配應(yīng)用較為廣泛。原理上與專家系統(tǒng)相仿。 特征檢測(cè) 特征檢測(cè)對(duì)已知的攻擊或入侵的方式作出確定性的描述，形成相應(yīng)的事件模式。 入侵檢測(cè)系統(tǒng)常用的檢測(cè)方法有特征檢測(cè)、統(tǒng)計(jì)檢測(cè)與專家系 統(tǒng)。根據(jù)這一理念建立主體正?；顒?dòng)的“活動(dòng)簡(jiǎn)檔”，將當(dāng)前主體的活動(dòng)狀況與“活動(dòng)簡(jiǎn)檔”相比較，當(dāng)違反其統(tǒng)計(jì)規(guī)律時(shí)，認(rèn)為該活動(dòng)可能是“入侵”行為。其難點(diǎn)在 于如何設(shè)計(jì)模式既能夠表達(dá)“入侵”現(xiàn)象又不會(huì)將正常的活動(dòng)包含進(jìn)來(lái)。 特征檢測(cè) 特征檢測(cè) (Signaturebased detection)又稱 Misuse detection，這一檢測(cè)假設(shè)入侵者活動(dòng)可以用一種模式來(lái)表示，系統(tǒng)的目標(biāo)是檢測(cè)主體活動(dòng)是否符合這些模式。在被入侵攻擊后，收集入侵攻擊的相關(guān)信息，作為防范系統(tǒng)的知識(shí)，添加入知識(shí)庫(kù)內(nèi)，以增強(qiáng)系統(tǒng)的防范能力。入侵檢測(cè)系統(tǒng)的應(yīng)用，能使在入侵攻擊對(duì)系統(tǒng)發(fā)生危害前，檢測(cè)到入侵攻擊，并利用報(bào)警與防護(hù)系統(tǒng)驅(qū)逐入侵攻擊。違反安全策略的行為有：入侵 —— 非法用戶的違規(guī)行為；濫用 —— 用戶的違規(guī)行為。如：全網(wǎng)加密的同步機(jī)制的設(shè)計(jì)；數(shù)據(jù)通道如何適應(yīng)全網(wǎng)加密功能；如何為內(nèi)網(wǎng)用戶通道在網(wǎng)關(guān)終止全網(wǎng)加密功能和全網(wǎng)密鑰管理功能；如何處理多方會(huì)話；如何進(jìn)行全網(wǎng)加密控制 —— 算法選擇、模式選擇和用戶控制；以及在建立連接時(shí)用戶訪問區(qū)寄存器 VLR間交換訪問鏈路密 鑰的確切機(jī)制。但偵聽接口如何提供仍是一個(gè)未明確的問題。 3G系統(tǒng)為得到更高的安全性能，希望數(shù)據(jù)在全網(wǎng)范圍內(nèi)都要加密傳送。如果提供全網(wǎng)范圍內(nèi)加密，那么勢(shì)必使合法偵聽變得困難。 3G系統(tǒng)想保留該功能，但是如何完善、利用好該功能是進(jìn)一步要研究的問題。移動(dòng)設(shè)備識(shí)別是指在一些情況下 SN需要移動(dòng)終端提供全球唯一設(shè)備識(shí)別號(hào)（ IMEI），以便驗(yàn)證設(shè)備的合法性（如：是否是被盜手機(jī)等）。 數(shù)據(jù)保密性方面的工作已經(jīng)做了很多，但是仍有下列問題沒有解決：一是密文生成的同步問題；二是在一個(gè) UTRAN（ UMTS 陸地?zé)o線接入網(wǎng)）的不同核心網(wǎng)絡(luò)之間加密和加密密鑰的選擇問題；三是如何決定從哪個(gè)消息開始加密。但是 3G系統(tǒng)仍存在一些開放問題有待繼續(xù)研究。從 3G網(wǎng)絡(luò)接入部分的安全結(jié)構(gòu)中可以看出， 3G系統(tǒng)變化很大。所以，一些發(fā)達(dá)國(guó)家的情報(bào)部門、軍方和重要政府部門，都禁止在辦公場(chǎng)所使用移動(dòng)電話，即使是關(guān)閉的手機(jī)也不 允許帶入。通管理學(xué)院 信管 2K11 班學(xué)生 楊曉偉 畢業(yè)論文 第 7 頁(yè) 共 16頁(yè) 濟(jì)南大學(xué)畢業(yè)設(shè)計(jì)（論文）用紙 過地球同步衛(wèi)星上的中繼站或周邊附近盟國(guó)的中繼站，將信息傳遞到本國(guó)或盟國(guó)的地面處理系統(tǒng)。另一種是在手機(jī)制造 過程中就在芯片中植入接收和發(fā)送功能。 手機(jī)在關(guān)機(jī)狀態(tài)下失泄密 據(jù)有關(guān)專家介紹，手機(jī)在關(guān)機(jī)狀態(tài)的失泄密有兩種情況，一種情況是使用者關(guān)閉手機(jī)，持有特殊儀器的專家，仍可遙控打開手機(jī)的話筒，繼續(xù)竊聽話筒有效范圍內(nèi)的任何談話。據(jù)有關(guān)專家介紹說，一些手機(jī)具有隱蔽通話 功能，可以在不響鈴、也沒有任何顯示的情況下由待機(jī)狀態(tài)轉(zhuǎn)變?yōu)橥ㄔ挔顟B(tài)，從而將周圍的聲音發(fā)射出去。在這些過程中產(chǎn)生的電磁頻譜，人們很容易利用偵察監(jiān)視技術(shù)發(fā)現(xiàn)、識(shí)別、監(jiān)視和跟蹤目標(biāo)，并且能對(duì)目標(biāo)進(jìn)行定位，從中獲得有價(jià)值的情報(bào)。 手機(jī)在待機(jī)狀態(tài)下失泄密 專家指出，即使手機(jī)在待機(jī)狀態(tài)也并非絕對(duì)安全?，F(xiàn)在有一種“間諜手機(jī)”在臺(tái)灣銷售盛行。拉登的得力助手阿布 手機(jī)通信導(dǎo)致失泄密的例子很多。 手機(jī)在通話狀態(tài)下失泄密 從手機(jī)的通信原理可以知道，手機(jī)的通信過程就是使用手機(jī)把語(yǔ)言信號(hào)傳輸?shù)揭苿?dòng)通信網(wǎng)絡(luò)中，再由移動(dòng)通信網(wǎng)絡(luò)將語(yǔ)言信號(hào)變成電磁頻譜，通過通信衛(wèi)星輻射漫游傳送到受話人的電信網(wǎng)絡(luò)中受話人的通信設(shè)備接收到無(wú)線電磁波，轉(zhuǎn)換成語(yǔ)言信號(hào)接通通信網(wǎng)絡(luò)。畢竟移動(dòng)通信是一個(gè)開放的電子通信系統(tǒng)， 只要有相應(yīng)的接收設(shè)備，就能夠截獲任何時(shí)間、任何地點(diǎn)、任何人的通話信息。與 0H/協(xié)商功能的作用類似， UIA的協(xié)商增加了系統(tǒng)的靈活性，為 3G系統(tǒng)的全球漫游打下基礎(chǔ)。 該安全特性是 3G系統(tǒng)新增的。3G系統(tǒng)預(yù)留了 16種 UIA的可選范圍。服務(wù)網(wǎng)根據(jù)下列規(guī)則作出判斷： （ 1 ）如果 ME與 SN沒有相同版本的 UIA（ UMTS數(shù)據(jù)完整性算法），則釋放連接； （ 2 ）如果 ME與 SN至少有一個(gè)相同版本的 UIA， SN應(yīng)選擇其中一個(gè)可接受的 0H/算法版本，建立加密連接。下面介紹完整性算法協(xié)商。 數(shù)據(jù)完整性 網(wǎng)絡(luò)接入部分的數(shù)據(jù)完整性主要提供三個(gè)安全特性：完整性算法協(xié)商，完整性密鑰協(xié)管理學(xué)院 信管 2K11 班學(xué)生 楊曉偉 畢業(yè)論文 第 6 頁(yè) 共 16頁(yè) 濟(jì)南大學(xué)畢業(yè)設(shè)計(jì)（論文）用紙 商，數(shù)據(jù)和信令的完整性。這增加了系統(tǒng)的靈活性，使不同的運(yùn)營(yíng)商之間只要支持一種相同的 UEA就可以跨網(wǎng)通信。 與 2G系統(tǒng)相比 3G系統(tǒng)除了在密鑰長(zhǎng)度上由 64位增加到 128位以外，還允許移動(dòng)終端與服務(wù)網(wǎng)之間對(duì)加密算法進(jìn)行協(xié)商。 3G系統(tǒng)預(yù)留了 15種 UEA的可選范圍。服務(wù)網(wǎng)根據(jù)下列規(guī)則作出判斷： （ 1 ）如果 ME與 SN沒有相同版本的 UEA（ UMTS加密算法），且 SN不準(zhǔn)備使用無(wú)加密的連接，則釋放連接； （ 2 ）如果 ME與 SN沒有相同版本的 UEA且 SN愿意使用無(wú)加密的連接，則建立無(wú)加密的連接； （ 3 ）如果 ME與 SN至少有一個(gè)相同版本的 UEA， SN應(yīng)選擇其中一個(gè)可接受的 UEA算法版本，建立加密連接。下面介紹加密算法協(xié)商。 數(shù)據(jù)保密性 網(wǎng)絡(luò)接入部分的數(shù)據(jù)保密性主 要提供四個(gè)安全特性：加密算法協(xié)商、加密密鑰協(xié)商、用戶數(shù)據(jù)加密和信令數(shù)據(jù)加密。并且 SQN的有效范圍受到限制，防止 DDOS攻擊。 （ 3 ） 2G系統(tǒng)的數(shù)據(jù)保密密鑰的長(zhǎng)度為 64位，而 3G系統(tǒng)的密鑰長(zhǎng)度（包括 CK和 IK）增加到 128位，增強(qiáng)了系統(tǒng)的安全強(qiáng)度。具體有以下幾個(gè)方面： （ 1 ） 2G系統(tǒng)（如 GSM系統(tǒng)）只提供 SN對(duì) ME/USIM的單向認(rèn)證，而 3G系統(tǒng)則完成了 ME/USIM和 SN之間的雙向認(rèn)證。 3G系統(tǒng)執(zhí)行 AKA協(xié)議，在移動(dòng)終端和服務(wù)網(wǎng)之間進(jìn)行雙向認(rèn)證，在確認(rèn)對(duì)方身份的基礎(chǔ)上生成數(shù)據(jù)保密密鑰 CK 和數(shù)據(jù)完整性密鑰 IK ，為下一步的數(shù)據(jù)傳輸作準(zhǔn)備。但是 3G標(biāo)準(zhǔn)沒有