【正文】 各種監(jiān)控?cái)?shù)據(jù)（如日志文件等）做出分析，為 Network安全策略的制定提供指南 ． 計(jì)算機(jī) Network安全是一項(xiàng)系統(tǒng)工程，應(yīng)該在整體的安全策略的控制和指導(dǎo)下，綜合運(yùn)用各 種防護(hù)工具的同時(shí)，利用檢測(cè)工具了解和評(píng)估系統(tǒng)狀態(tài)，通過適當(dāng)?shù)姆磻?yīng)將系統(tǒng)調(diào)整到相對(duì)最安全和風(fēng)險(xiǎn)最低的狀態(tài) ． 入侵檢測(cè)方法是所有入侵檢測(cè)領(lǐng)域中起到承前啟后作用的關(guān)鍵環(huán)節(jié)， 是實(shí)現(xiàn)系統(tǒng)安全策略保證 Network安全的關(guān)鍵，也是當(dāng)前 Network安全研究的熱點(diǎn) ． 當(dāng)前的入侵檢測(cè)方法中，有的是檢測(cè)操作系統(tǒng)漏洞 ． 有的是檢測(cè)應(yīng)用程序的實(shí)現(xiàn)上的漏洞，有的是檢測(cè)針對(duì) Network協(xié)議漏洞而進(jìn)行的攻擊，有的是檢 測(cè)加密算法的弱點(diǎn)或針對(duì)其的密碼破解，有的是檢測(cè)目前常見的拒絕服務(wù)攻擊和分布式拒絕服務(wù)攻擊 ． 本研究重點(diǎn)分析了基于模式匹配和協(xié)議分析的入侵檢測(cè)方法， Snort 作為目前應(yīng)用較廣的開源 Network入侵檢測(cè)系統(tǒng)，提供對(duì) Network 實(shí)時(shí)流量的分析和數(shù)據(jù)包記錄 ． Snort 可以提供協(xié)議分析、內(nèi)容查找和匹配，可以用它來檢測(cè)各種攻擊和探測(cè)，如緩沖區(qū)溢出、隱蔽端口掃描、 CGI 攻擊、 SMB 探測(cè)、操作系統(tǒng)指紋識(shí)別常識(shí)等 [2]． 在一個(gè)實(shí)用的入侵檢測(cè)系統(tǒng)中 , 最重要的部分是檢測(cè)方法 ,也就是采用什么技術(shù)進(jìn)行入侵行為檢測(cè) ． 檢測(cè)技術(shù)主要 分為誤用檢測(cè)和異常檢測(cè)兩大類 , 模式匹配技術(shù)屬于誤用檢測(cè) , 也是最常用、最實(shí)用的一種數(shù)據(jù)檢測(cè)技術(shù) ． 只有加深對(duì)入侵檢測(cè)方法的研究才能使入侵檢測(cè)技術(shù)及相關(guān)領(lǐng)域有更快更好的發(fā)展，研究核心的入侵檢測(cè)方法將是十分有意義和效果的 ． 研究已有的檢測(cè)方法所具有的特點(diǎn)，包括優(yōu)點(diǎn)和缺點(diǎn)才能更好的了解現(xiàn)有入侵檢測(cè)方法的優(yōu)勢(shì)和劣勢(shì)，以便提出更好的檢測(cè)方法，更加靈活和有效的融入入侵檢測(cè)技術(shù)，提高檢測(cè)效率 ． 第 2章 Network信息安全和入侵檢測(cè) Network信息安全 Network信息安全概述 隨著社會(huì)經(jīng)濟(jì)及 現(xiàn)代科技水平的不斷發(fā)展，信息已經(jīng)成為國(guó)家的主要財(cái)富和重要戰(zhàn)略資源．國(guó)家綜合實(shí)力的競(jìng)爭(zhēng)越來越集中在信息優(yōu)勢(shì)的爭(zhēng)奪上，而要占據(jù)信息優(yōu)勢(shì)的高地，最直接的表現(xiàn)在信息安全與對(duì)抗方面． 信息安全問題的迅速增加，使各國(guó)的計(jì)算機(jī)系統(tǒng)特別是 Network 系統(tǒng)面臨著很大的威脅，受到越來越多的關(guān)注．信息安全所導(dǎo)致的損失不僅是指信息自身價(jià)值所遭受的損失，更多的是其可能造成的其它方面的更大損失．為保證信息的安全可靠，除了運(yùn)用法律和管理等手段，更需要依靠技術(shù)方法實(shí)現(xiàn)，先進(jìn)的技術(shù)是實(shí)現(xiàn)信息安全的有力保障． 而近年來計(jì)算機(jī)技術(shù)水平飛速發(fā)展， Network信息安全越來越受到重視． Network 信息安全主要是指 Network 系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行， Network 服務(wù)不中斷．計(jì)算機(jī) Network 安全多是利用 Network 管理和控制技術(shù)，保證 Network 系統(tǒng)環(huán)境中信息數(shù)據(jù)的機(jī)密性、完整性和可用性，保護(hù)其不被偷看、竊取和修改 ． 主要的 Network安全威脅 在目前的計(jì)算機(jī) Network 技術(shù)飛速發(fā)展和應(yīng)用的前提下， Network 安全相關(guān)技術(shù)已經(jīng)得到了應(yīng) 有的重視和深入研究、應(yīng)用．但 Network 入侵和攻擊的現(xiàn)象仍然是屢見不鮮，攻擊者數(shù)目增多，知識(shí)日趨專業(yè)成熟，攻擊工具與手法日趨復(fù)雜多樣，這些都對(duì) Network信息安全提出了全新的考驗(yàn)． Network安全問題既包括 Network系統(tǒng)的安全，又包括 Network信息的安全和機(jī)密性．目前 Network和計(jì)算機(jī)所面臨的主要安全威脅有： ⑴ 病毒：可引起計(jì)算機(jī)或 Network故障，破壞計(jì)算機(jī)數(shù)據(jù)或影響 Network正常服務(wù)，如蠕蟲病毒、郵件病毒、 病毒、手機(jī)病毒等． ⑵ 特洛伊木馬：該黑客軟件能把程序的服務(wù)器端植入目標(biāo) 主機(jī)中，通過目標(biāo)主機(jī)上的客戶端程序徹底控制目標(biāo)主機(jī)． ⑶ 緩沖區(qū)溢出攻擊：利用設(shè)計(jì)漏洞進(jìn)行的攻擊，據(jù)統(tǒng)計(jì)現(xiàn)在 Network 中的攻擊行為 80%與緩沖區(qū)溢出漏洞有關(guān)． ⑷ 拒絕服務(wù)攻擊：惡意造成拒絕服務(wù)，造成目標(biāo)系統(tǒng)無法正常工作或癱瘓，或造成 Network阻塞． ⑸ 掃描：若被惡意使用和隱蔽使用于探測(cè)他人主機(jī)的有用信息作為實(shí)施下一步攻擊的前奏，此類掃描也構(gòu)成了對(duì) Network安全的威脅． ⑹ 嗅探：可捕獲主機(jī)所在 Network的所有數(shù)據(jù)包，一旦被惡意利用，獲取了目標(biāo)主機(jī)的關(guān)鍵信息則可對(duì)目標(biāo)主機(jī)實(shí)施進(jìn)一步攻擊． ⑺ Web 欺騙：通過 URL 重寫技術(shù)和信息掩蓋技術(shù)講 URL 重定向到攻擊者的主機(jī)，從而監(jiān)視、記錄訪問者的信息，同時(shí)盡量掩蓋這種欺騙行為． ⑻ IP 欺騙：攻擊者可通過技術(shù)手段利用 TCP/IP協(xié)議的缺陷，偽裝成被信任主機(jī)，試用被信任主機(jī)的源地址與目標(biāo)主機(jī)進(jìn)行會(huì)話，在目標(biāo)主機(jī)不知的情況下實(shí)施欺騙行為． ⑼ 口令破解：攻擊者若通過一定手段取得用戶口令，提升權(quán)限進(jìn)入目標(biāo)系統(tǒng)，對(duì)目標(biāo)主機(jī)進(jìn)行完全控制．常用的口令破解手段有暴力破解、利用協(xié)議或命令的漏洞、植入木馬等． 目前的主要 Network 安全威脅根據(jù)互聯(lián)網(wǎng)的層次大致可分為三個(gè)層次：主干 Network的威脅、 TCO/IP 協(xié)議安全問題、 Web 應(yīng)用程序安全．而我們常見的多是針對(duì)于電子商務(wù)、網(wǎng)上銀行、企業(yè)協(xié)作、交易管理等網(wǎng)站的黑客攻擊，但目前絕大多數(shù)企業(yè)并沒有為自己的應(yīng)用程序、網(wǎng)站和服務(wù)器采取更加深入且有效的安全措施，如防火墻、入侵檢測(cè)等功能． Network信息安全模型與技術(shù) 傳統(tǒng)的計(jì)算機(jī)安全模型主要作用于單機(jī)系統(tǒng)，由于 Network 的普遍應(yīng)用和技術(shù)發(fā)展，傳統(tǒng)的模型已不足以應(yīng)對(duì)外界攻擊．而隨著 Network 黑客惡意攻擊技術(shù)的不斷提高和更新，安全模型和技術(shù)也向更高層次發(fā)展． P2DR 模型就是能適應(yīng)不斷變化的 Network環(huán)境、發(fā)現(xiàn) Network 服務(wù)器和設(shè)備中的新漏洞、不斷查明 Network 中存在的安全隱患等問題而提出的新的 Network 安全模型，如圖 21 所示．該模型以安全策略為核心，通過一致的檢查，流量統(tǒng)計(jì)，異常分析，模式匹配以及應(yīng)用、目標(biāo)、主機(jī)、 Network入侵檢查等方法進(jìn)行安全漏洞檢測(cè)，使系統(tǒng)從靜態(tài)防護(hù)轉(zhuǎn)化為動(dòng)態(tài)防護(hù) [5]． 圖 21 P2DR 模型 傳統(tǒng)的安全技術(shù)大致可分為靜態(tài)安全技術(shù)和動(dòng)態(tài)安全技術(shù)這兩類，我們熟知的防火墻就是靜態(tài)安全技術(shù)的代表產(chǎn)品，主要用于保護(hù)系統(tǒng)抵御外部 的攻擊．而動(dòng)態(tài)的安全技防護(hù)（ Protection） 響應(yīng)（ Response） 檢測(cè)（ Detection） 策略（ Policy） 術(shù)應(yīng)該是增強(qiáng)了主動(dòng)的檢測(cè)能力，在于其主動(dòng)性．目前采用的一些傳統(tǒng)的安全機(jī)制主要有： ⑴ 數(shù)據(jù)加密技術(shù) ⑵ 訪問控制技術(shù) ⑶ 認(rèn)證技術(shù) ⑷ 數(shù)據(jù)完整性控制技術(shù) ⑸ 安全漏洞掃描技術(shù) ⑹ 防火墻技術(shù) 其中的防火墻技術(shù)是防范 Network 攻擊最常用的方法， 即在用戶 Network和因特網(wǎng)之間插入了一個(gè)中間系統(tǒng)，形成了一個(gè)安全屏障，將用戶 Network和因特網(wǎng)分割開．雖然防火墻提供了較強(qiáng)的防護(hù)能力，但它仍有著局限性．首先，防火墻不能阻止用戶 Network內(nèi)部對(duì)用戶 Network的攻擊，它只提供了 Network邊緣的防護(hù)；其次，防火墻不能阻止未知的惡意代碼的攻擊，如病毒、特洛依木馬等．由此可看出，作為對(duì)防火墻技術(shù)的補(bǔ)充，入侵檢測(cè)的動(dòng)態(tài)防護(hù)特點(diǎn)足以成為實(shí)現(xiàn) Network安全的新的解決策略．引入入侵檢測(cè)技術(shù)，相當(dāng)于在計(jì)算機(jī)系統(tǒng)中引入了一個(gè)閉環(huán)的安全策略．計(jì)算機(jī)的多種安全策略，如：防火墻、身份認(rèn)證、訪問控制、數(shù)據(jù)加密等，通過入侵檢測(cè)系統(tǒng)進(jìn)行安全策略的反饋，從而進(jìn)行及時(shí)的修正，大大提高了系統(tǒng)的安全性． Linux系統(tǒng)安全性 Linux 操作系統(tǒng)是一套開放的由 Unix發(fā)展起來的多用戶、多任務(wù)的 Network操作 系統(tǒng)．它具有穩(wěn)定性強(qiáng)、高可靠性等系統(tǒng)性能，容易建構(gòu) Networksever，又由于 Linux有免費(fèi)、開放源代碼的特性，目前越來越多的 Inter應(yīng)用服務(wù)器和主機(jī)采用了 Linux系統(tǒng)．由此， Linux系統(tǒng)的安全問題也日益成為人們關(guān)注的焦點(diǎn)． 開放的源代碼為實(shí)現(xiàn) Linux 主機(jī)安全系統(tǒng)提供了極大的方便 ———能夠獲得系統(tǒng)調(diào)用的充分信息．可以通過修改主機(jī)系統(tǒng)函數(shù)庫(kù)中的相關(guān)系統(tǒng)調(diào)用，引入安全控制機(jī)制，從而將防火墻對(duì)于 Network信息的處理和操作系統(tǒng)中用戶使用資源的訪問控制緊密結(jié)合起來，讓防火墻模塊和操作系統(tǒng)配合 起來協(xié)同工作．但開放的源代碼也為黑客攻擊提供了方便，攻擊者可以利用 Linux 系統(tǒng)的安全漏洞而獲得超級(jí)用戶權(quán)限，從而達(dá)到控制 root 系統(tǒng)的目的，這些攻擊者利用系統(tǒng)的漏洞侵入以后，通常都是通過非法執(zhí)行一些敏感的系統(tǒng)調(diào)用來完成攻擊 [11]． 入侵檢測(cè) 入侵檢測(cè)基礎(chǔ) 目前通常說的入侵就是指對(duì)系統(tǒng)資源的非授權(quán)操作，可造成系統(tǒng)數(shù)據(jù)的丟失和破話、甚至?xí)斐上到y(tǒng)具絕對(duì)合法用戶服務(wù)等問題． Smaha從分類的角度將入侵描述成嘗試性闖入、偽裝攻擊、安全控制系統(tǒng)滲透、泄露、拒絕服務(wù)、惡意使用等六類．入侵者通常 可分為外部入侵者，例如黑客等系統(tǒng)的非法用戶，和內(nèi)部入侵者，即越權(quán)使用系統(tǒng)資源的用戶． 入侵檢測(cè)技術(shù)是近年來飛速發(fā)展起來的一種動(dòng)態(tài)的集監(jiān)控、預(yù)防和抵御系統(tǒng)入侵行為為一體的新型安全機(jī)制．作為傳統(tǒng)安全機(jī)制的補(bǔ)充，入侵檢測(cè)技術(shù)不再是被動(dòng)的對(duì)入侵行為進(jìn)行識(shí)別和防護(hù)，而是能夠提出預(yù)警并實(shí)行相應(yīng)反應(yīng)動(dòng)作．美國(guó)國(guó)際計(jì)算機(jī)安全協(xié)會(huì)（ ICSA）將入侵檢測(cè)定義為：通過從計(jì)算機(jī) Network或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn) Network或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術(shù)．違反安 全策略的行為有入侵和濫用．通常來說入侵檢測(cè)是對(duì)計(jì)算機(jī)和 Network資源上的惡意使用行為進(jìn)行識(shí)別和相應(yīng)處理的過程，具有智能監(jiān)控、實(shí)時(shí)探測(cè)、動(dòng)態(tài)響應(yīng)、易于配置等特點(diǎn)．入侵檢測(cè)的目標(biāo)就是通過檢查操作系統(tǒng)的安全日志或 Network數(shù)據(jù)包信息來檢測(cè)系統(tǒng)中違背安全策略或危及系統(tǒng)安全的行為或活動(dòng)，從而保護(hù)信息系統(tǒng)的資源免受拒絕服務(wù)攻擊、防止系統(tǒng)數(shù)據(jù)的泄漏、篡改和破壞．傳統(tǒng)安全機(jī)制大多針對(duì)的是外部入侵者，而入侵檢測(cè)不僅可以檢測(cè)來自外部的攻擊，同時(shí)也可以監(jiān)控內(nèi)部用戶的非授權(quán)行為