【正文】 利用用戶的賬號（如 Email賬號）進行暴力破解（字典破解），當然利用系統(tǒng)管理員的失誤，復制存放 Password 的文件，進一步利用解密算法也可以達到破解的目的。 (3)WWW 攻擊：這一技術常采用兩種方式進行，一種是 URL（統(tǒng)一資源定位器）地址重寫， 6 另一種是相關信息掩蓋。常常使用 Java、 ActiveX、 JavaScript 程序來完成。攻擊者利用在被攻擊者的計算機中安裝通過端口進行通信的客戶機 /服務器程序，使被控制端啟動一個默認端口，成為服務器，而攻擊者作為客戶機一方，利用此端口可以發(fā)出連接請求，進而啟動被控制端的相應程序，將該計算機完全控制；或者在被攻擊的計算機內安裝具有觸發(fā)機制的程序，當對該機操作觸發(fā)該程序，可將計算機內的重要信息定時或不定時傳到異地的機器上去。 (5)緩沖區(qū)溢出攻擊：由于軟件編碼或是系統(tǒng)本身沒有對執(zhí)行的程序與緩 沖施加控制，使得在接受輸入的過程中，當攻擊通過往程序的緩沖區(qū)寫入超出其長度的內容時，系統(tǒng)會處于不穩(wěn)定狀態(tài)，利用這種不穩(wěn)定狀態(tài)，攻擊者可以通過加入代碼，在有 ROOT 權限的內存中運行想要的指令，從而擁有系統(tǒng)管理員的權限，控制該機。 (6)Dos攻擊：引起拒絕服務攻擊原因很多，有的是操作系統(tǒng)漏洞，有的是協(xié)議漏洞，有的是軟件本身的漏洞，還有的是錯誤配置的原因。常用的工具有 Smurf、 Stacheldraht、 Trinoo 等。當主控端發(fā)出攻擊命令，每個響應攻擊命令的代理端會向目標主機發(fā)送拒絕服務攻擊的數據包，達到攻擊的目的。 3 網絡安全體系 面對越來越嚴重的網絡安全問題，人們制定 了一系列的安全法則和評測標準，用來構筑一個相對穩(wěn)固的安全系統(tǒng)。但是，傳統(tǒng)的身份認證技術，并不能抵制脆弱性的口令、字典攻擊、特洛伊木馬、網絡窺探器等攻擊手段。網絡防火墻雖然為網絡服務提供了較好的身份認證和訪問控制技術，但是防火墻并不能阻擋所有的入侵行為。在這個模型中，構筑一個安全系統(tǒng)防御模塊只是其中一小部分。調查模塊將檢測模塊所獲得的數據加以分析，并確認當前所發(fā)生的有關入侵企圖。在這以前，人們的注意力集中在防御模塊上，隨著系統(tǒng)脆弱性評估及入侵檢測工作的深入，檢測模塊也越來越受到人們的重視，而后兩個模塊的工作尚有待于進一步的開展。安全的概念已經不局限于信息的保護，人們需要的是對整個信息 和信息系統(tǒng)的保護和防御，從而確保它們的保密性、完整性、可用性、可控性、不可否認性等，包括了對信息的保護、檢測、反應和恢復能力（ PDRR），其基本組成如圖 12所示。 入侵檢測，就是對入侵行為的發(fā)現(xiàn)。 IDS通常架設在網絡重要節(jié)點與主機系統(tǒng)之上，可檢測網絡流量與內容，或者分析網絡內的信息流動。其主要作用是執(zhí)行安全策略、提供訪問控制、防止不希望的以及未授權的通訊進出被保護的網絡、強化內部網絡安全等。其原理是通過在操作系統(tǒng)的網絡協(xié)議框架的適當位置插入攔截點，讓所有的數據包都通過攔截點，再根據安全策略制定的過濾規(guī)則對通過的數據包進行檢查，過濾掉不允許通過的數據包，以保護主機不受外界的非法訪問和攻擊。就目前的發(fā)展現(xiàn)狀來看， IDS還不能做到完全的自動化，對于檢測結果的最終確認必須有人的參與，而數量龐大的報警和日志超出人的處理能力，必須找到辦法來解決這一問題。由于響應及時性不夠并且無法處理大規(guī)模高速網絡中大量的安全事件，該方法已經不能夠滿足目前入侵響應的需求。分布式入侵檢測體系結構具有良好的性能 和可擴展性，它將入侵潔廁系統(tǒng)和防火墻技術有機地結合在一起，可以實現(xiàn)對網絡的全面保護和深度防御。接著，重點研究了分布式入侵檢測系統(tǒng)的體系結構和各個功能的設計實現(xiàn)，具體研究內容包括：系統(tǒng)結構、控制臺設計、報警融合、報警響應。 論文組織與安排 本文共分為五章。防火墻是一種網絡安全軟件，作為一個應用程序或者服務，運行在受保護的主機上，為主機提供網絡安全保護。對于主機防火墻來講，主機以外的網絡都是不可信的，而不像傳統(tǒng)邊界防火墻那樣信任內網、防御外網。 1 防火墻的功能： （ 1） 過濾不安全服務和非法用戶 網路入侵有許多都是通過運行一些不安全的程序來實現(xiàn)的，這些程序有些是用戶知道的，有些是用戶不能擦覺的，它通過網絡悄悄地潛入你的計算機系統(tǒng)，伺機發(fā)作，實施破壞。這樣既可以保證正常的上網活動，又可以防止危機數據對自己的侵襲，保證上網安全。 （ 2） 控制訪問特殊站點 一般情況下，上網以后可以獲得各種信息，而網上信息五花八門，各式各樣的內容都有。 （ 3） 監(jiān)視 Inter 安全和預警 對于來歷不明的數據，防火墻可以發(fā)出預警信息，同時可以監(jiān)視誰在使用網絡，他們在網上干什么，他們何時使用過網絡，在網上去了何處等內容，獲得相關數據，為日后的安全技術分析提供依據。系統(tǒng)管理員也可以根據實際情況靈活制訂判 斷規(guī)則。 （ 3） 規(guī)則檢查防火墻 規(guī)則檢查防火墻集中了上述二類防火墻的特點，同時又有自己先進的算法，因此安全功能更好，目前市場上流行的防火墻大多屬于該類產品。常用的入侵檢測技術分為兩大類，即濫用檢測和異常檢測 [6]。 （ 1） 濫用入侵檢測技術 濫用入侵檢測技術的應用是建立在對過去各種已知網絡入 侵方法和系統(tǒng)缺陷知識的積累上，它需要首先建立一個包含上述已知信息的數據庫，然后在收集到的網絡活動信息中尋找與數據庫項目匹配相關的蛛絲馬跡。因此，濫用檢測系統(tǒng)具備較高的檢測準確性，但是，它的完整性（即檢測全部入侵行為的能力）則取決于其數據庫的幾時更新程度。然而，濫用入侵檢測技術的一個明顯缺陷在于，手機所有已知或是已發(fā)現(xiàn)攻擊行為和系統(tǒng)脆弱性信息的困難性以及幾時更新龐大數據庫需要消耗大量精力和時間，這是一項艱苦工作。最后，檢測內部用戶的濫用權限的活動將變得相當困難，因為通常該種行為并未利用任何系統(tǒng)缺陷。 專家系統(tǒng)技術在各種開發(fā)模型中得到廣泛應用。這里，原始的審計數據被抽象成系統(tǒng)能夠理解的事實，有利于進一步應用更高層次的各種分析技術。由于處理速度的原因，專家系統(tǒng)技術目前只是在各種研究原型中得到應用，而商業(yè)化的軟件產品采用了其他效率更高的技術，其中目前應用最廣泛的就是特征分析技術。 （ 2） 異常檢測技術 又稱為基于行為（ Behavior Based）的入侵檢測技術，它是建立在如下假設基礎上的，即任何一種入侵 行為都能由于其偏離正?；蛘咂谕南到y(tǒng)和用戶的活動規(guī)律而被檢測出來。入侵檢測系統(tǒng)將它與當前的活動情況進行對比，如果發(fā)現(xiàn)了當前狀態(tài)偏離了正常的模型狀態(tài)，則系統(tǒng)發(fā)出警 11 告信號，這就是說，任何不符合以往活動規(guī)律的行為都將視為入侵行為。 此類檢測技術的優(yōu)點在于它能夠發(fā)現(xiàn)任何企圖發(fā)掘、試探系統(tǒng)最新和未知漏洞的行為，同時在某種程度上，它較少依賴特定的操作系統(tǒng)環(huán)境。 較高的虛報警率是此種方法的主要缺陷，因為信息系統(tǒng)所有的正?；顒硬⒉灰欢ㄔ趯W習建模階段就被全部了解。該過程將帶來兩個可能后果，其一是在線學習階段，入侵檢測系統(tǒng)無法正常工作，否則生成額外的虛報警信號。 在非規(guī)則入侵檢測中，最廣泛使用的技術是統(tǒng)計 分析 (Statistics Analysis)。在最初的模型中，系統(tǒng)計算出所有的變量的平均值，然后根據平均偏差檢測當前行為是否超過了某一值，當然，這樣的模型是很簡單和粗糙的，無法準確檢測異常活動。目前在幾種非規(guī)則檢測系統(tǒng)中使用了一種更加復雜的模型，檢測系統(tǒng)同時計算并比較每個用戶的長期和 短期活動狀態(tài)，而狀態(tài)信息隨著用戶行為的變化而不斷更新。神經網絡技術通學習已有輸入 —— 輸出矢量對集合，進而抽象出其內在的聯(lián)系，然后得到新的輸入 —— 輸出的關系；這種技術在理論上能夠用來審計數據流中檢測入侵的痕跡。神經網絡技術和統(tǒng)計分析技術的某些相似之處已經被理論證明，而使用神經網絡技術的優(yōu)勢在于它們能夠以一種更加簡潔快速的方式來表示各種狀態(tài)變量之間的非線性關系，同時，能夠自動進行學習 /重新訓練的過程 。有些入侵檢測系統(tǒng)在檢測到入侵特征后還試圖做出某些響應，以遏制或阻止對系統(tǒng)的威脅或破壞。據 FBI的研究， 80%的入侵和攻擊行為來自于組織機構內部。 3 入侵檢測的分類 現(xiàn)有的分類，大都基于信息源和 分析 方法進行分類。當有文件被修改時， IDS將新的記錄條目與已知的攻擊特征相比較，看它們是否匹配。 基于主機的 IDS 在發(fā)展過程 中融 入了其他技術。反應的快慢取決于輪訊間隔時間的長短。這類檢測方法將基于網絡的入侵檢測的基本方法融入到基于主機的檢測環(huán)境中。它通常利用一個工作在混雜模式下的網卡來實時監(jiān)視并 分析 通過網絡的數據流。一旦檢測到了攻擊行為， IDS的響應模塊就做出適當的響應，比如報警、切斷相關用戶的網絡連接等。 基于主機和基于網絡的入侵檢測系統(tǒng)的集成 許多機構的網絡 安全 解決方案都同時采用了基于主機和基于網絡的兩種入侵檢測系統(tǒng)。實際上，許多客戶在使 用 IDS時都配置了基于網絡的入侵檢測。 DNS、 Email和 Web 服務器 經常是攻擊的目標，但是它們又必須與外部網絡交互，不可能對其進行全部屏蔽，所以應當在各個 服務器上安裝基于主機的入侵檢測系統(tǒng)，其檢測結果也要向分析員控制臺報告。下面給出一個中等規(guī)模的機構設置入侵檢測系統(tǒng)的入侵檢測解決方案 [6, 7]。常用的檢測技術為： 專家系統(tǒng)：采用一系列的檢測規(guī)則分析入侵的特征行為。除了知識庫的完備性外，專家系統(tǒng)還依靠條件庫的完備性，這一點又取決于審計記錄的完備性、實時性和易用性。 基于模型的入侵檢測方法：入侵 者在攻擊一個系統(tǒng)時往往采用一定的行為序列，如猜測口令 13 的行為序列。與專家系統(tǒng)通常放棄處理那些不確定的中間結論的缺點相比，這一方法的優(yōu)點在于它基于完善的不確定性推理數學理論。當這些事件發(fā)生后，再開始記錄詳細的審計，從而減少審計事件處理負荷。為分布式 IDS 系統(tǒng)所采用。當新的審計事件產生時，這一方法將尋找與它相匹配的已知入侵模式。近年來己有關于運用神經網絡進行入侵檢測實驗的報道，但還沒有正式的產品問世。為實現(xiàn)該類檢測， IDS 建立正常活動的“規(guī)范集（ Normal profile）”，當主體的活動違反其統(tǒng)計規(guī)律時，認為可能是“入侵”行為。這種能力不受系統(tǒng)以前是否知道這種入侵與否的限制，所以能夠檢測新的入侵行為。比如 CPU 使用率、內存使用率、登錄的時間和次數、網絡活動、文件的改動等。另外檢測效率也不高，檢測時間較長。 統(tǒng)計方法是當前產品化的入侵檢測系統(tǒng)中常用的方法，它是一種成熟的入侵檢測方法，它使入侵檢測系統(tǒng)能夠學習主體的日常行為，將那些與正?；顒又g存在較大統(tǒng)計偏差的活動標識成為異?；顒印＝y(tǒng)計方法的最大優(yōu)點是它可以“學習”用戶的使用習慣，從而具有較高檢出率與可用性。 防火墻與入侵檢測系統(tǒng)的局限性 現(xiàn)有防火墻的不足 限制了對希望服務的訪問 。 大量的潛在的后門防火墻不能保護節(jié)點系統(tǒng)上的潛在的后門。 無法檢測加密的 Web 流量 14 如果你正在部署一個關鍵的門戶網站，希望所有的網絡層和應用層的漏洞都被屏蔽在應用程序之外。 由于網絡防火墻對于加密的 SSL 流中的數據是不可見的，防火墻無法迅速截獲 SSL 數據流并對其解密，因此無法阻止應用程序的攻擊，甚至有些網絡防火墻，根本就不提供 數據解密 的功能。對于應用程序加密的數據，同樣也不可見。只有當應用層攻擊行為的特征與防火墻中的數據庫中已有的特征完全匹配時，防 火墻才能識別和截獲攻擊數據。這種加密后的攻擊代碼，只要與防火墻規(guī)則庫中的規(guī)則不一樣，就能夠躲過網絡防火墻，成功避開特征匹配?；跔顟B(tài)檢測的防火墻，其設計原理，是基于網絡層 TCP 和 IP 地址，來設置與加強狀態(tài)訪問控制列表 (ACLs， Access Control Lists)。 近年來，實際應用過程中， HTTP 是主要的傳輸協(xié)議。網絡防火墻的防護范圍，發(fā)生了變化。 由于體系結構的原因，即使是最先進的網絡防火墻，在防范 Web應用程序時，由 于無法全面控制網絡、應用程序和數據流，也無法截獲應用層的攻擊。 經常需要增加或更新軟件模塊 。 在這樣動態(tài)復雜的環(huán)境中，安全專家們需要采用靈活的、粗粒度的方法，實施有效的防護策略。細看就會發(fā)現(xiàn)，對于實際的企業(yè)應用來說，這些特征存在著局限性。 比如，有些防火墻供應商，曾經聲稱能夠阻止緩存溢出：當黑客在瀏覽器的 URL 中輸入太長數據，試圖使后臺服務崩潰或使試圖非法訪問的時候，網絡防火墻能夠檢測并制止這種情況。 如果使用這個規(guī)則，將對所有的應用 程序生效。 網絡防火墻的體系結構，決定了網絡防火墻是針對網絡端口和網絡層進行操作的，因此很難對應用層進行防護，除非是一些很簡單的應用程序。 真正的針對所有網絡和應用程序流量的深度檢測功能，需要空前的處理能力，來完成大量的計算任務，包括以下幾個方面： SSL 加密 /解密功能 。 確保所有合法流量的正?；?。 這些任務，在基于標準 PC 硬件上，是無法高效運行的，雖然一些網絡防火墻供應商采用的是基于 ASIC 的平臺，但進一步研究，就能發(fā)現(xiàn)：舊的基于網絡的 ASIC 平臺對于新的深度檢測功能是無法支持的 3 入侵檢測系統(tǒng)不足 (1) IDS 系統(tǒng)本身還在迅速發(fā)展和變化，遠未成熟 (2) 現(xiàn)有 IDS 系統(tǒng)錯報或虛警概率偏高，嚴重干擾了結果 (3) IDS 與其它安全技術的協(xié)作性不夠 (4) IDS 缺少對檢測結果作進一步說明和分析的輔助工具 IDS 面臨的挑戰(zhàn) 目前，入侵檢測系統(tǒng)也面臨著若干先要的挑戰(zhàn)。技術方面的主要挑戰(zhàn)包括： 1)網絡規(guī)模和復雜程