【正文】 利用用戶的賬號（如 Email賬號）進行暴力破解（字典破解），當然利用系統(tǒng)管理員的失誤，復(fù)制存放 Password 的文件，進一步利用解密算法也可以達到破解的目的。 (3)WWW 攻擊：這一技術(shù)常采用兩種方式進行，一種是 URL（統(tǒng)一資源定位器）地址重寫， 6 另一種是相關(guān)信息掩蓋。常常使用 Java、 ActiveX、 JavaScript 程序來完成。攻擊者利用在被攻擊者的計算機中安裝通過端口進行通信的客戶機 /服務(wù)器程序，使被控制端啟動一個默認端口，成為服務(wù)器，而攻擊者作為客戶機一方，利用此端口可以發(fā)出連接請求，進而啟動被控制端的相應(yīng)程序，將該計算機完全控制；或者在被攻擊的計算機內(nèi)安裝具有觸發(fā)機制的程序，當對該機操作觸發(fā)該程序，可將計算機內(nèi)的重要信息定時或不定時傳到異地的機器上去。 (5)緩沖區(qū)溢出攻擊：由于軟件編碼或是系統(tǒng)本身沒有對執(zhí)行的程序與緩 沖施加控制，使得在接受輸入的過程中，當攻擊通過往程序的緩沖區(qū)寫入超出其長度的內(nèi)容時，系統(tǒng)會處于不穩(wěn)定狀態(tài)，利用這種不穩(wěn)定狀態(tài)，攻擊者可以通過加入代碼，在有 ROOT 權(quán)限的內(nèi)存中運行想要的指令，從而擁有系統(tǒng)管理員的權(quán)限，控制該機。 (6)Dos攻擊：引起拒絕服務(wù)攻擊原因很多，有的是操作系統(tǒng)漏洞，有的是協(xié)議漏洞，有的是軟件本身的漏洞，還有的是錯誤配置的原因。常用的工具有 Smurf、 Stacheldraht、 Trinoo 等。當主控端發(fā)出攻擊命令，每個響應(yīng)攻擊命令的代理端會向目標主機發(fā)送拒絕服務(wù)攻擊的數(shù)據(jù)包，達到攻擊的目的。 3 網(wǎng)絡(luò)安全體系 面對越來越嚴重的網(wǎng)絡(luò)安全問題，人們制定 了一系列的安全法則和評測標準，用來構(gòu)筑一個相對穩(wěn)固的安全系統(tǒng)。但是，傳統(tǒng)的身份認證技術(shù)，并不能抵制脆弱性的口令、字典攻擊、特洛伊木馬、網(wǎng)絡(luò)窺探器等攻擊手段。網(wǎng)絡(luò)防火墻雖然為網(wǎng)絡(luò)服務(wù)提供了較好的身份認證和訪問控制技術(shù)，但是防火墻并不能阻擋所有的入侵行為。在這個模型中，構(gòu)筑一個安全系統(tǒng)防御模塊只是其中一小部分。調(diào)查模塊將檢測模塊所獲得的數(shù)據(jù)加以分析，并確認當前所發(fā)生的有關(guān)入侵企圖。在這以前，人們的注意力集中在防御模塊上，隨著系統(tǒng)脆弱性評估及入侵檢測工作的深入，檢測模塊也越來越受到人們的重視，而后兩個模塊的工作尚有待于進一步的開展。安全的概念已經(jīng)不局限于信息的保護，人們需要的是對整個信息 和信息系統(tǒng)的保護和防御，從而確保它們的保密性、完整性、可用性、可控性、不可否認性等，包括了對信息的保護、檢測、反應(yīng)和恢復(fù)能力（ PDRR），其基本組成如圖 12所示。 入侵檢測，就是對入侵行為的發(fā)現(xiàn)。 IDS通常架設(shè)在網(wǎng)絡(luò)重要節(jié)點與主機系統(tǒng)之上，可檢測網(wǎng)絡(luò)流量與內(nèi)容，或者分析網(wǎng)絡(luò)內(nèi)的信息流動。其主要作用是執(zhí)行安全策略、提供訪問控制、防止不希望的以及未授權(quán)的通訊進出被保護的網(wǎng)絡(luò)、強化內(nèi)部網(wǎng)絡(luò)安全等。其原理是通過在操作系統(tǒng)的網(wǎng)絡(luò)協(xié)議框架的適當位置插入攔截點，讓所有的數(shù)據(jù)包都通過攔截點，再根據(jù)安全策略制定的過濾規(guī)則對通過的數(shù)據(jù)包進行檢查，過濾掉不允許通過的數(shù)據(jù)包，以保護主機不受外界的非法訪問和攻擊。就目前的發(fā)展現(xiàn)狀來看， IDS還不能做到完全的自動化，對于檢測結(jié)果的最終確認必須有人的參與，而數(shù)量龐大的報警和日志超出人的處理能力，必須找到辦法來解決這一問題。由于響應(yīng)及時性不夠并且無法處理大規(guī)模高速網(wǎng)絡(luò)中大量的安全事件，該方法已經(jīng)不能夠滿足目前入侵響應(yīng)的需求。分布式入侵檢測體系結(jié)構(gòu)具有良好的性能 和可擴展性，它將入侵潔廁系統(tǒng)和防火墻技術(shù)有機地結(jié)合在一起，可以實現(xiàn)對網(wǎng)絡(luò)的全面保護和深度防御。接著，重點研究了分布式入侵檢測系統(tǒng)的體系結(jié)構(gòu)和各個功能的設(shè)計實現(xiàn)，具體研究內(nèi)容包括：系統(tǒng)結(jié)構(gòu)、控制臺設(shè)計、報警融合、報警響應(yīng)。 論文組織與安排 本文共分為五章。防火墻是一種網(wǎng)絡(luò)安全軟件，作為一個應(yīng)用程序或者服務(wù)，運行在受保護的主機上，為主機提供網(wǎng)絡(luò)安全保護。對于主機防火墻來講，主機以外的網(wǎng)絡(luò)都是不可信的，而不像傳統(tǒng)邊界防火墻那樣信任內(nèi)網(wǎng)、防御外網(wǎng)。 1 防火墻的功能： （ 1） 過濾不安全服務(wù)和非法用戶 網(wǎng)路入侵有許多都是通過運行一些不安全的程序來實現(xiàn)的，這些程序有些是用戶知道的，有些是用戶不能擦覺的，它通過網(wǎng)絡(luò)悄悄地潛入你的計算機系統(tǒng)，伺機發(fā)作，實施破壞。這樣既可以保證正常的上網(wǎng)活動，又可以防止危機數(shù)據(jù)對自己的侵襲，保證上網(wǎng)安全。 （ 2） 控制訪問特殊站點 一般情況下，上網(wǎng)以后可以獲得各種信息，而網(wǎng)上信息五花八門，各式各樣的內(nèi)容都有。 （ 3） 監(jiān)視 Inter 安全和預(yù)警 對于來歷不明的數(shù)據(jù)，防火墻可以發(fā)出預(yù)警信息，同時可以監(jiān)視誰在使用網(wǎng)絡(luò)，他們在網(wǎng)上干什么，他們何時使用過網(wǎng)絡(luò)，在網(wǎng)上去了何處等內(nèi)容，獲得相關(guān)數(shù)據(jù)，為日后的安全技術(shù)分析提供依據(jù)。系統(tǒng)管理員也可以根據(jù)實際情況靈活制訂判 斷規(guī)則。 （ 3） 規(guī)則檢查防火墻 規(guī)則檢查防火墻集中了上述二類防火墻的特點，同時又有自己先進的算法，因此安全功能更好，目前市場上流行的防火墻大多屬于該類產(chǎn)品。常用的入侵檢測技術(shù)分為兩大類，即濫用檢測和異常檢測 [6]。 （ 1） 濫用入侵檢測技術(shù) 濫用入侵檢測技術(shù)的應(yīng)用是建立在對過去各種已知網(wǎng)絡(luò)入 侵方法和系統(tǒng)缺陷知識的積累上，它需要首先建立一個包含上述已知信息的數(shù)據(jù)庫，然后在收集到的網(wǎng)絡(luò)活動信息中尋找與數(shù)據(jù)庫項目匹配相關(guān)的蛛絲馬跡。因此，濫用檢測系統(tǒng)具備較高的檢測準確性，但是，它的完整性（即檢測全部入侵行為的能力）則取決于其數(shù)據(jù)庫的幾時更新程度。然而，濫用入侵檢測技術(shù)的一個明顯缺陷在于，手機所有已知或是已發(fā)現(xiàn)攻擊行為和系統(tǒng)脆弱性信息的困難性以及幾時更新龐大數(shù)據(jù)庫需要消耗大量精力和時間，這是一項艱苦工作。最后，檢測內(nèi)部用戶的濫用權(quán)限的活動將變得相當困難，因為通常該種行為并未利用任何系統(tǒng)缺陷。 專家系統(tǒng)技術(shù)在各種開發(fā)模型中得到廣泛應(yīng)用。這里，原始的審計數(shù)據(jù)被抽象成系統(tǒng)能夠理解的事實，有利于進一步應(yīng)用更高層次的各種分析技術(shù)。由于處理速度的原因，專家系統(tǒng)技術(shù)目前只是在各種研究原型中得到應(yīng)用，而商業(yè)化的軟件產(chǎn)品采用了其他效率更高的技術(shù)，其中目前應(yīng)用最廣泛的就是特征分析技術(shù)。 （ 2） 異常檢測技術(shù) 又稱為基于行為（ Behavior Based）的入侵檢測技術(shù)，它是建立在如下假設(shè)基礎(chǔ)上的，即任何一種入侵 行為都能由于其偏離正?；蛘咂谕南到y(tǒng)和用戶的活動規(guī)律而被檢測出來。入侵檢測系統(tǒng)將它與當前的活動情況進行對比，如果發(fā)現(xiàn)了當前狀態(tài)偏離了正常的模型狀態(tài)，則系統(tǒng)發(fā)出警 11 告信號，這就是說，任何不符合以往活動規(guī)律的行為都將視為入侵行為。 此類檢測技術(shù)的優(yōu)點在于它能夠發(fā)現(xiàn)任何企圖發(fā)掘、試探系統(tǒng)最新和未知漏洞的行為，同時在某種程度上，它較少依賴特定的操作系統(tǒng)環(huán)境。 較高的虛報警率是此種方法的主要缺陷，因為信息系統(tǒng)所有的正常活動并不一定在學(xué)習建模階段就被全部了解。該過程將帶來兩個可能后果，其一是在線學(xué)習階段，入侵檢測系統(tǒng)無法正常工作，否則生成額外的虛報警信號。 在非規(guī)則入侵檢測中，最廣泛使用的技術(shù)是統(tǒng)計 分析 (Statistics Analysis)。在最初的模型中，系統(tǒng)計算出所有的變量的平均值，然后根據(jù)平均偏差檢測當前行為是否超過了某一值，當然，這樣的模型是很簡單和粗糙的，無法準確檢測異?；顒印Ｄ壳霸趲追N非規(guī)則檢測系統(tǒng)中使用了一種更加復(fù)雜的模型，檢測系統(tǒng)同時計算并比較每個用戶的長期和 短期活動狀態(tài)，而狀態(tài)信息隨著用戶行為的變化而不斷更新。神經(jīng)網(wǎng)絡(luò)技術(shù)通學(xué)習已有輸入 —— 輸出矢量對集合，進而抽象出其內(nèi)在的聯(lián)系，然后得到新的輸入 —— 輸出的關(guān)系；這種技術(shù)在理論上能夠用來審計數(shù)據(jù)流中檢測入侵的痕跡。神經(jīng)網(wǎng)絡(luò)技術(shù)和統(tǒng)計分析技術(shù)的某些相似之處已經(jīng)被理論證明，而使用神經(jīng)網(wǎng)絡(luò)技術(shù)的優(yōu)勢在于它們能夠以一種更加簡潔快速的方式來表示各種狀態(tài)變量之間的非線性關(guān)系，同時，能夠自動進行學(xué)習 /重新訓(xùn)練的過程 。有些入侵檢測系統(tǒng)在檢測到入侵特征后還試圖做出某些響應(yīng)，以遏制或阻止對系統(tǒng)的威脅或破壞。據(jù) FBI的研究， 80%的入侵和攻擊行為來自于組織機構(gòu)內(nèi)部。 3 入侵檢測的分類 現(xiàn)有的分類，大都基于信息源和 分析 方法進行分類。當有文件被修改時， IDS將新的記錄條目與已知的攻擊特征相比較，看它們是否匹配。 基于主機的 IDS 在發(fā)展過程 中融 入了其他技術(shù)。反應(yīng)的快慢取決于輪訊間隔時間的長短。這類檢測方法將基于網(wǎng)絡(luò)的入侵檢測的基本方法融入到基于主機的檢測環(huán)境中。它通常利用一個工作在混雜模式下的網(wǎng)卡來實時監(jiān)視并 分析 通過網(wǎng)絡(luò)的數(shù)據(jù)流。一旦檢測到了攻擊行為， IDS的響應(yīng)模塊就做出適當?shù)捻憫?yīng)，比如報警、切斷相關(guān)用戶的網(wǎng)絡(luò)連接等。 基于主機和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的集成 許多機構(gòu)的網(wǎng)絡(luò) 安全 解決方案都同時采用了基于主機和基于網(wǎng)絡(luò)的兩種入侵檢測系統(tǒng)。實際上，許多客戶在使 用 IDS時都配置了基于網(wǎng)絡(luò)的入侵檢測。 DNS、 Email和 Web 服務(wù)器 經(jīng)常是攻擊的目標，但是它們又必須與外部網(wǎng)絡(luò)交互，不可能對其進行全部屏蔽，所以應(yīng)當在各個 服務(wù)器上安裝基于主機的入侵檢測系統(tǒng)，其檢測結(jié)果也要向分析員控制臺報告。下面給出一個中等規(guī)模的機構(gòu)設(shè)置入侵檢測系統(tǒng)的入侵檢測解決方案 [6, 7]。常用的檢測技術(shù)為： 專家系統(tǒng)：采用一系列的檢測規(guī)則分析入侵的特征行為。除了知識庫的完備性外，專家系統(tǒng)還依靠條件庫的完備性，這一點又取決于審計記錄的完備性、實時性和易用性。 基于模型的入侵檢測方法：入侵 者在攻擊一個系統(tǒng)時往往采用一定的行為序列，如猜測口令 13 的行為序列。與專家系統(tǒng)通常放棄處理那些不確定的中間結(jié)論的缺點相比，這一方法的優(yōu)點在于它基于完善的不確定性推理數(shù)學(xué)理論。當這些事件發(fā)生后，再開始記錄詳細的審計，從而減少審計事件處理負荷。為分布式 IDS 系統(tǒng)所采用。當新的審計事件產(chǎn)生時，這一方法將尋找與它相匹配的已知入侵模式。近年來己有關(guān)于運用神經(jīng)網(wǎng)絡(luò)進行入侵檢測實驗的報道，但還沒有正式的產(chǎn)品問世。為實現(xiàn)該類檢測， IDS 建立正常活動的“規(guī)范集（ Normal profile）”，當主體的活動違反其統(tǒng)計規(guī)律時，認為可能是“入侵”行為。這種能力不受系統(tǒng)以前是否知道這種入侵與否的限制，所以能夠檢測新的入侵行為。比如 CPU 使用率、內(nèi)存使用率、登錄的時間和次數(shù)、網(wǎng)絡(luò)活動、文件的改動等。另外檢測效率也不高，檢測時間較長。 統(tǒng)計方法是當前產(chǎn)品化的入侵檢測系統(tǒng)中常用的方法，它是一種成熟的入侵檢測方法，它使入侵檢測系統(tǒng)能夠?qū)W習主體的日常行為，將那些與正?；顒又g存在較大統(tǒng)計偏差的活動標識成為異常活動。統(tǒng)計方法的最大優(yōu)點是它可以“學(xué)習”用戶的使用習慣，從而具有較高檢出率與可用性。 防火墻與入侵檢測系統(tǒng)的局限性 現(xiàn)有防火墻的不足 限制了對希望服務(wù)的訪問 。 大量的潛在的后門防火墻不能保護節(jié)點系統(tǒng)上的潛在的后門。 無法檢測加密的 Web 流量 14 如果你正在部署一個關(guān)鍵的門戶網(wǎng)站，希望所有的網(wǎng)絡(luò)層和應(yīng)用層的漏洞都被屏蔽在應(yīng)用程序之外。 由于網(wǎng)絡(luò)防火墻對于加密的 SSL 流中的數(shù)據(jù)是不可見的，防火墻無法迅速截獲 SSL 數(shù)據(jù)流并對其解密，因此無法阻止應(yīng)用程序的攻擊，甚至有些網(wǎng)絡(luò)防火墻，根本就不提供 數(shù)據(jù)解密 的功能。對于應(yīng)用程序加密的數(shù)據(jù)，同樣也不可見。只有當應(yīng)用層攻擊行為的特征與防火墻中的數(shù)據(jù)庫中已有的特征完全匹配時，防 火墻才能識別和截獲攻擊數(shù)據(jù)。這種加密后的攻擊代碼，只要與防火墻規(guī)則庫中的規(guī)則不一樣，就能夠躲過網(wǎng)絡(luò)防火墻，成功避開特征匹配?；跔顟B(tài)檢測的防火墻，其設(shè)計原理，是基于網(wǎng)絡(luò)層 TCP 和 IP 地址，來設(shè)置與加強狀態(tài)訪問控制列表 (ACLs， Access Control Lists)。 近年來，實際應(yīng)用過程中， HTTP 是主要的傳輸協(xié)議。網(wǎng)絡(luò)防火墻的防護范圍，發(fā)生了變化。 由于體系結(jié)構(gòu)的原因，即使是最先進的網(wǎng)絡(luò)防火墻，在防范 Web應(yīng)用程序時，由 于無法全面控制網(wǎng)絡(luò)、應(yīng)用程序和數(shù)據(jù)流，也無法截獲應(yīng)用層的攻擊。 經(jīng)常需要增加或更新軟件模塊 。 在這樣動態(tài)復(fù)雜的環(huán)境中，安全專家們需要采用靈活的、粗粒度的方法，實施有效的防護策略。細看就會發(fā)現(xiàn)，對于實際的企業(yè)應(yīng)用來說，這些特征存在著局限性。 比如，有些防火墻供應(yīng)商，曾經(jīng)聲稱能夠阻止緩存溢出：當黑客在瀏覽器的 URL 中輸入太長數(shù)據(jù)，試圖使后臺服務(wù)崩潰或使試圖非法訪問的時候，網(wǎng)絡(luò)防火墻能夠檢測并制止這種情況。 如果使用這個規(guī)則，將對所有的應(yīng)用 程序生效。 網(wǎng)絡(luò)防火墻的體系結(jié)構(gòu)，決定了網(wǎng)絡(luò)防火墻是針對網(wǎng)絡(luò)端口和網(wǎng)絡(luò)層進行操作的，因此很難對應(yīng)用層進行防護，除非是一些很簡單的應(yīng)用程序。 真正的針對所有網(wǎng)絡(luò)和應(yīng)用程序流量的深度檢測功能，需要空前的處理能力，來完成大量的計算任務(wù)，包括以下幾個方面： SSL 加密 /解密功能 。 確保所有合法流量的正常化 。 這些任務(wù)，在基于標準 PC 硬件上，是無法高效運行的，雖然一些網(wǎng)絡(luò)防火墻供應(yīng)商采用的是基于 ASIC 的平臺，但進一步研究，就能發(fā)現(xiàn)：舊的基于網(wǎng)絡(luò)的 ASIC 平臺對于新的深度檢測功能是無法支持的 3 入侵檢測系統(tǒng)不足 (1) IDS 系統(tǒng)本身還在迅速發(fā)展和變化，遠未成熟 (2) 現(xiàn)有 IDS 系統(tǒng)錯報或虛警概率偏高，嚴重干擾了結(jié)果 (3) IDS 與其它安全技術(shù)的協(xié)作性不夠 (4) IDS 缺少對檢測結(jié)果作進一步說明和分析的輔助工具 IDS 面臨的挑戰(zhàn) 目前，入侵檢測系統(tǒng)也面臨著若干先要的挑戰(zhàn)。技術(shù)方面的主要挑戰(zhàn)包括： 1)網(wǎng)絡(luò)規(guī)模和復(fù)雜程