【正文】 集到審計(jì)數(shù)據(jù)，為各種入侵行為和正常操作建立精確的行為模式。但是這些方法都有一定的缺點(diǎn)。隨著網(wǎng)絡(luò)的發(fā)展，F(xiàn)BI/CSI的統(tǒng)計(jì)數(shù)字表明入侵和攻擊的模式發(fā)生了變化。從而促使網(wǎng)絡(luò)安全領(lǐng)域?qū)W(wǎng)絡(luò)入侵檢測(cè)技術(shù)進(jìn)行研究，并提出了IDS?！　∪肭謾z測(cè)系統(tǒng)的關(guān)鍵技術(shù)　　1．基于行為的入侵檢測(cè)技術(shù)　　基于行為的入侵檢測(cè)技術(shù)主要依靠統(tǒng)計(jì)的方法來實(shí)現(xiàn)對(duì)入侵行為的檢測(cè)。例如:在某一段時(shí)間內(nèi)登錄某臺(tái)主機(jī)失敗次數(shù)。符合這個(gè)模型的網(wǎng)絡(luò)行為即視為正常，不符合的即視為入侵行為。建立模型需要花費(fèi)一定的時(shí)間，而且該入侵檢測(cè)技術(shù)會(huì)造成誤報(bào)等。2. 基于知識(shí)的入侵檢測(cè)技術(shù)　　基于知識(shí)的入侵檢測(cè)技術(shù)主要通過應(yīng)用已有的知識(shí)對(duì)入侵行為的標(biāo)志進(jìn)行識(shí)別，從而判斷網(wǎng)絡(luò)中是否有入侵行為的發(fā)生川?！　』谥R(shí)的入侵檢側(cè)技術(shù)具有較高的準(zhǔn)確度，但是它的缺點(diǎn)就是在于對(duì)系統(tǒng)的性能要求高，而且只能檢測(cè)到目前已知的攻擊方法，對(duì)于未知的攻擊方法沒有檢測(cè)能力。據(jù)此他們提出了下一代入侵防御系統(tǒng)的發(fā)展方向:即基于時(shí)間線的入侵防御系統(tǒng)。它分為三個(gè)部分:入侵前期、入侵時(shí)間零點(diǎn)和入侵后處理，各個(gè)部分又分成若干子部分。根據(jù)時(shí)間線的三個(gè)部分，對(duì)各項(xiàng)安全技術(shù)劃分成三個(gè)部分:第一部分是針對(duì)入侵前期，這類技術(shù)主要分為三個(gè)類，一類是安全規(guī)章制度，安全策略的配置等，第二類是對(duì)網(wǎng)絡(luò)進(jìn)行當(dāng)前已知的各項(xiàng)漏洞進(jìn)行檢測(cè)，第三類是通過專人對(duì)網(wǎng)絡(luò)進(jìn)行實(shí)際的入侵檢測(cè)廠這部分的技術(shù)的主要目的是預(yù)先評(píng)估和增強(qiáng)網(wǎng)絡(luò)的安全性，減少被入侵的可能性。第一類是諸如防火墻的訪問控制技術(shù)和本文以上所介紹的IDS和IPS系統(tǒng)。第三部分即是入侵后處理技術(shù)，這一部分有安全事件管理系統(tǒng)和安全信息管理技術(shù)，以及對(duì)入侵造成的破壞的恢復(fù)技術(shù)。通過對(duì)IDS，IPS的系統(tǒng)性能的分析不難發(fā)現(xiàn)，入侵行為的檢測(cè)的難點(diǎn)在于IDS/IPS系統(tǒng)可利用的信息太少，從而造成IDS，IPS對(duì)入侵行為的漏報(bào)和誤報(bào)。它主要的目的就是將目前在時(shí)間線上離散的各項(xiàng)安全技術(shù)綜合起來，實(shí)現(xiàn)一種新的安全系統(tǒng)，該系統(tǒng)使用的安全技術(shù)在時(shí)間線上的作用范圍是連續(xù)的，也即其中每項(xiàng)安全技術(shù)具有對(duì)其它安全技術(shù)的反饋?zhàn)饔?。而且該配置過程可以實(shí)現(xiàn)連續(xù)和自動(dòng)化。入侵后處理技術(shù)如SIM/SEM，增強(qiáng)它們對(duì)新的入侵方法的反應(yīng)能力。 　　第三章 入侵檢測(cè)系統(tǒng)概述 入侵檢測(cè)系統(tǒng)的發(fā)展入侵檢測(cè)（Intrusion Detection）是對(duì)入侵行為的檢測(cè)。入侵檢測(cè)作為一種積極主動(dòng)地安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。入侵檢測(cè)通過執(zhí)行以下任務(wù)來實(shí)現(xiàn)：監(jiān)視、分析用戶及系統(tǒng)活動(dòng)；系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)；識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警；異常行為模式的統(tǒng)計(jì)分析；評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性；操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略的行為。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。進(jìn)行入侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng) 異常入侵檢測(cè)技術(shù)　　異常檢測(cè) (Anomaly detection) 的假設(shè)是入侵者活動(dòng)異常于正常主體的活動(dòng)。異常檢測(cè)的難題在于如何建立“活動(dòng)簡檔”以及如何設(shè)計(jì)統(tǒng)計(jì)算法，從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為。其基本前提是：假定所有可能的入侵行為都能被識(shí)別和表示。這種方法是依據(jù)是否出現(xiàn)攻擊簽名來判斷入侵行為，是一種直接的方法常用的具體方法有：基于條件概率誤用入侵檢測(cè)方法、基于專家系統(tǒng)誤用入侵檢測(cè)方法、基于狀態(tài)遷移分析誤用入侵檢測(cè)方法、基于鍵盤監(jiān)控誤用入侵檢測(cè)方法、基于模型誤用入侵檢測(cè)方法。誤用檢測(cè)是根據(jù)攻擊簽名來判斷入侵的，根據(jù)對(duì)已知的攻擊方法的了解，用特定的模式語言來表示這種攻擊，使得攻擊簽名能夠準(zhǔn)確地表示入侵行為及其所有可能的變種，同時(shí)又不會(huì)把非入侵行為包含進(jìn)來。這些跡象不僅對(duì)分析已經(jīng)發(fā)生的入侵行為有幫助，而且對(duì)即將發(fā)生的入侵也有預(yù)警作用。由于只需要收集相關(guān)的數(shù)據(jù)，這樣系統(tǒng)的負(fù)擔(dān)明顯減少。但是它也存在一些缺點(diǎn)。 入侵檢測(cè)系統(tǒng)(IDS， Intrusion Detection System)是近十多年發(fā)展起來的新一代安全防范技術(shù)，它通過對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)是否有違反安全策略的行為和被攻擊的跡象。 但在入侵檢測(cè)產(chǎn)品的使用過程中，暴露出了諸多的問題。Gartner在2003年一份研究報(bào)告中稱入侵檢測(cè)系統(tǒng)已經(jīng)“死”了。Gartner公司認(rèn)為只有在線的或基于主機(jī)的攻擊阻止(實(shí)時(shí)攔截)才是最有效的入侵防御系統(tǒng)。而IPS則是一種主動(dòng)的、積極的入侵防范、阻止系統(tǒng)，它部署在網(wǎng)絡(luò)的進(jìn)出口處，當(dāng)它檢測(cè)到攻擊企圖后，它會(huì)自動(dòng)地將攻擊包丟掉或采取措施將攻擊源阻斷。 近年來，網(wǎng)絡(luò)攻擊的發(fā)展趨勢(shì)是逐漸轉(zhuǎn)向高層應(yīng)用。應(yīng)用層的攻擊有可能會(huì)造成非常嚴(yán)重的后果，比如用戶帳號(hào)丟失和公司機(jī)密泄漏等。從檢測(cè)方法上看，IPS與IDS都是基于模式匹配、協(xié)議分析以及異常流量統(tǒng)計(jì)等技術(shù)。但對(duì)于應(yīng)用層的攻擊，通常是利用特定的應(yīng)用程序的漏洞，無論是IDS還是IPS都無法通過現(xiàn)有的檢測(cè)技術(shù)進(jìn)行防范。 對(duì)應(yīng)用層的防范通常比內(nèi)網(wǎng)防范難度要更大，因?yàn)檫@些應(yīng)用要允許外部的訪問。這樣，黑客通過這些端口發(fā)起攻擊時(shí)防火墻無法進(jìn)行識(shí)別控制。而應(yīng)用入侵防護(hù)系統(tǒng)則能夠彌補(bǔ)防火墻和入侵檢測(cè)系統(tǒng)的不足，對(duì)特定應(yīng)用進(jìn)行有效保護(hù)。 在對(duì)應(yīng)用層的攻擊中，大部分時(shí)通過HTTP協(xié)議(80端口)進(jìn)行。雖然這些站點(diǎn)通過部署防火墻在網(wǎng)絡(luò)層以下進(jìn)行了很好的防范，但其應(yīng)用層的漏洞仍可被利用進(jìn)而受到入侵和攻擊。通過制訂合理的安全策略，AIP能夠?qū)σ韵骂愋偷膚eb攻擊進(jìn)行有效防范： 惡意腳本 Cookie投毒 隱藏域修改 緩存溢出 參數(shù)篡改強(qiáng)制瀏覽Sql插入已知漏洞攻擊應(yīng)用入侵防護(hù)技術(shù)近兩年剛剛出現(xiàn)，但發(fā)展迅速。 千兆解決方案 應(yīng)用入侵防護(hù)產(chǎn)品在保護(hù)企業(yè)業(yè)務(wù)流程和相關(guān)數(shù)據(jù)方面發(fā)揮著日益重要的作用，同時(shí)隨著網(wǎng)絡(luò)帶寬的不斷增加，只有在適合千兆環(huán)境應(yīng)用的高性能產(chǎn)品才能夠滿足大型網(wǎng)絡(luò)的需要。通過高性能內(nèi)容處理芯片和網(wǎng)絡(luò)處理芯片相結(jié)合形式，為千兆應(yīng)用入侵防護(hù)產(chǎn)品提供了由于的解決方案。從而實(shí)現(xiàn)了千兆流量線速轉(zhuǎn)發(fā)和高速內(nèi)容處理的完美結(jié)合，真正能夠?yàn)橛脩籼峁┣д赘咝阅艿膽?yīng)用防護(hù)解決方案。接下來由內(nèi)容處理器對(duì)數(shù)據(jù)流進(jìn)行應(yīng)用協(xié)議處理，根據(jù)控制器設(shè)定的安全策略對(duì)各種應(yīng)用攻擊進(jìn)行檢測(cè)和過濾。 在高性能的千兆解決方案中，能夠?qū)崿F(xiàn)網(wǎng)絡(luò)層到應(yīng)用層的多層次立體防護(hù)體系。通過系統(tǒng)內(nèi)置的網(wǎng)絡(luò)內(nèi)容處理芯片，對(duì)web請(qǐng)求和回應(yīng)流量進(jìn)行細(xì)致的分析。DOS攻擊的防護(hù)。訪問控制。 中科網(wǎng)威在新一代千兆應(yīng)用入侵防護(hù)產(chǎn)品設(shè)計(jì)中采用了上述解決方案，實(shí)現(xiàn)了千兆流量下的線速處理。結(jié)語　　 通過對(duì)以上本文對(duì)入侵檢測(cè)技術(shù)的綜述，可以看出網(wǎng)絡(luò)入侵防御技術(shù)目前的主流和它未來的發(fā)展趨勢(shì)。正如在Sourcefire文中所說，提高IDS/IPS檢測(cè)能力的唯一可行途徑是提供給它們更多的信息。Sourcefire文中提出了基于時(shí)間線對(duì)各項(xiàng)安全技術(shù)進(jìn)行整合，使得它們可以共享彼此的信息，從而提高整個(gè)安全系統(tǒng)的性能。DisasterRecovery,2003, Postsamp。三年的求學(xué)生涯在師長、親友的大力支持下，走得辛苦卻也收獲滿囊，在論文即將付梓之際，思緒萬千，心情久久不能平靜。我不是您最出色的學(xué)生，而您卻是我最尊敬的老師。授人以魚不如授人以漁，置身其間，耳濡目染，潛移默化，使我不僅接受了全新的思想觀念，樹立了宏偉的學(xué)術(shù)目標(biāo)，領(lǐng)會(huì)了基本的思考方式，從論文題目的選定到論文寫作的指導(dǎo),經(jīng)由您悉心的點(diǎn)撥,再經(jīng)思考后的領(lǐng)悟,常常讓我有“山重水復(fù)疑無路,柳暗花明又一村”。在論文即將完成之際，我的心情無法平靜，從開始進(jìn)入課題到論文的順利完成，有多少可敬的師長、同學(xué)、朋友給了我無言的幫助，在這里請(qǐng)接受我誠摯謝意！同時(shí)也感謝學(xué)院為我提供良好的做畢業(yè)設(shè)計(jì)的環(huán)境。22