前言：我們精心挑選了數(shù)篇優(yōu)質(zhì)入侵檢測(cè)論文文章，供您閱讀參考。期待這些文章能為您帶來啟發(fā)，助您在寫作的道路上更上一層樓。

第1篇

論文摘要:隨著計(jì)算機(jī)的飛速發(fā)展以及網(wǎng)絡(luò)技術(shù)的普遍應(yīng)用，隨著信息時(shí)代的來臨，信息作為一種重要的資源正得到了人們的重視與應(yīng)用。因特網(wǎng)是一個(gè)發(fā)展非常活躍的領(lǐng)域，可能會(huì)受到黑客的非法攻擊，所以在任何情況下，對(duì)于各種事故，無意或有意的破壞，保護(hù)數(shù)據(jù)及其傳送、處理都是非常必要的。計(jì)劃如何保護(hù)你的局域網(wǎng)免受因特網(wǎng)攻擊帶來的危害時(shí)，首先要考慮的是防火墻。防火墻的核心思想是在不安全的網(wǎng)際網(wǎng)環(huán)境中構(gòu)造一個(gè)相對(duì)安全的子網(wǎng)環(huán)境。本文介紹了防火墻技術(shù)的基本概念、系統(tǒng)結(jié)構(gòu)、原理、構(gòu)架、入侵檢測(cè)技術(shù)及VPN等相關(guān)問題。

Abstract:Alongwiththefastcomputerdevelopmentandtheuniversalapplicationofthenetworktechnology,alongwithinformationtimescomingupon,Informationisattractingtheworld’sattentionandemployedasakindofimportantresources.Internetisaveryactivelydevelopedfield.Becauseitmaybeillegallyattackedbyhackers,Itisverynecessaryfordata’sprotection,deliveryandprotectionagainstvariousaccidents,intentionalorwantdestroyunderanycondition.FirewallisthefirstconsiderationwhenplanhowtoprotectyourlocalareanetworkagainstendangersbroughtbyInternetattack.Thecorecontentoffirewalltechnologyistoconstructarelativelysafeenvironmentofsubnetinthenot-so-safenetworkenvironment.Thispaperintroducesthebasicconceptionandsystemstructureoffire-walltechnologyandalsodiscussestwomaintechnologymeanstorealizefire-wall:Oneisbasedonpacketfiltering,whichistorealizefire-wallfunctionthroughScreeningRouter;andtheotherisProxyandthetypicalrepresentationisthegatewayonapplicationlevel.....

第一章緒論

§1.1概述

隨著以Internet為代表的全球信息化浪潮的來臨，信息網(wǎng)絡(luò)技術(shù)的應(yīng)用正日益廣泛，應(yīng)用層次正在深入，應(yīng)用領(lǐng)域也從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展，其中以黨政系統(tǒng)、大中院校網(wǎng)絡(luò)系統(tǒng)、銀行系統(tǒng)、商業(yè)系統(tǒng)、管理部門、政府或軍事領(lǐng)域等為典型。伴隨網(wǎng)絡(luò)的普及，公共通信網(wǎng)絡(luò)傳輸中的數(shù)據(jù)安全問題日益成為關(guān)注的焦點(diǎn)。一方面，網(wǎng)絡(luò)化的信息系統(tǒng)提供了資源的共享性、用戶使用的方便性，通過分布式處理提高了系統(tǒng)效率和可靠性，并且還具備可擴(kuò)充性。另一方面，也正是由于具有這些特點(diǎn)增加了網(wǎng)絡(luò)信息系統(tǒng)的不安全性。

開放性的網(wǎng)絡(luò)，導(dǎo)致網(wǎng)絡(luò)所面臨的破壞和攻擊可能是多方面的，例如:可能來自物理傳輸線路的攻擊，也可以對(duì)網(wǎng)絡(luò)通信協(xié)議和實(shí)現(xiàn)實(shí)施攻擊，可以是對(duì)軟件實(shí)施攻擊，也可以對(duì)硬件實(shí)施攻擊。國際性的網(wǎng)絡(luò)，意味著網(wǎng)絡(luò)的攻擊不僅僅來自本地網(wǎng)絡(luò)的用戶，也可以來自linternet上的任何一臺(tái)機(jī)器，也就是說，網(wǎng)絡(luò)安全所面臨的是一個(gè)國際化的挑戰(zhàn)。開放的、國際化的Internet的發(fā)展給政府機(jī)構(gòu)、企事業(yè)單位的工作帶來了革命性的變革和開放，使得他們能夠利用Internet提高辦事效率、市場(chǎng)反應(yīng)能力和競(jìng)爭(zhēng)力。通過Internet，他們可以從異地取回重要數(shù)據(jù)，同時(shí)也面臨Internet開放所帶來的數(shù)據(jù)安全的挑戰(zhàn)與危險(xiǎn)。如何保護(hù)企業(yè)的機(jī)密信息不受黑客和工業(yè)間諜的入侵，己成為政府機(jī)構(gòu)、企事業(yè)單位信息化建設(shè)健康發(fā)展所要考慮的重要因素之一。廣泛分布的企業(yè)內(nèi)部網(wǎng)絡(luò)由公共網(wǎng)絡(luò)互聯(lián)起來，這種互聯(lián)方式面臨多種安全威脅，極易受到外界的攻擊，導(dǎo)致對(duì)網(wǎng)絡(luò)的非法訪問和信息泄露。防火墻是安全防范的最有效也是最基本的手段之一。

雖然國內(nèi)己有許多成熟的防火墻及其他相關(guān)安全產(chǎn)品，并且這些產(chǎn)品早已打入市場(chǎng)，但是對(duì)于安全產(chǎn)品來說，要想進(jìn)入我軍部隊(duì)。我們必須自己掌握安全測(cè)試技術(shù)，使進(jìn)入部隊(duì)的安全產(chǎn)品不出現(xiàn)問題，所以對(duì)網(wǎng)絡(luò)安全測(cè)試的研究非常重要，具有深遠(yuǎn)的意義。

§1.2本文主要工作

了解防火墻的原理、架構(gòu)、技術(shù)實(shí)現(xiàn)

了解防火墻的部署和使用配置

熟悉防火墻測(cè)試的相關(guān)標(biāo)準(zhǔn)

掌握防火墻產(chǎn)品的功能、性能、安全性和可用性的測(cè)試方法

掌握入侵檢測(cè)與VPN的概念及相關(guān)測(cè)試方法

第二章防火墻的原理、架構(gòu)、技術(shù)實(shí)現(xiàn)

§2.1什么是防火墻？

防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測(cè)）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。

§2.2防火墻的原理

隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大和開放性的增強(qiáng)，網(wǎng)絡(luò)上的很多敏感信息和保密數(shù)據(jù)將受到很多主動(dòng)和被動(dòng)的人為攻擊。一種解決辦法是為需要保護(hù)的網(wǎng)絡(luò)上的每個(gè)工作站和服務(wù)器裝備上強(qiáng)大的安全特征(例如入侵檢測(cè))，但這幾乎是一種不切合實(shí)際的方法，因?yàn)閷?duì)具有幾百個(gè)甚至上千個(gè)節(jié)點(diǎn)的網(wǎng)絡(luò)，它們可能運(yùn)行著不同的操作系統(tǒng)，當(dāng)發(fā)現(xiàn)了安全缺陷時(shí)，每個(gè)可能被影響的節(jié)點(diǎn)都必須加以改進(jìn)以修復(fù)這個(gè)缺陷。另一種選擇就是防火墻(Firewall)，防火墻是用來在安全私有網(wǎng)絡(luò)(可信任網(wǎng)絡(luò))和外部不可信任網(wǎng)絡(luò)之間安全連接的一個(gè)設(shè)備或一組設(shè)備，作為私有網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間連接的單點(diǎn)存在。防火墻是設(shè)置在可信任的內(nèi)部網(wǎng)絡(luò)和不可信任的外部網(wǎng)絡(luò)之間的一道屏障，它可以實(shí)施比較廣泛的安全策略來控制信息流，防止不可預(yù)料的潛在的入侵破壞.DMZ外網(wǎng)和內(nèi)部局域網(wǎng)的防火墻系統(tǒng)。

§2.3防火墻的架構(gòu)

防火墻產(chǎn)品的三代體系架構(gòu)主要為：

第一代架構(gòu)：主要是以單一cpu作為整個(gè)系統(tǒng)業(yè)務(wù)和管理的核心，cpu有x86、powerpc、mips等多類型，產(chǎn)品主要表現(xiàn)形式是pc機(jī)、工控機(jī)、pc-box或risc-box等；

第二代架構(gòu)：以np或asic作為業(yè)務(wù)處理的主要核心，對(duì)一般安全業(yè)務(wù)進(jìn)行加速，嵌入式cpu為管理核心，產(chǎn)品主要表現(xiàn)形式為box等；

第三代架構(gòu)：iss（integratedsecuritysystem）集成安全體系架構(gòu)，以高速安全處理芯片作為業(yè)務(wù)處理的主要核心，采用高性能cpu發(fā)揮多種安全業(yè)務(wù)的高層應(yīng)用，產(chǎn)品主要表現(xiàn)形式為基于電信級(jí)的高可靠、背板交換式的機(jī)架式設(shè)備，容量大性能高，各單元及系統(tǒng)更為靈活。

§2.4防火墻的技術(shù)實(shí)現(xiàn)

從Windows軟件防火墻的誕生開始，這種安全防護(hù)產(chǎn)品就在跟隨著不斷深入的黑客病毒與反黑反毒之爭(zhēng)，不斷的進(jìn)化與升級(jí)。從最早期的只能分析來源地址，端口號(hào)以及未經(jīng)處理的報(bào)文原文的封包過濾防火墻，后來出現(xiàn)了能對(duì)不同的應(yīng)用程序設(shè)置不同的訪問網(wǎng)絡(luò)權(quán)限的技術(shù)；近年來由ZoneAlarm等國外知名品牌牽頭，還開始流行了具有未知攻擊攔截能力的智能行為監(jiān)控防火墻；最后，由于近來垃圾插件和流氓軟件的盛行，很多防火墻都在考慮給自己加上攔截流氓軟件的功能。綜上，Windows軟件防火墻從開始的時(shí)候單純的一個(gè)截包丟包，堵截IP和端口的工具，發(fā)展到了今天功能強(qiáng)大的整體性的安全套件。

第三章防火墻的部署和使用配置

§3.1防火墻的部署

雖然監(jiān)測(cè)型防火墻安全性上已超越了包過濾型和服務(wù)器型防火墻，但由于監(jiān)測(cè)型防火墻技術(shù)的實(shí)現(xiàn)成本較高，也不易管理，所以目前在實(shí)用中的防火墻產(chǎn)品仍然以第二代型產(chǎn)品為主，但在某些方面也已經(jīng)開始使用監(jiān)測(cè)型防火墻。基于對(duì)系統(tǒng)成本與安全技術(shù)成本的綜合考慮，用戶可以選擇性地使用某些監(jiān)測(cè)型技術(shù)。這樣既能夠保證網(wǎng)絡(luò)系統(tǒng)的安全性需求，同時(shí)也能有效地控制安全系統(tǒng)的總擁有成本。

實(shí)際上，作為當(dāng)前防火墻產(chǎn)品的主流趨勢(shì)，大多數(shù)服務(wù)器（也稱應(yīng)用網(wǎng)關(guān)）也集成了包過濾技術(shù)，這兩種技術(shù)的混合應(yīng)用顯然比單獨(dú)使用具有更大的優(yōu)勢(shì)。由于這種產(chǎn)品是基于應(yīng)用的，應(yīng)用網(wǎng)關(guān)能提供對(duì)協(xié)議的過濾。例如，它可以過濾掉FTP連接中的PUT命令，而且通過應(yīng)用，應(yīng)用網(wǎng)關(guān)能夠有效地避免內(nèi)部網(wǎng)絡(luò)的信息外泄。正是由于應(yīng)用網(wǎng)關(guān)的這些特點(diǎn)，使得應(yīng)用過程中的矛盾主要集中在對(duì)多種網(wǎng)絡(luò)應(yīng)用協(xié)議的有效支持和對(duì)網(wǎng)絡(luò)整體性能的影響上。

----那么我們究竟應(yīng)該在哪些地方部署防火墻呢？

----首先,應(yīng)該安裝防火墻的位置是公司內(nèi)部網(wǎng)絡(luò)與外部Internet的接口處，以阻擋來自外部網(wǎng)絡(luò)的入侵；其次，如果公司內(nèi)部網(wǎng)絡(luò)規(guī)模較大，并且設(shè)置有虛擬局域網(wǎng)(VLAN)，則應(yīng)該在各個(gè)VLAN之間設(shè)置防火墻；第三，通過公網(wǎng)連接的總部與各分支機(jī)構(gòu)之間也應(yīng)該設(shè)置防火墻，如果有條件，還應(yīng)該同時(shí)將總部與各分支機(jī)構(gòu)組成虛擬專用網(wǎng)(VPN)。

----安裝防火墻的基本原則是：只要有惡意侵入的可能，無論是內(nèi)部網(wǎng)絡(luò)還是與外部公網(wǎng)的連接處，都應(yīng)該安裝防火墻。

§3.2防火墻的使用配置

一、防火墻的配置規(guī)則：

沒有連接的狀態(tài)(沒有握手或握手不成功或非法的數(shù)據(jù)包)，任何數(shù)據(jù)包無法穿過防火墻。(內(nèi)部發(fā)起的連接可以回包。通過ACL開放的服務(wù)器允許外部發(fā)起連接)

inside可以訪問任何outside和dmz區(qū)域。

dmz可以訪問outside區(qū)域。

inside訪問dmz需要配合static(靜態(tài)地址轉(zhuǎn)換)。

outside訪問dmz需要配合acl(訪問控制列表)。

二、防火墻設(shè)備的設(shè)置步驟：

1、確定設(shè)置防火墻的部署模式；

2、設(shè)置防火墻設(shè)備的IP地址信息（接口地址或管理地址（設(shè)置在VLAN1上））；

3、設(shè)置防火墻設(shè)備的路由信息；

4、確定經(jīng)過防火墻設(shè)備的IP地址信息（基于策略的源、目標(biāo)地址）；

5、確定網(wǎng)絡(luò)應(yīng)用（如FTP、EMAIL等應(yīng)用）；

6、配置訪問控制策略。

第四章防火墻測(cè)試的相關(guān)標(biāo)準(zhǔn)

防火墻作為信息安全產(chǎn)品的一種，它的產(chǎn)生源于信息安全的需求。所以防火墻的測(cè)試不僅有利于提高防火墻的工作效率，更是為了保證國家信息的安全。依照中華人民共和國國家標(biāo)準(zhǔn)GB/T18019-1999《信息技術(shù)包過濾防火墻安全技術(shù)要求》、GB/T18020-1999《信息技術(shù)應(yīng)用級(jí)防火墻安全技術(shù)要求》和GB/T17900-1999《網(wǎng)絡(luò)服務(wù)器的安全技術(shù)要求》以及多款防火墻隨機(jī)提供的說明文檔，中國軟件評(píng)測(cè)中心軟件產(chǎn)品測(cè)試部根據(jù)有關(guān)方面的標(biāo)準(zhǔn)和不同防火墻的特點(diǎn)整理出以下軟件防火墻的測(cè)試標(biāo)準(zhǔn)：

4.1規(guī)則配置方面

要使防火墻軟件更好的服務(wù)于用戶，除了其默認(rèn)的安全規(guī)則外，還需要用戶在使用過程中不斷的完善其規(guī)則；而規(guī)則的設(shè)置是否靈活方便、實(shí)際效果是否理想等方面，也是判斷一款防火墻軟件整體安全性是否合格的重要標(biāo)準(zhǔn)。簡(jiǎn)單快捷的規(guī)則配置過程讓防火墻軟件具備更好的親和力，一款防火墻軟件如果能實(shí)施在線檢測(cè)所有對(duì)本機(jī)的訪問并控制它們、分別對(duì)應(yīng)用程序、文件或注冊(cè)表鍵值實(shí)施單獨(dú)的規(guī)則添加等等，這將成為此款軟件防火墻規(guī)則配置的一個(gè)特色。

§4.2防御能力方面

對(duì)于防火墻防御能力的表現(xiàn)，由于偶然因素太多，因此無法從一個(gè)固定平等的測(cè)試環(huán)境中來得出結(jié)果。但是可以使用了X-Scan等安全掃描工具來測(cè)試。雖然得出的結(jié)果可能仍然有一定的出入，但大致可以做為一個(gè)性能參考。

§4.3主動(dòng)防御提示方面

對(duì)于網(wǎng)絡(luò)訪問、系統(tǒng)進(jìn)程訪問、程序運(yùn)行等本機(jī)狀態(tài)發(fā)生改變時(shí)，防火墻軟件一般都會(huì)有主動(dòng)防御提示出現(xiàn)。這方面主要測(cè)試軟件攔截或過濾時(shí)是否提示用戶做出相應(yīng)的操作選擇。

§4.4自定義安全級(jí)別方面

用戶是否可以參照已有安全級(jí)別的安全性描述來設(shè)置符合自身特殊需要的規(guī)則。防火墻可設(shè)置系統(tǒng)防火墻的安全等級(jí)、安全規(guī)則，以防止電腦被外界入侵。一般的防火墻共有四個(gè)級(jí)別：

高級(jí)：預(yù)設(shè)的防火墻安全等級(jí)，用戶可以上網(wǎng)，收發(fā)郵件；l

中級(jí)：預(yù)設(shè)的防火墻安全等級(jí)，用戶可以上網(wǎng)，收發(fā)郵件，網(wǎng)絡(luò)聊天，F(xiàn)TP、Telnet等；l

低級(jí)：預(yù)設(shè)的防火墻安全等級(jí)，只對(duì)已知的木馬進(jìn)行攔截，對(duì)于其它的訪問，只是給于提示用戶及記錄；l

自定義：用戶可自定義防火墻的安全規(guī)則，可以根據(jù)需要自行進(jìn)行配置。l

§4.5其他功能方面

這主要是從軟件的擴(kuò)展功能表現(xiàn)、操作設(shè)置的易用性、軟件的兼容性和安全可靠性方面來綜合判定。比如是否具有過濾網(wǎng)址、實(shí)施木馬掃描、阻止彈出廣告窗口、將未受保護(hù)的無線網(wǎng)絡(luò)“學(xué)習(xí)”為規(guī)則、惡意軟件檢測(cè)、個(gè)人隱私保護(hù)等豐富的功能項(xiàng)，是否可以滿足用戶各方面的需要。

§4.6資源占用方面

這方面的測(cè)試包括空閑時(shí)和瀏覽網(wǎng)頁時(shí)的CPU占用率、內(nèi)存占有率以及屏蔽大量攻擊時(shí)的資源占用和相應(yīng)速度。總的來是就是資源占用率越低越好，啟動(dòng)的速度越快越好。

§4.7軟件安裝方面

這方面主要測(cè)試軟件的安裝使用是否需要重啟系統(tǒng)、安裝過程是不是方便、安裝完成后是否提示升級(jí)本地?cái)?shù)據(jù)庫的信息等等。

§4.8軟件界面方面

軟件是否可切換界面皮膚和語言、界面是否簡(jiǎn)潔等等。簡(jiǎn)潔的界面并不代表其功能就不完善，相反地，簡(jiǎn)化了用戶的操作設(shè)置項(xiàng)也就帶來了更智能的安全防護(hù)功能。比如有的防護(hù)墻安裝完成后會(huì)在桌面生成簡(jiǎn)單模式和高級(jí)模式兩個(gè)啟動(dòng)項(xiàng)，這方便用戶根據(jù)不同的安全級(jí)別啟動(dòng)相應(yīng)的防護(hù)

第五章防火墻的入侵檢測(cè)

§5.1什么是入侵檢測(cè)系統(tǒng)？

入侵檢測(cè)可被定義為對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源上的惡意使用行為進(jìn)行識(shí)別和響應(yīng)的處理過程，它不僅檢測(cè)來自外部的入侵行為，同時(shí)也檢測(cè)內(nèi)部用戶的未授權(quán)活動(dòng)。

入侵檢測(cè)系統(tǒng)(IDS)是從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，檢查網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。IDS被公認(rèn)為是防火墻之后的第二道安全閘門，它作為一種積極主動(dòng)的安全防護(hù)技術(shù)，從網(wǎng)絡(luò)安全立體縱深、多層次防御的角度出發(fā)，對(duì)防范網(wǎng)絡(luò)惡意攻擊及誤操作提供了主動(dòng)的實(shí)時(shí)保護(hù)，從而能夠在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵

§5.2入侵檢測(cè)技術(shù)及發(fā)展

自1980年產(chǎn)生IDS概念以來，已經(jīng)出現(xiàn)了基于主機(jī)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)，出現(xiàn)了基于知識(shí)的模型識(shí)別、異常識(shí)別和協(xié)議分析等入侵檢測(cè)技術(shù)，并能夠?qū)Π僬住⑶д咨踔粮吡髁康木W(wǎng)絡(luò)系統(tǒng)執(zhí)行入侵檢測(cè)。

入侵檢測(cè)技術(shù)的發(fā)展已經(jīng)歷了四個(gè)主要階段：

第一階段是以基于協(xié)議解碼和模式匹配為主的技術(shù)，其優(yōu)點(diǎn)是對(duì)于已知的攻擊行為非常有效，各種已知的攻擊行為可以對(duì)號(hào)入座，誤報(bào)率低;缺點(diǎn)是高超的黑客采用變形手法或者新技術(shù)可以輕易躲避檢測(cè)，漏報(bào)率高。

第二階段是以基于模式匹配+簡(jiǎn)單協(xié)議分析+異常統(tǒng)計(jì)為主的技術(shù)，其優(yōu)點(diǎn)是能夠分析處理一部分協(xié)議，可以進(jìn)行重組;缺點(diǎn)是匹配效率較低，管理功能較弱。這種檢測(cè)技術(shù)實(shí)際上是在第一階段技術(shù)的基礎(chǔ)上增加了部分對(duì)異常行為分析的功能。

第三階段是以基于完全協(xié)議分析+模式匹配+異常統(tǒng)計(jì)為主的技術(shù)，其優(yōu)點(diǎn)是誤報(bào)率、漏報(bào)率和濫報(bào)率較低，效率高，可管理性強(qiáng)，并在此基礎(chǔ)上實(shí)現(xiàn)了多級(jí)分布式的檢測(cè)管理;缺點(diǎn)是可視化程度不夠，防范及管理功能較弱。

第四階段是以基于安全管理+協(xié)議分析+模式匹配+異常統(tǒng)計(jì)為主的技術(shù)，其優(yōu)點(diǎn)是入侵管理和多項(xiàng)技術(shù)協(xié)同工作，建立全局的主動(dòng)保障體系，具有良好的可視化、可控性和可管理性。以該技術(shù)為核心，可構(gòu)造一個(gè)積極的動(dòng)態(tài)防御體系，即IMS——入侵管理系統(tǒng)。

新一代的入侵檢測(cè)系統(tǒng)應(yīng)該是具有集成HIDS和NIDS的優(yōu)點(diǎn)、部署方便、應(yīng)用靈活、功能強(qiáng)大、并提供攻擊簽名、檢測(cè)、報(bào)告和事件關(guān)聯(lián)等配套服務(wù)功能的智能化系統(tǒng)§5.3入侵檢測(cè)技術(shù)分類

從技術(shù)上講，入侵檢測(cè)技術(shù)大致分為基于知識(shí)的模式識(shí)別、基于知識(shí)的異常識(shí)別和協(xié)議分析三類。而主要的入侵檢測(cè)方法有特征檢測(cè)法、概率統(tǒng)計(jì)分析法和專家知識(shí)庫系統(tǒng)。

(1)基于知識(shí)的模式識(shí)別

這種技術(shù)是通過事先定義好的模式數(shù)據(jù)庫實(shí)現(xiàn)的，其基本思想是：首先把各種可能的入侵活動(dòng)均用某種模式表示出來，并建立模式數(shù)據(jù)庫，然后監(jiān)視主體的一舉一動(dòng)，當(dāng)檢測(cè)到主體活動(dòng)違反了事先定義的模式規(guī)則時(shí)，根據(jù)模式匹配原則判別是否發(fā)生了攻擊行為。

模式識(shí)別的關(guān)鍵是建立入侵模式的表示形式，同時(shí)，要能夠區(qū)分入侵行為和正常行為。這種檢測(cè)技術(shù)僅限于檢測(cè)出已建立模式的入侵行為，屬已知類型，對(duì)新類型的入侵是無能為力的，仍需改進(jìn)。

(2)基于知識(shí)的異常識(shí)別

這種技術(shù)是通過事先建立正常行為檔案庫實(shí)現(xiàn)的，其基本思想是：首先把主體的各種正常活動(dòng)用某種形式描述出來，并建立“正常活動(dòng)檔案”，當(dāng)某種活動(dòng)與所描述的正常活動(dòng)存在差異時(shí)，就認(rèn)為是“入侵”行為，進(jìn)而被檢測(cè)識(shí)別。

異常識(shí)別的關(guān)鍵是描述正常活動(dòng)和構(gòu)建正常活動(dòng)檔案庫。

利用行為進(jìn)行識(shí)別時(shí)，存在四種可能：一是入侵且行為正常;二是入侵且行為異常;三是非入侵且行為正常;四是非入侵且行為異常。根據(jù)異常識(shí)別思想，把第二種和第四種情況判定為“入侵”行為。這種檢測(cè)技術(shù)可以檢測(cè)出未知行為，并具有簡(jiǎn)單的學(xué)習(xí)功能。

以下是幾種基于知識(shí)的異常識(shí)別的檢測(cè)方法：

1)基于審計(jì)的攻擊檢測(cè)技術(shù)

這種檢測(cè)方法是通過對(duì)審計(jì)信息的綜合分析實(shí)現(xiàn)的，其基本思想是：根據(jù)用戶的歷史行為、先前的證據(jù)或模型，使用統(tǒng)計(jì)分析方法對(duì)用戶當(dāng)前的行為進(jìn)行檢測(cè)和判別，當(dāng)發(fā)現(xiàn)可疑行為時(shí)，保持跟蹤并監(jiān)視其行為，同時(shí)向系統(tǒng)安全員提交安全審計(jì)報(bào)告。

2)基于神經(jīng)網(wǎng)絡(luò)的攻擊檢測(cè)技術(shù)

由于用戶的行為十分復(fù)雜，要準(zhǔn)確匹配一個(gè)用戶的歷史行為和當(dāng)前的行為是相當(dāng)困難的，這也是基于審計(jì)攻擊檢測(cè)的主要弱點(diǎn)。

而基于神經(jīng)網(wǎng)絡(luò)的攻擊檢測(cè)技術(shù)則是一個(gè)對(duì)基于傳統(tǒng)統(tǒng)計(jì)技術(shù)的攻擊檢測(cè)方法的改進(jìn)方向，它能夠解決傳統(tǒng)的統(tǒng)計(jì)分析技術(shù)所面臨的若干問題，例如，建立確切的統(tǒng)計(jì)分布、實(shí)現(xiàn)方法的普遍性、降低算法實(shí)現(xiàn)的成本和系統(tǒng)優(yōu)化等問題。

3)基于專家系統(tǒng)的攻擊檢測(cè)技術(shù)

所謂專家系統(tǒng)就是一個(gè)依據(jù)專家經(jīng)驗(yàn)定義的推理系統(tǒng)。這種檢測(cè)是建立在專家經(jīng)驗(yàn)基礎(chǔ)上的，它根據(jù)專家經(jīng)驗(yàn)進(jìn)行推理判斷得出結(jié)論。例如，當(dāng)用戶連續(xù)三次登錄失敗時(shí)，可以把該用戶的第四次登錄視為攻擊行為。

4)基于模型推理的攻擊檢測(cè)技術(shù)

攻擊者在入侵一個(gè)系統(tǒng)時(shí)往往采用一定的行為程序，如猜測(cè)口令的程序，這種行為程序構(gòu)成了某種具有一定行為特征的模型，根據(jù)這種模型所代表的攻擊意圖的行為特征，可以實(shí)時(shí)地檢測(cè)出惡意的攻擊企圖，盡管攻擊者不一定都是惡意的。用基于模型的推理方法人們能夠?yàn)槟承┬袨榻⑻囟ǖ哪Ｐ停瑥亩軌虮O(jiān)視具有特定行為特征的某些活動(dòng)。根據(jù)假設(shè)的攻擊腳本，這種系統(tǒng)就能檢測(cè)出非法的用戶行為。一般為了準(zhǔn)確判斷，要為不同的入侵者和不同的系統(tǒng)建立特定的攻擊腳本。

使用基于知識(shí)的模式識(shí)別和基于知識(shí)的異常識(shí)別所得出的結(jié)論差異較大，甚至得出相反結(jié)論。這是因?yàn)榛谥R(shí)的模式識(shí)別的核心是維護(hù)一個(gè)入侵模式庫，它對(duì)已知攻擊可以詳細(xì)、準(zhǔn)確地報(bào)告出攻擊類型，但對(duì)未知攻擊卻無能為力，而且入侵模式庫必須不斷更新。而基于知識(shí)的異常識(shí)別則是通過對(duì)入侵活動(dòng)的檢測(cè)得出結(jié)論的，它雖無法準(zhǔn)確判斷出攻擊的手段，但可以發(fā)現(xiàn)更廣泛的、甚至未知的攻擊行為。

§5.4入侵檢測(cè)技術(shù)剖析

1）信號(hào)分析

對(duì)收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等信息，一般通過三種技術(shù)手段進(jìn)行分析：模式匹配、統(tǒng)計(jì)分析和完整性分析。其中前兩種方法用于實(shí)時(shí)的入侵檢測(cè)，而完整性分析則用于事后分析。

2）模式匹配

模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)已有模式數(shù)據(jù)庫進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。該過程可以很簡(jiǎn)單（如通過字符串匹配以尋找一個(gè)簡(jiǎn)單的條目或指令），也可以很復(fù)雜（如利用正規(guī)的數(shù)學(xué)表達(dá)式來表示安全狀態(tài)的變化）。一般來講，一種進(jìn)攻模式可以用一個(gè)過程（如執(zhí)行一條指令）或一個(gè)輸出（如獲得權(quán)限）來表示。該方法的一大優(yōu)點(diǎn)是只需收集相關(guān)的數(shù)據(jù)集合，顯著減少系統(tǒng)負(fù)擔(dān)，且技術(shù)已相當(dāng)成熟。它與病毒防火墻采用的方法一樣，檢測(cè)準(zhǔn)確率和效率都相當(dāng)高。但是，該方法存在的弱點(diǎn)是需要不斷的升級(jí)以對(duì)付不斷出現(xiàn)的黑客攻擊手法，不能檢測(cè)到從未出現(xiàn)過的黑客攻擊手段。

3）統(tǒng)計(jì)分析

統(tǒng)計(jì)分析方法首先給系統(tǒng)對(duì)象（如用戶、文件、目錄和設(shè)備等）創(chuàng)建一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性（如訪問次數(shù)、操作失敗次數(shù)和延時(shí)等）。在比較這一點(diǎn)上與模式匹配有些相象之處。測(cè)量屬性的平均值將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，任何觀察值在正常值范圍之外時(shí)，就認(rèn)為有入侵發(fā)生。例如，本來都默認(rèn)用GUEST帳號(hào)登錄的，突然用ADMINI帳號(hào)登錄。這樣做的優(yōu)點(diǎn)是可檢測(cè)到未知的入侵和更為復(fù)雜的入侵，缺點(diǎn)是誤報(bào)、漏報(bào)率高，且不適應(yīng)用戶正常行為的突然改變。具體的統(tǒng)計(jì)分析方法如基于專家系統(tǒng)的、基于模型推理的和基于神經(jīng)網(wǎng)絡(luò)的分析方法，目前正處于研究熱點(diǎn)和迅速發(fā)展之中。

4）完整性分析

完整性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓模@經(jīng)常包括文件和目錄的內(nèi)容及屬性，它在發(fā)現(xiàn)被更改的、被特咯伊化的應(yīng)用程序方面特別有效。完整性分析利用強(qiáng)有力的加密機(jī)制，稱為消息摘要函數(shù)（例如MD5），它能識(shí)別哪怕是微小的變化。其優(yōu)點(diǎn)是不管模式匹配方法和統(tǒng)計(jì)分析方法能否發(fā)現(xiàn)入侵，只要是成功的攻擊導(dǎo)致了文件或其它對(duì)象的任何改變，它都能夠發(fā)現(xiàn)。缺點(diǎn)是一般以批處理方式實(shí)現(xiàn)，用于事后分析而不用于實(shí)時(shí)響應(yīng)。盡管如此，完整性檢測(cè)方法還應(yīng)該是網(wǎng)絡(luò)安全產(chǎn)品的必要手段之一。例如，可以在每一天的某個(gè)特定時(shí)間內(nèi)開啟完整性分析模塊，對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行全面地掃描檢查。

§5.5防火墻與入侵檢測(cè)的聯(lián)動(dòng)

網(wǎng)絡(luò)安全是一個(gè)整體的動(dòng)態(tài)的系統(tǒng)工程，不能靠幾個(gè)產(chǎn)品單獨(dú)工作來進(jìn)行安全防范。理想情況下，整個(gè)系統(tǒng)的安全產(chǎn)品應(yīng)該有一個(gè)響應(yīng)協(xié)同，相互通信，協(xié)同工作。其中入侵檢測(cè)系統(tǒng)和防火墻之間的聯(lián)動(dòng)就能更好的進(jìn)行安全防護(hù)。圖8所示就是入侵檢測(cè)系統(tǒng)和防火墻之間的聯(lián)動(dòng)，當(dāng)入侵檢測(cè)系統(tǒng)檢測(cè)到入侵后，通過和防火墻通信，讓防火墻自動(dòng)增加規(guī)則，以攔截相關(guān)的入侵行為，實(shí)現(xiàn)聯(lián)動(dòng)聯(lián)防。

§5.6什么是VPN?

VPN的英文全稱是“VirtualPrivateNetwork”，翻譯過來就是“虛擬專用網(wǎng)絡(luò)”。顧名思義，虛擬專用網(wǎng)絡(luò)我們可以把它理解成是虛擬出來的企業(yè)內(nèi)部專線。它可以通過特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正的去鋪設(shè)光纜之類的物理線路。這就好比去電信局申請(qǐng)專線，但是不用給鋪設(shè)線路的費(fèi)用，也不用購買路由器等硬件設(shè)備。VPN技術(shù)原是路由器具有的重要技術(shù)之一，目前在交換機(jī)，防火墻設(shè)備或Windows2000等軟件里也都支持VPN功能，一句話，VPN的核心就是在利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)。

虛擬專用網(wǎng)（VPN）被定義為通過一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可用于不斷增長(zhǎng)的移動(dòng)用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連接；可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。

§5.7VPN的特點(diǎn)

1.安全保障雖然實(shí)現(xiàn)VPN的技術(shù)和方式很多，但所有的VPN均應(yīng)保證通過公用網(wǎng)絡(luò)平臺(tái)傳輸數(shù)據(jù)的專用性和安全性。在安全性方面，由于VPN直接構(gòu)建在公用網(wǎng)上，實(shí)現(xiàn)簡(jiǎn)單、方便、靈活，但同時(shí)其安全問題也更為突出。企業(yè)必須確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改，并且要防止非法用戶對(duì)網(wǎng)絡(luò)資源或私有信息的訪問。

2.服務(wù)質(zhì)量保證（QoS）

VPN網(wǎng)應(yīng)當(dāng)為企業(yè)數(shù)據(jù)提供不同等級(jí)的服務(wù)質(zhì)量保證。不同的用戶和業(yè)務(wù)對(duì)服務(wù)質(zhì)量保證的要求差別較大。在網(wǎng)絡(luò)優(yōu)化方面，構(gòu)建VPN的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源，為重要數(shù)據(jù)提供可靠的帶寬。廣域網(wǎng)流量的不確定性使其帶寬的利用率很低，在流量高峰時(shí)引起網(wǎng)絡(luò)阻塞，使實(shí)時(shí)性要求高的數(shù)據(jù)得不到及時(shí)發(fā)送；而在流量低谷時(shí)又造成大量的網(wǎng)絡(luò)帶寬空閑。QoS通過流量預(yù)測(cè)與流量控制策略，可以按照優(yōu)先級(jí)分實(shí)現(xiàn)帶寬管理，使得各類數(shù)據(jù)能夠被合理地先后發(fā)送，并預(yù)防阻塞的發(fā)生。

3.可擴(kuò)充性和靈活性

VPN必須能夠支持通過Intranet和Extranet的任何類型的數(shù)據(jù)流，方便增加新的節(jié)點(diǎn)，支持多種類型的傳輸媒介，可以滿足同時(shí)傳輸語音、圖像和數(shù)據(jù)等新應(yīng)用對(duì)高質(zhì)量傳輸以及帶寬增加的需求。

4.可管理性

從用戶角度和運(yùn)營(yíng)商角度應(yīng)可方便地進(jìn)行管理、維護(hù)。VPN管理的目標(biāo)為：減小網(wǎng)絡(luò)風(fēng)險(xiǎn)、具有高擴(kuò)展性、經(jīng)濟(jì)性、高可靠性等優(yōu)點(diǎn)。事實(shí)上，VPN管理主要包括安全管理、設(shè)備管理、配置管理、訪問控制列表管理、QoS管理等內(nèi)容。

§5.8VPN防火墻

VPN防火墻就是一種過濾塞（目前你這么理解不算錯(cuò)），你可以讓你喜歡的東西通過這個(gè)塞子，別的玩意都統(tǒng)統(tǒng)過濾掉。在網(wǎng)絡(luò)的世界里，要由VPN防火墻過濾的就是承載通信數(shù)據(jù)的通信包。

最簡(jiǎn)單的VPN防火墻是以太網(wǎng)橋。但幾乎沒有人會(huì)認(rèn)為這種原始VPN防火墻能管多大用。大多數(shù)VPN防火墻采用的技術(shù)和標(biāo)準(zhǔn)可謂五花八門。這些VPN防火墻的形式多種多樣：有的取代系統(tǒng)上已經(jīng)裝備的TCP/IP協(xié)議棧；有的在已有的協(xié)議棧上建立自己的軟件模塊；有的干脆就是獨(dú)立的一套操作系統(tǒng)。還有一些應(yīng)用型的VPN防火墻只對(duì)特定類型的網(wǎng)絡(luò)連接提供保護(hù)（比如SMTP或者HTTP協(xié)議等）。還有一些基于硬件的VPN防火墻產(chǎn)品其實(shí)應(yīng)該歸入安全路由器一類。以上的產(chǎn)品都可以叫做VPN防火墻，因?yàn)樗麄兊墓ぷ鞣绞蕉际且粯拥模悍治龀鋈隫PN防火墻的數(shù)據(jù)包，決定放行還是把他們?nèi)拥揭贿叀?/p>

所有的VPN防火墻都具有IP地址過濾功能。這項(xiàng)任務(wù)要檢查IP包頭，根據(jù)其IP源地址和目標(biāo)地址作出放行/丟棄決定。看看下面這張圖，兩個(gè)網(wǎng)段之間隔了一個(gè)VPN防火墻，VPN防火墻的一端有臺(tái)UNIX計(jì)算機(jī)，另一邊的網(wǎng)段則擺了臺(tái)PC客戶機(jī)。

當(dāng)PC客戶機(jī)向UNIX計(jì)算機(jī)發(fā)起telnet請(qǐng)求時(shí)，PC的telnet客戶程序就產(chǎn)生一個(gè)TCP包并把它傳給本地的協(xié)議棧準(zhǔn)備發(fā)送。接下來，協(xié)議棧將這個(gè)TCP包“塞”到一個(gè)IP包里，然后通過PC機(jī)的TCP/IP棧所定義的路徑將它發(fā)送給UNIX計(jì)算機(jī)。在這個(gè)例子里，這個(gè)IP包必須經(jīng)過橫在PC和UNIX計(jì)算機(jī)中的VPN防火墻才能到達(dá)UNIX計(jì)算機(jī)。

現(xiàn)在我們“命令”（用專業(yè)術(shù)語來說就是配制）VPN防火墻把所有發(fā)給UNIX計(jì)算機(jī)的數(shù)據(jù)包都給拒了，完成這項(xiàng)工作以后，比較好的VPN防火墻還會(huì)通知客戶程序一聲呢！既然發(fā)向目標(biāo)的IP數(shù)據(jù)沒法轉(zhuǎn)發(fā)，那么只有和UNIX計(jì)算機(jī)同在一個(gè)網(wǎng)段的用戶才能訪問UNIX計(jì)算機(jī)了。

還有一種情況，你可以命令VPN防火墻專給那臺(tái)可憐的PC機(jī)找茬，別人的數(shù)據(jù)包都讓過就它不行。這正是VPN防火墻最基本的功能：根據(jù)IP地址做轉(zhuǎn)發(fā)判斷。但要上了大場(chǎng)面這種小伎倆就玩不轉(zhuǎn)了，由于黑客們可以采用IP地址欺騙技術(shù)，偽裝成合法地址的計(jì)算機(jī)就可以穿越信任這個(gè)地址的VPN防火墻了。不過根據(jù)地址的轉(zhuǎn)發(fā)決策機(jī)制還是最基本和必需的。另外要注意的一點(diǎn)是，不要用DNS主機(jī)名建立過濾表，對(duì)DNS的偽造比IP地址欺騙要容易多了。

后記：

入侵檢測(cè)作為一種積極主動(dòng)地安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。入侵檢測(cè)系統(tǒng)面臨的最主要挑戰(zhàn)有兩個(gè)：一個(gè)是虛警率太高，一個(gè)是檢測(cè)速度太慢。現(xiàn)有的入侵檢測(cè)系統(tǒng)還有其他技術(shù)上的致命弱點(diǎn)。因此，可以這樣說，入侵檢測(cè)產(chǎn)品仍具有較大的發(fā)展空間，從技術(shù)途徑來講，除了完善常規(guī)的、傳統(tǒng)的技術(shù)（模式識(shí)別和完整性檢測(cè)）外，應(yīng)重點(diǎn)加強(qiáng)統(tǒng)計(jì)分析的相關(guān)技術(shù)研究。

但無論如何，入侵檢測(cè)不是對(duì)所有的入侵都能夠及時(shí)發(fā)現(xiàn)的，即使擁有當(dāng)前最強(qiáng)大的入侵檢測(cè)系統(tǒng)，如果不及時(shí)修補(bǔ)網(wǎng)絡(luò)中的安全漏洞的話，安全也無從談起。

同樣入侵檢測(cè)技術(shù)也存在許多缺點(diǎn)，IDS的檢測(cè)模型始終落后于攻擊者的新知識(shí)和技術(shù)手段。主要表現(xiàn)在以下幾個(gè)方面：

1)利用加密技術(shù)欺騙IDS;

2)躲避IDS的安全策略;

3)快速發(fā)動(dòng)進(jìn)攻，使IDS無法反應(yīng);

4)發(fā)動(dòng)大規(guī)模攻擊，使IDS判斷出錯(cuò);

5)直接破壞IDS;

6)智能攻擊技術(shù)，邊攻擊邊學(xué)習(xí)，變IDS為攻擊者的工具。

我認(rèn)為在與防火墻技術(shù)結(jié)合中應(yīng)該注意擴(kuò)大檢測(cè)范圍和類別、加強(qiáng)自學(xué)習(xí)和自適應(yīng)的能力方面發(fā)展。

參考文獻(xiàn)：

1..MarcusGoncalves著。宋書民，朱智強(qiáng)等譯。防火墻技術(shù)指南[M]。機(jī)械工業(yè)出版社

2.梅杰，許榕生。Internet防火墻技術(shù)新發(fā)展。微電腦世界.

第2篇

入侵檢測(cè)系統(tǒng)（IDS）可以對(duì)系統(tǒng)或網(wǎng)絡(luò)資源進(jìn)行實(shí)時(shí)檢測(cè)，及時(shí)發(fā)現(xiàn)闖入系統(tǒng)或網(wǎng)絡(luò)的入侵者，也可預(yù)防合法用戶對(duì)資源的誤操作。本論文從入侵檢測(cè)的基本理論和入侵檢測(cè)中的關(guān)鍵技術(shù)出發(fā),主要研究了一個(gè)簡(jiǎn)單的基于網(wǎng)絡(luò)的windows平臺(tái)上的個(gè)人入侵檢測(cè)系統(tǒng)的實(shí)現(xiàn)(PIDS，PersonalIntrusionDetectionSystem)。論文首先分析了當(dāng)前網(wǎng)絡(luò)的安全現(xiàn)狀，介紹了入侵檢測(cè)技術(shù)的歷史以及當(dāng)前入侵檢測(cè)系統(tǒng)的關(guān)鍵理論。分析了Windows的網(wǎng)絡(luò)體系結(jié)構(gòu)以及開發(fā)工具Winpcap的數(shù)據(jù)包捕獲和過濾的結(jié)構(gòu)。最后在Winpcap系統(tǒng)環(huán)境下實(shí)現(xiàn)本系統(tǒng)設(shè)計(jì)。本系統(tǒng)采用異常檢測(cè)技術(shù)，通過Winpcap截取實(shí)時(shí)數(shù)據(jù)包，同時(shí)從截獲的IP包中提取出概述性事件信息并傳送給入侵檢測(cè)模塊，采用量化分析的方法對(duì)信息進(jìn)行分析。系統(tǒng)在實(shí)際測(cè)試中表明對(duì)于具有量化特性的網(wǎng)絡(luò)入侵具有較好的檢測(cè)能力。最后歸納出系統(tǒng)現(xiàn)階段存在的問題和改進(jìn)意見,并根據(jù)系統(tǒng)的功能提出了后續(xù)開發(fā)方向。

關(guān)鍵詞：網(wǎng)絡(luò)安全；入侵檢測(cè)；數(shù)據(jù)包捕獲；PIDS

1.1網(wǎng)絡(luò)安全概述

1.1.1網(wǎng)絡(luò)安全問題的產(chǎn)生

可以從不同角度對(duì)網(wǎng)絡(luò)安全作出不同的解釋。一般意義上，網(wǎng)絡(luò)安全是指信息安全和控制安全兩部分。國際標(biāo)準(zhǔn)化組織把信息安全定義為“信息的完整性、可用性、保密性和可靠性”；控制安全則指身份認(rèn)證、不可否認(rèn)性、授權(quán)和訪問控制。

互聯(lián)網(wǎng)與生俱有的開放性、交互性和分散性特征使人類所憧憬的信息共享、開放、靈活和快速等需求得到滿足。網(wǎng)絡(luò)環(huán)境為信息共享、信息交流、信息服務(wù)創(chuàng)造了理想空間，網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和廣泛應(yīng)用，為人類社會(huì)的進(jìn)步提供了巨大推動(dòng)力。然而，正是由于互聯(lián)網(wǎng)的上述特性，產(chǎn)生了許多安全問題：

(1)信息泄漏、信息污染、信息不易受控。例如，資源未授權(quán)侵用、未授權(quán)信息流出現(xiàn)、系統(tǒng)拒絕信息流和系統(tǒng)否認(rèn)等，這些都是信息安全的技術(shù)難點(diǎn)。

(2)在網(wǎng)絡(luò)環(huán)境中，一些組織或個(gè)人出于某種特殊目的，進(jìn)行信息泄密、信息破壞、信息侵權(quán)和意識(shí)形態(tài)的信息滲透，甚至通過網(wǎng)絡(luò)進(jìn)行政治顛覆等活動(dòng)，使國家利益、社會(huì)公共利益和各類主體的合法權(quán)益受到威脅。

(3)網(wǎng)絡(luò)運(yùn)用的趨勢(shì)是全社會(huì)廣泛參與，隨之而來的是控制權(quán)分散的管理問題。由于人們利益、目標(biāo)、價(jià)值的分歧，使信息資源的保護(hù)和管理出現(xiàn)脫節(jié)和真空，從而使信息安全問題變得廣泛而復(fù)雜。

(4)隨著社會(huì)重要基礎(chǔ)設(shè)施的高度信息化，社會(huì)的“命脈”和核心控制系統(tǒng)有可能面臨更大的威脅。

1.1.2網(wǎng)絡(luò)信息系統(tǒng)面臨的安全威脅

目前網(wǎng)絡(luò)信息系統(tǒng)面臨的安全威脅主要有:

(1)非法使用服務(wù):這種攻擊的目的在于非法利用網(wǎng)絡(luò)的能力，網(wǎng)絡(luò)上的非授權(quán)訪問應(yīng)該是不可能的。不幸的是，用于在網(wǎng)絡(luò)上共享資源及信息的工具、程序存在許多安全漏洞，而利用了這些漏洞就可以對(duì)系統(tǒng)進(jìn)行訪問了。

(2)身份冒充;這種攻擊的著眼點(diǎn)在于網(wǎng)絡(luò)中的信任關(guān)系，主要有地址偽裝IP欺騙和用戶名假冒。

(3)數(shù)據(jù)竊取:指所保護(hù)的重要數(shù)據(jù)被非法用戶所獲取，如入侵者利用電磁波輻射或搭線竊聽等方式截獲用戶口令、帳號(hào)等重要敏感信息。

(4)破壞數(shù)據(jù)完整性:指通過非法手段竊得系統(tǒng)一定使用權(quán)限，并刪除、修改、偽造某些重要信息，以干擾用戶的正常使用或便于入侵者的進(jìn)一步攻擊。

1.1.3對(duì)網(wǎng)絡(luò)個(gè)人主機(jī)的攻擊

對(duì)方首先通過掃描來查找可以入侵的機(jī)器，即漏洞探測(cè)；接著確定該機(jī)器的IP地址；然后利用相應(yīng)的攻擊工具發(fā)起某種攻擊。

第3篇

關(guān)鍵詞入侵檢測(cè)系統(tǒng)；CIDF；網(wǎng)絡(luò)安全；防火墻

0引言

近年來，隨著信息和網(wǎng)絡(luò)技術(shù)的高速發(fā)展以及政治、經(jīng)濟(jì)或者軍事利益的驅(qū)動(dòng)，計(jì)算機(jī)和網(wǎng)絡(luò)基礎(chǔ)設(shè)施，特別是各種官方機(jī)構(gòu)的網(wǎng)站，成為黑客攻擊的熱門目標(biāo)。近年來對(duì)電子商務(wù)的熱切需求，更加激化了這種入侵事件的增長(zhǎng)趨勢(shì)。由于防火墻只防外不防內(nèi)，并且很容易被繞過，所以僅僅依賴防火墻的計(jì)算機(jī)系統(tǒng)已經(jīng)不能對(duì)付日益猖獗的入侵行為，對(duì)付入侵行為的第二道防線——入侵檢測(cè)系統(tǒng)就被啟用了。

1入侵檢測(cè)系統(tǒng)（IDS）概念

1980年，JamesP.Anderson第一次系統(tǒng)闡述了入侵檢測(cè)的概念，并將入侵行為分為外部滲透、內(nèi)部滲透和不法行為三種，還提出了利用審計(jì)數(shù)據(jù)監(jiān)視入侵活動(dòng)的思想[1]。即其之后,1986年DorothyE.Denning提出實(shí)時(shí)異常檢測(cè)的概念[2]并建立了第一個(gè)實(shí)時(shí)入侵檢測(cè)模型，命名為入侵檢測(cè)專家系統(tǒng)（IDES），1990年，L.T.Heberlein等設(shè)計(jì)出監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)流的入侵檢測(cè)系統(tǒng)，NSM(NetworkSecurityMonitor)。自此之后，入侵檢測(cè)系統(tǒng)才真正發(fā)展起來。

Anderson將入侵嘗試或威脅定義為：潛在的、有預(yù)謀的、未經(jīng)授權(quán)的訪問信息、操作信息、致使系統(tǒng)不可靠或無法使用的企圖。而入侵檢測(cè)的定義為[4]：發(fā)現(xiàn)非授權(quán)使用計(jì)算機(jī)的個(gè)體（如“黑客”）或計(jì)算機(jī)系統(tǒng)的合法用戶濫用其訪問系統(tǒng)的權(quán)利以及企圖實(shí)施上述行為的個(gè)體。執(zhí)行入侵檢測(cè)任務(wù)的程序即是入侵檢測(cè)系統(tǒng)。入侵檢測(cè)系統(tǒng)也可以定義為：檢測(cè)企圖破壞計(jì)算機(jī)資源的完整性，真實(shí)性和可用性的行為的軟件。

入侵檢測(cè)系統(tǒng)執(zhí)行的主要任務(wù)包括[3]：監(jiān)視、分析用戶及系統(tǒng)活動(dòng)；審計(jì)系統(tǒng)構(gòu)造和弱點(diǎn)；識(shí)別、反映已知進(jìn)攻的活動(dòng)模式，向相關(guān)人士報(bào)警；統(tǒng)計(jì)分析異常行為模式；評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性；審計(jì)、跟蹤管理操作系統(tǒng)，識(shí)別用戶違反安全策略的行為。入侵檢測(cè)一般分為三個(gè)步驟：信息收集、數(shù)據(jù)分析、響應(yīng)。

入侵檢測(cè)的目的：（1）識(shí)別入侵者；（2）識(shí)別入侵行為；（3）檢測(cè)和監(jiān)視以實(shí)施的入侵行為；（4）為對(duì)抗入侵提供信息，阻止入侵的發(fā)生和事態(tài)的擴(kuò)大；

2入侵檢測(cè)系統(tǒng)模型

美國斯坦福國際研究所（SRI）的D.E.Denning于1986年首次提出一種入侵檢測(cè)模型[2]，該模型的檢測(cè)方法就是建立用戶正常行為的描述模型，并以此同當(dāng)前用戶活動(dòng)的審計(jì)記錄進(jìn)行比較，如果有較大偏差，則表示有異常活動(dòng)發(fā)生。這是一種基于統(tǒng)計(jì)的檢測(cè)方法。隨著技術(shù)的發(fā)展，后來人們又提出了基于規(guī)則的檢測(cè)方法。結(jié)合這兩種方法的優(yōu)點(diǎn)，人們?cè)O(shè)計(jì)出很多入侵檢測(cè)的模型。通用入侵檢測(cè)構(gòu)架（CommonIntrusionDetectionFramework簡(jiǎn)稱CIDF）組織，試圖將現(xiàn)有的入侵檢測(cè)系統(tǒng)標(biāo)準(zhǔn)化，CIDF闡述了一個(gè)入侵檢測(cè)系統(tǒng)的通用模型（一般稱為CIDF模型）。它將一個(gè)入侵檢測(cè)系統(tǒng)分為以下四個(gè)組件：

事件產(chǎn)生器(EventGenerators)

事件分析器(Eventanalyzers)

響應(yīng)單元(Responseunits)

事件數(shù)據(jù)庫(Eventdatabases)

它將需要分析的數(shù)據(jù)通稱為事件，事件可以是基于網(wǎng)絡(luò)的數(shù)據(jù)包也可以是基于主機(jī)的系統(tǒng)日志中的信息。事件產(chǎn)生器的目的是從整個(gè)計(jì)算機(jī)環(huán)境中獲得事件，并向系統(tǒng)其它部分提供此事件。事件分析器分析得到的事件并產(chǎn)生分析結(jié)果。響應(yīng)單元?jiǎng)t是對(duì)分析結(jié)果做出反應(yīng)的功能單元，它可以做出切斷連接、修改文件屬性等強(qiáng)烈反應(yīng)。事件數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)的地方的通稱，它可以是復(fù)雜的數(shù)據(jù)庫也可以是簡(jiǎn)單的文本文件。

3入侵檢測(cè)系統(tǒng)的分類：

現(xiàn)有的IDS的分類，大都基于信息源和分析方法。為了體現(xiàn)對(duì)IDS從布局、采集、分析、響應(yīng)等各個(gè)層次及系統(tǒng)性研究方面的問題，在這里采用五類標(biāo)準(zhǔn)：控制策略、同步技術(shù)、信息源、分析方法、響應(yīng)方式。

按照控制策略分類

控制策略描述了IDS的各元素是如何控制的，以及IDS的輸入和輸出是如何管理的。按照控制策略IDS可以劃分為，集中式IDS、部分分布式IDS和全部分布式IDS。在集中式IDS中，一個(gè)中央節(jié)點(diǎn)控制系統(tǒng)中所有的監(jiān)視、檢測(cè)和報(bào)告。在部分分布式IDS中，監(jiān)控和探測(cè)是由本地的一個(gè)控制點(diǎn)控制，層次似的將報(bào)告發(fā)向一個(gè)或多個(gè)中心站。在全分布式IDS中，監(jiān)控和探測(cè)是使用一種叫“”的方法，進(jìn)行分析并做出響應(yīng)決策。

按照同步技術(shù)分類

同步技術(shù)是指被監(jiān)控的事件以及對(duì)這些事件的分析在同一時(shí)間進(jìn)行。按照同步技術(shù)劃分，IDS劃分為間隔批任務(wù)處理型IDS和實(shí)時(shí)連續(xù)性IDS。在間隔批任務(wù)處理型IDS中，信息源是以文件的形式傳給分析器，一次只處理特定時(shí)間段內(nèi)產(chǎn)生的信息，并在入侵發(fā)生時(shí)將結(jié)果反饋給用戶。很多早期的基于主機(jī)的IDS都采用這種方案。在實(shí)時(shí)連續(xù)型IDS中，事件一發(fā)生，信息源就傳給分析引擎，并且立刻得到處理和反映。實(shí)時(shí)IDS是基于網(wǎng)絡(luò)IDS首選的方案。

按照信息源分類

按照信息源分類是目前最通用的劃分方法，它分為基于主機(jī)的IDS、基于網(wǎng)絡(luò)的IDS和分布式IDS。基于主機(jī)的IDS通過分析來自單個(gè)的計(jì)算機(jī)系統(tǒng)的系統(tǒng)審計(jì)蹤跡和系統(tǒng)日志來檢測(cè)攻擊。基于主機(jī)的IDS是在關(guān)鍵的網(wǎng)段或交換部位通過捕獲并分析網(wǎng)絡(luò)數(shù)據(jù)包來檢測(cè)攻擊。分布式IDS，能夠同時(shí)分析來自主機(jī)系統(tǒng)日志和網(wǎng)絡(luò)數(shù)據(jù)流，系統(tǒng)由多個(gè)部件組成，采用分布式結(jié)構(gòu)。

按照分析方法分類

按照分析方法IDS劃分為濫用檢測(cè)型IDS和異常檢測(cè)型IDS。濫用檢測(cè)型的IDS中，首先建立一個(gè)對(duì)過去各種入侵方法和系統(tǒng)缺陷知識(shí)的數(shù)據(jù)庫，當(dāng)收集到的信息與庫中的原型相符合時(shí)則報(bào)警。任何不符合特定條件的活動(dòng)將會(huì)被認(rèn)為合法，因此這樣的系統(tǒng)虛警率很低。異常檢測(cè)型IDS是建立在如下假設(shè)的基礎(chǔ)之上的，即任何一種入侵行為都能由于其偏離正常或者所期望的系統(tǒng)和用戶活動(dòng)規(guī)律而被檢測(cè)出來。所以它需要一個(gè)記錄合法活動(dòng)的數(shù)據(jù)庫，由于庫的有限性使得虛警率比較高。

按照響應(yīng)方式分類

按照響應(yīng)方式IDS劃分為主動(dòng)響應(yīng)IDS和被動(dòng)響應(yīng)IDS。當(dāng)特定的入侵被檢測(cè)到時(shí)，主動(dòng)IDS會(huì)采用以下三種響應(yīng)：收集輔助信息；改變環(huán)境以堵住導(dǎo)致入侵發(fā)生的漏洞；對(duì)攻擊者采取行動(dòng)（這是一種不被推薦的做法，因?yàn)樾袨橛悬c(diǎn)過激）。被動(dòng)響應(yīng)IDS則是將信息提供給系統(tǒng)用戶，依靠管理員在這一信息的基礎(chǔ)上采取進(jìn)一步的行動(dòng)。

4IDS的評(píng)價(jià)標(biāo)準(zhǔn)

目前的入侵檢測(cè)技術(shù)發(fā)展迅速，應(yīng)用的技術(shù)也很廣泛，如何來評(píng)價(jià)IDS的優(yōu)缺點(diǎn)就顯得非常重要。評(píng)價(jià)IDS的優(yōu)劣主要有這樣幾個(gè)方面[5]：（1）準(zhǔn)確性。準(zhǔn)確性是指IDS不會(huì)標(biāo)記環(huán)境中的一個(gè)合法行為為異常或入侵。（2）性能。IDS的性能是指處理審計(jì)事件的速度。對(duì)一個(gè)實(shí)時(shí)IDS來說，必須要求性能良好。（3）完整性。完整性是指IDS能檢測(cè)出所有的攻擊。（4）故障容錯(cuò)（faulttolerance）。當(dāng)被保護(hù)系統(tǒng)遭到攻擊和毀壞時(shí)，能迅速恢復(fù)系統(tǒng)原有的數(shù)據(jù)和功能。（5）自身抵抗攻擊能力。這一點(diǎn)很重要，尤其是“拒絕服務(wù)”攻擊。因?yàn)槎鄶?shù)對(duì)目標(biāo)系統(tǒng)的攻擊都是采用首先用“拒絕服務(wù)”攻擊摧毀IDS，再實(shí)施對(duì)系統(tǒng)的攻擊。（6）及時(shí)性（Timeliness）。一個(gè)IDS必須盡快地執(zhí)行和傳送它的分析結(jié)果，以便在系統(tǒng)造成嚴(yán)重危害之前能及時(shí)做出反應(yīng)，阻止攻擊者破壞審計(jì)數(shù)據(jù)或IDS本身。

除了上述幾個(gè)主要方面，還應(yīng)該考慮以下幾個(gè)方面：（1）IDS運(yùn)行時(shí)，額外的計(jì)算機(jī)資源的開銷；（2）誤警報(bào)率／漏警報(bào)率的程度；（3）適應(yīng)性和擴(kuò)展性；（4）靈活性；（5）管理的開銷；（6）是否便于使用和配置。

5IDS的發(fā)展趨

隨著入侵檢測(cè)技術(shù)的發(fā)展，成型的產(chǎn)品已陸續(xù)應(yīng)用到實(shí)踐中。入侵檢測(cè)系統(tǒng)的典型代表是ISS（國際互聯(lián)網(wǎng)安全系統(tǒng)公司）公司的RealSecure。目前較為著名的商用入侵檢測(cè)產(chǎn)品還有：NAI公司的CyberCopMonitor、Axent公司的NetProwler、CISCO公司的Netranger、CA公司的Sessionwall－3等。國內(nèi)的該類產(chǎn)品較少，但發(fā)展很快，已有總參北方所、中科網(wǎng)威、啟明星辰等公司推出產(chǎn)品。

人們?cè)谕晟圃屑夹g(shù)的基礎(chǔ)上，又在研究新的檢測(cè)方法，如數(shù)據(jù)融合技術(shù)，主動(dòng)的自主方法，智能技術(shù)以及免疫學(xué)原理的應(yīng)用等。其主要的發(fā)展方向可概括為：

（1）大規(guī)模分布式入侵檢測(cè)。傳統(tǒng)的入侵檢測(cè)技術(shù)一般只局限于單一的主機(jī)或網(wǎng)絡(luò)框架，顯然不能適應(yīng)大規(guī)模網(wǎng)絡(luò)的監(jiān)測(cè)，不同的入侵檢測(cè)系統(tǒng)之間也不能協(xié)同工作。因此，必須發(fā)展大規(guī)模的分布式入侵檢測(cè)技術(shù)。

（2）寬帶高速網(wǎng)絡(luò)的實(shí)時(shí)入侵檢測(cè)技術(shù)。大量高速網(wǎng)絡(luò)的不斷涌現(xiàn)，各種寬帶接入手段層出不窮，如何實(shí)現(xiàn)高速網(wǎng)絡(luò)下的實(shí)時(shí)入侵檢測(cè)成為一個(gè)現(xiàn)實(shí)的問題。

（3）入侵檢測(cè)的數(shù)據(jù)融合技術(shù)。目前的IDS還存在著很多缺陷。首先，目前的技術(shù)還不能對(duì)付訓(xùn)練有素的黑客的復(fù)雜的攻擊。其次，系統(tǒng)的虛警率太高。最后，系統(tǒng)對(duì)大量的數(shù)據(jù)處理，非但無助于解決問題，還降低了處理能力。數(shù)據(jù)融合技術(shù)是解決這一系列問題的好方法。

（4）與網(wǎng)絡(luò)安全技術(shù)相結(jié)合。結(jié)合防火墻，病毒防護(hù)以及電子商務(wù)技術(shù)，提供完整的網(wǎng)絡(luò)安全保障。

6結(jié)束語

在目前的計(jì)算機(jī)安全狀態(tài)下，基于防火墻、加密技術(shù)的安全防護(hù)固然重要，但是，要根本改善系統(tǒng)的安全現(xiàn)狀，必須要發(fā)展入侵檢測(cè)技術(shù)，它已經(jīng)成為計(jì)算機(jī)安全策略中的核心技術(shù)之一。IDS作為一種主動(dòng)的安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。隨著網(wǎng)絡(luò)通信技術(shù)安全性的要求越來越高，入侵檢測(cè)技術(shù)必將受到人們的高度重視。

參考文獻(xiàn)：

[1]putersecuritythreatmonitoringandsurveillance[P].PA19034,USA,1980.4

[2]DenningDE.AnIntrusion-DetectionModel[A].IEEESymponSecurity&Privacy[C],1986.118-131

[3]張杰，戴英俠，入侵檢測(cè)系統(tǒng)技術(shù)現(xiàn)狀及其發(fā)展趨勢(shì)[J]，計(jì)算機(jī)與通信，2002.6：28-32