畢業(yè)論文基于校園網(wǎng)的分布式入侵防御系統(tǒng)研究與設(shè)計(jì)

1、 foshan university本科生畢業(yè)設(shè)計(jì)（論文） 基于校園網(wǎng)的分布式入侵防御系統(tǒng)研究與設(shè)計(jì) 學(xué) 院： 機(jī)電與信息工程學(xué)院 專 業(yè)： 網(wǎng)絡(luò)工程 學(xué) 號(hào)： 2005394109 學(xué)生姓名： 何應(yīng)鴻 指導(dǎo)教師： 馬莉 （職稱）二九 年 五 月摘 要隨著internet的發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)安全成為越來(lái)越受人們關(guān)注的問(wèn)題。目前最流行的網(wǎng)絡(luò)安全解決方案是入侵檢測(cè)系統(tǒng)和防火墻技術(shù)，但是由于入侵檢測(cè)系統(tǒng)存在產(chǎn)生大量的警報(bào)（alert）和誤報(bào)（false positive）、只能被動(dòng)檢測(cè)不能主動(dòng)防御的缺點(diǎn)，導(dǎo)致不能對(duì)網(wǎng)絡(luò)進(jìn)行全面得保護(hù)，因此急需出現(xiàn)一種嶄新的網(wǎng)絡(luò)安全體系結(jié)構(gòu)來(lái)解決這些問(wèn)題。通過(guò)分析多種安

2、全防御機(jī)制的優(yōu)缺點(diǎn)和網(wǎng)絡(luò)安全的發(fā)展趨勢(shì)，在此基礎(chǔ)上設(shè)計(jì)并實(shí)現(xiàn)了基于分層部件的分布式入侵檢測(cè)系統(tǒng)，具有良好的性能和可擴(kuò)展性。它將入侵檢測(cè)系統(tǒng)和防火墻技術(shù)有機(jī)地結(jié)合在一起，用于實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的全面保護(hù)和深度防御。 本文在深入細(xì)致地分析了現(xiàn)有入侵檢測(cè)系統(tǒng)進(jìn)行了研究與設(shè)計(jì)，取得了以下工作成果：參與設(shè)計(jì)了一種分布式入侵檢測(cè)系統(tǒng)，并對(duì)該系統(tǒng)的體系結(jié)構(gòu)和功能進(jìn)行了全面、完整的描述。研究了snort的實(shí)現(xiàn)機(jī)制，學(xué)會(huì)如何編寫snort規(guī)則。研究了黑客攻擊的步驟，并掌握了一般攻擊的手段。研究并實(shí)現(xiàn)了報(bào)警采集與格式統(tǒng)一模塊。實(shí)現(xiàn)了網(wǎng)絡(luò)通信模塊，并使用strategy模式保證了加密解密模塊的動(dòng)態(tài)擴(kuò)展，有效的解決了入侵檢測(cè)

3、系統(tǒng)自身的安全問(wèn)題。重點(diǎn)研究了報(bào)警融合模塊的實(shí)現(xiàn)原理，并實(shí)現(xiàn)了基于相似度的報(bào)警融合算法。重點(diǎn)研究和實(shí)現(xiàn)了基于插件的報(bào)警響應(yīng)模塊，實(shí)現(xiàn)了與防火墻的聯(lián)動(dòng)。針對(duì)局域網(wǎng)實(shí)際應(yīng)用需求，使用該分布式入侵檢測(cè)系統(tǒng)對(duì)其進(jìn)行保護(hù)，取得了不錯(cuò)的實(shí)驗(yàn)效果。關(guān)鍵詞：網(wǎng)絡(luò)安全；入侵檢測(cè)；分布式；報(bào)警融合；自動(dòng)響應(yīng)research and design of based on campus network distributed intrusion detection systemhe ying-hongabstractwith the development of the internet, the computer

4、network security has received more and more concern. at present the most popular network security solution is the intrusion detection system and the firewall system, but the intrusion detection system produces a lot of alert and false positive, an they only can detect passively, cannot defense activ

5、ely, so they cannot carry on the comprehensive protection to the network. therefore a kind of brand-new network security architecture is urgent needed to solve these problems. the author analyses the good and bad points of many kinds of security defense mechanism and the development tendency of the

6、network security, designs and implements component-based hierarchical distributed intrusion detection system. it has good performance and can be expanded easily. it combine the intrusion detection system and the firewall together, so it can carry on the comprehensive protection to the network.this a

7、rticle analyses the existing intrusion detection system and the firewall system, designs and implements the distributed intrusion detection system, obtaines the achievement as below:take part in designing the distributed intrusion detection system, and explains the architecture and function of the s

8、ystem explicitly.does a research in the implementation mechanism of the snort, and masteres how to write snort rules.does a research in the steps of hackersattack, masteres the general means of attack.does a research and implements the alerts gather and format unification module.implements network c

9、ommunication module, uses strategy design pattern to guarantee the dynamic expansion of the encryption and decryption module, solves security problems of the intrusion detection system effectively.dose a deep research in the principle of the alert fusion module, and implements based on the similarit

10、y alert fusion arithmetic.does a deep research and implements the automatic response module, which is based on plugin mode, and implements the linkage with the firewall.aim at the demand of the local area network security, uses this distributed intrusion detection system to carry on the protection f

11、or it, and the experiment receives some good effects.keyword: network security, intrusion detection, distribute, alert fusion, automatic response.目 錄1緒論 1 11 研究背景 1 1.1.1 校園網(wǎng)現(xiàn)狀 1 1.1.2 入侵檢測(cè)技術(shù)現(xiàn)狀 1 1.1.3 防火墻技術(shù)現(xiàn)狀 12方案論證 221 snort檢測(cè)器介紹 222 檢測(cè)引擎介紹 23研究過(guò)程論述 331第一階段：調(diào)研論文內(nèi)容 3 3.1.1 防火墻功能 3 3.1.2 防火墻分類 4 3.1

12、.3 防火墻不足 4 3.1.4入侵檢測(cè)功能 4 3.1.5入侵檢測(cè)分類 4 3.1.6入侵檢測(cè)不足 4 3.1.7分布式入侵檢測(cè)系統(tǒng)的優(yōu)勢(shì) 432 第二階段：模擬校園網(wǎng)的基礎(chǔ)上設(shè)計(jì)了入侵防御系統(tǒng) 533 第三階段：編寫檢測(cè)引擎 53. 4 第四階段：測(cè)試、運(yùn)行本系統(tǒng)并改進(jìn) 124結(jié)果分析135. 結(jié)論及存在的問(wèn)題 13參考文獻(xiàn) 14致謝 15基于校園網(wǎng)的分布式入侵防御系統(tǒng)研究與設(shè)計(jì)姓名：何應(yīng)鴻 學(xué)號(hào)：2005394109 班級(jí)：網(wǎng)絡(luò)工程0511、緒論1.1 網(wǎng)絡(luò)安全隱患internet是一個(gè)全球各種計(jì)算機(jī)網(wǎng)絡(luò)的互連系統(tǒng)，它把政府組織、金融證券、商業(yè)企業(yè)、國(guó)防軍事等各種計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)互相連接在

13、了一起。在計(jì)算機(jī)網(wǎng)絡(luò)中存在著一些重要的信息系統(tǒng)，其中存儲(chǔ)了大量敏感的甚至是機(jī)密的信息，如國(guó)家的軍事能源信息、政府的調(diào)控決策信息、政府的調(diào)控決策信息、科研機(jī)構(gòu)的研究技術(shù)信息和商業(yè)企業(yè)的技術(shù)經(jīng)濟(jì)信息等等；在計(jì)算機(jī)網(wǎng)絡(luò)中還存在著大量重要的應(yīng)用系統(tǒng)，如金融、證券、稅務(wù)、商務(wù)、文教等電子系統(tǒng)。但由于最初設(shè)計(jì)tcp/ip協(xié)議的目的是為了網(wǎng)絡(luò)設(shè)備的互聯(lián)通信。協(xié)議建立在完全信任的環(huán)境下，彼此之間有很多假定的信任關(guān)系，沒(méi)有對(duì)安全問(wèn)題引起足夠重視。網(wǎng)絡(luò)安全隱患主要來(lái)自于如下四個(gè)方面： （1）網(wǎng)絡(luò)的復(fù)雜性。網(wǎng)絡(luò)是一個(gè)有眾多環(huán)節(jié)構(gòu)成的復(fù)雜系統(tǒng)。由于市場(chǎng)利潤(rùn)，技術(shù)投入，產(chǎn)品成本，技術(shù)規(guī)范等等問(wèn)題，不同供應(yīng)商提供的環(huán)節(jié)在

14、安全性上不盡相同，使得整個(gè)系統(tǒng)的安全程度被限制在了安全等級(jí)最低的那個(gè)環(huán)節(jié)。 （2）網(wǎng)絡(luò)的飛速發(fā)展。由于網(wǎng)絡(luò)的發(fā)展，提供新網(wǎng)絡(luò)服務(wù)，增加網(wǎng)絡(luò)的開放性和互聯(lián)性等，必然將更多環(huán)節(jié)納入系統(tǒng)中，新采用的環(huán)節(jié)又增加了系統(tǒng)的復(fù)雜性，引發(fā)了網(wǎng)絡(luò)的不安定性。 （3）軟件質(zhì)量問(wèn)題。軟件質(zhì)量難以評(píng)估是軟件的一個(gè)特征?，F(xiàn)實(shí)中。即使是正常運(yùn)行了很久時(shí)間的軟件，也會(huì)在特定的情況下出現(xiàn)漏洞，例如不斷涌現(xiàn)的操作系統(tǒng)漏洞?，F(xiàn)代網(wǎng)絡(luò)已經(jīng)是軟件驅(qū)動(dòng)的發(fā)展模式，對(duì)軟件的更大依賴性加大了軟件質(zhì)量對(duì)網(wǎng)絡(luò)安全的負(fù)面影響。同時(shí)，市場(chǎng)的激烈競(jìng)爭(zhēng)，促使商家需要更快地推出產(chǎn)品，軟件的快速開發(fā)也增大了遺留更多隱患的可能性。 （4)其它非技術(shù)因素。這

15、包括技術(shù)員在網(wǎng)絡(luò)配置管理上的疏忽或錯(cuò)誤，網(wǎng)絡(luò)實(shí)際運(yùn)行效益和安全投入成本的平衡決擇，網(wǎng)絡(luò)用戶的安全管理缺陷等等。1.2 黑客常用攻擊手段 針對(duì)眾多的安全威脅和安全隱患，黑客常用的攻擊手段包括以下7種： （1）口令入侵：利用應(yīng)用層許多協(xié)議如telnet、ftp、http、smtp等，它們中多數(shù)沒(méi)有采用加密或身份認(rèn)證技術(shù)，用戶賬號(hào)與密碼信息都是以明文格式傳輸?shù)奶攸c(diǎn)實(shí)施網(wǎng)絡(luò)監(jiān)聽，也可以利用用戶的賬號(hào)（如e-mail賬號(hào)）進(jìn)行暴力破解（字典破解），當(dāng)然利用系統(tǒng)管理員的失誤，復(fù)制存放password的文件，進(jìn)一步利用解密算法也可以達(dá)到破解的目的。 (2)網(wǎng)絡(luò)監(jiān)聽：利用網(wǎng)絡(luò)中信息的傳輸是在用戶端與服務(wù)器端之

16、間進(jìn)行，攻擊者就可以在這兩端之間進(jìn)行數(shù)據(jù)監(jiān)聽，特別是局域網(wǎng)中信息的傳送采用廣播的形式，這時(shí)可以利用自己制作的抓包工具、或是利用現(xiàn)有的監(jiān)聽工具，如sniffer、netxray、tcpdump等工具就可以輕而易舉地截取包括用戶名、口令在內(nèi)的信息。 (3)www攻擊：這一技術(shù)常采用兩種方式進(jìn)行，一種是url（統(tǒng)一資源定位器）地址重寫，另一種是相關(guān)信息掩蓋。前者是利用url地址重寫將用戶瀏覽的網(wǎng)頁(yè)鏈接指向攻擊者的服務(wù)器，使得瀏覽者在查看信息的時(shí)候，不經(jīng)意進(jìn)入到攻擊者的全套里；后者一般利用文檔信息、表單信息掩蓋結(jié)合前一種方式同時(shí)進(jìn)行。常常使用java、activex、javascript程序來(lái)完成。

17、(4)木馬攻擊：這一攻擊常常是基于網(wǎng)絡(luò)中的客戶機(jī)/服務(wù)器原理。攻擊者利用在被攻擊者的計(jì)算機(jī)中安裝通過(guò)端口進(jìn)行通信的客戶機(jī)/服務(wù)器程序，使被控制端啟動(dòng)一個(gè)默認(rèn)端口，成為服務(wù)器，而攻擊者作為客戶機(jī)一方，利用此端口可以發(fā)出連接請(qǐng)求，進(jìn)而啟動(dòng)被控制端的相應(yīng)程序，將該計(jì)算機(jī)完全控制；或者在被攻擊的計(jì)算機(jī)內(nèi)安裝具有觸發(fā)機(jī)制的程序，當(dāng)對(duì)該機(jī)操作觸發(fā)該程序，可將計(jì)算機(jī)內(nèi)的重要信息定時(shí)或不定時(shí)傳到異地的機(jī)器上去。常用的工具有g(shù)lacier、subseven、acidshiver等。 (5)緩沖區(qū)溢出攻擊：由于軟件編碼或是系統(tǒng)本身沒(méi)有對(duì)執(zhí)行的程序與緩沖施加控制，使得在接受輸入的過(guò)程中，當(dāng)攻擊通過(guò)往程序的緩沖區(qū)寫入

18、超出其長(zhǎng)度的內(nèi)容時(shí)，系統(tǒng)會(huì)處于不穩(wěn)定狀態(tài)，利用這種不穩(wěn)定狀態(tài)，攻擊者可以通過(guò)加入代碼，在有root權(quán)限的內(nèi)存中運(yùn)行想要的指令，從而擁有系統(tǒng)管理員的權(quán)限，控制該機(jī)。如dnsoverflow、standoverflow等。 (6)dos攻擊：引起拒絕服務(wù)攻擊原因很多，有的是操作系統(tǒng)漏洞，有的是協(xié)議漏洞，有的是軟件本身的漏洞，還有的是錯(cuò)誤配置的原因。大體上是利用合理的服務(wù)請(qǐng)求來(lái)占用過(guò)多的服務(wù)資源，致使資源耗盡或是資源過(guò)載，造成服務(wù)器癱瘓，其它用戶無(wú)法想用該服務(wù)資源。常用的工具有smurf、stacheldraht、trinoo等。 (7)ddos攻擊：分布式拒絕服務(wù)攻擊，首先通過(guò)以上所列舉得某種技術(shù)

19、獲得多臺(tái)計(jì)算機(jī)的控制權(quán)，并在某一臺(tái)運(yùn)行特定程序使其成為主控端，在其他機(jī)器中運(yùn)行特定程序成為代理端，主控端控制多個(gè)代理端。當(dāng)主控端發(fā)出攻擊命令，每個(gè)響應(yīng)攻擊命令的代理端會(huì)向目標(biāo)主機(jī)發(fā)送拒絕服務(wù)攻擊的數(shù)據(jù)包，達(dá)到攻擊的目的。常用的工具有tfn、trinoo、stacheldraht等。1、3 網(wǎng)絡(luò)安全體系面對(duì)越來(lái)越嚴(yán)重的網(wǎng)絡(luò)安全問(wèn)題，人們制定了一系列的安全法則和評(píng)測(cè)標(biāo)準(zhǔn)，用來(lái)構(gòu)筑一個(gè)相對(duì)穩(wěn)固的安全系統(tǒng)。無(wú)論是安全模型，還是系統(tǒng)安全等級(jí)評(píng)估標(biāo)準(zhǔn)，人們主要是從身份認(rèn)證和訪問(wèn)控制這兩個(gè)方面來(lái)保證系統(tǒng)的安全性。但是，傳統(tǒng)的身份認(rèn)證技術(shù)，并不能抵制脆弱性的口令、字典攻擊、特洛伊木馬、網(wǎng)絡(luò)窺探器等攻擊手段。對(duì)

20、于訪問(wèn)控制，入侵者也可以利用脆弱性程序或系統(tǒng)漏洞繞過(guò)訪問(wèn)控制，或者提升用戶權(quán)限，或者非法讀寫文件等。網(wǎng)絡(luò)防火墻雖然為網(wǎng)絡(luò)服務(wù)提供了較好的身份認(rèn)證和訪問(wèn)控制技術(shù)，但是防火墻并不能阻擋所有的入侵行為。針對(duì)原有安全模型的缺陷，有些學(xué)者提出計(jì)算機(jī)信息系統(tǒng)安全的管理模型應(yīng)包括4部分，如圖1-1所示。在這個(gè)模型中，構(gòu)筑一個(gè)安全系統(tǒng)防御模塊只是其中一小部分。檢測(cè)模塊用于發(fā)現(xiàn)各種違反系統(tǒng)安全規(guī)則的入侵行為。調(diào)查模塊將檢測(cè)模塊所獲得的數(shù)據(jù)加以分析，并確認(rèn)當(dāng)前所發(fā)生的有關(guān)入侵企圖。事后分析模塊分析將來(lái)如何抵制類似的入侵行為。在這以前，人們的注意力集中在防御模塊上，隨著系統(tǒng)脆弱性評(píng)估及入侵檢測(cè)工作的深入，檢測(cè)模塊也

21、越來(lái)越受到人們的重視，而后兩個(gè)模塊的工作尚有待于進(jìn)一步的開展。當(dāng)今社會(huì)，對(duì)于信息系統(tǒng)的攻擊日趨頻繁。安全的概念已經(jīng)不局限于信息的保護(hù)，人們需要的是對(duì)整個(gè)信息和信息系統(tǒng)的保護(hù)和防御，從而確保它們的保密性、完整性、可用性、可控性、不可否認(rèn)性等，包括了對(duì)信息的保護(hù)、檢測(cè)、反應(yīng)和恢復(fù)能力（pdrr），其基本組成如圖1-2所示。14 目前網(wǎng)絡(luò)安全現(xiàn)狀目前最流行的網(wǎng)絡(luò)安全解決方案是入侵檢測(cè)系統(tǒng)和防火墻技術(shù)。入侵檢測(cè)，就是對(duì)入侵行為的發(fā)現(xiàn)。它通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從而發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的痕跡。ids通常架設(shè)在網(wǎng)絡(luò)重要節(jié)點(diǎn)與主機(jī)系統(tǒng)之上

22、，可檢測(cè)網(wǎng)絡(luò)流量與內(nèi)容，或者分析網(wǎng)絡(luò)內(nèi)的信息流動(dòng)。防火墻是用一個(gè)或一組網(wǎng)絡(luò)設(shè)備（計(jì)算機(jī)系統(tǒng)或路由器等），在兩個(gè)或多個(gè)網(wǎng)絡(luò)間加強(qiáng)訪問(wèn)控制，以保護(hù)一個(gè)網(wǎng)絡(luò)不受來(lái)自另一個(gè)網(wǎng)絡(luò)攻擊的安全技術(shù)。其主要作用是執(zhí)行安全策略、提供訪問(wèn)控制、防止不希望的以及未授權(quán)的通訊進(jìn)出被保護(hù)的網(wǎng)絡(luò)、強(qiáng)化內(nèi)部網(wǎng)絡(luò)安全等。主機(jī)防火墻是一種網(wǎng)絡(luò)安全軟件，運(yùn)行在受保護(hù)的主機(jī)上。其原理是通過(guò)在操作系統(tǒng)的網(wǎng)絡(luò)協(xié)議框架的適當(dāng)位置插入攔截點(diǎn)，讓所有的數(shù)據(jù)包都通過(guò)攔截點(diǎn)，再根據(jù)安全策略制定的過(guò)濾規(guī)則對(duì)通過(guò)的數(shù)據(jù)包進(jìn)行檢查，過(guò)濾掉不允許通過(guò)的數(shù)據(jù)包，以保護(hù)主機(jī)不受外界的非法訪問(wèn)和攻擊。1.5 論文研究的內(nèi)容和意義目前，一般ids所共有的一個(gè)缺

23、點(diǎn)是生成的報(bào)警和日志的數(shù)量過(guò)于龐大。就目前的發(fā)展現(xiàn)狀來(lái)看，ids還不能做到完全的自動(dòng)化，對(duì)于檢測(cè)結(jié)果的最終確認(rèn)必須有人的參與，而數(shù)量龐大的報(bào)警和日志超出人的處理能力，必須找到辦法來(lái)解決這一問(wèn)題。另外一個(gè)缺點(diǎn)是很多入侵檢測(cè)系統(tǒng)仍然采用人工響應(yīng)的形式。由于響應(yīng)及時(shí)性不夠并且無(wú)法處理大規(guī)模高速網(wǎng)絡(luò)中大量的安全事件，該方法已經(jīng)不能夠滿足目前入侵響應(yīng)的需求。采用分布式入侵檢測(cè)體系結(jié)構(gòu)基于分層部件的入侵檢測(cè)系統(tǒng)是目前解決這些問(wèn)題的常用方法。分布式入侵檢測(cè)體系結(jié)構(gòu)具有良好的性能和可擴(kuò)展性，它將入侵潔廁系統(tǒng)和防火墻技術(shù)有機(jī)地結(jié)合在一起，可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的全面保護(hù)和深度防御。首先，本文總結(jié)了現(xiàn)有入侵檢測(cè)系統(tǒng)的體系

24、結(jié)構(gòu)、報(bào)警融合、報(bào)警響應(yīng)，指出了現(xiàn)有入侵檢測(cè)系統(tǒng)錯(cuò)在的問(wèn)題，介紹了入侵檢測(cè)系統(tǒng)將來(lái)可能的發(fā)展方向。接著，重點(diǎn)研究了分布式入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)和各個(gè)功能的設(shè)計(jì)實(shí)現(xiàn)，具體研究?jī)?nèi)容包括：系統(tǒng)結(jié)構(gòu)、控制臺(tái)設(shè)計(jì)、報(bào)警融合、報(bào)警響應(yīng)。最后，針對(duì)局域網(wǎng)實(shí)際安全需求，實(shí)現(xiàn)了分布式入侵檢測(cè)系統(tǒng)對(duì)網(wǎng)絡(luò)安全的保護(hù)，取得了不錯(cuò)的應(yīng)用效果。1.6論文組織與安排本文共分為五章。除本章緒論外，其它各章的內(nèi)容安排如下：2、防火墻與入侵檢測(cè)技術(shù)介紹2.1防火墻技術(shù) 防火墻是通過(guò)提供訪問(wèn)控制服務(wù)來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)和受保護(hù)主機(jī)的網(wǎng)絡(luò)安全防護(hù)的，防火墻技術(shù)應(yīng)該結(jié)合入侵檢測(cè)系統(tǒng)和防木馬等技術(shù)，提供給用戶個(gè)高的網(wǎng)絡(luò)安全性。防火墻是一種網(wǎng)絡(luò)安

25、全軟件，作為一個(gè)應(yīng)用程序或者服務(wù)，運(yùn)行在受保護(hù)的主機(jī)上，為主機(jī)提供網(wǎng)絡(luò)安全保護(hù)。其主要手段是分析主機(jī)操作系統(tǒng)網(wǎng)絡(luò)協(xié)議架構(gòu)，在適當(dāng)?shù)奈恢貌迦霐r截點(diǎn)，所有的網(wǎng)絡(luò)數(shù)據(jù)包通訊都要經(jīng)過(guò)這些攔截點(diǎn)，再按照根據(jù)從策略服務(wù)器傳來(lái)的安全策略制定的過(guò)濾規(guī)則（訪問(wèn)控制規(guī)則）對(duì)經(jīng)過(guò)攔截點(diǎn)的網(wǎng)絡(luò)信息流進(jìn)行監(jiān)控和審查，過(guò)濾掉任何不符合安全規(guī)則的信息，以保護(hù)主機(jī)不受外界的非法訪問(wèn)和攻擊。對(duì)于主機(jī)防火墻來(lái)講，主機(jī)以外的網(wǎng)絡(luò)都是不可信的，而不像傳統(tǒng)邊界防火墻那樣信任內(nèi)網(wǎng)、防御外網(wǎng)。在制定安全策略的時(shí)候可以針對(duì)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)確定不同德過(guò)灘規(guī)則，但本質(zhì)上，內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)是平等的，都要進(jìn)行防御。2、1、1防火墻的功能：（1）

26、 過(guò)濾不安全服務(wù)和非法用戶網(wǎng)路入侵有許多都是通過(guò)運(yùn)行一些不安全的程序來(lái)實(shí)現(xiàn)的，這些程序有些是用戶知道的，有些是用戶不能擦覺(jué)的，它通過(guò)網(wǎng)絡(luò)悄悄地潛入你的計(jì)算機(jī)系統(tǒng)，伺機(jī)發(fā)作，實(shí)施破壞。因此，作為防火墻，應(yīng)當(dāng)能夠過(guò)濾掉所有的不安全數(shù)據(jù)，阻止它們進(jìn)入內(nèi)部網(wǎng)絡(luò)，對(duì)于允許的安全數(shù)據(jù)，則可以自出入。這樣既可以保證正常的上網(wǎng)活動(dòng)，又可以防止危機(jī)數(shù)據(jù)對(duì)自己的侵襲，保證上網(wǎng)安全。除了過(guò)濾不安全服務(wù)，防火墻還可以阻止非法用戶對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)，只允許授權(quán)的用戶訪問(wèn)，針對(duì)不同的服務(wù)面向不同的用戶開放，這樣可以靈活地設(shè)置用戶的訪問(wèn)權(quán)限，提高網(wǎng)絡(luò)的安全性。（2） 控制訪問(wèn)特殊站點(diǎn)一般情況下，上網(wǎng)以后可以獲得各種信息，而網(wǎng)

27、上信息五花八門，各式各樣的內(nèi)容都有。如果不加限制，就容易獲得一些色情、暴力等不健康的內(nèi)容，同時(shí)根據(jù)需要，有時(shí)我們要控制訪問(wèn)某些站點(diǎn)，通過(guò)防火墻就可以實(shí)現(xiàn)這些目的。（3） 監(jiān)視internet安全和預(yù)警對(duì)于來(lái)歷不明的數(shù)據(jù)，防火墻可以發(fā)出預(yù)警信息，同時(shí)可以監(jiān)視誰(shuí)在使用網(wǎng)絡(luò)，他們?cè)诰W(wǎng)上干什么，他們何時(shí)使用過(guò)網(wǎng)絡(luò)，在網(wǎng)上去了何處等內(nèi)容，獲得相關(guān)數(shù)據(jù)，為日后的安全技術(shù)分析提供依據(jù)。2、1、2防火墻的分類按照功能防火墻分為以下3類（1）包過(guò)濾型防火墻通過(guò)讀取數(shù)據(jù)包中的地址信息來(lái)判斷這些“包” 是否來(lái)自可信任的安全站點(diǎn)，一旦發(fā)現(xiàn)來(lái)自危險(xiǎn)站點(diǎn)的數(shù)據(jù)包，防火墻便會(huì)將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實(shí)際情況

28、靈活制訂判斷規(guī)則。（2）應(yīng)用級(jí)網(wǎng)關(guān)應(yīng)用級(jí)網(wǎng)關(guān)能夠在應(yīng)用層上理解協(xié)議，通過(guò)網(wǎng)關(guān)復(fù)制傳遞數(shù)據(jù)，實(shí)現(xiàn)復(fù)雜的控制訪問(wèn)，一般通過(guò)代理服務(wù)器完成操作控制。（3） 規(guī)則檢查防火墻規(guī)則檢查防火墻集中了上述二類防火墻的特點(diǎn)，同時(shí)又有自己先進(jìn)的算法，因此安全功能更好，目前市場(chǎng)上流行的防火墻大多屬于該類產(chǎn)品。2.2入侵檢測(cè)系統(tǒng)2、2、1 常用的入侵檢測(cè)技術(shù)入侵檢測(cè)過(guò)程事一個(gè)檢測(cè)系統(tǒng)與入侵攻擊者之間對(duì)抗的決策分析過(guò)程，其技術(shù)基礎(chǔ)事基于知識(shí)和冗余推理方法的信息融合技術(shù)，而大部分工作是通過(guò)模式匹配、數(shù)據(jù)挖掘、特征選取以及機(jī)器學(xué)習(xí)等方法對(duì)數(shù)據(jù)進(jìn)行分類處理。常用的入侵檢測(cè)技術(shù)分為兩大類，即濫用檢測(cè)和異常檢測(cè)6。濫用檢測(cè)（mi

29、suse detection）是根據(jù)已知的入侵模式特征，通過(guò)對(duì)被監(jiān)視目標(biāo)特定行為的模式匹配來(lái)進(jìn)行的關(guān)于已知入侵的檢測(cè)；而異常檢測(cè)（anomaly detection）則是事先以最近的歷史數(shù)據(jù)建立被監(jiān)視目標(biāo)（用戶，系統(tǒng)和網(wǎng)絡(luò)資源等）在正常情況下的行為和狀態(tài)的統(tǒng)計(jì)描述，通過(guò)檢測(cè)這些統(tǒng)計(jì)描述的當(dāng)前值是否顯著偏離了其相應(yīng)的正常情況下的統(tǒng)計(jì)描述來(lái)進(jìn)行入侵的檢測(cè)。（1） 濫用入侵檢測(cè)技術(shù)濫用入侵檢測(cè)技術(shù)的應(yīng)用是建立在對(duì)過(guò)去各種已知網(wǎng)絡(luò)入侵方法和系統(tǒng)缺陷知識(shí)的積累上，它需要首先建立一個(gè)包含上述已知信息的數(shù)據(jù)庫(kù)，然后在收集到的網(wǎng)絡(luò)活動(dòng)信息中尋找與數(shù)據(jù)庫(kù)項(xiàng)目匹配相關(guān)的蛛絲馬跡。當(dāng)發(fā)現(xiàn)符合條件的活動(dòng)線素后，它就會(huì)

30、觸發(fā)一個(gè)警告，這就是說(shuō)，任何不符合特定匹配條件的活動(dòng)都將會(huì)被認(rèn)為是合法和可以接受的，哪怕其中包含隱藏的入侵行為。因此，濫用檢測(cè)系統(tǒng)具備較高的檢測(cè)準(zhǔn)確性，但是，它的完整性（即檢測(cè)全部入侵行為的能力）則取決于其數(shù)據(jù)庫(kù)的幾時(shí)更新程度?？梢钥闯?，濫用入侵檢測(cè)技術(shù)的優(yōu)點(diǎn)在于具有非常低的虛警率，同時(shí)檢測(cè)的匹配條件可以進(jìn)行清楚的描述，從而有利于安全管理人員采取清晰明確的預(yù)防保護(hù)措施。然而，濫用入侵檢測(cè)技術(shù)的一個(gè)明顯缺陷在于，手機(jī)所有已知或是已發(fā)現(xiàn)攻擊行為和系統(tǒng)脆弱性信息的困難性以及幾時(shí)更新龐大數(shù)據(jù)庫(kù)需要消耗大量精力和時(shí)間，這是一項(xiàng)艱苦工作。另一個(gè)存在的問(wèn)題事可移植性，因?yàn)殛P(guān)于網(wǎng)絡(luò)攻擊的絕大多數(shù)是與主機(jī)的操作

31、系統(tǒng)、軟件平臺(tái)和應(yīng)用類型密切相關(guān)的，因此帶來(lái)的后果是這樣的入侵檢測(cè)系統(tǒng)只能在某個(gè)特定的環(huán)境下生效。最后，檢測(cè)內(nèi)部用戶的濫用權(quán)限的活動(dòng)將變得相當(dāng)困難，因?yàn)橥ǔＴ摲N行為并未利用任何系統(tǒng)缺陷。在濫用入侵檢測(cè)系統(tǒng)中，研究者們提出基于各種技術(shù)類型的檢測(cè)器，如專家系統(tǒng)技術(shù)、特征分析技術(shù)、petri網(wǎng)技術(shù)、狀態(tài)轉(zhuǎn)移分析技術(shù)等等。專家系統(tǒng)技術(shù)在各種開發(fā)模型中得到廣泛應(yīng)用。通常，專家系統(tǒng)中包含一系列描述攻擊行為的規(guī)則，當(dāng)審計(jì)數(shù)據(jù)事件被轉(zhuǎn)換成為能夠被專家系統(tǒng)理解的包含特定警告程度信息的事實(shí)后，專家系統(tǒng)應(yīng)用一個(gè)推理機(jī)在事實(shí)和規(guī)則的基礎(chǔ)上推出最后結(jié)論。這里，原始的審計(jì)數(shù)據(jù)被抽象成系統(tǒng)能夠理解的事實(shí)，有利于進(jìn)一步應(yīng)用更

32、高層次的各種分析技術(shù)。采用專家系統(tǒng)技術(shù)的典型例子有sri公司開發(fā)的入侵檢測(cè)專家系統(tǒng)（ides，intrusion detection expert system）。由于處理速度的原因，專家系統(tǒng)技術(shù)目前只是在各種研究原型中得到應(yīng)用，而商業(yè)化的軟件產(chǎn)品采用了其他效率更高的技術(shù)，其中目前應(yīng)用最廣泛的就是特征分析技術(shù)。與專家系統(tǒng)技術(shù)比較，相同之處是同樣要收集關(guān)于網(wǎng)絡(luò)入侵行為的各種知識(shí)，不同點(diǎn)是特征分析技術(shù)更直接的運(yùn)用收集到的各種知識(shí)，例如入侵行為可以被轉(zhuǎn)化成它們?cè)趯?shí)施過(guò)程中所產(chǎn)生的一個(gè)事件序列或某種系統(tǒng)審計(jì)文件以及網(wǎng)絡(luò)數(shù)據(jù)包中的數(shù)據(jù)樣板模型。（2）異常檢測(cè)技術(shù)又稱為基于行為（behavior base

33、d）的入侵檢測(cè)技術(shù)，它是建立在如下假設(shè)基礎(chǔ)上的，即任何一種入侵行為都能由于其偏離正?；蛘咂谕南到y(tǒng)和用戶的活動(dòng)規(guī)律而被檢測(cè)出來(lái)。描述正確或是合法的模型是從對(duì)過(guò)去通過(guò)各種渠道收集到的大量歷史活動(dòng)資料的分析中得出來(lái)的。入侵檢測(cè)系統(tǒng)將它與當(dāng)前的活動(dòng)情況進(jìn)行對(duì)比，如果發(fā)現(xiàn)了當(dāng)前狀態(tài)偏離了正常的模型狀態(tài)，則系統(tǒng)發(fā)出警告信號(hào)，這就是說(shuō)，任何不符合以往活動(dòng)規(guī)律的行為都將視為入侵行為。因此，非規(guī)則入侵檢測(cè)系統(tǒng)的檢測(cè)完整性很高，但要保證它具有很高的正確性很困難。此類檢測(cè)技術(shù)的優(yōu)點(diǎn)在于它能夠發(fā)現(xiàn)任何企圖發(fā)掘、試探系統(tǒng)最新和未知漏洞的行為，同時(shí)在某種程度上，它較少依賴特定的操作系統(tǒng)環(huán)境。另外，對(duì)于合法用戶超越其權(quán)限

34、的違法行為的檢測(cè)能力大大加強(qiáng)。較高的虛報(bào)警率是此種方法的主要缺陷，因?yàn)樾畔⑾到y(tǒng)所有的正?；顒?dòng)并不一定在學(xué)習(xí)建模階段就被全部了解。另外，系統(tǒng)的活動(dòng)行為是不斷變化的，就需要不斷的在線學(xué)習(xí)。該過(guò)程將帶來(lái)兩個(gè)可能后果，其一是在線學(xué)習(xí)階段，入侵檢測(cè)系統(tǒng)無(wú)法正常工作，否則生成額外的虛報(bào)警信號(hào)。還有一種可能性是，在學(xué)習(xí)階段，信息正遭受著非法的入侵攻擊，帶來(lái)的后果是，入侵檢測(cè)系統(tǒng)的學(xué)習(xí)結(jié)果中包含了相關(guān)入侵行為的信息，這樣系統(tǒng)就無(wú)法檢測(cè)到該種入侵行為。在非規(guī)則入侵檢測(cè)中，最廣泛使用的技術(shù)是統(tǒng)計(jì)分析(statistics analysis)。系統(tǒng)或者用戶的當(dāng)前行為通過(guò)按一定時(shí)間間隔采樣并計(jì)算出的一系列參數(shù)變量來(lái)描

35、述，如每個(gè)會(huì)話進(jìn)程的登錄和退出時(shí)間，占用資源的時(shí)間長(zhǎng)短。在最初的模型中，系統(tǒng)計(jì)算出所有的變量的平均值，然后根據(jù)平均偏差檢測(cè)當(dāng)前行為是否超過(guò)了某一值，當(dāng)然，這樣的模型是很簡(jiǎn)單和粗糙的，無(wú)法準(zhǔn)確檢測(cè)異?；顒?dòng)。進(jìn)一步的算法將單個(gè)用戶的參數(shù)變量數(shù)值與積累起來(lái)的群體參數(shù)變量進(jìn)行比較，但是檢測(cè)能力的提高還是不大。目前在幾種非規(guī)則檢測(cè)系統(tǒng)中使用了一種更加復(fù)雜的模型，檢測(cè)系統(tǒng)同時(shí)計(jì)算并比較每個(gè)用戶的長(zhǎng)期和短期活動(dòng)狀態(tài)，而狀態(tài)信息隨著用戶行為的變化而不斷更新。另一種主要的非規(guī)則檢測(cè)技術(shù)是神經(jīng)網(wǎng)絡(luò)技術(shù)。神經(jīng)網(wǎng)絡(luò)技術(shù)通學(xué)習(xí)已有輸入輸出矢量對(duì)集合，進(jìn)而抽象出其內(nèi)在的聯(lián)系，然后得到新的輸入輸出的關(guān)系；這種技術(shù)在理論上能

36、夠用來(lái)審計(jì)數(shù)據(jù)流中檢測(cè)入侵的痕跡。然而，目前尚無(wú)可靠地理論能夠說(shuō)明神經(jīng)網(wǎng)絡(luò)是如何學(xué)習(xí)范例中的內(nèi)在關(guān)系的。神經(jīng)網(wǎng)絡(luò)技術(shù)和統(tǒng)計(jì)分析技術(shù)的某些相似之處已經(jīng)被理論證明，而使用神經(jīng)網(wǎng)絡(luò)技術(shù)的優(yōu)勢(shì)在于它們能夠以一種更加簡(jiǎn)潔快速的方式來(lái)表示各種狀態(tài)變量之間的非線性關(guān)系，同時(shí)，能夠自動(dòng)進(jìn)行學(xué)習(xí)/重新訓(xùn)練的過(guò)程。2、2、2入侵檢測(cè)系統(tǒng)功能： 入侵檢測(cè)系統(tǒng)（intrusion detection system，ids）是一種計(jì)算機(jī)軟件系統(tǒng)，用于自動(dòng)檢測(cè)上述入侵行為，并收集入侵證據(jù)，為數(shù)據(jù)恢復(fù)和事故處理提供依據(jù)。有些入侵檢測(cè)系統(tǒng)在檢測(cè)到入侵特征后還試圖做出某些響應(yīng)，以遏制或阻止對(duì)系統(tǒng)的威脅或破壞。（1） 審計(jì)系統(tǒng)的

37、配置和存在的脆弱性（2） 評(píng)估關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性和一致性（3） 分析用戶和系統(tǒng)的活動(dòng)情況（4） 檢測(cè)并響應(yīng)正在進(jìn)行的或已經(jīng)實(shí)現(xiàn)的違反系統(tǒng)安全策略的入侵活動(dòng)（5） 收集入侵證據(jù) 在設(shè)計(jì)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)時(shí)，要特別對(duì)來(lái)自組織機(jī)構(gòu)內(nèi)部的入侵行為予以更多的重視。據(jù)fbi的研究，80%的入侵和攻擊行為來(lái)自于組織機(jī)構(gòu)內(nèi)部。這是由于內(nèi)部人員具有訪問(wèn)系統(tǒng)資源的合法身份、了解系統(tǒng)數(shù)據(jù)的價(jià)值和熟悉系統(tǒng)的安全措施，從而可以使用某些系統(tǒng)特權(quán)或調(diào)用比審計(jì)功能更低級(jí)的操作來(lái)逃避審計(jì)。2、2、3 入侵檢測(cè)的分類現(xiàn)有的分類，大都基于信息源和分析方法進(jìn)行分類。 根據(jù)信息源的不同，分為基于主機(jī)型和基于網(wǎng)絡(luò)型兩大類 基于主機(jī)

38、的入侵檢測(cè)系統(tǒng)（host-based intrusion detection system，hids） 基于主機(jī)的ids可監(jiān)測(cè)系統(tǒng)、事件和windows nt下的安全記錄以及unix環(huán)境下的系統(tǒng)記錄。當(dāng)有文件被修改時(shí)，ids將新的記錄條目與已知的攻擊特征相比較，看它們是否匹配。如果匹配，就會(huì)向系統(tǒng)管理員報(bào)警或者作出適當(dāng)?shù)捻憫?yīng)。 基于主機(jī)的ids在發(fā)展過(guò)程中融入了其他技術(shù)。檢測(cè)對(duì)關(guān)鍵系統(tǒng)文件和可執(zhí)行文件入侵的一個(gè)常用方法是通過(guò)定期檢查文件的校驗(yàn)和來(lái)進(jìn)行的，以便發(fā)現(xiàn)異常的變化。反應(yīng)的快慢取決于輪訊間隔時(shí)間的長(zhǎng)短。許多產(chǎn)品都是監(jiān)聽端口的活動(dòng)，并在特定端口被訪問(wèn)時(shí)向管理員報(bào)警。這類檢測(cè)方法將基于網(wǎng)絡(luò)的

39、入侵檢測(cè)的基本方法融入到基于主機(jī)的檢測(cè)環(huán)境中。 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（network-based intrusion detection system，nids） 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)以網(wǎng)絡(luò)包作為分析數(shù)據(jù)源。它通常利用一個(gè)工作在混雜模式下的網(wǎng)卡來(lái)實(shí)時(shí)監(jiān)視并分析通過(guò)網(wǎng)絡(luò)的數(shù)據(jù)流。它的分析模塊通常使用模式匹配、統(tǒng)計(jì)分析等技術(shù)來(lái)識(shí)別攻擊行為。一旦檢測(cè)到了攻擊行為，ids的響應(yīng)模塊就做出適當(dāng)?shù)捻憫?yīng)，比如報(bào)警、切斷相關(guān)用戶的網(wǎng)絡(luò)連接等。不同入侵檢測(cè)系統(tǒng)在實(shí)現(xiàn)時(shí)采用的響應(yīng)方式也可能不同，但通常都包括通知管理員、切斷連接、記錄相關(guān)的信息以提供必要的法律依據(jù)等5。 基于主機(jī)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的集成

40、許多機(jī)構(gòu)的網(wǎng)絡(luò)安全解決方案都同時(shí)采用了基于主機(jī)和基于網(wǎng)絡(luò)的兩種入侵檢測(cè)系統(tǒng)。因?yàn)檫@兩種系統(tǒng)在很大程度上是互補(bǔ)的。實(shí)際上，許多客戶在使用ids時(shí)都配置了基于網(wǎng)絡(luò)的入侵檢測(cè)。在防火墻之外的檢測(cè)器檢測(cè)來(lái)自外部internet的攻擊。dns、email和web服務(wù)器經(jīng)常是攻擊的目標(biāo)，但是它們又必須與外部網(wǎng)絡(luò)交互，不可能對(duì)其進(jìn)行全部屏蔽，所以應(yīng)當(dāng)在各個(gè)服務(wù)器上安裝基于主機(jī)的入侵檢測(cè)系統(tǒng)，其檢測(cè)結(jié)果也要向分析員控制臺(tái)報(bào)告。因此，即便是小規(guī)模的網(wǎng)絡(luò)結(jié)構(gòu)也常常需要基于主機(jī)和基于網(wǎng)絡(luò)的兩種入侵檢測(cè)能力。下面給出一個(gè)中等規(guī)模的機(jī)構(gòu)設(shè)置入侵檢測(cè)系統(tǒng)的入侵檢測(cè)解決方案6, 7。根據(jù)檢測(cè)所用分析方法的不同，可分為誤用檢

41、測(cè)和異常檢測(cè) 誤用檢測(cè)（misuse detection） 設(shè)定一些入侵活動(dòng)的特征（signature），通過(guò)現(xiàn)在的活動(dòng)是否與這些特征匹配來(lái)檢測(cè)。常用的檢測(cè)技術(shù)為： 專家系統(tǒng)：采用一系列的檢測(cè)規(guī)則分析入侵的特征行為。規(guī)則，即知識(shí)，是專家系統(tǒng)賴以判定入侵存在與否的依據(jù)。除了知識(shí)庫(kù)的完備性外，專家系統(tǒng)還依靠條件庫(kù)的完備性，這一點(diǎn)又取決于審計(jì)記錄的完備性、實(shí)時(shí)性和易用性。此外，匹配算法的快慢，也對(duì)專家系統(tǒng)的工作效率有很大的影響。 基于模型的入侵檢測(cè)方法：入侵者在攻擊一個(gè)系統(tǒng)時(shí)往往采用一定的行為序列，如猜測(cè)口令的行為序列。這種行為序列構(gòu)成了具有一定行為特征的模型，根據(jù)這種模型所代表的攻擊意圖的行為特征

42、，可以實(shí)時(shí)地檢測(cè)出惡意的攻擊企圖。與專家系統(tǒng)通常放棄處理那些不確定的中間結(jié)論的缺點(diǎn)相比，這一方法的優(yōu)點(diǎn)在于它基于完善的不確定性推理數(shù)學(xué)理論。基于模型的入侵檢測(cè)方法可以僅監(jiān)測(cè)一些主要的審計(jì)事件。當(dāng)這些事件發(fā)生后，再開始記錄詳細(xì)的審計(jì)，從而減少審計(jì)事件處理負(fù)荷。這種檢測(cè)方法的另外一個(gè)特點(diǎn)是可以檢測(cè)組合攻擊（coordinate attack）和多層攻擊（multi-stage attack）。為分布式ids系統(tǒng)所采用。 簡(jiǎn)單模式匹配（pattern matching）：基于模式匹配的入侵檢測(cè)方法將已知的入侵特征編碼成為與審計(jì)記錄相符合的模式。當(dāng)新的審計(jì)事件產(chǎn)生時(shí)，這一方法將尋找與它相匹配的已知入侵

43、模式。 軟計(jì)算方法：軟計(jì)算方法包含了神經(jīng)網(wǎng)絡(luò)、遺傳算法與模糊技術(shù)。近年來(lái)己有關(guān)于運(yùn)用神經(jīng)網(wǎng)絡(luò)進(jìn)行入侵檢測(cè)實(shí)驗(yàn)的報(bào)道，但還沒(méi)有正式的產(chǎn)品問(wèn)世。 異常檢測(cè)（anomaly detection） 異常檢測(cè)假設(shè)入侵者活動(dòng)異常于正常的活動(dòng)。為實(shí)現(xiàn)該類檢測(cè)，ids建立正?；顒?dòng)的“規(guī)范集（normal profile）”，當(dāng)主體的活動(dòng)違反其統(tǒng)計(jì)規(guī)律時(shí)，認(rèn)為可能是“入侵”行為。異常檢測(cè)的優(yōu)點(diǎn)之一為具有抽象系統(tǒng)正常行為從而檢測(cè)系統(tǒng)異常行為的能力。這種能力不受系統(tǒng)以前是否知道這種入侵與否的限制，所以能夠檢測(cè)新的入侵行為。大多數(shù)的正常行為的模型使用一種矩陣的數(shù)學(xué)模型，矩陣的數(shù)量來(lái)自于系統(tǒng)的各種指標(biāo)。比如cpu使用率

44、、內(nèi)存使用率、登錄的時(shí)間和次數(shù)、網(wǎng)絡(luò)活動(dòng)、文件的改動(dòng)等。異常檢測(cè)的缺點(diǎn)是：若入侵者了解到檢測(cè)規(guī)律，就可以小心的避免系統(tǒng)指標(biāo)的突變，而使用逐漸改變系統(tǒng)指標(biāo)的方法逃避檢測(cè)。另外檢測(cè)效率也不高，檢測(cè)時(shí)間較長(zhǎng)。最重要的是，這是一種“事后”的檢測(cè)，當(dāng)檢測(cè)到入侵行為時(shí)，破壞早已經(jīng)發(fā)生了。 統(tǒng)計(jì)方法是當(dāng)前產(chǎn)品化的入侵檢測(cè)系統(tǒng)中常用的方法，它是一種成熟的入侵檢測(cè)方法，它使入侵檢測(cè)系統(tǒng)能夠?qū)W習(xí)主體的日常行為，將那些與正常活動(dòng)之間存在較大統(tǒng)計(jì)偏差的活動(dòng)標(biāo)識(shí)成為異常活動(dòng)。常用的入侵檢測(cè)統(tǒng)計(jì)模型為：操作模型、方差、計(jì)算參數(shù)的方差、多元模型、馬爾柯夫過(guò)程模型和時(shí)間序列分析。統(tǒng)計(jì)方法的最大優(yōu)點(diǎn)是它可以“學(xué)習(xí)”用戶的使用習(xí)

45、慣，從而具有較高檢出率與可用性。但是它的“學(xué)習(xí)”能力也給入侵者以機(jī)會(huì)通過(guò)逐步“訓(xùn)練”使入侵事件符合正常操作的統(tǒng)計(jì)規(guī)律，從而透過(guò)入侵檢測(cè)系統(tǒng)811。防火墻與入侵檢測(cè)系統(tǒng)的局限性現(xiàn)有防火墻的不足限制了對(duì)希望服務(wù)的訪問(wèn)。防火墻最明顯的不利之處是它所阻塞的某種服務(wù)也許正是用戶所需要的。大量的潛在的后門防火墻不能保護(hù)節(jié)點(diǎn)系統(tǒng)上的潛在的后門。對(duì)內(nèi)部攻擊者幾乎無(wú)能為力防火墻一般不提供對(duì)來(lái)自于內(nèi)部威脅的保護(hù)，即防火墻對(duì)內(nèi)部是信任的。無(wú)法檢測(cè)加密的web流量如果你正在部署一個(gè)關(guān)鍵的門戶網(wǎng)站，希望所有的網(wǎng)絡(luò)層和應(yīng)用層的漏洞都被屏蔽在應(yīng)用程序之外。這個(gè)需求，對(duì)于傳統(tǒng)的網(wǎng)絡(luò)防火墻而言，是個(gè)大問(wèn)題。由于網(wǎng)絡(luò)防火墻對(duì)于加

46、密的ssl流中的數(shù)據(jù)是不可見的，防火墻無(wú)法迅速截獲ssl數(shù)據(jù)流并對(duì)其解密，因此無(wú)法阻止應(yīng)用程序的攻擊，甚至有些網(wǎng)絡(luò)防火墻，根本就不提供數(shù)據(jù)解密的功能。普通應(yīng)用程序加密后，也能輕易躲過(guò)防火墻的檢測(cè)網(wǎng)絡(luò)防火墻無(wú)法看到的，不僅僅是ssl加密的數(shù)據(jù)。對(duì)于應(yīng)用程序加密的數(shù)據(jù)，同樣也不可見。在如今大多數(shù)網(wǎng)絡(luò)防火墻中，依賴的是靜態(tài)的特征庫(kù)，與入侵監(jiān)測(cè)系統(tǒng)(ids，intrusion detect system)的原理類似。只有當(dāng)應(yīng)用層攻擊行為的特征與防火墻中的數(shù)據(jù)庫(kù)中已有的特征完全匹配時(shí)，防火墻才能識(shí)別和截獲攻擊數(shù)據(jù)。但如今，采用常見的編碼技術(shù)，就能夠地將惡意代碼和其他攻擊命令隱藏起來(lái)，轉(zhuǎn)換成某種形式，既能

47、欺騙前端的網(wǎng)絡(luò)安全系統(tǒng)，又能夠在后臺(tái)服務(wù)器中執(zhí)行。這種加密后的攻擊代碼，只要與防火墻規(guī)則庫(kù)中的規(guī)則不一樣，就能夠躲過(guò)網(wǎng)絡(luò)防火墻，成功避開特征匹配。對(duì)于web應(yīng)用程序，防范能力不足網(wǎng)絡(luò)防火墻于1990年發(fā)明，而商用的web服務(wù)器，則在一年以后才面世。基于狀態(tài)檢測(cè)的防火墻，其設(shè)計(jì)原理，是基于網(wǎng)絡(luò)層tcp和ip地址，來(lái)設(shè)置與加強(qiáng)狀態(tài)訪問(wèn)控制列表(acls，access control lists)。在這一方面，網(wǎng)絡(luò)防火墻表現(xiàn)確實(shí)十分出色。近年來(lái)，實(shí)際應(yīng)用過(guò)程中，http是主要的傳輸協(xié)議。主流的平臺(tái)供應(yīng)商和大的應(yīng)用程序供應(yīng)商，均已轉(zhuǎn)移到基于web的體系結(jié)構(gòu)，安全防護(hù)的目標(biāo)，不再只是重要的業(yè)務(wù)數(shù)據(jù)。網(wǎng)絡(luò)

48、防火墻的防護(hù)范圍，發(fā)生了變化。對(duì)于常規(guī)的企業(yè)局域網(wǎng)的防范，通用的網(wǎng)絡(luò)防火墻仍占有很高的市場(chǎng)份額，繼續(xù)發(fā)揮重要作用，但對(duì)于新近出現(xiàn)的上層協(xié)議，如xml和soap等應(yīng)用的防范，網(wǎng)絡(luò)防火墻就顯得有些力不從心。由于體系結(jié)構(gòu)的原因，即使是最先進(jìn)的網(wǎng)絡(luò)防火墻，在防范web應(yīng)用程序時(shí)，由于無(wú)法全面控制網(wǎng)絡(luò)、應(yīng)用程序和數(shù)據(jù)流，也無(wú)法截獲應(yīng)用層的攻擊。由于對(duì)于整體的應(yīng)用數(shù)據(jù)流，缺乏完整的、基于會(huì)話(session)級(jí)別的監(jiān)控能力，因此很難預(yù)防新的未知的攻擊應(yīng)用防護(hù)特性，只適用于簡(jiǎn)單情況目前的數(shù)據(jù)中心服務(wù)器，時(shí)常會(huì)發(fā)生變動(dòng)，比如：定期需要部署新的應(yīng)用程序;經(jīng)常需要增加或更新軟件模塊;qa們經(jīng)常會(huì)發(fā)現(xiàn)代碼中的bug

49、，已部署的系統(tǒng)需要定期打補(bǔ)丁。在這樣動(dòng)態(tài)復(fù)雜的環(huán)境中，安全專家們需要采用靈活的、粗粒度的方法，實(shí)施有效的防護(hù)策略。雖然一些先進(jìn)的網(wǎng)絡(luò)防火墻供應(yīng)商，提出了應(yīng)用防護(hù)的特性，但只適用于簡(jiǎn)單的環(huán)境中。細(xì)看就會(huì)發(fā)現(xiàn)，對(duì)于實(shí)際的企業(yè)應(yīng)用來(lái)說(shuō)，這些特征存在著局限性。在多數(shù)情況下，彈性概念(proof-of-concept)的特征無(wú)法應(yīng)用于現(xiàn)實(shí)生活中的數(shù)據(jù)中心上。比如，有些防火墻供應(yīng)商，曾經(jīng)聲稱能夠阻止緩存溢出：當(dāng)黑客在瀏覽器的url中輸入太長(zhǎng)數(shù)據(jù)，試圖使后臺(tái)服務(wù)崩潰或使試圖非法訪問(wèn)的時(shí)候，網(wǎng)絡(luò)防火墻能夠檢測(cè)并制止這種情況。細(xì)看就會(huì)發(fā)現(xiàn)，這些供應(yīng)商采用對(duì)80端口數(shù)據(jù)流中，針對(duì)url長(zhǎng)度進(jìn)行控制的方法，來(lái)實(shí)現(xiàn)這

50、個(gè)功能的。如果使用這個(gè)規(guī)則，將對(duì)所有的應(yīng)用程序生效。如果一個(gè)程序或者是一個(gè)簡(jiǎn)單的web網(wǎng)頁(yè)，確實(shí)需要涉及到很長(zhǎng)的url時(shí)，就要屏蔽該規(guī)則。網(wǎng)絡(luò)防火墻的體系結(jié)構(gòu)，決定了網(wǎng)絡(luò)防火墻是針對(duì)網(wǎng)絡(luò)端口和網(wǎng)絡(luò)層進(jìn)行操作的，因此很難對(duì)應(yīng)用層進(jìn)行防護(hù)，除非是一些很簡(jiǎn)單的應(yīng)用程序。無(wú)法擴(kuò)展帶深度檢測(cè)功能基于狀態(tài)檢測(cè)的網(wǎng)絡(luò)防火墻，如果希望只擴(kuò)展深度檢測(cè)(deep inspection)功能，而沒(méi)有相應(yīng)增加網(wǎng)絡(luò)性能，這是不行的。真正的針對(duì)所有網(wǎng)絡(luò)和應(yīng)用程序流量的深度檢測(cè)功能，需要空前的處理能力，來(lái)完成大量的計(jì)算任務(wù)，包括以下幾個(gè)方面： ssl加密/解密功能; 完全的雙向有效負(fù)載檢測(cè); 確保所有合法流量的正常化;廣泛

51、的協(xié)議性能;這些任務(wù)，在基于標(biāo)準(zhǔn)pc硬件上，是無(wú)法高效運(yùn)行的，雖然一些網(wǎng)絡(luò)防火墻供應(yīng)商采用的是基于asic的平臺(tái)，但進(jìn)一步研究，就能發(fā)現(xiàn)：舊的基于網(wǎng)絡(luò)的asic平臺(tái)對(duì)于新的深度檢測(cè)功能是無(wú)法支持的2、2、3入侵檢測(cè)系統(tǒng)不足(1) ids系統(tǒng)本身還在迅速發(fā)展和變化，遠(yuǎn)未成熟(2) 現(xiàn)有ids系統(tǒng)錯(cuò)報(bào)或虛警概率偏高，嚴(yán)重干擾了結(jié)果(3) ids與其它安全技術(shù)的協(xié)作性不夠(4) ids缺少對(duì)檢測(cè)結(jié)果作進(jìn)一步說(shuō)明和分析的輔助工具3、ids面臨的挑戰(zhàn)目前，入侵檢測(cè)系統(tǒng)也面臨著若干先要的挑戰(zhàn)。這些挑戰(zhàn)有些來(lái)自技術(shù)方面，有些內(nèi)里來(lái)自非技術(shù)方面。技術(shù)方面的主要挑戰(zhàn)包括：1) 網(wǎng)絡(luò)規(guī)模和復(fù)雜程度的不斷增長(zhǎng)。在一

52、個(gè)大型的異構(gòu)網(wǎng)絡(luò)環(huán)境中，入侵檢測(cè)系統(tǒng)所遇到的主要問(wèn)題有：如何集成并處理來(lái)自分布在網(wǎng)絡(luò)各處褓的具有不同格式的各種相關(guān)信息，如何在相互合作但是并不完全相互信任的組織之間來(lái)共享敏感的相關(guān)入侵行為信息，如何進(jìn)行管理域間合作進(jìn)程以及如何保證在局部入侵檢測(cè)系統(tǒng)失效的情況下仍能維護(hù)系統(tǒng)佤的安全等。2) 如何在造成損失前及早發(fā)現(xiàn)入侵活動(dòng)，即預(yù)警技術(shù)。3) 網(wǎng)絡(luò)繁忙情況下的系統(tǒng)性能問(wèn)題。為了保證發(fā)揮效能，網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)必須能夠分析所有的內(nèi)向數(shù)據(jù)包。如果一個(gè)入侵檢測(cè)系統(tǒng)無(wú)法應(yīng)付網(wǎng)絡(luò)吞吐量的話，它就可能漏掉不少反映各族入侵活動(dòng)的特征數(shù)據(jù)，從而造成安全漏洞。4) 入侵模式牲的準(zhǔn)確性。用來(lái)描述異常入侵行為的模式牲是濫

53、用檢測(cè)系統(tǒng)最先要的基石。如何保證所采用的牲集能夠準(zhǔn)確而又是以描述已知的各種攻擊模式（包括復(fù)雜的分階段攻擊行為）及其變種，是一個(gè)重要而敏感的問(wèn)題。5) 入侵檢測(cè)系統(tǒng)的評(píng)估。時(shí)至今日，在這方面所做的工作非常少。對(duì)入侵檢測(cè)系統(tǒng)的評(píng)估測(cè)試是一項(xiàng)復(fù)雜的工作，因?yàn)閕ds不能在獨(dú)立環(huán)境中檢測(cè)，首先必須建立一個(gè)實(shí)際網(wǎng)絡(luò)平臺(tái)環(huán)境，同時(shí)，還需要大量的包含各種測(cè)試入侵模式的復(fù)雜數(shù)據(jù)，這些數(shù)據(jù)還要根據(jù)不同的頭號(hào)公敵系統(tǒng)平臺(tái)和版本加以調(diào)整。非技術(shù)因素包括如下3個(gè)方面。1) 攻擊者不斷研究新的攻擊模式，同時(shí)隨著安全技術(shù)的普及，越來(lái)越多的人進(jìn)行了越來(lái)越多的入侵攻擊嘗試。2) 自動(dòng)攻擊的軟件工具不斷得到改進(jìn)，使變通用戶也能夠

54、利用它來(lái)進(jìn)行網(wǎng)絡(luò)攻擊。3) 各種機(jī)構(gòu)（包括政府、公司等）對(duì)包括在內(nèi)的安全技術(shù)的認(rèn)識(shí)不足或者缺乏足夠熟練的安全管理員。我國(guó)計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)以國(guó)外產(chǎn)品為主，軟硬件系統(tǒng)中難免也存在各種潛在威脅和安全“陷阱”（諸如誤傷系統(tǒng)后門、路由器漏洞等）。因此，利用這些設(shè)備建立的網(wǎng)絡(luò)系統(tǒng)在其安全性方面得不到根本性的保障。在我國(guó)計(jì)算機(jī)的網(wǎng)絡(luò)的建設(shè)狀況下，基于防火墻和加密技術(shù)的安全防護(hù)固然重要，但是，發(fā)展網(wǎng)絡(luò)入侵檢測(cè)以及預(yù)警技術(shù)也同樣重要。入侵檢測(cè)技術(shù)已經(jīng)成為當(dāng)前網(wǎng)絡(luò)安全技術(shù)領(lǐng)域內(nèi)的一個(gè)研究。它的快速發(fā)展和極其潛力的應(yīng)用前景需要有更多的研究和工程技術(shù)人員投身其中，在基礎(chǔ)技術(shù)原理的研究和工程項(xiàng)目開發(fā)等多個(gè)層面上同時(shí)開展

55、工作，才有可能開發(fā)出依靠的產(chǎn)品系統(tǒng)。入侵防御技術(shù)介紹ips是英文“intrusion prevention system”的縮寫，中文意思是入侵防御系統(tǒng)。隨著網(wǎng)絡(luò)攻擊技術(shù)的不斷提高和網(wǎng)絡(luò)安全漏洞的不斷發(fā)現(xiàn)，傳統(tǒng)防火墻技術(shù)加傳統(tǒng)ids的技術(shù)，已經(jīng)無(wú)法應(yīng)對(duì)一些安全威脅。在這種情況下，ips技術(shù)應(yīng)運(yùn)而生，ips技術(shù)可以深度感知并檢測(cè)流經(jīng)的數(shù)據(jù)流量，對(duì)惡意報(bào)文進(jìn)行丟棄以阻斷攻擊，對(duì)濫用報(bào)文進(jìn)行限流以保護(hù)網(wǎng)絡(luò)帶寬資源。對(duì)于部署在數(shù)據(jù)轉(zhuǎn)發(fā)路徑上的ips，可以根據(jù)預(yù)先設(shè)定的安全策略，對(duì)流經(jīng)的每個(gè)報(bào)文進(jìn)行深度檢測(cè)（協(xié)議分析跟蹤、特征匹配、流量統(tǒng)計(jì)分析、事件關(guān)聯(lián)分析等），如果一旦發(fā)現(xiàn)隱藏于其中網(wǎng)絡(luò)攻擊，可以根據(jù)該攻擊的威脅級(jí)別立即采取抵御措施，這