電子商務安全：第2章 電子商務網(wǎng)絡安全

第2章電子商務網(wǎng)絡安全RSA2016大會2016年2月29日-3月4日，RSA美國大會將于美國舊金山莫斯康展覽中心舉行，本屆大會的主題為"ConnecttoProtect"——連接保護。技術發(fā)展的主要驅(qū)動力之一，在于把新朋友和新思想相連的愿望。古騰堡印刷機通過印刷文字把人們聯(lián)系到一起;無線電使全球的新聞和文化得以傳播;電話使人們即使相隔千萬里也能夠?qū)崟r交談?，F(xiàn)在，互聯(lián)網(wǎng)鏈接我們的方式?jīng)]有人能夠想象的到。雖然即時連接的世界為我們提供了巨大的好處，但是它也有一個缺點，惡意攻擊者運用越來越成熟的攻擊手段來竊取我們的數(shù)據(jù)，擾亂我的生活。25年前，RSA信息安全會議成立后，專業(yè)人員通過這個平臺可以相互溝通交流，共同應對日益增長的網(wǎng)絡安全威脅。今天，RSA大會不僅促進了信息安全領域的連接，而且在過去、現(xiàn)在和未來，也促進了IT領域其他企業(yè)，與私營和公共部門的聯(lián)系。無數(shù)的想法從這里開始，大家通過共享知識與協(xié)作，促使這些想法成長形成更大的概念，用來更好的保護我們的數(shù)字世界。RSA加密算法發(fā)明人：美國密碼學家羅納德·李維斯特（RonaldL.Rivest）；世界著名密碼學家、圖靈獎獲得者AdiShamir；以及世界著名密碼技術與安全技術專家WhitfieldDiffie，他還是“公鑰加密”概念的發(fā)明人；密碼學學者、資訊安全專家布魯斯·施耐爾等。熱門話題繼成為去年的大會焦點之后，物聯(lián)網(wǎng)安全再度成為RSA2016大會的主要話題之一。但專家指出，除了物聯(lián)網(wǎng)安全（IoT）之外，工控系統(tǒng)安全、工業(yè)物聯(lián)網(wǎng)、加密、人工智能和機器學習等也將是本屆大會的熱門話題。主要內(nèi)容1.防火墻技術;2.IPsec協(xié)議和虛擬專用網(wǎng);3.網(wǎng)絡入侵檢測2.1網(wǎng)絡安全基礎2.1.1網(wǎng)絡安全體系

從層次體系上，可以將網(wǎng)絡安全分成四個層次上：1、物理安全；2、邏輯安全；3、操作系統(tǒng)安全；4、聯(lián)網(wǎng)安全。1、物理安全1)防盜；2)防火；3)防靜電；4)防雷擊；5)防電磁泄漏:電磁發(fā)射包括輻射發(fā)射和傳導發(fā)射。這兩種電磁發(fā)射可被高靈敏度的接收設備接收并進行分析、還原，造成計算機的信息泄露。屏蔽是防電磁泄漏的有效措施2.邏輯安全計算機的邏輯安全需要用口令、文件許可等方法來實現(xiàn)。3.操作系統(tǒng)安全

操作系統(tǒng)是計算機中最基本、最重要的軟件。主要防止：一、病毒的威脅；二、黑客的破壞和侵入。

一些安全性較高、功能較強的操作系統(tǒng)可以為計算機的每一位用戶分配賬戶4.聯(lián)網(wǎng)安全1、訪問控制服務：用來保護計算機和聯(lián)網(wǎng)資源不被非授權使用。2、通信安全服務：用來認證數(shù)據(jù)機密性與完整性，以及各通信方的可信賴性。2.2.防火墻什么是防火墻？防火墻是指設置在不同網(wǎng)絡（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡安全域之間的一系列部件的組合。

在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，可有效地監(jiān)控內(nèi)部網(wǎng)和Internet之間的任何活動，保證內(nèi)部網(wǎng)絡的安全。防火墻示意圖Internet1.企業(yè)內(nèi)聯(lián)網(wǎng)2.部門子網(wǎng)3.分公司網(wǎng)絡防火墻的設計準則1．防火墻的規(guī)則(1)凡是沒有被列為允許訪問的服務都是被禁止的(限制政策)只支持那些仔細選擇的服務,建立一個非常安全的環(huán)境。其缺點是安全性的考慮優(yōu)于使用性的考慮，限制了提供給用戶的服務范圍。(2)凡是沒有被列為禁止訪問的服務都是被允許的(寬松政策)建立一個非常靈活的使用環(huán)境，能為用戶提供更多的服務。缺點是使用性的考慮優(yōu)于安全性的考慮.多數(shù)防火墻都在兩種之間采取折衷。

防火墻的類型包過濾型防火墻應用網(wǎng)關防火墻包過濾模塊數(shù)據(jù)包過濾(PacketFiltering)是在網(wǎng)絡層對數(shù)據(jù)包進行選擇，選擇的依據(jù)是系統(tǒng)內(nèi)設置的過濾規(guī)則，被稱為訪問控制表(AccessControlTable)。通過檢查數(shù)據(jù)流中每個數(shù)據(jù)包的源地址、目的地址、所用的端口號、協(xié)議類型，或它們的組合等來確定是否允許該數(shù)據(jù)包通過。包過濾規(guī)則表

假設網(wǎng)絡安全策略規(guī)定：內(nèi)部網(wǎng)絡的E-mail服務器（IP地址為，TCP端口號為25）可以接收來自外部網(wǎng)絡用戶的所有電子郵件；允許內(nèi)部網(wǎng)絡用戶傳送到外部電子郵件服務器的電子郵件；拒絕所有與外部網(wǎng)絡中名字為TESTHOST主機的連接。

應用程序代理充當Web客戶機與Web服務器之間的媒介。用于接收來自客戶機的請求，當接收到客戶機請求時，由應用程序代理代表客戶機完成轉(zhuǎn)換地址，執(zhí)行附加訪問控制檢查，登錄（如果需要的話）并連接至服務器。應用程序代理不允許內(nèi)外網(wǎng)絡之間的直接通信。網(wǎng)絡內(nèi)部的用戶不直接與外部的服務器通信，所以服務器不能直接訪問內(nèi)部網(wǎng)的任何一部分。如果不為特定的應用程序安裝代理程序代碼，這種服務是不會被支持的，不能建立任何連接。NATNAT：網(wǎng)絡地址轉(zhuǎn)換(NAT)協(xié)議將內(nèi)部網(wǎng)絡的多個IP地址轉(zhuǎn)換到一個公共地址并建立與Internet的連接。允許一個整體機構(gòu)以一個公用IP（InternetProtocol）地址出現(xiàn)在Internet上。它是一種把內(nèi)部私有網(wǎng)絡地址（IP地址）翻譯成合法網(wǎng)絡IP地址的技術。進行地址轉(zhuǎn)換有兩個好處：其一是隱藏內(nèi)部網(wǎng)絡真正的IP，這可以使黑客無法直接攻擊內(nèi)部網(wǎng)絡；另一個好處是可以讓內(nèi)部使用保留的IP，這對許多IP不足的企業(yè)是有益的。網(wǎng)絡地址轉(zhuǎn)換NAT所有進出的數(shù)據(jù)包進行源與目的地址識別,并將由內(nèi)向外的數(shù)據(jù)包中源地址替換成一個真實地址(注冊過的合法地址),而將由外向內(nèi)的數(shù)據(jù)包中的目的地址替換成相應的虛地址(內(nèi)部用的非注冊地址)。實例：內(nèi)部網(wǎng)使用虛擬地址空間為-55對外擁有真實注冊IP地址為-55假設內(nèi)網(wǎng)主機IH1與外網(wǎng)主機OHl建立聯(lián)系網(wǎng)關對外將其映射為一注冊的真實地址3,所以它的IP包頭中的IP地址在網(wǎng)關處被轉(zhuǎn)換成這一地址.于是會產(chǎn)生下圖a所示的IP數(shù)據(jù)包：經(jīng)網(wǎng)關后被轉(zhuǎn)換為圖b的形式

圖c為其返回的IP包形式

進入網(wǎng)關后轉(zhuǎn)換為圖d的形式

網(wǎng)絡地址轉(zhuǎn)換NAT的優(yōu)點起到隔離內(nèi)外網(wǎng)的作用,使得內(nèi)部網(wǎng)的拓撲結(jié)構(gòu)、域名及地址信息對外成為不可見或不確定信息,從而保證了內(nèi)部網(wǎng)中主機的隱蔽性．使絕大多數(shù)攻擊性的試探失去所需的網(wǎng)絡條件；同時，節(jié)省了IP資源。防火墻的評價

--防火墻不可以防范什么防火墻不是解決所有網(wǎng)絡安全問題的萬能藥方，只是網(wǎng)絡安全政策和策略中的一個組成部分。防火墻不能防范繞過防火墻的攻擊，例:內(nèi)部提供撥號服務。防火墻不能防范來自內(nèi)部人員惡意的攻擊。防火墻不能阻止被病毒感染的程序或文件的傳遞。防火墻不能防止數(shù)據(jù)驅(qū)動式攻擊。例:特洛伊木馬。內(nèi)部提供撥號服務繞過防火墻防火墻的發(fā)展1.第一代防火墻第一代防火墻技術幾乎與路由器同時出現(xiàn)，采用了包過濾（Packetfilter）技術。2.第二、三代防火墻1989年，貝爾實驗室的DavePrescott和HowardTricky推出了第二代防火墻，即電路層防火墻，同時提出了第三代防火墻——應用層防火墻（代理防火墻）的初步結(jié)構(gòu)。3.第四代防火墻1992年，USC信息科學院的BobBraden開發(fā)出了基于動態(tài)包過濾（Dynamicpacketfilter）技術的第四代防火墻，后來演變?yōu)槟壳八f的狀態(tài)監(jiān)視（Statusinspection）技術。1994年，以色列的Checkpoint公司開發(fā)出了第一個采用這種技術的商業(yè)化的產(chǎn)品。4.第五代防火墻1998年，NAI公司推出了一種自適應代理（Adaptiveproxy）技術，并在其產(chǎn)品GauntletFirewallforNT中得以實現(xiàn)，給代理類型的防火墻賦予了全新的意義，可以稱之為第五代防火墻。5.一體化安全網(wǎng)關UTMUTM統(tǒng)一威脅管理，在防火墻基礎上發(fā)展起來的，具備防火墻、IPS、防病毒、防垃圾郵件等綜合功能的設備。由于同時開啟多項功能會大大降低UTM的處理性能，因此主要用于對性能要求不高的中低端領域。在中低端領域，UTM已經(jīng)出現(xiàn)了代替防火墻的趨勢，因為在不開啟附加功能的情況下，UTM本身就是一個防火墻，而附加功能又為用戶的應用提供了更多選擇。在高端應用領域，比如電信、金融等行業(yè)，仍然以專用的高性能防火墻、IPS為主流。防火墻和VPN防火墻的主要目的:在于判斷來源IP，阻止危險或未經(jīng)授權的IP的訪問和交換數(shù)據(jù)。VPN主要解決的是:數(shù)據(jù)傳輸?shù)陌踩珕栴}，其目的在于內(nèi)部的敏感關鍵數(shù)據(jù)能夠安全地借助公共網(wǎng)絡進行頻繁地交換。

以前，要想實現(xiàn)兩個遠地網(wǎng)絡的互聯(lián)，主要是采用專線連接方式。VPN技術是利用Internet網(wǎng)絡模擬安全性較好的局域網(wǎng)的技術。簡單來說就是在數(shù)據(jù)傳送過程中加上了加密和認證的網(wǎng)絡安全技術。vpn優(yōu)點2.3虛擬專用網(wǎng)VPN虛擬專用網(wǎng)VPN，就是建立在公共網(wǎng)絡上的私有專用網(wǎng)。它是一個利用基于公眾基礎架構(gòu)的網(wǎng)絡，例如Internet，來建立一個安全的、可靠的和可管理的企業(yè)間通信的通道。VPN技術非常復雜，它涉及到通信技術、密碼技術和認證技術，是一項交叉科學.VPN使用實例某公司總部在北京，而上海和杭州各有分公司，MIS主管需要彼此之間能夠?qū)崟r交換數(shù)據(jù)，為了安全考慮和提高工作效率，使用VPN技術。（總公司路由器上開放兩個VPN賬戶，允許分公司路由器撥入，以建立VPN通道）Internet總部網(wǎng)絡LAN-to-LANVPN功能路由器分部網(wǎng)絡分部網(wǎng)絡2.3.1VPN簡介VPN可以提供的功能：防火墻功能、認證、加密、隧道化。VPN的核心就是在利用公共網(wǎng)絡建立虛擬私有網(wǎng)。VPN主要采用隧道技術、加解密技術、密鑰管理技術和使用者與設備身份認證技術。常用的虛擬私人網(wǎng)絡協(xié)議有：IPsec協(xié)議、IKE協(xié)議（唯一已經(jīng)制定的密鑰交換協(xié)議）、PPTP（點到點隧道協(xié)議）。虛擬專用網(wǎng)VPN的三個關鍵安全：包括訪問控制、認證和加密技術以保證網(wǎng)絡連接的安全、用戶的真實性和數(shù)據(jù)通信的隱秘及完整性；通信控制：包括帶寬管理和服務質(zhì)量管理以保證VPN的可靠和高速；管理：保證VPN和企業(yè)安全策略的集成，近程或遠程集成的管理和解決方案的可伸縮性。VPN連接的示意圖

虛擬網(wǎng)組成后，出差員工和外地客戶甚至不必擁有本地ISP的上網(wǎng)權限就可以訪問企業(yè)內(nèi)部資源。這對于流動性很大的出差員工和分布廣泛的客戶來說是很有意義的。2.3.2VPN協(xié)議點對點隧道協(xié)議PPTP(PointtoPointTunnelingProtocol)：1996年Microsoft和Ascend等在PPP協(xié)議上開發(fā)的。第二層轉(zhuǎn)發(fā)協(xié)議L2F(Layer2Forwarding)：1996年Cisco開發(fā)的。第二層隧道協(xié)議L2TP(Layer2TunnelingProtocol)：1997年底，Microsoft和Cisco共同開發(fā)。IPsec是第三層隧道協(xié)議隧道:隧道從一個VPN設備開始，通過路由器橫跨整個公網(wǎng)到達其他目標VPN設備。通過數(shù)字證書來標記整個隧道，并以此來鑒別屬于此VPN隧道。隧道處理的結(jié)果使得各種被傳輸?shù)男畔⒅挥蓄A定或被授權的接收者才能讀懂（解密）。

點對點隧道協(xié)議PPTP-PPP協(xié)議的一種擴展客戶可以采用撥號方式接入公共的IP網(wǎng)。撥號客戶首先按常規(guī)方式撥號到ISP的接入服務器（NAS），建立PPP連接；在此基礎上，客戶進行二次撥號建立到PPTP服務器的連接，該連接稱為PPTP隧道PPTP的最大優(yōu)勢是Microsoft公司的支持。另外一個優(yōu)勢是它支持流量控制。PPTP把建立隧道的主動權交給了客戶，但客戶需要在其PC機上配置PPTP，這樣做既會增加用戶的工作量，又會造成網(wǎng)絡的安全隱患。

第二層轉(zhuǎn)發(fā)協(xié)議L2F遠端用戶能夠通過任何撥號方式接入公共IP網(wǎng)絡。首先，按常規(guī)方式撥號到ISP的接入服務器（NAS），建立PPP連接；NAS根據(jù)用戶名等信息發(fā)起第二次連接，呼叫用戶網(wǎng)絡的服務器。這種方式下，隧道的配置和建立對用戶是完全透明的。

第二層隧道協(xié)議L2TPL2TP結(jié)合了L2F和PPTP的優(yōu)點，可以讓用戶從客戶端或接入服務器端發(fā)起VPN連接。L2TP定義了利用公共網(wǎng)絡設施封裝傳輸鏈路層PPP幀的方法。L2TP的好處就在于支持多種協(xié)議.在安全性考慮上，L2TP僅僅定義了控制包的加密傳輸方式，對傳輸中的數(shù)據(jù)并不加密。L2TP并不能滿足用戶對安全性的需求。如果需要安全的VPN，則依然需要IPsec.IPsec的工作原理

IPsec提供了比包過濾防火墻更進一步的網(wǎng)絡安全性。

IPsec處理實際上是對IP數(shù)據(jù)包進行加密和認證。保證在互聯(lián)網(wǎng)上傳輸數(shù)據(jù)包的機密性，真實性，完整性，保證通過Internet進行通信的安全性。IPsec中的三個重要協(xié)議

Ipsec的主要功能是實現(xiàn)IP層的加密和認證，為了進行加密和認證IPsec還提供了密鑰管理和交換的功能。這三個功能分別由三個協(xié)議來實現(xiàn)：

ESP（安全加載封裝）

AH（認證協(xié)議頭）

IKE（互聯(lián)網(wǎng)密鑰交換）兩種工作模式：傳輸模式和隧道模式數(shù)據(jù)IP包頭數(shù)據(jù)IP包頭AH數(shù)據(jù)原IP包頭AH新IP包頭傳輸模式隧道模式AH協(xié)議ESP協(xié)議數(shù)據(jù)IP包頭加密后的數(shù)據(jù)IP包頭ESP頭部ESP頭新IP包頭傳輸模式隧道模式ESP尾部ESP驗證ESP尾部ESP驗證數(shù)據(jù)原IP包頭加密部分VPN的應用針對不同的用戶要求，VPN有三種解決方案：遠程訪問虛擬網(wǎng)（AccessVPN）、企業(yè)內(nèi)部虛擬網(wǎng)（IntranetVPN）和企業(yè)擴展虛擬網(wǎng)（ExtranetVPN），這三種類型的VPN分別與傳統(tǒng)的遠程訪問網(wǎng)絡、企業(yè)內(nèi)部的Intranet以及企業(yè)網(wǎng)和相關合作伙伴的企業(yè)網(wǎng)所構(gòu)成的Extranet（外部擴展）相對應。AccessVPNAccessVPN最適用于公司內(nèi)部經(jīng)常有流動人員遠程辦公的情況。出差員工利用當?shù)豂SP提供的VPN服務，就可以和公司的VPN網(wǎng)關建立私有的隧道連接。RADIUS服務器可對員工進行驗證和授權，保證連接的安全，同時負擔的電話費用大大降低。AccessVPN對用戶的吸引力在于：1）減少用于相關的調(diào)制解調(diào)器和終端服務設備的資金及費用，簡化網(wǎng)絡；2）實現(xiàn)本地撥號接入的功能來取代遠距離接入或800電話接入，這樣能顯著降低遠距離通信的費用；3）極大的可擴展性，簡便地對加入網(wǎng)絡的新用戶進行調(diào)度；4）遠端驗證撥入用戶服務（RADIUS）基于標準，基于策略功能的安全服務；5）將工作重心從管理和保留運作撥號網(wǎng)絡的工作人員轉(zhuǎn)到公司的核心業(yè)務上來。IntranetVPN如果要進行企業(yè)內(nèi)部各分支機構(gòu)的互聯(lián)，使用IntranetVPN是很好的方式。IntranetVPN通過一個使用專用連接的共享基礎設施，連接企業(yè)總部、遠程辦事處和分支機構(gòu)。IntranetVPN對用戶的吸引力在于：1）減少WAN帶寬的費用；2）能使用靈活的拓撲結(jié)構(gòu)，包括全網(wǎng)絡連接；3）新的站點能更快、更容易地被連接；4）通過設備供應商WAN的連接冗余，可以延長網(wǎng)絡的可用時間。ExtranetVPN如果是提供B2B之間的安全訪問服務，則可以考慮ExtranetVPN。ExtranetVPN通過一個使用專用連接的共享基礎設施，將客戶、供應商、合作伙伴或興趣群體連接到企業(yè)內(nèi)部網(wǎng)。ExtranetVPN對用戶的吸引力在于：能容易地對外部網(wǎng)進行部署和管理，外部網(wǎng)的連接可以使用與部署內(nèi)部網(wǎng)和遠端訪問VPN相同的架構(gòu)和協(xié)議進行部署。主要的不同是接入許可，外部網(wǎng)的用戶被許可只有一次機會連接到其合作人的網(wǎng)絡。VPN技術應用實例在單位有個私有地址為的網(wǎng)絡，各電腦是通過ADSL共享方式接入Internet，某職員在家中有臺電腦也通過ADSL訪問Internet，現(xiàn)在想在家中隨時安全地訪問單位這臺機器，如何通過VPN技術實現(xiàn)？

先在單位這臺機器上設置好VPN服務，在家中通過VPN客戶端訪問單位這臺機器，建立連接后，這兩臺機器通信時就像在局域網(wǎng)中一樣，比如：要在0這臺電腦中下載這臺機器的文件（假設該機已設好FTP服務），可以直接在瀏覽器中鍵入：下載文件了。雖然是通過Internet進行通信，但整個過程都是加密的，就像是在Internet中穿了一條只有兩臺機器才能通過的隧道，這就是VPN(VirtualPrivateNetworks)虛擬專用網(wǎng)。設置VPN服務實現(xiàn)VPN的方式非常多，用帶VPN功能的路由器或用Linux、windows操作系統(tǒng)等，在windows系統(tǒng)下用雙網(wǎng)卡建立VPN服務器更容易實現(xiàn)、但要增加一塊網(wǎng)卡。在windows2003中用單網(wǎng)卡來實現(xiàn)。

配置服務器首先是在這臺機器上配置VPN服務。選擇“開始”‘“所有程序”’“管理工具”‘“路由和遠程訪問”。設置過程如下圖所示：添加服務器選擇添加服務的主機出現(xiàn)上面的圖，就完成了單網(wǎng)的VPN服務器端的設置。從客戶端連接到VPN服務器

1、新建有撥入權限的用戶要登錄到VPN服務器，必須知道該服務器的一個有撥入權限的用戶，為了講得更明白，下面在該VPN服務器上新建個用戶并賦予該用戶撥入的權限，過程如后續(xù)圖。創(chuàng)建新用戶2、在本機測試連接

在遠程連接到VPN服務器之前，最好先在VPN服務器的本機測試一下，測試過程如下：鼠標右鍵“網(wǎng)上鄰居”，點擊“新建連接向?qū)А?，按后續(xù)圖的步驟建立連接。如果此時用ipconfig/all看網(wǎng)卡狀態(tài)，就會看見三個網(wǎng)卡，其中一個IP地址為的就是本機網(wǎng)卡，另外兩個是剛才做本機測試時建立的，它們的IP地址為169.x.xx.xxx..xxx，這是VPN默認的IP地址，是正常的，不用管它。

建立新連接連接向?qū)нx擇虛擬專用網(wǎng)絡連接為連接命名輸入要連接的計算機名或IP3、遠程連接前準備在遠程連接之前要做好兩個準備：第一要獲得VPN服務器接入Internet的公共IP地址，如果是分配的靜態(tài)IP，那就簡單了，如果是動態(tài)IP，那必須在遠程能隨時獲得這個IP地址，本例如圖1，這臺機器的公網(wǎng)IP實際上就是ADSL貓接入Internet時，是ISP給自動分配的。第二要做個端口映射，從該例的拓撲可以看出，本例是通過在ADSL貓中通過NAT轉(zhuǎn)換接入Internet的，通過這種方式一定要在ADSL中作端口映射，由于windows2003的VPN服務用的是1723端口，所以如下圖，將1723端口映射到這臺設有VPN服務的機器。4、遠程連接

上面的服務器中的測試完成后，就可以在家中進行遠程連接了，其過程和在本機連接測試的過程一樣。2.4入侵檢測

入侵檢測是繼防火墻之后的又一道防線。防火墻只能對黑客的攻擊實施被動防御，一旦黑客攻入系統(tǒng)內(nèi)部，則沒有切實的防護策略，而入侵檢測系統(tǒng)則是針對這種情況而提出的又一道防線。2.4.1入侵檢測的基本概念入侵檢測（IntrusionDetection），顧名思義，就是對入侵行為的發(fā)覺。它通過對計算機網(wǎng)絡或計算機系統(tǒng)中若干關鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測作為一種積極主動地安全防護技術，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護，在網(wǎng)絡系統(tǒng)受到危害之前攔截和響應入侵。因此被認為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡性能的情況下能對網(wǎng)絡進行監(jiān)測。2.4.2入侵檢測實現(xiàn)的步驟1．信息收集入侵檢測利用的信息一般來自以下四個方面：1）系統(tǒng)和網(wǎng)絡日志文件2）目錄和文件中的不期望的改變3）程序執(zhí)行中的不期望行為4）物理形式的入侵信息2．數(shù)據(jù)分析（1）模式匹配（2）統(tǒng)計分析（3）完整性分析3．響應包括切斷網(wǎng)絡連接、記錄事件和報警等2.4.3入侵檢測技術入侵檢測按照分析方法/檢測原理通常分為異常檢測和誤用檢測兩種。1．異常檢測基于統(tǒng)計分析原理。首先總結(jié)正常操作應該具有的特征（用戶輪廓），試圖用定量的方式加以描述，當用戶活動與正常行為有重大偏離時即被認為是入侵。前提：入侵是異?；顒拥淖蛹Ｖ笜耍郝﹫舐实?，誤報率高。用戶輪廓(Profile)：通常定義為各種行為參數(shù)及其閥值的集合，用于描述正常行為范圍。特點：異常檢測系統(tǒng)的效率取決于用戶輪廓的完備性和監(jiān)控的頻率；不需要對每種入侵行為進行定義，因此能有效檢測未知的入侵；系統(tǒng)能針對用戶行為的改變進行自我調(diào)整和優(yōu)化，但隨著檢測模型的逐步精確，異常檢測會消耗更多的系統(tǒng)資源。2.誤用檢測基于模式匹配原理。收集非正常操作的行為特征，建立相關的特征庫，當監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時，系統(tǒng)就認為這種行為是入侵。前提：所有的入侵行為都有可被檢測到的特征。指標：誤報低、漏報高。攻擊特征庫：當監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時，系統(tǒng)就認為這種行為是入侵。特點：采用模式匹配，誤用模式能明顯降低誤報率，但漏報率隨之增加。攻擊特征的細微變化，會使得誤用檢測無能為力?；谥鳈C入侵檢測系統(tǒng)HIDS工作原理Internet網(wǎng)絡服務器1客戶端網(wǎng)絡服務器2X檢測內(nèi)容：系統(tǒng)調(diào)用、端口調(diào)用、系統(tǒng)日志、安全審記、應用日志HIDSXHIDSInternetNIDS基于網(wǎng)絡入侵檢測系統(tǒng)工作原理網(wǎng)絡服務器1數(shù)據(jù)包=包頭信息+有效數(shù)據(jù)部分客戶