第11章網(wǎng)絡(luò)安全.ppt

1、第11章 Red Hat Linux 9網(wǎng)絡(luò)安全,Linux平臺(tái)作為一個(gè)安全性、穩(wěn)定性比較高的操作系統(tǒng)被廣泛地應(yīng)用到了民用或者商業(yè)網(wǎng)絡(luò)服務(wù)領(lǐng)域。盡管Linux是安全系數(shù)比較高的操作系統(tǒng)，但作為一種動(dòng)態(tài)的、不斷發(fā)展的操作系統(tǒng)，其自身仍然不可避免地存在著各種問(wèn)題。本章將主要介紹Linux操作系統(tǒng)的一些安全特點(diǎn)，以及與之相關(guān)的安全技術(shù)。,11.1 網(wǎng)絡(luò)安全基礎(chǔ),計(jì)算機(jī)網(wǎng)絡(luò)安全是一門(mén)涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科地綜合性學(xué)科。從廣義上講，凡是涉及網(wǎng)絡(luò)上信息的保密性、完整性、可用性、不可否認(rèn)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全地研究?jī)?nèi)容。

2、11.1.1 信息安全簡(jiǎn)介 廣義信息安全：包括軍事、政治等國(guó)家機(jī)密安全，防范商業(yè)企業(yè)機(jī)密泄露，防范青少年對(duì)不良信息的瀏覽，個(gè)人信息的泄露等。 狹義信息安全：指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)可以連續(xù)、可靠、正常地運(yùn)行，信息服務(wù)不中斷。 網(wǎng)絡(luò)環(huán)境下的信息安全：包括計(jì)算機(jī)安全操作系統(tǒng)、各種安全協(xié)議、安全機(jī)制（數(shù)字簽名、信息認(rèn)證、數(shù)據(jù)加密等）以及安全系統(tǒng)。,1信息安全的實(shí)現(xiàn)目標(biāo) （1）真實(shí)性：對(duì)信息的來(lái)源進(jìn)行判斷，能對(duì)偽造來(lái)源的信息予以鑒別。 （2）保密性：保證機(jī)密信息不被竊聽(tīng)，或使竊聽(tīng)者不能了解信息的真實(shí)含義。 （3）完整性：保證數(shù)

3、據(jù)的一致性，防止數(shù)據(jù)被非法用戶(hù)篡改。 （4）可用性：保證合法用戶(hù)對(duì)信息和資源的使用不會(huì)被不正當(dāng)?shù)鼐芙^。 （5）不可抵賴(lài)性：建立有效的責(zé)任機(jī)制，防止用戶(hù)否認(rèn)其行為，這一點(diǎn)在電子商務(wù)中是極其重要的。 （6）可控制性：對(duì)信息的傳播及內(nèi)容具有控制能力。 （7）可審查性：對(duì)出現(xiàn)的網(wǎng)絡(luò)安全問(wèn)題提供調(diào)查的依據(jù)和手段。,2主要的信息安全威脅 （1）竊?。悍欠ㄓ脩?hù)通過(guò)數(shù)據(jù)竊聽(tīng)的手段獲得敏感信息。 （2）截?。悍欠ㄓ脩?hù)首先獲得信息，再將此信息發(fā)送給真實(shí)接收者。 （3）偽造：將偽造的信息發(fā)送給接收者。 （4）篡改：非法用戶(hù)對(duì)合法用戶(hù)之間的通訊信息進(jìn)行修改，再發(fā)送給接收者。 （5）拒絕服務(wù)攻擊：攻擊服務(wù)系統(tǒng)，造成系統(tǒng)

4、癱瘓，阻止合法用戶(hù)獲得服務(wù)。 （6）行為否認(rèn)：否認(rèn)已經(jīng)發(fā)生的行為。 （7）非授權(quán)訪問(wèn)：未經(jīng)系統(tǒng)授權(quán)而使用網(wǎng)絡(luò)或計(jì)算機(jī)資源。 （8）傳播病毒：通過(guò)網(wǎng)絡(luò)傳播計(jì)算機(jī)病毒，其破壞性非常高，而且用戶(hù)很難進(jìn)行防范。,3信息安全威脅的主要來(lái)源 （1）自然災(zāi)害、意外事故。（2）計(jì)算機(jī)犯罪。（3）人為錯(cuò)誤，如使用不當(dāng)，安全意識(shí)差等。（4）內(nèi)部泄密。（5）外部泄密。（6）信息丟失。（7）電子諜報(bào)，如信息流量分析、信息竊取等。（8）信息戰(zhàn)。 （9）網(wǎng)絡(luò)協(xié)議自身缺陷，如TCP/IP協(xié)議的安全問(wèn)題等。 4信息安全涉及的主要問(wèn)題 （1）網(wǎng)絡(luò)攻擊與攻擊檢測(cè)、防范問(wèn)題。（2）安全漏洞與安全對(duì)策問(wèn)題。（3）信息安全保密問(wèn)題。（

5、4）系統(tǒng)內(nèi)部安全防范問(wèn)題。（5）防病毒問(wèn)題。（6）數(shù)據(jù)備份與恢復(fù)問(wèn)題、災(zāi)難恢復(fù)問(wèn)題。,11.1.2 網(wǎng)絡(luò)安全技術(shù) 網(wǎng)絡(luò)安全技術(shù)指致力于解決諸如如何有效進(jìn)行介入控制，以及何如保證數(shù)據(jù)傳輸?shù)陌踩缘葐?wèn)題的技術(shù)手段，主要包括物理安全措施、數(shù)據(jù)傳輸安全技術(shù)、內(nèi)外網(wǎng)隔離技術(shù)、入侵檢測(cè)技術(shù)、訪問(wèn)控制技術(shù)、審計(jì)技術(shù)、安全性檢測(cè)技術(shù)、防病毒技術(shù)、備份技術(shù)、終端安全技術(shù)等。,11.2 防火墻技術(shù),網(wǎng)絡(luò)面臨的安全威脅主要有人為或自然力造成的數(shù)據(jù)丟失、設(shè)備失效、線路阻斷；操作人員的失誤造成的數(shù)據(jù)丟失；來(lái)自外部或內(nèi)部人員的惡意攻擊和入侵等。 前面兩種威脅的預(yù)防方法與傳統(tǒng)電信網(wǎng)絡(luò)中的預(yù)防方法基本相同。最后一種是當(dāng)前In

6、ternet所面臨的最大威脅，是電子商務(wù)、電子政務(wù)等順利發(fā)展的最大障礙，也是企業(yè)網(wǎng)絡(luò)安全策略最需要解決的問(wèn)題。目前解決網(wǎng)絡(luò)安全問(wèn)題的最有效方法是采用防火墻。 防火墻就是在可以信任的本地網(wǎng)絡(luò)和不可信任的外部網(wǎng)絡(luò)之間的一個(gè)阻塞點(diǎn)，內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有數(shù)據(jù)傳輸都必須經(jīng)過(guò)這一個(gè)阻塞點(diǎn)。,11.2.1 防火墻的體系結(jié)構(gòu)及分類(lèi) 目前防火墻的體系結(jié)構(gòu)一般有雙重宿主主機(jī)體系結(jié)構(gòu)、主機(jī)過(guò)濾體系結(jié)構(gòu)和子網(wǎng)過(guò)濾體系結(jié)構(gòu)3種。,1雙重宿主主機(jī)體系結(jié)構(gòu) 雙重宿主主機(jī)體系結(jié)構(gòu)是圍繞具有雙重宿主的主機(jī)而構(gòu)筑的。該計(jì)算機(jī)至少有兩個(gè)網(wǎng)絡(luò)接口，這樣的主機(jī)可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器，并能夠從一個(gè)網(wǎng)絡(luò)向另一個(gè)網(wǎng)

7、絡(luò)發(fā)送IP數(shù)據(jù)包。雙重宿主主機(jī)的防火墻體系結(jié)構(gòu)使IP數(shù)據(jù)包不是從一個(gè)網(wǎng)絡(luò)直接發(fā)送到其他網(wǎng)絡(luò)，而是通過(guò)防火墻實(shí)現(xiàn)其內(nèi)外計(jì)算機(jī)之間的通信。 雙重宿主主機(jī)體系結(jié)構(gòu)如右圖所示。,2主機(jī)過(guò)濾體系結(jié)構(gòu) 雙重宿主主機(jī)結(jié)構(gòu)是由一臺(tái)同時(shí)連接于內(nèi)、外網(wǎng)絡(luò)的雙重宿主主機(jī)提供安全保障的，而在主機(jī)過(guò)濾體系結(jié)構(gòu)中，提供安全保護(hù)的主機(jī)僅與內(nèi)部網(wǎng)絡(luò)相連。另外，主機(jī)過(guò)濾結(jié)構(gòu)還有一臺(tái)單獨(dú)的路由器（過(guò)濾路由器）。在這種體系結(jié)構(gòu)中，網(wǎng)絡(luò)安全主要由數(shù)據(jù)包過(guò)濾提供，其結(jié)構(gòu)如右圖：,過(guò)濾路由器中，數(shù)據(jù)包過(guò)濾配置的兩種方法： （1）允許其他內(nèi)部主機(jī)為了使用某些服務(wù)于Internet上的主機(jī)連接，即允許那些已經(jīng)由數(shù)據(jù)包過(guò)濾的服務(wù)。 （2）不允

8、許來(lái)自?xún)?nèi)部主機(jī)的所有連接（強(qiáng)迫那些主機(jī)經(jīng)由堡壘主機(jī)使用代理服務(wù)）。 3.子網(wǎng)過(guò)濾體系結(jié)構(gòu) 子網(wǎng)過(guò)濾體系結(jié)構(gòu)在主機(jī)過(guò)濾體系結(jié)構(gòu)中添加了額外的安全層，即通過(guò)添加參數(shù)網(wǎng)絡(luò)（內(nèi)外部網(wǎng)絡(luò)之間另加的一層安全保護(hù)網(wǎng)絡(luò)層，如果入侵者成功地闖過(guò)外保護(hù)網(wǎng)到達(dá)防火墻，參數(shù)網(wǎng)絡(luò)就能在入侵者與內(nèi)部網(wǎng)絡(luò)之間再提供一層保護(hù)），更進(jìn)一步地把內(nèi)部網(wǎng)絡(luò)與Internet隔離開(kāi)。,子網(wǎng)過(guò)濾體系結(jié)構(gòu)的最簡(jiǎn)單的形式為采用兩個(gè)連接到參數(shù)網(wǎng)絡(luò)的過(guò)濾路由器：一個(gè)位于參數(shù)網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間，另一個(gè)位于參數(shù)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)（通常為Internet）之間，其結(jié)構(gòu)圖如下圖所示：,此體系結(jié)構(gòu)中采用的組件： （1）參數(shù)網(wǎng)絡(luò) 如果使用了參數(shù)網(wǎng)絡(luò)，則入侵者侵

9、入到堡壘主機(jī)時(shí)，只能偷看到參數(shù)網(wǎng)絡(luò)的信息流，而看不到內(nèi)部網(wǎng)絡(luò)的信息，而這層網(wǎng)絡(luò)的信息流僅往來(lái)于參數(shù)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)或者參數(shù)網(wǎng)絡(luò)與堡壘主機(jī)。 （2）堡壘主機(jī) 堡壘主機(jī)與參數(shù)網(wǎng)絡(luò)相連，而這臺(tái)主機(jī)是外部網(wǎng)絡(luò)服務(wù)于內(nèi)部網(wǎng)絡(luò)的主節(jié)點(diǎn)。它為內(nèi)部網(wǎng)絡(luò)提供服務(wù)，并向外（由內(nèi)部網(wǎng)絡(luò)的客戶(hù)端向外部服務(wù)器）提供服務(wù)。 （3）內(nèi)部路由器 有時(shí)也稱(chēng)為阻流路由器，主要功能是保護(hù)內(nèi)部網(wǎng)絡(luò)免受外部網(wǎng)絡(luò)與參數(shù)網(wǎng)絡(luò)的侵?jǐn)_。 （4）外部路由器 有時(shí)也稱(chēng)為接觸路由提，既保護(hù)參數(shù)網(wǎng)絡(luò)，又保護(hù)內(nèi)部網(wǎng)絡(luò)。外部路由器真正有效的作用就是阻斷從外部網(wǎng)絡(luò)的偽造源地址進(jìn)來(lái)的任何數(shù)據(jù)包。,11.2.3 使用iptables實(shí)現(xiàn)網(wǎng)絡(luò)層和傳輸層防火墻 1.

10、 netfilter/iptable簡(jiǎn)介 netfilter/iptable是Linux核心的一個(gè)通用框架，該框架定義了包過(guò)濾子系統(tǒng)功能的實(shí)現(xiàn)，提供了filter、NAT（network address tranletion）和mangle 三個(gè)表，默認(rèn)使用的是filter表。每個(gè)表包含有若干條內(nèi)建的鏈（chains），用戶(hù)也可以在表中創(chuàng)建自定義的鏈。在每條鏈中，可定義一條或多條過(guò)濾規(guī)則（rule），即鏈?zhǔn)且粋€(gè)規(guī)則的列表。每條規(guī)則應(yīng)指定所要檢查的包的特征以及如何處理與之相匹配的包，即目標(biāo) （ target ），目標(biāo)值可以是用戶(hù)自定義的一個(gè)鏈名，以便跳轉(zhuǎn)到同一個(gè)表內(nèi)的用戶(hù)自定義鏈進(jìn)行規(guī)則檢查，也

11、可以是ACCEPT、DROP、REJECT或RETURN等值。 規(guī)則的定義方式一般是“如果數(shù)據(jù)波符合這樣的條件，這樣處理該數(shù)據(jù)包”，規(guī)則遵循第一匹配優(yōu)先原則，在表達(dá)規(guī)則時(shí)應(yīng)注意先后順序。若未指定源或目的地址，則默認(rèn)為任意主機(jī)。,2.iptables的安裝及命令簡(jiǎn)介 1）查看是否安裝了ipchains iptables不能與ipchains同時(shí)使用，使用以下命令檢查是否加載了ipchains： #lsmod grep ipchains 若出現(xiàn)相應(yīng)的版本號(hào)說(shuō)明已加載，可使用以下命令卸載該模塊： #rmmod ipchains 2）查看iptables是否正在運(yùn)行 在Red Hat Linux 9中

12、iptables是默認(rèn)安裝的，可用如下命令來(lái)查看是否正在運(yùn)行： #service iptables status 如果可以看到詳細(xì)的規(guī)則信息，那么用戶(hù)可以直接進(jìn)入，如果iptables還沒(méi)有被編譯到內(nèi)核中，就需要先將它編譯到內(nèi)核里。,3）使用iptables命令 iptables命令的語(yǔ)法一般如下： iptables -flag chain options extensions ACTION 各參數(shù)含義如下： flag：標(biāo)志項(xiàng) chain：鏈 options：選項(xiàng) extensions：擴(kuò)展功能 ACTION：事件項(xiàng) 其中標(biāo)志項(xiàng)和選項(xiàng)還有很多種類(lèi)，具體看課本介紹。,11.2.4 使用Squid

13、實(shí)現(xiàn)代理服務(wù)器 1. 代理服務(wù)器的定義 代理服務(wù)器英文全稱(chēng)是proxy server，其功能就是代理網(wǎng)絡(luò)用戶(hù)去取得網(wǎng)絡(luò)信息。形象地說(shuō)：它是網(wǎng)絡(luò)信息的中轉(zhuǎn)站。 代理服務(wù)器是介于瀏覽器和Web服務(wù)器之間的另一臺(tái)服務(wù)器。有了它之后，網(wǎng)絡(luò)瀏覽器不是直接到Web服務(wù)器去取回網(wǎng)頁(yè)而是向代理服務(wù)器發(fā)出請(qǐng)求，即信號(hào)會(huì)先送到代理服務(wù)器，由代理服務(wù)器來(lái)取回所需要的信息并傳送到網(wǎng)絡(luò)瀏覽器。 代理服務(wù)器提供兩方面服務(wù)：讓不能直接訪問(wèn)Internet的用戶(hù)訪問(wèn)Internet；讓那些已經(jīng)能訪問(wèn)Internet的用戶(hù)可以更快或更廣泛地訪問(wèn)Internet。,2.安裝與配置Squid緩存透明代理 Squid是一個(gè)具有高性能

14、的、有網(wǎng)頁(yè)緩存功能的、支持HTTP和FTP協(xié)議的代理。Squid在緩存數(shù)據(jù)的同時(shí)，也緩存DNS查詢(xún)結(jié)果，并支持SSL和訪問(wèn)控制，是Linux系統(tǒng)常用的一種代理服務(wù)器軟件。對(duì)于squid無(wú)法代理的服務(wù)，可通過(guò)網(wǎng)絡(luò)地址轉(zhuǎn)換來(lái)實(shí)現(xiàn)代理，從而使透明代理服務(wù)器同時(shí)具有網(wǎng)頁(yè)緩存的功能，可以加快對(duì)網(wǎng)頁(yè)的訪問(wèn)速度。 Squid的安裝： （1）從站點(diǎn)獲取Squid軟件的源代碼安裝包，包括.gz和.bz2兩種壓縮格式的文件。也可以使用Linux的發(fā)行版提供的RPM包。 （2）使用RPM方式安裝，命令為： rpm -ivh Squid-2.x.STALBx.i386.rpm 使

15、用壓縮包安裝，先解壓。 如果是最新穩(wěn)定版本squid-2.5.STABLE2.tar.gz，解壓命令為： tar xvfz squid-2.5.STABLE.tar.gz 如果是.bz2方式的壓縮包，解壓命令為： tar xvfj squid-2.5.STABLE.tar.bz2,（3）進(jìn)入相應(yīng)目錄，對(duì)源代碼進(jìn)行配置和編譯，命令如下： cd squid-2.5.STABLE2 配置命令configure有很多選項(xiàng)，可以受用-help命令查看使用方法，此處不做介紹，課本中列舉了常用的選項(xiàng)。 整個(gè)配置編譯過(guò)程如下： ./configure -prefix=/var/squid -sysconfdi

16、r=/etc -enable-arp-acl -enable-linux-netfilter -enable-pthreads -enable-err-language=Simplify_Chinese -enable-storeio=ufs，null -enable-default-err-language=Simplify_Chinese -enable-auth=basic -enable-baisc-auth-helpers=NCSA -enable-underscore,（4）最后執(zhí)行make和make install兩條命令，將源代碼編譯為可執(zhí)行文件，并復(fù)制到指定位置。 Squid

17、的配置： 安裝完成后，接下來(lái)要對(duì)Squid的運(yùn)行進(jìn)行配置(不是前面安裝時(shí)的置)，所有項(xiàng)目都在squid.conf中完成。Squid自帶的squid.conf包括非常詳盡的說(shuō)明，相當(dāng)于一篇用戶(hù)手冊(cè)，對(duì)配置有任何疑問(wèn)都可以參照解決。 課本中有詳細(xì)的配置例子，這里不再列出。,11.2.5 測(cè)試防火墻 通過(guò)防火墻前一節(jié)的學(xué)習(xí)，我們對(duì)防火墻的規(guī)則及命令已經(jīng)很熟悉了，接下來(lái)就可以用這些規(guī)則來(lái)測(cè)試防火墻。在測(cè)試之前先熟悉一些防火墻中常用的規(guī)則。 # iptables F # iptables P INPUT DROP # iptables P OUTPUT DROP # iptables P FORWARD

18、 DROP # iptables A INPUT i lo j ACCEPT # iptables A OUTPUT i lo j ACCEPT # iptables A INPUT i eth1 s /24 j ACCEPT # iptables A OUTPUT i eth1 d /24 j ACCEPT # iptables t nat -A POSTROUTING o eth0 d !/24 j MASQUERADE,# iptables A FORWARD s /24 j ACCEPT # ipt

19、ables A FORWARD d /24 j ACCEPT # iptables A INPUT f -i eth0 -j DROP # iptables A OUTPUT -i eth0 p -tcp -s /24 sport 1024 :65535 d any/0 -dport 80 j ACCEPT # iptables A INPUT -i eth0 p -tcp -s any/0 -sport 80 d /24 dport 1024：65535 -j ACCEPT # iptables A OUTPUT -i eth

20、0 p -tcp -s /24 sport 1024 :65535 d any/0 -dport 21 j ACCEPT # iptables A INPUT -i eth0 p -tcp -s any/0 -sport 21 d /24 dport 1024：65535 -j ACCEPT # iptables-save/etc/sysconfig/iptables,這些規(guī)則的解釋如下： 第1條：清空存在的所有規(guī)則。 第2、3、4條：這是“默認(rèn)策略規(guī)則”，禁止了所有IP傳輸。 第5、6條：?jiǎn)⒂帽镜鼗丨h(huán)接口（本地回環(huán)設(shè)備lo（地址）

21、，IP數(shù)據(jù)報(bào)文可以在eth0和eth1之間傳輸，這樣數(shù)據(jù)可以通過(guò)防火墻主機(jī)。 第7條：規(guī)定從內(nèi)部網(wǎng)/24發(fā)來(lái)的數(shù)據(jù)能被eth1接口接受。 第8條：規(guī)定從防火墻的eth1接口向/24網(wǎng)絡(luò)輸出數(shù)據(jù)是允許。 第9條：向網(wǎng)絡(luò)地址轉(zhuǎn)換表的POSTROUTING鏈中加入規(guī)則。規(guī)則規(guī)定對(duì)所有不發(fā)送到/24網(wǎng)絡(luò)的數(shù)據(jù)報(bào)文進(jìn)行源地址轉(zhuǎn)換，使用eth0的IP地址來(lái)改變報(bào)文的源IP地址（/24），這樣，從/24發(fā)出的報(bào)文在Internet上傳輸?shù)倪^(guò)程中，數(shù)據(jù)的源地址會(huì)顯示為eth0的IP地址。 第10、11

22、條：規(guī)定允許系統(tǒng)轉(zhuǎn)送這兩種報(bào)文：發(fā)往內(nèi)部網(wǎng)絡(luò) （/24）的報(bào)文和從內(nèi)部網(wǎng)絡(luò)（/24）發(fā)出的報(bào)文。,第12條：禁止所有分片包，防止分片包攻擊。 第13條：允許防火墻的外部接口送出使用TCP協(xié)議、源地址為內(nèi)部網(wǎng)絡(luò)地址、源端口在1024和65535之間、目標(biāo)地址為任意IP地址、目標(biāo)端口為80的數(shù)據(jù)包。該規(guī)則允許內(nèi) 部網(wǎng)絡(luò)用戶(hù)訪問(wèn)外部的Web服務(wù)。 第14條：允許防火墻的外部接口送進(jìn)使用TCP協(xié)議、源地址為任意IP地址、源端口為80、目標(biāo)地址為內(nèi)部網(wǎng)絡(luò)地址、目標(biāo)端口在1024和65535之間的數(shù)據(jù)包。該規(guī)則允許外部Web服務(wù)對(duì)內(nèi)部網(wǎng)絡(luò)用戶(hù)的Web回應(yīng)。 第1

23、5條：允許防火墻的外部接口送出使用TCP協(xié)議、源地址為內(nèi)部網(wǎng)絡(luò)地址、源端口在1024和65535之間、目標(biāo)地址為任意IP地址、目標(biāo)端口為21的數(shù)據(jù)包。該規(guī)則允許內(nèi)部網(wǎng)絡(luò)用戶(hù)訪問(wèn)外部的FTP服務(wù)。 第16條：允許防火墻的外部接口送進(jìn)使用TCP協(xié)議、源地址為任意IP地址、源端口是21、目標(biāo)地址為內(nèi)部網(wǎng)絡(luò)地址、目標(biāo)端口范圍為1024到65535之間的數(shù)據(jù)包。該規(guī)則允許外部FTP服務(wù)對(duì)內(nèi)部網(wǎng)絡(luò)用戶(hù)的FTP回應(yīng)。 第17條：將用戶(hù)定義的規(guī)則保存到/etc/sysconfig/iptables中。,11.3 入侵檢測(cè)技術(shù),入侵檢測(cè)技術(shù)是近年來(lái)出現(xiàn)的一種主動(dòng)保護(hù)自己免受黑客攻擊的新型網(wǎng)絡(luò)安全技術(shù)。入侵檢測(cè)被

24、認(rèn)為是防火墻之后的第二道安全閘門(mén)，它在不影響網(wǎng)絡(luò)性能的情況下對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)檢測(cè)。 11.3.1 入侵檢測(cè)系統(tǒng)原理及分類(lèi) 入侵檢測(cè)是對(duì)入侵行為的發(fā)現(xiàn)，它通過(guò)在計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并進(jìn)行分析，從而判斷網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。完成入侵檢測(cè)功能的軟件和硬件組合便是入侵檢測(cè)系統(tǒng)（Intrusion Detection Systems，IDS ）。,1.IDS原理 IDS通常使用兩種基本的分析方法來(lái)分析事件、檢測(cè)入侵行為，即誤用檢測(cè)（Misuse Detection）和異常檢測(cè)（Anomaly Detectio

25、n）。 誤用檢測(cè)會(huì)對(duì)不正常的行為進(jìn)行建模，這些行為是以前記錄下來(lái)的確認(rèn)了的誤用或攻擊。誤用檢測(cè)器分析系統(tǒng)的活動(dòng)，發(fā)現(xiàn)那些與被預(yù)先定義好的攻擊特征相匹配的事件或事件集。由于與攻擊模式相對(duì)應(yīng)的是特征，誤用檢測(cè)往往也被稱(chēng)為基于特征的檢測(cè)。目前，最常用的做法是將每一個(gè)攻擊事件的模式定為一個(gè)獨(dú)立的特征，從而使對(duì)入侵行為的檢測(cè)成為對(duì)特征的匹配搜索：如果和已知的入侵特征匹配，就認(rèn)為是攻擊；如果不匹配，就認(rèn)為不是攻擊。 異常檢測(cè)是對(duì)正常行為建模，不符合這個(gè)模型的事件就被懷疑為攻擊。異常檢測(cè)首先收集一段時(shí)期正常操作活動(dòng)的歷史數(shù)據(jù)，建立代表用戶(hù)、主機(jī)網(wǎng)絡(luò)連接的正常行為輪廓，然后收集事件數(shù)據(jù)，并使用各種方法來(lái)確定所檢測(cè)到的事件活動(dòng)是否偏離了正常行為模式。這些方法主要有閥值檢測(cè)和統(tǒng)計(jì)方法等，還有一些新的技術(shù)，如神經(jīng)網(wǎng)絡(luò)等。,2.IDS分類(lèi) 1）根據(jù)信息源分類(lèi) 從數(shù)據(jù)源來(lái)看，可以將入侵檢測(cè)系統(tǒng)分為基于主機(jī)的入侵檢測(cè)系統(tǒng)、基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)和基于應(yīng)用的入侵檢測(cè)系統(tǒng)。 2）根據(jù)分析方法分類(lèi) 傳統(tǒng)的觀點(diǎn)是根據(jù)入侵行為的屬性將其分為異常和誤用兩種，然后分別對(duì)其建立異常檢測(cè)模型和誤用檢測(cè)模型。異常入侵檢測(cè)是指能夠根據(jù)異常行為和計(jì)算機(jī)資源的使用情況檢測(cè)出入侵的方法，它試圖用定量的方式描述可以接受的行為特