1、網(wǎng)絡(luò)安全及網(wǎng)絡(luò)新技術(shù) 第四講網(wǎng)絡(luò)安全技術(shù)基本概念 信息安全的基本概念5個基本要素計算機系統(tǒng)的安全等級網(wǎng)絡(luò)安全的概念及策略； 安全等級D級:最低保護(hù)C級:自定義保護(hù)B級:強制式保護(hù)A級:可驗證之保護(hù)網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全，其所涉及的領(lǐng)域相當(dāng)廣泛。這是因為在目前的公用通信網(wǎng)絡(luò)中存在著各種各樣的安全漏洞和威脅。從廣義來說，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論，都是網(wǎng)絡(luò)安全所要研究的領(lǐng)域。下面給出網(wǎng)絡(luò)安全的一個通用定義：網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可

2、靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。1.3 對網(wǎng)絡(luò)安全的威脅與網(wǎng)絡(luò)連通性相關(guān)的有三種不同類型的安全威脅：（1） 非授權(quán)訪問（Unauthorized Access）指一個非授權(quán)用戶的入侵。（2） 信息泄露（Disclosure of Information）指造成將有價值的和高度機密的信息暴露給無權(quán)訪問該信息的人的所有問題。（3） 拒絕服務(wù)（Denial of Service）指使系統(tǒng)難以或不能繼續(xù)執(zhí)行任務(wù)的所有問題。1.4 網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)從廣義上講，計算機網(wǎng)絡(luò)安全技術(shù)主要有：（1）主機安全技術(shù)：（2）身份認(rèn)證技術(shù)：（3）訪問控制技術(shù)：（4）密碼技術(shù)：（5）防火墻技術(shù)：（6）安全審計技術(shù)：（7）

3、安全管理技術(shù)：5個基本要素機密性 機密性用于防止信息被非法竊取，或者竊聽者不能了解信息的真實含義；通過授權(quán)，可以保護(hù)信息不被沒有授權(quán)的人訪問；通過加密，能保護(hù)信息不被非法訪問者理解；完整性 完整性用于保證信息的一致性，防止信息在傳輸和存儲的過程中被非法訪問者篡改或者替換；可用性 可用性用于保證合法用戶對可以使用的信息進(jìn)行正常的使用；鑒別 鑒別用于防止偽冒信息，通過確認(rèn)訪問者的身份或消息的來源實現(xiàn)；防抵賴 防抵賴用于建立有效的責(zé)任機制，防止信息的制造者和修改者在事后否認(rèn)其行為；網(wǎng)絡(luò)管理 網(wǎng)絡(luò)故障管理:指對故障的檢測、診斷、恢復(fù)或排錯等操作進(jìn)行的管理。網(wǎng)絡(luò)配置管理：用來定義、識別、初始化、控制和檢

4、測通信網(wǎng)絡(luò)中的被管理對象的功能集合。網(wǎng)絡(luò)性能管理：收集網(wǎng)絡(luò)性能數(shù)據(jù)、分析、調(diào)整管理對象。網(wǎng)絡(luò)安全管理：防止用戶對網(wǎng)絡(luò)資源的非法訪問，確保網(wǎng)絡(luò)資源和網(wǎng)絡(luò)用戶的安全。網(wǎng)絡(luò)計費管理：自動記錄用戶使用網(wǎng)絡(luò)資源的時間情況。管理協(xié)議 ：snmp:簡單網(wǎng)絡(luò)管理協(xié)議，udp.防火墻技術(shù) 9.7.1 概述 自從1986年美國Digital公司在Internet上安裝了全球第一個商用防火墻系統(tǒng)后，防火墻的概念便誕生了，其技術(shù)也得到了飛速的發(fā)展。第一代防火墻，又稱包過濾防火墻，主要通過對數(shù)據(jù)包源地址、目的地址、端口號等參數(shù)來決定是否允許該數(shù)據(jù)包通過，對其進(jìn)行轉(zhuǎn)發(fā)，但這種防火墻很難抵御IP地址欺騙等攻擊，而且審計功能

5、很差。第二代防火墻，也稱代理服務(wù)器，它用來提供網(wǎng)絡(luò)服務(wù)級的控制，起到外部網(wǎng)絡(luò)向被保護(hù)的內(nèi)部網(wǎng)絡(luò)申請服務(wù)時中間轉(zhuǎn)接作用，這種方法可以有效地防止對內(nèi)部網(wǎng)絡(luò)的直接攻擊，安全性較高。第三代防火墻有效地提高了防火墻的安全性，稱為狀態(tài)監(jiān)控功能防火墻，它可以對每一層的數(shù)據(jù)包進(jìn)行檢測和監(jiān)控。隨著網(wǎng)絡(luò)攻擊手段和信息安全技術(shù)的發(fā)展，功能更強大、安全性更強的新一代的防火墻已經(jīng)問世，這個階段的防火墻已超出了原來傳統(tǒng)意義上防火墻的范疇，已經(jīng)演變成一個全方位的安全技術(shù)集成系統(tǒng)，我們稱之為第四代防火墻，它可以抵御目前常見的網(wǎng)絡(luò)攻擊手段，如IP地址欺騙、特洛伊木馬攻擊、Internet蠕蟲、口令探尋攻擊、郵件攻擊等等。 9.

6、7防火墻技術(shù) 9.7.1 概述 防火墻（Firewall）是指由軟件或硬件設(shè)備組合而成的、用來在一個被認(rèn)為是安全和可信的內(nèi)部網(wǎng)絡(luò)(通常是企業(yè)內(nèi)部網(wǎng)Intranet)和一個被認(rèn)為是不那么安全和可信的外部網(wǎng)絡(luò)(通常是國際互連網(wǎng)Internet)之間起保護(hù)作用的一整套裝置，是內(nèi)部網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)。它在內(nèi)部網(wǎng)和外部網(wǎng)之間構(gòu)造一個保護(hù)層，并迫使所有的連接和訪問都通過這一保護(hù)層，以便接受檢查。只有被授權(quán)信息流才能通過保護(hù)層，進(jìn)入內(nèi)部網(wǎng)，從而保護(hù)內(nèi)部網(wǎng)免遭受非法入侵。 防火墻的建立是為了防止內(nèi)部網(wǎng)絡(luò)免受來自該網(wǎng)以外的干擾、破壞，其主要功能有： （1）控制不安全的服務(wù):由于只有授權(quán)的協(xié)議和服務(wù)

7、才能通過防火墻.（2）站點訪問控制 :防火墻還提供了對特殊站點的訪問控制。 （3）集中安全保護(hù) .（4）強化站點資源的私有屬性:站點可以防止用戶查找器(查找因特網(wǎng)用戶的程序如：finger）以及域名服務(wù)器（DNS）泄露私有屬性。 9.7防火墻技術(shù) 9.7.1 概述 9.7防火墻技術(shù) 9.7.1 概述 （5）網(wǎng)絡(luò)連接的日志記錄及使用統(tǒng)計 :當(dāng)所有內(nèi)部與外部網(wǎng)絡(luò)(如：Internet)連接均被要求經(jīng)過防火墻安全系統(tǒng)時，防火墻系統(tǒng)就能夠?qū)λ械脑L問作出日志記錄。 （6）其它安全控制 :各組織機構(gòu)可以根據(jù)本單位的特殊要求來配置防火墻系統(tǒng)，從而實現(xiàn)其它安全控制。如有的防火墻可提供安全加密隧道進(jìn)行遠(yuǎn)程管理

8、，甚至還可以將網(wǎng)絡(luò)地址翻譯服務(wù)器（NAT：Network Address Translate ）、WWW和FTP服務(wù)器安置在防火墻上。但是，我們應(yīng)該指出防火墻只是一種整體安全防范策略的一部分。這種整體安全策略必須包括全面的安全準(zhǔn)則，即網(wǎng)絡(luò)訪問、當(dāng)?shù)睾瓦h(yuǎn)程用戶認(rèn)證、撥出撥入呼叫、磁盤和數(shù)據(jù)加密以及病毒防護(hù)等有關(guān)的安全措施，網(wǎng)絡(luò)易受攻擊的各個節(jié)點都必須采用相同程度的安全措施加以保護(hù)。有專家強調(diào)，在沒有全面的安全策略的情況下設(shè)立防火墻，就如同在一頂帳篷上裝置一個防盜門。 9.7防火墻技術(shù) 9.7.2 防火墻的實現(xiàn)技術(shù) 防火墻系統(tǒng)的實現(xiàn)技術(shù)一般分為兩種包過濾 (Packet Filter)技術(shù)和代理服

9、務(wù)(Proxy Service)技術(shù)。 1)包過濾技術(shù) 包過濾技術(shù)是在網(wǎng)絡(luò)中的適當(dāng)位置對內(nèi)、外網(wǎng)絡(luò)間的數(shù)據(jù)包實施有選擇的通過，依據(jù)系統(tǒng)事先設(shè)定好的過濾邏輯（通常稱為訪問控制控制列表，即Access Control List，又稱為安全規(guī)則庫），來檢查數(shù)據(jù)流中的每個數(shù)據(jù)包。數(shù)據(jù)包大部分是基于TCP/IP協(xié)議平臺的，其中包括網(wǎng)絡(luò)層的IP數(shù)據(jù)包、運輸層的TCP和UDP數(shù)據(jù)包以及應(yīng)用層的FTP、Telnet和HTTP等應(yīng)用協(xié)議數(shù)據(jù)包三部分。包過濾技術(shù)實際上是基于路由器的技術(shù)，它通過屏蔽路由器（Screening Router）對IP數(shù)據(jù)包進(jìn)行檢測。屏蔽路由器是一個多端口的IP路由器，它從包頭取得信息，

10、例如協(xié)議號、收發(fā)報文的IP地址和端口號、連接標(biāo)志以至另外一些IP選項，按照過濾規(guī)則，允許或拒絕特定的包通過。 9.7防火墻技術(shù) 9.7.2 防火墻的實現(xiàn)技術(shù) 1)包過濾技術(shù) 包過濾技術(shù)是一種實現(xiàn)防火墻系統(tǒng)的靈活而有效的手段，對用戶是透明的，并且非常快。但在實踐中，它還存在一些有待改進(jìn)的地方。比如: 包過濾規(guī)則描述起來非常復(fù)雜，不容易維護(hù)和配置。一旦需要修改或補充當(dāng)前規(guī)則，各條規(guī)則的組合可能變得十分復(fù)雜，從而使每條規(guī)則的測試過于復(fù)雜。 沒有記錄功能，無法了解過濾規(guī)則存在的漏洞。 一些現(xiàn)有的屏蔽路由器不支持對源端口的過濾，這使得安全性難以保障。 有些協(xié)議使用包過濾方式的效果不明顯。 對于包中所含的

11、文件內(nèi)容無法過濾。 9.7防火墻技術(shù) 9.7.2 防火墻的實現(xiàn)技術(shù) 2)代理服務(wù)技術(shù) 代理服務(wù)技術(shù)是防火墻中使用的最多的一種技術(shù)，也是安全性較高的一種技術(shù)。包過濾的特點是僅依據(jù)特定的邏輯檢查來決定數(shù)據(jù)包是否允許通過，一旦允許，則防火墻內(nèi)外兩個網(wǎng)絡(luò)之間將建立直接的聯(lián)系，這增加了內(nèi)部網(wǎng)絡(luò)的透明度，但同時使外部網(wǎng)絡(luò)可以了解內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)和運行狀況，這樣內(nèi)部網(wǎng)絡(luò)容易遭受攻擊。針對這一問題代理服務(wù)技術(shù)被提出來了。 代理是位于客戶進(jìn)程和服務(wù)器進(jìn)程之間的的一個進(jìn)程。對客戶來說，代理像是服務(wù)器；對服務(wù)器來說，代理像是客戶。代理服務(wù)在網(wǎng)絡(luò)應(yīng)用層形成一個中間結(jié)點，內(nèi)部網(wǎng)與外部網(wǎng)的鏈接只能到達(dá)這個中間結(jié)點，以此實現(xiàn)內(nèi)

12、外網(wǎng)絡(luò)計算機的隔離。該中間結(jié)點在物理上就是一臺主機，在該主機上運行代理服務(wù)程序就構(gòu)成代理服務(wù)器。代理服務(wù)器既作為內(nèi)部網(wǎng)客戶機所訪問的服務(wù)器主機，又作為Internet資源的一臺客戶機。代理服務(wù)器、內(nèi)部網(wǎng)客戶機和Internet資源之間的關(guān)系如圖所示。 9.7防火墻技術(shù) 9.7.2 防火墻的實現(xiàn)技術(shù) 對于不同的應(yīng)用，在代理服務(wù)器上專門要開發(fā)不同的應(yīng)用代理程序，如圖所示。應(yīng)用代理程序由應(yīng)用代理的服務(wù)器和應(yīng)用代理的客戶機兩部分組成。而在內(nèi)部網(wǎng)的客戶機上也必須開發(fā)對應(yīng)于應(yīng)用代理的客戶機程序。9.18代理服務(wù)器的作用9.7防火墻技術(shù) 9.7.2 防火墻的實現(xiàn)技術(shù) 應(yīng)用網(wǎng)關(guān)的代理服務(wù)器將對所有通過它的鏈接

13、作出日志記錄，以便檢查安全漏洞和收集相關(guān)的信息。在應(yīng)用網(wǎng)關(guān)使用代理服務(wù)器有以下優(yōu)點： 隱蔽信息，例如內(nèi)部網(wǎng)的主機名稱等信息可以不為外部所知；日志記錄，便于網(wǎng)絡(luò)安全管理；可以由應(yīng)用網(wǎng)關(guān)代理有關(guān)服務(wù)，進(jìn)行安全控制。 9.18代理服務(wù)器的作用9.7防火墻技術(shù) 9.7.2 防火墻的實現(xiàn)技術(shù) 基于代理服務(wù)器技術(shù)的防火墻也具有如下不足之處：（1）必須為每一個網(wǎng)絡(luò)應(yīng)用服務(wù)專門設(shè)計、開發(fā)相應(yīng)的代理服務(wù)軟件， 而且對新的協(xié)議必須重新開發(fā)相應(yīng)的應(yīng)用代理；（2）應(yīng)用代理程序的使用，會降低系統(tǒng)的透明性；（3）由于是基于協(xié)議的應(yīng)用層上工作，因而可能會導(dǎo)致網(wǎng)絡(luò)性能的下降；（4）需要專用的硬件(服務(wù)器)來承擔(dān)。 9.8 入

14、侵檢測技術(shù) 9.8.1 入侵檢測技術(shù)的原理 入侵檢測IDS(Intrusion Detection System)是一種主動保護(hù)自己免受攻擊的一種網(wǎng)絡(luò)安全技術(shù)。作為防火墻的合理補充，入侵檢測技術(shù)能夠幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、攻擊識別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計算機網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息，并分析這些信息，達(dá)到發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象，它可以防止或減輕上述的網(wǎng)絡(luò)威脅。入侵檢測作為防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護(hù)。

15、入侵檢測系統(tǒng)可實現(xiàn)如下功能：（1）監(jiān)控和分析用戶以及系統(tǒng)的活動。（2）核查系統(tǒng)配置和漏洞。（3）評估關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性。（4）識別攻擊的活動模式并向網(wǎng)管人員報警。 （5）統(tǒng)計分析異常活動。 9.8 入侵檢測技術(shù) 9.8.1 入侵檢測技術(shù)的原理 入侵檢測跟其他檢測技術(shù)有同樣的原理，就是從一組數(shù)據(jù)中，檢測出符合某些入侵特點的數(shù)據(jù)。入侵者進(jìn)行攻擊的時候會留下痕跡，這些痕跡和系統(tǒng)正常運行的時候產(chǎn)生的數(shù)據(jù)混在一起。入侵檢測系統(tǒng)就是從這些混合數(shù)據(jù)中找出是否有入侵的痕跡，如果有入侵的痕跡就報警有入侵事件發(fā)生。入侵檢測系統(tǒng)有兩個重要部分：數(shù)據(jù)取得和檢測技術(shù)。 從一組數(shù)據(jù)中檢測出入侵事件的數(shù)據(jù)，實際上就

16、是對一組數(shù)據(jù)進(jìn)行分類。如果只是簡單地檢測出系統(tǒng)是否發(fā)生入侵，那么這個過程就是把數(shù)據(jù)分成兩類：有入侵的數(shù)據(jù)和沒有入侵的數(shù)據(jù)。如果更復(fù)雜一點，那就是不但能檢測出入侵，還要能說明是什么入侵。這個過程就是把數(shù)據(jù)分成多個類，其中有一類是沒有入侵的數(shù)據(jù)，其余是不同入侵類型的數(shù)據(jù)。 入侵檢測系統(tǒng)至少應(yīng)該包括三個功能模塊：提供事件記錄流的信息源、發(fā)現(xiàn)入侵跡象的分析引擎和基于分析引擎的響應(yīng)部件。以下介紹參照DARPA(美國國防部高級計劃局)提出的CIDF(公共入侵檢測框架)的個入侵檢測系統(tǒng)的通用模型，它將入侵檢測系統(tǒng)分為四個組件：事件收集器、事件分析器、響應(yīng)單元和事件數(shù)據(jù)庫。 9.8 入侵檢測技術(shù) 9.8.1

17、入侵檢測技術(shù)的原理 CIDF將需要分析的數(shù)據(jù)統(tǒng)稱為事件，它可以是網(wǎng)絡(luò)中的數(shù)據(jù)包，也可以是從系統(tǒng)日志等其他途徑得到的信息。 圖9. 20 CIDF入侵檢測系統(tǒng)通用模型 9.8 入侵檢測技術(shù) 9.8.2 入侵檢測系統(tǒng)的分類 根據(jù)不同的分類標(biāo)準(zhǔn)，可以從下面幾個角度對入侵檢測系統(tǒng)進(jìn)行分類：(1)根據(jù)檢測方法可劃分為：基于行為的入侵檢測系統(tǒng)(也稱異常檢測)和基于入侵知識的入侵檢測系統(tǒng)(也稱濫用檢測)和混合檢測。異常性檢測利用被監(jiān)控系統(tǒng)正常行為的信息作為檢測系統(tǒng)中入侵、異常活動的依據(jù)；濫用檢測是根據(jù)已知入侵攻擊的信息(知識、模式等)來檢測系統(tǒng)中的入侵和攻擊；混合檢測是將異常性檢測和濫用檢測相結(jié)合的一種方式

18、。(2)根據(jù)數(shù)據(jù)來源的不同可分為：基于主機的入侵檢測系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。前者適用于主機環(huán)境，而后者適用于網(wǎng)絡(luò)環(huán)境。(3)根據(jù)入侵檢測系統(tǒng)的分析數(shù)據(jù)來源劃分：入侵檢測系統(tǒng)的分析數(shù)據(jù)可以是主機系統(tǒng)的審計跡(系統(tǒng)日志)、網(wǎng)絡(luò)數(shù)據(jù)報、應(yīng)用程序的日志以及其他入侵檢測系統(tǒng)的報警信息等。據(jù)此可分為基于不同分析數(shù)據(jù)源的入侵檢測系統(tǒng)。 9.8 入侵檢測技術(shù) 9.8.2 入侵檢測系統(tǒng)的分類 (4)根據(jù)檢測系統(tǒng)對入侵攻擊的響應(yīng)方式可分為：主動的入侵檢測系統(tǒng)(又稱為實時入侵檢測系統(tǒng))和被動的入侵檢測系統(tǒng)(又稱為事后入侵檢測系統(tǒng))。主動的入侵檢測系統(tǒng)在檢測出入侵后，可自動地對目標(biāo)系統(tǒng)中的漏洞采取修補，強制可疑

19、用戶(可能的入侵者)退出系統(tǒng)以及關(guān)閉相關(guān)服務(wù)等對策和響應(yīng)措施；而被動的入侵檢測系統(tǒng)在檢測出對系統(tǒng)的入侵攻擊后只是產(chǎn)生報警信息通知系統(tǒng)安全管理員，至于之后的處理工作由系統(tǒng)管理員完成。 一、基于主機和基于網(wǎng)絡(luò)的IDS 根據(jù)數(shù)據(jù)來源的不同，入侵檢測系統(tǒng)常被分為基于主機(Host-based)的入侵檢測系統(tǒng)和基于網(wǎng)絡(luò)(Network-based)的入侵檢測系統(tǒng)。基于主機的入侵檢測系統(tǒng)的數(shù)據(jù)源來自主機，如日志文件、審計記錄等。基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的數(shù)據(jù)源是網(wǎng)絡(luò)流量。 (1)基于主機的入侵檢測系統(tǒng)(Host-Based IDS) 基于主機的入侵檢測系統(tǒng)的檢測范圍小，只限于一臺主機，主要用于保護(hù)運行關(guān)鍵應(yīng)

20、用的服務(wù)器。它通過監(jiān)視與分析主機的審計記錄和日志文件來檢測入侵。 9.8 入侵檢測技術(shù) 9.8.2 入侵檢測系統(tǒng)的分類 (2)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)(Network-Based IDS) 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)主要用于實時監(jiān)控網(wǎng)絡(luò)關(guān)鍵路徑的信息，一般利用一個網(wǎng)絡(luò)適配器來實時監(jiān)視和分析所有通過的數(shù)據(jù)包，一旦檢測到攻擊，應(yīng)答模塊通過通知、報警以及中斷連接等方式來對攻擊作出反應(yīng) 。(3)兩種入侵檢測系統(tǒng)的優(yōu)缺點 ：基于主機的入侵檢測系統(tǒng)使用系統(tǒng)日志作為檢測依據(jù)，因此它們在確定攻擊是否已經(jīng)取得成功時與基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)相比具有更大的準(zhǔn)確性：它可以精確地判斷入侵事件，并可對入侵事件立即進(jìn)行反應(yīng)，它還

21、可針對不同操作系統(tǒng)的特點判斷應(yīng)用層的入侵事件，不需要額外的硬件。其缺點是會占用主機資源，而且缺乏跨平臺支持，可移植性差。基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的主要優(yōu)點有：可移植性強，不依賴主機的操作系統(tǒng)作為檢測資源，能實時檢測和應(yīng)答，能夠更快地作出反應(yīng)，監(jiān)視力度更細(xì)致；攻擊者轉(zhuǎn)移證據(jù)很困難，能夠檢測未成功的攻擊企圖。但是，它只能監(jiān)視經(jīng)過本網(wǎng)段的活動，精確度不高；在高層信息的獲取上更為困難；在實現(xiàn)技術(shù)上更為復(fù)雜等。 9.8 入侵檢測技術(shù) 9.8.2 入侵檢測系統(tǒng)的分類 綜上所述，基于主機的模型與基于網(wǎng)絡(luò)的模型具有互補性。基于主機的模型能夠更加精確地監(jiān)視系統(tǒng)中的各種活動；而基于網(wǎng)絡(luò)的模型能夠客觀地反映網(wǎng)絡(luò)活動，

22、特別是能夠監(jiān)視到系統(tǒng)審計，人們完全可以使用基于網(wǎng)絡(luò)的IDS提供早期報警，而使用基于主機的IDS來驗證攻擊是否取得成功。一個真正有效的入侵檢測系統(tǒng)應(yīng)該是基于主機和基于網(wǎng)絡(luò)的混合。 9.8 入侵檢測技術(shù) 9.8.2 入侵檢測系統(tǒng)的分類 四個基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)分別放在網(wǎng)絡(luò)的不同位置，由于位置不同，它們的檢測范圍也不一樣。其中IDS1、IDS2和IDS3為基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)，IDS4為基于主機的入侵檢測系統(tǒng)。1）IDSl：第一個入侵檢測系統(tǒng)放在防火墻的外面，它不但能檢測對內(nèi)部網(wǎng)的攻擊，還能檢測對防火墻的攻擊。在這個位置，入侵檢測系統(tǒng)看不到來自內(nèi)部網(wǎng)的攻擊。2）IDS2：第二個入侵檢測系統(tǒng)處理防

23、火墻轉(zhuǎn)發(fā)的數(shù)據(jù)包。防火墻在轉(zhuǎn)發(fā)數(shù)據(jù)包之前，被送到入侵檢測系統(tǒng)處理，然后再轉(zhuǎn)發(fā)，這樣會影響防火墻的轉(zhuǎn)發(fā)功能。3）IDS3：第三個入侵檢測系統(tǒng)只檢測成功地穿過防火墻的數(shù)據(jù)包。這個位置是基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)常放的位置。4）IDS4：第四個入侵檢測系統(tǒng)放在內(nèi)部網(wǎng)的主機內(nèi)部，它不僅能檢測出來自外部的攻擊，也能檢測來自內(nèi)部網(wǎng)的攻擊。 9.8 入侵檢測技術(shù) 9.8.2 入侵檢測系統(tǒng)的分類 二、基于事件分析的IDS傳統(tǒng)的觀點根據(jù)入侵行為的屬性將其分為異常和濫用兩種，然后分別對其建立異常檢測模型和濫用檢測模型。近幾年來又涌現(xiàn)出了一些新的檢測方法，它們產(chǎn)生的模型對異常和濫用都適用，如人工免疫方法、遺傳算法、數(shù)據(jù)

24、挖掘等。根據(jù)系統(tǒng)所采用的檢測模型，將IDS分為三類： (1)基于行為的入侵檢測系統(tǒng) 基于行為的入侵檢測系統(tǒng)也稱為異常檢測。在異常檢測過程中，觀察到的不是已知的入侵行為，而是所研究的通信過程中的異常現(xiàn)象，它通過檢測系統(tǒng)的行為或使用情況的變化來完成。在建立該模型之前，首先必須建立統(tǒng)計概率模型，明確所觀察對象的正常情況，然后決定在何種程度上將一個行為標(biāo)為“異常”，并如何做出具體決策。異常檢測可以通過以下系統(tǒng)實現(xiàn)。自學(xué)習(xí)系統(tǒng)：自學(xué)習(xí)系統(tǒng)通過學(xué)習(xí)事例構(gòu)建正常行為模型。編程系統(tǒng)：該類系統(tǒng)需要通過編程學(xué)習(xí)如何檢測確定的異常事件，從而讓用戶知道什么樣的異常行為足以破壞系統(tǒng)的安全。 9.8 入侵檢測技術(shù) 9.8

25、.2 入侵檢測系統(tǒng)的分類 (2)基于入侵知識的入侵檢測系統(tǒng) 基于入侵知識的入侵檢測系統(tǒng)也稱為濫用檢測。在這種檢測過程中，入侵過程模型及它在被觀察系統(tǒng)中留下的蹤跡是決策的基礎(chǔ)。所以，可事先定義某些特征的行為是非法的，然后將觀察對象與之進(jìn)行比較以做出判別。濫用檢測基于已知的系統(tǒng)缺陷和入侵模式，故又稱特征檢測。它能夠準(zhǔn)確地檢測到符合某些特征的攻擊，但是因過度依賴事先定義好的安全策略，所以無法檢測系統(tǒng)未知的攻擊行為，從而產(chǎn)生漏警。濫用檢測通過對確知決策規(guī)則編程實現(xiàn)可以分為以下四種：狀態(tài)建模：它將入侵行為表示成許多個不同的狀態(tài)。如果在觀察某個可疑行為期間，所有狀態(tài)都存在，則判定為惡意入侵。 專家系統(tǒng)：它

26、可以在給定入侵行為描述規(guī)則的情況下，對系統(tǒng)的安全狀態(tài)進(jìn)行推理。 9.8 入侵檢測技術(shù) 9.8.2 入侵檢測系統(tǒng)的分類 串匹配：它通過對系統(tǒng)之間傳輸?shù)幕蛳到y(tǒng)自身產(chǎn)生的文本進(jìn)行子串匹配實現(xiàn)。該方法靈活性較差，但易于理解，目前有很多高效的算法，其執(zhí)行速度很快。基于簡單規(guī)則：類似于專家系統(tǒng)，但相對簡單一些，故執(zhí)行速度快。(3)混合檢測 混合檢測近幾年來才受到人們的重視。這關(guān)檢測在做出決策之前，既分析系統(tǒng)的正常行為，同時還觀察可疑的入侵行為，因而也有人稱其為“啟發(fā)式特征檢測”。 9.8 入侵檢測技術(shù) 9.8.3 入侵檢測系統(tǒng)的局限性 目前，評價入侵檢測系統(tǒng)的性能指標(biāo)主要有以下幾項： 1)準(zhǔn)確性 準(zhǔn)確性指

27、入侵檢測系統(tǒng)能正確地檢測出系統(tǒng)入侵活動。 2)處理性能 處理性能指個入侵檢測系統(tǒng)處理系統(tǒng)審計數(shù)據(jù)的速度。 3)完備性 完備性指入侵檢測系統(tǒng)能夠檢測出所有攻擊行為的能力。 4)容錯性 入侵檢測系統(tǒng)自身必須能夠抵御對它自身的攻擊，特別是拒絕服務(wù)攻擊。 5)及時性 及時性要求入侵檢測系統(tǒng)必須盡快地分析數(shù)據(jù)并把分析結(jié)果傳播出去，以使系統(tǒng)安全管理者能夠在入侵攻擊尚未造成更大危害以前做出反應(yīng)，以阻止攻擊者顛覆系統(tǒng)的企圖。 從性能上講，入侵檢測系統(tǒng)面臨的一個矛盾就是系統(tǒng)性能與功能的折衷，即對數(shù)據(jù)進(jìn)行全面復(fù)雜的檢驗構(gòu)成了對系統(tǒng)實時性要求很大的挑戰(zhàn)。從技術(shù)上講，入侵檢測系統(tǒng)存在一些難以克服的問題，主要表現(xiàn)在以下

28、幾個方面： 9.8 入侵檢測技術(shù) 9.8.3 入侵檢測系統(tǒng)的局限性 如何識別“大規(guī)模的組合式、分布式的入侵攻擊”目前還沒有較好的方法和成熟的解決方案。 (2)網(wǎng)絡(luò)入侵檢測系統(tǒng)通過匹配網(wǎng)絡(luò)數(shù)據(jù)包發(fā)現(xiàn)攻擊行為，入侵檢測系統(tǒng)往往假設(shè)攻擊信息是明文傳輸?shù)模虼藢π畔⒌母淖兓蛑匦戮幋a就可能騙過入侵檢測系統(tǒng)的檢測，因此字符串匹配的方法對于加密過的數(shù)據(jù)包就顯得無能為力。 (3)網(wǎng)絡(luò)設(shè)備越來越復(fù)雜、越來越多樣化，這就要求入侵檢測系統(tǒng)能有所定制，以適應(yīng)更廣泛的環(huán)境的要求。 (4)對入侵檢測系統(tǒng)的評價還沒有客觀的標(biāo)準(zhǔn)，標(biāo)準(zhǔn)的不統(tǒng)一使得入侵檢測系統(tǒng)之間不易互聯(lián)。 (5)采用不恰當(dāng)?shù)淖詣臃磻?yīng)同樣會給入侵檢測系統(tǒng)造成風(fēng)

29、險。 (6)對IDS自身的攻擊。 (7)隨著網(wǎng)絡(luò)的帶寬的不斷增加，如何開發(fā)基于高速網(wǎng)絡(luò)的檢測器(事件分析器)，仍然存在很多技術(shù)上的困難。 9.9虛擬專用網(wǎng)(VPN) 虛擬專用網(wǎng)VPN(Virtual Private Network)，是一門新興網(wǎng)絡(luò)技術(shù)，被定義為通過一個公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。VPN代表了當(dāng)今網(wǎng)絡(luò)發(fā)展的最新趨勢。虛擬專用網(wǎng)是一種在現(xiàn)存的物理網(wǎng)絡(luò)(如Internet)上建立的一種專用邏輯網(wǎng)絡(luò)。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。 IETF（Internet工程任務(wù)組）草案理解基于IP的VPN為：使用IP機制仿真出

30、一個私有的廣域網(wǎng)，是通過私有的隧道技術(shù)在公共數(shù)據(jù)網(wǎng)絡(luò)上仿真一條點到點的專線技術(shù)。所謂虛擬，是指用戶不再需要擁有實際的長途數(shù)據(jù)線路，而是使用Internet公眾數(shù)據(jù)網(wǎng)絡(luò)的長途數(shù)據(jù)線路。所謂專用網(wǎng)絡(luò)，是指用戶可以為自己制定一個最符合自己需求的網(wǎng)絡(luò)。 IPVPN是指利用現(xiàn)有的不安全的公共IP網(wǎng)絡(luò)環(huán)境，以IP為主要通訊協(xié)議，構(gòu)建具有安全性、獨占性，并自成一體的虛擬網(wǎng)絡(luò)。 IPVPN的關(guān)鍵問題是構(gòu)成高效、安全、可靠的隧道(Tunneling)，以及基于隧道的數(shù)據(jù)封裝和傳輸技術(shù)。 9.9虛擬專用網(wǎng)(VPN) IPVPN技術(shù)以基于安全協(xié)議的IP隧道為基礎(chǔ)，實現(xiàn)網(wǎng)絡(luò)的互連，用訪問控制技術(shù)來進(jìn)一步增強網(wǎng)絡(luò)的安全

31、性，密鑰的產(chǎn)生、分發(fā)及管理、虛擬網(wǎng)絡(luò)管理等。 圖9.22 IPVPN及其IP隧道 9.9虛擬專用網(wǎng)(VPN) 發(fā)送與接收端可以是LAN到LAN，也可以是遠(yuǎn)程移動用戶(Mobile User)到LAN。IPVPN設(shè)備是IP安全隧道的開啟器和終止器，它主要分為以下3類：純軟件IPVPN；專用硬件平臺的IPVPN；輔助硬件平臺與軟件相結(jié)合的IPVPN。數(shù)據(jù)從發(fā)送端到達(dá)接收端的過程：（1）發(fā)送過程 ：訪問控制。一個好的IP-VPN設(shè)備應(yīng)該融入類似防火墻的訪問控制功能。消息加密和認(rèn)證。 IP封裝。 進(jìn)入隧道在公用網(wǎng)上傳送。 （2）接收過程 接收過程與發(fā)送過程相對應(yīng)，接收方首先進(jìn)行消息的拆封，再經(jīng)過認(rèn)證、

32、解密，得到明文，最后由訪問控制模塊決定該消息是否符合安全的存取控制規(guī)定，是否能進(jìn)入指定的LAN或主機。 網(wǎng)絡(luò)應(yīng)用技術(shù)的發(fā)展 寬帶綜合業(yè)務(wù)數(shù)字網(wǎng)，社區(qū)寬帶網(wǎng)（RBB），無線通信網(wǎng)絡(luò)，網(wǎng)絡(luò)技術(shù)的發(fā)展趨勢。 9.10 關(guān)鍵詞 假冒 counterfeit 竊聽 wiretapping 非授權(quán)接入 not accredit attach 篡改 modification 抵賴 deny 重放攻擊 replay attacks偽造 fabrication 認(rèn)證authentication拒絕服務(wù) reject service 病毒 virus 特洛伊木馬 Trojan horse 防火墻firewall訪問控制控制列表a