┊┊┊┊┊┊┊┊┊┊┊┊┊裝┊┊┊┊┊訂┊┊┊┊┊線┊┊┊┊┊┊┊┊┊┊┊┊┊共37頁第37頁引言 計算機網絡技術的發展使得信息的傳遞和處理突破了時間和地域的限制，互連網的爆炸性發展更進一步為人類的信息交互、科學、技術、文化、教育、生產的發展提供了極大的便利，信息網絡全球化的發展已經成為不可抗拒的歷史潮流。 隨著Internet和Intranet技術在各行各業的廣泛應用,網絡服務作為一種全新的服務方式在各個行業和部門受到青睞和重視,不管是提供對內的網絡服務還是對外的網絡服務，網絡服務作為全新的服務模式帶給我們巨大的實惠和便利。然而，與網絡服務相關的安全事件逐年上升，人們在得益于網絡服務所帶來的巨大機遇和便利的同時，也不得不面對信息安全問題的嚴峻考驗,作為提供網絡服務的專用網絡服務器的安全問題已經成為嚴重影響網絡發展、特別是商業應用的主要問題，并直接威脅著國家安全和社會的穩定。 針對專用網絡服務器的安全問題我們提出了專用網絡服務器的預警及報警系統，通過短信技術應用于入侵檢測系統的行為響應單元的入侵檢測系統，為在遭受網絡入侵和攻擊的專用網絡服務器提供快速和及時的預警與報警，使安全管理員能夠在入侵攻擊尚未造成更大的危害之前得到警報并做出反應，阻止攻擊者顛覆被入侵系統的企圖，將系統損失降低到最小。

1概要介紹1.1背景計算機網絡技術的發展使得信息的傳遞和處理突破了時間和地域的限制，互連網的爆炸性發展更進一步為人類的信息交互、科學、技術、文化、教育、生產的發展提供了極大的便利，信息網絡全球化的發展已經成為不可抗拒的歷史潮流。然而，就在計算機網絡給人們的生活，工作帶來巨大便利的同時，其所帶來的安全問題同樣突出。由于系統的復雜性，協議設計的缺陷、終端分布的不均勻性、網絡的開放性、迷漫性和互連互通性等特征，致使網絡容易遭到黑客、惡意軟件的攻擊，國家、企業和個人的信息系統受到了極大的安全威脅。隨著信息技術、計算機技術的飛速發展與廣泛應用，人類已經進入了一個空前繁榮的信息化時代。大范圍內的網絡服務應用已經廣泛深入到國防、電信、銀行、金融、政府、交通、電子商務、能源以及大眾商業等各個領域。作為提供對內或對外服務的網絡服務器，在為各行各業提供著大量的網絡服務，他囊括了社會的各個方面：航空航天、軍品科研、導航系統、電信業務、客戶服務、電子商務、電子政務、Web服務、FTP服務、Mail服務、內部OA服務等等。不管是在關系著國家安全和社會穩定的國防、核工業、航空航天系統，政府、交通、通信、能源行業，還是涉及商業和民用的大眾商業，網絡服務作為一種突破時間和地域限制的服務，廣泛和深入地應用在社會的方方面面，電子時代帶給我們巨大的實惠和便利。但是，與此同時，與服務安全相關事件逐年上升，人們在得益于信息革命所帶來的巨大機遇和便利的同時，也不得不面對信息安全問題的嚴峻考驗，安全問題已經成為嚴重影響網絡發展、特別是商業應用的主要問題，并直接威脅著國家安全和社會的穩定。服務器的安全引起社會各個階層和行業的強烈關注和重視，針對服務器的安全實施了一系列的安全解決方案。服務器的安全問題有操作系統安全，還包括硬件安全、應用安全和數據安全等。作為存儲數據、處理需求的核心，服務器安全涉及太多環節。下面是來自美國CSI/FBI在2003年和2004年所作的一個關于計算機犯罪和安全的調查。數據分別來自美國251個和269個計算機安全從業人員的反饋。這些人員分布在美國公司、政府機構、金融機構、醫藥機構以及大學。圖1-1和圖1-2說明了由這些反饋者估計的損失。

圖1-1CSI/FBI2003ComputerCrimeandSecuritySurvey圖1-22004CSI/FBIComputerCrimeandSecuritySurvey從上面的圖表顯示，由于安全問題導致系統拒絕服務的損失遙遙領先。我們可以想象由于服務器的拒絕服務，帶給國家、企業和個人多大的損失。網絡服務器常遭受的網絡安全問題包括惡意的攻擊行為和惡意的入侵行為。攻擊行為，如拒絕服務攻擊，網絡病毒等等，這些行為旨在消耗服務器資源，影響服務器的正常運作，甚至服務器所在網絡的癱瘓；入侵行為，這種行為更是會導致服務器敏感信息泄露，入侵者更是可以為所欲為，肆意破壞服務器。如何保證專用網絡服務器的安全問題，現在已經有很多技術應用在網絡服務器的安全領域，防火墻、認證技術、漏洞檢測評估、災難恢復、反病毒軟件、VPN、安全路由、安全操作系統、安全Web、加密等，這一系列技術和產品，為保護信息安全，做出了很大的貢獻。但盡管如此，信息安全問題仍是一年比一年嚴重。對于分布性越來越高的網絡應用，攻擊是越來越無法避免的，并且會隨著防護技術的不斷改進，攻擊也愈加尖銳。另一方面，從技術實現來說，世界上還沒有一個系統能夠強悍到可以保證沒有漏洞可以被用于攻擊的地步。 入侵檢測是最近十余年發展起來的一種動態的監控、預防或抵御系統入侵行為的安全機制。主要通過監控網絡、系統的狀態、行為以及系統的使用情況，來檢測系統用戶的越權使用以及系統外部的入侵者利用系統的安全缺陷對系統進行入侵的企圖。和傳統的預防性安全機制相比，入侵檢測是一種事后處理方案，具有智能監控、實時探測、動態響應、易于配置等特點。入侵檢測技術的引入，使得網絡、系統的安全性得到進一步的提高。入侵檢測系統是對傳統計算機安全技術的一種補充，它的開發應用增大了網絡與系統安全的保護的縱深發展，成為目前動態安全工具的主要研究和開發的方向。通過將入侵檢測技術應用于專用網絡服務器的安全領域，將帶給網絡服務器新的活力。 對于入侵響應系統來說，響應的及時性尤為重要。Cohen通過模擬的方法研究了響應的時間與攻擊者成功概率之間的關系。他的研究結果顯示：如果熟練的攻擊者被發現后仍留給他們10小時的時間，他們將有80%成功的機會；如果留給他們20小時的時間，則成功的機會達到90%;如果留給他們30小時的時間，則攻擊者幾乎很少失敗。 因此，在發現入侵行為時，我們要做到及時響應才能最大限度降低損失。在檢測到入侵行為發生時，第一時間通知網絡安全管理員，然后由管理員做出及時響應。要完成及時通知安全管理員并允許管理員立即采取及時響應這一過程，可以采用很多方式，本文認為利用短信技術實現快速報警無疑是一個非常理想的方式。隨著移動通信網絡的不斷普及，短信技術作為一種方便實用的移動通信方式，已經廣泛應用到各種領域之中，如：證券服務、銀行服務、公共信息、移動商務、客戶服務等。與Internet的服務相比，短信服務更加靈活方便、安全可靠。短信技術與入侵響應技術相結合，將很好的解決入侵檢測系統響應的及時性問題，使安全管理員能夠在入侵攻擊尚未造成更大的危害之前得到警報并做出反應，阻止攻擊者顛覆被入侵系統的企圖。

1.2入侵檢測技術(1)入侵檢測系統的概念 “入侵”主要指對系統資源的非授權使用，它可以造成系統數據的丟失和破壞，甚至會造成系統拒絕對合法用戶服務的后果。“入侵檢測”的目標就是通過檢查操作系統的審計數據或網絡數據包信息來檢測系統中違背安全策略或危及系統安全的行為或活動，從而保護信息系統的資源不受拒絕服務攻擊、防止系統數據的泄漏、篡改和破壞。入侵檢測的研究，涉及到計算機、網絡以及安全等多個領域的知識。目前，最基本的入侵檢測方法是基于已知入侵行為模式、基于通信業務分析以及基于系統狀態(或行為)統計異常性的檢測。 入侵檢測是最近十余年發展起來的一種動態的監控、預防或抵御系統入侵行為的安全機制。主要通過監控網絡、系統的狀態、行為以及系統的使用情況，來檢測系統用戶的越權使用以及系統外部的入侵者利用系統的安全缺陷對系統進行入侵的企圖。和傳統的預防性安全機制相比，入侵檢測是一種事后處理方案，具有智能監控、實時探測、動態響應、易于配置等特點。入侵檢測技術的引入，使得網絡、系統的安全性得到進一步的提高。入侵檢測系統是對傳統計算機安全技術的一種補充，它的開發應用增大了網絡與系統安全的保護的縱深發展，成為目前動態安全工具的主要研究和開發的方向。 入侵檢測是檢測計算機網絡和系統以發現違反安全策略事件的過程。DARPA(美國國防部高級計劃局)提出了CIDF(公共入侵檢測框架)。 CIDF根據IDS系統的通用需求以及現有的IDS系統的結構，闡述了一個入侵檢測系統的通用模型，如(圖1-3)，將入侵檢測系統分為四個基本組件：事件產生器、事件分析器、事件數據庫、行為響應單元(簡稱響應單元)。CIDF將需要分析的數據統稱為事件，它可以是網絡中的數據包，也可以是從系統日志等其他途徑得到的信息。行為響應單元行為響應單元事件分析器事件數據庫事件產生器來源于網絡上的數據包圖1-3通用入侵檢測系統框架①事件產生器入侵檢測的第一步就是信息收集，收集的主要內容包括整個計算機網絡中系統、網絡、數據及用戶活動的狀態和行為，這是由事件產生器來完成的。入侵檢測在很大程度上依賴于信息收集的可靠性、正確性和完備性。因此，要確保采集、報告這些信息的軟件工具的可靠性，即這些軟件本身應具有相當強的堅固性，能夠防止因被篡改而收集到錯誤的信息。否則，黑客對系統的修改可能使系統功能失常但看起來卻跟正常的系統一樣，也就喪失了入侵檢測的作用。②事件分析器事件分析器是入侵檢測系統的核心，它的效率高低直接決定了整個入侵檢測系統的性能。事件分析器可以是一個輪廓描述工具，統計性地檢查現在的事件是否可能與以前某個事件來自同一個時間序列;也可以是一個特征檢測工具，用于在一個事件序列中檢查是否有已知的誤用攻擊特征;此外，分析引擎還可以是一個相關器，觀察事件之間的關系，將有聯系的事件放到一起，以利于以后的進一步分析。③事件數據庫事件數據庫是存放各種中間和最終數據的地方的統稱，它可以是復雜的數據庫，也可以是最簡單的文本文件。考慮到數據的龐大性和復雜性，一般都采用成熟的數據庫產品來支持。事件數據庫的作用是充分發揮數據庫的長處，方便其它系統模塊對數據的添加、刪除、訪問、排序和分類等操作。④行為響應單元(響應單元)事件分析器對事件進行分析發現入侵跡象后，入侵檢測系統的下一步工作就是響應。行為響應可以多樣，如根據攻擊類型自動終止攻擊；終止可疑用戶的連接甚至所有用戶的連接；如果非法用戶已經獲得賬號，則將其禁止；重新配置防火墻更改其過濾規則，以防止此類攻擊的重現；向管理控制臺發出警告指出事件的發生；將事件的原始數據和分析結果記錄到日志文件中，并產生相應的報告，包括時間、源地址、目的地址和類型描述等重要信息；必要的時候根據需要實時跟蹤事件的進行；向安全管理人員發出提示性的警報；可以執行一個用戶自定義程序或者腳本等多種方式。(2)入侵檢測系統的分類①基于主機的入侵檢測系統(Host-BasedIDS)基于主機的入侵檢測系統主要用于保護運行關鍵應用的服務器。它通過監視與分析主機的審計記錄和日志文件來檢測入侵。日志文件可以根據系統管理員的設置，記錄用戶何時注冊、在何處注冊、要做什么以及系統調用、程序運行結果等與安全性有關的操作信息。其中的審計數據包括可查事件和可查信息。可查事件是指從安全角度應該注意的用戶行為。例如認證和授權機制的使用、對象的增加刪除、打印輸出等。可查信息是與特定的可查事件相關的實際數據，包括事件發生時間、產生事件的主體的唯一標識、事件的類型、事件成功與否等。通過從日志中查詢這些信息可以得到發生在系統上的不尋常和不期望活動的證據，這些證據可以指出有人正在入侵或已成功入侵了本系統。一旦發現這些文件發生任何變化，IDS將比較新的日志記錄與攻擊簽名以發現它們是否匹配。如果匹配的話，檢測系統就向管理員發出入侵報警并且采取相應的行動。通過查看日志文件，能夠發現成功的入侵或入侵企圖，并很快地啟動相應的應急響應程序。②基于網絡的入侵檢測系統(Network-BasedIDS)基于網絡的入侵檢測系統主要用于實時監控網絡關鍵路徑的信息，通過將適配器配置為混雜模式，偵聽網絡上的所有分組來采集數據，使用原始的網絡分組數據包作為進行攻擊分析的數據源，根據網絡流量、協議分析、簡單網絡管理協議信息等數據檢測入侵行為。通常將基于網絡的入侵檢測系統放置在防火墻或者網關后，旁路，并捕獲所有內傳和外傳的數據包，如(圖1-4)所示，并以此作為數據源來分析可能的入侵行為，一旦檢測到攻擊，響應模塊通過通知、報警以及中斷連接等方式來對攻擊做出反應。防火墻防火墻Internet 圖1-4基于網絡的入侵檢測系統一般來說，基于網絡的入侵檢測系統一般處于網絡邊緣的關鍵節點處，負責攔截在內部網絡和外部網絡之間流通的數據包，使用的主機是為其專門配置的；而基于主機的入侵檢測系統則只對系統所在的主機負責，而且其主機并非專門為其配置的。上述兩種入侵檢測系統各有自己的優缺點。基于網絡的入侵檢測系統的主要優點有：可移植性強，不依賴主機的操作系統作為檢測資源；實時檢測和應答，一旦發生惡意訪問或攻擊，基于網絡的IDS檢測可以隨時發現它們，因此能夠更快地做出反應，監視粒度更細致；攻擊者轉移證據很困難；能夠檢測未成功的攻擊企圖；成本低等。但是，與基于主機的入侵檢測系統相比，它只能監視經過本網段的活動，精確度不高；在高層信息的獲取上更為困難；在實現技術上更為復雜等。(3)根據事件分析的方式分類 根據入侵檢測系統對事件分析的不同方式可將入侵檢測系統分為異常入侵檢測、誤用入侵檢測和完整性分析三類。①異常入侵檢測系統(AnomalyIDS)異常入侵檢測系統也稱為基于統計行為的入侵檢測(Behavior-BasedIDS)。這種方法首先給系統對象(如用戶、文件、目錄和設備等)創建一個統計描述，統計正常使用時的一些測量屬性(如訪問次數、操作失敗次數和延時等)。測量屬性的平均值將被用來與網絡、系統的行為進行比較，任何觀察值在正常值范圍之外時，就認為有入侵發生。例如，統計分析可能標識一個不正常行為，因為它發現一個在晚八點至早六點不應登錄的賬戶卻在凌晨兩點試圖登錄。異常檢測的實現方法目前主要有統計學方法、預言模式的生成、神經網絡、序列匹配與學習等。②誤用入侵檢測系統(MisuseIDS)誤用入侵檢測系統又稱為基于規則/知識的入侵檢測系統(Knowledge-BasedIDS)，就是將收集到的信息與已知的網絡入侵和系統誤用模式數據庫進行比較，從而發現違背安全策略的行為。該過程可以很簡單(如通過字符串匹配以尋找一個簡單的條目或指令)，也可以很復雜(如利用正規的數學表達式來表示安全狀態的變化)。通過分析入侵過程的特征、條件、排列以及事件間關系，具體描述入侵行為的跡象，不僅對分析已經發生的入侵行為有幫助，而且對即將發生的入侵也有警戒作用。誤用的入侵檢測系統的實現方法主要有專家系統、鍵擊監控、基于模式、狀態轉換分析、模式匹配等。③完整性分析(IntegralityAnalyzing)入侵檢測系統此類系統主要關注某個文件或對象是否被更改，包括文件和目錄的內容及屬性。這樣分析方法在發現被更改的、被特洛伊化的應用程序方面特別有效。完整性分析利用強有力的加密機制，稱為消息摘要函數(例如MD5)，能識別哪怕是微小的變化。異常分析方式可以檢測到未知的和更為復雜的入侵，缺點是漏報、誤報率高，一般具有自適應功能，入侵者可以逐漸改變自己的行為模式來逃避檢測，不適應用戶正常行為的突然改變，而且在實際系統中，統計算法的計算量龐大，效率很低，統計點的選取和參考庫的建立也比較困難。與之相對應，誤用分析的準確率和效率都非常高，只需收集相關的數據集合，顯著減少系統負擔，且技術已相當成熟；但它只能檢測模式庫中已有的類型的攻擊，不能檢測到從未出現過的攻擊手段，隨著新攻擊類型的出現，模式庫需要不斷更新，而在其攻擊模式添加到模式庫以前，新類型的攻擊就可能會對系統造成很大的危害。而完整性分析的優點是不管前兩種方法能否發現入侵，只要是成功的攻擊導致了文件或其他對象的任何改變，它都能夠發現；缺點是一般以批處理方式實現，不用于實時響應。盡管如此，完整性檢測方法還應該是網絡安全產品的必要手段之一。所以，入侵檢測系統只有同時使用這三種入侵檢測技術，才能避免各自的不足。而且，這三種方法通常與人工智能相結合，以使入侵檢測系統具有自學習能力。其中前兩種方法用于實時的入侵檢測，第三種則用于事后分析。優秀的IDS應該以模式發現技術為主，并結合異常發現技術，同時也加入完整性分析技術進行補充共同來完成對入侵事件的分析。(4)入侵檢測系統的行為響應入侵檢測系統再檢測出入侵事件之后要對其進行入侵響應，入侵檢測系統中完成響應行為邏輯部件就是行為響應單元，其響應過程經過不斷研究改進，可以定義為：防護、初步響應、抑制、根除、恢復、跟蹤六個階段。①防護即防御。依據信息系統安全模型，從防護、檢測、響應到再防護，這個模型已經不是一個平面的圓環，而應該是一個螺旋上升的狀態；防護可以是事前的預防措施，同時也可以是事后的響應措施，即針對所發生的安全事件的進一步的防護。再防護可以看作是一種響應。安全沒有絕對，即使事前安全防護工作做得再好，也可能被入侵。防護工作也不可能一步到位，安全防護是一個不斷完善的過程。一旦系統遭受入侵，那么說明系統必然有其廣義上的脆弱性存在，這時響應工作就要求迅速填補漏洞，這樣的工作可以看作是響應，同時也是再防護。再防護的工作。②初步響應包括發現入侵行為之后的一些初步地響應動作，如激活更詳細的日志審計，激活更詳細的入侵檢測，以及估計事件范圍、危害程度、潛在的危害度，收集事件相關信息，并在此基礎上產生事件報告。安全事件一旦發生之后要考慮應該采取的行動，最好能夠在事前對可能發生的事件有所預案，盡最大可能將突發安全事件的處理從一種非程序化的決策過程轉變到一種程序化的決策過程中來。③抑制抑制的目的是限制攻擊的范圍，同時也就限制了潛在的損失與破壞。抑制不是應急響應的根本解決之道，根本的問題在于根除與恢復。但是抑制措施不可輕視，因為太多的安全事件可能迅速失控。近年來的許多蠕蟲事件顯示事件從個別點迅速擴散到整個網絡所需的時間越來越短。這就說明在事件發生之初，及時采取抑制措施，盡最大可能將事件限制在一個較小的網絡范圍內的重要性。④根除在事件被有效的抑制以后，就應該找出事件的根源并徹底根除。一旦有安全事件發生，就說明系統有脆弱性存在，而根除的目的就在于找到導致事件發生的脆弱性所在，并且彌補這個缺陷，從而在更高一層上加強系統防護。根除的難點不在于如何彌補，而在于如何迅速找到導致事件的脆弱性所在。因為有時候事件發生了，但是很難馬上確定到底是哪里出了問題，使得入侵者能夠進入系統。如果導致事件的脆弱性確定了，那相應的補救措施就很明確了。⑤恢復恢復的目的是把所有被攻擊的系統和網絡設備徹底的還原到他們正常的任務狀態。如何恢復，需要根據系統受影響的程度或者系統被攻擊后導致的結果來決定。安全事件可能使得系統的安全性(包括保密性，完整性，可用性等)受到破壞，那恢復就是要重新保證系統的可用性、完整性、保密性等。在恢復階段，我們需要去掉用作短期抑制措施的所有中間防御措施。包括為了遏制事件所采取的一些措施，還有響應初期的一些動作，比如激活了更為詳細的日志審計等，這時就應該恢復為正常的日志審計量。⑥跟蹤跟蹤就是在事件發生并應急處理之后，再回過頭來對整個事件進行分析總結。通過事后的分析，總結經驗教訓，從而進一步提高系統防護水平，進一步完善響應預案。事后的總結，有助于以后再次應對突發的安全事件，而且跟蹤信息的共享可以為其他響應組織、人員提供幫助。1.3短信技術(1)短信技術概述隨著移動通信的迅速普及，移動通信的應用范圍也越來越廣泛。除了基本的語音服務外，短信技術作為一種方便實用的移動通信方式，也得到了廣泛的應用。手機用戶使用短信的意識正在逐步形成,基于短信技術的服務越來越多，比如證券服務、銀行服務、公共信息、移動商務、客戶服務、彩票購買等。短信服務以其特有的優點正在吸引著廣大手機用戶，這些優點主要體現在以下幾個方面：①與基于固定電話的服務相比，短信服務更加靈活方便、安全可靠。基于固定電話的服務限制了用戶的地點，缺乏靈活性。此外，現有電話設備的安全問題還沒有解決。②短信服務的運營成本比固定電話服務的運營成本低，而且服務效率高。③與基于因特網的服務相比，短信服務更加靈活方便安全可靠。同固定電話服務一樣，基于因特網的服務同樣因為限制了用戶使用服務的地點而缺乏靈活性。此外，當前，因特網上的客戶端比服務器更容易受到黑客攻擊。由于因特網的開放性，如何鑒別下載的應用程序與控件的安全性，如何防止惡意網站對客戶端的攻擊，已成為因特網的重要安全問題。現在一些專家正在研制安全計算機，對于手機用戶來說，手機就是一種很好的計算機,SIM卡特有的安全機制為用戶提供了絕好的安全保護。短信服務的優點正在被手機用戶以及服務提供商所認同。隨著手機用戶使用短信服務意識的不斷增強，特別是手機用戶量的快速增長，只要服務提供商能夠充分重視短信服務的上述優點，提供實用安全的服務，短信必將為廣大手機用戶的工作生活提供更加安全、方便、快捷的服務。(2)短信技術的發展從短信業務的發展來看，短信信息服務的發展經歷了下述兩個時期：第一階段，以SMSC(ShortMessageServiceCenter)短信中心為主要信息提供的時期。在此階段，短信中心是唯一的信息提供者及數據傳輸通道，造成信息量少，并且各個短信中心的信息來源不一致。這一階段是短信服務的獨立發展時期。第二階段，以互聯網上的信息作為短信的主要信息來源，由互聯網上的服務提供商直接與各SMSC相溝通，建立信息交換的接口。其特點是，由信息極其豐富的SP(ServiceProvider)服務提供商作為信息的提供者，彌補了原來SMSC的不足。這一階段是短信業務的急劇擴展時期。目前短信業務正處在發展的第二階段，其主要的業務特征模式就是將互聯網上豐富的應用通過手機的短消息方式傳遞給用戶。這一發展模式，將傳統的信息提供與信息服務的合二為一徹底分離，體現了一種傳統業務與互聯網相結合的發展模式，同時也為互聯網業務擴展到移動網絡提供了基礎條件。在短信服務應用系統中，應用服務器往往安置在短信業務的提供者SP一端，用戶手機與應用服務器之間需要通過移動電話網絡以及因特網才能建立連接。SMG(ShortMessageGateway)短信網關是連接移動電話網絡與因特網的橋梁。從(圖1-5)可以看出，當手機用戶需要與應用服務器通信，進行某種業務時，手機用戶通過移動電話網絡將業務請求發送到運營商的SMSC(短信中心)，SMSC(短信中心)將手機用戶的業務請求發送給SMG(短信網關)，SMG(短信網關)負責將用戶的業務請求通過因特網發送給應用服務器。應用服務器收到手機用戶的業務請求后，進行相應的業務處理，形成業務處理結果。業務處理結果首先被應用服務器通過因特網發送給SMG，SMG隨后將業務處理結果發送給SMSC，由SMSC將業務處理結果經過移動電話網絡發送到用戶手機。目前，SP與SMG之間短信網關接入主要有聯通的SGIP協議和移動的CMPP協議，SGIP和CMPP都定義了MO(由手機用戶提交的短消息)和MT(由手機用戶接收的短消息)方法，SP可以發送到短信網關,同時短信也可以從短信網關發送到SP。另外也提供發送狀態報告，SP發送時可以指定需要此短信的報告。兩個協議中SP與短信網關的連接都是基于請求響應模式，雙方互為客戶/服務器，客戶發出請求,服務器返回對這個請求的響應。SGIP與短信網關有兩種連接方式、HTTP連接和TCP連接，HTTP連接就是使用HTTP協議發送短信，TCP連接就是向短信網關發送TCP包，CMPP只有TCP連接但是它定義了長連接和短連接方式，短連接就是一次連接只進行一個請求-響應操作，操作完成后斷開連接,下次操作再建立連接。長連接則是一個連接中可以進行多次請求-響應操作。SGIP的TCP連接和CMPP中的長連接使用的是流水線的形式，也就是可以一連發出好多個請求，然后再等待它們所有的響應，如果某個響應超過一定時間沒有收到圖1-5短信服務應用的體系結構那么由重發機制進行重發。接下來本文以聯通的SGIP協議為例進行介紹短信業務的工作原理。1.3本文的內容網絡服務器入侵和攻擊行為具備一定的復雜性和不確定性，并且各種網絡攻擊手段層出不窮，更新很快。目前，各種入侵檢測系統都無法實現及時準確地檢測出所有已知和未知的攻擊并且根據網絡情況對所有攻擊做出最恰當的響應行為。因此，及時報警，可使安全管理員能夠在入侵攻擊尚未造成更大危害前得到警報并做出反應。就此問題，本文提出了專用網絡服務器的預警及報警系統，將短信技術與入侵檢測技術相結合，為專用網絡服務器提供及時快速的預警和報警，希望此系統切實能提高網絡服務器的安全水平。根據需求我們搭建了專用網絡服務器的預警及報警系統的運行環境，在網絡環境里，我們部署了snort,acid，并在交換機上配置端口鏡像，為該系統的運行提供必要的運行環境，其中我們在當前比較流行的Windows和Linux操作系統下實現了snort和acid的部署，使我們的系統可以跨越平臺使用和操作。對專用網絡服務器的預警及報警系統的設計、分析、和實現，我們始終采用模塊化的方法完成，將整個系統的功能分為幾個功能相對獨立的模塊來實現，各模塊根據具體的情況，還劃分了子模塊，通過模塊的設計發，盡量減少模塊之間的關聯程度，減少程序設計的復雜度和減少工程的復雜度。具體見詳細設計與實現。在該系統的設計和實現過程中，我的工作包括：環境的搭建，總體實現編程，代價評估模塊的實現。

2專用網絡服務器的預警及報警系統環境部署專用網絡服務器的預警報警系統部署在如下的網絡環境中：圖2-1專用網絡服務器的預警及報警系統專用網絡服務器的預警及報警系統通過對snort的入侵檢測模式產生的數據進行分析，對匹配專用網絡服務器預警報警系統規則的行為通過手機短信方式給網絡安全管理員提供及時報警，第一時間通知網絡安全管理員，然后由管理員做出及時響應。專用網絡服務器的預警及報警系統環境的部署包括snort的部署、ACID的部署和交換機的配置。2.1軟件介紹2.1.1Snort簡介snort是一個輕量級的入侵檢測系統，它具有截取網絡數據報文，進行網絡數據實時分析、報警,以及日志的能力。snort的報文截取代碼是基于libpcap庫的，繼承了libpcap庫的平臺兼容性。它能夠進行協議分析，內容搜索/匹配，能夠用來檢測各種攻擊和探測，例如：緩沖區溢出、隱秘端口掃描、CGI攻擊、SMB探測、OS指紋特征檢測等等。snort使用一種靈活的規則語言來描述網絡數據報文，因此可以對新的攻擊做出快速地反應。snort具有實時報警能力。可以將報警信息寫到syslog、指定的文件、UNIX套接字或者使用WinPopup消息。snort具有良好的擴展能力。它支持插件體系，可以通過其定義的接口，很方便地加入新的功能。snort還能夠記錄網絡數據，其日志文件可以是tcpdump格式，也可以是解碼的ASCII格式。Snort是一款輕量級的網絡入侵檢測系統，它是開放源碼的軟件,snort的開發遵循GPL協議。在保持強大的功能及不斷更新的同時，它仍然是免費的，并且公開源代碼，你可以在GUN規則下研究修改和傳播它，它能夠運行在包括Linux/BSD/Unix/Windows等操作系統下，是一款跨平臺的自由軟件。2.1.2Apache介紹Apache是根據NCSA的服務器發展而來的，NCSA是最早出現的Web服務器程序之一，由伊利諾斯大學Urbana-Champaign分校的美國國家超級計算應用中心開發。在發展初期，Apache主要是一個基于UNIX系統的服務器，它的宗旨就是建成一個基于UNIX系統的、功能更強、效率更高并且速度更快的WWW服務器，這就決定了它是從其他的服務器演變而來的，并且添加了大量補丁來增強它在某一方面的性能，所以它就被命名為“ApathyServer(一個補丁組成的服務器)”。發展到今天，Apache已經被移植到很多平臺上了。很多類UNIX操作系統都集成了Apache，無論是免費的Linux、FreeBSD，還是商業的Solaris、AIX，都包含了Apache組件。所不同的是，在商業版本中對相應的系統進行了優化，并加進了一些安全模塊。Apache的開發遵循GPL協議，由全球的志愿者一起開發和維護。在保持強大的功能及不斷更新的同時，它仍然是免費的，并且公開源代碼。Apache還可以跨平臺運行，雖然是基于UNIX的一款web服務器，但它目前在windows平臺上也依然運行良好。可以支持perl,PHP等腳本語言。2.1.3ACID簡介ACID(AnalysisConsoleforIncidentDatabases)是snort使用的標準分析員控制臺軟件。它由CERTCoordinationCenter開發，是AIRCERT工程的一部分。可以從/kb/acid下載。從ACID-0.9.6b2開始，ACID才實現了數據庫的抽象支持。ACID是一個基于PHP的分析引擎，它能夠搜索、處理snort產生的數據庫。2.2snort的部署snort部署的系統結構：(1)snort將其捕獲的數據發送至SQLServer的ARMIRS數據庫。(2)apache為系統提供了web服務支持。(3)PHP為系統提供了PHP支持，使apache能夠運行PHP程序。(4)acid是基于PHP的入侵檢測數據庫分析控制臺.(5)ADODB是PHP數據庫的連接組件。(6)acid通過ADODB從SQLServer的ARMIRS數據庫中讀取數據，將分析結果顯示在網頁上，并使用jpgraph組件對其進行圖形化分析。2.2.1軟件清單首先下載安裝程序軟件包，除windows2000和SQLServer2000外，在部署snort環境中用到的軟件包括以下軟件，我們提供軟件的版本和下載地址并對軟件做相關說明：軟件1：acid-0.9.6b23.tar.gz，軟件下載地址：/kb/acid，說明：基于PHP的入侵檢測數據庫分析控制臺。軟件2：adodb360.zip，軟件下在地址：/adodb，說明：ADODB（ActiveDataObjectsDataBase）庫forPHP。軟件3：apache_2.0.54-win32-x86-no_ssl.msi，下載地址：，軟件說明：Windows版本的ApacheWeb服務器。軟件4:jpgraph-1.12.2.tar.gz，下載地址：http://www.aditus.nu/jpgraph，軟件說明：OO圖形庫forPHP，請注意下載的版本應該和PHP版本相符。軟件5:php-4.3.2-Win32.zip,下載地址：，軟件說明：Windows版本的php腳本環境支持。軟件6:snort-2_0_0.exe，下載地址：，軟件說明：Windows版本的Snort安裝包。軟件7：WinPcap_3_0.exe，下載地址：http://winpcap.polito.it/，軟件說明：網絡數據包截取驅動程序。2.2.2軟件安裝(1)apache_2.0.54的安裝①雙擊apache_2.0.54-win32-x86-no_ssl.msi，在出現的serverInformation頁面添入服務器的相關信息，如圖2-2示。安裝的時候注意，如果你已經安裝了IIS并且啟動了WebServer，因為IISWebServer默認在TCP80端口監聽，所以會和ApacheWebServer沖突，我們可以修改ApacheWebServer為其他端口。在出現的安裝類型選擇custom,在出現的“customsetup”界面，自定義安裝路徑為c:\apache。完成安裝。②添加apache對PHP的支持將php-4.3.11-Win32.zip解壓縮到C:\apache\Apache2\php目錄下；將php4embed.lib，php4ts.dll，php4ts.lib拷貝到c:\winnt\system32下；將C:\apache\Apache2\php\dlls下的所有*.dll的文件拷貝到c:\winnt目錄下；將php.ini-dist拷貝到c:\winnt\并改名為php.ini。

圖2-2apache安裝-服務器信息③修改php.ini配置文件,修改php.ini添加對SQLServer和GD圖形庫支持，在php.ini找到下面內容，去掉前面的注釋，如圖2-3所示：圖2-3修改php.ini配置信息在php.ini里搜索到extension_dir字符串，修改成如下配置信息，至此，PHP配置完成。如圖2-4所示：圖2-4修改php.ini配置信息(續)④修改apache的配置文件httpd.conf,在相關位置添加如下內容，如圖2-5所示：圖2-5apache配置文件修改⑤保存配置文件，啟動apache服務，在C:\apache\Apache2\htdocs下創建index.php文件，文件內容為<?Phpinfo();?>，擴展名為.php,在瀏覽器里輸入http://localhost/index.php,測試php是否安裝成功，并且是否支持圖形庫和SQLServer2000數據庫，成功配置會有如圖2-6，圖2-7所示的部分：圖2-6PHP支持GD庫圖2-7PHP支持MSSQL(2)安裝adodb解壓縮adodb461.zip至C:\apache\Apache2\php\adodb下即可。(3)安裝jpgrapg庫解壓縮jpgraph-1.17.tar.gz至C:\apache\Apache2\php\jpgraph,并修改jpgraph.php內容DEFINE("CACHE_DIR","/tmp/jpgraph_cache/")為DEFINE('CACHE_DIR','%USERPROFILE%/LocalSettings/Temp')。(4)安裝snort-2_3_0使用默認安裝路徑c:\snort，選擇數據庫為MicrosoftSQLServer.修改配置文件C:\Snort\etc\snort.conf內容，其中varHOME_NET為snort要監控的網絡，outputdatabase后面的用戶名和密碼為SQLServer2000的登陸名和密碼。如圖2-8所示：圖2-8snort配置文件在安裝完snort-2_3_0.exe后，需要安裝與之對應的WinPcap軟件，這snort-2_3_0.exe需要WinPcap_3_0.exe,WinPcap_3_0.exe的安裝很簡單，只需要按提示安裝即可。 (5)snort的啟動 snort的啟動如下圖，通過命令行啟動，如圖2-9所示:

圖2-9snort的啟動(5)ACID安裝：解壓縮acid-0.9.6b23.tar.gz至C:\apache\Apache2\htdocs\acid目錄下，修改配置文件acid_conf.php,修改如下內容：數據庫為SQLServer2000數據庫，類型為mssql,數據庫為ARMIRS，用戶名和密碼按實際情況填寫，如圖2-10所示，ACID界面如圖2-11所示，圖2-12為在ACID里瀏覽到警告信息。圖2-12警告瀏覽2-10ACID配置文件修改圖2-11ACID界面2.3網絡設備配置通過配置SPAN特性能對本交換機端口或整個VLAN的數據流進行監視，被監控的數據流可以由協議分析設備進行分析處理。SPAN會話由一個目的端口和一組源端口組成，它將一個或多個VLAN上的一個或多個源端口的數據包復制到目的端口上。SPAN不影響源端口的正常工作，也不會影響正常的交換機操作。我們通過在交換機上做SPAN配置，使部署了snort的主機能接收到發往網絡服務器的數據流量，為專用網絡服務器的預警及報警系統提供所必須的數據流。在網絡環境中，專用網絡服務器所在的交換機端口和其他需要預警及報警的主機和網絡設備所在的端口為SPAN的源端口，部署了snort的主機所在的交換機端口為SPAN目的端口。如圖所示，Web_Srv3、防火墻、內部主機所在的交換機端口為源端口，部署了snort的主機所在的交換機端口為SPAN的目的端口：在如下圖的環境中，專用網絡服務器的預警及報警系統所連接的交換機端口為F0/1,其他F0/5,F0/9,F0/13,F0/17,F0/24分別接防火墻、web_srv3、和兩臺工作站。這樣，專用網絡服務器的預警及報警系統可以通過snort監控的網絡流量進行分析，對達到規則的行為進行報警。如圖2-13所示，交換機SPAN配置如圖2-14。 圖2-13網絡服務器預警報警系統圖2-14交換機SPAN特性配置

2.4小結本章通過部署snort和acid,為專用網絡服務器的預警及報警系統提供必要的運行環境。本章詳細介紹了apache、php、acid、snort的安裝、配置和調試，并分別在windows平臺和Linux平臺下實現了該環境的部署，為專用網絡服務器的預警及報警系統的設計和調試提供了良好的實驗環境。

3專用網絡服務器的預警及報警系統的設計與實現3.1開發環境介紹3.1.1Microsoftvisualc++介紹VisualC++6.0是Microsoft公司提供的基于Windows95,Windows98和WindowsNT的編程工具。多數高級程序設計人員認為VisualC++的優點是：與操作系統配合緊密、不存在與操作系統不兼容的問題；功能強大，用途廣泛，不僅可以編寫普通的應用程序，還能很好的進行系統軟件及通信軟件的開發；操作簡單，一旦上手后，開發效率將成倍提高；從字面上看，Visual的英文含義是指“可觀”，這里是指在用VisualC++進行開發的過程中對應用程序界面(GUI)的開發，大多使用開發工具所提供的現成的組件，利用所見即所得的方式完成程序界面的設計，因此大大減輕了程序設計人員的勞動強度，提高了開發效率。VisualC++最大的特色是對面向對象技術的支持，它用類把與用戶界面設計有關的WindowsAPI函數封裝起來，通過MFC(MicrosoftFoundationClass)庫的方式提供給開發人員使用，大大提高了軟件的重要性。 另外，VisualC++內帶的AppWizard可以幫助MFC類庫的用戶自動生成一個運行程序框架，既一個空的不能做任何事情的應用程序，而用戶只需要對該程序框架進行擴充添加代碼就可以得到一個結構優良的應用程序。VisualC++提供的ClassWizard可以為用戶提供方便而有效的使用管理MFC類庫，傳統的Win32SDK用戶使用完ClassWizard后會由衷地稱贊；“ClassWizard真是方便極了”。VisualC++作為一個功能強大的軟件開發工具，它對應用程序的開發支持是多方面的，它可以為以下程序開發提供支持：利用MFC的32位Windows應用程序；使用C語言SDK編寫Windows程序；編寫控制臺程序；編寫ActiveX控件；編寫動態鏈接庫(DLLS)；開發數據庫應用程序；開發Internet應用程序；開發多媒體應用程序。3.2.2MicrosoftSQLServer2000簡介SQLServer2000是建立在SQLServer7.0在可伸縮性、可用性、可管理性和數據倉庫成功的基礎上，并且引入了針對電子商務的重要新功能。

在高性能和企業級可伸縮性領域，SQLServer2000設計成利用Windows2000對更多處理器、更大的系統內存的支持，最終達到支持64位硬件平臺。在不斷提升可用性的努力過程中，SQLServer2000采用Windows2000四路群集，提供了大大改進的群集支持。SQLServer7.0已經在可管理性和易用性方面在行業內領先，SQLServer2000通過與Windows2000活動目錄緊密結合進一步改進了這些功能。而且，SQLServer2000還包含對現有管理工具和實用程序的重大改進，并引入更具自我調節和自我管理的引擎功能。

通過與OLAP服務、數據轉換服務、存儲庫和英文查詢的緊密結合，SQLServer7.0代表了行業內最全面的數據倉庫和決策支持平臺。SQLServer2000繼續了這種創新，在整個系統內進行了重要的改進。特別重要的是，SQLServer2000關系引擎增加了實質化的視圖，改善了在特大型數據庫環境中執行復雜查詢的性能。同時，SQLServer2000引入了新的數據挖掘功能，可自動發現在大量數據之間隱藏的關系并可基于歷史數據做出預測。這些數據挖掘功能將要實施，以向最終用戶隱藏這種尖端技術的復雜性，并允許開發人員將第三方的數據挖掘產品輕松集成進客戶的應用程序中。最后，在電子商務領域，SQLServer2000高度集成了對XML和通過web訪問數據庫的支持。

SQLServer2000按照設計可以為部署和維護強大的、易于管理、支持商務活動的Web站點提供最好的性能，這些站點可以從事商家和商家之間或商家與客戶之間的交易。在尋求一個支持您的電子商務解決方案的數據庫時，需要考慮的項目包括：可用性、性能、可管理性和價格。3.2系統結構設計與實現 軟件的設計是以一定的方法為基礎的。面對越來越復雜的軟件開發任務，人們提出了各種軟件設計的模型。本系統從需求和系統要實現的任務功能出發，采用模塊化軟件設計模型。模塊化設計的基本思想是將一個大的程序按功能分割成一些小模塊，各模塊相對獨立、功能單一、結構清晰、接口簡單，把軟件的設計劃分成為相對較小的模塊，這樣可以將復雜的軟件設計變的相對容易處理。模塊的有機組合就是一個完整的系統。模塊化設計降低了程序設計的復雜性，提高元件的可靠性，縮短開發周期，避免程序開發的重復勞動，易于維護和功能擴充，開發采用自上向下,逐步分解，分而治之的方法。 專用網絡服務器的預警及報警系統采用模塊化的軟件設計方法，將系統設計分解為功能相對獨立的三部分，每部分再劃分不同的子模塊。通過模塊化的軟件設計方法來實現該系統的功能。3.2.1整體系統結構設計本系統將系統設計劃分為三個模塊，其中包括：代價評估模塊、短信代理模塊和響應模塊與響應代理模塊。每個模塊又劃分為更小的子模塊，如3-1圖示。各個模塊功能實現的組合就是我們完整的專用網絡服務器的預警及報警系統。 專用網絡服務器的預警及報警系統主要由以下三個部分構成： (1)代價評估模塊代價評估模塊的主要作用是把經過snort系統事件分析部件分析出來的安全事件按照成本分析方法進行評估，從而決定系統是否要對此事件進行響應；如果進行響應是自動采取響應還是快速手動響應。為實現本系統中的響應代價評估，設計了代價評估模塊。該模塊主要由資產管理子模塊、短信響應門限值設定子模塊和入侵行為屬性數據庫構成。 (2)短信代理模塊短信代理可以實現下述功能：在安全事件經過響應代價評估模塊評定后，如確實需要立即告知安全管理員，則將警報通過短信形式傳遞給管理員，并接收安全管理員通過短信發回的是否響應的指令。短信代理模塊根據中國聯通專有的短信通信SGIP協議的規范進行編寫，包括短信發送、短信狀態記錄、短信接收、安全指令分析四個子模塊。是本文針對當前入侵檢測系統行為響應中所存在的問題而引入的一種新的響應方式，該方式實現了移動終端與入侵檢測系統的緊密結合，主要用于解決誤響應、漏響應和過度響應等可能給系統帶來巨大損失的安全問題。專用網絡服務預警報警系統專用網絡服務預警報警系統短信代理代價評估模塊響應模塊與響應代理資產管理子模塊入侵行為屬性數據庫短信發送子模塊發送狀態記錄子模塊短信接收子模塊安全指令分析子模塊響應決策專家數據庫響應工具庫圖3-1專用網絡服務器的預警及報警系統結構圖 (3)響應模塊與響應代理響應模塊主要的功能是根據專家的設定，對可以進行自動響應的安全事件進行自動響應，同時可以接收由短信代理模塊傳送過來的快速手動響應短信指令進行響應。響應的具體執行是由各個響應代理來完成。 響應模塊與響應代理主要由響應決策專家數據庫和響應工具庫構成。需要自動響應的事件通過與響應模塊中的專家數據庫的對照，得到相應的響應方法，而具體的響應行為則由各個響應代理來完成。3.2.2專用網絡服務器的預警及報警系統實現 專用網絡服務器的預警及報警系統總體結構提供與各功能模塊的接口。我們在VisualC++里建立一個基于對話框的工程，在工程里插入資源，選擇menu,并新建如圖3-2所示的菜單。菜單提供ARMIRS各功能模塊之間的接口。圖3-2專用網絡服務器的預警及報警系統結構圖3.3代價評估模塊設計響應的代價評估，就是對響應的成本進行分析。通常我們做事情有意識或者無意識的都會考慮代價，即考慮某件事情做的值還是不值。如果收獲大于付出，那就值得做；反之付出大于收獲，那就不值得做了。從網絡安全整體角度來看，這個問題就是目前領域內最新提出的“適度安全”的概念。“適度安全”實際上是在信息安全的風險與投入之間尋求一種平衡。 對響應的成本分析進行深入研究是非常有意義和有必要的，接下來將主要討論響應成本分析的基本原理，介紹入侵響應成本分析的方法，并對原有方法進行改進，以使其適用于快速手動響應,彌補自動響應的不足。 成本因素與成本量化對響應成本進行分析，首先需要確定與入侵及響應行為相關的成本因素。依據經驗，這里我們考慮與響應相關的成本主要包括：損失代價Dcost(DamageCost)與響應代價Rcost(RespondCost)。損失代價Dcost，是假設IDS不采取任何響應措施的情況下，入侵行為對系統造成的損失，也就是潛在損失。響應代價Rcost是指針對某次入侵行為，采取相應的響應措施需要付出的代價。在確定成本因素之后，成本分析的關鍵就是成本量化的問題。與此相關的研究，在網絡安全的一個分支——風險評估中已有所涉及。所謂風險評估，就是對一個企業或者組織網絡信息系統資產價值、安全缺陷、安全威脅進行確定的過程。確定的方法可以是定性的，也可以是定量的。從安全風險評估已有的工作來看，完全的、精確的量化是相當困難的，而將定性分析與定量分析相結合是一種不錯的選擇。另外，與風險評估相似，我們的工作主要是給出一個成本量化的方法，具體的量化值應該由用戶參與確定。因為同樣的入侵行為，給一個小的傳統企業帶來的損失可能是10萬，而給一個已經實現信息化的大型企帶來的損失可能就是100萬。 (1)損失代價(Dcost)入侵帶來的在損失可能取決于多個方面。這里我們主要從入侵目標和入侵行為本身兩個方面考慮，即入侵目標的重要性(Criticality)和入侵行為的致命性(Lethality)。目標的重要性(Criticality)是指被攻擊或者入侵的目標系統的重要程度,可以通過目標系統在網絡中所具備的功能或所起的作用體現出來。可以設定目標重要性值域為(0，5)，5為最高值。那么可以把防火墻、路由器、DNS服務器的重要性值定義為5；web、Mail、FTP服務器可以定義為4；而普通UNIX工作站可以定義為2，Windows工作站可以定義為1，這樣不同的攻擊目標的重要性(Criticality)就通過它的重要性值體現出來。入侵的致命性(Lethality)是指入侵行為本身所具有的危害性或者威脅性的高低。這個量與入侵所針對的目標無關，只是對入侵行為本身的一個描述。比如，一個可以獲取root權限的攻擊的危害程度就高于只可以獲取普通用戶權限的攻擊的危害程度。表3-1是根據經驗量化了的幾類攻擊的危害性。我們在這里定義了4種不同種類的致命性描述。具體的攻擊行為所具有的危害性與某一攻擊分類相對應。通過對捕獲的數據包進行分析可以知道他屬于那種攻擊行為,從而對應其危害性分類。例如：對捕獲到的一個數據包，經過解碼后得到目的端口80,數據包大小dsize>128,則很可能是利用了NetworkTimeProtocolDaemon(ntpd)存在緩沖區溢出漏洞，攻擊目標設備，攻擊者利用此漏洞能取得超級用戶特權，我們給出其攻擊行為為EXPLOITntpdxoverflow，屬于U2R分類。表3-1攻擊危害性與響應代價分類描述成本致命性響應代價U2R非法獲取根權限10040R2L從外界獲得非法訪問5020DoS拒絕服務3010Probe獲取目標系統的信息25有了上面描述的兩個量，就可以把入侵損失代價Dcost的值定義為：Dcost=Criticality×Lethality。比如同樣是DoS攻擊，若攻擊目標是防火墻，則Dcost=5×30=150;若攻擊目標是Web服務器，則Dcost＝4×30＝120。 (2)響應代價(Rcost)入侵響應代價主要包括兩部分內容：執行響應措施的資源耗費和響應措施執行以后帶來的負面影響。響應代價的完全量化是比較困難的，在此根據經驗值將響應代價的量化簡化，如(表3-1)。這樣，在確定了事件的潛在損失與響應代價之后，我們就可以做出響應決策：如果Rcost≤Dcost，即響應代價小于或者等于損失代價，則進行響應。如果Rcost>Dcost,即響應代價超過了損失代價，那就沒有必要響應了。在此基礎上我們將給出快速手動響應的兩個門限值——嚴重威脅門限值α與重要響應門限值β，若：Dcost≥α|Rcost≥β說明出現了很嚴重的入侵行為或者需要執行很嚴厲的響應措施如斷開網絡或者入侵追蹤等。此時，需要進行快速手動響應，以免因為漏響應、誤響應或響應過度給系統帶來更嚴重的后果。當可能發生的損失代價較大超過一定限度α時，響應行為是否正確得當變得十分重要，此時除系統自動采取的，如激活更詳細的日志審計，啟動更詳細的入侵檢測，以及估計事件范圍，收集事件相關信息，產生事件報告等響應外，同時可以通過短信方式讓安全員在第一時間進行遠程遙控響應。當響應代價超過門限值β時，即系統準備需要采取一些比較嚴厲的主動響應措施如反向追蹤時，涉及技術以外的多方面因素，此時也應由安全管理員做出決定，使用短信方式可以最小化手工響應代價。以上分析了響應過程中響應代價評估的問題，說明了應急響應成本分析的方法。3.3.1資產管理子系統模塊設計與實現 根據前面提到的代價評估的算法，需要對網絡內的各種網絡設備的重要性(Criticality)進行設定。損失代價Dcost是對攻擊目標屬性和攻擊行為屬性綜合計算的結果，資產管理子系統模塊對網絡中各種設備的屬性進行定義，通過重要級別來完成對每個設備Criticality值設定的功能。資產管理子系統可以完成設備的添加、刪除、瀏覽和修改功能。 資產管理子系統的實現是通過設計一個基于對話框的工程，添加列表控件，用以瀏覽當前資產，通過編程實現數據的添加和刪除。如圖3-3所示：圖3-3資產管理子系統由于涉及到數據庫的連接，我們引入ADO封裝類，建立本系統到后臺SQLServer2000的連接，通過添加“添加”，“刪除”按鈕，實現設備的添加，刪除和修改。3.3.2響應門限設定子模塊設計與實現根據本系統設計中的響應代價評定方法，如果入侵的損失代價Dcost大于或等于α則表示發生了非常嚴重的入侵行為，如果入侵的響應代價Rcost大于或等于β則表示要進行非常嚴厲的響應行為，如入侵跟蹤甚至反向攻擊等。α和β的值由安全管理員針對不同時期網絡的具體情況進行設定。門限值設定是通過對話框的形式，將我們設定的值寫入到配置文件中，如圖3-4。

圖3-4門限值設定3.3.3入侵行為屬性數據庫設計專用網絡服務器的預警及報警系統對入侵損失代價進行評估時，對每一類攻擊行為本身的致命性(Lethality)和響應代價Rcost都進行了預設。根據這些入侵行為的屬性值就可以實現對入侵損失代價Rcost和入侵響應的代Rcost的比較，從而決定是否響應以及如何響應。入侵的致命性(Lethality)是指入侵行為本身所具有的危害性或者威脅性的高低，只是對入侵行為本身的一個描述。我們針對大量已知的和未知的入侵行為，根據他們的危害程度對其進行分類，對不同的分類我們給出其屬性值，根據這些入侵行為的屬性值就可以實現對入侵損失代價Dcost和入侵響應的代價Rcost的比較，從而決定是否響應以及如何響應。對于一個入侵行為致命性的判斷，首先我們需要知道一種行為是否是入侵行為？這種入侵屬于什么入侵行為？我們怎么來判斷呢？我們通過snort所捕獲的數據包，得到網絡上的原始流量，根據數據包所具有的特征(signature)來分析數據包的行為，從而判斷數據包的行為是否時入侵行為，根據入侵行為分類得到入侵行為屬性值，從而建立入侵行為屬性數據庫。特征指數據包的包頭、數據包的數據字段內容所具有的特征。根據這些數據包的特征信息來判斷一個數據包的行為屬于正常行為還是攻擊行為，屬于那一種攻擊行為。根據RFC正式標準，網絡上的數據幀或是報文都具有固定的格式和默認的規范，顯然，如果捕獲到一個幀格式或報文格式異常的數據，則很可能就是網絡入侵或者是攻擊。我們來看另一個例子：我們在抓到一個發往目的主機端口為21的數據包，通過在包的數據段中搜索指定“USERroot”串時，當匹配時，我們可以認為可能發生了“FTProotuseraccessattempt”入侵。通過上面的例子，我們看到了基于特征的入侵行為的描述方法。我們將通過特征來標識數據包的行為，建立入侵性為屬性數據庫，通過入侵屬性數據庫的定義來對網絡的數據包是否是入侵行為進行判斷。3.4響應模塊與響應代理模塊設計響應模塊的主要功能是根據響應代價評估模塊做出的決策，對安全事件進行自動響應或者快速手動響應，具體的響應操作由各個響應代理來完成，主要的入侵響應方式有： (1)記錄安全事件：將安全事件記錄下來有利于管理員的事后追查。 (2)產生報警信息：在控制臺產生報警，或發送郵件給管理員。 (3)記錄附加日志：為了能更好的分析攻擊，有時應當不僅限于記錄發現攻擊的報文，如對于堆棧溢出攻