第7章 網(wǎng)絡(luò)防御

7.1概述 7.2防火墻7.3入侵檢測(cè)系統(tǒng) 7.4網(wǎng)絡(luò)防御的新技術(shù) 第7章網(wǎng)絡(luò)防御7.1概述 防御需要解決多層面的問(wèn)題，除了安全技術(shù)之外，安全管理也十分重要，實(shí)際上提高用戶群的安全防范意識(shí)、加強(qiáng)安全管理所能起到效果遠(yuǎn)遠(yuǎn)高于應(yīng)用幾個(gè)網(wǎng)絡(luò)安全產(chǎn)品。網(wǎng)絡(luò)安全防御體系第一道防線，部署在網(wǎng)絡(luò)出入口處或者不同安全等級(jí)區(qū)域的連接路徑上，依據(jù)安全規(guī)則檢查每一個(gè)通過(guò)的數(shù)據(jù)包。將局域網(wǎng)中的節(jié)點(diǎn)從邏輯上劃分成多個(gè)網(wǎng)段，每個(gè)網(wǎng)段都包含一組有相同需求的工作站。（控制流量、簡(jiǎn)化網(wǎng)絡(luò)管理、提高安全性）IPS：部署像防火墻，工作機(jī)制接近入侵檢測(cè)系統(tǒng)，將檢測(cè)方法細(xì)分到攻擊檢測(cè)防御的每個(gè)階段中。7.2防火墻防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間構(gòu)造的安全保護(hù)屏障，從而保護(hù)內(nèi)部網(wǎng)絡(luò)免受外部非法用戶的侵入。目標(biāo)：有效地控制內(nèi)外網(wǎng)之間的網(wǎng)絡(luò)數(shù)據(jù)流量。滿足條件：內(nèi)網(wǎng)和外網(wǎng)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流必須經(jīng)過(guò)防火墻；只有符合安全政策的數(shù)據(jù)流才能通過(guò)防火墻。防火墻自身具有高可靠性，應(yīng)對(duì)滲透具有免疫力。防火墻不只用于INTERNET，也可用于內(nèi)部網(wǎng)各部門網(wǎng)絡(luò)之間（內(nèi)部防火墻）

分類從應(yīng)用對(duì)象上劃分企業(yè)防火墻：使企業(yè)內(nèi)部局域網(wǎng)與internet之間互相隔離、限制網(wǎng)絡(luò)互訪，保護(hù)企業(yè)網(wǎng)絡(luò)內(nèi)網(wǎng)。個(gè)人防火墻：一種軟件服務(wù)，為個(gè)人計(jì)算機(jī)提供簡(jiǎn)單的防火墻功能，可以隨操作系統(tǒng)附帶，價(jià)格較低。從存在形式上劃分硬件防火墻：采用特殊的硬件設(shè)備，有較高性能，可做為獨(dú)立的設(shè)備部署，企業(yè)防火墻多數(shù)是硬件防火墻；軟件防火墻：是一套安裝在某臺(tái)計(jì)算機(jī)系統(tǒng)上來(lái)執(zhí)行防護(hù)任務(wù)的安全軟件，個(gè)人防火墻都是軟件防火墻。防火墻主要作用網(wǎng)絡(luò)流量過(guò)濾：通過(guò)在防火墻上進(jìn)行安全規(guī)則配置，可以對(duì)流經(jīng)防火墻的網(wǎng)絡(luò)流量進(jìn)行過(guò)濾。網(wǎng)絡(luò)監(jiān)控審計(jì)：防火墻記錄訪問(wèn)并生成網(wǎng)絡(luò)訪問(wèn)日志，提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。支持NAT部署：NAT（網(wǎng)絡(luò)地址翻譯）是用來(lái)緩解地址空間短缺的主要技術(shù)之一。支持DMZ：DMZ是英文“DemilitarizedZone”的縮寫(xiě),它是設(shè)立在非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)。支持VPN：通過(guò)VPN，企業(yè)可以將分布在各地的局域網(wǎng)有機(jī)地連成一個(gè)整體。典型企業(yè)防火墻應(yīng)用局限性防火墻無(wú)法檢測(cè)不經(jīng)過(guò)防火墻的流量，如通過(guò)內(nèi)部提供撥號(hào)服務(wù)接入公網(wǎng)的流量；防火墻不能防范來(lái)自內(nèi)部人員惡意的攻擊；防火墻不能阻止被病毒感染的和有害的程序或文件的傳遞，如木馬；防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式攻擊，如一些緩沖區(qū)溢出攻擊。7.2.2防火墻的主要技術(shù)包過(guò)濾防火墻面向網(wǎng)絡(luò)底層數(shù)據(jù)流進(jìn)行審計(jì)和控管其安全策略主要根據(jù)數(shù)據(jù)包頭的源地址、目的地址、端口號(hào)和協(xié)議類型等標(biāo)志來(lái)制定，可見(jiàn)其主要工作在網(wǎng)絡(luò)層和傳輸層。代理防火墻基于代理（Proxy）技術(shù)，使防火墻參與到每一個(gè)內(nèi)外網(wǎng)絡(luò)之間的連接過(guò)程防火墻需要理解用戶使用的協(xié)議，對(duì)內(nèi)部節(jié)點(diǎn)向外部節(jié)點(diǎn)的請(qǐng)求進(jìn)行還原審查后，轉(zhuǎn)發(fā)給外部服務(wù)器；外部節(jié)點(diǎn)發(fā)送來(lái)的數(shù)據(jù)也需要進(jìn)行還原審查，然后封裝轉(zhuǎn)發(fā)給內(nèi)部節(jié)點(diǎn)。個(gè)人防火墻目前普通用戶最常使用的一種，常見(jiàn)如天網(wǎng)個(gè)人防火墻。個(gè)人防火墻是一種能夠保護(hù)個(gè)人計(jì)算機(jī)系統(tǒng)安全的軟件直接在用戶的計(jì)算機(jī)上運(yùn)行，幫助普通用戶對(duì)系統(tǒng)進(jìn)行監(jiān)控及管理，使個(gè)人計(jì)算機(jī)免受各種攻擊包過(guò)濾防火墻工作原理訪問(wèn)控制列表ACLAccessControlList是允許和拒絕匹配規(guī)則的集合。規(guī)則告訴防火墻哪些數(shù)據(jù)包允許通過(guò)、哪些被拒絕。順序方向源地址目的地址協(xié)議源端口目的端口是否通過(guò)Rule1out1*.*.*.*TCPany80denyRule2out*.*.*.*6TCPany80accept訪問(wèn)控制列表靜態(tài)包過(guò)濾靜態(tài)包過(guò)濾是指防火墻根據(jù)定義好的包過(guò)濾規(guī)則審查每個(gè)數(shù)據(jù)包，確定其是否與某一條包過(guò)濾規(guī)則匹配。此類防火墻遵循“最小特權(quán)”原則，即明確允許那些管理員希望通過(guò)的數(shù)據(jù)包，禁止其它的數(shù)據(jù)包。靜態(tài)包過(guò)濾原理圖動(dòng)態(tài)包過(guò)濾是指防火墻采用動(dòng)態(tài)配置包過(guò)濾規(guī)則的方法采用了一個(gè)在網(wǎng)關(guān)上執(zhí)行安全策略的軟件引擎，即檢測(cè)模塊檢測(cè)模塊抽取相關(guān)數(shù)據(jù)對(duì)通信的各層實(shí)施監(jiān)測(cè)分析，提取相關(guān)的通信狀態(tài)信息，并對(duì)動(dòng)態(tài)連接表進(jìn)行信息存儲(chǔ)和更新，為下一個(gè)通信檢查提供積累數(shù)據(jù)。這些監(jiān)測(cè)分析數(shù)據(jù)可以作為制定安全策略的參考。一旦某個(gè)訪問(wèn)違反安全規(guī)定，安全報(bào)警器會(huì)拒絕該訪問(wèn)并記錄報(bào)告。狀態(tài)監(jiān)測(cè)原理圖動(dòng)態(tài)包過(guò)濾包過(guò)濾防火墻的分析優(yōu)點(diǎn)邏輯簡(jiǎn)單，價(jià)格便宜，對(duì)網(wǎng)絡(luò)性能影響較小，透明性強(qiáng)與應(yīng)用層無(wú)關(guān)，無(wú)需改動(dòng)客戶機(jī)和主機(jī)上的應(yīng)用程序缺點(diǎn)配置包過(guò)濾防火墻，需要對(duì)IP、TCP等協(xié)議深入了解，否則容易出現(xiàn)因配置不當(dāng)帶來(lái)的問(wèn)題由于過(guò)濾判斷的只有網(wǎng)絡(luò)層和傳輸層的有限信息，各種安全要求難以充分滿足由于數(shù)據(jù)包地址和端口號(hào)都在包頭部，因此不能徹底防止地址欺騙代理服務(wù)器型防火墻通過(guò)在主機(jī)上運(yùn)行代理的服務(wù)程序(核心)，直接對(duì)特定的應(yīng)用層進(jìn)行服務(wù)，也稱應(yīng)用型防火墻。針對(duì)不同的應(yīng)用程序，需要不同的代理模塊。代理服務(wù)可以實(shí)現(xiàn)用戶認(rèn)證、詳細(xì)日志、數(shù)據(jù)加密、應(yīng)用過(guò)濾等功能。應(yīng)用代理防火墻徹底隔斷內(nèi)網(wǎng)與外網(wǎng)的直接通信，所有通信必須經(jīng)過(guò)代理軟件轉(zhuǎn)發(fā)。對(duì)于客戶來(lái)說(shuō)它像一臺(tái)服務(wù)器，對(duì)于外界服務(wù)器來(lái)說(shuō)，它又是一臺(tái)客戶機(jī)。代理服務(wù)器通常有個(gè)高速緩存，存放著用戶經(jīng)常訪問(wèn)的站點(diǎn)內(nèi)容，當(dāng)下個(gè)用戶要訪問(wèn)同一站點(diǎn)時(shí)，直接發(fā)出緩存內(nèi)容，節(jié)約了網(wǎng)絡(luò)資源。從外網(wǎng)只能看到代理服務(wù)器，無(wú)法獲知內(nèi)部資源，更可靠代理服務(wù)器接收到用戶訪問(wèn)某站點(diǎn)的請(qǐng)求后，檢查該請(qǐng)求是否符合規(guī)定，如果規(guī)則允許訪問(wèn)，代理服務(wù)器就會(huì)像一個(gè)客戶一樣去那個(gè)站點(diǎn)取回所需信息轉(zhuǎn)發(fā)給客戶。應(yīng)用代理防火墻原理圖代理防火墻的分析優(yōu)點(diǎn)不允許內(nèi)外網(wǎng)主機(jī)的直接連接，隱藏內(nèi)部用戶IP地址記錄的日志更詳細(xì)，包含應(yīng)用程序文件名、URL等信息可以與認(rèn)證、授權(quán)、加密等安全手段方便的集成缺點(diǎn)代理速度比包過(guò)濾慢代理對(duì)用戶不透明，給用戶帶來(lái)不便代理技術(shù)需要針對(duì)每種協(xié)議設(shè)置一個(gè)不同的代理服務(wù)器電路級(jí)網(wǎng)關(guān)工作原理與應(yīng)用代理網(wǎng)關(guān)基本相同，代理的協(xié)議以傳輸層為主，在傳輸層上實(shí)施訪問(wèn)控制策略，是在內(nèi)外網(wǎng)絡(luò)之間建立一個(gè)虛擬電路，進(jìn)行通信。電路級(jí)網(wǎng)關(guān)監(jiān)控受信任的客戶或服務(wù)器與不受信任的主機(jī)間的TCP握手信息，在握手過(guò)程中，檢查雙方的SYN、ACK和序列數(shù)據(jù)是否為合理邏輯，來(lái)判斷會(huì)話是否合法。一旦網(wǎng)關(guān)認(rèn)為會(huì)話合法，就為雙方建立連接，進(jìn)而復(fù)制、傳遞數(shù)據(jù)，但不進(jìn)行過(guò)濾。網(wǎng)關(guān)轉(zhuǎn)發(fā)的數(shù)據(jù)包被提交給用戶的應(yīng)用層處理，通過(guò)網(wǎng)關(guān)的數(shù)據(jù)似乎起源于防火墻，隱藏了被保護(hù)網(wǎng)絡(luò)內(nèi)的信息。網(wǎng)絡(luò)地址轉(zhuǎn)換NAT是一種用于把內(nèi)部IP地址轉(zhuǎn)換成臨時(shí)的、外部的、注冊(cè)的IP地址的標(biāo)準(zhǔn)。私有地址：內(nèi)部網(wǎng)絡(luò)的主機(jī)地址，不會(huì)在因特網(wǎng)上被分配，各個(gè)企業(yè)可以根據(jù)需要選擇，不同內(nèi)部網(wǎng)的網(wǎng)絡(luò)地址可以相同。RFC1918為私有地址保留了A、B、C類地址范圍各一個(gè)。A類：—55B類：—55C類：—55公有地址：局域網(wǎng)的外部地址(在因特網(wǎng)上唯一的IP地址)私有地址與公有地址間的轉(zhuǎn)換使用私有地址的主機(jī)不能直接訪問(wèn)InternetInternet也不可能訪問(wèn)到使用私有地址的主機(jī)IP地址資源有限，許多局域網(wǎng)內(nèi)的計(jì)算機(jī)不得不采用私有地址，訪問(wèn)Internet時(shí)就需要NAT目的解決IP地址空間不足問(wèn)題向外界隱藏內(nèi)部網(wǎng)結(jié)構(gòu)網(wǎng)絡(luò)地址轉(zhuǎn)換NATNAT技術(shù)的工作原理內(nèi)部網(wǎng)絡(luò)訪問(wèn)外部網(wǎng)絡(luò)時(shí)，系統(tǒng)將發(fā)出數(shù)據(jù)包的源地址轉(zhuǎn)換為Internet上的合法地址，以這個(gè)合法地址與外網(wǎng)連接NAT應(yīng)用在防火墻技術(shù)中，用偽裝的地址對(duì)外連接，隱藏了真實(shí)的內(nèi)部地址。反之外網(wǎng)訪問(wèn)內(nèi)網(wǎng)時(shí)，并不清楚內(nèi)網(wǎng)的連接情況，只是通過(guò)一個(gè)開(kāi)放的IP地址來(lái)請(qǐng)求訪問(wèn)。防火墻根據(jù)預(yù)先定義好的映射規(guī)則判斷訪問(wèn)是否安全內(nèi)部網(wǎng)絡(luò)中的每個(gè)主機(jī)都被永久映射成外部網(wǎng)絡(luò)中的某個(gè)合法地址，進(jìn)行一對(duì)一的轉(zhuǎn)換。內(nèi)部網(wǎng)絡(luò)中有E-MAIL服務(wù)器、WWW服務(wù)器、FTP服務(wù)器等，必須采用靜態(tài)地址轉(zhuǎn)換。特點(diǎn)：為每一個(gè)需要地址轉(zhuǎn)換的報(bào)文分配一個(gè)公有網(wǎng)絡(luò)IP地址。不能解決IP地址缺乏問(wèn)題，只能隱藏內(nèi)部主機(jī)的真實(shí)身份。從系統(tǒng)IP地址池中動(dòng)態(tài)選擇一個(gè)未使用的地址對(duì)內(nèi)部地址進(jìn)行一對(duì)一轉(zhuǎn)換，當(dāng)數(shù)據(jù)傳輸完畢，路由器將使用完的IP地址放回到地址池中。適用于：IP地址數(shù)量少，同時(shí)上網(wǎng)的用戶少例如：內(nèi)部網(wǎng)中有100臺(tái)主機(jī)，分配了30個(gè)IP地址，可供任意30臺(tái)主機(jī)同時(shí)通信。端口復(fù)用：路由器記錄地址、應(yīng)用程序端口等標(biāo)識(shí)進(jìn)行轉(zhuǎn)換，可以使多個(gè)內(nèi)部地址同時(shí)轉(zhuǎn)換為同一個(gè)IP地址對(duì)外網(wǎng)訪問(wèn)。適用于：申請(qǐng)到少量的IP地址，卻經(jīng)常有很多用戶同時(shí)上網(wǎng)。VPN：虛擬的企業(yè)內(nèi)部專線，也稱虛擬私有網(wǎng)。依靠ISP和其他NSP，在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)虛擬：任意兩個(gè)節(jié)點(diǎn)之間沒(méi)有傳統(tǒng)專網(wǎng)所需的點(diǎn)到點(diǎn)的物理鏈路，是利用Internet公眾數(shù)據(jù)網(wǎng)絡(luò)線路。專用：用戶可以為自己制定一個(gè)最符合自己需求的網(wǎng)絡(luò)VPN產(chǎn)生的背景企業(yè)內(nèi)部和企業(yè)之間數(shù)據(jù)通信的數(shù)量不斷增加。在企業(yè)分支機(jī)構(gòu)和中心網(wǎng)絡(luò)連接上架設(shè)專用線路，經(jīng)濟(jì)費(fèi)用高。隨著互聯(lián)網(wǎng)主干網(wǎng)速越來(lái)越快，企業(yè)租用廣域網(wǎng)數(shù)據(jù)專線實(shí)現(xiàn)連接，租用成本高，且互聯(lián)網(wǎng)存在不安全因素（泄密、篡改、假冒等）。VPN技術(shù)的出現(xiàn)，可以使租用線路成本下降40%-60%。VPN（VirtualPrivateNetwork）VPN的意義VPN是企業(yè)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡(luò)上的延伸。VPN通過(guò)一個(gè)私有的通道來(lái)創(chuàng)建一個(gè)安全的私有連接，將遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、業(yè)務(wù)伙伴等跟企業(yè)網(wǎng)連接起來(lái)，形成一個(gè)擴(kuò)展的公司企業(yè)網(wǎng)。提供高安全性能、低價(jià)位的因特網(wǎng)接入解決方案。隧道技術(shù)VPN可以理解為一條穿過(guò)公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。隧道技術(shù)可以模仿點(diǎn)對(duì)點(diǎn)連接技術(shù)，依靠ISP和NSP在公用網(wǎng)中建立自己的專用“隧道”傳輸數(shù)據(jù)利用公網(wǎng)設(shè)施，在一個(gè)網(wǎng)絡(luò)之中的“網(wǎng)絡(luò)”上傳輸數(shù)據(jù)的方法，被傳輸?shù)臄?shù)據(jù)執(zhí)行隧道協(xié)議。隧道協(xié)議利用附加的報(bào)頭封裝數(shù)據(jù)包，附加報(bào)頭提供了路由信息，封裝后的數(shù)據(jù)包能通過(guò)公用網(wǎng)中的一些路徑，這些路徑即為隧道。隧道示意圖源局域網(wǎng)與公網(wǎng)的接口處封裝數(shù)據(jù)包目的局域網(wǎng)與公網(wǎng)的接口處解封數(shù)據(jù)包VPN典型應(yīng)用幫助遠(yuǎn)程用戶同公司內(nèi)網(wǎng)之間，通過(guò)公網(wǎng)遠(yuǎn)程撥號(hào)的方式建立安全連接。為公司總部和分支機(jī)構(gòu)提供一個(gè)整個(gè)企業(yè)網(wǎng)絡(luò)的訪問(wèn)權(quán)限將客戶、供應(yīng)商、合作伙伴等連接到企業(yè)內(nèi)網(wǎng)，支持外部用戶執(zhí)行相應(yīng)訪問(wèn)權(quán)限7.3入侵檢測(cè)系統(tǒng)入侵檢測(cè)：對(duì)入侵行為的發(fā)覺(jué)，通過(guò)對(duì)計(jì)算機(jī)系統(tǒng)、計(jì)算機(jī)網(wǎng)絡(luò)中的若干關(guān)鍵部位收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為。IDS（IntrusionDetectionSystem）進(jìn)行入侵檢測(cè)的軟件和硬件的組合，一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視，在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全系統(tǒng)。一般認(rèn)為防火墻屬于靜態(tài)防范措施，而入侵檢測(cè)系統(tǒng)為動(dòng)態(tài)防范措施，是對(duì)防火墻的有效補(bǔ)充。假如防火墻是一幢大樓的門禁，那么IDS就是這幢大樓里的監(jiān)視系統(tǒng)。入侵檢測(cè)專家系統(tǒng)IDES模型的組成主體（Subjects）：?jiǎn)?dòng)在目標(biāo)系統(tǒng)上活動(dòng)的實(shí)體，如用戶對(duì)象（Objects）：系統(tǒng)資源，如文件、設(shè)備、命令等。審計(jì)記錄（Auditrecords）：由構(gòu)成的六元組?；顒?dòng)：是主體對(duì)目標(biāo)的操作，對(duì)操作系統(tǒng)而言，這些操作包括讀、寫(xiě)、登錄、退出等；異常條件：是指系統(tǒng)對(duì)主體的該活動(dòng)的異常報(bào)告；資源使用狀況：是系統(tǒng)的資源消耗情況，如CPU、內(nèi)存使用率等；時(shí)間戳：是活動(dòng)發(fā)生時(shí)間?；顒?dòng)輪廓：用以保存主體正常活動(dòng)的有關(guān)特征信息；異常記錄：由事件、時(shí)戳、輪廓組成，用以表示異常事件的發(fā)生情況。活動(dòng)規(guī)則：組成策略規(guī)則集的具體數(shù)據(jù)項(xiàng)。1984-1986年，研究出一個(gè)實(shí)時(shí)入侵檢測(cè)系統(tǒng)模型，入侵檢測(cè)專家系統(tǒng)IDES(IntrusionDetectionExpertSystem)。定義好活動(dòng)規(guī)則，形成策略規(guī)則集，統(tǒng)計(jì)分析主體的活動(dòng)記錄，形成活動(dòng)輪廓；將需要檢測(cè)的數(shù)據(jù)傳送給模式匹配器和輪廓特征引擎；模式匹配器依據(jù)策略規(guī)則集的內(nèi)容檢測(cè)數(shù)據(jù)源，如發(fā)現(xiàn)違反規(guī)則的活動(dòng)則報(bào)警；輪廓特征引擎分析抽取數(shù)據(jù)源中主體活動(dòng)輪廓，并與異常檢測(cè)器一起判斷是否發(fā)生了異常現(xiàn)象，如發(fā)生則報(bào)警。CIDF通用模型IDWG(入侵檢測(cè)工作組)和CIDF(通用入侵檢測(cè)框架)負(fù)責(zé)開(kāi)展對(duì)IDS進(jìn)行標(biāo)準(zhǔn)化和研究工作。入侵檢測(cè)系統(tǒng)的通用模型E盒通過(guò)傳感器收集事件數(shù)據(jù)，將信息傳送給A盒和D盒；A盒檢測(cè)誤用模式；D盒存儲(chǔ)來(lái)自A、E盒的數(shù)據(jù)，并為額外的分析提供信息；R盒從A、E盒中提取數(shù)據(jù)R盒啟動(dòng)適當(dāng)?shù)捻憫?yīng)。入侵檢測(cè)幾個(gè)重要概念事件：當(dāng)網(wǎng)絡(luò)或主機(jī)遭到入侵或出現(xiàn)較重大變化時(shí)，稱為發(fā)生安全事件，簡(jiǎn)稱事件。報(bào)警：當(dāng)發(fā)生事件時(shí)，IDS通過(guò)某種方式及時(shí)通知管理員事件情況稱為報(bào)警。響應(yīng)：當(dāng)IDS報(bào)警后，網(wǎng)絡(luò)管理員對(duì)事件及時(shí)作出處理稱為響應(yīng)。誤用：誤用是指不正當(dāng)使用計(jì)算機(jī)或網(wǎng)絡(luò)，并構(gòu)成對(duì)計(jì)算機(jī)安全或網(wǎng)絡(luò)安全威脅的一類行為。異常：對(duì)網(wǎng)絡(luò)或主機(jī)的正常行為進(jìn)行采樣、分析，描述出正常的行為輪廓，建立行為模型，當(dāng)網(wǎng)絡(luò)或主機(jī)上出現(xiàn)偏離行為模型的事件時(shí)，稱為異常。入侵特征：也稱為攻擊簽名（AttackSignature）或攻擊模式（AttackPatterns），一般指對(duì)網(wǎng)絡(luò)或主機(jī)的某種入侵攻擊行為（誤用行為）的事件過(guò)程進(jìn)行分析提煉，形成可以分辨出該入侵攻擊事件的特征關(guān)鍵字，這些特征關(guān)鍵字被稱為入侵特征。感應(yīng)器：置在網(wǎng)絡(luò)或主機(jī)中用于收集網(wǎng)絡(luò)信息或用戶行為信息的軟硬件，稱為感應(yīng)器。感應(yīng)器應(yīng)該布置在可以及時(shí)取得全面數(shù)據(jù)的關(guān)鍵點(diǎn)上，其性能直接決定IDS檢測(cè)的準(zhǔn)確率（如企業(yè)的攝像頭監(jiān)控設(shè)備）。入侵檢測(cè)幾個(gè)重要概念入侵檢測(cè)系統(tǒng)工作過(guò)程信息收集：入侵檢測(cè)的第一步是信息收集，收集內(nèi)容包括系統(tǒng)和網(wǎng)絡(luò)的數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為。信息收集工作一般由由放置在不同網(wǎng)段的感應(yīng)器來(lái)收集網(wǎng)絡(luò)中的數(shù)據(jù)信息和主機(jī)內(nèi)感應(yīng)器來(lái)收集該主機(jī)的信息(盡可能擴(kuò)大檢測(cè)范圍；從一個(gè)源來(lái)的信息有可能看不出疑點(diǎn))入侵檢測(cè)很大程度上依賴于收集信息的可靠性和正確性入侵檢測(cè)系統(tǒng)軟件本身應(yīng)具有相當(dāng)強(qiáng)的堅(jiān)固性，防止被篡改而收集到錯(cuò)誤的信息。信息收集的來(lái)源系統(tǒng)或網(wǎng)絡(luò)的日志文件、網(wǎng)絡(luò)流量、系統(tǒng)目錄和文件的異常變化、程序執(zhí)行中的異常行為日志文件中記錄了各種行為類型，每種類型包含不同信息（用戶活動(dòng)）。攻擊者常在系統(tǒng)日志文件中留下蹤跡。網(wǎng)絡(luò)中包含重要信息的文件經(jīng)常是黑客修改和破壞的目標(biāo)，目錄和文件中不期望的改變是入侵產(chǎn)生的指示。信息分析將收集到的有關(guān)系統(tǒng)和網(wǎng)絡(luò)的數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等信息送到檢測(cè)引擎，檢測(cè)引擎一般通過(guò)三種技術(shù)手段進(jìn)行分析：模式匹配、統(tǒng)計(jì)分析和完整性分析。結(jié)果處理當(dāng)控制臺(tái)接到發(fā)生安全事件的通知，將產(chǎn)生報(bào)警，也可依據(jù)預(yù)先定義的相應(yīng)措施進(jìn)行聯(lián)動(dòng)響應(yīng)。如可以重新配置路由器或防火墻、終止進(jìn)程、切斷連接、改變文件屬性等。入侵檢測(cè)性能關(guān)鍵參數(shù)IDS主要功能7.3.2入侵檢測(cè)系統(tǒng)分類主機(jī)型入侵檢測(cè)系統(tǒng)工作原理基于主機(jī)的檢測(cè)威脅主機(jī)的數(shù)據(jù)源主機(jī)型入侵檢測(cè)系統(tǒng)HIDS優(yōu)點(diǎn)：

性價(jià)比較高，不需要增加專門的硬件平臺(tái)；

對(duì)系統(tǒng)實(shí)時(shí)的狀態(tài)進(jìn)行監(jiān)測(cè)，準(zhǔn)確率高；

不受網(wǎng)絡(luò)流量的影響。缺點(diǎn)：

與操作系統(tǒng)平臺(tái)相關(guān)，可移植性差；

需要在每個(gè)被檢測(cè)主機(jī)上安裝，維護(hù)較復(fù)雜；

難以檢測(cè)針對(duì)網(wǎng)絡(luò)的攻擊。網(wǎng)絡(luò)型入侵檢測(cè)系統(tǒng)NIDSNIDS的作用網(wǎng)絡(luò)型入侵檢測(cè)系統(tǒng)工作原理網(wǎng)絡(luò)型入侵檢測(cè)系統(tǒng)NIDS以檢測(cè)技術(shù)為分類標(biāo)準(zhǔn)基于誤用檢測(cè)(MisuseDetection)的IDS優(yōu)點(diǎn)：依據(jù)具體特征庫(kù)進(jìn)行判斷，檢測(cè)準(zhǔn)確度高，誤報(bào)率低缺點(diǎn)：檢測(cè)范圍受局限，無(wú)法檢測(cè)未知攻擊，漏報(bào)率高；

入侵特征庫(kù)需要不斷更新維護(hù)。如果入侵特征與正常用戶行為能匹配，會(huì)發(fā)生誤報(bào)如果沒(méi)有特征能與某種新的攻擊行為匹配，會(huì)發(fā)生漏報(bào)前提：所有的入侵行為都有可被檢測(cè)到的特征基于異常檢測(cè)（AnomalyDetection）的IDS前提：入侵是異常活動(dòng)的子集用戶輪廓：定義為各種行為參數(shù)的集合，用于描述正常行為范圍正常狀態(tài)下，使用者的行為特征或資源使用狀況的標(biāo)準(zhǔn)特征實(shí)際使用者的行為特征與標(biāo)準(zhǔn)特征之間偏差的極限值優(yōu)點(diǎn)：拿用戶輪廓與標(biāo)準(zhǔn)輪廓相比，漏報(bào)率低。缺點(diǎn)：由于用戶行為和資源使用情況會(huì)因特殊原因發(fā)生較大變化，得到標(biāo)準(zhǔn)輪廓及確定閾值難度較大，誤報(bào)率高。IDS部署方式7.3.3入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù)研究具有綜合性、多領(lǐng)域性的特點(diǎn)，技術(shù)種類繁多，涉及到許多相關(guān)學(xué)科。從誤用檢測(cè)、異常檢測(cè)、誘騙和響應(yīng)等四個(gè)方面分析一下入侵檢測(cè)的主要技術(shù)方法。誤用檢測(cè)技術(shù)專家系統(tǒng)特征分析模型推理狀態(tài)轉(zhuǎn)換分析完整性校驗(yàn)等總結(jié)安全專家關(guān)于入侵檢測(cè)方面的知識(shí)，并以規(guī)則結(jié)構(gòu)的形式表示出來(lái)，通過(guò)規(guī)則條件判斷來(lái)確定入侵后采取的措施。存在的問(wèn)題：全面性、效率問(wèn)題將收集到的信息與已知的誤用模式數(shù)據(jù)庫(kù)進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。優(yōu)點(diǎn)：檢測(cè)準(zhǔn)確率較高缺點(diǎn)：需要不斷升級(jí)，不能檢測(cè)未知類型的攻擊將入侵過(guò)程看做一個(gè)行為序列，針對(duì)每一種入侵方法確定系統(tǒng)的初始狀態(tài)和被入侵狀態(tài)，以及導(dǎo)致?tīng)顟B(tài)轉(zhuǎn)換的條件，用狀態(tài)轉(zhuǎn)換圖表示每一個(gè)狀態(tài)和特征事件。利用加密機(jī)制(消息摘要函數(shù))，能識(shí)別特定對(duì)象極其微小的變化。異常檢測(cè)技術(shù)構(gòu)建用戶正常行為的統(tǒng)計(jì)模型，然后將當(dāng)前行為與正常行為特征相比較來(lái)檢測(cè)。即通過(guò)監(jiān)視系統(tǒng)審計(jì)記錄上系統(tǒng)使用的異常情況，可以檢測(cè)出違反安全政策的事件。通常異常檢測(cè)都與一些數(shù)學(xué)分析方法相結(jié)合，但存在著誤報(bào)率較高的問(wèn)題。異常檢測(cè)主要針對(duì)用戶行為數(shù)據(jù)、系統(tǒng)資源使用情況進(jìn)行分析判斷。常見(jiàn)的異常檢測(cè)方法主要包括統(tǒng)計(jì)分析、預(yù)測(cè)模型、系統(tǒng)調(diào)用監(jiān)測(cè)以及基于人工智能的異常檢測(cè)技術(shù)等。入侵誘騙技術(shù)入侵誘騙是指用通過(guò)偽裝成具有吸引力的網(wǎng)絡(luò)