計算機(jī)網(wǎng)絡(luò)入侵與攻擊

第3章計算機(jī)網(wǎng)絡(luò)入侵與攻擊重點和難點典型攻擊方法及原理入侵檢測技術(shù)方法掌握防止入侵和攻擊的主要技術(shù)措施典型的攻擊方法及其原理入侵檢測系統(tǒng)原理、功能特點及其存在的缺陷了解入侵和攻擊的基本概念、關(guān)系及導(dǎo)致入侵和攻擊的原因入侵檢測的概念和基本方法3.1概述

“入侵”是一個廣義上的概念，所謂入侵是指任何威脅和破壞系統(tǒng)資源的行為。實施入侵行為的“人”稱為入侵者。攻擊是入侵者為進(jìn)行入侵所采取的技術(shù)手段和方法。3.1.1入侵和攻擊的概念入侵者所采用的攻擊手段主要有以下8種特定類型：1）冒充：將自己偽裝成具有較高權(quán)限的用戶，并以他的名義攻擊系統(tǒng)；2）重演：利用復(fù)制合法用戶所發(fā)出的數(shù)據(jù)（或部分?jǐn)?shù)據(jù)）并重發(fā)，以欺騙接收者；3）篡改：通過秘密篡改合法用戶所傳送數(shù)據(jù)的內(nèi)容；4）服務(wù)拒絕：中止或干擾服務(wù)器為合法用戶提供服務(wù)或抑制所有流向某一特定目標(biāo)的數(shù)據(jù)。5）內(nèi)部攻擊：利用其所擁有權(quán)力或越權(quán)對系統(tǒng)進(jìn)行破壞活動。6）外部攻擊：通過搭線竊聽、截獲輻射信號、冒充系統(tǒng)管理人員或授權(quán)用戶或系統(tǒng)的組成部分、設(shè)置旁路躲避鑒別和訪問控制機(jī)制等各種手段入侵系統(tǒng)；7）陷井門：首先通過某種方式侵入系統(tǒng)，然后，安裝陷井門。并通過更改系統(tǒng)功能屬性和相關(guān)參數(shù)，使入侵者在非授權(quán)情況下能對系統(tǒng)進(jìn)行各種非法操作。8）特洛伊木馬：這是一種具有雙重功能的客戶/服務(wù)體系結(jié)構(gòu)。特洛伊木馬系統(tǒng)不但擁有授權(quán)功能，而且還擁有非授權(quán)功能，一旦建立這樣的體系，整個系統(tǒng)便被占領(lǐng)。3.1.2入侵與攻擊的關(guān)系入侵與攻擊是直接相關(guān)的，入侵是目的，攻擊是手段，攻擊存在于整個入侵過程之中。攻擊是由入侵者發(fā)起并由攻擊者實現(xiàn)的一種“非法”行為。無論是入侵，還是攻擊，僅僅是在形式上和概念描述上有所區(qū)別而已。對計算機(jī)系統(tǒng)和網(wǎng)絡(luò)而言，入侵與攻擊沒有什么本質(zhì)區(qū)別，入侵伴隨著攻擊，攻擊的結(jié)果就是入侵。當(dāng)攻擊得手而侵入目標(biāo)網(wǎng)絡(luò)之后，入侵者利用各種手段掠奪和破壞別人的資源。3.1.3導(dǎo)致入侵和攻擊的原因?qū)е氯肭趾凸舻脑蚴謴?fù)雜，其可能的原因歸納如下：1）竊取情報、獲取文件和傳輸?shù)臄?shù)據(jù)信息；2）安裝有害程序、病毒、或特殊進(jìn)程等；3）獲得更高的系統(tǒng)使用權(quán)限；4）搜索系統(tǒng)漏洞、安裝后門等；5）非法訪問、進(jìn)行非法操作等；6）干擾網(wǎng)絡(luò)系統(tǒng)工作、拒絕服務(wù)等；7）其他目的，例如，傳播非法信息、篡改數(shù)據(jù)、欺騙、挑戰(zhàn)、政治企圖、危害國家經(jīng)濟(jì)利益、破壞等。8）電子信息戰(zhàn)的需要。1．訪問控制技術(shù)訪問控制的主要目的是確保網(wǎng)絡(luò)資源不被非法訪問和非法利用，它所涉及的內(nèi)容包括網(wǎng)絡(luò)登錄控制、網(wǎng)絡(luò)使用權(quán)限控制、目錄級控制以及屬性控制等多種手段。（1）網(wǎng)絡(luò)登錄控制

通過網(wǎng)絡(luò)登錄控制可以限制用戶對網(wǎng)絡(luò)服務(wù)器的訪問，或禁止用戶登錄，或限制用戶只能在指定的工作站上進(jìn)行登錄，或限制用戶登錄到指定的服務(wù)器上，或限制用戶只能在指定的時間登錄網(wǎng)絡(luò)等。3.1.4防止入侵和攻擊的主要技術(shù)措施網(wǎng)絡(luò)登錄控制一般需要經(jīng)過三個環(huán)節(jié)，一是驗證用戶身份，識別用戶名；二是驗證用戶口令，確認(rèn)用戶身份；三是核查該用戶帳號的默認(rèn)權(quán)限。在這三個環(huán)節(jié)中，只要其中一個環(huán)節(jié)出現(xiàn)異常，該用戶就不能登錄網(wǎng)絡(luò)。網(wǎng)絡(luò)登錄控制是由網(wǎng)絡(luò)管理員依據(jù)網(wǎng)絡(luò)安全策略實施的。（2）網(wǎng)絡(luò)使用權(quán)限控制

當(dāng)用戶成功登錄網(wǎng)絡(luò)后，就可以使用其所擁有的權(quán)限對網(wǎng)絡(luò)資源進(jìn)行訪問。網(wǎng)絡(luò)使用權(quán)限控制就是針對可能出現(xiàn)的非法操作或誤操作提出來的一種安全保護(hù)措施。網(wǎng)絡(luò)使用權(quán)限控制是通過訪問控制表來實現(xiàn)的。訪問控制表規(guī)定了用戶可以訪問的網(wǎng)絡(luò)資源以及能夠?qū)@些資源進(jìn)行的操作。根據(jù)網(wǎng)絡(luò)使用權(quán)限，可以將網(wǎng)絡(luò)用戶分為系統(tǒng)管理員用戶、審計用戶和普通用戶。（3）目錄級安全控制用戶獲得網(wǎng)絡(luò)使用權(quán)限后，即可對相應(yīng)的目錄、文件或設(shè)備進(jìn)行規(guī)定的訪問。一般情況下，對目錄和文件的訪問權(quán)限包括：系統(tǒng)管理員權(quán)限、讀權(quán)限、寫權(quán)限、創(chuàng)建權(quán)限、刪除權(quán)限、修改權(quán)限、文件查找權(quán)限和訪問控制權(quán)限。目錄級安全控制可以限制用戶對目錄和文件的訪問權(quán)限，進(jìn)而保護(hù)目錄和文件的安全，防止權(quán)限濫用。（4）屬性安全控制屬性安全控制是通過給網(wǎng)絡(luò)資源設(shè)置安全屬性標(biāo)記實現(xiàn)的。當(dāng)系統(tǒng)管理員給文件、目錄和網(wǎng)絡(luò)設(shè)備等資源設(shè)置訪問屬性后，用戶對這些資源的訪問將會受到一定的限制。（5）服務(wù)器安全控制

網(wǎng)絡(luò)允許在服務(wù)器控制臺上執(zhí)行一系列操作。用戶使用控制臺可以裝載和卸載模塊，可以安裝和刪除軟件等操作。2．防火墻技術(shù)防火墻是用來保護(hù)內(nèi)部網(wǎng)絡(luò)免受外部網(wǎng)絡(luò)的惡意攻擊和入侵，將入侵者拒之門外的網(wǎng)絡(luò)安全技術(shù)。防火墻是內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的邊界，它能夠嚴(yán)密監(jiān)視進(jìn)出邊界的數(shù)據(jù)包信息，能夠阻擋入侵者，嚴(yán)格限制外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的訪問，也可有效的監(jiān)視內(nèi)部網(wǎng)絡(luò)對外部網(wǎng)絡(luò)的訪問。3．入侵檢測技術(shù)入侵檢測技術(shù)是網(wǎng)絡(luò)安全技術(shù)和信息技術(shù)結(jié)合的產(chǎn)物。使用入侵檢測技術(shù)可以實時監(jiān)視網(wǎng)絡(luò)系統(tǒng)的某些區(qū)域，當(dāng)這些區(qū)域受到攻擊時，能夠及時檢測和立即響應(yīng)處理。4．安全掃描安全掃描是對計算機(jī)系統(tǒng)或其他網(wǎng)絡(luò)設(shè)備進(jìn)行相關(guān)安全檢測，以查找安全隱患和可能被攻擊者利用的漏洞。安全掃描分主動式和被動式兩種。主動式安全掃描是基于網(wǎng)絡(luò)的，主要通過模擬攻擊行為記錄系統(tǒng)反應(yīng)來發(fā)現(xiàn)網(wǎng)絡(luò)中存在的漏洞，這種掃描稱為網(wǎng)絡(luò)安全掃描；而被動式安全掃描是基于主機(jī)的，主要通過檢查系統(tǒng)中不合適的設(shè)置、脆弱性口令、以及其他同安全規(guī)則相抵觸的對象來發(fā)現(xiàn)系統(tǒng)中存在的安全隱患，這種掃描稱為系統(tǒng)安全掃描。安全掃描所涉及到的檢測技術(shù)主要有以下四種：1）基于應(yīng)用的檢測技術(shù)。2）基于主機(jī)的檢測技術(shù)。3）基于目標(biāo)的漏洞檢測技術(shù)。4）基于網(wǎng)絡(luò)的檢測技術(shù)。另外，安全掃描技術(shù)正逐漸向模塊化和專家系統(tǒng)兩個方向發(fā)展。5．安全審計安全審計是對網(wǎng)絡(luò)系統(tǒng)的活動進(jìn)行監(jiān)視、記錄并提出安全意見和建議的一種機(jī)制。利用安全審計可以有針對性的對網(wǎng)絡(luò)運行狀態(tài)和過程進(jìn)行記錄、跟蹤和審查。通過安全審計不僅可以對網(wǎng)絡(luò)風(fēng)險進(jìn)行有效評估，還可以為制訂合理的安全策略和加強(qiáng)安全管理提供決策依據(jù)，使網(wǎng)絡(luò)系統(tǒng)能夠及時調(diào)整對策。計算機(jī)網(wǎng)絡(luò)安全審計主要包括對操作系統(tǒng)、數(shù)據(jù)庫、Web、郵件系統(tǒng)、網(wǎng)絡(luò)設(shè)備和防火墻等項目的安全審計，以及加強(qiáng)安全教育，增強(qiáng)安全責(zé)任意識。網(wǎng)絡(luò)安全審計系統(tǒng)包含的主要功能和所涉及的共性問題（1）網(wǎng)絡(luò)安全審計系統(tǒng)主要功能：采集多種類型的日志數(shù)據(jù)

日志管理

日志查詢?nèi)肭謾z測自動生成安全分析報告網(wǎng)絡(luò)狀態(tài)實時監(jiān)視事件響應(yīng)機(jī)制集中管理（2）網(wǎng)絡(luò)安全審計系統(tǒng)所涉及的共性問題日志格式兼容問題

日志數(shù)據(jù)的管理問題

日志數(shù)據(jù)的集中分析問題分析報告及統(tǒng)計報表的自動生成問題6．安全管理（1）信息安全管理的內(nèi)涵根據(jù)我國計算機(jī)信息系統(tǒng)安全等級保護(hù)管理要求（GA/T391—2002）中的描述，信息安全管理的內(nèi)涵是對一個組織或機(jī)構(gòu)中信息系統(tǒng)的生命周期全過程實施符合安全等級責(zé)任要求的科學(xué)管理，它包括：1）落實安全組織及安全管理人員，明確角色與職責(zé)，制定安全規(guī)劃；2）開發(fā)安全策略；3）實施風(fēng)險管理；4）制定業(yè)務(wù)持續(xù)性計劃和災(zāi)難恢復(fù)計劃；5）選擇與實施安全措施；6）保證配置、變更的正確與安全；7）進(jìn)行安全審計；8）保證維護(hù)支持；9）進(jìn)行監(jiān)控、檢查，處理安全事件；10）安全意識與安全教育；11）人員安全管理等內(nèi)容。一般意義上講，安全管理就是指為實現(xiàn)信息安全目標(biāo)而采取的一系列管理制度和技術(shù)手段，包括安全檢測、監(jiān)控、響應(yīng)和調(diào)整的全部控制過程。而對整個系統(tǒng)進(jìn)行風(fēng)險分析和評估是明確信息安全目標(biāo)要求的重要手段。（2）信息安全管理的基本原則不論多么先進(jìn)的安全技術(shù)，都只是實現(xiàn)信息安全管理的手段。信息安全源于有效的管理，要使先進(jìn)的安全技術(shù)發(fā)揮較好的效果，就必須建立良好的信息安全管理體系，這是一個根本問題。人們總是認(rèn)為信息安全是一個技術(shù)上的問題，并將信息安全管理的責(zé)任限制在技術(shù)人員身上，這種觀點和做法是十分錯誤的。在我國，加強(qiáng)對信息安全工作的領(lǐng)導(dǎo)，建立健全信息安全管理責(zé)任制，通常以誰主管誰負(fù)責(zé)、誰運營誰負(fù)責(zé)和誰使用誰負(fù)責(zé)為基本要求，堅持的總原則是：主要領(lǐng)導(dǎo)人負(fù)責(zé)原則；規(guī)范定級原則；依法行政原則；以人為本原則；適度安全原則；全面防范、突出重點原則；系統(tǒng)、動態(tài)原則；以及控制社會影響原則。而信息安全管理的主要策略是：分權(quán)制衡、最小特權(quán)、選用成熟技術(shù)和普遍參與的四條策略。（3）信息安全管理的基本過程安全管理是一個不斷發(fā)展、不斷修正的動態(tài)過程，貫穿于信息系統(tǒng)生命周期，涉及到信息系統(tǒng)管理層面、物理層面、網(wǎng)絡(luò)層面、操作系統(tǒng)層面、應(yīng)用系統(tǒng)層面和運行層面的安全風(fēng)險管理。在這些層面上的安全管理是保證信息系統(tǒng)安全技術(shù)、安全工程、安全運行正確、安全、有效的基礎(chǔ)。圖3.1描述了一個信息系統(tǒng)安全管理過程的基本模型，在該模型中，每個階段的管理工作重點不同，要求也不同。總的安全目標(biāo)是防止國家秘密和單位敏感信息的失密、泄密和竊密，防止數(shù)據(jù)的非授權(quán)修改、丟失和破壞，防止系統(tǒng)能力的喪失、降低，防止欺騙，保證信息及系統(tǒng)的可信度和資產(chǎn)的安全。安全目標(biāo)戰(zhàn)略政策和策略組織、環(huán)境和法律等的影響風(fēng)險分析

與評估確定安全保護(hù)等級，選擇和實施保護(hù)措施監(jiān)控、安全意識、配置管理、變更管理、業(yè)務(wù)持續(xù)性計劃等圖3.1信息系統(tǒng)安全管理過程的基本模型3.2典型攻擊方法及其原理

1．掃描器法原理該方法是利用C/S結(jié)構(gòu)中的請求-應(yīng)答機(jī)制實現(xiàn)的。它通過使用不同的請求信息依次向遠(yuǎn)程主機(jī)或本地主機(jī)發(fā)送服務(wù)請求，然后根據(jù)遠(yuǎn)程主機(jī)或本地主機(jī)的響應(yīng)情況來判別它們目前所處的工作狀態(tài)，最后決定下一步的操作。如果遠(yuǎn)程主機(jī)或本地主機(jī)有響應(yīng)，則表明與服務(wù)請求所對應(yīng)的服務(wù)正在進(jìn)行中，這時，再進(jìn)一步分析和確定服務(wù)軟件的版本信息，并試探該版本中的漏洞是否存在，從而實現(xiàn)掃描的目的。3.2.1掃描器法

一個完整的掃描器應(yīng)具備的基本功能包括：（1）發(fā)現(xiàn)目標(biāo)主機(jī)和網(wǎng)絡(luò)；（2）發(fā)現(xiàn)目標(biāo)主機(jī)后，能夠掃描正在運行的各種服務(wù)；（3）能夠測試這些服務(wù)中是否存在漏洞。2．利用網(wǎng)絡(luò)命令大多數(shù)網(wǎng)絡(luò)操作系統(tǒng)都會提供一些用于網(wǎng)絡(luò)管理和維護(hù)的網(wǎng)絡(luò)命令，利用這些網(wǎng)絡(luò)命令可收集到許多有用的信息。但這些工具也常被入侵者用來掃描網(wǎng)絡(luò)信息，當(dāng)它們知道了目標(biāo)主機(jī)上運行的操作系統(tǒng)、服務(wù)軟件及其版本號后，就可利用已經(jīng)發(fā)現(xiàn)的漏洞來攻擊系統(tǒng)。3．端口掃描（1）端口掃描的工作原理通過使用一系列TCP或UDP端口號，不斷向目標(biāo)主機(jī)發(fā)出連接請求，試圖連接到目標(biāo)主機(jī)上，并記錄目標(biāo)主機(jī)的應(yīng)答信息。然后，進(jìn)一步分析主機(jī)的響應(yīng)信息，從中判斷是否可以匿名登錄，是否有可寫入的FTP目錄，是否可以使用telnet登錄等。（2）常用的端口掃描技術(shù)向目標(biāo)主機(jī)提出連接請求的方式很多，這些連接請求并不是真的要與目標(biāo)主機(jī)建立連接，只是想獲取目標(biāo)主機(jī)的響應(yīng)信息，以便進(jìn)一步分析目標(biāo)主機(jī)上可利用的信息資源。1）TCPconnect請求使用標(biāo)準(zhǔn)的connect()函數(shù)向目標(biāo)主機(jī)提出連接請求，如果目標(biāo)主機(jī)在指定的端口上處于偵聽狀態(tài)并且準(zhǔn)備接收連接請求，則connect()將操作成功，此時表明目標(biāo)主機(jī)的端口處于開放狀態(tài)，如果connect()操作失敗，則表明目標(biāo)主機(jī)的端口未開放。使用這種方法可以檢測到目標(biāo)主機(jī)上的各個端口的開放情況。2）TCPSYN請求這種請求是通過TCP三次握手的過程實現(xiàn)的。首先向目標(biāo)主機(jī)發(fā)送一個SYN數(shù)據(jù)包，接著等待目標(biāo)主機(jī)的應(yīng)答；如果目標(biāo)主機(jī)返回RST，則說明目標(biāo)主機(jī)的端口不可用，中止連接。如果目標(biāo)主機(jī)返回SYN|ACK，則說明目標(biāo)主機(jī)的端口可用，此時，向目標(biāo)主機(jī)發(fā)送RST數(shù)據(jù)包中止連接。3）TCPFIN請求當(dāng)向目標(biāo)主機(jī)的某個端口發(fā)送FIN數(shù)據(jù)包后，一般會出現(xiàn)兩種情況：一是目標(biāo)主機(jī)沒有任何回應(yīng)信息；二是目標(biāo)主機(jī)返回RST。第一種情況說明目標(biāo)主機(jī)的端口可用，第二種情況說明目標(biāo)主機(jī)的端口不可用。4）IP分段請求事先將一個探測用的TCP數(shù)據(jù)包分成兩個較小的IP數(shù)據(jù)包，然后向目標(biāo)主機(jī)傳送。目標(biāo)主機(jī)收到這些IP分段后，會將它們重新組合成原來的TCP數(shù)據(jù)包。這樣不直接發(fā)送TCP數(shù)據(jù)包而選擇IP分段發(fā)送的目的是使它們能夠穿過防火墻和包過濾器而到達(dá)目標(biāo)。5）FTP反射請求在FTP中，當(dāng)某臺主機(jī)與目標(biāo)主機(jī)在FTPserver-PI上建立一個控制連接后，可以通過對server-PI進(jìn)行請求來激活一個有效的server-DTP，并使用這個server-DTP向網(wǎng)絡(luò)上的其他主機(jī)發(fā)送數(shù)據(jù)。利用這種特性，可以借助一個代理FTP服務(wù)器來掃描TCP端口。其實現(xiàn)過程是：首先連接到FTP服務(wù)器上；然后向FTP服務(wù)器寫入數(shù)據(jù)；最后激活數(shù)據(jù)傳輸過程由FTP服務(wù)器把數(shù)據(jù)發(fā)送到目標(biāo)主機(jī)上的端口。對于端口掃描，可先利用FTP和PORT命令來設(shè)定主機(jī)和端口，然后執(zhí)行其他FTP文件命令，根據(jù)命令的響應(yīng)碼可以判斷出端口的狀態(tài)。該方法的優(yōu)點是能穿過防火墻和不被懷疑，缺點是速度慢和完全依賴于代理FTP服務(wù)器。6）UDP請求當(dāng)向目標(biāo)主機(jī)的某個端口發(fā)送UDP數(shù)據(jù)包時，會產(chǎn)生兩種情況：一是無任何信息返回；二是返回一個ICMP_PORT_UNREACH錯誤。第一種情況說明目標(biāo)主機(jī)的UDP端口已打開或UDP數(shù)據(jù)包已丟失；而第二種情況則說明目標(biāo)主機(jī)的UDP端口不可用。在第一種情況下，如果可以確認(rèn)所發(fā)送的UDP數(shù)據(jù)包沒有丟失，則可確認(rèn)目標(biāo)端口的狀態(tài)。如果估計所發(fā)送的UDP數(shù)據(jù)包已丟失，則需要重新發(fā)送數(shù)據(jù)包，直到探明目標(biāo)主機(jī)端口的狀態(tài)或終止掃描為止。4．漏洞掃描漏洞掃描是根據(jù)已發(fā)現(xiàn)的漏洞來判斷正在運行的服務(wù)中是否還存在著相應(yīng)的漏洞問題，如果存在，則應(yīng)立即打上補(bǔ)丁，否則就可能被入侵者利用來攻擊系統(tǒng)。目前存在的掃描器分為基于主機(jī)的和基于網(wǎng)絡(luò)的兩種類型?；谥鳈C(jī)的掃描器是運行在被檢測的主機(jī)上的，用于檢測所在主機(jī)上存在的漏洞信息；而基于網(wǎng)絡(luò)的掃描器則是用于檢測其他主機(jī)的，它通過網(wǎng)絡(luò)來檢測其他主機(jī)上存在的漏洞現(xiàn)象。3.2.2特洛伊木馬法特洛伊木馬是一種C/S結(jié)構(gòu)的網(wǎng)絡(luò)應(yīng)用程序。其中，木馬的服務(wù)器端程序可以駐留在目標(biāo)主機(jī)上并以后臺方式自動運行。攻擊者使用木馬的客戶端程序與駐留在目標(biāo)主機(jī)上的服務(wù)器木馬程序進(jìn)行通信，進(jìn)而獲取目標(biāo)主機(jī)上的各種信息。木馬的服務(wù)器端程序常以下列三種形式存在于目標(biāo)主機(jī)上，極具隱蔽性和危害性。1）將它的程序代碼作為單獨的程序出現(xiàn)，這個程序可以在設(shè)定的時間自動運行。2）將它的程序代碼集中隱藏在合法程序中，隨合法程序運行而獨立工作。3）更改合法程序，將其代碼分布到合法程序中，隨合法程序運行而獨立工作。安裝木馬程序的主要目的是用于遠(yuǎn)程管理和控制主機(jī)系統(tǒng)。但也經(jīng)常被攻擊者用作對系統(tǒng)進(jìn)行攻擊的一種手段。根據(jù)木馬程序的啟動特點，在Windows系統(tǒng)中，可以通過檢查windows系統(tǒng)啟動時自動加載程序的幾種方法來檢查并清除木馬程序。檢查和清除windows系統(tǒng)中的木馬程序的一般方法如下：1）在“開始/程序/啟動”菜單組中，如果發(fā)現(xiàn)有異常程序，則可直接清除。2）在autoexec.bat文件中，如果發(fā)現(xiàn)有類似“win程序名”的命令行，則在命令中的程序很可能就是木馬程序。3）在win.ini文件中，檢查[windows]段上由“run=”和“l(fā)oad=”兩個項目指定的程序是否有異常，如果有，很可能是木馬，則應(yīng)立即清除。4）在system.ini文件中，檢查[boot]段上由“shell=”項指定的程序是否有異常。正常情況下，應(yīng)該為：“shell=explorer.exe”，如果變成：“shell=explorer.exe

程序名”，則其中的程序名很可能是木馬程序。5）在注冊表中，與啟動相關(guān)的注冊表項是需要注意的。打開注冊表編輯器后，依次檢查相關(guān)的注冊表項的值，如果發(fā)現(xiàn)異常，則需要及時修正。下列注冊表項是需要重點檢查的項目內(nèi)容。HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunonceHKEY_CLASSES_ROOT\exefile\shell\open\command一般采用對比的方法來檢查注冊表項，用正確的注冊表與當(dāng)前的注冊表進(jìn)行對比，從中找出可疑的內(nèi)容。例如，在HKEY_CLASSES_ROOT\exefile\shell\open\command表項中包含的正確值為“”%1“%*”，如果被改為“程序名”%1“%*”，則可能是木馬程序名。如果發(fā)現(xiàn)異常程序，除了在上述文件中刪除它們之外，還要找到它們所在的目錄，徹底清除，否則，它們有可能還會自動加到相應(yīng)的啟動位置。3.2.3緩沖區(qū)溢出法緩沖區(qū)溢出是利用系統(tǒng)中的堆棧實現(xiàn)的。下面以32位的CPU的堆棧操作為例來說明緩沖區(qū)溢出的攻擊原理。當(dāng)CPU執(zhí)行入棧（PUSH）操作時，首先將堆棧寄存器ESP減4，然后將數(shù)據(jù)存入由ESP指向的存貯單元；而執(zhí)行出棧操作時，則先取出由ESP指向的存貯單元中的數(shù)據(jù)，然后將ESP加4。在調(diào)用函數(shù)時，CPU先將下一條指令的地址值（返回地址）EIP入棧保存，然后再依次把函數(shù)的參數(shù)入棧。如果函數(shù)內(nèi)部還有局部變量時，則在堆棧中再開辟空間以保存這些變量。正常情況下，函數(shù)調(diào)用結(jié)束時，由函數(shù)參數(shù)和局部變量所占用的堆?？臻g全部被釋放出棧，并恢復(fù)EIP寄存器的值開始執(zhí)行下一條指令。同時，堆棧指針被恢復(fù)成函數(shù)調(diào)用前的狀態(tài)。圖3.2描述了正常調(diào)用C函數(shù)main(int

arg,char*arv)時，堆棧的變化情況。假設(shè)C函數(shù)定義為：int

main(int

arg,char*arv){charbuff[60];strcpy(buff,arv);}由于字符串處理函數(shù)沒有對超長字符加以判斷和限制，因此，對于那些超出緩沖區(qū)長度的字符內(nèi)容必將覆蓋緩沖區(qū)以外的數(shù)據(jù)。在函數(shù)main()中，如果使用strcpy()函數(shù)把多于60個字符的字符串拷貝到堆棧內(nèi)的緩沖區(qū)中，則堆棧中的其他數(shù)據(jù)將會被覆蓋。如果經(jīng)心設(shè)計所覆蓋的內(nèi)容，如用特定的地址值覆蓋堆棧中的EIP值（圖3.2中的斜體字部分就是覆蓋后的堆棧內(nèi)容），那么，當(dāng)函數(shù)調(diào)用結(jié)束時，就會將這個特定的地址值賦給指令寄存器EIP，進(jìn)而導(dǎo)致指令執(zhí)行的順序發(fā)生改變。argarvEIP緩沖區(qū)EIP’argarvEIP緩沖區(qū)EIP’argarvEIPESP緩沖區(qū)EIP’argarvEIP緩沖區(qū)EIP’argarvEIPESPESPESPESPESP低高調(diào)用前EIP、參數(shù)入棧緩沖區(qū)入棧釋放緩沖區(qū)正常返回異常返回圖3.2正常調(diào)用C函數(shù)時堆棧指針的變化情況3.2.4拒絕服務(wù)攻擊法拒絕服務(wù)攻擊（DOS，DenyofService）是以停止目標(biāo)主機(jī)的網(wǎng)絡(luò)服務(wù)為目的。采用這種攻擊方法時，攻擊者不需獲取目標(biāo)主機(jī)的任何操作權(quán)限，就可以對目標(biāo)主機(jī)進(jìn)行攻擊。其攻擊原理是：利用各種手段不斷向目標(biāo)主機(jī)發(fā)送虛假請求、或垃圾信息等，使用目標(biāo)主機(jī)一直處于忙于應(yīng)付或一直處于等待回應(yīng)的狀態(tài)而無法為其他主機(jī)提供服務(wù)。1．廣播風(fēng)暴當(dāng)某臺主機(jī)使用廣播地址發(fā)送一個ICMPecho請求包時，其他一些主機(jī)會向該主機(jī)回應(yīng)ICMPecho應(yīng)答包。如果不斷的發(fā)送這樣的數(shù)據(jù)包，則會有大量的數(shù)據(jù)包被回應(yīng)到相應(yīng)的主機(jī)上，導(dǎo)致該主機(jī)一直處于接收響應(yīng)數(shù)據(jù)包的狀態(tài)而無法做其他的事。2．SYN淹沒正常情況下，建立一個TCP連接需要一個三方握手的過程，即需要進(jìn)行三次包交換。當(dāng)服務(wù)器收到一個由客戶發(fā)來的SYN包時，必須回應(yīng)一個SYN/ACK包，然后再等待該客戶回應(yīng)一個ACK包來確認(rèn)后，才建立連接。但是，如果客戶機(jī)只發(fā)送SYN包，而不向服務(wù)器發(fā)送確認(rèn)包，則導(dǎo)致服務(wù)器一直處于等待狀態(tài)直到超時為止。SYN淹沒攻擊就是利用這樣一個原理，定時向服務(wù)器發(fā)送SYN包而不去回應(yīng)它，致使服務(wù)器無法響應(yīng)其他客戶的請求，服務(wù)被中斷。3．IP分段攻擊某些操作系統(tǒng)在處理分段的IP數(shù)據(jù)包時，存在一個致命的漏洞。當(dāng)IP包被分段發(fā)送時，操作系統(tǒng)需要將分段的IP包組合成一個完整的IP包。在這個組合過程中，需要不斷的調(diào)整和計算每一個IP分段在IP包中的數(shù)據(jù)偏移地址和有效長度，直到組合完成。如果計算出某個IP分段的有效長度為負(fù)數(shù)，那么，將會導(dǎo)致向內(nèi)核緩沖區(qū)拷貝大量的數(shù)據(jù)，從而導(dǎo)致死機(jī)。通常，攻擊者向目標(biāo)主機(jī)發(fā)送兩個特殊的IP分段包（正常情況下，不會有這樣的分段），第1個IP分段包的數(shù)據(jù)偏移地址為0，有效長度為N，分段標(biāo)志位置1，表示后面還有IP分段包。第2個IP分段包的數(shù)據(jù)偏移地址為K，并使K<N，有效數(shù)據(jù)長度為S，并使K+S<N，分段標(biāo)志位置0，表示后面沒有IP分段包了。目標(biāo)主機(jī)收到第2個IP分段包后，發(fā)現(xiàn)該分段的偏移地址指向了第1個分段中的有效數(shù)據(jù)部分（如果K>=N，則不會出現(xiàn)這個問題），這時，操作系統(tǒng)需要調(diào)整第2個分段的數(shù)據(jù)偏移地址和有效長度的值。調(diào)整后，第2個分段的數(shù)據(jù)偏移地址為N，有效長度為（(K+S)-N），因此得到第2個IP分段的有效長度為負(fù)數(shù)，導(dǎo)致系統(tǒng)癱瘓。4．OOB攻擊在某些網(wǎng)絡(luò)協(xié)議中，沒有全面考慮如何處理帶外數(shù)據(jù)OOB（outofband）的問題，一旦遇到帶外數(shù)據(jù)將會導(dǎo)致異常發(fā)生。5．分布式攻擊由于攻擊者自身的帶寬有很，所以很難通過大量的網(wǎng)絡(luò)傳輸來威脅目標(biāo)主機(jī)。為了克服自身帶寬的限制，出現(xiàn)了分布式拒絕服務(wù)攻擊（DDOS，DistributedDenyOfService）。攻擊者把攻擊用的工具軟件駐留到多臺主機(jī)上，利用這些主機(jī)的帶寬一起向目標(biāo)主機(jī)發(fā)送大量的具有欺騙性的請求信息，致使目標(biāo)主機(jī)中斷服務(wù)。這種攻擊方法，既使目標(biāo)主機(jī)沒有漏洞，也能對目標(biāo)主機(jī)構(gòu)成嚴(yán)重威脅，導(dǎo)致目標(biāo)主機(jī)的服務(wù)中斷。攻擊者客戶機(jī)客戶機(jī)客戶機(jī)端口監(jiān)控程序目標(biāo)主機(jī)端口監(jiān)控程序端口監(jiān)控程序端口監(jiān)控程序端口監(jiān)控程序端口監(jiān)控程序圖3.3分布式s拒絕服務(wù)攻擊示意圖TFN（TribeFloodNetwork）攻擊就采用了分布式攻擊的方法。TFN由客戶機(jī)和端口監(jiān)控程序構(gòu)成，可選擇廣播風(fēng)暴、SYN淹沒、UDP等多種攻擊手段，同時提供了一個綁定在TCP端口上的即時響應(yīng)的命令處理器。攻擊者可控制一個或多個客戶機(jī)，每個客戶機(jī)能夠控制多個端口監(jiān)控程序，并通過指令來控制端口監(jiān)控制程序向目標(biāo)主機(jī)發(fā)起攻擊。6．IIS上傳攻擊在Internet服務(wù)中，某些協(xié)議對上傳到服務(wù)器上的數(shù)據(jù)長度一般沒有限制，這使得拒絕服務(wù)攻擊十分容易。例如，在HTTP協(xié)議中，利用POST方法上傳數(shù)據(jù)時，所上傳的數(shù)據(jù)長度是由字段ContentLenth指定的，但沒有大小限制。如果用戶指定一個非常大的數(shù)值，則導(dǎo)致IIS一直等待接收這些數(shù)據(jù)，直到傳送完成，才會釋放所占用的內(nèi)存資源。攻擊者就是利用這種缺陷，輕而易舉的向IIS發(fā)送大量的垃圾數(shù)據(jù)，導(dǎo)致服務(wù)器的內(nèi)存資源耗盡。當(dāng)內(nèi)存資源不足時，服務(wù)器將會頻繁使用磁盤緩沖區(qū)進(jìn)行數(shù)據(jù)交換，CPU的處理速度明顯3.2.5網(wǎng)絡(luò)監(jiān)聽法在網(wǎng)絡(luò)上，任何一臺主機(jī)所發(fā)送的數(shù)據(jù)包，都會通過網(wǎng)絡(luò)線路傳輸?shù)街付ǖ哪繕?biāo)主機(jī)上，所有在這個網(wǎng)絡(luò)線路上的主機(jī)都可以偵聽到這個傳輸?shù)臄?shù)據(jù)包。正常情況下，網(wǎng)卡對所經(jīng)過的數(shù)據(jù)包只做簡單的判斷處理，如果數(shù)據(jù)包中的目標(biāo)地址與網(wǎng)卡的相同，則接收該數(shù)據(jù)包，否則不做任何處理。如果將網(wǎng)卡設(shè)為雜湊模式，則該網(wǎng)卡就可接收任何流經(jīng)它的數(shù)據(jù)包，不論數(shù)據(jù)包的目標(biāo)地址是什么。攻擊者利用這樣一個原理，將網(wǎng)卡設(shè)置成雜湊模式，然后截獲流經(jīng)它的各種數(shù)據(jù)包進(jìn)行分析，對一些具有敏感性的數(shù)據(jù)包做進(jìn)一步的解析，如含有用戶名（username）和密碼（password）字樣的數(shù)據(jù)包。防止網(wǎng)絡(luò)被監(jiān)聽的一般方法有：①經(jīng)常檢查當(dāng)前正在運行的程序列表，如發(fā)現(xiàn)有不明身份的程序在運行，則應(yīng)提高警惕；②檢查可疑的日志文件，如果有大小不斷增加和時間不斷更新的日志文件存在，則應(yīng)立即檢查其內(nèi)容；③檢測網(wǎng)卡的工作模式，如果處于雜湊模式，則應(yīng)加強(qiáng)防范，查明原因；④使用安全通信協(xié)議，加強(qiáng)通信數(shù)據(jù)的保密性；⑤使用安全的網(wǎng)絡(luò)拓樸結(jié)構(gòu)，縮小數(shù)據(jù)包流經(jīng)的范圍。3.2.6電子欺騙法攻擊者為了獲取目標(biāo)主機(jī)上的資源，可能會采用電子欺騙的手法來達(dá)到目的。電子欺騙法主要是通過偽造數(shù)據(jù)包，并使用目標(biāo)主機(jī)可信任的IP地址作為源地址把偽造好的數(shù)據(jù)包發(fā)送到目標(biāo)主機(jī)上，以此獲取目標(biāo)主機(jī)的信任，進(jìn)而訪問目標(biāo)主機(jī)上的資源。由于TCP/IP協(xié)議本身存在很多缺陷，因此，不論目標(biāo)主機(jī)上運行的是何種操作系統(tǒng)，電子欺騙都是容易實現(xiàn)的，它也常被用作獲取目標(biāo)主機(jī)信任的一種攻擊方式。1．TCP序列號欺騙TCP序列號欺騙是通過TCP的三次握手過程，推測服務(wù)器的響應(yīng)序列號而實現(xiàn)的。這種欺騙既使在沒有得到服務(wù)器響應(yīng)的情況下，也可以產(chǎn)生TCP數(shù)據(jù)包與服務(wù)器進(jìn)行通信。為了確保端到端的可靠傳輸，TCP對所發(fā)送出的每個數(shù)據(jù)包都分配序列編號，當(dāng)對方收到數(shù)據(jù)包后則向發(fā)送方進(jìn)行確認(rèn)，接收方利用序列號來確認(rèn)數(shù)據(jù)包的先后順序，并丟棄重復(fù)的數(shù)據(jù)包。TCP序列號在TCP數(shù)據(jù)包中占32位字節(jié)，有發(fā)送序列號SEQS和確認(rèn)序列號SEQA兩種，它們分別對應(yīng)SYN和ACK兩個標(biāo)志。當(dāng)SYN置1時，表示所發(fā)送的數(shù)據(jù)包的序列號為SEQS

；當(dāng)ACK置1時，表示接收方準(zhǔn)備接收的數(shù)據(jù)包的序列號為SEQA

。在客戶機(jī)與服務(wù)器建立連接的三次握手過程中，序列號的變化如下：①ClientServer:SYN（SEQS=ISNC）②

Server

Client:SYN

（SEQS=ISNS），ACK（SEQA=ISNC+1）

③ServerClient:ACK（SEQA=ISNS+1）其中，客戶機(jī)首先向服務(wù)器發(fā)送一個初始序列號ISNC

，并置SYN=1，表示需要與服務(wù)器建立連接；服務(wù)器確認(rèn)這個傳輸后，向客戶機(jī)返回它本身的序列號ISNS，并置ACK=1，同時通知客戶機(jī)下一個期待獲得的數(shù)據(jù)序列號是ISNC+1；最后，客戶機(jī)再次確認(rèn)，完成三次握手的過程。在這個三次握手的過程中，如果能夠推測出由服務(wù)器返回的序列號ISNS的值，則可實現(xiàn)序列號欺騙攻擊。假設(shè)User是服務(wù)器上的可信任主機(jī)，Xser是冒充User的入侵者，那么，如果Xser預(yù)測出了ISNS的值，則TCP序列號欺騙攻擊的過程如下：①

XserServer:SYN（SEQS=ISNC）；使用User的IP作為源地址②ServerUser

:SYN（SEQS=ISNS），ACK（SEQA=ISNC+1）③XserServer:ACK（SEQA=ISNS+1）；使用User的IP作為源地址在這里，Xser以User的身份向服務(wù)器發(fā)送初始序列號，并置SYN=1，請求與服務(wù)器建立連接；當(dāng)服務(wù)器收到該請求后，向User返回應(yīng)答序列號，如果此時User能正常工作，則認(rèn)為這是一個非法數(shù)據(jù)包，而終止連接，使攻擊者的目的落空，否則，攻擊者將繼續(xù)以User的身份向服務(wù)器發(fā)送已推測出的確認(rèn)序列號ISNS+1，并與服務(wù)器建立連接，進(jìn)而可在服務(wù)器上行使User的權(quán)限，執(zhí)行相應(yīng)的操作。使用這種攻擊需要具備兩個基本條件：一是能推測出序列號ISNS的值；二是所冒充的可信任主機(jī)不能正常工作。其中，最關(guān)鍵的是要推測出由服務(wù)器返回的序列號ISNS的值。由服務(wù)器返回的這個值可能是個隨機(jī)數(shù)，它通常與被信任主機(jī)和服務(wù)器間的RTT時間有關(guān)，必須經(jīng)過多次采樣和統(tǒng)計分析，才可能推測到這個值。通常，可重復(fù)多次與被攻擊主機(jī)的某個端口（如SMTP）建立正常連接，然后斷開，并記錄每次連接所設(shè)定的ISN值。另外，還需要多次測試可信任主機(jī)與服務(wù)器間的RTT時間，并統(tǒng)計出平均值。根據(jù)這個RTT時間值，可以通過下式估算出ISN的值。一旦估計出ISN的值，就可進(jìn)行攻擊，這個攻擊過程是利用IP欺騙法實現(xiàn)的。ISN=64000×RTT64000×（RTT+1）當(dāng)目標(biāo)主機(jī)剛剛建立過一個連接時2．IP欺騙IP欺騙是利用可信任主機(jī)的IP地址向服務(wù)器發(fā)起攻擊的。3.2.7計算機(jī)病毒1．計算機(jī)病毒的概念與特征所謂計算機(jī)病毒（ComputerViruses）是指編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能或者毀壞數(shù)據(jù)，影響計算機(jī)使用，并具有自我復(fù)制功能的一組計算機(jī)指令或者程序代碼。2．病毒的傳播途徑病毒的傳播途徑大致分為兩類，一類是通過主機(jī)上的移動介質(zhì)；另一類是通過網(wǎng)絡(luò)。3．病毒的種類根據(jù)病毒的破壞性質(zhì)，可將病毒分為良性病毒和惡性病毒兩類；根據(jù)病毒所攻擊的操作系統(tǒng)情況，可將病毒分為DOS病毒、Windows病毒、Linux病毒和Unix病毒等類型；根據(jù)病毒所應(yīng)用的技術(shù)情況，可將病毒分為引導(dǎo)型、文件型和混合型病毒三種類型；根據(jù)Internet應(yīng)用情況，可將病毒分為變形病毒、宏病毒、電子郵件病毒、腳本病毒、網(wǎng)絡(luò)蠕蟲病毒、黑客、木馬/后門、Java/ActiveX惡意代碼等多種類型。4．感染病毒的癥狀當(dāng)系統(tǒng)受到病毒感染時，可能會出現(xiàn)下列癥狀：1）程序裝入時間比平時長，運行異常；2）有規(guī)律的發(fā)現(xiàn)異常信息；3）用戶訪問設(shè)備時發(fā)現(xiàn)異常情況；4）磁盤的空間突然變小了，或不識別磁盤設(shè)備；5）程序或數(shù)據(jù)神秘的丟失了，文件名不能辨認(rèn)；6）顯示器上經(jīng)常出現(xiàn)一些莫名奇妙的信息或異常顯示；7）機(jī)器經(jīng)常出現(xiàn)死機(jī)現(xiàn)象或不能正常啟動；8）發(fā)現(xiàn)可執(zhí)行文件的大小發(fā)生變化或發(fā)現(xiàn)來歷不明的隱藏文件等。5．清除病毒的基本方法清除病毒的基本方法包括人工處理和利用反病毒軟件兩種。人工處理方法通過準(zhǔn)確的分析判斷直接清除病毒，如果發(fā)現(xiàn)磁盤引導(dǎo)區(qū)的記錄被破壞，可直接用正確的引導(dǎo)記錄復(fù)蓋磁盤引導(dǎo)區(qū)；如果發(fā)現(xiàn)某一文件被病毒感染，可直接使用正常的文件復(fù)蓋被感染的文件或消除鏈接在該文件上的病毒，或者干脆清除該文件等就可清除病毒。通常反病毒軟件具有對特定種類的病毒進(jìn)行檢測的功能，有的軟件可查出幾十種甚至幾百種病毒，并且大部分反病毒軟件可同時消除查出來的病毒。6．預(yù)防病毒的基本措施計算機(jī)病毒的危害極大。必須采取有效措施，防止計算機(jī)感染病毒。人工預(yù)防也稱標(biāo)志免疫法。因為任何一種病毒均有一定標(biāo)志，將此標(biāo)志固定在某一位置，然后把程序修改正確，達(dá)到免疫的目的。軟件預(yù)防主要是使用計算機(jī)病毒的疫苗程序，這種程序能夠監(jiān)督系統(tǒng)運行，并防止某些病毒入侵。硬件預(yù)防主要采取兩種方法：一是改變計算機(jī)系統(tǒng)結(jié)構(gòu)；二是插入附加固件。管理預(yù)防是目前最有效和普遍采用一種預(yù)防措施，它通過以下兩種途徑實現(xiàn)：1）法律制度。規(guī)定制造計算機(jī)病毒是違法行為，對罪犯用法律制裁。2）計算機(jī)系統(tǒng)管理制度。建立系統(tǒng)使用權(quán)限體系、建立健全系統(tǒng)資料和文件的使用管理制度、建立定期清除病毒和更新磁盤的管理規(guī)定等。3.3入侵檢測技術(shù)

入侵檢測（ID，IntrusionDetection）是通過監(jiān)視各種操作、分析、審計各種數(shù)據(jù)和現(xiàn)象來實時檢測入侵行為的過程，它是一種積極的和動態(tài)的安全防御技術(shù)。用于入侵檢測的所有軟硬件統(tǒng)稱為入侵檢測系統(tǒng)（IDS，IntrusionDetectionSystem）。這個系統(tǒng)可以通過網(wǎng)絡(luò)和計算機(jī)動態(tài)地搜集大量關(guān)鍵信息資料，并能及時分析和判斷整個系統(tǒng)環(huán)境的目前狀態(tài)，一旦發(fā)現(xiàn)有違反安全策略的行為或系統(tǒng)存在被攻擊的痕跡等，立即啟動有關(guān)安全機(jī)制進(jìn)行應(yīng)對。3.3.1入侵檢測的概念

目前，根據(jù)獲取原始數(shù)據(jù)的方法可以將入侵檢測系統(tǒng)分為基于主機(jī)的和基于網(wǎng)絡(luò)的兩種類型。基于主機(jī)的入侵檢測系統(tǒng)（IDS—HIDS）是通過監(jiān)視與分析主機(jī)的審計記錄實現(xiàn)的，它的關(guān)鍵問題是能否及時準(zhǔn)確的采集到審計資料，如果這個采集過程被入侵者控制，那么入侵檢測就沒有意義了。而基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（IDS—NIDS）是通過在共享網(wǎng)段上對通信數(shù)據(jù)的偵聽采集數(shù)據(jù)，并檢測所有數(shù)據(jù)包的包頭信息，分析可疑現(xiàn)象，從而達(dá)到入侵檢測的目的。這種方法不需要主機(jī)提供嚴(yán)格的審計，故較少消耗主機(jī)資源。入侵檢測的三個環(huán)節(jié)（1）采集信息。采集的主要內(nèi)容包括：系統(tǒng)和網(wǎng)絡(luò)日志、目錄和文件中的敏感數(shù)據(jù)、程序執(zhí)行期間的敏感行為、以及物理形式的入侵等；（2）信息分析。主要通過與安全策略中的模式匹配、與正常情況下的統(tǒng)計分析對比、與相關(guān)敏感信息屬性要求的完整性分析對比等；（3）入侵檢測響應(yīng)，分主動響應(yīng)和被動響應(yīng)，主動響應(yīng)可對入侵者和被入侵區(qū)域進(jìn)行有效控制。被動響應(yīng)只是監(jiān)視和發(fā)出告警信息，其控制需要人介入。3.3.2入侵檢測技術(shù)及發(fā)展入侵檢測技術(shù)的發(fā)展已經(jīng)歷了四個主要階段：第一階段是以基于協(xié)議解碼和模式匹配為主的技術(shù)，其優(yōu)點是對于已知的攻擊行為非常有效，各種已知的攻擊行為可以對號入座，誤報率低；缺點是高超的黑客采用變形手法或者新技術(shù)可以輕易躲避檢測，漏報率高。第二階段是以基于模式匹配+簡單協(xié)議分析+異常統(tǒng)計為主的技術(shù)，其優(yōu)點是能夠分析處理一部分協(xié)議，可以進(jìn)行重組，缺點是匹配效率較低，管理功能較弱。第三階段是以基于完全協(xié)議分析+模式匹配+異常統(tǒng)計為主的技術(shù)，其優(yōu)點是誤報率、漏報率和濫報率較低，效率高，可管理性強(qiáng)，并在此基礎(chǔ)上實現(xiàn)了多級分布式的檢測管理，缺點是可視化程度不夠，防范及管理功能較弱。第四階段是以基于安全管理+協(xié)議分析+模式匹配+異常統(tǒng)計為主的技術(shù)，其優(yōu)點是入侵管理和多項技術(shù)協(xié)同工作，建立全局的主動保障體系，具有良好的可視化、可控性和可管理性。以該技術(shù)為核心，可構(gòu)造一個積極的動態(tài)防御體系，即IMS--入侵管理系統(tǒng)。1．入侵檢測技術(shù)分類從技術(shù)上講，入侵檢測技術(shù)大致分為基于知識的模式識別、基于知識的異常識別和協(xié)議分析三類。（1）基于知識的模式識別這種技術(shù)是通過事先定義好的模式數(shù)據(jù)庫實現(xiàn)的，其基本思想是：首先把各種可能的入侵活動均用某種模式表示出來，并建立模式數(shù)據(jù)庫，然后監(jiān)視主體的一舉一動，當(dāng)檢測到主體活動違反了事先定義的模式規(guī)則時，根據(jù)模式匹配原則判別是否發(fā)生攻擊行為。（2）基于知識的異常識別這種技術(shù)是通過事先建立正常行為檔案庫實現(xiàn)的，其基本思想是：首先把主體的各種正?；顒佑媚撤N形式描述出來，并建立“正?；顒訖n案”，當(dāng)某種活動與所描述的正?；顒哟嬖诓町悤r，就認(rèn)為是“入侵”行為，進(jìn)而被檢測識別。利用行為進(jìn)行識別時，存在四種可能：一是入侵且行為正常；二是入侵且行為異常；三是非入侵且行為正常；四是非入侵且行為異常。根據(jù)異常識別思想，把第二種和第四種情況判定為“入侵”行為。以下是幾種基于知識的異常識別的檢測方法：1）基于審計的攻擊檢測技術(shù)根據(jù)用戶的歷史行為、先前的證據(jù)或模型，使用統(tǒng)計分析方法對用戶當(dāng)前的行為進(jìn)行檢測和判別，當(dāng)發(fā)現(xiàn)可疑行為時，保持跟蹤并監(jiān)視其行為，同時向系統(tǒng)安全員提交安全審計報告。2）基于神經(jīng)網(wǎng)絡(luò)的攻擊檢測技術(shù)而基于神經(jīng)網(wǎng)絡(luò)的攻擊檢測技術(shù)是一個對基于傳統(tǒng)統(tǒng)計技術(shù)的攻擊檢測方法的改進(jìn)方向，它能夠解決傳統(tǒng)的統(tǒng)計分析技術(shù)所面臨的若干問題。3）基于專家系統(tǒng)的攻擊檢測技術(shù)所謂專家系統(tǒng)就是一個依據(jù)專家經(jīng)驗定義的推理系統(tǒng)。這種檢測是建立在專家經(jīng)驗基礎(chǔ)上的，它根據(jù)專家經(jīng)驗進(jìn)行推理判斷得出結(jié)論。4）基于模型推理的攻擊檢測技術(shù)攻擊者在入侵一個系統(tǒng)時往往采用一定的行為程序，這種行為程序構(gòu)成了某種具有一定行為特征的模型，根據(jù)這種模型所代表的攻擊意圖的行為特征，可以實時地檢測出惡意的攻擊企圖。用基于模型的推理方法，人們能夠為某些行為建立特定的模型，從而能夠監(jiān)視具有特定行為特征的某些活動。根據(jù)假設(shè)的攻擊腳本，這種系統(tǒng)就能檢測出非法的用戶行為。（3）協(xié)議分析這種檢測方法是根據(jù)針對協(xié)議的攻擊行為實現(xiàn)的，其基本思想是：首先把各種可能針對協(xié)議的攻擊行為描述出來，其次建立用于分析的規(guī)則庫，最后利用傳感器檢查協(xié)議中的有效荷載，并詳細(xì)解析，從而實現(xiàn)入侵檢測。2．入侵檢測技術(shù)的發(fā)展趨勢（1）入侵技術(shù)發(fā)展的特點（2）入侵檢測存在的問題IDS的檢測模型始終落后于攻擊者的新知識和技術(shù)手段。主要表現(xiàn)在：1）利用加密技術(shù)欺騙IDS；2）躲避IDS的安全策略；3）快速發(fā)動進(jìn)攻，使IDS無法反應(yīng)；4）發(fā)動大規(guī)模攻擊，使IDS判斷出錯；5）直接破壞IDS系統(tǒng)；6）智能攻擊技術(shù)，邊攻擊邊學(xué)習(xí)，變IDS為攻擊者的工具。（3）入侵檢測技術(shù)發(fā)展趨勢。1）分布式入侵檢測，擴(kuò)大檢測范圍和類別；2）智能化入侵檢測，自學(xué)習(xí)、自適應(yīng)；3）應(yīng)用層入侵檢測；4）高速入侵檢測；5）標(biāo)準(zhǔn)化和系統(tǒng)化入侵檢測。目前，IDS發(fā)展的新趨勢主要表現(xiàn)在兩個方向上，一個是趨向構(gòu)建入侵防御系統(tǒng)（IPS）。二是趨向構(gòu)建入侵管理系統(tǒng)（IMS）。入侵檢測是一門綜合性技術(shù)，既包括實時檢測技術(shù)，也有事后分析技術(shù)。由于攻擊的不確定性，單一的IDS產(chǎn)品可能無法做到面面俱到。因此，IDS的未來發(fā)展必然是多元化的。只有通過不斷改進(jìn)和完善技術(shù)才能更好地協(xié)助網(wǎng)絡(luò)進(jìn)行安全防御。3.3.3入侵檢測系統(tǒng)1．基于主機(jī)的入侵檢測系統(tǒng)基于主機(jī)的入侵檢測系統(tǒng)用于防止對單機(jī)節(jié)點的入侵，它駐留在單機(jī)節(jié)點內(nèi)部，并以單機(jī)節(jié)點上OS的審計信息為依據(jù)來檢測入侵行為，其檢測目標(biāo)主要是主機(jī)系統(tǒng)和本機(jī)用戶，其檢測過程如圖3.4所示。這種檢測系統(tǒng)完全依賴于審計數(shù)據(jù)或系統(tǒng)日志數(shù)據(jù)的準(zhǔn)確性和完整性以及對安全事件的定義。如果攻擊者設(shè)法逃避審計或里應(yīng)外合，則該檢測系統(tǒng)就暴露出其至命的弱點，特別是在網(wǎng)絡(luò)環(huán)境下。事實上，僅僅依靠主機(jī)的審計信息來完成入侵檢測功能很難適應(yīng)網(wǎng)絡(luò)安全的基本要求，這主要表現(xiàn)在以下幾個方面：1）主機(jī)審計信息極易受到攻擊，入侵者可以通過使用某些特權(quán)或調(diào)用比審計本身更低級的操作來逃避審計；2）利用主機(jī)審計信息無法檢測到網(wǎng)絡(luò)攻擊，如域名欺騙、端口掃描等；3）由于在主機(jī)上運行入侵檢測系統(tǒng)，所以或多或少影響主機(jī)的性能；攻擊數(shù)據(jù)庫配置系統(tǒng)庫入侵檢測器應(yīng)急措施主機(jī)系統(tǒng)報警作操統(tǒng)系審計記錄圖3.4基于主機(jī)的入侵檢測系統(tǒng)2．基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)用于防止對某網(wǎng)絡(luò)的入侵，它放置在防火墻附近，從防火墻內(nèi)部或外部監(jiān)視整個網(wǎng)絡(luò)，并根據(jù)一些關(guān)鍵因素分析進(jìn)出網(wǎng)絡(luò)的網(wǎng)絡(luò)包，判斷是否與已知的攻擊或可疑的活動相匹配，一經(jīng)發(fā)現(xiàn)立即響應(yīng)并做出處理。圖3.5所示的系統(tǒng)是由檢測器、分析引擎、網(wǎng)絡(luò)安全數(shù)據(jù)庫、以及安全策略構(gòu)成。檢測器的功能是按一定的規(guī)則從網(wǎng)絡(luò)上獲取與安全事件相關(guān)的數(shù)據(jù)包，然后將所捕獲的數(shù)據(jù)包傳遞給分析引擎；分析引擎從檢測器接收到數(shù)據(jù)包后立即結(jié)合網(wǎng)絡(luò)安全數(shù)據(jù)庫進(jìn)行安全分析和判斷，并將分析結(jié)果發(fā)送給安全策略；安全策略根據(jù)分析引擎?zhèn)鱽淼慕Y(jié)果構(gòu)造出滿足檢測器需要的配置規(guī)則，并將配置規(guī)則反饋給檢測器。與防火墻相比，入侵檢測系統(tǒng)并不具備阻止攻擊的能力，但它可以及時發(fā)現(xiàn)攻擊，并以報警方式向管理員發(fā)出警告。目前有些入侵檢測產(chǎn)品增加了中斷入侵會話和非法修改訪問控制表的功能，但是，這也為攻擊者制造了拒絕服務(wù)攻擊的機(jī)會。網(wǎng)絡(luò)中的數(shù)據(jù)分析引擎安全策略網(wǎng)絡(luò)安全數(shù)據(jù)庫檢測器分析結(jié)果圖3.5基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)隨著網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)復(fù)雜化和大型化，網(wǎng)絡(luò)系統(tǒng)的弱點或漏洞不斷呈分布式結(jié)構(gòu)。網(wǎng)絡(luò)入侵行為也不在是單一化，而是呈多元化、分布式和大規(guī)模入侵等特點，在這種情況下，基于分布式的入侵檢測系統(tǒng)應(yīng)運而生。這種系統(tǒng)的控制結(jié)構(gòu)是基于自治主體的，它采用相互獨立并獨立于系統(tǒng)而運行的進(jìn)程組，進(jìn)程組中的每個進(jìn)程就是一個能完成特定檢測任務(wù)的自治主體，如圖3.6所示。訓(xùn)練模塊網(wǎng)絡(luò)層數(shù)據(jù)鏈路層自治主體操作員控制圖3.6基于分布式的入侵檢測系統(tǒng)在圖3.6所示的系統(tǒng)中，入侵檢測是由自治主體完成的，每個自治主體各負(fù)其責(zé)，嚴(yán)密監(jiān)視網(wǎng)絡(luò)系統(tǒng)中各種信息流的狀態(tài)。在基于分布式的系統(tǒng)中，一個重要的應(yīng)用思想就是主體協(xié)作。每個自治主體負(fù)責(zé)監(jiān)控網(wǎng)絡(luò)信息流的一個方面，多個自治主體相互協(xié)作，分布檢測，共同完成一項檢測任務(wù)。綜上所述，不論是何種入侵檢測系統(tǒng)都存在這樣或那樣的不足，因而需要不斷改進(jìn)和完善，一個較為理想的入侵檢測系統(tǒng)應(yīng)具備以下特征：1）準(zhǔn)確性。檢測系統(tǒng)對發(fā)現(xiàn)的攻擊行為不應(yīng)出現(xiàn)誤報和漏報現(xiàn)象；

2）可靠性。

3）容錯性。檢測系統(tǒng)本身必須具備完整性，保證檢測用的知識庫系