第12講網(wǎng)絡(luò)安全技術(shù)

1信息安全技術(shù)12023/9/2防火墻的本義原是指古代人們房屋之間修建的墻，這道墻可以防止火災(zāi)發(fā)生的時(shí)候蔓延到別的房屋，如下圖所示。這里所說的防火墻不是指為了防火而造的墻，而是指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)?！?1.1防火墻技術(shù)2信息安全技術(shù)22023/9/2在互聯(lián)網(wǎng)上，防火墻是一種非常有效的網(wǎng)絡(luò)安全系統(tǒng)，通過它可以隔離風(fēng)險(xiǎn)區(qū)域（Internet或有一定風(fēng)險(xiǎn)的網(wǎng)絡(luò)）與安全區(qū)域（局域網(wǎng)）的連接，同時(shí)不會(huì)妨礙安全區(qū)域?qū)︼L(fēng)險(xiǎn)區(qū)域的訪問，網(wǎng)絡(luò)防火墻結(jié)構(gòu)如下圖所示?！?1.1防火墻技術(shù)3信息安全技術(shù)32023/9/2根據(jù)不同的需要，防火墻的功能有比較大差異，但是一般都包含以下三種基本功能：1、可以限制未授權(quán)的用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)，過濾掉不安全的服務(wù)和非法用戶2、防止入侵者接近網(wǎng)絡(luò)防御設(shè)施3、限制內(nèi)部用戶訪問特殊站點(diǎn)由于防火墻假設(shè)了網(wǎng)絡(luò)邊界和服務(wù)，因此適合于相對獨(dú)立的網(wǎng)絡(luò)，例如Intranet等種類相對集中的網(wǎng)絡(luò)。Internet上的Web網(wǎng)站中，超過三分之一的站點(diǎn)都是有某種防火墻保護(hù)的，任何關(guān)鍵性的服務(wù)器，都應(yīng)該放在防火墻之后?！?1.1防火墻技術(shù)4信息安全技術(shù)42023/9/2防火墻的必要性：（1）集中化的安全管理，強(qiáng)化安全策略Internet上每天都有上百萬人在那里收集信息、交換信息，不可避免地會(huì)出現(xiàn)個(gè)別品德不良的人或違反規(guī)則的人，防火墻是為了防止不良現(xiàn)象發(fā)生的“交通警察”，它執(zhí)行站點(diǎn)的安全策略，僅僅容許“認(rèn)可的”和符合規(guī)則的請求通過。（2）網(wǎng)絡(luò)日志及使用統(tǒng)計(jì)防火墻是所有進(jìn)出信息必須通路，非常適用收集關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用和誤用的信息。作為訪問的唯一點(diǎn)，防火墻能在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間進(jìn)行記錄，對網(wǎng)絡(luò)存取訪問進(jìn)行和統(tǒng)計(jì)?！?1.1防火墻技術(shù)5信息安全技術(shù)52023/9/2（3）保護(hù)那些易受攻擊的服務(wù)防火墻能夠用來隔開網(wǎng)絡(luò)中一個(gè)網(wǎng)段與另一個(gè)網(wǎng)段。這樣能夠防止影響一個(gè)網(wǎng)段的問題通過整個(gè)網(wǎng)絡(luò)傳播。（4）增強(qiáng)的保密用來封鎖有關(guān)網(wǎng)點(diǎn)系統(tǒng)的DNS信息。因此，網(wǎng)點(diǎn)系統(tǒng)名字和IP地址都不要提供給Internet。（5）實(shí)施安全策略防火墻是一個(gè)安全策略的檢查站，控制對特殊站點(diǎn)的訪問。所有進(jìn)出的信息都必須通過防火墻，防火墻便成為安全問題的檢查點(diǎn)，使可疑的訪問被拒絕于門外?！?1.1防火墻技術(shù)6信息安全技術(shù)62023/9/2防火墻有以下四方面的局限：（1）防火墻不能防范網(wǎng)絡(luò)內(nèi)部的攻擊。比如：防火墻無法禁止內(nèi)部間諜將敏感數(shù)據(jù)拷貝到軟盤上。（2）防火墻不能防范不通過它的連接。防火墻能夠有效地防止通過它進(jìn)行傳輸信息，然而不能防止不通過它而傳輸?shù)男畔?。如果用網(wǎng)中有些資源繞過防火墻直接與Internet連通，則得不到防火墻的保護(hù)。（3）防火墻不能防止傳送己感染病毒的軟件或文件，不能期望防火墻去對每一個(gè)文件進(jìn)行掃描，查出潛在的病毒。（4）防火墻用來防備已知的威脅，不能自動(dòng)防御所有新的威脅?！?1.1防火墻技術(shù)7信息安全技術(shù)72023/9/2常見的放火墻有三種類型：數(shù)據(jù)包過濾、電路層網(wǎng)關(guān)、應(yīng)用層網(wǎng)關(guān)。1、包過濾(PacketFiltering)：作用在協(xié)議組的網(wǎng)絡(luò)層和傳輸層，根據(jù)分組包頭源地址、目的地址和端口號(hào)、協(xié)議類型等標(biāo)志確定是否允許數(shù)據(jù)包通過，只有滿足過濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地的出口端，其余數(shù)據(jù)包則從數(shù)據(jù)流中丟棄。2、應(yīng)用代理(ApplicationProxy)：也叫應(yīng)用網(wǎng)關(guān)(ApplicationGateway)，作用在應(yīng)用層，其特點(diǎn)是完全“阻隔”網(wǎng)絡(luò)通信流，通過對每種應(yīng)用服務(wù)編制專門的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。實(shí)際中的應(yīng)用網(wǎng)關(guān)通常由專用工作站實(shí)現(xiàn)?！?1.1防火墻技術(shù)8信息安全技術(shù)82023/9/23、狀態(tài)檢測（StatusDetection）：直接對分組里的數(shù)據(jù)進(jìn)行處理，并且結(jié)合前后分組的數(shù)據(jù)進(jìn)行綜合判斷，然后決定是否允許該數(shù)據(jù)包通過。§11.1防火墻技術(shù)9信息安全技術(shù)92023/9/2包過濾防火墻：數(shù)據(jù)包過濾可以在網(wǎng)絡(luò)層截獲數(shù)據(jù)。使用一些規(guī)則來確定是否轉(zhuǎn)發(fā)或丟棄所各個(gè)數(shù)據(jù)包。通常情況下，如果規(guī)則中沒有明確允許指定數(shù)據(jù)包的出入，那么數(shù)據(jù)包將被丟棄§11.1防火墻技術(shù)10信息安全技術(shù)102023/9/2一個(gè)可靠的包過濾防火墻依賴于規(guī)則集，下表列出了幾條典型的規(guī)則集。一：主機(jī)任何端口訪問任何主機(jī)的任何端口，基于TCP協(xié)議的數(shù)據(jù)包都允許通過。二：任何主機(jī)的20端口訪問主機(jī)的任何端口，基于TCP協(xié)議的數(shù)據(jù)包允許通過。三：任何主機(jī)的20端口訪問主機(jī)小于1024的端口，如果基于TCP協(xié)議的數(shù)據(jù)包都禁止通過。組序號(hào)動(dòng)作源IP目的IP源端口目的端口協(xié)議類型1允許***TCP2允許*20*TCP3禁止*20<1024TCP§11.1防火墻技術(shù)11信息安全技術(shù)112023/9/2包過濾防火墻優(yōu)點(diǎn)：價(jià)格較低、對用戶透明、對網(wǎng)絡(luò)性能的影響很小、速度快、易于維護(hù)。包過濾防火墻缺點(diǎn)：包過濾配置起來比較復(fù)雜、它對IP欺騙式攻擊比較敏感、它沒有用戶的使用記錄，這樣就不能從訪問記錄中發(fā)現(xiàn)黑客的攻擊記錄。而攻擊一個(gè)單純的包過濾式的防火墻對黑客來說是比較容易的，他們在這一方面已經(jīng)積累了大量的經(jīng)驗(yàn)?！?1.1防火墻技術(shù)12信息安全技術(shù)122023/9/2應(yīng)用代理防火墻：應(yīng)用代理（ApplicationProxy）是運(yùn)行在防火墻上的一種服務(wù)器程序，防火墻主機(jī)可以是一個(gè)具有兩個(gè)網(wǎng)絡(luò)接口的雙重宿主主機(jī)，也可以是一個(gè)堡壘主機(jī)。代理服務(wù)器被放置在內(nèi)部服務(wù)器和外部服務(wù)器之間，用于轉(zhuǎn)接內(nèi)外主機(jī)之間的通信，它可以根據(jù)安全策略來決定是否為用戶進(jìn)行代理服務(wù)。代理服務(wù)器運(yùn)行在應(yīng)用層，因此又被稱為“應(yīng)用網(wǎng)關(guān)”?！?1.1防火墻技術(shù)13信息安全技術(shù)132023/9/2應(yīng)用代理防火墻的優(yōu)點(diǎn)：可以將被保護(hù)的網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu)屏蔽起來，增強(qiáng)網(wǎng)絡(luò)的安全性；可用于實(shí)施較強(qiáng)的數(shù)據(jù)流監(jiān)控、過濾、記錄和報(bào)告等。應(yīng)用代理防火墻缺點(diǎn)：使訪問速度變慢，因?yàn)樗辉试S用戶直接訪問網(wǎng)絡(luò)；應(yīng)用級(jí)網(wǎng)關(guān)需要針對每一個(gè)特定的Internet服務(wù)安裝相應(yīng)的代理服務(wù)器軟件，用戶不能使用未被服務(wù)器支持的服務(wù)，這就意味著用戶可能會(huì)花費(fèi)一定的時(shí)間等待新服務(wù)器軟件的安裝；并不是所有的Internet應(yīng)用軟件都可以使用代理服務(wù)器?！?1.1防火墻技術(shù)14信息安全技術(shù)142023/9/2狀態(tài)檢測防火墻：狀態(tài)檢測防火墻安全特性非常好，它采用了一個(gè)在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件引擎，稱之為檢測模塊。檢測模塊在不影響網(wǎng)絡(luò)正常工作的前提下，采用抽取相關(guān)數(shù)據(jù)的方法對網(wǎng)絡(luò)通信的各層實(shí)施監(jiān)測，抽取部分?jǐn)?shù)據(jù)，即狀態(tài)信息，并動(dòng)態(tài)地保存起來作為以后指定安全決策的參考。狀態(tài)檢測防火墻的優(yōu)點(diǎn)：檢測模塊支持多種協(xié)議和應(yīng)用程序，并可以很容易地實(shí)現(xiàn)應(yīng)用和服務(wù)的擴(kuò)充；它會(huì)監(jiān)測RPC和UDP之類的端口信息，而包過濾和代理網(wǎng)關(guān)都不支持此類端口；性能堅(jiān)固。狀態(tài)檢測防火墻缺點(diǎn)：配置非常復(fù)雜；會(huì)降低網(wǎng)絡(luò)的速度?！?1.1防火墻技術(shù)15信息安全技術(shù)152023/9/2防火墻有三種體系結(jié)構(gòu)：雙宿／多宿主機(jī)結(jié)構(gòu)、屏蔽主機(jī)體系結(jié)構(gòu)、屏蔽子網(wǎng)體系結(jié)構(gòu)1、雙宿／多宿主機(jī)結(jié)構(gòu)：多宿主機(jī)通常是一臺(tái)具有多塊網(wǎng)卡的堡壘主機(jī)。堡壘主機(jī)可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的防火墻，從一個(gè)網(wǎng)絡(luò)到另一個(gè)網(wǎng)絡(luò)發(fā)送IP數(shù)據(jù)包必須經(jīng)過主機(jī)檢查。§11.1防火墻技術(shù)16信息安全技術(shù)162023/9/22、屏蔽主機(jī)結(jié)構(gòu)：該結(jié)構(gòu)防火墻需要一個(gè)帶數(shù)據(jù)分組過濾功能的路由器和一臺(tái)堡壘主機(jī)。使用一個(gè)單獨(dú)的路由器控制所有出入內(nèi)部網(wǎng)的訪問，并使堡壘主機(jī)成為外部網(wǎng)絡(luò)唯一可直接到達(dá)的主機(jī)。它實(shí)現(xiàn)了網(wǎng)絡(luò)層和應(yīng)用層安全，提供的安全級(jí)別相對較高?！?1.1防火墻技術(shù)17信息安全技術(shù)172023/9/23、屏蔽子網(wǎng)體系結(jié)構(gòu)：該結(jié)構(gòu)防火墻需要兩個(gè)分組過濾路由器和一臺(tái)堡壘主機(jī)。在內(nèi)部網(wǎng)絡(luò)與Internet之間有一個(gè)小型的獨(dú)立網(wǎng)絡(luò)，稱為周邊網(wǎng)。兩個(gè)分組過濾路由器，一個(gè)位于周邊網(wǎng)與內(nèi)部的網(wǎng)絡(luò)之間，另一個(gè)位于周邊網(wǎng)與外部網(wǎng)絡(luò)之間。內(nèi)部路由器（有時(shí)被稱為阻塞路由器）保護(hù)內(nèi)部的網(wǎng)絡(luò)使之免受Internet和周邊網(wǎng)的侵犯。外部路由器起著保護(hù)周邊網(wǎng)和內(nèi)部網(wǎng)免受來自Internet的攻擊。§11.1防火墻技術(shù)18信息安全技術(shù)182023/9/2入侵檢測技術(shù)是動(dòng)態(tài)安全技術(shù)的最核心技術(shù)之一。傳統(tǒng)的操作系統(tǒng)加固技術(shù)和防火墻隔離技術(shù)等都是靜態(tài)安全防御技術(shù)，對網(wǎng)絡(luò)環(huán)境下日新月異的攻擊手段缺乏主動(dòng)的反應(yīng)。

入侵檢測是防火墻的合理補(bǔ)充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息、分析信息，查看是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認(rèn)為是防火墻之后的第二道安全防線，提供對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)?！?1.2入侵檢測技術(shù)19信息安全技術(shù)192023/9/2什么是入侵檢測入侵檢測是指對入侵行為的發(fā)現(xiàn)、報(bào)警和響應(yīng)，它通過對計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)收集信息，并對收集到的信息進(jìn)行分析，從而判斷網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和系統(tǒng)被攻擊的征兆。入侵檢測的目標(biāo)是識(shí)別系統(tǒng)內(nèi)部人員和外部入侵者的非法使用、濫用計(jì)算機(jī)系統(tǒng)的行為?！?1.2入侵檢測技術(shù)20信息安全技術(shù)202023/9/2入侵檢測系統(tǒng)功能入侵檢測系統(tǒng)能主動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)中正在進(jìn)行的針對被保護(hù)目標(biāo)的惡意濫用或非法入侵，并能采取相應(yīng)的措施及時(shí)中止這些危害，如提示報(bào)警、阻斷連接、通知網(wǎng)管等。其主要功能是監(jiān)測并分析用戶和系統(tǒng)的活動(dòng)、核查系統(tǒng)配置中的安全漏洞、評估系統(tǒng)關(guān)鍵資源與數(shù)據(jù)文件的完整性、識(shí)別現(xiàn)有已知的攻擊行為或用戶濫用、統(tǒng)計(jì)并分析異常行為、對系統(tǒng)日志的管理維護(hù)?！?1.2入侵檢測技術(shù)21信息安全技術(shù)212023/9/2

入侵檢測系統(tǒng)1DS（IntrusionDetectionSystem）是負(fù)責(zé)入侵檢測的軟/硬件組合體，該系統(tǒng)對系統(tǒng)資源的非授權(quán)使用能夠做出及時(shí)的判斷、記錄和報(bào)警。

簡單的入侵檢測系統(tǒng)報(bào)警攻擊模式庫配置系統(tǒng)庫入侵分析引擎

響應(yīng)處理

數(shù)據(jù)采集安全控制主機(jī)系統(tǒng)系統(tǒng)操作審計(jì)記錄/協(xié)議數(shù)據(jù)§11.2入侵檢測技術(shù)22信息安全技術(shù)222023/9/2入侵檢測的三個(gè)基本步驟：信息收集、數(shù)據(jù)分析和響應(yīng)。1、信息收集：收集的內(nèi)容包括整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)中系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為。入侵檢測在很大程度上依賴于收集信息的可靠性、正確性和完備性。因此，要確保采集、報(bào)告這些信息的軟件工具的可靠性，這些軟件本身應(yīng)具有相當(dāng)強(qiáng)的堅(jiān)固性，能夠防止被篡改而收集到錯(cuò)誤的信息。否則，黑客對系統(tǒng)的修改可能使入侵檢測系統(tǒng)功能失常但看起來卻跟正常的系統(tǒng)一樣?！?1.2入侵檢測技術(shù)23信息安全技術(shù)232023/9/22、數(shù)據(jù)分析(AnalysisSchemes)：它是入侵檢測系統(tǒng)的核心，它的效率高低直接決定了整個(gè)入侵檢測系統(tǒng)的性能。根據(jù)數(shù)據(jù)分析的不同方式可將入侵檢測系統(tǒng)分為異常入侵檢測與誤用入侵檢測兩類。3、響應(yīng)：數(shù)據(jù)分析發(fā)現(xiàn)入侵跡象后，入侵檢測系統(tǒng)就必須進(jìn)行響應(yīng)，而并不局限于對可疑的攻擊者。目前的入侵檢測系統(tǒng)一般采取的響應(yīng)有：將分析結(jié)果記錄在日志文件中，并產(chǎn)生相應(yīng)的報(bào)告；觸發(fā)警報(bào)，如在系統(tǒng)管理員的桌面上產(chǎn)生一個(gè)告警標(biāo)志位，向系統(tǒng)管理員發(fā)送電子郵件等；修改入侵檢測系統(tǒng)或目標(biāo)系統(tǒng)，如終止進(jìn)程、切斷攻擊者的網(wǎng)絡(luò)連接，或更改防火墻配置等?！?1.2入侵檢測技術(shù)24信息安全技術(shù)242023/9/2根據(jù)入侵檢測采用的原理不同，入侵檢測系統(tǒng)可分為：異常檢測、誤用檢測和特征檢測。1、異常檢測：監(jiān)控用戶行為，將當(dāng)前行為活動(dòng)情況和用戶輪廓（描述正常行為范圍）進(jìn)行比較，用戶行為與正常行為有重大偏差時(shí)即被認(rèn)為是入侵。系統(tǒng)的效率取決于用戶輪廓的完備性和監(jiān)控的頻率。但是在許多環(huán)境中，為用戶建立正常行為模式的特征輪廓以及對用戶活動(dòng)的異常性進(jìn)行報(bào)警的門限值的確定都是比較困難的事，因?yàn)椴⒉皇撬腥肭终叩男袨槎寄軌虍a(chǎn)生明顯的異常性?！?1.2入侵檢測技術(shù)25信息安全技術(shù)252023/9/22、誤用檢測：系統(tǒng)提供攻擊特征庫，當(dāng)監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄匹配時(shí)，被認(rèn)為是入侵行為。錯(cuò)報(bào)率較異常監(jiān)測低，但是漏報(bào)率增加，因?yàn)楣籼卣鞯募?xì)微變化可能不被認(rèn)為是入侵行為。3、特征檢測：定義系統(tǒng)行為輪廓，并將系統(tǒng)行為與輪廓比較，對未指明為正常行為的事件定義為入侵。通過提高行為特征定義的準(zhǔn)確度和覆蓋范圍，可大幅度降低漏報(bào)和錯(cuò)報(bào)率?！?1.2入侵檢測技術(shù)26信息安全技術(shù)262023/9/2根據(jù)入侵檢測的信息來源不同，入侵檢測系統(tǒng)可分為兩類：基于主機(jī)的入侵檢測系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。1、基于主機(jī)的入侵檢測系統(tǒng)：檢測的目標(biāo)主要是主機(jī)系統(tǒng)和系統(tǒng)本地用戶。在需要保護(hù)的主機(jī)（端系統(tǒng)）上運(yùn)行代理程序，根據(jù)主機(jī)的審計(jì)數(shù)據(jù)和系統(tǒng)的日志發(fā)現(xiàn)可疑事件，從而實(shí)現(xiàn)監(jiān)控。優(yōu)點(diǎn)：檢測效率高，分析代價(jià)低，分析速度快，能迅速定位入侵者缺點(diǎn)：會(huì)降低應(yīng)用系統(tǒng)的效率；依賴于服務(wù)器固有的日志與監(jiān)視能力；全面布署代價(jià)較大，部分安裝則存在保護(hù)盲點(diǎn)。§11.2入侵檢測技術(shù)27信息安全技術(shù)272023/9/2審計(jì)記錄收集方法異常檢測誤用檢測安全管理員接口審計(jì)記錄數(shù)據(jù)庫審計(jì)記錄數(shù)據(jù)歸檔/查詢目標(biāo)系統(tǒng)審計(jì)記錄預(yù)處理基于主機(jī)的入侵檢測系統(tǒng)模型§11.2入侵檢測技術(shù)28信息安全技術(shù)282023/9/22、基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)：主要用于實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)關(guān)鍵路徑的信息，監(jiān)聽網(wǎng)絡(luò)上所有分組來采集數(shù)據(jù)，分析可疑現(xiàn)象。利用網(wǎng)絡(luò)適配器來實(shí)時(shí)監(jiān)視和分析所有通過網(wǎng)絡(luò)進(jìn)行傳輸?shù)耐ㄐ?。一旦檢測到攻擊，IDS相應(yīng)模塊通過通知、報(bào)警以及中斷連接等方式來對攻擊做出反應(yīng)。分析結(jié)果網(wǎng)絡(luò)接口網(wǎng)絡(luò)接口分析引擎模塊管理/配置模塊網(wǎng)絡(luò)安全數(shù)據(jù)庫采集模塊采集模塊§11.2入侵檢測技術(shù)29信息安全技術(shù)292023/9/2優(yōu)點(diǎn)：①檢測的范圍是整個(gè)網(wǎng)段，而不僅僅是被保護(hù)的主機(jī)。②實(shí)時(shí)檢測和應(yīng)答。一旦發(fā)生惡意訪問或攻擊，能夠更快地做出反應(yīng)，將入侵活動(dòng)對系統(tǒng)的破壞減到最低。③隱蔽性好。不需要在每個(gè)主機(jī)上安裝，不易被發(fā)現(xiàn)。④不需要任何特殊的審計(jì)和登錄機(jī)制，只要配置網(wǎng)絡(luò)接口就可以了，不會(huì)影響其他數(shù)據(jù)源。⑤操作系統(tǒng)獨(dú)立。基于網(wǎng)絡(luò)的IDS并不依賴主機(jī)的操作系統(tǒng)作為檢測資源。

§11.2入侵檢測技術(shù)30信息安全技術(shù)302023/9/2缺點(diǎn)：①只檢查它直接連接網(wǎng)段的通信；②為了性能目標(biāo)常采用特征檢測法，難實(shí)現(xiàn)復(fù)雜計(jì)算與分析。③會(huì)將大量的數(shù)據(jù)傳給檢測分析系統(tǒng)?！?1.2入侵檢測技術(shù)31信息安全技術(shù)312023/9/2入侵檢測系統(tǒng)關(guān)鍵技術(shù)1、模式匹配：模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。模式匹配方法是入侵檢測領(lǐng)域中應(yīng)用最為廣泛的檢測手段和機(jī)制之一，通常用于誤用檢測。2、統(tǒng)計(jì)分析：統(tǒng)計(jì)分析方法首先給用戶、文件、目錄和設(shè)備等系統(tǒng)對象創(chuàng)建一個(gè)統(tǒng)計(jì)描述。統(tǒng)計(jì)正常使用時(shí)的一些測量屬性，測量屬性的平均值將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，任何觀察值在正常值范圍之外時(shí)，就認(rèn)為有入侵發(fā)生?！?1.2入侵檢測技術(shù)32信息安全技術(shù)322023/9/23、專家系統(tǒng)：

專家系統(tǒng)是一種以知識(shí)為基礎(chǔ)，根據(jù)人類專家的知識(shí)和經(jīng)驗(yàn)進(jìn)行推理，解決需要專家才能解決的復(fù)雜問題的計(jì)算機(jī)程序系統(tǒng)。用專家系統(tǒng)對入侵進(jìn)行檢測主要是針對誤用檢測，是針對有特征入侵的行為。4、神經(jīng)網(wǎng)絡(luò)：

神經(jīng)網(wǎng)絡(luò)具有自適應(yīng)、自組織、自學(xué)習(xí)的能力，可以處理一些環(huán)境信息復(fù)雜、背景知識(shí)不清楚的問題?！?1.2入侵檢測技術(shù)33信息安全技術(shù)332023/9/25、數(shù)據(jù)挖掘：

數(shù)據(jù)挖掘是從大量的數(shù)據(jù)中抽取出潛在的、有價(jià)值的知識(shí)（即模型或規(guī)則）的過程。對于入侵檢測系統(tǒng)來說，也需要從大量的數(shù)據(jù)中提取入侵特征。6、協(xié)議分析：協(xié)議分析是利用網(wǎng)絡(luò)協(xié)議的高度規(guī)則性快速探測攻擊的存在。協(xié)議分析技術(shù)對協(xié)議進(jìn)行解碼，減少了入侵檢測系統(tǒng)需要分析的數(shù)據(jù)量?！?1.2入侵檢測技術(shù)34信息安全技術(shù)342023/9/2入侵檢測系統(tǒng)模型介紹1、分布式入侵檢測系統(tǒng)：

§11.2入侵檢測技術(shù)35信息安全技術(shù)352023/9/2

入侵檢測系統(tǒng)模型介紹2、基于移動(dòng)代理的入侵檢測系統(tǒng)：

§11.2入侵檢測技術(shù)36信息安全技術(shù)362023/9/2

入侵檢測系統(tǒng)模型介紹3、智能入侵檢測系統(tǒng)：

§11.2入侵檢測技術(shù)37信息安全技術(shù)372023/9/2入侵檢測系統(tǒng)標(biāo)準(zhǔn)化1、IETF的入侵檢測工作組IDWG：

IDWG的工作目標(biāo)是定義入侵檢測系統(tǒng)中的數(shù)據(jù)格式、信息交換過程和交換協(xié)議。IDWG的文檔定義了入侵檢測系統(tǒng)中信息交換需求IDMER、信息交換的格式IDMEF、入侵檢測交換協(xié)議IDXP以及一種可以繞過防火墻的數(shù)據(jù)傳輸方法TUNNEL。2、通用入侵檢測框架CIDF：

CIDF是一套規(guī)范，它定義了IDS表達(dá)檢測信息的標(biāo)準(zhǔn)語言以及IDS組件之間的通信協(xié)議。CIDF的文檔由四個(gè)部分組成：體系結(jié)構(gòu)、規(guī)范語言、內(nèi)部通信和程序接口?！?1.2入侵檢測技術(shù)38信息安全技術(shù)382023/9/2（1）體系結(jié)構(gòu)事件產(chǎn)生器：負(fù)責(zé)從整個(gè)計(jì)算環(huán)境中獲取事件，然后將事件轉(zhuǎn)化為GIDO標(biāo)準(zhǔn)格式提交給其它組件使用。事件分析器：事件分析器從其他組件接收GIDO數(shù)據(jù)，并分析它們，然后以一個(gè)新的GIDO形式返回分析結(jié)果。事件數(shù)據(jù)庫：事件數(shù)據(jù)庫負(fù)責(zé)GIDO的存儲(chǔ)，是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱。響應(yīng)單元：響應(yīng)單元是對分析結(jié)果作出反應(yīng)的功能單元，它可以是終止進(jìn)程、切斷連接、改變文件屬性，也可以只是簡單的報(bào)警和記錄。§11.2入侵檢測技術(shù)39信息安全技術(shù)392023/9/2（2）規(guī)范語言規(guī)范語言定義了一個(gè)用來描述各種檢測信息的標(biāo)準(zhǔn)語言，定義了一種用于表示原始事件信息、分析結(jié)果和響應(yīng)指令的語言，稱為CISL。（3）內(nèi)部通信內(nèi)部通信定義了IDS組件之間進(jìn)行通信的標(biāo)準(zhǔn)協(xié)議。一種為匹配服務(wù)法，另一種為消息層法。匹配服務(wù)為CIDF各組件之間的相互識(shí)別、定位和信息共享提供了一個(gè)標(biāo)準(zhǔn)的統(tǒng)一機(jī)制。（4）程序接口程序接口提供了一整套標(biāo)準(zhǔn)的應(yīng)用程序接口?！?1.2入侵檢測技術(shù)40信息安全技術(shù)402023/9/2入侵檢測系統(tǒng)Snort

Snort是一個(gè)免費(fèi)的、開放源代碼的基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)，具有很好的擴(kuò)展性和可移植性。1、Snort主要功能：

數(shù)據(jù)包嗅探器、數(shù)據(jù)包記錄器、網(wǎng)絡(luò)入侵檢測。2、Snort特點(diǎn)：（1）Snort是一個(gè)跨平臺(tái)、輕量級(jí)的網(wǎng)絡(luò)入侵檢測軟件。（2）Snort采用基于規(guī)則的網(wǎng)絡(luò)信息搜索機(jī)制，對數(shù)據(jù)包進(jìn)行內(nèi)容的模式匹配，從中發(fā)現(xiàn)入侵和探測行為。§11.2入侵檢測技術(shù)41信息安全技術(shù)412023/9/2（3）Snort具有實(shí)時(shí)數(shù)據(jù)流量分析和監(jiān)測IP網(wǎng)絡(luò)數(shù)據(jù)包的能力，能夠進(jìn)行協(xié)議分析，對內(nèi)容進(jìn)行搜索/匹配。它能夠檢測各種不同的攻擊方式，對攻擊進(jìn)行實(shí)時(shí)報(bào)警。它還可以用來截獲網(wǎng)絡(luò)中的數(shù)據(jù)包并記錄數(shù)據(jù)包日志。（4）Snort的報(bào)警機(jī)制豐富。（5）Snort的日志格式既可以是二進(jìn)制格式，也可以解碼成ASCII字符形式，便于用戶檢查。（6）Snort使用一種簡單的規(guī)則描述語言，能夠很快對新的網(wǎng)絡(luò)攻擊作出反應(yīng)。（7）Snort支持插件?？梢允褂镁哂刑囟üδ艿膱?bào)告、檢測子系統(tǒng)插件對其功能進(jìn)行擴(kuò)展。§11.2入侵檢測技術(shù)42信息安全技術(shù)422023/9/23、Snort組成：（1）數(shù)據(jù)包解碼器。主要是對各種協(xié)議棧上的數(shù)據(jù)包進(jìn)行解析、預(yù)處理，以便提交給檢測引擎進(jìn)行規(guī)則匹配。（2）檢測引擎。Snort用一個(gè)二維鏈表存儲(chǔ)檢測規(guī)則，一維稱為規(guī)則頭，另一維稱為規(guī)則選項(xiàng)。規(guī)則匹配查找采用遞歸的方法，檢測機(jī)制只針對當(dāng)前已經(jīng)建立的鏈表選項(xiàng)進(jìn)行檢測。（3）日志子系統(tǒng)。Snort可供選擇的日志形式有三種：文本形式、二進(jìn)制形式、關(guān)閉日志服務(wù)。（4）報(bào)警子系統(tǒng)。報(bào)警形式有五種：報(bào)警信息可發(fā)往系統(tǒng)日志；用文本形式記錄到報(bào)警文件中；用二進(jìn)制形式記錄到報(bào)警文件；通過Samba發(fā)送WinPopup信息；關(guān)閉報(bào)警?！?1.2入侵檢測技術(shù)43信息安全技術(shù)§11.3VPN技術(shù)一、VPN技術(shù)概述二、VPN的隧道技術(shù)三、VPN的實(shí)現(xiàn)技術(shù)四、VPN的配置44信息安全技術(shù)一、VPN技術(shù)概述在國外，虛擬專用網(wǎng)即VPN(VirtalPrivateNetwork)已經(jīng)迅速發(fā)展起來，2001年全球VPN市場將達(dá)到120億美元。在中國，雖然人們對VPN的安全性、服務(wù)質(zhì)量（QoS）等方面存有疑慮，但互聯(lián)網(wǎng)和電子商務(wù)的快速發(fā)展，中國的VPN市場將逐漸熱起來。對國內(nèi)的用戶來說，VPN最大的吸引力是價(jià)格。據(jù)估算，如果企業(yè)放棄租用專線而采用VPN，其整個(gè)網(wǎng)絡(luò)的成本可節(jié)約21%~45%，而那些以電話撥號(hào)方式連網(wǎng)存取數(shù)據(jù)的公司，采用VPN則可以節(jié)約通信成本50%~80%?！?1.3VPN技術(shù)45信息安全技術(shù)虛擬專用網(wǎng)，顧名思義不是真的專用網(wǎng)絡(luò)，卻能實(shí)現(xiàn)專用網(wǎng)絡(luò)的功能。虛擬專用網(wǎng)指的是依靠ISP（因特網(wǎng)服務(wù)提供商）和其他NSP（網(wǎng)絡(luò)服務(wù)提供商），在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。在虛擬專用網(wǎng)中，任意兩個(gè)節(jié)點(diǎn)之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動(dòng)態(tài)組成的?！?1.3VPN技術(shù)46信息安全技術(shù)IETF草案理解基于IP的VPN為：“使用IP機(jī)制仿真出一個(gè)私有的廣域網(wǎng)”，是通過私有的隧道技術(shù)在公共數(shù)據(jù)網(wǎng)絡(luò)上仿真一條點(diǎn)到點(diǎn)的專線技術(shù)。所謂虛擬，是指用戶不再需要擁有實(shí)際的長途數(shù)據(jù)線路，而是使用因特網(wǎng)公眾數(shù)據(jù)網(wǎng)絡(luò)的長途數(shù)據(jù)線路。所謂專用網(wǎng)絡(luò)，是指用戶可以為自己制定一個(gè)最符合自己需求的網(wǎng)絡(luò)。由于VPN是在因特網(wǎng)上臨時(shí)建立的安全專用虛擬網(wǎng)絡(luò)，用戶就節(jié)省了租用專線的費(fèi)用，在運(yùn)行的資金支出上，除了購買VPN設(shè)備，企業(yè)所付出的僅僅是向企業(yè)所在地的ISP支付一定的上網(wǎng)費(fèi)用，也節(jié)省了長途電話費(fèi)。這就是VPN價(jià)格低廉的原因?！?1.3VPN技術(shù)47信息安全技術(shù)VPN是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。通過對網(wǎng)絡(luò)數(shù)據(jù)的封包和加密傳輸，在一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，從而實(shí)現(xiàn)在公網(wǎng)上傳輸私有數(shù)據(jù)，達(dá)到私有網(wǎng)絡(luò)的安全級(jí)別。通常，VPN是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展，通過它可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。VPN可用于不斷增長的移動(dòng)用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連接；用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路；用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。§11.3VPN技術(shù)48信息安全技術(shù)VPN應(yīng)能提供如下基本功能身份鑒別:鑒權(quán)、審計(jì)地址管理：私有地址分配數(shù)據(jù)加密：保持用戶數(shù)據(jù)的私密性密鑰管理：VPN用戶和服務(wù)器之間的密鑰管理多協(xié)議支持：兼容性§11.3VPN技術(shù)49信息安全技術(shù)VPN的基本類型及應(yīng)用根據(jù)用戶使用的情況和應(yīng)用環(huán)境的不同，VPN主要分為三種典型的應(yīng)用方式：遠(yuǎn)程接入VPN（AccessVPN）內(nèi)聯(lián)網(wǎng)VPN（IntranetVPN）外聯(lián)網(wǎng)VPN（ExtranetVPN）§11.3VPN技術(shù)50信息安全技術(shù)遠(yuǎn)程接入VPN（AccessVPN）也稱為移動(dòng)VPN，即為移動(dòng)用戶提供一種訪問單位內(nèi)部網(wǎng)絡(luò)資源的方式主要應(yīng)用于單位內(nèi)部人員在外訪問單位內(nèi)部網(wǎng)絡(luò)資源，或?yàn)榧彝マk公的用戶提供遠(yuǎn)程接入單位內(nèi)部網(wǎng)絡(luò)的服務(wù)遠(yuǎn)程用戶只要通過本地號(hào)碼或免費(fèi)號(hào)碼撥入ISP，然后ISP的NAS再發(fā)起一條隧道連接連到用戶的企業(yè)網(wǎng)。在這種情況下，所建立的VPN連接對遠(yuǎn)端用戶是透明的，構(gòu)建VPN所需的協(xié)議及軟件均由ISP負(fù)責(zé)管理和維護(hù)。目前遠(yuǎn)程接入VPN使用非常廣泛。§11.3VPN技術(shù)51信息安全技術(shù)內(nèi)聯(lián)網(wǎng)VPN（IntranetVPN）將位于不同地址位置的兩個(gè)內(nèi)部網(wǎng)絡(luò)通過公共網(wǎng)絡(luò)連接起來，形成一個(gè)邏輯上的局域網(wǎng)。需要分別在每一個(gè)局域網(wǎng)中設(shè)置一臺(tái)VPN網(wǎng)關(guān)，同時(shí)每一個(gè)VPN網(wǎng)關(guān)都需要分配一個(gè)公用IP地址，以實(shí)現(xiàn)VPN網(wǎng)關(guān)的遠(yuǎn)程連接。局域網(wǎng)中的所有主機(jī)都可以使用私有IP地址進(jìn)行通信。主要應(yīng)用于具有多個(gè)分支機(jī)構(gòu)的組織進(jìn)行局域網(wǎng)之間的互聯(lián)?！?1.3VPN技術(shù)52信息安全技術(shù)外聯(lián)網(wǎng)VPN（ExtranetVPN）與內(nèi)聯(lián)網(wǎng)相似，也是一種網(wǎng)關(guān)對網(wǎng)關(guān)的結(jié)構(gòu)，但位于不同內(nèi)部網(wǎng)絡(luò)的主機(jī)在功能上是不平等的。是隨著企業(yè)經(jīng)營法納公司的發(fā)展而出現(xiàn)的一種網(wǎng)絡(luò)連接方式?，F(xiàn)代企業(yè)需要在企業(yè)與銀行、供應(yīng)商、銷售商及客戶之間建立聯(lián)系，但在這種聯(lián)系過程中，企業(yè)需要根據(jù)不同的用戶身份進(jìn)行授權(quán)訪問，建立相應(yīng)的身份認(rèn)證機(jī)制和訪問控制機(jī)制。其實(shí)是對內(nèi)聯(lián)網(wǎng)在應(yīng)用功能上的延伸，是在內(nèi)聯(lián)網(wǎng)VPN的基礎(chǔ)上增加了身份認(rèn)證、訪問控制等安全機(jī)制。§11.3VPN技術(shù)

VPN的實(shí)現(xiàn)技術(shù)隧道技術(shù)加密技術(shù)身份認(rèn)證技術(shù)密鑰交換和管理§11.3VPN技術(shù)

隧道技術(shù)利用Internet等公共網(wǎng)絡(luò)已有的數(shù)據(jù)通信方式，在隧道的一端將數(shù)據(jù)進(jìn)行封裝，通過已建立的隧道進(jìn)行傳輸。在隧道的另一端進(jìn)行解封裝，將得到的原始數(shù)據(jù)交給對端設(shè)備技術(shù)實(shí)質(zhì)：用一種網(wǎng)絡(luò)層協(xié)議來傳輸另一種網(wǎng)絡(luò)層協(xié)議隧道的組成三要素：隧道開通器、有路由能力的公用網(wǎng)絡(luò)、隧道終止器隧道技術(shù)涉及的協(xié)議：隧道協(xié)議隧道協(xié)議承載協(xié)議（提供隧道傳輸?shù)牡讓訁f(xié)議）被隧道協(xié)議所承載的協(xié)議（隧道傳輸?shù)母邔訁f(xié)議）§11.3VPN技術(shù)

隧道技術(shù)從VPN應(yīng)用的角度來看，隧道提供的是IP層以下的功能從公網(wǎng)傳輸?shù)慕嵌葋砜?，隧道功能是IP層以上提供的一種應(yīng)用服務(wù)隧道協(xié)議在這個(gè)協(xié)議體系中起著承上啟下的作用作為VPNIP層的底層，將VPNIP分組進(jìn)行安全封裝作為公用IP網(wǎng)的一種特殊應(yīng)用形式，將封裝的VPN分組利用公網(wǎng)內(nèi)的IP協(xié)議棧進(jìn)行傳輸按數(shù)據(jù)封裝時(shí)，在OSI參考模型中位置的不同分為第二層隧道技術(shù)：L2F，PPTP，L2TP第三層隧道技術(shù)：IPSec，GRE§11.3VPN技術(shù)

加密技術(shù)IPSec通過ISAKMP/IKE/Oakley協(xié)商確定幾種可選的數(shù)據(jù)加密算法，如DES、3DES等。DES密鑰長度為56位，容易被破譯，3DES使用三重加密增加了安全性。當(dāng)然國外還有更好的加密算法，但國外禁止出口高位加密算法?；谕瑯永碛?，國內(nèi)也禁止重要部門使用國外算法。國內(nèi)算法不對外公開，被破解的可能性極小?！?1.3VPN技術(shù)

認(rèn)證技術(shù)防止數(shù)據(jù)的偽造和被篡改，它采用一種稱為“摘要”的技術(shù)?！罢奔夹g(shù)主要采用Hash函數(shù)將一段長的報(bào)文通過函數(shù)變換，映射為一段短的報(bào)文即摘要。由于Hash函數(shù)的特性，兩個(gè)不同的報(bào)文具有相同的摘要幾乎不可能。該特性使得摘要技術(shù)在VPN中有兩個(gè)用途：驗(yàn)證數(shù)據(jù)的完整性、用戶認(rèn)證?！?1.3VPN技術(shù)

密鑰交換和管理VPN中密鑰的分發(fā)與管理非常重要。密鑰的分發(fā)有兩種方法：一種是通過手工配置的方式；另一種采用密鑰交換協(xié)議動(dòng)態(tài)分發(fā)。手工配置的方法由于密鑰更新困難，只適合于簡單網(wǎng)絡(luò)的情況。密鑰交換協(xié)議采用軟件方式動(dòng)態(tài)生成密鑰，適合于復(fù)雜網(wǎng)絡(luò)的情況且密鑰可快速更新，可以顯著提高VPN的安全性。目前主要的密鑰交換與管理標(biāo)準(zhǔn)有IKE（互聯(lián)網(wǎng)密鑰交換）、SKIP（互聯(lián)網(wǎng)簡單密鑰管理）和Oakley?！?1.3VPN技術(shù)

VPN的應(yīng)用特點(diǎn)非常明顯的應(yīng)用優(yōu)勢，其產(chǎn)品引起企業(yè)用戶的普遍關(guān)注軟件平臺(tái)VPN，專用硬件平臺(tái)VPN及集成到網(wǎng)絡(luò)設(shè)備的VPN不斷推出，技術(shù)推陳出新，滿足不同用戶應(yīng)用需求VPN的應(yīng)用優(yōu)勢節(jié)約成本提供了安全保障易于擴(kuò)展VPN的不足安全問題（安全邊界的擴(kuò)展、密鑰管理、身份認(rèn)證）解決方案（完善的加密和認(rèn)證機(jī)制并配合防火墻）§11.3VPN技術(shù)

二、VPN的隧道技術(shù)隧道技術(shù)是VPN技術(shù)的核心，加密和身份認(rèn)證等安全技術(shù)都需要與隧道技術(shù)相結(jié)合來實(shí)現(xiàn)。目前主流的隧道協(xié)議包括了在數(shù)據(jù)鏈路層的PPTP、L2TP協(xié)議；在網(wǎng)絡(luò)層的IPSec協(xié)議；在TCP層的SOCKsv5協(xié)議；在會(huì)話層的SSL協(xié)議?！?1.3VPN技術(shù)

1、PPTP協(xié)議PointtoPointTunnelingProtocol，點(diǎn)到點(diǎn)隧道協(xié)議Microsoft、Ascend、3Com在PPP協(xié)議的基礎(chǔ)上開發(fā)加密認(rèn)證：RC4，PAP/CHAP隧道維護(hù)：使用TCP協(xié)議進(jìn)行隧道維護(hù)（建立、拆除）封裝形式：PPP幀可承載上層VPN中多種類型的網(wǎng)絡(luò)層協(xié)議，提供加密和壓縮功能使用通用路由封裝協(xié)議（GRE）封裝PPP幀GRE封裝在IP分組中傳輸§11.3VPN技術(shù)

1、PPTP協(xié)議PPTP是PPP協(xié)議的一種擴(kuò)展用于建立AccessVPN工作過程遠(yuǎn)程用戶通過某種方式連接到Internet用戶可能采用PPP協(xié)議通過本地ISP上網(wǎng)遠(yuǎn)程用戶希望訪問某VPN中的資源通過二次撥號(hào)，建立到VPNPPTP服務(wù)器的PPP連接即PPTP隧道，在IP公網(wǎng)上建立的一個(gè)PPP連接PPTP隧道建立類似PPP連接的建立，需驗(yàn)證用戶身份隧道建立后，遠(yuǎn)程用戶訪問VPN有安全保障§11.3VPN技術(shù)

2、L2F協(xié)議Layer2Forwarding，第二層轉(zhuǎn)發(fā)協(xié)議Cisco可以在多種媒質(zhì)如ATM、幀中繼、IP網(wǎng)上建立多協(xié)議的安全VPN通信方式隧道的配置、建立對用戶是完全透明的主要缺陷：沒有把標(biāo)準(zhǔn)的加密方法包括在協(xié)議的定義中§11.3VPN技術(shù)

3、L2TP協(xié)議Layer2TunnelingProtocol，第二層隧道協(xié)議MS，Ascend，Cisco，3COM，Bay以PPTP和L2F為基礎(chǔ)，結(jié)合了兩者的特點(diǎn)隧道控制沿用PPTP的思想，使用UDP協(xié)議和一系列L2TP