網(wǎng)絡(luò)安全問(wèn)題及其防范措施（應(yīng)急篇）-國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急中心

網(wǎng)絡(luò)平安問(wèn)題及其防范措施(應(yīng)急篇)國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心主要內(nèi)容概念和根底對(duì)平安問(wèn)題的理解平安問(wèn)題的分類(lèi)及其對(duì)應(yīng)的技術(shù)手段當(dāng)前平安威脅的特點(diǎn)和趨勢(shì)關(guān)于應(yīng)急響應(yīng)應(yīng)急響應(yīng)的概念應(yīng)急響應(yīng)效勞及其開(kāi)展?fàn)顩r應(yīng)急響應(yīng)組織和體系CNCERT/CC2003年年度平安報(bào)告關(guān)于入侵監(jiān)測(cè)系統(tǒng)的假設(shè)干問(wèn)題行業(yè)網(wǎng)絡(luò)平安保障問(wèn)題探討內(nèi)容提要當(dāng)今網(wǎng)絡(luò)平安威脅的特征和趨勢(shì)應(yīng)急響應(yīng)以及應(yīng)急響應(yīng)組織什么是應(yīng)急響應(yīng)：正確理解應(yīng)急響應(yīng)應(yīng)急響應(yīng)在平安保障體系中的作用應(yīng)急響應(yīng)的起源當(dāng)今的國(guó)內(nèi)外開(kāi)展情況應(yīng)急響應(yīng)技術(shù)應(yīng)急響應(yīng)工作的主要階段應(yīng)急響應(yīng)小組建設(shè)關(guān)于入侵監(jiān)測(cè)系統(tǒng)的假設(shè)干問(wèn)題序：這里所說(shuō)的‘平安’‘平安問(wèn)題’的本質(zhì)具有一個(gè)必要條件：和人的利益相關(guān)這里所說(shuō)的‘平安’，是忽略了信息資產(chǎn)和風(fēng)險(xiǎn)評(píng)估等問(wèn)題之后，簡(jiǎn)單化的純粹技術(shù)上的概念在這種假設(shè)下，‘平安’所涉及到的環(huán)節(jié)包括：物理設(shè)施的平安：通信介質(zhì)、通信設(shè)備、主機(jī)設(shè)備的平安系統(tǒng)運(yùn)行平安：根底協(xié)議實(shí)現(xiàn)、應(yīng)用系統(tǒng)的平安數(shù)據(jù)平安：信息通信系統(tǒng)所處理的數(shù)據(jù)本身的平安網(wǎng)絡(luò)平安：一個(gè)涉及到多個(gè)層面的概念當(dāng)今網(wǎng)絡(luò)平安威脅的特征和趨勢(shì)當(dāng)前網(wǎng)絡(luò)平安事件的特點(diǎn)病毒、蠕蟲(chóng)和其他攻擊行為互相融合傳統(tǒng)病毒的特點(diǎn)：隱蔽性、傳染性、破壞性病毒的本質(zhì)特點(diǎn)：‘寄生’，而不是獨(dú)立的程序蠕蟲(chóng)的特點(diǎn)：獨(dú)立存在，自主蔓延更廣泛的名稱(chēng)：惡意代碼〔還包括木馬程序等〕互聯(lián)網(wǎng)的開(kāi)展為各種惡意代碼提供了更多的時(shí)機(jī)，傳統(tǒng)的分類(lèi)界限日漸模糊網(wǎng)絡(luò)蠕蟲(chóng)的特點(diǎn)與危害性傳統(tǒng)的網(wǎng)絡(luò)蠕蟲(chóng)，其危害性主要表現(xiàn)在對(duì)網(wǎng)絡(luò)資源的消耗，導(dǎo)致網(wǎng)絡(luò)阻塞新一代網(wǎng)絡(luò)蠕蟲(chóng)的攻擊能力更強(qiáng)，并且和黑客攻擊、計(jì)算機(jī)病毒之間的界限越來(lái)越模糊，帶來(lái)更為嚴(yán)重的多方面的危害：網(wǎng)絡(luò)阻塞，效勞中斷〔信息化的開(kāi)展使得這種危害帶來(lái)的損失越來(lái)越大〕開(kāi)放主機(jī)，失密威脅嚴(yán)重設(shè)置后門(mén)，成為下一輪攻擊的根底回收機(jī)制，便于攻擊者集中掌握〔突破了傳統(tǒng)的蠕蟲(chóng)和病毒中，攻擊者不能掌握受害對(duì)象信息的情況〕利用大面積的感染節(jié)點(diǎn)對(duì)特定目標(biāo)發(fā)動(dòng)拒絕效勞攻擊新一代的網(wǎng)絡(luò)蠕蟲(chóng)，能夠?qū)ヂ?lián)網(wǎng)造成致命沖擊。未來(lái)蠕蟲(chóng)的潛在威脅不需要用戶(hù)干預(yù)，可以短時(shí)間在全球迅速蔓延，從而導(dǎo)致大面積網(wǎng)絡(luò)癱瘓多種手段綜合，組合多種攻擊方法，適應(yīng)多種不同的系統(tǒng)利用蠕蟲(chóng)迅速掌握巨大數(shù)量的傀儡機(jī)利用蠕蟲(chóng)對(duì)互聯(lián)網(wǎng)關(guān)鍵點(diǎn)發(fā)起拒絕效勞攻擊利用蠕蟲(chóng)對(duì)特定網(wǎng)絡(luò)區(qū)域?qū)嵤┕敉ǔ?huì)結(jié)合木馬植入，嚴(yán)重威脅用戶(hù)平安有些情況下可能無(wú)法隔離當(dāng)前網(wǎng)絡(luò)平安事件的特點(diǎn)攻擊者可以輕易通過(guò)多個(gè)不同的網(wǎng)絡(luò)、地區(qū)、或國(guó)家發(fā)起攻擊，使得追查需要大范圍的協(xié)調(diào)：“全球化的問(wèn)題，需要全球化解決〞攻擊定位十分困難：無(wú)論是虛擬世界的定位還是現(xiàn)實(shí)世界的定位。使得防范和追查都十分困難有些問(wèn)題的解決需要行業(yè)標(biāo)準(zhǔn)或者政策標(biāo)準(zhǔn)的方式來(lái)解決，例如垃圾郵件和分布式拒絕效勞攻擊當(dāng)前網(wǎng)絡(luò)平安事件的特點(diǎn)可能在任何時(shí)間發(fā)生攻擊攻擊往往通過(guò)一級(jí)或者多級(jí)跳板進(jìn)行大規(guī)模事件出現(xiàn)日益頻繁傳播速度越來(lái)越快組合攻擊開(kāi)始出現(xiàn)蠕蟲(chóng)驅(qū)動(dòng)的DDoS攻擊威脅更大有組織犯罪的威脅更大攻擊者需要的技術(shù)水平逐漸降低，但是造成的危害逐漸增大從發(fā)現(xiàn)漏洞到出現(xiàn)攻擊代碼的周期越來(lái)越短攻擊變得日益容易但是破壞力大過(guò)去主要采用“防止風(fēng)險(xiǎn)〞的策略，現(xiàn)在已經(jīng)行不通了，因?yàn)樾枰钊霃V泛的互連入侵的動(dòng)機(jī)很多：政治、經(jīng)濟(jì)、軍事、好奇、或者---沒(méi)有動(dòng)機(jī)可不可以？！不信就掛一個(gè)個(gè)人防火墻，自己看看吧一個(gè)大家熟悉的圖應(yīng)急響應(yīng)以及應(yīng)急響應(yīng)組織什么是應(yīng)急響應(yīng)EmergencyResponse/IncidentResponse:平安人員在遇到突發(fā)事件后所采取的措施和行動(dòng)突發(fā)事件：影響一個(gè)系統(tǒng)正常工作的情況。這里的系統(tǒng)包括主機(jī)范疇內(nèi)的問(wèn)題，也包括網(wǎng)絡(luò)范疇內(nèi)的問(wèn)題。這種‘情況’包括常見(jiàn)的黑客入侵、信息竊取等，也包括拒絕效勞攻擊、網(wǎng)絡(luò)流量異常等。正確理解應(yīng)急平安的本質(zhì)在于有效的“響應(yīng)時(shí)間〞不長(zhǎng)于有效的“防護(hù)時(shí)間〞〔或稱(chēng)之為抗攻擊時(shí)間〕按照過(guò)程的模型：PDRR不能孤立地看待各個(gè)環(huán)節(jié)應(yīng)急響應(yīng)將各個(gè)環(huán)節(jié)貫穿起來(lái)，作為平安保障的工作應(yīng)急處理在網(wǎng)絡(luò)平安保障中的作用問(wèn)題：怎樣才算是‘平安的’-保護(hù)金庫(kù)的兩個(gè)方案平安保障的一般環(huán)節(jié)PPDRR結(jié)論：響應(yīng)時(shí)間和抗攻擊時(shí)間的關(guān)系Rt≤∑Pt推論：平安保障的各個(gè)環(huán)節(jié)不應(yīng)該是相互孤立的；平安是相對(duì)的，具體要求各不相同投資多、設(shè)備好不一定平安級(jí)別就高CERT組織的誕生1988年11月：Morris蠕蟲(chóng)：主體癱瘓幾周后，CERT/CC成立其后的兩年，CERT組織紛紛出現(xiàn)1989年10月：Wank蠕蟲(chóng)：發(fā)現(xiàn)CERT組織之間的溝通與合作非常必要1990：FIRST成立關(guān)于計(jì)算機(jī)應(yīng)急處理“莫里斯事件〞又稱(chēng)“蠕蟲(chóng)事件〞。1988年11月，美國(guó)Cornell大學(xué)學(xué)生Morris編寫(xiě)一個(gè)“圣誕樹(shù)〞蠕蟲(chóng)程序，該程序可以利用因特網(wǎng)上計(jì)算機(jī)的sendmail的漏洞、fingerD的緩沖區(qū)溢出及REXE的漏洞進(jìn)入系統(tǒng)并自我繁殖，鯨吞因特網(wǎng)的帶寬資源，造成全球10%的聯(lián)網(wǎng)計(jì)算機(jī)陷入癱瘓。這起計(jì)算機(jī)平安事件極大地震動(dòng)了美國(guó)政府、軍方和學(xué)術(shù)界全球第一個(gè)計(jì)算機(jī)應(yīng)急處理協(xié)調(diào)中心八八年的“莫里斯事件〞美國(guó)能源部成立了自已的CIAC美國(guó)其他部門(mén)的情況在莫里斯事件發(fā)生之后，美國(guó)國(guó)防部高級(jí)方案研究署〔DARPA〕出資在卡內(nèi)基-梅隆大學(xué)〔CMU〕的軟件工程研究所〔SEI〕建立了計(jì)算機(jī)應(yīng)急處理協(xié)調(diào)中心。該中心現(xiàn)在仍然由美國(guó)國(guó)防部支持，并且作為國(guó)際上的骨干組織積極開(kāi)展相關(guān)方面的培訓(xùn)工作。1989年，美國(guó)能源部〔DoE〕成立了自已的計(jì)算機(jī)事件處理組織，稱(chēng)為CIAC〔ComputerIncidentAdvisoryCapability)，專(zhuān)門(mén)保證能源部計(jì)算機(jī)系統(tǒng)的平安。至此，各有關(guān)部門(mén)紛紛開(kāi)始成立自己的計(jì)算機(jī)平安事件處理組織。作為發(fā)起國(guó)，美國(guó)在國(guó)防部、能源部、空軍、海軍、眾議院、國(guó)家宇航局、國(guó)家標(biāo)準(zhǔn)與技術(shù)局、局部重點(diǎn)大學(xué)、IT界知名公司先后成立了六十余個(gè)計(jì)算機(jī)平安事件相應(yīng)組織。重在響應(yīng)、協(xié)調(diào)、研究/分析與統(tǒng)計(jì)計(jì)算機(jī)平安事件。國(guó)際應(yīng)急響應(yīng)及其技術(shù)開(kāi)展動(dòng)態(tài)計(jì)算機(jī)應(yīng)急處理的國(guó)際化FIRST—計(jì)算機(jī)應(yīng)急組織的國(guó)際舞臺(tái)FIRST的宗旨FIRST成員的情況1990年11月，在美國(guó)、澳大利亞的發(fā)起下，一些國(guó)家的CERT組織參與成立了“計(jì)算機(jī)事件響應(yīng)與平安工作組論壇〞，簡(jiǎn)稱(chēng)FIRST–ForumofIncidentResponseandSecurityTeam。FIRST的根本目的是使各成員能就平安漏洞、平安技術(shù)、平安管理等方面進(jìn)行交流與合作，以實(shí)現(xiàn)國(guó)際間的信息共享、技術(shù)共享，最終到達(dá)聯(lián)合防范計(jì)算機(jī)網(wǎng)絡(luò)上的攻擊行為的目標(biāo)。截止到2001年底，參加FIRST的CERT組織共有110個(gè)，涉及到的國(guó)家有24個(gè)，僅美國(guó)自身就有56個(gè)成員，因此說(shuō)，F(xiàn)IRST組織是以美國(guó)為主體所構(gòu)成。截止到2003年3月底，F(xiàn)IRST的正式成員到達(dá)128個(gè)。CNCERT/CC于2002年8月成為FIRST的正式成員。FIRST的工作標(biāo)準(zhǔn)FIRST組織有兩類(lèi)成員，一是正式成員，二是觀察員。FIRST組織有一個(gè)由十人構(gòu)成的指導(dǎo)委員會(huì)，負(fù)責(zé)對(duì)重大問(wèn)題做出討論，包括接受新的成員。新成員的參加必須有推薦人，并且需要得到指導(dǎo)委員會(huì)三分之二的成員同意。該委員會(huì)每月進(jìn)行一次會(huì)議。FIRST的技術(shù)活動(dòng)除了各成員之間通過(guò)保密通信進(jìn)行信息交流外，F(xiàn)IRST組織每季度開(kāi)一次內(nèi)部技術(shù)交流會(huì)議，每年開(kāi)一次開(kāi)放型會(huì)議。通常是在美國(guó)與非美國(guó)國(guó)家交替進(jìn)行。這是因?yàn)橐疹櫟矫绹?guó)代表的利益。全球CSIRT開(kāi)展現(xiàn)狀〔1〕事件響應(yīng)小組的數(shù)量在過(guò)去的四到五年中有大的增長(zhǎng)，這種增長(zhǎng)主要發(fā)生在商業(yè)領(lǐng)域。教育和政府小組的增長(zhǎng)也在繼續(xù)。從全球角度來(lái)看，ＣＳＩＲＴ得到了更多關(guān)注，特別是國(guó)家和地區(qū)政府小組。小組數(shù)量增長(zhǎng)的原因有〔ａ〕平安事件數(shù)量的增加和對(duì)有方案的響應(yīng)的認(rèn)識(shí)，〔ｂ〕新的法律要求，以及〔ｃ〕目前的觀點(diǎn)認(rèn)為，計(jì)算機(jī)平安必須事前預(yù)防才能取得成功，事后反響不再是充分有效的。事件處理和事件響應(yīng)小組仍然是一個(gè)計(jì)算機(jī)平安的較新領(lǐng)域，并且事件響應(yīng)仍然是一個(gè)不成熟的領(lǐng)域。因?yàn)檫@個(gè)原因，很少有得到廣泛認(rèn)可的事件處理方法學(xué)標(biāo)準(zhǔn)。CERT/CC調(diào)研的結(jié)論：全球CSIRT開(kāi)展現(xiàn)狀〔2〕目前〔２００３年九月〕的工程：協(xié)調(diào)與協(xié)作 各ＣＳＩＲＴ之間建立交流和協(xié)調(diào)機(jī)制的討論。信息共享和信息收集標(biāo)準(zhǔn) 所有小組在信息共享、事件數(shù)據(jù)收集、或制訂ＣＳＩＴ發(fā)行物方面沒(méi)有公認(rèn)的標(biāo)準(zhǔn)，很多討論認(rèn)為建立這樣的標(biāo)準(zhǔn)將簡(jiǎn)化共享和分析的過(guò)程。事件數(shù)據(jù)收集 各種機(jī)構(gòu)已經(jīng)在開(kāi)發(fā)用于收集、關(guān)聯(lián)、以及合成事件數(shù)據(jù)的工具或機(jī)制。工具 專(zhuān)門(mén)為事件響應(yīng)和事件處理提供的工具很少。各個(gè)機(jī)構(gòu)已經(jīng)制作了一些工具檔案，提供對(duì)平安和事件響應(yīng)工具的訪問(wèn)或評(píng)論。研究 致力于獲得更多有關(guān)于平安網(wǎng)絡(luò)和系統(tǒng)以及有效的事件處理的知識(shí)。全球CSIRT開(kāi)展現(xiàn)狀〔3〕響應(yīng)式服務(wù)預(yù)防式服務(wù)安全質(zhì)量管理服務(wù)警報(bào)和警告事件處理事件分析現(xiàn)場(chǎng)事件響應(yīng)事件響應(yīng)支持事件響應(yīng)協(xié)調(diào)安全漏洞處理安全漏洞分析安全漏洞響應(yīng)安全漏洞響應(yīng)協(xié)調(diào)Artifact處理Artifact分析Artifact響應(yīng)Artifact響應(yīng)協(xié)調(diào)公告技術(shù)監(jiān)視安全審計(jì)評(píng)估安全工具、應(yīng)用程序和基礎(chǔ)設(shè)施的配置和維護(hù)安全工具的開(kāi)發(fā)入侵檢測(cè)服務(wù)與安全有關(guān)的信息的傳播風(fēng)險(xiǎn)分析服務(wù)持續(xù)性和災(zāi)難恢復(fù)規(guī)劃安全性咨詢(xún)建立安全意識(shí)教育/培訓(xùn)產(chǎn)品評(píng)估或認(rèn)證全球CSIRT開(kāi)展現(xiàn)狀〔4〕一般CSIRT所提供的效勞：亞太地區(qū)的情況澳大利亞韓國(guó)日本APCERT的情況簡(jiǎn)介應(yīng)急處理在我國(guó)面臨的問(wèn)題用戶(hù)理解和認(rèn)識(shí)的問(wèn)題用戶(hù)沒(méi)有意識(shí)到應(yīng)急處理這個(gè)環(huán)節(jié)的必要性平安方面的資金投入的困難用戶(hù)對(duì)效勞單位及其方案不放心行業(yè)標(biāo)準(zhǔn)的問(wèn)題缺乏行業(yè)標(biāo)準(zhǔn)和標(biāo)準(zhǔn)用戶(hù)利益得不到保證解決問(wèn)題的思路通過(guò)示范企業(yè)建立和推廣行業(yè)標(biāo)準(zhǔn)和標(biāo)準(zhǔn)2001年7月，原國(guó)信安辦面向全國(guó)發(fā)起了“公開(kāi)選擇計(jì)算機(jī)網(wǎng)絡(luò)平安效勞試點(diǎn)單位〞的活動(dòng)，有13家平安效勞企業(yè)納入到首批的試點(diǎn)單位通過(guò)加強(qiáng)對(duì)用戶(hù)的宣傳和培訓(xùn)提高用戶(hù)認(rèn)識(shí)我國(guó)的情況2000年CNCERT/CC成立Yahoo!遭拒絕效勞攻擊事件，導(dǎo)致很多國(guó)家紛紛研究出臺(tái)國(guó)家級(jí)的網(wǎng)絡(luò)平安保障方案當(dāng)時(shí)的主要工作：學(xué)習(xí)國(guó)際經(jīng)驗(yàn)我國(guó)的計(jì)算機(jī)應(yīng)急處理中國(guó)教育和科研計(jì)算機(jī)互聯(lián)網(wǎng)(CERNET)于1998年成立了我國(guó)第一個(gè)計(jì)算機(jī)應(yīng)急組織，該組織建立在清華大學(xué)，稱(chēng)為CCERT，主要受理教育網(wǎng)內(nèi)部的計(jì)算機(jī)平安事件。關(guān)于因特網(wǎng)應(yīng)急小組協(xié)調(diào)辦公室CCERT—我國(guó)最早成立的計(jì)算機(jī)應(yīng)急組織軍隊(duì)的計(jì)算機(jī)應(yīng)急組織1999年9月8日，作為計(jì)算機(jī)網(wǎng)絡(luò)主管部門(mén)，信息產(chǎn)業(yè)部在國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息平安管理中心正式成立了“因特網(wǎng)應(yīng)急處理小組協(xié)調(diào)辦公室〞。主要職能為：承擔(dān)國(guó)內(nèi)各相關(guān)組織的聯(lián)絡(luò)工作承擔(dān)與其他國(guó)家和地區(qū)相關(guān)組織的聯(lián)絡(luò)工作從事因特網(wǎng)及其相關(guān)緊急事故處理工作向使用具有平安漏洞的計(jì)算機(jī)系統(tǒng)和重要部門(mén)發(fā)出警報(bào)參與國(guó)際上FIRST2003年2月，信息產(chǎn)業(yè)部將之更名為“信息產(chǎn)業(yè)部互聯(lián)網(wǎng)應(yīng)急處理協(xié)調(diào)辦公室〞，并且指定該協(xié)調(diào)辦公室作為APEC要求的網(wǎng)絡(luò)反恐的高技術(shù)協(xié)作點(diǎn)單位。1999年軍隊(duì)成立了計(jì)算機(jī)平安事件處理分隊(duì)，主要針對(duì)軍隊(duì)內(nèi)部出現(xiàn)的緊急事件進(jìn)行響應(yīng)，目前正在運(yùn)行中。CNCERT/CC——我國(guó)的應(yīng)急中心2000年10月，國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息平安管理中心在信息產(chǎn)業(yè)部的領(lǐng)導(dǎo)下正式組建了我國(guó)應(yīng)急處理體系的一個(gè)重要環(huán)節(jié)——中國(guó)計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急處理協(xié)調(diào)中心(CNCERT——ChiNaComputerEmergencyResponseTeam/CoordinationCenter，也可簡(jiǎn)稱(chēng)為CNCERT/CC)。2002年8月，CNCERT/CC成為FIRST的正式會(huì)員關(guān)于CNCERTCNCERT—我國(guó)計(jì)算機(jī)應(yīng)急體系的重要局部CNCERT的根本情況CNCERT是一個(gè)非盈利組織CNCERT于2000年11月正式對(duì)全社會(huì)提供信息效勞CNCERT的宗旨是保障國(guó)家網(wǎng)絡(luò)空間的平安，構(gòu)建完善的應(yīng)急處理體系。CNCERT在2003年初的幾起大規(guī)模網(wǎng)絡(luò)平安事件的處理中，和各運(yùn)營(yíng)商密切合作，取得良好成績(jī)合作伙伴與外圍支撐單位近20家，包括國(guó)家防病毒響應(yīng)中心、國(guó)家反入侵中心、平安效勞試點(diǎn)單位等獨(dú)立的工作場(chǎng)所，具有良好的電磁屏蔽效果的機(jī)房。獨(dú)立的帶寬為100M的寬帶網(wǎng)絡(luò)接入專(zhuān)線(xiàn)，CNCERT的根本任務(wù)收集、匯總、核實(shí)、發(fā)布權(quán)威性的網(wǎng)絡(luò)平安信息為國(guó)家關(guān)鍵部門(mén)提供給急處理效勞協(xié)調(diào)和指導(dǎo)國(guó)內(nèi)其它應(yīng)急處理單位的工作與國(guó)際上的應(yīng)急處理組織進(jìn)行合作和交流大規(guī)模網(wǎng)絡(luò)平安事件的教訓(xùn)2001年紅色代碼和尼姆達(dá)事件處理的教訓(xùn)掌握信息的準(zhǔn)確性和完整性與時(shí)間上的要求之間的矛盾處置遇到的困難大規(guī)模平安事件的危害嚴(yán)重的網(wǎng)絡(luò)阻塞甚至癱瘓應(yīng)用中斷危及經(jīng)濟(jì)和生活的很多方面大量主機(jī)面臨嚴(yán)重的信息泄漏威脅合作體系的初步形成2002年初，在總結(jié)紅色代碼事件的根底上，推動(dòng)各互聯(lián)網(wǎng)骨干運(yùn)營(yíng)商成立了各自的應(yīng)急組織，并形成了以CNCERT/CC為核心的合作機(jī)制2002年8月，CNCERT/CC成為FIRST正式成員合作體系的重要性國(guó)際上已經(jīng)強(qiáng)烈認(rèn)識(shí)到計(jì)算機(jī)應(yīng)急組織合作的重要性：信息共享：提前預(yù)警技術(shù)共享：能力支持?jǐn)?shù)據(jù)共享：綜合分析處置配合：有效遏制在受攻擊的網(wǎng)絡(luò)中采取隔離措施依靠合作在攻擊源附近實(shí)施隔離合作體系的進(jìn)一步完善2003年的事件，對(duì)2002年建立的合作體系是一個(gè)考驗(yàn)在取得成功經(jīng)驗(yàn)的同時(shí)，也發(fā)現(xiàn)了新的問(wèn)題和缺乏2003年下半年至2004年初，在中編辦、國(guó)信辦、信產(chǎn)部等的支持下，我國(guó)形成了一個(gè)更加完整的公共互聯(lián)網(wǎng)應(yīng)急處理體系僅靠體系依然缺乏以解決問(wèn)題復(fù)雜巨系統(tǒng)的控制人機(jī)結(jié)合中“機(jī)〞的重要性不可無(wú)視“開(kāi)放的研討廳體系〞完整、準(zhǔn)確、與快速之間的矛盾各方面資源的高效整合危機(jī)應(yīng)對(duì)美加大停電SARS黃金時(shí)間CNCERT/CC年度平安報(bào)告CNCERT/CC目前提供的效勞響應(yīng)式服務(wù)預(yù)防式服務(wù)安全質(zhì)量管理服務(wù)警報(bào)和警告事件處理事件分析現(xiàn)場(chǎng)事件響應(yīng)事件響應(yīng)支持事件響應(yīng)協(xié)調(diào)安全漏洞處理安全漏洞分析安全漏洞響應(yīng)安全漏洞響應(yīng)協(xié)調(diào)Artifact處理Artifact分析Artifact響應(yīng)Artifact響應(yīng)協(xié)調(diào)公告技術(shù)監(jiān)視安全審計(jì)評(píng)估安全工具、應(yīng)用程序和基礎(chǔ)設(shè)施的配置和維護(hù)安全工具的開(kāi)發(fā)入侵檢測(cè)服務(wù)與安全有關(guān)的信息的傳播風(fēng)險(xiǎn)分析服務(wù)持續(xù)性和災(zāi)難恢復(fù)規(guī)劃安全性咨詢(xún)建立安全意識(shí)教育/培訓(xùn)產(chǎn)品評(píng)估或認(rèn)證CNCERT/CC的根本工作原那么效勞保密快速標(biāo)準(zhǔn)2003年工作報(bào)告：大規(guī)模蠕蟲(chóng)事件處理SQLSLAMMER蠕蟲(chóng)：1月25日爆發(fā)，造成大面積網(wǎng)絡(luò)擁塞或癱瘓中午接到舉報(bào)，立即和各運(yùn)營(yíng)商應(yīng)急組織聯(lián)系，了解到全面情況分析找到在網(wǎng)絡(luò)上隔離蠕蟲(chóng)傳播的有效方式并迅速推廣到各互聯(lián)網(wǎng)單位當(dāng)晚，蠕蟲(chóng)的傳播得到控制；發(fā)現(xiàn)我國(guó)境內(nèi)感染主機(jī)兩萬(wàn)兩千多臺(tái)；數(shù)據(jù)提供給運(yùn)營(yíng)商處理；SQLSLAMMER處理過(guò)程接到舉報(bào)核實(shí)全網(wǎng)情況向全網(wǎng)通報(bào)情況，樣本分析實(shí)施數(shù)據(jù)監(jiān)測(cè)了解境外情況隔離方法分析和確認(rèn)通報(bào)隔離方法，實(shí)施隔離恢復(fù)故障網(wǎng)絡(luò)媒體工作跟蹤監(jiān)測(cè)與分析報(bào)告口令蠕蟲(chóng)事件3月8日出現(xiàn)，主要在教育網(wǎng)中蔓延，局部大學(xué)校園網(wǎng)絡(luò)癱瘓后蔓延到電信、聯(lián)通、移動(dòng)、鐵通、網(wǎng)通等多個(gè)網(wǎng)絡(luò)，感染效勞器4萬(wàn)多臺(tái)并不利用系統(tǒng)漏洞，而是采用猜口令的方式攻擊管理不善的主機(jī)〔而口令問(wèn)題由于涉及到每一個(gè)用戶(hù)，始終是最難以解決的問(wèn)題之一〕植入后門(mén)以后和境外13個(gè)IRC效勞器建立聯(lián)系口令蠕蟲(chóng)處理過(guò)程接到舉報(bào)核實(shí)全網(wǎng)情況向全網(wǎng)通報(bào)情況，樣本分析實(shí)施數(shù)據(jù)監(jiān)測(cè)，切斷與IRC效勞器的聯(lián)系了解境外情況隔離方法分析和確認(rèn)通報(bào)隔離方法媒體工作跟蹤監(jiān)測(cè)與分析報(bào)告口令蠕蟲(chóng)數(shù)據(jù)分析紅色代碼F變種3月11日發(fā)作，在歐洲一些國(guó)家造成影響3月11日至13日，檢測(cè)到此蠕蟲(chóng)在我國(guó)網(wǎng)絡(luò)中擴(kuò)散次數(shù)超過(guò)12萬(wàn)次現(xiàn)實(shí)：完全利用原來(lái)的〔一年多以前的〕漏洞，依然可以形成一定規(guī)模教訓(xùn)：期待依靠用戶(hù)都打及時(shí)補(bǔ)丁來(lái)改善網(wǎng)絡(luò)平安現(xiàn)狀是不現(xiàn)實(shí)的?！皼_擊波〞蠕蟲(chóng)8月11日啟動(dòng)響應(yīng)，向各運(yùn)營(yíng)商與合作單位發(fā)送警報(bào)和應(yīng)對(duì)措施、交換信息和國(guó)外應(yīng)急組織保持密切聯(lián)系，及時(shí)交換數(shù)據(jù)8月15日啟動(dòng)針對(duì)DDoS的數(shù)據(jù)分析8月18日發(fā)現(xiàn)MSBlast.Remove，并且發(fā)現(xiàn)蠕蟲(chóng)傳播數(shù)據(jù)的明顯反彈至12月31日，中國(guó)境內(nèi)感染的效勞器超過(guò)150萬(wàn)臺(tái)

MSBlast/MSBlast.REMOVE數(shù)據(jù)分析MSBLAST數(shù)據(jù)明顯降低04年1月1日起，數(shù)據(jù)明顯降低

2003年工作報(bào)告：DDOS事件處理3月底，某亞洲地區(qū)業(yè)務(wù)量排名第二的商業(yè)網(wǎng)站受到有組織持續(xù)性拒絕效勞攻擊。5月中旬，某市政府信息網(wǎng)絡(luò)遭拒絕效勞攻擊，癱瘓8小時(shí)以上，嚴(yán)重地影響了政府依托電子政務(wù)外網(wǎng)平臺(tái)的相關(guān)業(yè)務(wù)和86個(gè)政府網(wǎng)站的正常運(yùn)行。5月中旬，某省信息港網(wǎng)站受到拒絕效勞攻擊。5月下旬，某省播送電視網(wǎng)遭有組織拒絕效勞攻擊。7月初，博客中國(guó)遭拒絕效勞攻擊。7月底，某為政府提供效勞的大型綜合網(wǎng)站遭拒絕效勞攻擊。8月下旬，中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)網(wǎng)站在公布垃圾郵件效勞器黑名單后遭拒絕效勞攻擊。拒絕效勞攻擊日益頻繁，十分猖獗阻止DDoS攻擊，關(guān)鍵在于合作DDoS攻擊之所以難以高效地防范，原因在于攻擊者可以輕易地使用偽造地址發(fā)出攻擊，使得被攻擊者很難高效地在自己的網(wǎng)絡(luò)內(nèi)實(shí)施防范RFC2827規(guī)定了源地址過(guò)濾的標(biāo)準(zhǔn)，并且得到廣泛的產(chǎn)品支持，但是只有大家都啟用源地址驗(yàn)證的功能，才可能真正發(fā)揮作用合作的價(jià)值更加表達(dá)在攻擊隔離上2003年度工作報(bào)告：篡改網(wǎng)頁(yè)事件廣西某市政府網(wǎng)站被篡改5月19日，廣西某市的一個(gè)政府網(wǎng)站效勞器所發(fā)布的三十個(gè)政府網(wǎng)頁(yè)均被黑客篡改；立即通知有關(guān)部門(mén)進(jìn)行處理。7月6日黑客競(jìng)賽7月4日得悉；通報(bào)各運(yùn)營(yíng)商；密切跟蹤規(guī)模、動(dòng)態(tài)：全球約有2600多個(gè)網(wǎng)頁(yè)被篡改，但都是小型網(wǎng)站。2003年中國(guó)有435臺(tái)主機(jī)上的網(wǎng)頁(yè)遭到篡改，其中包括143個(gè)主機(jī)上的337個(gè)政府網(wǎng)站在內(nèi)。2003年度工作報(bào)告：網(wǎng)站欺詐“香港賽馬俱樂(lè)部投訴有網(wǎng)站假冒其名義從事非法活動(dòng)〞等三個(gè)案例：我們只是調(diào)查核實(shí)，向上反映。AUSCERT投訴兩網(wǎng)站欺詐活動(dòng)事件 12月8日接到投訴；調(diào)查核實(shí)；分析認(rèn)為相關(guān)主機(jī)很可能是遭受到黑客攻擊后被人利用；協(xié)調(diào)運(yùn)營(yíng)商、分中心處理；位于江蘇和云南兩不法網(wǎng)站分別于9、10號(hào)被關(guān)閉；12日得到局部關(guān)于被泄漏銀行賬號(hào)的信息。HKCERT投訴一網(wǎng)站冒充eBay〔經(jīng)營(yíng)網(wǎng)上購(gòu)物〕網(wǎng)站進(jìn)行欺騙 12月17日接到投訴；調(diào)查核實(shí)；協(xié)調(diào)運(yùn)營(yíng)商處理；12月22日網(wǎng)通應(yīng)急組織將被投訴IP地址進(jìn)行處置。

2003年度工作報(bào)告：漏洞處理對(duì)CiscoIOS漏洞的處理 7月17日公布；通告運(yùn)營(yíng)商；啟動(dòng)監(jiān)測(cè)。及時(shí)通報(bào)運(yùn)營(yíng)商微軟發(fā)布的MS03-032、MS03-033、MS03-039、MS03-43、MS03-46、MS03-49等漏洞。對(duì)IE瀏覽器存在顯示偽造地址漏洞的處理 12月10日收到AUSCERT提醒關(guān)注該漏洞的信；漏洞還沒(méi)有補(bǔ)丁，但攻擊方法已經(jīng)公布；高度重視；目前還在密切關(guān)注中。

2003年度工作報(bào)告：投訴事件處理應(yīng)急事件非應(yīng)急事件

事件分類(lèi)

咨詢(xún)

病毒網(wǎng)絡(luò)攻擊垃圾郵件總計(jì)

月份國(guó)內(nèi)國(guó)外國(guó)內(nèi)國(guó)外國(guó)內(nèi)國(guó)外

1月

2

3422129475132月102

482

17266653月1521724

13586274月41

383

15654025月31159802168116996月1503753

137944137月635388131731101218月

1611415091153169439月

20

1542

2771839210月10

11067524813311511月9321032216012082312月

3611178227614663合計(jì)9712320108731721841329511603年一般投訴事件處理統(tǒng)計(jì)第二局部：應(yīng)急處理技術(shù)應(yīng)急響應(yīng)一般需要到達(dá)的目標(biāo)確認(rèn)或排除突發(fā)事件發(fā)生與否事件類(lèi)型按緊急程度分：直接報(bào)告、立即引起注意的間接報(bào)告的有潛在問(wèn)題，但是還沒(méi)有造成影響的按技術(shù)環(huán)節(jié)分：探測(cè)：對(duì)網(wǎng)絡(luò)的偵察攻擊：對(duì)網(wǎng)絡(luò)效勞的抑制入侵：取得一定的控制權(quán)病毒感染：駐留、復(fù)制、發(fā)作騷擾：虛警、謠言、垃圾信息等事件處理的一般階段第一階段：準(zhǔn)備——讓我們嚴(yán)陣以待第二階段：確認(rèn)——對(duì)情況綜合判斷第三階段：封鎖——制止事態(tài)的擴(kuò)大第四階段：鏟除——徹底的補(bǔ)救措施第五階段：恢復(fù)——備份，頂上去！第六階段：跟蹤——還會(huì)有第二次嗎第一階段——準(zhǔn)備預(yù)防為主幫助效勞對(duì)象建立平安政策幫助效勞對(duì)象按照平安政策配置平安設(shè)備和軟件掃描，風(fēng)險(xiǎn)分析，打補(bǔ)丁如有條件且得到許可，建立監(jiān)控設(shè)施第二階段——確認(rèn)確定事件的責(zé)任人指定一個(gè)責(zé)任人全權(quán)處理此事件給予必要的資源確定事件的性質(zhì)誤會(huì)？玩笑？還是惡意的攻擊/入侵？影響的嚴(yán)重程度預(yù)計(jì)采用什么樣的專(zhuān)用資源來(lái)修復(fù)？第三階段——封鎖即時(shí)采取的行動(dòng)防止進(jìn)一步的損失，確定后果確定適當(dāng)?shù)姆怄i方法咨詢(xún)平安政策確定進(jìn)一步操作的風(fēng)險(xiǎn)損失最小化可列出假設(shè)干選項(xiàng)，講明各自的風(fēng)險(xiǎn)，由效勞對(duì)象選擇第四階段——鏟除長(zhǎng)期的補(bǔ)救措施 確定原因，定義征兆 分析漏洞 加強(qiáng)防范 消除原因 修改平安政策第五階段——恢復(fù)被攻擊的系統(tǒng)由備份來(lái)恢復(fù)作一個(gè)新的備份把所有平安上的變更作備份效勞重新上線(xiàn)持續(xù)監(jiān)控第六階段——跟蹤關(guān)注系統(tǒng)恢復(fù)以后的平安狀況，特別是曾經(jīng)出問(wèn)題的地方建立跟蹤文檔，標(biāo)準(zhǔn)記錄跟蹤結(jié)果對(duì)響應(yīng)效果給出評(píng)估事件歸檔與統(tǒng)計(jì)(便于業(yè)績(jī)考核)處理人時(shí)間和時(shí)段地點(diǎn)工作量事件的類(lèi)型對(duì)事件的處置情況代價(jià)細(xì)節(jié)應(yīng)急小組的宗旨:處理平安事件何謂“處理〞？積極預(yù)防〔Prevention〕及時(shí)發(fā)現(xiàn)〔Discovery〕快速響應(yīng)〔Response〕確?；謴?fù)〔Recovery〕何謂“平安事件〞?對(duì)信息及信息系統(tǒng)的機(jī)密性、完整性、可用性造成威脅的活動(dòng)應(yīng)急小組的效勞范圍效勞對(duì)象：假設(shè)干個(gè)“網(wǎng)〞及其業(yè)主核心業(yè)務(wù)：確保在該“網(wǎng)〞的范圍內(nèi)對(duì)事件的根本響應(yīng)能力擴(kuò)展業(yè)務(wù)：與其他“網(wǎng)〞及對(duì)其平安保障負(fù)責(zé)的機(jī)構(gòu)進(jìn)行必要的溝通，以便協(xié)防應(yīng)急處理工作的共性：各為其“主〞，但業(yè)務(wù)上共性多于個(gè)性應(yīng)急小組應(yīng)具備的條件組織體系核心崗位〔必有〕負(fù)責(zé)人//響應(yīng)隊(duì)伍擴(kuò)展崗位〔可選〕信息與信息系統(tǒng)管理//信息發(fā)布//效勞對(duì)象關(guān)系管理對(duì)人員的要求〔參考〕不要求太高的學(xué)歷，但要有很強(qiáng)的動(dòng)手能力、與人打交道的應(yīng)變能力和從經(jīng)驗(yàn)教訓(xùn)中學(xué)習(xí)的能力熟悉各種平臺(tái)、相應(yīng)的系統(tǒng)資源、配置管理、日志熟悉各種攻擊、病毒機(jī)理及其表現(xiàn)征兆應(yīng)急小組應(yīng)具備的條件制度與流程崗位職責(zé)與守那么、平安保密規(guī)定事件響應(yīng)流程事件報(bào)告及其記錄〔網(wǎng)站、郵件、、〕相關(guān)數(shù)據(jù)〔如日志等〕提取事件記錄格式標(biāo)準(zhǔn)事件狀態(tài)啟動(dòng)〔待處理〕、已處理[咨詢(xún)、現(xiàn)場(chǎng)、外包]、掛起、不處理應(yīng)急小組應(yīng)具備的條件技術(shù)平臺(tái)運(yùn)行庫(kù)：記錄所受理的所有平安事件，與該事件相關(guān)聯(lián)的信息項(xiàng)〔發(fā)生地、發(fā)生單位、事發(fā)平臺(tái)/版本/現(xiàn)象描述、聯(lián)系人信息等〕，以及該事件的當(dāng)前處理狀況監(jiān)控設(shè)施：應(yīng)效勞對(duì)象的要求接入被保護(hù)的網(wǎng)內(nèi)，捕獲并分析網(wǎng)絡(luò)數(shù)據(jù)流，對(duì)可能造成平安事件的網(wǎng)絡(luò)流量片斷進(jìn)行分析識(shí)別知識(shí)管理設(shè)施：各種漏洞庫(kù)、補(bǔ)丁庫(kù)、工具庫(kù)、效勞對(duì)象關(guān)系庫(kù)等等應(yīng)急小組應(yīng)具備的條件通信手段網(wǎng)絡(luò)、〔含移動(dòng)〕、、視頻會(huì)議等通信設(shè)備對(duì)網(wǎng)絡(luò)通信的加密措施〔如PGP等〕交通手段對(duì)于需要進(jìn)行現(xiàn)場(chǎng)響應(yīng)的應(yīng)急小組，要具備必要的交通手段，比方應(yīng)急車(chē)輛場(chǎng)地要有充足的場(chǎng)地，特別是應(yīng)急值守人員的休息場(chǎng)地如何保護(hù)自己負(fù)有平安保障責(zé)任的應(yīng)急小組必須學(xué)會(huì)保護(hù)自己效勞網(wǎng)站一定要加固業(yè)務(wù)往來(lái)數(shù)據(jù)〔如效勞對(duì)象的日志文件和某些系統(tǒng)文件〕的傳輸一定要加密運(yùn)行庫(kù)要采取一定的屏蔽獲隔離措施如何取證按照符合法律要求的方式，識(shí)別、保存、分析和提交數(shù)字化的入侵證據(jù)的過(guò)程，叫做取證。取證的目的是為了據(jù)此找出入侵者〔或入侵的機(jī)器〕，并解釋入侵的過(guò)程。計(jì)算機(jī)證據(jù)的特點(diǎn)容易被改變或刪除不可見(jiàn)并且改變后不容易被覺(jué)察傳輸中通常和其他無(wú)關(guān)信息共享信道存儲(chǔ)格式各異外行人很難以理解如何取證來(lái)自系統(tǒng)系統(tǒng)日志文件備份介質(zhì)入侵者殘留物：如程序，腳本，進(jìn)程，內(nèi)存映象交換區(qū)文件、臨時(shí)文件硬盤(pán)未分配的空間〔一些剛剛被刪除的文件可以在這里找到〕系統(tǒng)緩沖區(qū)打印機(jī)及其它設(shè)備的內(nèi)存 來(lái)自網(wǎng)絡(luò)防火墻日志IDS日志其它網(wǎng)絡(luò)工具所產(chǎn)生的記錄和日志等。如何找到聯(lián)系人WhoisAPNIC〔日〕//CNNIC〔中〕//RIPE〔歐〕效勞對(duì)象自身提供的信息〔如中國(guó)電信的IP地址段分配表〕采用其他手段綜合得到信息〔如使用“追捕〞〕如何與時(shí)俱進(jìn)不斷補(bǔ)充新知識(shí)與軟硬件系統(tǒng)提供廠商保持密切聯(lián)系，注意補(bǔ)救措施和升級(jí)措施的動(dòng)態(tài)與其他應(yīng)急處理組織、平安效勞企業(yè)、反病毒廠商保持密切聯(lián)系監(jiān)測(cè)系統(tǒng)也要不斷升級(jí)學(xué)習(xí)其他應(yīng)急小組的先進(jìn)經(jīng)驗(yàn)對(duì)緊急響應(yīng)的具體要求效勞本地化技術(shù)咨詢(xún)解決不了所有問(wèn)題現(xiàn)場(chǎng)效勞必不可少一個(gè)鋒利的問(wèn)題：網(wǎng)都不好使了，怎么通過(guò)網(wǎng)絡(luò)下載補(bǔ)丁和工具？效勞標(biāo)準(zhǔn)化7x24小時(shí)效勞根據(jù)不同等級(jí)，對(duì)響應(yīng)時(shí)間的要求不同作為特殊行業(yè)，需要保護(hù)用戶(hù)利益資質(zhì)與效勞質(zhì)量的監(jiān)督檢查效勞單位資質(zhì)和效勞質(zhì)量的監(jiān)督管理對(duì)整個(gè)平安保障體系至關(guān)重要第三局部：關(guān)于入侵監(jiān)測(cè)系統(tǒng)的一些討論什么是入侵？入侵〔intrusion〕：從受害者的角度看到的成功的攻擊從攻擊者的角度看，如果他們的攻擊目的一個(gè)也沒(méi)有到達(dá)，就不算成功的攻擊；從受害者的角度看，攻擊者的行為給自己帶來(lái)了不良后果，就算受到了成功攻擊；攻擊者認(rèn)為失敗的攻擊，從受害者的角度看卻可能是成功的被入侵者可能需要關(guān)心什么？發(fā)生了什么事情？哪些局部受到了影響？后果如何？入侵者是誰(shuí)？入侵者的原始位置在哪里?什么時(shí)候發(fā)生的入侵行為？入侵是如何進(jìn)行的？為什么入侵？等等入侵監(jiān)測(cè)系統(tǒng)：如同銀行的報(bào)警器；監(jiān)視、記錄、分析網(wǎng)絡(luò)中發(fā)生的各種攻擊行為，并且向用戶(hù)發(fā)出警報(bào)；幫助您答復(fù)左邊這些問(wèn)題；這些事情好似別的系統(tǒng)也能做？防火墻也可以告訴我這些防火墻主要工作在網(wǎng)關(guān)的位置，一般用來(lái)對(duì)付來(lái)自外界的攻擊，目標(biāo)以隔離為主，采用串聯(lián)的方式接入網(wǎng)絡(luò)中；入侵監(jiān)測(cè)系統(tǒng)經(jīng)常在網(wǎng)絡(luò)中布置多個(gè)，一般用來(lái)針對(duì)網(wǎng)絡(luò)中的多個(gè)局部進(jìn)行保護(hù)，目標(biāo)已發(fā)現(xiàn)為主，通常采用并連的方式接入；系統(tǒng)的日志也可以告訴我這些沒(méi)錯(cuò)，入侵監(jiān)測(cè)系統(tǒng)就是幫助您自動(dòng)收集和分析網(wǎng)絡(luò)中所發(fā)生事件的情況，省掉您不停分析來(lái)自很多機(jī)器的日志的麻煩！--想想看如果沒(méi)有IDS，要你做同樣的工作量，是什么情形？入侵監(jiān)測(cè)系統(tǒng)的地位？ProtectionDetectionResponseRecover是防火墻和其他系統(tǒng)的有益補(bǔ)充是全面了解網(wǎng)絡(luò)平安實(shí)際情況的重要工具是根據(jù)需要設(shè)置的重要的輔助系統(tǒng)判斷方案是否合理需要考慮哪些問(wèn)題？是不是覆蓋了所有需要實(shí)時(shí)監(jiān)測(cè)的關(guān)鍵局部？引擎的能力是否能夠適應(yīng)其策略要求和安放的位置？產(chǎn)生的日志量有多大，帶來(lái)的網(wǎng)絡(luò)負(fù)擔(dān)是否影響正常業(yè)務(wù)的進(jìn)行？報(bào)警的策略是否合理，平安管理人員是否能夠承受？etc.這些問(wèn)題，引出一系列的問(wèn)題基于主機(jī)還是基于網(wǎng)絡(luò)？基于網(wǎng)絡(luò)的入侵監(jiān)測(cè)系統(tǒng)在網(wǎng)段中安裝的專(zhuān)用設(shè)備；放在防火墻內(nèi)還是防火墻外存在爭(zhēng)議；依靠捕獲在網(wǎng)絡(luò)中的數(shù)據(jù)報(bào)文進(jìn)行分析；基于主機(jī)的入侵監(jiān)測(cè)系統(tǒng)運(yùn)行在被保護(hù)的主機(jī)中；監(jiān)測(cè)分析被保護(hù)主機(jī)的一系列關(guān)鍵變量參數(shù)；基于網(wǎng)絡(luò)的入侵監(jiān)測(cè)系統(tǒng)NIDS基于主機(jī)的入侵監(jiān)測(cè)系統(tǒng)HIDS優(yōu)點(diǎn)缺點(diǎn)優(yōu)點(diǎn)缺點(diǎn)覆蓋面寬，一個(gè)引擎可以覆蓋一個(gè)網(wǎng)段誤報(bào)率相對(duì)較高能夠建立事件和用戶(hù)之間的聯(lián)系當(dāng)對(duì)主機(jī)的攻擊獲得成功時(shí)，HIDS所提供的信息的可靠性立即受到影響隱蔽性好不能分析加密流量能夠發(fā)現(xiàn)NIDS發(fā)現(xiàn)不了的攻擊被保護(hù)主機(jī)被攻擊癱瘓時(shí)，HIDS隨著系統(tǒng)也癱瘓安裝和升級(jí)工作對(duì)網(wǎng)絡(luò)的影響小只能對(duì)已知的部分攻擊特征進(jìn)行監(jiān)測(cè)，不是別新的攻擊模