信息安全與技術(shù)課件06(清華大學(xué))資料

1、信息安全與技術(shù)(jsh)清華大學(xué)出版社共三十二頁(yè)第6章 入侵檢測(cè)(jin c)技術(shù) 傳統(tǒng)上，企業(yè)網(wǎng)絡(luò)一般采用防火墻作為安全的第一道防線，但隨著攻擊工具與手法的日趨復(fù)雜多樣，單純的防火墻策略已經(jīng)無(wú)法滿足對(duì)網(wǎng)絡(luò)安全的進(jìn)一步需要，網(wǎng)絡(luò)的防衛(wèi)必須采用一種縱深的、多樣化的手段。入侵檢測(cè)系統(tǒng)是繼防火墻之后，保護(hù)網(wǎng)絡(luò)安全的第二道防線，它可以在網(wǎng)絡(luò)受到攻擊時(shí)，發(fā)出警報(bào)(jngbo)或者采取一定的干預(yù)措施，以保證網(wǎng)絡(luò)的安全。共三十二頁(yè)6.1 入侵(rqn)檢測(cè)的概念6.1.1 入侵檢測(cè)系統(tǒng)功能及工作過(guò)程6.1.2 入侵檢測(cè)技術(shù)(jsh)的分類6.1.3 入侵檢測(cè)系統(tǒng)的性能指標(biāo)共三十二頁(yè)6.1.1 入侵檢測(cè)系統(tǒng)功

2、能(gngnng)及工作過(guò)程入侵是指任何企圖危及資源的完整性、機(jī)密性和可用性的活動(dòng)。入侵檢測(cè)（Intrusion Detection），顧名思義，便是對(duì)入侵行為的發(fā)覺(jué)。它通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中得若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)和計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)。入侵檢測(cè)系統(tǒng)（Intrusion Detection System,簡(jiǎn)稱IDS）是進(jìn)行入侵檢測(cè)的軟件與硬件的組合。該系統(tǒng)對(duì)系統(tǒng)資源的非授權(quán)使用能夠做出及時(shí)的判斷、記錄和報(bào)警。與其他安全產(chǎn)

3、品不同的是，入侵檢測(cè)系統(tǒng)需要更多的智能，它必須可以將得到的數(shù)據(jù)進(jìn)行分析，并得出有用(yu yn)的結(jié)果。一個(gè)合格的入侵檢測(cè)系統(tǒng)能大大的簡(jiǎn)化管理員的工作，保證網(wǎng)絡(luò)安全的運(yùn)行。 共三十二頁(yè)6.1.1 入侵檢測(cè)系統(tǒng)功能及工作(gngzu)過(guò)程入侵檢測(cè)系統(tǒng)的主要功能有：實(shí)時(shí)檢測(cè)：監(jiān)控和分析用戶和系統(tǒng)活動(dòng)，實(shí)時(shí)地監(jiān)視、分析網(wǎng)絡(luò)(wnglu)中所有的數(shù)據(jù)包；發(fā)現(xiàn)并實(shí)時(shí)處理所捕獲的數(shù)據(jù)包，識(shí)別活動(dòng)模式以反應(yīng)已知攻擊。安全審計(jì)：對(duì)系統(tǒng)記錄的網(wǎng)絡(luò)事件進(jìn)行統(tǒng)計(jì)分析；發(fā)現(xiàn)異?，F(xiàn)象；得出系統(tǒng)的安全狀態(tài)，找出所需要的證據(jù)主動(dòng)響應(yīng)：主動(dòng)切斷連接或與防火墻聯(lián)動(dòng)，調(diào)用其他程序處理評(píng)估統(tǒng)計(jì)：評(píng)估關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性，統(tǒng)計(jì)

4、分析異?；顒?dòng)模式 共三十二頁(yè)6.1.2 入侵檢測(cè)技術(shù)(jsh)的分類入侵檢測(cè)按技術(shù)(jsh)可以分為特征檢測(cè)（Signature-based detection）和異常檢測(cè)（Anomaly detection）。按監(jiān)測(cè)對(duì)象可以分為基于主機(jī)入侵檢測(cè) ( HIDS )和基于網(wǎng)絡(luò)入侵檢測(cè) ( NIDS )。共三十二頁(yè)6.1.2 入侵檢測(cè)技術(shù)(jsh)的分類特征檢測(cè)特征檢測(cè)是收集非正常操作的行為特征，建立相關(guān)的特征庫(kù)，當(dāng)監(jiān)測(cè)的用戶或系統(tǒng)行為與庫(kù)中的記錄相匹配時(shí)，系統(tǒng)就認(rèn)為這種行為是入侵。特征檢測(cè)可以將已有的入侵方法檢查出來(lái)，但對(duì)新的入侵方法無(wú)能為力。特征檢測(cè)的難點(diǎn)是如何(rh)設(shè)計(jì)模式既能夠表達(dá)“入侵

5、”現(xiàn)象又不會(huì)將正常的活動(dòng)包含進(jìn)來(lái)，采取的主要方法是模式匹配。共三十二頁(yè)6.1.2 入侵檢測(cè)技術(shù)(jsh)的分類異常檢測(cè)異常檢測(cè)是總結(jié)正常操作應(yīng)該具有的特征，建立主體正?；顒?dòng)的“活動(dòng)簡(jiǎn)檔”，當(dāng)用戶活動(dòng)狀況與“活動(dòng)簡(jiǎn)檔”相比，有重大偏離(pinl)時(shí)即被認(rèn)為該活動(dòng)可能是“入侵”行為。異常檢測(cè)的技術(shù)難點(diǎn)是異常檢測(cè)的難題在于如何建立“活動(dòng)簡(jiǎn)檔”以及如何設(shè)計(jì)統(tǒng)計(jì)算法，從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為。常用方法是概率統(tǒng)計(jì)。共三十二頁(yè)6.1.2 入侵(rqn)檢測(cè)技術(shù)的分類基于主機(jī)的入侵檢測(cè)基于主機(jī)的入侵檢測(cè)產(chǎn)品（HIDS）主要用于保護(hù)運(yùn)行關(guān)鍵應(yīng)用的服務(wù)器或被重點(diǎn)檢測(cè)的主機(jī)之上。主要是

6、對(duì)該主機(jī)的網(wǎng)絡(luò)實(shí)時(shí)連接以及系統(tǒng)審計(jì)日志進(jìn)行智能分析和判斷。如果其中主體活動(dòng)十分可疑(特征或違反統(tǒng)計(jì)規(guī)律)，入侵檢測(cè)系統(tǒng)就會(huì)采取相應(yīng)措施。 主機(jī)入侵檢測(cè)的優(yōu)點(diǎn)主要表現(xiàn)在以下方面：入侵行為分析能力誤報(bào)率要低復(fù)雜性小，性能價(jià)格比高網(wǎng)絡(luò)通信要求低主機(jī)入侵檢測(cè)的缺點(diǎn)主要變現(xiàn)在以下幾個(gè)方面。影響保護(hù)目標(biāo)服務(wù)器依賴性全面布署代價(jià)大不能監(jiān)控(jin kn)網(wǎng)絡(luò)上的情況共三十二頁(yè)6.1.2 入侵檢測(cè)技術(shù)(jsh)的分類基于網(wǎng)絡(luò)入侵檢測(cè)網(wǎng)絡(luò)入侵檢測(cè)是大多數(shù)入侵檢測(cè)廠商采用的產(chǎn)品形式。通過(guò)捕獲和分析網(wǎng)絡(luò)包來(lái)探測(cè)攻擊。網(wǎng)絡(luò)入侵檢測(cè)可以在網(wǎng)段或者交換機(jī)上進(jìn)行監(jiān)聽，來(lái)檢測(cè)對(duì)連接在網(wǎng)段上的多個(gè)主機(jī)有影響的網(wǎng)絡(luò)通訊，從而保護(hù)

7、那些主機(jī)。 網(wǎng)絡(luò)入侵檢測(cè)優(yōu)點(diǎn)表現(xiàn)(bioxin)在以下幾個(gè)方面:網(wǎng)絡(luò)通信檢測(cè)能力無(wú)需改變主機(jī)配置和性能布署風(fēng)險(xiǎn)小，獨(dú)立性和操作系統(tǒng)無(wú)關(guān)性定制設(shè)備，安裝簡(jiǎn)單網(wǎng)絡(luò)入侵檢測(cè)缺點(diǎn)表現(xiàn)在以下幾個(gè)方面:不能檢測(cè)不同網(wǎng)段的網(wǎng)絡(luò)包很難檢測(cè)復(fù)雜的需要大量計(jì)算的攻擊協(xié)同工作能力弱難以處理加密的會(huì)話共三十二頁(yè)6.1.3 入侵檢測(cè)(jin c)系統(tǒng)的性能指標(biāo)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的性能指標(biāo)(zhbio)主要包括3類，即準(zhǔn)確性指標(biāo)(zhbio)、效率指標(biāo)(zhbio)和系統(tǒng)指標(biāo)(zhbio)。準(zhǔn)確性指標(biāo) 準(zhǔn)確性指標(biāo)在很大程度上取決于測(cè)試時(shí)采用的樣本集和測(cè)試環(huán)境。樣本集和測(cè)試環(huán)境不同，準(zhǔn)確性也不相同。主要包括三個(gè)指標(biāo)，即檢測(cè)率

8、、誤報(bào)率和漏報(bào)率。 檢測(cè)率是指被監(jiān)視網(wǎng)絡(luò)在受到入侵攻擊時(shí)，系統(tǒng)能夠正確報(bào)警的概率。通常利用已知入侵攻擊的實(shí)驗(yàn)數(shù)據(jù)集合來(lái)測(cè)試系統(tǒng)的檢測(cè)率。檢測(cè)率=入侵報(bào)警的數(shù)量/入侵攻擊的數(shù)量。誤報(bào)率是指系統(tǒng)把正常行為作為入侵攻擊而進(jìn)行報(bào)警的概率和把一種周知的攻擊錯(cuò)誤報(bào)告為另一種攻擊的概率。誤報(bào)率=錯(cuò)誤報(bào)警數(shù)量/（總體正常行為樣本數(shù)量+總體攻擊樣本數(shù)量）。漏報(bào)率是指被檢測(cè)網(wǎng)絡(luò)受到入侵攻擊時(shí)，系統(tǒng)不能正確報(bào)警的概率。通常利用已知入侵攻擊的實(shí)驗(yàn)數(shù)據(jù)集合來(lái)測(cè)試系統(tǒng)的漏報(bào)率。漏報(bào)率=不能報(bào)警的數(shù)量/入侵攻擊的數(shù)量共三十二頁(yè)6.1.3 入侵檢測(cè)(jin c)系統(tǒng)的性能指標(biāo)2. 效率指標(biāo)效率指標(biāo)根據(jù)用戶系統(tǒng)(xtng)的實(shí)

9、際需求，以保證檢測(cè)質(zhì)量為準(zhǔn)；同時(shí)取決于不同的設(shè)備級(jí)別，如百兆網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(xtng)和千兆網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(xtng)的效率指標(biāo)一定有很大差別。效率指標(biāo)主要包括最大處理能力、每秒并發(fā)TCP會(huì)話數(shù)、最大并發(fā)TCP會(huì)話數(shù)等。 共三十二頁(yè)6.1.3 入侵檢測(cè)(jin c)系統(tǒng)的性能指標(biāo)3.系統(tǒng)指標(biāo)系統(tǒng)指標(biāo)主要表征系統(tǒng)本身(bnshn)運(yùn)行的穩(wěn)定性和使用的方便性。系統(tǒng)指標(biāo)主要包括最大規(guī)則數(shù)、平均無(wú)故障間隔等。 共三十二頁(yè)6.2 網(wǎng)絡(luò)入侵(rqn)檢測(cè)系統(tǒng)產(chǎn)品6.2.1 入侵檢測(cè)系統(tǒng)(xtng)簡(jiǎn)介6.2.2 Snort入侵檢測(cè)系統(tǒng)共三十二頁(yè)6.2.1 入侵(rqn)檢測(cè)系統(tǒng)簡(jiǎn)介入侵檢測(cè)系統(tǒng)作為最常

10、見的網(wǎng)絡(luò)安全產(chǎn)品之一，已經(jīng)得到了非常廣泛(gungfn)的應(yīng)用。當(dāng)前網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的產(chǎn)品有很多，主要有Snort，、金諾網(wǎng)安、安氏的領(lǐng)信IDS、啟明星辰的天闐系列、聯(lián)想的聯(lián)想網(wǎng)御IDS、東軟、綠盟科技的冰之眼系列、中科網(wǎng)威的天眼IDS、思科的Cisco IDS、CA的eTrust IDS等。共三十二頁(yè)6.2.2 Snort入侵檢測(cè)(jin c)系統(tǒng)1. Snort 簡(jiǎn)介Snort是Martin Roesch等人開發(fā)的一種開放源碼的入侵檢測(cè)系統(tǒng)。Martin Roesch把Snort定位為一個(gè)輕量級(jí)的入侵檢測(cè)系統(tǒng)。它具有實(shí)時(shí)數(shù)據(jù)流量分析和IP數(shù)據(jù)包日志分析的能力，具有跨平臺(tái)特征，能夠進(jìn)行協(xié)議分

11、析和對(duì)內(nèi)容的搜索/匹配。它能夠檢測(cè)不同的攻擊(gngj)行為，如緩沖區(qū)溢出、端口掃描、DoS攻擊(gngj)等，并進(jìn)行實(shí)時(shí)報(bào)警。共三十二頁(yè)6.2.2 Snort入侵(rqn)檢測(cè)系統(tǒng)2系統(tǒng)結(jié)構(gòu)Snort具有良好的擴(kuò)展性和可移植性，可支持Linux、windows等多種操作系統(tǒng)平臺(tái)?；赟nort和BASE的入侵檢測(cè)系統(tǒng)通常采用“傳感器數(shù)據(jù)庫(kù)分析平臺(tái)”的三層架構(gòu)體系。傳感器即網(wǎng)絡(luò)數(shù)據(jù)包捕獲轉(zhuǎn)儲(chǔ)程序。這三種角色既可以部署于同一個(gè)主機(jī)平臺(tái)也可以部署在不同的物理平臺(tái)上，架構(gòu)組織非常靈活。如果僅僅需要一個(gè)測(cè)試研究環(huán)境，單服務(wù)器部署是一個(gè)不錯(cuò)的選擇；而如果需要一個(gè)穩(wěn)定高效的專業(yè)IDS平臺(tái)，那么多層分布的I

12、DS無(wú)論是在安全還是在性能方面都能夠滿足。具體(jt)的部署方案還要取決于實(shí)際環(huán)境需求。共三十二頁(yè)6.2.2 Snort入侵(rqn)檢測(cè)系統(tǒng)3. 安裝環(huán)境一臺(tái)安裝windows2000/XP/2003操作系統(tǒng)的計(jì)算機(jī)，連接到本地(bnd)局域網(wǎng)中。需要安裝部署下列軟件包，如表6-1所示。4安裝軟件（1）WinPcap 安裝（2）Snort 安裝（3）MySQL 安裝（4）Apache 安裝（5）Php 安裝（6）ADODB 安裝（7）安裝配置數(shù)據(jù)控制臺(tái)ACID。（8）將Snort規(guī)則放入解壓 d:snort目錄下。（9）啟動(dòng)snort（10）測(cè)試snort共三十二頁(yè)6.3 漏洞檢測(cè)(jin

13、c)技術(shù)和系統(tǒng)漏洞檢測(cè)(jin c)工具6.3.1 入侵攻擊可利用的系統(tǒng)漏洞類型6.3.2 漏洞檢測(cè)技術(shù)分類6.3.3 系統(tǒng)漏洞檢測(cè)方法6.3.4 常見(chn jin)的系統(tǒng)漏洞及防范6.3.5 系統(tǒng)漏洞檢測(cè)工具共三十二頁(yè)6.3.1 入侵攻擊可利用(lyng)的系統(tǒng)漏洞類型入侵者常常從收集、發(fā)現(xiàn)和利用(lyng)信息系統(tǒng)的漏洞來(lái)發(fā)起對(duì)系統(tǒng)的攻擊。不同的應(yīng)用，甚至同一系統(tǒng)不同的版本，其系統(tǒng)漏洞都不盡相同，大致上可以分為3類（1） 網(wǎng)絡(luò)傳輸和協(xié)議的漏洞攻擊者利用網(wǎng)絡(luò)傳輸時(shí)對(duì)協(xié)議的信任以及網(wǎng)絡(luò)傳輸?shù)穆┒催M(jìn)入系統(tǒng)。攻擊者還可利用協(xié)議的特性進(jìn)行攻擊，攻擊者還可以設(shè)法避開認(rèn)證過(guò)程，或通過(guò)假冒 (如源地址

14、) 而混過(guò)認(rèn)證過(guò)程DNS、WHOIS、FINGER等服務(wù)也會(huì)泄露出許多對(duì)攻擊者有用的信息。（2） 系統(tǒng)的漏洞攻擊者可以利用服務(wù)進(jìn)程的BUG和配置錯(cuò)誤進(jìn)行攻擊。因?yàn)橄到y(tǒng)內(nèi)部的程序可能存在許多BUG，因此，存在著入侵者利用程序中的BUG來(lái)獲取特權(quán)用戶權(quán)限的可能。（3） 管理的漏洞攻擊者可以利用各種方式從系統(tǒng)管理員和用戶那里誘騙或套取可用于非法進(jìn)入的系統(tǒng)信息，包括口令、用戶名等。共三十二頁(yè)6.3.1 入侵(rqn)攻擊可利用的系統(tǒng)漏洞類型通過(guò)對(duì)入侵過(guò)程的分析，系統(tǒng)的安全漏洞可以分為以下5類：可使遠(yuǎn)程攻擊者獲得系統(tǒng)的一般訪問(wèn)權(quán)限；可使遠(yuǎn)程攻擊者獲得系統(tǒng)的管理權(quán)限；遠(yuǎn)程攻擊者可使系統(tǒng)拒絕(jju)合法用

15、戶的服務(wù)請(qǐng)求；可使一般用戶獲得系統(tǒng)管理權(quán)限；一般用戶可使系統(tǒng)拒絕其他合法用戶的服務(wù)請(qǐng)求。共三十二頁(yè)6.3.1 入侵攻擊可利用(lyng)的系統(tǒng)漏洞類型從系統(tǒng)本身的結(jié)構(gòu)看，系統(tǒng)的漏洞可分為：安全機(jī)制本身存在的安全漏洞；系統(tǒng)服務(wù)協(xié)議中存在的安全漏洞；系統(tǒng)、服務(wù)管理與配置的安全漏洞；安全算法(sun f)、系統(tǒng)協(xié)議與服務(wù)現(xiàn)實(shí)中存在的安全問(wèn)題。共三十二頁(yè)6.3.2 漏洞(ludng)檢測(cè)技術(shù)分類漏洞檢測(cè)技術(shù)(jsh)可采用兩種策略，即被動(dòng)式策略和主動(dòng)式策略。前者是基于主機(jī)的檢測(cè)，對(duì)系統(tǒng)中不合適的設(shè)置、脆弱的密碼以及其他同安全策略相抵觸的對(duì)象進(jìn)行檢查。后者是基于網(wǎng)絡(luò)的檢測(cè)，通過(guò)執(zhí)行一些腳本文件對(duì)系統(tǒng)進(jìn)行

16、攻擊，并記錄其反應(yīng)，從而發(fā)現(xiàn)其中漏洞。根據(jù)所采用的技術(shù)特點(diǎn)，漏洞檢測(cè)技術(shù)可以分為以下5類 ：（1）基于應(yīng)用的檢測(cè)技術(shù)。采用被動(dòng)、非破壞性的辦法來(lái)檢查應(yīng)用軟件包的設(shè)置，發(fā)現(xiàn)安全漏洞。（2）基于主機(jī)的檢測(cè)技術(shù)。采用被動(dòng)、非破壞性的辦法對(duì)系統(tǒng)進(jìn)行檢測(cè)，常涉及系統(tǒng)內(nèi)核、文件的屬性、操作系統(tǒng)的補(bǔ)丁等問(wèn)題。這種技術(shù)還包括口令解密，因此，這種技術(shù)可以非常準(zhǔn)確地定位系統(tǒng)存在的問(wèn)題，發(fā)現(xiàn)系統(tǒng)漏洞。其缺點(diǎn)是與平臺(tái)相關(guān)，升級(jí)復(fù)雜。共三十二頁(yè)6.3.2 漏洞檢測(cè)(jin c)技術(shù)分類（3）基于目標(biāo)的檢測(cè)技術(shù)。采用被動(dòng)、非破壞性的辦法檢查系統(tǒng)屬性和文件屬性，如數(shù)據(jù)庫(kù)、注冊(cè)號(hào)等。通過(guò)消息摘要算法，對(duì)系統(tǒng)屬性和文件屬性進(jìn)行

17、雜湊 (Hash) 函數(shù)運(yùn)算。如果函數(shù)的輸入有一點(diǎn)變化，其輸出就會(huì)發(fā)生大的變化，這樣文件和數(shù)據(jù)流的細(xì)微變化都會(huì)被感知。這些算法實(shí)現(xiàn)(shxin)是運(yùn)行在一個(gè)閉環(huán)上，不斷地處理文件和系統(tǒng)目標(biāo)屬性，然后產(chǎn)生校驗(yàn)數(shù)，把這些校驗(yàn)數(shù)同原來(lái)的校驗(yàn)數(shù)相比較，一旦發(fā)現(xiàn)改變就通知管理員。（4）基于網(wǎng)絡(luò)的檢測(cè)技術(shù)。采用積極、非破壞性的辦法來(lái)檢驗(yàn)系統(tǒng)是否有可能被攻擊而崩潰。它利用了一系列腳本對(duì)系統(tǒng)進(jìn)行攻擊，然后對(duì)結(jié)果進(jìn)行分析。網(wǎng)絡(luò)檢測(cè)技術(shù)常被用來(lái)進(jìn)行穿透實(shí)驗(yàn)和安全審計(jì)。這種技術(shù)可以發(fā)現(xiàn)系統(tǒng)平臺(tái)的一系列漏洞，也容易安裝。但是，它容易影響網(wǎng)絡(luò)的性能。（5）綜合的技術(shù)。它集中了以上4種技術(shù)的優(yōu)點(diǎn)，極大地增強(qiáng)了漏洞識(shí)別的精

18、度。共三十二頁(yè)6.3.3 系統(tǒng)漏洞檢測(cè)(jin c)方法系統(tǒng)漏洞檢測(cè)是通過(guò)一定的技術(shù)方法主動(dòng)地去發(fā)現(xiàn)系統(tǒng)中未知的安全漏洞?，F(xiàn)有的漏洞檢測(cè)方法有源代碼掃描、反匯編代碼掃描、滲透分析、環(huán)境錯(cuò)誤(cuw)注入等。 共三十二頁(yè)6.3.3 系統(tǒng)漏洞檢測(cè)(jin c)方法（1）源代碼掃描由于相當(dāng)多的安全漏洞在源代碼中會(huì)出現(xiàn)類似的錯(cuò)誤，因此可以通過(guò)匹配程序中不符合規(guī)則的部分（如文件結(jié)構(gòu)、命名規(guī)則、函數(shù)、堆棧指針等），從而發(fā)現(xiàn)程序中可能隱含的缺陷。源代碼掃描技術(shù)主要針對(duì)開放源代碼的程序，因而這種檢測(cè)技術(shù)需要熟練掌握編程語(yǔ)言，并預(yù)先定義出不安全代碼的審查規(guī)則，通過(guò)表達(dá)式匹配的方法檢查(jinch)源程序代碼。該

19、方法不僅能夠發(fā)現(xiàn)程序動(dòng)態(tài)運(yùn)行過(guò)程中存在的安全漏洞，而且會(huì)出現(xiàn)大量的誤報(bào)。（2）反匯編代碼掃描對(duì)于不公開的源代碼程序，反匯編代碼掃描是最有效的檢測(cè)方法，但分析反匯編代碼需要有豐富的經(jīng)驗(yàn)和很高的技術(shù)。采用反匯編代碼掃描方法可以自行分析代碼，也可以借助輔助工具得到目標(biāo)程序的匯編腳本語(yǔ)言，再對(duì)匯編出來(lái)的腳本語(yǔ)言使用掃描方法，檢測(cè)不安全的匯編代碼序列。通常，通過(guò)反匯編代碼掃描方法可以檢測(cè)出大部分的系統(tǒng)漏洞，但這種方法費(fèi)時(shí)費(fèi)力，對(duì)人員的技術(shù)水平要求很高，也同樣不能檢測(cè)到程序動(dòng)態(tài)運(yùn)行過(guò)程中產(chǎn)生的安全漏洞。共三十二頁(yè)6.3.3 系統(tǒng)漏洞檢測(cè)(jin c)方法（3）滲透分析滲透分析法是依據(jù)已知安全漏洞檢測(cè)未知的

20、漏洞，但是滲透分析以事先知道系統(tǒng)中的某種漏洞為先決條件。滲透分析的有效性與執(zhí)行分析的程序員有關(guān)，缺乏(quf)評(píng)估的客觀性。（4）環(huán)境錯(cuò)誤注入環(huán)境錯(cuò)誤注入法是軟件運(yùn)行的環(huán)境中故意注入人為的錯(cuò)誤，并驗(yàn)證反應(yīng)這也是驗(yàn)證計(jì)算機(jī)和軟件系統(tǒng)容錯(cuò)性和可靠性的一種有效方法。 共三十二頁(yè)6.3.4 常見(chn jin)的系統(tǒng)漏洞及防范利用Windows XP的AutoRun漏洞刪除硬盤文件(wnjin)。IPC$默認(rèn)共享漏洞Unicode漏洞IDQ溢出漏洞WebDAV溢出漏洞共三十二頁(yè)6.3.5 系統(tǒng)漏洞檢測(cè)工具網(wǎng)絡(luò)攻擊的目標(biāo)主要有兩類：系統(tǒng)和數(shù)據(jù)，其所對(duì)應(yīng)的安全性也涉及系統(tǒng)安全和數(shù)據(jù)安全兩個(gè)方面。 系統(tǒng)型

21、攻擊的特點(diǎn)是：攻擊發(fā)生在網(wǎng)絡(luò)層，破壞系統(tǒng)的可用性，使系統(tǒng)不能正常工作?？赡芰粝旅黠@(mngxin)的攻擊痕跡，用戶會(huì)發(fā)現(xiàn)系統(tǒng)不能工作。數(shù)據(jù)型攻擊的特點(diǎn)是：發(fā)生在網(wǎng)絡(luò)的應(yīng)用層，面向信息，主要目的是篡改和偷取信息，不會(huì)留下明顯的痕跡。 共三十二頁(yè)本章(bn zhn)小結(jié)介紹了入侵檢測(cè)的概念，入侵檢測(cè)系統(tǒng)功能及工作過(guò)程。入侵檢測(cè)按技術(shù)分類可以分為特征檢測(cè)和異常檢測(cè)。按監(jiān)測(cè)對(duì)象分類可以分為基于主機(jī)入侵檢測(cè)和基于網(wǎng)絡(luò)入侵檢測(cè)。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的性能指標(biāo)主要包括3類，即準(zhǔn)確性指標(biāo)、效率指標(biāo)和系統(tǒng)指標(biāo)。入侵檢測(cè)系統(tǒng)作為最常見的網(wǎng)絡(luò)安全產(chǎn)品之一，已經(jīng)得到了非常廣泛的應(yīng)用。當(dāng)前網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的產(chǎn)品有很多，主要有Snort，、金諾網(wǎng)安、安氏的領(lǐng)信IDS、啟明星辰的天闐系列、聯(lián)想的聯(lián)想網(wǎng)御IDS、東軟、綠盟科技的冰之眼系列、中科網(wǎng)威的