計(jì)算機(jī)三級(jí)網(wǎng)絡(luò)服務(wù)器配置四

1、網(wǎng)絡(luò)安全及網(wǎng)絡(luò)新技術(shù) 第四講網(wǎng)絡(luò)安全技術(shù)基本概念 信息安全的基本概念5個(gè)基本要素計(jì)算機(jī)系統(tǒng)的安全等級(jí)網(wǎng)絡(luò)安全的概念及策略； 安全等級(jí)D級(jí):最低保護(hù)C級(jí):自定義保護(hù)B級(jí):強(qiáng)制式保護(hù)A級(jí):可驗(yàn)證之保護(hù)網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全，其所涉及的領(lǐng)域相當(dāng)廣泛。這是因?yàn)樵谀壳暗墓猛ㄐ啪W(wǎng)絡(luò)中存在著各種各樣的安全漏洞和威脅。從廣義來說，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論，都是網(wǎng)絡(luò)安全所要研究的領(lǐng)域。下面給出網(wǎng)絡(luò)安全的一個(gè)通用定義：網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可

2、靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。1.3 對(duì)網(wǎng)絡(luò)安全的威脅與網(wǎng)絡(luò)連通性相關(guān)的有三種不同類型的安全威脅：（1） 非授權(quán)訪問（Unauthorized Access）指一個(gè)非授權(quán)用戶的入侵。（2） 信息泄露（Disclosure of Information）指造成將有價(jià)值的和高度機(jī)密的信息暴露給無權(quán)訪問該信息的人的所有問題。（3） 拒絕服務(wù)（Denial of Service）指使系統(tǒng)難以或不能繼續(xù)執(zhí)行任務(wù)的所有問題。1.4 網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)從廣義上講，計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)主要有：（1）主機(jī)安全技術(shù)：（2）身份認(rèn)證技術(shù)：（3）訪問控制技術(shù)：（4）密碼技術(shù)：（5）防火墻技術(shù)：（6）安全審計(jì)技術(shù)：（7）

3、安全管理技術(shù)：5個(gè)基本要素機(jī)密性 機(jī)密性用于防止信息被非法竊取，或者竊聽者不能了解信息的真實(shí)含義；通過授權(quán)，可以保護(hù)信息不被沒有授權(quán)的人訪問；通過加密，能保護(hù)信息不被非法訪問者理解；完整性 完整性用于保證信息的一致性，防止信息在傳輸和存儲(chǔ)的過程中被非法訪問者篡改或者替換；可用性 可用性用于保證合法用戶對(duì)可以使用的信息進(jìn)行正常的使用；鑒別 鑒別用于防止偽冒信息，通過確認(rèn)訪問者的身份或消息的來源實(shí)現(xiàn)；防抵賴 防抵賴用于建立有效的責(zé)任機(jī)制，防止信息的制造者和修改者在事后否認(rèn)其行為；網(wǎng)絡(luò)管理 網(wǎng)絡(luò)故障管理:指對(duì)故障的檢測(cè)、診斷、恢復(fù)或排錯(cuò)等操作進(jìn)行的管理。網(wǎng)絡(luò)配置管理：用來定義、識(shí)別、初始化、控制和檢

4、測(cè)通信網(wǎng)絡(luò)中的被管理對(duì)象的功能集合。網(wǎng)絡(luò)性能管理：收集網(wǎng)絡(luò)性能數(shù)據(jù)、分析、調(diào)整管理對(duì)象。網(wǎng)絡(luò)安全管理：防止用戶對(duì)網(wǎng)絡(luò)資源的非法訪問，確保網(wǎng)絡(luò)資源和網(wǎng)絡(luò)用戶的安全。網(wǎng)絡(luò)計(jì)費(fèi)管理：自動(dòng)記錄用戶使用網(wǎng)絡(luò)資源的時(shí)間情況。管理協(xié)議 ：snmp:簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議，udp.防火墻技術(shù) 9.7.1 概述 自從1986年美國(guó)Digital公司在Internet上安裝了全球第一個(gè)商用防火墻系統(tǒng)后，防火墻的概念便誕生了，其技術(shù)也得到了飛速的發(fā)展。第一代防火墻，又稱包過濾防火墻，主要通過對(duì)數(shù)據(jù)包源地址、目的地址、端口號(hào)等參數(shù)來決定是否允許該數(shù)據(jù)包通過，對(duì)其進(jìn)行轉(zhuǎn)發(fā)，但這種防火墻很難抵御IP地址欺騙等攻擊，而且審計(jì)功能

5、很差。第二代防火墻，也稱代理服務(wù)器，它用來提供網(wǎng)絡(luò)服務(wù)級(jí)的控制，起到外部網(wǎng)絡(luò)向被保護(hù)的內(nèi)部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)中間轉(zhuǎn)接作用，這種方法可以有效地防止對(duì)內(nèi)部網(wǎng)絡(luò)的直接攻擊，安全性較高。第三代防火墻有效地提高了防火墻的安全性，稱為狀態(tài)監(jiān)控功能防火墻，它可以對(duì)每一層的數(shù)據(jù)包進(jìn)行檢測(cè)和監(jiān)控。隨著網(wǎng)絡(luò)攻擊手段和信息安全技術(shù)的發(fā)展，功能更強(qiáng)大、安全性更強(qiáng)的新一代的防火墻已經(jīng)問世，這個(gè)階段的防火墻已超出了原來傳統(tǒng)意義上防火墻的范疇，已經(jīng)演變成一個(gè)全方位的安全技術(shù)集成系統(tǒng)，我們稱之為第四代防火墻，它可以抵御目前常見的網(wǎng)絡(luò)攻擊手段，如IP地址欺騙、特洛伊木馬攻擊、Internet蠕蟲、口令探尋攻擊、郵件攻擊等等。 9.

6、7防火墻技術(shù) 9.7.1 概述 防火墻（Firewall）是指由軟件或硬件設(shè)備組合而成的、用來在一個(gè)被認(rèn)為是安全和可信的內(nèi)部網(wǎng)絡(luò)(通常是企業(yè)內(nèi)部網(wǎng)Intranet)和一個(gè)被認(rèn)為是不那么安全和可信的外部網(wǎng)絡(luò)(通常是國(guó)際互連網(wǎng)Internet)之間起保護(hù)作用的一整套裝置，是內(nèi)部網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)。它在內(nèi)部網(wǎng)和外部網(wǎng)之間構(gòu)造一個(gè)保護(hù)層，并迫使所有的連接和訪問都通過這一保護(hù)層，以便接受檢查。只有被授權(quán)信息流才能通過保護(hù)層，進(jìn)入內(nèi)部網(wǎng)，從而保護(hù)內(nèi)部網(wǎng)免遭受非法入侵。 防火墻的建立是為了防止內(nèi)部網(wǎng)絡(luò)免受來自該網(wǎng)以外的干擾、破壞，其主要功能有： （1）控制不安全的服務(wù):由于只有授權(quán)的協(xié)議和服務(wù)

7、才能通過防火墻.（2）站點(diǎn)訪問控制 :防火墻還提供了對(duì)特殊站點(diǎn)的訪問控制。 （3）集中安全保護(hù) .（4）強(qiáng)化站點(diǎn)資源的私有屬性:站點(diǎn)可以防止用戶查找器(查找因特網(wǎng)用戶的程序如：finger）以及域名服務(wù)器（DNS）泄露私有屬性。 9.7防火墻技術(shù) 9.7.1 概述 9.7防火墻技術(shù) 9.7.1 概述 （5）網(wǎng)絡(luò)連接的日志記錄及使用統(tǒng)計(jì) :當(dāng)所有內(nèi)部與外部網(wǎng)絡(luò)(如：Internet)連接均被要求經(jīng)過防火墻安全系統(tǒng)時(shí)，防火墻系統(tǒng)就能夠?qū)λ械脑L問作出日志記錄。 （6）其它安全控制 :各組織機(jī)構(gòu)可以根據(jù)本單位的特殊要求來配置防火墻系統(tǒng)，從而實(shí)現(xiàn)其它安全控制。如有的防火墻可提供安全加密隧道進(jìn)行遠(yuǎn)程管理

8、，甚至還可以將網(wǎng)絡(luò)地址翻譯服務(wù)器（NAT：Network Address Translate ）、WWW和FTP服務(wù)器安置在防火墻上。但是，我們應(yīng)該指出防火墻只是一種整體安全防范策略的一部分。這種整體安全策略必須包括全面的安全準(zhǔn)則，即網(wǎng)絡(luò)訪問、當(dāng)?shù)睾瓦h(yuǎn)程用戶認(rèn)證、撥出撥入呼叫、磁盤和數(shù)據(jù)加密以及病毒防護(hù)等有關(guān)的安全措施，網(wǎng)絡(luò)易受攻擊的各個(gè)節(jié)點(diǎn)都必須采用相同程度的安全措施加以保護(hù)。有專家強(qiáng)調(diào)，在沒有全面的安全策略的情況下設(shè)立防火墻，就如同在一頂帳篷上裝置一個(gè)防盜門。 9.7防火墻技術(shù) 9.7.2 防火墻的實(shí)現(xiàn)技術(shù) 防火墻系統(tǒng)的實(shí)現(xiàn)技術(shù)一般分為兩種包過濾 (Packet Filter)技術(shù)和代理服

9、務(wù)(Proxy Service)技術(shù)。 1)包過濾技術(shù) 包過濾技術(shù)是在網(wǎng)絡(luò)中的適當(dāng)位置對(duì)內(nèi)、外網(wǎng)絡(luò)間的數(shù)據(jù)包實(shí)施有選擇的通過，依據(jù)系統(tǒng)事先設(shè)定好的過濾邏輯（通常稱為訪問控制控制列表，即Access Control List，又稱為安全規(guī)則庫(kù)），來檢查數(shù)據(jù)流中的每個(gè)數(shù)據(jù)包。數(shù)據(jù)包大部分是基于TCP/IP協(xié)議平臺(tái)的，其中包括網(wǎng)絡(luò)層的IP數(shù)據(jù)包、運(yùn)輸層的TCP和UDP數(shù)據(jù)包以及應(yīng)用層的FTP、Telnet和HTTP等應(yīng)用協(xié)議數(shù)據(jù)包三部分。包過濾技術(shù)實(shí)際上是基于路由器的技術(shù)，它通過屏蔽路由器（Screening Router）對(duì)IP數(shù)據(jù)包進(jìn)行檢測(cè)。屏蔽路由器是一個(gè)多端口的IP路由器，它從包頭取得信息，

10、例如協(xié)議號(hào)、收發(fā)報(bào)文的IP地址和端口號(hào)、連接標(biāo)志以至另外一些IP選項(xiàng)，按照過濾規(guī)則，允許或拒絕特定的包通過。 9.7防火墻技術(shù) 9.7.2 防火墻的實(shí)現(xiàn)技術(shù) 1)包過濾技術(shù) 包過濾技術(shù)是一種實(shí)現(xiàn)防火墻系統(tǒng)的靈活而有效的手段，對(duì)用戶是透明的，并且非?？臁５趯?shí)踐中，它還存在一些有待改進(jìn)的地方。比如: 包過濾規(guī)則描述起來非常復(fù)雜，不容易維護(hù)和配置。一旦需要修改或補(bǔ)充當(dāng)前規(guī)則，各條規(guī)則的組合可能變得十分復(fù)雜，從而使每條規(guī)則的測(cè)試過于復(fù)雜。 沒有記錄功能，無法了解過濾規(guī)則存在的漏洞。 一些現(xiàn)有的屏蔽路由器不支持對(duì)源端口的過濾，這使得安全性難以保障。 有些協(xié)議使用包過濾方式的效果不明顯。 對(duì)于包中所含的

11、文件內(nèi)容無法過濾。 9.7防火墻技術(shù) 9.7.2 防火墻的實(shí)現(xiàn)技術(shù) 2)代理服務(wù)技術(shù) 代理服務(wù)技術(shù)是防火墻中使用的最多的一種技術(shù)，也是安全性較高的一種技術(shù)。包過濾的特點(diǎn)是僅依據(jù)特定的邏輯檢查來決定數(shù)據(jù)包是否允許通過，一旦允許，則防火墻內(nèi)外兩個(gè)網(wǎng)絡(luò)之間將建立直接的聯(lián)系，這增加了內(nèi)部網(wǎng)絡(luò)的透明度，但同時(shí)使外部網(wǎng)絡(luò)可以了解內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)和運(yùn)行狀況，這樣內(nèi)部網(wǎng)絡(luò)容易遭受攻擊。針對(duì)這一問題代理服務(wù)技術(shù)被提出來了。 代理是位于客戶進(jìn)程和服務(wù)器進(jìn)程之間的的一個(gè)進(jìn)程。對(duì)客戶來說，代理像是服務(wù)器；對(duì)服務(wù)器來說，代理像是客戶。代理服務(wù)在網(wǎng)絡(luò)應(yīng)用層形成一個(gè)中間結(jié)點(diǎn)，內(nèi)部網(wǎng)與外部網(wǎng)的鏈接只能到達(dá)這個(gè)中間結(jié)點(diǎn)，以此實(shí)現(xiàn)內(nèi)

12、外網(wǎng)絡(luò)計(jì)算機(jī)的隔離。該中間結(jié)點(diǎn)在物理上就是一臺(tái)主機(jī)，在該主機(jī)上運(yùn)行代理服務(wù)程序就構(gòu)成代理服務(wù)器。代理服務(wù)器既作為內(nèi)部網(wǎng)客戶機(jī)所訪問的服務(wù)器主機(jī)，又作為Internet資源的一臺(tái)客戶機(jī)。代理服務(wù)器、內(nèi)部網(wǎng)客戶機(jī)和Internet資源之間的關(guān)系如圖所示。 9.7防火墻技術(shù) 9.7.2 防火墻的實(shí)現(xiàn)技術(shù) 對(duì)于不同的應(yīng)用，在代理服務(wù)器上專門要開發(fā)不同的應(yīng)用代理程序，如圖所示。應(yīng)用代理程序由應(yīng)用代理的服務(wù)器和應(yīng)用代理的客戶機(jī)兩部分組成。而在內(nèi)部網(wǎng)的客戶機(jī)上也必須開發(fā)對(duì)應(yīng)于應(yīng)用代理的客戶機(jī)程序。9.18代理服務(wù)器的作用9.7防火墻技術(shù) 9.7.2 防火墻的實(shí)現(xiàn)技術(shù) 應(yīng)用網(wǎng)關(guān)的代理服務(wù)器將對(duì)所有通過它的鏈接

13、作出日志記錄，以便檢查安全漏洞和收集相關(guān)的信息。在應(yīng)用網(wǎng)關(guān)使用代理服務(wù)器有以下優(yōu)點(diǎn)： 隱蔽信息，例如內(nèi)部網(wǎng)的主機(jī)名稱等信息可以不為外部所知；日志記錄，便于網(wǎng)絡(luò)安全管理；可以由應(yīng)用網(wǎng)關(guān)代理有關(guān)服務(wù)，進(jìn)行安全控制。 9.18代理服務(wù)器的作用9.7防火墻技術(shù) 9.7.2 防火墻的實(shí)現(xiàn)技術(shù) 基于代理服務(wù)器技術(shù)的防火墻也具有如下不足之處：（1）必須為每一個(gè)網(wǎng)絡(luò)應(yīng)用服務(wù)專門設(shè)計(jì)、開發(fā)相應(yīng)的代理服務(wù)軟件， 而且對(duì)新的協(xié)議必須重新開發(fā)相應(yīng)的應(yīng)用代理；（2）應(yīng)用代理程序的使用，會(huì)降低系統(tǒng)的透明性；（3）由于是基于協(xié)議的應(yīng)用層上工作，因而可能會(huì)導(dǎo)致網(wǎng)絡(luò)性能的下降；（4）需要專用的硬件(服務(wù)器)來承擔(dān)。 9.8 入

14、侵檢測(cè)技術(shù) 9.8.1 入侵檢測(cè)技術(shù)的原理 入侵檢測(cè)IDS(Intrusion Detection System)是一種主動(dòng)保護(hù)自己免受攻擊的一種網(wǎng)絡(luò)安全技術(shù)。作為防火墻的合理補(bǔ)充，入侵檢測(cè)技術(shù)能夠幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、攻擊識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，達(dá)到發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象，它可以防止或減輕上述的網(wǎng)絡(luò)威脅。入侵檢測(cè)作為防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。

15、入侵檢測(cè)系統(tǒng)可實(shí)現(xiàn)如下功能：（1）監(jiān)控和分析用戶以及系統(tǒng)的活動(dòng)。（2）核查系統(tǒng)配置和漏洞。（3）評(píng)估關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性。（4）識(shí)別攻擊的活動(dòng)模式并向網(wǎng)管人員報(bào)警。 （5）統(tǒng)計(jì)分析異常活動(dòng)。 9.8 入侵檢測(cè)技術(shù) 9.8.1 入侵檢測(cè)技術(shù)的原理 入侵檢測(cè)跟其他檢測(cè)技術(shù)有同樣的原理，就是從一組數(shù)據(jù)中，檢測(cè)出符合某些入侵特點(diǎn)的數(shù)據(jù)。入侵者進(jìn)行攻擊的時(shí)候會(huì)留下痕跡，這些痕跡和系統(tǒng)正常運(yùn)行的時(shí)候產(chǎn)生的數(shù)據(jù)混在一起。入侵檢測(cè)系統(tǒng)就是從這些混合數(shù)據(jù)中找出是否有入侵的痕跡，如果有入侵的痕跡就報(bào)警有入侵事件發(fā)生。入侵檢測(cè)系統(tǒng)有兩個(gè)重要部分：數(shù)據(jù)取得和檢測(cè)技術(shù)。 從一組數(shù)據(jù)中檢測(cè)出入侵事件的數(shù)據(jù)，實(shí)際上就

16、是對(duì)一組數(shù)據(jù)進(jìn)行分類。如果只是簡(jiǎn)單地檢測(cè)出系統(tǒng)是否發(fā)生入侵，那么這個(gè)過程就是把數(shù)據(jù)分成兩類：有入侵的數(shù)據(jù)和沒有入侵的數(shù)據(jù)。如果更復(fù)雜一點(diǎn)，那就是不但能檢測(cè)出入侵，還要能說明是什么入侵。這個(gè)過程就是把數(shù)據(jù)分成多個(gè)類，其中有一類是沒有入侵的數(shù)據(jù)，其余是不同入侵類型的數(shù)據(jù)。 入侵檢測(cè)系統(tǒng)至少應(yīng)該包括三個(gè)功能模塊：提供事件記錄流的信息源、發(fā)現(xiàn)入侵跡象的分析引擎和基于分析引擎的響應(yīng)部件。以下介紹參照DARPA(美國(guó)國(guó)防部高級(jí)計(jì)劃局)提出的CIDF(公共入侵檢測(cè)框架)的個(gè)入侵檢測(cè)系統(tǒng)的通用模型，它將入侵檢測(cè)系統(tǒng)分為四個(gè)組件：事件收集器、事件分析器、響應(yīng)單元和事件數(shù)據(jù)庫(kù)。 9.8 入侵檢測(cè)技術(shù) 9.8.1

17、入侵檢測(cè)技術(shù)的原理 CIDF將需要分析的數(shù)據(jù)統(tǒng)稱為事件，它可以是網(wǎng)絡(luò)中的數(shù)據(jù)包，也可以是從系統(tǒng)日志等其他途徑得到的信息。 圖9. 20 CIDF入侵檢測(cè)系統(tǒng)通用模型 9.8 入侵檢測(cè)技術(shù) 9.8.2 入侵檢測(cè)系統(tǒng)的分類 根據(jù)不同的分類標(biāo)準(zhǔn)，可以從下面幾個(gè)角度對(duì)入侵檢測(cè)系統(tǒng)進(jìn)行分類：(1)根據(jù)檢測(cè)方法可劃分為：基于行為的入侵檢測(cè)系統(tǒng)(也稱異常檢測(cè))和基于入侵知識(shí)的入侵檢測(cè)系統(tǒng)(也稱濫用檢測(cè))和混合檢測(cè)。異常性檢測(cè)利用被監(jiān)控系統(tǒng)正常行為的信息作為檢測(cè)系統(tǒng)中入侵、異?；顒?dòng)的依據(jù)；濫用檢測(cè)是根據(jù)已知入侵攻擊的信息(知識(shí)、模式等)來檢測(cè)系統(tǒng)中的入侵和攻擊；混合檢測(cè)是將異常性檢測(cè)和濫用檢測(cè)相結(jié)合的一種方式

18、。(2)根據(jù)數(shù)據(jù)來源的不同可分為：基于主機(jī)的入侵檢測(cè)系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)。前者適用于主機(jī)環(huán)境，而后者適用于網(wǎng)絡(luò)環(huán)境。(3)根據(jù)入侵檢測(cè)系統(tǒng)的分析數(shù)據(jù)來源劃分：入侵檢測(cè)系統(tǒng)的分析數(shù)據(jù)可以是主機(jī)系統(tǒng)的審計(jì)跡(系統(tǒng)日志)、網(wǎng)絡(luò)數(shù)據(jù)報(bào)、應(yīng)用程序的日志以及其他入侵檢測(cè)系統(tǒng)的報(bào)警信息等。據(jù)此可分為基于不同分析數(shù)據(jù)源的入侵檢測(cè)系統(tǒng)。 9.8 入侵檢測(cè)技術(shù) 9.8.2 入侵檢測(cè)系統(tǒng)的分類 (4)根據(jù)檢測(cè)系統(tǒng)對(duì)入侵攻擊的響應(yīng)方式可分為：主動(dòng)的入侵檢測(cè)系統(tǒng)(又稱為實(shí)時(shí)入侵檢測(cè)系統(tǒng))和被動(dòng)的入侵檢測(cè)系統(tǒng)(又稱為事后入侵檢測(cè)系統(tǒng))。主動(dòng)的入侵檢測(cè)系統(tǒng)在檢測(cè)出入侵后，可自動(dòng)地對(duì)目標(biāo)系統(tǒng)中的漏洞采取修補(bǔ)，強(qiáng)制可疑

19、用戶(可能的入侵者)退出系統(tǒng)以及關(guān)閉相關(guān)服務(wù)等對(duì)策和響應(yīng)措施；而被動(dòng)的入侵檢測(cè)系統(tǒng)在檢測(cè)出對(duì)系統(tǒng)的入侵攻擊后只是產(chǎn)生報(bào)警信息通知系統(tǒng)安全管理員，至于之后的處理工作由系統(tǒng)管理員完成。 一、基于主機(jī)和基于網(wǎng)絡(luò)的IDS 根據(jù)數(shù)據(jù)來源的不同，入侵檢測(cè)系統(tǒng)常被分為基于主機(jī)(Host-based)的入侵檢測(cè)系統(tǒng)和基于網(wǎng)絡(luò)(Network-based)的入侵檢測(cè)系統(tǒng)。基于主機(jī)的入侵檢測(cè)系統(tǒng)的數(shù)據(jù)源來自主機(jī)，如日志文件、審計(jì)記錄等?；诰W(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的數(shù)據(jù)源是網(wǎng)絡(luò)流量。 (1)基于主機(jī)的入侵檢測(cè)系統(tǒng)(Host-Based IDS) 基于主機(jī)的入侵檢測(cè)系統(tǒng)的檢測(cè)范圍小，只限于一臺(tái)主機(jī)，主要用于保護(hù)運(yùn)行關(guān)鍵應(yīng)

20、用的服務(wù)器。它通過監(jiān)視與分析主機(jī)的審計(jì)記錄和日志文件來檢測(cè)入侵。 9.8 入侵檢測(cè)技術(shù) 9.8.2 入侵檢測(cè)系統(tǒng)的分類 (2)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)(Network-Based IDS) 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)主要用于實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)關(guān)鍵路徑的信息，一般利用一個(gè)網(wǎng)絡(luò)適配器來實(shí)時(shí)監(jiān)視和分析所有通過的數(shù)據(jù)包，一旦檢測(cè)到攻擊，應(yīng)答模塊通過通知、報(bào)警以及中斷連接等方式來對(duì)攻擊作出反應(yīng) 。(3)兩種入侵檢測(cè)系統(tǒng)的優(yōu)缺點(diǎn) ：基于主機(jī)的入侵檢測(cè)系統(tǒng)使用系統(tǒng)日志作為檢測(cè)依據(jù)，因此它們?cè)诖_定攻擊是否已經(jīng)取得成功時(shí)與基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)相比具有更大的準(zhǔn)確性：它可以精確地判斷入侵事件，并可對(duì)入侵事件立即進(jìn)行反應(yīng)，它還

21、可針對(duì)不同操作系統(tǒng)的特點(diǎn)判斷應(yīng)用層的入侵事件，不需要額外的硬件。其缺點(diǎn)是會(huì)占用主機(jī)資源，而且缺乏跨平臺(tái)支持，可移植性差?；诰W(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的主要優(yōu)點(diǎn)有：可移植性強(qiáng)，不依賴主機(jī)的操作系統(tǒng)作為檢測(cè)資源，能實(shí)時(shí)檢測(cè)和應(yīng)答，能夠更快地作出反應(yīng)，監(jiān)視力度更細(xì)致；攻擊者轉(zhuǎn)移證據(jù)很困難，能夠檢測(cè)未成功的攻擊企圖。但是，它只能監(jiān)視經(jīng)過本網(wǎng)段的活動(dòng)，精確度不高；在高層信息的獲取上更為困難；在實(shí)現(xiàn)技術(shù)上更為復(fù)雜等。 9.8 入侵檢測(cè)技術(shù) 9.8.2 入侵檢測(cè)系統(tǒng)的分類 綜上所述，基于主機(jī)的模型與基于網(wǎng)絡(luò)的模型具有互補(bǔ)性。基于主機(jī)的模型能夠更加精確地監(jiān)視系統(tǒng)中的各種活動(dòng)；而基于網(wǎng)絡(luò)的模型能夠客觀地反映網(wǎng)絡(luò)活動(dòng)，

22、特別是能夠監(jiān)視到系統(tǒng)審計(jì)，人們完全可以使用基于網(wǎng)絡(luò)的IDS提供早期報(bào)警，而使用基于主機(jī)的IDS來驗(yàn)證攻擊是否取得成功。一個(gè)真正有效的入侵檢測(cè)系統(tǒng)應(yīng)該是基于主機(jī)和基于網(wǎng)絡(luò)的混合。 9.8 入侵檢測(cè)技術(shù) 9.8.2 入侵檢測(cè)系統(tǒng)的分類 四個(gè)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)分別放在網(wǎng)絡(luò)的不同位置，由于位置不同，它們的檢測(cè)范圍也不一樣。其中IDS1、IDS2和IDS3為基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)，IDS4為基于主機(jī)的入侵檢測(cè)系統(tǒng)。1）IDSl：第一個(gè)入侵檢測(cè)系統(tǒng)放在防火墻的外面，它不但能檢測(cè)對(duì)內(nèi)部網(wǎng)的攻擊，還能檢測(cè)對(duì)防火墻的攻擊。在這個(gè)位置，入侵檢測(cè)系統(tǒng)看不到來自內(nèi)部網(wǎng)的攻擊。2）IDS2：第二個(gè)入侵檢測(cè)系統(tǒng)處理防

23、火墻轉(zhuǎn)發(fā)的數(shù)據(jù)包。防火墻在轉(zhuǎn)發(fā)數(shù)據(jù)包之前，被送到入侵檢測(cè)系統(tǒng)處理，然后再轉(zhuǎn)發(fā)，這樣會(huì)影響防火墻的轉(zhuǎn)發(fā)功能。3）IDS3：第三個(gè)入侵檢測(cè)系統(tǒng)只檢測(cè)成功地穿過防火墻的數(shù)據(jù)包。這個(gè)位置是基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)常放的位置。4）IDS4：第四個(gè)入侵檢測(cè)系統(tǒng)放在內(nèi)部網(wǎng)的主機(jī)內(nèi)部，它不僅能檢測(cè)出來自外部的攻擊，也能檢測(cè)來自內(nèi)部網(wǎng)的攻擊。 9.8 入侵檢測(cè)技術(shù) 9.8.2 入侵檢測(cè)系統(tǒng)的分類 二、基于事件分析的IDS傳統(tǒng)的觀點(diǎn)根據(jù)入侵行為的屬性將其分為異常和濫用兩種，然后分別對(duì)其建立異常檢測(cè)模型和濫用檢測(cè)模型。近幾年來又涌現(xiàn)出了一些新的檢測(cè)方法，它們產(chǎn)生的模型對(duì)異常和濫用都適用，如人工免疫方法、遺傳算法、數(shù)據(jù)

24、挖掘等。根據(jù)系統(tǒng)所采用的檢測(cè)模型，將IDS分為三類： (1)基于行為的入侵檢測(cè)系統(tǒng) 基于行為的入侵檢測(cè)系統(tǒng)也稱為異常檢測(cè)。在異常檢測(cè)過程中，觀察到的不是已知的入侵行為，而是所研究的通信過程中的異?，F(xiàn)象，它通過檢測(cè)系統(tǒng)的行為或使用情況的變化來完成。在建立該模型之前，首先必須建立統(tǒng)計(jì)概率模型，明確所觀察對(duì)象的正常情況，然后決定在何種程度上將一個(gè)行為標(biāo)為“異常”，并如何做出具體決策。異常檢測(cè)可以通過以下系統(tǒng)實(shí)現(xiàn)。自學(xué)習(xí)系統(tǒng)：自學(xué)習(xí)系統(tǒng)通過學(xué)習(xí)事例構(gòu)建正常行為模型。編程系統(tǒng)：該類系統(tǒng)需要通過編程學(xué)習(xí)如何檢測(cè)確定的異常事件，從而讓用戶知道什么樣的異常行為足以破壞系統(tǒng)的安全。 9.8 入侵檢測(cè)技術(shù) 9.8

25、.2 入侵檢測(cè)系統(tǒng)的分類 (2)基于入侵知識(shí)的入侵檢測(cè)系統(tǒng) 基于入侵知識(shí)的入侵檢測(cè)系統(tǒng)也稱為濫用檢測(cè)。在這種檢測(cè)過程中，入侵過程模型及它在被觀察系統(tǒng)中留下的蹤跡是決策的基礎(chǔ)。所以，可事先定義某些特征的行為是非法的，然后將觀察對(duì)象與之進(jìn)行比較以做出判別。濫用檢測(cè)基于已知的系統(tǒng)缺陷和入侵模式，故又稱特征檢測(cè)。它能夠準(zhǔn)確地檢測(cè)到符合某些特征的攻擊，但是因過度依賴事先定義好的安全策略，所以無法檢測(cè)系統(tǒng)未知的攻擊行為，從而產(chǎn)生漏警。濫用檢測(cè)通過對(duì)確知決策規(guī)則編程實(shí)現(xiàn)可以分為以下四種：狀態(tài)建模：它將入侵行為表示成許多個(gè)不同的狀態(tài)。如果在觀察某個(gè)可疑行為期間，所有狀態(tài)都存在，則判定為惡意入侵。 專家系統(tǒng)：它

26、可以在給定入侵行為描述規(guī)則的情況下，對(duì)系統(tǒng)的安全狀態(tài)進(jìn)行推理。 9.8 入侵檢測(cè)技術(shù) 9.8.2 入侵檢測(cè)系統(tǒng)的分類 串匹配：它通過對(duì)系統(tǒng)之間傳輸?shù)幕蛳到y(tǒng)自身產(chǎn)生的文本進(jìn)行子串匹配實(shí)現(xiàn)。該方法靈活性較差，但易于理解，目前有很多高效的算法，其執(zhí)行速度很快?；诤?jiǎn)單規(guī)則：類似于專家系統(tǒng)，但相對(duì)簡(jiǎn)單一些，故執(zhí)行速度快。(3)混合檢測(cè) 混合檢測(cè)近幾年來才受到人們的重視。這關(guān)檢測(cè)在做出決策之前，既分析系統(tǒng)的正常行為，同時(shí)還觀察可疑的入侵行為，因而也有人稱其為“啟發(fā)式特征檢測(cè)”。 9.8 入侵檢測(cè)技術(shù) 9.8.3 入侵檢測(cè)系統(tǒng)的局限性 目前，評(píng)價(jià)入侵檢測(cè)系統(tǒng)的性能指標(biāo)主要有以下幾項(xiàng)： 1)準(zhǔn)確性 準(zhǔn)確性指

27、入侵檢測(cè)系統(tǒng)能正確地檢測(cè)出系統(tǒng)入侵活動(dòng)。 2)處理性能 處理性能指?jìng)€(gè)入侵檢測(cè)系統(tǒng)處理系統(tǒng)審計(jì)數(shù)據(jù)的速度。 3)完備性 完備性指入侵檢測(cè)系統(tǒng)能夠檢測(cè)出所有攻擊行為的能力。 4)容錯(cuò)性 入侵檢測(cè)系統(tǒng)自身必須能夠抵御對(duì)它自身的攻擊，特別是拒絕服務(wù)攻擊。 5)及時(shí)性 及時(shí)性要求入侵檢測(cè)系統(tǒng)必須盡快地分析數(shù)據(jù)并把分析結(jié)果傳播出去，以使系統(tǒng)安全管理者能夠在入侵攻擊尚未造成更大危害以前做出反應(yīng)，以阻止攻擊者顛覆系統(tǒng)的企圖。 從性能上講，入侵檢測(cè)系統(tǒng)面臨的一個(gè)矛盾就是系統(tǒng)性能與功能的折衷，即對(duì)數(shù)據(jù)進(jìn)行全面復(fù)雜的檢驗(yàn)構(gòu)成了對(duì)系統(tǒng)實(shí)時(shí)性要求很大的挑戰(zhàn)。從技術(shù)上講，入侵檢測(cè)系統(tǒng)存在一些難以克服的問題，主要表現(xiàn)在以下

28、幾個(gè)方面： 9.8 入侵檢測(cè)技術(shù) 9.8.3 入侵檢測(cè)系統(tǒng)的局限性 如何識(shí)別“大規(guī)模的組合式、分布式的入侵攻擊”目前還沒有較好的方法和成熟的解決方案。 (2)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)通過匹配網(wǎng)絡(luò)數(shù)據(jù)包發(fā)現(xiàn)攻擊行為，入侵檢測(cè)系統(tǒng)往往假設(shè)攻擊信息是明文傳輸?shù)?，因此?duì)信息的改變或重新編碼就可能騙過入侵檢測(cè)系統(tǒng)的檢測(cè)，因此字符串匹配的方法對(duì)于加密過的數(shù)據(jù)包就顯得無能為力。 (3)網(wǎng)絡(luò)設(shè)備越來越復(fù)雜、越來越多樣化，這就要求入侵檢測(cè)系統(tǒng)能有所定制，以適應(yīng)更廣泛的環(huán)境的要求。 (4)對(duì)入侵檢測(cè)系統(tǒng)的評(píng)價(jià)還沒有客觀的標(biāo)準(zhǔn)，標(biāo)準(zhǔn)的不統(tǒng)一使得入侵檢測(cè)系統(tǒng)之間不易互聯(lián)。 (5)采用不恰當(dāng)?shù)淖詣?dòng)反應(yīng)同樣會(huì)給入侵檢測(cè)系統(tǒng)造成風(fēng)

29、險(xiǎn)。 (6)對(duì)IDS自身的攻擊。 (7)隨著網(wǎng)絡(luò)的帶寬的不斷增加，如何開發(fā)基于高速網(wǎng)絡(luò)的檢測(cè)器(事件分析器)，仍然存在很多技術(shù)上的困難。 9.9虛擬專用網(wǎng)(VPN) 虛擬專用網(wǎng)VPN(Virtual Private Network)，是一門新興網(wǎng)絡(luò)技術(shù)，被定義為通過一個(gè)公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個(gè)臨時(shí)的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。VPN代表了當(dāng)今網(wǎng)絡(luò)發(fā)展的最新趨勢(shì)。虛擬專用網(wǎng)是一種在現(xiàn)存的物理網(wǎng)絡(luò)(如Internet)上建立的一種專用邏輯網(wǎng)絡(luò)。虛擬專用網(wǎng)是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。 IETF（Internet工程任務(wù)組）草案理解基于IP的VPN為：使用IP機(jī)制仿真出

30、一個(gè)私有的廣域網(wǎng)，是通過私有的隧道技術(shù)在公共數(shù)據(jù)網(wǎng)絡(luò)上仿真一條點(diǎn)到點(diǎn)的專線技術(shù)。所謂虛擬，是指用戶不再需要擁有實(shí)際的長(zhǎng)途數(shù)據(jù)線路，而是使用Internet公眾數(shù)據(jù)網(wǎng)絡(luò)的長(zhǎng)途數(shù)據(jù)線路。所謂專用網(wǎng)絡(luò)，是指用戶可以為自己制定一個(gè)最符合自己需求的網(wǎng)絡(luò)。 IPVPN是指利用現(xiàn)有的不安全的公共IP網(wǎng)絡(luò)環(huán)境，以IP為主要通訊協(xié)議，構(gòu)建具有安全性、獨(dú)占性，并自成一體的虛擬網(wǎng)絡(luò)。 IPVPN的關(guān)鍵問題是構(gòu)成高效、安全、可靠的隧道(Tunneling)，以及基于隧道的數(shù)據(jù)封裝和傳輸技術(shù)。 9.9虛擬專用網(wǎng)(VPN) IPVPN技術(shù)以基于安全協(xié)議的IP隧道為基礎(chǔ)，實(shí)現(xiàn)網(wǎng)絡(luò)的互連，用訪問控制技術(shù)來進(jìn)一步增強(qiáng)網(wǎng)絡(luò)的安全

31、性，密鑰的產(chǎn)生、分發(fā)及管理、虛擬網(wǎng)絡(luò)管理等。 圖9.22 IPVPN及其IP隧道 9.9虛擬專用網(wǎng)(VPN) 發(fā)送與接收端可以是LAN到LAN，也可以是遠(yuǎn)程移動(dòng)用戶(Mobile User)到LAN。IPVPN設(shè)備是IP安全隧道的開啟器和終止器，它主要分為以下3類：純軟件IPVPN；專用硬件平臺(tái)的IPVPN；輔助硬件平臺(tái)與軟件相結(jié)合的IPVPN。數(shù)據(jù)從發(fā)送端到達(dá)接收端的過程：（1）發(fā)送過程 ：訪問控制。一個(gè)好的IP-VPN設(shè)備應(yīng)該融入類似防火墻的訪問控制功能。消息加密和認(rèn)證。 IP封裝。 進(jìn)入隧道在公用網(wǎng)上傳送。 （2）接收過程 接收過程與發(fā)送過程相對(duì)應(yīng)，接收方首先進(jìn)行消息的拆封，再經(jīng)過認(rèn)證、

32、解密，得到明文，最后由訪問控制模塊決定該消息是否符合安全的存取控制規(guī)定，是否能進(jìn)入指定的LAN或主機(jī)。 網(wǎng)絡(luò)應(yīng)用技術(shù)的發(fā)展 寬帶綜合業(yè)務(wù)數(shù)字網(wǎng)，社區(qū)寬帶網(wǎng)（RBB），無線通信網(wǎng)絡(luò)，網(wǎng)絡(luò)技術(shù)的發(fā)展趨勢(shì)。 9.10 關(guān)鍵詞 假冒 counterfeit 竊聽 wiretapping 非授權(quán)接入 not accredit attach 篡改 modification 抵賴 deny 重放攻擊 replay attacks偽造 fabrication 認(rèn)證authentication拒絕服務(wù) reject service 病毒 virus 特洛伊木馬 Trojan horse 防火墻firewall訪問控制控制列表a