專用網(wǎng)絡(luò)服務(wù)器的預(yù)警及報警系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

┊┊┊┊┊┊┊┊┊┊┊┊┊裝┊┊┊┊┊訂┊┊┊┊┊線┊┊┊┊┊┊┊┊┊┊┊┊┊共37頁第37頁引言 計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展使得信息的傳遞和處理突破了時間和地域的限制，互連網(wǎng)的爆炸性發(fā)展更進(jìn)一步為人類的信息交互、科學(xué)、技術(shù)、文化、教育、生產(chǎn)的發(fā)展提供了極大的便利，信息網(wǎng)絡(luò)全球化的發(fā)展已經(jīng)成為不可抗拒的歷史潮流。 隨著Internet和Intranet技術(shù)在各行各業(yè)的廣泛應(yīng)用,網(wǎng)絡(luò)服務(wù)作為一種全新的服務(wù)方式在各個行業(yè)和部門受到青睞和重視,不管是提供對內(nèi)的網(wǎng)絡(luò)服務(wù)還是對外的網(wǎng)絡(luò)服務(wù)，網(wǎng)絡(luò)服務(wù)作為全新的服務(wù)模式帶給我們巨大的實(shí)惠和便利。然而，與網(wǎng)絡(luò)服務(wù)相關(guān)的安全事件逐年上升，人們在得益于網(wǎng)絡(luò)服務(wù)所帶來的巨大機(jī)遇和便利的同時，也不得不面對信息安全問題的嚴(yán)峻考驗(yàn),作為提供網(wǎng)絡(luò)服務(wù)的專用網(wǎng)絡(luò)服務(wù)器的安全問題已經(jīng)成為嚴(yán)重影響網(wǎng)絡(luò)發(fā)展、特別是商業(yè)應(yīng)用的主要問題，并直接威脅著國家安全和社會的穩(wěn)定。 針對專用網(wǎng)絡(luò)服務(wù)器的安全問題我們提出了專用網(wǎng)絡(luò)服務(wù)器的預(yù)警及報警系統(tǒng)，通過短信技術(shù)應(yīng)用于入侵檢測系統(tǒng)的行為響應(yīng)單元的入侵檢測系統(tǒng)，為在遭受網(wǎng)絡(luò)入侵和攻擊的專用網(wǎng)絡(luò)服務(wù)器提供快速和及時的預(yù)警與報警，使安全管理員能夠在入侵攻擊尚未造成更大的危害之前得到警報并做出反應(yīng)，阻止攻擊者顛覆被入侵系統(tǒng)的企圖，將系統(tǒng)損失降低到最小。

1概要介紹1.1背景計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展使得信息的傳遞和處理突破了時間和地域的限制，互連網(wǎng)的爆炸性發(fā)展更進(jìn)一步為人類的信息交互、科學(xué)、技術(shù)、文化、教育、生產(chǎn)的發(fā)展提供了極大的便利，信息網(wǎng)絡(luò)全球化的發(fā)展已經(jīng)成為不可抗拒的歷史潮流。然而，就在計(jì)算機(jī)網(wǎng)絡(luò)給人們的生活，工作帶來巨大便利的同時，其所帶來的安全問題同樣突出。由于系統(tǒng)的復(fù)雜性，協(xié)議設(shè)計(jì)的缺陷、終端分布的不均勻性、網(wǎng)絡(luò)的開放性、迷漫性和互連互通性等特征，致使網(wǎng)絡(luò)容易遭到黑客、惡意軟件的攻擊，國家、企業(yè)和個人的信息系統(tǒng)受到了極大的安全威脅。隨著信息技術(shù)、計(jì)算機(jī)技術(shù)的飛速發(fā)展與廣泛應(yīng)用，人類已經(jīng)進(jìn)入了一個空前繁榮的信息化時代。大范圍內(nèi)的網(wǎng)絡(luò)服務(wù)應(yīng)用已經(jīng)廣泛深入到國防、電信、銀行、金融、政府、交通、電子商務(wù)、能源以及大眾商業(yè)等各個領(lǐng)域。作為提供對內(nèi)或?qū)ν夥?wù)的網(wǎng)絡(luò)服務(wù)器，在為各行各業(yè)提供著大量的網(wǎng)絡(luò)服務(wù)，他囊括了社會的各個方面：航空航天、軍品科研、導(dǎo)航系統(tǒng)、電信業(yè)務(wù)、客戶服務(wù)、電子商務(wù)、電子政務(wù)、Web服務(wù)、FTP服務(wù)、Mail服務(wù)、內(nèi)部OA服務(wù)等等。不管是在關(guān)系著國家安全和社會穩(wěn)定的國防、核工業(yè)、航空航天系統(tǒng)，政府、交通、通信、能源行業(yè)，還是涉及商業(yè)和民用的大眾商業(yè)，網(wǎng)絡(luò)服務(wù)作為一種突破時間和地域限制的服務(wù)，廣泛和深入地應(yīng)用在社會的方方面面，電子時代帶給我們巨大的實(shí)惠和便利。但是，與此同時，與服務(wù)安全相關(guān)事件逐年上升，人們在得益于信息革命所帶來的巨大機(jī)遇和便利的同時，也不得不面對信息安全問題的嚴(yán)峻考驗(yàn)，安全問題已經(jīng)成為嚴(yán)重影響網(wǎng)絡(luò)發(fā)展、特別是商業(yè)應(yīng)用的主要問題，并直接威脅著國家安全和社會的穩(wěn)定。服務(wù)器的安全引起社會各個階層和行業(yè)的強(qiáng)烈關(guān)注和重視，針對服務(wù)器的安全實(shí)施了一系列的安全解決方案。服務(wù)器的安全問題有操作系統(tǒng)安全，還包括硬件安全、應(yīng)用安全和數(shù)據(jù)安全等。作為存儲數(shù)據(jù)、處理需求的核心，服務(wù)器安全涉及太多環(huán)節(jié)。下面是來自美國CSI/FBI在2003年和2004年所作的一個關(guān)于計(jì)算機(jī)犯罪和安全的調(diào)查。數(shù)據(jù)分別來自美國251個和269個計(jì)算機(jī)安全從業(yè)人員的反饋。這些人員分布在美國公司、政府機(jī)構(gòu)、金融機(jī)構(gòu)、醫(yī)藥機(jī)構(gòu)以及大學(xué)。圖1-1和圖1-2說明了由這些反饋者估計(jì)的損失。

圖1-1CSI/FBI2003ComputerCrimeandSecuritySurvey圖1-22004CSI/FBIComputerCrimeandSecuritySurvey從上面的圖表顯示，由于安全問題導(dǎo)致系統(tǒng)拒絕服務(wù)的損失遙遙領(lǐng)先。我們可以想象由于服務(wù)器的拒絕服務(wù)，帶給國家、企業(yè)和個人多大的損失。網(wǎng)絡(luò)服務(wù)器常遭受的網(wǎng)絡(luò)安全問題包括惡意的攻擊行為和惡意的入侵行為。攻擊行為，如拒絕服務(wù)攻擊，網(wǎng)絡(luò)病毒等等，這些行為旨在消耗服務(wù)器資源，影響服務(wù)器的正常運(yùn)作，甚至服務(wù)器所在網(wǎng)絡(luò)的癱瘓；入侵行為，這種行為更是會導(dǎo)致服務(wù)器敏感信息泄露，入侵者更是可以為所欲為，肆意破壞服務(wù)器。如何保證專用網(wǎng)絡(luò)服務(wù)器的安全問題，現(xiàn)在已經(jīng)有很多技術(shù)應(yīng)用在網(wǎng)絡(luò)服務(wù)器的安全領(lǐng)域，防火墻、認(rèn)證技術(shù)、漏洞檢測評估、災(zāi)難恢復(fù)、反病毒軟件、VPN、安全路由、安全操作系統(tǒng)、安全Web、加密等，這一系列技術(shù)和產(chǎn)品，為保護(hù)信息安全，做出了很大的貢獻(xiàn)。但盡管如此，信息安全問題仍是一年比一年嚴(yán)重。對于分布性越來越高的網(wǎng)絡(luò)應(yīng)用，攻擊是越來越無法避免的，并且會隨著防護(hù)技術(shù)的不斷改進(jìn)，攻擊也愈加尖銳。另一方面，從技術(shù)實(shí)現(xiàn)來說，世界上還沒有一個系統(tǒng)能夠強(qiáng)悍到可以保證沒有漏洞可以被用于攻擊的地步。 入侵檢測是最近十余年發(fā)展起來的一種動態(tài)的監(jiān)控、預(yù)防或抵御系統(tǒng)入侵行為的安全機(jī)制。主要通過監(jiān)控網(wǎng)絡(luò)、系統(tǒng)的狀態(tài)、行為以及系統(tǒng)的使用情況，來檢測系統(tǒng)用戶的越權(quán)使用以及系統(tǒng)外部的入侵者利用系統(tǒng)的安全缺陷對系統(tǒng)進(jìn)行入侵的企圖。和傳統(tǒng)的預(yù)防性安全機(jī)制相比，入侵檢測是一種事后處理方案，具有智能監(jiān)控、實(shí)時探測、動態(tài)響應(yīng)、易于配置等特點(diǎn)。入侵檢測技術(shù)的引入，使得網(wǎng)絡(luò)、系統(tǒng)的安全性得到進(jìn)一步的提高。入侵檢測系統(tǒng)是對傳統(tǒng)計(jì)算機(jī)安全技術(shù)的一種補(bǔ)充，它的開發(fā)應(yīng)用增大了網(wǎng)絡(luò)與系統(tǒng)安全的保護(hù)的縱深發(fā)展，成為目前動態(tài)安全工具的主要研究和開發(fā)的方向。通過將入侵檢測技術(shù)應(yīng)用于專用網(wǎng)絡(luò)服務(wù)器的安全領(lǐng)域，將帶給網(wǎng)絡(luò)服務(wù)器新的活力。 對于入侵響應(yīng)系統(tǒng)來說，響應(yīng)的及時性尤為重要。Cohen通過模擬的方法研究了響應(yīng)的時間與攻擊者成功概率之間的關(guān)系。他的研究結(jié)果顯示：如果熟練的攻擊者被發(fā)現(xiàn)后仍留給他們10小時的時間，他們將有80%成功的機(jī)會；如果留給他們20小時的時間，則成功的機(jī)會達(dá)到90%;如果留給他們30小時的時間，則攻擊者幾乎很少失敗。 因此，在發(fā)現(xiàn)入侵行為時，我們要做到及時響應(yīng)才能最大限度降低損失。在檢測到入侵行為發(fā)生時，第一時間通知網(wǎng)絡(luò)安全管理員，然后由管理員做出及時響應(yīng)。要完成及時通知安全管理員并允許管理員立即采取及時響應(yīng)這一過程，可以采用很多方式，本文認(rèn)為利用短信技術(shù)實(shí)現(xiàn)快速報警無疑是一個非常理想的方式。隨著移動通信網(wǎng)絡(luò)的不斷普及，短信技術(shù)作為一種方便實(shí)用的移動通信方式，已經(jīng)廣泛應(yīng)用到各種領(lǐng)域之中，如：證券服務(wù)、銀行服務(wù)、公共信息、移動商務(wù)、客戶服務(wù)等。與Internet的服務(wù)相比，短信服務(wù)更加靈活方便、安全可靠。短信技術(shù)與入侵響應(yīng)技術(shù)相結(jié)合，將很好的解決入侵檢測系統(tǒng)響應(yīng)的及時性問題，使安全管理員能夠在入侵攻擊尚未造成更大的危害之前得到警報并做出反應(yīng)，阻止攻擊者顛覆被入侵系統(tǒng)的企圖。

1.2入侵檢測技術(shù)(1)入侵檢測系統(tǒng)的概念 “入侵”主要指對系統(tǒng)資源的非授權(quán)使用，它可以造成系統(tǒng)數(shù)據(jù)的丟失和破壞，甚至?xí)斐上到y(tǒng)拒絕對合法用戶服務(wù)的后果?！叭肭謾z測”的目標(biāo)就是通過檢查操作系統(tǒng)的審計(jì)數(shù)據(jù)或網(wǎng)絡(luò)數(shù)據(jù)包信息來檢測系統(tǒng)中違背安全策略或危及系統(tǒng)安全的行為或活動，從而保護(hù)信息系統(tǒng)的資源不受拒絕服務(wù)攻擊、防止系統(tǒng)數(shù)據(jù)的泄漏、篡改和破壞。入侵檢測的研究，涉及到計(jì)算機(jī)、網(wǎng)絡(luò)以及安全等多個領(lǐng)域的知識。目前，最基本的入侵檢測方法是基于已知入侵行為模式、基于通信業(yè)務(wù)分析以及基于系統(tǒng)狀態(tài)(或行為)統(tǒng)計(jì)異常性的檢測。 入侵檢測是最近十余年發(fā)展起來的一種動態(tài)的監(jiān)控、預(yù)防或抵御系統(tǒng)入侵行為的安全機(jī)制。主要通過監(jiān)控網(wǎng)絡(luò)、系統(tǒng)的狀態(tài)、行為以及系統(tǒng)的使用情況，來檢測系統(tǒng)用戶的越權(quán)使用以及系統(tǒng)外部的入侵者利用系統(tǒng)的安全缺陷對系統(tǒng)進(jìn)行入侵的企圖。和傳統(tǒng)的預(yù)防性安全機(jī)制相比，入侵檢測是一種事后處理方案，具有智能監(jiān)控、實(shí)時探測、動態(tài)響應(yīng)、易于配置等特點(diǎn)。入侵檢測技術(shù)的引入，使得網(wǎng)絡(luò)、系統(tǒng)的安全性得到進(jìn)一步的提高。入侵檢測系統(tǒng)是對傳統(tǒng)計(jì)算機(jī)安全技術(shù)的一種補(bǔ)充，它的開發(fā)應(yīng)用增大了網(wǎng)絡(luò)與系統(tǒng)安全的保護(hù)的縱深發(fā)展，成為目前動態(tài)安全工具的主要研究和開發(fā)的方向。 入侵檢測是檢測計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)以發(fā)現(xiàn)違反安全策略事件的過程。DARPA(美國國防部高級計(jì)劃局)提出了CIDF(公共入侵檢測框架)。 CIDF根據(jù)IDS系統(tǒng)的通用需求以及現(xiàn)有的IDS系統(tǒng)的結(jié)構(gòu)，闡述了一個入侵檢測系統(tǒng)的通用模型，如(圖1-3)，將入侵檢測系統(tǒng)分為四個基本組件：事件產(chǎn)生器、事件分析器、事件數(shù)據(jù)庫、行為響應(yīng)單元(簡稱響應(yīng)單元)。CIDF將需要分析的數(shù)據(jù)統(tǒng)稱為事件，它可以是網(wǎng)絡(luò)中的數(shù)據(jù)包，也可以是從系統(tǒng)日志等其他途徑得到的信息。行為響應(yīng)單元行為響應(yīng)單元事件分析器事件數(shù)據(jù)庫事件產(chǎn)生器來源于網(wǎng)絡(luò)上的數(shù)據(jù)包圖1-3通用入侵檢測系統(tǒng)框架①事件產(chǎn)生器入侵檢測的第一步就是信息收集，收集的主要內(nèi)容包括整個計(jì)算機(jī)網(wǎng)絡(luò)中系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為，這是由事件產(chǎn)生器來完成的。入侵檢測在很大程度上依賴于信息收集的可靠性、正確性和完備性。因此，要確保采集、報告這些信息的軟件工具的可靠性，即這些軟件本身應(yīng)具有相當(dāng)強(qiáng)的堅(jiān)固性，能夠防止因被篡改而收集到錯誤的信息。否則，黑客對系統(tǒng)的修改可能使系統(tǒng)功能失常但看起來卻跟正常的系統(tǒng)一樣，也就喪失了入侵檢測的作用。②事件分析器事件分析器是入侵檢測系統(tǒng)的核心，它的效率高低直接決定了整個入侵檢測系統(tǒng)的性能。事件分析器可以是一個輪廓描述工具，統(tǒng)計(jì)性地檢查現(xiàn)在的事件是否可能與以前某個事件來自同一個時間序列;也可以是一個特征檢測工具，用于在一個事件序列中檢查是否有已知的誤用攻擊特征;此外，分析引擎還可以是一個相關(guān)器，觀察事件之間的關(guān)系，將有聯(lián)系的事件放到一起，以利于以后的進(jìn)一步分析。③事件數(shù)據(jù)庫事件數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，它可以是復(fù)雜的數(shù)據(jù)庫，也可以是最簡單的文本文件。考慮到數(shù)據(jù)的龐大性和復(fù)雜性，一般都采用成熟的數(shù)據(jù)庫產(chǎn)品來支持。事件數(shù)據(jù)庫的作用是充分發(fā)揮數(shù)據(jù)庫的長處，方便其它系統(tǒng)模塊對數(shù)據(jù)的添加、刪除、訪問、排序和分類等操作。④行為響應(yīng)單元(響應(yīng)單元)事件分析器對事件進(jìn)行分析發(fā)現(xiàn)入侵跡象后，入侵檢測系統(tǒng)的下一步工作就是響應(yīng)。行為響應(yīng)可以多樣，如根據(jù)攻擊類型自動終止攻擊；終止可疑用戶的連接甚至所有用戶的連接；如果非法用戶已經(jīng)獲得賬號，則將其禁止；重新配置防火墻更改其過濾規(guī)則，以防止此類攻擊的重現(xiàn)；向管理控制臺發(fā)出警告指出事件的發(fā)生；將事件的原始數(shù)據(jù)和分析結(jié)果記錄到日志文件中，并產(chǎn)生相應(yīng)的報告，包括時間、源地址、目的地址和類型描述等重要信息；必要的時候根據(jù)需要實(shí)時跟蹤事件的進(jìn)行；向安全管理人員發(fā)出提示性的警報；可以執(zhí)行一個用戶自定義程序或者腳本等多種方式。(2)入侵檢測系統(tǒng)的分類①基于主機(jī)的入侵檢測系統(tǒng)(Host-BasedIDS)基于主機(jī)的入侵檢測系統(tǒng)主要用于保護(hù)運(yùn)行關(guān)鍵應(yīng)用的服務(wù)器。它通過監(jiān)視與分析主機(jī)的審計(jì)記錄和日志文件來檢測入侵。日志文件可以根據(jù)系統(tǒng)管理員的設(shè)置，記錄用戶何時注冊、在何處注冊、要做什么以及系統(tǒng)調(diào)用、程序運(yùn)行結(jié)果等與安全性有關(guān)的操作信息。其中的審計(jì)數(shù)據(jù)包括可查事件和可查信息?？刹槭录侵笍陌踩嵌葢?yīng)該注意的用戶行為。例如認(rèn)證和授權(quán)機(jī)制的使用、對象的增加刪除、打印輸出等?？刹樾畔⑹桥c特定的可查事件相關(guān)的實(shí)際數(shù)據(jù)，包括事件發(fā)生時間、產(chǎn)生事件的主體的唯一標(biāo)識、事件的類型、事件成功與否等。通過從日志中查詢這些信息可以得到發(fā)生在系統(tǒng)上的不尋常和不期望活動的證據(jù)，這些證據(jù)可以指出有人正在入侵或已成功入侵了本系統(tǒng)。一旦發(fā)現(xiàn)這些文件發(fā)生任何變化，IDS將比較新的日志記錄與攻擊簽名以發(fā)現(xiàn)它們是否匹配。如果匹配的話，檢測系統(tǒng)就向管理員發(fā)出入侵報警并且采取相應(yīng)的行動。通過查看日志文件，能夠發(fā)現(xiàn)成功的入侵或入侵企圖，并很快地啟動相應(yīng)的應(yīng)急響應(yīng)程序。②基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)(Network-BasedIDS)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)主要用于實(shí)時監(jiān)控網(wǎng)絡(luò)關(guān)鍵路徑的信息，通過將適配器配置為混雜模式，偵聽網(wǎng)絡(luò)上的所有分組來采集數(shù)據(jù)，使用原始的網(wǎng)絡(luò)分組數(shù)據(jù)包作為進(jìn)行攻擊分析的數(shù)據(jù)源，根據(jù)網(wǎng)絡(luò)流量、協(xié)議分析、簡單網(wǎng)絡(luò)管理協(xié)議信息等數(shù)據(jù)檢測入侵行為。通常將基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)放置在防火墻或者網(wǎng)關(guān)后，旁路，并捕獲所有內(nèi)傳和外傳的數(shù)據(jù)包，如(圖1-4)所示，并以此作為數(shù)據(jù)源來分析可能的入侵行為，一旦檢測到攻擊，響應(yīng)模塊通過通知、報警以及中斷連接等方式來對攻擊做出反應(yīng)。防火墻防火墻Internet 圖1-4基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)一般來說，基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)一般處于網(wǎng)絡(luò)邊緣的關(guān)鍵節(jié)點(diǎn)處，負(fù)責(zé)攔截在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間流通的數(shù)據(jù)包，使用的主機(jī)是為其專門配置的；而基于主機(jī)的入侵檢測系統(tǒng)則只對系統(tǒng)所在的主機(jī)負(fù)責(zé)，而且其主機(jī)并非專門為其配置的。上述兩種入侵檢測系統(tǒng)各有自己的優(yōu)缺點(diǎn)?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)的主要優(yōu)點(diǎn)有：可移植性強(qiáng)，不依賴主機(jī)的操作系統(tǒng)作為檢測資源；實(shí)時檢測和應(yīng)答，一旦發(fā)生惡意訪問或攻擊，基于網(wǎng)絡(luò)的IDS檢測可以隨時發(fā)現(xiàn)它們，因此能夠更快地做出反應(yīng)，監(jiān)視粒度更細(xì)致；攻擊者轉(zhuǎn)移證據(jù)很困難；能夠檢測未成功的攻擊企圖；成本低等。但是，與基于主機(jī)的入侵檢測系統(tǒng)相比，它只能監(jiān)視經(jīng)過本網(wǎng)段的活動，精確度不高；在高層信息的獲取上更為困難；在實(shí)現(xiàn)技術(shù)上更為復(fù)雜等。(3)根據(jù)事件分析的方式分類 根據(jù)入侵檢測系統(tǒng)對事件分析的不同方式可將入侵檢測系統(tǒng)分為異常入侵檢測、誤用入侵檢測和完整性分析三類。①異常入侵檢測系統(tǒng)(AnomalyIDS)異常入侵檢測系統(tǒng)也稱為基于統(tǒng)計(jì)行為的入侵檢測(Behavior-BasedIDS)。這種方法首先給系統(tǒng)對象(如用戶、文件、目錄和設(shè)備等)創(chuàng)建一個統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時的一些測量屬性(如訪問次數(shù)、操作失敗次數(shù)和延時等)。測量屬性的平均值將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，任何觀察值在正常值范圍之外時，就認(rèn)為有入侵發(fā)生。例如，統(tǒng)計(jì)分析可能標(biāo)識一個不正常行為，因?yàn)樗l(fā)現(xiàn)一個在晚八點(diǎn)至早六點(diǎn)不應(yīng)登錄的賬戶卻在凌晨兩點(diǎn)試圖登錄。異常檢測的實(shí)現(xiàn)方法目前主要有統(tǒng)計(jì)學(xué)方法、預(yù)言模式的生成、神經(jīng)網(wǎng)絡(luò)、序列匹配與學(xué)習(xí)等。②誤用入侵檢測系統(tǒng)(MisuseIDS)誤用入侵檢測系統(tǒng)又稱為基于規(guī)則/知識的入侵檢測系統(tǒng)(Knowledge-BasedIDS)，就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。該過程可以很簡單(如通過字符串匹配以尋找一個簡單的條目或指令)，也可以很復(fù)雜(如利用正規(guī)的數(shù)學(xué)表達(dá)式來表示安全狀態(tài)的變化)。通過分析入侵過程的特征、條件、排列以及事件間關(guān)系，具體描述入侵行為的跡象，不僅對分析已經(jīng)發(fā)生的入侵行為有幫助，而且對即將發(fā)生的入侵也有警戒作用。誤用的入侵檢測系統(tǒng)的實(shí)現(xiàn)方法主要有專家系統(tǒng)、鍵擊監(jiān)控、基于模式、狀態(tài)轉(zhuǎn)換分析、模式匹配等。③完整性分析(IntegralityAnalyzing)入侵檢測系統(tǒng)此類系統(tǒng)主要關(guān)注某個文件或?qū)ο笫欠癖桓模ㄎ募湍夸浀膬?nèi)容及屬性。這樣分析方法在發(fā)現(xiàn)被更改的、被特洛伊化的應(yīng)用程序方面特別有效。完整性分析利用強(qiáng)有力的加密機(jī)制，稱為消息摘要函數(shù)(例如MD5)，能識別哪怕是微小的變化。異常分析方式可以檢測到未知的和更為復(fù)雜的入侵，缺點(diǎn)是漏報、誤報率高，一般具有自適應(yīng)功能，入侵者可以逐漸改變自己的行為模式來逃避檢測，不適應(yīng)用戶正常行為的突然改變，而且在實(shí)際系統(tǒng)中，統(tǒng)計(jì)算法的計(jì)算量龐大，效率很低，統(tǒng)計(jì)點(diǎn)的選取和參考庫的建立也比較困難。與之相對應(yīng)，誤用分析的準(zhǔn)確率和效率都非常高，只需收集相關(guān)的數(shù)據(jù)集合，顯著減少系統(tǒng)負(fù)擔(dān)，且技術(shù)已相當(dāng)成熟；但它只能檢測模式庫中已有的類型的攻擊，不能檢測到從未出現(xiàn)過的攻擊手段，隨著新攻擊類型的出現(xiàn)，模式庫需要不斷更新，而在其攻擊模式添加到模式庫以前，新類型的攻擊就可能會對系統(tǒng)造成很大的危害。而完整性分析的優(yōu)點(diǎn)是不管前兩種方法能否發(fā)現(xiàn)入侵，只要是成功的攻擊導(dǎo)致了文件或其他對象的任何改變，它都能夠發(fā)現(xiàn)；缺點(diǎn)是一般以批處理方式實(shí)現(xiàn)，不用于實(shí)時響應(yīng)。盡管如此，完整性檢測方法還應(yīng)該是網(wǎng)絡(luò)安全產(chǎn)品的必要手段之一。所以，入侵檢測系統(tǒng)只有同時使用這三種入侵檢測技術(shù)，才能避免各自的不足。而且，這三種方法通常與人工智能相結(jié)合，以使入侵檢測系統(tǒng)具有自學(xué)習(xí)能力。其中前兩種方法用于實(shí)時的入侵檢測，第三種則用于事后分析。優(yōu)秀的IDS應(yīng)該以模式發(fā)現(xiàn)技術(shù)為主，并結(jié)合異常發(fā)現(xiàn)技術(shù)，同時也加入完整性分析技術(shù)進(jìn)行補(bǔ)充共同來完成對入侵事件的分析。(4)入侵檢測系統(tǒng)的行為響應(yīng)入侵檢測系統(tǒng)再檢測出入侵事件之后要對其進(jìn)行入侵響應(yīng)，入侵檢測系統(tǒng)中完成響應(yīng)行為邏輯部件就是行為響應(yīng)單元，其響應(yīng)過程經(jīng)過不斷研究改進(jìn)，可以定義為：防護(hù)、初步響應(yīng)、抑制、根除、恢復(fù)、跟蹤六個階段。①防護(hù)即防御。依據(jù)信息系統(tǒng)安全模型，從防護(hù)、檢測、響應(yīng)到再防護(hù)，這個模型已經(jīng)不是一個平面的圓環(huán)，而應(yīng)該是一個螺旋上升的狀態(tài)；防護(hù)可以是事前的預(yù)防措施，同時也可以是事后的響應(yīng)措施，即針對所發(fā)生的安全事件的進(jìn)一步的防護(hù)。再防護(hù)可以看作是一種響應(yīng)。安全沒有絕對，即使事前安全防護(hù)工作做得再好，也可能被入侵。防護(hù)工作也不可能一步到位，安全防護(hù)是一個不斷完善的過程。一旦系統(tǒng)遭受入侵，那么說明系統(tǒng)必然有其廣義上的脆弱性存在，這時響應(yīng)工作就要求迅速填補(bǔ)漏洞，這樣的工作可以看作是響應(yīng)，同時也是再防護(hù)。再防護(hù)的工作。②初步響應(yīng)包括發(fā)現(xiàn)入侵行為之后的一些初步地響應(yīng)動作，如激活更詳細(xì)的日志審計(jì)，激活更詳細(xì)的入侵檢測，以及估計(jì)事件范圍、危害程度、潛在的危害度，收集事件相關(guān)信息，并在此基礎(chǔ)上產(chǎn)生事件報告。安全事件一旦發(fā)生之后要考慮應(yīng)該采取的行動，最好能夠在事前對可能發(fā)生的事件有所預(yù)案，盡最大可能將突發(fā)安全事件的處理從一種非程序化的決策過程轉(zhuǎn)變到一種程序化的決策過程中來。③抑制抑制的目的是限制攻擊的范圍，同時也就限制了潛在的損失與破壞。抑制不是應(yīng)急響應(yīng)的根本解決之道，根本的問題在于根除與恢復(fù)。但是抑制措施不可輕視，因?yàn)樘嗟陌踩录赡苎杆偈Э?。近年來的許多蠕蟲事件顯示事件從個別點(diǎn)迅速擴(kuò)散到整個網(wǎng)絡(luò)所需的時間越來越短。這就說明在事件發(fā)生之初，及時采取抑制措施，盡最大可能將事件限制在一個較小的網(wǎng)絡(luò)范圍內(nèi)的重要性。④根除在事件被有效的抑制以后，就應(yīng)該找出事件的根源并徹底根除。一旦有安全事件發(fā)生，就說明系統(tǒng)有脆弱性存在，而根除的目的就在于找到導(dǎo)致事件發(fā)生的脆弱性所在，并且彌補(bǔ)這個缺陷，從而在更高一層上加強(qiáng)系統(tǒng)防護(hù)。根除的難點(diǎn)不在于如何彌補(bǔ)，而在于如何迅速找到導(dǎo)致事件的脆弱性所在。因?yàn)橛袝r候事件發(fā)生了，但是很難馬上確定到底是哪里出了問題，使得入侵者能夠進(jìn)入系統(tǒng)。如果導(dǎo)致事件的脆弱性確定了，那相應(yīng)的補(bǔ)救措施就很明確了。⑤恢復(fù)恢復(fù)的目的是把所有被攻擊的系統(tǒng)和網(wǎng)絡(luò)設(shè)備徹底的還原到他們正常的任務(wù)狀態(tài)。如何恢復(fù)，需要根據(jù)系統(tǒng)受影響的程度或者系統(tǒng)被攻擊后導(dǎo)致的結(jié)果來決定。安全事件可能使得系統(tǒng)的安全性(包括保密性，完整性，可用性等)受到破壞，那恢復(fù)就是要重新保證系統(tǒng)的可用性、完整性、保密性等。在恢復(fù)階段，我們需要去掉用作短期抑制措施的所有中間防御措施。包括為了遏制事件所采取的一些措施，還有響應(yīng)初期的一些動作，比如激活了更為詳細(xì)的日志審計(jì)等，這時就應(yīng)該恢復(fù)為正常的日志審計(jì)量。⑥跟蹤跟蹤就是在事件發(fā)生并應(yīng)急處理之后，再回過頭來對整個事件進(jìn)行分析總結(jié)。通過事后的分析，總結(jié)經(jīng)驗(yàn)教訓(xùn)，從而進(jìn)一步提高系統(tǒng)防護(hù)水平，進(jìn)一步完善響應(yīng)預(yù)案。事后的總結(jié)，有助于以后再次應(yīng)對突發(fā)的安全事件，而且跟蹤信息的共享可以為其他響應(yīng)組織、人員提供幫助。1.3短信技術(shù)(1)短信技術(shù)概述隨著移動通信的迅速普及，移動通信的應(yīng)用范圍也越來越廣泛。除了基本的語音服務(wù)外，短信技術(shù)作為一種方便實(shí)用的移動通信方式，也得到了廣泛的應(yīng)用。手機(jī)用戶使用短信的意識正在逐步形成,基于短信技術(shù)的服務(wù)越來越多，比如證券服務(wù)、銀行服務(wù)、公共信息、移動商務(wù)、客戶服務(wù)、彩票購買等。短信服務(wù)以其特有的優(yōu)點(diǎn)正在吸引著廣大手機(jī)用戶，這些優(yōu)點(diǎn)主要體現(xiàn)在以下幾個方面：①與基于固定電話的服務(wù)相比，短信服務(wù)更加靈活方便、安全可靠?；诠潭娫挼姆?wù)限制了用戶的地點(diǎn)，缺乏靈活性。此外，現(xiàn)有電話設(shè)備的安全問題還沒有解決。②短信服務(wù)的運(yùn)營成本比固定電話服務(wù)的運(yùn)營成本低，而且服務(wù)效率高。③與基于因特網(wǎng)的服務(wù)相比，短信服務(wù)更加靈活方便安全可靠。同固定電話服務(wù)一樣，基于因特網(wǎng)的服務(wù)同樣因?yàn)橄拗屏擞脩羰褂梅?wù)的地點(diǎn)而缺乏靈活性。此外，當(dāng)前，因特網(wǎng)上的客戶端比服務(wù)器更容易受到黑客攻擊。由于因特網(wǎng)的開放性，如何鑒別下載的應(yīng)用程序與控件的安全性，如何防止惡意網(wǎng)站對客戶端的攻擊，已成為因特網(wǎng)的重要安全問題?，F(xiàn)在一些專家正在研制安全計(jì)算機(jī)，對于手機(jī)用戶來說，手機(jī)就是一種很好的計(jì)算機(jī),SIM卡特有的安全機(jī)制為用戶提供了絕好的安全保護(hù)。短信服務(wù)的優(yōu)點(diǎn)正在被手機(jī)用戶以及服務(wù)提供商所認(rèn)同。隨著手機(jī)用戶使用短信服務(wù)意識的不斷增強(qiáng)，特別是手機(jī)用戶量的快速增長，只要服務(wù)提供商能夠充分重視短信服務(wù)的上述優(yōu)點(diǎn)，提供實(shí)用安全的服務(wù)，短信必將為廣大手機(jī)用戶的工作生活提供更加安全、方便、快捷的服務(wù)。(2)短信技術(shù)的發(fā)展從短信業(yè)務(wù)的發(fā)展來看，短信信息服務(wù)的發(fā)展經(jīng)歷了下述兩個時期：第一階段，以SMSC(ShortMessageServiceCenter)短信中心為主要信息提供的時期。在此階段，短信中心是唯一的信息提供者及數(shù)據(jù)傳輸通道，造成信息量少，并且各個短信中心的信息來源不一致。這一階段是短信服務(wù)的獨(dú)立發(fā)展時期。第二階段，以互聯(lián)網(wǎng)上的信息作為短信的主要信息來源，由互聯(lián)網(wǎng)上的服務(wù)提供商直接與各SMSC相溝通，建立信息交換的接口。其特點(diǎn)是，由信息極其豐富的SP(ServiceProvider)服務(wù)提供商作為信息的提供者，彌補(bǔ)了原來SMSC的不足。這一階段是短信業(yè)務(wù)的急劇擴(kuò)展時期。目前短信業(yè)務(wù)正處在發(fā)展的第二階段，其主要的業(yè)務(wù)特征模式就是將互聯(lián)網(wǎng)上豐富的應(yīng)用通過手機(jī)的短消息方式傳遞給用戶。這一發(fā)展模式，將傳統(tǒng)的信息提供與信息服務(wù)的合二為一徹底分離，體現(xiàn)了一種傳統(tǒng)業(yè)務(wù)與互聯(lián)網(wǎng)相結(jié)合的發(fā)展模式，同時也為互聯(lián)網(wǎng)業(yè)務(wù)擴(kuò)展到移動網(wǎng)絡(luò)提供了基礎(chǔ)條件。在短信服務(wù)應(yīng)用系統(tǒng)中，應(yīng)用服務(wù)器往往安置在短信業(yè)務(wù)的提供者SP一端，用戶手機(jī)與應(yīng)用服務(wù)器之間需要通過移動電話網(wǎng)絡(luò)以及因特網(wǎng)才能建立連接。SMG(ShortMessageGateway)短信網(wǎng)關(guān)是連接移動電話網(wǎng)絡(luò)與因特網(wǎng)的橋梁。從(圖1-5)可以看出，當(dāng)手機(jī)用戶需要與應(yīng)用服務(wù)器通信，進(jìn)行某種業(yè)務(wù)時，手機(jī)用戶通過移動電話網(wǎng)絡(luò)將業(yè)務(wù)請求發(fā)送到運(yùn)營商的SMSC(短信中心)，SMSC(短信中心)將手機(jī)用戶的業(yè)務(wù)請求發(fā)送給SMG(短信網(wǎng)關(guān))，SMG(短信網(wǎng)關(guān))負(fù)責(zé)將用戶的業(yè)務(wù)請求通過因特網(wǎng)發(fā)送給應(yīng)用服務(wù)器。應(yīng)用服務(wù)器收到手機(jī)用戶的業(yè)務(wù)請求后，進(jìn)行相應(yīng)的業(yè)務(wù)處理，形成業(yè)務(wù)處理結(jié)果。業(yè)務(wù)處理結(jié)果首先被應(yīng)用服務(wù)器通過因特網(wǎng)發(fā)送給SMG，SMG隨后將業(yè)務(wù)處理結(jié)果發(fā)送給SMSC，由SMSC將業(yè)務(wù)處理結(jié)果經(jīng)過移動電話網(wǎng)絡(luò)發(fā)送到用戶手機(jī)。目前，SP與SMG之間短信網(wǎng)關(guān)接入主要有聯(lián)通的SGIP協(xié)議和移動的CMPP協(xié)議，SGIP和CMPP都定義了MO(由手機(jī)用戶提交的短消息)和MT(由手機(jī)用戶接收的短消息)方法，SP可以發(fā)送到短信網(wǎng)關(guān),同時短信也可以從短信網(wǎng)關(guān)發(fā)送到SP。另外也提供發(fā)送狀態(tài)報告，SP發(fā)送時可以指定需要此短信的報告。兩個協(xié)議中SP與短信網(wǎng)關(guān)的連接都是基于請求響應(yīng)模式，雙方互為客戶/服務(wù)器，客戶發(fā)出請求,服務(wù)器返回對這個請求的響應(yīng)。SGIP與短信網(wǎng)關(guān)有兩種連接方式、HTTP連接和TCP連接，HTTP連接就是使用HTTP協(xié)議發(fā)送短信，TCP連接就是向短信網(wǎng)關(guān)發(fā)送TCP包，CMPP只有TCP連接但是它定義了長連接和短連接方式，短連接就是一次連接只進(jìn)行一個請求-響應(yīng)操作，操作完成后斷開連接,下次操作再建立連接。長連接則是一個連接中可以進(jìn)行多次請求-響應(yīng)操作。SGIP的TCP連接和CMPP中的長連接使用的是流水線的形式，也就是可以一連發(fā)出好多個請求，然后再等待它們所有的響應(yīng)，如果某個響應(yīng)超過一定時間沒有收到圖1-5短信服務(wù)應(yīng)用的體系結(jié)構(gòu)那么由重發(fā)機(jī)制進(jìn)行重發(fā)。接下來本文以聯(lián)通的SGIP協(xié)議為例進(jìn)行介紹短信業(yè)務(wù)的工作原理。1.3本文的內(nèi)容網(wǎng)絡(luò)服務(wù)器入侵和攻擊行為具備一定的復(fù)雜性和不確定性，并且各種網(wǎng)絡(luò)攻擊手段層出不窮，更新很快。目前，各種入侵檢測系統(tǒng)都無法實(shí)現(xiàn)及時準(zhǔn)確地檢測出所有已知和未知的攻擊并且根據(jù)網(wǎng)絡(luò)情況對所有攻擊做出最恰當(dāng)?shù)捻憫?yīng)行為。因此，及時報警，可使安全管理員能夠在入侵攻擊尚未造成更大危害前得到警報并做出反應(yīng)。就此問題，本文提出了專用網(wǎng)絡(luò)服務(wù)器的預(yù)警及報警系統(tǒng)，將短信技術(shù)與入侵檢測技術(shù)相結(jié)合，為專用網(wǎng)絡(luò)服務(wù)器提供及時快速的預(yù)警和報警，希望此系統(tǒng)切實(shí)能提高網(wǎng)絡(luò)服務(wù)器的安全水平。根據(jù)需求我們搭建了專用網(wǎng)絡(luò)服務(wù)器的預(yù)警及報警系統(tǒng)的運(yùn)行環(huán)境，在網(wǎng)絡(luò)環(huán)境里，我們部署了snort,acid，并在交換機(jī)上配置端口鏡像，為該系統(tǒng)的運(yùn)行提供必要的運(yùn)行環(huán)境，其中我們在當(dāng)前比較流行的Windows和Linux操作系統(tǒng)下實(shí)現(xiàn)了snort和acid的部署，使我們的系統(tǒng)可以跨越平臺使用和操作。對專用網(wǎng)絡(luò)服務(wù)器的預(yù)警及報警系統(tǒng)的設(shè)計(jì)、分析、和實(shí)現(xiàn)，我們始終采用模塊化的方法完成，將整個系統(tǒng)的功能分為幾個功能相對獨(dú)立的模塊來實(shí)現(xiàn)，各模塊根據(jù)具體的情況，還劃分了子模塊，通過模塊的設(shè)計(jì)發(fā)，盡量減少模塊之間的關(guān)聯(lián)程度，減少程序設(shè)計(jì)的復(fù)雜度和減少工程的復(fù)雜度。具體見詳細(xì)設(shè)計(jì)與實(shí)現(xiàn)。在該系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)過程中，我的工作包括：環(huán)境的搭建，總體實(shí)現(xiàn)編程，代價評估模塊的實(shí)現(xiàn)。

2專用網(wǎng)絡(luò)服務(wù)器的預(yù)警及報警系統(tǒng)環(huán)境部署專用網(wǎng)絡(luò)服務(wù)器的預(yù)警報警系統(tǒng)部署在如下的網(wǎng)絡(luò)環(huán)境中：圖2-1專用網(wǎng)絡(luò)服務(wù)器的預(yù)警及報警系統(tǒng)專用網(wǎng)絡(luò)服務(wù)器的預(yù)警及報警系統(tǒng)通過對snort的入侵檢測模式產(chǎn)生的數(shù)據(jù)進(jìn)行分析，對匹配專用網(wǎng)絡(luò)服務(wù)器預(yù)警報警系統(tǒng)規(guī)則的行為通過手機(jī)短信方式給網(wǎng)絡(luò)安全管理員提供及時報警，第一時間通知網(wǎng)絡(luò)安全管理員，然后由管理員做出及時響應(yīng)。專用網(wǎng)絡(luò)服務(wù)器的預(yù)警及報警系統(tǒng)環(huán)境的部署包括snort的部署、ACID的部署和交換機(jī)的配置。2.1軟件介紹2.1.1Snort簡介snort是一個輕量級的入侵檢測系統(tǒng)，它具有截取網(wǎng)絡(luò)數(shù)據(jù)報文，進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)實(shí)時分析、報警,以及日志的能力。snort的報文截取代碼是基于libpcap庫的，繼承了libpcap庫的平臺兼容性。它能夠進(jìn)行協(xié)議分析，內(nèi)容搜索/匹配，能夠用來檢測各種攻擊和探測，例如：緩沖區(qū)溢出、隱秘端口掃描、CGI攻擊、SMB探測、OS指紋特征檢測等等。snort使用一種靈活的規(guī)則語言來描述網(wǎng)絡(luò)數(shù)據(jù)報文，因此可以對新的攻擊做出快速地反應(yīng)。snort具有實(shí)時報警能力?？梢詫缶畔懙絪yslog、指定的文件、UNIX套接字或者使用WinPopup消息。snort具有良好的擴(kuò)展能力。它支持插件體系，可以通過其定義的接口，很方便地加入新的功能。snort還能夠記錄網(wǎng)絡(luò)數(shù)據(jù)，其日志文件可以是tcpdump格式，也可以是解碼的ASCII格式。Snort是一款輕量級的網(wǎng)絡(luò)入侵檢測系統(tǒng)，它是開放源碼的軟件,snort的開發(fā)遵循GPL協(xié)議。在保持強(qiáng)大的功能及不斷更新的同時，它仍然是免費(fèi)的，并且公開源代碼，你可以在GUN規(guī)則下研究修改和傳播它，它能夠運(yùn)行在包括Linux/BSD/Unix/Windows等操作系統(tǒng)下，是一款跨平臺的自由軟件。2.1.2Apache介紹Apache是根據(jù)NCSA的服務(wù)器發(fā)展而來的，NCSA是最早出現(xiàn)的Web服務(wù)器程序之一，由伊利諾斯大學(xué)Urbana-Champaign分校的美國國家超級計(jì)算應(yīng)用中心開發(fā)。在發(fā)展初期，Apache主要是一個基于UNIX系統(tǒng)的服務(wù)器，它的宗旨就是建成一個基于UNIX系統(tǒng)的、功能更強(qiáng)、效率更高并且速度更快的WWW服務(wù)器，這就決定了它是從其他的服務(wù)器演變而來的，并且添加了大量補(bǔ)丁來增強(qiáng)它在某一方面的性能，所以它就被命名為“ApathyServer(一個補(bǔ)丁組成的服務(wù)器)”。發(fā)展到今天，Apache已經(jīng)被移植到很多平臺上了。很多類UNIX操作系統(tǒng)都集成了Apache，無論是免費(fèi)的Linux、FreeBSD，還是商業(yè)的Solaris、AIX，都包含了Apache組件。所不同的是，在商業(yè)版本中對相應(yīng)的系統(tǒng)進(jìn)行了優(yōu)化，并加進(jìn)了一些安全模塊。Apache的開發(fā)遵循GPL協(xié)議，由全球的志愿者一起開發(fā)和維護(hù)。在保持強(qiáng)大的功能及不斷更新的同時，它仍然是免費(fèi)的，并且公開源代碼。Apache還可以跨平臺運(yùn)行，雖然是基于UNIX的一款web服務(wù)器，但它目前在windows平臺上也依然運(yùn)行良好?？梢灾С謕erl,PHP等腳本語言。2.1.3ACID簡介ACID(AnalysisConsoleforIncidentDatabases)是snort使用的標(biāo)準(zhǔn)分析員控制臺軟件。它由CERTCoordinationCenter開發(fā)，是AIRCERT工程的一部分。可以從/kb/acid下載。從ACID-0.9.6b2開始，ACID才實(shí)現(xiàn)了數(shù)據(jù)庫的抽象支持。ACID是一個基于PHP的分析引擎，它能夠搜索、處理snort產(chǎn)生的數(shù)據(jù)庫。2.2snort的部署snort部署的系統(tǒng)結(jié)構(gòu)：(1)snort將其捕獲的數(shù)據(jù)發(fā)送至SQLServer的ARMIRS數(shù)據(jù)庫。(2)apache為系統(tǒng)提供了web服務(wù)支持。(3)PHP為系統(tǒng)提供了PHP支持，使apache能夠運(yùn)行PHP程序。(4)acid是基于PHP的入侵檢測數(shù)據(jù)庫分析控制臺.(5)ADODB是PHP數(shù)據(jù)庫的連接組件。(6)acid通過ADODB從SQLServer的ARMIRS數(shù)據(jù)庫中讀取數(shù)據(jù)，將分析結(jié)果顯示在網(wǎng)頁上，并使用jpgraph組件對其進(jìn)行圖形化分析。2.2.1軟件清單首先下載安裝程序軟件包，除windows2000和SQLServer2000外，在部署snort環(huán)境中用到的軟件包括以下軟件，我們提供軟件的版本和下載地址并對軟件做相關(guān)說明：軟件1：acid-0.9.6b23.tar.gz，軟件下載地址：/kb/acid，說明：基于PHP的入侵檢測數(shù)據(jù)庫分析控制臺。軟件2：adodb360.zip，軟件下在地址：/adodb，說明：ADODB（ActiveDataObjectsDataBase）庫forPHP。軟件3：apache_2.0.54-win32-x86-no_ssl.msi，下載地址：，軟件說明：Windows版本的ApacheWeb服務(wù)器。軟件4:jpgraph-1.12.2.tar.gz，下載地址：http://www.aditus.nu/jpgraph，軟件說明：OO圖形庫forPHP，請注意下載的版本應(yīng)該和PHP版本相符。軟件5:php-4.3.2-Win32.zip,下載地址：，軟件說明：Windows版本的php腳本環(huán)境支持。軟件6:snort-2_0_0.exe，下載地址：，軟件說明：Windows版本的Snort安裝包。軟件7：WinPcap_3_0.exe，下載地址：http://winpcap.polito.it/，軟件說明：網(wǎng)絡(luò)數(shù)據(jù)包截取驅(qū)動程序。2.2.2軟件安裝(1)apache_2.0.54的安裝①雙擊apache_2.0.54-win32-x86-no_ssl.msi，在出現(xiàn)的serverInformation頁面添入服務(wù)器的相關(guān)信息，如圖2-2示。安裝的時候注意，如果你已經(jīng)安裝了IIS并且啟動了WebServer，因?yàn)镮ISWebServer默認(rèn)在TCP80端口監(jiān)聽，所以會和ApacheWebServer沖突，我們可以修改ApacheWebServer為其他端口。在出現(xiàn)的安裝類型選擇custom,在出現(xiàn)的“customsetup”界面，自定義安裝路徑為c:\apache。完成安裝。②添加apache對PHP的支持將php-4.3.11-Win32.zip解壓縮到C:\apache\Apache2\php目錄下；將php4embed.lib，php4ts.dll，php4ts.lib拷貝到c:\winnt\system32下；將C:\apache\Apache2\php\dlls下的所有*.dll的文件拷貝到c:\winnt目錄下；將php.ini-dist拷貝到c:\winnt\并改名為php.ini。

圖2-2apache安裝-服務(wù)器信息③修改php.ini配置文件,修改php.ini添加對SQLServer和GD圖形庫支持，在php.ini找到下面內(nèi)容，去掉前面的注釋，如圖2-3所示：圖2-3修改php.ini配置信息在php.ini里搜索到extension_dir字符串，修改成如下配置信息，至此，PHP配置完成。如圖2-4所示：圖2-4修改php.ini配置信息(續(xù))④修改apache的配置文件httpd.conf,在相關(guān)位置添加如下內(nèi)容，如圖2-5所示：圖2-5apache配置文件修改⑤保存配置文件，啟動apache服務(wù)，在C:\apache\Apache2\htdocs下創(chuàng)建index.php文件，文件內(nèi)容為<?Phpinfo();?>，擴(kuò)展名為.php,在瀏覽器里輸入http://localhost/index.php,測試php是否安裝成功，并且是否支持圖形庫和SQLServer2000數(shù)據(jù)庫，成功配置會有如圖2-6，圖2-7所示的部分：圖2-6PHP支持GD庫圖2-7PHP支持MSSQL(2)安裝adodb解壓縮adodb461.zip至C:\apache\Apache2\php\adodb下即可。(3)安裝jpgrapg庫解壓縮jpgraph-1.17.tar.gz至C:\apache\Apache2\php\jpgraph,并修改jpgraph.php內(nèi)容DEFINE("CACHE_DIR","/tmp/jpgraph_cache/")為DEFINE('CACHE_DIR','%USERPROFILE%/LocalSettings/Temp')。(4)安裝snort-2_3_0使用默認(rèn)安裝路徑c:\snort，選擇數(shù)據(jù)庫為MicrosoftSQLServer.修改配置文件C:\Snort\etc\snort.conf內(nèi)容，其中varHOME_NET為snort要監(jiān)控的網(wǎng)絡(luò)，outputdatabase后面的用戶名和密碼為SQLServer2000的登陸名和密碼。如圖2-8所示：圖2-8snort配置文件在安裝完snort-2_3_0.exe后，需要安裝與之對應(yīng)的WinPcap軟件，這snort-2_3_0.exe需要WinPcap_3_0.exe,WinPcap_3_0.exe的安裝很簡單，只需要按提示安裝即可。 (5)snort的啟動 snort的啟動如下圖，通過命令行啟動，如圖2-9所示:

圖2-9snort的啟動(5)ACID安裝：解壓縮acid-0.9.6b23.tar.gz至C:\apache\Apache2\htdocs\acid目錄下，修改配置文件acid_conf.php,修改如下內(nèi)容：數(shù)據(jù)庫為SQLServer2000數(shù)據(jù)庫，類型為mssql,數(shù)據(jù)庫為ARMIRS，用戶名和密碼按實(shí)際情況填寫，如圖2-10所示，ACID界面如圖2-11所示，圖2-12為在ACID里瀏覽到警告信息。圖2-12警告瀏覽2-10ACID配置文件修改圖2-11ACID界面2.3網(wǎng)絡(luò)設(shè)備配置通過配置SPAN特性能對本交換機(jī)端口或整個VLAN的數(shù)據(jù)流進(jìn)行監(jiān)視，被監(jiān)控的數(shù)據(jù)流可以由協(xié)議分析設(shè)備進(jìn)行分析處理。SPAN會話由一個目的端口和一組源端口組成，它將一個或多個VLAN上的一個或多個源端口的數(shù)據(jù)包復(fù)制到目的端口上。SPAN不影響源端口的正常工作，也不會影響正常的交換機(jī)操作。我們通過在交換機(jī)上做SPAN配置，使部署了snort的主機(jī)能接收到發(fā)往網(wǎng)絡(luò)服務(wù)器的數(shù)據(jù)流量，為專用網(wǎng)絡(luò)服務(wù)器的預(yù)警及報警系統(tǒng)提供所必須的數(shù)據(jù)流。在網(wǎng)絡(luò)環(huán)境中，專用網(wǎng)絡(luò)服務(wù)器所在的交換機(jī)端口和其他需要預(yù)警及報警的主機(jī)和網(wǎng)絡(luò)設(shè)備所在的端口為SPAN的源端口，部署了snort的主機(jī)所在的交換機(jī)端口為SPAN目的端口。如圖所示，Web_Srv3、防火墻、內(nèi)部主機(jī)所在的交換機(jī)端口為源端口，部署了snort的主機(jī)所在的交換機(jī)端口為SPAN的目的端口：在如下圖的環(huán)境中，專用網(wǎng)絡(luò)服務(wù)器的預(yù)警及報警系統(tǒng)所連接的交換機(jī)端口為F0/1,其他F0/5,F0/9,F0/13,F0/17,F0/24分別接防火墻、web_srv3、和兩臺工作站。這樣，專用網(wǎng)絡(luò)服務(wù)器的預(yù)警及報警系統(tǒng)可以通過snort監(jiān)控的網(wǎng)絡(luò)流量進(jìn)行分析，對達(dá)到規(guī)則的行為進(jìn)行報警。如圖2-13所示，交換機(jī)SPAN配置如圖2-14。 圖2-13網(wǎng)絡(luò)服務(wù)器預(yù)警報警系統(tǒng)圖2-14交換機(jī)SPAN特性配置

2.4小結(jié)本章通過部署snort和acid,為專用網(wǎng)絡(luò)服務(wù)器的預(yù)警及報警系統(tǒng)提供必要的運(yùn)行環(huán)境。本章詳細(xì)介紹了apache、php、acid、snort的安裝、配置和調(diào)試，并分別在windows平臺和Linux平臺下實(shí)現(xiàn)了該環(huán)境的部署，為專用網(wǎng)絡(luò)服務(wù)器的預(yù)警及報警系統(tǒng)的設(shè)計(jì)和調(diào)試提供了良好的實(shí)驗(yàn)環(huán)境。

3專用網(wǎng)絡(luò)服務(wù)器的預(yù)警及報警系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)3.1開發(fā)環(huán)境介紹3.1.1Microsoftvisualc++介紹VisualC++6.0是Microsoft公司提供的基于Windows95,Windows98和WindowsNT的編程工具。多數(shù)高級程序設(shè)計(jì)人員認(rèn)為VisualC++的優(yōu)點(diǎn)是：與操作系統(tǒng)配合緊密、不存在與操作系統(tǒng)不兼容的問題；功能強(qiáng)大，用途廣泛，不僅可以編寫普通的應(yīng)用程序，還能很好的進(jìn)行系統(tǒng)軟件及通信軟件的開發(fā)；操作簡單，一旦上手后，開發(fā)效率將成倍提高；從字面上看，Visual的英文含義是指“可觀”，這里是指在用VisualC++進(jìn)行開發(fā)的過程中對應(yīng)用程序界面(GUI)的開發(fā)，大多使用開發(fā)工具所提供的現(xiàn)成的組件，利用所見即所得的方式完成程序界面的設(shè)計(jì)，因此大大減輕了程序設(shè)計(jì)人員的勞動強(qiáng)度，提高了開發(fā)效率。VisualC++最大的特色是對面向?qū)ο蠹夹g(shù)的支持，它用類把與用戶界面設(shè)計(jì)有關(guān)的WindowsAPI函數(shù)封裝起來，通過MFC(MicrosoftFoundationClass)庫的方式提供給開發(fā)人員使用，大大提高了軟件的重要性。 另外，VisualC++內(nèi)帶的AppWizard可以幫助MFC類庫的用戶自動生成一個運(yùn)行程序框架，既一個空的不能做任何事情的應(yīng)用程序，而用戶只需要對該程序框架進(jìn)行擴(kuò)充添加代碼就可以得到一個結(jié)構(gòu)優(yōu)良的應(yīng)用程序。VisualC++提供的ClassWizard可以為用戶提供方便而有效的使用管理MFC類庫，傳統(tǒng)的Win32SDK用戶使用完ClassWizard后會由衷地稱贊；“ClassWizard真是方便極了”。VisualC++作為一個功能強(qiáng)大的軟件開發(fā)工具，它對應(yīng)用程序的開發(fā)支持是多方面的，它可以為以下程序開發(fā)提供支持：利用MFC的32位Windows應(yīng)用程序；使用C語言SDK編寫Windows程序；編寫控制臺程序；編寫ActiveX控件；編寫動態(tài)鏈接庫(DLLS)；開發(fā)數(shù)據(jù)庫應(yīng)用程序；開發(fā)Internet應(yīng)用程序；開發(fā)多媒體應(yīng)用程序。3.2.2MicrosoftSQLServer2000簡介SQLServer2000是建立在SQLServer7.0在可伸縮性、可用性、可管理性和數(shù)據(jù)倉庫成功的基礎(chǔ)上，并且引入了針對電子商務(wù)的重要新功能。

在高性能和企業(yè)級可伸縮性領(lǐng)域，SQLServer2000設(shè)計(jì)成利用Windows2000對更多處理器、更大的系統(tǒng)內(nèi)存的支持，最終達(dá)到支持64位硬件平臺。在不斷提升可用性的努力過程中，SQLServer2000采用Windows2000四路群集，提供了大大改進(jìn)的群集支持。SQLServer7.0已經(jīng)在可管理性和易用性方面在行業(yè)內(nèi)領(lǐng)先，SQLServer2000通過與Windows2000活動目錄緊密結(jié)合進(jìn)一步改進(jìn)了這些功能。而且，SQLServer2000還包含對現(xiàn)有管理工具和實(shí)用程序的重大改進(jìn)，并引入更具自我調(diào)節(jié)和自我管理的引擎功能。

通過與OLAP服務(wù)、數(shù)據(jù)轉(zhuǎn)換服務(wù)、存儲庫和英文查詢的緊密結(jié)合，SQLServer7.0代表了行業(yè)內(nèi)最全面的數(shù)據(jù)倉庫和決策支持平臺。SQLServer2000繼續(xù)了這種創(chuàng)新，在整個系統(tǒng)內(nèi)進(jìn)行了重要的改進(jìn)。特別重要的是，SQLServer2000關(guān)系引擎增加了實(shí)質(zhì)化的視圖，改善了在特大型數(shù)據(jù)庫環(huán)境中執(zhí)行復(fù)雜查詢的性能。同時，SQLServer2000引入了新的數(shù)據(jù)挖掘功能，可自動發(fā)現(xiàn)在大量數(shù)據(jù)之間隱藏的關(guān)系并可基于歷史數(shù)據(jù)做出預(yù)測。這些數(shù)據(jù)挖掘功能將要實(shí)施，以向最終用戶隱藏這種尖端技術(shù)的復(fù)雜性，并允許開發(fā)人員將第三方的數(shù)據(jù)挖掘產(chǎn)品輕松集成進(jìn)客戶的應(yīng)用程序中。最后，在電子商務(wù)領(lǐng)域，SQLServer2000高度集成了對XML和通過web訪問數(shù)據(jù)庫的支持。

SQLServer2000按照設(shè)計(jì)可以為部署和維護(hù)強(qiáng)大的、易于管理、支持商務(wù)活動的Web站點(diǎn)提供最好的性能，這些站點(diǎn)可以從事商家和商家之間或商家與客戶之間的交易。在尋求一個支持您的電子商務(wù)解決方案的數(shù)據(jù)庫時，需要考慮的項(xiàng)目包括：可用性、性能、可管理性和價格。3.2系統(tǒng)結(jié)構(gòu)設(shè)計(jì)與實(shí)現(xiàn) 軟件的設(shè)計(jì)是以一定的方法為基礎(chǔ)的。面對越來越復(fù)雜的軟件開發(fā)任務(wù)，人們提出了各種軟件設(shè)計(jì)的模型。本系統(tǒng)從需求和系統(tǒng)要實(shí)現(xiàn)的任務(wù)功能出發(fā)，采用模塊化軟件設(shè)計(jì)模型。模塊化設(shè)計(jì)的基本思想是將一個大的程序按功能分割成一些小模塊，各模塊相對獨(dú)立、功能單一、結(jié)構(gòu)清晰、接口簡單，把軟件的設(shè)計(jì)劃分成為相對較小的模塊，這樣可以將復(fù)雜的軟件設(shè)計(jì)變的相對容易處理。模塊的有機(jī)組合就是一個完整的系統(tǒng)。模塊化設(shè)計(jì)降低了程序設(shè)計(jì)的復(fù)雜性，提高元件的可靠性，縮短開發(fā)周期，避免程序開發(fā)的重復(fù)勞動，易于維護(hù)和功能擴(kuò)充，開發(fā)采用自上向下,逐步分解，分而治之的方法。 專用網(wǎng)絡(luò)服務(wù)器的預(yù)警及報警系統(tǒng)采用模塊化的軟件設(shè)計(jì)方法，將系統(tǒng)設(shè)計(jì)分解為功能相對獨(dú)立的三部分，每部分再劃分不同的子模塊。通過模塊化的軟件設(shè)計(jì)方法來實(shí)現(xiàn)該系統(tǒng)的功能。3.2.1整體系統(tǒng)結(jié)構(gòu)設(shè)計(jì)本系統(tǒng)將系統(tǒng)設(shè)計(jì)劃分為三個模塊，其中包括：代價評估模塊、短信代理模塊和響應(yīng)模塊與響應(yīng)代理模塊。每個模塊又劃分為更小的子模塊，如3-1圖示。各個模塊功能實(shí)現(xiàn)的組合就是我們完整的專用網(wǎng)絡(luò)服務(wù)器的預(yù)警及報警系統(tǒng)。 專用網(wǎng)絡(luò)服務(wù)器的預(yù)警及報警系統(tǒng)主要由以下三個部分構(gòu)成： (1)代價評估模塊代價評估模塊的主要作用是把經(jīng)過snort系統(tǒng)事件分析部件分析出來的安全事件按照成本分析方法進(jìn)行評估，從而決定系統(tǒng)是否要對此事件進(jìn)行響應(yīng)；如果進(jìn)行響應(yīng)是自動采取響應(yīng)還是快速手動響應(yīng)。為實(shí)現(xiàn)本系統(tǒng)中的響應(yīng)代價評估，設(shè)計(jì)了代價評估模塊。該模塊主要由資產(chǎn)管理子模塊、短信響應(yīng)門限值設(shè)定子模塊和入侵行為屬性數(shù)據(jù)庫構(gòu)成。 (2)短信代理模塊短信代理可以實(shí)現(xiàn)下述功能：在安全事件經(jīng)過響應(yīng)代價評估模塊評定后，如確實(shí)需要立即告知安全管理員，則將警報通過短信形式傳遞給管理員，并接收安全管理員通過短信發(fā)回的是否響應(yīng)的指令。短信代理模塊根據(jù)中國聯(lián)通專有的短信通信SGIP協(xié)議的規(guī)范進(jìn)行編寫，包括短信發(fā)送、短信狀態(tài)記錄、短信接收、安全指令分析四個子模塊。是本文針對當(dāng)前入侵檢測系統(tǒng)行為響應(yīng)中所存在的問題而引入的一種新的響應(yīng)方式，該方式實(shí)現(xiàn)了移動終端與入侵檢測系統(tǒng)的緊密結(jié)合，主要用于解決誤響應(yīng)、漏響應(yīng)和過度響應(yīng)等可能給系統(tǒng)帶來巨大損失的安全問題。專用網(wǎng)絡(luò)服務(wù)預(yù)警報警系統(tǒng)專用網(wǎng)絡(luò)服務(wù)預(yù)警報警系統(tǒng)短信代理代價評估模塊響應(yīng)模塊與響應(yīng)代理資產(chǎn)管理子模塊入侵行為屬性數(shù)據(jù)庫短信發(fā)送子模塊發(fā)送狀態(tài)記錄子模塊短信接收子模塊安全指令分析子模塊響應(yīng)決策專家數(shù)據(jù)庫響應(yīng)工具庫圖3-1專用網(wǎng)絡(luò)服務(wù)器的預(yù)警及報警系統(tǒng)結(jié)構(gòu)圖 (3)響應(yīng)模塊與響應(yīng)代理響應(yīng)模塊主要的功能是根據(jù)專家的設(shè)定，對可以進(jìn)行自動響應(yīng)的安全事件進(jìn)行自動響應(yīng)，同時可以接收由短信代理模塊傳送過來的快速手動響應(yīng)短信指令進(jìn)行響應(yīng)。響應(yīng)的具體執(zhí)行是由各個響應(yīng)代理來完成。 響應(yīng)模塊與響應(yīng)代理主要由響應(yīng)決策專家數(shù)據(jù)庫和響應(yīng)工具庫構(gòu)成。需要自動響應(yīng)的事件通過與響應(yīng)模塊中的專家數(shù)據(jù)庫的對照，得到相應(yīng)的響應(yīng)方法，而具體的響應(yīng)行為則由各個響應(yīng)代理來完成。3.2.2專用網(wǎng)絡(luò)服務(wù)器的預(yù)警及報警系統(tǒng)實(shí)現(xiàn) 專用網(wǎng)絡(luò)服務(wù)器的預(yù)警及報警系統(tǒng)總體結(jié)構(gòu)提供與各功能模塊的接口。我們在VisualC++里建立一個基于對話框的工程，在工程里插入資源，選擇menu,并新建如圖3-2所示的菜單。菜單提供ARMIRS各功能模塊之間的接口。圖3-2專用網(wǎng)絡(luò)服務(wù)器的預(yù)警及報警系統(tǒng)結(jié)構(gòu)圖3.3代價評估模塊設(shè)計(jì)響應(yīng)的代價評估，就是對響應(yīng)的成本進(jìn)行分析。通常我們做事情有意識或者無意識的都會考慮代價，即考慮某件事情做的值還是不值。如果收獲大于付出，那就值得做；反之付出大于收獲，那就不值得做了。從網(wǎng)絡(luò)安全整體角度來看，這個問題就是目前領(lǐng)域內(nèi)最新提出的“適度安全”的概念?！斑m度安全”實(shí)際上是在信息安全的風(fēng)險與投入之間尋求一種平衡。 對響應(yīng)的成本分析進(jìn)行深入研究是非常有意義和有必要的，接下來將主要討論響應(yīng)成本分析的基本原理，介紹入侵響應(yīng)成本分析的方法，并對原有方法進(jìn)行改進(jìn)，以使其適用于快速手動響應(yīng),彌補(bǔ)自動響應(yīng)的不足。 成本因素與成本量化對響應(yīng)成本進(jìn)行分析，首先需要確定與入侵及響應(yīng)行為相關(guān)的成本因素。依據(jù)經(jīng)驗(yàn)，這里我們考慮與響應(yīng)相關(guān)的成本主要包括：損失代價Dcost(DamageCost)與響應(yīng)代價Rcost(RespondCost)。損失代價Dcost，是假設(shè)IDS不采取任何響應(yīng)措施的情況下，入侵行為對系統(tǒng)造成的損失，也就是潛在損失。響應(yīng)代價Rcost是指針對某次入侵行為，采取相應(yīng)的響應(yīng)措施需要付出的代價。在確定成本因素之后，成本分析的關(guān)鍵就是成本量化的問題。與此相關(guān)的研究，在網(wǎng)絡(luò)安全的一個分支——風(fēng)險評估中已有所涉及。所謂風(fēng)險評估，就是對一個企業(yè)或者組織網(wǎng)絡(luò)信息系統(tǒng)資產(chǎn)價值、安全缺陷、安全威脅進(jìn)行確定的過程。確定的方法可以是定性的，也可以是定量的。從安全風(fēng)險評估已有的工作來看，完全的、精確的量化是相當(dāng)困難的，而將定性分析與定量分析相結(jié)合是一種不錯的選擇。另外，與風(fēng)險評估相似，我們的工作主要是給出一個成本量化的方法，具體的量化值應(yīng)該由用戶參與確定。因?yàn)橥瑯拥娜肭中袨?，給一個小的傳統(tǒng)企業(yè)帶來的損失可能是10萬，而給一個已經(jīng)實(shí)現(xiàn)信息化的大型企帶來的損失可能就是100萬。 (1)損失代價(Dcost)入侵帶來的在損失可能取決于多個方面。這里我們主要從入侵目標(biāo)和入侵行為本身兩個方面考慮，即入侵目標(biāo)的重要性(Criticality)和入侵行為的致命性(Lethality)。目標(biāo)的重要性(Criticality)是指被攻擊或者入侵的目標(biāo)系統(tǒng)的重要程度,可以通過目標(biāo)系統(tǒng)在網(wǎng)絡(luò)中所具備的功能或所起的作用體現(xiàn)出來。可以設(shè)定目標(biāo)重要性值域?yàn)?0，5)，5為最高值。那么可以把防火墻、路由器、DNS服務(wù)器的重要性值定義為5；web、Mail、FTP服務(wù)器可以定義為4；而普通UNIX工作站可以定義為2，Windows工作站可以定義為1，這樣不同的攻擊目標(biāo)的重要性(Criticality)就通過它的重要性值體現(xiàn)出來。入侵的致命性(Lethality)是指入侵行為本身所具有的危害性或者威脅性的高低。這個量與入侵所針對的目標(biāo)無關(guān)，只是對入侵行為本身的一個描述。比如，一個可以獲取root權(quán)限的攻擊的危害程度就高于只可以獲取普通用戶權(quán)限的攻擊的危害程度。表3-1是根據(jù)經(jīng)驗(yàn)量化了的幾類攻擊的危害性。我們在這里定義了4種不同種類的致命性描述。具體的攻擊行為所具有的危害性與某一攻擊分類相對應(yīng)。通過對捕獲的數(shù)據(jù)包進(jìn)行分析可以知道他屬于那種攻擊行為,從而對應(yīng)其危害性分類。例如：對捕獲到的一個數(shù)據(jù)包，經(jīng)過解碼后得到目的端口80,數(shù)據(jù)包大小dsize>128,則很可能是利用了NetworkTimeProtocolDaemon(ntpd)存在緩沖區(qū)溢出漏洞，攻擊目標(biāo)設(shè)備，攻擊者利用此漏洞能取得超級用戶特權(quán)，我們給出其攻擊行為為EXPLOITntpdxoverflow，屬于U2R分類。表3-1攻擊危害性與響應(yīng)代價分類描述成本致命性響應(yīng)代價U2R非法獲取根權(quán)限10040R2L從外界獲得非法訪問5020DoS拒絕服務(wù)3010Probe獲取目標(biāo)系統(tǒng)的信息25有了上面描述的兩個量，就可以把入侵損失代價Dcost的值定義為：Dcost=Criticality×Lethality。比如同樣是DoS攻擊，若攻擊目標(biāo)是防火墻，則Dcost=5×30=150;若攻擊目標(biāo)是Web服務(wù)器，則Dcost＝4×30＝120。 (2)響應(yīng)代價(Rcost)入侵響應(yīng)代價主要包括兩部分內(nèi)容：執(zhí)行響應(yīng)措施的資源耗費(fèi)和響應(yīng)措施執(zhí)行以后帶來的負(fù)面影響。響應(yīng)代價的完全量化是比較困難的，在此根據(jù)經(jīng)驗(yàn)值將響應(yīng)代價的量化簡化，如(表3-1)。這樣，在確定了事件的潛在損失與響應(yīng)代價之后，我們就可以做出響應(yīng)決策：如果Rcost≤Dcost，即響應(yīng)代價小于或者等于損失代價，則進(jìn)行響應(yīng)。如果Rcost>Dcost,即響應(yīng)代價超過了損失代價，那就沒有必要響應(yīng)了。在此基礎(chǔ)上我們將給出快速手動響應(yīng)的兩個門限值——嚴(yán)重威脅門限值α與重要響應(yīng)門限值β，若：Dcost≥α|Rcost≥β說明出現(xiàn)了很嚴(yán)重的入侵行為或者需要執(zhí)行很嚴(yán)厲的響應(yīng)措施如斷開網(wǎng)絡(luò)或者入侵追蹤等。此時，需要進(jìn)行快速手動響應(yīng)，以免因?yàn)槁╉憫?yīng)、誤響應(yīng)或響應(yīng)過度給系統(tǒng)帶來更嚴(yán)重的后果。當(dāng)可能發(fā)生的損失代價較大超過一定限度α?xí)r，響應(yīng)行為是否正確得當(dāng)變得十分重要，此時除系統(tǒng)自動采取的，如激活更詳細(xì)的日志審計(jì)，啟動更詳細(xì)的入侵檢測，以及估計(jì)事件范圍，收集事件相關(guān)信息，產(chǎn)生事件報告等響應(yīng)外，同時可以通過短信方式讓安全員在第一時間進(jìn)行遠(yuǎn)程遙控響應(yīng)。當(dāng)響應(yīng)代價超過門限值β時，即系統(tǒng)準(zhǔn)備需要采取一些比較嚴(yán)厲的主動響應(yīng)措施如反向追蹤時，涉及技術(shù)以外的多方面因素，此時也應(yīng)由安全管理員做出決定，使用短信方式可以最小化手工響應(yīng)代價。以上分析了響應(yīng)過程中響應(yīng)代價評估的問題，說明了應(yīng)急響應(yīng)成本分析的方法。3.3.1資產(chǎn)管理子系統(tǒng)模塊設(shè)計(jì)與實(shí)現(xiàn) 根據(jù)前面提到的代價評估的算法，需要對網(wǎng)絡(luò)內(nèi)的各種網(wǎng)絡(luò)設(shè)備的重要性(Criticality)進(jìn)行設(shè)定。損失代價Dcost是對攻擊目標(biāo)屬性和攻擊行為屬性綜合計(jì)算的結(jié)果，資產(chǎn)管理子系統(tǒng)模塊對網(wǎng)絡(luò)中各種設(shè)備的屬性進(jìn)行定義，通過重要級別來完成對每個設(shè)備Criticality值設(shè)定的功能。資產(chǎn)管理子系統(tǒng)可以完成設(shè)備的添加、刪除、瀏覽和修改功能。 資產(chǎn)管理子系統(tǒng)的實(shí)現(xiàn)是通過設(shè)計(jì)一個基于對話框的工程，添加列表控件，用以瀏覽當(dāng)前資產(chǎn)，通過編程實(shí)現(xiàn)數(shù)據(jù)的添加和刪除。如圖3-3所示：圖3-3資產(chǎn)管理子系統(tǒng)由于涉及到數(shù)據(jù)庫的連接，我們引入ADO封裝類，建立本系統(tǒng)到后臺SQLServer2000的連接，通過添加“添加”，“刪除”按鈕，實(shí)現(xiàn)設(shè)備的添加，刪除和修改。3.3.2響應(yīng)門限設(shè)定子模塊設(shè)計(jì)與實(shí)現(xiàn)根據(jù)本系統(tǒng)設(shè)計(jì)中的響應(yīng)代價評定方法，如果入侵的損失代價Dcost大于或等于α則表示發(fā)生了非常嚴(yán)重的入侵行為，如果入侵的響應(yīng)代價Rcost大于或等于β則表示要進(jìn)行非常嚴(yán)厲的響應(yīng)行為，如入侵跟蹤甚至反向攻擊等。α和β的值由安全管理員針對不同時期網(wǎng)絡(luò)的具體情況進(jìn)行設(shè)定。門限值設(shè)定是通過對話框的形式，將我們設(shè)定的值寫入到配置文件中，如圖3-4。

圖3-4門限值設(shè)定3.3.3入侵行為屬性數(shù)據(jù)庫設(shè)計(jì)專用網(wǎng)絡(luò)服務(wù)器的預(yù)警及報警系統(tǒng)對入侵損失代價進(jìn)行評估時，對每一類攻擊行為本身的致命性(Lethality)和響應(yīng)代價Rcost都進(jìn)行了預(yù)設(shè)。根據(jù)這些入侵行為的屬性值就可以實(shí)現(xiàn)對入侵損失代價Rcost和入侵響應(yīng)的代Rcost的比較，從而決定是否響應(yīng)以及如何響應(yīng)。入侵的致命性(Lethality)是指入侵行為本身所具有的危害性或者威脅性的高低，只是對入侵行為本身的一個描述。我們針對大量已知的和未知的入侵行為，根據(jù)他們的危害程度對其進(jìn)行分類，對不同的分類我們給出其屬性值，根據(jù)這些入侵行為的屬性值就可以實(shí)現(xiàn)對入侵損失代價Dcost和入侵響應(yīng)的代價Rcost的比較，從而決定是否響應(yīng)以及如何響應(yīng)。對于一個入侵行為致命性的判斷，首先我們需要知道一種行為是否是入侵行為？這種入侵屬于什么入侵行為？我們怎么來判斷呢？我們通過snort所捕獲的數(shù)據(jù)包，得到網(wǎng)絡(luò)上的原始流量，根據(jù)數(shù)據(jù)包所具有的特征(signature)來分析數(shù)據(jù)包的行為，從而判斷數(shù)據(jù)包的行為是否時入侵行為，根據(jù)入侵行為分類得到入侵行為屬性值，從而建立入侵行為屬性數(shù)據(jù)庫。特征指數(shù)據(jù)包的包頭、數(shù)據(jù)包的數(shù)據(jù)字段內(nèi)容所具有的特征。根據(jù)這些數(shù)據(jù)包的特征信息來判斷一個數(shù)據(jù)包的行為屬于正常行為還是攻擊行為，屬于那一種攻擊行為。根據(jù)RFC正式標(biāo)準(zhǔn)，網(wǎng)絡(luò)上的數(shù)據(jù)幀或是報文都具有固定的格式和默認(rèn)的規(guī)范，顯然，如果捕獲到一個幀格式或報文格式異常的數(shù)據(jù)，則很可能就是網(wǎng)絡(luò)入侵或者是攻擊。我們來看另一個例子：我們在抓到一個發(fā)往目的主機(jī)端口為21的數(shù)據(jù)包，通過在包的數(shù)據(jù)段中搜索指定“USERroot”串時，當(dāng)匹配時，我們可以認(rèn)為可能發(fā)生了“FTProotuseraccessattempt”入侵。通過上面的例子，我們看到了基于特征的入侵行為的描述方法。我們將通過特征來標(biāo)識數(shù)據(jù)包的行為，建立入侵性為屬性數(shù)據(jù)庫，通過入侵屬性數(shù)據(jù)庫的定義來對網(wǎng)絡(luò)的數(shù)據(jù)包是否是入侵行為進(jìn)行判斷。3.4響應(yīng)模塊與響應(yīng)代理模塊設(shè)計(jì)響應(yīng)模塊的主要功能是根據(jù)響應(yīng)代價評估模塊做出的決策，對安全事件進(jìn)行自動響應(yīng)或者快速手動響應(yīng)，具體的響應(yīng)操作由各個響應(yīng)代理來完成，主要的入侵響應(yīng)方式有： (1)記錄安全事件：將安全事件記錄下來有利于管理員的事后追查。 (2)產(chǎn)生報警信息：在控制臺產(chǎn)生報警，或發(fā)送郵件給管理員。 (3)記錄附加日志：為了能更好的分析攻擊，有時應(yīng)當(dāng)不僅限于記錄發(fā)現(xiàn)攻擊的報文，如對于堆棧溢出攻