第5章-物聯(lián)網(wǎng)系統(tǒng)安全第3次課

5.3、入侵檢測(cè)本節(jié)課程目標(biāo)1.了解入侵檢測(cè)概念2.熟悉蜜罐與蜜網(wǎng)3.熟悉惡意軟件監(jiān)測(cè)方法1.入侵檢測(cè)技術(shù)2.入侵檢測(cè)系統(tǒng)3.蜜罐與蜜網(wǎng)4.惡意軟件監(jiān)測(cè)

入侵檢測(cè)作為一種主動(dòng)防御技術(shù)，彌補(bǔ)了傳統(tǒng)安全技術(shù)（防火墻）的不足。入侵檢測(cè)系統(tǒng)通過(guò)捕獲網(wǎng)絡(luò)上的數(shù)據(jù)包，經(jīng)過(guò)分析處理后，報(bào)告異常或重要的數(shù)據(jù)模式和行為模式，使網(wǎng)絡(luò)管理員能夠清楚地了解網(wǎng)絡(luò)上發(fā)生的事件，并采取措施阻止可能的破壞行為。入侵檢測(cè)系統(tǒng)可以對(duì)主機(jī)系統(tǒng)和網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)監(jiān)控，阻止來(lái)自外部網(wǎng)絡(luò)黑客的入侵和來(lái)自?xún)?nèi)部網(wǎng)絡(luò)的攻擊。1985年，Denming等人提出了第一個(gè)實(shí)時(shí)入侵檢測(cè)專(zhuān)家系統(tǒng)模型和實(shí)時(shí)的基于統(tǒng)計(jì)量分析和用戶(hù)行為輪廓的入侵檢測(cè)技術(shù)，該模型成為入侵檢測(cè)技術(shù)研究領(lǐng)域的一個(gè)里程碑。入侵檢測(cè)包含兩層意思：一是對(duì)外部入侵（非授權(quán)使用）行為的檢測(cè)；二是對(duì)內(nèi)部用戶(hù)（合法用戶(hù)）濫用自身權(quán)限的檢測(cè)。具體檢測(cè)內(nèi)容包括：試圖闖入、成功闖入、冒充其他用戶(hù)、違反安全策略、合法用戶(hù)的泄漏、獨(dú)占資源以及惡意使用。入侵檢測(cè)被認(rèn)為是防火墻之后的第二道安全閘門(mén)，提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。這些都通過(guò)它執(zhí)行以下任務(wù)來(lái)實(shí)現(xiàn)：（1）監(jiān)視、分析用戶(hù)及系統(tǒng)活動(dòng)，查找非法用戶(hù)和合法用戶(hù)的越權(quán)操作；（2）系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)，并提示管理員修補(bǔ)漏洞；（3）識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警，能夠?qū)崟r(shí)對(duì)檢測(cè)到的入侵行為進(jìn)行反應(yīng)；（4）異常行為模式的統(tǒng)計(jì)分析，發(fā)現(xiàn)入侵行為的規(guī)律；（5）評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性，如：計(jì)算和比較文件系統(tǒng)的校驗(yàn)和；（6）操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶(hù)違反安全策略的行為。一、入侵檢測(cè)技術(shù)1、基本概念入侵檢測(cè)（IntrusionDetection），顧名思義，是對(duì)入侵行為的發(fā)覺(jué)。它通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中得若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象?！叭肭帧?Intrusion)是個(gè)廣義的概念，不僅包括被發(fā)起攻擊的人(如惡意的黑客)取得超出合法范圍的系統(tǒng)控制權(quán)，也包括收集漏洞信息，造成拒絕訪(fǎng)問(wèn)等對(duì)計(jì)算機(jī)系統(tǒng)造成危害的行為。進(jìn)行入侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng)(IntrusionDetectionSystem,簡(jiǎn)稱(chēng)IDS)。2、誤用檢測(cè)技術(shù)

入侵檢測(cè)是網(wǎng)絡(luò)安全的重要組成部分，目前采用的入侵檢測(cè)技術(shù)主要有異常檢測(cè)和誤用檢測(cè)兩種。誤用檢測(cè)又稱(chēng)為基于規(guī)則的入侵檢測(cè)。誤用檢測(cè)通過(guò)預(yù)先收集一些認(rèn)為是異常的特征。建立匹配規(guī)則庫(kù)，然后根據(jù)檢測(cè)到的事件或者網(wǎng)絡(luò)行為的特征，與匹配規(guī)則庫(kù)中預(yù)先設(shè)定的規(guī)則進(jìn)行匹配，如果匹配成功，則認(rèn)為該網(wǎng)絡(luò)行為異常，產(chǎn)生報(bào)警。這種檢測(cè)方法建立在對(duì)過(guò)去的知識(shí)積累基礎(chǔ)上，只有當(dāng)匹配規(guī)則庫(kù)中已經(jīng)存在的特征，入侵檢測(cè)系統(tǒng)才能進(jìn)行檢測(cè)。如果發(fā)現(xiàn)了一種新的網(wǎng)絡(luò)入侵行為，則需要根據(jù)新的網(wǎng)絡(luò)入侵行為特征，往匹配規(guī)則庫(kù)添加相應(yīng)的匹配規(guī)則，這樣入侵檢測(cè)系統(tǒng)才能夠及時(shí)檢測(cè)到新的網(wǎng)絡(luò)入侵。誤用檢測(cè)技術(shù)具有很高的準(zhǔn)確性，但是這種檢測(cè)技術(shù)只能根據(jù)已經(jīng)出現(xiàn)過(guò)的異常行為特征模式進(jìn)行匹配檢測(cè)，對(duì)于未出現(xiàn)過(guò)的異常行為或者是已經(jīng)出現(xiàn)過(guò)的網(wǎng)絡(luò)蠕蟲(chóng)的變種卻無(wú)能為力。而且，它必須時(shí)刻根據(jù)出現(xiàn)的新情況更新規(guī)則庫(kù)，匹配規(guī)則庫(kù)更新的頻率會(huì)大大影響整個(gè)系統(tǒng)的檢測(cè)能力。優(yōu)點(diǎn)：缺點(diǎn)：誤用檢測(cè)則是標(biāo)識(shí)一些已知的入侵行為，通過(guò)對(duì)一些具體行為進(jìn)行判斷和推理，從而檢測(cè)出異常行為。相對(duì)正常而言，異常檢測(cè)技術(shù)是記錄正常的網(wǎng)絡(luò)特征或行為。異常檢測(cè)的主要缺陷在于誤報(bào)率比較高，優(yōu)點(diǎn)：可檢測(cè)出最新的入侵異常檢測(cè)技術(shù)又可以分為四種：（1）基于統(tǒng)計(jì)的異常檢測(cè)（2）基于數(shù)據(jù)挖掘的異常檢測(cè)（3）基于神經(jīng)網(wǎng)絡(luò)的異常檢測(cè)（4）基于免疫系統(tǒng)的異常檢測(cè)2、異常檢測(cè)技術(shù)4、異常檢測(cè)與誤用檢測(cè)的比較異常檢測(cè)是通過(guò)對(duì)正常網(wǎng)絡(luò)行為的描述來(lái)分析和發(fā)現(xiàn)可能出現(xiàn)的異常情況，任何偏離了正常范圍的網(wǎng)絡(luò)行為都被認(rèn)為異常行為。異常檢測(cè)技術(shù)中對(duì)正常網(wǎng)絡(luò)行為的描述是通過(guò)對(duì)過(guò)去大量歷史數(shù)據(jù)的分析得到的。

無(wú)論誤用檢測(cè)還是異常檢測(cè)都是入侵檢測(cè)技術(shù)的具體實(shí)施，其各自的特點(diǎn)決定了它們具有相當(dāng)?shù)幕パa(bǔ)性。為了符合用戶(hù)越來(lái)越高的安全要求，可以將兩種方式結(jié)合起來(lái)，使得入侵檢測(cè)系統(tǒng)的檢測(cè)手法具有多樣性的特點(diǎn)。在不同的條件下采用不同的檢測(cè)方法，提高系統(tǒng)的檢測(cè)效率。二、入侵檢測(cè)系統(tǒng)

入侵檢測(cè)系統(tǒng)（IntrusionDetectionSystem，IDS）是指通過(guò)收集網(wǎng)絡(luò)流量數(shù)據(jù)、系統(tǒng)日志、用戶(hù)行為信息以及主機(jī)所能提供的若干信息進(jìn)行相應(yīng)的分析，檢測(cè)網(wǎng)絡(luò)是否存在異常行為或者被攻擊的跡象，從而產(chǎn)生警告的過(guò)程。

一個(gè)IDS通常包括入侵檢測(cè)軟件與硬件兩部分，它通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)的關(guān)鍵點(diǎn)收集信息并進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象并且對(duì)其做出反應(yīng)。有些反應(yīng)是自動(dòng)的，它包括通知網(wǎng)絡(luò)安全管理員（通過(guò)控制臺(tái)、電子郵件），中止入侵進(jìn)程、關(guān)閉系統(tǒng)、斷開(kāi)與互聯(lián)網(wǎng)的連接，使該用戶(hù)無(wú)效，或者執(zhí)行一個(gè)準(zhǔn)備好的命令等。如右圖所示是入侵檢測(cè)系統(tǒng)的整體框架示意圖，主要包括知識(shí)庫(kù)、數(shù)據(jù)收集、數(shù)據(jù)預(yù)處理、入侵檢測(cè)分析以及響應(yīng)處理等。1.入侵檢測(cè)系統(tǒng)的結(jié)構(gòu)

(1)數(shù)據(jù)收集入侵檢測(cè)系統(tǒng)的數(shù)據(jù)主要來(lái)自不同網(wǎng)段和主機(jī)，有關(guān)網(wǎng)絡(luò)流量以及用戶(hù)活動(dòng)狀態(tài)信息都是主要的數(shù)據(jù)來(lái)源。通常情況下，數(shù)據(jù)的內(nèi)容主要包括系統(tǒng)日志、網(wǎng)絡(luò)數(shù)據(jù)包等。尋找可用、有價(jià)值的信息是實(shí)現(xiàn)入侵檢測(cè)系統(tǒng)的關(guān)鍵，數(shù)據(jù)的可靠性可以保證入侵檢測(cè)系統(tǒng)產(chǎn)生最大效果，并對(duì)攻擊行為做出迅速且有效的反應(yīng)。(2)數(shù)據(jù)預(yù)處理通常情況下，主機(jī)系統(tǒng)的系統(tǒng)日志和網(wǎng)絡(luò)數(shù)據(jù)包中的數(shù)據(jù)信息類(lèi)型多樣的且雜亂無(wú)章，很難進(jìn)行分析。因此，為了保證數(shù)據(jù)能夠被檢測(cè)算法所識(shí)別，必須進(jìn)行預(yù)處理。在預(yù)處理過(guò)程中，需要將數(shù)據(jù)通過(guò)加工轉(zhuǎn)換成統(tǒng)一的數(shù)據(jù)格式，從而獲取有價(jià)值的信息。(3)入侵檢測(cè)分析入侵檢測(cè)分析是入侵檢測(cè)系統(tǒng)的核心部分，通過(guò)識(shí)別和統(tǒng)計(jì)特征并進(jìn)行合理的分析，從而對(duì)數(shù)據(jù)的行為進(jìn)行識(shí)別，檢測(cè)是否存在異常。(4)響應(yīng)處理在系統(tǒng)受到攻擊并且被入侵檢測(cè)分析算法識(shí)別后，針對(duì)攻擊的行為與類(lèi)型應(yīng)采取相應(yīng)的抵御措施，確保網(wǎng)絡(luò)系統(tǒng)的安全。通常采用的網(wǎng)絡(luò)安全防御方法有防火墻、安全事件記錄以及對(duì)攻擊主機(jī)進(jìn)行識(shí)別與限制等。(5)知識(shí)庫(kù)知識(shí)庫(kù)主要用于收集系統(tǒng)的歷史行為、日志信息以及記錄相應(yīng)的入侵?jǐn)?shù)據(jù)，可以為入侵檢測(cè)系統(tǒng)提供相應(yīng)的數(shù)據(jù)支持與判別依據(jù)。

根據(jù)的來(lái)源可將入侵檢測(cè)分為：基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（NIDS）、基于主機(jī)的入侵檢測(cè)系統(tǒng)（HIDS）和混合型入侵檢測(cè)系統(tǒng)三種類(lèi)型。（1）基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)網(wǎng)絡(luò)型入侵檢測(cè)系統(tǒng)是通過(guò)網(wǎng)絡(luò)連接檢測(cè)網(wǎng)絡(luò)數(shù)據(jù)中存在的入侵行為，并保護(hù)所有網(wǎng)絡(luò)節(jié)點(diǎn)。

基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)NIDS的信息來(lái)源為網(wǎng)絡(luò)中的數(shù)據(jù)包。NIDS通常是在網(wǎng)絡(luò)層監(jiān)聽(tīng)并分析網(wǎng)絡(luò)包來(lái)檢測(cè)入侵，可以檢測(cè)到非授權(quán)訪(fǎng)問(wèn)、盜用數(shù)據(jù)資源、盜取口令文件等入侵行為。2、入侵檢測(cè)系統(tǒng)的分類(lèi)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)不需要改變服務(wù)器等主機(jī)的配置,不會(huì)在業(yè)務(wù)系統(tǒng)的主機(jī)中安裝額外的軟件,從而不會(huì)影響這些機(jī)器的CPU、I/O與磁盤(pán)等資源的使用。

隨著VPN,SSH和SSL的應(yīng)用，數(shù)據(jù)加密越來(lái)越普遍，傳統(tǒng)的NIDS工作在網(wǎng)絡(luò)層，無(wú)法分析上層的加密數(shù)據(jù)，從而也無(wú)法檢測(cè)到加密后入侵網(wǎng)絡(luò)包。缺點(diǎn)不能檢測(cè)不同網(wǎng)段的網(wǎng)絡(luò)包很難檢測(cè)復(fù)雜的需要大量計(jì)算的攻擊協(xié)同工作能力弱難以處理加密的會(huì)話(huà)優(yōu)點(diǎn)檢測(cè)范圍廣無(wú)需改變主機(jī)配置和性能獨(dú)立性和操作系統(tǒng)無(wú)關(guān)性安裝方便（2）基于主機(jī)的入侵檢測(cè)系統(tǒng)主機(jī)型入侵檢測(cè)系統(tǒng)是設(shè)置在特定主機(jī)上運(yùn)行，主要是監(jiān)視主機(jī)上的事件并檢測(cè)本地可疑活動(dòng)，即受監(jiān)控機(jī)器的用戶(hù)執(zhí)行的攻擊或針對(duì)其運(yùn)行的主機(jī)發(fā)生的攻擊。由于主機(jī)型的IDS僅設(shè)計(jì)為與主機(jī)一起運(yùn)行，因此能夠執(zhí)行特定任務(wù)，是NIDS無(wú)法實(shí)現(xiàn)的，例如檢測(cè)緩沖區(qū)溢出、監(jiān)視系統(tǒng)調(diào)用、特權(quán)濫用以及系統(tǒng)日志分析等.

基于主機(jī)的入侵檢測(cè)系統(tǒng)的信息來(lái)源為操作系統(tǒng)事件日志、管理工具審計(jì)記錄和應(yīng)用程序?qū)徲?jì)記錄。

它通過(guò)監(jiān)視系統(tǒng)運(yùn)行情況（文件的打開(kāi)和訪(fǎng)問(wèn)、文件權(quán)限的改變、用戶(hù)的登錄和特權(quán)服務(wù)的訪(fǎng)問(wèn)等）、審計(jì)系統(tǒng)日志文件和應(yīng)用程序日志來(lái)檢測(cè)入侵來(lái)檢測(cè)入侵。優(yōu)點(diǎn)性能價(jià)格比高細(xì)膩性，審計(jì)內(nèi)容全面視野集中適用于加密及交換環(huán)境缺點(diǎn)額外產(chǎn)生的安全問(wèn)題依賴(lài)性強(qiáng)如果主機(jī)數(shù)目多，代價(jià)過(guò)大不能監(jiān)控網(wǎng)絡(luò)上的情況（3）混合型入侵檢測(cè)系統(tǒng)混合型入侵檢測(cè)系統(tǒng)的開(kāi)發(fā)考慮了主機(jī)事件和網(wǎng)絡(luò)提供的數(shù)據(jù)，并結(jié)合了網(wǎng)絡(luò)型和主機(jī)型的人侵檢測(cè)系統(tǒng)的功能。該系統(tǒng)結(jié)合了其他兩種方法的優(yōu)點(diǎn)，也克服了許多缺點(diǎn)。但混合系統(tǒng)并不意味著是更好的系統(tǒng)。由于不同的IDS技術(shù)以各種不同的方式分析流量并尋找入侵活動(dòng)，讓這些不同的技術(shù)成功且高效地在單個(gè)系統(tǒng)中進(jìn)行互操作和共存是一項(xiàng)具有挑戰(zhàn)性的任務(wù)。目前越來(lái)越多的入侵行為都集中到主機(jī)提供的網(wǎng)絡(luò)服務(wù)上，入侵者紛紛利用應(yīng)用服務(wù)的漏洞展開(kāi)對(duì)系統(tǒng)的攻擊，因此，應(yīng)用層協(xié)議分析技術(shù)成為了入侵檢測(cè)技術(shù)研究的重點(diǎn)。3.IDS典型應(yīng)用---小規(guī)模網(wǎng)絡(luò)環(huán)境應(yīng)用3.IDS典型應(yīng)用---多子網(wǎng)分布式環(huán)境應(yīng)用3.IDS典型應(yīng)用---分級(jí)管理三、蜜罐與蜜網(wǎng)1.蜜罐HoneyPot定義：honeypot:“Asecurityresourcewho’svalueliesinbeingprobed,attackedorcompromised”——LanceSpitzner（HoneynetProject的創(chuàng)始人）蜜罐是一類(lèi)安全資源，其價(jià)值就在于被探測(cè)、被攻擊及被攻陷。蜜罐技術(shù)的提出和發(fā)展Honeypot:首次出現(xiàn)在CliffStoll的小說(shuō)“TheCuckoo’sEgg”(1990)著名計(jì)算機(jī)安全專(zhuān)家FredCohen1998年后，出現(xiàn)DTK、Honeyd等大量開(kāi)源蜜罐工具同期出現(xiàn)一些商業(yè)產(chǎn)品，但并未得到市場(chǎng)普及1999年由蜜網(wǎng)項(xiàng)目組(TheHoneynetProject)提出并實(shí)現(xiàn)目前已發(fā)展到第三代蜜網(wǎng)技術(shù)2003年由LanceSpitzner首次提出Honeypotfarms思想目前仍未有實(shí)際的工具、產(chǎn)品和應(yīng)用

現(xiàn)行入侵檢測(cè)系統(tǒng)（HIDS和NIDS）及其入侵檢測(cè)技術(shù)，都存在一些缺陷。為了避免這一問(wèn)題，科技人員引入了網(wǎng)絡(luò)誘騙技術(shù)，即蜜罐（Honeypot）和蜜網(wǎng)（Honeynet）技術(shù)。Honeypot是一種全新的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)（NIDS），它誘導(dǎo)攻擊者訪(fǎng)問(wèn)預(yù)先設(shè)置的蜜罐而不是工作中網(wǎng)絡(luò)，可以提高檢測(cè)攻擊和攻擊者行為的能力，降低攻擊帶來(lái)的破壞。Honeypot的目的有兩個(gè)：一是在不被攻擊者察覺(jué)的情況下監(jiān)視他們的活動(dòng)、收集與攻擊者有關(guān)的所有信息二是牽制他們，讓他們將時(shí)間和資源都耗費(fèi)在攻擊Honeypot上，使他們遠(yuǎn)離實(shí)際的工作網(wǎng)絡(luò)。

為了達(dá)到上述兩個(gè)目的，Honeypot的設(shè)計(jì)方式必須與實(shí)際的系統(tǒng)一樣，還應(yīng)包括一系列能夠以假亂真的文件、目錄及其它信息。

這樣一旦攻擊者入侵Honeypot會(huì)以為自己控制了一個(gè)很重要的系統(tǒng)，刺激他充分施展他的“才能”。

而Honeypot就象監(jiān)視器一樣監(jiān)視攻擊者的所有行動(dòng)：記錄攻擊者的訪(fǎng)問(wèn)企圖，捕獲擊鍵，確定被訪(fǎng)問(wèn)、修改或刪除的文件，指出被攻擊者運(yùn)行的程序等。Honeypot可以是這樣的一個(gè)系統(tǒng)：模擬某些已知的漏洞或服務(wù)、模擬各種操作系統(tǒng)、在某個(gè)系統(tǒng)上做了設(shè)置使它變成“牢籠”環(huán)境.、或者是一個(gè)標(biāo)準(zhǔn)的操作系統(tǒng)，在這上面可以打開(kāi)各種服務(wù)。蜜罐與NIDS相比，具有如下特點(diǎn):數(shù)據(jù)量較小。蜜罐只收集那些對(duì)它進(jìn)行訪(fǎng)問(wèn)的數(shù)據(jù)。在同樣的條件下，NIDS可能會(huì)記錄成千上萬(wàn)條報(bào)警信息，而蜜罐卻只有幾百條信息。這就使得蜜罐收集信息更容易，分析起來(lái)也更為方便。減少誤報(bào)率。蜜罐能顯著減少誤報(bào)率。任何對(duì)蜜罐的訪(fǎng)問(wèn)都是未授權(quán)、非法的，因此蜜罐檢測(cè)攻擊非常有效，能夠大大減少甚至避免錯(cuò)誤的報(bào)警信息。捕獲漏報(bào)。蜜罐可以很容易地鑒別、捕獲針對(duì)它的攻擊行為。由于針對(duì)蜜罐的任何操作都不是正常的，這樣就使得任何以前沒(méi)有出現(xiàn)過(guò)的攻擊行為很容易暴露。資源最小化。蜜罐需要的資源很少，即使工作在一個(gè)大型網(wǎng)絡(luò)環(huán)境中也是如此。Honeynet的概念是由Honeypot發(fā)展起來(lái)的。起初人們?yōu)榱搜芯亢诳偷娜肭中袨?，在網(wǎng)絡(luò)上放置了一些專(zhuān)門(mén)的計(jì)算機(jī)，并在上面運(yùn)行專(zhuān)用的模擬軟件，使得在外界看來(lái)這些計(jì)算機(jī)就是網(wǎng)絡(luò)上運(yùn)行某些操作系統(tǒng)的主機(jī)。把這些計(jì)算機(jī)放在網(wǎng)絡(luò)上，并為之設(shè)置較低的安全防護(hù)等級(jí)，使入侵者可以比較容易地進(jìn)入系統(tǒng)。入侵者進(jìn)入系統(tǒng)后一切行為都在系統(tǒng)軟件的監(jiān)控和記錄之下，通過(guò)系統(tǒng)軟件收集描述入侵者行為的數(shù)據(jù)，對(duì)入侵者的行為進(jìn)行分析。2.蜜網(wǎng)HoneyNet

(1)蜜網(wǎng)與蜜罐的異同一個(gè)蜜網(wǎng)是一個(gè)網(wǎng)絡(luò)系統(tǒng)，而并非某臺(tái)主機(jī)。這一網(wǎng)絡(luò)系統(tǒng)是隱藏在防火墻后的，所有進(jìn)出的數(shù)據(jù)都受到關(guān)注、捕獲及控制。這些被捕獲的數(shù)據(jù)可以幫助我們分析入侵者所使用的工具、方法及動(dòng)機(jī)。蜜網(wǎng)中的所有系統(tǒng)都是標(biāo)準(zhǔn)的機(jī)器，上面運(yùn)行的都是真實(shí)完整的操作系統(tǒng)及應(yīng)程序，不需要刻意地模擬某種環(huán)境或者故意使系統(tǒng)不安全。蜜罐是通過(guò)把系統(tǒng)的脆弱性暴露給入侵者或故意使用一些具有誘惑性的假信息來(lái)誘騙人侵者，這樣雖然可以對(duì)入侵者進(jìn)行跟蹤，但也引來(lái)了更多的潛在入侵者。更進(jìn)一步，可以在實(shí)際的系統(tǒng)中運(yùn)行入侵檢測(cè)系統(tǒng)，當(dāng)檢測(cè)到入侵行為時(shí)，才能更有針對(duì)性地進(jìn)行誘騙，從而更好地保護(hù)自己。(2)蜜網(wǎng)的原型系統(tǒng)將防火墻、IDS、二層網(wǎng)關(guān)和Honeynet網(wǎng)有機(jī)地結(jié)合起來(lái)，設(shè)計(jì)了一個(gè)Honeynet網(wǎng)的原型系統(tǒng)。網(wǎng)關(guān)有A、B、C三個(gè)網(wǎng)絡(luò)接口。A接口用于和外部防火墻相連，接收重定向進(jìn)來(lái)的屬于可疑或真正入侵的網(wǎng)絡(luò)連接；B接口用于Honeynet內(nèi)部管理以及遠(yuǎn)程日志等功能；C接口用于和Honeypot主機(jī)相連，進(jìn)行基于網(wǎng)絡(luò)的入侵檢測(cè)，實(shí)時(shí)記錄Honeynet系統(tǒng)中的入侵行為。網(wǎng)橋上可以根據(jù)需要運(yùn)行網(wǎng)絡(luò)流量仿真軟件，通過(guò)仿真流量來(lái)麻痹入侵者。路由器、外部防火墻和二層網(wǎng)關(guān)為Honeynet

提供了較高的安全保障。四、惡意軟件檢測(cè)1.計(jì)算機(jī)病毒檢測(cè)計(jì)算機(jī)病毒是一種人為制造的、能夠進(jìn)行自我復(fù)制的、具有對(duì)計(jì)算機(jī)資源的破壞作用的一組程序或指令的集合。計(jì)算機(jī)病毒把自身附著在各種類(lèi)型的文件上或寄生在存儲(chǔ)媒介中，能對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)進(jìn)行各種破壞，同時(shí)有獨(dú)特的復(fù)制能力和傳染性，能夠自我復(fù)制和傳染。計(jì)算機(jī)病毒種類(lèi)繁多、特征各異。目前典型的病毒檢測(cè)方法包括：(1)直接檢查法感染病毒的計(jì)算機(jī)系統(tǒng)內(nèi)部會(huì)發(fā)生某些變化，并在一定的條件下表現(xiàn)出來(lái)，因而可以通過(guò)直接觀察法來(lái)判斷系統(tǒng)是否感染病毒。(2)特征代碼法特征代碼法是檢測(cè)已知病毒的最簡(jiǎn)單、開(kāi)銷(xiāo)最小的方法。特征代碼法的實(shí)現(xiàn)步驟如下：采集已知病毒樣本，依據(jù)如下原則抽取特征代碼：抽取的代碼比較特殊，不大可能與普通正常程序代碼吻合。抽取的代碼要有適當(dāng)長(zhǎng)度，一方面維持特征代碼的唯一性，另一方面盡量使特征代碼長(zhǎng)度短些，以減少空間與時(shí)間開(kāi)銷(xiāo)。特征代碼法的優(yōu)點(diǎn)是：檢測(cè)準(zhǔn)確快速、可識(shí)別病毒的名稱(chēng)、誤報(bào)警率低、依據(jù)檢測(cè)結(jié)果，可做解毒處理；特征代碼法的缺點(diǎn)是：不能檢測(cè)未知病毒、搜集已知病毒的特征代碼，費(fèi)用開(kāi)銷(xiāo)大、在網(wǎng)絡(luò)上效率低（在網(wǎng)絡(luò)服務(wù)器上，因長(zhǎng)時(shí)間檢索會(huì)使整個(gè)網(wǎng)絡(luò)性能變壞）。(3)校驗(yàn)和法將正常文件的內(nèi)容，計(jì)算其校驗(yàn)和，將該校驗(yàn)和寫(xiě)入文件中或?qū)懭雱e的文件中保存。在文件使用過(guò)程中，定期地或每次使用文件前，檢查文件現(xiàn)在內(nèi)容算出的校驗(yàn)和與原來(lái)保存的校驗(yàn)和是否一致，因而可以發(fā)現(xiàn)文件是否感染。病毒感染的確會(huì)引起文件內(nèi)容變化，但是校驗(yàn)和法對(duì)文件內(nèi)容的變化太敏感，又不能區(qū)分正常程序引起的變動(dòng)，而頻繁報(bào)警。這種方法遇到軟件版本更新、口令變更、運(yùn)行參數(shù)修改時(shí)，校驗(yàn)和法都會(huì)誤報(bào)警；校驗(yàn)和法對(duì)隱蔽性病毒無(wú)效。隱蔽性病毒進(jìn)駐內(nèi)存后，會(huì)自動(dòng)剝?nèi)ト径境绦蛑械牟《敬a，使校驗(yàn)和法受騙，對(duì)一個(gè)有毒文件算出正常校驗(yàn)和。運(yùn)用校驗(yàn)和法查病毒采用三種方式：在檢測(cè)病毒工具中納入校驗(yàn)和法、在應(yīng)用程序中放入校驗(yàn)和法自我檢查功能、將校驗(yàn)和檢查程序常駐內(nèi)存實(shí)時(shí)檢查待運(yùn)行的應(yīng)用程序。校驗(yàn)和法的優(yōu)點(diǎn)：方法簡(jiǎn)單且能發(fā)現(xiàn)未知病毒，即使被查文件有細(xì)微變化，也能被發(fā)現(xiàn)。校驗(yàn)和法的缺點(diǎn)：需發(fā)布通行記錄正常態(tài)的校驗(yàn)和、會(huì)誤報(bào)警、不能識(shí)別病毒名稱(chēng)、不能處理隱蔽型病毒等。(4) 行為監(jiān)測(cè)法利用病毒的特有行為特征性來(lái)監(jiān)測(cè)病毒的方法，稱(chēng)為行為監(jiān)測(cè)法。通過(guò)對(duì)病毒多年的觀察、研究，有一些行為是病毒的共同行為，而且比較特殊。在正常程序中，這些行為比較罕見(jiàn)。當(dāng)程序運(yùn)行時(shí)，監(jiān)視其行為，如果發(fā)現(xiàn)了病毒行為，立即報(bào)警。行為監(jiān)測(cè)法的優(yōu)點(diǎn)：可發(fā)現(xiàn)未知病毒、可相當(dāng)準(zhǔn)確地預(yù)報(bào)未知的多數(shù)病毒。行為監(jiān)測(cè)法的缺點(diǎn)：可能誤報(bào)警、不能識(shí)別病毒名稱(chēng)、實(shí)現(xiàn)時(shí)有一定難度。(5) 軟件模擬法多態(tài)性病毒每次感染都變化其病毒密碼，對(duì)付這種病毒，特征代碼法失效。因?yàn)槎鄳B(tài)性病毒代碼實(shí)施密碼化，而且每次所用密鑰不同，把染毒的病毒代碼相互比較，也無(wú)法找出相同的可能做為特征的穩(wěn)定代碼。雖然行為檢測(cè)法可以檢測(cè)多態(tài)性病毒，但是在檢測(cè)出病毒后，因?yàn)椴恢《镜姆N類(lèi)，難于做消毒處理。為了檢測(cè)多態(tài)性病毒，可應(yīng)用新的檢測(cè)方法――軟件模擬法，即用軟件方法來(lái)模擬和分析程序的運(yùn)行。2.網(wǎng)絡(luò)蠕蟲(chóng)檢測(cè)目前，網(wǎng)絡(luò)蠕蟲(chóng)已經(jīng)成為計(jì)算機(jī)網(wǎng)絡(luò)的最大威脅。網(wǎng)絡(luò)蠕蟲(chóng)在傳播過(guò)程中具有與黑客攻擊相似的網(wǎng)絡(luò)行為，網(wǎng)絡(luò)蠕蟲(chóng)檢測(cè)技術(shù)在采用入侵檢測(cè)技術(shù)的同時(shí)，還需要結(jié)合網(wǎng)絡(luò)蠕蟲(chóng)自身及其傳播具有的特點(diǎn)，綜合應(yīng)用多種技術(shù)，包括網(wǎng)絡(luò)蠕蟲(chóng)檢測(cè)與預(yù)警、網(wǎng)絡(luò)蠕蟲(chóng)傳播抑制、網(wǎng)絡(luò)蠕蟲(chóng)應(yīng)對(duì)等。網(wǎng)絡(luò)蠕蟲(chóng)檢測(cè)系統(tǒng)(NWDS)通常部署在一個(gè)網(wǎng)絡(luò)的出口處(如圖所示)，可以實(shí)時(shí)捕獲網(wǎng)絡(luò)中的所有流經(jīng)的網(wǎng)絡(luò)數(shù)據(jù)包，并對(duì)這些數(shù)據(jù)進(jìn)行檢測(cè)。檢測(cè)機(jī)上主要運(yùn)行檢測(cè)端程序，包括了網(wǎng)絡(luò)數(shù)據(jù)捕獲模塊、網(wǎng)絡(luò)蠕蟲(chóng)檢測(cè)模塊、通訊模塊等;管理機(jī)運(yùn)行監(jiān)控管理終端程序，提供友好的用戶(hù)界面:數(shù)據(jù)庫(kù)系統(tǒng)主要用于保存各種信息，包括系統(tǒng)參數(shù)、檢測(cè)策略、報(bào)警記錄等。（1）檢測(cè)機(jī)檢測(cè)機(jī)上主要涉及網(wǎng)絡(luò)數(shù)據(jù)捕獲模塊、網(wǎng)絡(luò)蠕蟲(chóng)檢測(cè)模塊、通信模塊。網(wǎng)絡(luò)數(shù)據(jù)捕捉模塊：用于從網(wǎng)絡(luò)中實(shí)時(shí)捕獲網(wǎng)絡(luò)數(shù)據(jù)包，并對(duì)這些數(shù)據(jù)進(jìn)行預(yù)處理，形成能夠提交給網(wǎng)絡(luò)數(shù)據(jù)檢測(cè)模塊的統(tǒng)計(jì)信息。通信模塊:用于實(shí)現(xiàn)網(wǎng)絡(luò)蠕蟲(chóng)檢測(cè)模塊與監(jiān)控管理模塊、數(shù)據(jù)庫(kù)系統(tǒng)之間的通信，包括監(jiān)控管理程序發(fā)送各種控制信息到檢測(cè)機(jī)、網(wǎng)絡(luò)蠕蟲(chóng)檢測(cè)模塊產(chǎn)生的報(bào)警信息傳遞給數(shù)據(jù)庫(kù)系統(tǒng)等。網(wǎng)絡(luò)蠕蟲(chóng)檢測(cè)模塊：實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)數(shù)據(jù)捕獲模塊提交的網(wǎng)絡(luò)數(shù)據(jù)信息進(jìn)行檢測(cè)，并生成報(bào)警信息。(2)監(jiān)控管理機(jī)監(jiān)控管理機(jī)主要運(yùn)行監(jiān)控管理終端程序，提供一個(gè)友好的人機(jī)交互界面。網(wǎng)絡(luò)管理員可以通過(guò)監(jiān)控管理終端管理檢測(cè)機(jī)和數(shù)據(jù)庫(kù)，并根據(jù)實(shí)際網(wǎng)絡(luò)使用情況實(shí)時(shí)調(diào)整網(wǎng)絡(luò)蠕蟲(chóng)檢測(cè)策略。其他終端用戶(hù)可以根據(jù)各自的權(quán)限查看網(wǎng)絡(luò)蠕蟲(chóng)報(bào)警情況，并生成相應(yīng)的報(bào)告。監(jiān)控管理機(jī)由5個(gè)功能模塊組成:①連接檢測(cè)端模塊。通過(guò)套接字與檢測(cè)端程序建立連接，與指定檢測(cè)機(jī)建立通信;②策略配置模塊?？梢宰層脩?hù)根據(jù)實(shí)際網(wǎng)絡(luò)環(huán)境和檢測(cè)情況對(duì)檢測(cè)策略進(jìn)行修改，更新數(shù)據(jù)庫(kù)中的策略配置表數(shù)據(jù)并通知檢測(cè)端;③系統(tǒng)參數(shù)配置模塊。可以讓用戶(hù)根據(jù)實(shí)際網(wǎng)絡(luò)情況對(duì)檢測(cè)機(jī)的系統(tǒng)參數(shù)進(jìn)行修改;④實(shí)時(shí)報(bào)警模塊。通過(guò)數(shù)據(jù)庫(kù)連接模塊定時(shí)從數(shù)據(jù)庫(kù)中提取最新的報(bào)警記錄信息，并通過(guò)用戶(hù)界面進(jìn)行顯示;⑤報(bào)警查詢(xún)模塊。允許用戶(hù)輸入查詢(xún)條件，從數(shù)據(jù)庫(kù)中檢索符合條件的報(bào)警記錄，并以列表形式顯示。網(wǎng)絡(luò)管理員和其他用戶(hù)通過(guò)監(jiān)控管理機(jī)進(jìn)行系統(tǒng)應(yīng)用和維護(hù)。(3)數(shù)據(jù)庫(kù)系統(tǒng)數(shù)據(jù)庫(kù)系統(tǒng)主要用于存儲(chǔ)各種信息，包括系統(tǒng)參數(shù)信息、檢測(cè)策略、報(bào)警記錄統(tǒng)性能情況等。關(guān)于入侵檢測(cè)的說(shuō)法正確的是（）不僅對(duì)外部入侵進(jìn)行檢測(cè)還可以檢測(cè)內(nèi)部權(quán)限濫用常用的有異常檢測(cè)技術(shù)和誤用檢測(cè)技術(shù)是一種主動(dòng)防御技術(shù)可以對(duì)網(wǎng)絡(luò)和主機(jī)實(shí)時(shí)監(jiān)測(cè)ABCD提交多選題10分屬于異常檢測(cè)的是（）基于統(tǒng)計(jì)的異常檢測(cè)基于數(shù)據(jù)挖掘的異常檢測(cè)基于神經(jīng)網(wǎng)絡(luò)的異常檢測(cè)基于免疫系統(tǒng)的異常檢測(cè)ABCD提交多選題10分目的在于建立正常使用模式以及利用這些模式對(duì)當(dāng)前的系統(tǒng)或用戶(hù)行為進(jìn)行比較，從而判斷出與異常模式的偏離程度的異常檢測(cè)技術(shù)是（）基于統(tǒng)計(jì)的異常檢測(cè)基于數(shù)據(jù)挖掘的異常檢測(cè)基于神經(jīng)網(wǎng)絡(luò)的異常檢測(cè)基于免疫系統(tǒng)的異常檢測(cè)ABCD提交單選題10分入侵檢測(cè)系統(tǒng)的核心是（）數(shù)據(jù)收集數(shù)據(jù)預(yù)處理入侵檢測(cè)分析響應(yīng)處理ABCD提交單選題10分關(guān)于蜜罐和蜜網(wǎng)說(shuō)法正確的是()蜜罐是一種誘騙技術(shù)蜜罐的設(shè)計(jì)需要高度的偽裝蜜網(wǎng)系統(tǒng)中都是標(biāo)準(zhǔn)的機(jī)器，