2022年网络安全专题 .pdf

第 6 章网络安全专题项目一典型防范措施预备知识1.防火墙知识；2.常用杀毒软件知识；3.数学知识。技能目标1.学习防火墙、入侵检测、数据加密、一次性口令身份证认证技术的概念；2.掌握防火墙操作；3.掌握入侵检测操作；4.会对数据进行加密。项目案例随着互联网的不断发展，有很多中小企业网络瘫痪，信息交流完全中断；计算机无法使用，成为一堆高科技的废铁；日常办公回到手工时代，严重的甚至正常运作被迫中止那么，如何解决以上问题呢？小孟想，如果能从互连网入口处来对网络进行监控，御敌于内网之外，岂不更好！于是他就请教张主任，张主任带领小孟参观了信息中心，小孟看到了好多先进的设备，大开眼界！于是张主任就防火墙、入侵检测系统、数据加密、一次性口令身份证认证技术等概念进行了进一步的阐述。6.1 防火墙技术随着互联网应用领域迅速扩大，应用人员不断增多，随之而来的安全问题日益突出。特别是越来越多的内部网与互联网互联，更为非法侵入他人系统、窃取他人机密、破坏他人系统等恶性行为提供了可能，如果不采取必要的安全措施，后果将不堪设想。为此人们研发了许多安全技术和设备，防火墙技术就是近年来提出并推广的一项网络安全技术。6.1.1 防火墙基本知识1.防火墙概念防火墙的本义原是指：当房屋还处于木制结构的时侯，人们将石块堆砌在房屋周围用来防止火灾的发生，这种墙被称之为防火墙。防火墙是一种形象的说法，其实它是一种高级访问控制设备，是置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，它有效地监控了内部网和 Internet 之间的任何活动，保证了内部网络的安全。如图6-1-1 所示。名师资料总结-精品资料欢迎下载-名师精心整理-第 1 页，共 32 页 -Email服务器Web 服务器Internet内部客户机Intranet数据库服务器Web服务器外部客户机外部客户机防火墙图 6-1-1 防火墙逻辑位置结构示意图2.防火墙的主要功能防火墙是内部网与外部网之间的一个保护屏障，是内、外网之间所有信息的必经之地，它通过检测、限制、更改所有流入流出的数据流，保护内部网络免受非法入侵。一般情况下，防火墙应具备以下功能。(1)控制不安全的服务防火墙可以过滤不安全服务，降低内网受到非法攻击的风险，只有经过授权的协议和服务才能通过防火墙访问内网，因此安装防火墙能够大大提高网络的安全程度。(2)控制访问站点防火墙可以提供对站点的访问控制，限定允许外部网络访问的主机。大部分内网仅允许外网访问电子邮件服务器、文件传输服务器和WWW 服务器，其他主机则靠防火墙封闭。(3)集中式安全保护使用了防火墙后，所有或大多数需要修改的软件和附加的安全控制软件都可以放在防火墙上，对于一次性密码口令系统或其他身份验证的软件，放在防火墙上往往比放在主机系统上更好。(4)增强私有资源的保密性对私有信息资源加强保护十分必要，因为，越是被认为平常的信息越有可能被攻击者利用，成为攻击的线索。使用防火墙后，站点可以封锁控制某些显示用户信息的服务，防止服务信息泄露。(5)网络记录功能如果将防火墙配置为与内部网连接都需要经过安全系统，那么防火墙会记录每次的往返访问，网管人员就可以通过日志对一些可能的攻击行为进行分析。防火墙还能提供信息流量、网络使用率等有价值的统计数字。3.防火墙的分类按产品形式防火墙大致可以分为两类：硬件防火墙和软件防火墙。硬件防火墙用途广泛，但价格偏高；软件防火墙功能单一，价格较低。根据技术特征防火墙可分为：包过滤、网络地址转换、代理服务、状态监视技术防火墙名师资料总结-精品资料欢迎下载-名师精心整理-第 2 页，共 32 页 -和混合型防火墙。从用户的角度看防火墙可以分为企业防火墙和个人防火墙两种。一般情况下，企业防火墙以硬件防火墙为主，辅以软件防火墙进行检测，个人防火墙属于软件防火墙。6.1.2防火墙技术1.包过滤技术包过滤技术是在网络层对数据包实施有选择的通过。根据流经防火墙的数据包头信息，决定是否允许该数据包通过。创建包过滤规则时，应考虑以下问题：(1)打算提供何种网络服务，并以什么方向提供这些服务？(2)需要限制任何内部主机与因特网连接的能力吗？(3)因特网上是否有可信任的主机，可以某种形式访问内部网络吗？数据包过滤一般要检查网络层的IP 头和传输层的头，具体包括以下内容：(1)IP 源地址(2)IP 目标地址(3)协议类型（TCP 包、UDP 包和 ICMP 包）(4)TCP 或 UDP 包的目的端口(5)TCP 或 UDP 包的源端口(6)ICMP 消息类型(7)TCP 包头的 ACK 位(8)TCP 包的序列号、IP 校验和等包过滤技术的优点是：速度快，性能高；对用户透明。缺点是：维护比较困难(需要对TCP/IP 了解)；安全性低（IP 欺骗等）；不提供有用的日志，或根本就不提供；不防范数据驱动型攻击；不能根据状态信息进行控制；不能处理网络层以上的信息；无法对网络上流动的信息提供全面的控制。2.网络地址转换技术目前合法的IP 地址已经远远不够使用，许多公司内部使用的都是内部的IP 地址，无法直接与外界相连。防火墙能够将内部使用的IP 地址与对外真正的IP 做转换，使内部的IP无需变动，也能够与外界相通。如图6-1-2 所示。名师资料总结-精品资料欢迎下载-名师精心整理-第 3 页，共 32 页 -Internet192.168.200.1192.168.200.2192.168.200.100140.133.1.1192.168.200.200WWWPCPCServer图 6-1-2 NAT(Network Address Translation)示意图防火墙提供一对一及多对一的地址转换，可保护及隐藏内部网络资源并减少由于架设网络防火墙所引起的IP 地址变动，方便网络管理，并可以解决IP 地址不足的问题。网络地址转换器就是在防火墙上装一个合法IP 地址集。当内部某一用户要访问Internet时，防火墙动态地从地址集中选一个未分配的地址分配给该用户；同时，对于内部的某些服务器如 Web 服务器，网络地址转换器允许为其分配一个固定的合法地址。这样做的好处是：缓解 IP 地址匮乏问题；对外隐藏了内部主机的IP 地址，提高了安全性。3.代理服务技术代理服务的条件是具有访问因特网能力的主机才可以作为那些无权访问因特网的主机的代理，这样使得一些不能访问因特网的主机通过代理服务也可以完成访问因特网的工作。代理服务是运行在防火墙主机上的专门的应用程序或者服务器程序。不允许通信直接经过外部网和内部网，将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”，由两个代理服务器上的“链接”来实现。外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。如图6-1-3 所示。用户外部服务器代理服务器感觉上连接实际上连接图 6-1-3 代理实现的基本过程代理服务可分为应用级代理与电路级代理。应用级代理是已知代理服务向哪一种应用服务提供的代理，它在应用协议中理解并解释命令。应用级代理的优点为它能解释应用协议从名师资料总结-精品资料欢迎下载-名师精心整理-第 4 页，共 32 页 -而获得更多的信息，缺点为只适用于单一协议。电路级代理是在客户和服务器之间不解释应用协议即建立回路。电路级代理的优点在于它能对各种不同的协议提供服务，缺点在于它对因代理而发生的情况几乎不加控制。代理服务具有以下优点：(1)代理易于配置。代理因为是一个软件，所以它比过滤路由器容易配置，配置界面十分友好。如果代理实现得好，对配置协议要求较低，从而避免了配置错误。(2)代理能生成各项记录。因代理在应用层检查各项数据，所以可以按一定准则让代理生成各项日志、记录。这些日志、记录对于流量分析、安全检验十分重要和宝贵。(3)代理能灵活、完全地控制进出信息。通过采取一定的措施、按照一定的规则，可以借助代理实现一整套的安全策略，控制进出的信息。(4)代理能过滤数据内容。可以把一些过滤规则应用于代理，让它在应用层实现过滤功能。(5)代理能为用户提供透明的加密机制。用户通过代理进出数据，可以让代理完成加密、解密的功能，从而方便用户，确保数据的机密性。这一点在虚拟专用网VPN 中特别重要。代理可以广泛地用于企业外部网中，提供较高安全性的数据通信。代理服务的缺点：(1)代理速度比路由器慢。路由器只是简单查看TCP/IP 报头，检查特定的几个域，不作详细分析、记录。而代理工作于应用层，要检查数据包的内容，按特定的应用协议对数据包内容进行审查、扫描，并进行代理（转发请求或响应），故其速度比路由器慢。(2)代理对用户不透明。许多代理要求客户端作相应改动或定制，这给用户增加了不透明度。为内部网络的每一台主机安装和配置特定的客户端软件既耗费时间，又容易出错。(3)对于每项服务，代理可能要求不同的服务器。可能需要为每项协议设置一个不同的代理服务器，挑选、安装和配置所有这些不同的服务器是一项较大的工作。(4)代理服务通常要求对客户或过程进行限制。除了一些为代理而设的服务，代理服务器要求对客户或过程进行限制，每一种限制都有不足之处，人们无法按他们自己的步骤工作。由于这些限制，代理应用就不能像非代理应用运行得那样好，相比之下要缺少一些灵活性。(5)代理服务受协议弱点的限制。每个应用层协议，都或多或少存在一些安全问题，对于一个代理服务器来说，要彻底避免这些安全隐患几乎是不可能的，除非关掉这些服务。(6)代理不能改进底层协议的安全性。因为代理工作于TCP/IP 之上，属于应用层，所以它不能改善底层通信协议的安全性。4.状态检测技术状态检测原理：对于新建立的应用连接，状态检测型防火墙先检查预先设置的安全规则，允许符合规则的连接通过，并记录下该连接的相关信息，生成状态表。对该连接的后续数据包，只要是符合状态表，就可以通过。监测引擎是一个在防火墙上执行网络安全策略的软件模块。监测引擎采用抽取有关数据的方法对网络通信的各层（网络层之上）实施监测，抽取状态信息，并动态地保存起来作为以后执行安全策略的参考。当用户访问请求到达防火墙时，监测引擎要抽取有关数据进行分析，结合网络配置和安全规定作出接纳、拒绝、报警等处理动作。如图6-1-4 所示。状态检测的优点：(1)提供了完整的对传输层的控制能力；(2)使防火墙性能得到较大的提高，特别是大流量的处理能力；(3)而且，它根据从所有应用层中提取的与状态相关信息来做出安全决策，使得安全性也得到进一步的提高。状态检测的缺点：名师资料总结-精品资料欢迎下载-名师精心整理-第 5 页，共 32 页 -(1)会降低网络速度；(2)配置比较复杂。应用层表示层会话层传输层物理应用层表示层会话层传输层网络层数据链路层层网络层数据链路层物理层网络层数据链路层物理层应用层表示层会话层传输层监测引擎图 6-1-4 状态检测示意图6.1.3防火墙体系结构目前，防火墙的体系结构一般有以下几种：双重宿主主机结构被屏蔽主机结构被屏蔽子网结构1.双重宿主主机结构双重宿主主机体系结构是围绕双重宿主主机构筑的。双重宿主主机至少有两个网络接口，它位于内部网络和外部网络之间，这样的主机可以充当与这些接口相连的网络之间的路由器，它能从一个网络接收IP 数据包并将之发往另一网络。在这种结构下，外部网络与内部网络之间不能直接通信，它们之间的通信必须经过双重宿主主机的过滤和控制。这种结构一般用一台装有两块网卡的堡垒主机做防火墙。两块网卡各自与内部网络和外部网络相连。堡垒主机上运行了防火墙软件，可以转发应用程序、提供服务等。如图6-1-5所示。名师资料总结-精品资料欢迎下载-名师精心整理-第 6 页，共 32 页 -Internet防火墙双重宿主主机内部网络图 6-1-5 双重宿主主机体系结构双宿主机防火墙优于屏蔽路由器之处是：堡垒主机的系统软件可用于维护系统日志，这对于日后的安全检查很有用。但这并不能帮助网络管理者确认内网中哪些主机可能已被黑客入侵。双宿主机防火墙的一个致命弱点是：一旦入侵者侵入堡垒主机并使其具有路由功能，则任何外网用户均可以随便访问内网。堡垒主机是用户的网络上最容易受侵袭的机器，要采取各种措施来保护它。设计时有两条基本原则：第一，堡垒主机要尽可能简单，保留最少的服务，关闭路由功能。第二，随时做好准备，修复受损害的堡垒主机。2.屏蔽主机结构屏蔽主机结构(Screened Host Gateway)，又称主机过滤结构。屏蔽主机结构易于实现也很安全，因此应用广泛。例如，一个单独的屏蔽路由器连接外部网络，同时一个堡垒主机安装在内部网络上，如图6-1-6 所示。通常在路由器上设立过滤规则，并使这个堡垒主机成为从外部网络唯一可直接到达的主机，确保内部网络不受未授权外部用户的攻击。在屏蔽路由器上的数据包过滤是按这样一种方法设置的：堡垒主机是外网主机连接到内部网络的桥梁，并且仅有某些确定类型的连接被允许。任何外部网络如果要试图访问内部网络，必须先连接到这台堡垒主机上。因此，堡垒主机需要拥有高等级的安全。在屏蔽的路由器中数据包过滤可以按下列之一配置：(1)允许其他的内部主机为了某些服务与外网主机连接；名师资料总结-精品资料欢迎下载-名师精心整理-第 7 页，共 32 页 -防火墙堡垒主机因特网图 6-1-6 屏蔽主机体系结构(2)不允许来自内部主机的所有连接。用户可以针对不同的服务混合使用这些手段：某些服务可以被允许直接经由数据包过滤，而其他服务可以被允许仅仅间接地经过代理。这完全取决于用户实行的安全策略。因为这种结构允许数据包从因特网向内部网络传输，所以，它看起来要比没有外部数据包到达内部网络的双重宿主主机结构更冒险。但实际上双重宿主主机结构在防备数据包从外部网络进入内部网络也容易产生失败，多数情况下，屏蔽主机结构比双重宿主主机结构具有更好的安全性和可用性。屏蔽主机结构的缺点主要是：如果侵袭者有办法侵入堡垒主机，而且在堡垒主机和其他内部主机之间没有任何安全保护措施的情况下，整个网络对侵袭者是开放的。3.屏蔽子网结构屏蔽子网结构(Screened Subnet)，也称为子网过滤结构。屏蔽子网体系结构在本质上与屏蔽主机体系结构一样，但添加了额外的一层保护体系 周边网络。堡垒主机位于周边网络上，周边网络和内部网络被内部路由器分开。堡垒主机是用户网络上最容易受侵袭的机器，通过在周边网络上隔离堡垒主机，能减少在堡垒主机被侵入的影响。周边网络是一个防护层，在其上可放置一些信息服务器，它们是牺牲主机，可能会受到攻击，因此又被称为非军事区（DMZ）。即使堡垒主机被入侵者控制，周边网络仍可消除对内部网的侦听。如图6-1-7 所示。屏蔽子网结构由以下部分构成：(1)周边网络：周边网络是在外部网络与内部网络之间附加的网络。如果侵袭者成功地侵入用户防火墙的外层领域，周边网络在侵袭者与内部用户之间提供一个附加的保护层。名师资料总结-精品资料欢迎下载-名师精心整理-第 8 页，共 32 页 -防火墙Internet周边网络内部网络外部路由器堡垒主机内部路由器图 6-1-7 屏蔽子网体系结构在许多网络拓扑结构（如以太网、令牌环和FDDI）中，利用网络上的任何一台机器都可以查看这个网络上的通信。探听者可以通过查看那些在Telnet、FTP 以及 Rlogin 会话期间使用过的口令，成功地探测出用户口令。即使口令没被攻破，探听者仍然能偷看敏感文件、电子邮件等。对于周边网络，如果某人侵入周边网上的堡垒主机，他仅能探听到周边网上的通信。而在两台内部主机之间的通信不能越过周边网，所以，内部的通信仍是安全的。(2)堡垒主机：在屏蔽子网结构中，用户把堡垒主机连接到周边网，这台主机便是接受外部连接请求的主要入口。例如：对于进来的电子邮件(SMTP)会话，传送电子邮件到站点。对于进来的FTP 连接，连接到站点的匿名FTP 服务器。另一方面，其出站服务（从内部的客户端到在Internet 上的服务器）按如下任一方法处理：在外部和内部的路由器上设置数据包过滤来允许内部的客户端直接访问外部的服务器。设置代理服务器在堡垒主机上运行，允许内部的客户端通过代理服务器间接地访问外部的服务器，但是禁止内部的客户端与外部网络之间直接通信（即拨号入网方式）。(3)内部路由器：内部路由器（也称为阻塞路由器）位于内部网络和周边网络之间，保护内部网络免受来自Inernet 和周边网的侵袭。内部路由器为用户的防火墙执行大部分的数据包过滤工作，允许从内部网到Internet 的有选择的出站服务。内部路由器可以规定在堡垒主机和内部网之间的服务与在Internet 和内部网之间的服务有所不同。限制堡垒主机和内部网之间服务是为了减少来自堡垒主机的侵袭。(4)外部路由器：外部路由器（也称为访问路由器）位于周边网络和Internet 之间，保护周边网和内部网免受来自Internet 的侵袭。包过滤规则在内部路由器和外部路由器上基本一名师资料总结-精品资料欢迎下载-名师精心整理-第 9 页，共 32 页 -样；如果在规则中有允许侵袭者访问的错误，错误就可能出现在两个路由器上。外部路由器能有效阻止从Internet 上伪造源地址进来的任何数据包，这是内部路由器无法完成的任务。6.1.4防火墙的发展过程防火墙的发展经历了以下四个过程：基于路由器的防火墙；用户化的防火墙工具套件；建立在通用操作系统上的防火墙；具有安全操作系统的防火墙。1.第一代：基于路由器的防火墙基于路由器的防火墙也称为包过滤防火墙，其特征是：以访问控制表方式实现分组过滤；过滤的依据是IP 地址、端口号和其它网络特征；只有分组过滤功能，且防火墙与路由器一体。这种防火墙的缺点是：路由协议本身具有安全漏洞；路由器上的分组过滤规则的设置和配置较复杂；攻击者可假冒地址。其本质缺陷是：防火墙的设置会大大降低路由器的性能。2.第二代：用户化的防火墙工具套件这种防火墙的特征是：将过滤功能从路由器中独立出来，并加上审计和告警功能；针对用户需求提供模块化的软件包；安全性提高，价格降低；纯软件产品，实现维护复杂。缺点：配置和维护过程复杂费时；对用户技术要求高；全软件实现，安全性和处理速度均有局限。3.第三代：建立在通用操作系统上的防火墙建立在通用操作系统上的防火墙是近年来在市场上广泛可用的一代产品。特征：包括分组过滤或借用路由器的分组过滤功能；装有专用的代理系统，监控所有协议的数据和指令；保护用户编程空间和用户可配置内核参数的设置；安全性和速度大为提高。实现方式：软件、硬件及软硬结合。存在的问题是：作为基础的操作系统及其内核的安全性无从保证；通用操作系统厂商不会对防火墙的安全性负责。从本质上看，第三代防火墙既要防止来自外部网络的攻击，还要防止来自操作系统漏洞的攻击。用户必须依赖两方面的安全支持：防火墙厂商和操作系统厂商。4.第四代：具有安全操作系统的防火墙防火墙厂商具有操作系统的源代码，并可实现安全内核；对安全内核实现加固处理：即去掉不必要的系统特性，强化安全保护；对每个服务器、子系统都作了安全处理；在功能上包括分组过滤、代理服务，且具有加密与鉴别功能；透明性好，易于使用。5.防火墙的争议和不足(1)使用不便，认为防火墙给人虚假的安全感；(2)对用户不完全透明，可能带来传输延迟、瓶颈及单点失效；(3)不能替代防火墙内的安全措施：不能防范来自内部的攻击；不能防范不通过它的连接；不能防范利用标准协议缺陷进行的攻击；不能有效地防范数据驱动式的攻击；不能阻止被病毒感染的程序或文件的传递；不能防范策略配置不当或错误配置引起的安全威胁；不能防范本身安全漏洞的威胁。6.1.5选购防火墙需考虑的因素名师资料总结-精品资料欢迎下载-名师精心整理-第 10 页，共 32 页 -选购防火墙时应考虑以下因素：(1)防火墙自身的安全性：主要体现在系统自身设计方面。(2)系统的稳定性从权威的测评认证机构获得；实际调查该防火墙的使用量、用户评价；自己试用；厂商实力、研制历史。(3)高性能：从性能指标判断。(4)可靠性：设计的可靠性及冗余度。(5)管理配置方便、简单：从提供的管理配置界面及方法上看。(6)是否可以抵抗拒绝服务攻击。(7)是否可以针对用户身份过滤：目前常用的是一次性口令验证机制,保证用户在登录防火墙时,口令不会在网络上泄露。(8)是否可扩展、可升级。(9)布署方便性：支持透明、路由及混合模式。6.2 入侵检测技术当前广泛使用的网络安全产品多具有被动防御的弱点，对有大量异常网络流量的网络攻击先兆熟视无睹，错过了最佳的防御时机。入侵检测系统是变被动防御为主动防御的安全防护产品，它能对网络的运行状态进行实时监控，及时发现入侵征兆并进行具体的分析，及时干预、阻止攻击行为。6.2.1 入侵检测基本知识1.入侵检测概念入侵：是指对信息系统的未授权访问及（或）未经许可在信息系统中进行操作。这里，应该包括用户对于信息系统的误用。入侵检测：是指对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程。它通过在计算机网络或计算机系统中的若干关键点收集信息并对收集到的信息进行分析，从而判断网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测系统(IDS，Intrusion Detection System)，是完成入侵检测功能的软件、硬件及其组合，是一种能够通过分析系统安全相关数据来检测入侵活动的系统。IDS 是安全体系的一种防范措施，需要更多的智能。是近十余年发展起来的一种监控、预防或抵御系统入侵行为的动态安全技术。是防火墙之后的第二道安全闸门，不仅可以检测来自外部的攻击，同时也可以监控内部用户的非授权行为。名师资料总结-精品资料欢迎下载-名师精心整理-第 11 页，共 32 页 -图 6-2-1 入侵检测系统示意图形象地说，入侵检测系统就是一台网络摄象机，如图6-2-1 所示，能捕获并记录网络上的所有数据；同时它也是智能摄象机，能够分析网络数据并提炼出可疑的、异常的网络数据；它还是X 光摄象机，能穿透一些巧妙的伪装，抓住实际的内容。另外，它还不仅仅只是摄象机，还包括保安员的摄象机。2.入侵检测系统的主要功能入侵检测系统不但可使系统管理员时刻了解网络系统的变更，还能为网络安全策略的制定提供指南。入侵检测系统的功能应达到能根据网络威胁、系统构造和安全需求的改变而改变，在发现入侵时，及时做出响应，包括切断网络连接、记录事件和报警等，同时系统应易于管理、配置和升级。通常入侵检测系统的主要功能有：(1)监测并分析用户和系统的活动；(2)核查系统配置和漏洞；(3)评估系统关键资源和数据文件的完整性；(4)识别已知的攻击行为；(5)统计分析异常行为；(6)对操作系统进行日志管理，并识别违反安全策略的用户活动；(7)针对已发现的攻击行为作出适当的反应，如告警、中止进程等。3.入侵检测系统的主要部件简介信息流收集器：即信息获取子系统，用于收集来自于网络和主机的事件信息，为检测分析提供原始数据；分析引擎：即分析子系统，是入侵检测系统的核心部分，用于对获取的信息进行分析，从而判断出是否有入侵行为发生并检测出具体的攻击手段；用户界面和事件报告：即响应控制子系统，这部分和人交互，在适当的时候发出警报，为用户提供与IDS 交互和操作IDS 的途径；特征数据库：即数据库子系统，存储了一系列已知的可疑或者恶意行为的模式和定义。名师资料总结-精品资料欢迎下载-名师精心整理-第 12 页，共 32 页 -特征数据库关键文件网络信息流分析引擎通信流收集器用户界面报告警报存储器日志文件图 6-2-2 IDS 各个组成部分的逻辑图4.入侵检测性能关键参数(1)误报(false positive)：检测系统在检测时把系统的正常行为判为入侵行为的错误被称为误报；检测系统在检测过程中出现误报的概率称为系统的误报率。(2)漏报(false negative)：检测系统在检测时把某些入侵行为判为正常行为的错误现象称为漏报；检测系统在检测过程中出现漏报的概率称为系统的漏报率。5.入侵检测产品的选购原则目前，入侵检测产品很多，在选购过程中要注意以下基本原则：(1)能检测的攻击数量为多少，是否支持升级，升级是否方便及时。(2)最大可处理流量是多少，是否能满足网络的需要，注意不要产生网络的瓶颈。(3)产品应该不易被攻击者躲避。(4)提供灵活的自定义策略，用户能自定义异常事件。(5)根据需要选择基于百兆网络、基于千兆网络或基于主机的系统。(6)多数产品存在误报和漏报，要注意产品的误报和漏报率。(7)入侵检测系统本身的安全非常重要，必须有自我保护机制，防止成为攻击目标。(8)对网络的负载不能影响正常的网络业务，必须能对数据进行实时分析。(9)系统易于管理和维护。(10)特征库升级与维护的费用。(11)产品要通过国家权威机构的评测。由于用户的实际情况不同，因此用户需根据自己的安全需要综合考虑。6.2.2 入侵检测原理入侵检测的任务就是要在提取的数据中找到入侵痕迹，最简单的方法是将提取数据与入侵检测规则比较，从而发现异常行为。由于入侵行为的变化繁多导致入侵规则复杂化，名师资料总结-精品资料欢迎下载-名师精心整理-第 13 页，共 32 页 -不合理地制定入侵判断规则，不但影响检测系统的检测能力，也会影响系统性能。目前，常用的入侵检测分析方法有异常检测和误用检测。1.异常检测系统审计用户轮廓正常行为入侵超过阀值低于阀值比较图 6-2-3 异常检测模型任何的正常行为都有一定的规律，而入侵和滥用行为与正常的行为有严重的差异，检测网络行为差异可以发现非法的入侵行为和用户滥用行为。这种分析方法的基础是用户行为的规律性和规律性的数据描述，关键是数据分析模块对数据提取模块提取的数据进行分析。现有的解决方法有：统计学方法、预测模式生成法、神经网络方法和基于数据挖掘技术的方法，每种方法都存在一些技术问题，所以真正用于商业产品的不多。异常检测模型（Anomaly Detection)：如图 6-2-3 所示，首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵。异常检测的特点：异常检测系统的效率取决于用户轮廓的完备性和监控的频率；因为不需要对每种入侵行为进行定义，因此能有效检测未知的入侵；系统能针对用户行为的改变进行自我调整和优化，但随着检测模型的逐步精确，异常检测会消耗更多的系统资源。2.误用检测误用检测的前提是预先定义的入侵行为，系统中若出现符合定义规则的行为，便被视为入侵行为。使用某种模式或信号标志表示攻击，进而发现相同攻击的方法可以检测许多甚至全部已知的攻击行为，但是对于未知的攻击行为却无能为力。误用信号标志需要对入侵行为的特征、环境、次序以及完成入侵的事件间的关系进行详细的描述，使误用信号标志不仅可以用于检测入侵行为，也可以用于发现入侵企图。误用检测需要解决的技术问题有：如何全面描述攻击行为的特征以及如何排除干扰行为。解决问题的不同方法衍生出多种基于误用的入侵检测系统类型，如专家系统、模式匹配（特征分析）、按键监视、模型推理、状态转换、Petric 网状态转换等。名师资料总结-精品资料欢迎下载-名师精心整理-第 14 页，共 32 页 -系统审计攻击特征库正常行为入侵匹配不匹配比较图 6-2-4 误用检测模型误用检测模型（Misuse Detection)：如图 6-2-3 所示，收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。如果入侵特征与正常的用户行为匹配，则系统会发生误报；如果没有特征能与某种新的攻击行为匹配，则系统会发生漏报。采用特征匹配，误用模式能明显降低错报率，但漏报率随之增加。攻击特征的细微变化，会使得误用检测无能为力。由异常检测和误用检测的基本原理可以发现它们存在以下差异：(1)异常检测能发现一些未知的入侵行为，误用检测只能发现已知的入侵行为；(2)异常检测根据行为状况判断是否发生入侵，误用检测是通过具体行为判断入侵事件；(3)异常检测的误检率高，误用检测判定具体攻击行为的准确度高；(4)异常检测对具体系统的依赖性相对较小，误用检测系统对具体系统的依赖性强。3.入侵响应入侵响应指发现入侵或攻击行为时，采取措施阻止入侵或攻击行为的继续危害。检测到入侵行为后，可以采取的具体响应技术很多，根据响应行为可分成被动入侵响应技术和主动入侵响应技术两类。被动入侵响应包括记录安全事件、产生报警信息、记录附加日志等，主动入侵响应包括隔离入侵IP、禁止特定端口和服务、隔离系统、跟踪入侵者、断开危险链接、反攻击等。入侵响应的重要原则就是在发现黑客行为后，采取一切可能的措施阻止黑客进一步的侵害行为，响应越及时，危害损失越小。6.2.3 入侵检测系统的分类1按照入侵检测系统的数据来源分类(1)基于主机的入侵检测系统：基于主机的入侵检测系统一般主要使用操作系统的审计跟踪日志作为输入，某些也会主动与主机系统进行交互以获得不存在于系统日志中的信息。其所收集的信息集中在系统调用和应用层审计上，试图从日志判断滥用和入侵事件的线索。(2)基于网络的入侵检测系统：基于网络的入侵检测系统通过在计算机网络中的某些点被动地监听网络上传输的原始流量，对获取的网络数据进行处理，从中提取有用的信息，再通过与已知攻击特征相匹配或与正常网络行为原型相比较来识别攻击事件。(3)采用上述两种数据来源的分布式的入侵检测系统：这种入侵检测系统能够同时分析来自主机系统的实际日志和来自网络的数据流。系统一般为分布式结构，由多个部件组成。名师资料总结-精品资料欢迎下载-名师精心整理-第 15 页，共 32 页 -2按照入侵检测系统采用的检测方法分类(1)基于行为的入侵检测系统：基于行为的入侵检测指根据使用者的行为或资源使用状况来判断是否入侵，而不依赖于具体行为是否出现来检测。这种入侵检测基于统计方法，使用系统或用户的活动轮廓来检测入侵活动。审计系统实时检测用户对系统的使用情况，根据系统内部保存的用户行为概率统计模型进行检测，当发现有可疑的用户行为发生时，保持跟踪并检测、记录该用户的行为。系统要根据每个用户以前的历史行为，生成每个用户的历史行为记录库，当用户改变他们的行为习惯时，这种异常就会被检测出来。(2)基于模型推理的入侵检测系统：基于模型推理的入侵检测根据入侵者在进行入侵时所执行的某些行为程序的特征，建立一种入侵行为模型，根据这种行为模型所代表的入侵意图的行为特征来判断用户执行的操作是否属于入侵行为。当然这种方法也是建立在当前已知的入侵行为的基础之上的，对未知的入侵方法所执行的行为程序的模型识别需要进一步的学习和扩展。(3)采用两者混合检测的入侵检测系统：以上两种方法每一种都不能保证能准确地检测出变化无穷的入侵行为。一种融合以上两种技术的检测方法应运而生，这种入侵检测技术不仅可以利用模型推理的方法针对用户的行为进行判断，而且同时运用了统计方法建立用户的行为统计模型监控用户的异常行为。3按照入侵检测的时间分类(1)实时入侵检测系统：实时入侵检测在网络连接过程中进行，系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断，一旦发现入侵迹象立即断开入侵者与主机的连接，并收集证据和实施数据恢复。这个检测过程是自动的、不断循环进行的。(2)事后入侵检测系统：事后入侵检测由网络管理人员进行，他们具有网络安全的专业知识，根据计算机系统对用户操作所做的历史审计记录判断用户是否具有入侵行为，如果有就断开连接，并记录入侵证据和进行数据恢复。事后入侵检测是管理员定期或不定期进行的，不具有实时性，因此防御入侵的能力不如实时入侵检测系统。6.2.4 入侵检测系统的结构入侵检测系统的结构大体上可分为两种模式：基于主机系统的结构、基于网络系统的结构。1.基于主机的入侵检测系统（HIDS）基于主机的入侵检测系统运行于被检测的主机之上，通过查询、监听当前系统的各种资源的使用运行状态，发现系统资源被非法使用和修改的事件，进行上报和处理。如图6-2-4所示。基于主机的入侵检测系统安装于被保护的主机中，主要分析主机内部活动，占用一定的系统资源。名师资料总结-精品资料欢迎下载-名师精心整理-第 16 页，共 32 页 -图 6-2-5 基于主机的入侵检测系统的示意图HIDS 的优点：能更准确地确定入侵攻击是否成功；监视特定的系统活动；检测到 NIDS 无法检测的攻击；非常适用于加密和交换环境；不需要额外的硬件。HIDS 的不足：实时性较差；隐蔽性较差；占用主机资源；受到宿主操作系统的限制；升级、维护困难。2.基于网络的入侵检测系统(NIDS)基于网络的入侵检测系统通过在共享网段上对通信数据的侦听采集数据，分析可疑现象。这类系统不需要主机提供严格的审计，对主机资源消耗少，并可以提供对网络通用的保护而无需顾及异构主机的不同架构。NIDS 安装于被保护的网段（通常是共享网络）中，采用混杂模式监听，能分析网段中所有的数据包，实时检测和响应。如图6-2-5 所示。名师资料总结-精品资料欢迎下载-名师精心整理-第 17 页，共 32 页 -图 6-2-6 基于网络的入侵检测系统的示意图NIDS 的优点：成本低、隐蔽性好、不影响被保护主机的性能、易维护；攻击者转移证据很困难；实时检测和应答；能够检测未成功的攻击企图；操作系统独立。NIDS 的不足：不适合处理加密数据；防入侵欺骗的能力较差；不适应高速网络环境；非共享网络上如何采集数据亟待解决。入侵检测作为一种积极的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。从网络安全立体纵深、多层次防御的角度出发，入侵检测系统理应受到人们的高度重视，这从国外入侵检测产品市场的蓬勃发展就可以看出。在国内，随着上网的关键部门、关键业务越来越多，迫切需要具有自主版权的入侵检测产品。但现状是入侵检测仅仅停留在研究和实验样品（缺乏升级和服务）阶段，或者是防火墙中集成较为初级的入侵检测模块。可见，入侵检测产品仍具有较大的发展空间；从技术途径来讲，除了完善常规的、传统的技术（模式识别和完整性检测）外，应重点加强统计分析的相关技术研究。目前，国际顶尖的入侵检测系统IDS 主要以模式发现技术为主，并结合异常发现技术。IDS 一般从实现方式上分为两种：基于主机的IDS 和基于网络的IDS。一个完备的入侵检测系统IDS 一定是基于主机和基于网络两种方式兼备的分布系统。另外，能够识别的入侵手段的数量多少，最新入侵手段的更新是否及时也是评价入侵检测系统的关键指标。6.3 数据加密技术数据加密技术主要分为数据传输加密和数据存储加密。数据传输加密技术主要是对传输名师资料总结-精品资料欢迎下载-名师精心整理-第 18 页，共 32 页 -中的数据流进行加密，常用的有链路加密、节点加密和端到端加密三种方式。信息=报头（信封）+报文（书信）(1)链路加密：不但要加密报文，还要加密报头。要传输到下一个节点必须解密再加密，直到到达目的节点。(2)节点加密：在传输中的节点设置一个加、解密保护装置完成密钥转换。除保护装置外不出现明文。(3)端到端加密：在发送、接收端才加、解密，中间节点不解密。6.3.1 数据加密算法：数据加密算法经历了以下三个阶段。(1)古典密码：包括替代加密、置换加密。(2)对称密钥密码：包括DES 和 AES。(3)公开密钥密码：包括RSA、背包密码、McEliece 密码、Rabin、椭圆曲线、EIGamal D_H 等。目前在数据通信中使用最普遍的算法有DES 算法、RSA 算法和 PGP 算法等。(1)DES 加密算法：DES（数据加密标准）是一种对二元数据进行加密的算法。数据分组长度为64 位，密文分组长度也是64 位，使用的密钥为64 位，有效密钥长度为56 位，有8 位用于奇偶校验。DES 算法的弱点是不能提供足够的安全性，后来又提出了三重DES 或 3DES 系统，其强度大约和112 比特的密钥强度相当。(2)RSA 算法：RSA 算法既能用于数据加密，也能用于数字签名。RSA 算法理论依据为：寻找两个大素数比较简单，而将它