保證信息系統(tǒng)安全的經(jīng)典手段是“存取控制”或“訪問(wèn)控制”，但無(wú)論在理論上還是在實(shí)踐中，這種手段都不能徹底填補(bǔ)一個(gè)系統(tǒng)的安全漏洞，也還沒(méi)有一種切實(shí)可行的辦法解決合法用戶在通過(guò)“身份鑒別”或“身份認(rèn)證”后濫用特權(quán)的問(wèn)題，

治標(biāo)也要治本─淺談網(wǎng)絡(luò)攻擊檢測(cè)技術(shù)

　　計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展和應(yīng)用對(duì)人類生活方式的影響越來(lái)越大。通過(guò)Internet網(wǎng)連接到幾乎世界上任何一臺(tái)計(jì)算機(jī)。因此，傳統(tǒng)的安全域的概念也已經(jīng)發(fā)生了深刻的變化，邊界變得模糊了，網(wǎng)絡(luò)系統(tǒng)管理員再也不能滿足于守住安全邊界了；也不再有信心保護(hù)敏感信息萬(wàn)無(wú)一失。越來(lái)越多的證據(jù)表明計(jì)算機(jī)信息系統(tǒng)的安全性是十分脆弱的。基于計(jì)算機(jī)、網(wǎng)絡(luò)的信息系統(tǒng)的安全問(wèn)題已經(jīng)成為非常嚴(yán)重的問(wèn)題。

　　一、存取控制與攻擊檢測(cè)：站崗與巡邏

　　保證信息系統(tǒng)安全的經(jīng)典手段是“存取控制”或“訪問(wèn)控制”，這種手段在經(jīng)典的以及現(xiàn)代的安全理論中都是實(shí)行系統(tǒng)安全策略的最重要的手段。但迄今為止，軟件工程技術(shù)還沒(méi)有達(dá)到A2級(jí)所要求的形式生成或證明一個(gè)系統(tǒng)的安全體系的程度，所以不可能百分之百地保證任何一個(gè)系統(tǒng)（尤其是底層系統(tǒng)）中不存在安全漏洞。而且，無(wú)論在理論上還是在實(shí)踐中，試圖徹底填補(bǔ)一個(gè)系統(tǒng)的安全漏洞都是不可能的，也還沒(méi)有一種切實(shí)可行的辦法解決合法用戶在通過(guò)“身份鑒別”或“身份認(rèn)證”后濫用特權(quán)的問(wèn)題。打個(gè)比方，經(jīng)典的安全體系就像一座城池，身份認(rèn)證就好像進(jìn)城時(shí)的查路條一樣，著重點(diǎn)在于防范奸細(xì)混入；但是這種措施對(duì)于城池的安全仍是遠(yuǎn)遠(yuǎn)不夠的。

　　攻擊檢測(cè)作為其他經(jīng)典手段的補(bǔ)充和加強(qiáng)，是任何一個(gè)安全系統(tǒng)中不可或缺的最后一道防線；攻擊檢測(cè)可以分為被動(dòng)、非在線地發(fā)現(xiàn)和實(shí)時(shí)、在線地發(fā)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的攻擊者兩種方法。從大量非法入侵或計(jì)算機(jī)盜竊案例可以清晰地看到，計(jì)算機(jī)系統(tǒng)的最基本防線“存取控制”或“訪問(wèn)控制”，在許多場(chǎng)合不是防止外界非法入侵和防止內(nèi)部用戶攻擊的絕對(duì)無(wú)懈可擊的屏障。大量攻擊成功的案例是由于系統(tǒng)內(nèi)部人員不恰當(dāng)?shù)鼗驉阂獾貫E用特權(quán)而導(dǎo)致的。攻擊檢測(cè)技術(shù)則類似于治安巡邏隊(duì)，專門注重于發(fā)現(xiàn)形跡可疑者，信息系統(tǒng)的攻擊者很有可能通過(guò)了城門的身份檢查，或者爬越了城墻而混入城中；這時(shí)要想進(jìn)一步加強(qiáng)信息系統(tǒng)的安全強(qiáng)度，就需要增派一支巡邏隊(duì)，專門負(fù)責(zé)檢查在城市中鬼鬼祟祟行動(dòng)可疑的人員。

　　攻擊檢測(cè)提供了一種機(jī)制，對(duì)合法用戶而言能夠在一定程度上使他們?yōu)槠涫д`或非法行為負(fù)責(zé)，從而增強(qiáng)他們的責(zé)任感。對(duì)非法進(jìn)入的攻擊者而言則意味著增強(qiáng)了糾察力度，行使著公安局、檢察院的職責(zé)。攻擊檢測(cè)具有最后防線性質(zhì)的防范能力，或許是用來(lái)發(fā)現(xiàn)合法用戶濫用特權(quán)的唯一方法，而且完善的攻擊檢測(cè)還能用具有法律效力的方式證明一個(gè)受到懷疑的人是否有罪。

　　早期中大型的計(jì)算機(jī)系統(tǒng)中都收集審計(jì)信息來(lái)建立跟蹤文件，這些審計(jì)跟蹤的目的多是為了性能測(cè)試或計(jì)費(fèi)，因此對(duì)攻擊檢測(cè)提供的有用信息比較少。

　　二、攻擊檢測(cè)技術(shù)

　　1.攻擊分類

　　在信息系統(tǒng)中，一般至少應(yīng)當(dāng)考慮如下三類安全威脅：外部攻擊、內(nèi)部攻擊和行為濫用。攻擊者來(lái)自該計(jì)算機(jī)系統(tǒng)的外部時(shí)稱作外部攻擊；當(dāng)攻擊者就是那些有權(quán)使用計(jì)算機(jī)，但無(wú)權(quán)訪問(wèn)某些特定的數(shù)據(jù)、程序或資源的人企圖越權(quán)使用系統(tǒng)資源時(shí)視為內(nèi)部攻擊，包括假冒者（即那些使用其他合法用戶的身份和口令的人）、秘密使用者（即那些有意逃避審計(jì)機(jī)制和存取控制的人員）；特權(quán)濫用者也是計(jì)算機(jī)系統(tǒng)資源的合法用戶，表現(xiàn)為有意或無(wú)意地濫用他們的特權(quán)。

　　通過(guò)審計(jì)試圖登錄的失敗記錄可以發(fā)現(xiàn)外部攻擊者的攻擊企圖；通過(guò)觀察試圖連接特定文件、程序和其他資源的失敗記錄可以發(fā)現(xiàn)內(nèi)部攻擊者的攻擊企圖，如可通過(guò)比較為每個(gè)用戶單獨(dú)建立的行為模型和特定的行為來(lái)檢測(cè)發(fā)現(xiàn)假冒者；但要通過(guò)審計(jì)信息來(lái)發(fā)現(xiàn)那些權(quán)利濫用者往

　　往是很困難的。

　　基于審計(jì)信息的攻擊檢測(cè)特別難于防范具備較高優(yōu)先特權(quán)的內(nèi)部人員的攻擊，因?yàn)楣�擊者可通過(guò)使用某些系統(tǒng)特權(quán)或調(diào)用比審計(jì)本身更低級(jí)的操作來(lái)逃避審計(jì)。對(duì)于那些具備系統(tǒng)特權(quán)的用戶，需要審查所有關(guān)閉或暫停審計(jì)功能的操作，通過(guò)審查被審計(jì)的特殊用戶、或者其他的審計(jì)參數(shù)來(lái)發(fā)現(xiàn)。審查更低級(jí)的功能，如審查系統(tǒng)服務(wù)或核心系統(tǒng)調(diào)用通常比較困難，通用的方法很難奏效，需要專用的工具和操作才能實(shí)現(xiàn)。總之，為了防范隱秘的內(nèi)部攻擊需要在技術(shù)手段以外確保管理手段行之有效，技術(shù)上則需要監(jiān)視系統(tǒng)范圍內(nèi)的某些特定的指標(biāo)（如CPU、內(nèi)存和磁盤的活動(dòng)），并與通常情況下它們的歷史記錄進(jìn)行比較，以期發(fā)現(xiàn)之，

電腦資料

　　2.攻擊檢測(cè)技術(shù)分類

　　基于計(jì)算機(jī)系統(tǒng)審計(jì)跟蹤信息設(shè)計(jì)和實(shí)現(xiàn)的系統(tǒng)安全自動(dòng)分析或檢測(cè)工具是最為自然樸素的攻擊檢測(cè)技術(shù)。可以從審計(jì)系統(tǒng)篩選出涉及安全的信息。其思路與流行的數(shù)據(jù)挖掘（DataMining）技術(shù)極其類似。

　　基于審計(jì)的自動(dòng)分析檢測(cè)工具可以是脫機(jī)的，也可以是聯(lián)機(jī)或在線的。分析工具實(shí)時(shí)地對(duì)審計(jì)跟蹤文件提供的信息進(jìn)行同步處理，當(dāng)有可疑的入侵行為時(shí)，系統(tǒng)提供實(shí)時(shí)的警報(bào)，在攻擊發(fā)生時(shí)就能提供攻擊者的有關(guān)信息。

　　對(duì)于信息系統(tǒng)安全強(qiáng)度而言，聯(lián)機(jī)或在線的攻擊檢測(cè)是比較理想的，能夠在案發(fā)現(xiàn)場(chǎng)及時(shí)發(fā)現(xiàn)攻擊行為，有利于及時(shí)采取對(duì)抗措施，使損失降低到最低限度。同時(shí)也為抓獲攻擊犯罪分子提供有力的證據(jù)。但是，聯(lián)機(jī)的或在線的攻擊檢測(cè)系統(tǒng)所需要的系統(tǒng)資源，幾乎隨著系統(tǒng)內(nèi)部活動(dòng)數(shù)量的增長(zhǎng)呈幾何級(jí)數(shù)增長(zhǎng)。

　　3.攻擊檢測(cè)方法

　�。�1）基于審計(jì)的攻擊檢測(cè)

　　基于審計(jì)信息的攻擊檢測(cè)工具以及自動(dòng)分析工具可以向系統(tǒng)安全管理員報(bào)告計(jì)算機(jī)系統(tǒng)活動(dòng)的評(píng)估報(bào)告，通常是脫機(jī)的、滯后的。

　　對(duì)攻擊的實(shí)時(shí)檢測(cè)系統(tǒng)的工作原理是基于對(duì)用戶歷史行為的建模，以及在早期的證據(jù)或模型的基礎(chǔ)之上。審計(jì)系統(tǒng)實(shí)時(shí)地檢測(cè)用戶對(duì)系統(tǒng)的使用情況，根據(jù)系統(tǒng)內(nèi)部保持的用戶行為的概率統(tǒng)計(jì)模型進(jìn)行監(jiān)測(cè)，當(dāng)發(fā)現(xiàn)有可疑的用戶行為發(fā)生時(shí)，保持跟蹤并監(jiān)測(cè)該用戶的行為。

　　系統(tǒng)應(yīng)具備處理自適應(yīng)的用戶參數(shù)的能力。能夠判斷使用行為的合法或可疑。系統(tǒng)應(yīng)當(dāng)能夠避免“肅反擴(kuò)大／縮小化”的問(wèn)題。這種辦法同樣適用于檢測(cè)程序的行為以及對(duì)數(shù)據(jù)資源（如文件或數(shù)據(jù)庫(kù)）的存取行為。

　�。�2）基于神經(jīng)網(wǎng)絡(luò)的攻擊檢測(cè)技術(shù)

　　如上所述，基于審計(jì)統(tǒng)計(jì)數(shù)據(jù)的攻擊檢測(cè)系統(tǒng)，具有一些天生的弱點(diǎn)，因?yàn)橛脩舻男袨榭梢允欠浅��?fù)雜的，所以想要準(zhǔn)確匹配一個(gè)用戶的歷史行為和當(dāng)前的行為是相當(dāng)困難的。錯(cuò)發(fā)的警報(bào)往往來(lái)自于對(duì)審計(jì)數(shù)據(jù)的統(tǒng)計(jì)算法所基于的不準(zhǔn)確或不貼切的假設(shè)。SRI的研究小組利用和發(fā)展神經(jīng)網(wǎng)絡(luò)技術(shù)來(lái)進(jìn)行攻擊檢測(cè)。神經(jīng)網(wǎng)絡(luò)可能用于解決傳統(tǒng)的統(tǒng)計(jì)分析技術(shù)所面臨的以下幾個(gè)問(wèn)題：

　　●難于建立確切的統(tǒng)計(jì)分布

　　●難于實(shí)現(xiàn)方法的普適性

　　●算法實(shí)現(xiàn)比較昂貴

　　●系統(tǒng)臃腫難于剪裁

　　目前，神經(jīng)網(wǎng)絡(luò)技術(shù)提出了對(duì)基于傳統(tǒng)統(tǒng)計(jì)技術(shù)的攻擊檢測(cè)方法的改進(jìn)方向，但尚不十分成熟，所以傳統(tǒng)的統(tǒng)計(jì)方法仍將繼續(xù)發(fā)揮作用，也仍然能為發(fā)現(xiàn)用戶的異常行為提供相當(dāng)有參考價(jià)值的信息。

　�。�3）基于專家系統(tǒng)的攻擊檢測(cè)技術(shù)

　　進(jìn)行安全檢測(cè)工作自動(dòng)化的另外一個(gè)值得重視的研究方向就是基于專家系統(tǒng)的攻擊檢測(cè)技術(shù)，即根據(jù)安全專家對(duì)可疑行為的分析經(jīng)驗(yàn)來(lái)形成一套推理規(guī)則，然后再在此基礎(chǔ)之上構(gòu)成相應(yīng)的專家系統(tǒng)。由此專家系統(tǒng)自動(dòng)進(jìn)行對(duì)所涉及的攻擊操作的分析工作。

　　所謂專家系統(tǒng)是基于一套由專家經(jīng)驗(yàn)事先定義的規(guī)則的推理系統(tǒng)。例如，在數(shù)分鐘之內(nèi)某個(gè)用戶連續(xù)進(jìn)行登錄，且失敗超過(guò)三次就可以被認(rèn)為是一種攻擊行為。類似的規(guī)則在統(tǒng)計(jì)系統(tǒng)似乎也有，同時(shí)應(yīng)當(dāng)說(shuō)明的是基于規(guī)則的專家系統(tǒng)或推理系統(tǒng)也有其局限性，因?yàn)樽鳛檫@類系統(tǒng)的基礎(chǔ)的推理規(guī)則一般都是根據(jù)已知的安全漏洞進(jìn)行安排和策劃的，而對(duì)系統(tǒng)的最危險(xiǎn)的威脅則主要是來(lái)自未知的安全漏洞。實(shí)現(xiàn)一個(gè)基于規(guī)則的專家系統(tǒng)是一個(gè)知識(shí)工程問(wèn)題，而且其功能應(yīng)當(dāng)能夠隨著經(jīng)驗(yàn)的積累而利用其自學(xué)習(xí)能力進(jìn)行規(guī)則的擴(kuò)充和修正。

　　（4）基于模型推理的攻擊檢測(cè)技術(shù)

　　攻擊者在入侵一個(gè)系統(tǒng)時(shí)往往采用一定的行為程序，如猜測(cè)口令的程序，這種行為程序構(gòu)成了某種具有一定行為特征的模型，根據(jù)這種模型所代表的攻擊意圖的行為特征，可以實(shí)時(shí)地檢測(cè)出惡意的攻擊企圖，盡管攻擊者并不一定都是惡意的。用基于模型的推理方法人們能夠?yàn)槟承┬袨榻�立特定的模型，從而能夠監(jiān)視具有特定行為特征的某些活動(dòng)。根據(jù)假設(shè)的攻擊腳本，這種系統(tǒng)就能檢測(cè)出非法的用戶行為。一般為了準(zhǔn)確判斷，要為不同的入侵者和不同的系統(tǒng)建立特定的攻擊腳本。

　　當(dāng)有證據(jù)表明某種特定的攻擊模型發(fā)生時(shí)，系統(tǒng)應(yīng)當(dāng)收集其他證據(jù)來(lái)證實(shí)或者否定攻擊的真實(shí)，以盡可能的避免錯(cuò)報(bào)。

　　為了防止過(guò)多的不相干信息的干擾，用于安全目的的攻擊檢測(cè)系統(tǒng)在審計(jì)系統(tǒng)之外一般還配備適合系統(tǒng)安全策略的信息采集器或過(guò)濾器。同時(shí)，還應(yīng)當(dāng)充分利用來(lái)自其它信息源的信息。在某些系統(tǒng)內(nèi)可以在不同的層次進(jìn)行審計(jì)跟蹤。如有些系統(tǒng)的安全機(jī)制中采用三級(jí)審計(jì)跟蹤，包括審計(jì)操作系統(tǒng)核心調(diào)用行為的跟蹤、審計(jì)用戶和操作系統(tǒng)界面級(jí)行為的跟蹤、和審計(jì)應(yīng)用程序內(nèi)部行為的跟蹤。

　　總之，和經(jīng)典安全措施相同，任何一種攻擊檢測(cè)措施都不能視之為一勞永逸的，必須配合有效的管理和組織措施，形成立體的和縱深有序的安全防御體系。