保證信息系統(tǒng)安全的經(jīng)典手段是“存取控制”或“訪問控制”，但無論在理論上還是在實踐中，這種手段都不能徹底填補一個系統(tǒng)的安全漏洞，也還沒有一種切實可行的辦法解決合法用戶在通過“身份鑒別”或“身份認證”后濫用特權(quán)的問題，

治標(biāo)也要治本─淺談網(wǎng)絡(luò)攻擊檢測技術(shù)

　　計算機網(wǎng)絡(luò)技術(shù)的發(fā)展和應(yīng)用對人類生活方式的影響越來越大。通過Internet網(wǎng)連接到幾乎世界上任何一臺計算機。因此，傳統(tǒng)的安全域的概念也已經(jīng)發(fā)生了深刻的變化，邊界變得模糊了，網(wǎng)絡(luò)系統(tǒng)管理員再也不能滿足于守住安全邊界了；也不再有信心保護敏感信息萬無一失。越來越多的證據(jù)表明計算機信息系統(tǒng)的安全性是十分脆弱的�；�于計算機、網(wǎng)絡(luò)的信息系統(tǒng)的安全問題已經(jīng)成為非常嚴重的問題。

　　一、存取控制與攻擊檢測：站崗與巡邏

　　保證信息系統(tǒng)安全的經(jīng)典手段是“存取控制”或“訪問控制”，這種手段在經(jīng)典的以及現(xiàn)代的安全理論中都是實行系統(tǒng)安全策略的最重要的手段。但迄今為止，軟件工程技術(shù)還沒有達到A2級所要求的形式生成或證明一個系統(tǒng)的安全體系的程度，所以不可能百分之百地保證任何一個系統(tǒng)（尤其是底層系統(tǒng)）中不存在安全漏洞。而且，無論在理論上還是在實踐中，試圖徹底填補一個系統(tǒng)的安全漏洞都是不可能的，也還沒有一種切實可行的辦法解決合法用戶在通過“身份鑒別”或“身份認證”后濫用特權(quán)的問題。打個比方，經(jīng)典的安全體系就像一座城池，身份認證就好像進城時的查路條一樣，著重點在于防范奸細混入；但是這種措施對于城池的安全仍是遠遠不夠的。

　　攻擊檢測作為其他經(jīng)典手段的補充和加強，是任何一個安全系統(tǒng)中不可或缺的最后一道防線；攻擊檢測可以分為被動、非在線地發(fā)現(xiàn)和實時、在線地發(fā)現(xiàn)計算機網(wǎng)絡(luò)系統(tǒng)中的攻擊者兩種方法。從大量非法入侵或計算機盜竊案例可以清晰地看到，計算機系統(tǒng)的最基本防線“存取控制”或“訪問控制”，在許多場合不是防止外界非法入侵和防止內(nèi)部用戶攻擊的絕對無懈可擊的屏障。大量攻擊成功的案例是由于系統(tǒng)內(nèi)部人員不恰當(dāng)?shù)鼗驉阂獾貫E用特權(quán)而導(dǎo)致的。攻擊檢測技術(shù)則類似于治安巡邏隊，專門注重于發(fā)現(xiàn)形跡可疑者，信息系統(tǒng)的攻擊者很有可能通過了城門的身份檢查，或者爬越了城墻而混入城中；這時要想進一步加強信息系統(tǒng)的安全強度，就需要增派一支巡邏隊，專門負責(zé)檢查在城市中鬼鬼祟祟行動可疑的人員。

　　攻擊檢測提供了一種機制，對合法用戶而言能夠在一定程度上使他們?yōu)槠涫д`或非法行為負責(zé)，從而增強他們的責(zé)任感。對非法進入的攻擊者而言則意味著增強了糾察力度，行使著公安局、檢察院的職責(zé)。攻擊檢測具有最后防線性質(zhì)的防范能力，或許是用來發(fā)現(xiàn)合法用戶濫用特權(quán)的唯一方法，而且完善的攻擊檢測還能用具有法律效力的方式證明一個受到懷疑的人是否有罪。

　　早期中大型的計算機系統(tǒng)中都收集審計信息來建立跟蹤文件，這些審計跟蹤的目的多是為了性能測試或計費，因此對攻擊檢測提供的有用信息比較少。

　　二、攻擊檢測技術(shù)

　　1.攻擊分類

　　在信息系統(tǒng)中，一般至少應(yīng)當(dāng)考慮如下三類安全威脅：外部攻擊、內(nèi)部攻擊和行為濫用。攻擊者來自該計算機系統(tǒng)的外部時稱作外部攻擊；當(dāng)攻擊者就是那些有權(quán)使用計算機，但無權(quán)訪問某些特定的數(shù)據(jù)、程序或資源的人企圖越權(quán)使用系統(tǒng)資源時視為內(nèi)部攻擊，包括假冒者（即那些使用其他合法用戶的身份和口令的人）、秘密使用者（即那些有意逃避審計機制和存取控制的人員）；特權(quán)濫用者也是計算機系統(tǒng)資源的合法用戶，表現(xiàn)為有意或無意地濫用他們的特權(quán)。

　　通過審計試圖登錄的失敗記錄可以發(fā)現(xiàn)外部攻擊者的攻擊企圖；通過觀察試圖連接特定文件、程序和其他資源的失敗記錄可以發(fā)現(xiàn)內(nèi)部攻擊者的攻擊企圖，如可通過比較為每個用戶單獨建立的行為模型和特定的行為來檢測發(fā)現(xiàn)假冒者；但要通過審計信息來發(fā)現(xiàn)那些權(quán)利濫用者往

　　往是很困難的。

　　基于審計信息的攻擊檢測特別難于防范具備較高優(yōu)先特權(quán)的內(nèi)部人員的攻擊，因為攻擊者可通過使用某些系統(tǒng)特權(quán)或調(diào)用比審計本身更低級的操作來逃避審計。對于那些具備系統(tǒng)特權(quán)的用戶，需要審查所有關(guān)閉或暫停審計功能的操作，通過審查被審計的特殊用戶、或者其他的審計參數(shù)來發(fā)現(xiàn)。審查更低級的功能，如審查系統(tǒng)服務(wù)或核心系統(tǒng)調(diào)用通常比較困難，通用的方法很難奏效，需要專用的工具和操作才能實現(xiàn)�？傊�，為了防范隱秘的內(nèi)部攻擊需要在技術(shù)手段以外確保管理手段行之有效，技術(shù)上則需要監(jiān)視系統(tǒng)范圍內(nèi)的某些特定的指標(biāo)（如CPU、內(nèi)存和磁盤的活動），并與通常情況下它們的歷史記錄進行比較，以期發(fā)現(xiàn)之，

電腦資料

　　2.攻擊檢測技術(shù)分類

　　基于計算機系統(tǒng)審計跟蹤信息設(shè)計和實現(xiàn)的系統(tǒng)安全自動分析或檢測工具是最為自然樸素的攻擊檢測技術(shù)。可以從審計系統(tǒng)篩選出涉及安全的信息。其思路與流行的數(shù)據(jù)挖掘（DataMining）技術(shù)極其類似。

　　基于審計的自動分析檢測工具可以是脫機的，也可以是聯(lián)機或在線的。分析工具實時地對審計跟蹤文件提供的信息進行同步處理，當(dāng)有可疑的入侵行為時，系統(tǒng)提供實時的警報，在攻擊發(fā)生時就能提供攻擊者的有關(guān)信息。

　　對于信息系統(tǒng)安全強度而言，聯(lián)機或在線的攻擊檢測是比較理想的，能夠在案發(fā)現(xiàn)場及時發(fā)現(xiàn)攻擊行為，有利于及時采取對抗措施，使損失降低到最低限度。同時也為抓獲攻擊犯罪分子提供有力的證據(jù)。但是，聯(lián)機的或在線的攻擊檢測系統(tǒng)所需要的系統(tǒng)資源，幾乎隨著系統(tǒng)內(nèi)部活動數(shù)量的增長呈幾何級數(shù)增長。

　　3.攻擊檢測方法

　�。�1）基于審計的攻擊檢測

　　基于審計信息的攻擊檢測工具以及自動分析工具可以向系統(tǒng)安全管理員報告計算機系統(tǒng)活動的評估報告，通常是脫機的、滯后的。

　　對攻擊的實時檢測系統(tǒng)的工作原理是基于對用戶歷史行為的建模，以及在早期的證據(jù)或模型的基礎(chǔ)之上。審計系統(tǒng)實時地檢測用戶對系統(tǒng)的使用情況，根據(jù)系統(tǒng)內(nèi)部保持的用戶行為的概率統(tǒng)計模型進行監(jiān)測，當(dāng)發(fā)現(xiàn)有可疑的用戶行為發(fā)生時，保持跟蹤并監(jiān)測該用戶的行為。

　　系統(tǒng)應(yīng)具備處理自適應(yīng)的用戶參數(shù)的能力。能夠判斷使用行為的合法或可疑。系統(tǒng)應(yīng)當(dāng)能夠避免“肅反擴大／縮小化”的問題。這種辦法同樣適用于檢測程序的行為以及對數(shù)據(jù)資源（如文件或數(shù)據(jù)庫）的存取行為。

　�。�2）基于神經(jīng)網(wǎng)絡(luò)的攻擊檢測技術(shù)

　　如上所述，基于審計統(tǒng)計數(shù)據(jù)的攻擊檢測系統(tǒng)，具有一些天生的弱點，因為用戶的行為可以是非常復(fù)雜的，所以想要準(zhǔn)確匹配一個用戶的歷史行為和當(dāng)前的行為是相當(dāng)困難的。錯發(fā)的警報往往來自于對審計數(shù)據(jù)的統(tǒng)計算法所基于的不準(zhǔn)確或不貼切的假設(shè)。SRI的研究小組利用和發(fā)展神經(jīng)網(wǎng)絡(luò)技術(shù)來進行攻擊檢測。神經(jīng)網(wǎng)絡(luò)可能用于解決傳統(tǒng)的統(tǒng)計分析技術(shù)所面臨的以下幾個問題：

　　●難于建立確切的統(tǒng)計分布

　　●難于實現(xiàn)方法的普適性

　　●算法實現(xiàn)比較昂貴

　　●系統(tǒng)臃腫難于剪裁

　　目前，神經(jīng)網(wǎng)絡(luò)技術(shù)提出了對基于傳統(tǒng)統(tǒng)計技術(shù)的攻擊檢測方法的改進方向，但尚不十分成熟，所以傳統(tǒng)的統(tǒng)計方法仍將繼續(xù)發(fā)揮作用，也仍然能為發(fā)現(xiàn)用戶的異常行為提供相當(dāng)有參考價值的信息。

　�。�3）基于專家系統(tǒng)的攻擊檢測技術(shù)

　　進行安全檢測工作自動化的另外一個值得重視的研究方向就是基于專家系統(tǒng)的攻擊檢測技術(shù)，即根據(jù)安全專家對可疑行為的分析經(jīng)驗來形成一套推理規(guī)則，然后再在此基礎(chǔ)之上構(gòu)成相應(yīng)的專家系統(tǒng)。由此專家系統(tǒng)自動進行對所涉及的攻擊操作的分析工作。

　　所謂專家系統(tǒng)是基于一套由專家經(jīng)驗事先定義的規(guī)則的推理系統(tǒng)。例如，在數(shù)分鐘之內(nèi)某個用戶連續(xù)進行登錄，且失敗超過三次就可以被認為是一種攻擊行為。類似的規(guī)則在統(tǒng)計系統(tǒng)似乎也有，同時應(yīng)當(dāng)說明的是基于規(guī)則的專家系統(tǒng)或推理系統(tǒng)也有其局限性，因為作為這類系統(tǒng)的基礎(chǔ)的推理規(guī)則一般都是根據(jù)已知的安全漏洞進行安排和策劃的，而對系統(tǒng)的最危險的威脅則主要是來自未知的安全漏洞。實現(xiàn)一個基于規(guī)則的專家系統(tǒng)是一個知識工程問題，而且其功能應(yīng)當(dāng)能夠隨著經(jīng)驗的積累而利用其自學(xué)習(xí)能力進行規(guī)則的擴充和修正。

　�。�4）基于模型推理的攻擊檢測技術(shù)

　　攻擊者在入侵一個系統(tǒng)時往往采用一定的行為程序，如猜測口令的程序，這種行為程序構(gòu)成了某種具有一定行為特征的模型，根據(jù)這種模型所代表的攻擊意圖的行為特征，可以實時地檢測出惡意的攻擊企圖，盡管攻擊者并不一定都是惡意的。用基于模型的推理方法人們能夠為某些行為建立特定的模型，從而能夠監(jiān)視具有特定行為特征的某些活動。根據(jù)假設(shè)的攻擊腳本，這種系統(tǒng)就能檢測出非法的用戶行為。一般為了準(zhǔn)確判斷，要為不同的入侵者和不同的系統(tǒng)建立特定的攻擊腳本。

　　當(dāng)有證據(jù)表明某種特定的攻擊模型發(fā)生時，系統(tǒng)應(yīng)當(dāng)收集其他證據(jù)來證實或者否定攻擊的真實，以盡可能的避免錯報。

　　為了防止過多的不相干信息的干擾，用于安全目的的攻擊檢測系統(tǒng)在審計系統(tǒng)之外一般還配備適合系統(tǒng)安全策略的信息采集器或過濾器。同時，還應(yīng)當(dāng)充分利用來自其它信息源的信息。在某些系統(tǒng)內(nèi)可以在不同的層次進行審計跟蹤。如有些系統(tǒng)的安全機制中采用三級審計跟蹤，包括審計操作系統(tǒng)核心調(diào)用行為的跟蹤、審計用戶和操作系統(tǒng)界面級行為的跟蹤、和審計應(yīng)用程序內(nèi)部行為的跟蹤。

　　總之，和經(jīng)典安全措施相同，任何一種攻擊檢測措施都不能視之為一勞永逸的，必須配合有效的管理和組織措施，形成立體的和縱深有序的安全防御體系。