第十八章 淺談網絡的攻擊檢測技術

保證信息係統安全的經典手段是"存取控製"或"訪問控製"，但無論在理論上還是在實踐中，這種手段都不能徹底填補一個係統的安全漏洞，也還沒有一種切實可行的辦法解決合法用戶在通過"身份鑒別"或"身份認證"後濫用特權的問題。攻擊檢測技術就像治安巡邏隊，專門注重於發現形跡可疑者。

計算機網絡技術的發展和應用對人類生活方式的影響越來越大。通過Internet網連接到幾乎世界上任何一台計算機。因此，傳統的安全域的概念也已經發生了深刻的變化，邊界變得模糊了，網絡係統管理員再也不能滿足於守住安全邊界了；也不再有信心保護敏感信息萬無一失。越來越多的證據表明計算機信息係統的安全性是十分脆弱的。基於計算機、網絡的信息係統的安全問題已經成為非常嚴重的問題。

一、存取控製與攻擊檢測：站崗與巡邏

保證信息係統安全的經典手段是"存取控製"或"訪問控製"，這種手段在經典的以及現代的安全理論中都是實行係統安全策略的最重要的手段。但迄今為止，軟件工程技術還沒有達到A2級所要求的形式生成或證明一個係統的安全體係的程度，所以不可能百分之百地保證任何一個係統（尤其是底層係統）中不存在安全漏洞。而且，無論在理論上還是在實踐中，試圖徹底填補一個係統的安全漏洞都是不可能的，也還沒有一種切實可行的辦法解決合法用戶在通過"身份鑒別"或"身份認證"後濫用特權的問題。打個比方，經典的安全體係就像一座城池，身份認證就好像進城時的查路條一樣，著重點在於防範奸細混入；但是這種措施對於城池的安全仍是遠遠不夠的。

攻擊檢測作為其他經典手段的補充和加強，是任何一個安全係統中不可或缺的最後一道防線；攻擊檢測可以分為被動、非在線地發現和實時、在線地發現計算機網絡係統中的攻擊者兩種方法。從大量非法入侵或計算機盜竊案例可以清晰地看到，計算機係統的最基本防線"存取控製"或"訪問控製"，在許多場合不是防止外界非法入侵和防止內部用戶攻擊的絕對無懈可擊的屏障。大量攻擊成功的案例是由於係統內部人員不恰當地或惡意地濫用特權而導致的。攻擊檢測技術則類似於治安巡邏隊，專門注重於發現形跡可疑者，信息係統的攻擊者很有可能通過了城門的身份檢查，或者爬越了城牆而混入城中；這時要想進一步加強信息係統的安全強度，就需要增派一支巡邏隊，專門負責檢查在城市中鬼鬼祟祟行動可疑的人員。

攻擊檢測提供了一種機製，對合法用戶而言能夠在一定程度上使他們為其失誤或非法行為負責，從而增強他們的責任感。對非法進入的攻擊者而言則意味著增強了糾察力度，行使著公安局、檢察院的職責。攻擊檢測具有最後防線性質的防範能力，或許是用來發現合法用戶濫用特權的唯一方法，而且完善的攻擊檢測還能用具有法律效力的方式證明一個受到懷疑的人是否有罪。

早期中大型的計算機係統中都收集審計信息來建立跟蹤文件，這些審計跟蹤的目的多是為了性能測試或計費，因此對攻擊檢測提供的有用信息比較少。

二、攻擊檢測技術

1．攻擊分類

在信息係統中，一般至少應當考慮如下三類安全威脅：外部攻擊、內部攻擊和行為濫用。攻擊者來自該計算機係統的外部時稱作外部攻擊；當攻擊者就是那些有權使用計算機，但無權訪問某些特定的數據、程序或資源的人企圖越權使用係統資源時視為內部攻擊，包括假冒者（即那些使用其他合法用戶的身份和口令的人）、秘密使用者（即那些有意逃避審計機製和存取控製的人員）；特權濫用者也是計算機係統資源的合法用戶，表現為有意或無意地濫用他們的特權。

通過審計試圖登錄的失敗記錄可以發現外部攻擊者的攻擊企圖；通過觀察試圖連接特定文件、程序和其他資源的失敗記錄可以發現內部攻擊者的攻擊企圖，如可通過比較為每個用戶單獨建立的行為模型和特定的行為來檢測發現假冒者；但要通過審計信息來發現那些權利濫用者往

往是很困難的。

基於審計信息的攻擊檢測特別難於防範具備較高優先特權的內部人員的攻擊，因為攻擊者可通過使用某些係統特權或調用比審計本身更低級的操作來逃避審計。對於那些具備係統特權的用戶，需要審查所有關閉或暫停審計功能的操作，通過審查被審計的特殊用戶、或者其他的審計參數來發現。審查更低級的功能，如審查係統服務或核心係統調用通常比較困難，通用的方法很難奏效，需要專用的工具和操作才能實現。總之，為了防範隱秘的內部攻擊需要在技術手段以外確保管理手段行之有效，技術上則需要監視係統範圍內的某些特定的指標（如CPU、內存和磁盤的活動），並與通常情況下它們的曆史記錄進行比較，以期發現之。

2．攻擊檢測技術分類

基於計算機係統審計跟蹤信息設計和實現的係統安全自動分析或檢測工具是最為自然樸素的攻擊檢測技術。可以從審計係統篩選出涉及安全的信息。其思路與流行的數據挖掘（DataMining）技術極其類似。