第４章網(wǎng)絡(luò)根本平安防護

開放式系統(tǒng)互連參考模型(OSI/RM)擴展局部中增加了有關(guān)平安體系結(jié)構(gòu)的描述。平安體系結(jié)構(gòu)(SecurityArchitecture)是指對網(wǎng)絡(luò)平安功能的抽象描述，從整體上定義網(wǎng)絡(luò)系統(tǒng)所提供的平安效勞和平安機制。然而這一體系只為平安通信環(huán)境提出了一個概念性框架。事實上，平安體系結(jié)構(gòu)不僅應(yīng)該定義一個系統(tǒng)平安所需要的各種元素，還應(yīng)該包括這些元素之間的關(guān)系，以構(gòu)成一個有機的整體，正像Architecture這個詞的本意，一堆磚瓦不能稱為建筑。美國國防信息系統(tǒng)平安方案(DISSP)提出了一個反映網(wǎng)絡(luò)平安需求的平安框架。該框架是一個由平安屬性、OSI各協(xié)議層和系統(tǒng)部件組成的三維矩陣結(jié)構(gòu)。但是該框架中系統(tǒng)部件維所包括的系統(tǒng)部件(端系統(tǒng)、接口、網(wǎng)絡(luò)系統(tǒng)和平安管理)并不能反映網(wǎng)絡(luò)工程中的實際需求，也沒有給出平安屬性維中個平安實行的邏輯關(guān)系。本節(jié)介紹一個針對TCP/IP網(wǎng)絡(luò)由平安效勞、協(xié)議層次和實體單元組成的三維框架結(jié)構(gòu)，它是在DISSP三維平安模型根底上的改進模型，從三個不同的角度闡述不同實體、不同層次的平安需求以及它們之間的邏輯關(guān)系。網(wǎng)絡(luò)平安體系結(jié)構(gòu)的相關(guān)概念

1．平安效勞

平安效勞是一個系統(tǒng)各功能部件所提供的平安功能總和。從協(xié)議分層的角度來看，底層協(xié)議實體為上層實體提供平安效勞，而對外屏蔽平安效勞的具體實現(xiàn)。OSI平安體系結(jié)構(gòu)模型中定義了五組平安效勞：認證(Authentication)效勞、保密(Confidentiality)效勞、數(shù)據(jù)完整性(Integrity)效勞、訪問控制(AccessControl)效勞、抗抵賴(Non-repudiation)效勞(或稱作不可否認效勞)。2．平安機制

平安機制是指平安效勞的實現(xiàn)機制。一種平安效勞可以由多種平安機制來實現(xiàn)。一種平安機制也可以為多種平安效勞所用。

3．平安管理

平安管理包括兩方面的內(nèi)容，一是平安的管理(ManagementofSecurity)，網(wǎng)絡(luò)和系統(tǒng)中各種平安效勞和平安機制的管理，如認證或加密效勞的激活、密鑰等參數(shù)的配置、更新等；二是管理的平安(SecurityofManagement)，是指各種管理活動自身的平安，如管理系統(tǒng)本身和管理信息的平安。網(wǎng)絡(luò)平安體系的三維框架結(jié)構(gòu)

描述計算機網(wǎng)絡(luò)平安防護體系結(jié)構(gòu)的三維框架結(jié)構(gòu)如圖4-1所示。

(1)平安效勞平面取自國際標準化組織制訂的平安體系結(jié)構(gòu)模型。我們在五類根本的平安效勞以外增加了可用性(Availability)效勞。不同的應(yīng)用環(huán)境對平安效勞需求是不同的，各種平安效勞之間也不是完全獨立的。后面將介紹各種平安效勞之間的依賴關(guān)系。

(2)協(xié)議層次平面參照TCP/IP協(xié)議的分層模型，旨在從網(wǎng)絡(luò)協(xié)議結(jié)構(gòu)角度考察平安體系結(jié)構(gòu)。圖4-1網(wǎng)絡(luò)平安防護體系的三維框架結(jié)構(gòu)平安效勞之間的關(guān)系

如圖4-1中的X平面所示，一個網(wǎng)絡(luò)系統(tǒng)的平安需求包括以下幾個方面：主體與客體的標識與認證，主體的授權(quán)與訪問控制，數(shù)據(jù)存儲與傳輸?shù)耐暾?，?shù)據(jù)存儲與傳輸?shù)谋Ｃ苄?，可用性保證，抗抵賴效勞(不可否認性)。各種平安需求之間存在相互依賴關(guān)系，孤立地選取某種平安效勞常常是無效的。這些平安效勞之間的關(guān)系如圖4-2所示。圖4-2平安效勞關(guān)系圖數(shù)據(jù)存儲于傳輸?shù)耐暾允钦J證和訪問控制有效性的重要保證，比方，認證協(xié)議的設(shè)計一定要考慮認證信息在傳輸過程中不被篡改；同時，訪問控制又常常是實現(xiàn)數(shù)據(jù)存儲完整性的手段之一。與數(shù)據(jù)保密性相比，數(shù)據(jù)完整性的需求更為普遍。數(shù)據(jù)保密性一般也要和數(shù)據(jù)完整性結(jié)合才能保證保密機制的有效性。保證系統(tǒng)高度的可用性是網(wǎng)絡(luò)平安的重要內(nèi)容之一，許多針對網(wǎng)絡(luò)和系統(tǒng)的攻擊都是破壞系統(tǒng)的可用性，而不一定損害數(shù)據(jù)的完整性與保密性。目前，保證系統(tǒng)可用性的研究還不夠充分，許多拒絕效勞類型的攻擊還很難防范?？沟仲囆谠谠S多應(yīng)用(如電子商務(wù))中非常關(guān)鍵，它和數(shù)據(jù)源認證、數(shù)據(jù)完整性緊密相關(guān)。圖4-4雙重宿主主機體系結(jié)構(gòu)2．屏蔽主機體系結(jié)構(gòu)

雙重宿主主機體系結(jié)構(gòu)提供來自與多個網(wǎng)絡(luò)相連的主機的效勞(但是路由關(guān)閉)，而被屏蔽主機體系結(jié)構(gòu)使用一個單獨的路由器提供來自僅僅與內(nèi)部的網(wǎng)絡(luò)相連的主機的效勞。如圖4-5所示，在這種體系結(jié)構(gòu)中，主要的平安由數(shù)據(jù)包過濾提供(例如，數(shù)據(jù)包過濾用于防止人們繞過代理效勞器直接相連)。圖4-5屏蔽主機體系結(jié)構(gòu)在屏蔽的路由器上的數(shù)據(jù)包過濾是按這樣一種方法設(shè)置的：堡壘主機是Internet上的主機能連接到內(nèi)部網(wǎng)絡(luò)上的系統(tǒng)的橋梁(例如，傳送進來的電子郵件)。即使這樣，也僅有某些確定類型的連接被允許。任何外部的系統(tǒng)試圖訪問內(nèi)部的系統(tǒng)或者效勞將必須連接到這臺堡壘主機上。因此，堡壘主機需要擁有高等級的平安。

數(shù)據(jù)包過濾也允許堡壘主機開放可允許的連接(什么是“可允許〞將由用戶的站點的平安策略決定)到外部世界。因為這種體系結(jié)構(gòu)允許數(shù)據(jù)包從Internet向內(nèi)部網(wǎng)的移動，所以，它的設(shè)計比沒有外部數(shù)據(jù)包能到達內(nèi)部網(wǎng)絡(luò)的雙重宿主主機體系結(jié)構(gòu)似乎是更冒風(fēng)險。實際上雙重宿主主機體系結(jié)構(gòu)在防范數(shù)據(jù)包從外部網(wǎng)絡(luò)穿過內(nèi)部的網(wǎng)絡(luò)也容易產(chǎn)生失敗(因為這種失敗類型是完全出乎預(yù)料的，不大可能防范黑客侵襲)。進而言之，保衛(wèi)路由器比保衛(wèi)主機較易實現(xiàn)，因為它提供非常有限的效勞組。多數(shù)情況下，被屏蔽的主機體系結(jié)構(gòu)提供比雙重宿主主機體系結(jié)構(gòu)具有更好的平安性和可用性。3．屏蔽子網(wǎng)體系結(jié)構(gòu)

屏蔽子網(wǎng)體系結(jié)構(gòu)通過添加額外的平安層到被屏蔽主機體系結(jié)構(gòu)，即通過添加周邊網(wǎng)絡(luò)更進一步地把內(nèi)部網(wǎng)絡(luò)與Internet隔離開。如圖4-6所示，在這種結(jié)構(gòu)下，即使攻破了堡壘主機，也不能直接侵入內(nèi)部網(wǎng)絡(luò)(它將仍然必須通過內(nèi)部路由器)。圖4-6屏蔽子網(wǎng)體系結(jié)構(gòu)堡壘主機是用戶的網(wǎng)絡(luò)上最容易受侵襲的機器。任憑用戶盡最大的力氣去保護它，它仍是最有可能被侵襲的機器，因為它本質(zhì)上是能夠被侵襲的機器。如果在屏蔽主機體系結(jié)構(gòu)中，用戶的內(nèi)部網(wǎng)絡(luò)對來自用戶的堡壘主機的侵襲門戶洞開，那么用戶的堡壘主機是非常誘人的攻擊目標。在它與用戶的其它內(nèi)部機器之間沒有其它的防御手段時(除了它們可能有的主機平安之外，這通常是非常少的)，如果有人成功地侵入屏蔽主機體系結(jié)構(gòu)中的堡壘主機，那就毫無阻擋地進入了內(nèi)部系統(tǒng)。通過在周邊網(wǎng)絡(luò)上隔離堡壘主機，能減少在堡壘主機上侵入的影響?？梢哉f，它只給入侵者一些訪問的時機，但不是全部。屏蔽子網(wǎng)體系結(jié)構(gòu)的最簡單的形式為，兩個屏蔽路由器，每一個都連接到周邊網(wǎng)。一個位于周邊網(wǎng)與內(nèi)部的網(wǎng)絡(luò)之間，另一個位于周邊網(wǎng)與外部網(wǎng)絡(luò)之間(通常為Internet)。為了侵入用這種類型的體系結(jié)構(gòu)構(gòu)筑的內(nèi)部網(wǎng)絡(luò)，侵襲者必須要通過兩個路由器。即使侵襲者設(shè)法侵入堡壘主機，他將仍然必須通過內(nèi)部路由器。在此情況下，沒有損害內(nèi)部網(wǎng)絡(luò)的單一的易受侵襲點。作為入侵者，只是進行了一次訪問。2)堡壘主機

在屏蔽的子網(wǎng)體系結(jié)構(gòu)中，用戶把堡壘主機連接到周邊網(wǎng)；這臺主機便是接受來自外界連接的主要入口。例如：對于進來的電子郵件(SMTP)會話，傳送電子郵件到站點；對于進來的FTP連接，轉(zhuǎn)接到站點的匿名FTP效勞器；對于進來的域名效勞(DNS)站點查詢，等等。

從內(nèi)部的客戶端到在Internet上的效勞器的出站效勞按如下任一方法處理：在外部和內(nèi)部的路由器上設(shè)置數(shù)據(jù)包過濾來允許內(nèi)部的客戶端直接訪問外部的效勞器；設(shè)置代理效勞器在堡壘主機上運行來允許內(nèi)部的客戶端間接地訪問外部的效勞器。用戶也可以設(shè)置數(shù)據(jù)包過濾來允許內(nèi)部的客戶端在堡壘主機上同代理效勞器交談，反之亦然。但是禁止內(nèi)部的客戶端與外部世界之間直接通信(即撥號入網(wǎng)方式)。(1)使用多堡壘主機；

(2)合并內(nèi)部路由器與外部路由器；

(3)合并堡壘主機與外部路由器；

(4)合并堡壘主機與內(nèi)部路由器；

(5)使用多臺內(nèi)部路由器；

(6)使用多臺外部路由器；

(7)使用多個周邊網(wǎng)絡(luò)；

(8)使用雙重宿主主機與屏蔽子網(wǎng)。目前Internet上最常使用的代理效勞器產(chǎn)品多為軟件形式，如國內(nèi)的中網(wǎng)代理效勞器系統(tǒng)和曙光信息產(chǎn)業(yè)公司推出的“天聯(lián)〞Web效勞器/Proxy效勞器，國外的Apache、NetscapeProxyServer、MicrosoftProxy、WinGate、Sock5效勞器等。這些產(chǎn)品都包括了以下功能：收集緩存Web頁面，防止黑客侵入網(wǎng)絡(luò)，允許IPX節(jié)點訪問IP功能，允許按IP地址過濾訪問，允許共享一個IP地址，URL過濾，病毒過濾和SOCKS客戶機等。有的代理效勞器還支持二級代理。代理效勞器是客戶端/效勞器的中轉(zhuǎn)站，代理效勞器必須完成以下功能：

(1)能夠接收和解釋客戶端的請求；

(2)能夠創(chuàng)立到效勞器的新連接；

(3)能夠接收效勞器發(fā)來的響應(yīng)；

(4)能夠發(fā)出或解釋效勞器的響應(yīng)并將該響應(yīng)傳回給客戶端。

代理效勞器工作模型如圖4-7所示。圖4-7代理效勞器工作模型以下以最常用的HTTP代理、SOCKS代理為例，比較不使用代理、使用一級代理、使用二級代理時客戶端與效勞器的工作流程。

(1)不使用代理，正常上網(wǎng)的流程。

瀏覽WEB：HTTP客戶端(IE)HTTP效勞器。

使用QQ：QQ客戶端QQ效勞器。

(2)僅使用一級代理。

瀏覽WEB：HTTP客戶端(IE)代理效勞器(HTTPProxy)HTTP效勞器。

使用QQ：QQ客戶端代理效勞器(SOCKS5Proxy)QQ效勞器。(2)代理能生成各項記錄。因代理工作在應(yīng)用層，它檢查各項數(shù)據(jù)，所以可以按一定準那么，讓代理生成各項日志、記錄。這些日志、記錄對于流量分析、平安檢驗是十分重要和珍貴的。當(dāng)然，也可以用于記費等應(yīng)用。

(3)代理能靈活、完全地控制進出流量、內(nèi)容。通過采取一定的措施，按照一定的規(guī)那么，我們可以借助代理實現(xiàn)一整套的平安策略，比方可說控制“誰〞和“什么〞，還有“時間〞和“地點〞。

(4)代理能過濾數(shù)據(jù)內(nèi)容。我們可以把一些過濾規(guī)那么應(yīng)用于代理，讓它在高層實現(xiàn)過濾功能，例如文本過濾、圖像過濾、預(yù)防病毒或掃描病毒等。(3)對于每項效勞代理可能要求不同的效勞器?？赡苄枰獮槊宽梾f(xié)議設(shè)置一個不同的代理效勞器，因為代理效勞器不得不理解協(xié)議以便判斷什么是允許的和不允許的，并且還裝扮一個對真實效勞器來說是客戶、對代理客戶來說是效勞器的角色。挑選、安裝和配置所有這些不同的效勞器也可能是一項較大的工作。

(4)代理效勞通常要求對客戶、過程之一或兩者進行限制。除了一些為代理而設(shè)的效勞，代理效勞器要求對客戶與/或過程進行限制，每一種限制都有缺乏之處，人們無法經(jīng)常按他們自己的步驟使用快捷可用的工作。由于這些限制，代理應(yīng)用就不能像非代理應(yīng)用運行得那樣好，它們往往可能曲解協(xié)議的說明，并且一些客戶和效勞器比其他的要缺少一些靈活性。(5)代理效勞不能保證免受所有協(xié)議弱點的限制。作為一個平安問題的解決方法，代理取決于對協(xié)議中哪些是平安操作的判斷能力。每個應(yīng)用層協(xié)議，都或多或少存在一些平安問題，對于一個代理效勞器來說，要徹底防止這些平安隱患幾乎是不可能的，除非關(guān)掉這些效勞。

代理取決于在客戶端和真實效勞器之間插入代理效勞器的能力，這要求兩者之間交流的相對直接性。而且有些效勞的代理是相當(dāng)復(fù)雜的。圖4-8應(yīng)用層網(wǎng)關(guān)對每種不同的應(yīng)用層(如E-mail、FTP、Telnet、WWW等)都應(yīng)用一個相應(yīng)的代理，所有的代理效勞都需要客戶軟件的支持。

在TCP/IP網(wǎng)絡(luò)中，傳統(tǒng)的通信過程是這樣的：客戶端向效勞器請求數(shù)據(jù)，效勞器響應(yīng)該請求，將數(shù)據(jù)傳送給客戶端。在引入了代理效勞器以后，這一過程變成了這樣：在客戶端，代理效勞給用戶的假象是：用戶是直接與真正的效勞器相連的；而在效勞器端代理效勞給出的假象是：效勞器是直接面對連在代理效勞器上的用戶。當(dāng)某用戶(不管是遠程的還是本地的)想和一個運行代理的網(wǎng)絡(luò)建立聯(lián)系時，此代理(應(yīng)用層網(wǎng)關(guān))會阻塞這個連接，然后對連接請求的各個域進行檢查。代理效勞器并非將用戶的全部網(wǎng)絡(luò)效勞請求提交給互聯(lián)網(wǎng)絡(luò)上的真正的效勞器，因為代理效勞器能依據(jù)平安規(guī)那么和用戶的請求做出判斷是否代理執(zhí)行該請求，所以它能控制用戶的請求。有些請求可能會被否決，比方：FTP代理就可能拒絕用戶把文件往遠程主機上送?；蛘咚辉试S用戶將某些特定的外部站點的文件下載。還有的代理效勞可能對于不同的主機執(zhí)行不同的平安規(guī)那么，而不對所有主機執(zhí)行同一標準。最常用的應(yīng)用層網(wǎng)關(guān)是HTTP代理效勞器，端口通常為80或8080。如：瀏覽器IE可以使用HTTP代理瀏覽網(wǎng)頁，下載工具NetAnts、CuteFTP可以使用HTTP代理下載文件，網(wǎng)絡(luò)尋呼工具QQ可以使用HTTP代理進行通信。

例如，在Web瀏覽器中設(shè)置了一個HTTP代理效勞器后，訪問Internet上任何站點時所發(fā)出的請求，都不會直接發(fā)給遠程的WWW效勞器，而是被送到了代理效勞器上。代理效勞器分析該請求，先查看自己緩存中是否有請求數(shù)據(jù)，如果有，就直接傳送給客戶端，如果沒有，就代替客戶端向遠程的WWW效勞器提出申請。效勞器響應(yīng)以后，代理圖4-9電路層網(wǎng)關(guān)在電路層網(wǎng)關(guān)中，特殊的客戶機軟件可能要安裝，用戶可能需要一個可變用戶接口來相互作用或改變他們的工作習(xí)慣。

電路層網(wǎng)關(guān)實現(xiàn)的一個例子是SOCKS軟件包。SOCKSV5在RFC1928中定義。

SOCKSV5不僅支持基于TCP連接的應(yīng)用協(xié)議的代理，而且支持基于UDP傳輸?shù)膽?yīng)用協(xié)議代理。它提供了一個標準的平安驗證方式和對請求響應(yīng)的方式。這個協(xié)議從概念上來講是介于應(yīng)用層和傳輸層之間的“薄層(shim-layer)〞，因而不提供如傳遞ICMP信息之類由網(wǎng)絡(luò)層網(wǎng)關(guān)所提供的效勞。SOCKS效勞器會根據(jù)源地址和目的地址來分析請求，然后根據(jù)請求類型返回一個或多個應(yīng)答。應(yīng)答包括協(xié)議版本、應(yīng)答(成功、普通的SOCKS效勞器請求失敗、現(xiàn)有的規(guī)那么不允許的連接、網(wǎng)絡(luò)不可達、主機不可達、連接被拒、TTL超時、不支持的命令、不支持的地址類型等)、地址類型、效勞器綁定的地址BND.ADDR、效勞器綁定的端口號BND.PORT等。

在對一個CONNECT命令的應(yīng)答中，由于SOCKS效勞器通常有多個IP，應(yīng)答中的BND.ADDR常與客戶端連到SOCKS效勞器的IP不同。BIND請求通常被用在那些要求客戶端接受來自效勞器的連接的協(xié)議上。如FTP，它建立一個從客戶端到效勞器端的連接來執(zhí)行命令以及接受狀態(tài)的報告，而使用另一個從效勞器到客戶端的連接來接受傳輸數(shù)據(jù)的要求(如LS，GET，PUT)。只有在一個應(yīng)用協(xié)議的客戶端在使用CONNECT命令建立主連接后，才可以使用BIND命令建立第二個連接。在一個BIND請求的操作過程中，SOCKS效勞器要發(fā)送兩個應(yīng)答給客戶端。當(dāng)效勞器建立并綁定一個新的套接口時發(fā)送第一個應(yīng)答。BND.PORT字段包含SOCKS效勞器，用來監(jiān)聽進入的連接的端口號。BAND.ADDR字段包含了對應(yīng)的IP地址。客戶端通常使用這些信息來告訴(通過主連接或控制連接)應(yīng)用效勞器連接的匯接點。第二個應(yīng)答僅發(fā)生在所期望到來的連接成功或失敗之后。在第二個應(yīng)答中，BND.PORT和BND.ADDR字段包含了連上來的主機的IP地址和端口號。UDPASSOCIATE請求通常是要求建立一個UDP轉(zhuǎn)發(fā)進程來控制到來的UDP數(shù)據(jù)報。DST.ADDR和DST.PORT字段包含客戶端所希望的用來發(fā)送UDP數(shù)據(jù)報的IP地址和端口號。

對基于UDP的客戶來說，一般都是在建立TCP的主連接后再發(fā)送UDP報文，在UDPASSOCIATE應(yīng)答中由BND.PORT指明了效勞器所使用的UDP端口，一個基于UDP協(xié)議的客戶必須發(fā)送數(shù)據(jù)報至UDP轉(zhuǎn)發(fā)效勞器的端口上。

SOCKS代理效勞器的端口為1080，支持SOCKS代理效勞器的網(wǎng)絡(luò)工具常見的有Web瀏覽器(如IE)、下載工具(如NetAnts、CuteFTP)、網(wǎng)絡(luò)尋呼工具(如QQ)、電子郵件客戶端軟件(如Foxmail)、網(wǎng)絡(luò)游戲軟件(如聯(lián)眾、邊鋒)等。SOCKS代理效勞器并不像HTTP代理效勞器那么普及。有些局域網(wǎng)網(wǎng)管因為平安或其他原因，往往只開通了HTTP代理而關(guān)閉了SOCKS代理。在這種情況下，像瀏覽器、下載工具等可以使用HTTP代理效勞器的軟件是沒有任何問題的，可是那些必須依靠SOCKS代理效勞器的網(wǎng)絡(luò)工具軟件就不能直接使用了。例如QQ支持HTTP代理，但只提供給會員使用，普通用戶只可以使用SOCKS代理，F(xiàn)oxmail只支持SOCKS代理。有沒有一個簡單的方法在內(nèi)部網(wǎng)也可以使用這些軟件呢？這就需要用到協(xié)議轉(zhuǎn)換軟件SOCKS2HTTP，它的作用可以將HTTP代理變成客戶端的SOCKS代理，把對客戶端SOCKS代理的請求轉(zhuǎn)換成對HTTP代理的請求。常用的協(xié)議轉(zhuǎn)換軟件有國產(chǎn)的SocksOnline()、國外的Socks2HTTP(:///)。

具體的操作流程如下：在SOCKS2HTTP客戶端代理效勞器軟件的網(wǎng)絡(luò)設(shè)置中填上使用的HTTP代理效勞器的地址和端口，啟動依靠SOCKS代理效勞器的客戶端軟件。在客戶端軟件中設(shè)置SOCKS代理效勞器的地址和端口為：localhost:1080，即本地地址?？蛻舳塑浖腟OCKS請求將通過SOCKS2HTTP客戶端代理效勞器轉(zhuǎn)化成HTTP請求。SOCKS2HTTP的工作流程如下：客戶端(SOCKS5請求)SOCKS2HTTP客戶端代理效勞器HTTP代理效勞器SOCKS2HTTP效勞端效勞器效勞器

在上面的流程中，HTTP代理效勞器也是二級代理效勞器，但關(guān)鍵的地方是Sock2HTTP效勞端效勞器。SOCKS2HTTP的軟件在本地首先開始SOCKS5效勞，然后將客戶端發(fā)來的SOCKS5數(shù)據(jù)包變成HTTP的請求包，通過HTTP代理效勞器再發(fā)送到SOCKS2HTTP效勞端，接著由SOCKS2HTTP效勞端將收到的HTTP數(shù)據(jù)包復(fù)原成SOCKS5數(shù)據(jù)包，再將數(shù)據(jù)發(fā)送到目的地址。數(shù)據(jù)的回復(fù)過程正好相反。入侵檢測的內(nèi)容包括試圖闖入、成功闖入、冒充其他用戶、違反平安策略、合法用戶的泄露、獨占資源以及惡意使用。進行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)(IntrusionDetectionSystem，IDS)。它通過從計算機網(wǎng)絡(luò)或計算機系統(tǒng)的關(guān)鍵點收集信息并進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反平安策略的行為和被攻擊的跡象并且對其做出反響。有些反響是自動的，它包括通知網(wǎng)絡(luò)平安管理員(通過控制臺、電子郵件)來中止入侵進程、關(guān)閉系統(tǒng)以及斷開與互聯(lián)網(wǎng)的連接，使該用戶無效，或者執(zhí)行一個準備好的命令等。(4)異常行為模式的統(tǒng)計分析，發(fā)現(xiàn)入侵行為的規(guī)律；

(5)評估重要系統(tǒng)和數(shù)據(jù)文件的完整性，如計算和比較文件系統(tǒng)的校驗和；

(6)操作系統(tǒng)的審計跟蹤管理，并識別用戶違反平安策略的行為。

對一個成功的入侵檢測系統(tǒng)來講，它應(yīng)該能夠使系統(tǒng)管理員時刻了解網(wǎng)絡(luò)系統(tǒng)(包括程序、文件和硬件設(shè)備等)的任何變更；為網(wǎng)絡(luò)平安策略的制訂提供指南；它應(yīng)該管理、配置簡單，從而使非專業(yè)人員非常容易地獲得網(wǎng)絡(luò)平安；入侵檢測的規(guī)模應(yīng)根據(jù)網(wǎng)絡(luò)威脅、系統(tǒng)構(gòu)造和平安需求的改變而改變；入侵檢測系統(tǒng)在發(fā)現(xiàn)入侵后，會及時作出響應(yīng)，包括切斷網(wǎng)絡(luò)連接、記錄事件和報警等。最早的通用入侵檢測模型由D.Denning于1987年提出，如圖4-10所示。該模型由以下6個主要局部構(gòu)成：

(1)主體(Subjects)：在目標系統(tǒng)上活動的實體，如用戶。

(2)對象(Objets)：系統(tǒng)資源，如文件、設(shè)備、命令等。

(3)審計記錄(Auditrecords)：由如下的一個六元組構(gòu)成?<Subject，Action，Object，Exception-Condition，Resource-Usage，Time-Stamp>。活動(Action)是主體對目標的操作，對操作系統(tǒng)而言，這些操作包括讀、寫、登錄、退出等；異常條件(Exception-Condition)是指系統(tǒng)對主體的該活動的異常報告，如違反系統(tǒng)讀寫權(quán)限；資源使用狀況(Resource-Usage)是系統(tǒng)的資源消耗情況，如CPU、內(nèi)存使用率等；時間戳(Time-Stamp)是活動發(fā)生時間。(4)活動簡檔(ActivityProfile)：用以保存主體正常活動的有關(guān)信息。具體實現(xiàn)依賴于檢測方法，在統(tǒng)計方法中從事件數(shù)量、頻度、資源消耗等方面度量；可以使用方差、馬爾可夫模型等方法實現(xiàn)。

(5)異常記錄(AnomalyRecord)：由?<Event，Time-stamp，Profile>?組成。用以表示異常事件的發(fā)生情況。

(6)活動規(guī)那么：規(guī)那么集是檢查入侵是否發(fā)生的處理引擎，結(jié)合活動簡檔，用專家系統(tǒng)或統(tǒng)計方法等分析接收到的審計記錄，調(diào)整內(nèi)部規(guī)那么或統(tǒng)計信息，在判斷有入侵發(fā)生時采取相應(yīng)的措施。圖4-10Denning的通用入侵檢測模型Denning模型基于這樣一個假設(shè)：由于襲擊者使用系統(tǒng)的模式不同于正常用戶的使用模式，通過監(jiān)控系統(tǒng)的跟蹤記錄，可以識別襲擊者異常使用系統(tǒng)的模式，從而檢測出襲擊者違反系統(tǒng)平安性的情況。

Denning模型獨立于特定的系統(tǒng)平臺、應(yīng)用環(huán)境、系統(tǒng)弱點以及入侵類型，為構(gòu)建入侵檢測系統(tǒng)提供了一個通用的框架。

1988年，SRI/CSL的TeresaLunt等人改進了Denning的入侵檢測模型，并開發(fā)出了一個IDES，如圖4-11所示。該系統(tǒng)包括一個異常檢測器和一個專家系統(tǒng)，分別用于統(tǒng)計異常模型的建立和基于規(guī)那么的特征分析檢測。圖4-11SRI/CSL的IDES1990年加州大學(xué)戴維斯分校的等人開發(fā)出了NSM(NetworkSecurityMonitor)。該系統(tǒng)第一次直接將網(wǎng)絡(luò)流作為審計數(shù)據(jù)來源，因而可以在不將審計數(shù)據(jù)轉(zhuǎn)換成唯一格式的情況下監(jiān)控異種主機。從此之后，入侵檢測系統(tǒng)兩大陣營正式形成：基于網(wǎng)絡(luò)的IDS(NetworkIDS，NIDS)和基于主機的IDS(HostIDS，HIDS)。2)按監(jiān)測的對象分類

根據(jù)其監(jiān)測的對象是主機還是網(wǎng)絡(luò)分為基于主機的入侵檢測系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。

(1)基于主機的入侵檢測系統(tǒng)：通過監(jiān)視與分析主機的審計記錄檢測入侵。能否及時采集到審計是這些系統(tǒng)的弱點之一，入侵者會將主機審計子系統(tǒng)作為攻擊目標以避開入侵檢測系統(tǒng)。

(2)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)：通過在共享網(wǎng)段上對通信數(shù)據(jù)的偵聽采集數(shù)據(jù)，分析可疑現(xiàn)象。這類系統(tǒng)不需要主機提供嚴格的審計，對主機資源消耗少，并可以提供對網(wǎng)絡(luò)通用的保護而無需顧及異構(gòu)主機的不同架構(gòu)。3)按工作方式分類

根據(jù)工作方式分為離線檢測系統(tǒng)與在線檢測系統(tǒng)。

(1)離線檢測系統(tǒng)：非實時工作的系統(tǒng)，它在事后分析審計事件，從中檢查入侵活動。事后入侵檢測由網(wǎng)絡(luò)管理人員進行，他們具有網(wǎng)絡(luò)平安的專業(yè)知識，根據(jù)計算機系統(tǒng)對用戶操作所做的歷史審計記錄判斷是否存在入侵行為，如果有就斷開連接，并記錄入侵證據(jù)和進行數(shù)據(jù)恢復(fù)。事后入侵檢測是管理員定期或不定期進行的，不具有實時性。(2)在線檢測系統(tǒng)：在線檢測系統(tǒng)是實時聯(lián)機的檢測系統(tǒng)，它包含對實時網(wǎng)絡(luò)數(shù)據(jù)包分析，實時主機審計分析。其工作過程是：實時入侵檢測在網(wǎng)絡(luò)連接過程中進行，系統(tǒng)根據(jù)用戶的歷史行為模型、存儲在計算機中的專家知識以及神經(jīng)網(wǎng)絡(luò)模型對用戶當(dāng)前的操作進行判斷，一旦發(fā)現(xiàn)入侵跡象便立即斷開入侵者與主機的連接，并收集證據(jù)和實施數(shù)據(jù)恢復(fù)。這個檢測過程是不斷循環(huán)進行的。入侵檢測很大程度上依賴于收集信息的可靠性和正確性，因此，有必要利用所知道的真正的和精確的軟件來報告這些信息。因為入侵者經(jīng)常替換軟件以搞混和移走這些信息，例如替換被程序調(diào)用的子程序、庫和其它工具。入侵者對系統(tǒng)的修改可能使系統(tǒng)功能失常而看起來卻跟正常的一樣。這需要保證用來檢測網(wǎng)絡(luò)系統(tǒng)的軟件的完整性，特別是入侵檢測系統(tǒng)軟件本身應(yīng)具有相當(dāng)強的鞏固性，防止被篡改而收集到錯誤的信息。入侵檢測利用的信息一般來自以下四個方面：

(1)系統(tǒng)和網(wǎng)絡(luò)日志。如果不知道入侵者在系統(tǒng)上都做了什么，那是不可能發(fā)現(xiàn)入侵的。日志提供了當(dāng)前系統(tǒng)的細節(jié)，哪些系統(tǒng)被攻擊了，哪些系統(tǒng)被攻破了。因此，充分利用系統(tǒng)和網(wǎng)絡(luò)日志文件信息是檢測入侵的必要條件。日志中包含發(fā)生在系統(tǒng)和網(wǎng)絡(luò)上的不尋常和不期望活動的證據(jù)，這些證據(jù)可以指出有人正在入侵或已成功入侵了系統(tǒng)。通過查看日志文件，能夠發(fā)現(xiàn)成功的入侵或入侵企圖，并很快地啟動相應(yīng)的應(yīng)急響應(yīng)程序。日志文件中記錄了各種行為類型，每種類型又包含不同的信息，例如記錄“用戶活動〞類型的日志，就包含登錄、用戶ID改變、用戶對文件的訪問、授權(quán)和認證信息等內(nèi)容。很顯然，對用戶活動來講，不正常的或不期望的行為就是重復(fù)登錄失敗、登錄到不期望的位置以及非授權(quán)的企圖訪問重要文件，等等。由于日志的重要性，所有重要的系統(tǒng)都應(yīng)定期做日志，而且日志應(yīng)被定期保存和備份，因為不知何時會需要它。許多專家建議定期向一個中央日志效勞器上發(fā)送所有日志，而這個效勞器使用一次性寫入的介質(zhì)來保存數(shù)據(jù)，這樣就防止了攻擊者篡改日志。系統(tǒng)本地日志與發(fā)到一個遠端系統(tǒng)保存的日志提供了冗余和一個額外的平安保護層?，F(xiàn)在兩個日志可以互相比較，任何的不同顯示了系統(tǒng)的異常。(2)目錄和文件中的不期望的改變。網(wǎng)絡(luò)環(huán)境中的文件系統(tǒng)包含很多軟件和數(shù)據(jù)文件。包含重要信息的文件和私有數(shù)據(jù)文件經(jīng)常是攻擊者修改或破壞的目標。目錄和文件中的不期望的改變(包括修改、創(chuàng)立和刪除)，特別是那些正常情況下限制訪問的，很可能就是一種入侵產(chǎn)生的指示和信號。攻擊者經(jīng)常替換、修改和破壞他們獲得訪問權(quán)的系統(tǒng)上的文件，同時為了隱藏系統(tǒng)中他們的表現(xiàn)及活動痕跡，都會盡力去替換系統(tǒng)程序或修改系統(tǒng)日志文件。(3)程序執(zhí)行中的不期望行為。網(wǎng)絡(luò)系統(tǒng)上的程序執(zhí)行一般包括操作系統(tǒng)、網(wǎng)絡(luò)效勞、用戶啟動的程序和特定目的的應(yīng)用，例如數(shù)據(jù)庫效勞器。每個在系統(tǒng)上執(zhí)行的程序由一到多個進程來實現(xiàn)。每個進程執(zhí)行在具有不同權(quán)限的環(huán)境中，這種環(huán)境控制著進程可訪問的系統(tǒng)資源、程序和數(shù)據(jù)文件等。一個進程的執(zhí)行行為由它運行時執(zhí)行的操作來表現(xiàn)，操作執(zhí)行的方式不同，它利用的系統(tǒng)資源也就不同。操作包括計算、文件傳輸、設(shè)備和其它進程，以及與網(wǎng)絡(luò)間其它進程的通信。一個進程出現(xiàn)了不期望的行為可能說明攻擊者正在入侵系統(tǒng)。攻擊者可能會將程序或效勞的運行分解，從而導(dǎo)致它失敗，或者是以非用戶或管理員意圖的方式操作。

(4)物理形式的入侵信息。這包括兩個方面的內(nèi)容，一是未授權(quán)的對網(wǎng)絡(luò)硬件連接；二是對物理資源的未授權(quán)訪問。入侵者會想方設(shè)法去突破網(wǎng)絡(luò)的周邊防衛(wèi)，如果他們能夠在物理上訪問內(nèi)部網(wǎng)，就能安裝他們自己的設(shè)備和軟件。依此，入侵者就可以知道網(wǎng)上的由用戶加上去的不平安(未授權(quán))設(shè)備，然后利用這些設(shè)備訪問網(wǎng)絡(luò)。(2)統(tǒng)計分析。統(tǒng)計分析方法首先給系統(tǒng)對象(如用戶、文件、目錄和設(shè)備等)創(chuàng)立一個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性(如訪問次數(shù)、操作失敗次數(shù)和延時等)。測量屬性的平均值將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進行比較，任何觀察值在正常值范圍之外時，就認為有入侵發(fā)生。例如，統(tǒng)計分析可能標識一個不正常行為，因為它發(fā)現(xiàn)一個在晚八點至早六點從不登錄的賬戶卻在凌晨兩點試圖登錄。其優(yōu)點是可檢測到未知的入侵和更為復(fù)雜的入侵，缺點是誤報、漏報率高，且不適應(yīng)用戶正常行為的突然改變。具體的統(tǒng)計分析方法如基于專家系統(tǒng)的、基于模型推理的和基于神經(jīng)網(wǎng)絡(luò)的分析方法，目前正處于研究熱點和迅速開展之中。(3)完整性分析。完整性分析主要關(guān)注某個文件或?qū)ο笫欠癖桓模@經(jīng)常包括文件和目錄的內(nèi)容及屬性，它在發(fā)現(xiàn)被更改的、被特洛伊化的應(yīng)用程序方面特別有效。完整性分析使用消息摘要函數(shù)(例如MD5)，它能識別哪怕是微小的變化。其優(yōu)點是不管模式匹配方法和統(tǒng)計分析方法能否發(fā)現(xiàn)入侵，只要是成功的攻擊導(dǎo)致了文件或其它對象的任何改變，它都能夠發(fā)現(xiàn)。缺點是一般以批處理方式實現(xiàn)，不用于實時響應(yīng)。盡管如此，完整性檢測方法還應(yīng)該是網(wǎng)絡(luò)平安產(chǎn)品的必要手段之一。例如，可以在每一天的某個特定時間內(nèi)開啟完整性分析模塊，對網(wǎng)絡(luò)系統(tǒng)進行全面的掃描檢查。3)入侵檢測響應(yīng)方式

入侵檢測響應(yīng)方式分為主動響應(yīng)和被動響應(yīng)。

(1)被動響應(yīng)型系統(tǒng)只會發(fā)出告警通知，將發(fā)生的不正常情況報告給管理員，本身并不試圖降低所造成的破壞，更不會主動地對攻擊者采取還擊行動。

(2)主動響應(yīng)系統(tǒng)可以分為對被攻擊系統(tǒng)實施控制和對攻擊系統(tǒng)實施控制的系統(tǒng)。

①對被攻擊系統(tǒng)實施控制(防護)。它通過調(diào)整被攻擊系統(tǒng)的狀態(tài)，阻止或減輕攻擊影響，例如斷開網(wǎng)絡(luò)連接、增加平安日志、殺死可疑進程等。②對攻擊系統(tǒng)實施控制(還擊)。這種系統(tǒng)多被軍方所重視和采用。

目前，主動響應(yīng)系統(tǒng)還比較少，即使做出主動響應(yīng)，一般也都是斷開可疑攻擊的網(wǎng)絡(luò)連接，或是阻塞可疑的系統(tǒng)調(diào)用，假設(shè)失敗，那么終止該進程。但由于系統(tǒng)暴露于拒絕效勞攻擊下，這種防御一般也難以實施。

2．常用檢測方法

入侵檢測系統(tǒng)常用的檢測方法有特征檢測、統(tǒng)計檢測與專家系統(tǒng)。目前入侵檢測系統(tǒng)中絕大多數(shù)屬于使用入侵模板進行模式匹配的特征檢測系統(tǒng)，其他少量是采用概率統(tǒng)計的統(tǒng)計檢測系統(tǒng)與基于日志的專家知識庫系統(tǒng)。1)特征檢測

特征檢測對的攻擊或入侵的方式作出確定性的描述，形成相應(yīng)的事件模式。當(dāng)被審計的事件與的入侵事件模式相匹配時，即報警。原理上與專家系統(tǒng)相仿。其檢測方法上與計算機病毒的檢測方式類似。目前基于對包特征描述的模式匹配應(yīng)用較為廣泛。

該方法預(yù)報檢測的準確率較高，但對于無經(jīng)驗知識的入侵與攻擊行為無能為力。2)統(tǒng)計檢測

統(tǒng)計模型常用異常檢測，在統(tǒng)計模型中常用的測量參數(shù)包括審計事件的數(shù)量、間隔時間、資源消耗情況等。常用的入侵檢測5種統(tǒng)計模型如下：

(1)操作模型：該模型假設(shè)異常可通過測量結(jié)果與一些固定指標相比較得到，固定指標可以根據(jù)經(jīng)驗值或一段時間內(nèi)的統(tǒng)計平均得到。舉例來說，在短時間內(nèi)的屢次失敗的登錄很有可能是口令嘗試攻擊。

(2)方差模型：計算參數(shù)的方差，設(shè)定其置信區(qū)間，當(dāng)測量值超過置信區(qū)間的范圍時說明有可能是異常。(3)多元模型：操作模型的擴展，通過同時分析多個參數(shù)實現(xiàn)檢測。

(4)馬爾柯夫過程模型：將每種類型的事件定義為系統(tǒng)狀態(tài)，用狀態(tài)轉(zhuǎn)移矩陣來表示狀態(tài)的變化；當(dāng)一個事件發(fā)生時，或狀態(tài)矩陣應(yīng)轉(zhuǎn)移的概率較小時，那么可能是異常事件。

(5)時間序列分析模型：將事件計數(shù)與資源耗用根據(jù)時間排成序列，如果一個新事件在該時間發(fā)生的概率較低，那么該事件可能是入侵。這種入侵檢測方法是基于對用戶歷史行為建模以及在早期的證據(jù)或模型的根底上，審計系統(tǒng)實時地檢測用戶對系統(tǒng)的使用情況，根據(jù)系統(tǒng)內(nèi)部保存的用戶行為概率統(tǒng)計模型進行檢測；當(dāng)發(fā)現(xiàn)有可疑的用戶行為發(fā)生時保持跟蹤并監(jiān)測、記錄該用戶的行為。系統(tǒng)要根據(jù)每個用戶以前的歷史行為，生成每個用戶的歷史行為記錄庫，當(dāng)用戶改變他們的行為習(xí)慣時，這種異常就會被檢測出來。

統(tǒng)計方法的最大優(yōu)點是它可以“學(xué)習(xí)〞用戶的使用習(xí)慣，從而具有較高檢出率與可用性。但是它的“學(xué)習(xí)〞能力也給入侵者以時機通過逐步“訓(xùn)練〞使入侵事件符合正常操作的統(tǒng)計規(guī)律，從而透過入侵檢測系統(tǒng)。3)專家系統(tǒng)

用專家系統(tǒng)對入侵進行檢測，經(jīng)常是針對有特征入侵行為時。所謂的規(guī)那么，即是知識，不同的系統(tǒng)與設(shè)置具有不同的規(guī)那么，且規(guī)那么之間往往無通用性。專家系統(tǒng)的建立依賴于知識庫的完備性，知識庫的完備性又取決于審計記錄的完備性與實時性。入侵的特征抽取與表達，是入侵檢測專家系統(tǒng)的關(guān)鍵。在系統(tǒng)實現(xiàn)中，將有關(guān)入侵的知識轉(zhuǎn)化為if-then結(jié)構(gòu)(也可以是復(fù)合結(jié)構(gòu))，條件局部為入侵特征，then局部是系統(tǒng)防范措施。運用專家系統(tǒng)防范有特征入侵行為的有效性完全取決于專家系統(tǒng)知識庫的完備性。圖4-12基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)基于網(wǎng)絡(luò)的IDS已經(jīng)廣泛成為平安策略的實施中的重要組件，它有許多僅靠基于主機的入侵檢測法無法提供的優(yōu)點。

(1)擁有本錢較低?；诰W(wǎng)絡(luò)的IDS可在幾個關(guān)鍵訪問點上進行策略配置，以觀察發(fā)往多個系統(tǒng)的網(wǎng)絡(luò)通信。所以它不要求在許多主機上裝載并管理軟件。由于需監(jiān)測的點較少，因此對于一個公司的環(huán)境來說，擁有本錢很低。(2)檢測基于主機的系統(tǒng)漏洞的攻擊?；诰W(wǎng)絡(luò)的IDS檢查所有包的頭部從而發(fā)現(xiàn)惡意的和可疑的行動跡象。基于主機的IDS無法查看包的頭部，所以它無法檢測到這一類型的攻擊。例如，許多來自于IP地址的拒絕效勞型和碎片型攻擊只能在它們經(jīng)過網(wǎng)絡(luò)時，都可以在基于網(wǎng)絡(luò)的IDS中通過實時監(jiān)測包流而被發(fā)現(xiàn)。

基于網(wǎng)絡(luò)的IDS可以檢查有效負載的內(nèi)容，查找用于特定攻擊的指令或語法。例如，通過檢查數(shù)據(jù)包有效負載可以查到黑客軟件，而使正在尋找系統(tǒng)漏洞的攻擊者毫無覺察。由于基于主機的系統(tǒng)不檢查有效負載，所以不能識別有效負載中所包含的攻擊信息。(3)攻擊者不易轉(zhuǎn)移證據(jù)?；诰W(wǎng)絡(luò)的IDS使用正在發(fā)生的網(wǎng)絡(luò)通信進行實時攻擊的檢測。所以攻擊者無法轉(zhuǎn)移證據(jù)。被捕獲的數(shù)據(jù)不僅包括攻擊的方法，而且還包括可識別的入侵者身份及對其進行起訴的信息。許多入侵者都熟知審計記錄，他們知道如何操縱這些文件掩蓋他們的入侵痕跡，來阻止需要這些信息的基于主機的IDS去檢測入侵。(4)實時檢測和響應(yīng)?；诰W(wǎng)絡(luò)的IDS可以在惡意及可疑的攻擊發(fā)生的同時將其檢測出來，并做出更快的通知和響應(yīng)。例如，一個基于TCP的對網(wǎng)絡(luò)進行的拒絕效勞攻擊，可以通過將基于網(wǎng)絡(luò)的IDS發(fā)出TCP復(fù)位信號，在該攻擊對目標主機造成破壞前，將其中斷。而基于主機的系統(tǒng)只有在可疑的登錄信息被記錄下來以后才能識別攻擊并做出反響。而這時關(guān)鍵系統(tǒng)可能早就遭到了破壞，或是運行基于主機的IDS的系統(tǒng)已被摧毀。實時IDS可根據(jù)預(yù)定義的參數(shù)做出快速反響，這些反響包括將攻擊設(shè)為監(jiān)視模式以收集信息，立即中止攻擊等。網(wǎng)絡(luò)入侵檢測系統(tǒng)有向?qū)ｉT的設(shè)備開展的趨勢，安裝這樣的一個網(wǎng)絡(luò)入侵檢測系統(tǒng)非常方便，只需將定制的設(shè)備接上電源，做很少一些配置，將其連到網(wǎng)絡(luò)上即可。

網(wǎng)絡(luò)入侵檢測系統(tǒng)有如下的弱點。

(1)網(wǎng)絡(luò)入侵檢測系統(tǒng)只檢查它直接連接網(wǎng)段的通信，不能檢測在不同網(wǎng)段的網(wǎng)絡(luò)包。在使用交換以太網(wǎng)的環(huán)境中就會出現(xiàn)監(jiān)測范圍的局限。而安裝多臺網(wǎng)絡(luò)入侵檢測系統(tǒng)的傳感器會使布署整個系統(tǒng)的本錢大大增加。(2)網(wǎng)絡(luò)入侵檢測系統(tǒng)為了性能目標通常采用特征檢測的方法，它可以檢測出普通的一些攻擊，而很難實現(xiàn)一些復(fù)雜的需要大量計算與分析時間的攻擊檢測。

(3)網(wǎng)絡(luò)入侵檢測系統(tǒng)可能會將大量的數(shù)據(jù)傳回分析系統(tǒng)中。在一些系統(tǒng)中監(jiān)聽特定的數(shù)據(jù)包會產(chǎn)生大量的分析數(shù)據(jù)流量。一些系統(tǒng)在實現(xiàn)時采用一定方法來減少回傳的數(shù)據(jù)量，對入侵判斷的決策由傳感器實現(xiàn)，而中央控制臺成為狀態(tài)顯示與通信中心，不再作為入侵行為分析器。這樣的系統(tǒng)中的傳感器協(xié)同工作能力較弱。

(4)網(wǎng)絡(luò)入侵檢測系統(tǒng)處理加密的會話過程較困難，目前通過加密通道的攻擊尚不多，但隨著IPv6的普及，這個問題會越來越突出。管理員才能實施的非正常行為。操作系統(tǒng)記錄了任何有關(guān)用戶賬號的增加，刪除、更改的情況，只要改動一旦發(fā)生，基于主機的IDS就能檢測到這種不適當(dāng)?shù)母膭??；谥鳈C的IDS還可審計能影響系統(tǒng)記錄的校驗措施的改變?；谥鳈C的系統(tǒng)可以監(jiān)視主要系統(tǒng)文件和可執(zhí)行文件的改變。系統(tǒng)能夠查出那些欲改寫重要系統(tǒng)文件或者安裝特洛伊木馬或后門的嘗試并將它們中斷。而基于網(wǎng)絡(luò)的系統(tǒng)有時會查不到這些行為。

(3)能夠檢查到基于網(wǎng)絡(luò)的系統(tǒng)檢查不出的攻擊?；谥鳈C的系統(tǒng)可以檢測到那些基于網(wǎng)絡(luò)的系統(tǒng)覺察不到的攻擊。例如，來自主要效勞器鍵盤的攻擊不經(jīng)過網(wǎng)絡(luò)，所以可以躲開基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。(5)近于實時的檢測和響應(yīng)。盡管基于主機的入侵檢測系統(tǒng)不能提供真正實時的反響，但如果應(yīng)用正確，反響速度可以非常接近實時。老式系統(tǒng)利用一個進程在預(yù)先定義的間隔內(nèi)檢查登記文件的狀態(tài)和內(nèi)容。與老式系統(tǒng)不同，當(dāng)前基于主機的系統(tǒng)的中斷指令的這種新的記錄可被立即處理，顯著減少了從攻擊驗證到作出響應(yīng)的時間，在從操作系統(tǒng)作出記錄到基于主機的系統(tǒng)得到辨識結(jié)果之間的這段時間是一段延遲，但大多數(shù)情況下，在破壞發(fā)生之前，系統(tǒng)就能發(fā)現(xiàn)入侵者，并中止他的攻擊。(6)不要求額外的硬件設(shè)備。基于主機的入侵檢測系統(tǒng)存在于現(xiàn)行網(wǎng)絡(luò)結(jié)構(gòu)之中，包括文件效勞器，Web效勞器及其它共享資源。這些使得基于主機的系統(tǒng)效率很高。因為它們不需要在網(wǎng)絡(luò)上另外安裝登記、維護及管理的硬件設(shè)備。

(7)記錄花費更加低廉?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)比基于主機的入侵檢測系統(tǒng)要昂貴的多?；谥鳈C的入侵檢測系統(tǒng)有如下的弱點。

(1)主機入侵檢測系統(tǒng)安裝在我們需要保護的設(shè)備上，如當(dāng)一個數(shù)據(jù)庫效勞器要保護時，就要在效勞器本身上安裝入侵檢測系統(tǒng)。這會降低應(yīng)用系統(tǒng)的效率。此外，它也會帶來一些額外的平安問題，安裝了主機入侵檢測系統(tǒng)后，將本不允許平安管理員有權(quán)力訪問的效勞器變成他可以訪問的了。

(2)主機入侵檢測系統(tǒng)依賴于效勞器固有的日志與監(jiān)視能力。如果效勞器沒有配置日志功能，那么必須重新配置，這將會給運行中的業(yè)務(wù)系統(tǒng)帶來不可預(yù)見的性能影響。(3)全面布署主機入侵檢測系統(tǒng)代價較大。企業(yè)中很難將所有主機用主機入侵檢測系統(tǒng)保護，只能選擇局部主機保護。那些未安裝主機入侵檢測系統(tǒng)的機器將成為保護的盲點，入侵者可利用這些機器到達攻擊目標。

(4)主機入侵檢測系統(tǒng)除了監(jiān)測自身的主機以外，根本不監(jiān)測網(wǎng)絡(luò)上的情況。對入侵行為的分析的工作量將隨著主機數(shù)目增加而增加。

基于主機和基于網(wǎng)絡(luò)的入侵檢測都有其優(yōu)勢和劣勢，兩種方法互為補充。一種真正有效的入侵檢測系統(tǒng)應(yīng)將二者結(jié)合。

基于主機和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的比較見表4-1。表4-1基于主機和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的比較3．混合入侵檢測系統(tǒng)

基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)和基于主機的入侵檢測系統(tǒng)都有缺乏之處，單純使用一類系統(tǒng)會造成主動防御體系不全面。但是，它們的缺憾是互補的。如果這兩類系統(tǒng)能夠無縫結(jié)合起來部署在網(wǎng)絡(luò)內(nèi)，那么會構(gòu)架成一套完整立體的主動防御體系，綜合了基于網(wǎng)絡(luò)和基于主機兩種結(jié)構(gòu)特點的入侵檢測系統(tǒng)，既可發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊信息，也可從系統(tǒng)日志中發(fā)現(xiàn)異常情況。4．文件完整性檢查系統(tǒng)

文件完整性檢查系統(tǒng)檢查計算機中自上次檢查后文件的變化情況。文件完整性檢查系統(tǒng)保存有每個文件的數(shù)字摘要數(shù)據(jù)庫，每次檢查時，它重新計算文件的數(shù)字摘要并將它與數(shù)據(jù)庫中的值相比較，如不同，那么文件已被修改，假設(shè)相同，文件那么未發(fā)生變化。

文件的數(shù)字摘要通過Hash函數(shù)計算得到。不管文件長度如何，它的Hash函數(shù)計算結(jié)果是一個固定長度的數(shù)字。與加密算法不同，Hash算法是一個不可逆的單向函數(shù)。采用平安性高的Hash算法，如MD5、SHA時，兩個不同的文件幾乎不可能得到相同的Hash結(jié)果。從而，當(dāng)文件一旦被修改，就可檢測出來。文件完整性檢查系統(tǒng)有如下的優(yōu)點。

(1)從數(shù)學(xué)上分析，攻克文件完整性檢查系統(tǒng)，無論是時間上還是空間上都是不可能的。文件完整性檢查系統(tǒng)是非常強勁的檢測文件被修改的工具。實際上，文件完整性檢查系統(tǒng)是一個檢測系統(tǒng)被非法使用的最重要的工具之一。

(2)文件完整性檢查系統(tǒng)具有相當(dāng)?shù)撵`活性，可以配置成為監(jiān)測系統(tǒng)中所有文件或某些重要文件。

(3)當(dāng)一個入侵者攻擊系統(tǒng)時，他會干兩件事，首先，他要掩蓋他的蹤跡，即他要通過更改系統(tǒng)中的可執(zhí)行文件、庫文件或日志文件來隱藏他的活動；其次，他要作一些改動，以保證下次能夠繼續(xù)入侵。這兩種活動都能夠被文件完整性檢查系統(tǒng)檢測出。文件完整性檢查系統(tǒng)有如下的弱點。

(1)文件完整性檢查系統(tǒng)依賴于本地的摘要數(shù)據(jù)庫。與日志文件一樣，這些數(shù)據(jù)可能被入侵者修改。當(dāng)一個入侵者取得管理員權(quán)限后，在完成破壞活動后，可以運行文件完整性檢查系統(tǒng)更新數(shù)據(jù)庫，從而瞞過系統(tǒng)管理員。當(dāng)然，可以將文摘數(shù)據(jù)庫放在只讀的介質(zhì)上，但這樣的配置不夠靈活。

(2)做一次完整的文件完整性檢查是一個非常耗時的工作，在Tripwire中，在需要時可選擇檢查某些系統(tǒng)特性而不是完全的摘要，從而加快檢查速度。

(3)系統(tǒng)有些正常的更新操作(如軟件升級)可能會帶來大量的文件更新，從而產(chǎn)生比較繁雜的檢查與分析工作5．入侵檢測系統(tǒng)的評估

目前市場上有許多入侵檢測系統(tǒng)，這些產(chǎn)品在不同方面都有各自的特色。如何去評價這些產(chǎn)品，尚無形成規(guī)定的評估標準。一般可以從以下幾個方面去評價一個入侵檢測系統(tǒng)。

(1)能否保證自身的平安。和其他系唯一樣，入侵檢測系統(tǒng)本身也往往存在平安漏洞。假設(shè)對入侵檢測系統(tǒng)攻擊成功，那么直接導(dǎo)致其報警失靈，入侵者在其后所作的行為將無法被記錄。因此入侵檢測系統(tǒng)首先必須保證自己的平安性。(2)網(wǎng)絡(luò)入侵檢測系統(tǒng)負載能力以及可支持的網(wǎng)絡(luò)類型。根據(jù)網(wǎng)絡(luò)入侵檢測系統(tǒng)所布署的網(wǎng)絡(luò)環(huán)境不同，要求也不同。對于網(wǎng)絡(luò)入侵檢測系統(tǒng)，最大可處理流量(包/秒，PPS)是多少。首先，要分析網(wǎng)絡(luò)入侵檢測系統(tǒng)所布署的網(wǎng)絡(luò)環(huán)境，如果在512KB或2MB專線上布署網(wǎng)絡(luò)入侵檢測系統(tǒng)，那么不需要高速的入侵檢測引擎，而在負荷較高的環(huán)境中，性能是一個非常重要的指標。較少的資源消耗，不影響受保護主機或網(wǎng)絡(luò)的正常運行。

(3)升級與維護系統(tǒng)的開銷。像反病毒軟件一樣，入侵檢測的特征庫需要不斷更新，才能檢測出新出現(xiàn)的攻擊方法。(8)是否支持TCP流重組。TCP流重組是為了對完整的網(wǎng)絡(luò)對話進行分析，它是網(wǎng)絡(luò)入侵檢測系統(tǒng)對應(yīng)用層進行分析的根底。如檢查郵件內(nèi)容、附件，檢查FTP傳輸?shù)臄?shù)據(jù)，禁止訪問有害網(wǎng)站，判斷非法HTTP請求等。

(9)系統(tǒng)的價格。價格是必須考慮的要點，不過，性能價格比以及要保護系統(tǒng)的價值才是更重要的因素。

(10)該產(chǎn)品是否容易被躲避。有些常用的躲開入侵檢測的方法，如：分片、TTL欺騙、異常TCP分段、慢掃描、協(xié)同攻擊等。平安審計就是對與網(wǎng)絡(luò)平安有關(guān)活動的相關(guān)信息進行識別、記錄、存儲和分析，并檢查網(wǎng)絡(luò)上發(fā)生了哪些與平安有關(guān)的活動以及誰對這個活動負責(zé)。主要功能包括自動響應(yīng)、數(shù)據(jù)生成、審計分析與查詢、數(shù)據(jù)存儲等。

國內(nèi)外對于網(wǎng)絡(luò)平安審計系統(tǒng)的研究起步較晚。1980年，Anderson首次提出了利用系統(tǒng)日志信息進行平安審計的思想。經(jīng)過30年的研究和開展，已形成了較為完備的理論和實際應(yīng)用系統(tǒng)。但日志研究尚存在一些問題。

在日志分析統(tǒng)計、實時日志監(jiān)控和平安日志管理方面做了大量的工作，但缺乏比較綜合的數(shù)據(jù)提煉能力的日志搜索和分析系統(tǒng)。

平安審計的流程圖如圖4-13所示。圖4-13平安審計的流程圖日志平安審計

本系統(tǒng)采用實時審計與事后審計相結(jié)合的方式，對采集到的數(shù)據(jù)進行審計。實時審計就是在系統(tǒng)的運行過程中將采集到的日志數(shù)據(jù)與所設(shè)定的規(guī)那么匹配，匹配成功那么將相應(yīng)的報警處理信息通過一定方式給出，并將對應(yīng)的審核數(shù)據(jù)存入實時審計數(shù)據(jù)庫；否那么將視此日志事件為平安操作。事后審計是一種集中的數(shù)據(jù)處理行為。由于在實時審計過程中主要針對的是單條日志數(shù)據(jù)，對于很多有關(guān)聯(lián)的操作不能夠做出準確的判斷。事后審計彌補了這一缺乏，對于一些有關(guān)聯(lián)的連續(xù)的事件可以做出較準確的判斷，同時將相關(guān)結(jié)果存入歷史審計數(shù)據(jù)庫。數(shù)據(jù)審計就是對事件行為的合法性因此系統(tǒng)中提出了時間合理性規(guī)那么對正常用戶的非正常登錄進行審計，對用戶的行為進行跟蹤與記錄。規(guī)那么在實施的過程中是將用戶的訪問時間預(yù)先設(shè)定，而且只能擁有管理員權(quán)限才能對用戶合法時間進行修改或參加新用戶作業(yè)時間。具體是在系統(tǒng)獲取的日志數(shù)據(jù)中如果檢測到包含有該用戶信息，而且是不被允許登錄訪問的時間，那么直接向管理員發(fā)出報警；如果此操作不是被特別允許，那么此行為對系統(tǒng)數(shù)據(jù)平安有較高程度的威脅。結(jié)果響應(yīng)

審計出的問題將根據(jù)事件模式的危險程度給出對應(yīng)響應(yīng)。具體如下：平安事件在數(shù)據(jù)清理階段將被過濾掉；較低危險等級事件可以只將此事件模式對應(yīng)信息記錄到審計數(shù)據(jù)庫；中等危險等級事件模式除將事件信息記錄到審計數(shù)據(jù)庫外，還要給出相應(yīng)的交流對話信息，通過管理員的響應(yīng)來確定事件模式的最終危險程度；高危險等級事件模式將直接給出通知信息，同時將相關(guān)事件模式的簡要信息發(fā)送到管理員專用郵箱，并將此類事件信息入庫。審計報告

審計報告模式采用系統(tǒng)主動提供與被動提供兩種方式。系統(tǒng)主動提供就是在系統(tǒng)中參加控制時間，要求系統(tǒng)在特定的時間完成對特定時段審計結(jié)果信息的提取、整理與分析;被動提供是用戶依據(jù)系統(tǒng)提供的審計報警信息或根據(jù)自己發(fā)現(xiàn)的問題信息向系統(tǒng)提出報告請求，系統(tǒng)根據(jù)提出的請求信息給出相應(yīng)的審計報告。審計報告的內(nèi)容主要涉及系統(tǒng)的簡要信息，審計結(jié)果的簡單數(shù)理統(tǒng)計，危險等級與事件模式，用戶以及工作站相關(guān)信息等。在給出簡要信息的根底上根據(jù)現(xiàn)有網(wǎng)絡(luò)平安知識設(shè)定系統(tǒng)平安參數(shù)來推斷當(dāng)前系統(tǒng)的平安狀態(tài)，并根據(jù)數(shù)據(jù)分析結(jié)果提出相應(yīng)的平安防范措施或建議。漏洞的定義

系統(tǒng)平安漏洞，也可以稱為系統(tǒng)脆弱性，是指計算機系統(tǒng)在硬件、軟件、協(xié)議的設(shè)計、具體實現(xiàn)以及系統(tǒng)平安策略上存在的缺陷和缺乏。系統(tǒng)脆弱性是相對系統(tǒng)平安而言的，從廣義的角度看，一切可能導(dǎo)致系統(tǒng)平安性受影響或破壞的因素都可以視為系統(tǒng)平安漏洞。平安漏洞的存在，使得非法用戶可以利用這些漏洞獲得某些系統(tǒng)權(quán)限，進而對系統(tǒng)執(zhí)行非法操作，導(dǎo)致平安事件的發(fā)生，漏洞檢測就是希望能防患于未然，在漏洞被利用之前能及時發(fā)現(xiàn)并修補之。漏洞的分類

漏洞是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)平安策略上存在的缺陷，由于它的存在，使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)。

漏洞的產(chǎn)生有其必然性，這是因為軟件的正確性通常是通過檢測來保障的?！皺z測只能發(fā)現(xiàn)錯誤，證明錯誤的存在，不能證明錯誤的不存在〞。這一斷言，被軟件工程的實踐證明無疑是正確的。軟件尤其像操作系統(tǒng)這樣的大型軟件不可防止地存在著設(shè)計上的缺陷，這些缺陷反映在平安功能上便造成了系統(tǒng)的平安脆弱性。漏洞的分類有很多種。不同的側(cè)重點有不同分類方法。

(1)按漏洞的成因分：①設(shè)計漏洞；②實現(xiàn)漏洞；③配置漏洞。

(2)按攻擊方式分：①黑客直接入侵攻擊；②黑客間接入侵攻擊。

(3)按攻擊危險程度分：①高級危險漏洞；②中級危險漏洞；③低級危險漏洞。

(4)按攻擊結(jié)果分：①攻擊入侵型；②攻擊死機型；③信息泄露型。漏洞檢測方法

(1)按照測試程序在實施某一測試時所扮演的角色，檢測方法可以分為兩種。

①主動測試方法：是指測試程序扮演攻擊者的角色，使用攻擊的手段來發(fā)現(xiàn)各種漏洞。

②被動測試方法：是指測試程序扮演類似于審計員或系統(tǒng)管理員的角色，檢測它們所在的系統(tǒng)，通過查看系統(tǒng)的狀態(tài)來發(fā)現(xiàn)隱藏的漏洞。被動測試方法并不需要主動發(fā)送探測數(shù)據(jù)包而是被動地捕獲對方所發(fā)送和接收的提出報文，通過檢測相應(yīng)的協(xié)議字段值，再查詢指紋數(shù)據(jù)庫找出相匹配的類型。但主動測試的方法比被動測試的方法更危險。設(shè)想如果現(xiàn)在對網(wǎng)絡(luò)系統(tǒng)進行拒絕效勞類攻擊的測試，那么做好準備測試的目標主機就有可能死機、重啟或者處于不穩(wěn)定的狀態(tài)。相反，被動測試就會顯得不那么具有攻擊性。它只是查看審計文件、配置文件、系統(tǒng)可執(zhí)行文件、其他敏感的文件等，查看它們的保護機制、檢驗它們是否被惡意代碼改變或者它們是否蘊藏著攻擊者的蹤跡等。這兩種方法對于攻擊者來說，都是極有幫助的。(2)按照測試程序可以測試的范圍，檢測方法可以分為兩種。

①單一漏洞測試：范圍比較小，一般只報告漏洞產(chǎn)生的直接后果。

②系統(tǒng)漏洞測試：范圍較廣，可以就漏洞對系統(tǒng)產(chǎn)生的連鎖性影響作出報告，或?qū)讉€漏洞對系統(tǒng)的共同作用作出報告。

(3)按照測試程序測試的途徑，檢測方法可以分為三種。

①單個系統(tǒng)的本地檢測：檢測它們所運行的操作系統(tǒng)。

②網(wǎng)絡(luò)測試：通過計算機網(wǎng)絡(luò)來測試遠程系統(tǒng)。

③分布式的測試：在每臺主機上根據(jù)該機在系統(tǒng)中的不同角色而執(zhí)行的不同任務(wù)，并通過計算機網(wǎng)絡(luò)交換各自的測試結(jié)果，從而做出綜合性的平安評估。4．環(huán)境錯誤注入

由程序執(zhí)行是一個動態(tài)過程這個特點，不難看出靜態(tài)的代碼掃描是不完備的。環(huán)境錯誤注入是一種比較成熟的軟件測試方法。這種方法在協(xié)議平安測試等領(lǐng)域中已經(jīng)得到了廣泛的應(yīng)用。

系統(tǒng)通常由“應(yīng)用程序〞和“運行環(huán)境〞組成。由于各種原因，程序員總是假定他們的程序會在正常環(huán)境中正常地運行。當(dāng)這些假設(shè)成立時，他們的程序當(dāng)然是正確運行的。但是，由于作為共享資源的環(huán)境，常常被其他主機所影響，尤其是惡意的用戶，這樣，程序員的假設(shè)就可能是不正確的。程序是否能夠容忍環(huán)境中的錯誤是影響程序健壯性的一個關(guān)鍵問題。軟件環(huán)境錯誤注入分析還依賴于操作系統(tǒng)中的平安缺陷，也就是說，對一個軟件進行錯誤注入分析時，要充分考慮到操作系統(tǒng)本身所存在的漏洞，這些操作系統(tǒng)中的平安缺陷可能會影響到軟件本身的平安。所以選擇一個適當(dāng)?shù)腻e誤模型來觸發(fā)程序中所隱含的平安漏洞是非常重要的。我們需要選擇一個適當(dāng)?shù)腻e誤模型，能夠高水平地模擬真實的軟件系統(tǒng)，然后分析漏洞數(shù)據(jù)庫記錄的攻擊者利用漏洞的方法，把這些利用變?yōu)榄h(huán)境錯誤注入，從而縮小在測試過程中錯誤注入和真實發(fā)生的錯誤之間的差異。4.6網(wǎng)絡(luò)故障管理探析

隨著信息檢索、數(shù)據(jù)交換、多媒體信息傳輸?shù)雀鞣N網(wǎng)絡(luò)應(yīng)用的開展，網(wǎng)絡(luò)管理愈發(fā)顯得重要。如何提高網(wǎng)絡(luò)的效率、平安性和穩(wěn)定性，如何應(yīng)對各類突發(fā)的網(wǎng)絡(luò)通信事件，如何及時有效處理網(wǎng)絡(luò)故障，如何有效地制定好網(wǎng)絡(luò)開展規(guī)劃，諸多問題已成為困擾網(wǎng)絡(luò)管理的眾多難題。

網(wǎng)絡(luò)規(guī)模越大，網(wǎng)絡(luò)結(jié)構(gòu)越復(fù)雜，網(wǎng)絡(luò)故障的預(yù)測、分析和處理越是必不可缺的。有效的網(wǎng)絡(luò)故障管理已成為企業(yè)級網(wǎng)絡(luò)運行中一項關(guān)鍵性的工作。下面，針對網(wǎng)絡(luò)故障管理工作進行一些探討和分析。故障管理根本內(nèi)容和檢測模式

國際標準化組織(ISO)關(guān)于網(wǎng)絡(luò)管理的模式主要闡述了網(wǎng)絡(luò)管理的主要功能，包括故障管理、性能管理、配置管理、記賬管理、平安管理。以下主要就故障管理進行分析。

故障管理的目的是用來監(jiān)測網(wǎng)絡(luò)故障，作預(yù)先設(shè)定的反映，并載入日志文件提醒用戶注意，自動修正網(wǎng)絡(luò)問題，使網(wǎng)絡(luò)正常運行。因為故障會使網(wǎng)絡(luò)癱瘓，或是使整個網(wǎng)絡(luò)性能降低，所以故障管理是ISO網(wǎng)絡(luò)管理原理最廣泛的應(yīng)用。

故障管理的內(nèi)容包括診斷網(wǎng)絡(luò)問題、隔離網(wǎng)絡(luò)問題、修復(fù)網(wǎng)絡(luò)問題以及試圖恢復(fù)重要的子系統(tǒng)和整體解決網(wǎng)絡(luò)問題。在著手解決問題時，必須有一套方法來分析和鑒別網(wǎng)絡(luò)故障發(fā)生的類型和位置，逐步排查可能的故障點(區(qū))和故障原因，具體分析時可以采用模擬方法來確定真正的故障原因。每一個故障可以基于相應(yīng)的病癥來解決或是采用專用的故障監(jiān)測工具來監(jiān)測?？梢栽诰唧w環(huán)境中進行監(jiān)測和診斷。一旦明確故障的病癥和原因，就可以采用一系列相應(yīng)的措施來補救。具體問題的解決是根據(jù)特殊網(wǎng)絡(luò)環(huán)境而制定的網(wǎng)絡(luò)故障解決方案，而不是簡單生搬硬套。要順利完成故障檢測，必須對網(wǎng)絡(luò)拓撲情況有深刻了解，并熟悉網(wǎng)絡(luò)中采用的設(shè)備的特性，以及網(wǎng)絡(luò)中主要節(jié)點主機操作系統(tǒng)中的網(wǎng)絡(luò)配置等。網(wǎng)絡(luò)故障的根本檢查方法

網(wǎng)絡(luò)故障的根本檢查方法有兩種，即分層檢查和分段檢查。采用這樣的檢查方法可以節(jié)約檢查時間，快速確定故障位置，有利于對故障的分析和判斷。

1．分層檢查的原那么

OSI7層參考模型包括7個層次，如圖4-14所示。每個層次完成一局部的功能，相鄰層次之間相互獨立，兩臺計算機系統(tǒng)同等層次之間的操作相對透明。圖4-14OSI網(wǎng)絡(luò)結(jié)構(gòu)的7層模型分層檢查包括應(yīng)用程序?qū)?應(yīng)用層、表示層、會話層)和數(shù)據(jù)傳輸層(傳輸層、網(wǎng)絡(luò)層、數(shù)據(jù)鏈路層、物理層)的檢查。

具體的分析按“物理層→數(shù)據(jù)鏈路層→網(wǎng)絡(luò)層→傳輸層→……→應(yīng)用層〞的次序分析問題。分層檢查的步驟如圖4-15所示。圖4-15分層檢查步驟2．分段檢查的原那么

分段檢查包括用戶端、接入設(shè)備、主干交換設(shè)備、中繼設(shè)備等之間的鏈路連通及相應(yīng)端口的狀態(tài)。

鏈路連通包括：物理線路的介質(zhì)類型，物理線路的連通，物理線路的質(zhì)量(線路的距離、衰耗、終端設(shè)備的電氣特性等)，物理線路的最大數(shù)據(jù)承載能力，收發(fā)線路的對應(yīng)等。

相應(yīng)端口的狀態(tài)包括兩端設(shè)備對應(yīng)的端口類型的唯一，速率的匹配，雙工設(shè)置，收/發(fā)時鐘的時鐘源，數(shù)據(jù)收發(fā)的線路接通，數(shù)據(jù)流控制和擁塞控制等。分析具體步驟如下：按“數(shù)據(jù)終端設(shè)備→網(wǎng)絡(luò)接入設(shè)備→網(wǎng)絡(luò)主干設(shè)備→網(wǎng)絡(luò)中繼設(shè)備→網(wǎng)絡(luò)主干設(shè)備→網(wǎng)絡(luò)接入設(shè)備→數(shù)據(jù)終端設(shè)備〞的次序分析問題。

分段檢查的步驟如圖4-16所示。圖4-16分段檢查步驟解決網(wǎng)絡(luò)故障的一般步驟

對網(wǎng)絡(luò)故障有了初步的檢查和判斷后，就要著手網(wǎng)絡(luò)故障的處理。網(wǎng)絡(luò)故障的處理一般遵循以下步驟(如圖4-17所示)。

1．明確故障特征和導(dǎo)致故障的原因

例如，問題的病癥是某個用戶無法得到某個主機相應(yīng)效勞的應(yīng)答，造成這種故障的原因有：主/客戶機設(shè)置錯誤，網(wǎng)卡故障，錯誤的路由配置等。圖4-17網(wǎng)絡(luò)故障解決步驟2．收集實際情況

列出故障病癥，并且確定出可能的原因后，就要著手收集實際情況。情況的收集一般包括網(wǎng)絡(luò)分析跟蹤、串口的跟蹤、堆棧錯誤記錄和操作系統(tǒng)核心錯誤記錄。這些問題的分析有助于故障范圍的縮小和故障的明確定位。

3．基于故障的情況來分析故障原因

在了解網(wǎng)絡(luò)拓撲和熟悉采用設(shè)備的特性的根底上，應(yīng)該能夠判斷是軟件問題還是硬件故障。這樣，就能夠縮小分析范圍，搞清楚是產(chǎn)品的問題，是傳輸介質(zhì)的問題，還是主機問題，也就可以建立相關(guān)的網(wǎng)絡(luò)錯誤模型。4．制定實施的方案

基于故障分析結(jié)果制定實施方案。只能一個故障一個實施方案。這樣有助于有步驟地解決問題。如果一次修改超過一個可能性，那么也能解決問題，但可能無法精確分析問題的原因，以后的故障排除將更加困難。

5．執(zhí)行這個方案

這個步驟主要是執(zhí)行已經(jīng)制定的方案。制定方案的合理性決定了實施方案的結(jié)果。必須嚴格地執(zhí)行已制定的方案，不能改變其中的步驟和順序。6．觀察方案執(zhí)行的結(jié)果

當(dāng)通過測試一種可能性來發(fā)現(xiàn)解決問題的方法時，必須根據(jù)活動方案來收集結(jié)果。這些測試的結(jié)果還用來調(diào)整和修改方案，直到問題被解決。

7．基于測試的結(jié)果來縮小故障原因

必須堅持不懈地測試，分析測試的結(jié)果，以及引起這種結(jié)果的原因。盡量縮小問題的范圍。當(dāng)明確問題并找到解決方案后，就可以停止測試。

8．重復(fù)問題解決過程

當(dāng)縮小問題的可能性時，重復(fù)以上的流程(如圖4-17)，并且根據(jù)測試的結(jié)果修正的方案來進一步縮小可能性。不斷重復(fù)上面的流程，最終一定會確認故障和解決問題。4.7數(shù)據(jù)備份與恢復(fù)

數(shù)據(jù)備份

1．?dāng)?shù)據(jù)備份的概念

數(shù)據(jù)備份就是指為防止系統(tǒng)出現(xiàn)操作失誤或系統(tǒng)故障導(dǎo)致數(shù)據(jù)喪失，而將全系統(tǒng)或局部數(shù)據(jù)集合從應(yīng)用主機的硬盤或陣列中復(fù)制到其他存儲介質(zhì)的過程。計算機系統(tǒng)中的數(shù)據(jù)備份，通常是指將存儲在計算機系統(tǒng)中的數(shù)據(jù)復(fù)制到磁帶、磁盤、光盤等存儲介質(zhì)上，在計算機以外的地方另行保管。這樣，當(dāng)計算機系統(tǒng)設(shè)備發(fā)生故障或遇到其他威脅數(shù)據(jù)平安的災(zāi)害時，能及時地從備份的介質(zhì)上恢復(fù)正確的數(shù)據(jù)。數(shù)據(jù)備份的目的就是為了系統(tǒng)數(shù)據(jù)崩潰時能夠快速地恢復(fù)數(shù)據(jù)，使系統(tǒng)迅速恢復(fù)運行。那么就必須保證備份數(shù)據(jù)與原數(shù)據(jù)的一致性和完整性，消除系統(tǒng)使用者的后顧之憂。其關(guān)鍵是在于保障系統(tǒng)的高可靠性，即操作失誤或系統(tǒng)故障發(fā)生后，能夠保障系統(tǒng)的正常運行。如果沒有了數(shù)據(jù)，那么一切的恢復(fù)都是不可能實現(xiàn)的，因此備份是一切災(zāi)難恢復(fù)的基石。從這個意義上說，任何災(zāi)難恢復(fù)系統(tǒng)實際上都是建立在備份根底上的?，F(xiàn)在不少企業(yè)也意識到了這一點，采取了系統(tǒng)定期檢測與維護、雙機熱備份、磁盤鏡像或容錯、備份磁帶異地存放、關(guān)鍵局部冗余等多種預(yù)防措施。這些措施一般能夠使數(shù)據(jù)備份，并且在系統(tǒng)發(fā)生故障后能夠快速使系統(tǒng)恢復(fù)。

備份的內(nèi)容根據(jù)系統(tǒng)運行的效勞類型、性質(zhì)、用戶對效勞的要求，以及系統(tǒng)中數(shù)據(jù)的重要程度而定。一般來講，系統(tǒng)文件和重要的數(shù)據(jù)都是備份的對象，如個人的Word文件，Excel電子表格，電子郵件，源程序，書稿等，還有應(yīng)用系統(tǒng)產(chǎn)生的數(shù)據(jù)，如數(shù)據(jù)庫文件，系統(tǒng)配置文件等。備份操作肯定會增加原有計算機系統(tǒng)的負荷。為了減少這種額外的負荷對實際應(yīng)用的影響，應(yīng)中選擇適宜的時間執(zhí)行備份操作，盡可能地選擇系統(tǒng)空閑或者不忙的時候進行，以免影響機器的運行?？梢栽谥形缧菹r間或是深夜，依方案定期執(zhí)行每日，每周，甚至是每月的備份工作。備份是枯燥乏味的周期性工作，有時遇到特殊的情形，也需要做臨時的備份。備份數(shù)據(jù)存放的地方選擇，即備份目的地的選擇應(yīng)遵守的原那么是：“不要將所有的雞蛋放在一個籃子里〞，盡可能地躲避風(fēng)險。相對大型網(wǎng)絡(luò)而言，備份的數(shù)據(jù)應(yīng)該放在專用的備份機器上。為了防止意外災(zāi)害的發(fā)生而導(dǎo)致原系統(tǒng)數(shù)據(jù)的備份和備份數(shù)據(jù)均被損壞，備份機器與被備份的效勞器應(yīng)該不在同一個地方，并且要保持一定的距離。而對于單機用戶而言，備份的數(shù)據(jù)主要放在相對平安的分區(qū)。例如，對于Windows操作系統(tǒng)，不要把備份的數(shù)據(jù)放在操作系統(tǒng)所在分區(qū)，因為系統(tǒng)可能經(jīng)常要重裝系統(tǒng)；對于Unix/Linux操作系統(tǒng)，也應(yīng)該將備份數(shù)據(jù)單獨地放在單獨的備份數(shù)據(jù)分區(qū)中。2．?dāng)?shù)據(jù)備份的類型

按數(shù)據(jù)備份時數(shù)據(jù)庫狀態(tài)的不同，可分為冷備份、熱備份和邏輯備份等類型。

1)冷備份

冷備份是指在關(guān)閉數(shù)據(jù)庫的狀態(tài)下進行的數(shù)據(jù)庫完全備份。備份內(nèi)容包括所有的數(shù)據(jù)文件、控制文件、聯(lián)機日志文件、ini文件等。因此在進行冷備份時數(shù)據(jù)庫將不能被訪問。冷備份通常只采用完全備份。2)熱備份

熱備份是指在數(shù)據(jù)庫處于運行狀態(tài)下，對數(shù)據(jù)文件和控制文件進行的備份。使用熱備份必須將數(shù)據(jù)庫運行在歸檔方式下，因此，在進行熱備份的同時，可以進行正常的數(shù)據(jù)庫的各種操作。

3)邏輯備份

邏輯備份是最簡單的備份方法，可按數(shù)據(jù)庫中的某個表、某個用戶或整個數(shù)據(jù)庫進行導(dǎo)出。使用這種方法，數(shù)據(jù)庫必須處于翻開狀態(tài)，而且如果數(shù)據(jù)庫不是在restrict狀態(tài)，那么將不能保證導(dǎo)出數(shù)據(jù)的一致性。3．?dāng)?shù)據(jù)備份的方式

備份有多種方式，主要有完全備份、增量備份、差異備份、按需備份等幾種方式。

1)完全備份

所謂完全備份，就是按備份周期(如一天)對整個系統(tǒng)所有的文件(數(shù)據(jù))進行備份。這種備份方式比較流行，也是克服系統(tǒng)數(shù)據(jù)不平安的最簡單方法，操作起來也很方便。有了完全備份，網(wǎng)絡(luò)管理員可清楚地知道從備份之日起便可恢復(fù)網(wǎng)絡(luò)系統(tǒng)的所有信息，恢復(fù)操作也可一次性完成。如發(fā)現(xiàn)數(shù)據(jù)喪失時，只要用一盤故障發(fā)生前一天備份的磁帶，即可恢復(fù)喪失的數(shù)據(jù)。但這種方式的缺乏之處是由于每天都對系統(tǒng)進行完全備份，在備份數(shù)據(jù)中必定有大量的內(nèi)容是重復(fù)的，這些重復(fù)的數(shù)據(jù)占用了大量的磁帶空間，這對用戶來說就意味著增加本錢；另外，由于進行完全備份時需要備份的數(shù)據(jù)量相當(dāng)?shù)拇螅虼藗浞菟璧臅r間較長。對于那些業(yè)務(wù)繁忙，備份窗口時間有限的單位來說，選擇這種備份策略是不適宜的。2)增量備份

所謂增量備份，就是指每次備份的數(shù)據(jù)只是相當(dāng)于上次備份后增加的修改正的內(nèi)容，即備份的都是已經(jīng)更新過的數(shù)據(jù)。比方，系統(tǒng)在星期日做了一次完全備份，然后在以后的六天里每天只對當(dāng)天新的或被修改正的數(shù)據(jù)進行備份。這種備份的優(yōu)點很明顯，沒有或減少了重復(fù)的備份數(shù)據(jù)，既節(jié)省了存儲介質(zhì)空間，又縮短了備份時間。但它的缺點是恢復(fù)數(shù)據(jù)過程比較麻煩，不可能一次性地完成整體的恢復(fù)。3)差異備份

所謂差異備份，就是在完全備份后將新增加或修改正的數(shù)據(jù)進行備份。它與增量備份的區(qū)別是每次備份都把上次完全備份后更新過的數(shù)據(jù)進行備份。比方，星期日進行完全備份后，其余六天中的每一天都將當(dāng)天所有與星期日完全備份時不同的數(shù)據(jù)進行備份。差異備份可節(jié)省備份時間和存儲介質(zhì)空間；只需兩盤磁帶(星期日備份磁帶和故障發(fā)生前一天的備份磁帶)即可恢復(fù)數(shù)據(jù)。差異備份兼具了完全備份發(fā)生數(shù)據(jù)喪失時恢復(fù)數(shù)據(jù)較方便和增量備份節(jié)省存儲介質(zhì)空間及備份時間的優(yōu)點。完全備份所需的時間最長，占用存儲介質(zhì)容量最大，但數(shù)據(jù)恢復(fù)時間最短，操作最方便。當(dāng)系統(tǒng)數(shù)據(jù)量不大時，該備份方式最可靠；當(dāng)數(shù)據(jù)量增大時，很難每天都做完全備份，因此可選擇周末做完全備份，在其他時間采用所需時間最少的增量備份或時間上介于兩者之間的差異備份。在實際備份應(yīng)用中，通常也是根據(jù)具體情況，采用這幾種備份方式的組合，如年底做完全備份，月底做完全備份，周末做完全備份，而每天做增量備份或差異備份。4)按需備份

除以上備份方式外，還可采用對隨時所需數(shù)據(jù)進行備份的方式進行數(shù)據(jù)備份。所謂按需備份，就是指除按正常備份外，額外進行的備份操作。額外備份可以有許多理由，比方，只想備份很少幾個文件或目錄，備份效勞器上所有的必需信息，以便進行更平安的升級，等等。這樣的備份在實際中經(jīng)常遇到，它可彌補冗余管理或長期轉(zhuǎn)儲的日常備份的缺乏。數(shù)據(jù)恢復(fù)

數(shù)據(jù)恢復(fù)是指將備份到存儲介質(zhì)上的數(shù)據(jù)再恢復(fù)到計算機系統(tǒng)中。它與數(shù)據(jù)備份是一個相反的過程。

數(shù)據(jù)恢復(fù)措施在整個數(shù)據(jù)平安保護中占有相當(dāng)重要的地位，因為它關(guān)系到系統(tǒng)在經(jīng)歷災(zāi)難后能否迅速恢復(fù)運行。

通常，在遇到以下情況時應(yīng)使用數(shù)據(jù)恢復(fù)功能進行數(shù)據(jù)恢復(fù)：

(1)當(dāng)硬盤數(shù)據(jù)被破壞時；

(2)當(dāng)需要查詢以往年份的歷史數(shù)據(jù)，而這些數(shù)據(jù)已從現(xiàn)系統(tǒng)上去除；(3)當(dāng)系統(tǒng)需要從一臺計算機轉(zhuǎn)移到另一臺計算機上運行時(可將使用的相關(guān)數(shù)據(jù)恢復(fù)到新計算機的硬盤上)。

1．恢復(fù)數(shù)據(jù)時的本卷須知

(1)由于恢復(fù)數(shù)據(jù)是覆蓋性的，不正確的恢復(fù)可能破壞硬盤中的最新數(shù)據(jù)，因此在進行數(shù)據(jù)恢復(fù)時，應(yīng)先將硬盤數(shù)據(jù)備份。

(2)進行恢復(fù)操作時，用戶應(yīng)指明恢復(fù)何年何月的數(shù)據(jù)。當(dāng)開始恢復(fù)數(shù)據(jù)時，系統(tǒng)首先識別備份介質(zhì)上標識的備份日期是否與用戶選擇的日期相同，如果不同，將提醒用戶更換備份介質(zhì)。(3)由于備份恢復(fù)工作比較重要，容易錯把系統(tǒng)上的最新數(shù)據(jù)變成備份盤上的舊數(shù)據(jù)，因此應(yīng)指定少數(shù)人進行此項操作。

(4)不要在恢復(fù)過程中關(guān)機、關(guān)電源或重新啟動機器。

(5)不要在恢復(fù)過程中翻開驅(qū)動器開關(guān)或抽出軟盤、光盤，除非系統(tǒng)提示換盤。2．?dāng)?shù)據(jù)恢復(fù)的類型

一般來說，數(shù)據(jù)恢復(fù)操作比數(shù)據(jù)備份操作更容易出問題。數(shù)據(jù)備份只是將信息從磁盤復(fù)制出來，而數(shù)據(jù)恢復(fù)那么要在目標系統(tǒng)上創(chuàng)立文件。在創(chuàng)立文件