入侵检测与防御技术.pdfVIP

第7章入侵检测与防御技术

7.1入侵检测系统概述

7.1.1网络攻击的层次

任何以干扰、破坏网络系统为目的的非授权行为都称为网络攻击或入侵，它

可以是针对安全策略的违规行为、针对授权特征的滥用行为，还可以是针对正常

行为特征的异常行为。这些攻击可分为六个层次。

1．第一层

第一层次的攻击一般是基于应用层的操作，第一层的各种攻击一般应是互不

相干的。典型的第一层攻击包括拒绝服务攻击和邮件炸弹攻击，这些攻击的目的

只是为了干扰目标的正常工作，化解这些攻击一般是十分容易的。拒绝服务发生

的可能性很大，对付这种攻击最好的方法是把攻击者使用的主机/网络信息加入拒

绝列表中，使攻击者网络中所有主机都不能对你的网络进行访问。

第一层的另一种攻击技术是与邮件或新闻服务器建立Telnet会话，然后设法

了解哪些目录是共享的、哪些目录没被共享，如果在网络上采取了适当的安全措

施，这些行为是不会带来危险的，如果共享目录未被正确地配置或系统正在运行

远程服务，那么这类攻击就能方便得手。

网络上一旦发现服务拒绝攻击的迹象，就应在整个系统中查找攻击来源，拒

绝服务攻击通常是欺骗攻击的先兆或一部分，如果发现在某主机的一个服务端口

上出现了拥塞现象，那就应对此端口特别注意，找出绑定在此端口上的服务；如

果服务是内部系统的组成部分，那就应该特别加以重视。许多貌似拒绝服务的攻

击可能会引起网络安全措施彻底失效，真正的持续很长时间的拒绝服务攻击对网

络仅仅起干扰的作用。

2．第二层和第三层

第二层是指本地用户获得不应获得的文件(或目录)读权限，第三层则上升为

获得写权限。这一攻击的严重程度根据被窃取读或写权限的文件的重要性决定。

如果某本地用户获得了访问tmp目录的权限，那么问题就是很糟糕的，可能使本

地用户获得写权限从而将第二层攻击推进至第三层攻击，甚至可能继续下去。

本地攻击和其他攻击存在一些区别，“本地用户”(Loclser)是一种相对

的概念。“本地用户”是指能自由登录到网络的任何一台主机上的用户。本地用

户引起的威胁与网络类型有直接的关系，如对一个ISP而言，本地用户可以是任

何人。本地用户发起的攻击既可能是不成熟的，也可能是非常致命的，但无论攻

击技术水平高是低，都必须利用Telnet。

访问控制环境中，存在着两个与权限密切相关的问题，都决定着第二层攻击

能否发展成为三层、四层或五层攻击。这两个问题就是误配置和软件漏洞。如果

对权限理解不透彻，第一个问题可能出现。第二个问题比较常见，任何时候都会

出现。

3．第四层

第四层攻击主要是指外部用户获得访问内部文件的权利。所获得的访问权限

可以各不相同，有的只能用于验证一些文件是否存在，有的则能读文件。如果远

程用户(没有有效账户的用户)利用一些安全漏洞在你的服务器上执行数量有限的

几条命令，则也属于第四层攻击。

第四层攻击所利用的漏洞一般是由服务器配置不当、CGI程序的漏洞和溢出

问题引起的。

4．第五层和第六层

第五层攻击是指获得特权文件的写权限，第六层攻击则是指获得系统管理员

的权限或根权限。这两类攻击都利用了本不该出现却出现的漏洞，在此级别上，

远程用户有读、写和执行文件的权限，这类攻击都是致命的。

一般来讲，如果阻止了第二层、第三层及第四层攻击，那么除非是利用软件

本身的漏洞，五层、六层攻击几乎不可能出现。

7.1.2各攻击层次的防范策略

1．对第一层攻击的防范

防范第一层攻击的方法：首先对源地址进行分析，发现攻击迹象后，与攻击

者的服务进行联系。这种防范手段当拒绝服务攻击看上去和其他更高层次的攻击

相似时，即攻击持续时间较长时，这时应该不仅仅是拒绝接受数据。

2．对第二层攻击的防范

对第二层攻击的处理应局限在内部，不要泄露有关本地用户已访问到他不

应访问的东西这一信息，采取的基本措施是不做任何警告就冻结或取消本地用户

的账号，通过这种方法可以保留那些来不及被删除的证据。

万一无法完全获得攻击证据，可以先做出警告并暂时保留其账号，然后尽可

能全面地记录整个事件的过程，当攻击又发生时再做出处理。

3．对第三、第四和第五层攻击的防范

如果遭受的攻击是第三、第四、第五层攻击，那么所受的威胁就十分得大，

必须采取下列一些措施：

1）将遭