电子政务理论与实务第11章.ppt

图11-11 基于主机日志的检测 * 在很多操作系统中都有审计记录功能，如在UNIX系统中，有syslog，ps，pstat， vmstat，getrlimit等。日志文件为入侵检测系统提供了详尽的有效数据，但是基于主机的检测有以下不足： (1) 日志文件过于庞大：这在一方面会占用大量存储空间。因为这个原因，很多管理员在系统配置时不允许审计记录，或者不进行全面的审计。而对日志文件的大小进行估计比较困难，所以在存储空间不够大的情况下容易受到“拒绝服务”型的攻击。另一方面也给检测分析带来了难度，因为要从大量数据中快速地提取有用信息。 * (2) 审计过程降低系统性能：一方面因为审计数据的产生和记录占用了一定的CPU时间，另一方面很多基于系统日志的检测系统需要将审计数据送到其他机器上，这就占用了大量系统带宽。 (3) 日志文件本身容易被更改：有经验的入侵者在成功进入系统后，会找到日志文件并更改，以消除入侵迹象。 (4) 难以确定审计数据的更新周期：由于存储审计数据需要大量磁盘空间，更新周期过长导致系统资源浪费，过短则可能丢失有用信息。 (5) 难以实现实时检测：由于日志文件只有在事件发生后记录，因而不可能做到实时检测。 * 2. 基于网络的检测 任何一个网络适配器都具有收听其他数据包的功能，它首先检查每个数据包的目的地地址,只有符合本机地址的包才向上一层传输。通过适当配置适配器，就可以捕获同一子网上的所有数据包。而基于简单网管协议（SNMP）的这些数据包应包含配置信息（路由表，地址，名字等），以及运行数据（如用于不同网络接口及各层间通信的计数器等），这就为入侵检测提供了必要的原始数据。 通常，将入侵检测系统放置在防火墙或网关后（如图11-12所示），像网络窥探器一样捕获所有内传或外传的数据包。但它并不延误数据包的传送，因为它对数据包来说仅仅是在监视。与基于主机的检测相比，这种方法的主要优点有以下两方面： * (1) 几乎不影响系统吞吐量，也没必要存储额外数据。 (2) 容易实现实时检测，能在系统受到实际破坏之前就提出指示或警告。 这种方法的主要不足有以下两方面： (1) 无法检测加密的数据包。如果加解密的过程由防火墙来实现，就可以不影响检测器的正常工作。 (2) 无法检测系统级的入侵。例如通过远程命令创建非法文件或提升用户权限等，在网络数据包中便无法识别是否入侵。 * 图11-12 基于网络数据包的检测 * 3. 基于行为的检测 基于行为的检测因为与系统相对无关，通用性较强，甚至有可能检测出以前未出现过的攻击方法，不像基于知识的检测那样受已知脆弱性的限制，但因为不可能对整个系统内的所有用户行为进行全面的描述，况且每个用户的行为是经常改变的，所以它的主要缺陷在于误检率很高。尤其在用户数目众多，或工作目的经常改变的环境中。同时，由于统计简表要不断更新，入侵者如果知道某系统在异常检测器的监视之下，他们就会慢慢地训练检测系统，以至于最初认为是异常的行为，经一段时间训练后也认为是正常的了。 * 思考题与习题 1．试述电子政务安全的重要性。 2．试述网络安全所面临的威胁。 3．什么是防火墙技术？实现防火墙技术主要有哪些？ 4．什么是计算机病毒？计算机病毒的种类有哪些？ 5．简述PKI的功能与特性。 6．简述入侵检测系统的分类。 * 需要指出的是，HTML页中有病毒是一个误解，虽然可能有一个特定的Web使用户的浏览器崩溃，但这只是因为浏览器中恶劣的代码编写，而不是因为有人想崩溃用户的计算机。Java Applet病毒也并不存在，因为它的沙箱原则(Sand Box Principle)，Java Applet不可能攻击其他资源。如果用户不允许，则Java Applet不能存入、读取或格式化用户硬盘。Activex组件可能是有害的，因为它们只是具有普通程序全部权力的可执行代码，所以可删除文件或格式化用户硬盘。Internet Explorer可通过设置来关闭这些特性，因此上网从事电子政务活动的每个人都应理解这种浏览器的安全水平及其操作。如果Activex组件有一个沙箱模型会更好，这样程序就看不见计算机上的任何资源。 * 作为首要原则,如果用户在一台计算机中发现主引导区病毒或可执行病毒，则首先应该检查那台计算机中是否使用盗版软件；病毒的另一个来源是一些被四处散发的有趣程序或电子邮件。 * 2. 反病毒解决方案 由于政府外网（Intranet）和I