基于snort的IPS分析-计算机技术专业论文.docxVIP

1 IPS 入侵防御原理 1.1 网络安全与网络攻击 网络安全总的来说包括网络系统中的软件和硬件两方面的安全，而通常来说主 要指的是网络中的软件安全。这其中包括网络中的系统安全和系统中的用户数据安 全，它们不会因为有意或者无意的原因受到破坏或者是泄露。从根本上来讲网络安 全就是指互联网络上面信息的安全[1~2]。 与网络安全相对的是网络攻击，或者叫网络入侵[3~6]。它是指攻击者通过各种方 法，破坏网络中软硬件安全，造成网络资源无法使用或者是用户信息的破坏或者泄 露，而其中又以破坏软件安全为主。为了达到网络入侵的目的，攻击者可以采用包 括社会工程的多种方法，而网络技术方面主要有网络监听，网络扫描,暴力破解，漏 洞利用，拒绝服务攻击，特洛伊木马病毒等手段[7~9]。由于后面章节需要用到网络入 侵的知识，这里详细介绍一下。 一提到网络攻击这个名词，大多数人首先想到的就是病毒，木马之类的东西， 或者是在生活中听说的某某黑客成功入侵某知名系统，并且成功获取机密信息这样 让人感到神秘又高深的事情。然而，真正高深的其实只是很少数的网络黑客高手。 统计发现，在现代发生的网络攻击事例中，很大一部分攻击者并不精通网络知识， 他们只是简单的使用现成的网络攻击工具，就可以实现目标系统的攻击。可见，现 代网络攻击对于技术的要求越来越低，甚至可以说，只要一个人会使用计算机中的 正常软件，那么他也就满足了实施网络攻击的最低技术要求。这也是为什么现代网 络入侵事件越来越多的原因之一。 虽然简单的使用已有的工具就可以发动一次网络攻击，但是这样的攻击是建立 在工具开发者的研究基础之上的，这并不算是一次完完整整的网络攻击。真正的网 络攻击过程，实际上可以分为八个阶段。 第一步，踩点。对于网络攻击者来说，踩点就像匪徒抢劫银行前的踩点一样。不 过这里的踩点为的却是目标各种网络环境的信息。例如基本的目标网址，使用的访 问控制机制，是否使用入侵检测系统等等信息。 第二步，扫描。当我们在第一步的时候确定了目标大的网络环境之后，下一步就 需要对目标进行真正的扫描。扫描，首先目的在于确定目标系统是否存在，并且是 否是活动的。当目标是活动的时，我们就需要对目标的端口进行扫描，确定其开放 的端口，猜测与之对应的系统开放的服务类型，为我们后面的入侵寻找突破口。同 时，这一步的另一个重要目标就是确定目标操作系统的类型。知道了目标操作系统 的类型，那么所有与该操作系统有关的漏洞都可能成为攻击者成功入侵的突破口。 第三步，查点。攻击者在这一步的目标就是获取目标的具体的服务信息。对于一 个开放某个服务的系统来说，或多或少会泄露自身的某些信息。例如系统合法用户 的用户名，或者是某些保护不力的共享资源。例如在老版本的 IIS 中空会话漏洞， 就可以让攻击者获取到系统的合法用户的账号列表信息。 第四步，访问。根据前面收集到的信息，我们就可以尝试着对目标系统进行访问。 这里可以利用目标的漏洞，也可以使用密码嗅探，或者是暴力破解等各种手段来达 到成功访问的目的[10~11]。 第五步，如果访问不成功，但是攻击者又志在必得。那么这时他可能就会采用事 先准备的漏洞代码，对目标系统发起拒绝服务攻击，造成目标系统的瘫[12~14]。如果 访问成功，但是只是普通用户的权限，那么这一步还需要利用前面提到的方法，破 解密码或者是利用漏洞来提升自身的权限，由普通的用户提升为系统的管理员。 第六步，窃取信息。当攻击者拥有了管理员的权限时，那么就代表他已经成功的 入侵到目标系统之中。这时，攻击者几乎可以做任何自己想做的事情，就像操作自 己的电脑一样。一般攻击者都会窃取目标系统的机密信息，其中包括方便攻击者下 一次入侵的各种系统信息。例如系统的配置文件，或者是各种账户及相关的密码信 息。 第七步，消除痕迹。当一次攻击结束之后，攻击者需要消除自己的攻击痕迹。因 为，如果目标系统管理员发现系统被入侵，信息被窃取，那么可能他就会采取某些 措施，让攻击者已经窃取到的信息作用变小，或者变得没有任何意义，甚至有可能 让攻击者窃取到的信息变为错误的信息。所以，这一步在整个攻击过程中有着非常 重要的作用。 第八步，创建后门。虽然在攻击者成功入侵系统之后，可以获取到非常有用各种 系统信息，帮助攻击者下一次的入侵。但是如果可以创建一个有用的后门，比如一 个远程控制服务，那么以后攻击者进入目标系统就会变得像进入自己主机系统一样 的简单。 以上就是一次完整的网络攻击的过程。正所谓“知己知彼，百战不殆”，只有 弄清楚网络攻击，才可以更好的实现网络的防御。这里，我们介绍网络入侵的各个 过程，就是为了后面我们实现入侵检测规则分类做准备。 同时我们也看到，网络入侵的方法的多样性决定了网络安全保护没有单一的措 施可以达到,无论是软件还是硬件,无论是物理