计算机安全入侵者检测.pdf

资源描述

1、目录1目录第一部分在入侵检测之前：传统的计算机安全.I第1章入侵检测与经典安全模型.2问到起点：经典安全模型.2计算机安全目标.3学会问一,些难的问题.4一个基本计算机安全模型.6进步增强安全模型.8用入侵检测观点分类的安全产品.13入侵检测的保护、检测和反应.16如何发展.16第2章识别与验证在系统中的作用.17UNIX系统中的识别与验证二.17NT中的识别与验证.23黑客如何发现口令安全中的弱点.26用验证服务器改善I&A.31提高I&A安全性的一些想法.43入侵检测的必要性.47第3章访问控制在系统中的作用.49配置问题.:.49程序错误.1.50什么是访问控制？.50UNIX中的

2、访问控制.53NT中的访问控制.59黑客如何绕过访问控制.63如何改善访问控制.64超过SeOS的范围.68为什么仍需要入侵检测.68第4章传统网络安全方法.70网络安全性的分层结构.70网络安全实体的I&A.73网络访问控制.:.77Internet协议(Internet Protocol),简称IP.79支持IP的协议.862 人侵者检测川 1r数掘办i：Z(User Datagram Protocol).简称UDP.87传输摔制的议(Transmission Control Protocol),简称TCP.88TCP/IP应用女6件.9()防火墙在传统安安中的作川.90你的网络安企性行

3、豕U杂?.94为什么行网络安全性还j要入技检测？.95第二部分入侵检测：优于传统意义上的安全.96第5章入侵检测及其必要性.97你有防护吗?.97入侵检测的作用.:.100入侵检测：概念一定义.104作好准备，查找黑客交易.109第6章系统上的入侵检测有趣且简单.H1攻击的分类.111信息源的层次.115商业IDS分层.117怎样获得数据？.118系统数据源.120跟踪活动路径会是困难的.123简单攻击或复杂攻击.126准备检查缺陷.127第7章脆弱性扫描器.:.128什么是扫描器?.128扫描器的特征.128扫描器如何工作.130利用扫描器提高你的安仝性.131其他扫描器.138你已做完了

4、吗?.139第8章 UNIX系统级IDS.140使用Stalker检测黑客攻击.140利用计算机误用检测系统检测黑客攻击.145考虑IDS的其它特征.149利用审计日忐发现攻击.151为什么你的系统仍然存在安全问题？.162第9章嗅探入侵者.163网络IDS是如何工作的.163网络IDS攻击识别.165网络IDS的优点.166目录 3网络数据包暝探的屁眼性.167哪种产敏？.170人总检测对网络安小来说足电广吗？.174第10章NT的入侵检测.175NT安全网顾.175NT IDS的数据源.175而要在NT卜监捽叫什么.178NT入侵检测产品.182进步的思考.186第三部分完善系统环境.

5、188第11章你已经遭到攻击！.189做好准备.189发现9检测.191入侵响应.J91你应该追踪黑客吗？.193第12章入侵检测并不是安全问题的终结.194传统计算机安全.194IDS基本原理.196IDS 分类.196改善 IDS.198结束语.202参考书目.203第一部分在入侵检测之前：传统的计算机安全许多人都认为计算机安全的口的是为r防止故障发生。即使在近期，包括防火墙在内，这个目的也没有达到，在本书的第-部分，你将明白常规配置的计算机安全产品是如何满足你的需要的，以及它们还遗留一些什么样的问题。r解不同类型计算机安全产品的优缺点是明白入侵检测如何加强站点安全性的关键所在。要

6、达到这个口的，你需要掌握下面的知汛：用标准安全模型来仔细考虑口算机安全产品如何适合你的策略。识别与验证产品的作用及它们可解决和不可解决的问题。标准访问磔制在操作系统中的作用及如何通过它来提高系统的防御能力。防火墙和火它技术如何增强网络安全性以及它们带来的遗部问题。为什么即使加入了其它安全产品仍需要入侵检测。2入侵者检测第1章入侵检测与经典安全模型入侵检测是个热门话题。在近几个月中，有好几家入侵检测公司已被大型安全技术公司吞并L 所ft的销售商都希里自巳的安仝技术解决方案，他们的竞争对手不同，从而获得优势，而增加人心检测系统（IDS）就是其中方法之。什！是为什么所有人都需要入侵检测呢？为彻

7、底理解这个问题，我们需要问顾一卜关丁计算机安全的基础知识。计算机安全是个非常复杂的问题。为统一不同的说明方法，我们采用简单的方式。因此在这一直中，我们用最笈木的安全模型来描述系统环境中的这个核心部分无论你的计算机或网络多么复杂.都可以认为是从基本安全模型巾抽象出来的，并以主体、对象和访反控制来表达回到起点：经典安全模型宇宙是复杂的，但你却可以用几个怩原f级的简电名周和动词来分解它，而不用了解在亚原f级宇宙是如何运转的C为了理解计算机安全解决方案，的确有必妾仔细考虑环境的每一部分的基础细节，以减少可能的安全漏洞.你应敢下去理解百己站点中将个部件的功能并敢问“喂，在这卜面究竟运行着什么

8、？“。如果有人想让你开发新的应用程序，每一次都要以同样的问题开始：主体是诜？对象是什么？般性的访问控制是如何操作的？谁管理安众?你可能还会问诈多其它的问题，而这些问题都是由你对基本的计算机安全模型的理解产生的。木章的第一部分将介绍计算机安全中一些普遍认可的目标。当你知道你想从计算机安全中获得什么后，卜步就是找到一个方法来判定你的要求是否得到满足。要完成这项匚作，就要从最简单的计算机安全准则开始，逐步构造安全模型2本章的最后给出一个分类表，这个及对于理解站点上可能使用的不同产品之间的相互关系，和IDS如何满足你的设计是非常有帮助的。每个站点都rr个准确定义的安全策略，这个策略用来描述

9、信息将如何处理。即使相同的安全策略也可能由不同的安全模型的组合，而得到不同的效果。，安全模型是可以用许多方法实现的一个抽象，而可完成安全模型任务的产品为增强安全策略提供了媒体相同的安全模型也可以支持不同的安全策略。每一个用来增强站点安全的产品都可以导出它自己的安全模型。例如：防火墙与同它共同工作的操作系统为你的公司提供安全的因特网也接“为完成整个目的，防火墙和操作系统有着各自不同的功能和职责“防火墙要依靠操作系统提供安全的环境来运行防火墙程序、，如果操作系统的核心出门诃题，那么防火墙也就不能完成它的功能：正是由于这种交支作用的存在，你需要知道基本安全模型的结构和如何评价一个安全

10、模型：简单说来，安全模型定义许多实体以及实体之间交互和参考的规则。你已经熟悉网络上的不同实体用户、纵文件、路由器,-匚作站、打印机、磁盘驱动器、用户程序、第1章入侵检测与经典安全模型3客户、服务器和网络适配器.,这些实体在计算机网络中以不国的方式进行着相友之间的交和参考。访问控制规则定义实体之间如何交互和参考“常见的一个访问控制规则是企个计算机上对某个特殊文件nJ读用户的限制c如果你能想到几个其它的例子就说明你勿经理解了安全模中!的基本概念。在研究拈木安全模型之前，泞先考虑一为什么需要安全-一个或几个产品完成的安全模型通过满足二个基本H标。计算机安全目标为理解为什么入侵检测现在被

11、加入到其它产品中来提高安全性，你就有必要解安全产品试图满足什么样的口标。正是由于传统安全产品没有完全达到这些H标，而泞多公司开发或投资入侵检测的解决方案。字首连缀字CIA非常容易记住，它代袅计算机安全中的一:个中心目标：保密性(Confidentiality)保护数据不受非授权操作的破坏完整性(Integrity)保证非授权操作不能修改数据。有效性(Availability)保证非授权操作不能获取保护信息或计算机资源。当有人问为什么认为计算机安全如此重要的时候，他们的问答通常是保密性,：我们中大多数人当然不希望那些对别人医疗记求非常感兴趣的人很容易就知道H口的医疗记录。信用上的记录和财

12、产信息当然也是希望受保护的信息。考试成绩、操行评语等个人文件一般也都是希患受保护的信息源。同样地，由手工完成的对银行交易的大量保护措施已在几百年前就完成可见，即使计算机没有出现，如何完成保密性的历史早就有了。信息的完整性在日常生活中也是必然的。非授权的对信用卜记录的改变说明其系统在维护数据完整性的控制卜有缺陷。在网络通讯中，如果在数据数据包没有到达目的地前就发生改变，则信息的完整性就受到了破坏。如果你正在浏览一个Web站点而个心怀叵测的人却灯以从你的个人电脑上获得信息并使用这些信息从你的银行帐户上窃取你的钱，你就成了破坏完整性和保密性的受害者。由安全问题导致的缺乏数据有效性是要主要

13、考虑的问题。如果-个证券经纪公司对原始交易数据库突然不可访问，每-分钟将会损失上百万，人们可以从容地面对由于软件故障而导致的数据不可访问，甚至磁盘驱动器的错误和数据库的崩溃都不会令人惊奇。然而由于工业间谍的原因数据库变得不可用，那就看看报纸的头版吧！而忽略这些潜在问题的人们，却仍旧用大量的钱用来购买多余的供电设备、多余的网络适配器.多余的服务器和多余的磁盘，而不买安全监测产品。那么我们乂如何展示安全产品提供的保密性、完整性和有效性呢？使用计算机理论科学的一些技术，我们可以在个特殊的计算机系统的上卜文中来形式化定义保密性和完整性。做为一个结论，我们可以说保密性和完整性都是可计算的。这个

14、结论是非常有用的，因为它使计算机安全研究人员明确地知道一个特殊的计算机系统加强了保密性和完整性(Brinkley 和Schell,1995)“在商业产品中这些形式化方法很少用到。然而它却可以让我们很轻易地从理论上知道，我们可以产格保证产品关于完整性和保密性的声明。证明ff效性更复杂一些。对有效性的说明不能象完整性和保密性那么有把握，卜：要原4入侵者检测因是确定影响-个特殊计算机系统中有效性的所行因索是不可能的。也就是说，这些影响因素用数学的表达式不可能穷举，或是说川形式化的方法证明行效性太碓儿住这本日中没有使用形式化的证明和结论，但如果你愿意学习更多关于计算机安全的形式化方法.有汁多很

15、好的参考资料(Bell.1990LaPadula,1998 Williams and Abrams,1995),按本杪参考书目可以找到这些参考资料。若以计算机安全的术语来总结就可以说，我们可以用较高的水准保证保密性和完整性，但不能在同一水平上保证一个特殊系统的fj效性。至少在假设销售商采用的合理改”和开发过程的基础上，我们确定用来保证系统的保密性和完整性的产品可以证明是安全的。在计算机安全的其它文献中，你有时还会发现其他的计算机安全目标包括验证(authentication)和认可(nonrepudiation)验证是核实某人或某事标识的过程.如当用户键入一个密码时。认可是指证明一条佶

16、息从一个发送者发出而不是从其他人处发出的过程”正如你将在本章看到的样，给证被定义为基本安全模型所需要支持的功能，而不是一个显式的目标。在站点上可能需要认可，但它通常不是必要的，它在上述的三个基本目标巾被省略掉了。现在你L1经知道了网络安全的目标，卜面通过完成一个安全模型来了解这些目标是如何达到的。学会问一些难的问题安全模型是一个抽象，它用来定义实体和实体之间是如何被允许进行交互的。在论文中安全模型都是由一系列定义开始的，但最后都由软件，硬件或软硬件来完成的。我们当然希望这个成果是正确的并符合模式的规格。如果这个结果有错误，系统将缺少提供保密性、完整性和有效性的能力。每个操作系统中都有

17、安全模型。作为安全模型的一部分，在大多数操作系统中对每个文件的访问权限都通过特殊的方法进行限制口在传统的UNIX系统中有一个规则规定，式有 he这个用户可以读名为JoeMail的文件这个例子中的实体是Joe和JoeMail,并且在操作系统的上下文中他们必须是唯一的标识。任何模糊的东西都会降低模型满足这三个目标的能力。访问控制规则，也就是授权，是用来说明安全策略中由Joe,JoeMail,奠ad三元组构成的这个特殊部分。显然，这几个实体和这个规则只是整个操作系统和安全模型基础的-小部分。其他操作系统实体有文件、进程、线程、队列、消息、处理器和操作系统核心本身。在网络中配置的安全产品通常也要

18、遵循-个安全模型。你必须知道每个正在使用的安全模型的目的和范围。要理解为什么这样，我们就拿向操作系统中加入数据库管理系统时发生的情况考虑下。操作系统和数据库管理系统有不同用户标识。在这种情况F,不需要操作系统中的用户名也要在数据库管理系统中进行标识。事实上，用六名可以由完全不同的字母和字符产生。这两种产品中定义了不同的实体s操作系统定义的实体如文件和目录，而数据库管理系统使用的实体却是记录.域和表。操作系统和数据库管理系统控制的寇【制也不祥，包括时间的和空间的“操作系统管理是否允诈用户安装数据库管理系统，而数据库管理系统却决定用户可以访问数据库的哪一个部分”第1章入侵检测与经

19、典安全模型5数据库管理系统和操作系统也部参叮门；“:关明操作系统为数据库管即系统提出广可以向磁盘叮数据的设备驷动程厅：,如果设备驱动程序受到黑客攻由,那么数据森的完整件就会受到影响数据库管理系统信任操作系统能为防止这种攻击提供足够的控制.，在操作系统接口调用设备虫动程序时会发牛“信任边界如接盘客能替换在磁盘上的设备驱:动程忤或者他能撤取数据监管理系统使用设备驱动邳林的清求,并能临时代之以一个假的设备驷动程序，那么安全就没有保证几安全产品叩深作系统之间的相互依赖经常被忽视或是被想、上然了“有人会认为数据库软件的整体性可以由监视可执行文件和配置文件的参,T来维护。如果有人试图用一进制

20、文件配置数据库管理系统，就会有警告出现。俱是这个警告对安全环境没有太大的影响，环境的每部分都必须是安全的注意，如果操作系统的部件可以被替换，数据库管理系统就会失去它的完整性“理解产品之间是如何接口的唯一方法就是看一看它们引出的安全模型、理解一个产品基于.的安全模型将对以卜几个方面有帮助：精确理解产品控制的实体和描述实体之间如何交互。产品的基本结构块是解产品是否真正与其说明的功能匹配和理解它与其它产品如何交互的最好办法。评价产品本身的性能，而不仅仅是它如何解决你的原始问题。你应该对产品完成的安全性提出疑问。应该知道产品中的实体是如何创建、删除或改变的，来判定产品是否值得信赖。认识产品

21、的使用范围。提高站点登录安全性的产品可能并不是设计用来限制用户进入系统后做什么的。如果你希望产品提供它可合理提供以外更多的保护，你一定会失望的。了解产品的值任边界。确定你使用产品的边界会提高你的警惕性，因为缺点一般都在边缘上产生。这是工程上最基本的原则。对象中的结合处，接I1处和连接处是结构问题出现的地方。通常软件系统也是一样的。当这些系统为系统安全负责时，边界错误是必研究之地。认清产品间在什么地方建立信任关系。当在一个站点上安装了提高注册安全性的程序时也就建立了一个新的信任关系。在没有安装这个新的安全程序前，操作系统将依靠它自己登录安全软件。而由于加入r这个程序.操作系统和任何运行

22、在系统上的程序都必须信任这个新的登录程序能正确地完成它的工作。任何这个登录程序的缺点或它与操作系统的连接方式上的缺点都会通过许多其它软件部件来导致安全问题。止:因为产晶的边界为攻击提供了机会，所以产品边界非常重要。边界上的交互作用包括个安全模型向外一个安全模型传送信息，这些信息可以是数据或者一个要执行的任务。当操作系统报告登录结果成功或失败时，你加入的那个登录安全产品正叮操作系统进行着数据交换v你可能会问几个诸如此类的问题：如果有个用户帐号是否可以替代所有或部分的登录软件？操作系统和登录程序之间的握手或办议会不会有错误？在网络上能不能捕获一个成功的登录过程，然后使用捕获的帐必进行网络欺

23、骗？用户名和帐户是如何被登录程序访问的？音录程序检不检杳用户键入口令的次数？要E答这些问题，就需要从旗本创建块开始并构建个安全模型6入侵者检测一个基本计算机安全模型要表明计算机系统如何绯护保密性和整体性，就需要解安全模吧的站础。花桢型的最灰层是一个实体，这个实体就是用个名诃来表小某件你感兴趣的情。实体被进步划分为体或对象。不要奇怪,这个结构和大多数的口讲很类似。事实上,模型中卜个概念就是个动向访问。主体访问对象。所有计算机安全产晶都是基于这样-个简单的概念。当你要买一个产品时,首先要考虑的就是这些最基本的定义。主体姑什么？对象是什么？主体匕对象之间使用的乂是何种访问控制？你可能还有

24、许多问题要问，但般都是以这些问题开始。在不同的情况卜，同样一个实体既可以是主体也可以是对象。如朱某个程方正在读文件（文件在这个情况卜,就是对彖），那么这个程序现在就是主体。如果行人要终止这个进程.由于对为个主体来说进程乂请求的目标，所以主体与对象的角色就4换了。至于计算机，我们需要定义的访问类型就只有读和写了。还记得保密性和完整性的简也证明吗?如果你正在做个产品的形式化数学方法证明，就需要把所有访问方式只简化为读和写。要读一本关于这个低层次安全的书籍就好比等待着美酒经年而愈发醇郁。由于许多操作都是由读和写操作派生出来的，这种思路可以开阔你的眼界。这些操作可能是用来创建、删除或更名-个对

25、象的。这样你就可以用主体、对象和访问权限来说明在计算机系统中正在发生这什么。也就空说，它们是用来说明你要加强的安全能略的现在你知道了这些基本定义.卜,步我们感兴趣的就是这些关系是如何确实被加强的。参考监视器安全参考监视器（Anderson,1972）是一个黑盒，控制当主体参考对象或访问对象时发牛的里情.参考监视器是一个抽象的概念.现在使用的每一个操作系统都用某些类型的监视器来增强安全性能。参考慰视器的目的就是要控制由主体发出的访问对象的请求（见图 1.1）o用-个好的可视化方法来考虑参考监视器就是将主体放在左边，参考监视器放在中间，而将对象放在右边主体操作对象的唯途径就是通过参考监视

26、器。以通俗的语言讲，参考监视器就是对象的保护器。参考监视器有两个主要功能。首先，参考监视器提供参考功能，这个功能用来评价由主体发出的访问请求，每一次主体的访问都要由参考监视器计算和评价。参考监视器使用一个授权数据库来决定是否接受或拒绝收到的请求。当一个请求要通过参考监视器时，它就检查授权数据库来查明是否允许进行这个操作。在大多数基本形式中请求只是主体访问对象的个尝试。授权数据摩概念上包括项，或带有主体、对象和访问模式形式的授权。回忆以前讲过的说明，只TT读和写访旬模式或权限是要考虑的,但是，要进行更有意义的讨论，其它的权限，如创建和删除，在全书中都是要考虑的。授权数据库尹不是参考监

27、视器的一部分,似它确是参考监视器所要依靠的,不过行趣的是，在形式化分析方法中，授权数据库的项只是规定什么是不允许的.而不是什么是允许的“这听起来有些奇怪，但却使证明更容易.、当为第1章入侵检测与经典安全模型7站点确定安全策略时，你可能更习惯指定“准可以访同”和“如何访问工这八步描述的访问捽制规则，也就拈授权,用比较普通的形式来说就是规定谯可以闻诃什么和它如何被访问,参考监视器通过使用它的第二个功能授权功能来控制对授权数据库的改变。授权数据库是用来接受或拒免对对象的访问。由于对改变授权数据库项的过程也是一个访问请求。这个过程也类似地使用主体、对象和访问的概念来定义。参考监视器不仅

28、控制主体如何访问对象，也控制对个别访问规则的改变。就是这样了。参考监视器包括两个功能参考功能和授权功能。是的，建立-一个安全的计算机系统，光是一个参考监视器是远远不够的。授权数据库是建立一个安全系统所需众多构件中的一个。其它构件也要立刻加入到安全模型中。现在需要记住的关键点是参考监视器是一个的弓I擎.它使用其两个简单功能来增强访问控制。当你要保护一个文件时，可能会限制可以读这个文件的用户和组，这时你就介入访问控制规则之中。当你定义这个坊问规则时，从概念上讲这个访问规则是存储于授权数据库之中的，参考监视器就被激活了。实际上，访问控制规则通常是以文件上的允许位或指示器存储的。当有人试

29、图读这个文件时，参考监视器就被激活来判定这个请求。参考监视器帮助你定义安全策略，然后帮助你增强这个策略。在计算机科学以外也存在着许多参考监视器的例子。银行的出纳员就充当着参石监视器的功能，他是通过判断是否允许你（主体）访问帐户（对象）来执行这个功能的。可能的操作包括存款.提款、查询余额。在工资部门的经理或雇员，当响应寻找自己个人薪水总的人时，也控制着请求信息。尽管工资管理员自己也控制改变授权的请求。当一个雇员被授予一个受限制的权限时，即可以查询普通雇员的信息，但不可以查经理的，这时捽制就发生自然，改变授权数据库这个权限本身就是个强有力的权限。8入侵者检测怎样作好一个参考监视器参考监视

30、器应满足:个要求(Anderson,1972)“泞先，参为监视格必须是独，/的，它应该能防卜扰”其次，。体对对软发出的诂求,参其监视战都必须先全响应如果住没行通过参考监视器的情况卜就允许主体对时象进行访问，那就对CIA说再见吧！最后，要行办法验证参号监视器.，实际上已经行许多方法可以完成这项验证任务几你可以相信销售商的声誉也许你可以好到源代码;也泮这个产品11经用价多年而没行发过错误。4找简洁的解决方案。如果参考监视器只存几百行的代码，最好由销售商进行足够的测试。参考监视器是一个抽象，而又要把这个抽象编程进个产品来增强安全性。可以认为参考监视器足个高水平的设计。参考监视器的实际实现

31、称为安全内核(security kernel),安全内核安全内核是L面定义的抽象参考超视器在现实世界中的实现。在大多数系统中，安全内核都是由软件.硬件和固件共同:作来控制系统中的访问的。安全内核主要设计目标就是简单。理想的安全内核设计应用精确的词法写出，并可以用数学方法证明其执行结果就是叮设计的-样u这样自然就有很高的可靠性了。实际上，很少有销售商能解决这个问题，只有正规的数学表示法成功了(Schell和Brinkley,1995)。你不诃能在商业产品的说明书中找到数学证明。从一股质鼠的软件到被证明为高水平安全的系统存在着连续的过渡体。当你寻找一个产品时，先确定使用环境。与销管商讨论

32、你设i卜灼安全内核是否可能实现，井询问安全内核执行测试的级别。如果安全内核只包括软件，需要验证的部件就少些。如果安全内核由软件、硬件和固件组成，最终的产品自然也就更加复杂工作站和UNIX或NT的服务器自然包括安全内核中的所行部件。每种产品都有安全内核。很明显，操作系统中有安全内核。每个你所使用的商业产品也包括一个安全内核。例如，你知道防火墙是如何实现它的安全内核的吗？当防火墙决定是否拒艳或接受网络传输时，它正杳找般作为防火墙规则库的一个授权数据库。正如上面描述的参考监视器一样，防火墙安全内核也约束着谁能改变规则库。如果你能让销售商解释基木7安全内核，那就表明你是一个有经验的买家C要

33、弄明口产品卜面二方面的问题：L参考监视器是完全的吗？换句话说，每次主体访问对象时，参考览视器是否都被激活？每次主体对对象发出的请求是否都通过参考监视器？2.对于没有授权的操作，参考笳视器如何保护自己？授权数据库是如何被保护的？3,参考监视器的实现是否足够简单到可以用测试来检验？如果问答是否定，那就需要确定根据什么信息能够确认监视器在工作。进一步增强安全模型在这一点匕你必须明确知道参考监视器如何能独立提供保密性和整体性、中实上，参考监在器，也就是安全内核，叮其它安全部件也有信任关系C在安命内核的居础上，还需第1章入侵检测与经典安全模型9要有识别主体和对象身份的方法。彖上面提到的-样，还

34、需要个授权数树宏来控制对对象的访问。要知道参考监视器是否正常工作，就需要审计数据跟踪参考监视器的活动。我们对前面讲过的内容进行吓简.单间顾“安全横挈由主体和对象开始，然后加入了个抽象的参考监视番，现在安全模型乂由力外一个部件增强，计算机系统的识别，逸证(I&A)部件。安仝内核之识来别：.体和对象.前面讨论的授权数据席也加到安全模型巾。最后为负责和监视加入了审核机制.带有这：个部件的安全模型就足够用来定义-个完整的安全策略了位任计算库(trusted computing base,TCB)包括用来增强安全内核安全的1&A,授权数据库和审计系统中的任何软件、硬件和固件。识别与验证(I&A

35、)一个安全的计算机系统必须为主体和对象的识别过程提供一个值得信任的部件。就象前面介绍的参考监视器和安全内核一样，I&A部件也需要简单和抗干扰。如果I&A程序和硬件出现问题，那么系统的保密性和完整性就不再有保证了。当黑客进入系统后，他要做的第-件事情就是为I&A实体程序加上特洛伊木马线程。一个最古老的骗局就是在一个运行的计算机终端上帝,个口令陷阱。这个口令陷阱假装是真正的操作系统登录程序，但其唯一的目的就是骗取不知此事的用户的口令。由于I&A是进入计算机的第一步，自然也就是黑客寻找系统弱点的地方。计算机系统的行为代表的是计算机的语义。当一个人要进入计算机系统时，典型地，笫一步就是I&A

36、。K 章将详细讲述UNIX和NT系统在完成初始化部分要做的工作。然而除非你是电影Turn的主角，你本身不可能实际地进入系统。相反，计算机是根据你的操作在内部执行的,在用户被计算机验证后，操作系统通常建立一个进程运行-个程序来为用户执行操作。在一个简单的交互过程中，用户可能会启动许多进程。与这些进程相关的一组凭证(credentiai)是用来唯一地识别用户。凭证对计算机环境来说是不受限制的。间谍们一直都靠携带凭证来彼此验证。计算机和网络由许多进程组成。就象网络连接这样简单的事情也会在不同的进程间产生一大堆交互。在普通任务的执行中，常常要访问你没有被充分授权的对象。要完成这些任务，代表你

37、的进程要与别的没有被合适授权完成这些任务的进程交互。这些特殊的被希予特权的进程正为你执行任务。例如，在服务器上的普通登录过程并不一定就授权与适配器直接对话。相反，当你在网上冲浪时，许多授权程序都是这么做的。注意，I&A是人与计算机间特别不牢固的边界的一部分。它假设能成功提供I&A所需信息的人就是真正的用户，计算机并不关心你的面部特征是否变化了，也不关心你的姓是不是在早上变了，甚至不管你是否除了登录信息什么都忘了。在这个边界的威胁还包括猜口令，口令窃贼和人为错误。识别和验证是两个有区别的任务在一些计算机系统中，它们可能被合并成一个简单的步骤。然而在一般情况卜是需要、个人输入要识别的信息

38、，如用户名。当这个信息被输入时,用户必须提供验证信息。有三种类型的经典授权信息。这二种类型将在木章做简短介绍，并在卜一章详细讨论。10入侵者检测你是如何被验证的？验证我中地基你知道的东西、你有的东西和你门你知道的东西小型.的丽广是II令或是g象过程它是能？j或说出来的俏.，有许多办法可以以这应你知道的东西“它它能是分分给你的，E能是是你找到的。对这&以是有限制的,允限构造/的是N造就的限：1：明如限你忘记这个他,那么你就不能对系统进行自我授权。你有的东西”外一种授权形式需要诸如钥匙、智能甘、磁盘或兑它的些设备不管它采用什么样的形式，授权的物体都难于复制，并且要求叮系统同步，而不定

39、是你要求访IM的那个系统。级别较高的安全环境需要复合的东西来保证安全。电影中的核挣弹发射装置需要两把不同的钥匙并K时按红色按钮，而当你取款时被要求出示过两张信用卡吗？你自己你口已实际上是你有的东西个特例一般给M的例子包括指纹、声音和视网膜扣措。别的方法有移植电脑芯片，被称为全球定位系统(global positioning system,GPS)“自然你的指纹无疑是你的东西。验证其它实体I&A并不是仅限干用户登录事件中。当两个计算机要通过网络进行通信时，其些形式 I&A就发生有时计算机只是用1&A简单交换它们的网址。TCP/IP协议在大多数应用程序中采用了这种基于地址的授权方式。冲多

40、黑客都在研究这种授权方法。计算机可以使用堪于密码学的更强劲的机制来彼此识别和验证。在第4章“传统网络安全方法”将学习到更多的这方面知识,在同计算机上或不同计算机上运行的独立程序经常需要彼此识别和验证。分布式计算环境(Distributed Computing Environments DCE)使用基于密码学的更有力的鉴别技术,为这种过程提供了一种方法:短个程序都可以访问一个密钥，这个密钥可以用来区别其它程序而唯一脸证此程序，与用户用口令验证他们自己的方法一样。有一些鉴别模型需要诃信任的第二方。在这种情况卜，两个实体彼此间不需要信任，但应同时相信某个普通的第二方。这个第三方用来验证这两

41、方中的每一方。例如，约翰和简认识，简和拉非也认识。纳翰接近拉非并试图卖给他些土地。但是拉非乂如何相信约翰是不是。他讲的-样呢？要解决这个问题，约翰和拉非同时去见简。简告诉拉非，约翰说的是真的，最少告诉拉非.她认识约翰。如臭约翰乂反过来问简是否认识拉非。那么这个过程就包含双方或相互鉴另以注意交互是如何通过那个可以被入侵的边界的。例如可不可以用什么方法模拟被佶任的第二方，或用假的信息通过第三方，或从第三方偷出信息？另外一个双方鉴别的例在高安全系统的登录时发生用户想确定上一个用户有没有设卜陷阱程序来偷闩己的口令，就要与计算机建立一个安全通道。用户要使用安全警告钥匙(secure atte

42、ntion key,SAK),它是用来终止在任录终端上的所有活动并保证没有上个用户过程留卜假的登录程序。I&A部件必须是可信任的逋常在个大的网络.匕不同的软件产品对I&A服务的伙责范围也不同。前面提到的数第1章入侵检测与经典安全楂型11据库庶作系统用户名是个经典的责任划分“两个管理域部需要作储用一名,维护I&A估息的一个或多个程件，和为其它安全部件由求I&A服务或伤感的率中接叶g|喜*在一个特殊的安全.1：卜一文中，数据库和操作系统都对ia负氤在操作系恭芮上卜.文中数据库用户名没有任何也义。类似地，操作系统中存储的用户名-一般说来也不适用数据由管理器控制的数据库访同、，站点上安装的产品

43、也乂是在特定的上卜文中对安全仇责“防火墙对某些人可访问的薪水数据库的控制根本不起作用C安全产品中提供I&A眼务的那部分在网络环境中起着非常重要作用。每个实体必须能够被唯一地识别出来。进一步讲，1&A中的软件或硬件的整体性得到了保证。用来创建，删除或改变1&A信息的任何机制或过程必须满足参考监视器的要求。也就是说，I&A软件和硬件必须是完整的、可验证的和独立的。原因非常简单，如果1&A过程可以被破坏或欺骗，那么参考监视器就不能保证增强了安全策略。如果你在计算机环境中不能唯、地识别实体，就很难为操作系统或常规操作分配任务。访问控制安全模型现在包括主体、对象、为识别和验证这些实体的r系统

44、，和控制实休间访问的参考监视器。前面的讨论中，为确定主体发IX的访问请求而引入了参考监视器使用的授权数据库。在这部分中，我们向安全模型中的其它部件加入了访问控制。访问控制进一步分为自由访问控制和强制访问控制。自由访问控制(Discretionary Access Control,DAC)自由访问控制是最常见的类型 UNIX系统和NT系统都使用DAC。在基于自由访问控制的系统中，主体的拥ff者负贡设置访问权限。而作为许多操作系统设计的副作用，一个或多个特权用户也M以改变上体的控制权限。DAC的实现足够规则，这样拥有者就可以更详细定义访问控制至单独的用户和组这样低的层次。你可以在访问控

45、制数据库项的第一个域中声明某个单独的用户或组为主体。强制访问控制(Mandatory Access Control MAC)强制访问控制使用系统木身来规定坊问权限，而不是根据工体的拥有者来控制访问权限。主体的拥有者甚至在系统中没有对其它主体进行分配的能力,系统是根据主体和对象的分类来控制访问权限的另外再附加字符串来识别实体，如用户名和文件名。每个主体或对象都带有由两个部分构成的敏感的标签：一个访问类标签一个分类标将表访问类标签是从一组预先定义的，按顺序排列的标签m选取的。在军事安全策略中般使用的标签包括最高机密、机密、保密和不保密。每个标签代及不同信息的级别，并比前标签受到更少的限

46、制。在这里顺序是很重要的标签不能跟随相互没有联系的主体或对象。优先关系必须声明，例如，最高机密比机密的级别高，机密优保密，保密比不保密的限制更多。贴标签的U的就是防止只分为保密级的用户访问机密级或最高机密级的年息c MAC 的力一个特征是你不能“写卜”信息，也就是说在系统中不允许向卜,一级解密。如果一个磁12入侵者检测席文件被划分为保密级.MAC将防止.任何机密级和比高机密级的信息7人丈作.分类标卷也足强制跟随的，需要仃层次,分类标签可以认为是区网划分.在现在许多情况K,我们需要将信总划分网叫军方之使川划分区、川的方法来确定给出的信“！给那片有“需要知道”估息的人。同其它主体和对象一样，用

47、虫它可以和许多分类标签联系布也.但是它们不仅仅足个访词类标签。MAC加强加这些敏感标签的访问。间到访问的两个最城木的兀素.读和写，MAC任这样工作的：要法个对象，主体的访问类标签级别必须等或高时象的级别，井艮主体分类标签表必须包括时象的分类标签及；要向个对象叮，主体的访问类标签级别必须等或低于对象的访问类标签级别，所ff主体的分类标签必须包含在时象的分类标签去中。这概念听起来行些使人困惑，似是要是仔细考虑一卜，这些规则是非常有用的“首先先考虑访问类标签。当从读一个对象时，明显地你必须清楚你所在的级别要高于对象的级别，另外如果对象行凡个分类，而你又不允汴对所有这些分类进行访问，那么你

48、就不允汴读这个对象。要防止1占息的降级，向对象写就要求你的分类不高于对象的分类级别。如果你的分类级别是最高机密，那么就可能要向低级分类文件中写入最高机密信息。写规则的设计就是要防止这种事情发生。商业产品直都支持MAC。最安仝敏感的站点中通常都使用了这些产品。MAC中还能派生出一些有意义的形式化特征。例如，MAC可以防止特洛伊木马的攻击。伸.在本书中讨论的产品中仅有少数能提供MAC功能。其中一个原因是开发可以在执行MAC的操作系统之上运行的软件非常困酢,开发真正能实现MAC模型的产品也一样困难。但你仍能发现防火墙和网络服务器还是设计为何在支持MAC的操作系统上运行的。访问控制是安全

49、策略中最重要的部件之一。但你又如何知道访问控制是否被正确地使用了呢？你考虑到所有的可能性了吗？参考监视器是否象设计的一样工作或销传商是否犯了一些错误呢？要证实系统是否正常工作，就要监视或审计TCB所做的有关安全的所有决定.审计安全审计是完成整个工作所需要的方一个附件。审计是个被信任的机制，TCB的部分.参考监视器也使用审计把它的活动记录卜来，参考监视器圮录的信息应包括主体和对象的标识、访问权限请求、H期和时间、参考请求结果（成功或失败）。审计记录应以种确保可侑的方式存储。大多数操作系统都提供至少能记录被用户访问的每个文件的审计f系统。由于操作系统中还有许多其它的主体和对象，审计机制

50、为记录卜.列事件负责，如开始一个程序，结束一个程序,系统从新启动、增加招1改变用户口令.安装上新的磁盘驱动器。操作系统要维护许多不同的记录，但不是所有记录都包含足够的信息来精确识别主体、对象和访问请求。如果你希望能为系统活动分配责任，那么你就需要描述每个访问控制决定的完全记录。提示：只有通过枳极审计系统，你才会知道要使用的安全策喀是不是正确开始并被使用。入侵检测就是基于这个简单的常要的.如果你不监视系统和网络，就不能检测到入侵者或内部的错误使用；提示：审计一直都被认为是经典安全模理的一个支要组成部分,通过郝助你查找已知的攻击手段.可疑舌动的组合，和试看识别蓄意破坏行为年件的模式，入侵检

展开阅读全文