木馬程序的工作機理及防衛(wèi)措施的研究病毒論文

1、木馬程序的工作機理的研究 1 引言隨著計算機和網(wǎng)絡技術(shù)的迅猛發(fā)展和廣泛應用，intemet深入到社會的每個角落，人們充分享受到了其給工作和生活帶來的巨大便利，人類社會對計算機系統(tǒng)和信息網(wǎng)絡的依賴性也越來越大。但是從另一方面，由于計算機系統(tǒng)和信息網(wǎng)絡系統(tǒng)本身固有的脆弱性。越來越多的網(wǎng)絡安全問題開始困擾著我們，入侵者入侵和病毒蔓延的趨勢有增無減，社會、企業(yè)和個人也因此蒙受了越來越大的損失。特別是在此基礎(chǔ)上發(fā)展起來的“信息戰(zhàn)”，通過計算機攻擊工具(如計算機病毒、木馬等計算機程序)對敵方的計算機系統(tǒng)和網(wǎng)絡設(shè)施發(fā)動襲擊，造成敵方的信息通信的中斷和指揮控制系統(tǒng)的癱瘓，從而達到“不戰(zhàn)而屈人之兵”的目的。顯然

2、，計算機攻擊和防御工具也將成為國家之間、企業(yè)之間一種重要的攻擊和防御手段。因此，計算機和信息安全問題正日益得到人們的重視，并成為國內(nèi)外的學者和專家研究的熱點。在早期的計算機安全防御中，由于網(wǎng)絡并不流行，反病毒軟件發(fā)揮著主要的作用，通過對輸入設(shè)備的監(jiān)控，有效地阻止了惡意程序?qū)γ颗_獨立的計算機的危害。隨著網(wǎng)絡的應用，絕大部分計算機連入互連網(wǎng)，威脅變?yōu)橹饕獊碜跃W(wǎng)絡，網(wǎng)絡入侵工具(如蠕蟲、木馬等)在這時不斷涌現(xiàn)。防火墻在這種情況下應運而生，它通過禁止非法的網(wǎng)絡請求來防御來自網(wǎng)絡的攻擊。隨著計算機攻擊技術(shù)的發(fā)展，病毒、蠕蟲和木馬等攻擊工具在功能上相互吸收和借鑒，攻擊方式和手段也層出不窮，促使計算機安全也

3、向著不斷細化的方向發(fā)展，即針對不同的攻擊方式采用不同的對策，從而形成了比較完善的防御體系。2 木馬的功能和特征木馬程序的危害是十分大的，它能使遠程用戶獲得本地計算機的最高操作權(quán)限，通過網(wǎng)絡對本地計算機進行任意的操作，比如刪添程序、鎖定注冊表、獲取用戶保密信息、遠程關(guān)機等。木馬使用戶的電腦完全暴露在網(wǎng)絡環(huán)境之中，成為別人操縱的對象。就目前出現(xiàn)的木馬來看，大致具有以下功能：1自動搜索已中木馬的計算機。2對對方資源進行管理，復制文件、刪除文件、查看文件內(nèi)容、上傳文件、下載文件等。3遠程運行程序。4跟蹤監(jiān)視對方屏幕。5直接屏幕鼠標控制，鍵盤輸入控制。6監(jiān)視對方任務且可以中止對方任務。7鎖定鼠標、鍵盤和

4、屏幕。8遠程重新啟動計算機、關(guān)機。9記錄、監(jiān)視案件順序、系統(tǒng)信息等一切操作。10隨意修改注冊表。11共享被控端的硬盤。12進行亂屏等耍弄人的操作一個典型的特洛伊木馬(程序)通常具有以下四個特點：有效性、隱蔽性、頑固性和易植入性。以從這四個方面來加以評估。一個木馬的危害大小和清除難易程度可它們是：1有效性：由于木馬常常構(gòu)成網(wǎng)絡入侵方法中的一個重要內(nèi)容。它運行在目標機器上就必須能夠?qū)崿F(xiàn)入侵者的某些企圖，因此有效性就是指入侵的木馬能夠與其控制端(入侵者)建立某種有效聯(lián)系，從而能夠充分控制目標機器并竊取其中的敏感信息。因此有效性是木馬的一個最重要特點。入侵木馬對目標機器的監(jiān)控和信息采集能力也是衡量其有

5、效性的一個重要內(nèi)容。2隱蔽性：木馬必須有能力長期潛伏于目標機器中而不被發(fā)現(xiàn)。一個隱蔽性差的木馬往往會很容易暴露自己，進而被殺毒(或殺馬)軟件，甚至用戶手工檢查出來，這樣將使得這類木馬變得毫無價值。因此可以說隱蔽性是木馬的生命。3頑固性：當木馬被檢查出來(失去隱蔽性)之后，為繼續(xù)確保其入侵有效性，木馬往往還具有另一個重要特性：頑固性。木馬頑固性就是指有效清除木馬的難易程度。若一個木馬在檢查出來之后，仍然無法將其一次性有效清除，那么該木馬就具有較強的頑固性。4易植入性：顯然任何木馬必須首先能夠進入目標機器(植入操作)，因此易植入性就成為木馬有效性的先決條件。欺騙性是自木馬誕生起最常見的植入手段。因

6、此各種好用的小功能軟件就成為木馬常用的棲息地。利用系統(tǒng)漏洞進行木馬植入也是木馬入侵的一類重要途徑。目前木馬技術(shù)與蠕蟲技術(shù)的結(jié)合使得木馬具有類似蠕蟲的傳播性，這也就極大提高了木馬的易植入性。從上面對木馬特性的分析，我們可以看到木馬的設(shè)計思想除了具有病毒和蠕蟲的設(shè)計思想(即主要側(cè)重于其隱蔽性和傳播性的實現(xiàn))，還更多地強調(diào)與木馬控制端通信能力，和反清除與反檢測能力。表11對病毒、蠕蟲和木馬三者進行了一個比較。由于有了控制端的攻擊者的指揮，因此木馬的行為特征就有了很高的智能化，具有很強的偽裝能力和欺騙性。而木馬的反清除能力，也使其極為頑固地和被寄生的系統(tǒng)糾合在一起。要想徹底清除木馬，系統(tǒng)也得付出慘痛代

7、價。因此及時迅速地檢測到木馬，避免系統(tǒng)被更深地侵入，是防御木馬的共識。2.1 木馬的分類根據(jù)木馬程序?qū)τ嬎銠C的具體動作方式，可以把現(xiàn)在的木馬程序分為以下幾類：2.1.1遠程訪問型木馬遠程訪問型木馬是現(xiàn)在最廣泛的特洛伊木馬。這種木馬起著遠程控制的功能，用起來非常簡單，只需先運行服務端程序，同時獲得遠程主機的ip地址，控制者就能任意訪問被控制端的計算機。這種木馬可以使遠程控制者在本地機器上做任意的事情，比如鍵盤記錄、上傳和下載功能、發(fā)送一個“截取屏幕”等等。這種類型的木馬有著名的bo(back office)和n產(chǎn)的冰河等。2.1.2密碼發(fā)送型木馬密碼發(fā)送型木馬的目的是找到所有的隱藏密碼，并且在受

8、害者不知道的情況下把它們發(fā)送到指定的信箱。大多數(shù)這類木馬程序不會在每次windows重啟時都自動加載，它們大多數(shù)使用25號端口發(fā)送電子郵件。2.1.3鍵盤記錄型木馬鍵盤記錄型木馬是非常簡單的，它們只做一種事情，就是記錄受害者的鍵盤敲擊，并且在log文件里做完整的記錄。這種木馬程序隨著windows的啟動而啟動，知道受害者在線并且記錄每一個用戶事件，然后通過郵件或其他方式發(fā)送給控制者。2.1.4毀壞型束馬大部分木馬程序只竊取信息，不做破壞性的事件，但毀壞型木馬卻以毀壞并且刪除文件為己任。它們可以自動地刪除受控制者計算機上所有的dll、illi或exc文件，甚至遠程格式化受害者硬盤。毀壞型木馬的危

9、害很大，一旦計算機被感染而沒有即時刪除，系統(tǒng)中的信息會在頃刻間“灰飛煙滅”。2.1.5 fip型木馬ftp型木馬打開被控制計算機的21號端口(ftp所使用的默認端口)，使每一個人都可以用一個ftp客戶端程序來不用密碼連接到受控制端計算機，并且可以進行最高權(quán)限的上傳和下載，竊取受害者的機密文件。2.2遠程控制、木馬與病毒 遠程控制軟件可以為我們的網(wǎng)絡管理做很多工作，以保證網(wǎng)絡和計算機操作系統(tǒng)的安全。這類程序的監(jiān)聽功能，也是為了保證網(wǎng)絡的安全而設(shè)計的，但是如果使用不當?shù)脑?，就會出現(xiàn)很多問題。為了達到遠程控制的目的，就必須將這些軟件隱蔽起來，例如有的遠程控制軟件為了不讓用戶發(fā)現(xiàn)而被刪除，就采用了一些

10、辦法使自己隱蔽起來，使遠程控制程序本身附著在某些windows程序上，以增強駐留系統(tǒng)的可靠性。然而，正是由于這種功能，才使遠程控制軟件變得可怕起來，也使遠程控制軟件、病毒和木馬程序之間的區(qū)別變得越來越模糊。2.2.1病毒與木馬計算機病毒是能夠通過某種途徑潛伏在計算機存儲介質(zhì)(或程序)里，當達到某種條件時即被激活，并具有對計算機資源進行破壞作用的一種程序或指令集合。計算機病毒一般具有以下幾個特點：1破壞性。凡是由軟件手段能觸及到計算機資源的地方均可能受到計算機病毒的破壞，而計算機病毒也正是利用這種原理進行破壞。2隱蔽性。病毒程序大多夾在正常程序之中，很難被發(fā)現(xiàn)。3潛伏性。病毒入侵后，一般不立即活

11、動，需要等一段時間，條件成熟后再作用。4傳染性。通過修改別的程序，并把自身的拷貝包括進去，從而達到擴散的目的。從計算機病毒的定義和特征中可以看出木馬程序與病毒的區(qū)別是十分明顯的。最基本的區(qū)別就在于病毒有很強的傳染性，而木馬程序沒有。但是，如果木馬程序沒有處理好軟件的安全問題，就會跟病毒相差無幾了。例如，有名的木馬程序yal就是一個例子，差一點就成了第2個cih。隨著病毒技術(shù)的發(fā)展，計算機病毒也在向木馬程序靠近，使病毒具有遠程控制的功能。例如，有名的“紅色代碼”已具遠程控制的雛形。2.2.2黑客與木馬“黑客”一詞來源于英語動詞hack，本指“手法巧妙、技術(shù)高明的惡作劇”。今天，在最新和最普遍的意

12、義上說，“黑客”意味著那些偷偷地、未經(jīng)許可就進入別人計算機系統(tǒng)的計算機犯罪。他們或修改網(wǎng)頁進行惡作劇或流言恐嚇；或破壞系統(tǒng)程序：或施放病毒使系統(tǒng)陷入癱瘓：或竊取政治、軍事、商業(yè)機密；或進行電子郵件騷擾；或轉(zhuǎn)移資金賬戶，竊取錢財。由此可見，木馬程序與黑客的區(qū)別是較大的，黑客往往利用操作系統(tǒng)和網(wǎng)絡的漏洞進行破壞活動，而木馬程序往往充當黑客的工具。2.2.3遠程控制與木馬木馬程序和遠程控制軟件都是一種在遠程計算機之間建立起連接，使遠程計算機能夠通過網(wǎng)絡控制本地計算機的程序，它們的運行都遵照tcpflp協(xié)議。其程序編制技術(shù)和攻擊系統(tǒng)的手段也幾乎沒有什么區(qū)別。但是，木馬與遠程控制軟件的最大區(qū)別就是木馬具

13、有隱蔽性而遠程控制軟件沒有。例如，國內(nèi)血蜘蛛，國外的pcanywhere等都是遠程控制軟件，血蜘蛛等server端在目標機器上運行時，目標機器上會出現(xiàn)很醒目的標志。而木馬類的軟件的$ervel端在運行的時候應用各種手段隱藏自己。2.3木馬的發(fā)展方向隨著計算機網(wǎng)絡技術(shù)和程序設(shè)計技術(shù)的發(fā)展，木馬程序的編制技術(shù)也在日新月異她發(fā)展，新的木馬不斷地涌現(xiàn)，幾乎每個新出現(xiàn)的木馬程序都會使用一種新技術(shù)。木馬程序的大致發(fā)展方向如下。2.3.1跨平臺性主要是針對windows系統(tǒng)而言，木馬程序的編制者當然認為一個木馬可以在windows 9598me下使用，也可以在windowsbit2000xp下使用。在win

14、dows 9x系統(tǒng)下，木馬程序很容易隱藏，也很容易控制計算機。但windows nt和windows 2000xp都具有了權(quán)限的概念，這和windows 9x不同，需要木馬程序采用更高級的手段，如控制進程等，現(xiàn)在的一些木馬程序也的確做到了這一點。2.3 模塊化設(shè)計模塊化設(shè)計是軟件開發(fā)的一種潮流，現(xiàn)在的木馬程序也有了模塊化設(shè)計的概念。例如，bo，netbus，sub等經(jīng)典木馬都有一些優(yōu)秀的插件在紛紛問世，就是一個很好的說明。木馬程序在開始運行時可以很小，功能單一，但在控制過程中，可以從控制端傳送某些復雜模塊庫到被控制端，達到自我升級的功能。 2.3.1更新更強的感染模式傳統(tǒng)的修改ini文件和注冊

15、表的手法已經(jīng)不能適應更加隱蔽的需要。目前，很多木馬的感染方式已經(jīng)開始在悄悄轉(zhuǎn)變，例如，著名的木馬程序yai就給了我們很多的啟發(fā)，該程序像病毒一樣的感染windows下的文件。當木馬程序采用了這種感染技術(shù)之后，就眼計算機病毒沒有什么區(qū)別了。164即時通知木馬程序如何知道被控制端在哪里已經(jīng)運行了呢?如果中招的計算機使用固定口地址的話，還比較好檢查，但如果目標使用的是動態(tài)口。就比較麻煩?，F(xiàn)在的木馬程序雖然已經(jīng)有了即時通知的功能，例如irc,icq通知等，畢竟還是太少， 但是，以后肯定會更加完善。2.3.2更強更多的功能我們在前面列出了木馬程序常見的12種功能，但木馬程序編制者是不會滿足現(xiàn)狀的，他們會

16、潛心研究、挖掘木馬程序的新功能，將來的木馬程序的功能也許會讓大家大吃一驚。3 木馬程序的工作機理3.1遠程控制軟件的工作機理木馬雖然神龍見首不見尾，但他畢竟也是一種計算機程序，要防范木馬就必須知道木馬的工作原理。本章就來深入了解木馬的內(nèi)部結(jié)構(gòu)，在看清其所隱藏的真是本質(zhì)之后，對付木馬就會變得輕而易舉了。3.1.1木馬的cs架構(gòu)遠程計算機監(jiān)控和管理，讓網(wǎng)絡管理員不必親臨計算機，就可以像坐在計算機前面一樣進行管理，人人地提高了管理工作的效率和方便性。只是這些功能必須利用操作系統(tǒng)內(nèi)建的監(jiān)控工具或安裝其他網(wǎng)絡管理工具才能實現(xiàn)。木馬程序是一類特殊的計算機程序，其作用是在一臺計算機上監(jiān)控被植入木馬計算機的情

17、況。與網(wǎng)絡管理工具的最大區(qū)別在于，木馬程序總是偷偷摸摸地進入其他人的計算機，而網(wǎng)絡管理工具則是光明正大地安裝到計算機中。黑客利用木馬程序可以監(jiān)視其他計算機的舉動，還可以對這些計算機進行遠程控制。不管操縱木馬的人是出于何種目的，從隱私權(quán)或道德上來看，這些都是不被允許的。木馬的工作原理與網(wǎng)絡管理工具一樣。木馬程序不是病毒程序，病毒程序的主要特點是會造成破壞，例如cih病毒可以將計算機的bios燒掉：蠕蟲病毒可以傳送大量的無用封包，導致網(wǎng)絡癱瘓；而木馬程序的目的不是要破壞計算機或網(wǎng)絡，而是要看點什么、拿點什么、甚至砍掉點什么，所以其危害并不遜色于病毒程序。然而，木馬程序與病毒程序之間有很多共同特點，

18、例如隱蔽性好，它們?yōu)榱吮苊獗粚ｉT的工具清除，總是將自己偽裝成合法的工具或程序，蒙蔽清除工具或用戶，然后就不斷地進行肆虐。目前也出現(xiàn)了木馬+病毒的結(jié)合體程序，這種程序結(jié)合了木馬與病毒的特征和殺傷力，兩者狼狽為奸，共同危害計算機。除了不斷攻擊計算機及網(wǎng)絡、進行自身復制之外，還打開后門，讓黑客可以控制計算機，或者將計算機中的機密信息傳送至某處。病毒程序通常是單獨行動，單槍匹馬侵入計算機，最多也就是多復制幾個和自己一模一樣的東西，壯大規(guī)模而已，它從不留后路。而木馬程序剛好相反，總是成雙成對地行動，其先鋒部隊入侵計算機之后，會悄悄地打開個后門，然后便待在城中做內(nèi)應，等發(fā)動攻擊之后就里應外合，讓計算機和用

19、戶毫無還手之力，只能任由木馬肆虐。所以木馬程序的結(jié)構(gòu)是典型的客戶端服務器clientserver，簡稱cs)模式。木馬程序分為客戶端程序和服務器端程序，服務器端程序騙取用戶執(zhí)行后，便植入在計算機內(nèi)，作為響應程序。所以它的特點是隱蔽，不容易被用戶察覺。或被殺毒程序、木馬清除程序消滅，而且它一般不會造成很大的危害，計算機還可以正常執(zhí)行。另外，木馬服務器端程序還有容量小的特點，一般它的大小不會超過300kb，試想如果有一個100mb大小的木馬服務器端程序，它能行動方便嗎?它的隱蔽性能有多好呢?利用56kbps調(diào)制解調(diào)器撥號上網(wǎng)的用戶大概永遠都沒有機會中此類木馬。現(xiàn)在的木馬服務器端程序越來越小，最小的

20、木馬程序甚至只有3kb，這樣小的木馬很容易就可以合并在一些可以執(zhí)行的exe文件中或網(wǎng)頁中而不被察覺，而且這樣小的文件也能很快就下載至磁盤中，若是再利用upx壓縮技術(shù)還可以讓木馬程序變得更小。木馬客戶端程序是在控制臺(黑客的計算機)中執(zhí)行的，它的作用是連接木馬服務器端程序，監(jiān)視或控制遠程計算機，所以不需要太注重空間大小或隱蔽性的問題，但是必須注意通訊的隱蔽，不能傳送大量的封包至被植入木馬的計算機或大規(guī)模的掃描連接端口。木馬服務器端程序必須與客戶端程序?qū)院诳捅仨毻瑫r開發(fā)這兩個程序。服務器端使用某種通訊協(xié)議，客戶端程序就使用與之相同的通訊協(xié)議：服務器端程序打開計算機某個連接端口，則客戶端程序

21、就掃描那個連接端口：典型的木馬工作原理是服務器端程序與客戶端建立連接后，由客戶端發(fā)出指令，然后服務器在計算機中執(zhí)行這些指令，并源源不斷地將數(shù)據(jù)傳送至客戶端。木馬服務器端與客戶端之間也可以不建立連接，因為建立連接容易被察覺，尤其是現(xiàn)在連計算機初學者都知道如何使用netstatexe指令來查看計算機打開了哪些端口或建立連接，如果再使用連接技術(shù)只會自斷后路。所以就要使用icmp來避免建立連接或使用端口。使用icmp來傳送封包可以讓數(shù)據(jù)直接從木馬客戶端程序送至服務器端。木馬服務器端與客戶端也可以不要間接通訊，因為直接通訊的目的太明顯了，很容易被發(fā)現(xiàn)，所以木馬服務器端可以與客戶端采取間接通訊的專式：這種

22、方式是cs兩層結(jié)構(gòu)的擴展，在服務器端與客戶端之間中間層，服務器端程序先將數(shù)據(jù)傳送至某個網(wǎng)站，客戶端程序再從那個網(wǎng)站取得數(shù)據(jù)。這種方式可以讓木馬程序達到非常隱蔽的通訊效果，但缺點是通信數(shù)據(jù)交換的速度變慢了。3.1.2打開端口的傳統(tǒng)木馬早期的木馬從設(shè)計理念來說很簡單，只需要將木馬植入計算機中，然后打開一扇后門(端口)，就可以通過此連接達到控制計算機的同的。第一代木馬也是使用這種方式，藉由在目標計算機中打開連接端口，達到對計算機的磁盤進行控制、將屏幕顯示輸出至客戶端等目的。這種木馬最常見的就是使用tcp建立連接，因為tcp是一種相當可靠的通訊協(xié)議，計算機在通訊過程中會建立穩(wěn)定的連接，封包在網(wǎng)絡傳送過

23、程中還會確認完整性，所以利用tcp作為傳送協(xié)議的木馬程序不需要在開發(fā)時考慮網(wǎng)絡因素。一旦中了此類木馬，計算機會始終打開一個特定的端口，例如6666、12345、12346、23450等都是木馬程序常用的連接端口號。除了使用這些特定的連接端口之外，木馬程序還會使用一些知名服務所用的端口，例如www的80、f1呼的21這些端口號也會被利用，因為使用特定的端口很容易被用戶或木馬清除工具所發(fā)現(xiàn)，他們只要使用windows操作系統(tǒng)內(nèi)建的netstatexe指令，就可以輕易地發(fā)現(xiàn)計算機打開了哪些端口，但是一般人卻不會懷疑21、80等端口。使用tci作為傳輸協(xié)議的缺點，在于必須建立連接和使用端口，這樣會導致

24、木馬程序的隱蔽性很差。所以很多木馬程序放棄使用tcp，而沿用udp作為傳輸協(xié)議，因為udp是一種不可靠的傳輸協(xié)議，通訊雙方不需在交換數(shù)據(jù)之前建立連接，只有在傳送數(shù)據(jù)的短暫時間里會打開端口。所以在netstatexe指令的輸出中，我們只能看到計算機打開的連接端口，并不能看到連接的狀態(tài)或目標主機的地址和連接端口不管是使用tcp或是udp作為傳輸協(xié)議，始終部不能逃過防火墻這一關(guān)，防火墻的封包篩選功能可以阻止特定端口的封包通過。在防火墻的規(guī)則中，儲存了許多木馬程序所使用的端口號，打開防火墻功能之后，此類封包便不可以通過防火墻，這樣就可以有效防范木馬程序，而且還能從防火墻的防護記錄中看到，木馬攻擊的封包

25、都被有效的遏止了。另外，由于打開端口的木馬比較穩(wěn)定，而且不會為計算機帶來傷害，所以此類木馬也可以從良，作為網(wǎng)絡管理工具使用。3.1 lcmp木馬 打開端口的木馬比較容易被用戶或木馬清除工具發(fā)現(xiàn)，所以便出現(xiàn)第三代木馬。icmp木馬屬于第三代木馬，它不需要使用連接端口進行通訊，這樣可以有效地繞過防火墻或是避免被木馬清除工具消滅。icmp(internet control message protocol：因特網(wǎng)控制信息通訊協(xié)議)是球的附屬協(xié)議，允許網(wǎng)絡上的計算機共享錯誤和狀態(tài)信息，icmp常用于服務tcp或udp，但是也可以單獨使用，其工作在口層，不通過tcp、udp就可以直接傳送封包。使用icm

26、p協(xié)議最著名的工具是pingexe，該指令內(nèi)建于所有的操作系統(tǒng)，可以用于傳送icmp_echo封包請求狀態(tài)和接收icmp echoreply封包確認響應。例如在windows中使用pingexe偵測一臺計算機時，會向?qū)Ψ桨l(fā)送四個32字節(jié)的請求封包，然后再確定對方是否有響應以及響應封包回傳的時間，接著統(tǒng)計所需時間和封包遺失比率。icmp封包不需要建立連接或打開端口，由于此類封包直接交由操作系統(tǒng)或進程，所以用戶和木馬清除工具都沒有辦法確定這種木馬的存在。于是，黑客就得到pingexe指令的啟發(fā)，將木馬服務器端偽裝成一個pingexe的進稱，傳送icmp echo封包，并且修改封包icmp表頭的構(gòu)造

27、，再加上木馬控制信息，然后傳送至木馬程序客戶端，一旦服務器端接收到icmp echoreply響應封包，通過該封包的大小、icmp seq的特征，便可以判斷是正常的icmp echoreply封包，還是木馬客戶端所發(fā)送過來的封包，木馬服務器端便可以從該封包中譯碼出指令和數(shù)據(jù)。使用大量的封包來偵測一臺計算機會導致拒絕服務(dos)，也稱為ping ofdeath，利用icmp可以對計算機發(fā)動攻擊，直到計算機無法處理其他有用的網(wǎng)絡封包，甚至不能分配本機計算機的信息而導致當機，所以icmp封包也被列為危險封包。很多防火墻都內(nèi)建了丟棄icmpecho、icmpechoreply封包的選項，這個選項對用

28、戶來說足不友好的，岡為他們不可以利用pingexe指令來確定是否能夠訪問遠程計算機，但是卻可以有效地防范icmp風暴或icmp木馬，所以必須在安全性和可用性兩者之間作個取舍。封鎖icmp之后，除了pingexe指令不能使用之外，其他利用icmp的工具，例如用來確定路由路徑的tracertexe指令、pingexe的衍生指令pathpingexe也不可以使用，而且當使用intemetexplorer訪問一個網(wǎng)站，而該網(wǎng)站不存在時，往往要花費很多等待的時間，因為網(wǎng)絡不可訪問、網(wǎng)頁服務器不存在、連接端口不可用等信息都不能接收到，而intemet explorer卻一直在等待回復信息直到逾時。3.2

29、通過網(wǎng)站控制的木馬通過網(wǎng)站控制的木馬實際上也是cs結(jié)構(gòu)，只是木馬客戶端程序沒有直接與服務器端程序通訊，而是通過中間層來完成，計算機誤中了木馬程序后，木馬服務器程序?qū)?shù)據(jù)傳送至默認的網(wǎng)站，黑客就可以存網(wǎng)站中發(fā)布指令，然后這些指令會回傳至計算機執(zhí)行。此類木馬通常使用www服務默認的80端口，所以中了該類木馬的計算機，即使用戶沒有打行internetexplorer訪問網(wǎng)站，也有打開h丁rp使用的80端口。在netstatexe指令的輸出中，我們可以看到計算機連接至外部網(wǎng)站的80端口。由于需要通過中間層，所以會顯得比較慢，對于那些文件傳送或者屏幕截取等功能，這類型的木馬比較少用到，不過遠程指令的執(zhí)行

30、卻可以很順暢地完成，因為不需要太多的頻寬。這種木馬的特點是可以繞過防火墻或代理服務器，因為它是主動傳送封包，而且使用80端口，幾乎所有的防火墻都不會丟棄這種封包，而且代理服務器也允許用戶訪問外部網(wǎng)站，所以這類木馬可以大行其道。黑客不必搜索哪些計算機中了木馬，所以省了掃描網(wǎng)絡的功夫，而且即使計算機是處于內(nèi)部網(wǎng)絡，也不必擔心是否可以連接進行控制，因為封包既然可以從中了木馬的計算機傳送至網(wǎng)站，響應封包也就一定可以從網(wǎng)站傳送至計算機。既然防火墻和代理服務器都奈何不了此類木馬，用戶也很難判斷是否中了此類木馬，那么有么方式才可以清除它昵?其實，最新的木馬清除工具或殺毒程序就可以消滅此類木馬，因為木馬在磁盤

31、中總是會遺留下某些特征，包括啟動項目、木馬服務器端程序等，只要木馬被人發(fā)現(xiàn)，都會立刻加到最新木馬特征數(shù)據(jù)庫中，所以使用這些工具來清除木馬，當然就沒問題了。4 木馬程序常用的攻擊手段為什么我們需要使用殺毒軟件牢牢地守護計算機，嚴防木馬闖進來呢?因為木馬程序的功能，實在太過強大了。一旦它悄悄溜進用戶的計算機，一場使人欲哭無淚的悲劇就開始上演了。4.1 竊取賬戶、密碼密碼是一種最常用來驗證用戶身份的方法，獲得了用戶密碼，就相當于竊取了用戶的某項使用權(quán)利。密碼的竊取可以分為以下幾類：4.1.1竊取本機賬戶密碼竊取本機密碼是木馬最常見的危害，相當多的木馬程序都提供這類功能。通過密碼破解，黑客就會從一個普

32、通的用戶，一步步晉升為管理員，最終完全控制遠程計算機。為了達到這個目的，針對不同的系統(tǒng)，木馬程序會使用不同的方法：對于windows 9xmc，木馬會嘗試破解windows 9x操作系統(tǒng)上的pwl文件。對于windows nt2000xp操作系統(tǒng)的用戶而言，木馬會試圖通過系統(tǒng)漏洞訪問注冊表，提升木馬程序執(zhí)行賬戶的權(quán)限或記錄鍵盤輸入字符，向黑客提供其他賬戶及密碼。4.1.2竊取銀行賬戶密碼由于幾乎所有的網(wǎng)絡財務處理，都是使用ssl連接加密傳送，所以黑客要從網(wǎng)絡截取并破解的難度極高。而另一方面，相對于只需要密碼就可以認證身份的客戶端而言，銀行的服務器十分嚴密，所以一些黑客就會通過木馬竊取用戶密碼。

33、由于電子商務、網(wǎng)絡銀行等服務的普及，越來越多的用戶會通過網(wǎng)絡處理財務問題。用戶只需要在瀏覽器輸入密碼驗證身份，就可以登入網(wǎng)絡銀行匯款、轉(zhuǎn)賬。由于相當多的用戶安全意識并不高，例如會在公共計算機上處理財務等等，因此讓黑客有通過記錄鍵盤輸入或直接從瀏覽器的字段獲得密碼的機會。4.1.3竊取其他網(wǎng)絡賬戶密碼除了竊取銀行賬戶木馬這些極為重要的密碼之外，木馬也隨著潮流而不斷推出符合黑客“胃口”的密碼竊取功能。例如，在電子郵件開始普及的那段時期，竊取用戶郵件密碼的木馬曾盛極一時，而流行網(wǎng)絡游戲的今天，有越來越多的木馬程序則添加了竊取網(wǎng)絡游戲賬戶的功能。4.2遠程監(jiān)控 用戶會使用計算機觀賞影片，也會使用它處理

34、公司的機密數(shù)據(jù)，如公司的投標計劃。為了獲得這些機密或是刺探用戶的個人隱私，黑客會使用遠程監(jiān)控功能，監(jiān)看用戶的一舉一動。目前較為常見的遠程監(jiān)控方法有以下兩種，下面將分別說明他們的危害方式。4.2.1遠程屏幕畫面截取 為了安全起見，許多公司的數(shù)據(jù)都是加密儲存的，黑客即使竊取到文件，如果不解密將會看到一堆沒有仔何意義的亂碼。而且，解密過程通暢都十分復雜，依理論而言，得花上數(shù)年至數(shù)十年才能解密成功。不少黑客會因此望而卻步，放棄竊取到的數(shù)據(jù)。然而無論使用何種加密方式儲存，當用戶本人需要使用時，一樣需要解密并以人類可以理解的文字或圖像顯示在屏幕上，才能進行處理。遠程屏幕畫面截取功能，雖然不能獲得文件本身，

35、但是它的可怕之處在于，可以讓黑客獲得最終的輸出結(jié)果。對于一些使用計算機處理機密數(shù)據(jù)的用戶而言，這是他們最不想看到的情況。因為用，住屏幕上所看到的一切，將全部顯示在黑客的屏幕上。換而言之，黑客就好像站在用戶身后，看著用戶將自己所有的加密文件解密，并且呈現(xiàn)所有內(nèi)容給其觀看。或許有些用戶還抱著最后的希望，處理文件的時間很短，黑客不會記錄下所有數(shù)據(jù)吧。答案，是令人失望的。大多數(shù)支持屏幕畫面截取的木馬，都可以將截取到的圖像另存為圖文件，一些還具有自動存盤功能。所以，一旦被帶有屏幕畫面截取功能的木馬入侵，就再也沒有什么秘密可言了。4.2.2遠程桌面控制遠程屏幕畫面截取的功能雖然強大，對于黑客而言，只能觀看

36、用戶的操作結(jié)果，并不能由自己主動操控始終有些可惜，特別是將要顯示關(guān)鍵信息時，用戶若關(guān)閉了文件，不知氣壞了多少正在瀏覽遠程屏幕的黑客。所以，許多新推出的木馬都帶有遠程桌面控制功能。通過遠程桌面控制功能，黑客不但可以監(jiān)視用戶正在進行的操作，在需要時還可以奪取用戶的控制權(quán)，由黑客直接使用目前登入的賬戶操作遠程計算饑。由于相當多的木馬，為了避免與用戶發(fā)生爭奪桌面控制權(quán)的情況，通常會存遠程控制功能啟動的同時，鎖定用戶的鼠標與鍵盤。對于用言而言，如果受到帶有遠程桌面控制功能的木馬入侵，將會完全失去計算機的控制權(quán)，這時除了強行拔除網(wǎng)絡連接線之外，無法擺脫受到控制的命運。4.3 打開未授權(quán)的服務哪些服務是必須

37、啟用的?哪些服務是自己不需要的?對于一般的用戶而言，可以正確答對以上問題的人并不多。因此，這就讓黑客有了可乘之機，可以在用戶不知不覺的情況下，安裝及打開某些服務?；蛟S，用戶會覺得，多一些服務難道不是一件好事嗎?這就不一定了它的危害方式主要有以下兩點：占用帶寬成為黑客的替罪羊。4.3.1占用頻寬首先，額外的服務將占用大量的帶寬，讓用戶可用的帶寬減少。例如用戶10mbps的寬帶網(wǎng)絡，成為frp文件服務器后，大量下載的文件將會令可用帶寬擁擠得只剩幾kbps甚至更少。被黑客設(shè)定為代理服務器的計算機，更成為成千上萬網(wǎng)絡用戶數(shù)據(jù)傳輸?shù)闹欣^站，用戶本人幾乎無法正常上網(wǎng)。4.3.2泄露機密相當多的木馬入侵后，

38、會為客戶端打開文件共享服務。這樣用戶硬盤上存儲的所有數(shù)據(jù)，都將成為黑客的囊中之物。只要黑客需要，他隨時可以通過客戶端下載自己需要的文件。4.3.3成為黑客的替罪羊并不是各種網(wǎng)絡服務都可以花錢購買的，例如要架設(shè)一個色情網(wǎng)站，向用戶發(fā)送色情刊物，恐怕沒有哪一個網(wǎng)絡服務提供商可以提供這樣的空間給用戶。為了獲得免費的儲存空間或開辦一些違法網(wǎng)站，一些黑客就會使用木馬，在入侵的計算機啟用一些未經(jīng)授權(quán)的服務。例如，打開ftp服務，儲存一些盜版軟件，供其他用戶下載。由于非法文件不是放在自己的計算機，所以黑客就可以高枕無憂了，而用戶在不知情的情況下卻成了違法經(jīng)營者，變成黑客的替罪羊。所以，不小心被木馬入侵的話，

39、可能警察找上門來，用戶卻還茫然不知原因呢。5 木馬程序的開發(fā)技術(shù)近年來，黑客技術(shù)不斷成熟起采，對網(wǎng)絡安全造成了極大的威脅，黑客的主要攻擊手段之一，就是使用木馬程序，滲透到對方的主機系統(tǒng)暈，從而實現(xiàn)遠程控制目標主機。其破壞力之大，是絕不容忽視的。那么，黑客到底是如何編制了這種具有破壞力的木馬程序昵?這就是本節(jié)要討論的內(nèi)容。在木馬程序中，在控制端和被控制端進行數(shù)據(jù)通訊，使用的主要技術(shù)就是網(wǎng)編程技術(shù)和系統(tǒng)編程技術(shù)，在本節(jié)，我們將介紹這些技術(shù)的實現(xiàn)方法。在討論具體的實現(xiàn)技術(shù)之前，我們先要知道如何利用socket進行網(wǎng)絡編程，因為這些是網(wǎng)絡編程的核心技術(shù)。5.1 socket的基本概念socket的引入

40、隨著計算機網(wǎng)絡技術(shù)的發(fā)展，tc聃p協(xié)議被集成到操作系統(tǒng)內(nèi)核中時，相當于在操作系統(tǒng)中引入了一種新型的輸入輸出操作。操作系統(tǒng)用戶進程與網(wǎng)絡協(xié)議的交互作用比用戶進程與傳統(tǒng)的輸入輸出設(shè)備相互作用復雜得多。首先，進行網(wǎng)絡操作的兩個進程在不同機器上，如何建立它們之間的聯(lián)系?其次，有很多種網(wǎng)絡協(xié)議。如何建立一種通用機制以支持多種協(xié)議?這些都是網(wǎng)絡應用編程所要解決的問題。20世紀80年代初，美國政府的高級研究工程機構(gòu)(arpa)給加利福尼亞大學berkeley分校提供了資金，讓他們在unix操作系統(tǒng)下實現(xiàn)tcpip協(xié)議。在這個項目中，研究人員為tcpip網(wǎng)絡通信開發(fā)了一個應用程序接口(apt9。這個api就稱

41、為socket(套接字)接口。今天，socket接口是tc坤網(wǎng)絡最為通用的api也是在intemet上進行應用開發(fā)最為通用的api。實際上socket在計算機中提供了一個通信端口(套接口)，通過這個端口，一臺計算機可以與任何一臺具有socket接口的計算機通信，通信的基礎(chǔ)是套接口，一個套接口是通訊的一端，在這一端上可以找到與其對應的一個名字。一個正在被使用的套接口都有它的類型和與其相關(guān)的進程，套接口存在于通訊域中。一個套接口通常和同一個域中的套接口交換數(shù)據(jù)(數(shù)據(jù)交換也可能穿越域的界限但這時一定要執(zhí)行某種解釋程序)。應用程序在網(wǎng)絡上傳輸，接收的信息都通過這個套接口采實現(xiàn)。在應用開發(fā)中就像使用文件

42、句柄一攔可以對socket句柄進行讀寫操作。5.1.1socket編程的基本概念在開始使用套接字編程之前，我們首先必須建立以下概念。兩間進程通信進程通信的概念最初采源于單機系統(tǒng)。由于每個進程都在自己的地址范圍內(nèi)運行，為了保證兩個相互通信的進程之間既互不干擾又能協(xié)調(diào)一致工作，操作系統(tǒng)為進程通信提供了相應設(shè)施，如unix bsd中的管道(pipe)、命名管道(namedpipe)和軟中斷信號(signa0，unix system v的消息(message)、共享存儲區(qū)(sharedmemory)和信號量(semaphore)等，但都僅限于用在本機進程之間通信。網(wǎng)間進程通信要解決的是不

43、同計算機進程間的相互通信問題f可把同機進程通信看作是其中的特例)。為此，首先要解決的是網(wǎng)間進程標識問題，同一計算機上不同進程可用進程號(process id)惟一標識。但在網(wǎng)絡環(huán)境下，各計算機獨立分配的進程號不能惟一標識該進程。例如，計算機甲賦于某進程號48，在乙計算機中也可以存在48號進程，因此，“48號進程”這句話就沒有意義了。其次，操作系統(tǒng)支持的網(wǎng)絡協(xié)議眾多，不同協(xié)議的工作方式也不同，地址格式也不一樣。因此網(wǎng)問進程通信還要解決多重協(xié)議的識別問題。服務方式在網(wǎng)絡分層結(jié)構(gòu)中，各層之間是嚴格單向依賴的，各層次的分工和協(xié)作集中體現(xiàn)在相鄰層之間的界面上?！胺帐敲枋鱿噜弻又g關(guān)系的抽

44、象概念，即網(wǎng)絡中各層向緊鄰上層提供的一組操作，下層是服務提供者，上層是請求服務的用戶。服務的表現(xiàn)形式是原話(primitive)，如系統(tǒng)調(diào)用或庫函數(shù)等。系統(tǒng)調(diào)用是操作系統(tǒng)內(nèi)核向網(wǎng)絡應用程序或高層協(xié)議提供的服務原語。在國際標準化組織(iso)的開放系統(tǒng)互連(osi)的術(shù)語中網(wǎng)絡層及其以下各層又稱為通信子網(wǎng)，只提供點到點通信，沒有程序或進程的概念。而傳輸層實現(xiàn)的是“端到端”通信，引進網(wǎng)間進程通信概念，同時也要解決差錯控制，流量控制，數(shù)據(jù)排序(報文排序)，連接管理等問題，為此提供不同的服務方式：面向連接(虛電路1的服務或無連接的服務。面向連接服務是電話系統(tǒng)服務模式的抽象，即每一次完整的數(shù)據(jù)傳輸都要經(jīng)

45、過建立連接、使用連接、終止連接的過程。在數(shù)據(jù)傳輸過程中，各數(shù)據(jù)分組不攜帶目的地址，而使用連接號(conncct in)。本質(zhì)上，連接是一個管道，收發(fā)數(shù)據(jù)不但順序一致，而且內(nèi)容相同。我們知道，tcp協(xié)議提供面向連接的虛電路。無連接服務是郵政系統(tǒng)服務的抽象，每個分組都攜帶完整的目的地址，各分組在系統(tǒng)中獨立傳送。無連接服務不能保證分組的先后順序。不進行分組出錯的恢復與重傳，不保證傳輸?shù)目煽啃?。提供無連接的數(shù)據(jù)報服務的常用協(xié)議是udp協(xié)議?？蛻舴掌髂Ｊ皆趖cpip網(wǎng)絡應用中，通信的兩個進程問相互作用的主要模式是客戶服務器(clientserver)模式，即客戶向服務器發(fā)出服務請求，服務

46、器接收到請求后，提供相應的服務?？蛻舴掌髂Ｊ降慕⒒谝韵聝牲c：首先，建立網(wǎng)絡的起因是網(wǎng)絡中軟硬件資源、運算能力和信息不均等，需要共事，從而造就擁有眾多資源的主機提供服務，資源較少的客戶請求服務這一非對等作用。其次，網(wǎng)間進程通信完全是異步的，相互通信的進程間既不存在父子關(guān)系，又不共享內(nèi)存緩沖區(qū)，因此需要一種機制為希望通信的進程間建立聯(lián)系，為二者的數(shù)據(jù)交換提供同步這就是基于客戶服務器模式的tcp，m協(xié)議。5.1.2 socket的類型tcp，lp協(xié)議的socket提供了下列三種類型的套接字。套接宇socket如果我們想讓發(fā)送出去的數(shù)據(jù)按順序無重復的到達目的地，那么需要使用流式套接

47、字。流式套接字提供了一種可靠的面向連接的數(shù)據(jù)傳輸方法數(shù)據(jù)無差錯、無重復地發(fā)送，且按發(fā)送的順序進行接收。不管是對單個的數(shù)據(jù)報。還是對整個數(shù)據(jù)包，流式套接字都提供了一種流式數(shù)據(jù)傳輸，流式套接字使用傳輸控制協(xié)議(rcp)。此外，在數(shù)據(jù)傳輸時，如果連接斷開，應用程序會被通知，流式套接字內(nèi)設(shè)流量控制，避免數(shù)據(jù)流超限：數(shù)據(jù)被看作是字節(jié)流，無長度限制文件傳送協(xié)議(frp)使用流式套接字。數(shù)據(jù)報套接字socket數(shù)據(jù)報套接字提供了一種不可靠的、非連接的數(shù)據(jù)包(packet)通信方式。在這里“不可 靠”的意思是指傳送一個數(shù)據(jù)包不能獲得擔保，也不能保證數(shù)據(jù)包按照發(fā)送的順序到達目的地。數(shù)據(jù)包以獨立包形

48、式被發(fā)送，不提供無錯保證，數(shù)據(jù)可能丟失或重復，并且接收順序混亂，在實際上同一分組數(shù)據(jù)報可能不止一次地被發(fā)送。對于winsock的tcpip實現(xiàn)，數(shù)據(jù)報套接字使用用戶數(shù)據(jù)報協(xié)議(udn，不過winsock2也支持別的協(xié)議。網(wǎng)絡文件系統(tǒng)(nfs)使用數(shù)據(jù)報套接字。雖然在通常情況下，在同一臺計算機上或在輕負載0ighfly loaded)的局域網(wǎng)(lan)所連接的兩臺計算機上的進程之間進行通信時，可能不會出現(xiàn)數(shù)據(jù)包有不被發(fā)送，或沒按照順序到達、有重復發(fā)送的情形。但我們在編寫應用程序時，應該注意檢測意外的發(fā)生。具備處理出現(xiàn)這些情況的能力。當然，如果我們?yōu)榉浅碗s的網(wǎng)絡(如intemet)編寫通信應用程

49、序時，就應該要考慮到數(shù)據(jù)報套接字的不可靠性。如果我們的應用程序沒有適當?shù)奶幚砗眠@個問題，它就可能會崩潰。盡管如此，數(shù)據(jù)報套接字在發(fā)送數(shù)據(jù)包或記錄型數(shù)據(jù)時仍然是很有用的。另外，數(shù)據(jù)報套接字還提供了向多個目標地址發(fā)送廣播數(shù)據(jù)包的能力。5.1.3程序的自動加載運行技術(shù)在windows系統(tǒng)中，程序自動啟動的方法有兩種，我們分別列舉如下。利用winini文件實現(xiàn)相關(guān)程序的自動啟動wmini是系統(tǒng)保存在c：windows目錄下的一個系統(tǒng)初始化文件。系統(tǒng)在啟動時會檢索該文件中的相關(guān)項，以便對系統(tǒng)環(huán)境的初始設(shè)置。在該文件中的windows數(shù)據(jù)段中，有兩個數(shù)據(jù)項“l(fā)oad=”和“run=”，它們的

50、作用就是在系統(tǒng)啟動之后自動地裝入和運行相關(guān)的程序。如果我們需要在系統(tǒng)啟動之后裝入并運行一個程序，只將需要運行文件的全文件名添加在該數(shù)據(jù)項的后面，系統(tǒng)啟動后就會自動運行該程序，系統(tǒng)也會進入特定的操作環(huán)境中去。利用注冊表實現(xiàn)相關(guān)程序的自動啟動系統(tǒng)注冊表保存著系統(tǒng)的軟件、硬件及其他與系統(tǒng)配置有關(guān)的重要信息，一臺計算機系統(tǒng)的系統(tǒng)注冊表一旦遭到破壞，整個系統(tǒng)將無法運行。在計算機的系統(tǒng)注冊表中的子目錄中有一個目錄的名稱為hkey localmachinesoftwarelmicrosofl windowscurrent version、run的鍵，如果你想讓程序在系統(tǒng)啟動的過程中啟動該程序，

51、就可以向該目錄添加一個子項，具體的過程是在注冊表中右擊該項，選中其中的“新建”項目，然后選中其中的“串值”，建立新的串值后將它的名稱改成相應的名稱，雙擊新建的串值，輸入新的數(shù)值，自動啟動程序的過程就設(shè)置完成。目標機器信息的獲取木馬的一個功能就是竊取被控制端計算機的信息，然后再把這些信息通過socket傳送到控制端。一般來講，獲取目標機器信息的方法是調(diào)用相關(guān)的api，通過函數(shù)返回值，進行分解和分析有關(guān)成分。用戶事件的記錄在木馬程序中，如果控制端用戶要知道被控制端用戶在干些什么事情，敲了哪些鍵，就要使用本節(jié)中的用戶事件的記錄技術(shù)。具體實現(xiàn)過程大致是這樣的：控制端程序發(fā)送

52、“記錄”命令，當被控制端程序接收到該命令后，開始調(diào)用鍵盤事件記錄模塊，該模塊記錄用戶的所有敲鍵及打開的窗口，保存在一個文本文件中。一定時間后，控制端程序再發(fā)送“停止并傳送”命令，則被控制端程序就停止記錄用戶事件，并把記錄文件傳到控制端。5.1.1 基于網(wǎng)絡的入侵檢測系統(tǒng)的設(shè)計針對上面討論的木馬程序的工作機理，誕生了入侵檢測技術(shù)。本章開始討論ijnux下基于網(wǎng)絡環(huán)境的入侵檢測系統(tǒng)的設(shè)計與實現(xiàn)。討論了該系統(tǒng)模型的體系結(jié)構(gòu)，并對各個模塊進行了介紹，包括網(wǎng)絡數(shù)據(jù)包捕獲模塊、網(wǎng)絡協(xié)議分析模塊、存儲模塊、規(guī)則解析模塊、入侵事件檢測模塊、響應模塊和界面管理模塊.基于網(wǎng)絡的入侵檢測系統(tǒng)根據(jù)網(wǎng)絡流量、網(wǎng)絡數(shù)據(jù)包

53、和協(xié)議分析來檢測入侵，其基本原理如圖所示。圖中數(shù)據(jù)包捕獲模塊的功能是按照一定的規(guī)則從網(wǎng)絡上獲取與安全事件相關(guān)的數(shù)據(jù)包，然后傳遞給入侵分析引擎模塊進行安全分析判斷。入侵檢測模塊將根據(jù)網(wǎng)絡數(shù)據(jù)包捕獲模塊上接收到的包并結(jié)合網(wǎng)絡入侵規(guī)則庫進行分析，把分析的結(jié)果傳遞給系統(tǒng)管理模塊。管理模塊的主要功能是管理其他模塊的配置工作，將分析引擎的結(jié)果以有效的方式通知網(wǎng)絡管理員與入侵維護標簽等吲。 木馬程序的工作機理及防衛(wèi)措施的研究由于我們需要捕獲所有流經(jīng)網(wǎng)絡的數(shù)據(jù)包，基于網(wǎng)絡的入侵檢測系統(tǒng)的檢測器放置的位置需要能夠嗅探到網(wǎng)絡中所有數(shù)據(jù)包。理論上有以下幾種類型：1放在防火墻之外：能夠檢測所有來自外部網(wǎng)絡的攻擊。2放

54、在防火墻之內(nèi)：能夠檢測所有進入內(nèi)部網(wǎng)絡的攻擊，但是對于被防火墻過濾掉的數(shù)據(jù)包卻無法檢測。3防火墻內(nèi)外都有檢測器：這是最前面的攻擊檢測方案，對來自內(nèi)部和外部的攻擊都能檢測13。入侵檢測平臺模塊介紹系統(tǒng)體系結(jié)構(gòu)如下圖所示。從邏輯上分為數(shù)據(jù)采集、數(shù)據(jù)分析和結(jié)果顯示三部分。此系統(tǒng)由7個模塊組成：1網(wǎng)絡數(shù)據(jù)包捕獲模塊：此模塊的主要功能是從以太網(wǎng)中捕獲數(shù)據(jù)包。由于此模塊的性能要求很高，我們使用一個在linux下非常流行的捕獲機制，即bpf機制。2網(wǎng)絡協(xié)議分析模塊：對捕獲到的數(shù)據(jù)包進行協(xié)議分析，檢測出每個數(shù)據(jù)包的類型和特征。3存儲模塊：存儲網(wǎng)絡信息。我們使用mysql數(shù)據(jù)庫。4響應模塊：本系統(tǒng)采用被動響應方

55、式，此響應是實時的。5入侵事件檢測模塊：根據(jù)入侵規(guī)則庫進行協(xié)議分析，看是否有入侵行為發(fā)生。在這里就可以轉(zhuǎn)化成規(guī)則庫的匹配問題了。所以如果定義好了入侵規(guī)則庫，并且協(xié)議分析完成了，那么現(xiàn)在就是對這兩部分進行匹配了。如果協(xié)議分析的結(jié)果跟入侵規(guī)則庫匹配成功，就說明有入侵行為的發(fā)生。只有入侵規(guī)則庫越豐富，那么系統(tǒng)檢測到的入侵行為就會越多。另外，此模塊除了使用入侵規(guī)則庫來檢測入侵之外，還可以使用一些異常檢測功能。如對掃描入侵行為的檢測就可以使用異常檢測技術(shù)。6規(guī)則解析模塊：此模塊的功能就是把定義好的入侵規(guī)則庫從文件中讀取出來，然后進行解析，讀入內(nèi)存，也就是讀入相應的變量之中。入侵規(guī)則庫的解析跟入侵規(guī)則的入

56、侵事件描述語言密切相關(guān)。我們定義一種入侵事件描述語言來描述入侵事件。7界面管理模塊：界面是為了控制操作的方便而設(shè)計的。界面管理模塊的實現(xiàn)中有一個重要問題就是動態(tài)數(shù)據(jù)的顯示問題。我們使用gtk+結(jié)合多線程技術(shù)。舟絡數(shù)據(jù)報捕獲及協(xié)議分析模塊5.1.2 入侵檢測系統(tǒng)的未來發(fā)展方向入侵檢測系統(tǒng)的研究還處于一個不完善的階段，還有很多問題需要解決，在此就一些問題和發(fā)展方向進行闡述。分布式入侵檢測和通用入侵檢測框架的研究傳統(tǒng)的ms局限于單一的主機或網(wǎng)絡架構(gòu)，對異構(gòu)系統(tǒng)及大規(guī)模的網(wǎng)絡檢測不是很好，不同的los系統(tǒng)之間及與其他網(wǎng)絡安全系統(tǒng)間不能協(xié)同工作。應用層入侵檢測的研究許多入侵的

57、語義只有在應用層才能理解，而目前的ids僅能檢測如web之類的通用協(xié)議，而不能處理數(shù)據(jù)庫系統(tǒng)等其他的應用系統(tǒng)。智能入侵檢測技術(shù)的研究入侵檢測方法越來越多樣化與綜合化，盡管已經(jīng)有智能體、神經(jīng)網(wǎng)絡等在入侵檢測領(lǐng)域應用研究，但智能入侵檢測系統(tǒng)研究工作處于嘗試性階段，還不能形成真正實用的產(chǎn)品。與其他網(wǎng)絡安全技術(shù)相結(jié)合的研究如與防火墻、病毒檢測等新的網(wǎng)絡安全技術(shù)相結(jié)合，充分發(fā)揮各自的長處，協(xié)同配合，共同提供一個完整的以防火墻為核心的網(wǎng)絡安全體系。自身安全性的研究ds本身的健壯性是ids系統(tǒng)好壞的重要指標。ms的健壯性要求系統(tǒng)本身在各種網(wǎng)絡環(huán)境下都能正常工作，并且系統(tǒng)的各個模塊之間的通信能夠不被破壞。這就需要在模塊間的通信過程中引入加密和認證的機制，并且這個加密和認證的機制的健壯性也要得到保證5.2 本文中存在的不足以及尚待解決的問題本文設(shè)計并實現(xiàn)的入侵檢測系統(tǒng)可以增加對更多的應用協(xié)議f如f礬哪telnet等)進行更深入的協(xié)議分析