主机入侵防御系统的实际应用

作者：浙江省公安厅 杨 磊 来源：计算机安全 添加时间：2006-5-26 12:43:15

信息篡改破坏了信息的完整性，是入侵者攻击目的的一种。信息篡改主要有两种形式：信息传输中的篡改和信息存储时的篡改。信息传输中的篡改主要发生在在线的交易过程中对交易信息的篡改，将导致交易双方的严重经济损失；网络设备控制信息的篡改，可能导致网络工作异常、甚至导致信息传输途径的更改以至于失密。这种攻击行为的防范主要依靠信息交换双方对信息的加密和数字签名以及强验证方式来实现。信息存储时的篡改是最为常见的攻击方式，往往表现在对关键业务服务器上数据的更改，导致业务无法正常运行；对一些关键文件的篡改，比如针对网站主页的篡改，会导致被攻击者形象的损失和潜在的经济损失。

比如一家在线交易单位如果网页被篡改，其后果可能会导致大量客户的流失，即使入侵行为没有危及到关键的交易数据。另外一种最具威胁的攻击手段是对可执行程序的篡改。入侵者通过对系统原有的可执行文件的篡改能够达到很多破坏目的。比如通过非法修改证券交易系统或者银行业务系统的程序以获取暴利；通过篡改某些关键应用程序导致系统无法正常运行。但是最常见的篡改目的是：通过篡改一些管理员或者用户经常使用的应用程序，使其在运行的时候除了执行正常的操作之外，同时运行一个入侵者放置的木马程序。这样，对管理员或者用户来说好像系统运行一切正常，但是却在不知不觉中运行了木马程序，导致后门洞开。这种入侵的后果是非常严重的，将可能导致严重的信息泄密。

主机入侵防御系统的解决方法就是从根本入手，大大细化了对资源的控制粒度。不管是UNIX还是Windows服务器操作系统，对文件和目录的安全许可权限都是非常有限的。但是通过主机入侵防御系统就能够使文件和目录的许可控制大大增强。如图所示，许可类型除了读、写、执行外，还额外添加了删除、重命名、模式更改、属主更改、时间更新、ACL更改、创建、更改目录等8项许可，为管理员提供了充分的授权空间，能够按照最贴切的方式对各个账户进行资源的授权，防止授权过大造成的内部安全隐患。同时，同样一个账户采用不同的应用程序访问资源也有可能获得不同级别的访问许可，这给某些行业的特殊需求提供了极大的便利。

有了文件许可的细化控制能够极大地减少由于授权原因造成的信息篡改事件。但是为了彻底杜绝对关键信息的篡改，主机入侵防御系统还提供了数字签名的功能，能够对普通文件、数据文件以及可执行文件特别是入侵者攻击的首要目标--UNIX中的suid和sgid类型的程序进行完整性校验。如果普通文件和数据文件发生了意外更改，主机入侵防御系统将会报警；如果可执行文件发生了意外更改，主机入侵防御系统将会自动拒绝这个可执行文件的执行，并且同时报警。这样，即使非法入侵者对目标文件进行了篡改，其目的也很难得逞。当然，如果实现利用主机入侵防御系统的文件保护功能对这些关键的文件进行了保护，入侵者是无法达到非法篡改的目的的。

三、木马后门防范
特洛伊木马（以下简称木马），英文叫做"Trojan horse"，其名称取自古希腊的特洛伊木马攻城故事，相信大家都已经耳熟能详了。正是这种古老的攻城方式却成为了现在令人色变的网络入侵方式。 

首先，主机入侵防御系统具有的程序访问控制列表(PACL)功能使得同样一个用户访问同样的资源的时候，如果采用不同的应用程序访问，将会得到不同的权限。也就是说，对于一些重要的资源，我们可以采用主机入侵防御系统这种功能限定不同应用程序的访问权限，只允许已知的合法的应用程序访问这些资源。这样，即使入侵者在被攻击的服务器上运行了木马程序，但是木马程序需要窃取关键信息的时候必须要经过主机入侵防御系统的安全验证。由于PACL中没有定义木马程序的访问权限，按照默认权限是不能够访问的，由此就起到了对木马信息窃取的防范。

第 2 页，共 2 页 [1] [2]