企业信息安全预警技术

1.数据捕获技术

数据捕获技术是信息安全系统的关键技术，是实现整个预警系统的基础，为整个系统提供数据来源。数据包的捕获技术是依赖网卡的。以太网通过广播的方式传输数据，网卡可以通过广播监听到以太网络上的数据包，这就是数据包截取技术的基础。要想截获不是给自己的数据流，就必须绕开系统正常的工作机制，直接将网卡的工作模式设置为混杂模式，使之可以接收目标地址不是自己的MAC地址的数据包，然后直接访问数据链路层截获相关数据。Linux系统为用户提供一种在理论上是数据链路层的、基于网卡驱动程序的、可以不用操作系统自身协议的接口（也称套接字）——Sock Packet。这种套接字，可以从数据链路层上直接截取所有链路层数据包。

2.信息过滤技术

以采用Linux作为开发平台，基于Linux内核级的信息过滤技术，是通过使用UNIX提供的BPF （Berkeley Packet Filter）机制来截取数据包。BPF是在1993年提出的一种用于UNIX内核数据包过滤机制。BPF提供了一种新的流量监控结构，它的性能比其他工具有显著的提高。BPF有两个部件：Network Tap（网络分接头）和Packet Filter（数据包过滤器）。网络分接头从网络设备驱动程序中搜集数据拷贝并转发到监听程序，过滤器决定是否接收该数据包、该拷贝数据包的哪些部分给应用程序。BPF过滤器的过滤功能，是通过虚拟机执行过滤程序来实现的。过滤器主要由累加器、索引寄存器、数据存储器和隐藏的程序计数器等几部分组成。过滤程序其实是一种过滤规则，而这些过滤规则是由用户来定义的，以决定是否接收数据包和接收多少数据，每一条规则执行一组操作，具体操作可以分为指令装载、指令存储、执行算术指令、执行跳转指令、执行返回指令等几个类别。

3.规则处理

系统的入侵检测模块使用了规则匹配技术。所谓规则匹配，是指通过在已知入侵行为的相关数据中提取特征代码作为关键字，在检测的过程中用关键字和捕获的数据进行匹配，匹配成功则认为发生入侵。而关键字是从入侵特征中归纳出的方便记录模型表示的字段值。我们需要通过预先定义的规则格式，让关键字构成一条一条的规则，在检测的时候和数据包进行匹配，如果匹配，成功就认为发生了入侵。

规则可以分为两部分：规则头和规则选项。规则头包括了规则的行为、协议、源地址、目的地址、子网掩码、源和目的端口信息。规则选项包括了报警信息以及用于确定是否发出规则响应动作而需要检查的数据包区域位置信息。

4.追踪技术

追踪模块采用了信息追踪技术，其目标是判断入侵者的踪迹，定位入侵源的位置，从而为系统的事件处理及响应提供有价值的信息，为事后的取证工作提供充足的证据。然而，要准确地定位一个数据包的源是比较困难的事情。PI协议中，最脆弱的策略就是让源主机自己填写源PI地址，并且，在TCP/IP协议中，也没有提供一种机制来验证源PI地址的真实性，这就给入侵者提供了可乘之机，找到入侵者就成为解决网络安全问题的关键。