在本节中将使用该防范体系对被保护网络受到内部用户使用典型攻击技术的攻击时做出的响应和防护效果进行分析。本部分仅选取这9种典型的攻击技术中的两种（本地口令攻击和本地缓冲区溢出攻击）进行针对性分析，关于黑客入侵防范体系对其他几种攻击技术从内部进行攻击的防护效果可参考本书9.2节“外部攻击行为防护性能分析”部分的内容，只是防火墙所起的作用不再相同。黑客入侵防范体系对这两种内部攻击所做出的防护效果模拟分析结果描述如下。

3.1  内部口令攻击的防护

若内部用户或黑客使用letmein等口令攻击工具从被保护网络内部对节点A进行口令攻击，则防范体系对内部口令攻击的防护过程如下：

黑客使用口令攻击软件从内部对被保护网络中的节点A进行口令攻击。

该攻击行为首先被节点A上的主机型IDS检测到，当该主机型IDS检测到攻击信息后，立即向体系管理平台报告。

体系管理平台在收到节点A的主机型IDS的报警信息后，体系管理平台会通知陷阱机，由陷阱机进行节点A的模仿，将攻击信息引入陷阱机，对攻击者的进一步动作进行观察调查和跟踪分析，同时，通知取证机进行取证记录，通知评估扫描系统对主机A的抗口令攻击性能进行测试。

陷阱机将攻击引入陷阱机（这一步实现起来有一定的困难，若不能实现，尽快由主机A上的主机型IDS阻断该攻击）。

陷阱机模仿节点A给黑客返回相关信息，诱骗攻击者进一步表现自己，进行分析，同时取证机进行取证。

陷阱机、扫描评估系统和取证机向体系管理平台报告处理结果信息，由管理平台记录存档。

体系管理平台在将处理结果记录入库后，将处理结论反馈给节点A的主机型IDS。

体系管理平台会及时将跟踪信息通知安全管理员，由安全管理员根据情况进行内部处理。

3.2  本地缓冲区溢出攻击的防护

以Solaris ipcs时区变量本地缓冲区溢出攻击为例进行说明。Solaris所带的ipcs程序缺省设置了SGID sys属性，由于它在处理一个环境变量时存在缓冲区溢出问题，可能导致本地用户提升权限。如果把环境变量TZ（时区）设置成一个很大的字符串，就可能导致一个缓冲区溢出的发生，攻击者可以使用sys组的权限执行任意代码。这个漏洞影响Solaris的SPARC和x86平台。 防范体系对Solaris ipcs时区变量本地缓冲区溢出攻击的防护过程描述如下：

内部用户或黑客利用获取的内部用户账号在主机A上使用Solaris ipcs时区变量本地缓冲区溢出攻击工具进行权限提升的攻击行为。

主机A上的主机型IDS或tripwire软件会首先发现（越权后会对关键文件如passwd、shadow等做一些非法操作），主机A上的IDS代理或tripwire向体系管理平台报告。

体系管理平台在收到节点A的主机IDS或隐患扫描系统的报警信息后，体系管理平台会通知节点A的抗毁系统启动，进行信息完整性检查并进行处理工作（本步骤一般需要调动安全事件响应队伍进行相关处理和恢复工作），调用主机A的取证机的记录进行分析攻击源和攻击过程。

抗毁系统向体系管理平台报告处理结果信息，由管理平台记录存档。

体系管理平台在将处理结果记录入库后，将处理结论反馈给最初攻击信息的报告者（节点A上的基于主机的IDS或tripwire）。

管理平台通知评估扫描系统对经过上述处理的节点A进行扫描评估。

扫描评估系统将扫描结果向管理平台报告，若仍有问题，进入新的处理流程，若没有问题，则将扫描评估系统的扫描结果存档即可。

体系管理平台会及时将跟踪信息通知安全管理员，由安全管理员根据具体情况进行处理。

对于内部的攻击行为，主要做到分析出攻击源，进行内部处理，同时，可以通过内部管理制度和取证分析的威慑力来达到对内部人员发起的内部攻击行为的防范效果。

四、对外攻击行为防护性能分析

该体系对黑客或内部用户从被保护网络发起的对外攻击行为也有一定的防护作用，黑客入侵防范体系对这类攻击行为的防护性能主要表现在：通过IDS等安全产品及时发现并处理从内部网络对外发起的攻击（由防火墙和路由器配合进行处理），以避免黑客或内部用户利用被保护网络攻击其他网络而引起的不良后果或纠纷。美国几大网站受DDoS攻击时，某些大学的主机就被作为僵尸机，从而成为这次黑客攻击事件的帮凶）。

本章主要通过实验网络的模拟攻击测试，并结合该体系在实际网络中的防护性能分析，得出了上述模拟分析结果。 通过试验分析，我们认识到，黑客入侵防范体系的应用和功能发挥是一个复杂的工程，它是一个动态的过程，不是一劳永逸的解决方案，它需要持续的维护和管理，才能对被保护网络发挥应有的抵抗黑客攻击的防护作用。