将不法之徒拒之门外并非是未来您需要受过良好教育的安全专家来维护系统的唯一原因。当对安全管理员的需求如此之高，以至于您的公司无法承担时，会发生什么？或者，如果安全软件的总开发成本超过了仅美国一国的债务，又会怎么样？您对我最后一个问题的回答可能是，“我们将使用开源代码”——好主意！但是，您仍然需要经验丰富的安全人员来维护您的系统。

当大多数行业都在努力为 2000 年做好系统准备时，学术界正面临着培养足够计算机科学家的难题。政府报告预测，仅在美国，2000 年的在线商务额将超过每年 150 亿美元，而安全软件的销售额将超过每年 20 亿美元。随着广域计算机网络的普及，未来几年对信息安全领域培训和研究的需求只会不断扩大。

随着计算机犯罪的日益增多，印第安纳州的普渡大学正在解决这个问题。在过去的七年中，普渡大学计算机科学系一直是计算机操作、审计和安全技术 (COAST) 实验室的所在地。COAST 是全球最大的学术研究小组和实践计算机与网络安全研究生实验室之一。该实验室正在扩展为一个新成立的中心。

普渡大学信息保障与安全教育和研究中心（CERIAS，发音为“serious”）是信息安全领域的先驱。这个新的大学中心旨在培养下一代计算机和网络安全专家。他们的研究项目涵盖 Linux、Solaris、Windows 95/NT、智能卡、iButton、生物识别技术、ATM 网络和防火墙，将致力于减少所谓的信息战的威胁。

实验室和新成立的中心主任 Gene Spafford 教授是一位计算机科学家，他为信息安全学科做出了重大贡献。Spafford 是 ACM（美国计算机协会）院士，并撰写了几本关于信息安全的书籍。他还帮助分析和遏制了 1998 年的互联网蠕虫。他与 15 位教职员工以及 40 位研究生和本科生（见图 1）一起，正引导该中心朝着一个共同的目标前进：在信息安全领域提供世界一流的研究和教育。

图 1. 普渡大学 COAST/CERIAS 设施中的教授、员工和学生

目前，教职员工和学生主要来自计算机科学领域。然而，该中心正在向各个学科（例如，哲学、语言学、政治学、工业工程、管理学、社会学以及电气和计算机工程）敞开大门。

图 2. 研究生 COAST 实验室

实验室（见图 2）和新中心吸引了来自 13 个国家的教授和学生。原因之一是，很少有具备行业支持的高水平学术安全实验室。多样性不仅限于国籍——近 40% 的学生是女性。自早期以来，安全就吸引了女性的兴趣，并且在过去几年中，女学生的数量一直在稳步增加。

研究包括审计跟踪格式和缩减、网络保护、防火墙和软件评估、漏洞数据库的创建和测试。此外，还有几个正在进行中的本科生项目，涉及身份验证和安全档案库。主要的 COAST 项目简要描述如下。

入侵检测 (ID) 是计算机安全领域内的一个分支，在过去几年中发展迅速。COAST 实验室的 AAFID（入侵检测自主代理）项目就是关于入侵检测的。

传统的入侵检测系统 (IDS) 从一台或多台主机收集数据，并在中央机器中处理数据以检测异常行为。这种方法存在一个问题，即由于执行分析的主机的存储和处理限制，它阻止了 IDS 扩展到大量机器。

AAFID 架构使用许多独立的实体，称为“自主代理”，同时工作以执行分布式入侵检测。每个代理监控系统的某些方面，并报告奇怪的行为或特定事件的发生。例如，一个代理可能会查找系统文件上的错误权限，另一个代理可能会查找 FTP 服务器的错误配置，还有一个代理可能会查找通过破坏机器的 ARP（地址解析协议）缓存来执行攻击的尝试。

代理产生的结果在每台机器级别上收集，从而允许关联由可能由同一攻击引起的不同代理报告的事件。此外，每台机器产生报告在更高（每网络）级别上进行聚合，从而允许系统检测涉及多台机器的攻击。

图 3. AAFID 原型系统的代理窗口

图 4. AAFID 原型系统的主窗口

AAFID 小组由 COAST 实验室内的十名研究生和本科生组成。原型实现（见图 3 和图 4）可以在 AAFID 项目网页 http://www.cs.purdue.edu/coast/projects/autonomous-agents.html 上找到。

在过去的几年中，普渡大学的学生一直在维护互联网上最大的安全相关工具、论文、标准、公告和其他材料的在线档案库。他们面临的主要问题是如何有效管理如此高度动态的信息。该小组将镜像不断变化的站点，并将维护这些站点的最新副本。此外，新的站点不断涌现——新的论文、新的工具和更多必须添加到档案库中的信息。

另一个主要关注点是如何在档案库中找到他们正在寻找的内容。有了如此多的信息，很难浏览所有数据。档案库小组使用了 Red Hat Linux 5.2 和开源 ROADS（见资源）文档排序系统的组合来构建原型。这将把基于 FTP 的档案库转变为基于 HTTP 的信息系统，允许用户根据不同条件进行搜索或进入类似 Yahoo 的浏览模式。该小组始终欢迎贡献和建议 (security-archives@cs.purdue.edu)。

COAST 较为知名的项目之一是 Tripwire。它主要是 Gene Kim 和 Gene Spafford 教授的项目。该产品现已在全球范围内使用，是部署最广泛的入侵检测安全工具。Tripwire 是一款适用于 Linux 和其他 UNIX 系统的完整性监控工具。它使用消息摘要算法来检测文件内容是否被篡改，这可能是由入侵者或病毒引起的。1997 年 12 月，Visual Computing Corporation 从普渡大学获得了独家许可，以开发和销售该产品的新版本。Tripwire IDS 1.3 已针对 Linux 发布。有关更多信息，请访问网站 http://www.tripwiresecurity.com/。

Underfire 团队由七名研究生和本科生组成。他们的目标是获得安装、评估、配置和使用不同防火墙系统的直接经验；研究用于网络边界防御的新技术，包括下一代网络，如 ATM；并研究主机和基于网络的安全机制与网络边界防御的集成。Underfire 是一个始于 1997 年的正在进行的项目。

Underfire 团队的主要目标是创建一个用于自动化防火墙测试的架构。最终产品将是一个无需人工交互即可测试防火墙的引擎。这将通过模块化系统来实现：引擎、数据包嗅探器和脚本化攻击。引擎执行攻击并使用数据包嗅探器或其他网络协议来测试攻击的成功或失败。最后，可以自动生成一份报告，根据攻击数据解释防火墙的弱点。

在完成引擎的设计和初步实现后，Underfire 团队目前正在编写已知攻击的脚本。自动报告生成器也是未来需要完成的工作。到目前为止，Underfire 仅考虑了协议级别的攻击；未来的一个步骤是将测试扩展到应用程序级别，如 RPC 和 X11。

更改过时的登录名和密码身份验证程序是实验室研究的一个显而易见的基础。通过使用生物识别设备和令牌，如智能卡和 iButton，可以在该领域开展多个研究和应用程序开发项目。Linux 下的安全令牌将为多用户操作系统提供广泛的安全功能。

COAST 的一名学生负责 MUSCLE 项目（Linux 环境下智能卡使用运动），这是将安全令牌集成到 Linux 环境的一种方式。MUSCLE 专注于 Linux 下的智能卡和生物识别安全，由多个项目组成。第一个是标准化 PC/SC 兼容的智能卡资源管理器（用 C++ 编写），以及基于公钥密码学标准（PKCS-11 和 PKCS-15）的密码库。资源管理器还允许通过使用安全通道在多个资源管理器之间进行通信来实现安全远程身份验证。资源管理器将用于开发许多应用程序，包括安全登录、ssh、xlock、FTP、TELNET 等，通过可插拔身份验证模块 (PAM) 以及智能卡安全。

MUSCLE 支持各种智能卡读卡器以及 ISO-7816-4 兼容的智能卡。在网站上，您可以找到许多不同的智能卡规范、不同项目的源代码、在线教程和邮件列表。MUSCLE 可以在 http://www.linuxnet.com/ 上找到。

COAST 的研究生一直在研究增强 Linux 系统上审计跟踪的方法。此外，渗透和漏洞分析工作也受益于使用具有增强审计系统的 Linux 机器。

图 5. 网络审计跟踪

通常，操作系统的审计跟踪或日志不足以满足各种应用程序的需求，例如入侵检测。学生们开发了两种不同的方法来增强 Linux 收集的数据。一种方法是使用拦截共享对象的技术来收集新的应用程序级审计数据。使用此技术，可以指示程序记录并处理某些库调用及其参数，而无需修改程序的二进制代码或源代码。（见图 6。）

图 6. 内核代码快照

该项目的另一部分涉及使用 Linux 2.0.34 内核（见图 7）来审计低级网络数据。这涉及到向内核添加一种机制，以向用户进程报告网络数据包标头。通过关联这些数据和入侵检测系统，基于主机的入侵检测系统可以检测低级网络攻击，如“Land”、“Teardrop”和“Syn floods”。此机制使用现有内核日志代码的一个版本，并对其进行了修改以适应任意二进制数据。

COAST 的漏洞数据库和分析小组正在收集和分析计算机漏洞，以用于各种目的。该项目包括应用知识发现和数据挖掘工具来查找漏洞数据中非显而易见的关系，开发漏洞分类以及开发将从漏洞信息生成入侵检测签名的工具。该小组的目标之一是开发软件测试方法，以便在软件部署之前发现安全缺陷。

用 Spafford 教授的话来说

资源