序言:寫作是分享個(gè)人見(jiàn)解和探索未知領(lǐng)域的橋梁�����,我們?yōu)槟x了8篇的防火墻技術(shù)論文樣本,期待這些樣本能夠?yàn)槟峁┴S富的參考和啟發(fā)�����,請(qǐng)盡情閱讀�����。
第1篇
本文通過(guò)了解防火墻四種基本類型:包過(guò)濾型�����、網(wǎng)絡(luò)地址轉(zhuǎn)換—NAT�����、型和監(jiān)測(cè)型的不同特點(diǎn)�����、重要性�����,進(jìn)一步分析了網(wǎng)絡(luò)安全防火墻技術(shù)�����。
【關(guān)鍵詞】網(wǎng)絡(luò)防火墻服務(wù)器
緒論
作為內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)絡(luò)之間的第一道屏障,防火墻是最先受到人們重視的網(wǎng)絡(luò)安全產(chǎn)品之一�����。雖然從上看,防火墻處于網(wǎng)絡(luò)安全的最底層,負(fù)責(zé)網(wǎng)絡(luò)間的安全認(rèn)證與傳輸,但隨著網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷變化,防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次,不僅要完成傳統(tǒng)防火墻的過(guò)濾任務(wù),同時(shí)還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)�����。另外還有多種防火墻產(chǎn)品正朝著數(shù)據(jù)安全與用戶認(rèn)證�����、防止病毒與黑客侵入等方向發(fā)展�����。
根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型:包過(guò)濾型�����、網(wǎng)絡(luò)地址轉(zhuǎn)換—NAT�����、型和監(jiān)測(cè)型。
一�����、包過(guò)濾型
包過(guò)濾型產(chǎn)品是防火墻的初級(jí)產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)�����。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個(gè)數(shù)據(jù)包中都會(huì)包含一些特定信息,如數(shù)據(jù)的源地址�����、目標(biāo)地址�����、TCP/UDP源端口和目標(biāo)端口等�����。防火墻通過(guò)讀取數(shù)據(jù)包中的地址信息來(lái)判斷這些“包”是否來(lái)自可信任的安全站點(diǎn),一旦發(fā)現(xiàn)來(lái)自危險(xiǎn)站點(diǎn)的數(shù)據(jù)包,防火墻便會(huì)將這些數(shù)據(jù)拒之門外�����。系統(tǒng)管理員也可以根據(jù)實(shí)際情況靈活制訂判斷規(guī)則�����。包過(guò)濾技術(shù)的優(yōu)點(diǎn)是簡(jiǎn)單實(shí)用,實(shí)現(xiàn)成本較低,在環(huán)境比較簡(jiǎn)單的情況下,能夠以較小的代價(jià)在一定程度上保證系統(tǒng)的安全�����。但包過(guò)濾技術(shù)的缺陷也是明顯的�����。包過(guò)濾技術(shù)是一種完全基于層的安全技術(shù),只能根據(jù)數(shù)據(jù)包的來(lái)源�����、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷,無(wú)法識(shí)別基于應(yīng)用層的惡意侵入,如惡意的Java小程序以及郵件中附帶的病毒�����。有經(jīng)驗(yàn)的黑客很容易偽造IP地址,騙過(guò)包過(guò)濾型防火墻�����。
二�����、網(wǎng)絡(luò)地址轉(zhuǎn)化—NAT
網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時(shí)的、外部的�����、注冊(cè)的IP地址標(biāo)準(zhǔn)�����。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問(wèn)因特網(wǎng)�����。它還意味著用戶不許要為其網(wǎng)絡(luò)中每一臺(tái)機(jī)器取得注冊(cè)的IP地址�����。在內(nèi)部網(wǎng)絡(luò)通過(guò)安全網(wǎng)卡訪問(wèn)外部網(wǎng)絡(luò)時(shí)�����,將產(chǎn)生一個(gè)映射記錄�����。系統(tǒng)將外出的源地址和源端口映射為一個(gè)偽裝的地址和端口�����,讓這個(gè)偽裝的地址和端口通過(guò)非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接�����,這樣對(duì)外就隱藏了真實(shí)的內(nèi)部網(wǎng)絡(luò)地址�����。在外部網(wǎng)絡(luò)通過(guò)非安全網(wǎng)卡訪問(wèn)內(nèi)部網(wǎng)絡(luò)時(shí)�����,它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況�����,而只是通過(guò)一個(gè)開(kāi)放的IP地址和端口來(lái)請(qǐng)求訪問(wèn)�����。OLM防火墻根據(jù)預(yù)先定義好的映射規(guī)則來(lái)判斷這個(gè)訪問(wèn)是否安全�����。當(dāng)符合規(guī)則時(shí),防火墻認(rèn)為訪問(wèn)是安全的�����,可以接受訪問(wèn)請(qǐng)求�����,也可以將連接請(qǐng)求映射到不同的內(nèi)部機(jī)中�����。當(dāng)不符合規(guī)則時(shí)�����,防火墻認(rèn)為該訪問(wèn)是不安全的�����,不能被接受�����,防火墻將屏蔽外部的連接請(qǐng)求�����。網(wǎng)絡(luò)地址轉(zhuǎn)換的過(guò)程對(duì)于用戶來(lái)說(shuō)是透明的,不需要用戶進(jìn)行設(shè)置�����,用戶只要進(jìn)行常規(guī)操作即可�����。
三�����、型
型防火墻也可以被稱為服務(wù)器,它的安全性要高于包過(guò)濾型產(chǎn)品,并已經(jīng)開(kāi)始向應(yīng)用層�����。服務(wù)器位于客戶機(jī)與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流�����。從客戶機(jī)來(lái)看,服務(wù)器相當(dāng)于一臺(tái)真正的服務(wù)器;而從服務(wù)器來(lái)看,服務(wù)器又是一臺(tái)真正的客戶機(jī)�����。當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時(shí),首先將數(shù)據(jù)請(qǐng)求發(fā)給服務(wù)器,服務(wù)器再根據(jù)這一請(qǐng)求向服務(wù)器索取數(shù)據(jù),然后再由服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)�����。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒(méi)有直接的數(shù)據(jù)通道,外部的惡意侵害也就很難傷害到內(nèi)部網(wǎng)絡(luò)系統(tǒng)�����。
型防火墻的優(yōu)點(diǎn)是安全性較高,可以針對(duì)應(yīng)用層進(jìn)行偵測(cè)和掃描,對(duì)付基于應(yīng)用層的侵入和病毒都十分有效�����。其缺點(diǎn)是對(duì)系統(tǒng)的整體性能有較大的,而且服務(wù)器必須針對(duì)客戶機(jī)可能產(chǎn)生的所有應(yīng)用類型逐一進(jìn)行設(shè)置,大大增加了系統(tǒng)管理的復(fù)雜性�����。
四�����、監(jiān)測(cè)型
監(jiān)測(cè)型防火墻是新一代的產(chǎn)品�����,這一技術(shù)實(shí)際已經(jīng)超越了最初的防火墻定義�����。監(jiān)測(cè)型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動(dòng)的、實(shí)時(shí)的監(jiān)測(cè),在對(duì)這些數(shù)據(jù)加以的基礎(chǔ)上,監(jiān)測(cè)型防火墻能夠有效地判斷出各層中的非法侵入�����。同時(shí),這種檢測(cè)型防火墻產(chǎn)品一般還帶有分布式探測(cè)器,這些探測(cè)器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點(diǎn)之中,不僅能夠檢測(cè)來(lái)自網(wǎng)絡(luò)外部的攻擊,同時(shí)對(duì)來(lái)自內(nèi)部的惡意破壞也有極強(qiáng)的防范作用�����。據(jù)權(quán)威機(jī)構(gòu)統(tǒng)計(jì),在針對(duì)網(wǎng)絡(luò)系統(tǒng)的攻擊中,有相當(dāng)比例的攻擊來(lái)自網(wǎng)絡(luò)內(nèi)部�����。因此,監(jiān)測(cè)型防火墻不僅超越了傳統(tǒng)防火墻的定義,而且在安全性上也超越了前兩代產(chǎn)品
雖然監(jiān)測(cè)型防火墻安全性上已超越了包過(guò)濾型和服務(wù)器型防火墻,但由于監(jiān)測(cè)型防火墻技術(shù)的實(shí)現(xiàn)成本較高,也不易管理,所以在實(shí)用中的防火墻產(chǎn)品仍然以第二代型產(chǎn)品為主,但在某些方面也已經(jīng)開(kāi)始使用監(jiān)測(cè)型防火墻�����?����;趯?duì)系統(tǒng)成本與安全技術(shù)成本的綜合考慮,用戶可以選擇性地使用某些監(jiān)測(cè)型技術(shù)�����。這樣既能夠保證網(wǎng)絡(luò)系統(tǒng)的安全性需求,同時(shí)也能有效地控制安全系統(tǒng)的總擁有成本�����。
第2篇
關(guān)鍵詞:計(jì)算機(jī) 信息系統(tǒng) 安全
一�����、面臨的主要威脅
1�����、內(nèi)部竊密和破壞�����。內(nèi)部人員可能對(duì)網(wǎng)絡(luò)系統(tǒng)形成下列威脅:內(nèi)部人員有意或無(wú)意泄密�����、更改記錄信息;內(nèi)部非授權(quán)人員有意無(wú)意偷竊機(jī)密信息�����、更改網(wǎng)絡(luò)配置和記錄信息;內(nèi)部人員破壞網(wǎng)絡(luò)系統(tǒng)。
2�����、截收�����。攻擊者可能通過(guò)搭線或在電磁波輻射的范圍內(nèi)安裝截收裝置等方式,截獲機(jī)密信息,或通過(guò)對(duì)信息流和流向�����、通信頻度和長(zhǎng)度等參數(shù)的分析,推出有用信息�����。它不破壞傳輸信息的內(nèi)容,不易被查覺(jué)。
3、非法訪問(wèn)�����。非法訪問(wèn)指的是未經(jīng)授權(quán)使用網(wǎng)絡(luò)資源或以未授權(quán)的方式使用網(wǎng)絡(luò)資源,它包括非法用戶如黑客進(jìn)入網(wǎng)絡(luò)或系統(tǒng)進(jìn)行違法操作,合法用戶以未授權(quán)的方式進(jìn)行操作�����。
4、破壞信息的完整性�����。攻擊可能從三個(gè)方面破壞信息的完整性:改變信息流的次序�����、時(shí)序,更改信息的內(nèi)容�����、形式;刪除某個(gè)消息或消息的某些部分;在消息中插入一些信息,讓收方讀不懂或接收錯(cuò)誤的信息�����。
5�����、冒充�����。攻擊者可能進(jìn)行下列冒充:冒充領(lǐng)導(dǎo)命令�����、調(diào)閱文件;冒充主機(jī)欺騙合法主機(jī)及合法用戶;冒充網(wǎng)絡(luò)控制程序套取或修改使用權(quán)限、口令�����、密鑰等信息,越權(quán)使用網(wǎng)絡(luò)設(shè)備和資源;接管合法用戶�����、欺騙系統(tǒng)�����、占用合法用戶的資源�����。
6�����、破壞系統(tǒng)的可用性�����。攻擊者可能從下列幾個(gè)方面破壞網(wǎng)絡(luò)系統(tǒng)的可用性:使合法用戶不能正常訪問(wèn)網(wǎng)絡(luò)資源;使有嚴(yán)格時(shí)間要求的服務(wù)不能及時(shí)得到響應(yīng);摧毀系統(tǒng)�����。
7�����、重演�����。重演指的是攻擊者截獲并錄制信息,然后在必要的時(shí)候重發(fā)或反復(fù)發(fā)送這些信息�����。
8�����、抵賴�����?����?赡艹霈F(xiàn)下列抵賴行為:發(fā)信者事后否認(rèn)曾經(jīng)發(fā)送過(guò)某條消息;發(fā)信者事后否認(rèn)曾經(jīng)發(fā)送過(guò)某條消息的內(nèi)容;發(fā)信者事后否認(rèn)曾經(jīng)接收過(guò)某條消息;發(fā)信者事后否認(rèn)曾經(jīng)接收過(guò)某條消息的內(nèi)容。
9�����、其它威脅�����。對(duì)網(wǎng)絡(luò)系統(tǒng)的威脅還包括計(jì)算機(jī)病毒�����、電磁泄漏�����、各種災(zāi)害�����、操作失誤等�����。
二�����、防火墻技術(shù)
防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù),越來(lái)越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境之中,尤其以接入Internet網(wǎng)絡(luò)為甚�����。防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合�����。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)企業(yè)的安全政策控制(允許�����、拒絕�����、監(jiān)測(cè))出入網(wǎng)絡(luò)的信息流,且本身具有較強(qiáng)的抗攻擊能力�����。它是提供信息安全服務(wù),實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施�����。在邏輯上,防火墻是一個(gè)分離器,一個(gè)限制器,也是一個(gè)分析器,有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng),保證了內(nèi)部網(wǎng)絡(luò)的安全。防火墻是網(wǎng)絡(luò)安全的屏障:一個(gè)防火墻(作為阻塞點(diǎn)�����、控制點(diǎn))能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性,并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)�����。由于只有經(jīng)過(guò)精心選擇的應(yīng)用協(xié)議才能通過(guò)防火墻,所以網(wǎng)絡(luò)環(huán)境變得更安全�����。防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略:通過(guò)以防火墻為中心的安全方案配置,能將所有安全軟件(如口令�����、加密�����、身份認(rèn)證�����、審計(jì)等)配置在防火墻上。對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì):如果所有的訪問(wèn)都經(jīng)過(guò)防火墻,那么,防火墻就能記錄下這些訪問(wèn)并做出日志記錄,同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)�����。
三�����、入侵檢測(cè)技術(shù)
IETF將一個(gè)入侵檢測(cè)系統(tǒng)分為四個(gè)組件:事件產(chǎn)生器(Event Generators);事件分析器(Event An-alyzers);響應(yīng)單元(Response Units)和事件數(shù)據(jù)庫(kù)(Event Data Bases)�����。事件產(chǎn)生器的目的是從整個(gè)計(jì)算環(huán)境中獲得事件,并向系統(tǒng)的其他部分提供此事件�����。事件分析器分析得到的數(shù)據(jù),并產(chǎn)生分析結(jié)果�����。響應(yīng)單元?jiǎng)t是對(duì)分析結(jié)果做出反應(yīng)的功能單元,它可以做出切斷連接�����、改變文件屬性等強(qiáng)烈反應(yīng),也可以只是簡(jiǎn)單的報(bào)警�����。事件數(shù)據(jù)庫(kù)是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱,它可以是復(fù)雜的數(shù)據(jù)庫(kù),也可以是簡(jiǎn)單的文本文件�����。
四�����、數(shù)據(jù)加密技術(shù)
數(shù)據(jù)加密技術(shù)是網(wǎng)絡(luò)中最基本的安全技術(shù),主要是通過(guò)對(duì)網(wǎng)絡(luò)中傳輸?shù)男畔⑦M(jìn)行數(shù)據(jù)加密來(lái)保障其安全性�����。加密是一種限制對(duì)網(wǎng)絡(luò)上傳輸數(shù)據(jù)的訪問(wèn)權(quán)的技術(shù)�����。原始數(shù)據(jù)(也稱為明文,plaintext)被加密設(shè)備(硬件或軟件)和密鑰加密而產(chǎn)生的經(jīng)過(guò)編碼的數(shù)據(jù)稱為密文(ciphertext)�����。將密文還原為原始明文的過(guò)程稱為解密,它是加密的反向處理,但解密者必須利用相同類型的加密設(shè)備和密鑰,才能對(duì)密文進(jìn)行解密�����。數(shù)據(jù)加密類型可以簡(jiǎn)單地分為三種:一是根本不考慮解密問(wèn)題;二是私用密鑰加密技術(shù);三是公開(kāi)密鑰加密技術(shù)。
五�����、安全協(xié)議
安全協(xié)議的建立和完善,是計(jì)算機(jī)網(wǎng)絡(luò)信息安全保密走上規(guī)范化�����、標(biāo)準(zhǔn)化道路的基本因素.目前已開(kāi)發(fā)應(yīng)用的安全協(xié)議有以下5種:(1)加密協(xié)議.一能用于把保密數(shù)據(jù)轉(zhuǎn)換成公開(kāi)數(shù)據(jù),在公用網(wǎng)中自由發(fā)送:二能用于授權(quán)控制,無(wú)關(guān)人員無(wú)法解讀�����。(2)密鑰管理協(xié)議�����。包括密鑰的生成�����、分類�����、存儲(chǔ)�����、保護(hù)�����、公證等協(xié)議.(3)數(shù)據(jù)驗(yàn)證協(xié)議�����。包括數(shù)據(jù)解壓�����、數(shù)據(jù)驗(yàn)證�����、數(shù)字簽名�����。(4)安全審計(jì)協(xié)議�����。包括與安全有關(guān)的事件,如數(shù)據(jù)事件的探測(cè)、收集�����、控制�����。(5)防護(hù)協(xié)議�����。除防病毒卡�����、千擾儀�����、防泄露等物理性防護(hù)措施外,還用于對(duì)信息系統(tǒng)自身保護(hù)的數(shù)據(jù)(審計(jì)表等)和各種秘密參數(shù)(用戶口令�����、密鑰等)進(jìn)行保護(hù),以增強(qiáng)反網(wǎng)絡(luò)入侵功能�����。
參考文獻(xiàn):
[1]丁霞軍.基于ASP的管理信息系統(tǒng)開(kāi)發(fā)及其安全性研究(學(xué)位論文).安徽:安徽理工大學(xué),2005
第3篇
論文摘要:隨著當(dāng)代信息技術(shù)的發(fā)展�����,互聯(lián)網(wǎng)的共享性�����、開(kāi)放性以及互聯(lián)程度也在不斷擴(kuò)大�����。internet的廣泛普及�����,商業(yè)數(shù)字貨幣�����、網(wǎng)絡(luò)銀行等一部分網(wǎng)絡(luò)新業(yè)務(wù)的迅速興起�����,使得計(jì)算機(jī)網(wǎng)絡(luò)的安全問(wèn)題越來(lái)越顯得重要,通過(guò)歸納總結(jié)�����,提出網(wǎng)絡(luò)信息中的一些安全防護(hù)策略�����。
1.引言
網(wǎng)絡(luò)環(huán)境的復(fù)雜性�����、多變性以及信息系統(tǒng)的脆弱性�����,決定了網(wǎng)絡(luò)安全威脅的客觀存在�����。當(dāng)前�����,隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展�����,利用因特網(wǎng)高科技手段進(jìn)行經(jīng)濟(jì)商業(yè)犯罪的現(xiàn)象已經(jīng)屢見(jiàn)不鮮了�����,因此�����,如何采用更加安全的數(shù)據(jù)保護(hù)及加密技術(shù)�����,成為當(dāng)前計(jì)算機(jī)工作者的研究熱點(diǎn)與重點(diǎn)�����。網(wǎng)絡(luò)安全技術(shù)�����,尤其是網(wǎng)絡(luò)信息的安全�����,關(guān)系到網(wǎng)民、企業(yè)甚至是國(guó)家的信息安全�����。因此�����,發(fā)展更加安全的網(wǎng)絡(luò)安全技術(shù)�����,是關(guān)系到社會(huì)經(jīng)濟(jì)穩(wěn)定繁榮發(fā)展的關(guān)鍵�����,成為當(dāng)前計(jì)算機(jī)安全工作的重點(diǎn)�����。
2.網(wǎng)絡(luò)信息安全的風(fēng)險(xiǎn)來(lái)源
影響計(jì)算機(jī)網(wǎng)絡(luò)安全的因索很多�����,既有自然因素�����,也有人為因素�����,其中人為因素危害較大�����,歸結(jié)起來(lái)豐要以下幾個(gè)方面:
(1)病毒感染
從“蠕蟲(chóng)”病毒開(kāi)始到cih�����、愛(ài)蟲(chóng)病毒�����,病毒一直是計(jì)算機(jī)系統(tǒng)安全最直接的威脅�����。病毒依靠網(wǎng)絡(luò)迅速傳播�����,它很容易地通過(guò)服務(wù)器以軟件下載、郵件接收等方式進(jìn)入網(wǎng)絡(luò)�����,竊取網(wǎng)絡(luò)信息�����,造成很人的損失�����。
(2)來(lái)自網(wǎng)絡(luò)外部的攻擊
這是指來(lái)自局域網(wǎng)外部的惡意攻擊�����,例如:有選擇地破壞網(wǎng)絡(luò)信息的有效性和完整性�����;偽裝為合法用戶進(jìn)入網(wǎng)絡(luò)并占用大量資源�����;修改網(wǎng)絡(luò)數(shù)據(jù)�����、竊取�����、破譯機(jī)密信息�����、破壞軟件執(zhí)行�����;在中間站點(diǎn)攔截和讀取絕密信息等�����。
(3)來(lái)自網(wǎng)絡(luò)內(nèi)部的攻擊
在局域網(wǎng)內(nèi)部�����,一些非法用戶冒用合法用戶的口令以合法身份登陸網(wǎng)站后。竊取機(jī)密信息�����,破壞信息內(nèi)容�����,造成應(yīng)用系統(tǒng)無(wú)法運(yùn)行�����。
(4)系統(tǒng)的漏洞及“后門”
操作系統(tǒng)及網(wǎng)絡(luò)軟件不可能是百分之百的無(wú)缺陷�����、無(wú)漏洞的�����。編程人員有時(shí)會(huì)在軟件中留有漏洞�����。一旦這個(gè)疏漏被不法分子所知�����,就會(huì)借這個(gè)薄弱環(huán)節(jié)對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)進(jìn)行攻擊,大部分的黑客入侵網(wǎng)絡(luò)事件就是由系統(tǒng)的“漏洞” 和“后門”所造成的�����。
3.網(wǎng)絡(luò)信息安全的防護(hù)策略
現(xiàn)在網(wǎng)絡(luò)信息安全的防護(hù)措施必不可少�����。從技術(shù)上來(lái)說(shuō)�����,計(jì)算機(jī)網(wǎng)絡(luò)安全主要由防病毒�����、入侵檢測(cè)等多個(gè)安全組件組成�����,就此對(duì)我們常用的幾項(xiàng)防護(hù)技術(shù)分別進(jìn)行分析�����。
3.1防火墻技術(shù)
防火墻(ifrewal1)是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的系列部件的組合�����,它越來(lái)越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境之中�����,尤其以接入internet網(wǎng)絡(luò)為甚�����。不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安拿域之間信息都會(huì)經(jīng)過(guò)它的過(guò)濾�����,防火墻就會(huì)根據(jù)自身的安全政策控制(允許�����、拒絕�����、監(jiān)測(cè))出入網(wǎng)絡(luò)的信息流�����,而且它本身也具有較強(qiáng)的抗攻擊能力,不會(huì)被病毒控制�����。防火墻可以阻j網(wǎng)絡(luò)中的黑客來(lái)訪問(wèn)你的機(jī)器�����,防止他們篡改�����、拷貝�����、毀壞你的重要信息�����。它為網(wǎng)絡(luò)信息的安全提供了很好的服務(wù)�����,為我們更安全地使用網(wǎng)絡(luò)提供了很好的保障�����。
“防火墻”技術(shù)是指假設(shè)被保護(hù)網(wǎng)絡(luò)具有明確定義的邊界和服務(wù)而采取的一種安全保障技術(shù)�����,它通過(guò)監(jiān)測(cè)�����、限制和更改通過(guò)“防火墻”的數(shù)據(jù)流�����,一方面盡可能地對(duì)外部網(wǎng)絡(luò)屏蔽被保護(hù)網(wǎng)絡(luò)的信息�����、結(jié)構(gòu)�����,實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)絡(luò)的保護(hù)�����,以防“人放火”;另一方面對(duì)內(nèi)屏蔽外部某些危險(xiǎn)站點(diǎn)�����,防止“引火燒身”�����。因而�����,比較適合于相對(duì)獨(dú)立�����、與外部網(wǎng)絡(luò)互聯(lián)單一�����、明確并且網(wǎng)絡(luò)服務(wù)種類相對(duì)集中的統(tǒng)一互聯(lián)網(wǎng)絡(luò)系統(tǒng)�����。防火墻可對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)�����,如果所有的訪問(wèn)都經(jīng)過(guò)防火墻�����,那么�����,防火墻就能記錄下這些訪問(wèn)并做出日志記錄�����,同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)�����。
通過(guò)利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分�����,可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離,從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響�����。除了安全作用�����,有的防火墻還支持具有internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系vpn�����。vpn�����,可以將分部在世界各地的lan或?qū)S秒娮泳W(wǎng)有機(jī)地聯(lián)成一個(gè)整體�����。這樣一方面省去了專用通信線路�����,也達(dá)到了信息共享的目的�����。
3.2數(shù)據(jù)加密技術(shù)
數(shù)據(jù)加密技術(shù)是網(wǎng)絡(luò)中最藎木的安傘技術(shù)�����,主要是通過(guò)對(duì)網(wǎng)絡(luò)傳輸?shù)男畔⑦M(jìn)行數(shù)據(jù)加密來(lái)保障其安全性�����。加密是對(duì)網(wǎng)絡(luò)上傳輸數(shù)據(jù)的訪問(wèn)權(quán)加強(qiáng)限制的一種技術(shù)�����。原始數(shù)據(jù)(也稱為明文�����,plaintext)被加密設(shè)備(硬件或軟件)和密鑰加密而產(chǎn)生的經(jīng)過(guò)編碼的數(shù)據(jù)稱為密文(ciphertext)�����。解密是加密的反向處理�����,是將密文還原為原始明文,但解秘者必須利用相同類型的加密設(shè)備和密鑰�����,才能對(duì)密文進(jìn)行解密�����。
3.3入侵檢測(cè)技術(shù)
入侵檢測(cè)系統(tǒng)(intrusiondetectionsystem�����,ids)是從多種計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)系統(tǒng)中收集信息�����,再通過(guò)這些信息分析�����,對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為進(jìn)行識(shí)別的網(wǎng)絡(luò)信息安全系統(tǒng)�����。入侵檢測(cè)系統(tǒng)具有多方面的功能:威懾�����、檢測(cè)�����、響應(yīng)�����、損失情況評(píng)估�����、攻擊預(yù)測(cè)和起訴支持等�����。入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)信息系統(tǒng)安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中朱授權(quán)或異?����,F(xiàn)象的技術(shù)�����,是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。
3.4病毒防護(hù)
可采用如下的方法或措施:
(1)合理設(shè)置殺毒軟什�����,如果安裝的殺毒軟什具備掃描電郵件的功能�����,盡量將這些功能傘部打開(kāi)�����;
(2)定期檢查敏感文件�����;
(3)采取必要的病毒檢測(cè)和監(jiān)控措施�����;
(4)對(duì)新購(gòu)的硬盤�����、軟盤�����、軟件等資源�����,使用前應(yīng)先用病毒測(cè)試軟件檢查已知病毒�����,硬盤可以使用低級(jí)格式化(dos中的format格式化可以去抻軟盤中的病毒�����,但不能清除硬盤引導(dǎo)的病毒)�����;
(5)慎重對(duì)待郵件附件�����,如果收到郵件中有可執(zhí)行文件(如.exe�����、.com等)或者帶有“宏”的文殺一遍,確認(rèn)沒(méi)有病毒后再打開(kāi)�����;
(6)及時(shí)升級(jí)郵件程序和操作系統(tǒng)�����,以修補(bǔ)所有已知的安全漏洞�����。
3.5身份認(rèn)證技術(shù)
身份認(rèn)證(authentication)是系統(tǒng)核查用戶身份證明的過(guò)程�����,其實(shí)質(zhì)是查明用戶是否具仃它所請(qǐng)求資源的存儲(chǔ)使用權(quán)�����。身份識(shí)別(identificaiion)是指用戶向系統(tǒng)出示自己的身份證明的過(guò)程�����。這兩項(xiàng)上作通常被稱為身份認(rèn)證�����。
身份認(rèn)證至少應(yīng)包括驗(yàn)證協(xié)議和授權(quán)協(xié)議。網(wǎng)絡(luò)中的各種應(yīng)用和計(jì)算機(jī)系統(tǒng)都需要通過(guò)身份認(rèn)證來(lái)確認(rèn)合法性�����,然后確定它的個(gè)人數(shù)據(jù)和特定權(quán)限�����。對(duì)于身份認(rèn)證系統(tǒng)來(lái)說(shuō)�����,合法用戶的身份是否易于被別人冒充足它最重要的技術(shù)指標(biāo)�����。用戶身份被冒充不儀可能損害用戶自身的利益�����,也可能損害其他用戶的利益或整個(gè)系統(tǒng)�����。因此�����,身份認(rèn)證是授權(quán)控制的基礎(chǔ)�����。只有有效的身份認(rèn)證�����,才能保證訪問(wèn)控制�����、安全審計(jì)�����、入侵防范等安全機(jī)制的有效實(shí)施�����。
安裝必要的安全軟件,殺毒軟件和防火墻這些都是必備的�����,而且還要安裝并使用必要的防黑軟件�����。我們一定要把這些安全防護(hù)措施及時(shí)應(yīng)在電腦中�����,在上網(wǎng)時(shí)一定要打開(kāi)它們�����。最后要及時(shí)給系統(tǒng)打補(bǔ)丁�����,建議人家下載自己的操作系統(tǒng)對(duì)應(yīng)的補(bǔ)丁程序�����,這是我們網(wǎng)絡(luò)安全的恭礎(chǔ)�����。
第4篇
關(guān)鍵詞:流過(guò)濾技術(shù);IPv6;IPSec;防火墻
中圖分類號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1007-9599 (2010) 07-0000-01
IPv6 Firewall Study Based on Flow Filtering Technology
Wang Wei,Liu DiHua
(Changchun University,Computer Science&Engineering College,Changchun130012,China)
Abstract:The most effective and simplest network security tool is firewall,one flow filtering technology as shirt-sleeve the state detection packet-filtering technology and applications of the technology,acting as the latest firewall technology growing more and more concern,IPv6 as the next generation of network address replaced IPv4 is inevitable,so the filtration technology based on the study of IPv6 firewall is also a research hotspot.
Keywords:Flow Filtering technology;IPv6;IPSec;Firewall
一�����、引言
隨著計(jì)算機(jī)網(wǎng)絡(luò)的迅猛發(fā)展,網(wǎng)絡(luò)安全問(wèn)題變得日趨嚴(yán)重�����。而防火墻作為最簡(jiǎn)單�����、最有效的網(wǎng)絡(luò)安全工具顯得尤為重要�����。傳統(tǒng)防火墻包括簡(jiǎn)單包過(guò)濾防火墻�����、狀態(tài)檢測(cè)包過(guò)濾防火墻�����、應(yīng)用防火墻等,它們都有各自的優(yōu)點(diǎn),但也存在著不容忽視的缺點(diǎn)。而“流過(guò)濾”技術(shù)融合了包過(guò)濾和應(yīng)用的安全性和優(yōu)點(diǎn),克服了包過(guò)濾和應(yīng)用的諸多缺陷,代表了一種全新的防火墻技術(shù)結(jié)構(gòu)�����。在大家紛紛開(kāi)始關(guān)注應(yīng)用層安全的今天,“流過(guò)濾”技術(shù)架構(gòu)更加顯示了其前瞻性和先進(jìn)性�����。
目前我們使用的是第二代互聯(lián)網(wǎng)IPv4技術(shù),核心技術(shù)屬于美國(guó)�����。它的最大問(wèn)題是網(wǎng)絡(luò)地址資源有限,從理論上講,我們都知道IPv4地址用32位二進(jìn)制表示,編址1600萬(wàn)個(gè)網(wǎng)絡(luò)�����、40億臺(tái)主機(jī)�����。其中北美占有3/4,約30億個(gè),而人口最多的亞洲只有不到4億個(gè),中國(guó)只有3千多萬(wàn)個(gè)�����。而對(duì)于互聯(lián)網(wǎng)飛速發(fā)展的今天,占全球網(wǎng)民大多數(shù)的亞洲來(lái)說(shuō),IP地址緊缺已經(jīng)是一個(gè)破在眉睫的問(wèn)題,IPv4地址確實(shí)是要用光了,而這件事很快就要發(fā)生了�����。那么擴(kuò)充資源的最直接的辦法就是擴(kuò)大IP地址的空間,另一方面,Ipv4在實(shí)際的使用中也暴露了一些問(wèn)題�����。在這樣的環(huán)境下,Ipv6應(yīng)運(yùn)而生,Ipv6取代Ipv4是必然的�����。
可見(jiàn),針對(duì)基于流過(guò)濾技術(shù)的Ipv6防火墻的研究是一個(gè)新的研究熱點(diǎn)�����。
二�����、流過(guò)濾的研究
流過(guò)濾技術(shù)工作在鏈路層或IP層,是融合了包過(guò)濾技術(shù)和應(yīng)用技術(shù)安全性的一種全新的防火墻技術(shù),不但克服了包過(guò)濾和應(yīng)用的諸多缺陷,而且融合了它們的優(yōu)點(diǎn)�����。其基本原理是以狀態(tài)包過(guò)濾的形態(tài)實(shí)現(xiàn)對(duì)應(yīng)用層的保護(hù),通過(guò)內(nèi)嵌專門實(shí)現(xiàn)的TCP協(xié)議棧,在狀態(tài)檢測(cè)包過(guò)濾的技術(shù)上實(shí)現(xiàn)了透明的應(yīng)用信息過(guò)濾機(jī)制�����。具體來(lái)說(shuō),就是客戶端在規(guī)則允許下,兩端可以直接訪問(wèn),但是對(duì)于任何一個(gè)被規(guī)則允許的訪問(wèn)在防火墻內(nèi)部都存在兩個(gè)完全獨(dú)立的TCP會(huì)話,數(shù)據(jù)以“流”的方式從一個(gè)會(huì)話流向另一個(gè)會(huì)話,有防火墻應(yīng)用層策略位于流的中間,因此可以在任何時(shí)候代替服務(wù)器或客戶機(jī)端參與應(yīng)用層的會(huì)話,從而起到了與應(yīng)用防火墻相同的控制能力,產(chǎn)生了防火墻的功效。
流過(guò)濾的結(jié)構(gòu)繼承了包過(guò)濾防火墻和應(yīng)用的特點(diǎn),因而非常容易部署,消耗資源少�����、效率高且抗攻擊能力也高�����。并且由于應(yīng)用層安全策略與網(wǎng)絡(luò)層安全策略是緊密的,所以在任何一種部署下都能夠起到相同的保護(hù)作用�����。
三�����、IPv6防火墻的研究
IPv6的采用,為我們?cè)O(shè)計(jì)防火墻系統(tǒng)提供了一個(gè)新思路,即能否把保密和認(rèn)證機(jī)制融入到防火墻中,并形成統(tǒng)一的標(biāo)準(zhǔn),這將使得防火墻更加完善和安全�����。RCF1825定義了IPSec,它提供了IP的安全性體系結(jié)構(gòu)�����。它對(duì)于目前使用最廣泛的IPv4協(xié)議和各國(guó)政府大力發(fā)展的下一代的IP版本IPv6協(xié)議都能提供良好的支持,IPSec協(xié)議可以給運(yùn)行于IP層的任何一個(gè)協(xié)議提供安全保護(hù)�����。IPSec是IPv4可選的功能,在IPV6里則是一個(gè)必選安全子集�����。在IPSec出現(xiàn)之前,一般是采用在HTTP下加入SSL層為WEB訪問(wèn)和其他應(yīng)用程序提供安全保護(hù),SSL只能作用于使用它的程序,不能提供全面的安全保護(hù)�����。而一般的機(jī)構(gòu)則是一直采用鏈路層加密,即對(duì)每個(gè)通信一對(duì)一加密設(shè)備進(jìn)行保護(hù),盡管這種系統(tǒng)提供良好的數(shù)據(jù)安全機(jī)制,但不能保證鏈路兩端以及其通信節(jié)點(diǎn)都是安全的,所以鏈路層保護(hù)基本上不能獲得更好更廣泛的應(yīng)用�����。IPSec在IPv6中更容易實(shí)現(xiàn),它為IP提供訪問(wèn)控制�����、數(shù)據(jù)源的身份驗(yàn)證�����、數(shù)據(jù)完整性檢查�����、機(jī)密性保證以及抗重播攻擊等安全機(jī)制。
IPSec由認(rèn)證頭頭協(xié)議(AH)�����、封裝安全載荷協(xié)議(ESP)�����、密匙管理協(xié)議(IKE)和一些認(rèn)證及加密算法等組成,主要采用了8個(gè)RFC文檔進(jìn)行定義�����。
其中IKE是一種混合協(xié)議,負(fù)責(zé)密匙的產(chǎn)生�����、分發(fā)與交換,它由SA和密鑰管理協(xié)議(ISAKMP)以及兩種密鑰交換協(xié)議OAKLEY與SKEME組成用于協(xié)商信源節(jié)點(diǎn)和信宿節(jié)點(diǎn)間保護(hù)IP報(bào)文的AH和ESP的相關(guān)參數(shù),如加密�����、認(rèn)證的算法和密鑰�����、密鑰生存期等,稱之為安全聯(lián)盟�����。其中AH和ESP是網(wǎng)絡(luò)層協(xié)議,IKE是應(yīng)用層協(xié)議,使用的是UDP數(shù)據(jù)報(bào)格式�����。AH字段為IP數(shù)據(jù)報(bào)提供了完整�����、身份驗(yàn)證,并且防止重放攻擊�����。ESP頭提供了數(shù)據(jù)報(bào)的機(jī)密,通過(guò)使用公共密鑰加密對(duì)數(shù)據(jù)來(lái)源進(jìn)行身份驗(yàn)證,防止重放攻擊和通過(guò)使用安全網(wǎng)關(guān)來(lái)提供有限的業(yè)務(wù)料機(jī)密性�����。IKE協(xié)議用于協(xié)商AH和ESP協(xié)議所使用的密碼算法,并將算法所需的必備密鑰放在合適的位置�����。
IPSec具有兩種操作模式:傳輸模式和隧道模式,在傳輸模式下,IPSec對(duì)數(shù)據(jù)進(jìn)行加密,原始的IP幀頭不發(fā)生改變,這樣的優(yōu)點(diǎn)是每個(gè)IP分組只增加幾個(gè)字節(jié),但網(wǎng)絡(luò)中的中間節(jié)點(diǎn)能看到源地址和目標(biāo)地址,通過(guò)一些特殊的手段可以對(duì)數(shù)據(jù)包進(jìn)行分析,傳輸模式無(wú)法阻止入侵者對(duì)數(shù)據(jù)進(jìn)行分析,但可以保證IP數(shù)據(jù)的保密性�����。隧道模式下對(duì)整個(gè)IP包進(jìn)行加密重新生成新的IP幀頭和IPSec標(biāo)頭,這樣的好處是由發(fā)送端路由器進(jìn)行加密,接受端路由進(jìn)行解密,終端設(shè)備不用因?yàn)槭褂肐PSec協(xié)議而發(fā)生改變,減少了應(yīng)用成本,而且入侵者無(wú)法獲得實(shí)際的目標(biāo)地址和源地址,也無(wú)法對(duì)數(shù)據(jù)進(jìn)行分析。
IPSec傳輸模式只有在源系統(tǒng)和目標(biāo)系統(tǒng)都具有IPSec功能時(shí)才可以采用,所以在很多情況下一般采用隧道模式,可樣可以在不改變服務(wù)器或主機(jī)的操作系統(tǒng)和應(yīng)用軟件的情況下使用IPSec�����。
四�����、基于流過(guò)技術(shù)的IPv6防火墻的研究
(一)基于流過(guò)技術(shù)的IPv6防火墻的設(shè)計(jì)策略
本文設(shè)計(jì)的防火墻將采用屏蔽子網(wǎng)的防火墻系統(tǒng)結(jié)構(gòu),在這個(gè)基礎(chǔ)上解決IPSec與防火墻的兼容問(wèn)題;并且在堡壘主機(jī)中添加了流過(guò)濾模塊,對(duì)應(yīng)用層進(jìn)行了更好的保護(hù)�����。
屏蔽子網(wǎng)的IPv6防火墻體系結(jié)構(gòu)圖:
屏蔽子網(wǎng)防火墻系統(tǒng)層次結(jié)構(gòu)示意圖:
在IPv6網(wǎng)絡(luò)通信中,網(wǎng)絡(luò)傳輸?shù)腎Pv6報(bào)文都是密文,防火墻無(wú)法獲得端口等信息進(jìn)行過(guò)濾�����。為解決這一問(wèn)題,本文在采用屏蔽子網(wǎng)防火墻系統(tǒng)結(jié)構(gòu)的基礎(chǔ)上,提出了解決方案�����。
兩個(gè)分組過(guò)濾路由器和一個(gè)堡壘主機(jī),它們單獨(dú)構(gòu)成一個(gè)子網(wǎng),位于內(nèi)部子網(wǎng)和Internet之間,稱之為屏蔽子網(wǎng)�����。外部路由器介于Internet與屏蔽子網(wǎng)之間,而內(nèi)部路由器介于屏蔽子網(wǎng)與內(nèi)部可信子網(wǎng)之間,兩個(gè)路由器可進(jìn)行不同級(jí)別的過(guò)濾,屏蔽子網(wǎng)只允許Internet和內(nèi)部子網(wǎng)接入到堡壘主機(jī)中,但試圖繞過(guò)它的流量都將被阻塞掉。
下面我們介紹其實(shí)現(xiàn):
1.外部路由器只需對(duì)不加密的報(bào)文部分進(jìn)行過(guò)濾�����。如:由于IPv6采用了IPSec機(jī)制,所以外部路由器只需對(duì)外部數(shù)據(jù)報(bào)頭中的源地址及網(wǎng)關(guān)地址等明文信息進(jìn)行過(guò)濾;對(duì)于IPv4報(bào)文中IPSec是可選部分,而且大多用在VPN中,所以外部路由器也可對(duì)沒(méi)加密的IPv4報(bào)文進(jìn)行過(guò)濾;這樣大大減輕了堡壘主機(jī)的負(fù)荷�����。
2.堡壘主機(jī)接收到外部路由器轉(zhuǎn)發(fā)的數(shù)據(jù)包后,去掉外部IP頭,通過(guò)SPI(安全參數(shù)索引)計(jì)算密鑰,對(duì)實(shí)際的數(shù)據(jù)包進(jìn)行解密或?qū)H數(shù)據(jù)報(bào)頭校驗(yàn),沒(méi)有通過(guò)認(rèn)證的丟棄;通過(guò)認(rèn)證的再通過(guò)過(guò)濾規(guī)則對(duì)其進(jìn)行過(guò)濾:如果為允許通過(guò)的包,若為關(guān)鍵報(bào)文,交由傳輸層,由傳輸層將報(bào)文交給應(yīng)用層�����。堡壘主機(jī)通過(guò)流過(guò)濾模塊對(duì)關(guān)鍵報(bào)文進(jìn)行數(shù)據(jù)包重組之后通過(guò)流過(guò)濾規(guī)則過(guò)濾掉系統(tǒng)認(rèn)為不安全的業(yè)務(wù),從而實(shí)現(xiàn)了對(duì)應(yīng)用層的保護(hù)�����。如果為非關(guān)鍵報(bào)文就直接交給包過(guò)濾進(jìn)行過(guò)濾,如為允許包就通過(guò),否則就阻塞�����。堡壘主機(jī)將通過(guò)以上過(guò)濾的分組進(jìn)行重新打包,發(fā)向內(nèi)部路由器,并根據(jù)規(guī)則對(duì)丟棄的分組進(jìn)行處理�����。
3.內(nèi)部路由器接受到來(lái)自堡壘主機(jī)的流量,首先根據(jù)源地址�����、源端口等信息以及內(nèi)網(wǎng)各主機(jī)的安全級(jí)別進(jìn)行再次過(guò)濾,然后根據(jù)該分組的內(nèi)網(wǎng)實(shí)際地址,對(duì)該分組進(jìn)行ESP封裝加密(密鑰的來(lái)源可取自堡壘主機(jī)),然后轉(zhuǎn)發(fā)該分組至目的端�����。而內(nèi)部路由器在處理由內(nèi)網(wǎng)通往外網(wǎng)的流量時(shí),首先對(duì)該分組解密,然后根據(jù)各主機(jī)的不同權(quán)限和該系統(tǒng)的安全策略進(jìn)行過(guò)濾,通過(guò)的流量由堡壘主機(jī)進(jìn)行封裝加密后轉(zhuǎn)發(fā)�����。若內(nèi)網(wǎng)各主機(jī)有不同的安全級(jí)別(如:一些保密單位主機(jī)要求限制對(duì)其的訪問(wèn)),可強(qiáng)制所有通往保密主機(jī)的流量都由內(nèi)部路由器路由,進(jìn)而可由內(nèi)部路由器解密后實(shí)現(xiàn)接入控制�����。
以上方案的實(shí)現(xiàn),需要存在一套獨(dú)立的密鑰分配協(xié)議,這可以考慮在安裝防火墻系統(tǒng)時(shí),由客戶端軟件實(shí)現(xiàn),在此,就不多做討論了�����。
(二)系統(tǒng)設(shè)計(jì)
本文設(shè)計(jì)的系統(tǒng),包括數(shù)據(jù)包捕獲模塊�����、數(shù)據(jù)包分流模塊�����、包過(guò)濾模塊、流過(guò)濾模塊�����、報(bào)警信息記錄模塊�����、日志數(shù)據(jù)庫(kù)的設(shè)計(jì)�����、過(guò)濾規(guī)則數(shù)據(jù)庫(kù)�����、控制規(guī)則模塊�����、客戶端模塊等�����。
1.數(shù)據(jù)包捕獲模塊:數(shù)據(jù)包捕獲模塊,與一般的數(shù)據(jù)包捕獲模塊功能基本相同,對(duì)網(wǎng)絡(luò)鏈接的偵聽(tīng)并收集數(shù)據(jù)包�����。
2.數(shù)據(jù)包分流模塊:對(duì)捕獲的數(shù)據(jù)包進(jìn)行類型分析�����。判斷其是否為關(guān)鍵報(bào)文,以確定是經(jīng)過(guò)包過(guò)濾模塊或是流過(guò)濾模塊�����。
數(shù)據(jù)包捕獲模塊和分流模塊工作流程:首先把堡壘主機(jī)的網(wǎng)卡設(shè)為混雜模式-》啟用SONKET函數(shù)-》數(shù)據(jù)包捕獲模塊利用數(shù)據(jù)包嗅探器原理接收到數(shù)據(jù)包-》數(shù)據(jù)包分流模塊分析數(shù)據(jù)包頭的信息-》如果關(guān)鍵報(bào)文�����。那么就交給流過(guò)濾模塊對(duì)這類數(shù)據(jù)包進(jìn)行處理;但是如果不是關(guān)鍵報(bào)文,那么就交給包過(guò)濾模塊處理-》如此循環(huán)�����。
3.包過(guò)濾模塊:本文設(shè)計(jì)的包過(guò)濾模塊只對(duì)非關(guān)鍵報(bào)文進(jìn)行過(guò)濾�����。根據(jù)過(guò)濾規(guī)則:允許傳輸?shù)?通過(guò);阻塞傳輸?shù)?丟棄,并將非法報(bào)文相關(guān)信息交給報(bào)警信息記錄模塊處理�����。
包過(guò)濾工作流程:利用數(shù)據(jù)包捕獲模塊獲得報(bào)文,并分析報(bào)頭信息-》應(yīng)用一個(gè)過(guò)濾規(guī)則進(jìn)行判斷-》如果允許傳輸,則為允許包(合法報(bào)文);如果阻塞傳輸,則為阻塞包(非法報(bào)文),并將非法報(bào)文相關(guān)信息交給報(bào)警信息記錄模塊處理;如果經(jīng)過(guò)本條規(guī)則過(guò)濾既不是允許傳輸?shù)膱?bào)文,也不是阻塞傳輸?shù)膱?bào)文,則進(jìn)行下一個(gè)過(guò)濾規(guī)則的判斷-》如果所有的規(guī)則都沒(méi)有符合的,則默認(rèn)為非法報(bào)文,阻塞傳輸-》如此循環(huán)。
4.流過(guò)濾模塊:接收來(lái)自數(shù)據(jù)包分流模塊的關(guān)鍵報(bào)文,實(shí)現(xiàn)對(duì)關(guān)鍵報(bào)文的截取�����、檢查�����、合法轉(zhuǎn)發(fā)�����。
流過(guò)濾工作流程:捕獲模塊接收到數(shù)據(jù)包,對(duì)數(shù)據(jù)包的包頭進(jìn)行分析,判斷是否為關(guān)鍵報(bào)文-》如果不是關(guān)鍵報(bào)文,則交給包過(guò)濾模塊進(jìn)行過(guò)濾;如果是關(guān)鍵報(bào)文,則交給流過(guò)濾模塊進(jìn)行過(guò)濾-》判斷為關(guān)鍵報(bào)文之后,發(fā)送應(yīng)答報(bào)文-》判斷同一會(huì)話關(guān)鍵報(bào)文是否傳輸完畢:如果同一會(huì)話的關(guān)鍵報(bào)文沒(méi)有傳輸完畢,則繼續(xù)接收下一個(gè)數(shù)據(jù)包;如果同一會(huì)話的關(guān)鍵報(bào)文傳輸完畢,則去掉重復(fù)報(bào)文,根據(jù)序號(hào)字段排列報(bào)文順序判-》判斷每一報(bào)文序號(hào)字段檢查數(shù)據(jù)是否完整:如果不完整,則繼續(xù)接收數(shù)據(jù)包;如果完整,則組合所有報(bào)文應(yīng)用層-》取得httpurl鏈接中的一條規(guī)則,比較報(bào)文首部相關(guān)信息與規(guī)則對(duì)應(yīng)字段,并在重組數(shù)據(jù)匹配規(guī)則中過(guò)濾內(nèi)容項(xiàng)判-》判斷數(shù)據(jù)是否合法:如果比較完畢合法,則按報(bào)文正確順序發(fā)送原始報(bào),之后繼續(xù)接收下一個(gè)數(shù)據(jù)包,繼續(xù)下一個(gè)循環(huán);如果不合法,則根據(jù)規(guī)則中action字段值處理數(shù)據(jù)�����。
5.報(bào)警信息記錄模塊:報(bào)警信息記錄模塊負(fù)責(zé)將報(bào)警信息記錄進(jìn)日志數(shù)據(jù)庫(kù),同時(shí)將報(bào)警信息交給客戶端�����。
6.日志數(shù)據(jù)庫(kù)的設(shè)計(jì):對(duì)系統(tǒng)運(yùn)行情況的實(shí)時(shí)監(jiān)控�����。
7.過(guò)濾規(guī)則數(shù)據(jù)庫(kù):用來(lái)存放過(guò)濾規(guī)則�����。本文把設(shè)計(jì)的包過(guò)濾規(guī)則和流過(guò)濾規(guī)則都要存放到這個(gè)過(guò)濾規(guī)則數(shù)據(jù)庫(kù)中�����?����?梢哉f(shuō)這是個(gè)大的容器,用來(lái)存放本文的規(guī)則,當(dāng)然如后期用戶自己設(shè)置一些合適自己的規(guī)則,也要放到過(guò)濾規(guī)則庫(kù)中�����。
8.控制規(guī)則模塊:實(shí)現(xiàn)的是用戶根據(jù)自己的要求設(shè)置規(guī)則�����。必須考慮用戶自己設(shè)計(jì)過(guò)濾規(guī)則時(shí)可能出現(xiàn)的問(wèn)題,把重復(fù)的規(guī)則要?jiǎng)h掉;不重復(fù)的寫入過(guò)濾規(guī)則數(shù)據(jù)庫(kù)中�����。
9.客戶端模塊:負(fù)責(zé)將報(bào)警信息傳送給防火墻客戶端,同時(shí)接受防火墻客戶的各種操作�����。
基于流過(guò)濾技術(shù)的IPv6防火墻的系統(tǒng)設(shè)計(jì)圖:
(三)系統(tǒng)的實(shí)現(xiàn)
本文采用的是Linux開(kāi)發(fā)平臺(tái)。硬件環(huán)境:PC機(jī),10/100M自適應(yīng)網(wǎng)卡,路由器,局域網(wǎng)和外網(wǎng)環(huán)境�����。軟件環(huán)境:Linux操作系統(tǒng),GCC開(kāi)發(fā)平臺(tái),開(kāi)源防火墻�����。
五�����、總結(jié)
本文設(shè)計(jì)的防火墻系統(tǒng)實(shí)現(xiàn)了IPv6數(shù)據(jù)包的過(guò)濾功能,能夠保護(hù)內(nèi)網(wǎng)主機(jī)的安全,基本符合了防火墻的行業(yè)標(biāo)準(zhǔn),基本達(dá)到了預(yù)期的目標(biāo)�����。當(dāng)然,本設(shè)計(jì)也存在很多的不足,有待進(jìn)一步的充實(shí)和改進(jìn)�����。
參考文獻(xiàn):
[1]東軟軟件股份有限公司,NetEye Firewall3.2 技術(shù)白皮書
[2]孫為.純IPv6網(wǎng)絡(luò)中IPSec的研究與應(yīng)用:[碩士學(xué)位論文],西安:西安電子科技大學(xué)
[3]NetEye防火墻3.2.計(jì)算機(jī)安全[J].2003
第5篇
關(guān)鍵詞入侵檢測(cè)異常檢測(cè)誤用檢測(cè)
在網(wǎng)絡(luò)技術(shù)日新月異的今天�����,論文基于網(wǎng)絡(luò)的計(jì)算機(jī)應(yīng)用已經(jīng)成為發(fā)展的主流�����。政府�����、教育�����、商業(yè)�����、金融等機(jī)構(gòu)紛紛聯(lián)入Internet�����,全社會(huì)信息共享已逐步成為現(xiàn)實(shí)�����。然而�����,近年來(lái),網(wǎng)上黑客的攻擊活動(dòng)正以每年10倍的速度增長(zhǎng)�����。因此�����,保證計(jì)算機(jī)系統(tǒng)�����、網(wǎng)絡(luò)系統(tǒng)以及整個(gè)信息基礎(chǔ)設(shè)施的安全已經(jīng)成為刻不容緩的重要課題�����。
1防火墻
目前防范網(wǎng)絡(luò)攻擊最常用的方法是構(gòu)建防火墻�����。
防火墻作為一種邊界安全的手段�����,在網(wǎng)絡(luò)安全保護(hù)中起著重要作用�����。其主要功能是控制對(duì)網(wǎng)絡(luò)的非法訪問(wèn)�����,通過(guò)監(jiān)視�����、限制�����、更改通過(guò)網(wǎng)絡(luò)的數(shù)據(jù)流�����,一方面盡可能屏蔽內(nèi)部網(wǎng)的拓?fù)浣Y(jié)構(gòu)�����,另一方面對(duì)內(nèi)屏蔽外部危險(xiǎn)站點(diǎn)�����,以防范外對(duì)內(nèi)的非法訪問(wèn)。然而�����,防火墻存在明顯的局限性�����。
(1)入侵者可以找到防火墻背后可能敞開(kāi)的后門�����。如同深宅大院的高大院墻不能擋住老鼠的偷襲一樣�����,防火墻有時(shí)無(wú)法阻止入侵者的攻擊�����。
(2)防火墻不能阻止來(lái)自內(nèi)部的襲擊�����。調(diào)查發(fā)現(xiàn)�����,50%的攻擊都將來(lái)自于網(wǎng)絡(luò)內(nèi)部�����。
(3)由于性能的限制�����,防火墻通常不能提供實(shí)時(shí)的入侵檢測(cè)能力�����。畢業(yè)論文而這一點(diǎn)�����,對(duì)于層出不窮的網(wǎng)絡(luò)攻擊技術(shù)來(lái)說(shuō)是至關(guān)重要的�����。
因此�����,在Internet入口處部署防火墻系統(tǒng)是不能確保安全的。單純的防火墻策略已經(jīng)無(wú)法滿足對(duì)安全高度敏感部門的需要�����,網(wǎng)絡(luò)的防衛(wèi)必須采用一種縱深的�����、多樣化的手段�����。
由于傳統(tǒng)防火墻存在缺陷�����,引發(fā)了入侵檢測(cè)IDS(IntrusionDetectionSystem)的研究和開(kāi)發(fā)�����。入侵檢測(cè)是防火墻之后的第二道安全閘門�����,是對(duì)防火墻的合理補(bǔ)充,在不影響網(wǎng)絡(luò)性能的情況下,通過(guò)對(duì)網(wǎng)絡(luò)的監(jiān)測(cè),幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊,擴(kuò)展系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視�����、進(jìn)攻識(shí)別和響應(yīng))�����,提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性�����,提供對(duì)內(nèi)部攻擊�����、外部攻擊和誤操作的實(shí)時(shí)保護(hù)?����,F(xiàn)在�����,入侵檢測(cè)已經(jīng)成為網(wǎng)絡(luò)安全中一個(gè)重要的研究方向�����,在各種不同的網(wǎng)絡(luò)環(huán)境中發(fā)揮重要作用�����。
2入侵檢測(cè)
2.1入侵檢測(cè)
入侵檢測(cè)是通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析�����,從中發(fā)現(xiàn)違反安全策略的行為和遭到攻擊的跡象�����,并做出自動(dòng)的響應(yīng)�����。其主要功能是對(duì)用戶和系統(tǒng)行為的監(jiān)測(cè)與分析�����、系統(tǒng)配置和漏洞的審計(jì)檢查�����、重要系統(tǒng)和數(shù)據(jù)文件的完整性評(píng)估、已知的攻擊行為模式的識(shí)別�����、異常行為模式的統(tǒng)計(jì)分析�����、操作系統(tǒng)的審計(jì)跟蹤管理及違反安全策略的用戶行為的識(shí)別�����。入侵檢測(cè)通過(guò)迅速地檢測(cè)入侵�����,在可能造成系統(tǒng)損壞或數(shù)據(jù)丟失之前�����,識(shí)別并驅(qū)除入侵者�����,使系統(tǒng)迅速恢復(fù)正常工作�����,并且阻止入侵者進(jìn)一步的行動(dòng)�����。同時(shí)�����,收集有關(guān)入侵的技術(shù)資料�����,用于改進(jìn)和增強(qiáng)系統(tǒng)抵抗入侵的能力�����。
入侵檢測(cè)可分為基于主機(jī)型�����、基于網(wǎng)絡(luò)型、基于型三類�����。從20世紀(jì)90年代至今�����,英語(yǔ)論文已經(jīng)開(kāi)發(fā)出一些入侵檢測(cè)的產(chǎn)品�����,其中比較有代表性的產(chǎn)品有ISS(IntemetSecuritySystem)公司的Realsecure�����,NAI(NetworkAssociates�����,Inc)公司的Cybercop和Cisco公司的NetRanger�����。
2.2檢測(cè)技術(shù)
入侵檢測(cè)為網(wǎng)絡(luò)安全提供實(shí)時(shí)檢測(cè)及攻擊行為檢測(cè)�����,并采取相應(yīng)的防護(hù)手段�����。例如�����,實(shí)時(shí)檢測(cè)通過(guò)記錄證據(jù)來(lái)進(jìn)行跟蹤�����、恢復(fù)�����、斷開(kāi)網(wǎng)絡(luò)連接等控制�����;攻擊行為檢測(cè)注重于發(fā)現(xiàn)信息系統(tǒng)中可能已經(jīng)通過(guò)身份檢查的形跡可疑者�����,進(jìn)一步加強(qiáng)信息系統(tǒng)的安全力度。入侵檢測(cè)的步驟如下:
收集系統(tǒng)�����、網(wǎng)絡(luò)�����、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為的信息
入侵檢測(cè)一般采用分布式結(jié)構(gòu)�����,在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)(不同網(wǎng)段和不同主機(jī))收集信息�����,一方面擴(kuò)大檢測(cè)范圍�����,另一方面通過(guò)多個(gè)采集點(diǎn)的信息的比較來(lái)判斷是否存在可疑現(xiàn)象或發(fā)生入侵行為�����。
入侵檢測(cè)所利用的信息一般來(lái)自以下4個(gè)方面:系統(tǒng)和網(wǎng)絡(luò)日志文件�����、目錄和文件中的不期望的改變�����、程序執(zhí)行中的不期望行為�����、物理形式的入侵信息�����。
(2)根據(jù)收集到的信息進(jìn)行分析
常用的分析方法有模式匹配�����、統(tǒng)計(jì)分析�����、完整性分析�����。模式匹配是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫(kù)進(jìn)行比較,從而發(fā)現(xiàn)違背安全策略的行為�����。
統(tǒng)計(jì)分析方法首先給系統(tǒng)對(duì)象(如用戶�����、文件�����、目錄和設(shè)備等)創(chuàng)建一個(gè)統(tǒng)計(jì)描述�����,統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性�����。測(cè)量屬性的平均值將被用來(lái)與網(wǎng)絡(luò)�����、系統(tǒng)的行為進(jìn)行比較�����。當(dāng)觀察值超出正常值范圍時(shí)�����,就有可能發(fā)生入侵行為�����。該方法的難點(diǎn)是閾值的選擇�����,閾值太小可能產(chǎn)生錯(cuò)誤的入侵報(bào)告�����,閾值太大可能漏報(bào)一些入侵事件�����。
完整性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓?����,包括文件和目錄的?nèi)容及屬性。該方法能有效地防范特洛伊木馬的攻擊�����。
3分類及存在的問(wèn)題
入侵檢測(cè)通過(guò)對(duì)入侵和攻擊行為的檢測(cè)�����,查出系統(tǒng)的入侵者或合法用戶對(duì)系統(tǒng)資源的濫用和誤用�����。工作總結(jié)根據(jù)不同的檢測(cè)方法�����,將入侵檢測(cè)分為異常入侵檢測(cè)(AnomalyDetection)和誤用人侵檢測(cè)(MisuseDetection)�����。
3.1異常檢測(cè)
又稱為基于行為的檢測(cè)�����。其基本前提是:假定所有的入侵行為都是異常的�����。首先建立系統(tǒng)或用戶的“正?����!毙袨樘卣鬏喞?����,通過(guò)比較當(dāng)前的系統(tǒng)或用戶的行為是否偏離正常的行為特征輪廓來(lái)判斷是否發(fā)生了入侵�����。此方法不依賴于是否表現(xiàn)出具體行為來(lái)進(jìn)行檢測(cè)�����,是一種間接的方法�����。
常用的具體方法有:統(tǒng)計(jì)異常檢測(cè)方法�����、基于特征選擇異常檢測(cè)方法、基于貝葉斯推理異常檢測(cè)方法�����、基于貝葉斯網(wǎng)絡(luò)異常檢測(cè)方法�����、基于模式預(yù)測(cè)異常檢測(cè)方法�����、基于神經(jīng)網(wǎng)絡(luò)異常檢測(cè)方法�����、基于機(jī)器學(xué)習(xí)異常檢測(cè)方法�����、基于數(shù)據(jù)采掘異常檢測(cè)方法等�����。
采用異常檢測(cè)的關(guān)鍵問(wèn)題有如下兩個(gè)方面:
(1)特征量的選擇
在建立系統(tǒng)或用戶的行為特征輪廓的正常模型時(shí),選取的特征量既要能準(zhǔn)確地體現(xiàn)系統(tǒng)或用戶的行為特征�����,又能使模型最優(yōu)化�����,即以最少的特征量就能涵蓋系統(tǒng)或用戶的行為特征�����。(2)參考閾值的選定
由于異常檢測(cè)是以正常的特征輪廓作為比較的參考基準(zhǔn)�����,因此�����,參考閾值的選定是非常關(guān)鍵的�����。
閾值設(shè)定得過(guò)大�����,那漏警率會(huì)很高�����;閾值設(shè)定的過(guò)小�����,則虛警率就會(huì)提高�����。合適的參考閾值的選定是決定這一檢測(cè)方法準(zhǔn)確率的至關(guān)重要的因素�����。
由此可見(jiàn)�����,異常檢測(cè)技術(shù)難點(diǎn)是“正?����!毙袨樘卣鬏喞拇_定、特征量的選取�����、特征輪廓的更新�����。由于這幾個(gè)因素的制約�����,異常檢測(cè)的虛警率很高�����,但對(duì)于未知的入侵行為的檢測(cè)非常有效�����。此外�����,由于需要實(shí)時(shí)地建立和更新系統(tǒng)或用戶的特征輪廓�����,這樣所需的計(jì)算量很大�����,對(duì)系統(tǒng)的處理性能要求很高�����。
3.2誤用檢測(cè)
又稱為基于知識(shí)的檢測(cè)�����。其基本前提是:假定所有可能的入侵行為都能被識(shí)別和表示�����。首先�����,留學(xué)生論文對(duì)已知的攻擊方法進(jìn)行攻擊簽名(攻擊簽名是指用一種特定的方式來(lái)表示已知的攻擊模式)表示�����,然后根據(jù)已經(jīng)定義好的攻擊簽名,通過(guò)判斷這些攻擊簽名是否出現(xiàn)來(lái)判斷入侵行為的發(fā)生與否�����。這種方法是依據(jù)是否出現(xiàn)攻擊簽名來(lái)判斷入侵行為�����,是一種直接的方法�����。
常用的具體方法有:基于條件概率誤用入侵檢測(cè)方法�����、基于專家系統(tǒng)誤用入侵檢測(cè)方法�����、基于狀態(tài)遷移分析誤用入侵檢測(cè)方法�����、基于鍵盤監(jiān)控誤用入侵檢測(cè)方法�����、基于模型誤用入侵檢測(cè)方法�����。誤用檢測(cè)的關(guān)鍵問(wèn)題是攻擊簽名的正確表示�����。
誤用檢測(cè)是根據(jù)攻擊簽名來(lái)判斷入侵的�����,根據(jù)對(duì)已知的攻擊方法的了解�����,用特定的模式語(yǔ)言來(lái)表示這種攻擊�����,使得攻擊簽名能夠準(zhǔn)確地表示入侵行為及其所有可能的變種�����,同時(shí)又不會(huì)把非入侵行為包含進(jìn)來(lái)。由于多數(shù)入侵行為是利用系統(tǒng)的漏洞和應(yīng)用程序的缺陷�����,因此�����,通過(guò)分析攻擊過(guò)程的特征�����、條件�����、排列以及事件間的關(guān)系�����,就可具體描述入侵行為的跡象�����。這些跡象不僅對(duì)分析已經(jīng)發(fā)生的入侵行為有幫助�����,而且對(duì)即將發(fā)生的入侵也有預(yù)警作用�����。
誤用檢測(cè)將收集到的信息與已知的攻擊簽名模式庫(kù)進(jìn)行比較�����,從中發(fā)現(xiàn)違背安全策略的行為�����。由于只需要收集相關(guān)的數(shù)據(jù)�����,這樣系統(tǒng)的負(fù)擔(dān)明顯減少�����。該方法類似于病毒檢測(cè)系統(tǒng)�����,其檢測(cè)的準(zhǔn)確率和效率都比較高。但是它也存在一些缺點(diǎn)�����。
3.2.1不能檢測(cè)未知的入侵行為
由于其檢測(cè)機(jī)理是對(duì)已知的入侵方法進(jìn)行模式提取�����,對(duì)于未知的入侵方法就不能進(jìn)行有效的檢測(cè)�����。也就是說(shuō)漏警率比較高�����。
3.2.2與系統(tǒng)的相關(guān)性很強(qiáng)
對(duì)于不同實(shí)現(xiàn)機(jī)制的操作系統(tǒng)�����,由于攻擊的方法不盡相同�����,很難定義出統(tǒng)一的模式庫(kù)�����。另外�����,誤用檢測(cè)技術(shù)也難以檢測(cè)出內(nèi)部人員的入侵行為�����。
目前�����,由于誤用檢測(cè)技術(shù)比較成熟�����,多數(shù)的商業(yè)產(chǎn)品都主要是基于誤用檢測(cè)模型的�����。不過(guò)�����,為了增強(qiáng)檢測(cè)功能,不少產(chǎn)品也加入了異常檢測(cè)的方法�����。
4入侵檢測(cè)的發(fā)展方向
隨著信息系統(tǒng)對(duì)一個(gè)國(guó)家的社會(huì)生產(chǎn)與國(guó)民經(jīng)濟(jì)的影響越來(lái)越大�����,再加上網(wǎng)絡(luò)攻擊者的攻擊工具與手法日趨復(fù)雜化�����,信息戰(zhàn)已逐步被各個(gè)國(guó)家重視�����。近年來(lái)�����,入侵檢測(cè)有如下幾個(gè)主要發(fā)展方向:
4.1分布式入侵檢測(cè)與通用入侵檢測(cè)架構(gòu)
傳統(tǒng)的IDS一般局限于單一的主機(jī)或網(wǎng)絡(luò)架構(gòu)�����,對(duì)異構(gòu)系統(tǒng)及大規(guī)模的網(wǎng)絡(luò)的監(jiān)測(cè)明顯不足,再加上不同的IDS系統(tǒng)之間不能很好地協(xié)同工作�����。為解決這一問(wèn)題�����,需要采用分布式入侵檢測(cè)技術(shù)與通用入侵檢測(cè)架構(gòu)�����。
4.2應(yīng)用層入侵檢測(cè)
許多入侵的語(yǔ)義只有在應(yīng)用層才能理解�����,然而目前的IDS僅能檢測(cè)到諸如Web之類的通用協(xié)議�����,而不能處理LotusNotes�����、數(shù)據(jù)庫(kù)系統(tǒng)等其他的應(yīng)用系統(tǒng)�����。許多基于客戶/服務(wù)器結(jié)構(gòu)�����、中間件技術(shù)及對(duì)象技術(shù)的大型應(yīng)用�����,也需要應(yīng)用層的入侵檢測(cè)保護(hù)�����。
4.3智能的入侵檢測(cè)
入侵方法越來(lái)越多樣化與綜合化�����,盡管已經(jīng)有智能體�����、神經(jīng)網(wǎng)絡(luò)與遺傳算法在入侵檢測(cè)領(lǐng)域應(yīng)用研究�����,但是,這只是一些嘗試性的研究工作�����,需要對(duì)智能化的IDS加以進(jìn)一步的研究�����,以解決其自學(xué)習(xí)與自適應(yīng)能力�����。
4.4入侵檢測(cè)的評(píng)測(cè)方法
用戶需對(duì)眾多的IDS系統(tǒng)進(jìn)行評(píng)價(jià)�����,評(píng)價(jià)指標(biāo)包括IDS檢測(cè)范圍�����、系統(tǒng)資源占用�����、IDS自身的可靠性�����,從而設(shè)計(jì)出通用的入侵檢測(cè)測(cè)試與評(píng)估方法與平臺(tái)�����,實(shí)現(xiàn)對(duì)多種IDS的檢測(cè)�����。
4.5全面的安全防御方案
結(jié)合安全工程風(fēng)險(xiǎn)管理的思想與方法來(lái)處理網(wǎng)絡(luò)安全問(wèn)題�����,將網(wǎng)絡(luò)安全作為一個(gè)整體工程來(lái)處理�����。從管理�����、網(wǎng)絡(luò)結(jié)構(gòu)�����、加密通道、防火墻�����、病毒防護(hù)�����、入侵檢測(cè)多方位全面對(duì)所關(guān)注的網(wǎng)絡(luò)作全面的評(píng)估�����,然后提出可行的全面解決方案�����。
綜上所述�����,入侵檢測(cè)作為一種積極主動(dòng)的安全防護(hù)技術(shù)�����,提供了對(duì)內(nèi)部攻擊�����、外部攻擊和誤操作的實(shí)時(shí)保護(hù)�����,使網(wǎng)絡(luò)系統(tǒng)在受到危害之前即攔截和響應(yīng)入侵行為�����,為網(wǎng)絡(luò)安全增加一道屏障�����。隨著入侵檢測(cè)的研究與開(kāi)發(fā)�����,并在實(shí)際應(yīng)用中與其它網(wǎng)絡(luò)管理軟件相結(jié)合�����,使網(wǎng)絡(luò)安全可以從立體縱深�����、多層次防御的角度出發(fā),形成人侵檢測(cè)�����、網(wǎng)絡(luò)管理�����、網(wǎng)絡(luò)監(jiān)控三位一體化�����,從而更加有效地保護(hù)網(wǎng)絡(luò)的安全�����。
參考文獻(xiàn)
l吳新民.兩種典型的入侵檢測(cè)方法研究.計(jì)算機(jī)工程與應(yīng)用�����,2002�����;38(10):181—183
2羅妍�����,李仲麟�����,陳憲.入侵檢測(cè)系統(tǒng)模型的比較.計(jì)算機(jī)應(yīng)用�����,2001�����;21(6):29~31
3李渙洲.網(wǎng)絡(luò)安全與入侵檢測(cè)技術(shù).四川師范大學(xué)學(xué)報(bào).2001�����;24(3):426—428
4張慧敏�����,何軍�����,黃厚寬.入侵檢測(cè)系統(tǒng).計(jì)算機(jī)應(yīng)用研究,2001�����;18(9):38—4l
第6篇
論文摘要:在介紹網(wǎng)絡(luò)安全概念及其產(chǎn)生原因的基礎(chǔ)上�����,介紹了各種信息技術(shù)及其在局域網(wǎng)信息安全中的作用和地位�����。
隨著現(xiàn)代網(wǎng)絡(luò)通信技術(shù)的應(yīng)用和發(fā)展�����,互聯(lián)網(wǎng)迅速發(fā)展起來(lái)�����,國(guó)家逐步進(jìn)入到網(wǎng)絡(luò)化�����、共享化�����,我國(guó)已經(jīng)進(jìn)入到信息化的新世紀(jì)�����。在整個(gè)互聯(lián)網(wǎng)體系巾�����,局域網(wǎng)是其巾最重要的部分�����,公司網(wǎng)�����、企業(yè)網(wǎng)�����、銀行金融機(jī)構(gòu)網(wǎng)�����、政府、學(xué)校�����、社區(qū)網(wǎng)都屬于局域網(wǎng)的范疇�����。局域網(wǎng)實(shí)現(xiàn)了信息的傳輸和共享�����,為用戶方便訪問(wèn)互聯(lián)網(wǎng)�����、提升業(yè)務(wù)效率和效益提供了有效途徑�����。但是由于網(wǎng)絡(luò)的開(kāi)放性�����,黑客攻擊�����、病毒肆虐�����、木馬猖狂都給局域網(wǎng)的信息安全帶來(lái)了嚴(yán)重威脅�����。
信息技術(shù)是一門涉及計(jì)算機(jī)科學(xué)�����、網(wǎng)絡(luò)技術(shù)�����、通信技術(shù)�����、密碼技術(shù)�����、信息安全技術(shù)、應(yīng)用數(shù)學(xué)�����、數(shù)論和信息論諸多學(xué)科的技術(shù)�����。信息技術(shù)的應(yīng)用就是確保信息安全�����,使網(wǎng)絡(luò)信息免遭黑客破壞�����、病毒入侵�����、數(shù)據(jù)被盜或更改�����。網(wǎng)絡(luò)已經(jīng)成為現(xiàn)代人生活的一部分,局域網(wǎng)的安全問(wèn)題也閑此變得更為重要�����,信息技術(shù)的應(yīng)用必不可少�����。
1網(wǎng)絡(luò)安全的概念及產(chǎn)生的原因
1.1網(wǎng)絡(luò)安全的概念
計(jì)算機(jī)網(wǎng)絡(luò)安全是指保護(hù)計(jì)算機(jī)�����、網(wǎng)絡(luò)系統(tǒng)硬件�����、軟件以及系統(tǒng)中的數(shù)據(jù)不因偶然的或惡意的原因而遭到破壞�����、更改和泄密�����,確保系統(tǒng)能連續(xù)和可靠地運(yùn)行�����,使網(wǎng)絡(luò)服務(wù)不巾斷�����。從本質(zhì)上來(lái)講�����,網(wǎng)絡(luò)安全就是網(wǎng)絡(luò)上的信息安全�����。網(wǎng)絡(luò)系統(tǒng)的安全威脅主要表現(xiàn)在主機(jī)可能會(huì)受到非法入侵者的攻擊�����,網(wǎng)絡(luò)中的敏感信息有可能泄露或被修改�����。從內(nèi)部網(wǎng)向公共網(wǎng)傳送的信息可能被他人竊聽(tīng)或篡改等等�����。典型的網(wǎng)絡(luò)安全威脅主要有竊聽(tīng)、重傳�����、偽造�����、篡改�����、非授權(quán)訪問(wèn)�����、拒絕服務(wù)攻擊�����、行為否認(rèn)�����、旁路控制�����、電磁/射頻截獲�����、人員疏忽�����。
網(wǎng)絡(luò)安全包括安全的操作系統(tǒng)�����、應(yīng)用系統(tǒng)以及防病毒�����、防火墻�����、入侵檢測(cè)�����、網(wǎng)絡(luò)監(jiān)控、信息審計(jì)�����、通信加密�����、災(zāi)難恢復(fù)和完全掃描等�����。它涉及的領(lǐng)域相當(dāng)廣泛�����,這是因?yàn)槟壳暗母鞣N通信網(wǎng)絡(luò)中存在著各種各樣的安全漏洞和威脅�����。從廣義上講�����,凡是涉及網(wǎng)絡(luò)上信息的保密性�����、完整性�����、可性�����、真實(shí)性和可控性的相關(guān)技術(shù)和理論�����,都是網(wǎng)絡(luò)安全所要研究的領(lǐng)域�����。網(wǎng)絡(luò)安全歸納起來(lái)就是信息的存儲(chǔ)安全和傳輸安全�����。
1.2網(wǎng)絡(luò)安全產(chǎn)生的原因
1.2.1操作系統(tǒng)存在安全漏洞
任何操作系統(tǒng)都不是無(wú)法摧毀的“饅壘”�����。操作系統(tǒng)設(shè)計(jì)者留下的微小破綻都給網(wǎng)絡(luò)安全留下了許多隱患,網(wǎng)絡(luò)攻擊者以這些“后門”作為通道對(duì)網(wǎng)絡(luò)實(shí)施攻擊�����。局域網(wǎng)中使用的操作系統(tǒng)雖然都經(jīng)過(guò)大量的測(cè)試與改進(jìn)�����,但仍有漏洞與缺陷存在�����,入侵者利用各種工具掃描網(wǎng)絡(luò)及系統(tǒng)巾的安全漏洞�����,通過(guò)一些攻擊程序?qū)W(wǎng)絡(luò)進(jìn)行惡意攻擊�����,嚴(yán)重時(shí)造成網(wǎng)絡(luò)的癱瘓�����、系統(tǒng)的拒絕服務(wù)�����、信息的被竊取或篡改等�����。
1.2.2 TCP/lP協(xié)議的脆弱性
當(dāng)前特網(wǎng)部是基于TCP/IP協(xié)議�����,但是陔?yún)f(xié)議對(duì)于網(wǎng)絡(luò)的安全性考慮得并不多�����。且�����,南于TCtVIP協(xié)議在網(wǎng)絡(luò)上公布于眾�����,如果人們對(duì)TCP/IP很熟悉�����,就可以利川它的安全缺陷來(lái)實(shí)施網(wǎng)絡(luò)攻擊。
1.2.3網(wǎng)絡(luò)的開(kāi)放性和廣域性設(shè)計(jì)
網(wǎng)絡(luò)的開(kāi)放性和廣域性設(shè)計(jì)加大了信息的保密難度.這其巾還包括網(wǎng)絡(luò)身的布線以及通信質(zhì)量而引起的安全問(wèn)題�����?����;ヂ?lián)網(wǎng)的全開(kāi)放性使網(wǎng)絡(luò)可能面臨來(lái)自物理傳輸線路或者對(duì)網(wǎng)絡(luò)通信協(xié)議以及對(duì)軟件和硬件實(shí)施的攻擊�����;互聯(lián)網(wǎng)的同際性給網(wǎng)絡(luò)攻擊者在世界上任何一個(gè)角落利州互聯(lián)網(wǎng)上的任何一個(gè)機(jī)器對(duì)網(wǎng)絡(luò)發(fā)起攻擊提供機(jī)會(huì)�����,這也使得網(wǎng)絡(luò)信息保護(hù)更加難�����。
1.2.4計(jì)算機(jī)病毒的存在
計(jì)算機(jī)病毒是編制或者存計(jì)箅機(jī)程序巾插入的一組旨在破壞計(jì)箅機(jī)功能或數(shù)據(jù)�����,嚴(yán)重影響汁算機(jī)軟件�����、硬件的正常運(yùn)行�����,并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或程序代碼�����。計(jì)算機(jī)病毒具有傳染性�����、寄生性�����、隱蔽性�����、觸發(fā)性�����、破壞性幾大特點(diǎn)。大量涌現(xiàn)的病毒在網(wǎng)上傳播極快�����,給全球地嗣的網(wǎng)絡(luò)安全帶來(lái)了巨大災(zāi)難�����。
1.2.5網(wǎng)絡(luò)結(jié)構(gòu)的不安全性
特網(wǎng)是一個(gè)南無(wú)數(shù)個(gè)局域網(wǎng)連成的大網(wǎng)絡(luò)�����,它是一種網(wǎng)問(wèn)網(wǎng)技術(shù)�����。當(dāng)l主機(jī)與另一局域網(wǎng)的主機(jī)進(jìn)行通信時(shí)�����,它們之間互相傳送的數(shù)據(jù)流要經(jīng)過(guò)很多機(jī)器重重轉(zhuǎn)發(fā)�����,這樣攻擊者只要利用l臺(tái)處于用戶的數(shù)據(jù)流傳輸路徑上的主機(jī)就有可能劫持用戶的數(shù)據(jù)包。
2信息技術(shù)在互聯(lián)網(wǎng)中的應(yīng)用
2.1信息技術(shù)的發(fā)展現(xiàn)狀和研究背景
信息網(wǎng)絡(luò)安全研究在經(jīng)歷了通信保密�����、數(shù)據(jù)保護(hù)后進(jìn)入網(wǎng)絡(luò)信息安全研究階段�����,當(dāng)前已經(jīng)…現(xiàn)了一些比較成熟的軟件和技術(shù)�����,如:防火墻�����、安全路由器�����、安全網(wǎng)關(guān)�����、黑客人侵檢測(cè)�����、系統(tǒng)脆弱性掃描軟件等�����。信息網(wǎng)絡(luò)安全是一個(gè)綜合�����、交叉的學(xué)科�����,應(yīng)從安全體系結(jié)構(gòu)�����、安全協(xié)議�����、現(xiàn)代密碼理論�����、信息分析和監(jiān)控以及信息安全系統(tǒng)等方面綜合開(kāi)展研究,使各部分相互協(xié)同�����,共同維護(hù)網(wǎng)絡(luò)安全�����。
國(guó)外的信息安全研究起步較早�����,早在20世紀(jì)70年代美國(guó)就在網(wǎng)絡(luò)安全技術(shù)基礎(chǔ)理論研究成果“計(jì)算機(jī)保密模型(Beu&Lapaduh模型)”的基礎(chǔ)上�����,提出了“可信計(jì)箅機(jī)系統(tǒng)安全評(píng)估準(zhǔn)則(TESEC)”以及后來(lái)的關(guān)于網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)庫(kù)方面的相關(guān)解釋�����,彤成了安全信息系統(tǒng)體系結(jié)構(gòu)的準(zhǔn)則�����。安全協(xié)議作為信息安全的重要內(nèi)容�����,處于發(fā)展提高階段�����,仍存在局限性和漏洞�����。密碼學(xué)作為信息安全的關(guān)鍵技術(shù)�����,近年來(lái)空前活躍�����,美�����、歐�����、亞各洲舉行的密碼學(xué)和信息安全學(xué)術(shù)會(huì)議頻繁。自從美國(guó)學(xué)者于1976年提出了公開(kāi)密鑰密碼體制后�����,成為當(dāng)前研究的熱點(diǎn)�����,克服了網(wǎng)絡(luò)信息系統(tǒng)密鑰管理的閑舴�����,同時(shí)解決了數(shù)字簽名問(wèn)題�����。另外南于計(jì)箅機(jī)運(yùn)算速度的不斷提高和網(wǎng)絡(luò)安全要求的不斷提升�����,各種安全技術(shù)不斷發(fā)展�����,網(wǎng)絡(luò)安全技術(shù)存21世紀(jì)將成為信息安全的關(guān)鍵技術(shù)�����。
2.2信息技術(shù)的應(yīng)用
2.2.1網(wǎng)絡(luò)防病毒軟件
存網(wǎng)絡(luò)環(huán)境下�����,病毒的傳播擴(kuò)散越來(lái)越快�����,必須有適合于局域網(wǎng)的全方位防病毒產(chǎn)品�����。針對(duì)局域網(wǎng)的渚多特性�����,應(yīng)該有一個(gè)基于服務(wù)器操作系統(tǒng)平的防病毒軟件和針對(duì)各種桌面操作系統(tǒng)的防病毒軟件�����。如果局域網(wǎng)和互聯(lián)網(wǎng)相連�����,則川到網(wǎng)大防病毒軟件來(lái)加強(qiáng)上網(wǎng)計(jì)算機(jī)的安全。如果使用郵件存網(wǎng)絡(luò)內(nèi)部進(jìn)行信息交換.則需要安裝基于郵件服務(wù)器平的郵件防病毒軟件�����,用于識(shí)別出隱藏在電子郵件和附件巾的病毒最好的策略是使川全方位的防病毒產(chǎn)品�����,針對(duì)網(wǎng)絡(luò)巾所有可能的病毒攻擊點(diǎn)設(shè)置對(duì)應(yīng)的防病毒軟件�����。通過(guò)全方位�����、多層次的防病毒系統(tǒng)的配置�����,定期或不定期地動(dòng)升級(jí)�����,保護(hù)局域網(wǎng)免受病毒的侵襲�����。
2.2.2防火墻技術(shù)
防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)�����;上的應(yīng)用性安全技術(shù)�����,越來(lái)越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境巾�����,尤其以接入lnlernel網(wǎng)絡(luò)的局域網(wǎng)為典型�����。防火墻是網(wǎng)絡(luò)安全的屏障:一個(gè)防火墻能檄大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性�����,通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。南于只有經(jīng)過(guò)精心選擇的應(yīng)州協(xié)議才能通過(guò)防火墻�����,所以網(wǎng)絡(luò)環(huán)境變得更安全�����。防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略:通過(guò)以防火墻為中心的安全方案配置�����,能將所有安全軟件如口令�����、加密�����、身份認(rèn)證�����、審計(jì)等配置在防火墻上�����。對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì):如果所有的訪問(wèn)都經(jīng)過(guò)防火墻�����,那么防火墻就能記錄下這些訪問(wèn)并做出日志記錄�����,同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)�����。
防火墻技術(shù)是企業(yè)內(nèi)外部網(wǎng)絡(luò)問(wèn)非常有效的一種實(shí)施訪問(wèn)控制的手段�����,邏輯上處于內(nèi)外部網(wǎng)之問(wèn)�����,確保內(nèi)部網(wǎng)絡(luò)正常安全運(yùn)行的一組軟硬件的有機(jī)組合�����,川來(lái)提供存取控制和保密服務(wù)。存引人防火墻之后�����,局域網(wǎng)內(nèi)網(wǎng)和外部網(wǎng)之問(wèn)的通信必須經(jīng)過(guò)防火墻進(jìn)行�����,某局域網(wǎng)根據(jù)網(wǎng)絡(luò)決策者及網(wǎng)絡(luò)擘家共同決定的局域網(wǎng)的安全策略來(lái)設(shè)置防火墻�����,確定什么類型的信息可以通過(guò)防火墻�����?����?梢?jiàn)防火墻的職責(zé)就是根據(jù)規(guī)定的安全策略�����,對(duì)通過(guò)外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)的信息進(jìn)行檢企�����,符合安全策略的予以放行�����,不符合的不予通過(guò)�����。
防火墻是一種有效的安全工具�����,它對(duì)外屏蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)�����,限制外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的訪問(wèn)�����。但是它仍有身的缺陷�����,對(duì)于內(nèi)部網(wǎng)絡(luò)之問(wèn)的入侵行為和內(nèi)外勾結(jié)的入侵行為很難發(fā)覺(jué)和防范,對(duì)于內(nèi)部網(wǎng)絡(luò)之間的訪問(wèn)和侵害�����,防火墻則得無(wú)能為力�����。
2.2.3漏洞掃描技術(shù)
漏洞掃描技術(shù)是要弄清楚網(wǎng)絡(luò)巾存在哪些安全隱患�����、脆弱點(diǎn)�����,解決網(wǎng)絡(luò)層安全問(wèn)題�����。各種大型網(wǎng)絡(luò)不僅復(fù)雜而且不斷變化�����,僅僅依靠網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗(yàn)尋找安全漏洞�����、做出風(fēng)險(xiǎn)評(píng)估得很不現(xiàn)實(shí)。要解決這一問(wèn)題�����,必須尋找一種能金找網(wǎng)絡(luò)安全漏洞�����、評(píng)估并提…修改建議的網(wǎng)絡(luò)安全掃描工具�����,利刖優(yōu)化系統(tǒng)配置和打補(bǔ)丁等各種方式最大可能地彌補(bǔ)最新的安全漏洞和消除安全隱患�����。存網(wǎng)絡(luò)安全程度要水不高的情況下�����,可以利用各種黑客工具對(duì)網(wǎng)絡(luò)實(shí)施模擬攻擊�����,暴露出:網(wǎng)絡(luò)的漏洞�����,冉通過(guò)相關(guān)技術(shù)進(jìn)行改善�����。
2.2.4密碼技術(shù)
密碼技術(shù)是信息安全的核心與關(guān)鍵�����。密碼體制按密鑰可以分為對(duì)稱密碼�����、非對(duì)稱密碼�����、混合密碼3種體制�����。另外采用加密技術(shù)的網(wǎng)絡(luò)系統(tǒng)不僅不需要特殊網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的支持�����,而且在數(shù)據(jù)傳輸過(guò)程巾也不會(huì)對(duì)所經(jīng)過(guò)網(wǎng)絡(luò)路徑的安全程度做出要求,真正實(shí)現(xiàn)了網(wǎng)絡(luò)通信過(guò)程端到端的安全保障�����。非對(duì)稱密碼和混合密碼是當(dāng)前網(wǎng)絡(luò)信息加密使川的主要技術(shù)�����。
信息加密技術(shù)的功能主要是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)內(nèi)的數(shù)據(jù)�����、文件�����、口令和控制信息等網(wǎng)絡(luò)資源的安全�����。信息加密的方法有3種�����,一是網(wǎng)絡(luò)鏈路加密方法:目的是保護(hù)網(wǎng)絡(luò)系統(tǒng)節(jié)點(diǎn)之間的鏈路信息安全�����;二是網(wǎng)絡(luò)端點(diǎn)加密方法:目的是保護(hù)網(wǎng)絡(luò)源端川戶到口的川戶的數(shù)據(jù)安全�����;二是網(wǎng)絡(luò)節(jié)點(diǎn)加密方法:目的是對(duì)源節(jié)點(diǎn)到目的節(jié)點(diǎn)之間的傳輸鏈路提供保護(hù)川戶可以根據(jù)實(shí)際要求采川不同的加密技術(shù)�����。
2.2.5入侵檢測(cè)技術(shù)�����。
入侵檢測(cè)系統(tǒng)對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源上的惡意使川行為進(jìn)行識(shí)別和響應(yīng)�����。入侵檢測(cè)技術(shù)同時(shí)監(jiān)測(cè)來(lái)自內(nèi)部和外部的人侵行為和內(nèi)部剛戶的未授權(quán)活動(dòng)�����,并且對(duì)網(wǎng)絡(luò)入侵事件及其過(guò)程做fIj實(shí)時(shí)響應(yīng),是維護(hù)網(wǎng)絡(luò)動(dòng)態(tài)安全的核心技術(shù)�����。入侵檢測(cè)技術(shù)根據(jù)不同的分類標(biāo)準(zhǔn)分為基于行為的入侵檢測(cè)和基于知識(shí)的人侵檢測(cè)兩類�����。根據(jù)使用者的行為或資源使?fàn)顩r的正常程度來(lái)判斷是否發(fā)生入侵的稱為基于行為的入侵檢測(cè)�����,運(yùn)用已知的攻擊方法通過(guò)分析入侵跡象來(lái)加以判斷是否發(fā)生入侵行為稱為基于知識(shí)的入侵檢測(cè)�����。通過(guò)對(duì)跡象的分析能對(duì)已發(fā)生的入侵行為有幫助�����,并對(duì)即將發(fā)生的入侵產(chǎn)生警戒作用
3結(jié)語(yǔ)
第7篇
關(guān)鍵詞入侵檢測(cè)異常檢測(cè)誤用檢測(cè)
在網(wǎng)絡(luò)技術(shù)日新月異的今天�����,基于網(wǎng)絡(luò)的計(jì)算機(jī)應(yīng)用已經(jīng)成為發(fā)展的主流�����。政府�����、教育�����、商業(yè)�����、金融等機(jī)構(gòu)紛紛聯(lián)入Internet�����,全社會(huì)信息共享已逐步成為現(xiàn)實(shí)�����。然而�����,近年來(lái),網(wǎng)上黑客的攻擊活動(dòng)正以每年10倍的速度增長(zhǎng)�����。因此�����,保證計(jì)算機(jī)系統(tǒng)�����、網(wǎng)絡(luò)系統(tǒng)以及整個(gè)信息基礎(chǔ)設(shè)施的安全已經(jīng)成為刻不容緩的重要課題�����。
1 防火墻
目前防范網(wǎng)絡(luò)攻擊最常用的方法是構(gòu)建防火墻�����。
防火墻作為一種邊界安全的手段�����,在網(wǎng)絡(luò)安全保護(hù)中起著重要作用�����。其主要功能是控制對(duì)網(wǎng)絡(luò)的非法訪問(wèn)�����,通過(guò)監(jiān)視�����、限制�����、更改通過(guò)網(wǎng)絡(luò)的數(shù)據(jù)流�����,一方面盡可能屏蔽內(nèi)部網(wǎng)的拓?fù)浣Y(jié)構(gòu)�����,另一方面對(duì)內(nèi)屏蔽外部危險(xiǎn)站點(diǎn)�����,以防范外對(duì)內(nèi)的非法訪問(wèn)。然而�����,防火墻存在明顯的局限性�����。
(1)入侵者可以找到防火墻背后可能敞開(kāi)的后門�����。如同深宅大院的高大院墻不能擋住老鼠的偷襲一樣�����,防火墻有時(shí)無(wú)法阻止入侵者的攻擊�����。
(2)防火墻不能阻止來(lái)自內(nèi)部的襲擊�����。調(diào)查發(fā)現(xiàn)�����,50%的攻擊都將來(lái)自于網(wǎng)絡(luò)內(nèi)部�����。
(3)由于性能的限制�����,防火墻通常不能提供實(shí)時(shí)的入侵檢測(cè)能力�����。畢業(yè)論文 而這一點(diǎn)�����,對(duì)于層出不窮的網(wǎng)絡(luò)攻擊技術(shù)來(lái)說(shuō)是至關(guān)重要的�����。
因此�����,在Internet入口處部署防火墻系統(tǒng)是不能確保安全的。單純的防火墻策略已經(jīng)無(wú)法滿足對(duì)安全高度敏感部門的需要�����,網(wǎng)絡(luò)的防衛(wèi)必須采用一種縱深的�����、多樣化的手段�����。
由于傳統(tǒng)防火墻存在缺陷�����,引發(fā)了入侵檢測(cè)IDS(Intrusion Detection System)的研究和開(kāi)發(fā)�����。入侵檢測(cè)是防火墻之后的第二道安全閘門�����,是對(duì)防火墻的合理補(bǔ)充�����,在不影響網(wǎng)絡(luò)性能的情況下�����,通過(guò)對(duì)網(wǎng)絡(luò)的監(jiān)測(cè)�����,幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊�����,擴(kuò)展系統(tǒng)管理員的安全管理能力(包括安全審計(jì)�����、監(jiān)視�����、進(jìn)攻識(shí)別和響應(yīng))�����,提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性,提供對(duì)內(nèi)部攻擊�����、外部攻擊和誤操作的實(shí)時(shí)保護(hù)?����,F(xiàn)在�����,入侵檢測(cè)已經(jīng)成為網(wǎng)絡(luò)安全中一個(gè)重要的研究方向�����,在各種不同的網(wǎng)絡(luò)環(huán)境中發(fā)揮重要作用�����。
2 入侵檢測(cè)
2.1 入侵檢測(cè)
入侵檢測(cè)是通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析�����,從中發(fā)現(xiàn)違反安全策略的行為和遭到攻擊的跡象,并做出自動(dòng)的響應(yīng)�����。其主要功能是對(duì)用戶和系統(tǒng)行為的監(jiān)測(cè)與分析�����、系統(tǒng)配置和漏洞的審計(jì)檢查�����、重要系統(tǒng)和數(shù)據(jù)文件的完整性評(píng)估�����、已知的攻擊行為模式的識(shí)別�����、異常行為模式的統(tǒng)計(jì)分析�����、操作系統(tǒng)的審計(jì)跟蹤管理及違反安全策略的用戶行為的識(shí)別�����。入侵檢測(cè)通過(guò)迅速地檢測(cè)入侵�����,在可能造成系統(tǒng)損壞或數(shù)據(jù)丟失之前�����,識(shí)別并驅(qū)除入侵者�����,使系統(tǒng)迅速恢復(fù)正常工作�����,并且阻止入侵者進(jìn)一步的行動(dòng)�����。同時(shí)�����,收集有關(guān)入侵的技術(shù)資料,用于改進(jìn)和增強(qiáng)系統(tǒng)抵抗入侵的能力�����。
入侵檢測(cè)可分為基于主機(jī)型�����、基于網(wǎng)絡(luò)型�����、基于型三類�����。從20世紀(jì)90年代至今�����,英語(yǔ)論文 已經(jīng)開(kāi)發(fā)出一些入侵檢測(cè)的產(chǎn)品�����,其中比較有代表性的產(chǎn)品有ISS(Intemet Security System)公司的Realsecure�����,NAI(Network Associates�����,Inc)公司的Cybercop和Cisco公司的NetRanger�����。
2.2 檢測(cè)技術(shù)
入侵檢測(cè)為網(wǎng)絡(luò)安全提供實(shí)時(shí)檢測(cè)及攻擊行為檢測(cè)�����,并采取相應(yīng)的防護(hù)手段�����。例如�����,實(shí)時(shí)檢測(cè)通過(guò)記錄證據(jù)來(lái)進(jìn)行跟蹤�����、恢復(fù)、斷開(kāi)網(wǎng)絡(luò)連接等控制�����;攻擊行為檢測(cè)注重于發(fā)現(xiàn)信息系統(tǒng)中可能已經(jīng)通過(guò)身份檢查的形跡可疑者�����,進(jìn)一步加強(qiáng)信息系統(tǒng)的安全力度�����。入侵檢測(cè)的步驟如下:
收集系統(tǒng)�����、網(wǎng)絡(luò)�����、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為的信息
入侵檢測(cè)一般采用分布式結(jié)構(gòu)�����,在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)(不同網(wǎng)段和不同主機(jī))收集信息�����,一方面擴(kuò)大檢測(cè)范圍�����,另一方面通過(guò)多個(gè)采集點(diǎn)的信息的比較來(lái)判斷是否存在可疑現(xiàn)象或發(fā)生入侵行為�����。
入侵檢測(cè)所利用的信息一般來(lái)自以下4個(gè)方面:系統(tǒng)和網(wǎng)絡(luò)日志文件�����、目錄和文件中的不期望的改變�����、程序執(zhí)行中的不期望行為�����、物理形式的入侵信息�����。
(2)根據(jù)收集到的信息進(jìn)行分析
常用的分析方法有模式匹配、統(tǒng)計(jì)分析�����、完整性分析�����。模式匹配是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫(kù)進(jìn)行比較�����,從而發(fā)現(xiàn)違背安全策略的行為�����。
統(tǒng)計(jì)分析方法首先給系統(tǒng)對(duì)象(如用戶�����、文件�����、目錄和設(shè)備等)創(chuàng)建一個(gè)統(tǒng)計(jì)描述�����,統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性�����。測(cè)量屬性的平均值將被用來(lái)與網(wǎng)絡(luò)�����、系統(tǒng)的行為進(jìn)行比較�����。當(dāng)觀察值超出正常值范圍時(shí)�����,就有可能發(fā)生入侵行為�����。該方法的難點(diǎn)是閾值的選擇�����,閾值太小可能產(chǎn)生錯(cuò)誤的入侵報(bào)告,閾值太大可能漏報(bào)一些入侵事件�����。
完整性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓?����,包括文件和目錄的?nèi)容及屬性�����。該方法能有效地防范特洛伊木馬的攻擊�����。
3 分類及存在的問(wèn)題
入侵檢測(cè)通過(guò)對(duì)入侵和攻擊行為的檢測(cè)�����,查出系統(tǒng)的入侵者或合法用戶對(duì)系統(tǒng)資源的濫用和誤用�����。工作總結(jié) 根據(jù)不同的檢測(cè)方法�����,將入侵檢測(cè)分為異常入侵檢測(cè)(Anomaly Detection)和誤用人侵檢測(cè)(Misuse Detection)�����。
3.1 異常檢測(cè)
又稱為基于行為的檢測(cè)�����。其基本前提是:假定所有的入侵行為都是異常的�����。首先建立系統(tǒng)或用戶的“正?����!毙袨樘卣鬏喞?����,通過(guò)比較當(dāng)前的系統(tǒng)或用戶的行為是否偏離正常的行為特征輪廓來(lái)判斷是否發(fā)生了入侵�����。此方法不依賴于是否表現(xiàn)出具體行為來(lái)進(jìn)行檢測(cè),是一種間接的方法�����。
常用的具體方法有:統(tǒng)計(jì)異常檢測(cè)方法�����、基于特征選擇異常檢測(cè)方法�����、基于貝葉斯推理異常檢測(cè)方法�����、基于貝葉斯網(wǎng)絡(luò)異常檢測(cè)方法�����、基于模式預(yù)測(cè)異常檢測(cè)方法�����、基于神經(jīng)網(wǎng)絡(luò)異常檢測(cè)方法、基于機(jī)器學(xué)習(xí)異常檢測(cè)方法�����、基于數(shù)據(jù)采掘異常檢測(cè)方法等�����。
采用異常檢測(cè)的關(guān)鍵問(wèn)題有如下兩個(gè)方面:
(1)特征量的選擇
在建立系統(tǒng)或用戶的行為特征輪廓的正常模型時(shí)�����,選取的特征量既要能準(zhǔn)確地體現(xiàn)系統(tǒng)或用戶的行為特征�����,又能使模型最優(yōu)化�����,即以最少的特征量就能涵蓋系統(tǒng)或用戶的行為特征�����。
(2)參考閾值的選定
由于異常檢測(cè)是以正常的特征輪廓作為比較的參考基準(zhǔn)�����,因此�����,參考閾值的選定是非常關(guān)鍵的�����。
閾值設(shè)定得過(guò)大�����,那漏警率會(huì)很高�����;閾值設(shè)定的過(guò)小�����,則虛警率就會(huì)提高�����。合適的參考閾值的選定是決定這一檢測(cè)方法準(zhǔn)確率的至關(guān)重要的因素。
由此可見(jiàn)�����,異常檢測(cè)技術(shù)難點(diǎn)是“正?����!毙袨樘卣鬏喞拇_定�����、特征量的選取�����、特征輪廓的更新�����。由于這幾個(gè)因素的制約�����,異常檢測(cè)的虛警率很高�����,但對(duì)于未知的入侵行為的檢測(cè)非常有效�����。此外�����,由于需要實(shí)時(shí)地建立和更新系統(tǒng)或用戶的特征輪廓�����,這樣所需的計(jì)算量很大�����,對(duì)系統(tǒng)的處理性能要求很高�����。
3.2 誤用檢測(cè)
又稱為基于知識(shí)的檢測(cè)�����。其基本前提是:假定所有可能的入侵行為都能被識(shí)別和表示。首先�����,留學(xué)生論文 對(duì)已知的攻擊方法進(jìn)行攻擊簽名(攻擊簽名是指用一種特定的方式來(lái)表示已知的攻擊模式)表示�����,然后根據(jù)已經(jīng)定義好的攻擊簽名�����,通過(guò)判斷這些攻擊簽名是否出現(xiàn)來(lái)判斷入侵行為的發(fā)生與否�����。這種方法是依據(jù)是否出現(xiàn)攻擊簽名來(lái)判斷入侵行為�����,是一種直接的方法�����。
常用的具體方法有:基于條件概率誤用入侵檢測(cè)方法�����、基于專家系統(tǒng)誤用入侵檢測(cè)方法�����、基于狀態(tài)遷移分析誤用入侵檢測(cè)方法�����、基于鍵盤監(jiān)控誤用入侵檢測(cè)方法�����、基于模型誤用入侵檢測(cè)方法�����。誤用檢測(cè)的關(guān)鍵問(wèn)題是攻擊簽名的正確表示�����。
誤用檢測(cè)是根據(jù)攻擊簽名來(lái)判斷入侵的�����,根據(jù)對(duì)已知的攻擊方法的了解,用特定的模式語(yǔ)言來(lái)表示這種攻擊�����,使得攻擊簽名能夠準(zhǔn)確地表示入侵行為及其所有可能的變種�����,同時(shí)又不會(huì)把非入侵行為包含進(jìn)來(lái)�����。由于多數(shù)入侵行為是利用系統(tǒng)的漏洞和應(yīng)用程序的缺陷�����,因此�����,通過(guò)分析攻擊過(guò)程的特征�����、條件�����、排列以及事件間的關(guān)系�����,就可具體描述入侵行為的跡象�����。這些跡象不僅對(duì)分析已經(jīng)發(fā)生的入侵行為有幫助�����,而且對(duì)即將發(fā)生的入侵也有預(yù)警作用�����。
誤用檢測(cè)將收集到的信息與已知的攻擊簽名模式庫(kù)進(jìn)行比較�����,從中發(fā)現(xiàn)違背安全策略的行為�����。由于只需要收集相關(guān)的數(shù)據(jù),這樣系統(tǒng)的負(fù)擔(dān)明顯減少�����。該方法類似于病毒檢測(cè)系統(tǒng)�����,其檢測(cè)的準(zhǔn)確率和效率都比較高�����。但是它也存在一些缺點(diǎn)�����。
3.2.1 不能檢測(cè)未知的入侵行為
由于其檢測(cè)機(jī)理是對(duì)已知的入侵方法進(jìn)行模式提取�����,對(duì)于未知的入侵方法就不能進(jìn)行有效的檢測(cè)�����。也就是說(shuō)漏警率比較高�����。
3.2.2 與系統(tǒng)的相關(guān)性很強(qiáng)
對(duì)于不同實(shí)現(xiàn)機(jī)制的操作系統(tǒng)�����,由于攻擊的方法不盡相同�����,很難定義出統(tǒng)一的模式庫(kù)�����。另外�����,誤用檢測(cè)技術(shù)也難以檢測(cè)出內(nèi)部人員的入侵行為�����。
目前�����,由于誤用檢測(cè)技術(shù)比較成熟,多數(shù)的商業(yè)產(chǎn)品都主要是基于誤用檢測(cè)模型的�����。不過(guò)�����,為了增強(qiáng)檢測(cè)功能�����,不少產(chǎn)品也加入了異常檢測(cè)的方法�����。
4 入侵檢測(cè)的發(fā)展方向
隨著信息系統(tǒng)對(duì)一個(gè)國(guó)家的社會(huì)生產(chǎn)與國(guó)民經(jīng)濟(jì)的影響越來(lái)越大�����,再加上網(wǎng)絡(luò)攻擊者的攻擊工具與手法日趨復(fù)雜化�����,信息戰(zhàn)已逐步被各個(gè)國(guó)家重視�����。近年來(lái)�����,入侵檢測(cè)有如下幾個(gè)主要發(fā)展方向:
4.1 分布式入侵檢測(cè)與通用入侵檢測(cè)架構(gòu)
傳統(tǒng)的IDS一般局限于單一的主機(jī)或網(wǎng)絡(luò)架構(gòu)�����,對(duì)異構(gòu)系統(tǒng)及大規(guī)模的網(wǎng)絡(luò)的監(jiān)測(cè)明顯不足�����,再加上不同的IDS系統(tǒng)之間不能很好地協(xié)同工作�����。為解決這一問(wèn)題�����,需要采用分布式入侵檢測(cè)技術(shù)與通用入侵檢測(cè)架構(gòu)�����。
4.2應(yīng)用層入侵檢測(cè)
許多入侵的語(yǔ)義只有在應(yīng)用層才能理解,然而目前的IDS僅能檢測(cè)到諸如Web之類的通用協(xié)議�����,而不能處理Lotus Notes�����、數(shù)據(jù)庫(kù)系統(tǒng)等其他的應(yīng)用系統(tǒng)�����。許多基于客戶/服務(wù)器結(jié)構(gòu)�����、中間件技術(shù)及對(duì)象技術(shù)的大型應(yīng)用�����,也需要應(yīng)用層的入侵檢測(cè)保護(hù)�����。
4.3 智能的入侵檢測(cè)
入侵方法越來(lái)越多樣化與綜合化,盡管已經(jīng)有智能體�����、神經(jīng)網(wǎng)絡(luò)與遺傳算法在入侵檢測(cè)領(lǐng)域應(yīng)用研究�����,但是�����,這只是一些嘗試性的研究工作�����,需要對(duì)智能化的IDS加以進(jìn)一步的研究�����,以解決其自學(xué)習(xí)與自適應(yīng)能力�����。
4.4 入侵檢測(cè)的評(píng)測(cè)方法
用戶需對(duì)眾多的IDS系統(tǒng)進(jìn)行評(píng)價(jià)�����,評(píng)價(jià)指標(biāo)包括IDS檢測(cè)范圍�����、系統(tǒng)資源占用�����、IDS自身的可靠性�����,從而設(shè)計(jì)出通用的入侵檢測(cè)測(cè)試與評(píng)估方法與平臺(tái)�����,實(shí)現(xiàn)對(duì)多種IDS的檢測(cè)�����。
4.5 全面的安全防御方案
結(jié)合安全工程風(fēng)險(xiǎn)管理的思想與方法來(lái)處理網(wǎng)絡(luò)安全問(wèn)題�����,將網(wǎng)絡(luò)安全作為一個(gè)整體工程來(lái)處理。從管理�����、網(wǎng)絡(luò)結(jié)構(gòu)�����、加密通道�����、防火墻�����、病毒防護(hù)�����、入侵檢測(cè)多方位全面對(duì)所關(guān)注的網(wǎng)絡(luò)作全面的評(píng)估�����,然后提出可行的全面解決方案�����。
綜上所述�����,入侵檢測(cè)作為一種積極主動(dòng)的安全防護(hù)技術(shù)�����,提供了對(duì)內(nèi)部攻擊�����、外部攻擊和誤操作的實(shí)時(shí)保護(hù)�����,使網(wǎng)絡(luò)系統(tǒng)在受到危害之前即攔截和響應(yīng)入侵行為�����,為網(wǎng)絡(luò)安全增加一道屏障�����。隨著入侵檢測(cè)的研究與開(kāi)發(fā),并在實(shí)際應(yīng)用中與其它網(wǎng)絡(luò)管理軟件相結(jié)合�����,使網(wǎng)絡(luò)安全可以從立體縱深�����、多層次防御的角度出發(fā)�����,形成人侵檢測(cè)�����、網(wǎng)絡(luò)管理�����、網(wǎng)絡(luò)監(jiān)控三位一體化�����,從而更加有效地保護(hù)網(wǎng)絡(luò)的安全�����。
參考文獻(xiàn)
l 吳新民.兩種典型的入侵檢測(cè)方法研究.計(jì)算機(jī)工程與應(yīng)用�����,2002�����;38(10):181—183
2 羅妍�����,李仲麟�����,陳憲.入侵檢測(cè)系統(tǒng)模型的比較.計(jì)算機(jī)應(yīng)用�����,2001�����;21(6):29~31
3 李渙洲.網(wǎng)絡(luò)安全與入侵檢測(cè)技術(shù).四川師范大學(xué)學(xué)報(bào).2001;24(3):426—428
4 張慧敏�����,何軍�����,黃厚寬.入侵檢測(cè)系統(tǒng).計(jì)算機(jī)應(yīng)用研究�����,2001�����;18(9):38—4l
第8篇
[關(guān)鍵詞] 安全模型 電子商務(wù) 網(wǎng)絡(luò) 局域網(wǎng)
一�����、引言
一個(gè)電子商務(wù)系統(tǒng)的性能如何�����,可以通過(guò)網(wǎng)絡(luò)的吞吐量�����、主機(jī)的運(yùn)算速度�����、數(shù)據(jù)庫(kù)的TPC等量化指標(biāo)來(lái)衡量�����,用戶可根據(jù)自己的業(yè)務(wù)情況�����、資金條件來(lái)選擇系統(tǒng)性能�����。而一個(gè)電子商務(wù)系統(tǒng)的安全如何�����,則是個(gè)難以量化的指標(biāo)�����,“什么事情也沒(méi)有”實(shí)際上就是安全的最高境界,而“什么事情也沒(méi)有”最容易產(chǎn)生忽視安全問(wèn)題�����。因此很好地解決系統(tǒng)的安全問(wèn)題是非常重要的�����。
二�����、動(dòng)態(tài)安全模型P2DR
由于網(wǎng)絡(luò)技術(shù)的發(fā)展和入侵技術(shù)的不斷提高�����,傳統(tǒng)的安全模式已經(jīng)不能滿足當(dāng)今的網(wǎng)絡(luò)安全需要�����。要達(dá)到理想的安全目標(biāo)�����,它更應(yīng)該是一個(gè)靈活可適應(yīng)的過(guò)程�����,它必須對(duì)你的網(wǎng)絡(luò)提供安全狀態(tài)反饋�����,迅速分清攻擊和誤操作�����,并能夠提供適當(dāng)?shù)闹匦屡渲煤晚憫?yīng)能力�����。
面對(duì)不可避免的各種攻擊�����,系統(tǒng)安全的重點(diǎn)應(yīng)放在如何在安全策略的指導(dǎo)下及時(shí)發(fā)現(xiàn)問(wèn)題�����,然后迅速響應(yīng)�����,P2DR模型就是這樣的一個(gè)動(dòng)態(tài)安全模型,它對(duì)傳統(tǒng)安全模型作了很大改進(jìn)�����,引進(jìn)了時(shí)間的概念�����,對(duì)實(shí)現(xiàn)系統(tǒng)的安全�����、評(píng)價(jià)安全狀態(tài)給出了可操作性的描述�����。所謂動(dòng)態(tài)的�����,是指安全隨著網(wǎng)絡(luò)環(huán)境的變化和技術(shù)的不斷發(fā)展進(jìn)行不斷的策略調(diào)整;所謂基于時(shí)間的�����,是指一個(gè)黑客在到達(dá)攻擊目標(biāo)之前需要攻破很多的設(shè)備(路由器�����,交換機(jī))�����、系統(tǒng)(NT, UNIX)和防火墻的障礙�����,在黑客達(dá)到目標(biāo)之前的時(shí)間�����,被稱之為防護(hù)時(shí)間Pt�����;在黑客攻擊過(guò)程中�����,檢測(cè)到他的活動(dòng)的所用時(shí)間稱之為Dt;檢測(cè)到黑客的行為后�����,需要做出響應(yīng)�����,這段時(shí)間稱之為Rt�����。
上圖為P2DR模型�����,它包含4個(gè)主要部分:Policy(安全策略)�����、Protection(防護(hù))�����、Detection(檢測(cè))�����、Response(響應(yīng)),防護(hù)�����、檢測(cè)和響應(yīng)組成了一個(gè)完整的�����、動(dòng)態(tài)的安全循環(huán)�����,在安全策略的指導(dǎo)下保證信息系統(tǒng)的安全�����。即:傳統(tǒng)的防護(hù)模式+靜態(tài)漏洞的檢測(cè)+動(dòng)態(tài)威脅的及時(shí)檢測(cè)+快速的響應(yīng)�����。
在整體的安全策略的控制和指導(dǎo)下�����,P2DR模型在綜合運(yùn)用防護(hù)工具(如:防火墻�����、操作系統(tǒng)身份認(rèn)證�����、加密等手段)的同時(shí)�����,利用檢測(cè)工具(如:漏洞評(píng)估�����、入侵檢測(cè)等系統(tǒng))了解和評(píng)估系統(tǒng)的安全狀態(tài)�����,通過(guò)適當(dāng)?shù)姆磻?yīng)將系統(tǒng)調(diào)整到“最安全”和“風(fēng)險(xiǎn)最低”的狀態(tài)�����。P2DR模型可用簡(jiǎn)單的數(shù)學(xué)公式來(lái)描述:
1. Pt>Dt+Rt
公式中Pt表示系統(tǒng)為了保護(hù)安全目標(biāo)設(shè)置各種保護(hù)后的防護(hù)時(shí)間�����,也可認(rèn)為是黑客攻擊系統(tǒng)所花的時(shí)間。Dt表示從攻擊開(kāi)始�����,系統(tǒng)能夠檢測(cè)到攻擊行為所花的時(shí)間�����。Pt為發(fā)現(xiàn)攻擊后�����,系統(tǒng)能做出足夠響應(yīng)將系統(tǒng)調(diào)整到正常狀態(tài)的時(shí)間�����。
如果系統(tǒng)能滿足上述公式�����,即:防護(hù)時(shí)間Pt大于檢測(cè)時(shí)間Dt加上響應(yīng)時(shí)間Rt�����,則認(rèn)為該系統(tǒng)為安全的�����,因?yàn)樗诠粑:ο到y(tǒng)之前就能夠檢測(cè)到并及時(shí)處理�����。
2.Et=Dt+Rt,IF Pt=0
公式中 表示系統(tǒng)的暴露時(shí)間�����。假定系統(tǒng)的防護(hù)時(shí)間Rt為0�����,對(duì)Web Server系統(tǒng)就是這樣�����,系統(tǒng)突然遭到破壞�����,則希望系統(tǒng)能快速檢測(cè)到并迅速調(diào)整到正常狀態(tài)�����,系統(tǒng)的檢測(cè)時(shí)間Dt和響應(yīng)時(shí)間Rt之和就是系統(tǒng)的暴露時(shí)間Et,該時(shí)間越小�����,系統(tǒng)安全性越好�����。
由此�����,可得出安全的新概念:及時(shí)的檢測(cè)�����、響應(yīng)和恢復(fù)就是安全�����。這樣難于量化的安全可通過(guò)指標(biāo):防護(hù)時(shí)間Rt�����、檢測(cè)時(shí)間Dt和響應(yīng)時(shí)間Rt來(lái)衡量�����,延長(zhǎng)這些指標(biāo)可提高系統(tǒng)的安全性�����。
三�����、基于P2DR模型的安全解決方案
不同的安全應(yīng)用和安全需求�����,會(huì)形成不同的安全解決方案�����,以下三種模型為典型的P2DR模型方案�����。
1.動(dòng)態(tài)安全模型
動(dòng)態(tài)安全模型(見(jiàn)表1)將傳統(tǒng)的靜態(tài)防火墻和最新的入侵檢測(cè)技術(shù)結(jié)合起來(lái),形成動(dòng)態(tài)的防御體系�����。
為了保護(hù)一個(gè)網(wǎng)絡(luò)的安全�����,很多企業(yè)都安裝了防火墻�����。防火墻在一定程度上保護(hù)我們的網(wǎng)絡(luò)系統(tǒng)不受到入侵�����,但一方面它只起到網(wǎng)關(guān)和包過(guò)濾的作用�����,有些固有的服務(wù)端口必須打開(kāi)�����,比如www服務(wù)必須要把80端口打開(kāi)�����,那么它無(wú)法阻止黑客通過(guò)80端口對(duì)內(nèi)部的網(wǎng)絡(luò)或系統(tǒng)進(jìn)行的攻擊�����,另一方面�����,防火墻無(wú)法阻止內(nèi)部人員對(duì)內(nèi)部網(wǎng)絡(luò)的攻擊�����,所以要采用實(shí)時(shí)入侵檢測(cè)系統(tǒng)對(duì)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)的監(jiān)控�����。防火墻好比一個(gè)企業(yè)的防盜門�����,實(shí)時(shí)入侵檢測(cè)系統(tǒng)好比24小時(shí)執(zhí)守的保安�����,假如一個(gè)人員非法取得鑰匙或破門而入,防盜門無(wú)法判斷進(jìn)入企業(yè)的人是壞人還是好人�����,而執(zhí)守的保安會(huì)及時(shí)判斷這個(gè)人可不可以通過(guò)�����。一旦發(fā)現(xiàn)透過(guò)防火墻的信息包具有攻擊特征�����,馬上重新調(diào)整防火墻�����,阻止入黑客的進(jìn)一步入侵�����。
2.主頁(yè)安全模型
主頁(yè)安全模型(見(jiàn)表2)將傳統(tǒng)的�����、簡(jiǎn)單的備份和恢復(fù)機(jī)制�����,通過(guò)P2DR模型給予全新的描述�����。例如�����,有一個(gè)ICP的網(wǎng)站�����,為了保護(hù)主頁(yè)和一些重要的頁(yè)面被篡改�����,或者是被入侵者篡改后能及時(shí)恢復(fù)�����,首先要對(duì)這些主頁(yè)進(jìn)行備份�����。在Web服務(wù)器在運(yùn)做過(guò)程中,還需要對(duì)這些重要頁(yè)面進(jìn)行監(jiān)控�����,比如定時(shí)檢查頁(yè)面的內(nèi)容是否發(fā)生改變�����,頁(yè)面文件的字節(jié)數(shù)是否發(fā)生變化等�����,一旦這些變化發(fā)生�����,即可判斷很可能是頁(yè)面被入侵者修改�����。一旦發(fā)現(xiàn)頁(yè)面被修改�����,立即把原來(lái)備份的頁(yè)面恢復(fù)(Restore)�����。
3.系統(tǒng)配置安全模型
系統(tǒng)配置安全模型使得用戶對(duì)自身系統(tǒng)的安全狀態(tài)和配置有比較準(zhǔn)確的認(rèn)識(shí)(見(jiàn)表3)�����。當(dāng)我們?cè)跈C(jī)器上安裝了某個(gè)系統(tǒng)�����,在正式生產(chǎn)(運(yùn)行)之前需要對(duì)系統(tǒng)進(jìn)行配置(Security Configuration)�����,比如添加用戶�����,授權(quán)�����,應(yīng)用軟件的安裝及配置等等�����。系統(tǒng)經(jīng)過(guò)一系列的調(diào)整及配置后,需要對(duì)它進(jìn)行全面的安全評(píng)估�����,也就是對(duì)它進(jìn)行漏洞的掃描(Vulnerability Scan)�����。最后根據(jù)掃描結(jié)果�����,對(duì)漏洞進(jìn)行修補(bǔ)�����,并對(duì)系統(tǒng)進(jìn)行重新的配置(Reconfig)�����。
在實(shí)際應(yīng)用中�����,可以將這些安全模型進(jìn)行有機(jī)結(jié)合�����,形成完整的系統(tǒng)安全解決方案。
四�����、小結(jié)
隨著Internet技術(shù)和規(guī)模的不斷發(fā)展�����,其應(yīng)用的范圍和領(lǐng)域也迅速擴(kuò)展�����,安全問(wèn)題日益突出�����,特別是在與金融相關(guān)的領(lǐng)域�����。在滿足系統(tǒng)所有需求的基礎(chǔ)上�����,用傳統(tǒng)的方法解決安全問(wèn)題�����,存在很多弊病�����。無(wú)論從時(shí)間�����,還是從現(xiàn)有的知識(shí)水平來(lái)看�����,我們都不可能從一開(kāi)始就能將安全問(wèn)題及相應(yīng)的解決方案考慮得滴水不漏�����。安全是動(dòng)態(tài)的�����,它隨著新技術(shù)的不斷發(fā)展而發(fā)展,它集技術(shù)�����、管理和法規(guī)綜合作用為一體�����,因此對(duì)安全問(wèn)題的解決要有一個(gè)整體框架�����,并體現(xiàn)其動(dòng)態(tài)性�����。
安全是一項(xiàng)系統(tǒng)工程�����,除在網(wǎng)絡(luò)設(shè)計(jì)�����、硬件和軟件配置及使用中要高度重視外�����,還必須建立和完善網(wǎng)絡(luò)安全管理制度�����,使管理人員和網(wǎng)絡(luò)用戶牢固樹(shù)立安全和法律意識(shí)�����,做到網(wǎng)絡(luò)安全管理的法制化和規(guī)范化�����,有效的落實(shí)安全管理制度是實(shí)現(xiàn)安全的關(guān)鍵�����。從理論上講�����,絕對(duì)安全的網(wǎng)絡(luò)是沒(méi)有的�����,但通過(guò)各方面的努力,可以將網(wǎng)絡(luò)潛在的危險(xiǎn)性降到最低限度�����。
參考文獻(xiàn):
[1]周松華:基于資源的電子商務(wù)自動(dòng)協(xié)商模型研究[D].廣州:華南師范大學(xué)碩士學(xué)位論文,2005
[2]Frank Teuteberg, Karl Kurbel, Anticipating Agents’ Negotiation Strategies in an E-marketplace Using Belief Models. Business Informatics, 2002
