序言:寫作是分享個人見解和探索未知領(lǐng)域的橋梁,我們?yōu)槟x了8篇的防火墻技術(shù)論文樣本�����,期待這些樣本能夠為您提供豐富的參考和啟發(fā)���,請盡情閱讀。
第1篇
本文通過了解防火墻四種基本類型:包過濾型�����、網(wǎng)絡(luò)地址轉(zhuǎn)換—NAT�����、型和監(jiān)測型的不同特點����、重要性,進一步分析了網(wǎng)絡(luò)安全防火墻技術(shù)����。
【關(guān)鍵詞】網(wǎng)絡(luò)防火墻服務(wù)器
緒論
作為內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)絡(luò)之間的第一道屏障,防火墻是最先受到人們重視的網(wǎng)絡(luò)安全產(chǎn)品之一。雖然從上看,防火墻處于網(wǎng)絡(luò)安全的最底層,負(fù)責(zé)網(wǎng)絡(luò)間的安全認(rèn)證與傳輸,但隨著網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷變化,防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次,不僅要完成傳統(tǒng)防火墻的過濾任務(wù),同時還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)�。另外還有多種防火墻產(chǎn)品正朝著數(shù)據(jù)安全與用戶認(rèn)證、防止病毒與黑客侵入等方向發(fā)展�。
根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型:包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換—NAT����、型和監(jiān)測型。
一����、包過濾型
包過濾型產(chǎn)品是防火墻的初級產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個數(shù)據(jù)包中都會包含一些特定信息,如數(shù)據(jù)的源地址�����、目標(biāo)地址��、TCP/UDP源端口和目標(biāo)端口等���。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點,一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包,防火墻便會將這些數(shù)據(jù)拒之門外�����。系統(tǒng)管理員也可以根據(jù)實際情況靈活制訂判斷規(guī)則����。包過濾技術(shù)的優(yōu)點是簡單實用,實現(xiàn)成本較低,在環(huán)境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統(tǒng)的安全�����。但包過濾技術(shù)的缺陷也是明顯的�。包過濾技術(shù)是一種完全基于層的安全技術(shù),只能根據(jù)數(shù)據(jù)包的來源、目標(biāo)和端口等網(wǎng)絡(luò)信息進行判斷,無法識別基于應(yīng)用層的惡意侵入,如惡意的Java小程序以及郵件中附帶的病毒���。有經(jīng)驗的黑客很容易偽造IP地址,騙過包過濾型防火墻�。
二����、網(wǎng)絡(luò)地址轉(zhuǎn)化—NAT
網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時的、外部的�、注冊的IP地址標(biāo)準(zhǔn)。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)���。它還意味著用戶不許要為其網(wǎng)絡(luò)中每一臺機器取得注冊的IP地址���。在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時�����,將產(chǎn)生一個映射記錄��。系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口����,讓這個偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接�����,這樣對外就隱藏了真實的內(nèi)部網(wǎng)絡(luò)地址���。在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時����,它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況����,而只是通過一個開放的IP地址和端口來請求訪問。OLM防火墻根據(jù)預(yù)先定義好的映射規(guī)則來判斷這個訪問是否安全。當(dāng)符合規(guī)則時��,防火墻認(rèn)為訪問是安全的���,可以接受訪問請求,也可以將連接請求映射到不同的內(nèi)部機中����。當(dāng)不符合規(guī)則時,防火墻認(rèn)為該訪問是不安全的�����,不能被接受���,防火墻將屏蔽外部的連接請求���。網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對于用戶來說是透明的,不需要用戶進行設(shè)置���,用戶只要進行常規(guī)操作即可�����。
三�����、型
型防火墻也可以被稱為服務(wù)器,它的安全性要高于包過濾型產(chǎn)品,并已經(jīng)開始向應(yīng)用層���。服務(wù)器位于客戶機與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流。從客戶機來看,服務(wù)器相當(dāng)于一臺真正的服務(wù)器;而從服務(wù)器來看,服務(wù)器又是一臺真正的客戶機����。當(dāng)客戶機需要使用服務(wù)器上的數(shù)據(jù)時,首先將數(shù)據(jù)請求發(fā)給服務(wù)器,服務(wù)器再根據(jù)這一請求向服務(wù)器索取數(shù)據(jù),然后再由服務(wù)器將數(shù)據(jù)傳輸給客戶機。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒有直接的數(shù)據(jù)通道,外部的惡意侵害也就很難傷害到內(nèi)部網(wǎng)絡(luò)系統(tǒng)�����。
型防火墻的優(yōu)點是安全性較高,可以針對應(yīng)用層進行偵測和掃描,對付基于應(yīng)用層的侵入和病毒都十分有效��。其缺點是對系統(tǒng)的整體性能有較大的,而且服務(wù)器必須針對客戶機可能產(chǎn)生的所有應(yīng)用類型逐一進行設(shè)置,大大增加了系統(tǒng)管理的復(fù)雜性��。
四���、監(jiān)測型
監(jiān)測型防火墻是新一代的產(chǎn)品�����,這一技術(shù)實際已經(jīng)超越了最初的防火墻定義�����。監(jiān)測型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進行主動的��、實時的監(jiān)測,在對這些數(shù)據(jù)加以的基礎(chǔ)上,監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入��。同時,這種檢測型防火墻產(chǎn)品一般還帶有分布式探測器,這些探測器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點之中,不僅能夠檢測來自網(wǎng)絡(luò)外部的攻擊,同時對來自內(nèi)部的惡意破壞也有極強的防范作用�����。據(jù)權(quán)威機構(gòu)統(tǒng)計,在針對網(wǎng)絡(luò)系統(tǒng)的攻擊中,有相當(dāng)比例的攻擊來自網(wǎng)絡(luò)內(nèi)部���。因此,監(jiān)測型防火墻不僅超越了傳統(tǒng)防火墻的定義,而且在安全性上也超越了前兩代產(chǎn)品
雖然監(jiān)測型防火墻安全性上已超越了包過濾型和服務(wù)器型防火墻,但由于監(jiān)測型防火墻技術(shù)的實現(xiàn)成本較高,也不易管理,所以在實用中的防火墻產(chǎn)品仍然以第二代型產(chǎn)品為主,但在某些方面也已經(jīng)開始使用監(jiān)測型防火墻?���;趯ο到y(tǒng)成本與安全技術(shù)成本的綜合考慮,用戶可以選擇性地使用某些監(jiān)測型技術(shù)。這樣既能夠保證網(wǎng)絡(luò)系統(tǒng)的安全性需求,同時也能有效地控制安全系統(tǒng)的總擁有成本���。
第2篇
關(guān)鍵詞:計算機 信息系統(tǒng) 安全
一�����、面臨的主要威脅
1��、內(nèi)部竊密和破壞�����。內(nèi)部人員可能對網(wǎng)絡(luò)系統(tǒng)形成下列威脅:內(nèi)部人員有意或無意泄密����、更改記錄信息;內(nèi)部非授權(quán)人員有意無意偷竊機密信息、更改網(wǎng)絡(luò)配置和記錄信息;內(nèi)部人員破壞網(wǎng)絡(luò)系統(tǒng)�。
2、截收��。攻擊者可能通過搭線或在電磁波輻射的范圍內(nèi)安裝截收裝置等方式,截獲機密信息,或通過對信息流和流向����、通信頻度和長度等參數(shù)的分析,推出有用信息。它不破壞傳輸信息的內(nèi)容,不易被查覺�。
3、非法訪問���。非法訪問指的是未經(jīng)授權(quán)使用網(wǎng)絡(luò)資源或以未授權(quán)的方式使用網(wǎng)絡(luò)資源,它包括非法用戶如黑客進入網(wǎng)絡(luò)或系統(tǒng)進行違法操作,合法用戶以未授權(quán)的方式進行操作�����。
4���、破壞信息的完整性�。攻擊可能從三個方面破壞信息的完整性:改變信息流的次序�、時序,更改信息的內(nèi)容、形式;刪除某個消息或消息的某些部分;在消息中插入一些信息,讓收方讀不懂或接收錯誤的信息�。
5、冒充��。攻擊者可能進行下列冒充:冒充領(lǐng)導(dǎo)命令����、調(diào)閱文件;冒充主機欺騙合法主機及合法用戶;冒充網(wǎng)絡(luò)控制程序套取或修改使用權(quán)限����、口令、密鑰等信息,越權(quán)使用網(wǎng)絡(luò)設(shè)備和資源;接管合法用戶��、欺騙系統(tǒng)���、占用合法用戶的資源�����。
6��、破壞系統(tǒng)的可用性��。攻擊者可能從下列幾個方面破壞網(wǎng)絡(luò)系統(tǒng)的可用性:使合法用戶不能正常訪問網(wǎng)絡(luò)資源;使有嚴(yán)格時間要求的服務(wù)不能及時得到響應(yīng);摧毀系統(tǒng)���。
7����、重演�。重演指的是攻擊者截獲并錄制信息,然后在必要的時候重發(fā)或反復(fù)發(fā)送這些信息。
8�、抵賴?����?赡艹霈F(xiàn)下列抵賴行為:發(fā)信者事后否認(rèn)曾經(jīng)發(fā)送過某條消息;發(fā)信者事后否認(rèn)曾經(jīng)發(fā)送過某條消息的內(nèi)容;發(fā)信者事后否認(rèn)曾經(jīng)接收過某條消息;發(fā)信者事后否認(rèn)曾經(jīng)接收過某條消息的內(nèi)容���。
9��、其它威脅�����。對網(wǎng)絡(luò)系統(tǒng)的威脅還包括計算機病毒��、電磁泄漏����、各種災(zāi)害、操作失誤等�����。
二���、防火墻技術(shù)
防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù),越來越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境之中,尤其以接入Internet網(wǎng)絡(luò)為甚。防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合�����。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)企業(yè)的安全政策控制(允許����、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流,且本身具有較強的抗攻擊能力��。它是提供信息安全服務(wù),實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施�����。在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動,保證了內(nèi)部網(wǎng)絡(luò)的安全。防火墻是網(wǎng)絡(luò)安全的屏障:一個防火墻(作為阻塞點��、控制點)能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性,并通過過濾不安全的服務(wù)而降低風(fēng)險�。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻,所以網(wǎng)絡(luò)環(huán)境變得更安全。防火墻可以強化網(wǎng)絡(luò)安全策略:通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令��、加密�、身份認(rèn)證、審計等)配置在防火墻上�����。對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計:如果所有的訪問都經(jīng)過防火墻,那么,防火墻就能記錄下這些訪問并做出日志記錄,同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)��。
三�、入侵檢測技術(shù)
IETF將一個入侵檢測系統(tǒng)分為四個組件:事件產(chǎn)生器(Event Generators);事件分析器(Event An-alyzers);響應(yīng)單元(Response Units)和事件數(shù)據(jù)庫(Event Data Bases)。事件產(chǎn)生器的目的是從整個計算環(huán)境中獲得事件,并向系統(tǒng)的其他部分提供此事件�。事件分析器分析得到的數(shù)據(jù),并產(chǎn)生分析結(jié)果。響應(yīng)單元則是對分析結(jié)果做出反應(yīng)的功能單元,它可以做出切斷連接��、改變文件屬性等強烈反應(yīng),也可以只是簡單的報警�����。事件數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱,它可以是復(fù)雜的數(shù)據(jù)庫,也可以是簡單的文本文件。
四��、數(shù)據(jù)加密技術(shù)
數(shù)據(jù)加密技術(shù)是網(wǎng)絡(luò)中最基本的安全技術(shù),主要是通過對網(wǎng)絡(luò)中傳輸?shù)男畔⑦M行數(shù)據(jù)加密來保障其安全性�����。加密是一種限制對網(wǎng)絡(luò)上傳輸數(shù)據(jù)的訪問權(quán)的技術(shù)�����。原始數(shù)據(jù)(也稱為明文,plaintext)被加密設(shè)備(硬件或軟件)和密鑰加密而產(chǎn)生的經(jīng)過編碼的數(shù)據(jù)稱為密文(ciphertext)�。將密文還原為原始明文的過程稱為解密,它是加密的反向處理,但解密者必須利用相同類型的加密設(shè)備和密鑰,才能對密文進行解密。數(shù)據(jù)加密類型可以簡單地分為三種:一是根本不考慮解密問題;二是私用密鑰加密技術(shù);三是公開密鑰加密技術(shù)�����。
五�、安全協(xié)議
安全協(xié)議的建立和完善,是計算機網(wǎng)絡(luò)信息安全保密走上規(guī)范化�、標(biāo)準(zhǔn)化道路的基本因素.目前已開發(fā)應(yīng)用的安全協(xié)議有以下5種:(1)加密協(xié)議.一能用于把保密數(shù)據(jù)轉(zhuǎn)換成公開數(shù)據(jù),在公用網(wǎng)中自由發(fā)送:二能用于授權(quán)控制,無關(guān)人員無法解讀。(2)密鑰管理協(xié)議��。包括密鑰的生成���、分類���、存儲��、保護��、公證等協(xié)議.(3)數(shù)據(jù)驗證協(xié)議��。包括數(shù)據(jù)解壓�����、數(shù)據(jù)驗證��、數(shù)字簽名����。(4)安全審計協(xié)議��。包括與安全有關(guān)的事件,如數(shù)據(jù)事件的探測�����、收集�����、控制。(5)防護協(xié)議��。除防病毒卡�����、千擾儀����、防泄露等物理性防護措施外,還用于對信息系統(tǒng)自身保護的數(shù)據(jù)(審計表等)和各種秘密參數(shù)(用戶口令、密鑰等)進行保護,以增強反網(wǎng)絡(luò)入侵功能�����。
參考文獻:
[1]丁霞軍.基于ASP的管理信息系統(tǒng)開發(fā)及其安全性研究(學(xué)位論文).安徽:安徽理工大學(xué),2005
第3篇
論文摘要:隨著當(dāng)代信息技術(shù)的發(fā)展��,互聯(lián)網(wǎng)的共享性���、開放性以及互聯(lián)程度也在不斷擴大�����。internet的廣泛普及,商業(yè)數(shù)字貨幣、網(wǎng)絡(luò)銀行等一部分網(wǎng)絡(luò)新業(yè)務(wù)的迅速興起�����,使得計算機網(wǎng)絡(luò)的安全問題越來越顯得重要���,通過歸納總結(jié)�����,提出網(wǎng)絡(luò)信息中的一些安全防護策略����。
1.引言
網(wǎng)絡(luò)環(huán)境的復(fù)雜性�����、多變性以及信息系統(tǒng)的脆弱性�,決定了網(wǎng)絡(luò)安全威脅的客觀存在。當(dāng)前����,隨著計算機技術(shù)的飛速發(fā)展,利用因特網(wǎng)高科技手段進行經(jīng)濟商業(yè)犯罪的現(xiàn)象已經(jīng)屢見不鮮了���,因此���,如何采用更加安全的數(shù)據(jù)保護及加密技術(shù)��,成為當(dāng)前計算機工作者的研究熱點與重點����。網(wǎng)絡(luò)安全技術(shù)��,尤其是網(wǎng)絡(luò)信息的安全�����,關(guān)系到網(wǎng)民�����、企業(yè)甚至是國家的信息安全����。因此,發(fā)展更加安全的網(wǎng)絡(luò)安全技術(shù)��,是關(guān)系到社會經(jīng)濟穩(wěn)定繁榮發(fā)展的關(guān)鍵�����,成為當(dāng)前計算機安全工作的重點��。
2.網(wǎng)絡(luò)信息安全的風(fēng)險來源
影響計算機網(wǎng)絡(luò)安全的因索很多���,既有自然因素�����,也有人為因素�����,其中人為因素危害較大���,歸結(jié)起來豐要以下幾個方面:
(1)病毒感染
從“蠕蟲”病毒開始到cih、愛蟲病毒��,病毒一直是計算機系統(tǒng)安全最直接的威脅����。病毒依靠網(wǎng)絡(luò)迅速傳播,它很容易地通過服務(wù)器以軟件下載�、郵件接收等方式進入網(wǎng)絡(luò)���,竊取網(wǎng)絡(luò)信息,造成很人的損失�。
(2)來自網(wǎng)絡(luò)外部的攻擊
這是指來自局域網(wǎng)外部的惡意攻擊,例如:有選擇地破壞網(wǎng)絡(luò)信息的有效性和完整性��;偽裝為合法用戶進入網(wǎng)絡(luò)并占用大量資源���;修改網(wǎng)絡(luò)數(shù)據(jù)�、竊取�、破譯機密信息、破壞軟件執(zhí)行���;在中間站點攔截和讀取絕密信息等����。
(3)來自網(wǎng)絡(luò)內(nèi)部的攻擊
在局域網(wǎng)內(nèi)部���,一些非法用戶冒用合法用戶的口令以合法身份登陸網(wǎng)站后��。竊取機密信息�����,破壞信息內(nèi)容����,造成應(yīng)用系統(tǒng)無法運行。
(4)系統(tǒng)的漏洞及“后門”
操作系統(tǒng)及網(wǎng)絡(luò)軟件不可能是百分之百的無缺陷��、無漏洞的���。編程人員有時會在軟件中留有漏洞。一旦這個疏漏被不法分子所知����,就會借這個薄弱環(huán)節(jié)對整個網(wǎng)絡(luò)系統(tǒng)進行攻擊,大部分的黑客入侵網(wǎng)絡(luò)事件就是由系統(tǒng)的“漏洞” 和“后門”所造成的�����。
3.網(wǎng)絡(luò)信息安全的防護策略
現(xiàn)在網(wǎng)絡(luò)信息安全的防護措施必不可少�。從技術(shù)上來說,計算機網(wǎng)絡(luò)安全主要由防病毒�、入侵檢測等多個安全組件組成,就此對我們常用的幾項防護技術(shù)分別進行分析��。
3.1防火墻技術(shù)
防火墻(ifrewal1)是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的系列部件的組合����,它越來越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境之中�����,尤其以接入internet網(wǎng)絡(luò)為甚��。不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安拿域之間信息都會經(jīng)過它的過濾�����,防火墻就會根據(jù)自身的安全政策控制(允許�����、拒絕�����、監(jiān)測)出入網(wǎng)絡(luò)的信息流��,而且它本身也具有較強的抗攻擊能力�,不會被病毒控制�����。防火墻可以阻j網(wǎng)絡(luò)中的黑客來訪問你的機器,防止他們篡改����、拷貝、毀壞你的重要信息����。它為網(wǎng)絡(luò)信息的安全提供了很好的服務(wù),為我們更安全地使用網(wǎng)絡(luò)提供了很好的保障�����。
“防火墻”技術(shù)是指假設(shè)被保護網(wǎng)絡(luò)具有明確定義的邊界和服務(wù)而采取的一種安全保障技術(shù)���,它通過監(jiān)測、限制和更改通過“防火墻”的數(shù)據(jù)流�����,一方面盡可能地對外部網(wǎng)絡(luò)屏蔽被保護網(wǎng)絡(luò)的信息���、結(jié)構(gòu)���,實現(xiàn)對內(nèi)部網(wǎng)絡(luò)的保護�,以防“人放火”����;另一方面對內(nèi)屏蔽外部某些危險站點,防止“引火燒身”��。因而�����,比較適合于相對獨立�、與外部網(wǎng)絡(luò)互聯(lián)單一、明確并且網(wǎng)絡(luò)服務(wù)種類相對集中的統(tǒng)一互聯(lián)網(wǎng)絡(luò)系統(tǒng)�。防火墻可對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計,如果所有的訪問都經(jīng)過防火墻�����,那么,防火墻就能記錄下這些訪問并做出日志記錄����,同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。
通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分����,可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離,從而限制了局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響�。除了安全作用����,有的防火墻還支持具有internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系vpn�。vpn,可以將分部在世界各地的lan或?qū)S秒娮泳W(wǎng)有機地聯(lián)成一個整體。這樣一方面省去了專用通信線路�����,也達到了信息共享的目的��。
3.2數(shù)據(jù)加密技術(shù)
數(shù)據(jù)加密技術(shù)是網(wǎng)絡(luò)中最藎木的安傘技術(shù)����,主要是通過對網(wǎng)絡(luò)傳輸?shù)男畔⑦M行數(shù)據(jù)加密來保障其安全性。加密是對網(wǎng)絡(luò)上傳輸數(shù)據(jù)的訪問權(quán)加強限制的一種技術(shù)。原始數(shù)據(jù)(也稱為明文���,plaintext)被加密設(shè)備(硬件或軟件)和密鑰加密而產(chǎn)生的經(jīng)過編碼的數(shù)據(jù)稱為密文(ciphertext)。解密是加密的反向處理,是將密文還原為原始明文���,但解秘者必須利用相同類型的加密設(shè)備和密鑰,才能對密文進行解密����。
3.3入侵檢測技術(shù)
入侵檢測系統(tǒng)(intrusiondetectionsystem��,ids)是從多種計算機系統(tǒng)及網(wǎng)絡(luò)系統(tǒng)中收集信息�����,再通過這些信息分析�����,對計算機和網(wǎng)絡(luò)資源的惡意使用行為進行識別的網(wǎng)絡(luò)信息安全系統(tǒng)。入侵檢測系統(tǒng)具有多方面的功能:威懾、檢測����、響應(yīng)��、損失情況評估��、攻擊預(yù)測和起訴支持等。入侵檢測技術(shù)是為保證計算機信息系統(tǒng)安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中朱授權(quán)或異常現(xiàn)象的技術(shù),是一種用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為的技術(shù)��。
3.4病毒防護
可采用如下的方法或措施:
(1)合理設(shè)置殺毒軟什����,如果安裝的殺毒軟什具備掃描電郵件的功能�����,盡量將這些功能傘部打開���;
(2)定期檢查敏感文件;
(3)采取必要的病毒檢測和監(jiān)控措施����;
(4)對新購的硬盤����、軟盤、軟件等資源,使用前應(yīng)先用病毒測試軟件檢查已知病毒,硬盤可以使用低級格式化(dos中的format格式化可以去抻軟盤中的病毒,但不能清除硬盤引導(dǎo)的病毒)�����;
(5)慎重對待郵件附件��,如果收到郵件中有可執(zhí)行文件(如.exe�����、.com等)或者帶有“宏”的文殺一遍,確認(rèn)沒有病毒后再打開����;
(6)及時升級郵件程序和操作系統(tǒng),以修補所有已知的安全漏洞。
3.5身份認(rèn)證技術(shù)
身份認(rèn)證(authentication)是系統(tǒng)核查用戶身份證明的過程�����,其實質(zhì)是查明用戶是否具仃它所請求資源的存儲使用權(quán)����。身份識別(identificaiion)是指用戶向系統(tǒng)出示自己的身份證明的過程�����。這兩項上作通常被稱為身份認(rèn)證�����。
身份認(rèn)證至少應(yīng)包括驗證協(xié)議和授權(quán)協(xié)議��。網(wǎng)絡(luò)中的各種應(yīng)用和計算機系統(tǒng)都需要通過身份認(rèn)證來確認(rèn)合法性��,然后確定它的個人數(shù)據(jù)和特定權(quán)限�。對于身份認(rèn)證系統(tǒng)來說�����,合法用戶的身份是否易于被別人冒充足它最重要的技術(shù)指標(biāo)����。用戶身份被冒充不儀可能損害用戶自身的利益����,也可能損害其他用戶的利益或整個系統(tǒng)����。因此�,身份認(rèn)證是授權(quán)控制的基礎(chǔ)。只有有效的身份認(rèn)證,才能保證訪問控制��、安全審計、入侵防范等安全機制的有效實施。
安裝必要的安全軟件�,殺毒軟件和防火墻這些都是必備的����,而且還要安裝并使用必要的防黑軟件�����。我們一定要把這些安全防護措施及時應(yīng)在電腦中����,在上網(wǎng)時一定要打開它們����。最后要及時給系統(tǒng)打補丁��,建議人家下載自己的操作系統(tǒng)對應(yīng)的補丁程序����,這是我們網(wǎng)絡(luò)安全的恭礎(chǔ)。
第4篇
關(guān)鍵詞:流過濾技術(shù);IPv6;IPSec;防火墻
中圖分類號:TP393 文獻標(biāo)識碼:A文章編號:1007-9599 (2010) 07-0000-01
IPv6 Firewall Study Based on Flow Filtering Technology
Wang Wei,Liu DiHua
(Changchun University,Computer Science&Engineering College,Changchun130012,China)
Abstract:The most effective and simplest network security tool is firewall,one flow filtering technology as shirt-sleeve the state detection packet-filtering technology and applications of the technology,acting as the latest firewall technology growing more and more concern,IPv6 as the next generation of network address replaced IPv4 is inevitable,so the filtration technology based on the study of IPv6 firewall is also a research hotspot.
Keywords:Flow Filtering technology;IPv6;IPSec;Firewall
一�����、引言
隨著計算機網(wǎng)絡(luò)的迅猛發(fā)展,網(wǎng)絡(luò)安全問題變得日趨嚴(yán)重����。而防火墻作為最簡單、最有效的網(wǎng)絡(luò)安全工具顯得尤為重要����。傳統(tǒng)防火墻包括簡單包過濾防火墻���、狀態(tài)檢測包過濾防火墻����、應(yīng)用防火墻等,它們都有各自的優(yōu)點,但也存在著不容忽視的缺點。而“流過濾”技術(shù)融合了包過濾和應(yīng)用的安全性和優(yōu)點,克服了包過濾和應(yīng)用的諸多缺陷,代表了一種全新的防火墻技術(shù)結(jié)構(gòu)�。在大家紛紛開始關(guān)注應(yīng)用層安全的今天,“流過濾”技術(shù)架構(gòu)更加顯示了其前瞻性和先進性。
目前我們使用的是第二代互聯(lián)網(wǎng)IPv4技術(shù),核心技術(shù)屬于美國��。它的最大問題是網(wǎng)絡(luò)地址資源有限,從理論上講,我們都知道IPv4地址用32位二進制表示,編址1600萬個網(wǎng)絡(luò)��、40億臺主機���。其中北美占有3/4,約30億個,而人口最多的亞洲只有不到4億個,中國只有3千多萬個��。而對于互聯(lián)網(wǎng)飛速發(fā)展的今天,占全球網(wǎng)民大多數(shù)的亞洲來說,IP地址緊缺已經(jīng)是一個破在眉睫的問題,IPv4地址確實是要用光了,而這件事很快就要發(fā)生了���。那么擴充資源的最直接的辦法就是擴大IP地址的空間,另一方面,Ipv4在實際的使用中也暴露了一些問題。在這樣的環(huán)境下,Ipv6應(yīng)運而生,Ipv6取代Ipv4是必然的�����。
可見,針對基于流過濾技術(shù)的Ipv6防火墻的研究是一個新的研究熱點�。
二、流過濾的研究
流過濾技術(shù)工作在鏈路層或IP層,是融合了包過濾技術(shù)和應(yīng)用技術(shù)安全性的一種全新的防火墻技術(shù),不但克服了包過濾和應(yīng)用的諸多缺陷,而且融合了它們的優(yōu)點�����。其基本原理是以狀態(tài)包過濾的形態(tài)實現(xiàn)對應(yīng)用層的保護,通過內(nèi)嵌專門實現(xiàn)的TCP協(xié)議棧,在狀態(tài)檢測包過濾的技術(shù)上實現(xiàn)了透明的應(yīng)用信息過濾機制。具體來說,就是客戶端在規(guī)則允許下,兩端可以直接訪問,但是對于任何一個被規(guī)則允許的訪問在防火墻內(nèi)部都存在兩個完全獨立的TCP會話,數(shù)據(jù)以“流”的方式從一個會話流向另一個會話,有防火墻應(yīng)用層策略位于流的中間,因此可以在任何時候代替服務(wù)器或客戶機端參與應(yīng)用層的會話,從而起到了與應(yīng)用防火墻相同的控制能力,產(chǎn)生了防火墻的功效����。
流過濾的結(jié)構(gòu)繼承了包過濾防火墻和應(yīng)用的特點,因而非常容易部署,消耗資源少、效率高且抗攻擊能力也高�。并且由于應(yīng)用層安全策略與網(wǎng)絡(luò)層安全策略是緊密的,所以在任何一種部署下都能夠起到相同的保護作用。
三��、IPv6防火墻的研究
IPv6的采用,為我們設(shè)計防火墻系統(tǒng)提供了一個新思路,即能否把保密和認(rèn)證機制融入到防火墻中,并形成統(tǒng)一的標(biāo)準(zhǔn),這將使得防火墻更加完善和安全�。RCF1825定義了IPSec,它提供了IP的安全性體系結(jié)構(gòu)。它對于目前使用最廣泛的IPv4協(xié)議和各國政府大力發(fā)展的下一代的IP版本IPv6協(xié)議都能提供良好的支持,IPSec協(xié)議可以給運行于IP層的任何一個協(xié)議提供安全保護��。IPSec是IPv4可選的功能,在IPV6里則是一個必選安全子集��。在IPSec出現(xiàn)之前,一般是采用在HTTP下加入SSL層為WEB訪問和其他應(yīng)用程序提供安全保護,SSL只能作用于使用它的程序,不能提供全面的安全保護�����。而一般的機構(gòu)則是一直采用鏈路層加密,即對每個通信一對一加密設(shè)備進行保護,盡管這種系統(tǒng)提供良好的數(shù)據(jù)安全機制,但不能保證鏈路兩端以及其通信節(jié)點都是安全的,所以鏈路層保護基本上不能獲得更好更廣泛的應(yīng)用����。IPSec在IPv6中更容易實現(xiàn),它為IP提供訪問控制、數(shù)據(jù)源的身份驗證�����、數(shù)據(jù)完整性檢查�、機密性保證以及抗重播攻擊等安全機制。
IPSec由認(rèn)證頭頭協(xié)議(AH)���、封裝安全載荷協(xié)議(ESP)����、密匙管理協(xié)議(IKE)和一些認(rèn)證及加密算法等組成,主要采用了8個RFC文檔進行定義��。
其中IKE是一種混合協(xié)議,負(fù)責(zé)密匙的產(chǎn)生�、分發(fā)與交換,它由SA和密鑰管理協(xié)議(ISAKMP)以及兩種密鑰交換協(xié)議OAKLEY與SKEME組成用于協(xié)商信源節(jié)點和信宿節(jié)點間保護IP報文的AH和ESP的相關(guān)參數(shù),如加密、認(rèn)證的算法和密鑰�、密鑰生存期等,稱之為安全聯(lián)盟。其中AH和ESP是網(wǎng)絡(luò)層協(xié)議,IKE是應(yīng)用層協(xié)議,使用的是UDP數(shù)據(jù)報格式�����。AH字段為IP數(shù)據(jù)報提供了完整��、身份驗證,并且防止重放攻擊����。ESP頭提供了數(shù)據(jù)報的機密,通過使用公共密鑰加密對數(shù)據(jù)來源進行身份驗證,防止重放攻擊和通過使用安全網(wǎng)關(guān)來提供有限的業(yè)務(wù)料機密性��。IKE協(xié)議用于協(xié)商AH和ESP協(xié)議所使用的密碼算法,并將算法所需的必備密鑰放在合適的位置��。
IPSec具有兩種操作模式:傳輸模式和隧道模式,在傳輸模式下,IPSec對數(shù)據(jù)進行加密,原始的IP幀頭不發(fā)生改變,這樣的優(yōu)點是每個IP分組只增加幾個字節(jié),但網(wǎng)絡(luò)中的中間節(jié)點能看到源地址和目標(biāo)地址,通過一些特殊的手段可以對數(shù)據(jù)包進行分析,傳輸模式無法阻止入侵者對數(shù)據(jù)進行分析,但可以保證IP數(shù)據(jù)的保密性���。隧道模式下對整個IP包進行加密重新生成新的IP幀頭和IPSec標(biāo)頭,這樣的好處是由發(fā)送端路由器進行加密,接受端路由進行解密,終端設(shè)備不用因為使用IPSec協(xié)議而發(fā)生改變,減少了應(yīng)用成本,而且入侵者無法獲得實際的目標(biāo)地址和源地址,也無法對數(shù)據(jù)進行分析。
IPSec傳輸模式只有在源系統(tǒng)和目標(biāo)系統(tǒng)都具有IPSec功能時才可以采用,所以在很多情況下一般采用隧道模式,可樣可以在不改變服務(wù)器或主機的操作系統(tǒng)和應(yīng)用軟件的情況下使用IPSec�。
四、基于流過技術(shù)的IPv6防火墻的研究
(一)基于流過技術(shù)的IPv6防火墻的設(shè)計策略
本文設(shè)計的防火墻將采用屏蔽子網(wǎng)的防火墻系統(tǒng)結(jié)構(gòu),在這個基礎(chǔ)上解決IPSec與防火墻的兼容問題;并且在堡壘主機中添加了流過濾模塊,對應(yīng)用層進行了更好的保護���。
屏蔽子網(wǎng)的IPv6防火墻體系結(jié)構(gòu)圖:
屏蔽子網(wǎng)防火墻系統(tǒng)層次結(jié)構(gòu)示意圖:
在IPv6網(wǎng)絡(luò)通信中,網(wǎng)絡(luò)傳輸?shù)腎Pv6報文都是密文,防火墻無法獲得端口等信息進行過濾�����。為解決這一問題,本文在采用屏蔽子網(wǎng)防火墻系統(tǒng)結(jié)構(gòu)的基礎(chǔ)上,提出了解決方案���。
兩個分組過濾路由器和一個堡壘主機,它們單獨構(gòu)成一個子網(wǎng),位于內(nèi)部子網(wǎng)和Internet之間,稱之為屏蔽子網(wǎng)。外部路由器介于Internet與屏蔽子網(wǎng)之間,而內(nèi)部路由器介于屏蔽子網(wǎng)與內(nèi)部可信子網(wǎng)之間,兩個路由器可進行不同級別的過濾,屏蔽子網(wǎng)只允許Internet和內(nèi)部子網(wǎng)接入到堡壘主機中,但試圖繞過它的流量都將被阻塞掉�。
下面我們介紹其實現(xiàn):
1.外部路由器只需對不加密的報文部分進行過濾。如:由于IPv6采用了IPSec機制,所以外部路由器只需對外部數(shù)據(jù)報頭中的源地址及網(wǎng)關(guān)地址等明文信息進行過濾;對于IPv4報文中IPSec是可選部分,而且大多用在VPN中,所以外部路由器也可對沒加密的IPv4報文進行過濾;這樣大大減輕了堡壘主機的負(fù)荷�����。
2.堡壘主機接收到外部路由器轉(zhuǎn)發(fā)的數(shù)據(jù)包后,去掉外部IP頭,通過SPI(安全參數(shù)索引)計算密鑰,對實際的數(shù)據(jù)包進行解密或?qū)H數(shù)據(jù)報頭校驗,沒有通過認(rèn)證的丟棄;通過認(rèn)證的再通過過濾規(guī)則對其進行過濾:如果為允許通過的包,若為關(guān)鍵報文,交由傳輸層,由傳輸層將報文交給應(yīng)用層����。堡壘主機通過流過濾模塊對關(guān)鍵報文進行數(shù)據(jù)包重組之后通過流過濾規(guī)則過濾掉系統(tǒng)認(rèn)為不安全的業(yè)務(wù),從而實現(xiàn)了對應(yīng)用層的保護�。如果為非關(guān)鍵報文就直接交給包過濾進行過濾,如為允許包就通過,否則就阻塞���。堡壘主機將通過以上過濾的分組進行重新打包,發(fā)向內(nèi)部路由器,并根據(jù)規(guī)則對丟棄的分組進行處理。
3.內(nèi)部路由器接受到來自堡壘主機的流量,首先根據(jù)源地址�����、源端口等信息以及內(nèi)網(wǎng)各主機的安全級別進行再次過濾,然后根據(jù)該分組的內(nèi)網(wǎng)實際地址,對該分組進行ESP封裝加密(密鑰的來源可取自堡壘主機),然后轉(zhuǎn)發(fā)該分組至目的端��。而內(nèi)部路由器在處理由內(nèi)網(wǎng)通往外網(wǎng)的流量時,首先對該分組解密,然后根據(jù)各主機的不同權(quán)限和該系統(tǒng)的安全策略進行過濾,通過的流量由堡壘主機進行封裝加密后轉(zhuǎn)發(fā)�����。若內(nèi)網(wǎng)各主機有不同的安全級別(如:一些保密單位主機要求限制對其的訪問),可強制所有通往保密主機的流量都由內(nèi)部路由器路由,進而可由內(nèi)部路由器解密后實現(xiàn)接入控制�。
以上方案的實現(xiàn),需要存在一套獨立的密鑰分配協(xié)議,這可以考慮在安裝防火墻系統(tǒng)時,由客戶端軟件實現(xiàn),在此,就不多做討論了。
(二)系統(tǒng)設(shè)計
本文設(shè)計的系統(tǒng),包括數(shù)據(jù)包捕獲模塊�����、數(shù)據(jù)包分流模塊����、包過濾模塊��、流過濾模塊��、報警信息記錄模塊���、日志數(shù)據(jù)庫的設(shè)計、過濾規(guī)則數(shù)據(jù)庫��、控制規(guī)則模塊��、客戶端模塊等���。
1.數(shù)據(jù)包捕獲模塊:數(shù)據(jù)包捕獲模塊,與一般的數(shù)據(jù)包捕獲模塊功能基本相同,對網(wǎng)絡(luò)鏈接的偵聽并收集數(shù)據(jù)包���。
2.數(shù)據(jù)包分流模塊:對捕獲的數(shù)據(jù)包進行類型分析。判斷其是否為關(guān)鍵報文,以確定是經(jīng)過包過濾模塊或是流過濾模塊���。
數(shù)據(jù)包捕獲模塊和分流模塊工作流程:首先把堡壘主機的網(wǎng)卡設(shè)為混雜模式-》啟用SONKET函數(shù)-》數(shù)據(jù)包捕獲模塊利用數(shù)據(jù)包嗅探器原理接收到數(shù)據(jù)包-》數(shù)據(jù)包分流模塊分析數(shù)據(jù)包頭的信息-》如果關(guān)鍵報文�。那么就交給流過濾模塊對這類數(shù)據(jù)包進行處理;但是如果不是關(guān)鍵報文,那么就交給包過濾模塊處理-》如此循環(huán)�。
3.包過濾模塊:本文設(shè)計的包過濾模塊只對非關(guān)鍵報文進行過濾。根據(jù)過濾規(guī)則:允許傳輸?shù)?通過;阻塞傳輸?shù)?丟棄,并將非法報文相關(guān)信息交給報警信息記錄模塊處理�����。
包過濾工作流程:利用數(shù)據(jù)包捕獲模塊獲得報文,并分析報頭信息-》應(yīng)用一個過濾規(guī)則進行判斷-》如果允許傳輸,則為允許包(合法報文);如果阻塞傳輸,則為阻塞包(非法報文),并將非法報文相關(guān)信息交給報警信息記錄模塊處理;如果經(jīng)過本條規(guī)則過濾既不是允許傳輸?shù)膱笪?也不是阻塞傳輸?shù)膱笪?則進行下一個過濾規(guī)則的判斷-》如果所有的規(guī)則都沒有符合的,則默認(rèn)為非法報文,阻塞傳輸-》如此循環(huán)。
4.流過濾模塊:接收來自數(shù)據(jù)包分流模塊的關(guān)鍵報文,實現(xiàn)對關(guān)鍵報文的截取�����、檢查���、合法轉(zhuǎn)發(fā)��。
流過濾工作流程:捕獲模塊接收到數(shù)據(jù)包,對數(shù)據(jù)包的包頭進行分析,判斷是否為關(guān)鍵報文-》如果不是關(guān)鍵報文,則交給包過濾模塊進行過濾;如果是關(guān)鍵報文,則交給流過濾模塊進行過濾-》判斷為關(guān)鍵報文之后,發(fā)送應(yīng)答報文-》判斷同一會話關(guān)鍵報文是否傳輸完畢:如果同一會話的關(guān)鍵報文沒有傳輸完畢,則繼續(xù)接收下一個數(shù)據(jù)包;如果同一會話的關(guān)鍵報文傳輸完畢,則去掉重復(fù)報文,根據(jù)序號字段排列報文順序判-》判斷每一報文序號字段檢查數(shù)據(jù)是否完整:如果不完整,則繼續(xù)接收數(shù)據(jù)包;如果完整,則組合所有報文應(yīng)用層-》取得httpurl鏈接中的一條規(guī)則,比較報文首部相關(guān)信息與規(guī)則對應(yīng)字段,并在重組數(shù)據(jù)匹配規(guī)則中過濾內(nèi)容項判-》判斷數(shù)據(jù)是否合法:如果比較完畢合法,則按報文正確順序發(fā)送原始報,之后繼續(xù)接收下一個數(shù)據(jù)包,繼續(xù)下一個循環(huán);如果不合法,則根據(jù)規(guī)則中action字段值處理數(shù)據(jù)。
5.報警信息記錄模塊:報警信息記錄模塊負(fù)責(zé)將報警信息記錄進日志數(shù)據(jù)庫,同時將報警信息交給客戶端�����。
6.日志數(shù)據(jù)庫的設(shè)計:對系統(tǒng)運行情況的實時監(jiān)控�。
7.過濾規(guī)則數(shù)據(jù)庫:用來存放過濾規(guī)則。本文把設(shè)計的包過濾規(guī)則和流過濾規(guī)則都要存放到這個過濾規(guī)則數(shù)據(jù)庫中����。可以說這是個大的容器,用來存放本文的規(guī)則,當(dāng)然如后期用戶自己設(shè)置一些合適自己的規(guī)則,也要放到過濾規(guī)則庫中��。
8.控制規(guī)則模塊:實現(xiàn)的是用戶根據(jù)自己的要求設(shè)置規(guī)則���。必須考慮用戶自己設(shè)計過濾規(guī)則時可能出現(xiàn)的問題,把重復(fù)的規(guī)則要刪掉;不重復(fù)的寫入過濾規(guī)則數(shù)據(jù)庫中�����。
9.客戶端模塊:負(fù)責(zé)將報警信息傳送給防火墻客戶端,同時接受防火墻客戶的各種操作�。
基于流過濾技術(shù)的IPv6防火墻的系統(tǒng)設(shè)計圖:
(三)系統(tǒng)的實現(xiàn)
本文采用的是Linux開發(fā)平臺。硬件環(huán)境:PC機,10/100M自適應(yīng)網(wǎng)卡,路由器,局域網(wǎng)和外網(wǎng)環(huán)境�����。軟件環(huán)境:Linux操作系統(tǒng),GCC開發(fā)平臺,開源防火墻��。
五��、總結(jié)
本文設(shè)計的防火墻系統(tǒng)實現(xiàn)了IPv6數(shù)據(jù)包的過濾功能,能夠保護內(nèi)網(wǎng)主機的安全,基本符合了防火墻的行業(yè)標(biāo)準(zhǔn),基本達到了預(yù)期的目標(biāo)��。當(dāng)然,本設(shè)計也存在很多的不足,有待進一步的充實和改進���。
參考文獻:
[1]東軟軟件股份有限公司,NetEye Firewall3.2 技術(shù)白皮書
[2]孫為.純IPv6網(wǎng)絡(luò)中IPSec的研究與應(yīng)用:[碩士學(xué)位論文],西安:西安電子科技大學(xué)
[3]NetEye防火墻3.2.計算機安全[J].2003
第5篇
關(guān)鍵詞入侵檢測異常檢測誤用檢測
在網(wǎng)絡(luò)技術(shù)日新月異的今天�,論文基于網(wǎng)絡(luò)的計算機應(yīng)用已經(jīng)成為發(fā)展的主流����。政府、教育��、商業(yè)、金融等機構(gòu)紛紛聯(lián)入Internet��,全社會信息共享已逐步成為現(xiàn)實�。然而,近年來�����,網(wǎng)上黑客的攻擊活動正以每年10倍的速度增長��。因此����,保證計算機系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)以及整個信息基礎(chǔ)設(shè)施的安全已經(jīng)成為刻不容緩的重要課題�����。
1防火墻
目前防范網(wǎng)絡(luò)攻擊最常用的方法是構(gòu)建防火墻�。
防火墻作為一種邊界安全的手段��,在網(wǎng)絡(luò)安全保護中起著重要作用�����。其主要功能是控制對網(wǎng)絡(luò)的非法訪問��,通過監(jiān)視、限制�、更改通過網(wǎng)絡(luò)的數(shù)據(jù)流,一方面盡可能屏蔽內(nèi)部網(wǎng)的拓?fù)浣Y(jié)構(gòu)�����,另一方面對內(nèi)屏蔽外部危險站點�����,以防范外對內(nèi)的非法訪問���。然而�����,防火墻存在明顯的局限性�����。
(1)入侵者可以找到防火墻背后可能敞開的后門�。如同深宅大院的高大院墻不能擋住老鼠的偷襲一樣�,防火墻有時無法阻止入侵者的攻擊。
(2)防火墻不能阻止來自內(nèi)部的襲擊。調(diào)查發(fā)現(xiàn)���,50%的攻擊都將來自于網(wǎng)絡(luò)內(nèi)部��。
(3)由于性能的限制��,防火墻通常不能提供實時的入侵檢測能力�����。畢業(yè)論文而這一點��,對于層出不窮的網(wǎng)絡(luò)攻擊技術(shù)來說是至關(guān)重要的���。
因此,在Internet入口處部署防火墻系統(tǒng)是不能確保安全的�。單純的防火墻策略已經(jīng)無法滿足對安全高度敏感部門的需要,網(wǎng)絡(luò)的防衛(wèi)必須采用一種縱深的�、多樣化的手段�����。
由于傳統(tǒng)防火墻存在缺陷�����,引發(fā)了入侵檢測IDS(IntrusionDetectionSystem)的研究和開發(fā)。入侵檢測是防火墻之后的第二道安全閘門����,是對防火墻的合理補充,在不影響網(wǎng)絡(luò)性能的情況下�����,通過對網(wǎng)絡(luò)的監(jiān)測����,幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊,擴展系統(tǒng)管理員的安全管理能力(包括安全審計��、監(jiān)視�����、進攻識別和響應(yīng))�����,提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性����,提供對內(nèi)部攻擊��、外部攻擊和誤操作的實時保護?���,F(xiàn)在��,入侵檢測已經(jīng)成為網(wǎng)絡(luò)安全中一個重要的研究方向��,在各種不同的網(wǎng)絡(luò)環(huán)境中發(fā)揮重要作用�����。
2入侵檢測
2.1入侵檢測
入侵檢測是通過從計算機網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析���,從中發(fā)現(xiàn)違反安全策略的行為和遭到攻擊的跡象����,并做出自動的響應(yīng)����。其主要功能是對用戶和系統(tǒng)行為的監(jiān)測與分析�、系統(tǒng)配置和漏洞的審計檢查����、重要系統(tǒng)和數(shù)據(jù)文件的完整性評估��、已知的攻擊行為模式的識別���、異常行為模式的統(tǒng)計分析�����、操作系統(tǒng)的審計跟蹤管理及違反安全策略的用戶行為的識別��。入侵檢測通過迅速地檢測入侵����,在可能造成系統(tǒng)損壞或數(shù)據(jù)丟失之前��,識別并驅(qū)除入侵者��,使系統(tǒng)迅速恢復(fù)正常工作����,并且阻止入侵者進一步的行動。同時�����,收集有關(guān)入侵的技術(shù)資料,用于改進和增強系統(tǒng)抵抗入侵的能力��。
入侵檢測可分為基于主機型��、基于網(wǎng)絡(luò)型�、基于型三類。從20世紀(jì)90年代至今�����,英語論文已經(jīng)開發(fā)出一些入侵檢測的產(chǎn)品����,其中比較有代表性的產(chǎn)品有ISS(IntemetSecuritySystem)公司的Realsecure,NAI(NetworkAssociates�����,Inc)公司的Cybercop和Cisco公司的NetRanger�����。
2.2檢測技術(shù)
入侵檢測為網(wǎng)絡(luò)安全提供實時檢測及攻擊行為檢測�,并采取相應(yīng)的防護手段�����。例如,實時檢測通過記錄證據(jù)來進行跟蹤����、恢復(fù)、斷開網(wǎng)絡(luò)連接等控制����;攻擊行為檢測注重于發(fā)現(xiàn)信息系統(tǒng)中可能已經(jīng)通過身份檢查的形跡可疑者,進一步加強信息系統(tǒng)的安全力度��。入侵檢測的步驟如下:
收集系統(tǒng)��、網(wǎng)絡(luò)�����、數(shù)據(jù)及用戶活動的狀態(tài)和行為的信息
入侵檢測一般采用分布式結(jié)構(gòu)�����,在計算機網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(不同網(wǎng)段和不同主機)收集信息�����,一方面擴大檢測范圍,另一方面通過多個采集點的信息的比較來判斷是否存在可疑現(xiàn)象或發(fā)生入侵行為�。
入侵檢測所利用的信息一般來自以下4個方面:系統(tǒng)和網(wǎng)絡(luò)日志文件、目錄和文件中的不期望的改變�����、程序執(zhí)行中的不期望行為�����、物理形式的入侵信息��。
(2)根據(jù)收集到的信息進行分析
常用的分析方法有模式匹配�、統(tǒng)計分析、完整性分析���。模式匹配是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進行比較�,從而發(fā)現(xiàn)違背安全策略的行為��。
統(tǒng)計分析方法首先給系統(tǒng)對象(如用戶���、文件�、目錄和設(shè)備等)創(chuàng)建一個統(tǒng)計描述,統(tǒng)計正常使用時的一些測量屬性����。測量屬性的平均值將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進行比較��。當(dāng)觀察值超出正常值范圍時�����,就有可能發(fā)生入侵行為�。該方法的難點是閾值的選擇�,閾值太小可能產(chǎn)生錯誤的入侵報告,閾值太大可能漏報一些入侵事件����。
完整性分析主要關(guān)注某個文件或?qū)ο笫欠癖桓模ㄎ募湍夸浀膬?nèi)容及屬性��。該方法能有效地防范特洛伊木馬的攻擊���。
3分類及存在的問題
入侵檢測通過對入侵和攻擊行為的檢測��,查出系統(tǒng)的入侵者或合法用戶對系統(tǒng)資源的濫用和誤用��。工作總結(jié)根據(jù)不同的檢測方法���,將入侵檢測分為異常入侵檢測(AnomalyDetection)和誤用人侵檢測(MisuseDetection)�。
3.1異常檢測
又稱為基于行為的檢測�����。其基本前提是:假定所有的入侵行為都是異常的�����。首先建立系統(tǒng)或用戶的“正?!毙袨樘卣鬏喞ㄟ^比較當(dāng)前的系統(tǒng)或用戶的行為是否偏離正常的行為特征輪廓來判斷是否發(fā)生了入侵���。此方法不依賴于是否表現(xiàn)出具體行為來進行檢測����,是一種間接的方法���。
常用的具體方法有:統(tǒng)計異常檢測方法��、基于特征選擇異常檢測方法�����、基于貝葉斯推理異常檢測方法�����、基于貝葉斯網(wǎng)絡(luò)異常檢測方法����、基于模式預(yù)測異常檢測方法��、基于神經(jīng)網(wǎng)絡(luò)異常檢測方法����、基于機器學(xué)習(xí)異常檢測方法、基于數(shù)據(jù)采掘異常檢測方法等��。
采用異常檢測的關(guān)鍵問題有如下兩個方面:
(1)特征量的選擇
在建立系統(tǒng)或用戶的行為特征輪廓的正常模型時����,選取的特征量既要能準(zhǔn)確地體現(xiàn)系統(tǒng)或用戶的行為特征,又能使模型最優(yōu)化�����,即以最少的特征量就能涵蓋系統(tǒng)或用戶的行為特征。(2)參考閾值的選定
由于異常檢測是以正常的特征輪廓作為比較的參考基準(zhǔn)�����,因此��,參考閾值的選定是非常關(guān)鍵的�。
閾值設(shè)定得過大,那漏警率會很高����;閾值設(shè)定的過小,則虛警率就會提高��。合適的參考閾值的選定是決定這一檢測方法準(zhǔn)確率的至關(guān)重要的因素�。
由此可見,異常檢測技術(shù)難點是“正?����!毙袨樘卣鬏喞拇_定���、特征量的選取��、特征輪廓的更新��。由于這幾個因素的制約����,異常檢測的虛警率很高,但對于未知的入侵行為的檢測非常有效�����。此外����,由于需要實時地建立和更新系統(tǒng)或用戶的特征輪廓,這樣所需的計算量很大�����,對系統(tǒng)的處理性能要求很高�����。
3.2誤用檢測
又稱為基于知識的檢測�����。其基本前提是:假定所有可能的入侵行為都能被識別和表示��。首先��,留學(xué)生論文對已知的攻擊方法進行攻擊簽名(攻擊簽名是指用一種特定的方式來表示已知的攻擊模式)表示�,然后根據(jù)已經(jīng)定義好的攻擊簽名,通過判斷這些攻擊簽名是否出現(xiàn)來判斷入侵行為的發(fā)生與否����。這種方法是依據(jù)是否出現(xiàn)攻擊簽名來判斷入侵行為,是一種直接的方法�。
常用的具體方法有:基于條件概率誤用入侵檢測方法、基于專家系統(tǒng)誤用入侵檢測方法�����、基于狀態(tài)遷移分析誤用入侵檢測方法���、基于鍵盤監(jiān)控誤用入侵檢測方法����、基于模型誤用入侵檢測方法����。誤用檢測的關(guān)鍵問題是攻擊簽名的正確表示�。
誤用檢測是根據(jù)攻擊簽名來判斷入侵的��,根據(jù)對已知的攻擊方法的了解��,用特定的模式語言來表示這種攻擊�����,使得攻擊簽名能夠準(zhǔn)確地表示入侵行為及其所有可能的變種��,同時又不會把非入侵行為包含進來���。由于多數(shù)入侵行為是利用系統(tǒng)的漏洞和應(yīng)用程序的缺陷�����,因此��,通過分析攻擊過程的特征�、條件���、排列以及事件間的關(guān)系,就可具體描述入侵行為的跡象��。這些跡象不僅對分析已經(jīng)發(fā)生的入侵行為有幫助,而且對即將發(fā)生的入侵也有預(yù)警作用�。
誤用檢測將收集到的信息與已知的攻擊簽名模式庫進行比較,從中發(fā)現(xiàn)違背安全策略的行為�����。由于只需要收集相關(guān)的數(shù)據(jù)��,這樣系統(tǒng)的負(fù)擔(dān)明顯減少�����。該方法類似于病毒檢測系統(tǒng)�����,其檢測的準(zhǔn)確率和效率都比較高�。但是它也存在一些缺點。
3.2.1不能檢測未知的入侵行為
由于其檢測機理是對已知的入侵方法進行模式提取��,對于未知的入侵方法就不能進行有效的檢測�����。也就是說漏警率比較高���。
3.2.2與系統(tǒng)的相關(guān)性很強
對于不同實現(xiàn)機制的操作系統(tǒng)�,由于攻擊的方法不盡相同,很難定義出統(tǒng)一的模式庫��。另外��,誤用檢測技術(shù)也難以檢測出內(nèi)部人員的入侵行為�����。
目前�����,由于誤用檢測技術(shù)比較成熟���,多數(shù)的商業(yè)產(chǎn)品都主要是基于誤用檢測模型的�����。不過����,為了增強檢測功能�����,不少產(chǎn)品也加入了異常檢測的方法�����。
4入侵檢測的發(fā)展方向
隨著信息系統(tǒng)對一個國家的社會生產(chǎn)與國民經(jīng)濟的影響越來越大�����,再加上網(wǎng)絡(luò)攻擊者的攻擊工具與手法日趨復(fù)雜化�����,信息戰(zhàn)已逐步被各個國家重視���。近年來���,入侵檢測有如下幾個主要發(fā)展方向:
4.1分布式入侵檢測與通用入侵檢測架構(gòu)
傳統(tǒng)的IDS一般局限于單一的主機或網(wǎng)絡(luò)架構(gòu),對異構(gòu)系統(tǒng)及大規(guī)模的網(wǎng)絡(luò)的監(jiān)測明顯不足��,再加上不同的IDS系統(tǒng)之間不能很好地協(xié)同工作�。為解決這一問題,需要采用分布式入侵檢測技術(shù)與通用入侵檢測架構(gòu)。
4.2應(yīng)用層入侵檢測
許多入侵的語義只有在應(yīng)用層才能理解���,然而目前的IDS僅能檢測到諸如Web之類的通用協(xié)議�����,而不能處理LotusNotes���、數(shù)據(jù)庫系統(tǒng)等其他的應(yīng)用系統(tǒng)。許多基于客戶/服務(wù)器結(jié)構(gòu)��、中間件技術(shù)及對象技術(shù)的大型應(yīng)用��,也需要應(yīng)用層的入侵檢測保護�����。
4.3智能的入侵檢測
入侵方法越來越多樣化與綜合化���,盡管已經(jīng)有智能體�����、神經(jīng)網(wǎng)絡(luò)與遺傳算法在入侵檢測領(lǐng)域應(yīng)用研究�����,但是���,這只是一些嘗試性的研究工作,需要對智能化的IDS加以進一步的研究��,以解決其自學(xué)習(xí)與自適應(yīng)能力����。
4.4入侵檢測的評測方法
用戶需對眾多的IDS系統(tǒng)進行評價,評價指標(biāo)包括IDS檢測范圍�、系統(tǒng)資源占用、IDS自身的可靠性�����,從而設(shè)計出通用的入侵檢測測試與評估方法與平臺�,實現(xiàn)對多種IDS的檢測。
4.5全面的安全防御方案
結(jié)合安全工程風(fēng)險管理的思想與方法來處理網(wǎng)絡(luò)安全問題���,將網(wǎng)絡(luò)安全作為一個整體工程來處理���。從管理、網(wǎng)絡(luò)結(jié)構(gòu)、加密通道����、防火墻、病毒防護����、入侵檢測多方位全面對所關(guān)注的網(wǎng)絡(luò)作全面的評估,然后提出可行的全面解決方案��。
綜上所述��,入侵檢測作為一種積極主動的安全防護技術(shù)�����,提供了對內(nèi)部攻擊�、外部攻擊和誤操作的實時保護,使網(wǎng)絡(luò)系統(tǒng)在受到危害之前即攔截和響應(yīng)入侵行為���,為網(wǎng)絡(luò)安全增加一道屏障�。隨著入侵檢測的研究與開發(fā)����,并在實際應(yīng)用中與其它網(wǎng)絡(luò)管理軟件相結(jié)合��,使網(wǎng)絡(luò)安全可以從立體縱深�����、多層次防御的角度出發(fā)�����,形成人侵檢測、網(wǎng)絡(luò)管理�����、網(wǎng)絡(luò)監(jiān)控三位一體化�����,從而更加有效地保護網(wǎng)絡(luò)的安全��。
參考文獻
l吳新民.兩種典型的入侵檢測方法研究.計算機工程與應(yīng)用��,2002���;38(10):181—183
2羅妍����,李仲麟,陳憲.入侵檢測系統(tǒng)模型的比較.計算機應(yīng)用����,2001;21(6):29~31
3李渙洲.網(wǎng)絡(luò)安全與入侵檢測技術(shù).四川師范大學(xué)學(xué)報.2001����;24(3):426—428
4張慧敏,何軍���,黃厚寬.入侵檢測系統(tǒng).計算機應(yīng)用研究����,2001��;18(9):38—4l
第6篇
論文摘要:在介紹網(wǎng)絡(luò)安全概念及其產(chǎn)生原因的基礎(chǔ)上���,介紹了各種信息技術(shù)及其在局域網(wǎng)信息安全中的作用和地位��。
隨著現(xiàn)代網(wǎng)絡(luò)通信技術(shù)的應(yīng)用和發(fā)展���,互聯(lián)網(wǎng)迅速發(fā)展起來����,國家逐步進入到網(wǎng)絡(luò)化��、共享化�,我國已經(jīng)進入到信息化的新世紀(jì)。在整個互聯(lián)網(wǎng)體系巾�,局域網(wǎng)是其巾最重要的部分,公司網(wǎng)����、企業(yè)網(wǎng)��、銀行金融機構(gòu)網(wǎng)�����、政府��、學(xué)校�����、社區(qū)網(wǎng)都屬于局域網(wǎng)的范疇����。局域網(wǎng)實現(xiàn)了信息的傳輸和共享�����,為用戶方便訪問互聯(lián)網(wǎng)���、提升業(yè)務(wù)效率和效益提供了有效途徑。但是由于網(wǎng)絡(luò)的開放性�,黑客攻擊、病毒肆虐�����、木馬猖狂都給局域網(wǎng)的信息安全帶來了嚴(yán)重威脅�����。
信息技術(shù)是一門涉及計算機科學(xué)��、網(wǎng)絡(luò)技術(shù)�、通信技術(shù)、密碼技術(shù)���、信息安全技術(shù)�����、應(yīng)用數(shù)學(xué)��、數(shù)論和信息論諸多學(xué)科的技術(shù)�。信息技術(shù)的應(yīng)用就是確保信息安全,使網(wǎng)絡(luò)信息免遭黑客破壞����、病毒入侵、數(shù)據(jù)被盜或更改����。網(wǎng)絡(luò)已經(jīng)成為現(xiàn)代人生活的一部分,局域網(wǎng)的安全問題也閑此變得更為重要���,信息技術(shù)的應(yīng)用必不可少。
1網(wǎng)絡(luò)安全的概念及產(chǎn)生的原因
1.1網(wǎng)絡(luò)安全的概念
計算機網(wǎng)絡(luò)安全是指保護計算機�����、網(wǎng)絡(luò)系統(tǒng)硬件��、軟件以及系統(tǒng)中的數(shù)據(jù)不因偶然的或惡意的原因而遭到破壞��、更改和泄密,確保系統(tǒng)能連續(xù)和可靠地運行��,使網(wǎng)絡(luò)服務(wù)不巾斷����。從本質(zhì)上來講,網(wǎng)絡(luò)安全就是網(wǎng)絡(luò)上的信息安全���。網(wǎng)絡(luò)系統(tǒng)的安全威脅主要表現(xiàn)在主機可能會受到非法入侵者的攻擊�����,網(wǎng)絡(luò)中的敏感信息有可能泄露或被修改��。從內(nèi)部網(wǎng)向公共網(wǎng)傳送的信息可能被他人竊聽或篡改等等��。典型的網(wǎng)絡(luò)安全威脅主要有竊聽��、重傳��、偽造���、篡改、非授權(quán)訪問、拒絕服務(wù)攻擊���、行為否認(rèn)����、旁路控制�����、電磁/射頻截獲����、人員疏忽。
網(wǎng)絡(luò)安全包括安全的操作系統(tǒng)��、應(yīng)用系統(tǒng)以及防病毒���、防火墻����、入侵檢測����、網(wǎng)絡(luò)監(jiān)控、信息審計���、通信加密�����、災(zāi)難恢復(fù)和完全掃描等�。它涉及的領(lǐng)域相當(dāng)廣泛���,這是因為目前的各種通信網(wǎng)絡(luò)中存在著各種各樣的安全漏洞和威脅�����。從廣義上講��,凡是涉及網(wǎng)絡(luò)上信息的保密性�、完整性���、可性����、真實性和可控性的相關(guān)技術(shù)和理論�,都是網(wǎng)絡(luò)安全所要研究的領(lǐng)域�����。網(wǎng)絡(luò)安全歸納起來就是信息的存儲安全和傳輸安全��。
1.2網(wǎng)絡(luò)安全產(chǎn)生的原因
1.2.1操作系統(tǒng)存在安全漏洞
任何操作系統(tǒng)都不是無法摧毀的“饅壘”��。操作系統(tǒng)設(shè)計者留下的微小破綻都給網(wǎng)絡(luò)安全留下了許多隱患��,網(wǎng)絡(luò)攻擊者以這些“后門”作為通道對網(wǎng)絡(luò)實施攻擊���。局域網(wǎng)中使用的操作系統(tǒng)雖然都經(jīng)過大量的測試與改進,但仍有漏洞與缺陷存在�,入侵者利用各種工具掃描網(wǎng)絡(luò)及系統(tǒng)巾的安全漏洞,通過一些攻擊程序?qū)W(wǎng)絡(luò)進行惡意攻擊���,嚴(yán)重時造成網(wǎng)絡(luò)的癱瘓����、系統(tǒng)的拒絕服務(wù)���、信息的被竊取或篡改等�。
1.2.2 TCP/lP協(xié)議的脆弱性
當(dāng)前特網(wǎng)部是基于TCP/IP協(xié)議��,但是陔?yún)f(xié)議對于網(wǎng)絡(luò)的安全性考慮得并不多����。且,南于TCtVIP協(xié)議在網(wǎng)絡(luò)上公布于眾�,如果人們對TCP/IP很熟悉,就可以利川它的安全缺陷來實施網(wǎng)絡(luò)攻擊��。
1.2.3網(wǎng)絡(luò)的開放性和廣域性設(shè)計
網(wǎng)絡(luò)的開放性和廣域性設(shè)計加大了信息的保密難度.這其巾還包括網(wǎng)絡(luò)身的布線以及通信質(zhì)量而引起的安全問題����。互聯(lián)網(wǎng)的全開放性使網(wǎng)絡(luò)可能面臨來自物理傳輸線路或者對網(wǎng)絡(luò)通信協(xié)議以及對軟件和硬件實施的攻擊���;互聯(lián)網(wǎng)的同際性給網(wǎng)絡(luò)攻擊者在世界上任何一個角落利州互聯(lián)網(wǎng)上的任何一個機器對網(wǎng)絡(luò)發(fā)起攻擊提供機會��,這也使得網(wǎng)絡(luò)信息保護更加難���。
1.2.4計算機病毒的存在
計算機病毒是編制或者存計箅機程序巾插入的一組旨在破壞計箅機功能或數(shù)據(jù),嚴(yán)重影響汁算機軟件����、硬件的正常運行,并且能夠自我復(fù)制的一組計算機指令或程序代碼��。計算機病毒具有傳染性、寄生性���、隱蔽性�����、觸發(fā)性�����、破壞性幾大特點���。大量涌現(xiàn)的病毒在網(wǎng)上傳播極快,給全球地嗣的網(wǎng)絡(luò)安全帶來了巨大災(zāi)難��。
1.2.5網(wǎng)絡(luò)結(jié)構(gòu)的不安全性
特網(wǎng)是一個南無數(shù)個局域網(wǎng)連成的大網(wǎng)絡(luò)��,它是一種網(wǎng)問網(wǎng)技術(shù)����。當(dāng)l主機與另一局域網(wǎng)的主機進行通信時,它們之間互相傳送的數(shù)據(jù)流要經(jīng)過很多機器重重轉(zhuǎn)發(fā)�,這樣攻擊者只要利用l臺處于用戶的數(shù)據(jù)流傳輸路徑上的主機就有可能劫持用戶的數(shù)據(jù)包。
2信息技術(shù)在互聯(lián)網(wǎng)中的應(yīng)用
2.1信息技術(shù)的發(fā)展現(xiàn)狀和研究背景
信息網(wǎng)絡(luò)安全研究在經(jīng)歷了通信保密�、數(shù)據(jù)保護后進入網(wǎng)絡(luò)信息安全研究階段��,當(dāng)前已經(jīng)…現(xiàn)了一些比較成熟的軟件和技術(shù)�����,如:防火墻、安全路由器����、安全網(wǎng)關(guān)、黑客人侵檢測���、系統(tǒng)脆弱性掃描軟件等����。信息網(wǎng)絡(luò)安全是一個綜合����、交叉的學(xué)科,應(yīng)從安全體系結(jié)構(gòu)���、安全協(xié)議���、現(xiàn)代密碼理論�����、信息分析和監(jiān)控以及信息安全系統(tǒng)等方面綜合開展研究��,使各部分相互協(xié)同�����,共同維護網(wǎng)絡(luò)安全�。
國外的信息安全研究起步較早����,早在20世紀(jì)70年代美國就在網(wǎng)絡(luò)安全技術(shù)基礎(chǔ)理論研究成果“計算機保密模型(Beu&Lapaduh模型)”的基礎(chǔ)上,提出了“可信計箅機系統(tǒng)安全評估準(zhǔn)則(TESEC)”以及后來的關(guān)于網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)庫方面的相關(guān)解釋��,彤成了安全信息系統(tǒng)體系結(jié)構(gòu)的準(zhǔn)則����。安全協(xié)議作為信息安全的重要內(nèi)容,處于發(fā)展提高階段��,仍存在局限性和漏洞���。密碼學(xué)作為信息安全的關(guān)鍵技術(shù)���,近年來空前活躍����,美����、歐、亞各洲舉行的密碼學(xué)和信息安全學(xué)術(shù)會議頻繁��。自從美國學(xué)者于1976年提出了公開密鑰密碼體制后��,成為當(dāng)前研究的熱點�����,克服了網(wǎng)絡(luò)信息系統(tǒng)密鑰管理的閑舴�,同時解決了數(shù)字簽名問題�。另外南于計箅機運算速度的不斷提高和網(wǎng)絡(luò)安全要求的不斷提升,各種安全技術(shù)不斷發(fā)展�,網(wǎng)絡(luò)安全技術(shù)存21世紀(jì)將成為信息安全的關(guān)鍵技術(shù)。
2.2信息技術(shù)的應(yīng)用
2.2.1網(wǎng)絡(luò)防病毒軟件
存網(wǎng)絡(luò)環(huán)境下�,病毒的傳播擴散越來越快,必須有適合于局域網(wǎng)的全方位防病毒產(chǎn)品。針對局域網(wǎng)的渚多特性����,應(yīng)該有一個基于服務(wù)器操作系統(tǒng)平的防病毒軟件和針對各種桌面操作系統(tǒng)的防病毒軟件。如果局域網(wǎng)和互聯(lián)網(wǎng)相連�����,則川到網(wǎng)大防病毒軟件來加強上網(wǎng)計算機的安全�。如果使用郵件存網(wǎng)絡(luò)內(nèi)部進行信息交換.則需要安裝基于郵件服務(wù)器平的郵件防病毒軟件,用于識別出隱藏在電子郵件和附件巾的病毒最好的策略是使川全方位的防病毒產(chǎn)品���,針對網(wǎng)絡(luò)巾所有可能的病毒攻擊點設(shè)置對應(yīng)的防病毒軟件���。通過全方位、多層次的防病毒系統(tǒng)的配置����,定期或不定期地動升級,保護局域網(wǎng)免受病毒的侵襲�����。
2.2.2防火墻技術(shù)
防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)�;上的應(yīng)用性安全技術(shù),越來越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境巾,尤其以接入lnlernel網(wǎng)絡(luò)的局域網(wǎng)為典型���。防火墻是網(wǎng)絡(luò)安全的屏障:一個防火墻能檄大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性�����,通過過濾不安全的服務(wù)而降低風(fēng)險���。南于只有經(jīng)過精心選擇的應(yīng)州協(xié)議才能通過防火墻,所以網(wǎng)絡(luò)環(huán)境變得更安全���。防火墻可以強化網(wǎng)絡(luò)安全策略:通過以防火墻為中心的安全方案配置����,能將所有安全軟件如口令�����、加密�����、身份認(rèn)證��、審計等配置在防火墻上�����。對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計:如果所有的訪問都經(jīng)過防火墻�����,那么防火墻就能記錄下這些訪問并做出日志記錄����,同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。
防火墻技術(shù)是企業(yè)內(nèi)外部網(wǎng)絡(luò)問非常有效的一種實施訪問控制的手段�����,邏輯上處于內(nèi)外部網(wǎng)之問��,確保內(nèi)部網(wǎng)絡(luò)正常安全運行的一組軟硬件的有機組合�����,川來提供存取控制和保密服務(wù)��。存引人防火墻之后��,局域網(wǎng)內(nèi)網(wǎng)和外部網(wǎng)之問的通信必須經(jīng)過防火墻進行,某局域網(wǎng)根據(jù)網(wǎng)絡(luò)決策者及網(wǎng)絡(luò)擘家共同決定的局域網(wǎng)的安全策略來設(shè)置防火墻��,確定什么類型的信息可以通過防火墻����。可見防火墻的職責(zé)就是根據(jù)規(guī)定的安全策略�����,對通過外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)的信息進行檢企�����,符合安全策略的予以放行����,不符合的不予通過。
防火墻是一種有效的安全工具����,它對外屏蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)���,限制外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的訪問����。但是它仍有身的缺陷,對于內(nèi)部網(wǎng)絡(luò)之問的入侵行為和內(nèi)外勾結(jié)的入侵行為很難發(fā)覺和防范����,對于內(nèi)部網(wǎng)絡(luò)之間的訪問和侵害,防火墻則得無能為力����。
2.2.3漏洞掃描技術(shù)
漏洞掃描技術(shù)是要弄清楚網(wǎng)絡(luò)巾存在哪些安全隱患、脆弱點����,解決網(wǎng)絡(luò)層安全問題。各種大型網(wǎng)絡(luò)不僅復(fù)雜而且不斷變化����,僅僅依靠網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗尋找安全漏洞、做出風(fēng)險評估得很不現(xiàn)實�����。要解決這一問題�,必須尋找一種能金找網(wǎng)絡(luò)安全漏洞、評估并提…修改建議的網(wǎng)絡(luò)安全掃描工具����,利刖優(yōu)化系統(tǒng)配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患�����。存網(wǎng)絡(luò)安全程度要水不高的情況下����,可以利用各種黑客工具對網(wǎng)絡(luò)實施模擬攻擊�����,暴露出:網(wǎng)絡(luò)的漏洞�����,冉通過相關(guān)技術(shù)進行改善����。
2.2.4密碼技術(shù)
密碼技術(shù)是信息安全的核心與關(guān)鍵。密碼體制按密鑰可以分為對稱密碼�����、非對稱密碼���、混合密碼3種體制�����。另外采用加密技術(shù)的網(wǎng)絡(luò)系統(tǒng)不僅不需要特殊網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的支持�����,而且在數(shù)據(jù)傳輸過程巾也不會對所經(jīng)過網(wǎng)絡(luò)路徑的安全程度做出要求��,真正實現(xiàn)了網(wǎng)絡(luò)通信過程端到端的安全保障�����。非對稱密碼和混合密碼是當(dāng)前網(wǎng)絡(luò)信息加密使川的主要技術(shù)����。
信息加密技術(shù)的功能主要是保護計算機網(wǎng)絡(luò)系統(tǒng)內(nèi)的數(shù)據(jù)�����、文件��、口令和控制信息等網(wǎng)絡(luò)資源的安全�����。信息加密的方法有3種,一是網(wǎng)絡(luò)鏈路加密方法:目的是保護網(wǎng)絡(luò)系統(tǒng)節(jié)點之間的鏈路信息安全���;二是網(wǎng)絡(luò)端點加密方法:目的是保護網(wǎng)絡(luò)源端川戶到口的川戶的數(shù)據(jù)安全����;二是網(wǎng)絡(luò)節(jié)點加密方法:目的是對源節(jié)點到目的節(jié)點之間的傳輸鏈路提供保護川戶可以根據(jù)實際要求采川不同的加密技術(shù)���。
2.2.5入侵檢測技術(shù)�。
入侵檢測系統(tǒng)對計算機和網(wǎng)絡(luò)資源上的惡意使川行為進行識別和響應(yīng)��。入侵檢測技術(shù)同時監(jiān)測來自內(nèi)部和外部的人侵行為和內(nèi)部剛戶的未授權(quán)活動���,并且對網(wǎng)絡(luò)入侵事件及其過程做fIj實時響應(yīng)�����,是維護網(wǎng)絡(luò)動態(tài)安全的核心技術(shù)�。入侵檢測技術(shù)根據(jù)不同的分類標(biāo)準(zhǔn)分為基于行為的入侵檢測和基于知識的人侵檢測兩類��。根據(jù)使用者的行為或資源使?fàn)顩r的正常程度來判斷是否發(fā)生入侵的稱為基于行為的入侵檢測,運用已知的攻擊方法通過分析入侵跡象來加以判斷是否發(fā)生入侵行為稱為基于知識的入侵檢測�����。通過對跡象的分析能對已發(fā)生的入侵行為有幫助��,并對即將發(fā)生的入侵產(chǎn)生警戒作用
3結(jié)語
第7篇
關(guān)鍵詞入侵檢測異常檢測誤用檢測
在網(wǎng)絡(luò)技術(shù)日新月異的今天�����,基于網(wǎng)絡(luò)的計算機應(yīng)用已經(jīng)成為發(fā)展的主流���。政府、教育��、商業(yè)��、金融等機構(gòu)紛紛聯(lián)入Internet��,全社會信息共享已逐步成為現(xiàn)實����。然而,近年來�,網(wǎng)上黑客的攻擊活動正以每年10倍的速度增長。因此,保證計算機系統(tǒng)�、網(wǎng)絡(luò)系統(tǒng)以及整個信息基礎(chǔ)設(shè)施的安全已經(jīng)成為刻不容緩的重要課題。
1 防火墻
目前防范網(wǎng)絡(luò)攻擊最常用的方法是構(gòu)建防火墻��。
防火墻作為一種邊界安全的手段��,在網(wǎng)絡(luò)安全保護中起著重要作用�。其主要功能是控制對網(wǎng)絡(luò)的非法訪問,通過監(jiān)視���、限制、更改通過網(wǎng)絡(luò)的數(shù)據(jù)流�����,一方面盡可能屏蔽內(nèi)部網(wǎng)的拓?fù)浣Y(jié)構(gòu)�,另一方面對內(nèi)屏蔽外部危險站點��,以防范外對內(nèi)的非法訪問�����。然而����,防火墻存在明顯的局限性�����。
(1)入侵者可以找到防火墻背后可能敞開的后門�。如同深宅大院的高大院墻不能擋住老鼠的偷襲一樣��,防火墻有時無法阻止入侵者的攻擊���。
(2)防火墻不能阻止來自內(nèi)部的襲擊���。調(diào)查發(fā)現(xiàn)�,50%的攻擊都將來自于網(wǎng)絡(luò)內(nèi)部�。
(3)由于性能的限制��,防火墻通常不能提供實時的入侵檢測能力��。畢業(yè)論文 而這一點,對于層出不窮的網(wǎng)絡(luò)攻擊技術(shù)來說是至關(guān)重要的�。
因此����,在Internet入口處部署防火墻系統(tǒng)是不能確保安全的。單純的防火墻策略已經(jīng)無法滿足對安全高度敏感部門的需要�,網(wǎng)絡(luò)的防衛(wèi)必須采用一種縱深的�����、多樣化的手段。
由于傳統(tǒng)防火墻存在缺陷��,引發(fā)了入侵檢測IDS(Intrusion Detection System)的研究和開發(fā)。入侵檢測是防火墻之后的第二道安全閘門����,是對防火墻的合理補充����,在不影響網(wǎng)絡(luò)性能的情況下�����,通過對網(wǎng)絡(luò)的監(jiān)測�,幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊��,擴展系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視�����、進攻識別和響應(yīng))����,提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性��,提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護?��,F(xiàn)在��,入侵檢測已經(jīng)成為網(wǎng)絡(luò)安全中一個重要的研究方向�,在各種不同的網(wǎng)絡(luò)環(huán)境中發(fā)揮重要作用����。
2 入侵檢測
2.1 入侵檢測
入侵檢測是通過從計算機網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析,從中發(fā)現(xiàn)違反安全策略的行為和遭到攻擊的跡象�����,并做出自動的響應(yīng)����。其主要功能是對用戶和系統(tǒng)行為的監(jiān)測與分析�����、系統(tǒng)配置和漏洞的審計檢查、重要系統(tǒng)和數(shù)據(jù)文件的完整性評估����、已知的攻擊行為模式的識別���、異常行為模式的統(tǒng)計分析����、操作系統(tǒng)的審計跟蹤管理及違反安全策略的用戶行為的識別��。入侵檢測通過迅速地檢測入侵���,在可能造成系統(tǒng)損壞或數(shù)據(jù)丟失之前,識別并驅(qū)除入侵者����,使系統(tǒng)迅速恢復(fù)正常工作,并且阻止入侵者進一步的行動��。同時,收集有關(guān)入侵的技術(shù)資料����,用于改進和增強系統(tǒng)抵抗入侵的能力�。
入侵檢測可分為基于主機型����、基于網(wǎng)絡(luò)型����、基于型三類����。從20世紀(jì)90年代至今����,英語論文 已經(jīng)開發(fā)出一些入侵檢測的產(chǎn)品���,其中比較有代表性的產(chǎn)品有ISS(Intemet Security System)公司的Realsecure���,NAI(Network Associates,Inc)公司的Cybercop和Cisco公司的NetRanger����。
2.2 檢測技術(shù)
入侵檢測為網(wǎng)絡(luò)安全提供實時檢測及攻擊行為檢測�,并采取相應(yīng)的防護手段。例如��,實時檢測通過記錄證據(jù)來進行跟蹤、恢復(fù)�����、斷開網(wǎng)絡(luò)連接等控制��;攻擊行為檢測注重于發(fā)現(xiàn)信息系統(tǒng)中可能已經(jīng)通過身份檢查的形跡可疑者�����,進一步加強信息系統(tǒng)的安全力度����。入侵檢測的步驟如下:
收集系統(tǒng)�����、網(wǎng)絡(luò)����、數(shù)據(jù)及用戶活動的狀態(tài)和行為的信息
入侵檢測一般采用分布式結(jié)構(gòu)�����,在計算機網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(不同網(wǎng)段和不同主機)收集信息��,一方面擴大檢測范圍,另一方面通過多個采集點的信息的比較來判斷是否存在可疑現(xiàn)象或發(fā)生入侵行為���。
入侵檢測所利用的信息一般來自以下4個方面:系統(tǒng)和網(wǎng)絡(luò)日志文件���、目錄和文件中的不期望的改變�����、程序執(zhí)行中的不期望行為��、物理形式的入侵信息����。
(2)根據(jù)收集到的信息進行分析
常用的分析方法有模式匹配����、統(tǒng)計分析、完整性分析�����。模式匹配是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進行比較�����,從而發(fā)現(xiàn)違背安全策略的行為�����。
統(tǒng)計分析方法首先給系統(tǒng)對象(如用戶��、文件�、目錄和設(shè)備等)創(chuàng)建一個統(tǒng)計描述,統(tǒng)計正常使用時的一些測量屬性�����。測量屬性的平均值將被用來與網(wǎng)絡(luò)�����、系統(tǒng)的行為進行比較��。當(dāng)觀察值超出正常值范圍時�����,就有可能發(fā)生入侵行為。該方法的難點是閾值的選擇���,閾值太小可能產(chǎn)生錯誤的入侵報告��,閾值太大可能漏報一些入侵事件�。
完整性分析主要關(guān)注某個文件或?qū)ο笫欠癖桓?�,包括文件和目錄的?nèi)容及屬性�。該方法能有效地防范特洛伊木馬的攻擊。
3 分類及存在的問題
入侵檢測通過對入侵和攻擊行為的檢測�����,查出系統(tǒng)的入侵者或合法用戶對系統(tǒng)資源的濫用和誤用�����。工作總結(jié) 根據(jù)不同的檢測方法�,將入侵檢測分為異常入侵檢測(Anomaly Detection)和誤用人侵檢測(Misuse Detection)。
3.1 異常檢測
又稱為基于行為的檢測�。其基本前提是:假定所有的入侵行為都是異常的。首先建立系統(tǒng)或用戶的“正?����!毙袨樘卣鬏喞ㄟ^比較當(dāng)前的系統(tǒng)或用戶的行為是否偏離正常的行為特征輪廓來判斷是否發(fā)生了入侵��。此方法不依賴于是否表現(xiàn)出具體行為來進行檢測�,是一種間接的方法��。
常用的具體方法有:統(tǒng)計異常檢測方法���、基于特征選擇異常檢測方法��、基于貝葉斯推理異常檢測方法���、基于貝葉斯網(wǎng)絡(luò)異常檢測方法、基于模式預(yù)測異常檢測方法��、基于神經(jīng)網(wǎng)絡(luò)異常檢測方法��、基于機器學(xué)習(xí)異常檢測方法����、基于數(shù)據(jù)采掘異常檢測方法等。
采用異常檢測的關(guān)鍵問題有如下兩個方面:
(1)特征量的選擇
在建立系統(tǒng)或用戶的行為特征輪廓的正常模型時����,選取的特征量既要能準(zhǔn)確地體現(xiàn)系統(tǒng)或用戶的行為特征��,又能使模型最優(yōu)化�,即以最少的特征量就能涵蓋系統(tǒng)或用戶的行為特征�����。
(2)參考閾值的選定
由于異常檢測是以正常的特征輪廓作為比較的參考基準(zhǔn)�����,因此����,參考閾值的選定是非常關(guān)鍵的。
閾值設(shè)定得過大��,那漏警率會很高�����;閾值設(shè)定的過小����,則虛警率就會提高����。合適的參考閾值的選定是決定這一檢測方法準(zhǔn)確率的至關(guān)重要的因素����。
由此可見,異常檢測技術(shù)難點是“正?����!毙袨樘卣鬏喞拇_定����、特征量的選取�、特征輪廓的更新。由于這幾個因素的制約���,異常檢測的虛警率很高�����,但對于未知的入侵行為的檢測非常有效�。此外�����,由于需要實時地建立和更新系統(tǒng)或用戶的特征輪廓,這樣所需的計算量很大��,對系統(tǒng)的處理性能要求很高�����。
3.2 誤用檢測
又稱為基于知識的檢測�����。其基本前提是:假定所有可能的入侵行為都能被識別和表示���。首先��,留學(xué)生論文 對已知的攻擊方法進行攻擊簽名(攻擊簽名是指用一種特定的方式來表示已知的攻擊模式)表示����,然后根據(jù)已經(jīng)定義好的攻擊簽名��,通過判斷這些攻擊簽名是否出現(xiàn)來判斷入侵行為的發(fā)生與否��。這種方法是依據(jù)是否出現(xiàn)攻擊簽名來判斷入侵行為,是一種直接的方法����。
常用的具體方法有:基于條件概率誤用入侵檢測方法、基于專家系統(tǒng)誤用入侵檢測方法�、基于狀態(tài)遷移分析誤用入侵檢測方法、基于鍵盤監(jiān)控誤用入侵檢測方法����、基于模型誤用入侵檢測方法。誤用檢測的關(guān)鍵問題是攻擊簽名的正確表示���。
誤用檢測是根據(jù)攻擊簽名來判斷入侵的��,根據(jù)對已知的攻擊方法的了解,用特定的模式語言來表示這種攻擊����,使得攻擊簽名能夠準(zhǔn)確地表示入侵行為及其所有可能的變種,同時又不會把非入侵行為包含進來��。由于多數(shù)入侵行為是利用系統(tǒng)的漏洞和應(yīng)用程序的缺陷�,因此,通過分析攻擊過程的特征�、條件、排列以及事件間的關(guān)系��,就可具體描述入侵行為的跡象。這些跡象不僅對分析已經(jīng)發(fā)生的入侵行為有幫助����,而且對即將發(fā)生的入侵也有預(yù)警作用。
誤用檢測將收集到的信息與已知的攻擊簽名模式庫進行比較����,從中發(fā)現(xiàn)違背安全策略的行為。由于只需要收集相關(guān)的數(shù)據(jù)��,這樣系統(tǒng)的負(fù)擔(dān)明顯減少����。該方法類似于病毒檢測系統(tǒng),其檢測的準(zhǔn)確率和效率都比較高�。但是它也存在一些缺點。
3.2.1 不能檢測未知的入侵行為
由于其檢測機理是對已知的入侵方法進行模式提取��,對于未知的入侵方法就不能進行有效的檢測�。也就是說漏警率比較高。
3.2.2 與系統(tǒng)的相關(guān)性很強
對于不同實現(xiàn)機制的操作系統(tǒng)���,由于攻擊的方法不盡相同�,很難定義出統(tǒng)一的模式庫。另外��,誤用檢測技術(shù)也難以檢測出內(nèi)部人員的入侵行為�����。
目前�,由于誤用檢測技術(shù)比較成熟,多數(shù)的商業(yè)產(chǎn)品都主要是基于誤用檢測模型的�。不過,為了增強檢測功能��,不少產(chǎn)品也加入了異常檢測的方法�����。
4 入侵檢測的發(fā)展方向
隨著信息系統(tǒng)對一個國家的社會生產(chǎn)與國民經(jīng)濟的影響越來越大���,再加上網(wǎng)絡(luò)攻擊者的攻擊工具與手法日趨復(fù)雜化,信息戰(zhàn)已逐步被各個國家重視���。近年來���,入侵檢測有如下幾個主要發(fā)展方向:
4.1 分布式入侵檢測與通用入侵檢測架構(gòu)
傳統(tǒng)的IDS一般局限于單一的主機或網(wǎng)絡(luò)架構(gòu),對異構(gòu)系統(tǒng)及大規(guī)模的網(wǎng)絡(luò)的監(jiān)測明顯不足,再加上不同的IDS系統(tǒng)之間不能很好地協(xié)同工作����。為解決這一問題,需要采用分布式入侵檢測技術(shù)與通用入侵檢測架構(gòu)�����。
4.2應(yīng)用層入侵檢測
許多入侵的語義只有在應(yīng)用層才能理解�,然而目前的IDS僅能檢測到諸如Web之類的通用協(xié)議,而不能處理Lotus Notes���、數(shù)據(jù)庫系統(tǒng)等其他的應(yīng)用系統(tǒng)����。許多基于客戶/服務(wù)器結(jié)構(gòu)�、中間件技術(shù)及對象技術(shù)的大型應(yīng)用,也需要應(yīng)用層的入侵檢測保護�。
4.3 智能的入侵檢測
入侵方法越來越多樣化與綜合化,盡管已經(jīng)有智能體���、神經(jīng)網(wǎng)絡(luò)與遺傳算法在入侵檢測領(lǐng)域應(yīng)用研究��,但是��,這只是一些嘗試性的研究工作�����,需要對智能化的IDS加以進一步的研究����,以解決其自學(xué)習(xí)與自適應(yīng)能力。
4.4 入侵檢測的評測方法
用戶需對眾多的IDS系統(tǒng)進行評價�����,評價指標(biāo)包括IDS檢測范圍��、系統(tǒng)資源占用����、IDS自身的可靠性,從而設(shè)計出通用的入侵檢測測試與評估方法與平臺����,實現(xiàn)對多種IDS的檢測���。
4.5 全面的安全防御方案
結(jié)合安全工程風(fēng)險管理的思想與方法來處理網(wǎng)絡(luò)安全問題���,將網(wǎng)絡(luò)安全作為一個整體工程來處理���。從管理、網(wǎng)絡(luò)結(jié)構(gòu)��、加密通道��、防火墻�、病毒防護、入侵檢測多方位全面對所關(guān)注的網(wǎng)絡(luò)作全面的評估�����,然后提出可行的全面解決方案�。
綜上所述,入侵檢測作為一種積極主動的安全防護技術(shù)�����,提供了對內(nèi)部攻擊��、外部攻擊和誤操作的實時保護�����,使網(wǎng)絡(luò)系統(tǒng)在受到危害之前即攔截和響應(yīng)入侵行為,為網(wǎng)絡(luò)安全增加一道屏障����。隨著入侵檢測的研究與開發(fā),并在實際應(yīng)用中與其它網(wǎng)絡(luò)管理軟件相結(jié)合�,使網(wǎng)絡(luò)安全可以從立體縱深、多層次防御的角度出發(fā)�����,形成人侵檢測���、網(wǎng)絡(luò)管理��、網(wǎng)絡(luò)監(jiān)控三位一體化�,從而更加有效地保護網(wǎng)絡(luò)的安全�����。
參考文獻
l 吳新民.兩種典型的入侵檢測方法研究.計算機工程與應(yīng)用����,2002;38(10):181—183
2 羅妍��,李仲麟�����,陳憲.入侵檢測系統(tǒng)模型的比較.計算機應(yīng)用���,2001�����;21(6):29~31
3 李渙洲.網(wǎng)絡(luò)安全與入侵檢測技術(shù).四川師范大學(xué)學(xué)報.2001���;24(3):426—428
4 張慧敏,何軍�����,黃厚寬.入侵檢測系統(tǒng).計算機應(yīng)用研究�����,2001����;18(9):38—4l
第8篇
[關(guān)鍵詞] 安全模型 電子商務(wù) 網(wǎng)絡(luò) 局域網(wǎng)
一��、引言
一個電子商務(wù)系統(tǒng)的性能如何����,可以通過網(wǎng)絡(luò)的吞吐量���、主機的運算速度���、數(shù)據(jù)庫的TPC等量化指標(biāo)來衡量,用戶可根據(jù)自己的業(yè)務(wù)情況�����、資金條件來選擇系統(tǒng)性能�。而一個電子商務(wù)系統(tǒng)的安全如何,則是個難以量化的指標(biāo)�����,“什么事情也沒有”實際上就是安全的最高境界����,而“什么事情也沒有”最容易產(chǎn)生忽視安全問題。因此很好地解決系統(tǒng)的安全問題是非常重要的。
二�、動態(tài)安全模型P2DR
由于網(wǎng)絡(luò)技術(shù)的發(fā)展和入侵技術(shù)的不斷提高,傳統(tǒng)的安全模式已經(jīng)不能滿足當(dāng)今的網(wǎng)絡(luò)安全需要���。要達到理想的安全目標(biāo)��,它更應(yīng)該是一個靈活可適應(yīng)的過程,它必須對你的網(wǎng)絡(luò)提供安全狀態(tài)反饋��,迅速分清攻擊和誤操作����,并能夠提供適當(dāng)?shù)闹匦屡渲煤晚憫?yīng)能力。
面對不可避免的各種攻擊���,系統(tǒng)安全的重點應(yīng)放在如何在安全策略的指導(dǎo)下及時發(fā)現(xiàn)問題��,然后迅速響應(yīng)��,P2DR模型就是這樣的一個動態(tài)安全模型���,它對傳統(tǒng)安全模型作了很大改進,引進了時間的概念�����,對實現(xiàn)系統(tǒng)的安全、評價安全狀態(tài)給出了可操作性的描述�����。所謂動態(tài)的�����,是指安全隨著網(wǎng)絡(luò)環(huán)境的變化和技術(shù)的不斷發(fā)展進行不斷的策略調(diào)整;所謂基于時間的�����,是指一個黑客在到達攻擊目標(biāo)之前需要攻破很多的設(shè)備(路由器��,交換機)���、系統(tǒng)(NT, UNIX)和防火墻的障礙�����,在黑客達到目標(biāo)之前的時間��,被稱之為防護時間Pt��;在黑客攻擊過程中��,檢測到他的活動的所用時間稱之為Dt�;檢測到黑客的行為后,需要做出響應(yīng)����,這段時間稱之為Rt。
上圖為P2DR模型���,它包含4個主要部分:Policy(安全策略)、Protection(防護)�����、Detection(檢測)����、Response(響應(yīng)),防護����、檢測和響應(yīng)組成了一個完整的、動態(tài)的安全循環(huán)�����,在安全策略的指導(dǎo)下保證信息系統(tǒng)的安全。即:傳統(tǒng)的防護模式+靜態(tài)漏洞的檢測+動態(tài)威脅的及時檢測+快速的響應(yīng)�����。
在整體的安全策略的控制和指導(dǎo)下�,P2DR模型在綜合運用防護工具(如:防火墻、操作系統(tǒng)身份認(rèn)證����、加密等手段)的同時,利用檢測工具(如:漏洞評估��、入侵檢測等系統(tǒng))了解和評估系統(tǒng)的安全狀態(tài)��,通過適當(dāng)?shù)姆磻?yīng)將系統(tǒng)調(diào)整到“最安全”和“風(fēng)險最低”的狀態(tài)��。P2DR模型可用簡單的數(shù)學(xué)公式來描述:
1. Pt>Dt+Rt
公式中Pt表示系統(tǒng)為了保護安全目標(biāo)設(shè)置各種保護后的防護時間��,也可認(rèn)為是黑客攻擊系統(tǒng)所花的時間�����。Dt表示從攻擊開始����,系統(tǒng)能夠檢測到攻擊行為所花的時間���。Pt為發(fā)現(xiàn)攻擊后,系統(tǒng)能做出足夠響應(yīng)將系統(tǒng)調(diào)整到正常狀態(tài)的時間����。
如果系統(tǒng)能滿足上述公式,即:防護時間Pt大于檢測時間Dt加上響應(yīng)時間Rt���,則認(rèn)為該系統(tǒng)為安全的����,因為它在攻擊危害系統(tǒng)之前就能夠檢測到并及時處理�。
2.Et=Dt+Rt,IF Pt=0
公式中 表示系統(tǒng)的暴露時間����。假定系統(tǒng)的防護時間Rt為0,對Web Server系統(tǒng)就是這樣�,系統(tǒng)突然遭到破壞,則希望系統(tǒng)能快速檢測到并迅速調(diào)整到正常狀態(tài)����,系統(tǒng)的檢測時間Dt和響應(yīng)時間Rt之和就是系統(tǒng)的暴露時間Et�����,該時間越小����,系統(tǒng)安全性越好�����。
由此��,可得出安全的新概念:及時的檢測��、響應(yīng)和恢復(fù)就是安全����。這樣難于量化的安全可通過指標(biāo):防護時間Rt、檢測時間Dt和響應(yīng)時間Rt來衡量��,延長這些指標(biāo)可提高系統(tǒng)的安全性����。
三、基于P2DR模型的安全解決方案
不同的安全應(yīng)用和安全需求����,會形成不同的安全解決方案����,以下三種模型為典型的P2DR模型方案�。
1.動態(tài)安全模型
動態(tài)安全模型(見表1)將傳統(tǒng)的靜態(tài)防火墻和最新的入侵檢測技術(shù)結(jié)合起來,形成動態(tài)的防御體系���。
為了保護一個網(wǎng)絡(luò)的安全����,很多企業(yè)都安裝了防火墻����。防火墻在一定程度上保護我們的網(wǎng)絡(luò)系統(tǒng)不受到入侵,但一方面它只起到網(wǎng)關(guān)和包過濾的作用�����,有些固有的服務(wù)端口必須打開�����,比如www服務(wù)必須要把80端口打開�,那么它無法阻止黑客通過80端口對內(nèi)部的網(wǎng)絡(luò)或系統(tǒng)進行的攻擊,另一方面�,防火墻無法阻止內(nèi)部人員對內(nèi)部網(wǎng)絡(luò)的攻擊,所以要采用實時入侵檢測系統(tǒng)對網(wǎng)絡(luò)進行實時的監(jiān)控��。防火墻好比一個企業(yè)的防盜門��,實時入侵檢測系統(tǒng)好比24小時執(zhí)守的保安����,假如一個人員非法取得鑰匙或破門而入,防盜門無法判斷進入企業(yè)的人是壞人還是好人����,而執(zhí)守的保安會及時判斷這個人可不可以通過。一旦發(fā)現(xiàn)透過防火墻的信息包具有攻擊特征����,馬上重新調(diào)整防火墻,阻止入黑客的進一步入侵����。
2.主頁安全模型
主頁安全模型(見表2)將傳統(tǒng)的、簡單的備份和恢復(fù)機制�����,通過P2DR模型給予全新的描述。例如��,有一個ICP的網(wǎng)站����,為了保護主頁和一些重要的頁面被篡改,或者是被入侵者篡改后能及時恢復(fù)��,首先要對這些主頁進行備份�����。在Web服務(wù)器在運做過程中��,還需要對這些重要頁面進行監(jiān)控�����,比如定時檢查頁面的內(nèi)容是否發(fā)生改變��,頁面文件的字節(jié)數(shù)是否發(fā)生變化等��,一旦這些變化發(fā)生�����,即可判斷很可能是頁面被入侵者修改����。一旦發(fā)現(xiàn)頁面被修改,立即把原來備份的頁面恢復(fù)(Restore)��。
3.系統(tǒng)配置安全模型
系統(tǒng)配置安全模型使得用戶對自身系統(tǒng)的安全狀態(tài)和配置有比較準(zhǔn)確的認(rèn)識(見表3)���。當(dāng)我們在機器上安裝了某個系統(tǒng)�,在正式生產(chǎn)(運行)之前需要對系統(tǒng)進行配置(Security Configuration)��,比如添加用戶���,授權(quán)����,應(yīng)用軟件的安裝及配置等等�。系統(tǒng)經(jīng)過一系列的調(diào)整及配置后,需要對它進行全面的安全評估�,也就是對它進行漏洞的掃描(Vulnerability Scan)。最后根據(jù)掃描結(jié)果�,對漏洞進行修補,并對系統(tǒng)進行重新的配置(Reconfig)。
在實際應(yīng)用中��,可以將這些安全模型進行有機結(jié)合���,形成完整的系統(tǒng)安全解決方案��。
四�、小結(jié)
隨著Internet技術(shù)和規(guī)模的不斷發(fā)展�����,其應(yīng)用的范圍和領(lǐng)域也迅速擴展����,安全問題日益突出,特別是在與金融相關(guān)的領(lǐng)域��。在滿足系統(tǒng)所有需求的基礎(chǔ)上�����,用傳統(tǒng)的方法解決安全問題���,存在很多弊病��。無論從時間����,還是從現(xiàn)有的知識水平來看�����,我們都不可能從一開始就能將安全問題及相應(yīng)的解決方案考慮得滴水不漏��。安全是動態(tài)的��,它隨著新技術(shù)的不斷發(fā)展而發(fā)展���,它集技術(shù)���、管理和法規(guī)綜合作用為一體,因此對安全問題的解決要有一個整體框架���,并體現(xiàn)其動態(tài)性�。
安全是一項系統(tǒng)工程����,除在網(wǎng)絡(luò)設(shè)計、硬件和軟件配置及使用中要高度重視外,還必須建立和完善網(wǎng)絡(luò)安全管理制度����,使管理人員和網(wǎng)絡(luò)用戶牢固樹立安全和法律意識,做到網(wǎng)絡(luò)安全管理的法制化和規(guī)范化���,有效的落實安全管理制度是實現(xiàn)安全的關(guān)鍵�����。從理論上講�����,絕對安全的網(wǎng)絡(luò)是沒有的���,但通過各方面的努力,可以將網(wǎng)絡(luò)潛在的危險性降到最低限度�����。
參考文獻:
[1]周松華:基于資源的電子商務(wù)自動協(xié)商模型研究[D].廣州:華南師范大學(xué)碩士學(xué)位論文,2005
[2]Frank Teuteberg, Karl Kurbel, Anticipating Agents’ Negotiation Strategies in an E-marketplace Using Belief Models. Business Informatics, 2002
