試論計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用安全問題與策略研究
時(shí)間:
郭勤芳 景東平1由 分享
〔論文關(guān)鍵詞〕計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用 網(wǎng)絡(luò)安全問題 策略
[論文摘要]隨著網(wǎng)絡(luò)技術(shù)越來(lái)越廣泛的應(yīng)用于經(jīng)濟(jì)、政治和軍事等各領(lǐng)域,其安全性問題也日益被重視。本文首先從“以傳翰協(xié)議為途徑發(fā)動(dòng)攻擊”等五個(gè)方面論述了計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用中的常見安全問題,隨后從“運(yùn)用入侵檢測(cè)技術(shù)”等四個(gè)方面論述了相關(guān)防護(hù)策略。
引言:隨著萬(wàn)維網(wǎng)wWw的發(fā)展,Internet技術(shù)的應(yīng)用已經(jīng)滲透到科研、經(jīng)濟(jì)、貿(mào)易、政府和軍事等各個(gè)領(lǐng)域,電子商務(wù)和電子政務(wù)等新鮮詞匯也不再新鮮。網(wǎng)絡(luò)技術(shù)在極大方便人民生產(chǎn)生活,提高工作效率和生活水平的同時(shí),其隱藏的安全風(fēng)險(xiǎn)問題也不容忽視。因?yàn)榛赥CP/IP架構(gòu)的計(jì)算機(jī)網(wǎng)絡(luò)是個(gè)開放和自由的網(wǎng)絡(luò),這給黑客攻擊和人侵敞開了大門。傳統(tǒng)的病毒借助于計(jì)算機(jī)網(wǎng)絡(luò)加快其傳播速度,各種針對(duì)網(wǎng)絡(luò)協(xié)議和應(yīng)用程序漏洞的新型攻擊方法也日新月異。因此計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用中的安全問題就日益成為一個(gè)函待研究和解決的問題。
1.計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的常見安全問題
計(jì)算機(jī)網(wǎng)絡(luò)具有大跨度、分布式、無(wú)邊界等特征,為黑客攻擊網(wǎng)絡(luò)提供了方便。加上行為主體身份的隱匿性和網(wǎng)絡(luò)信息的隱蔽性,使得計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用中的惡意攻擊性行為肆意妄為,計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用中常見的安全問題主要有:①利用操作系統(tǒng)的某些服務(wù)開放的端口發(fā)動(dòng)攻擊。這主要是由于軟件中邊界條件、函數(shù)拾針等方面設(shè)計(jì)不當(dāng)或缺乏限制,因而造成地址空間錯(cuò)誤的一種漏洞。如利用軟件系統(tǒng)中對(duì)某種特定類型的報(bào)文或請(qǐng)求沒有處理,導(dǎo)致軟件遇到這種類型的報(bào)文時(shí)運(yùn)行出現(xiàn)異常,從而導(dǎo)致軟件崩潰甚至系統(tǒng)崩潰。比較典型的如OOB攻擊,通過向Windows系統(tǒng)TCP端口139發(fā)送隨機(jī)數(shù)來(lái)攻擊操作系統(tǒng),從而讓中央處理器(CPU)一直處于繁忙狀態(tài)。②以傳輸協(xié)議為途徑發(fā)動(dòng)攻擊。攻擊者利用一些傳輸協(xié)議在其制定過程中存在的一些漏洞進(jìn)行攻擊,通過惡意地請(qǐng)求資源導(dǎo)致服務(wù)超載,造成目標(biāo)系統(tǒng)無(wú)法正常工作或癱瘓。比較典型的例子為利用TCP/IP協(xié)議中的“三次握手”的漏洞發(fā)動(dòng)SYN Flood攻擊?;蛘?,發(fā)送大量的垃圾數(shù)據(jù)包耗盡接收端資源導(dǎo)致系統(tǒng)癱瘓,典型的攻擊方法如ICMP F1ood}Connection Floa」等。③采用偽裝技術(shù)發(fā)動(dòng)攻擊。例如通過偽造IP地址、路由條目、DNS解析地址,使受攻擊的服務(wù)器無(wú)法辨別這些請(qǐng)求或無(wú)法正常響應(yīng)這些請(qǐng)求,從而造成緩沖區(qū)阻塞或死機(jī);或者,通過將局域網(wǎng)中的某臺(tái)機(jī)器IP地址設(shè)置為網(wǎng)關(guān)地址,導(dǎo)致網(wǎng)絡(luò)中數(shù)據(jù)包無(wú)法正常轉(zhuǎn)發(fā)而使某一網(wǎng)段癱瘓。④通過木馬病毒進(jìn)行人侵攻擊。木馬是一種基于遠(yuǎn)程控制的黑客工具,具有隱蔽性和非授權(quán)性的特點(diǎn),一旦被成功植人到目標(biāo)主機(jī)中,用戶的主機(jī)就被黑客完全控制,成為黑客的超級(jí)用戶。木馬程序可以被用來(lái)收集系統(tǒng)中的重要信息,如口令、帳號(hào)、密碼等,對(duì)用戶的信息安全構(gòu)成嚴(yán)重威脅。⑤利用掃描或者Sniffer(嗅探器)作為工具進(jìn)行信息窺探。掃描,是指針對(duì)系統(tǒng)漏洞,對(duì)系統(tǒng)和網(wǎng)絡(luò)的遍歷搜尋行為。由于漏洞普遍存在,掃描手段往往會(huì)被惡意使用和隱蔽使用,探測(cè)他人主機(jī)的有用信息,為進(jìn)一步惡意攻擊做準(zhǔn)備。而嗅探器(sni$}er)是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲目的地為其它計(jì)算機(jī)的數(shù)報(bào)文的一種技術(shù)。網(wǎng)絡(luò)嗅探器通過被動(dòng)地監(jiān)聽網(wǎng)絡(luò)通信、分析數(shù)據(jù)來(lái)非法獲得用戶名、口令等重要信息,它對(duì)網(wǎng)絡(luò)安全的威脅來(lái)自其被動(dòng)性和非干擾性,使得網(wǎng)絡(luò)嗅探具有很強(qiáng)的隱蔽性,往往讓網(wǎng)絡(luò)信息泄密變得不容易被用戶發(fā)現(xiàn)。
2.計(jì)算機(jī)網(wǎng)絡(luò)安全問題的常用策略
2. 1對(duì)孟要的信息數(shù)據(jù)進(jìn)行加密保護(hù)
為了防止對(duì)網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)被人惡意竊聽修改,可以對(duì)數(shù)據(jù)進(jìn)行加密,使數(shù)據(jù)成為密文。如果沒有密鑰,即使是數(shù)據(jù)被別人竊取也無(wú)法將之還原為原數(shù)據(jù),一定程度上保證了數(shù)據(jù)的安全。可以采用對(duì)稱加密和非對(duì)稱加密的方法來(lái)解決。對(duì)稱加密體制就是指加密密鑰和解密密鑰相同的機(jī)制,常用的算法為DES算法,ISO將之作為數(shù)據(jù)加密標(biāo)準(zhǔn)。而非對(duì)稱加密是指加密和解密使用不同的密鑰,每個(gè)用戶保存一個(gè)公開的密鑰和秘密密鑰。公開密鑰用于加密密鑰而秘密密鑰則需要用戶自己保密,用于解密密鑰。具體采取那種加密方式應(yīng)根據(jù)需求而定。
2. 2采用病毒防護(hù)技術(shù)
包括:①未知病毒查殺技術(shù)。未知病毒技術(shù)是繼虛擬執(zhí)行技術(shù)后的又一大技術(shù)突破,它結(jié)合了虛擬技術(shù)和人工智能技術(shù),實(shí)現(xiàn)了對(duì)未知病毒的準(zhǔn)確查殺。②智能引擎技術(shù)。智能引擎技術(shù)發(fā)展了特征碼掃描法的優(yōu)點(diǎn),改進(jìn)了其弊端,使得病毒掃描速度不隨病毒庫(kù)的增大而減慢。③壓縮智能還原技術(shù)。它可以對(duì)壓縮或打包文件在內(nèi)存中還原,從而使得病毒完全暴露出來(lái)。④病毒免疫技術(shù)。病毒免疫技術(shù)一直是反病毒專家研究的熱點(diǎn),它通過加強(qiáng)自主訪問控制和設(shè)置磁盤禁寫保護(hù)區(qū)來(lái)實(shí)現(xiàn)病毒免疫的基本構(gòu)想。⑤嵌人式殺毒技術(shù)。它是對(duì)病毒經(jīng)常攻擊的應(yīng)用程序或?qū)ο筇峁┲攸c(diǎn)保護(hù)的技術(shù),它利用操作系統(tǒng)或應(yīng)用程序提供的內(nèi)部接口來(lái)實(shí)現(xiàn)。它對(duì)使用頻度高、使用范圍廣的主要的應(yīng)用軟件提供被動(dòng)式的防護(hù)。如對(duì)MS一Office, Outlook, IE, Winzip, NetAnt等應(yīng)用軟件進(jìn)行被動(dòng)式殺毒。
2. 3運(yùn)用入俊檢測(cè)技術(shù)
人侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?,F(xiàn)象的技術(shù),是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。人侵檢測(cè)系統(tǒng)的應(yīng)用,能使在人侵攻擊對(duì)系統(tǒng)發(fā)生危害前,檢測(cè)到人侵攻擊,并利用報(bào)警與防護(hù)系統(tǒng)驅(qū)逐人侵攻擊。在人侵攻擊過程中,能減少人侵攻擊所造成的損失。在被人侵攻擊后,收集人侵擊的相關(guān)信息,作為防范系統(tǒng)的知識(shí),添加人知識(shí)庫(kù)內(nèi),以增強(qiáng)系統(tǒng)的防范能力。
根據(jù)采用的檢測(cè)技術(shù),人侵檢測(cè)系統(tǒng)被分為誤用檢測(cè)( Misuse Detec-lion )和異常檢測(cè)(Anomaly Detection)兩大類。誤用檢測(cè)根據(jù)事先定義的人侵模式庫(kù),人侵模式描述了人侵行為的特征、條件、排列以及事件間關(guān)系,檢測(cè)時(shí)通過將收集到的信息與人侵模式進(jìn)行匹配來(lái)判斷是否有人侵行為。它的人侵檢測(cè)性能取決于模式庫(kù)的完整性。它不能檢測(cè)模式庫(kù)中沒有的新入侵行為或者變體,漏報(bào)率較高。而異常檢測(cè)技術(shù)則是通過提取審計(jì)蹤跡(如網(wǎng)絡(luò)流量、日志文件)中的特征數(shù)據(jù)來(lái)描述用戶行為,建立典型網(wǎng)絡(luò)活動(dòng)的輪廓模型用于檢測(cè)。檢測(cè)時(shí)將當(dāng)前行為模式與輪廓模型相比較,如果兩者的偏離程度超過一個(gè)確定的閩值則判定為人侵。比較典型的異常檢測(cè)技術(shù)有統(tǒng)計(jì)分析技術(shù)、機(jī)器學(xué)習(xí)和數(shù)據(jù)挖掘技術(shù)等。二者各有優(yōu)缺點(diǎn):誤用檢測(cè)技術(shù)一般能夠較準(zhǔn)確地檢測(cè)已知的攻擊行為并能確定具體的攻擊,具有低的誤報(bào)率,但面對(duì)新的攻擊行為確無(wú)能為力,漏報(bào)率高;而異常檢測(cè)技術(shù)具有發(fā)現(xiàn)新的攻擊行為的能力,漏報(bào)率低,但其以高的誤報(bào)率為代價(jià)并不能確定具體的攻擊行為?,F(xiàn)在的人侵檢測(cè)技術(shù)朝著綜合化、協(xié)同式和分布式方向發(fā)展,如NIDES,EMER-ALD,Haystack都為誤用與異常檢測(cè)的綜合系統(tǒng),其中用誤用檢測(cè)技術(shù)檢測(cè)已知的人侵行為,而異常檢測(cè)系統(tǒng)檢測(cè)未知的人侵行為。
2. 4利用網(wǎng)絡(luò)防火墻和防毒墻技術(shù)
防火墻是一種隔離控制技術(shù),通過預(yù)定義的安全策略,對(duì)內(nèi)外網(wǎng)通信強(qiáng)制實(shí)施訪問控制,常用的防火墻技術(shù)有包過濾技術(shù)、狀態(tài)檢測(cè)技術(shù)、應(yīng)用網(wǎng)關(guān)技術(shù)。以包過濾技術(shù)為例,它是在網(wǎng)絡(luò)層中對(duì)數(shù)據(jù)包實(shí)施有選擇的通過,依據(jù)系統(tǒng)事先設(shè)定好的過濾邏輯,檢查數(shù)據(jù)據(jù)流中的每個(gè)數(shù)據(jù)包,根據(jù)數(shù)據(jù)包的源地址、目標(biāo)地址、以及包所使用的端口確定是否允許該類數(shù)據(jù)包通過。。防火墻能夠?qū)W(wǎng)絡(luò)數(shù)據(jù)流連接的合法性進(jìn)行分析,但它對(duì)從允許連接的電腦上發(fā)送過來(lái)的病毒數(shù)據(jù)流卻是無(wú)能為力的,因?yàn)樗鼰o(wú)法識(shí)別合法數(shù)據(jù)包中是否存在病毒這一情況;防毒墻則是為了解決防火墻這種防毒缺陷而產(chǎn)生,它是指位于網(wǎng)絡(luò)人口處,用于對(duì)網(wǎng)絡(luò)傳輸中的病毒進(jìn)行過濾的網(wǎng)絡(luò)安全設(shè)備。防毒墻使用簽名技術(shù)在網(wǎng)關(guān)處進(jìn)行查毒工作,阻止
網(wǎng)絡(luò)蠕蟲(Worm)和僵尸網(wǎng)絡(luò)(BOT)的擴(kuò)散。此外,管理人員能夠定義分組的安全策略,以過濾網(wǎng)絡(luò)流量并阻止特定文件傳輸、文件類型擴(kuò)展名、即時(shí)通信信道、批量或單獨(dú)的IP/MAC地址,以及TCP/UDP端口和協(xié)議。
結(jié)束語(yǔ):除了上述的策略外,還有漏洞掃描技術(shù)、(虛擬網(wǎng)專用網(wǎng)絡(luò))技術(shù)、數(shù)據(jù)備份和容災(zāi)技術(shù)等,由于篇幅的原因文中沒有詳細(xì)論述。計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用安全問題隨著各種新技術(shù)和算法的出現(xiàn)而不斷更新和復(fù)雜化,相關(guān)策略也將愈加先進(jìn)。
[論文摘要]隨著網(wǎng)絡(luò)技術(shù)越來(lái)越廣泛的應(yīng)用于經(jīng)濟(jì)、政治和軍事等各領(lǐng)域,其安全性問題也日益被重視。本文首先從“以傳翰協(xié)議為途徑發(fā)動(dòng)攻擊”等五個(gè)方面論述了計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用中的常見安全問題,隨后從“運(yùn)用入侵檢測(cè)技術(shù)”等四個(gè)方面論述了相關(guān)防護(hù)策略。
引言:隨著萬(wàn)維網(wǎng)wWw的發(fā)展,Internet技術(shù)的應(yīng)用已經(jīng)滲透到科研、經(jīng)濟(jì)、貿(mào)易、政府和軍事等各個(gè)領(lǐng)域,電子商務(wù)和電子政務(wù)等新鮮詞匯也不再新鮮。網(wǎng)絡(luò)技術(shù)在極大方便人民生產(chǎn)生活,提高工作效率和生活水平的同時(shí),其隱藏的安全風(fēng)險(xiǎn)問題也不容忽視。因?yàn)榛赥CP/IP架構(gòu)的計(jì)算機(jī)網(wǎng)絡(luò)是個(gè)開放和自由的網(wǎng)絡(luò),這給黑客攻擊和人侵敞開了大門。傳統(tǒng)的病毒借助于計(jì)算機(jī)網(wǎng)絡(luò)加快其傳播速度,各種針對(duì)網(wǎng)絡(luò)協(xié)議和應(yīng)用程序漏洞的新型攻擊方法也日新月異。因此計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用中的安全問題就日益成為一個(gè)函待研究和解決的問題。
1.計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的常見安全問題
計(jì)算機(jī)網(wǎng)絡(luò)具有大跨度、分布式、無(wú)邊界等特征,為黑客攻擊網(wǎng)絡(luò)提供了方便。加上行為主體身份的隱匿性和網(wǎng)絡(luò)信息的隱蔽性,使得計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用中的惡意攻擊性行為肆意妄為,計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用中常見的安全問題主要有:①利用操作系統(tǒng)的某些服務(wù)開放的端口發(fā)動(dòng)攻擊。這主要是由于軟件中邊界條件、函數(shù)拾針等方面設(shè)計(jì)不當(dāng)或缺乏限制,因而造成地址空間錯(cuò)誤的一種漏洞。如利用軟件系統(tǒng)中對(duì)某種特定類型的報(bào)文或請(qǐng)求沒有處理,導(dǎo)致軟件遇到這種類型的報(bào)文時(shí)運(yùn)行出現(xiàn)異常,從而導(dǎo)致軟件崩潰甚至系統(tǒng)崩潰。比較典型的如OOB攻擊,通過向Windows系統(tǒng)TCP端口139發(fā)送隨機(jī)數(shù)來(lái)攻擊操作系統(tǒng),從而讓中央處理器(CPU)一直處于繁忙狀態(tài)。②以傳輸協(xié)議為途徑發(fā)動(dòng)攻擊。攻擊者利用一些傳輸協(xié)議在其制定過程中存在的一些漏洞進(jìn)行攻擊,通過惡意地請(qǐng)求資源導(dǎo)致服務(wù)超載,造成目標(biāo)系統(tǒng)無(wú)法正常工作或癱瘓。比較典型的例子為利用TCP/IP協(xié)議中的“三次握手”的漏洞發(fā)動(dòng)SYN Flood攻擊?;蛘?,發(fā)送大量的垃圾數(shù)據(jù)包耗盡接收端資源導(dǎo)致系統(tǒng)癱瘓,典型的攻擊方法如ICMP F1ood}Connection Floa」等。③采用偽裝技術(shù)發(fā)動(dòng)攻擊。例如通過偽造IP地址、路由條目、DNS解析地址,使受攻擊的服務(wù)器無(wú)法辨別這些請(qǐng)求或無(wú)法正常響應(yīng)這些請(qǐng)求,從而造成緩沖區(qū)阻塞或死機(jī);或者,通過將局域網(wǎng)中的某臺(tái)機(jī)器IP地址設(shè)置為網(wǎng)關(guān)地址,導(dǎo)致網(wǎng)絡(luò)中數(shù)據(jù)包無(wú)法正常轉(zhuǎn)發(fā)而使某一網(wǎng)段癱瘓。④通過木馬病毒進(jìn)行人侵攻擊。木馬是一種基于遠(yuǎn)程控制的黑客工具,具有隱蔽性和非授權(quán)性的特點(diǎn),一旦被成功植人到目標(biāo)主機(jī)中,用戶的主機(jī)就被黑客完全控制,成為黑客的超級(jí)用戶。木馬程序可以被用來(lái)收集系統(tǒng)中的重要信息,如口令、帳號(hào)、密碼等,對(duì)用戶的信息安全構(gòu)成嚴(yán)重威脅。⑤利用掃描或者Sniffer(嗅探器)作為工具進(jìn)行信息窺探。掃描,是指針對(duì)系統(tǒng)漏洞,對(duì)系統(tǒng)和網(wǎng)絡(luò)的遍歷搜尋行為。由于漏洞普遍存在,掃描手段往往會(huì)被惡意使用和隱蔽使用,探測(cè)他人主機(jī)的有用信息,為進(jìn)一步惡意攻擊做準(zhǔn)備。而嗅探器(sni$}er)是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲目的地為其它計(jì)算機(jī)的數(shù)報(bào)文的一種技術(shù)。網(wǎng)絡(luò)嗅探器通過被動(dòng)地監(jiān)聽網(wǎng)絡(luò)通信、分析數(shù)據(jù)來(lái)非法獲得用戶名、口令等重要信息,它對(duì)網(wǎng)絡(luò)安全的威脅來(lái)自其被動(dòng)性和非干擾性,使得網(wǎng)絡(luò)嗅探具有很強(qiáng)的隱蔽性,往往讓網(wǎng)絡(luò)信息泄密變得不容易被用戶發(fā)現(xiàn)。
2.計(jì)算機(jī)網(wǎng)絡(luò)安全問題的常用策略
2. 1對(duì)孟要的信息數(shù)據(jù)進(jìn)行加密保護(hù)
為了防止對(duì)網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)被人惡意竊聽修改,可以對(duì)數(shù)據(jù)進(jìn)行加密,使數(shù)據(jù)成為密文。如果沒有密鑰,即使是數(shù)據(jù)被別人竊取也無(wú)法將之還原為原數(shù)據(jù),一定程度上保證了數(shù)據(jù)的安全。可以采用對(duì)稱加密和非對(duì)稱加密的方法來(lái)解決。對(duì)稱加密體制就是指加密密鑰和解密密鑰相同的機(jī)制,常用的算法為DES算法,ISO將之作為數(shù)據(jù)加密標(biāo)準(zhǔn)。而非對(duì)稱加密是指加密和解密使用不同的密鑰,每個(gè)用戶保存一個(gè)公開的密鑰和秘密密鑰。公開密鑰用于加密密鑰而秘密密鑰則需要用戶自己保密,用于解密密鑰。具體采取那種加密方式應(yīng)根據(jù)需求而定。
2. 2采用病毒防護(hù)技術(shù)
包括:①未知病毒查殺技術(shù)。未知病毒技術(shù)是繼虛擬執(zhí)行技術(shù)后的又一大技術(shù)突破,它結(jié)合了虛擬技術(shù)和人工智能技術(shù),實(shí)現(xiàn)了對(duì)未知病毒的準(zhǔn)確查殺。②智能引擎技術(shù)。智能引擎技術(shù)發(fā)展了特征碼掃描法的優(yōu)點(diǎn),改進(jìn)了其弊端,使得病毒掃描速度不隨病毒庫(kù)的增大而減慢。③壓縮智能還原技術(shù)。它可以對(duì)壓縮或打包文件在內(nèi)存中還原,從而使得病毒完全暴露出來(lái)。④病毒免疫技術(shù)。病毒免疫技術(shù)一直是反病毒專家研究的熱點(diǎn),它通過加強(qiáng)自主訪問控制和設(shè)置磁盤禁寫保護(hù)區(qū)來(lái)實(shí)現(xiàn)病毒免疫的基本構(gòu)想。⑤嵌人式殺毒技術(shù)。它是對(duì)病毒經(jīng)常攻擊的應(yīng)用程序或?qū)ο筇峁┲攸c(diǎn)保護(hù)的技術(shù),它利用操作系統(tǒng)或應(yīng)用程序提供的內(nèi)部接口來(lái)實(shí)現(xiàn)。它對(duì)使用頻度高、使用范圍廣的主要的應(yīng)用軟件提供被動(dòng)式的防護(hù)。如對(duì)MS一Office, Outlook, IE, Winzip, NetAnt等應(yīng)用軟件進(jìn)行被動(dòng)式殺毒。
2. 3運(yùn)用入俊檢測(cè)技術(shù)
人侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?,F(xiàn)象的技術(shù),是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。人侵檢測(cè)系統(tǒng)的應(yīng)用,能使在人侵攻擊對(duì)系統(tǒng)發(fā)生危害前,檢測(cè)到人侵攻擊,并利用報(bào)警與防護(hù)系統(tǒng)驅(qū)逐人侵攻擊。在人侵攻擊過程中,能減少人侵攻擊所造成的損失。在被人侵攻擊后,收集人侵擊的相關(guān)信息,作為防范系統(tǒng)的知識(shí),添加人知識(shí)庫(kù)內(nèi),以增強(qiáng)系統(tǒng)的防范能力。
根據(jù)采用的檢測(cè)技術(shù),人侵檢測(cè)系統(tǒng)被分為誤用檢測(cè)( Misuse Detec-lion )和異常檢測(cè)(Anomaly Detection)兩大類。誤用檢測(cè)根據(jù)事先定義的人侵模式庫(kù),人侵模式描述了人侵行為的特征、條件、排列以及事件間關(guān)系,檢測(cè)時(shí)通過將收集到的信息與人侵模式進(jìn)行匹配來(lái)判斷是否有人侵行為。它的人侵檢測(cè)性能取決于模式庫(kù)的完整性。它不能檢測(cè)模式庫(kù)中沒有的新入侵行為或者變體,漏報(bào)率較高。而異常檢測(cè)技術(shù)則是通過提取審計(jì)蹤跡(如網(wǎng)絡(luò)流量、日志文件)中的特征數(shù)據(jù)來(lái)描述用戶行為,建立典型網(wǎng)絡(luò)活動(dòng)的輪廓模型用于檢測(cè)。檢測(cè)時(shí)將當(dāng)前行為模式與輪廓模型相比較,如果兩者的偏離程度超過一個(gè)確定的閩值則判定為人侵。比較典型的異常檢測(cè)技術(shù)有統(tǒng)計(jì)分析技術(shù)、機(jī)器學(xué)習(xí)和數(shù)據(jù)挖掘技術(shù)等。二者各有優(yōu)缺點(diǎn):誤用檢測(cè)技術(shù)一般能夠較準(zhǔn)確地檢測(cè)已知的攻擊行為并能確定具體的攻擊,具有低的誤報(bào)率,但面對(duì)新的攻擊行為確無(wú)能為力,漏報(bào)率高;而異常檢測(cè)技術(shù)具有發(fā)現(xiàn)新的攻擊行為的能力,漏報(bào)率低,但其以高的誤報(bào)率為代價(jià)并不能確定具體的攻擊行為?,F(xiàn)在的人侵檢測(cè)技術(shù)朝著綜合化、協(xié)同式和分布式方向發(fā)展,如NIDES,EMER-ALD,Haystack都為誤用與異常檢測(cè)的綜合系統(tǒng),其中用誤用檢測(cè)技術(shù)檢測(cè)已知的人侵行為,而異常檢測(cè)系統(tǒng)檢測(cè)未知的人侵行為。
2. 4利用網(wǎng)絡(luò)防火墻和防毒墻技術(shù)
防火墻是一種隔離控制技術(shù),通過預(yù)定義的安全策略,對(duì)內(nèi)外網(wǎng)通信強(qiáng)制實(shí)施訪問控制,常用的防火墻技術(shù)有包過濾技術(shù)、狀態(tài)檢測(cè)技術(shù)、應(yīng)用網(wǎng)關(guān)技術(shù)。以包過濾技術(shù)為例,它是在網(wǎng)絡(luò)層中對(duì)數(shù)據(jù)包實(shí)施有選擇的通過,依據(jù)系統(tǒng)事先設(shè)定好的過濾邏輯,檢查數(shù)據(jù)據(jù)流中的每個(gè)數(shù)據(jù)包,根據(jù)數(shù)據(jù)包的源地址、目標(biāo)地址、以及包所使用的端口確定是否允許該類數(shù)據(jù)包通過。。防火墻能夠?qū)W(wǎng)絡(luò)數(shù)據(jù)流連接的合法性進(jìn)行分析,但它對(duì)從允許連接的電腦上發(fā)送過來(lái)的病毒數(shù)據(jù)流卻是無(wú)能為力的,因?yàn)樗鼰o(wú)法識(shí)別合法數(shù)據(jù)包中是否存在病毒這一情況;防毒墻則是為了解決防火墻這種防毒缺陷而產(chǎn)生,它是指位于網(wǎng)絡(luò)人口處,用于對(duì)網(wǎng)絡(luò)傳輸中的病毒進(jìn)行過濾的網(wǎng)絡(luò)安全設(shè)備。防毒墻使用簽名技術(shù)在網(wǎng)關(guān)處進(jìn)行查毒工作,阻止
網(wǎng)絡(luò)蠕蟲(Worm)和僵尸網(wǎng)絡(luò)(BOT)的擴(kuò)散。此外,管理人員能夠定義分組的安全策略,以過濾網(wǎng)絡(luò)流量并阻止特定文件傳輸、文件類型擴(kuò)展名、即時(shí)通信信道、批量或單獨(dú)的IP/MAC地址,以及TCP/UDP端口和協(xié)議。
結(jié)束語(yǔ):除了上述的策略外,還有漏洞掃描技術(shù)、(虛擬網(wǎng)專用網(wǎng)絡(luò))技術(shù)、數(shù)據(jù)備份和容災(zāi)技術(shù)等,由于篇幅的原因文中沒有詳細(xì)論述。計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用安全問題隨著各種新技術(shù)和算法的出現(xiàn)而不斷更新和復(fù)雜化,相關(guān)策略也將愈加先進(jìn)。