入侵与防御

关键词： 传输层 数据通信 防火墙 引言

入侵与防御（精选十篇）

入侵与防御 篇1

信息化高度发达的今天, 数据通信网络日益普及, 信息的获取和交换日趋便利。与此同时, 它也为网络攻击提供了新的途径与平台, 网络安全因此受到了极大的威胁。传统的防火墙和IDS有着自身的明显不足, 大部分防火墙检查的层次主要集中在传输层以下, 即使是优秀的防火墙也只能提供小部分深度检测能力。当企业服务器接受了这些“糖衣炮弹”后, 攻击者就可以此为跳板, 向企业内网发送大量的攻击性报文。一旦这些人在服务器上留下后门, 那么它就可以在任何时间、任何地点无限制的访问企业整个信息系统。

入侵防御系统 (Intrusion Prevention System, 简称IPS) 是一种全新的技术, 它可以深入分析各种协议报文, 从中找出隐藏的攻击数据, 对恶意报文进行丢弃以阻断攻击, 并且通过报警、联动、阻断等手段直接或间接的保护网络。和传统技术相比, IPS的优点是当它检测到攻击企图后, 它会自动地将攻击包丢掉或采取措施将攻击源阻断。

1 Snort简介

1.1 Snort原理

作为一个NIDS, 其工作原理为:在共享网络上检测原始的网络传输数据, 捕获通过的数据包, 对其进行分析。主要工作为:匹配入侵行为的特征, 从网络活动的角度检测异常行为, 进而采取入侵的预警或记录。

从检测模式而言, Snort属于误用检测 (misuse detection) 。该方法对已知攻击的特征模式进行匹配, 包括利用工作在网卡混杂模式下的嗅探器被动地进行协议分析, 以及对一系列数据包解释, 分析其特征。对每一种入侵行为, 都提炼出它的特征值并按照规范写成检验规则, 从而形成一个规则数据库。其次将捕获的数据包按照规则库逐一匹配, 若匹配成功, 则认为该入侵行为成立。

1.2 Snort系统组成

Snort由三个重要的子系统构成:数据包解码器、检测引擎、日志与报警系统。

1.2.1 数据包解码器

数据包解码器主要是对各种协议栈上的数据包进行解析、预处理, 以便提交给检测引擎进行规则匹配。解码器运行在各种协议栈纸上, 从数据链路层到传输层, 最后到应用层。

因为当前网络中的数据流速度很快, 如何保障较高的速度是解码器子系统中的一个重点。目前, Snort解码器支持的协议包括Ethernet、SLIP和raw (PPP) data-link等。

1.2.2 检测引擎

Snort用一个二维链表存储它的检测规则, 其中一维称为规则头, 另一维称为规则选项。规则头中放置的是一些公共的属性特征, 而规则选项中放置的是一些入侵特征。为了提高检测速度, 通常把最常用的源/目的IP地址和端口信息放在规则头链表中, 而把一些独特的检测标志放在规则选项链表中。规则匹配查找采用递归的方法进行, 检测机制只针对当前已经建立的链表选项进行检测。当数据包满足一个规则时, 就会触发相应的操作。Snort的检测机制非常灵活, 用户可以根据自己的需要方便地在规则表中添加所需的规则块。

1.2.3 日志和报警子系统

日志和报警子系统可以在运行Snort的时候以命令行交互的方式进行选择, 现在可供选择的日志形式有三种, 报警形式有五种。

Snort可以把数据包以解码后的文本形式或者tcpdump的二进制形式进行记录。解码后的格式便于系统对数据进行分析, tcpdump格式可以保证很快地完成磁盘记录功能, 而第三种日志机制就是关闭日志服务, 什么都不做。

报警信息可以发往系统日志, 也可以用两种格式记录到报警文件中去, 或者通过Samba发送WinPopup警告信息, 这可以很方便地在Microsoft Windows95以上版本的桌面进行显示。同样, 第五种方法就是关闭报警, 什么也不做。

2 My IPS的设计与实现

本项目是一个在VS2005平台上开发的MFC应用程序, 使用语言为C++, 使用的数据库为My SQL。

2.1 UI界面设计

IPS的诞生初衷就是为了弥补IDS需要人工干预的缺点。所以本系统的UI界面力求简洁明了, 只和用户进行基本的交互行为, 即启动、停止系统以及查看报警记录。My IPS的主界面如图一所示。

(1) 左侧上方的是Snort参数输入框, 它的作用是读取Snort的启动参数, 以便使用各种Snort运行模式。笔者一般使用“-i 4-dev-c c:snortetcsnort.conf-l c:snortlog”作为参数。

(2) 左侧的一排按钮, 功能分别是:

(1) 启动监控:调用Snort进程;

(2) 停止监控:关闭Snort进程;

(3) 清屏:清空监视器运行情况的内容;

(4) 启动入侵防御模式:开始监听Snort报警信息;

(5) 取消过滤器:删除当前建立的过滤器, 之后建立的仍然正常工作;

(6) 停用入侵防御模式:停止监听Snort报警信息;

(7) 显示报警记录:查看所有数据库中的报警记录;

(8) 退出:退出程序。

(3) 中间上方的是一个Cedit控件, 在启动入侵防御模式后, 在这里显示监听状态。

(4) 正中间的报警记录表是一个List Control控件, 用来显示数据库中的报警信息。

(5) 中间下侧的也是一个Cedit控件, 用来显示警报的分析信息。

2.2 系统结构设计

My IPS的系统框架由入侵检测模块、监听警报模块和入侵响应模块组成。启动监控功能即调用Snort进程开始抓包检测, Snort根据规则链发出警报写入数据库。这些都在后台完成。启动入侵防御模式即运行监听警报模块, 如果监听警报模块读取到新的报警信息便会驱动入侵响应模块。入侵响应模块的主要工作是根据捕获到的警报信息配置包过滤防火墙, 同时刷新UI界面上的警报记录列表, 如图二所示。

2.3 数据库设计

图三为acid event表结构图。

3 结束语

入侵防御是一项新兴而且复杂的技术, 一个商业化的IPS是嵌入式并以在线方式监听数据流的。笔者所做的是入侵检测+防火墙的入侵防御实验。结果表明, 将这两项技术有机结合起来, 可以达到入侵防御的效果。

为了使My IPS能根据Snort的报警产生阻断响应, 本项目对报警信息进行了大量的分析。通过对大量关于网络安全知识方面的资料进行调研, 并结合自己的不断实践, 力求完全了解每一种已知的Snort报警信息, 从而进行正确的响应。

摘要：在网络化高度发达的今天, 从网络中获取信息已经成为人们日常生活中不可分割的一部分。网络已经成为经济、文化、军事和社会活动中无处不在的工具, 在带来发展的同时, 网络安全问题也随之突显出来。在这样的环境下, 网络安全技术不得不与时俱进, 以增强网络安全的保障。传统的入侵检测系统、防火墙等在保障信息安全上都发挥着巨大的应用, 但是他们的作用单一, 无法应对复杂多变的网络环境。本文将入侵检测和防火墙相结合, 来实现一个简单的入侵防御系统IPS。

关键词：入侵防御系统,防火墙,过滤器

参考文献

[1]马丽, 袁津生, 王雅超.基于行为的入侵防御系统研究[J].网络安全技术与应用, 2006, (06) :33-35.

[2]王栋.防火墙深度包检测技术研究[D].西安:西安电子科技大学, 2005.

[3]赵艳芬, 吴秋新.入侵防御系统的技术分析[J].网络安全技术与应用, 2008, (06) :41-43.

[4]黄刚.入侵防御系统关键技术研究[J].网络安全技术与应用, 2008, (05) :32-34.

[5]谢少春.Snort入侵检测系统的研究及其性能改进[D].西安:西安理工大学, 2008.

入侵手段与其防御攻略 篇2

一、的入侵手段

现在 进行网站入侵的第一种技术就是注入攻击，包括服务器的一些较为流行的攻防技术。在讲解网站安全攻防技术之前，我想做个调查：现在大家在运营自己的网站的时候，遇到过 入侵过的站长请按1，没有请按2……哇，居然有这么多被 入侵过的朋友，那我想今天大家来对了。

现在 进行网站入侵的第一种技术就是注入攻击，这是一种很多网站普遍遇到的安全问题，很多网络程序员在编写网站程序的时候，都没有注意到对URL访问数据库作出限制，主要是编写动态操作数据库的ASP/ASP.NET/PHP/jsp(SUN企业级应用的首选)等语言。那我举一个简单的例子大家看看这个网站

219.221.200.61//show.aspid=52

大家可以在这个网站网址后面加上一个单引号然后再打开看看，页面就无法显示了，然后再输入and1=1，再看结果;然后再输入and1=2，再看结果。如果输入and1=1和and1=2页面返回的结果不一样，那么就说明网站有注入漏洞。

注入漏洞的类型有好几种：包括字符型注入，搜索型注入。各种注入都是万变不离其中，都是为了列举数据库的内容，拿数据库主要就是为了进后台传WEB木马。

所以第二个 入侵的手段是利用上传漏洞进行入侵。上传漏洞是由于很多网站需要用户上传照片，用户资料等功能所造成的，只不过现在都要用一些专业的工具来上传，很多工具都还是可以绕过上传文件限制来传WEB木马，所以上传这一块功能方面要尽量多设置一些安全防御措施。

比如：第一，限制上传文件类型;第二，设置一个专门的上传文件夹，给这个文件夹只有查看的权限，而没有运行脚本的权限;第三，安装一些安全软件，包括杀毒软件和IPS系统之类的;第四，限制上传文件大小。

刚才我们讲的两块主要是侧重于ASP+ACCESS方面的 入侵技术，下面讲的主要是侧重于ASP+SQL的安全攻防技术。

很多条件好点的站长都有自己的服务器了，而且随着用户访问量的不断增长，很多人都改用速度更快，容量更大的SQL数据库了。因此，这方面也引起了 的关注。

SQL的SA帐号就是系统管理员帐号，如果 利用到网站的注入漏洞就很容易获取系统的最高权限，一旦 获取了最高权限，完全可以用NBSI等注入工具来建立系统帐号，并且利用3389端口远程登录进去，这一块的技术就是SA注入攻击方式，

前几年国内外网络游戏被 入侵大部分都是 利用SA注入漏洞的技术手段来入侵的。

我们刚才讲了SQL的SA权限的入侵技术，那么SQL总共有哪几种权限呢?是不是只有SA权限是会被 利用的?错了，除了最高的SA权限之外，DBOWNER和PUBLIC等权限都有被 利用的可能。

SQL权限的高低顺序依次是SA，DBOWNER，PUBLIC。

DBOWNER这一块的 入侵技术主要一种方式是差异化备份技术，这是 利用数据库的备份功能，把一些一句话木马通过数据库备份到一个指定的目录里面，然后通过C/S木马上传WEB木马，然后用WEB木马来提权，获取系统权限，最后这个PUBLIC也有可能会被 利用， 利用这种权限只能列举数据库，所以这种方式 会列举出后台帐号和密码，然后利用后台上传WEB木马。

在这里我要告诉大家的是， 的入侵手段有很多种搭配方式。我们来分析一下 的各类入侵手段的分类。注入漏洞和上传漏洞都是入侵技术。而把权限提升为最高权限在 的术语中被成为提权，然后 拿到最高权限之后，有一部分会进行挂马，有的会去窃取网站资料，最后一步就是清除日志，这是 的扫尾工作。这几种方式当中的每一种都有很多个不同的入侵方式，所以可以进行自由搭配，这样延伸出来的 技术就会有很多种。

二、如何防御 的入侵?

好了，我们现在再来给大家讲解一下面对这些 的入侵手段，我们怎么来防御。

首先，注入漏洞这一块。我们现在有一种防御方面，我们公司自己编写了一个ASP防注入代码，把防注入代码加入到连接数据库的文件里面，就可以有效的防御大部分的注入漏洞，这个代码我明天会发给一方，一方会统一发给大家的。好，然后上传漏洞这一块我们怎么来防御呢?

第一，限制上传类型，只允许用户用到的文件类型;第二，指定一个专门的文件夹，这个文件夹里面的文件都不给脚本运行权限，这样 即使传了ASP木马上去，但是也不能运行，除了IIS扩展里面允许的这些扩展名之外，其它的都不能运行， 传上一些非ASP的文件之后，是不能正常运行的，除了IIS扩展里面允许的这些扩展名之外，其它的都不能运行，所以IIS扩展里面尽量把一些不需要的扩展名都给删除掉。

入侵与防御 篇3

关键词：可编程门阵列；网络处理器；入侵防御系统

中图分类号：TP393文献标识码：A文章编号：1007-9599 (2011) 07-0000-01

High-performance Intrusion Prevention Technology Research and Implementation Based on Programmable Gate Array

Yao Lei

(Huaibei Mining Group,Informatization Management Department,Huaibei235000,China)

Abstract:Based on the x86 architecture gateway intrusion prevention system can not meet the high-speed network performance requirements.Level and above in high-speed Gigabit network environment,the industry to use more network processors,intrusion defense system program.This paper analyzes the characteristics of intrusion prevention system technology based on network processors and by the respective programmable gate array technical characteristics of intrusion defense system comparison,demonstrated programmable gate array-based method has better performance advantage,and proposed a Programmable gate array-based intrusion prevention system implementation.

Keywords:Programmable gate array;Network processor;Intrusion Prevention System

一、引言

随着网络带宽的飞速增长，千兆及以上网络已经逐步成为主流的网络环境。网络入侵防御系统（Intrusion Prevent System，IPS）在网络边界处对进入内网的网络数据进行安全检测，阻断恶意入侵数据包，对于保障整个网络的安全性具有意义。和其他网络安全产品相比，IPS对整个网络带宽的影响更为明显。因为入侵防御系统要进行深度数据包检测，根据特定模式匹配整个数据包的内容，其他的网络安全产品例如防火墙，只用处理数据包中包头的内容即可。千兆网络环境下入侵防御技术的难点是性能问题，随着带宽从百兆到千兆的增加，对入侵防御系统的处理能力提出了挑战，基于X86架构的软件模式的系统性能已经不能满足千兆网络要求。目前业界多采用可编程网络处理器方案（Programmable Network Processor，NP）实现入侵防御系统，与其它处理模式相比，这种方法能显著提高入侵防御系统性能。但因为网络处理器架构所限，在偏重应用层功能的入侵防御系统开发中仍存在性能瓶颈，难以满足高性能网络环境下的处理要求。由此可见，进一步提高IPS系统在高速网络环境下的处理性能已经成为一个迫切的技术问题。本文提出了一种基于可编程门阵列（Field Programable Gate Array，FPGA）的入侵防御系统构建方法，克服了传统IPS构建方法的缺陷，可以显著提高IPS系统的处理性能。

二、硬件介绍

（一）可编程网络处理器。可编程网络处理器是一种可编程器件，它既能安放在接口卡的快速通路中，类似于固定功能ASIC；又具有更高级的编程能力，类似于通用CPU的功能。

（二）可编程门阵列。FPGA是可编程逻辑电路器件，可以通过编程实现特定处理功能。

FPGA芯片在内部通过逻辑电路完成功能，可以具有很高的处理性能：

1.数据流模型，消除数据传输及处理瓶颈。

2.多路访问外部内存，消除了内存访问瓶颈。

3.可以直接耦合I/O器件，消除I/O瓶颈。

4.FPGA芯片的指令系统比较高效，目前每个处理单元相当于一个硬编码指令系统处理器，在一个时钟周期内能够完成多重if-else嵌套，判断及赋值。

5.可以实现高度并行流水处理。可在系统中增加新的功能，完全不影响整个系统处理能力，具有高度的可扩展性。

（三）现有IPS构建方法缺陷分析。根据处理模式特点，实现硬件IPS需要考虑扩展性和性能两方面。在这两个方面，NP和FPGA是各有所长，也各有缺点。

微处理引擎数目少，每个微引擎指令空间小。

NP的设计主要是面向包转发的，NP几乎无法应用于TCP协议以上的复杂应用

（四）基于FPGA的IPS实现方案。本文提出了新的基于FPGA的IPS实现方案，避免了现有网络处理器和FPGA芯片的缺点，同时兼顾实现成本和性能两方面。

本文提出的入侵防御实现模型硬件方案为基于带PCI接口的工控机和完成入侵防御功能的PCI板卡。

整个系统由主板卡和PCI接口板卡两部分组成。

主板卡使用x86 CPU，有硬盘和内存，运行Linux操作系统，执行配置功能，通过PCI接口配置IPS功能模块运行参数及各种规则，并从PCI接口板卡处获得日志及告警信息。

主板卡上有RJ45的通讯/响应口和IPS管理控制台联系。

PCI接口板卡上有监听口接收网络流量。

通过PCI接口接收IPS规则和其他控制命令；把报警信息、状态信息或其他日志信息传送给通讯程序，再传送给控制台。

特点是把TCP重组、IP重组、应用协议界面、DDR RAM控制等关键功能放入FPGA芯片中完成，以达到更高的效率。

1.数据接收模块接收网络中的数据流，发送到接收数据缓存，用队列的形式存储。

2.数据包分类模块做一些基础的检测，根据基于统计的规则、简单的内容匹配规则过滤和报警不合要求的数据包。

3.IPS有TCP阻断功能，需要发送数据包。因此在设计中加入包转发、路由、ARP协议等功能模块，可以实现数据发送。

4.IP重组模块、TCP重组模块实现完整的TCP/IP协议栈。在解码时根据规则定义把对IPS的欺骗报警。

5.IP重组模块、TCP重组模块通过会话状态DDR控制器在DDR RAM中维护会话状态表和重组后内容的缓冲区。设计为类socket结构，应用协议解码模块可以通过会话名和缓冲区指针访问构造好的TCP缓冲区。

6.每个模块在需要做规则匹配时调用规则匹配模块，规则匹配模块返回匹配结果。

五、结语

针对现在IPS系统功能的应用层防护倾向，本文分析了现有的IPS系统构建方法的缺陷，提出了一种新的机遇FPGA的IPS构建方法，给出了设计方法，提高了IPS系统的网络处理性能，增强了IPS系统在现在高速网路环境中的实际可用性。

参考文献：

[1]Xilinx Inc.XC4000Eand XC4000XSeries Field Programma-ble Gate Arrays,1999

网络入侵防御系统的分析与设计 篇4

网络安全是指计算机网络中的数据和信息安全,要保护网络安全就必须保护各种硬件资源和软件资源。网络安全的研究范畴涉及到计算机网络中的信息保密性、完整性、可用性、真实性和可控性的相关技术和理论。随着计算机技术的迅猛发展,网络被广泛应用到社会生活中方方面面,但由于网络本身的安全方面的漏洞,黑客网络攻击与入侵行为,给国家安全、经济发展、社会稳定构成了巨大威胁,这势必会阻碍信息化发展进程。保证网络信息安全势在必行,对此,本文提出了一种基于snort_inline的入侵检测技术的网络入侵防御系统。

二、常见的攻击方法

黑客攻击是威胁网络安全的重大隐患,了解黑客的攻击步骤和方法有利于维护和防范网络信息安全。

1. 缓冲区溢出攻击

缓冲区溢出攻击是指黑客通过对程序写入缓冲区超过其长度的内容导致缓冲区溢出,造成对程序堆栈的破坏,导致程序转而执行其它指令以实现其对目标的攻击。

2. 欺骗攻击

欺骗攻击的常见方法有:IP欺骗攻击、DNS欺骗、网页欺骗攻击等等。IP欺骗攻击就是黑客通过改变自己的IP地址伪装成其他计算机的IP,以获取信息或特权。DNS欺骗是将一个DNS所对应的合法IP更改为另一个非法的IP地址。网页欺骗攻击是黑客通过对网站上网页的复制进行链接修改,监测用户的整个HTTP请求过程中,截获用户的帐号和密码等信息。

3. 拒绝服务攻击

拒绝服务攻击(DOS)则是利用TCP/IP协议的漏洞,将提供服务的系统资源耗尽,导致目标系统因为遭受某种程度的破坏而不能继续提供正常服务,甚至造成目标主机系统的瘫痪或崩溃。

4. 网络嗅探

网络嗅探是让网络接口接收不属于本主机的数据。通常计算机网络建立在共享通道上,以太网正是这样一个共享信道的网络,其数据报头包含了目的主机的硬件地址,只有当硬件地址与机器相匹配时才接收得到该数据包。一个能接收所有数据包的机器被称为杂错节点。在以太网中,账户和口令等信息通常都以明文的形式传输,一旦被黑客在杂错节点上嗅探到,用户就可能会遭到损害。

5. 特洛伊木马

特洛伊木马是一种直接由黑客通过一个平时容易忽视的合法用户(如guest,user等)秘密安装到目标系统中的程序。一旦安装成功并取得管理员权限,安装人就可以远程控制目标系统,对系统信息进行窃取或破坏。

三、入侵防御体系的设计

1. 入侵防御系统设计原则

计算机网络环境相当复杂,涉及的安全问题也很多,黑客对计算机网络的攻击方式也形式多样、层出不穷、不断创新。为了有效的保护计算机网络的信息安全,本网络入侵防御系统设计时,必须坚持以下几个原则:

(1)分布式原则。入侵防御系统(DIPS)必须集成主机入侵防御系统(HIPS)、应用入侵防御系统(AIPS)、网络入侵防御系统(NIPS)的优点,以便于对信息进行多点收集和跟踪分析。分布式设计必须保证当某一处网络入侵防御系统(NIPS)发生故障时,对其它设备不造成任何影响。

(2)可靠性原则。NIPS采用内嵌式(in-line),如果内嵌式的设备发生故障,极有可能会造成网络访问路径中断,进而引起服务被拒绝的状况出现。因此,NIPS对设备的可靠性要求很高,必须尽可能的将故障率降到最低。

(3)可扩充性原则。黑客的入侵攻击技术在不断的发展与更新,因此,入侵防御系统也必须随之扩充,提供修改检测模块和规则库的功能来应对不断出现的新攻击。对新的攻击特征,可采用规则表达式表达出来,然后由管理中心将此操作写入规则库中。

(4)高性能原则。网络通信必须保证足够大的流量和较低的延迟,因此,NIPS在对数据包进行处理时,必须以最快速度进行,尽可能达到实际环境所需的设备速率,避免出现网络瓶颈。

(5)高准确性原则。如果入侵防御系统发生误报,将会产生严重后果,当NIPS发现可疑数据包时,会丢弃该包,甚至阻断可疑的通信,这将对正常通信造成严重影响,因此,高准确性是NIPS成功的关键。

(6)易用性原则。系统最终能否成功应用取决与用户的支持,因此NIPS要易于使用,提供友好的界面,无需专业人士即可管理和使用。另外,系统还应具备完善的告警和记录功能,便于取证分析。

2. 系统体系结构

NIPS是基于入侵检测系统和防火墙技术而构建的,以内嵌方式被部署在被保护网络的关键位置(比如外网与内网的连接链路上,或子网与子网之间的连接链路上),这样才能保证所有经过sensor的数据均可被截取到。本系统集成了入侵防御技术和防火墙技术,形成一种更深层的检测与防护解决的方案。关键网络位置都需要采用NIPS进行安全防护。系统运用虚拟蜜罐技术构建的蜜罐系统来构建虚拟主机,吸引黑客的入侵。蜜罐系统以子系统的方式与NIPS平行工作,也可单独部署。

综上所述,该NIPS是一种全方位、多层次的网络安全体系,具有集中式安全管理、分布式部署、高性能高准确、高扩展性和友好性等特点,能够实时主动的阻断入侵。

四、关键技术与实现

1. 入侵检测

NIPS最重要的功能是可以检测存在于网络数据流中的入侵行为,其核心部分是入侵检测模块。开放源代码入侵检测软件Snort及其修改版snort_inline具有更新及时的入侵特征库,鉴于其成熟性和可维护性,本系统的入侵检测子模块决定采用snort_inline的入侵检测技术。实现步骤如下:

(1)数据包解码。根据TCP/IP协议标准分析出数据包各个部分信息,如数据包的长度、源目的地址、源目的端口等;分析的过程中,如出现TCP数据包的检查和校验错误等协议分析异常的话,通过设置标志位将此数据包丢弃。

(2)对解码的数据包进行预处理。将解码过的数据包通过Preprocess函数传给预处理器,预处理器对数据包进行碎片重组、http规范化(协议解码器)等处理,以提高检测的精度和正确度。

(3)入侵检测。由函数Detect(P)实现对入侵行为的检测,Detect调用快速检测引擎fp Eval Packet(P),fpEvalPacket,根据数据包协议类型对数据包进行检测。

(4)完成检测。根据规则链,调用fpEvalHaederSW进行匹配,在检测过程中,如果检测引擎中的某条规则被匹配,用FpLgoEvent对这个事件进行记录,由响应处理模块进行事件响应。经过检测引擎检查后的数据包,通过HnadlPeacket的响应并输出,实现入侵防御。

2. 入侵防御

入侵检测是对数据包中与规则链相匹配的事件信息进行分析,从而发现入侵行为。当这些违反安全策略的数据包或事件被检测出来后,检测系统针对这些被记录下来的数据对网络安全状况进行分析并确定系统所出问题之后,接下来就必须针对这些安全漏洞问题采取行动,这在入侵检测处理过程模型中称为响应。响应包括主动响应和被动响应。主动响应是指系统自动的或在用户配合下,对阻塞或影响系统的入侵攻击进程采取行动;而被动响应则是系统只将所检测出来的问题做简单的记录和报告。

在本设计中,NIPS采用了主动方式和被动方式相结合的方案来实现网络多方位的安全防护。在入侵检测中,对有问题的数据采用被动方式进行记录和报警,便于分析网络中出现的安全问题。但是,被动方式跟传统的IDS被动响应相一致,当IDS检测出入侵行为后,在做出主动响应的同时,系统已经受到危及了,并不能真正实现系统的安全防护。因此,还必须结合主动方式对网络信息进行实时响应,阻断入侵行为。其方法如下:

(1)在入侵检测中,发现含有入侵行为的恶意数据包时采取直接丢弃,使其无法到达目标主机;

(2)通过对问题数据包内容的修改,使其恶意功能消失,对系统安全不造成威胁;

(3)对入侵者的入侵信息进行相应,向其计算机发送TCP reset数据包,或发送ICMP port unreachable(端口不可达)的数据包;

(4)利用防火墙和网关直接阻止来自入侵者IP地址的所有数据包。

3. 蜜罐子系统

黑客的入侵技术和方法是在不断的进步和发展的,但当NIPS的入侵检测规则库与新型的攻击脱节时,NIPS将检测不出攻击,出现一定的漏报,这种情况可以采用蜜罐系统进行弥补。在网络中所有连接到蜜罐的活动或交互行为都可以被认为是可疑的或是具有恶意的。在NIPS方案中,采取使用低交互蜜罐方案,将蜜罐系统作为NIPS的一个有力补充,降低整个系统安全的风险,避免影响网络及其它主机的安全,提高整体的网络安全。

鉴于开发周期的局限和蜜罐的复杂性,我们决定采用开放原代码的蜜罐Honeyd作为本系统的蜜罐系统方案。Honeyd是一个能在网络中实现创建虚拟主机的守护进程,该虚拟主机能够进行配置,运行任意程序,并可模拟TCP特性,使它们看起来像是正常运行的主机操作系统。虚拟主机上任何类型的服务都可以依照一个简单的配置文件进行模拟。Honeyd能在一个模拟的局域网环境里让一台主机配有多个地址,并且可以对虚拟主机进行ping、traceroute操作,也可以一台主机做代理服务。以此蜜罐系统作为目标主机的替身,让它模拟一个或多个易受攻击的服务器,将这些服务器的文件系统配置成带有欺骗性的系统属性,用来模拟关键系统的外表表象和内容。同时向管理控制台发出告警和日志信息,通过对这些信息的审计和抽取,系统对入侵检测子系统检测模块和规则库进行更新,将新的规则添加进去,调整NIPS策略,以便阻止攻击源的入侵。当然也可以采用主动响应模式,通过配置蜜罐的响应策略,直接断开非法入侵的连接。

五、结束语

本文提出的NIPS设计方案中融入了防火墙和入侵检测技术,这不仅提高了入侵抵御系统对安全事件的响应能力,并且由于加入了蜜罐技术对黑客进行迷惑,从多方面保障了网络的整体安全性。在科技飞速发展的今天,单功能产品早已无法满足时代的潮流,安全产品必然向集中、融合、协同的网络安全管理趋势发展,因此,入侵防御系统势也应顺应时代,不断完善与创新。

参考文献

[1]聂林等.入侵防御系统的研究与分析[J].计算机应用研究,2005,9:131-136.

[2]杨德刚.基于模糊C均值聚类的网络入侵检测算法[J].计算机科学,2005,32(1):86-91.

[3]张中辉,操家庆,梁意文.基于联动机制的入侵防御系统[J].计算机时代,2006,(7):28-29.

入侵与防御 篇5

随着网络的普及安全问题越来越得到来自于普通用户以及企业用户的重视，俗话说魔高一尺道高一丈在企业与个人用户使用功能强大杀毒软件防护网络及本机系统的同时，病毒与 技术也在深入发展。只有保持最先进的杀毒引擎才能够在这场没有硝烟的战斗中获得最终的胜利，近日笔者有幸拿到了Mcafee公司的最新版杀毒软件Mcafee virusScan plus 2009，下面就请各位跟随笔者一起多管齐下防病毒――Mcafee 2009火线试用。

一，产品外观：

笔者拿到杀毒软件Mcafee virusScan pulus 2009后首先查看了他的配件组合，该款杀毒软件由外包装盒，一张Mcafee virusScan plus 2009安装光盘以及一张快速安装说明。(如图1)

快速入门指南为我们提供了多个语言版本的安装说明，包括英文，中文简体以及中文繁体，拥有这个入门指南可以让我们更快的安装杀毒软件并更好的使用他。入门指南主要描述了如何安装Mcafee virusScan plus 2009以及激活注册等步骤。(如图2)

在外包装盒的背面主要针对Mcafee virusScan plus 2009的特点以及应用订购期限进行了描述，通过Mcafee virusScan plus 2009安装杀毒软件可以在一年订购期内持续和自动更新。当然这个版本的杀软也不能随便安装，笔者在背面下方看到了明确描述――“若要安装本软件并接收自动更新和升级，使您的安全产品始终处于最新状态，您需要连接因特网，同时您可以将本产品安装在三台电脑上。”也就是说我们只能够在三台计算机上安装此款杀毒软件并获得为期一年的更新维护权限。(如图3)

二，安装Mcafee virusScan plus 2009：

接下来我们针对Mcafee virusScan plus 2009进行安装，默认光盘中有Mcafee virusScan pulus 2009主程序以及其他相关自述文件以及用户手册电子版。

第一步：自动运行光盘后我们选择“安装Mcafee virusScan plus”。(如图4)

第二步：Mcafee virusScan plus 2009支持多国语言，我们从下拉菜单中找到“中国-简体中文”，然后点“接受”按钮。(如图5)

第三步：Mcafee virusScan plus 2009为我们普通用户提供了两种安装类型，一个是完全安装，另一个是自定义，前者将安装包括杀毒软件，防火墙等多个组件到本地系统，而后者可以自行选择安装组件。(如图6)

第四步：同时我们还需要针对更新方式进行选择，Mcafee virusScan plus 2009为我们考虑到了无法直接连接internet的情况，这时大部分病毒库升级都是通过手工或直接安装病毒库文件来完成。如果本机能够顺利连接internet，那么选择第一项即可。(如图7)

第五步：接下来Mcafee安装程序会自动连接网络从网上下载最新版本的Mcafee杀毒程序，发现有更新版本的话将先下载最新版本后再安装而不直接使用光盘中的版本进行安装。(如图8)

第六步：下载新版McAfee的速度还是不错的，刚开始比较慢之后能够跑到带宽最大值。(如图9)

小提示：

笔者特意查询了配套安装光盘中程序的容量，总容量是58.6MB，而通过自带的download manager程序下载的最新McAfee杀毒程序的容量却是69MB，两者区别不言而喻，

经过比对笔者发现光盘中的程序最后封装时间为5月9日，因此后续版本容量增大不少也就不为怪了。(如图10)

第七步：接下来才是正式安装阶段，不过Mcafee为了防止安装前本机系统已经感染病毒，所以特意添加了安装前扫描的环节，在安装前程序会自动快速扫描当前PC是否存在威胁并自动删除所感染的一切病毒，如果不能自动删除软件会告诉用户如何清除计算机中的病毒并继续安装。(如图11)

第八步：扫描完毕之后才是正式的安装阶段，程序复制必须文件到本地硬盘，依次安装的组件为securitycenter安全中心，virusscan病毒扫描组件，personal firewall个人防火墙以及产品配置信息。(如图12)

第九步：安装完毕后Mcafee virusScan plus 2009会自动开启自我保护功能，全部完成后点相关按钮关闭即可。(如图13)

三，激活Mcafee virusScan plus 2009：

安装完Mcafee 2009后我们还不能够马上使用，因为当前杀毒软件没有被激活，无法顺利更新到最新病毒库自然防毒效果不太好，因此我们要针对Mcafee virusScan plus 2009进行激活操作。

第一步：笔者使用的版本支持12个月的自动更新服务，在安装后直接点“下一步”进入注册激活环节。(如图14)

第二步：注册McAfee帐户，包括名字，姓氏，电子邮件地址，密码以及密码确认等信息。需要特别注意一点的是McAfee帐户密码注册比较苛刻，要求密码长度必须介于8到32个字符之间，而且至少包含一个字母和一个数字。(如图15)

第三步：之后程序会自动连接McAfee站点更新帐户信息同时获得激活服务，本机可以享受12个月的自动更新服务。(如图16)

第四步：激活后我们在McAfee securitycenter的主界面中可以看到相关的“订购到期日期”为12月5日。(如图17)

第五步：每次更新不管是自动还是手动在系统任务栏处都会出现一个小图标，同时重要组件更新完毕后还需要我们重新启动计算机来生效。(如图18)

至此我们就完成了Mcafee virusScan plus 2009的安装工作，接下来就看看这个新版的20杀毒软件能否为我们带来高可靠高安全的保护。

四，八大特色多管齐下防病毒――Mcafee 2009火线试用：

Mcafee virusScan plus 2009作为Mcafee于2009年推出的重头产品必然在多个方面有出色的表现，笔者也详细而全面的针对其所有功能进行了测试，个人感觉Mcafee virusScan plus 2009在以下八个方面很有特色，值得用户应用。

(1)安装前的病毒扫描：

在上面的安装过程中笔者就谈到了Mcafee virusScan plus 2009会在安装主程序前针对当前系统进行扫描，同时清除已经存在系统中的危险程序。这个功能可以非常有效的减少杀毒软件被病毒“杀掉”问题的发生，要知道很多病毒威力巨大，笔者就曾经遇到过在已经感染病毒的计算机上安装多个杀毒软件都马上被干掉的情况。所以在安装Mcafee virusScan plus 2009前首先对系统进行病毒扫描针对可疑进程强行关闭的功能非常不错。

小提示：

入侵与防御 篇6

关键词：入侵检测,网络安全,入侵防御

随着网络和通信技术的不断发展，Internet的规模迅速扩张，越来越多的政府、企业以及团体等纷纷拥有了自己的内部网络并直接或间接接入Internet。目前，Internet已经深入到了全球的各个角落，网络的应用领域也从传统的小型业务系统逐渐向大型、关键业务系统扩展。随着网络经济和网络时代的到来，经济、文化、军事和社会生活将会强烈地依赖网络。以Internet为代表的全球性信息网络迅速发展，极大地提高了生产力，不仅改变了人们的生产方式、生活方式、学习方式，甚至改变了人们的思维方式。

1 入侵防御体系的提出

由于防火墙和入侵检测系统的自身缺陷，已经无法满足目前网络环境的变化对安全的需求，因此人们提出入侵防御系统(Intrusion Prevention System，简称IPS)的解决方案。IPS是一种主动防御的解决方案，它可以阻止由防火墙漏掉的或者IDS只能检测而不能处理的安全事件，从而减少因安全事件而受到的损失，增强系统和网络的安全性和可用性。

和IDS相比较，从功能上来看，IDS是一种并联在网络上的设备，它只能被动地检测网络遭到了何种攻击，它的阻断攻击能力非常有限，一般采取报警、日志方式。而IPS则是一种主动的、积极的入侵防范、阻止系统，它部署在网络的进出口处，当它检测到攻击企图后，它会自动地将攻击包丢掉或采取措施将攻击源阻断。

和防火墙相比较，防火墙只能对数据包进行粗粒度的检测，检测性能很低。IPS能对防火墙所不能过滤的应用层攻击进行过滤，可以最大地保证系统的安全。

以P2DR动态网络安全模型角度来分析，入侵防御系统应做到对攻击进行防护、检测和响应的有机统一，主动及时地切断入侵者的网络连接，阻止入侵的进一步发展，给系统提供及时地防护，进一步提高网络防护的智能性。入侵防御系统作为新生事物，目前还没有一个统一完善的定义。在本文中，我们暂且定义为：入侵防御系统(IPS)是任何能够检测已知和未知攻击并且在没有人为的干预下能够自动阻止攻击的硬件或者软件设备。

2 入侵防御体系的设计

2.1 P2DR模型

P2DR模型包括4个主要部分：Policy(安全策略)、Protection(防护)、Detection(检测)和Response(响应)。防护、检测和响应组成一个完事的、动态的安全循环，在安全策略的指导下保证信息系统的安全。如图1所示。

安全策略是模型的核心，为整个网络安全的依据。所有的保护、检测、响应都是依据安全策略实施的。安全策略的建立包括安全策略的制定、评估、执行等，制定可行的安全策略取决于对网络系统的了解程度。

检测是动态响应和加强保护的依据，也是强制落实网络安全策略的有力工具。利用检测工具来动态检测和监控网络，发现新的威胁和漏洞，了解和评估系统的安全状态，通过循环反馈来及时做出有效的响应。响应在网络安全系统中占有重要地位。它根据检测结果采取进一步的防护措施增强系统的安全性。

防护是通过一些静态的安全技术来实现，例如访问控制、加密、认证、防火墙技术等防范措施。P2DR体现了防御的动态性和基于时间的特性，它强调了系统的动态性和管理的持久性，以入侵检测、漏洞评估和自适应调整为循环来提高网络安全。

2.2 动态综合防御模型

根据对P2DR模型可以分析出入侵动态综合防御模型需要包含以下要素：

1)策略：理解信息系统的安全需求，制定主动防御的安全策略。该策略说明防护、检测、响应等的联动关系以及处理方法，是实施网络安全动态防御的指南;

2)防御：保障信息即系统的保密性、完整性、可用性等。将相关安全技术分类，建立防护技术体系;

3)检测：动态检测入侵及安全威胁，理解信息系统当前的安全状态。检查系统安全漏洞，实时检测入侵，评估入侵的威胁程度，以利响应;

4)响应：主动响应危及系统安全的入侵事件，防止危害蔓延和扩散;如果攻击造成了一定后果，及时恢复，保障系统提供正常服务;

5)反击：在必要的情况下，对攻击者进行跟踪追击或者入侵诱骗，获取攻击者详细的资料以备研究或取证。

2.3 系统体系结构

系统采用分布式的体系结构，可以根据网络的实际情况进行灵活部署，以适应不同的网络拓扑结构，同时具有良好的可扩展性。整体结构如图2所示。

3 关键技术与实现

3.1 异常检测

主机探测器部署于受保护主机上，对受保护系统进行实时监控和分析，检测出入侵后，向策略管理中心报警。由于是安装在受保护主机上，因此是与具体的操作系统相关的，依赖于底层的操作系统。

网络入侵防御系统主机探测器的整体结构设计如图3所示。

主机探测器可分为数据收集模块，数据分析模块，输出警报模块，接收和响应控制指令模块。

数据收集模块从SYSLOG记录的日志信息里收集相关数据传递给数据分析模块进行分析，最后将检测出的攻击信息传给发送报警信息模块。

策略管理中心在接到报警信息之后应该迅速做出反应，及时把控制指令信息发给主机探测器的控制指令接收器，接收控制指令模块在监听到控制台的信息后马上做出响应执行相应的操作。

3.2 防御策略中心

由于没有很有效的手段对IP Spoof数据流量进行有效辨识，所以目前采用的攻击防御技术，都是不加区别的消极防御手段，要么不作区别地丢弃，要么不作区别地分配系统资源进行处理。但是，由于拒绝服务攻击来临时，恶意数据包数量非常巨大，合法用户的访问请求被淹没在恶意数据包的海洋中;所以如果没有有效的手段进行区分，那么无论处理与否，其后果都将是灾难性的。

本系统采用基于状态控制策略和攻击期分级保护策略的系统模型，防御使用IP Spoof技术的协同控制型分布式拒绝服务攻击。

在攻击期，采用多种近似区分算法相结合对接收到的数据流量进行区分，并执行相应的过滤或转发操作。由于不同区分算法在性能和代价之间的平衡点不同，区分准确性也不同，所以采用分级保护策略进行攻击防御。

分级保护策略是指在防御系统中采用三级防御策略模型处理数据包。先使用数据预处理技术进行简单过滤，分流一部分畸形的和异常的数据包;再使用基于数据流指纹识别的防御技术进行过滤。在大多数情况下，经过这两个层次的过滤处理后已经可以起到很好的防御效果。对于一些特殊的攻击，例如攻击源粒度很小且分布范围很广的攻击，如果经过前两个层次的防御策略处理后效果不明显，将使用基于HCF的深层防御技术进行处理。三级防御策略模型如图4所示。

通过分级保护策略，首先将处理过程最简单，处理效率最高的算法作为第一级过滤策略，进行简单过滤，这样可以大大减少后续过滤算法的工作负荷，提高处理效率;将处理过程最复杂，但最精确的算法作为第三级过滤策略，以保证防御策略的整体有效性。这样，通过使用由简单到复杂，由粗到精的分级保护策略，既保证了处理过程的准确有效性，对恶意流量和正常流量进行有效区分，又满足了大规模攻击发生时对处理效率的要求。

4 结束语

随着计算机网络的普及使用，各类网络攻击事件频繁发生，网络安全问题正受到广泛关注。如何防御网络攻击已然成为网络安全研究中的主要课题。目前，入侵防御系统(IPS)的研究已经兴起，并且也有不少产品开始大量投入使用。这种网络技术有着先天的优势性，所以将来必被越来越多的人所认同，入侵防御系统的前景也会越来越光明。

参考文献

[1]聂林等.入侵防御系统的研究与分析[J].计算机应用研究,2008(9):131-136

[2]王志伟,郭文东.基于Snort的入侵防御系统的技术研究和实现[J].河北科技大学学报,2007,26(4).

[3]文齐.基于端口扫描和插件的网络漏洞扫描系统的研究与设计[D].哈尔滨工程大学,2008(2).

运用虚拟化技术模拟黑客入侵与防御 篇7

1 虚拟化技术

虚拟化技术是在真机性能未能充分利用的基础上提出来的,目的是最大限度地屏蔽软硬件资源的差异性,把物理资源转变为可灵活分配、统一管理的逻辑资源,实现资源的自动化分配,它是构建“云计算”的基础技术之一。虚拟化技术按被应用的领域可分为服务器虚拟化、存储虚拟化、网络虚拟化和桌面虚拟化。

虚拟机技术是虚拟化技术的核心。虚拟机是指用来模拟真实计算机的软件系统,它可以象真机一样运行自己的操作系统和应用程序。在一台真机上,可运行多个同类或不同类操作系统的虚拟机,这些虚拟机之间、虚拟机与真机之间,可以通过虚拟网络进行互联。

虚拟化技术有很多优点,通过它能有效利用各种资源、快速的部署操作系统和应用软件、减少系统对硬件的依赖和由于硬件快速更新带来的影响、降低运营维护的成本,因此,众多大型企业、公共服务机构纷纷将现有的系统向虚拟化平台迁移。据IDC发表的一份报告显示:到2014年,约70%的服务器工作负载将运行在虚拟机上。但同时也应注意,虚拟化投资回报率存在下降拐点,迁移一旦结束,企业将面临一个需要管理和维护的IT环境,初期投资巨大的回报率将会下降。

通过虚拟化技术模拟黑客入侵与防御,主要涉及桌面操作系统虚拟机。目前,用于桌面操作系统虚拟化的软件主要有Virtua PC、VMware workstation、开源虚拟机QEMU等。用得最广泛的是VMware workstation。VMware是x86虚拟化领域的全球领军企业,拥有250,000多家客户,其中包括财富100强中的全部企业,VMware workstation是它的产品之一,该软件的主要优点是:

1)支持在同一台真机上安装和同时运行多个虚拟机,每个虚拟机可以是同种或不同种类型的操作系统,包括windows、Linux、Unix等,从而解决研究过程中服务器不足的问题。

2)通过VMware workstation创建的虚拟机,可以与真实系统完全隔绝,从而解决病毒样本对真实系统造成危害的问题。病毒样本一旦触发,可能会造成真机文件被删、程序无法正常运行、系统受到破坏等后果。此研究若在虚拟机上运行,则不会给真实系统带来任何损害。

3)可以解决研究场景不易搭建、不易重复利用以及真实设备无法为研究的不同阶段设置断点的问题。利用VMware workstation的快照功能,可在同一台虚拟机上搭建多个不同的研究场景,并实现不同研究场景的迅速切换。研究过程中若使用真机设备可能会由于操作失误而需花大量时间重新搭建场景,而虚拟机只需用很短的时间简单回复到某断点处继续研究进程。

4)可实现完全克隆和链接克隆功能。利用完全克隆或链接克隆功能,可迅速生成一个同样的系统。例如研究需要4台机器,则只需安装第一台虚拟机,其余3台可从第一台中迅速克隆出来。而链接克隆则可通过共享母盘资源的方式节省多达70%的存储空间。

2 黑客入侵

Internet的共享性和开放性使网上信息安全存在先天不足,软件系统规模的不断增大以及程序员的疏忽使系统中的安全漏洞或后门也不可避免的存在。下面,以虚拟机模拟灰鸽子木马入侵为例,对黑客利用系统漏洞进行入侵加以说明。

2.1 黑客入侵基本场景的搭建

1)运行虚拟机软件VmWare,并通过操作系统安装盘的ISO文件安装第一台虚拟机,可以是windows XP、windows server 2003等操作系统,现以windows server 2003为例。

2)由安装好的第一台虚拟机通过链接克隆生成第二、第三台虚拟机。链接克隆比起完全克隆来说,速度快、省空间。但要注意的是,在安装第一台虚拟机windows server 2003的时候,产生了一个唯一的安全标识符SID(Security Identifiers),SID是标识用户、组和计算机帐户的唯一的号码,克隆生成的第二、第三台虚拟机会使用相同的SID,这样就会产生不同的机器使用同一个SID的问题,从而导致严重的安全问题。因此,需要通过windows自带的sysprep软件或第三方剔除SID软件如pstools等对新克隆出的第二、第三台虚拟机进行SID的剔除。

3)现在已经通过虚拟化技术生成了三台windows虚拟机,分别命名为PC1、PC2、PC3。PC1模拟内网计算机,分配私有地址192.168.1.2;PC2模拟路由器,用于连接内网和外网,需要在关闭PC2电源的情况下添加一块网卡,共两块网卡,给网卡1分配内网地址192.168.1.1,给网卡2分配公网地址202.103.225.1;PC3模拟Internet上的一台计算机,分配公网地址202.103.225.2。

现实环境是,内外可访问公网,公网不能访问内网。要达到这样的效果,需要对PC2启用NAT;对PC1的网卡属性进行设置,设置PC1的网关为192.168.1.1,对PC3的网卡属性进行设置,设置PC3的网关为202.103.225.1。其中,PC2启用NAT的方法是:点击“开始”菜单,依次选择“管理工具”/“路由和远程访问”,在弹出的“路由和远程访问”对话框中,右击左侧的服务器,选择“配置并启用路由和远程访问”,在弹出的向导中,选择“网络地址转换(NAT)”,点击“下一步”,在“使用此公共接口连接到Internet”界面中,选择IP为202.103.225.1的网卡,然后一直点击“下一步”,直到完成。这时测试,PC1可以ping通PC3,但PC3不能ping通PC1。

2.2 黑客利用灰鸽子木马进行入侵

1)黑客在PC3上运行灰鸽子木马客户端,并生成服务器端。方法如下:在木马客户端界面中,选择“配置服务程序”选项,在弹出的“自动上线设置”选项卡中填入本机ip地址“202.103.225.2”,选择保存路径,点击“生成服务器”按钮。

2)黑客通过发送垃圾邮件、网页挂马等方式诱导用户下载运行木马服务器端,一旦用户不明真象,下载运行,则黑客可在PC3上通过木马的客户端控制受害者的计算机。下面以网页挂马为例,黑客找到一个好看的Flash动画,打算将它和木马服务器端捆绑起来,挂在网页上供用户下载,当用户下载运行这个捆绑文件时,表面看到的是Flash动画的播放,背地里却自动运行了木马服务器端,从而用户的计算机在用户毫不知情的情况下被黑客控制。

Winrar就带有这样的文件捆绑功能,方法是,将木马服务器端和flash动画放在同一个目录下,同时选中这两个文件,右击,选择“添加到压缩文件”选项,出现“压缩文件名和参数”对话框,在“常规”选项卡中,勾选“创建自解压格式压缩文件”压缩选项,在“高级”选项卡中,点击“自解压选项”按钮,在弹出的“高级自解压选项”对话框的“常规”选项卡中,找到“解压后运行”输入框,输入flash动画的文件名;在“高级自解压选项”对话框的“模式”选项卡中,选择安静模式为“全部隐藏”;在“高级自解压选项”对话框的“更新”选项卡中,覆盖方式选择“覆盖所有文件”选项;点击确定后,返回到“压缩文件名和参数”对话框,选中“注释”选项卡,输入一条命令“Setup=木马服务器文件名”,点击“确定”后,即可生成捆绑文件。

黑客将这个捆绑文件挂在网页上,供用户下载运行。实现方法是,在PC3上安装IIS,在网站根目录下,生成网页文件,在网页文件中,制作下载捆绑文件的超链接,如好看的flash动画,用户一旦下载运行这个动画,则会在不知觉中被黑客控制。

3)用户在PC1上打开公网PC3上的网页,下载播放动画,在PC3上,黑客的木马客户端会显示PC1上线,从而可以控制PC1,如复制PC1上的资料、删除PC1上的文件等等。

3 相应的黑客防御方案

对黑客的防御是一项动态、整体的系统工程。主要涉及操作系统、应用系统、防病毒、安全扫描、通信加密、灾难恢复、防火墙、入侵检测、网络监控、信息审计等多个安全组件,一个单独的组件是无法确保信息网络的安全的。主要可以通过以下几个方面来防御:

3.1 防病毒

黑客入侵的途径之一是通过木马等病毒入侵,病毒在网络中存储、传播、感染的方式各异且途径多种多样,可采用全方位的企业防毒产品,实施层层设防、集中控制、以防为主、防杀结合的策略。通过在服务器上安装防病毒软件的服务器端,在每台计算机以及网关上安装相关的防病毒软件的客户端,通过联动实现统一管理、共同防御。并可通过连接到云服务器,实现更大规模的联动防御。在本次的入侵与防御模拟中,可用单机版的杀毒软件代替,观察防御效果。

3.2 数据加密与认证技术

数据从源计算机到达目的计算机需要经过许多的中间计算机和路由器,黑客通过侦听软件很容易截获传输的数据。加密既能给数据提供保密性,也能为通信业务流信息提供保密性,并且还是许多安全机制的基础。认证则能确保与你通信的人不是冒名顶替的。

3.3 防火墙技术

防火墙技术的主要作用是在网络入口处检查网络通信,根据用户设定的安全规则,在保护内部网络的前提下,保障内外网络通信。但它不能检测出网络内部的攻击或黑客绕过防火墙的攻击,因此需要与入侵检测技术相结合以确保内网安全。

3.4 入侵检测技术

入侵检测系统能进行实时的入侵检测,将入侵检测的数据存入数据库中,根据管理员的设定进行报警,为管理员提供报表等格式的查询。以便管理员针对异常情况采取相应的防护手段。通过实时入侵检测,能够对付来自内外网络的黑客攻击。

3.5 安全扫描技术

安全扫描技术与防火墙、入侵检测系统互相配合,能够有效提高网络的安全性。通过对网络的扫描,可以了解网络的安全配置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级,防患于未然。

当我们运用以上措施进行防御时,会发现黑客用刚才的方法入侵已经无效,但若黑客针对我们的杀毒软件对木马进行了免杀处理,则我们会发现杀毒软件已无法检测出入侵的木马,也就是说,网络的安全程度会随着时间和网络环境的变化而变化,因此,需要不断调整安全策略,组建网络安全紧急响应体系,防范安全突发事件。

参考文献

[1]周源.揭示服务器虚拟化的五大真相[J].网络世界,2011(4).

入侵与防御 篇8

关键词：CVE,入侵检测系统,防火墙,规则转换,联动

防火墙、入侵检测等信息安全技术是目前被普遍认可和广泛应用的信息安全技术。防火墙是一种被动的控制访问技术,它对传输数据包的过滤是通过一个事先设计好的规则,以此来保障内网的安全[1]。入侵检测系统(IDS)是一种主动保护自己免受攻击的网络安全技术,IDS会主动发现入侵,并及时的做出一些简单的响应,比如记录时间或者报警等[2]。然而,对于要求较高的网络安全,IDS的这些简单的“响应”是远远不够的。因此,单独采用防火墙或者入侵检测系统都不能很好地解决网络的安全问题。于是,设想可以把两者紧密的结合起来,让两者彼此取长补短,这样则可以构建安全性能较高的网络安全系统。

本文研究设计的网络入侵防御系统(IPS, Intrusion Prevention System)就是将两种安全技术进行了有机的融合,我们的融合思想主要有以下两点:

(1)在Linux平台下,考虑扩充防火墙Netfilter/Iptables对数据包包体内容的检测功能。

(2)增加了IDS Snort的联动响应功能,让Snort发现的入侵行为及时通知防火墙进行阻止。

1 基于CVE的IPS结构图及工作流程

1.1 基于CVE的IPS总体架构

基于以上原理,设计的基于CVE的IPS的系统框架如图1所示。

大体将整个过程分为两层防御。由外网到内网首先要经过网关,在网关置入具有入侵检测功能的Netfilter/Iptables防火墙,防火墙中存放本身的静态过滤规则、基于CVE的Snort规则转化来的Iptables规则和某攻击入侵时与防火墙联动生成的动态过滤规则,这样,实现了第一层防御功能。第二层防御,由Snort和防火墙协同完成。Snort入侵检测部署在内网中,Snort与防火墙之间采用C/S模式传递信息。当Snort检测到攻击行为时,即通知防火墙进行阻断。其中,动态规则信息链表中存放已经加入到防火墙的动态规则信息,基于CVE的Snort规则转化来的Iptables规则组成三条入侵规则链TCP-snort、UDP-snort、ICMP-snort也被加载到防火墙中。经过两层防御机制可以有效的实现对非法入侵攻击的防御,提高了网络的安全性。

1.2 基于CVE的IPS工作流程

整个系统的工作流程如图2所示。由外网发出的数据包首先经过Netfilter/Iptables防火墙的检测。防火墙首先加载由联动控制信息生成的Iptables动态规则对其检测,若找到匹配成功的规则,则直接进行阻断。然后由防火墙原始规则链对数据包的包头信息进行检测,再用基于CVE的Snort规则转化来的Iptables入侵检测规则检测数据包体内容,若匹配成功,则直接进行阻断。之后,防火墙认为传递的数据包是可信的,允许其流入内网。由Snort进行协议解码和TCP流重组,若发现入侵行为,启用联动插件对攻击和受攻击主机的IP、端口号、攻击时间、阻断时长和攻击严重级别等信息进行收集和封装,并传递给Server端防火墙。Server接收到控制信息后首先对动态规则信息链表进行查找,若有和该阻断地址相同的信息结点,证明防火墙规则中已有这条规则,只须延长原阻断时间即可;若没有和该阻断地址相同的信息结点,则在链表中生成一个新的信息结点,同时生成一条新的动态Iptables规则添加到防火墙中。

此外,需要注意的是,在防火墙中动态规则是被设置了阻断时长的,即动态规则是有生存期的,这样设置的目的是防止其滞留在防火墙中太久而影响了主机间的通信和主机处理正常的服务请求等。为实现这一功能,我们可以让防火墙的Server进程对动态规则信息链表进行不停的遍历,如果发现链表中某结点的攻击时间+阻断时间>系统当前的时间时,就删除这个结点,并相应删除防火墙中的动态规则。

2 防火墙和IDS融合策略的实现

2.1 基于CVE的Snort规则与Iptables规则的转换

Netfilter/Iptables防火墙的Iptables规则有两个特点:一是它只能对数据包包头信息进行粗粒度的检查并无对包体内容检测的能力;二是它能对恶意数据包在内核层就及时阻断,响应比较迅速。而基于CVE中文漏洞库的Snort规则拥有强大的入侵特征库,可以对数据包有较深层次的检测能力,但是它不能做出及时的响应:对于大多数的恶意攻击行为基本都是采取报警记录的方式。如果能在Snort规则和Iptables规则之间搭上一个桥梁,就可以使规则的优缺点得以互补,这将大大增强入侵防御的能力。

Iptables的功能中有一个新增的“字符串匹配”的功能,而基于CVE中文漏洞库的Snort规则也是用“字符串模式匹配”方式来对数据包包体中的攻击特征进行检查的[3]。可以采用一种字符串匹配的算法,将两种规则进行转换,这里采用BM算法匹配数据包。先把Snort规则直接转化为Iptables规则,使Iptables规则也具有了对数据包包体的入侵检测功能。之后将它挂到已有的防火墙脚本中。在防火墙脚本中我们需要进行以下处理:

(1)首先把由基于CVE的Snort规则转化来的Iptables规则按照协议类型进行分类,并按照其分类做成三个入侵规则链,分别为:TCP-snort、UDP-snort和ICMP-snort。

(2)在防火墙脚本程序中增加以上三条规则链的定义:

$IptablesN TCP-snort;

TCP 类型转化规则 1,2,3……

$IptablesN UDP-snort;

UDP 类型转化规则 1,2,3……

$IptablesN ICMP-snort;

ICMP 类型转化规则 1,2,3……

(3)在防火墙的FORWARD的链尾添加如下内容:

Iptables-A FORWARD-p TCP-j TCP-snort;

Iptables-A FORWARD-p UDP-j UDP-snort;

Iptables-A FORWARD-p ICMP-j ICMP-snort;

根据不同的协议标志,便可转向相应的snort进行处理。

这样,Netfilter/Iptables防火墙就扩充了入侵检测功能。检测时,Iptables规则先对数据包的包头进行检测,之后根据数据包的协议标志转向不同的规则链,再对包体内容进一步检测,如果发现了恶意的数据包,则直接阻断。

2.2 联动策略

由于Netfilter/Iptables防火墙在内核很难实现TCP智能流重组和协议解码的功能,使它对一些企图逃避检测的入侵行为无能为力。因此具有入侵检测功能的Netfilter/Iptables防火墙也不能检测到所有的复杂攻击。而Snort具有高层协议分析的功能,能检测出防火墙不能防御的攻击。因此,还须与Snort联动进行再次防御。

Snort的插件扩展机制相当灵活,通过增加插件,能够相应地增加它的检测处理功能。利用Snort这一特点,通过增加一个检测插件的方法来实现联动响应。首先编写用于联动处理的插件,并在规则项中增加一个关键字,该关键字和联动插件进行绑定,这样在Snort规则中就有了联动响应的选项。之后在联动插件中自己定义检测函数、响应函数,当Snort系统加载了该模块后,构造规则链时它同样会作为规则选项被链入到一条规则选项链中,同时在这个检测插件里定义的检测函数、响应函数会被分别加入到这个规则选项结点的opt_func链和rsp_func链中,以实现对数据包具体的检测功能。

为了能够全面的达到安全联动又不影响网络的其他性能,制定的策略与防火墙直接进行联动,通过两步设置:首先,按照严重级别,通过设置Priority选项,把Snort规则划分为7项级别,分别是可疑的数据流、潜在的有害数据流、有限信息泄露、大范围信息泄露、拒绝服务攻击、用户权限的获取和管理员权限的获取。联动时,4～7级Snort规则,将其设置为联动,即规则中有Sip tables;1～3级Snort规则,设置为不联动,即其规则中不设立Sip tables。其次,合理的设置联动时间,要让联动尽可能的具有实时性。可以按照攻击的严重级别来设置联动时间,危害性大的阻断时间长。联动时间可以用如下公式计算:

联动时间=Priority选项值×单位时间

实现联动的核心步骤如下:

(1)首先定义本插件中使用的数据结构,即 SiptablesData,该数据结构中包含的数据项有防火墙端的IP、防火墙端的Port、攻击主机IP、攻击主机的Port、受攻击主机的IP、受攻击主机的Port、攻击时间和阻断时间。

(2)定义一个Void SetupSiptables函数来实现在Snort中注册插件关键字。

Void SetupSiptables

{RegisterPlugin(“Siptables”,SiptablesInit);}

(3)初始化SiptablesInit()函数,并为数据结构分配内存空间。

Void SiptablesInit (char*data, optTree Node*otn, int protocol)

{ Siptables *p;

p=(SiptablesData*)calloc(sizeof(SiptablesData), sizeof(char)

(4)根据规则选项的参数填充数据结构,并把Siptables的响应函数加入到规则链表中[4]。

Void FillSiptables (data, otn, p)

Void Addrsp (Siptables, otn, p)

(5)FillSiptables()解析参数,将防火墙IP和Port传递给数据结构。

Void FillSiptables (char *data, optTreeNode *otn, SiptablesData *p)

(6)编写Siptables()联动响应函数。该函数是插件的关键部分,收集防火墙生成的动态Iptables规则所需的控制信息,并填充到定义的SiptablesData数据结构中,再编写客户端程序把SiptablesData结构体发送到防火墙端。由于篇幅限制,响应函数的具体实现此处省略。

2.3 防火墙阻断攻击源

在防火墙一端有一个维护动态规则记录列表的Server进程,它所维护的列表中存放了已经加入的防火墙规则。Server进程可以根据攻击和受攻击主机的IP地址和端口号生成动态的Iptables规则,同时在列表中进行查找是否已经有相同的规则存在。若有,证明防火墙中已经有了该规则,那么只需要将阻断时间延长即可;若没有,说明防火墙中还没有这样的规则,那么只需要产生一条新的规则插入到列表,在调用System()系统函数将其加入防火墙中即可。如果规则存在的时间超出了Snort设置的阻断时间,Server进程则生成一条删除防火墙规则的命令来停止阻断攻击,并删除列表中的相应规则记录。

3 系统测试与结果分析

3.1 环境部署及测试步骤

实验环境中各机器配置如表1所示,其中目标主机B运行Windows2000+IIS5.0,并存在Unicode漏洞未打补丁。

测试步骤如下:

(1)测试本入侵防御系统的第一层防御机制。在主机 A 的 IE 地址栏中输入:“http://192.168.0.4/ scripts/..%c1%1c../winnt

/system32/cmd.exe?/c+dir+C:”,不加载时返回服务器B的C盘目录信息,但加载时,在主机A无法获得服务器返回信息,因为该数据包已经被防火墙DROP了。但是输入精心构造的攻击变种“http://192.168.0. 4/ scripts/..%c1%1c../win

nt/system32/63%73%64%c02Eexe?//c+dir”,返回了服务器B的C盘目录信息。也就是说防火墙不能防御再次构造的攻击,因为它不具有协议解码后再检测的功能。

(2)测试一级防御之后的二级防御功能,即Snort与防火墙的联动测试。通过Snort的日志记录,可以检测出此变种攻击包的警报信息,Snort联动防火墙阻断了IP为10.2.3.16到192.168.0.4,80端口的攻击。

(3)单独设置防火墙与Snort联动,只测试系统的第二级防御能力。重复步骤(1)-(2)中原始和变种两种攻击方式,结果显示两种攻击都可以被检测出来并阻断,但是对攻击的实时响应性能差。

3.2 测试结果分析

使用IP地址不同的20台机器同时对主机B进行攻击,表2显示了只采用一级防御、只采用二级防御和采用两层防御时系统防御性能指标的对比,包括响应的实时性和网络吞吐量比率。

从表2可以看出,只采用第一级防御,系统的响应实时性最高,对网络性能的影响最小,但是此级防御只能针对一般性的普通攻击,不能防御变种攻击。只采用第二级防御机制,防御能力增强,能够防御普通和变种的攻击,但是平均响应延迟时间最长,网络传输性能也有所下降。原因是由于Snort和防火墙之间的联动需要传递大量的控制信息,这势必要占用一部分带宽,产生延时。当采用两级防御机制时,普通的攻击都有第一级防御机制进行了实时阻断,复杂的攻击再由第二级防御联动阻断,Snort与防火墙之间的通信量也有所降低,所以平均响应延时缩短,网络的性能也得到了很大的改善。

4 结束语

本文针对防火墙和入侵检测技术在攻击防御上的缺陷,以CVE中文漏洞库为基础,提出了基于CVE的网络入侵防御系统。本系统的防御规则是与CVE中文漏洞库相关联的,运用了规则转换和联动策略,将防火墙和入侵检测技术进行了有机的结合,并通过实际网络环境测试,证明了该系统能够提高对安全事件响应的效率,改善了网络的整体安全性。

参考文献

[1]何海宾.基于Linux包过滤的防火墙技术及应用[J].电子科技大学学报,2004,33(1):75-78.

[2]胡昌振.网络入侵原理与技术[M].北京:北京理工大学出版社,2005:78-81.

[3]顾丽,李菲,乔佩利.Linux平台下网络入侵防御系统的研究与实现[J].哈尔滨理工大学学报,2009,14(2):8-12.

入侵与防御 篇9

近年来发展火热的电子商务,和以此为依托众多的网络信息系统安全问题的频发。使得网络安全开始走入大众的视野。另外,各式各样黑客技术的日益曝光,自动化入侵及检测工具的开放,使得网络安全测试的门槛降低,进一步加大了入侵事件的发生,使得网络安全问题呈现高发态势。网络安全作为一个系统的概念,提出了信息系统必须提供有效的安全策略,切实可行的安全加固方案,已达到保护信息系统不受非法入侵和影响的目的。因此,保护信息系统和网络环境的安全稳定,是现今信息安全的首要目标。但是传统的入侵检测系统只能对入侵行为进行识别与发现,不能有效的防御,因此,将入侵检测系统与传统防火墙的组合就形成了现在的入侵检测防御系统(Intrusion Detection Protect System,简称IDP)。

2 入侵检测防御系统的设计与实现

网络入侵检测防御系统作为一套综合性的信息安全防护系统,需要兼顾入侵检测系统与防火墙的双重功能,通过有效的安全策略制定,有效的控制进出信息系统流量。实现对用户以及外部访问的控制,以及对异常流量的实时分析。

由于其特殊性,决定了网络入侵防御系统,必须具有以下几个特点:本身不受攻击的影响;保证数据传输的效率;采用安全加密等方式保证系统自身信息安全;良好的交互界面,以与管理员更加友好的交互;准确且稳定的防护效果。

基于以上几个特点,要求系统,必须采用稳定且可靠的架构。加之采用模式匹配的方式进行数据分析与规则处理,因此,也决定了,必须采用效率较高的算法,进行相关规则匹配与提取。在功能上要求系统对常见的SQL注入、XSS、DDOS攻击、ARP欺骗以及木马入侵等常规Web攻击手段进行防护,从而达到保护服务器不受攻击。

2.1 系统总体设计

为了更好地实现对数据流量的监控,稳定且高效的实现对网络流量的获取,系统采用NDIS中间层Passthru框架作为基本数据获取框架。通过监听网络中的数据包来获得必要的数据来源,依托协议分析,匹配,统计分析等手段,实时发现处理攻击行为。数据过滤部分,采用自我编写的数据过滤模块,对坏数据进行及时处理,做出相应响应。规则库方面,为了加强知识库的健壮性,系统引用BP神经网络算法,在处理前,处理中进行自学习,最大限度的扩充知识库的健壮性。使整体的检测与防御效果得到增强。系统构架如图1所示。

系统各部分功能如下:

1)Passthu底层框架:实现的是防火墙的功能,对数据包进行过滤并对通过的数据包进行解析。模块采用Microsoft提供的Pass Thru扩展驱动框架,通过对下层物理网卡驱动,与上层协议驱动的连接。获取完整的网络流量数据包,通过实时对数据包的拦截处理,已达到检测网络流量的目的。

2)特征提取:数据包指纹特征提取。在常规网络攻击过程,通过分析,从中发现很多特征可以标明为何种攻击行为。特征提取模块,就是通过模式匹配的方式,对解析器提取出的相关数据,进行进一步的分析。

3)规则库:用于存放攻击特征码的数据库。

4)规则匹配:采用BM和KMP算法对提取的特征和规则库里的特征码进行两次比对,确保准确性。

5)解析器:对比对后的结果产生操作行为。解析器分为TCP,UDP,HTTP,ARP等多个部分,通过对不同协议的不同分析,将不同的数据域交给特征提取模块。已达到更加准确稳定的处理。

6)短信预警:对远程登录的IP告知通过管理员。

7)特征自学习:对于所提取的未知特征进行自学习。

2.2系统关键技术实现

在系统总体设计的基础上,对系统部分模块的实现过程进行简单的介绍。

2.2.1 解析器

解析器通过利用协议分析技术,对所有经过的协议数据,进行分解,获取其中重要的数据域,从而获取第一手数据,最大限度地保证数据的真实性、完整性,保证特征提取模块能够获取最完整的数据。解析器分为TCP,UDP,HTTP,ARP等多个部分,通过对不同协议的不同分析,将不同的数据域交给特征提取模块,以达到更加准确稳定的处理。另外,由于解析器所获取的数据包结构已知,保证了整个数据包处于完整状态,在可控的范围内,大大增加了后续数据分析的准确性。并且能快速检测攻击特征,从而大大减少了搜索所需的计算量。

解析器分为HTTP,TCP,UDP,ARP等部分,由于协议本身的差异,在对不同的协议进行解析时,方式方法不同,这里不再一一介绍。

2.2.2 特征提取

在常规网络攻击过程中,通过分析可以从中发现很多特征可以标明为何种攻击行为。特征提取模块,就是通过模式匹配的方式,对解析器提取出的相关数据,进行进一步的分析。在分析过程中,主要包括两种方式:一种是基于标识(signaturebased),另一种是基于异常(anomaly-based)。由于这些提取特征提供了整个网络数据流的完整信息,将所有选项组合后,能够分析出相关攻击的具体行为。因此,能够准确、稳定而且高效地完成特征提取。如果将这些选项组合,就可得到网络数据包以及典型攻击行为的描述。

下面给出网络数据包的元组表示:

Attack(packet)=(P-id,H-len,C-sum,S-port,D-port,Icmp-Type,Icmp-Code,Flag,P-len,P-data)对元组里的特征元素不同的取值组合就构成了对不同攻击行为的描述,下面给出用于描述CGI攻击、FTP攻击、Redirect攻击和UDP攻击的元组描述:

Attack(CGI)=(Tcp,32,0,2345,80,null,null,A,421,get cgi-bin)

Attack(FTP)=(Tcp,24,16,21,21,null,null,PA,256,ROOT)

Attack(Redirect)=(Icmp,20,null,null,8,3,null,192,1a)

Attack(UDP)=(Udp,16,10,138,126,null,null,null,448,3c)

自学习入侵检测系统提取特征的根本目的在于对每一类攻击类型可得到多个这样的元组描述,将这些元组作为神经网络的训练样本,对神经网络进行训练,就可在神经网络内部建立起对不同攻击行为的识别模型。

2.2.3 匹配规则

特征匹配模块,是本系统较为重要的组成部分。当数据由上层解析器解析,提取模块提取出相关特征后,匹配模块开始正式工作。模块通过对每一个规则链提取,规则链包括:Dynamic(记录网络流量的日志)、Alert(产生报警并记录这个数据包)、Pass(忽略这个数据包)、Rule(规则)四个部分组成,每一个都有独立的协议链表。构成一个完整的规则树节点。

模块启动前,提取规则库的规则,先对特征进行一次匹配,如果未发现威胁。对数据进行放行。另外,为了最大限度地保证检测过程的准确性,未知规则会通过BP神经网络算法,进行相关学习,并对学习出的样本进行记录,以便发现攻击行为时,记录其变种形式,达到更加准确,更加有效的防御效果。在整个规则匹配过程采用比较著名的匹配算法BM(Boyer-Moore)算法和KMP(Knuth-Morris-Pratt)两种不同的匹配算法进行两次规则匹配,来实现对数据包行为信息的判断,并将结果传递给操作模块,以供下一步操作。

2.2.4 BP神经网络

BP(Back Propagation)神经网络是1986 年由Rumelhart和Mc Celland为首的科学家小组提出,是一种按误差逆传播算法训练的多层前馈网络,是目前应用最广泛的神经网络模型之一。BP网络能学习和存贮大量的输入-输出模式映射关系,而无需事前揭示描述这种映射关系的数学方程。BP神经网络模型包括其输入输出模型、作用函数模型、误差计算模型和自学习模型。

算法基本流程就是:

1)初始化网络权值和神经元的阈值(最简单的办法就是随机初始化)

2)前向传播:按照公式一层一层的计算隐层神经元和输出层神经元的输入和输出。

3)后向传播:根据公式修正权值和阈值直到满足终止条件。

3 结束语

经过测试,系统可以实现对预期的sql注入、xss跨站、arp攻击和cookie注入等多种类型的攻击手段的防御,并且取得了不错的效果,最大限度地保证了服务器的安全。但是由于防御系统由于自身也是攻击者的重要目标,因此下一步需要做的工作主要是,如何避免IDP系统受到攻击,或者如何将IDP隐藏,以使黑客检测不到IDP的存在,这也是一个重要的研究课题。

摘要：复杂的网络安全环境,使传统的防火墙与入侵检测系统的实际效果大打折扣,无法满足复杂多变的网络环境。在此背景下,设计并实现一种自学习方式入侵检测防御系统,系统根据NDIS Passtru接口规范,自主开发了驱动模块,并基于BP神经网络算法设计了自学习模式,最终实现了入侵检测防护目的。系统弥补了传统防火墙与入侵检测系统的不足,最大限度保证了服务器网络的安全。

关键词：自学习,入侵检测,入侵防御,BP神经网络,网络安全

参考文献

[1]王景新.基于神经网络技术的网络入侵检测系统研究与实现[D].长沙:国防科技大学,2002.

[2]唐正军等.网络入侵检测系统的设计与实现[D].北京:电子工业出版社,2002.

[3]王晓程.网络入侵检测系统的研究[N].计算机工程与科学,2000(1).

[4]朱雁辉.Windows防火墙与网络封包截获技术[M].北京:电子工业出版社,2002(7).

[5]付泽宇,余镇危.一种主机防火墙的设计和实现[J].计算机安全,2002.

[6]王英红.分布式防火墙堵住内部网漏洞[N].计算机世界报,2002(4).

[7]戴云,泛平志.入侵检测系统研究综述[J].计算机工程与应用,2002,38(4).

计算机网络服务器的入侵与防御研究 篇10

随着计算机技术的不断发展以及网络的不断普及, 网络的重要性在人们日常生活和工作中的重要性则越来越突出, 然而伴随网络的发展, 网络安全问题却又困扰着网络的应用发展以及人们的工作和生活, 不断出现的企业信息泄密事件就是最好的证明, 也因此计算机网络安全正成为人们日益关注的焦点, 计算机网络安全的威胁主要包括窃听、篡改与重发、假冒、抵赖及病毒、特洛伊木马等的威胁[1], 入侵检测系统是 (Intrusion Detection Sys-tem, IDS) 当前众多安全技术手段中, 能够有效组织非法访问行为的一种重要手段。但是, 随着有关病毒技术的发展以及网络流量的快速增大, 检测系统的检测能力也受到了挑战。当前, 入侵网络服务器、威胁网络服务器安全主要就是通过各种病毒进行入侵, 其中使用比较多的就是木马病毒。本文将主要探讨网络对计算机网路服务器造成的危害, 并对相关的防御技术进行阐述, 希望能为相关的研究提供部分参考价值。

1 网络木马对计算机网络服务器安全危害

木马主要是指包含在一个合法程序中的非法程序, 具体自我设置的能力, 当前主要可以分为两类:网游木马和网银木马。当木马运行时, 黑客便可以随时从他人的硬盘上查看、删除相关的文件。对计算机存在着很大的危害, 主要表现在:它对别人的电脑具有较强的控制功能和破坏能力, 通过监控别人的电脑, 可以获取相关的密码, 盗取别人的信息文件, 威胁别人的财产安全, 网游木马可以盗取游戏玩家的网游账号, 转移其虚拟财产, 网银木马则可以采用键盘记录的方式盗取网银账号和密码, 使黑客能够轻易的进入我们的网上银行账号, 这将直接使我们的经济受损。

2 相关的防御措施探讨

从上面的分析中, 我们可以知道, 网络木马病毒入侵计算机系统带来的最大的损害就是使得个人的财产信息泄密, 威胁个人的财产安全[2], 因此, 有必要采取相关的策略进行防御, 笔者认为可以采取的策略主要有。

2.1 建立一个相对安全的服务器防护体系

服务器的安全, 是保证整个网络系统正常运行的重要保证, 也是网络管理人员的主要职责, 但是不存在绝对的网络安全防护体系, 因为计算机技术是不断发展的, 网络威胁的因素也在随时的变化。笔者认为, 要建立一个安全的防护体系, 主要可以从以下几点做起:第一, 要建立一个强有力的网络安全体系;即要将所有的服务器与周围的其它设备相结合进行头筹规划, 一般而言, 一个完整的安全体系除了需要技术的支撑以外, 最重要的就是管理制度方面的支撑。安全管理方面最基本的措施就是要完善相关的规章制度, 岳苏各种网络行为;安全技术方面就是要利用各种杀毒软件和硬件来对整个网络进行安全管理;第二, 建立稳固的防护基础, 计算机被入侵的一个重要原就是因为计算机的系统本身存在安全漏洞, 因此必须要有一定的防护基础;第三, 对电脑中的数据进行定期备份, 并做好密码保护, 因为一旦数据被损害或者是被窃取, 将造成无可避免的损失;第四, 做好远程访问的管理, 计算机网络的一个优点就是可以实现远程访问, 但是却为黑客的入侵打开了大门, 因为只要知道远程访问的电话号码, 就可以很快实现入侵。

2.2 配置合适的安全服务器

服务器是网站的基础、灵魂、尖兵。网站有了基础, 才会有接下来的网站排名, 流量, 品牌形象等等。所以在一开始建设网站的时候, 一定要在域名注册查询选择好适合自己网站的服务器, 不管是虚拟主机还是VPS或者自己架立的服务器, 差的服务器最后只有影响自己网站后期的发展。一般而言, 服务器主要分为两类:非x86服务器和x86服务器, 按应用的层次划分, 则主要可以分为入门级服务器、工作组服务器、部门级服务器和企业级服务器四种, 服务器的配置一定要根据自身使用和安全防护的需要进行配置。

2.3 建立安全管理规章制度

俗话说:“无规矩不成方圆。”完善的安全管理规章制度是保证计算机网络安全的重要保证之一, 也是计算机管理人员实行计算机网络服务器安全管理的重要支撑。[3]安全管理规章制度的内容应该要包括以下几个方面:1) 要针对主要的管理人员设置基本的规则, 2) 本人用户名、口令要自己保密, 不得外泄与他人, 没有经过别人的同意不得私自进入别人的账户系统;3) 不得恶意攻击系统, 获取系统的管理权限;4) 完善与计算机服务器安全管理有关的制度, 比如计算机上机控制管理制度、计算机机房的安全管理规章制度、上网信息登记审核制度等相关的制度, 以确保安全管理制度得到有效执行。

2.4 尽量减少文件共享

文件使用共享的好处就在于可以实现资源共享, 所以有很多的人都喜欢将自己的计算机设计为文件共享状态, 安全隐患也随之产生, 很多的黑客就是通过共享文件, 进入文件中进行破坏行动, 所以应该要尽量减少文件的共享, 以保证自己计算机的安全。

3 结论

综上所述, 我们可以知道, 计算机信息技术的发展可以说是一把双刃剑, 在改变人们生活工作方式的同时, 也给人们带来了很多的信息安全隐患。木马是入侵网络服务器众多病毒中的一种, 其所带来的危害是巨大的, 直接威胁着广大网民的个人财产信息, 建立安全的防御系统十分的必要, 如何维护计算机服务器的安全将成为未来计算机行业研究的重要课题。

摘要：随着计算机技术的发展, 计算机安全的问题一直是人们关注的重要问题, 尤其是近些年来, 泄密事件的不断发生, 计算机网络安全的解决变得更为紧迫, 严重威胁着企业的信息安全, 成为互联网管理人员亟需解决的重要难题。本文将主要对木马侵入服务器所带来的危害进行详细介绍, 并对相关的应对措施进行归纳, 希望能为计算机网络安全技术的研究提供重要的参考价值。

关键词：计算机技术,网络安全,服务器,防御措施

参考文献

[1]邹峰.基于计算机网络的入侵检测与防御研究[J].煤炭技术, 2011, 1:92-94.

[2]乜国雷.计算机网络服务器的入侵与防御研究[J].自动化与仪器仪表, 2011, 4:166-168.