入侵检测与入侵防御将长期共存

关键词： 可用性 计算机网络 入侵 网络

入侵检测与入侵防御将长期共存（精选7篇）

篇1：入侵检测与入侵防御将长期共存

近日，“IDS/IPS应用与发展趋势”研讨会在京召开，业内很多安全专家及行业用户代表参加，从市场的实际应用出发，探讨IDS（入侵检测系统）与IPS（入侵防御系统）的产品价值和部署目标。

自从IPS面市之日起，围绕IPS和IDS之间关系的讨论就不断升温，成为安全业界的一大热点。一派认为“IPS将取代IDS”，一派认为“IDS会和IPS共存”，直至IDC年度安全市场报告明确指出IDS和IPS是两个独立的市场，这场讨论才趋于平淡。

来自中国人民银行的专家表示，从用户角度来讲，目前已经基本认同IDS和IPS是两类产品，并不存在IPS要替代IDS的可能，但在选择产品和具体部署时，有相当一部分的用户还是存在疑惑。“在实际应用中应如何选择和区分两类产品”成为广大用户关心的话题。

“IDS入侵检测系统注重全面检测、有效呈现；IPS则更擅长深层防御、精确阻断。”国内入侵检测领袖企业启明星辰这样描述IDS与IPS的区别，

从实际应用来说，IPS既非IDS的替代品，更非IDS的延伸者，而是术业有专攻，侧重不同的方面，是为了满足企业风险管理需求的两种不同解决方案。启明星辰从长时间的用户调查和实际应用状况中，总结出了IDS和IPS的应用条件。如果一个企业属于低风险的类别，他们往往只关注风险控制，不关注检测与监控，风险管理要求不高，选择IPS产品即可；高风险行业如金融、电信等，不仅关注风险控制，而且关注风险管理，这样的企业既需要IDS，也需要IPS；对于一些监管机构/部门来说，往往更关注风险管理的检测与监控，监督风险控制的改进状况，因此IDS是比较合适的产品。

启明星辰产品管理中心总工万卿说：“IDS和IPS将继续共存，这已经是一个不争的事实。这个观点是从客户的实际应用中得来的。启明星辰目前拥有完善的IDS和IPS产品线，将根据客户的不同需求，为客户设计不同的解决方案组合，达到风险管理和风险控制并举的目的。”

与会专家表示，由于各行业客户不同的应用环境和实际需求，IDS和IPS 在国内都呈现出繁荣发展的前景，因此二者之间的关系并非简单的升级和替代，长期来看，IDS和IPS将出现共同发展、和平共存的局面。

篇2：入侵防御系统的设计与实现

信息化高度发达的今天, 数据通信网络日益普及, 信息的获取和交换日趋便利。与此同时, 它也为网络攻击提供了新的途径与平台, 网络安全因此受到了极大的威胁。传统的防火墙和IDS有着自身的明显不足, 大部分防火墙检查的层次主要集中在传输层以下, 即使是优秀的防火墙也只能提供小部分深度检测能力。当企业服务器接受了这些“糖衣炮弹”后, 攻击者就可以此为跳板, 向企业内网发送大量的攻击性报文。一旦这些人在服务器上留下后门, 那么它就可以在任何时间、任何地点无限制的访问企业整个信息系统。

入侵防御系统 (Intrusion Prevention System, 简称IPS) 是一种全新的技术, 它可以深入分析各种协议报文, 从中找出隐藏的攻击数据, 对恶意报文进行丢弃以阻断攻击, 并且通过报警、联动、阻断等手段直接或间接的保护网络。和传统技术相比, IPS的优点是当它检测到攻击企图后, 它会自动地将攻击包丢掉或采取措施将攻击源阻断。

1 Snort简介

1.1 Snort原理

作为一个NIDS, 其工作原理为:在共享网络上检测原始的网络传输数据, 捕获通过的数据包, 对其进行分析。主要工作为:匹配入侵行为的特征, 从网络活动的角度检测异常行为, 进而采取入侵的预警或记录。

从检测模式而言, Snort属于误用检测 (misuse detection) 。该方法对已知攻击的特征模式进行匹配, 包括利用工作在网卡混杂模式下的嗅探器被动地进行协议分析, 以及对一系列数据包解释, 分析其特征。对每一种入侵行为, 都提炼出它的特征值并按照规范写成检验规则, 从而形成一个规则数据库。其次将捕获的数据包按照规则库逐一匹配, 若匹配成功, 则认为该入侵行为成立。

1.2 Snort系统组成

Snort由三个重要的子系统构成:数据包解码器、检测引擎、日志与报警系统。

1.2.1 数据包解码器

数据包解码器主要是对各种协议栈上的数据包进行解析、预处理, 以便提交给检测引擎进行规则匹配。解码器运行在各种协议栈纸上, 从数据链路层到传输层, 最后到应用层。

因为当前网络中的数据流速度很快, 如何保障较高的速度是解码器子系统中的一个重点。目前, Snort解码器支持的协议包括Ethernet、SLIP和raw (PPP) data-link等。

1.2.2 检测引擎

Snort用一个二维链表存储它的检测规则, 其中一维称为规则头, 另一维称为规则选项。规则头中放置的是一些公共的属性特征, 而规则选项中放置的是一些入侵特征。为了提高检测速度, 通常把最常用的源/目的IP地址和端口信息放在规则头链表中, 而把一些独特的检测标志放在规则选项链表中。规则匹配查找采用递归的方法进行, 检测机制只针对当前已经建立的链表选项进行检测。当数据包满足一个规则时, 就会触发相应的操作。Snort的检测机制非常灵活, 用户可以根据自己的需要方便地在规则表中添加所需的规则块。

1.2.3 日志和报警子系统

日志和报警子系统可以在运行Snort的时候以命令行交互的方式进行选择, 现在可供选择的日志形式有三种, 报警形式有五种。

Snort可以把数据包以解码后的文本形式或者tcpdump的二进制形式进行记录。解码后的格式便于系统对数据进行分析, tcpdump格式可以保证很快地完成磁盘记录功能, 而第三种日志机制就是关闭日志服务, 什么都不做。

报警信息可以发往系统日志, 也可以用两种格式记录到报警文件中去, 或者通过Samba发送WinPopup警告信息, 这可以很方便地在Microsoft Windows95以上版本的桌面进行显示。同样, 第五种方法就是关闭报警, 什么也不做。

2 My IPS的设计与实现

本项目是一个在VS2005平台上开发的MFC应用程序, 使用语言为C++, 使用的数据库为My SQL。

2.1 UI界面设计

IPS的诞生初衷就是为了弥补IDS需要人工干预的缺点。所以本系统的UI界面力求简洁明了, 只和用户进行基本的交互行为, 即启动、停止系统以及查看报警记录。My IPS的主界面如图一所示。

(1) 左侧上方的是Snort参数输入框, 它的作用是读取Snort的启动参数, 以便使用各种Snort运行模式。笔者一般使用“-i 4-dev-c c:snortetcsnort.conf-l c:snortlog”作为参数。

(2) 左侧的一排按钮, 功能分别是:

(1) 启动监控:调用Snort进程;

(2) 停止监控:关闭Snort进程;

(3) 清屏:清空监视器运行情况的内容;

(4) 启动入侵防御模式:开始监听Snort报警信息;

(5) 取消过滤器:删除当前建立的过滤器, 之后建立的仍然正常工作;

(6) 停用入侵防御模式:停止监听Snort报警信息;

(7) 显示报警记录:查看所有数据库中的报警记录;

(8) 退出:退出程序。

(3) 中间上方的是一个Cedit控件, 在启动入侵防御模式后, 在这里显示监听状态。

(4) 正中间的报警记录表是一个List Control控件, 用来显示数据库中的报警信息。

(5) 中间下侧的也是一个Cedit控件, 用来显示警报的分析信息。

2.2 系统结构设计

My IPS的系统框架由入侵检测模块、监听警报模块和入侵响应模块组成。启动监控功能即调用Snort进程开始抓包检测, Snort根据规则链发出警报写入数据库。这些都在后台完成。启动入侵防御模式即运行监听警报模块, 如果监听警报模块读取到新的报警信息便会驱动入侵响应模块。入侵响应模块的主要工作是根据捕获到的警报信息配置包过滤防火墙, 同时刷新UI界面上的警报记录列表, 如图二所示。

2.3 数据库设计

图三为acid event表结构图。

3 结束语

入侵防御是一项新兴而且复杂的技术, 一个商业化的IPS是嵌入式并以在线方式监听数据流的。笔者所做的是入侵检测+防火墙的入侵防御实验。结果表明, 将这两项技术有机结合起来, 可以达到入侵防御的效果。

为了使My IPS能根据Snort的报警产生阻断响应, 本项目对报警信息进行了大量的分析。通过对大量关于网络安全知识方面的资料进行调研, 并结合自己的不断实践, 力求完全了解每一种已知的Snort报警信息, 从而进行正确的响应。

摘要：在网络化高度发达的今天, 从网络中获取信息已经成为人们日常生活中不可分割的一部分。网络已经成为经济、文化、军事和社会活动中无处不在的工具, 在带来发展的同时, 网络安全问题也随之突显出来。在这样的环境下, 网络安全技术不得不与时俱进, 以增强网络安全的保障。传统的入侵检测系统、防火墙等在保障信息安全上都发挥着巨大的应用, 但是他们的作用单一, 无法应对复杂多变的网络环境。本文将入侵检测和防火墙相结合, 来实现一个简单的入侵防御系统IPS。

关键词：入侵防御系统,防火墙,过滤器

参考文献

[1]马丽, 袁津生, 王雅超.基于行为的入侵防御系统研究[J].网络安全技术与应用, 2006, (06) :33-35.

[2]王栋.防火墙深度包检测技术研究[D].西安:西安电子科技大学, 2005.

[3]赵艳芬, 吴秋新.入侵防御系统的技术分析[J].网络安全技术与应用, 2008, (06) :41-43.

[4]黄刚.入侵防御系统关键技术研究[J].网络安全技术与应用, 2008, (05) :32-34.

[5]谢少春.Snort入侵检测系统的研究及其性能改进[D].西安:西安理工大学, 2008.

篇3：入侵检测与入侵防御将长期共存

黄学杰：美国波音787的安全事故，目前还没有了结，当然电池“脱不了干系”。波音787的电池组选用钴酸锂电池，电池设计本身存在缺陷。之前，我们一再提出过，在目前的技术条件下，钴酸锂电池只能用在电脑和手机上，不要说飞机、汽车，连自行车都不行。

《汽车纵横》：对于目前新能源汽车及动力电池的发展，您有什么看法？

黄学杰：世界多个国家在发展新能源汽车及关键零部件动力电池时，前期出现了_一些计划与市场实际不相符合的情况，一些车辆的市场需求没有预期的大，也有些具有一定市场空间的产品，现在身份不明确或技术未掌握，处境尴尬。

在电动汽车领域，低速电动车和混合轿车身份不明。第一，低速电动车，有技术，有市场，但现在身份不明。第二，混合动力轿车技术未突破。国际上混合动力轿车技术先进，年销量百万以上，节油减排效果明显。在新能源汽车发展中，国家大力支持混合动力公交车，每辆车资金补贴20多万元，极大地推动了产业技术进步，也培育出巨大的市场，但是我国混合动力轿车产业基本上没有进展，国家没有大量的资金支持。

在动力电池领域，铅酸电池身份不明，从我国政策支持的新能源汽车车型看，能源动力都是优选锂电池。其实铅酸电池，技术成熟、价格低，可以大规模应用在经济型电动汽车上，现阶段重点要解决的是清洁生产和绿色回收方面的问题。

《汽车纵横》：现阶段锂电等各种动力电池，应如何发展？

黄学杰：从性价比上看，锂电池目前惟一“打不赢”的是铅酸电池。在电动车辆领域，锂离子电池和铅酸电池将长期共存，这意味着我国电动汽车在市场上、空间上有不同层次的需求。铅酸电池可以广泛应用在低速经济型电动汽车上，锂离子电池，未来将更多应用于高端汽车领域。

我认为，这种长期共存，不是3年～5年，可能是10年～20年。这期间，铅酸电池和锂离子电池应各司其职、各负其责，做好各自工作。当然，两种电池的回收工作应该足够重视，防止废旧电池污染环境。

锂电池和铅酸电池各有优势且长期共存，不能想着谁吃掉谁，应合作。铅酸电池成本低，搁置寿命长，但循环寿命较短；锂离子电池充放电循环寿命长，功率较大，但价格较贵，在电动车辆领域可以发挥出各自优势。如何做到两者互补缺点，发挥1+1>2优势，这是技术和市场开发者需要深入思考的问题。

篇4：网络入侵防御系统的分析与设计

网络安全是指计算机网络中的数据和信息安全,要保护网络安全就必须保护各种硬件资源和软件资源。网络安全的研究范畴涉及到计算机网络中的信息保密性、完整性、可用性、真实性和可控性的相关技术和理论。随着计算机技术的迅猛发展,网络被广泛应用到社会生活中方方面面,但由于网络本身的安全方面的漏洞,黑客网络攻击与入侵行为,给国家安全、经济发展、社会稳定构成了巨大威胁,这势必会阻碍信息化发展进程。保证网络信息安全势在必行,对此,本文提出了一种基于snort_inline的入侵检测技术的网络入侵防御系统。

二、常见的攻击方法

黑客攻击是威胁网络安全的重大隐患,了解黑客的攻击步骤和方法有利于维护和防范网络信息安全。

1. 缓冲区溢出攻击

缓冲区溢出攻击是指黑客通过对程序写入缓冲区超过其长度的内容导致缓冲区溢出,造成对程序堆栈的破坏,导致程序转而执行其它指令以实现其对目标的攻击。

2. 欺骗攻击

欺骗攻击的常见方法有:IP欺骗攻击、DNS欺骗、网页欺骗攻击等等。IP欺骗攻击就是黑客通过改变自己的IP地址伪装成其他计算机的IP,以获取信息或特权。DNS欺骗是将一个DNS所对应的合法IP更改为另一个非法的IP地址。网页欺骗攻击是黑客通过对网站上网页的复制进行链接修改,监测用户的整个HTTP请求过程中,截获用户的帐号和密码等信息。

3. 拒绝服务攻击

拒绝服务攻击(DOS)则是利用TCP/IP协议的漏洞,将提供服务的系统资源耗尽,导致目标系统因为遭受某种程度的破坏而不能继续提供正常服务,甚至造成目标主机系统的瘫痪或崩溃。

4. 网络嗅探

网络嗅探是让网络接口接收不属于本主机的数据。通常计算机网络建立在共享通道上,以太网正是这样一个共享信道的网络,其数据报头包含了目的主机的硬件地址,只有当硬件地址与机器相匹配时才接收得到该数据包。一个能接收所有数据包的机器被称为杂错节点。在以太网中,账户和口令等信息通常都以明文的形式传输,一旦被黑客在杂错节点上嗅探到,用户就可能会遭到损害。

5. 特洛伊木马

特洛伊木马是一种直接由黑客通过一个平时容易忽视的合法用户(如guest,user等)秘密安装到目标系统中的程序。一旦安装成功并取得管理员权限,安装人就可以远程控制目标系统,对系统信息进行窃取或破坏。

三、入侵防御体系的设计

1. 入侵防御系统设计原则

计算机网络环境相当复杂,涉及的安全问题也很多,黑客对计算机网络的攻击方式也形式多样、层出不穷、不断创新。为了有效的保护计算机网络的信息安全,本网络入侵防御系统设计时,必须坚持以下几个原则:

(1)分布式原则。入侵防御系统(DIPS)必须集成主机入侵防御系统(HIPS)、应用入侵防御系统(AIPS)、网络入侵防御系统(NIPS)的优点,以便于对信息进行多点收集和跟踪分析。分布式设计必须保证当某一处网络入侵防御系统(NIPS)发生故障时,对其它设备不造成任何影响。

(2)可靠性原则。NIPS采用内嵌式(in-line),如果内嵌式的设备发生故障,极有可能会造成网络访问路径中断,进而引起服务被拒绝的状况出现。因此,NIPS对设备的可靠性要求很高,必须尽可能的将故障率降到最低。

(3)可扩充性原则。黑客的入侵攻击技术在不断的发展与更新,因此,入侵防御系统也必须随之扩充,提供修改检测模块和规则库的功能来应对不断出现的新攻击。对新的攻击特征,可采用规则表达式表达出来,然后由管理中心将此操作写入规则库中。

(4)高性能原则。网络通信必须保证足够大的流量和较低的延迟,因此,NIPS在对数据包进行处理时,必须以最快速度进行,尽可能达到实际环境所需的设备速率,避免出现网络瓶颈。

(5)高准确性原则。如果入侵防御系统发生误报,将会产生严重后果,当NIPS发现可疑数据包时,会丢弃该包,甚至阻断可疑的通信,这将对正常通信造成严重影响,因此,高准确性是NIPS成功的关键。

(6)易用性原则。系统最终能否成功应用取决与用户的支持,因此NIPS要易于使用,提供友好的界面,无需专业人士即可管理和使用。另外,系统还应具备完善的告警和记录功能,便于取证分析。

2. 系统体系结构

NIPS是基于入侵检测系统和防火墙技术而构建的,以内嵌方式被部署在被保护网络的关键位置(比如外网与内网的连接链路上,或子网与子网之间的连接链路上),这样才能保证所有经过sensor的数据均可被截取到。本系统集成了入侵防御技术和防火墙技术,形成一种更深层的检测与防护解决的方案。关键网络位置都需要采用NIPS进行安全防护。系统运用虚拟蜜罐技术构建的蜜罐系统来构建虚拟主机,吸引黑客的入侵。蜜罐系统以子系统的方式与NIPS平行工作,也可单独部署。

综上所述,该NIPS是一种全方位、多层次的网络安全体系,具有集中式安全管理、分布式部署、高性能高准确、高扩展性和友好性等特点,能够实时主动的阻断入侵。

四、关键技术与实现

1. 入侵检测

NIPS最重要的功能是可以检测存在于网络数据流中的入侵行为,其核心部分是入侵检测模块。开放源代码入侵检测软件Snort及其修改版snort_inline具有更新及时的入侵特征库,鉴于其成熟性和可维护性,本系统的入侵检测子模块决定采用snort_inline的入侵检测技术。实现步骤如下:

(1)数据包解码。根据TCP/IP协议标准分析出数据包各个部分信息,如数据包的长度、源目的地址、源目的端口等;分析的过程中,如出现TCP数据包的检查和校验错误等协议分析异常的话,通过设置标志位将此数据包丢弃。

(2)对解码的数据包进行预处理。将解码过的数据包通过Preprocess函数传给预处理器,预处理器对数据包进行碎片重组、http规范化(协议解码器)等处理,以提高检测的精度和正确度。

(3)入侵检测。由函数Detect(P)实现对入侵行为的检测,Detect调用快速检测引擎fp Eval Packet(P),fpEvalPacket,根据数据包协议类型对数据包进行检测。

(4)完成检测。根据规则链,调用fpEvalHaederSW进行匹配,在检测过程中,如果检测引擎中的某条规则被匹配,用FpLgoEvent对这个事件进行记录,由响应处理模块进行事件响应。经过检测引擎检查后的数据包,通过HnadlPeacket的响应并输出,实现入侵防御。

2. 入侵防御

入侵检测是对数据包中与规则链相匹配的事件信息进行分析,从而发现入侵行为。当这些违反安全策略的数据包或事件被检测出来后,检测系统针对这些被记录下来的数据对网络安全状况进行分析并确定系统所出问题之后,接下来就必须针对这些安全漏洞问题采取行动,这在入侵检测处理过程模型中称为响应。响应包括主动响应和被动响应。主动响应是指系统自动的或在用户配合下,对阻塞或影响系统的入侵攻击进程采取行动;而被动响应则是系统只将所检测出来的问题做简单的记录和报告。

在本设计中,NIPS采用了主动方式和被动方式相结合的方案来实现网络多方位的安全防护。在入侵检测中,对有问题的数据采用被动方式进行记录和报警,便于分析网络中出现的安全问题。但是,被动方式跟传统的IDS被动响应相一致,当IDS检测出入侵行为后,在做出主动响应的同时,系统已经受到危及了,并不能真正实现系统的安全防护。因此,还必须结合主动方式对网络信息进行实时响应,阻断入侵行为。其方法如下:

(1)在入侵检测中,发现含有入侵行为的恶意数据包时采取直接丢弃,使其无法到达目标主机;

(2)通过对问题数据包内容的修改,使其恶意功能消失,对系统安全不造成威胁;

(3)对入侵者的入侵信息进行相应,向其计算机发送TCP reset数据包,或发送ICMP port unreachable(端口不可达)的数据包;

(4)利用防火墙和网关直接阻止来自入侵者IP地址的所有数据包。

3. 蜜罐子系统

黑客的入侵技术和方法是在不断的进步和发展的,但当NIPS的入侵检测规则库与新型的攻击脱节时,NIPS将检测不出攻击,出现一定的漏报,这种情况可以采用蜜罐系统进行弥补。在网络中所有连接到蜜罐的活动或交互行为都可以被认为是可疑的或是具有恶意的。在NIPS方案中,采取使用低交互蜜罐方案,将蜜罐系统作为NIPS的一个有力补充,降低整个系统安全的风险,避免影响网络及其它主机的安全,提高整体的网络安全。

鉴于开发周期的局限和蜜罐的复杂性,我们决定采用开放原代码的蜜罐Honeyd作为本系统的蜜罐系统方案。Honeyd是一个能在网络中实现创建虚拟主机的守护进程,该虚拟主机能够进行配置,运行任意程序,并可模拟TCP特性,使它们看起来像是正常运行的主机操作系统。虚拟主机上任何类型的服务都可以依照一个简单的配置文件进行模拟。Honeyd能在一个模拟的局域网环境里让一台主机配有多个地址,并且可以对虚拟主机进行ping、traceroute操作,也可以一台主机做代理服务。以此蜜罐系统作为目标主机的替身,让它模拟一个或多个易受攻击的服务器,将这些服务器的文件系统配置成带有欺骗性的系统属性,用来模拟关键系统的外表表象和内容。同时向管理控制台发出告警和日志信息,通过对这些信息的审计和抽取,系统对入侵检测子系统检测模块和规则库进行更新,将新的规则添加进去,调整NIPS策略,以便阻止攻击源的入侵。当然也可以采用主动响应模式,通过配置蜜罐的响应策略,直接断开非法入侵的连接。

五、结束语

本文提出的NIPS设计方案中融入了防火墙和入侵检测技术,这不仅提高了入侵抵御系统对安全事件的响应能力,并且由于加入了蜜罐技术对黑客进行迷惑,从多方面保障了网络的整体安全性。在科技飞速发展的今天,单功能产品早已无法满足时代的潮流,安全产品必然向集中、融合、协同的网络安全管理趋势发展,因此,入侵防御系统势也应顺应时代,不断完善与创新。

参考文献

[1]聂林等.入侵防御系统的研究与分析[J].计算机应用研究,2005,9:131-136.

[2]杨德刚.基于模糊C均值聚类的网络入侵检测算法[J].计算机科学,2005,32(1):86-91.

[3]张中辉,操家庆,梁意文.基于联动机制的入侵防御系统[J].计算机时代,2006,(7):28-29.

篇5：入侵检测与入侵防御将长期共存

【关键词】计算机网络；服务器安全；入侵；防御

如今，网络技术的应用是非常广泛的，而且发展也是非常迅速的，对人类做出的贡献也是比较多的。网络往往有好的一面，但是也有不好的一面。人们能够从网络上了解一些不知道的知识，但是也会产生比较多的安全问题，对网络的安全有一定的威胁。现在是网络的时代，而且人们也不能离开网络。目前，在国家的军事、政治以及经济等社会系统，网络已经是其存在以及发展的基础了。如果网络被破坏了，那么一切社会系统就不可以正常的发挥作用了，因此，就破坏了社会的发展以及国家的安全也会受到一定程度的影响。

一、网络的服务器运行受到破坏

现在黑客一般的攻击行为基本上都是跟网络技术相联系的，而且现在网络技术不断的在发展，有一些网络技术被黑客利用了。一般黑客运用的技术主要有这几种。

（一）获取口令的技术。主要有3种方法能够获取口令。第一种主要就是利用网络监听的方式，然后把用户的口令用非法的手段来得到。不过，这个方法是有局限性的，但是它的危害性却是比较大的，而且对局域网的威胁是非常大的。第二种方法主要就是用专门的软件对所知道的账号进行强行的破解，不过这种方法需要黑客有很好的耐心及时间。第三种方法主要就是知道服务器上面的口令文件，然后再对用户的口令用暴力的破解程序进行破解，不过在用这个方法之前，黑客需要先得到口令的一个Shadow文件。这个方法的危害性是最大的，就是把加密好的口令和Shadow文件里面的口令进行对比的，这样就能够很容易的就获取用户的密码了。

（二）植入木马程序的技术。主要就是利用这个程序对用户的电脑进行最直接的破坏，基本上是把这个程序伪装成游戏或者是一些工具程序，然后再诱导用户，让他们打开这些带有程序的邮件。如果用户们打开邮件以及把这些程序进行执行以后，特洛伊木马程序就会留在用户的电脑里面，然后再隐藏在当windows启动的时候就运行的程序进程里面。如果用户的电脑跟因特网连接的话，这个程序就能够把用户的IP地址和原先弄好的端口报告给黑客。最终，黑客就会运用那个程序进程，获取到用户计算机的管理权限，从而能够控制用户的电脑。

（三）漏洞攻击的技术。有很多电脑的系统都是有安全漏洞的，而且有的应用软件以及系统的本身就带有安全漏洞的，如果在补丁还没有开发出来的时候，漏洞很容易就被黑客给破坏了，遇到这种情况的话，只能把网线给拔掉了。有的漏洞主要是管理员引起的，如果管理员做出错误的配置的话，那么这些漏洞就会存在的。这样都会让黑客能够乘机破坏，所以要及时的进行改正。

（四）病毒攻击的技术。计算机病毒的传播是比较快的，破坏性也是很强的。现在计算机病毒的规模以及发展已经越来越庞大与迅速了，而且病毒的种类也是越来越多的。

（五）跳板攻击的技术。当一台主机被黑客攻击后，黑客会把这台主机当作根据地，然后再对别的主机进行攻击。黑客一般都是用网络监听这种方法，对别的主机进行攻破，或者是利用主机信任以及IP欺骗的这种关系，对别的主机进行攻击。而且这样的攻击是非常狡猾的，不过有的技术比较难掌握，所以，黑客基本上是不用这种技术的。

二、服务器的架构

（一）对网络安全的体系进行加强。服务器是网络的一个核心部分，所以要把服务器跟其他的设备作为一个整体，进行一个比较统一的规划和安排，这样才能保证服务器的安全。就应该要建立一个比较强有力的、整体的以及完善的计算机的网络安全体系。一般安全体系主要是有2个部分，即安全技术与安全管理。安全技术主要就是运用各种硬件、软件、技巧以及方法等来对计算机的网络进行管理。安全管理主要就是运用一些比较规范的管理制度来对计算机网络的使用行为进行约束和规范。

（二）需要建立防护的基础。一般都是系统或软件存在的漏洞造成一些安全问题。基本上网络被攻击都是从漏洞这方面开始，所以要想让服务器安全的话，就应该要建立一些防护的基础，然后利用一些网络安全的技术对服务器以及计算机网络进行构建。这样就能够保证服务器非常安全的。

（三）对数据的备份要定期进行。当我们做好了之前的工作以后，也许还会出现一些损失，所以我们应该要尽可能的避免它，因此，还需要运用一些技术进行数据的备份，而且还要保存好，这也就是网络的管理人员每天要做的工作。为了防止数据的备份被他人窃取，因此，需要在数据备份后将备份文件存放至安全的地点。

（四）对漏洞进行检测以及修复。一般软件都是有漏洞的，所以当发现漏洞的时候，就要及时的去弥补，如果不及时的去弥补的话，非法入侵者就会利用这个漏洞进行破坏。所以当发现软件里面的漏洞时，就要安装补丁程序。

三、结束语

简而言之，网络的环境是比较多变，比较复杂的，而且信息系统也是非常脆弱的，因此，能够威胁网络安全的因素还是客观存在的。所以说，一定要对安全的监督管理进行加强，还要把保护网络安全的屏障给建立起来。最近几年，木马这种攻击的手段是比较流行的，那么就要对木马进行防御。所以，就要建立一个比较安全放心的网络服务器，从而能够使网络不会受到破坏。

参考文献

[1]贺雪晨.信息对抗与网络安全[M].清华大学出版社,2006(07)

[2]胡昌振 李贵涛.面向21世纪网络安全与防护[M].希望电子出版社,2000(04)

[3]覃爱明 胡昌振 谭惠民.网络攻击检测中的机器学习方法综述[J].安全与环境学报,2001(01)

[4]刘颖.网络安全战略分析[J].社会科学版,2003(05)

篇6：局域网防御恶意入侵与攻击浅述

(一) 典型网络入侵和攻击方法

1. 使用网络扫描器:

网络扫描器是利用C/S结构中的请求-应答机制来实现的, 是网络入侵者收集信息的重要工具。扫描器能够发现目标主机和网络, 识别目标主机的端口状态和目标主机正在运行的各种服务并测试这些服务中是否存在漏洞, 能够根据漏洞信息分析系统脆弱点, 生成扫描报告。常用的扫描方法有利用网络命令、端口扫描和漏洞扫描三种。

2. 特洛伊木马:

特洛伊木马 (简称木马) 是一种C/S结构的网络应用程序, 木马程序一般由服务器端程序和控制器端程序组成。“中了木马”就是指目标主机中被安装了木马的服务器端程序。若主机“中了木马”, 则攻击者就可以利用木马的控制器端程序与驻留在目标主机上的服务器端程序进行通信, 进而达到获取目标主机上的各种信息的目的。木马的服务器端程序通常是嵌入到主机的合法程序中, 随合法程序运行后独立工作, 或者作为单独的程序在设定的条件下自动运行, 极具隐蔽性和危害性。

3. 缓冲区溢出:

缓冲区是指计算机程序运行时在内存中开辟的临时存储数据的区域。理想情况是, 程序检查数据长度并且不允许输入超过缓冲区长度的内容, 但是很多程序都不做这种检查, 这就为缓冲区溢出埋下隐患。通过向缓冲区写入超出其长度的内容, 造成缓冲区的溢出, 缓冲区溢出可能会带来两种结果:一是过长的内容覆盖了相邻的存储单元, 引起程序运行失败, 严重的可导致系统崩溃;二是破坏程序的堆栈, 使程序转而执行其它的指令, 由此而引发多种攻击方法。

4. 拒绝服务攻击:

拒绝服务攻击是利用合理的服务请求来占用过多的服务资源, 致使目标主机服务超载, 停止提供服务或资源访问。这些服务资源包括网络带宽、磁盘容量、内存、进程等。拒绝服务攻击是由于网络协议本身的安全缺陷造成的, 这种攻击会导致资源的匮乏, 无论目标主机速度多快、容量多大、网络环境多好都无法避免这种攻击。拒绝服务攻击能实现两种效果:一是迫使目标主机的缓冲区满, 不接收新的请求;二是使用IP欺骗, 迫使目标主机把合法用户的连接复位, 影响合法用户的连接。常见的拒绝服务攻击方法有广播风暴、SYN淹没、IP分段攻击和分布式攻击等。

5. 网络监听:

以太网协议的工作方式是把要发送的数据包发往同一网段内的所有主机, 在包头中含有目的主机的地址, 正常情况下, 只有地址与数据包的目标地址相同的主机才能接收数据包, 但是当主机工作在监听模式下, 不管数据包中的目标地址是什么, 它都可以接收。网络监听就是利用这一原理, 将主机设置在监听模式下从网上截获各种信息。网络监听需要进入到目标主机所在的局域网内部, 选择一台主机实施, 监听效果最好的地方是在网关、路由器、防火墙上, 能捕获更多的信息。

6. IP欺骗:

IP欺骗是利用TCP/IP协议本身的安全缺陷实现攻击的, 它通过盗用合法的IP地址, 获取目标主机的信任, 进而访问目标主机上的资源。目前, 许多安全性解决方案都依赖于精确的IP地址, 所以不论目标主机上运行的是何种操作系统, IP欺骗攻击都是容易实现的, 这些攻击包括序列号欺骗、路由攻击、源地址欺骗和授权欺骗。

(二) 防范网络入侵和攻击局域网的主要措施和技术

1. 访问控制技术

访问控制的主要目的是确保网络资源不被非法访问和非法利用, 是网络安全保护和防范的核心策略之一。访问控制技术主要用于对静态信息的保护, 需要系统级别的支持, 一般在操作系统中实现。目前, 访问控制主要涉及入网访问控制、权限控制、目录级安全控制以及属性安全控制等多种手段。

入网访问控制通过对用户名、用户密码和用户帐号默认权限的综合验证、检查来限制用户对网络的访问, 它能控制哪些用户、在什么时间以及使用哪台主机入网。入网访问控制为网络访问提供了第一层访问控制。

网络用户一般分为三类:系统管理员用户, 负责网络系统的配置和管理;普通用户, 由系统管理员创建并根据他们的实际需要为其分配权限;审计用户, 负责网络系统的安全控制和资源使用情况的审计。用户入网后就可以根据自身的权限访问网络资源。权限控制通过访问控制表来规范和限制用户对网络资源访问, 访问控制表中规定了用户可以访问哪些目录、子目录、文件和其它资源, 指定用户对这些文件、目录等资源能够执行哪些操作。

系统管理员为用户在目录一级指定的权限对该目录下的所有文件和子目录均有效。如果用户滥用权限, 则会对这些目录、文件或设备等网络资源构成威胁。目录级安全控制可以限制用户对目录和文件的访问权限, 进而保护目录和文件的安全, 防止用户权限滥用。

属性安全控制是通过给网络资源设置安全属性标记来实现的。它可以将目录或文件隐藏、共享和设置成系统特性, 可以限制用户对文件进行读、写、删除、运行等操作等。属性安全在权限安全的基础上提供更进一步的安全性。

2. 防火墙技术

防火墙是一种高级访问控制设备, 是置于不同网络安全域之间的一系列部件的组合, 是不同网络安全域间通信流的惟一通道, 它能根据有关的安全策略控制 (允许、拒绝、监视、记录) 进出网络的访问行为。防火墙是网络安全的屏障, 是提供安全信息服务、实现网络安全的基础设施之一。

防火墙能极大地提高一个内部网络的安全性, 防止来自被保护区域外部的攻击, 并通过过滤不安全的服务而降低风险;能防止内部信息外泄和屏蔽有害信息, 利用防火墙对内部网络的划分, 可以实现内部网络重点网段的隔离, 限制安全问题扩散, 从而降低了局部重点或敏感网络安全问题对全局网络造成的影响;能强化网络安全策略, 将局域网的安全管理集中在一起, 便于统一管理和执行安全策略;能严格监控和审计进出网络的信息, 如果所有的访问都经过防火墙, 那么, 防火墙就能记录下这些访问并做出日志记录, 同时也能提供网络使用情况的统计数据。当发生可疑动作时, 防火墙能进行适当的报警, 并提供网络是否受到监测和攻击的详细信息。

3. 数据加密技术

数据加密能防止入侵者查看、篡改机密的数据文件, 使入侵者不能轻易地查找一个系统的文件。数据加密技术是网络中最基本的安全技术, 主要是通过对网络中传输的信息进行加密来保障其安全性, 是一种主动的安全防御策略。

数据加密实质上是对以符号为基础的数据进行移位和置换的变换算法, 这种变换受“密钥”控制。常用的数据加密技术有私用密钥加密技术和公开密钥加密技术。私用密钥加密技术利用同一个密钥对数据进行加密和解密, 这个密钥必须秘密保管, 只能为授权用户所知, 授权用户既可以用该密钥加密信息, 也可以用该密钥解密信息。DES是私用密钥加密技术中最具代表性的算法。公开密钥加密技术采用两个不同的密钥进行加密和解密, 这两个密钥是公钥和私钥。如果用公钥对数据进行加密, 只有用对应的私钥才能进行解密;如果用私钥对数据进行加密, 则只有用对应的公钥才能解密。公钥是公开的, 任何人可以用公钥加密信息, 再将密文发送给私钥拥有者。私钥是保密的, 用于解密其接收的用公钥加密过的信息。目前比较安全的采用公开密钥加密技术的算法主要有RSA算法及其变种Rabin算法等。

4. 入侵检测技术

入侵检测是对入侵行为的检测, 它通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息, 检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。

用于入侵检测的软件与硬件的组合便是入侵检测系统, 入侵检测系统被认为是防火墙之后的第二道安全闸门, 它能监视分析用户及系统活动, 查找用户的非法操作, 评估重要系统和数据文件的完整性, 检测系统配置的正确性, 提示管理员修补系统漏洞;能实时地对检测到的入侵行为进行反应, 在入侵攻击对系统发生危害前利用报警与防护系统驱逐入侵攻击, 在入侵攻击过程中减少入侵攻击所造成的损失, 在被入侵攻击后收集入侵攻击的相关信息, 作为防范系统的知识, 添加入侵策略集中, 增强系统的防范能力, 避免系统再次受到同类型的入侵攻击。

入侵检测作为一动态安全防护技术, 提供了对内部攻击、外部攻击和误操作的实时保护, 在网络系统受到危害之前拦截和响应入侵, 它与静态安全防御技术 (防火墙) 相互配合可构成坚固的网络安全防御体系。

5. 安全扫描

安全扫描就是对计算机系统或者其它网络设备进行安全相关的检测, 以找出安全隐患和可能被攻击者利用的漏洞。安全扫描是把双刃剑, 攻击者利用它可以入侵系统, 而管理员利用它可以有效地防范攻击者入侵。

安全扫描常采用基于网络的主动式策略和基于主机的被动式策略。主动式策略就是通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应, 从而发现其中的漏洞;而被动式策略就是对系统中不合适的设置, 脆弱的口令以及其它同安全规则抵触的对象进行检查。利用被动式策略扫描称为系统安全扫描, 利用主动式策略扫描称为网络安全扫描。

目前, 安全扫描主要涉及四种检测技术:基于应用的检测技术、基于主机的检测技术、基于目标的漏洞检测技术、基于网络的检测技术。

6. 安全审计

网络安全是动态的, 对已经建立的系统, 如果没有实时的、集中的可视化审计, 就不能及时评估系统的安全性和发现系统中存在的安全隐患。网络安全审计就是在一个特定的网络环境下, 为了保障网络和数据不受来自外网和内网用户的入侵和破坏, 而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件, 以便集中报警、分析、处理的一种技术手段, 它是一种积极、主动的安全防御技术。

计算机网络安全审计主要包括对操作系统、数据库、Web、邮件系统、网络设备和防火墙等项目的安全审计, 以及加强安全教育, 增强安全责任意识。目前, 网络安全审计系统主要包含以下几种功能:采集多种类型的日志数据、日志管理、日志查询、入侵检测、自动生成安全分析报告、网络状态实时监视、事件响应机制、集中管理。

7. 安全管理

安全管理就是指为实现信息安全的目标而采取的一系列管理制度和技术手段, 包括安全检测、监控、响应和调整的全部控制过程。需要指出的是, 不论多么先进的安全技术, 都只是实现信息安全管理的手段而已, 信息安全源于有效地管理, 要使先进的安全技术发挥较好的效果, 就必须建立良好的信息安全管理体系, 制定切合实际的网络安全管理制度, 加强网络安全的规范化管理力度, 强化网络管理人员和使用人员的安全防范意识。只有网络管理人员与使用人员共同努力, 才能有效防御网络入侵和攻击, 才能使信息安全得到保障。

摘要：随着信息化时代的到来, 网络成了人们生活中的一部分, 而一些恶意入侵、攻击对信息安全的威胁越来越大。文章从典型的网络入侵和攻击方法入手, 阐述了局域网如何防范网络入侵与攻击的主要技术措施。

关键词：安全和保密,局域网,入侵和攻击,防范技术

参考文献

[1]张尧学, 王晓春, 赵艳标.计算机网络与INTERNET教程[M].北京:清华大学出版社, 1999.

篇7：入侵检测与入侵防御将长期共存

关键词：入侵检测,网络安全,入侵防御

随着网络和通信技术的不断发展，Internet的规模迅速扩张，越来越多的政府、企业以及团体等纷纷拥有了自己的内部网络并直接或间接接入Internet。目前，Internet已经深入到了全球的各个角落，网络的应用领域也从传统的小型业务系统逐渐向大型、关键业务系统扩展。随着网络经济和网络时代的到来，经济、文化、军事和社会生活将会强烈地依赖网络。以Internet为代表的全球性信息网络迅速发展，极大地提高了生产力，不仅改变了人们的生产方式、生活方式、学习方式，甚至改变了人们的思维方式。

1 入侵防御体系的提出

由于防火墙和入侵检测系统的自身缺陷，已经无法满足目前网络环境的变化对安全的需求，因此人们提出入侵防御系统(Intrusion Prevention System，简称IPS)的解决方案。IPS是一种主动防御的解决方案，它可以阻止由防火墙漏掉的或者IDS只能检测而不能处理的安全事件，从而减少因安全事件而受到的损失，增强系统和网络的安全性和可用性。

和IDS相比较，从功能上来看，IDS是一种并联在网络上的设备，它只能被动地检测网络遭到了何种攻击，它的阻断攻击能力非常有限，一般采取报警、日志方式。而IPS则是一种主动的、积极的入侵防范、阻止系统，它部署在网络的进出口处，当它检测到攻击企图后，它会自动地将攻击包丢掉或采取措施将攻击源阻断。

和防火墙相比较，防火墙只能对数据包进行粗粒度的检测，检测性能很低。IPS能对防火墙所不能过滤的应用层攻击进行过滤，可以最大地保证系统的安全。

以P2DR动态网络安全模型角度来分析，入侵防御系统应做到对攻击进行防护、检测和响应的有机统一，主动及时地切断入侵者的网络连接，阻止入侵的进一步发展，给系统提供及时地防护，进一步提高网络防护的智能性。入侵防御系统作为新生事物，目前还没有一个统一完善的定义。在本文中，我们暂且定义为：入侵防御系统(IPS)是任何能够检测已知和未知攻击并且在没有人为的干预下能够自动阻止攻击的硬件或者软件设备。

2 入侵防御体系的设计

2.1 P2DR模型

P2DR模型包括4个主要部分：Policy(安全策略)、Protection(防护)、Detection(检测)和Response(响应)。防护、检测和响应组成一个完事的、动态的安全循环，在安全策略的指导下保证信息系统的安全。如图1所示。

安全策略是模型的核心，为整个网络安全的依据。所有的保护、检测、响应都是依据安全策略实施的。安全策略的建立包括安全策略的制定、评估、执行等，制定可行的安全策略取决于对网络系统的了解程度。

检测是动态响应和加强保护的依据，也是强制落实网络安全策略的有力工具。利用检测工具来动态检测和监控网络，发现新的威胁和漏洞，了解和评估系统的安全状态，通过循环反馈来及时做出有效的响应。响应在网络安全系统中占有重要地位。它根据检测结果采取进一步的防护措施增强系统的安全性。

防护是通过一些静态的安全技术来实现，例如访问控制、加密、认证、防火墙技术等防范措施。P2DR体现了防御的动态性和基于时间的特性，它强调了系统的动态性和管理的持久性，以入侵检测、漏洞评估和自适应调整为循环来提高网络安全。

2.2 动态综合防御模型

根据对P2DR模型可以分析出入侵动态综合防御模型需要包含以下要素：

1)策略：理解信息系统的安全需求，制定主动防御的安全策略。该策略说明防护、检测、响应等的联动关系以及处理方法，是实施网络安全动态防御的指南;

2)防御：保障信息即系统的保密性、完整性、可用性等。将相关安全技术分类，建立防护技术体系;

3)检测：动态检测入侵及安全威胁，理解信息系统当前的安全状态。检查系统安全漏洞，实时检测入侵，评估入侵的威胁程度，以利响应;

4)响应：主动响应危及系统安全的入侵事件，防止危害蔓延和扩散;如果攻击造成了一定后果，及时恢复，保障系统提供正常服务;

5)反击：在必要的情况下，对攻击者进行跟踪追击或者入侵诱骗，获取攻击者详细的资料以备研究或取证。

2.3 系统体系结构

系统采用分布式的体系结构，可以根据网络的实际情况进行灵活部署，以适应不同的网络拓扑结构，同时具有良好的可扩展性。整体结构如图2所示。

3 关键技术与实现

3.1 异常检测

主机探测器部署于受保护主机上，对受保护系统进行实时监控和分析，检测出入侵后，向策略管理中心报警。由于是安装在受保护主机上，因此是与具体的操作系统相关的，依赖于底层的操作系统。

网络入侵防御系统主机探测器的整体结构设计如图3所示。

主机探测器可分为数据收集模块，数据分析模块，输出警报模块，接收和响应控制指令模块。

数据收集模块从SYSLOG记录的日志信息里收集相关数据传递给数据分析模块进行分析，最后将检测出的攻击信息传给发送报警信息模块。

策略管理中心在接到报警信息之后应该迅速做出反应，及时把控制指令信息发给主机探测器的控制指令接收器，接收控制指令模块在监听到控制台的信息后马上做出响应执行相应的操作。

3.2 防御策略中心

由于没有很有效的手段对IP Spoof数据流量进行有效辨识，所以目前采用的攻击防御技术，都是不加区别的消极防御手段，要么不作区别地丢弃，要么不作区别地分配系统资源进行处理。但是，由于拒绝服务攻击来临时，恶意数据包数量非常巨大，合法用户的访问请求被淹没在恶意数据包的海洋中;所以如果没有有效的手段进行区分，那么无论处理与否，其后果都将是灾难性的。

本系统采用基于状态控制策略和攻击期分级保护策略的系统模型，防御使用IP Spoof技术的协同控制型分布式拒绝服务攻击。

在攻击期，采用多种近似区分算法相结合对接收到的数据流量进行区分，并执行相应的过滤或转发操作。由于不同区分算法在性能和代价之间的平衡点不同，区分准确性也不同，所以采用分级保护策略进行攻击防御。

分级保护策略是指在防御系统中采用三级防御策略模型处理数据包。先使用数据预处理技术进行简单过滤，分流一部分畸形的和异常的数据包;再使用基于数据流指纹识别的防御技术进行过滤。在大多数情况下，经过这两个层次的过滤处理后已经可以起到很好的防御效果。对于一些特殊的攻击，例如攻击源粒度很小且分布范围很广的攻击，如果经过前两个层次的防御策略处理后效果不明显，将使用基于HCF的深层防御技术进行处理。三级防御策略模型如图4所示。

通过分级保护策略，首先将处理过程最简单，处理效率最高的算法作为第一级过滤策略，进行简单过滤，这样可以大大减少后续过滤算法的工作负荷，提高处理效率;将处理过程最复杂，但最精确的算法作为第三级过滤策略，以保证防御策略的整体有效性。这样，通过使用由简单到复杂，由粗到精的分级保护策略，既保证了处理过程的准确有效性，对恶意流量和正常流量进行有效区分，又满足了大规模攻击发生时对处理效率的要求。

4 结束语

随着计算机网络的普及使用，各类网络攻击事件频繁发生，网络安全问题正受到广泛关注。如何防御网络攻击已然成为网络安全研究中的主要课题。目前，入侵防御系统(IPS)的研究已经兴起，并且也有不少产品开始大量投入使用。这种网络技术有着先天的优势性，所以将来必被越来越多的人所认同，入侵防御系统的前景也会越来越光明。

参考文献

[1]聂林等.入侵防御系统的研究与分析[J].计算机应用研究,2008(9):131-136

[2]王志伟,郭文东.基于Snort的入侵防御系统的技术研究和实现[J].河北科技大学学报,2007,26(4).

[3]文齐.基于端口扫描和插件的网络漏洞扫描系统的研究与设计[D].哈尔滨工程大学,2008(2).