网络的防御初步论文

网络的防御初步论文（精选10篇）

网络的防御初步论文 篇1

哺乳动物机体中具有先天性和获得性两大免疫系统, 获得性免疫系统可通过细胞免疫和体液免疫产生的特异性免疫反应物质来保证机体免受病原微生物的侵害, 保持机体的平衡和稳定。近年来, 科学工作者又发现人与动物机体中的先天性免疫系统中, 还具有内在的防御系统。该系统在受到病原微生物侵袭后, 可诱导机体产生一种具有拮抗微生物的肽类物质—防御素。1985年美国科学家首先分离成功并开始研究。目前, 国内外科学工作者对防御素的研究深入而广泛。

1 防御素的性质

1.1 概念

防御素是机体吞噬细胞中的一种富含半胱氨酸的小分子蛋白质, 具有抗菌和抗被膜病毒作用, 是生物界较广泛存在的一类抗微生物和恶性细胞的短肽, 主要产生于哺乳动物的白细胞、吞噬细胞或小肠的潘氏细胞 (特别是噬中性细胞) 。

1.2 分类

按结构和氨基酸序列可分为五大类:-防御素、-防御素、-防御素、昆虫防御素和植物防御素。其中-防御素分布于人、禽和哺乳动物的组织中。猪的-防御素广泛分布于消化道、呼吸道、淋巴器官、心、肝、肾、脑、皮肤及肌肉等组织中, 其中舌及口腔粘膜最丰富。

1.3 作用

防御素是生物进化中的古老分子, 在先天性免疫系统的宿主防御机制中起重要作用, 是生物体在抵御病原体的防御反应过程中产生的一类抗微生物和一些恶性细胞的短肽。它既可亲水也可亲脂, 能与细胞膜的磷脂结合, 破坏细胞膜、阻止病毒进入细胞, 从而起到杀伤病原微生物的作用。

1.3.1 抗病原微生物作用

抗体外实验表明它具有十分广泛的抗菌谱, 可以抑制或杀死细菌、真菌、被膜病毒等多种微生物, 哺乳动物防御素除了对细菌、真菌、被膜病毒有毒杀作用外, 还对支原体、衣原体、螺旋体及一些恶性细胞有杀伤作用。对流感病毒、胃炎病毒、疱疹病毒和艾滋病病毒等, 均有很强的杀伤活性。

1.3.2 免疫调节作用

防御素除了本身对细菌、病毒的损伤以外, 还可以增强吞噬细胞吞噬细菌、病毒后溶解消化作用。防御素在免疫系统特别是非特异性免疫防御系统中也起重要作用。

1.3.3 提高机体生产性能作用

-防御素在基因工程表达中, 产生高活性的异黄酮、谷氨酸多肽、果聚糖、维生素B2、B6、B12E、K、青霉素酶等物质。高活性的异黄酮影响到母猪激素分泌、代谢生物学活性、蛋白质合成、生长因子活性。它是一种具有多种重要生理活性的天然营养因子, 是纯天然的雌激素, 容易被猪吸收, 能迅速补充营养。富含小肠绒毛促长因子和促消化物质, 寡糖、维生素、肠肽、极其适合在猪料尤其在高档乳仔猪料中添加使用, 显著减少断奶腹泻, 维持肠道结构功能快速修复, 实现乳仔猪早期断奶, 促进快速增重, 改善料肉比。

1.4 防御素对病毒作用机理

1.4.1 灭活

通过与病毒外壳蛋白结合而导致病毒失去生物活性 (影响病毒外壳蛋白的氨基酸序列而破坏病毒颗粒的组装) 。

1.4.2 干扰干扰病毒内核基因表达。

1.4.3 破坏

破坏囊膜病毒的膜结构, 对病毒被膜直接起作用, 而不是抑制病毒DNA的复制或基因表达。防御素对病毒的杀伤作用依赖于其分子内二硫键的紧密程度、防御素的浓度, 还与p H、温度等因素有关。

1.5 防御素对机体免疫调节作用机理

1.5.1 激活

可以激活、募集单核细胞、嗜中粒细胞、白细胞。这些细胞可以被特定的抗原激活而逐渐增多, 发挥免疫功能。

1.5.2 调理防御素在体内参与过敏反应, 对单核白细胞有很强的趋化作用, 同时起到调理素的作用。

2 防御素的应用

2.1 在临床医学中的应用

医学界对防御素的研究广泛而深入, 目前对人和动物产生防御素的组织部位、细胞、基因调控、种类、数量、作用机理等理论已全面掌握。但在临床治疗中的应用报道尚少。-防御素在抗肿瘤、抗癌变、抗爱滋病和控制烧伤感染中已开始尝试。第四军医大学在胃癌、肝癌、食道癌的治疗方面进行了研究;四川大学王同庆、魏于全等在肿瘤治疗中进行了试验;中国医学科学院曹韵贞教授研究证实:-防御素在体外可抑制艾滋病病毒的增值。德国柏林马克思普朗克传染病协会研究人员用-防御素治疗炭疽病获得了成功。

2.2 在畜牧兽医中的应用

畜牧兽医界对防御素的研究相对滞后, 深度和广度不及医学界。广州湛江市遂溪县陈理常应用瑞鑫百奥生物科技有限公司生产的“防御素抗菌肽”预防仔猪断奶应激症获得满意效果, 但在兽医临床中应用报道的尚少。

3 防御素防治猪腹泻病试验

为开发动物新型绿色环保药物、验证防御素的预防与治疗功效、开辟生物制剂防治猪腹泻病的途径, 笔者进行了临床应用初步试验。

3.1 材料

猪-防御素Z-100型 (液体) , 由哈尔滨福莱德动物保健品有限责任公司与中国人民解放军军事医学科学院共同研发, 哈尔滨福莱德动物保健品有限责任公司试生产。规格:5 000 m L/瓶。成分:-防御素、合生素、高活性异黄酮、青霉素酶、复合酶、粘膜上皮细胞修复剂。

3.2 方法

2010年10月15日, 吉林省舒兰市东富街道个体自繁自养73头约70 kg后备母猪, 严重腹泻, 经抗生素治疗无效。粪便送检, 经军事医学科学院兽医研究所电镜检查诊断为冠状病毒与轮状病毒混合感染。20日开始, 500 kg饲料中添加1 000 m L防御素混合均匀。连用15 d。为验证防御素的试验效果, 特设立5头病猪作为试验对照。

3.3 结果

9 d后 (29日) 回访, 畜主主诉有效, 但还有近一半患猪仍腹泻。笔者建议继续按原来方法应用至11月5日。11月7日回访时, 畜主告知:74头猪腹泻停止。而对照猪仍在腹泻, 而且有一头死亡。畜主认为, 此方法治疗猪腹泻有效。

4 讨论

4.1 防御素的应用效果

防御素在畜牧兽医生产中应用的确切效果报道较少, 本试验仅是在防治猪腹泻病中的初步结果, 尚没有规律性, 不能揭示其本质。目前, 在养鸡业、养猪业中应用防御素的研究已经开始。中国动物保健门户总监孙永刚先生正在进行“肉食鸡应用防御素提高生产性能的试验研究”, 长春市动物疾病诊疗防治中心的研究人员也正在进行“防御素预防猪病毒性腹泻症”的深入研究。

4.2 关于防御素的生产

防御素是含在中性粒细胞内的小肽, 其机体的含有量极少, 欲大批量体外生产并提纯, 技术工艺要求复杂、困难较大, 因而在养殖业中广泛应用受到很大限制。但经研究证明:昆虫防御素的某些序列与脊椎动物具有同源性。因此, 可应用基因工程技术扩大生产量, 满足养殖业的需求。

4.3 防御素的应用前景

防御素是哺乳动物机体正常细胞中产生的抗病原微生物的短肽, 具有广谱性, 是一种不产生抗性、无药残的生物抗菌 (病毒) 物质;又是动物机体自身产生, 不产生变态反应, 可以长期在饲料中添加, 是一种大有应用价值的绿色生物制剂。在兽医临床治疗和预防传染病中可以广泛应用。吉

网络信息安全的现状与防御 篇2

关键词：网络安全；认证加密；访问权限；入侵检测系统

中图分类号：TP393 文献标识码：A文章编号：1007-9599 (2011) 13-0000-01

The Status and Defense of Network Information Security

Lin Jiatao

(National Computer Network Emergency Response Technical Team Coordination Centre Sub-centers of Guangdong,Guangzhou510665,China)

Abstract:With the development of computer technology,the network we are no longer strange,it changed people's daily lives,work ways to bring great convenience.But at the same Web-based security has become increasingly prominent.Whether the external network or intranet network are subject to security issues.

Keywords:Network security;Authentication and encryption;Access;

Intrusion Detection System

一、网络安全的含义

网络安全是对网络信息保密性、完整性和可用性的保护，主要包括组成网络系统的硬件、软件及在网络上传输信息的安全性。在现实生活中，网络安全的具体含义往往会随着使用者的不同而变化，例如用户仅仅希望个人信息在网络上传输时受到保护，避免被窃听、篡改和伪造；而网络提供商除了要关心这些之外，还要考虑如何应付突发攻击事件，以及出现异常时如何恢复网络通信，保持网络通信的连续性。

二、影响网络安全的主要因素

随着计算机网络的普及，网络安全问题成了人们关心的焦点，影响计算机网络安全的主要因素有：（一）TCP/IP的脆弱性。作为所有网络安全协议基石的TCP/IP协议，其本身对于网络安全性考虑欠缺，这就使攻击者可以利用它的安全缺陷来实施网络攻击。（二）软件系统的不完善性造成了网络安全漏洞，给攻击者打开方便之门。（三）网络结构的不安全性。由于因特网采用了网间网技术，因此当两台主机进行通信时，攻击者利用一台处于用户数据流传输路径上的主机，就可以劫持用户的数据包。（四）缺乏安全意识和策略。由于人们普遍缺乏安全意识，网络中许多安全屏障形同虚设。如为了避开防火墙的额外认证，直接进行PPP连接，给他人留下可乘之机等。（五）管理制度不健全，网络管理、维护任其自然。

三、网络攻击的特点

（一）损失巨大。网络计算机一旦被攻击和入侵，就会处于瘫痪状态，给计算机用户造成巨大的经济损失。如据美国FBI统计，美国每年因网络安全造成的损失高达75亿美元。（二）威胁社会和国家安全。一些攻击者出于各种目的，经常把政府、军事等部门作为攻击目标，对社会和国家安全造成极大的威胁。（三）手段多样，手法隐蔽。网络攻击的手段五花八门，既可以通过监视网上数据获取别人的保密信息；也可以通过截取账号和口令，进入别人的计算机系统；还可以通过特殊方法绕过防火墙等等。这些都可以在很短时间内通过一台联网的计算机不留痕迹地完成。（四）以软件攻击为主。大部分网络攻击都是通过对软件的截取和攻击，破坏整个计算机系统。因此，要求人们对计算机各种软件进行严格的保护。

四、网络攻击的主要途径

网络攻击是指攻击者通过非法手段获得非法权限，并通过这些非法权限对被攻击的主机进行非授权操作。网络攻击的主要途径有破译口令、IP欺骗和DNS欺骗。（一）口令是计算机系统抵御入侵者的一种重要手段，口令入侵是指破译合法用户的账号和口令登录到目的主机，然后再实施攻击活动。（二）IP欺骗是指利用TCP/IP协议的脆弱性和对目标网络的信任，伪造IP地址，假冒被信任主机与被入侵主机进行连接，并对被信任主机发起淹没攻击，使其处于瘫痪状态。（三）域名系统（DNS）是一种用于TCP/IP应用程序的分布式数据库，采用客户机/服务器机制，提供主机名字和IP地址之间的转换信息。

五、网络安全的主要技术

网络安全技术随着网络实践的发展而发展，涉及的技术面非常广，其中认证、加密、防火墙及入侵检测等都是网络安全的重要防线。（一）认证：对合法用户进行认证，限制合法用户的访问权，防止非法用户获得信息访问权。如：1.身份认证，当系统的用户要访问系统资源时，确认是否是合法用户。2.报文认证，通信双方对通信的内容进行验证。3.访问授权，确认用户对某资源的访问权限。4.数字签名，一种使用加密认证电子信息的方法。

（二）数据加密：通过一种方式使信息变得混乱，让未被授权的人看不懂它。主要包括：1.私钥加密，加密信息和解密信息使用同一个密钥。2.公钥加密，加密信息和解密信息使用两个不同的密钥。

（三）配置防火墙。防火墙是网络访问控制设备，用于拒绝除了明确允许通过之外的所有通信数据。利用防火墙，在网络通讯时执行一种访问控制尺度，允许防火墙同意访问的人与数据进入自己的内部网络，同时将不允许的用户与数据拒之门外，最大限度地阻止网络中的黑客来访问自己的网络，防止他们随意更改、移动甚至删除网络上的重要信息。大多数防火墙都采用几种功能相结合的形式来保护网络不受攻击，其中最流行的有静态分组过滤、动态分组过滤、状态过滤和代理服务器技术，它们的安全级别依次升高。此外，现今良好的防火墙还采用了VPN（虚拟专用网）、检视和入侵检测技术等。防火墙是一种行之有效且应用广泛的网络安全机制，防止Internet上的不安全因素蔓延到局域网内部，所以，防火墙是网络安全的重要一环。

（四）采用入侵检测系统。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种积极主动的安全防护技术，提供了对内部入侵、外部入侵和误操作的实时保护，在网络系统受到危害之前拦截相应入侵。在入侵检测系统中利用审计记录，入侵检测系统能够识别出任何不希望有的活动，从而限制这些活动，以保护系统的安全。在校园网络中采用入侵检测技术，最好采用混合入侵检测，在网络中同时采用基于网络和基于主机的入侵检测系统，则会构架成一套完整立体的主动防御体系。

参考文献：

[1]朱理森,张守连.计算机网络应用技术[M].北京:专利文献出版社,2001

[2]刘占全.网络管理与防火墙[M].北京:人民邮电出版社,1999

网络信息的安全和防御 篇3

网络信息安全包含三个基本要素。一是保密性,即保证信息为授权者享用而不泄露给未经授权者。二是完整性,即数据的完整性(未被未授权篡改或损坏)和系统的完整性(系统未被非授权操纵,按既定的功能运行)。三是可用性,即保证信息和信息系统随时为授权者提供服务,而不要出现非授权者滥用却对授权者拒绝服务的情况。实际上,计算机网络信息安全,就是通过采用各种技术措施和管理措施确保网络系统的正常运行,从而保证网络信息和数据的完整性、保密性和可用性,其目的是防止网络传输后的信息和数据不会发生改变和泄露。

网络信息系统是一个开放的信息共享的系统,因此网络信息系统在接受不同需求的用户访问时存在很大的安全隐患。网络信息的安全问题并不是单纯的技术问题,它包含了技术及管理等多个方面。因此,在网络信息安全问题上要综合考虑,在用户与安全之间寻找平衡点,通过技术和管理手段实现最佳安全效果。

2 影响网络及网络信息安全的主要因素

对计算机和网络信息安全造成威胁的可分为两类:一是对网络本身的威胁,即这种威胁是针对网络设备和网络软件系统平台的;二是对网络中信息的威胁,即这种威胁是针对网络中的数据以及处理这些数据的信息系统和应用软件的。

影响计算机网络信息安全的因素有很多,其中一个主要的因素是来自于用户在操作中的失误,如口令选择不慎,随意将自己的账户借给他人或与他人共享等等,这些都会对网络信息安全造成威胁。然而,计算机网络信息安全所面临的最大威胁则来自于人为的恶意攻击。这种人为攻击分两种,一是主动攻击,即以各种方式对系统和数据的有效性和完整性进行有选择性的破坏。二是被动攻击,即在不影响网络和系统正常运行的情况下,对重要的机密信息进行截获和窃取。软件本身存在的缺陷和漏洞以及由于安全配置不当所造成的安全漏洞(如防火墙软件配置的不正确),这些也是威胁网络信息安全的因素之一。另外,还有一个威胁网络信息安全的因素就是计算机病毒。计算机病毒由于其特点具有隐蔽性、潜伏性、传染性和破坏性,因而对计算机网络信息安全所造成的破坏也十分巨大。

3 应用于网络信息安全的主要技术

随着计算机技术及网络技术的发展,网络信息安全的内涵在不断延伸,从早期的信息保密性到信息的完整性、可用性、可控性和不可否认性,发展为攻击、防范、监测、控制、管理、评估等多方面的基础理论和实施技术。目前,网络信息常用的安全技术包括:入侵预防技术、防火墙技术、病毒防范技术、数据加密技术、漏洞扫描技术、蜜罐技术和系统容灾技术。

入侵预防技术就是根据事先设定好的防范规则,并依此规则来判断哪些行为可以通过,哪些行为带有威胁性。入侵预防技术重在预防,它能积极主动地加强桌面系统和服务器的安全,防止受到网络攻击和破坏。

防火墙技术是设置在不同网络或网络安全域之间的一系列部件的组合。防火墙是不同网络或网络安全域之间信息的唯一出入口,能根据网络自身的安全政策控制出入网络的信息流,并具有较强的抗攻击能力。

病毒防范技术的注入方式为无线电方式、“固化”式方式、后门攻击方式和数据控制链攻击方式等。病毒防范技术的应用范围主要是对病毒客户端的管理、对邮件的传播进行控制、对有害信息进行过滤及建立多层次多级别的防病毒系统。

数据加密技术是在传输过程或存储过程中进行信息数据的加解密,常用的加密体制是采用对称加密和非对称加密。对称加密技术是指同时运用一个密钥进行加密和解密;非对称加密技术是指加密和解密所用的密钥不一样,它有一对密钥,分别为“公钥”和“私钥”,这两个密钥必须配对使用。

漏洞扫描技术就是通过一定的方法来检测系统中重要数据和文件是否存在黑客能利用的漏洞。通常有两种方法,一是端口扫描法,即通过端口扫描获知并查看是否存在漏洞。二是模拟黑客的攻击法,即通过模拟攻击测试安全漏洞。

蜜罐技术,简单地说,就是通过真实或模拟的网络和服务来吸引攻击,然后分析黑客攻击蜜罐期间的行为和过程,收集信息并发出预警。蜜罐技术虽然不会修补任何东西,也不会直接提高计算机网络安全,但它却是其他安全策略所不能替代的一种主动型防御技术。

系统容灾技术是指在较远的异地建立多套功能相同的IT系统,这些系统相互之间可以进行健康状态监视和功能切换,当一处系统因灾难停止运行时,整个应用系统可以切换到另一处,使得该系统功能可以继续正常工作,这是异地容灾技术。还有一种本地容灾技术,即包括磁盘保护、数据保护和数据备份等,通过保护这些存储设备达到系统不被外来对象入侵的目的。

4 网络信息安全防护思路

为了保证网络信息的安全性,降低网络信息面临的安全风险,靠单一的安全技术是不够的。根据信息系统面临的不同安全威胁和防护重点,有针对性地应用一些不同的网络安全防护方法。这里将给出一些有效的网络安全防护思路。

1)基于主动防御的边界安全控制:这是以内网应用系统保护为核心的,在各层的网络边缘建立多级的安全边界,从而实施进行安全访问的控制,防止恶意的攻击和访问。

2)基于攻击检测的综合联动控制:所有的安全威胁都体现为攻击者的一些恶意网络行为,通过安全设备与网络设备的联动进行有效控制,从而防止攻击的发生。

3)基于源头控制的统一接入管理:绝大多数的攻击都是通过终端的恶意用户发起,通过对介入用户的有效认证和终端检查,可以降低网络信息所面临的安全威胁。

4)基于安全融合的综合威胁管理:未来的大多数攻击将是混合型的攻击,功能单一的安全设备无法有效地防御这种攻击。因而综合性安全网关迅猛地发展起来。

5)基于资产保护的闭环策略管理:信息安全的目标就是保护资产,实现信息安全重在管理。在资产保护中,信息安全管理是重点,安全策略加实施安全管理并辅以安全技术相配合,形成对资产的闭环保护。

5 结束语

当前,网络攻击手段正在不断复杂化、多样化,随之产生的信息安全技术和解决方案也在不断发展变化,同时,安全产品和解决方案也更趋于合理化、多样化和适用化。因此,对网络信息安全威胁和安全技术发展趋势的现状分析,并综合各种安全防护思路的优点,网络信息的安全防护应该逐步构建成可防、可控、可信的信息网络构架。

摘要：网络信息的安全关系到国家安全经济发展和文化建设等多个领域。伴随着计算机技术、网络技术和信息化的发展,基于网络的安全问题也日益突出。无论外部网还是内部网都会受到安全问题的困扰,对此,应采取积极对策,以保障网络信息的安全。

关键词：网络信息,网络安全,安全策略,数据加密,网络攻击

参考文献

[1]张国祥.基于Apache的Web安全技术的应用研究[J].武汉理工大学学报,2004(3).

谈计算机网络安全的防御技术 篇4

一、反攻击技术的核心问题

反攻击技术的核心问题是如何截获所有的网络信息。目前主要是通过两种途径来获取信息，一种是通过网络侦听的途径来获取所有的网络信息(数据包信息，网络流量信息、网络状态信息、网络管理信息等)，这既是进行攻击的必然途径，也是进行反攻击的必要途径；另一种是通过对操作系统和应用程序的系统日志进行分析，来发现入侵行为和系统潜在的安全漏洞。

二、攻击的主要方式

对网络的攻击方式是多种多样的，一般来讲，攻击总是利用“系统配置的缺陷”“操作系统的安全漏洞”或“通信协议的安全漏洞”来进行的。到目前为止，已经发现的攻击方式超过2000种，其中对绝大部分攻击手段已经有相应的解决方法，这些攻击大概可以划分以下几类：

1.拒绝服务攻击

一般情况下，拒绝服务攻击是通过使被攻击对象（通常是工作站或重要服务器）的系统关键资源过载，从而使被攻击对象停止部分或全部服务。目前已知的拒绝服务攻击就有几百种，它是最基本的入侵攻击手段，也是最难对付的入侵攻击之一，典型示例有SYN Flood攻击、Ping Flood攻击、Land攻击、Win Nuke攻击等。

2.非授权访问尝试

是攻击者对被保护文件进行读、写或执行的尝试，也包括为获得被保护访问权限所做的尝试。

3.预探测攻击

在连续的非授权访问尝试过程中，攻击者为了获得网络内部的信息及网络周围的信息，通常使用这种攻击尝试，典型示例包括SATAN扫描、端口扫描和IP半途扫描等。

4.可疑活动

是通常定义的“标准”网络通信范畴之外的活动，也可以指网络上不希望有的活动，如IP Unknown Protocol和Duplicate IP AddressFTU User事件等。

5.协议解码

协议解码可用于以上任何一种非期望的方法中，网络或安全管理员需要进行解码工作，并获得相应的结果，解码后的协议信息可能表明期望的活动，如FTU User和Portmapper Proxy等解码方式。

三、攻击行为的特征分析与反攻击技术

入侵检测的最基本手段是采用模式匹配的方法来发现入侵攻击行为，要有效的进反攻击首先必须了解入侵的原理和工作机理，只有这样才能做到知己知彼，从而有效的防止入侵攻击行为的发生。下面我们针对几种典型的入侵攻击进行分析，并提出相应的对策。

1.Land攻击

攻击类型：Land攻击是一种拒绝服务攻击。

攻击特征：用于Land攻击的数据包中的源地址和目标地址是相同的，因为当操作系统接收到这类数据包时，不知道该如何处理堆栈中通信源地址和目的地址相同的这种情况，或者循环发送和接收该数据包，消耗大量的系统资源，从而有可能造成系统崩溃或死机等现象。

检测方法：判断网络数据包的源地址和目标地址是否相同。

反攻击方法：适当配置防火墙设备或过滤路由器的过滤规则就可以防止这种攻击行为(一般是丢弃该数据包)，并对这种攻击进行审计(记录事件发生的时间，源主机和目标主机的MAC地址和IP地址)。

2.TCP SYN攻击

攻击类型：TCP SYN攻击是一种拒绝服务攻击。

攻击特征：它是利用TCP客户机与服务器之间三次握手过程的缺陷来进行的。攻击者通过伪造源IP地址向被攻击者发送大量的SYN数据包，当被攻击主机接收到大量的SYN数据包时，需要使用大量的缓存来处理这些连接，并将SYN ACK数据包发送回错误的1P地址，并一直等待ACK数据包的回应，最终导致缓存用完，不能再处理其他合法的SYN连接，即不能对外提供正常服务。

检测方法：检查单位时间内收到的SYN连接否收超过系统设定的值。

反攻击方法：当接收到大量的SYN数据包时，通知防火墙阻断连接请求或丢弃这些数据包，并进行系统审计。

3.Ping Of Death攻击

攻击类型：Ping Of Death攻击是一种拒绝服务攻击。

攻击特征：该攻击数据包大于65535个字节。由于部分操作系统接收到长度大于65535字节的数据包时，就会造成内存溢出、系统崩溃、重启、内核失败等后果，从而达到攻击的目的。

检测方法：判断数据包的大小是否大于65535个字节。

反攻击方法：使用新的补丁程序，当收到大于WinNuk个字节的数据包时，丢弃该数据包，并进行系统审计。

4.WinNuke攻击

攻击类型：WinNuk攻击是一种拒绝服务攻击。

攻击特征：WinNuk攻击又称带外传输攻击，它的特征是攻击目标端口，被攻击的目标端口通常是139、138、137、113、53，而且URG位设为“1”，即紧急模式。

检测方法：判断数据包目标端口是否为139、138、137等，并判断URG位是否为“1”。

反攻击方法：适当配置防火墙设备或过滤路由器就可以防止这种攻击手段(丢弃该数据包)，并对这种攻击进行审计(记录事件发生的时间，源主机和目标主机的ardropC地址和IP地址C)。

5.Teardrop攻击

攻击类型：Teardrop攻击是一种拒绝服务攻击。

攻击特征：Teardrop是基于UDP的病态分片数据包的攻击方法，其工作原理是向被攻击者发送多个分片的IP包(IP分片数据包中包括该分片数据包属于哪个数据包以及在数据包中的位置等信息)，某些操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象。

检测方法：对接收到的分片数据包进行分析，计算数据包的片偏移量(Offset)是否有误。

反攻击方法：添加系统补丁程序，丢弃收到的病态分片数据包并对这种攻击进行审计。

6.TCP / UDP端口扫描

攻击类型：TCP/UDP端口扫描是一种预探测攻击。

攻击特征：对被攻击主机的不同端口发送TCP或UDP连接请求，探测被攻击对象运行的服务类型。

检测方法：统计外界对系统端口的连接请求，特别是对21、23、 25、 53、80、8000、 8080等以外的非常用端口的连接请求。

反攻击方法：当收到多个TCP/UDP数据包对异常端口的连接请求时，通知防火墙阻断连接请求，并对攻击者的IP地址和MAC地址进行审计。

对于某些较复杂的入侵攻击行为(如分布式攻击、组合攻击)不但需要采用模式匹配的方法，还需要利用状态转移、网络拓扑结构等方法来进行入侵检测。

四、入侵检测系统的几点思考

从性能上讲，入侵检测系统面临的一个矛盾就是系统性能与功能的折衷，即对数据进行全面复杂的检验构成了对系统实时性要求很大的挑战。

从技术上讲，入侵检测系统存在一些亟待解决的问题，主要表现在以下几个方面：

一是如何识别“大规模的组合式、分布式的入侵攻击”目前还没有较好的方法和成熟的解决方案。从Yahoo等著名ICP的攻击事件中，我们了解到安全问题日渐突出，攻击者的水平在不断地提高，加上日趋成熟多样的攻击工具，以及越来越复杂的攻击手法，使入侵检测系统必须不断跟踪最新的安全技术。

二是网络入侵检测系统通过匹配网络数据包发现攻击行为，入侵检测系统往往假设攻击信息是明文传输的，因此对信息的改变或重新编码就可能骗过入侵检测系统的检测，因此字符串匹配的方法对于加密过的数据包就显得无能为力。

三是网络设备越来越复杂、越来越多样化就要求入侵检测系统能有所定制，以适应更多的环境的要求。

四是对入侵检测系统的评价还没有客观的标准，标准的不统一使得入侵检测系统之间不易互联。入侵检测系统是一项新兴技术，随着技术的发展和对新攻击识别的增加，入侵检测系统需要不断的升级才能保证网络的安全性。

五是采用不恰当的自动反应同样会给入侵检测系统造成风险。入侵检测系统通常可以与防火墙结合在一起工作，当入侵检测系统发现攻击行为时，过滤掉所有来自攻击者的IP数据包，当一个攻击者假冒大量不同的IP进行模拟攻击时，入侵检测系统自动配置防火墙将这些实际上并没有进行任何攻击的地址都过滤掉，于是造成新的拒绝服务访问。

六是对IDS自身的攻击。与其他系统一样，IDS本身也存在安全漏洞，若对IDS攻击成功，则导致报警失灵，入侵者在其后的行为将无法被记录，因此要求系统应该采取多种安全防护手段。

构建网络信息的安全防御体系 篇5

随着信息化时代的到来以及计算机网络的广泛运用,我国在政治、军事、金融、教育和科研等许多重要领域的安全保障越来越依赖于计算机网络和信息的安全运行。根据CNNIC(中国互联网络中心)调查数据显示,截止2007年6月30日,我国大陆地区上网用户总数达到1.62亿户,上网计算机总数达到5 940万台,网络国际出口带宽总容量达到256 696MB,网站数达到84.3万个。与此同时,电子政务、电子商务、网络游戏、网络博客等互联网正在快速发展,新的操作系统、新的应用软件不断投入使用,这些都导致人为疏忽和网络系统漏洞大量产生。我们一方面面临着黑客入侵、病毒袭击、垃圾邮件、流氓软件等各种计算机网络不安全因素的严重威胁,另一方面越来越多的信息资源又必须通过计算机网络进行存储、处理和传输,再加上众多计算机网络的使用者缺乏最基本的网络安全意识和防护技能,使网络泄密和窃密的问题日趋严重。网络信息安全已成为亟待解决、影响国家大局和长远利益的重大关键问题。

本文首先阐述我国当前网络信息安全面临严峻的威胁;接着进一步分析危及网络信息安全的主要因素;最后提出构筑网络信息安全防线的具体措施。

网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科,其本质就是网络上的信息安全。ISO(国际标准化组织)的定义为:“为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。”

1 网络信息面临的威胁

1.1 涉密信息系统建设、维护和开通存在不规范行为

在网络建设中,普遍存在着急功近利的思想,对网络基础设备投入得多,而对安全保密方面投入得少;对网络应用产品研究投人得多,对网络安全的基础研究投入得少。这就使得信息安全技术的发展滞后。《涉及国家秘密的计算机信息系统集成资质管理办法》已于2005年7月10日正式施行。党政机关及军工科研院所涉密信息系统的规划、设计、施工以及服务、咨询工作应当由经保密工作部门依法审查、批准,具有相应涉密集成资质的单位承担建设,而且资质项目的内容和地域不同,准许承担的建设项目也会有所区别。因此,一些单位选择不具备相应资质单位承担涉密计算机网络的建设任务,导致涉密网络建设达不到国家规定的安全和保密标准,其信息安全就很难得到保证,甚至会从根子上留下泄密的硬伤和窃密的隐患。另外,在维护涉密网络的过程中,由于缺乏有效的监管措施,涉密数据被外人无意下载、恶意拷贝的情况都有发生。境外情报机关甚至有针对性地策反涉密网络的维修人员,伺机窃取计算机网络内的涉密数据。

1.2 信息产业的核心技术被少数国家垄断和封锁

我国信息技术起步较晚,信息系统安全基础薄弱,核心技术受制于人。我国使用的计算机CPU芯片、操作系统主要是国外生产的,网络高端设备几乎全是国外产品,网络技术通用标准性和网络安全协议也是国外制定的,我们并没有掌握信息安全的主动权。一些西方国家为了达到信息制控目的,利用技术优势,在对外出口的信息技术关键产品中设置“后门”集成窃密程序等方法,制造安全隐患,一旦出现异常情况,在国与国之间的信息对抗中,我们必将受制于人。

造成网络安全威胁的原因可能是多方面的,有来自外部,也有可能来自企业网络内部。目前这些攻击越来越普遍,手段也更大胆、更精巧。网络的信息安全已成为现代社会的热门话题。

2 危及网络信息安全的主要因素

2.1 网络和系统特性的缺陷

研究表明,从网络协议到操作系统,从服务器的安全机制到应用平台的各种应用事务,都存在着许多设计缺陷。任何一个操作系统,任何一个应用程序不可能一次就做到完美无缺。像WindowsNT这样的大型网络操作系统,新版本刚推出不久就相继发布一系列修订系统缺陷的补丁程序。因此,操作系统的任何一个缺陷都可能是网络信息安全的隐患。

2.2 网络黑客的恶意攻击

黑客攻击的目的通常有两个:一是获取信息和网络的系统资源;二是干扰和破坏网络系统。黑客攻击的方式虽然千变万化,但概括起来,其最常用的主要手段有两种:窃取合法账号和特洛伊木马术。

a)窃取合法账号:账号是合法用户进行网络登录的钥匙,黑客获取了账号就拥有了合法用户的一切权限。尤其是窃取了网络管理员的账号,对系统操作、控制的权限就更大,这是对网络系统安全的最大威胁。网络黑客通常利用网络传输协议的一些漏洞,进行IP地址的欺骗,获取系统文件破解其保密字。例如,FTP协议可能存在的安全漏洞有:通过匿名用户登录执行系统命令,下载超级用户系统文件,从而窃取超级用户权限。

b)特洛伊木马术:特洛伊木马和病毒、蠕虫之类的恶意程序一样,会删除或修改用户计算机存储的文件、格式化用户的计算机硬盘、上传和下载计算机存储的文件、骚扰用户操作自己的计算机等。特洛伊木马最具特色的性能就是实施远程窃密和远程控制。它们一旦潜入受害的计算机系统,就可以获得对受害计算机系统的控制权,从而随心所欲地对被攻击系统的文件系统、进程控制乃至系统注册表等系统资源进行操作。

2.3 人为因素造成的网络安全隐患

在构建网络安全体系时,人为因素对网络安全的影响非常重要。即使是网络管理员已经制定了相应完善的安全制度,如果操作员不认真履行规范性操作规程或违法执行某些越权的行为,都将对系统安全造成威胁。

人为因素造成的网络安全隐患主要表现在以下几个方面:

a)网络操作人员缺乏信息安全常识。不设防地将网络信息资源共享,轻而易举地将信息泄露出去;网络线路和闲置接口没有采取保护措施,使得不法分子通过便携机就可以很方便地接人到网络系统中,从而进行非法操作。

b)用户为了操作方便,追求简单,往往将保密字设置得过于简单,极易被黑客破解;一个口令长期使用、很少变更,这些都可能给不法分子有可乘之机。

c)安全制度不落实。即使制定了完善的网络管理制度,如果操作人员不能够认真履行,不能按照操作规程去做,甚至执行一些超越权限和明文禁止的操作,从而留下安全隐患。

d)电磁泄漏。重要涉密单位通常上级配发有干扰设备,如果操作人员思想上不重视或忘记了使用干扰器,就有可能造成电磁泄漏现象。这也是造成网络安全隐患的一个因素。

3 构筑网络信息的安全防线

构筑网络信息的安全防线主要指通过操作系统安全使用和部署安全防护软件等,实现信息化网络安全和信息安全。

3.1 完善网络信息安全系统

3.1.1 防病毒系统

常见的计算机病毒主要是针对微软的操作系统,如果使用其他操作系统如UNIX或Linux,基本可以不用担心受感染,但是仍可能成为病毒传播源和感染对象。对企业而言,对付病毒的重要手段是部署网络防病毒系统。网络防病毒系统由防病毒主程序和客户端以及其他辅助应用组成,它可以通过管理平台监测、分发部署防病毒客户端,这种功能意味着可以统一并实施全企业内的反病毒策略,并封锁整个系统内病毒的所有入口点。因为计算机病毒是动态发展的,到目前为止尚未发现“万能”防病毒系统,所以只能及时更新病毒库。目前,国内和国外的防病毒厂商都有能力提供企业级防病毒系统。要有效地对付计算机病毒,除了部署防病毒系统外,还要配合其他手段维护系统安全,做好数据备份是关键,并且要及时升级杀毒软件的病毒库,还要做好灾难恢复。

3.1.2 防火墙

防火墙是目前最重要的信息安全产品,它可以提供实质上的网络安全,承担着对外防御来自互联网的各种攻击,对内辅助企业安全策略实施的重任,是企业保护信息安全的第一道屏障,在信息化安全中应给予高度重视。防火墙从结构上分为软件防火墙和硬件防火墙。硬件防火墙基于专门设计的硬件和系统,自身安全有保证、效率高、稳定性好,但是功能单一,升级困难;软件防火墙基于现有的操作系统如Windows,功能强大,但是自身安全性受限于操作系统。大部分软件防火墙基于Windows平台,也部分基于Linux平台,基于Linux平台的防火墙成本低,但是维护使用要相对困难一些。通过配置安全策略,防火墙主要承担以下作用:禁止外部网络对企业内部网络的访问,保护企业网络安全;满足内部员工访问互联网的需求;对员工访问互联网进行审计和限制。现在的防火墙在功能上不断加强,可以实现流量控制、病毒检测、VPN(虚拟专用网)功能等,但是防火墙的主要功能仍然是通过包过滤来实现访问控制。防火墙的使用通常并不能避免来自内部的攻击,而且由于数据包都要通过防火墙的过滤,增加了网延迟,降低了网络性能,要想充分发挥防火墙的作用,还要与其他安全产品配合使用。

3.1.3 入侵检测

如果对系统的安全性要求较高,如为了保护电子商务网站和企业互联网接口等,有必要采用入侵检测产品,对重点主机或设备加强安全防护。大部分入侵检测系统主要采用基于包特征的检测技术来实现,它们的基本原理是:对网络上的数据包进行复制,与内部的攻击特征数据库进行匹配比较,如果相符即产生报警或响应。检测到入侵事件后,产生报警,并把报警事件计入日志,日后可以通过日志分析确定网络的安全状态,发现系统漏洞等。如果它与防火墙等其他安全产品配合使用,可以在入侵发生时,使防火墙联动,暂时阻断非法连接,保护网络不受侵害。在部署此类产品时要注意进行性能优化,尽量避免屏蔽没有价值的检测规则。

3.1.4 认证加密

应用系统的安全也是不可缺少的。企业内部可通过部署认证加密系统保障办公自动化流程、控制敏感信息的访问,特别是对电子商务,如何确认交易各方的身份,确保交易信息的保密性、完整性和不可否认性是交易正常进行的基本保证。认证加密是保证应用安全的有效手段,它主要通过数字证书来实现。数字证书是一个经证书授权中心数字签名并包含客户的公钥等与客户身份相关的信息数字证书,是网络通信中标志通信各方身份信息的数据,它提供了一种公开承认的在互联网上验证身份的方式,一般由权威机构———CA(认证中心)发行。数字证书可存储在IC卡、硬盘或磁盘等介质中,在基于数字证书的通过过程中,数字证书是合法身份的凭证,是建立保密通信的基础。

3.1.5 操作系统安全使用

在信息化网络中,操作系统的安全使用是保证网络安全的重要环节。操作系统安全使用主要包括以下几方面内容:用户密码管理、系统漏洞检测、信息加密等。用户密码管理无论是对个人还是企业都是很重要的。用户密码管理有许多原则要遵守,最重要的就是不要使用空密码,如当你使用WindowsNT/2000时,如果不幸你使用空密码,局域网中的任何人都可以随意访问你的计算机资源。如果你是系统管理员,制定严谨的用户密码策略是首要任务之一。漏洞检测对关键服务器的操作系统是极为重要的,特别是对电子商务网站。任何操作系统都不可避免地存在安全漏洞,操作系统的漏洞总是不断地被发现并公布在互联网上,争取在黑客没有攻击你的主机之前及时发现并修补漏洞是极为关键的。另外一类漏洞并不是系统固有的,而是由于系统安装配置缺陷造成的,同样应引起足够重视。对服务器而言,关闭不需要的服务或端口也是必要的。即使网络很安全,需要保密的信息在存储介质上的加密仍然是必要的,因为任何网络不能保证百分之百安全。使用WindowsNT/2000等操作系统时,尽量使用NTFS分区,对重要信息启用加密保护功能,这样即使信息意外泄露,也无法破解。操作系统的易用性和安全总是难以兼得,安装操作系统时尽量不要使用默认值,在微软尚未做出策略性调整之前,根据微软现在的理念,系统的易用性仍然是首先考虑的,所以默认安装会自动安装一些你并不熟悉且根本无用的服务和应用,并打开了许多特殊端口,这些服务、应用和端口很可能成为别人入侵的跳板。

3.2 开发和使用自主产品

目前,我国网络信息系统的主要设备(服务器和路由器等)和核心软件(操作系统、数据库管理系统甚至网络管理软件)广泛采用国外的商用产品,这给我国计算机网络安全带来极大隐患。商用产品因带有黑箱操作而不可控,使用者无法了解细节,对于可能带有的“后门”甚至逻辑炸弹和“间谍”束手无策。商用产品的安全性没有保证,必须发展自主的信息产业,采用自己的安全产品,这是网络安全建设的根本性问题。自主产品可以最大限度地控制不安全因素。首先,自主产品可以信赖。因为开发者可信赖和控制,就能排除有意设置恶意逻辑炸弹、“间谍”和后门的可能性,使自主产品的可信赖程度和可控制程度远远高于国外的商用产品。其次,自主产品可以自主更新。既然我们无法设计和实现一个绝对没有漏洞的系统,那么,发现漏洞和堵塞漏洞将是个长期的过程,没有自主的产品,就无法自主地实施堵塞漏洞的工作。第三,随着安全技术的发展,自主产品可以及时丰富安全功能。网络安全体系是一个不断进化、不断完善的体系,利用自主研制的构件来控制安全关键点,就可以达到在攻防技术的消涨平衡中动态地维持系统处在一个相对安全的水平上。因此,要摆脱受制于人的状况,必须加快自主操作系统、路由器和网络计算机平台的开发,并将其尽快部署在我国网络信息应用系统的关键环节上,以把握住网络信息系统安全的控制权。利用国外的高技术产品必须消除技术隐患,如对某些处理器,可以关闭其序列号功能,或禁止联接Internet。引进的设备和产品不经过安全处理而直接使用,无异于把钥匙交给窃贼。

3.3 培养能够胜任网络防御战的人才群体

网络管理人员负责提出随时出现的计算机和网络安全的新问题及解决方案。并制定出内部安全策略和有关安全制度,包括密钥的管理及对用户账号和口令的管理,定期对网络安全做出评估,提出系统安全报告和紧急情况应对方案。网络安全是一项专业性强、知识面广、实现难度大的综合性工作,没有一定的网络安全人才,就谈不上网络安全。因此,必须抓好网络安全人才培养。

3.4 理顺网络安全管理机制

应健全网络安全管理机构。网络安全保密管理工作的领导机构由主管保密的领导和相关业务部门人员组成,负责领导网络安全管理工作。网络安全技术保障组织由计算机网络专业人员组成,负责软硬件安装、维护、操作、用户授权、审计跟踪、应急恢复等网络日常管理事务。选调网络系统安全管理维护人员要严格审查,把好选拔关。

应落实网络安全管理法规。尽快完善和细化计算机网络规划建设、管理使用等安全保密标准和措施,严格安全检查、信息入网审批等规章制度,明确各级主管和监督部门的职责,为网络安全管理提供依据。加大网络安全检查监管力度,不断加强和改进网络安全管理措施。

4 结束语

构建完整的安全防护体系的目的是把企业的网络风险降低到可以接受的程度。这是一项综合的工程,不能简单地依赖一个产品,需要进行整体规划。在企业中,网络信息安全是一个动态的概念,而且没有绝对的安全。为了提高企业的网络信息安全,除采用可适应的、高可靠的安全措施和安全产品外,管理是极其重要的。网络信息安全是“三分技术,七分管理”。正确制定适应本企业的网络信息安全需求和安全策略,便能有效地实现和提高自己企业的网络信息安全。

参考文献

[1]谢希仁.计算机网络[M].大连:大连理工大学出版社,1996.

[2]蔡立军.计算机网络安全技术[M].北京:中国水利水电出版社,2002.

[3]肖军模,刘军,周海刚.网络信息安全[M].北京:机械工业出版社,2003.

[4]唐正军.网络入侵检测系统的设计与实现[M].北京:电子工业出版社,2002.

网络陷阱技术:主动防御的基石 篇6

随着网络攻击技术的发展,特别是分布式拒绝服务攻击、跳板攻击、僵死网络、互联网蠕虫等的盛行,互联网上的每一台主机都已经成为攻击的目标,黑客社团攻击目的更多的出于国家利益、商业利益及黑暗心理等因素。攻击者不再需要很多的专业技术和技巧,他们可以很方便地从互联网上找到所需的最新攻击脚本和工具。而这些由高级黑客们开发的攻击脚本和工具越来越容易使用,功能也越来越强,能够造成的破坏也越来越大。

面对如此严重的安全威胁,而我们却仍然对黑客社团所知甚少。当网络被攻陷破坏后,我们甚至还不知道对手是谁,对他们使用了哪些工具、以何种方式达成攻击目标,以及为什么进行攻击更是缺乏了解。“知己知彼,百战不殆”,安全防护工作者,需要对黑客社团有深入的了解,包括他们所掌握的攻击技术、技巧和战术、甚至心理和习惯等。

在历次战争中,为了获取胜利,都曾欺骗过对手。如:因为西台人诱骗古埃及法老拉美西斯二世进入埋伏之地,而使他输掉了Kadesh之战。二战期间,盟军诱使德国人相信,真正的攻击会发生在加来,而不是诺曼底。在沙漠风暴军事行动中,美国使用假士兵、军营甚至战车,来分散伊拉克军队的注意力[1]。

在传统战争中运用的诱骗技巧,同样也可用于网络防御系统中。一个成功的防御系统,应该既可以拖延攻击者,又能为防御者提供足够的信息来了解敌人,还可以尽量避免攻击造成的损失。也只有在充分了解对手的前提下,我们才能更有效地维护网络安全。

网络陷阱技术为捕获黑客的攻击行为,并进行深入分析提供了基础。灵活地使用网络陷阱技术,可增加攻击代价、减少对实际系统的安全威胁,可了解攻击者所使用的攻击工具和攻击方法,并可追踪攻击源、实现攻击行为审计取证。

2. 网络陷阱相关研究情况

在Cliff Stoll撰写的书“Cuckoo’s Egg”[2]和Bill Cheswick的文章“An Evening with Berferd”[3]中,首次提出了网络陷阱与诱骗的概念。在美国专门有一个研究honeynet的组织[4],称为“蜜网项目组”(The Honeynet Project)。该组织致力于了解黑客团体使用的工具、策略和动机以及共享他们所掌握的知识。其创始人Lance Spitzner给出了对网络陷阱的定义:“网络陷阱是一种安全资源,其价值在于被扫描、攻击和攻陷”[5]。

这个定义表明网络陷阱一般是不真正提供服务的系统,因此所有流入/流出网络陷阱的网络流量都可能预示了扫描、攻击和攻陷。而网络陷阱的核心价值就在于对这些攻击活动进行监视、检测和分析。

从1998年开始,网络陷阱技术开始吸引了一些安全研究人员的注意,并开发出一些专门用于欺骗黑客的开源工具,如Ferd Chone所开发的DTK[6]、Niels Provos开发的Honeyd[7]等,同时也出现了像KFSensor、Specter等一些商业网络陷阱产品。这一阶段的蜜罐可以称为是虚拟网络陷阱,即开发的这些网络陷阱工具能够模拟成虚拟的操作系统和网络服务,并对黑客的攻击行为做出回应,从而欺骗黑客。虚拟网络陷阱工具的出现,也使得部署网络陷阱也变得比较方便。

但是,由于虚拟网络陷阱工具存在着交互程度低,较容易被黑客识别等问题,从2000年之后,安全研究人员更倾向于使用真实的主机、操作系统和应用程序搭建网络陷阱。但与之前不同的是,融入了更强大的数据捕获、数据分析和数据控制的工具,并且将蜜罐纳入到一个完整的网络陷阱体系中,使得研究人员能够更方便地追踪侵入到网络陷阱中的黑客,并对他们的攻击行为进行分析。

中国科学院高能物理研究所、上海交大、北京大学等多家国内研究机构也在研究网络陷阱相关技术,并取得了相关成果。中科院高能所的“网络陷阱系统”能与网络中现有的安全设备联动,实现网络攻击的主动引入,可引诱黑客攻击行为到一个可控的范围,消耗其资源,记录下他的所有动作,研究其行为,了解其使用的攻击方法和技术,并提醒他的下一个攻击目标,以便及时做出防范,从而保护真正的服务器的安全,提高网络的安全防护性能。

3. 网络陷阱系统的总体结构及关键技术

3.1 网络陷阱系统总体结构

网络陷阱系统以主机的操作系统为底层系统,建立多个模拟操作系统环境,这个操作系统环境与主机操作系统之间被隔离。网络陷阱系统的总体结构如图1所示,它主要由陷阱环境、系统隔离层、主机操作系统及数据处理三个部分组成。陷阱环境是与主机操作系统相互隔离的虚拟操作系统环境,这个虚拟主机环境是受限的,并且受到记录和监控。系统隔离层主要是将陷阱环境与真实的主机操作系统隔离开来,以保护真实的主机操作系统的安全,同时限制网络陷阱对外的访问行为,以降低陷阱对外部的安全威胁。主机操作系统是网络陷阱真正的宿主机,是真实的操作系统,其上运行着对网络陷阱行为进行数据分析处理的程序代码。

3.2 网络陷阱系统关键技术

网络陷阱系统在实现上的关键技术包括用于虚拟陷阱环境的陷阱构造技术、用于系统隔离的信息控制技术、用于数据处理的陷阱数据捕获技术和数据分析技术。

3.2.1 陷阱构造技术

构造网络陷阱系统的基本原理是:用主机操作系统上的程序代码模拟操作系统的TCP/IP堆栈并创建在网络上虚拟的主机,监听网络发送给它的所有数据包,并通过特征码匹配来设置相应操作系统返回的数据包。陷阱构造程序通过建造一些表面看上去易受攻击的系统,但实际上却不能访问有用数据、管理或控制其他计算机,实现陷阱系统的伪装,使得陷阱系统在网络上存在并且看起来很容易受到攻击,实际上根本没有任何合法用户或通信,这样能够让一个被诱骗的入侵者暴露无遗,而且易于进行监视。

这种用于构造网络陷阱的伪装技术主要包括操作系统伪装、漏洞伪装、数据和文件的伪装、应用程序运行和服务的伪装、目录系统伪装和信息伪装等。

3.2.2 信息控制技术

信息控制代表了一种规则,是对行为的牵制政策,从而能确定信息包发送到什么地方。同黑客打交道时总会有危险存在,所以,要尽量保证一旦蜜罐被攻陷,黑客不会利用蜜罐攻击任何非蜜网的系统。但其中的难点是如何在控制住数据流的同时又不引起黑客的怀疑。一旦系统被攻陷,黑客一般都要下载一些toolkit、建立IRC连接或发送E-mail。如果黑客不能向外发起连接,他们对系统就会产生怀疑。所以,允许黑客向外连接的活动越多,能学到更多的东西,但同时风险也会更大。

网络陷阱系统的信息控制技术在实现上是通过建立Wrapper程序来实现的,这个Wrapper程序可定义什么类型的系统行为允许访问内核,什么样的调用被重新定向,并返回所定义的信息。这样做的目的是建立一个陷阱环境,在这个环境中,一个入侵者可以进行一定的系统活动,但是,即使他获得了root身份,他的行为也是受到限制的,不会对主机系统产生破坏,从而保护主机系统的安全。

3.2.3 数据捕获技术

陷阱数据捕获技术是指获取黑客的所有活动产生的数据信息,网络陷阱系统正是通过分析这些数据来学习、了解攻击者使用的工具、攻击策略和黑客组织的动机等。数据捕获的难点是如何获取尽可能多的数据而又不会让黑客发觉他的所有行为都被记录了。另外,捕获到的数据也不能存放在陷阱系统中,本地存储信息很可能被黑客发现,且存储的数据有可能丢失或被破坏。实现这些要求的关键是分层捕获数据,而且不能只靠一层来获取信息,应从多个方面来收集信息。

网络陷阱中需要捕获的数据包括:网络行为数据(如网络会话数据、入侵检测报警、操作系统信息等)、系统行为数据(如进程、文件、命令、键击记录等)、原始的网络交互数据的网络原始数据包等。

3.2.4 数据分析技术

网络陷阱中的数据分析是网络陷阱系统应用的重要部分,它自动分析所捕获的陷阱数据,实时监控陷阱环境中的所有系统活动(如telnet等),显示发生在陷阱环境中的系统活动,并根据配置的规则产生报警,发送响应控制信号等;同时,自动记录陷阱中的入侵行为,并进行取证分析,提取入侵特征,报告陷阱中的行为趋势。

网络陷阱的数据分析内容主要包括:基于IDS的攻击行为发现、异常攻击行为发现与预警、异常攻击行为特征提取、僵尸网络的发现与跟踪、攻击行为的可视化、攻击行为的关联分析等。

技术实现的具体方法包括:

1)统计学分析法,这种方法虽然看起来相当简单,但却能够精确地判断出短时期内对网络陷阱可能发生的攻击情况;

2)回归滑动平均模型法,是对第一种方法的一个有益补充,如它可以揭示出在有人违反snort的rpc规则后,大概多长时间系统遭攻陷,明确两者间的关联。

4. 网络陷阱系统的应用

4.1 网络陷阱系统的作用

网络陷阱的作用主要体现在四个方面。

1)防范黑客的攻击,保护关键服务器:网络陷阱将黑客对网络服务器的攻击转移到陷阱系统,从而保护关键服务器的正常运行。

2)了解黑客攻击的技术和方法:只有对黑客攻击技术、方法有深入的了解,才能对症下药,有效防范来自网络内部和外部的攻击。网络陷阱可将入侵行为转移到陷阱系统,既保证网络的正常服务,又能够监控、分析入侵行为。

3)发现系统的弱点和漏洞:由于软件设计的疏漏、系统配置错误及一些用户安全意识的不足,很难完全避免系统出现弱点和漏洞。只要能够及时发现问题,就能够在网络受到攻击前排除隐患。

4)收集黑客攻击的证据,进而为有效地打击计算机犯罪提供技术支撑。

4.2 网络陷阱系统在入侵转移防护方面的应用

将网络陷阱系统应用于入侵转移是通过网络陷阱系统与防火墙、入侵检查系统进行联动配合来实现的,如图2所示。防火墙记录了所有从陷阱系统发起的和进入陷阱系统的数据,IDS捕获和记录网络中的每个数据包和它的有效载荷,以及陷阱系统自身日志。这些记录是被用来分析黑客的行为。

防火墙起动态分流作用,将可疑的连接转到陷阱区中。若IDS系统或真实服务系统中发现可疑的连接,它们就将攻击信息反馈给防火墙,防火墙将之后的数据流分流到相应的陷阱系统中,攻击行为将得到继续并得到监控。

入侵转移相对于直接切断入侵行为的优点表现在:

1)消耗攻击者的时间;

2)有诱捕系统的存在,可降低真实系统受到随机攻击或刺探的可能性;

3)网络陷阱不会有任何误报,任何同网络陷阱系统的通讯都是可疑的,因为这个系统除了侦测攻击之外并没有任何其他的用途;

4)通过分析攻击者采取的行动,可发现和分析新的弱点和漏洞。

4.3 网络陷阱系统在其它方面的应用

网络陷阱系统还可以应用在以下方面:

1)网络追踪:通过网络陷阱的协议伪装,可以将进出网络陷阱的网络数据打上特殊的标记,从而实现网络追踪的目的,为网络追踪提供新的技术手段;

2)僵尸网络的发现与跟踪:通过对大量部署的网络陷阱系统的僵尸分析,可发现和跟踪僵尸网络;

3)恶意网址收集:通过对大量部署的网络陷阱系统的恶意网址分析,可以发现大量的恶意网址,从而为Web防火墙、恶意代码过滤系统、上网行为管理系统等提供恶意网址库;

4)攻击行为特征收集:通过对大量部署的网络陷阱系统的攻击行为分析和攻击特征提取,可以发现并提取新的攻击特征,甚至直接与IDS、UTM等系统联动,实现攻击特征的自动更新。

5. 结束语

网络陷阱系统作为一种有效的主动防御型网络安全工具,可以和现有的防火墙、入侵检测系统等传统防护工具产生互动,互为补充,弥补原有网络安全防御系统的不足,提高网络安全性能,实现网络安全性能的最大化。

网络陷阱系统可以将黑客的入侵行为引入一个可以控制的范围,消耗其资源,了解其使用的方法和技术,追踪其来源,记录其犯罪证据,具有广阔的市场和应用推广前景。但安装和运行一个网络陷阱系统却需要关注危险的避免、密切的监督和管理,以及集中时间的分析等问题,以使其发挥应有的作用。

参考文献

[1]Dunningan,James F.and Albert A.Nofi,Victory and Deceit:Dirty Tricks at War New York,NY:William Morrow&Co.,1995.

[2]“The Cuckoo’s Egg”by Clifford Stoll Mass Market Publishing ISBN:0-671-72688-91995.

[3]“An Evening With Berferd”.http://www.all.net/books/berferd/berferd.html.

[4]The Honeynet Project.http://project.honeynet.org.

[5]Lanece Spitzner.Honeypots-Definitions and Value of Honeypots.http://www.tracking-hackers.com/papers/honeypots.html.

[6]The Deception Toolkit.http://all.net/dtk/index.html.

网络的防御初步论文 篇7

通过对2亿5千万个地址进行分析以查找僵尸网络, 以及自带的450万个恶意软件签名和30万个受感染站点信息, Check Point ThreatCloud可以将安全威胁升级包直接发送给客户的网关, 从而强化了反僵尸网络软件刀片和防病毒软件刀片的性能, 使其能够对僵尸网络和APTs (高级持续性威胁) 等高级威胁及其他形式的复杂恶意软件主动抗击。

网络犯罪分子通常利用恶意软件、僵尸病毒及其它形式的复杂威胁同时攻击多个站点和机构, 以增加攻击的成功率。由于很多企业是在孤立地防御这些威胁, 彼此之间缺乏共享威胁信息的有效渠道, 因此半数以上的安全威胁都难以被察觉。要压倒此等现代威胁, 各个企业必须携手合作, 共享威胁数据, 这才能构建更为强大及有效的安全保护。

Check Point ThreatCloud基于一个创新、遍布全球的威胁感应器网络, 鼓励机构分析威胁数据, 因此能进行动态升级, 联手打击现今的各种恶意软件。客户可以选择将其各自的威胁数据输入Threat Cloud, 通过其安全网关接收更新的威胁情报及防御升级。当新的僵尸病毒或恶意软件威胁在某个机构的网络中得到确认后, 该恶意软件的标识符, 如IP地址、URL或DNS等就会被发送到Threat Cloud, 并在数秒钟之内向世界各地的参与机构和客户分发有关的升级包。Check Point ThreatCloud也从公司所部署的安全网关、Check Point的信息搜集结果, 及业界恶意软件反馈资料中获取威胁数据。

Check Point软件技术有限公司产品副总裁Dorit Dor表示:“现今恶意软件日新月异, 而ThreatCloud能加大机构的安全力度, 它为客户提供比前更多的信息和攻击分析。Check Point ThreatCloud旨在通过全球化协作来增大威胁情报的信息量、质量和反馈速度, 从而使客户能够对快将发生的威胁迅速作出反应, 并在这些威胁蔓延之前对其网关采取恰当的防护措施”。

Check Point ThreatCloud将收集到的威胁信息直接发送给安全网关和软件刀片, 为客户提供实时的威胁信息和攻击趋势, 以便实施对僵尸病毒、高级持续性威胁及其它复杂形式的恶意软件进行防御。

Check Point的全新防僵尸软件刀片已具备ThreatCloud功能, 它能协助各个企业侦察、抵御和预防僵尸病毒的破坏。该软件刀片也采用了Check Point Multi-tier ThreatSpect™技术, 它分析每个网关上的流量, 通过将诸如僵尸网络模式、远程操纵者隐藏程序及攻击行为等多种风险因素进行关联来发现僵尸病毒。一旦确认某个僵尸病毒后, 该解决方案会立即阻止受感染主机与远程操纵者之间的通信来避免遭受破坏。

OA系统防御网络病毒的措施 篇8

1 网络病毒的危害、传播途径以及表现

1.1 网络病毒带来的危害

通常来讲网络病毒带来的危害主要有以下的几种情况:

(1) 无害, 也就是除了会影响到磁盘的可用空间不会影响到系统.

(2) 不存在危险, 这一类的病毒导致内存减少、图像显示、发出声音等等, 不会对系统带来危险.

(3) 危险性较大, 这一类的病毒会导致OA系统出现严重的错误.

(4) 危险性非常大, 这一类病毒会删除系统中的程序、对系统中的数据进行破坏、清除内存区以及系统中的各种重要信息。

1.2 传播途

主要是通过网络途径进行传播。当前网络中的病毒数量快速增重, 种类也在快速的增加, 而网络的发展则是病毒发展的直接动力, 几乎是每一种网络应用都能够成为病毒进行传播的有效途径。此外随着无线设备的快速发展以及各种移动存储介质的不合理使用也成为了病毒传播的重要的方式。

1.3 计算机系统感染病毒之后的表现

无论是什么样的病毒, 在入侵系统之后总会有一定的痕迹留下, 或者是导致系统出现一些异常, 例如计算机运行非常缓慢、无故出现死机、磁盘的可利用空间突然减少、内存出现变化、文件突然消失、鼠标不受控制的乱动、杀毒软件与防火墙被自动屏蔽等等。

2 OA系统网络病毒防御措施

2.1 完善各项制度

完善的制度可以帮助让OA系统操作更加的规范, 规范的操作可以将大多数的威胁进行预防。建立起严格的计算机系统操作制度。对于各种OA应用程序都必须要有配套的、严格的操作规程, 需要经常进行对照检查, 不能够使用和本职工作没有关系的移动存储介质, 也严禁安装与使用游戏软件。需要形成完善的程序、数据或者是文件的备份制度。对于那些重要的、专用的程序软件, 都需要有一到二个备份。建立起完善的外来移动存储介质检测制度。在使用外来的移动存储介质之前需要进行完善的病毒检测, 在确定了无毒之后才可以进行使用。通常情况下最好是专机专用, 特别是医疗仪器之上使用的计算机, 不能够轻易的添加其他的软件。

2.2 运用实时监视技术

运用实时监视技术可以为计算机构建起一道动态、实时的网络病毒防线。通过嵌入到操作系统中, 让操作系统能够具备一定的反病毒能力。这种技术能够对系统中的病毒活动进行实时地监视, 能够对所使用的移动存储介质、电子邮件、网络进行实时的监视, 尽可能的将网络病毒阻挡在系统之外。良好的实时监视技术, 能够和操作系统的底层实现无缝连接, 所占用的资源比较少, 并且也可以提高兼容性。

2.3 安装病毒控管服务器

运用网络版杀毒软件对病毒进行统一防御。网络病毒传播速度相当快, 往往在发现的时候就已经是大规模的爆发了, 并且还会出现各种变种, 传统的单机杀毒是很难应付的。网络版的杀毒软件可以帮助网络管理员对网络病毒进行更有效的控制。在医院网络中心需要部署病毒控管服务器, 并在服务器上安装正版杀毒软件的网络版服务中心, 运用服务中心来对局域网中的用户机器进行有效管理。在其余的用户端则要求统一安装该杀毒软件的客户端。网络服务中心能够对最新的病毒库进行发布, 可以有效的对病毒的新变种进行处理, 还能够对客户端的启发式病毒扫描功能进行强制打开, 对一些未知病毒进行防范。还可以对全网的病毒分布情况进行掌握, 获得病毒感染或者存在漏洞的用户名单, 对这些进行处理。

2.4 安装防火墙

将网络结构分为互联网域与OA办公自动化系统网域两个部分。OA系统中的部分功能需要和外部互联网域进行连接, 另外的一些功能则只需要利用到OA系统内网。因此, 需要在外网与内网之间安装防火墙, 对外网与内网之间的信息交换进行过滤。此外还需要在个人终端上安装防火墙, 这非常重要, 很多时候个人终端上都没有安装防火墙。个人终端防火墙可以有效的防止内网中的病毒入侵。

2.5 设置高强度口令

现在的OA系统终端很多时候为了使用的方便而没有对安全问题进行良好的考虑, Administrator组成员只使用了相当简单的口令, 有的甚至是没有使用口令。这就为病毒的入侵带来了巨大的方便, 有很多病毒都能够利用这个漏洞进行入侵。在接入网络之前, 必须要给管理员组成员一个高强度的口令, 所谓的高强度就是由字母、数字以及特殊字符混合组成, 长度大于等于8位。

3 结语

网络的发展为网络病毒的传播提供了丰富的机会, 而当OA系统感染病毒, 那么就有可能会造成巨大的损失。为此, 需要对网络病毒的防范进行高度的重视, 并运用合理的方法对其进行有效的防御。

摘要：OA系统的运用大大的改善了办公与管理的效率, 同时也增加了风险, 特别是当感染网络病毒时所带来的损失更是难以进行估量。在文中对网络病毒的危害、传播途径以及表现进行了简要阐述。在此基础上就OA系统网络病毒的防御措施进行了探讨.

关键词：OA系统,网络病毒,病毒防御

参考文献

[1]李华清.计算机病毒的研究与防范[J].软件, 2014, 35 (03) .

浅析网络攻击与防御技术 篇9

关键词：网络安全；网络攻击与防御；监听扫描

一、网络安全概述

网络安全是指网络系统中的数据受到保护，不受恶意的或者偶然的原因而遭到破坏、更改、泄露，以及系统中的软件、硬件连续、可靠正常地运行。随着计算机网络的飞速发展，网络中的安全问题也日趋突出。网络容易遭受到恶意攻击，例如数据被窃取，服务器不能正常的工作等等。针对这些攻击，人们采用了一些防御手段，不断的增强系统本身的安全性，同时还采用了一些辅助设备，比如网络系统和防火墙。防火墙一般作为网关使用，在检测攻击的同时，还能阻断攻击，网络一般作为并行设备使用，不具有阻断攻击的能力，它检测到攻击后，发出警报通知管理员，由管理员进行处理。不同的攻击，有不同的防御方法，我们在对攻击的有一定的了解后，制定相应的防御策略，才能保证网络安全。

二、攻击方法分类

网络入侵的来源一般来说有两种，一种是内部网络的攻击，另一种是外网的入侵。

攻击行为可分为：单用户单终端，单用户多终端，多用户多终端3大类。

（1）端口扫描攻击：网络端口监听就是一种时刻监視网络的状态、计算机数据流程以及在网络中传输的信息的管理工具.当计算机网络的接口处于监听模式的状态时，其可以快速的截取在网络中传输的数据信息，以此来取得目标主机的超级管理用户的权限。另外还在系统扫描的过程中，可以扫描到系统中那个端口是开放的，对应开放的端口提供的是什么服务，在捕获的服务中的操作信息是什么，此后攻击者就能利用它获取到的操作系统信息对目标主机进行网络入侵。

（2）缓冲区溢出攻击：缓冲区溢出攻击就是利用缓冲区溢出漏洞来进行攻击，在某种程度上可以说是一种非常危险的漏洞，在各种操作系统、应用软件中存在比较多。其原理在于程序获得了过量的数据，系统并没有对接收到的数据及时检测。结果使系统的堆栈遭到严重的损坏，从而使计算机被攻击者操控或者是造成机器瘫痪，使其不能正常工作。如果黑客进行远程攻击时，就必须使用系统服务中出现的溢出漏洞。在各个不相同的系统中，它产生的服务的攻击代码也各不相同。常用到的攻击检测的方法就是使用字符串匹配。出现缓冲区溢出的攻击还有一方面在于，现在大多是的应用程序都是由C语言构成的.在C、C++语言的语法中，对其数组下标的访问一般不做越界检查，因此导致缓冲区溢出的现象。

（3）拒绝服务攻击：拒绝服务攻击就是攻击者想办法让目标主机无法访问资源或提供服务，是黑客常用的攻击手段。这些资源包括磁盘硬盘空间、线程、内存等。拒绝服务攻击是指对计网络带宽进行消耗攻击。带宽攻击这一话题也并不陌生它是指用大量的通信数据量来攻击网络带宽。从而使网络带宽中的的大部分资源都被消耗完了，以至于主机不能正常的处理合法用户进行的请求。攻击者产生拒绝服务攻击，从而导致服务器的缓冲区溢出，无法接收新的请求，同时攻击者还可以采用IP地址欺骗的方式，使合法用户的请求被攻击者窃取，无法正常达到信息请求的目的地，严重影响用户请求的连接。

（4）病毒攻击：提到病毒攻击，最为直观的就是木马攻击。木马对电脑系统的破坏很强大，一般来说它具有通常有两个可执行程序：一个是客户端，即控制端，另一个是服务端，即被控制端。木马的设计者为了防止木马被发现，多采用多种手段来隐藏木马，这样，即使是发现感染了木马，由于不能确定木马的正确位置，也无法清除。木马的服务端一旦运行并被控制端连接，其控制端将享有服务端的大部分操作权限，而这对于服务端的用户是非常危险的。一旦计算机被植入木马，攻击者就能窃取密码，更该系统配置，发送错误信息，终止进程，修改注册表等。攻击者就可以远程实现像操纵自己的计算机一样来操纵被植入木马的计算机。木马入侵的方式主要有错误的服务信息，电子邮件，捆绑在游戏中等。

三、网络防御策略

（1）防火墙技术。防火墙是设置在内部网络与外部网络之间的一个隔离层，能够有效的防止未知的或者是潜在的入侵者。内部网络安全的实现主要是通过监测进入内网的数据信息或者直接限制其信息流入内网。从而实现外网无法获得内网的网络构成、数据流转和信息传递等情况，以此达到实现保护内部网络安全的目的。防火墙是不同网络间信息传递的重要关口，它能够有效的控制外网和内网的数据流交换，而且它本身具有较强的抗攻击能力。从某种程度上说，防火墙是实现了分离和限制的作用，可以监控内部网和外部网之间信息交换活动，来达到保护内部网络安全的目的。

（2）入侵检测。入侵检测系统（IDS）就是对现在的系统或正在使用的网络资源进行实时监测，以能够及时发现网络中的入侵者。入侵检测技术一般来说分为，非正常检测和常规检测。非正常检测就是通过检测系统中是否存在异常行为以此来达到检测目的，它能快速的地检测出网络中未知的网络入侵者，漏报率非常低，但是由于在检测中无法确地定义正常的操作特征，所以引发信息的误报率高。常规检测方法。这种检测方法最大的缺点是它自身依赖于函数特征库，只能检测出已存在的入侵者，不能检测未知的入侵攻击，从而引发漏报率较高，但误报率较低。

（3）建立安全管理。它是指通过一些的组织机构、制定制度，把含有信息安全功能的设备和使用此信息的人融合在一起，以确保整个系统达到预先制定的信息安全程度，以此能够达到保证信息的保密性、完整性和实用性的目的。安全管理主要包括安全管理策略和技术两个方面的内容。要想安全管理实现就必须在规章制度制定、安全体系中充分考虑技术方面，只有制度和技术的有效结合才能真正发挥作用，并取得预期的效果。

（4）多层次的安全系统建立。计算机网络安全系统可划分为不同级别的安全制度。其主要包括：对系统实现结构的分级，对传输数据的安全程度的分级（绝密、机密、秘密、公开）；对计算机网络安全程度的进行分级，对用户操作权限的分级等。针对网络中不同级别的安全对象.从而提供不同的安全算法和安全体制.用以以满足现代计算机网络中不同层次的实际需求.

四、网络安全技术的前景

随着网络的迅速发展，网络的攻击方法已由最初的零散知识发展为一门完整系统的科学。与此相反的是，成为一名攻击者越来越容易，需要掌握的技术越来越少，网络上随手可得的攻击实例视频和黑客工具，使得任何人都可以轻易地发动攻击。因此我们的防御技术显得尤为重要，从攻击趋势分析中发现，目前网络安全防范的主要难点在于：攻击的“快速性”—漏洞的发现到攻击出现间隔的时间很短；安全威胁的“复合性”—包括多种攻击手段的复合和传播途径的复合性。这一切均是传统防御技术难以对付的，因此人们需要更加先进，更全面化的主动防御技术和产品，才能在攻击面前泰然自若。（作者单位：河南师范大学软件学院）

参考文献：

[1]高飞，申普兵.网络安全主动防御技术.计算机安全.2009.1：38-40.

[2]王秀和，杨明.计算机网络安全技术浅析.中国教育技术装备.2007.5.49-53

[3]周军.计算机网络攻击与防御浅析.电脑知识与技术.2007.3：1563-1606

[4]赵鹏，李之棠.网络攻击防御的研究分析.计算机安全.2003.4：35-38

[5]张玉清.网络攻击与防御技术.清华大学出版社.2012

无线网络入侵防御系统的研究 篇10

关键词：无线网,网络,防御系统

1 概述

互联网自身存在着开放性、交互性和分散性等特点。随着信息化进程的推进, 人们的工作、生活等各个方面都发生了巨大变化, 与此同时, 带来一系列安全问题。并且随着黑客攻击水平的不断提高, 感染的速度也在迅速提高, 但是我们所能够做出的反应的时间却相对较长, 而目前所具有的技术水平不能够满足防御的需要, 并且一些攻击技术一般在时间、地点等各个方面都不具有确定性, 这也就提高了防御的要求, 这样必须要引入一种新型防御方式进行防御。

2 安全防御体系

2.1 网络安全的现状

网络安全从本质上来说一般是指计算机网络数据以及信息的安全, 网络安全涉及的内容非常广泛, 从广义上来讲, 只要涉及计算机网络上信息在保密性、完整性、可用性等各个方面的相关技术以及理论, 都属于网络安全的领域。

自20世纪90年代以来, 网络已进入了飞速发展的时代。网络被应用于各个领域, 与此同时, 带来一系列安全问题, 黑客的攻击以及入侵行为、网络信息泄露, 对国家的安全、经济发展等各个方面都造成了非常严重的危害, 并且这种网络安全泄露事件发生的频率在不断提高。随着网络技术的发展, 信息安全问题逐渐成为人们关注的重点问题, 如果我们不能够很好解决, 必然会影响国家信息安全。

2.2 常见的攻击方式

黑客攻击目前已成为威胁网络安全的重要因素, 我们如果能了解黑客攻击的方式以及流程将有助于保护网络安全。常见的黑客进攻方式主要有缓冲区溢出攻击、拒绝服务攻击、欺骗攻击、木马攻击、网络嗅探。

2.2.1 缓冲区溢出攻击

这种方式主要是通过往程序的缓冲区写超出其长度的内容, 造成缓冲区的溢出, 从而破坏程序的堆栈, 造成程序崩溃或使程序转而执行其他指令, 达到攻击的最终目标, 如果随意地往缓冲区中填充任何东西是不能够达到攻击的目的。

2.2.2 拒绝服务攻击

拒绝服务攻击主要是利用TCP/IP协议中所存在的缺陷, 耗尽服务器所提供的所有服务的系统资源, 最终就使得目标系统受到某种程度的破坏从而不能够正常工作, 甚至导致整个服务器在物理上出现瘫痪或者崩溃。DOS的攻击方式可以作为一种单一的方式, 同时也可以将多种方式进行组合, 结果就会造成合法用户无法访问正常的信息。例如在使用Land攻击时主要就是黑客利用网络协议自身所存在的缺陷或者一些漏洞发送一些不合法的数据, 使得整个系统陷入死机状态或者需要重新启动, 从而造成一个系统瘫痪。

2.2.3 欺骗攻击

常见的欺骗方式主要有:IP欺骗攻击、DNS欺骗以及网页欺骗攻击。

IP欺骗攻击, 也就是黑客改变自己的IP地址, 通过技术伪装成他人的IP地址获得有关信息。DNS欺骗主要就是将某一个DNS所对应的合法的IP转化为另外一个非法的IP地址。而网页欺骗攻击就是黑客将某个站点所包含的一些网页都拷贝下来, 然后修改其链接, 从而窃取用户的账号和口令等信息。

2.2.4 特洛伊木马

特洛伊木马是由黑客或者一个秘密人员将一个不会引起人们怀疑的账户安装到目标程序中, 如果这项程序被安装成功, 就可以使用管理员权限, 安装了这项程序的人就可以对目标系统进行远程控制, 一些明显的后门程序主要的运行方式会是透明运行。

2.2.5 网络嗅探

网络嗅探是指将原本不属于本机的数据, 通过建立共享模式建立共享通道, 以太网就是拥有这种功能的典型的网络共享, 这种共享模式的数据报头一般是目标主机的地址, 因此, 只有当地址与目标程序能够吻合时匹配的机器才能够完全接受信息。这种能够接受所有数据包的机器被称为杂错节点。通常情况下, 账户信息以及口令等信息都会以明文的形式在以太网上输出, 一旦黑客在这些杂错点上有一定的嗅探, 用户就很可能在短时间内受到损害。

2.3 网络安全防护技术

2.3.1 访问控制

安全系统会对所有被保护资源结合相应的管理机制, 并且预定好有关的管理权限、能力以及密钥等级, 每一次经过相应的安全系统的验证程序后的主机才能够访问相应的程序与资源。安全系统还会利用自身的跟踪审计功能对于任何具有企图要越权访问的行为进行密切的监视、记录, 并及时发出警告, 产生报警信息, 防止出现越权访问的行为。但是如果过分采用这种访问控制机制, 肯定就会降低计算机在使用过程中的自由程度, 因此, 在使用过程中要在安全性、共享性以及方便性之间进行权衡。

2.3.2 跟踪审计和包过滤

要不断收集和积累有关的安全事件的经验做出相应的记录, 以便在出现相应的破坏过程中能够提供强有力的证据, 根据系统提供的这些有利的证据采取一些安全的应对机制。例如, 通过对所有信息实行过滤制度, 拒绝接受拉入黑名单的地址信息, 杜绝在网上出现的特定结构下的垃圾信息并对正常使用的用户出现信息干扰以及信息轰炸。

2.3.3 信息流控制

只能够在网络符合允许的情况下, 控制相应的复杂程度, 才能够使用信息流进行信息控制, 并通过填充有关的报文长度, 增发伪报文等各种方式, 打扰网络攻击者对于相关信息流的分析, 增加网络攻击者进行窃听的难度。

2.3.4 防火墙技术

防火墙设备一般就是将受保护的主机的信息流的进出都进行有效的控制, 并在网络中一般存在单位内部以及因特网之间, 用来控制入侵者不能够进入系统内部, 内部的有关隐私信息也不能够泄露到外部。防火墙也可以对进出网络数据包的协议、地址等信息进行监控, 决定一些程序的进出。但是同时也存在着相应的弱点, 一些恶意攻击者会把信息隐藏在看似合理的数据下, 防火墙对这类数据不能够进行有效的控制, 就会导致控制策略不够完整, 而防火墙自身也就会遭到相应的破坏。

2.3.5 入侵检测技术

入侵检测技术就是对网络和系统的状态进行实时监控, 发现入侵活动。入侵检测系统能够检测到有关的特定序列和时间序列, 同时也可以检测一些异常行为, 但是可能会出现漏报的现象。

3 结语

网络信息安全对于安全使用计算机有着重要影响, 一般会造成用户的电脑死机、系统崩溃等情况, 一些黑客通过系统中存在的漏洞, 窃取一些秘密数据, 给单位、社会、国家造成了非常恶劣的影响, 必须采取相应措施来防范。

参考文献

[1]莉娅, 黄瑛, 何海霞.关于数字校园网安全解决方案[J].赤峰学院学报:自然科学版, 2013 (11) .

[2]霍成义, 吴振强, 见晓春, 等.网络安全动态防御模型研究[J].信息安全与通信保密, 2014 (12) .

[3]周维柏, 李蓉.一种具有主动防御的Intranet网的研究与实现[J].网络安全技术与应用, 2012 (4) .

[4]孙飞显, 徐明洁, 刘新玲.一种基于主动防御的网络安全管理模型[J].河南教育学院学报:自然科学版, 2015 (2) .

[5]石翊.“主动防御”真能改变网络安全吗?[J].信息系统工程, 2016 (2) .