計算機(jī)信息管理畢業(yè)論文---關(guān)于計算機(jī)網(wǎng)絡(luò)安全的探究

1、<p>　　關(guān)于計算機(jī)網(wǎng)絡(luò)安全的探究</p><p><b>　　摘 要</b></p><p>　　本文闡述了計算機(jī)網(wǎng)絡(luò)安全的管理及控制和影響計算機(jī)網(wǎng)絡(luò)安全的主要因素，提出了計算機(jī)網(wǎng)絡(luò)安全的表現(xiàn)形式并從技術(shù)方面和非技術(shù)方面提出了相應(yīng)的安全對策。對當(dāng)前應(yīng)用較為廣泛的幾類網(wǎng)絡(luò)安全系統(tǒng):防火墻,IDS(入侵檢測系統(tǒng))lips(入侵防御系統(tǒng))進(jìn)行分析。詳細(xì)闡明了

2、三類安全技術(shù)的基本原理及其當(dāng)前的應(yīng)用狀況。</p><p>　　關(guān)鍵字：網(wǎng)絡(luò)安全，信息安全，防火墻，IDS(入侵檢測系統(tǒng))，IPS(入侵防御系統(tǒng)) </p><p><b>　　目 錄</b></p><p><b>　　引言1</b></p><p><b>　　正文2</b

3、></p><p>　　1、計算機(jī)網(wǎng)絡(luò)安全的內(nèi)涵2</p><p>　　2、影響網(wǎng)絡(luò)安全的因素2</p><p>　　3、計算機(jī)網(wǎng)絡(luò)安全的表現(xiàn)形式3</p><p>　　3.1 不良信息的傳播3</p><p>　　3.2 病毒的危害3</p><p>　　3.3 遭受非法入侵及

4、惡意破壞3</p><p>　　3.4 設(shè)備、線路損壞3</p><p>　　4.1在管理方面的安全防范對策4</p><p>　　4.2在物理安全方面的防范對策4</p><p>　　4.3.在技術(shù)防范措施方面的安全對策4</p><p>　　4.3.1 采用高性能的防火墻技術(shù)4</p>&

5、lt;p>　　4.3.2 采用雙宿主機(jī)方法5</p><p>　　4.3.3采用嚴(yán)格的加密技術(shù)5</p><p>　　4.3.4身份識別和驗(yàn)證技術(shù)5</p><p>　　4.3.5 授權(quán)與訪問控制5</p><p>　　4.3.6完整性檢驗(yàn)6</p><p>　　4.3.7 反病毒技術(shù)6</p&

6、gt;<p>　　5、常見的網(wǎng)絡(luò)安全系統(tǒng)7</p><p><b>　　5.1防火墻7</b></p><p>　　5.2 IDS(Intrusion Detection System入侵檢測系統(tǒng))8</p><p>　　5.3 IPS (Intrusion Prevention System入侵防御系統(tǒng))9</p&

7、gt;<p>　　5.4對三者進(jìn)行比較9</p><p><b>　　結(jié)論10</b></p><p><b>　　參考文獻(xiàn)11</b></p><p><b>　　致 謝12</b></p><p><b>　　前 言</b><

8、;/p><p>　　計算機(jī)網(wǎng)絡(luò)作為現(xiàn)代社會的基礎(chǔ)設(shè)施，越來越多地出現(xiàn)在人們的工作、學(xué)習(xí)、生活中，其作用越來越重要，并且不可替什。但由于人們的安全意識與資金方面的原因，在信息網(wǎng)絡(luò)的安全方面往往沒有太多的投人與設(shè)置。在信息網(wǎng)絡(luò)形成的初期，由于信息資源和用戶數(shù)量不多，信息網(wǎng)絡(luò)的安全問題顯得還不突出。</p><p>　　隨著應(yīng)用的深人及用戶數(shù)量的不斷增加，各種各樣的安全問題開始困擾網(wǎng)絡(luò)管理人員，信息

9、資源數(shù)據(jù)的丟失、系統(tǒng)運(yùn)行效率下降、系統(tǒng)癱瘓的事情時有發(fā)生。因此，如何建立一個安全、穩(wěn)定、高效的計算機(jī)信息網(wǎng)絡(luò)系統(tǒng)，就顯得十分迫切并成為重要的問題。本文主要針對計算機(jī)網(wǎng)絡(luò)安全的基本知識進(jìn)行了說明，并就當(dāng)前常見的網(wǎng)絡(luò)安全系統(tǒng)進(jìn)行了對比。</p><p>　　1、計算機(jī)網(wǎng)絡(luò)安全的內(nèi)涵</p><p>　　計算機(jī)網(wǎng)絡(luò)安全包涵“網(wǎng)絡(luò)安全”和“信息安全”兩部分[1]?！熬W(wǎng)絡(luò)安全”(Network Se

10、curity)和“信息安全”(Information Security)是指確保網(wǎng)絡(luò)上的硬件資源、軟件資源和信息資源不被非法用戶破壞和使用。網(wǎng)絡(luò)安全涉及的內(nèi)容眾多、范圍廣泛，如合理的安全策略和安全機(jī)制。網(wǎng)絡(luò)安全技術(shù)包括訪問控制和口令、加密、數(shù)字簽名、認(rèn)證、內(nèi)容過濾、包過濾、防(殺)毒軟件以及防火墻等。網(wǎng)絡(luò)安全，特別是信息安全，強(qiáng)調(diào)的是網(wǎng)絡(luò)中信息或數(shù)據(jù)的完整性、可用性、可控性、不可否認(rèn)性以及保密性。信息安全的內(nèi)涵也已發(fā)展為“攻(攻擊)、防

11、(防范)、測(檢測)、控(控制)、管(管理)、評(評估)”等多方面的基礎(chǔ)理論和實(shí)施技術(shù)。網(wǎng)絡(luò)安全防范的內(nèi)容也不再僅僅局限于硬件安全，具體說主要包含了物理安全、鏈路安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全及管理安全6個方面。</p><p>　　網(wǎng)絡(luò)物理安全是整個網(wǎng)絡(luò)系統(tǒng)安全的前提;鏈路傳輸安全主要保障數(shù)據(jù)在網(wǎng)絡(luò)上傳輸?shù)恼鎸?shí)性、可靠性、機(jī)密性、完整性;網(wǎng)絡(luò)結(jié)構(gòu)的安全則體現(xiàn)在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)互聯(lián)時來自外部網(wǎng)絡(luò)的安全威脅及

12、來自內(nèi)部網(wǎng)絡(luò)自身的安全威脅二個方面;系統(tǒng)安全指的是網(wǎng)絡(luò)操作系統(tǒng)、應(yīng)用系統(tǒng)的安全;應(yīng)用的安全不是一成不變的，要隨時針對不同的應(yīng)用檢測安全漏洞，采取相應(yīng)的安全措施，降低應(yīng)用的安全風(fēng)險;管理安全指的是通過安全管理制度的制定、責(zé)權(quán)的制定、管理工作的執(zhí)行來降低安全的風(fēng)險。</p><p>　　2、影響網(wǎng)絡(luò)安全的因素</p><p>　　作為全球使用范圍最大的信息網(wǎng)，Internet自身協(xié)議的開放性極

13、大地方便了各種計算機(jī)連網(wǎng)，拓寬了共享資源。Internet的迅速發(fā)展得益于它的開放性，但由此帶來的安全問題也絕對不可忽視，在Internet網(wǎng)上，總統(tǒng)和平民百姓地位平等，信息資源和垃圾數(shù)據(jù)同樣存在，網(wǎng)絡(luò)管理員和網(wǎng)絡(luò)攻擊者進(jìn)行著殊死的較量。</p><p>　　影響計算機(jī)網(wǎng)絡(luò)安全的因素很多，有人為因素，也有自然因素，人為因素的危害更大。主要表現(xiàn)為:非授權(quán)訪問、特洛伊木馬、冒充合法用戶、破壞數(shù)據(jù)完整性、干擾系統(tǒng)正常運(yùn)

14、行、利用網(wǎng)絡(luò)傳播病毒、端口偵探等方面[2]。歸結(jié)起來，針對網(wǎng)絡(luò)安全的威脅主要有6個方面: 1.人為的無意失誤;2.人為惡意攻擊;3.網(wǎng)絡(luò)軟件的漏洞和“后門”;4.網(wǎng)絡(luò)本身的保護(hù)機(jī)制不健全;5.病毒問題:;6.信息污染。3、計算機(jī)網(wǎng)絡(luò)安全的表現(xiàn)形式</p><p>　　3.1 不良信息的傳播</p><p>　　隨著網(wǎng)絡(luò)范圍的不斷擴(kuò)大，應(yīng)用水平的不斷加深，越來越多的人進(jìn)人到了Internet

15、這個大家庭。目前，Internet上各種信息良芳不齊，其中有些不良信息違反人類的道德標(biāo)準(zhǔn)和有關(guān)法律法規(guī)，對世界觀和人生觀正在形成的年輕人來說危害非常大。如果不采取安全措施，會導(dǎo)致這些信息在網(wǎng)絡(luò)上傳播，侵蝕年輕人的心靈。</p><p><b>　　3.2 病毒的危害</b></p><p>　　計算機(jī)病毒是一種人為制造的，寄生于計算機(jī)應(yīng)用程序或操作系統(tǒng)中的可執(zhí)行部分，

16、并且能夠自我復(fù)制、傳播的程序。通過網(wǎng)絡(luò)傳播的病毒在傳播速度、破壞性和傳播范圍等方面都遠(yuǎn)遠(yuǎn)超過單機(jī)病毒。網(wǎng)絡(luò)中的計算機(jī)在運(yùn)行、下載程序和電子郵件時都有可能感染病毒，一旦感染病毒，就有可能造成主機(jī)系統(tǒng)的癱瘓或者崩潰。</p><p>　　3.3 遭受非法入侵及惡意破壞</p><p>　　一些人因?yàn)楹闷嫘?、功力心或者惡意心的?qū)使，利用網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)協(xié)議和操作系統(tǒng)的安全漏洞以及管理上的疏漏，使用

17、各種非法手段訪問資源、刪改數(shù)據(jù)、破壞系統(tǒng)。對這些行為如不及時加以控制，也有可能造成主機(jī)系統(tǒng)的癱瘓或者崩潰，給用戶帶來嚴(yán)重的不良后果及損失。</p><p>　　3.4 設(shè)備、線路損壞</p><p>　　主要是指對網(wǎng)絡(luò)硬件設(shè)備的穩(wěn)定性。網(wǎng)絡(luò)設(shè)備包括服務(wù)器、交換機(jī)、集線器、路由器、工作站、電源等。線路包括光纖線路、電纜線路、衛(wèi)星線路等。它們分布在整個網(wǎng)絡(luò)內(nèi)，管理起來非常困難。由于人為或者不可

18、抗力(如天氣、自然災(zāi)害等原因)的因素，設(shè)備、線路會發(fā)生損壞或故障，這樣會造成網(wǎng)絡(luò)全部或部分癱瘓。</p><p>　　4、網(wǎng)絡(luò)信息的安全對策</p><p>　　針對網(wǎng)絡(luò)信息存在的主要問題，我們在進(jìn)行網(wǎng)絡(luò)設(shè)計時從管理人手，在授權(quán)、物理、技術(shù)方面采取了多層防范措施并舉，根本上克服了網(wǎng)絡(luò)中存在的安全問題[3]:</p><p>　　4.1在管理方面的安全防范對策<

19、/p><p>　　制定嚴(yán)格的規(guī)章制度和措施，加強(qiáng)對人員的審查和管理，結(jié)合軟硬件及數(shù)據(jù)方面的安全問題進(jìn)行安全教育，提高工作人員的保密觀念和責(zé)任心，嚴(yán)守操作規(guī)則和各項保密規(guī)定，防止人為事故的發(fā)生;加強(qiáng)對信息的安全管理，對各種信息進(jìn)行等級分類，有絕密、機(jī)密、秘密和非秘密信息等，對保密數(shù)據(jù)從采集、傳輸、處理、儲存和使用等整個過程，都要對數(shù)據(jù)采取安全措施，防止數(shù)據(jù)有意或無意泄露。</p><p>　　4

20、.2在物理安全方面的防范對策</p><p>　　指計算機(jī)及通信設(shè)備的安全，如設(shè)備的溫度、濕度、防靜電、防磁場、防電子輻射等性能。保護(hù)傳輸線路的安全，集中器和調(diào)制解調(diào)器應(yīng)置于受監(jiān)視的地方，以防外連的企圖，并定期檢查，以防搭線竊聽、外連或破壞行為發(fā)生;對于儲存數(shù)據(jù)的磁帶、磁盤和光盤等進(jìn)行安全維護(hù)，數(shù)據(jù)定期備份，重要硬件也應(yīng)雙備份。</p><p>　　4.3.在技術(shù)防范措施方面的安全對策&l

21、t;/p><p>　　4.3.1 采用高性能的防火墻技術(shù)</p><p>　　防火墻技術(shù)是維護(hù)網(wǎng)絡(luò)安全最重要的手段。防火墻在兩個網(wǎng)絡(luò)之間實(shí)施相應(yīng)的訪問控制和過濾策略，同時它又是部件和系統(tǒng)的匯集器，在兩個網(wǎng)絡(luò)之間通過對網(wǎng)絡(luò)作拓樸結(jié)構(gòu)和服務(wù)類型上的隔離來加強(qiáng)網(wǎng)絡(luò)安全的保護(hù)。我們在實(shí)現(xiàn)防火墻的技術(shù)方面主要有以下兩種:</p><p>　　包過濾技術(shù)通過包過濾路由器對進(jìn)出內(nèi)部網(wǎng)

22、絡(luò)的P數(shù)據(jù)包按信息過濾規(guī)則進(jìn)行監(jiān)視、過濾和篩選，允許授權(quán)信息通過，拒絕非授權(quán)或可疑信息通過。信息過濾</p><p>　　規(guī)則按其所收到的P包信息為基礎(chǔ)，如源地址、目的地址、TCP/IP端口號、封裝協(xié)議類型,TCP鏈路狀態(tài)等，當(dāng)一個IP數(shù)據(jù)包滿足過濾規(guī)則時，則被允許通過，否則拒絕通過，從而起到保護(hù)內(nèi)部網(wǎng)絡(luò)的作用。</p><p>　　應(yīng)用網(wǎng)關(guān)技術(shù)由一臺專用計算機(jī)來實(shí)現(xiàn)，是內(nèi)外網(wǎng)絡(luò)連接的橋梁

23、，又稱代理服務(wù)，在網(wǎng)關(guān)上運(yùn)行代理程序，一方面代替原來的服務(wù)器程序，與客戶程序建立連</p><p>　　接;另一方面又代替原來的客戶程序與服務(wù)器連接，使得合法用戶可以通過應(yīng)用網(wǎng)關(guān)，安全地使用因特網(wǎng)服務(wù)，對于非法用戶則加以拒絕。</p><p>　　4.3.2 采用雙宿主機(jī)方法</p><p>　　又稱保堡主機(jī)，是一臺配有多個網(wǎng)絡(luò)接口的主機(jī)，通常應(yīng)用網(wǎng)關(guān)也會放在雙宿主

24、機(jī)上，對所傳遞的服務(wù)請求做出響應(yīng)，如果認(rèn)為是安全的，代理就會將消息傳到相應(yīng)主機(jī)上，而用戶只能使用代理服務(wù)器支持的服務(wù)。雙宿主機(jī)還有日志的功能，記錄網(wǎng)絡(luò)上的所有事件，系統(tǒng)管理員可以監(jiān)控任何可疑的活動并進(jìn)行相應(yīng)處理。</p><p>　　4.3.3采用嚴(yán)格的加密技術(shù)</p><p>　　當(dāng)非法用戶采用地址欺騙等方法繞過了防火墻，安全網(wǎng)絡(luò)功能就會喪失殆盡。加密技術(shù)是網(wǎng)絡(luò)信息安全的主動的、開放型防

25、范手段。通過對網(wǎng)絡(luò)傳輸?shù)男畔⑦M(jìn)行加密，使信息傳輸在全封閉狀態(tài)下運(yùn)行，傳輸?shù)男畔⒉粫坏谌咦R別、修改、盜取和偽造，保證信息的完整性和統(tǒng)一性。使用加密技術(shù)不僅具有保密性能好，使用方便等優(yōu)點(diǎn)，而且還融人了防篡改、抗否認(rèn)的數(shù)字簽名技術(shù)，成本低，功能強(qiáng)。</p><p>　　4.3.4身份識別和驗(yàn)證技術(shù)</p><p>　　身份識別和驗(yàn)證的核心是識別訪問者是否屬本系統(tǒng)的合法用戶，以防止非法用戶進(jìn)人

26、系統(tǒng)。最常見的是在用戶接人和用戶登錄到主機(jī)時，用戶需要輸人用戶名和口令字，系統(tǒng)在完成與系統(tǒng)中保存的用戶名和口令字對比后，判斷該訪問者是否合法用戶，從而決定是否讓其進(jìn)人系統(tǒng)，這就要求用戶保護(hù)好口令，以防泄露。</p><p>　　4.3.5 授權(quán)與訪問控制</p><p>　　授權(quán)是指分配給用戶一定的獲得服務(wù)的權(quán)力或操作管理的權(quán)力，主要是通過對用戶的分類和分級來防止一個用戶進(jìn)行其不應(yīng)擁有的系

27、統(tǒng)操作能力和服務(wù)。訪問控制是一種訪問者對特定網(wǎng)絡(luò)資源是否能訪問或者訪問的深度和廣度的控制。通過提取訪問者的戶名、地址以及所要求訪問的網(wǎng)絡(luò)資源或服務(wù)等信息，然后核對系統(tǒng)訪問控制表，讓符合條件的訪問者進(jìn)行網(wǎng)絡(luò)資源的訪問或得到網(wǎng)絡(luò)服務(wù)，不合條件的拒絕訪問。訪問控制技術(shù)可以控制用戶訪問網(wǎng)絡(luò)資源和獲得網(wǎng)絡(luò)服務(wù)，保護(hù)網(wǎng)絡(luò)資源和重要數(shù)據(jù)不被盜用。</p><p>　　4.3.6完整性檢驗(yàn)</p><p>

28、;　　完整性檢驗(yàn)技術(shù)是通過系統(tǒng)對重要文件或數(shù)據(jù)進(jìn)行完整性的檢查，來確認(rèn)文件或數(shù)據(jù)是否被篡改[4]。信息的完整性檢驗(yàn)表現(xiàn)為:信息來自正確的發(fā)送方而非假冒，信息送到了正確的接收方?jīng)]有丟失或誤送，接收信息的內(nèi)容和發(fā)送時一致，沒有重復(fù)接收，信息接收的時序和發(fā)送時一致。完整性檢驗(yàn)技術(shù)主要是避免使用被動的不完整的和錯誤的信息，及時發(fā)現(xiàn)系統(tǒng)中的問題，以便及時采取措施。</p><p>　　4.3.7 反病毒技術(shù)</p&g

29、t;<p>　　包括病毒預(yù)防、病毒檢測、病毒清除。實(shí)現(xiàn)方法是對網(wǎng)絡(luò)服務(wù)器中的文件進(jìn)行頻繁地掃描和監(jiān)測，在工作站上采用防病毒芯片和對網(wǎng)絡(luò)目錄用文件設(shè)置訪問權(quán)限等。</p><p>　　5、常見的網(wǎng)絡(luò)安全系統(tǒng)</p><p>　　隨著計算機(jī)網(wǎng)絡(luò)的不斷發(fā)展，全球信息化已成為人類發(fā)展的大趨勢。但由于計算機(jī)網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互連性等特征，致使網(wǎng)絡(luò)易

30、受黑客、怪客、惡意軟件和其他不軌的攻擊。那么，我們?nèi)绾畏乐购捅苊庠馐芄艉腿饲?，以確保網(wǎng)上信息的安全呢?本文將對當(dāng)前應(yīng)用較為廣泛的三類常見網(wǎng)絡(luò)安全系統(tǒng)— 防火墻,IDS(網(wǎng)絡(luò)人侵檢測系統(tǒng)),IPS(人侵防御系統(tǒng))進(jìn)行分析[5]。</p><p><b>　　5.1防火墻</b></p><p>　　防火墻是目前最成熟的網(wǎng)絡(luò)安全技術(shù)，也是市場上最常見的網(wǎng)絡(luò)安全產(chǎn)品，在互

31、聯(lián)網(wǎng)上是一種非常有效的網(wǎng)絡(luò)安全工具。它主要是通過對外界屏蔽，以保護(hù)內(nèi)部網(wǎng)絡(luò)的信息和結(jié)構(gòu)。它是設(shè)置在內(nèi)部可信網(wǎng)絡(luò)和外部不可信網(wǎng)絡(luò)之間的屏障，可以通過實(shí)施比較廣泛的安全策略來控制信息流人可信網(wǎng)絡(luò)，防止不可預(yù)料的潛在的入侵破壞;它也能限制可信網(wǎng)絡(luò)中的用戶對外部網(wǎng)絡(luò)的非授權(quán)訪問，也因此削弱了網(wǎng)絡(luò)的功能。</p><p>　　一般的防火墻都可以達(dá)到以下目的:一是可以限制他人進(jìn)人內(nèi)部網(wǎng)絡(luò)，過濾掉不安全服務(wù)和非法用戶;二是防止

32、人侵者接近你的防御設(shè)施;三是限定用戶訪問特殊站點(diǎn);四是為監(jiān)視Internet安全提供方便。由于防火墻假設(shè)了網(wǎng)絡(luò)邊界和服務(wù)，因此適合于相對獨(dú)立的網(wǎng)絡(luò)。目前防火墻已經(jīng)在Internet上得到了廣泛的應(yīng)用，而且由于防火墻不限于TCP/IP協(xié)議的特點(diǎn)，也使其逐步在Internet之外更具生命力。</p><p>　　面對當(dāng)前如此多的防火墻產(chǎn)品，如何選擇最符合自身需要的產(chǎn)品呢?通常應(yīng)從安全策略考慮:首先，是防火墻自身的安全

33、性，如果不能確保自身安全，自然也不能安全保護(hù)內(nèi)部網(wǎng)絡(luò);其次，考慮特殊的需求，每個企業(yè)應(yīng)根據(jù)自身的特殊需求來選擇，并不是每一個防火墻都能滿足客戶需求;最后，一個好的防火墻還應(yīng)提供完善的售后服務(wù)。</p><p>　　防火墻不是萬能的，它具有如下缺點(diǎn):一是防火墻可以阻斷攻擊，但不能消滅攻擊源;二是防火墻不能抵抗最新的未設(shè)置策略的攻擊漏洞;三是防火墻對服務(wù)器合法開放的端口的攻擊大多無法阻止;四是防火墻不能解決來自內(nèi)部網(wǎng)

34、絡(luò)的攻擊和安全問題;五是防火墻本身也會出現(xiàn)問題和受到攻擊;六是防火墻不處理病毒，不能防止受病毒感染的文件的傳輸;等等。因此，客觀地講，防火墻并不是解決網(wǎng)絡(luò)安全問題的萬能藥方，而只是網(wǎng)絡(luò)安全政策和策略中的一個組成部分。</p><p>　　5.2 IDS(Intrusion Detection System入侵檢測系統(tǒng))</p><p>　　IDS是繼“防火墻”、“信息加密”等傳統(tǒng)安全保護(hù)方

35、法之后的新一代安全保障技術(shù)[6]。入侵檢測技術(shù)是為保證計算機(jī)系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)。它通過對計算機(jī)網(wǎng)絡(luò)或計算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。IDS一般位于內(nèi)部網(wǎng)的人口處，安裝在防火墻的后面，用于檢測人侵和內(nèi)部用戶的非法活動，提供對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前進(jìn)行攔截和響應(yīng)人侵處理。它

36、可在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)進(jìn)行監(jiān)聽，從而實(shí)現(xiàn)對網(wǎng)絡(luò)的保護(hù)。</p><p>　　IDS能檢測到的攻擊類型常見的是:系統(tǒng)掃描(System Scanning)、拒絕服務(wù)(Deny of Service)和系統(tǒng)滲透(System Penetration)o I DS對攻擊的檢測方法主要有:被動、非在線地發(fā)現(xiàn)和實(shí)時、在線地發(fā)現(xiàn)計算機(jī)網(wǎng)絡(luò)中的攻擊者。IDS的主要優(yōu)勢是監(jiān)聽網(wǎng)絡(luò)流量，但又不會影響網(wǎng)絡(luò)的性能。作為對防火

37、墻的有益補(bǔ)充，IDS能夠幫助網(wǎng)絡(luò)系統(tǒng)快速發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的發(fā)生，可擴(kuò)展系統(tǒng)管理員的安全管理能力，包括安全審計、監(jiān)視、進(jìn)攻識別和響應(yīng)等，從而提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性，被認(rèn)為是繼防火墻之后的第二道安全閘門。</p><p>　　IDS技術(shù)的一大優(yōu)點(diǎn)是只需收集相關(guān)的數(shù)據(jù)集合，可顯著減少系統(tǒng)負(fù)擔(dān)，且技術(shù)已相當(dāng)成熟。它與防火墻采用的方法一樣，檢測準(zhǔn)確率和效率都相當(dāng)高。I DS的缺點(diǎn)是需要不斷升級以對付不斷出現(xiàn)的黑客攻擊手

38、法，不能檢測到從未出現(xiàn)過的黑客攻擊手段，同時其本身的抗攻擊能力差。</p><p>　　由于 I DS 和防火墻分別用于不同的目的，因此通常情況下可以同時選擇使用IDS和防火墻，以便更好地保護(hù)系統(tǒng)。但是IDS和防火墻聯(lián)動后，其穩(wěn)定性并不是很理想，特別是攻擊者有可能利用偽造的包信息，讓IDS錯誤判斷，進(jìn)而錯誤指揮防火墻，從而將合法的地址屏蔽掉。</p><p>　　5.3 IPS (Intr

39、usion Prevention System入侵防御系統(tǒng))</p><p>　　IPS 是 一 種主動的、智能的人侵檢測、防范、阻止系統(tǒng)，不但能檢測人侵的發(fā)生，而且能通過一定的響應(yīng)方式，實(shí)時地終止入侵行為的發(fā)生和發(fā)展，實(shí)時地保護(hù)信息系統(tǒng)不受實(shí)質(zhì)性攻擊的一種智能化的安全產(chǎn)品。IPS不僅能實(shí)現(xiàn)檢測攻擊，還能有效阻斷攻擊，它提供深層防護(hù)，注重主動防御，可以說IPS是基于IDS的、建立在IDS發(fā)展基礎(chǔ)上的新生網(wǎng)絡(luò)安全產(chǎn)

40、品。</p><p>　　IPS 實(shí)現(xiàn)實(shí)時檢查和阻止人侵的原理是:IPS擁有數(shù)目眾多的過濾器，能夠防止各種攻擊。針對不同的攻擊行為，IP設(shè)計不同的過濾器。每一種過濾器設(shè)置其相應(yīng)的過濾規(guī)則，從而確保其準(zhǔn)確性。當(dāng)有新的攻擊手段被發(fā)現(xiàn)，IPS就會創(chuàng)建一個新的過濾器，同時設(shè)置其相應(yīng)的過濾規(guī)則。IPS數(shù)據(jù)包處理引擎是專業(yè)化定制的集成電路，可以深層檢查數(shù)據(jù)包的內(nèi)容。依據(jù)數(shù)據(jù)包中報頭信息，所有流經(jīng)IPS的數(shù)據(jù)包將被分類，如源I

41、P地址和目的護(hù)地址、端口號和應(yīng)用域等。每種過濾器負(fù)責(zé)分析相對應(yīng)的數(shù)據(jù)包。通過檢查的數(shù)據(jù)包可以繼續(xù)前進(jìn)，包含惡意內(nèi)容的數(shù)據(jù)包就會被丟棄，被懷疑的數(shù)據(jù)包需要接受進(jìn)一步的檢查。過濾器引擎集合了流水和大規(guī)模并行處理硬件，能夠同時執(zhí)行數(shù)千次的數(shù)據(jù)包過濾檢查，從而確保數(shù)據(jù)包能夠不間斷地快速通過系統(tǒng)，不會對速度造成影響。IPS的關(guān)鍵技術(shù)是:主動防御技術(shù)、防火墻與IPS互動技術(shù)、集成多種檢測技術(shù)和硬件加速系統(tǒng)。其主要技術(shù)特征是:嵌入式運(yùn)行模式、完善的安

42、全策略、高質(zhì)量的入侵特征庫、高效處理數(shù)據(jù)包的能力和強(qiáng)大的響應(yīng)功能。</p><p>　　IPS 在很多方面融合了其他產(chǎn)品的一些特點(diǎn)，并作了很多方面的改進(jìn)，但目前IPS的技術(shù)還不是很成熟，它所面臨的挑戰(zhàn)主要有:單點(diǎn)故障、性能瓶頸、誤報和漏報等。其存在的最大隱患是有可能引起誤操作，這種“主動性”誤操作會阻塞合法的網(wǎng)絡(luò)事件，最終影響到商務(wù)操作和客戶信任度。它比較適合于組織大范圍的、針對性不是很強(qiáng)的攻擊。</p&g

43、t;<p>　　5.4對三者進(jìn)行比較</p><p>　　三者相比，防火墻是外圍警戒，充當(dāng)著防護(hù)的第一層，可根據(jù)指定的策略決定哪些流量可以通過，哪些不能;IPS的功能則比較單一，它是防護(hù)的第二層，它可以檢測出在網(wǎng)絡(luò)中自由流動的通信中存在的攻擊信息，可對防火墻所不能過濾的攻擊進(jìn)行過濾，是防火墻的有效補(bǔ)充。IPS與IDS相比較，在入侵檢測技術(shù)上它們都采用特征庫、基于協(xié)議分析和異常檢測等方式進(jìn)行檢測。不同

44、的是，IDS只是在惡意流量傳送時或傳送后才發(fā)出報警，其系統(tǒng)的策略更新需要大量的人的參與;而IPS則可提供前瞻性的防護(hù)，其設(shè)計的宗旨在于預(yù)先攔截入侵活動和攻擊性網(wǎng)絡(luò)流量。IPS增加了在線連接和網(wǎng)絡(luò)數(shù)據(jù)阻斷兩個新的特征，因此IPS的安全策略更新可以是在線的、自動的，類似于通常所說的網(wǎng)橋式防火墻。強(qiáng)大的響應(yīng)功能即進(jìn)行主動防御的保障是IPS區(qū)別與IDS的最顯著的特點(diǎn)。</p><p><b>　　結(jié)論</

45、b></p><p>　　總的來說 ，目前，防火墻和IDS在網(wǎng)絡(luò)安全市場中占主導(dǎo)地位。防火墻是網(wǎng)關(guān)形式，要求高性能和高可靠性。因此防火墻注重吞吐率、延時、HA等方面的要求，并且其傳輸要求也非常高。但是防火墻不能避免蠕蟲的泛濫、垃圾郵件、病毒傳播、拒絕服務(wù)等，在新出現(xiàn)的安全攻擊事件中，顯得無能為力。IDS是主流的人侵檢測技術(shù)。它是一個以檢測和發(fā)現(xiàn)為特征的技術(shù)行為，其追求的是漏報率和誤報率的降低，具有較高的技術(shù)

46、特征，但其最大的問題在于只能檢測攻擊，不能阻止攻擊。而IPS可以說是將防火墻,IDS,防病毒和脆弱性評估等技術(shù)的優(yōu)點(diǎn)與自動防止攻擊的功能融為一體的安全產(chǎn)品，其最顯著的特征是具有主動防御功能。但由于當(dāng)前其技術(shù)發(fā)展的不成熟，因此將IPS與防火墻,IDS等網(wǎng)絡(luò)安全技術(shù)相結(jié)合才能有效保證網(wǎng)絡(luò)的安全。</p><p>　　參 考 文 獻(xiàn)</p><p>　　謝希仁.計算機(jī)網(wǎng)絡(luò).大連:大連理工大

47、學(xué)出版社,2003 .</p><p>　　戚文靜.網(wǎng)絡(luò)安全與管理.北京:中國水利水電出版社,2003 .</p><p>　　袁家政.計算機(jī)網(wǎng)絡(luò).西安:西安電子科技大學(xué)出版社,2001 .</p><p>　　周海剛.網(wǎng)絡(luò)安全技術(shù)基礎(chǔ).北京:清華大學(xué)出版社，北京交通大學(xué)出版社,2004.</p><p>　　邵波,王其和.計算機(jī)網(wǎng)絡(luò)安全技術(shù)

48、及應(yīng)用.北京:電子工業(yè)出版社,2005.</p><p>　　裘鋒 .IDS,IPS技術(shù)研究.計算機(jī)與現(xiàn)代化，2004,(1 2).</p><p><b>　　致 謝</b></p><p>　　在指導(dǎo)老師幫助下，我完成了論文寫作。在論文寫作過程中，得到各位老師的精心幫助，并得到學(xué)校網(wǎng)站管理人員的協(xié)助，我和本專業(yè)的若干同學(xué)在論文寫作和修