計(jì)算機(jī)專業(yè)畢業(yè)論文-----入侵檢測(cè)與防御技術(shù)研究

1、<p><b>　　畢業(yè)設(shè)計(jì)(論文)</b></p><p>　　題目：入侵檢測(cè)與防御技術(shù)研究 </p><p><b>　　摘 要</b></p><p>　　入侵檢測(cè)系統(tǒng)是信息安全領(lǐng)域研究的熱點(diǎn)問(wèn)題。在闡述入侵檢測(cè)系統(tǒng)概念和類型的</p><p>　　基礎(chǔ)上，指出了當(dāng)前入侵檢測(cè)系

2、統(tǒng)的優(yōu)點(diǎn)及局限性。神經(jīng)網(wǎng)絡(luò) 、遺傳算法、模糊邏輯、免疫原理 、機(jī)器學(xué)習(xí)、專家系統(tǒng)、數(shù)據(jù)挖掘、Agent等智能化方法是解決IDS局限性的</p><p>　　有效方法。介紹并著重分析了2種基于智能方法的IDS，提出了IDS在今后發(fā)展過(guò)程中</p><p><b>　　需要完善的問(wèn)題。</b></p><p>　　防御技術(shù)是建立在內(nèi)外網(wǎng)絡(luò)邊界上的過(guò)

3、濾封鎖機(jī)制，它認(rèn)為內(nèi)部網(wǎng)絡(luò)是安全和可信</p><p>　　賴的，而外部網(wǎng)絡(luò)被認(rèn)為是不安全和不可信賴的關(guān)鍵詞：IDS;入侵檢測(cè)專家系統(tǒng);人工神經(jīng)網(wǎng)絡(luò);異常檢測(cè);智能體；防御技術(shù)</p><p><b>　　ABSTRACT</b></p><p>　　Intrusion Detection System is a hot research f

4、ield of information security issues. In explainingn the concept and types of intrusion detection system based on intrusion detection system that the current advantages and limitations. Neural networks, genetic algorithms

5、, fuzzy logic, immune theory, machine learning, expert Introduced and analyzed the two kinds of intelligent methods based IDS, IDS proposed development in the future issues that need to improve.</p><p>　　Def

6、ense technology is built on the inside and outside the network boundary filtering block mechanism, it considers the internal network is safe and reliableLai, while the external network is considered unsafe and unreliable

7、</p><p>　　【Keywords】: IDS; Intrusion Detection Expert System; artificial neural networks; anomaly detection; agent; defense technology</p><p><b>　　目錄</b></p><p><b>

8、;　　摘 要I</b></p><p>　　ABSTRACTII</p><p><b>　　目錄III</b></p><p><b>　　前 言1</b></p><p>　　第一章 入侵檢測(cè)檢測(cè)的發(fā)展歷程和定義2</p><p>　　1.

9、1 發(fā)展歷程2</p><p>　　1.2 入侵檢測(cè)的定義2</p><p>　　第二章 入侵檢測(cè)的關(guān)鍵技術(shù)4</p><p>　　2.1基于行為的入侵檢測(cè)技術(shù)4</p><p>　　2．2 基于知識(shí)的入侵檢測(cè)技術(shù)4</p><p>　　2．3基于其它方法的入侵檢測(cè)技術(shù)4</p><p&

10、gt;　　第三章 入侵檢測(cè)系統(tǒng)模型、分類和IDS5</p><p>　　3.1 入侵檢測(cè)系統(tǒng)模型5</p><p>　　3.2 入侵檢測(cè)系統(tǒng)分類5</p><p>　　3.3 IDS6</p><p>　　3.3.1 IDS的評(píng)價(jià)標(biāo)準(zhǔn)6</p><p>　　3.3.2 IDS的發(fā)展趨勢(shì)7</p&g

11、t;<p>　　第四章 防御技術(shù)7</p><p>　　4.1 防火墻技術(shù)7</p><p>　　4.2 防火墻的分類8</p><p>　　4.3 典型防火墻的體系結(jié)構(gòu)9</p><p>　　結(jié) 束 語(yǔ)13</p><p>　　致 謝 信14</p><p&

12、gt;　　參 考 文 獻(xiàn)15</p><p><b>　　前 言</b></p><p>　　我國(guó)信息網(wǎng)絡(luò)安全研究歷經(jīng)了通信保密、數(shù)據(jù)保護(hù)兩個(gè)階段，正在進(jìn)入網(wǎng)絡(luò)信息安全研究階段，現(xiàn)已開(kāi)發(fā)研制出防火墻、安全路由器、安全網(wǎng)關(guān)、黑客入侵檢測(cè)、系統(tǒng)脆弱性掃描軟件等。但因信息網(wǎng)絡(luò)安全領(lǐng)域是一個(gè)綜合、交叉的學(xué)科領(lǐng)域它綜合了利用數(shù)學(xué)、物理、生化信息技術(shù)和計(jì)算機(jī)技術(shù)的諸多學(xué)科的長(zhǎng)

13、期積累和最新發(fā)展成果，提出系統(tǒng)的、完整的和協(xié)同的解決信息網(wǎng)絡(luò)安全的方案，目前應(yīng)從安全體系結(jié)構(gòu)、安全協(xié)議、現(xiàn)代密碼理論、信息分析和監(jiān)控以及信息安全系統(tǒng)五個(gè)方面開(kāi)展研究，各部分相互協(xié)同形成有機(jī)整體。</p><p>　　第一章 入侵檢測(cè)檢測(cè)的發(fā)展歷程和定義</p><p><b>　　1.1 發(fā)展歷程</b></p><p>　　1980年4月，

14、JAMES P.A.為美國(guó)空軍做了一份題為“Computer Security Threat Monitoring and </p><p>　　Surveillance”的技術(shù)報(bào)告。該報(bào)告提出問(wèn)題種對(duì)計(jì)算機(jī)系統(tǒng)風(fēng)險(xiǎn)和威脅的分類方法，并將威脅分</p><p>　　為外部滲透、內(nèi)部滲透和不法行為3種，最重要的是它提出了利用審計(jì)數(shù)據(jù)來(lái)監(jiān)視入侵活動(dòng)的思想，</p><p&g

15、t;　　即入侵檢測(cè)系統(tǒng)的思想[1]。1984年到1986年，喬治敦大學(xué)的Dorothy Denning和SRI/CLS公司計(jì)算</p><p>　　機(jī)科學(xué)實(shí)驗(yàn)室的Peter Neumann研究出了一個(gè)名為入侵檢測(cè)專家系統(tǒng)IDES (Intrusion Detection </p><p>　　Expert Systems)的實(shí)時(shí)入侵檢測(cè)系統(tǒng)模型[2]。該模型的六部件理論為構(gòu)建IDS提供了一

16、個(gè)通用框架。</p><p>　　1988年，Teresa Lunt 等人針對(duì)當(dāng)時(shí)爆發(fā)的莫里斯蠕蟲，基于Dorothy Denning提出的入侵檢測(cè)模</p><p>　　型[3]開(kāi)發(fā)出了用于檢測(cè)單機(jī)上入侵企圖的入侵檢測(cè)專家系統(tǒng)IDS。1995年又推出了它的改進(jìn)版本，</p><p>　　名為下一代入侵檢測(cè)專家系統(tǒng)NIDES（Next-generation Intr

17、usion Detection Expert System）[4]。</p><p>　　1989年，加州大學(xué)戴維斯分校的Todd Heberlein 寫了一篇題為《A Network Security Monitor》</p><p>　　的論文，文中提出了用監(jiān)控器用于捕獲TCP/IP分組報(bào)文，第一次直接將網(wǎng)絡(luò)流作為審計(jì)數(shù)據(jù)來(lái)源，</p><p>　　因而可以在不

18、將審計(jì)數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一格式的情況下監(jiān)控異種主機(jī)，網(wǎng)絡(luò)入侵檢測(cè)從此誕生。</p><p>　　時(shí)至今日，IDS的發(fā)展大致經(jīng)歷了3個(gè)階段：第一代IDS包括基于主機(jī)日志分析、模式匹配，這個(gè)階段的IDS基本是試驗(yàn)性的系統(tǒng)。第二代IDS出現(xiàn)在于20世紀(jì)90年代中期，它主要采用網(wǎng)絡(luò)數(shù)據(jù)包截獲，主機(jī)網(wǎng)絡(luò)數(shù)據(jù)分析和審計(jì)數(shù)據(jù)分析等技術(shù)。代表性的產(chǎn)品有早期的ISS Real Secure(V6.0之前)、Snort等。國(guó)內(nèi)的絕大多數(shù)I

19、DS廠家的產(chǎn)品都屬于這一類。第三代IDS是近幾年才出現(xiàn)的，其特點(diǎn)是采用協(xié)議分析、行為分析等技術(shù)。協(xié)議分析技術(shù)的采用極大減小了計(jì)算量，減少了誤報(bào)率；行為異常分析技術(shù)的采用賦予了第三代IDS系統(tǒng)識(shí)別未知攻擊的能力。第三代IDS可以分為基于異常檢測(cè)的IDS和基于誤用(濫用)檢測(cè)的IDS兩大類。異常檢測(cè)IDS是根據(jù)異常行為和計(jì)算機(jī)資源的使用情況來(lái)判斷的，其代表性產(chǎn)品有Network ICE(2001年并入ISS)、Rea1Secure(V7.0

20、)、NFR(v2.0)等。</p><p>　　1.2 入侵檢測(cè)的定義</p><p>　　1980年，James P.Anderson 第一次系統(tǒng)闡述了入侵檢測(cè)的概念，并將入侵行為分為外部滲透，</p><p>　　內(nèi)部滲透和不法行為三種，還提出了利用審計(jì)數(shù)據(jù)監(jiān)視入侵活動(dòng)的思想[1]。即其之后,1986年</p><p>　　Doroth

21、y E.Denning提出實(shí)時(shí)異常檢測(cè)的概念[2]并建立了第一個(gè)實(shí)時(shí)入侵檢測(cè)模型，命名為入侵檢測(cè)專家系統(tǒng)（IDES），1990年，L.T.Heberlein等設(shè)計(jì)出監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)流的入侵檢測(cè)系統(tǒng)，NSM(Network Security Monitor)。自此之后，入侵檢測(cè)系統(tǒng)才真正發(fā)展起來(lái)。Anderson將入侵嘗試或威脅定義為：潛在的、有預(yù)謀的、未經(jīng)授權(quán)的訪問(wèn)信息、操作信息、致使統(tǒng)不可靠或無(wú)法使用的企圖。而入侵檢測(cè)的定義為[4]：發(fā)現(xiàn)

22、非授權(quán)使用計(jì)算機(jī)的個(gè)體（如“黑客”）或計(jì)算機(jī)系統(tǒng)的合法用戶濫用其訪問(wèn)系統(tǒng)的權(quán)利以及企圖實(shí)施上述行為的個(gè)體。執(zhí)行入侵檢測(cè)任務(wù)的程序即是入侵檢測(cè)系統(tǒng)。入侵檢測(cè)系統(tǒng)也可以定義為：檢測(cè)企圖破壞計(jì)算機(jī)資源的完整性，真實(shí)性和可用性的行為的軟件。</p><p>　　入侵檢測(cè)系統(tǒng)執(zhí)行的主要任務(wù)包括[3]：監(jiān)視、分析用戶及系統(tǒng)活動(dòng)；審計(jì)系統(tǒng)構(gòu)造和弱點(diǎn)；識(shí)</p><p>　　別、反映已知進(jìn)攻的活動(dòng)模式，向

23、相關(guān)人士報(bào)警；統(tǒng)計(jì)分析異常行為模式；評(píng)估重要系統(tǒng)和數(shù)據(jù)文</p><p>　　件的完整性；審計(jì)、跟蹤管理操作系統(tǒng)，識(shí)別用戶違反安全策略的行為。入侵檢測(cè)一般分為三個(gè)步</p><p>　　驟：信息收集、數(shù)據(jù)分析、響應(yīng)。 </p><p>　　入侵檢測(cè)的目的：（1）識(shí)別入侵者；（2）識(shí)別入侵行為；（3）檢測(cè)和監(jiān)視以實(shí)施的入侵行為；（4）為對(duì)抗入侵提供信息，阻止入侵的發(fā)生

24、和事態(tài)的擴(kuò)大；</p><p>　　第二章 入侵檢測(cè)的關(guān)鍵技術(shù)</p><p>　　2.1基于行為的入侵檢測(cè)技術(shù)</p><p>　　基于行為的入侵檢測(cè)技術(shù)主要依靠統(tǒng)計(jì)的方法來(lái)實(shí)現(xiàn)對(duì)入侵行為的檢測(cè)。它通過(guò)統(tǒng)計(jì)網(wǎng)絡(luò)的日常</p><p>　　行為建立一個(gè)模型，該模型由各項(xiàng)表示正常行為的統(tǒng)計(jì)數(shù)字組成。例如:在某一段時(shí)間內(nèi)登錄某臺(tái)主</p&g

25、t;<p>　　機(jī)失敗次數(shù)。在很短時(shí)間內(nèi)重復(fù)發(fā)生登錄某臺(tái)主機(jī)口令出錯(cuò)的次數(shù)等。符合這個(gè)模型的網(wǎng)絡(luò)行為即</p><p>　　視為正常，不符合的即視為入侵行為。</p><p>　　這種入侵檢測(cè)檢測(cè)技術(shù)的缺點(diǎn)主要在于模型的建立非常困難。建立模型需要花費(fèi)一定的時(shí)間，而</p><p>　　且該入侵檢測(cè)技術(shù)會(huì)造成誤報(bào)等。為解決誤報(bào)警問(wèn)題，需要根據(jù)網(wǎng)絡(luò)的實(shí)際使

26、用情況對(duì)各種設(shè)定的</p><p>　　統(tǒng)計(jì)值進(jìn)行不斷的調(diào)節(jié)。</p><p>　　基于行為的入侵檢測(cè)技術(shù)的優(yōu)點(diǎn)在干它可以檢測(cè)到當(dāng)前不為人知的入侵攻擊方法。</p><p>　　2．2 基于知識(shí)的入侵檢測(cè)技術(shù)</p><p>　　基于知識(shí)的入侵檢測(cè)技術(shù)主要通過(guò)應(yīng)用已有的知識(shí)對(duì)入侵行為的標(biāo)志進(jìn)行識(shí)別，從而判斷網(wǎng)絡(luò)中是否有入侵行為的發(fā)生川。這些標(biāo)

27、志主要包括:對(duì)一個(gè)敏感主機(jī)的登錄失敗次數(shù)；對(duì)一個(gè)數(shù)據(jù)的一些</p><p>　　標(biāo)志位的設(shè)置是否符合RFC標(biāo)準(zhǔn):以及數(shù)據(jù)包的內(nèi)容是否與某個(gè)已知攻擊方法的特征代碼相符合等。</p><p>　　基于知識(shí)的入侵檢側(cè)技術(shù)具有較高的準(zhǔn)確度，但是它的缺點(diǎn)就是在于對(duì)系統(tǒng)的性能要求高，</p><p>　　而且只能檢測(cè)到目前已知的攻擊方法，對(duì)于未知的攻擊方法沒(méi)有檢測(cè)能力。<

28、/p><p>　　2．3基于其它方法的入侵檢測(cè)技術(shù)</p><p>　　基于其它方法的入侵檢測(cè)技術(shù)主要有:利用專家系統(tǒng)進(jìn)行入侵檢測(cè)，其主要是將有關(guān)的入侵知識(shí)組織成知識(shí)庫(kù)，再利用推理引擎進(jìn)行檢測(cè)。但是這種技術(shù)主要缺點(diǎn)在于知識(shí)的組織困難。利用數(shù)據(jù)挖掘進(jìn)行入侵檢測(cè)，數(shù)據(jù)挖掘是數(shù)據(jù)庫(kù)的一項(xiàng)技術(shù)，它的作用從大型數(shù)據(jù)庫(kù)中抽取知識(shí)，這和分析日志的行為相近。通過(guò)數(shù)據(jù)挖掘程序搜集到審計(jì)數(shù)據(jù)，為各種入侵行為和正常

29、操作建立精確的行為模式。除專家系統(tǒng)、數(shù)據(jù)挖掘技術(shù)之外，還有神經(jīng)網(wǎng)絡(luò)，模糊系統(tǒng)，遺傳算法等。但是這些方法都有一的缺點(diǎn)。</p><p>　　第三章 入侵檢測(cè)系統(tǒng)模型、分類和IDS</p><p>　　3.1 入侵檢測(cè)系統(tǒng)模型</p><p>　　美國(guó)斯坦福國(guó)際研究所（SRI）的D.E.Denning于1986年首次提出一種入侵檢測(cè)模型[2]，該模型的檢測(cè)方法就是建立

30、用戶正常行為的描述模型，并以此同當(dāng)前用戶活動(dòng)的審計(jì)記錄進(jìn)行比較，如果有較大偏差，則表示有異常活動(dòng)發(fā)生。這是一種基于統(tǒng)計(jì)的檢測(cè)方法。隨著技術(shù)的發(fā)展，后來(lái)人們又提出了</p><p>　　于規(guī)則的檢測(cè)方法。結(jié)合這兩種方法的優(yōu)點(diǎn)，人們?cè)O(shè)計(jì)出很多入侵檢測(cè)的模型。通用入侵檢測(cè)構(gòu)架</p><p>　?。–ommon Intrusion Detection Framework簡(jiǎn)稱CIDF）組織，試圖將

31、現(xiàn)有的入侵檢測(cè)系統(tǒng)標(biāo)準(zhǔn)化，CIDF</p><p>　　闡述了一個(gè)入侵檢測(cè)系統(tǒng)的通用模型（一般稱為CIDF模型）。它將一個(gè)入侵檢測(cè)系統(tǒng)分為以下四個(gè)組件：</p><p>　　事件產(chǎn)生器(Event Generators)</p><p>　　事件分析器(Event analyzers)</p><p>　　響應(yīng)單元(Response unit

32、s)</p><p>　　事件數(shù)據(jù)庫(kù)(Event databases)</p><p>　　它將需要分析的數(shù)據(jù)通稱為事件，事件可以是基于網(wǎng)絡(luò)的數(shù)據(jù)包也可以是基于主機(jī)的系統(tǒng)日志中的</p><p>　　信息。事件產(chǎn)生器的目的是從整個(gè)計(jì)算機(jī)環(huán)境中獲得事件，并向系統(tǒng)其它部分提供此事件。事件分析器</p><p>　　分析得到的事件并產(chǎn)生分析結(jié)果。響

33、應(yīng)單元?jiǎng)t是對(duì)分析結(jié)果做出反應(yīng)的功能單元，它可以做出切斷連接、</p><p>　　修改文件屬性等強(qiáng)烈反應(yīng)。事件數(shù)據(jù)庫(kù)是存放各種中間和最終數(shù)據(jù)的地方的通稱，它可以是復(fù)雜的數(shù)據(jù)</p><p>　　庫(kù)也可以是簡(jiǎn)單的文本文件。</p><p>　　3.2 入侵檢測(cè)系統(tǒng)分類</p><p>　　現(xiàn)有的IDS的分類，大都基于信息源和分析方法。為了體現(xiàn)對(duì)

34、IDS從布局、采集、分析、響應(yīng)等</p><p>　　各個(gè)層次及系統(tǒng)性研究方面的問(wèn)題，在這里采用五類標(biāo)準(zhǔn)：控制策略、同步技術(shù)、信息源、分析方法、</p><p><b>　　響應(yīng)方式。</b></p><p><b>　　按照控制策略分類</b></p><p>　　控制策略描述了IDS的各元素是如

35、何控制的，以及IDS的輸入和輸出是如何管理的。按照控</p><p>　　制策略IDS可以劃分為，集中式IDS、部分分布式IDS和全部分布式IDS。在集中式IDS中，一個(gè)中</p><p>　　央節(jié)點(diǎn)控制系統(tǒng)中所有的監(jiān)視、檢測(cè)和報(bào)告。在部分分布式IDS中，監(jiān)控和探測(cè)是由本地的一個(gè)控</p><p>　　制點(diǎn)控制，層次似的將報(bào)告發(fā)向一個(gè)或多個(gè)中心站。在全分布式IDS中

36、，監(jiān)控和探測(cè)是使用一種叫</p><p>　　“代理”的方法，代理進(jìn)行分析并做出響應(yīng)決策。</p><p><b>　　按照同步技術(shù)分類</b></p><p>　　同步技術(shù)是指被監(jiān)控的事件以及對(duì)這些事件的分析在同一時(shí)間進(jìn)行。按照同步技術(shù)劃分，IDS</p><p>　　劃分為間隔批任務(wù)處理型IDS和實(shí)時(shí)連續(xù)性IDS。在

37、間隔批任務(wù)處理型IDS中，信息源是以文件的</p><p>　　形式傳給分析器，一次只處理特定時(shí)間段內(nèi)產(chǎn)生的信息，并在入侵發(fā)生時(shí)將結(jié)果反饋給用戶。很多</p><p>　　早期的基于主機(jī)的IDS都采用這種方案。在實(shí)時(shí)連續(xù)型IDS中，事件一發(fā)生，信息源就傳給分析引</p><p>　　擎，并且立刻得到處理和反映。實(shí)時(shí)IDS是基于網(wǎng)絡(luò)IDS首選的方案。</p>

38、;<p><b>　　按照信息源分類</b></p><p>　　按照信息源分類是目前最通用的劃分方法，它分為基于主機(jī)的IDS、基于網(wǎng)絡(luò)的IDS和分布式IDS。</p><p>　　基于主機(jī)的IDS通過(guò)分析來(lái)自單個(gè)的計(jì)算機(jī)系統(tǒng)的系統(tǒng)審計(jì)蹤跡和系統(tǒng)日志來(lái)檢測(cè)攻擊?；谥鳈C(jī)</p><p>　　的IDS是在關(guān)鍵的網(wǎng)段或交換部位通過(guò)捕獲

39、并分析網(wǎng)絡(luò)數(shù)據(jù)包來(lái)檢測(cè)攻擊。分布式IDS，能夠同時(shí)</p><p>　　分析來(lái)自主機(jī)系統(tǒng)日志和網(wǎng)絡(luò)數(shù)據(jù)流，系統(tǒng)由多個(gè)部件組成，采用分布式結(jié)構(gòu)。</p><p><b>　　按照分析方法分類</b></p><p>　　按照分析方法IDS劃分為濫用檢測(cè)型IDS和異常檢測(cè)型IDS。濫用檢測(cè)型的IDS中，首先</p><p>

40、　　建立一個(gè)對(duì)過(guò)去各種入侵方法和系統(tǒng)缺陷知識(shí)的數(shù)據(jù)庫(kù)，當(dāng)收集到的信息與庫(kù)中的原型相符合</p><p>　　時(shí)則報(bào)警。任何不符合特定條件的活動(dòng)將會(huì)被認(rèn)為合法，因此這樣的系統(tǒng)虛警率很低。異常檢</p><p>　　測(cè)型IDS是建立在如下假設(shè)的基礎(chǔ)之上的，即任何一種入侵行為都能由于其偏離正常或者所期</p><p>　　望的系統(tǒng)和用戶活動(dòng)規(guī)律而被檢測(cè)出來(lái)。所以它需要一個(gè)

41、記錄合法活動(dòng)的數(shù)據(jù)庫(kù)，由于庫(kù)的有</p><p>　　限性使得虛警率比較高。</p><p><b>　　按照響應(yīng)方式分類</b></p><p>　　按照響應(yīng)方式IDS劃分為主動(dòng)響應(yīng)IDS和被動(dòng)響應(yīng)IDS。當(dāng)特定的入侵被檢測(cè)到時(shí)，主動(dòng)</p><p>　　IDS會(huì)采用以下三種響應(yīng)：收集輔助信息；改變環(huán)境以堵住導(dǎo)致入侵發(fā)

42、生的漏洞；對(duì)攻擊</p><p>　　者采取行動(dòng)（這是一種不被推薦的做法，因?yàn)樾袨橛悬c(diǎn)過(guò)激）。被動(dòng)響應(yīng)IDS則是將信息提供給</p><p>　　系統(tǒng)用戶，依靠管理員在這一信息的基礎(chǔ)上采取進(jìn)一步的行動(dòng)。</p><p><b>　　3.3 IDS</b></p><p>　　3.3.1 IDS的評(píng)價(jià)標(biāo)準(zhǔn)</p&g

43、t;<p>　　目前的入侵檢測(cè)技術(shù)發(fā)展迅速，應(yīng)用的技術(shù)也很廣泛，如何來(lái)評(píng)價(jià)IDS的優(yōu)缺點(diǎn)就顯得非常重</p><p>　　要。評(píng)價(jià)IDS的優(yōu)劣主要有這樣幾個(gè)方面[5]：（1）準(zhǔn)確性。準(zhǔn)確性是指IDS不會(huì)標(biāo)記環(huán)境中的一個(gè)</p><p>　　合法行為為異常或入侵。（2）性能。IDS的性能是指處理審計(jì)事件的速度。對(duì)一個(gè)實(shí)時(shí)IDS來(lái)說(shuō)，</p><p>　　

44、必須要求性能良好。（3）完整性。完整性是指IDS能檢測(cè)出所有的攻擊。（4）故障容錯(cuò)（fault </p><p>　　tolerance）。當(dāng)被保護(hù)系統(tǒng)遭到攻擊和毀壞時(shí)，能迅速恢復(fù)系統(tǒng)原有的數(shù)據(jù)和功能。（5）自身抵抗</p><p>　　攻擊能力。這一點(diǎn)很重要，尤其是“拒絕服務(wù)”攻擊。因?yàn)槎鄶?shù)對(duì)目標(biāo)系統(tǒng)的攻擊都是采用首先用</p><p>　　“拒絕服務(wù)”攻擊摧毀I

45、DS，再實(shí)施對(duì)系統(tǒng)的攻擊。（6）及時(shí)性（Timeliness）。一個(gè)IDS必須盡快</p><p>　　地執(zhí)行和傳送它的分析結(jié)果，以便在系統(tǒng)造成嚴(yán)重危害之前能及時(shí)做出反應(yīng)，阻止攻擊者破壞審計(jì)</p><p><b>　　數(shù)據(jù)或IDS本身。</b></p><p>　　除了上述幾個(gè)主要方面，還應(yīng)該考慮以下幾個(gè)方面：（1）IDS運(yùn)行時(shí)，額外的計(jì)算機(jī)

46、資源的開(kāi)銷；（2）</p><p>　　誤警報(bào)率／漏警報(bào)率的程度；（3）適應(yīng)性和擴(kuò)展性；（4）靈活性；（5）管理的開(kāi)銷；（6）是否便于</p><p><b>　　使用和配置。</b></p><p>　　3.3.2 IDS的發(fā)展趨勢(shì)</p><p>　　隨著入侵檢測(cè)技術(shù)的發(fā)展，成型的產(chǎn)品已陸續(xù)應(yīng)用到實(shí)踐中。入侵檢測(cè)系統(tǒng)

47、的典型代表是（國(guó)</p><p>　　際互聯(lián)網(wǎng)安全系統(tǒng)公司）公司的RealSecure。目前較為著名的商用入侵檢測(cè)產(chǎn)品還有：NAI公</p><p>　　司的CyberCop Monitor、Axent公司的NetProwler、CISCO公司的Netranger、CA公司</p><p>　　Sessionwall－3等。國(guó)內(nèi)的該類產(chǎn)品較少，但發(fā)展很快，已有總參北

48、方所、中科網(wǎng)威、啟明星</p><p><b>　　辰等公司推出產(chǎn)品。</b></p><p>　　人們?cè)谕晟圃屑夹g(shù)的基礎(chǔ)上，又在研究新的檢測(cè)方法，如數(shù)據(jù)融合技術(shù)，主動(dòng)的自主代</p><p>　　理方法，智能技術(shù)以及免疫學(xué)原理的應(yīng)用等。其主要的發(fā)展方向可概括為：</p><p>　　大規(guī)模分布式入侵檢測(cè)。傳統(tǒng)的入侵檢

49、測(cè)技術(shù)一般只局限于單一的主機(jī)或網(wǎng)絡(luò)框架，</p><p>　　顯然不能適應(yīng)大規(guī)模網(wǎng)絡(luò)的監(jiān)測(cè)，不同的入侵檢測(cè)系統(tǒng)之間也不能協(xié)同工作。因此，必須發(fā)展</p><p>　　大規(guī)模的分布式入侵檢測(cè)技術(shù)。</p><p>　　寬帶高速網(wǎng)絡(luò)的實(shí)時(shí)入侵檢測(cè)技術(shù)。大量高速網(wǎng)絡(luò)的不斷涌現(xiàn)，各種寬帶接入手段層</p><p>　　出不窮，如何實(shí)現(xiàn)高速網(wǎng)絡(luò)下的實(shí)時(shí)

50、入侵檢測(cè)成為一個(gè)現(xiàn)實(shí)的問(wèn)題。</p><p>　?。?）入侵檢測(cè)的數(shù)據(jù)融合技術(shù)。目前的IDS還存在著很多缺陷。首先，目前的技術(shù)還不能對(duì)</p><p>　　付訓(xùn)練有素的黑客的復(fù)雜的攻擊。其次，系統(tǒng)的虛警率太高。最后，系統(tǒng)對(duì)大量的數(shù)據(jù)處理，</p><p>　　非但無(wú)助于解決問(wèn)題，還降低了處理能力。數(shù)據(jù)融合技術(shù)是解決這一系列問(wèn)題的好方法。</p><

51、;p>　　（4）與網(wǎng)絡(luò)安全技術(shù)相結(jié)合。結(jié)合防火墻，病毒防護(hù)以及電子商務(wù)技術(shù)，提供完整的網(wǎng)絡(luò)安</p><p><b>　　全保障。</b></p><p>　?、偃绻x中的是位于導(dǎo)航結(jié)構(gòu)最底層的網(wǎng)頁(yè)（在其下沒(méi)有子網(wǎng)頁(yè)），將彈出“刪除網(wǎng)</p><p>　　頁(yè)”對(duì)話框，若只需從導(dǎo)航結(jié)構(gòu)中刪除網(wǎng)頁(yè)，可選擇“將本網(wǎng)頁(yè)從導(dǎo)航結(jié)構(gòu)中刪除”單選項(xiàng)，&

52、lt;/p><p>　　并單擊“確定”按鈕。</p><p>　?、?如果選擇的是導(dǎo)航結(jié)構(gòu)中的中層網(wǎng)頁(yè)（其中包含子網(wǎng)頁(yè)，其本身是另一個(gè)網(wǎng)頁(yè)的子網(wǎng)頁(yè)），</p><p>　　將彈出“刪除網(wǎng)頁(yè)”對(duì)話框。單擊“確定”按鈕。</p><p>　　選擇的是當(dāng)前站點(diǎn)的主頁(yè)，則會(huì)彈出“刪除網(wǎng)頁(yè)”對(duì)話框。其中只有一個(gè)選項(xiàng)，單擊“確定”</p>&l

53、t;p><b>　　按鈕即可。</b></p><p><b>　　第四章 防御技術(shù)</b></p><p>　　4.1 防火墻技術(shù)</p><p>　　所謂防火墻(firewall)是建立在內(nèi)外網(wǎng)絡(luò)邊界上的過(guò)濾封鎖機(jī)制，它認(rèn)為內(nèi)部網(wǎng)絡(luò)是安全和可</p><p>　　信賴的，而外部網(wǎng)絡(luò)被認(rèn)

54、為是不安全和不可信賴的。防火墻的作用是防止未經(jīng)授權(quán)地訪問(wèn)被保護(hù)的內(nèi)部</p><p>　　網(wǎng)絡(luò)，通過(guò)邊界控制強(qiáng)化內(nèi)部網(wǎng)絡(luò)的安全策略。它的實(shí)現(xiàn)有多種形式，但原理很簡(jiǎn)單，可以把它想象為</p><p>　　一對(duì)開(kāi)關(guān)，其中一個(gè)用來(lái)阻止傳輸，另一個(gè)用來(lái)允許傳輸。防火墻作為網(wǎng)絡(luò)安全體系的基礎(chǔ)和核心控制</p><p>　　設(shè)備，它貫穿于受控網(wǎng)絡(luò)通信主干線，對(duì)通過(guò)受控干線的任何

55、通信行為進(jìn)行安全處理，如控制、審計(jì)、</p><p>　　報(bào)警、反應(yīng)等，同時(shí)也承擔(dān)著繁重的通信任務(wù)。由于其自身處于網(wǎng)絡(luò)系統(tǒng)中的敏感位置，自身還要面對(duì)</p><p>　　各種安全威脅，因此選用一個(gè)安全、穩(wěn)定和可靠的防火墻產(chǎn)品，其重要性不言而喻。</p><p>　　在網(wǎng)絡(luò)層，防火墻被用來(lái)處理信息在內(nèi)外網(wǎng)絡(luò)邊界的流動(dòng)，它可以確定來(lái)自哪些地址的信息可</p>

56、<p>　　以通過(guò)或者禁止哪些目的地址的主機(jī)。在傳輸層，這個(gè)連接可以被端到端的加密，也就是進(jìn)程到進(jìn)程的</p><p>　　加密。在應(yīng)用層，它可以進(jìn)行用戶級(jí)的身份認(rèn)證、日志記錄和賬號(hào)管理。因此防火墻技術(shù)簡(jiǎn)單說(shuō)就是一</p><p>　　套身份認(rèn)證、加密、數(shù)字簽名和內(nèi)容檢查集成一體的安全防范措施，所有來(lái)自Internet的傳輸信息和</p><p>　　

57、內(nèi)部網(wǎng)絡(luò)發(fā)出的傳輸信息都要過(guò)防火墻，由防火墻進(jìn)行分析，以確保它們符合站點(diǎn)設(shè)定的安全策略，以</p><p>　　提供一種內(nèi)部節(jié)點(diǎn)或網(wǎng)絡(luò)與Internet的安全屏障。</p><p>　　4.2 防火墻的分類</p><p>　　防火墻技術(shù)經(jīng)歷了包過(guò)濾、應(yīng)用代理網(wǎng)關(guān)和狀態(tài)檢測(cè)3個(gè)發(fā)展階段。包過(guò)濾型的防火墻通常直</p><p>　　接轉(zhuǎn)發(fā)報(bào)文，

58、它對(duì)用戶完全透明，速度較快；應(yīng)用代理網(wǎng)關(guān)防火墻是通過(guò)服務(wù)器建立連接的，可以有更</p><p>　　強(qiáng)的身份驗(yàn)證和注冊(cè)功能；狀態(tài)檢測(cè)防火墻是在其核心部分建立狀態(tài)連接表，并將進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)當(dāng)成</p><p>　　一個(gè)個(gè)會(huì)話，利用狀態(tài)表跟蹤每一個(gè)會(huì)話狀態(tài)。狀態(tài)監(jiān)測(cè)對(duì)每一個(gè)包的檢查不僅根據(jù)規(guī)則表，更考慮了</p><p>　　數(shù)據(jù)包是否符合會(huì)話所處的狀態(tài)，因此提供了完整

59、的對(duì)傳輸層的控制能力。</p><p>　　(1)包過(guò)濾型防火墻</p><p>　　包過(guò)濾防火墻一般有一個(gè)包檢查塊(通常稱為包過(guò)濾器)，數(shù)據(jù)包過(guò)濾可以根據(jù)數(shù)據(jù)包頭中的各</p><p>　　項(xiàng)信息來(lái)控制站點(diǎn)與站點(diǎn)、站點(diǎn)與網(wǎng)絡(luò)、網(wǎng)絡(luò)與網(wǎng)絡(luò)之間的相互訪問(wèn)，但無(wú)法控制傳輸數(shù)據(jù)的內(nèi)容，因</p><p>　　為內(nèi)容是應(yīng)用層數(shù)據(jù)，而包過(guò)濾器處在網(wǎng)絡(luò)層

60、和數(shù)據(jù)鏈路層（即TCP和IP層)之間。通過(guò)檢查模塊，防</p><p>　　火墻能夠攔截和檢查所有出站和進(jìn)站的數(shù)據(jù)，它首先打開(kāi)包，取出包頭，根據(jù)包頭的信息確定該包是否</p><p>　　符合包過(guò)濾規(guī)則，并進(jìn)行記錄。對(duì)于不符合規(guī)則的包，應(yīng)進(jìn)行報(bào)警并丟棄該包。</p><p>　　包過(guò)濾防火墻工作在網(wǎng)絡(luò)層，對(duì)數(shù)據(jù)包的源及目地IP具有識(shí)別和控制作用，對(duì)于傳輸層，也只&l

61、t;/p><p>　　能識(shí)別數(shù)據(jù)包是TCP還是UDP及所用的端口信息。由于只對(duì)數(shù)據(jù)包的IP地址、TCP／UDP協(xié)議和端口進(jìn)</p><p>　　行分析，如果一條規(guī)則阻止包傳輸或接收，則此包便不被允許通過(guò)，否則該包可以被繼續(xù)處理。包過(guò)濾、</p><p>　　防火墻的處理速度較快，并且易于配置。</p><p>　　包過(guò)濾防火墻的優(yōu)點(diǎn)：防火墻對(duì)每條

62、傳人和傳出網(wǎng)絡(luò)的包實(shí)行低水平控制；每個(gè)IP包的字段都</p><p>　　被檢查，例如源地址、目的地址、協(xié)議、端口等；防火墻可以識(shí)別和丟棄帶欺騙性源IP地址的包；包</p><p>　　過(guò)濾防火墻是兩個(gè)網(wǎng)絡(luò)之間訪問(wèn)的惟一通道；包過(guò)濾通常被包含在路由器數(shù)據(jù)包中，所以不必用額外的</p><p>　　系統(tǒng)來(lái)處理這個(gè)特征。</p><p>　　包過(guò)

63、濾防火墻缺點(diǎn)：不能防范黑客攻擊，因?yàn)榫W(wǎng)管不可能區(qū)分出可信網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)的界限；</p><p>　　不支持應(yīng)用層協(xié)議，因?yàn)樗徽J(rèn)識(shí)數(shù)據(jù)包中的應(yīng)用層協(xié)議；訪問(wèn)控制粒度太粗糙，不能處理新的安全威</p><p><b>　　脅。</b></p><p>　　(2)應(yīng)用代理網(wǎng)關(guān)防火墻</p><p>　　應(yīng)用代理網(wǎng)關(guān)防火墻徹

64、底隔斷內(nèi)網(wǎng)與外網(wǎng)的直接通信，內(nèi)網(wǎng)用戶對(duì)外網(wǎng)的訪問(wèn)變成防火墻對(duì)外</p><p>　　網(wǎng)的訪問(wèn)，然后再由防火墻轉(zhuǎn)發(fā)給內(nèi)網(wǎng)用戶。所有通信都必須經(jīng)應(yīng)用層代理軟件轉(zhuǎn)發(fā)，訪問(wèn)者任何時(shí)候</p><p>　　都不能與服務(wù)器建立直接的TCP連接，應(yīng)用層的協(xié)議會(huì)話過(guò)程必須符合代理的安全策略要求。</p><p>　　應(yīng)用代理網(wǎng)關(guān)的優(yōu)點(diǎn)是可以檢查應(yīng)用層、傳輸層和網(wǎng)絡(luò)層的協(xié)議特征，對(duì)數(shù)

65、據(jù)包的檢測(cè)能力</p><p><b>　　較強(qiáng)。其缺點(diǎn)：</b></p><p>　　①難于配置。由于每個(gè)應(yīng)用都要求單獨(dú)的代理進(jìn)程，這就要求網(wǎng)管能理解每項(xiàng)應(yīng)用協(xié)議的弱點(diǎn)，</p><p>　　并能合理地配置安全策略，由于配置煩瑣，難于理解，容易出現(xiàn)配置失誤，最終影響內(nèi)網(wǎng)的安</p><p><b>　　全防范

66、能力。</b></p><p>　?、谔幚硭俣确浅Ｂ嗟羲械倪B接，由防火墻重新建立連接，理論上可以使應(yīng)用代理防火墻</p><p>　　具有極高的安全性，但是實(shí)際應(yīng)用中并不可行，因?yàn)閷?duì)于內(nèi)網(wǎng)的每個(gè)Web訪問(wèn)請(qǐng)求，應(yīng)用代理都需要開(kāi)</p><p>　　一個(gè)單獨(dú)的代理進(jìn)程，它要保護(hù)內(nèi)網(wǎng)的Web服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、文件服務(wù)器、郵件服務(wù)器及業(yè)務(wù)程</

67、p><p>　　序等，就需要建立一個(gè)個(gè)服務(wù)代理，以處理客戶端的訪問(wèn)請(qǐng)求。這樣，應(yīng)用代理的處理延遲會(huì)很大，內(nèi)</p><p>　　網(wǎng)用戶的正常Web訪問(wèn)不能及時(shí)得到響應(yīng)。</p><p>　　總之，應(yīng)用代理防火墻不能支持大規(guī)模的并發(fā)連接，對(duì)速度要求高的行業(yè)不能使用這類防火墻。</p><p>　　另外，防火墻核心要求預(yù)先內(nèi)置一些已知應(yīng)用程序的代理，

68、使得一些新出現(xiàn)的應(yīng)用在代理防火墻內(nèi)被無(wú)</p><p>　　情地阻斷，不能很好地支持新應(yīng)用。</p><p>　　(3)狀態(tài)檢測(cè)技術(shù)防火墻</p><p>　　狀態(tài)檢測(cè)技術(shù)防火墻結(jié)合了代理防火墻的安全性和包過(guò)濾防火墻的高速度等優(yōu)點(diǎn)，在不損失安</p><p>　　全性的基礎(chǔ)上將代理防火墻的性能提高。</p><p>　

69、　Internet上使用的是TCP／IP協(xié)議，TCP協(xié)議的每個(gè)可靠連接均需要經(jīng)過(guò)“客戶端同步請(qǐng)求”、</p><p>　　“服務(wù)器應(yīng)答”、“客戶端再應(yīng)答”3次握手。例如最常用到的Web瀏覽、文件下載、收發(fā)郵件等都要經(jīng)</p><p>　　過(guò)這3次握手。這反映出數(shù)據(jù)包并不是獨(dú)立的，而是前后之間有著密切的狀態(tài)聯(lián)系，基于這種狀態(tài)變化，</p><p>　　引出了狀態(tài)檢測(cè)技

70、術(shù)。</p><p>　　狀態(tài)檢測(cè)防火墻摒棄了包過(guò)濾防火墻僅考查數(shù)據(jù)包的IP地址等幾個(gè)參數(shù)，而不關(guān)心數(shù)據(jù)包連接</p><p>　　狀態(tài)變化的缺點(diǎn)，在防火墻的核心部分建立狀態(tài)連接表，并將進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)當(dāng)成一個(gè)個(gè)會(huì)話，利用狀</p><p>　　態(tài)表跟蹤每一個(gè)會(huì)話狀態(tài)。狀態(tài)監(jiān)測(cè)對(duì)每一個(gè)包的檢查不僅根據(jù)規(guī)則表，更考慮了數(shù)據(jù)包是否符合會(huì)話</p><p

71、>　　所處的狀態(tài)，因此提供了完整的對(duì)傳輸層的控制能力。狀態(tài)檢測(cè)防火墻在提高安全防范能力的同時(shí)也改</p><p>　　進(jìn)了流量處理速度，采用了一系列優(yōu)化技術(shù)，使防火墻性能大幅度提升，能應(yīng)用在各類網(wǎng)絡(luò)環(huán)境中，尤</p><p>　　其是一些規(guī)則復(fù)雜的大型網(wǎng)絡(luò)。</p><p>　　4.3 典型防火墻的體系結(jié)構(gòu)</p><p>　　一個(gè)防

72、火墻系統(tǒng)通常是由過(guò)濾路由器和代理服務(wù)器組成。過(guò)濾路由器是一個(gè)多端口的IP路由器，</p><p>　　它能夠攔截和檢查所有出站和進(jìn)站的數(shù)據(jù)，它首先打開(kāi)IP包，取出包頭，根據(jù)包頭的信息(如IP源地</p><p>　　址，IP目標(biāo)地址)確定該包是否符合包過(guò)濾規(guī)則(如對(duì)包頭進(jìn)行語(yǔ)法分析，阻止或允許包傳輸或接收)，</p><p>　　并進(jìn)行記錄。代理服務(wù)防火墻使用了與包

73、過(guò)濾器不同的方法。代理服務(wù)器使用一個(gè)客戶程序與特定的中</p><p>　　間節(jié)點(diǎn)(防火墻)連接，然后中間節(jié)點(diǎn)與期望的服務(wù)器進(jìn)行實(shí)際連接。與包過(guò)濾器所不同的是，使用這種</p><p>　　類型的防火墻，內(nèi)部與外部網(wǎng)絡(luò)之間不存在直接連接，因此，即使防火墻發(fā)生了問(wèn)題，外部網(wǎng)絡(luò)也無(wú)法</p><p>　　獲得與被保護(hù)的網(wǎng)絡(luò)的連接。代理提供了詳細(xì)的注冊(cè)及審計(jì)功能，這大大提

74、高了網(wǎng)絡(luò)的安全性，也為改</p><p>　　進(jìn)現(xiàn)有軟件的安全性能提供了可能。它是基于特定協(xié)議的，如FTP、HTTP等，為了通過(guò)代理支持一個(gè)新</p><p>　　的協(xié)議，必須改進(jìn)代理服務(wù)器以適應(yīng)新協(xié)議。典型防火墻的體系結(jié)構(gòu)包括過(guò)濾路由器、雙宿主主機(jī)、被</p><p>　　屏蔽主機(jī)、被屏蔽子網(wǎng)等類型。</p><p><b>　　

75、(1)包過(guò)濾路由器</b></p><p>　　包過(guò)濾路由器又稱屏蔽路由器，是最簡(jiǎn)單也是最常用的防火墻。它一般作用在網(wǎng)絡(luò)層，對(duì)進(jìn)出</p><p>　　內(nèi)部網(wǎng)絡(luò)的所有信息進(jìn)行分析，并按照一定的安全策略(過(guò)濾規(guī)則)對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的信息進(jìn)行限制。包</p><p>　　過(guò)濾的核心就是安全策略即包過(guò)濾算法的設(shè)計(jì)。包過(guò)濾型防火墻往往可用一臺(tái)過(guò)濾路由器來(lái)實(shí)現(xiàn)，對(duì)所

76、</p><p>　　接收的每個(gè)數(shù)據(jù)包做出允許或拒絕的決定，如圖所示。</p><p>　　采用包過(guò)濾路由器的防火墻優(yōu)點(diǎn)在于速度快、實(shí)現(xiàn)方便；缺點(diǎn)是安全性能差、兼容性差(不同操</p><p>　　作系統(tǒng)環(huán)境下。TCP和LIDP端口號(hào)所代表的應(yīng)用服務(wù)協(xié)議類型有所不同)、沒(méi)有或只有較少的日志記錄</p><p><b>　　能力。&l

77、t;/b></p><p><b>　　（2)雙宿主主機(jī)</b></p><p>　　雙宿主主機(jī)結(jié)構(gòu)是圍繞著至少具有兩個(gè)網(wǎng)絡(luò)接口的雙宿主主機(jī)(又稱堡壘主機(jī))構(gòu)成的，每一個(gè)</p><p>　　接口都連接在物理和邏輯上分離的不同的網(wǎng)段，代理服務(wù)器軟件在雙宿主主機(jī)上運(yùn)行，如圖所示。雙宿</p><p>　　主主機(jī)內(nèi)外的

78、網(wǎng)絡(luò)均可與雙宿主主機(jī)實(shí)施通信，但內(nèi)外網(wǎng)絡(luò)之間不可直接通信，內(nèi)外網(wǎng)絡(luò)之間的1P數(shù)</p><p>　　據(jù)流被雙宿主主機(jī)完全切斷。結(jié)構(gòu)上采用主機(jī)取代路由器執(zhí)行安全控制功能，受保護(hù)網(wǎng)除了看到堡壘主</p><p>　　機(jī)外，不能看到其他任何系統(tǒng)。同時(shí)堡壘主機(jī)不轉(zhuǎn)發(fā)TCP／IP通信報(bào)文，網(wǎng)絡(luò)中的所有服務(wù)都必須由此</p><p>　　主機(jī)的相應(yīng)代理程序來(lái)支持。</p&

79、gt;<p>　　雙宿主主機(jī)防火墻的優(yōu)勢(shì)是：堡壘主機(jī)運(yùn)行的系統(tǒng)軟件可用于維護(hù)系統(tǒng)日志、硬件復(fù)制日志、</p><p>　　遠(yuǎn)程日志等，有利于網(wǎng)絡(luò)管理員的El后檢查；其缺點(diǎn)是：由于隔開(kāi)內(nèi)部網(wǎng)和外部因特網(wǎng)之間只有一道</p><p>　　屏障，若入侵者得到了雙宿主主機(jī)的訪問(wèn)權(quán)，內(nèi)部網(wǎng)絡(luò)就會(huì)被入侵，所以為了保證內(nèi)部網(wǎng)的安全，雙宿</p><p>　　主主機(jī)首

80、先要禁止網(wǎng)絡(luò)層的路由功能，還應(yīng)具有強(qiáng)大的身份認(rèn)證系統(tǒng)，盡量減少防火墻上用戶的賬戶數(shù)</p><p><b>　　目。</b></p><p><b>　?。?）屏蔽主機(jī)網(wǎng)關(guān)</b></p><p>　　屏蔽主機(jī)網(wǎng)關(guān)防火墻是由過(guò)濾路由器和應(yīng)用網(wǎng)關(guān)組成。過(guò)濾路由器的作用是進(jìn)行包過(guò)濾；應(yīng)用</p><p>

81、;　　網(wǎng)關(guān)的作用是代理服務(wù)，即在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間建立兩道安全屏障。屏蔽主機(jī)網(wǎng)關(guān)防火墻的結(jié)構(gòu)</p><p><b>　　如圖所示。</b></p><p>　　對(duì)于這種防火墻系統(tǒng)，堡壘主機(jī)配置在內(nèi)部網(wǎng)絡(luò)上，而包過(guò)濾路由器則放置在內(nèi)部網(wǎng)絡(luò)和</p><p>　　Internet之間。在路由器上進(jìn)行規(guī)則配置，使得外部系統(tǒng)只能訪問(wèn)堡壘主機(jī)，去往

82、內(nèi)部系統(tǒng)上其他主機(jī)</p><p>　　的信息全部被阻塞。由于內(nèi)部主機(jī)與堡壘主機(jī)處于同一個(gè)網(wǎng)絡(luò)，內(nèi)部系統(tǒng)是允許直接訪問(wèn)Internet，還</p><p>　　是要求使用堡壘主機(jī)上的代理服務(wù)來(lái)訪問(wèn)Internet由機(jī)構(gòu)的安全策略來(lái)決定。對(duì)路由器的過(guò)濾規(guī)則進(jìn)</p><p>　　行配置，可以使其只接受來(lái)自堡壘主機(jī)的內(nèi)部數(shù)據(jù)包，就可以強(qiáng)制內(nèi)部用戶使用代理服務(wù)。</

83、p><p>　　屏蔽主機(jī)網(wǎng)關(guān)防火墻的優(yōu)點(diǎn)是安全等級(jí)較高，可以提供公開(kāi)的信息服務(wù)的服務(wù)器。如web，F(xiàn)TP</p><p>　　等，可以放置在由包過(guò)濾路由器和堡壘主機(jī)共用的網(wǎng)段上。如果要求有特別高的安全特性可以讓堡壘</p><p>　　主機(jī)運(yùn)行代理服務(wù)，使得內(nèi)部和外部用戶在與信息服務(wù)器通信之前，必須先訪問(wèn)堡壘主機(jī)。如果較低的</p><p>　　

84、安全等級(jí)已經(jīng)足夠，則將路由器配置讓外部用戶直接去訪問(wèn)公共的信息服務(wù)器。缺點(diǎn)是配置工作復(fù)雜。</p><p>　　過(guò)濾路由器是否正確配置是這種防火墻安全與否的關(guān)鍵，過(guò)濾路由器的路由表應(yīng)當(dāng)受到嚴(yán)格的保護(hù)，如</p><p>　　果遭到破壞，則數(shù)據(jù)包就不會(huì)被路由到堡壘主機(jī)上。</p><p><b>　　（4）被屏蔽子網(wǎng)</b></p>

85、<p>　　被屏蔽子網(wǎng)防火墻系統(tǒng)是由兩個(gè)包過(guò)濾路由器和一個(gè)應(yīng)用網(wǎng)關(guān)(堡壘主機(jī))組成。包過(guò)濾路由器</p><p>　　分別位于周邊網(wǎng)與內(nèi)部網(wǎng)、周邊網(wǎng)與外部網(wǎng)之間，而應(yīng)用網(wǎng)關(guān)居于兩個(gè)包過(guò)濾路由器的中間，形成了一</p><p>　　個(gè)“非軍事區(qū)”(DMZ)，建立了一個(gè)極安全的防火墻系統(tǒng)。如圖所示。</p><p>　　對(duì)于進(jìn)來(lái)的信息，外面的這個(gè)路由器用于防

86、范通常的外部攻擊(如源地址欺騙和源路由攻擊)，</p><p>　　并管理Internet到DMZ網(wǎng)絡(luò)的訪問(wèn)，它只允許外部系統(tǒng)訪問(wèn)堡壘主機(jī)(還可能有信息服務(wù)器)；里面的</p><p>　　這個(gè)路由器提供第二層防御，只接受源于堡壘主機(jī)的數(shù)據(jù)包，負(fù)責(zé)管理DMZ到內(nèi)部網(wǎng)絡(luò)的訪問(wèn)，對(duì)于去</p><p>　　往Internet的數(shù)據(jù)包，里面的路由器管理內(nèi)部網(wǎng)絡(luò)到DMZ網(wǎng)絡(luò)

87、的訪問(wèn)，它允許內(nèi)部系統(tǒng)只訪問(wèn)堡壘主</p><p>　　機(jī)(還可能有信息服務(wù)器)；外面的路由器上的過(guò)濾規(guī)則要求使用代理服務(wù)(只接受來(lái)自堡壘主機(jī)的去往</p><p>　　Internet的數(shù)據(jù)包)。</p><p>　　被屏蔽子網(wǎng)防火墻系統(tǒng)具有下列優(yōu)點(diǎn)：</p><p>　　1．入侵者必須突破3個(gè)不同的設(shè)備(外部路由器、堡壘主機(jī)、內(nèi)部路由器)

88、才能侵著內(nèi)部網(wǎng)絡(luò)。</p><p>　　2．由于外部路由器只能向Internet通告DMZ網(wǎng)絡(luò)的存在，Internet上的系統(tǒng)不需要有路由器</p><p>　　與內(nèi)部網(wǎng)絡(luò)相對(duì)。這樣網(wǎng)絡(luò)管理員就可以保證內(nèi)部網(wǎng)絡(luò)是“不可見(jiàn)”的，并且只有在DMZ網(wǎng)絡(luò)上選定的</p><p>　　系統(tǒng)才對(duì)Internet開(kāi)放。</p><p>　　3．由于內(nèi)部路由

89、器只向內(nèi)部網(wǎng)絡(luò)通告DMZ網(wǎng)絡(luò)的存在，內(nèi)部網(wǎng)絡(luò)上的系統(tǒng)不能直接通往</p><p>　　Internet，這樣就保證了內(nèi)部網(wǎng)絡(luò)上的用戶必須通過(guò)駐留在堡壘主機(jī)上的代理服務(wù)才能訪問(wèn)Internet。</p><p>　　4．包過(guò)濾路由器直接將數(shù)據(jù)引向DMZ網(wǎng)絡(luò)上所指定的系統(tǒng)，消除了堡壘主機(jī)雙宿的必要。</p><p>　　5．內(nèi)部路由器在作為內(nèi)部網(wǎng)絡(luò)和Internet之間

90、最后的防火墻系統(tǒng)時(shí)，能夠支持比雙宿堡壘主</p><p>　　機(jī)更大的數(shù)據(jù)包吞吐量。</p><p>　　6．由于DMZ網(wǎng)絡(luò)是一個(gè)與內(nèi)部網(wǎng)絡(luò)不同的網(wǎng)絡(luò)，NAT(網(wǎng)絡(luò)地址變換)軟件可以安裝在堡壘主機(jī)</p><p>　　上，從而避免在內(nèi)部網(wǎng)絡(luò)上重新編址或重新劃分子</p><p><b>　　結(jié) 束 語(yǔ)</b><

91、/p><p>　　經(jīng)過(guò)指導(dǎo)老師的悉心指導(dǎo)和幾個(gè)月的加班加點(diǎn)，同時(shí)翻閱了大量的資料(包括網(wǎng)上資料),終于完成了</p><p>　　網(wǎng)站設(shè)計(jì)。通過(guò)對(duì)以上本文對(duì)入侵檢測(cè)技術(shù)的綜述，可以看出網(wǎng)絡(luò)入侵防御技術(shù)目前的主流和它未來(lái)的</p><p>　　發(fā)展趨勢(shì)。目前的各項(xiàng)安全技術(shù)都存在一些缺點(diǎn)，之所以會(huì)存在這樣的情況，除了網(wǎng)絡(luò)的結(jié)構(gòu)，協(xié)議和</p><p>

92、;　　應(yīng)用非常復(fù)雜之外，各項(xiàng)安全技術(shù)沒(méi)有實(shí)現(xiàn)信息共享，從而造成各項(xiàng)技術(shù)在分析入侵行為以及預(yù)防和阻</p><p>　　止入侵行為時(shí)缺乏充分的信息支持。正如在Sourcefire文中所說(shuō)，提高IDS/IPS檢測(cè)能力的唯一可行</p><p>　　途徑是提供給它們更多的信息。時(shí)間線概念的提出，從宏觀角度分析了各項(xiàng)安全技術(shù)對(duì)于入侵時(shí)間的作</p><p>　　用范圍。So

93、urcefire文中提出了基于時(shí)間線對(duì)各項(xiàng)安全技術(shù)進(jìn)行整合，使得它們可以共享彼此的信息，</p><p>　　從而提高整個(gè)安全系統(tǒng)的性能?？梢?jiàn)對(duì)各項(xiàng)安全技術(shù)的整合，實(shí)現(xiàn)它們之間共享彼此信息將是下一代安</p><p>　　全系統(tǒng)和安全技術(shù)的發(fā)展主流方向。本人覺(jué)得，這次畢業(yè)設(shè)計(jì)的工作量與一般院校畢業(yè)設(shè)計(jì)是相當(dāng)?shù)摹?lt;/p><p>　　這次的設(shè)計(jì)也使我在網(wǎng)絡(luò)方面有了長(zhǎng)足

94、的進(jìn)步，對(duì)網(wǎng)絡(luò)系統(tǒng)安全有了比較深刻的認(rèn)識(shí)。</p><p><b>　　致 謝 信</b></p><p>　　歲月如歌，光陰似箭，回首求學(xué)歷程，對(duì)那些引導(dǎo)我、幫助我、激勵(lì)我的人，我心中充滿了感</p><p>　　激。在論文完成過(guò)程之中，除了我自己一年多來(lái)的潛心學(xué)習(xí)和研究之外，也凝聚了很多人的心血。</p><p>

95、;　　所以在這里，我要對(duì)幫助我完成論文的所有人表示感謝。</p><p>　　本論文是在***老師的悉心指導(dǎo)下完成的。導(dǎo)師淵博的專業(yè)知識(shí)，嚴(yán)謹(jǐn)?shù)闹螌W(xué)態(tài)度，精益求</p><p>　　精的工作作風(fēng)，誨人不倦的高尚師德，嚴(yán)以律己、寬以待人的崇高風(fēng)范，樸實(shí)無(wú)華、平易近人的人</p><p>　　格魅力對(duì)我影響深遠(yuǎn)。不僅使我樹立了遠(yuǎn)大的學(xué)術(shù)目標(biāo)、掌握了基本的研究方法，還使我

96、明白了許</p><p>　　多待人接物與為人處世的道理。本論文從選題到完成，每一步都是在導(dǎo)師的指導(dǎo)下完成的，傾注了</p><p>　　導(dǎo)師大量的心血。在此，謹(jǐn)向?qū)煴硎境绺叩木匆夂椭孕牡母兄x！</p><p>　　感謝我親愛(ài)的舍友們?nèi)陙?lái)對(duì)我無(wú)私的關(guān)心照顧以及幫助，再次深深鞠躬，謝謝你們。感謝三</p><p>　　年來(lái)老師們對(duì)我悉心教導(dǎo)

97、，尤其感謝我的導(dǎo)員對(duì)我三年來(lái)的支持與幫助，教會(huì)我</p><p><b>　　參 考 文 獻(xiàn)</b></p><p>　　1．胡昌鎮(zhèn) 《網(wǎng)絡(luò)入侵原理與原理》北京出版社</p><p>　　2．孟小峰 《數(shù)據(jù)挖掘概念與技術(shù)》北京機(jī)械工業(yè)出版社</p><p>　　3．唐正軍 李建華《入侵檢測(cè)技術(shù)》清華大學(xué)出版</p