《毕业设计(论文)计算机网络安全.doc》由会员分享,可在线阅读,更多相关《毕业设计(论文)计算机网络安全.doc(14页珍藏版)》请在三一办公上搜索。
1、计算机网络安全摘 要21世纪,计算机网络的飞速发展已经大大地改变我们的生活方式,人类进入了信息时代。通过计算机网络,我们可以很方便地存储、交换以及搜索信息,给人的工作、生活以及娱乐带来了极大的方便。然而,由于很多原因,计算机网络也暴露出很多安全问题。这些安全问题对计算机网络的使用造成不小的影响,这些影响体现在个人生活、商务往来、经济活动,基于政治和军事方面。计算机网络的安全就是为了克服这些安全问题,使计算机网络的使用更有保障而诞生和发展起来的。由于其重要性,计算机网络安全已经受到人们的极大关注,网络安全正在成为一个发展非常迅速的领域。在很短的时间内,各种网络安全技术纷纷问世并在不断地发展。本论
2、文主要目标就是把目前有关计算机网络安全的技术放在一个结构化比较清楚的框架中,使我们可以更快、更深刻的掌握计算机网络安全的知识。本论文的第一章是绪论。这部分内包括:网络信息安全的重要性以及安全的定义。本论文的第二章是计算网络面临的威胁。从四个方面说起:(1)人为的无意失误;(2)人为的恶意攻击;(3)网络软件的漏洞和“后门”;(4)天灾人祸。本论文的第三章是信息加密策略。主要内容:(1)加密的由来;(2)加密的概念;(3)加密的理由;(4)三种加密方法。本论文的第四章是防火墙技术。论述:防火墙技术综述,并详细说明防火墙的分类。本论文的第五章是入侵检测系统。主要就:入侵检测基本概念,入侵检测系统的
3、分类来细述。最后讨论了一下安全的未来。关键词:加密技术;防火墙技术;入侵检测技术目录第一章 绪论21-1 概述21-2 安全的定义3第二章 计算网络面临的威胁32-1人为的无意失误42-2 人为的恶意攻击42-3 攻击动机52-4 天灾人祸5第三章 信息加密策略63-1 加密的由来63-2 加密的概念63-3 加密的理由63-4 三种加密方法73-4-1 对称加密73-4-2 非对称加密83-4-3 单项加密8第四章 防火墙技术84-1 防火墙技术综述84-2 防火墙的分类94-2-1 包过滤型94-2-2 网络地址转化NAT104-2-3 代理型104-2-4 监测型10第五章 入侵检测系统
4、115-1 入侵检测基本概念115-2 入侵检测系统的分类115-2-1 基于网络的入侵检测系统115-2-2 基于主机的入侵检测125-2-3 基于应用程序的入侵检测系统13结束语 网络安全未来14参考文献14第一章 绪论1-1 概述信息社会的到来,给全球带来了信息技术飞速发展的契机。信息技术的应用,引起了人们生产方式、生活方式和思想观念的巨大变化,极大地推动了人类社会的发展和人类文明的进步,把人类带入了崭新的时代。信息系统的建立已逐渐成为社会各个领域不可或缺的基础设施;信息已成社会发展的重要战略资源、决策资源和控制战场的灵魂;信息化水平已成为衡量一个国家现代化程度和综合程度的重要标志。当今
5、,计算机网络信息共享和资源共享等优点,日益受到人们的注目,并获得广泛的应用。同时,随着全球互联网络Internet 应用范围的扩大,使得网络应用进入到一个崭新的阶段。一方面,入网用户能以最快的速度、最便于工作利的方式及最廉价的开销,获得最新的信息,并在国际范围内进行交流;另一方面,随着网络规模越来越大和越来越开放,网络上的许多敏感信息和保密数据难免受到各种主动和被动的人为攻击。也就是说,人们在计算机网络提供益处的同时,必须考虑如何对待网络上日益泛滥的信息垃圾和非法行为,即必须研究网络安全问题。众所周知,利用计算机环境进行全球通信已成为时代发展的必然趋势。但是,如何在一个开放式的计算机网络物理环
6、境中构造一个封闭的逻辑环境来满足于国家、群体和个人实际需要,已成为必须考虑的实际问题。互连的计算机网络常常由于节点分散、难以管理等问题,而受到攻击和受分布操作带来的损失。若没有安全保障,则系统会带来灾难性的后果。1-2 安全的定义在网络信息安全领域中,对于安全没有一个明确的定义。通常,在网络环境里的安全指的是一种能够识别和消除不安全因素的能力。国际标准化组织(ISO)7498-2安全体系结构文献定义安全就是最小化资产和资源的漏洞。安全的一般性定义也必须解决保护公司财产的需要,包括信息和物理设备(例如计算机本身)。安全的想法也涉及到适宜性和从属性概念。负责安全的任何一个人都必须决定谁在具体的设备
7、上进行合适的操作,以及什么时候。当涉及到公司安全的时候什么是适宜的。在公司与公司之间是不同的,但是任何一个具有网络的公司都必须具有一个解决适宜性、从属性和物理安全问题的安全政策。网络安全是一个动态平衡的过程。所谓“动态”就是指安全是一个不间断的过程,信息系统的入侵和保卫者总是在无休止地演出攻与防的战斗。只要是有连通性的网络信息系统就存在网络安全的风险,攻和防之间的力量和手段的对比是在不断地变化的。所谓“平衡”是指安全的措施要和风险的程度相适应,没有必要盲目地让信息系统变得特别安全。因为安全的级别和程度越高就意味着成本和开销越大,也意味着对使用者的使得性和网络的性能的负面影响也越大。第二章 计算
8、网络面临的威胁随着计算机网络的不断发展,全球信息化已成为人类发展的大趋势。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、怪客、恶意软件和其他不轨的攻击,所以网上信息的安全和保密是一个至关重要的问题。无论是在局域网还是在广域网中,都存在着自然和人为等诸多因素的脆弱性和潜在威胁。故此,网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完可用性。计算机网络所面临的威胁大体可分为两种:一是对网络中信息的威胁;二是对网络中设备的威胁。影响计算机网络的因素很多,有些因素可能是有意的,也可能是无意的;可能是人为的,也可
9、能是自然的;可能是外来黑客对网络系统资源的非法使有,归结起来,针对网络安全的威胁主要有四:2-1人为的无意失误如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁。下面从危险口有几个方面来说,它们完全是由于人在无意情况下造成的威胁。(1)使用用户名(账号)作为口令。尽管这种方法便于记忆,可是在安全上几乎不堪一击。几乎所有以破解口令为手段的黑客软件,都首先会将用户名作为口令的突破口,而破解这种口令几乎不需要时间。不要以为没有人会采用这种愚蠢的办法,根据有经验的黑客反映,在一个用户数超过1000的计算机网络中,一般
10、可以找到1020个这样的用户,而他们则成为了黑客入侵的最佳选择。(2)使用用户名(账号)的变换形式作为口令。使用这种方法的用户自以为很聪明,将用户名颠倒或者加前后缀作为口令,既容易记忆又可以防止许多黑客软件。的确,对于这种方法是有相当一部分黑客软件无用武之地,不过那只是一些初级的软件,一个优秀的黑客软件是完全有办法破解的。(3)使用自己或者亲友的生日作为口令。这种口令有着很大的欺骗性,因为这样往往可以得到一个6位或者8位的口令,从数学理论上来说分别有1000000和100000000种可能性,很难得到破解。其实,由于口令中表示月份的两位数字只有12个可以使用,表示日期的两位数字也只有131个可
11、以使用,而今位数的口令中年分的位数通常是19*年,经过这样推理,使用生日作为口令尽管有6位,但实际上可能的表达方式只有100*12*31=37200种,即使再考虑到年月共有6种排列顺序,一共也只的37200*6=22322种,仅仅是原来100000000的确1/448,而一台普通的pentium200计算机每秒可以搜索3万4万种,仅仅需要5.58秒时间就可以搜索完全所有可能的口令。(4)使用常用的英文单词作为口令。这种方法比前几种方法要安全一些。前几种只需要时间一定能破解,而这一种刚未必。如果选用的单词是十分生僻的,那么黑客软件搜索起来相对有困难。但也要清楚黑客大多有一个很大的字典库,一般包含
12、10万20万的英文单词及相应的组合,如果用户不是在研究英语的专家,那么选择的英文单词恐怕十之八九能在黑客的字典库中找到。如果是那样的话,以20万单词的字典库计算,再考虑到一些DES算法的加密运算,每秒1800个的搜索速度也不过只需要110秒即可搜索完。2-2 人为的恶意攻击这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。恶意的举动可
13、能有很多原因,但是这类举动一般可以归纳为3个大的范畴,分别是偶然的破坏者、坚定者和间谍。他们的目的及出发点可能会有些差异。当确定一个公司的安全的时候,需要考虑的最重要的一件事就是识别出把该公司作为目标的黑客的类型和预料黑客的态度。2-3 攻击动机了解攻击的动机可以帮助洞察网络中哪些部分容易受到攻击以及攻击者最可能采取什么方式。在许多情况下,攻击都来自外部的Internet,所以在Internet和可信的企业网络之间设置防火墙是限制攻击发生的关键因素。防火墙在网络安全中是一个很重要的因素,但要保证网络的安全必须把整个网络当作一个整体来对待。下面是一些常见的攻击原因。(1)贪婪入侵者为了获得巨额报
14、酬而爱雇于某人,帮助此人攻入企业网络盗窃或篡改信息。(2)恶作剧入侵者闲极无聊又具备一定的计算机知识,所以总想访问所有感兴趣的站点。(3)扬名入侵者非常熟悉计算机,想通过攻入大家都认为很难渗透区域来证明他的能力。攻击成功可以获得同行的尊敬和认可。(4)报复入侵者被停职、解雇、降职或受到某些不公正的待遇而采取入侵行为。这种攻击往往导致重要信息损毁或服务被破坏。(5)无知入侵者正在学习计算机和网络,无意中发现的一些系统弱点可能导致数据被毁。所有安全系统根本原则是,如果攻击者具有足够的技术、动机和机会,则攻击将会成功。作为安全系统的设计者,目标是推测以上3个特点,以使能够成功攻击者的数量最小。2-4
15、 天灾人祸这类网络威胁主要是指那些不可预测的自然灾害和人为恶性事件。例如,台风、地震、火山喷发、洪水等自然灾害,以及人为纵火、恶意破坏、恶意偷盗、爆炸撞机的恐怖事件等,震惊全世界的纽约“911”事件是一个典型的事例。虽然对一个部门的内部网络来说,发生天灾人祸的几率是非常小的。但是,一旦发生,后果将是非常严重的,甚至是毁灭性的,万万不可疏于防范。第三章 信息加密策略3-1 加密的由来加密作为保障数据安全的一种方式,它不是现在才有的,它产生的历史相当久远,它是起源于要追溯于公元前2000年(几个世纪了),虽然它不是现在我们所讲的加密技术(甚至不叫加密),但作为一种加密的概念,确实早在几个世纪前就诞
16、生了。当时埃及人是最先使用特别的象形文字作为信息编码的,随着时间推移,巴比伦、美索不达米亚和希腊文明都开始使用一些方法来保护他们的书面信息。近期加密技术主要应用于军事领域,如美国独立战争、美国内战和两次世界大战。最广为人知的编码机器是German Enigma机,在第二次世界大战中德国人利用它创建了加密信息。此后,由于Alan Turing和Ultra计划以及其他人的努力,终于对德国人的密码进行了破解。当初,计算机的研究就是为了破解德国人的密码,人们并没有想到计算机给今天带来的信息革命。随着计算机的发展,运算能力的增强,过去的密码都变得十分简单了,于是人们又不断地研究出了新的数据加密方式,如利
17、用ROSA算法产生的私钥和公钥就是在这个基础上产生的。3-2 加密的概念数据加密的基本过程就是对原来为明文的文件或数据按某种算法进行处理,使其成为不可读的一段代码,通常称为“密文”,使其只能在输入相应的密钥之后才能显示出本来内容,通过这样的途径来达到保护数据不被非法人窃取、阅读的目的。该过程的逆过程为解密,即将该编码信息转化为其原来数据的过程。3-3 加密的理由当今网络社会选择加密已是我们别无选择,其一是我们知道在互联网上进行文件传输、电子邮件商务往来存在许多不安全因素,特别是对于一些大公司和一些机密文件在网络上传输。而且这种不安全性是互联网存在基础TCP/IP协议所固有的,包括一些基于TCP
18、/IP的服务;另一方面,互联网给众多的商家带来了无限的商机,互联网把全世界连在了一起,走向互联网就意味着走向了世界,这对于无数商家无疑是梦寐以求的好事,特别是对于中小企业。为了解决这一对矛盾、为了能在安全的基础上大开这通向世界之门,我们只好选择了数据加密和基于加密技术的数字签名。加密在网络上的作用就是防止有用或私有化信息在网络上被拦截和窃取。一个简单的例子就是密码的传输,计算机密码极为重要,许多安全防护体系是基于密码的,密码的泄露在某种意义上来讲意味着其安全体系的全面崩溃。通过网络进行登录时,所键入的密码以明文的形式被传输到服务器,而网络上的窃听是一件极为容易的事情,所以很有可能黑客会窃取得用
19、户的密码,如果用户是Root用户或Administrator用户,那后果将是极为严重的。还有如果你公司在进行着某个招标项目的投标工作,工作人员通过电子邮件的方式把他们单位的标书发给招标单位,如果此时有另一位竞争对手从网络上窃取到你公司的标书,从中知道你公司投标的标的,那后果将是怎样,相信不用多说聪明的你也明白。这样的例子实在是太多了,解决上述难题的方案就是加密,加密后的口令即使被黑客获得也是不可读的,加密后的标书没有收件人的私钥也就无法解开,标书成为一大堆无任何实际意义的乱码。总之无论是单位还是个人在某种意义上来说加密也成为当今网络社会进行文件或邮件安全传输的时代象征!数字签名就是基于加密技术
20、的,它的作用就是用来确定用户是否是真实的。应用最多的还是电子邮件,如当用户收到一封电子邮件时,邮件上面标有发信人的姓名和信箱地址,很多人可能会简单地认为发信人就是信上说明的那个人,但实际上伪造一封电子邮件对于一个通常人来说是极为容易的事。在这种情况下,就要用到加密技术基础上的数字签名,用它来确认发信人身份的真实性。类似数字签名技术的还有一种身份认证技术,有些站点提供入站FTP和WWW服务,当然用户通常接触的这类服务是匿名服务,用户的权力要受到限制,但也有的这类服务不是匿名的,如某公司为了信息交流提供用户的合作伙伴非匿名的FTP服务,或开发小组把他们的Web网页上载到用户的WWW服务器上,现在的
21、问题就是,用户如何确定正在访问用户的服务器的人就是用户认为的那个人,身份认证技术就是一个好的解决方案。在这里需要强调一点的就是,文件加密其实不只用于电子邮件或网络上的文件传输,其实也可应用静态的文件保护,如PIP软件就可以对磁盘、硬盘中的文件或文件夹进行加密,以防他人窃取其中的信息。3-4 三种加密方法 加密技术通常分为三大类:“对称式”、“非对称式”和”单项式”。3-4-1 对称加密对称式加密就是加密和解密使用同一个密钥,通常称之为“Session Key ”这种加密技术目前被广泛采用,如美国政府所采用的DES加密标准就是一种典型的“对称式”加密法,它的Session Key长度为56Bit
22、s。对称加密算法的一个优点是加密的运算速度快。有很多先烈的加密算法来实现对称加密。例如数据加密标准(DES),3DES,RSA 算法的RC2、RC4、RC5、RC6、MARS、Twofish,以及Serpent等。3-4-2 非对称加密非对称式加密就是加密和解密所使用的不是同一个密钥,通常有两个密钥,称为“公钥”和“私钥”,它们两个必需配对使用,否则不能打开加密文件。这里的“公钥”是指可以对外公布的,“私钥”则不能,只能由持有人一个人知道。它的优越性就在这里,因为对称式的加密方法如果是在网络上传输加密文件就很难把密钥告诉对方,不管用什么方法都有可能被别窃厅到。而非对称式的加密方法有两个密钥,且
23、其中的“公钥”是可以公开的,也就不怕别人知道,收件人解密时只要用自己的私钥即可以,这样就很好地避免了密钥的传输安全性问题。3种最常见的非对称加密是RSA、Digital Signature Algorithm(DSA)和Diffie-Hellman。DSA是美国国家技术标准局研发的技术,并且已广为使用。尽管它的功能不同于RSA,但它并不是一项专利,并且成为Linux 下公钥加密方法的标准。Diffie-Hellman是一种安全交换密钥的协议,因比可以看做密钥交换协议。它是一种开放式标准并在安全通信中广泛使用,主要有一点作了改动:因为 Diffie-Hellman密钥交换协议的方法易受man i
24、n the middle这类攻击,所以Station-to station(STS)协议改变了Diffie-Hellman协议包括采取相应的认证。3-4-3 单项加密单项加密也叫做哈希加密,这种加密使用hash算法把一些不同长度的信息转化成杂乱的确128位的编码里,叫做hash值。Hash加密用于不想对信息解密或读取。使用这种方法解密在理论上是不可能根据密明文,所以叫做单向加密。但是通过比较两个实体的hash值是否一样而确定数据时候可靠。例如,一台自动取款机(ATM)不需要解密一个消费者的个人标识数字(PIN)。磁条卡将顾客的PIN单向地加密成一段hash值,一旦插下时,ATM机将计算用户PI
25、N的hash值并产生使对于那些维护ATM机的人来说也于法获知用户的PIN码。目前使用几种标准单向加密算法有MD2、MD4、MD5和SHA。MD2,MD4和MD5是一组基于单向hash功能的算法。第四章 防火墙技术4-1 防火墙技术综述网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。 目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(代理服务器)以及电路层网
26、关、屏蔽主机防火墙、双宿主机等类型。 虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。 自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统,提出了防火墙概念后,防火墙技术得到了飞速的发展。国内外已有数十家公司推出了功能各不相同的防火墙产品系列。 防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴。在这一层上,企业对安全系统提出的问题是:所有的IP是否都能访问到企业的内部网络
27、系统?如果答案是“是”,则说明企业内部网还没有在网络层采取相应的防范措施。 作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。 4-2 防火墙的分类根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换NAT、
28、代理型和监测型。4-2-1 包过滤型 包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点 ,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。 包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。 但包过滤技术的缺陷也是明显
29、的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。 4-2-2 网络地址转化NAT 网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。 在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络
30、连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。 4-2-3 代理型 代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代
31、理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。 代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大
32、大增加了系统管理的复杂性。 4-2-4 监测型 监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品 虽然监测型防火墙安全性上已超
33、越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本。 实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的,应用网关能提供对协议的过滤。例如,它可以过滤掉FTP连接中的PUT命令,而且通过代理应用,应用网关能
34、够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。第五章 入侵检测系统5-1 入侵检测基本概念入侵检测系统是一种安全软件或者硬件。如果一个系统的计算机或者网络安装了入侵检测系统,它会监视系统的某些范围,当系统受到攻击的时候,它可以检测出来并做出响应。 入侵被检测出来的过程包括监控在计算机系统或者网络中发生的事件,再分析处理这些事件,检测出入侵事件。入侵检测系统是使这监控和分析过程自动化的产品,可以是软件,也可是硬件。如上所述,入侵就是成功的攻击。目前的入侵检测系统不只检测入侵(已成功的攻击),它们还检
35、测未成功的攻击,所以准确地说,入侵检测系统应该被称为攻击检测系统!但是入侵检测系统工程这个名称已经用习惯了,因此我们说入侵检测系统意味着入侵和攻击都能被检测出来。5-2 入侵检测系统的分类入侵检测系统的一个重要概念是从什么样的数据源检测入侵。根据数据来源的不同,入侵检测系统常被分为基于主机的入侵检测系统的、基于网络的入侵检测系统和基于应用程序的入侵检测系统。基于主机的入侵检测系统的数据源来自主机,如日志文件、审计记录等。基于网络的入侵检测系统的数据源是网络流量。5-2-1 基于网络的入侵检测系统大多数入侵检测系统工程商业产品是基于网络的。为了检测入侵,这种入侵检测系统捕获并分析网络数据包。通过
36、监听某个网段的流量, 一个基于网络的入侵检测系统可以监控并分析该网段发生的事伯,从而可以保护该网段的流量,一个基于网络的入侵检测系统一般包括一组传感器颁布在网络的不同网段。由于这些传感器专门为了入侵检测系统设计,所以它们具有很多对付攻击的安全措施。很多传感器有一个运行模式叫做“被动模式”,这样,攻击者难以确定它们的存在以及位置。(1) 优点一个基于网络的入侵检测系统可以监控多个主机。基于网络系统的入侵检测系统在网络上的存在一般对现有的网络影响比较小。基于网络的入侵检测系统只是被动局面地监听网络系统流量,根本不妨碍网络的正常运行。所以一个现有的网络可以容易地安装上一个基于网络系统的入侵检测系统。
37、基于网络系统的入侵检测系统可设计成非常健壮,有时攻击者根本都看不到它的存在。(2) 缺点基于网络的入侵检测系统的处理能力可能有限。在一个高速网络上,基于网络的入侵检测系统可能会处理不了所有的数据包,从而有的攻击可能会检测不到。有的厂家为了克服这个问题把基于主机制入侵检测系统做成硬件,提高它们的处理速度。提高速度的另一种途径是减少检测的攻击类型或者大量使用系统资源,这样影响检测的效率。基于网络的入侵检测系统不能分析加密信息。现在越来越多人(包括攻击者)使用虚拟专用网(VPN)。在这样的网络环境上传输的信息都被加过密,基于网络的入侵检测系统就无法正常检测了。多数基于网络的入侵检测系统不能确定一次攻
38、击是否成功,它们只能检测攻击者使用某种方法进行攻击。所以,在基于网络的入侵检测系统检测出一次攻击之后,安全管理员必须再作调查才能确定这次攻击是否已经成功地穿入系统。5-2-2 基于主机的入侵检测基于主机制入侵检测系统处理信息来自一台计算机系统里(请注意,基于应用程序的入侵检测系统实际上就是基于主机的入侵检测系统的一个子集)。这个特点鸡毛基于主机制入侵检测系统可以非常可靠和准确地分析主机上发生的入侵的时间,正确地指出系统上的哪些进程和用户包含在一起入侵事件内。与基于网络的入侵检测系统不同,基于主机制入侵系统可以通过检查系统上的文件系统、日志以及进程,判别出哪些攻击已经成功地穿入系统。基于主机的入
39、侵检测系统分析的信息源一般有两种:审计记录和系统日志。审计记录是操作系统的内核在操作的时候生成的,所以比系统日志的信息有更多和更可靠的信息。然而,系统日志比审计记录要少,简单易懂,处理起来更方便。有的基于主机的入侵检测系统采用集中控制方式。在每一台主机上运行一个传感器。伟感器收集本机上的信息,传输到一个控制中心集中处理。这样就实现了基于主机的集中控制模式的入侵检测系统。有的基于主机的入侵检测系统的输出格式与其他基于网络入侵检测系统的控制中心的数据格式兼容,这样可以与该基于网络的入侵检测系统相结合。(1) 优点基于主机的入侵检测系统可以看到主机上基于网络的入侵检测系统看不到的事件。只要信息源生成
40、于数据加密之前或者数据解密之后,基于主机的入侵检测系统就可以在网络流量加密的环境下正常工作。基于主机的入侵检测系统不受交换式网络的影响。通过处理操作系统的审计记录,基于主机的入侵检测系统可以检测出特洛伊木马或者其他有关软件完整性破坏的攻击。(2) 缺点基于主机的入侵检测系统比较难管理,因为不同的系统使用不同的操作系统。在一个操作系统上运行的程序必须先编译好才能运行。如果基于主机的入侵检测系统运行在被监控的主机上,它和主机上的应用程序公用一些系统资源,所以有时候基于主机的入侵检测系统也可能受到攻击而瘫痪。基于主机的入侵检测系统没有隐蔽性,可能会受到拒绝服务(DOS)的攻击而瘫痪。处理系统审计记录
41、的基于主机的入侵检测系统需要大量的系统资源,如存储空间、内存和CPU,因为审计记录的信息非常庞大。基于主机的入侵检测系统使用本机的资源,所以影响被监控系统的性能。5-2-3 基于应用程序的入侵检测系统基于应用程序的入侵检测系统是基于主机的入侵检测系统的一个特殊子集。它分析由应用程序生成的事件。基于应用程序入侵检测系统常用信息源是应用程序生成的记录文件。由于具有对特定的应用程序的知识,还与应用程序有直接接口,基于应用程序的入侵检测系统可以发现用户超越自己权限的可疑行为。这个问题常见于由用户、数据和应用程序之间的操作引起。(1)优点基于应用程序的入侵检测系统可以监控应用程序和用户之间的操作,所以有
42、能力检测出哪个用户超越自己的权限。基于应用程序的入侵检测系统一般可以在加密环境下运行。因为它和应用程序的接口一般是数据传输处理过程的终点,给用户的数据必须是非加密的。(2)缺点由于应用程序的记录文件受到的保护没有像操作系统的审计记录受到的保护紧密。所以,基于应用程序的入侵检测系统比基于主机的入侵检测系统更容易受到攻击。由于基于应用程序的入侵检测系统只能监控应用层和用户层的事件,所以它不能检测出特洛伊木马。因此有很多人建议使用基于应用程序的入侵检测系统与基于主机或者网络的入侵检测相结合。结束语 网络安全未来随着计算机技术和通信技术的发展,计算机网络将日益成为工业、农业和国防等方面的重要信息交换手段,渗透到社会生活的各个领域。因此,认清网络的脆弱性和潜在威胁,采取强有力的安全策略,对于保障网络的安全性将变得十分重要。作为一个新兴的研究领域,网络安全正孕育着无限的机遇和挑战。相信在未来十年中,网络安全技术一定会取得更为长足的进展。参考文献1朱雁辉.防火墙与网络封包0M电子工业出版社.2信息管理系列编委会网络安全管理M中国人民大学出版社.3张红旗信息网络安全M清华大学出版社.4张千里、陈光英. 网络安全新技术 .人民邮电出版社.5网络信息安全及解决方案.北大青鸟.
