網(wǎng)絡安全監(jiān)測

1、導讀：我根據(jù)大家的需要整理了一份關(guān)于網(wǎng)絡安全監(jiān)測的內(nèi)容，具體 內(nèi)容：互聯(lián)網(wǎng)的發(fā)展，在大大拓展信息資源共享空間和時間、提高利用率 的同時，存在著很多安全隱患，如正在運行的網(wǎng)絡系統(tǒng)中有無不安全的網(wǎng) 絡服務;操作系統(tǒng)上有無漏洞可能導致遭受緩沖區(qū)溢出攻擊或拒絕服務 的.互聯(lián)網(wǎng)的發(fā)展，在大大拓展信息資源共享空間和時間、提高利用率的同 時，存在著很多安全隱患，如正在運行的網(wǎng)絡系統(tǒng)中有無不安全的網(wǎng)絡服 務;操作系統(tǒng)上有無漏洞可能導致遭受緩沖區(qū)溢出攻擊或拒絕服務的攻擊 系統(tǒng)中是否安裝竊聽程序;對于安裝了防火墻系統(tǒng)的局域網(wǎng)，防火墻系統(tǒng) 是否存在安全漏洞或配置錯誤等。另外，各種計算機病毒和黑客攻擊層出不窮。它們可

2、能利用計算機系統(tǒng) 和通信協(xié)議中的設計漏洞，盜取用戶口令，非法訪問計算機中的信息資源、 竊取機密信息、破壞計算機系統(tǒng)。為了解決上述網(wǎng)絡存在的安全問題，則 必須加強網(wǎng)絡安全檢測與監(jiān)控網(wǎng)絡安全檢測技術(shù)：網(wǎng)絡安全檢測技術(shù)主要包括實時安全監(jiān)控技術(shù)和安全掃描技術(shù)。實時安 全監(jiān)控技術(shù)通過硬件或軟件實時檢查網(wǎng)絡數(shù)據(jù)流并將其與系統(tǒng)入侵特征 數(shù)據(jù)庫的數(shù)據(jù)相比較，一旦發(fā)現(xiàn)有被攻擊的跡象，立即根據(jù)用戶所定義的 動作做出反應。這些動作可以是切斷網(wǎng)絡連接，也可以是通知防火墻系統(tǒng) 調(diào)整訪問控制策略，將入侵的數(shù)據(jù)包過濾掉。安全掃描技術(shù)（包括網(wǎng)絡遠程安全掃描、防火墻系統(tǒng)掃描、Web網(wǎng)站掃描和系統(tǒng)安全掃描等技術(shù)）可以 對局域網(wǎng)絡

3、、Web站點、主機操作系統(tǒng)以及防火墻系統(tǒng)的安全漏洞進行掃 描，及時發(fā)現(xiàn)漏洞并予以修復，從而降低系統(tǒng)的安全風險。網(wǎng)絡安全檢測技術(shù)基于自適應安全管理模式。該管理模式認為：任何一 個網(wǎng)絡都不可能安全防范其潛在的安全風險。它有兩個特點：一是動態(tài)性 和自適應性，這可通過網(wǎng)絡安全掃描軟件的升級及網(wǎng)絡安全監(jiān)控中的入侵 特征庫的更新來實現(xiàn);二是應用層次的廣泛性，可用于操作系統(tǒng)、網(wǎng)絡層 和應用層等各個層次網(wǎng)絡安全漏洞的檢測。很多早期的網(wǎng)絡安全掃描軟件是針對遠程網(wǎng)絡安全掃描。這些掃描軟件 能檢測并分析遠程主機的安全漏洞。事實上。由于這些軟件能夠遠程檢測 安全漏洞。因而也恰是網(wǎng)絡攻擊者進行攻擊的有效工具。網(wǎng)絡攻擊者

4、利用 這些掃描軟件對目標主機進行掃描，檢測可以利用的安全性弱點，通過一 次掃描得到的信息將是進一步攻擊的基礎。這也說明安全檢測技術(shù)對于實 現(xiàn)網(wǎng)絡安全的重要性。網(wǎng)絡管理員可以利用掃描軟件，及時發(fā)現(xiàn)網(wǎng)絡漏洞 并在網(wǎng)絡攻擊者掃描和利用之前予以修補，從而提高網(wǎng)絡的安全性。利用網(wǎng)絡安全檢測技術(shù)可以實現(xiàn)網(wǎng)絡安全檢測和實時攻擊識別，但它只 能作為網(wǎng)絡安全的一個重要的安全組件，還應該結(jié)合防火墻組成一個完整 的網(wǎng)絡安全解決方案。近年來隨著Internet的飛速發(fā)展，很多局域網(wǎng)采用了防火墻系統(tǒng)保護 內(nèi)部網(wǎng)絡安全。防火墻就是一個位于計算機和其所連接的網(wǎng)絡之間的軟硬 件體系，從計算機流人流出的所有網(wǎng)絡信息均要經(jīng)此防火

5、墻的檢測和過濾。防火墻系統(tǒng)分析.1防火墻的功能及類型防火墻限制對被保護網(wǎng)絡的非法訪問，它是設置在被保護內(nèi)網(wǎng)和外部網(wǎng) 絡之間的一道屏障，用來檢查網(wǎng)絡入口點通訊，根據(jù)設定的安全規(guī)則，對 通過防火墻的數(shù)據(jù)流進行監(jiān)測、限制和修改，這樣可過濾掉一些攻擊，以 免其在目標計算機上被執(zhí)行。防火墻還可關(guān)閉未用的端口，禁止特定端口 的流出通信，封鎖特洛伊木馬，禁止來自特殊站點的訪問，從而防止不明 入侵者的所有通信。防火墻具有不同類型，它可以是硬件自身的一部分，可以將因特網(wǎng)連接 和計算機都插入其中；也可以在一個獨立的機器上運行，該機器作為其背 后網(wǎng)絡中所有計算機的代理和防火墻，而直接連在因特網(wǎng)的機器可使用個 人防火

6、墻。2防火墻的局限性個人防火墻并不是專為防范惡意攻擊而設計的，微軟的IE和AQL的 NETSCAPE瀏覽器均存在黑客可以利用的安全漏洞，從而導致用戶的個人數(shù) 據(jù)遭到竊取。防火墻存在以下局限性：防火墻深入檢測和分析網(wǎng)絡數(shù)據(jù)流量的同時， 網(wǎng)絡的傳輸速度勢必會受到影響；如果防火墻過于嚴格，可能會影響為合 法用戶提供連接的性能；傳統(tǒng)的防火墻需要人工實施和維護，不能主動跟蹤入侵者；不是所有的Internet訪問都需經(jīng)過防火墻，如內(nèi)網(wǎng)用戶為方便使用，Modem直接與Internet相連，這樣防火墻就無法提供安全保護，且此連接 可能會成為攻擊者的后門，從而使其繞過防火墻；不是所有的威脅都來自外部網(wǎng)絡，防火墻僅能到內(nèi)網(wǎng)與Internet邊界 的流量，無法檢測到網(wǎng)絡內(nèi)的流量。防火墻自身容易遭受攻擊，最令人煩惱的攻擊是隧道攻擊和基于應用的 攻擊。隧道攻擊是指由于防火墻根據(jù)網(wǎng)絡協(xié)議決定數(shù)據(jù)包是否通過。然而 把一種協(xié)議的信息封裝在另外一種允許通過協(xié)議的信息中時，禁止通過的 流量就穿越防火墻。此種攻擊采用的手段類似于中的隧道機制，故稱隧道 攻擊。而基于應用的攻擊指通過發(fā)送包直接與應用通信，利用這些應用的 漏洞。如通過發(fā)送HTTP命令在Web應用中執(zhí)行緩沖區(qū)溢出攻擊來利用Web 軟件的漏洞。如果防火墻配置成允許HTTP流量，包含此攻擊的包將通過。總之，防火