《信息安全》攻擊防范技術(shù)

攻擊防范技術(shù)案例2013年8月25日凌晨零時(shí)，CNNIC管理運(yùn)行的國家.CN頂級(jí)域名系統(tǒng)遭受大規(guī)模拒絕服務(wù)攻擊，經(jīng)過處置，解析服務(wù)在2時(shí)左右恢復(fù)正常。但4時(shí)左右，國家域名解析節(jié)點(diǎn)再次受到大規(guī)模拒絕服務(wù)攻擊，導(dǎo)致部分網(wǎng)站解析受到影響，訪問緩慢或中斷。這是.CN域名近些年來發(fā)生的最大一次網(wǎng)絡(luò)攻擊事件，攻擊流量遠(yuǎn)超歷史峰值。CNNIC有24小時(shí)的域名根服務(wù)器安全監(jiān)測(cè)系統(tǒng)和監(jiān)控維護(hù)人員，凌晨受到攻擊后立即啟動(dòng)了安全應(yīng)急防范措施，保證了解析服務(wù)的恢復(fù)，對(duì).CN域名系統(tǒng)的攻擊影響局限于特定范圍內(nèi)，不至于擴(kuò)散至全網(wǎng)。事件并沒有造成.CN域名大面積癱瘓。概述網(wǎng)絡(luò)攻擊防范對(duì)于網(wǎng)絡(luò)安全的重要性，網(wǎng)絡(luò)需要有相應(yīng)的防護(hù)措施。當(dāng)前，主要的防護(hù)措施包括使用防火墻技術(shù)、入侵檢測(cè)技術(shù)和VPN技術(shù)，防火墻和入侵檢測(cè)技術(shù)一般分別部署在受保護(hù)網(wǎng)絡(luò)的邊界和內(nèi)部，主要起到防御攻擊和預(yù)警作用；VPN技術(shù)是企業(yè)內(nèi)部和合作伙伴之間建立的安全通道，以保護(hù)通信安全；另外，“蜜罐”技術(shù)可以用于搜集潛在攻擊者的基本情況。本章除了學(xué)習(xí)以上4種常見針對(duì)PC端的網(wǎng)絡(luò)攻擊防范技術(shù)以外，還將學(xué)習(xí)有關(guān)移動(dòng)端的攻擊防范。4.1防火墻

4.1.1防火墻概論

4.1.2防火墻的主要技術(shù)

4.1.3防火墻的體系結(jié)構(gòu)

4.1.4防火墻優(yōu)劣與發(fā)展趨勢(shì)

4.1.1防火墻概論（一）防火墻的基本概念防火墻（Firewall），是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)用戶的安全策略控制（允許，拒絕，監(jiān)測(cè)）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。（一）防火墻的基本概念在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，能有效地監(jiān)控內(nèi)部網(wǎng)和Internet之間的任何活動(dòng)，保證內(nèi)部網(wǎng)絡(luò)的安全。

4.1.1防火墻概論（二）防火墻的發(fā)展過程第1代防火墻：采用了包過濾技術(shù)。第2代防火墻：即電路層防火墻。第3代防火墻：即代理防火墻。第4代防火墻：基于動(dòng)態(tài)包過濾技術(shù)的第4代防火墻，后來演變?yōu)樗f的狀態(tài)監(jiān)視技術(shù)。第5代防火墻：一種自適應(yīng)代理技術(shù)，給代理類型的防火墻賦予了全新的意義。一體化安全網(wǎng)關(guān)UTM：UTM在防火墻基礎(chǔ)上發(fā)展起來的，具備防火墻、IPS、防病毒、防垃圾郵件等綜合功能的設(shè)備。（三）防火墻的特性典型的防火墻具有以下3個(gè)方面的基本特性。內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過防火墻只有符合安全策略的數(shù)據(jù)流才能通過防火墻防火墻自身應(yīng)具有非常強(qiáng)的抗攻擊免疫力（四）防火墻的功能允許網(wǎng)絡(luò)管理員定義一個(gè)中心點(diǎn)來防止非法用戶接入內(nèi)部網(wǎng)絡(luò)?？梢院芊奖愕乇O(jiān)視網(wǎng)絡(luò)的安全性，并報(bào)警?？梢宰鳛椴渴鹁W(wǎng)絡(luò)地址變換的地點(diǎn)，利用NAT技術(shù)，將有限的IP地址動(dòng)態(tài)或靜態(tài)地與內(nèi)部的IP地址對(duì)應(yīng)起來，用來緩解地址空間短缺的問題。審計(jì)和記錄Internet使用費(fèi)用。可以連接到一個(gè)單獨(dú)的網(wǎng)段上，從物理上和內(nèi)部網(wǎng)段隔離，并在此部署如WWW服務(wù)器和FTP服務(wù)器等，將其作為向外部發(fā)布內(nèi)部信息的地點(diǎn)。4.1.2防火墻的主要技術(shù)

（一）包過濾技術(shù)包過濾（PacketFiltering）技術(shù)是防火墻在網(wǎng)絡(luò)層中根據(jù)數(shù)據(jù)包中包頭信息實(shí)施有選擇的通過。第1代防火墻也是最基本的防火墻——包過濾防火墻，按照防火墻事先設(shè)定的過濾規(guī)則，對(duì)每一個(gè)通過的網(wǎng)絡(luò)包頭部進(jìn)行檢查，根據(jù)數(shù)據(jù)包的源地址，目的地址、TCP/UDP源端口號(hào)、TCP/UDP目的端口號(hào)及數(shù)據(jù)包頭中的各種標(biāo)志位等因素來確定是否允許數(shù)據(jù)包通過，其核心是安全策略即過濾規(guī)則的設(shè)計(jì)。（一）包過濾技術(shù)（一）包過濾技術(shù)包過濾技術(shù)在防火墻上的應(yīng)用非常廣泛。因?yàn)镃PU用來處理包過濾的時(shí)間相對(duì)很少，且這種防護(hù)措施對(duì)用戶透明，合法用戶在進(jìn)出網(wǎng)絡(luò)時(shí)，根本感覺不到它的存在，使用起來很方便。此外，因?yàn)榘^濾技術(shù)不保留前后連接信息，所以很容易實(shí)現(xiàn)允許或禁止訪問。包過濾技術(shù)能夠以較小的代價(jià)保證內(nèi)部網(wǎng)絡(luò)的安全，并且具備較強(qiáng)的傳輸性能，擴(kuò)展性也比較好。但是，因?yàn)榘^濾技術(shù)是在TCP/IP層實(shí)現(xiàn)的，所以包過濾的一個(gè)很大的弱點(diǎn)是不能在應(yīng)用層級(jí)別上進(jìn)行過濾，所以防護(hù)方式比較單一。此外，包過濾技術(shù)只能識(shí)別外部IP偽裝成內(nèi)部IP，而對(duì)外部IP偽裝其它合法的外部IP則無能為力，所以比較容易遭受IP欺騙攻擊。（二）應(yīng)用網(wǎng)關(guān)技術(shù)應(yīng)用網(wǎng)關(guān)（ApplicationGateway）技術(shù)是建立在網(wǎng)絡(luò)應(yīng)用層上的協(xié)議過濾，它針對(duì)特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議進(jìn)行過濾，并且能夠?qū)?shù)據(jù)包進(jìn)行分析并形成相關(guān)的報(bào)告。與包過濾防火墻不同的是，它不使用通用目標(biāo)機(jī)制來允許各種不同種類的通信，而是針對(duì)每個(gè)應(yīng)用使用專用目的的處理方法。雖然這樣做看起來有些麻煩，但卻比任何其他方法安全得多。（二）應(yīng)用網(wǎng)關(guān)技術(shù)應(yīng)用層網(wǎng)關(guān)在較高層次上實(shí)現(xiàn)了內(nèi)外網(wǎng)絡(luò)通信的監(jiān)控與管理，它的安全性較包過濾防火墻有了很大提高，但這是以犧牲應(yīng)用層的透明性為代價(jià)的。對(duì)于客戶來說，它是一個(gè)服務(wù)器，對(duì)服務(wù)器來說，它是一個(gè)客戶。應(yīng)用網(wǎng)關(guān)在客戶和服務(wù)器之間建立了一個(gè)虛擬連接。應(yīng)用網(wǎng)關(guān)和包過濾技術(shù)一樣，是通過特定的邏輯判斷來決定是否允許特定的數(shù)據(jù)通過，其優(yōu)點(diǎn)是速度快、實(shí)現(xiàn)方便；缺點(diǎn)是審計(jì)功能差，過濾規(guī)則的設(shè)計(jì)存在矛盾關(guān)系，過濾規(guī)則簡(jiǎn)單，安全性差；過濾規(guī)則復(fù)雜，管理困難。（三）狀態(tài)檢測(cè)技術(shù)狀態(tài)檢測(cè)技術(shù)是近年來一種新的防火墻技術(shù)，是對(duì)包過濾和應(yīng)用網(wǎng)關(guān)功能的一種平衡，既具備包過濾防火墻的速度和靈活，也有應(yīng)用網(wǎng)關(guān)防火墻的安全優(yōu)點(diǎn)。它基本保持了包過濾防火墻的優(yōu)點(diǎn)，性能較好，對(duì)應(yīng)用透明，同時(shí)又摒棄了包過濾防火墻僅考察進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包，不關(guān)心數(shù)據(jù)包狀態(tài)的缺點(diǎn)，對(duì)于安全性有了大幅提升。同時(shí)狀態(tài)檢測(cè)防火墻不區(qū)分每個(gè)具體的應(yīng)用，只是根據(jù)從數(shù)據(jù)包中提取出的信息、對(duì)應(yīng)的安全策略及過濾規(guī)則處理數(shù)據(jù)包。當(dāng)有一個(gè)新的應(yīng)用時(shí)，它能動(dòng)態(tài)產(chǎn)生新應(yīng)用的新規(guī)則，而不用另外編寫規(guī)則，所以具有很好的伸縮性和擴(kuò)展性。（三）狀態(tài)檢測(cè)技術(shù)當(dāng)數(shù)據(jù)包到達(dá)防火墻的接口時(shí)，防火墻判斷數(shù)據(jù)包是不是屬于一個(gè)已經(jīng)存在的連接，如果是就對(duì)數(shù)據(jù)包進(jìn)行特征檢測(cè)，并判斷策略是否允許其通過；如果不是就先利用規(guī)則集對(duì)數(shù)據(jù)包進(jìn)行檢測(cè)。狀態(tài)檢測(cè)防火墻的缺點(diǎn)，仍只是檢測(cè)數(shù)據(jù)包的第三層信息，無法徹底的識(shí)別數(shù)據(jù)包中大量的垃圾郵件、廣告以及木馬程序等。（四）代理服務(wù)器技術(shù)代理服務(wù)器（ProxyServer）作用在應(yīng)用層，用來提供應(yīng)用層服務(wù)的控制，根據(jù)安全策略處理用戶對(duì)網(wǎng)絡(luò)服務(wù)的請(qǐng)求。它位于內(nèi)部網(wǎng)和外部網(wǎng)之間，在內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)起到中間轉(zhuǎn)接作用。內(nèi)部網(wǎng)絡(luò)只接受代理提出的服務(wù)請(qǐng)求，拒絕外部網(wǎng)絡(luò)其他節(jié)點(diǎn)的直接請(qǐng)求。代理服務(wù)器防火墻代替受保護(hù)網(wǎng)的主機(jī)向外部網(wǎng)發(fā)送服務(wù)請(qǐng)求，并將外部服務(wù)請(qǐng)求響應(yīng)的結(jié)果返回給受保護(hù)網(wǎng)的主機(jī)。外網(wǎng)只能看到防火墻，從而隱藏了受保護(hù)網(wǎng)內(nèi)部地址，提高了安全性。（四）代理服務(wù)器技術(shù)代理服務(wù)器是運(yùn)行在防火墻主機(jī)上的專門的應(yīng)用程序或者服務(wù)器程序，能進(jìn)行安全控制又可以加速訪問，能夠有效地實(shí)現(xiàn)防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的隔離，安全性好，還可用于實(shí)施較強(qiáng)的數(shù)據(jù)流監(jiān)控、過濾、記錄和報(bào)告等功能。（四）代理服務(wù)器技術(shù)在實(shí)際應(yīng)用當(dāng)中，構(gòu)筑防火墻的真正解決方案很少采用單一的技術(shù)，通常是多種解決不同問題的技術(shù)的有機(jī)結(jié)合。一些協(xié)議（如Telnet、SMTP）能更有效地處理數(shù)據(jù)包過濾，而另一些協(xié)議（如FTP、WWW、Gopher）能有效地處理代理。因此，大多數(shù)防火墻將數(shù)據(jù)包過濾和代理服務(wù)器結(jié)合起來使用。（五）網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)網(wǎng)絡(luò)地址轉(zhuǎn)換NAT（NetworkAddressTranslator）技術(shù)是Internet網(wǎng)絡(luò)應(yīng)用中一項(xiàng)非常實(shí)用的技術(shù)。以往主要被應(yīng)用在并行處理的動(dòng)態(tài)負(fù)載均衡以及高可靠性系統(tǒng)的容錯(cuò)備份的實(shí)現(xiàn)上，為解決當(dāng)時(shí)傳統(tǒng)IP網(wǎng)絡(luò)地址緊張的問題。NAT技術(shù)保證所有的通信都必須經(jīng)過NAT技術(shù)的網(wǎng)關(guān)，它通過地址復(fù)用來提高對(duì)已注冊(cè)地址的有效利用率。NAT技術(shù)中具體的IP地址復(fù)用方法是：在內(nèi)部網(wǎng)中使用私有的虛擬地址，即由Internet地址分配委員會(huì)（IANA）所保留的幾段PrivateNetworkIP地址。（五）網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)NAT技術(shù)一般的形式為：NAT網(wǎng)關(guān)依據(jù)一定的規(guī)則，對(duì)所有進(jìn)出的數(shù)據(jù)包進(jìn)行源與目的地址識(shí)別，并將由內(nèi)而向外的數(shù)據(jù)包中的源地址替換成一個(gè)真實(shí)地址（注冊(cè)過的合法地址），而將由外向內(nèi)的數(shù)據(jù)包中的目的地址替換成相應(yīng)的虛地址（內(nèi)部用的非注冊(cè)地址）。4.1.3防火墻的體系結(jié)構(gòu)

（一）相關(guān)概念非軍事區(qū)

通常將內(nèi)部網(wǎng)中需要向外部提供服務(wù)的服務(wù)器設(shè)置在單獨(dú)的網(wǎng)段，這個(gè)網(wǎng)段被稱為非軍事區(qū)（De-MilitarizedZone，DMZ）。堡壘主機(jī)

堡壘主機(jī)是一種配置了安全防范措施的網(wǎng)絡(luò)上的計(jì)算機(jī)，為網(wǎng)絡(luò)之間的通信提供了一個(gè)阻塞點(diǎn)。周邊網(wǎng)絡(luò)

周邊網(wǎng)絡(luò)是在外部網(wǎng)絡(luò)與用戶被保護(hù)的內(nèi)部網(wǎng)絡(luò)之間的附加網(wǎng)絡(luò)，是另一個(gè)安全層。（二）雙重宿主主機(jī)體系結(jié)構(gòu)雙宿主主機(jī)位于內(nèi)部網(wǎng)和Internet之間，一般來說，是用一臺(tái)裝有兩塊網(wǎng)卡的堡壘主機(jī)做防火墻。這兩塊網(wǎng)卡各自與受保護(hù)網(wǎng)和外部網(wǎng)相連，分別屬于內(nèi)外兩個(gè)不同的網(wǎng)段。防火墻內(nèi)部的系統(tǒng)能與雙重宿主主機(jī)通信，同時(shí)防火墻外部的系統(tǒng)（在因特網(wǎng)上）也能與雙重宿主主機(jī)通信，但內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)不能直接互相通信，它們之間的通信必須經(jīng)過雙重宿主主機(jī)的過濾和控制。（三）被屏蔽主機(jī)體系結(jié)構(gòu)雙重宿主主機(jī)體系結(jié)構(gòu)防火墻沒有使用路由器，而被屏蔽主機(jī)體系結(jié)構(gòu)防火墻則使用一個(gè)路由器把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離開，主機(jī)屏蔽防火墻比雙宿主機(jī)防火墻更安全。（三）被屏蔽主機(jī)體系結(jié)構(gòu)在這種體系結(jié)構(gòu)中，屏蔽路由器作為保護(hù)網(wǎng)絡(luò)的第一道防線。根據(jù)內(nèi)網(wǎng)的安全策略，屏蔽路由器可以過濾掉不允許通過的數(shù)據(jù)包。這種體系結(jié)構(gòu)中包括堡壘主機(jī)，可以在屏蔽路由器上設(shè)置數(shù)據(jù)包過濾策略，讓所有的外部連接只能到達(dá)內(nèi)部堡壘主機(jī)，如收發(fā)電子郵件。另外，保護(hù)路由器比保護(hù)主機(jī)更容易實(shí)現(xiàn)，因?yàn)槁酚善魈峁┓浅Ｓ邢薜姆?wù)，漏洞要比主機(jī)少得多，所以主機(jī)屏蔽防火墻體系結(jié)構(gòu)能提供更好的安全性和可用性。（四）被屏蔽子網(wǎng)體系結(jié)構(gòu)屏蔽子網(wǎng)體系結(jié)構(gòu)通過添加額外的安全層到被屏蔽主機(jī)體系結(jié)構(gòu)，即通過添加周邊網(wǎng)絡(luò)更進(jìn)一步地把內(nèi)部網(wǎng)絡(luò)與Internet隔離開，在這種結(jié)構(gòu)下，即使攻破了堡壘主機(jī)，也不能直接侵入內(nèi)部網(wǎng)絡(luò)（仍須通過內(nèi)部路由器）。（四）被屏蔽子網(wǎng)體系結(jié)構(gòu)在主機(jī)屏蔽體系中，用戶的內(nèi)部網(wǎng)絡(luò)對(duì)堡壘主機(jī)沒有任何防御措施，如果黑客成功入侵到主機(jī)屏蔽體系結(jié)構(gòu)中的堡壘主機(jī)，那就毫無阻擋地進(jìn)入了內(nèi)部網(wǎng)絡(luò)。因此通過在周邊網(wǎng)絡(luò)上隔離堡壘主機(jī)，能減少在堡壘主機(jī)上侵入的影響。即在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間形成一個(gè)“隔離帶”（所謂的DMZ）。

屏蔽子網(wǎng)體系結(jié)構(gòu)的最簡(jiǎn)單的形式為使用兩個(gè)屏蔽路由器，位于堡壘主機(jī)的兩端：一端連接內(nèi)網(wǎng)，一端連接外網(wǎng)。為了入侵這種類型的體系結(jié)構(gòu)，入侵者必須穿透兩個(gè)屏蔽路由器。即使入侵者控制了堡壘主機(jī)，也仍然需要通過內(nèi)網(wǎng)端的屏蔽路由器才能到達(dá)內(nèi)網(wǎng)。4.1.4防火墻優(yōu)劣與發(fā)展趨勢(shì)（一）防火墻的優(yōu)點(diǎn)Internet防火墻允許網(wǎng)絡(luò)管理員定義一個(gè)中心“扼制點(diǎn)”來防止非法用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)，是一個(gè)安全策略的檢查站，所有進(jìn)出的信息都必須通過防火墻，使可疑的訪問被拒絕于門外。防火墻能保護(hù)網(wǎng)絡(luò)中脆弱的服務(wù)。防火墻通過過濾存在安全缺陷的網(wǎng)絡(luò)服務(wù)來降低內(nèi)部網(wǎng)遭受攻擊的威脅，因?yàn)橹挥薪?jīng)過選擇的網(wǎng)絡(luò)服務(wù)才能通過防火墻。在防火墻上能有效地記錄Internet上的活動(dòng)，可以很方便地監(jiān)視網(wǎng)絡(luò)的安全性，并產(chǎn)生報(bào)警。集中安全性：防火墻能夠簡(jiǎn)化安全管理，網(wǎng)絡(luò)安全性是在防火墻系統(tǒng)上得到加固，而不是分布在內(nèi)部網(wǎng)絡(luò)的所有主機(jī)上，這樣防火墻的保護(hù)范圍就相對(duì)集中，安全成本也相對(duì)便宜了。Internet防火墻可以作為部署NAT（NetworkAddressTranslator，網(wǎng)絡(luò)地址變換）的邏輯地址。因此防火墻可以用來緩解地址空間短缺的問題，也可以隱藏內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)。（二）防火墻的局限性不能防范惡意知情者。不能防范不通過它的連接。不能防范全部威脅。限制有用的網(wǎng)絡(luò)服務(wù)。防火墻對(duì)用戶不完全透明，可能帶來傳輸延遲、瓶頸及單點(diǎn)失效。防火墻也不能完全防止受病毒感染的文件或軟件的傳輸。（三）創(chuàng)建防火墻的步驟成功創(chuàng)建一個(gè)防火墻系統(tǒng)一般需要6個(gè)步驟：制定安全策略；搭建安全體系結(jié)構(gòu)；制定規(guī)則次序；落實(shí)規(guī)則集；注意更換控制做好審計(jì)工作。建立一個(gè)可靠的規(guī)則集對(duì)于實(shí)現(xiàn)一個(gè)成功的、安全的防火墻來說是非常關(guān)鍵的一步。如果防火墻規(guī)則集配置錯(cuò)誤，再好的防火墻也只是擺設(shè)。（四）防火墻的發(fā)展趨勢(shì)智能技術(shù)的利用分布式技術(shù)的利用成為網(wǎng)絡(luò)安全管理平臺(tái)的一個(gè)組件向模塊化演進(jìn)深入應(yīng)用防護(hù)自身性能和安全性的提升。4.2入侵檢測(cè)技術(shù)

4.2.1入侵檢測(cè)概述

4.2.2入侵檢測(cè)技術(shù)

4.2.3入侵檢測(cè)系統(tǒng)

4.2.4入侵檢測(cè)的局限性與發(fā)展

4.2.1入侵檢測(cè)概述入侵檢測(cè)被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。4.2.1入侵檢測(cè)概述入侵檢測(cè)是對(duì)入侵行為的發(fā)覺，是從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從而發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的一種機(jī)制。入侵檢測(cè)技術(shù)是主動(dòng)保護(hù)自己免受攻擊的一種網(wǎng)絡(luò)安全技術(shù)，是網(wǎng)絡(luò)安全體系的一種防范措施，如果與傳統(tǒng)的靜態(tài)安全技術(shù)共同使用，將可以大大提高系統(tǒng)的安全防護(hù)水平。（一）入侵檢測(cè)的基本概念入侵檢測(cè)的目的：（1）識(shí)別入侵者。（2）識(shí)別入侵行為。（3）檢測(cè)和監(jiān)視已實(shí)施的入侵行為。（4）為對(duì)抗入侵提供信息，阻止入侵的

發(fā)生和事態(tài)的擴(kuò)大。（二）入侵檢測(cè)的過程入侵檢測(cè)的過程一般可以分為3個(gè)階段信息收集信息分析告警與響應(yīng)4.2.2入侵檢測(cè)技術(shù)（一）異常檢測(cè)技術(shù)異常檢測(cè)技術(shù)（AnomalyDetection）也稱為基于行為的檢測(cè)技術(shù)，是指根據(jù)用戶的行為和系統(tǒng)資源的使用狀況判斷是否存在網(wǎng)絡(luò)入侵。異常檢測(cè)的關(guān)鍵是選一個(gè)區(qū)分異常事件與入侵活動(dòng)的閾值，從而減少漏報(bào)和誤報(bào)的問題。（一）異常檢測(cè)技術(shù)異常檢測(cè)的優(yōu)點(diǎn)之一是具有抽象系統(tǒng)正常行為從而檢測(cè)系統(tǒng)異常行為的能力。這種能力不受系統(tǒng)以前是否知道這種入侵的限制，所以能夠檢測(cè)新的入侵行為。異常檢測(cè)還具有其他優(yōu)點(diǎn)：檢測(cè)完整性高、能發(fā)現(xiàn)企圖發(fā)掘和試探系統(tǒng)未知漏洞的行為；較少依賴于特定的操作系統(tǒng)；對(duì)合法的用戶違反權(quán)限的行為具有很強(qiáng)的檢測(cè)能力。它的缺點(diǎn)是：如果是在用戶數(shù)量多且運(yùn)行狀態(tài)復(fù)雜的環(huán)境中，它的誤警率較高；由于系統(tǒng)活動(dòng)的不斷變化，用戶要不斷地在線學(xué)習(xí)。（二）誤用檢測(cè)技術(shù)誤用檢測(cè)技術(shù)（MisuseDetection）也稱為基于特征的檢測(cè)，是指使用某種模式或特征描述方法對(duì)任何已知的攻擊進(jìn)行表達(dá)。誤用檢測(cè)需要確定其所定義的攻擊特征模式是否可以覆蓋與實(shí)際攻擊有關(guān)的所有要素。當(dāng)入侵者入侵時(shí)，即通過它的某些行為過程建立一種入侵模型，如果該行為與入侵方案的模型一致，即判定為入侵行為。（二）誤用檢測(cè)技術(shù)誤用檢測(cè)的優(yōu)點(diǎn)是：檢測(cè)的準(zhǔn)確性高；由于可以精確描述入侵行為，因此虛報(bào)率低。它的缺點(diǎn)是：檢測(cè)的完整性要取決于數(shù)據(jù)庫的及時(shí)更新程度；收集已經(jīng)攻擊行為和系統(tǒng)脆弱性信息困難；可移植性差并且難以檢測(cè)內(nèi)部用戶的權(quán)限濫用。4.2.3入侵檢測(cè)系統(tǒng)

入侵檢測(cè)系統(tǒng)（IntrusionDetectionSystem，IDS）是靜態(tài)安全防御技術(shù)的合理補(bǔ)充，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。（一）入侵檢測(cè)系統(tǒng)的結(jié)構(gòu)

入侵檢測(cè)系統(tǒng)一般由事件發(fā)生器、事件分析器、響應(yīng)單元和事件數(shù)據(jù)庫4個(gè)部分組成。（二）入侵檢測(cè)系統(tǒng)的功能

入侵檢測(cè)系統(tǒng)的基本功能：監(jiān)控、分析用戶和系統(tǒng)的活動(dòng)發(fā)現(xiàn)入侵企圖或異?，F(xiàn)象記錄、報(bào)警和響應(yīng)入侵檢測(cè)系統(tǒng)的其它功能:審計(jì)系統(tǒng)的配置和弱點(diǎn)、評(píng)估關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性、檢查系統(tǒng)程序和數(shù)據(jù)的一致性與正確性等。入侵檢測(cè)系統(tǒng)應(yīng)該為管理員和用戶提供友好、易用的界面，方便管理員設(shè)置用戶權(quán)限，管理數(shù)據(jù)庫、手工設(shè)置和修改規(guī)則、處理報(bào)警和瀏覽、打印數(shù)據(jù)等。（三）入侵檢測(cè)系統(tǒng)的分類

檢測(cè)的數(shù)據(jù)來源不同可分為

基于主機(jī)的入侵檢測(cè)系統(tǒng)，適用于主機(jī)環(huán)境，

基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)，適用于網(wǎng)絡(luò)環(huán)境。檢測(cè)方法可分為

基于行為的入侵檢測(cè)系統(tǒng)（也稱異常性檢測(cè)），利用被監(jiān)控系統(tǒng)正常行為的信息作為檢測(cè)系統(tǒng)中入侵、異?；顒?dòng)的依據(jù)。

基于入侵規(guī)則的入侵檢測(cè)系統(tǒng)（也稱濫用檢測(cè)），根據(jù)已知入侵攻擊的信息來檢測(cè)系統(tǒng)中的入侵和攻擊。檢測(cè)系統(tǒng)對(duì)入侵攻擊的響應(yīng)方式可分為

主動(dòng)的入侵檢測(cè)系統(tǒng)（又稱為實(shí)時(shí)入侵檢測(cè)系統(tǒng)），在檢測(cè)出入侵后，可自動(dòng)地對(duì)目標(biāo)系統(tǒng)中的漏洞采取修補(bǔ)、強(qiáng)制可疑用戶退出系統(tǒng)以及關(guān)閉相關(guān)服務(wù)等對(duì)策和響應(yīng)措施。

被動(dòng)的入侵檢測(cè)系統(tǒng)（又稱為事后入侵檢測(cè)系統(tǒng)），在檢測(cè)出對(duì)系統(tǒng)的入侵攻擊后只是產(chǎn)生報(bào)警信息通知系統(tǒng)安全管理員，至于之后的處理工作則由系統(tǒng)管理員完成。（二）入侵檢測(cè)的發(fā)展

分布式入侵檢測(cè)智能化入侵檢測(cè)系統(tǒng)自身的安全性新技術(shù)的發(fā)展入侵防御系統(tǒng)（IPS、入侵管理系統(tǒng)（IMS）4.3虛擬專用網(wǎng)技術(shù)

4.3.1VPN概述

4.3.2VPN關(guān)鍵技術(shù)

4.3.3VPN的優(yōu)點(diǎn)與應(yīng)用

4.3.4VPN的構(gòu)建和訪問4.3.1VPN概述（一）VPN的基本概念VPN（VirtualPrivateNetwork，虛擬專用網(wǎng)）是一種能夠?qū)⑽锢砩戏植荚诓煌攸c(diǎn)的網(wǎng)絡(luò)通過公用骨干網(wǎng)，尤其是Internet連接而成的邏輯上的虛擬子網(wǎng)，為用戶提供一條與專用網(wǎng)絡(luò)具有相同通信功能的安全數(shù)據(jù)通道，實(shí)現(xiàn)不同網(wǎng)絡(luò)之間及用戶與網(wǎng)絡(luò)之間的相互連接。它提供了通過公用網(wǎng)絡(luò)安全地對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程訪問的連接。（一）VPN的基本概念VPN的特征主要體現(xiàn)在以下兩個(gè)方面：虛擬（Virtual）專用（Private）（二）VPN的特點(diǎn)費(fèi)用低安全保障服務(wù)質(zhì)量保證可擴(kuò)充性和靈活性可管理性（三）VPN的類型1.內(nèi)聯(lián)網(wǎng)VPN內(nèi)聯(lián)網(wǎng)VPN是一種最常使用的VPN連接方式。它將位于不同地理位置的兩個(gè)內(nèi)部網(wǎng)絡(luò)（LAN1和LAN2）通過公共網(wǎng)絡(luò)（主要為Internet）連接起來，形成一個(gè)邏輯上的局域網(wǎng)，位于不同物理網(wǎng)絡(luò)中的用戶在通信時(shí)，就像在同一局域網(wǎng)中一樣。1.內(nèi)聯(lián)網(wǎng)VPN在內(nèi)聯(lián)網(wǎng)VPN未使用之前，如果要實(shí)現(xiàn)兩個(gè)異地網(wǎng)絡(luò)之間的互聯(lián)，就必須直接鋪設(shè)網(wǎng)絡(luò)線路，或租用運(yùn)營(yíng)商的專線。不管采用哪一種方式，使用和維護(hù)成本都很高，而且不便于網(wǎng)絡(luò)的擴(kuò)展。在使用內(nèi)聯(lián)網(wǎng)VPN后，可以很方便實(shí)現(xiàn)兩個(gè)局域網(wǎng)之間的互聯(lián)，其條件是分別在每一個(gè)局域網(wǎng)中設(shè)置一臺(tái)VPN網(wǎng)關(guān)，同時(shí)每一個(gè)VPN網(wǎng)關(guān)都需要分配一個(gè)公用IP地址，以實(shí)現(xiàn)VPN網(wǎng)關(guān)的遠(yuǎn)程連接。2.外聯(lián)網(wǎng)VPN外聯(lián)網(wǎng)VPN與內(nèi)聯(lián)網(wǎng)VPN相似，也是一種網(wǎng)關(guān)對(duì)網(wǎng)關(guān)的結(jié)構(gòu)。在內(nèi)聯(lián)網(wǎng)VPN中位于兩個(gè)不同內(nèi)部網(wǎng)絡(luò)中的主機(jī)是平等的，可以實(shí)現(xiàn)彼此之間的通信。但在外聯(lián)網(wǎng)VPN中，位于不同內(nèi)部網(wǎng)絡(luò)的主機(jī)在功能上是不平等的。3.遠(yuǎn)程接入VPN遠(yuǎn)程接入VPN也稱為移動(dòng)VPN，即為移動(dòng)用戶提供一種訪問單位內(nèi)部網(wǎng)絡(luò)資源的方式，通過Internet和企業(yè)網(wǎng)絡(luò)中相關(guān)的VPN網(wǎng)關(guān)建立一條安全通道，基于這條可以提供不同級(jí)別的加密和完整性保護(hù)的通道，用戶可以傳輸需要不同級(jí)別保護(hù)的信息。3.遠(yuǎn)程接入VPN目前遠(yuǎn)程接入VPN方式的使用非常廣泛，許多企業(yè)和高校都采用這種方式為本單位用戶提供訪問內(nèi)部網(wǎng)絡(luò)資源的服務(wù)。4.3.2VPN關(guān)鍵技術(shù)（一）VPN實(shí)現(xiàn)的關(guān)鍵技術(shù)隧道技術(shù)加密技術(shù)密鑰管理技術(shù)身份認(rèn)證技術(shù)1.隧道技術(shù)隧道技術(shù)在公用網(wǎng)建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)包通過這條隧道傳輸。網(wǎng)絡(luò)隧道技術(shù)在不改變網(wǎng)絡(luò)標(biāo)準(zhǔn)的條件下，利用公共網(wǎng)絡(luò)來實(shí)現(xiàn)某些使用特別通信協(xié)議的網(wǎng)絡(luò)或用戶之間的連接和通信，是一種利用可路由協(xié)議（如IP協(xié)議）在網(wǎng)絡(luò)中傳送其他協(xié)議數(shù)據(jù)包到目標(biāo)網(wǎng)絡(luò)的技術(shù)。2.加密技術(shù)通過Internet等公共網(wǎng)絡(luò)傳輸?shù)闹匾獢?shù)據(jù)必須經(jīng)過加密處理，以確保網(wǎng)絡(luò)上其他未授權(quán)的實(shí)體無法讀取該信息。目前VPN中均采用對(duì)稱加密體制和非對(duì)稱加密體制相結(jié)合的方法。在VPN實(shí)現(xiàn)中，雙方大量的通信流量的加密使用對(duì)稱加密算法，而在管理、分發(fā)對(duì)稱加密的密鑰上采用更加安全的非對(duì)稱加密技術(shù)。數(shù)據(jù)加密技術(shù)按照不同的形式有不同的分類方法，貫穿于整個(gè)信息存儲(chǔ)、傳輸、鑒別和管理的全過程。3.密鑰管理技術(shù)密鑰管理的主要任務(wù)是保證密鑰在公用數(shù)據(jù)網(wǎng)上安全地傳遞而不被竊取?，F(xiàn)行的密鑰管理技術(shù)：對(duì)稱密鑰管理，數(shù)據(jù)發(fā)送方可以為每次交換的信息生成唯一一把對(duì)稱密鑰并用公開密鑰對(duì)該密鑰進(jìn)行加密，然后再將加密后的密鑰和用該密鑰加密的信息一起發(fā)送給相應(yīng)的數(shù)據(jù)接收方。公開密鑰管理/數(shù)字證書，目前電子商務(wù)廣泛采用數(shù)字證書技術(shù)，通信雙方之間可以使用數(shù)字證書（公開密鑰證書）來交換公開密鑰，標(biāo)識(shí)通信雙方。4.身份認(rèn)證技術(shù)身份認(rèn)證技術(shù)是網(wǎng)絡(luò)安全中最直接、最前沿的一道防線，是鑒別合法用戶與非法用戶重要手段。用戶在使用網(wǎng)絡(luò)安全系統(tǒng)，首先必須向身份認(rèn)證系統(tǒng)表明自己的身份，經(jīng)過身份認(rèn)證系統(tǒng)識(shí)別確認(rèn)身份后，根據(jù)用戶身份、權(quán)限級(jí)別決定能否訪問某個(gè)資源或者進(jìn)行某項(xiàng)操作，在允許并監(jiān)督經(jīng)過授權(quán)的操作同時(shí)防止非法操作。身份確認(rèn)技術(shù)主要包括一般常用的靜態(tài)口令、一次性口令、數(shù)字證書和生物特征技術(shù)等等。4.3.3VPN的優(yōu)點(diǎn)與應(yīng)用（一）VPN的優(yōu)點(diǎn)安全廉價(jià)支持移動(dòng)業(yè)務(wù)服務(wù)質(zhì)量保證（二）VPN技術(shù)的應(yīng)用VPN技術(shù)在遠(yuǎn)程辦公系統(tǒng)中的應(yīng)用VPN在電子商務(wù)安全中的應(yīng)用VPN技術(shù)在金融行業(yè)的應(yīng)用（二）VPN訪問以下以用VPN方式訪問華東師范大學(xué)圖書館資源為例展示VPN訪問流程。（1）使用IE瀏覽器打開，當(dāng)系統(tǒng)彈出如下的安全警報(bào)時(shí)，選擇“是”。然后在接下來的登錄頁面中請(qǐng)輸入用戶名與密碼。（二）VPN訪問（二）VPN訪問（2）輸入正確后，點(diǎn)擊“登錄”。登錄后會(huì)出現(xiàn)如下圖所示的信息，請(qǐng)選擇“確定”。（二）VPN訪問（3）用鼠標(biāo)左鍵單擊地址欄下方的提示信息，IE將彈出3個(gè)菜單選項(xiàng)，請(qǐng)選擇“安裝ActiveX控件”。（二）VPN訪問（4）接下來，系統(tǒng)將會(huì)彈出安全警告讓用戶安裝“ArraySSLVPNClient”，此時(shí)請(qǐng)選擇“安裝”。（二）VPN訪問（5）安裝完成后，系統(tǒng)將會(huì)在右下角的任務(wù)欄內(nèi)出現(xiàn)一個(gè)紅色的“A”，這代表已經(jīng)成功連接到校園網(wǎng)。4.4“蜜罐”技術(shù)

4.4.1什么是“蜜罐”技術(shù)

4.4.2“蜜罐”技術(shù)的主要方法

4.4.1什么是“蜜罐”技術(shù)“蜜罐”技術(shù)本質(zhì)上是一種對(duì)攻擊方進(jìn)行欺騙的技術(shù)，通過布置一些作為誘餌的主機(jī)、網(wǎng)絡(luò)服務(wù)或者信息，誘使攻擊方對(duì)它們實(shí)施攻擊，從而可以對(duì)攻擊行為進(jìn)行捕獲和分析。了解攻擊方所使用的工具與方法，推測(cè)攻擊意圖和動(dòng)機(jī)，能夠讓防御方清晰地了解他們所面對(duì)的安全威脅，并通過技術(shù)和管理手段來增強(qiáng)實(shí)際系統(tǒng)的安全防護(hù)能力。從更高的層次上看，“蜜罐”技術(shù)是網(wǎng)絡(luò)陷阱與誘捕技術(shù)的代表。4.4.1什么是“蜜罐”技術(shù)為了引誘攻擊者實(shí)施攻擊，“蜜罐”一般包含了一些對(duì)攻擊者有誘惑力但實(shí)際并不重要的數(shù)據(jù)或應(yīng)用程序。它一方面可以轉(zhuǎn)移攻擊者的注意力，另一方面通過監(jiān)控入侵并收集相關(guān)的數(shù)據(jù)來了解攻擊的基本類型或特征，以便做好進(jìn)一步的防范工作。4.4.2“蜜罐”技術(shù)的主要方法

偽裝和引入信息控制數(shù)據(jù)捕獲和分析蜜罐是防御方為了改變網(wǎng)絡(luò)攻防博弈不對(duì)稱局面而引入的一種主動(dòng)防御技術(shù)，通過部署沒有業(yè)務(wù)用途的安全資源，誘騙攻擊者對(duì)其進(jìn)行非法使用，從而對(duì)攻擊行為進(jìn)行捕獲和分析，了解攻擊工具與方法，推測(cè)攻擊意圖和動(dòng)機(jī)。蜜罐技術(shù)得到了長(zhǎng)足發(fā)展與廣泛應(yīng)用，并已成