网络技术专业毕业论文--计算机网络安全与防范.doc

I 摘 要 计算机网络飞速发展的同时，安全问题不容忽视。网络安全经过了二十多年的发展， 已经发展成为一个跨多门学科的综合性科学，它包括：通信技术、网络技术、计算机软 件、硬件设计技术、密码学、网络安全与计算机安全技术等。 在理论上，网络安全是建立在密码学以及网络安全协议的基础上的。密码学是网络 安全的核心，利用密码技术对信息进行加密传输、加密存储、数据完整性鉴别、用户身 份鉴别等，比传统意义上简单的存取控制和授权等技术更可靠。加密算法是一些公式和 法则，它规定了明文和密文之间的变换方法。由于加密算法的公开化和解密技术的发展， 加上发达国家对关键加密算法的出口限制，各个国家正不断致力于开发和设计新的加密 算法和加密机制。 从技术上，网络安全取决于两个方面：网络设备的硬件和软件。网络安全则由网络 设备的软件和硬件互相配合来实现的。但是，由于网络安全作为网络对其上的信息提供 的一种增值服务，人们往往发现软件的处理速度成为网络的瓶颈，因此，将网络安全的 密码算法和安全协议用硬件实现，实现线速的安全处理仍然将是网络安全发展的一个主 要方向。 在安全技术不断发展的同时，全面加强安全技术的应用也是网络安全发展的一个重 要内容。因为即使有了网络安全的理论基础，没有对网络安全的深刻认识、没有广泛地 将它应用于网络中，那么谈再多的网络安全也是无用的。同时，网络安全不仅仅是防火 墙，也不是防病毒、入侵监测、防火墙、身份认证、加密等产品的简单堆砌，而是包括 从系统到应用、从设备到服务的比较完整的、体系性的安全系列产品的有机结合。 总之，网络在今后的发展过程中不再仅仅是一个工具，也不再是一个遥不可及仅供 少数人使用的技术专利，它将成为一种文化、一种生活融入到社会的各个领域。 关键词：计算机；网络；安全；防范 II 目 录 摘 要I 目 录 .II 第 1 章 绪 论 .1 1.1 计算机网络发展前景1 1.2 本章小结2 第 2 章 计算机网络安全概述 .3 2.1 计算机网络安全的概念3 2.2 计算机网络安全现状3 2.3 本章小结4 第 3 章 网络安全的威胁因素 .5 3.1 网络安全的威胁因素5 3.2 本章小结5 第 4 章 几种常用的网络安全技术 .7 4.1 防火墙技术7 4.1.1 防火墙的主要功能 .7 4.1.2 防火墙的主要优点 .7 4.1.3 防火墙的主要缺陷 .8 4.1.4 防火墙的分类 .8 4.1.5 防火墙的部署 .9 4.2 数据加密技术.10 4.3 系统容灾技术.10 4.4 入侵检测技术.11 4.4.1 入侵检测系统的分类 11 4.4.2 目前入侵检测系统的缺陷 12 4.4.3 防火墙与入侵检测系统的相互联动 12 4.4.4 结语 13 III 4.5 漏洞扫描技术.13 4.6 物理安全.13 4.7 本章小结.14 第 5 章 结束语与展望 15 5.1 论文总结.15 5.2 工作展望.15 致 谢 17 参考文献 .18 1 第 1 章 绪 论 1.1 计算机网络发展前景 计算机网络就是计算机之间通过连接介质(如网络线、光纤等)互联起来，按照网络 协议进行数据通信，实现资源共享的一种组织形式。计算机网络是二十世纪 60 年代起源 于美国，原本用于军事通讯，后逐渐进入民用，经过短短 40 年不断的发展和完善，现已 广泛应用于各个领域，并正以高速向前迈进。在不久的将来，我们将看到一个充满虚拟 性的新时代。在这个虚拟时代，人们的工作和生活方式都会极大地改变，那时我们将进 行虚拟旅行，读虚拟大学，在虚拟办公室里工作，进行虚拟的驾车测试等。 对计算机网络发展的前景，我有如下看法： 1全球因特网装置之间的通信量将超过人与人之间的通信量。因特网将从一个单 纯的大型数据中心发展成为一个更加聪明的高智商网络，将成为人与信息之间的高层调 节者。其中的个人网站复制功能将不断预期人们的信息需求和喜好，用户将通过网站复 制功能筛选网站，过滤掉与己无关的信息并将所需信息以最佳格式展现出来。同时，个 人及企业将获得大量个性化服务。这些服务将会由软件设计人员在一个开放的平台中实 现。由软件驱动的智能网技术和无线技术将使网络触角伸向人们所能到达的任何角落， 同时允许人们自行选择接收信息的形式。 2带宽的成本将变得非常低廉，甚至可以忽略不计。随着带宽瓶颈的突破，未来 网络的收费将来自服务而不是带宽。交互性的服务，如节目联网的视频游戏、电子报纸 和杂志等服务将会成为未来网络价值的主体。 3在不久的未来，无线网络将更加普及，其中 cnet:短距无线网络前景看俏。短 距无线通讯标准 Zigbee 与超宽频 UWB（Ultra wideband）即将制订完成，未来将与蓝芽 （Bluetooth）共同建构短距离无线网络环境，包括蓝芽、Zigbee 与 UWB 等相关产品出 货量都将大幅成长。随着电子电机工程师协会（IEEE）推出 802.15 个人局域网络 （WPAN）标准后，新一代的短距离无线通讯发展趋势逐渐确定，除了蓝芽（802.15.1） 外，Zigbee（802.15.4）与 UWB（802.15.3a）标准也将于今年或明年初陆续通过，未来 Zigbee 与 UWB 将以各自不同特性，如速度、价格等切入短距离无线网络环境。 4计算机网络飞速发展的同时，安全问题不容忽视。网络安全经过了二十多年的 发展，已经发展成为一个跨多门学科的综合性科学，它包括：通信技术、网络技术、计 算机软件、硬件设计技术、密码学、网络安全与计算机安全技术等。 2 在理论上，网络安全是建立在密码学以及网络安全协议的基础上的。密码学是网络 安全的核心，利用密码技术对信息进行加密传输、加密存储、数据完整性鉴别、用户身 份鉴别等，比传统意义上简单的存取控制和授权等技术更可靠。加密算法是一些公式和 法则，它规定了明文和密文之间的变换方法。由于加密算法的公开化和解密技术的发展， 加上发达国家对关键加密算法的出口限制，各个国家正不断致力于开发和设计新的加密 算法和加密机制。 从技术上，网络安全取决于两个方面：网络设备的硬件和软件。网络安全则由网络 设备的软件和硬件互相配合来实现的。但是，由于网络安全作为网络对其上的信息提供 的一种增值服务，人们往往发现软件的处理速度成为网络的瓶颈，因此，将网络安全的 密码算法和安全协议用硬件实现，实现线速的安全处理仍然将是网络安全发展的一个主 要方向。 在安全技术不断发展的同时，全面加强安全技术的应用也是网络安全发展的一个重 要内容。因为即使有了网络安全的理论基础，没有对网络安全的深刻认识、没有广泛地 将它应用于网络中，那么谈再多的网络安全也是无用的。同时，网络安全不仅仅是防火 墙，也不是防病毒、入侵监测、防火墙、身份认证、加密等产品的简单堆砌，而是包括 从系统到应用、从设备到服务的比较完整的、体系性的安全系列产品的有机结合。 总之，网络在今后的发展过程中不再仅仅是一个工具，也不再是一个遥不可及仅供 少数人使用的技术专利，它将成为一种文化、一种生活融入到社会的各个领域。 1.2 本章小结 计算机网络经过 40 多年不断发展和完善，现在正以高速的发展方向迈进。全球的因 特网装置之间的通信量将超过人与人之间的通信量，因特网将从一个单纯的大型数据中 心发展成为一个高智商网络，将成为人与信息之间的高层调节者。带宽的成本将会变得 非常低，甚至忽略不计。在不久的将来，无线网络将更加普及，尤其短距无线网络的前 景更大。在计算机网络飞速发展的同时，网络安全问题也更加突出，因此各国正不断致 力于开发和设计新的加密算法加密机制，加强安全技术的应用也是网络发展的一个重要 内容。总之，计算机网络在今后的发展中范围更广、潜力更大，将会融入到社会各个领 域。 3 第 2 章 计算机网络安全概述 2.1 计算机网络安全的概念 国际标准化组织将“计算机安全”定义为：“为数据处理系统建立和采取的技术和 管理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改 和泄漏” 。上述计算机安全的定义包含物理安全和逻辑安全两方面的内容，其逻辑安全的 内容可理解为我们常说的信息安全，是指对信息的保密性、完整性和可用性的保护，而 网络安全性的含义是信息安全的引申，即网络安全是对网络信息保密性、完整性和可用 性的保护。计算机网络安全的具体含义会随着使用者的变化而变化，使用者不同，对网 络安全的认识和要求也就不同。从普通使用者的角度来说，可能仅仅希望个人隐私或机 密信息在网络上传输时受到保护，避免被窃听、篡改和伪造；而网络提供商除了关心这 些网络信息安全外，还要考虑如何应付突发的自然灾害、军事打击等对网络硬件的破坏， 以及在网络出现异常时如何恢复网络通信，保持网络通信的连续性。 从本质上来讲，网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的 安全性，使其不致因偶然的或者恶意的攻击遭到破坏，网络安全既有技术方面的问题， 也有管理方面的问题，两方面相互补充，缺一不可。人为的网络入侵和攻击行为使得网 络安全面临新的挑战。 2.2 计算机网络安全现状 计算机网络安全是指网络系统的硬、软件及系统中的数据受到保护，不受偶然或恶 意的原因而遭到破坏、更改、泄露，系统连续、可靠、正常地运行，网络服务不中断。 计算机和网络技术具有的复杂性和多样性，使得计算机和网络安全成为一个需要持续更 新和提高的领域。目前黑客的攻击方法已超过了计算机病毒的种类，而且许多攻击都是 致命的。在 Internet 网络上，因互联网本身没有时空和地域的限制，每当有一种新的攻 击手段产生，就能在一周内传遍全世界，这些攻击手段利用网络和系统漏洞进行攻击从 而造成计算机系统及网络瘫痪。蠕虫、后门(Back-doors)、 Rootkits、DOS(DenialofServices)和 Sniffer(网路监听)是大家熟悉的几种黑客攻击手段。 但这些攻击手段却都体现了它们惊人的威力，时至今日，有愈演愈烈之势。这几类攻击 手段的新变种，与以前出现的攻击方法相比，更加智能化，攻击目标直指互联网基础协 议和操作系统层次。从 Web 程序的控制程序到内核级 Rootlets。黑客的攻击手法不断升 级翻新，向用户的信息安全防范能力不断发起挑战。 4 2.3 本章小结 本章主要介绍了计算机网络安全的概念及概念所包含的内容，以及各内容的具体含 义。计算机网络安全的具体含义会因使用者的不同而变化，不同的使用者，对计算机网 络的认识和要求也不同。 计算机和网络技术具有的复杂性和多样性，使计算机网络安全成为一个需要持续更 新和提高的领域。目前黑客的攻击方法已超过了病毒的种类，而且许多攻击都是致命的。 由于互联网本身的性质没有失控和地域的限制，每种新攻击手段在一周内传遍全世界， 这些攻击手段利用网络和系统漏洞进行攻击导致计算机网络及系统瘫痪。变种新出现的 攻击方法更具智能化，攻击目标直接指向互联网基础协议和操作系统层次，而且黑客手 段不断升级翻新，因此，计算机网络安全面临更大挑战。 5 第 3 章 网络安全的威胁因素 3.1 网络安全的威胁因素 归纳起来，针对网络安全的威胁主要有:软件漏洞、配置不当、安全意识不强、病毒、 黑客攻击等。 1软件漏洞： 每一个操作系统或网络软件的出现都不可能是无缺陷和漏洞的。这就使我们的计算 机处于危险的境地，一旦连接入网，将成为众矢之的。 2配置不当: 安全配置不当造成安全漏洞，例如，防火墙软件的配置不正确，那么它根本不起作 用。对特定的网络应用程序，当它启动时，就打开了一系列的安全缺口，许多与该软件 捆绑在一起的应用软件也会被启用。除非用户禁止该程序或对其进行正确配置，否则， 安全隐患始终存在。 3安全意识不强: 用户口令选择不慎，或将自己的帐号随意转借他人或与别人共享等都会对网络安全 带来威胁。 4病毒: 目前数据安全的头号大敌是计算机病毒，它是编制者在计算机程序中插入的破坏计 算机功能或数据，影响计算机软件、硬件的正常运行并且能够自我复制的一组计算机指 令或程序代码。计算机病毒具有传染性、寄生性、隐蔽性、触发性、破坏性等特点。因 此，提高对病毒的防范刻不容缓。 5黑客攻击: 对于计算机数据安全构成威胁的另一个方面是来自电脑黑客(backer)。电脑黑客利用 系统中的安全漏洞非法进入他人计算机系统，其危害性非常大。从某种意义上讲，黑客 对信息安全的危害甚至比一般的电脑病毒更为严重。 3.2 本章小结 目前，针对网络安全的威胁因素归纳为以下几点：软件漏洞、配置不当、安全意识 不强、病毒、黑客攻击等。软件漏洞是每一个系统或网络软件不可避免的，安全漏洞是 由于安全配置不当而造成。用户口令选择不慎或将自己的账号随意转借他人或与他人共 享带来网络安全问题，这是由于安全意识不强；病毒已成为数据安全的头号大敌，而且 6 其具有传染性、寄生性、隐蔽性、触发性、破坏性等特点；威胁计算机数据安全的另一 方面来自电脑黑客，其危害性非常大，尤其在信息安全方面危害甚至比一般电脑病毒更 为严重。 7 第 4 章 几种常用的网络安全技术 4.1 防火墙技术 网络安全所说的防火墙(Fire Wall)是指内部网和外部网之间的安全防范系统。它使 得内部网络与因特网之间或与其它外部网络之间互相隔离、限制网络互访，用来保护内 部网络。防火墙通常安装在内部网与外部网的连接点上。所有来自 Internet（外部网） 的传输信息或从内部网发出的信息都必须穿过防火墙。 4.1.1 防火墙的主要功能 防火墙的主要功能包括： 1防火墙可以对流经它的网络通信进行扫描，从而过滤掉一些攻击，以免其在 目标计算机上被执行。 2防火墙可以关闭不使用的端口，而且它还能禁止特定端口的输出信息。 3防火墙可以禁止来自特殊站点的访问，从而可以防止来自不明入侵者的所有 通信，过滤掉不安全的服务和控制非法用户对网络的访问。 4防火墙可以控制网络内部人员对 Internet 上特殊站点的访问。 5防火墙提供了监视 Internet 安全和预警的方便端点。 4.1.2 防火墙的主要优点 防火墙的主要优点包括: 1可作为网络安全策略的焦点 防火墙可作为网络通信的阻塞点。所有进出网络的信息都必须通过防火墙。防火墙 将受信任的专用网与不受信任的公用网隔离开来，将承担风险的范围从整个内部网络缩 小到组成防火墙系统的一台或几台主机上。从而在结构上形成了一个控制中心，极大地 加强了网络安全，并简化了网络管理。 2可以有效记录网络活动 由于防火墙处于内网与外网之间，即所有传输的信息都会穿过防火墙。所以，防火 墙很适合收集和记录关于系统和网络使用的多种信息，提供监视、管理与审计网络的使 用和预警功能。 3为解决 IP 地址危机提供了可行方案 8 由于 Internet 的日益发展及 IP 地址空间有限，使得用户无法获得足够的注册 IP 地 址。防火墙则处于设置网络地址转换 NAT 的最佳位置。NAT 有助于缓和 IP 地址空间的不 足。 4.1.3 防火墙的主要缺陷 由于互联网的开放性，防火墙也有一些弱点，使它不能完全保护网络不受攻击。防 火墙的主要缺陷有： 1防火墙对绕过它的攻击行为无能为力。 2防火墙无法防范病毒，不能防止感染了病毒的软件或文件的传输，对于病毒只 能安装反病毒软件。 3防火墙需要有特殊的较为封闭的网络拓扑结构来支持。网络安全性的提高往往 是以牺牲网络服务的灵活性、多样性和开放性为代价。 4.1.4 防火墙的分类 防火墙的实现从层次上大体可分为三类：包过滤防火墙，代理防火墙和复合型防火 墙。 1包过滤防火墙 包过滤防火墙是在 IP 层实现，它可以只用路由器来实现。包过滤防火墙根据报文的 源 IP 地址，目的 IP 地址、源端口、目的端口和报文传递方向等报头信息来判断是否允 许有报文通过。 包过滤路由器的最大优点是：对用户来说是透明的，即不需要用户名和密码来登陆。 包过滤路由器的弊端是明显的，由于它通常没有用户的使用记录，我们不能从访问 中发现黑客的攻击记录。它还有一个致命的弱点，就是不能在用户级别上进行过滤，即 不能识别用户与防止 IP 地址的盗用。如果攻击者将自己的主机设置为一个合法主机的 IP 地址，则很容易地通过包过滤防火墙。 2代理防火墙 代理防火墙也叫应用层网关防火墙，包过滤防火墙可以按照 IP 地址来禁止未授权者 的访问。但它不适合单位用来控制内部人员访问外部网络，对于这样的企业，应用代理 防火墙是更好的选择。 代理服务是设置在 Internet 防火墙网关上的应用，是在网管员允许下或拒绝的特定 9 的应用程序或者特定服务，一般情况下可应用于特定的互联网服务，如超文本传输、远 程文件传输等。同时还可应用于实施较强的数据流监控、过滤、记录和报告等功能。 应用层网关包括应用代理服务器、回路级代理服务器、代管服务器、IP 通道、网 络地址转换器、隔离域名服务器和邮件技术等。 3复合型防火墙 复合型防火墙是将数据包过滤和代理服务结合在一起使用，从而实现了网络安全性、 性能和透明度的优势互补。 随着技术的发展，防火墙产品还在不断完善、发展。目前出现的新技术类型主要有 以下几种：状态监视技术、安全操作系统、自适应代理技术、实时侵入检测系统等。混 合使用数据包过滤技术、代理服务技术和一些新技术是未来防火墙的趋势。 4.1.5 防火墙的部署 防火墙是网络安全的关口设备，只有在关键网络流量通过防火墙的时候，防火墙才 能对此实行检查，防护功能。 1防火墙的位置一般是内网与外网的接合处，用来阻止来自外部网络的入侵。 2如果内部网络规模较大，并且设置虚拟局域网（VLAN） ，则应该在各个 VLAN 之 间设置防火墙。 3通过公网连接的总部与各分支机构之间应该设置防火墙。 4主干交换机至服务器区域工作组交换机的骨干链路上。 5远程拨号服务器与骨干交换机或路由器之间。 总之，在网络拓扑上，防火墙应当处在网络的出口与不同安全等级区域的结合处。 安装防火墙的原则是：只要有恶意侵入的可能，无论是内部网还是外部网的连接处都应 安装防火墙。 防火墙技术是指网络之间通过预定义的安全策略，对内外网通信强制实施访问控制 的安全应用措施。它对两个或多个网络之间传输的数据包按照一定的安全策略来实施检 查，以决定网络之间的通信是否被允许，并监视网络运行状态。由于它简单实用且透明 度高，可以在不修改原有网络应用系统的情况下，达到一定的安全要求，所以被广泛使 用。据预测近 5 年世界防火墙需求的年增长率将达到 174%。 目前，市场上防火墙产品很多，一些厂商还把防火墙技术并入其硬件产品中，即在 其硬件产品中采取功能更加先进的安全防范机制。可以预见防火墙技术作为一种简单实 用的网络信息安全技术将得到进一步发展。然而，防火墙也并非人们想象的那样不可渗 10 透。在过去的统计中曾遭受过黑客入侵的网络用户有三分之一是有防火墙保护的，也就 是说要保证网络信息的安全还必须有其他一系列措施，例如对数据进行加密处理。需要 说明的是防火墙只能抵御来自外部网络的侵扰，而对企业内部网络的安全却无能为力。 要保证企业内部网的安全，还需通过对内部网络的有效控制和管理来实现。 4.2 数据加密技术 数据加密技术就是对信息进行重新编码，从而隐藏信息内容，使非法用户无法获取 信息、的真实内容的一种技术手段。数据加密技术是为提高信息系统及数据的安全性和 保密性，防止秘密数据被外部破析所采用的主要手段之一。 数据加密技术按作用不同可分为数据存储、数据传输、数据完整性的鉴别以及密匙 管理技术 4 种。数据存储加密技术是以防止在存储环节上的数据失密为目的，可分为密 文存储和存取控制两种;数据传输加密技术的目的是对传输中的数据流加密，常用的有线 路加密和端口加密两种方法;数据完整性鉴别技术的目的是对介入信息的传送、存取、处 理人的身份和相关数据内容进行验证，达到保密的要求，系统通过对比验证对象输入的 特征值是否符合预先设定的参数，实现对数据的安全保护。数据加密在许多场合集中表 现为密匙的应用，密匙管理技术事实上是为了数据使用方便。密匙的管理技术包括密匙 的产生、分配保存、更换与销毁等各环节上的保密措施。 数据加密技术主要是通过对网络数据的加密来保障网络的安全可靠性，能够有效地 防止机密信息的泄漏。另外，它也广泛地被应用于信息鉴别、数字签名等技术中，用来 防止电子欺骗，这对信息处理系统的安全起到极其重要的作用。 4.3 系统容灾技术 一个完整的网络安全体系，只有防范和检测措施是不够的，还必须具有灾难容忍和 系统恢复能力。因为任何一种网络安全设施都不可能做到万无一失， 一旦发生漏防漏检 事件， 其后果将是灾难性的。此外，天灾人祸、不可抗力等所导致的事故也会对信息系 统造成毁灭性的破坏。这就要求即使发生系统灾难，也能快速地恢复系统和数据，才能 完整地保护网络信息系统的安全。现阶段主要有基于数据备份和基于系统容错的系统容 灾技术。数据备份是数据保护的最后屏障，不允许有任何闪失。但离线介质不能保证安 全。数据容灾通过 IP 容灾技术来保证数据的安全。数据容灾使用两个存储器，在两者之 间建立复制关系，一个放在本地，另一个放在异地。本地存储器供本地备份系统使用， 异地容灾备份存储器实时复制本地备份存储器的关键数据。二者通过 IP 相连，构成完整 11 的数据容灾系统，也能提供数据库容灾功能。 集群技术是一种系统级的系统容错技术，通过对系统的整体冗余和容错来解决系统 任何部件失效而引起的系统死机和不可用问题。集群系统可以采用双机热备份、本地集 群网络和异地集群网络等多种形式实现，分别提供不同的系统可用性和容灾性。其中异 地集群网络的容灾性是最好的。存储、备份和容灾技术的充分结合，构成的数据存储系 统，是数据技术发展的重要阶段。随着存储网络化时代的发展，传统的功能单一的存储 器，将越来越让位于一体化的多功能网络存储器。 4.4 入侵检测技术 入侵检测技术是从各种各样的系统和网络资源中采集信息（系统运行状态、网络流 经的信息等） ，并对这些信息进行分析和判断。通过检测网络系统中发生的攻击行为或异 常行为，入侵检测系统可以及时发现攻击或异常行为并进行阻断、记录、报警等响应， 从而将攻击行为带来的破坏和影响降至最低。同时，入侵检测系统也可用于监控分析用 户和系统的行为、审计系统配置和漏洞、识别异常行为和攻击行为（通过异常检测和模 式匹配等技术） 、对攻击行为或异常行为进行响应、审计和跟踪等。 典型的 IDS 系统模型包括 4 个功能部件： 1事件产生器，提供事件记录流的信息源。 2事件分析器，这是发现入侵迹象的分析引擎。 3响应单元，这是基于分析引擎的分析结果产生反应的响应部件。 4事件数据库，这是存放各种中间和最终数据的地方的统称，它可以是复杂的数 据库，也可以是简单的文本文件。 4.4.1 入侵检测系统的分类 入侵检测系统根据数据来源不同，可分为基于网络的入侵检测系统和基于主机的入 侵检测系统。 网络型入侵检测系统的实现方式是将某台主机的网卡设置成混杂模式，监听本网段 内的所有数据包并进行判断或直接在路由设备上放置入侵检测模块。一般来说，网络型 入侵检测系统担负着保护整个网络的任务。 主机型入侵检测系统是以系统日志、应用程序日志等作为数据源，当然也可以通过 其它手段（如检测系统调用）从所有的主机上收集信息进行分析。 入侵检测系统根据检测的方法不同可分为两大类：异常和误用。 12 异常入侵检测根据用户的异常行为或对资源的异常存放来判断是否发生了入侵事件。 误用入侵检测通过检查对照已有的攻击特征、定义攻击模式、比较用户的活动来了 解入侵。例如，著名的 Internet 蠕虫事件是利用 fingerd(FreeBSD)上的守护进程，允许用 户远程读取文件系统，因而存在可以查看文件内容的漏洞和 Sendmail(Linux 上的守护进 程，利用其漏洞可取得 root 权限)的漏洞进行攻击。对这种攻击可以使用这种检测方法。 4.4.2 目前入侵检测系统的缺陷 入侵检测系统作为网络安全防护的重要手段，目前的 IDS 还存在很多问题，有待于 我们进一步完善。 1高误报率 误报率主要存在于两个方面：一方面是指正常请求误认为入侵行为；另一方面是指 对 IDS 用户不关心事件的报警。导致 IDS 产品高误报率的原因是 IDS 检测精度过低和用 户对误报概念的不确定。 2缺乏主动防御功能 入侵检测技术作为一种被动且功能有限的安全防御技术，缺乏主动防御功能。因此， 需要在一代 IDS 产品中加入主动防御功能，才能变被动为主动。 4.4.3 防火墙与入侵检测系统的相互联动 防火墙是一个跨接多个物理网段的网络安全关口设备。它可以对所有流经它的流量 进行各种各样最直接的操作处理，如无通告拒绝、ICMP 拒绝、转发通过（可转发至任 何端口） 、各以报头检查修改、各层报文内容检查修改、链路带宽资源管理、流量统计、 访问日志、协议转换等。 当我们实现防火墙与入侵检测系统的相互联动后，IDS 就不必为它所连接的链路转 发业务流量。因此，IDS 可以将大部分的系统资源用于对采集报文的分析，而这正是 IDS 最眩目的亮点。IDS 可以有足够的时间和资源做些有效的防御工作，如入侵活动报 警、不同业务类别的网络流量统计、网络多种流量协议恢复（实时监控功能）等。IDS 高智能的数据分析技术、详尽的入侵知识描述库可以提供比防火墙更为准确、更严格、 更全面的访问行为审查功能。 综上所述，防火墙与 IDS 在功能上可以形成互补关系。这样的组合较以前单一的动 态技术或静态技术都有了较大的提高。使网络的防御安全能力大大提高。防火墙与 IDS 13 的相互联动可以很好地发挥两者的优点，淡化各自的缺陷，使防御系统成为一个更加坚 固的围墙。在未来的网络安全领域中，动态技术与静态技术的联动将有很大的发展市场 和空间。 4.4.4 结语 网络安全是一个很大的系统工程，除了防火墙和入侵检测系统之外，还包括反病毒 技术和加密技术。反病毒技术是查找和清除计算机病毒技术。其原理就是在杀毒扫描程 序中嵌入病毒特征码引擎。然后根据病毒特征码数据库来进行对比式查杀。加密技术主 要是隐藏信息、防止对信息篡改或防止非法使用信息而转换数据的功能或方法。它是将 数据信息转换为一种不易解读的模式来保护信息，除非有解密密钥才能阅读信息。加密 技术包括算法和密钥。算法是将普通的文本（或是可以理解的信息）与一串数字（密钥） 的结合，产生不可理解的密文的步骤。密钥是用来对数据进行编码和解码的一种算法。 在安全保密中，可通过适当的密钥加密技术和管理机制来保证网络的信息通信安全。 4.5 漏洞扫描技术 漏洞扫描是自动检测远端或本地主机安全的技术，它查询 TCP/IP 各种服务的端口， 并记录目标主机的响应，收集关于某些特定项目的有用信息。这项技术的具体实现就是 安全扫描程序。扫描程序可以在很短的时间内查出现存的安全脆弱点。扫描程序开发者 利用可得到的攻击方法，并把它们集成到整个扫描中，扫描后以统计的格式输出，便于 参考和分析。 4.6 物理安全 为保证信息网络系统的物理安全，还要防止系统信息在空间的扩散。通常是在物理 上采取一定的防护措施，来减少或干扰扩散出去的空间信号。为保证网络的正常运行， 在物理安全方面应采取如下措施: 1产品保障方面:主要指产品采购、运输、安装等方面的安全措施。 2运行安全方面:网络中的设备，特别是安全类产品在使用过程中，必须能够从 生成厂家或供货单位得到迅速的技术支持服务。对一些关键设备和系统，应设置备份系 统。 3防电磁辐射方面:所有重要涉密的设备都需安装防电磁辐射产品，如辐射干扰 机。 14 4保安方面:主要是防盗、防火等，还包括网络系统所有网络设备、计算机、安 全设备的安全防护。 计算机网络安全是个综合性和复杂性的问题。面对网络安全行业的飞速发展以及整 个社会越来越快的信息化进程，各种新技术将会不断出现和应用。 网络安全孕育着无限的机遇和挑战，作为一个热门的研究领域和其拥有的重要战略 意义，相信未来网络安全技术将会取得更加长足的发展。 4.7 本章小结 本章主要介绍了