06第六章网络安全防护技术

1、第六章第六章 网络安全防护技术网络安全防护技术 ? 6.1 网络安全基础网络安全基础 网络安全问题自有网络那天起就存在了，只是当时人们并没有网络安全问题自有网络那天起就存在了，只是当时人们并没有充分重视，随着计算机网络的发展壮大，人们对它的依赖程度也越充分重视，随着计算机网络的发展壮大，人们对它的依赖程度也越来越大，网络安全问题变得日益明显。开放互联网络具有国际统一来越大，网络安全问题变得日益明显。开放互联网络具有国际统一的标准和访问方法，容易互连、互通与互操作，而且为使善良的人的标准和访问方法，容易互连、互通与互操作，而且为使善良的人们能够充分的利用网上的资源，网络被设计成非常容易进入。这就

2、们能够充分的利用网上的资源，网络被设计成非常容易进入。这就造成了开放性网络系统节点分散、难于管理。造成了开放性网络系统节点分散、难于管理。 对网络的侵害手段多种多样，主要表现在：非授权访问、冒充对网络的侵害手段多种多样，主要表现在：非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运行，利用网络传播病合法用户、破坏数据完整性、干扰系统正常运行，利用网络传播病毒、线路窃听等。毒、线路窃听等。 随着经济信息化的迅速发展，计算机网络对安全要求越来越高，随着经济信息化的迅速发展，计算机网络对安全要求越来越高，尤其自尤其自InternetIntranet应用发展以来，网络的安全已经涉及到应用发展以来

3、，网络的安全已经涉及到国家主权等许多重大问题。随着国家主权等许多重大问题。随着“黑客黑客”工具技术的日益发展，使工具技术的日益发展，使用这些工具所需具备的各种技巧和知识在不断减少，从而造成的全用这些工具所需具备的各种技巧和知识在不断减少，从而造成的全球范围内球范围内“黑客黑客”行为的泛滥，导致了一个全新战争形式的出现，行为的泛滥，导致了一个全新战争形式的出现，即网络安全技术的大战即网络安全技术的大战。 6.1 网络安全基础 ? 6.1.1 网络安全定义网络安全定义 ?网络安全是指网络系统的硬件、软件及其系统中的数据受到保网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶

4、意的原因而遭到破坏、更改、泄露，系护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。统连续可靠正常地运行，网络服务不中断。 ?与其他概念不同的是，网络安全的具体定义和侧重点会随着观与其他概念不同的是，网络安全的具体定义和侧重点会随着观察者的角度而不断变化察者的角度而不断变化 ?从用户从用户(个人用户或者企业用户个人用户或者企业用户 )的角度来说，他们最为关心的的角度来说，他们最为关心的网络安全问题是如何保证他们的涉及个人隐私或商业利益的数网络安全问题是如何保证他们的涉及个人隐私或商业利益的数据在传输过程中受到保密性、完整性和真实性的保护。据在传输过程中

5、受到保密性、完整性和真实性的保护。 ?从网络运行和管理者角度来说，他们最为关心的网络安全问题从网络运行和管理者角度来说，他们最为关心的网络安全问题是如何保护和控制其他人对本地网络信息的访问、读写等操作。是如何保护和控制其他人对本地网络信息的访问、读写等操作。?从社会教育和意识形态角度来说，人们最为关心的网络安全问从社会教育和意识形态角度来说，人们最为关心的网络安全问题是如何杜绝和控制网络上不健康的内容。有害的黄色内容会题是如何杜绝和控制网络上不健康的内容。有害的黄色内容会对社会的稳定和人类的发展造成不良影响。对社会的稳定和人类的发展造成不良影响。 6.1 网络安全基础 ? 6.1.1 网络安全

6、定义网络安全定义 网络信息安全与保密还会因为不同的应用环境得网络信息安全与保密还会因为不同的应用环境得到不同的解释到不同的解释 ?运行系统安全，即保证网络信息处理和传输系统的安全。 ?网络系统信息的安全。比如：用户口令鉴别、用户存取权限控制、数据存取权限和方式控制、安全审计、安全跟踪、计算机病毒防治、数据加密等。 ?网络信息传播的安全，即网络信息传播后果的安全。 ?网络信息内容的安全。 6.1 网络安全基础 ? 6.1.2 网络安全特征网络安全特征 ?可靠性可靠性 可靠性是网络信息系统能够在规定条件下和规定的时间内完成可靠性是网络信息系统能够在规定条件下和规定的时间内完成规定的功能的特性。可靠

7、性是系统安全的最基本要求之一，是规定的功能的特性。可靠性是系统安全的最基本要求之一，是所有网络信息系统的建设和运行目标。所有网络信息系统的建设和运行目标。 ?可用性可用性 可用性是网络信息可被授权实体访问并按需求使用的特性，即可用性是网络信息可被授权实体访问并按需求使用的特性，即网络信息服务在需要时，允许授权用户或实体使用的特性，或网络信息服务在需要时，允许授权用户或实体使用的特性，或者是网络部分受损或需要降级使用时，仍能为授权用户提供有者是网络部分受损或需要降级使用时，仍能为授权用户提供有效服务的特性。效服务的特性。 ? 保密性保密性 保密性是网络信息不被泄露给非授权的用户、实体或过程，或保

8、密性是网络信息不被泄露给非授权的用户、实体或过程，或供其利用的特性。即，防止信息泄漏给非授权个人或实体，信供其利用的特性。即，防止信息泄漏给非授权个人或实体，信息只为授权用户使用的特性。息只为授权用户使用的特性。 6.1 网络安全基础 ?完整性完整性 完整性是网络信息未经授权不能进行改变的特性，即网络信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。 保障网络信息完整性的主要方法有： ?协议：通过各种安全协议可以有效地检测出被复制的信息、被删除的 字段、失效的字段和被修改的字段； ?纠错编码方法：由此完成纠错和纠错功能。最简单和常用的纠错编码方法是

9、奇偶校验法； ?密码校验和方法：它是抗篡改和传输失败的重要手段； ?数字签名：保障信息的真实性； ?公证：请求网络管理或中介机构证明信息的真实性。 ?不可抵赖性不可抵赖性 不可抵赖性也称作不可否认性。在网络信息系统的信息交互过程中，确信参与者的真实同一性，即，所有参与者都不可能否认或抵赖曾经完成的操作和承诺。 ?可控性可控性 可控性是对网络信息的传播及内容具有控制能力的特性。 6.1 网络安全基础 ? 6.1.3 网络安全模型网络安全模型 ? 物理安全物理安全 ?自然灾害(地震、火灾、洪水等)、物理损坏(硬盘损坏、设备使用寿命到期、外力破损等 )、设备故障(停电断电、电磁干扰等) ?电磁辐射(

10、如侦听微机操作过程)，乘机而入(如合法用户进入安全进程后半途离开)，痕迹泄露(如口令密钥等保管不善，被非法用户获得)等 ?操作失误(偶然删除文件、格式化硬盘、线路拆除等 )，意外疏漏(系统掉电、“死机”等系统崩溃)。 ? 安全控制安全控制 ?操作系统的安全控制 ?网络接口模块的安全控制 ?网络互连设备的安全控制 6.1 网络安全基础 ? 安全服务安全服务 ?安全机制是利用密码算法对重要而敏感的数据进行处理?安全连接是在安全处理前与网络通信方之间的连接过程?安全协议 ?安全策略 6.1 网络安全基础 ? 6.1.4 网络安全机制网络安全机制 ? 计算机网络面临的威胁计算机网络面临的威胁 ?内部泄

11、密和破坏 ?截收 6.1 网络安全基础 ?冒充 冒充领导发布命令、调阅密件；冒充主机欺骗合法主机及合法用户；冒充网络控制程序套取或修改使用权限、口令、密钥等信息，越权使用网络设备和资源；接管合法用户，欺骗系统，占用合法用户的资源。 破坏系统的可用性 使合法用户不能正常访问网络资源；使有严格时间要求的服务不能及时得到响应；摧毁系统等 ? 6.1 网络安全基础 ?非法访问 非法用户（通常称为黑客）进入网络或系统，进行违法操作；合法用户以未授权的方式进行操作。 ?破坏信息的完整性 篡改改变信息流的次序、时序、流向，更改信息的内容和形式；如图如图63所示所示： 删除删除某个消息或消息的某些部分； 插入

12、在消息中插入一些信息，让接收方读不懂或接收错误的信息。 6.1 网络安全基础 ?重演 重演指的是攻击者截收并录制信息，然后在必要的时候重发或反复发送这些 信息。 ?抵赖 发送信息者事后否认曾经发送过某条消息；发送信息者事后否认曾经发送过某条消息的内容；接收信息者事后否认曾经收到过某条消息；接收信息者事后否认曾经收到过某条消息的内容。 ?其他威胁 计算机病毒 电磁泄漏 各种灾害 操作失误 6.1 网络安全基础 ? OSI安全体系结构和安全体系结构和Internet安全策略安全策略 1 2 3 4 5 6 7 OSI OSI层次安全服务层次安全服务 对等协议实体鉴别 数据源鉴别 访问控制服务 连接

13、保密 无连接保密 选择字段保密 分组流保密 可恢复连接完整性 无恢复连接完整性 选择字段连接完整性 无连接完整性 选择字段无连接完整性 数字签名 6.1 网络安全基础 ?从整体上看， Internet网络安全策略可分为以下几个层次： 即操作系统层 用户层、应用层 网络层（路由器） 数据链路层 6.1 网络安全基础 ?安全服务安全服务 ?对象认证安全服务对象认证安全服务 防止主动攻击的主要技术，认证就是识别和证实。识别是辩明一防止主动攻击的主要技术，认证就是识别和证实。识别是辩明一个对象的身份的过程，证实是证明该对象的身份就是其声明的身个对象的身份的过程，证实是证明该对象的身份就是其声明的身份的

14、过程。份的过程。 ?访问控制安全服务访问控制安全服务 防止超权使用资源。访问控制大体可分为自主访问控制和强制访防止超权使用资源。访问控制大体可分为自主访问控制和强制访问控制。问控制。 ?数据机密性安全服务数据机密性安全服务 防止信息泄漏。这组安全服务又细分为：信息机密性、选择段机防止信息泄漏。这组安全服务又细分为：信息机密性、选择段机密性、业务流机密性。密性、业务流机密性。 ?数据完整性安全服务数据完整性安全服务 防止非法地篡改信息、文件和业务流。这组安全服务又分为：联防止非法地篡改信息、文件和业务流。这组安全服务又分为：联接完整性接完整性(有恢复或无恢复有恢复或无恢复 )、选择段有联接完整性

15、、选择段无联、选择段有联接完整性、选择段无联接完整性。接完整性。 ?防抵赖安全服务防抵赖安全服务 证实己发生的操作。它包括对发送防抵赖、对递交防抵赖和公证。证实己发生的操作。它包括对发送防抵赖、对递交防抵赖和公证。 6.1 网络安全基础 ? 安全机制安全机制 ?与安全服务有关的机制与安全服务有关的机制 加密机制加密机制 数字签名机制数字签名机制 访问控制机制访问控制机制 数据完整性机制数据完整性机制 认证交换机制认证交换机制 防业务流分析机制防业务流分析机制 路由控制机制路由控制机制 公证机制公证机制 6.1 网络安全基础 ?与管理有关的安全机制与管理有关的安全机制 可信功能机制：扩充其它安全

16、机制的应用范围，既可以可信功能机制：扩充其它安全机制的应用范围，既可以可信地直接提供安全机制，也可以可信地提供对其它安可信地直接提供安全机制，也可以可信地提供对其它安全机制的访问。全机制的访问。 安全标签机制：标明安全对象的敏感程度或保护级。安全标签机制：标明安全对象的敏感程度或保护级。 事件探测机制：探测与安全性有关的事件。事件探测机制：探测与安全性有关的事件。 安全审核机制：独立地对安全系统的记录和活动进行检安全审核机制：独立地对安全系统的记录和活动进行检查，测试系统控制信息是否正常，确保安全政策的正常查，测试系统控制信息是否正常，确保安全政策的正常实施。实施。 安全恢复机制：从安全性破坏

17、的状态中恢复到安全状态。安全恢复机制：从安全性破坏的状态中恢复到安全状态。安全服务与安全机制有着密切的关系：安全服务体现了安全服务与安全机制有着密切的关系：安全服务体现了安全系统的功能，它是由一个或多个安全机制来实现的，安全系统的功能，它是由一个或多个安全机制来实现的，同样，一个安全机制也可用于实现不同的安全服务中。同样，一个安全机制也可用于实现不同的安全服务中。 6.1 网络安全基础 ? 6.1.5 网络安全的关键技术网络安全的关键技术 ? 防火墙防火墙(Firewall)技术技术 ?分组过滤分组过滤 这是一种基于路由器的防火墙。它是在网间的路由器中按网络安全策略设置一张访问表或黑名单。防火

18、墙的职责就是根据访问表 (或黑名单)对进出路由器的分组进行检查和过滤、凡符合要求的放行，不符合的拒之门外。这种防火墙简单易行，但不能完全有效地防范非法攻击。 ?代理服务 是一种基于代理服务的防火墙，它的安全性高，增加了身份认证与审计跟踪功能，但速度较慢。 6.1 网络安全基础 ? 访问控制技术访问控制技术 除了计算机网络硬设备之外，网络操作系统是确保计算机网络安全的最基本部件。它是计算机网络资源的管理者，如果它具有安全的控制策略和保护机制，便可以将非法人侵者拒之门外。否则，非法人侵者便可攻破设防而非法获取资源。网络操作系统安全保密的核心是访问控制，即确保主体对客体的访问只能是授权的，未经授权的

19、访问是不允许的，而且操作是无效的。因此，授权策略和授权机制的安全性显得特别重要。 ?物理隔离：使必须隔离的进程使用不同的物理客体。 ?时间隔离：使具有不同安全要求的进程在不同的时间运行。 ?逻辑隔离：实施存取控制，使进程不能存取允许范围以外的客体。 ?密码隔离：使进程以一种其它进程不能解密的方式险蔽数据以及计算。 6.1 网络安全基础 ? 网络安全协议控制网络安全协议控制 ? ssl ? shttp ? 其他技术其他技术 ?智能卡技术智能卡技术 ?网络分段网络分段 6.2 网络操作系统安全网络操作系统安全 ? 目前服务器常用的操作系统有三类：目前服务器常用的操作系统有三类： ? Unix ?

20、Linux ? Windows NT/2000/2003 Server 。 ? UNIX系统系统 ?（1）可靠性高）可靠性高 ?（2）极强的伸缩性）极强的伸缩性 ?（3）网络功能强）网络功能强 ?（4）强大的数据库支持功能）强大的数据库支持功能 ?（5）开放性好）开放性好 ? Linux系统系统 6.2 网络操作系统安全网络操作系统安全 ? Linux系统系统 ?完全免费完全免费 ?完全兼容完全兼容POSIX 1.0标准标准 ?多用户、多任务多用户、多任务 ?良好的界面良好的界面 ?丰富的网络功能丰富的网络功能 ?可靠的安全、稳定性能可靠的安全、稳定性能 ?支持多种平台支持多种平台 ? Win

21、dows系统系统 ?支持多种网络协议支持多种网络协议 ?内置内置Internet功能功能 ?支持支持NTFS文件系统文件系统 6.3 常见网络攻击与防范 ? 6.3.1 攻击五部曲攻击五部曲 ? 隐藏隐藏IP ?首先入侵互联网上的一台电脑（俗称首先入侵互联网上的一台电脑（俗称“肉鸡肉鸡”），利用这），利用这台电脑进行攻击，这样即使被发现了，也是台电脑进行攻击，这样即使被发现了，也是“肉鸡肉鸡”的的 IP地址。地址。 ?做多级跳板做多级跳板“Sock代理代理”，这样在入侵的电脑上留下的是，这样在入侵的电脑上留下的是代理计算机的代理计算机的IP地址地址。 ? 踩点扫描、踩点扫描踩点扫描、踩点扫描

22、?踩点是通过各种途径对所要攻击的目标进行多方面的了解踩点是通过各种途径对所要攻击的目标进行多方面的了解（包括任何可得到的蛛丝马迹，但要确保信息的准确），（包括任何可得到的蛛丝马迹，但要确保信息的准确），确定攻击的时间和地点。确定攻击的时间和地点。 ?扫描的目的是利用各种工具在攻击目标的扫描的目的是利用各种工具在攻击目标的IP地址或地址段地址或地址段的主机上寻找漏洞。的主机上寻找漏洞。 ?扫描分成两种策略：被动式策略和主动式策略。扫描分成两种策略：被动式策略和主动式策略。 6.3 常见网络攻击与防范常见网络攻击与防范 ? 获得系统或管理员权限获得系统或管理员权限 ?通过系统漏洞获得系统权限通过系

23、统漏洞获得系统权限 ? 通过管理漏洞获得管理员权限通过管理漏洞获得管理员权限 ? 通过软件漏洞得到系统权限通过软件漏洞得到系统权限 ? 通过监听获得敏感信息进一步获得相应权限通过监听获得敏感信息进一步获得相应权限 ? 通过弱口令获得远程管理员的用户密码通过弱口令获得远程管理员的用户密码 ? 通过穷举法获得远程管理员的用户密码通过穷举法获得远程管理员的用户密码 ? 通过攻破与目标机有信任关系另一台机器进而得到目标通过攻破与目标机有信任关系另一台机器进而得到目标机的控制权机的控制权 ? 通过欺骗获得权限以及其他有效的方法。通过欺骗获得权限以及其他有效的方法。 6.3 常见网络攻击与防范常见网络攻击

24、与防范 ? 种植后门种植后门 ?为了保持长期对自己胜利果实的访问权，在已经攻破为了保持长期对自己胜利果实的访问权，在已经攻破的计算机上种植一些供自己访问的后门。的计算机上种植一些供自己访问的后门。 ? 在网络中隐身在网络中隐身 ?一次成功入侵之后，一般在对方的计算机上已经存储一次成功入侵之后，一般在对方的计算机上已经存储了相关的登录日志，这样就容易被管理员发现。在入了相关的登录日志，这样就容易被管理员发现。在入侵完毕后需要清除登录日志已经其他相关的日志。侵完毕后需要清除登录日志已经其他相关的日志。 6.3 常见网络攻击与防范常见网络攻击与防范 ? 6.3.2 网络扫描与网络监听网络扫描与网络监

25、听 ? 网络踩点网络踩点 ?在域名及其注册机构的查询在域名及其注册机构的查询 ?公司性质的了解公司性质的了解 ?对主页进行分析对主页进行分析 ?邮件地址的搜集邮件地址的搜集 ?目标目标IP地址范围查询。地址范围查询。 ? 网络扫描策略网络扫描策略 ?被动式策略被动式策略 是基于主机之上，对系统中不合适的设置，脆弱的口令是基于主机之上，对系统中不合适的设置，脆弱的口令以及其他同安全规则抵触的对象进行检查。被动式扫以及其他同安全规则抵触的对象进行检查。被动式扫描不会对系统造成破坏。描不会对系统造成破坏。 6.3 常见网络攻击与防范常见网络攻击与防范 ?主动式策略主动式策略 活动主机探测；活动主机探

26、测； ICMP查询；查询； 网络网络PING扫描；扫描； 端口扫描；端口扫描； 标识标识UDP和和TCP服务；服务； 指定漏洞扫描；指定漏洞扫描； 综合扫描。综合扫描。 扫描方式扫描方式 ?慢速扫描慢速扫描 对非连续端口进行扫描，并且源地址不一致、时间间隔长没对非连续端口进行扫描，并且源地址不一致、时间间隔长没有规律的扫描。有规律的扫描。 ?乱序扫描乱序扫描 对连续的端口进行扫描，源地址一致，时间间隔短的扫描。对连续的端口进行扫描，源地址一致，时间间隔短的扫描。? ?6.3 常见网络攻击与防范常见网络攻击与防范 网络监听网络监听 ?局域网数据交换过程局域网数据交换过程 在局域网中与其他计算机进

27、行数据交换的时候，发送的数据包在局域网中与其他计算机进行数据交换的时候，发送的数据包发往所有的连在一起的主机，也就是广播，在报头中包含目标机发往所有的连在一起的主机，也就是广播，在报头中包含目标机的正确地址。因此只有与数据包中目标地址一致的那台主机才会的正确地址。因此只有与数据包中目标地址一致的那台主机才会接收数据包，其他的机器都会将包丢弃。接收数据包，其他的机器都会将包丢弃。 ?监听工具的原理监听工具的原理 当主机工作在监听模式下时，无论接收到的数据包中目标地址当主机工作在监听模式下时，无论接收到的数据包中目标地址是什么，主机都将其接收下来。然后对数据包进行分析，就得到是什么，主机都将其接收

28、下来。然后对数据包进行分析，就得到了局域网中通信的数据。了局域网中通信的数据。 ?监听软件监听软件 嗅探经典嗅探经典Iris 密码监听工具密码监听工具Win Sniffer 密码监听工具密码监听工具pswmonitor和非交换环境局域网的和非交换环境局域网的fssniffer等等等等 ?防止监听的手段有建设交换网络、使用加密技术和使用一防止监听的手段有建设交换网络、使用加密技术和使用一次性口令技术次性口令技术 6.3 常见网络攻击与防范常见网络攻击与防范 ? 6.3.3 网络入侵网络入侵 ? 社会工程学攻击社会工程学攻击 ?打电话请求密码打电话请求密码 ?伪造伪造Email ? 物理攻击与防范

29、物理攻击与防范 ? 权限提升权限提升 ? 暴力攻击暴力攻击 ?字典文件字典文件 一次字典攻击能否成功，很大因素上决定于字典文件。一个好的字典文件可以高效快速的得到系统的密码。 6.3 常见网络攻击与防范常见网络攻击与防范 一个简单的字典文件 6.3 常见网络攻击与防范常见网络攻击与防范 ?暴力破解操作系统密码暴力破解操作系统密码 程序首先通过扫描得到系统的用户，然后利用字典中每一个密码来登录系统，看是否成功，如果成功则显示密码比如使用字典文件，利用工具软件可以将管理员密码破解出来。 ?暴力破解邮箱密码暴力破解邮箱密码 邮箱的密码一般需要设置到八位以上，否则七位以下的密码容易被破解。尤其七位全部

30、是数字，更容易被破解。 ?暴力破解软件密码暴力破解软件密码 许多软件都具有加密的功能，比如 Office文档、Winzip文档和Winrar文档等等。这些文档密码可以有效的防止文档被他人使用和阅读。 6.3 常见网络攻击与防范常见网络攻击与防范 ? SMB致命攻击致命攻击 SMB（Session Message Block，会话消息块协议）又叫做NetBIOS或LanManager协议，用于不同计算机之间文件、打印机、串口和通讯的共享和用于Windows平台上提供磁盘 ? 缓冲区溢出攻击缓冲区溢出攻击 ?原理原理 缓冲区溢出原理很简单，比如缓冲区溢出原理很简单，比如 C语言程序：语言程序： v

31、oid function(char * szPara1) char buff16; strcpy(buffer, szPara1); 6.3 常见网络攻击与防范常见网络攻击与防范 ?RPC漏洞溢出漏洞溢出 远程过程调用远程过程调用RPC（Remote Procedure Call），是操），是操作系统的一种消息传递功能，允许应用程序呼叫网络上的作系统的一种消息传递功能，允许应用程序呼叫网络上的计算机。当系统启动的时候，自动加载计算机。当系统启动的时候，自动加载RPC服务。可以在服务。可以在服务列表中看到系统的服务列表中看到系统的RPC服务服务 6.3 常见网络攻击与防范常见网络攻击与防范 拒绝

32、服务攻击拒绝服务攻击 凡是造成目标计算机拒绝提供服务的攻击都称凡是造成目标计算机拒绝提供服务的攻击都称为为DoS（Denial of Service）攻击，其目的是使目）攻击，其目的是使目标计算机或网络无法提供正常的服务。标计算机或网络无法提供正常的服务。 ?带宽攻击是以极大的通信量冲击网络，使网络所有可带宽攻击是以极大的通信量冲击网络，使网络所有可用的带宽都被消耗掉，最后导致合法用户的请求无法用的带宽都被消耗掉，最后导致合法用户的请求无法通过。通过。 ?连通性攻击指用大量的连接请求冲击计算机，最终导连通性攻击指用大量的连接请求冲击计算机，最终导致计算机无法再处理合法用户的请求。致计算机无法再

33、处理合法用户的请求。 ? 6.3 常见网络攻击与防范常见网络攻击与防范 6.3.4 入侵检测入侵检测 ? 入侵检测系统入侵检测系统 入侵检测系统入侵检测系统IDS（Intrusion Detection System）指的是一种硬件或者软件系统，该系统对）指的是一种硬件或者软件系统，该系统对系统资源的非授权使用能够做出及时的判断、记录系统资源的非授权使用能够做出及时的判断、记录和报警。和报警。 没有一个应用系统不会发生错误，原因主要有四个没有一个应用系统不会发生错误，原因主要有四个方面。方面。 ?缺乏共享数据的机制缺乏共享数据的机制 ?缺乏集中协调的机制缺乏集中协调的机制 ?缺乏揣摩数据在一段

34、时间内变化的能力缺乏揣摩数据在一段时间内变化的能力 ?缺乏有效的跟踪分析缺乏有效的跟踪分析 ?6.3 常见网络攻击与防范常见网络攻击与防范 根据入侵检测的信息来源不同，可以分为两类：根据入侵检测的信息来源不同，可以分为两类： ?基于主机的入侵检测系统：基于主机的入侵检测系统： 主要用于保护运行关键应用的服务器。它通过监视主要用于保护运行关键应用的服务器。它通过监视与分析主机的审计记录和日志文件：来检测入侵。通与分析主机的审计记录和日志文件：来检测入侵。通过查看日志文件，能够发现成功的入侵或入侵企图，过查看日志文件，能够发现成功的入侵或入侵企图，并很快地启动相应的应急响应程序。并很快地启动相应的

35、应急响应程序。 ?基于网络的入侵检测系统：基于网络的入侵检测系统： 主要用于实时监控网络关键路径的信息，它监听网主要用于实时监控网络关键路径的信息，它监听网络上的所有分组来采集数据，分析可疑现象。络上的所有分组来采集数据，分析可疑现象。 6.3 常见网络攻击与防范常见网络攻击与防范 入侵检测的方法入侵检测的方法 入侵检测方法有三种分类依据：入侵检测方法有三种分类依据： ?根据物理位置进行分类。根据物理位置进行分类。 ?根据建模方法进行分类。根据建模方法进行分类。 ?根据时间分析进行分类。根据时间分析进行分类。 常用的方法有三种：常用的方法有三种： ?静态配置分析静态配置分析 ?异常性检测方法异常性检测方法 ?基于行为的检测方法。基于行为的检测方法。 ?6.3 常见网络攻击与防范常见网络攻击与防范 入侵检测的步骤入侵检测的步骤 ?信息收集信息收集 ?数据分析数据分析 根据数据分