導(dǎo)語：如何才能寫好一篇常見網(wǎng)絡(luò)安全漏洞，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

隨著校園網(wǎng)絡(luò)應(yīng)用的逐漸深入，特別是校園網(wǎng)絡(luò)與互聯(lián)網(wǎng)鏈接以后，校園網(wǎng)絡(luò)在信息資源上得到了極大的提升，但是網(wǎng)絡(luò)信息安全問題也逐漸凸顯，直接影響了學(xué)校正常的教學(xué)管理以及其他教學(xué)活動。而常見的校園網(wǎng)絡(luò)安全問題主要表現(xiàn)在以下幾個方面：

（1）計算機系統(tǒng)存在漏洞

目前，我國中小學(xué)校園網(wǎng)絡(luò)中被普遍使用的操作系統(tǒng)是WIN7。而由于技術(shù)發(fā)展水平的限制，目前WINDOWS操作系統(tǒng)在服務(wù)器、防火墻、TCP/IP協(xié)議等方面都存在大量安全漏洞，而且當(dāng)下應(yīng)用范圍比較廣泛的360殺毒軟件、騰訊電腦管家等殺毒修復(fù)軟件功能也十分有限，對于互聯(lián)網(wǎng)這種無限開放的空間環(huán)境而言，這些漏洞被越來越多的人發(fā)現(xiàn)，并加以利用。這些都為校園網(wǎng)絡(luò)的穩(wěn)定運行帶來了嚴重的影響和威脅。

（2）計算機病毒的破壞

威脅計算機功能運行的最普遍則來自于計算機病毒?？梢哉f對于校園網(wǎng)絡(luò)而言，計算機病毒是破壞計算機系統(tǒng)正常運行、破壞系統(tǒng)軟件、損害文件資料、導(dǎo)致網(wǎng)絡(luò)效率下降，甚至造成計算機及網(wǎng)絡(luò)系統(tǒng)癱瘓的最直接因素。具體來說，計算機病毒主要具有傳播速度快、隱蔽性強、傳染途徑廣、潛伏期長、破壞力大等特點。比如前幾年影響比較惡劣的熊貓燒香病毒，網(wǎng)絡(luò)執(zhí)行官、網(wǎng)絡(luò)特工、ARPKILLER、灰鴿子等木馬病毒，使得網(wǎng)絡(luò)集體掉線、網(wǎng)絡(luò)系統(tǒng)中的游戲賬號、QQ賬號、網(wǎng)上銀行賬號密碼等被泄漏等等，嚴重威脅著中小學(xué)校園網(wǎng)絡(luò)的正常使用。

（3）互聯(lián)網(wǎng)對校園網(wǎng)的非法入侵及破壞威脅

為了最大程度的享有信息資源，提高校園管理、教學(xué)水平，基本上所有中小學(xué)校園網(wǎng)絡(luò)都是與互聯(lián)網(wǎng)相連的。這樣就導(dǎo)致了在享有互聯(lián)網(wǎng)無限資源的同時，也時刻面臨著來自互聯(lián)網(wǎng)中的非法入侵風(fēng)險。比如最為常見的黑客利用網(wǎng)絡(luò)攻擊校園網(wǎng)絡(luò)服務(wù)器，竊取、篡改或破壞學(xué)校重要信息等，給學(xué)校日常的教學(xué)管理造成巨大危害。

二、完善校園網(wǎng)絡(luò)信息安全的對策措施

維護校園網(wǎng)絡(luò)安全是一個復(fù)雜的系統(tǒng)工程。其往往涉及到網(wǎng)絡(luò)用戶、管理以及技術(shù)維護等方面的工作內(nèi)容。因此，本質(zhì)上講，網(wǎng)絡(luò)安全工作是一個循序漸進、不斷完善的過程。根據(jù)前人的研究成果，為了切實提高校園網(wǎng)絡(luò)的安全性，筆者認為應(yīng)該從以下幾個方面進行完善：

（1）采用身份認證技術(shù)

由于校園網(wǎng)屬于開放性網(wǎng)絡(luò)，因此，校園網(wǎng)對用戶的限制很少。這樣就給一些非法入侵者提供了條件。因此，加強校園網(wǎng)絡(luò)的安全性，首先我們可以采用身份認證的技術(shù)，從用戶限制上提高網(wǎng)絡(luò)的安全性。具體來說，身份認知是指通信方設(shè)置身份確認來限制非授權(quán)用戶的進入。這項技術(shù)在高等院校及圖書館等機構(gòu)中已經(jīng)得到了普遍盈盈。而常見的身份認證的方法有口令認證法。其是指給系統(tǒng)管理員帳戶設(shè)置足夠復(fù)雜的強密碼，同時系統(tǒng)管理員的口令不定期的予以更換。

（2）防范系統(tǒng)安全漏洞

在日常的網(wǎng)絡(luò)系統(tǒng)維護中，及時的對當(dāng)前的電腦操作系統(tǒng)進行更新升級，及時安裝各種系統(tǒng)補丁程序以及第三方系統(tǒng)管理軟件，比如常見的360安全衛(wèi)士、騰訊電腦管家等等，定期的進行系統(tǒng)掃描機漏洞掃描，及時發(fā)現(xiàn)安全隱患。這樣才能防止各種計算機病毒入侵網(wǎng)絡(luò)，損壞計算機及系統(tǒng)軟件，提高網(wǎng)絡(luò)使用的安全性。

（3）加強校園網(wǎng)絡(luò)監(jiān)控

由于中小學(xué)師生對網(wǎng)絡(luò)安全普遍缺乏正確的認知，在網(wǎng)絡(luò)使用過程中也無法有效準(zhǔn)確的判斷病毒網(wǎng)站，因此，在加強校園網(wǎng)絡(luò)安全意識的宣傳同時，還應(yīng)該在不影響校園網(wǎng)絡(luò)正常運行的前提下，加強對內(nèi)部網(wǎng)絡(luò)的監(jiān)控范圍和力度，做到最大程度的保護網(wǎng)絡(luò)資源信息。具體措施比如配備入侵檢測系統(tǒng)，入侵防御系統(tǒng)，Web、E-mail、BBS的安全監(jiān)測系統(tǒng)和網(wǎng)絡(luò)監(jiān)聽系統(tǒng)等。一方面，通過監(jiān)控手段，增強網(wǎng)絡(luò)安全的自我適應(yīng)性和反應(yīng)能力，及時發(fā)現(xiàn)不安全因素，從而保證網(wǎng)絡(luò)服務(wù)的正常提供。另一方面，通過使用網(wǎng)管軟件、日志分析軟件、MRTG和Sniffer等工具，形成一個功能較完整、覆蓋面較廣的監(jiān)控管理系統(tǒng)。

篇2

關(guān)鍵詞　網(wǎng)絡(luò)安全　計算機病毒　防火墻　應(yīng)對策略

一、網(wǎng)絡(luò)安全的定義

網(wǎng)絡(luò)的安全就是指通過采用各種技術(shù)和管理辦法，使網(wǎng)絡(luò)系統(tǒng)正常運行，從而確保網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的各種數(shù)據(jù)受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，計算機系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全既有技術(shù)方面的問題，也有管理方面的問題，兩方面相互補充，缺一不可。同時我們必須清楚的認識到網(wǎng)絡(luò)的開放性，由于現(xiàn)代網(wǎng)絡(luò)技術(shù)是全開放的，所以在一定程度上導(dǎo)致了網(wǎng)絡(luò)面臨著來自多方面的攻擊。

二、常見的網(wǎng)絡(luò)安全問題

影響計算機網(wǎng)絡(luò)安全的因素很多，其中包括人為因素、自然因素和意外因素。其中人為因素主要是一些不法之徒利用計算機網(wǎng)絡(luò)自身存在的漏洞，非法入侵獲取重要數(shù)據(jù)、篡改系統(tǒng)數(shù)據(jù)、植入病毒等；同時也包含相關(guān)人員整體安全意思淡薄、相關(guān)安全防護措施不到位。應(yīng)該說人為因素是對網(wǎng)絡(luò)安全影響最大的一個方面。下面列舉在日常生活和工作中遇到的網(wǎng)絡(luò)安全問題：

1、計算機病毒無孔不入

計算機病毒是指影響計算機使用并且能夠自我復(fù)制的一組計算機指令或者程序代碼，它具有攻擊隱蔽性強、自我繁殖能力強、傳染途徑廣、潛伏期長、破壞力大等特點。

目前，計算機病毒是危害計算機網(wǎng)絡(luò)安全最常見的一種方式。隨著互聯(lián)網(wǎng)的不斷普及，計算機病毒通過網(wǎng)絡(luò)進行傳播，這些病毒不僅危害性大，而且傳播速度非?？?，傳播形式多樣，因此，要想徹底清除這些病毒是非常困難的。

2、垃圾郵件泛濫

隨著信息化技術(shù)的快速發(fā)展，個人和企業(yè)電子郵件系統(tǒng)的功能和技術(shù)已經(jīng)非常成熟，但也仍然無法避免垃圾郵件或病毒郵件的傳送。垃圾郵件和病毒郵件是全球問題，垃圾郵件和病毒郵件是破壞網(wǎng)絡(luò)營銷環(huán)境的罪魁之一，垃圾郵件嚴重影響了客戶網(wǎng)上購物的信心，從而進一步危害到了電子商務(wù)網(wǎng)站的發(fā)展。垃圾郵件和病毒郵件對人們的影響不僅表現(xiàn)在時間上，而且也影響了安全。垃圾郵件和病毒郵件占用了大量的網(wǎng)絡(luò)資源。使得正常的業(yè)務(wù)運作變得緩慢。

3、網(wǎng)絡(luò)仿冒

網(wǎng)絡(luò)仿冒也稱網(wǎng)絡(luò)欺詐或者釣魚攻擊等，是黑客使用欺詐郵件和虛假網(wǎng)頁信息設(shè)計來誘騙用戶提供信用卡賬號、銀行卡賬號、支付寶賬號、用戶名、密碼等，隨后利用騙得的賬號和密碼竊取受騙者財務(wù)。近年來，隨著電子商務(wù)、網(wǎng)上結(jié)算、網(wǎng)上銀行等業(yè)務(wù)在日常生活中的普及，網(wǎng)絡(luò)仿冒事件在我國層出不窮。網(wǎng)絡(luò)仿冒已經(jīng)成為影響互聯(lián)網(wǎng)應(yīng)用，特別是電子商務(wù)應(yīng)用的主要威脅之一。

網(wǎng)絡(luò)仿冒者為了逃避相關(guān)組織和管理機構(gòu)的打擊，充分利用互聯(lián)網(wǎng)的開放性，往往會將仿冒網(wǎng)站建立在其他國家，而又利用第三國的郵件服務(wù)器來發(fā)送欺詐郵件，這樣既便是仿冒網(wǎng)站被人舉報，但是關(guān)閉仿冒網(wǎng)站就比較麻煩，對網(wǎng)絡(luò)欺詐者的追查就更困難了，這是現(xiàn)在網(wǎng)絡(luò)仿冒犯罪的主要趨勢之一。

4、IP地址盜用

目前IP地址盜用現(xiàn)象非常普遍，不僅影響了網(wǎng)絡(luò)的正常運行，而且一般被盜用的地址權(quán)限都很高，因而也給用戶造成了較大的經(jīng)濟損失。IP地址盜用就是指運用那些沒有經(jīng)過授權(quán)的IP地址，從而使得通過網(wǎng)上資源或隱藏身份進行破壞網(wǎng)絡(luò)的行為的目的得以實現(xiàn)。目前，網(wǎng)絡(luò)上經(jīng)常會發(fā)生盜用IP地址，這不僅嚴重侵害了合法使用網(wǎng)絡(luò)人員的合法權(quán)益，而且還導(dǎo)致網(wǎng)絡(luò)安全和網(wǎng)絡(luò)正常工作受到負面影響。

5、拒絕服務(wù)攻擊

拒絕服務(wù)攻擊是指在互聯(lián)網(wǎng)上控制多臺或大量的計算機針對某一個特定的計算機同時不間斷進行大規(guī)模的訪問，使得被訪問的計算機窮于應(yīng)付來勢兇猛的訪問而無法提供正常的服務(wù)，相關(guān)系統(tǒng)癱瘓。拒絕服務(wù)攻擊是黑客常用的一種行之有效的方法。如果所調(diào)動的攻擊計算機足夠多，則更難進行處置。尤其是被蠕蟲侵襲過的計算機，很容易被利用而成為攻擊源，并且這類攻擊通常是跨網(wǎng)進行的，加大了打擊犯罪的難度。

6、個人非法操作或設(shè)置不當(dāng)

個人無意的失誤，比如因為用戶安全配置不當(dāng)而導(dǎo)致系統(tǒng)出現(xiàn)安全漏洞，比如網(wǎng)絡(luò)用戶缺乏正確的網(wǎng)絡(luò)安全意識，口令設(shè)置及網(wǎng)絡(luò)帳號的隨意轉(zhuǎn)借都會帶來網(wǎng)絡(luò)安全的威脅。

三、確保計算機網(wǎng)絡(luò)安全的具體應(yīng)對策略

1、計算機病毒防治技術(shù)

在目前的網(wǎng)絡(luò)環(huán)境下，防范計算機病毒僅采用單一的方法來進行病毒查殺已經(jīng)沒有太大意義，要想徹底清除網(wǎng)絡(luò)病毒，必須選擇與網(wǎng)絡(luò)適合的全方位防病毒產(chǎn)品。但是，沒有哪種殺毒軟件是萬能的，所以當(dāng)本機的殺毒軟件無法找到病毒時，用戶可以到網(wǎng)上下載一些專殺工具，如木馬專殺工具、蠕蟲專殺工具或宏病毒專殺工具等。值得注意的是，安裝了殺毒軟件后，我們還必須每周至少更新一次殺毒軟件病毒庫，因為防病毒軟件只有最新才是最有效的。每周還要對電腦硬盤進行一次全面的掃描、殺毒，以便及時發(fā)現(xiàn)并清除隱藏在系統(tǒng)中的病毒。當(dāng)不慎感染上病毒時，應(yīng)立即將殺毒軟件升級到最新版本，然后對整個硬盤進行掃描，清除一切可以查殺的病毒。當(dāng)受到網(wǎng)絡(luò)攻擊時，我們的第一反應(yīng)就是拔掉網(wǎng)絡(luò)連接端口以斷開網(wǎng)絡(luò)。

2、防火墻和防毒墻技術(shù)

防火墻成為近年來新興的保護計算機網(wǎng)絡(luò)安全技術(shù)性措施，是網(wǎng)絡(luò)安全的屏障，配置防火墻是實現(xiàn)網(wǎng)絡(luò)安全最基本、最經(jīng)濟、最有效的安全措施之一。常用的防火墻技術(shù)有包過濾技術(shù)、狀態(tài)檢測技術(shù)、應(yīng)用網(wǎng)關(guān)技術(shù)。防火墻通過軟件和硬件相結(jié)合，能在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間構(gòu)造起一個"保護層"，網(wǎng)絡(luò)內(nèi)外的所有通信都必須經(jīng)過此保護層進行檢查與連接，只有授權(quán)允許的通信才能獲準(zhǔn)通過保護層。但是防火墻無法對合法數(shù)據(jù)包中存在的病毒進行識別和阻斷，其病毒防護作用須依賴額外的硬件模塊。

防毒墻的功能則解決了防火墻在病毒防護方面的缺陷，它主要部署于網(wǎng)絡(luò)的入口處，對網(wǎng)絡(luò)傳輸過程中攜帶的病毒進行初步過濾，從而有效阻止了僵尸網(wǎng)絡(luò)和蠕蟲網(wǎng)絡(luò)病毒的擴散。

3、警惕“網(wǎng)絡(luò)釣魚”

"網(wǎng)絡(luò)釣魚"（phishing）是通過大量發(fā)送聲稱來自于銀行或其他知名機構(gòu)的欺騙性垃圾郵件，意圖引誘收信人給出敏感信息的一種攻擊方式。黑客就是利用這種欺騙性的電子郵件和偽造的web站點來進行網(wǎng)絡(luò)詐騙活動，受騙者往往會泄露自己的私人資料，如信用卡號、銀行卡賬戶、身份證號等內(nèi)容。黑客通常會將自己偽裝成網(wǎng)絡(luò)銀行、在線零售商和信用卡公司等可信的品牌，騙取用戶的私人信息。對此，用戶應(yīng)該提高警惕，不登錄不熟悉的網(wǎng)站，鍵入網(wǎng)站地址時要認真校對，以防輸入錯誤誤入圈套。

4、漏洞掃描技術(shù)

每一個操作系統(tǒng)或網(wǎng)絡(luò)軟件都不可能是無缺陷和漏洞的，因此有必要進行漏洞掃描和修復(fù)。漏洞掃描技術(shù)是一項重要的主動防范安全技術(shù)，可以自動檢測遠程或本地主機安全性上的弱點，讓網(wǎng)絡(luò)管理人員能在入侵者發(fā)現(xiàn)安全漏洞之前，找到并修補這些安全漏洞。它主要通過以下兩種方法來檢查目標(biāo)主機是否存在漏洞：在端口掃描后得知目標(biāo)主機開啟的端口以及端口上的網(wǎng)絡(luò)服務(wù)，將這些相關(guān)信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫進行匹配，查看是否有滿足匹配條件的漏洞存在等。

同時可以采用網(wǎng)絡(luò)安全檢測工具，它的主要功能就是用實踐性的方法掃描分析網(wǎng)絡(luò)系統(tǒng)，檢查報告系統(tǒng)存在的弱點和漏洞，建議采用補救措施和安全策略，從而達到增強網(wǎng)絡(luò)安全性的目的。它屬于網(wǎng)絡(luò)安全性評估分析軟件，其具備網(wǎng)絡(luò)監(jiān)控、分析功能和自動響應(yīng)功能，能及時找出經(jīng)常發(fā)生問題的根源所在；及時控制各種網(wǎng)絡(luò)安全危險；進行漏洞分析和響應(yīng)；進行配置分析和響應(yīng)；進行認證和趨勢分析。

5、養(yǎng)成良好的上網(wǎng)習(xí)慣

（1）不要打開來歷不明的郵件附件，因為附件中可能包含計算機病毒。（2）使用QQ、MSN等軟件工具聊天時，不要接收陌生人發(fā)來的任何文件，因為文件中可能包含病毒；也不要輕易單擊對方從聊天窗口發(fā)過來的網(wǎng)頁鏈接信息，因為這些網(wǎng)頁可能包含病毒代碼。（3）不要訪問一些低級粗俗的網(wǎng)站，這些網(wǎng)站的網(wǎng)頁中大多都包含惡意代碼，訪問它時，病毒會通過網(wǎng)頁種植在用戶的電腦中。（4）不要下載一些來歷不明的軟件并安裝。許多不正規(guī)的下載網(wǎng)站提供的軟件可能包含病毒。（5）不要下載來歷不明的文件，因為文件中可能包含病毒。

四、結(jié)語

計算機網(wǎng)絡(luò)安全是一項復(fù)雜的系統(tǒng)工程，涵蓋技術(shù)、網(wǎng)絡(luò)設(shè)備、管理手段及制度等多方面的因素，　制定安全解決方案需要從整體上進行把握。網(wǎng)絡(luò)安全解決方案是綜合各種計算機網(wǎng)絡(luò)信息系統(tǒng)安全技術(shù)，將防火墻和防毒墻技術(shù)、防火墻技術(shù)、入侵檢測技術(shù)、漏洞掃描技術(shù)等綜合起來形成一套完整的、協(xié)調(diào)一致的網(wǎng)絡(luò)安全防護體系。

（作者單位：武漢城市職業(yè)學(xué)院）

參考文獻：

[1]趙什，賈美娟.計算機網(wǎng)絡(luò)安全現(xiàn)狀及對策[J].電腦學(xué)習(xí)，2010（4）：37-38.

[2]夏靜.淺析計算機網(wǎng)絡(luò)安全現(xiàn)狀及對策[J].無線互聯(lián)科技，2011（7）：7-13.

篇3

關(guān)鍵詞：信息；安全；網(wǎng)絡(luò)；對策

中圖分類號：TP393 文獻標(biāo)識碼：A 文章編號：1007-9599 (2011) 23-0000-01

Computer Network Security Opinions

Qin Meng

(Linyi University,Yishui College,Linyi 276400,China)

Abstract:With the rapid development of science and technology,people increasingly rely on in everyday life network,network and information security problem is getting attention.Once the destruction of computer information,individuals and units will have serious consequences.In this paper,to analyze network information safety factors and take appropriate countermeasures.

Keywords:Information;Security;Network;Measures

一、信息安全的概念

目前，我國《計算機信息安全保護條例》的權(quán)威定義是：通過計算機技術(shù)和網(wǎng)絡(luò)技術(shù)手段，使計算機系統(tǒng)的硬件、軟件、數(shù)據(jù)庫等受到保護，最大可能不因偶然的或惡意的因素而遭破壞、更改或泄密，系統(tǒng)能夠正常運行，使用戶獲得對信息使用的安全感。其目的就是保護信息在加工處理過程中的安全，保持其原有的完整性，可靠性、可控性。

二、常見網(wǎng)絡(luò)系統(tǒng)安全因素剖析

（一）來自互聯(lián)網(wǎng)的病毒攻擊。目前，Internet網(wǎng)是計算機病毒的最主要的傳播途徑，所以聯(lián)網(wǎng)的廣大用戶很容易就受到來自網(wǎng)絡(luò)并不的攻擊。病毒攻擊的方式一般有如下幾種：一是可能會感染機器系統(tǒng)，使計算機運行速度越來越慢，甚至癱瘓無法開機；二是可能會大量占用網(wǎng)絡(luò)帶寬，阻塞網(wǎng)路，影響計算機的正常運行；三是可能遠程控制計算機系統(tǒng)，用戶對自己的計算機處在失控狀態(tài)中。（二）軟件本身的漏洞問題。任何軟件都有漏洞，不存在沒有漏洞的軟件，這是客觀事實。更甚者，當(dāng)今盜版軟件泛濫，隨處都能下載，網(wǎng)絡(luò)用戶沒有安全意識，隨便下載安裝，給病毒滋生泛濫創(chuàng)造了合適的土壤。這些漏洞恰恰是非法用戶竊取用戶信息和破壞信息的主要途徑。我們常見的針對安全漏洞的攻擊有：一、利用協(xié)議。利用一些網(wǎng)絡(luò)協(xié)議的漏洞發(fā)動攻擊，獲得系統(tǒng)的某項特權(quán)；二、超長的指令。攻擊者利用該漏洞發(fā)送超出處理極限能力的超長指令，造成系統(tǒng)無法運行，使客戶機無法正常運行；三、破譯。黑客通過破譯用戶密碼口令，非法入侵他人系統(tǒng)，直接獲取他人信息等違法活動。（三）操作人員自身原因。網(wǎng)絡(luò)應(yīng)用領(lǐng)域不斷在擴大，管理體制確跟不上去，有的單位只注重硬件建設(shè)，而忽視日常管理，人們對計算機網(wǎng)絡(luò)安全的認識不足，安全制度不健全，隨時有可能出現(xiàn)計算機網(wǎng)絡(luò)被破壞。有的計算機操作管理人員工作不規(guī)范，沒有按操作規(guī)程處理信息，工作馬虎，不細心，出現(xiàn)錯誤操作，使一些信息丟失或篡改。更甚者有的管理員工作失職，不負責(zé)任，隨便將單位或者重要部門的賬號轉(zhuǎn)借他人使用，從而造成信息的泄露。（四）用戶安全意識淡薄。用戶網(wǎng)絡(luò)安全意識淡薄是網(wǎng)絡(luò)安全領(lǐng)域所面臨的最大困難。要解決網(wǎng)絡(luò)安全問題，首先應(yīng)該提高全民的安全意識，重在“防”，然后才是“治”，普及網(wǎng)絡(luò)用戶病毒防范意識，是減少網(wǎng)絡(luò)安全隱患的第一環(huán)，也是極其關(guān)鍵的一個環(huán)節(jié)。

三、網(wǎng)絡(luò)信息安全的應(yīng)對措施

（一）加強入網(wǎng)的訪問控制。入網(wǎng)訪問控制是網(wǎng)絡(luò)的第一道關(guān)口，用嚴格驗證用戶賬號、口令等得方法來控制或制止用戶的非法訪問。對用戶賬號、口令的格式長短和編排次序等作嚴格的規(guī)定，盡量復(fù)雜無序化，而且要定期更換密碼口令，以防止他人竊取。目前金融機構(gòu)都是用了非常安全的加密認證方法，我們可以借鑒這些安全的措施來保障自己或者單位的信息安全。（二）防范病毒。為了能有效地預(yù)防病毒并清除病毒，必須建立起有效的病毒防范體系，這包括漏洞檢測、病毒預(yù)防、病毒查殺、病毒隔離等措施，以提高對病毒的反應(yīng)速度，并有效加強對病毒的處理能力。主要從以下四個方面來闡述：（1）加強檢測。主要是采用專業(yè)工具對系統(tǒng)進行查漏補缺，及時安裝補丁程序，避免病毒入侵。（2）防毒。要建立起良好的使用制度，養(yǎng)成良好的是用習(xí)慣。不要隨意使用外來光盤、移動硬盤、U盤等存儲設(shè)備。如果使用，要先查毒殺毒，保證安全措施到位，做好病毒的防范體系免受病毒侵害。（3）殺毒。主要是利用病毒查殺工具對病毒實時檢測，清除已經(jīng)發(fā)現(xiàn)的病毒。要及時更新殺毒軟件，保證病毒庫是最新的。這樣才能保證查殺效率，才能對新出現(xiàn)的病毒進行行之有效的查殺。（4）隔離。主要是對不能殺掉的病毒進行隔離，以防病毒再次傳播。（三）數(shù)據(jù)加密傳輸。在信息傳輸過程中，為防止信息泄漏，被他人非法截獲，可對傳輸數(shù)據(jù)進行加密，以密文的形式傳輸。即使在傳輸過程中被他人非法截獲，截獲者沒有相應(yīng)的解密法則，也無法破譯，從而保證信息傳輸中的安全。（四）采用防火墻技術(shù)。應(yīng)用過濾防火墻技術(shù)能實現(xiàn)對數(shù)據(jù)包的包頭進行檢查，根據(jù)其IP源地址和目標(biāo)地址做出放行或丟棄決定，但對其攜帶的內(nèi)容不作檢查；應(yīng)用防火墻技術(shù)能對數(shù)據(jù)包所攜帶的內(nèi)容進行檢查，但對數(shù)據(jù)包頭無法檢查。因此，綜合采用包過濾防火墻技術(shù)和防火墻技術(shù)，既能實現(xiàn)對數(shù)據(jù)包頭的檢查，又能實現(xiàn)對其攜帶內(nèi)容的檢查。（五）數(shù)據(jù)備份。一數(shù)據(jù)備份是管理員常用的一種數(shù)據(jù)保護措施，管理員要重視數(shù)據(jù)備份的重要性，是一個必要的防范措施；二管理員要嚴格執(zhí)行數(shù)據(jù)備份制度。要定期或不定期備份，對重要數(shù)據(jù)要有多個備份或者異地備份。因為殺毒軟件不是萬能的，以防萬一，很有必要建立數(shù)據(jù)備份制度。（六）加強安全管理。安全管理對于計算機系統(tǒng)的安全以及可靠運行具有十分重要的作用。就目前而言，應(yīng)做到以下幾點：（1）依法治網(wǎng)，樹立守法觀念，加強法制教育。要認真學(xué)習(xí)有關(guān)計算機和網(wǎng)絡(luò)的一些法律知識，培養(yǎng)良好的法律意識。（2）完善各項規(guī)章制度，網(wǎng)絡(luò)管理的每個環(huán)節(jié)都要建立起規(guī)章制度，制定好應(yīng)急預(yù)案。對管理員要定期培訓(xùn)，提高其安全意識，增強其法制觀念。（3）建立檢查機制。定期或不定期地對計算機系統(tǒng)進行安全例行檢查，要有記錄，看落實情況，以免流于形式。（七）培養(yǎng)用戶的信息安全意識。樹立新的信息安全應(yīng)用理念和使用習(xí)慣，主動尋求適合自己的個性化安全解決方案，避免因網(wǎng)絡(luò)安全防范不到位而可能造成的不必要損失。要注意個人信息的保護，不要將個人信息隨意上傳，不要使用真實信息在網(wǎng)站上注冊等等，時時刻刻培養(yǎng)自己的信息安全意識。

以上是本人對計算機網(wǎng)絡(luò)信息安全的初淺認識。單位決策者不但思想上要高度重視，而且行動上也要給予大力支持，包括財力和人力。只有這樣，才有可能保證單位用戶對網(wǎng)絡(luò)信息的安全使用。

參考文獻：

篇4

一、常見網(wǎng)絡(luò)攻擊類型

1、口令竊取

登錄一臺計算機最容易的方法就是采用口令進入。口令竊取一直是網(wǎng)絡(luò)安全上的一個重要問題，　口令的泄露往往意味這個系統(tǒng)的防護已經(jīng)被瓦解。

2、病毒和木馬攻擊

病毒和大馬攻擊是最原始的網(wǎng)絡(luò)攻擊的一種，但也是最普遍、最厲害的一種。病毒的攻擊可以對計算機造成毀滅性的破壞。特別是當(dāng)前許多病毒與木馬相互配合，不僅具有難查殺、難刪除的特點，而且還可以瞬間繁殖、快速傳播。

3、電子郵件攻擊

電子郵件已經(jīng)成為了　21　世紀(jì)不可或缺的一種通訊方式，越來越多的商務(wù)交際、公司貿(mào)易都應(yīng)用到了電子郵件。黑客通過使用郵件炸彈軟件或　CGI　程序向攻擊對象的郵箱不斷重復(fù)發(fā)送大量、無用的垃圾郵件，從而使該郵箱被撐爆而導(dǎo)致無法使用?；蜓鹧b管理員，給用戶發(fā)送附帶病毒或木馬程序的郵件。

4、拒絕服務(wù)攻擊

DoS　攻擊，全稱為　Deni　al　of　Servi　ce，又稱拒絕服務(wù)攻擊。簡單地說，就是攻擊者強行占用對方系統(tǒng)資源，讓系統(tǒng)超載而無法正常工作，直至該系統(tǒng)崩潰。常見的　DoS攻擊有以下幾種方式：①　破壞計算機之間的連接，阻止其訪問服務(wù)。②　阻止特殊用戶的訪問服務(wù)。③　試圖　HDOD服務(wù)器，阻止合法網(wǎng)絡(luò)通訊。④　破壞服務(wù)器的服務(wù)、導(dǎo)致服務(wù)器死機。

5、利用漏洞攻擊

漏洞是在程序、數(shù)據(jù)、硬件、軟件的具體實現(xiàn)或者系統(tǒng)的安全策略上所存在的缺陷。常見安全漏洞有：獲得遠程管理員權(quán)限、獲得本地管理員權(quán)限、權(quán)限提升、遠程拒絕服務(wù)、本地拒絕服務(wù)、服務(wù)器信息的泄露、遠程未授權(quán)文件存取、普通用戶訪問權(quán)限等等。通常，黑客首先利用一些專業(yè)的漏洞探測工具來檢測目標(biāo)系統(tǒng)的各種漏洞，然后借助漏洞在未授權(quán)的情況下訪問或進行有針對性的攻擊、破壞。尤其是一些未公布的漏洞，是黑客攻擊的首選。

6、TCP／IP　欺騙攻擊

IP　欺騙攻擊是通過路由偽造假地址，以假冒身份跟其他主機進行合法的通信、或向其發(fā)送假報文，讓對方主機做出錯誤指令的攻擊行為。具體來說，IP欺騙攻擊一般是由多個過程進行分工組合的，攻擊者首先利用基于　IP的信任關(guān)系，選擇一臺遠程信任主機，并提取主機的　TCP　syn，用來預(yù)測下步連接序列號，從而可以成功偽裝被信任的遠程計算機，然后建立起與目標(biāo)主機基于地址驗證的應(yīng)用連接，一旦連接成功，攻擊者便可以取代被信任主機的角色，達到其不可告人的目的。

7、放置后門程序

不僅如此，攻擊者利用偽造的　IP地址發(fā)送數(shù)據(jù)報的同時，還可以預(yù)測　TCP　字節(jié)順序號，從而迫使接收方相信其合法而與之連接，以達到　TCP欺騙連接。

8、緩沖區(qū)溢出攻擊

緩沖區(qū)溢出攻擊主要是利用軟件自身的缺陷來進行的攻擊，黑客們利用軟件漏洞向程序的緩沖區(qū)寫入超出其長度要求的內(nèi)容，導(dǎo)致緩沖區(qū)溢出，并破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其他指令，從而達到攻擊的目的；或者是在該程序的緩沖區(qū)中加入一段自己的代碼，并以該代碼的起始地址覆蓋原函數(shù)的返回地址，這樣當(dāng)函數(shù)返回時，程序就轉(zhuǎn)而開始執(zhí)行攻擊者自編的代碼了。

二、應(yīng)對網(wǎng)絡(luò)攻擊的防范措施

1、、設(shè)置安全密碼

密碼是系統(tǒng)的第一道屏障?？衫貌煌募用芗夹g(shù)對信息進行交換，　實現(xiàn)信息的隱藏，　從而保護信息的安全。數(shù)字簽名是在公鑰密碼體制下很容易獲得的一種服務(wù)，　它的機制與手寫簽名類似，　單個實體在數(shù)據(jù)上簽名，　而其他的實體能夠讀取這個簽名并能驗證其正確性，　它可以解決否認、偽造、篡改及冒充等問題。常用的數(shù)字簽名技術(shù)是　DSS　和　RSA　簽名。身份認證是指計算機及網(wǎng)絡(luò)系統(tǒng)確認操作者身份的過程。

2、安裝防火墻

防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)之上的應(yīng)用性安全技術(shù)，　它越來越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境之中，　尤其以接入　Internet　為甚。防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，　能根據(jù)企業(yè)的安全政策控制（　允許、拒絕、監(jiān)測）　出入網(wǎng)絡(luò)的信息流，　且本身具有較強的抗攻擊能力。它是提供信息安全服務(wù)，　實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上，　防火墻是一個分離器，　一個限制器，　也是一個分析器，　有效地監(jiān)控了內(nèi)部網(wǎng)和　Internet　之間的任何活動，　保證了內(nèi)部網(wǎng)絡(luò)的安全。

3、安裝安全防護軟件

殺毒軟件選擇的基本原則是：殺毒效果好、界面友好、速度快、占用系統(tǒng)資源少。但是，任何一款殺毒軟件都無法保證你　100%　的安全。當(dāng)前的殺毒軟件都是以特征碼技術(shù)來檢測和查殺病毒的。因此，殺毒軟件需要不斷地升級才能夠查殺最新、最流行的病毒。殺毒軟件使用的是后期服務(wù)，只要是正版的殺毒軟件，都能得到持續(xù)不斷地升級和售后服務(wù)。當(dāng)然，一些優(yōu)秀的完全免費的殺毒軟件也是非常不錯的選擇。

4、安全掃描技術(shù)

安全掃描技術(shù)是為系統(tǒng)管理員能夠及時了解系統(tǒng)中存在的安全漏洞，　并采取相應(yīng)防范措施，　從而降低系統(tǒng)的安全風(fēng)險而發(fā)展起來的一種安全技術(shù)。能夠有效地檢測網(wǎng)絡(luò)和主機中存在的薄弱點，　提醒用戶打上相應(yīng)的補丁，　有效地防止攻擊者利用已知的漏洞實施入侵，　但是無法防御攻擊者利用腳本漏洞和未知漏洞入侵。掃描技術(shù)主要體現(xiàn)在對安全掃描器的使用方面。

5、入侵檢測技術(shù)

入侵檢測系統(tǒng)（　Intrusion　Detection　System，IDS）　通過對網(wǎng)絡(luò)中的數(shù)據(jù)包或者主機的日志等信息進行提取、分析，　發(fā)現(xiàn)入侵和攻擊行為，　并對入侵或攻擊作出響應(yīng)，　是一種主動防御技術(shù)。

6、蜜罐與蜜網(wǎng)技術(shù)

基于主動防御理論而提出的蜜罐技術(shù)日益受到網(wǎng)絡(luò)安全領(lǐng)域的重視。蜜罐主要是通過精心布置的誘騙環(huán)境來吸引和容忍入侵，　進而了解攻擊思路、攻擊工具和攻擊目的等行為信息，　特別是對各種未知攻擊行為信息的學(xué)習(xí)。蜜網(wǎng)作為蜜罐技術(shù)的高級學(xué)習(xí)工具，　不同于蜜罐技術(shù)的低級形式――單機蜜罐，　一般是由防火墻、路由器、入侵檢測系統(tǒng)以及一臺或多臺蜜罐主機組成的網(wǎng)絡(luò)系統(tǒng)。這種多元化系統(tǒng)能夠更多地揭示網(wǎng)絡(luò)攻擊特征，　極大地提高了蜜網(wǎng)系統(tǒng)檢測、分析、響應(yīng)和恢復(fù)受侵害系統(tǒng)的能力。

7、養(yǎng)成良好上網(wǎng)習(xí)慣

一是不去訪問含有不健康信息的網(wǎng)站。病毒并不一定是以一個可執(zhí)行文件的形式出現(xiàn)的，它完全有可能是一段網(wǎng)頁程序腳本或是惡意代碼。當(dāng)計算機訪問到含有這類腳本或代碼的網(wǎng)頁時其就會潛入進計算機并激活。二是盡量去權(quán)威的大型下載站點下載軟件。很多不知名的下載站點在軟件下載頁都提供了眼花繚亂、以假亂真的下載鏈接，而事實上這些鏈接都是流氓軟件的鏈接，并不是真正的程序下載地址。三要盡量避免將　U　盤、內(nèi)存卡、移動硬盤插入不安全的計算機中。這些移動存儲設(shè)備也是計算機之間傳播病毒的橋梁，所以避免將這些設(shè)備與可能帶有病毒的計算機連接是重要的防護措施。

篇5

關(guān)鍵詞：入侵檢測技術(shù)；異常檢測；誤用檢測；IDS

中圖分類號：TP393文獻標(biāo)識碼：A文章編號：1009-3044(2011)15-3285-03

About Network Intrusion Detection Technology Research

HE Wen-bin

(College of Technology, Xiaogan University, Xiaogan 432000, China)

Abstract: With the rapid development of the computer network, people nowadays pay more attention to the security of the computer network, thus how to maintain such matter has become the focus of social concerns in the complicated and diversified network world. Currently, the technology of intrusion detection is a comparatively effective way to solve the condition of network attack, which adopts the computer network or some key points in the computer system to collect information and analyze it, thus discovering whether there is behavior against the security policy and signs of attack in the network or system. The technology of detection is one of the core technologies to ensure the security of the computer network, which has important significance and profound impacts on the network applications.

Key words: technology of intrusion detection; abnormal detection; misuse detection; IDS

近年來，網(wǎng)上黑客的攻擊活動正以每年10倍的速度增長。因此，保證計算機系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)以及整個信息基礎(chǔ)設(shè)施的安全已經(jīng)成為刻不容緩的重要課題。入侵檢測技術(shù)是繼防火墻、數(shù)據(jù)加密等傳統(tǒng)安全保護措施后新一代的安全保障技術(shù)，它能對計算機和網(wǎng)絡(luò)資源的惡意使用行為進行識別和響應(yīng)[1]。

本文首先從概念、功能和檢測方法等方面入手介紹了計算機網(wǎng)絡(luò)入侵檢測技術(shù)，然后從當(dāng)前網(wǎng)絡(luò)現(xiàn)狀出發(fā)分析了目前可采用的入侵檢測技術(shù),最后從多層次防御的角度出發(fā)提出了入侵檢測技術(shù)的發(fā)展方向。

1 常見網(wǎng)絡(luò)入侵方法的簡析

隨著網(wǎng)絡(luò)的發(fā)展，人們對網(wǎng)絡(luò)的了解越來越深入和透徹。不過在這可喜的局面背后，卻出現(xiàn)了另一類網(wǎng)絡(luò)人群――黑客。為了捍衛(wèi)我們自己網(wǎng)絡(luò)的安全，了解黑客們常用的入侵手段是必不可少的。其常見的方法分為以下18種：

1）拒絕服務(wù)。進攻者用大量的請求信息沖擊網(wǎng)站，從而有效地阻塞系統(tǒng)，使運行速度變慢，甚至網(wǎng)站崩潰。這種使計算機過載的方法常常被用來掩蓋對網(wǎng)站的入侵。

2）掃描器。通過廣泛地掃描因特網(wǎng)來確定計算機、服務(wù)器和連接的類型。

3）嗅覺器。暗中搜尋正在網(wǎng)上傳輸?shù)膫€人網(wǎng)絡(luò)信息包，用以獲取密碼甚至整個信息包的內(nèi)容。

4）網(wǎng)上欺騙。偽造電子郵件，用它們哄騙用戶輸入關(guān)鍵信息，如郵箱賬號、個人密碼或信用卡等。

5）特洛伊木馬。這種程序包含有探測一些軟件弱點所在的指令，安裝在計算機上，用戶一般很難察覺。

6）后門。黑客為了防止原來進入的通道被察覺，開發(fā)的一些隱蔽進入通道（俗稱“后門”）。

7）惡意小程序。一種微型程序，它能夠濫用計算機資源，修改硬盤上的文件，發(fā)出偽造的電子郵件以及偷竊密碼。

8）進攻撥號程序。能夠自動的撥出成千上萬個電話號碼，用來搜尋一個通過調(diào)制解調(diào)器連接的進入通道。

9）邏輯炸彈。是嵌入計算機軟件中的一種指令，它能夠觸發(fā)對計算機的惡意操作。

10）密碼破解。入侵者破解系統(tǒng)的登錄或管理密碼及其他一些關(guān)鍵口令。

11）社交工程。通過與沒有戒心的公司雇員交談，從中得到有價值的信息，從而獲得或猜出對方網(wǎng)絡(luò)的漏洞（如猜出密碼），進而控制公司計算機系統(tǒng)。

12）垃圾搜尋。通過對公司垃圾的搜尋和分析，獲得有助于闖入這家公司計算機系統(tǒng)的有用信息。

13）系統(tǒng)漏洞。入侵者利用操作系統(tǒng)漏洞，進入系統(tǒng)主機并獲取整個系統(tǒng)的控制權(quán)。

14）應(yīng)用程序漏洞。與系統(tǒng)漏洞的方式相似，也可能獲取整個系統(tǒng)的控制權(quán)。

15）配置漏洞。通常指系統(tǒng)管理員本身的錯誤。

16）協(xié)議/設(shè)計漏洞。指通信協(xié)議或網(wǎng)絡(luò)設(shè)計本身存在的漏洞。

17）身份欺騙。包括用戶身份欺騙和IP地址欺騙，以及硬件地址欺騙和軟件地址欺騙。

18）炸彈。利用系統(tǒng)或程序的小毛病，對目標(biāo)發(fā)送大量的報文，或者非法的會引起系統(tǒng)出錯的數(shù)據(jù)包等，導(dǎo)致系統(tǒng)或服務(wù)停止響應(yīng)、死機甚至重啟系統(tǒng)的攻擊。

2 網(wǎng)絡(luò)入侵檢測技術(shù)的概述

入侵檢測（Intrusion Detection）是對入侵行為的檢測，是指“通過對行為、安全日志或?qū)徲嫈?shù)據(jù)或其它網(wǎng)絡(luò)上可以獲得的信息進行操作，檢測到對系統(tǒng)的闖入或闖入的企圖”。入侵檢測是檢測和響應(yīng)計算機誤用的學(xué)科，其作用包括威懾、檢測、響應(yīng)、損失情況評估、攻擊預(yù)測和支持。

入侵檢測是防火墻的合理補充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、進攻識別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測被認為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。

入侵檢測技術(shù)（IDS）可以被定義為對計算機和網(wǎng)絡(luò)資源的惡意使用行為進行識別和相應(yīng)處理的系統(tǒng)[2]。包括系統(tǒng)外部的入侵和內(nèi)部用戶的非授權(quán)行為，是為保證計算機系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。

進行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)（IntrusionDetectionSystem，簡稱IDS）[3]。入侵檢測系統(tǒng)的典型代表是ISS公司的RealSecure。它是計算機網(wǎng)絡(luò)上自動實時的入侵檢測和響應(yīng)系統(tǒng)。它無妨礙地監(jiān)控網(wǎng)絡(luò)傳輸并自動檢測和響應(yīng)可疑的行為，在系統(tǒng)受到危害之前截取和響應(yīng)安全漏洞和內(nèi)部誤用，從而最大程度地為企業(yè)網(wǎng)絡(luò)提供安全。

3 網(wǎng)絡(luò)入侵檢測技術(shù)的研究

3.1 異常入侵檢測技術(shù)

異常入侵檢測MD[4]（Anomaly Detection）又稱為基于行為的檢測，指根據(jù)使用者的行為或資源使用狀況的正常程度來判斷是否入侵，而不依賴于具體行為是否出現(xiàn)來檢測。其基本前提是：假定所有的入侵行為都是異常的。建立系統(tǒng)或用戶的“正?！毙袨樘卣鬏喞ㄟ^比較當(dāng)前的系統(tǒng)或用戶的行為是否偏離正常的行為特征輪廓來判斷是否發(fā)生了入侵。此方法不依賴于是否表現(xiàn)出具體行為來進行檢測，是一種間接的方法。

常用的方法有：統(tǒng)計異常檢測方法、基于特征選擇異常檢測方法、基于貝葉斯推理異常檢測方法、基于貝葉斯網(wǎng)絡(luò)異常檢測方法、基于模式預(yù)測異常檢測方法、基于神經(jīng)網(wǎng)絡(luò)異常檢測方法、基于機器學(xué)習(xí)異常檢測方法、基于數(shù)據(jù)采掘異常檢測方法。

采用異常檢測的關(guān)鍵問題有如下兩個方面：

1）特征量的選擇。在建立系統(tǒng)或用戶的行為特征輪廓的正常模型時，選取的特征量既要能準(zhǔn)確地體現(xiàn)系統(tǒng)或用戶的行為特征，又能使模型最優(yōu)化，即以最少的特征量就能涵蓋系統(tǒng)或用戶的行為特征。

2）參考閾值的選定。由于異常檢測是以正常的特征輪廓作為比較的參考基準(zhǔn)，閾值設(shè)定得過大，那漏警率會很高；閾值設(shè)定的過小，則虛警率就會提高。因此，合適的參考閾值的選定是決定這一檢測方法準(zhǔn)確率的至關(guān)重要的因素。

由此可見，異常檢測技術(shù)難點是“正?！毙袨樘卣鬏喞拇_定、特征量的選取、特征輪廓的更新。由于受這幾個因素的制約，異常檢測的虛警率很高，但對于未知的入侵行為的檢測非常有效。

3.2 誤用入侵檢測技術(shù)

誤用入侵檢測[5]又稱為基于知識的檢測，是指根據(jù)已知的入侵模式來檢測入侵。其基本前提是：假定所有可能的入侵行為都能被識別和表示。對已知的攻擊方法進行攻擊簽名（指用一種特定的方式來表示已知的攻擊模式）表示，然后根據(jù)已經(jīng)定義好的攻擊簽名，通過判斷這些攻擊簽名是否出現(xiàn)來判斷入侵行為的發(fā)生與否。此方法是依據(jù)是否出現(xiàn)攻擊簽名來判斷入侵行為，是一種直接的方法。

常用的方法有：基于條件概率誤用入侵檢測方法、基于專家系統(tǒng)誤用入侵檢測方法、基于狀態(tài)遷移分析誤用入侵檢測方法、基于鍵盤監(jiān)控誤用入侵檢測方法、基于模型誤用入侵檢測方法。

誤用檢測的關(guān)鍵問題是攻擊簽名的正確表示。誤用入侵檢測將收集到的信息與已知的攻擊簽名模式庫進行比較，從中發(fā)現(xiàn)違背安全策略的行為。由于只需要收集相關(guān)的數(shù)據(jù)，這樣系統(tǒng)的負擔(dān)明顯減少。該方法類似于病毒檢測系統(tǒng)，其檢測的準(zhǔn)確率和效率都比較高。但是它也存在一些缺點。

1）不能檢測未知的入侵行為。其檢測機理是對已知的入侵方法進行模式提取，然而對于未知的入侵方法就不能進行有效的檢測。也就是說漏警率比較高。

2）與系統(tǒng)的相關(guān)性很強。對于不同實現(xiàn)機制的操作系統(tǒng)，由于攻擊的方法不盡相同，很難定義出統(tǒng)一的模式庫。另外，誤用檢測技術(shù)也難以檢測出內(nèi)部人員的入侵行為。

4 常用入侵檢測系統(tǒng)

4.1入侵檢測系統(tǒng)的主要功能

1）監(jiān)視分析用戶及系統(tǒng)活動；

2）核查系統(tǒng)配置和漏洞；

3）識別已知攻擊的行為并向相關(guān)人士報警；

4）異常行為模式的統(tǒng)計分析；

5）評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性；

6）操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為。

4.2 常用入侵檢測系統(tǒng)模型簡介

4.2.1 Denning模型

1987 年Denning 提出了一種抽象的通用入侵檢測的模型。該模型主要由主體、對象、審計記錄、活動簡檔、異常記錄、活動規(guī)則6部分組成，如圖1所示。

4.2.2 入侵檢測系統(tǒng)的CIDF模型

為了使分布于不同主機上的IDS能夠相互通信，交換檢測數(shù)據(jù)和分析結(jié)果，以檢測跨時間段的大范圍攻擊，Stuart Staniford-Chen等人提出了公共入侵檢測框架Common Intrusion Detection Framework，簡稱CIDF[6]。該模型主要由事件生成器、事件分析器、事件數(shù)據(jù)庫、事件響應(yīng)器4部分組成，如圖2所示。

5 結(jié)束語

該文介紹的Denning模型和CIDF模型能夠有效的檢測出網(wǎng)絡(luò)入侵行為，對計算機網(wǎng)絡(luò)具有相當(dāng)?shù)谋Ｗo作用。入侵檢測作為一種積極主動的安全防護技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護，使網(wǎng)絡(luò)系統(tǒng)在受到危害之前即攔截和響應(yīng)入侵行為，為網(wǎng)絡(luò)安全增加一道屏障。我們相信，隨著入侵檢測技術(shù)的研究與開發(fā)，并在實際應(yīng)用中與其它網(wǎng)絡(luò)管理軟件相結(jié)合，使網(wǎng)絡(luò)安全可以從立體縱深、多層次防御的角度出發(fā)，形成人侵檢測、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)監(jiān)控三位一體化，從而更加有效地保護網(wǎng)絡(luò)的安全。

參考文獻：

[1] 常秉琨,李莉.計算機網(wǎng)絡(luò)入侵檢測技術(shù)探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2009(4).

[2] 李建華.入侵檢測技術(shù)[M].北京:清華大學(xué)出版社,2008.

[3] 楊智君.入侵檢測技術(shù)研究綜述[J].計算機工程與設(shè)計,2006,27(12).

[4] 宋連濤.基于異常的入侵檢測技術(shù)研究[D].南京:河海大學(xué),2006.

[5] 宋世杰.基于序列模式挖掘的誤用入侵檢測系統(tǒng)及其關(guān)鍵技術(shù)研究[J].計算機科學(xué)與技術(shù),2006(3).

篇6

關(guān)鍵詞：校園網(wǎng)；網(wǎng)絡(luò)安全；IPS；流控；IPv6

中圖分類號：TP315 文獻標(biāo)識碼：A 文章編號：1673-8454(2012)09-0033-04

一、前言

在大力推動高校信息化過程中，校園網(wǎng)絡(luò)得到了快速發(fā)展。校園網(wǎng)作為高校信息化建設(shè)的重要基礎(chǔ)設(shè)施，為學(xué)校教學(xué)、科研提供先進的信息化教學(xué)環(huán)境，同時為師生提供網(wǎng)絡(luò)接入、綜合信息服務(wù)等，校園網(wǎng)已經(jīng)成為學(xué)校日常工作中不可或缺的一部分。在Internet快速發(fā)展過程中暴露出一系列問題，其中網(wǎng)絡(luò)安全問題尤其突出，校園網(wǎng)作為Internet的重要組成部分，由于自身在網(wǎng)絡(luò)安全方面的弱點，使其成為網(wǎng)絡(luò)安全的重災(zāi)區(qū)，每年因為網(wǎng)絡(luò)安全事件給高校造成財產(chǎn)、聲譽等巨大的損失。校園網(wǎng)絡(luò)安全建設(shè)是一個系統(tǒng)工程，它包含防火墻、入侵防御檢測、防病毒、網(wǎng)絡(luò)行為審計、漏洞掃描、災(zāi)難備份、安全集中管理等一系列安全措施。本文將詳細分析校園網(wǎng)現(xiàn)狀及用戶特點，并針對影響整個校園網(wǎng)運行的安全事件進行分析，如造成校園網(wǎng)整體或部分區(qū)域斷網(wǎng)、訪問延遲的事件等，最后提出保障校園網(wǎng)網(wǎng)絡(luò)安全的基本措施。

二、校園網(wǎng)安全現(xiàn)狀及特點

校園網(wǎng)是一個集計算機網(wǎng)絡(luò)技術(shù)、信息管理、辦公自動化和信息等功能于一體的綜合信息平臺，是一個終端、服務(wù)器、網(wǎng)絡(luò)設(shè)備、用戶眾多的復(fù)雜的局域網(wǎng)，通過有線、無線實現(xiàn)互聯(lián)和數(shù)據(jù)傳輸。校園網(wǎng)的這些特點決定了在網(wǎng)絡(luò)安全管理方面的復(fù)雜性。分析研究校園網(wǎng)安全現(xiàn)狀可以從多個方面入手，主要的分析手段包括IDS、IPS等入侵檢測系統(tǒng)以及系統(tǒng)漏洞分析系統(tǒng)。在本文中將通過流量控制系統(tǒng)、入侵檢測系統(tǒng)、脆弱掃描分析系統(tǒng)等對校園網(wǎng)安全現(xiàn)狀進行分析研究。校園網(wǎng)的安全現(xiàn)狀及特點可以分為以下幾方面：

1．活躍用戶眾多，安全意識淡薄

隨著經(jīng)濟的快速發(fā)展，擁有一臺個人計算機對于現(xiàn)在的大學(xué)生來說已經(jīng)不再是一件不能想象的事，計算機技術(shù)也成為大學(xué)生的必修課。校園網(wǎng)的用戶群體非常龐大，少則數(shù)千人、多則數(shù)萬人。中國的高校學(xué)生一般集中住宿，因而用戶非常密集。正是由于高帶寬和大用戶量的特點，網(wǎng)絡(luò)安全問題蔓延快、對網(wǎng)絡(luò)的影響嚴重。除此之外，大學(xué)生對新鮮事物的好奇心，驅(qū)使他們更愿意去嘗試和挑戰(zhàn)網(wǎng)絡(luò)新技術(shù)，如果沒有意識到后果的嚴重性，可能對網(wǎng)絡(luò)造成一定的影響和破壞。校園網(wǎng)用戶眾多，但真正有網(wǎng)絡(luò)安全意識的用戶卻少的可憐，大多數(shù)用戶對于自己的PC機只做簡單的系統(tǒng)默認防護，因此成為了校外攻擊的主要攻擊目標(biāo)，除了會對個人信息、財產(chǎn)造成損失外，還有大量的PC機成為“僵尸主機”，成為了被非法分子利用攻擊他人的“肉機”，或者作為攻擊校園網(wǎng)的跳板。

2．盜版資源泛濫

由于缺乏版權(quán)意識，盜版軟件、影視資源在校園網(wǎng)中普遍使用，這些軟件的傳播一方面占用了大量的網(wǎng)絡(luò)帶寬，另一方面也給網(wǎng)絡(luò)安全帶來了一定的隱患。比如，Microsoft公司對盜版的XP操作系統(tǒng)的更新作了限制，盜版安裝的計算機系統(tǒng)今后會留下大量的安全漏洞。另一方面，從網(wǎng)絡(luò)上隨意下載的軟件中很多都隱藏木馬、后門等惡意代碼，如不進行檢測直接運行安裝將很容易被攻擊者侵入和利用。

3．應(yīng)用服務(wù)管理不規(guī)范

隨著互聯(lián)網(wǎng)應(yīng)用的增加以及師生對互聯(lián)網(wǎng)資源需求的快速增長，校內(nèi)各院系組織都建立起了自己的應(yīng)用服務(wù)器，其中包括Web應(yīng)用、FTP服務(wù)、BBS、高性能計算服務(wù)等等，這些服務(wù)部署分散、管理松散，大多數(shù)沒有做安全防范，因此極容易受到攻擊。這些服務(wù)雖然不是學(xué)校統(tǒng)一管理，但一旦受到攻擊將嚴重影響學(xué)校網(wǎng)絡(luò)和學(xué)校的聲譽。如圖1所示為我校某天的實時流量監(jiān)控圖，可以看出在21：00至22：00流量達到了頂峰，這時已經(jīng)造成了整個校園網(wǎng)的丟包率在50%以上，整個校園網(wǎng)幾乎癱瘓。

經(jīng)過排查，最終發(fā)現(xiàn)為服務(wù)器區(qū)的某臺服務(wù)器被攻擊，斷開該服務(wù)器網(wǎng)絡(luò)后，校園網(wǎng)恢復(fù)正常，圖2為局部網(wǎng)絡(luò)拓撲，可見圖中下方斜線處流量已經(jīng)達800多兆。通過查看該服務(wù)器記錄，得知該服務(wù)器為新入網(wǎng)機器，操作系統(tǒng)安裝后并未做任何安全措施，也沒有更新必要的安全補丁。

三、校園網(wǎng)常見安全問題分析

1．流量類型分析

流量控制系統(tǒng)是校園網(wǎng)中應(yīng)用比較廣泛的網(wǎng)絡(luò)管理系統(tǒng)，近年來以P2P協(xié)議為核心的下載工具的大量應(yīng)用，在給用戶帶來高速下載的同時也給網(wǎng)絡(luò)帶寬帶來巨大的挑戰(zhàn)，因此網(wǎng)絡(luò)管理者開始應(yīng)用流量控制系統(tǒng)以監(jiān)控和管理這些流量來保證其他流量的正常傳輸。如果不對P2P流量進行限制，它將占滿整個網(wǎng)絡(luò)帶寬，使整個校園網(wǎng)訪問出現(xiàn)巨大延遲。除了P2P流量外，某些中毒的PC機或服務(wù)器也會出現(xiàn)向外發(fā)送大流量的情況，如UDP泛洪攻擊、蠕蟲攻擊等。圖3所示為我校IPS對網(wǎng)絡(luò)事件的監(jiān)測分析圖，從圖上可以看到校園網(wǎng)絡(luò)中存在大量的P2P流量。

2．攻擊方式分析

（1）探測掃描

網(wǎng)絡(luò)攻擊者在發(fā)動攻擊之前必定會對目標(biāo)網(wǎng)絡(luò)進行探測以找出網(wǎng)絡(luò)漏洞以備攻擊，因此在對網(wǎng)絡(luò)監(jiān)控過程中將會發(fā)現(xiàn)大量的網(wǎng)絡(luò)探測事件。圖4為我校10天的網(wǎng)絡(luò)事件監(jiān)測分布圖，其中排在第一位的便是Traceroute ICMP/IPOPT掃描探測類事件的相關(guān)操作，這其中有正常的操作當(dāng)然也有很多非法的嗅探，由此可見網(wǎng)絡(luò)攻擊者無時無刻不在關(guān)注著校園的網(wǎng)絡(luò)安全漏洞。

（2）跨站腳本攻擊

跨站腳本攻擊是指在遠程Web頁面的HTML代碼中插入惡意代碼，用戶誤認為該頁面是可信賴的，當(dāng)用戶打開該頁面，瀏覽器會自動下載惡意代碼，運行其中的腳本。腳本注入事件屬于Web安全問題范疇，它指攻擊者利用Web應(yīng)用系統(tǒng)不對用戶輸入數(shù)據(jù)進行嚴格檢查和過濾的缺陷，主動通過用戶輸入域注入具有惡意性質(zhì)的腳本片段。攻擊者可以利用的用戶輸入域包括URL參數(shù)、表單域、Cookie域等，一般通過標(biāo)簽來注入腳本，或者通過其他HTML標(biāo)簽的屬性賦值來注入腳本。這些注入的腳本片段將反射到被攻擊者Web客戶端并在被攻擊主機的Web客戶端上執(zhí)行，從而達到惡意攻擊目的，包括竊取客戶端敏感信息，或者在用戶無法覺察的情況下發(fā)送具有惡意性質(zhì)或者可能導(dǎo)致嚴重后果的HTTP請求。跨站腳本攻擊是一種在校園網(wǎng)中發(fā)生頻率非常高的網(wǎng)絡(luò)安全事件，每天在IPS監(jiān)控中可以看到大量的報警信息。從學(xué)校網(wǎng)絡(luò)管理者的角度來看，可將跨站腳本攻擊分為兩類，一類是校內(nèi)某應(yīng)用系統(tǒng)被植入腳本，當(dāng)校內(nèi)用戶訪問該用戶時對用戶發(fā)起攻擊行為，第二類是校外的應(yīng)用系統(tǒng)被植入腳本，當(dāng)校內(nèi)用戶訪問時對用戶發(fā)起攻擊，相對而言前者對校園網(wǎng)的危害更大一些，但一般不會對整個校園網(wǎng)整體運行造成危害。

（3）SQL 注入

SQL 注入是攻擊者通過輸入惡意的請求直接操作數(shù)據(jù)庫服務(wù)器的攻擊技巧。SQL注入是應(yīng)用系統(tǒng)中最常見同時也是危害最大的一類弱點。導(dǎo)致SQL注入的基本原因是由于應(yīng)用程序?qū)τ脩舻妮斎霙]有進行安全性檢查，從而使得用戶可以自行輸入SQL查詢語句，對數(shù)據(jù)庫中的信息進行瀏覽、查詢、更新。基于SQL注入的攻擊方法多種多樣，而且有很多變形，這也是傳統(tǒng)工具難以發(fā)現(xiàn)和定位的。利用SQL注入漏洞可以構(gòu)成對Web服務(wù)器的直接攻擊，還可能用于網(wǎng)頁掛馬，導(dǎo)致機密數(shù)據(jù)如電子商務(wù)網(wǎng)站的客戶信息等泄漏；服務(wù)器被控制；后臺數(shù)據(jù)庫執(zhí)行非授權(quán)的查詢、修改、刪除；泄露認證相關(guān)的敏感信息，導(dǎo)致攻擊者控制Web應(yīng)用、網(wǎng)站數(shù)據(jù)的惡意破壞。每年在高校招生的一段時間內(nèi)，都有眾多高校的招生網(wǎng)站被掛馬，因此給學(xué)校和考生帶來非常大的損失。

（4）DDoS攻擊

DDoS攻擊是Distributed Denial of Service (分布式拒絕服務(wù)攻擊)很多DoS攻擊源一起攻擊某臺服務(wù)器就組成了DDoS攻擊。[1]最基本的DoS攻擊就是利用合理的服務(wù)請求來占用過多的服務(wù)資源，從而使服務(wù)器無法處理合法用戶的指令。常見的有SYN Flood、TCP Flood、UDP Flood、ICMP Flood及其變種Land、Teardrop、Smurf、Ping of Death等等。　DDoS攻擊是一種可以造成大規(guī)模破壞的黑客武器，它通過制造偽造的流量，使得被攻擊的服務(wù)器、網(wǎng)絡(luò)鏈路或是網(wǎng)絡(luò)設(shè)備(如防火墻、路由器等)負載過高，從而最終導(dǎo)致系統(tǒng)崩潰，無法提供正常的服務(wù)。隨著各種業(yè)務(wù)對Internet依賴程度的日益加強，DDoS攻擊所帶來的損失也愈加嚴重。包括運營商、企業(yè)及政府機構(gòu)的各種用戶時刻都受到了DDoS攻擊的威脅，而未來更加強大的攻擊工具的出現(xiàn)，為日后發(fā)動數(shù)量更多、破壞力更強的DDoS攻擊帶來可能。

圖5為我校2011年8月4日的校園網(wǎng)流量圖，可以看出在18：20至18：30左右和19：50至20：00點間校園網(wǎng)總出口流量異常，在此期間整個校園網(wǎng)幾乎無法訪問。IPS設(shè)備報警顯示網(wǎng)絡(luò)受到UDP-Flood淹沒拒絕服務(wù)攻擊。通過對相應(yīng)外網(wǎng)攻擊IP和校內(nèi)被攻擊IP做了訪問限制，網(wǎng)絡(luò)恢復(fù)正常。

（5）ARP病毒

ARP病毒并不是某一種病毒的名稱，而是對利用ARP協(xié)議的漏洞進行傳播的一類病毒的總稱。ARP協(xié)議是TCP/IP協(xié)議組的一個協(xié)議，用于把網(wǎng)絡(luò)地址翻譯成物理地址（又稱MAC地址）。[2]通常此類攻擊的手段有兩種：路由欺騙和網(wǎng)關(guān)欺騙。ARP是一種入侵電腦的木馬病毒。當(dāng)病毒發(fā)作時會發(fā)出大量的數(shù)據(jù)包導(dǎo)致局域網(wǎng)通訊擁塞，造成該交換機資源耗盡，導(dǎo)致大量用戶無法上網(wǎng)或訪問速度緩慢。如圖6所示為我校某宿舍樓ARP監(jiān)測記錄，因一臺PC機中ARP病毒導(dǎo)致其他學(xué)生無法上網(wǎng)。從圖上可以看出該網(wǎng)段內(nèi)所有IP地址對外呈現(xiàn)一個MAC地址和一個交換機端口，可見ARP病毒將自己宣稱為網(wǎng)關(guān)致使所有PC機將流量轉(zhuǎn)移到該中毒PC上。

四、防護措施

1．有效利用網(wǎng)絡(luò)管理系統(tǒng)

強有力的技術(shù)手段是網(wǎng)絡(luò)安全的重要保證，網(wǎng)絡(luò)管理人員應(yīng)在網(wǎng)絡(luò)出現(xiàn)問題時在最短的時間內(nèi)解決問題。有效地利用入侵檢測系統(tǒng)、流量監(jiān)控系統(tǒng)、網(wǎng)絡(luò)管理系統(tǒng)來定位網(wǎng)絡(luò)故障點，并進行有效處理。入侵檢測系統(tǒng)能最早地對網(wǎng)絡(luò)安全事件進行報警，通知管理人員防止事件蔓延，網(wǎng)絡(luò)管理員通過入侵檢測系統(tǒng)報警的信息通過網(wǎng)絡(luò)管理系統(tǒng)查看網(wǎng)絡(luò)拓撲圖，網(wǎng)絡(luò)設(shè)備信息具體定位到某一區(qū)域的某幾臺設(shè)備，并對其進行相應(yīng)處理。根據(jù)問題設(shè)備的不同用途和安全事件類型進行不同的處理，包括關(guān)閉該設(shè)備的外網(wǎng)訪問、限制流量、限制連接數(shù)等措施。

2．校園網(wǎng)真實源地址驗證

目前因特網(wǎng)大多數(shù)采用IPv4協(xié)議，由于互聯(lián)網(wǎng)在近幾年的飛速發(fā)展，IPv4協(xié)議自身的局限性日漸凸顯，嚴重制約著網(wǎng)絡(luò)的進一步發(fā)展，尤其是枯竭的地址及安全問題，由此產(chǎn)生的以IPv6協(xié)議為基礎(chǔ)的下一代互聯(lián)網(wǎng)在很大程度上順應(yīng)了網(wǎng)絡(luò)的發(fā)展要求。針對IPv6主機的安全合法接入問題，清華大學(xué)于2009年4月提出SAVI源地址合法性檢驗RFC草案，該草案主要講述了IPv4/IPv6的CPS（Control Packet Snooping）原理，根據(jù)CPS原理在接入設(shè)備上建立基于源地址、錨（MAC地址和接入設(shè)備的端口）綁定關(guān)系，從而可以判斷從接入設(shè)備的指定端口接收到的報文的源地址的有效性。源地址匹配綁定表項的數(shù)據(jù)才允許轉(zhuǎn)發(fā)，保證網(wǎng)絡(luò)上數(shù)據(jù)分組源地址的真實性。過濾表項用來對數(shù)據(jù)報文進行過濾。過濾表項的綁定表的一個子集，只有源地址存在于過濾表中的數(shù)據(jù)報文才能允許通過。地址過濾表主要是將表項綁定到硬件接口上，由硬件進行源地址過濾，指定的用戶只能從指定的接口接入。硬件綁定支持“僅IPv6地址”模式和“IPv6+MAC”模式兩種綁定。前者檢查報文（VID，源IP地址，端口）的匹配關(guān)系，后者檢查報文（VID，源MAC地址，源IP地址，端口）的匹配關(guān)系。我?，F(xiàn)已經(jīng)實現(xiàn)了教學(xué)科研區(qū)、學(xué)生宿舍區(qū)的IPv6全覆蓋，并通過校園網(wǎng)真實地址驗證系管理系統(tǒng)對其進行監(jiān)測，實時發(fā)現(xiàn)非法IP和非法訪問，圖7為我校校園網(wǎng)真實地址驗證管理系統(tǒng)監(jiān)控報警信息。

3．服務(wù)器的統(tǒng)一規(guī)范管理

信息網(wǎng)絡(luò)中心作為學(xué)校網(wǎng)絡(luò)的服務(wù)提供者應(yīng)將校內(nèi)各單位Web服務(wù)、FTP服務(wù)等集中放置在信息網(wǎng)絡(luò)中心的服務(wù)器上，服務(wù)器由信息網(wǎng)絡(luò)中心統(tǒng)一管理，內(nèi)容的更新由各單位負責(zé)并通過遠程維護，信息網(wǎng)絡(luò)中心為各單位提供統(tǒng)一的動態(tài)信息平臺。具備服務(wù)器運行環(huán)境，并需獨立運行和維護服務(wù)器的單位，需經(jīng)信息網(wǎng)絡(luò)中心批準(zhǔn)后方可自行管理維護。統(tǒng)一的管理便于部署統(tǒng)一的安全策略，大大提高資源的有效性和安全性。對服務(wù)器的入網(wǎng)進行統(tǒng)一管理，沒有達到網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的禁止入網(wǎng)，網(wǎng)絡(luò)中心負責(zé)全校IP地址的管理與分配，對于新入網(wǎng)的服務(wù)器必須要求其填寫服務(wù)器相關(guān)信息，明確服務(wù)用途，服務(wù)上架完成后，由信息網(wǎng)絡(luò)中心進行安全檢測和端口掃描，根據(jù)用戶填寫的服務(wù)用途要求用戶關(guān)閉不相關(guān)的端口和服務(wù)，安全檢測通過后允許用戶連接外網(wǎng)。定期進行安全評估，幫助校園網(wǎng)管理者對目前自己的網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用的缺陷有相對直觀的認識和了解，及時發(fā)現(xiàn)問題并采取相應(yīng)安全措施。安全評估利用網(wǎng)絡(luò)安全掃描器、專用安全測試工具對網(wǎng)絡(luò)中的核心服務(wù)器及重要的網(wǎng)絡(luò)設(shè)備，包括服務(wù)器、網(wǎng)絡(luò)設(shè)備、防火墻等進行安全檢查并結(jié)合非破壞性質(zhì)的模擬黑客攻擊，目的是侵入系統(tǒng)并獲取機密信息并將入侵的過程和細節(jié)產(chǎn)生報告給用戶。網(wǎng)絡(luò)管理者通過這些報告對網(wǎng)絡(luò)設(shè)備及信息系統(tǒng)進行安全加固，預(yù)防網(wǎng)絡(luò)安全事件的發(fā)生。

4．校外人員接入安全

校外人員接入分為師生對校內(nèi)資源的訪問和工作人員遠程對校內(nèi)網(wǎng)絡(luò)設(shè)備的訪問。在校師生出差或不在校內(nèi)時有訪問校內(nèi)資源的需求，學(xué)校開放這些資源的同時也帶來一定安全方面的問題，SSL VPN的接入方式很好地解決了這方面的問題，為校外師生訪問校內(nèi)資源提供了安全可靠的訪問方式。我校信息網(wǎng)絡(luò)中心目前有核心設(shè)備近百臺，包括防火墻網(wǎng)絡(luò)、路由器、交換機、重要服務(wù)器等。每臺設(shè)備出問題，都會影響到學(xué)校部分甚至整個的網(wǎng)絡(luò)和工作，而每臺設(shè)備都由兩人或多人共同管理維護，還有公司人員協(xié)助管理維護。另外學(xué)校在建的很多網(wǎng)絡(luò)工程需要公司的參與，校外公司人員需長期參與和維護校內(nèi)網(wǎng)絡(luò)設(shè)備，因此需要給這些人員建立一種專門的訪問方式。如果無法記錄每臺設(shè)備的操作歷史，出現(xiàn)問題將無法查找，操作安全問題無法解決；另外，設(shè)備較多，密碼的管理和維護比較困難，設(shè)備的安全性比較低。為解決這一問題，我校建立了網(wǎng)絡(luò)核心設(shè)備安全管理系統(tǒng)（堡壘主機系統(tǒng)）統(tǒng)一管理網(wǎng)絡(luò)設(shè)備及部分核心服務(wù)器，校外人員通過合法的身份進入堡壘主機，通過堡壘主機去訪問網(wǎng)絡(luò)設(shè)備，作為學(xué)校網(wǎng)絡(luò)管理者可以掌握并審計這些人員的操作行為，做到行為可查詢、可審計。

五、結(jié)束語

高校校園網(wǎng)絡(luò)的高速發(fā)展在很大程度上推動了學(xué)校的發(fā)展，同時日益突出的網(wǎng)絡(luò)安全問題嚴重影響了網(wǎng)絡(luò)健康發(fā)展。本文從高校網(wǎng)絡(luò)管理者的角度結(jié)合日常工作，通過分析校園網(wǎng)運行數(shù)據(jù)提出解決校園網(wǎng)網(wǎng)絡(luò)安全的措施，高校網(wǎng)絡(luò)安全需要有完善的軟硬件環(huán)境，更需要有完善的可執(zhí)行的規(guī)章制度。

參考文獻：

篇7

關(guān)鍵詞：木馬；攻擊；發(fā)展趨勢；產(chǎn)業(yè)鏈

中圖分類號：TP393 文獻標(biāo)識碼：a DoI: 10.3969/j.issn.1003-6970.2012.02.051

New Development of Trojan and How We Respond To

JIa Jian-zhong(Urumqi vocational university, Urumqi Xinjiang, 830001)

【Abstract】with the develop of Internet business,the trojan industry has recently appeared the trend of Group.It is a serious threat to

the security of Internet users. This article first discusses the trend of the past two years, Trojan development of new trends and technology development,then discussed how to cut off the industrial chain, routine safety protection of computer user, website security and the management of payment platform on the internet.

【Key words】trojan; attack; Development trends; Industrial chain

0 引 言

木馬程序是一種以竊取網(wǎng)絡(luò)用戶信息為目的的惡意程序。自產(chǎn)生之日起，木馬程序就對網(wǎng)絡(luò)安全造成嚴重危害。木馬通常不會直接攻擊計算機軟硬件系統(tǒng),但其危害性更勝過一般意義上的病毒。木馬技術(shù)以無所不用其極的手段、靈活的應(yīng)變、花樣百出的偽裝在個人電腦病毒防御技術(shù)迅速發(fā)展的今天，依然保持著強盛的生命力。金山公司在2012年2月的中國互聯(lián)網(wǎng)安全研究報告中列舉的2011年度影響最大的十大病毒中木馬程序有4個，另有4個病毒與木馬構(gòu)成混合侵害。國家國家計算機病毒應(yīng)急處理中心2011年10月、11月的計算機病毒疫情分析中列舉的5項病毒動態(tài)中，各有3項為木馬及其變種，可見木馬程序危害性之大。目前，國內(nèi)木馬產(chǎn)業(yè)每年的非法收益在百億元人民幣以上。

1 木馬入侵的新動向

1.1 惡意推廣及垃圾廣告

這種木馬主要通過惡意網(wǎng)站誘導(dǎo)用戶點擊后采用自行安裝、網(wǎng)頁掛馬、與正常軟件捆綁等形式傳播。其表現(xiàn)形式有自動彈出廣告窗口;偽造圖標(biāo)進入推銷網(wǎng)站或惡意站點；篡改主頁為某流氓網(wǎng)站；偽裝為其他軟件，點擊后自動釋放大量流氓軟件等。這種木馬主要達成為侵害實施者爭取推廣費、提高點擊率等目的，相對來講危害性不強但使人厭煩。從殺除的角度講比較容易，但因為其經(jīng)常變換形式，隨意性強，木馬宿主種類繁多，故各大殺毒軟件很少出專殺工具，使人防不勝防。

1.2 信息盜取的針對性增強

自木馬產(chǎn)生以來，信息竊取即為其主要目的，近兩年的一個發(fā)展趨勢是，木馬設(shè)計和傳播者對惡作劇式的、炫耀式的大面積撒網(wǎng)攻擊不再有興趣，而是對于能夠產(chǎn)生某種非法所得目標(biāo)明確的攻擊加強力度，呈現(xiàn)一種成熟化、精細化發(fā)展的趨勢。從竊取信息的種類來看主要有（1）盜取網(wǎng)銀賬戶的木馬。（2）盜取網(wǎng)游賬號或其它游戲賬號的密碼，甚至于出現(xiàn)針對某個游戲設(shè)計的木馬，如：攻擊魔獸世界網(wǎng)游的魔獸木馬（Trojan/ PSW.Moshou）及其變種。（3）專門盜取股票賬戶的木馬。從手段上分有2種：一是在投資、證券網(wǎng)站上掛馬引誘用戶下載，中招后定時檢索有無交易流量，通過截屏、偷盜用戶股票交易密碼，如：能夠?qū)⒔灰状翱谶M行截屏發(fā)送給控制端的win32. troj.soufan木馬；二是木馬設(shè)計具有侵害針對性，如：使用rootkit技術(shù)隱藏于系統(tǒng)進程空間的Tigger/Syzor木馬，這種木馬可對證券、期貨交易人員的計算機進行有選擇的攻擊，具有欺騙性的是這種木馬還可以幫助受侵害的計算機殺除可能存在的幾十種其他惡意病毒，以達到更好的減輕侵害癥狀、隱藏自己的目的。（4）針對淘寶等電子商務(wù)網(wǎng)站用戶實施的盜取。 此類木馬以竊取淘寶買家的支付寶、網(wǎng)銀賬號或賬上資金為目標(biāo)，采用制作假冒淘寶網(wǎng)頁，在假淘寶與真淘寶之間設(shè)立鏈接來迷惑用戶將支付賬號提交到控制端；或在淘寶網(wǎng)上注冊商鋪，以頁面中的有毒鏈接誘騙用戶點擊植入木馬后用假冒的支付頁面將支付款直接轉(zhuǎn)入黑客賬戶；或在正常的付款、退款過程中截取密碼信息及資金。(5)針對智能手機通訊錄及賬號的盜取。智能手機因為其服務(wù)類型多樣、資費方式靈活的特點成為木馬入侵的一個新重點，手機上的個人信息相對于個人電腦來講更為集中和私密。木馬主要盜取手機的通訊錄、手機銀行支付賬號密碼，更具危害性的是間諜木馬，一旦下載運行，其可以打開手機的聽筒從遠端監(jiān)聽用戶通話[1]。（6）針對特定部門、組織的郵件木馬。此類木馬針對政府機構(gòu)、特定行業(yè)或某個公司的用戶郵箱進行網(wǎng)頁或附件下載形式的木馬植入。郵件網(wǎng)頁中含有惡意轉(zhuǎn)向代碼，輔以可能感興趣的內(nèi)容誘騙用戶點擊后轉(zhuǎn)向指定網(wǎng)站自動運行植入。遭侵害的計算機硬盤遭惡意掃描，重要商業(yè)信息或機密文件被傳至黑客客戶端。（7）針對CAD圖紙設(shè)計的木馬。這是一款間諜木馬，通過郵件偽裝下載傳播，如果用戶的計算機安裝了AUTOCAD軟件，則在木馬運行狀態(tài)下打開的圖紙將被定向發(fā)送。（8）針對銀行、企業(yè)、商業(yè)組織的“刷庫”木馬。此類木馬專攻以上機構(gòu)的數(shù)據(jù)庫信息，一旦成功則意味著大量的用戶信息甚至賬戶信息的集體泄露，危害深遠。2011年上半年國際貨幣基金組織、索尼、宏基的數(shù)據(jù)庫遭受此類攻擊，造成嚴重泄密，尤其是索尼公司泄密用戶

信息達到一億人次[2]。

1.3 注重系統(tǒng)攻擊深度及破壞性

反木馬技術(shù)的發(fā)展使得木馬植入的難度越來越大，一些木馬黑客高手開始著眼于對計算機系統(tǒng)底層技術(shù)的應(yīng)用以加深攻擊深度和查殺難度。有代表性的有BIOS木馬、MBR木馬等，一旦中招，輕則丟失數(shù)據(jù)、重裝系統(tǒng)，重則重刷BIOS芯片才可恢復(fù)。

MBR木馬可修改受侵害計算機操作系統(tǒng)所在的磁盤主引導(dǎo)記錄（MBR），使得木馬代碼在操作系統(tǒng)內(nèi)核中運行并且在計算機啟動時，先于殺毒軟件運行，故可繞過防護系統(tǒng)并實施盜號等侵犯手段。若想修復(fù)，通常得重新格式化操作系統(tǒng)分區(qū)并用fdisk/MBR命令重寫硬盤主引導(dǎo)區(qū)。2011年流行的鬼影3木馬就是這類木馬的代表。

BIOS木馬則更加陰險，因為基本輸入輸出系統(tǒng)(Basic Input/Output System,BIOS)運行于特權(quán)模式，甚至早于操作系統(tǒng)獲取計算機控制權(quán)[3]。故能將惡意代碼嵌入BIOS閃存的木馬可獲得系統(tǒng)底層控制權(quán)并輕易獲取操作系統(tǒng)管理權(quán)，后實施常見攻擊。常見的殺毒軟件難以應(yīng)付，格式化或更換硬盤、重裝系統(tǒng)也不能清除，只有重新修改BIOS閃存。2011年位列十大木馬程序之首的BMW(Bios Rootkit)木馬可同時修改BIOS及MBR,破壞力驚人。

1.4 欺騙性及隱匿性

木馬程序的欺騙性和隱匿性是其生存的必備手段。從發(fā)展趨勢來看，近年來隨著網(wǎng)絡(luò)服務(wù)的不斷豐富，各類木馬及其變種用盡手段誘騙用戶安裝并難以察覺。有代表性的方法有：（1）攻擊某些防護措施弱的軟件下載網(wǎng)站，甚至自建惡意網(wǎng)站，將木馬代碼隱匿于軟件安裝文件中，正常軟件和木馬同步安裝完成。（2）直接替換正常程序文件，在執(zhí)行被入侵程序的同時激活木馬。（3）修改注冊表，偽裝成病毒庫升級包、系統(tǒng)補丁等常用組件，供用戶下載，有些還有可驗證的數(shù)字簽名。（4）修改合法程序加載惡意代碼或替換部分軟件、網(wǎng)頁的界面，真里有假，迷惑用戶點擊操作。（5）將自身命名為系統(tǒng)進程、系統(tǒng)服務(wù)、驅(qū)動程序名稱或直接修改系統(tǒng)進程融入惡意代碼，并結(jié)合對注冊表的修改隱匿自身。（6）為防止追查來源，木馬安裝完成后即銷毀原木馬文件。近年來木馬的欺詐、隱匿手段花樣翻新，一旦被檢測出，即不斷推出變種，增加生存幾率。

1.5 混合型攻擊

木馬技術(shù)的發(fā)展向著混合型、多種手段并用的方向邁進。具體體現(xiàn)為木馬和其他類型的病毒的結(jié)合。如：通過病毒感染木馬，通過木馬下載病毒或其他木馬，用多種渠道入侵的木馬，可以同時竊取多種信息、賬號的木馬。具有蠕蟲特性的木馬等?；旌闲湍抉R具有危害性大、難以徹底清除等特點。

1.6 智能手機成為新目標(biāo)

目前我國智能手機用戶占到所有手機用戶的30%以上。智能手機業(yè)務(wù)種類繁多，且多數(shù)與資費有關(guān)，如果用戶確認預(yù)定某項服務(wù)，資費可直接由運營商從賬戶上在線結(jié)算。手機信息存儲想對于普通的PC機更具私密性，如：通訊率，短信，彩信、SIM序列號等。手機銀行、證券業(yè)務(wù)由其方便、不受環(huán)境地點限制的優(yōu)勢越來越受到用戶的青睞。智能手機的以上特點受到了木馬制作者的極大重視。據(jù)360安全中心的《2011年中國手機安全狀況報告》中指出：2011年新發(fā)現(xiàn)木馬及其它惡意手機程序8700多個，造成超過2700萬人次智能手機被感染。另據(jù)網(wǎng)秦手機安全中心統(tǒng)計2010年新增手機惡意程序數(shù)量超過前5年總和，而直接或間接和木馬有關(guān)的惡意程序超過了50%。智能手機木馬主要侵害方式有：（1）盜取用戶手機內(nèi)存儲的各類信息及用戶輸入的賬號密碼。（2）和不良SP服務(wù)商勾結(jié)訂制高資費業(yè)務(wù)。（3）主動下載大量信息，消耗網(wǎng)絡(luò)流量。（4）破壞智能手機操作系統(tǒng)、造成運行故障。（5）遠程控制手機，打開聽筒，實時竊聽用戶的通話記錄。隨著智能手機操作系統(tǒng)、cpu、存儲容量的不斷升級以及移動互聯(lián)網(wǎng)絡(luò)服務(wù)項目增加、速度提升，木馬入侵的危害性和風(fēng)險急劇上升。

2 如何應(yīng)對新木馬的危害

2.1 網(wǎng)站安全及監(jiān)督

木馬傳播的途徑主要有：網(wǎng)頁掛馬，程序或數(shù)據(jù)下載，即時通訊傳播，郵件附件傳播，移動存儲設(shè)備傳播等。其中軟件下載、網(wǎng)購入侵、QQ、MSN等即時通訊程序傳送為2011年木馬傳播的主要途徑，占有70%左右的份額[2]。通過互聯(lián)網(wǎng)傳播的

木馬中相當(dāng)大比重的木馬直接來自于網(wǎng)站或者與用戶瀏覽網(wǎng)頁有間接關(guān)系。而我國僅在2010年就有35000家左右的網(wǎng)站遭遇惡意入侵。由此可見網(wǎng)站的安全對避免木馬侵害有著重大意義。保障網(wǎng)站安全有兩個層面的工作：一是合法網(wǎng)站尤其是涉及到支付業(yè)務(wù)、數(shù)據(jù)下載、信息統(tǒng)計等網(wǎng)站的安全防護，目前很多重要部門的網(wǎng)站安全形勢依然非常嚴峻，技術(shù)手段、人員素質(zhì)及責(zé)任意識均亟待提高。二是加強對網(wǎng)站的監(jiān)管和立法。網(wǎng)站監(jiān)管一直以來都是一個相對薄弱的環(huán)節(jié)。面對逐年攀升的網(wǎng)站數(shù)量，如何從服務(wù)提供者、執(zhí)法部門技術(shù)力量及設(shè)備投入、查處途徑、國際合作等環(huán)節(jié)加強網(wǎng)站管理和信息過濾是值得深思的。目前，大量惡意網(wǎng)站將其服務(wù)器架設(shè)在境外逃避打擊，增加了查處的難度。另外，按照互聯(lián)網(wǎng)業(yè)務(wù)的發(fā)展趨勢和服務(wù)走向，立法部門制訂并細化相關(guān)法律法規(guī)使之具有可操作性和針對性是十分必要的。

2.2 安全防護的警惕性和及時性

在殺毒技術(shù)發(fā)展較成熟的今天，木馬入侵的難度實際上是比較大的，再厲害的木馬程序少則一日多則數(shù)日都會被發(fā)現(xiàn)并遏制。此情況促使木馬制作者以不斷推出各類變種來升級木馬程序，和殺毒軟件展開拉鋸戰(zhàn)。我們應(yīng)注意到安全防護系統(tǒng)對木馬變種是有一個反應(yīng)時間的，在新的升級到來以前變種侵害威脅最大。故無論是普通用戶還是網(wǎng)絡(luò)管理員、論壇版主、網(wǎng)站維護人員對自己網(wǎng)絡(luò)設(shè)備、普通PC、智能終端的安全防護意識不可有一刻的放松，安全防護手段不可有一時的疏漏。木馬入侵需要用戶或多或少的“配合“，對付它最好的辦法是避免危險操作，防患于未然。以一名普通用戶來說應(yīng)注意到以下幾點：（1）及時安裝殺毒軟件、防火墻并升級病毒庫。（2）有選擇的上網(wǎng)，不上黃站、來源不明的網(wǎng)站。對于經(jīng)常使用在線支付、網(wǎng)上購物、網(wǎng)銀、炒股軟件的人尤其應(yīng)該注意到這一點（3）堅信天上不會掉餡餅，不要輕易相信所謂中獎信息、友善提示，不要配合操作。（4）不要點擊那些自己彈出來的不明窗口，如果這樣的情況近幾天很頻繁或者伴有主頁被綁定的情節(jié)，終止瀏覽器進程并使用專門的軟件進行清理。（5）在口碑好、來源明確的網(wǎng)站下載軟件。不要馬上運行安裝程序，先用殺毒軟件查毒。（6）安裝軟件的過程中發(fā)現(xiàn)有捆綁安裝其它軟件或組件的情況，不要勾選那些捆綁軟件或退出安裝。（7）不要輕易打開來源不明的郵件及附件，尤其是有鏈接的網(wǎng)頁形式的郵件。（8）QQ上陌生人發(fā)來的有鏈接的消息不要點擊，文件不要接收。（9）移動存儲設(shè)備插入后先查毒再打開。（10）記住那些常用網(wǎng)站的URL，要知道現(xiàn)在有不少假冒網(wǎng)站可以給你展現(xiàn)一個幾乎一模一樣的頁面，尤其是對于購物網(wǎng)站，先查看一下域名是不是正確的。

2.3 斬斷木馬產(chǎn)業(yè)鏈

目前，我國已形成了一條集制作、批發(fā)、、零售一條龍服務(wù)的木馬產(chǎn)業(yè)鏈。自2009年以來，每年木馬產(chǎn)業(yè)給不法分子帶來的非法所得及給用戶造成的直接損失高達100億元人民幣，從業(yè)人員預(yù)計在10萬人左右。據(jù)《2010-2011中國互聯(lián)網(wǎng)安全研究報告》的分析，目前的木馬侵害呈集團式發(fā)展趨勢，80%左右的木馬傳播、銷售、獲利渠道被有組織的犯罪集團控制。這些木馬經(jīng)營組織甚至已經(jīng)形成了壟斷商、區(qū)域總、地區(qū)等成熟的分銷渠道。要達到對木馬產(chǎn)業(yè)發(fā)展當(dāng)頭一棒的效果，只依靠對個別重大侵害事件的立案處理、嚴厲打擊是不夠的，應(yīng)從仔細分析其產(chǎn)業(yè)形成的外部環(huán)境、內(nèi)部利益關(guān)系、所涉及的人員類型和組織形式、聯(lián)系渠道的角度入手，對其中某些重要環(huán)節(jié)所涉及的部門、人員進行有效管理和監(jiān)督，有效“打斷”產(chǎn)業(yè)鏈條，降低發(fā)展層次。目前，可以在以下幾個方面著手：（1）加強對網(wǎng)站從業(yè)人員的監(jiān)督、教育，逐步建立網(wǎng)站安全評級體系。（2）建立軟件從業(yè)人員的信譽檔案、規(guī)范其行為。（3）加強對網(wǎng)絡(luò)基礎(chǔ)設(shè)施運營部門的管理，促使其不給或少給木馬獲利者利用網(wǎng)絡(luò)平臺發(fā)起大范圍攻擊的機會。（4）加強網(wǎng)絡(luò)安全監(jiān)管隊伍的組織建設(shè)和技術(shù)力量。（5）嚴厲打擊利用QQ群、博客等平臺建立的木馬交易中心。（6）加強立法及地方法規(guī)建設(shè)，使之對網(wǎng)絡(luò)平臺犯罪具有更好的針對性和可操作性。

圖1 木馬產(chǎn)業(yè)鏈?zhǔn)疽鈭D

2.4 加強網(wǎng)上交易的第三方支付機構(gòu)管理及功能建設(shè)

目前，網(wǎng)上購物已近被廣大互聯(lián)網(wǎng)用戶所接受。網(wǎng)購木馬趁勢而動，采用盜取用戶支付賬號、密碼或者截取支付款項到另外一個第三方支付平臺下的盜取賬號等手段給網(wǎng)民造成極大損失。。目前國內(nèi)約有300 多家第三方支付機構(gòu)，大都有互聯(lián)網(wǎng)支付、手機支付業(yè)務(wù)[3]。這些支付平臺站在買房和賣方中間人的角度，為保障電子商務(wù)的繁榮發(fā)展做出了很大貢獻。但是也有很多支付機構(gòu)忽略了計算機黑客這個第三者的問題，對于電子支付的安全保護、對于支付軟件本身安全漏洞、對于支付過程的記錄和追蹤查詢、對于機構(gòu)內(nèi)從業(yè)人員的安全意識教育和責(zé)任教育等方面存在或多或少的問題。經(jīng)常是某個或某些重大竊密、盜取損失發(fā)生之后，用戶、電子商務(wù)網(wǎng)站、第三方支付方互相推卸責(zé)任。尤其是木馬對電子支付的盜取活動和過程記錄缺失問題對司法介入后的取證和責(zé)任追究帶來困難。因此，隨著網(wǎng)上交易活動的日益平凡，對第三方支付認證機構(gòu)的管理應(yīng)大力加強，促使其在技術(shù)手段、責(zé)任意識、漏洞查補、 交易過程記錄等方面發(fā)力，提高用戶交易的安全系數(shù)。

參考文獻

[1] 朱圣軍，劉功申，羅俊，陶春和. 智能手機病毒與信息安全[J]. 信息安全與通訊保密，2011(05):96-98.