亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        入侵防御技術(shù)原理分析

        2008-01-01 00:00:00鄭尚將
        電腦知識與技術(shù) 2008年6期

        摘要:隨著互聯(lián)網(wǎng)的普及和網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,網(wǎng)絡(luò)安全漏洞不斷被發(fā)現(xiàn),黑客的入侵技巧和破壞能力不斷提高,網(wǎng)絡(luò)受到越來越多的攻擊,怎樣防止入侵,保護網(wǎng)絡(luò)安全問題也成了大家關(guān)注社會問題。本文首先分析了常規(guī)的網(wǎng)絡(luò)入侵方法,然后詳細闡述了入侵防御技術(shù)的原理,并結(jié)合實際的網(wǎng)絡(luò)拓撲結(jié)構(gòu)對近年來的一種新技術(shù)——入侵防護系統(tǒng)進行了分析。

        關(guān)鍵詞:網(wǎng)絡(luò)安全;入侵檢測;入侵防御

        中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2008)06-1pppp-0c

        1 引言

        隨著社會對互聯(lián)網(wǎng)依賴性的增強,計算機網(wǎng)絡(luò)安全問題也逐漸成為人們普遍關(guān)注的重要問題之一。當前,計算機網(wǎng)絡(luò)的安全已成為一個社會化、國際化的問題。近年來,大量的網(wǎng)站和服務器被入侵,大規(guī)模網(wǎng)絡(luò)攻擊的不斷出現(xiàn),充分說明了我們在加深對互聯(lián)網(wǎng)的依賴程度的同時,互聯(lián)網(wǎng)也變得更加的不安全了。

        入侵防御是一種新的計算機安全技術(shù),它與只檢測和報告已經(jīng)發(fā)生攻擊行為的入侵檢測技術(shù)不同,它采取積極主動的措施阻止從外部對IT資源的攻擊,將損失降到最小。由于現(xiàn)存安全技術(shù)有各種各樣的局限性,入侵防御技術(shù)越來越受到政府部門和企事業(yè)單位的重視。入侵防御技術(shù)在邏輯上可以看成是基于特征匹配的安全技術(shù)(如入侵檢測和病毒防治)與源于網(wǎng)絡(luò)的保護方案(如防火墻技術(shù))的總和。

        2 常規(guī)網(wǎng)絡(luò)入侵方法介紹

        (1)DoS(Denial of Service)入侵

        拒絕服務攻擊(DoS攻擊)是目前為人所熟知的一種攻擊。拒絕服務攻擊從根本上可以分為兩種類型:一是使系統(tǒng)崩潰或癱瘓,使目標系統(tǒng)重啟,以至于不能夠提供相應的服務;二是通過要目標系統(tǒng)發(fā)送大量的無效的數(shù)據(jù)包耗盡系統(tǒng)資源,以至于系統(tǒng)不能夠響應正常的請求,從而實現(xiàn)拒絕服務攻擊。

        (2)特洛伊木馬入侵

        在目標計算機機中種植特洛伊木馬也是當今流行的一種網(wǎng)絡(luò)入侵方式。一些木馬程序會通過覆蓋系統(tǒng)中已經(jīng)存在的文件的方式存在于系統(tǒng)之中,同時它可以攜帶惡意代碼,還有一些木馬會以一個軟件的身份出現(xiàn)(例如:一個可供下載的游戲),但它實際上是一個竊取密碼的工具。木馬通常不容易被發(fā)現(xiàn),因為它一般是以一個正常的應用程序的身份在系統(tǒng)中運行的。

        (3)蠕蟲入侵

        一個蠕蟲通常具備三個基本功能:傳播、隱藏和目標執(zhí)行。傳播功能使得其可以在很短的時間內(nèi)通過網(wǎng)絡(luò)迅速繁殖,隱藏功能則使得蠕蟲在侵入目標系統(tǒng)后能夠不被發(fā)現(xiàn),例如從系統(tǒng)進程列表上隱藏自己,或更名為操作系統(tǒng)某個系統(tǒng)進程的名稱等等。執(zhí)行功能可以使其實現(xiàn)對主機的惡意控制操作。

        (4)WEB欺騙

        Web欺騙也是近年來較為流行的一種網(wǎng)絡(luò)供給手段,其基本原理是通過假冒人們所信任的Web站點,使得用戶訪問其假冒站點,從而達到監(jiān)聽用戶通訊,非法獲取敏感信息的目的。

        (5)局域網(wǎng)ARP欺騙

        ARP(Address Resolution Protocol)地址解析協(xié)議是局域網(wǎng)通信的基礎(chǔ)協(xié)議。ARP欺騙利用了ARP協(xié)議的存在的安全缺陷,即接收ARP計算機不需要發(fā)出ARP請求。

        3 入侵防御原理

        由于網(wǎng)絡(luò)入侵事件的不斷增加和黑客攻擊水平的不斷提高,一方面網(wǎng)絡(luò)感染病毒、遭受攻擊的速度日益加快,另一方面網(wǎng)絡(luò)受到攻擊做出響應的時間卻越來越滯后。要解決這一矛盾,傳統(tǒng)的防火墻或入侵檢測技術(shù)顯得力不從心,被動防御技術(shù)對新的攻擊方法往往不能正確識別,從而陷入被動的地位,這就需要引入一種全新的技術(shù)——入侵防護系統(tǒng)(Intrusion Prevention System,IPS)。

        IPS是一種主動的、積極的入侵防范、阻止系統(tǒng)遭受攻擊的軟件系統(tǒng)。它不僅具備偵測與預防的能力,更重要的是有響應與管理的能力。它部署在網(wǎng)絡(luò)的進出口處,當它檢測到攻擊企圖后,它會自動地將攻擊包丟掉或采取措施將攻擊源阻斷。但是它只能串聯(lián)在網(wǎng)絡(luò)上,對防火墻所不能過濾的攻擊進行過濾,最大程度地保證系統(tǒng)的安全。IPS是通過直接嵌入到網(wǎng)絡(luò)流量中來實現(xiàn)這一功能的,即通過一個端口接收來自外部系統(tǒng)的流量,經(jīng)過檢查確認其中不包含異?;顒踊蚩梢蓛?nèi)容后,再通過另外一個端口將它傳送到內(nèi)部系統(tǒng)中。這樣有問題的數(shù)據(jù)包,以及所有來自同一數(shù)據(jù)流的后續(xù)數(shù)據(jù)包,都能在IPS設(shè)備中被清除掉。網(wǎng)絡(luò)拓撲結(jié)構(gòu)如圖1。

        圖1 入侵檢測系統(tǒng)網(wǎng)絡(luò)拓撲

        從圖1可以看出入侵檢測系統(tǒng)在網(wǎng)絡(luò)拓撲中,數(shù)據(jù)包到達目標地址前必須經(jīng)過入侵檢測系統(tǒng)的檢測,當檢測到攻擊時,入侵檢測系統(tǒng)將攻擊數(shù)據(jù)包丟棄,從而阻止入侵。入侵檢測系統(tǒng)與路由器的協(xié)同工作方式如下:首先,要求路由器的訪問控制列表應該對所傳輸IP數(shù)據(jù)包的目的地址和源地址同時進行檢測,若發(fā)現(xiàn)應該禁止通信的數(shù)據(jù)流則截斷通信,以增強對訪問的控制功能。當入侵檢測系統(tǒng)發(fā)現(xiàn)本網(wǎng)主機或網(wǎng)絡(luò)設(shè)備遭到拒絕服務等攻擊行為時,入侵檢測模塊通過入侵發(fā)現(xiàn)報文迅速通知入侵響應子系統(tǒng),入侵響應子系統(tǒng)根據(jù)知識庫的規(guī)則,構(gòu)造出針對性的主動響應報文,主動響應報文首先發(fā)送到本地主動節(jié)點(本網(wǎng)的路由器),通過網(wǎng)絡(luò)管理系統(tǒng)和安全策略庫,有針對性地動態(tài)調(diào)整本地路由器的安全策略(如設(shè)置訪間控制列表等),抑制對本地服務的攻擊。然后本網(wǎng)的路由器可向傳送此類數(shù)據(jù)包的相鄰路由器進行預警通告,請求截斷此類數(shù)據(jù)包,并通過回溯方式向上一級路由器進行通告,直至入浸源的接入路由器。這樣就可以將分散的攻擊源化整為零,從攻擊源點逐個抑制,瓦解拒絕服務等攻擊,保護關(guān)鍵系統(tǒng)服務和通信網(wǎng)絡(luò)的帶寬資源。

        如果有攻擊者利用Lyaer2(數(shù)據(jù)鏈路層)至Lyaer7(應用層)的漏洞發(fā)起攻擊,IPS能夠從數(shù)據(jù)流中檢查出這些攻擊并加以阻止,傳統(tǒng)的防火墻只能對Lyaer3(網(wǎng)絡(luò)層)或Lyaer4(傳輸控制層)進行檢查,不能檢測應用層的內(nèi)容。防火墻的包過濾技術(shù)不會針對每一個字節(jié)進行檢查,因而也就無法發(fā)現(xiàn)攻擊活動,而IPS可以做到逐一字節(jié)的檢查數(shù)據(jù)包。所有流經(jīng)IPS的數(shù)據(jù)包都被分類,分類的依據(jù)是數(shù)據(jù)包中的報頭信息,如源PI地址和目的PI地址、端口號和應用域。每種過濾器負責分析相對應的數(shù)據(jù)包。通過檢查的數(shù)據(jù)包可以繼續(xù)前進,包含惡意內(nèi)容的數(shù)據(jù)包就會被丟棄,被懷疑的數(shù)據(jù)包則需要接受進一步的檢查。IPS的基本工作原理如圖2所示。工作過程如下:

        圖2 IPS的基本工作原理

        (1)根據(jù)數(shù)據(jù)包頭和流信息,如源目的地址,源目的端口和應用層關(guān)鍵的信息,每個數(shù)據(jù)包都會被分類,同時協(xié)議類型和流量統(tǒng)計等信息都送到流處理模塊分析、審計。

        (2)根據(jù)數(shù)據(jù)報的分類,相關(guān)的過濾器將被調(diào)用,用于檢查數(shù)據(jù)包的流狀態(tài)信息。

        (3)所有相關(guān)過濾器都是并行使用,如果任何數(shù)據(jù)報符合過濾規(guī)則,則數(shù)據(jù)包中的match位置1.macth位置1的數(shù)據(jù)報將被丟棄,與之相關(guān)的流信息將更新,指示系統(tǒng)刪除關(guān)于該數(shù)據(jù)流的信息。

        針對不同的攻擊行為,IPS需要不同的過濾器。每種過濾器都設(shè)有相應的過濾規(guī)則,為了確保準確性,這些規(guī)則的定義非常廣泛。在對傳輸內(nèi)容進行分類時,過濾引擎還需要參照數(shù)據(jù)包的信息參數(shù),并將其解析至一個有意義的域中進行上下文分析,以提高過濾準確性。過濾器引擎集合了流水和大規(guī)模并行處理硬件,能夠同時執(zhí)行數(shù)千次的數(shù)據(jù)包過濾檢查。并行過濾處理可以確保數(shù)據(jù)包能夠不間斷地快速通過系統(tǒng),不會對速度造成影響。

        如果在網(wǎng)絡(luò)邊界檢查到攻擊包的同時將其直接拋棄,則攻擊包將無法到達目標,從而可以從根本上避免黑客的攻擊。這樣,在新漏洞出現(xiàn)后,只需要撰寫一個過濾規(guī)則,就可以防止此類攻擊的威脅了。

        入侵防御技術(shù)具有防御反應快不易受欺騙攻擊影響等優(yōu)點,但要在實際網(wǎng)絡(luò)環(huán)境下配置使用,還要解決以下的問題:

        (1)誤報問題一直是入侵檢測的難題,由于IPS檢測到攻擊后會丟棄數(shù)據(jù)包,因此發(fā)生誤報的直接后果是合法的數(shù)據(jù)包被丟棄,會給門常的網(wǎng)絡(luò)應用帶來比較嚴重的影響要在實際環(huán)境中應用IPS系統(tǒng),必須提高IPS的檢測準確率,減少誤報到一個可容忍的范圍內(nèi)。

        (2)由于IPS處于數(shù)據(jù)包的轉(zhuǎn)發(fā)通道內(nèi),對數(shù)據(jù)包的檢測處理會加大數(shù)據(jù)包轉(zhuǎn)發(fā)的延遲,這種延遲的影響在需要對多個數(shù)據(jù)包進行重組或進行協(xié)議分析時會變得更加明顯因此,還必須提高IPS的處理能力及檢測效率,將數(shù)據(jù)包轉(zhuǎn)發(fā)延遲減小到用戶能夠接受的大小。

        (3)由于調(diào)整了在網(wǎng)絡(luò)拓撲內(nèi)的位置,IPS系統(tǒng)無法監(jiān)測到所監(jiān)控網(wǎng)絡(luò)內(nèi)部的部分流量,因此不能檢測及防御在網(wǎng)絡(luò)內(nèi)部發(fā)生的入侵攻擊。

        4 總結(jié)

        本文對入侵防御技術(shù)的原理進行了詳細的討論,入侵防御技術(shù)提供的實時、主動的防護能力,能夠有效的阻斷攻擊,保證合法流量的正常傳輸,這對于保障系統(tǒng)的運行連續(xù)性和完整性有著極為重要的意義。最后文章結(jié)合實際網(wǎng)絡(luò)環(huán)境下的使用情況,指出了入侵防御技術(shù)的一些問題,有待于進一步解決。

        參考文獻:

        [1]Intrusion Prevention Systems(IPS).http://www.nss.co.uk/.

        [2]DeerkAktins.網(wǎng)絡(luò)安全專業(yè)參考手冊[M].北京:機械工業(yè)出版社,1998.

        [3]龔檢,王倩.計算機網(wǎng)絡(luò)安全導論[M].南京:東南大學出版社,2000.

        [4](美)Eric Maiwald,著.天宏工作室,譯.網(wǎng)絡(luò)安全實用指南.清華大學出版社,2003,第1版.

        收稿日期:2008-01-08

        国产成人a在线观看视频免费| 欧美精品一级| 99色网站| 青青草视频视频在线观看| 新婚人妻不戴套国产精品| 无码人妻一区二区三区免费视频 | 美女mm131爽爽爽| 人妻少妇精品中文字幕av| 国产欧美VA欧美VA香蕉在| 亚洲青涩在线不卡av| 日本在线观看不卡一区二区| 久久99精品久久久久婷婷| 欧美乱人伦人妻中文字幕| 国产91中文| 青青草原亚洲在线视频| 91日韩东京热中文字幕| 久久99国产精品久久99| 久久精品国产亚洲av高清漫画 | 亚洲乱在线播放| 日本免费视频一区二区三区| 亚州性无码不卡免费视频| 精品一区二区三区在线观看| 国产亚洲精品综合99久久| 亚洲色图在线免费视频| 亚洲成av人片天堂网| 精品综合久久久久久97超人| 免费人人av看| 日本不卡一区二区三区在线观看| 一区二区和激情视频| 亚洲 欧美精品suv| 中文亚洲AV片在线观看无码| 国产亚洲精品在线视频| 熟妇激情内射com| 久久91综合国产91久久精品| 美女福利视频在线观看网址| 精品人妻va一区二区三区| 边啃奶头边躁狠狠躁| 在线国产小视频| 中文字幕一区二区三区喷水| 99re6在线视频精品免费| 日本巨大的奶头在线观看|