摘 要
随着经济与科技的飞速发展,计算机的使用早已普及,计算机网络体系也逐渐壮大。现如今,它已成了人们生活中不可或缺的一部分:无论是在工作办公还是平时的日常生活中,它都扮演的非常重要的角色。
也正因为如此,随之而来的网络攻击和入侵事件与日俱增,网络的安全问题已经成为网络世界中最为人关注的问题之一。本篇文主要介绍常见的网络入侵方法以及防火墙技术的分类及其主要特征。
关键词:网络;安全;病毒;防火墙技术;加密技术;
1
目 录
第一节 引言.......................................4
第二节 网络安全的概述
2.1 网络安全的基础定义..............................4
2.2 网络安全的主要特性..............................4
2.3 网络安全的简要分析..............................4
第三节 网络安全的攻防
3.1网络攻击的概念....................................5
3.2网络入侵技术......................................6
3.3网络攻击技术......................................8
3.4网络安全防范与安全监测...........................10
第四节 入侵检测系统
4.1入侵检测系统的主要功能............................11
2
4.2入侵检测系统的类型................................11
4.3入侵检测技术......................................11
4.4入侵检测的步骤....................................11
第五节 常见的网络安全厂商................................................................... 13
第六节 网络安全发展状态....................................................................14
结束语………….................................................................16
参考文献……………………………........................…..…….16
3
第一节 引言
随着国民经济对信息网络和系统的依赖性增强,网络安全成为关系经济平稳运行和安全的重要因素。当前,我国重要信息系统和工业控制系统多使用国外的技术和产品,这些技术和产品的漏洞不可控,使网络和系统更容易收到攻击,致使敏感信息泄露、系统停运等重大安全事件多发,安全状况堪忧。所以对更多的了解网络安全方面的信息,做好网络安全的防护是非常有必要的。
第二节 网络安全的概述
2.1网络安全的定义
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。从广义上来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。
2.2网络安全的主要特性
网络安全具有以下五个方面的特性:
1、 保密性:信息不泄露给非授权用户、实体或过程,或供其利用的特性。
2、 完整性:数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不
4
被修改、不被破坏和丢失的特性。
3、 可用性:可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。
4、 可控性:对信息的传播及内容具有控制能力。
5、 可审查性:出现安全问题时提供依据与手段。
2.3网络安全的简要分析
目前网络安全重要的组成就是数据与信息的安全。网络的发展已经与最初设计网络初衷大相径庭,安全问题如果不能解决,会严重地影响到网络的应用。同时网络信息具有很多不利于网络安全的特征如网络的互联性,共享性和开放性等,现在越来越多的恶性攻击事件的发生说明目前网络安全形势严峻,不法分子的手段也越来越先进,系统的安全漏洞往往给他们可乘之机,因此网络安全的防范措施要能够应付不同的威胁,保障网络信息的保密性、完整性和可用性。目前我国的网络系统和协议还存在很多问题,还不够健全、也不够完善、并且不够安全。计算机和网络技术具有的复杂性和多样性,使得计算机和网络安全成为一个需要持续更新和不断提高的领域
第三节 网络安全的攻防
3.1网络攻击
3.1.1网络攻击的概念
5
所谓的网络入侵是指对接入网络的计算机系统的非法进人,即攻击者未经合法的手段和程序而取得了使用该系统资源的权力。
网络入侵的目的有多种,或者是取得使用系统的存储能力、处理能力以及访问其存储的内容的权力,或者是作为进人其他系统的跳板,或者是想破坏这个系统(使其毁坏或丧失服务能力)。
网络攻击是指对网络系统的机密性、完整性、可用性、可控性、抗抵赖性产生危害的行为。这些行为可抽象地分为四个基本情形:信息泄漏攻击、完整性破坏攻击、拒绝服务攻击和非法使用攻击。
网络攻击的全过程是:攻击者发起并应用一定的攻击工具(包括攻击策略与方法),对目标网络系统进行攻击操作,达到一定的攻击效果,实现攻击者预定义的攻击效果。
3.1.2网络攻击的分类
在最高层次,网络攻击可分为主动攻击和被动攻击两类。
被动攻击主要是收集信息而不是进行访问,通过网络窃听截取数据包并进行分析,从中窃取重要的敏感信息。数据的合法用户对这种活动一点也不会觉察。被动攻击包括嗅探以及信息收集等攻击方法。
主动攻击包含窃取、篡改、假冒和破坏等,是攻击者访问他所需信息的故意行为。
从攻击的目的来看,可以有拒绝服务攻击、获取系统权限的攻击、获取敏感信息的攻击;
6
从攻击的切入点来看,有缓冲区溢出攻击、系统设置漏洞的攻击;
从攻击的纵向实施过程来看,有获取初级权限攻击、提升最高权限的攻击、后门攻击、跳板攻击;
从攻击的类型来看,有对各种操作系的攻击、对网络设备的攻击、对特定应用系统的攻击。
3.1.3网络攻击的一般过程
进行网络攻击主要工作流程:收集信息,远程攻击,远程登录,取得普通用户名及权限,取得超级用户名及权限,留下后门,清除日志。主要内容包括目标分析,文档获取,破解密码,日志清除等技术。
一次成功的攻击,一般都经过下面步骤:
1.隐藏IP:通常有两种方法实现自己IP的隐藏:第一种方法是首先入侵互联网上的一台电脑(俗称“肉鸡”),利用这台电脑进行攻击,这样即使被发现了,也是“肉鸡”的IP地址。第二种方式是做多极跳板“Sock代理”,这样在入侵的电脑上留下的是代理计算机的IP地址。
2.踩点扫描:踩点就是通过各种途径对所要攻击的目标进行多方面的了解(包括任何可得到的蛛丝马迹,但要确保信息的准确),确定攻击的时间和地点。扫描的目的是利用各种工具对攻击目标的IP地址或地址段的主机上寻找漏洞。
3.获得系统或管理员权限:得到管理员权限的目的是连接到远程计算机,对其进行控制,
7
达到自己攻击目的。获得系统及管理员权限的方法有:通过系统漏洞获得系统权限;通过管理漏洞获得管理员权限;通过软件漏洞得到系统权限;通过监听获得敏感信息进一步获得相应权限;通过弱口令获得远程管理员的用户密码;通过穷举法获得远程管理员的用户密码;通过攻破与目标机有信任关系的另一台机器进而得到目标机的控制权;通过欺骗获得权限以及其他有效的方法。
4.种植后门:为了保持长期对自己胜利果实的访问权,在已经攻破的计算机上种植一些供自己访问的后门。
5.在网络中隐身:一次成功入侵之后,一般在对方的计算机上已经存储了相关的登录日志,这样就容易被管理员发现。在入侵完毕后需要清除登录日志已经其他相关的日志。
3.2网络入侵技术
3.2.1端口扫描
一个端口就是一个潜在的通信通道,也就是一个入侵通道。
端口扫描技术通过对目标系统的所有端口进行扫描,查看哪些端口处于打开状态,正在提供什么服务,再凭经验得知这种服务可能存在什么缺陷,为黑客的入侵收集可利用的信息。
进行扫描的方法很多,可以是手工进行扫描,也可以用端口扫描软件进行。
扫描器是一种自动检测远程或本地主机系统安全性缺陷或漏洞的专用程序。扫描器不是直接攻击网络漏洞的程序,而是用来帮助用户(包括合法和非法的用户)发现目标的某些内在的弱点。
8
常用的端口扫描工具有SuperScan,X-Scan,Fluxay(流光)等。
根据端口扫描利用的技术,可将扫描分成以下类型:
1、TCP connect() 扫描
2、TCP SYN扫描
3、TCP FIN 扫描
4、IP段扫描
5、UDP ICMP端口不能到达扫描
6、ICMP echo扫描
3.2.2漏洞扫描
漏洞是指硬件、软件或策略上的缺陷,从而可使攻击者能够在未经授权的情况下访问系统。
漏洞涉及的范围很广,涉及到网络的各个环节、各个方面,包括:路由器、防火墙、操作系统、客户和服务器软件。
漏洞扫描是一种自动检测远程或本地安全漏洞的软件,通过漏洞扫描器,可以自动发现系统的安全漏洞。
9
常见漏洞扫描技术有CGI漏洞扫描,弱口令扫描,操作系统漏洞扫描、数据库漏洞扫描等。
下面以X-scan为例,来介绍漏洞扫描
X-Scan是一个完全免费漏洞扫描软件,由“安全焦点”开发。对于黑客们来讲,X-Scan是一款非常优秀的扫描器了
3.2.3网络监听
网络监听的目的是截获通信的内容,监听的手段是对协议进行分析。网络监听,通常也称为网络嗅探,即监视探听。
嗅探器的英文名称是Sniff,可以理解为一个安装在计算机上的窃听设备,它可以用来窃听计算机在网络上所传送的信息。
计算机网络嗅探器则可以窃听计算机程序在网络上发送和接收到的数据,不过这些数据是大量无意义的二进制数据。必须使用特定的网络协议来分析嗅探到的数据,只有这样才能够进行正确的解码。
Sniffer pro就是一个完善的网络监听工具。
监听器Sniffer的原理:在局域网中与其他计算机进行数据交换的时候,发送的数据包发往所有的连在一起的主机,也就是广播,在报头中包含目标机的正确地址。因此只有与数据包中目标地址一致的那台主机才会接收数据包,其他的机器都会将包丢弃。但是,当主机工作在监听模式下时,无论接收到的数据包中目标地址是什么,主机都将其接收下来。然后
10
对数据包进行分析,就得到了局域网中通信的数据。
防止监听的手段是:建设交换网络、使用加密技术和使用一次性口令技术。
除了非常著名的监听软件Sniffer Pro以外,还有一些常用的监听软件:嗅探经典--Iris;密码监听工具--Win Sniffer;密码监听工具--pswmonitor和非交换环境局域网的fssniffer等等。Sniffer Pro是一款非常著名监听的工具,但是Sniffer Pro不能有效的提取有效的信息。
3.2.4口令破译
常见的口令破译形式:
1、猜解简单口令:很多人使用自己或家人的生日、电话号码、房间号码、简单数字或者身份证号码中的几位;也有的人使用自己、孩子、配偶或宠物的名字;还有的系统管理员使用“password”,甚至不设密码,这样黑客可以很容易通过猜想得到密码。
2、字典攻击:如果猜解简单口令攻击失败后,黑客开始试图字典攻击,即利用程序尝试字典中的单词的每种可能。字典攻击可以利用重复的登录或者收集加密的口令,并且试图同加密后的字典中的单词匹配。黑客通常利用一个英语词典或其他语言的词典。
3、暴力猜解:同字典攻击类似,黑客尝试所有可能的字符组合方式。一个由4个小写字母组成的口令可以在几分钟内被破解,而一个较长的由大小写字母组成的口令,包括数字和标点,其可能的组合达10万亿种。如果每秒钟可以试100万种组合,可以在一个月内破解。
11
常用的口令破译工具有:
1、L0phtCrack::它是目前破译Windows NT系列操作系统用户口令最好的黑客软件。
2、Net Cat:对系统管理人员及网络调试人员而言,它是一个非常有用的工具。因为功能强大,黑客们称之为“黑客的瑞士军刀”。
3、Fluxay(流光):是一个功能强大的渗透测试工具,具有应用上的综合性和灵活性。同时,它还是一款免费软件。
3.3网络攻击技术
3.3.1拒绝服务攻击
拒绝服务攻击(Denial of Service即DoS )即攻击者想办法让目标机器停止提供服务或资源访问。这些资源包括磁盘空间、内存、进程甚至网络带宽,从而阻止正常用户的访问。它是一种简单的破坏性攻击,它的技术含量低,攻击效果明显。
常见的拒绝服务攻击方式有以下几种:
1、SYN Foold
SYN Flood是当前最流行的DoS(拒绝服务攻击)与DDoS(Distributed Denial of Service,分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,使被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。
12
2、IP欺骗DOS攻击
这种攻击利用RST位来实现。
3、UDP洪水攻击
攻击者利用简单的TCP/IP服务、如Chargen和Echo来传送毫无用处的占满带宽的数据。通过伪造与某一主机的chargen服务之间的一次的UDP连接,回复地址指向开着Echo服务的一台主机,这样就生成在两台主机之间存在很多的无用数据流。这些无用数据流就会导致带宽的服务攻击。
4.Ping洪流攻击
由于在早期的阶段,路由器对包的最大尺寸都是有限制的。许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB,并且在对包的标题头进行读取之后,要根据该标题头的信息来为有效载荷生成缓冲区。当产生畸形时,声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64KB上限时,就会出现内存分配错误,导致TCP/IP堆栈崩溃,致使接受方死机。
5.泪滴(teardrop)攻击
泪滴攻击是利用在TCP/IP堆栈中实现信任IP碎片中的包的标题头所包含的信息来实现的攻击。IP分段含有指明该分段所包含的是原包的哪一段的信息。某些TCP/IP(包括service pack 4以前的NT)在收到含有重叠偏移的伪造分段时将崩溃。
6、Land攻击
13
Land攻击原理是:用一个特别打造的SYN包,它的源地址和目标地址都被设置成某一个服务器地址。此举将导致接受服务器向它自己的地址发送SYN-ACK消息。结果这个地址又发回ACK消息并创建一个空连接。被攻击的服务器每接收一个这样的连接都将保留,直到超时
7、Smurf攻击
一个简单的smurf攻击原理就是通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(Ping)数据包来淹没受害主机的方式进行,最终导致该网络的所有主机都对此ICMP应答请求作出答复,导致网络阻塞。它比Ping of death洪水的流量高出1或2个数量级。更加复杂的smurf将源地址改为第三方的受害者,最终导致第三方崩溃。
8.Fraggle攻击
原理:Fraggle攻击实际上就是对smurf攻击作了简单的修改,使用的是UDP应答消息而非ICMP
9、垃圾邮件
攻击者利用邮件系统制造垃圾信息,甚至通过专门的邮件炸弹(mail bomb)程序给受害用户的信箱发送垃圾信息,耗尽用户信箱的磁盘空间,使用户无法应用这个信箱。
10、分布式拒绝服务攻击 (Distributed Denial of Service—DDoS)。
分布式拒绝服务攻击是指植入后门程序从远处遥控攻击,攻击者从多个已入侵的跳板主机控制数个代理攻击主机,是DoS的特殊形式的拒绝服务攻击,是一种分布、协作的大规
14
模攻击方式,主要针对比较大的站点,如商业公司、搜索引擎和政府部门的站点。DoS攻击只要一台连接网络的单机就可实现,而DDoS攻击是利用一批受控制的机器向同一台机器发起攻击,因此这样的攻击难以防备,具有较大的破坏性。
3.3.2后门和特洛伊木马攻击
后门程序攻击是指攻击者躲过日志、使自己重返被入侵系统的技术。
后门程序的种类很多,常见的有:调试后门程序、管理后门程序、恶意后门程序、服务后门程序、文件系统后门程序、内核后门程序等。
特洛伊木马就是一种后门程序,通过伪造合法的程序,偷偷侵入用户系统从而获得系统的控制权。它提供某些功能作为诱饵,当目标计算机启动时木马程序随之启动,然后在某一特定的端口监听,通过监听端口收到命令后,木马程序会根据命令在目标计算机上执行一些操作,如传送或删除文件,窃取口令、重新启动计算机等。随着互联网的迅速发展,特洛伊木马的攻击、危害性越来越大。特洛伊木马实质上是一个程序,必须运行后才能工作,所以会在进程表、注册表中留下一定的痕迹。
特洛伊木马程序采用C/S模式工作,它包括服务端和客户端两个程序,缺掉其中任何一个都很难发生攻击,因为木马不具有传染性,所以服务器端程序是以其他方式进入被入侵的计算机,当服务器端置入被攻击机后,会在一定情况下开始运行(如用户主动运行或重新启动电脑,因为很多木马程序会自动加入到启动信息中),这时它就在被攻击机上打开一个1024以上端口(大多数的端口号都在5000以上),并一直监听这个端口,等待客户机端连结。木马的客户端一般运行在攻击机上,当攻击机上的客户端向被攻击机上的这一端口提出连接请求时,被攻击机上的服务端就会自动运行,来应答攻击机的请求,如果服务端在该端
15
口收到数据,就对这些数据进行分析,然后按识别后的命令在被攻击机上执行相应的操作,如窃取用户名和口令、复制或删除文件、重新启动或关闭计算机等。木马隐藏着可以控制被攻击的系统危害系统安全的功能,可能造成对方资料和信息的泄漏、破坏,甚至使整个系统崩溃。
3.3.3缓冲区溢出攻击
溢出区是内存中存放数据的地方.在程序试图将数据放到计算机内存中的某一个地方时,因为没有足够的空间就会发生缓冲区溢出,而人为溢出则是攻击者编写一个超出溢出区长度的字符串,然后植入缓冲区,这样就可能导致两种结果。一是过长的字符串覆盖了相邻的存储单元引起程序远行错误,有时可能导致系统崩溃;另一方面是,通过字符串植入缓冲区,从而获得系统权限,可以执行任意指令。
在程序试图将数据放到机器内存中的某一个位置的时候,没有足够的空间就会发生缓冲区溢出。而人为的溢出则是有一定企图的,黑客写一个超过缓冲区长度的字符串,然后植入到缓冲区,而再向一个有限空间的缓冲区中植入超长的字符串可能会出现两个结果,一是过长的字符串覆盖了相邻的存储单元,引起程序运行失败,严重的可导致系统崩溃;另有一个结果就是利用这种漏洞可以执行任意指令,甚至可以取得系统超级用户权限。
缓冲区溢出成为远程攻击的主要手段其原因在于缓冲区溢出漏洞给予了黑客他所想要的一切:植入并且执行攻击代码。
被植入的攻击代码以一定的权限运行有缓冲区溢出漏洞的程序,从而得到被攻击主机的控制权。
16
大多造成缓冲区溢出的原因是程序中没有仔细检查用户输入参数而造成的。
3.4网络安全防范与安全监测
3.4.1安全防范
安全管理
谨慎开放缺乏安全保障的应用和端口
确保数据的安全
利用防火墙设置安全边界的防护能力
通过安全监测系统进行经常性的系统检查、记录系统运行状况
用安全管理软件测试自己的站点
请第三方评估机构或专家来完成网络安全的评估
做好数据的备份工作
3.4.2安全监测技术
网络安全监测工具是防范网络入侵的有力手段,它们帮助系统管理员发现系统的漏洞,监视系统异常的行为,以及追查安全事件。网络安全监测系统的基本功能包括检测出正在发
17
生的攻击活动;发现攻击活动的范围和后果;诊断并发现攻击者的入侵方式和入侵地点, 并给出解决建议,以及收集并记录入侵的活动证据。
入侵检测系统(IDS)是一种网络监测系统,当有敌人或者恶意用户试图通过Internet进入网络甚至计算机系统时,IDS能够检测出来,并进行报警,通知网络该采取措施进行响应。
入侵检测(Intrusion Detection),顾名思义,便是对入侵行为的发觉。它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
进行入侵检测的软件与硬件的组合便是入侵检测系统(Intrusion Detection System,简称IDS)。
与其他安全产品不同的是,入侵检测系统需要更多的智能,它必须可以将得到的数据进行分析,并得出有用的结果。一个合格的入侵检测系统能大大的简化管理员的工作,保证网络安全的运行。
第四节 入侵检测系统
4.1 入侵检测系统的主要功能
·监测并分析用户和系统的活动;
·核查系统配置和漏洞;
18
·评估系统关键资源和数据文件的完整性;
·识别已知的攻击行为;
·统计分析异常行为;
·操作系统日志管理,并识别违反安全策略的用户活动。
4.2 入侵检测系统的类型
根据入侵检测的信息来源不同,可以将入侵检测系统分为两类:基于主机的入侵检测系统和基于网络的入侵检测系统。
基于主机的入侵检测系统:主要用于保护运行关键应用的服务器。它通过监视与分析主机的审计记录和日志文件来检测入侵。日志中包含发生在系统上的不寻常和不期望活动的证据,这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件,能够发现成功的入侵或入侵企图,并很快地启动相应的应急响应程序。
基于网络的入侵检测系统:主要用于实时监控网络关键路径的信息,它监听网络上的所有分组来采集数据,分析可疑现象。
4.3 入侵检测技术
对各种事件进行分析,从中发现违反安全策略的行为是入侵检测系统的核心功能。从技术上,入侵检测分为两类:一种基于标志(signature-based),另一种基于异常情况(anomaly-based)。
19
基于标志的检测也称为特征检测,对于基于标志的检测技术来说,首先要定义违背安全策略的事件的特征,如网络数据包的某些头信息。检测主要判别这类特征是否在所收集到的数据中出现。此方法非常类似杀毒软件。
而基于异常的检测技术则是先定义一组系统“正常”情况的数值,如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出),然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况。
4.4 入侵检测的步骤
4.4.1信息收集
入侵检测的第一步就是信息收集,收集的内容包括整个计算机网络中系统、网络、数据及用户活动的状态和行为。
①系统和网络日志文件
②非正常的目录和文件改变
③非正常的程序执行
4.4.2数据分析
模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。该过程可以很简单(如通过字符串匹配以寻找一个简单的条目或
20
指令),也可以很复杂(如利用正规的数学表达式来表示安全状态的变化)。一般来讲,一种进攻模式可以用一个过程(如执行一条指令)或一个输出(如获得权限)来表示。
该方法的一大优点是只需收集相关的数据集合,显著减少系统负担,且技术已相当成熟。它与病毒防火墙采用的方法一样,检测准确率和效率都相当高。
该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法,不能检测到从未出现过的黑客攻击手段。
统计分析方法首先给信息对象(如用户、连接、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常偏差之外时,就认为有入侵发生。
其优点是可检测到未知的入侵和更为复杂的入侵
缺点是误报、漏报率高,且不适应用户正常行为的突然改变。
完整性分析主要关注某个文件或对象是否被更改,包括文件和目录的内容及属性,在发现被更改的、被安装木马的应用程序方面特别有效。完整性分析利用强有力的加密机制,称为消息摘要函数(例如MD5),能识别及其微小的变化。
其优点是不管模式匹配方法和统计分析方法能否发现入侵,只要是成功的攻击导致了文件或其它对象的任何改变,它都能够发现。
缺点是一般以批处理方式实现,不用于实时响应。这种方式主要应用于基于主机的入侵
21
检测系统(HIDS)。
4.4.3响应
①将分析结果记录在日志文件中,并产生相应的报告。
②触发警报:如在系统管理员的桌面上产生一个告警标志位,向系统管理员发送传呼或电子邮件等等。
③修改入侵检测系统或目标系统,如终止进程、切断攻击者的网络连接,或更改防火墙配置等。
入侵检测系统实例Snort
Snort 是一个强大的轻量级的网络入侵检测系统。作者是Martin Roesch。最新版本是2.6.0版。它具有实时数据流量分析和日志IP 网络数据包的能力,能够进行协议分析,对内容进行搜索/匹配。它能够检测各种不同的攻击方式,对攻击进行实时报警。
此外,Snort具有很好的扩展性和可移植性。
Snort的特点
Snortt是一个轻量级的入侵检测系统
snort虽然功能强大,但是其代码极为简洁、短小,其源代码压缩包只有大约110KB。
22
Snort的可移植性很好:Snort的跨平台性能极佳,目前已经支持Linux,Solaris,BSD,IRIX,HP-UX, Win2K等系统。
Snort的功能非常强大
扩展性能较好,对于新的攻击威胁反应迅速
遵循公共通用许可证GPL
Snort工作模式
嗅探器模式
数据包记录器模式
网路入侵检测系统模式
第五节 常见的网络安全厂商
瑞星:
是国产杀软的龙头老大,其监控能力是十分强大的,但同时占用系统资源较大。瑞星采用第八代杀毒引擎,能够快速、彻底查杀大小各种病毒,这个绝对是全国顶尖的。但是瑞星的网络监控不行,最好再加上瑞星防火墙弥补缺陷。另外,瑞星2009的网页监控更是疏而不漏,这是云安全的结果。
23
金山毒霸:
金山毒霸是金山公司推出的电脑安全产品,监控、杀毒全面、可靠,占用系统资源较少。其软件的组合版功能强大(毒霸主程序、金山清理专家、金山网镖),集杀毒、监控、防木马、防漏洞为一体,是一款具有市场竞争力的杀毒软件。
卡巴斯基
卡巴斯基是俄罗斯民用最多的杀毒软件 卡巴斯基有很高的警觉性,它会提示所有具有危险行为的进程或者程序,因此很多正常程序会被提醒确认操作。其实只要使用一段时间把正常程序添加到卡巴斯基的信任区域就可以了。 在杀毒软件的历史上,有这样一个世界纪录:让一个杀毒软件的扫描引擎在不使用病毒特征库的情况下,扫描一个包含当时已有的所有病毒的样本库。结果是,仅仅靠“启发式扫描”技术,该引擎创造了95%检出率的纪录。这个纪录,是由AVP创造的。 卡巴斯基总部设在俄罗斯首都莫斯科,Kaspersky Labs是国际著名的信息安全领导厂商。公司为个人用户、企业网络提供反病毒、防黒客和反垃圾邮件产品。经过十四年与计算机病毒的战斗,被众多计算机专业媒体及反病毒专业评测机构誉为病毒防护的最佳产品。 1989年,Eugene Kaspersky开始研究计算机病毒现象。从1991年到1997年,他在俄罗斯大型计算机公司“KAMI”的信息技术中心,带领一批助手研发出了AVP反病毒程序。Kaspersky Lab于1997年成立,Eugene Kaspersky是创始人之一。 2000年11月,AVP更名为Kaspersky Anti-Virus。Eugene Kaspersky是计算机反病毒研究员协会(CARO)的成员。
诺顿
诺顿是Symantec公司个人信息安全产品之一,亦是一个广泛被应用的反病毒程序。
24
该项产品发展至今,除了原有的防毒外,还有防间谍等网络安全风险的功能。诺顿反病毒产品包括:诺顿网络安全特警 (Norton Internet Security)诺顿反病毒(Norton Antivirus)诺顿360(Norton ALL-IN-ONE Security)诺顿计算机大师(Norton SystemWorks)等产品。赛门铁克另外还有一种专供企业使用的版本被称做Symantec Endpoint Protection 。
NOD32
NOD32是ESET公司的产品,为了保证重要信息的安全,在平静中呈现极佳的性能。不需要那些庞大的互联网安全套装,ESET NOD32就可针对肆虐的病毒威胁为您提供快速而全面的保护。它极易使用,您所要做的只是:设置它,并忘记它!
安全卫士360:
360安全卫士是一款由奇虎公司推出的完全免费(奇虎官方声明:“永久免费”)的安全类上网辅助工具软件,拥有木马查杀、恶意软件清理、漏洞补丁修复、电脑全面体检、垃圾和痕迹清理、系统优化等多种功能。 360安全卫士软件硬盘占用很小,运行时对系统资源的占用也相对效低,是一款值得普通用户使用的较好的安全防护软件。 奇虎公司根据用户的需要正对它不断进行功能的扩充与完善。 Win2000/XP/VISTA/win7
系统要求:
超级巡警安全软件:
1、杀毒能力再增强,完全媲美于商业软件 中国第一款完全免费的杀毒引擎,两百万木马与病毒库,保护远离病毒侵害;完全兼容其它杀毒软件,系统资源占用小,可以自
25
在地给电脑上个双保险;全面查杀熊猫烧香、维金、灰鸽子、我的照片、机器狗、AV终结者、ARP病毒、盗号木马等流行病毒。 2、实时保护与主动防御,保护您免除盗号、盗卡烦恼 关键位置保护、程序行为和网络行为监控,让最新的病毒与木马无处藏身;每天 900,000 在线用户使用,实时保护功能稳定可靠; 3、补丁检查及自动修复,把QQ、暴风、迅雷、联众漏洞一起管起来 国内首创应用程序补丁检查并修复,可以在官方正式补丁前直接关闭存在漏洞;全面检查操作系统漏洞,精确提供所需补丁,下载速度远超官方升级; 4、强大直观的分析工具让您具备分析病毒与木马的火眼金睛 电脑高手最喜爱的病毒与木马分析工具,也可以过把高手瘾;检查启动项、进程、服务、端口等,并有未知项目高亮显示,禁止进程创建等多种贴心设计; 5、免费赠送胜过商业软件的辅助功能 ARP防火墙囊括其它同类收费软件全部功能,防护效果好,性能影响低;系统优化、系统修复、文件粉碎、一键修复IE、隐私清理等功能,只装一个软件,拥有全部功能;
第六节 网络安全发展状态
一、网络现状
我国的网络安全产业经过十多年的探索和发展已得到长足了发展。特别是近几年来,随着我国互联网的普及以及政府和企业信息化建设步伐的加快,对网络安全的需求也以前所未有的速度迅猛增长,这也是由于网络安全问题的日益突出,促使网络安全企业不断采用最新安全技术,不断推出满足用户需求、具有时代特色的安全产品,也进一步促进了网络安全技术的发展。应当说,在这十年来,网络安全产品从简单的防火墙到目前的具备报警、预警、分析、审计、监测等全面功能的网络安全系统,在技术角度已经实现了巨大进步,也为政府和企业在构建网络安全体系方面提供了更加多样化的选择,但是,网络面临的威胁却并未随着技术的进步而有所抑制,反而使矛盾更加突出,从层出不穷的网络犯罪到日益猖獗
26
的黑客攻击,似乎网络世界正面临着前所未有的挑战,下面简单分析网络安全环境的现状。1.在网络和应用系统保护方面采取了安全措施,每个网络/应用系统分别部署了防火墙、访问控制设备等安全产品,采取了备份、负载均衡、硬件冗余等安全措施;2.实现了区域性的集中防病毒,实现了病毒库的升级和防病毒客户端的监控和管理;3.安全工作由各网络/应用系统具体的维护人员兼职负责,安全工作分散到各个维护人员;4.应用系统账号管理、防病毒等方面具有一定流程,在网络安全管理方面的流程相对比较薄弱,需要进一步进行修订;5.员工安全意识有待加强,日常办公中存在一定非安全操作情况,终端使用和接入情况复杂。这可以说是现阶段具有代表性的网络安全建设和使用的现状,从另一个角度来看,单纯依靠网络安全技术的革新,不可能完全解决网络安全的隐患,如果想从根本上克服网络安全问题,我们需要首先分析距真正意义上的网络安全到底存在哪些差距。
二、差距分析
就目前而言,企业的网络安全还存在这样或那样的问题,离真正的安全的网络还有不可逾越的差距。1. 网络安全管理体系不完善,需要通过实施策略对流程进行细化,其它体系也需要按照网络安全管理体系和流程要求不断完善其内容。2. 涉及网络安全的各个层次,特别是基层人员对网络安全工作的重要性认识不足,必须强化把网络安全作为一项重点工作开展,并对如何开展安全工作和需要做哪些安全工作、达到什么目标有明确要求。3. 网络安全管理组织不完整,现阶段网络/应用系统的安全工作基本上由各维护单位和人员承担,安全责任相对比较分散,存在一定程度的安全责任无法落实到具体人的现象。4. 具有普及性的安全教育和培训不足,人员信息安全意识水平不统一。5. 在物理与环境安全、系统和网络安全管理、系统接入控制方面仍然存在一定差距,在安全策略、安全组织、人员管理、资产分类控制、安全审计方面存在明显不足。6. 防病毒系统没有实现整体统一,存在防病毒的局部能力不足。7. 网络/应用系统防护上采取了防火墙等安全产品和硬件冗余等安全措施,但安全产品之间无法实现联动,安全信息无法挖掘,安全防护效果低,投资重复,存在
27
一定程度的安全孤岛现象。另外,安全产品部署不均衡,各个系统部署了多个安全产品,但在系统边界存在安全空白,没有形成纵深的安全防护。8. 对终端管理没有统一策略,操作系统版本、操作系统补丁等没有统一的标准和管理。9. 没有应急响应流程和业务持续性计划,发生安全事件后的处理和恢复流程不足,对可能造成的业务中断没有紧急预案。
三、网络安全的体系架构
网络安全的任何一项工作,都必须在网络安全组织、网络安全策略、网络安全技术、网络安全运行体系的综合作用下才能取得成效。首先必须有具体的人和组织来承担安全工作,并且赋予组织相应的责权;其次必须有相应的安全策略来指导和规范安全工作的开展,明确应该做什么,不应该做什么,按什么流程和方法来做;再次若有了安全组织、安全目标和安全策略后,需要选择合适的安全技术方案来满足安全目标;最后在确定了安全组织、安全策略、安全技术后,必须通过规范的运作过程来实施安全工作,将安全组织、安全策略和安全技术有机地结合起来,形成一个相互推动、相互联系地整体,通过实际的工程运作和动态的运营维护,最终实现安全工作的目标。完善的网络安全体系应包括安全策略体系、安全组织体系、安全技术体系、安全运作体系.安全策略体系应包括网络安全的目标、方针、策略、规范、标准及流程等,并通过在组织内对安全策略的发布和落实来保证对网络安全的承诺与支持。安全组织体系包括安全组织结构建立、安全角色和职责划分、人员安全管理、安全培训和教育、第三方安全管理等。安全技术体系主要包括鉴别和认证、访问控制、内容安全、冗余和恢复、审计和响应。安全运作体系包括安全管理和技术实施的操作规程,实施手段和考核办法。安全运作体系提供安全管理和安全操作人员具体的实施指导,是整个安全体系的操作基础。
结束语
28
随着网络的飞速发展,网络中的恶意软件越来越猖狂。为了尽最大可能地防范它们对网络和系统的破坏,需要采用防火墙等网络安全工具,在网络边界保护内部网络的安全。从以上分析来看各种网络安全技术都有各自的侧重点和优缺点,只有在网络系统中将各种安全防护技术结合起来使用,才能使网络安全得到最大限度的保护。
参考文献
[1]李华飚等,防火墙核心技术精解[M],中国水利水电出版社,2005
[2].林晓东,杨义先.网络防火技术[J].电信科学出版社,1997.
[3].黎连业,张维.防火墙及其应用技术[M].北京:清华大学,2004.
[4](译)吴世忠,马芳.网络信息安全的真相.机械工业出版社,2001-9-1.
[5] 许治坤 ,王伟 ,郭添森 ,杨冀龙.网络渗透技术.电子工业出版社,2005-5-11.
29
因篇幅问题不能全部显示,请点此查看更多更全内容