入侵系统介绍

zqs214 一级(30)|个人中心 ||私信(0)|下载客户端|百度首页新闻网页贴吧知道音乐图片视频地图百科文库首页分类教师频道个人认证机构合作手机文库我的文库百度文库教育专区高等教育工学企业网络安全整体解决方案- (39人评价)|867人阅读|340次下载|举报文档实践课：安全系统整体解决方案设计今日推荐 37份文档春节回家，快乐出行春节回家必备的十款儿童应用春节期间精品短信春节乘机出行抢票攻略 6304份文档一到年终就总结教你怎么写年终工作总结报告如何写出专业的年终总结漂亮的工作报告类PPT模板你可能喜欢中小企业网络安全解决... 网络安全解决方案设计防火墙与入侵检测实... 排除隐患中小企业网络安全解决方案 6页免费中小企业网络安全解决方案 12页免费中小企业整体网络安全解决方案解析 9页 1财富值中小企业网络安全整体解决方案 4页免费中小企业网络安全整体解决方案 5页免费更多与“中小企业网络安全解决方案”相关的文档>> ?2014 Baidu 使用百度前必读?|?文库协议分享到：QQ空间新浪微博微信新版反馈加入阅读会员！获取下载特权 0?财富值/26 评价文档： 2 用手机扫此二维码：? 以下结果由提供：? 百度翻译百科词条：? 百度百科复制 | 搜索 | 翻译 | 百科 | 分享 | 二维码文字已复制分享至：× 名人堂：众名人带你感受他们的驱动人生马云任志强李嘉诚柳传志史玉柱第?12?页?共?26?页播途径和速度大大加快。我们将病毒的途径分为： (1?)?通过FTP，电子邮件传播。 (2)?通过软盘、光盘、磁带传播。 (3)?通过Web游览传播，主要是恶意的Java控件网站。 (4)?通过群件系统传播。病毒防护的主要技术如下： (1)?阻止病毒的传播。在防火墙、代理服务器、SMTP服务器、网络服务器、群件服务器上安装病毒过滤软件。在桌面PC安装病毒监控软件。 (2)?检查和清除病毒。使用防病毒软件检查和清除病毒。 (3)?病毒数据库的升级。病毒数据库应不断更新，并下发到桌面系统。 (4)?在防火墙、代理服务器及PC上安装Java及ActiveX控制扫描软件，禁止未经许可的控件下载和安装。４.４?入侵检测技术利用防火墙技术，经过仔细的配置，通常能够在内外网之间提供安全的网络保护，降低了网络安全风险。但是，仅仅使用防火墙、网络安全还远远不够： (1)?入侵者可寻找防火墙背后可能敞开的后门。 (2)?入侵者可能就在防火墙内。 (3)?由于性能的限制，防火焰通常不能提供实时的入

侵检测能力。入侵检测系统是近年出现的新型网络安全技术，目的是提供实时的入侵检测及采取相应的防护手段，如记录证据用于跟踪和恢复、断开网络连接等。实时入侵检测能力之所以重要首先它能够对付来自内部网络的攻击，其次它能够缩短hacker入侵的时间。入侵检测系统可分为两类： √?基于主机 √?基于网络基于主机的入侵检测系统用于保护关键应用的服务器，实时监视可疑的连第?13?页?共?26?页接、系统日志检查，非法访问的闯入等，并且提供对典型应用的监视如Web服务器应用。基于网络的入侵检测系统用于实时监控网络关键路径的信息，其基本模型如下图示：图?入侵检测系统的基本模型上述模型由四个部分组成： (1)?Passive?protocol?Analyzer网络数据包的协议分析器、将结果送给模式匹配部分并根据需要保存。 (2)?Pattern-Matching?Signature?Analysis根据协议分析器的结果匹配入侵特征，结果传送给Countermeasure部分。 (3)?countermeasure执行规定的动作。 (4)?Storage保存分析结果及相关数据。基于主机的安全监控系统具备如下特点： (1)?精确，可以精确地判断入侵事件。 (2)?高级，可以判断应用层的入侵事件。 (3)?对入侵时间立即进行反应。 (4)?针对不同操作系统特点。 (5)?占用主机宝贵资源。基于网络的安全监控系统具备如下特点： (1)?能够监视经过本网段的任何活动。 Ethernet (i.e.,?store?contents?of?connection?disk)?(i.e.,?close?connection) Countermeasure (C)?Box (i.e., detection?of?“phf”string?in?session)?Pattern-Matching Signature Analysis Storage?(D)?Box (i.e,?TCP?Stream?reconstruction) Passive?Protocol?Analysis 第?14?页?共?26?页 (2)?实时网络监视。 (3)?监视粒度更细致。 (4)?精确度较差。 (5)?防入侵欺骗的能力较差。 (6)?交换网络环境难于配置。基于主机及网络的入侵监控系统通常均可配置为分布式模式： (1)?在需要监视的服务器上安装监视模块(agent)，分别向管理服务器报告及上传证据，提供跨平台的入侵监视解决方案。 (2)?在需要监视的网络路径上，放置监视模块(sensor),分别向管理服务器报告及上传证据，提供跨网络的入侵监视解决方案。选择入侵监视系统的要点是： (1)?协议分析及检测能力。 (2)?解

码效率(速度)。 (3)?自身安全的完备性。 (4)?精确度及完整度，防欺骗能力。 (5)?模式更新速度。４.５?安全扫描技术网络安全技术中，另一类重要技术为安全扫描技术。安全扫描技术与防火墙、安全监控系统互相配合能够提供很高安全性的网络。安全扫描工具源于Hacker在入侵网络系统时采用的工具。商品化的安全扫描工具为网络安全漏洞的发现提供了强大的支持。安全扫描工具通常也分为基于服务器和基于网络的扫描器。基于服务器的扫描器主要扫描服务器相关的安全漏洞，如password文件，目录和文件权限，共享文件系统，敏感服务，软件，系统漏洞等，并给出相应的解决办法建议。通常与相应的服务器操作系统紧密相关。基于网络的安全扫描主要扫描设定网络内的服务器、路由器、网桥、变换机、访问服务器、防火墙等设备的安全漏洞，并可设定模拟攻击，以测试系统的防御能力。通常该类扫描器限制使用范围(IP地址或路由器跳数)。网络安全扫描的主要性能应该考虑以下方面： (1)?速度。在网络内进行安全扫描非常耗时。第?15?页?共?26?页 (2)?网络拓扑。通过GUI的图形界面，可迭择一步或某些区域的设备。 (3)?能够发现的漏洞数量。 (4)?是否支持可定制的攻击方法。通常提供强大的工具构造特定的攻击方法。因为网络内服务器及其它设备对相同协议的实现存在差别，所以预制的扫描方法肯定不能满足客户的需求。 (5)?报告，扫描器应该能够给出清楚的安全漏洞报告。 (6)?更新周期。提供该项产品的厂商应尽快给出新发现的安生漏洞扫描特性升级，并给出相应的改进建议。安全扫描器不能实时监视网络上的入侵，但是能够测试和评价系统的安全性，并及时发现安全漏洞。４.６?认证与数字签名技术认证技术主要解决网络通讯过程中通讯双方的身份认可，数字签名作为身份认证技术中的一种具体技术，同时数字签名还可用于通信过程中的不可抵赖要求的实现。认证技术将应用到企业网络中的以下方面： (1)?路由器认证，路由器和交换机之间的认证。 (2)?操作系统认证。操作系统对用户的认证。 (3)?网管系统对网管设备之间的认证。 (4)?VPN网关设备之间的认证。 (5)?拨号访问服务器与客户间的认证。 (6)?应用服务器(如Web?Server)与客户的认证。 (7)?电子邮件通讯双方的认证。数字签名技术主要用于： (1)?基于PKI认证体系的认证过程。

(2)?基于PKI的电子邮件及交易(通过Web进行的交易)的不可抵赖记录。认证过程通常涉及到加密和密钥交换。通常，加密可使用对称加密、不对称加密及两种加密方法的混合。 UserName/Password 认证该种认证方式是最常用的一种认证方式，用于操作系统登录、telnet、rlogin等，但由于此种认证方式过程不加密，即password容易被监听和解密。第?16?页?共?26?页使用摘要算法的认证 Radius(拨号认证协议)、路由协议(OSPF)、SNMP?Security?Protocol等均使用共享的Security?Key，加上摘要算法(MD5)进行认证，由于摘要算法是一个不可逆的过程，因此，在认证过程中，由摘要信息不能计算出共享的security?key，敏感信息不在网络上传输。市场上主要采用的摘要算法有MD5和SHA-1。基于PKI 的认证使用公开密钥体系进行认证和加密。该种方法安全程度较高，综合采用了摘要算法、不对称加密、对称加密、数字签名等技术，很好地将安全性和高效率结合起来。后面描述了基于PKI认证的基本原理。这种认证方法目前应用在电子邮件、应用服务器访问、客户认证、防火墙验证等领域。该种认证方法安全程度很高，但是涉及到比较繁重的证书管理任务４.７?ＶＰＮ技术４.７.１?企业对VPN技术的需求企业总部和各分支机构之间采用internet网络进行连接，由于internet是公用网络，因此，必须保证其安全性。我们将利用公共网络实现的私用网络称为虚拟私用网(VPN)。因为VPN利用了公共网络，所以其最大的弱点在于缺乏足够的安全性。企业网络接入到internet，暴露出两个主要危险：来自internet的未经授权的对企业内部网的存取。当企业通过INTERNET进行通讯时，信息可能受到窃听和非法修改。完整的集成化的企业范围的VPN安全解决方案，提供在INTERNET上安全的双向通讯，以及透明的加密方案以保证数据的完整性和保密性。企业网络的全面安全要求保证：保密-通讯过程不被窃听。通讯主体真实性确认-网络上的计算机不被假冒。４.７.２?数字签名数字签名作为验证发送者身份和消息完整性的根据。公共密钥系统(如RSA)基于 1234567890ABCDEFGHIJKLMNabcdefghijklmn!@#$%^&&*()_+.一三五七九贰肆陆扒拾，。青玉案元夕东风夜放花千树更吹落星如雨宝马雕车香满路凤箫声动玉壶光转一夜鱼龙舞蛾儿雪柳黄金缕笑语盈盈暗香去众里寻他千百度暮然回首那人却在灯火阑珊处