【正文】 全管理上，建 立和完善安全管理規(guī)范和機(jī)制，切實(shí)加強(qiáng)和落實(shí)安全管理制度，增強(qiáng)安全防范意識。其中，由于未修補(bǔ)或防范軟件漏洞導(dǎo)致發(fā)生安全事件的占安全事件總數(shù)的 “%，登錄密碼過于簡單或未修改密碼導(dǎo)致發(fā)生安全事件的占 19%. 對于網(wǎng)絡(luò)安全管理情況的調(diào)查 :調(diào)查表明，近年來，使用單位對信息網(wǎng)絡(luò)安全管理工作的重視程度普遍提高， 80%的被調(diào)查單位有專職或兼職的安全管理人員， 7 12%的單位建立了安全組織，有 2%的單位請信息安全服務(wù)企業(yè)提供專業(yè)化的安全服務(wù)。一是安全技術(shù)保障體系尚不完善，許多企業(yè)、單位花了大量的金錢購買了信息安全設(shè)備，但是技術(shù)保障不成體系，達(dá)不到預(yù)想的目標(biāo) :二是應(yīng) 急反應(yīng)體系沒有經(jīng)常化、制度化 :三是企業(yè)、單位信息安全的標(biāo)準(zhǔn)、制度建設(shè)滯后。本文的安排如下 :本文的第一部分將主要討論目前網(wǎng)絡(luò)入侵檢測 Intrusion Detection Systems(IDS)及其關(guān)鍵技術(shù)。一方面當(dāng)今社會對網(wǎng)絡(luò)的依翰性日益增加，而另一方面網(wǎng)絡(luò)入侵和攻擊事件發(fā)生的次數(shù)也急劇增長。 本文在概述傳統(tǒng)網(wǎng)絡(luò)信息安全技術(shù)，黑客常用入侵手段與防范對策，入侵檢測系統(tǒng)的發(fā)展、分類、檢測方法以及標(biāo)準(zhǔn)化等問題的基礎(chǔ)上，針對目前入侵檢測遇到的一些新問題，提出了一個入侵檢測系統(tǒng)的設(shè)計(jì)方案。本人授權(quán) 大學(xué)可以將本學(xué)位論文的全部或部分內(nèi)容編入有關(guān)數(shù)據(jù)庫進(jìn)行檢索，可以采用影印、縮印或掃描等復(fù)制手段保存和匯編本學(xué)位論文。除了文中特別加以標(biāo)注引用的內(nèi)容外，本論文不包含任何其他個人或集體已經(jīng)發(fā)表或撰寫的成果作品。盡我所知，除文中特別加以標(biāo)注和致謝的地方外，不包含其他人或組織已經(jīng)發(fā)表或公布過的研究成果，也不包含我為獲得 及 其它教育機(jī)構(gòu)的學(xué)位或?qū)W歷而使用過的材料。對本研究提供過幫助和做出過貢獻(xiàn)的個人或集體，均已在文中作了明確的說明并表示了謝意。對本文的研究做出重要貢獻(xiàn)的個人和集體，均已在文中以明確方式標(biāo)明。 涉密論文按學(xué)校規(guī)定處理。主要包括對整個系統(tǒng)的體系結(jié)構(gòu)設(shè)計(jì)，分析子系統(tǒng) 結(jié)構(gòu)與檢測方法的改進(jìn)，蜜罐與陷阱子系統(tǒng) (IP 陷阱、服務(wù)陷阱、文件陷阱 )設(shè)計(jì)， IDS 負(fù)載均衡技術(shù)研究，利用雙網(wǎng)卡技術(shù)和備份監(jiān)控代理方式提供對 IDS 自身的有效安全防護(hù)等。這兩個方面相互影響，前者使得網(wǎng)絡(luò)的結(jié)構(gòu)，協(xié)議及應(yīng)用日漸復(fù)雜，同時也造成社會對網(wǎng)絡(luò)安全問題的可容忍程度逐步降低。文中第三部分將討論入侵防御技術(shù)的發(fā)展趨勢 :基于時間線的入侵防御系統(tǒng)。 計(jì)算機(jī)與網(wǎng)絡(luò)信息系統(tǒng)安全 2020 年 5 月至 2020 年 5 月，在 7072 家被調(diào)查單位中有 4057 家單位發(fā)生過信息 網(wǎng)絡(luò) 安全事件，占被調(diào)查總數(shù)的 58%。調(diào)查表明，認(rèn)為單位信息網(wǎng)絡(luò)安全防護(hù) 能力 “較高 ”和 “一般 ”的比較多，分別占 44%。 信息安全防范要確保以下幾方面的安全。 網(wǎng)絡(luò)信息安全技術(shù) 防火墻技術(shù)是建立在 現(xiàn)代 通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)，越來越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境之中，尤其以接入 Inter網(wǎng)絡(luò)為甚。在邏輯上，防火墻是一個分離器 ，一個限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和 Inter 之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì) :如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這 些訪問并做出日志記錄，同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。不僅省去了專用通信線路，而且為信息共享提供了技術(shù)保障。事件分析器分析得到的數(shù)據(jù)，并產(chǎn)生分析結(jié)果?；谥鳈C(jī)的監(jiān)測。最近出現(xiàn)的一 種ID(IntrusionDetection)：位于操作系統(tǒng)的內(nèi)核之中并監(jiān)測系統(tǒng)的最底層行為。往往將一臺機(jī)子的網(wǎng)卡設(shè)于混雜模式 (PromiseMode)，對所有本網(wǎng)段內(nèi)的數(shù)據(jù)包并進(jìn)行信息收集，并進(jìn)行判斷。 （ CA）與數(shù)字證書 互聯(lián)網(wǎng)的 發(fā)展 和信息技術(shù)的普及給人們的工作和生活帶來了前所未有的便利。利用 PKI 可以方便地建立和維護(hù)一個可信的網(wǎng)絡(luò) 計(jì)算 環(huán)境，從而使得人們在這個無法直接相互面對的環(huán)境里，能夠確認(rèn)彼此的身份和所交換的信息，能夠安全地從事商務(wù)活動。認(rèn)證中心是 PKI 安全體系的核心環(huán)節(jié)，因此又稱作 PKI/CA。我們熟悉的如防火墻、入侵檢測、 VPN、安全網(wǎng)關(guān)、安全目錄等，與身份認(rèn)證系統(tǒng)有什么區(qū)別和聯(lián)系呢 ?我們從這些安全產(chǎn)品實(shí)現(xiàn)的功能來分析就明白了 :防火墻保證了未經(jīng)授權(quán)的用戶無法訪問 相應(yīng)的端口或使用相應(yīng)的協(xié)議；入侵檢測系統(tǒng)能夠發(fā)現(xiàn)未經(jīng)授權(quán)用戶攻擊系統(tǒng)的企圖 。而身份認(rèn)證解決了用戶的物理身份和數(shù)字身份相對應(yīng)的問題，給他們提供了權(quán)限管理的依據(jù)。因此，身份認(rèn)證是整個信息安全體系最基礎(chǔ)的環(huán)節(jié)，身份安全是信息安全的基礎(chǔ)。入侵檢測技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)，可實(shí)時監(jiān)控和檢測網(wǎng)絡(luò)或系統(tǒng)中的活動狀態(tài)，一旦發(fā)現(xiàn)網(wǎng)絡(luò)中的可 疑行為或惡意攻擊， IDS 便可做出及時的報警和響應(yīng)，甚至可以調(diào)整防火墻的配置策略，與其進(jìn)行聯(lián)動。通過上 網(wǎng)樹立形象、開展業(yè)務(wù)，已經(jīng)成為政府辦公、企業(yè)發(fā)展的重要手段。 但是仍然 有些單位對自己網(wǎng)絡(luò)的安全問題毫無認(rèn)識，以致對是否遭受黑客入侵及 自身的 網(wǎng)絡(luò)安全問題毫不知曉。北京中科網(wǎng)威信息技術(shù)有限公司在多年研究工作的基礎(chǔ)上，提出了一種動態(tài)、多層次的黑客入侵防范體系。 防護(hù)是用于提高安全性能，抵抗入侵的主動防御手段。使用基于網(wǎng)絡(luò)的和基于主機(jī)的 IDS，加上對偵測系統(tǒng)實(shí)施隱蔽技術(shù)，可以防止黑客發(fā)現(xiàn)防護(hù)手段進(jìn)而破壞偵測系統(tǒng)，從而為及時發(fā)現(xiàn)攻擊行為并做出響應(yīng)贏得時間。 恢復(fù)是防范體系的又一個環(huán)節(jié)，無論防范多嚴(yán)密，都很難確保萬無一失，所以，采用亡羊補(bǔ)牢、猶為未晚的策略，使用完善的備份機(jī)制確保內(nèi)容的可恢復(fù)性，借助自動恢復(fù)系統(tǒng)、快速恢復(fù)系統(tǒng)來控制和修復(fù)破壞，將損失降至最低。這是一種集檢測、記錄、報警、響應(yīng)的動態(tài)安全技術(shù)，它已經(jīng)漸漸地從 “ 入侵檢測 ” 發(fā)展為 “ 入侵防御 ” 了。例如，防火墻作為限制內(nèi)外網(wǎng)絡(luò)互相訪問的關(guān)口，其配置的過濾規(guī)則阻止了非授權(quán)用戶對公司網(wǎng)絡(luò)的訪問，因此在入侵檢測系統(tǒng)發(fā)現(xiàn)攻擊行為時，由它自動地修改防火墻的安全策略，就能封堵可疑的網(wǎng)絡(luò)通信。在建立聯(lián)動的一體化安全防御體系中，入侵檢測系統(tǒng)可以自動調(diào)整其他安全組件的策略，來防止進(jìn)一步的攻擊，這時誤報帶來的負(fù)面影響可能更大了 —— 因?yàn)檎`報觸動策略調(diào)整之后，本該許可的訪問就無法訪問了，這形成了一種新的 DoS 形式。但是這種技術(shù)主要缺點(diǎn)在于知識的組織困難。但是這些方法都有一定的缺點(diǎn)。從而促使網(wǎng)絡(luò)安全領(lǐng)域?qū)W(wǎng)絡(luò)入侵檢測技術(shù)進(jìn)行研究，并提出了 IDS。例如 :在某一段時間內(nèi)登錄某臺主機(jī)失敗次數(shù)。建立模型需要花費(fèi)一定的時間，而且該入侵檢測技術(shù)會造成誤報等。 14 基于知識的入侵檢側(cè)技術(shù)具有較高的準(zhǔn)確度，但是它的缺點(diǎn)就是在于對系統(tǒng)的性能要求高，而且只能檢測到目前已知的攻擊方法，對于未知的攻擊方法沒有檢測能力。它分為三個部分 :入侵前期、入侵時間零點(diǎn)和入侵后處理，各個部分又分成若干子部分。第一類是諸如防火墻的訪問控制技術(shù)和本文以上所介紹的 IDS 和 IPS 系統(tǒng)。通過對 IDS， IPS 的系統(tǒng)性能的分析不難發(fā)現(xiàn)，入侵行為的檢測的難點(diǎn)在于 IDS/IPS 系統(tǒng)可利用的信息太少，從而造成 IDS， IPS 對入侵行為的漏報和誤報 。而且該配置過程可以實(shí)現(xiàn)連續(xù)和自動化。 15 第三章 入侵檢測系統(tǒng)概述 入侵檢測系統(tǒng)的發(fā)展 入侵檢測（ Intrusion Detection）是對入侵行為的 檢測 。入侵檢測通過執(zhí)行以下任務(wù)來實(shí)現(xiàn)： 監(jiān)視 、分析用戶及系統(tǒng)活動；系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)；識別反映已知進(jìn)攻的活動模式并向相關(guān)人士報警；異常行為模式的統(tǒng)計(jì)分析；評估重要系統(tǒng)和 數(shù)據(jù)文件 的完整性； 操作系統(tǒng) 的審計(jì)跟蹤管理，并識別用戶違反安全策略的行為。進(jìn)行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng) 異常入侵檢測技術(shù) 異常檢測 (Anomaly detection) 的假設(shè)是入侵者 活動異常于正常主體的活動。其基本前提是：假定所有可能的入侵行為都能被識別和表示。 誤用檢測是根據(jù)攻擊簽名來判斷入侵的，根據(jù)對已知的攻擊方法的了解，用特定的模式語言來表示這種攻擊，使得 攻擊簽名能夠準(zhǔn)確地表示入侵行為及其所有可能的變種，同時又不會把非入侵行為包含進(jìn)來。由于只需要收集相關(guān)的數(shù)據(jù)，這樣系統(tǒng)的負(fù)擔(dān)明顯減少。 入侵檢測系統(tǒng) (IDS， Intrusion Detection System)是近