【正文】 十多年發(fā)展起來(lái)的新一代安全防范技術(shù)，它通過對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)是否有違反安全策略的行為和被攻擊的跡象。 Gartner 在 2020 年一份研究報(bào)告中稱入侵檢測(cè)系統(tǒng)已經(jīng) “ 死 ” 了。而 IPS 則是一種主動(dòng)的、積極的入侵防范、阻止系統(tǒng)，它部署 在網(wǎng)絡(luò)的進(jìn)出口處，當(dāng)它檢測(cè)到攻擊企圖后，它會(huì)自動(dòng)地將攻擊包丟掉或采取措施將攻擊源阻斷。應(yīng)用層的攻擊有可能會(huì)造成非常嚴(yán)重的后果，比如用戶帳號(hào)丟失和公司機(jī)密泄漏等。但對(duì)于應(yīng)用層的攻擊，通常是利用特定的應(yīng)用程序的漏洞，無(wú)論是 IDS 還是 IPS 都無(wú)法通過現(xiàn)有的檢測(cè)技術(shù)進(jìn)行防范。這樣，黑客通過這些端口發(fā)起攻擊時(shí)防火墻無(wú)法進(jìn)行識(shí)別控制。 在對(duì)應(yīng)用層的攻擊中，大部分時(shí)通過 HTTP 協(xié)議 (80 端口 )進(jìn)行。通過制訂合理的安全策略， AIP 能夠?qū)σ韵骂愋偷膚eb 攻擊進(jìn)行有效防范： 惡意腳本 Cookie 投毒 隱藏域修改 緩存溢出 參 18 數(shù)篡改 強(qiáng)制瀏 覽 Sql 插入已知漏洞攻擊應(yīng)用入侵防護(hù)技術(shù)近兩年剛剛出現(xiàn)，但發(fā)展迅速。通過高性能內(nèi)容處理芯片和網(wǎng)絡(luò)處理芯片相結(jié)合形式，為千兆應(yīng)用入侵防護(hù)產(chǎn)品提供了由于的解決方案。接下來(lái)由內(nèi)容處理器對(duì)數(shù)據(jù)流進(jìn)行應(yīng)用協(xié)議處理，根據(jù)控制器設(shè)定的安全策略對(duì)各種應(yīng)用攻擊進(jìn)行檢測(cè)和過濾。通過系統(tǒng)內(nèi)置的網(wǎng)絡(luò)內(nèi)容處理芯片，對(duì) web 請(qǐng)求和回應(yīng)流量進(jìn)行細(xì)致的分析。訪問控制。 19 結(jié)語(yǔ) 通過對(duì)以上本文對(duì)入侵檢測(cè)技術(shù)的綜述，可以看出網(wǎng)絡(luò)入侵防御技術(shù)目前的主流和它未來(lái)的發(fā)展趨勢(shì)。 Sourcefire 文中提出了基于時(shí)間線對(duì)各項(xiàng)安全技術(shù)進(jìn)行整合，使得它們可以共享彼此的信息，從而提高整個(gè)安全系統(tǒng)的性能。 三 年的求學(xué)生涯在師長(zhǎng)、親友的大力支持下，走得辛苦卻也收獲滿囊，在論文即將付梓之際，思緒萬(wàn)千，心情久 久不能平靜。授人以魚不如授人以漁，置身其間，耳濡目染，潛移默化，使我不僅接受了全新的思想觀念，樹立了宏偉的學(xué)術(shù)目標(biāo)，領(lǐng)會(huì)了基本的思考方式，從論文題目的選定到論文寫作的指導(dǎo) ,經(jīng)由您悉心的點(diǎn)撥 ,再經(jīng)思考后的領(lǐng)悟 ,常常讓我有“ 山重水復(fù)疑無(wú)路 ,柳暗花明又一村 ” 。 22 。在論文即將完成之際，我的心情無(wú)法平靜，從開始進(jìn)入課題到論文的順利完成，有多少可敬的師長(zhǎng)、同學(xué)、朋友給了我無(wú)言的幫助，在這里請(qǐng)接受我誠(chéng)摯謝意！ 同時(shí)也感謝學(xué)院為我提供良好的做畢業(yè)設(shè)計(jì)的環(huán)境。我不是您最出色的學(xué)生，而您卻是我最尊敬的老師。DisasterRecovery,2020, Postsamp。正如在 Sourcefire 文中所說(shuō)，提高 IDS/IPS 檢測(cè)能力的唯一可行途徑是提供給它 們更多的信息。 中科網(wǎng)威在新一代千兆應(yīng)用入侵防護(hù)產(chǎn)品設(shè)計(jì)中采用了上述解決方案，實(shí)現(xiàn)了千兆流量下的線速處理。 DOS 攻擊的防護(hù)。 在高性能的千兆解決方案中，能夠?qū)崿F(xiàn)網(wǎng)絡(luò)層到應(yīng)用層的多層次立體防護(hù)體系。從而實(shí)現(xiàn)了千兆流量線速轉(zhuǎn)發(fā)和高速內(nèi)容處理的完美結(jié)合，真正能夠?yàn)橛脩籼峁┣?兆高性能的應(yīng)用防護(hù)解決方案。 千兆解決方案 應(yīng)用入侵防護(hù)產(chǎn)品在保護(hù)企業(yè)業(yè)務(wù)流程和相關(guān)數(shù)據(jù)方面發(fā)揮著日益重要的作用，同時(shí)隨著網(wǎng)絡(luò)帶寬的不斷增加，只有在適合千兆環(huán)境應(yīng)用的高性能產(chǎn)品才能夠滿足大型網(wǎng)絡(luò)的需要。雖然這些站點(diǎn)通過部署防火墻在網(wǎng)絡(luò)層以下進(jìn)行了很好的防范，但其應(yīng)用層的漏洞仍可被利用進(jìn)而受到入侵和攻擊。而應(yīng)用入侵防護(hù)系統(tǒng)則能夠彌補(bǔ)防火墻和入侵檢測(cè)系統(tǒng)的不足，對(duì)特定應(yīng)用進(jìn)行有效保護(hù)。 入侵防御協(xié)議設(shè)計(jì) 對(duì)應(yīng)用層的防范通常比內(nèi)網(wǎng)防范難度要更大，因?yàn)檫@些應(yīng)用要允許外部的訪問。從檢測(cè)方法上看， IPS 與 IDS 都是基于模式匹配、協(xié)議分析以及異常流量統(tǒng)計(jì)等技術(shù)。 近年來(lái)，網(wǎng)絡(luò)攻擊的發(fā)展趨勢(shì)是逐漸轉(zhuǎn)向高層應(yīng)用。Gartner 公司認(rèn)為只有在線的或基于主機(jī)的攻擊阻止 (實(shí)時(shí)攔截 )才是最有效的入侵防御系統(tǒng)。 但在入侵檢測(cè)產(chǎn)品的使用過程中，暴露出了諸多的問題。但是它也存在一些缺點(diǎn)。這些跡象不僅對(duì)分析已經(jīng)發(fā)生的入侵行為有幫助，而且對(duì)即將發(fā)生的入侵也有預(yù)警作用。這種方法是依據(jù)是否出現(xiàn)攻擊簽名來(lái)判斷入侵行為，是一種直接的方法 常用的具體方法有：基于條件概率誤用入侵檢測(cè)方法、基于專家系統(tǒng)誤用入侵檢測(cè)方法、基于狀態(tài)遷移分析誤用入侵檢測(cè)方法、基于鍵盤監(jiān)控誤用入侵檢測(cè)方法、基于模型誤用入侵檢測(cè)方法。異常檢測(cè)的難題在于如何建立 “活動(dòng)簡(jiǎn)檔 ”以及如何設(shè)計(jì)統(tǒng)計(jì)算法，從而不把正常的操作作為 “入侵 ”或忽略真正的 “入侵 ”行為。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測(cè)作為一種積極主動(dòng)地安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前 攔截 和響應(yīng)入侵。入侵后處理技術(shù)如 SIM/SEM，它們產(chǎn)生的信息可以自動(dòng)應(yīng)用到 系統(tǒng)中，增強(qiáng)它們對(duì)新的入侵方法的反應(yīng)能力。它主要的目的就是將目前在時(shí)間線上離散的各項(xiàng)安全技術(shù)綜合起來(lái)，實(shí)現(xiàn)一種新的安全系統(tǒng)，該系統(tǒng)使用的安全技術(shù)在時(shí)間線上的作用范圍是連續(xù)的，也 即其中每項(xiàng)安全技術(shù)具有對(duì)其它安全技術(shù)的反饋?zhàn)饔?。第三部分即是入侵后處理技術(shù)，這一部分有安全事件管理系統(tǒng)和安全 信息管理技術(shù)，以及對(duì)入侵造成的破壞的恢復(fù)技術(shù)。 根據(jù)時(shí)間線的三個(gè)部分，對(duì)各項(xiàng)安全技術(shù)劃分成三個(gè)部分 :第 一部分是針對(duì)入侵前期，這類技術(shù)主要分為三個(gè)類，一類是安全規(guī)章制度，安全策略的配置等，第二類是對(duì)網(wǎng)絡(luò)進(jìn)行當(dāng)前已知的各項(xiàng)漏洞進(jìn)行檢測(cè)，第三類是通過專人對(duì)網(wǎng)絡(luò)進(jìn)行實(shí)際的入侵檢測(cè)廠這部分的技術(shù)的主要目的是預(yù)先評(píng)估和增強(qiáng)網(wǎng)絡(luò)的安全性，減少被入侵的可能性。據(jù)此他們提出了下一代入侵防御系統(tǒng)的發(fā)展方向 :即基于時(shí)間線的入侵防御系統(tǒng)。 2. 基于知識(shí)的入侵檢測(cè)技術(shù) 基于知識(shí)的入侵檢測(cè)技術(shù)主要通過應(yīng)用已有的知識(shí)對(duì)入侵行為的標(biāo)志進(jìn)行識(shí)別，從而判斷網(wǎng)絡(luò)中是否有入侵行為的發(fā)生川。符合這個(gè)模型的網(wǎng)絡(luò)行為即視為正常，不符合的即視為入侵行為。 入 侵 檢 測(cè)系統(tǒng)的關(guān)鍵技術(shù) 1． 基于行為的入侵檢測(cè)技術(shù) 基于行為的入侵檢測(cè)技術(shù)主要依靠統(tǒng)計(jì)的方法來(lái)實(shí)現(xiàn)對(duì)入侵行為的檢測(cè)。隨著網(wǎng)絡(luò)的發(fā)展， FBI/CSI 的統(tǒng)計(jì)數(shù)字表明入侵和攻擊的模式發(fā)生了變化。通過數(shù)據(jù)挖掘程序搜集到審計(jì)數(shù)據(jù)，為各種入侵行為和正常操作建立精確的行為模式。它一方面要集中管理全網(wǎng)以及各設(shè)備的安全事件，將數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化、集中、并進(jìn)行關(guān)聯(lián)和智能分析，以降低誤報(bào)率和預(yù)告威脅的趨勢(shì)；另一方面 還要結(jié)合漏洞掃描， 13 提前確定系統(tǒng)是否存在已知漏洞，做到 “ 防范于未然 ” ，以建立前攝性的、而不僅僅是響應(yīng)式的安全防御體系 。 在入侵防御系統(tǒng)中，如何降低檢測(cè)系統(tǒng)的誤報(bào)率是非常關(guān)鍵的。這無(wú)疑給安全管理增加了很多的工作量和難度，也大大地提高了安全維護(hù)費(fèi)用，因此系統(tǒng)需要具有更多主動(dòng)響應(yīng)行為的入侵檢測(cè)系統(tǒng)，如今的入侵檢 測(cè)系統(tǒng)可以通過發(fā)復(fù)位包的方式，或者執(zhí)行一段用戶編寫的程序，自動(dòng)切斷危險(xiǎn)的連接。它們處于體系中的一個(gè)或多個(gè)層次，適用于各級(jí) Inter /Intra 信息系統(tǒng)、金融證券和其它網(wǎng)絡(luò)，它們能成為您網(wǎng)絡(luò)的安全守護(hù)神，忠實(shí)地維護(hù)您的形象和保護(hù)您的利益。 中科網(wǎng)威黑客入侵防范體系 11 12 在發(fā)現(xiàn)入侵行為后，為及時(shí)切斷入侵、抵抗攻擊者的進(jìn)一步破壞活動(dòng)，做出及時(shí)準(zhǔn)確的響應(yīng)是必須的。在防護(hù)中通過使用漏洞掃描工具及時(shí)發(fā)現(xiàn)問題并進(jìn)行修補(bǔ)，使用防護(hù)工具，通過抗毀技術(shù)、系統(tǒng)安全優(yōu)化配置技術(shù)的實(shí)施，防火墻、 VPN、加密認(rèn)證等技術(shù)和措施的使用，來(lái)提高網(wǎng)絡(luò)抵抗黑客入侵的能力。她對(duì)現(xiàn)有或?qū)⒁獦?gòu)建的整個(gè)網(wǎng)絡(luò)的安全防護(hù)性能作出科學(xué)、準(zhǔn)確的分析評(píng)估，并保障將要實(shí)施的安全策略技術(shù)上的可實(shí)現(xiàn)性、經(jīng)濟(jì)上的可行性和組織上的可執(zhí)行性。許多單位不敢涉足網(wǎng)絡(luò)領(lǐng)域、許多行業(yè)不能充分利用網(wǎng)絡(luò)的性能優(yōu)勢(shì)、許多個(gè)人對(duì)網(wǎng)絡(luò)安全沒信心，這些都成為網(wǎng)絡(luò)發(fā)展的制約因素，所以，重視和加快網(wǎng)絡(luò)安全問題的研究和產(chǎn)品開發(fā)具有重要意義。例如 網(wǎng)絡(luò)安全問題愈來(lái)愈突出， 關(guān)于通過網(wǎng)絡(luò)攻擊信息系統(tǒng)，造成經(jīng)濟(jì)損失的事件已有多起，并時(shí)常見諸報(bào)端。 第二章 常用入侵手段與防范對(duì)策 黑客入侵過程概述 隨著通訊和計(jì)算機(jī)技術(shù)的迅猛發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)向世界各個(gè)角落迅速延伸。第二種是生物 特征識(shí)