【正文】 AbstractDue to the rapid development of puter technology, the puter network is applied more and more extensively. However, the ensuing viral distress and hacking is ceaseless upgrade, network security has bee a very important and must be considered one of the problems. Through the puter network security problems indepth analysis, and put forward the corresponding security measures. In recent years, with the rapid development of puter network technology, especially Internet applications bee more and more widely, in brought hitherto unknown mass of information at the same time, puter network security has bee increasingly important, due to puter network connection form multiplicity, terminal distribution inhomogeneity, network openness and network the sharing of resources and other factors, resulting in the puter network vulnerable to virus, hackers, malicious software and other misconduct of the attack. In order to ensure the information safety and network unimpeded, study the puter network security and protective measures already approach is in eyebrow nimble. Combining with the practical experience, the puter network security and protective measures are discussed.Keywords puter network,Security, Factors, intrusion detection VI摘要 IAbstract II第1章 網(wǎng)絡(luò)安全概述 1 1 1 2 2第2章 安全威脅與防護措施 4 4 安全威脅的來源 4 4 5 5 6 6”網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全。因此，網(wǎng)絡(luò)安全在不同的環(huán)境和應(yīng)用中會得到不同的解釋，下面列出幾種安全種類：1. 運行系統(tǒng)安全即保證信息處理和傳輸系統(tǒng)的安全。顯而易見，網(wǎng)絡(luò)安全與其所保護的信息對象有關(guān)。即當需要時應(yīng)能存取所需的信息。計算機犯罪大都具有瞬時性、廣域性、專業(yè)性、時空分離性等特點。美國、德國、英國、法國和韓國等國的黑客曾利用Internet網(wǎng)分別進入五角大樓、航天局、北約總部和歐洲核研究中心的計算機數(shù)據(jù)庫。尤其是對銀行系統(tǒng)、商業(yè)系統(tǒng)、管理部門、政府或軍事領(lǐng)域而言，信息在公共通信網(wǎng)絡(luò)中的存儲與傳輸過程中的數(shù)據(jù)安全問題更是備受關(guān)注。安全威脅有事時可以分為故意的（如黑客浸透）和偶然的（如信息被發(fā)往錯誤的地方）兩類。下面分三個階段對威脅進行分析：首先對基本的威脅加以區(qū)分；其次，對主要的可實現(xiàn)的威脅進行分類；最后，對潛在的威脅進行分類。某個資源被某個非法授權(quán)的人，或以某種非授權(quán)的方式使用。為了獲得非授權(quán)的權(quán)利和特權(quán)，某個攻擊者會發(fā)掘系統(tǒng)的缺陷和安全性上的脆弱之處。此后，植入特洛伊木馬的那個攻擊者就是可以閱讀到該用戶的文件。 媒體廢棄物所導(dǎo)致的信息泄露。如果對互聯(lián)網(wǎng)而言，除了需要網(wǎng)關(guān)的防病毒軟件，還必須對上網(wǎng)計算機的安全進行強化；如果在防范內(nèi)部局域網(wǎng)病毒時需要一個具有服務(wù)器操作系統(tǒng)平臺的防病毒軟件，這是遠遠不夠的，還需要針對各種桌面操作系統(tǒng)的防病毒軟件；如果在網(wǎng)絡(luò)內(nèi)部使用電子郵件進行信息交換時，為了識別出隱藏在電子郵件和附件中的病毒，還需要增加一套基于郵件服務(wù)器平臺的郵件防病毒軟件。用戶向系統(tǒng)出示自己的身份證明的過程就是所謂的身份識別。(UsBKEY)的認證技術(shù)、基于生物特征識別的認證技術(shù)。對已知的攻擊，誤用入侵檢測技術(shù)檢測準確度較高，但是對已知攻擊的變體或者是一些新型的攻擊的檢測準確度則不高。u 入侵檢測的功能主要體現(xiàn)在一下幾個方面：u 監(jiān)視并分析用戶和系統(tǒng)的活動。策略審計記錄或網(wǎng)絡(luò)數(shù)據(jù)包 事件數(shù)據(jù)庫分析引擎 事件產(chǎn)生器響應(yīng)單元圖 31 入侵檢測通用模型 事件產(chǎn)生器為入侵檢測系統(tǒng)提供必要的輸入，這些輸入構(gòu)成了檢測的基礎(chǔ)。分析引擎中使用檢測入侵技術(shù)對所收集到的信息進行分析，以判斷與該信息相對應(yīng)的事件是否違反看系統(tǒng)的安全策略或存在入侵的先兆。第二種，根據(jù)已知的正常行為只是，推斷當前行為是否是正常行為。由于假定所有入侵行為都是與正常行為不同的，因此，如果建立系統(tǒng)正常行為的軌跡，則理論上可以把所有與正常軌跡不同的系統(tǒng)狀態(tài)視為可疑企圖。一般來說，異常檢測的重點在于如何建立系統(tǒng)正常行為的軌跡。統(tǒng)計分析異常檢測方法的不足主要體現(xiàn)在一下3個方面：（1）異常閾門值,難以確定,閾值設(shè)置得偏高會導(dǎo)致誤報率升高,偏低會導(dǎo)致漏報率升高。神經(jīng)網(wǎng)絡(luò)異常檢測是神經(jīng)網(wǎng)絡(luò)技術(shù)用于對系統(tǒng)和用戶行為的學(xué)習(xí)，以檢測未知的攻擊。第4章 基于Snort的方案設(shè)計 Snort 體系結(jié)構(gòu)Snort 是一款免費的NIDS，具有小巧靈便、易于配置、檢測效率高等特性，常被稱為較量級的IDS。（4）報警/日志模塊經(jīng)檢測引擎檢查后的Snort 數(shù)據(jù)需要以某種方式輸出。對于每條規(guī)則來說，規(guī)則選項不是必須的，只是為了更加詳細地定義應(yīng)該收集或者報警的數(shù)據(jù)包。 規(guī)則選項組成了Snort入侵檢測引擎的核心，所有的Snort規(guī)則選項用分號“；”隔開，規(guī)則選項關(guān)鍵字和它們的參數(shù)用冒號“：”分開。輸入snortvi2命令啟用Snort。（4）修改設(shè)置檢測包含的規(guī)則。上面的命令只是在屏幕上輸出，如果要記錄在LOG文件上，需要預(yù)先建立一個Log目錄。Conf中規(guī)則集文件。Snort警報中記錄了剛才發(fā)送的ICMP長數(shù)據(jù)包，其中每條記錄包括警報的類型和數(shù)據(jù)包的包頭。)(5)執(zhí)行端口掃描的檢測。Alarm文件中記錄的是單個數(shù)據(jù)包和規(guī)則匹配的結(jié)果。rev:7。為此建立有中國特色的網(wǎng)絡(luò)安全體系，需要國家政策和法規(guī)的支持及集團聯(lián)合研究開發(fā)。 alert tcp $ EXTERNAL_NET any $ HOME_NET any (msg:SCAN XMAS。Conf文件中相應(yīng)端口配置部分的內(nèi)容修改為如圖47所示的值。 圖45 Snort 記錄的ICMP報警(4)在Snort的安裝目錄下打開Rules文件夾，可以發(fā)現(xiàn)和該攻擊對應(yīng)的規(guī)則如圖46所示，完整的內(nèi)容如下： 圖46 ICMP數(shù)據(jù)包對應(yīng)的檢測規(guī)則 alert icmp $ EXTERNA_NET any $ HOME_NET any (msg:ICMP Large ICMP Packet。下面將通過對運行了Snort的目標主機進行有意攻擊，來觀察Snort檢測入侵的能力。在命令行窗口運行了該指令后，將打開保存日志的目錄。(5) ， ：Include D:\Snort\etc\Include D:\Snort\etc\其中。為了進一步查看Snort的運行狀況，可以認為制造一些ICMP網(wǎng)絡(luò)流量。u Msg 在報警和包日志中打印一條消息u dsize檢查包的數(shù)據(jù)部分大小u content在包的數(shù)據(jù)部分中搜索指定的樣式u nocase指定對Content字符串大小寫不敏感u Content—list在數(shù)據(jù)包中搜索多種可能匹配u Flags檢查TCP Flags 的值u ack檢查TCP應(yīng)答的值u session記錄指定回話的應(yīng)用層信息的內(nèi)容u sidSnort的規(guī)則標石