【文章內(nèi)容簡(jiǎn)介】 統(tǒng) 解 決 方 案 模 版 杭州華三通信技術(shù)有限公司 第 9 頁(yè) 網(wǎng)站，以致計(jì)算機(jī)屏幕不停彈跳出各式廣告。而且軟件設(shè)置簡(jiǎn)單，只要填寫(xiě)自己的郵件地址和設(shè)置一下運(yùn)行即可。 另一類被稱為“監(jiān)視型間諜軟件”，它具有記錄鍵盤(pán)操作的鍵盤(pán)記錄器功能和屏幕捕獲功能，可以用來(lái)在后臺(tái)記錄下所有用戶的系統(tǒng)活動(dòng)，比如網(wǎng)站訪問(wèn)、程序運(yùn)行、網(wǎng)絡(luò)聊天記錄、鍵盤(pán)輸入包括用戶名和密碼、桌面截屏快照等。主要被企業(yè)、私人偵探、司法機(jī)構(gòu)、間 諜機(jī)構(gòu)等使用。間諜軟件的惡行不僅讓機(jī)密信息曝光，對(duì)產(chǎn)能亦造成負(fù)面沖擊，同時(shí)也拖累系統(tǒng)資源，諸如瓜分其它應(yīng)用軟件的頻寬與內(nèi)存，導(dǎo)致系統(tǒng)沒(méi)來(lái)由減速。 間諜軟件在未來(lái)將會(huì)變得更具威脅性，不僅可以竊取口令、信用卡號(hào)，而且還可以偷走各種類型的身份信息，用于一些更加險(xiǎn)惡的目的，如捕捉和傳送 Word 和 Excel 文檔，竊取企業(yè)秘密等。如果間諜軟件打開(kāi)通向用戶桌面系統(tǒng)的通道，那么用戶面臨的危險(xiǎn)將是不可想象的。 協(xié)議異常和違規(guī) ： 在一切正常的情況下，兩個(gè)系統(tǒng)間該如何進(jìn)行某種數(shù)據(jù)交換，協(xié)議都對(duì)其進(jìn)行了定義。由于某些服務(wù)器不能有 效處理異常流量，許多攻擊會(huì)通過(guò)違反應(yīng)用層協(xié)議，使黑客得以進(jìn)行拒絕服務(wù)（ DoS）攻擊，或者獲得對(duì)服務(wù)器的根本訪問(wèn)權(quán)限。通過(guò)執(zhí)行協(xié)議 RFC 或標(biāo)準(zhǔn)，我們可以阻止這種攻擊。除處理違反協(xié)議的情況外，這種機(jī)制還可截獲命令中的非法參數(shù)，阻止許多緩沖溢出攻擊的發(fā)生。比如根據(jù) RFC 2821，在一個(gè)正常的 SMTP 連接過(guò)程中，只有在客戶端至少發(fā)送過(guò)一個(gè)“RCPT TO”請(qǐng)求命令之后，客戶端發(fā)送 “DATA”請(qǐng)求命令才是合法的。 偵測(cè)和掃描 ： 刺探是利用各種手段嘗式取得目標(biāo)系統(tǒng)的敏感信息的行為，這些敏感信息包括系統(tǒng)安全狀況、系統(tǒng)狀 態(tài)、服務(wù)信息、數(shù)據(jù)資料等；采用工具對(duì)系統(tǒng)進(jìn)行規(guī)?；?、自動(dòng)化的刺探工作稱為掃描。其工具稱為掃描器。 掃描器最初是提供給管理員的一些極具威力的網(wǎng)絡(luò)工具，利用它，網(wǎng)管員可以獲得當(dāng)前系統(tǒng)信息和安全狀況。正是因?yàn)閽呙杵髂苡行У墨@取系統(tǒng)信息，因此也成為黑客最喜歡的工具。黑客利用掃描器的自動(dòng)化和規(guī)?；奶匦?，只要簡(jiǎn)單的幾步操作，即可搜集到目標(biāo)信息。 網(wǎng)絡(luò) 和濫用 在較短的時(shí)間內(nèi)，互聯(lián)網(wǎng)“殺手級(jí)”應(yīng)用已經(jīng)從電子郵件、網(wǎng)絡(luò)瀏覽演變?yōu)?點(diǎn)對(duì)點(diǎn) （ PeertoPeer，P2P）應(yīng)用。在音樂(lè)和電影數(shù)字化技術(shù)不斷成熟的條件下 ，用戶可以從互聯(lián)網(wǎng)上輕松并免費(fèi)獲得主 動(dòng) 式 入 侵 防 御 系 統(tǒng) 解 決 方 案 模 版 杭州華三通信技術(shù)有限公司 第 10 頁(yè) 這些數(shù)據(jù)文件，這使得 P2P 應(yīng)用程序成為互聯(lián)網(wǎng)上下載最多的軟件之一。他們共享著成千上萬(wàn)Petabytes 的數(shù)據(jù)（ 1PetaBytes=100 萬(wàn) GB）。如此大量的數(shù)據(jù)傳輸，已足以使網(wǎng)絡(luò)阻塞并耗盡所有的可用帶寬。近來(lái)有研究表明， P2P 流量大約占用服務(wù) 提供商 多達(dá) 60%的網(wǎng)絡(luò)帶寬。 P2P 應(yīng)用使得企業(yè)網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)的流量負(fù)擔(dān)沉重。這些應(yīng)用消耗了大量的網(wǎng)絡(luò)資源，同時(shí)妨礙關(guān)鍵業(yè)務(wù)的訪問(wèn)。另外，黑客會(huì)設(shè)法利用 P2P 應(yīng)用漏洞來(lái)攻擊巨大的 P2P 應(yīng)用用戶群，對(duì)系統(tǒng)及網(wǎng)絡(luò)帶來(lái)嚴(yán)重的安全隱患。同時(shí) ，由于用戶下載受版權(quán)保護(hù)的資源， P2P 應(yīng)用也帶來(lái)了嚴(yán)峻的法律問(wèn)題，使接入業(yè)務(wù)提供商背上了沉重的法律包袱。因此，對(duì)高速網(wǎng)絡(luò)的管理人員而言，這些應(yīng)用不啻于為他們帶來(lái)了傳輸、安全以及法律方面的噩夢(mèng)。為避免網(wǎng)絡(luò)帶寬消耗過(guò)大及惡意攻擊，可以采用 入侵防御系統(tǒng) 來(lái)控制 P2P 應(yīng)用 和網(wǎng)絡(luò)流量。 安全管理 ： 用戶網(wǎng)絡(luò)為業(yè)務(wù)發(fā)展提供了良好的 IT 保障作用，但隨著網(wǎng)絡(luò)的擴(kuò)展，應(yīng)用的增加，正面臨前所未有的挑戰(zhàn)，特別是在網(wǎng)絡(luò)安全方面。如何保證整個(gè)網(wǎng)絡(luò)乃至應(yīng)用系統(tǒng)安全、穩(wěn)定和高效的運(yùn)行，已成為網(wǎng)絡(luò)部門(mén)的首要任務(wù)。 雖然，網(wǎng)絡(luò)中已部署了 防火墻，但是，在網(wǎng)絡(luò)的運(yùn)行維護(hù)中， IT 部門(mén)仍然會(huì)發(fā)現(xiàn)網(wǎng)絡(luò)的帶寬利用率居高不下，而實(shí)際上，主要業(yè)務(wù)的占用帶寬不會(huì)達(dá)到這樣的數(shù)量。當(dāng)初租用帶寬時(shí)，已考慮到了未來(lái)的發(fā)展并預(yù)留一定余量，可見(jiàn)有未知的流量侵吞了帶寬，所以網(wǎng)絡(luò)中很可能存在大量的蠕蟲(chóng)病毒產(chǎn)生非法流量、也不排除有 BT 等應(yīng)用的可能，這是目前各寬帶網(wǎng)絡(luò)都可能存在的問(wèn)題。并不是當(dāng)初網(wǎng)絡(luò)設(shè)計(jì)不周，而是自 2021 年以來(lái)，蠕蟲(chóng)、點(diǎn)到點(diǎn)，入侵技術(shù)日益滋長(zhǎng)的結(jié)果，而這些有害代碼總是偽裝成正常業(yè)務(wù)進(jìn)行傳播，目前用戶可選的主要防火墻的軟硬件設(shè)計(jì)，僅按照其工作在 L2L4設(shè)計(jì)， 不具有對(duì)數(shù)據(jù)流進(jìn)行綜合、深度監(jiān)測(cè)的能力，所以無(wú)法有效識(shí)別偽裝成正常業(yè)務(wù)的非法流量。這就是為何用戶在部署了防火墻后，仍然遭受入侵以及蠕蟲(chóng)、病毒、拒絕服務(wù)攻擊的困擾，而且職工的 PC都需要訪問(wèn) Inter，同時(shí)又必須訪問(wèn)業(yè)務(wù)系統(tǒng)，所以存在被病毒感染和黑客控制的可能，對(duì)生產(chǎn)系統(tǒng)的威脅很大。 主 動(dòng) 式 入 侵 防 御 系 統(tǒng) 解 決 方 案 模 版 杭州華三通信技術(shù)有限公司 第 11 頁(yè) 三、 主動(dòng)式防御系統(tǒng)的發(fā)明及價(jià)值 僅有防火墻是不夠的 ： 從 1990 開(kāi)始，隨著 Inter 的快速發(fā)展，網(wǎng)絡(luò)安全的問(wèn)題也逐步為人們所重視，從最初采用簡(jiǎn)單的訪問(wèn)控制列表，到部署防火墻來(lái)保護(hù)周界安全。從 1993 年防火墻被廣泛地部署在各 種網(wǎng)絡(luò)中。 雖然，網(wǎng)絡(luò)中已部署了防火墻，但是，在網(wǎng)絡(luò)的運(yùn)行維護(hù)中， IT 部門(mén)仍然發(fā)現(xiàn)網(wǎng)絡(luò)的帶寬利用率居高不下、而應(yīng)用系統(tǒng)的響應(yīng)速度越來(lái)越慢，只好提升帶寬并升級(jí)服務(wù)器嘍，可過(guò)不了多久問(wèn)題再次出現(xiàn)。而實(shí)際上，業(yè)務(wù)增長(zhǎng)速度并沒(méi)有這樣快，業(yè)務(wù)流量占用帶寬不會(huì)達(dá)到這樣的數(shù)量，這是目前各大公司網(wǎng)絡(luò)都可能存在的問(wèn)題。并不是當(dāng)初網(wǎng)絡(luò)設(shè)計(jì)不周，而是自 2021年以來(lái)，蠕蟲(chóng)、點(diǎn)到點(diǎn)，入侵技術(shù)日益滋長(zhǎng)并演變到應(yīng)用層面（ L7）的結(jié)果，而這些有害代碼總是偽裝成客戶正常業(yè)務(wù)進(jìn)行傳播，目前部署的防火墻其軟硬件設(shè)計(jì)當(dāng)初僅按照其工作在 L2L4 時(shí)的情況考慮，不具有對(duì)數(shù)據(jù)流進(jìn)行綜合、深度監(jiān)測(cè)的能力，自然就無(wú)法有效識(shí)別偽裝成正常業(yè)務(wù)的非法流量，結(jié)果蠕蟲(chóng)、攻擊、間諜軟件、點(diǎn)到點(diǎn)應(yīng)用等非法流量輕而易舉地通過(guò)防火墻開(kāi)放的端口進(jìn)出網(wǎng)絡(luò)，如下圖所示： 這就是為何用戶在部署了防火墻后，仍然遭受入侵以及蠕蟲(chóng)、病毒、