【文章內(nèi)容簡介】 onse(響應(yīng))入侵檢測技術(shù)主要分為兩大類型：異常入侵檢測和誤用入侵檢測。入侵檢測系統(tǒng)的體系結(jié)構(gòu)大致可以分為基于主機型（HostBased）、基于網(wǎng)絡(luò)型（NetworkBased）和基于主體型（AgentBased）三種?；谥鳈C入侵檢測系統(tǒng)的檢測原理是根據(jù)主機的審計數(shù)據(jù)和系統(tǒng)的日志發(fā)現(xiàn)可疑事件，檢測系統(tǒng)可以運行在被檢測的主機或單獨的主機上。基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)是根據(jù)網(wǎng)絡(luò)流量、協(xié)議分析、簡單網(wǎng)絡(luò)管理協(xié)議信息等數(shù)據(jù)檢測入侵，如Netstat檢測就是基于網(wǎng)絡(luò)型的?；谥黧w的入侵檢測系統(tǒng)主要的方法是采用相互獨立運行的進程組（稱為自治主體）分別負(fù)責(zé)檢測，通過訓(xùn)練這些主體，并觀察系統(tǒng)行為，然后將這些主體認(rèn)為是異常的行為標(biāo)記出來，并將檢測結(jié)果傳送到檢測中心。異常檢測的方法有統(tǒng)計方法、預(yù)測模式生成、專家系統(tǒng)、神經(jīng)網(wǎng)絡(luò)、用戶意圖識別、數(shù)據(jù)挖掘和計算機免疫學(xué)方法等。誤用檢測一般是由計算機安全專家首先對攻擊情況和系統(tǒng)漏洞進行分析和分類，然后手工的編寫相應(yīng)的檢測規(guī)則和特征模型。1Snort的配置有3個主要模式：嗅探（Sniffer）、包記錄（PacketLogger）和網(wǎng)絡(luò)入侵檢測（Network Instrusion Detection）.嗅探模式主要是讀取網(wǎng)絡(luò)上的數(shù)據(jù)包并在控制臺上用數(shù)據(jù)流不斷地顯示出來；包記錄模式把數(shù)據(jù)包記錄在磁帶上；網(wǎng)絡(luò)入侵檢測模式是最復(fù)雜最難配置的，它可以分析網(wǎng)流量與用戶定義的規(guī)則設(shè)置進行匹配然后根據(jù)結(jié)果指行相應(yīng)的操作。 虛擬專用網(wǎng)絡(luò)ＶＰＮVPN架構(gòu)中采用了多種安全機制，如隧道技術(shù)（Tunneling）、加解密技術(shù)（Encryption）、密鑰管理技術(shù)、身份認(rèn)證技術(shù)（Authentication）等。VPN可以通過ISAKMP/IKE/Oakley協(xié)商確定可選的數(shù)據(jù)加密算法，其中包括DES（數(shù)據(jù)加密標(biāo)準(zhǔn)），3DES（三重數(shù)據(jù)加密標(biāo)準(zhǔn)）和AES（高級加密標(biāo)準(zhǔn)）等。DES該密碼用56位的密鑰對64位的數(shù)據(jù)塊進行加密。當(dāng)被加密的數(shù)據(jù)大于64位時，需要把加密的數(shù)據(jù)分割成多個64位的數(shù)據(jù)塊；當(dāng)被加密數(shù)據(jù)不足64位時，需要把它填充到64位。為了增強安全性，一般使用3DES。三種最常見也是最為廣泛實現(xiàn)的隧道技術(shù)是：點對點隧道協(xié)議（PPTP，PointtoPointTunnelingProtocol），第2層隧道協(xié)議（L2TP,Layer2TunnelingProtocol）,IP安全協(xié)議（IPSec）。除了這三種技術(shù)以外還有通用路由封裝（GRE，GenericRouteEncapsulation）、L2F以及SOCK協(xié)議等。IPSec是一個標(biāo)準(zhǔn)的第三層安全協(xié)議，是一個協(xié)議包。它工作在七層OSI協(xié)議中的網(wǎng)絡(luò)層，用于保護IP數(shù)據(jù)包，由于工作在網(wǎng)絡(luò)層，因此可以用于兩臺主機之間、網(wǎng)絡(luò)安全網(wǎng)關(guān)之間或主機與網(wǎng)關(guān)之間愛你。其目標(biāo)是為IPv4和IPv6提供具有較強的互操作能力、高質(zhì)量和基于密碼的安全。IPSec的工作主要有數(shù)據(jù)驗證（Authentication）,數(shù)據(jù)完整（Integrity）和信任（Confidenticality）.目前IPSec協(xié)議可以采用兩種方法來對數(shù)據(jù)提供加密和認(rèn)證：ESP（EncapsulatingSecurityPayload）協(xié)議和AH（AuthenticationHeader）協(xié)議。三種協(xié)議的比較，如下圖所示： 安全掃描和風(fēng)險評估TCPSYN掃描。這種方法也叫“半打開掃描（HalfopenScanning）”。這種掃描方法并沒有建立完整的TCP連接?？蛻舳耸紫认蚍?wù)器發(fā)送SYN分組發(fā)起連接，如果收到一個來自服務(wù)器的SYN/ACK應(yīng)答，那么可以推斷該端口處于監(jiān)聽狀態(tài)。如果收到一個RST/ACK分組則認(rèn)為該端口不在監(jiān)聽。而客戶端不管收到的是什么樣的分組，都向服務(wù)器發(fā)送一個RST/ACK分組，這樣并沒有建立一個完整的TCP連接，但客戶端能夠知道服務(wù)器某個端口是否開放。該掃描不會在目標(biāo)系統(tǒng)上產(chǎn)生日志。TCPACK掃描，它可以用來判斷防火墻過濾規(guī)則的涉及，測試安全策略的有效性。UDP掃描，此方法往目標(biāo)端口發(fā)送一個UDP分組。如果目標(biāo)系統(tǒng)返回一個“ICMP端口不可達(dá)”來響應(yīng)，那么此端口是關(guān)閉的。若沒有返回該響應(yīng)，則認(rèn)為此端口是打開的。UDP是無連接不可靠的，其準(zhǔn)確性將受到外界的干擾。我國提出了自己的動態(tài)安全模型WPDRRC模型。即W預(yù)警（Warning）；C(Counterattack)就是反擊。PDRR即為PDRR模型中出現(xiàn)的保護、檢測、反應(yīng)、恢復(fù)四個環(huán)節(jié)。風(fēng)險評估工具的比較：SSL協(xié)議以對稱密碼技術(shù)和公開密碼技術(shù)相結(jié)合，提供了如下三種基本安全服務(wù)。秘密性：SSL協(xié)議能夠在客戶端和服務(wù)端之間建立起一個安全通道，所有消息都經(jīng)過加密處理以后進行傳輸，網(wǎng)絡(luò)的非法黑客無法竊取。完整性：SSL利用密碼算法和HASH函數(shù)，通過對傳輸信息特征值的提取來保證信息的完整性，確保要傳輸?shù)男畔⑷康竭_(dá)目的地，可以避免服務(wù)器和客戶端之間的信息受到破壞。認(rèn)證性：利用證書技術(shù)和可信的第三方認(rèn)證，可以讓客戶端和服務(wù)器相互識別對方的身份。PGP（PrettyGoodPrivacy）是美國PhilZimmermann研究出來的一個基于RSA公鑰加密體系的郵件加密軟件。PGP可以在電子郵件和文件儲存應(yīng)用中提供保密和認(rèn)證服務(wù)。PGP的基本原理是：先用對稱密鑰系統(tǒng)加密傳輸?shù)男畔?，再將該對稱加密密鑰以接收方公開密鑰系統(tǒng)的公鑰加密，組成電子信封，并將此密鑰交給公正的第三者保管，然后將此電子信封傳給接收方。接收方必須先以自己的私鑰將電子信封拆封，以獲得對稱密鑰解密密鑰，再以該對稱密鑰解密密鑰解出真正的信息，兼顧方便與效率。SSH協(xié)議有三部分組成：傳輸層協(xié)議、用戶認(rèn)證協(xié)議、連接協(xié)議。傳輸層協(xié)議（SSHTRANS）負(fù)責(zé)進行服務(wù)器認(rèn)證、數(shù)據(jù)機密性、信息完整性等方面的保護，并提供作為可選項的數(shù)據(jù)壓縮功能，以便提高傳輸速度。用戶認(rèn)證協(xié)議（SSHUSERAUTH）是簡歷在傳輸層協(xié)議智商的。連接協(xié)議（SSHCONNECT）是運行在SSH傳輸層協(xié)議和用戶認(rèn)證協(xié)議之上，提供交互式登錄會話（即Shell會話），遠(yuǎn)程命令的執(zhí)行，轉(zhuǎn)交TCP/IP連接以及轉(zhuǎn)交X11連接。 網(wǎng)絡(luò)蜜罐技術(shù)蜜罐有四種不同的配置：誘騙服務(wù)、弱化系統(tǒng)、強化系統(tǒng)、用戶模式服務(wù)器 匿名網(wǎng)絡(luò)（Tor）1．Tor是一個能夠抵御流量分析的軟件項目。Tor將通信信息通過一個由遍及全球的志愿者運行的中繼（relay）所組成的分布式網(wǎng)絡(luò)轉(zhuǎn)發(fā)，以此來保護信息的安全。Tor在傳輸數(shù)據(jù)時封包不但經(jīng)過加密，傳輸過程中會經(jīng)過哪些路由也是隨機的，因此不但很難追蹤，也不易得知通信的內(nèi)容。 網(wǎng)絡(luò)備份在網(wǎng)絡(luò)備份中比較常見的存儲架構(gòu)有NAS和SAN。NAS（Network Attached Storage）通常譯為“網(wǎng)絡(luò)附加存儲”或“網(wǎng)絡(luò)連接存儲”。意思是連接在網(wǎng)絡(luò)上的存儲設(shè)備。NAS是適應(yīng)信息存儲和共享的應(yīng)用需求而產(chǎn)生的網(wǎng)絡(luò)存儲技術(shù)，因其具備簡便高效的特點而得到廣泛的應(yīng)用。NAS是利用現(xiàn)有的網(wǎng)絡(luò)環(huán)境，將網(wǎng)絡(luò)中某一臺計算機作為中心的備份方案。通過部署專業(yè)的備份軟件對網(wǎng)絡(luò)中心的計算機進行集中備份。SAN（Storage Area Network）通常譯為“存儲區(qū)域網(wǎng)絡(luò)”。它是一種在服務(wù)器和外部存儲資源或獨立的存儲資源之間實現(xiàn)高速可靠訪問的專用網(wǎng)絡(luò)。局域網(wǎng)安全防范策略有：（1）物理安全策略；（2）劃分VLAN防止網(wǎng)絡(luò)偵聽；（3）網(wǎng)絡(luò)分段；（4）以交換機代替共享式集線器；（5）訪問控制策略；（6）使用數(shù)字簽名；（7）用戶管理策略；（8）使用代理服務(wù)器；（9）防火墻控制；（10）入侵檢測系統(tǒng)；（11）定期進行漏洞安全掃描；（12）建立完善的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)機制；（13）使用VPN；無限公開密鑰體系WPKI，并不是一個全新的PKI標(biāo)準(zhǔn)，它是傳統(tǒng)的PKI技術(shù)應(yīng)用于無限環(huán)境的優(yōu)化擴展。它同樣采用證書管理公鑰，通過第三方的可信任機構(gòu)