【導(dǎo)讀】師的指導(dǎo)下進行的研究工作及取得的成果。盡我所知，除文中特別加。而使用過的材料。均已在文中作了明確的說明并表示了謝意。不包含任何其他個人或集體已經(jīng)發(fā)表或撰寫的成果作品。究做出重要貢獻的個人和集體，均已在文中以明確方式標(biāo)明。全意識到本聲明的法律后果由本人承擔(dān)。同意學(xué)校保留并向國家有關(guān)部門或機構(gòu)送交論文的復(fù)印件和電子版，允許論文被查閱和借閱。本人授權(quán)大學(xué)可以將本學(xué)位。涉密論文按學(xué)校規(guī)定處理。檢測遇到的一些新問題，提出了一個入侵檢測系統(tǒng)的設(shè)計方案。技術(shù)和備份監(jiān)控代理方式提供對IDS自身的有效安全防護等。最后，本文討論了入侵檢測目前所面臨的問題和未。益增加，而另一方面網(wǎng)絡(luò)入侵和攻擊事件發(fā)生的次數(shù)也急劇增長。絡(luò)安全問題的可容忍程度逐步降低。信息網(wǎng)絡(luò)安全事件，占被調(diào)查總數(shù)的58%。從發(fā)生安全事件的類型分析，遭受計算機病毒、蠕蟲和木馬程序破。其中，由于未修補或防范軟件漏洞導(dǎo)致發(fā)生安全事件的占安

　　

【正文】 是集中在應(yīng)用層，并且這一數(shù)字呈上升趨勢。應(yīng)用層的攻擊有可能會造成非常嚴(yán)重的后果，比如用戶帳號丟失和公司機密泄漏等。因此，對 具體應(yīng)用的有效保護就顯得越發(fā)重要。從檢測方法上看， IPS 與 IDS 都是基于模式匹配、協(xié)議分析以及異常流量統(tǒng)計等技術(shù)。這些檢測技術(shù)的特點是主要針對已知的攻擊類型，進行基于攻擊特征串的匹配。但對于應(yīng)用層的攻擊，通常是利用特定的應(yīng)用程序的漏洞，無論是 IDS 還是 IPS 都無法通過現(xiàn)有的檢測技術(shù)進行防范。 為了解決日益突出的應(yīng)用層防護問題，繼入侵防御系統(tǒng) IPS 之后，應(yīng)用入侵防護系統(tǒng) (AIP， Application Intrusion Prevention)逐漸成為一個新的熱點，并且正得到日益廣泛的應(yīng)用。 入侵防御協(xié)議設(shè)計 對應(yīng)用層的防范通常比內(nèi)網(wǎng)防范難度要更大，因為這些應(yīng)用要允許外部的訪問。防火墻的訪問控制策略中必須開放應(yīng)用服務(wù)對應(yīng)的端口，如 web 的 80 端口。這樣，黑客通過這些端口發(fā)起攻擊時防火墻無法進行識別控制。入侵檢測和入侵防御系統(tǒng)并不是針對應(yīng)用協(xié)議進行設(shè)計，所以同樣無法檢測對相應(yīng)協(xié)議漏洞的攻擊。而應(yīng)用入侵防護系統(tǒng)則能夠彌補防火墻和入侵檢測系統(tǒng)的不足，對特定應(yīng)用進行有效保護。 所謂應(yīng)用入侵防護系統(tǒng) AIP，是用來保護特定應(yīng)用服務(wù) (如 web 和數(shù)據(jù)庫等應(yīng)用 )的網(wǎng)絡(luò)設(shè)備，通常部署在 應(yīng)用服務(wù)器之前，通過 AIP 系統(tǒng)安全策略的控制來防止基于應(yīng)用協(xié)議漏洞和設(shè)計缺陷的惡意攻擊。 在對應(yīng)用層的攻擊中，大部分時通過 HTTP 協(xié)議 (80 端口 )進行。在國外權(quán)威機構(gòu)的一次網(wǎng)絡(luò)安全評估過程中發(fā)現(xiàn)， 97%的 web 站點存在一定應(yīng)用協(xié)議問題。雖然這些站點通過部署防火墻在網(wǎng)絡(luò)層以下進行了很好的防范，但其應(yīng)用層的漏洞仍可被利用進而受到入侵和攻擊。因此對于 web 等應(yīng)用協(xié)議，應(yīng)用入侵防護系統(tǒng) AIP 應(yīng)用比較廣泛。通過制訂合理的安全策略， AIP 能夠?qū)σ韵骂愋偷膚eb 攻擊進行有效防范： 惡意腳本 Cookie 投毒 隱藏域修改 緩存溢出 參 18 數(shù)篡改 強制瀏 覽 Sql 插入已知漏洞攻擊應(yīng)用入侵防護技術(shù)近兩年剛剛出現(xiàn)，但發(fā)展迅速。 Yankee Group 預(yù)測在未來的五年里， AIP 將和防火墻，入侵檢測和反病毒等安全技術(shù)一起，成為網(wǎng)絡(luò)安全整體解決方案的一個重要組成部分。 千兆解決方案 應(yīng)用入侵防護產(chǎn)品在保護企業(yè)業(yè)務(wù)流程和相關(guān)數(shù)據(jù)方面發(fā)揮著日益重要的作用，同時隨著網(wǎng)絡(luò)帶寬的不斷增加，只有在適合千兆環(huán)境應(yīng)用的高性能產(chǎn)品才能夠滿足大型網(wǎng)絡(luò)的需要。 傳統(tǒng)的軟件形式的應(yīng)用入侵防護產(chǎn)品受性能的限制，只能應(yīng)用在 中小型網(wǎng)絡(luò)中；基于 x86 架構(gòu)的硬件產(chǎn)品無法達到千兆流量的要求；近年來，網(wǎng)絡(luò)處理器 (NP)在千兆環(huán)境中得到了日益廣泛的應(yīng)用，但 NP 的優(yōu)勢主要在于網(wǎng)絡(luò)層以下的包處理上，若進行內(nèi)容處理則會導(dǎo)致性能的下降。通過高性能內(nèi)容處理芯片和網(wǎng)絡(luò)處理芯片相結(jié)合形式，為千兆應(yīng)用入侵防護產(chǎn)品提供了由于的解決方案。其設(shè)計特點是采用不同的處理器實現(xiàn)各自獨立的功能，由網(wǎng)絡(luò)處理芯片實現(xiàn)網(wǎng)絡(luò)層和傳輸層以下的協(xié)議棧處理，通過高速內(nèi)容處理芯片進行應(yīng)用層的協(xié)議分析和內(nèi)容檢查。從而實現(xiàn)了千兆流量線速轉(zhuǎn)發(fā)和高速內(nèi)容處理的完美結(jié)合，真正能夠為用戶提供千 兆高性能的應(yīng)用防護解決方案。在上面系統(tǒng)框架中，包處理引擎收到數(shù)據(jù)包后，首先由網(wǎng)絡(luò)處理器進行傳輸層以下的協(xié)議棧處理，并將數(shù)據(jù)包還原成數(shù)據(jù)流。接下來由內(nèi)容處理器對數(shù)據(jù)流進行應(yīng)用協(xié)議處理，根據(jù)控制器設(shè)定的安全策略對各種應(yīng)用攻擊進行檢測和過濾。只有符合安全策略要求的數(shù)據(jù)流才會被發(fā)送到服務(wù)器，攻擊包則被丟棄。 在高性能的千兆解決方案中，能夠?qū)崿F(xiàn)網(wǎng)絡(luò)層到應(yīng)用層的多層次立體防護體系。對于面向大型 web 應(yīng)用，產(chǎn)品通過多種功能的集成實現(xiàn)有效的應(yīng)用防護： Web 應(yīng)用入侵防護。通過系統(tǒng)內(nèi)置的網(wǎng)絡(luò)內(nèi)容處理芯片，對 web 請求和回應(yīng)流量進行細(xì)致的分析。根據(jù)內(nèi)置的規(guī)則及啟發(fā)式的安全策略，有效防范各種針對 web應(yīng)用的攻擊行為。 DOS 攻擊的防護。系統(tǒng)通過網(wǎng)絡(luò)處理芯片，對 Synflood、Icmpflood、 Upflood、 PinfOfDeath、 Smurf、 Ping Sweep 等網(wǎng)絡(luò)層的拒絕服務(wù)攻擊進行過濾的防范，有效保護服務(wù)器。訪問控制。通過硬件的 ACL 匹配算法，系統(tǒng)能夠在實現(xiàn)線速轉(zhuǎn)發(fā)的同時對數(shù)據(jù)包進行實時的訪問控制。 中科網(wǎng)威在新一代千兆應(yīng)用入侵防護產(chǎn)品設(shè)計中采用了上述解決方案，實現(xiàn)了千兆流量下的線速處理。系統(tǒng)以透明模式 接入網(wǎng)絡(luò)，在增強安全性的同時，網(wǎng)絡(luò)性能不會受到任何影響，真正實現(xiàn)了應(yīng)用層內(nèi)容處理和千兆高性能的完美結(jié)合。 19 結(jié)語 通過對以上本文對入侵檢測技術(shù)的綜述，可以看出網(wǎng)絡(luò)入侵防御技術(shù)目前的主流和它未來的發(fā)展趨勢。目前的各項安全技術(shù)都存在一些缺點，之所以會存在這樣的情況，除了網(wǎng)絡(luò)的結(jié)構(gòu)，協(xié)議和應(yīng)用非常復(fù)雜之外，各項安全技術(shù)沒有實現(xiàn)信息共享，從而造成各項技術(shù)在分析入侵行為以及預(yù)防和阻止入侵行為時缺乏充分的信息支持。正如在 Sourcefire 文中所說，提高 IDS/IPS 檢測能力的唯一可行途徑是提供給它 們更多的信息。時間線概念的提出，從宏觀角度分析了各項安全技術(shù)對于入侵時間的作用范圍。 Sourcefire 文中提出了基于時間線對各項安全技術(shù)進行整合，使得它們可以共享彼此的信息，從而提高整個安全系統(tǒng)的性能。可見對各項安全技術(shù)的整合，實現(xiàn)它們之間共享彼此信息將是下一代安全系統(tǒng)和安全技術(shù)的發(fā)展主流方向 20 參考文獻 [1]賈晶，陳元，王麗娜編著，信息系統(tǒng)的安全與保密，第一版， ，清 華大學(xué)出版社 [2]EricMaiwald， Wi1liEducation,SecurityPlanningamp。DisasterRecovery,2020, Postsamp。TelemunicationsPress, [3]程勝利，談冉，熊文龍，程煌，計算機病毒及其防治技術(shù)， ,清華大學(xué)出版社 [4]張小磊，計算機病毒診斷與防治， 2020， 中國 環(huán)境 科學(xué) 出版社 [5]東軟集團有限公司， NetEye 防火墻使用指南 ， 13 [6]段鋼，加密與解密，第二版， ，電子 工業(yè) 出版社 [7]張劍，網(wǎng)絡(luò)安全防御系統(tǒng)的設(shè)計與實現(xiàn)，電子科技大學(xué)碩士學(xué)位 論文 ， [8]黑客防線 2020 精華奉獻本上、下冊，人民郵電出版社， 2020 [9]陸浪如，信息安全評估標(biāo)準(zhǔn)的研究與信息安全系統(tǒng)的設(shè)計，解放軍信息工程大學(xué)軍事學(xué)博士學(xué)位 論文， [10]黃月江 ,信息安全與保密 ,北京 :國防工業(yè)出版社， 1999 [13]YUJianping1,XIEWeixin1,YANQiao,securityanditsdefencetechniquesSemiconduct 21 致謝 三 年的讀書生活在這個季節(jié)即將劃上一個句號，而于我的人生卻只是一個逗號，我將面對又一次征程的開始。 三 年的求學(xué)生涯在師長、親友的大力支持下，走得辛苦卻也收獲滿囊，在論文即將付梓之際，思緒萬千，心情久 久不能平靜。 偉人、名人為我所崇拜，可是我更急切地要把我的敬意和贊美獻給一位平凡的人，我的導(dǎo)師。我不是您最出色的學(xué)生，而您卻是我最尊敬的老師。您治學(xué)嚴(yán)謹(jǐn)，學(xué)識淵博，思想深邃，視野雄闊，為我營造了一種良好的精神氛圍。授人以魚不如授人以漁，置身其間，耳濡目染，潛移默化，使我不僅接受了全新的思想觀念，樹立了宏偉的學(xué)術(shù)目標(biāo)，領(lǐng)會了基本的思考方式，從論文題目的選定到論文寫作的指導(dǎo) ,經(jīng)由您悉心的點撥 ,再經(jīng)思考后的領(lǐng)悟 ,常常讓我有“ 山重水復(fù)疑無路 ,柳暗花明又一村 ” 。 感謝我的爸爸媽媽，焉得諼草，言樹之背，養(yǎng)育之恩，無以 回報，你們永遠(yuǎn)健康快樂是我最大的心愿。在論文即將完成之際，我的心情無法平靜，從開始進入課題到論文的順利完成，有多少可敬的師長、同學(xué)、朋友給了我無言的幫助，在這里請接受我誠摯謝意！ 同時也感謝學(xué)院為我提供良好的做畢業(yè)設(shè)計的環(huán)境。 最后再一次感謝所有在畢業(yè)設(shè)計中曾經(jīng)幫助過我的良師益友和同學(xué)，以及在設(shè)計中被我引用或參考的論著的作者。 22