【導(dǎo)讀】師的指導(dǎo)下進(jìn)行的研究工作及取得的成果。盡我所知，除文中特別加。而使用過(guò)的材料。均已在文中作了明確的說(shuō)明并表示了謝意。不包含任何其他個(gè)人或集體已經(jīng)發(fā)表或撰寫(xiě)的成果作品。究做出重要貢獻(xiàn)的個(gè)人和集體，均已在文中以明確方式標(biāo)明。全意識(shí)到本聲明的法律后果由本人承擔(dān)。同意學(xué)校保留并向國(guó)家有關(guān)部門(mén)或機(jī)構(gòu)送交論文的復(fù)印件和電子版，允許論文被查閱和借閱。本人授權(quán)大學(xué)可以將本學(xué)位。涉密論文按學(xué)校規(guī)定處理。檢測(cè)遇到的一些新問(wèn)題，提出了一個(gè)入侵檢測(cè)系統(tǒng)的設(shè)計(jì)方案。技術(shù)和備份監(jiān)控代理方式提供對(duì)IDS自身的有效安全防護(hù)等。最后，本文討論了入侵檢測(cè)目前所面臨的問(wèn)題和未。益增加，而另一方面網(wǎng)絡(luò)入侵和攻擊事件發(fā)生的次數(shù)也急劇增長(zhǎng)。絡(luò)安全問(wèn)題的可容忍程度逐步降低。信息網(wǎng)絡(luò)安全事件，占被調(diào)查總數(shù)的58%。從發(fā)生安全事件的類(lèi)型分析，遭受計(jì)算機(jī)病毒、蠕蟲(chóng)和木馬程序破。其中，由于未修補(bǔ)或防范軟件漏洞導(dǎo)致發(fā)生安全事件的占安

　　

【正文】 是集中在應(yīng)用層，并且這一數(shù)字呈上升趨勢(shì)。應(yīng)用層的攻擊有可能會(huì)造成非常嚴(yán)重的后果，比如用戶(hù)帳號(hào)丟失和公司機(jī)密泄漏等。因此，對(duì) 具體應(yīng)用的有效保護(hù)就顯得越發(fā)重要。從檢測(cè)方法上看， IPS 與 IDS 都是基于模式匹配、協(xié)議分析以及異常流量統(tǒng)計(jì)等技術(shù)。這些檢測(cè)技術(shù)的特點(diǎn)是主要針對(duì)已知的攻擊類(lèi)型，進(jìn)行基于攻擊特征串的匹配。但對(duì)于應(yīng)用層的攻擊，通常是利用特定的應(yīng)用程序的漏洞，無(wú)論是 IDS 還是 IPS 都無(wú)法通過(guò)現(xiàn)有的檢測(cè)技術(shù)進(jìn)行防范。 為了解決日益突出的應(yīng)用層防護(hù)問(wèn)題，繼入侵防御系統(tǒng) IPS 之后，應(yīng)用入侵防護(hù)系統(tǒng) (AIP， Application Intrusion Prevention)逐漸成為一個(gè)新的熱點(diǎn)，并且正得到日益廣泛的應(yīng)用。 入侵防御協(xié)議設(shè)計(jì) 對(duì)應(yīng)用層的防范通常比內(nèi)網(wǎng)防范難度要更大，因?yàn)檫@些應(yīng)用要允許外部的訪(fǎng)問(wèn)。防火墻的訪(fǎng)問(wèn)控制策略中必須開(kāi)放應(yīng)用服務(wù)對(duì)應(yīng)的端口，如 web 的 80 端口。這樣，黑客通過(guò)這些端口發(fā)起攻擊時(shí)防火墻無(wú)法進(jìn)行識(shí)別控制。入侵檢測(cè)和入侵防御系統(tǒng)并不是針對(duì)應(yīng)用協(xié)議進(jìn)行設(shè)計(jì)，所以同樣無(wú)法檢測(cè)對(duì)相應(yīng)協(xié)議漏洞的攻擊。而應(yīng)用入侵防護(hù)系統(tǒng)則能夠彌補(bǔ)防火墻和入侵檢測(cè)系統(tǒng)的不足，對(duì)特定應(yīng)用進(jìn)行有效保護(hù)。 所謂應(yīng)用入侵防護(hù)系統(tǒng) AIP，是用來(lái)保護(hù)特定應(yīng)用服務(wù) (如 web 和數(shù)據(jù)庫(kù)等應(yīng)用 )的網(wǎng)絡(luò)設(shè)備，通常部署在 應(yīng)用服務(wù)器之前，通過(guò) AIP 系統(tǒng)安全策略的控制來(lái)防止基于應(yīng)用協(xié)議漏洞和設(shè)計(jì)缺陷的惡意攻擊。 在對(duì)應(yīng)用層的攻擊中，大部分時(shí)通過(guò) HTTP 協(xié)議 (80 端口 )進(jìn)行。在國(guó)外權(quán)威機(jī)構(gòu)的一次網(wǎng)絡(luò)安全評(píng)估過(guò)程中發(fā)現(xiàn)， 97%的 web 站點(diǎn)存在一定應(yīng)用協(xié)議問(wèn)題。雖然這些站點(diǎn)通過(guò)部署防火墻在網(wǎng)絡(luò)層以下進(jìn)行了很好的防范，但其應(yīng)用層的漏洞仍可被利用進(jìn)而受到入侵和攻擊。因此對(duì)于 web 等應(yīng)用協(xié)議，應(yīng)用入侵防護(hù)系統(tǒng) AIP 應(yīng)用比較廣泛。通過(guò)制訂合理的安全策略， AIP 能夠?qū)σ韵骂?lèi)型的web 攻擊進(jìn)行有效防范： 惡意腳本 Cookie 投毒 隱藏域修改 緩存溢出 參 18 數(shù)篡改 強(qiáng)制瀏 覽 Sql 插入已知漏洞攻擊應(yīng)用入侵防護(hù)技術(shù)近兩年剛剛出現(xiàn)，但發(fā)展迅速。 Yankee Group 預(yù)測(cè)在未來(lái)的五年里， AIP 將和防火墻，入侵檢測(cè)和反病毒等安全技術(shù)一起，成為網(wǎng)絡(luò)安全整體解決方案的一個(gè)重要組成部分。 千兆解決方案 應(yīng)用入侵防護(hù)產(chǎn)品在保護(hù)企業(yè)業(yè)務(wù)流程和相關(guān)數(shù)據(jù)方面發(fā)揮著日益重要的作用，同時(shí)隨著網(wǎng)絡(luò)帶寬的不斷增加，只有在適合千兆環(huán)境應(yīng)用的高性能產(chǎn)品才能夠滿(mǎn)足大型網(wǎng)絡(luò)的需要。 傳統(tǒng)的軟件形式的應(yīng)用入侵防護(hù)產(chǎn)品受性能的限制，只能應(yīng)用在 中小型網(wǎng)絡(luò)中；基于 x86 架構(gòu)的硬件產(chǎn)品無(wú)法達(dá)到千兆流量的要求；近年來(lái)，網(wǎng)絡(luò)處理器 (NP)在千兆環(huán)境中得到了日益廣泛的應(yīng)用，但 NP 的優(yōu)勢(shì)主要在于網(wǎng)絡(luò)層以下的包處理上，若進(jìn)行內(nèi)容處理則會(huì)導(dǎo)致性能的下降。通過(guò)高性能內(nèi)容處理芯片和網(wǎng)絡(luò)處理芯片相結(jié)合形式，為千兆應(yīng)用入侵防護(hù)產(chǎn)品提供了由于的解決方案。其設(shè)計(jì)特點(diǎn)是采用不同的處理器實(shí)現(xiàn)各自獨(dú)立的功能，由網(wǎng)絡(luò)處理芯片實(shí)現(xiàn)網(wǎng)絡(luò)層和傳輸層以下的協(xié)議棧處理，通過(guò)高速內(nèi)容處理芯片進(jìn)行應(yīng)用層的協(xié)議分析和內(nèi)容檢查。從而實(shí)現(xiàn)了千兆流量線(xiàn)速轉(zhuǎn)發(fā)和高速內(nèi)容處理的完美結(jié)合，真正能夠?yàn)橛脩?hù)提供千 兆高性能的應(yīng)用防護(hù)解決方案。在上面系統(tǒng)框架中，包處理引擎收到數(shù)據(jù)包后，首先由網(wǎng)絡(luò)處理器進(jìn)行傳輸層以下的協(xié)議棧處理，并將數(shù)據(jù)包還原成數(shù)據(jù)流。接下來(lái)由內(nèi)容處理器對(duì)數(shù)據(jù)流進(jìn)行應(yīng)用協(xié)議處理，根據(jù)控制器設(shè)定的安全策略對(duì)各種應(yīng)用攻擊進(jìn)行檢測(cè)和過(guò)濾。只有符合安全策略要求的數(shù)據(jù)流才會(huì)被發(fā)送到服務(wù)器，攻擊包則被丟棄。 在高性能的千兆解決方案中，能夠?qū)崿F(xiàn)網(wǎng)絡(luò)層到應(yīng)用層的多層次立體防護(hù)體系。對(duì)于面向大型 web 應(yīng)用，產(chǎn)品通過(guò)多種功能的集成實(shí)現(xiàn)有效的應(yīng)用防護(hù)： Web 應(yīng)用入侵防護(hù)。通過(guò)系統(tǒng)內(nèi)置的網(wǎng)絡(luò)內(nèi)容處理芯片，對(duì) web 請(qǐng)求和回應(yīng)流量進(jìn)行細(xì)致的分析。根據(jù)內(nèi)置的規(guī)則及啟發(fā)式的安全策略，有效防范各種針對(duì) web應(yīng)用的攻擊行為。 DOS 攻擊的防護(hù)。系統(tǒng)通過(guò)網(wǎng)絡(luò)處理芯片，對(duì) Synflood、Icmpflood、 Upflood、 PinfOfDeath、 Smurf、 Ping Sweep 等網(wǎng)絡(luò)層的拒絕服務(wù)攻擊進(jìn)行過(guò)濾的防范，有效保護(hù)服務(wù)器。訪(fǎng)問(wèn)控制。通過(guò)硬件的 ACL 匹配算法，系統(tǒng)能夠在實(shí)現(xiàn)線(xiàn)速轉(zhuǎn)發(fā)的同時(shí)對(duì)數(shù)據(jù)包進(jìn)行實(shí)時(shí)的訪(fǎng)問(wèn)控制。 中科網(wǎng)威在新一代千兆應(yīng)用入侵防護(hù)產(chǎn)品設(shè)計(jì)中采用了上述解決方案，實(shí)現(xiàn)了千兆流量下的線(xiàn)速處理。系統(tǒng)以透明模式 接入網(wǎng)絡(luò)，在增強(qiáng)安全性的同時(shí)，網(wǎng)絡(luò)性能不會(huì)受到任何影響，真正實(shí)現(xiàn)了應(yīng)用層內(nèi)容處理和千兆高性能的完美結(jié)合。 19 結(jié)語(yǔ) 通過(guò)對(duì)以上本文對(duì)入侵檢測(cè)技術(shù)的綜述，可以看出網(wǎng)絡(luò)入侵防御技術(shù)目前的主流和它未來(lái)的發(fā)展趨勢(shì)。目前的各項(xiàng)安全技術(shù)都存在一些缺點(diǎn)，之所以會(huì)存在這樣的情況，除了網(wǎng)絡(luò)的結(jié)構(gòu)，協(xié)議和應(yīng)用非常復(fù)雜之外，各項(xiàng)安全技術(shù)沒(méi)有實(shí)現(xiàn)信息共享，從而造成各項(xiàng)技術(shù)在分析入侵行為以及預(yù)防和阻止入侵行為時(shí)缺乏充分的信息支持。正如在 Sourcefire 文中所說(shuō)，提高 IDS/IPS 檢測(cè)能力的唯一可行途徑是提供給它 們更多的信息。時(shí)間線(xiàn)概念的提出，從宏觀角度分析了各項(xiàng)安全技術(shù)對(duì)于入侵時(shí)間的作用范圍。 Sourcefire 文中提出了基于時(shí)間線(xiàn)對(duì)各項(xiàng)安全技術(shù)進(jìn)行整合，使得它們可以共享彼此的信息，從而提高整個(gè)安全系統(tǒng)的性能?？梢?jiàn)對(duì)各項(xiàng)安全技術(shù)的整合，實(shí)現(xiàn)它們之間共享彼此信息將是下一代安全系統(tǒng)和安全技術(shù)的發(fā)展主流方向 20 參考文獻(xiàn) [1]賈晶，陳元，王麗娜編著，信息系統(tǒng)的安全與保密，第一版， ，清 華大學(xué)出版社 [2]EricMaiwald， Wi1liEducation,SecurityPlanningamp。DisasterRecovery,2020, Postsamp。TelemunicationsPress, [3]程勝利，談冉，熊文龍，程煌，計(jì)算機(jī)病毒及其防治技術(shù)， ,清華大學(xué)出版社 [4]張小磊，計(jì)算機(jī)病毒診斷與防治， 2020， 中國(guó) 環(huán)境 科學(xué) 出版社 [5]東軟集團(tuán)有限公司， NetEye 防火墻使用指南 ， 13 [6]段鋼，加密與解密，第二版， ，電子 工業(yè) 出版社 [7]張劍，網(wǎng)絡(luò)安全防御系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)，電子科技大學(xué)碩士學(xué)位 論文 ， [8]黑客防線(xiàn) 2020 精華奉獻(xiàn)本上、下冊(cè)，人民郵電出版社， 2020 [9]陸浪如，信息安全評(píng)估標(biāo)準(zhǔn)的研究與信息安全系統(tǒng)的設(shè)計(jì)，解放軍信息工程大學(xué)軍事學(xué)博士學(xué)位 論文， [10]黃月江 ,信息安全與保密 ,北京 :國(guó)防工業(yè)出版社， 1999 [13]YUJianping1,XIEWeixin1,YANQiao,securityanditsdefencetechniquesSemiconduct 21 致謝 三 年的讀書(shū)生活在這個(gè)季節(jié)即將劃上一個(gè)句號(hào)，而于我的人生卻只是一個(gè)逗號(hào)，我將面對(duì)又一次征程的開(kāi)始。 三 年的求學(xué)生涯在師長(zhǎng)、親友的大力支持下，走得辛苦卻也收獲滿(mǎn)囊，在論文即將付梓之際，思緒萬(wàn)千，心情久 久不能平靜。 偉人、名人為我所崇拜，可是我更急切地要把我的敬意和贊美獻(xiàn)給一位平凡的人，我的導(dǎo)師。我不是您最出色的學(xué)生，而您卻是我最尊敬的老師。您治學(xué)嚴(yán)謹(jǐn)，學(xué)識(shí)淵博，思想深邃，視野雄闊，為我營(yíng)造了一種良好的精神氛圍。授人以魚(yú)不如授人以漁，置身其間，耳濡目染，潛移默化，使我不僅接受了全新的思想觀念，樹(shù)立了宏偉的學(xué)術(shù)目標(biāo)，領(lǐng)會(huì)了基本的思考方式，從論文題目的選定到論文寫(xiě)作的指導(dǎo) ,經(jīng)由您悉心的點(diǎn)撥 ,再經(jīng)思考后的領(lǐng)悟 ,常常讓我有“ 山重水復(fù)疑無(wú)路 ,柳暗花明又一村 ” 。 感謝我的爸爸媽媽?zhuān)傻弥X草，言樹(shù)之背，養(yǎng)育之恩，無(wú)以 回報(bào)，你們永遠(yuǎn)健康快樂(lè)是我最大的心愿。在論文即將完成之際，我的心情無(wú)法平靜，從開(kāi)始進(jìn)入課題到論文的順利完成，有多少可敬的師長(zhǎng)、同學(xué)、朋友給了我無(wú)言的幫助，在這里請(qǐng)接受我誠(chéng)摯謝意！ 同時(shí)也感謝學(xué)院為我提供良好的做畢業(yè)設(shè)計(jì)的環(huán)境。 最后再一次感謝所有在畢業(yè)設(shè)計(jì)中曾經(jīng)幫助過(guò)我的良師益友和同學(xué)，以及在設(shè)計(jì)中被我引用或參考的論著的作者。 22