【正文】 22 。在論文即將完成之際，我的心情無(wú)法平靜，從開(kāi)始進(jìn)入課題到論文的順利完成，有多少可敬的師長(zhǎng)、同學(xué)、朋友給了我無(wú)言的幫助，在這里請(qǐng)接受我誠(chéng)摯謝意！ 同時(shí)也感謝學(xué)院為我提供良好的做畢業(yè)設(shè)計(jì)的環(huán)境。授人以魚(yú)不如授人以漁，置身其間，耳濡目染，潛移默化，使我不僅接受了全新的思想觀念，樹(shù)立了宏偉的學(xué)術(shù)目標(biāo)，領(lǐng)會(huì)了基本的思考方式，從論文題目的選定到論文寫(xiě)作的指導(dǎo) ,經(jīng)由您悉心的點(diǎn)撥 ,再經(jīng)思考后的領(lǐng)悟 ,常常讓我有“ 山重水復(fù)疑無(wú)路 ,柳暗花明又一村 ” 。我不是您最出色的學(xué)生，而您卻是我最尊敬的老師。 三 年的求學(xué)生涯在師長(zhǎng)、親友的大力支持下，走得辛苦卻也收獲滿(mǎn)囊，在論文即將付梓之際，思緒萬(wàn)千，心情久 久不能平靜。DisasterRecovery,2020, Postsamp。 Sourcefire 文中提出了基于時(shí)間線對(duì)各項(xiàng)安全技術(shù)進(jìn)行整合，使得它們可以共享彼此的信息，從而提高整個(gè)安全系統(tǒng)的性能。正如在 Sourcefire 文中所說(shuō)，提高 IDS/IPS 檢測(cè)能力的唯一可行途徑是提供給它 們更多的信息。 19 結(jié)語(yǔ) 通過(guò)對(duì)以上本文對(duì)入侵檢測(cè)技術(shù)的綜述，可以看出網(wǎng)絡(luò)入侵防御技術(shù)目前的主流和它未來(lái)的發(fā)展趨勢(shì)。 中科網(wǎng)威在新一代千兆應(yīng)用入侵防護(hù)產(chǎn)品設(shè)計(jì)中采用了上述解決方案，實(shí)現(xiàn)了千兆流量下的線速處理。訪問(wèn)控制。 DOS 攻擊的防護(hù)。通過(guò)系統(tǒng)內(nèi)置的網(wǎng)絡(luò)內(nèi)容處理芯片，對(duì) web 請(qǐng)求和回應(yīng)流量進(jìn)行細(xì)致的分析。 在高性能的千兆解決方案中，能夠?qū)崿F(xiàn)網(wǎng)絡(luò)層到應(yīng)用層的多層次立體防護(hù)體系。接下來(lái)由內(nèi)容處理器對(duì)數(shù)據(jù)流進(jìn)行應(yīng)用協(xié)議處理，根據(jù)控制器設(shè)定的安全策略對(duì)各種應(yīng)用攻擊進(jìn)行檢測(cè)和過(guò)濾。從而實(shí)現(xiàn)了千兆流量線速轉(zhuǎn)發(fā)和高速內(nèi)容處理的完美結(jié)合，真正能夠?yàn)橛脩?hù)提供千 兆高性能的應(yīng)用防護(hù)解決方案。通過(guò)高性能內(nèi)容處理芯片和網(wǎng)絡(luò)處理芯片相結(jié)合形式，為千兆應(yīng)用入侵防護(hù)產(chǎn)品提供了由于的解決方案。 千兆解決方案 應(yīng)用入侵防護(hù)產(chǎn)品在保護(hù)企業(yè)業(yè)務(wù)流程和相關(guān)數(shù)據(jù)方面發(fā)揮著日益重要的作用，同時(shí)隨著網(wǎng)絡(luò)帶寬的不斷增加，只有在適合千兆環(huán)境應(yīng)用的高性能產(chǎn)品才能夠滿(mǎn)足大型網(wǎng)絡(luò)的需要。通過(guò)制訂合理的安全策略， AIP 能夠?qū)σ韵骂?lèi)型的web 攻擊進(jìn)行有效防范： 惡意腳本 Cookie 投毒 隱藏域修改 緩存溢出 參 18 數(shù)篡改 強(qiáng)制瀏 覽 Sql 插入已知漏洞攻擊應(yīng)用入侵防護(hù)技術(shù)近兩年剛剛出現(xiàn)，但發(fā)展迅速。雖然這些站點(diǎn)通過(guò)部署防火墻在網(wǎng)絡(luò)層以下進(jìn)行了很好的防范，但其應(yīng)用層的漏洞仍可被利用進(jìn)而受到入侵和攻擊。 在對(duì)應(yīng)用層的攻擊中，大部分時(shí)通過(guò) HTTP 協(xié)議 (80 端口 )進(jìn)行。而應(yīng)用入侵防護(hù)系統(tǒng)則能夠彌補(bǔ)防火墻和入侵檢測(cè)系統(tǒng)的不足，對(duì)特定應(yīng)用進(jìn)行有效保護(hù)。這樣，黑客通過(guò)這些端口發(fā)起攻擊時(shí)防火墻無(wú)法進(jìn)行識(shí)別控制。 入侵防御協(xié)議設(shè)計(jì) 對(duì)應(yīng)用層的防范通常比內(nèi)網(wǎng)防范難度要更大，因?yàn)檫@些應(yīng)用要允許外部的訪問(wèn)。但對(duì)于應(yīng)用層的攻擊，通常是利用特定的應(yīng)用程序的漏洞，無(wú)論是 IDS 還是 IPS 都無(wú)法通過(guò)現(xiàn)有的檢測(cè)技術(shù)進(jìn)行防范。從檢測(cè)方法上看， IPS 與 IDS 都是基于模式匹配、協(xié)議分析以及異常流量統(tǒng)計(jì)等技術(shù)。應(yīng)用層的攻擊有可能會(huì)造成非常嚴(yán)重的后果，比如用戶(hù)帳號(hào)丟失和公司機(jī)密泄漏等。 近年來(lái)，網(wǎng)絡(luò)攻擊的發(fā)展趨勢(shì)是逐漸轉(zhuǎn)向高層應(yīng)用。而 IPS 則是一種主動(dòng)的、積極的入侵防范、阻止系統(tǒng)，它部署 在網(wǎng)絡(luò)的進(jìn)出口處，當(dāng)它檢測(cè)到攻擊企圖后，它會(huì)自動(dòng)地將攻擊包丟掉或采取措施將攻擊源阻斷。Gartner 公司認(rèn)為只有在線的或基于主機(jī)的攻擊阻止 (實(shí)時(shí)攔截 )才是最有效的入侵防御系統(tǒng)。 Gartner 在 2020 年一份研究報(bào)告中稱(chēng)入侵檢測(cè)系統(tǒng)已經(jīng) “ 死 ” 了。 但在入侵檢測(cè)產(chǎn)品的使用過(guò)程中，暴露出了諸多的問(wèn)題。 入侵檢測(cè)系統(tǒng) (IDS， Intrusion Detection System)是近十多年發(fā)展起來(lái)的新一代安全防范技術(shù)，它通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)是否有違反安全策略的行為和被攻擊的跡象。但是它也存在一些缺點(diǎn)。由于只需要收集相關(guān)的數(shù)據(jù)，這樣系統(tǒng)的負(fù)擔(dān)明顯減少。這些跡象不僅對(duì)分析已經(jīng)發(fā)生的入侵行為有幫助，而且對(duì)即將發(fā)生的入侵也有預(yù)警作用。 誤用檢測(cè)是根據(jù)攻擊簽名來(lái)判斷入侵的，根據(jù)對(duì)已知的攻擊方法的了解，用特定的模式語(yǔ)言來(lái)表示這種攻擊，使得 攻擊簽名能夠準(zhǔn)確地表示入侵行為及其所有可能的變種，同時(shí)又不會(huì)把非入侵行為包含進(jìn)來(lái)。這種方法是依據(jù)是否出現(xiàn)攻擊簽名來(lái)判斷入侵行為，是一種直接的方法 常用的具體方法有：基于條件概率誤用入侵檢測(cè)方法、基于專(zhuān)家系統(tǒng)誤用入侵檢測(cè)方法、基于狀態(tài)遷移分析誤用入侵檢測(cè)方法、基于鍵盤(pán)監(jiān)控誤用入侵檢測(cè)方法、基于模型誤用入侵檢測(cè)方法。其基本前提是：假定所有可能的入侵行為都能被識(shí)別和表示。異常檢測(cè)的難題在于如何建立 “活動(dòng)簡(jiǎn)檔 ”以及如何設(shè)計(jì)統(tǒng)計(jì)算法，從而不把正常的操作作為 “入侵 ”或忽略真正的 “入侵 ”行為。進(jìn)行入侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng) 異常入侵檢測(cè)技術(shù) 異常檢測(cè) (Anomaly detection) 的假設(shè)是入侵者 活動(dòng)異常于正常主體的活動(dòng)。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測(cè)通過(guò)執(zhí)行以下任務(wù)來(lái)實(shí)現(xiàn)： 監(jiān)視 、分析用戶(hù)及系統(tǒng)活動(dòng)；系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)；識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警；異常行為模式的統(tǒng)計(jì)分析；評(píng)估重要系統(tǒng)和 數(shù)據(jù)文件 的完整性； 操作系統(tǒng) 的審計(jì)跟蹤管理，并識(shí)別用戶(hù)違反安全策略的行為。入侵檢測(cè)作為一種積極主動(dòng)地安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前 攔截 和響應(yīng)入侵。 15 第三章 入侵檢測(cè)系統(tǒng)概述 入侵檢測(cè)系統(tǒng)的發(fā)展 入侵檢測(cè)（ Intrusion Detection）是對(duì)入侵行為的 檢測(cè) 。入侵后處理技術(shù)如 SIM/SEM，它們產(chǎn)生的信息可以自動(dòng)應(yīng)用到 系統(tǒng)中，增強(qiáng)它們對(duì)新的入侵方法的反應(yīng)能力。而且該配置過(guò)程可以實(shí)現(xiàn)連續(xù)和自動(dòng)化。它主要的目的就是將目前在時(shí)間線上離散的各項(xiàng)安全技術(shù)綜合起來(lái)，實(shí)現(xiàn)一種新的安全系統(tǒng)，該系統(tǒng)使用的安全技術(shù)在時(shí)間線上的作用范圍是連續(xù)的，也 即其中每項(xiàng)安全技術(shù)具有對(duì)其它安全技術(shù)的反饋?zhàn)饔?。通過(guò)對(duì) IDS， IPS 的系統(tǒng)性能的分析不難發(fā)現(xiàn)，入侵行為的檢測(cè)的難點(diǎn)在于 IDS/IPS 系統(tǒng)可利用的信息太少，從而造成 IDS， IPS 對(duì)入侵行為的漏報(bào)和誤報(bào) 。第三部分即是入侵后處理技術(shù)，這一部分有安全事件管理系統(tǒng)和安全 信息管理技術(shù)，以及對(duì)入侵造成的破壞的恢復(fù)技術(shù)。第一類(lèi)是諸如防火墻的訪問(wèn)控制技術(shù)和本文以上所介紹的 IDS 和 IPS 系統(tǒng)。 根據(jù)時(shí)間線的三個(gè)部分，對(duì)各項(xiàng)安全技術(shù)劃分成三個(gè)部分 :第 一部分是針對(duì)入侵前期，這類(lèi)技術(shù)主要分為三個(gè)類(lèi)，一類(lèi)是安全規(guī)章制度，安全策略的配置等，第二類(lèi)是對(duì)網(wǎng)絡(luò)進(jìn)行當(dāng)前已知的各項(xiàng)漏洞進(jìn)行檢測(cè)，第三類(lèi)是通過(guò)專(zhuān)人對(duì)網(wǎng)絡(luò)進(jìn)行實(shí)際的入侵檢測(cè)廠這部分的技術(shù)的主要目的是預(yù)先評(píng)估和增強(qiáng)網(wǎng)絡(luò)的安全性，減少被入侵的可能性。它分為三個(gè)部分 :入侵前期、入侵時(shí)間零點(diǎn)和入侵后處理，各個(gè)部分又分成若干子部分。據(jù)此他們提出了下一代入侵防御系統(tǒng)的發(fā)展方向 :即基于時(shí)間線的入侵防御系統(tǒng)。 14 基于知識(shí)的入侵檢側(cè)技術(shù)具有較高的準(zhǔn)確度，但是它的缺點(diǎn)就是在于對(duì)系統(tǒng)的性能要求高，而且只能檢測(cè)到目前已知的攻擊方法，對(duì)于未知的攻擊方法沒(méi)有檢測(cè)能力。 2. 基于知識(shí)的入侵檢測(cè)技術(shù) 基于知識(shí)的入侵檢測(cè)技術(shù)主要通過(guò)應(yīng)用已有的知識(shí)對(duì)入侵行為的標(biāo)志進(jìn)行識(shí)別，從而判斷網(wǎng)絡(luò)中是否有入侵行為的發(fā)生川。建立模型需要花費(fèi)一定的時(shí)間，而且該入侵檢測(cè)技術(shù)會(huì)造成誤報(bào)等。符合這個(gè)模型的網(wǎng)絡(luò)行為即視為正常，不符合的即視為入侵行為。例如 :在某一段時(shí)間內(nèi)登錄某臺(tái)主機(jī)失敗次數(shù)。 入 侵 檢 測(cè)系統(tǒng)的關(guān)鍵技術(shù) 1． 基于行為的入侵檢測(cè)技術(shù) 基于行為的入侵檢測(cè)技術(shù)主要依靠統(tǒng)計(jì)的方法來(lái)實(shí)現(xiàn)對(duì)入侵行為的檢測(cè)。從而促使網(wǎng)絡(luò)安全領(lǐng)域?qū)W(wǎng)絡(luò)入侵檢測(cè)技術(shù)進(jìn)行研究，并提出了 IDS。隨著網(wǎng)絡(luò)的發(fā)展， FBI/CSI 的統(tǒng)計(jì)數(shù)字表明入侵和攻擊的模式發(fā)生了變化。但是這些方