【正文】 ?！　r間線是在時間次序上對網(wǎng)絡入侵行為進行分析的工具。　　3. 基于其它方法的入侵檢測技術(shù)　　網(wǎng)絡安全領域人員經(jīng)過研究后發(fā)現(xiàn)，目前任一種安全技術(shù)都不可能實現(xiàn)真正意義上的網(wǎng)絡。這些標志主要包括:對一個敏感主機的登錄失敗次數(shù)；對一個數(shù)據(jù)的一些標志位的設置是否符合RFC標準:以及數(shù)據(jù)包的內(nèi)容是否與某個已知攻擊方法的特征代碼相符合等。為解決誤報警問題，需要根據(jù)網(wǎng)絡的實際使用情況對各種設定的統(tǒng)計值進行不斷的調(diào)節(jié)。這種入侵檢測檢測技術(shù)的缺點主要在于模型的建立非常困難。在很短時間內(nèi)重復發(fā)生登錄某臺主機口令出錯的次數(shù)等。它通過統(tǒng)計網(wǎng)絡的日常行為建立一個模型，該模型由各項表示正常行為的統(tǒng)計數(shù)字組成。由干硬件發(fā)展的飛速發(fā)展，使得IDS對網(wǎng)絡通訊可以進行實時檢測和實時報等，形成目前的IDS模式。在2003年，70%的攻擊主要來自于外部網(wǎng)絡，另30% 的攻擊來自于內(nèi)部。入侵檢測系統(tǒng)的由來及發(fā)展過程　　在 IDS 尚未出現(xiàn)時，網(wǎng)絡安全管理人員主要依靠人工閱讀網(wǎng)絡日志來分析是否有網(wǎng)絡入侵事件的發(fā)生。　　除專家系統(tǒng)、數(shù)據(jù)挖掘技術(shù)之外，還有神經(jīng)網(wǎng)絡，模糊系統(tǒng)，遺傳算法等。利用數(shù)據(jù)挖掘進行入侵檢測，數(shù)據(jù)挖掘是數(shù)據(jù)庫的一項技術(shù)，它的作用從大型數(shù)據(jù)庫中抽取知識，這和分析日志的行為相近?；谄渌椒ǖ娜肭謾z測技術(shù)主要有:利用專家系統(tǒng)進行入侵檢測，其主要是將有關的入侵知識組織成知識庫，再利用推理引擎進行檢測。 　　　　同時，先進的入侵防御系統(tǒng)還必須是一個全方位的安全管理。在傳統(tǒng)的入侵檢測系統(tǒng)中，誤報對安全管理員形成一種滋擾，大量的誤報還可能淹沒真正的攻擊行為，使安全管理員無從響應。這也是為什么入侵檢測系統(tǒng)和防火墻之間的聯(lián)系越來越緊密的原因之一。 　　而且，入侵檢測系統(tǒng)作為整體安全技術(shù)的一個組成部分，它還應該和其他安全組件協(xié)同工作、建立互動的響應機制。 　　在入侵檢測系統(tǒng)檢測到網(wǎng)絡中的攻擊或未授權(quán)行為時，傳統(tǒng)的響應方式是顯示消息、形成日志、報警或使用Email等方式通知安全管理員，然后由管理員手工采取相應措施來阻止入侵。 常用入侵手段與防范對策入侵檢測系統(tǒng)通過對計算機網(wǎng)絡或系統(tǒng)中的若干關鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)是否有違反安全策略的行為和被攻擊的跡象，它不僅能檢測來自外部的入侵行為，同時也監(jiān)督內(nèi)部用戶的未授權(quán)活動，因此成為繼防病毒和防火墻之后另一被廣泛注意的網(wǎng)絡安全設備。針對以上體系，北京中科網(wǎng)威信息技術(shù)有限公司專門研制開發(fā)了一系列網(wǎng)絡安全產(chǎn)品——“火眼”網(wǎng)絡安全評估分析系統(tǒng)、“天眼”入侵偵測系統(tǒng)、“磐石”網(wǎng)站監(jiān)控與恢復系統(tǒng)、“長城”防火墻。使用實時響應阻斷系統(tǒng)、攻擊源跟蹤系統(tǒng)、取證系統(tǒng)和必要的反擊系統(tǒng)來確保響應的準確、有效和及時，預防同類事件的再發(fā)生，并為捕獲攻擊者提供可能，為抵抗黑客入侵提供有效的保障。采用與防火墻互聯(lián)互動、互動互防的技術(shù)手段，形成一個整體策略，而不是單兵作戰(zhàn)，強調(diào)協(xié)作技術(shù)，設立安全監(jiān)控中心，掌握整個網(wǎng)絡的安全運行狀態(tài)，是防止入侵的關鍵環(huán)節(jié)。偵測是保證主動及時發(fā)現(xiàn)攻擊行為，為快速響應提供可能的關鍵環(huán)節(jié)。它通過建立一種機制來檢查系統(tǒng)的安全設置，發(fā)現(xiàn)整個網(wǎng)絡的風險和弱點，確保每層是相互配合而不是相互抵觸地工作，檢測與策略相違背的情況，確保與公司安全政策保持一致。一個成功的網(wǎng)絡安全體系開始于一個全面的安全策略，它是所有安全技術(shù)和措施的基礎，也是整個中科網(wǎng)威黑客入侵防范體系的核心。它以評估為基礎，以策略為核心，以防護、偵測、響應和恢復為手段構(gòu)成一個體系——中科網(wǎng)威黑客入侵防范體系，如圖所示：中科網(wǎng)威黑客入侵防范體系11完整準確的安全評估是中科網(wǎng)威黑客入侵防范體系的基礎。黑客入侵防范是網(wǎng)絡安全的重要組成部分。我國信息化事業(yè)能否順利發(fā)展，一個很關鍵的因素便是網(wǎng)絡信息的安全問題，這已成為制約網(wǎng)絡發(fā)展的首要因素。在科技最發(fā)達、防御最嚴密的美國國防部五角大樓內(nèi)，每年都有成千上萬的非法入侵者侵入其內(nèi)部網(wǎng)絡系統(tǒng)，我國的ISP、證券公司及銀行也多次被國內(nèi)外黑客攻擊。然而，Internet（互聯(lián)網(wǎng)）這一開放系統(tǒng)在給人們帶來便利的同時，也帶來一些問題。國家政府機構(gòu)、各企事業(yè)單位不僅大多建立了自己的局域網(wǎng)系統(tǒng)，而且通過各種方式與互聯(lián)網(wǎng)相連。 目前，入侵檢測系統(tǒng)已能為來自內(nèi)外部的各種入侵提供全面的安全防御，給客戶帶來識別各種黑客入侵的方法和手段、監(jiān)控內(nèi)部人員的誤操作等，幫用戶及時發(fā)現(xiàn)并解決安全問題和協(xié)助管理員加強網(wǎng)絡安全的管理。第三種也是現(xiàn)在電子政務和電子商務領域最流行的身份認證方式——基于USBKey的身份認證 研究入侵檢測與防御的必要性安全產(chǎn)品的主要目的是使安全風險處于可視和可控的狀態(tài)。 目前常見的身份認證方式主要有三種，第一種是使用用戶名加口令的方式，這時是最常見的，但這也是最原始、最不安全的身份確認方式，非常容易由于外部泄漏等原因或通過口令猜測、線路竊聽、重放攻擊等手段導致合法用戶身份被偽造。而身份認證模塊就相當于木桶的桶底，由它來保證物理身份和數(shù)字身份的統(tǒng)一，如果桶底是漏的，那桶壁上的木板再長也沒有用。 從木桶理論來看，這些安全產(chǎn)品就是組成木桶的一塊塊木板，則整個系統(tǒng)的安全性取決于最短的一塊木板。這些安全產(chǎn)品實際上都是針對用戶數(shù)字身份的權(quán)限管理，他們解決了哪個數(shù)字身份對應能干什么的問題。VPN在公共網(wǎng)絡上建立一個經(jīng)過加密的虛擬的專用通道供經(jīng)過授權(quán)的用戶使用。 身份認證是指計算機及網(wǎng)絡系統(tǒng)確認操作者身份的過程。認證中心通常采用多層次的分級結(jié)構(gòu)，上級認證中心負責簽發(fā)和管理下級認證中心的證書，最下一級的認證中心直接面向最終用戶。認證中心又叫CA中心，它是負責產(chǎn)生、分配并管理數(shù)字證書的可信賴的第三方權(quán)威機構(gòu)。目前，PKI技術(shù)己趨于成熟，其應用已覆蓋了從安全電子郵件、虛擬專用網(wǎng)絡(VPN),Web交互安全到電子商務、電子政務、電子事務安全的眾多領域，許多企業(yè)和個人已經(jīng)從PKI技術(shù)的使用中獲得了巨大的收益。 PKI是在公開密鑰理論和技術(shù)基礎上發(fā)展起來的一種綜合安全平臺，能夠為所有網(wǎng)絡應用透明地提供采用加密和數(shù)字簽名等密碼服務所必需的密鑰和證書管理，從而達到保證網(wǎng)上傳遞信息的安全、真實、完整和不可抵賴的目的。然而，由于互聯(lián)網(wǎng)所具有的廣泛性和開放性，決定了互聯(lián)網(wǎng)不可避免地存在著信息安全隱患。從技術(shù)上，入侵檢測分為兩類:一種基于標志(CSignatureBased)，另一種基于異常情況(AbnormallyBased)。一般網(wǎng)絡型入侵檢測系統(tǒng)擔負著保護整個網(wǎng)段的任務。它的數(shù)據(jù)源是網(wǎng)絡上的數(shù)據(jù)包。所有這些系統(tǒng)最近已經(jīng)可以被用于多種平臺。這種系統(tǒng)經(jīng)常運行在被監(jiān)測的系統(tǒng)之上，用以監(jiān)測系統(tǒng)上正在運行的進程是否合法。主機型入侵檢測系統(tǒng)就是以系統(tǒng)日志、應用程序日志等作為數(shù)據(jù)源，當然也可以通過其他手段(如監(jiān)督系統(tǒng)調(diào)用)從所在的主機收集信息進行分析。 根據(jù)檢測對象的不同，入侵檢測系統(tǒng)可分為主機型和網(wǎng)絡型。響應單元則是對分析結(jié)果做出反應的功能單元，它可以做出切斷連接、改變文件屬性等強烈反應，也可以只是簡單的報警。事件產(chǎn)生器的目的是從整個計算環(huán)境中獲得事件，并向系統(tǒng)的其他部分提供此事件。不僅省去了專用通信線路，而且為信息共享提供了技術(shù)保障。除了安全作用，有的防火墻還支持具有Internet服務特性的企業(yè)內(nèi)部網(wǎng)絡技術(shù)體系VPN。對網(wǎng)絡存取和訪問進行監(jiān)控審計:如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并做出日志記錄，同時也能提供網(wǎng)絡使用情況的統(tǒng)計數(shù)據(jù)。由于只有經(jīng)過精心選擇的應用協(xié)議才能通過防火墻，所以網(wǎng)絡環(huán)境變得更安全。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡的安全。它是不同網(wǎng)絡或網(wǎng)絡安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡的信息流，且本身具有較強的抗攻擊能力。 網(wǎng)絡信息安全技術(shù) 防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡技術(shù)和信息安全技術(shù)基礎上的應用性安全技術(shù)，越來越多地應用于專用網(wǎng)絡與公用網(wǎng)絡的互聯(lián)環(huán)境之中，尤其以接入Internet網(wǎng)絡為甚