【正文】 、非破壞性的辦法對系統(tǒng)進行檢測。它采用被動的、非破壞性的辦法檢查應用軟件包的設置，發(fā)現(xiàn)安全漏洞。 ⑥ 設置誘騙服務器：有的偵測系統(tǒng)還在安全構架中提供了誘騙服務器，以便更準確地確定攻擊的威脅程度。 ④ 偵測系統(tǒng)的管理和安裝：用戶采用偵測系統(tǒng)時，需要根據本網的一些具體情況而定。 ② 采用的分析類型：可分為簽名分析、統(tǒng)計分析和完整性分析。 ⑤ 綜合以上 4種方法進行監(jiān)控。 ③ 基于目標的監(jiān)控技術。 上一頁 下一頁 目 錄 結 束 本 節(jié) 2．入侵檢測 ⑴ 常用的入侵檢測技術 入侵檢測技術可分為五種 : ① 基于應用的監(jiān)控技術。 上一頁 下一頁 目 錄 結 束 本 節(jié) 入侵檢測和漏洞檢測系統(tǒng) 1．入侵檢測和漏洞檢測系統(tǒng)的作用 入侵檢測和漏洞檢測系統(tǒng)是網絡安全系統(tǒng)的一個重要組成部分，它不但可以實現(xiàn)復雜煩瑣的信息系統(tǒng)安全管理，而且還可以從目標信息系統(tǒng)和網絡資源中采集信息，分析來自網絡外部和內部的入侵信號和網絡系統(tǒng)中的漏洞，有時還能實時地對攻擊做出反應。 5．破壞系統(tǒng) 常見的破壞裝置有郵件炸彈和病毒等。 Sniffer的威脅還在于被攻擊方無法發(fā)現(xiàn)。放置 Sniffer，可使網絡接口處于廣播狀態(tài)，從而截獲網上傳輸?shù)男畔?。特洛依程序提供或隱藏了一些功能，這些功能可以泄漏一些系統(tǒng)的私有信息，或者控制該系統(tǒng)。 上一頁 下一頁 目 錄 結 束 本 節(jié) 3．特洛依木馬 (trojan horse) 所謂特洛依程序是指任何提供了隱藏的、用戶不希望的功能的程序。但實際上，真正的加密口令是很難逆向破解的。理解和分析這些信息，就可能發(fā)現(xiàn)破壞目標機安全性的關鍵因素。所謂掃描器，實際上是自動檢測遠程或本地主機安全性弱點的程序。 ⑷ 如果該黑客在這臺受損系統(tǒng)上獲得了特許訪問權，那么它就可以讀郵件，搜索和盜竊私人文件，毀壞重要數(shù)據，破壞整個系統(tǒng)的信息，造成不堪設想的后果。 ⑵ 該黑客可能在目標系統(tǒng)中安裝探測器軟件，包括特洛伊木馬程序，用來窺探所在系統(tǒng)的活動，收集黑客感興趣的一切信息，如 Tel和 FTP的帳號名和口令等等。 ⑵ 利用公開的工具 像 Inter的電子安全掃描程序 ISS(Inter Security Scanner)、審計網絡用的安全分析工具SATAN(Security Analysis Tool for Auditing Network)等這樣的工具，可以對整個網絡或子網進行掃描，尋找安全漏洞。 上一頁 下一頁 目 錄 結 束 本 節(jié) 入侵檢測技術 入侵者常用手段分析 1．信息收集 ⑴ 使用 SNMP(簡單網絡管理協(xié)議 ) ⑵ 使用 TraceRoute程序 ⑶ 使用 Whois服務 ⑷ DNS服務 ⑸ Finger協(xié)議 ⑹ Ping實用程序 ⑺ 自動 Wardialing軟件 上一頁 下一頁 目 錄 結 束 本 節(jié) 2．系統(tǒng)安全弱點的探測 在收集到攻擊目標的一批網絡信息之后，黑客會探測網絡上的每臺主機，以尋求該系統(tǒng)的安全漏洞或安全弱點。 ③ 防火墻系統(tǒng)防范的對象是來自網絡外部的攻擊，而不能防范不經由防火墻的攻擊。然而事實證明， 50%以上的黑客入侵都來自于內部網絡，但是對此防火墻卻無能為力。 上一頁 下一頁 目 錄 結 束 本 節(jié) 防火墻系統(tǒng)的局限性 ① 防火墻把外部網絡當成不可信網絡，主要是用來預防來自外部網絡的攻擊。 上一頁 下一頁 目 錄 結 束 本 節(jié) 防火墻的部署 首先，應該安裝防火墻的位置是公司內部網絡與外部 Inter的接口處，以阻擋來自外部網絡的入侵；其次，如果公司內部網絡規(guī)模較大，并且設置有虛擬局域網 (VLAN)，則應該在各個 VLAN之間設置防火墻；第三，通過公網連接的總部與各分支機構之間也應該設置防火墻，如果有條件，還應該同時將總部與各分支機構組成虛擬專用網(VPN)。代理某種 Inter網絡服務并進行安全檢查，每一個應用網關代理服務程序都是為一種網絡應用服務而定制的程序，如 FTP代理、Tel代理、 SMTP代理等。它中繼所有的網絡通信服務，并具有授權認證、訪問控制、日志記錄、審計報告和監(jiān)控等功能。一般屏蔽路由器會允許內部網絡的 IP包發(fā)往 Inter，而對從 Inter網上發(fā)來的 IP包，則要仔細檢查，根據路由器上的訪問控制表 (ACL)，有選擇性地允許或阻止它們的通行。因此，監(jiān)測型防火墻不僅超越了傳統(tǒng)防火墻的定義，而且在安全性上也超越了前兩代產品。同時，這種檢測型防火墻產品一般還帶有分布式探測器，這些探測器安置在各種應用服務器和其他網絡的節(jié)點之中，不僅能夠檢測來自網絡外部的攻擊，同時對來自內部的惡意破壞也有極強的防范作用。 上一頁 下一頁 目 錄 結 束 本 節(jié) 3．監(jiān)測型 監(jiān)測型防火墻是新一代的產品，這一技術實際已經超越了最初的防火墻定義。當客戶機需要使用服務器上的數(shù)據時，首先將數(shù)據請求發(fā)給代理服務器，代理服務器再根據這一請求向服務器索取數(shù)據，然后再由代理服務器將數(shù)據傳輸給客戶機。代理服務器位于客戶機與服務器之間，完全阻擋了二者間的數(shù)據交流。 但包過濾技術的缺陷也是明顯的。系統(tǒng)管理員也可以根據實際情況靈活制訂判斷規(guī)則。網絡上的數(shù)據都是以“包”為單位進行傳輸?shù)模瑪?shù)據被分割成為一定大小的數(shù)據包，每一個數(shù)據包中都會包含一些特定信息，如數(shù)據的源地址、目標地址、TCP/IP源端口和目標端口等。如果防火墻采取第二種模型，則正好相反，需要確定哪些被