【正文】 關(guān)系 。第二部分是針對(duì)入侵時(shí)間零點(diǎn)，這部分的安全技術(shù)要針對(duì)的是正在進(jìn)行的入侵活動(dòng)，它又分成二類。它們是在當(dāng)入侵活動(dòng)發(fā)生時(shí)，及時(shí)檢測(cè)和阻止入侵活動(dòng)。 通過對(duì)時(shí)間線分析，可以發(fā)現(xiàn)，當(dāng)前的各項(xiàng)安全技術(shù)在時(shí)間線大都是離散的，也即它們?cè)跁r(shí)間線上的作用范圍有限。 針對(duì)這種情況，研究人員提出新一代的入侵防御技術(shù) :基于時(shí)間線的入侵防御技術(shù)。它主要具有以下特點(diǎn) :入侵前期的各項(xiàng)技術(shù)如安全策略配置等，可以利用它們的信息對(duì)入侵零點(diǎn)檢測(cè)技術(shù)如 IDS/IPS 系統(tǒng)進(jìn)行配置，從而提高這類技術(shù)對(duì)入侵行為檢測(cè)的準(zhǔn)確度。 同樣這類的安全評(píng)估信息也可以用子入侵后處理技術(shù)，如 SIM/鄰 M，可以增加它們對(duì)事件關(guān)聯(lián)性的分析能力。并可以實(shí)現(xiàn)對(duì)入侵前期技術(shù)如安全策略 配置等技術(shù)中，實(shí)現(xiàn)對(duì)策略的更新。它通過收集和分析網(wǎng)絡(luò)行為、 安全日志 、審計(jì)數(shù)據(jù)、其它 網(wǎng)絡(luò) 上可以獲得的 信息 以及計(jì)算機(jī)系統(tǒng) 中若干關(guān)鍵點(diǎn)的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反 安全策略 的行為和被攻擊的跡象。因此被認(rèn)為是 防火墻 之后的第 二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)。 入侵檢測(cè)是防火墻的合理補(bǔ)充，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。 第四章 入侵檢測(cè)技術(shù) 入侵檢測(cè)技術(shù) 是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。根據(jù)這一理念建立主體正?；顒?dòng)的 “活動(dòng)簡(jiǎn)檔 ”，將當(dāng)前主體的活動(dòng)狀況與 “活動(dòng)簡(jiǎn)檔 ”相比較，當(dāng)違反其統(tǒng)計(jì)規(guī)律時(shí)，認(rèn)為該活動(dòng)可能是 “入侵 ”行為。 誤用入侵檢測(cè)技術(shù) 又稱為基于知識(shí)的檢測(cè)。首先，代寫留學(xué)生 論文 對(duì)已知的攻擊方法進(jìn)行攻擊簽名 (攻 擊簽名是指用一種特定的方式來表示已知的攻擊模式 )表示，然后根據(jù)已經(jīng)定義好的 16 攻擊簽名，通過判斷這些攻擊簽名是否出現(xiàn)來判斷入侵行為的發(fā)生與否。誤用檢測(cè)的關(guān)鍵問題是攻擊簽名的正確表示。由于多數(shù)入侵行為是利用系統(tǒng)的漏洞和應(yīng)用程序的缺陷，因此，通過分析攻擊過程的特征、條件、排列以及事件間的關(guān)系，就可具體描述入侵行為的跡象。 誤用檢測(cè)將收集到的信息與已知的攻擊簽名模式庫(kù)進(jìn)行比較，從中發(fā)現(xiàn)違背安全策略的行為。該方法類似于病毒檢測(cè)系統(tǒng)，其檢測(cè)的準(zhǔn)確率和效率都比較高。 第 五 章 入侵防御技術(shù) 入侵防御協(xié)同技術(shù) 入侵檢測(cè)技術(shù)的演進(jìn)。 IDS 產(chǎn)品被認(rèn)為是在防火墻之后的第二道安全防線在攻擊檢測(cè)、安全審計(jì)和監(jiān)控等方面都發(fā)揮了重要的作用。特別是誤報(bào)、漏報(bào)和對(duì)攻擊行為缺乏實(shí)時(shí)響應(yīng)等問題比較突出 ，并且嚴(yán)重影響了產(chǎn)品發(fā)揮實(shí)際的作用。Gartner 認(rèn)為 IDS 不能給網(wǎng)絡(luò)帶來附加的安全，反而會(huì)增加管理員的困擾，建議用戶使用入侵防御系統(tǒng) (IPS， Intrusion Prevention System)來代替 IDS。 17 從功能上來看， IDS 是一種并聯(lián)在網(wǎng)絡(luò)上的設(shè)備，它只能被動(dòng)地檢測(cè)網(wǎng)絡(luò)遭到了何種攻擊，它的阻斷攻擊能力非常有限，一般只能通過發(fā)送 TCP reset 包或聯(lián)動(dòng)防火墻來阻止攻擊。因此，從實(shí)用效果上來看，和 IDS 相比入侵防御系統(tǒng) IPS向前發(fā)展了一步，能夠?qū)W(wǎng)絡(luò)起到較好的實(shí)時(shí)防護(hù)作用。根據(jù) Gartner 的分析，目前對(duì)網(wǎng)絡(luò)的攻擊有 70%以上是集中在應(yīng)用層，并且這一數(shù)字呈上升趨勢(shì)。因此，對(duì) 具體應(yīng)用的有效保護(hù)就顯得越發(fā)重要。這些檢測(cè)技術(shù)的特點(diǎn)是主要針對(duì)已知的攻擊類型，進(jìn)行基于攻擊特征串的匹配。 為了解決日益突出的應(yīng)用層防護(hù)問題，繼入侵防御系統(tǒng) IPS 之后，應(yīng)用入侵防護(hù)系統(tǒng) (AIP， Application Intrusion Prevention)逐漸成為一個(gè)新的熱點(diǎn)，并且正得到日益廣泛的應(yīng)用。防火墻的訪問控制策略中必須開放應(yīng)用服務(wù)對(duì)應(yīng)的端口，如 web 的 80 端口。入侵檢測(cè)和入侵防御系統(tǒng)并不是針對(duì)應(yīng)用協(xié)議進(jìn)行設(shè)計(jì)，所以同樣無法檢測(cè)對(duì)相應(yīng)協(xié)議漏洞的攻擊。 所謂應(yīng)用入侵防護(hù)系統(tǒng) AIP，是用來保護(hù)特定應(yīng)用服務(wù) (如 web 和數(shù)據(jù)庫(kù)等應(yīng)用 )的網(wǎng)絡(luò)設(shè)備，通常部署在 應(yīng)用服務(wù)器之前，通過 AIP 系統(tǒng)安全策略的控制來防止基于應(yīng)用協(xié)議漏洞和設(shè)計(jì)缺陷的惡意攻擊。在國(guó)外權(quán)威機(jī)構(gòu)的一次網(wǎng)絡(luò)安全評(píng)估過程中發(fā)現(xiàn)， 97%的 web 站點(diǎn)存在一定應(yīng)用協(xié)議問題。因此對(duì)于 web 等應(yīng)用協(xié)議，應(yīng)用入侵防護(hù)系統(tǒng) AIP 應(yīng)用比較廣泛。 Yankee Group 預(yù)測(cè)在未來的五年里， AIP 將和防火墻，入侵檢測(cè)和反病毒等安全技術(shù)一起，成為網(wǎng)絡(luò)安全整體解決方案的一個(gè)重要組成部分。 傳統(tǒng)的軟件形式的應(yīng)用入侵防護(hù)產(chǎn)品受性能的限制，只能應(yīng)用在 中小型網(wǎng)絡(luò)中；基于 x86 架構(gòu)的硬件產(chǎn)品無法達(dá)到千兆流量的要求；近年來，網(wǎng)絡(luò)處理器 (NP)在千兆環(huán)境中得到了日益廣泛的應(yīng)用，但 NP 的優(yōu)勢(shì)主要在于網(wǎng)絡(luò)層以下的包處理上，若進(jìn)行內(nèi)容處理則會(huì)導(dǎo)致性能的下降。其設(shè)計(jì)特點(diǎn)是采用不同的處理器實(shí)現(xiàn)各自獨(dú)立的功能，由網(wǎng)絡(luò)處理芯片實(shí)現(xiàn)網(wǎng)絡(luò)層和傳輸層以下的協(xié)議棧處理，通過高速內(nèi)容處理芯片進(jìn)行應(yīng)用層的協(xié)議分析和內(nèi)容檢查。在上面系統(tǒng)框架中，包處理引擎收到數(shù)據(jù)包后，首先由網(wǎng)絡(luò)處理器進(jìn)行傳輸層以下的協(xié)議棧處理，并將數(shù)據(jù)包還原成數(shù)據(jù)流。只有符合安全策略要求的數(shù)據(jù)流才會(huì)被發(fā)送到服務(wù)器，攻擊包則被丟棄。對(duì)于面向大型 web 應(yīng)用，產(chǎn)品通過多種功能的集成實(shí)現(xiàn)有效的應(yīng)用防護(hù)： Web 應(yīng)用入侵防護(hù)。根據(jù)內(nèi)置的規(guī)則及啟發(fā)式的安全策略，有效防范各種針對(duì) web應(yīng)用的攻擊行為。系統(tǒng)通過網(wǎng)絡(luò)處理芯片，對(duì) Synflood、Icmpflood、 Upflood、 PinfOfDeath、 Smurf、 Ping Sweep 等網(wǎng)絡(luò)層的拒絕服務(wù)攻擊進(jìn)行過濾的防范，有效保護(hù)服務(wù)器。通過硬件的 ACL 匹配算法，系統(tǒng)能夠在實(shí)現(xiàn)線速轉(zhuǎn)發(fā)的同時(shí)對(duì)數(shù)據(jù)包進(jìn)行實(shí)時(shí)的訪問控制。系統(tǒng)以透明模式 接入網(wǎng)絡(luò)，在增強(qiáng)安全性的同時(shí)，網(wǎng)絡(luò)性能不會(huì)受到任何影響，真正實(shí)現(xiàn)了應(yīng)用層內(nèi)容處理和千兆高性能的完美結(jié)合。目前的各項(xiàng)安全技術(shù)都存在一些缺點(diǎn)，之所以會(huì)存在這樣的情況，除了網(wǎng)絡(luò)的結(jié)構(gòu)，協(xié)議和應(yīng)用非常復(fù)雜之外，各項(xiàng)安全技術(shù)沒有實(shí)現(xiàn)信息共享，從而造成各項(xiàng)技術(shù)在分析入侵行為以及預(yù)防和阻止入侵行為時(shí)缺乏充分的信息支持。時(shí)間線概念的提出，從宏觀角度分析了各項(xiàng)安全技術(shù)對(duì)于入侵時(shí)間的作用范圍?？梢妼?duì)各項(xiàng)安全技術(shù)的整合，實(shí)現(xiàn)它們之間共享彼此信息將是下一代安全系統(tǒng)和安全技術(shù)的發(fā)展主流方向 20 參考文獻(xiàn) [1]賈晶，陳元，王麗娜編著，信息系統(tǒng)的安全與保密，第一版， ，清 華大學(xué)出版社 [2]EricMaiwald， Wi1liEducation,SecurityPlanningamp。TelemunicationsPress, [3]程勝利，談冉，熊文龍，程煌，計(jì)算機(jī)病毒及其防治技術(shù)， ,清華大學(xué)出版社 [4]張小磊，計(jì)算機(jī)病毒診斷與防治， 2020， 中國(guó) 環(huán)境 科學(xué) 出版社 [5]東軟集團(tuán)有限公司， NetEye 防火墻使用指南 ， 13 [6]段鋼，加密與解密，第二版， ，電子 工業(yè) 出版社 [7]張劍，網(wǎng)絡(luò)安全防御系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)，電子科技大學(xué)碩士學(xué)位 論文 ， [8]黑客防線 2020 精華奉獻(xiàn)本上、下冊(cè)，人民郵電出版社， 2020 [9]陸浪如，信息安全評(píng)估標(biāo)準(zhǔn)的研究與信息安全系統(tǒng)的設(shè)計(jì)，解放軍信息工程大學(xué)軍事學(xué)博士學(xué)位 論文， [10]黃月江 ,信息安全與保密 ,北京 :國(guó)防工業(yè)出版社， 1999 [13]YUJianping1,XIEWeixin1,YANQiao,securityanditsdefencetechniquesSemiconduct 21 致謝 三 年的讀書生活在這個(gè)季節(jié)即將劃上一個(gè)句號(hào)，而于我的人生卻只是一個(gè)逗號(hào)，我將面對(duì)又一次征程的開始。 偉人、名人為我所崇拜，可是我更急切地要把我的敬意和贊美獻(xiàn)給一位平凡的人，我的導(dǎo)師。您治學(xué)嚴(yán)謹(jǐn)，學(xué)識(shí)淵博，思想深邃，視野雄闊，為我營(yíng)造了一種良好的精神氛圍。 感謝我的爸爸媽媽，焉得諼草，言樹之背，養(yǎng)育之恩，無以 回報(bào)，你們永遠(yuǎn)健康快樂是我最大的心愿。 最后再一次感謝所有在畢業(yè)設(shè)計(jì)中曾經(jīng)幫助過我的良師益友和同學(xué)，以及在設(shè)計(jì)中被我引用或參考的論