网络安全硕士论文-校园网安全性能的研究与实现.doc

资源描述

《网络安全硕士论文-校园网安全性能的研究与实现.doc》由会员分享，可在线阅读，更多相关《网络安全硕士论文-校园网安全性能的研究与实现.doc（50页珍藏版）》请在三一文库上搜索。

1、贵州大学 2011 届硕士研究生学位论文校园网安全性能的研究与实现学科专业：计算机应用技术研究方向：网络安全导师：研究生：中国贵州贵阳 2010 年 11 月分类号： TP393 论文编号：2008081203014 密级：目录摘要 I ABSTRACT II 第一章前言1 1.1 研究背景.1 1.2 研究现状.2 1.3 研究的主要内容.3 1.4 论文的组织结构.3 第二章网络安全技术介绍5 2.1 网络安全的定义.5 2.2 网络安全的基本要求及层次体系.5 2.3 网络安全技术.7 2.3.1 防火墙技术.7 2.3.2 入侵检测技术.9

2、 2.3.3 身份认证技术.12 2.3.4 防病毒技术.13 2.3.5 VPN 技术16 第三章凯里学院网络的安全分析18 3.1 凯里学院网络的介绍.18 3.1.1 校园网的拓扑结构.18 3.1.2 校园网主干设备的选择.20 3.2 校园网的安全分析.26 3.2.1 校园网面临的安全威胁分析.26 3.2.2 校园网实现的安全目标.27 第四章凯里学院网络的安全实现29 4.1 校园网络安全实现概述.29 4.2 物理安全平台的实现.29 4.3 网络安全技术的实现.31 4.3.1 防火墙的应用.32 4.3.2 入侵检测系统的应用.32 4.3.3 防病毒技术的应用.34

3、 4.3.4 数据备份和恢复技术的应用.34 4.4 安全的管理制度.35 4.5 安全实现的模拟分析.36 4.5.1 外部攻击行为防护性能分析.37 4.5.2 内部攻击行为防护性能分析.38 第五章结论与展望40 5.1 结论40 5.2 展望40 致谢41 主要参考文献42 附录攻读硕士学位期间发表的论文44 贵州大学工程硕士论文 I 摘摘要要计算机科学与技术的不断发展和计算机的广泛应用，促进了社会的进步和繁荣，给人类创造了巨大的财富。尤其是计算机网络的发展，日新月异，使信息共享广泛用于金融、贸易、商业、企业、教育等各个领域。然而由于信息在网络上存储、共享和传输会被他人

4、非法窃听、截取、篡改或破坏而导致不可估量的损失，使网络面临着严重的安全问题。校园网络作为学校的重要基础设施，担负着学校教学、科研、管理和与其它学校进行交流的重要责任，校园网络已成为学校正常运行的基本条件之一。安全问题也成为了校园网络研究的重点。本文以凯里学院网络为研究对象，分析了网络安全管理技术：防火墙技术、入侵检测技术，VPN 技术、身份认证技术、病毒防范技术，分析了凯里学院网络的安全现状并指出了网络安全方面存在的隐患。针对凯里学院校园网络的具体情况，提出了对学院校园网络安全实现的探讨，通过在校园网络出口处设置防火墙阻断校园网络与 Interner 连接产生的威胁，在学校的

5、重要部门设置入侵检测系统来防护外网及内部用户所产生的威胁，对于计算机系统的漏洞威胁，可以安装防病毒软件。通过合理的部署这些安全产品，再加上安全的管理制度，使整个校园网络达到安全的目的。关键词关键词：校园网络；网络安全；安全技术；安全管理贵州大学工程硕士论文 II Abstract The development of computer science and technology and a wide range of applications of computers promote social progress and prosperity and create enormous

6、 wealth for mankind. In particular, through computer networks, sharing information is widely used in finance, trade, business, education and other fields. However, information stored, shared and sended by the network might be unlawfully eavesdropped, intercepted, tampered, destructed, which causes i

7、ncalculable losses to the network and makes network face serious security problems. As an important infrastructure in school, campus network makes teaching, research, management and exchanges with other schools more convenient. Campus network has become a necessary for normal work in school. So secu

8、rity has become a key field of campus network research. Through studying the network of Kaili College, based on the analysis of the technology of network security management: firewall technology, intrusion detection, VPN technology, authentication technology, anti- virus technology, we analyze the s

9、tatus of Kaili College network and point out the hidden danger in the network in this paper. According to the specific circumstances of the network security of Kaili College, the paper discusses the ways to achieve security.installing the firewall prevent the threat from connection between the campu

10、s network and Internet, installing intrusion detection system in important sectors in school prevent threat from users of internal and external network and installing anti-virus software prevent the vulnerabilities of the computer system. Through the rational application of these safe products above

11、,with the safe management system, the entire campus network will be in security. Keywords: campus network; network security; security technology; security management 贵州大学工程硕士论文 1 第一章第一章前前言言 1.1 研究背景研究背景互联网的产生，是人类智慧的结晶，20 世纪的重大科技发明，当代社会先进生产力的重要标志。互联网的快速发展和应用深刻影响着世界经济、政治、文化和社会的发展，促进了社会生产生活和信息传播的变

12、革，改变着人们的生活方式。 2010 年 7 月 15 日，中国互联网络信息中心(CNNIC)在京发布了第 26 次中国互联网络发展状况统计报告(以下简称报告)。报告中显示，截至 2010 年 6 月底，我国网民规模达 4.2 亿人，互联网普及率持续上升增至 31.8%。手机网民成为拉动中国总体网民规模攀升的主要动力，半年内新增 4334 万，达到 2.77 亿人，增幅为 18.6%。值得关注的是，互联网商务化程度迅速提高，全国网络购物用户达到 1.4 亿，网上支付、网络购物和网上银行半年用户增长率均在 30%左右，远远超过其他类网络应用。但尽管如此，网络应用仍然受到各种安全因素

13、的困扰。CNNIC 调查发现，仅 2010 年上半年，就有 59.2%的网民在使用互联网过程中遇到过病毒或木马攻击；30.9%的网民账号或密码被盗过；电子商务网站访问者中 89.2%的人担心假冒网站，其中，86.9% 的人表示如果无法获得该网站进一步的确认信息，将会选择退出交易。由此可见，网络安全和信任问题已经成为网络商务深层次发展的最大制约因素，互联网向商务交易型应用的发展，急需建立更加可信、可靠的网络环境。提高网民对互联网的信任程度，已经成为当前迫切需要解决的问题，构建“可信”的网络环境是网络发展的基本条件及必然趋势。学校的主要工作就是教书育人，科学研究，而教书育人，科学研究却

14、依赖着校园网才得以实现，这决定了校园网必然是一个开放的网络形态。校园网的安全问题和互联网的安全问题一样，日益突出，受到各种病毒、不健康信息、非法入侵行为和各种各样的不安全因素的危害，导致学校、教师和学生同时受到了危害，影响了学校的教学、科研的进行以及学校自身的健康发展。因此，校园网络的安全问题已成为了制约学校发展的问题之一。保障校园网络环境的安全己经刻不容缓。贵州大学工程硕士论文 2 1.2 研究现状研究现状网络安全是信息安全的重要分支，是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性科学。网络安全是信息安全研究体系

15、中一个重要的研究领域，而且随着网络技术的发展，越来越成为信息安全研究体系中的重中之重。6网络安全一直是网络研究领域的核心课题之一，国内外专家纷纷从不同视觉、不同层面，采用不同方法开展网络安全研究，他们从各个侧面研究了不同的网络安全理论与技术。我国从 1994 年开始启动中国教育科研计算机网(CERNET，China Educationand Research Network)，1998 年 10 月，启动二期工程。到 1999 年，已经有几百所学校通过 CERNET 互相连接，从根本上改善了教师、学生、科研人员之间的信息交流、资源共享、科学计算以及科研合作的条件。到 2000 年第

16、二期工程完成时，已经连接了国内 1000 余所大学。而作为龙头大学，北大、清华的校园网硬件设施已初具规模，已经实现了“千兆到楼，百兆到桌面” ，网络系统成熟稳定，24 小时开通。截止到 2007 年底，我国高校几乎都已建立自己的校园网，其中拥有 1000M 主干带宽的高校已占高校总数的 65%以上，一些综合类大学和理工类院校率先升级到万兆校园网。15但是很多高校在网络安全、稳定方面却考虑比较少。许多学校所谓的安全解决方案只是单单的购买一套防火墙、安装一套杀病毒软件而已，没有相应的安全管理机构和安全管理措施，也没有发生故障或灾难时的安全恢复措施，这样的安全方案必将带来巨大的信息安

17、全隐患，难以保证学校网络正常的运行。目前，国外高校的校园网在基础建设、应用建设和安全建设安全都比我国完善。他们的网络建设包括应用建设都是在一个合理的安全构架或者安全规范下进行的，因此他们能够保证向师生提供安全、稳定、高效的校园网服务。他们的安全技术标准基本上都是按照国家规定的网络安全标准和信息技术标准设计和实施的。这些网络安全标准制定了一个具体的网络安全架构，建立了网络安全的技术要求和规范，对网络信息的安全起到了保障。贵州大学工程硕士论文 3 1.3 研究的主要内容研究的主要内容校园网络是建设数字化校园的前提，而网络安全则是校园网络正常使用的前提，没有安全的网络环境，校园网则

18、起不到对外交流的目的，发挥不了网络在校园中的作用。因此校园网络安全问题要高度重视。本论文以网络安全管理技术为理论基础，针对凯里学院网络的现状进行了分析，探讨了凯里学院校园网现在存在的安全问题，并针对这些问题如何在以后的校园网络建设中进行完善，并采取了相应的解决措施，以致创建一个和谐安全的校园网络环境，来满足全院师生的网络需求，为学院教学科研的发展提供基本的网络保证。本论文主要研究的内容是： 1) 简要介绍网络安全的基本理论知识，对防火墙技术、入侵检测技术、身份认证技术、防病毒技术和 VPN 技术的概念、功能和应用等进行了阐述。 2) 简要介绍凯里学院校园网络的现状及发展，校园网

19、络采用的关键设备，这是网络安全的基本设施。 3) 分析校园网络存在的不安全因素，主要有：与因特网连接产生的威胁、校园网内部用户产生的威胁以及计算机漏洞存在的威胁。 4) 通过校园网存在的不安全因素，应用了防火墙技术、入侵检测技术、防病毒技术和建立安全的网络管理制度来隔离威胁的存在，并在模拟实验环境中进行了分析。 1.4 论文的组织结构论文的组织结构第一章前言。介绍了论文研究的背景和现状。第二章网络安全技术介绍。对防火墙技术、入侵检测技术、身份认证技术、防病毒技术和 VPN 技术的概念、功能进行了介绍。第三章凯里学院网络的安全分析。对凯里学院网络安全现状进行分析，得出校园

20、网主要面临的安全威胁。第四章凯里学院网络的安全实现。通过应用防火墙技术、入侵检测技术、防病毒技术和建立安全的网络管理制度来实现校园网的安全，并通过模拟环境的贵州大学工程硕士论文 4 构建对所采用的措施进行了分析。第五章结论与展望。对论文研究的内容进行总结及对进一步工作的展望。贵州大学工程硕士论文 5 第二章第二章网络安全技术介绍网络安全技术介绍 2.1 网络安全的定义网络安全的定义网络安全是信息安全的重要分支，是一门涉及到计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多门学科的综合性科学。网络安全是信息安全研究体系中的一个重要的研究领域，

21、而且随着网络技术的不断发展，越来越成为信息安全研究体系当中的重中之重。那么，网络安全具体的定义是什么？在国际上，将计算机安全定义为：“为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏” 。从这一定义我们可以看出，计算机安全包含了物理方面的安全和逻辑方面的安全，其中逻辑安全，通常是我们常说的信息安全，指的是信息的保密性、完整性和可用性，而网络安全性的含义是信息安全的引申，即网络安全指的是网络信息的保密性、完整性和可用性。但是随着时代的不断进步，计算机网络安全的具体含义也会随着时代变化而变化，时代不同，对网络安全的

22、认识和要求也就不同。从最初的角度来说，计算机网络安全主要包括隐私或机密信息在网络上传输时受到保护，避免被非法窃听、篡改和伪造；而除此之外，还要考虑如何应付突发的自然灾害、军事打击等对网络硬件的破坏，以及在网络出现异常时如何恢复网络通信，保持网络通信的连续性。随着数字网络时代的到来，网络安全不但包括组成网络系统的硬件、软件及其在网络上传输信息的安全性，还包括偶然的或者恶意的攻击遭到的破坏后的应对力，网络安全既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可。 2.2 网络安全的基本要求及层次体系网络安全的基本要求及层次体系网络安全的目标是保护网络信息的机密性、完整性

23、和可用性，即 CIA（Confidentiality,Integrity,Availability）。也就是，网络安全应具有以下三个方面的基本要求： 1) 保密性（Confidentiality）：指的是保证数据信息不被非授权的用贵州大学工程硕士论文 6 户访问，即使非授权用户通过非法手段得到信息也无法知晓数据信息的内容，因而得到信息却不能使用也是徒然。 2) 完整性（Integrity）：指的是保护数据信息的一致性，即数据信息在生成、传输、存储和使用的过程中不应该发生人为或非人为的非授权篡改。数据信息的完整性包括两个方面的内容：数据信息的完整性，即数据没有被未授权的用户篡改或

24、者损坏；系统的完整性，即系统没有被用户非法操纵，依然按原来制定的目标运行。 3) 可用性（Availability）：指的是保障数据信息资源随时可以提供服务能力的特性，即授权用户根据自己的需要可以随时访问所需要的数据信息。可用性是信息资源服务功能和性能可靠性的度量指标，涉及到网络、数据、应用、系统和用户等多个方面的因素，可用性是衡量一个可靠信息网络的重要标准。从层次体系上来看，网络安全可以分为 4 个层次上的安全：即物理安全，逻辑安全，操作系统的安全和联网安全。 1) 物理安全：主要包括 5 个方面的安全：防火，防盗，防雷击，防静电和防电磁泄漏。 2) 逻辑安全：计算机的逻辑安

25、全可以通过口令、文件许可等方法来实现。可以限制用户登录的次数或者是对用户的试探操作限制时间次数；可以通过软件来保护存储在计算机文件中的信息；限制存取的另一种方式是通过硬件完成的，计算机在接收存取要求后，先询问并且核对其口令，然后再访问目录中被授权的用户标志号。此外，还有一些安全的软件数据包也可以对可疑的、未授权的存取进行跟踪，比如，多次登录的情况或者是对别人的文件进行请求。 3) 操作系统安全：操作系统是计算机中最基础、最重要的软件。同一台计算机可以分别安装几种不同的操作系统。对于一台计算机上的系统如果需要提供给许多人使用的话，操作系统必须能够区分使用的用户，以防止各个用户之

26、间进行相互的干扰。对于一些安全性较高、功能较强的操作系统，通常会为计算机的每一位用户分配一个账户。也就是，一个用户一个帐号。操作系统不允许任何一个用户修改由其它账户产生的数据信息。贵州大学工程硕士论文 7 4) 联网安全：联网的安全性可以通过以下两方面的安全服务来达到目标。访问控制服务：主要是用来保护计算机和联网资源不会被非授权的用户使用。通信安全服务：主要是对数据的机要性与完整性进行认证，以及各个通信的可信赖程度进行认证。 2.3 网络安全技术网络安全技术 2.3.1 防火墙技术防火墙技术 1.1.防火墙的定义及其基本功能防火墙的定义及其基本功能防火墙原来的意思是指在古代人

27、们为了防止火灾发生时，从一间房屋蔓延到另一间房屋，而在其之间修筑的一道城墙，目的是为了防止火势的蔓延，减少经济损失。但这里所说的防火墙并不是指为了防火而修筑的城墙，而是指在本地网络与外界网络之间的一道隔离的防御系统。在互联网上，防火墙是一种非常有效而且常用的网络安全系统，通过防火墙可以对风险区域（Internet 或有一定风险的网络）与安全区域（局域网）连接产生的危害进行隔离，同时也不会妨碍安全区域对风险区域的信息访问，网络防火墙的结构如图 2.1 所示。贵州大学工程硕士论文 8 图图 2.12.1 网络防火墙网络防火墙防火墙可以监控进出网络的数据信息，仅仅让安全、核准后的数据信

28、息进入局域网，抵制对局域网构成威胁的数据信息。根据不同的需要，防火墙的功能有比较大的差异，但是一般都包含有以下 3 种基本的功能。 1) 防火墙可以阻止没有授权的用户进入内部网络，过滤掉不安全的服务和非法的用户。 2) 防火墙可以防止黑客接近网络防御设施。 3) 防火墙可以限制局域网内部用户对特殊站点的访问。由于防火墙假设了网络边界和服务，因此适合相对独立的网络，例如 Internet 等种类相对集中的网络。Internet 上的 Web 网站中，超过三分之一的站点都是使用某种防火墙进行保护的，任何一个重要的服务器，都应该放置在防火墙之后，以保证服务器的安全。 2.2.防火墙的类型

29、防火墙的类型我们常见的防火墙通常有 3 种类型：分组过滤防火墙、应用代理防火墙和状态检测防火墙。 1) 分组过滤(Packet Filtering)防火墙：作用是在协议族的网络层和传输层，根据分组包头的源地址、目的地址和端口号、协议类型等标志来确定能否允许数据包通过，只有满足了过滤逻辑的数据包才能被防火墙转发到相应的目的地的出口端，没有满足过滤逻辑的数据包则从贵州大学工程硕士论文 9 数据流中丢弃掉。 2) 应用代理(Application Proxy)防火墙：也叫应用网关(Application Gateway)，它的作用是在应用层，其特点是完全“阻隔”网络的通信流量，通过对每

30、一种应用服务编制专门的代理程序，来实现对应用层通信流量的监视和控制。在实际中的应用网关通常是由专用的工作站来实现。 3) 状态检测（Status Detection）防火墙：它直接对分组里的数据包进行检测处理，并且结合前后分组的数据包进行综合的分析判断，然后再决定该数据包是否允许通过。 3.3.防火墙的局限性防火墙的局限性防火墙是一种对网络安全进行保障的网络安全技术，防火墙主要用于增强内部网络的安全性能，决定外界的哪些用户可以访问内部的哪些服务，以及内部人员可以访问外部的哪些站点。但是世界上没有万能的网络安全技术，防火墙也不例外。因此，防火墙也存在着自身的局限性，主要体现在以下

31、 3 个方面。 1) 防火墙对网络内部之间进行的攻击无能为力，它不能进行防护。比如：防火墙无法禁止授权者或者内部黑客把敏感的数据拷贝到自己的磁盘上。 2) 防火墙也不能防范那些伪装成超级用户或者诈称自己是新雇员的黑客们劝说没有防范心理的用户公开其口令，并授予它们临时的一个网络权限。 3) 防火墙不能对已感染病毒的软件或者文件进行查杀或者丢弃，防火墙不能对经过的每一个文件进行扫描，查出潜在的病毒进行处理。 2.3.2 入侵检测技术入侵检测技术 1.1.入侵检测的定义入侵检测的定义 James Anderson 在 1980 年完成的技术报告计算机安全威胁的监控 (ComputerSec

32、urity Threat Monitoring and Surveillance)中首次提出了入侵检测的概念。他使用了“威胁”这个词，实际上与“入侵”的意思是等同贵州大学工程硕士论文 10 的。入侵是指系统内部发生的任何违反安全策略的事件，具体包括对系统的非授权访问、授权用户超越其权限的访问、合法用户的非法访问、恶意程序的攻击及对系统配置信息和安全漏洞的探测等几种类型。1997 年，美国国家安全通信委员会(NSTAC)下属的一个入侵检测小组(IDSG)给出了入侵的定义，即入侵是对信息系统的非授权访问及(或)未经许可在信息系统中进行的非法操作。入侵检测简单地说就是检测并响应针对计算

33、机系统或网络的入侵行为的学科。它包括对系统的非法访问和越权访问的检测；包括监视系统的运行状态，以发现各种攻击企图、攻击行为或者攻击结果；还包括针对计算机系统或网络的恶意试探的检测。而上述对各种入侵行为的判定，即检测的操作，是通过在计算机系统或网络的各个关键点上收集数据并进行分析来实现的。1997 年，美国国家安全通信委员会(NSTAC)下属的入侵检测小组(1DSG)给出了一个入侵检测的经典定义，即入侵检测是对企图入侵、正在进行的入侵或者已经发生的入侵行为进行识别的过程。 2.2.入侵检测系统的分类入侵检测系统的分类入侵检测是一种能够增强系统安全的有效方法，能够检测出系统中违背系

34、统安全性规则或者威胁到系统安全的行为活动。检测时，通过对系统中用户的行为的可疑性程度进行评估，然后根据评估出来的结果来鉴别系统中那些行为正常，哪些行为不正常，再把评估结果传送给系统管理员，从而能够帮助系统管理员进行安全的管理，对系统所受到的攻击采取相应有效的措施。根据入侵检测的信息来源不一样，可以把入侵检测系统分为两类：一类是基于主机的入侵检测系统，一类是基于网络的入侵检测系统。 1) 基于主机的入侵检测系统：主要是用于保护关键应用的服务器。它通过监视与分析主机的审计记录和日志文件来检测入侵行为。日志中包含了发生在系统上的不寻常和不期望活动的数据证据，这些数据证据可以指出有人

35、正在入侵或者已经成功入侵系统的行为。通过查看日志文件，能够发现成功的入侵或者有入侵企图的行为，并立即启动相应的应急响应程序给入侵行为予以处理。 2) 基于网络的入侵检测系统：主要是用于实时监测网络关键路径的数据信息，它可以监听网络上的所有分组的信息，采集其数据，并对数据进行分析，找出可疑的现象与行为。贵州大学工程硕士论文 11 3.3.入侵检测的检测方法入侵检测的检测方法目前入侵检测常用的方法有 3 种：异常性检测方法、静态配置分析和基于行为的检测方法。 1) 静态配置分析方法：通过检查系统的配置（如系统文件的内容）来检查系统是否已经或者可能会遭到破坏。静态是指检查系统的静态特

36、征（如系统配置信息）。采用静态分析方法是因为入侵者对系统攻击时可能会留下痕迹，可通过检察系统的状态检测出来。 2) 异常性检测方法：它是一种在不需要操作系统及安全性缺陷的专门知识的情况下，就可以对入侵者进行检测的一种方法，同时它也是检测冒充合法用户的入侵者的一种有效方法。 3) 基于行为的检测方法:通过检测用户行为中是否有与某些已知的入侵行为模式类似的行为或者那些利用系统中的缺陷或是间接地违反了系统安全规则的行为，来检测系统中的入侵活动。 4.4.入侵检测模型入侵检测模型 1987 年，Denning 在论文“入侵检测模型”中提出了一种基于规则的模式匹配的入侵检测模型，它是入侵

37、检测领域早期最具代表性的模型之一。经过 20 多年的发展，计算机和网络技术密切结合，被保护系统的结构和规模发生了很大变化，攻击者对系统的入侵行为更加隐蔽。在和入侵行为斗争的过程中，入侵检测系统结合相关领域的最先进的技术和思想，其体系结构在 Denning 模型的基础上不断完善。其中最具有代表性的是通过入侵检测框架（Common Intrusion Detection Framework,CIDF），其基本机构如图 2.2 所示。贵州大学工程硕士论文 12 该模型主要由四部分组成： 1) 事件产生器（enent generator），又称 E 盒：其作用是从入侵检测系统之外的更大的

38、计算环境中收集事件，并将事件规范化为 CIDF 中的通用入侵检测对象（General Intrusion Detection Object, GIDO）的格式后送给 CIDF 中的其他部分。 2) 事件分析器(event analyzer)，又称 A 盒：其作用是接收事件产生器生成的 GIDO，并对其进行分析，再将分析结果以 GIDO 的格式发送给系统其他部分。事件分析器可以对孤立的 GIDO 进行分析，也可以将多个 GIDO 关联起来，共同分析。 3) 事件数据库(event database)，又称 D 盒：完成对必要的 GIDO 的持久化存储，方便将来进一步的使用。 4) 响

39、应单元(response unit)：又称 R 盒：接收从其他部分送来的 GIDO，并根据 GIDO 中的信息产生响应动作，如报警、关闭连接、终止进程、更改文件权限等。 5.5.入侵检测系统的工作流程入侵检测系统的工作流程入侵检测系统的工作流程可以分为：信息收集、信息分析和动作响应三个阶段。在 CIDF 模型中，这三个阶段所对应的功能单元分别是：事件产生器（E 盒）、时间分析器（A 盒）和响应单元（R 盒）。入侵检测系统一启动便开贵州大学工程硕士论文 13 始在这三个阶段间不断的切换，持续监控系统状态，检测其中可疑的入侵行为。信息收集阶段的主要工作是收集被保护系统的特征信息，可

40、以准确的发现系统中的入侵活动。信息分析阶段的主要工作是利用某种入侵检测技术对收集到的特征信息进行综合分析，发现其中存在的入侵行为事件。信息分析是整个入侵检测过程的核心阶段，信息分析的效率和性能决定着整个入侵检测系统的效率和性能。动作响应阶段的主要工作是根据对信息分析的结构，做出适当的响应动作，消除或者减小入侵行为可能对系统的危害。通常采取的响应动作有： 1）向管理员报警；2）将攻击者记入黑名单，停用攻击者帐号；3）断开与攻击者的网络连接，停止对攻击者的服务；4）更新防火墙的策略，屏蔽可疑地址；5）记录入侵事件等。 2.3.3 身份认证技术身份认证技术 1.1.身份认证的基本概念身

41、份认证的基本概念身份认证是证实对象身份的过程，它是最基本的安全服务，是其他安全服务的基础。用户在使用计算机或者上网时，需要一个唯一的身份标识(ID)，这是用户身份的证明，它决定了用户可以拥有的权限，记录了用户的行为。身份认证（ID Authentication）是对被认证对象证实是否属实及其身份是否有效的一个过程。身份认证有三个基本的要素，分别是： 1) 用户已知的事：例如用户知道的知识、口令、密码等。认证时，用户将一个秘密数字传送到系统，该秘密数字仅为用户和系统所知，系统据此可以认证用户。 2) 用户拥有的物品：可以借助信用卡、身份证、智能卡、钥匙、令牌等用户拥有的物品来认

42、证用户。 3) 用户的个人特征：每个用户都拥有一些可被记录并进行比较的生理或行为特征。例如指纹、笔迹、声音、手型、脸型等，这些特征由系统观察和记录，通过与系统中存储的特征相比较而对用户加以认证。 2.2.身份认证的形式身份认证的形式贵州大学工程硕士论文 14 身份认证可以分为单向认证、双向认证、第三方认证和公钥认证等形式，下面以口令认证为例说明这几种形式。单向认证：当客户 A 需要服务器 S 的服务时，客户 A 必须被服务器认证，这就是单向认证。通常是用户将他的 ID 和口令等身份的证明发送给服务器，服务器对收到的 ID 和口令进行验证以提供服务。双向认证：双向认证是一种相互认

43、证，其过程是在单向认证的基础上增加反方向的认证，也就是服务器身份被用户认证。在双向认证的情况下，如果有 n 个用户或服务器，每个用户均可与其他用户通信，则每个用户都应有能力认证其他用户并且被其他用户认证，这时每个用户需要存储 n-1 个用户的认证数据，用户增加、减少或者更改口令都需要进行大规模调整，因此不被经常使用。第三方认证：第三方认证是更为可靠的认证。在这种形式下，由第三方来存储全部用户的口令，并且第三方只负责存储和验证口令。每个用户或者服务器都可以向可靠的第三方发送 ID 和口令，以进行认证身份。公钥认证：利用密码技术进行认证是最可靠的认证方法。随着公开密钥密码体质的出现

44、，利用公开密钥密码技术进行用户认证得以实现。由于私钥、公钥成对出现且不可互推，因此私钥的持有者可以证实自己的身份。 2.3.4 防病毒技术防病毒技术随着计算机技术的发展和普及，计算机病毒像生物病毒侵袭人类社会一样侵袭和威胁着计算机系统，每次计算机病毒的大规模发作后，都会出现大量的存储介质被感染，数据被破坏，甚至计算机系统被摧毁。由于病毒的攻击，每年都会造成惨重的损失。 1.1.计算机病毒介绍计算机病毒介绍计算机病毒实质上就是一个程序，一段可执行的代码。就和生物病毒一样，计算机病毒有着独特的复制能力。计算机病毒可以很快地在计算机上蔓延，又常常难以根除。它们能把自身附着在各种类型的

45、文件上。当被感染病毒的文件被复制或者是从一个用户传送到另一个用户时，它们就跟随着文件一起传染开来。贵州大学工程硕士论文 15 计算机病毒除了具有复制的能力外，还具有其他一些共同特性：一个被感染病毒的程序能够传送病毒的载体。当你看到病毒载体似乎仅仅表现在某些文字和图像上时，它们就有可能已经毁坏了整个文件、再格式化了你的硬盘或者引发了其他类型的灾害。若是病毒并不寄生于一个感染的程序，他仍然能占据你磁盘的存储空间，使计算机运行速度变慢，降低你计算机的全部性能。计算机病毒和生物病毒一样，在病毒发作时，也会出现一些自己的症状，主要表现有： 1) 屏幕出现异常的滚动，却和行同步无关。 2

46、) 系统文件长度莫名其妙的发生变化。 3) 计算机屏幕上出现了异常信息、异常图形。 4) 计算机运行速度明显减慢，系统引导、打印速度也突然变慢。 5) 计算机硬盘没有存储多少信息，存储容量就会异常减少。 6) 系统不能由硬盘引导启动。 7) 计算机系统经常出现异常死机的状态。 8) 数据莫名奇妙的丢失。 9) 执行异常操作。针对计算机出现的症状，采取一定的防范措施是非常有必要的，也是保证计算机安全的必须措施。 2.2.计算机病毒的预防技术计算机病毒的预防技术对单台计算机系统的安全使用。如果是在自己的计算机上使用外来的可移动存储设备之前应进行检查，确保在没有病毒的情况下进行使用。如果在别

47、人的计算机上使用了自己的已打开写保护的 U 盘，再在自己的计算机上使用也不能掉以轻心，也应该进行计算机病毒的检测，发现病毒及时杀毒，确保没有病毒之后再使用。对重点保护的计算机系统应该做到专机、专人、专盘、专用，计算机病毒是需要载体的，封闭的使用环境是不会自然产生计算机病毒的。重要数据文件要有备份。对硬盘分区表、引导扇区等的关键数据应该作数据备份工作，并安全保管。在计算机系统进行维护和修复时可作为参考。三防。防邮件病毒，当用户收到电子邮件时，应该首先要进行病毒扫描，而不是打开邮件，在确保电子邮件安全的情况下再打开；防木马病毒，木马病毒一般是通过一些恶意网站散播的，因此用户在网上

48、下载文件之后，一定要先贵州大学工程硕士论文 16 进行病毒扫描再打开；防恶意“好友” ，现在很多木马病毒可以通过 MSN、QQ 等即时通信软件或电子邮件传播，一旦你的在线好友感染了病毒，那么所有的好友将会遭到病毒的侵害。对在网络中计算机的安全使用。以上列举的这些措施不仅仅可以应用在单机上，也可以应用在作为网络工作站的计算机上。而对于网络计算机系统，除此之外，还应该采取下列针对网络的防杀计算机病毒措施，以保证其安全： 1) 在安装网络服务器系统时，应保证没有计算机病毒存在，即安装环境和网络操作系统本身没有感染计算机病毒。 2) 在安装网络服务器系统时，应将文件系统划分成多个文件卷系统

49、，至少划分成操作系统卷、共享的应用程序卷和各个网络用户可以独占的用户数据卷。这种划分十分有利于维护网络服务器的安全稳定运行和用户数据的安全。 3) 如果系统卷受到了病毒的危害，导致服务器瘫痪，那么可以通过重装系统卷来恢复网络操作系统，服务器又马上可以投入运行。而装在共享的应用程序卷和用户卷内的程序和数据文件不会受到任何损伤。如果用户卷内由于计算机病毒或由于使用上的原因导致存储空间拥塞时，系统卷也是不会受到影响的，不会导致网络系统运行失常，并且这种划分十分有利于系统管理员设置网络安全的存取权限，保证网络系统不受计算机病毒的感染和破坏。 4) 网络服务器一定要用硬盘启动，否则系统在受到引导型计算机病毒感染和破坏后，会影响到整个网络的中枢。 5) 为每个卷分配不同的用户权限。将操作系统卷设置成对一般用户为只读权限，网络用户就只能对系统卷进行读的操作，屏蔽了其它非法的操作，如改名、修改、删除、写文件和创建文件等操作的权限。应用程序卷也同样应该设置成对一般用户是只读权限的，不经过授权、不经过计算机病毒的检测，就绝对不允许在共享的应用程序卷中安装程序。 6) 在网络服务器上必须安装真正有效的防杀计算机病毒软件，并经常进行软件升级。必要的时候还可以在网关、路由器上安装计算机病毒防火墙产

展开阅读全文