『壹』 什麼是針對Web伺服器的拒絕服務攻擊
分布式拒絕服務攻擊(DDoS)是目前黑客經常採用而難以防範的攻擊手段。本文從概念開始詳細介紹了這種攻擊方式,著重描述了黑客是如何組織並發起的DDoS攻擊,結合其中的Syn Flood實例,您可以對DDoS攻擊有一個更形象的了解。最後作者結合自己的經驗與國內網路安全的現況探討了一些防禦DDoS的實際手段。
DDoS攻擊概念
DoS的攻擊方式有很多種,最基本的DoS攻擊就是利用合理的服務請求來佔用過多的服務資源,從而使合法用戶無法得到服務的響應。
DDoS攻擊手段是在傳統的DoS攻擊基礎之上產生的一類攻擊方式。單一的DoS攻擊一般是採用一對一方式的,當攻擊目標CPU速度低、內存小或者網路帶寬小等等各項性能指標不高它的效果是明顯的。隨著計算機與網路技術的發展,計算機的處理能力迅速增長,內存大大增加,同時也出現了千兆級別的網路,這使得DoS攻擊的困難程度加大了 - 目標對惡意攻擊包的"消化能力"加強了不少,例如你的攻擊軟體每秒鍾可以發送3,000個攻擊包,但我的主機與網路帶寬每秒鍾可以處理10,000個攻擊包,這樣一來攻擊就不會產生什麼效果。
這時侯分布式的拒絕服務攻擊手段(DDoS)就應運而生了。你理解了DoS攻擊的話,它的原理就很簡單。如果說計算機與網路的處理能力加大了10倍,用一台攻擊機來攻擊不再能起作用的話,攻擊者使用10台攻擊機同時攻擊呢?用100台呢?DDoS就是利用更多的傀儡機來發起進攻,以比從前更大的規模來進攻受害者。
高速廣泛連接的網路給大家帶來了方便,也為DDoS攻擊創造了極為有利的條件。在低速網路時代時,黑客佔領攻擊用的傀儡機時,總是會優先考慮離目標網路距離近的機器,因為經過路由器的跳數少,效果好。而現在電信骨幹節點之間的連接都是以G為級別的,大城市之間更可以達到2.5G的連接,這使得攻擊可以從更遠的地方或者其他城市發起,攻擊者的傀儡機位置可以在分布在更大的范圍,選擇起來春悉更靈活了。
被DDoS攻擊時的現象
被攻擊主機上有大量等待的TCP連接
網路中充斥著大量的無用的數據包,源地址為假
製造高流量無用數據,造成網路擁塞,使受害主機無法正常和外界通訊
利用受害主機提供的服務或傳輸協議上的缺陷,反復高速的發出特定的服務請求,使受害主機無法及時處理所有正常請求
嚴重時會造成系統死機
黑客是如何組織一次DDoS攻擊的?
這里用"組織"這個詞,是因為DDoS並不象入侵一台主機那樣簡單。一般來說,黑客進行DDoS攻擊時會經過這樣的步驟:
1. 搜集了解目標的情況
下列情況是黑客非常關心的情報:
被攻擊目標主機數目、地址情況
目標主機的配置、性能
目標的帶寬
對於DDoS攻擊者來說,攻擊互聯網上的某個站點,如http://www.mytarget.com,有一個重點就是確定到底有多少台主機在支持這個站點,一個大的網站可能有很多台主機利用負載均衡技術提供同一個網站的www服務。以yahoo為例,一般會有下列地址都是提供http://www.yahoo.com服務的:
66.218.71.87
66.218.71.88
66.218.71.89
66.218.71.80
66.218.71.81
66.218.71.83
66.218.71.84
66.218.71.86
如果要進行DDoS攻擊的話,應該攻擊哪一個地址呢?使66.218.71.87這台機器癱掉,但其他的主機還是能向外提供www服務,所以想讓別人訪問不到http://www.yahoo.com的話,要所有這些IP地址的機器都癱掉才行。在實際的應用中,一個IP地址往往還代表著數台機器:網站維護者使用了四層或七層交換機來做負載均衡,把對一個IP地址的訪問以特定的演算法分配到下屬的每個主機上去。這時對於DDoS攻擊者來說情況就更復雜了,他面對的任務可能是讓幾十襲備台主機的服務都不正常。
所以說事先搜集情報對DDoS攻擊者來說是非常重要的,這關繫到使用多少台傀儡機才能達到效果的問題。簡單地考慮一下,在相同的條件下,攻擊同拍森毀一站點的2台主機需要2台傀儡機的話,攻擊5台主機可能就需要5台以上的傀儡機。有人說做攻擊的傀儡機越多越好,不管你有多少台主機我都用盡量多的傀儡機來攻就是了,反正傀儡機超過了時候效果更好。
但在實際過程中,有很多黑客並不進行情報的搜集而直接進行DDoS的攻擊,這時候攻擊的盲目性就很大了,效果如何也要靠運氣。其實做黑客也象網管員一樣,是不能偷懶的。一件事做得好與壞,態度最重要,水平還在其次。
2. 佔領傀儡機
黑客最感興趣的是有下列情況的主機:
鏈路狀態好的主機
性能好的主機
安全管理水平差的主機
這一部分實際上是使用了另一大類的攻擊手段:利用形攻擊。這是和DDoS並列的攻擊方式。簡單地說,就是佔領和控制被攻擊的主機。取得最高的管理許可權,或者至少得到一個有許可權完成DDoS攻擊任務的帳號。對於一個DDoS攻擊者來說,准備好一定數量的傀儡機是一個必要的條件,下面說一下他是如何攻擊並佔領它們的。
首先,黑客做的工作一般是掃描,隨機地或者是有針對性地利用掃描器去發現互聯網上那些有漏洞的機器,象程序的溢出漏洞、cgi、Unicode、ftp、資料庫漏洞…(簡直舉不勝舉啊),都是黑客希望看到的掃描結果。隨後就是嘗試入侵了,具體的手段就不在這里多說了,感興趣的話網上有很多關於這些內容的文章。
總之黑客現在佔領了一台傀儡機了!然後他做什麼呢?除了上面說過留後門擦腳印這些基本工作之外,他會把DDoS攻擊用的程序上載過去,一般是利用ftp。在攻擊機上,會有一個DDoS的發包程序,黑客就是利用它來向受害目標發送惡意攻擊包的。
3. 實際攻擊
經過前2個階段的精心准備之後,黑客就開始瞄準目標准備發射了。前面的准備做得好的話,實際攻擊過程反而是比較簡單的。就象圖示里的那樣,黑客登錄到做為控制台的傀儡機,向所有的攻擊機發出命令:"預備~ ,瞄準~,開火!"。這時候埋伏在攻擊機中的DDoS攻擊程序就會響應控制台的命令,一起向受害主機以高速度發送大量的數據包,導致它死機或是無法響應正常的請求。黑客一般會以遠遠超出受害方處理能力的速度進行攻擊,他們不會"憐香惜玉"。
老到的攻擊者一邊攻擊,還會用各種手段來監視攻擊的效果,在需要的時候進行一些調整。簡單些就是開個窗口不斷地ping目標主機,在能接到回應的時候就再加大一些流量或是再命令更多的傀儡機來加入攻擊
『貳』 防病毒技術論文
防病毒技術能夠在一定程度上保證系統的安全,我整理的防病毒技術論文,希望你能從中得到感悟!
防病毒技術論文篇一
多媒體計算機的防病毒方法研究
摘 要 隨著社會的不斷進步,經濟的快速發展,越來越多的多媒體計算機已經開始出現在人們的生活中,成為高教教學科研不可缺少的工具,大大提高了人們工作時的工作效率,但是,隨著由於多媒體計算機使用頻率的增加,經常外接移動的硬碟,不同使用者的使用程度不一樣,愛玩游戲的人經常玩游戲等方面的原因,從而使得多媒體計算機經常會感染病毒,嚴重阻礙了多媒體計算機的正常使用,本文就對多媒體計算機感染病毒的原因進行了分析,並且針對這些原因提出了相應的解決措施。
關鍵詞 多媒體;計算機;防病毒方法;研究
中圖分類號TP3 文獻標識碼 A 文章編號 1674-6708(2015)134-0102-02
多媒體計算機病毒是使用者在編制或者是在運行的過程中由於操作不當,從而使得多媒體計算機的數據遭到了破壞,感染了一系列病毒,使得多媒體計算機出現屏幕顯示異常,聲音異常,系統工作異常、文件丟失等情況,再加上病毒傳播速度比較快,破壞性比較大等特點,一旦感染上,輕則降低了計算機的運行速度,影響工作效率,重則便會造成網路崩潰,致使網路系統癱瘓,破壞伺服器的系統資源,使得多年工作毀於一旦,因此,本文就針對病毒手攔出現的原因提出了有效的預防與維修
措施。
1 多媒體計算機感染病毒的原因
1.1 多媒體計算機的防病毒軟體安裝不到位
隨著社會的進步,信息技術的高速發展,多媒體計算機早就已經進入了高等院校的課堂,成為高校正常教學科研中不可缺少的工具,然而隨之而來的是病毒的困擾,多媒體計算機一旦被病毒侵入,輕則毀壞設備,重則影響到重要的學術科研數據,因此,針對多媒體計算機病毒的感染要安裝必要的防病毒軟體,然而世面上的防病毒軟體多不勝數,但是有的軟體對硬體的需求比較高,甚至有的軟體會損壞系統文件等,另一種是軟體是對新型病毒的更新不完善,反應速度慢等問題,這些都是蘆塵防病毒軟體安裝不到位而引起的多媒體計算機病毒侵入,從而導致數據受損的重要原因。
1.2 相關制度政策落實不到位
隨著社會的不斷進步與發展,信息技術也隨之高速發展起來了,多媒體計算機已經步入了人們生活中的各行各業,為了多媒體計算機的防病毒工作,現在相關政府部門對於網路如何正確使用的法律也頻頻出台,但是目前,我國多媒體計算機相關部門對網路病毒傳播的法律還不是很完善,許多商家或不法人士投機取巧,鑽法律的漏洞,進行一些違法的勾當來傳播網路病毒,從而導致某些單位或個人甚至國家遭受巨大的損失,除此之外還有相關部門對網路病毒傳播的打擊力度不夠強,對釋放病毒的單位或個人沒有做到深究,及其嚴厲懲罰,從而讓不法分子徘徊在犯罪道路的邊緣,讓病毒肆意橫行,所以計算機病毒的傳播與相關制度政策落實不到位有很大關系。
1.3 多媒體計算機的使用者操作方法不當
由於現在的許多多媒體計算機使用與管理者的責任感不強,對工作存在著敷衍了事的態度,對於多媒體計算機方面的基礎知識掌握的不夠扎實,也不願意去深入學習,從而使得,在實際的多媒體計算機的操作過程中存在著許多問題,許多使用者在不了解多媒體計算機基礎的前提下去操作計算機,不按照規定使用計算機軟體,安裝非法軟體等,從而由此引發的病毒感染多不勝數,還有許多使用者在使用外接U盤進行數據連接時操作不當從而使得計算機被非法病毒感染,再加上自身基礎知識水平低,身邊又缺少相應的專業人員進行相關維護,從而使得多媒體計算機感染病毒。
2 多媒體計算機的防病毒技術和措施
2.1 建立與完善計算機網路安全管理制度
多媒體計算機維護管理人員要想真正做好防病毒工作,就要根據實際情況,制定出切實可行的網路安全管理規則、制度,把使用過程中的一些規范性規則、制度,用文字資料寫出來畢嘩胡,制度中要明確多媒體計算機維護的組織框架及職責,要對多媒體計算機維護工作的具體目標、內容、過程、時間、方法等進行比較詳盡的規定,還要制度出一些具體的維護操作流程和預防、應急措施,還要制定出相應的獎勵與懲罰規則,對於一些操作時不能嚴格按照操作流程規則進行工作、隨意更改安全規則制度的人員進行警告,並適當做出一些懲罰,要給他們詳細講解計算機病毒的危害,讓他們真正意識到自己工作的重要性,從而自覺遵守規則制度。
2.2 安裝防病毒軟體,對計算機定期進行維護
安裝防病毒軟體是多媒體計算機防病毒的一種很好的技術方法,現在,由於科技的不斷發展,各種各樣的防病毒軟體層出不窮,不同的軟體有著不同的殺毒原理,但是,它們都具有對多媒體計算機病毒進行檢測,對病毒進行清除以及對病毒進行預防等方面的功能,因此在具體的安裝防病毒軟體時,不需要特別的考慮防病毒軟體的功能,而是要考慮不同的防病毒軟體對計算機資源的消耗程度,考慮哪個防病毒軟體對計算機運行速度的影響不大,同時在安裝時還要選擇專業的人員進行安裝,以免出現安裝不到位的情況,除了對多媒體計算機安裝防病毒軟體以外,還要對多媒體計算機進行定期的維護與管理,對於計算機中的一些軟體要時常進行升級,定期對計算機進行病毒查殺,在日常計算機的使用過程中,可以藉助其它系統的啟動方式,定期對系統病毒進行徹底查殺,此外,由於一些查殺工作可能導致資料的丟失,所以在查殺時一定要注意對於一些重要數據的保存,從而真正做好多媒體計算機的防病毒工作。
2.3 加強對多媒體計算機使用及維護人員的培訓
力度
多媒體計算機的防病毒工作需要全社會人們的共同努力,才能真正做好防病毒工作,多媒體計算機的使用者及管理人員是其中防病毒工作好壞的關鍵性因素,他們自身綜合素質水平的高低直接影響到防病毒工作的成敗,但是,隨著社會的不斷進步與發展,人們的安全意識越來越低,責任感也越來越不強烈,對於知識的學習也越來越不看著,對於計算機的使用操作方法不當,這些都使得多媒體計算機在運行的過程中極易感染病毒,為此,相關部門領導人要加強對多媒體計算機維護與管理人員的培訓力度,要提高他們自身的專業基礎知識和技術能力,要提高他們的責任感,讓他們充分意識到病毒給人們生活帶來的危害,從而真正的從自身做起,規范操作,積極宣傳,真正做好多媒體計算機的防病毒
工作。
3 結論
綜上所述,本文通過對多媒體計算機感染病毒的原因進行了分析,並且針對這些原因提出了相應的解決措施,由於這些病毒傳染速度快,擴散范圍比較廣,徹底清除的難度比較大,破壞性比較強等原因,因此一定要加強對多媒體計算機使用及維修人員的培訓力度,提高他們的意識與責任感,讓他們真正意識到病毒的危害,相關政府部門要建立與完善多媒體計算機的防病毒安全管理制度,使防病毒工作能夠有據可依,有章可循,對多媒體計算機要定期進行維護,安裝好防病毒軟體,真正從源頭上遏制病毒的感染,做好多媒體計算機的防病毒工作。
參考文獻
[1]秦志光,張鳳荔.計算機病毒原理與防範[M].北京:人民郵電出版社,2007.
[2]呂妍昱,苗峰.公用多媒體計算機的防病毒研究[J].實驗技術與管理,2008(12).
[3]謝峰.公共多媒體教室電腦防病毒策略研究[J].考試周刊,2014(18).
[4]程勝利,談冉,熊文龍.計算機病毒及其防治技術[M].北京:清華大學出版社,2004.
[5]卓新建,鄭康鋒,辛陽.計算機病毒原理與防治[M].北京:北京郵電大學出版社,2007.
防病毒技術論文篇二
基於系統漏洞掃描和防病毒技術的網路安全的設計
【摘要】漏洞掃描和防病毒技術能夠在一定程度上保證系統的安全,漏洞掃描檢測技術進行掃描檢測及分析的功能主要是通過漏洞掃描技術掃描各類操作系統平台的系統漏洞,對存在的系統漏洞准確給出數據分析報表和可視化的圖形報告,並能夠對檢測到的數據結果進行統計分析和邏輯分析判斷,同時根據分析和判斷的結果做出有效的網路安全加固建議,漏洞掃描系統能夠提供直觀、簡潔且易於操作的用戶管理和配置界面。網路防病毒技術主要通過部署網路防病毒系統的方式實現,管理方式主要通過跨廣域網Web方式集中管理,並集中分發防毒系統策略。
【關鍵詞】漏洞掃描 防病毒技術 網路安全
一、引言
漏洞掃描檢測技術是保證互聯網安全運行的一種非常重要的技術,由於網路變得越來越復雜,在實施網路安全策略方面的控制也變得越來越困難,因此,漏洞掃描檢測技術可以有效幫助網路技術人員及時找到包括防火牆系統、主機和web站點等系統在內的一些系統漏洞,漏洞掃描技術能夠檢測到的漏洞總體來說主要包括操作系統漏洞、WEB應用程序漏洞、DNS漏洞、CGI應用漏洞、後門類漏洞、FTP類漏洞、網路設備類漏洞、緩沖區溢出漏洞、信息泄漏漏洞、MAIL類漏洞、PROXY漏洞、RPC漏洞、NFS漏洞、NIS漏洞、進程守護漏洞、SNMP漏洞等等。網路病毒是計算機網路安全運行的主要安全威脅,其病毒程序可以通過許多方式傳播並潛入企業內部網,如WEB網站下載、電子郵件傳播、使用盜版光碟或軟盤、人為植入等。因此,網路病毒對系統的危害是不容忽視的。如果網路中一旦有某些系統受到計算機病毒感染,那麼計算機病毒就很有可能在短時間內快速擴散並感染到網路上的所有主機,極有可能造成數據信息泄漏、重要文件丟失、伺服器突然死機等不安全因素。曾經爆發過的典型的CIH、Codered和Codeblue等病毒就是可怕的例子。網路防病毒技術可以通過本地控制中心對客戶端進行實時集中病毒監測、定時升級和管理控制。制定並採取統一的防病毒策略既可以減輕網路管理員的工作負擔,又可以確保在整個網路中每一台計算機包括所有重要的伺服器具有最強的防計算機網路病毒能力。網路防毒系統的最大特點是可以實現集中管理機制和集中分發防護策略手段,並集成生成防病毒日誌報表,這樣就可以使網路管理員集中管理整個網路的防病毒系統,有效地保證了防病毒系統策略的一致性原則。構建全方位和多層次的網路防病毒技術體系,針對計算機病毒的傳播途徑和駐留場所進行有效的病毒防範,同時在網路中加強並構建多層次的病毒防護體系,讓病毒在網路中沒有傳播和生存的網路空間。
二、網路安全設計思想
網際網路越來越復雜,實施網路安全策略也變得越來越困難。在一些網路系統中,安全漏洞的增長已大大超出了技術人員可以有效解決的能力范圍。更糟糕的是,新的漏洞隨時都會出現。由於在Internet復雜的動態環境中進行評估和保護網路的難度越來越大,導致在安全策略和實際的安全實施之間的出現更大漏洞。為了降低安全策略和實施之間的差距,需要有效的手段和高效的工具來隨時評估和實施網路安全。
由於互聯網開放性的特性,導致網路的主機和網路設備將直接面對大量的網路攻擊的可能。網路攻擊可能來自於網路的各個方面。而日益增加的網路攻擊手段,也不斷地降低網路的安全性。網路操作系統的日益復雜和網路協議本身的安全漏洞都對網路造成大量的漏洞威脅。
網路是病毒傳播的最好、最快的途徑之一,並且是存在於計算機安全中的主要威脅。病毒程序可以通過網上下載、電子郵件、使用盜版光碟或軟盤、人為投放等傳播途徑潛入內部網。因此,病毒的危害的不可以輕視的。網路中一旦有一台主機受病毒感染,則病毒程序就完全可能在極短的時間內迅速擴散,傳播到網路上的所有主機,可能造成信息泄漏、文件丟失、機器死機等不安全因素。
三、設計目標
為了全面的進行漏洞掃描檢測,在網路中設置一個安全控制中心,此中心可以是一台筆記本電腦,也可以是一台桌面PC機,安裝一套漏洞掃描軟體,定期對系統進行漏洞掃描和安全評估,網路安全評估系統是對Internet和Intranet中所有部件如WEB站點、防火牆、路由器、TCP/IP及相關協議服務進行實踐性掃描、分析和評估,發現並報告系統中存在的弱點和漏洞,評估安全風險,建議補救措施。
系統漏洞掃描與分析的功能要求:能夠掃描各類操作系統平台的系統漏洞;對存在的系統漏洞給出數據分析報表和可視化圖形報告;能夠對檢測結構結果數據進行統計分析與邏輯分析,並根據分析結果做出有效的安全加固建議;提供簡潔、直觀、易於操作的用戶管理和配置界面。
系統漏洞掃描系統能夠掃描各類操作系統平台的系統漏洞,對存在的系統漏洞給出數據分析報表和可視化圖形報告,能夠對檢測結構結果數據進行統計分析與邏輯分析,並根據分析結果做出有效的安全加固建議提供簡潔、直觀、易於操作的用戶管理和配置界面。
本地中心網路對各個客戶端進行實時集中病毒監測、定時升級。進行管理控制。制定和採用統一的防病毒策略,這樣既可以減輕管理員的工作負擔,又可以確保在整個區域網中每一台計算機包括伺服器和客戶端具有相同的最強的防病毒能力。
跨廣域網Web方式集中管理、集中分發防毒系統策略,網路防病毒系統實現了集中管理機制,集中分發防護策略、病毒代碼、掃描引擎,並集成生成日誌報表,使得一個管理員就可以完成整個所轄網路的整個防毒系統的集中管理,大大減少了人力投入,保證了防毒系統策略的一致性。
全方位、多層次防毒體系,網路防毒系統針對病毒的傳播途徑和駐留場所進行有效防範,構建多層次防護體系,讓病毒在網路中沒有傳播和生存的空間。
四、設計方法
漏洞掃描系統選擇的是啟明星辰公司的天鏡漏洞掃描系統,它的功能特色符合網路的安全設計目標,能夠支持進行漸進式掃描,也就是根據被進行漏洞掃描主機的操作系統及計算機應用程序等相關信息智能的確定下一步的掃描流程;能夠支持授權掃描,該漏洞掃描系統能夠根據用戶提供被掃描主機的許可權來獲得更加深入、全面的漏洞消息;並且能夠在掃描過程中實時並准確地處理“資源耗盡”等各種意外故障,具備掃描過程中系統資源佔用少、掃描速度快、誤報率低、漏報率低及穩定性高的顯著特點。 通過實踐證明,對於一套網路系統,運行時間越長,系統的安全性越低。隨著運行時間的延長,系統運行中開啟的服務,改變的配置,網路中增加或減少的設備,都會影響系統的安全性。所以,應經常對網路系統進行安全評估,隨時對出現的漏洞進行發現、審計並由管理員進行修補。
(1)分布式管理並集中分析。在網路中部署天鏡漏洞掃描系統時採用分布式部署的形式,使各掃描引擎按照不同的漏洞掃描策略同時進行多網路系統的漏洞檢測,同時將檢測結果進行集中顯示和集中分析。
(2)採用多級管理的方式。對於擁有不同地域、大規模網路的用戶,各個地域的網路安全管理員管理著本地域的網路安全狀況,其上層的安全管理員可以上傳檢測結果、下達檢測策略、統一管理、統一分析、統一升級;實現大規模網路環境下的全局風險控制、降低管理成本。
(3)採用策略管理的方式。此漏洞掃描系統為網路用戶提供默認的十餘種不同的掃描策略,可以根據不同用戶的實際需求來選擇相應最適合的策略方式。同時,利用其靈活的策略自定義功能可以根據用戶特殊需要進行掃描策略的更改和編輯,應用為特定用戶特定配置的相關策略,可以幫助用戶實現對於不同內容、不同程度、不同級別以及不同網路層次的漏洞掃描。
(4)自定義分類結構顯示。對漏洞的檢測結果分類窗口進行自定義,可以根據用戶的需要進行靈活的並且以樹狀結構分類顯示掃描的詳細結果。
(5)對掃描結果篩選過濾。漏洞掃描出來的結果往往有很多信息,此時,可以通過設置窗口屬性,對掃描結果進行篩選過濾,實現針對性地檢查漏洞信息。網路防病毒系統採用趨勢科技的InterScan進行防病毒系統的設計。採用中央控管系統實現跨廣域網的管理,通過TCP/IP協議實現跨廣域網的遠程管理、調用、遠程監控等功能,使其它的分支病毒防護系統的管理及其維護更加簡便、有效,實現從單一客戶端集中管理整個網路的防病毒的任務。
利用中央控管系統提供的全面病毒活動追蹤報告及病毒分析報告,並提供多種病毒報警方法,幫助網路管理員加強整個網路病毒防護產品的管理工作。中央控管系統可以進行集中防毒元件的更新,從而節約網路資源,保證了整個網路系統防範病毒的高效和一致性的特點。
五、總結
漏洞掃描和防病毒技術能夠在一定程度上保證系統的安全,漏洞掃描檢測技術進行掃描檢測及分析的功能主要是通過漏洞掃描技術掃描各類操作系統平台的系統漏洞,對存在的系統漏洞准確給出數據分析報表和可視化的圖形報告,並能夠對檢測到的數據結果進行統計分析和邏輯分析判斷,同時根據分析和判斷的結果做出有效的網路安全加固建議。
參考文獻:
[1]周亮.信息系統漏洞風險定量評估模型研究[J].通信學報,2009.
[2]高翠艷.基於主動服務的網路防毒技術研究與應用[D].哈爾濱工業大學學位論文.2002.
看了“防病毒技術論文”的人還看:
1. 計算機病毒論文總結
2. 淺析計算機病毒論文
3. 計算機病毒防範畢業論文範文
4. 安全防範技術論文
5. 計算機病毒防範畢業論文開題報告
『叄』 WEB應用及資料庫安全關鍵技術有哪些
一.虛擬網技術虛擬網技術主要基於近年發展的區域網交換技術(ATM和乙太網交換)。交換技術將傳統的基於廣播的區域網技術發展為面向連接的技術。因此,網管系統有能力限制區域網通訊的范圍而無需通過開銷很大的路由器。由以上運行機制帶來的網路安全的好處是顯而易見的:信息只到達應該到達的地點。因此、防止了大部分基於網路監聽的入侵手段。通過虛擬網設置的訪問控制,使在虛擬網外的網路節點不能直接訪問虛擬網內節點。但是,虛擬網技術也帶來了新的安全問題:執行虛擬網交換的設備越來越復雜,從而成為被攻擊的對象。基於網路廣播原理的入侵監控技術在高速交換網路內需要特殊的設置。基於MAC的VLAN不能防止MAC欺騙攻擊。乙太網從本質上基於廣播機制,但應用了交換器和VLAN技術後,實際上轉變為點到點通訊,除非設置了監聽口,信息交換也不會存在監聽和插入(改變)問題。但是,採用基於MAC的VLAN劃分將面臨假冒MAC地址的攻擊。因此,VLAN的劃分最好基於交換機埠。但這要求整個網路桌面使用交換埠或每個交換埠所在的網段機器均屬於相同的VLAN。網路層通訊可以跨越路由器,因此攻擊可以從遠方發起。IP協議族各廠家實現的不完善,因此,在網路層發現的安全漏洞相對更多,如IP sweep, teardrop, sync-flood, IP spoofing攻擊等。二.防火牆枝術網路防火牆技術是一種用來加強網路之間訪問控制,防止外部網路用戶以非法手段通過外部網路進入內部網路,訪問內部網路資源,保護內部網路操作環境的特殊網路互聯設備.它對兩個或多個網路之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查,以決定網路之間的通信是否被允許,並監視網路運行狀態.防火牆產品主要有堡壘主機,包過濾路由器,應用層網關(代理伺服器)以及電路層網關,屏蔽主機防火牆,雙宿主機等類型.雖然防火牆是保護網路免遭黑客襲擊的有效手段,但也有明顯不足:無法防範通過防火牆以外的其它途徑的攻擊,不能防止來自內部變節者和不經心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟體或文件,以及無法防範數據驅動型的攻擊.自從1986年美國Digital公司在Internet上安裝了全球第一個商用防火牆系統,提出了防火牆概念後,防火牆技術得到了飛速的發展.國內外已有數十家公司推出了功能各不相同的防火牆產品系列.防火牆處於5層網路安全體系中的最底層,屬於網路層安全技術范疇.在這一層上,企業對安全系統提出的問題是:所有的IP是否都能訪問到企業的內部網路系統如果答案是"是",則說明企業內部網還沒有在網路層採取相應的防範措施.作為內部網路與外部公共網路之間的第一道屏障,防火牆是最先受到人們重視的網路安全產品之一.雖然從理論上看,防火牆處於網路安全的最底層,負責網路間的安全認證與傳輸,但隨著網路安全技術的整體發展和網路應用的不斷變化,現代防火牆技術已經逐步走向網路層之外的其他安全層次,不僅要完成傳統防火牆的過濾任務,同時還能為各種網路應用提供相應的安全服務.另外還有多種防火牆產品正朝著數據安全與用戶認證,防止病毒與黑客侵入等方向發展.1、使用Firewall的益處保護脆弱的服務通過過濾不安全的服務,Firewall可以極大地提高網路安全和減少子網中主機的風險。例如,Firewall可以禁止NIS、NFS服務通過,Firewall同時可以拒絕源路由和ICMP重定向封包。控制對系統的訪問Firewall可以提供對系統的訪問控制。如允許從外部訪問某些主機,同時禁止訪問另外的主機。例如,Firewall允許外部訪問特定的Mail Server和Web Server。集中的安全管理Firewall對企業內部網實現集中的安全管理,在Firewall定義的安全規則可以運用於整個內部網路系統,而無須在內部網每台機器上分別設立安全策略。如在Firewall可以定義不同的認證方法,而不需在每台機器上分別安裝特定的認證軟體。外部用戶也只需要經過—次認證即可訪問內部網。增強的保密性使用Firewall可以阻止攻擊者獲取攻擊網路系統的有用信息,如Finger和DNS。記錄和統計網路利用數據以及非法使用數據Firewall可以記錄和統計通過Firewall的網路通訊,提供關於網路使用的統計數據,並且,Firewall可以提供統計數據,來判斷可能的攻擊和探測。策略執行Firewall提供了制定和執行網路安全策略的手段。未設置Firewall時,網路安全取決於每台主機的用戶。2、 設置Firewall的要素網路策略影響Firewall系統設計、安裝和使用的網路策略可分為兩級,高級的網路策略定義允許和禁止的服務以及如何使用服務,低級的網路策略描述Firewall如何限制和過濾在高級策略中定義的服務。服務訪問策略服務訪問策略集中在Internet訪問服務以及外部網路訪問(如撥入策略、SLIP/PPP連接等)。服務訪問策略必須是可行的和合理的。可行的策略必須在阻止己知的網路風險和提供用戶服務之間獲得平衡。典型的服務訪問策略是:允許通過增強認證的用戶在必要的情況下從Internet訪問某些內部主機和服務;允許內部用戶訪問指定的Internet主機和服務。Firewall設計策略Firewall設計策略基於特定的firewall,定義完成服務訪問策略的規則。通常有兩種基本的設計策略:允許任何服務除非被明確禁止;禁止任何服務除非被明確允許。通常採用第二種類型的設計策略。3、 Firewall的基本分類包過濾型包過濾型產品是防火牆的初級產品,其技術依據是網路中的分包傳輸技術.網路上的數據都是以"包"為單位進行傳輸的,數據被分割成為一定大小的數據包,每一個數據包中都會包含一些特定信息,如數據的源地址,目標地址,TCP/UDP源埠和目標埠等.防火牆通過讀取數據包中的地址信息來判斷這些"包"是否來自可信任的安全站點 ,一旦發現來自危險站點的數據包,防火牆便會將這些數據拒之門外.系統管理員也可以根據實際情況靈活制訂判斷規則.包過濾技術的優點是簡單實用,實現成本較低,在應用環境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統的安全.但包過濾技術的缺陷也是明顯的.包過濾技術是一種完全基於網路層的安全技術,只能根據數據包的來源,目標和埠等網路信息進行判斷,無法識別基於應用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒.有經驗的黑客很容易偽造IP地址,騙過包過濾型防火牆.網路地址轉換(NAT)是一種用於把IP地址轉換成臨時的,外部的,注冊的IP地址標准.它允許具有私有IP地址的內部網路訪問網際網路.它還意味著用戶不許要為其網路中每一台機器取得注冊的IP地址.在內部網路通過安全網卡訪問外部網路時,將產生一個映射記錄.系統將外出的源地址和源埠映射為一個偽裝的地址和埠,讓這個偽裝的地址和埠通過非安全網卡與外部網路連接,這樣對外就隱藏了真實的內部網路地址.在外部網路通過非安全網卡訪問內部網路時,它並不知道內部網路的連接情況,而只是通過一個開放的IP地址和埠來請求訪問.OLM防火牆根據預先定義好的映射規則來判斷這個訪問是否安全.當符合規則時,防火牆認為訪問是安全的,可以接受訪問請求,也可以將連接請求映射到不同的內部計算機中.當不符合規則時,防火牆認為該訪問是不安全的,不能被接受,防火牆將屏蔽外部的連接請求.網路地址轉換的過程對於用戶來說是透明的,不需要用戶進行設置,用戶只要進行常規操作即可.代理型代理型防火牆也可以被稱為代理伺服器,它的安全性要高於包過濾型產品,並已經開始向應用層發展.代理伺服器位於客戶機與伺服器之間,完全阻擋了二者間的數據交流.從客戶機來看,代理伺服器相當於一台真正的伺服器;而從伺服器來看,代理伺服器又是一台真正的客戶機.當客戶機需要使用伺服器上的數據時,首先將數據請求發給代理伺服器,代理伺服器再根據這一請求向伺服器索取數據,然後再由代理伺服器將數據傳輸給客戶機.由於外部系統與內部伺服器之間沒有直接的數據通道,外部的惡意侵害也就很難傷害到企業內部網路系統.代理型防火牆的優點是安全性較高,可以針對應用層進行偵測和掃描,對付基於應用層的侵入和病毒都十分有效.其缺點是對系統的整體性能有較大的影響,而且代理伺服器必須針對客戶機可能產生的所有應用類型逐一進行設置,大大增加了系統管理的復雜性。監測型監測型防火牆是新一代的產品,這一技術實際已經超越了最初的防火牆定義.監測型防火牆能夠對各層的數據進行主動的,實時的監測,在對這些數據加以分析的基礎上,監測型防火牆能夠有效地判斷出各層中的非法侵入.同時,這種檢測型防火牆產品一般還帶有分布式探測器,這些探測器安置在各種應用伺服器和其他網路的節點之中,不僅能夠檢測來自網路外部的攻擊,同時對來自內部的惡意破壞也有極強的防範作用.據權威機構統計,在針對網路系統的攻擊中,有相當比例的攻擊來自網路內部.因此,監測型防火牆不僅超越了傳統防火牆的定義,而且在安全性上也超越了前兩代產品雖然監測型防火牆安全性上已超越了包過濾型和代理伺服器型防火牆,但由於監測型防火牆技術的實現成本較高,也不易管理,所以在實用中的防火牆產品仍然以第二代代理型產品為主,但在某些方面也已經開始使用監測型防火牆.基於對系統成本與安全技術成本的綜合考慮,用戶可以選擇性地使用某些監測型技術.這樣既能夠保證網路系統的安全性需求,同時也能有效地控制安全系統的總擁有成本.實際上,作為當前防火牆產品的主流趨勢,大多數代理伺服器(也稱應用網關)也集成了包過濾技術,這兩種技術的混合應用顯然比單獨使用具有更大的優勢.由於這種產品是基於應用的,應用網關能提供對協議的過濾.例如,它可以過濾掉FTP連接中的PUT命令,而且通過代理應用,應用網關能夠有效地避免內部網路的信息外泄.正是由於應用網關的這些特點,使得應用過程中的矛盾主要集中在對多種網路應用協議的有效支持和對網路整體性能的影響上。4、 建設Firewall的原則分析安全和服務需求以下問題有助於分析安全和服務需求:√ 計劃使用哪些Internet服務(如http,ftp,gopher),從何處使用Internet服務(本地網,撥號,遠程辦公室)。√ 增加的需要,如加密或拔號接入支持。√ 提供以上服務和訪問的風險。√ 提供網路安全控制的同時,對系統應用服務犧牲的代價。策略的靈活性Internet相關的網路安全策略總的來說,應該保持一定的靈活性,主要有以下原因:√ Internet自身發展非常快,機構可能需要不斷使用Internet提供的新服務開展業務。新的協議和服務大量涌現帶來新的安全問題,安全策略必須能反應和處理這些問題。√ 機構面臨的風險並非是靜態的,機構職能轉變、網路設置改變都有可能改變風險。遠程用戶認證策略√ 遠程用戶不能通過放置於Firewall後的未經認證的Modem訪問系統。√ PPP/SLIP連接必須通過Firewall認證。√ 對遠程用戶進行認證方法培訓。撥入/撥出策略√ 撥入/撥出能力必須在設計Firewall時進行考慮和集成。√ 外部撥入用戶必須通過Firewall的認證。Information Server策略√ 公共信息伺服器的安全必須集成到Firewall中。√ 必須對公共信息伺服器進行嚴格的安全控制,否則將成為系統安全的缺口。√ 為Information server定義折中的安全策略允許提供公共服務。√ 對公共信息服務和商業信息(如email)講行安全策略區分。Firewall系統的基本特徵√ Firewall必須支持.「禁止任何服務除非被明確允許」的設計策略。√ Firewall必須支持實際的安全政策,而非改變安全策略適應Firewall。√ Firewall必須是靈活的,以適應新的服務和機構智能改變帶來的安全策略的改變。√ Firewall必須支持增強的認證機制。√ Firewall應該使用過濾技術以允許或拒絕對特定主機的訪問。√ IP過濾描述語言應該靈活,界面友好,並支持源IP和目的IP,協議類型,源和目的TCP/UDP口,以及到達和離開界面。√ Firewall應該為FTP、TELNET提供代理服務,以提供增強和集中的認證管理機制。如果提供其它的服務(如NNTP,http等)也必須通過代理伺服器。√ Firewall應該支持集中的SMTP處理,減少內部網和遠程系統的直接連接。√ Firewall應該支持對公共Information server的訪問,支持對公共Information server的保護,並且將Information server同內部網隔離。√ Firewall可支持對撥號接入的集中管理和過濾。√ Firewall應支持對交通、可疑活動的日誌記錄。√ 如果Firewall需要通用的操作系統,必須保證使用的操作系統安裝了所有己知的安全漏洞Patch。√ Firewall的設計應該是可理解和管理的。√ Firewall依賴的操作系統應及時地升級以彌補安全漏洞。5、選擇防火牆的要點(1) 安全性:即是否通過了嚴格的入侵測試。(2) 抗攻擊能力:對典型攻擊的防禦能力(3) 性能:是否能夠提供足夠的網路吞吐能力(4) 自我完備能力:自身的安全性,Fail-close(5) 可管理能力:是否支持SNMP網管(6) VPN支持(7) 認證和加密特性(8) 服務的類型和原理(9)網路地址轉換能力三.病毒防護技術病毒歷來是信息系統安全的主要問題之一。由於網路的廣泛互聯,病毒的傳播途徑和速度大大加快。我們將病毒的途徑分為:(1 ) 通過FTP,電子郵件傳播。(2) 通過軟盤、光碟、磁帶傳播。(3) 通過Web游覽傳播,主要是惡意的Java控制項網站。(4) 通過群件系統傳播。病毒防護的主要技術如下:(1) 阻止病毒的傳播。在防火牆、代理伺服器、SMTP伺服器、網路伺服器、群件伺服器上安裝病毒過濾軟體。在桌面PC安裝病毒監控軟體。(2) 檢查和清除病毒。使用防病毒軟體檢查和清除病毒。(3) 病毒資料庫的升級。病毒資料庫應不斷更新,並下發到桌面系統。(4) 在防火牆、代理伺服器及PC上安裝Java及ActiveX控制掃描軟體,禁止未經許可的控制項下載和安裝。四.入侵檢測技術利用防火牆技術,經過仔細的配置,通常能夠在內外網之間提供安全的網路保護,降低了網路安全風險。但是,僅僅使用防火牆、網路安全還遠遠不夠:(1) 入侵者可尋找防火牆背後可能敞開的後門。(2) 入侵者可能就在防火牆內。(3) 由於性能的限制,防火焰通常不能提供實時的入侵檢測能力。入侵檢測系統是近年出現的新型網路安全技術,目的是提供實時的入侵檢測及採取相應的防護手段,如記錄證據用於跟蹤和恢復、斷開網路連接等。實時入侵檢測能力之所以重要首先它能夠對付來自內部網路的攻擊,其次它能夠縮短hacker入侵的時間。入侵檢測系統可分為兩類:√ 基於主機√ 基於網路基於主機的入侵檢測系統用於保護關鍵應用的伺服器,實時監視可疑的連接、系統日誌檢查,非法訪問的闖入等,並且提供對典型應用的監視如Web伺服器應用。基於網路的入侵檢測系統用於實時監控網路關鍵路徑的信息,其基本模型如右圖示:上述模型由四個部分組成:(1) Passive protocol Analyzer網路數據包的協議分析器、將結果送給模式匹配部分並根據需要保存。(2) Pattern-Matching Signature Analysis根據協議分析器的結果匹配入侵特徵,結果傳送給Countermeasure部分。(3) countermeasure執行規定的動作。(4) Storage保存分析結果及相關數據。基於主機的安全監控系統具備如下特點:(1) 精確,可以精確地判斷入侵事件。(2) 高級,可以判斷應用層的入侵事件。(3) 對入侵時間立即進行反應。(4) 針對不同操作系統特點。(5) 佔用主機寶貴資源。基於網路的安全監控系統具備如下特點:(1) 能夠監視經過本網段的任何活動。(2) 實時網路監視。(3) 監視粒度更細致。(4) 精確度較差。(5) 防入侵欺騙的能力較差。(6) 交換網路環境難於配置。基於主機及網路的入侵監控系統通常均可配置為分布式模式:(1) 在需要監視的伺服器上安裝監視模塊(agent),分別向管理伺服器報告及上傳證據,提供跨平台的入侵監視解決方案。(2) 在需要監視的網路路徑上,放置監視模塊(sensor),分別向管理伺服器報告及上傳證據,提供跨網路的入侵監視解決方案。選擇入侵監視系統的要點是:(1) 協議分析及檢測能力。(2) 解碼效率(速度)。(3) 自身安全的完備性。(4) 精確度及完整度,防欺騙能力。(5) 模式更新速度。五.安全掃描技術網路安全技術中,另一類重要技術為安全掃描技術。安全掃描技術與防火牆、安全監控系統互相配合能夠提供很高安全性的網路。安全掃描工具源於Hacker在入侵網路系統時採用的工具。商品化的安全掃描工具為網路安全漏洞的發現提供了強大的支持。安全掃描工具通常也分為基於伺服器和基於網路的掃描器。基於伺服器的掃描器主要掃描伺服器相關的安全漏洞,如password文件,目錄和文件許可權,共享文件系統,敏感服務,軟體,系統漏洞等,並給出相應的解決辦法建議。通常與相應的伺服器操作系統緊密相關。基於網路的安全掃描主要掃描設定網路內的伺服器、路由器、網橋、變換機、訪問伺服器、防火牆等設備的安全漏洞,並可設定模擬攻擊,以測試系統的防禦能力。通常該類掃描器限制使用范圍(IP地址或路由器跳數)。網路安全掃描的主要性能應該考慮以下方面:(1) 速度。在網路內進行安全掃描非常耗時。(2) 網路拓撲。通過GUI的圖形界面,可迭擇一步或某些區域的設備。(3) 能夠發現的漏洞數量。(4) 是否支持可定製的攻擊方法。通常提供強大的工具構造特定的攻擊方法。因為網路內伺服器及其它設備對相同協議的實現存在差別,所以預制的掃描方法肯定不能滿足客戶的需求。(5) 報告,掃描器應該能夠給出清楚的安全漏洞報告。(6) 更新周期。提供該項產品的廠商應盡快給出新發現的安生漏洞掃描特性升級,並給出相應的改進建議。安全掃描器不能實時監視網路上的入侵,但是能夠測試和評價系統的安全性,並及時發現安全漏洞。六. 認證和數宇簽名技術認證技術主要解決網路通訊過程中通訊雙方的身份認可,數字簽名作為身份認證技術中的一種具體技術,同時數字簽名還可用於通信過程中的不可抵賴要求的實現。認證技術將應用到企業網路中的以下方面:(1) 路由器認證,路由器和交換機之間的認證。(2) 操作系統認證。操作系統對用戶的認證。(3) 網管系統對網管設備之間的認證。(4) VPN網關設備之間的認證。(5) 撥號訪問伺服器與客戶間的認證。(6) 應用伺服器(如Web Server)與客戶的認證。(7) 電子郵件通訊雙方的認證。數字簽名技術主要用於:(1) 基於PKI認證體系的認證過程。(2) 基於PKI的電子郵件及交易(通過Web進行的交易)的不可抵賴記錄。認證過程通常涉及到加密和密鑰交換。通常,加密可使用對稱加密、不對稱加密及兩種加密方法的混合。UserName/Password認證該種認證方式是最常用的一種認證方式,用於操作系統登錄、telnet、rlogin等,但由於此種認證方式過程不加密,即password容易被監聽和解密。使用摘要演算法的認證Radius(撥號認證協議)、路由協議(OSPF)、SNMP Security Protocol等均使用共享的Security Key,加上摘要演算法(MD5)進行認證,由於摘要演算法是一個不可逆的過程,因此,在認證過程中,由摘要信息不能計算出共享的security key,敏感信息不在網路上傳輸。市場上主要採用的摘要演算法有MD5和SHA-1。基於PKI的認證使用公開密鑰體系進行認證和加密。該種方法安全程度較高,綜合採用了摘要演算法、不對稱加密、對稱加密、數字簽名等技術,很好地將安全性和高效率結合起來。後面描述了基於PKI認證的基本原理。這種認證方法目前應用在電子郵件、應用伺服器訪問、客戶認證、防火牆驗證等領域。該種認證方法安全程度很高,但是涉及到比較繁重的證書管理任務。