前言：我們精心挑選了數篇優質入侵檢測論文文章，供您閱讀參考。期待這些文章能為您帶來啟發，助您在寫作的道路上更上一層樓。

第1篇

論文摘要:隨著計算機的飛速發展以及網絡技術的普遍應用，隨著信息時代的來臨，信息作為一種重要的資源正得到了人們的重視與應用。因特網是一個發展非常活躍的領域，可能會受到黑客的非法攻擊，所以在任何情況下，對于各種事故，無意或有意的破壞，保護數據及其傳送、處理都是非常必要的。計劃如何保護你的局域網免受因特網攻擊帶來的危害時，首先要考慮的是防火墻。防火墻的核心思想是在不安全的網際網環境中構造一個相對安全的子網環境。本文介紹了防火墻技術的基本概念、系統結構、原理、構架、入侵檢測技術及VPN等相關問題。

Abstract:Alongwiththefastcomputerdevelopmentandtheuniversalapplicationofthenetworktechnology,alongwithinformationtimescomingupon,Informationisattractingtheworld’sattentionandemployedasakindofimportantresources.Internetisaveryactivelydevelopedfield.Becauseitmaybeillegallyattackedbyhackers,Itisverynecessaryfordata’sprotection,deliveryandprotectionagainstvariousaccidents,intentionalorwantdestroyunderanycondition.FirewallisthefirstconsiderationwhenplanhowtoprotectyourlocalareanetworkagainstendangersbroughtbyInternetattack.Thecorecontentoffirewalltechnologyistoconstructarelativelysafeenvironmentofsubnetinthenot-so-safenetworkenvironment.Thispaperintroducesthebasicconceptionandsystemstructureoffire-walltechnologyandalsodiscussestwomaintechnologymeanstorealizefire-wall:Oneisbasedonpacketfiltering,whichistorealizefire-wallfunctionthroughScreeningRouter;andtheotherisProxyandthetypicalrepresentationisthegatewayonapplicationlevel.....

第一章緒論

§1.1概述

隨著以Internet為代表的全球信息化浪潮的來臨，信息網絡技術的應用正日益廣泛，應用層次正在深入，應用領域也從傳統的、小型業務系統逐漸向大型、關鍵業務系統擴展，其中以黨政系統、大中院校網絡系統、銀行系統、商業系統、管理部門、政府或軍事領域等為典型。伴隨網絡的普及，公共通信網絡傳輸中的數據安全問題日益成為關注的焦點。一方面，網絡化的信息系統提供了資源的共享性、用戶使用的方便性，通過分布式處理提高了系統效率和可靠性，并且還具備可擴充性。另一方面，也正是由于具有這些特點增加了網絡信息系統的不安全性。

開放性的網絡，導致網絡所面臨的破壞和攻擊可能是多方面的，例如:可能來自物理傳輸線路的攻擊，也可以對網絡通信協議和實現實施攻擊，可以是對軟件實施攻擊，也可以對硬件實施攻擊。國際性的網絡，意味著網絡的攻擊不僅僅來自本地網絡的用戶，也可以來自linternet上的任何一臺機器，也就是說，網絡安全所面臨的是一個國際化的挑戰。開放的、國際化的Internet的發展給政府機構、企事業單位的工作帶來了革命性的變革和開放，使得他們能夠利用Internet提高辦事效率、市場反應能力和競爭力。通過Internet，他們可以從異地取回重要數據，同時也面臨Internet開放所帶來的數據安全的挑戰與危險。如何保護企業的機密信息不受黑客和工業間諜的入侵，己成為政府機構、企事業單位信息化建設健康發展所要考慮的重要因素之一。廣泛分布的企業內部網絡由公共網絡互聯起來，這種互聯方式面臨多種安全威脅，極易受到外界的攻擊，導致對網絡的非法訪問和信息泄露。防火墻是安全防范的最有效也是最基本的手段之一。

雖然國內己有許多成熟的防火墻及其他相關安全產品，并且這些產品早已打入市場，但是對于安全產品來說，要想進入我軍部隊。我們必須自己掌握安全測試技術，使進入部隊的安全產品不出現問題，所以對網絡安全測試的研究非常重要，具有深遠的意義。

§1.2本文主要工作

了解防火墻的原理、架構、技術實現

了解防火墻的部署和使用配置

熟悉防火墻測試的相關標準

掌握防火墻產品的功能、性能、安全性和可用性的測試方法

掌握入侵檢測與VPN的概念及相關測試方法

第二章防火墻的原理、架構、技術實現

§2.1什么是防火墻？

防火墻是指設置在不同網絡（如可信任的企業內部網和不可信的公共網）或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口，能根據企業的安全政策控制（允許、拒絕、監測）出入網絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現網絡和信息安全的基礎設施。

§2.2防火墻的原理

隨著網絡規模的擴大和開放性的增強，網絡上的很多敏感信息和保密數據將受到很多主動和被動的人為攻擊。一種解決辦法是為需要保護的網絡上的每個工作站和服務器裝備上強大的安全特征(例如入侵檢測)，但這幾乎是一種不切合實際的方法，因為對具有幾百個甚至上千個節點的網絡，它們可能運行著不同的操作系統，當發現了安全缺陷時，每個可能被影響的節點都必須加以改進以修復這個缺陷。另一種選擇就是防火墻(Firewall)，防火墻是用來在安全私有網絡(可信任網絡)和外部不可信任網絡之間安全連接的一個設備或一組設備，作為私有網絡和外部網絡之間連接的單點存在。防火墻是設置在可信任的內部網絡和不可信任的外部網絡之間的一道屏障，它可以實施比較廣泛的安全策略來控制信息流，防止不可預料的潛在的入侵破壞.DMZ外網和內部局域網的防火墻系統。

§2.3防火墻的架構

防火墻產品的三代體系架構主要為：

第一代架構：主要是以單一cpu作為整個系統業務和管理的核心，cpu有x86、powerpc、mips等多類型，產品主要表現形式是pc機、工控機、pc-box或risc-box等；

第二代架構：以np或asic作為業務處理的主要核心，對一般安全業務進行加速，嵌入式cpu為管理核心，產品主要表現形式為box等；

第三代架構：iss（integratedsecuritysystem）集成安全體系架構，以高速安全處理芯片作為業務處理的主要核心，采用高性能cpu發揮多種安全業務的高層應用，產品主要表現形式為基于電信級的高可靠、背板交換式的機架式設備，容量大性能高，各單元及系統更為靈活。

§2.4防火墻的技術實現

從Windows軟件防火墻的誕生開始，這種安全防護產品就在跟隨著不斷深入的黑客病毒與反黑反毒之爭，不斷的進化與升級。從最早期的只能分析來源地址，端口號以及未經處理的報文原文的封包過濾防火墻，后來出現了能對不同的應用程序設置不同的訪問網絡權限的技術；近年來由ZoneAlarm等國外知名品牌牽頭，還開始流行了具有未知攻擊攔截能力的智能行為監控防火墻；最后，由于近來垃圾插件和流氓軟件的盛行，很多防火墻都在考慮給自己加上攔截流氓軟件的功能。綜上，Windows軟件防火墻從開始的時候單純的一個截包丟包，堵截IP和端口的工具，發展到了今天功能強大的整體性的安全套件。

第三章防火墻的部署和使用配置

§3.1防火墻的部署

雖然監測型防火墻安全性上已超越了包過濾型和服務器型防火墻，但由于監測型防火墻技術的實現成本較高，也不易管理，所以目前在實用中的防火墻產品仍然以第二代型產品為主，但在某些方面也已經開始使用監測型防火墻。基于對系統成本與安全技術成本的綜合考慮，用戶可以選擇性地使用某些監測型技術。這樣既能夠保證網絡系統的安全性需求，同時也能有效地控制安全系統的總擁有成本。

實際上，作為當前防火墻產品的主流趨勢，大多數服務器（也稱應用網關）也集成了包過濾技術，這兩種技術的混合應用顯然比單獨使用具有更大的優勢。由于這種產品是基于應用的，應用網關能提供對協議的過濾。例如，它可以過濾掉FTP連接中的PUT命令，而且通過應用，應用網關能夠有效地避免內部網絡的信息外泄。正是由于應用網關的這些特點，使得應用過程中的矛盾主要集中在對多種網絡應用協議的有效支持和對網絡整體性能的影響上。

----那么我們究竟應該在哪些地方部署防火墻呢？

----首先,應該安裝防火墻的位置是公司內部網絡與外部Internet的接口處，以阻擋來自外部網絡的入侵；其次，如果公司內部網絡規模較大，并且設置有虛擬局域網(VLAN)，則應該在各個VLAN之間設置防火墻；第三，通過公網連接的總部與各分支機構之間也應該設置防火墻，如果有條件，還應該同時將總部與各分支機構組成虛擬專用網(VPN)。

----安裝防火墻的基本原則是：只要有惡意侵入的可能，無論是內部網絡還是與外部公網的連接處，都應該安裝防火墻。

§3.2防火墻的使用配置

一、防火墻的配置規則：

沒有連接的狀態(沒有握手或握手不成功或非法的數據包)，任何數據包無法穿過防火墻。(內部發起的連接可以回包。通過ACL開放的服務器允許外部發起連接)

inside可以訪問任何outside和dmz區域。

dmz可以訪問outside區域。

inside訪問dmz需要配合static(靜態地址轉換)。

outside訪問dmz需要配合acl(訪問控制列表)。

二、防火墻設備的設置步驟：

1、確定設置防火墻的部署模式；

2、設置防火墻設備的IP地址信息（接口地址或管理地址（設置在VLAN1上））；

3、設置防火墻設備的路由信息；

4、確定經過防火墻設備的IP地址信息（基于策略的源、目標地址）；

5、確定網絡應用（如FTP、EMAIL等應用）；

6、配置訪問控制策略。

第四章防火墻測試的相關標準

防火墻作為信息安全產品的一種，它的產生源于信息安全的需求。所以防火墻的測試不僅有利于提高防火墻的工作效率，更是為了保證國家信息的安全。依照中華人民共和國國家標準GB/T18019-1999《信息技術包過濾防火墻安全技術要求》、GB/T18020-1999《信息技術應用級防火墻安全技術要求》和GB/T17900-1999《網絡服務器的安全技術要求》以及多款防火墻隨機提供的說明文檔，中國軟件評測中心軟件產品測試部根據有關方面的標準和不同防火墻的特點整理出以下軟件防火墻的測試標準：

4.1規則配置方面

要使防火墻軟件更好的服務于用戶，除了其默認的安全規則外，還需要用戶在使用過程中不斷的完善其規則；而規則的設置是否靈活方便、實際效果是否理想等方面，也是判斷一款防火墻軟件整體安全性是否合格的重要標準。簡單快捷的規則配置過程讓防火墻軟件具備更好的親和力，一款防火墻軟件如果能實施在線檢測所有對本機的訪問并控制它們、分別對應用程序、文件或注冊表鍵值實施單獨的規則添加等等，這將成為此款軟件防火墻規則配置的一個特色。

§4.2防御能力方面

對于防火墻防御能力的表現，由于偶然因素太多，因此無法從一個固定平等的測試環境中來得出結果。但是可以使用了X-Scan等安全掃描工具來測試。雖然得出的結果可能仍然有一定的出入，但大致可以做為一個性能參考。

§4.3主動防御提示方面

對于網絡訪問、系統進程訪問、程序運行等本機狀態發生改變時，防火墻軟件一般都會有主動防御提示出現。這方面主要測試軟件攔截或過濾時是否提示用戶做出相應的操作選擇。

§4.4自定義安全級別方面

用戶是否可以參照已有安全級別的安全性描述來設置符合自身特殊需要的規則。防火墻可設置系統防火墻的安全等級、安全規則，以防止電腦被外界入侵。一般的防火墻共有四個級別：

高級：預設的防火墻安全等級，用戶可以上網，收發郵件；l

中級：預設的防火墻安全等級，用戶可以上網，收發郵件，網絡聊天，FTP、Telnet等；l

低級：預設的防火墻安全等級，只對已知的木馬進行攔截，對于其它的訪問，只是給于提示用戶及記錄；l

自定義：用戶可自定義防火墻的安全規則，可以根據需要自行進行配置。l

§4.5其他功能方面

這主要是從軟件的擴展功能表現、操作設置的易用性、軟件的兼容性和安全可靠性方面來綜合判定。比如是否具有過濾網址、實施木馬掃描、阻止彈出廣告窗口、將未受保護的無線網絡“學習”為規則、惡意軟件檢測、個人隱私保護等豐富的功能項，是否可以滿足用戶各方面的需要。

§4.6資源占用方面

這方面的測試包括空閑時和瀏覽網頁時的CPU占用率、內存占有率以及屏蔽大量攻擊時的資源占用和相應速度。總的來是就是資源占用率越低越好，啟動的速度越快越好。

§4.7軟件安裝方面

這方面主要測試軟件的安裝使用是否需要重啟系統、安裝過程是不是方便、安裝完成后是否提示升級本地數據庫的信息等等。

§4.8軟件界面方面

軟件是否可切換界面皮膚和語言、界面是否簡潔等等。簡潔的界面并不代表其功能就不完善，相反地，簡化了用戶的操作設置項也就帶來了更智能的安全防護功能。比如有的防護墻安裝完成后會在桌面生成簡單模式和高級模式兩個啟動項，這方便用戶根據不同的安全級別啟動相應的防護

第五章防火墻的入侵檢測

§5.1什么是入侵檢測系統？

入侵檢測可被定義為對計算機和網絡資源上的惡意使用行為進行識別和響應的處理過程，它不僅檢測來自外部的入侵行為，同時也檢測內部用戶的未授權活動。

入侵檢測系統(IDS)是從計算機網絡系統中的若干關鍵點收集信息，并分析這些信息，檢查網絡中是否有違反安全策略的行為和遭到襲擊的跡象。IDS被公認為是防火墻之后的第二道安全閘門，它作為一種積極主動的安全防護技術，從網絡安全立體縱深、多層次防御的角度出發，對防范網絡惡意攻擊及誤操作提供了主動的實時保護，從而能夠在網絡系統受到危害之前攔截和響應入侵

§5.2入侵檢測技術及發展

自1980年產生IDS概念以來，已經出現了基于主機和基于網絡的入侵檢測系統，出現了基于知識的模型識別、異常識別和協議分析等入侵檢測技術，并能夠對百兆、千兆甚至更高流量的網絡系統執行入侵檢測。

入侵檢測技術的發展已經歷了四個主要階段：

第一階段是以基于協議解碼和模式匹配為主的技術，其優點是對于已知的攻擊行為非常有效，各種已知的攻擊行為可以對號入座，誤報率低;缺點是高超的黑客采用變形手法或者新技術可以輕易躲避檢測，漏報率高。

第二階段是以基于模式匹配+簡單協議分析+異常統計為主的技術，其優點是能夠分析處理一部分協議，可以進行重組;缺點是匹配效率較低，管理功能較弱。這種檢測技術實際上是在第一階段技術的基礎上增加了部分對異常行為分析的功能。

第三階段是以基于完全協議分析+模式匹配+異常統計為主的技術，其優點是誤報率、漏報率和濫報率較低，效率高，可管理性強，并在此基礎上實現了多級分布式的檢測管理;缺點是可視化程度不夠，防范及管理功能較弱。

第四階段是以基于安全管理+協議分析+模式匹配+異常統計為主的技術，其優點是入侵管理和多項技術協同工作，建立全局的主動保障體系，具有良好的可視化、可控性和可管理性。以該技術為核心，可構造一個積極的動態防御體系，即IMS——入侵管理系統。

新一代的入侵檢測系統應該是具有集成HIDS和NIDS的優點、部署方便、應用靈活、功能強大、并提供攻擊簽名、檢測、報告和事件關聯等配套服務功能的智能化系統§5.3入侵檢測技術分類

從技術上講，入侵檢測技術大致分為基于知識的模式識別、基于知識的異常識別和協議分析三類。而主要的入侵檢測方法有特征檢測法、概率統計分析法和專家知識庫系統。

(1)基于知識的模式識別

這種技術是通過事先定義好的模式數據庫實現的，其基本思想是：首先把各種可能的入侵活動均用某種模式表示出來，并建立模式數據庫，然后監視主體的一舉一動，當檢測到主體活動違反了事先定義的模式規則時，根據模式匹配原則判別是否發生了攻擊行為。

模式識別的關鍵是建立入侵模式的表示形式，同時，要能夠區分入侵行為和正常行為。這種檢測技術僅限于檢測出已建立模式的入侵行為，屬已知類型，對新類型的入侵是無能為力的，仍需改進。

(2)基于知識的異常識別

這種技術是通過事先建立正常行為檔案庫實現的，其基本思想是：首先把主體的各種正常活動用某種形式描述出來，并建立“正常活動檔案”，當某種活動與所描述的正常活動存在差異時，就認為是“入侵”行為，進而被檢測識別。

異常識別的關鍵是描述正常活動和構建正常活動檔案庫。

利用行為進行識別時，存在四種可能：一是入侵且行為正常;二是入侵且行為異常;三是非入侵且行為正常;四是非入侵且行為異常。根據異常識別思想，把第二種和第四種情況判定為“入侵”行為。這種檢測技術可以檢測出未知行為，并具有簡單的學習功能。

以下是幾種基于知識的異常識別的檢測方法：

1)基于審計的攻擊檢測技術

這種檢測方法是通過對審計信息的綜合分析實現的，其基本思想是：根據用戶的歷史行為、先前的證據或模型，使用統計分析方法對用戶當前的行為進行檢測和判別，當發現可疑行為時，保持跟蹤并監視其行為，同時向系統安全員提交安全審計報告。

2)基于神經網絡的攻擊檢測技術

由于用戶的行為十分復雜，要準確匹配一個用戶的歷史行為和當前的行為是相當困難的，這也是基于審計攻擊檢測的主要弱點。

而基于神經網絡的攻擊檢測技術則是一個對基于傳統統計技術的攻擊檢測方法的改進方向，它能夠解決傳統的統計分析技術所面臨的若干問題，例如，建立確切的統計分布、實現方法的普遍性、降低算法實現的成本和系統優化等問題。

3)基于專家系統的攻擊檢測技術

所謂專家系統就是一個依據專家經驗定義的推理系統。這種檢測是建立在專家經驗基礎上的，它根據專家經驗進行推理判斷得出結論。例如，當用戶連續三次登錄失敗時，可以把該用戶的第四次登錄視為攻擊行為。

4)基于模型推理的攻擊檢測技術

攻擊者在入侵一個系統時往往采用一定的行為程序，如猜測口令的程序，這種行為程序構成了某種具有一定行為特征的模型，根據這種模型所代表的攻擊意圖的行為特征，可以實時地檢測出惡意的攻擊企圖，盡管攻擊者不一定都是惡意的。用基于模型的推理方法人們能夠為某些行為建立特定的模型，從而能夠監視具有特定行為特征的某些活動。根據假設的攻擊腳本，這種系統就能檢測出非法的用戶行為。一般為了準確判斷，要為不同的入侵者和不同的系統建立特定的攻擊腳本。

使用基于知識的模式識別和基于知識的異常識別所得出的結論差異較大，甚至得出相反結論。這是因為基于知識的模式識別的核心是維護一個入侵模式庫，它對已知攻擊可以詳細、準確地報告出攻擊類型，但對未知攻擊卻無能為力，而且入侵模式庫必須不斷更新。而基于知識的異常識別則是通過對入侵活動的檢測得出結論的，它雖無法準確判斷出攻擊的手段，但可以發現更廣泛的、甚至未知的攻擊行為。

§5.4入侵檢測技術剖析

1）信號分析

對收集到的有關系統、網絡、數據及用戶活動的狀態和行為等信息，一般通過三種技術手段進行分析：模式匹配、統計分析和完整性分析。其中前兩種方法用于實時的入侵檢測，而完整性分析則用于事后分析。

2）模式匹配

模式匹配就是將收集到的信息與已知的網絡入侵和系統已有模式數據庫進行比較，從而發現違背安全策略的行為。該過程可以很簡單（如通過字符串匹配以尋找一個簡單的條目或指令），也可以很復雜（如利用正規的數學表達式來表示安全狀態的變化）。一般來講，一種進攻模式可以用一個過程（如執行一條指令）或一個輸出（如獲得權限）來表示。該方法的一大優點是只需收集相關的數據集合，顯著減少系統負擔，且技術已相當成熟。它與病毒防火墻采用的方法一樣，檢測準確率和效率都相當高。但是，該方法存在的弱點是需要不斷的升級以對付不斷出現的黑客攻擊手法，不能檢測到從未出現過的黑客攻擊手段。

3）統計分析

統計分析方法首先給系統對象（如用戶、文件、目錄和設備等）創建一個統計描述，統計正常使用時的一些測量屬性（如訪問次數、操作失敗次數和延時等）。在比較這一點上與模式匹配有些相象之處。測量屬性的平均值將被用來與網絡、系統的行為進行比較，任何觀察值在正常值范圍之外時，就認為有入侵發生。例如，本來都默認用GUEST帳號登錄的，突然用ADMINI帳號登錄。這樣做的優點是可檢測到未知的入侵和更為復雜的入侵，缺點是誤報、漏報率高，且不適應用戶正常行為的突然改變。具體的統計分析方法如基于專家系統的、基于模型推理的和基于神經網絡的分析方法，目前正處于研究熱點和迅速發展之中。

4）完整性分析

完整性分析主要關注某個文件或對象是否被更改，這經常包括文件和目錄的內容及屬性，它在發現被更改的、被特咯伊化的應用程序方面特別有效。完整性分析利用強有力的加密機制，稱為消息摘要函數（例如MD5），它能識別哪怕是微小的變化。其優點是不管模式匹配方法和統計分析方法能否發現入侵，只要是成功的攻擊導致了文件或其它對象的任何改變，它都能夠發現。缺點是一般以批處理方式實現，用于事后分析而不用于實時響應。盡管如此，完整性檢測方法還應該是網絡安全產品的必要手段之一。例如，可以在每一天的某個特定時間內開啟完整性分析模塊，對網絡系統進行全面地掃描檢查。

§5.5防火墻與入侵檢測的聯動

網絡安全是一個整體的動態的系統工程，不能靠幾個產品單獨工作來進行安全防范。理想情況下，整個系統的安全產品應該有一個響應協同，相互通信，協同工作。其中入侵檢測系統和防火墻之間的聯動就能更好的進行安全防護。圖8所示就是入侵檢測系統和防火墻之間的聯動，當入侵檢測系統檢測到入侵后，通過和防火墻通信，讓防火墻自動增加規則，以攔截相關的入侵行為，實現聯動聯防。

§5.6什么是VPN?

VPN的英文全稱是“VirtualPrivateNetwork”，翻譯過來就是“虛擬專用網絡”。顧名思義，虛擬專用網絡我們可以把它理解成是虛擬出來的企業內部專線。它可以通過特殊的加密的通訊協議在連接在Internet上的位于不同地方的兩個或多個企業內部網之間建立一條專有的通訊線路，就好比是架設了一條專線一樣，但是它并不需要真正的去鋪設光纜之類的物理線路。這就好比去電信局申請專線，但是不用給鋪設線路的費用，也不用購買路由器等硬件設備。VPN技術原是路由器具有的重要技術之一，目前在交換機，防火墻設備或Windows2000等軟件里也都支持VPN功能，一句話，VPN的核心就是在利用公共網絡建立虛擬私有網。

虛擬專用網（VPN）被定義為通過一個公用網絡（通常是因特網）建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩定的隧道。虛擬專用網是對企業內部網的擴展。虛擬專用網可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接，并保證數據的安全傳輸。虛擬專用網可用于不斷增長的移動用戶的全球因特網接入，以實現安全連接；可用于實現企業網站之間安全通信的虛擬專用線路，用于經濟有效地連接到商業伙伴和用戶的安全外聯網虛擬專用網。

§5.7VPN的特點

1.安全保障雖然實現VPN的技術和方式很多，但所有的VPN均應保證通過公用網絡平臺傳輸數據的專用性和安全性。在安全性方面，由于VPN直接構建在公用網上，實現簡單、方便、靈活，但同時其安全問題也更為突出。企業必須確保其VPN上傳送的數據不被攻擊者窺視和篡改，并且要防止非法用戶對網絡資源或私有信息的訪問。

2.服務質量保證（QoS）

VPN網應當為企業數據提供不同等級的服務質量保證。不同的用戶和業務對服務質量保證的要求差別較大。在網絡優化方面，構建VPN的另一重要需求是充分有效地利用有限的廣域網資源，為重要數據提供可靠的帶寬。廣域網流量的不確定性使其帶寬的利用率很低，在流量高峰時引起網絡阻塞，使實時性要求高的數據得不到及時發送；而在流量低谷時又造成大量的網絡帶寬空閑。QoS通過流量預測與流量控制策略，可以按照優先級分實現帶寬管理，使得各類數據能夠被合理地先后發送，并預防阻塞的發生。

3.可擴充性和靈活性

VPN必須能夠支持通過Intranet和Extranet的任何類型的數據流，方便增加新的節點，支持多種類型的傳輸媒介，可以滿足同時傳輸語音、圖像和數據等新應用對高質量傳輸以及帶寬增加的需求。

4.可管理性

從用戶角度和運營商角度應可方便地進行管理、維護。VPN管理的目標為：減小網絡風險、具有高擴展性、經濟性、高可靠性等優點。事實上，VPN管理主要包括安全管理、設備管理、配置管理、訪問控制列表管理、QoS管理等內容。

§5.8VPN防火墻

VPN防火墻就是一種過濾塞（目前你這么理解不算錯），你可以讓你喜歡的東西通過這個塞子，別的玩意都統統過濾掉。在網絡的世界里，要由VPN防火墻過濾的就是承載通信數據的通信包。

最簡單的VPN防火墻是以太網橋。但幾乎沒有人會認為這種原始VPN防火墻能管多大用。大多數VPN防火墻采用的技術和標準可謂五花八門。這些VPN防火墻的形式多種多樣：有的取代系統上已經裝備的TCP/IP協議棧；有的在已有的協議棧上建立自己的軟件模塊；有的干脆就是獨立的一套操作系統。還有一些應用型的VPN防火墻只對特定類型的網絡連接提供保護（比如SMTP或者HTTP協議等）。還有一些基于硬件的VPN防火墻產品其實應該歸入安全路由器一類。以上的產品都可以叫做VPN防火墻，因為他們的工作方式都是一樣的：分析出入VPN防火墻的數據包，決定放行還是把他們扔到一邊。

所有的VPN防火墻都具有IP地址過濾功能。這項任務要檢查IP包頭，根據其IP源地址和目標地址作出放行/丟棄決定。看看下面這張圖，兩個網段之間隔了一個VPN防火墻，VPN防火墻的一端有臺UNIX計算機，另一邊的網段則擺了臺PC客戶機。

當PC客戶機向UNIX計算機發起telnet請求時，PC的telnet客戶程序就產生一個TCP包并把它傳給本地的協議棧準備發送。接下來，協議棧將這個TCP包“塞”到一個IP包里，然后通過PC機的TCP/IP棧所定義的路徑將它發送給UNIX計算機。在這個例子里，這個IP包必須經過橫在PC和UNIX計算機中的VPN防火墻才能到達UNIX計算機。

現在我們“命令”（用專業術語來說就是配制）VPN防火墻把所有發給UNIX計算機的數據包都給拒了，完成這項工作以后，比較好的VPN防火墻還會通知客戶程序一聲呢！既然發向目標的IP數據沒法轉發，那么只有和UNIX計算機同在一個網段的用戶才能訪問UNIX計算機了。

還有一種情況，你可以命令VPN防火墻專給那臺可憐的PC機找茬，別人的數據包都讓過就它不行。這正是VPN防火墻最基本的功能：根據IP地址做轉發判斷。但要上了大場面這種小伎倆就玩不轉了，由于黑客們可以采用IP地址欺騙技術，偽裝成合法地址的計算機就可以穿越信任這個地址的VPN防火墻了。不過根據地址的轉發決策機制還是最基本和必需的。另外要注意的一點是，不要用DNS主機名建立過濾表，對DNS的偽造比IP地址欺騙要容易多了。

后記：

入侵檢測作為一種積極主動地安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網絡系統受到危害之前攔截和響應入侵。入侵檢測系統面臨的最主要挑戰有兩個：一個是虛警率太高，一個是檢測速度太慢。現有的入侵檢測系統還有其他技術上的致命弱點。因此，可以這樣說，入侵檢測產品仍具有較大的發展空間，從技術途徑來講，除了完善常規的、傳統的技術（模式識別和完整性檢測）外，應重點加強統計分析的相關技術研究。

但無論如何，入侵檢測不是對所有的入侵都能夠及時發現的，即使擁有當前最強大的入侵檢測系統，如果不及時修補網絡中的安全漏洞的話，安全也無從談起。

同樣入侵檢測技術也存在許多缺點，IDS的檢測模型始終落后于攻擊者的新知識和技術手段。主要表現在以下幾個方面：

1)利用加密技術欺騙IDS;

2)躲避IDS的安全策略;

3)快速發動進攻，使IDS無法反應;

4)發動大規模攻擊，使IDS判斷出錯;

5)直接破壞IDS;

6)智能攻擊技術，邊攻擊邊學習，變IDS為攻擊者的工具。

我認為在與防火墻技術結合中應該注意擴大檢測范圍和類別、加強自學習和自適應的能力方面發展。

參考文獻：

1..MarcusGoncalves著。宋書民，朱智強等譯。防火墻技術指南[M]。機械工業出版社

2.梅杰，許榕生。Internet防火墻技術新發展。微電腦世界.

第2篇

入侵檢測系統（IDS）可以對系統或網絡資源進行實時檢測，及時發現闖入系統或網絡的入侵者，也可預防合法用戶對資源的誤操作。本論文從入侵檢測的基本理論和入侵檢測中的關鍵技術出發,主要研究了一個簡單的基于網絡的windows平臺上的個人入侵檢測系統的實現(PIDS，PersonalIntrusionDetectionSystem)。論文首先分析了當前網絡的安全現狀，介紹了入侵檢測技術的歷史以及當前入侵檢測系統的關鍵理論。分析了Windows的網絡體系結構以及開發工具Winpcap的數據包捕獲和過濾的結構。最后在Winpcap系統環境下實現本系統設計。本系統采用異常檢測技術，通過Winpcap截取實時數據包，同時從截獲的IP包中提取出概述性事件信息并傳送給入侵檢測模塊，采用量化分析的方法對信息進行分析。系統在實際測試中表明對于具有量化特性的網絡入侵具有較好的檢測能力。最后歸納出系統現階段存在的問題和改進意見,并根據系統的功能提出了后續開發方向。

關鍵詞：網絡安全；入侵檢測；數據包捕獲；PIDS

1.1網絡安全概述

1.1.1網絡安全問題的產生

可以從不同角度對網絡安全作出不同的解釋。一般意義上，網絡安全是指信息安全和控制安全兩部分。國際標準化組織把信息安全定義為“信息的完整性、可用性、保密性和可靠性”；控制安全則指身份認證、不可否認性、授權和訪問控制。

互聯網與生俱有的開放性、交互性和分散性特征使人類所憧憬的信息共享、開放、靈活和快速等需求得到滿足。網絡環境為信息共享、信息交流、信息服務創造了理想空間，網絡技術的迅速發展和廣泛應用，為人類社會的進步提供了巨大推動力。然而，正是由于互聯網的上述特性，產生了許多安全問題：

(1)信息泄漏、信息污染、信息不易受控。例如，資源未授權侵用、未授權信息流出現、系統拒絕信息流和系統否認等，這些都是信息安全的技術難點。

(2)在網絡環境中，一些組織或個人出于某種特殊目的，進行信息泄密、信息破壞、信息侵權和意識形態的信息滲透，甚至通過網絡進行政治顛覆等活動，使國家利益、社會公共利益和各類主體的合法權益受到威脅。

(3)網絡運用的趨勢是全社會廣泛參與，隨之而來的是控制權分散的管理問題。由于人們利益、目標、價值的分歧，使信息資源的保護和管理出現脫節和真空，從而使信息安全問題變得廣泛而復雜。

(4)隨著社會重要基礎設施的高度信息化，社會的“命脈”和核心控制系統有可能面臨更大的威脅。

1.1.2網絡信息系統面臨的安全威脅

目前網絡信息系統面臨的安全威脅主要有:

(1)非法使用服務:這種攻擊的目的在于非法利用網絡的能力，網絡上的非授權訪問應該是不可能的。不幸的是，用于在網絡上共享資源及信息的工具、程序存在許多安全漏洞，而利用了這些漏洞就可以對系統進行訪問了。

(2)身份冒充;這種攻擊的著眼點在于網絡中的信任關系，主要有地址偽裝IP欺騙和用戶名假冒。

(3)數據竊取:指所保護的重要數據被非法用戶所獲取，如入侵者利用電磁波輻射或搭線竊聽等方式截獲用戶口令、帳號等重要敏感信息。

(4)破壞數據完整性:指通過非法手段竊得系統一定使用權限，并刪除、修改、偽造某些重要信息，以干擾用戶的正常使用或便于入侵者的進一步攻擊。

1.1.3對網絡個人主機的攻擊

對方首先通過掃描來查找可以入侵的機器，即漏洞探測；接著確定該機器的IP地址；然后利用相應的攻擊工具發起某種攻擊。

第3篇

關鍵詞入侵檢測系統；CIDF；網絡安全；防火墻

0引言

近年來，隨著信息和網絡技術的高速發展以及政治、經濟或者軍事利益的驅動，計算機和網絡基礎設施，特別是各種官方機構的網站，成為黑客攻擊的熱門目標。近年來對電子商務的熱切需求，更加激化了這種入侵事件的增長趨勢。由于防火墻只防外不防內，并且很容易被繞過，所以僅僅依賴防火墻的計算機系統已經不能對付日益猖獗的入侵行為，對付入侵行為的第二道防線——入侵檢測系統就被啟用了。

1入侵檢測系統（IDS）概念

1980年，JamesP.Anderson第一次系統闡述了入侵檢測的概念，并將入侵行為分為外部滲透、內部滲透和不法行為三種，還提出了利用審計數據監視入侵活動的思想[1]。即其之后,1986年DorothyE.Denning提出實時異常檢測的概念[2]并建立了第一個實時入侵檢測模型，命名為入侵檢測專家系統（IDES），1990年，L.T.Heberlein等設計出監視網絡數據流的入侵檢測系統，NSM(NetworkSecurityMonitor)。自此之后，入侵檢測系統才真正發展起來。

Anderson將入侵嘗試或威脅定義為：潛在的、有預謀的、未經授權的訪問信息、操作信息、致使系統不可靠或無法使用的企圖。而入侵檢測的定義為[4]：發現非授權使用計算機的個體（如“黑客”）或計算機系統的合法用戶濫用其訪問系統的權利以及企圖實施上述行為的個體。執行入侵檢測任務的程序即是入侵檢測系統。入侵檢測系統也可以定義為：檢測企圖破壞計算機資源的完整性，真實性和可用性的行為的軟件。

入侵檢測系統執行的主要任務包括[3]：監視、分析用戶及系統活動；審計系統構造和弱點；識別、反映已知進攻的活動模式，向相關人士報警；統計分析異常行為模式；評估重要系統和數據文件的完整性；審計、跟蹤管理操作系統，識別用戶違反安全策略的行為。入侵檢測一般分為三個步驟：信息收集、數據分析、響應。

入侵檢測的目的：（1）識別入侵者；（2）識別入侵行為；（3）檢測和監視以實施的入侵行為；（4）為對抗入侵提供信息，阻止入侵的發生和事態的擴大；

2入侵檢測系統模型

美國斯坦福國際研究所（SRI）的D.E.Denning于1986年首次提出一種入侵檢測模型[2]，該模型的檢測方法就是建立用戶正常行為的描述模型，并以此同當前用戶活動的審計記錄進行比較，如果有較大偏差，則表示有異常活動發生。這是一種基于統計的檢測方法。隨著技術的發展，后來人們又提出了基于規則的檢測方法。結合這兩種方法的優點，人們設計出很多入侵檢測的模型。通用入侵檢測構架（CommonIntrusionDetectionFramework簡稱CIDF）組織，試圖將現有的入侵檢測系統標準化，CIDF闡述了一個入侵檢測系統的通用模型（一般稱為CIDF模型）。它將一個入侵檢測系統分為以下四個組件：

事件產生器(EventGenerators)

事件分析器(Eventanalyzers)

響應單元(Responseunits)

事件數據庫(Eventdatabases)

它將需要分析的數據通稱為事件，事件可以是基于網絡的數據包也可以是基于主機的系統日志中的信息。事件產生器的目的是從整個計算機環境中獲得事件，并向系統其它部分提供此事件。事件分析器分析得到的事件并產生分析結果。響應單元則是對分析結果做出反應的功能單元，它可以做出切斷連接、修改文件屬性等強烈反應。事件數據庫是存放各種中間和最終數據的地方的通稱，它可以是復雜的數據庫也可以是簡單的文本文件。

3入侵檢測系統的分類：

現有的IDS的分類，大都基于信息源和分析方法。為了體現對IDS從布局、采集、分析、響應等各個層次及系統性研究方面的問題，在這里采用五類標準：控制策略、同步技術、信息源、分析方法、響應方式。

按照控制策略分類

控制策略描述了IDS的各元素是如何控制的，以及IDS的輸入和輸出是如何管理的。按照控制策略IDS可以劃分為，集中式IDS、部分分布式IDS和全部分布式IDS。在集中式IDS中，一個中央節點控制系統中所有的監視、檢測和報告。在部分分布式IDS中，監控和探測是由本地的一個控制點控制，層次似的將報告發向一個或多個中心站。在全分布式IDS中，監控和探測是使用一種叫“”的方法，進行分析并做出響應決策。

按照同步技術分類

同步技術是指被監控的事件以及對這些事件的分析在同一時間進行。按照同步技術劃分，IDS劃分為間隔批任務處理型IDS和實時連續性IDS。在間隔批任務處理型IDS中，信息源是以文件的形式傳給分析器，一次只處理特定時間段內產生的信息，并在入侵發生時將結果反饋給用戶。很多早期的基于主機的IDS都采用這種方案。在實時連續型IDS中，事件一發生，信息源就傳給分析引擎，并且立刻得到處理和反映。實時IDS是基于網絡IDS首選的方案。

按照信息源分類

按照信息源分類是目前最通用的劃分方法，它分為基于主機的IDS、基于網絡的IDS和分布式IDS。基于主機的IDS通過分析來自單個的計算機系統的系統審計蹤跡和系統日志來檢測攻擊。基于主機的IDS是在關鍵的網段或交換部位通過捕獲并分析網絡數據包來檢測攻擊。分布式IDS，能夠同時分析來自主機系統日志和網絡數據流，系統由多個部件組成，采用分布式結構。

按照分析方法分類

按照分析方法IDS劃分為濫用檢測型IDS和異常檢測型IDS。濫用檢測型的IDS中，首先建立一個對過去各種入侵方法和系統缺陷知識的數據庫，當收集到的信息與庫中的原型相符合時則報警。任何不符合特定條件的活動將會被認為合法，因此這樣的系統虛警率很低。異常檢測型IDS是建立在如下假設的基礎之上的，即任何一種入侵行為都能由于其偏離正常或者所期望的系統和用戶活動規律而被檢測出來。所以它需要一個記錄合法活動的數據庫，由于庫的有限性使得虛警率比較高。

按照響應方式分類

按照響應方式IDS劃分為主動響應IDS和被動響應IDS。當特定的入侵被檢測到時，主動IDS會采用以下三種響應：收集輔助信息；改變環境以堵住導致入侵發生的漏洞；對攻擊者采取行動（這是一種不被推薦的做法，因為行為有點過激）。被動響應IDS則是將信息提供給系統用戶，依靠管理員在這一信息的基礎上采取進一步的行動。

4IDS的評價標準

目前的入侵檢測技術發展迅速，應用的技術也很廣泛，如何來評價IDS的優缺點就顯得非常重要。評價IDS的優劣主要有這樣幾個方面[5]：（1）準確性。準確性是指IDS不會標記環境中的一個合法行為為異常或入侵。（2）性能。IDS的性能是指處理審計事件的速度。對一個實時IDS來說，必須要求性能良好。（3）完整性。完整性是指IDS能檢測出所有的攻擊。（4）故障容錯（faulttolerance）。當被保護系統遭到攻擊和毀壞時，能迅速恢復系統原有的數據和功能。（5）自身抵抗攻擊能力。這一點很重要，尤其是“拒絕服務”攻擊。因為多數對目標系統的攻擊都是采用首先用“拒絕服務”攻擊摧毀IDS，再實施對系統的攻擊。（6）及時性（Timeliness）。一個IDS必須盡快地執行和傳送它的分析結果，以便在系統造成嚴重危害之前能及時做出反應，阻止攻擊者破壞審計數據或IDS本身。

除了上述幾個主要方面，還應該考慮以下幾個方面：（1）IDS運行時，額外的計算機資源的開銷；（2）誤警報率／漏警報率的程度；（3）適應性和擴展性；（4）靈活性；（5）管理的開銷；（6）是否便于使用和配置。

5IDS的發展趨

隨著入侵檢測技術的發展，成型的產品已陸續應用到實踐中。入侵檢測系統的典型代表是ISS（國際互聯網安全系統公司）公司的RealSecure。目前較為著名的商用入侵檢測產品還有：NAI公司的CyberCopMonitor、Axent公司的NetProwler、CISCO公司的Netranger、CA公司的Sessionwall－3等。國內的該類產品較少，但發展很快，已有總參北方所、中科網威、啟明星辰等公司推出產品。

人們在完善原有技術的基礎上，又在研究新的檢測方法，如數據融合技術，主動的自主方法，智能技術以及免疫學原理的應用等。其主要的發展方向可概括為：

（1）大規模分布式入侵檢測。傳統的入侵檢測技術一般只局限于單一的主機或網絡框架，顯然不能適應大規模網絡的監測，不同的入侵檢測系統之間也不能協同工作。因此，必須發展大規模的分布式入侵檢測技術。

（2）寬帶高速網絡的實時入侵檢測技術。大量高速網絡的不斷涌現，各種寬帶接入手段層出不窮，如何實現高速網絡下的實時入侵檢測成為一個現實的問題。

（3）入侵檢測的數據融合技術。目前的IDS還存在著很多缺陷。首先，目前的技術還不能對付訓練有素的黑客的復雜的攻擊。其次，系統的虛警率太高。最后，系統對大量的數據處理，非但無助于解決問題，還降低了處理能力。數據融合技術是解決這一系列問題的好方法。

（4）與網絡安全技術相結合。結合防火墻，病毒防護以及電子商務技術，提供完整的網絡安全保障。

6結束語

在目前的計算機安全狀態下，基于防火墻、加密技術的安全防護固然重要，但是，要根本改善系統的安全現狀，必須要發展入侵檢測技術，它已經成為計算機安全策略中的核心技術之一。IDS作為一種主動的安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護。隨著網絡通信技術安全性的要求越來越高，入侵檢測技術必將受到人們的高度重視。

參考文獻：

[1]putersecuritythreatmonitoringandsurveillance[P].PA19034,USA,1980.4

[2]DenningDE.AnIntrusion-DetectionModel[A].IEEESymponSecurity&Privacy[C],1986.118-131

[3]張杰，戴英俠，入侵檢測系統技術現狀及其發展趨勢[J]，計算機與通信，2002.6：28-32