入侵防御技术原理分析.docVIP

入侵防御技术原理分析 　　摘要：随着互联网的普及和网络技术的飞速发展，网络安全漏洞不断被发现，黑客的入侵技巧和破坏能力不断提高，网络受到越来越多的攻击，怎样防止入侵，保护网络安全问题也成了大家关注社会问题。本文首先分析了常规的网络入侵方法，然后详细阐述了入侵防御技术的原理，并结合实际的网络拓扑结构对近年来的一种新技术――入侵防护系统进行了分析。 　　关键词：网络安全；入侵检测；入侵防御 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)06-1pppp-0c 　　 　　1 引言 　　 　　随着社会对互联网依赖性的增强，计算机网络安全问题也逐渐成为人们普遍关注的重要问题之一。当前，计算机网络的安全已成为一个社会化、国际化的问题。近年来，大量的网站和服务器被入侵，大规模网络攻击的不断出现，充分说明了我们在加深对互联网的依赖程度的同时，互联网也变得更加的不安全了。 　　入侵防御是一种新的计算机安全技术，它与只检测和报告已经发生攻击行为的入侵检测技术不同，它采取积极主动的措施阻止从外部对IT资源的攻击，将损失降到最小。由于现存安全技术有各种各样的局限性，入侵防御技术越来越受到政府部门和企事业单位的重视。入侵防御技术在逻辑上可以看成是基于特征匹配的安全技术（如入侵检测和病毒防治）与源于网络的保护方案（如防火墙技术）的总和。 　　 　　2 常规网络入侵方法介绍 　　 　　(1)DoS（Denial of Service）入侵 　　拒绝服务攻击（DoS攻击）是目前为人所熟知的一种攻击。拒绝服务攻击从根本上可以分为两种类型：一是使系统崩溃或瘫痪，使目标系统重启，以至于不能够提供相应的服务；二是通过要目标系统发送大量的无效的数据包耗尽系统资源，以至于系统不能够响应正常的请求，从而实现拒绝服务攻击。 　　(2)特洛伊木马入侵 　　在目标计算机机中种植特洛伊木马也是当今流行的一种网络入侵方式。一些木马程序会通过覆盖系统中已经存在的文件的方式存在于系统之中，同时它可以携带恶意代码，还有一些木马会以一个软件的身份出现（例如：一个可供下载的游戏），但它实际上是一个窃取密码的工具。木马通常不容易被发现，因为它一般是以一个正常的应用程序的身份在系统中运行的。 　　(3)蠕虫入侵 　　一个蠕虫通常具备三个基本功能：传播、隐藏和目标执行。传播功能使得其可以在很短的时间内通过网络迅速繁殖，隐藏功能则使得蠕虫在侵入目标系统后能够不被发现，例如从系统进程列表上隐藏自己，或更名为操作系统某个系统进程的名称等等。执行功能可以使其实现对主机的恶意控制操作。 　　(4)WEB欺骗 　　Web欺骗也是近年来较为流行的一种网络供给手段，其基本原理是通过假冒人们所信任的Web站点，使得用户访问其假冒站点，从而达到监听用户通讯，非法获取敏感信息的目的。 　　(5)局域网ARP欺骗 　　ARP(Address Resolution Protocol)地址解析协议是局域网通信的基础协议。ARP欺骗利用了ARP协议的存在的安全缺陷，即接收ARP计算机不需要发出ARP请求。 　　 　　3 入侵防御原理 　　 　　由于网络入侵事件的不断增加和黑客攻击水平的不断提高，一方面网络感染病毒、遭受攻击的速度日益加快，另一方面网络受到攻击做出响应的时间却越来越滞后。要解决这一矛盾，传统的防火墙或入侵检测技术显得力不从心，被动防御技术对新的攻击方法往往不能正确识别，从而陷入被动的地位，这就需要引入一种全新的技术――入侵防护系统(Intrusion Prevention System，IPS)。 　　IPS是一种主动的、积极的入侵防范、阻止系统遭受攻击的软件系统。它不仅具备侦测与预防的能力，更重要的是有响应与管理的能力。它部署在网络的进出口处，当它检测到攻击企图后，它会自动地将攻击包丢掉或采取措施将攻击源阻断。但是它只能串联在网络上，对防火墙所不能过滤的攻击进行过滤，最大程度地保证系统的安全。IPS是通过直接嵌入到网络流量中来实现这一功能的，即通过一个端口接收来自外部系统的流量，经过检查确认其中不包含异常活动或可疑内容后，再通过另外一个端口将它传送到内部系统中。这样有问题的数据包，以及所有来自同一数据流的后续数据包，都能在IPS设备中被清除掉。网络拓扑结构如图1。 　　 　　图1 入侵检测系统网络拓扑 　　从图1可以看出入侵检测系统在网络拓扑中，数据包到达目标地址前必须经过入侵检测系统的检测，当检测到攻击时，入侵检测系统将攻击数据包丢弃，从而阻止入侵。入侵检测系统与路由器的协同工作方式如下：首先，要求路由器的访问控制列表应该对所传输IP数据包的目的地址和源地址同时进行检测，若发现应该禁止通信的数据流则截断通信，以增强对访