浅析计算机网络安全技术21900.docx

《浅析计算机网络安全技术21900.docx》由会员分享，可在线阅读，更多相关《浅析计算机网络安全技术21900.docx（8页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、浅析计算算机网络络安全技技术李慧宁福建师范范大学数数计学院院 35500007摘要：随随着计算算机网络络技术和和互联网网的飞速速发展，网网络攻击击和入侵侵事件与与日俱增增，安全全性已经经成为网网络安全全技术中中最关键键的问题题。本文文主要介介绍常见见的两种种网络安安全防护护技术：防火墙墙技术和和入侵检检测技术术，并对对网络安安全可视视化这一一新技术术做了简简单介绍绍。关键词：网络安安全；防防火墙；入侵检检测；安全可可视化1 引言言随着计算算机网络络的普及及和网络络技术的的发展，越越来越多多的企业业、个人人利用计计算机和和网络来来发布信信息。计计算机网网络虽然然扩大了了用户的的通信范范围和资资源

2、共享享的程度度，广泛泛和深刻刻地改变变了传统统的生产产、经营营、管理理和生活活方式，但但针对计计算机网网络的攻攻击也越越来越多多，增加加了网络络的复杂杂性和脆脆弱性，使使网络更更易于受受到别有有用心者者的攻击击和破坏坏。由此此，计算算机信息息与网络络的安全全问题引引起了大大家的广广泛重视视。网络络安全是是一个系系统的概概念，有有效的安安全策略略或方案案的制定定，是网网络信息息安全的的首要目目标。网络安安全是指指网络系系统的部部件、程程序、数数据的安安全性，保保护网络络程序数数据或者者设备，不不受偶然然的或者者恶意的的原因而而遭到破破坏、更改、泄泄露，使使系统连连续可靠靠正常的的运行，网网络服务

3、务不中断断。目前，人人们通过过运用多多种网络络安全技技术，如如认证授授权、数数据加密密技术、访问控制、防火墙、入侵检测和防病毒等来实现信息安全。计算机网络的高速发展带给了人类巨大利益的同时，也带来了许多负面的影响，在网络安全体系中，为了弥补TCPIP协议等各种安全漏洞，防火墙技术、入侵检测技术是两种很常用、很有效的防御系统，是网络安全防护的重要组成部分,也是本文的研究重点。2 防防火墙技技术防火墙原原来是建建筑术语语，用于于隔离不不同的房房间和楼楼层，起起到防火火作用，但但防火墙墙的门又又可以保保证人员员的正常常进出。在在计算机机网络中中，防火火墙在内内部网络络（Inntraanett，即私私

4、用网络络）和外外部网络络（Innterrnett，即公公用网络络）之间间形成一一道保护护屏障，监监控进、出出内部网网络的数数据流和和链接方方式，保保护内部部网络操操作环境境，防止止外部非非法的网网络用户户通过非非法手段段入侵内内部网络络访问资资源和非非法向外外传递信信息，防防火墙就就是这样样一种特特殊的网网络互联联设备。2.1防防火墙的的基本内内容防火墙通通常应包包含下列列基本内内容(1)分分割网络络：防火火墙在内内、外网网设置一一道分界界线，将将容易受受到攻击击的特殊殊部门内内部网分分割开，限限制外部部网的访访问。非非法用户户（如黑黑客、间间谍、信信息破坏坏者）的的非法访访问可被被网管通通过

5、中央央阻塞的的方式拦拦截在外外面。(2)过过滤进、出出网络的的数据，管管理进、出出网络的的访问行行为：代代理服务务器防火火墙可通通过检测测URLL和页面面内容来来控制信信息传输输。一般般防火墙墙根据某某些IPP地址和和端口进进行允许许链接或或者拒绝绝链接的的功能，实实现HTTTP、FTPP、WWWW和Tellnett等的服服务。防防火墙有有时还有有必要将将数据流流转发到到另一个个端口或或主机去去来防止止基于源源路由选选择的攻攻击。(3)集集中安全全性：防防火墙控控制不安安全的服服务和站站点服务务；将需需要保护护的软件件集中放放在防火火墙系统统上进行行保护。(4)审审计和报报警：防防火墙的的安全

6、日日志记录录通过防防火墙的的信息内内容和活活动，检检测网络络嗅探和和网络攻攻击，并并且通过过多种方方式报警警。安全全日志记记录了内内、外网网络的使使用情况况，包括括一般信信息、邮邮件接收收、各种种服务代代理、链链接建立立情况等等等。2.2防防火墙的的种类及实实现技术术实现防火火墙的技技术分为为包过滤滤技术和和代理服服务技术术。包过过滤技术术简单便便宜，代代理服务务技术安安全可靠靠，二者者互补性性很强，因因此在网网络中经经常同时时使用二二者保护护网络安安全。2.2.1包过过滤技术术包过滤技技术指把把包过滤滤防火墙墙放在内内部网络络的路由由器或服服务器中中，对进进出内部部网络的的所有数数据包按按指

7、定过过滤规则则进行检检查，仅仅对符合合规则的的数据包包准予通通行。包包过滤防防火墙在在网络层层和数据据链路层层之间工工作，对对IP数据据包进行行检查过过滤。包包过滤防防火墙收收到IPP数据包包后，根根据过滤滤规则（通通常是访访问控制制表）检检查数据据包的有有关字段段，把符符合过滤滤规则的的数据包包转发到到相应的的目标地地址端口口，否则则便将数数据包从从数据流流中除掉掉，进行行报警。包过滤在在网络层层上拦截截所有的的信息流流，不保保存与传传输和应应用相关关的状态态信息。体现出出一种无无状态性性。在包包过滤技技术里只只要符合合过滤规规则的数数据包就就可以穿穿过防火火墙，在在内网和和外网间间建立连连

8、接，这这样使得得外部网网可以访访问内部部网，无无形中增增加了内内部网的的危险性性。针对对这个缺缺陷，引引入了代代理服务务技术。2.2.2应用用层网关关技术(代理服服务技术术)应用层网网关技术术是一种种代理服服务技术术。代理理服务技技术是针针对每一一种特定定服务而而专门提提供的一一种应用用程序。FTP负责代理FTP协议，Telnet负责代理Telnet协议，HTTP负责代理HTTP协议等等。代理能提供部分与传输有关的状态，能完全提供与应用相关的状态和部分传输方面的信息，代理也能处理和管理信息。包过滤技术在网络层实现防火墙功能，代理服务技术在应用层实现防火墙功能。代理服务务防火墙墙在内部部网中设设

9、置了一一个代理理服务器器，并将将外部网网和内部部网之间间的连接接分为两两段，一一段是从从外部网网上的客客户端主主机请求求引到代代理服务务器，另另一段由由代理服服务器连连到内部部网的某某个主机机服务器器上。代代理服务务器扮演演着一个个服务中中介的角角色，它它收到客客户端的的请求，代代表客户户端和服服务器联联络，再再把服务务器的响响应传给给客户端端。因此此，代理理服务隐隐藏了真真实的IIP地址址，提高高了网络络的安全全性。代理服务务器往往往是一个个应用层层网关，它它有3种类型型防火墙墙，分别别是双宿宿主机型型防火墙墙、屏蔽蔽主机型型防火墙墙和屏蔽蔽子网型型防火墙墙。上述述三种类类型的防防火墙和和包

10、过滤滤路由器器防火墙墙构成了了防火墙墙体系结结构的四四种基本本类型。防防火墙体体系结构构都是过过滤路由由器和堡堡垒主机机的组合合。堡垒垒主机是是网络中中保护措措施最完完善但同同时也是是最容易易受到攻攻击的主主机，它它拥有两两个网卡卡，分别别连着外外网和内内网。(1)双双宿主机机型防火火墙双宿主机机就是拥拥有两块块网卡可可接到两两个不同同网络的的主机，一一个接到到外网，一一个接到到内网，双宿主机防火墙是内、外网络的物理隔断。在双宿主机上，运行着许多代理服务器，内、外网的通信靠这些应用层代理服务完成。双宿主机型防火墙可支持许多用户的访问。(2)屏屏蔽主机机型防火火墙屏蔽主机机型防火火墙由包包过滤路

11、路由器和和堡垒主主机组成成。堡垒垒主机属属于内网网，是外外网唯一一可以达达到的内内网主机机。包过滤滤路由器器则强制制把外网网所有到到达它的的数据发发送到被被其屏蔽蔽的堡垒垒主机，并并且只允允许来自自堡垒主主机的内内网数据据出网。屏屏蔽主机机型防火火墙实现现了网络络层的包包过滤技技术和应应用层的的代理服服务技术术，为网网络安全全上了双双重保险险。(3)屏屏蔽子网网型防火火墙屏蔽子网网型防火火墙由两两个包过过滤路由由器和堡堡垒主机机组成，支支持网络络层和应应用层安安全，是是应用层层网关防防火墙中中最安全全的一种种。它在在外网和和内网之之间建立立一个子子网，称称作边界界网络。堡堡垒主机机支持电电路级

12、网网关和应应用级网网关。网网管把堡堡垒主机机、Moodemm组、包包括信息息服务器器在内的的各式各各样的代代理服务务器放在在边界网网络中。过去，防防范网络络攻击最最常用的的方法是是防火墙墙，但是是仅仅依依赖防火火墙并不不能保证证网络的的安全。防火墙墙面临着着很多局局限，防防火墙可可以抵御御外来攻攻击，但但是它很很难预防防来自内内网的攻攻击伤害害；防火火墙无法法抵御数数据驱动动型的攻攻击，因因为防火火墙无法法阻止所所有被病病毒感染染的文件件通过；同时防防火墙自自身也存存在着很很多漏洞洞和后门门。如果果把防火火墙比作作门卫，那那么，网网络还需需要主动动寻找罪罪犯的警警察。当单纯纯的防火火墙技术术显

13、出不不足和弱弱点的时时候，就就需要一一种更强强大更积积极主动动的安全全防护技技术来增增强网络络的安全全性。入入侵检测测系统便便起到了了这个作作用。3入侵检检测技术术入侵检测测系统它它能在不不影响网网络性能能的情况况下对网网络进行行监听，从而提供供了对内内部攻击击、外部部攻击和和误操作作的实时时防护，是是对防火火墙的合合理补充充。随着着网络安安全风险险的不断断提高，防防火墙已已经不能能满足人人们对网网络安全全的需求求。作为为对防火火墙及其其有益的的补充，IIDS（入入侵检测测系统）能能够帮助助网络系系统快速速发现网网络攻击击的发生生，扩展展了系统统管理员员的安全全管理能能力，提提高了信信息安全全

14、基础结结构的完完整性，IDSS被认为为是防火火墙之后后的第二二道安全全闸门。设置硬硬件防火火墙，可可以提高高网络的的通过能能力并阻阻挡一般般性的攻攻击行为为。而采用用IDSS入侵检检测系统统，则可可以对越越过防火火墙的攻攻击行为为以及来来自网络络内部的的违规操操作进行行监测和和响应。3.1入入侵检测测的基本本内容入侵检测测的目标标是通过过对行为为、安全日日志、审计数数据或网网络数据据包进行行检测，发发现对系系统的闯闯入或者者对系统统的威胁胁，以此来来保证信信息系统统的资源源不受攻攻击。实实行入侵侵检测的的软件和和硬件的的组合就就被人们们称为入入侵检测测系统。入侵检检测技术术是为保保证计算算机系

15、统统的安全全而设计计与配置置的一种种能够及及时发现现并报告告系统中中未授权权或异常常现象的的技术，是是一种用用于检测测计算机机网络中中违反安安全策略略行为的的技术。一个入侵侵检测产产品通常常由两部部分组成成：传感感器与控控制台。传传感器负负责采集集数据(如网络包包、系统统日志等等)、分分析数据据并生成成安全事事件。控控制台主主要起到到中央管管理的作作用。入侵检检测系统统是一种种能够通通过分析析系统安安全相关关数据来来检测入入侵活动动的系统统。入侵检测测系统的的工作过过程有收集信信息、分析信信息、对对被检测测信息做做出响应应、记录结结果。信息收集集包括收收集系统统、网络、数据及及用户活活动的状状

16、态和行行为。入侵检检测很大大程度上上依靠收收集信息息的可靠靠性和正正确性，入入侵检测测利用的的信息一一般来自自系统的的日志文文件或者者网络日日志文件件和非正正常的程程序执行行以及非非正常的的目录和和文件改改变。信息分析析是对收收集到的的有关系系统、网络、数据及及用户活活动的状状态行为为进行统统计分析析、完整性性分析和和模式匹匹配分析析。其中中统计分分析是先先给系统统对象创创建一个个在正常常使用情情况下的的一些数数据，属属性把其其做成一一个统计计描述。把把这个描描述做为为标准用用来和网网络系统统做比较较，任何观观察值在在正常范范围之外外的都被被认为是是发生了了入侵。完完整性分分析主要要是关注注某

17、个文文件，文文件目录录的内容容及其属属性或者者某个对对象是否否被改动动或是否完完整。模模式匹配配分析是是对收集集到的信信息和已已知的入入侵特征征做比较较，来发发现是否否有被入入侵的迹迹象。3.2入入侵检测测系统的的种类及实实现技术术从系统结结构上看看，根据据目标系系统的类类型可分分为基于于主机的的入侵检检测系统统和基于于网络的的入侵检检测系统统及混合入侵侵检测系系统。3.2.1基于于网络的的入侵检检测 基于网络络的入侵侵检测产产品（NNIDSS）放置置在比较较重要的的网段内内，不停停地监视视网段中中的各种种数据包包。对每每一个数数据包或或可疑的的数据包包进行特特征分析析。如果果数据包包与产品品

18、内置的的某些规规则吻合合，入侵侵检测系系统就会会发出警警报甚至至直接切切断网络络连接。目目前，大大部分入入侵检测测产品是是基于网网络的。3.2.2基于主主机的入入侵检测测 基于主机机的入侵侵检测产产品（HHIDSS）通常常是安装装在被重重点检测测的主机机之上，主主要是对对该主机机的网络络实时连连接以及及系统审审计日志志进行智智能分析析和判断断。如果果其中主主体活动动十分可可疑，入入侵检测测系统就就会采取取相应措措施。 3.2.3混合入入侵检测测混合入侵侵检测提提供了基基于主机机和网络络的入侵侵检测设设备的管理和和警告，混混合入侵侵检测在在逻辑上上实现了了网络和和主机的的互补。以上列举举了入侵侵

19、检测系系统的分分类，但但它们所所采用的的方法和和技术通常常可分为为特征检检测与异异常检测测两种。 (1)特特征检测测 特征检测测假设入入侵者活活动可以以用一种种模式来来表示，系系统的目目标是检检测主体体活动是是否符合合这些模模式。它它可以将将已有的的入侵方方法检查查出来，但但对新的的入侵方方法无能能为力。其其难点在在于如何何设计模模式既能能够表达达入侵现现象又不不会将正正常的活活动包含含进来。(2)异异常检测测 异常检测测的假设设是入侵侵者活动动异常于于正常主主体的活活动。根根据这一一理念建建立主体体正常活活动的活活动简档档，将当当前主体体的活动动状况与与活动简简档相比比较，当当违反其其统计规

20、规律时，认认为该活活动可能能是入侵侵行为。异异常检测测的难题题在于如如何建立立活动简简档以及及如何设设计统计计算法。从而不不把正常常的操作作作为入入侵或忽忽略真正正的入侵侵行为。 传统的防防火墙是是基于规规则的，即即它只能能防御已已知的攻攻击，对对新的未未知的攻攻击就显显得无能能为力。入侵检检测系统统也是基基于规则则的。随着网网络数据据量的急急剧增大大，攻击击类型和和复杂度度的提升升，防火墙墙技术、入入侵检测测技术很很难快速速直观发现现一些新新的攻击击模式。因此，必须综合防火墙、入侵检测及新的网络安全技术，来寻找网络中的攻击和异常事件，提高网络的安全性。网络安全可视化技术便是一种可行的技术。4

21、网络安安全可视视化技术术如何帮助助网络安安全分析析人员通通过繁杂杂高维数数据信息息快速地地分析网网络状况况，发现现威胁。且系统统在监控控过往信信息的同同时能够够对数据据进行分分析、消消化，并并以一种种更加人人性化的的方式将将网络上上存在的的安全风风险准确确地告知知用户，使使用户一一目了然然并能迅迅速做出出决策，使网络络安全防防护变得得更积极极、更主主动。网络安安全可视视化技术术就是防防火墙技技术、入入侵检测测技术的的合理补补充。它它将海量量高维数数据以图图形图像像方式表表现出来来，使人人们能直直观快速速地观察察到网络络中的安安全威胁胁。4.1网网络安全全可视化化基本内内容数据可视视化包括括科学

22、计计算可视视化和信信息可视视化。其其中科学学计算可可视化是是指运用用计算机机图形学学和图像像处理技技术，将将科学计计算、工工程计算算及测量量过程产产生的数数据化为为图形或或图像，在屏幕幕上显示示出来并并进行交交互处理理的理论论、方法法和技术术。而信信息可视视化是用用可交互互的视觉觉表达方方式来表表现抽象象的、非物理理的数据据来增强强对数据据本质的的认识。网网络安全全可视化化是信息息可视化化中的一一个新兴兴研究领领域。它它利用人人类视觉觉对模型型和结构构的获取取能力，将将抽象的的网络和和系统数数据以图图形图像像的方式式表现出出来，帮帮助分析析人员分分析网络络状况，识识别网络络异常入入侵，预预测网

23、络络安全事事件发展展趋势。随随着网络络安全技技术特别别是防火火墙和入入侵检测测系统的的不断发发展，对对网络安安全可视视化的需需求也越越来越迫迫切。4.2网网络安全全可视化化的种类及及实现技技术网络安全全可视化化的实现现,首先是是数据的的选取。分析不不同的网网络安全全事件，如如防火墙墙事件、入入侵检测测系统，往往往产生生不同的的数据源源。解决决不同的的问题选择择不同的的数据源源。将得得到的数数据映射射到新颖颖的可视视化结构构上，便便可得到到不同的的网络安安全可视视化技术术。4.2.1基于于防火墙墙事件的的网络安安全可视视化常常由于于网络安安全分析析人员在在分析日日志信息息并采取取措施抵御御这些攻

24、攻击时，网网络入侵侵可能已已经停止止。因此此，应设设计一种种基于防防火墙事事件的实实时处理理安全研研究方法法。基于于防火墙墙的网络络安全可可视化技技术就是是在此需需要下产产生的。运运用多重重视图，实实时显示示网络通通信的特特殊信息息，反映映出目前整整个网络络的运行行状态。4.2.2基于入入侵检测测技术的的网络安安全可视视化基于网络络的入侵侵检测系系统往往往需要分分析人员员具有高高深的分分析日志志信息的的能力和和技巧。因此，为为降低网网络分析析人员认认知负担担，降低低入侵检检测系统统的误报报和漏报报率，将可可视化技技术应用于入入侵检测测系统，及及时发现现新型网网络攻击击并提前前做出防防范。网络安

25、全全可视化化的一个关关键技术术，是采采用何种种可视化化结构来来表示数数据，即即建立数数据到可可视化结结构的映映射。还还有就是是网络安安全信息息可视化化的实行行性、全全局性和和局部信信息并发发显示的的设计及及网络安安全可视视化的人人机交互互设计的的实现。网网络安全全可视化化的研究究工作至今今尚处初初级阶段，还还存在许许多困难难和问题题，但一些些方法与与理论正正在形成成之中，相相信随着着网络安安全事件件类型的的增多，网络安安全可视视化的发发展会越越来越完完善。5结束语语安全是网网络中不不可缺少少的一门门技术，随随着网络络的突飞飞猛进，网网络中的的恶意软软件也越越来越猖猖狂，即即便已有有高性能能的防

26、火火墙及入入侵检测测系统，依依然抵挡挡不住它它们对网网络和系系统的破破坏。为为此，我我们不但但需要采采用防火火墙等网网络安全全工具，在在网络边边界保护护内部网网络的安安全，也也需要可可靠性高高的入侵侵检测系系统来提提高网络络的安全全级别，更更需要研研究一套套完整实实用的网网络安全全可视化化这一新新技术，一起来构造一个完善的安全保护体系。参考文献献1. 汤子瀛等等，计算算机操作作系统M，西西安电子子科技大大学出版版社，2200112. 李华飚等等，防火火墙核心心技术精精解MM，中国水水利水电电出版社社，200053. 郑成兴,网络入入侵防范范的理论论与实践践M，机械工工业出版版社,2200664. 吕良福等等，网络络安全可可视化研研究综述述J，计算算机应用用，288/8,20008,119244-19926联系信息息第一作者者姓名：李慧宁宁 单单位：福福建师范范大学数数学与计计算机科科学学院院 职务：Emaiil:llihuuiniingxxinggm 电电话：88341158660 移移动电话话：133615503990711