网络入侵危害和要性以及入侵检测应用案例.doc

题目: 网络入侵危害和必要性以及入侵检测应用案例 课程名: 计算机网络入侵检测技术概论 学生姓名： 李忠 学号： 学院： 管理学院 专业： 工商管理类 年级： 06 任课教师： 唐菀 职称: 副教授 2007年12 月 11 网络入侵危害和必要性以及入侵检测应用案例 摘 要： 网络入侵的直接危害就是破坏了系统的机密性、完整性和可用性。入侵者的企图不同，对系统安全特性的破坏也就不同，但不管是破坏了哪一个特性，都会对系统和网络安全构成严重威胁。随着基于雇员的攻击行为和产品自身问题的增多，所以能够在防火墙内部监测非法的活动的入侵检测系统变得越来越必要。伴随网络的普及，安全日益成为影响网络效能的重要问题，如何使信息网络系统不受病毒和黑客的入侵，已成为政府机构信息化健康发展所要考虑的重要事情之一。 关键词： 网络入侵；危害；必要性；重要性；入侵检测系统；应用案例 入侵检测技术是对系统的运行状态进行检测，从而发现各种攻击企图，攻击行为或者攻击结果，以保证系统资源的机密性、完整性与可用性。 网络入侵的直接危害就是破坏了系统的机密性、完整性和可用性。例如，非法用户在盗取了系统管理员的密码后，就可以完全控制该主机，为所欲为。本来无权访问的文件或数据，现在可以访问，就破坏了系统的机密性；入侵者如果还改变了系统原有的配置，改变了文件的内容，修改了数据，就破坏了系统的完整性；攻击者使用拒绝服务攻击，使得目标主机的资源被耗尽，网络带宽被完全占用，就破坏了系统的可用性。 入侵者的企图不同，对系统安全特性的破坏也就不同，但不管是破坏了哪一个特性，都会对系统和网络安全构成严重威胁。 随着网络连接的迅速扩展，特别是Internet大范围的开放以及金融领域网络的接入，越来越多的系统遭到入侵攻击的威胁，这些威胁大多是通过挖掘操作系统和应用服务程序的弱点或者缺陷来实现的。 目前，对付破坏系统企图的理想方法是建立一个完全安全系统。但这一点却很难做到。原因有以下几点： 第一，要将所有已安装的带安全缺陷的系统转换成安全系统是不现实的，即使真正付诸于实践，也需要相当长的时间。 第二，加密技术方法本身存在一定的问题，如密钥的生成、传输、分配和保存，加密算法的安全性。 第三，访问控制和保护模型本身存在一定的问题。 第四，静态的安全控制措施不足以保护安全对象属性。 第五，安全系统易受内部用户滥用特权的攻击。 第六，在实践当中，建立完全安全系统根本是不可能的。 基于上述几类问题的解决难度，一个实用的方法是建立比较容易实现的安全系统，而入侵检测系统就是这样一类系统。如果系统遭到攻击，只要尽可能地检测到，甚至是实时地检测到，然后采取适当的处理措施，就可以避免造成更大的损失。 过去，很多人认为只要安装一个防火墙就可保障网络的安全，实际上这是一个误解，原因主要有以下几点： 第一、防火墙本身会有各种漏洞和后门，有可能被外部黑客攻破。 第二、防火墙不能阻止内部攻击，对内部入侵者来说毫无作用。 第三、由于性能的限制，防火墙通常不能提供实时的入侵检测能力。 第四、有些外部访问可以绕开防火墙。 例如，内部用户通过调制解调器拨号上网就把内部网络连到了外部网络，而这一连接并没有通过防火墙，防火墙对此没有任何监控能力。而入侵检测系统可以弥补防火墙的不足，为网络提供实时的入侵检测并采取相应的防护手段，如记录证据用于跟踪入侵者和灾难恢复、发出警报，甚至终止进程、断开网络连接等等。 因此，随着基于雇员的攻击行为和产品自身问题的增多，所以能够在防火墙内部监测非法的活动的入侵检测系统变得越来越必要。随着网络技术的发展，新的技术给防火墙带来了严重的威胁。例如，VPN可以穿透防火墙，因此就需要入侵检测系统在防火墙后提供安全保障。虽然VPN本身很安全，但有可能通过VPN进行通信的其中一方被root kit或NetBus所控制，而这种破坏行为是防火墙无法抵御的。所以，基于上述原因，入侵检测系统已经成为安全策略的重要组成部分。 就目前入侵检测系统的使用情况来看，入侵检测系统主要存在以下三点好处： 一、入侵检测可以发现防火墙和虚拟专用网没有检测到的攻击。 二、入侵检测可以实时监控互联网和外联网连接，保护关键性的资产、系统和资源—相当于现实生活中的监视摄像机。 三、入侵检测系统可以提供警报，智能化地阻止恶意攻击，甚至动态地重新配置网络，以避免以后再发生类似的攻击。 入侵检测作为一项安全技术，其主要目的在于： 第一，识别入侵者。 第二，识别入侵行为。 第三，检测和监视已成功的安全突破。 第四，为