【關鍵詞】計算機;網絡安全;信息時代;信息安全
【中圖分類號】TN915.08 【文獻標識碼】A 【文章編號】1672—5158(2012)08—0103-01
1 前言
計算機誕生之初功能較為單一,數據處理相對簡單,而隨着計算機網絡技術的發展,計算機功能的多樣化與信息處理的複雜程度顯著提高。網絡的出現,將過去時間與空間相對獨立和分散的信息集成起來,構成龐大的數據信息資源系統,為人們提供更加便捷化的信息處理與使用方式,極大的推動了信息化時代的發展進程。然而,隨之而來的是這些信息數據的安全問題,公開化的網絡平台為非法入侵者提供了可乘之機,不但會對重要的信息資源造成損壞,同時也會給整個網絡帶來相當大的安全隱患。因此,計算機網絡安全問題成為當今最為熱門的焦點之一,隨着網絡技術的發展,安全防範措施也在不斷更新。
2 影響計算機網絡安全的因素分析
影響計算機網絡安全的因素有很多,其中既包括人為因素,也包括技術因素,因此,在計算機網絡安全受到威脅時,首先要確定導致網絡威脅的因素來源,這樣才能夠有效的、有針對性的進行破解,從而維護計算機網絡信息的完整性、祕密性與可用性。
2.1 人為操作失誤導致的安全隱患
計算機用户都擁有各自不同的網絡使用權限,由於用户安全意識不強經常會給不法分子可乘之機,在用户將密碼泄露或密碼設置過於簡單的情況下,非法用户很容易侵入網絡系統,對網絡內的數據信息進行使用或篡改、刪除、破壞等。因此,由於合法用户人為保護程度不夠而導致的網絡安全威脅,是計算機網絡安全中常見的隱患之一。
2.2 人為的惡意攻擊
人為的惡意攻擊是目前最為常見同時也是威脅力最大的計算機網絡安全隱患,病毒與黑客就是人為惡意攻擊的體現。惡意攻擊往往具有很強的針對性,因此破壞程度較大,不僅能夠截獲、竊取和破譯重要信息,同時也能夠對信息數據造成破壞性的影響,對其的可用性與完整性進行損壞(計算機/計算機網絡論文。木馬程序是人為惡意攻擊的代表性手段之一,它可以偽裝成系統程序或其他可執行文件來誘使用户啟用,從而為惡意攻擊者提供端口信息,為實施進一步攻擊帶來可能。由此可見,人為惡意攻擊的存在使計算機用户很難防範,特別是一般用户遭到惡意攻擊的機率要大大高於一些高端用户。
2.3 軟件本身的漏洞
隨着計算機應用軟件多樣化程度的不斷提高,軟件開發的複雜程度也不斷提高,成千上萬的代碼構成的邏輯指令,再由繁雜的邏輯指令構建成能夠實現用户需求的軟件功能,其中程序漏洞的存在在所難免。黑客就是針對這些漏洞來對網絡進行攻擊的,軟件的漏洞甚至可以造成致命的網絡打擊,黑客的攻擊與軟件的不斷完善是一對長期伴生的矛盾,也成為了不可忽視的網絡安全隱患。免費論文下載中心維護計算機網絡安全的幾點對策。
3.1 物理安全維護對策
計算機網絡安全包括物理安全與邏輯安全,物理安全往往容易被人忽略,如果能夠引起人們的關注,計算機網絡物理安全還是能夠得到有效保障的。首先,物理安全是針對物理介質層次而言的,明確物理安全範圍的界定,對構建物理安全體系非常必要。自然災害所導致的設備物理損壞或操作失誤而導致的硬件設備損毀,都屬於物理安全範疇。因此,在計算機設備的維護上,既要做到最大限度的防止自然災害所帶來的破壞,同時更要注意人為操作的規範性,避免因操作不當而對硬件存儲設備中的數據造成損壞。
3.2 防火牆過濾措施
防火牆技術是網絡之間的一道安全屏障,目前所使用的防火牆具有雙層式結構,外部防火牆可以實現數據包過濾功能,內部防火牆是內部網絡與外部網絡連接的一條安全通道。防火牆位於計算機與外部網絡之間,實現了限制外界用户對內部網絡的訪問,同時也將內部用户訪問外部網絡劃分為不同權限。任何接入因特網的用户,開啟防火牆進行數據包過濾與內部防護非常重要。
3.3 入侵檢測技術
入侵檢測技術是針對計算機系統安全而設計的檢測程序,啟動入侵檢測程序可以及時發現並向管理員報告系統中存在的未經授權的入侵或異常狀況。入侵檢測系統不僅可以發出入侵警告,同時也可以及時做出應對反映,對入侵源進行及時的切斷,從而最大限度的保護計算機系統安全,提高計算機的抗病毒入侵能力。
3.4 計算機漏洞掃描措施
應用軟件的不斷更新,功能複雜程度的不斷提升與網絡複雜性的日益增加,都增添了計算機漏洞的產生機率,依靠人為的漏洞查詢顯然不切實際,那麼如何對計算機漏洞進行查找並改進,就成為了困擾軟件開發者的一個核心問題。安裝計算機漏洞掃描系統就可以及時查找與發現系統漏洞,並對該漏洞進行威脅等級評估,同時提出修改建議。利用這種掃描工具,可以通過及時安裝補丁來完善軟件程序,彌補系統漏洞,從而消除安全隱患。計算機漏洞掃描不僅保護了系統的完備性不受侵害,同時也促使軟件開發者不斷關注軟件漏洞,並及時修正程序,是一種促使計算機系統不斷完善的有效手段,也是維護網絡安全的重要對策之一。
4、結語
構建全球化的信息網絡平台已經成為了當今計算機網絡發展的共識,實現這一目標的最根本支撐點,就是強大的網絡安全保障,因此,針對各種安全隱患而採取的網絡安全對策顯得尤為重要,應當引起廣大信息使用者的廣泛關注。無論是在局域網還是因特網都同樣存在信息數據的保護問題,在人為因素與技術因素的干擾下,如何實現信息數據的最大化安全成為計算機網絡安全技術發展的根本出發點。計算機網絡安全對策應當更加全方位的針對各種安全隱患,並充分考慮到各種威脅的特點來實施,這樣才能夠實現我們保護網絡信息數據完整性、可用性與保密性的目標,隨着網絡安全技術的進步而不斷繼續完善,是我們今後將繼續探討的核心之一。
參考文獻
[1]王瑋。小議計算機網絡系統的安全維護[J].現代經濟信息。2010(5)
[論文摘要]在網絡技術高速發展的時代,網絡安全成每個網絡使用者為關注的焦點,討論傳輸層安全性問題,分析了地址機制﹑通用的安全協議將逐步消失,取而代之的是融合安全技術應用的問題研究。
互聯網已經成了現代人生活中不可缺少的一部分,隨着互聯網規模的迅速擴大,網絡豐富的信息資源給用户帶來了極大方便的同時,操作系統漏洞、計算機病毒、黑客人侵及木馬控制、垃圾郵件等也給廣大互聯網用户帶來了越來越多的麻煩,網絡安全問題因此成為令人矚目的重要問題。
一、傳輸層安全
最常見的攻擊是TCP會話劫持,該劫持是劫持一個現存的會話,利用合法用户進行連接並通過驗證,之後順其自然接管會話。TCP通過3次握手建立連接以後主要採用滑動窗口機制來驗證對方發送的數據,如果對方發送的數據不在自己的接收窗口內,則丟棄此數據,這種發送序號不在對方接收窗口的狀態稱為非同步狀態。當通信雙方進入非同步狀態後,攻擊者可以偽造發送序號在有效接收窗口內的報文也可以截獲報文。篡改內容後,再修改發送序號,而接收方會認為數據是有效數據。
TCP會話劫持的攻擊方式可以對基於TCP的任何應用發起攻擊,如HTTPFTP及Telnet等。攻擊者通過正在進行TCP通信的2台主機之間傳送的報文得知該報文的源IP、源TCP端口號、目的IP、目的TCP端口號。從而可以得知其中一台主機對將要收到的下一個TCP報文段中seq和ackseq值的要求。這樣,在該合法主機收到另一台合法主機發送的TCP報文前,攻擊者根據所截獲的信息向該主機發出一個帶有淨荷的TCP報文,如果該主機先收到攻擊報文就可以把合法的TCP會話建立在攻擊主機與被攻擊主機之間。TCP會話劫持避開了被攻擊主機對訪問者的身份驗證和安全認證。使攻擊者直接進入對被攻擊主機的訪問狀態,因此對系統安全構成的威脅比較嚴重。
二、地址機制
IPv6採用128位的地址空間,其可能容納的地址總數高達2128,相當於地球表面每平方米擁有6.65×1023個。一方面可解決當前地址空間枯竭的問題,使網絡的發展不再受限於地址數目的不足;另一方面可容納多級的地址層級結構,使得對尋址和路由層次的設計更具有靈活性,更好地反映現代Internet的拓撲結構。IPv6的接口ID固定為64位,因此用於子網ID的地址空間達到了64位,便於實施多級路由結構和地址集聚。IPv6的前綴類型多樣,64位的前綴表示一個子網ID,小於64位的前綴要麼表示一個路由,要麼表示一個地址聚類。IPv6的地址類型包括單播、多播和任播地址,取消了廣播地址。IPv6的地址機制帶來的安全措施包括:
1)防範網絡掃描與病毒、蠕蟲傳播。傳統的掃描和傳播方式在IPv6環境下將難以適用,因為其地址空間太大。
2)防範IP地址欺騙。IPv6的地址構造為可會聚、層次化的地址結構,每一ISP可對其客户範圍內的IPv6地址進行集聚,接入路由器在用户進入時可對IP包進行源地址檢查,驗證其合法性,非法用户將無法訪問網絡所提供的服務。另外,將一個網絡作為中介去攻擊其他網絡的跳板攻擊將難以實施,因為中介網絡的邊界路由器不會轉發源地址不屬其範圍之內的IPv6數據包。
3)防範外網入侵。IPv6地址有一個作用範圍,在這個範圍之內,它們是唯一的。在基於IPv6的網絡環境下,主機的一個網絡接El可配置多種IPv6地址,如鏈路本地地址、站點本地地址、單播全球地址等,這些不同地址有不同的作用域。IPv6路由器對IPv6地址的作用範圍是敏感的,絕不會通過沒有正確範圍的接El轉發數據包。因此,可根據主機的安全需求,為其配置相應的IPv6地址。例如,為保障本地子網或本地網絡內的主機的安全,可為其配置相應的鏈路本地或站點本地地址,使其通信範圍受限於所在鏈路或站點,從而阻斷外網入侵。
三、通用的安全協議將逐步消失,取而代之的是融合安全技術
當網絡安全還沒有成為網絡應用的重要問題時,制定的通信協議基本上不考慮協議和網絡的安全性。而當這些協議大規模使用出現諸多安全漏洞和安全威脅後,不得不採取補救措施,即發展安全協議保護通信的安全,因此IPSec、IKE、TLS等通用的安全協議應運而生,並獲得廣泛的應用,在充分重視安全重要性後,新的協議在設計過程中就充分考慮安全方面的需要,協議的安全性成了新的協議是否被認可的重要指標.因此新的通信協議普遍融入了安全技術,如SIP本身就附帶諸多安全機制,IPv6本身附帶了必要的安全字段,這種發展趨勢將會持續,由此可以預見,傳統的通用安全協議應用範圍將逐漸縮小,最終消失,取而代之的是所有通信協議都具備相應的安全機制。
四、總結
總之,隨着網絡的普及,網絡信息安全所面臨的危險已經滲透到社會各個方面,應深刻剖析各種不安全的因素,並採取相應的策略,確保網絡安全。解決信息網絡安全僅依靠技術是不夠的,還要結合管理、法制、政策及教育等手段,將信息網絡風險降低至最小程度。相信隨着網絡安全技術的不斷改進和提高,以及各項法律法規的不斷完善,將能構造出更加安全可靠的網絡防護體系。
網絡安全法律制度所要解決的問題,乃是人類進入信息社會之後才產生的特殊安全問題。正如為了適應時代所賦予的“正義觀念”必須調整為“科學發展觀”一樣,法律規範隨着信息社會的發展也應適應新的安全問題而作出結構性調整,以符合時代賦予的“科學發展觀”。
網絡安全監管應當以“快速反應和有效治理”為原則。從信息化發展的趨勢考察,政府部門職權的適當調整是網絡安全監管權力配置的必然選擇。因此,構建政府部門之間、政府與社會之間的“信息共享”機制便成為網絡安全監管法制建設的重點,應當注意到,只有政府和企業、個人密切配合,才能彌補政府網絡安全監管能力的不足,使其更好地履行職責,從而實現保障網絡安全的戰略目標。
參考文獻:
[1]鄭曉妹。信息系統安全模型分析[J]安徽技術師範學院學報,2006,(01).
[2]李雪青。論互聯網絡青年道德主體性的失落及其建設[J]北方工業大學學報,2000,(04).
[3]劉建永,杜婕。指揮控制系統的信息安全要素[J]兵工自動化,2004,(04).
[4]高攀,陳景春。/GS選項分析[J]成都信息工程學院學報,2005,(03).
[5]劉穎。網絡安全戰略分析[J]重慶交通學院學報(社會科學版),2003,(S1).
[6]劉穎。析計算機病毒及其防範技術[J]重慶職業技術學院學報,2003,(04).
[7]王世明。入侵檢測技術原理剖析及其應用實例[J]燕山大學學報,2004,(04).
[8]劉曉宏。淺談航空電子系統病毒防範技術[J]電光與控制,2001,(03).
[9]高樹風。防火牆在校園網中的應用[J]大連輕工業學院學報,1999,(03).
關鍵詞:網絡技術專業;實踐教學;教學方法
由於社會信息化的發展,使得網絡應用不斷普及,網絡技術飛速發展。隨着計算機網絡技術的快速發展,計算機網絡幾乎與企業的每一位員工都息息相關,從企業局域網的規劃、組建、運行和升級維護,到企業網站的運行,從網絡安全的管理到數據庫管理、存儲管理以及網絡和人員管理等制度建立,都和計算機網絡相關聯。網絡的應用如此廣泛,計算機網絡課程也成為高職院校很多專業的必修課程。該門課程的實用性很強,同時變化和發展較快,新知識層出不窮,如何在有限的課時內讓學生具有較強的實踐操作技能,對廣大教師來説是一個很大的挑戰。這裏以筆者在計算機網絡實踐教學的教學體會與大家探討,主要包括有計算機網絡實踐的教學大綱與教學計劃、教學內容和教學方法。
一、計算機網絡實踐教學的教學大綱與教學計劃。
計算機網絡課程設計的目的:是讓學生綜合利用所學的網絡知識,解決一些實際問題,能夠完成一些簡單的網絡管理、組建、維護等工作。在正式上課之前,應對網絡在實際中的具體應用、網絡的發展概況、在網絡應用中常出現的問題等進行詳細分析,制訂出切合實際的教學大綱。在全面瞭解學生所具有的基礎知識狀況的前提下,根據教學大綱制訂好教學計劃。在制訂教學計劃的過程中針對學生的知識基礎和學習能力,將該課程中學生不易接受的內容轉換成學生易接受的,並且側重於鍛鍊學生的實際操作能力。
二、計算機網絡實踐教學的內容。
(1)網絡基礎類實訓。這類實訓的目的主要是培養學生網絡組建實施的能力,要求學生通過實訓熟悉網絡工程的實施流程和方案設計方法,完成小型家庭辦公網絡的構建。這方面的主要實訓有:雙絞線製作(直通線和交叉線)、ADSL撥號上網、多台PC通過寬帶路由器共享上網、交換機的基本配置實訓、交換機的級聯和鏈路聚合配置、使用交換機劃分VLAN、路由器的基本配置等。通過這些實訓,使學生基本掌握了構建小型家庭辦公網絡及網絡綜合佈線等基本網絡技能。
(2)網絡管理類實訓。這類實訓的目的是培養學生的網絡管理能力,以應付在工作中會出現的問題。這方面的實訓主要有:使用抓包工具軟件分析網絡數據、交換機的端口鏡像、端口和MAC地址的綁定、VPN(虛擬專用網)配置、IP地址的規劃、基於802.1x的AAA服務配置、網絡帶寬的監控維護等。通過這些實訓,使學生基本掌握網絡設備管理、網絡故障、性能管理、網絡認證、計費管理等方面的技能。
(3)網絡綜合類實訓。這類實訓的目的主要是為了提高學生的網絡綜合應用能力,滿足大中型企業網絡工作的需求。這方面的實訓主要有:生成樹協議的啟用、三層交換機的VLAN互通、ACL訪問控制列表的配置、路由器靜態路由配置、路由器動態路由RIP配置、路由器動態路由OSPF配置、通過單臂路由實現VLAN間互訪等,通過實訓使學生能夠掌握較為深入的網絡技術,勝任更為複雜的大中型企業網絡管理工作。
(4)網絡安全類實訓。這類實訓的目標是為了在網絡安全監控方面培養學生防範網絡入侵、網絡攻擊的技能,能夠應付一定的網絡入侵和攻擊,掌握相關網絡安全設備的配置方法。實訓內容主要包括:防火牆的透明模式配置、防火牆的NET配置、上網行為策略認證配置、網絡監聽、操作系統安全、數據備份與災難恢復等。通過此類實訓,使學生掌握一定的網絡安全相關技能。
三、計算機網絡實踐教學方法。
如何讓學生對學習網絡實踐課感興趣並能喜歡網絡課程,教學方法是非常重要的。在我的教學中,主要採用了項目教學法、任務驅動法、分組教學法、討論教學法、提問教學法、示範教學法、通過網絡學習網絡等,主要是以項目引領任務驅動貫穿整個教學,多種教學方法互補。以教學方法為項目教學法,項目是學會使用互聯網為例進行説明。實訓教學的主要目的是鞏固理論知識,培養學生的動手操作能力,特別是對應相關職業的解決實際工作問題的能力。實訓項目教學更是突出了這一點,最關鍵的是實訓教學主要培養學生面對具體問題獨立分析、解決的能力。因此在實訓中,要加強對學生排除故障能力的培養。在實訓中故意設置故障,讓實訓小組自行進行解決,老師在旁只給出提示,不給具體原因。
結語:計算機網絡的發展很快,要做好計算機網絡實踐教學,作為教師,我們必須緊貼網絡實際情況,從真實的網絡應用入手講解網絡的組建、應用、管理和維護,提高學生分析問題、動手能力和解決實際問題的能力。同時,應注重講解內容的實用性,要在整個教學中真正體現“以就業為導向,以學生為基本”的思想。只有這樣,才能在教學中針對實際情況進行合理教學,才能遊刃有餘地進行教學,才能讓學生感到學這門課程是非常有用的,讓學生產生興趣,並能在工作時很快投入到自己的角色中去。[論文格式]
參考文獻:
[1]樓樺。高職高專院校網絡課程實踐教學改革研究[J].科技信息,2006(11)。
關鍵詞:計算機網絡;課程改革;實踐化教學
1.問題與研究現狀
1.1研究意義
21世紀是信息化的時代,計算機網絡已經深入人們生活的方方面面。通過網絡,信息以前所未有的速度擴散。隨着計算機網絡的廣泛應用與高速發展,對於掌握計算機網絡知識的專業人才的需求也大量增長。目前許多高校已經把計算機網絡課程作為計算機科學與技術專業的核心必修課程,且因為計算機是信息化的基礎,其他非常多的相關專業也涉及計算機網絡的知識,例如物聯網工程、信息安全、通信工程專業等,因而在整個電子信息相關專業,計算機網絡課程也屬於必修課程受到重視和重點建設。作為整個電子信息相關專業的基礎課,在就業的時候,計算機網絡和數據結構、操作系統、軟件工程等都屬於學生筆試的常見被考課程,對學生就業十分重要。
1.2教學實踐中的現有問題
計算機網絡經過幾十年的發展已經形成比較完整的理論體系,有較強的理論性,且呈現出知識更新快、信息量大、多學科交叉等特點。目前計算機網絡教學中多以講授為主,存在以下問題:
(1)單一講授的教學模式不能適應計算機網絡多學科交叉、密切聯繫行業的特點。學生反映計算機網絡涉及學科多(電子、通信、材料等),即便是每個學科簡單理論概念的講解也已經非常龐雜,學生很難把握其脈絡。而且,現有技術的應用與行業背景密切聯繫,單純的理論講授效果不佳,反映在學生回答課堂提問往往問甲答乙,或者乾脆不知所問,對講解的知識吸收差。
(2)本學院計算機網絡課程涉及多個不同專業的學生,如信息安全、信息對抗、網絡工程、物聯網工程。每個專業的學生基礎不同,專業重點不同,傳統的統一講授的方法不能適應專業的差異性,也導致不同專業間學生接受程度差異巨大,考試及格率可以相差20%以上。
(3)死記硬背現象突出,對技術理解不深。對於計算機網絡在各專業的具體應用,現有的教學方法和教材均不能提供有效的支撐。學生對死記硬背的技術點尚能回答,但是碰到綜合應用題,大部分學生就難以作答。
面對以上主要問題,現有的計算機網絡課程教學方法和思想必須改變,以提高學生學習的興趣與學習效果,使學生能真正掌握計算機網絡知識與技術。否則,不光是計算機網絡課程應有的教學目的不能達到,還直接影響後繼相關的專業課程教學。
1.3國內研究現狀
開設計算機網絡課程的高校很多,各校在自己的教學實踐中均發現一些問題,並提出了相應的教改方案。一些典型的教改成果如下:
文獻[1]針對不同專業的學生對計算機網絡知識的需求,將計算機網絡課程分成3個層次:計算機網絡課程A適用於計算機科學與技術、網絡工程、通信工程、電子信息工程、電子信息科學與技術等專業;計算機網絡課程B適用於非信息類理工科專業;計算機網絡課程c適用於經濟管理類專業。其次,根據3個層次的教學內容,設計模塊化、可選擇的實驗教學體系。
文獻[2]通過導人式、啟發式、討論式、自學式、教學手段多樣化等多種方法培養創新人才。
文獻[3]針對傳統的計算機網絡課程教學中單一課堂教學模式存在的問題,提出構建以啟發式課堂教學為基礎、引導型在線教學為輔助、研究型實踐教學為提高的計算機網絡課程三維立體式教學模式。
文獻[4]基於案例教學培養部隊學員的計算思維能力培養。文獻[5]提出用網絡教學輔助課堂教學。文獻[6]引入蘇聯教育家、教學論專家巴班斯基創立的“教學過程最優化”理論,即在整體上確定最佳的方案予以實施,並從全面教育任務的實現上評價實施過程及其結果。
文獻[2]、文獻[3]、文獻[4]和文獻[6]提出的多種教學方法都很泛泛,無論對計算機網絡課程還是其他課程都適用。實際上,在以往幾屆學生的教學中,此類方法我們已經在使用,事實證明此種廣泛適用於一般課程的方法並不能解決計算機網絡課程中的具體問題。文獻[5]提出網絡教學輔助,我們在授課的時候也提供給學生課外自學,但是如果教師不負責檢查而全靠學生自覺,那隻對部分自覺性較高的學生有用,而這部分學生本來學習效果就較好。文獻[1]提出的分專業不同區分不同的教學層次是值得借鑑的方法,只是專業劃分範圍較大,落實到具體專業還需要細化。
2.實踐化的計算機網絡課程改革
經過課後與學生座談及學生幹部的問卷調查得知,學生認為計算機網絡課程的主要問題是理論太多,不直觀。相對比一些課程因學生重視程度不夠導致的學生興趣不高,計算機網絡課程經過歷年專業教育的宣傳,學生基本都能意識到這門課程的重要性。剛開始絕大部分學生的學習積極性都很高,但是隨着課程的進行,概念增多、理論加深,由於理論概念抽象難理解,光靠死記硬背效果差,學生慢慢感覺無法跟上教師的進度,進而失去學習的興趣,甚至自暴自棄。雖然採用了案例視頻、多媒體互動等教學方式,但明顯還不足以讓學生理論聯繫實際。
計算機網絡課程的實踐化教學主要分為課內課外兩個方面。
2.1課堂實踐化教學
1)課堂實踐工具演示。
一、網絡對象犯的提出
1995年國際互聯網(Internet)進入中國,國內外的網絡系統連成一體,網絡帶來的便捷、快速與平等令世人驚歎,然而通過計算機實施危害行為卻不可避免地發生於網絡的各個角落,並愈演愈烈。1997年我國刑法修訂將其中部分行為予以犯罪化吸收到刑法典中。於此之前,刑法理論界對該類犯罪行為早有探討。令人不解的是,不論已有的理論成果抑或現行刑法規定更多的是關注計算機信息系統而對網絡問題卻少有專門探討。在計算機科學上,計算機網絡畢竟不同於計算機信息系統本身,二者在外延上存在差別。
1994年2月18日國務院頒佈的《中華人民共和國計算機信息系統安全保護條例》第2 條規定了:所謂計算機信息系統是指由計算機及其相關的配套的設備、設施(含網絡)構成的,按照一定的應用目標和規則對信息進行收集、加工、存儲、檢索等處理的人機系統。由此可見,計算機信息系統是由計算機作為信息載體的系統。例如,一台計算機出廠時,只要已安裝程序文件或應用文件,並具有信息處理功能,即構成一定信息系統,但由於未投入使用,沒有按照一定的應用目標和規則對信息進行收集、加工、存儲、傳輸、檢索等處理,因而不能稱為“人機系統”,其信息安全當然不受上述條例保護,更不受刑法保護①。新興的網絡科學認為計算機網絡是用電纜、光纜、無線電波或其他物理鏈路,將地理上分散的計算機信息系統連接起來的資源共享系統②。通過上述定義的比較,我們可以認為計算機網絡與計算機系統在概念的外延上是有交叉的,計算機信息系統並非一定存在着網絡,通過計算機網絡組建的計算機信息系統是其高級形式。因此,計算機網絡實際上是多個單機信息系統的聯接。根據《中華人民共和國計算機信息網絡國際管理暫行規定 》實施辦法的規定,我國目前主要存在以下幾種網絡形式:國際互聯網、專業計算機信息網、企業計算機信息網。其中,國際聯網是指中華人民共和國境內的計算機互聯網絡、專業信息網絡、企業信息網絡,以及其他通過專線進行國際聯網的計算機信息網絡同外國的計算機信息網相聯接。專業信息網絡是為行業服務的專用計算機信息網絡;企業信息網絡,是企業內部自用的計算機信息網絡。由於目前國內大多數企業網、專業網等局域網都與國際網聯接,因此本文探討的關於網絡犯罪對其不作專門區分。
由於受到計算機犯罪概念的影響,理論界有學者認為“網絡犯罪就是行為主體以計算機或計算機網絡為犯罪工具或攻擊對象,故意實施的危害計算機網絡安全的,觸犯有關法律規範的行為③。”從此概念出發,網絡犯罪在行為方式上包括以計算機網絡為犯罪工具和以計算機網絡為攻擊對象兩種;在行為性質上包括網絡一般違法行為和網絡嚴重違法即犯罪行為兩種。因此,我們認為此概念的界定過於寬泛,不利於從刑法理論對和網絡犯罪的研究。這便要求我們以審慎的態度對其重新理解。綜觀現有的關於網絡犯罪的描述,大體可歸納為三種類型:第一,通過網絡以其為工具進行各種犯罪活動;第二,攻擊網絡以其為標進行的犯罪活動;第三,使用網絡以其為獲利來源的犯罪活動。
前者以網絡為犯罪手段,視其為工具,我們稱之為網絡工具犯。由於網絡已滲透到人們生活方方面面,其被犯罪分子利用進行犯罪活動的表現形形色色,可以説刑法分則中除了殺人、搶劫、強姦等需要兩相面對的罪行以外,絕大多數都可以通過網絡進行。後兩類型均以網絡為行為對象,我們稱其為網絡對象犯。因前者涉及面廣,且屬各自罪行的研究範圍,故本文僅就以網絡為對象的犯罪行為的認定進行探討,並且筆者以為,將網絡對象犯單獨提出能充分地發揮其概念的界限性機能,主要表現在其與若干相關概念的比較上:
(一)網絡對象犯與計算機犯罪
理論界關於計算機犯罪的定義眾説紛紜,有工具説、關係説、折衷説④。此外,還有觀點認為計算機犯罪就是以信息為對象而進行的犯罪⑤。無論採取什麼觀點,都離不開這樣的判斷:計算機犯罪是圍繞着計算機的犯罪行為;缺乏信息系統的“裸機” 很難成為犯罪工具,即使作為犯罪對象時也僅是財產犯罪的對象,此時的犯罪不能歸為計算機犯罪。基於這般理解計算機犯罪應當是關於計算機信息系統的犯罪,計算機信息系統又分為單機系統和多機網絡系統。如此,計算機犯罪在涉及範圍上不是以多機網絡系統為全部,而且應當包括單機系統。多機網絡系統的犯罪,其行為方式理論界通常認為只包括利用和侵犯,而以其為獲利來源的犯罪行為則不被包括。因此,計算機犯罪的外延並不能完全涵蓋網絡對象犯,這便給了我們研究網絡對象犯的獨立空間。
(二)網絡對象犯與網上犯罪
網絡化程度的加深,為人類帶來了更多的便捷,同時也為犯罪提供了空間,我國學者敏鋭地發現了發生於這一空間的犯罪行為的研究意義,並進行了深入探討⑥。現有的研究以發生在網絡上的犯罪行為為對象,誠然,這一研究課題對我國刑法學來説是全新的,對其研究無疑有着深遠的理論及實踐意義。但如前文所言,網絡與計算機信息系統畢意不能完全等同,以網絡為獲利來源的犯罪行為也無法包含在網上犯罪中。
因此,筆者另立視角,將網絡為犯罪對象的危害行為稱為網絡對象犯,目的是引起理論界的足夠重視,實現其刑法理論研究上應有地位。就網絡對象犯本身而言,它包含着以網絡為獲利來源的犯罪行為和以網絡為侵害對象的犯罪行為。我們分別稱其為網絡用益犯和網絡侵害犯。這兩類犯罪行為中有的被刑法明定罪名,有的尚無直接的相應的罪名因此需要理論上的解決,為其提供認定依據。
二。網絡用益犯的認定
網絡用益犯是指網絡使用人以非法獲利為目的,對網絡進行利用佔用等犯罪等行為。依其手段的不同可分為:盜用網絡行為和侵佔網絡行為。
(一)盜用網絡行為的認定
互聯網絡將計算機技術與現代通訊結為一體,網絡便成為大量信息的傳輸紐帶,用户不僅可以調用網絡進行通訊,而且可以從中獲取信息經營各項業務,網絡本身便成為特殊商品,具有使用價值和價值,同時也決定了它被盜用的可能性。
1.1計算機拓撲模型的主要特徵在複雜網絡的眾多具體表現形式中,計算機網絡的主要載體是計算機羣組。在對拓撲進行不斷優化的過程中,其主要目標是最小化網絡邊數、讓各個節點之間的平均距離得到最大限度的縮小,複雜網絡的小世界網絡構架為計算機網絡系統將來的日趨複雜的發展趨勢奠定了基礎。鑑於計算機網絡極其廣闊的覆蓋空間,要想保持計算機網絡系統的高效穩定工作,則務必要對建立在複雜網絡理論基礎之上的網絡拓撲技術進行迅速的轉換適配與理論支持。在複雜網絡的高聚集、邊數少、小世界的特性的幫助下,計算機網絡無論是在生長延伸還是優先連接上都獲得了優勢的規律性。其中,優先連接規律能夠讓計算機網絡獲得新的進入計算機網絡規則創設的節點,同時優先連接那些連接數較大的節點,保證網絡寬帶資源的最大限度節約。
1.2計算機拓撲模型適配構築的基本現狀當前計算機網路拓撲理論應用逐步向着人性化、開放化的UI操作界面發展。互聯網的高速普及,使得人們對快速上網業務以及網絡數據傳輸速度的依賴性出現前所未有的爆棚式增長,人網一體的交互式體驗成為了用户們關注的重點內容,為了滿足當前用户的上網需求,與網絡數據業務相關的服務正努力想向着高效性、貼心性和細節化發展,這一切都使得基於複雜網絡理論的計算機網絡拓撲技術面臨着前所未有的挑戰,它們要求拓撲技術能夠以更高的效率滿足現階段計算機網絡的發展需求。除此之外,網絡體驗反饋的集約化和智能化也是是計算機拓撲模型適配構築的基本現狀之一。在層出不窮的計算機技術的推動下,專業化、複雜化成為了計算機網絡拓撲理論應用的發展新趨勢,這也要求計算機網絡拓撲從業人員能夠不斷提高實際操作能力和專業水平。人工職能拓撲技術正是在這種大背景環境下誕生的,在它的輔助幫助下,計算機的網絡網絡修護和故障診斷效率得到了大幅度的提升,從而進一步促進了計算機網絡技術的成本投入的降低,有效延伸了複雜網絡中集團性的實踐。最後,網絡應用管理集體生命維持是藉助於計算機拓撲網絡系統安全化的安全性和普及度上得以實現的,因此近年來網絡技術研究的熱點和重點內容都集中在建立在安全性基礎之上的理論研究和開發應用上。當前IP城域網構築架設的發展趨勢之所以是SNMP協議,是由SNMP協議的眾多優勢決定的,諸如穩定性、高效性、及時性和廉價性等。儘管SNMPV1和SNMPV2是當前運用最為普遍的協議,但仍舊無法迴避的是它們較差的可控性。因此,除了SNMP協議之外,人們在網頁的基礎上逐漸開發出了具備高度兼容性、友好性、移動性的軟件系統,這類軟件系統除了上述特性外,還具備高度統一性同時平台操作也更為便捷,自誕生之初,它便成為人們提供了另一個全新的嵌入式計算機拓撲網絡技術平台。
2計算機網絡拓撲更新架設的途徑步驟
在當前複雜網絡的發展趨勢推動下,計算機網絡的拓撲建建模逐步轉向優先連接和生長拓展這兩大原則性網絡拓撲規律。讓適配語計算機網絡拓撲性質的建模能夠更加直接迅速的演化目的促使了優先連接和生長拓展這兩個基本原則的誕生,不過就目前而言,建立在複雜網絡基礎之上的路由器級和自治域級是對計算機網路模型進行構件的主要方法手段。由於無論是在不一樣的構架,還是不一樣的規模,亦或不一樣的層次下,計算機網絡的拓撲特性的集團性在複雜網絡下都呈現出高度的相似性,創設的計算機網絡拓撲模型的適配網絡延伸通常都在兩個級別以上。
2.1計算機拓撲網絡細化改進的理論分析第一步要做的是在計算機複雜網絡中,假設有無數個各種各樣的節點密密麻麻分佈在這個模型系統中,為了連接網絡中的各個節點,還需要假設一個時鐘模塊,它不僅能夠保持均勻的速度進行運轉,還具備離散特性。對於所有的節點而言,它們都是按照特定的時間軸進入網絡系統模型的,也就是説這些節點進入系統的實際將呈現出在零點到某一特定的時間點的時間段內的隨機分佈狀態。一旦當節點進入系統之後,它們便要開始與信息源不斷地進行信息的接收與發送,還需要根據接收到的信息源的信息進行及時的內容分析並迅速做出反饋,無論是傳送消息的範圍領域還是節點自身的重要程度都是節點發送和接收的信息應該包含的內容。在實際接收信息源發來的信息過程中,節點會根據信息源的重要性排名,決定要不要連接發送消息的節點,在節點的選擇上,接收消息的節點往往會在相近有限度的信息源節點中進行隨機選擇,然後嘗試着建立連接關係。節點在計算機網絡的初試階段中,只有很少的一部分能夠開展有效的活動。由於各個節點之間的度值都具有高度相似性,從而制約到了整個網絡系統能夠接收到的消息範圍。而在網絡系統隨後的不斷髮展過程中,節點之間的信息接收範圍也會隨着節點度的增加的得到大幅提升,為了有效釋放各個節點內部的數據源信息,節點會在系統內部進行高效的交互行為,在小世界範圍區域內獲勝的節點會在周邊區域內建立起更大範圍的象徵性小世界,長此以往,最終只會剩下若干個大規模的聚集中心,並在計算機網絡系統中形成結構穩固嚴密的計算機網絡拓撲模型。
2.2通過全新前沿技術更新延伸拓撲網絡當前最為有效的網絡應用架設方法便是B/S網絡管理結構和CORBA技術。其中,CORBA網絡管理系統是二次構造後的CLIENT/SERVER架構,包含了提供網絡服務的服務方和客户方,由於常常要藉助於網關的轉換進行網絡管理信息的獲取工作,它們經常被黨所CORBA的抽象概念。B/S網絡管理結構最出色指出在於簡單便捷的運行維護,它能夠任意介入IP城域網網絡,因此可以讓上網速度和及時體驗得到大幅度改善,避免計算機拓撲網絡面臨的海量用户帶來的巨大負載運行壓力。
3總結
綜上所述,在整個網絡系統中,基於複雜網絡的計算機網絡拓撲技術肩負着調節優化的重要責任,從而為網絡系統的運作水平和用户體驗的提升奠定良好基礎,進而推動計算機領域開展更為深層次的拓撲理論構件的延伸和拓展,全面提升網絡產業的市場競爭力,保障網絡產業實際收益與用户體驗消費的雙豐收。
1.1虛擬網絡技術
虛擬網絡技術是世界上最廣泛使用的網絡技術之一,是一種非常先進的技術,受到大家廣泛的認可,在一定程度上推動了計算機網絡技術的發展。例如,企業或組織可以利用計算機虛擬網絡技術構建一個交流平台,以供員工進行交流、學習,有利於信息的快速傳達,為企業活動提供了十分便利的溝通軟環境。因此,計算機虛擬網絡技術受到企業或單位的青睞。在計算機虛擬網絡技術不斷髮展的今天,可以在虛擬網絡中建立一個網絡連接,並通過對網絡連接進行密碼保護,可以有效的提高計算機網絡系統的安全性。除此之外,利用計算機虛擬網絡技術還可以提高信息的傳遞效率,降低信息傳遞成本,降低企業的成本支出,提高企業的運營效率,為企業帶來更大的經濟效益。
1.2虛擬專用撥號網技術
虛擬專用撥號網技術與虛擬網絡技術之間存在明顯差異,虛擬專用網絡撥號技術有其特殊性。在虛擬專用撥號網技術被廣泛應用的今天,計算機網絡信息技術可以實現資源共享,通過公共網絡平台對資源進行共享,使計算機網絡公共平台的不同使用者都可以獲得資源和信息,這在一定程度上突破了空間和時間的限制,使計算機網絡應用更加的方便高效。同時虛擬專用撥號網技術的信號是通過光纖進行傳遞的,對信號進行了加密處理,使得信息不容易泄露,保障了信息的安全,避免了因信息傳遞泄漏而造成的經濟損失和其他損失,達到了防止信息外泄的效果。因此,虛擬專用撥號網技術越來越受到計算機網絡技術用户的喜愛,得到了廣泛的應用。此外,虛擬專用撥號網技術也為用户提供了便利,既可以使信息傳遞更加高效、便捷,又保障了信息的安全性,避免了因信息泄露而給用户造成的損失,同時也提高了網絡資源的應用率,降低了對其他介質資源的佔用率。
2計算機網絡技術的發展前景
隨着近幾年來科技的發展水平不斷提高,計算機網絡技術的更新換代更加的頻繁,這在一定程度上提高了人們的生活水平,推動了社會的發展,同時也帶動了社會經濟的更高效發展。因此,社會各界對計算機網絡技術的重視程度越來越高,人們逐漸開始追求計算機網絡系統的便捷。計算機網絡技術逐漸在向便捷性的方向發展,只有充分的挖掘計算機網絡系統的便捷性,才能滿足人們的需求,為人們提供更多優質的服務,才保證住人們不斷的發展、進步。目前,我國互聯網用户量正在劇增,相信,互聯網會在我國得到更大的發展,虛擬專用撥號網技術與虛擬網絡技術也會有更大的發展空間。人們可以通過計算機網絡技術實現遠程辦公,教師也可以利用計算機網絡技術遠程教學。計算機網絡技術不斷的充實着人們的生活,不斷的突破傳統溝通在時間和空間方面的限制,信息的傳遞將會更加高效和安全,同時將會實現信息的實時交流與共享,進一步推動人類社會的發展。除此之外,計算機網絡技術的發展使我們能夠進行遠程辦公,提高了辦公效率,也提高了信息的利用率,信息的處理更加的便捷、高效,能夠有效的降低環境污染和資源浪費。傳統的辦公模式給交通和通訊方面都帶來了巨大的壓力,而遠程辦公能夠解決這一問題,不僅節省了時間和資源,更降低了辦公成本,信息的處理將會更加高效,有利於企業更快地搶佔市場先機,進一步推動了社會經濟的發展。
3結語
綜上所述,隨着計算機網絡技術的發展水平越來越高,計算機網絡系統在生活中的應用也更加的普遍,在工作中的重要程度也越來越高。計算機網絡技術不僅方便了人們之間的溝通,將溝通變得更加的便捷,同時也拉近了人與人之間的關係。為了進一步提高計算機網絡技術的作用和應用水平,必須不斷的對計算機網絡技術進行創新和研發,不斷推廣虛擬專用撥號網技術和虛擬網絡技術,使這兩項技術在社會生活中能夠廣泛的被使用,積極提高計算機網絡技術的科技含量,為人們提高更加方便、快捷、安全的服務。計算機在未來的一段時間內一定能夠得以普遍推廣和發展,以計算機網絡便捷性的特點推動計算機網絡進一步發展,促進信息網絡技術更好地應用在日常生活實踐中。
關鍵詞入侵檢測異常檢測誤用檢測
在網絡技術日新月異的今天,論文基於網絡的計算機應用已經成為發展的主流。政府、教育、商業、金融等機構紛紛聯入Internet,全社會信息共享已逐步成為現實。然而,近年來,網上黑客的攻擊活動正以每年10倍的速度增長。因此,保證計算機系統、網絡系統以及整個信息基礎設施的安全已經成為刻不容緩的重要課題。
1防火牆
目前防範網絡攻擊最常用的方法是構建防火牆。
防火牆作為一種邊界安全的手段,在網絡安全保護中起着重要作用。其主要功能是控制對網絡的非法訪問,通過監視、限制、更改通過網絡的數據流,一方面儘可能屏蔽內部網的拓撲結構,另一方面對內屏蔽外部危險站點,以防範外對內的非法訪問。然而,防火牆存在明顯的侷限性。
(1)入侵者可以找到防火牆背後可能敞開的後門。如同深宅大院的高大院牆不能擋住老鼠的偷襲一樣,防火牆有時無法阻止入侵者的攻擊。
(2)防火牆不能阻止來自內部的襲擊。調查發現,50%的攻擊都將來自於網絡內部。
(3)由於性能的限制,防火牆通常不能提供實時的入侵檢測能力。畢業論文而這一點,對於層出不窮的網絡攻擊技術來説是至關重要的。
因此,在Internet入口處部署防火牆系統是不能確保安全的。單純的防火牆策略已經無法滿足對安全高度敏感部門的需要,網絡的防衞必須採用一種縱深的、多樣化的手段。
由於傳統防火牆存在缺陷,引發了入侵檢測IDS(IntrusionDetectionSystem)的研究和開發。入侵檢測是防火牆之後的第二道安全閘門,是對防火牆的合理補充,在不影響網絡性能的情況下,通過對網絡的監測,幫助系統對付網絡攻擊,擴展系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應),提高信息安全基礎結構的完整性,提供對內部攻擊、外部攻擊和誤操作的實時保護。現在,入侵檢測已經成為網絡安全中一個重要的研究方向,在各種不同的網絡環境中發揮重要作用。
2入侵檢測
2.1入侵檢測
入侵檢測是通過從計算機網絡系統中的若干關鍵點收集信息並對其進行分析,從中發現違反安全策略的行為和遭到攻擊的跡象,並做出自動的響應。其主要功能是對用户和系統行為的監測與分析、系統配置和漏洞的審計檢查、重要系統和數據文件的完整性評估、已知的攻擊行為模式的識別、異常行為模式的統計分析、操作系統的審計跟蹤管理及違反安全策略的用户行為的識別。入侵檢測通過迅速地檢測入侵,在可能造成系統損壞或數據丟失之前,識別並驅除入侵者,使系統迅速恢復正常工作,並且阻止入侵者進一步的行動。同時,收集有關入侵的技術資料,用於改進和增強系統抵抗入侵的能力。
入侵檢測可分為基於主機型、基於網絡型、基於型三類。從20世紀90年代至今,英語論文已經開發出一些入侵檢測的產品,其中比較有代表性的產品有ISS(IntemetSecuritySystem)公司的Realsecure,NAI(NetworkAssociates,Inc)公司的Cybercop和Cisco公司的NetRanger。
2.2檢測技術
入侵檢測為網絡安全提供實時檢測及攻擊行為檢測,並採取相應的防護手段。例如,實時檢測通過記錄證據來進行跟蹤、恢復、斷開網絡連接等控制;攻擊行為檢測注重於發現信息系統中可能已經通過身份檢查的形跡可疑者,進一步加強信息系統的安全力度。入侵檢測的步驟如下:
收集系統、網絡、數據及用户活動的狀態和行為的信息
入侵檢測一般採用分佈式結構,在計算機網絡系統中的若干不同關鍵點(不同網段和不同主機)收集信息,一方面擴大檢測範圍,另一方面通過多個採集點的信息的比較來判斷是否存在可疑現象或發生入侵行為。
入侵檢測所利用的信息一般來自以下4個方面:系統和網絡日誌文件、目錄和文件中的不期望的改變、程序執行中的不期望行為、物理形式的入侵信息。
(2)根據收集到的信息進行分析
常用的分析方法有模式匹配、統計分析、完整性分析。模式匹配是將收集到的信息與已知的網絡入侵和系統誤用模式數據庫進行比較,從而發現違背安全策略的行為。
統計分析方法首先給系統對象(如用户、文件、目錄和設備等)創建一個統計描述,統計正常使用時的一些測量屬性。測量屬性的平均值將被用來與網絡、系統的行為進行比較。當觀察值超出正常值範圍時,就有可能發生入侵行為。該方法的難點是閾值的選擇,閾值太小可能產生錯誤的入侵報告,閾值太大可能漏報一些入侵事件。
完整性分析主要關注某個文件或對象是否被更改,包括文件和目錄的內容及屬性。該方法能有效地防範特洛伊木馬的攻擊。
3分類及存在的問題
入侵檢測通過對入侵和攻擊行為的檢測,查出系統的入侵者或合法用户對系統資源的濫用和誤用。工作總結根據不同的檢測方法,將入侵檢測分為異常入侵檢測(AnomalyDetection)和誤用人侵檢測(MisuseDetection)。
3.1異常檢測
又稱為基於行為的檢測。其基本前提是:假定所有的入侵行為都是異常的。首先建立系統或用户的“正常”行為特徵輪廓,通過比較當前的系統或用户的行為是否偏離正常的行為特徵輪廓來判斷是否發生了入侵。此方法不依賴於是否表現出具體行為來進行檢測,是一種間接的方法。
常用的具體方法有:統計異常檢測方法、基於特徵選擇異常檢測方法、基於貝葉斯推理異常檢測方法、基於貝葉斯網絡異常檢測方法、基於模式預測異常檢測方法、基於神經網絡異常檢測方法、基於機器學習異常檢測方法、基於數據採掘異常檢測方法等。
採用異常檢測的關鍵問題有如下兩個方面:
(1)特徵量的選擇
在建立系統或用户的行為特徵輪廓的正常模型時,選取的特徵量既要能準確地體現系統或用户的行為特徵,又能使模型最優化,即以最少的特徵量就能涵蓋系統或用户的行為特徵。(2)參考閾值的選定
由於異常檢測是以正常的特徵輪廓作為比較的參考基準,因此,參考閾值的選定是非常關鍵的。
閾值設定得過大,那漏警率會很高;閾值設定的過小,則虛警率就會提高。合適的參考閾值的選定是決定這一檢測方法準確率的至關重要的因素。
由此可見,異常檢測技術難點是“正常”行為特徵輪廓的確定、特徵量的選取、特徵輪廓的更新。由於這幾個因素的制約,異常檢測的虛警率很高,但對於未知的入侵行為的檢測非常有效。此外,由於需要實時地建立和更新系統或用户的特徵輪廓,這樣所需的計算量很大,對系統的處理性能要求很高。
3.2誤用檢測
又稱為基於知識的檢測。其基本前提是:假定所有可能的入侵行為都能被識別和表示。首先,留學生論文對已知的攻擊方法進行攻擊簽名(攻擊簽名是指用一種特定的方式來表示已知的攻擊模式)表示,然後根據已經定義好的攻擊簽名,通過判斷這些攻擊簽名是否出現來判斷入侵行為的發生與否。這種方法是依據是否出現攻擊簽名來判斷入侵行為,是一種直接的方法。
常用的具體方法有:基於條件概率誤用入侵檢測方法、基於專家系統誤用入侵檢測方法、基於狀態遷移分析誤用入侵檢測方法、基於鍵盤監控誤用入侵檢測方法、基於模型誤用入侵檢測方法。誤用檢測的關鍵問題是攻擊簽名的正確表示。
誤用檢測是根據攻擊簽名來判斷入侵的,根據對已知的攻擊方法的瞭解,用特定的模式語言來表示這種攻擊,使得攻擊簽名能夠準確地表示入侵行為及其所有可能的變種,同時又不會把非入侵行為包含進來。由於多數入侵行為是利用系統的漏洞和應用程序的缺陷,因此,通過分析攻擊過程的特徵、條件、排列以及事件間的關係,就可具體描述入侵行為的跡象。這些跡象不僅對分析已經發生的入侵行為有幫助,而且對即將發生的入侵也有預警作用。
誤用檢測將收集到的信息與已知的攻擊簽名模式庫進行比較,從中發現違背安全策略的行為。由於只需要收集相關的數據,這樣系統的負擔明顯減少。該方法類似於病毒檢測系統,其檢測的準確率和效率都比較高。但是它也存在一些缺點。
3.2.1不能檢測未知的入侵行為
由於其檢測機理是對已知的入侵方法進行模式提取,對於未知的入侵方法就不能進行有效的檢測。也就是説漏警率比較高。
3.2.2與系統的相關性很強
對於不同實現機制的操作系統,由於攻擊的方法不盡相同,很難定義出統一的模式庫。另外,誤用檢測技術也難以檢測出內部人員的入侵行為。
目前,由於誤用檢測技術比較成熟,多數的商業產品都主要是基於誤用檢測模型的。不過,為了增強檢測功能,不少產品也加入了異常檢測的方法。
4入侵檢測的發展方向
隨着信息系統對一個國家的社會生產與國民經濟的影響越來越大,再加上網絡攻擊者的攻擊工具與手法日趨複雜化,信息戰已逐步被各個國家重視。近年來,入侵檢測有如下幾個主要發展方向:
4.1分佈式入侵檢測與通用入侵檢測架構
傳統的IDS一般侷限於單一的主機或網絡架構,對異構系統及大規模的網絡的監測明顯不足,再加上不同的IDS系統之間不能很好地協同工作。為解決這一問題,需要採用分佈式入侵檢測技術與通用入侵檢測架構。
4.2應用層入侵檢測
許多入侵的語義只有在應用層才能理解,然而目前的IDS僅能檢測到諸如Web之類的通用協議,而不能處理LotusNotes、數據庫系統等其他的應用系統。許多基於客户/服務器結構、中間件技術及對象技術的大型應用,也需要應用層的入侵檢測保護。
4.3智能的入侵檢測
入侵方法越來越多樣化與綜合化,儘管已經有智能體、神經網絡與遺傳算法在入侵檢測領域應用研究,但是,這只是一些嘗試性的研究工作,需要對智能化的IDS加以進一步的研究,以解決其自學習與自適應能力。
4.4入侵檢測的評測方法
用户需對眾多的IDS系統進行評價,評價指標包括IDS檢測範圍、系統資源佔用、IDS自身的可靠性,從而設計出通用的入侵檢測測試與評估方法與平台,實現對多種IDS的檢測。
4.5全面的安全防禦方案
結合安全工程風險管理的思想與方法來處理網絡安全問題,將網絡安全作為一個整體工程來處理。從管理、網絡結構、加密通道、防火牆、病毒防護、入侵檢測多方位全面對所關注的網絡作全面的評估,然後提出可行的全面解決方案。
綜上所述,入侵檢測作為一種積極主動的安全防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護,使網絡系統在受到危害之前即攔截和響應入侵行為,為網絡安全增加一道屏障。隨着入侵檢測的研究與開發,並在實際應用中與其它網絡管理軟件相結合,使網絡安全可以從立體縱深、多層次防禦的角度出發,形成人侵檢測、網絡管理、網絡監控三位一體化,從而更加有效地保護網絡的安全。
參考文獻
l吳新民.兩種典型的入侵檢測方法研究.計算機工程與應用,2002;38(10):181—183
2羅妍,李仲麟,陳憲.入侵檢測系統模型的比較.計算機應用,2001;21(6):29~31
3李渙洲.網絡安全與入侵檢測技術.四川師範大學學報.2001;24(3):426—428
4張慧敏,何軍,黃厚寬.入侵檢測系統.計算機應用研究,2001;18(9):38—4l
5蔣建春,馮登國.網絡入侵檢測原理與技術.北京:國防工業出版社,2001
蒙田範文網