网络攻击的一般检测和防范
来源:用户上传
作者: 余刚娟
由于计算机网络体系结构的复杂性及其开放性等特征,网络设备及数据的安全成为影响网络正常运行的重要问题,网络安全问题变得越来越重要。了解网络攻击的方法和防范对于维护网络安全有着重要的意义。下面,我根据自己的教学经验谈几点看法。
一、攻击的检测方法
1.扫描器
在Internet安全领域,扫描器是最出名的破解工具。所谓扫描器,实际上是自动检测远程或本地主机安全性弱点的程序。扫描器选通TCP/IP端口和服务,并记录目标机的回答,以此获得关于目标机的信息。理解和分析这些信息,就可能发现破坏目标机安全性的关键因素。扫描器在不断发展变化,每当发现新的漏洞,检查该漏洞的功能就会被加入已有的扫描器中。扫描器不仅是黑客用作网络攻击的工具,而且是维护网络安全的重要工具。
2.基于审计的攻击检测。
基于审计信息的攻击检测工具和自动分析工具可以向系统安全管理员报告计算机系统活动的评估报告,通常是脱机的、滞后的。对攻击的实时检测系统的工作原理是基于对用户历史行为的建模,以及在早期的证据或模型的基础之上。审计系统实时地检测用户对系统的使用情况,根据系统内部保持的用户行为的概率统计模型进行监测,当发现有可疑的用户行为发生时,保持跟踪并监测该用户的行为。
3.基于模型推理的攻击检测技术。
攻击者在入侵一个系统时往往采用一定的行为程序,如猜测口令的程序,这种行为程序构成了某种具有一定行为特征的模型,根据这种模型所代表的攻击意图的行为特征,可以实时地检测出恶意的攻击企图,尽管攻击者并不一定都是恶意的。用基于模型的推理方法人们能够为某些行为建立特定的模型,从而能够监视具有特定行为特征的某些活动。根据假设的攻击脚本,这种系统就能检测出非法的用户行为。一般为了准确判断,要为不同的入侵者和不同的系统建立特定的攻击脚本。
4.基于专家系统的攻击检测技术。
进行安全检测工作自动化的另外一个值得重视的研究方向就是基于专家系统的攻击检测技术,即根据安全专家对可疑行为的分析经验来形成一套推理规则,然后在此基础之上构成相应的专家系统。由此专家系统自动进行对所涉及的攻击操作的分析工作。
所谓专家系统是基于一套由专家经验事先定义的规则的推理系统。如在数分钟之内某个用户连续进行登录,且失败超过三次就可以被认为是一种攻击行为。类似的规则在统计系统似乎也有,同时应当说明的是基于规则的专家系统或推理系统也有其局限性,因为作为这类系统的基础的推理规则一般都是根据已知的安全漏洞进行安排和策划的,而对系统的最危险的威胁则主要是来自未知的安全漏洞。实现一个基于规则的专家系统是一个知识工程问题,而且其功能应当能够随着经验的积累而利用其自学习能力进行规则的扩充和修正。
二、网络攻击的防范
1.使用防火墙,防止电脑受到来自互联网的攻击。
防火墙在电脑和外部环境之间建立了防御层。防火墙有两种形式:个人电脑上运行的软件防火墙,同时保护若干电脑不受侵害的硬件防火墙。这两种防火墙的工作原理都是:过滤来自互联网的未授权进入或者具有潜在威胁的数据,同时允许安全的数据被电脑接收。上网时,防火墙也能阻止未经授权的用户连接到电脑上。
2.用杀毒软件保护电脑,及时更新软件。
杀毒软件可以保护电脑不受病毒的侵害,目前计算机病毒日趋猖狂,新病毒每天都会出现,反程序需要定期升级。病毒的发作就像每年的流感病毒,新的病毒和病毒变种不断产生,所以一定要保证有规律地升级杀毒软件,升级得越勤快,杀毒的效果就越好。同时登陆您使用的杀毒软件公司的网站,看看有没有发现新的病毒,并且定期对杀毒软件进行升级。
3.隐藏IP地址。
在上网时,最好用一些工具软件隐藏自己计算机的IP地址。例如,使用ICQ时,可以进入“ICQMenu\Securi-ty&Privacy”,在“IPPublishing”中选定“Do not Publish IP address”。
4.尽量少用共享文件夹。
如果计算机连接在互联网或局域网上,要少用,尽量不用共享文件夹,如果因工作等其他原因必须设置成共享,则最好单独开一个共享文件夹,把所有因工作等原因必须设置成共享的文件都放在这个共享文件夹中,同时注意设置文件夹的共享属性。
5.不要随便下载软件、视频文件。
不要随便在网上下载一些盗版软件和视频文件,特别是不可靠的小FTP站、公众新闻级、论坛或BBS,因为这些地方是新木马发布的首选之地。
6.养成使用计算机的良好习惯
对重要文件必须保留备份,不在计算机上乱插乱用盗版光盘和来路不明的盘,经常用杀毒软件检查硬盘和每一张外来盘,等等。
7.及时了解计算机病毒的发作时间,及时采取措施。
大多数计算机病毒的发作是有时间限定的。如CIH病毒的三个变种的发作时间就限定为每月26日。
8.加强对网络流量等异常情况的监测,做好异常情况的技术分析。对于利用网络和操作系统漏洞传播的病毒,可以采取分割区域统一清除的办法,在清除后要及时采取打补丁和系统升级等安全措施。
9.有规律的备份系统关键数据。
建立应对灾难的数据安全策略,如灾难备份计划(备份时间表、备份方式、容灾措施)和灾难恢复计划,保证备份的数据能够正确、迅速地恢复。
10.加强口令安全。
黑客常常利用弱口令或默认口令进行攻击。加长口令、选用30到60天的口令有效期等措施有助于防止这类漏洞。
总之,网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,又有物理和逻辑的技术措施。一种技术只能解决一方面的问题,而不是万能的。因此,没有百分之百安全和保密的网络信息。为使网络在被攻击和破坏时能够及时发现,及时反映,尽可能快地恢复网络信息中心的服务,减少损失,网络安全系统应该包括:安全防护机制、安全监测机制、安全反应机制和安全恢复机制。
转载注明来源:https://www.xzbu.com/9/view-978153.htm
