導(dǎo)語(yǔ)：如何才能寫好一篇常見(jiàn)網(wǎng)絡(luò)安全漏洞，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

隨著校園網(wǎng)絡(luò)應(yīng)用的逐漸深入，特別是校園網(wǎng)絡(luò)與互聯(lián)網(wǎng)鏈接以后，校園網(wǎng)絡(luò)在信息資源上得到了極大的提升，但是網(wǎng)絡(luò)信息安全問(wèn)題也逐漸凸顯，直接影響了學(xué)校正常的教學(xué)管理以及其他教學(xué)活動(dòng)。而常見(jiàn)的校園網(wǎng)絡(luò)安全問(wèn)題主要表現(xiàn)在以下幾個(gè)方面：

（1）計(jì)算機(jī)系統(tǒng)存在漏洞

目前，我國(guó)中小學(xué)校園網(wǎng)絡(luò)中被普遍使用的操作系統(tǒng)是WIN7。而由于技術(shù)發(fā)展水平的限制，目前WINDOWS操作系統(tǒng)在服務(wù)器、防火墻、TCP/IP協(xié)議等方面都存在大量安全漏洞，而且當(dāng)下應(yīng)用范圍比較廣泛的360殺毒軟件、騰訊電腦管家等殺毒修復(fù)軟件功能也十分有限，對(duì)于互聯(lián)網(wǎng)這種無(wú)限開(kāi)放的空間環(huán)境而言，這些漏洞被越來(lái)越多的人發(fā)現(xiàn)，并加以利用。這些都為校園網(wǎng)絡(luò)的穩(wěn)定運(yùn)行帶來(lái)了嚴(yán)重的影響和威脅。

（2）計(jì)算機(jī)病毒的破壞

威脅計(jì)算機(jī)功能運(yùn)行的最普遍則來(lái)自于計(jì)算機(jī)病毒?？梢哉f(shuō)對(duì)于校園網(wǎng)絡(luò)而言，計(jì)算機(jī)病毒是破壞計(jì)算機(jī)系統(tǒng)正常運(yùn)行、破壞系統(tǒng)軟件、損害文件資料、導(dǎo)致網(wǎng)絡(luò)效率下降，甚至造成計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)癱瘓的最直接因素。具體來(lái)說(shuō)，計(jì)算機(jī)病毒主要具有傳播速度快、隱蔽性強(qiáng)、傳染途徑廣、潛伏期長(zhǎng)、破壞力大等特點(diǎn)。比如前幾年影響比較惡劣的熊貓燒香病毒，網(wǎng)絡(luò)執(zhí)行官、網(wǎng)絡(luò)特工、ARPKILLER、灰鴿子等木馬病毒，使得網(wǎng)絡(luò)集體掉線、網(wǎng)絡(luò)系統(tǒng)中的游戲賬號(hào)、QQ賬號(hào)、網(wǎng)上銀行賬號(hào)密碼等被泄漏等等，嚴(yán)重威脅著中小學(xué)校園網(wǎng)絡(luò)的正常使用。

（3）互聯(lián)網(wǎng)對(duì)校園網(wǎng)的非法入侵及破壞威脅

為了最大程度的享有信息資源，提高校園管理、教學(xué)水平，基本上所有中小學(xué)校園網(wǎng)絡(luò)都是與互聯(lián)網(wǎng)相連的。這樣就導(dǎo)致了在享有互聯(lián)網(wǎng)無(wú)限資源的同時(shí)，也時(shí)刻面臨著來(lái)自互聯(lián)網(wǎng)中的非法入侵風(fēng)險(xiǎn)。比如最為常見(jiàn)的黑客利用網(wǎng)絡(luò)攻擊校園網(wǎng)絡(luò)服務(wù)器，竊取、篡改或破壞學(xué)校重要信息等，給學(xué)校日常的教學(xué)管理造成巨大危害。

二、完善校園網(wǎng)絡(luò)信息安全的對(duì)策措施

維護(hù)校園網(wǎng)絡(luò)安全是一個(gè)復(fù)雜的系統(tǒng)工程。其往往涉及到網(wǎng)絡(luò)用戶、管理以及技術(shù)維護(hù)等方面的工作內(nèi)容。因此，本質(zhì)上講，網(wǎng)絡(luò)安全工作是一個(gè)循序漸進(jìn)、不斷完善的過(guò)程。根據(jù)前人的研究成果，為了切實(shí)提高校園網(wǎng)絡(luò)的安全性，筆者認(rèn)為應(yīng)該從以下幾個(gè)方面進(jìn)行完善：

（1）采用身份認(rèn)證技術(shù)

由于校園網(wǎng)屬于開(kāi)放性網(wǎng)絡(luò)，因此，校園網(wǎng)對(duì)用戶的限制很少。這樣就給一些非法入侵者提供了條件。因此，加強(qiáng)校園網(wǎng)絡(luò)的安全性，首先我們可以采用身份認(rèn)證的技術(shù)，從用戶限制上提高網(wǎng)絡(luò)的安全性。具體來(lái)說(shuō)，身份認(rèn)知是指通信方設(shè)置身份確認(rèn)來(lái)限制非授權(quán)用戶的進(jìn)入。這項(xiàng)技術(shù)在高等院校及圖書館等機(jī)構(gòu)中已經(jīng)得到了普遍盈盈。而常見(jiàn)的身份認(rèn)證的方法有口令認(rèn)證法。其是指給系統(tǒng)管理員帳戶設(shè)置足夠復(fù)雜的強(qiáng)密碼，同時(shí)系統(tǒng)管理員的口令不定期的予以更換。

（2）防范系統(tǒng)安全漏洞

在日常的網(wǎng)絡(luò)系統(tǒng)維護(hù)中，及時(shí)的對(duì)當(dāng)前的電腦操作系統(tǒng)進(jìn)行更新升級(jí)，及時(shí)安裝各種系統(tǒng)補(bǔ)丁程序以及第三方系統(tǒng)管理軟件，比如常見(jiàn)的360安全衛(wèi)士、騰訊電腦管家等等，定期的進(jìn)行系統(tǒng)掃描機(jī)漏洞掃描，及時(shí)發(fā)現(xiàn)安全隱患。這樣才能防止各種計(jì)算機(jī)病毒入侵網(wǎng)絡(luò)，損壞計(jì)算機(jī)及系統(tǒng)軟件，提高網(wǎng)絡(luò)使用的安全性。

（3）加強(qiáng)校園網(wǎng)絡(luò)監(jiān)控

由于中小學(xué)師生對(duì)網(wǎng)絡(luò)安全普遍缺乏正確的認(rèn)知，在網(wǎng)絡(luò)使用過(guò)程中也無(wú)法有效準(zhǔn)確的判斷病毒網(wǎng)站，因此，在加強(qiáng)校園網(wǎng)絡(luò)安全意識(shí)的宣傳同時(shí)，還應(yīng)該在不影響校園網(wǎng)絡(luò)正常運(yùn)行的前提下，加強(qiáng)對(duì)內(nèi)部網(wǎng)絡(luò)的監(jiān)控范圍和力度，做到最大程度的保護(hù)網(wǎng)絡(luò)資源信息。具體措施比如配備入侵檢測(cè)系統(tǒng)，入侵防御系統(tǒng)，Web、E-mail、BBS的安全監(jiān)測(cè)系統(tǒng)和網(wǎng)絡(luò)監(jiān)聽(tīng)系統(tǒng)等。一方面，通過(guò)監(jiān)控手段，增強(qiáng)網(wǎng)絡(luò)安全的自我適應(yīng)性和反應(yīng)能力，及時(shí)發(fā)現(xiàn)不安全因素，從而保證網(wǎng)絡(luò)服務(wù)的正常提供。另一方面，通過(guò)使用網(wǎng)管軟件、日志分析軟件、MRTG和Sniffer等工具，形成一個(gè)功能較完整、覆蓋面較廣的監(jiān)控管理系統(tǒng)。

篇2

關(guān)鍵詞　網(wǎng)絡(luò)安全　計(jì)算機(jī)病毒　防火墻　應(yīng)對(duì)策略

一、網(wǎng)絡(luò)安全的定義

網(wǎng)絡(luò)的安全就是指通過(guò)采用各種技術(shù)和管理辦法，使網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行，從而確保網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的各種數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，計(jì)算機(jī)系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全既有技術(shù)方面的問(wèn)題，也有管理方面的問(wèn)題，兩方面相互補(bǔ)充，缺一不可。同時(shí)我們必須清楚的認(rèn)識(shí)到網(wǎng)絡(luò)的開(kāi)放性，由于現(xiàn)代網(wǎng)絡(luò)技術(shù)是全開(kāi)放的，所以在一定程度上導(dǎo)致了網(wǎng)絡(luò)面臨著來(lái)自多方面的攻擊。

二、常見(jiàn)的網(wǎng)絡(luò)安全問(wèn)題

影響計(jì)算機(jī)網(wǎng)絡(luò)安全的因素很多，其中包括人為因素、自然因素和意外因素。其中人為因素主要是一些不法之徒利用計(jì)算機(jī)網(wǎng)絡(luò)自身存在的漏洞，非法入侵獲取重要數(shù)據(jù)、篡改系統(tǒng)數(shù)據(jù)、植入病毒等；同時(shí)也包含相關(guān)人員整體安全意思淡薄、相關(guān)安全防護(hù)措施不到位。應(yīng)該說(shuō)人為因素是對(duì)網(wǎng)絡(luò)安全影響最大的一個(gè)方面。下面列舉在日常生活和工作中遇到的網(wǎng)絡(luò)安全問(wèn)題：

1、計(jì)算機(jī)病毒無(wú)孔不入

計(jì)算機(jī)病毒是指影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼，它具有攻擊隱蔽性強(qiáng)、自我繁殖能力強(qiáng)、傳染途徑廣、潛伏期長(zhǎng)、破壞力大等特點(diǎn)。

目前，計(jì)算機(jī)病毒是危害計(jì)算機(jī)網(wǎng)絡(luò)安全最常見(jiàn)的一種方式。隨著互聯(lián)網(wǎng)的不斷普及，計(jì)算機(jī)病毒通過(guò)網(wǎng)絡(luò)進(jìn)行傳播，這些病毒不僅危害性大，而且傳播速度非?？?，傳播形式多樣，因此，要想徹底清除這些病毒是非常困難的。

2、垃圾郵件泛濫

隨著信息化技術(shù)的快速發(fā)展，個(gè)人和企業(yè)電子郵件系統(tǒng)的功能和技術(shù)已經(jīng)非常成熟，但也仍然無(wú)法避免垃圾郵件或病毒郵件的傳送。垃圾郵件和病毒郵件是全球問(wèn)題，垃圾郵件和病毒郵件是破壞網(wǎng)絡(luò)營(yíng)銷環(huán)境的罪魁之一，垃圾郵件嚴(yán)重影響了客戶網(wǎng)上購(gòu)物的信心，從而進(jìn)一步危害到了電子商務(wù)網(wǎng)站的發(fā)展。垃圾郵件和病毒郵件對(duì)人們的影響不僅表現(xiàn)在時(shí)間上，而且也影響了安全。垃圾郵件和病毒郵件占用了大量的網(wǎng)絡(luò)資源。使得正常的業(yè)務(wù)運(yùn)作變得緩慢。

3、網(wǎng)絡(luò)仿冒

網(wǎng)絡(luò)仿冒也稱網(wǎng)絡(luò)欺詐或者釣魚攻擊等，是黑客使用欺詐郵件和虛假網(wǎng)頁(yè)信息設(shè)計(jì)來(lái)誘騙用戶提供信用卡賬號(hào)、銀行卡賬號(hào)、支付寶賬號(hào)、用戶名、密碼等，隨后利用騙得的賬號(hào)和密碼竊取受騙者財(cái)務(wù)。近年來(lái)，隨著電子商務(wù)、網(wǎng)上結(jié)算、網(wǎng)上銀行等業(yè)務(wù)在日常生活中的普及，網(wǎng)絡(luò)仿冒事件在我國(guó)層出不窮。網(wǎng)絡(luò)仿冒已經(jīng)成為影響互聯(lián)網(wǎng)應(yīng)用，特別是電子商務(wù)應(yīng)用的主要威脅之一。

網(wǎng)絡(luò)仿冒者為了逃避相關(guān)組織和管理機(jī)構(gòu)的打擊，充分利用互聯(lián)網(wǎng)的開(kāi)放性，往往會(huì)將仿冒網(wǎng)站建立在其他國(guó)家，而又利用第三國(guó)的郵件服務(wù)器來(lái)發(fā)送欺詐郵件，這樣既便是仿冒網(wǎng)站被人舉報(bào)，但是關(guān)閉仿冒網(wǎng)站就比較麻煩，對(duì)網(wǎng)絡(luò)欺詐者的追查就更困難了，這是現(xiàn)在網(wǎng)絡(luò)仿冒犯罪的主要趨勢(shì)之一。

4、IP地址盜用

目前IP地址盜用現(xiàn)象非常普遍，不僅影響了網(wǎng)絡(luò)的正常運(yùn)行，而且一般被盜用的地址權(quán)限都很高，因而也給用戶造成了較大的經(jīng)濟(jì)損失。IP地址盜用就是指運(yùn)用那些沒(méi)有經(jīng)過(guò)授權(quán)的IP地址，從而使得通過(guò)網(wǎng)上資源或隱藏身份進(jìn)行破壞網(wǎng)絡(luò)的行為的目的得以實(shí)現(xiàn)。目前，網(wǎng)絡(luò)上經(jīng)常會(huì)發(fā)生盜用IP地址，這不僅嚴(yán)重侵害了合法使用網(wǎng)絡(luò)人員的合法權(quán)益，而且還導(dǎo)致網(wǎng)絡(luò)安全和網(wǎng)絡(luò)正常工作受到負(fù)面影響。

5、拒絕服務(wù)攻擊

拒絕服務(wù)攻擊是指在互聯(lián)網(wǎng)上控制多臺(tái)或大量的計(jì)算機(jī)針對(duì)某一個(gè)特定的計(jì)算機(jī)同時(shí)不間斷進(jìn)行大規(guī)模的訪問(wèn)，使得被訪問(wèn)的計(jì)算機(jī)窮于應(yīng)付來(lái)勢(shì)兇猛的訪問(wèn)而無(wú)法提供正常的服務(wù)，相關(guān)系統(tǒng)癱瘓。拒絕服務(wù)攻擊是黑客常用的一種行之有效的方法。如果所調(diào)動(dòng)的攻擊計(jì)算機(jī)足夠多，則更難進(jìn)行處置。尤其是被蠕蟲侵襲過(guò)的計(jì)算機(jī)，很容易被利用而成為攻擊源，并且這類攻擊通常是跨網(wǎng)進(jìn)行的，加大了打擊犯罪的難度。

6、個(gè)人非法操作或設(shè)置不當(dāng)

個(gè)人無(wú)意的失誤，比如因?yàn)橛脩舭踩渲貌划?dāng)而導(dǎo)致系統(tǒng)出現(xiàn)安全漏洞，比如網(wǎng)絡(luò)用戶缺乏正確的網(wǎng)絡(luò)安全意識(shí)，口令設(shè)置及網(wǎng)絡(luò)帳號(hào)的隨意轉(zhuǎn)借都會(huì)帶來(lái)網(wǎng)絡(luò)安全的威脅。

三、確保計(jì)算機(jī)網(wǎng)絡(luò)安全的具體應(yīng)對(duì)策略

1、計(jì)算機(jī)病毒防治技術(shù)

在目前的網(wǎng)絡(luò)環(huán)境下，防范計(jì)算機(jī)病毒僅采用單一的方法來(lái)進(jìn)行病毒查殺已經(jīng)沒(méi)有太大意義，要想徹底清除網(wǎng)絡(luò)病毒，必須選擇與網(wǎng)絡(luò)適合的全方位防病毒產(chǎn)品。但是，沒(méi)有哪種殺毒軟件是萬(wàn)能的，所以當(dāng)本機(jī)的殺毒軟件無(wú)法找到病毒時(shí)，用戶可以到網(wǎng)上下載一些專殺工具，如木馬專殺工具、蠕蟲專殺工具或宏病毒專殺工具等。值得注意的是，安裝了殺毒軟件后，我們還必須每周至少更新一次殺毒軟件病毒庫(kù)，因?yàn)榉啦《拒浖挥凶钚虏攀亲钣行У?。每周還要對(duì)電腦硬盤進(jìn)行一次全面的掃描、殺毒，以便及時(shí)發(fā)現(xiàn)并清除隱藏在系統(tǒng)中的病毒。當(dāng)不慎感染上病毒時(shí)，應(yīng)立即將殺毒軟件升級(jí)到最新版本，然后對(duì)整個(gè)硬盤進(jìn)行掃描，清除一切可以查殺的病毒。當(dāng)受到網(wǎng)絡(luò)攻擊時(shí)，我們的第一反應(yīng)就是拔掉網(wǎng)絡(luò)連接端口以斷開(kāi)網(wǎng)絡(luò)。

2、防火墻和防毒墻技術(shù)

防火墻成為近年來(lái)新興的保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)性措施，是網(wǎng)絡(luò)安全的屏障，配置防火墻是實(shí)現(xiàn)網(wǎng)絡(luò)安全最基本、最經(jīng)濟(jì)、最有效的安全措施之一。常用的防火墻技術(shù)有包過(guò)濾技術(shù)、狀態(tài)檢測(cè)技術(shù)、應(yīng)用網(wǎng)關(guān)技術(shù)。防火墻通過(guò)軟件和硬件相結(jié)合，能在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間構(gòu)造起一個(gè)"保護(hù)層"，網(wǎng)絡(luò)內(nèi)外的所有通信都必須經(jīng)過(guò)此保護(hù)層進(jìn)行檢查與連接，只有授權(quán)允許的通信才能獲準(zhǔn)通過(guò)保護(hù)層。但是防火墻無(wú)法對(duì)合法數(shù)據(jù)包中存在的病毒進(jìn)行識(shí)別和阻斷，其病毒防護(hù)作用須依賴額外的硬件模塊。

防毒墻的功能則解決了防火墻在病毒防護(hù)方面的缺陷，它主要部署于網(wǎng)絡(luò)的入口處，對(duì)網(wǎng)絡(luò)傳輸過(guò)程中攜帶的病毒進(jìn)行初步過(guò)濾，從而有效阻止了僵尸網(wǎng)絡(luò)和蠕蟲網(wǎng)絡(luò)病毒的擴(kuò)散。

3、警惕“網(wǎng)絡(luò)釣魚”

"網(wǎng)絡(luò)釣魚"（phishing）是通過(guò)大量發(fā)送聲稱來(lái)自于銀行或其他知名機(jī)構(gòu)的欺騙性垃圾郵件，意圖引誘收信人給出敏感信息的一種攻擊方式。黑客就是利用這種欺騙性的電子郵件和偽造的web站點(diǎn)來(lái)進(jìn)行網(wǎng)絡(luò)詐騙活動(dòng)，受騙者往往會(huì)泄露自己的私人資料，如信用卡號(hào)、銀行卡賬戶、身份證號(hào)等內(nèi)容。黑客通常會(huì)將自己偽裝成網(wǎng)絡(luò)銀行、在線零售商和信用卡公司等可信的品牌，騙取用戶的私人信息。對(duì)此，用戶應(yīng)該提高警惕，不登錄不熟悉的網(wǎng)站，鍵入網(wǎng)站地址時(shí)要認(rèn)真校對(duì)，以防輸入錯(cuò)誤誤入圈套。

4、漏洞掃描技術(shù)

每一個(gè)操作系統(tǒng)或網(wǎng)絡(luò)軟件都不可能是無(wú)缺陷和漏洞的，因此有必要進(jìn)行漏洞掃描和修復(fù)。漏洞掃描技術(shù)是一項(xiàng)重要的主動(dòng)防范安全技術(shù)，可以自動(dòng)檢測(cè)遠(yuǎn)程或本地主機(jī)安全性上的弱點(diǎn)，讓網(wǎng)絡(luò)管理人員能在入侵者發(fā)現(xiàn)安全漏洞之前，找到并修補(bǔ)這些安全漏洞。它主要通過(guò)以下兩種方法來(lái)檢查目標(biāo)主機(jī)是否存在漏洞：在端口掃描后得知目標(biāo)主機(jī)開(kāi)啟的端口以及端口上的網(wǎng)絡(luò)服務(wù)，將這些相關(guān)信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫(kù)進(jìn)行匹配，查看是否有滿足匹配條件的漏洞存在等。

同時(shí)可以采用網(wǎng)絡(luò)安全檢測(cè)工具，它的主要功能就是用實(shí)踐性的方法掃描分析網(wǎng)絡(luò)系統(tǒng)，檢查報(bào)告系統(tǒng)存在的弱點(diǎn)和漏洞，建議采用補(bǔ)救措施和安全策略，從而達(dá)到增強(qiáng)網(wǎng)絡(luò)安全性的目的。它屬于網(wǎng)絡(luò)安全性評(píng)估分析軟件，其具備網(wǎng)絡(luò)監(jiān)控、分析功能和自動(dòng)響應(yīng)功能，能及時(shí)找出經(jīng)常發(fā)生問(wèn)題的根源所在；及時(shí)控制各種網(wǎng)絡(luò)安全危險(xiǎn)；進(jìn)行漏洞分析和響應(yīng)；進(jìn)行配置分析和響應(yīng)；進(jìn)行認(rèn)證和趨勢(shì)分析。

5、養(yǎng)成良好的上網(wǎng)習(xí)慣

（1）不要打開(kāi)來(lái)歷不明的郵件附件，因?yàn)楦郊锌赡馨?jì)算機(jī)病毒。（2）使用QQ、MSN等軟件工具聊天時(shí)，不要接收陌生人發(fā)來(lái)的任何文件，因?yàn)槲募锌赡馨《?；也不要輕易單擊對(duì)方從聊天窗口發(fā)過(guò)來(lái)的網(wǎng)頁(yè)鏈接信息，因?yàn)檫@些網(wǎng)頁(yè)可能包含病毒代碼。（3）不要訪問(wèn)一些低級(jí)粗俗的網(wǎng)站，這些網(wǎng)站的網(wǎng)頁(yè)中大多都包含惡意代碼，訪問(wèn)它時(shí)，病毒會(huì)通過(guò)網(wǎng)頁(yè)種植在用戶的電腦中。（4）不要下載一些來(lái)歷不明的軟件并安裝。許多不正規(guī)的下載網(wǎng)站提供的軟件可能包含病毒。（5）不要下載來(lái)歷不明的文件，因?yàn)槲募锌赡馨《尽?/p>

四、結(jié)語(yǔ)

計(jì)算機(jī)網(wǎng)絡(luò)安全是一項(xiàng)復(fù)雜的系統(tǒng)工程，涵蓋技術(shù)、網(wǎng)絡(luò)設(shè)備、管理手段及制度等多方面的因素，　制定安全解決方案需要從整體上進(jìn)行把握。網(wǎng)絡(luò)安全解決方案是綜合各種計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全技術(shù)，將防火墻和防毒墻技術(shù)、防火墻技術(shù)、入侵檢測(cè)技術(shù)、漏洞掃描技術(shù)等綜合起來(lái)形成一套完整的、協(xié)調(diào)一致的網(wǎng)絡(luò)安全防護(hù)體系。

（作者單位：武漢城市職業(yè)學(xué)院）

參考文獻(xiàn)：

[1]趙什，賈美娟.計(jì)算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀及對(duì)策[J].電腦學(xué)習(xí)，2010（4）：37-38.

[2]夏靜.淺析計(jì)算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀及對(duì)策[J].無(wú)線互聯(lián)科技，2011（7）：7-13.

篇3

關(guān)鍵詞：信息；安全；網(wǎng)絡(luò)；對(duì)策

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9599 (2011) 23-0000-01

Computer Network Security Opinions

Qin Meng

(Linyi University,Yishui College,Linyi 276400,China)

Abstract:With the rapid development of science and technology,people increasingly rely on in everyday life network,network and information security problem is getting attention.Once the destruction of computer information,individuals and units will have serious consequences.In this paper,to analyze network information safety factors and take appropriate countermeasures.

Keywords:Information;Security;Network;Measures

一、信息安全的概念

目前，我國(guó)《計(jì)算機(jī)信息安全保護(hù)條例》的權(quán)威定義是：通過(guò)計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)手段，使計(jì)算機(jī)系統(tǒng)的硬件、軟件、數(shù)據(jù)庫(kù)等受到保護(hù)，最大可能不因偶然的或惡意的因素而遭破壞、更改或泄密，系統(tǒng)能夠正常運(yùn)行，使用戶獲得對(duì)信息使用的安全感。其目的就是保護(hù)信息在加工處理過(guò)程中的安全，保持其原有的完整性，可靠性、可控性。

二、常見(jiàn)網(wǎng)絡(luò)系統(tǒng)安全因素剖析

（一）來(lái)自互聯(lián)網(wǎng)的病毒攻擊。目前，Internet網(wǎng)是計(jì)算機(jī)病毒的最主要的傳播途徑，所以聯(lián)網(wǎng)的廣大用戶很容易就受到來(lái)自網(wǎng)絡(luò)并不的攻擊。病毒攻擊的方式一般有如下幾種：一是可能會(huì)感染機(jī)器系統(tǒng)，使計(jì)算機(jī)運(yùn)行速度越來(lái)越慢，甚至癱瘓無(wú)法開(kāi)機(jī)；二是可能會(huì)大量占用網(wǎng)絡(luò)帶寬，阻塞網(wǎng)路，影響計(jì)算機(jī)的正常運(yùn)行；三是可能遠(yuǎn)程控制計(jì)算機(jī)系統(tǒng)，用戶對(duì)自己的計(jì)算機(jī)處在失控狀態(tài)中。（二）軟件本身的漏洞問(wèn)題。任何軟件都有漏洞，不存在沒(méi)有漏洞的軟件，這是客觀事實(shí)。更甚者，當(dāng)今盜版軟件泛濫，隨處都能下載，網(wǎng)絡(luò)用戶沒(méi)有安全意識(shí)，隨便下載安裝，給病毒滋生泛濫創(chuàng)造了合適的土壤。這些漏洞恰恰是非法用戶竊取用戶信息和破壞信息的主要途徑。我們常見(jiàn)的針對(duì)安全漏洞的攻擊有：一、利用協(xié)議。利用一些網(wǎng)絡(luò)協(xié)議的漏洞發(fā)動(dòng)攻擊，獲得系統(tǒng)的某項(xiàng)特權(quán)；二、超長(zhǎng)的指令。攻擊者利用該漏洞發(fā)送超出處理極限能力的超長(zhǎng)指令，造成系統(tǒng)無(wú)法運(yùn)行，使客戶機(jī)無(wú)法正常運(yùn)行；三、破譯。黑客通過(guò)破譯用戶密碼口令，非法入侵他人系統(tǒng)，直接獲取他人信息等違法活動(dòng)。（三）操作人員自身原因。網(wǎng)絡(luò)應(yīng)用領(lǐng)域不斷在擴(kuò)大，管理體制確跟不上去，有的單位只注重硬件建設(shè)，而忽視日常管理，人們對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全的認(rèn)識(shí)不足，安全制度不健全，隨時(shí)有可能出現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)被破壞。有的計(jì)算機(jī)操作管理人員工作不規(guī)范，沒(méi)有按操作規(guī)程處理信息，工作馬虎，不細(xì)心，出現(xiàn)錯(cuò)誤操作，使一些信息丟失或篡改。更甚者有的管理員工作失職，不負(fù)責(zé)任，隨便將單位或者重要部門的賬號(hào)轉(zhuǎn)借他人使用，從而造成信息的泄露。（四）用戶安全意識(shí)淡薄。用戶網(wǎng)絡(luò)安全意識(shí)淡薄是網(wǎng)絡(luò)安全領(lǐng)域所面臨的最大困難。要解決網(wǎng)絡(luò)安全問(wèn)題，首先應(yīng)該提高全民的安全意識(shí)，重在“防”，然后才是“治”，普及網(wǎng)絡(luò)用戶病毒防范意識(shí)，是減少網(wǎng)絡(luò)安全隱患的第一環(huán)，也是極其關(guān)鍵的一個(gè)環(huán)節(jié)。

三、網(wǎng)絡(luò)信息安全的應(yīng)對(duì)措施

（一）加強(qiáng)入網(wǎng)的訪問(wèn)控制。入網(wǎng)訪問(wèn)控制是網(wǎng)絡(luò)的第一道關(guān)口，用嚴(yán)格驗(yàn)證用戶賬號(hào)、口令等得方法來(lái)控制或制止用戶的非法訪問(wèn)。對(duì)用戶賬號(hào)、口令的格式長(zhǎng)短和編排次序等作嚴(yán)格的規(guī)定，盡量復(fù)雜無(wú)序化，而且要定期更換密碼口令，以防止他人竊取。目前金融機(jī)構(gòu)都是用了非常安全的加密認(rèn)證方法，我們可以借鑒這些安全的措施來(lái)保障自己或者單位的信息安全。（二）防范病毒。為了能有效地預(yù)防病毒并清除病毒，必須建立起有效的病毒防范體系，這包括漏洞檢測(cè)、病毒預(yù)防、病毒查殺、病毒隔離等措施，以提高對(duì)病毒的反應(yīng)速度，并有效加強(qiáng)對(duì)病毒的處理能力。主要從以下四個(gè)方面來(lái)闡述：（1）加強(qiáng)檢測(cè)。主要是采用專業(yè)工具對(duì)系統(tǒng)進(jìn)行查漏補(bǔ)缺，及時(shí)安裝補(bǔ)丁程序，避免病毒入侵。（2）防毒。要建立起良好的使用制度，養(yǎng)成良好的是用習(xí)慣。不要隨意使用外來(lái)光盤、移動(dòng)硬盤、U盤等存儲(chǔ)設(shè)備。如果使用，要先查毒殺毒，保證安全措施到位，做好病毒的防范體系免受病毒侵害。（3）殺毒。主要是利用病毒查殺工具對(duì)病毒實(shí)時(shí)檢測(cè)，清除已經(jīng)發(fā)現(xiàn)的病毒。要及時(shí)更新殺毒軟件，保證病毒庫(kù)是最新的。這樣才能保證查殺效率，才能對(duì)新出現(xiàn)的病毒進(jìn)行行之有效的查殺。（4）隔離。主要是對(duì)不能殺掉的病毒進(jìn)行隔離，以防病毒再次傳播。（三）數(shù)據(jù)加密傳輸。在信息傳輸過(guò)程中，為防止信息泄漏，被他人非法截獲，可對(duì)傳輸數(shù)據(jù)進(jìn)行加密，以密文的形式傳輸。即使在傳輸過(guò)程中被他人非法截獲，截獲者沒(méi)有相應(yīng)的解密法則，也無(wú)法破譯，從而保證信息傳輸中的安全。（四）采用防火墻技術(shù)。應(yīng)用過(guò)濾防火墻技術(shù)能實(shí)現(xiàn)對(duì)數(shù)據(jù)包的包頭進(jìn)行檢查，根據(jù)其IP源地址和目標(biāo)地址做出放行或丟棄決定，但對(duì)其攜帶的內(nèi)容不作檢查；應(yīng)用防火墻技術(shù)能對(duì)數(shù)據(jù)包所攜帶的內(nèi)容進(jìn)行檢查，但對(duì)數(shù)據(jù)包頭無(wú)法檢查。因此，綜合采用包過(guò)濾防火墻技術(shù)和防火墻技術(shù)，既能實(shí)現(xiàn)對(duì)數(shù)據(jù)包頭的檢查，又能實(shí)現(xiàn)對(duì)其攜帶內(nèi)容的檢查。（五）數(shù)據(jù)備份。一數(shù)據(jù)備份是管理員常用的一種數(shù)據(jù)保護(hù)措施，管理員要重視數(shù)據(jù)備份的重要性，是一個(gè)必要的防范措施；二管理員要嚴(yán)格執(zhí)行數(shù)據(jù)備份制度。要定期或不定期備份，對(duì)重要數(shù)據(jù)要有多個(gè)備份或者異地備份。因?yàn)闅⒍拒浖皇侨f(wàn)能的，以防萬(wàn)一，很有必要建立數(shù)據(jù)備份制度。（六）加強(qiáng)安全管理。安全管理對(duì)于計(jì)算機(jī)系統(tǒng)的安全以及可靠運(yùn)行具有十分重要的作用。就目前而言，應(yīng)做到以下幾點(diǎn)：（1）依法治網(wǎng)，樹(shù)立守法觀念，加強(qiáng)法制教育。要認(rèn)真學(xué)習(xí)有關(guān)計(jì)算機(jī)和網(wǎng)絡(luò)的一些法律知識(shí)，培養(yǎng)良好的法律意識(shí)。（2）完善各項(xiàng)規(guī)章制度，網(wǎng)絡(luò)管理的每個(gè)環(huán)節(jié)都要建立起規(guī)章制度，制定好應(yīng)急預(yù)案。對(duì)管理員要定期培訓(xùn)，提高其安全意識(shí)，增強(qiáng)其法制觀念。（3）建立檢查機(jī)制。定期或不定期地對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行安全例行檢查，要有記錄，看落實(shí)情況，以免流于形式。（七）培養(yǎng)用戶的信息安全意識(shí)。樹(shù)立新的信息安全應(yīng)用理念和使用習(xí)慣，主動(dòng)尋求適合自己的個(gè)性化安全解決方案，避免因網(wǎng)絡(luò)安全防范不到位而可能造成的不必要損失。要注意個(gè)人信息的保護(hù)，不要將個(gè)人信息隨意上傳，不要使用真實(shí)信息在網(wǎng)站上注冊(cè)等等，時(shí)時(shí)刻刻培養(yǎng)自己的信息安全意識(shí)。

以上是本人對(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息安全的初淺認(rèn)識(shí)。單位決策者不但思想上要高度重視，而且行動(dòng)上也要給予大力支持，包括財(cái)力和人力。只有這樣，才有可能保證單位用戶對(duì)網(wǎng)絡(luò)信息的安全使用。

參考文獻(xiàn)：

篇4

一、常見(jiàn)網(wǎng)絡(luò)攻擊類型

1、口令竊取

登錄一臺(tái)計(jì)算機(jī)最容易的方法就是采用口令進(jìn)入?？诹罡`取一直是網(wǎng)絡(luò)安全上的一個(gè)重要問(wèn)題，　口令的泄露往往意味這個(gè)系統(tǒng)的防護(hù)已經(jīng)被瓦解。

2、病毒和木馬攻擊

病毒和大馬攻擊是最原始的網(wǎng)絡(luò)攻擊的一種，但也是最普遍、最厲害的一種。病毒的攻擊可以對(duì)計(jì)算機(jī)造成毀滅性的破壞。特別是當(dāng)前許多病毒與木馬相互配合，不僅具有難查殺、難刪除的特點(diǎn)，而且還可以瞬間繁殖、快速傳播。

3、電子郵件攻擊

電子郵件已經(jīng)成為了　21　世紀(jì)不可或缺的一種通訊方式，越來(lái)越多的商務(wù)交際、公司貿(mào)易都應(yīng)用到了電子郵件。黑客通過(guò)使用郵件炸彈軟件或　CGI　程序向攻擊對(duì)象的郵箱不斷重復(fù)發(fā)送大量、無(wú)用的垃圾郵件，從而使該郵箱被撐爆而導(dǎo)致無(wú)法使用?；蜓鹧b管理員，給用戶發(fā)送附帶病毒或木馬程序的郵件。

4、拒絕服務(wù)攻擊

DoS　攻擊，全稱為　Deni　al　of　Servi　ce，又稱拒絕服務(wù)攻擊。簡(jiǎn)單地說(shuō)，就是攻擊者強(qiáng)行占用對(duì)方系統(tǒng)資源，讓系統(tǒng)超載而無(wú)法正常工作，直至該系統(tǒng)崩潰。常見(jiàn)的　DoS攻擊有以下幾種方式：①　破壞計(jì)算機(jī)之間的連接，阻止其訪問(wèn)服務(wù)。②　阻止特殊用戶的訪問(wèn)服務(wù)。③　試圖　HDOD服務(wù)器，阻止合法網(wǎng)絡(luò)通訊。④　破壞服務(wù)器的服務(wù)、導(dǎo)致服務(wù)器死機(jī)。

5、利用漏洞攻擊

漏洞是在程序、數(shù)據(jù)、硬件、軟件的具體實(shí)現(xiàn)或者系統(tǒng)的安全策略上所存在的缺陷。常見(jiàn)安全漏洞有：獲得遠(yuǎn)程管理員權(quán)限、獲得本地管理員權(quán)限、權(quán)限提升、遠(yuǎn)程拒絕服務(wù)、本地拒絕服務(wù)、服務(wù)器信息的泄露、遠(yuǎn)程未授權(quán)文件存取、普通用戶訪問(wèn)權(quán)限等等。通常，黑客首先利用一些專業(yè)的漏洞探測(cè)工具來(lái)檢測(cè)目標(biāo)系統(tǒng)的各種漏洞，然后借助漏洞在未授權(quán)的情況下訪問(wèn)或進(jìn)行有針對(duì)性的攻擊、破壞。尤其是一些未公布的漏洞，是黑客攻擊的首選。

6、TCP／IP　欺騙攻擊

IP　欺騙攻擊是通過(guò)路由偽造假地址，以假冒身份跟其他主機(jī)進(jìn)行合法的通信、或向其發(fā)送假報(bào)文，讓對(duì)方主機(jī)做出錯(cuò)誤指令的攻擊行為。具體來(lái)說(shuō)，IP欺騙攻擊一般是由多個(gè)過(guò)程進(jìn)行分工組合的，攻擊者首先利用基于　IP的信任關(guān)系，選擇一臺(tái)遠(yuǎn)程信任主機(jī)，并提取主機(jī)的　TCP　syn，用來(lái)預(yù)測(cè)下步連接序列號(hào)，從而可以成功偽裝被信任的遠(yuǎn)程計(jì)算機(jī)，然后建立起與目標(biāo)主機(jī)基于地址驗(yàn)證的應(yīng)用連接，一旦連接成功，攻擊者便可以取代被信任主機(jī)的角色，達(dá)到其不可告人的目的。

7、放置后門程序

不僅如此，攻擊者利用偽造的　IP地址發(fā)送數(shù)據(jù)報(bào)的同時(shí)，還可以預(yù)測(cè)　TCP　字節(jié)順序號(hào)，從而迫使接收方相信其合法而與之連接，以達(dá)到　TCP欺騙連接。

8、緩沖區(qū)溢出攻擊

緩沖區(qū)溢出攻擊主要是利用軟件自身的缺陷來(lái)進(jìn)行的攻擊，黑客們利用軟件漏洞向程序的緩沖區(qū)寫入超出其長(zhǎng)度要求的內(nèi)容，導(dǎo)致緩沖區(qū)溢出，并破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其他指令，從而達(dá)到攻擊的目的；或者是在該程序的緩沖區(qū)中加入一段自己的代碼，并以該代碼的起始地址覆蓋原函數(shù)的返回地址，這樣當(dāng)函數(shù)返回時(shí)，程序就轉(zhuǎn)而開(kāi)始執(zhí)行攻擊者自編的代碼了。

二、應(yīng)對(duì)網(wǎng)絡(luò)攻擊的防范措施

1、、設(shè)置安全密碼

密碼是系統(tǒng)的第一道屏障?？衫貌煌募用芗夹g(shù)對(duì)信息進(jìn)行交換，　實(shí)現(xiàn)信息的隱藏，　從而保護(hù)信息的安全。數(shù)字簽名是在公鑰密碼體制下很容易獲得的一種服務(wù)，　它的機(jī)制與手寫簽名類似，　單個(gè)實(shí)體在數(shù)據(jù)上簽名，　而其他的實(shí)體能夠讀取這個(gè)簽名并能驗(yàn)證其正確性，　它可以解決否認(rèn)、偽造、篡改及冒充等問(wèn)題。常用的數(shù)字簽名技術(shù)是　DSS　和　RSA　簽名。身份認(rèn)證是指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過(guò)程。

2、安裝防火墻

防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)之上的應(yīng)用性安全技術(shù)，　它越來(lái)越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境之中，　尤其以接入　Internet　為甚。防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，　能根據(jù)企業(yè)的安全政策控制（　允許、拒絕、監(jiān)測(cè)）　出入網(wǎng)絡(luò)的信息流，　且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，　實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上，　防火墻是一個(gè)分離器，　一個(gè)限制器，　也是一個(gè)分析器，　有效地監(jiān)控了內(nèi)部網(wǎng)和　Internet　之間的任何活動(dòng)，　保證了內(nèi)部網(wǎng)絡(luò)的安全。

3、安裝安全防護(hù)軟件

殺毒軟件選擇的基本原則是：殺毒效果好、界面友好、速度快、占用系統(tǒng)資源少。但是，任何一款殺毒軟件都無(wú)法保證你　100%　的安全。當(dāng)前的殺毒軟件都是以特征碼技術(shù)來(lái)檢測(cè)和查殺病毒的。因此，殺毒軟件需要不斷地升級(jí)才能夠查殺最新、最流行的病毒。殺毒軟件使用的是后期服務(wù)，只要是正版的殺毒軟件，都能得到持續(xù)不斷地升級(jí)和售后服務(wù)。當(dāng)然，一些優(yōu)秀的完全免費(fèi)的殺毒軟件也是非常不錯(cuò)的選擇。

4、安全掃描技術(shù)

安全掃描技術(shù)是為系統(tǒng)管理員能夠及時(shí)了解系統(tǒng)中存在的安全漏洞，　并采取相應(yīng)防范措施，　從而降低系統(tǒng)的安全風(fēng)險(xiǎn)而發(fā)展起來(lái)的一種安全技術(shù)。能夠有效地檢測(cè)網(wǎng)絡(luò)和主機(jī)中存在的薄弱點(diǎn)，　提醒用戶打上相應(yīng)的補(bǔ)丁，　有效地防止攻擊者利用已知的漏洞實(shí)施入侵，　但是無(wú)法防御攻擊者利用腳本漏洞和未知漏洞入侵。掃描技術(shù)主要體現(xiàn)在對(duì)安全掃描器的使用方面。

5、入侵檢測(cè)技術(shù)

入侵檢測(cè)系統(tǒng)（　Intrusion　Detection　System，IDS）　通過(guò)對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)包或者主機(jī)的日志等信息進(jìn)行提取、分析，　發(fā)現(xiàn)入侵和攻擊行為，　并對(duì)入侵或攻擊作出響應(yīng)，　是一種主動(dòng)防御技術(shù)。

6、蜜罐與蜜網(wǎng)技術(shù)

基于主動(dòng)防御理論而提出的蜜罐技術(shù)日益受到網(wǎng)絡(luò)安全領(lǐng)域的重視。蜜罐主要是通過(guò)精心布置的誘騙環(huán)境來(lái)吸引和容忍入侵，　進(jìn)而了解攻擊思路、攻擊工具和攻擊目的等行為信息，　特別是對(duì)各種未知攻擊行為信息的學(xué)習(xí)。蜜網(wǎng)作為蜜罐技術(shù)的高級(jí)學(xué)習(xí)工具，　不同于蜜罐技術(shù)的低級(jí)形式――單機(jī)蜜罐，　一般是由防火墻、路由器、入侵檢測(cè)系統(tǒng)以及一臺(tái)或多臺(tái)蜜罐主機(jī)組成的網(wǎng)絡(luò)系統(tǒng)。這種多元化系統(tǒng)能夠更多地揭示網(wǎng)絡(luò)攻擊特征，　極大地提高了蜜網(wǎng)系統(tǒng)檢測(cè)、分析、響應(yīng)和恢復(fù)受侵害系統(tǒng)的能力。

7、養(yǎng)成良好上網(wǎng)習(xí)慣

一是不去訪問(wèn)含有不健康信息的網(wǎng)站。病毒并不一定是以一個(gè)可執(zhí)行文件的形式出現(xiàn)的，它完全有可能是一段網(wǎng)頁(yè)程序腳本或是惡意代碼。當(dāng)計(jì)算機(jī)訪問(wèn)到含有這類腳本或代碼的網(wǎng)頁(yè)時(shí)其就會(huì)潛入進(jìn)計(jì)算機(jī)并激活。二是盡量去權(quán)威的大型下載站點(diǎn)下載軟件。很多不知名的下載站點(diǎn)在軟件下載頁(yè)都提供了眼花繚亂、以假亂真的下載鏈接，而事實(shí)上這些鏈接都是流氓軟件的鏈接，并不是真正的程序下載地址。三要盡量避免將　U　盤、內(nèi)存卡、移動(dòng)硬盤插入不安全的計(jì)算機(jī)中。這些移動(dòng)存儲(chǔ)設(shè)備也是計(jì)算機(jī)之間傳播病毒的橋梁，所以避免將這些設(shè)備與可能帶有病毒的計(jì)算機(jī)連接是重要的防護(hù)措施。

篇5

關(guān)鍵詞：入侵檢測(cè)技術(shù)；異常檢測(cè)；誤用檢測(cè)；IDS

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2011)15-3285-03

About Network Intrusion Detection Technology Research

HE Wen-bin

(College of Technology, Xiaogan University, Xiaogan 432000, China)

Abstract: With the rapid development of the computer network, people nowadays pay more attention to the security of the computer network, thus how to maintain such matter has become the focus of social concerns in the complicated and diversified network world. Currently, the technology of intrusion detection is a comparatively effective way to solve the condition of network attack, which adopts the computer network or some key points in the computer system to collect information and analyze it, thus discovering whether there is behavior against the security policy and signs of attack in the network or system. The technology of detection is one of the core technologies to ensure the security of the computer network, which has important significance and profound impacts on the network applications.

Key words: technology of intrusion detection; abnormal detection; misuse detection; IDS

近年來(lái)，網(wǎng)上黑客的攻擊活動(dòng)正以每年10倍的速度增長(zhǎng)。因此，保證計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)以及整個(gè)信息基礎(chǔ)設(shè)施的安全已經(jīng)成為刻不容緩的重要課題。入侵檢測(cè)技術(shù)是繼防火墻、數(shù)據(jù)加密等傳統(tǒng)安全保護(hù)措施后新一代的安全保障技術(shù)，它能對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為進(jìn)行識(shí)別和響應(yīng)[1]。

本文首先從概念、功能和檢測(cè)方法等方面入手介紹了計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)，然后從當(dāng)前網(wǎng)絡(luò)現(xiàn)狀出發(fā)分析了目前可采用的入侵檢測(cè)技術(shù),最后從多層次防御的角度出發(fā)提出了入侵檢測(cè)技術(shù)的發(fā)展方向。

1 常見(jiàn)網(wǎng)絡(luò)入侵方法的簡(jiǎn)析

隨著網(wǎng)絡(luò)的發(fā)展，人們對(duì)網(wǎng)絡(luò)的了解越來(lái)越深入和透徹。不過(guò)在這可喜的局面背后，卻出現(xiàn)了另一類網(wǎng)絡(luò)人群――黑客。為了捍衛(wèi)我們自己網(wǎng)絡(luò)的安全，了解黑客們常用的入侵手段是必不可少的。其常見(jiàn)的方法分為以下18種：

1）拒絕服務(wù)。進(jìn)攻者用大量的請(qǐng)求信息沖擊網(wǎng)站，從而有效地阻塞系統(tǒng)，使運(yùn)行速度變慢，甚至網(wǎng)站崩潰。這種使計(jì)算機(jī)過(guò)載的方法常常被用來(lái)掩蓋對(duì)網(wǎng)站的入侵。

2）掃描器。通過(guò)廣泛地掃描因特網(wǎng)來(lái)確定計(jì)算機(jī)、服務(wù)器和連接的類型。

3）嗅覺(jué)器。暗中搜尋正在網(wǎng)上傳輸?shù)膫€(gè)人網(wǎng)絡(luò)信息包，用以獲取密碼甚至整個(gè)信息包的內(nèi)容。

4）網(wǎng)上欺騙。偽造電子郵件，用它們哄騙用戶輸入關(guān)鍵信息，如郵箱賬號(hào)、個(gè)人密碼或信用卡等。

5）特洛伊木馬。這種程序包含有探測(cè)一些軟件弱點(diǎn)所在的指令，安裝在計(jì)算機(jī)上，用戶一般很難察覺(jué)。

6）后門。黑客為了防止原來(lái)進(jìn)入的通道被察覺(jué)，開(kāi)發(fā)的一些隱蔽進(jìn)入通道（俗稱“后門”）。

7）惡意小程序。一種微型程序，它能夠?yàn)E用計(jì)算機(jī)資源，修改硬盤上的文件，發(fā)出偽造的電子郵件以及偷竊密碼。

8）進(jìn)攻撥號(hào)程序。能夠自動(dòng)的撥出成千上萬(wàn)個(gè)電話號(hào)碼，用來(lái)搜尋一個(gè)通過(guò)調(diào)制解調(diào)器連接的進(jìn)入通道。

9）邏輯炸彈。是嵌入計(jì)算機(jī)軟件中的一種指令，它能夠觸發(fā)對(duì)計(jì)算機(jī)的惡意操作。

10）密碼破解。入侵者破解系統(tǒng)的登錄或管理密碼及其他一些關(guān)鍵口令。

11）社交工程。通過(guò)與沒(méi)有戒心的公司雇員交談，從中得到有價(jià)值的信息，從而獲得或猜出對(duì)方網(wǎng)絡(luò)的漏洞（如猜出密碼），進(jìn)而控制公司計(jì)算機(jī)系統(tǒng)。

12）垃圾搜尋。通過(guò)對(duì)公司垃圾的搜尋和分析，獲得有助于闖入這家公司計(jì)算機(jī)系統(tǒng)的有用信息。

13）系統(tǒng)漏洞。入侵者利用操作系統(tǒng)漏洞，進(jìn)入系統(tǒng)主機(jī)并獲取整個(gè)系統(tǒng)的控制權(quán)。

14）應(yīng)用程序漏洞。與系統(tǒng)漏洞的方式相似，也可能獲取整個(gè)系統(tǒng)的控制權(quán)。

15）配置漏洞。通常指系統(tǒng)管理員本身的錯(cuò)誤。

16）協(xié)議/設(shè)計(jì)漏洞。指通信協(xié)議或網(wǎng)絡(luò)設(shè)計(jì)本身存在的漏洞。

17）身份欺騙。包括用戶身份欺騙和IP地址欺騙，以及硬件地址欺騙和軟件地址欺騙。

18）炸彈。利用系統(tǒng)或程序的小毛病，對(duì)目標(biāo)發(fā)送大量的報(bào)文，或者非法的會(huì)引起系統(tǒng)出錯(cuò)的數(shù)據(jù)包等，導(dǎo)致系統(tǒng)或服務(wù)停止響應(yīng)、死機(jī)甚至重啟系統(tǒng)的攻擊。

2 網(wǎng)絡(luò)入侵檢測(cè)技術(shù)的概述

入侵檢測(cè)（Intrusion Detection）是對(duì)入侵行為的檢測(cè)，是指“通過(guò)對(duì)行為、安全日志或?qū)徲?jì)數(shù)據(jù)或其它網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作，檢測(cè)到對(duì)系統(tǒng)的闖入或闖入的企圖”。入侵檢測(cè)是檢測(cè)和響應(yīng)計(jì)算機(jī)誤用的學(xué)科，其作用包括威懾、檢測(cè)、響應(yīng)、損失情況評(píng)估、攻擊預(yù)測(cè)和支持。

入侵檢測(cè)是防火墻的合理補(bǔ)充，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測(cè)被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。

入侵檢測(cè)技術(shù)（IDS）可以被定義為對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為進(jìn)行識(shí)別和相應(yīng)處理的系統(tǒng)[2]。包括系統(tǒng)外部的入侵和內(nèi)部用戶的非授權(quán)行為，是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。

進(jìn)行入侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng)（IntrusionDetectionSystem，簡(jiǎn)稱IDS）[3]。入侵檢測(cè)系統(tǒng)的典型代表是ISS公司的RealSecure。它是計(jì)算機(jī)網(wǎng)絡(luò)上自動(dòng)實(shí)時(shí)的入侵檢測(cè)和響應(yīng)系統(tǒng)。它無(wú)妨礙地監(jiān)控網(wǎng)絡(luò)傳輸并自動(dòng)檢測(cè)和響應(yīng)可疑的行為，在系統(tǒng)受到危害之前截取和響應(yīng)安全漏洞和內(nèi)部誤用，從而最大程度地為企業(yè)網(wǎng)絡(luò)提供安全。

3 網(wǎng)絡(luò)入侵檢測(cè)技術(shù)的研究

3.1 異常入侵檢測(cè)技術(shù)

異常入侵檢測(cè)MD[4]（Anomaly Detection）又稱為基于行為的檢測(cè)，指根據(jù)使用者的行為或資源使用狀況的正常程度來(lái)判斷是否入侵，而不依賴于具體行為是否出現(xiàn)來(lái)檢測(cè)。其基本前提是：假定所有的入侵行為都是異常的。建立系統(tǒng)或用戶的“正?！毙袨樘卣鬏喞ㄟ^(guò)比較當(dāng)前的系統(tǒng)或用戶的行為是否偏離正常的行為特征輪廓來(lái)判斷是否發(fā)生了入侵。此方法不依賴于是否表現(xiàn)出具體行為來(lái)進(jìn)行檢測(cè)，是一種間接的方法。

常用的方法有：統(tǒng)計(jì)異常檢測(cè)方法、基于特征選擇異常檢測(cè)方法、基于貝葉斯推理異常檢測(cè)方法、基于貝葉斯網(wǎng)絡(luò)異常檢測(cè)方法、基于模式預(yù)測(cè)異常檢測(cè)方法、基于神經(jīng)網(wǎng)絡(luò)異常檢測(cè)方法、基于機(jī)器學(xué)習(xí)異常檢測(cè)方法、基于數(shù)據(jù)采掘異常檢測(cè)方法。

采用異常檢測(cè)的關(guān)鍵問(wèn)題有如下兩個(gè)方面：

1）特征量的選擇。在建立系統(tǒng)或用戶的行為特征輪廓的正常模型時(shí)，選取的特征量既要能準(zhǔn)確地體現(xiàn)系統(tǒng)或用戶的行為特征，又能使模型最優(yōu)化，即以最少的特征量就能涵蓋系統(tǒng)或用戶的行為特征。

2）參考閾值的選定。由于異常檢測(cè)是以正常的特征輪廓作為比較的參考基準(zhǔn)，閾值設(shè)定得過(guò)大，那漏警率會(huì)很高；閾值設(shè)定的過(guò)小，則虛警率就會(huì)提高。因此，合適的參考閾值的選定是決定這一檢測(cè)方法準(zhǔn)確率的至關(guān)重要的因素。

由此可見(jiàn)，異常檢測(cè)技術(shù)難點(diǎn)是“正?！毙袨樘卣鬏喞拇_定、特征量的選取、特征輪廓的更新。由于受這幾個(gè)因素的制約，異常檢測(cè)的虛警率很高，但對(duì)于未知的入侵行為的檢測(cè)非常有效。

3.2 誤用入侵檢測(cè)技術(shù)

誤用入侵檢測(cè)[5]又稱為基于知識(shí)的檢測(cè)，是指根據(jù)已知的入侵模式來(lái)檢測(cè)入侵。其基本前提是：假定所有可能的入侵行為都能被識(shí)別和表示。對(duì)已知的攻擊方法進(jìn)行攻擊簽名（指用一種特定的方式來(lái)表示已知的攻擊模式）表示，然后根據(jù)已經(jīng)定義好的攻擊簽名，通過(guò)判斷這些攻擊簽名是否出現(xiàn)來(lái)判斷入侵行為的發(fā)生與否。此方法是依據(jù)是否出現(xiàn)攻擊簽名來(lái)判斷入侵行為，是一種直接的方法。

常用的方法有：基于條件概率誤用入侵檢測(cè)方法、基于專家系統(tǒng)誤用入侵檢測(cè)方法、基于狀態(tài)遷移分析誤用入侵檢測(cè)方法、基于鍵盤監(jiān)控誤用入侵檢測(cè)方法、基于模型誤用入侵檢測(cè)方法。

誤用檢測(cè)的關(guān)鍵問(wèn)題是攻擊簽名的正確表示。誤用入侵檢測(cè)將收集到的信息與已知的攻擊簽名模式庫(kù)進(jìn)行比較，從中發(fā)現(xiàn)違背安全策略的行為。由于只需要收集相關(guān)的數(shù)據(jù)，這樣系統(tǒng)的負(fù)擔(dān)明顯減少。該方法類似于病毒檢測(cè)系統(tǒng)，其檢測(cè)的準(zhǔn)確率和效率都比較高。但是它也存在一些缺點(diǎn)。

1）不能檢測(cè)未知的入侵行為。其檢測(cè)機(jī)理是對(duì)已知的入侵方法進(jìn)行模式提取，然而對(duì)于未知的入侵方法就不能進(jìn)行有效的檢測(cè)。也就是說(shuō)漏警率比較高。

2）與系統(tǒng)的相關(guān)性很強(qiáng)。對(duì)于不同實(shí)現(xiàn)機(jī)制的操作系統(tǒng)，由于攻擊的方法不盡相同，很難定義出統(tǒng)一的模式庫(kù)。另外，誤用檢測(cè)技術(shù)也難以檢測(cè)出內(nèi)部人員的入侵行為。

4 常用入侵檢測(cè)系統(tǒng)

4.1入侵檢測(cè)系統(tǒng)的主要功能

1）監(jiān)視分析用戶及系統(tǒng)活動(dòng)；

2）核查系統(tǒng)配置和漏洞；

3）識(shí)別已知攻擊的行為并向相關(guān)人士報(bào)警；

4）異常行為模式的統(tǒng)計(jì)分析；

5）評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性；

6）操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略的行為。

4.2 常用入侵檢測(cè)系統(tǒng)模型簡(jiǎn)介

4.2.1 Denning模型

1987 年Denning 提出了一種抽象的通用入侵檢測(cè)的模型。該模型主要由主體、對(duì)象、審計(jì)記錄、活動(dòng)簡(jiǎn)檔、異常記錄、活動(dòng)規(guī)則6部分組成，如圖1所示。

4.2.2 入侵檢測(cè)系統(tǒng)的CIDF模型

為了使分布于不同主機(jī)上的IDS能夠相互通信，交換檢測(cè)數(shù)據(jù)和分析結(jié)果，以檢測(cè)跨時(shí)間段的大范圍攻擊，Stuart Staniford-Chen等人提出了公共入侵檢測(cè)框架Common Intrusion Detection Framework，簡(jiǎn)稱CIDF[6]。該模型主要由事件生成器、事件分析器、事件數(shù)據(jù)庫(kù)、事件響應(yīng)器4部分組成，如圖2所示。

5 結(jié)束語(yǔ)

該文介紹的Denning模型和CIDF模型能夠有效的檢測(cè)出網(wǎng)絡(luò)入侵行為，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)具有相當(dāng)?shù)谋Ｗo(hù)作用。入侵檢測(cè)作為一種積極主動(dòng)的安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，使網(wǎng)絡(luò)系統(tǒng)在受到危害之前即攔截和響應(yīng)入侵行為，為網(wǎng)絡(luò)安全增加一道屏障。我們相信，隨著入侵檢測(cè)技術(shù)的研究與開(kāi)發(fā)，并在實(shí)際應(yīng)用中與其它網(wǎng)絡(luò)管理軟件相結(jié)合，使網(wǎng)絡(luò)安全可以從立體縱深、多層次防御的角度出發(fā)，形成人侵檢測(cè)、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)監(jiān)控三位一體化，從而更加有效地保護(hù)網(wǎng)絡(luò)的安全。

參考文獻(xiàn)：

[1] 常秉琨,李莉.計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2009(4).

[2] 李建華.入侵檢測(cè)技術(shù)[M].北京:清華大學(xué)出版社,2008.

[3] 楊智君.入侵檢測(cè)技術(shù)研究綜述[J].計(jì)算機(jī)工程與設(shè)計(jì),2006,27(12).

[4] 宋連濤.基于異常的入侵檢測(cè)技術(shù)研究[D].南京:河海大學(xué),2006.

[5] 宋世杰.基于序列模式挖掘的誤用入侵檢測(cè)系統(tǒng)及其關(guān)鍵技術(shù)研究[J].計(jì)算機(jī)科學(xué)與技術(shù),2006(3).

篇6

關(guān)鍵詞：校園網(wǎng)；網(wǎng)絡(luò)安全；IPS；流控；IPv6

中圖分類號(hào)：TP315 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1673-8454(2012)09-0033-04

一、前言

在大力推動(dòng)高校信息化過(guò)程中，校園網(wǎng)絡(luò)得到了快速發(fā)展。校園網(wǎng)作為高校信息化建設(shè)的重要基礎(chǔ)設(shè)施，為學(xué)校教學(xué)、科研提供先進(jìn)的信息化教學(xué)環(huán)境，同時(shí)為師生提供網(wǎng)絡(luò)接入、綜合信息服務(wù)等，校園網(wǎng)已經(jīng)成為學(xué)校日常工作中不可或缺的一部分。在Internet快速發(fā)展過(guò)程中暴露出一系列問(wèn)題，其中網(wǎng)絡(luò)安全問(wèn)題尤其突出，校園網(wǎng)作為Internet的重要組成部分，由于自身在網(wǎng)絡(luò)安全方面的弱點(diǎn)，使其成為網(wǎng)絡(luò)安全的重災(zāi)區(qū)，每年因?yàn)榫W(wǎng)絡(luò)安全事件給高校造成財(cái)產(chǎn)、聲譽(yù)等巨大的損失。校園網(wǎng)絡(luò)安全建設(shè)是一個(gè)系統(tǒng)工程，它包含防火墻、入侵防御檢測(cè)、防病毒、網(wǎng)絡(luò)行為審計(jì)、漏洞掃描、災(zāi)難備份、安全集中管理等一系列安全措施。本文將詳細(xì)分析校園網(wǎng)現(xiàn)狀及用戶特點(diǎn)，并針對(duì)影響整個(gè)校園網(wǎng)運(yùn)行的安全事件進(jìn)行分析，如造成校園網(wǎng)整體或部分區(qū)域斷網(wǎng)、訪問(wèn)延遲的事件等，最后提出保障校園網(wǎng)網(wǎng)絡(luò)安全的基本措施。

二、校園網(wǎng)安全現(xiàn)狀及特點(diǎn)

校園網(wǎng)是一個(gè)集計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)、信息管理、辦公自動(dòng)化和信息等功能于一體的綜合信息平臺(tái)，是一個(gè)終端、服務(wù)器、網(wǎng)絡(luò)設(shè)備、用戶眾多的復(fù)雜的局域網(wǎng)，通過(guò)有線、無(wú)線實(shí)現(xiàn)互聯(lián)和數(shù)據(jù)傳輸。校園網(wǎng)的這些特點(diǎn)決定了在網(wǎng)絡(luò)安全管理方面的復(fù)雜性。分析研究校園網(wǎng)安全現(xiàn)狀可以從多個(gè)方面入手，主要的分析手段包括IDS、IPS等入侵檢測(cè)系統(tǒng)以及系統(tǒng)漏洞分析系統(tǒng)。在本文中將通過(guò)流量控制系統(tǒng)、入侵檢測(cè)系統(tǒng)、脆弱掃描分析系統(tǒng)等對(duì)校園網(wǎng)安全現(xiàn)狀進(jìn)行分析研究。校園網(wǎng)的安全現(xiàn)狀及特點(diǎn)可以分為以下幾方面：

1．活躍用戶眾多，安全意識(shí)淡薄

隨著經(jīng)濟(jì)的快速發(fā)展，擁有一臺(tái)個(gè)人計(jì)算機(jī)對(duì)于現(xiàn)在的大學(xué)生來(lái)說(shuō)已經(jīng)不再是一件不能想象的事，計(jì)算機(jī)技術(shù)也成為大學(xué)生的必修課。校園網(wǎng)的用戶群體非常龐大，少則數(shù)千人、多則數(shù)萬(wàn)人。中國(guó)的高校學(xué)生一般集中住宿，因而用戶非常密集。正是由于高帶寬和大用戶量的特點(diǎn)，網(wǎng)絡(luò)安全問(wèn)題蔓延快、對(duì)網(wǎng)絡(luò)的影響嚴(yán)重。除此之外，大學(xué)生對(duì)新鮮事物的好奇心，驅(qū)使他們更愿意去嘗試和挑戰(zhàn)網(wǎng)絡(luò)新技術(shù)，如果沒(méi)有意識(shí)到后果的嚴(yán)重性，可能對(duì)網(wǎng)絡(luò)造成一定的影響和破壞。校園網(wǎng)用戶眾多，但真正有網(wǎng)絡(luò)安全意識(shí)的用戶卻少的可憐，大多數(shù)用戶對(duì)于自己的PC機(jī)只做簡(jiǎn)單的系統(tǒng)默認(rèn)防護(hù)，因此成為了校外攻擊的主要攻擊目標(biāo)，除了會(huì)對(duì)個(gè)人信息、財(cái)產(chǎn)造成損失外，還有大量的PC機(jī)成為“僵尸主機(jī)”，成為了被非法分子利用攻擊他人的“肉機(jī)”，或者作為攻擊校園網(wǎng)的跳板。

2．盜版資源泛濫

由于缺乏版權(quán)意識(shí)，盜版軟件、影視資源在校園網(wǎng)中普遍使用，這些軟件的傳播一方面占用了大量的網(wǎng)絡(luò)帶寬，另一方面也給網(wǎng)絡(luò)安全帶來(lái)了一定的隱患。比如，Microsoft公司對(duì)盜版的XP操作系統(tǒng)的更新作了限制，盜版安裝的計(jì)算機(jī)系統(tǒng)今后會(huì)留下大量的安全漏洞。另一方面，從網(wǎng)絡(luò)上隨意下載的軟件中很多都隱藏木馬、后門等惡意代碼，如不進(jìn)行檢測(cè)直接運(yùn)行安裝將很容易被攻擊者侵入和利用。

3．應(yīng)用服務(wù)管理不規(guī)范

隨著互聯(lián)網(wǎng)應(yīng)用的增加以及師生對(duì)互聯(lián)網(wǎng)資源需求的快速增長(zhǎng)，校內(nèi)各院系組織都建立起了自己的應(yīng)用服務(wù)器，其中包括Web應(yīng)用、FTP服務(wù)、BBS、高性能計(jì)算服務(wù)等等，這些服務(wù)部署分散、管理松散，大多數(shù)沒(méi)有做安全防范，因此極容易受到攻擊。這些服務(wù)雖然不是學(xué)校統(tǒng)一管理，但一旦受到攻擊將嚴(yán)重影響學(xué)校網(wǎng)絡(luò)和學(xué)校的聲譽(yù)。如圖1所示為我校某天的實(shí)時(shí)流量監(jiān)控圖，可以看出在21：00至22：00流量達(dá)到了頂峰，這時(shí)已經(jīng)造成了整個(gè)校園網(wǎng)的丟包率在50%以上，整個(gè)校園網(wǎng)幾乎癱瘓。

經(jīng)過(guò)排查，最終發(fā)現(xiàn)為服務(wù)器區(qū)的某臺(tái)服務(wù)器被攻擊，斷開(kāi)該服務(wù)器網(wǎng)絡(luò)后，校園網(wǎng)恢復(fù)正常，圖2為局部網(wǎng)絡(luò)拓?fù)洌梢?jiàn)圖中下方斜線處流量已經(jīng)達(dá)800多兆。通過(guò)查看該服務(wù)器記錄，得知該服務(wù)器為新入網(wǎng)機(jī)器，操作系統(tǒng)安裝后并未做任何安全措施，也沒(méi)有更新必要的安全補(bǔ)丁。

三、校園網(wǎng)常見(jiàn)安全問(wèn)題分析

1．流量類型分析

流量控制系統(tǒng)是校園網(wǎng)中應(yīng)用比較廣泛的網(wǎng)絡(luò)管理系統(tǒng)，近年來(lái)以P2P協(xié)議為核心的下載工具的大量應(yīng)用，在給用戶帶來(lái)高速下載的同時(shí)也給網(wǎng)絡(luò)帶寬帶來(lái)巨大的挑戰(zhàn)，因此網(wǎng)絡(luò)管理者開(kāi)始應(yīng)用流量控制系統(tǒng)以監(jiān)控和管理這些流量來(lái)保證其他流量的正常傳輸。如果不對(duì)P2P流量進(jìn)行限制，它將占滿整個(gè)網(wǎng)絡(luò)帶寬，使整個(gè)校園網(wǎng)訪問(wèn)出現(xiàn)巨大延遲。除了P2P流量外，某些中毒的PC機(jī)或服務(wù)器也會(huì)出現(xiàn)向外發(fā)送大流量的情況，如UDP泛洪攻擊、蠕蟲攻擊等。圖3所示為我校IPS對(duì)網(wǎng)絡(luò)事件的監(jiān)測(cè)分析圖，從圖上可以看到校園網(wǎng)絡(luò)中存在大量的P2P流量。

2．攻擊方式分析

（1）探測(cè)掃描

網(wǎng)絡(luò)攻擊者在發(fā)動(dòng)攻擊之前必定會(huì)對(duì)目標(biāo)網(wǎng)絡(luò)進(jìn)行探測(cè)以找出網(wǎng)絡(luò)漏洞以備攻擊，因此在對(duì)網(wǎng)絡(luò)監(jiān)控過(guò)程中將會(huì)發(fā)現(xiàn)大量的網(wǎng)絡(luò)探測(cè)事件。圖4為我校10天的網(wǎng)絡(luò)事件監(jiān)測(cè)分布圖，其中排在第一位的便是Traceroute ICMP/IPOPT掃描探測(cè)類事件的相關(guān)操作，這其中有正常的操作當(dāng)然也有很多非法的嗅探，由此可見(jiàn)網(wǎng)絡(luò)攻擊者無(wú)時(shí)無(wú)刻不在關(guān)注著校園的網(wǎng)絡(luò)安全漏洞。

（2）跨站腳本攻擊

跨站腳本攻擊是指在遠(yuǎn)程Web頁(yè)面的HTML代碼中插入惡意代碼，用戶誤認(rèn)為該頁(yè)面是可信賴的，當(dāng)用戶打開(kāi)該頁(yè)面，瀏覽器會(huì)自動(dòng)下載惡意代碼，運(yùn)行其中的腳本。腳本注入事件屬于Web安全問(wèn)題范疇，它指攻擊者利用Web應(yīng)用系統(tǒng)不對(duì)用戶輸入數(shù)據(jù)進(jìn)行嚴(yán)格檢查和過(guò)濾的缺陷，主動(dòng)通過(guò)用戶輸入域注入具有惡意性質(zhì)的腳本片段。攻擊者可以利用的用戶輸入域包括URL參數(shù)、表單域、Cookie域等，一般通過(guò)標(biāo)簽來(lái)注入腳本，或者通過(guò)其他HTML標(biāo)簽的屬性賦值來(lái)注入腳本。這些注入的腳本片段將反射到被攻擊者Web客戶端并在被攻擊主機(jī)的Web客戶端上執(zhí)行，從而達(dá)到惡意攻擊目的，包括竊取客戶端敏感信息，或者在用戶無(wú)法覺(jué)察的情況下發(fā)送具有惡意性質(zhì)或者可能導(dǎo)致嚴(yán)重后果的HTTP請(qǐng)求。跨站腳本攻擊是一種在校園網(wǎng)中發(fā)生頻率非常高的網(wǎng)絡(luò)安全事件，每天在IPS監(jiān)控中可以看到大量的報(bào)警信息。從學(xué)校網(wǎng)絡(luò)管理者的角度來(lái)看，可將跨站腳本攻擊分為兩類，一類是校內(nèi)某應(yīng)用系統(tǒng)被植入腳本，當(dāng)校內(nèi)用戶訪問(wèn)該用戶時(shí)對(duì)用戶發(fā)起攻擊行為，第二類是校外的應(yīng)用系統(tǒng)被植入腳本，當(dāng)校內(nèi)用戶訪問(wèn)時(shí)對(duì)用戶發(fā)起攻擊，相對(duì)而言前者對(duì)校園網(wǎng)的危害更大一些，但一般不會(huì)對(duì)整個(gè)校園網(wǎng)整體運(yùn)行造成危害。

（3）SQL 注入

SQL 注入是攻擊者通過(guò)輸入惡意的請(qǐng)求直接操作數(shù)據(jù)庫(kù)服務(wù)器的攻擊技巧。SQL注入是應(yīng)用系統(tǒng)中最常見(jiàn)同時(shí)也是危害最大的一類弱點(diǎn)。導(dǎo)致SQL注入的基本原因是由于應(yīng)用程序?qū)τ脩舻妮斎霙](méi)有進(jìn)行安全性檢查，從而使得用戶可以自行輸入SQL查詢語(yǔ)句，對(duì)數(shù)據(jù)庫(kù)中的信息進(jìn)行瀏覽、查詢、更新?；赟QL注入的攻擊方法多種多樣，而且有很多變形，這也是傳統(tǒng)工具難以發(fā)現(xiàn)和定位的。利用SQL注入漏洞可以構(gòu)成對(duì)Web服務(wù)器的直接攻擊，還可能用于網(wǎng)頁(yè)掛馬，導(dǎo)致機(jī)密數(shù)據(jù)如電子商務(wù)網(wǎng)站的客戶信息等泄漏；服務(wù)器被控制；后臺(tái)數(shù)據(jù)庫(kù)執(zhí)行非授權(quán)的查詢、修改、刪除；泄露認(rèn)證相關(guān)的敏感信息，導(dǎo)致攻擊者控制Web應(yīng)用、網(wǎng)站數(shù)據(jù)的惡意破壞。每年在高校招生的一段時(shí)間內(nèi)，都有眾多高校的招生網(wǎng)站被掛馬，因此給學(xué)校和考生帶來(lái)非常大的損失。

（4）DDoS攻擊

DDoS攻擊是Distributed Denial of Service (分布式拒絕服務(wù)攻擊)很多DoS攻擊源一起攻擊某臺(tái)服務(wù)器就組成了DDoS攻擊。[1]最基本的DoS攻擊就是利用合理的服務(wù)請(qǐng)求來(lái)占用過(guò)多的服務(wù)資源，從而使服務(wù)器無(wú)法處理合法用戶的指令。常見(jiàn)的有SYN Flood、TCP Flood、UDP Flood、ICMP Flood及其變種Land、Teardrop、Smurf、Ping of Death等等?！DoS攻擊是一種可以造成大規(guī)模破壞的黑客武器，它通過(guò)制造偽造的流量，使得被攻擊的服務(wù)器、網(wǎng)絡(luò)鏈路或是網(wǎng)絡(luò)設(shè)備(如防火墻、路由器等)負(fù)載過(guò)高，從而最終導(dǎo)致系統(tǒng)崩潰，無(wú)法提供正常的服務(wù)。隨著各種業(yè)務(wù)對(duì)Internet依賴程度的日益加強(qiáng)，DDoS攻擊所帶來(lái)的損失也愈加嚴(yán)重。包括運(yùn)營(yíng)商、企業(yè)及政府機(jī)構(gòu)的各種用戶時(shí)刻都受到了DDoS攻擊的威脅，而未來(lái)更加強(qiáng)大的攻擊工具的出現(xiàn)，為日后發(fā)動(dòng)數(shù)量更多、破壞力更強(qiáng)的DDoS攻擊帶來(lái)可能。

圖5為我校2011年8月4日的校園網(wǎng)流量圖，可以看出在18：20至18：30左右和19：50至20：00點(diǎn)間校園網(wǎng)總出口流量異常，在此期間整個(gè)校園網(wǎng)幾乎無(wú)法訪問(wèn)。IPS設(shè)備報(bào)警顯示網(wǎng)絡(luò)受到UDP-Flood淹沒(méi)拒絕服務(wù)攻擊。通過(guò)對(duì)相應(yīng)外網(wǎng)攻擊IP和校內(nèi)被攻擊IP做了訪問(wèn)限制，網(wǎng)絡(luò)恢復(fù)正常。

（5）ARP病毒

ARP病毒并不是某一種病毒的名稱，而是對(duì)利用ARP協(xié)議的漏洞進(jìn)行傳播的一類病毒的總稱。ARP協(xié)議是TCP/IP協(xié)議組的一個(gè)協(xié)議，用于把網(wǎng)絡(luò)地址翻譯成物理地址（又稱MAC地址）。[2]通常此類攻擊的手段有兩種：路由欺騙和網(wǎng)關(guān)欺騙。ARP是一種入侵電腦的木馬病毒。當(dāng)病毒發(fā)作時(shí)會(huì)發(fā)出大量的數(shù)據(jù)包導(dǎo)致局域網(wǎng)通訊擁塞，造成該交換機(jī)資源耗盡，導(dǎo)致大量用戶無(wú)法上網(wǎng)或訪問(wèn)速度緩慢。如圖6所示為我校某宿舍樓ARP監(jiān)測(cè)記錄，因一臺(tái)PC機(jī)中ARP病毒導(dǎo)致其他學(xué)生無(wú)法上網(wǎng)。從圖上可以看出該網(wǎng)段內(nèi)所有IP地址對(duì)外呈現(xiàn)一個(gè)MAC地址和一個(gè)交換機(jī)端口，可見(jiàn)ARP病毒將自己宣稱為網(wǎng)關(guān)致使所有PC機(jī)將流量轉(zhuǎn)移到該中毒PC上。

四、防護(hù)措施

1．有效利用網(wǎng)絡(luò)管理系統(tǒng)

強(qiáng)有力的技術(shù)手段是網(wǎng)絡(luò)安全的重要保證，網(wǎng)絡(luò)管理人員應(yīng)在網(wǎng)絡(luò)出現(xiàn)問(wèn)題時(shí)在最短的時(shí)間內(nèi)解決問(wèn)題。有效地利用入侵檢測(cè)系統(tǒng)、流量監(jiān)控系統(tǒng)、網(wǎng)絡(luò)管理系統(tǒng)來(lái)定位網(wǎng)絡(luò)故障點(diǎn)，并進(jìn)行有效處理。入侵檢測(cè)系統(tǒng)能最早地對(duì)網(wǎng)絡(luò)安全事件進(jìn)行報(bào)警，通知管理人員防止事件蔓延，網(wǎng)絡(luò)管理員通過(guò)入侵檢測(cè)系統(tǒng)報(bào)警的信息通過(guò)網(wǎng)絡(luò)管理系統(tǒng)查看網(wǎng)絡(luò)拓?fù)鋱D，網(wǎng)絡(luò)設(shè)備信息具體定位到某一區(qū)域的某幾臺(tái)設(shè)備，并對(duì)其進(jìn)行相應(yīng)處理。根據(jù)問(wèn)題設(shè)備的不同用途和安全事件類型進(jìn)行不同的處理，包括關(guān)閉該設(shè)備的外網(wǎng)訪問(wèn)、限制流量、限制連接數(shù)等措施。

2．校園網(wǎng)真實(shí)源地址驗(yàn)證

目前因特網(wǎng)大多數(shù)采用IPv4協(xié)議，由于互聯(lián)網(wǎng)在近幾年的飛速發(fā)展，IPv4協(xié)議自身的局限性日漸凸顯，嚴(yán)重制約著網(wǎng)絡(luò)的進(jìn)一步發(fā)展，尤其是枯竭的地址及安全問(wèn)題，由此產(chǎn)生的以IPv6協(xié)議為基礎(chǔ)的下一代互聯(lián)網(wǎng)在很大程度上順應(yīng)了網(wǎng)絡(luò)的發(fā)展要求。針對(duì)IPv6主機(jī)的安全合法接入問(wèn)題，清華大學(xué)于2009年4月提出SAVI源地址合法性檢驗(yàn)RFC草案，該草案主要講述了IPv4/IPv6的CPS（Control Packet Snooping）原理，根據(jù)CPS原理在接入設(shè)備上建立基于源地址、錨（MAC地址和接入設(shè)備的端口）綁定關(guān)系，從而可以判斷從接入設(shè)備的指定端口接收到的報(bào)文的源地址的有效性。源地址匹配綁定表項(xiàng)的數(shù)據(jù)才允許轉(zhuǎn)發(fā)，保證網(wǎng)絡(luò)上數(shù)據(jù)分組源地址的真實(shí)性。過(guò)濾表項(xiàng)用來(lái)對(duì)數(shù)據(jù)報(bào)文進(jìn)行過(guò)濾。過(guò)濾表項(xiàng)的綁定表的一個(gè)子集，只有源地址存在于過(guò)濾表中的數(shù)據(jù)報(bào)文才能允許通過(guò)。地址過(guò)濾表主要是將表項(xiàng)綁定到硬件接口上，由硬件進(jìn)行源地址過(guò)濾，指定的用戶只能從指定的接口接入。硬件綁定支持“僅IPv6地址”模式和“IPv6+MAC”模式兩種綁定。前者檢查報(bào)文（VID，源IP地址，端口）的匹配關(guān)系，后者檢查報(bào)文（VID，源MAC地址，源IP地址，端口）的匹配關(guān)系。我?，F(xiàn)已經(jīng)實(shí)現(xiàn)了教學(xué)科研區(qū)、學(xué)生宿舍區(qū)的IPv6全覆蓋，并通過(guò)校園網(wǎng)真實(shí)地址驗(yàn)證系管理系統(tǒng)對(duì)其進(jìn)行監(jiān)測(cè)，實(shí)時(shí)發(fā)現(xiàn)非法IP和非法訪問(wèn)，圖7為我校校園網(wǎng)真實(shí)地址驗(yàn)證管理系統(tǒng)監(jiān)控報(bào)警信息。

3．服務(wù)器的統(tǒng)一規(guī)范管理

信息網(wǎng)絡(luò)中心作為學(xué)校網(wǎng)絡(luò)的服務(wù)提供者應(yīng)將校內(nèi)各單位Web服務(wù)、FTP服務(wù)等集中放置在信息網(wǎng)絡(luò)中心的服務(wù)器上，服務(wù)器由信息網(wǎng)絡(luò)中心統(tǒng)一管理，內(nèi)容的更新由各單位負(fù)責(zé)并通過(guò)遠(yuǎn)程維護(hù)，信息網(wǎng)絡(luò)中心為各單位提供統(tǒng)一的動(dòng)態(tài)信息平臺(tái)。具備服務(wù)器運(yùn)行環(huán)境，并需獨(dú)立運(yùn)行和維護(hù)服務(wù)器的單位，需經(jīng)信息網(wǎng)絡(luò)中心批準(zhǔn)后方可自行管理維護(hù)。統(tǒng)一的管理便于部署統(tǒng)一的安全策略，大大提高資源的有效性和安全性。對(duì)服務(wù)器的入網(wǎng)進(jìn)行統(tǒng)一管理，沒(méi)有達(dá)到網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的禁止入網(wǎng)，網(wǎng)絡(luò)中心負(fù)責(zé)全校IP地址的管理與分配，對(duì)于新入網(wǎng)的服務(wù)器必須要求其填寫服務(wù)器相關(guān)信息，明確服務(wù)用途，服務(wù)上架完成后，由信息網(wǎng)絡(luò)中心進(jìn)行安全檢測(cè)和端口掃描，根據(jù)用戶填寫的服務(wù)用途要求用戶關(guān)閉不相關(guān)的端口和服務(wù)，安全檢測(cè)通過(guò)后允許用戶連接外網(wǎng)。定期進(jìn)行安全評(píng)估，幫助校園網(wǎng)管理者對(duì)目前自己的網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用的缺陷有相對(duì)直觀的認(rèn)識(shí)和了解，及時(shí)發(fā)現(xiàn)問(wèn)題并采取相應(yīng)安全措施。安全評(píng)估利用網(wǎng)絡(luò)安全掃描器、專用安全測(cè)試工具對(duì)網(wǎng)絡(luò)中的核心服務(wù)器及重要的網(wǎng)絡(luò)設(shè)備，包括服務(wù)器、網(wǎng)絡(luò)設(shè)備、防火墻等進(jìn)行安全檢查并結(jié)合非破壞性質(zhì)的模擬黑客攻擊，目的是侵入系統(tǒng)并獲取機(jī)密信息并將入侵的過(guò)程和細(xì)節(jié)產(chǎn)生報(bào)告給用戶。網(wǎng)絡(luò)管理者通過(guò)這些報(bào)告對(duì)網(wǎng)絡(luò)設(shè)備及信息系統(tǒng)進(jìn)行安全加固，預(yù)防網(wǎng)絡(luò)安全事件的發(fā)生。

4．校外人員接入安全

校外人員接入分為師生對(duì)校內(nèi)資源的訪問(wèn)和工作人員遠(yuǎn)程對(duì)校內(nèi)網(wǎng)絡(luò)設(shè)備的訪問(wèn)。在校師生出差或不在校內(nèi)時(shí)有訪問(wèn)校內(nèi)資源的需求，學(xué)校開(kāi)放這些資源的同時(shí)也帶來(lái)一定安全方面的問(wèn)題，SSL VPN的接入方式很好地解決了這方面的問(wèn)題，為校外師生訪問(wèn)校內(nèi)資源提供了安全可靠的訪問(wèn)方式。我校信息網(wǎng)絡(luò)中心目前有核心設(shè)備近百臺(tái)，包括防火墻網(wǎng)絡(luò)、路由器、交換機(jī)、重要服務(wù)器等。每臺(tái)設(shè)備出問(wèn)題，都會(huì)影響到學(xué)校部分甚至整個(gè)的網(wǎng)絡(luò)和工作，而每臺(tái)設(shè)備都由兩人或多人共同管理維護(hù)，還有公司人員協(xié)助管理維護(hù)。另外學(xué)校在建的很多網(wǎng)絡(luò)工程需要公司的參與，校外公司人員需長(zhǎng)期參與和維護(hù)校內(nèi)網(wǎng)絡(luò)設(shè)備，因此需要給這些人員建立一種專門的訪問(wèn)方式。如果無(wú)法記錄每臺(tái)設(shè)備的操作歷史，出現(xiàn)問(wèn)題將無(wú)法查找，操作安全問(wèn)題無(wú)法解決；另外，設(shè)備較多，密碼的管理和維護(hù)比較困難，設(shè)備的安全性比較低。為解決這一問(wèn)題，我校建立了網(wǎng)絡(luò)核心設(shè)備安全管理系統(tǒng)（堡壘主機(jī)系統(tǒng)）統(tǒng)一管理網(wǎng)絡(luò)設(shè)備及部分核心服務(wù)器，校外人員通過(guò)合法的身份進(jìn)入堡壘主機(jī)，通過(guò)堡壘主機(jī)去訪問(wèn)網(wǎng)絡(luò)設(shè)備，作為學(xué)校網(wǎng)絡(luò)管理者可以掌握并審計(jì)這些人員的操作行為，做到行為可查詢、可審計(jì)。

五、結(jié)束語(yǔ)

高校校園網(wǎng)絡(luò)的高速發(fā)展在很大程度上推動(dòng)了學(xué)校的發(fā)展，同時(shí)日益突出的網(wǎng)絡(luò)安全問(wèn)題嚴(yán)重影響了網(wǎng)絡(luò)健康發(fā)展。本文從高校網(wǎng)絡(luò)管理者的角度結(jié)合日常工作，通過(guò)分析校園網(wǎng)運(yùn)行數(shù)據(jù)提出解決校園網(wǎng)網(wǎng)絡(luò)安全的措施，高校網(wǎng)絡(luò)安全需要有完善的軟硬件環(huán)境，更需要有完善的可執(zhí)行的規(guī)章制度。

參考文獻(xiàn)：

篇7

關(guān)鍵詞：木馬；攻擊；發(fā)展趨勢(shì)；產(chǎn)業(yè)鏈

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：a DoI: 10.3969/j.issn.1003-6970.2012.02.051

New Development of Trojan and How We Respond To

JIa Jian-zhong(Urumqi vocational university, Urumqi Xinjiang, 830001)

【Abstract】with the develop of Internet business,the trojan industry has recently appeared the trend of Group.It is a serious threat to

the security of Internet users. This article first discusses the trend of the past two years, Trojan development of new trends and technology development,then discussed how to cut off the industrial chain, routine safety protection of computer user, website security and the management of payment platform on the internet.

【Key words】trojan; attack; Development trends; Industrial chain

0 引 言

木馬程序是一種以竊取網(wǎng)絡(luò)用戶信息為目的的惡意程序。自產(chǎn)生之日起，木馬程序就對(duì)網(wǎng)絡(luò)安全造成嚴(yán)重危害。木馬通常不會(huì)直接攻擊計(jì)算機(jī)軟硬件系統(tǒng),但其危害性更勝過(guò)一般意義上的病毒。木馬技術(shù)以無(wú)所不用其極的手段、靈活的應(yīng)變、花樣百出的偽裝在個(gè)人電腦病毒防御技術(shù)迅速發(fā)展的今天，依然保持著強(qiáng)盛的生命力。金山公司在2012年2月的中國(guó)互聯(lián)網(wǎng)安全研究報(bào)告中列舉的2011年度影響最大的十大病毒中木馬程序有4個(gè)，另有4個(gè)病毒與木馬構(gòu)成混合侵害。國(guó)家國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心2011年10月、11月的計(jì)算機(jī)病毒疫情分析中列舉的5項(xiàng)病毒動(dòng)態(tài)中，各有3項(xiàng)為木馬及其變種，可見(jiàn)木馬程序危害性之大。目前，國(guó)內(nèi)木馬產(chǎn)業(yè)每年的非法收益在百億元人民幣以上。

1 木馬入侵的新動(dòng)向

1.1 惡意推廣及垃圾廣告

這種木馬主要通過(guò)惡意網(wǎng)站誘導(dǎo)用戶點(diǎn)擊后采用自行安裝、網(wǎng)頁(yè)掛馬、與正常軟件捆綁等形式傳播。其表現(xiàn)形式有自動(dòng)彈出廣告窗口;偽造圖標(biāo)進(jìn)入推銷網(wǎng)站或惡意站點(diǎn)；篡改主頁(yè)為某流氓網(wǎng)站；偽裝為其他軟件，點(diǎn)擊后自動(dòng)釋放大量流氓軟件等。這種木馬主要達(dá)成為侵害實(shí)施者爭(zhēng)取推廣費(fèi)、提高點(diǎn)擊率等目的，相對(duì)來(lái)講危害性不強(qiáng)但使人厭煩。從殺除的角度講比較容易，但因?yàn)槠浣?jīng)常變換形式，隨意性強(qiáng)，木馬宿主種類繁多，故各大殺毒軟件很少出專殺工具，使人防不勝防。

1.2 信息盜取的針對(duì)性增強(qiáng)

自木馬產(chǎn)生以來(lái)，信息竊取即為其主要目的，近兩年的一個(gè)發(fā)展趨勢(shì)是，木馬設(shè)計(jì)和傳播者對(duì)惡作劇式的、炫耀式的大面積撒網(wǎng)攻擊不再有興趣，而是對(duì)于能夠產(chǎn)生某種非法所得目標(biāo)明確的攻擊加強(qiáng)力度，呈現(xiàn)一種成熟化、精細(xì)化發(fā)展的趨勢(shì)。從竊取信息的種類來(lái)看主要有（1）盜取網(wǎng)銀賬戶的木馬。（2）盜取網(wǎng)游賬號(hào)或其它游戲賬號(hào)的密碼，甚至于出現(xiàn)針對(duì)某個(gè)游戲設(shè)計(jì)的木馬，如：攻擊魔獸世界網(wǎng)游的魔獸木馬（Trojan/ PSW.Moshou）及其變種。（3）專門盜取股票賬戶的木馬。從手段上分有2種：一是在投資、證券網(wǎng)站上掛馬引誘用戶下載，中招后定時(shí)檢索有無(wú)交易流量，通過(guò)截屏、偷盜用戶股票交易密碼，如：能夠?qū)⒔灰状翱谶M(jìn)行截屏發(fā)送給控制端的win32. troj.soufan木馬；二是木馬設(shè)計(jì)具有侵害針對(duì)性，如：使用rootkit技術(shù)隱藏于系統(tǒng)進(jìn)程空間的Tigger/Syzor木馬，這種木馬可對(duì)證券、期貨交易人員的計(jì)算機(jī)進(jìn)行有選擇的攻擊，具有欺騙性的是這種木馬還可以幫助受侵害的計(jì)算機(jī)殺除可能存在的幾十種其他惡意病毒，以達(dá)到更好的減輕侵害癥狀、隱藏自己的目的。（4）針對(duì)淘寶等電子商務(wù)網(wǎng)站用戶實(shí)施的盜取。 此類木馬以竊取淘寶買家的支付寶、網(wǎng)銀賬號(hào)或賬上資金為目標(biāo)，采用制作假冒淘寶網(wǎng)頁(yè)，在假淘寶與真淘寶之間設(shè)立鏈接來(lái)迷惑用戶將支付賬號(hào)提交到控制端；或在淘寶網(wǎng)上注冊(cè)商鋪，以頁(yè)面中的有毒鏈接誘騙用戶點(diǎn)擊植入木馬后用假冒的支付頁(yè)面將支付款直接轉(zhuǎn)入黑客賬戶；或在正常的付款、退款過(guò)程中截取密碼信息及資金。(5)針對(duì)智能手機(jī)通訊錄及賬號(hào)的盜取。智能手機(jī)因?yàn)槠浞?wù)類型多樣、資費(fèi)方式靈活的特點(diǎn)成為木馬入侵的一個(gè)新重點(diǎn)，手機(jī)上的個(gè)人信息相對(duì)于個(gè)人電腦來(lái)講更為集中和私密。木馬主要盜取手機(jī)的通訊錄、手機(jī)銀行支付賬號(hào)密碼，更具危害性的是間諜木馬，一旦下載運(yùn)行，其可以打開(kāi)手機(jī)的聽(tīng)筒從遠(yuǎn)端監(jiān)聽(tīng)用戶通話[1]。（6）針對(duì)特定部門、組織的郵件木馬。此類木馬針對(duì)政府機(jī)構(gòu)、特定行業(yè)或某個(gè)公司的用戶郵箱進(jìn)行網(wǎng)頁(yè)或附件下載形式的木馬植入。郵件網(wǎng)頁(yè)中含有惡意轉(zhuǎn)向代碼，輔以可能感興趣的內(nèi)容誘騙用戶點(diǎn)擊后轉(zhuǎn)向指定網(wǎng)站自動(dòng)運(yùn)行植入。遭侵害的計(jì)算機(jī)硬盤遭惡意掃描，重要商業(yè)信息或機(jī)密文件被傳至黑客客戶端。（7）針對(duì)CAD圖紙?jiān)O(shè)計(jì)的木馬。這是一款間諜木馬，通過(guò)郵件偽裝下載傳播，如果用戶的計(jì)算機(jī)安裝了AUTOCAD軟件，則在木馬運(yùn)行狀態(tài)下打開(kāi)的圖紙將被定向發(fā)送。（8）針對(duì)銀行、企業(yè)、商業(yè)組織的“刷庫(kù)”木馬。此類木馬專攻以上機(jī)構(gòu)的數(shù)據(jù)庫(kù)信息，一旦成功則意味著大量的用戶信息甚至賬戶信息的集體泄露，危害深遠(yuǎn)。2011年上半年國(guó)際貨幣基金組織、索尼、宏基的數(shù)據(jù)庫(kù)遭受此類攻擊，造成嚴(yán)重泄密，尤其是索尼公司泄密用戶

信息達(dá)到一億人次[2]。

1.3 注重系統(tǒng)攻擊深度及破壞性

反木馬技術(shù)的發(fā)展使得木馬植入的難度越來(lái)越大，一些木馬黑客高手開(kāi)始著眼于對(duì)計(jì)算機(jī)系統(tǒng)底層技術(shù)的應(yīng)用以加深攻擊深度和查殺難度。有代表性的有BIOS木馬、MBR木馬等，一旦中招，輕則丟失數(shù)據(jù)、重裝系統(tǒng)，重則重刷BIOS芯片才可恢復(fù)。

MBR木馬可修改受侵害計(jì)算機(jī)操作系統(tǒng)所在的磁盤主引導(dǎo)記錄（MBR），使得木馬代碼在操作系統(tǒng)內(nèi)核中運(yùn)行并且在計(jì)算機(jī)啟動(dòng)時(shí)，先于殺毒軟件運(yùn)行，故可繞過(guò)防護(hù)系統(tǒng)并實(shí)施盜號(hào)等侵犯手段。若想修復(fù)，通常得重新格式化操作系統(tǒng)分區(qū)并用fdisk/MBR命令重寫硬盤主引導(dǎo)區(qū)。2011年流行的鬼影3木馬就是這類木馬的代表。

BIOS木馬則更加陰險(xiǎn)，因?yàn)榛据斎胼敵鱿到y(tǒng)(Basic Input/Output System,BIOS)運(yùn)行于特權(quán)模式，甚至早于操作系統(tǒng)獲取計(jì)算機(jī)控制權(quán)[3]。故能將惡意代碼嵌入BIOS閃存的木馬可獲得系統(tǒng)底層控制權(quán)并輕易獲取操作系統(tǒng)管理權(quán)，后實(shí)施常見(jiàn)攻擊。常見(jiàn)的殺毒軟件難以應(yīng)付，格式化或更換硬盤、重裝系統(tǒng)也不能清除，只有重新修改BIOS閃存。2011年位列十大木馬程序之首的BMW(Bios Rootkit)木馬可同時(shí)修改BIOS及MBR,破壞力驚人。

1.4 欺騙性及隱匿性

木馬程序的欺騙性和隱匿性是其生存的必備手段。從發(fā)展趨勢(shì)來(lái)看，近年來(lái)隨著網(wǎng)絡(luò)服務(wù)的不斷豐富，各類木馬及其變種用盡手段誘騙用戶安裝并難以察覺(jué)。有代表性的方法有：（1）攻擊某些防護(hù)措施弱的軟件下載網(wǎng)站，甚至自建惡意網(wǎng)站，將木馬代碼隱匿于軟件安裝文件中，正常軟件和木馬同步安裝完成。（2）直接替換正常程序文件，在執(zhí)行被入侵程序的同時(shí)激活木馬。（3）修改注冊(cè)表，偽裝成病毒庫(kù)升級(jí)包、系統(tǒng)補(bǔ)丁等常用組件，供用戶下載，有些還有可驗(yàn)證的數(shù)字簽名。（4）修改合法程序加載惡意代碼或替換部分軟件、網(wǎng)頁(yè)的界面，真里有假，迷惑用戶點(diǎn)擊操作。（5）將自身命名為系統(tǒng)進(jìn)程、系統(tǒng)服務(wù)、驅(qū)動(dòng)程序名稱或直接修改系統(tǒng)進(jìn)程融入惡意代碼，并結(jié)合對(duì)注冊(cè)表的修改隱匿自身。（6）為防止追查來(lái)源，木馬安裝完成后即銷毀原木馬文件。近年來(lái)木馬的欺詐、隱匿手段花樣翻新，一旦被檢測(cè)出，即不斷推出變種，增加生存幾率。

1.5 混合型攻擊

木馬技術(shù)的發(fā)展向著混合型、多種手段并用的方向邁進(jìn)。具體體現(xiàn)為木馬和其他類型的病毒的結(jié)合。如：通過(guò)病毒感染木馬，通過(guò)木馬下載病毒或其他木馬，用多種渠道入侵的木馬，可以同時(shí)竊取多種信息、賬號(hào)的木馬。具有蠕蟲特性的木馬等?；旌闲湍抉R具有危害性大、難以徹底清除等特點(diǎn)。

1.6 智能手機(jī)成為新目標(biāo)

目前我國(guó)智能手機(jī)用戶占到所有手機(jī)用戶的30%以上。智能手機(jī)業(yè)務(wù)種類繁多，且多數(shù)與資費(fèi)有關(guān)，如果用戶確認(rèn)預(yù)定某項(xiàng)服務(wù)，資費(fèi)可直接由運(yùn)營(yíng)商從賬戶上在線結(jié)算。手機(jī)信息存儲(chǔ)想對(duì)于普通的PC機(jī)更具私密性，如：通訊率，短信，彩信、SIM序列號(hào)等。手機(jī)銀行、證券業(yè)務(wù)由其方便、不受環(huán)境地點(diǎn)限制的優(yōu)勢(shì)越來(lái)越受到用戶的青睞。智能手機(jī)的以上特點(diǎn)受到了木馬制作者的極大重視。據(jù)360安全中心的《2011年中國(guó)手機(jī)安全狀況報(bào)告》中指出：2011年新發(fā)現(xiàn)木馬及其它惡意手機(jī)程序8700多個(gè)，造成超過(guò)2700萬(wàn)人次智能手機(jī)被感染。另?yè)?jù)網(wǎng)秦手機(jī)安全中心統(tǒng)計(jì)2010年新增手機(jī)惡意程序數(shù)量超過(guò)前5年總和，而直接或間接和木馬有關(guān)的惡意程序超過(guò)了50%。智能手機(jī)木馬主要侵害方式有：（1）盜取用戶手機(jī)內(nèi)存儲(chǔ)的各類信息及用戶輸入的賬號(hào)密碼。（2）和不良SP服務(wù)商勾結(jié)訂制高資費(fèi)業(yè)務(wù)。（3）主動(dòng)下載大量信息，消耗網(wǎng)絡(luò)流量。（4）破壞智能手機(jī)操作系統(tǒng)、造成運(yùn)行故障。（5）遠(yuǎn)程控制手機(jī)，打開(kāi)聽(tīng)筒，實(shí)時(shí)竊聽(tīng)用戶的通話記錄。隨著智能手機(jī)操作系統(tǒng)、cpu、存儲(chǔ)容量的不斷升級(jí)以及移動(dòng)互聯(lián)網(wǎng)絡(luò)服務(wù)項(xiàng)目增加、速度提升，木馬入侵的危害性和風(fēng)險(xiǎn)急劇上升。

2 如何應(yīng)對(duì)新木馬的危害

2.1 網(wǎng)站安全及監(jiān)督

木馬傳播的途徑主要有：網(wǎng)頁(yè)掛馬，程序或數(shù)據(jù)下載，即時(shí)通訊傳播，郵件附件傳播，移動(dòng)存儲(chǔ)設(shè)備傳播等。其中軟件下載、網(wǎng)購(gòu)入侵、QQ、MSN等即時(shí)通訊程序傳送為2011年木馬傳播的主要途徑，占有70%左右的份額[2]。通過(guò)互聯(lián)網(wǎng)傳播的

木馬中相當(dāng)大比重的木馬直接來(lái)自于網(wǎng)站或者與用戶瀏覽網(wǎng)頁(yè)有間接關(guān)系。而我國(guó)僅在2010年就有35000家左右的網(wǎng)站遭遇惡意入侵。由此可見(jiàn)網(wǎng)站的安全對(duì)避免木馬侵害有著重大意義。保障網(wǎng)站安全有兩個(gè)層面的工作：一是合法網(wǎng)站尤其是涉及到支付業(yè)務(wù)、數(shù)據(jù)下載、信息統(tǒng)計(jì)等網(wǎng)站的安全防護(hù)，目前很多重要部門的網(wǎng)站安全形勢(shì)依然非常嚴(yán)峻，技術(shù)手段、人員素質(zhì)及責(zé)任意識(shí)均亟待提高。二是加強(qiáng)對(duì)網(wǎng)站的監(jiān)管和立法。網(wǎng)站監(jiān)管一直以來(lái)都是一個(gè)相對(duì)薄弱的環(huán)節(jié)。面對(duì)逐年攀升的網(wǎng)站數(shù)量，如何從服務(wù)提供者、執(zhí)法部門技術(shù)力量及設(shè)備投入、查處途徑、國(guó)際合作等環(huán)節(jié)加強(qiáng)網(wǎng)站管理和信息過(guò)濾是值得深思的。目前，大量惡意網(wǎng)站將其服務(wù)器架設(shè)在境外逃避打擊，增加了查處的難度。另外，按照互聯(lián)網(wǎng)業(yè)務(wù)的發(fā)展趨勢(shì)和服務(wù)走向，立法部門制訂并細(xì)化相關(guān)法律法規(guī)使之具有可操作性和針對(duì)性是十分必要的。

2.2 安全防護(hù)的警惕性和及時(shí)性

在殺毒技術(shù)發(fā)展較成熟的今天，木馬入侵的難度實(shí)際上是比較大的，再厲害的木馬程序少則一日多則數(shù)日都會(huì)被發(fā)現(xiàn)并遏制。此情況促使木馬制作者以不斷推出各類變種來(lái)升級(jí)木馬程序，和殺毒軟件展開(kāi)拉鋸戰(zhàn)。我們應(yīng)注意到安全防護(hù)系統(tǒng)對(duì)木馬變種是有一個(gè)反應(yīng)時(shí)間的，在新的升級(jí)到來(lái)以前變種侵害威脅最大。故無(wú)論是普通用戶還是網(wǎng)絡(luò)管理員、論壇版主、網(wǎng)站維護(hù)人員對(duì)自己網(wǎng)絡(luò)設(shè)備、普通PC、智能終端的安全防護(hù)意識(shí)不可有一刻的放松，安全防護(hù)手段不可有一時(shí)的疏漏。木馬入侵需要用戶或多或少的“配合“，對(duì)付它最好的辦法是避免危險(xiǎn)操作，防患于未然。以一名普通用戶來(lái)說(shuō)應(yīng)注意到以下幾點(diǎn)：（1）及時(shí)安裝殺毒軟件、防火墻并升級(jí)病毒庫(kù)。（2）有選擇的上網(wǎng)，不上黃站、來(lái)源不明的網(wǎng)站。對(duì)于經(jīng)常使用在線支付、網(wǎng)上購(gòu)物、網(wǎng)銀、炒股軟件的人尤其應(yīng)該注意到這一點(diǎn)（3）堅(jiān)信天上不會(huì)掉餡餅，不要輕易相信所謂中獎(jiǎng)信息、友善提示，不要配合操作。（4）不要點(diǎn)擊那些自己彈出來(lái)的不明窗口，如果這樣的情況近幾天很頻繁或者伴有主頁(yè)被綁定的情節(jié)，終止瀏覽器進(jìn)程并使用專門的軟件進(jìn)行清理。（5）在口碑好、來(lái)源明確的網(wǎng)站下載軟件。不要馬上運(yùn)行安裝程序，先用殺毒軟件查毒。（6）安裝軟件的過(guò)程中發(fā)現(xiàn)有捆綁安裝其它軟件或組件的情況，不要勾選那些捆綁軟件或退出安裝。（7）不要輕易打開(kāi)來(lái)源不明的郵件及附件，尤其是有鏈接的網(wǎng)頁(yè)形式的郵件。（8）QQ上陌生人發(fā)來(lái)的有鏈接的消息不要點(diǎn)擊，文件不要接收。（9）移動(dòng)存儲(chǔ)設(shè)備插入后先查毒再打開(kāi)。（10）記住那些常用網(wǎng)站的URL，要知道現(xiàn)在有不少假冒網(wǎng)站可以給你展現(xiàn)一個(gè)幾乎一模一樣的頁(yè)面，尤其是對(duì)于購(gòu)物網(wǎng)站，先查看一下域名是不是正確的。

2.3 斬?cái)嗄抉R產(chǎn)業(yè)鏈

目前，我國(guó)已形成了一條集制作、批發(fā)、、零售一條龍服務(wù)的木馬產(chǎn)業(yè)鏈。自2009年以來(lái)，每年木馬產(chǎn)業(yè)給不法分子帶來(lái)的非法所得及給用戶造成的直接損失高達(dá)100億元人民幣，從業(yè)人員預(yù)計(jì)在10萬(wàn)人左右。據(jù)《2010-2011中國(guó)互聯(lián)網(wǎng)安全研究報(bào)告》的分析，目前的木馬侵害呈集團(tuán)式發(fā)展趨勢(shì)，80%左右的木馬傳播、銷售、獲利渠道被有組織的犯罪集團(tuán)控制。這些木馬經(jīng)營(yíng)組織甚至已經(jīng)形成了壟斷商、區(qū)域總、地區(qū)等成熟的分銷渠道。要達(dá)到對(duì)木馬產(chǎn)業(yè)發(fā)展當(dāng)頭一棒的效果，只依靠對(duì)個(gè)別重大侵害事件的立案處理、嚴(yán)厲打擊是不夠的，應(yīng)從仔細(xì)分析其產(chǎn)業(yè)形成的外部環(huán)境、內(nèi)部利益關(guān)系、所涉及的人員類型和組織形式、聯(lián)系渠道的角度入手，對(duì)其中某些重要環(huán)節(jié)所涉及的部門、人員進(jìn)行有效管理和監(jiān)督，有效“打斷”產(chǎn)業(yè)鏈條，降低發(fā)展層次。目前，可以在以下幾個(gè)方面著手：（1）加強(qiáng)對(duì)網(wǎng)站從業(yè)人員的監(jiān)督、教育，逐步建立網(wǎng)站安全評(píng)級(jí)體系。（2）建立軟件從業(yè)人員的信譽(yù)檔案、規(guī)范其行為。（3）加強(qiáng)對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施運(yùn)營(yíng)部門的管理，促使其不給或少給木馬獲利者利用網(wǎng)絡(luò)平臺(tái)發(fā)起大范圍攻擊的機(jī)會(huì)。（4）加強(qiáng)網(wǎng)絡(luò)安全監(jiān)管隊(duì)伍的組織建設(shè)和技術(shù)力量。（5）嚴(yán)厲打擊利用QQ群、博客等平臺(tái)建立的木馬交易中心。（6）加強(qiáng)立法及地方法規(guī)建設(shè)，使之對(duì)網(wǎng)絡(luò)平臺(tái)犯罪具有更好的針對(duì)性和可操作性。

圖1 木馬產(chǎn)業(yè)鏈?zhǔn)疽鈭D

2.4 加強(qiáng)網(wǎng)上交易的第三方支付機(jī)構(gòu)管理及功能建設(shè)

目前，網(wǎng)上購(gòu)物已近被廣大互聯(lián)網(wǎng)用戶所接受。網(wǎng)購(gòu)木馬趁勢(shì)而動(dòng)，采用盜取用戶支付賬號(hào)、密碼或者截取支付款項(xiàng)到另外一個(gè)第三方支付平臺(tái)下的盜取賬號(hào)等手段給網(wǎng)民造成極大損失。。目前國(guó)內(nèi)約有300 多家第三方支付機(jī)構(gòu)，大都有互聯(lián)網(wǎng)支付、手機(jī)支付業(yè)務(wù)[3]。這些支付平臺(tái)站在買房和賣方中間人的角度，為保障電子商務(wù)的繁榮發(fā)展做出了很大貢獻(xiàn)。但是也有很多支付機(jī)構(gòu)忽略了計(jì)算機(jī)黑客這個(gè)第三者的問(wèn)題，對(duì)于電子支付的安全保護(hù)、對(duì)于支付軟件本身安全漏洞、對(duì)于支付過(guò)程的記錄和追蹤查詢、對(duì)于機(jī)構(gòu)內(nèi)從業(yè)人員的安全意識(shí)教育和責(zé)任教育等方面存在或多或少的問(wèn)題。經(jīng)常是某個(gè)或某些重大竊密、盜取損失發(fā)生之后，用戶、電子商務(wù)網(wǎng)站、第三方支付方互相推卸責(zé)任。尤其是木馬對(duì)電子支付的盜取活動(dòng)和過(guò)程記錄缺失問(wèn)題對(duì)司法介入后的取證和責(zé)任追究帶來(lái)困難。因此，隨著網(wǎng)上交易活動(dòng)的日益平凡，對(duì)第三方支付認(rèn)證機(jī)構(gòu)的管理應(yīng)大力加強(qiáng)，促使其在技術(shù)手段、責(zé)任意識(shí)、漏洞查補(bǔ)、 交易過(guò)程記錄等方面發(fā)力，提高用戶交易的安全系數(shù)。

參考文獻(xiàn)

[1] 朱圣軍，劉功申，羅俊，陶春和. 智能手機(jī)病毒與信息安全[J]. 信息安全與通訊保密，2011(05):96-98.