網(wǎng)絡(luò)安全課程設(shè)計--銀行辦公局域網(wǎng)辦公攻擊方案

1、<p>　　網(wǎng)絡(luò)安全技術(shù)專題（論文）</p><p>　　題目： 銀行辦公局域網(wǎng)辦公攻擊方案 </p><p>　　院（系）： 軟件學(xué)院 </p><p>　　專業(yè)班級： </p><p>　　學(xué) 號： <

2、/p><p>　　學(xué)生姓名： </p><p>　　指導(dǎo)教師： </p><p>　　教師職稱： 助 教 </p><p>　　起止時間：2010.12.06-2010.12.19</p><p>　　專題設(shè)計（論

3、文）任務(wù)及評語</p><p>　　院（系）：軟件學(xué)院 教研室：網(wǎng)絡(luò)教研室</p><p><b>　　目 錄</b></p><p>　　第1章 專題的設(shè)計目的與要求1</p><p>　　1.1 專題設(shè)計目的1</p><

4、p>　　1.2 專題設(shè)計的實(shí)驗(yàn)環(huán)境1</p><p>　　1.3 專題設(shè)計的預(yù)備知識1</p><p>　　1.4 專題設(shè)計要求3</p><p>　　第2章 專題的設(shè)計內(nèi)容4</p><p>　　2.1 背景描述8</p><p>　　2.2軟件安裝與工具使用9</p><p&g

5、t;　　2.3結(jié)果顯示15</p><p>　　第3章 設(shè)計總結(jié)16</p><p><b>　　參考文獻(xiàn)17</b></p><p>　　第1章 專題的設(shè)計目的與要求</p><p>　　1.1 專題設(shè)計目的</p><p>　　本技術(shù)專題實(shí)際是網(wǎng)絡(luò)系統(tǒng)管理專業(yè)學(xué)生學(xué)習(xí)完《網(wǎng)絡(luò)安全基礎(chǔ)》課

6、程后，進(jìn)行的一次關(guān)于網(wǎng)絡(luò)安全技術(shù)方面的訓(xùn)練，學(xué)生應(yīng)該具有較系統(tǒng)的網(wǎng)絡(luò)安全知識，并在實(shí)際應(yīng)用時具備一定的防范非法入侵、維護(hù)網(wǎng)絡(luò)、系統(tǒng)安全性的能力，其目的在于加深對網(wǎng)絡(luò)安全知識的理解，掌握運(yùn)用軟件進(jìn)行攻擊和防御的基本方法。</p><p>　　1.2 專題設(shè)計的實(shí)驗(yàn)環(huán)境</p><p>　　硬件：Intel® Pentium ( R ) 4 CPU 2.4GHz 845P主板

7、 DDR256M內(nèi)存 </p><p>　　軟件：冰盾DDoS防火墻2010 V9.7 Build</p><p>　　1.3 專題設(shè)計的預(yù)備知識</p><p><b>　　1.什么事防火墻</b></p><p>　　防火墻是一個或一組系統(tǒng)，它在網(wǎng)絡(luò)之間執(zhí)行訪問控制策略。實(shí)現(xiàn)防火墻的實(shí)際方式各不相同，但是

8、在原則上，防火墻可以被認(rèn)為是這樣一對機(jī)制：一種機(jī)制是攔阻傳輸流通行，另一種機(jī)制是允許傳輸流通過。一些防火墻偏重攔阻傳輸流的通行，而另一些防火墻則偏重允許傳輸流通過。了解有關(guān)防火墻的最重要的概念可能就是它實(shí)現(xiàn)了一種訪問控制策略。如果你不太清楚你需要允許或否決那類訪問，你可以讓其他人或某些產(chǎn)品根據(jù)他（它）們認(rèn)為應(yīng)當(dāng)做的事來配置防火墻，然后他（它）們會為你的機(jī)構(gòu)全面地制定訪問策略。</p><p>　　2．防火墻可以防

9、范什么？</p><p>　　一般來說，防火墻在配置上是防止來自“外部”世界未經(jīng)授權(quán)的交互式登錄的。這大大有助于防止破壞者登錄到你網(wǎng)絡(luò)中的計算機(jī)上。一些設(shè)計更為精巧的防火墻可以防止來自外部的傳輸流進(jìn)入內(nèi)部，但又允許內(nèi)部的用戶可以自由地與外部通信。如果你切斷防火墻的話，它可以保護(hù)你免受網(wǎng)絡(luò)上任何類型的攻擊。</p><p>　　防火墻的另一個非常重要的特性是可以提供一個單獨(dú)的“攔阻點(diǎn)”，在“

10、攔阻點(diǎn)”上設(shè)置安全和審計檢查。與計算機(jī)系統(tǒng)正受到某些人利用調(diào)制解調(diào)器撥入攻擊的情況不同，防火墻可以發(fā)揮一種有效的“電話監(jiān)聽”（Phone tap）和跟蹤工具的作用。防火墻提供了一種重要的記錄和審計功能；它們經(jīng)?？梢韵蚬芾韱T提供一些情況概要，提供有關(guān)通過防火墻的傳流輸?shù)念愋秃蛿?shù)量以及有多少次試圖闖入防火墻的企圖等等信息。</p><p>　　3．防火墻不能防范什么？</p><p>　　防火

11、墻不能防范不經(jīng)過防火墻的攻擊。許多接入到Internet的企業(yè)對通過接入路線造成公司專用數(shù)據(jù)數(shù)據(jù)泄露非常擔(dān)心。不幸得是，對于這些擔(dān)心來說，一盤磁帶可以被很有效地用來泄露數(shù)據(jù)。許多機(jī)構(gòu)的管理層對Internet接入非?？謶?，它們對應(yīng)當(dāng)如何保護(hù)通過調(diào)制解調(diào)器撥號訪問沒有連慣的政策。當(dāng)你住在一所木屋中，卻安裝了一扇六英尺厚的鋼門，會被認(rèn)為很愚蠢。然而，有許多機(jī)構(gòu)購買了價格昂貴的防火墻，但卻忽視了通往其網(wǎng)絡(luò)中的其它幾扇后門。要使防火墻發(fā)揮作用，

12、防火墻就必須成為整個機(jī)構(gòu)安全架構(gòu)中不可分割的一部分。防火墻的策略必須現(xiàn)實(shí)，能夠反映出整個網(wǎng)絡(luò)安全的水平。例如，一個保存著超級機(jī)密或保密數(shù)據(jù)的站點(diǎn)根本不需要防火墻：首先，它根本不應(yīng)當(dāng)被接入到Internet上，或者保存著真正秘密數(shù)據(jù)的系統(tǒng)應(yīng)當(dāng)與這家企業(yè)的其余網(wǎng)絡(luò)隔離開。</p><p>　　4..什么是“單故障點(diǎn)”？應(yīng)當(dāng)如何避免出現(xiàn)這種故障？</p><p>　　安全性取決于一種機(jī)制的結(jié)構(gòu)具

13、有單故障點(diǎn)。運(yùn)行橋頭堡主機(jī)的軟件存在錯誤。應(yīng)用程序存在錯誤?？刂坡酚善鞯能浖嬖阱e誤。使用所有這些組件建造設(shè)計安全的網(wǎng)絡(luò)，并以冗余的方式使用它們才有意義。</p><p>　　如果你的防火墻結(jié)構(gòu)是屏蔽子網(wǎng)，那么，你有兩臺包過濾路由器和一臺橋頭堡主機(jī)。（參見本節(jié)的問題2）Internet訪問路由器不允許傳輸流從Internet進(jìn)入你的專用網(wǎng)絡(luò)。然而，如果你不在橋頭堡主機(jī)以及（或）阻塞（choke）路由器上與其它任何

14、機(jī)制一道執(zhí)行這個規(guī)則（rule）的話，那么只要這種結(jié)構(gòu)中的一個組件出現(xiàn)故障或遭到破壞就會使攻擊者進(jìn)入防火墻內(nèi)部。另一方面，如果你在橋頭堡主機(jī)上具有冗余規(guī)則，并在阻塞路由器上也有冗余規(guī)則，那么攻擊者必須對付三種機(jī)制。</p><p>　　此外，如果這臺橋頭堡主機(jī)或阻塞路由器使用規(guī)則來攔阻外部訪問進(jìn)入內(nèi)部網(wǎng)絡(luò)的話，你可能需要讓它觸發(fā)某種報警，因?yàn)槟阒烙腥诉M(jìn)入了你的訪問路由器。</p><p>

15、;　　5．防火墻的基本類型是什么？</p><p>　　在概念上，有兩種類型的防火墻：</p><p><b>　　1、網(wǎng)絡(luò)級防火墻</b></p><p><b>　　2、應(yīng)用級防火墻</b></p><p>　　這兩種類型的差異并不像你想像得那樣大，最新的技術(shù)模糊了兩者之間的區(qū)別，使哪個“更好”

16、或“更壞”不再那么明顯。同以往一樣，你需要謹(jǐn)慎選擇滿足你需要的防火墻類型。</p><p>　　網(wǎng)絡(luò)級防火墻一般根據(jù)源、目的地址做出決策，輸入單個的IP包。一臺簡單的路由器是“傳統(tǒng)的”網(wǎng)絡(luò)級防火墻，因?yàn)樗荒茏龀鰪?fù)雜的決策，不能判斷出一個包的實(shí)際含意或包的實(shí)際出處?，F(xiàn)代網(wǎng)絡(luò)級防火墻已變得越來越復(fù)雜，可以保持流經(jīng)它的接入狀態(tài)、一些數(shù)據(jù)流的內(nèi)容等等有關(guān)信息。許多網(wǎng)絡(luò)級防火墻之間的一個重要差別是防火墻可以使傳輸流直接通

17、過，因此要使用這樣的防火墻通常需要分配有效的IP地址塊。網(wǎng)絡(luò)級防火墻一般速度都很快，對用戶很透明。</p><p>　　應(yīng)用級防火墻一般是運(yùn)行代理服務(wù)器的主機(jī)，它不允許傳輸流在網(wǎng)絡(luò)之間直接傳輸，并對通過它的傳輸流進(jìn)行記錄和審計。由于代理應(yīng)用程序是運(yùn)行在防火墻上的軟件部件，因此它處于實(shí)施記錄和訪問控制的理想位置。應(yīng)用級防火墻可以被用作網(wǎng)絡(luò)地址翻譯器，因?yàn)閭鬏斄魍ㄟ^有效地屏蔽掉起始接入原址的應(yīng)用程序后，從一“面”進(jìn)來

18、，從另一面出去。在某些情況下，設(shè)置了應(yīng)用級防火墻后，可能會對性能造成影響，會使防火墻不太透明。早期的應(yīng)用級防火墻，如那些利用TIS防火墻工具包構(gòu)造的防火墻，對于最終用戶不很透明，并需要對用戶進(jìn)行培訓(xùn)。應(yīng)用級防火墻一般會提供更詳盡的審計報告，比網(wǎng)絡(luò)級防火墻實(shí)施更保守的安全模型。</p><p>　　防火墻未來的位置應(yīng)當(dāng)處于網(wǎng)絡(luò)級防火墻與應(yīng)用級防火墻之間的某一位置。網(wǎng)絡(luò)級防火墻可能對流經(jīng)它們的信息越來越“了解”（aw

19、are），而應(yīng)用級防火墻可能將變得更加“低級”和透明。最終的結(jié)果將是能夠?qū)νㄟ^的數(shù)據(jù)流記錄和審計的快速包屏蔽系統(tǒng)。越來越多的防火墻（網(wǎng)絡(luò)和應(yīng)用層）中都包含了加密機(jī)制，使它們可以在Internet上保護(hù)流經(jīng)它們之間的傳輸流。具有端到端加密功能的防火墻可以被使用多點(diǎn)Internet接入的機(jī)構(gòu)所用，這些機(jī)構(gòu)可以將Internet作為“專用骨干網(wǎng)”，無需擔(dān)心自己的數(shù)據(jù)或口令被偷看。</p><p>　　1.4 專題設(shè)計要

20、求</p><p>　　該實(shí)訓(xùn)要求對網(wǎng)絡(luò)安全的知識有一定基礎(chǔ)，通過資料查閱和學(xué)習(xí)，了解網(wǎng)絡(luò)安全攻擊與防御實(shí)例。通過在實(shí)驗(yàn)室的實(shí)踐，能夠獨(dú)立承擔(dān)實(shí)訓(xùn)任務(wù)；內(nèi)容翔實(shí)，符合實(shí)訓(xùn)的要求；進(jìn)行攻擊和防御的步驟要分明；安全配置的過程要詳細(xì)；嚴(yán)格按照說明書格式要求格式化。</p><p>　　第2章 專題的設(shè)計內(nèi)容</p><p>　　以Internet為代表的全球性信息化浪潮日

21、益深刻，信息網(wǎng)絡(luò)技術(shù)的應(yīng)用正逐漸地得到普及和廣泛。隨著應(yīng)用層次的不斷深入，應(yīng)用領(lǐng)域開始從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展，比較典型的如政府部門業(yè)務(wù)系統(tǒng)、金融業(yè)務(wù)系統(tǒng)、教育科研系統(tǒng)等。 </p><p>　　與此同時，這股強(qiáng)勁的Internet旋風(fēng)也以驚人的速度滲透到銀行、證券等金融行業(yè)的各個方面。各金融企業(yè)之間的競爭也日益激烈，主要是通過提高金融機(jī)構(gòu)的運(yùn)作效率，為客戶提供方便快捷和豐富多彩的服務(wù)，

22、增強(qiáng)金融企業(yè)的發(fā)展能力和影響力來實(shí)現(xiàn)的。為了適應(yīng)這種發(fā)展趨勢，銀行在改進(jìn)服務(wù)手段、增加服務(wù)功能、完善業(yè)務(wù)品種、提高服務(wù)效率等方面做了大量的工作，以提高銀行的競爭力，爭取更大的經(jīng)濟(jì)效益。而實(shí)現(xiàn)這一目標(biāo)必須通過實(shí)現(xiàn)金融電子化，利用高科技手段推動金融業(yè)的發(fā)展和進(jìn)步，網(wǎng)絡(luò)的建設(shè)為銀行業(yè)的發(fā)展提供了有力的保障，并且勢必為銀行業(yè)的發(fā)展帶來巨大的經(jīng)濟(jì)效益。目前銀行主要應(yīng)用有：儲蓄、對公、信用卡、儲蓄卡、IC卡、國際業(yè)務(wù)、電子匯兌、電子郵件、電子公文、

23、網(wǎng)上銀行、網(wǎng)上交易系統(tǒng)、新的綜合對公業(yè)務(wù)、國際業(yè)務(wù)信貸系統(tǒng)等。但是我們應(yīng)該意識到事務(wù)的兩面性，隨著應(yīng)用的不斷增加，網(wǎng)絡(luò)安全風(fēng)險也會不斷暴露出來。原來由單個計算機(jī)安全事故引起的損害可能傳播到其他系統(tǒng)和主機(jī)，引起大范圍的癱瘓和損失。而且由于銀行屬于商業(yè)系統(tǒng)，都有一些各自的商業(yè)機(jī)密信息，如果這些機(jī)密信息在網(wǎng)上傳輸過程中泄密，其造成的損失將是不可估量的。所以金融業(yè)網(wǎng)絡(luò)安全</p><p>　　冰盾信息安全技術(shù)可以通過以上

24、對銀行網(wǎng)絡(luò)系統(tǒng)應(yīng)用與安全風(fēng)險分析，提出防范網(wǎng)絡(luò)安全危險的安全需求： </p><p>　　1) 采用相關(guān)的訪問控制產(chǎn)品及控制技術(shù)來防范來自不安全網(wǎng)絡(luò)或不信任域的非法訪問或非授權(quán)訪問。 </p><p>　　2) 采用加密設(shè)備應(yīng)用加密、認(rèn)證技術(shù)防范信息在網(wǎng)絡(luò)傳輸過程中被非法竊取，而造成信息的泄露，并通過認(rèn)證技術(shù)保證數(shù)據(jù)的完整性、真實(shí)性、可靠性。 </p><p&g

25、t;　　3) 采用安全檢測技術(shù)來實(shí)時檢查進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流，動態(tài)防范各種來自內(nèi)外網(wǎng)絡(luò)的惡意攻擊。4) 采用網(wǎng)絡(luò)安全評估系統(tǒng)定期或不定期對網(wǎng)絡(luò)系統(tǒng)或操作系統(tǒng)進(jìn)行安全性掃描，評估網(wǎng)絡(luò)系統(tǒng)及操作系統(tǒng)的安全等級，并分析提出補(bǔ)救措施。 </p><p>　　5) 采用防病毒產(chǎn)品及技術(shù)實(shí)時監(jiān)測進(jìn)入網(wǎng)絡(luò)或主機(jī)的數(shù)據(jù)，防范病毒對網(wǎng)絡(luò)或主機(jī)的侵害。 </p><p>　　6) 采用網(wǎng)絡(luò)備份與恢復(fù)系統(tǒng)，

26、實(shí)現(xiàn)數(shù)據(jù)庫的安全存儲及災(zāi)難復(fù)。 </p><p>　　7) 構(gòu)建CA認(rèn)證中心，來保證加密密鑰的安全分發(fā)及安全管理。 </p><p>　　8) 應(yīng)用安全平臺的開發(fā)，針對銀行特殊的應(yīng)用進(jìn)行特定的應(yīng)用開發(fā)。 </p><p>　　9) 必須制定完善安全管理制度，并通過培訓(xùn)等手段來增強(qiáng)員工的安全防范技術(shù)及防范意識。</p><p>　　

27、隨著互聯(lián)網(wǎng)技術(shù)和信息技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)安全風(fēng)險系數(shù)不斷提高，曾經(jīng)作為最主要網(wǎng)絡(luò)安全防范手段的防火墻，已經(jīng)不能滿足人們對網(wǎng)絡(luò)安全的需求。作為對防火墻有益補(bǔ)充的入侵檢測系統(tǒng)（IDS），能夠幫助網(wǎng)絡(luò)快速發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的發(fā)生，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、進(jìn)攻識別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。IDS被認(rèn)為是防火墻之后的第二道安全閘門，它能在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)進(jìn)行監(jiān)聽，從而提供對網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)入侵的實(shí)時

28、保護(hù)。</p><p>　　攻擊者可以從容地對那些沒有安全保護(hù)的網(wǎng)絡(luò)進(jìn)行攻擊和入侵，如進(jìn)行拒絕服務(wù)攻擊、從事非授權(quán)的訪問、肆意竊取和篡改重要的數(shù)據(jù)信息、安裝后門監(jiān)聽程序以便隨時獲得內(nèi)部信息、傳播計算機(jī)病毒、摧毀主機(jī)等。攻擊和入侵事件給這些機(jī)構(gòu)和企業(yè)帶來了巨大的經(jīng)濟(jì)損失，甚至直接威脅到國家的安全。攻擊者為什么能夠?qū)W(wǎng)絡(luò)進(jìn)行攻擊和入侵呢?原因在于計算機(jī)網(wǎng)絡(luò)中存在著可以為攻擊者所利用的安全弱點(diǎn)、漏洞以及不安全的配置，主

29、要表現(xiàn)在操作系統(tǒng)、協(xié)議、應(yīng)用程序、網(wǎng)絡(luò)設(shè)備等幾個方面。 </p><p>　　攻擊者常用的入侵方法如下： </p><p>　?。?）利用系統(tǒng)的內(nèi)部缺陷和漏洞 </p><p>　　對于口令字的攻擊：口令字是一般安全系統(tǒng)所采取的最簡單的安全措施。許多攻擊行為從突破口令字入手，有的采用程序強(qiáng)力攻擊的辦法登錄到遠(yuǎn)程網(wǎng)絡(luò)，或采用口令字典進(jìn)行猜測的辦法，發(fā)現(xiàn)設(shè)置十分簡單的口

30、令字從而進(jìn)入到系統(tǒng)。據(jù)美國國防部對1995年入侵行為統(tǒng)計表明，有約250 000次攻擊是由于通過破解口令字造成的。 </p><p>　　系統(tǒng)中協(xié)議的脆弱性：在網(wǎng)絡(luò)運(yùn)行的許多協(xié)議中，有一些協(xié)議存在著安全漏洞。如ICMP，這種協(xié)議很容易被拒絕服務(wù)攻擊所利用。Ping是ICMP中常用的命令之一，它的連接請求可以被攻擊者利用，發(fā)出許多無效的連接請求，可以造成經(jīng)由的中間主機(jī)和被攻擊的主機(jī)或系統(tǒng)崩潰。IMAP是網(wǎng)絡(luò)上另一種

31、常見協(xié)議，攻擊者可以通過IMAP和POP3取得UNIX系統(tǒng)下的根目錄權(quán)限，執(zhí)行各種命令，獲取敏感信息和超級用戶的權(quán)限。TCP/IP握手協(xié)商協(xié)議也可以被拒絕服務(wù)攻擊所利用。 </p><p>　　緩沖區(qū)溢出：這是對系統(tǒng)危害較大的攻擊手段，在許多系統(tǒng)中，應(yīng)用程序和緩沖區(qū)都不檢查數(shù)據(jù)的特性，它允許接受任意長的數(shù)據(jù)，這可能造成系統(tǒng)的堆棧或緩沖區(qū)溢出，造成系統(tǒng)癱瘓。 </p><p>　　IDS的出

32、現(xiàn)，緩解了以上的網(wǎng)絡(luò)安全問題。設(shè)置硬件防火墻，可以提高網(wǎng)絡(luò)的通過能力并阻擋一般性的攻擊行為；而采用IDS入侵檢測系統(tǒng)，則可以對越過防火墻的攻擊行為以及來自網(wǎng)絡(luò)內(nèi)部的違規(guī)操作進(jìn)行監(jiān)測和響應(yīng)。在本質(zhì)上，入侵檢測系統(tǒng)是一個典型的“窺探設(shè)備”，它不跨接多個物理網(wǎng)段（通常只有一個監(jiān)聽端口），無須轉(zhuǎn)發(fā)任何流量，而只需在網(wǎng)絡(luò)上收集所關(guān)心的報文即可。 </p><p>　　入侵檢測模型如圖1所示。 </p><

33、;p><b>　　圖1　入侵檢測模型</b></p><p>　　目前，IDS分析及檢測一般通過以下幾種技術(shù)手段進(jìn)行分析：特征庫匹配、基于統(tǒng)計分析和完整性分析。其中前兩種方法用于實(shí)時的入侵檢測，而完整性分析則用于事后分析。 </p><p>　　特征庫匹配（也叫特征檢測）就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。

34、該方法的優(yōu)點(diǎn)是只需收集相關(guān)的數(shù)據(jù)集合，顯著減少系統(tǒng)負(fù)擔(dān)，檢測準(zhǔn)確率和效率都相當(dāng)高；但弱點(diǎn)是需要不斷升級以對付不斷出現(xiàn)的黑客攻擊手法。 </p><p>　　統(tǒng)計分析（也叫異常檢測）首先給信息對象（如用戶、連接、文件等）創(chuàng)建一個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性（如訪問次數(shù)、操作失敗次數(shù)和延時等）。測量屬性的平均值將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，觀察值在正常偏差之外時，就認(rèn)為有入侵發(fā)生。例如一個在晚九點(diǎn)至早

35、五點(diǎn)不登錄的賬戶卻在凌晨兩點(diǎn)試圖登錄，或者針對某一特定站點(diǎn)的數(shù)據(jù)流量異常增大等。其優(yōu)點(diǎn)是可檢測到未知的入侵和更為復(fù)雜的入侵；缺點(diǎn)是誤報、漏報率高，且不適應(yīng)用戶正常行為的突然改變。 </p><p>　　完整性分析主要關(guān)注某個文件或?qū)ο笫欠癖桓模ㄎ募湍夸浀膬?nèi)容及屬性，它在發(fā)現(xiàn)被更改的、被特洛伊化的應(yīng)用程序方面特別有效。完整性分析利用強(qiáng)有力的加密機(jī)制，能識別極其微小的變化。其優(yōu)點(diǎn)能夠發(fā)現(xiàn)文件或其他對象的任何改

36、變；缺點(diǎn)是一般以批處理方式實(shí)現(xiàn)，不用于實(shí)時響應(yīng)。 </p><p>　　根據(jù)數(shù)據(jù)來源的不同，入侵檢測系統(tǒng)常被分為基于主機(jī)的入侵檢測系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。HIDS的數(shù)據(jù)源來自主機(jī)，如日志文件、審計記錄等；而NIDS的數(shù)據(jù)源是網(wǎng)絡(luò)數(shù)據(jù)流。HIDS的檢測范圍很小，只限于1臺主機(jī)內(nèi)；而NIDS的檢測范圍是整個網(wǎng)段。 </p><p>　　根據(jù)網(wǎng)絡(luò)威脅原理（離被防護(hù)信息點(diǎn)越近，保護(hù)的作用就越

37、有效），HIDS從空間滿足了網(wǎng)絡(luò)安全的先決條件；同時由于監(jiān)聽的是用戶的整個訪問行為，HIDS可以有效利用操作系統(tǒng)本身提供的功能，準(zhǔn)確快速報告攻擊行為。但由于HIDS安裝在被保護(hù)主機(jī)上，故所占用的資源不能太多，從而限制了所采用的檢測方法及處理性能，安全性也受其所在主機(jī)的操作系統(tǒng)的安全性限制。 </p><p>　　NIDS最大的特點(diǎn)在于不需要改變服務(wù)器等主機(jī)的配置，不會影響這些機(jī)器的CPU、I/O）等資源的使用，也

38、不會影響業(yè)務(wù)系統(tǒng)的性能。因此，部署一個NIDS，比HIDS的風(fēng)險與成本相對較低。但由于NIDS保護(hù)的主機(jī)和操作系統(tǒng)不盡相同，入侵者可利用不同系統(tǒng)的差異來進(jìn)行信息收集或進(jìn)行攻擊。</p><p>　　網(wǎng)絡(luò)攻擊手段正在不斷多樣化,簡單地采用多種孤立的基于單層次體系結(jié)構(gòu)的安全手段已不能滿足需求。在這種情況下，提出構(gòu)建全面的安全防御系統(tǒng),即利用復(fù)雜系統(tǒng)和安全工程風(fēng)險管理的思想與方法來處理網(wǎng)絡(luò)安全問題,將網(wǎng)絡(luò)安全作為一個整

39、體工程來處理。把網(wǎng)絡(luò)結(jié)構(gòu)、加密認(rèn)證、防火墻、病毒防護(hù)、入侵檢測等單一的安全措施有機(jī)地結(jié)合起來,形成一套整體功能遠(yuǎn)遠(yuǎn)大于局部系統(tǒng)的安全系統(tǒng)。</p><p>　　圖1是我們在學(xué)習(xí)和實(shí)踐中,根據(jù)實(shí)際需要,建立的全面安全防御系統(tǒng)模型。</p><p><b>　　2.1 背景描述</b></p><p>　　隨著互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展，網(wǎng)絡(luò)攻擊和入侵事

40、件與日俱增，入侵檢測系統(tǒng)被認(rèn)為是防火墻之后的第二道網(wǎng)絡(luò)安全閘門，本文介紹了網(wǎng)絡(luò)攻擊和入侵以及IDS的技術(shù)特點(diǎn)，重點(diǎn)闡述了如何在網(wǎng)絡(luò)中部署IDS，并分析了IDS的存在的缺陷，最后探討了IDS的未來發(fā)展趨勢。</p><p>　　入侵檢測的研究可以追溯到JamesP.Anderson在1980年的工作，他首次提出了“威脅”等術(shù)語，這里所指的“威脅”與入侵的含義基本相同，將入侵嘗試或威脅定義為：潛在的、有預(yù)謀的、未經(jīng)授

41、權(quán)的訪問企圖，致使系統(tǒng)不可靠或無法使用。1987年DorothyE.Denning首次給出一個入侵檢測的抽象模型，并將入侵檢測作為一個新的安全防御措施提出。</p><p>　　在過去的20年里，網(wǎng)絡(luò)技術(shù)在不斷發(fā)展，攻擊者攻擊能力在不斷提高，攻擊工具與攻擊手法日趨復(fù)雜多樣，特別是以黑客為代表的攻擊者對網(wǎng)絡(luò)的威脅日益突出，他們不遺余力地與網(wǎng)絡(luò)安全進(jìn)行著斗爭。攻擊技術(shù)和手段的不斷發(fā)展，也促使IDS從一個簡單單一的產(chǎn)品

42、發(fā)展成為一種網(wǎng)絡(luò)安全防護(hù)的重要手段。</p><p>　　由于信息技術(shù)的發(fā)展，銀行業(yè)逐漸實(shí)現(xiàn)了業(yè)務(wù)和辦公的自動化和電子化。儲蓄、信用卡、儲蓄卡、IC卡、國際業(yè)務(wù)、電子匯兌、電子郵件、電子公文、網(wǎng)上銀行、網(wǎng)上交易系統(tǒng)、新的綜合對公業(yè)務(wù)、國際業(yè)務(wù)信貸系統(tǒng)等， ATM機(jī)(自動提款機(jī))、POS機(jī)(銷售終端機(jī))、CRS(現(xiàn)金循環(huán)設(shè)備)、CDM(自動存款機(jī))、FEM(外幣兌換機(jī))、電話銀行、自助銀行、網(wǎng)絡(luò)銀行等廣泛運(yùn)用，在提

43、高銀行業(yè)務(wù)的處理能力、方便用戶的同時，也對銀行業(yè)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)提出了更高的要求。</p><p>　　另外，近年來越來越多見諸報端的信用卡用戶資料失竊案、銀行網(wǎng)頁被非法仿冒以及網(wǎng)絡(luò)釣魚事件，使得金融信息安全一時間成為各大銀行工作的重點(diǎn)和焦點(diǎn)。</p><p>　　2.2軟件安裝與工具使用</p><p>　　冰盾DDoS防火墻2010 V9.7 Build安裝：&

44、lt;/p><p><b>　　一、安裝準(zhǔn)備工作</b></p><p>　　1、Windows 2000、Windows XP或Windows 2003操作系統(tǒng)。</p><p><b>　　2、冰盾安裝光盤。</b></p><p><b>　　二、安裝步驟</b></p

45、><p>　　1、下載安裝軟件：http://www.bingdun.com/</p><p>　　2、運(yùn)行安裝程序bdfwsetup.exe。</p><p><b>　　3、安裝歡迎畫面。</b></p><p>　　如圖2.21所示： </p><p><b>　　圖2.21</

46、b></p><p>　　4點(diǎn)擊Next按鈕進(jìn)入安裝目錄畫面。</p><p><b>　　如圖2.22所示：</b></p><p><b>　　圖2.22</b></p><p>　　5、點(diǎn)擊Next進(jìn)入程序組畫面。</p><p><b>　　如圖2.2

47、3所示：</b></p><p><b>　　圖2.23</b></p><p>　　6、點(diǎn)擊Next進(jìn)入桌面圖標(biāo)選擇畫面。</p><p><b>　　如圖2.24所示：</b></p><p><b>　　圖2.24</b></p><p&g

48、t;　　7、點(diǎn)擊Next進(jìn)入安裝配置確認(rèn)畫面。</p><p><b>　　如圖2.25所示：</b></p><p><b>　　圖2.25</b></p><p>　　8、點(diǎn)擊Install即進(jìn)行安裝過程并可看到安裝完成畫面。</p><p><b>　　如圖2.26所示</b&

49、gt;</p><p><b>　　圖2.26</b></p><p><b>　　三、安裝完成</b></p><p>　　1、冰盾安裝完畢后會在桌面建立“冰盾防火墻”快捷圖標(biāo)。</p><p>　　2、點(diǎn)擊桌面的“冰盾防火墻”的快捷圖標(biāo)即啟動冰盾，有時可能需要重新啟動系統(tǒng)才行。</p>

50、;<p>　　冰盾DDoS防火墻2010 V9.7 Build使用過程：</p><p><b>　　DDOS監(jiān)控情況：</b></p><p><b>　　端口過濾情況：</b></p><p>　　可以設(shè)置Ip黑白名單：</p><p><b>　　2.3結(jié)果顯示<

51、/b></p><p><b>　　第3章 設(shè)計總結(jié)</b></p><p>　　這次完成這個銀行辦公局域網(wǎng)辦公防御方案實(shí)訓(xùn)，從開始的設(shè)計構(gòu)想，一直到之后的完成實(shí)現(xiàn)，前前后后也花了差不多半個多月的時間，從網(wǎng)上、書中搜集資料，然后開始正式制作這個，在制作的過程中，也碰到了很多這樣那樣的困難，有很多困難，通過同學(xué)，老師的幫助，還有自己的努力，總算還是克服了過去，但是

52、還是有本來想要做到的功能沒有完成的，這方面，我覺得還是有所不足的。</p><p>　　本次實(shí)習(xí)使我再度意識到一個網(wǎng)絡(luò)的安全，對于一個網(wǎng)絡(luò)的重要性。它合理方便的給學(xué)校提供了最大的方便。通過對系統(tǒng)的分析設(shè)計，使我把在書本上學(xué)到的理論與實(shí)踐相結(jié)合，大大提高鞏固了之前所學(xué)習(xí)的內(nèi)容。但銀行辦公局域網(wǎng)辦公防御方案在設(shè)計過程中不可避免地遇到了各種各樣的問題，因?yàn)楸救怂接邢蓿]有完全地理解防火墻的強(qiáng)大功能，因此方案還存在著

53、許多不足之處。受開發(fā)條件和開發(fā)時間的限制，由于精力有限，所以此程序只做出了，程序的最基本功能，如果應(yīng)用到實(shí)際生活中，要根據(jù)具體的學(xué)校情況，添加不同的模塊。</p><p>　　光陰似箭，轉(zhuǎn)眼3年的大學(xué)就要結(jié)束了。在這次設(shè)計中，我得到了許多老師的真誠教誨和同學(xué)們的熱情幫助，在此我向給予我?guī)椭睦蠋熀屯瑢W(xué)表示最衷心的感謝！有你們的幫助和支持才會讓我完成這次設(shè)計，并將走的更遠(yuǎn)，更好。在學(xué)習(xí)中老師嚴(yán)謹(jǐn)?shù)闹螌W(xué)態(tài)度、豐富淵博

54、的知識、敏銳的學(xué)術(shù)思維、精益求精的工作態(tài)度以及誨人不倦的師者風(fēng)范是我終生學(xué)習(xí)的楷模，指導(dǎo)老師高深精湛的造詣與嚴(yán)謹(jǐn)求實(shí)的治學(xué)精神，將永遠(yuǎn)激勵著我。</p><p>　　其次要感謝學(xué)校圖書館為我提供查找資料的場所，最后還特別感謝我的家人，他們的關(guān)愛讓我能夠擁有舒適的環(huán)境和充足的條件。</p><p><b>　　參考文獻(xiàn)</b></p><p>　

55、　1馬在強(qiáng) 計算機(jī)網(wǎng)絡(luò)安全實(shí)用技術(shù) 重慶 西南師范大學(xué)出版社 2006.11</p><p>　　2.胡慶龍、文益民 網(wǎng)絡(luò)管理域維護(hù) 清華大學(xué)出版社 2007.9</p><p>　　3 許治坤,王偉,郭添森,等.網(wǎng)絡(luò)滲透技術(shù)·電子工業(yè)出版社 2005.5.</p><p>　　4 劉文清.計算機(jī)網(wǎng)絡(luò)技術(shù)基礎(chǔ)[M].北京·中國電力出版社,2005

56、.</p><p>　　5 凌捷、肖鵬、何東風(fēng),“防火墻本身的安全問題淺析[J]” 2004.2.</p><p>　　6 李家春，李之棠.入侵檢測系統(tǒng).計算機(jī)應(yīng)用研究 2001.12.</p><p>　　7陳波.計算機(jī)系統(tǒng)安全原理與技術(shù)[M].機(jī)械工業(yè)出版社,2006.1.</p><p>　　8 閻慧,土偉.防火墻原理與技術(shù)[M].北京

57、·機(jī)械工業(yè)出版,2004.</p><p>　　9 袁家政.計算機(jī)網(wǎng)絡(luò)安全與應(yīng)用技術(shù)[M].北京·清華大學(xué)出版社2002.</p><p>　　10 陳愛民.計算機(jī)的安全與保密[M].北京·電子工業(yè)出版社,2002.</p><p>　　11 殷偉.計算機(jī)安全與病毒防治[M].合肥·安徽科學(xué)技術(shù)出版社,2004.</p&