第一篇：研究P2P網(wǎng)絡中的病毒檢測與防御論文

P2P 網(wǎng)絡之中具有大量的節(jié)點，在網(wǎng)絡環(huán)境之中，節(jié)點以及節(jié)點之間的數(shù)據(jù)通信的安全性都相對比較低。而P2P 網(wǎng)絡又具有匿名，共享速度快，等特點。P2P 網(wǎng)絡的這些特點為網(wǎng)絡病毒的傳播奠定了良好的基礎。同時P2P 網(wǎng)絡由于其自身的特點，一旦一個節(jié)點被病毒感染，很快就會造成整個網(wǎng)絡的癱瘓。P2P 網(wǎng)絡巨大的安全隱患給用戶的生活和工作以及社會的穩(wěn)定帶來了巨大的威脅。目前有關P2P 網(wǎng)絡安全防護方面的研究比較缺乏和滯后。本文總結了前人的研究結果，對P2P 的安全性問題展開深入的探討和研究。P2P 網(wǎng)絡病毒分析

P2P 網(wǎng)絡由于其自身的特點，決定著其中的病毒能夠利用和蔓延開來。因此，P2P 網(wǎng)絡病毒的泛濫與P2P 網(wǎng)絡自身的結構和特點有著密切的關系，因此在探討P2P 網(wǎng)絡病毒之前我們需要對P2P 網(wǎng)絡有一個簡單的認識。

1.1 P2P 網(wǎng)絡結構

P2P 網(wǎng)絡在經(jīng)過這些年的發(fā)展之后得到廣泛運行的結構模式有三種三種，本文對著三種結構模式作了簡要的介紹。第一種是集中式P2P 網(wǎng)絡結構。這種網(wǎng)絡結構的突出特點是“使用一個或多個節(jié)點索引服務器來提供節(jié)點查詢應答服務”P2P網(wǎng)絡之中的節(jié)點在其上線之后，索引服務器之中將會存儲它的所有的信息，通過索引服務器，用戶可以查詢節(jié)點上共享的其他節(jié)點的所有的信息。這種模式的P2P 結構之中，雖然存在一個結構中心服務器，但是它與其他的文件下載模式采用的客戶端/服務端模式仍然存在本質(zhì)上的不同。這種不同的突出表現(xiàn)就是信息的存儲位置不同。在P2P 結構之中，信息存在于各個節(jié)點上，而客戶端/服務端這種模式下信息存在與服務器之中，同時這種模式之中客戶端的用戶無法實現(xiàn)相互之間的通信，而在P2P 模式之中用戶端是可以實現(xiàn)互相通信的。P2P 網(wǎng)絡的這種集中式網(wǎng)絡結構的優(yōu)點是不需要復雜的算法，通過節(jié)點就可以查詢索引服務器進而獲得存儲于節(jié)點上的信息。這是一種非常簡單有效的方法，但是它的缺點也非常的明顯和突出。最直接的體現(xiàn)就是一旦索引服務器出現(xiàn)故障或受到攻擊而導致其不能正常工作，那么整個P2P 網(wǎng)絡體制就會無法運轉。在這種模式下，運營和維護索引服務器是非常重要的。

P2P 網(wǎng)絡的第二種模式是完全分布式網(wǎng)絡結構。在這種P2P網(wǎng)絡結構下，沒有集中的索引服務器，節(jié)點間通過端與端之間的連接實現(xiàn)一個邏輯覆蓋網(wǎng)絡。整個網(wǎng)絡結構是一個松散的組織，網(wǎng)路之中相鄰的節(jié)點之間通過廣播進行信息的查詢和傳遞。這種結構的優(yōu)點是不需要中心服務器，解決了網(wǎng)絡結構中心化的問題。在這種結構模式之中通常不會出現(xiàn)單個節(jié)點的問題，但是在這種模式之中，所有的節(jié)點都是未知的，在網(wǎng)絡規(guī)模較大時，查詢的泛洪會導致信息的泛濫以及消耗大量的寬帶從而造成沉重的網(wǎng)絡負擔。這種模式下信息的查詢還存在查詢結果不確定，網(wǎng)絡半徑不確定的風險。

第三種P2P 網(wǎng)絡結構是混合式。這種模式總吸收了集中式P2P 結構良好的可擴展性和完全分布式的較強容錯性兩方面的優(yōu)點。混合式結構的三個組成部分別是索引節(jié)點，搜素節(jié)點，用戶節(jié)點。

這三種節(jié)點的劃分是根據(jù)各個節(jié)點在整個網(wǎng)絡結構之中所起的不同作用而劃定的。在網(wǎng)絡運作的過程之中用戶節(jié)點僅僅是資源共享節(jié)點，不處理額外的信息;搜索節(jié)點是用來進行信息的存儲與信息的查詢工作，索引節(jié)點的作用是進行網(wǎng)絡范圍內(nèi)的搜索記錄工作，索引節(jié)點是從搜索節(jié)點之中選取出來的。混合式P2P 結構的查詢速度比完全分布式有極大的提升，同時查詢的結果也更加的準確還消除了完全分布式之中的搜素遲緩問題。

1.2 P2P 網(wǎng)絡的特點分析

為進一步說明P2P 網(wǎng)絡的行為特點和運行機制，本文選取了第三代混合型P2P 網(wǎng)絡結構之中的Bit Torrent 網(wǎng)絡做為實例進行一次詳細的分析。選取Bit Torrent 做為實例是因為目前的統(tǒng)計數(shù)據(jù)顯示Bit Torrent 流量占據(jù)了整個P2P 流量之中的50%以上。同時Bit Torrent 協(xié)議也是目前運用最廣泛的P2P 技術協(xié)議。BitTorrent 網(wǎng)絡目前已經(jīng)成為世界上最重要的資源共享平臺。

Bit Torrent 網(wǎng)絡做為一種典型的P2P 結構網(wǎng)絡，其具有P2P 網(wǎng)絡的所有典型的特點。第一個特點就是“每個下載數(shù)據(jù)的客戶端也會同時將數(shù)據(jù)上傳給其他客戶端，因而能充分利用用戶富余的上行寬帶”。第二個特點是在Bit Torrent 網(wǎng)絡之中，沒有“服務器”與“客戶機”的區(qū)別。在網(wǎng)絡實際的運行過程之中每一個“客戶機”就是“服務器”。在運行的過程之中，一個用戶在下載的同時上行的寬帶也會向其他的用戶提供該用戶已經(jīng)下載完成的部分。

在這種情況下，下載的人數(shù)越多，實際的網(wǎng)絡寬帶就越大，下載的傳播速度就越快。Bit Torrent 網(wǎng)絡協(xié)議與傳統(tǒng)的網(wǎng)絡協(xié)議也存在著巨大的差別，Bit Torrent 網(wǎng)絡協(xié)議與傳統(tǒng)的網(wǎng)絡協(xié)議的區(qū)別在于:Bit Torrent 在數(shù)據(jù)的應用層之中將所有的數(shù)據(jù)分割成了體積較小的數(shù)據(jù)塊，在傳輸?shù)倪^程之中，是以數(shù)據(jù)塊為基本單位進行傳輸，這樣傳輸?shù)膬?yōu)點在于能夠進一步提高傳輸速度和并行性，并且能夠降低資源共享者的寬帶消耗。

信息的發(fā)布者在Bit Torrent 網(wǎng)絡之中發(fā)布信息時是根據(jù)共享資源來生成特定的種子文件。所謂的種子文件具體是指依據(jù)一定的編碼規(guī)則描述共享資源的概要信息，索引信息以及資源的校驗碼信息。校驗碼是通過哈希算法而生成的。哈希計算的基本原理是“把待發(fā)布的目標文件虛擬的分成若干個體積相等的分片，而后在對每個分片計算哈希值?！狈N子文件是整個Bit Torrent 網(wǎng)絡之中的共享資源的索引文件。在用戶需要通過Bit Torrent 網(wǎng)絡獲取資源時首先將自己想要獲取的資源對應的種子添加到Bit Torrent 軟件之中，然后創(chuàng)建下載任務。下載節(jié)點會通過種子查詢到所需資源的共享點信息，當用戶連接上共享點之后，用戶便可以從節(jié)點之中獲取自己想要的資源信息。在這個過程之中，由于每一個用戶可以同時向多個共享點請求共享，因此每一個節(jié)點的寬帶負擔都比較小，故流量分布比較均勻整個網(wǎng)絡還能保持比較高的數(shù)據(jù)傳輸速度。

一般情況下一個完整的Bit Torrent 網(wǎng)絡由5 個部分組成:第一個部分是靜態(tài)元信息文件。這個文件是由共享資源的初始擁有者制作的這一文件也稱做torrent 文件。實質(zhì)上該文件就是前文所論述的種子文件。第二部分是普通Web 服務器，該服務器的主要功能就是為用戶發(fā)布種子文件和為用戶提供種子文件的下載。第三部分是Tracker 服務器，該服務器是一個中心服務器，它的作用是保存，追蹤和傳輸各個節(jié)點的信息，該服務器實質(zhì)上就是前文所論述的索引服務器。用戶可以在這個服務器上搜索到自己需要的資源的下載節(jié)點，然后自行選擇其中的節(jié)點進行下載。第四部分是指分布式哈希表網(wǎng)絡。該網(wǎng)絡的作用是查詢下載同一資源的用戶并對節(jié)點之中的信息進行分布式的存儲。第五部分是下載用戶。在P2P 網(wǎng)絡之中，下載用戶既是原始的“下載者”同時也是原始文件的擁有者。在P2P 網(wǎng)絡之中，節(jié)點的作用分為兩個方面。第一個方面是從別的地方下載文件分片;第二個方面是將自己所擁有的文件分片提供給其他的需求者。

1.3 P2P 網(wǎng)絡病毒傳播機理分析

P2P 病毒就是指以“P2P 網(wǎng)絡為活動空間和傳播途徑的病毒”。在P2P 網(wǎng)絡之中節(jié)點擔負著服務器，路由器，客戶端等多種角色，這直接導致了節(jié)點的拓撲信息極易被病毒利用。利用這一特點病毒在P2P 模式之中不需要進行大量的無用掃描，只需要以自身的身份混入正常的信息之中，就可以在不引起任何網(wǎng)絡異常的前提下快速的在P2P 網(wǎng)絡之中快速的進行大范圍傳播。P2P 病毒的在傳播的過程之中通常是依附在正常的P2P 信息之中，因此用戶在通過P2P 網(wǎng)絡下載資源時就在不知不覺之中感染了P2P病毒。P2P 病毒檢測與預防方法

完整的P2P 網(wǎng)絡之中具有數(shù)量眾多的節(jié)點，不同的節(jié)點檢測與防御病毒的能力存在比較大的差距。在進行P2P 網(wǎng)絡的安全防護時首先應以節(jié)點為核心建立P2P 對等端的病毒檢測節(jié)點。在以節(jié)點為核心的保護措施的建立的過程之中，我們要考慮到如果病毒的檢測節(jié)點只具有自身的病毒檢測和防御能力，那么我們設計的P2P 網(wǎng)絡保護機制將無法確保那些自身防護能力較弱的節(jié)點是否能夠面對病毒的攻擊。為平衡P2P 網(wǎng)絡之中各個節(jié)點的防衛(wèi)能力的差異，我們需要構建的等端P2P 網(wǎng)絡病毒檢測節(jié)點不僅能檢測自身是否帶有病毒，還可以對病毒進行有效的抵御。

P2P 網(wǎng)絡中的病毒檢測與防御節(jié)點是基于P2P 對等端的構建而實現(xiàn)的。這一安全保護機制是在P2P 網(wǎng)絡正常進行信息交互的過程之中，對信息進行病毒檢測的。在P2P 網(wǎng)絡工作的過程之中，節(jié)點可以在一定的范圍之內(nèi)進行針對病毒傳播的防御工作。節(jié)點通過加載P2P 病毒的三元列表進而識別出P2P 網(wǎng)絡之中帶有P2P病毒片段的數(shù)據(jù)分片。此后該分片會通過Tracker 注冊及DHT 擴散的方式除去攜帶病毒資源之中的swarm。此后在此節(jié)點上的傳輸過程之中便不會再有病毒的數(shù)據(jù)分片，這種方法將最大限度的減少資源的下載者下載到的資源之中包含的病毒。這樣以對等端構建的P2P 網(wǎng)絡中的檢測與防御節(jié)點，既能讓P2P 資源傳輸更加的便利與快捷，還能夠有效的增強P2P 網(wǎng)絡病毒的檢測與防御功能。

在 P2P 網(wǎng)絡之中，當普通下載的過程之中對等端與病毒的防御節(jié)點連接之后，病毒的防御節(jié)點請求之中包含了一部分病毒的數(shù)據(jù)片段之后，實質(zhì)的下載完成之后，下載的對等端也會得到若干并不包含病毒的數(shù)據(jù)分片，造成這樣一個結果的原因是，此刻下載用戶得到的數(shù)據(jù)并不是上一個請求節(jié)點之中對應的數(shù)據(jù)，而是防御節(jié)點為避免病毒進一步快速傳播而構造的無害數(shù)據(jù)，實質(zhì)上當節(jié)點檢測到病毒之后，節(jié)點就會進入受防御的節(jié)點保護狀態(tài)進行節(jié)點的隔離保護。含有病毒的數(shù)據(jù)在重復的傳播的過程之中，下載節(jié)點會不斷的向病毒所在的節(jié)點請求數(shù)據(jù)塊時，防御節(jié)點并不將含有病毒的數(shù)據(jù)分片傳遞下去，而是生成一個無毒的數(shù)據(jù)塊進行傳輸，在傳輸?shù)倪^程之中，當包含病毒的數(shù)據(jù)分片的校驗碼錯誤之后，此一數(shù)據(jù)分片失去繼續(xù)傳播的能力。結語

P2P 網(wǎng)絡之中匿名，自由等一系列優(yōu)點使它無法避免的成為了病毒和惡意代碼的攻擊對象。本文在充分的研究了P2P 網(wǎng)絡的各種結構的結構特點之后，分析了P2P 病毒的傳播機理，最后提出了一種確保P2P 網(wǎng)絡安全運行的方法。

第二篇：網(wǎng)絡攻擊與防御論文2

世界科學技術的整體進步較大的推動我國科學技術的發(fā)展，在科學技術中，計算機網(wǎng)絡技術的發(fā)展速度是比較快的，同時其應用范圍也比較廣泛，比如辦公、會計電算化的實現(xiàn)都是以計算機網(wǎng)絡技術為依托的，但是，在應用中計算機網(wǎng)絡的信息安全就成為人們所面臨的困擾，為此，在計算機網(wǎng)絡技術發(fā)展的同時，我們也要積極研究以防火墻屏障為基礎的網(wǎng)絡安全防護技術，以此提高計算機網(wǎng)絡技術應用的質(zhì)量。

造成網(wǎng)絡安全隱患的主要因素是網(wǎng)絡病毒、網(wǎng)絡犯罪以及網(wǎng)絡黑客等，同時，隨著商業(yè)上對計算機網(wǎng)絡技術的應用范圍的擴大，這種安全問題所造成的損失也在逐漸增大，所以說，如果這一問題得不到有效的解決，那么其將會成為我國經(jīng)濟發(fā)展過程中的一塊絆腳石，給人們的生活也會帶來一定的困擾，為此，我們要深入研究計算機網(wǎng)絡防火墻技術。

1防火墻屏障簡述

防火墻技術是目前在計算機網(wǎng)絡安全防護中應用比較廣泛的一種技術，是一種安全保障方式，防火墻的主要工作過程就是對一個網(wǎng)絡環(huán)境的進出權限進行控制，并盡量讓所有相關鏈接都接受其檢查，從而對其所要防護的對象起到保護作用，避免了保護對象受到非法的破壞和干擾。計算機網(wǎng)絡技術中的防火墻屏障其可以是一個獨立完整的系統(tǒng)，同時也可以通過網(wǎng)絡路由器來實現(xiàn)其防護功能。

防火墻具有一定的安全策略，這種安全策略是防火墻功能的靈魂，在防火墻構造之前，一定要制定出一個完整的安全防護策略，這種安全防護策略在制定之前一定要進行深入的風險預估、安全分析以及相關的商業(yè)分析，這種安全策略能夠保證防火墻屏障總體功能的發(fā)揮，如果不進行策略研究，那么就會導致整體功能得不到發(fā)揮。對于不同安全風險防范需求的網(wǎng)絡來說，其所需要的計算機防火墻的類型也是不同的，也就是說其安全防范策略會不同，而對于安全策略來說通常情況下有兩種主要的制定策略，一種是，對一切沒經(jīng)過允許的信息嚴禁進入；另一種就是完全允許那些沒有經(jīng)過禁止的信息自由進入，從中我們不難看出，其中第一種的安全性相對要高一些。

2常用防火墻技術研究

防火墻技術隨著計算機網(wǎng)絡技術的發(fā)展在不斷更新，但是，目前常用的計算機網(wǎng)絡防火墻技術主要有以下幾種。

2.1包過濾型

這種技術是根據(jù)“系統(tǒng)內(nèi)事先設定的過濾邏輯，通過設備對進出網(wǎng)絡的數(shù)據(jù)流進行有選擇地控制與操作?！边@種包過濾技術的應用方式主要有三種，其一，通過路由器設備，在其進行路由的選擇以及數(shù)據(jù)的轉發(fā)過程中對傳送過來的數(shù)據(jù)包進行過濾；其二，把相關的過濾軟件應用在工作站中，在工作站中對各種信息進行過濾；其三，屏蔽路由設備的啟用，這種設備對數(shù)據(jù)包的過濾功能是通過屏蔽路由上過濾功能的啟用而實現(xiàn)的。目前，在計算機網(wǎng)絡中使用比較廣泛的是通過路由器實現(xiàn)的數(shù)據(jù)包過濾。數(shù)據(jù)包的過濾技術的作用主要發(fā)揮在數(shù)據(jù)的傳輸層和網(wǎng)絡層，“以IP包信息為基礎，對通過防火墻的IP包的源，目標地址，TCP/UDP端口的標識符等進行檢查”。

包過濾技術在應用過程中表現(xiàn)出了以下的優(yōu)點和缺點：首先，表現(xiàn)出來的優(yōu)點。這種技術在應用過程中不需要對計算機主機上的程序進行更改；對用戶的要求較少；該技術具有一定的獨立性，同時在路由器上進行傳輸數(shù)據(jù)包的過濾對整個網(wǎng)絡的安全運行都是有利的，而且目前所使用的多數(shù)路由器都具有這種包過濾技能，所以在使用上的方便性也是其優(yōu)點之一。其次，表現(xiàn)出來的缺點。缺點主要就是其不支持應用層面協(xié)議的過濾，對黑客入侵的防范力度較小，對不不斷出現(xiàn)的新安全隱患沒有抵御能力。

2.2代理型

代理技術實際上是指代理型防火墻技術，也就是代理服務器，這種技術所起到的作用要比包過濾技術的安全性要高，更重要的是其正在向著包過濾技術還沒有發(fā)展到的領域空間發(fā)展，在一定程度上彌補了包過濾技術的缺點。代理型防火墻的安裝位置是在客戶機和服務器之間，它能夠對內(nèi)外網(wǎng)之間的直接通信進行徹底隔絕，進而在內(nèi)部網(wǎng)和外部網(wǎng)之間建立一個信息交流屏障，所以，此時，相對于客戶機，服務器的角色就完全被代理型防火墻所代替了，防火墻也就成為了一種服務器；與此同時，相對于服務器而言，代理技術的應用使得代理防火墻取代了客戶機的角色。綜上所述，當客戶機發(fā)出相關的信息使用請求時，其首先是將信息發(fā)送給代理服務器，代理服務器根據(jù)情況獲得信息之后在傳輸給客戶機。

這種網(wǎng)絡安全屏障技術所表現(xiàn)出來的安全性明顯的提高了，其對病毒的防護具有了較強的針對性，尤其是在應用層中。表現(xiàn)出來的缺點是管理上的復雜性增大，要求網(wǎng)絡管理人員要具有較高的知識儲備和管理經(jīng)驗，一定程度上增加了使用投入。

2.3監(jiān)測型

監(jiān)測型防火墻技術已經(jīng)超越了原始防火墻的定義，監(jiān)測型防火墻主要是對各個層面都能實現(xiàn)實時檢測，同時，對檢測到的數(shù)據(jù)進行分析，從而判斷出來自不同層面的不安全因素。一般情況下監(jiān)測型防火墻的產(chǎn)品還帶有探測器，這種探測器是一種分布式的探測器，它能夠對內(nèi)網(wǎng)和外網(wǎng)進行雙重的監(jiān)測，防御外部網(wǎng)絡攻擊的同時還能夠防范內(nèi)部網(wǎng)絡的破壞。因此，監(jiān)測型防火墻在安安全性上遠遠超越了傳統(tǒng)防火墻，但是當前市面上的價格比較高，應用的資金投入較大。

3構建計算機安全體系

正是因為現(xiàn)代網(wǎng)絡安全性較差，所以，需要我們構建計算機安全體系。計算機專業(yè)人員要加大對網(wǎng)絡安全技術的研究，尤其是要根據(jù)病毒攻擊點進病毒防范軟件的設計，強化網(wǎng)絡運行的安全性和可靠性的檢測。同時，在網(wǎng)絡安全體系的構建當中還要以防火墻技術的應用為基礎，通過這種技術對計算機網(wǎng)絡運行中的不安全因素進行檢測，并及時報警，管理員根據(jù)警報采取相關措施。但是，防火墻技術還存在著一定的限制因素，要想建立完善的安全體系就要綜合應用各種安全技術，實現(xiàn)技術的完美結合，優(yōu)勢互補，最終目的是保障計算機網(wǎng)絡的安全。

第三篇：病毒檢測和網(wǎng)絡安全漏洞檢測制度

病毒檢測和網(wǎng)絡安全漏洞檢測制度

為保證我校校園網(wǎng)的正常運行，防止各類病毒、黑客軟件對我校聯(lián)網(wǎng)主機構成的威脅，最大限度的減少此類損失，特制定本制度：

1、各接入單位計算機內(nèi)應安裝防病毒軟件、防黑客軟件及垃圾郵件消除軟件，并對軟件定期升級。

2、各接入單休計算機內(nèi)嚴禁安裝病毒軟件、黑客軟件，嚴禁攻擊其它聯(lián)網(wǎng)主機，嚴禁散布黑客軟件和病毒。

3、網(wǎng)管中心應定期發(fā)布病毒信息，檢測校園網(wǎng)內(nèi)病毒和安全漏洞，并采取必要措施加以防治。

4、校園網(wǎng)內(nèi)主要服務器應當安裝防火墻系統(tǒng)，加強網(wǎng)絡安全管理。

5、網(wǎng)管中心定期對網(wǎng)絡安全和病毒檢測進行檢查，發(fā)現(xiàn)問題及時處理。

第四篇：計算機英語論文網(wǎng)絡攻擊與防御

計算機網(wǎng)絡攻擊和防范

摘要：網(wǎng)絡信息的安全和保密是一個至關重要的問題。無論是在局域網(wǎng)還是在廣域網(wǎng)中，都存在著自然和人為等諸多因素的脆弱性和潛在威脅。

關鍵詞：計算機;網(wǎng)絡;安全;防范

引言：本文旨在介紹現(xiàn)在的網(wǎng)絡安全問題，網(wǎng)絡攻擊的方式，步驟，防范。防火墻的結構，類型，和具體應用。使大家對于一般的網(wǎng)絡攻擊有所防范，可以用防火墻進行查殺和防護病毒。

正文：

網(wǎng)絡安全，是計算機信息系統(tǒng)安全的一個重要方面。如同打開了的潘多拉魔盒，計算機系統(tǒng)的互聯(lián)，在大大擴展信息資源的共享空間的同時，也將其本身暴露在更多惡意攻擊之下。如何保證網(wǎng)絡信息存儲、處理的安全和信息傳輸?shù)陌踩膯栴}，就是我們所謂的計算機網(wǎng)絡安全。信息安全是指防止信息財產(chǎn)被故意的或偶然的非法授權泄露、更改、破壞或使信息被非法系統(tǒng)辯識、控制；確保信息的保密性、完整性、可用性、可控性。信息安全包括操作系統(tǒng)安全、數(shù)據(jù)庫安全、網(wǎng)絡安全、病毒防護、訪問控制、加密和鑒別七個方面。設計一個安全網(wǎng)絡系統(tǒng)，必須做到既能有效地防止對網(wǎng)絡系統(tǒng)的各種各樣的攻擊，保證系統(tǒng)的安全，同時又要有較高的成本效益，操作的簡易性，以及對用戶的透明性和界面的友好性。

網(wǎng)絡安全攻擊，主要有四種方式L中斷、截獲、修改和偽造。

中斷是以可用性作為攻擊目標，它毀壞系統(tǒng)資源，使網(wǎng)絡不可用。

截獲是以保密性作為攻擊目標，非授權用戶通過某種手段獲得對系統(tǒng)資源的訪問。修改是以完整性作為攻擊目標，非授權用戶不僅獲得訪問而且對數(shù)據(jù)進行修改。

偽造是以完整性作為攻擊目標，非授權用戶將偽造的數(shù)據(jù)插入到正常傳輸?shù)臄?shù)據(jù)中。

網(wǎng)絡安全的解決方案

一、入侵檢測系統(tǒng)部署

入侵檢測能力是衡量一個防御體系是否完整有效的重要因素，強大完整的入侵檢測體系可以彌補防火墻相對靜態(tài)防御的不足。對來自外部網(wǎng)和校園網(wǎng)內(nèi)部的各種行為進行實時檢測，及時發(fā)現(xiàn)各種可能的攻擊企圖，并采取相應的措施。具體來講，就是將入侵檢測引擎接入中心交換機上。入侵檢測系統(tǒng)集入侵檢測、網(wǎng)絡管理和網(wǎng)絡監(jiān)視功能于一身，能實時捕獲內(nèi)外網(wǎng)之間傳輸?shù)乃袛?shù)據(jù)，利用內(nèi)置的攻擊特征庫，使用模式匹配和智能分析的方法，檢測網(wǎng)絡上發(fā)生的入侵行為和異常現(xiàn)象，并在數(shù)據(jù)庫中記錄有關事件，作為網(wǎng)絡管理員事后分析的依據(jù)；如果情況嚴重，系統(tǒng)可以發(fā)出實時報警，使得學校管理員能夠及時采取應對措施。

二、漏洞掃描系統(tǒng)

采用目前最先進的漏洞掃描系統(tǒng)定期對工作站、服務器、交換機等進行安全檢查，并根據(jù)檢查結果向系統(tǒng)管理員提供詳細可靠的安全性分析報告，為提高網(wǎng)絡安全整體水平產(chǎn)生重

要依據(jù)。

三、網(wǎng)絡版殺毒產(chǎn)品部署

在該網(wǎng)絡防病毒方案中，我們最終要達到一個目的就是：要在整個局域網(wǎng)內(nèi)杜絕病毒的感染、傳播和發(fā)作，為了實現(xiàn)這一點，我們應該在整個網(wǎng)絡內(nèi)可能感染和傳播病毒的地方采取相應的防病毒手段。同時為了有效、快捷地實施和管理整個網(wǎng)絡的防病毒體系，應能實現(xiàn)遠程安裝、智能升級、遠程報警、集中管理、分布查殺等多種功能。

四、網(wǎng)絡主機操作系統(tǒng)的安全和人身安全的措施

網(wǎng)絡防火墻作為第一道防線，并不能完全保護內(nèi)部網(wǎng)絡，必須結合其他措施，以改善該系統(tǒng)的安全水平。經(jīng)過防火墻是基于網(wǎng)絡的主機操作系統(tǒng)的安全和人身安全的措施。根據(jù)級別從低到高，即人身安全，主機系統(tǒng)，其核心業(yè)務系統(tǒng)安全，系統(tǒng)安全，應用服務的安全和檔案系統(tǒng)的安全，同時，主機的安全檢查和錯誤修復，作為以及備份安全系統(tǒng)作為補充的安全措施。這些構成了整個網(wǎng)絡系統(tǒng)，第二道防線，主要部分的一個突破，以防止防火墻，以及攻擊范圍內(nèi)。系統(tǒng)備份是最后一道防線網(wǎng)絡系統(tǒng)，用于攻擊后，系統(tǒng)還原。防火墻和主機安全的措施是整個系統(tǒng)的安全審計，入侵檢測和響應處理器構成的整體安全檢查和應對措施。從網(wǎng)絡系統(tǒng)的防火墻，網(wǎng)絡主機，甚至直接從網(wǎng)絡鏈路層的提取網(wǎng)絡狀態(tài)信息，輸入到入侵檢測子系統(tǒng)。入侵檢測系統(tǒng)按照一定的規(guī)則，以確定是否有任何入侵的事件，如果發(fā)生入侵，緊急處理措施，并產(chǎn)生一條警告消息。此外，該系統(tǒng)的安全審計中，還可以作為未來后果的攻擊行為，并處理安全政策的系統(tǒng)改進的信息來源。

總結：

網(wǎng)絡安全是一個綜合性問題，涉及技術，管理，使用和許多其他方面，包括它自己的信息系統(tǒng)安全問題，有物理和邏輯的技術措施，是一種技術只能解決問題的一另一方面，而不是萬能的。

參考文獻：

[ 1 ]黃一強，等。論軟件開發(fā)的需求分析階段的主要任務。季刊中山大學，2002年（01）。

[ 2 ]胡道元。計算機局域網(wǎng)模式[ M ]。北京：清華大學出版社，2001。

[ 3 ]朱厘森，甚至守。計算機網(wǎng)絡應用技術模式[ M ]。北京：專利文獻出版社，2001。

[ 4 ]渫西人。計算機網(wǎng)絡（第四版）[ M ]檔。北京：電子工業(yè)出版社，2003。

[ 5 ]孫小剛，韓棟，等。面向對象軟件工程，Visual C + +的網(wǎng)絡編程模式[ M ]。北京：清華大學出版社，2004,11

Computer network attacks and prevent

Abstract: Internet security and confidentiality of information is a critical issue.Whether in the LAN or WAN, there are both natural and man-made factors, such as the vulnerability and potential threats.Key words: computer;network;security;prevent

Introduction:This paper aims to introduce the current issue of network security, network attack methods, steps to prevent.The structure of the firewall, type, and specific applications.So that in general have to guard against network attacks can be used for killing the firewall and virus protection.The Main body:

Network security is the security of computer information systems in an important aspect.As the opening of Pandora's Box, the computer systems of the Internet, greatly expanded information resources sharing space at the same time, will be exposed in their own malicious more under attack.How to ensure that network storage, security and the transmission of information security, is the so-called computer network security.Information security is to prevent information from the property have been deliberately or accidentally leaked authorized illegal, altered, damage or illegal information system identification, control;ensure confidentiality, integrity, availability, controllable.Information security, including operating system security, database security, network security, virus protection, access control, encryption and identification of seven areas.Design of a network security system, we must not only effectively prevent the system to a wide range of network attacks, guarantee the safety of the system, and also have a higher

cost-effectiveness, operational simplicity, and transparent to the user interface and friendly.In the form of network security attacks,there are four main ways L

interruption,interception, modification and forgery.Interruption of availability is the object of the attack, which destroyed the system resources, so that the network is not available.Intercepted by the object of the attack the confidentiality, non-authorized users access to a means of access to system resources.Modify the object of the attack on the integrity, non-authorized users gain access not only data but also to be amended.Forged by the integrity of the object of the attack, non-authorized users to insert forged data to normal data transmission.Network security solutions

First, the deployment of Intrusion Detection System

Ability of intrusion detection is a measure of an effective defense system is an important factor in a complete, powerful intrusion detection system, a complete firewall can make up for the relative lack of static defense.From the external network and the campus network of the various acts of real-time detection, to detect all possible attempts to attack and take corresponding measures.Specifically, intrusion detection is to switch on the engine access center.Intrusion Detection System Intrusion Detection set, network management and network monitoring functions, both inside and outside the network in real-time capture of all data transmission between the use of built-in features of database attacks, the use of pattern matching and intelligence analysis to detect the occurrence of network intrusions and anomalies, and in the database record of the incident, as a network administrator based on hindsight;if in serious condition, the system real-time warning can be issued so that the school administrators to take timely measures to deal with.Second, vulnerability scanning system

Using the most advanced system of regular vulnerability scanning workstations, servers, switches and other safety checks, and in accordance with the results to the system administrator to provide detailed and reliable analysis of the security, to enhance the overall level of network security have an important basis.Third, the network version of the deployment of antivirus products

In the network anti-virus program, we eventually have to reach a goal is: To put an end to the LAN in the whole virus infection, dissemination and attack, in order to achieve this, we should be in the entire network at risk of infection and the spread of the virus to take place The anti-virus tools.At the same time in order to effectively and quickly implement and manage the entire network of anti-virus system, should be able to remotely install, smart upgrade, remote alarm, centralized management, distribution of a variety of functions such as killing.Forth, the network host operating system security and physical security measures

Network firewall as the first line of defense and can not fully protect the internal network, must be combined with other measures to improve the safety of the system level.After the firewall is based on the network host operating system security and physical security measures.In accordance with the level from low to high, namely, the physical security of the host system, the core operating system security, system security, application services security and file system security;At the same time,host security checks and bug fixes, as well as a backup safety system as a

supplementary safety measures.These constitute the entire network system, the second line of defense, the main part of a breakthrough to prevent the firewall as well as attacks from within.System backup is the last line of defense network system, used to attack after the System Restore.The firewall and host security measures is the overall system security by auditing, intrusion detection and response processor constitute the overall safety inspection and response measures.It from the network system firewall, network host or even directly from the network link layer on the extraction of network status information, as input to the intrusion detection subsystem.Intrusion Detection System in accordance with certain rules to determine whether there is any invasion of the incident, if the invasion occurred, the emergency treatment measures, and generate a warning message.Moreover, the system's security audit also can be used as the future consequences of aggressive behavior and to deal with security policy on the system to improve sources of information.Summary: Network security is a comprehensive issue, involving technology,management, use and many other aspects, including both its own information system security issues, there are physical and logical technical measures, a kind of technology can only solve the problem on the one hand, rather than a panacea.References:

[1] Huang Yi-qiang, et al.On the software development needs analysis phase of the main tasks.Quarterly Journal of Sun Yat-sen University, 2002(01).[2] Hu Daoyuan.Computer LAN [M].Beijing: Tsinghua University Press, 2001.[3] Zhu Lisen, even Shougong.Computer Network Application Technology [M].Beijing: Patent Literature Publishing House, 2001.[4] Xie Xiren.Computer Networks(4th edition)[M].Beijing: Publishing House of Electronics Industry, 2003.[5]孫小剛, Han Dong, et al.Oriented software engineering, Visual C + + Network Programming

[M].Beijing: Tsinghua University Press, 2004,11.

第五篇：網(wǎng)絡攻擊研究和檢測

[摘 要] 隨著計算機技術的不斷發(fā)展，網(wǎng)絡安全問題變得越來越受人關注。而了解網(wǎng)絡攻擊的方法和技術對于維護網(wǎng)絡安全有著重要的意義。本文對網(wǎng)絡攻擊的一般步驟做一個總結和提煉，針對各個步驟提出了相關檢測的方法。

[關鍵詞] 掃描 權限 后門

信息網(wǎng)絡和安全體系是信息化健康發(fā)展的基礎和保障。但是，隨著信息化應用的深入、認識的提高和技術的發(fā)展，現(xiàn)有信息網(wǎng)絡系統(tǒng)的安全性建設已提上工作日程。

入侵攻擊有關方法，主要有完成攻擊前的信息收集、完成主要的權限提升完成主要的后門留置等，下面僅就包括筆者根據(jù)近年來在網(wǎng)絡管理中有關知識和經(jīng)驗，就入侵攻擊的對策及檢測情況做一闡述。

對入侵攻擊來說，掃描是信息收集的主要手段，所以通過對各種掃描原理進行分析后，我們可以找到在攻擊發(fā)生時數(shù)據(jù)流所具有的特征。

一、利用數(shù)據(jù)流特征來檢測攻擊的思路

掃描時,攻擊者首先需要自己構造用來掃描的Ip數(shù)據(jù)包,通過發(fā)送正常的和不正常的數(shù)據(jù)包達到計算機端口,再等待端口對其響應,通過響應的結果作為鑒別。我們要做的是讓IDS系統(tǒng)能夠比較準確地檢測到系統(tǒng)遭受了網(wǎng)絡掃描。考慮下面幾種思路：

1.特征匹配。找到掃描攻擊時數(shù)據(jù)包中含有的數(shù)據(jù)特征，可以通過分析網(wǎng)絡信息包中是否含有端口掃描特征的數(shù)據(jù)，來檢測端口掃描的存在。如UDp端口掃描嘗試：content:“sUDp”等等。

2.統(tǒng)計分析。預先定義一個時間段，在這個時間段內(nèi)如發(fā)現(xiàn)了超過某一預定值的連接次數(shù)，認為是端口掃描。

3.系統(tǒng)分析。若攻擊者對同一主機使用緩慢的分布式掃描方法，間隔時間足夠讓入侵檢測系統(tǒng)忽略，不按順序掃描整個網(wǎng)段，將探測步驟分散在幾個會話中，不導致系統(tǒng)或網(wǎng)絡出現(xiàn)明顯異常，不導致日志系統(tǒng)快速增加記錄，那么這種掃描將是比較隱秘的。這樣的話，通過上面的簡單的統(tǒng)計分析方法不能檢測到它們的存在，但是從理論上來說，掃描是無法絕對隱秘的，若能對收集到的長期數(shù)據(jù)進行系統(tǒng)分析，可以檢測出緩慢和分布式的掃描。

二、檢測本地權限攻擊的思路

行為監(jiān)測法、文件完備性檢查、系統(tǒng)快照對比檢查是常用的檢測技術。虛擬機技術是下一步我們要研究的重點方向。

1.行為監(jiān)測法。由于溢出程序有些行為在正常程序中比較罕見，因此可以根據(jù)溢出程序的共同行為制定規(guī)則條件，如果符合現(xiàn)有的條件規(guī)則就認為是溢出程序。行為監(jiān)測法可以檢測未知溢出程序,但實現(xiàn)起來有一定難度，不容易考慮周全。行為監(jiān)測法從以下方面進行有效地監(jiān)測:一是監(jiān)控內(nèi)存活動，跟蹤內(nèi)存容量的異常變化，對中斷向量進行監(jiān)控、檢測。二是跟蹤程序進程的堆棧變化,維護程序運行期的堆棧合法性。以防御本地溢出攻擊和競爭條件攻擊。監(jiān)測敏感目錄和敏感類型的文件。對來自www服務的腳本執(zhí)行目錄、ftp服務目錄等敏感目錄的可執(zhí)行文件的運行,進行攔截、仲裁。對這些目錄的文件寫入操作進行審計,阻止非法程序的上傳和寫入。監(jiān)測來自系統(tǒng)服務程序的命令的執(zhí)行。對數(shù)據(jù)庫服務程序的有關接口進行控制,防止通過系統(tǒng)服務程序進行的權限提升。監(jiān)測注冊表的訪問，采用特征碼檢測的方法，阻止木馬和攻擊程序的運行。

2.文件完備性檢查。對系統(tǒng)文件和常用庫文件做定期的完備性檢查?？梢圆捎胏hecksum的方式,對重要文件做先驗快照,檢測對這些文件的訪問,對這些文件的完備性作檢查,結合行為檢測的方法,防止文件覆蓋攻擊和欺騙攻擊。

3.系統(tǒng)快照對比檢查。對系統(tǒng)中的公共信息，如系統(tǒng)的配置參數(shù)，環(huán)境變量做先驗快照，檢測對這些系統(tǒng)變量的訪問，防止篡改導向攻擊。

4.虛擬機技術。通過構造虛擬x86計算機的寄存器表、指令對照表和虛擬內(nèi)存，能夠讓具有溢出敏感特征的程序在虛擬機中運行一段時間。這一過程可以提取與有可能被懷疑是溢出程序或與溢出程序程序相似的行為，比如可疑的跳轉等和正常計算機程序不一樣的地方，再結合特征碼掃描法，將已知溢出程序代碼特征庫的先驗知識應用到虛擬機的運行結果中，完成對一個特定攻擊行為的判定。

虛擬機技術仍然與傳統(tǒng)技術相結合，并沒有拋棄已知的特征知識庫。虛擬機的引入使得防御軟件從單純的靜態(tài)分析進入了動態(tài)和靜態(tài)分析相結合的境界，在一個階段里面，極大地提高了已知攻擊和未知攻擊的檢測水平，以相對比較少的代價獲得了可觀的突破。在今后相當長的一段時間內(nèi)，虛擬機在合理的完整性、技術技巧等方面都會有相當?shù)倪M展。目前國際上公認的、并已經(jīng)實現(xiàn)的虛擬機技術在未知攻擊的判定上可達到80%左右的準確率。

三、后門留置檢測的常用技術

1.對比檢測法。檢測后門時，重要的是要檢測木馬的可疑蹤跡和異常行為。因為木馬程序在目標網(wǎng)絡的主機上駐留時,為了不被用戶輕易發(fā)現(xiàn),往往會采取各種各樣的隱藏措施，因此檢測木馬程序時必須考慮到木馬可能采取的隱藏技術并進行有效地規(guī)避，才能發(fā)現(xiàn)木馬引起的異常現(xiàn)象從而使隱身的木馬“現(xiàn)形”。常用的檢測木馬可疑蹤跡和異常行為的方法包括對比檢測法、文件防篡改法、系統(tǒng)資源監(jiān)測法和協(xié)議分析法等。

2.文件防篡改法。文件防篡改法是指用戶在打開新文件前,首先對該文件的身份信息進行檢驗以確保沒有被第三方修改。文件的身份信息是用于惟一標識文件的指紋信息,可以采用數(shù)字簽名或者md5檢驗和的方式進行生成。

3.系統(tǒng)資源監(jiān)測法。系統(tǒng)資源監(jiān)測法是指采用監(jiān)控主機系統(tǒng)資源的方式來檢測木馬程序異常行為的技術。由于黑客需要利用木馬程序進行信息搜集，以及滲透攻擊，木馬程序必然會使用主機的一部分資源，因此通過對主機資源(例如網(wǎng)絡、CpU、內(nèi)存、磁盤、USB存儲設備和注冊表等資源)進行監(jiān)控將能夠發(fā)現(xiàn)和攔截可疑的木馬行為。

4.協(xié)議分析法。協(xié)議分析法是指參照某種標準的網(wǎng)絡協(xié)議對所監(jiān)聽的網(wǎng)絡會話進行對比分析，從而判斷該網(wǎng)絡會話是否為非法木馬會話的技術。利用協(xié)議分析法能夠檢測出采取了端口復用技術進行端口隱藏的木馬。