第一篇：網絡信息理入侵檢測技術研究論文

摘要:隨著現代信息技術的進步,越來越多的企業通過計算機進行全面信息的管理,但是在一些情況下,外部木馬等的介入會對于企業的數據儲存進而造成信息泄露等,所以說針對于現代企業而言,網絡安全工作具有十分重要的意義。在這個大前提下,企業如何處理網絡信息管理中的入侵檢測技術變得非常重要。本文進行了相關分析,希望帶來幫助。

關鍵詞:網絡信息；管理；入侵檢測技術

在現代之中,一些非法分子利用木馬進行相應的隱藏,然后通過對于計算機植入木馬,進行一些信息的竊取。現代企業在面臨網絡非法分子進行信息盜取過程之中,首先應該對于入侵行為有著明確的認識,這就需要現代的入侵檢測技術了,對于入侵行為有著明確的判定,才能真正的展開后續行動,這對現代網絡信息管理而言十分重要。

1網絡信息管理中入侵檢測技術概述

(1)入侵檢測技術在網絡信息管理之中的作用。如果說現代計算機作為系統,那么入侵檢測技術就相當于保安系統,對于關鍵信息的儲存位置進行定期檢查和掃描,一旦發現外來不明用戶杜宇關鍵信息進行查詢,便對使用用戶進行警告,幫助用戶進行入侵行為的相關處理,保障關鍵的信息系統和數據信息不會收到損壞和盜竊。入侵檢測技術同樣會對系統之中存在的漏洞進行檢查和通報,對于系統之中的漏洞而言,往往便是入侵行為發生的位置,所以針對于這些位置進行處理,更為良好的保證整個系統的安全,對于現代企業網絡系統而言,入侵檢測技術便是保障的第二道鐵閘。

(2)現階段入侵檢測技術的主要流程。通常情況下,入侵檢測技主要可以分為兩個階段。第一個階段便是信息采集,主要便是對于用戶的各種信息使用行為和重要信息進行收集,這些信息的收集主要是通過對于重點信息部位的使用信息進行查詢得出的,所以說在現代應用之中,入侵檢測技術一方面應用了現代的檢測技術,另外一方面也對于多種信息都進行了收集行為,保證了收集信息的準確性;第二個階段便是處理相關信息,通過將收集的信息和過往的信息進行有效對比,然后如果對比出相關錯誤便進行判斷,判斷使用行為是否違背了網絡安全管理規范,如果判斷結果為肯定,那么便可以認定其屬于入侵行為,對于使用用戶進行提醒,幫助用戶對于入侵行為進行清除。

2現階段入侵檢測技術的使用現狀

(1)網絡信息管理中入侵檢測系統的問題。入侵檢測技術作為一種網絡輔助軟件去,其本身在現階段并不是完善的,自身也存在漏洞。所以說很多非法分子的入侵不僅僅是面對系統的,很多先通過入侵技術的漏洞來進行。針對現階段的使用過程而言,入侵檢測技術仍然存在自身的漏洞危險,也存在主要使用風險。在現階段存在危險的方面主要有兩個方面。一方面便是由于入侵檢測系統存在漏洞;另外一方面便是現代計算機技術的發展。無論是相關的檢測系統亦或是相關病毒,都是現代編程人員利用C語言進行編程,伴隨著相關編程水平的不斷提高,兩種技術同樣得到了自我發展,所以說很多hacker高手在現代的入侵行為之中,已經不能以舊有的眼光來進行相關分析。所以說新的時期,入侵檢測技術也應該得到自我的發展,同樣針對于應用網絡的相關企業做好安全保證,保證信息技術在現代之中的發展。

(2)現階段網絡信息管理之中入侵檢測技術存在的問題。網絡信息管理之中的入侵檢測技術在現代之中仍然存在問題,同樣是兩個方面問題。一方面是由于入侵技術自身存在漏洞,在現階段很多入侵檢測技術是通過對于入侵行為進行有效的提取,將行為進行歸納,對于行為是否符合現代網絡安全規范,然后判斷結果是否為入侵。很多時候,入侵行為往往較為隱秘,所以說這就導致了相關的入侵檢測技術不能對于入侵行為進行提取,更無從談起其是否符合網絡安全規范。另外一方面的問題便是檢測速度明顯小于入侵速度,這也是在現階段常見的問題。隨著現代網絡技術的發展,網絡速度已經得到了有效的自我發展,很多入侵檢測過程之中,很多時候檢測速度小于網絡檢測速度,這樣的情況下,一些行為尚未進行阻攔,便已經達成入侵的目的了,進而導致了信息的丟失,所以說這方面的問題同樣應該得到改善。企業在應用之中,也應該注意這種速度的問題,防止因為速度進而造成自身信息丟失等。

3網絡信息管理之中入侵檢測技術的具體分類

(1)異常檢測,異常檢測顧名思義,便是對于入侵行為進行檢測,但是由于入侵的性質未定,這就導致很多時候入侵檢測技術進行了無用功。現階段往往入侵檢測技術通過建立一個行為輪廓來進行限定,如果入侵行為已經超過了這個行為輪廓,便確定其為入侵行為。這種模式大大簡化了行為判定的過程,但是由于過于簡單的相應行為也容易出現相關漏洞。在實際工作之中,往往非入侵行為但是在行為輪廓行為之外的網絡訪問行為,但是在入侵檢測技術之中被判斷為入侵行為,造成了工作的重復。所以說在進行行為輪廓的確定時,同樣應該由一些特征量來確定,減少檢測工作可能出現的失誤,進而可以提升檢測工作的效率;另外一方面可以設置參考數值,通過參考數值的評定來進行評判,在入侵檢測技術之中,參考數值非常重要。

(2)誤用檢測,其應用前提便是所有的入侵行為進行識別并且進行標記。在一般情況下,誤用檢測便是通過攻擊方法來進行攻擊簽名,然后再通過定義已經完成的攻擊簽名對于入侵行為進行相關判斷。很多行為都是通過漏洞來進行,所以誤用檢測可以準確的判斷出相應入侵行為,不僅預防了入侵行為,還可以對于其他入侵行為進行警示作用。這種技術在實際使用過程之中,提升了入侵檢測數的效率和準確。

4結語

在現代信息技術得到發展的今天,網絡信息管理已經成為了現代企業非常重要的組成部分。針對于網絡安全而言,其自身往往具有一些技術之中的漏洞,所以同樣容易引發入侵行為。針對于入侵行為,現代之中有著入侵檢測技術,本文對于入侵檢測技術的使用進行了分析,希望為相關人員帶來相關思考。

參考文獻

[1]張麗.入侵檢測技術在網絡信息管理中的應用分析[J].中國科技博覽,2014,第16期:12-12.[2]陳瑩瑩.網絡信息管理中入侵檢測技術的研究[J].信息通信,2013,06期:99-99.[3]張偉.計算機網絡信息管理系統中的入侵檢測技術[J].計算機光盤軟件與應用,2014,11期:168-169.

第二篇：入侵檢測技術論文

目錄

第一章 緒論

1.1 入侵檢測技術的背景 1.2 程序設計的目的 第二章 入侵檢測系統 2.1 網絡入侵概述

2.2 網絡存在的安全隱患

2.3 網絡入侵與攻擊的常用手段 2.4 入侵檢測技術

2.4.1 誤用入侵檢測技術 2.4.2 異常入侵檢測技術

第三章 協議分析 3.1 協議分析簡介 3.2 協議分析的優勢

第四章 PANIDS系統的設計及實現 4.1 PANIDS系統總體結構設計

4.2 系統基本信息讀取模塊的設計及實現 4.3 網絡數據包捕獲模塊的設計及實現 4.4 基于協議分析的入侵檢測模塊的設計及實現 4.4.1 數據包的分解 4.4.2 入侵檢測的實現 4.5 實驗結果及結論

第五章 總結與參考文獻

摘要

網絡技術高速發展的今天，人們越來越依賴于網絡進行信息的處理。因此，網絡安全就顯得相當重要，隨之產生的各種網絡安全技術也得到了不斷地發展。防火墻、加密等技術，總的來說均屬于靜態的防御技術。如果單純依靠這些技術，仍然難以保證網絡的安全性。入侵檢測技術是一種主動的防御技術，它不僅能檢測未經授權的對象入侵，而且也能監視授權對象對系統資源的非法使用。傳統的入侵檢測系統一般都采用模式匹配技術，但由于技術本身的特點，使其具有計算量大、檢測效率低等缺點，而基于協議分析的檢測技術較好的解決了這些問題，其運用協議的規則性及整個會話過程的上下文相關性，不僅提高了入侵檢測系統的速度，而且減少了漏報和誤報率。本文提出了一種基于協議分析的網絡入侵檢測系統PANIDS的模型，在該模型中通過Winpcap捕獲數據包，并對數據包進行協議分析，判斷其是否符合某種入侵模式，從而達到入侵檢測的目的。

關鍵詞： 入侵檢測，協議分析，PANIDS

第一章 緒論

1.1 入侵檢測技術的背景

隨著計算機網絡的飛速發展，網絡通信已經滲透到社會經濟、文化和科學的各個領域；對人類社會的進步和發展起著舉足輕重的作用，它正影響和改變著人們工作、學習和生活的方式。另外，Internet的發展和應用水平也已經成為衡量一個國家政治、經濟、軍事、技術實力的標志；發展網絡技術是國民經濟現代化建設不可缺少的必要條件。網絡使得信息的獲取、傳遞、存儲、處理和利用變得更加有效、迅速，網絡帶給人們的便利比比皆是。然而，網絡在給人們的學習、生活和工作帶來巨大便利的同時也帶來了各種安全問題。網絡黑客可以輕松的取走你的機密文件，竊取你的銀行存款，破壞你的企業帳目，公布你的隱私信函，篡改、干擾和毀壞你的數據庫，甚至直接破壞你的磁盤或計算機，使你的網絡癱瘓或者崩潰。因此，研究各種切實有效的安全技術來保障計算機系統和網絡系統的安全，已經成為刻不容緩的課題。伴隨著網絡的發展，各種網絡安全技術也隨之發展起來。常用的網絡安全技術有：數據加密、虛擬專用網絡（VPN，Virtual Private Network）、防火墻、殺毒軟件、數字簽名和身份認證等技術。這些傳統的網絡安全技術，對保護網絡的安全起到非常重要的作用，然而它們也存在不少缺陷。例如，防火墻技術雖然為網絡服務提供了較好的身份認證和訪問控制，但是它不能防止來自防火墻內部的攻擊、不能防備最新出現的威脅、不能防止繞過防火墻的攻擊，入侵者可以利用脆弱性程序或系統漏洞繞過防火墻的訪問控制來進行非法攻擊。傳統的身份認證技術，很難抵抗脆弱性口令、字典攻擊、特洛伊木馬、網絡窺探器以及電磁輻射等攻擊手段。虛擬專用網技術只能保證傳輸過程中的安全，并不能防御諸如拒絕服務攻擊、緩沖區溢出等常見的攻擊。另外，這些技術都屬于靜態安全技術的范疇；靜態安全技術的缺點是只能靜態和消極地防御入侵，而不能主動檢測和跟蹤入侵。而入侵檢測技術是一種動態安全技術，它主動地收集包括系統審計數據，網絡數據包以及用戶活動狀態等多方面的信息；然后進行安全性分析，從而及時發現各種入侵并產生響應。1.2 程序設計的目的

在目前的計算機安全狀態下，基于防火墻、加密技術等的安全防護固然重要；但是要根本改善系統的安全現狀，必須要發展入侵檢測技術。它已經成為計算機安全策略中的核心技術之一。Intrusion Detection System（簡稱IDS）作為一種主動的安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護。從網絡安全立體縱深的多層次防御角度出發，入侵檢測理應受到高度重視，這從國外入侵檢測產品市場的蓬勃發展就可以看出。在國內，隨著上網關鍵部門、關鍵業務越來越多，迫切需要具有自主版權的入侵檢測產品；但目前我國的入侵檢測技術還不夠成熟，處于發展和跟蹤國外技術的階段，所以對入侵檢測系統的研究非常重要。傳統的入侵檢測系統中一般采用傳統的模式匹配技術,將待分析事件與入侵規則相匹配。從網絡數據包的包頭開始與攻擊特征字符串比較。若比較結果不同,則下移一個字節再進行；若比較結果相同,那么就檢測到一個可 能 的攻擊。這種逐字節匹配方法具有計算負載大及探測不夠靈活兩個最根本的缺陷。面對近幾年不斷出現的ATM、千兆以太網、G比特光纖網等高速網絡應用,實現實時入侵檢測成為一個現實的問題。適應高速網絡的環境，改進檢測算法以提高運行速度和效率是解決該問題的一個途徑。協議分析能夠智能地”理解”協議,利用網絡協議的高度規則性快速探測攻擊的存在,從而大大減少了模式匹配所需的運算。所以說研究基于協議分析的入侵檢測技術具有很強的現實意義。

第二章 入侵檢測系統

2.1 網絡入侵概述

網絡在給人們帶來便利的同時也引入了很多安全問題。從防衛者的角度來看，網絡安全的目標可以歸結為以下幾個方面 ：（1）網絡服務的可用性。在需要時，網絡信息服務能為授權用戶提供實時有效的服務。

（2）網絡信息的保密性。網絡服務要求能防止敏感信息泄漏，只有授權用戶才能獲取服務信息。

（3）網絡信息的完整性。網絡服務必須保證服務者提供的信息內容不能被非授權篡改。完整性是對信息的準確性和可靠性的評價指標。

（4）網絡信息的不可抵賴性。用戶不能否認消息或文件的來源地，也不能否認接受了信息或文件。

（5）網絡運行的可控性。也就是網絡管理的可控性，包括網絡運行的物理的可控性和邏輯或配置的可控性，能夠有效地控制網絡用戶的行為及信息的傳播范圍。

2.2 網絡存在的安全隱患

網絡入侵從根本上來說，主要是因為網絡存在很多安全隱患，這樣才使得攻擊者有機可乘。導致網絡不安全的主要因素可以歸結為下面幾點：

（1）軟件的Bug。眾所周知，各種操作系統、協議棧、服務器守護進程、各種應用程序等都存在不少漏洞。可以不夸張的說，幾乎每個互聯網上的軟件都或多或少的存在一些安全漏洞。這些漏洞中，最常見的有緩沖區溢出、競爭條件（多個程序同時訪問一段數據）等。

（2）系統配置不當。操作系統的默認配置往往照顧用戶的友好性，但是容易使用的同時也就意味著容易遭受攻擊。這類常見的漏洞有：系統管理員配置不恰當、系統本身存在后門等。

（3）脆弱性口令。大部分人為了輸入口令的時候方便簡單，多數都使用自己或家人的名字、生日、門牌號、電話號碼等作為口令。攻擊者可以通過猜測口令或拿到口令文件后，利用字典攻擊等手段來輕易破解口令。

（4）信息泄漏。入侵者常用的方法之一就是竊聽。在廣播式的局域網上，將網卡配置成”混雜”模式，就可以竊聽到該局域網的所有數據包。如果在服務器上安裝竊聽軟件就可以拿到遠程用戶的帳號和口令。

（5）設計的缺陷。最典型的就是TCP/IP協議，在協議設計時并沒有考慮到安全因素。雖然現在已經充分意識到了這一點，但是由于TCP/IP協議已經廣泛使用，因此暫時還無法被完全代替。另外，雖然操作系統設計的時候考慮了很多安全因素，但是仍然無法避免地存在一些缺陷。例如，廣泛使用的Windows操作系統，幾乎每隔幾個月都要出一定數量的安全補丁，就是因為系統存在很多安全隱患。2.3 網絡入侵與攻擊的常用手段

長期以來，黑客攻擊技術沒有成為系統安全研究的一個重點，一方面是攻擊技術很大程度上依賴于個人的經驗以及攻擊者之間的交流，這種交流通常都是地下的，黑客有他們自己的交流方式和行為準則，這與傳統的學術研究領域不相同；另一方面，研究者還沒有充分認識到：只有更多地了解攻擊技術，才能更好地保護系統的安全。下面簡單介紹幾種主要的攻擊類型。1.探測攻擊

通過掃描允許連接的服務和開放端口，能迅速發現目標主機端口的分配情況以及所提供的各項服務和服務程序的版本號。另外通過掃描還可以探測到系統的漏洞等信息。黑客找到有機可乘的服務或端口后就可以進行攻擊了。常見的探測掃描程序有：SATAN、NTScan、X_Scan、Nessus等。2.網絡監聽

將網卡設置為混雜模式，對已流經某個以太網段的所有數據包進行監聽，以獲取敏感信息，如包含了”usename”或”password”等信息的數據包。常見的網絡監聽工具有：NetRay、Sniffer、Etherfind、Snoop、Tcpdump等。3.解碼類攻擊

通過各種方法獲取password文件，然后用口令猜測程序來破譯用戶帳號和密碼。常見的解碼工具有：Crack、LophtCrack等。

2.4 入侵檢測技術

入侵檢測技術可以分為兩大類：異常入侵檢測技術和誤用入侵檢測技術。下面分別介紹這兩種入侵檢測技術。2.4.1 誤用入侵檢測技術

誤用入侵檢測首先對表示特定入侵的行為模式進行編碼，建立誤用模式庫；然后對實際檢測過程中得到的審計事件數據進行過濾，檢查是否包含入侵特征串。誤用檢測的缺陷在于只能檢測已知的攻擊模式。常見的誤用入侵檢測技術有以下幾種：

1.模式匹配

模式匹配是最常用的誤用檢測技術，特點是原理簡單、擴展性好、檢測效率高、可以實時檢測；但是只能適用于比較簡單的攻擊方式。它將收集到的信息與已知的網絡入侵和系統誤用模式串進行比較，從而發現違背安全策略的行為。著名的輕量級開放源代碼入侵檢測系統Snort就是采用這種技術。2.專家系統

該技術根據安全專家對可疑行為的分析經驗來形成一套推理規則，然后在此基礎上建立相應的專家系統來自動對所涉及的入侵行為進行分析。該系統應當能夠隨著經驗的積累而利用其自學習能力進行規則的擴充和修正。專家系統方法存在一些實際問題：處理海量數據時存在效率問題，這是由于專家系統的推理和決策模塊通常使用解釋型語言來實現，所以執行速度比編譯型語言慢；專家系統的性能完全取決于設計者的知識和技能；規則庫維護非常艱巨，更改規則時必須考慮到對知識庫中其他規則的影響等等。3.狀態遷移法

狀態遷移圖可用來描述系統所處的狀態和狀態之間可能的遷移。狀態遷移圖用于入侵檢測時，表示了入侵者從合法狀態遷移到最終的危害狀態所采取的一系列行動。

在檢測未知的脆弱性時，因為狀態遷移法強調的是系統處于易受損的狀態而不是未知入侵的審計特征，因此這種方法更具有健壯性。而它潛在的一個弱點是太拘泥于預先定義的狀態遷移序列。這種模型運行在原始審計數據的抽象層次上，它利用系統狀態的觀念和事件的轉變流；這就有可能提供了一種既能減少誤警率又能檢測到新的攻擊的途徑。另外，因為涉及了比較高層次的抽象，有希望把它的知識庫移植到不同的機器、網絡和應用的入侵檢測上。2.4.2 異常入侵檢測技術

異常檢測是通過對系統異常行為的檢測來發現入侵。異常檢測的關鍵問題在于正常使用模式的建立，以及如何利用該模式對當前系統或用戶行為進行比較，從而判斷出與正常模式的偏離程度。”模式”（profiles）通常使用一組系統的度量（metrics）來定義。度量，就是指系統或用戶行為在特定方面的衡量標準。每個度量都對應于一個門限值。常用的異常檢測技術有： 1.統計分析

最早的異常檢測系統采用的是統計分析技術。首先，檢測器根據用戶對象的動作為每個用戶建立一個用戶特征表，通過比較當前特征與已存儲定型的以前特征，從而判斷是否異常行為。統計分析的優點：有成熟的概率統計理論支持、維護方便，不需要象誤用檢測系統那樣不斷地對規則庫進行更新和維護等。統計分析的缺點：大多數統計分析系統是以批處理的方式對審計記錄進行分析的，不能提供對入侵行為的實時檢測、統計分析不能反映事件在時間順序上的前后相關性，而不少入侵行為都有明顯的前后相關性、門限值的確定非常棘手等。2.神經網絡

這種方法對用戶行為具有學習和自適應功能，能夠根據實際檢測到的信息有效地加以處理并做出入侵可能性的判斷。利用神經網絡所具有的識別、分類和歸納能力，可以使入侵檢測系統適應用戶行為特征的可變性。從模式識別的角度來看，入侵檢測系統可以使用神經網絡來提取用戶行為的模式特征，并以此創建用戶的行為特征輪廓。總之，把神經網絡引入入侵檢測系統，能很好地解決用戶行為的動態特征以及搜索數據的不完整性、不確定性所造成的難以精確檢測的問題。利用神經網絡檢測入侵的基本思想是用一系列信息單元（命令）訓練神經單元，這樣在給定一組輸入后，就可能預測輸出。將神經網絡應用于攻擊模式的學習，理論上也是可行的。但目前主要應用于系統行為的學習，包括用戶以及系統守護程序的行為。與統計理論相比，神經網絡更好地表達了變量間的非線性關系，并且能自動學習并更新。

神經網絡也存在一些問題：在不少情況下，系統趨向于形成某種不穩定的網絡結構，不能從訓練數據中學習特定的知識，這種情況目前尚不能完全確定產生的原因；另外，神經網絡對判斷為異常的事件不會提供任何解釋或說明信息，這導致了用戶無法確認入侵的責任人，也無法判斷究竟是系統哪方面存在的問題導致了攻擊者得以成功入侵。

前面介紹了誤用檢測和異常檢測所使用的一些常用檢測手段，在近期入侵檢測系統的發展過程中，研究人員提出了一些新的入侵檢測技術。這些技術不能簡單地歸類為誤用檢測或異常檢測，它們提供了一種有別于傳統入侵檢測視角的技術層次。這些新技術有：免疫系統、基因算法、數據挖掘、基于代理的檢測等等，他們提供了更具有普遍意義的分析檢測技術，或者提出了新的檢測系統構架，因此無論是對誤用檢測還是對異常檢測來說都可以得到很好的應用。

第三章 協議分析

3.1 協議分析簡介 1.以太幀協議分析

這是對以太網數據幀頭進行協議分析，并把分析的結果記入Packet結構中。分析完以太幀頭后把數據包傳送到下一級協議分析程序中。數據幀的第13和14兩個字節組成的字段是協議類型字段。如果用十六進制表示，那么IP協議對應0X0800、ARP對應0X0806、RARP對應0X0835。2.ARP和RARP數據包協議分析

這是對ARP或RARP數據進行協議分析，并把協議分析后的數據送入基于ICMP協議規則集的匹配檢測模塊進行檢測，查看是否存在ARP和RARP相關的攻擊。由于基于ARP/RARP協議的攻擊較少，所以把他們歸入ICMP協議規則集中。3.IP數據包協議分析

這是對IP 數據包進行協議分析，并把協議分析后的數據送入基于IP協議規則集的匹配檢測程序中進行檢測。IP數據包首部的第一個字節的后面4個比特組成的字段標識了IP首部的長度。該字段的值乘以4就等于IP首部的長度。沒有包含IP選項的普通IP首部長度為20，如果大于20就說明此IP數據包包含IP首部。第5和第6個字節是IP數據包的16位標識，每一IP數據包都有唯一的標識。該標識在IP數據包分片重組時中起到至關重要的作用，每個分片就是通過檢查此ID號來判別是否屬于同一個IP包。第7個字節開始的前3個比特是重要的標志位：第一個標志位（最高位）為保留位（該位必須為0，否則就是一個錯誤的IP數據包），第二個標志位DF指示該IP數據包能否分片（該位為0則表示該IP數據包可以分片，為1則不能分片），第三個標志位MF指示該數據包是否為最后一個分片（該位為0表示此數據包是最后一個分片，為1表示不是最后一個分片）。從MF標志位開始的后面13個比特位記錄了分片的偏移量。分片的IP數據包，各個分片到目的端才會重組；傳輸過程中每個分片可以獨立選路。如何才能重組一個分片了的IP數據包呢？首先，16位分片ID（Fragment ID）標識了每個IP數據包的唯一性。數據包分片后，它的每個分片具有相同的標識。其次，通過每個分片的片偏移量可以確定每個分片的位置，再結合MF可以判斷該分片是否為最后一個分片。綜合上述信息，就可以順利的重組一個數據包。分片重組對網絡入侵檢測系統具有重要意義。首先，有一些攻擊方法利用了操作系統協議棧中分片合并實現上的漏洞，例如著名的TearDrop攻擊就是在短時間內發送若干偏移量有重疊的分片，目標機接收到這樣的分片的時候就會合并分片，由于其偏移量的重疊而發生內存錯誤，甚至會導致協議棧的崩潰。這種攻擊手段單從一個數據包上是無法辨認的，需要在協議分析中模擬操作系統的分片合并，以發現不合法的分片。另外，Tiny Fragment（極小分片）等攻擊方法，將攻擊信息隱藏在多個微小分片內來繞過入侵檢測系統或防火墻的檢測從而達到攻擊的目的。對付這種攻擊也需要在檢測的過程中合并碎片，恢復數據包的真實面目。

IP包頭的第10個字節開始的后面八個比特位表示了協議的類型：其中1表示ICMP協議，2表示IGMP協議，6表示TCP協議，17表示UDP協議。（這些數字是十進制的）。對IP數據包檢測完畢后，如果檢測到攻擊就記錄該數據包，然后重新開始檢測一個新的原始數據包。如果沒有檢測到攻擊，則在判斷上層協議類型之后就把數據包分流到TCP、UDP等協議分析程序中進行進一步協議分析。4.TCP數據包協議分析

這是對TCP數據包進行協議分析，并把協議分析后的數據送入基于TCP協議規則集的匹配檢測程序中進行檢測。首先讀入TCP數據包，對TCP包頭進行協議分析；并檢查是否有TCP選項，如果有的話就對TCP選項進行協議分析。然后，判斷該TCP數據包是否發生分段，如果發生了分段就進行TCP重組。再把重組后的數據包送入基于TCP協議規則集的匹配檢測程序進行檢測。如果檢測到攻擊就記錄下該攻擊數據包，以備攻擊取證等使用。記錄數據包后又返回，重新讀取一個新的數據包。如果沒有檢測到攻擊，就把該數據包送入下一級協議分析模塊中，作進一步的協議分析。

5.ICMP數據包協議分析

這是對ICMP數據包進行協議分析，并把協議分析后的數據送入基于ICMP協議規則集的匹配檢測程序中進行檢測。ICMP報文有很多類型，根據報文中的類型字段和代碼字段就可以區分每一種ICMP報文類型。6.UDP協議分析

這是對UDP數據包進行協議分析，并把協議分析后的數據送入基于UDP協議規則集的匹配檢測程序中進行檢測。如果檢測到攻擊就記錄該數據包，然后返回并讀取下一個數據包。如果沒有檢測到攻擊，那么就把數據包送入基于應用層協議規則集的檢測模塊進行進一步的檢測分析。應用層協議很復雜，這里不進行詳細討論。

3.2 協議分析的優勢（1）提高性能：當系統提升協議棧來解析每一層時，它用已獲得的知識來消除在數據包結構中不可能出現的攻擊。比如4層協議是TCP，那就不用再搜索其他第四層協議如UDP上形成的攻擊。如果數據包最高層是簡單網絡管理協議SNMP（Simple Network Management Protocol），那就不用再尋找Telnet或HTTP攻擊。這樣檢測的范圍明顯縮小，而且更具有針對性；從而使得IDS系統性能得到明顯改善。

（2）能夠探測碎片攻擊等基于協議漏洞的攻擊：在基于協議分析的IDS中，各種協議都被解析。如果出現IP分片，數據包將首先被重裝；然后再對整個數據包進行詳細分析來檢測隱藏在碎片中的潛在攻擊行為。這是采用傳統模式匹配技術的NIDS所無法做到的。（3）降低誤報和漏報率：協議分析能減少傳統模式匹配NIDS系統中常見的誤報和漏報現象。在基于協議分析的NIDS系統中誤報率會明顯減少，因為它們知道和每個協議有關的潛在攻擊的確切位置以及該位置每個字節的真正含義。例如，針對基于協議分析的IDS不但能識別簡單的路徑欺騙：例如把CGI攻擊”/cgi-bin/phf”變為”/cgi-bin/./phf”或”/cgi-binphf”；而且也能識別復雜的HEX編碼欺騙：例如”/winnt/system32/cmd.exe”，編碼后變為”/winnt/system32/%2563md.exe”，通過協議分析%25 解碼后為‘%’，%63解碼后為‘c’，這樣就解析出了攻擊串。又如針對Unicode（UTF-8）的編碼欺騙（與ASCII字符相關的HEX編碼一直到％7f，Unicode編碼值要高于它），攻擊串編碼后得到”/winnt/system32%c0%afcmd.exe”，通過解碼可知%c0%af在Unicode中對應/,所以解碼后就能順利還原出攻擊串。第四章 PANIDS系統的設計及實現

4.1 PANIDS系統總體結構設計

PANIDS系統 主要由系統基本信息讀取模塊、網絡數據包捕獲模塊、基于協議分析的入侵檢測模塊、響應模塊和控制管理中心等幾部分組成。4.2 系統基本信息讀取模塊的設計及實現

為了更好的顯示出本機的特性，在此PANIDS系統中特別增加系統基本信息讀取模塊。通過此模塊能顯示出主機名和本機的IP地址和所使用的Winsock的版本

在此模塊中主要用到函數gethostname()和gethostbyname()。gethostname()函數作用是獲取本地主機的主機名，其定義如下：

int PASCAL FAR gethostname(char FAR * name, int namelen);name：用于指向所獲取的主機名的緩沖區的指針。Namelen：緩沖區的大小，以字節為單位。

gethostbyname()在此模塊中是一個主要函數，該函數可以從主機名數據庫中得到對應的”主機”。其定義如下：

#include struct hostent FAR *PASCAL FAR gethostbyname(const char FAR * addr)name：指向主機名的指針。

gethostbyname()返回對應于給定主機名的包含主機名字和地址信息的hostent結構指針。結構的聲明與gethostaddr()中一致。如果沒有錯誤發生，gethostbyname()返回如上所述的一個指向hostent結構的指針，否則，返回一個空指針。hostent結構的數據結構如下： struct hostent { char *h_name;//地址的正式名稱

char **h_aliases;//空字節-地址的預備名稱的指針 int h_addrtype;//地址類型，通常是AF_INET int h_length;//地址的比特長度

char **h_addr_list;//零字節-主機網絡地址指針,網絡字節順序 };返回的指針指向一個由Windows Sockets實現分配的結構。應用程序不應該試圖修改這個結構或者釋放它的任何部分。此外，每一線程僅有一份這個結構的拷貝，所以應用程序應該在發出其他Windows Scokets API調用前，把自己所需的信息拷貝下來。

gethostbyname()實現沒有必要識別傳送給它的IP地址串。對于這樣的請求，應該把IP地址串當作一個未知主機名同樣處理。如果應用程序有IP地址串需要處理，它應該使用inet_addr()函數把地址串轉換為IP地址，然后調用gethostbyaddr()來得到hostent結構。4.3 網絡數據包捕獲模塊的設計及實現 網絡數據包捕獲的方法有很多，比如既可以利用原始套接字來實現，也可以通過Libpcap、Jpcap和WinPcap 提供的接口函數來實現。Libpcap、Jpcap和WinPcap是世界各地的網絡專家共同努力的結果，為開發者提供了很多高效且與系統無關的網絡數據包截獲接口函數；所以在性能上一般比采用普通的套接字方法要好。LibPcap是一個優秀跨平臺的網絡抓包開發工具，JPcap是它的一個Java版本。WinPcap在某種程度上可以說它是LibPcap的一個Windows版本，因為它們的大部分接口函數以及所采用的數據結構都是一樣的。另外，WinPcap在某些方面進行了優化，還提供了發送原始數據包和統計網絡通信過程中各種信息的功能（LibPcap沒有統計功能），方便進行測試；所以采用WinPcap所提供的庫函數來截獲網絡數據包。

Winpcap捕獲數據包的實現

1.網絡數據包捕獲的主要數據結構(1)PACKET結構

typedef struct _PACKET { HANDLE hEvent;OVERLAPPED OverLapped;PVOID Buffer;//這個buffer就是指向存放數據包的用戶緩沖區 UINT Length;//buffer的長度

DWORD ulBytesReceived;//調用PacketReceivePacket()函數所讀 //取的字節數,可能包含多個數據包 BOOLEAN bIoComplete;} PACKET, *LPPACKET;其他未注釋的幾個成員,都是過時的成員,他們的存在只是為了與原來的兼容。此結構主要用來存放從內核中讀取的數據包。(2)pcap_file_header 結構 struct pcap_file_header{ bpf_u_int32 magic;//一個標識號，標識特定驅動器產生的dump文件 u_short version_major;//WinPcap的主版本號 u_short version_minor;//WinPcap的次版本號

bpf_int32 thiszone;//GMT時間與本地時間的校正值 bpf_u_int32 sigfigs;//精確的時間戳

bpf_u_int32 snaplen;//每個數據包需要存放到硬盤上的最大長度 bpf_u_int32 linktype;//鏈路層的數據類型 };//這個頭部共24個字節

把截獲的數據包以標準的Windump格式存放到硬盤上時，就是以這個結構 作為文件的開頭。(3)bpf_hdr結構 struct bpf_hdr { struct timeval bh_tstamp;//數據包捕獲的時間戳信息 UINT bh_caplen;//數據包被捕獲部分的長度 UINT bh_datalen;//數據的原始長度 USHORT bh_hdrlen;//此結構的長度 };從內核中讀取數據包并存放在用戶緩沖區中時，采用此結構來封裝所截獲的 數據包。其中timeval的結構如下 struct timeval { long tv_sec;//以秒為單位的時間 long tv_usec;//以毫秒為單位的時間 };(4)dump_bpf_hdr結構 struct dump_bpf_hdr{ struct timeval ts;//數據包捕獲的時間戳 UINT caplen;//數據包被捕獲部分的長度 UINT len;//數據包的原始長度 };把數據包存放到硬盤上或者向網絡上發送數據包時，都使用此結構來封裝每一個數據包。

2.數據包捕獲的具體實現

在了解其數據結構的基礎上，下面來分析其是如何具體實現網絡數據包捕獲的。其前期的主要過程應為：首先應找到設備列表，然后顯示適配器列表和選擇適配器，最后通過pcap_open_live（）函數根據網卡名字將所選的網卡打開，并設置為混雜模式。

用Winpacp捕獲數據包時，數據包捕獲的程序流程圖如圖4.3所示，其中pcap_loop()是截包的關鍵環節，它是一個循環截包函數，分析此函數的源碼可知，其內部主要處理過程如圖4.4所示。在pcap_loop()的每次循環中，首先通過調用PacketReceivePacket()函數，從內核緩沖區中把一組數據包讀取到用戶緩沖區。然后，根據bpf_hdr結構提供的該數據包的定位信息，把用戶緩沖區的多個數據包逐個的提取出來，并依次送入回調函數進行進一步處理。通過這個過程就實現了網絡數據包的捕獲。

4.4 基于協議分析的入侵檢測模塊的設計及實現

此模塊是基于協議分析入侵檢測系統PANIDS的核心部分，下面我們重點討論此模塊的設計及實現。4.4.1 數據包的分解 當需要發送數據時，就需要進行封裝。封裝的過程就是把用戶數據用協議來進行封裝，首先由應用層協議進行封裝，如HTTP協議。而HTTP協議是基于TCP協議的。它就被TCP協議進行封裝，http包作為TCP數據段的數據部分。而TCP協議是基于IP協議的，所以TCP段就作為IP協議的數據部分，加上IP協議頭，就構成了IP數據報，而IP數據報是基于以太網的，所以這個時候就被封裝成了以太網幀，這個時候就可以發送數據了。通過物理介質進行傳送。在這里我們所用到的是數據包的分解。分解的過程與封裝的過程恰恰相反，這個時候就需要從一個以太網幀中讀出用戶數據，就需要一層一層地進行分解，首先是去掉以太網頭和以太網尾，在把剩下的部分傳遞給IP層軟件進行分解，去掉IP頭，然后把剩下的傳遞給傳輸層，例如TCP協議，此時就去掉TCP頭，剩下應用層協議部分數據包了，例如HTTP協議，此時HTTP協議軟件模塊就會進一步分解，把用戶數據給分解出來，例如是HTML代碼。這樣應用軟件就可以操作用戶數據了，如用瀏覽器來瀏覽HTML頁面。其具體的數據包分解如下：

ethernet =(struct sniff_ethernet*)(pkt_data);ip =(struct sniff_ip*)(pkt_data + size_ethernet);tcp =(struct sniff_tcp*)(pkt_data + size_ethernet + size_ip);udp =(struct sniff_udp*)(pkt_data + size_ethernet + size_ip);icmp =(struct sniff_icmp*)(pkt_data + size_ethernet + size_ip);4.4.2 入侵檢測的實現

通過Winpcap捕獲數據包，數據包分解完以后就對其進行協議分析，判斷分組是否符合某種入侵模式，如果符合，則進行入侵告警。在本系統中實現了對多種常見入侵模式的檢測，采用的入侵模式包括ICMP分片、常用端口、IGMP分片、WinNuke攻擊、應用層攻擊。1.ICMP分片

ICMP報文是TCP/IP協議中一種控制報文，它的長度一般都比較小，如果出現ICMP報文分片，那么說明一定出現了Ping of Death攻擊。

在本系統中ip->ip_p == 0×1，這是表示ip首部的協議類型字段，0×1代表ICMP。

string str1 = inet_ntoa(in_addrIP);string str2 = inet_ntoa(ip->ip_src);當(ip->ip_off > 1)&& str1!= str2時，就表認為是Ping of Death攻擊。如果都符合，就報警（調用函數將受到攻擊的時間、攻擊名稱以及攻擊的IP地址顯示出來）。

2.常用端口

一些攻擊特洛伊木馬、蠕蟲病毒等都會采用一些固定端口進行通信，那么如果在分組分析過程中發現出現了某個端口的出現，則可以認為可能出現了某種攻擊，這里為了減少誤判，應當設置一個閾值，僅當某個端口的分組出現超過閾值后才進行報警。這就意味著檢測到發往某個端口的的分組超過閾值后才認為出現了某種攻擊，并進行告警。本系統定義了兩種端口掃描，Trojan Horse端口掃描和代理服務器端口掃描。Trojan Horse端口掃描實現如下：首先根據if((tcp->th_flags & TH_SYN)==TH_SYN)判斷其是否為TCP SYN報文，若是，并且端口為Trojan Horse的常用掃描端口時，最后判斷報文數是否超過閾值TrojanThreshold，如果超過的后，就被認定為Trojan Horse端口掃描，然后報警。對代理服務器端口掃描檢測的實現方法和Trojan Horse端口掃描實現方法一樣，這里不再論述。

3.IGMP分片

IGMP（Internet Group Message Protocol）是Internet中多播組管理協議，其長度也一般較小。同上ip->ip_p==0×2也是表示首部的協議類型字段，0×2代表IGMP，本系統實現了對其兩種攻擊模式的檢測。

（1）通過if(ntohs(ip->ip_len)>1499)首先判斷其是否為分片的IGMP報文，若是，并且收到的報文數超過設定的閾值IGMPThreshold，則就最終判定其為IGMP DoS攻擊，然后報警。

（2）通過if(strcmp(mbf,mbuffer)==0||strcmp(mbf,”0.0.0.0″)==0)判斷其是否為某種特定的源地址等于目的地址或者目的地址等于0的報文，若是，并且收到的報文數超過設定的閾值LandThreshold則被判定為land DoS攻擊,然后報警。

4.WinNuke攻擊 通過if((tcp->th_flags & TH_URG)==TH_URG)判斷其是否為TCP URG報文，若是，則根據WinNuke的典型特征是使用TCP中的Ugrent指針，并使用135、137、138、139端口，因此可以利用這兩個特征加以判斷，同樣為了減少誤判，應當設置一個閾值。當閾值超過設定的WinNukeThreshold時，就被最終判定為WinNuke攻擊，然后報警。5.應用層攻擊

其是分析應用層的數據特征，判斷是否存在入侵。在本系統中實現了對一種較為簡單的應用層攻擊的檢測。它也是屬于TCP SYN報文中的一種。主要思想是監測報文中是否存在system32關鍵字，如果存在，則報警。

4.5 實驗結果及結論

程序編譯成功后，執行可執行文件，此時系統已被啟動，然后在”設置”菜單中將網卡設為混雜模式，點擊”開始”按鈕，本系統開始檢測。由實驗結果可知，本系統能較好的檢測出一些典型攻擊，并能在界面上顯示出攻擊日期/時間、攻擊的類型、攻擊源的IP地址，達到了預期的效果。

第五章 總結與參考文獻

入侵檢測是一種積極主動的安全防護技術；它既能檢測未經授權的對象入侵系統，又能監視授權對象對系統資源的非法操作。入侵檢測與防火墻、身份認證、數據加密、數字簽名等安全技術共同構筑了一個多層次的動態安全體系。本文主要對基于網絡的入侵檢測系統的關鍵技術進行了研究和探討。首先較全面、系統地分析了入侵檢測技術的歷史、現狀和發展趨勢、了解了黑客常用的攻擊手段及其原理。然后，系統地闡述了入侵檢測的原理。接著講述了協議分析和模式匹配技術，最后，針對當前典型的網絡入侵，設計并實現了一個基于協議分析的網絡入侵檢測系統PANIDS，實現了多層次的協議分析，包括基本協議的解析、協議上下文的關聯分析以及應用層協議的分析，并取得了較為滿意的檢測效果。

[1] 戴英俠，連一峰，王航.系統安全與入侵檢測[M].北京：清華大學出版社 [2] 聶元銘，丘平.網絡信息安全技術[M].北京：科學出版社

[3] 董玉格，金海，趙振.攻擊與防護-網絡安全與實用防護技術[M].北京：人民 郵電出版社 [4] 戴云,范平志.入侵檢測系統研究綜述[J].計算機工程與應用 [5] 劉文淘.網絡入侵檢測系統[M].北京：電子工業出版社，

第三篇：網絡信息檢測

通信系統的檢測：

1.系統檢查測試：硬件通電測試；系統功能測試

2.初驗測試：可靠性；接通率；基本功能（如通信系統的業務呼叫與接續、計費、信令、系統負荷能力、傳輸指標、故障診斷、環境條件適應能力等）。

3.試運行驗收測試：聯網運行（接入用戶和電路）；故障率。

信息網絡系統檢測：

1.安裝質量檢查：機房環境是否滿足要求；設備器材清點檢查；設備機柜加固檢查；設備

模塊配置檢查；設備間及機架內纜線布放；電源檢查；設備至各類配線設備間纜線布放；纜線導通檢查；各種標簽檢查；接地電阻值檢查；接地引入線及接地裝置檢查；機房內防火措施；機房內安全措施等。

2.通電測試前設備檢查：按施工圖設計文件要求檢查設備安裝情況；設備接地應良好；供

電電源電壓及極性符合要求。

3.設備通電測試：設備供電正常；報警指示工作正常；設備通電后工作正常及故障檢查。

網絡層安全的安全檢測應符合以下要求：

1.防攻擊：信息網絡應能抵御來自防火墻以外的網絡攻擊，適用流行的攻擊手段進行模擬

攻擊，不能攻破判為合格。

2.因特網訪問控制：信息網絡應根據需求控制內部終端機的因特網連接請求和內容，適用

終端機用不同身份訪問因特網的不同資源，符合設計要求判為合格。

3.信息網絡與控制網絡的安全隔離：測試方法應按本規范第5.3.2條的要求，保證做到未

經授權，從信息網絡不能進入控制網絡；符合此要求者判為合格。

4.防病毒系統的有效性：將含有當前已知流行病的的文件（病毒樣本）通過文件傳輸、郵

件附件、網上鄰居等方式向各點傳播，各點的防毒軟件應能正確地檢測到該含病毒文件，并執行殺毒操作；符合本要求者判為合格。

5.入侵檢測系統的有效性：如果安裝了入侵檢測系統，使用流行的攻擊手段進行模擬攻擊

如（DoS、拒絕服務攻擊），這些攻擊應被入侵檢測系統發現和阻斷；符合此要求這判為合格。

6.內容過濾系統的有效性：如果安裝了內容過濾系統，則嘗試訪問若干受限的網址或者內

容，應該可以正常訪問：符合此要求者判為合格。

系統層安全應滿足一下要求：

1.操作系統應選用經過實踐檢測的具有一定安全強度的操作系統。

2.使用安全性較高的文件系統。

3.嚴格管理操作系統的用戶賬號，要求用戶必須使用滿足安全要求的口令。

4.服務器應只提供必須的服務，其他無關的服務應關閉，對可能存在的漏洞的服務或操作

系統，應更換或者升級響應的補丁程序；掃描服務器，無漏洞者為合格。

5.認真設置并正確利用審計系統，對一些非法的侵入嘗試必須有記錄；模擬非法嘗試，審

計日志中有正確記錄者判為合格。

系統檢測：

（一）建筑設備監控系統的檢測應以系統功能和性能檢測為主，同時對現場安裝質量、設

備性能及工程實施過程中的質量記錄進行抽查或復核。

（二）建設設備監控系統檢測應在系統運行連續投運時間不少于1個月后進行。

（三）建設設備監控系統檢測應依據工程合同技術文件按、施工圖設計文件、設計變更審

核文件、設備及產品的技術文件進行。

（四）建筑設備監控系統檢測時應提供以下工程實施及質量控制記錄：

1.設備材料進場檢驗記錄

2.隱蔽工程和過程檢查驗收記錄

3.工程安裝質量檢查及觀感質量驗收記錄

4.設備及系統自檢測記錄

5.系統試運行記錄。

安防系統

1.安全技術防范產品必須經過國家或行業授權的認證機構（或檢測機構）認證（檢測）合格，并取得相應的認證證書（或檢測報告）

2.預埋管、預留件、橋架等的安裝符合設計要求

3.機房、弱電豎井的施工已結束

4.對電（光）纜敷設與布線應檢驗管線的防水、防潮，電纜排列位置，布放、綁扎質量，橋架的架設質量，纜線在橋架內的安裝質量，焊接及插接頭安裝質量和接線盒接線質量等

5.對接地線應檢驗接地材料、接地線焊接質量、接地電阻等

6.對系統的各類探測器、攝像機、云臺、防護罩、控制器、輔助電源、電鎖、對講設備等的安裝部位、安裝質量和廣安質量進行檢驗

（一）安全防范系統的系統檢測應由國家或行業授權的檢測機構進行檢測，并出具檢

測報告，檢測內容、合格判據應執行國家公共安全行業的相關標準

（二）安全防范系統檢測應依據工程合同技術文件、施工圖設計文件、工程設計變更

說明和洽商記錄、產品的技術文件進行。

（三）安全防范系統進行系統檢測的時候應提供：

1.設備材料進場檢驗記錄

2.隱蔽工程和過程檢查驗收記錄

3.工程安裝質量和觀感驗收記錄

4.設備及系統自檢測記錄

5.系統試運行記錄

視頻安防監控系統的檢測：

1.系統功能檢測：云臺轉動，鏡頭、光圈的調節，調焦變倍，圖像切換，防護罩功能的檢

2.3.4.5.測 圖像質量檢測：在攝像機的標準照度下進行圖像的清晰度及抗干擾能力的檢測 系統整體功能檢測：功能檢測應包括視頻安防監控系統的監控范圍、現場設備的介入率及完好率；矩陣監控主機的切換、控制、變成、巡檢、記錄等功能；對數字視頻錄像式監控系統還應檢查主機死機記錄、圖像顯示和記錄速度、圖像質量、對前端設備的控制能力以及通信接口功能、遠端聯網功能等；對數字硬盤錄像監控系統除檢測其記錄速度外，還應檢測記錄的檢索、回放等功能。系統聯動功能檢測：聯動功能檢測應包括與出入口管理系統、入侵報警系統、巡更管理系統、停車場（庫）管理系統等的聯動控制能力 視頻安防監控系統的圖像記錄保存時間應滿足管理要求。

入侵報警系統的檢測：

1.探測器的盲區檢測，防動物功能檢測

2.探測器的防破壞功能檢測應包括報警器的放拆報警功能，信號線開路、短路報警功能，電源線被剪的報警功能

3.探測器靈敏度檢測

4.系統控制功能檢測應包括系統的撤防、布防功能，關機報警功能，系統后備電源自動切

換功能等

5.系統通信功能檢測應包括報警信息傳輸、報警響應功能

6.現場設備的接入率及完好率測試

7.系統的聯動功能檢測應包括報警信號對相關報警現場照明系統的自動觸發、對監控攝像

機的自動啟動、視頻安防監視畫面的自動調入，相關出入口的自動啟閉，錄像設備的自動啟動等

8.報警系統管理軟件（含電子地圖）功能檢測

9.報警信號聯網上傳功能的檢測

10.報警系統報警事件存儲記錄的保存時間應滿足管理需求。

出入口控制系統

1.出入口控制（門禁）系統的功能檢測

（1）系統主機在離線的情況下，出入口（門禁）控制器獨立工作的準確性、實時性

和儲存信息的功能

（2）系統主機對出入口（門禁）控制器在線控制時，出入口（門禁）控制器工作的準確性、實時性和存儲信息的功能，遺跡出入口（門禁）控制器和系統主機之

間的信息傳輸功能

（3）檢測掉電后，系統啟用備用電源應急工作的準確性、實時性和信息的存儲和恢

復能力

（4）通過系統主機、出入口（門禁）控制器及其他控制終端，實時監控出入控制點的人員狀況m系統對非法強行入侵即使報警的能力

（5）檢測本系統與消防系統報警時的聯動功能

（6）現場設備的接入率及完好率測試

（7）出入口管理系統的數據存儲記錄保存時間應滿足管理要求

2.系統的軟件檢測

（1）演示軟件的所有功能，以證明軟件功能與任務書或合同書要求一致

（2）根據需求說明書中規定的性能要求，包括時間、適應性、穩定性等以及圖形化

界面友好程度，對軟件逐項進行測試；

（3）對軟件系統操作的安全性進行測試，如系統操作人員的分級授權、系統操作人

員操作信息的存儲記錄等

（4）在軟件測試的基礎上，對被驗收的軟件進行綜合評審，給出綜合評審杰倫，包

括：軟件設計與需求的一致性、程序與軟件設計的一致性、文檔（含軟件培訓、教材和說明書）描述與程序的一致性、完整性、準確性和標準化程度等。

巡更管理系統

1.按照巡更路線圖檢查系統的巡更終端、讀卡機的響應功能

2.現場設備的接入率及完好率測試

3.檢查巡更管理系統編程、修改功能以及撤防、布防功能

4.檢查系統的運行狀態、信息傳輸、故障報警和指示故障位置的功能

5.檢查巡更管理系統對巡更人員的監督和記錄情況、安全保障措施和對意外情況及時報警的處理手段

6.對在線聯網式巡更管理系統還需要檢查電子地圖上的顯示信息，遇有故障時的報警信號

以及和視頻安防監控系統等的聯動功能

7.巡更系統的數據儲存記錄保存時間應滿足管理要求。

停車場（庫）管理系統

停車場（庫）管理系統功能檢測應分別對入口管理系統、出口管理系統和管理中心的功能進行檢測

1.車輛探測器對出入車輛的探測靈敏度檢測，抗干擾性能檢測

2.自動柵欄升降功能檢測，防砸車功能檢測

3.讀卡器功能檢測，對無效卡的識別功能；對非接觸IC卡讀卡器還應檢測讀卡距離和靈敏

度

4.發卡（票）器功能檢測，吐卡功能是否正常，入場日期、時間等記錄是否正確

5.滿位顯示功能是否正常

6.管理中心的計費、顯示、收費、統計、信息存儲等功能的檢測

7.出/入口管理監控站及與管理中心站的通信是否正常

8.管理系統的其他功能，入“防折返”功能檢測

9.對具有圖像對比功能的停車場（庫）管理系統應分別檢測出/入口車牌和車輛圖像記錄的清晰度、調用圖像信息的符合情況

10.檢測停車場（庫）管理系統與消防系統報警時的聯動功能；電視監控系統攝像機對進出

車庫車輛的監視等

11.空車位及收費顯示

12.管理中心監控站的車輛出入數據記錄保存時間應滿足管理要求。

安全防范綜合管理系統

1.各子系統的數據通信接口：各子系統與綜合管理系統以數據通信方式連接時，應能在綜

合管理監控站上觀測到子系統的工作狀態和報警信息，并和實際狀態核實，確保準確性和實時性；對具有控制功能的子系統，應檢測從綜合管理監控站發送命令時，子系統響應的情況

2.綜合管理系統監控站：對綜合管理系統監控站的軟、硬件功能的檢測，包括

（1）檢測子系統監控站與綜合管理系統監控站隊系統狀態和報警信息記錄的一致性

（2）綜合管理系統監控站隊各類報警信息的顯示、記錄、統計功能

（3）綜合管理系統監控站的數據報表打印、報警打印功能

（4）綜合管理系統監控站操作的方便性，人機界面應友好、漢化、圖形化。

綜合布線系統

線纜敷設和終接的檢測：

1.纜線的彎曲半徑

2.預埋線槽和暗管的敷設

3.電源線與綜合布線系統纜線應分隔布放，藍仙劍的最小凈距應符合設計要求

4.建筑物內電、光纜暗管敷設及與其他管線之間的最小凈距

5.對絞電纜芯線終接

6.光纖連接損耗值。

機柜、機架、配線架安裝的檢測：

1.卡入配線架連接 模塊內的單根線纜色標應和線纜的色標相一致，大堆事電纜按標準色

譜的組合規定進行排序

2.背板式跳線架應經配套的金屬背板及接線管理架安裝在墻壁上，金屬背板與墻壁應緊固

光纜布線檢測時，如果系統中有一條光纖鏈路無法修復則判為不合格；

家庭晉級求助報警裝置的檢測：

1.可靠性：準去、即使的傳輸緊急求助信號

2.可操作性：老年人和未成年人在緊急情況下應能方便地發出求助信號；

3.應具有防破壞和故障報警功能

4.每戶宜安裝一處以上的緊急求助報警裝置

5.緊急求助報警裝置宜有一種以上的報警方式

6.報警信號宜區別求助內容

7.緊急求助報警裝置宜加夜間顯示

新型消防設施的設置情況及共呢不過檢測包括：

1.早期煙霧探測火災報警系統

2.大空間早期火災只能檢測系統、大空間紅外圖像矩陣火災報警及滅火系統

3.可燃氣體泄露報警及聯動控制系統

第四篇：信息安全產品測試報告-內網管理-入侵檢測-網絡運維-梭子魚

信息安全產品測試報告

對信息安全產品的測試，從2007年4月份開始至2007年7月底，一共測試了十款產品，其中內網安全管理產品三款，網絡運營管理產品兩款，防火墻設備三款，入侵保護設備一款，防垃圾郵件設備一款，鑒于我們的測試環境、測試工具以及測試時間的限制，只是對其進行了簡單的功能測試、安全性、穩定性測試，具體的性能指標我們沒有相關的專業工具無法進行測試，下面就具體的測試情況作一說明。

內網安全管理產品：

內網安全產品此次共測試了三款產品：北京圣博潤高新技術有限公司的LanSecs內網安全管理系統，南京金鷹軟件系統有限公司的APA eosEye易視桌面監控審計系統，北京北信源自動化技術有限公司的北信源內網安全管理系統。

產品簡介：

1、LanSecs內網安全管理系統

LanSecS內網安全管理系統是一套集成了北京圣博潤高新技術有限公司多項核心技術的實用安全系統。該系統著重于內網的安全管理和監控，以系統網絡運營管理為基礎，以防內網泄密為目標，其核心功能由設備智能探測器、審計監控客戶端、安全管理核心平臺（包括內網管理、安全審計）協同完成，設備智能探測器能自動搜索內網中的網絡設備（包括三層和二層設備），識別網絡中所有計算機的IP地址、MAC地址、主機名稱等基本設備信息； 審計監控客戶端負責采集受控計算機的軟、硬件配置信息，當受控終端的軟件、硬件配置發生變動或用戶進行非授權操作時，能夠及時向安全管理核心平臺發出報警信息；安全管理核心平臺是整個系統的控制中心，對整個內網的安全進行統一管理和控制； 具有以下幾大功能：

◆監控內網網絡設備、計算機系統的穩定性和可靠性；

◆內網系統資源安全管理和監控；

◆阻止內網的信息通過網絡向外泄漏；

◆防止內網中信息通過系統外設向外泄漏；

◆自動發現并阻止非法接入內網的計算機；

2、APA eosEye易視桌面監控審計系統

APA?eosEye?易視桌面監控審計系統是南京金鷹軟件系統有限公司APA（應用過程審計平臺）系列產品之一，易視桌面監控審計系統是一個具有通用性的操作行為監管和涉密信息資產保護系統，是面向于windows個人桌面的內部信息安全集中監管平臺。

可通過對個人桌面的各種操作行為的分析和監控，實現對異常、可疑、違規行為的發現、報警、錄象、阻斷和審計，以達到防止內部敏感信息或涉密信息泄露的目標。隨著信息安全泄密事件的時有發生，由此而影射出的內部信息安全的管理變得尤為重要。

易視桌面監控審計系統從三個方面為用戶的安全分析、防護、管理做出更多努力：防止信息資產的外泄、規范員工單機操作的行為、為管理者提供一組安全服務的管理工具。

3、北信源內網安全管理系統

北京北信源自動化技術有限公司通過對國內和國外近幾年來計算機終端管理技術和發展趨勢的研究，將政府和企業內部網絡終端安全管理概括的從終端狀態、行為、事件三個方面來進行防御，研制出北信源內網安全管理系統軟件。管理手段大致包括如下內容：

圖-1 內網管理核心功能

北信源內網安全管理（VRV）遵循網絡防護和端點防護并重理念，對網絡安全管理人員在網絡管理、客戶端管理過程中所面臨的種種問題提供解決方案，實現內部網絡客戶端的可控管理，并能夠支持多級級聯廣域網構架，達到最佳的管理效果。

北信源內網安全管理（VRV）系統強化了對網絡計算機客戶端狀態、行為以及事件的管理，它提供了防火墻、IDS、防病毒系統、專業網管軟件所不能提供的防護功能，對它們管理的盲區進行監控，擴展成為一個實時的可控內網管理平臺，并能夠同其它安全設備進行安全集成和報警聯動。

測試說明：

因時間和精力有限，我們測試內網安全產品時，只能以點帶面的安裝幾個客戶端，測試產品的功能，另外測試產品的安裝、配置、管理、穩定性、資源占用性、自身安全性等指標。測試情況：

一、LanSecs內網安全管理系統

1、安裝

該產品是純軟件產品，服務器端安裝非常簡單，首先安裝數據庫，數據庫使用微軟的Sql數據庫，然后安裝加密狗驅動，再安裝主程序，根據提示很快就完成安裝。

2、配置

指定局域網的IP地址段，系統的探測器就開始掃描全網計算機，掃描完畢可根據需要把計算機進行分組、分部門管理；客戶端需要到服務器的共享目錄中下載客戶端程序或將客戶端程序拷貝到客戶端進行安裝；安裝成功后服務器端就能接收到客戶端安裝信息，就能對客戶端進行管理。

3、管理

C/S方式進行管理，服務器端可對客戶端進行各種管理：Mac地址綁定，限定客戶端自行更改IP地址；非法進程管理，限制客戶端不能執行特定的程序進程；網絡接入管理，對客戶端的聯網行為進行限制；非法接入阻斷，對未經授權或未安裝客戶端程序的計算機進行阻斷處理，使其不能接入公司局域網；限制外設訪問，限制客戶端對本機的各種設備如光驅、軟驅、USB設備等進行訪問；遠程協助，當客戶端計算機出現系統故障或軟件故障是進行遠程協助，遠程控制對方計算機。

4、穩定性 系統運行一個來月，服務器端及客戶端程序運行穩定。

5、安全性 服務器端程序需要加密狗才能運行，保證了局域網內不會有人盜用服務器程序；客戶端程序存在一些問題：會被卡巴斯基殺毒軟件最為病毒殺掉，而且客戶端程序沒有保護，可以自由的被結束結束進程，甚至從計算機中刪除，這樣服務器端就失去了對該計算機的管理權限。

6、資源占用

7、其他功能 該產品還具有網絡管理模塊，如果配置好局域網內交換機的SNMP參數，系統可以自動搜索發現所有的交換機并能自動生成全網的拓撲圖，拓撲圖基本結構是正確的，有些地方與實際情況不符，需要手工調整；可以對交換機進行簡單的數據查詢操作。

8、報表

該產品能提供比較詳細的數據報表

優點：安裝使用比較簡便，遠程協助功能比較好，網絡管理功能作為附加模塊對網絡管理有一定的幫助。

缺點：客戶端很容易被卸載，甚至被當作病毒

二、APA

1、安裝

該產品是一款軟硬結合的產品，1U的機身，自帶操作系統和數據庫；安裝時需先設置好IP地址，再將設備連到局域網中，在網管機上安裝管理程序即可。管理程序安裝也比較簡單，根據提示很快就能完成。

2、配置

管理程序運行之前必須要進行數據源的設置，否則不能運行；

3、管理

該產品也采用C/S架構進行管理，通過安裝的用戶控制臺來進行客戶機的管理，通過審計控制臺來進行客戶機的審計；可以對用戶進行按部門分類，管理規則按部門下發；可以對客戶機的程序進程進行審計，限制特定進程的運行，但不能實時控制客戶機的進程；可以對客戶機的網絡連接進行監控及審計，阻斷非法接入的機器，可以對客戶的移動存儲設備使用情況進行監控和審計，并能實現U盤的透明加解密;能對指定的文件或目錄進行保護，可以劃定某些程序專用的工作目錄。

4、穩定性 在網運行三個多月，服務器端沒有出現不穩定現象，客戶端也比較穩定，沒有異常現象。

5、安全性 該產品的系統平臺可能是Windows2000，經掃描軟件掃描，沒有掃描到有用信息，可能是經過了特殊處理；客戶端進程能通過任務管理器結束，但客戶端程序是由兩個進程互相制約的，一個結束了，另一個會把結束了的進程自動重啟，但如果通過軟件把兩個同時結束了，客戶端就失去控制了。

6、資源占用 服務器的資源占用情況未知，客戶端占用資源不多，對日常應用沒有影響。

7、報表

對各種審計行為都能給出詳細的統計報表。

優點：軟硬一體，擁有涉密文件保護增強系統

缺點：不能實現客戶機的遠程控制，軟硬一體造成價格過高，規則設置有些煩瑣。

三、VRV

1、安裝 該產品是一款純軟件產品，服務器端需要安裝到一臺服務器或高性能PC上，需要安裝的模塊較多，但安裝界面比較簡潔明了，根據提示逐個模塊進行安裝即可。安裝過程中需要輸入授權序列號。

2、配置 安裝完畢首先需要對服務器端進行參數配置：指定需要管理的區域、IP地址范圍、掃描器地址、生成客戶端注冊程序等初始化工作。

3、管理 該產品采用B/S方式進行管理，通過瀏覽器來完成全部的管理工作，可根據需要分配不同的用戶并賦予一定的權限進行相應的管理，通過其策略管理系統，能實現的功能很多：硬件資源管理、軟件及進程管理、接入認證、移動存儲設備管理、違規外聯管理、客戶端的安全管理，包括用戶密碼、用戶權限、防火墻設置、注冊表檢查、進程保護、軟件安裝行為、上網控制、IP-MAC綁定、殺毒軟件安裝等，行為管理與審計，包括文件輸出審計、文件保護及審計、上網審計、聊天行為審計、工作目錄管理等等，涉密檢查、軟件分發、流量管理、文件備份、主機運維管理、系統維護等等，管理員可遠程查看客戶機運行的程序進程、啟動的服務、開放的端口、安裝的軟件等等，并能進行操作，如發現某進程為可以進程，可以遠程終止該進程，或者遠程終止某可疑服務；也可主動性的啟動某程序，強制進行病毒掃描，修改網絡配置等操作，并能對客戶機網絡數據進行抓包分析，或者直接遠程接管客戶機，同時還具有在線幫助功能，用戶訪問在線幫助網站，可請求任意一位在線的網管或技術能手幫助，被請求人就收請求后就能接管請求者的計算機。

4、穩定性 系統運行兩周，服務器端及客戶端均穩定運行，沒有出現不穩定現象。

5、安全性 服務器端需要序列號才能進行安裝，即使局域網內有其他的機器安裝了服務器端，但其地址沒有被主控服務器認可，而且客戶機注冊時是綁定服務器端地址的，所以是不能管理客戶機的；客戶端具有自我防護機制，用戶自己不能隨意停止和卸載，只能通過特定的卸載程序，還要由服務器端生成卸載密碼才能卸載客戶端程序。

6、資源占用 服務器端占用資源不高，客戶端程序只是在進行遠程控制的時候占用資源較高，用戶能感到操作變慢，其他時候對用戶的操作沒有影響。

7、其他功能 該產品也具有對指定文件或目錄的保護功能，也可以劃定工作目錄；還有簡單的網絡管理功能：拓撲圖生成、交換機信息等等。

8、報表 非常完善的報表功能，具有多種報表模板，只需調用相應的模板就能輸出相應的報表，還可自定義不同形式的模板，平時的一些查詢信息也都能輸出到Excel。

優點：功能全面，B/S架構管理起來非常方便，在線幫助功能很方便用戶，抓包分析功能方便了網絡故障排查。缺點：設置略顯復雜。

網絡運營管理產品

產品簡介：

北塔網絡運維管理專家BTNM（Before Trouble Network Manager）是上海北塔網絡公司完全自主開發的一套全中文北塔網絡運維管理系統，是一套在充分調研了國內網絡現狀以及網絡管理方式，采用目前為止最先進的網絡管理技術，以用戶的網絡、線路以及服務器、路由器、交換機、計算機等等的日常運作管理為著眼點，獨立研發的完全適應于高、中端網絡管理軟件領域需求的一套優秀、可靠、先進的“基于網絡平臺、面向客戶應用”的網絡設備資源與應用服務資源、全中文、通用管理軟件，為廣大客戶從根本上解決了困擾已久的網絡管理難的棘手問題，并且很有效的幫助網絡管理人員從根本上提高網絡利用率和網絡服務的質量提高客戶滿意度。主要特色：

1、全面透明的網絡綜合管理

BTNM網絡資源管理系統能夠采用多種算法、支持分層、跨地域的迅速搜索整個網絡內的所有節點、自動勾畫出整個網絡的物理拓撲圖；

2、真實可用的設備面板管理

支持主流網絡的產品的設備面板顯示，在設備面板圖上真實、實時地顯示設備各端口連接狀態。

3、強大的預警功能

BTNM配置了強大的預警和告警系統，它可以對網絡中的異常情況進行告警，也可以對網絡服務器的有關進程和訪問情況進行預警。

4、高級服務器管理功能

BTNM能夠顯示服務器的所有進程運行情況的實時數據。

5、多種數據流量分析管理

BTNM支持跨IP網段分析捕捉各類異常網絡數據流，提供2-7層的數據分析。

6、完善的報表分析

BTNM提供各類圖表，各類均量、趨勢、統計等數據，依據不同的分析角度進行原始數據預篩選、處理；

8、網絡安全管理

配合網絡安全管理BTNM提供在單臺或者多臺網絡管理機組成的跨地域的管理區域內，提供全網的IP定位、MAC定位、IP－MAC；服務分布查詢：定義好要查詢的服務端口，輸入網段，就可以以圖形的方式顯示出該范圍內已打開和未打開的該服務的地址分布情況，宏觀的了解整個網絡。BTNM為網絡武裝一層盔甲使網絡更加的安全。

9、機房環境的監測

BTNM能夠對機房環境監測以及UPS狀態進行監測。

網強網絡管理系統

網強網絡管理系統(NetStrong NetMaster System)，是由上海網強信息自主開發，擁有自主知識產權的符合IETF頒布的SNMPv2規范的網絡管理系統軟件。是網強公司針對信息中心、網絡中心和網管工程師的實際需求，在充分調研國內網絡管理和網絡管理工程師的行為模式后，推出的最適合用戶使用的網絡管理系統。網絡管理系統主要功能包括：

故障管理：事件監視，告警提示，網絡工具；

配置管理：自動拓撲發現，設備背板管理；

性能管理：性能分析，統計報告； 功能特點：

1、所見即所得，真實拓撲圖，實現網絡環境的集中統一管理

采用獨有的Netstrong發現算法和優化算法，能夠根據用戶的要求，顯示出網絡邏輯拓撲圖和物理拓撲圖。

2、真實背板圖，跨廠商管理，點鼠標取代跑機房

拓撲圖中的所有網絡設備都能夠顯示與設備本身完全吻合的“設備背板圖”，圖中能夠真實表現設備情況及設備端口位置，而且通過各種不同的顏色描述了該端口的狀態。

3、實時檢測、及時處理

可自主選擇設置預警條件和告警方式，實時監測網絡情況。一旦網絡中出現了異常情況，系統會自動通知網管員。

4、完善的數據分析, 各種數據統計，全面體現網絡運行狀況

網絡管理系統提供基于設備和端口的性能分析。還能夠針對設備端口屬性及設備之

間的鏈路進行分析，實時的顯示當前時間內該設備端口的流量/數據包長/錯包率/丟包率，以及設備之間鏈路的流量信息。

5、幫助決策分析，報表統計和審計

自動生成各種報表（日報、周報、月報，自定義時間段報表），支持實時分析記錄的保存和讀取。

6、隨時隨地、運籌帷幄，B/S和C/S雙重管理模式

網強網絡管理系統的B/S管理平臺實現Web管理，同時還有C/S管理模式，多客戶端遠程協助。

測試說明：

這兩款產品在測試前都需要把局域網內交換機的SNMP功能打開，否則不能進行管理。北塔網絡運維管理

1、安裝

該產品為純軟件，需安裝到一臺服務器或高性能PC上，安裝過程比較簡單。

2、管理

指定局域網的IP地址范圍以及SNMP參數，系統就可以開始進行網絡掃描了，五、六分鐘即可掃描到全網內所有支持SNMP協議的設備，并自動生成網絡拓撲圖，拓撲圖生成需時較長，生成的拓撲圖結構與網絡真實拓撲非常相符，設備的狀態以及網絡流量都以不同的顏色加以區分，方便管理員實時查看設備的運行狀態以及網絡流量的大小；對交換機的管理可以展示真實面板，各個端口的狀態都可以進行查看及控制，交換機的各種運行參數都可以進行實時查看，全網的IP地址使用情況查看、IP定位功能，可以清楚地查看當前網絡使用的IP地址，定位IP地址在交換機的那個端口；可定義多種情況的報警。

3、穩定性 系統安裝運行了一個多月，運行正常，沒有出現不穩定因素。

4、其他功能 數據流分析模塊，資產管理模塊，PC終端管理模塊。

5、報表

優點：拓撲圖生成準確，交換機管理方便，IP地址定位非常實用。缺點：

網強網絡管理系統

1、安裝

該產品也是一款純軟件，需安裝到一臺服務器或高性能PC上，先安裝數據庫，再安裝主程序，廠商提供了比較詳細的安裝說明。

2、管理

設定拓撲圖搜索參數，系統搜索設備，用時不多，也就五、六分鐘，整個拓撲圖就生成了，與真實拓撲非常相符，可實時查看設備狀態、鏈路流量，設備的狀態以及網絡流量都以不同的顏色加以區分，交換機的管理也能展示真實面板，主交換機的面板與實際不符；能查看IP——MAC——端口的對應情況，并對變化進行報警，3、穩定性 系統運行2個對禮拜，運行正常，沒有出現不穩定因素。

4、其他功能 數據流分析模塊；可以B/S管理，通過瀏覽器可以查看設備運行狀態以及各種報表。

5、報表

設備的性能報表、分析報表，鏈路的性能分析報表等。

優點：拓撲圖生成準確，交換機管理方便，B/S方式方便隨時隨地查看網絡運行狀況。缺點：

入侵保護產品：

綠盟科技IPS

針對目前流行的蠕蟲、病毒、間諜軟件、垃圾郵件、DDoS和黑客攻擊，包括未知的攻擊形式，綠盟科技提供了完善的安全防護方案。冰之眼網絡入侵保護系統（ICEYE NIPS）是綠盟科技入侵保護解決方案的核心，作為自主知識產權的新一代安全產品，先進的體系架構集成領先的入侵保護技術，包括以全面深入的協議分析技術為基礎，協議識別、協議異常檢測、關聯分析為核心的新一代入侵保護引擎，實時攔截數據流量中各種類型的惡意攻擊流量，把攻擊防御在企業網絡之外，保護企業的信息資產。

冰之眼網絡入侵保護系統能夠協助客戶：

＊ 阻止來自外部或內部的蠕蟲、病毒和黑客等的威脅，確保企業信息資產的安全。＊阻止間諜軟件的威脅，保護企業機密。

＊阻止企業員工因為各種IM即時通訊軟件、網絡在線游戲、P2P下載、在線視頻導致的企業網絡資源濫用而影響正常工作，凈化流量，為網絡加速。

＊阻止P2P應用可能導致的企業重要機密信息泄漏和可能引發的與版權相關的法律問題。

＊實時保障企業網絡系統7x24不間斷運行，提高企業整體的網絡安全水平。＊智能、自動化的安全防御，降低企業整體的安全費用以及對于網絡安全領域人才的需求。

＊高效、全面的流量分析、事件統計，能迅速定位網絡故障，提高網絡穩定運行時間。

公司介紹：

中聯綠盟信息技術(北京)有限公司(NSFOCUS Information Technology Co., Ltd.)簡稱“綠盟科技”，公司成立于2000年4月，是國內最早從事網絡安全的高科技企業之一，現有員工400多人，總部設在北京，在北京、廣州、上海、成都、沈陽、西安、武漢建有 7 個分公司，在濟南、石家莊、福州、長沙、深圳、南寧、海口、南京、杭州、南昌、重慶、昆明、貴陽、哈爾濱、長春、蘭州、天津、太原、鄭州、合肥、烏魯木齊、拉薩等地建立了辦事處，為客戶提供及時、有效的本地化服務。

綠盟科技基于多年的安全漏洞研究與安全產品開發能力，為 Microsoft、Sun、Cisco 等國際知名廠商提供安全漏洞研究報告，為政府、電信、金融、能源等行業客戶提供高端安全產品與全面的網絡安全解決方案，協助客戶建立安全可靠的綠色網絡環境。

綠盟科技的安全產品與解決方案涵蓋：網絡入侵檢測/保護系統、遠程安全評估系統、抗拒絕服務攻擊系統、安全審計系統、內網安全管理系統和網絡異常流量監測系統，以及政府、軍隊、企業網應用安全、城域網安全和電信城域網安全等多種針對各行業的解決方案。

作為國內領先的企業級網絡安全解決方案提供商，綠盟科技擁有眾多在業界值得驕傲的榮譽：

第一批經國家認可的安全服務試點企業

第一批通過國家正式認證的國內安全服務最高資質

第一批公共互聯網應急處理國家級服務試點單位

第一家通過國內和國際ISO9001雙認證的網絡安全企業 ?

國內第一家提出完整專業安全服務體系的網絡安全企業

國內發布自主研究安全漏洞最多的安全公司

國內第一家對國外安全產品廠商提供入侵檢測技術出口的安全公司

“冰之眼”網絡入侵檢測/防護系統，囊括2005國內主要IT媒體與專業期刊產品評選的各類獎項

入選“中國電子政務IT百強”和“中國電信供應商100佳”

連續四年獲得“值得信賴安全服務品牌”證書

測試說明：

我們測試了其型號為600P的產品。1U的機身，四個百兆接口。

1、安裝

安裝很簡單，可以全透明安裝，直接串接到防火墻與交換機之間即可工作，端口可以不設IP地址。找一端口設IP地址可進行管理配置。

2、管理

兩種管理方式C/S方式和B/S方式；C/S方式需安裝控制臺程序，都是全中文界面。過濾規則庫非常豐富，各種系統漏洞、間諜木馬、黑客攻擊、炒股聊天、在線視頻、網絡游戲、蠕蟲病毒、P2P下載等等，全部分類放置，方便部署，還可自定組合規則；可以實時查看設定的規則過濾請況，以及實時查看設定的主機訪問情況。

3、安全性 測試期間內，我們設定了阻止木馬、攻擊、聊天、P2P下載、網絡游戲、蠕蟲、在線視頻等等規則，效果非常明顯，通過監控臺可以看到，被阻止的訪問非常多，說明內網用戶進行聊天、看在線視頻、玩網絡游戲、P2P方式下載的用戶比較多，網絡帶寬大部分都用在這些上，通過外網進來的攻擊、蠕蟲、木馬等也被阻斷了很多，有效地保護了內網的安全。

4、穩定性 該產品測試了一個多月，期間有過幾次外網中斷問題，重啟該設備后問題消失，懷疑是該設備引起的，具體原因尚不清楚，總體來說還是比較穩定的。

5、其他功能 該產品還具有防火墻功能，我們也測試了其防火墻功能，主要功能如NAT轉換、地址映射等沒有問題，對雙線路支持的不是太好，但作為主防火墻的一個簡單后備還是可以的。

6、日志報表 該產品有非常詳細的日志記錄功能，可以隨時查看攻擊情況，并能對每條日志進行說明，給出解決方法；報表也非常詳細，可針對流量、訪問類型、攻擊類型等給出詳細的報告。

優點：過濾功能非常強大，規則庫豐富，日志非常詳細 缺點：價格偏高，每年都需要一筆規則庫升級費用。

防垃圾郵件產品

梭子魚垃圾郵件防火墻

產品簡介：

梭子魚垃圾郵件防火墻是一款軟件及硬件集成的企業級郵件解決方案，提供強大的、可拓展的垃圾郵件及病毒防護功能，減輕了郵件服務器的負載。該產品采用基于WEB的管理控制界面，可以輕松設定多達10層過濾層，保護服務器免于垃圾郵件及病毒襲擊；該產品采用十大技術，具易于使用及維護、性價比出眾、集成性高等特點。能支持25000個活躍郵件用戶每天處理2500萬封郵件。整合了最新的垃圾郵件及病毒防護技術：拒絕服務攻擊及安全防護層、IP封鎖清單、速率控制、針對壓縮文件的病毒檢查、專門的病毒檢查、用戶自定義規則、垃圾郵件指紋檢查、源地址分析、貝葉斯分析、基于規則的垃圾郵件評分，多達10層次的過濾機制,辨識率高達98%。

測試說明：

我們測試的是其300型號的產品，該產品的指標如下：

可承受的有效使用者數量

300——1000 域數量

250 郵件日至容量

2GB 隔離區容量

10GB 機身

1U mini 接口

1個10/100Mbps自適應網口

1、安裝

該產品的安裝很簡單，給其設定好內網的IP地址后，直接接到住交換機上或串接到郵件服務器與防火墻中間都行。

2、配置

須將郵件服務器的外網地址映射到梭子魚的接口地址上，讓所有進來的郵件先到達梭子魚進行過濾；還需要進行一些其它設置，因為我們現有的防火墻不能得到來訪者的真實IP地址，因此部分根據IP地址來判斷垃圾郵件的功能如DNS黑名單，反向解析等等都不能啟用，否則大部分信件都會被作為垃圾郵件，但這也使垃圾郵件的過濾功能大打折扣。

3、使用

該產品測試使用了一個多星期，總體來說垃圾郵件的過濾功能還是比較好的，在沒有啟用來源IP地址判斷功能的前提下，垃圾郵件的過濾還是很多的，能占到所有郵件的60%以上，但現在垃圾郵件發送者也針對反垃圾郵件措施改變了發送方法，以至于現在的垃圾郵件非常難以判斷，只有通過識別來源IP地址才能更有效的識別垃圾郵件。

4、問題

該產品在測試中也有一些問題，隔離區內的郵件用戶從公司之外不能訪問，這個問題后經梭子魚的工程師修改配置已經解決；隔離區內的郵件很多都不能看到郵件內容，無法判斷是否是正常郵件，以至于很多用戶反映很多正常郵件都不能收到。

第五篇：無線局域網入侵檢測協議分析論文

無線局域網入侵檢測系統的研究

【摘要】 自從20世紀90年代出現無線局域網以來,由于WLAN具有多方面的優點,令其發展十分迅速,但在無線局域網蓬勃發展的同時,安全問題也越來越突出。本文先介紹了無線局域網的特點、IEEE802.11系列協議標準以及無線局域網中的固有漏洞,然后又介紹了常見的入侵方式,其次系統的介紹了入侵檢測的概念、基本原理、工作模式、分類及發展趨勢,并闡述了各種局域網入侵檢測系統的關鍵技術,并通過分析比較得出：無線局域網入侵檢測系統在設計上有別于有線入侵檢測系統。本文在深入分析了無線局域網技術以及常見入侵檢測技術的基礎上,針對無線局域網絡的特點,提出了一個將協議分析和模式匹配相結合的無線入侵檢測系統模型。模式匹配算法具有快速簡單的優點,在實際應用中最為廣泛,但計算量大,檢測準確性低,通過改進模式匹配算法,取得了較好的結果。協議分析技術可以利用網絡協議的高度規則性快速探測攻擊的存在,通過層次化、格式化的無線網絡報文逐層分析,可提高檢測效率,并有效控制漏報率和誤報率。最后提出了該系統的框架和主要的流程步驟,對其中的關鍵模塊進行了詳細設計。該系統利用Winpcap函數庫對無線傳輸數據進行捕獲,然后利用解碼模塊對捕獲到...更多還原

【Abstract】 Wireless local area network has developed very rapidly since the 1990s for it’s many advantages, and at the same time, the security problem has become more and more remarkable.This paper firstly describes the characteristics of WLAN, protocol standards of IEEE802.11 series and the inherent vulnerability in the WLAN, then presents the common intrusion method, and at last, introduces the concept of intrusion detection, basic principles, work patterns, classification and trends, systematically.At...更多還原

【關鍵詞】 無線局域網； 入侵檢測； 協議分析；

【Key words】 wireless LAN； intrusion detection； protocol analysis；

【索購全文】Q聯系Q：138113721 Q聯系Q: 139938848付費即發

目錄 摘要 3-4 ABSTRACT 4-5 第一章 緒論 8-11

1.1 研究背景 8

1.2 無線入侵檢測技術研究現狀 8-10

1.3 本文主要研究內容和結構 10-11 第二章 WLAN概述 11-18

2.1 WLAN標準 11-13

2.1.1 IEEE 802.11 11

2.1.2 IEEE 802.11b 11-12

2.1.3 IEEE 802.11a 12

2.1.4 IEEE 802.11g 12

2.1.5 IEEE 802.11i 12

2.1.6 IEEE 802.11n 12-13

2.2 WLAN的組成 13-14

2.3 WLAN組網方式 14-15

2.4 IEEE802.11協議分析 15-17

2.5 本章小結 17-18

第三章 無線局域網入侵檢測系統 18-28

3.1 無線局域網安全技術 18-19

3.1.1 MAC地址過濾和服務區標識符(SSID)匹配 18

3.1.2 WEP協議 18

3.1.3 WPA技術 18-19

3.1.4 802.11i協議 19

3.2 WLAN常見的入侵方式 19-21

3.2.1 網絡竊聽 19

3.2.2 假冒身份 19-20

3.2.3 拒絕服務攻擊 20

3.2.4 SSID猜解與誘騙 20

3.2.5 中間人攻擊 20-21

3.2.6 異常報文攻擊 21

3.2.7 重放攻擊 21

3.3 入侵檢測的概念 21-22

3.4 入侵檢測技術 22-27

3.4.1 入侵檢測的發展 22

3.4.2 入侵檢測的分類 22-27

3.5 本章小結 27-28

第四章 基于協議分析的入侵檢測系統設計 28-52

4.1 模式匹配與協議分析結合的入侵檢測方法 28-29

4.2 基于協議分析技術的檢測過程 29-31

4.2.1 協議分析樹的構建 30-31

4.3 基于協議分析技術的入侵檢測體系結構 31-32

4.4 檢測代理關鍵模塊設計 32-49

4.4.1 數據捕獲模塊 33-37

4.4.2 預檢測模塊 37-38

4.4.3 解碼模塊 38-42

4.4.4 規則解析模塊 42-43

4.4.5 協議分析模塊 43-44

4.4.6 模式匹配算法 44-47

4.4.7 改進的BM算法 47-49

4.5 對常見攻擊的檢測效果分析 49-51

4.5.1 IP 攻擊 49-50

4.5.2 ICMP 攻擊 50

4.5.3 其他攻擊 50-51

4.6 本章小結 51-52 結論 52-53 參考文獻