網絡安全定義

網絡安全基本知識

網絡安全：是指網絡系統的硬件、軟件及其系統中的數據受到保護，不因偶然的或者惡意的

原因而遭受到破壞、更改、泄露，系統連續可靠正常地運行，網絡服務不中斷.網絡安全從

其本質上來講就是網絡上的信息安全.從廣義來說，凡是涉及到網絡上信息共青團成立日期 的保密性、完整

性、可用性、真實性和可控性的相關技術和理論都是網絡安全的研究領域。網絡安全是一門

涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息

論等多種學科的綜合性學科。

計算機病毒（ComputerVirus）在《中華人民共和國計算機信息系統安全保護條例》

中被明確定義，病毒指“編制者在計算機程序中插入的破壞計算機功能或者破壞數

據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼”。

木馬：利用計算機程序漏洞侵入后竊取文件的程序被稱為木馬。它是一種具有隱藏性的、自

發性的可被用來進行惡意行為的程序，多不會直接對電腦產生危害，而是以控制為主。

防火墻（英文:firewall)是一項協助確保信息安全的設備，會依照特定的規則,允許或是限

制傳輸的數據通過。防火墻可以是一臺專屬的硬件也可以是架設在一般硬件上的一套軟件。

后門：指房間的背后的可以自由出入的門，相對于明顯的前門。也可以指繞過軟件的安全性

控制而從比較隱秘的通道獲取對程序或系統訪問權的方法。

入侵檢測(IntrusionDetection），顧名思義，就是對入侵行為的發覺。他通過增加體重英語 對計算機網

絡或計算機系統中若干關鍵點收集信息并對其進行分析，從中發現網絡或系統中是否有違反

安全策略的行為和被攻擊的跡象.

數據包監測：可以被認為是一根竊聽電話線在計算機網絡中的等價物。當某人在“監

聽”網絡時，他們實際上是在閱讀和解釋網絡上傳送的數據包。如果這是一封離別信 你需要在互聯網

上通過計算機發送一封電子郵件或請求下載一個網頁，這些操作都會使數據通過你和

數據目的地之間的許多計算機。這些傳輸信息時經過的計算機都能夠看到你發送的數

據，而數據包監測工具就允許某人截獲數據并且查看它.

NIDS：是NetworkIntrusionDetectionSystem的縮寫，即網絡入侵檢測系統，主要

用于檢測Hacker或Cracker通過網絡進行的入侵行為。NIDS的運行方式有兩種，一

種是在目標主機上運行以監測其本身的通信信息，另一種是在一臺單獨的機器上運行

以監測所有網絡設備的通信信息，比如Hub、路由器。

SYN是：TCP/IP建立連接時使用的握手信號。在客戶機和服務器之間建立正常的TCP

網絡連接時,客戶機首先發出一個SYN消息,服務器使用SYN-ACK應答表示接收到了這

個消息，最后客戶機再以ACK消息響應.這樣在客戶機和服務器之間才能建立起可靠的

TCP連接，數據才可以在客戶機和服務器之間傳遞.

加密技術：是電子商務采取的主要安全保密措施，是最常用的安全保密手段，利用技術手段

把重要的數據變為亂碼（加密）傳送,到達目的地后再用相同或不辛丑條約主要內容 同的手段還原（解密）。

加密技術的應用是多方面的，但最為廣泛的還是在電子商務和VPN上的應用，深受廣大用戶

的喜愛。

一、引論

1、網絡安全的概念：網絡安全是在分布式網絡環境中,對信息載體（處理載體、存儲載體、

傳輸載體)和信息的處理、傳輸、存儲、訪問提供安全保護，以防止數據、信息內容或能力

被非授權使用、篡改或拒絕服務.

2、基于IP的Internet有很多不安全的問題：1）IP安全。在Internet中，當信息分組在

路由器間傳遞時，對任何人都是開放的,路由器僅僅搜集信息分組中的目的地址，但不能防

止其內容被窺視。2）DNS安全.Internet對每臺計算機的命名方案稱之為域名系統

（DNS）。3）拒絕服務(DoS）攻擊。包括發送SYN信息分組、郵件炸彈。4)分布式拒絕

（DDoS）攻擊。分布式拒絕服務攻擊是拒絕服務群起攻擊的方式。

3、維護信息載體的安全就要抵抗對網絡和系統的安全威脅.這些安全威脅包括物理侵犯(如

機房入侵、設備偷竊、廢物搜尋、電子干擾等）、系統漏洞（如旁路控制、程序缺陷等）、

網絡入侵（如竊聽、截獲、堵塞等）、惡意軟件(如病毒、蠕蟲、特洛伊木馬、信息炸彈

等)、存儲損壞(如老化、破損等）等。為抵抗對網絡和系統的安全威脅，通常采取的安全措

施包括門控系統、防火墻、防病毒、入侵檢測、漏洞掃描、存儲備份、日志審計、應急響

應、災難恢復等。

4、網絡安全的三個基本屬性：1）機密性（保密性）。機密性是指保證信息與信息系統不被

非授權者所獲取與使用，主要防范措施是密碼技術.2)完整性。完整性是指信息是真實可信

的,其發布者不被冒充，來源不被偽造,內容不被篡改,主要防范措施是校驗與認證技術.3)可

用性.可用性是指保證信息與信息系統可被授權人正常使用，主要防范措施是確保信息與信

息系統處于一個可靠的運行狀態之下。

5、國際標準化組織在開放系統互聯標準中定義了7個層次的參考模型：1）物理層。2）數

據鏈接層。3）網絡層.4）傳輸層。5）會話層。6）表示層.7）應用層。

6、粗略地，可把信息安全分成3個階段。1）通信安全（comc)、計算機安全（compuc)

和網絡安全（netc)。

7、可信計算機系統評估準則(TrustedComputerSystemEvaluationCriteria，TCSEC）

共分為如下4類7級：1）D級，安全保護欠缺級。2）C1級，自主安全保護級。3)C2級，

受控存儲保護級.4)B1級，標記安全保護級。5）B2級，結構化保護級.6）B3級，安全域保

護級。7)A1級，驗證設計級。

8、密碼學研究包括兩部分內容：一是加密算法的設計和研究；一是密碼分析，即密碼破譯

技術。

9、對稱密鑰密碼技術是傳統的簡單換位、代替密碼發展而來的，從加密模式上可分為兩

類:1）序列密碼。序列密碼一直作為軍事和外交場合使用的主要密碼技術之一，它的主要原

理是，通過有限狀態機產生性能優良的偽隨機序列，使用該序列加密信息流拍照手機排行榜 ，逐位加密得到

密文序列，所以，序列密碼算法的安全強度取決于它產生的偽隨機序列的好壞。2）分組密

碼。分組密碼的工作方式是將明文分成固定長度的組（塊）（如64位一組），用同一密鑰

和算法對每一塊加密，輸出固定長度的密文。

公鑰密碼技術：公鑰技術是在密碼體制中加密和解密采用兩個不同的相關的密鑰的技

術，又稱不對稱密鑰技術。

兩者的比較:因為對稱密碼系統具有加解密速度快、安全強度高等優點，在軍事、外交

及商業應用中使用得越來越普遍；由于存在密鑰發行與管理方面的不足,在提供數字簽名、

身份驗證等方面需要與公開密鑰密碼系統共同使用，以達到更好的安全效果。公共密鑰的優

點在于，也許你并不認識某一實體，但只要你的服務器認為該實體證書權威CA是可靠的，

就可以進行安全通信，而這正是電子商務這樣的業務所要求的，如信用卡購物。

二、風險分析

1、攻擊的類型：1）阻斷攻擊。2）截取攻擊。3）篡改攻擊。4)偽造攻擊。

2、主動攻擊與被動攻擊的區分：竊聽、監聽都具有被動攻擊的本性，攻擊者的目的是獲取

正在傳輸的信息，被動攻擊包括傳輸報文內容的泄漏和通信流量分析。主動攻擊包含對數據

流的某些修改，或者生成一個假的數據流。它可以分成4類：1）偽裝。2、回答（重放）。

3）修改報文。4）拒絕服務。

3、常見的篡改服務攻擊有3種：1)改變。2）插入.3）刪除。

4、拒絕服務攻擊可分成以下4種:1）拒絕訪問信息.2）拒絕訪問應用。3)拒絕訪問系統。

4）拒絕訪問通信.

5、風險的概念：風險是構成安全基礎的基本觀念.風險是丟失需要保護的資產的可能性。

威脅+漏洞=風險

6、風險測量必須識別出在受到攻擊后該組織需要付出的代價.代價包括資金、時間、資源、

信譽及丟失生意等。

三、安全策略

1、系統管理程序:1）軟件更新.2)漏洞掃描。3）策略檢查。4）登錄檢查。5)常規監控。

2、一個恰當的災難恢復計劃應考慮各種故障的級別：單個系統、數據中心、整個系統。

災難恢復計劃應考慮:1）單個系統或設備故障。2）數據中心事件。3）場地破壞事件。

4）災難恢復計劃的測試。

3、安全策略的生成步驟：1)確定重要的策略。2)確定可接受的行為。3)征求建議。4）策略

的開發。

四、網絡信息安全服務

*1、機密性服務包括：1)文件機密性。2）信息傳輸機密性。3）通信流機密性。

*2、完整性服務包括：1）文件完整性。2）信息傳輸完整性。

*3、可用性服務包括:1）后備。2)在線恢復.3)災難恢復。

4、網絡環境下的身份鑒別：1)身份認證技術（常見的有口令技術和采用物理形式的身份認

證標記進行身份認證的鑒別技術)。2）身份認證協議（會話密鑰、共享密鑰認證和公鑰認

證。）

5、訪問控制：訪問控制是確定來訪實體有否訪問權以及實施訪問權限的過程.

五、安全體系結構

1、可信系統體系結構概述：如果保護在硬件層實現，保護機制更簡單,可提供廣泛的通用的

保護。越是層次向上升，越是增加復雜性，而功能則更加專門和細粒度.最高層也最復雜，

因為它直接向用戶提供廣泛的功能和選項.功能和安全復雜性增加，則越靠近用戶。復雜性

增加，則安全機制的級別越低。

*2、網絡體系結構的觀點（課本P74）

3、加密機制。1）加密既能為數據提供機密性，也能為通信業務流信息提供機密性，并且是

其他安全機制中的一部分或對安全機制起補充作用。2）加密算法可以是可逆的,也可以是不

可逆的.3）除了某些不可逆加密算法的情況外，加密機制的存在便意味著要使用密鑰管理機

制。

4、大多數應用不要求在多個層加密，加密層的選取主要取決于下列幾個因素：1）如果要求

全通信業務流機密性，那么選取物理層加密，或傳輸安全手段（如適當的擴頻技術）。2）

如果要求細粒度保護(即對不同應用提供不同的密鑰)，和抗否認或選擇字段保護，那么將選

取表示層加密。3）如果希望實現所有客戶端系統通信的簡單塊保護，或希望有一個外部的

加密設備(例如,為了給算法和密鑰加物理保護,或防止錯誤軟件），那么將選取網絡層加

密.4）如果要求帶恢復急動度 的完整性，同時又具有細粒度保護，那么將選取傳輸層加密.5)對于

今后的實施，不推薦在數據鏈接層上加密。

6、數字簽名機制的特點：1）簽名過程使用簽名者的私有信息作為密鑰，或對數據單元進行

加密,或產生出該數據單元的一個密碼校驗值。2)驗證過程使用公開的規程與信息來決定該

簽名是否是用簽名者的私有信息產生的。3)簽名機制的本質特征為該簽名只有使用簽名者的

私有信息才能產生出來。因而，當該簽名得到驗證后,它能在事后的任何時候向第三方（例

如法官或仲裁人）證明只有那個私有信息的唯一擁有者才能產生這個簽名。

六、Internet安全體系結構之一

1、局域網LAN的安全。防御方法:1）防火墻.2）特權區（privilegedzones）。3）LAN連

接。

2、無線網面臨著一系列有線網沒有的不安全風險，包括：1）分組嗅測（packet

sniffing）。2）服務集標識SSID（thervicetidentifier）信息。3)假冒

(inpersonation)。4）寄生者（parasites）。5)直接安全漏洞（directcurity

breaches).

3、風險緩解的方法：1）SSID打標簽。2）廣播SSID.3）無線放置。4)MAC過濾。5）WEP。

6）其他密碼系統.7）網絡體系結構。

4、課本P107圖6—3CHAP處理。

5、ARP和RARP的風險

課本P110圖6-4作為MitM攻擊的ARP受損。

6、所有的分段機制有兩個主要風險:丟失分段和組裝數據的容量。此外分段管理的類型能導

致丟失數據分段.

分段的風險：1）丟失分段攻擊.2）最大的不分段大小。3）分段重組.

7、IP風險：1）地址沖突。2）IP攔截。3)回答攻擊。4）分組風暴。5）分段攻擊。)6）轉

換通道。

七、Internet安全體系結構之二

1、TCPDoS攻擊：1)SYN攻擊.2）RST和FIN攻擊。3）ICMP攻擊。4）LAND攻擊。

＊2、緩解對TCP攻擊的方法：1）改變系統框架。2）阻斷攻擊指向.3）識別網絡設備。4)

狀態分組校驗。5)入侵檢測系統（IDS）。6）入侵防御系統（IPS）。

*3、UDP攻擊：1）非法的進入源。2)UDP攔截。3）UDP保持存活攻擊。4)UDPSmurf攻

擊.5）UDP偵察。

4、DNS風險：1）直接風險（無身份鑒別的響應、DNS緩存受損、ID盲目攻擊、破壞DNS分

組)。2）技術風險（DNS域攔截、DNS服務器攔截、更新持續時間、動態DNS)。3）社會風

險(相似的主機名、自動名字實現、社會工程、域更新)。

#5、緩解風險的方法：

1）直接威脅緩解。基本的維護和網絡分段能限制直接威脅的影響.

1、補丁:DNS服務器的增強版經常會發布，DNS服務器和主機平臺應定期打補丁

和維護。

2、內部和外部域分開：DNS服務器應該是分開的.大的網絡應考慮在內部網絡分

段間分開設置服務器，以限制單個服務器破壞的影響,且能夠平衡DNS負載。

3、限制域或轉換：域的轉換限制于特定的主機,且由網絡地址或硬件地址標識.這

個方案對MAC和IP的偽裝攻擊是脆弱的，但對任意的主機請求域轉換確實是有用的.

4、鑒別的域轉換：采用數字簽名和鑒別域轉換能減少來自域轉換攔截和破壞的影

響。

5、有限的緩沖間隔：緩沖間隔減少至低于DNS回答規定的值，可以減少緩沖器受損的損壞

裝口。

6、拒絕不匹配的回答：假如緩沖DNS服務器接到多個具有不同值的回答，全部緩沖器應

刷新.雖然這會影響緩沖器性能，但它消除了長期緩沖器受損的風險。

2)技術威脅的緩解.技術風險預防方法包括網絡、主機和本地環境。

1、加固服務器：限制遠程可訪問進程的數量，就能限制潛在攻擊的數量。加固服務

器可降低來自技術攻擊的威脅.

2、防火墻：在DNS服務器前放置硬件防火墻限制了遠程攻擊的數量。

3)偵察威脅的緩解。

1、限制提供DNS信息:這可以緩解攻擊者偵察的威脅，雖然DNS不能完全做到，

但可限制提供信息的類型和數量。

2、限制域轉換：域的轉換僅限于鑒別過的主機。雖然不能組織蠻力主機的查找，但

可組織偵察。

3、限制請求：限制DNS請求的數量可由任何單個網絡地址完成.雖然不能防止蠻力域監

聽，但是可設置障礙。

4、去除反向查找:假定反向查找不是必須的，那么去除它.這可限制蠻力域監聽的

影響.

5、分開內部和外部域：DNS域服務器應該是分開的，以確保LAN的信息保持在LAN。特別

是內部主機名應該不允許外部可觀察。

6、去除額外信息：不是直接為外部用戶使用的信息應該去除，例如TXT，CHAME，HINFO這

些信息。

7、隱藏版本：對允許本地登錄或遠程狀態報告的DNS服務器，這些DNS版本可能被泄

漏.因為不同的版本和不同的利用相關,應該修改版本以報告假信息或將其去除。

4)社會威脅緩解。除了對用戶進行培訓，防止相似主機名和自動名字完成的風險,還有:

1、監控相似域：經常搜索域名的變化.當發現有相似主機名的標識,DNS提供者要

求他們關掉。雖然這是一個復雜的耗時的任務,但這是監控相似域名的一種專門服務。

2、鎖住域：使用支持域名鎖定的域注冊者.這需要一些附加信息，諸如賬戶信息、

轉換域名的口令。

3、使用有效聯系：在域注冊中提供一個或多個有效聯系方法，以允許用戶和注冊者

聯系域主。但不需要專門的人名或個人信息，以免攻擊者使用這些信息攻擊域主。

4、不間斷支持:選擇一天24小時，一周7天不間斷支持的域注冊者。這樣在任何

時候可和注冊者聯系，以解決有關域的問題。

5、自己主持：大的單位應選擇稱為擁有管理自己域的注冊者。

5）優化DNS設置。

6)確定可信的回答。

6、P133圖7—2SSL協議會話過程示意圖。

八、防火墻

1、防火墻一般安防在被保護網絡的邊界,必須做到以下幾點，才能使防火墻起到安全防護的

作用：1）所有進出被保護網絡的通信必須通過防火墻。2）所有通過防火墻的通信必須經過

安全策略的過濾或者防火墻的授權。3）防火墻本身是不可被侵入的。

*2、防火墻的功能：1）訪問控制功能.2）內容控制功能。3)全面的日志功能。4）集中管理

功能。5）自身的安全和可用性。

3、拒絕服務攻擊主要有以下幾種形式：（記住四種解釋）

a)SynFlood：該攻擊以多個隨機的源主機地址向目的主機發送SYN包，而在收到目的

主機的SYNACK后并不回應，這樣目的主機就為這些源主機建立了大量的連接隊

列，而且由于沒有收到ACK一直維護著這些隊列,造成了資源的大量消耗而不能向正

常請求提供服務。

b)Smurf：該攻擊向一個子網的廣播地址發一個帶有特定請求（如ICMP回應請求)的

包，并且將源地址偽裝成想要攻擊的主機地址。子網上所有的主機都回應廣播包請

求而向被攻擊主機發包，使該主機受到攻擊。

c)Land-bad：攻擊者將一個數據包的源地址和目的地址都設置為目標主機的地址，

然后將該數據包通過IP欺騙的方式發送給被攻擊主機,這種包可以造成被攻擊主機

因試圖與自己建立連接而陷入死循環，從而很大程度地減低了系統性能。

d)PingofDeath：根據TCP/IP的規范，一個IP包的長度最大為65536B,但發送較

大的IP包時將進行分片，這些IP分片到達目的主機時又重新組合起來。在Ping

ofDeath攻擊時,各分片組合后的總長度將超過65536B，在這種情況下會造成某些

操作的宕機。

4、防火墻的局限性：1）防火墻不能防范不經由防火墻的攻擊。2）防火墻不能防止感染了

病毒的軟件或文件的傳輸。3）防火墻不能防止數據驅動式攻擊.4)防火墻不能防范惡意的內

部人員侵入.5）防火墻不能防范不斷更新的攻擊方式，防火墻制定的安全策略是在已知的攻

擊模式下制定的，所以對全新的攻擊方式缺少阻止功能。

*5、防火墻技術：1）包過濾技術.2）應用網關技術。3)狀態檢測防火墻.4）電路級網

關.5）代理服務器技術。

6、堡壘主機：其得名于古代戰爭中用于防守的堅固堡壘，它位于內部網絡的最外層,像堡壘

一樣對內部網絡進行保護。

構建堡壘主機的要點：1）選擇合適的操作系統。它需要可靠性好、支持性好、可配置

性好。2）堡壘主機的安裝位置。堡壘主機應該安裝在不傳輸保密信息的網絡上，最好它處

于一個獨立網絡中，比如DMZ.3）堡壘主機提供的服務.堡壘主機需要提供內部網絡訪問

Internet的服務，內部主機可以通過堡壘主機訪問Internet，另外內部網絡也需要向

Internet提供服務。4）保護系統日志.作為一個安全性舉足輕重的主機，堡壘主機必須有

完善的日志系統，而且必須對系統日志進行保護.5）監測和備份。最簡單的方式是把備份存

儲到與堡壘主機直接相連的磁帶機上。

7、防火墻的發展趨勢：1)高安全性和高效率。2）數據加密技術的使用，使合法訪問更安

全。3）混合使用包過濾技術、代理服務技術和其他一些新技術。4）IP協議的變化將對防

火墻的建立與運行產生深刻的影響。5）分布式防火墻的應用。6）對數據包的全方位的檢

查。

九、VPN

1、VPN的概念：VPN是VirtualPrivateNetwork的縮寫，是將物理分布在不同地點的網絡

通過共用骨干網，尤其是Internet連接而成的邏輯上的虛擬子網。

2、VPN的類型：1）AccessVPN（遠程訪問VPN）、IntranetVPN(企業內部VPN)和

ExtranetVPN（企業擴展VPN）。

3、VPN的優點：1)降低成本。2）易于擴展。3）保證安全。

4、隧道技術通過對數據進行封裝,在公共網絡上建立一條數據通道（隧道）,讓數據包通過

這條隧道傳輸.生成隧道的協議有兩種：第二層隧道協議和第三層隧道協議.

5、課本P181圖9—8L2TP控制報文。要求能判斷其類型。

十、IPSec

1、IPSec的概念:IPSec(IPSecurity）是一種由IETF設計的端到端的確保IP層通信安全

的機制

2、IPSec的功能：1）作為一個隧道協議實現了VPN通信。2)保證數據來源可靠。3）保證

數據完整性。4)保證數據機密性。

3、P188圖10-1IPSec體系結構。

＊4、IPSec運行模式：1）IPSec傳輸模式。2)IPSec隧道模式。

十一、黑客技術

1、黑客攻擊的流程，見課本P208圖11—1黑客攻擊流程圖。

十二、漏洞掃描

1、計算機漏洞的概念：計算機漏洞是系統的一組特性，惡意的主體（攻擊者或者攻擊程序)

能夠利用這組特性，通過已授權的手段和方式獲取對資源的未授權訪問，或者對系統造成損

害。

2、存在漏洞的原因:1）軟件或協議設計時的瑕疵。2)軟件或協議實現中的弱點。3)軟件本

身的瑕疵。4）系統和網絡的錯誤配置。

3、漏洞檢測所要尋找的漏洞主要包括以下幾個類別:1）操作系統漏洞.2)應用服務器漏洞。

3）配置漏洞。

4、常用網絡掃描工具：1）Netcat。2）網絡主機掃描程序Nmap。3)SATAN。4）

nessus.5）X-scan

十三章、入侵檢測

1、入侵檢測的概念：入侵檢測是從計算機網絡或計算機系統中的若干關鍵點搜集信息并對

其進行分析，從中發現網絡或系統中是否有違反安全策略的行為或遭到襲擊的跡象的一種機

制。

＊2、基于主機的入侵檢測系統：1)網絡連接檢測。2)主機文件檢測。

3、異常檢測技術(——基于行為的檢測）的基本原理

異常檢測技術也稱為基于行為的檢測技術，是指根據用戶的行為和系統資源的使用狀況

判斷是否存在網絡入侵。

異常檢測技術首先假設網絡攻擊行為是不常見的或是異常的，區別在于所有的正常行為.

如果能夠為用戶和系統的所有正常行為總結活動規律并建立行為模型,那么入侵檢測系統可

以將當前捕獲到的網絡行為與行為模型相對比，若入侵mac顯示隱藏文件夾 行為偏離了正常的行為軌跡,就可以

被檢測出來。

4、誤用檢測技術入侵檢測系統的基本原理:誤用檢測技術也稱為基于知識的檢測技術或者模

式匹配檢測技術。它的前提是假設所有的網絡攻擊行為和方法都具有一定的模式或特征，如

果把以往發現的所有網絡攻擊的特征總結出來并建立一個入侵信息庫，那么入侵檢測系統就

可以將當前捕獲的網絡行為特征與入侵信息庫中的特征信息相比較，如果匹配，則當前行為

就被認定為入侵行為.

5、異常檢測技術和誤用檢測技術的比較：無論哪種入侵檢測技術都需要搜集總結有關網絡

入侵行為的各種知識，或者系統及其用戶的各種行為的知識.基于異常檢測技術的入侵檢測

系統如果向檢測到所有網絡入侵行為,必須掌握被保護系統已知行為和預期行為的所有信

息，這一點實際上無法做到，因此入侵檢測系統必須不斷學習并更新已有的行為輪廓。對于

基于誤用檢測技術的入侵檢測系統而言，只有擁有所有可能的入侵行為的先驗知識,而且必

須能識別各種入侵行為的過程細節或者每種入侵行為的特征模式，才能檢測到所有的入侵行

為，而這種情況也不存在,該類入侵檢測系統只能檢測出已有的入侵模式,必須不斷地對新出

現的入侵行為進行總結和歸納。在入侵系統配置方面,基于異常檢測技術的入侵檢測系統通

常比基于誤用檢測技術的入侵系統所做的工作要少很多，因為異常檢測需要對系統和用于的

行為輪廓進行不斷地學習更新,需要大量的數據分析處理工作，要求管理員能夠總結出被保

護系統的所有正常行為狀態，對系統的已知和期望行為進行全面的分析，因此配置難度相對

比較大。但是，有些基于誤用檢測技術的入侵系統允許管理人員對入侵特征數據庫進行修

改，甚至允許管理人員自己根據所發現的攻擊行為創建新的網絡入侵特征規則記錄，這種入

侵檢測系統在系統配置方面的工作會顯著增加。基于異常檢測技術的入侵檢測系統所輸出的

檢測結果，通常是在對實際行為輪廓進行異常分析等相關處理后得出的，這類入侵檢測系統

的檢測報告通常會比基于誤用檢測技術的入侵檢測系統具有更多的數據量,因為任何超過行

為輪廓范圍的時間都將被檢測出來并寫入報告。而大多數基于誤用檢測技術的入侵檢測系

統，是將當前行為模式與已有行為模式進行匹配后產生檢測結論，其輸出內容是列舉出入侵

行為的類型和名稱，以及提供相應的處理建議。

6、入侵檢測系統的優點：1）可以檢測和分析系統事件以及用戶的行為。2）可以檢測系統

設置的安全狀態。3)以系統的安全狀態為基礎，跟蹤任何對系統安全的修改操作。4)通過模

式識別等技術從通信行為中檢測出已知的攻擊行為。5）可以對網絡通信行為進行統計,并檢

測分析.6）管理操作系統認證和日志機制并對產生的數據進行分析處理。7）在檢測到攻擊

的時候，通過適當的方式進行適當的報警處理。8）通過對分析引擎的配置對網絡的安全進

行評估和監督。9）允許非安全領域的管理人員對重要的安全時間進行有效的處理。

7、入侵檢測系統的局限性:1）入侵檢測系統無法彌補安全防御系統中的安全缺陷和漏洞。2)

對于高負載的網絡或主機,很難實現對網絡入侵的實時檢測、警報迅速地進行攻擊響應.3)基

于知識的入侵檢測系統很難檢測到未知的攻擊行為，也就是說檢測具有一定的滯后性，而對

于已知的報警，一些沒有明顯特征的攻擊行為也很難檢測到，或需要付出提高誤報警率的代

價才能夠正確檢測。4）入侵檢測系統的主動防御功能和聯動防御功能會對網絡的行為產生

影響，同樣也會成為攻擊者的目標，實現以入侵檢測系統過敏自主防御為基礎的攻擊。5)入

侵檢測系統無法單獨防止攻擊行為的滲透，只能調整相關網絡設備的參數或人為地進行處

理.6）網絡入侵系統在純交互環境下無法正常工作，只有對交互環境進行一定的處理,利用

鏡像等技術，網絡入侵檢測系統才能對鏡像的數據進行分析處理。7、入侵檢測系統主要是

對網絡行為進行分析檢測，不能修正信息資源中存在的安全問題。

十四、惡意代碼與計算機病毒的防治

＃1、特洛伊木馬：特洛伊木馬是一段能實現有用的或必需的功能的程序，但是同時還完成

一些不為人知的功能，這些額外的功能往往是有害的。

解釋：1）：“有用的或必需的功能的程序"只是誘餌,就像典故里的特洛伊木馬,表面看

上去很美但實際上卻暗藏殺機。2）“不為人知的功能”定義了其欺騙性,是危機所在之處，

為幾乎所有的特洛伊木馬所必備的特點。3）“往往是有害的”定義了其惡意性，惡意企圖

包括：試圖訪問未授權資源（如盜取口令、個人隱私或企業機密)；試圖組織正常訪問(如拒

絕服務攻擊）;試圖更改或破壞數據和系統（如刪除文件、創建后門）。

2、蠕蟲:計算機蠕蟲是一種通過計算機網絡能夠自我復制和擴散的程序。蠕蟲與病毒的區別

在于“附著"。蠕蟲不需要宿主，不會與其他特定程序混合。因此,與病毒感染特定目標程序

不同，蠕蟲干擾的是系統環境（如操作系統或郵件系統）。

蠕蟲利用一些網絡工具復制和傳播自身，包括：1)電子郵件。2）遠程執行。3）遠程登

錄.

＊3、計算機病毒的特征：1）傳染性。2）蒲元和胃膠囊 隱蔽性。3）潛伏性。4）多態性。5）破壞性。

*4、病毒檢測技術:1)特征判定技術，主要有比較法、掃描法、校驗和法和分析法。2)行為

判定技術。

5、病毒防治軟件產品（殺軟）:1）國外，VirusScan、NAV、Pandaguard。2）國內，

KILL、KV、RAV、VRV。