網絡攻擊的一般檢測和防范

由于計算機網絡體系結構的復雜性及其開放性等特征，網絡設備及數據的安全成為影響網絡正常運行的重要問題，網絡安全問題變得越來越重要。了解網絡攻擊的方法和防范對于維護網絡安全有著重要的意義。下面，我根據自己的教學經驗談幾點看法。

一、攻擊的檢測方法

1.掃描器

在Internet安全領域，掃描器是最出名的破解工具。所謂掃描器，實際上是自動檢測遠程或本地主機安全性弱點的程序。掃描器選通TCP/IP端口和服務，并記錄目標機的回答，以此獲得關于目標機的信息。理解和分析這些信息，就可能發現破壞目標機安全性的關鍵因素。掃描器在不斷發展變化，每當發現新的漏洞，檢查該漏洞的功能就會被加入已有的掃描器中。掃描器不僅是黑客用作網絡攻擊的工具，而且是維護網絡安全的重要工具。

2.基于審計的攻擊檢測。

基于審計信息的攻擊檢測工具和自動分析工具可以向系統安全管理員報告計算機系統活動的評估報告，通常是脫機的、滯后的。對攻擊的實時檢測系統的工作原理是基于對用戶歷史行為的建模，以及在早期的證據或模型的基礎之上。審計系統實時地檢測用戶對系統的使用情況，根據系統內部保持的用戶行為的概率統計模型進行監測，當發現有可疑的用戶行為發生時，保持跟蹤并監測該用戶的行為。

3.基于模型推理的攻擊檢測技術。

攻擊者在入侵一個系統時往往采用一定的行為程序，如猜測口令的程序，這種行為程序構成了某種具有一定行為特征的模型，根據這種模型所代表的攻擊意圖的行為特征，可以實時地檢測出惡意的攻擊企圖，盡管攻擊者并不一定都是惡意的。用基于模型的推理方法人們能夠為某些行為建立特定的模型，從而能夠監視具有特定行為特征的某些活動。根據假設的攻擊腳本，這種系統就能檢測出非法的用戶行為。一般為了準確判斷，要為不同的入侵者和不同的系統建立特定的攻擊腳本。

4.基于專家系統的攻擊檢測技術。

進行安全檢測工作自動化的另外一個值得重視的研究方向就是基于專家系統的攻擊檢測技術，即根據安全專家對可疑行為的分析經驗來形成一套推理規則，然后在此基礎之上構成相應的專家系統。由此專家系統自動進行對所涉及的攻擊操作的分析工作。

所謂專家系統是基于一套由專家經驗事先定義的規則的推理系統。如在數分鐘之內某個用戶連續進行登錄，且失敗超過三次就可以被認為是一種攻擊行為。類似的規則在統計系統似乎也有，同時應當說明的是基于規則的專家系統或推理系統也有其局限性，因為作為這類系統的基礎的推理規則一般都是根據已知的安全漏洞進行安排和策劃的，而對系統的最危險的威脅則主要是來自未知的安全漏洞。實現一個基于規則的專家系統是一個知識工程問題，而且其功能應當能夠隨著經驗的積累而利用其自學習能力進行規則的擴充和修正。

二、網絡攻擊的防范

1.使用防火墻，防止電腦受到來自互聯網的攻擊。

防火墻在電腦和外部環境之間建立了防御層。防火墻有兩種形式:個人電腦上運行的軟件防火墻，同時保護若干電腦不受侵害的硬件防火墻。這兩種防火墻的工作原理都是:過濾來自互聯網的未授權進入或者具有潛在威脅的數據，同時允許安全的數據被電腦接收。上網時，防火墻也能阻止未經授權的用戶連接到電腦上。

2.用殺毒軟件保護電腦，及時更新軟件。

殺毒軟件可以保護電腦不受病毒的侵害，目前計算機病毒日趨猖狂，新病毒每天都會出現，反程序需要定期升級。病毒的發作就像每年的流感病毒，新的病毒和病毒變種不斷產生，所以一定要保證有規律地升級殺毒軟件，升級得越勤快，殺毒的效果就越好。同時登陸您使用的殺毒軟件公司的網站，看看有沒有發現新的病毒，并且定期對殺毒軟件進行升級。

3.隱藏IP地址。

在上網時，最好用一些工具軟件隱藏自己計算機的IP地址。例如，使用ICQ時，可以進入“ICQMenu\\Securi-tyPrivacy”，在“IPPublishing”中選定“Do not Publish IP address”。

4.盡量少用共享文件夾。

如果計算機連接在互聯網或局域網上，要少用，盡量不用共享文件夾，如果因工作等其他原因必須設置成共享，則最好單獨開一個共享文件夾，把所有因工作等原因必須設置成共享的文件都放在這個共享文件夾中，同時注意設置文件夾的共享屬性。

5.不要隨便下載軟件、視頻文件。

不要隨便在網上下載一些盜版軟件和視頻文件，特別是不可靠的小FTP站、公眾新聞級、論壇或BBS，因為這些地方是新木馬發布的首選之地。

6.養成使用計算機的良好習慣

對重要文件必須保留備份，不在計算機上亂插亂用盜版光盤和來路不明的盤，經常用殺毒軟件檢查硬盤和每一張外來盤，等等。

7.及時了解計算機病毒的發作時間，及時采取措施。

大多數計算機病毒的發作是有時間限定的。如CIH病毒的三個變種的發作時間就限定為每月26日。

8.加強對網絡流量等異常情況的監測，做好異常情況的技術分析。對于利用網絡和操作系統漏洞傳播的病毒，可以采取分割區域統一清除的辦法，在清除后要及時采取打補丁和系統升級等安全措施。

9.有規律的備份系統關鍵數據。

建立應對災難的數據安全策略，如災難備份計劃(備份時間表、備份方式、容災措施)和災難恢復計劃，保證備份的數據能夠正確、迅速地恢復。

10.加強口令安全。

黑客常常利用弱口令或默認口令進行攻擊。加長口令、選用30到60天的口令有效期等措施有助于防止這類漏洞。

總之，網絡安全是一個綜合性的課題，涉及技術、管理、使用等許多方面，既包括信息系統本身的安全問題，又有物理和邏輯的技術措施。一種技術只能解決一方面的問題，而不是萬能的。因此，沒有百分之百安全和保密的網絡信息。為使網絡在被攻擊和破壞時能夠及時發現，及時反映，盡可能快地恢復網絡信息中心的服務，減少損失，網絡安全系統應該包括:安全防護機制、安全監測機制、安全反應機制和安全恢復機制。