网络安全常识汇总十篇

序论：好文章的创作是一个不断探索和完善的过程，我们为您推荐十篇网络安全常识范例，希望它们能助您一臂之力，提升您的阅读品质，带来更深刻的阅读感受。

篇（1）

这一举措不同寻常的地方在于，目前国内的信息安全市场，尤其是防火墙、路由器领域，已经处于充分的竞争状态，前有思科、Juniper、H3C等老牌的网络设备厂商虎踞龙盘、后有天融信、启明星辰、联想网御等一大批新兴的国内信息安全品牌在虎口夺食，市场竞争异常残酷激烈。熟知这一切的邓锋为什么在这种背景下选择了以这种产品重新切入安全市场？

篇（2）

唤醒网络安全市场

“奥运前期，我们每天都要定时向好几个与奥运会相关的政府接口进行信息通报，奥运开幕后，现在是几乎每个小时都要通报。当然这一切都是为了防止奥运会期间，可能出现针对奥运而来的黑客恐怖袭击和计算机网络病毒。” 北京一网络厂商的张姓工程师说。

据这名张姓工程师说，此前不久，由奥组委和相关部门牵头，几乎所有重要的网络安全厂商刚参与了两次大规模的攻防演练：一部分人对网络发动攻击，有的假扮黑客，有的则在网络上散发大量的未知病毒，造成网络攻击的现象。而另一部分人则启动响应机制，构建防御体系，迅速处理危机。

对此刘兴亮分析说，这样的演练实质上就是对应急机制的检测。 无论是演练，还是在奥运期间的实际运作，从流程上来讲，跟平时处理突发事件基本相同，不同的是要“快”，比平时的响应速度要更快。不是改变流程，而是加速流程，争取把对奥运的影响降到最低。

对于黑客和病毒的防范，厂商的策略一直都属于被动防范，就是当问题出现时，集中火力去解决问题。但面对奥运这样的重点项目，他们前期则需要确定防范重点，并且有针对性地设计工作流程。

正是缘于奥运对网络安全的高度重视，大大刺激了对网络安全重要性的唤醒。“以前他们有任何问题都是工程师跟我们联系，现在都是处长或是经理直接跟我们联系。”北京瑞星客户部总经理王建峰说。

刘兴亮说：“在这种情况下，网络安全厂商如趋势、瑞星、金山、江民启明星辰、绿盟等网络安全厂商都纷纷都推出‘奥运保障计划’来做大市场。”

市场规模亟待扩张

网络安全本来是非常重要的，但市场的整体规模一直不是很大，市场中的企业规模也比其他行业小。奥运对网络安全的高度重视，无疑激发了这个市场的需求。比如金融企业，在奥运期间是全面向全球用户提供金融服务，如果服务不能正常运转，不仅企业的信誉受到打击，而且还会有很严重的政治影响。

与此同时，奥组委和奥运相关的业务组织也大量采购网络安全厂商的软件、硬件和服务。进一步刺激了网络安全市场的需求。

“临近奥运时，来自电力、电信、金融、门户网站、相关政府部门的客户不断地向我们提出网络安全保障计划的需求。如有的客户向我们征询网络部署的方案，有的请我们去评估网络的安全性，也有些客户要求我们提供针对性的人员培训。”王建峰在谈起奥运期间网络安全市场时兴奋地说道。

趋势科技北方区技术经理罗海龙也告诉记者：“他们的工程师仅在今年6月、7月就两次对客户的系统进行了全面检查，同时针对客户的系统进行弱点分析，制定加固或调整方案。现在奥运期的重点就是突发事件的处理。”

据悉，为了及时应付随时可能发生的突发事件，趋势科技还为客户提供一项特殊的“未知威胁保障服务”，主要针对企业用户在日常安全防护中遇到的未知威胁，提供完整的主动解决方案，自动进行高危可疑文件的判断和比对，做到提早发现问题提早解决问题，并提供可跟踪的报告。

更难能可贵地是，奥运把平时在网络安全市场上的竞争对手们，团结了起来。刘兴亮告诉记者，现在中国的网络安全厂商们全部都紧密合作，一切都以确保奥运的网络安全为唯一目标。

■记者观察：“后奥运”商机

在奥运期间，不管是被奥组委选中产品的网络安全厂商还是主动为奥组委服务的网络安全厂商，除了尽责任和义务外，也有一个商业的考虑，那就是争抢后奥运网络安全市场的蛋糕。

据悉，北京瑞星就在预算方面制定了对奥运网络安全支持没有封顶的措施，而且全公司高级别的专家、工程师都在全力配合奥运网络安全项目。

像这样在奥运期间，网络安全厂商们在全力服务好奥组委、服务好跟奥运密切相关的大行业客户，以及贴近这些大用户的同时，也在向大用户证明了自己的价值。毕竟奥组委以及大量跟奥运密切相关的企业在后奥运时代也有大量的安全需求。

篇（3）

UTM的好处在于它将新的软件应用功能做在CPU上，而后再把软件从CPU搬到芯片上。而芯片分为内容处理芯片和链接层处理芯片，每两年速度就会翻倍。比如飞塔去年公布的4.0软件新加入了三个功能，分别是宽域网加速、DLP和内容泄密防护、应用控制，这样不断地把软件功能搬到芯片上，就可以让CPU保证处理能力，来完成更多新的软件功能。这样，飞塔UTM的处理速度可以持续保持在高速状态，不但可以防护最新的网络危险，同时又不影响原先的网络处理速度，还能照顾到以前的系统功能。

篇（4）

SAFE理念助竞标成功

网络系统是证券公司的“中枢神经系统”，关系到证券公司现有业务的运行以及未来业务的拓展。中科信证券为了给自己打造一个强大的“神经系统”，进行了严格的招标，对建成后的系统提出如下要求：

第一，系统要具有高可靠性、高安全性。系统不能有单点故障；系统要能有效地防止外界的非法入侵；系统在发生故障的情况下，要能够迅速找出最佳方法来恢复业务。

第二，系统要具有高实用性，网络具有足够的带宽，保障各种业务的顺畅进行，尤其是证券交易相关业务的迅速处理。

第三，系统要有高先进性，要考虑到公司未来三到五年的发展需要，可适应公司不断发展而增长的业务和管理需求。核心设备要具有相当的富余插槽与处理能力，以满足业务发展和营业部增加的需要。边缘设备具有足够的处理能力，要能满足可预见的多种需求。

第四，系统要有可扩展性和可升级性，随着业务的增长和应用水平的提高，网络中的数据和信息流将按指数增长，需要网络有很好的可扩展性，并能随着技术的发展不断升级。网络的配置和带宽应该是灵活和可扩展的。

第五，系统要易于维护管理，由于新的广域网网络系统规模较大，设备复杂，需要网络系统具有良好的可管理性，网管系统具有监测、故障诊断、故障隔离、过滤设置等功能，以便于系统的管理和维护。

第六，广域网可以对流量进行分级控制，交易数据流和财务数据流及办公数据流处理优先级应有区别，任何情况下交易数据流是最优先保证的，其次是财务数据流。

中科信证券以上几点要求都是建立在“安全性，可靠性”的基础上的，而思科的方案也是以“高安全性，高可靠性”作为系统建设的首要原则。基于“SAFE蓝图”，思科提出，“安全应是整体策略，而不仅仅是单点产品的集合”，“安全应该是集成在网络系统中的，而不能是事后加在系统中的”。思科认为只有建立在深度防御基础上的整体安全系统，才能有效地保护系统中每一个点的安全；才能有效地防止外界的非法入侵；才能在发生故障的情况下，迅速找出最佳方法来恢复业务。思科的这些关于网络安全方面的先进理念，得到了中科信证券的认同和赞赏。于是，思科顺理成章地成为了该网络工程的建设者。

安全部署，策略先行

思科认为网络安全并不仅仅是一项技术，更重要的是策略规划。思科把安全问题产生的来源归纳为三类：技术的漏洞、策略的漏洞和人员管理上的漏洞。其中最难防范的就是由于内部人员管理不善造成的漏洞。思科针对中科信证券的行业特点提出，加强内部安全的防范。加强对中科信证券的计算机系统的用户、资源的安全保护，防止无关人员访问敏感数据。所以，思科对中科信证券网络安全提出：以制定合理的安全策略为主，辅以适当的设备安全，访问控制的方式来实现现行网络的安全防范。具体安全策略包括：第一，确保设备的物理安全，保证只有有关的人员才可以接近网络设备；第二，用设置密码的方式控制内部人员登陆设备，不同的设备设立不同级别的安全密码，限制可以改动设备配置信息的人数；第三，通过对内部用户设置虚网（VLAN），对用户群体进行隔离。

四道防线组成的立体防护

思科在部署了安全策略的基础上，又为中科信的网络设置四道防线。这四道防线既分工明确，又相互配合，构成了一套严密的防护体系。这四道防线具体包括：

第一， 用防火墙保护本网和其它网络互联的安全。

第二， 用ACS对拨号用户和网络设备访问进行集中安全认证。为作为AAA client的网络设备以及拨号用户提供AAA（Authentication，Authorization，Accounting）的认证服务。

第三， 用IDS实时监测网络入侵。IDS是Cisco安全系列产品（包括防火墙、加密组件和认证组件）中的动态安全组件。IDS可以在Intranet和Internet的环境中运行，从而保护用户整个网络的安全。

篇（5）

互联网的飞速发展给人们的生产生活带来了巨大变化，计算机网络安全成为人们关注的焦点.如何利用网络管理控制和技术措施，保证在一个网络环境里，数据的保密性、完整性及可使用性受到保护。成为人们最关心的问题，本文从计算机网络安全的两个方面,即物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护,免于破坏、丢失等。逻辑安全包括信息的完整性、保密性和可用性提出几点防御安全建议。

1、建立防火墙

防火墙是一个或一组实施访问控制策略的系统。它在内部网络（专用 网络）与外部网络（功用网络）之间形成一道安全保护屏障，防止非法用 户访问内部网络上的资源和非法向外传递内部信息， 同时也防止这类非法和恶意的网络行为导致内部网络运行遭到破坏。 它基本功能是过滤并可能 阻挡本地网络或者网络的某个部分与 Internet 之间的数据传送（数据包）。常用的防火墙有两种,一种是硬件防火墙 (芯片级防火墙) ,另一种是软件防火墙(数据包过滤 、应用级网关 、服务)。我们可以根据需要选择不用的防火墙。

2、虚拟专用网

虚拟专用网（VPN）的实现技术和方式有很多，但是所有的VPN产品具有高度的安全性，对于现在的网络是极其重要的。VPN支持安全和加密协议，如SecureIP（IPsec）和Microsoft点对点加密（MPPE）。网络管理者可以使用VPN替代租用线路来实现分支机构的连接。这样就可以将对远程链路进行安装、配置和管理的任务减少到最小，VPN通过拨号访问来自于ISP或NSP的外部服务，减少了调制解调器池，简化了所需的接口，同时简化了与远程用户认证、授权和记账相关的设备和处理。防止非法用户对网络资源或私有信息的访问。

3、漏洞检测

漏洞检测就是对重要计算机系统或网络系统进行检查，发现其中存在的薄弱环节和所具有的攻击性特征。通常采用两种策略，即被动式策略和主动式策略。被动式策略基于主机检测，对系统中不合适的设置、口令以及其他同安全规则相背的对象进行检查；主动式策略基于网络检测，通过执行一些脚本文件对系统进行攻击，并记录它的反应，从而发现其中的漏洞。

4、入侵检测

入侵检测（Intrusion Detection）是对入侵行为的检测。它通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。因此被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测。入侵检测通过执行以下任务来实现：监视、分析用户及系统活动；系统构造和弱点的审计；识别反映已知进攻的活动模式并向相关人士报警；异常行为模式的统计分析；评估重要系统和数据文件的完整性；操作系统的审计跟踪管理，并识别用户违反安全策略的行为。

5、密码保护

密码保护主要功能就是为提高账户安全性，除密码外又加了一把“锁”。传统的账号加一组密码的账户保密方式存在很大的安全隐患，当今互联网木马猖獗，这种账户极易被不法者使用盗号木马利用系统漏洞轻易盗取或破解，如键盘钩子这一类的木马工具。密码保护就是为增强账号安全性而诞生的，是账号的二级密码，相当于为账户再加了一把锁，安全性大大提高。为保护您的账户安全，请使用密码保护。

6、安全策略

安全策略是指在某个安全区域内（一个安全区域，通常是指属于某个组织的一系列处理和通信资源），用于所有与安全相关活动的一套规则。这些规则是由此安全区域中所设立的一个安全权力机构建立的，并由安全控制机构来描述、实施或实现的。安全策略可以认为是一系列政策的集合，用来规范对组织资源的管理、保护以及分配，以达到最终安全的目的，安全策略的制定需要基于一些安全模型。

总之，随着网络技术的日新月异，网络普及率的快速提高，网络所面临的潜在威胁也越来越大，单一的防护产品早已不能满足市场的需要。发展网络安全整体解决方案已经成为必然趋势，用户对务实有效的安全整体解决方案需求愈加迫切。安全整体解决方案需要产品更加集成化、智能化、便于集中管理。未来几年开发网络安全整体解决方案将成为主要厂商差异化竞争的重要手段。网络安全是一个综合性的课题，涉及技术、管理、使用等许多方面，为网络提供强大的安全服务――这也是网络安全领域的迫切需要。

参考文献

[1]吴钰锋,刘泉,李方敏.网络安全中的密码技术研究及其应用[J].真空电子 技术,2004.

篇（6）

关键词：办公自动化 网络 网络安全

在科技日益发达的今天，计算机网络运用到我们的日常工作当中，由此计算机的网络安全，关系到一个国家的经济、政治以及文化等领域。目前，在计算机网络安全保障上，仍存在着一些安全隐患。在此，我们在针对计算机网络安全存的问题以及对策研究上，做以下论述。

一、办公自动化网络常见的安全问题

1.黑客入侵。为了工作方便,办公自动化网络都备有与外网和国际互联网相互连接的出入口,因此,外网及国际互联网中的黑客只要侵入办公自动化网络中的任意节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息；而本网络中的黑客则有可能非常方便的截取任何数据包,从而造成信息的失窃。

2.病毒感染。随着计算机和网络的进步和普及,计算机病毒也不断出现,总数已经超过20000种,并以每月300种的速度增加,其破环性也不断增加,而网络病毒破坏性就更强。一旦文件服务器的硬盘被病毒感染,就可能造成系统损坏、数据丢失,使网络服务器无法起动,应用程序和数据无法正确使用,甚至导致整个网络瘫痪,造成不可估量的损失。

3.数据破坏。在办公自动化网络系统中,有多种因素可能导致数据的破坏。首先是黑客侵入,黑客基于各种原因侵入网络,其中恶意侵入对网络的危害可能是多方面的。其中一种危害就是破坏数据,可能破坏服务器硬盘引导区数据、删除或覆盖原始数据库、破坏应用程序数据等。其次是病毒破坏,病毒可能攻击系统数据区,包括硬盘主引导扇区、Boot扇区、FAT表、文件目录等；病毒还可能攻击文件数据区,使文件数据被删除、改名、替换、丢失部分程序代码、丢失数据文件；病毒还可能攻击CMOS,破坏系统CMOS中的数据。第三是灾难破坏,由于自然灾害、突然停电、强烈震动、误操作等造成数据破坏。重要数据遭到破坏和丢失,会造成企业经营困难、人力、物力、财力的巨大浪费。

二、网络安全策略

1.网络安全预警。办公自动化网络安全预誓系统分为入侵预警和病毒预警两部分。

入侵预警系统中,入侵检测可以分析确定网络中传输的数据包是否经过授权。一旦检测到入侵信息,将发出警告,从而减少对网络的威胁。它把包括网络扫描、互联网扫描、系统扫描、实时监控和第三方的防火墙产生的重要安全数据综合起来,提供内部和外部的分析并在实际网络中发现风险源和直接响应。它提供企业安全风险管理报告,报告集中于重要的风险管理范围,如实时风险、攻击条件、安全漏洞和攻击分析；提供详细的入侵告警报告,显示入侵告警信息(如入侵IP地址及目的IP地址、目的端口、攻击特征),并跟踪分析入侵趋势,以确定网络的安全状态；信息可以发往相关数据库,作为有关网络安全的决策依据。

2.数据安全保护

对于数据库来说,其物理完整性、逻辑完整性、数据元素完整性都是十分重要的。数据库中的数据有纯粹信息数据和功能文件数据两大类,入侵保护应主要考虑以下几条原则:物理设备和安全防护,包括服务器、有线、无线通信线路的安全防护；服务器安全保护,不同类型、不同重要程度的数据应尽可能在不同的服务器上实现,重要数据采用分布式管理,服务器应有合理的访问控制和身份认证措施保护,并记录访问日志。系统中的重要数据在数据库中应有加密和验证措施。

3.入侵防范

（1）内外网隔离。在内部办公自动化网络和外网之间,设置物理隔离,以实现内外网的隔离是保护办公自动化网络安全的最主要、同时也是最有效、最经济的措施之一。第一层隔离防护措施是路由器。路由器滤掉被屏蔽的IP地址和服务。可以首先屏蔽所有的IP地址,然后有选择的放行一些地址进入办公自动化网络。第二层隔离防护措施是防火墙。大多数防火墙都有认证机制,无论何种类型防火墙,从总体上看,都应具有以下五大基本功能:过滤进、出网络的数据；管理进、出网络的访问行为；封堵某些禁止的业务；记录通过防火墙的信息内容和活动；对网络攻击的检测和告警。

（2）访问控制。办公自动化网络应采用访问控制的安全措施,将整个网络结构分为三部分,内部网络、隔离区以及外网。每个部分设置不同的访问控制方式。其中:内部网络是不对外开放的区域,它不对外提供任何服务,所以外部用户检测不到它的IP地址,也难以对它进行攻击。隔离区对外提供服务,系统开放的信息都放在该区,由于它的开放性,就使它成为黑客们攻击的对象,但由于它与内部网是隔离开的,所以即使受到了攻击也不会危及内部网,这样双重保护了内部网络的资源不受侵害,也方便管理员监视和诊断网络故障。

（3）内部网络的隔离及分段管理。内部网络分段是保证安全的一项重要措施,同时也是一项基本措施,其指导思想在于将非法用户与网络资源相互隔离,从而达到限制用户非法访问的目的。办公自动化网络可以根据部门或业务需要分段。网络分段可采用物理分段或逻辑分段两种方式:物理分段通常是指将网络从物理层和数据链路层上分为若干网段,各网段相互之间无法进行直接通讯；逻辑分段则是指将整个系统在网络层上进行分段。并能实现子网隔离。在实际应用过程中,通常采取物理分段与逻辑分段相结合的方法来实现隔离。

4.病毒防治

相对于单机病毒的防护来说,网络病毒的防治具有更大的难度,网络病毒防治应与网络管理紧密结合。网络防病毒最大的特点在于网络的管理功能,如果没有管理功能,很难完成网络防毒的任务。只有管理与防范相结合,才能保证系统正常运行。

篇（7）

我国网络营销市场增速大幅高于全球市场

根据PWC数据，2012年全球网络广告市场规模达到1002亿美元，同比增长17%，占全球广告市场规模比重达到20%。预计2017年全球网络广告市场规模将达到1853亿美元，2013-2017年期间年增长率保持13%左右，2017年占全球广告市场规模比重将上升至29%，接近电视广告市场规模。艾瑞咨询数据显示，2013年，我国网络广告市场规模达到1100亿元，同比增长46.1%，预计2014-2017年复合增速仍有望达到27%。

本土企业主导我国网络营销媒体市场和网络营销服务市场

篇（8）

(讯)为深入研究网络安全人才的市场现状，促进网络安全人才的培养和教育，2017年7-8月，智联招聘与360互联网安全中心展开联合研究，对涉及安全人才的全平台招聘需求与求职简历进行抽样分析，在需求变化，供需结构，用人单位特点以及人才自身特征等多个方面对网络安全人才市场现状展开了全面、深入的研究，并形成了此份研究报告。

本报告以智联招聘多年来形成的业内最丰富的招聘、求职信息大数据为基础，结合了360互联网安全中心在网络安全领域多年来的专业研究经验，相关研究成果具有很强的代表性。希望此份研究报告能够对用人单位以及网络安全岗位的求职者们提供有价值的参考信息。（来源：智联招聘 编选：中国电子商务研究中心）

全文链接：《网络安全人才市场状况研究报告》

篇（9）

“层出不穷的信息安全事件让国家高度重视起信息安全的整体发展，所以就有了此次安全宣传周这样的活动。”拥有近20年信息技术管理、咨询和审计工作经验的毕马威(中国)企业咨询有限公司高级工程师蒋辉柏在科技日的网络安全知识大讲堂上说。

蒋辉柏还分享了这样一个真实的案例：“2010年的黑帽大会，这是全球黑客界以及网络安全界比较好的盛会。当时一个安全研究的人员，远程操控会场上的ATM机，让它远程吐钞，有一些钞票从ATM里面出来。你通过信息安全的攻击，完全可以掌控ATM机，当然技术层面会非常困难，但是从可能性上面来看，它是可能的。”

据蒋辉柏介绍，在一个叫做Wooyun的网站上还可以看到许多类似的网络信息安全事件。“产生这些信息安全事件的原因有很多，比如攻击者进行人为攻击，对于这种攻击除非专业的信息安全人士，不然很难防范；另外一种是系统故障。任何一个系统都是人生产的，包括我们的硬件系统和软件系统都会产生系统的故障，因此系统故障会产生信息安全事件。”蒋辉柏说，“第三种是操作失误导致的信息安全事件。”

“从攻击者黑客的攻击手段进行分析，他应用的手段大致有几种：有一种就是信息收集，这种不是直接的手段，它是后续攻击手段的基础。进行攻击的时候，会通过信息收集来看你这个网站有什么样的内容，有没有比较敏感的信息，能不能通过这个网站窥探信息系统内部的结构。”蒋辉柏说，“另外一种是暴力破解的手段，现在有很多这样的工具，破解各种各样的密码。”对于这样的攻击，他建议大家在使用系统或网络的时候要设置“强壮”一点的密码。“要不然现在有很多专业工具可以对密码破解，如果密码不‘强壮’一点，很容易被人家破解。”

“第三种是利用协议的缺陷来达成攻击的目的，事实上这种网络攻击也十分普遍。比如某个网站上有一些链接，你一点进去就会让对方到数据库里取数据，消耗服务器的资源就会很大；还有的链接一点，就有可能在缓存或某个文件夹里面把数据取出来。”蒋辉柏坦言，“目前，一些协议的缺陷我们还没有办法自己防范。”

中国工程院院士倪光南在接受科技日报记者专访时表示：“随着互联网+的兴起，经济生活的方方面面都与网络结合的越来越紧密。网络已经渗透到老百姓日常生活的方方面面，因此大家要有保护好自己的网络信息以及隐私的意识。”

对于网络信息安全，倪光南强调，“不仅个人要防范，企业也要防范，国家更要防范”。他表示，我国保障网络信息安全的能力在不断提升，未来，关键的核心技术、重要的装备，要逐步从依赖国外到自主创新。“毕竟使用别人的硬件和设备很难保障我们的信息安全，其中有可能有‘后门’和‘漏洞’。”他说，“通过‘后门’，对方可以窃取我们的信息；即便没有后门，如果我们没有掌握核心装备，依然有可能被他人利用‘漏洞’攻击、进行控制。”

篇（10）

Analysis of Network Security Event Stream Anomaly Detection Method

Cui fang

(Electronic and Information Engineering of Qiongzhou Universitxy HainanSanya 572020)

【 Abstract 】 With the development of the Internet," hacker"," invasion" and so on we use network poses a serious threat. On the network security event stream detection to find the problem in time, take measures to protect the rights of the majority of Internet users. On these abnormal detection methods, mainly based on the network, host based anomaly detection method based on vulnerability and, based on the three methods of analysis.

【 Keywords 】 network;security; detection

0 引言

网络安全的目标是保护有可能被侵犯或破坏的机密信息不受外来非法操作者的控制。但是由于互联网旧有协议存在着“先天”的漏洞，在设计时其思想是开放并且友好的，仅支持有限的加密能力。在互联网高速发展的今天，各种网络应用对协议安全性提出了更高的要求。原有的协议设计不但不能满足日益增长的安全需求，而且协议本身甚至都有安全隐患及漏洞。这给一些不法分子提供了可乘之机，也对广大用户的信息安全造成了威胁。

在对网络安全的维护中，先是防火墙，然后入侵检测系统逐步走入我们视野中。防火墙，故名思义，防止发生外来的，不可预测的、潜在破坏入。它一般放置在网关的位置，就是内网与外网的连接处。它是设置好规则，静态的守株待兔式的网络攻击防御软硬件设备。而入侵检测系统则是一种积极主动的安全防护技术，它对网络传输进行即时监视和分析，在发现可疑传输时发出警报或者采取主动反应措施，即使内部人员有越界行为，实时监视系统也能发现情况并发出警告。

比如内部网里有台计算机中了病毒，不停地发送大量的数据包，那么通过入侵检测系统就能发现并定位，进而采取措施。而防火墙对于这些已进入内网的病毒或恶就显得束手无策了。虽然现在有的防火墙也增加了号称是入侵检测的功能，但是是与专门的入侵检测设备无法相比的。

入侵检测系统被公认为是防火墙之后的第二道安全闸门, 从网络安全立体纵深、多层次防御的角度出发, 对防范网络恶意攻击及误操作提供了主动的实时保护, 从而能够在网络系统受到危害之前拦截和响应入侵。入侵检测技术可以弥补单纯的防火墙技术暴露出明显的不足和弱点, 它们在功能上可以形成互补关系。

而基于异常的检测技术则是先定义一组系统“正常”情况的数值，如CPU利用率、内存利用率、文件校验和等（这类数据可以人为定义，也可以通过观察系统、并 用统计的办法得出），然后将系统运行时的数值与所定义的“正常”情况比较，得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况。

不同于防火墙，入侵检测系统是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。因此，对它的部署，唯一的要求是：它应当挂接在所有所关注流量都必须流经的链路上。

异常发现技术的前提是假定所有入侵行为都是与正常行为不同的。首先通过训练过程建立起系统正常行为的轨迹，然后在实际运用中把所有正常轨迹不同的系统状态视为可疑。

异常检测系统按其输入数据的来源来看，可以分为三类。

1 基于网络的异常检测系统

通常称做硬件检测系统，位置在比较重要的网段内，不停地监视网段中的各种数据包。对每一个数据包或可疑的数据包进行特征分析。如果数据包与产品内置的某些规则吻合，入侵检测系统就会发出警报甚至直接切断网络连接,网管可以在Windows平台进行配置、中央管理。目前，大部分入侵检测产品是基于网络的。

1.1 这种异常检测系统的优点很多

它能够检测那些来自网络的攻击，它能够检测到超过授权的非法访问。由于它不会在业务系统的主机中安装额外的软件，从而不会影响这些机器的CPU、I/O与磁盘等资源的使用，不会影响业务系统的性能。它发生故障不会影响正常业务的运行，布署一个网络异常检测系统的风险比主机入侵检测系统的风险少得多。网络异常检测系统近年内有向专门的设备发展的趋势，安装这样的一个网络异常检测系统非常方便，只需将定制的设备接上电源，做很少一些配置，将其连到网络上即可。

1.2 这种检测系统的弱点

只检查它直接连接网段的通信，不能检测在不同网段的网络包，在使用交换以太网的环境中就会出现监测范围的局限。而安装多台网络入侵检测系统的传感器会使布署整个系统的成本大大增加。

为了性能目标通常采用特征检测的方法，它可以检测出普通的一些攻击，而很难实现一些复杂的需要大量计算与分析时间的攻击检测。

它可能会将大量的数据传回分析系统中。在一些系统中监听特定的数据包会产生大量的分析数据流量。一些系统在实现时采用一定方法来减少回传的数据量，对异常判断的决策由传感器实现，而中央控制台成为状态显示与通信中心，不再作为异常行为分析器。

处理加密的会话过程较困难，目前通过加密通道的攻击尚不多，但随着IPv6的普及，这个问题会越来越突出。它通过在网段上对通信数据的侦听来采集数据。当它同时检测许多台主机的时候，系统的性能将会下降，特别是在网速越来越快的情况下。由于系统需要长期保留许多台主机的受攻击信息记录，所以会导致系统资源耗竭。

尽管存在这些缺点，但由于基于网络的异常检测系统易于配置和易于作为一个独立的组件来进行管理而且他们对受保护系统的性能不产生影响或影响很小，所以他们仍然很受欢迎。

2 基于主机的异常检测系统

基于主机的异常检测系统出现在20世纪80年代初期，那时网络规模还比较小，检查可疑行为的审计记录相对比较容易，况且在当时异常行为非常少，通过对攻击的事后分析就可以防止随后的攻击。同样，目前仍使用审计记录，但主机能自动进行检测，而且能准确及时地作出响应例如，当有文件发生变化时，将新的记录条目与攻击标记相比较，看其是否匹配，如果匹配系统就会向管理员报警。对关键的系统文件和可执行文件的异常检测是主要内容之一，通常进行定期检查校验和，以便发现异常变化。此外，大多数这样的产品都监听端口的活动，在特定端口被访问时向管理员报警。

2.1 监视特定的系统活动

监视用户和访问文件的活动，包括文件访问、改变文件权限，试图建立新的可执行文件或者试图访问特殊的设备。

2.2 能够检查到基于网络的入侵检查系统检查不出的攻击

可以检测到那些基于网络的入侵检测系统察觉不到的攻击。例如，来自主要服务器键盘的攻击不经过网络，所以可以躲开基于网络的入侵检测系统。

2.3 适用于采用了数据加密和交换式连接的子网环境

由于它安装在遍布子网的各种丰机上，它们比基于网络的入侵检测系统更加适于交换式连接和进行了数据加密的环境。

2.4 有较高的实时性

尽管不能提供真正实时的反应，但如果应用正确，反应速度可以非常接近实时。尽管在从操作系统作出记录到得到检测结果之间的这段时间有一段延迟，但大多数情况下，在破坏发生之前，系统就能发现入侵者，并中止他的攻击。

2.5 不需增加额外的硬件设备

它存在于现行网络结构之中，包括文件服务器，Web服务器及其他共享资源。这使得基于主机的系统效率很高。

3 基于漏洞的异常检测系统

操作系统的漏洞给了黑客或病毒以可乘之机，以前的“冲击波”病毒曾造成大面积的网络瘫痪，其实究其原因，也就是因为没有给微软的IIS打上补丁。如果打了补丁就会防患于未燃。这也跟某些网管员忽略安全防犯的思想有关。

目前很多主机，已经安装了更新版本的操作系统，很多针对以前操作系统漏洞进行的攻击，已经发挥不了作用。但是，由于这种发挥不了作用的攻击存在，随之也就会产生很多的无用警报，使得安全管理员无法判定，到底哪些警报最为迫切，最为危险。

通过对内部网络或者主机的扫描，找出目前内部网络中各个主机存在的漏洞信息，根据这些信息对异常检测中的每个特征规则进行检查，将没有相应检测漏洞的异常检测规则屏蔽。在高速网络环境下，警报减少率、检测效率及丢包率是衡量异常检测系统的指标。实验结果表明，对异常检测规则进行屏蔽，可以大量减少无用的检测规则；减少相应的警报信息。随着网络信息化的日益推进，漏洞检测技术已经成为目前网络安全研究的重点。漏洞检测工具能够检测出计算机系统存在的漏洞,并提供相应的补救方案，提高了系统的安全性和可靠性。目前，漏洞检测软件采用不同标准的漏洞定义库，相互之间兼容性差，支持的操作系统种类不全面，计算机网络的安全性难以得到高质量保证。

当前实际网络中存在的攻击，对检验异常检测的各项指标具有重要意义，还可以为其它信息安全研究提供有效的测试数据。

随着网络入侵攻击种类的增加，其特征库也在不断地增加，这些异常检测的硬件设备和软件也需要不断升级。

参考文献

[1] 朱晓妹.基于网络隐写的主动身份认证系统研究[D].南京理工大学.2009.