網(wǎng)絡(luò)安全防范(一)

網(wǎng)絡(luò)協(xié)議&網(wǎng)絡(luò)安全S08網(wǎng)絡(luò)安全防范主要知識點(diǎn)網(wǎng)絡(luò)安全防范技術(shù)要點(diǎn)嵌入式安全防范技術(shù)防火墻代理主動式安全防范技術(shù)安全口令VLANVPN被動式安全防范技術(shù)網(wǎng)頁防篡改入侵檢測安全審計(jì)412網(wǎng)絡(luò)安全防范NetworkSecurityDefence針對網(wǎng)絡(luò)安全威脅，使用各種技術(shù)和管理手段，達(dá)到防止、發(fā)現(xiàn)、遏制、消除網(wǎng)絡(luò)攻擊的目的，保障網(wǎng)絡(luò)與信息系統(tǒng)安全網(wǎng)絡(luò)安全防范技術(shù)要點(diǎn)：（1）有的放矢地選擇技術(shù)，在深入需求分析的基礎(chǔ)上有所取舍。不做簡單堆砌的泥水匠，要成為用心設(shè)計(jì)的建筑師（2）一項(xiàng)技術(shù)解決一類問題，相互結(jié)合、相互補(bǔ)充才能形成完善的防范體系，不能有失偏頗，應(yīng)該以全局的觀點(diǎn)，注重全面防范效果提升（3）講究策略，講究平衡，以最小的代價(jià)獲得最佳防范效果（4）不斷跟蹤網(wǎng)絡(luò)安全威脅與防范的最新技術(shù)動態(tài)，不斷調(diào)整和更新技術(shù)，才能保持長效的安全防范能力（5）關(guān)注防范技術(shù)可能造成的負(fù)面影響，因?yàn)閳?jiān)固的城堡可以更好地抵擋入侵，但同時(shí)也會在一定程度上禁錮自身341網(wǎng)絡(luò)安全防范的認(rèn)識水桶法則（短板效應(yīng)）技術(shù)措施應(yīng)與非技術(shù)措施（包括物理安全、人員安全、安全管理等）緊密配合，不可或缺，不可厚此薄彼因噎廢食不可取為了所謂的安全，不用網(wǎng)絡(luò)或采用完全物理隔離的辦法，變成一個(gè)個(gè)信息孤島，將使網(wǎng)絡(luò)的優(yōu)勢喪失殆盡樹欲靜而風(fēng)不止安全防范技術(shù)再出色，也不是萬無一失的，技術(shù)能力具有相對性，應(yīng)當(dāng)在戰(zhàn)略上藐視網(wǎng)絡(luò)黑暗勢力，在戰(zhàn)術(shù)上足夠重視，未雨綢繆，讓安全防范系統(tǒng)時(shí)刻處于活躍的、臨戰(zhàn)的、健康的、最佳的狀態(tài)441網(wǎng)絡(luò)安全防范技術(shù)分類（1）嵌入式安全防范（embeddeddefence）在信息交換路徑上部署相應(yīng)的安全防范技術(shù)可以是具有特定功能的設(shè)備（硬件），也可以是專門設(shè)計(jì)的協(xié)議、軟件嵌入式安全防范技術(shù)包括：安全協(xié)議（或協(xié)議補(bǔ)?。⑻摂M專用網(wǎng)（VPN）、地址翻譯（NAT）、訪問代理（proxy）、網(wǎng)絡(luò)防火墻（firewall）、病毒和木馬查殺網(wǎng)關(guān)、垃圾郵件過濾等（2）主動式安全防范（activedefence）對網(wǎng)絡(luò)信息系統(tǒng)的操作層面（用戶）、信息層面（內(nèi)容）、通信層面（組網(wǎng)）等關(guān)鍵環(huán)節(jié)加強(qiáng)網(wǎng)絡(luò)安全防范措施，主動發(fā)現(xiàn)安全隱患、及時(shí)進(jìn)行改進(jìn)調(diào)整，防患于未然主動式安全防范技術(shù)包括：網(wǎng)絡(luò)管理與系統(tǒng)管理、信息加密、數(shù)字證書、安全訪問認(rèn)證、虛擬子網(wǎng)（VLAN）、網(wǎng)絡(luò)安全掃描與評估、軟件安全修補(bǔ)等（3）被動式安全防范（passivedefence）指兩類安全防范措施：通過部署的系統(tǒng)在網(wǎng)絡(luò)安全威脅發(fā)生時(shí)能夠及時(shí)發(fā)現(xiàn)、及時(shí)預(yù)警、及時(shí)采取措施，盡可能減少損失、防止災(zāi)難蔓延通過對歷史數(shù)據(jù)的分析，找出已經(jīng)發(fā)生的攻擊行為和事件、發(fā)現(xiàn)潛在的缺陷，以便采取針對性措施亡羊補(bǔ)牢被動式安全防范不僅能夠彌補(bǔ)嵌入式安全防范和主動式安全防范的不足和遺漏之處，而且具有動態(tài)檢測的能力，是網(wǎng)絡(luò)安全防范體系的重要組成部分被動式安全防范技術(shù)包括入侵檢測系統(tǒng)（IDS）、安全審計(jì)系統(tǒng)（SAS）、網(wǎng)頁防篡改、實(shí)時(shí)監(jiān)控系統(tǒng)、運(yùn)行日志（systemlog）等541防火墻FireWall，F(xiàn)W防火墻作為一種網(wǎng)關(guān)（gateway），起到隔離內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的作用，阻斷來自外部網(wǎng)絡(luò)的安全攻擊防火墻的技術(shù)優(yōu)勢在于其透明性，即對內(nèi)部網(wǎng)絡(luò)的組網(wǎng)結(jié)構(gòu)、計(jì)算機(jī)設(shè)備數(shù)量和分布、網(wǎng)絡(luò)應(yīng)用類型等均不敏感，有利于安裝和使用641防火墻類型從安全防范方法上過濾（filtering）、代理（agent/proxy）從層次結(jié)構(gòu)上三層（IP）、四層（TCP/UDP）、七層（應(yīng)用層協(xié)議）從防范對象上內(nèi)網(wǎng)防火墻、病毒/木馬防火墻、垃圾郵件防火墻從技術(shù)實(shí)現(xiàn)上硬件防火墻、軟件防火墻741防火墻的過濾和代理功能過濾和代理的共同點(diǎn)：對協(xié)議報(bào)文、信息內(nèi)容進(jìn)行篩選，剔除不安全元素、放行安全的訪問具有不對稱性，主要對來自外部網(wǎng)絡(luò)（如Internet）的信息流進(jìn)行嚴(yán)格檢查，而對內(nèi)部網(wǎng)絡(luò)發(fā)起的會話，檢查力度相對較弱過濾和代理的不同點(diǎn)：過濾（filter）對每個(gè)通過的報(bào)文進(jìn)行依次處理是無狀態(tài)的報(bào)文間相互獨(dú)立、互不影響，可以達(dá)到很高的處理速度代理（proxy）參與協(xié)議會話過程（中介）有狀態(tài)的同一個(gè)會話（或同一個(gè)流）的報(bào)文間相互有關(guān)聯(lián)性841防火墻功能941防火墻IP報(bào)文過濾操作流程1041防火墻抵抵御TCP同步洪水水攻擊示示例（1）外網(wǎng)攻擊者者發(fā)送SYN，請求會會話連接（2）防火墻墻接收到SYN，檢查IP地址的有有效性、、源地址址是否內(nèi)內(nèi)網(wǎng)地址址等，若若判斷為為可疑的的連接請請求，丟丟棄報(bào)文文（可不不予以響響應(yīng)，以以對抗探探測），，結(jié)束（3）防火墻墻響應(yīng)SYN-ACK，啟動超超時(shí)計(jì)時(shí)器防火墻只需匹配配極少資源計(jì)時(shí)器長度可以以依據(jù)不不同需求求進(jìn)行調(diào)調(diào)整，適適當(dāng)縮短（4）若計(jì)時(shí)器超時(shí)未收到ACK，則釋放連接，，結(jié)束（5）防火墻若收到ACK，則立即向向內(nèi)網(wǎng)指定定計(jì)算機(jī)（（第⑶步已緩存）發(fā)發(fā)送SYN，當(dāng)接收到到SYN-ACK后立即響應(yīng)應(yīng)ACK（6）TCP連接建立成功，之后后內(nèi)外網(wǎng)直直接通信1141訪問控制列列表AccessControlList，ACL用于防火墻墻實(shí)現(xiàn)靈活活的管理過濾機(jī)制ACL存放用于判判別報(bào)文、、連接與操操作是否合合法的相關(guān)關(guān)參量，如如IP地址、端口口號等，可可以動態(tài)維維護(hù)、更新ACL類型：黑名單（blacklist；forbidlist）顯性指出禁止訪訪問的項(xiàng)目目，如某個(gè)個(gè)IP地址（或網(wǎng)網(wǎng)段）、某某個(gè)TCP/UDP端口號訪問控制引擎對對黑名單采采用負(fù)邏輯輯（negativelogic）判別方式式，即符合合條件者不不通過，否否則通過。。白名單（whitelist；permissionlist）顯性指出允許訪訪問的項(xiàng)目訪問控制引擎對對白名單采采用正邏輯輯（positivelogic）判別方式式，即符合合條件者通通過，否則則不通過灰名單（greylist）一種特殊ACL黑名單機(jī)制，可稱為臨臨時(shí)黑名單單灰名單可以由由防火墻自自動地、動動態(tài)地進(jìn)行行調(diào)整，更為靈活活1241ACL引擎控制流流程1341匹配ACL每一行匹配？最后行？允許/拒絕？YNN丟棄報(bào)文結(jié)束Y最后行隱式式DenyanyDeny報(bào)文通過Permit雙防火墻機(jī)機(jī)制實(shí)現(xiàn)目標(biāo)：：某些內(nèi)部網(wǎng)絡(luò)需要對外提供訪問服服務(wù)，需要一定的安全全保護(hù)，但但應(yīng)避免復(fù)復(fù)雜性、提提高訪問效率對外服務(wù)系統(tǒng)與與內(nèi)部應(yīng)用用系統(tǒng)間要要有一定的的互連關(guān)系系，用于安安全地交換換數(shù)據(jù)內(nèi)網(wǎng)中的計(jì)算算機(jī)可以訪訪問外部網(wǎng)網(wǎng)絡(luò)1441非軍事區(qū)De-MilitaryZoneLANDMZWAN帶DMZ的FW雙防火墻應(yīng)應(yīng)用效果1541內(nèi)部網(wǎng)絡(luò)DMZInternetDBServerWebServerEmailServerdata最高的安全全保障有效的安全全保障無安全保障障來自外部網(wǎng)網(wǎng)絡(luò)的訪問僅限于于到達(dá)DMZ區(qū)域雙防火墻應(yīng)應(yīng)用示例1641防火墻評價(jià)價(jià)指標(biāo)誤報(bào)率（rateoffalsedetection）falsepositive指正常訪問或數(shù)數(shù)據(jù)誤遭防防火墻攔截截，直接造造成訪問失失敗、數(shù)據(jù)據(jù)（如郵件件）丟失誤報(bào)率越低低越好漏報(bào)率（rateofmissing）falsenegative是檢出率（rateofdetection）的反面，，指防火墻墻未能發(fā)現(xiàn)現(xiàn)安全攻擊擊的訪問或或數(shù)據(jù)，使使漏網(wǎng)之魚魚進(jìn)入網(wǎng)絡(luò)絡(luò)系統(tǒng)漏報(bào)率越低低越好矛盾性漏報(bào)率與誤誤報(bào)率的降降低存在一一定的矛盾盾應(yīng)根據(jù)應(yīng)用用需求進(jìn)行行協(xié)調(diào)，尋尋找最佳平平衡點(diǎn)1741主要針對模糊判別代理Proxy/Agent計(jì)算機(jī)網(wǎng)絡(luò)絡(luò)體系中的的一種網(wǎng)關(guān)關(guān)設(shè)備，用用于協(xié)助網(wǎng)網(wǎng)絡(luò)用戶完完成訪問任任務(wù)，即用用戶將訪問問請求提交交給代理，，由代理完完成對指定定資源的訪訪問，并把把訪問結(jié)果果轉(zhuǎn)交給用戶代理的作用用：代理主要起起到類似中中間人的訪訪問隔離作作用，幫助助網(wǎng)絡(luò)用戶戶完成其不不能直接實(shí)實(shí)施的任務(wù)代理可以設(shè)定緩緩存空間，，存儲網(wǎng)絡(luò)絡(luò)訪問的結(jié)果，以便向下一一個(gè)相同的的訪問（可可能來自不不同用戶））提供本地地響應(yīng)的、、快速的服服務(wù)，不占占用珍貴的的Internet接入帶寬資源對訪問進(jìn)行行白名單式式的控制，通過代理的設(shè)置置，向指定的用戶戶開放指定定的應(yīng)用、、指定的URL、指定的通通信流量、、指定的訪訪問時(shí)段等等，使用戶戶的訪問行行為得到有有效的約束束，也限制制了外部網(wǎng)網(wǎng)絡(luò)用戶對對內(nèi)部網(wǎng)絡(luò)絡(luò)用戶不安安全的直接接訪問行為為1841代理功能示示意1941網(wǎng)絡(luò)A網(wǎng)絡(luò)B應(yīng)用系統(tǒng)A應(yīng)用系統(tǒng)B應(yīng)用系統(tǒng)C用戶x用戶y用戶zProxy允許訪問A|B|C允許訪問B|C允許訪問A代理與防火墻墻/網(wǎng)關(guān)比較2041ProxyGateway/RouterFirewall部署位置任意網(wǎng)絡(luò)之間內(nèi)網(wǎng)出口互連層次733～4（部分7）地址轉(zhuǎn)換IP+PortNAT×中繼轉(zhuǎn)發(fā)應(yīng)用落地僅轉(zhuǎn)發(fā)TCP落地過濾功能應(yīng)用/內(nèi)容過濾×IP/Port過濾訪問控制限制功能×IP/PortACLDoS防范××已知攻擊防范通過代理穿越越防火墻示例例2141一次性口令One-TimePassword，OTP口令（驗(yàn)證碼）只只使用一次，每次使用后后進(jìn)行變化，，使每次的鑒別口令都都各不相同用于防范口令令猜測攻擊、、重放攻擊技術(shù)原理：在用戶登錄過過程中的口令令傳輸時(shí)加入入不確定因子（salt），使用戶口令不不以固定的明明文或密文方方式在網(wǎng)絡(luò)上上傳輸，每次次傳送的驗(yàn)證證碼都不相同同，而系統(tǒng)收收到驗(yàn)證碼后后可以用相同同的算法驗(yàn)證2241簡單的一次性性口令示例2341登錄驗(yàn)證碼=MD5(口令＋隨機(jī)數(shù))①客戶端產(chǎn)生生隨機(jī)數(shù)，在發(fā)送驗(yàn)證碼碼時(shí)一起傳送送給服務(wù)端②服務(wù)端產(chǎn)生隨機(jī)數(shù)，，在詢問口令時(shí)時(shí)傳送給客戶戶端（即挑戰(zhàn)））③當(dāng)前前時(shí)間間口令序序列S/KeyS/KEY口令為為一個(gè)個(gè)單向向的前前后相相關(guān)的的序列列，由由n個(gè)口令令組成RFC1760定義技術(shù)原原理：：客戶端端的口令令序列列是由由用戶戶口令令和服服務(wù)端端提供供的種種子（（seed）經(jīng)MD4單向函函數(shù)加加密而而成客戶端端再通過過連續(xù)續(xù)n次單向向函數(shù)，，生成n個(gè)順序序排列列的口口令驗(yàn)驗(yàn)證碼碼序列客戶端端登錄時(shí)時(shí)，逆逆向使使用生生成的的序列當(dāng)用戶第第i次登錄錄時(shí)，，服務(wù)務(wù)端用用單向向函數(shù)數(shù)計(jì)算算收到到的驗(yàn)驗(yàn)證碼碼，并并與上上次保保存的的第i?1個(gè)驗(yàn)證證碼比比較，，以判判斷用用戶的的合法性性客戶端端按序使使用口口令序序列，，而服服務(wù)端端只需需記錄錄最新新一次次成功功登錄錄所用用的驗(yàn)驗(yàn)證碼由于口令數(shù)數(shù)是有有限的的，用用戶登登錄n次后必必須重重新初初始化化口令令序列列，且且客戶戶端和和服務(wù)務(wù)端應(yīng)應(yīng)始終終保持持同步步2441口令序序列原原理圖圖2541VLANVirtualLocalAreaNetwork虛擬局局域網(wǎng)網(wǎng)從邏輯輯（協(xié)協(xié)議））上對對網(wǎng)絡(luò)絡(luò)資源源和網(wǎng)網(wǎng)絡(luò)用用戶按按照一一定原原則進(jìn)進(jìn)行的的劃分，，把一個(gè)物物理網(wǎng)網(wǎng)絡(luò)劃劃分成成多個(gè)個(gè)小的的邏輯輯網(wǎng)絡(luò)VLAN標(biāo)準(zhǔn)IEEE802.1qVLAN功能：：限制廣廣播域域（廣廣播范范圍））隔離子子網(wǎng)制定各各種訪訪問限制可禁止止來自自其他VLAN的訪問可禁止止離開開VLAN的訪問問一個(gè)計(jì)計(jì)算算機(jī)機(jī)（（用用戶戶））可可同同時(shí)時(shí)從從屬屬于于不不同同VLAN，但但需需分別別遵遵循循相相關(guān)關(guān)VLAN的訪訪問問限限定定2641VLAN示例例2741VLAN報(bào)頭格式式VLAN協(xié)議4B標(biāo)簽頭：標(biāo)簽協(xié)議標(biāo)識識（TagProtocolIdentifier，TPID）標(biāo)簽控制信息息（TagControlInformation，TCI優(yōu)先級字字段，3b規(guī)范格式指示示符CFI，1bVLAN標(biāo)識符VID，12b2841VLAN類型（1）基于端口的VLAN根據(jù)以太太網(wǎng)交換換機(jī)的物物理端口口來劃分分VLAN，可以跨跨交換機(jī)機(jī)進(jìn)行優(yōu)點(diǎn)是定義VLAN成員時(shí)非非常簡單單，只需需將所有有的端口口都設(shè)定定一遍缺點(diǎn)是如果VLAN的某個(gè)用用戶離開原來來端口，連接到新的端口，，就必須須重新定義當(dāng)采用按按不同地地理位置置（如不不同樓層層、不同同大樓））的不同同部門劃劃分VLAN時(shí)，這種種方式特特別簡單單，因?yàn)闉橥鞲鞑块T采采用單獨(dú)獨(dú)的交換機(jī)（2）基于MAC地址的VLAN根據(jù)每個(gè)個(gè)主機(jī)的的MAC地址來劃劃分VLAN，也稱為為基于用戶戶的VLAN優(yōu)點(diǎn)就是當(dāng)用用戶物理理位置移移動時(shí)，，即使移移動到另另一個(gè)交交換機(jī)，，VLAN也不用重新配置置缺點(diǎn)是初始化化時(shí)，所所有的用用戶都必必須進(jìn)行行配置，，如果用用戶很多多，配置置的工作作量非常常大，也會會導(dǎo)致交交換機(jī)執(zhí)行效率降低低，在每一個(gè)交交換機(jī)的的端口都都可能存存在很多多個(gè)VLAN組的成員員，無法有效限制制廣播包，而且且如果網(wǎng)卡可能能經(jīng)常更更換，VLAN就必須不不停地更新（3）基于協(xié)議的VLAN通過第二二層報(bào)文的協(xié)議字段段，識別上層層運(yùn)行的網(wǎng)網(wǎng)絡(luò)層協(xié)協(xié)議，如如IP或IPX現(xiàn)有的系統(tǒng)中中一般僅僅有IP，所以基基于協(xié)議議的VLAN很少有機(jī)機(jī)會使用（4）基于子網(wǎng)的VLAN根據(jù)報(bào)文文中的IP地址決定定報(bào)文屬屬于哪個(gè)個(gè)VLAN，同一個(gè)個(gè)IP子網(wǎng)的所所有報(bào)文文屬于同同一個(gè)VLAN優(yōu)點(diǎn)是可針對具體應(yīng)用服務(wù)務(wù)來組織用用戶，用用戶可在網(wǎng)絡(luò)內(nèi)部部自由移移動而不不用重新配置置缺點(diǎn)是效率較較低，檢查每一個(gè)報(bào)報(bào)文的IP地址很耗時(shí)，同同時(shí)一個(gè)端口可能能存在多個(gè)個(gè)VLAN的成員，，對廣播播報(bào)文無法法有效抑制2941VLANVirtualPrivateNetwork虛擬專用用網(wǎng)用于在不不安全的的網(wǎng)絡(luò)環(huán)境上構(gòu)建安全全的互連連關(guān)系VPN技術(shù)原理理：VPN采用安全全隧道（（securetunnel）跨越Internet，采用安安全協(xié)議議來實(shí)現(xiàn)現(xiàn)安全認(rèn)認(rèn)證和數(shù)數(shù)據(jù)加密密，構(gòu)造造安全的的數(shù)據(jù)傳傳輸通道道，進(jìn)而而實(shí)現(xiàn)計(jì)計(jì)算機(jī)設(shè)設(shè)備或子子網(wǎng)間的的安全互互連3041Intranet企業(yè)內(nèi)部部網(wǎng)采用VPN構(gòu)造的安安全網(wǎng)絡(luò)絡(luò)，是企企業(yè)（或或機(jī)構(gòu)））生產(chǎn)、、辦公、、管理等等經(jīng)營活活動的信信息化基基礎(chǔ)設(shè)施Intranet功能：單一地理理位置的的安全內(nèi)內(nèi)部網(wǎng)絡(luò)多個(gè)地理位位置的子子網(wǎng)絡(luò)互互連成為為統(tǒng)一的的安全內(nèi)內(nèi)部網(wǎng)絡(luò)Internet終端的安安全接入3141Extranet企業(yè)外部網(wǎng)基于Internet并采用VPN安全隧道技技術(shù)，通過Internet實(shí)現(xiàn)不同企業(yè)Intranet中各自外聯(lián)設(shè)備間間的安全互連依據(jù)合作關(guān)系的的變動，Extranet的成員可以以動態(tài)調(diào)整例如：汽車車公司與其配配件公司的合作作，保證配件供應(yīng)、、售前/售后服務(wù)準(zhǔn)準(zhǔn)確配合““零庫存””生產(chǎn)計(jì)劃劃、銷售計(jì)計(jì)劃，既相互獨(dú)獨(dú)立，又可可在安全的的前提下實(shí)實(shí)現(xiàn)各企業(yè)業(yè)在生產(chǎn)、倉倉儲、物流流等方面緊緊密關(guān)聯(lián)，，并靈靈活活適適應(yīng)應(yīng)變變化化3241VPN組網(wǎng)技術(shù)VPN安全隧道協(xié)議：PPTPL2TPIPsecSSLVPN組網(wǎng)方案：（1）網(wǎng)絡(luò)透明方式：由用戶自行配置置VPN設(shè)備和系統(tǒng)，，ISP及Internet只提供普通的的IP互連服務(wù)（2）用戶透明方式：由ISP提供VPN服務(wù)，用戶端端使用普通IP互連設(shè)備3341網(wǎng)頁防篡改WebpageTamper-Proof專門設(shè)計(jì)用于于防止網(wǎng)站網(wǎng)網(wǎng)頁被篡改行行為，一旦發(fā)發(fā)現(xiàn)文件有任任何修改的跡跡象，立即予予以恢復(fù)網(wǎng)頁防篡改本本質(zhì)上是一種種文件保護(hù)措施（1）所有文件更新并發(fā)發(fā)布時(shí)，采用用數(shù)字簽名技術(shù)，當(dāng)文件因訪問需需要而被調(diào)用用時(shí)，使用數(shù)數(shù)字簽名檢查查是否有改變（2）監(jiān)測用戶URL，防止注入式式攻擊（3）定時(shí)輪詢檢查所有有已發(fā)布的文文件的完整性性，并檢查是是否有未知的的新增文件（4）檢測Web服務(wù)器運(yùn)行情情況，包括負(fù)負(fù)載情況、帶帶寬占用情況況、活躍進(jìn)程程以及系統(tǒng)操操作日志，以以及時(shí)發(fā)現(xiàn)異異常狀況3441網(wǎng)頁防篡改系系統(tǒng)部署獨(dú)立系統(tǒng)方案案部署于網(wǎng)站內(nèi)容發(fā)發(fā)布服務(wù)器與與網(wǎng)站W(wǎng)eb服務(wù)器（集群群）之間附屬系統(tǒng)方案案作為內(nèi)容發(fā)布服務(wù)務(wù)器應(yīng)用系統(tǒng)統(tǒng)的一部分3541IDSIntrusionDetectionSystem入侵檢測系統(tǒng)用于在內(nèi)部網(wǎng)網(wǎng)絡(luò)上探測和和發(fā)現(xiàn)網(wǎng)絡(luò)入入侵活動的系統(tǒng)基于可適應(yīng)網(wǎng)絡(luò)安全全技術(shù)P2DR（PolicyProtectionDetectionResponse）安全模型IDS功能：深入解析入侵事件、入入侵手段及被被入侵目標(biāo)的的漏洞對可能的入侵現(xiàn)現(xiàn)象進(jìn)行及時(shí)時(shí)發(fā)現(xiàn)和報(bào)告與其他網(wǎng)絡(luò)安全設(shè)設(shè)備聯(lián)動，實(shí)實(shí)施攔截IDS類型：基于主機(jī)的IDS基于網(wǎng)絡(luò)的IDS3641IDS體系結(jié)構(gòu)探針（probe）在網(wǎng)絡(luò)信息系統(tǒng)統(tǒng)中部署的軟件或硬件，用于實(shí)實(shí)時(shí)采集信息息對于不適合安裝探探針的設(shè)備，，可采用智能能代理（agent）多臺設(shè)備可合用用一個(gè)探針I(yè)DS控制臺（console）或管理中心探針采集的各各種操作信信息，，特別別是網(wǎng)網(wǎng)絡(luò)訪訪問的的有關(guān)關(guān)信息息，如如源與與目的的IP地址、、時(shí)間間、用用戶賬賬號、、操作作序列列、訪訪問資資源、、流量量等，，匯總總到控制制臺控制臺臺經(jīng)過過數(shù)據(jù)分分析，，可以以得到到網(wǎng)絡(luò)絡(luò)訪問問的行行為模模式，，并進(jìn)進(jìn)行分分析判定，，發(fā)現(xiàn)現(xiàn)入侵侵行為為3741IDS通用模模型3841IDS分析方方法（1）模式式發(fā)現(xiàn)技術(shù)假定所有入入侵行行為和和手段段（及及其變變種））都能能夠表表達(dá)為為一種種模式式或特特征，，那么么所有有已知知的入入侵方方法都都可以以用匹匹配的的方法法發(fā)現(xiàn)模式發(fā)現(xiàn)的的關(guān)鍵鍵是如如何表表達(dá)入入侵的的模式式，把把真正正的入入侵與與正常常行為為區(qū)分分開來模式發(fā)現(xiàn)的的優(yōu)點(diǎn)點(diǎn)是誤誤報(bào)少少，局局限是是它只只能發(fā)發(fā)現(xiàn)已已知的的攻擊擊，對對未知知的攻攻擊無能為為力（2）異常常發(fā)現(xiàn)技術(shù)假定所有入入侵行行為都都是與與正常常行為為有差差異的，如如果建