宋宜昌

國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心廣東分中心 廣東 510665

0 前言

社會(huì)信息化建設(shè)和計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展給人們帶來了便利的辦公自動(dòng)化和豐富的資源交流，但是黑客入侵、病毒破壞、木馬程序等安全危害也日益增多，網(wǎng)絡(luò)安全問題日趨嚴(yán)重。隨著網(wǎng)絡(luò)應(yīng)用的逐漸深入和普及，網(wǎng)絡(luò)安全越來越重要，網(wǎng)絡(luò)安全已經(jīng)稱為國家與國防安全的重要組成部分，國家和企業(yè)都對(duì)建立一個(gè)安全的網(wǎng)絡(luò)有了更高的要求，對(duì)入侵攻擊的檢測(cè)與防范、保障計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)及整個(gè)信息基礎(chǔ)設(shè)施的安全已稱為刻不容緩的重要課題。通過開展網(wǎng)絡(luò)安全防御技術(shù)研究，可以發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中存在的主要安全問題，并找到解決這些問題的方法，有針對(duì)性地進(jìn)行安全管理。

1 網(wǎng)絡(luò)安全防御技術(shù)研究的必要性

隨著計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)在我國各行業(yè)、各單位的建立和發(fā)展，網(wǎng)絡(luò)信息資源得到了共享和充分的利用，但網(wǎng)絡(luò)安全方面的問題也日趨嚴(yán)重。并且隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)攻擊也呈現(xiàn)出一些新趨勢(shì)。

1.1 攻擊自動(dòng)化

隨著大量黑客工具的不斷涌現(xiàn)，網(wǎng)絡(luò)攻擊的發(fā)起者不再是起初的具有豐富知識(shí)的計(jì)算機(jī)高手，任何具有基本計(jì)算機(jī)知識(shí)的人均可以利用黑客工具進(jìn)行網(wǎng)絡(luò)攻擊，網(wǎng)絡(luò)攻擊的技術(shù)門檻大大降低，給網(wǎng)絡(luò)信息系統(tǒng)的安全建設(shè)帶來了嚴(yán)重的威脅。

1.2 攻擊速度越來越高

隨著分布式攻擊工具的出現(xiàn)，攻擊者可以管理和協(xié)調(diào)分布在許多Internet系統(tǒng)上的大量已部署的攻擊工具。目前，分布式攻擊工具能夠更有效、更快速地發(fā)動(dòng)拒絕服務(wù)攻擊，掃描潛在的受害者，危害存在安全隱患的系統(tǒng)。

1.3 攻擊手段多樣化

網(wǎng)絡(luò)技術(shù)的發(fā)展和網(wǎng)絡(luò)新應(yīng)用的不斷開發(fā)，同時(shí)也帶來了網(wǎng)絡(luò)攻擊手段的不斷變化和翻新，利用漏洞進(jìn)行的網(wǎng)絡(luò)攻擊更是層出不窮，隨著發(fā)現(xiàn)安全漏洞的速度越來越快，網(wǎng)絡(luò)攻擊的手段變化也是日新月異。

2 網(wǎng)絡(luò)安全防御技術(shù)

面對(duì)嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)，針對(duì)不斷出現(xiàn)的網(wǎng)絡(luò)攻擊手段，研究相應(yīng)的網(wǎng)絡(luò)安全防御技術(shù)顯得越來越重要。根據(jù)近幾年網(wǎng)絡(luò)安全領(lǐng)域的發(fā)展情況，網(wǎng)絡(luò)安全防御技術(shù)大致可以分為兩類：傳統(tǒng)防御和主動(dòng)防御。

2.1 傳統(tǒng)防御技術(shù)

傳統(tǒng)防御技術(shù)主要包括防火墻、認(rèn)證技術(shù)、訪問控制、病毒防范、入侵檢測(cè)、漏洞掃描、信息加密技術(shù)和災(zāi)備恢復(fù)等。

2.1.1 防火墻技術(shù)

防火墻是一種形象的說法，其實(shí)它是一種由計(jì)算機(jī)硬件和軟件組成的一個(gè)或一組系統(tǒng)，用于增強(qiáng)內(nèi)部可信網(wǎng)絡(luò)和外部不可信網(wǎng)絡(luò)之間的訪問控制，從狹義上講，防火墻是安裝了防火墻軟件的主機(jī)或路由器系統(tǒng)；從廣義上來看，防火墻還應(yīng)該包括整個(gè)網(wǎng)絡(luò)的安全策略和安全行為。

防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，是內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立起一個(gè)安全網(wǎng)關(guān)，用來防止發(fā)生不可預(yù)測(cè)的、具有潛在的惡意入侵。它的主要功能包括過濾不安全的服務(wù)和非法用戶、管理網(wǎng)絡(luò)訪問行為、限制暴露用戶、阻止非法的網(wǎng)絡(luò)訪問、對(duì)網(wǎng)絡(luò)攻擊進(jìn)行探測(cè)和報(bào)警。防火墻技術(shù)是目前最為流行也是使用最為廣泛的一種網(wǎng)絡(luò)安全技術(shù)，是實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)安全的重要手段之一。

防火墻系統(tǒng)的實(shí)現(xiàn)技術(shù)主要分為分組過濾和代理服務(wù)兩種。分組過濾技術(shù)一種基于路由器的技術(shù)，由分組過濾路由器對(duì)IP分組進(jìn)行選擇，允許或拒絕特定的分組通過，過濾一般是基于一個(gè)IP分組的源地址、目的地址、源端口、目的端口和相關(guān)協(xié)議進(jìn)行的。代理服務(wù)技術(shù)是由一個(gè)高層的應(yīng)用網(wǎng)關(guān)作為代理服務(wù)器，接受外來的應(yīng)用連接請(qǐng)求，進(jìn)行安全判定后，再與被保護(hù)的網(wǎng)絡(luò)應(yīng)用服務(wù)器連接，使得外部服務(wù)用戶可以在受控制的前提下使用內(nèi)部網(wǎng)絡(luò)的服務(wù)。

2.1.2 認(rèn)證技術(shù)

認(rèn)證是防止惡意攻擊的重要技術(shù)，它對(duì)開放環(huán)境中的各種消息系統(tǒng)的安全有重要作用，認(rèn)證的主要目的有兩個(gè)：①驗(yàn)證信息的發(fā)送者是合法的；②驗(yàn)證信息的完整性，保證信息在傳送過程中未被篡改、重放或延遲等。目前有關(guān)認(rèn)證的主要技術(shù)有：消息認(rèn)證，身份認(rèn)證和數(shù)字簽名。消息認(rèn)證和身份認(rèn)證解決了通信雙方利害一致條件下防止第三者偽裝和破壞的問題。數(shù)字簽名能夠防止他人冒名進(jìn)行信息發(fā)送和接收，以及防止本人事后否認(rèn)已進(jìn)行過的發(fā)送和接收活動(dòng)。

2.1.3 訪問控制

訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非常訪問，也是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源的重要手段，是保證網(wǎng)絡(luò)安全最重要的核心策略之一。訪問控制技術(shù)主要包括入網(wǎng)訪問控制、網(wǎng)絡(luò)的權(quán)限控制、目錄級(jí)安全控制、屬性安全控制、網(wǎng)絡(luò)服務(wù)器安全控制、網(wǎng)絡(luò)監(jiān)測(cè)和鎖定控制、網(wǎng)絡(luò)端口和節(jié)點(diǎn)的安全控制等。根據(jù)網(wǎng)絡(luò)安全的等級(jí)，網(wǎng)絡(luò)空間的環(huán)境不同，可靈活地設(shè)置訪問控制的種類和數(shù)量。

2.1.4 信息加密技術(shù)

信息加密的目的是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)。加密常用的方法有鏈路加密、端點(diǎn)加密和節(jié)點(diǎn)加密三種，鏈路加密的目的是保護(hù)網(wǎng)絡(luò)節(jié)點(diǎn)之間的鏈路信息安全；端到端加密的目的是對(duì)源端用戶到目的端用戶的數(shù)據(jù)提供保護(hù)；節(jié)點(diǎn)加密的目的是對(duì)源節(jié)點(diǎn)到目的節(jié)點(diǎn)之間的傳輸鏈路提供保護(hù)。

信息加密過程是由形形色色的加密算法來具體實(shí)施的，以較小的代價(jià)提供較高的安全保護(hù)。在多數(shù)情況下，信息加密是保證信息機(jī)密性的惟一方法。如果按照收發(fā)雙方密鑰是否相同來分類，可以將這些加密算法分為常規(guī)密碼算法和公鑰密碼算法。在常規(guī)密碼中，接收方和發(fā)送方使用相同的密鑰，即加密密鑰和解密密鑰是相同或等價(jià)的。在公鑰密碼中，接收方和發(fā)送方使用的密鑰互不相同，而且?guī)缀醪豢赡軓募用苊荑€推導(dǎo)出解密密鑰。當(dāng)然在實(shí)際應(yīng)用中人們通常將常規(guī)密碼和公鑰密碼結(jié)合在一起使用，比如：利用DES或者IDEA來加密信息，而采用RSA來傳遞會(huì)話密鑰。

密碼技術(shù)是網(wǎng)絡(luò)安全最有效的技術(shù)之一。一個(gè)加密網(wǎng)絡(luò)，不但可以防止非授權(quán)用戶的搭線竊聽和入網(wǎng)，而且也是對(duì)付惡意軟件的有效方法之一。

2.1.5 入侵檢測(cè)技術(shù)

入侵檢測(cè)，顧名思義，是對(duì)入侵行為的發(fā)覺。它通過對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。

從技術(shù)上劃分，入侵監(jiān)測(cè)有兩種檢測(cè)模型：①異常檢測(cè)模型，檢測(cè)與可接受行為之間的偏差，如果可以定義每項(xiàng)可接受的行為，那么每項(xiàng)不可接受的行為就是入侵。這種檢測(cè)模型漏報(bào)率低，但誤報(bào)率較高。②特征檢測(cè)模型；檢測(cè)與已知的不可接受行為之間的匹配程度，如果可以定義所有的不可接受的行為，那么每種能夠與之匹配的行為都會(huì)引起告警。它將所有已知的攻擊特征和系統(tǒng)漏洞等以形式化的方法組成一個(gè)攻擊特征庫，然后將捕獲到的數(shù)據(jù)包用模式匹配的方法與特征庫中的特征逐條比較，以此判斷是否為攻擊或惡意入侵，這種模型誤報(bào)率低，但漏報(bào)率較高。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，這種檢測(cè)方法的缺點(diǎn)和不足逐漸顯現(xiàn)出來：需要匹配的數(shù)據(jù)量太大、只能檢測(cè)到已知的攻擊、容易受到欺騙等。

2.1.6 漏洞掃描

漏洞掃描就是對(duì)重要計(jì)算機(jī)信息系統(tǒng)進(jìn)行檢查，發(fā)現(xiàn)其中可被黑客利用的漏洞。漏洞掃描的結(jié)果實(shí)際上就是系統(tǒng)安全性能的一個(gè)評(píng)估，它指出了哪些攻擊是可能的，是網(wǎng)絡(luò)安全方案的一個(gè)重要組成部分。

從底層技術(shù)來劃分，可以分為基于網(wǎng)絡(luò)的掃描和基于主機(jī)的掃描這兩種類型。基于網(wǎng)絡(luò)的漏洞掃描工具可以看作為一種漏洞信息收集工具，根據(jù)不同漏洞的特性，構(gòu)造網(wǎng)絡(luò)數(shù)據(jù)包，發(fā)給網(wǎng)絡(luò)中的一個(gè)或多個(gè)目標(biāo)服務(wù)器，以判斷某個(gè)特定的漏洞是否存在。基于網(wǎng)絡(luò)的漏洞掃描器包含網(wǎng)絡(luò)映射(Network Mapping)和端口掃描功能?；谥鳈C(jī)的漏洞掃描器，掃描目標(biāo)系統(tǒng)的漏洞的原理，與基于網(wǎng)絡(luò)的漏洞掃描器的原理類似，但是，兩者的體系結(jié)構(gòu)不一樣?；谥鳈C(jī)的漏洞掃描器通常在目標(biāo)系統(tǒng)上安裝一個(gè)代理(Agent)或者是服務(wù)(Services)，以便能夠訪問所有的文件與進(jìn)程，這也使基于主機(jī)的漏洞掃描器能夠掃描更多的漏洞。現(xiàn)在流行的基于主機(jī)的漏洞掃描器在每個(gè)目標(biāo)系統(tǒng)上都有個(gè)代理，以便向中央服務(wù)器反饋信息，中央服務(wù)器通過遠(yuǎn)程控制臺(tái)進(jìn)行管理。

2.2 主動(dòng)防御技術(shù)

傳統(tǒng)防御技術(shù)為網(wǎng)絡(luò)信息系統(tǒng)的安全運(yùn)行起到了有力的保護(hù)作用，但自身固有的缺陷也制約了其在網(wǎng)絡(luò)安全建設(shè)中不能發(fā)揮更大的作用。其缺陷主要為：防御能力是被動(dòng)且是靜態(tài)的，其防御能力依賴于在接入系統(tǒng)之前的系統(tǒng)配置，只能防御系統(tǒng)配置中涉及的網(wǎng)絡(luò)安全攻擊，網(wǎng)絡(luò)安全防護(hù)應(yīng)該是一個(gè)動(dòng)態(tài)變化的過程，新的安全漏洞不斷出現(xiàn)，黑客的攻擊手法不斷翻新，傳統(tǒng)防御技術(shù)難以檢測(cè)、識(shí)別和處理新產(chǎn)生的網(wǎng)絡(luò)攻擊手段，且只能被動(dòng)的接受來自網(wǎng)絡(luò)的每一次入侵攻擊，不能從根本上解決網(wǎng)絡(luò)安全問題。

主動(dòng)防御技術(shù)是近幾年網(wǎng)絡(luò)安全領(lǐng)域新興的一個(gè)熱點(diǎn)，受到了業(yè)內(nèi)的廣泛關(guān)注，主動(dòng)防御技術(shù)是指能夠及時(shí)發(fā)現(xiàn)正在進(jìn)行的網(wǎng)絡(luò)攻擊，預(yù)測(cè)和識(shí)別潛在的攻擊，并能采取相應(yīng)措施使攻擊者不能達(dá)到其目的的各種方法和技術(shù)手段。主動(dòng)防御技術(shù)采用了完全不同于傳統(tǒng)防御技術(shù)的思想和技術(shù)，克服了傳統(tǒng)防御技術(shù)的不足。主動(dòng)防御使網(wǎng)絡(luò)安全防護(hù)進(jìn)入一個(gè)更高的階段，是未來網(wǎng)絡(luò)安全防護(hù)技術(shù)的發(fā)展方向。主動(dòng)防御技術(shù)是在保證和增強(qiáng)基本網(wǎng)絡(luò)安全的基礎(chǔ)之上實(shí)施的，是以傳統(tǒng)網(wǎng)絡(luò)安全防御為前提的，主要包括入侵防護(hù)技術(shù)、蜜罐和蜜網(wǎng)技術(shù)、取證技術(shù)等。

2.2.1 入侵防護(hù)技術(shù)(IPS)

防火墻是實(shí)施訪問控制策略的系統(tǒng)，對(duì)流經(jīng)的網(wǎng)絡(luò)流量進(jìn)行檢查，攔截不符合安全策略的數(shù)據(jù)包。入侵檢測(cè)技術(shù)通過監(jiān)視網(wǎng)絡(luò)或系統(tǒng)資源，尋找違反安全策略的行為或攻擊跡象，并發(fā)出報(bào)警。傳統(tǒng)的防火墻旨在拒絕那些明顯可疑的網(wǎng)絡(luò)流量，但仍然允許某些流量通過，因此防火墻對(duì)于很多入侵攻擊仍然無計(jì)可施。絕大多數(shù)入侵檢測(cè)系統(tǒng)都是被動(dòng)的，而不是主動(dòng)的。也就是說，在攻擊實(shí)際發(fā)生之前，它們往往無法預(yù)先發(fā)出警報(bào)。而入侵防護(hù)系統(tǒng)(IPS) 則傾向于提供主動(dòng)防護(hù)，其設(shè)計(jì)宗旨是預(yù)先對(duì)入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，避免其造成損失，而不是簡(jiǎn)單地在惡意流量傳送時(shí)或傳送后才發(fā)出警報(bào)。IPS 是通過直接嵌入到網(wǎng)絡(luò)流量中實(shí)現(xiàn)這一功能的，即通過一個(gè)網(wǎng)絡(luò)端口接收來自外部系統(tǒng)的流量，經(jīng)過檢查確認(rèn)其中不包含異?；顒?dòng)或可疑內(nèi)容后，再通過另外一個(gè)端口將它傳送到內(nèi)部系統(tǒng)中。這樣一來，有問題的數(shù)據(jù)包，以及所有來自同一數(shù)據(jù)流的后續(xù)數(shù)據(jù)包，都能在 IPS 設(shè)備中被清除掉。

IPS實(shí)現(xiàn)實(shí)時(shí)檢查和阻止入侵的原理在于IPS擁有數(shù)目眾多的過濾器，能夠防止各種攻擊。當(dāng)新的攻擊手段被發(fā)現(xiàn)之后，IPS就會(huì)創(chuàng)建一個(gè)新的過濾器。IPS數(shù)據(jù)包處理引擎是專業(yè)化定制的集成電路，可以深層檢查數(shù)據(jù)包的內(nèi)容。如果有攻擊者利用Layer 2 (介質(zhì)訪問控制)至Layer 7(應(yīng)用)的漏洞發(fā)起攻擊，IPS能夠從數(shù)據(jù)流中檢查出這些攻擊并加以阻止。傳統(tǒng)的防火墻只能對(duì)Layer 3或Layer 4進(jìn)行檢查，不能檢測(cè)應(yīng)用層的內(nèi)容。防火墻的包過濾技術(shù)不會(huì)針對(duì)每一字節(jié)進(jìn)行檢查，因而也就無法發(fā)現(xiàn)攻擊活動(dòng)，而IPS可以做到逐一字節(jié)地檢查數(shù)據(jù)包。所有流經(jīng)IPS的數(shù)據(jù)包都被分類，分類的依據(jù)是數(shù)據(jù)包中的報(bào)頭信息，如源IP地址和目的IP地址、端口號(hào)和應(yīng)用域。每種過濾器負(fù)責(zé)分析相對(duì)應(yīng)的數(shù)據(jù)包。通過檢查的數(shù)據(jù)包可以繼續(xù)前進(jìn)，包含惡意內(nèi)容的數(shù)據(jù)包就會(huì)被丟棄，被懷疑的數(shù)據(jù)包需要接受進(jìn)一步的檢查。

2.2.2 蜜罐和蜜網(wǎng)技術(shù)

蜜罐作為一種新興的網(wǎng)絡(luò)安全技術(shù)，以其獨(dú)特的思想受到了網(wǎng)絡(luò)專家的廣泛關(guān)注。蜜罐技術(shù)的奠基者Lance spitzner給出了蜜罐的權(quán)威定義：蜜罐是一種安全資源，其價(jià)值在于被掃描、攻擊和攻陷，然后對(duì)這些攻擊活動(dòng)進(jìn)行監(jiān)視、檢測(cè)和分析。蜜罐的主要目標(biāo)是容忍攻擊者入侵，記錄并學(xué)習(xí)攻擊者的攻擊工具、手段、目的等行為信息，尤其是未知攻擊行為信息，從而調(diào)整網(wǎng)絡(luò)安全策略，提高系統(tǒng)安全性能。同時(shí)，蜜罐還有轉(zhuǎn)移攻擊者注意力，消耗其攻擊資源、意志，間接保護(hù)真實(shí)目標(biāo)系統(tǒng)的作用。蜜罐技術(shù)提供了一種動(dòng)態(tài)識(shí)別未知攻擊的方法，將捕獲的未知攻擊信息反饋給防護(hù)系統(tǒng)，實(shí)現(xiàn)防護(hù)能力的動(dòng)態(tài)提升。

蜜網(wǎng)是在蜜罐技術(shù)上逐步發(fā)展起來的一個(gè)新的概念，又稱為誘捕網(wǎng)絡(luò)，在誘捕網(wǎng)絡(luò)架構(gòu)中，包含一個(gè)或多個(gè)蜜罐，同時(shí)又保證了網(wǎng)絡(luò)的高度可控性，以及提供多種數(shù)據(jù)捕獲和數(shù)據(jù)分析工具，以方便對(duì)攻擊信息的采集和分析。

為了在大規(guī)模的分布式網(wǎng)絡(luò)中方便地部署和維護(hù)蜜罐，對(duì)各個(gè)子網(wǎng)的安全威脅進(jìn)行統(tǒng)一收集，Lance spitzner又提出了蜜場(chǎng)的概念，對(duì)蜜罐進(jìn)行集中管理，使得蜜罐的維護(hù)、更新、規(guī)范化管理和數(shù)據(jù)分析都變得更加簡(jiǎn)單。

蜜罐系統(tǒng)主要涉及到以下幾種相關(guān)技術(shù)：網(wǎng)絡(luò)欺騙、數(shù)據(jù)捕獲、數(shù)據(jù)控制(端口重定向)、攻擊分析、特征提取和自動(dòng)報(bào)警等。它的優(yōu)點(diǎn)是：①誤報(bào)率低；②能夠進(jìn)行對(duì)未知攻擊的檢測(cè)；③成本低，蜜罐技術(shù)不需要大量資金的投入，可以使用一些低成本的設(shè)備進(jìn)行搭建。蜜罐系統(tǒng)的不足是它可以被識(shí)別，一旦被攻擊者辨別出其蜜罐的身份，它也就失去了價(jià)值。

蜜罐技術(shù)是一種新興的技術(shù)，還處于發(fā)展階段，由于它有著其他技術(shù)無可比擬的優(yōu)點(diǎn)，目前已稱為一個(gè)完整防護(hù)體系中不可或缺的一部分，相信隨著蜜罐技術(shù)的不斷完善，它必將會(huì)得到更廣泛的應(yīng)用，發(fā)揮更大的作用。

2.2.3 計(jì)算機(jī)取證技術(shù)

計(jì)算機(jī)取證(Computer Forensics)也稱計(jì)算機(jī)法醫(yī)學(xué)，它把計(jì)算機(jī)看作是犯罪現(xiàn)場(chǎng)，運(yùn)用先進(jìn)的辨析技術(shù)，對(duì)電腦犯罪行為進(jìn)行法醫(yī)式的解剖，搜尋確認(rèn)罪犯及其犯罪證據(jù)，并據(jù)此提起訴訟。網(wǎng)絡(luò)犯罪手段與網(wǎng)絡(luò)安全防御技術(shù)的關(guān)系正如現(xiàn)實(shí)社會(huì)中的罪犯和警察的關(guān)系一樣，是魔和道的較量。如果單靠網(wǎng)絡(luò)安全技術(shù)應(yīng)付網(wǎng)絡(luò)犯罪效果是非常有限的，還需要借助社會(huì)和法律的強(qiáng)大威力對(duì)付網(wǎng)絡(luò)犯罪。法律手段中重要的一條就是證據(jù)，計(jì)算機(jī)取證正是在這種形勢(shì)下產(chǎn)生和發(fā)展的，計(jì)算機(jī)取證技術(shù)的出現(xiàn)標(biāo)志著網(wǎng)絡(luò)安全防御理論走向成熟。

取證技術(shù)，它包括靜態(tài)取證技術(shù)和動(dòng)態(tài)取證技術(shù)。靜態(tài)取證技術(shù)是在已經(jīng)遭受入侵的情況下，運(yùn)用各種技術(shù)手段進(jìn)行分析取證工作。現(xiàn)在普遍采用的正是這種靜態(tài)取證方法，在入侵后對(duì)數(shù)據(jù)進(jìn)行確認(rèn)、提取、分析，抽取出有效證據(jù)，主要涉及到數(shù)據(jù)保護(hù)技術(shù)、磁盤鏡像拷貝技術(shù)、隱藏?cái)?shù)據(jù)識(shí)別和提取技術(shù)、數(shù)據(jù)恢復(fù)技術(shù)、數(shù)據(jù)分析技術(shù)、加解密技術(shù)和數(shù)據(jù)挖掘技術(shù)。動(dòng)態(tài)取證技術(shù)是計(jì)算機(jī)取證的發(fā)展趨勢(shì)，它是在受保護(hù)的計(jì)算機(jī)上事先安裝上代理，當(dāng)攻擊者入侵時(shí)，對(duì)系統(tǒng)的操作及文件的修改、刪除、復(fù)制、傳送等行為，系統(tǒng)和代理會(huì)產(chǎn)生相應(yīng)的日志文件加以記錄。利用文件系統(tǒng)的特征，結(jié)合相關(guān)工具，盡可能真實(shí)的恢復(fù)這些文件信息，這些日志文件傳到取證機(jī)上加以備份保存用以作為入侵證據(jù)。在動(dòng)態(tài)取證中最具特色的取證技術(shù)有入侵檢測(cè)取證技術(shù)、網(wǎng)絡(luò)追蹤技術(shù)、信息搜索與過濾技術(shù)、陷阱網(wǎng)絡(luò)取證技術(shù)、動(dòng)態(tài)獲取內(nèi)存信息技術(shù)、IP地址獲取技術(shù)、人工智能和數(shù)據(jù)挖掘技術(shù)。

3 網(wǎng)絡(luò)安全防御技術(shù)面臨的主要問題及發(fā)展趨勢(shì)

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)防御技術(shù)在近幾年也成為了研究的熱點(diǎn)，得到了快速的發(fā)展。 但同時(shí)也存在一些問題需要解決。一是防火墻技術(shù)還有待提高，近年來關(guān)于防火墻被攻擊成功的事件越來越多，給網(wǎng)絡(luò)安全保障工作帶來了極大威脅；二是入侵檢測(cè)技術(shù)的檢測(cè)效率不搞，具有較高的誤報(bào)率和漏報(bào)率；三是日益增長(zhǎng)的網(wǎng)絡(luò)流量導(dǎo)致檢測(cè)分析難度加大 ；四是網(wǎng)絡(luò)防御系統(tǒng)自身的安全性也面臨考驗(yàn)；五是缺乏統(tǒng)一的網(wǎng)絡(luò)防御術(shù)語和概念框架，缺乏客觀的測(cè)試與評(píng)估信息。

雖然防御技術(shù)目前還存在一些尚未解決的難點(diǎn)問題，但這并不能阻止網(wǎng)絡(luò)安全防御技術(shù)的發(fā)展。近年來，隨著神經(jīng)網(wǎng)絡(luò)技術(shù)、遺傳算法和生物免疫技術(shù)等新的概念不斷引入到入侵檢測(cè)技術(shù)中來，檢測(cè)技術(shù)將會(huì)得到很大的發(fā)展，目前已經(jīng)出現(xiàn)了基于協(xié)議分析、基于生物免疫、基于神經(jīng)網(wǎng)絡(luò)、基于支持向量機(jī)和基于數(shù)據(jù)挖掘等多種入侵檢測(cè)技術(shù)研究熱點(diǎn)，隨著對(duì)網(wǎng)絡(luò)防御技術(shù)的深入研究，防御技術(shù)必將在網(wǎng)絡(luò)安全防護(hù)中得到更加廣泛的應(yīng)用，成為應(yīng)對(duì)網(wǎng)絡(luò)威脅、保障網(wǎng)絡(luò)安全的有力武器。

[1] 應(yīng)向榮.網(wǎng)絡(luò)攻擊新趨勢(shì)下主動(dòng)防御系統(tǒng)的重要性.[J].計(jì)算機(jī)安全.2003.

[2] 黃家林,張征帆.主動(dòng)防御系統(tǒng)及應(yīng)用研究.[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.2007.

[3] 高曉飛,申普兵.網(wǎng)絡(luò)安全主動(dòng)防御技術(shù).[J].計(jì)算機(jī)安全.2008.

[4] Anderson J P. Computer Security Threat Monitoring and Surveillance[P]. PA19034,USA.1980.

[5] Dorothy E.Denning. An intrusion-detection model. IEEE Transactions On Software Engineering.1987.

[6] B.Endicott.Active Defense to Cyber Attacks.Information Assurance and Security [J].2006.

[7] 熊華.網(wǎng)絡(luò)安全——取證與蜜罐[M].北京人民郵電出版社.2003.

[8] 于波,涂敏.計(jì)算機(jī)取證分析.計(jì)算機(jī)與現(xiàn)代化.2006.