第一篇：網(wǎng)絡(luò)信息安全的攻擊與防護(hù)

目錄

一網(wǎng)絡(luò)攻擊技術(shù).....................................................錯(cuò)誤！未定義書簽。1.背景介紹...............................................................錯(cuò)誤！未定義書簽。2.常見(jiàn)的網(wǎng)絡(luò)攻擊技術(shù)..........................................錯(cuò)誤！未定義書簽。1.網(wǎng)絡(luò)監(jiān)聽(tīng).........................................................錯(cuò)誤！未定義書簽。2.拒絕服務(wù)攻擊...................................................................................2 3.緩沖區(qū)溢出.......................................................................................3

二、網(wǎng)絡(luò)防御技術(shù)................................................................................4 1.常見(jiàn)的網(wǎng)絡(luò)防御技術(shù)..........................................................................4 1.防火墻技術(shù).......................................................................................4 2.訪問(wèn)控制技術(shù)...................................................................................4

三、總結(jié)...............................................................5錯(cuò)誤！未定義書簽。一.生活中黑客常用的攻擊技術(shù)

黑客攻擊其實(shí)質(zhì)就是指利用被攻擊方信息系統(tǒng)自身存在安全漏洞，通過(guò)使用網(wǎng)絡(luò)命令和專用軟件進(jìn)入對(duì)方網(wǎng)絡(luò)系統(tǒng)的攻擊。目前總結(jié)出黑客網(wǎng)絡(luò)攻擊的類型主要有以下幾種：

1.對(duì)應(yīng)用層攻擊。

應(yīng)用層攻擊能夠使用多種不同的方法來(lái)實(shí)現(xiàn)，最常見(jiàn)的方法是使用服務(wù)器上通?？烧业降膽?yīng)用軟件（如SQL Server、PostScript和FTP）缺陷，通過(guò)使用這些缺陷，攻擊者能夠獲得計(jì)算機(jī)的訪問(wèn)權(quán)，以及在該計(jì)算機(jī)上運(yùn)行相應(yīng)應(yīng)用程序所需賬戶的許可權(quán)。

應(yīng)用層攻擊的一種最新形式是使用許多公開(kāi)化的新技術(shù)，如HTML規(guī)范、Web瀏覽器的操作性和HTTP協(xié)議等。這些攻擊通過(guò)網(wǎng)絡(luò)傳送有害的程序，包括Java applet和Active X控件等，并通過(guò)用戶的瀏覽器調(diào)用它們，很容易達(dá)到入侵、攻擊的目的。

2.拒絕服務(wù)攻擊

拒絕服務(wù)（Denial of Service, DoS）攻擊是目前最常見(jiàn)的一種攻擊類型。從網(wǎng)絡(luò)攻擊的各種方法和所產(chǎn)生的破壞情況來(lái)看，DoS算是一種很簡(jiǎn)單，但又很有效的進(jìn)攻方式。它的目的就是拒絕服務(wù)訪問(wèn)，破壞組織的正常運(yùn)行，最終使網(wǎng)絡(luò)連接堵塞，或者服務(wù)器因疲于處理攻擊者發(fā)送的數(shù)據(jù)包而使服務(wù)器系統(tǒng)的相關(guān)服務(wù)崩潰、系統(tǒng)資源耗盡。

攻擊的基本過(guò)程如下：首先攻擊者向服務(wù)器發(fā)送眾多的帶有虛假地址的請(qǐng)求，服務(wù)器發(fā)送回復(fù)信息后等待回傳信息。由于地址是偽造的，所以服務(wù)器一直等不到回傳的消息，然而服務(wù)器中分配給這次請(qǐng)求的資源就始終沒(méi)有被釋放。當(dāng)服務(wù)器等待一定的時(shí)間后，連接會(huì)因超時(shí)而被切斷，攻擊者會(huì)再度傳送新的一批請(qǐng)求，在這種反復(fù)發(fā)送偽地址請(qǐng)求的情況下，服務(wù)器資源最終會(huì)被耗盡。

被DDoS攻擊時(shí)出現(xiàn)的現(xiàn)象主要有如下幾種。被攻擊主機(jī)上有大量等待的TCP連接。網(wǎng)絡(luò)中充斥著大量的無(wú)用的數(shù)據(jù)包，源地址為假。制造高流量無(wú) 用數(shù)據(jù)，造成網(wǎng)絡(luò)擁塞，使受害主機(jī)無(wú)法正常和外界通信。利用受害主機(jī)提供的服務(wù)或傳輸協(xié)議上的缺陷，反復(fù)高速地發(fā)出特定的服務(wù)請(qǐng)求，使受害主機(jī)無(wú)法及時(shí)處理所有正常請(qǐng)求。嚴(yán)重時(shí)會(huì)造成系統(tǒng)死機(jī)。要避免系統(tǒng)遭受Do S攻擊，網(wǎng)絡(luò)管理員要積極謹(jǐn)慎地維護(hù)整個(gè)系統(tǒng)，確保無(wú)安全隱患和漏洞，而針對(duì)更加惡意的攻擊方式則需要安裝防火墻等安全設(shè)備過(guò)濾DOS攻擊，同時(shí)建議網(wǎng)絡(luò)管理員定期查看安全設(shè)備的日志，及時(shí)發(fā)現(xiàn)對(duì)系統(tǒng)構(gòu)成安全威脅的行為。

3.緩沖區(qū)溢出

通過(guò)往程序的緩沖區(qū)寫超出其長(zhǎng)度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其他的指令。如果這些指令是放在有Root權(quán)限的內(nèi)存中，那么一旦這些指令得到了運(yùn)行，黑客就以Root權(quán)限控制了系統(tǒng)，達(dá)到入侵的目的；緩沖區(qū)攻擊的目的在于擾亂某些以特權(quán)身份運(yùn)行的程序的功能，使攻擊者獲得程序的控制權(quán)。

緩沖區(qū)溢出的一般攻擊步驟為：在程序的地址空間里安排適當(dāng)?shù)拇a——通過(guò)適當(dāng)?shù)牡刂烦跏蓟拇嫫骱痛鎯?chǔ)器，讓程序跳到黑客安排的地址空間中執(zhí)行。緩沖區(qū)溢出對(duì)系統(tǒng)帶來(lái)了巨大的危害，要有效地防止這種攻擊，應(yīng)該做到以下幾點(diǎn)。必須及時(shí)發(fā)現(xiàn)緩沖區(qū)溢出這類漏洞：在一個(gè)系統(tǒng)中，比如UNIX操作系統(tǒng)，這類漏洞是非常多的，系統(tǒng)管理員應(yīng)經(jīng)常和系統(tǒng)供應(yīng)商聯(lián)系，及時(shí)對(duì)系統(tǒng)升級(jí)以堵塞緩沖區(qū)溢出漏洞。程序指針完整性檢查：在程序指針被引用之前檢測(cè)它是否改變。即便一個(gè)攻擊者成功地改變了程序的指針，由于系統(tǒng)事先檢測(cè)到了指針的改變，因此這個(gè)指針將不會(huì)被使用。數(shù)組邊界檢查：所有的對(duì)數(shù)組的讀寫操作都應(yīng)當(dāng)被檢查以確保對(duì)數(shù)組的操作在正確的范圍內(nèi)。最直接的方法是檢查所有的數(shù)組操作，通?？梢圆捎靡恍﹥?yōu)化的技術(shù)來(lái)減少檢查的次數(shù)。目前主要有以下的幾種檢查方法：Compaq C編譯器、Purify存儲(chǔ)器存取檢查等。

二． 生活中常見(jiàn)的網(wǎng)絡(luò)防御技術(shù)

1.常見(jiàn)的網(wǎng)絡(luò)防御技術(shù)

1.防火墻技術(shù) 網(wǎng)絡(luò)安全中使用最廣泛的技術(shù)就是防火墻技術(shù)，對(duì)于其網(wǎng)絡(luò)用戶來(lái)說(shuō)，如果決定使用防火墻，那么首先需要由專家領(lǐng)導(dǎo)和網(wǎng)絡(luò)系統(tǒng)管理員共同設(shè)定本網(wǎng)絡(luò)的安全策略，即確定什么類型的信息允許通過(guò)防火墻，什么類型的信息不允許通過(guò)防火墻。防火墻的職責(zé)就是根據(jù)本館的安全策略，對(duì)外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間交流的數(shù)據(jù)進(jìn)行檢查，符合的予以放行，不符合的拒之門外。該技術(shù)主要完成以下具體任務(wù)：

通過(guò)源地址過(guò)濾，拒絕外部非法IP地址，有效的避免了與本館信息服務(wù)無(wú)關(guān)的外部網(wǎng)絡(luò)主機(jī)越權(quán)訪問(wèn)；防火墻可以只保留有用的服務(wù)，將其他不需要的服務(wù)關(guān)閉，這樣做可以將系統(tǒng)受攻擊的可能性降到最低限度，使黑客無(wú)機(jī)可乘；同樣，防火墻可以制定訪問(wèn)策略，只有被授權(quán)的外部主機(jī)才可以訪問(wèn)內(nèi)部網(wǎng)絡(luò)上的有限IP地址，從而保證外部網(wǎng)絡(luò)只能訪問(wèn)內(nèi)部網(wǎng)絡(luò)中的必要資源，使得與本館信息服務(wù)無(wú)關(guān)的操作將被拒絕；由于外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)的所有訪問(wèn)都要經(jīng)過(guò)防火墻，所以防火墻可以全面監(jiān)視外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)活動(dòng)，并進(jìn)行詳細(xì)的記錄，通過(guò)分析可以得出可疑的攻擊行為。

防火墻可以進(jìn)行地址轉(zhuǎn)換工作，使外部網(wǎng)絡(luò)用戶不能看到內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，使黑客失去攻擊目標(biāo)。

雖然防火墻技術(shù)是在內(nèi)部網(wǎng)與外部網(wǎng)之間實(shí)施安全防范的最佳選擇，但也存在一定的局限性：不能完全防范外部刻意的人為攻擊；不能防范內(nèi)部用戶攻擊；不能防止內(nèi)部用戶因誤操作而造成口令失密受到的攻擊；很難防止病毒或者受病毒感染的文件的傳輸。

2.訪問(wèn)控制技術(shù)

訪問(wèn)控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要技術(shù)，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問(wèn)。

入網(wǎng)訪問(wèn)控制為網(wǎng)絡(luò)訪問(wèn)提供了第一層訪問(wèn)控制。它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制準(zhǔn)許用戶入網(wǎng)的時(shí)間和準(zhǔn)許他們?cè)谀呐_(tái)工作站入網(wǎng)。用戶的入網(wǎng)訪問(wèn)控制可分為三個(gè)步驟：用戶名的識(shí)別與驗(yàn)證、用戶口令的識(shí)別與驗(yàn)證、用戶賬號(hào)的缺省限制檢查。三道關(guān)卡中只要任何一關(guān)未過(guò)，該用戶便不能進(jìn)入該網(wǎng)絡(luò)。對(duì)網(wǎng)絡(luò)用戶的用戶名和口令進(jìn)行驗(yàn)證是防止非法訪問(wèn)的第一道防線。用戶注冊(cè)時(shí)首先輸入用戶名和口令，服務(wù)器將驗(yàn)證所輸入的用戶名是否合法。如果驗(yàn)證合法，才繼續(xù)驗(yàn)證用戶輸入的口令，否則，用戶將被拒之網(wǎng)絡(luò)外。用戶的口令是用戶入網(wǎng)的關(guān)鍵所在。為保證口令的安全性，用戶口令不能顯示在顯示屏上，口令長(zhǎng)度應(yīng)不少于6個(gè)字符，口令字符最好是數(shù)字、字母和其他字符的混合。

網(wǎng)絡(luò)的權(quán)限控制是針對(duì)網(wǎng)絡(luò)非法操作所提出的一種安全保護(hù)措施。用戶和用戶組被賦予一定的權(quán)限。網(wǎng)絡(luò)控制用戶和用戶組可以訪問(wèn)哪些目錄、子目錄、文件和其他資源?？梢灾付ㄓ脩魧?duì)這些文件、目錄、設(shè)備能夠執(zhí)行哪些操作。我們可以根據(jù)訪問(wèn)權(quán)限將用戶分為以下幾類：（1）特殊用戶（即系統(tǒng)管理員）；（2）一般用戶，系統(tǒng)管理員根據(jù)他們的實(shí)際需要為他們分配操作權(quán)限；（3）審計(jì)用戶，負(fù)責(zé)網(wǎng)絡(luò)的安全控制與資源使用情況的審計(jì)。用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)權(quán)限可以用一個(gè)訪問(wèn)控制表來(lái)描述。

網(wǎng)絡(luò)應(yīng)允許控制用戶對(duì)目錄、文件、設(shè)備的訪問(wèn)。用戶在目錄一級(jí)指定的權(quán)限對(duì)所有文件和子目錄有效，用戶還可進(jìn)一步指定對(duì)目錄下的子目錄和文件的權(quán)限。對(duì)目錄和文件的訪問(wèn)權(quán)限一般有八種：系統(tǒng)管理員權(quán)限（Supervisor）、讀權(quán)限（Read）、寫權(quán)限（Write）、創(chuàng)建權(quán)限（Create）、刪除權(quán)限（Erase）、修改權(quán)限（Modify）、文件查找權(quán)限、存取控制權(quán)限。一個(gè)網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)當(dāng)為用戶指定適當(dāng)?shù)脑L問(wèn)權(quán)限，這些訪問(wèn)權(quán)限控制著用戶對(duì)服務(wù)器的訪問(wèn)。八種訪問(wèn)權(quán)限的有效組合可以讓用戶有效地完成工作，同時(shí)又能有效地控制用戶對(duì)服務(wù)器資源的訪問(wèn)，從而加強(qiáng)了網(wǎng)絡(luò)和服務(wù)器的安全性。

三．總結(jié)

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的日新月異，為現(xiàn)代人的生活提供了很大的方便。但網(wǎng)絡(luò)安全威脅依然存在，網(wǎng)上經(jīng)常報(bào)道一些明星的照片泄露，12306賬號(hào)和密碼泄露，一些郵箱的密碼泄露，以及經(jīng)常發(fā)生的QQ號(hào)被盜等等……這些都會(huì)給我們的生活帶來(lái)麻煩，甚至讓我們付出經(jīng)濟(jì)代價(jià)。因此現(xiàn)在人們對(duì)于網(wǎng)絡(luò)安全的認(rèn)識(shí)也越來(lái)越重視，在整體概念上了解黑客的攻擊技術(shù)和常用工具方法，對(duì)于我們防范黑客攻擊提供了基本的知識(shí)儲(chǔ)備。而具體到平時(shí)的學(xué)習(xí)工作中，我們應(yīng)該養(yǎng)成良好的上網(wǎng)習(xí)慣和培養(yǎng)良好的網(wǎng)絡(luò)安全意識(shí)，在平時(shí)的工作中應(yīng)該注意，不要運(yùn)行陌生人發(fā)過(guò)來(lái)的不明文件，即使是非可執(zhí)行文件，也要十分小心，不要在不安全的網(wǎng)站上登錄一些重要賬號(hào)，或者不要在網(wǎng)站上記錄賬號(hào)密碼。以免造成密碼泄露。只要我們?cè)谄綍r(shí)上網(wǎng)時(shí)多注意，就可以有效地防范網(wǎng)絡(luò)攻擊。

此外，經(jīng)常使用殺毒軟件掃描，及時(shí)發(fā)現(xiàn)木馬的存在。我們應(yīng)該時(shí)刻警惕黑客的網(wǎng)絡(luò)攻擊，從自我做起，構(gòu)建起網(wǎng)絡(luò)安全堅(jiān)實(shí)防線，盡可能讓網(wǎng)絡(luò)黑客無(wú)孔可入。

第二篇：[Web系統(tǒng)安全性攻擊與防護(hù)總結(jié)報(bào)告]信息安全課程設(shè)計(jì)

鄭州輕工業(yè)學(xué)院本科

Web系統(tǒng)安全性攻擊與防護(hù)總結(jié)報(bào)告

設(shè)計(jì)題目：學(xué)生姓名：系

別：國(guó)際教育學(xué)院專

業(yè)：互聯(lián)網(wǎng)班

級(jí)：學(xué)

號(hào)：指導(dǎo)教師：

Web系統(tǒng)安全性攻擊與防護(hù)(SQL注入與防護(hù))XX

XX XX XX

2011 年

07 月 日

目錄

一、課程設(shè)計(jì)的目的和意義........................................................................................3

二、sql注入分析........................................................................................................3 2.1 sql注入的原理.................................................................................................3 2.2 sql注入攻擊的方式.........................................................................................3 2.2.1構(gòu)造參數(shù)攻擊.........................................................................................3 2.2.2轉(zhuǎn)義字符類型的攻擊.............................................................................4 2.2.3Union查詢攻擊.......................................................................................4 2.2.4注釋符攻擊.............................................................................................5

三、sql注入實(shí)例分析................................................................................................5 3.1系統(tǒng)核心代碼...................................................................................................5 3.2注入測(cè)試和分析...............................................................................................6 3.2.1注入測(cè)試.................................................................................................6 3.2.2注入攻擊過(guò)程及分析.............................................................................8

四、sql注入的防范措施............................................................................................10 4.1 防范措施1(對(duì)參數(shù)進(jìn)行強(qiáng)制類型轉(zhuǎn)換)......................................................10 4.2 防范措施2（類型判斷）.............................................................................12

五、密碼用MD5加密存儲(chǔ)和驗(yàn)證...........................................................................14 5.1加密的必要性分析.........................................................................................14 5.2加密核心代碼，登錄驗(yàn)證核心代碼.............................................................14 5.2.1加密核心代碼.......................................................................................14 5.2.2登錄驗(yàn)證核心代碼...............................................................................15

六、服務(wù)器目錄權(quán)限配置..........................................................................................16 6.1、權(quán)限分配原則分析......................................................................................16 6.2、具體權(quán)限分配過(guò)程......................................................................................16

七、總結(jié)......................................................................................................................18

一、課程設(shè)計(jì)的目的和意義

網(wǎng)絡(luò)技術(shù)隨著信息化技術(shù)的發(fā)展，網(wǎng)絡(luò)技術(shù)得到了廣泛的應(yīng)用，其中Web成為主流的網(wǎng)絡(luò)和應(yīng)用技術(shù)，但隨之而來(lái)的就是網(wǎng)絡(luò)安全問(wèn)題的出現(xiàn)。網(wǎng)絡(luò)安全問(wèn)題目前已成為世界范圍內(nèi)不容忽視的問(wèn)題。在研究與實(shí)踐的基礎(chǔ)上，詳細(xì)總結(jié)網(wǎng)絡(luò)攻擊方法的原理及其有針對(duì)性的防護(hù)技術(shù)，對(duì)加強(qiáng)網(wǎng)絡(luò)安全，實(shí)現(xiàn)web服務(wù)器安全有重要意義。

二、sql注入分析

2.1 sql注入的原理

SQL 注入是一種攻擊方式，在這種攻擊方式中，惡意代碼被插入到字符串中,然后將該字符串傳遞到程序執(zhí)行的SQL 語(yǔ)句中構(gòu)成攻擊者想執(zhí)行的任意SQL語(yǔ)句，分析服務(wù)器返回的信息獲得有關(guān)網(wǎng)站或服務(wù)器的敏感信息，進(jìn)一步獲得非法的信息和權(quán)限。

利用WEB應(yīng)用對(duì)用戶輸入驗(yàn)證設(shè)計(jì)上的疏忽，或驗(yàn)證的不嚴(yán)格，從而使用戶輸入的數(shù)據(jù)中包含對(duì)某些數(shù)據(jù)庫(kù)系統(tǒng)有特殊意義的符號(hào)或命令，讓W(xué)EB應(yīng)用用戶有機(jī)會(huì)直接對(duì)后臺(tái)數(shù)據(jù)庫(kù)系統(tǒng)下達(dá)指令，實(shí)施入侵行為。SQL注入的產(chǎn)生主要是由動(dòng)態(tài)字符串構(gòu)建和不安全的數(shù)據(jù)庫(kù)配置產(chǎn)生，其中動(dòng)態(tài)字符串構(gòu)建主要是由不正確的處理轉(zhuǎn)義字符、不正確的處理類型、不正確的處理聯(lián)合查詢、不正確的處理錯(cuò)誤和不正確的處理多次提交構(gòu)成。不安全的數(shù)據(jù)庫(kù)配置產(chǎn)生主要是由默認(rèn)預(yù)先安裝的用戶、以root，SYSTEM或者Administrator權(quán)限系統(tǒng)用戶來(lái)運(yùn)行和默認(rèn)允許很多系統(tǒng)函數(shù)（如xp_cmdshell，OPENROWSET等）構(gòu)成。

2.2 sql注入攻擊的方式

2.2.1構(gòu)造參數(shù)攻擊

如果一個(gè)惡意用戶提供的字段并非一個(gè)強(qiáng)制類型,或者沒(méi)有實(shí)施類型強(qiáng)制,就會(huì)發(fā)生這種形式的攻擊。當(dāng)在一個(gè)SQL語(yǔ)句中使用一個(gè)數(shù)字字段時(shí),如果程序員沒(méi)有檢查用戶輸入的合法性(是否為數(shù)字型)就會(huì)發(fā)生這種攻擊。例如: Statement:=“SELECT*FROM data WHERE id=”+a_variable+“;”

從這個(gè)語(yǔ)句可以看出,作者希望a_variable是一個(gè)與“id”字段有關(guān)的數(shù)字。不過(guò),如果終端用戶選擇一個(gè)字符串,就繞過(guò)了對(duì)轉(zhuǎn)義字符的需要。

2.2.2轉(zhuǎn)義字符類型的攻擊

Web應(yīng)用程序開(kāi)發(fā)時(shí)沒(méi)有對(duì)用戶的輸入進(jìn)行轉(zhuǎn)義字符過(guò)濾時(shí),就會(huì)發(fā)生這種形式的注入式攻擊,它會(huì)被傳遞給一個(gè)SQL語(yǔ)句.這樣就會(huì)導(dǎo)致惡意用戶對(duì)數(shù)據(jù)庫(kù)上的語(yǔ)句實(shí)施操縱。例如,下面的這行代碼就會(huì)演示這種漏洞:

Statement:=“SELECT*FROM users WHERE name='”+userName+“';”

此段代碼的設(shè)計(jì)目的是將一個(gè)特定的用戶從其用戶表中取出,但是,如果用戶名被一個(gè)惡意的用戶用一種特定的方式偽造,這個(gè)語(yǔ)句所執(zhí)行的操作可能就不僅僅是應(yīng)用程序開(kāi)發(fā)者所期望的那樣例如,將用戶名變量(即username)設(shè)置為:

a′or′1′=1′,此時(shí)原始語(yǔ)句發(fā)生了變化:

SELECT*FROM users WHERE name=′a′OR′1′=′1′;

如果這種代碼被用于一個(gè)認(rèn)證過(guò)程,那么這個(gè)例子就能夠強(qiáng)迫選擇一個(gè)合法的用戶名,因?yàn)橘x值

′1′=′1永遠(yuǎn)是真。

在一些特定的SQL服務(wù)器上,如在SQL Server中,任何一個(gè)SQL命令都可以通過(guò)這種方法被注入,包括執(zhí)行多個(gè)語(yǔ)句。

2.2.3Union查詢攻擊

Union查詢動(dòng)機(jī)是繞過(guò)驗(yàn)證或者提取數(shù)據(jù)。攻擊者在查詢語(yǔ)句中注入U(xiǎn)nion SELECT語(yǔ)句,并且因?yàn)橛脩艨刂啤癝ELECT語(yǔ)句”的內(nèi)容,攻擊者可以得到想要的信息。Union查詢SQL注入測(cè)試。

假設(shè)我們有如下的查詢:

SELEC Name,Psw,Tel FROM Users WHERE Id=$id然后我們?cè)O(shè)置id的值為:

$id=1UNION ALL SELECT bank CardNumber,1,1 FROM BankCardTable

那么整體的查詢就變?yōu)?

SELECT Name,Psw,Tel FROM Users WHERE Id=1 UNION ALL SELECT bankCardNumber,1,FROM BankCarTable

顯然這樣就能得到所有銀行卡用戶的信息。

2.2.4注釋符攻擊

使用注釋通?？梢允构粽呃@過(guò)驗(yàn)證。SQL在查詢中支持注釋,如,--、#等。通過(guò)注入注釋符,惡意用戶或者攻擊者可以毫不費(fèi)力的截?cái)郤QL查詢語(yǔ)句。例如,對(duì)于查詢語(yǔ)句SELECT*FROM users WHERE usermame=uname and Password=psw,如果惡意用戶輸入?yún)?shù)uname的值為admin--,Password的值為空,那么查詢語(yǔ)句變?yōu)镾ELECT*FROM users WHERE usermame=admin and Password=,也就SELECT*FROM users WHERE usermame=admin。這就使得惡意用戶不用提供密碼就可以通過(guò)驗(yàn)證。

三、sql注入實(shí)例分析

3.1系統(tǒng)核心代碼

顯示文章內(nèi)容的主要代碼：

<%'

#####查詢數(shù)據(jù)模塊開(kāi)始

###%> <%function query()id=request.QueryString(“id”)'為了測(cè)試此處沒(méi)有對(duì)參數(shù)進(jìn)行任何過(guò)濾和合法性分析 set rs=conn.execute(“select * from news where id=”&id)while not rs.eof response.Write(“發(fā)布者：”&rs(“adder”)&“
發(fā)布時(shí)間：”&rs(“time”)&“
標(biāo)題：”&rs(“title”)&“
[內(nèi)容：]
”&rs(“content”))rs.movenext wend call first()end function%> <%'

#####查詢數(shù)據(jù)模塊結(jié)束

###%>

3.2注入測(cè)試和分析

3.2.1注入測(cè)試

現(xiàn)在進(jìn)行注入測(cè)試： 首先看正常顯示文章截圖：

圖（1）

1、在地址后面加一個(gè)單引號(hào) ' 看返回結(jié)果是否正常

圖（2）

返回系統(tǒng)查詢報(bào)錯(cuò)，說(shuō)明可能存在注入漏洞。

2、繼續(xù)測(cè)試以確認(rèn)是否真正存在注入漏洞，在地址后面加上and 1=1 查看返回結(jié)果是正常。

圖（3）

顯示正常沒(méi)有異常。再接著把a(bǔ)nd 1=1 改為 and 1=2 看返回結(jié)果是否異常。

圖（4）

返回空白出現(xiàn)異常。

3、通過(guò)上面的注入測(cè)試，可以確定該網(wǎng)站一定存在SQL注入漏洞。

3.2.2注入攻擊過(guò)程及分析

下面使用構(gòu)造參數(shù)攻擊：

構(gòu)造語(yǔ)句：

?action=query&id=54 and exists(select * from _admin)發(fā)現(xiàn)返回正常，那么可以確定數(shù)據(jù)庫(kù)一定存在表 _admin

下面構(gòu)造：（猜測(cè)字段）

?action=query&id=54 and exists(select un,pw from _admin)返回結(jié)果造成說(shuō)明sql執(zhí)行正確,那么數(shù)據(jù)表_admin里一定存在 un pw 兩個(gè)字段

下面繼續(xù)構(gòu)造語(yǔ)句：(猜測(cè)字用戶名)?action=query&id=54 and exists(select * from _admin where un ='admin')返回結(jié)果正常,至此已經(jīng)獲得了一個(gè)管理員用戶名admin

下面構(gòu)造：(猜測(cè)密碼)?action=query&id=54 and exists(select * from _admin where pw='admin')返回結(jié)果正常,至此經(jīng)獲得了一個(gè)管理員用戶名admin 密碼是 admin 下面點(diǎn)擊首頁(yè)的登錄：

圖（5）

用得到的用戶名 admin 和密碼 admin登錄

圖（6）

圖（7）

成功進(jìn)入網(wǎng)站后臺(tái)管理：

圖（8）

到這里一個(gè)成功的注入過(guò)程就完成了，成功的到了網(wǎng)站管理員的用戶名和密碼。

四、sql注入的防范措施

4.1 防范措施1(對(duì)參數(shù)進(jìn)行強(qiáng)制類型轉(zhuǎn)換)核心代碼：

<%'

#####查詢數(shù)據(jù)模塊開(kāi)始

###%> <%function query()id=cint(request.QueryString(“id”))'使用cint函數(shù)把接收的值強(qiáng)制轉(zhuǎn)為整型 set rs=conn.execute(“select * from news where id=”&id)while not rs.eof 下面通過(guò)再次注入檢測(cè)看效果： 1.在鏈接后加單引號(hào) '

圖（9）

提示類型轉(zhuǎn)換失敗。

2.在鏈接后面加 and 1=1

圖（10）

仍然提示類型轉(zhuǎn)換失敗。3.在鏈接后面加 and 1=2

圖（11）

還是提示類型轉(zhuǎn)換失敗。

從此看來(lái)是不能注入的。說(shuō)明實(shí)施強(qiáng)制類型轉(zhuǎn)換成功的防治了SQL注入。

4.2 防范措施2（類型判斷）

核心代碼：

<%'

#####查詢數(shù)據(jù)模塊開(kāi)始

###%> <%function query()if isnumeric(request.QueryString(“id”))then '這里判斷參數(shù)是否是一個(gè)數(shù)字如果不是提示非法 id=request.QueryString(“id”)else response.write(“參數(shù)非法”)response.end()end if set rs=conn.execute(“select * from news where id=”&id)while not rs.eof 下面通過(guò)再次注入檢測(cè)看效果： 1.在鏈接后加單引號(hào) '

圖（12）

提示參數(shù)非法。

4.在鏈接后面加 and 1=1

圖（13）

仍然提示參數(shù)非法。5.在鏈接后面加 and 1=2

圖（14）

還是提示參數(shù)非法。

從此看來(lái)是不能注入的。說(shuō)明實(shí)施強(qiáng)類型判斷成功的防治了SQL注入。

五、密碼用MD5加密存儲(chǔ)和驗(yàn)證

5.1加密的必要性分析

從上面可以看到通過(guò)SQL注入攻擊者很容易就得到用戶的密碼，如果密碼沒(méi)有經(jīng)過(guò)加密那么攻擊者就可以使用該密碼登錄，如果密碼是加密保存在數(shù)據(jù)庫(kù)的，而且登錄驗(yàn)證是也是加密驗(yàn)證，那么攻擊者得到的就是加密的字符串，如果攻擊者不能破解該字符串那么攻擊者是無(wú)法登陸的。這樣給網(wǎng)站安全又加上了一道防護(hù)。

5.2加密核心代碼，登錄驗(yàn)證核心代碼

5.2.1加密核心代碼

<%'

######添加用戶模塊開(kāi)始

######%> <%function adduser()if request.QueryString(“l(fā)evel”)=“" then exit function username=request.Form(”username“)password=md5(trim(request.Form(”password“)))'添加用戶時(shí)將用戶的密碼md5加密后保存到數(shù)據(jù)庫(kù)

level=cint(request.QueryString(”level“))if level=0 then set rs=conn.execute(”select username from _user where username='“&username&”'“)set rs2=conn.execute(”select un from _admin where un='“&username&”'“)if(rs.eof and rs.bof)and(rs2.eof and rs2.bof)then conn.execute(”insert into _user(username,password)values('“&username&”' ,'“&password&”')“)response.Write(”“)rs.close else

5.2.2登錄驗(yàn)證核心代碼

<%'

#####驗(yàn)證登錄據(jù)模塊開(kāi)始

###%> <%function checklogon()username=request.Form(”username“)password=md5(trim(request.Form(”password“)))'登錄時(shí)先將用戶的密碼md5加密后與數(shù)據(jù)庫(kù)里面的對(duì)比 set rs=conn.execute(”select * from _user where username='“&username&”' and password='“&password&”'“)set rs2=conn.execute(”select * from _admin where un='“&username&”' and pw='“&password&”'“)if(rs.eof and rs.bof)and(rs2.eof and rs2.bof)then

response.Write(”")rs.close rs2.close else

六、服務(wù)器目錄權(quán)限配置

6.1、權(quán)限分配原則分析

對(duì)一個(gè)網(wǎng)站來(lái)說(shuō)除了上傳文件的目錄能寫入文件以外其它的所有目錄均不能寫入文件，而且上傳文件的目錄不能有網(wǎng)頁(yè)程序的執(zhí)行權(quán)限，這樣可以保證即使黑客成功上傳程序到上傳目錄那么也是不執(zhí)行的。

6.2、具體權(quán)限分配過(guò)程

利用NTFS文件系統(tǒng)的權(quán)限分配功能：

1、首先在文件夾安全選項(xiàng)里面把iis帳號(hào)加到網(wǎng)站根目錄中。然后指定其只能讀取，不能寫入文件，那么整個(gè)網(wǎng)站里面的所有目錄都不能寫入文件了。

2、下面接著給上傳文件目錄加上寫人的權(quán)限。

至此已經(jīng)完成了除了上傳文件目錄可以寫入文件其它目錄均不能寫入文件。

3、接著配置上傳目錄的運(yùn)行權(quán)限使其不能運(yùn)行網(wǎng)頁(yè)程序。

至此完成了權(quán)限分析中的所有需求。

七、總結(jié)

本次課程設(shè)計(jì)對(duì)網(wǎng)站SQL注入攻擊及網(wǎng)站安全技術(shù)進(jìn)行了比較詳細(xì)地分析，通過(guò)本次課程設(shè)計(jì)使我掌握了對(duì)SQL注入攻擊漏洞的檢測(cè)技術(shù)和預(yù)防SQL注入的手段，而且學(xué)會(huì)了在IIS和NTFS文件系統(tǒng)環(huán)境下安全配置網(wǎng)站的目錄權(quán)限的技能，了解到信息系統(tǒng)網(wǎng)站中存在的普遍安全漏洞。網(wǎng)站的安全穩(wěn)定運(yùn)行，應(yīng)側(cè)重于預(yù)防，不斷增強(qiáng)安全意識(shí)，采取各種預(yù)防措施，才能及時(shí)有效地排除安全隱患。

第三篇：淺談網(wǎng)絡(luò)信息安全的防護(hù)對(duì)策[范文模版]

淺談網(wǎng)絡(luò)信息安全的防護(hù)對(duì)策

計(jì)科1201 張曉楊 201209010127 摘要：隨著科學(xué)技術(shù)的高速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)成為新時(shí)期知識(shí)經(jīng)濟(jì)社會(huì)運(yùn)行的必要條件和社會(huì)的基礎(chǔ)設(shè)施。本文針對(duì)現(xiàn)代網(wǎng)絡(luò)威脅，針對(duì)各種安全隱患進(jìn)行歸納分析，并針對(duì)各種不安全因素提示相應(yīng)的防護(hù)措施。計(jì)算機(jī)網(wǎng)絡(luò)的安全性對(duì)國(guó)家乃至世界經(jīng)濟(jì)及人文發(fā)展起著至關(guān)重要的決定，因此，研究計(jì)算機(jī)網(wǎng)絡(luò)信息安全有著直接的現(xiàn)實(shí)的重大的意義。

關(guān)鍵字：計(jì)算機(jī)網(wǎng)絡(luò)

信息安全 防護(hù)策略

1、目前網(wǎng)絡(luò)中存在的主要安全威脅種類 1.1特洛伊木馬

它是一種具有隱藏性的、自發(fā)性的可被用來(lái)進(jìn)行惡意行為的程序，之所以被稱為特諾伊木馬是因?yàn)樗嗖粫?huì)直接對(duì)電腦產(chǎn)生危害，而是以控制為主，從而利用計(jì)算機(jī)程序漏洞侵入后竊取文件的程序。我們常常遇到的聊天軟件的盜號(hào)問(wèn)題往往跟電腦被木馬植入有關(guān)。

1.2拒絕服務(wù)攻擊

黑客的常用手段之一就是使目標(biāo)的電腦停止提供服務(wù)，我們常遇到的對(duì)網(wǎng)絡(luò)帶寬進(jìn)行的消耗性攻擊就是其中攻擊的一部分，而有時(shí)的主機(jī)無(wú)故死機(jī)，電腦網(wǎng)速的不正常延遲都屬于這種。這種攻擊會(huì)嚴(yán)重干擾到正常的信息交換與溝通。

1.3惡意攻擊

惡意攻擊對(duì)計(jì)算機(jī)的網(wǎng)絡(luò)安全具有很大的潛在危害。一般來(lái)說(shuō)，其可以分為兩種：被動(dòng)攻擊以及主動(dòng)攻擊。第一種被動(dòng)攻擊指的是：在不被用戶察覺(jué)的情況下，竊取和破譯重要的信息；第二種主動(dòng)攻擊指的是：攻擊者對(duì)用戶的信息進(jìn)行破壞以及竊取。無(wú)論是哪一種情況都是我們不愿意看到的，因?yàn)槎紩?huì)對(duì)用戶帶來(lái)很大的威脅以及困擾。網(wǎng)絡(luò)不可避免地具有一些漏洞，黑客們正是利用這些漏洞對(duì)用戶進(jìn)行攻擊，對(duì)國(guó)家和人民的生活和財(cái)產(chǎn)都會(huì)造成極大的損失。

1.4軟件自身的漏洞 作為由人編制的操作系統(tǒng)和相應(yīng)軟件，那么當(dāng)系統(tǒng)或應(yīng)用的設(shè)計(jì)和結(jié)構(gòu)出現(xiàn)問(wèn)題，應(yīng)該是理所當(dāng)然的，而一旦有人利用上這些漏洞和問(wèn)題時(shí)，計(jì)算機(jī)的信息安全就處于一個(gè)非常危險(xiǎn)的境地，一旦連入復(fù)雜的互聯(lián)網(wǎng)中，被人攻擊就不可避免，據(jù)美國(guó)《財(cái)富》雜志2月24日?qǐng)?bào)道，一名以為華盛頓郵報(bào)分析斯諾登有關(guān)美國(guó)國(guó)家安全局爆料而聞名的計(jì)算機(jī)安全專家發(fā)布了一系列運(yùn)行于MacOSX10.9系統(tǒng)的應(yīng)用軟件清單，稱這些應(yīng)用軟件同樣面臨著電腦操作系統(tǒng)安全漏洞問(wèn)題。

1.5自然災(zāi)害

自然災(zāi)害也是威脅計(jì)算機(jī)網(wǎng)絡(luò)信息安全的一個(gè)因素。這是因?yàn)槔纂?、電磁干擾、水災(zāi)、火災(zāi)甚至是潮濕都有可能對(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息造成重大影響。在防護(hù)的過(guò)程中，要充分考慮到計(jì)算機(jī)信息系統(tǒng)所處的環(huán)境，同時(shí)要對(duì)不可抗力進(jìn)行充分防護(hù)，盡量將損失降到最低。

1.6操作失誤

操作失誤主要針對(duì)的主體是用戶自身。有些用戶的安全意識(shí)很差，所用的密碼并不復(fù)雜。這就有可能造成用戶信息泄露，進(jìn)而對(duì)網(wǎng)絡(luò)信息安全造成影響。

2、網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全的防護(hù)對(duì)策 2.1技術(shù)方面上的安全防護(hù)對(duì)策

（1）安裝病殺毒軟件?，F(xiàn)今的主流軟件都是通過(guò)防病毒服務(wù)器在網(wǎng)絡(luò)上更新病毒庫(kù)以防病毒，并強(qiáng)制所有局域網(wǎng)中已開(kāi)機(jī)的終端用以及時(shí)更新病毒庫(kù)軟件。主流的瑞星殺毒軟件和防火墻、卡巴斯基網(wǎng)絡(luò)安全套裝、諾頓網(wǎng)絡(luò)安全套裝、麥咖啡網(wǎng)絡(luò)安全套裝、NOD32網(wǎng)絡(luò)安全套裝等都能很好的保護(hù)個(gè)人的電腦安全，而病毒主要就是通過(guò)數(shù)據(jù)破壞和刪除、后門攻擊、拒絕服務(wù)等幾種傳播方式對(duì)網(wǎng)絡(luò)進(jìn)行破壞和傳播。而針對(duì)病毒的幾種破壞形式，形成的對(duì)計(jì)算機(jī)統(tǒng)一的整體網(wǎng)絡(luò)病毒的防范體系，將有效的解決這些問(wèn)題。

（2）升級(jí)操作系統(tǒng)補(bǔ)丁。操作系統(tǒng)是管理計(jì)算機(jī)硬件資源，控制其他程序運(yùn)行并為用戶提供交互操作界面的系統(tǒng)軟件的集合。操作系統(tǒng)是計(jì)算機(jī)系統(tǒng)的關(guān)鍵組成部分，負(fù)責(zé)管理與配置內(nèi)存、決定系統(tǒng)資源供需的優(yōu)先次序、控制輸入與輸出設(shè)備、操作網(wǎng)絡(luò)與管理文件系統(tǒng)等基本任務(wù),操作系統(tǒng)自身的復(fù)雜性和對(duì)網(wǎng)絡(luò)的需求的適應(yīng)性，都決定著其需要及時(shí)進(jìn)行升級(jí)和更新，包括各種網(wǎng)絡(luò)設(shè)備，均需要及時(shí)升級(jí)并打上最新的系統(tǒng)補(bǔ)丁。（3）安裝入侵檢測(cè)系統(tǒng)。入侵檢測(cè)系統(tǒng)（簡(jiǎn)稱“IDS”）是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視，在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。它與其他網(wǎng)絡(luò)安全設(shè)備的不同之處便在于，IDS是一種積極主動(dòng)的安全防護(hù)技術(shù)，常用的有DCN、安氏領(lǐng)信等品牌。都能很好的對(duì)電腦安全起到防護(hù)作用。

（4）數(shù)據(jù)加密技術(shù)。就是我們所說(shuō)的密碼技術(shù)，就是信息安全的核似數(shù)據(jù)的保密，通常我們遇到的對(duì)網(wǎng)絡(luò)數(shù)據(jù)的保護(hù)形式就是對(duì)其加密，很好的防止了網(wǎng)絡(luò)數(shù)據(jù)的篡改、泄露和破壞。我們常用的加密形式包括鏈路加密、節(jié)點(diǎn)加密和混合加密形式。在兩個(gè)相鄰節(jié)點(diǎn)之間的數(shù)據(jù)加密并用以防止搭線竊聽(tīng)的方式就是鏈路加密。對(duì)目標(biāo)節(jié)點(diǎn)和源節(jié)點(diǎn)的鏈路提供保護(hù)就是節(jié)點(diǎn)加密。而將上述幾點(diǎn)組合在一起就是混合加密，這樣可以獲得更高的安全，隨著時(shí)放代的進(jìn)步，密碼學(xué)也伴著計(jì)算機(jī)的迅猛發(fā)展而活躍在各個(gè)領(lǐng)域。

（5）配備網(wǎng)絡(luò)安全設(shè)備或系統(tǒng)。隨著各種防護(hù)軟件和加密系統(tǒng)的漸漸跟不上層出不窮的新型病毒時(shí)，人們開(kāi)始把眼光投向軟件以外的硬件系統(tǒng)，于是各種網(wǎng)絡(luò)安全設(shè)備開(kāi)始應(yīng)用，學(xué)校的校園網(wǎng)首當(dāng)其沖，當(dāng)通過(guò)網(wǎng)絡(luò)安全設(shè)備的過(guò)濾將一些來(lái)自網(wǎng)絡(luò)的不健康數(shù)據(jù)都阻擋門外時(shí)，這種能大大提高校園網(wǎng)信息安全級(jí)別，并幫助網(wǎng)絡(luò)管理員發(fā)現(xiàn)網(wǎng)絡(luò)故障時(shí)定位的設(shè)備迅速占領(lǐng)市場(chǎng)。

（6）防火墻技術(shù)。防火墻指的是一個(gè)有軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障。是一種獲取安全性方法的形象說(shuō)法，它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個(gè)安全網(wǎng)關(guān)（SecurityGateway），從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問(wèn)政策、驗(yàn)證工具、包過(guò)濾和應(yīng)用網(wǎng)關(guān)4個(gè)部分組成。

2.2管理體制上的安全防護(hù)策略

（1）網(wǎng)絡(luò)管理制度的修訂。其目的是為了進(jìn)一步規(guī)范安全管理制度、操作規(guī)程定期評(píng)價(jià)修訂管理，確保網(wǎng)絡(luò)安全的先進(jìn)性和適用性。

（2）做好物理安全防護(hù)。一種網(wǎng)絡(luò)安全防護(hù)物理隔離裝置，包括核心數(shù)據(jù)服務(wù)器、多個(gè)數(shù)據(jù)發(fā)布服務(wù)器和路由器，多個(gè)數(shù)據(jù)發(fā)布服務(wù)器和核心數(shù)據(jù)服務(wù)器之間接有交換機(jī)，其特征在于：每個(gè)數(shù)據(jù)發(fā)布服務(wù)器和路由器之間均接有一定時(shí)繼電器；每個(gè)數(shù)據(jù)發(fā)布服務(wù)器和對(duì)應(yīng)的定時(shí)繼電器之間、每個(gè)定時(shí)繼電器和路由器之間均通過(guò)網(wǎng)線連接。做到這些就必須加強(qiáng)網(wǎng)絡(luò)監(jiān)管人員的信息安全意識(shí)等。

3、結(jié)束語(yǔ)

本文分析了當(dāng)前國(guó)內(nèi)外計(jì)算機(jī)網(wǎng)絡(luò)信息安全的現(xiàn)狀，接著介紹和分析了當(dāng)前最主要的幾種信息安全技術(shù)的原理，特別重點(diǎn)分析了他們的優(yōu)缺點(diǎn)，指出了計(jì)算機(jī)網(wǎng)絡(luò)信息安全的可能發(fā)展趨勢(shì)。我們必須認(rèn)真學(xué)習(xí)網(wǎng)絡(luò)信息安全方面的知識(shí)，做到防患于未然，才能更好的讓計(jì)算機(jī)網(wǎng)絡(luò)安全、有效、可靠地運(yùn)行下去，最大化的發(fā)揮它的價(jià)值。

參考文獻(xiàn)：

[1]原莉.如何確保計(jì)算機(jī)網(wǎng)絡(luò)安全[J].職大學(xué)報(bào)，2008，4.[2]謝浩浩.計(jì)算機(jī)網(wǎng)絡(luò)安全綜述[J].科技廣場(chǎng)，2009，11.[3]李建霞.計(jì)算機(jī)網(wǎng)絡(luò)安全與防范[J].中國(guó)西部科技，200

第四篇：網(wǎng)絡(luò)與信息安全

《網(wǎng)絡(luò)與信息安全》復(fù)習(xí)資料

信息安全特征：完整性、保密性、可用性、不可否認(rèn)性、可控性。保密學(xué)是研究信息系統(tǒng)安全保密的科學(xué)。

網(wǎng)絡(luò)信息安全體系結(jié)構(gòu)框架：安全控制單元、安全服務(wù)層面、協(xié)議層次。公鑰密碼：由兩個(gè)密碼組成，每個(gè)用戶擁有一對(duì)選擇密鑰：加密密鑰與解密密鑰。公鑰密碼特點(diǎn)：（1）加密密鑰和解密密鑰在本質(zhì)上是不同的，即使知道一個(gè)密鑰，也不存在可以輕易地推導(dǎo)出另一個(gè)密鑰的有效算法。（2）不需要增加分發(fā)密鑰的額外信道。公布公鑰空間，不影響公鑰系統(tǒng)的保密性，因?yàn)楸Ｃ艿膬H是解密密鑰。公鑰密碼系統(tǒng)應(yīng)具備兩個(gè)條件：（1）加密和解密交換必須滿足在計(jì)算上是容易的。（2）密碼分析必須滿足在計(jì)算機(jī)上是困難的。協(xié)議：兩個(gè)或兩個(gè)以上的主體為完成某一特定任務(wù)共同發(fā)起的某種協(xié)約或采取的一系列步驟。協(xié)議的特征：（1）至始至終有序進(jìn)行。（2）協(xié)議成立至少要有兩個(gè)主體。（3）協(xié)議執(zhí)行要通過(guò)實(shí)體操作來(lái)實(shí)現(xiàn)。數(shù)字簽名與手寫簽名的區(qū)別：（1）簽名實(shí)體對(duì)象不同。（2）認(rèn)證方式不同。（3）拷貝形式不同。

簽名算法的三個(gè)條件：（1）簽名者事后不能否認(rèn)自己的簽名。（2）任何其他人都不能偽造簽名，接收者能驗(yàn)證簽名。（3）當(dāng)簽名雙方發(fā)生爭(zhēng)執(zhí)時(shí)，可由公正的第三方通過(guò)驗(yàn)證辨別真?zhèn)巍?/p>

不可否認(rèn)數(shù)字簽名：沒(méi)有簽名者的合作，接收者就無(wú)法驗(yàn)證簽名，某種程度上保護(hù)了簽名者的利益，從而可防止復(fù)制或散布簽名文件的濫用。

不可否認(rèn)數(shù)字簽名方案由三部分組成：數(shù)字簽名算法、驗(yàn)證協(xié)議、否認(rèn)協(xié)議。

散列函數(shù)：一種將任意長(zhǎng)度的消息壓縮為某一固定長(zhǎng)度的消息摘要的函數(shù)。消息認(rèn)證碼：滿足某種安全性質(zhì)帶有密鑰功能的單向散列函數(shù)。身份證明分兩大婁：身份證實(shí)、身份識(shí)別。信息隱藏：把一個(gè)有含義的信息隱藏在另一個(gè)載體信息中得到隱密載體的一種新型加密方式。

信息隱藏的兩種主要技術(shù)：信息隱秘術(shù)、數(shù)字水印術(shù)。數(shù)字水印技術(shù)：指用信號(hào)處理的方法在數(shù)字化的多媒體數(shù)據(jù)中嵌入隱藏標(biāo)識(shí)的技術(shù)。

三種數(shù)字水印：（1）穩(wěn)健的不可見(jiàn)的水印。（2）不穩(wěn)健的不可見(jiàn)的水印。（3）可見(jiàn)的水印。

數(shù)字水印三個(gè)特征：（1）穩(wěn)健性。（2）不可感知性。（3）安全可靠性。

數(shù)字水印三個(gè)部分：（1）水印生成。（2）水印嵌入。（3）水印提?。z測(cè)）。

密鑰管理的基本原則：（1）脫離密碼設(shè)備的密鑰數(shù)據(jù)應(yīng)絕對(duì)保密。（2）密碼設(shè)備內(nèi)部的密鑰數(shù)據(jù)絕對(duì)不外泄。（3）密鑰使命完成，應(yīng)徹底銷毀、更換。常用密鑰種類：（1）工作密鑰。（2）會(huì)話密鑰。（3）密鑰加密密鑰。（4）主機(jī)主密鑰。

公開(kāi)密鑰分發(fā)：（1）廣播式密鑰分發(fā)。（2）目錄式密鑰分發(fā)。（3）公開(kāi)密鑰機(jī)構(gòu)分發(fā)。（4）公開(kāi)密鑰證書分發(fā)。密鑰保護(hù)方法：（1）終端密鑰保護(hù)。（2）主機(jī)密鑰保護(hù)。（3）密鑰分級(jí)保護(hù)管理。

秘密共享方案：將一個(gè)密鑰K分成n個(gè)共享密鑰K1、K2……Kn，并秘密分配給n個(gè)對(duì)象保管。密鑰托管技術(shù)：為用戶提供更好的安全通信方式，同時(shí)允許授權(quán)者為了國(guó)家等安全利益，監(jiān)聽(tīng)某些通信和解密有關(guān)密文。密鑰托管加密體制由三部分組成：用戶安全分量、密鑰托管分量、數(shù)據(jù)恢復(fù)分量。密鑰管理：指對(duì)于網(wǎng)絡(luò)中信息加密所需要的各種密鑰在產(chǎn)生、分配、注入、存儲(chǔ)、傳送及使用過(guò)程中的技術(shù)和管理體制。

保密通信的基本要求：保密性、實(shí)時(shí)性、可用性、可控性。密碼保護(hù)技術(shù)：密碼校驗(yàn)、數(shù)字簽名、公證消息。通信保密技術(shù)：（1）語(yǔ)音保密通信（模擬置亂技術(shù)、數(shù)字加密技術(shù)）。（2）數(shù)據(jù)保密通信。（3）圖像保密通信（模擬置亂、數(shù)字化圖象信號(hào)加密）。網(wǎng)絡(luò)通信加密的形式：（1）鏈路加密。（2）端－端加密。（3）混合加密。網(wǎng)絡(luò)通信訪問(wèn)基本控制方式：（1）連接訪問(wèn)控制。（2）網(wǎng)絡(luò)數(shù)據(jù)訪問(wèn)控制。（3）訪問(wèn)控制轉(zhuǎn)發(fā)。（4）自主訪問(wèn)控制與強(qiáng)制訪問(wèn)控制。接入控制功能：（1）阻止非法用戶進(jìn)入系統(tǒng)。（2）允許合法用戶進(jìn)入系統(tǒng)。（3）使合法用戶按其權(quán)限進(jìn)行活動(dòng)。接入控制策略：（1）最小權(quán)限策略。（2）最小泄漏策略。（3）多級(jí)安全策略。接入控制技術(shù)方法：（1）用戶標(biāo)識(shí)與認(rèn)證。（2）身份認(rèn)證特征（口令認(rèn)證方式、協(xié)議驗(yàn)證身份）。

PGP的五種功能：認(rèn)證性、機(jī)密性、壓縮、Email兼容性、分段與重組。IP層安全功能：鑒別服務(wù)、機(jī)密性、密鑰管理。

安全套接層SSL提供的安全服務(wù)：信息保密、信息完整性、相互認(rèn)證。

PPDR－A模型五要素：安全策略、安全監(jiān)測(cè)、安全反應(yīng)、安全防御、安全對(duì)抗。操作系統(tǒng)安全訪問(wèn)控制：測(cè)試程序訪問(wèn)控制、操作系統(tǒng)的訪問(wèn)權(quán)限控制、保護(hù)機(jī)制的訪問(wèn)控制、用戶認(rèn)證訪問(wèn)控制。

安全操作系統(tǒng)設(shè)計(jì)四環(huán)節(jié)：安全模型、安全設(shè)計(jì)、安全確認(rèn)、正確實(shí)施。安全網(wǎng)絡(luò)平臺(tái)種類：Windows NT、UNIX、Linux。（Linux兼容性好、源代碼開(kāi)放、安全透明）。

數(shù)據(jù)庫(kù)安全條件：數(shù)據(jù)獨(dú)立性、數(shù)據(jù)安全性、數(shù)據(jù)完整性、數(shù)據(jù)使用性、備份與恢復(fù)。

VPN（虛擬專用網(wǎng)）核心技術(shù)：隧道技術(shù)、密碼技術(shù)、管理技術(shù)。

政務(wù)網(wǎng)的特點(diǎn)：信息公眾化、信息機(jī)關(guān)化、信息存儲(chǔ)量大、保密程度高、訪問(wèn)密級(jí)多樣化。

政務(wù)網(wǎng)建設(shè)的三個(gè)安全域：（1）涉密域。（2）非涉密域。（3）公共服務(wù)域。

黑客攻擊：指黑客利用系統(tǒng)漏洞和非常規(guī)手段，進(jìn)行非授權(quán)的訪問(wèn)行為和非法運(yùn)行系統(tǒng)或非法操作數(shù)據(jù)。

防黑客攻擊幾種防范技術(shù)：安全性設(shè)計(jì)保護(hù)、先進(jìn)的認(rèn)證技術(shù)、掃描檢測(cè)審計(jì)技術(shù)。

常規(guī)網(wǎng)絡(luò)掃描工具：SATAN掃描工具、Nessus安全掃描器、nmap掃描器、strobe掃描器。網(wǎng)絡(luò)監(jiān)聽(tīng)工具：NetXRay、Sniffit。防火墻：在網(wǎng)絡(luò)安全邊界控制中，用來(lái)阻止從外網(wǎng)想進(jìn)入給定網(wǎng)絡(luò)的非法訪問(wèn)對(duì)象的安全設(shè)備。包括網(wǎng)絡(luò)級(jí)包過(guò)濾防火墻和應(yīng)用級(jí)代理防火墻。

密罐：用來(lái)觀察黑客如何入侵計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的一個(gè)軟件“陷阱”，通常稱為誘騙系統(tǒng)。

計(jì)算機(jī)病毒：指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。病毒檢測(cè)方法：比較法、搜索法、辨別法、分析法。

電子商務(wù)安全要求：可靠性、真實(shí)性、機(jī)密性、完整性、有效性、不可抵賴性、可控性。

電子商務(wù)安全服務(wù)：鑒別服務(wù)、訪問(wèn)控制服務(wù)、機(jī)密性服務(wù)、不可否認(rèn)服務(wù)。電子商務(wù)基本密碼協(xié)議：密鑰安全協(xié)議、認(rèn)證安全協(xié)議、認(rèn)證的密鑰安全協(xié)議。國(guó)際通用電子商務(wù)安全協(xié)議：SSL安全協(xié)議、SET安全協(xié)議、S－HTTP安全協(xié)議、STT安全協(xié)議。

電子商務(wù)實(shí)體要素：持卡人、發(fā)卡機(jī)構(gòu)、商家、銀行、支付網(wǎng)關(guān)、認(rèn)證機(jī)構(gòu)。

第五篇：淺談電信網(wǎng)絡(luò)環(huán)境下的DDOS攻擊防護(hù)技術(shù)

數(shù)字技術(shù)

與應(yīng)用安全技術(shù)

淺談電信網(wǎng)絡(luò)環(huán)境下的 ＤＤＯＳ 攻擊防護(hù)技術(shù)

劉智宏 李宏昌 李東垣

（中華通信系統(tǒng)有限責(zé)任公司

北京

１０００７０）

摘要：近年來(lái)，隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展及廣泛普及，網(wǎng)絡(luò)安全問(wèn)題面臨的形勢(shì)愈加嚴(yán)重，網(wǎng)絡(luò)攻擊防護(hù)越來(lái)越受人們的重視，而電信運(yùn)

營(yíng)商網(wǎng)絡(luò)幾乎成為拒絕服務(wù)攻擊（ＤＤＯＳ）的首選攻擊對(duì)象。本文主要以中華通信系統(tǒng)研發(fā)的基于ＩＳＰ網(wǎng)絡(luò)的拒絕服務(wù)攻擊防御系統(tǒng)為例簡(jiǎn)要分 析ＤＤＯＳ攻擊以及在電信網(wǎng)絡(luò)環(huán)境下的ＤＤＯＳ攻擊防護(hù)技術(shù)。

關(guān)鍵詞：ＤＤＯＳ 攻擊

安全

防范 中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416(2012)07-0165-02

１、ＤＤＯＳ 攻擊現(xiàn)狀分析

１．１ 運(yùn)營(yíng)商網(wǎng)絡(luò)面臨的 ＤＤＯＳ 攻擊威脅

當(dāng)前，運(yùn)營(yíng)商骨干網(wǎng)和各地市城域網(wǎng)，寬帶用戶多、網(wǎng)絡(luò)結(jié)構(gòu)復(fù) 雜、業(yè)務(wù)流量大，ＤＤＯＳ攻擊導(dǎo)致的網(wǎng)絡(luò)安全問(wèn)題時(shí)有發(fā)生，導(dǎo)致ＩＰ 網(wǎng)絡(luò)整體服務(wù)質(zhì)量下降，已經(jīng)嚴(yán)重威脅到運(yùn)營(yíng)商Ｉ Ｐ 網(wǎng)絡(luò)的正常業(yè) 務(wù)；當(dāng)３Ｇ 商用，智能化終端和寬帶化３Ｇ網(wǎng)絡(luò)與互聯(lián)網(wǎng)接軌，無(wú)線網(wǎng) 絡(luò)也將面對(duì)諸多互聯(lián)網(wǎng)安全問(wèn)題，這將會(huì)使缺乏固網(wǎng)ＤＤＯＳ 防范經(jīng) 驗(yàn)的電信運(yùn)營(yíng)商面臨巨大挑戰(zhàn)。

中華通信系統(tǒng)有限責(zé)任公司研發(fā)的基于ＩＳＰ網(wǎng)絡(luò)的分布式拒絕 服務(wù)攻擊防御系統(tǒng)（ＣｈｉｎａＣｏｍｍ ＩＤＰＳ１００）為軟硬件結(jié)合產(chǎn)品，產(chǎn) 品包括流量檢測(cè)組件和流量牽引清洗組件，根據(jù)ＩＳＰ網(wǎng)絡(luò)應(yīng)用需求 和網(wǎng)絡(luò)規(guī)模，系統(tǒng)可部署為流量檢測(cè)設(shè)備或檢測(cè)清洗一體化設(shè)備。產(chǎn)品能夠?qū)崿F(xiàn)電信級(jí)ＩＳＰ網(wǎng)絡(luò)的流量采集和流量分析，具有ＩＳＰ網(wǎng)絡(luò) 異常流量與拒絕服務(wù)攻擊檢測(cè)告警、網(wǎng)絡(luò)異常流量與拒絕服務(wù)攻擊 流量牽引、清洗防御、各類流量報(bào)表、系統(tǒng)安全日志審計(jì)、系統(tǒng)安全 管理控制等主要的功能。本產(chǎn)品屬于分布式設(shè)計(jì)模式，即系統(tǒng)是由 探測(cè)器設(shè)備和流量牽引設(shè)備共同組成的防御系統(tǒng)。系統(tǒng)的流量探測(cè) 器在旁路方式外還提供串聯(lián)接入方式，具備入侵檢測(cè)、防火墻、流量 監(jiān)控功能，流量牽引設(shè)備支持集群工作方式。１．２ 電信運(yùn)營(yíng)商對(duì) ＤＤＯＳ 攻擊防護(hù)需求

目前各大電信運(yùn)營(yíng)商只部署有過(guò)濾垃圾短信這種傳統(tǒng)無(wú)線業(yè) 務(wù)的網(wǎng)關(guān)設(shè)備，尚未對(duì)３ Ｇ 移動(dòng)互聯(lián)網(wǎng)的到來(lái)做好骨干流量和城域 網(wǎng)流量管控、清洗方面的準(zhǔn)備，運(yùn)營(yíng)商急需使用高效、成熟ＤＤＯＳ防 御產(chǎn)品，能夠?qū)崿F(xiàn)對(duì)ＤＤＯＳ 攻擊安全防護(hù)的高端網(wǎng)絡(luò)安全產(chǎn)品市場(chǎng) 需求空間巨大，主要表現(xiàn)在如下方面：

（１）應(yīng)用于全國(guó)各省、市級(jí)電信運(yùn)營(yíng)商ＩＤＣ、增值業(yè)務(wù)部。（２）應(yīng)用于移動(dòng)、聯(lián)通等移動(dòng)運(yùn)營(yíng)商的３Ｇ網(wǎng)絡(luò)接入，為３Ｇ網(wǎng)絡(luò) 拒絕服務(wù)攻擊防御提供可靠的防御工具。

（３）應(yīng)用于大型企業(yè)及大型網(wǎng)絡(luò)服務(wù)商，這些企業(yè)通常涉及跨 區(qū)域的網(wǎng)絡(luò)通信及網(wǎng)上業(yè)務(wù)。

３、華通產(chǎn)品（ＣｈｉｎａＣｏｍｍ ＩＤＰＳ１００）技術(shù)性能

３．１ 產(chǎn)品功能特點(diǎn)

３．１．１ 流量探測(cè)器功能特點(diǎn)

（１）采用雙子系統(tǒng)架構(gòu)。為防止過(guò)大流量對(duì)系統(tǒng)的沖擊造成系 統(tǒng)超載、運(yùn)行緩慢甚至當(dāng)機(jī)，系統(tǒng)采用獨(dú)創(chuàng)的雙子系統(tǒng)架構(gòu)。該架構(gòu) 將入侵檢測(cè)模塊和流量偵測(cè)模塊分為兩個(gè)完全獨(dú)立的系統(tǒng)，通過(guò)總 線相連，在互不影響的同時(shí)又能夠保證信息的共享及功能聯(lián)動(dòng)。

（２）采用針對(duì)拒絕服務(wù)攻擊特別優(yōu)化的入侵檢測(cè)模塊。入侵檢 測(cè)模塊采用中華通信自主研發(fā)的針對(duì)ＤＤＯＳ 攻擊的入侵監(jiān)測(cè)模塊。能夠?qū)α髁窟M(jìn)行深層檢測(cè)。能夠發(fā)現(xiàn)并抵御多數(shù)Ｄ ｏ Ｓ 攻擊、以及蠕 蟲、木馬等惡意代碼，并對(duì)流量偵測(cè)模塊提交的可疑流量進(jìn)行檢測(cè)，進(jìn)一步判斷是否為攻擊流量。

（３）采用先進(jìn)的檢測(cè)算法。流量探測(cè)器采用中華通信自主開(kāi)發(fā) 的基于自相似性模型的動(dòng)態(tài)異常流量監(jiān)測(cè)算法，能夠在ＤＤＯＳ 攻擊 的初始階段甄別攻擊。

３．１．２ 流量牽引器功能特點(diǎn)

（１）高速的攻擊處理能力。流量牽引器接入運(yùn)營(yíng)商骨干網(wǎng)絡(luò)，系 統(tǒng)能夠有效鑒別攻擊流量和正常流量，對(duì)異常攻擊流量進(jìn)行清洗，有效保證用戶正常業(yè)務(wù)流量的傳輸。該流量牽引設(shè)備支持集群工作 模式，通過(guò)集群化部署可以有效地提高系統(tǒng)的處理能力，使系統(tǒng)能 夠滿足大型ＩＳＰ網(wǎng)絡(luò)的需要。

（２）高效的軟硬件平臺(tái)。在硬件方面，流量牽引器采用了嵌入式 系統(tǒng)設(shè)計(jì)，在系統(tǒng)核心實(shí)現(xiàn)拒絕服務(wù)攻擊的防御算法，并且創(chuàng)造性 地將算法實(shí)現(xiàn)在網(wǎng)絡(luò)協(xié)議棧的最底層，完全避免了Ｔ Ｃ Ｐ、Ｕ Ｄ Ｐ 和Ｉ Ｐ 等高層系統(tǒng)網(wǎng)絡(luò)堆棧的處理，將整個(gè)運(yùn)算代價(jià)大大降低，大大提高 了運(yùn)算速率。２、主要廠家拒絕服務(wù)攻擊防御產(chǎn)品介紹

２．１ 主流廠家產(chǎn)品簡(jiǎn)介

２．１．１ ＪＵＮＩＰＥＲ ＮｅｔＳｃｒｅｅｎ－５０００ 系列

Ｊｕｎｉｐｅｒ主推一體化模塊式解決方案，路由器、業(yè)務(wù)部署系統(tǒng)（ＳＤＸ）和入侵檢測(cè)與防護(hù)（ＩＤＰ）產(chǎn)品結(jié)合在一起。

２．１．２ Ｎｏｋｉａ ＳＣ６６００ 信息安全網(wǎng)關(guān)

ＳＣ６６００安裝簡(jiǎn)易，管理方便。采用包括多重掃毒技術(shù)、宏摘除、層次式過(guò)濾的復(fù)合防護(hù)（Ｓｔａｔｉｓｔｉｃａｌ ＰｒｏｔｅｃｔｉｏｎＴＭ）技術(shù)，采用專用 安全操作系統(tǒng)。

２．１．３ ＣＩＳＣＯ Ｇｕａｒｄ ＸＴ

采用分布部署方式，多級(jí)檢測(cè)采用集成式動(dòng)態(tài)過(guò)濾和主動(dòng)核 查、殺手”技術(shù)等多種檢測(cè)技術(shù)，支持獨(dú)特的集群體系結(jié)構(gòu)，多級(jí)監(jiān) 控和報(bào)告。

２．１．４ 綠盟Ｄｅｆｅｎｄｅｒ４０００

作為異常流量清洗設(shè)備，與監(jiān)測(cè)中心、監(jiān)控管理中心共同構(gòu)建 異常流量?jī)艋到y(tǒng)。采用了多個(gè)并行的專業(yè)高性能網(wǎng)絡(luò)處理器，高 “ 效處理Ｄ Ｄ Ｏ Ｓ 攻擊，通過(guò)集群部署，可以輕松應(yīng)對(duì)１ ０ Ｇ ＋ 海量拒絕服 務(wù)攻擊。

２．２ 華通產(chǎn)品說(shuō)明 ??????下轉(zhuǎn)第１６７頁(yè)

165

數(shù)字技術(shù)

與應(yīng)用安全技術(shù) 統(tǒng)進(jìn)行傳遞，分析機(jī)子系統(tǒng)在完成數(shù)據(jù)的篩選和審核工作以后，攔 截并處理掉可疑信息，將正確的信息傳達(dá)給控制臺(tái)子系統(tǒng)，以保證 數(shù)據(jù)的有效傳遞。信息獲取子系統(tǒng)、分析機(jī)子系統(tǒng)、控制臺(tái)子系統(tǒng)三 者間通過(guò)特定的數(shù)據(jù)端口進(jìn)行數(shù)據(jù)的傳送，所有發(fā)送的數(shù)據(jù)都是進(jìn) 行了統(tǒng)一的格式換處理的，以固定的格式進(jìn)行傳送。

２．４．４ 終端信息的輸出

從信息獲取子系統(tǒng)，經(jīng)由分析機(jī)子系統(tǒng)，再到控制子系統(tǒng)這一 系列的信息傳遞過(guò)程中，不僅完成了數(shù)據(jù)的過(guò)濾、篩選、核實(shí)、攔截 和傳遞，還對(duì)具有威脅性的數(shù)據(jù)進(jìn)行了報(bào)警，切斷了可疑數(shù)據(jù)的進(jìn) 一步傳遞通道，最終準(zhǔn)確無(wú)誤地把需要的信息完整的從指定端口傳 出，完成了整個(gè)ＳＱＬ Ｓｅｒｖｅｒ數(shù)據(jù)庫(kù)的信息傳遞。但即使是這樣，也 不能完全保證數(shù)據(jù)輸出的絕對(duì)正確，還需要通過(guò)在輸出端口進(jìn)行再 次地過(guò)濾、篩選、核實(shí)與攔截等安全監(jiān)控系統(tǒng)的安全監(jiān)控措施，才能 更好的保證輸出的信息的可靠性和安全性。

現(xiàn)代的通信技術(shù)迅猛發(fā)展，為計(jì)算機(jī)網(wǎng)絡(luò)的智能化提供了新的 環(huán)境與新的機(jī)遇，但與此同時(shí)也帶來(lái)了新的問(wèn)題，如何有效地維護(hù) 信息的安全與完整，已經(jīng)成為社會(huì)關(guān)注的熱點(diǎn)。本文著重對(duì)如何實(shí) 現(xiàn)Ｓ Ｑ Ｌ Ｓ ｅ ｒ ｖ ｅ ｒ數(shù)據(jù)庫(kù)安全監(jiān)控系統(tǒng)提出一些見(jiàn)解，闡述了Ｓ Ｑ Ｌ Ｓｅｒｖｅｒ數(shù)據(jù)庫(kù)安全監(jiān)控系統(tǒng)是如何構(gòu)建、如何運(yùn)作的，希望能夠?yàn)?數(shù)據(jù)庫(kù)的安全維護(hù)起到一些作用。參考文獻(xiàn)

［１］張穎．關(guān)于 ＳＱＬ Ｓｅｒｖｅｒ 數(shù)據(jù)庫(kù)安全監(jiān)控系統(tǒng)的設(shè)計(jì)的探討［Ｊ］．?dāng)?shù) 字技術(shù)與應(yīng)用，２０１１．（１１）．

［２］李殿勛．淺談 ＳＱＬ Ｓｅｒｖｅｒ 數(shù)據(jù)庫(kù)安全監(jiān)控系統(tǒng)結(jié)構(gòu)和工作原理 ［Ｊ］．科技信息，２０１１．（２４）．

［３］馬慧．基于 ＳＱＬ Ｓｅｒｖｅｒ 數(shù)據(jù)庫(kù)安全監(jiān)控系統(tǒng)的研究［Ｊ］．微計(jì)算機(jī) 信息，２００９．（１８）． 以在尋得攻擊模式或其他的違反規(guī)則的活動(dòng)時(shí)發(fā)出控制臺(tái)子系統(tǒng)

警告、記錄攻擊事件的數(shù)據(jù)、適時(shí)阻斷網(wǎng)絡(luò)的連接，還可以根據(jù)不同 的需要對(duì)系統(tǒng)進(jìn)行相應(yīng)的拓展，聯(lián)動(dòng)防火墻等其他的安全設(shè)備。信 息獲取子系統(tǒng)、分析機(jī)子系統(tǒng)子系統(tǒng)、控制臺(tái)子系統(tǒng)三者之間相互 配合完成整個(gè)工作過(guò)程：

２．４．１ 實(shí)現(xiàn)主機(jī)報(bào)警

當(dāng)程序啟動(dòng)后，其所在的主機(jī)數(shù)據(jù)庫(kù)的安全監(jiān)控也將啟動(dòng)，信 息獲取獲得與數(shù)據(jù)庫(kù)操作的相關(guān)數(shù)據(jù)（數(shù)據(jù)庫(kù)主機(jī)的名稱、操作的 ＳＱＬ 語(yǔ)言、登陸的用戶名、用戶登錄密碼、當(dāng)前的系統(tǒng)用戶、操作的 結(jié)果等）后，將所得信息格式化并傳送到分析機(jī)子系統(tǒng)。分析機(jī)子系 統(tǒng)通過(guò)自帶的信息安全規(guī)則對(duì)所收到的信息進(jìn)行分析、核實(shí)與篩 選，從中分離出對(duì)數(shù)據(jù)庫(kù)有威脅的操作信息并向控制臺(tái)子系統(tǒng)發(fā) 出警告?？刂婆_(tái)子系統(tǒng)在收到警告信息后，由管理員對(duì)攻擊源的ＩＰ 地址發(fā)出進(jìn)行阻斷的命令，并由分析機(jī)子系統(tǒng)傳達(dá)給探頭的部分，再由探頭所在主機(jī)系統(tǒng)調(diào)動(dòng)自帶的ＡＰＩ實(shí)現(xiàn)對(duì)指定ＩＰ 地址試行攔 截的操作命令，從而避免了被侵犯的可能，實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)的安全性 的保護(hù)。

２．４．２ 命令的有效下達(dá)

處于數(shù)據(jù)庫(kù)最上層的控制臺(tái)子系統(tǒng)對(duì)分析機(jī)子系統(tǒng)與信息獲 取子系統(tǒng)進(jìn)行控制、維護(hù)更新，并經(jīng)由查詢以獲得它們的運(yùn)行狀態(tài) 的信息。命令從控制臺(tái)子系統(tǒng)發(fā)出以后迅速傳達(dá)至分析機(jī)子系統(tǒng)或 信息獲取部分，然后由它們的相應(yīng)模塊響應(yīng)指令，以實(shí)現(xiàn)命令的完 成?？刂婆_(tái)子系統(tǒng)下達(dá)的所有命令都將通過(guò)特定窗口進(jìn)行傳達(dá)，并 且分析機(jī)子系統(tǒng)與信息獲取部分接受命令與完成命令以后的反饋 信息也是經(jīng)由同一端口進(jìn)行傳遞的。

２．４．３ 數(shù)據(jù)的傳遞

從信息獲取子系統(tǒng)獲取的相關(guān)的信息數(shù)據(jù)，在經(jīng)過(guò)二次篩選過(guò) 濾后實(shí)現(xiàn)數(shù)據(jù)的完整性，然后根據(jù)數(shù)據(jù)的內(nèi)容向相應(yīng)的分析機(jī)子系

??????上接第１６５頁(yè)

３．２ 產(chǎn)品技術(shù)創(chuàng)新

３．２．１ 實(shí)現(xiàn)基于自相似性模型的動(dòng)態(tài)異常流量監(jiān)測(cè)

自相似性（ｓｅｌｆ－ｓｉｍｉｌａｒｉｔｙ）是指一個(gè)隨機(jī)過(guò)程在各個(gè)時(shí)間規(guī)模 上具有相同的統(tǒng)計(jì)特性。系統(tǒng)在進(jìn)入防護(hù)Ｄ Ｄ Ｏ Ｓ 攻擊之前，要對(duì)網(wǎng) 絡(luò)中正常的流量進(jìn)行相應(yīng)的記錄，用以檢測(cè)攻擊的存在，尤其對(duì) ＤＤＯＳ攻擊所利用的報(bào)文進(jìn)行檢測(cè)和分析。系統(tǒng)分別對(duì)各個(gè)協(xié)議的 流量（或連接數(shù)）最大的ＩＰ地址（源ＩＰ和目的ＩＰ）的流量（或連接數(shù)）進(jìn)行記錄。而通常不同時(shí)間段網(wǎng)絡(luò)流量也相差很大，簡(jiǎn)單的計(jì)算平均流量無(wú)法做快速可靠地發(fā)現(xiàn)攻擊。因此需要按照時(shí)間段的不同對(duì) 流量生成表項(xiàng)。通過(guò)大量測(cè)試分析在表項(xiàng)細(xì)度和系統(tǒng)性能之間找到 一個(gè)平衡點(diǎn)。

３．２．２ 掃描檢測(cè)算法

掃描檢測(cè)模塊采用一個(gè)基于貝葉斯網(wǎng)絡(luò)進(jìn)行ＴＣＰ 包頭異常分 析的掃描檢測(cè)方法（Ｐ Ｓ Ｄ Ｂ）。貝葉斯網(wǎng)絡(luò)模塊學(xué)習(xí)Ｔ Ｃ Ｐ 報(bào)文到達(dá)每 個(gè)目的主機(jī)和相應(yīng)目的端口的概率。ＰＳＤＢ 使用貝葉斯網(wǎng)絡(luò)來(lái)學(xué)習(xí)保存被檢測(cè)子網(wǎng)內(nèi)主機(jī)端口的概率分布。然后概率異常檢測(cè)操作依 據(jù)ＴＣＰ Ｆｌａｇ和報(bào)文到達(dá)的概率計(jì)算每個(gè)報(bào)文的異常度，并針對(duì)個(gè) 別協(xié)議本身的特點(diǎn)對(duì)異常值計(jì)算進(jìn)行修正，將判別為異常報(bào)文的信 息發(fā)送到分析模塊。

隨著我國(guó)信息化的快速發(fā)展，各行業(yè)對(duì)提高整體信息系統(tǒng)的安 全防護(hù)水平和保障能力提出了更高的要求，對(duì)信息安全技術(shù)和產(chǎn)品 的需求越來(lái)越大?；冢桑樱芯W(wǎng)絡(luò)的拒絕服務(wù)攻擊防御系統(tǒng)產(chǎn)品的投 放市場(chǎng)，能夠填補(bǔ)運(yùn)營(yíng)商急需使用高效、成熟Ｄ Ｄ Ｏ Ｓ 防御產(chǎn)品的需 求空間；可以極大地提高電信運(yùn)營(yíng)商、Ｉ Ｓ Ｐ、政府的整體網(wǎng)絡(luò)Ｄ Ｄ Ｏ Ｓ 防御能力本文來(lái)源于http://taobaoxuexi.sinaapp.com/（ddos攻擊器）。

系統(tǒng)創(chuàng)新的技術(shù)實(shí)現(xiàn)模式可以為用戶提供更優(yōu)化的Ｄ Ｄ Ｏ Ｓ 防 御解決方案，通過(guò)建設(shè)更安全的Ｄ Ｄ Ｏ Ｓ 防御系統(tǒng)，用戶可有效降低 大規(guī)模ＤＤＯＳ 類攻擊所帶來(lái)的社會(huì)和經(jīng)濟(jì)風(fēng)險(xiǎn)，為我國(guó)經(jīng)濟(jì)高速發(fā) 展提供安全的網(wǎng)絡(luò)環(huán)境。參考文獻(xiàn)

［１］李德全《拒絕服務(wù)攻擊》．北京：電子工業(yè)出版社，２００７ 年 １ 月． ［ ２ ］ 陽(yáng)莉《電信網(wǎng)絡(luò)分析與設(shè)計(jì)》．西安： 西安電子科技大學(xué)出版，． ２００８ 年 １ 月．

［３］郝永清《網(wǎng)絡(luò)安全攻防實(shí)用技術(shù)深度案例分析》．北京：科學(xué)出 版社，２０１０ 年 １ 月．

［４］ 加拿大．克勞斯《網(wǎng)絡(luò)安全保護(hù)》．北京：科學(xué)出版社，２００９ 年 ３ 月．

［ ５ ］ 孫玉《電信網(wǎng)絡(luò)安全總體防衛(wèi)討論》．北京： 人民郵電出版社，． ２００８ 年 ８ 月．

［６］Ｓｔｅｖｅ Ｍａｎｚｕｉｋ《網(wǎng)絡(luò)安全評(píng)估：從漏洞到補(bǔ)丁》．北京：科學(xué) 出版社，２００９ 年 １ 月．

［７］王秀利《網(wǎng)絡(luò)擁塞控制及拒絕服務(wù)攻擊防范》．北京：北京郵電 大學(xué)出版社，２００９ 年 ６ 月．

［ ８ ］ 王夢(mèng)龍《網(wǎng)絡(luò)信息安全原理與技術(shù)》．北京： 中國(guó)鐵道出版社，． ２００９ 年 １１ 月． ３．３ 產(chǎn)品應(yīng)用

本產(chǎn)品通常布置于運(yùn)營(yíng)商網(wǎng)絡(luò)中高帶寬節(jié)點(diǎn)，如核心交換機(jī)等

高速轉(zhuǎn)發(fā)設(shè)備，通常采用網(wǎng)關(guān)接入模式或路接入模式。在大型網(wǎng)絡(luò) 應(yīng)用時(shí)，可采用牽引器集群工作方式，可通過(guò)部署牽引器集群增強(qiáng) 系統(tǒng)處理能力及可靠性。

４、結(jié)語(yǔ)

167