网络安全防御知识范文

一、计算机网络安全及其面临的威胁

1.计算机网络安全的含义。计算机网络安全的具体含义会随着使用者的变化而变化，使用者不同，对网络安全的认识和要求也就不同。

2.计算机网络中的安全缺陷及产生的原因。网络安全缺陷产生的原因主要有：

第一,TCP/IP的脆弱性。第二,网络结构的不安全性。第三,易被窃听。第四,缺乏安全意识。

3.网络攻击和入侵的主要途径。网络入侵的主要途径有：破译口令、IP欺骗和DNS欺骗。

获得普通用户账号的方法很多，如：利用目标主机的Finger功能：当用Finger命令查询时，主机系统会将保存的用户资料(如用户名、登录时间等)显示在终端或计算机上;利用目标主机的X.500服务:有些主机没有关闭X.500的目录查询服务,也给攻击者提供了获得信息的一条简易途径。IP欺骗是指攻击者伪造别人的IP地址，让一台计算机假冒另一台计算机以达到蒙混过关的目的。域名系统(DNS)是一种用于TCP/IP应用程序的分布式数据库,它提供主机名字和IP地址之间的转换信息。通常，网络用户通过UDP协议和DNS服务器进行通信，而服务器在特定的53端口监听，并返回用户所需的相关信息。DNS协议不对转换或信息性的更新进行身份认证,这使得该协议被人以一些不同的方式加以利用。当攻击者危害DNS服务器并明确地更改主机名―IP地址映射表时,DNS欺骗就会发生。这些改变被写入DNS服务器上的转换表。

二、计算机防御对策

根据网络作战的目标范围，网络作战模型包含4个层次：第1层次，实体层次的计算机网络对抗；第2层次，能量层次的计算机网络对抗；第3层次，信息层次（逻辑层次）的计算机网络对抗；第4层次，感知层次（超技术层次）的计算机网络对抗。针对不同层次对抗，计算机网络防御应采取相应的对策。

1.实体层次防御对策。在组建网络的时候，要充分考虑网络的结构、布线、路由器、网桥的设置、位置的选择,加固重要的网络设施,增强其抗摧毁能力。与外部网络相连时,采用防火墙屏蔽内部网络结构,对外界访问进行身份验证、数据过滤,在内部网中进行安全域划分、分级权限分配。对外部网络的访问,将一些不安全的站点过滤掉，对一些经常访问的站点做成镜像,可大大提高效率，减轻线路负担。

2.能量层次防御对策。目前主要防护措施有2类:一类是对辐射的防护，主要采取对电源线和信号线加装性能良好的滤波器，减小传输阻抗和导线间的交叉耦合；给网络加装电磁屏蔽网，防止敌方电磁武器的攻击。另一类是对自身辐射的防护，这类防护措施又可分为2种：一是采用各种电磁屏蔽措施，如对设备的金属屏蔽和各种接插件的屏蔽，同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离；二是干扰的防护措施，即在计算机系统工作的同时，利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。

3.信息层次防御对策。信息层次的计算机网络对抗是运用逻辑手段破坏敌方的网络系统，保护己方的网络系统的对抗。这个概念接近于美国人讲的CyberspaceWarfare,主要包括计算机病毒对抗、黑客对抗、密码对抗、软件对抗,芯片陷阱等多种形式。他与计算机网络在物理能量领域对抗的主要区别表现在:信息层次的对抗中获得制信息权的决定因素是逻辑的,而不是物理能量的,取决于对信息系统本身的技术掌握水平,是知识和智力的较量,而不是电磁能量强弱的较量。信息层次的计算机网络对抗是网络对抗的关键层次,是网络防御的主要环节。信息层次的防御对策主要是防御黑客攻击和计算机病毒。

(1)防御黑客攻击。黑客攻击是黑客自己开发或利用已有的工具寻找计算机系统和网络的缺陷和漏洞，并对这些缺陷实施攻击。在计算机网络飞速发展的同时，黑客技术也日益高超，目前黑客能运用的攻击软件已有1000多种。从网络防御的角度讲，计算机黑客是一个挥之不去的梦魇。借助黑客工具软件，黑客可以有针对性地频频对敌方网络发动袭击令其瘫痪，多名黑客甚至可以借助同样的软件在不同的地点“集中火力”对一个或者多个网络发起攻击。而且，黑客们还可以把这些软件神不知鬼不觉地通过互联网按到别人的电脑上，然后在电脑主人根本不知道的情况下“借刀杀人”。

(2)防御计算机病毒。由于计算机病毒的传染性、潜伏性和巨大的破坏性。计算机病毒作为信息战的武器，其攻防对抗的焦点和关键技术是病毒的制作技术、注入技术、激活技术和隔离技术，其中实施病毒战难度最大的是注入、激活和隔离技术。防御计算机病毒，首先要进行计算机病毒的种类、性能、干扰机理的研究，加强计算机病毒注入、激活、耦合技术的研究和计算机病毒的防御技术的研究。但是要从根本上解决问题，就必须要用我国自己的安全设备加强信息与网络的安全性，大力发展基于自主技术的信息安全产业。

4.感知层次(超技术层次)防御对策。感知层次(超技术层次)的计算机网络对抗是网络空间中面向信息的超逻辑形式的对抗。因此，感知层次的计算机网络防御，一是依靠实体层次和信息层次的防御，二是依靠网络进攻和其他渠道。如通过网络进攻，攻击敌方的网站、服务器，阻塞敌方的网络通道，可以防止敌恶意信息和欺骗信息在己方网络中的存在；通过加强政治思想教育，心理素质培养，正面的舆论引导，科技知识的宣传，可以消除或减弱在感知层次的计算机网络进攻不良影响。

随着计算机技术和通信技术的发展，计算机网络将日益成为工业、农业和国防等方面的重要信息交换手段，渗透到社会生活的各个领域。因此，认清网络的脆弱性和潜在威胁，采取强有力的安全策略，对于保障网络的安全性将显得十分重要。

参考文献：

网络安全防御知识范文篇2

关键词：网络安全防御；感知数据源；防御链条；安全策略

0引言

目前，网络安全防御技术功能单一，防御能力低[1]，不同的安全技术只能相应解决一个问题，难以满足安全防御的需求。基于此，提出基于大数据分析的网络安全防御技术设计。网络安全方面，要综合分析信息内容安全和物理安全两方面，确保网络中的物理安全，并保护信息安全，避免信息遭受破坏或者泄露。通过建立网络安全数据库，分析网络数据，形成数据安全策略，构建预警体系，实现基于大数据分析的网络安全防御。通过建立合理的网络安全防御措施，保障信息不被窃取、破坏，为计算机网络安全和数据信息价值发挥提供重要保证。以下是大数据时代计算机网络安全防御技术的具体设计过程。

1基于大数据分析的网络安全防御技术设计

1.1建立网络安全数据库

网络安全数据繁杂且结构异化，需要从网络安全大数据中挖掘与安全相关的数据，才能对防御决策发挥作用。建立感知数据源，确定要采集的数据源[2]，采集防御链条下的终端、边界、服务和应用等各类安全数据，收集威胁网络安全的数据，存储到大数据平台，形成原始的安全数据仓库，并追踪网络攻击。设计时，将感知数据源覆盖整个网络攻击下的每个要素，保证攻击信息整体录入，记录和采集相关数据[3]，实现海量感知数据元的存储与集中管理。在此基础上，整合分布式文件系统、关系数据库等，构建混合形式的数据库，满足所有数据存储的需求，为网络数据分析提供数据基础。

1.2网络数据分析

获取网络被攻击后产生的数据，结合网络安全数据字典进行分析，生成网络安全摘要数据库，评价数据安全问题和安全隐患。分析有威胁的数据时，进行数据预处理，通过特征提取、数据融合等方式[4]，将原始数据重新组织并形成基础的数据关系图，采用攻击树模型方法分析攻击数据。构建攻击树模型，推测下一步攻击行为，结合攻击中的数据统计特征，设计数据分析流程、方法和规则，以此形成大数据分析具体模型。运用实时分析、离线分析的方式，深度挖掘预处理后的数据，以此发现数据中潜在的威胁，实现网络数据分析。

1.3引入数据检测技术

为保证网络数据的安全，通过数据存储、数据管理、数据应用三方面，建立数据安全策略，具体步骤如下。第一，在电脑上安装专业的硬件或者软件防火墙，隔离非法请求。建立相应的入侵检测机制，通过电脑终端检测分析业务请求，判断数据业务请求是否合法[5]。第二，建立数据管理方面的安全策略，构建安全管理制度，包括网络管理制度。加强大数据环境下的数据安全管理规范性，培训管理人员，加强管理人员的安全意识，为网络数据安全提供制度保障。此外，备份数据，如果数据出现损坏，可以通过数据备份还原损坏数据，将数据损坏降到最低。第三，建立数据应用方面的安全策略，保障大数据环境下数据应用的网络安全。采用加密技术加密数据，使数据在传输过程中转化为密文数据，防止数据被窃取，即使出现窃取情况，也因没有密钥而无法获取信息，提高数据传输的安全性，达到维护网络安全的目的。控制数据访问对象，对于想要访问数据的用户，必须进行身份认证，严格限制非认证客户的访问权限，保证访问数据的用户都是认证后的数据，最大限度保证网络安全。

1.4构建安全预警机制

在建立网络安全数据库、网络数据分析和引入数据检测技术的基础上，构建安全预警机制。利用大数据的分析结果，分析攻击者的行为路线和个性特征，汇总分析根据攻击者的攻击行为数据，描述攻击者的行为特点，分类攻击者的行为路线，作为防御依据，并根据攻击者的行为数据进行监测和提前报警。将访问者的行为数据形成摘要数据信息，在此基础上进行安全评价。因为攻击者的行为数据一般以定性数据的形式出现，这类数据不利于计算机分析，所以要量化处理定性数据，处理完成后构建预警体系。预警评价内容包括是否存在危险人员、哪些行为存在威胁，可进一步判断用户访问行为存在的具体偏差，预警提醒有安全隐患的行为。读取报警信息，选择控制系统需要的报警信息字段，采用统一的格式编码数据，加密后发送至控制台。控制台接收到加密的报警数据后进行解密，根据响应设备提供的接口，采用相应的协议转换为设备配置命令。当阻断攻击信息中出现的攻击行为时，攻击数据包会被相关系统检测，通过控制台合并、优化、分析和分类报警信息，按照安全策略生成相应规则，实现攻击数据一入侵就报警提醒。控制台接收到报警事件后，生成响应规则并发送到响应，根据收到的设备语法生成相应的控制命令，自动阻断攻击，以此实现基于大数据分析的网络安全防御。通过设计，很大程度上保证网络信息安全，具有一定的实际应用意义。

2结语

网络安全防御系统在安全保障中的意义非常突出。基于此，提出了基于大数据分析的网络安全防御技术。通过分析目前网络中易出现的安全问题，建立安全的网络防御模型，制定数据存储、应用、管理以及危险预警方面的安全防御措施，为网络安全奠定良好基础。希望本次研究能够对网络安全防御提供一定帮助。

参考文献

[1]任恒妮.大数据时代计算机网络安全防御系统设计研究分析[J].电子设计工程,2018,26(12):59-63.

[2]肖霞.基于大数据时代计算机网络安全技术应用研究[J].辽宁高职学报,2018,20(1):73-75.

网络安全防御知识范文

关键词：分布式；欺骗空间；多重欺骗；网络主动防御技术

中图分类号：TP393.08文献标识码：A文章编号：1007-9599(2012)05-0000-02

主动防御技术是用软件自动实现了反网络攻击分析判断的功能，有效的克服了传统安全软件无法防御未知恶意网络攻击的弊端，在技术上实现了对各种网络攻击的主动防御。其中基于分布式欺骗空间中的多重欺骗防御技术作为一个十分有效的网络主动防御技术，已经成为当前网络安全行业的研究重点。

一、分布式欺骗空间中实施多重欺骗的相关概念说明

（一）分布式欺骗空间中的多重欺骗的概念

所谓的分布式欺骗空间中的多重欺骗就是在分布式网络系统环境下，通过采取一定的技术措施来使入侵者相信这些错误的信息资源存在有价值的、可利用的安全弱点，从而将其引向这些错误的资源。分布式欺骗空间中的多重欺骗能够显著地增加入侵者的工作量、入侵复杂度以及不确定性，从而使入侵者不知道其进攻是否奏效或成功，进而实现网络安全防御的目的。

（二）分布式欺骗空间中的多重欺骗的主要方式

1.IP欺骗

（1）IP欺骗的原理

对病毒行为规律分析、归纳、总结，并结合反病毒专家判定病毒的经验，提炼成病毒识别规则知识库。模拟专家发现新病毒的机理，通过对各种程序动作的自动监视，自动分析程序动作之间的逻辑关系，综合应用病毒识别规则知识，实现自动判定新病毒，达到主动防御的目的。

所谓IP欺骗，无非就是伪造他人的IP地址，其实质就是让一台计算机来扮演另一台计算机，借以达到蒙混过关的目的。

IP欺骗利用了主机之间正常信任关系来发动的。所谓信任关系就是网络上的两台计算机X和Y，Y可以利用远程登录工具，无需要口令验证就可以登录到X主机上，而登录的基础是X对Y主机IP的验证。即X是否对Y的提供服务是基于对主机Y的IP地址的信任。

既然X、Y之间的信任关系是基于IP地址建立起来的，那么假如能够冒充Y的IP地址，就可以使rlogin登录上X，而不需要任何口令的验证，这就是IP欺骗的最根本的理论依据。

（2）IP欺骗的过程

第一、目标主机已选定，比如X。其次，信任模型已被发现，并找到了一个被目标主机信任的主机，比如Y。

第二、一旦发现被信任的主机，为了伪装它，往往要使其丧失工作能力。由于攻击者将要代替真正的被信任主机，所以它必须确保真正被信任的主机不能接收到任何有效的网络数据，否则将会被揭穿。

第三、使得被信任的主机（Y）丧失工作能力后，伪装成被信任的主机，同时建立起与目标主机基于地址验证的应用连接。如果成功，黑客可以使用一种简单的命令放置一个系统后门，以进行非授权操作。

2.DNS欺骗

（1）认识DNS欺骗

DNS欺骗是一种非常复杂的攻击手段。但是它使用起来比IP欺骗要简单一些，所以也比较常见。一个利用DNS欺骗进行攻击的典型案列，是全球著名网络安全销售商RSASecurity的网站所遭到的攻击。其实RSASecurity网站的主机并没有被入侵，而是RSA的域名被黑客劫持，当用户连上RSASecurity时，发现主页被改成了其他的内容。

（2）DNS欺骗的原理

第一、DNS报文只使用一个序列号来进行有效性鉴别，序列号由客户程序设置并由服务器返回结果，客户程序通过它来确定响应与查询是否匹配，这就引入了序列号攻击的危险。

第二、在DNS应答报文中可以附加信息，该信息可以和所请求的信息没有直接关系，这样，攻击者就可以在应答中随意添加某些信息，指示某域的权威域名服务器的域名及IP，导致在被影响的域名服务器上查询该域的请求都会被转向攻击者所指定的域名服务器上去，从而对网络的完整性构成威胁。

第三、DNS的高速缓存机制，当一个域名服务器收到有关域名和IP的映射信息时，它会将该信息存放在高速缓存中，当再次遇到对此域名的查询请求时就直接使用缓存中的结果而无需重新查询。

二、分布式欺骗空间中实施多重欺骗的安全防范措施

（一）IP欺骗的防范

对于来自网络外部的欺骗，防范的方法很简单，只需要在局域网的对外路由器上加一个限制设置就可以实现了，在路由器的设置里面禁止运行声称来自于网络内部的信息包。

对于来自局域网外部的IP欺骗攻击的防范则可以使用防火墙进行防范，但是对于来自内部的攻击通过设置防火墙则起步到什么作用，这个时候应该注意内部网的路由器是否支持内部接口。如果路由器支持内部网络子网的两个接口，则必须提高警惕，因为它很容易受到IP欺骗，这也正是为什么Web服务器放在防火墙外面更加安全的原因。

通过对信息包的监控来检查IP欺骗攻击将是非常有效的方法，使用netlog等信息包检查工具对信息的源地址和目的地址进行验证，如果发现了信息包来自两个一上的不同地址，则说明系统有可能受到了IP欺骗攻击，防火墙外面正有黑客试图入侵系统。

（二）DNS欺骗的防范

1.对于网站管理者来说，可行的防范措施有

第一、对高速缓存器加以限制，保证不保留额外的记录。

第二、不要用或依赖DNS构架安全体系。

第三、使用SSL之类的加密技术，即使被攻击，难度也会加大。那么如何挫败这种攻击呢？这也很简单，直接用IP访问重要的服务，这样至少可以避开DNS欺骗攻击。最根本的解决办法就是加密所有对外的数据流，对服务器来说就是尽量使用SSH之类的有加密支持的协议，对一般用户应该用PGP之类的软件加密所有发到网络上的数据。

2.对高标准的服务器来说，应该做到以下几点：一是安装新版软件；二是关闭服务器的递归功能；三是限制城名服务器做出反应的地址；四是限制城名服务器做出递归相应的请求地址；五是限制发去请求的地址；六是手动修改本地hosts文件来解；七是用专用工具，比如AntiARP-DNS。

三、分布式欺骗空间中实施多重欺骗的网络主动防御技术的实现

以下就以H3CIPS分布式网络主动防御系统的实际应用为例，就分布式欺骗空间中实施多重欺骗的网络主动防御技术的实现进行说明。

（一）系统整体的部署方案

以典型的企业园区网为例，入侵防御系统的部署总体方案如下图所示。

在互联网出口也需要部署IPS设备，拥有保护防火墙等网络基础设施，防御互联网对企业园区网的攻击，同时，还可对互联网出口带宽进行精细控制，防止带宽滥用，另外，H3C的IPS设备还可提供URL过滤功能，以限制园区网办公用户对工作无关网站的访问。同时，根据信息资产的重要性和安全威胁的严重程度，可以在DMZ区、广域网边界、内部子网边界都可考虑部署IPS设备。

（二）网络应用安全的保护实现

H3CIPS分布式网络主动防御系统提供扩展至用户端、服务器、及第二至第七层的网络型攻击防护。利用深层检测应用层数据包的技术，H3CIPS可以分辨出合法与有害的数据包内容。最新型的攻击可以透过伪装成合法应用的技术，轻易的穿透防火墙。而H3CIPS运用重组TCP流量以检视应用层数据包内容的方式，以辨识合法与恶意的数据流。大部分的入侵防御系统都是针对已知的攻击进行防御，然而H3CIPS运用漏洞基础的过滤机制，可以防范所有已知与未知形式的攻击。

四、结束语

分布式欺骗空间中多重欺骗的网络主动防御技术的实现，极大的提高了分布式网络系统运行的安全，同时网络欺骗技术作为一项重要的网络主动防御技术，它不仅可以有效减轻网络管理员的负担，而且可以提高网络的安全性能。

参考文献：

[1]黄浩.基于欺骗的网络主动防御技术研究[J].计算机应用研究,2006（11）