计算机病毒的正确防御与探讨

年毕业设计（论文）

计算机病毒的正确防御与探讨

学院:

专业:

班级:

学号:

学生姓名: 指导教师:

年月日摘要：随着全球因特网继续快速发展和因特网用户的快速增多，网络安全问题这一问题逐渐变的重要和引人注目。自2001年我国信息产业开始蓬勃发展，因特网用户继续快速增长。因特网的开放性决定网络系统的脆弱性加上国内网络的发展客观环境的特殊性，安全问题尤其是企业网络的安全问题变的十分突出。

目前，病毒已成为困扰计算机系统安全和网络发展的重要问题。但是，对于大多数计算机的一般用户来说，病毒似乎是个深不可测难以琢磨的东西。但其实，计算机病毒是可以预防的。计算机水平随着现代科技的发展在迅速的发展，对于计算机病毒的预防也不断的受到计算机用户的重视。作为一个计算机的使用者，应该了解计算机病毒的基本原理、入侵以及防范维护，以确保计算机能够在一个安全的环境下工作。本论文就浅谈计算机病毒的原理和防范。

关键词：网络安全，计算机病毒，入侵检测Abstract:With the rapid increasing of the Internet continues to develop rapidly and Internet users, the network security problem this problem has gradually become an important and attract sb.'s attention. Since 2001, China's information industry began to flourish, Internet users continues to grow rapidly. Special open Internet determines vulnerability in network system with the domestic network development the objective environment, safety problems especially the problem of network security becomes very prominent.

At present, the virus has become an important problem of computer system security and network development of distress. However, for the general user of most computers have no bottom, the virus seems to be an elusive thing. But in fact, a computer virus can be prevented. Computer level with the development of modern science and technology rapid development, for the prevention of computer virus has been subject to the attention of computer users. As a user of the computer, should understand the basic principle, the invasion of computer virus and preventive maintenance, to ensure that the computer can work in a safe environment. This thesis is on the principle of computer virus and prevention.

Keywords:Network security, computer virus, intrusion detection目录

前言 (5)

1入侵检测 (6)

1.1 网络安全的内容 (6)

1.1.1 安全防御措施 (7)

1.1.2 相应的攻击措施 (8)

1.1.3 入侵检测在安全防御体系中的地位 (9)

1.2 入侵检测 (10)

1.2.1入侵检测系统模型 (10)

1.2.2 入侵检测系统的分类 (10)

1.2.3 入侵检测过程 (12)

2 常见入侵检测系统及方案的优点和不足 (12)

2.1 常见入侵检测系统的特点 (12)

2.2主要入侵检测系统的比较 (14)

3 入侵检测解决方案 (16)

3.1 国内某大型企业网络安全现状 (16)

3.2入侵检测解决方案 (17)

3.2.1 NIDS入侵检测系统解决方案 (18)

3.2.2公开服务器HIDS入侵检测系统 (18)

3.2.3 分布式入侵检测系统对网络的加固 (19)

4 入侵检测解决方案验证分析 (21)

5 总结 (24)

结束语 (25)

参考资料 (26)

致谢 (27)前言

今天，迅速发展的Internet正在对全世界的信息产业带来巨大的变革和深远的影响。市场的全球化竞争已成为趋势。21世纪的中国正在向市场多元化、全球化的方向发展。对于企业来说，在调整发展战略时，必须考虑到市场的全球竞争战略，而这一切也将以信息化平台为基础，借助计算机网络原理及网络规划技术，以网络通畅为保证。国内越来越多的企业也已经或正在考虑使用Internet/Intranet技术,以建设企业规划化的信息处理系统。因为现代企业的信息大多都来自于互连网，通过网络，企业可以更快速的接收到来自全球的市场信息；通过Internet与外部世界交换信息，企业规划者可以更快地对企业作出正确的宏观与决策，以适应市场趋势。企业与全世界联系起来,极大地提高了信息收集的能力和效率。

本论文简单的讲述了计算机病毒的基本含义，让大家对计算机病毒做初步的了解，所谓知己知彼方能百战百胜，我们要学会去了解计算机病毒的原理还有目的，这样对于我们来说计算机病毒就没有那么深奥，难以琢磨了。我们把病毒的特性，生病周期，传播途径，主要危害和它的分类要弄清楚，这样我们才能对症下药，做好必要的防范措施。我们要有计算机病毒防范的意识，知道计算机病毒防范的基本原理和方法，对计算机进行有效的保护。如果计算机感染的病毒，还要学会如何清除病毒。这些都是必必须清楚的。虽然计算机病毒也在随着科技的发展计算机水平的进步也在不断的进步，但是我们只要把它的基本原理弄清楚了，在不断加以对计算机病毒的认识，我们是不必要为之而感到恐慌的。

1计算机病毒概述

1.1计算机病毒的定义计算机病毒（Computer Virus）是编制者在计算机程序中插入的破坏计算机功能或者数据的代码，能影响计算机使用，能自我复制的一组计算机指令或者程序代码。

计算机病毒具有传播性、隐蔽性、感染性、潜伏性、可激发性、表现性或破坏性。计算机病毒的生命周期：开发期→传染期→潜伏期→发作期→发现期→消化期→消亡期。

计算机病毒与医学上的“病毒”不同，计算机病毒不是天然存在的，是人利用计算机软件和硬件所固有的脆弱性编制的一组指令集或程序代码。它能潜伏在计算机的存储介质（或程序）里，条件满足时即被激活，通过修改其他程序的方法

将自己的精确拷贝或者可能演化的形式放入其他程序中。从而感染其他程序，对计算机资源进行破坏，所谓的病毒就是人为造成的，对其他用户的危害性很大。

1.2计算机病毒发展历程

第一份关于计算机病毒理论的学术工作（"病毒" 一词当时并未使用）于1949 年由约翰·冯·诺伊曼完成。以"Theory and Organization of Complicated Automata" 为题的一场在伊利诺伊大学的演讲，后改以"Theory of self-reproducing automata" 为题出版。冯·诺伊曼在他的论文中描述一个计算机程序如何复制其自身。

1980 年，Jürgen Kraus 于多特蒙德大学撰写他的学位论文"Self-reproduction of programs"。论文中假设计算机程序可以表现出如同病毒般的行为。

“病毒”一词最早用来表达此意是在弗雷德·科恩（Fred Cohen）1984年的论文《电脑病毒实验》。

1983 年11月，在一次国际计算机安全学术会议上，美国学者科恩第一次明确提出计算机病毒的概念，并进行了演示。

1986年年初，巴基斯坦兄弟编写了“大脑（Brain）”病毒，又被称为“巴基斯坦”病毒。

1987年，第一个电脑病毒C-BRAIN诞生。由巴基斯坦兄弟：巴斯特（Basit）和阿姆捷特（Amjad）编写。计算机病毒主要是引导型病毒，具有代

表性的是“小球”和“石头”病毒。

1988年在财政部的计算机上发现的，中国最早的计算机病毒。

19年，引导型病毒发展为可以感染硬盘，典型的代表有“石头2”。

1990年，发展为复合型病毒，可感染COM和EXE文件。

1992年，利用DOS加载文件的优先顺序进行工作，具有代表性的是“金蝉”病毒。

1995年，当生成器的生成结果为病毒时，就产生了这种复杂的“病毒生成器” ，幽灵病毒流行中国。典型病毒代表是“病毒制造机” “VCL”。

1998年大同工学院学生刘盈豪编制了CIH病毒。

2000年最具破坏力的10种病毒分别是：Kakworm，爱虫，Apology-B，Marker ， Pretty ，Stages-A，Navidad，Ska-Happy99 ，WM97/Thus ，XM97/Jin。

2003年，中国地区发作最多的十个病毒，分别是：红色结束符、爱情后门、FUNLOVE、QQ传送者、冲击波杀手、罗拉、求职信、尼姆达II、QQ木马、CIH。

2005年，1月到10月，金山反病毒监测中心共截获或监测到的病毒达到50179个，其中木马、蠕虫、黑客病毒占其中的91%，以盗取用户有价账号的木马病毒（如网银、QQ、网游）为主，病毒多达2000多种。

2007年1月，病毒累计感染了中国80%的用户，其中78%以上的病毒为木马、后门病毒。熊猫烧香肆虐全球。

2010年，越南全国计算机数量已500万台，其中93%受过病毒感染，感染

电脑病毒共损失59000万亿越南盾。

1.3计算机病毒运行机制

病毒依附存储介质软盘、硬盘等构成传染源。病毒传染的媒介由工作的环境来定。病毒激活是将病毒放在内存，并设置触发条件，触发的条件是多样化的，可以是时钟，系统的日期，用户标识符，也可以是系统一次通信等。条件成熟病毒就开始自我复制到传染对象中，进行各种破坏活动等。

病毒的传染是病毒性能的一个重要标志。在传染环节中，病毒复制一个自身副本到传染对象中去。

1.4计算机病毒分类

破坏性

良性病毒、恶性病毒、极恶性病毒、灾难性病毒。

传染方式

引导区型病毒主要通过软盘在操作系统中传播，感染引导区，蔓延到硬盘，并能感染到硬盘中的"主引导记录"。

文件型病毒是文件感染者，也称为“寄生病毒”。它运行在计算机存储器中，通常感染扩展名为COM、EXE、SYS等类型的文件。

混合型病毒具有引导区型病毒和文件型病毒两者的特点。

宏病毒是指用BASIC语言编写的病毒程序寄存在Office文档上的宏代码。宏病毒影响对文档的各种操作。

连接方式

源码型病毒攻击高级语言编写的源程序，在源程序编译之前插入其中，并

随源程序一起编译、连接成可执行文件。源码型病毒较为少见，亦难以编写。

入侵型病毒可用自身代替正常程序中的部分模块或堆栈区。因此这类病毒

只攻击某些特定程序，针对性强。一般情况下也难以被发现，清除起来也较困难。

操作系统型病毒可用其自身部分加入或替代操作系统的部分功能。因其直

接感染操作系统，这类病毒的危害性也较大。

外壳型病毒通常将自身附在正常程序的开头或结尾，相当于给正常程序加

了个外壳。大部份的文件型病毒都属于这一类。

1.5计算机病毒感染征兆

屏幕上出现不应有的特殊字符或图像、字符无规则变或脱落、静止、滚动、雪花、跳动、小球亮点、莫名其妙的信息提等。

图1 操作系统蓝屏

发出尖叫、蜂鸣音或非正常奏乐等。

经常无故死机，随机地发生重新启动或无法正常启动、运行速度明显下降、内存空间变小、磁盘驱动器以及其他设备无缘无故地

变成无效设备等现象。

磁盘标号被自动改写、出现异常文件、出现固定的坏扇区、可用磁盘空间变小、文件无故变大、失踪或被改乱、可执行文件（exe）变得无法运行等。

打印异常、打印速度明显降低、不能打印、不能打印汉字与图形等或打印时出现乱码。

收到来历不明的电子邮件、自动链接到陌生的网站、自动发送电子邮件等。

1.6病毒传播途径

和生物界的病毒一样，计算机病毒也会根据其自身特点，选择合适的途径进行繁殖。第一种途径：通过不可移动的计算机硬件设备进行传播。第二种途径：通过移动存储设备来传播这些设备包括软盘、磁带等。第三种途径：通过计算机网络进行传播。第四种途径：通过点对点通信系统和无线通道传播。

2 常见病毒入侵检测系统及的优点和不足2.1 常见入侵检测系统的特点

入侵检测系统触了检测器，还有很多系统特征。这些特征对入侵检测系统的性能有着很大的影响。

（1）检测时间：有些系统以实时或近乎实时的方式检测入侵活动，而另一些系统在处理审计数据时则存在一定的延时。一般的实时系统可以对历史审计数据进行离线操作，系统就能够根据以前保存的数据重建过去发生的重要安全事件。

（2）数据处理：有些系统采用了连续处理的方式，而另一些系统则在特定的时间间隔内对数据进行批处理操作，这就涉及到处理的问题。

（3）审计数据来源：主要有两种来源：网络数据和基于主机的安全日志文件。后者包括操作系统的内核日志、应用程序日志、网络设备（如路由器和防火墙）日志等。

（4）入侵检测响应方式：分为主动响应和被动响应。主动响应系统可以分为：对被攻击系统实施控制。它通过调整被攻击系统的状态，阻止或减轻攻击影响，例如断开网络连接、增加安全日志、杀死可疑进程等；对攻击系统实施控制的系统。这种系统多被军方所重视和采用。

（5）数据收集地点：审计数据源可能来自某单一节点，也可能来自于网络中多个分布式节点。

（6）数据处理地点：审计数据可以集中处理，也可以分布处理。

（7）安全性：指系统本身的抗攻击能力。

（8）互操作性：IDS与其他IDS或其他安全产品之间的互操作性是衡量其先进与否的一个重要标志。

IDS系统特征分类表

系统名称检测

时间粒度审计

来源

响应

类型

数据

处理

数据

收集

安全

性

互操

作性

IDES实时连续主机被动集中分布低低式式

NADIR非实

时连续主机被动集中

式

分布

式

低低

DIDS实时连续皆有被动分布

式分布

式

低低

Snort实时批处

理主机被动分布

式

分布

式

低低

NIDES实时连续主机被动集中

式集中

式

低较高

GrIDS非实

时批处

理

皆有被动分布

式

分布

式

低低

EMERALD实时连续皆有主动分布

式分布

式

中等高

aafid实时连续网络被动集中

式集中

式

较高低

2.2主要入侵检测系统的比较

入侵检测系统，主要分为基于主机的（IDS），HIDS；基于网络的（IDS），NIDS；分布式的（IDS），DIDS。它们的性能有着显著的区别。

2.2.1 HIDS与NIDS的比较分析

　　HIDS全称是Host-based Intrusion Detection System，即基于主机型入侵检测系统。作为计算机系统的监视器和分析器，它并不作用于外部接口，而是专注于系统内部，监视系统全部或部分的动态的行为以及整个计算机系统的状态。HIDS运行依赖与这样一个原理：一个成功的入侵者一般而言都会留下他们入侵的痕迹。这样，计算机管理员就可以察觉到一些系统的修改，HIDS亦能检测并报告出检测结果。

HIDS只能检测单个主机系统，而NIDS可以对本网段的多个主机系统进行检测，多个分布于不同网段上NIDS可以协同工作以提供更强的入侵检测能力。HIDS将探头(代理)安装在受保护系统中，它要求与操作系统内核和服务紧密捆绑在一起，监控各种系统事件，如对内核或API的调用，以此来防御攻击并对这些事件进行日志;还可以监测特定的系统文件和可执行文件调用，以及WindowsNT下的安全记录和Unix环境下的系统记录。对于特别设定的关键文件和文件夹也可以进行适时轮询的监控。HIDS能对检测的入侵行为、事件给予积极的反应，比如断开连接、封掉用户账号、杀死进程、提交警报等等。如果某用户在系统中植入了一个未知的木马病毒，可能所有的杀病毒软件、IDS等等

的病毒库、攻击库中都没有记载，但只要这个木马程序开始工作，如提升用户权限、非法修改系统文件、调用被监控文件和文件夹等，就会立即被HIDS的发现，并采取杀死进程、封掉账号，甚至断开网络连接。现在的某些HIDS甚至吸取了部分网管、访问控制等方面的技术，能够很好地与系统，甚至系统上的应用紧密结合。

　HIDS技术要求非常高，要求开发HIDS的企业对相关的操作系统非常了解，而且安装在主机上的探头(代理)必须非常可靠，系统占用小，自身安全性要好，否则将会对系统产生负面影响。HIDS关注的是到达主机的各种安全威胁，并不关注网络的安全。

HIDS不受加密传输的影响，能够了解被监视主机应用层的活动细节，有效

检测发生在应用层的入侵活动，并且了解某一入侵行为是否最终成功。它在作为用户进程运行时，依赖于操作系统底层的支持。同时，入侵者可以篡改这些进程的输出、关闭进程，推迟日志机制，甚至更换系统核心而逃避检测。此外，HIDS无法了解发生在下层协议的入侵活动；它存在于被监视的主机中，占用主机资源、CPU、存储空间等，管理不便，实时性较差。

　　基于网络的IDS（Network Intrusion Detection Systems，NIDS）最大的特点在于不需要改变服务器等主机的配置。NIDS是以网络包作为分析数据源。它通常利用一个工作在混杂模式下的网卡来实时监视并分析通过网络的数据流，其分析模块通常使用模式匹配、统计分析等技术来识别攻击行为。一旦检测到了攻击行为，IDS的响应模块就作出适当的响应，比如报警、切断相关用户的

网络连接等。与SCANER收集网络中的漏洞不同，NIDS收集的是网络中的动态

流量信息。因此，攻击特征库数目多少以及数据处理能力，就决定了NIDS识别入侵行为的能力。大部分NIDS的处理能力还是100兆级的，部分NIDS已经达

到1000兆级。NIDS设在防火墙后一个流动岗哨，能够适时发觉在网络中的攻

击行为，并采取相应的响应措施。

由于它不需在业务系统的主机中安装额外的软件，不会影响这些机器的CPU、I/O与磁盘等资源的使用，也不会影响业务系统的性能。另外，NIDS不是系统中的关键路径，即使发生故障也不会影响正常业务的运行。基于策略的预

防性反应。NIDS超越了被动的事件识别和告警功能，为网络提供积极的防护。ManHunt通过被称为异常协议检测的技术来分析网络流，以此来识别新型和未

知攻击。异常协议检测在检测大多数类型的攻击时不要求事先特征，甚至在发

布特征前也允许ManHunt检测和识别zero-day攻击。NIDS的优点很多，它能实时得到目标系统与外界交互的所有信息，包括一些很隐蔽的端口扫描和没有

成功的入侵尝试，响应迅速，占用资源少，与具体的操作系统无关。缺点是只

能检测同一网段内的数据包，不能跟踪各个子网上的数据活动；难以检测发现

在应用层的攻击。

2.2.2 基于Agent系统的IDS

　　基于Agent系统的IDS是DIDS的一种实现技术，它具有自治性（指的是agent可以在没有用户干预或者很少用户干预的情况下,可以执行一定的任务.）、可适应性（指agent可以根据环境的变化,做出相应的响应）和移动性（指agent可以在计算机网络中漫游的能力.在移动过程中agent可以保持自己的内部状态不变,到另外一个地点执行命令,也可以携带数据返回.具有这种性质的agent称为移动mobile agent）等智能化的特点。采用Agent，可以克服传统

的使用静态结构的IDS的许多固有。Agent能够到远程节点直接执行操作，实时对环境的改变做出响应；由于在网络中传输的是对数据的处理程序，减少

了网络负载；Agent能够于其创建平台而存在和运行，能够自我复制或者

寻求其它Agent的支持。

IDS的主要性能比较

集中性MIDAS, IDES, NADIR, NIDES, Bro

层次性GrtDS, EMERALD, DIDS

协作性CSM, AAFID3 病毒防范及查杀解决方案

3.1 相应防御措施

众所周知，安全才是网络的生存之本。没有安全保障的信息资产，就无法实现自身的价值。作为信息的载体，网络亦然。网络安全的危害性显而易见，而造成网络安全问题的原因各不相同，因此采取安全防御措施很有必要。

物理隔离，不接入公用网络或采用专用、封闭式的网络体系能够将外部攻击者拒之网外，从而极大地降低了外部攻击发生的可能性。对于一些关键部门或重要的应用场合，物理隔离是一种行之有效的防御手段；信号控制接入，直扩、跳频或扩跳结合等信号传输方面的安全措施都是相当有效的网络接入控制手段。

访问控制，访问控制的目的是保证网络资源不被未授权地访问和使用。资源访问控制通常采用网络资源矩阵来定义用户对资源的访问权限；对于信息资源，还可以直接利用各种系统(如数据库管理系统)内在的访问控制能力，为不同的用户定义不同的访问权限，有利于信息的有序控制。同样，设备的使用也属于访问控制的范畴，网络中心，尤其是主机房应当加强管理，严禁外人进入。对于跨网的访问控制，签证(Visas)和防火墙是企业CIMS网络建设中可选择的较好技术。

身份认证，身份认证也称身份鉴别，其目的是鉴别通信伙伴的身份，或者在对方声称自己的身份之后，能够进行验证。身份认证通常需要加密技术、密钥管理技术、数字签名技术，以及可信机构(鉴别服务站)的支持。可以支持身份认证的协议很多，如Needham-schroedar鉴别协议、X.509鉴别协议、Kerberos鉴别协议等。实施身份认证的基本思路是直接采用不对称加密，由称为鉴别服务站的可信机构负责用户的密钥分配和管理，通信伙伴通过声明各自拥有的秘密密钥来证明自己的身份。

防火墙是网络间互联互通的一道安全屏障，它根据用户制定的安全策略对网络间的相互访问进行，从而达到保护网络的目的。同时，基于代理技术的应用网关防火墙还能够屏蔽网络内部的配置信息，从而抑制部分网络扫描活动。充当TCP连接中介的防火墙对SYN flood攻击也有一定的防御作用；

防火墙虽然可以将非预期的访问请求屏蔽在外，但不能检查出经过他的合法流量中是否包含着恶意的入侵代码。在这种需求背景下，入侵检测系统（IDS）应运而生。入侵检测技术是一种主动保护自己免受攻击的一种网络安全技术。入侵检测技术帮助系统对付网络攻击，拓展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。

3.2病毒入侵检测解决方案

通过网络整体进行系统分析，考虑到网上运行的业务需求，本入侵检测解决方案本方案对原有网络系统进行全面的安全加强，主要实现以下目的：（1）保障现有关键应用的长期可靠运行，避免病毒和黑客攻击；

（2）防止内外部人员的非法访问，特别是对内部员工的访问控制；

（3）确保网络平台上数据交换的安全性，杜绝内外部黑客的攻击；

（4）方便内部授权员工(如：公司领导，出差员工等)从互联网上远程方便地、安全地访问内部网络，实现信息的最大可用性；

（5）对网络的异常行为进行监控，并作出回应，建立动态防护体系。

3.2.1 NIDS入侵检测系统解决方案

主动防御体系由漏洞扫描和入侵检测及与安全网关的联动系统组成。主要在网络中心增加 “入侵检测系统”、“漏洞扫描系统”。用户主动防范攻击行为，尤其是防范从单位内部发起的攻击。对在内网发起的攻击和攻破了安全网关第一道关卡的黑客攻击，可以依靠入侵检测系统阻断和发现攻击的行为，同时通过与安全网关的互动，自动修改策略设置上的漏洞不足，阻挡攻击的继续进入。本方案在交换机上连入NIDS入侵检测系统，得到目标系统与外界交互的所有信息。由IDS传感器对防火墙的内口、关键服务器进行监听，并进行分析、报警和响应；在入侵检测的控制台上观察检测结果，并形成报表，打印。

3.2.2公开服务器HIDS入侵检测系统

HIDS不受加密传输的影响，能够了解被监视主机应用层的活动细节，有效检测发生在应用层的入侵活动，并且了解某一入侵行为是否最终成功。即对入侵的判断准确、细微，能发现NIDS漏掉的入侵(比如加密的应用程序等)。

3.2.3 分布式入侵检测系统对网络的加固

由于该企业网络规模大、系统复杂，NIDS入侵检测系统和公开服务器HIDS入侵检测系统只能起到一般的防御作用。所以还需要在各个子网和子网分界处、及于英特网口处，安装分布式入侵检测系统。根据网络实际情况，综合运用AAFID、MAIDS（使用移动A－gent的IDS）、IDA（使用移动Agent跟踪入侵的IDS）、ABIDE（基于Agent的主机入侵检测环境）等系统。用于入侵检测时，所有的节点必须安装有Agent平台，在平台的支持下，Agent可以在不同的硬件

和软件环境中操作，数据收集、检测分析以及命令控制都不必驻留在同一物理设备上。不同的Agent 可以完成不同的功能，检测不同的攻击和处理对应的数据。我们选用较新的分布式、多层控制的KIDS入侵检测系统。KIDS入侵检测系统的结构如下所示：

作为系统中心的KIDS管理中心（KIDS Management Center），KMC包含大部分的功能组件，包括控制台、事件处理器、响应器、策略编辑器、数据库管理工具、报表分析工具等。KIDS入侵检测系统可以安装在MS Windows平台上。

KIDS的管理中心安装在管理机上，由系统管理员对网络中所有传感器进行统一的管理和监控。KIDS入侵检测系统以基于包特征的检测技术为主体，充分结合协议状态分析、流量异常检测等先进技术，在保证检测到已知的最新攻击行为的前提下，及时发现一些未知的非法入侵行为，从而确保检测的准确性和广泛性。包特征检测技术可以检测到各类攻击的明显特征，所以能检测到许多已知的攻击方法；协议状态分析则可以检测到在网络层（IP协议）、传输层（TCP、UDP、ICMP协议）和应用层（HTTP、SMTP、FTP等协议）中许多未知的攻击行为；流量异常检测则可发现诸如端口扫描（PORT SCANNING）、蠕虫（STORM）和FLOOD等具有“多会话形式”特点的攻击方法。

网络传感器系统配置要求：

管理中心（KIDS Management Center）系统配置要求：

4 入侵检测解决方案验证分析

该方案综合运用NIDS入侵检测系统、HIDS入侵检测系统、基于Agent

系统的IDS分布式系统。基本达到了企业网络入侵检测的安全目标：（1）识别各种黑客攻击或入侵的方法和手段。从网络中搜集各种网络行为的信息，然后从中分析各种攻击的特征，它可以全面快速地识别各种网络攻击，如扫描、嗅探、后门、病毒、恶意代码、拒绝服务、分布式拒绝服务、可疑行为、非授权访问、主机异常和欺骗等，并做相应的防范。

（2）监控内部人员的误操作、资源滥用或恶意行为。记录网络行为的属性、特征、来源和目标，并在控制台的监控视图上显示实时活动TCP连接和正在访

问的URL，任何不符合网络安全策略的网络数据都会被KIDS探测到并报警。KIDS可以根据用户需要定义各种需检测的安全事件，例如对特定目标主机的访

问的检测、数据传输中包含的特定内容的检测。这样可以及时发现违反安全规

定的误操作、资源滥用和恶意行为。

（3）实时的报警和响应，帮助用户及时发现并解决安全问题。在发现入侵或误用行为之后，可以根据预先定义的事件响应规则进行实时的报警。它提供

多种报警手段，报警信息可以通过发送文字、电子邮件、手机短消息、寻呼、SNMP Trap等多种手段进行通知，并将所有的报警信息记到日志中，以备核查。还能够针对恶意攻击进行实时响应，响应的手段有：中断TCP会话、伪造ICMP

应答、根据黑名单断开、阻塞HTTP请求、模拟SYN/ACK和执行用户自定义程序等。

该方案有如下优点：

（1）强劲分析功能的事件分析器。可以查看分析事件所有相关的具体信息，也可以针对各个源IP地址以各种不同的方式进行追踪分析。归并统计功能：分别以事件、事件类型、源地址或目标地址作为条件来对报警事件进行归并和计数，并统计出发生事件数量最多的前10个源IP地址。提供事件基本信息：包

括源端口、源地址、目标端口、目标地址、报警时间、报警次数和产生该事件的传感器的ID等信息。

（2）强大的入侵检测和攻击处理能力。有效地降低网络数据包的处理开销，最大能支持百兆网络的数据流量。综合了最新的协议分析和攻击模式识别技术，在提高检测性能的同时也大大降低了误报率。重组的最大的IP碎片数目为8192，同时监控的TCP连接数为10000，管理控制台同时能管理的传感器的数

目也可以是多个。

（3）全面的检测库。具备国内最为全面的检测知识库，包括扫描、嗅探、后门、病毒、恶意代码、拒绝服务、分布式拒绝服务、可疑行为、非授权访问、主机异常和欺骗等11大类的安全事件，目前共有检测规则1509条，安全报警

事件1054条。检测知识库可以实现定期的更新和升级，用户完全不必担心最新黑客攻击方法的威胁。

（4）开放式的插件结构。传感器采用了插件技术进行分析处理。传感器的核心引擎从网络上抓取数据包，并调用相应的处理插件对其进行分析处理，处

理插件将获得的数据包特征与知识库进行比较。对网络高层协议的分析和数据

的处理是由专门的插件来实现的。不同的应用层协议用不同的插件来处理。新

的协议检测，只需要增加新的处理插件。系统在检测能力上的增强，只需增加

和更新插件即可。KIDS包含包特征检测、端口扫描检测、流敏感内容监测器、HTTP检测、POP3分析器、SMTP分析器等多种插件。

该方案需要改进的地方：

（1）全面性问题。难以科学地从各种入侵手段中抽象出能规则化的知识，从审计数据中提取产生式规则也不容易，尤其是审计数据有时并不能完全提供

检测所需的信息。而且对某个具体漏洞的应用方法可能千变万化，规则库不一

定能包括所有的可能性。

（2）效率问题。系统在运行时需要多所有审计数据进行分析，处理的数据量过大。在大型系统上，如何获得实时连续的审计数据也是个问题。

5 总结

计算机病毒的破坏行为体现了病毒的杀伤能力。病毒破坏行为的激烈程度取决于病毒作者的主观愿望和他所具有的技术能量。数以万计不断发展扩张的病毒，其破坏行为千奇百怪，不可能穷举其破坏行为，而且难以做全面的描述。计算机资源的损失和破坏，不但会造成资源和财富的巨大浪费，而且有可能造成社会性的灾难，随着信息化社会的发展，计算机病毒的威胁日益严重，反病毒的任务也更加艰巨了。遭到病毒感染，首先是用户观念上的麻痹，缺乏相应的警惕性，而这种观念的结果就是管理跟不上技术发展的步伐，更谈不上具体的网络安全防范措施和防范意识。由于用户对网络安全存在被动和一劳永逸的意识，在出现网络安全问题时，并不知道该采取什么措施有效地保护自己的信息安全。大多数人认为，用几种杀毒软件和防火墙就能保障网络信息的安全，虽然这种做法的确有一定的效果，但这并不能保障网络的绝对安全。可见，要想有效地解决网络安全问题，首要的就是用户要重视安全问题和提高安全意识，在思想意思上为网络筑起一道“防护墙”，采取主动的防御措施。

结束语

网络安全是一套系统的工程，需要各中措施的合理才能有效果发挥作用。

根据木桶理论，一个桶能装多少水，取决于这个桶最短的那块木板。随着新的

网络攻击的出现，促使入侵检测技术不段提高。研究入侵检测解决方案，对下

一步入侵检测技术的发展和网络安全性的提高有重要的意义。可以预见，伴随

着internet的飞速发展，网络安全问题对企业造成的危害会越来越广泛和严重，相应的防范技术也将会发展到了新的层面。只有结合网络的实际情况和面临的

问题，才能制定出有效的入侵检测解决方案，网络安全才回有一定的保证。矛

与盾永远是相互斗争,相互促进的。我们的入侵检测解决方案安全作用也是有时间性的, 入侵检测解决方案必须在熟悉原理的基础上，随着客观环境的变化来不断优化与更新。

参考资料

[1]谭浩强主编,《计算机网络应用技术教程》,清华大学出版社, 2008

[2]《黑客防线》2004年合订本, 《黑客防线》出版社,2011

[3]王育民，《通信网的安全——理论与技术》，西安电子科技大学出版社，

2009年。

[4]Bace RG．Intrusion Detection［M］．Technology Series．Macmillan，London，2010。

[5]唐正军，《网络入侵监测系统的设计与实现》电子工业出版社，2011年。

[6]Todd Heberlein L，Gihan Dias V，KarlLevittN．et al．A Network security monitor［M］．2008年。

[7]（美）匿名，网络安全技术内幕，机械工业出版社, 2010

[8]Charlie Kaufman, Network Security - Private Communication in a Public World, Prentice Hall, 2011

[9]卢开澄，计算机密码学，清华大学出版社, 2012

[10]《思科网络技术学院教程》，人民邮电出版社, 2009。

[11]袁家政．《计算机网络安全与应用技术》．北京：清华大学出版社，2002致谢

四季更替，当大学生活的第四个夏天来到时，我的大学生活也即将画上了一个句号。有结束必有开始，大学毕业后又将面临着新的考验。

回忆过去的点点滴滴，我不禁浮想联翩：刚上大学时欢乐心情和兴奋的场景还历历在目。一切都是那么新鲜，那么富有吸引力。有快乐也有艰辛，有收获也有失落。衷心感谢信息学院所有支持帮助过我的老师，谢谢你们多年来的关心和爱护。同窗的友情同样难忘，你们与我共同走过了人生中不平凡的道路，给我留下了值得珍藏的美好记忆。

最后，我要特别感谢XX老师。本论文是xx老师耐心的指导和热情帮助下完成的，老师认真负责的工作态度，严谨的治学精神和精深的理论水平都使我受益匪浅。他无论在理论上还是在实践中，都给予我很大的帮助，使我专业技能的应用水平得到很大提高，这对于我以后的工作和学习都有益处。值此论文完成之际，特别向指导老师表示衷心的感谢和崇高的敬意，谢谢他细心而又耐心地辅导，使得我得以顺利的完成毕业设计开发工作，同时也要感谢其他帮助过我的老师和同学，他们在我成长过程中给予了我很大的帮助，在此一并表示感谢。

由于本人水平有限，加上时间紧促，本文一定有不少缺点和不足，恳请各位老师给予帮助和指正。