局域网环境下若干安全问题及对策.doc

目录1. 引言21.1研究的背景21.2 研究的意义32. 局域网概述33. 常见的局域网安全威胁43.1 ARP欺骗43.2 网络监听63.3无线局域网安全威胁73.4局域网病毒84. 局域网的防治措施94.1 ARP病毒清除94.2网络监听的防范措施94.3无线局域网的安全措施104.4局域网病毒的防治115. 局域网安全防范系统125.1防火墙系统125.2入侵检测系统136. 结束语15参考文献1616局域网环境下若干安全问题及对策摘要：随着计算机网络和互联网的发展，局域网安全越来越受到人们的重视和关注。无论是在局域网还是在广域网中，都存在着自然和人为等诸多因素的潜在威胁和网络的脆弱性。故此，局域网的安全措施应是能全方位地针对各种不同的威胁和脆弱性，这样才能确保网络信息的保密性、完整性和可用性。为了确保信息的安全与畅通，研究局域网的安全以及防范措施已迫在眉睫。文章先介绍了当今局域网安全的基本状况以及面临的问题，并谈及了局域网的各种威胁与攻击，最后指出对此而做出的对策。关键词：计算机网络；网络安全；局域网安全；广域网 1. 引言1.1研究的背景随着局域网络技术的发展和社会信息化进程的加快,现在人们的生活、工作、学习、娱乐和交往都已离不开计算机网络。现今，全球网民数量已接近7亿，网络已经成为生活离不开的工具，经济、文化、军事和社会活动都强烈地依赖于网络。网络环境的复杂性、多变性以及信息系统的脆弱性、开放性和易受攻击性，决定了网络安全威胁的客观存在。尽管计算机网络为人们提供了巨大的方便，但是受技术和社会因素的各种影响，计算机网络一直存在着多种安全缺陷。攻击者经常利用这些缺陷，实施攻击和入侵，给计算机网络造成极大的损害网络攻击、病毒传播、垃圾邮件等迅速增长，利用网络进行盗窃、诈骗、敲诈勒索、窃密等案件逐年上升，严重影响了网络的正常秩序，严重损害了网民的利益；网上色情、暴力等不良和有害信息的传播，严重危害了青少年的身心健康。网络系统的安全性和可靠性正在成为世界各国共同关注的焦点。 根据中国互联网信息中心2006年初发布的统计报告显示：我国互联网网站近百万家，上网用户1亿多，网民数和宽带上网人数均居全球第二。同时，网络安全风险也无处不在，各种网络安全漏洞大量存在和不断被发现，计算机系统遭受病毒感染和破坏的情况相当严重，计算机病毒呈现出异常活跃的态势。面对网络安全的严峻形势，我国的网络安全保障工作尚处于起步阶段，基础薄弱，水平不高，网络安全系统在预测、反应、防范和恢复能力方面存在许多薄弱环节，安全防护能力不仅大大低于美国、俄罗斯和以色列等信息安全强国，而且排在印度、韩国之后。在监督管理方面缺乏依据和标准，监管措施不到位，监管体系尚待完善，网络信息安全保障制度不健全、责任不落实、管理不到位。网络信息安全法律法规不够完善，关键技术和产品受制于人，网络信息安全服务机构专业化程度不高，行为不规范，网络安全技术与管理人才缺乏。 面对网络安全的严峻形势，如何建设高质量、高稳定性、高可靠性的安全网络成为通信行业乃至整个社会发展所要面临和解决的重大课题。1.2 研究的意义局域网安全问题的提出跟国家信息化的进程息息相关，信息化程度的提高，使得内部信息网络具备了三个特点： （1）随着ERP,OA和CAD等生产和办公系统的普及，单位的日程运转对内部信息网络的依赖程度越来越高，局域网信息网络已经成了各个单位的生命线，对局域网稳定性、可靠性和可控性提出高度的要求。（2）内部信息网络由大量的终端、服务器和网络设备构成，形成了统一有机的整体，任何一个部分的安全漏洞或者问题，都可能引发整个网络的瘫痪。（3）由于生产和办公室系统的电子化，使得内部网络成为单位信息和知识产权的主要载体，传统的对信息的控制管理手段不再使用，新的信息管理控制手段成为关注的焦点：上述三个问题，都是依赖于局域网，与局域网安全紧密相联的，局域网安全受到广泛的高度重视也就不以为奇。因此，对局域网安全的研究就成为了必要。2. 局域网概述 计算机网络,就是利用通信设备和线路将地理位置不同的、功能独立的多个计算机系统互连起来,以功能完善的网络软件(即网络通信协议、信息交换方式和网络操作系统等)实现网络中资源共享和信息传递的系统。计算机网络由通信子网和资源子网两部分构成。通信子网是计算机网络中负责数据通信的部分；资源子网是计算机网络中面向用户的部分，负责全网络面向应用的数据处理工作。就局域网而言，通信子网由网卡、线缆、集线器、中继器、网桥、路由器、交换机等设备和相关软件组成。资源子网由连网的服务器、工作站、共享的打印机和其它设备及相关软件所组成。 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。局域网的安全主要包括物理安全与逻辑安全。物理安全主要指网络硬件的维护、使用及管理等；逻辑安全是从软件的角度提出的，主要指数据的保密性、完整性、可用性等。 3. 常见的局域网安全威胁 3.1 ARP欺骗 （1）ARP协议ARP（AddressResolutionProtocol）是地址解析协议，是一种将IP地址转化成物理地址的协议。ARP具体说来就是将网络层（IP层，也就是相当于OSI的第三层）地址解析为数据连接层（MAC层，也就是相当于OSI的第二层）的MAC地址。ARP原理：某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，就会进行数据传输。如果未找到，则广播A一个ARP请求报文（携带主机A的IP地址IA物理地址PA），请求IP地址为IB的主机B回答物理地址PB。网上所有主机包括B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存。接着使用这个MAC地址发送数据（由网卡附加MAC地址）。因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态的。 假如我们有两个网段、三台主机、两个网关、分别是： 主机名IP地址MAC地址 网关1192.168.1.101-01-01-01-01-01 主机A192.168.1.202-02-02-02-02-02 主机B192.168.1.303-03-03-03-03-03 网关210.1.1.104-04-04-04-04-04 主机C10.1.1.205-05-05-05-05-05 假如主机A要与主机B通讯，它首先会通过网络掩码比对，确认出主机B是否在自己同一网段内，如果在它就会检查自己的ARP缓存中是否有192.168.1.3这个地址对应的MAC地址，如果没有它就会向局域网的广播地址发送ARP请求包，即目的MAC地址是全1的广播询问帧，0xffffffffffffH02-02-02-02-02-02192.168.1.3192.168.1.2；如果B存在的话，必须作出应答，回答“B的MAC地址是”的单播应答帧，02-02-02-02-02-0203-03-03-03-03-03192.168.1.2192.168.1.3；A收到应答帧后，把“192.168.1.303-03-03-03-03-03动态”写入ARP表。这样的话主机A就得到了主机B的MAC地址，并且它会把这个对应的关系存在自己的ARP缓存表中。之后主机A与主机B之间的通讯就依靠两者缓存表里的MAC地址来通讯了，直到通讯停止后两分钟，这个对应关系才会被从表中删除。 如果是非局域网内部的通讯过程，假如主机A需要和主机C进行通讯，它首先会通过比对掩码发现这个主机C的IP地址并不是自己同一个网段内的，因此需要通过网关来转发，这样的话它会检查自己的ARP缓存表里是否有网关1(192.168.1.1)对应的MAC地址，如果没有就通过ARP请求获得，如果有就直接与网关通讯，然后再由网关1通过路由将数据包送到网关2，网关2收到这个数据包后发现是送给主机C（10.1.1.2）的，它就会检查自己的ARP缓存（没错，网关一样有自己的ARP缓存），看看里面是否有10.1.1.2对应的MAC地址，如果没有就使用ARP协议获得，如果有就是用该MAC地址将数据转发给主机C。 （2）ARP欺骗原理 在以太局域网内数据包传输依靠的是MAC地址，IP地址与MAC对应的关系依靠ARP表，每台主机（包括网关）都有一个ARP缓存表。在正常情况下这个缓存表能够有效的保证数据传输的一对一性，也就是说主机A与主机C之间的通讯只通过网关1和网关2，像主机B之类的是无法截获A与C之间的通讯信息的。但是在ARP缓存表的实现机制中存在一个不完善的地方，当主机收到一个ARP的应答包后，它并不会去验证自己是否发送过这个ARP请求，而是直接将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表里的相应信息。 这就导致主机B截取主机A与主机C之间的数据通信成为可能。首先主机B向主机A发送一个ARP应答包说192.168.1.1的MAC地址是03-03-03-03-03-03，主机A收到这个包后并没有去验证包的真实性而是直接将自己ARP列表中的192.168.1.1的MAC地址替换成03-03-03-03-03-03，同时主机B向网关1发送一个ARP响应包说192.168.1.2的MAC是03-03-03-03-03-03，同样网关1也没有去验证这个包的真实性就把自己ARP表中的192.168.1.2的MAC地址替换成03-03-03-03-03-03。当主机A想要与主机C通讯时，它直接把应该发送给网关1(192.168.1.1)的数据包发送到03-03-03-03-03-03这个MAC地址，也就是发给了主机B，主机B在收到这个包后经过修改再转发给真正的网关1，当从主机C返回的数据包到达网关1后，网关1也使用自己ARP表中的MAC，将发往192.168.1.2这个IP地址的数据发往03-03-03-03-03-03这个MAC地址也就是主机B，主机B在收到这个包后再转发给主机A完成一次完整的数据通讯，这样就成功的实现了一次ARP欺骗攻击。因此简单点说ARP欺骗的目的就是为了实现全交换环境下的数据监听与篡改。也就是说欺骗者必须同时对网关和主机进行欺骗。 3.2 网络监听 (1)网络监听的定义 众所周知，电话可以进行监听，无线电通讯可以监听，而计算机网络使用的数字信号在线路上传输时，同样也可以监听。网络监听也叫嗅探器，其英文名是Sniffer，即将网络上传输的数据捕获并进行分析的行为。网络监听，在网络安全上一直是一个比较敏感的话题，作为一种发展比较成熟的技术，监听在协助网络管理员监测网络传输数据，排除网络故障等方面具有不可替代的作用，因而一直备受网络管理员的青睐。然而，在另一方面网络监听也给网络安全带来了极大的隐患，许多的网络入侵往往都伴随着网络监听行为，从而造成口令失窃，敏感数据被截获等连锁性安全事件。 (2)网络监听的基本原理局域网中的数据是以广播方式发送的，局域网中的每台主机都时刻在监听网络中传输的数据，主机中的网卡将监听到的数据帧中的MAC地址与自己的MAC地址进行比较，如果两者相同就接收该帧，否则就丢掉该帧。如果把对网卡进行适当的设置和修改，将它设置为混杂模式，在这种状态下它就能接收网络中的每一个信息包。网络监听就是依据这种原理来监测网络中流动的数据。 (3)网络监听的检测首先，在本地计算机上进行检测，可以检查网卡是否处于混杂模式。可以利用一些现成的工具软件来发现，例如：AntiSniff，ARP探测技术。也可以编写一些程序来实现。在Linux下，有现成的函数，比较容易实现，而在Windows平台上，并没有现成的函数来实现这个功能，要自己编写程序来实现。我们也可以用搜索法，在本地主机上搜索所有运行的进程，就可以知道是否有人在进行网络监听。其次，在其它计算机上进行检测，可以用观察法，如果某台电脑没有监听的话，无论是信息的传送还是电脑对信息的响应时间等方面都是正常的，如果被监听的话，就会出现异常情况。我们可以通过观察一些异常情况来判断电脑是否有被监听。我们也可以用PING法，ARP法，响应时间测试法。3.3无线局域网安全威胁 3.3.1非授权访问 无线网络中每个AP覆盖的范围都形成了通向网络的一个新的入口。所以，未授权实体可以从外部或内部进入网络，浏览存放在网络上的信息；另外，也可以利用该网络作为攻击第三方的出发点，对移动终端发动攻击。而且，IEEE802.11标准采用单向认证机制，只要求STA向AP进行认证，不要求AP向STA进行认证。入侵者可以通过这种协议上的缺陷对AP进行认证进行攻击，向AP发送大量的认证请求帧，从而导致AP拒绝服务。 3.3.2 敏感信息泄露 WLAN物理层的信号是无线、全方位的空中传播，开放传输使得其物理层的保密性无法保证。WLAN无线信号的覆盖范围一般都会超过实际需求，只要在信号覆盖范围内入侵者就可以利用无线监听技术捕获无线网络的数据包，对网络通信进行分析，从而获取有用信息。目前窃听已经成为无线局域网面临的最大问题之一。 3.3.3 WEB缺陷威胁有线等效保密WEP是IEEE802.11无线局域网标准的一部分，它的主要作用是为无线网络上的信息提供和有线网络同一等级的机密性。IEEE选择在数据链路层用RC4算法加密来防止对网络进行窃听。WEP在每一个数据包中使用完整性校验字段来保证数据在传输过程中不被窜改，它使用了CRC-32校验。在WEP中明文通过和密钥流进行异或产生密文，为了加密，WEP要求所有无线网络连接共享一个密钥。实际上，网络只使用一个或几个密钥，也很少更换。WEP算法根据密钥和初始化向量IV产生密钥流，确保后续的数据包用不同的密钥流加密。但IV在一个相当短的时间内重用，使用24位的IV并不能满足要求。一个24位的字段包含16777216个可能值,假设网络流量是11M,传输2000字节的包，在7个小时左右,IV就会重用。CRC-32不是一个很适合WEP的完整性校验,即使部分数据以及CRC-32校验码同时被修改也无法校验出来。3.4局域网病毒虽然局域网采用的是专网形式，但因管理及使用方面等多种原因，计算机病毒也开始在局域网出现并迅速泛滥，给网络工程安全带来一定的隐患，对数据安全造成极大威胁，妨碍了机器的正常运行，影响了工作的正常开展。如何防范计算机病毒侵入计算机局域网和确保网络的安全己成为当前面临的一个重要且紧迫的任务。局域网病毒的入侵主要来自蠕虫病毒，同时集病毒、黑客、木马等功能于一身综合型病毒不断涌现。计算机病毒表现出以下特点：传播方式和途径多样化；病毒的欺骗性日益增强病毒的传播速度极快；病毒的制作成本降低；病毒变种增多；病毒难以控制和根治；病毒传播更具有不确定性和跳跃性；病毒版本自动在线升级和自我保护能力；病毒编制采用了集成方式等。局域网病毒的传播速度快，传播范围广，危害也大。局域网病毒还特别难以清除，只要有一台工作站的病毒未被彻底清除，整个网络就有可能重新感染。 当计算机感染上病毒出现异常时，人们首先想到的是用杀毒软件来清除病毒。但令人担扰的是杀毒工具软件被广泛使用的今天，病毒的种类和数量以及所造成的损失不是逐年减少，反而是逐年增加。这表明杀毒工具软件作为病毒防范的最主要工具，已显露出重大缺陷-对病毒的防范始终滞后于病毒的出现。如何加强局域网病毒防护是保障网络信息安全的关键4. 局域网的防治措施4.1 ARP病毒清除感染病毒后，需要立即断开网络，以免影响其他电脑使用。重新启动到DOS模式下，用杀毒软件进行全面杀毒。 4.2网络监听的防范措施 为了防止网络上的主机被监听，有多种技术手段，可以归纳为以下三类: 第一种是预防，监听行为要想发生，一个重要的前提条件就是网络内部的一台有漏洞的主机被攻破，只有利用被攻破的主机，才能进行监听，从而收集以网络内重要的数据。因此，要预防网络中的主机被攻破。这就要求我们养成良好的使用计算机的习惯，不随意下载和使用来历不明的软件，及时给计算机打上补丁程序，安装防火墙等措施，涉及到国家安全的部门还应该有防电辐射技术，干扰技术等等，防止数据被监听。第二是被动防御，主要是采取数据加密技术，数据加密是对付监听的最有效的办法。网上的信息绝大多数都是以明文的形式传输，容易辨认。一旦口令被截获，入侵者就可以非常容易地登录到另一台主机。对在网络上传输的信息进行加密后，监听器依然可以捕获传送的信息，但显示的是乱码。使用加密技术，不但可以防止非授权用户的搭线窃听和入网，而且也是对付恶意软件的有效方法之一，但是它的缺点是速度问题。几乎所有的加密技术都将导致网络的延迟，加密技术越强，网络速度就越慢。只有很重要的信息才采用加密技术进行保护。 第三是主动防御，主要是使用安全的拓扑结构和利用交换机划分VLAN，这也是限制网络监听的有效方法，这样的监听行为只能发生在一个虚拟网中，最大限度地降低了监听的危害，但需要增加硬件设备的开支，实现起来要花费不少的钱。 4.3无线局域网的安全措施4.3.1 阻止非法用户的接入 （1）基于服务设置标识符(SSID)防止非法用户接入服务设置标识符SSID是用来标识一个网络的名称，以此来区分不同的网络，最多可以有32个字符。无线工作站设置了不同的SSID就可以进入不同网络。无线工作站必须提供正确的SSID与无线访问点AP的SSID相同，才能访问AP；如果出示的SSID与AP的SSID不同，那么AP将拒绝它通过本服务区上网。因此可以认为SSID是一个简单的口令，从而提供口令认证机制，阻止非法用户的接入，保障无线局域网的安全。SSID通常由AP广播出来，例如通过windowsXP自带的扫描功能可以查看当前区域内的SSID。出于安全考虑，可禁止AP广播其SSID号，这样无线工作站端就必须主动提供正确的SSID号才能与AP进行关联。 （2）基于无线网卡物理地址过滤防止非法用户接入由于每个无线工作站的网卡都有惟一的物理地址，利用MAC地址阻止未经授权的无限工作站接入。为AP设置基于MAC地址的AccessControl（访问控制表），确保只有经过注册的设备才能进入网络。因此可以在AP中手工维护一组允许访问的MAC地址列表，实现物理地址过滤。但是MAC地址在理论上可以伪造，因此这也是较低级别的授权认证。物理地址过滤属于硬件认证，而不是用户认证。这种方式要求AP中的MAC地址列表必需随时更新，目前都是手工操作。如果用户增加，则扩展能力很差，因此只适合于小型网络规模。 4.3.2 实行动态加密 动态加密技术是基于对称加密和非对称加密的结合，能有效地保证网络传输的安全。动态加密着眼于无线网络架构中通信双方本身，认为每个通信方都应承担起会话中网络信息传输的安全责任。会话建立阶段，身份验证的安全需要非对称加密以及对PKI的改进来防止非授权访问，同时完成初始密钥的动态部署和管理工作，会话建立后，大量的数据安全传输必须通过对称加密方式，但该系统通过一种动态加密的模式，摒弃了现有机制下静态加密的若干缺陷，从而使通信双方的每次“通信回合”都有安全保证。在一个通信回合中，双方将使用相同的对称加密密钥，是每个通信方经过共同了解的信息计算而得到的，在通信回合之间，所使用的密钥将实时改变，虽然与上次回合的密钥有一定联系，但外界无法推算出来。 4.3.3 数据的访问控制 访问控制的目标是防止任何资源（如计算资源、通信资源或信息资源）进行非授权的访问,所谓非授权访问包括未经授权的使用、泄露、修改、销毁以及发布指令等。用户通过认证，只是完成了接入无线局域网的第一步，还要获得授权，才能开始访问权限范围内的网络资源，授权主要是通过访问控制机制来实现。访问控制也是一种安全机制，它通过访问BSSID、MAC地址过滤、控制列表ACL等技术实现对用户访问网络资源的限制。访问控制可以基于下列属性进行：源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口、目的端口、协议类型、用户ID、用户时长等。4.4局域网病毒的防治计算机局域网中最主要的软硬件就是服务器和工作站，所以防治计算机网络病毒应该首先考虑这两个部分，另外要加强各级人员的管理教育及各项制度的督促落实。 （1）基于工作站的防治技术。局域网中的每个工作站就像是计算机网络的大门，只有把好这道大门，才能有效防止病毒的侵入。工作站防治病毒的方法有三种：一、是软件防治，即定期不定期地用反病毒软件检测工作站的病毒感染情况。二、是在工作站上插防病毒卡，防病毒卡可以达到实时检测的目的，但防病毒卡的升级不方便，从实际应用的效果看，对工作站的运行速度有一定的影响。三、是在网络接口卡上安装防病病毒芯片它将工作站存取控制与病毒防护合二为一，可以更加实时有效地保护工作站及通向服务器的桥梁。但这种方法同样也存在芯片上的软件版本升级不便的问题，而且对网络的传输速度也会产生一定的影响。上述三种方法都是防病毒的有效手段，应根据网络的规模、数据传输负荷等具体情况确定使用哪一种方法。 （2）基于服务器的防治技术。服务器是网络的核心，是网络的支柱，服务器一旦被病毒感染，便无法启动，整个网络都将陷入瘫痪状态，造成的损失是灾难性的。难以挽回和无法估量的，目前市场上基于服务器的病毒防治采用NLM方法，它以NLM模块方式进行程序设计，以服务器为基础，提供实时扫描病毒的能力，从而保证服务器不被病毒感染，消除了病毒传播的路径，从根本上杜绝了病毒在网络上的蔓延。（3）加强计算机网络的管理。计算机局域网病毒的防治，单纯依靠技术手段是不可能十分有效地杜绝和防止其蔓延的，只有把技术手段和管理机制紧密结合起来，才有可能从根本上保护网络系统的安全运行。一、从硬件设备及软件系统的使用、维护、管理、服务等各个环节制定出严格的规章制度，对网络系统的管理员及用户加强法制教育和职业道德教育，不损人，不犯法，规范工作程序和操作规程，严惩从事非法活动的集体和个人。二、加强各级网络管理人员的专业技能学习，提高工作能力，并能及时检查网络系统中出现病毒的症状。汇报出现的新问题、新情况，做到及时发现问题解决问题，同时在网络工作站上经常做好病毒检测的工作，把好网络的第一道大门。 5. 局域网安全防范系统5.1防火墙系统 5.1.1防火墙概述 防火墙是一种用来增强内部网络安全性的系统，它将网络隔离为内部网和外部网，从某种程度上来说，防火墙是位于内部网和外部网之间的桥梁和检查站，它一般由一台和多台计算机构成，它对内部网和外部网的数据流量进行分析、检测、管理和控制，通过对数据的筛选和过滤，来防止未授权的访问进出内部计算机网，从而达到保护内部网资源和信息的目的。 防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。5.1.2防火墙的体系结构 包含三方面：（1）双重宿主主机体系结构（2）被屏蔽主机体系结构（3）被屏蔽子网体系结构5.1.3 防火墙的功能包含四方面：（1）数据包过滤技术（2）网络地址转换技术（3）代理技术（4）全状态检测技术5.2入侵检测系统5.2.1 入侵检测系统概述 入侵检测是指通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。进行入侵检测的软件与硬件的组合便是入侵检测系统 5.2.2 入侵检测原理 入侵检测跟其他检测技术有同样的原理。从一组数据中，检测出符合某一特点的数据。攻击者进行攻击的时候会留下痕迹，这些痕迹和系统正常运行的时候产生的数据混在一起。入侵检测系统的任务是从这些混合的数据中找出是否有入侵的痕迹，并给出相关的提示和警告。 入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为。由放置在不同网段的传感器或不同主机的代理来收集信息，包括系统和网络日志文件、网络流量、非正常的目录和文件改变、非正常的程序执行。 第二步是信息分析，收集到的有关系统、网络、数据及用户活动的状态和行为等信息，被送到检测引擎，检测引擎驻留在传感器中，一般通过三种技术手段进行分析：模式匹配、统计分析和完整性分析。当检测到某种误用模式时，产生一个告警并发送给控制台。 第三步是结果处理，控制台按照告警产生预先定义的响应采取相应措施，可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性，也可以只是简单的告警。 5.2.3局域网入侵检测系统的构建方法 根据CIDF规范，从功能上将IDS划分为四个基本部分：数据采集子系统、数据分析子系统、控制台子系统、数据库管理子系统。具体实现起来，一般都将数据采集子系统和数据分析子系统在Linux或Unix平台上实现，称之为数据采集分析中心；将控制台子系统在WindowsNT或2000上实现，数据库管理子系统基于Access或其他功能更强大的数据库如SQL等，多跟控制台子系统结合在一起，称之为控制管理中心。构建一个基本的IDS,具体需考虑以下几个方面的内容。 首先，数据采集机制是实现IDS的基础，数据采集子系统位于IDS的最底层，其主要目的是从网络环境中获取事件，并向其他部分提供事件。这就需要使用网络监听来实现审计数据的获取，可以通过对网卡工作模式的设置为“混杂”模式实现对某一段网络上所有数据包的捕获。然后，需要构建并配置探测器，实现数据采集功能。应根据自己网络的具体情况，选用合适的软件及硬件设备，如果网络数据流量很小，用一般的PC机安装Linux即可，如果所监控的网络流量非常大，则需要用一台性能较高的机器；在服务器上开出一个日志分区，用于采集数据的存储；接着应进行有关软件的安装与配置，至此系统已经能够收集到网络数据流了。 其次，应建立数据分析模块。数据分析模块相当于IDS的大脑，它必须具备高度的“智慧”和“判断能力”,所以，在设计此模块之前，需要对各种网络协议、系统漏洞、攻击手法、可疑行为等有一个很清晰、深入地研究，然后制订相应的安全规则库和安全策略，再分别建立滥用检测模型和异常检测模型，让机器模拟自己的分析过程，识别确知特征的攻击和异常行为，最后将分析结果形成报警消息，发送给控制管理中心。设计数据分析模块的工作量浩大，需要不断地更新、升级、完善。在这里需要特别注意3个问题。应优化检测模型和算法的设计，确保系统的执行效率；安全规则的制订要充分考虑包容性和可扩展性，以提高系统的伸缩性；报警消息要遵循特定的标准格式，增强其共享与互操作能力，切忌随意制订消息格式的不规范做法。 第三，需要构建控制台子系统。控制台子系统负责向网络管理员汇报各种网络违规行为，并由管理员对一些恶意行为采取行动（如阻断、跟踪等）。控制台子系统的主要任务有：管理数据采集分析中心，以友好、便于查询的方式显示数据采集分析中心发送过来的警报消息；根据安全策略进行一系列的响应动作，以阻止非法行为，确保网络的安全。控制台子系统的设计重点是：警报信息查询、探测器管理、规则管理及用户管理。 第四，需要构建数据库管理子系统。一个好的入侵检测系统不仅仅应当为管理员提供实时、丰富的警报信息，还应详细地记录现场数据，以便于日后需要取证时重建某些网络事件。数据库管理子系统的前端程序通常与控制台子系统集成在一起，用Access或其他数据库存储警报信息和其他数据。 第五，完成综合调试。以上几步完成之后，一个IDS的最基本框架已被实现。但要使这个IDS顺利地运转起来，还需要保持各个部分之间安全、顺畅地通信和交互，这就是综合调试工作所要解决的问题，主要包括要实现数据采集分析中心和控制管理中心之间的双向通信及保证通信的安全性，最好对通信数据流进行加密操作，以防止被窃听或篡改。同时，控制管理中心的控制台子系统和数据库子系统之间也有大量的交互操作，如警报信息查询、网络事件重建等。经过综合调试后，一个基本的IDS就构建完成了，但是此时还不能放松警惕，因为在以后的应用中要不断地对它进行维护，特别是其检测能力的提高；同时还要注意与防火墙等其它系统安全方面的软件相配合，以期从整体性能上提高局域网的安全能力。 6. 结束语网络安全技术和病毒防护是一个涉及多方面的系统工程，在实际工作中既需要综合运用以上方法，还要将安全策略、硬件及软件等方法结合起来，构成一个统一的防御系统，又需要规范和创建必要的安全管理模式、规章制度来约束人们的行为。因此，局域网安全不是一个单纯的技术问题，它涉及整个网络安全系统，包括防范技术、规范管理等多方面因素。只要我们正视网络的脆弱性和潜在威胁，不断健全网络的相关法规，提高网络安全防范的技术是否被授权，从而阻止对信息资源的非法用户使用网络系统时所进行的所有活动的水平，才能有力地保障网络安全。 致 谢本篇论文是在老师的精心指导下完成的，从选题到论文内容都给予了我精心的指导和严格的教诲，无论从学术水平还是学术造诣上都使我受益非浅,。不仅是我学到了许多社会经验，更重要的是让我开拓了眼界，是我意识到现代化科学技术的发展，以及它的优越性。在这次毕业论文设计中，我第一次亲身尝试到了作为一个缺乏社会实践经验的学生所面临的困难。使我学会了如何利用所学的知识,把理论结合于实践中,进一步掌握了局域网安全问题及对策,从而对本专业有了更深刻的认识。此后,我会加倍努力的去研究,在熟练的基