研究P2P网络中的病毒检测与防御论文[五篇模版]

第一篇：研究P2P网络中的病毒检测与防御论文

P2P 网络之中具有大量的节点，在网络环境之中，节点以及节点之间的数据通信的安全性都相对比较低。而P2P 网络又具有匿名，共享速度快，等特点。P2P 网络的这些特点为网络病毒的传播奠定了良好的基础。同时P2P 网络由于其自身的特点，一旦一个节点被病毒感染，很快就会造成整个网络的瘫痪。P2P 网络巨大的安全隐患给用户的生活和工作以及社会的稳定带来了巨大的威胁。目前有关P2P 网络安全防护方面的研究比较缺乏和滞后。本文总结了前人的研究结果，对P2P 的安全性问题展开深入的探讨和研究。P2P 网络病毒分析

P2P 网络由于其自身的特点，决定着其中的病毒能够利用和蔓延开来。因此，P2P 网络病毒的泛滥与P2P 网络自身的结构和特点有着密切的关系，因此在探讨P2P 网络病毒之前我们需要对P2P 网络有一个简单的认识。

1.1 P2P 网络结构

P2P 网络在经过这些年的发展之后得到广泛运行的结构模式有三种三种，本文对着三种结构模式作了简要的介绍。第一种是集中式P2P 网络结构。这种网络结构的突出特点是“使用一个或多个节点索引服务器来提供节点查询应答服务”P2P网络之中的节点在其上线之后，索引服务器之中将会存储它的所有的信息，通过索引服务器，用户可以查询节点上共享的其他节点的所有的信息。这种模式的P2P 结构之中，虽然存在一个结构中心服务器，但是它与其他的文件下载模式采用的客户端/服务端模式仍然存在本质上的不同。这种不同的突出表现就是信息的存储位置不同。在P2P 结构之中，信息存在于各个节点上，而客户端/服务端这种模式下信息存在与服务器之中，同时这种模式之中客户端的用户无法实现相互之间的通信，而在P2P 模式之中用户端是可以实现互相通信的。P2P 网络的这种集中式网络结构的优点是不需要复杂的算法，通过节点就可以查询索引服务器进而获得存储于节点上的信息。这是一种非常简单有效的方法，但是它的缺点也非常的明显和突出。最直接的体现就是一旦索引服务器出现故障或受到攻击而导致其不能正常工作，那么整个P2P 网络体制就会无法运转。在这种模式下，运营和维护索引服务器是非常重要的。

P2P 网络的第二种模式是完全分布式网络结构。在这种P2P网络结构下，没有集中的索引服务器，节点间通过端与端之间的连接实现一个逻辑覆盖网络。整个网络结构是一个松散的组织，网路之中相邻的节点之间通过广播进行信息的查询和传递。这种结构的优点是不需要中心服务器，解决了网络结构中心化的问题。在这种结构模式之中通常不会出现单个节点的问题，但是在这种模式之中，所有的节点都是未知的，在网络规模较大时，查询的泛洪会导致信息的泛滥以及消耗大量的宽带从而造成沉重的网络负担。这种模式下信息的查询还存在查询结果不确定，网络半径不确定的风险。

第三种P2P 网络结构是混合式。这种模式总吸收了集中式P2P 结构良好的可扩展性和完全分布式的较强容错性两方面的优点。混合式结构的三个组成部分别是索引节点，搜素节点，用户节点。

这三种节点的划分是根据各个节点在整个网络结构之中所起的不同作用而划定的。在网络运作的过程之中用户节点仅仅是资源共享节点，不处理额外的信息;搜索节点是用来进行信息的存储与信息的查询工作，索引节点的作用是进行网络范围内的搜索记录工作，索引节点是从搜索节点之中选取出来的。混合式P2P 结构的查询速度比完全分布式有极大的提升，同时查询的结果也更加的准确还消除了完全分布式之中的搜素迟缓问题。

1.2 P2P 网络的特点分析

为进一步说明P2P 网络的行为特点和运行机制，本文选取了第三代混合型P2P 网络结构之中的Bit Torrent 网络做为实例进行一次详细的分析。选取Bit Torrent 做为实例是因为目前的统计数据显示Bit Torrent 流量占据了整个P2P 流量之中的50%以上。同时Bit Torrent 协议也是目前运用最广泛的P2P 技术协议。BitTorrent 网络目前已经成为世界上最重要的资源共享平台。

Bit Torrent 网络做为一种典型的P2P 结构网络，其具有P2P 网络的所有典型的特点。第一个特点就是“每个下载数据的客户端也会同时将数据上传给其他客户端，因而能充分利用用户富余的上行宽带”。第二个特点是在Bit Torrent 网络之中，没有“服务器”与“客户机”的区别。在网络实际的运行过程之中每一个“客户机”就是“服务器”。在运行的过程之中，一个用户在下载的同时上行的宽带也会向其他的用户提供该用户已经下载完成的部分。

在这种情况下，下载的人数越多，实际的网络宽带就越大，下载的传播速度就越快。Bit Torrent 网络协议与传统的网络协议也存在着巨大的差别，Bit Torrent 网络协议与传统的网络协议的区别在于:Bit Torrent 在数据的应用层之中将所有的数据分割成了体积较小的数据块，在传输的过程之中，是以数据块为基本单位进行传输，这样传输的优点在于能够进一步提高传输速度和并行性，并且能够降低资源共享者的宽带消耗。

信息的发布者在Bit Torrent 网络之中发布信息时是根据共享资源来生成特定的种子文件。所谓的种子文件具体是指依据一定的编码规则描述共享资源的概要信息，索引信息以及资源的校验码信息。校验码是通过哈希算法而生成的。哈希计算的基本原理是“把待发布的目标文件虚拟的分成若干个体积相等的分片，而后在对每个分片计算哈希值。”种子文件是整个Bit Torrent 网络之中的共享资源的索引文件。在用户需要通过Bit Torrent 网络获取资源时首先将自己想要获取的资源对应的种子添加到Bit Torrent 软件之中，然后创建下载任务。下载节点会通过种子查询到所需资源的共享点信息，当用户连接上共享点之后，用户便可以从节点之中获取自己想要的资源信息。在这个过程之中，由于每一个用户可以同时向多个共享点请求共享，因此每一个节点的宽带负担都比较小，故流量分布比较均匀整个网络还能保持比较高的数据传输速度。

一般情况下一个完整的Bit Torrent 网络由5 个部分组成:第一个部分是静态元信息文件。这个文件是由共享资源的初始拥有者制作的这一文件也称做torrent 文件。实质上该文件就是前文所论述的种子文件。第二部分是普通Web 服务器，该服务器的主要功能就是为用户发布种子文件和为用户提供种子文件的下载。第三部分是Tracker 服务器，该服务器是一个中心服务器，它的作用是保存，追踪和传输各个节点的信息，该服务器实质上就是前文所论述的索引服务器。用户可以在这个服务器上搜索到自己需要的资源的下载节点，然后自行选择其中的节点进行下载。第四部分是指分布式哈希表网络。该网络的作用是查询下载同一资源的用户并对节点之中的信息进行分布式的存储。第五部分是下载用户。在P2P 网络之中，下载用户既是原始的“下载者”同时也是原始文件的拥有者。在P2P 网络之中，节点的作用分为两个方面。第一个方面是从别的地方下载文件分片;第二个方面是将自己所拥有的文件分片提供给其他的需求者。

1.3 P2P 网络病毒传播机理分析

P2P 病毒就是指以“P2P 网络为活动空间和传播途径的病毒”。在P2P 网络之中节点担负着服务器，路由器，客户端等多种角色，这直接导致了节点的拓扑信息极易被病毒利用。利用这一特点病毒在P2P 模式之中不需要进行大量的无用扫描，只需要以自身的身份混入正常的信息之中，就可以在不引起任何网络异常的前提下快速的在P2P 网络之中快速的进行大范围传播。P2P 病毒的在传播的过程之中通常是依附在正常的P2P 信息之中，因此用户在通过P2P 网络下载资源时就在不知不觉之中感染了P2P病毒。P2P 病毒检测与预防方法

完整的P2P 网络之中具有数量众多的节点，不同的节点检测与防御病毒的能力存在比较大的差距。在进行P2P 网络的安全防护时首先应以节点为核心建立P2P 对等端的病毒检测节点。在以节点为核心的保护措施的建立的过程之中，我们要考虑到如果病毒的检测节点只具有自身的病毒检测和防御能力，那么我们设计的P2P 网络保护机制将无法确保那些自身防护能力较弱的节点是否能够面对病毒的攻击。为平衡P2P 网络之中各个节点的防卫能力的差异，我们需要构建的等端P2P 网络病毒检测节点不仅能检测自身是否带有病毒，还可以对病毒进行有效的抵御。

P2P 网络中的病毒检测与防御节点是基于P2P 对等端的构建而实现的。这一安全保护机制是在P2P 网络正常进行信息交互的过程之中，对信息进行病毒检测的。在P2P 网络工作的过程之中，节点可以在一定的范围之内进行针对病毒传播的防御工作。节点通过加载P2P 病毒的三元列表进而识别出P2P 网络之中带有P2P病毒片段的数据分片。此后该分片会通过Tracker 注册及DHT 扩散的方式除去携带病毒资源之中的swarm。此后在此节点上的传输过程之中便不会再有病毒的数据分片，这种方法将最大限度的减少资源的下载者下载到的资源之中包含的病毒。这样以对等端构建的P2P 网络中的检测与防御节点，既能让P2P 资源传输更加的便利与快捷，还能够有效的增强P2P 网络病毒的检测与防御功能。

在 P2P 网络之中，当普通下载的过程之中对等端与病毒的防御节点连接之后，病毒的防御节点请求之中包含了一部分病毒的数据片段之后，实质的下载完成之后，下载的对等端也会得到若干并不包含病毒的数据分片，造成这样一个结果的原因是，此刻下载用户得到的数据并不是上一个请求节点之中对应的数据，而是防御节点为避免病毒进一步快速传播而构造的无害数据，实质上当节点检测到病毒之后，节点就会进入受防御的节点保护状态进行节点的隔离保护。含有病毒的数据在重复的传播的过程之中，下载节点会不断的向病毒所在的节点请求数据块时，防御节点并不将含有病毒的数据分片传递下去，而是生成一个无毒的数据块进行传输，在传输的过程之中，当包含病毒的数据分片的校验码错误之后，此一数据分片失去继续传播的能力。结语

P2P 网络之中匿名，自由等一系列优点使它无法避免的成为了病毒和恶意代码的攻击对象。本文在充分的研究了P2P 网络的各种结构的结构特点之后，分析了P2P 病毒的传播机理，最后提出了一种确保P2P 网络安全运行的方法。

第二篇：网络攻击与防御论文2

世界科学技术的整体进步较大的推动我国科学技术的发展，在科学技术中，计算机网络技术的发展速度是比较快的，同时其应用范围也比较广泛，比如办公、会计电算化的实现都是以计算机网络技术为依托的，但是，在应用中计算机网络的信息安全就成为人们所面临的困扰，为此，在计算机网络技术发展的同时，我们也要积极研究以防火墙屏障为基础的网络安全防护技术，以此提高计算机网络技术应用的质量。

造成网络安全隐患的主要因素是网络病毒、网络犯罪以及网络黑客等，同时，随着商业上对计算机网络技术的应用范围的扩大，这种安全问题所造成的损失也在逐渐增大，所以说，如果这一问题得不到有效的解决，那么其将会成为我国经济发展过程中的一块绊脚石，给人们的生活也会带来一定的困扰，为此，我们要深入研究计算机网络防火墙技术。

1防火墙屏障简述

防火墙技术是目前在计算机网络安全防护中应用比较广泛的一种技术，是一种安全保障方式，防火墙的主要工作过程就是对一个网络环境的进出权限进行控制，并尽量让所有相关链接都接受其检查，从而对其所要防护的对象起到保护作用，避免了保护对象受到非法的破坏和干扰。计算机网络技术中的防火墙屏障其可以是一个独立完整的系统，同时也可以通过网络路由器来实现其防护功能。

防火墙具有一定的安全策略，这种安全策略是防火墙功能的灵魂，在防火墙构造之前，一定要制定出一个完整的安全防护策略，这种安全防护策略在制定之前一定要进行深入的风险预估、安全分析以及相关的商业分析，这种安全策略能够保证防火墙屏障总体功能的发挥，如果不进行策略研究，那么就会导致整体功能得不到发挥。对于不同安全风险防范需求的网络来说，其所需要的计算机防火墙的类型也是不同的，也就是说其安全防范策略会不同，而对于安全策略来说通常情况下有两种主要的制定策略，一种是，对一切没经过允许的信息严禁进入；另一种就是完全允许那些没有经过禁止的信息自由进入，从中我们不难看出，其中第一种的安全性相对要高一些。

2常用防火墙技术研究

防火墙技术随着计算机网络技术的发展在不断更新，但是，目前常用的计算机网络防火墙技术主要有以下几种。

2.1包过滤型

这种技术是根据“系统内事先设定的过滤逻辑，通过设备对进出网络的数据流进行有选择地控制与操作。”这种包过滤技术的应用方式主要有三种，其一，通过路由器设备，在其进行路由的选择以及数据的转发过程中对传送过来的数据包进行过滤；其二，把相关的过滤软件应用在工作站中，在工作站中对各种信息进行过滤；其三，屏蔽路由设备的启用，这种设备对数据包的过滤功能是通过屏蔽路由上过滤功能的启用而实现的。目前，在计算机网络中使用比较广泛的是通过路由器实现的数据包过滤。数据包的过滤技术的作用主要发挥在数据的传输层和网络层，“以IP包信息为基础，对通过防火墙的IP包的源，目标地址，TCP/UDP端口的标识符等进行检查”。

包过滤技术在应用过程中表现出了以下的优点和缺点：首先，表现出来的优点。这种技术在应用过程中不需要对计算机主机上的程序进行更改；对用户的要求较少；该技术具有一定的独立性，同时在路由器上进行传输数据包的过滤对整个网络的安全运行都是有利的，而且目前所使用的多数路由器都具有这种包过滤技能，所以在使用上的方便性也是其优点之一。其次，表现出来的缺点。缺点主要就是其不支持应用层面协议的过滤，对黑客入侵的防范力度较小，对不不断出现的新安全隐患没有抵御能力。

2.2代理型

代理技术实际上是指代理型防火墙技术，也就是代理服务器，这种技术所起到的作用要比包过滤技术的安全性要高，更重要的是其正在向着包过滤技术还没有发展到的领域空间发展，在一定程度上弥补了包过滤技术的缺点。代理型防火墙的安装位置是在客户机和服务器之间，它能够对内外网之间的直接通信进行彻底隔绝，进而在内部网和外部网之间建立一个信息交流屏障，所以，此时，相对于客户机，服务器的角色就完全被代理型防火墙所代替了，防火墙也就成为了一种服务器；与此同时，相对于服务器而言，代理技术的应用使得代理防火墙取代了客户机的角色。综上所述，当客户机发出相关的信息使用请求时，其首先是将信息发送给代理服务器，代理服务器根据情况获得信息之后在传输给客户机。

这种网络安全屏障技术所表现出来的安全性明显的提高了，其对病毒的防护具有了较强的针对性，尤其是在应用层中。表现出来的缺点是管理上的复杂性增大，要求网络管理人员要具有较高的知识储备和管理经验，一定程度上增加了使用投入。

2.3监测型

监测型防火墙技术已经超越了原始防火墙的定义，监测型防火墙主要是对各个层面都能实现实时检测，同时，对检测到的数据进行分析，从而判断出来自不同层面的不安全因素。一般情况下监测型防火墙的产品还带有探测器，这种探测器是一种分布式的探测器，它能够对内网和外网进行双重的监测，防御外部网络攻击的同时还能够防范内部网络的破坏。因此，监测型防火墙在安安全性上远远超越了传统防火墙，但是当前市面上的价格比较高，应用的资金投入较大。

3构建计算机安全体系

正是因为现代网络安全性较差，所以，需要我们构建计算机安全体系。计算机专业人员要加大对网络安全技术的研究，尤其是要根据病毒攻击点进病毒防范软件的设计，强化网络运行的安全性和可靠性的检测。同时，在网络安全体系的构建当中还要以防火墙技术的应用为基础，通过这种技术对计算机网络运行中的不安全因素进行检测，并及时报警，管理员根据警报采取相关措施。但是，防火墙技术还存在着一定的限制因素，要想建立完善的安全体系就要综合应用各种安全技术，实现技术的完美结合，优势互补，最终目的是保障计算机网络的安全。

第三篇：病毒检测和网络安全漏洞检测制度

病毒检测和网络安全漏洞检测制度

为保证我校校园网的正常运行，防止各类病毒、黑客软件对我校联网主机构成的威胁，最大限度的减少此类损失，特制定本制度：

1、各接入单位计算机内应安装防病毒软件、防黑客软件及垃圾邮件消除软件，并对软件定期升级。

2、各接入单休计算机内严禁安装病毒软件、黑客软件，严禁攻击其它联网主机，严禁散布黑客软件和病毒。

3、网管中心应定期发布病毒信息，检测校园网内病毒和安全漏洞，并采取必要措施加以防治。

4、校园网内主要服务器应当安装防火墙系统，加强网络安全管理。

5、网管中心定期对网络安全和病毒检测进行检查，发现问题及时处理。

第四篇：计算机英语论文网络攻击与防御

计算机网络攻击和防范

摘要：网络信息的安全和保密是一个至关重要的问题。无论是在局域网还是在广域网中，都存在着自然和人为等诸多因素的脆弱性和潜在威胁。

关键词：计算机;网络;安全;防范

引言：本文旨在介绍现在的网络安全问题，网络攻击的方式，步骤，防范。防火墙的结构，类型，和具体应用。使大家对于一般的网络攻击有所防范，可以用防火墙进行查杀和防护病毒。

正文：

网络安全，是计算机信息系统安全的一个重要方面。如同打开了的潘多拉魔盒，计算机系统的互联，在大大扩展信息资源的共享空间的同时，也将其本身暴露在更多恶意攻击之下。如何保证网络信息存储、处理的安全和信息传输的安全的问题，就是我们所谓的计算机网络安全。信息安全是指防止信息财产被故意的或偶然的非法授权泄露、更改、破坏或使信息被非法系统辩识、控制；确保信息的保密性、完整性、可用性、可控性。信息安全包括操作系统安全、数据库安全、网络安全、病毒防护、访问控制、加密和鉴别七个方面。设计一个安全网络系统，必须做到既能有效地防止对网络系统的各种各样的攻击，保证系统的安全，同时又要有较高的成本效益，操作的简易性，以及对用户的透明性和界面的友好性。

网络安全攻击，主要有四种方式L中断、截获、修改和伪造。

中断是以可用性作为攻击目标，它毁坏系统资源，使网络不可用。

截获是以保密性作为攻击目标，非授权用户通过某种手段获得对系统资源的访问。修改是以完整性作为攻击目标，非授权用户不仅获得访问而且对数据进行修改。

伪造是以完整性作为攻击目标，非授权用户将伪造的数据插入到正常传输的数据中。

网络安全的解决方案

一、入侵检测系统部署

入侵检测能力是衡量一个防御体系是否完整有效的重要因素，强大完整的入侵检测体系可以弥补防火墙相对静态防御的不足。对来自外部网和校园网内部的各种行为进行实时检测，及时发现各种可能的攻击企图，并采取相应的措施。具体来讲，就是将入侵检测引擎接入中心交换机上。入侵检测系统集入侵检测、网络管理和网络监视功能于一身，能实时捕获内外网之间传输的所有数据，利用内置的攻击特征库，使用模式匹配和智能分析的方法，检测网络上发生的入侵行为和异常现象，并在数据库中记录有关事件，作为网络管理员事后分析的依据；如果情况严重，系统可以发出实时报警，使得学校管理员能够及时采取应对措施。

二、漏洞扫描系统

采用目前最先进的漏洞扫描系统定期对工作站、服务器、交换机等进行安全检查，并根据检查结果向系统管理员提供详细可靠的安全性分析报告，为提高网络安全整体水平产生重

要依据。

三、网络版杀毒产品部署

在该网络防病毒方案中，我们最终要达到一个目的就是：要在整个局域网内杜绝病毒的感染、传播和发作，为了实现这一点，我们应该在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段。同时为了有效、快捷地实施和管理整个网络的防病毒体系，应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能。

四、网络主机操作系统的安全和人身安全的措施

网络防火墙作为第一道防线，并不能完全保护内部网络，必须结合其他措施，以改善该系统的安全水平。经过防火墙是基于网络的主机操作系统的安全和人身安全的措施。根据级别从低到高，即人身安全，主机系统，其核心业务系统安全，系统安全，应用服务的安全和档案系统的安全，同时，主机的安全检查和错误修复，作为以及备份安全系统作为补充的安全措施。这些构成了整个网络系统，第二道防线，主要部分的一个突破，以防止防火墙，以及攻击范围内。系统备份是最后一道防线网络系统，用于攻击后，系统还原。防火墙和主机安全的措施是整个系统的安全审计，入侵检测和响应处理器构成的整体安全检查和应对措施。从网络系统的防火墙，网络主机，甚至直接从网络链路层的提取网络状态信息，输入到入侵检测子系统。入侵检测系统按照一定的规则，以确定是否有任何入侵的事件，如果发生入侵，紧急处理措施，并产生一条警告消息。此外，该系统的安全审计中，还可以作为未来后果的攻击行为，并处理安全政策的系统改进的信息来源。

总结：

网络安全是一个综合性问题，涉及技术，管理，使用和许多其他方面，包括它自己的信息系统安全问题，有物理和逻辑的技术措施，是一种技术只能解决问题的一另一方面，而不是万能的。

参考文献：

[ 1 ]黄一强，等。论软件开发的需求分析阶段的主要任务。季刊中山大学，2002年（01）。

[ 2 ]胡道元。计算机局域网模式[ M ]。北京：清华大学出版社，2001。

[ 3 ]朱厘森，甚至守。计算机网络应用技术模式[ M ]。北京：专利文献出版社，2001。

[ 4 ]渫西人。计算机网络（第四版）[ M ]档。北京：电子工业出版社，2003。

[ 5 ]孙小刚，韩栋，等。面向对象软件工程，Visual C + +的网络编程模式[ M ]。北京：清华大学出版社，2004,11

Computer network attacks and prevent

Abstract: Internet security and confidentiality of information is a critical issue.Whether in the LAN or WAN, there are both natural and man-made factors, such as the vulnerability and potential threats.Key words: computer;network;security;prevent

Introduction:This paper aims to introduce the current issue of network security, network attack methods, steps to prevent.The structure of the firewall, type, and specific applications.So that in general have to guard against network attacks can be used for killing the firewall and virus protection.The Main body:

Network security is the security of computer information systems in an important aspect.As the opening of Pandora's Box, the computer systems of the Internet, greatly expanded information resources sharing space at the same time, will be exposed in their own malicious more under attack.How to ensure that network storage, security and the transmission of information security, is the so-called computer network security.Information security is to prevent information from the property have been deliberately or accidentally leaked authorized illegal, altered, damage or illegal information system identification, control;ensure confidentiality, integrity, availability, controllable.Information security, including operating system security, database security, network security, virus protection, access control, encryption and identification of seven areas.Design of a network security system, we must not only effectively prevent the system to a wide range of network attacks, guarantee the safety of the system, and also have a higher

cost-effectiveness, operational simplicity, and transparent to the user interface and friendly.In the form of network security attacks,there are four main ways L

interruption,interception, modification and forgery.Interruption of availability is the object of the attack, which destroyed the system resources, so that the network is not available.Intercepted by the object of the attack the confidentiality, non-authorized users access to a means of access to system resources.Modify the object of the attack on the integrity, non-authorized users gain access not only data but also to be amended.Forged by the integrity of the object of the attack, non-authorized users to insert forged data to normal data transmission.Network security solutions

First, the deployment of Intrusion Detection System

Ability of intrusion detection is a measure of an effective defense system is an important factor in a complete, powerful intrusion detection system, a complete firewall can make up for the relative lack of static defense.From the external network and the campus network of the various acts of real-time detection, to detect all possible attempts to attack and take corresponding measures.Specifically, intrusion detection is to switch on the engine access center.Intrusion Detection System Intrusion Detection set, network management and network monitoring functions, both inside and outside the network in real-time capture of all data transmission between the use of built-in features of database attacks, the use of pattern matching and intelligence analysis to detect the occurrence of network intrusions and anomalies, and in the database record of the incident, as a network administrator based on hindsight;if in serious condition, the system real-time warning can be issued so that the school administrators to take timely measures to deal with.Second, vulnerability scanning system

Using the most advanced system of regular vulnerability scanning workstations, servers, switches and other safety checks, and in accordance with the results to the system administrator to provide detailed and reliable analysis of the security, to enhance the overall level of network security have an important basis.Third, the network version of the deployment of antivirus products

In the network anti-virus program, we eventually have to reach a goal is: To put an end to the LAN in the whole virus infection, dissemination and attack, in order to achieve this, we should be in the entire network at risk of infection and the spread of the virus to take place The anti-virus tools.At the same time in order to effectively and quickly implement and manage the entire network of anti-virus system, should be able to remotely install, smart upgrade, remote alarm, centralized management, distribution of a variety of functions such as killing.Forth, the network host operating system security and physical security measures

Network firewall as the first line of defense and can not fully protect the internal network, must be combined with other measures to improve the safety of the system level.After the firewall is based on the network host operating system security and physical security measures.In accordance with the level from low to high, namely, the physical security of the host system, the core operating system security, system security, application services security and file system security;At the same time,host security checks and bug fixes, as well as a backup safety system as a

supplementary safety measures.These constitute the entire network system, the second line of defense, the main part of a breakthrough to prevent the firewall as well as attacks from within.System backup is the last line of defense network system, used to attack after the System Restore.The firewall and host security measures is the overall system security by auditing, intrusion detection and response processor constitute the overall safety inspection and response measures.It from the network system firewall, network host or even directly from the network link layer on the extraction of network status information, as input to the intrusion detection subsystem.Intrusion Detection System in accordance with certain rules to determine whether there is any invasion of the incident, if the invasion occurred, the emergency treatment measures, and generate a warning message.Moreover, the system's security audit also can be used as the future consequences of aggressive behavior and to deal with security policy on the system to improve sources of information.Summary: Network security is a comprehensive issue, involving technology,management, use and many other aspects, including both its own information system security issues, there are physical and logical technical measures, a kind of technology can only solve the problem on the one hand, rather than a panacea.References:

[1] Huang Yi-qiang, et al.On the software development needs analysis phase of the main tasks.Quarterly Journal of Sun Yat-sen University, 2002(01).[2] Hu Daoyuan.Computer LAN [M].Beijing: Tsinghua University Press, 2001.[3] Zhu Lisen, even Shougong.Computer Network Application Technology [M].Beijing: Patent Literature Publishing House, 2001.[4] Xie Xiren.Computer Networks(4th edition)[M].Beijing: Publishing House of Electronics Industry, 2003.[5]孙小刚, Han Dong, et al.Oriented software engineering, Visual C + + Network Programming

[M].Beijing: Tsinghua University Press, 2004,11.

第五篇：网络攻击研究和检测

[摘 要] 随着计算机技术的不断发展，网络安全问题变得越来越受人关注。而了解网络攻击的方法和技术对于维护网络安全有着重要的意义。本文对网络攻击的一般步骤做一个总结和提炼，针对各个步骤提出了相关检测的方法。

[关键词] 扫描 权限 后门

信息网络和安全体系是信息化健康发展的基础和保障。但是，随着信息化应用的深入、认识的提高和技术的发展，现有信息网络系统的安全性建设已提上工作日程。

入侵攻击有关方法，主要有完成攻击前的信息收集、完成主要的权限提升完成主要的后门留置等，下面仅就包括笔者根据近年来在网络管理中有关知识和经验，就入侵攻击的对策及检测情况做一阐述。

对入侵攻击来说，扫描是信息收集的主要手段，所以通过对各种扫描原理进行分析后，我们可以找到在攻击发生时数据流所具有的特征。

一、利用数据流特征来检测攻击的思路

扫描时,攻击者首先需要自己构造用来扫描的Ip数据包,通过发送正常的和不正常的数据包达到计算机端口,再等待端口对其响应,通过响应的结果作为鉴别。我们要做的是让IDS系统能够比较准确地检测到系统遭受了网络扫描。考虑下面几种思路：

1.特征匹配。找到扫描攻击时数据包中含有的数据特征，可以通过分析网络信息包中是否含有端口扫描特征的数据，来检测端口扫描的存在。如UDp端口扫描尝试：content:“sUDp”等等。

2.统计分析。预先定义一个时间段，在这个时间段内如发现了超过某一预定值的连接次数，认为是端口扫描。

3.系统分析。若攻击者对同一主机使用缓慢的分布式扫描方法，间隔时间足够让入侵检测系统忽略，不按顺序扫描整个网段，将探测步骤分散在几个会话中，不导致系统或网络出现明显异常，不导致日志系统快速增加记录，那么这种扫描将是比较隐秘的。这样的话，通过上面的简单的统计分析方法不能检测到它们的存在，但是从理论上来说，扫描是无法绝对隐秘的，若能对收集到的长期数据进行系统分析，可以检测出缓慢和分布式的扫描。

二、检测本地权限攻击的思路

行为监测法、文件完备性检查、系统快照对比检查是常用的检测技术。虚拟机技术是下一步我们要研究的重点方向。

1.行为监测法。由于溢出程序有些行为在正常程序中比较罕见，因此可以根据溢出程序的共同行为制定规则条件，如果符合现有的条件规则就认为是溢出程序。行为监测法可以检测未知溢出程序,但实现起来有一定难度，不容易考虑周全。行为监测法从以下方面进行有效地监测:一是监控内存活动，跟踪内存容量的异常变化，对中断向量进行监控、检测。二是跟踪程序进程的堆栈变化,维护程序运行期的堆栈合法性。以防御本地溢出攻击和竞争条件攻击。监测敏感目录和敏感类型的文件。对来自www服务的脚本执行目录、ftp服务目录等敏感目录的可执行文件的运行,进行拦截、仲裁。对这些目录的文件写入操作进行审计,阻止非法程序的上传和写入。监测来自系统服务程序的命令的执行。对数据库服务程序的有关接口进行控制,防止通过系统服务程序进行的权限提升。监测注册表的访问，采用特征码检测的方法，阻止木马和攻击程序的运行。

2.文件完备性检查。对系统文件和常用库文件做定期的完备性检查。可以采用checksum的方式,对重要文件做先验快照,检测对这些文件的访问,对这些文件的完备性作检查,结合行为检测的方法,防止文件覆盖攻击和欺骗攻击。

3.系统快照对比检查。对系统中的公共信息，如系统的配置参数，环境变量做先验快照，检测对这些系统变量的访问，防止篡改导向攻击。

4.虚拟机技术。通过构造虚拟x86计算机的寄存器表、指令对照表和虚拟内存，能够让具有溢出敏感特征的程序在虚拟机中运行一段时间。这一过程可以提取与有可能被怀疑是溢出程序或与溢出程序程序相似的行为，比如可疑的跳转等和正常计算机程序不一样的地方，再结合特征码扫描法，将已知溢出程序代码特征库的先验知识应用到虚拟机的运行结果中，完成对一个特定攻击行为的判定。

虚拟机技术仍然与传统技术相结合，并没有抛弃已知的特征知识库。虚拟机的引入使得防御软件从单纯的静态分析进入了动态和静态分析相结合的境界，在一个阶段里面，极大地提高了已知攻击和未知攻击的检测水平，以相对比较少的代价获得了可观的突破。在今后相当长的一段时间内，虚拟机在合理的完整性、技术技巧等方面都会有相当的进展。目前国际上公认的、并已经实现的虚拟机技术在未知攻击的判定上可达到80%左右的准确率。

三、后门留置检测的常用技术

1.对比检测法。检测后门时，重要的是要检测木马的可疑踪迹和异常行为。因为木马程序在目标网络的主机上驻留时,为了不被用户轻易发现,往往会采取各种各样的隐藏措施，因此检测木马程序时必须考虑到木马可能采取的隐藏技术并进行有效地规避，才能发现木马引起的异常现象从而使隐身的木马“现形”。常用的检测木马可疑踪迹和异常行为的方法包括对比检测法、文件防篡改法、系统资源监测法和协议分析法等。

2.文件防篡改法。文件防篡改法是指用户在打开新文件前,首先对该文件的身份信息进行检验以确保没有被第三方修改。文件的身份信息是用于惟一标识文件的指纹信息,可以采用数字签名或者md5检验和的方式进行生成。

3.系统资源监测法。系统资源监测法是指采用监控主机系统资源的方式来检测木马程序异常行为的技术。由于黑客需要利用木马程序进行信息搜集，以及渗透攻击，木马程序必然会使用主机的一部分资源，因此通过对主机资源(例如网络、CpU、内存、磁盘、USB存储设备和注册表等资源)进行监控将能够发现和拦截可疑的木马行为。

4.协议分析法。协议分析法是指参照某种标准的网络协议对所监听的网络会话进行对比分析，从而判断该网络会话是否为非法木马会话的技术。利用协议分析法能够检测出采取了端口复用技术进行端口隐藏的木马。