网络安全防御体系的构建研究毕业设计论文Word文档下载推荐.docx
- 文档编号:21350148
- 上传时间:2023-01-29
- 格式:DOCX
- 页数:45
- 大小:570.34KB
网络安全防御体系的构建研究毕业设计论文Word文档下载推荐.docx
《网络安全防御体系的构建研究毕业设计论文Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《网络安全防御体系的构建研究毕业设计论文Word文档下载推荐.docx(45页珍藏版)》请在冰豆网上搜索。
除了文中特别加以标注引用的内容外,本论文不包含任何其他个人或集体已经发表或撰写的成果作品。
对本文的研究做出重要贡献的个人和集体,均已在文中以明确方式标明。
本人完全意识到本声明的法律后果由本人承担。
日期:
年月日
学位论文版权使用授权书
本学位论文作者完全了解学校有关保留、使用学位论文的规定,同意学校保留并向国家有关部门或机构送交论文的复印件和电子版,允许论文被查阅和借阅。
本人授权 大学可以将本学位论文的全部或部分内容编入有关数据库进行检索,可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。
涉密论文按学校规定处理。
日期:
导师签名:
日期:
注意事项
1.设计(论文)的内容包括:
1)封面(按教务处制定的标准封面格式制作)
2)原创性声明
3)中文摘要(300字左右)、关键词
4)外文摘要、关键词
5)目次页(附件不统一编入)
6)论文主体部分:
引言(或绪论)、正文、结论
7)参考文献
8)致谢
9)附录(对论文支持必要时)
2.论文字数要求:
理工类设计(论文)正文字数不少于1万字(不包括图纸、程序清单等),文科类论文正文字数不少于1.2万字。
3.附件包括:
任务书、开题报告、外文译文、译文原文(复印件)。
4.文字、图表要求:
1)文字通顺,语言流畅,书写字迹工整,打印字体及大小符合要求,无错别字,不准请他人代写
2)工程设计类题目的图纸,要求部分用尺规绘制,部分用计算机绘制,所有图纸应符合国家技术标准规范。
图表整洁,布局合理,文字注释必须使用工程字书写,不准用徒手画
3)毕业论文须用A4单面打印,论文50页以上的双面打印
4)图表应绘制于无格子的页面上
5)软件工程类课题应有程序清单,并提供电子文档
5.装订顺序
1)设计(论文)
2)附件:
按照任务书、开题报告、外文译文、译文原文(复印件)次序装订
网络安全防御体系的构建研究
摘要:
随着网络时代的飞速发展,Internet日益普及,网络安全问题也日益突出,如何在开放网络环境中保证数据和系统的安全性已经成为众多业内人士关心的问题,并越来越迫切和重要。
虽然目前对安全技术的研究也越来越深入,但目前的技术研究重点都放在了某一个单独的安全技术上,却很少考虑如何对各种安全技术加以整合,构建一个完整的网络安全防御系统。
本论文重点论述了构建一个网络安全防御系统的方案设计和实现过程。
在方案设计部分,本文重点论述了设计过程中的两个关键阶段,即安全策略与风险分析,在安全策略部分中描述了一个完整的网络防御系统中所考虑的方方面面,而风险分析部分则以生动的实例说明了如何分析一个系统所面临的风险并将其量化的过程和算法。
在实现部分,本文重点论述了网络安全防御系统采用的网络拓扑结构及其中采用的各种安全技术和安全产品的具体细节。
最后则详细描述了该网络安全防御系统中的一个重要组件—网络安全监测仪的功能及技术细节,以及为其可用性而开发的远程控制台,并在此基础上提出了安全监控中心的概念及实现计划。
关键词:
网络安全;
安全策略;
风险分析;
入侵检测;
日志审计;
漏洞;
加密;
CGI
Theconstructionofnetworksecuritydefensesystemresearch
Abstract:
WiththeraIPddevelopmentoftheInternetage,thepopularizationofInternetandIntranet,networksecurityissuesarealsoincreasinglyprominent,howtoensurethatdataintheopennetworkenvironmentandthesafetyofthesystemhasbecometheconcernofthemanyinsider,andmoreandmoreurgentandimportant.Althoughatpresenttheresearchofsecuritytechnologyisbecomingmoreandmorethorough,butthecurrenttechnologyresearchhasfocusedonasinglesecuritytechnology,seldomconsiderhowthevarioussecuritytechnologyintegration,buildacompletenetworksecuritydefensesystem.Thispapermainlydiscussesthebuildinganetworksecuritydefensesystemdesignandimplementationprocess.Indesignpart,thispapermainlydiscussesthetwokeystageofthedesignprocess,namelythesecuritypolicyandriskanalysis,insecuritystrategysectiondescribesacompletenetworkbyconsideringallaspectsofthedefensesystem,andtheriskanalysispartwithvividexampleillustrateshowtoanalyzeasystemfacingtheriskanditsquantitativeprocessandalgorithm.Inimplementation,thispapermainlydiscussesthenetworksecuritydefensesystemUSESthenetworktopologystructureandusingofthedetailsofthevarioussecuritytechnologyandsecurityproducts.Finally,describesindetailthenetworksecuritydefensesystemanimportantcomponentof-thefunctionofthenetworksecuritymonitorandtechnicaldetails,aswellasforitsusabilityandthedevelopmentofremoteconsole,andonthisbasisputsforwardtheconceptofsafetymonitoringcenterandimplementationplan.
keywords:
Networksecurity;
Thesecuritypolicy;
Riskanalysis;
Intrusiondetection;
Logaudit;
vulnerability;
encryption;
CGI;
第1章绪论
1.1.课题研究的背景及目的
在当今的信息社会中,信息系统的安全对于整个社会都具有极其重要的意义,大到国家,小到个人,以及公司,企业,其信息系统的安全性都需要得到充分的保护。
竞争者可以发动一场不可见却又很有效的信息攻击,影响你的顾客或财务信息,影响你的市场信誉,从而扩大自己的市场份额。
而在当今的网络时代里,网络安全已经成为信息系统安全中一个重要的组成部分,在很多时候,网络系统安全己经成为信息系统安全的代名词。
本课题及即研究如何在一个开放的网络环境中保证信息的安全,保证整个信息系统的正常运行。
1.2.研究现状
1)从来没有象现在这样有如此多的电脑通过网络相连,网络的巨大范围使得安全管理员很难,甚至不可能觉察到攻击行为,以及判断其来源。
2)大量的廉价却很好用的攻击工具充斥于网络中,自动化攻击工具大量泛滥,几年前仅仅适用于高智能范围的工具己经能够从商业途径购买并使用。
而使用这些工具并不需要很高的技术水平,这使得一个普通的攻击者也可以对系统造成巨大的危害。
3)攻击技术的普及使得高水平的攻击者越来越多,反而言之,安全管理员面临着巨大的挑战,我们的系统面临的安全威胁也越来越大。
4)病毒在最近的一两年以惊人的速度发展,一个新病毒在一夜之间就可以通过网络传到整个信息世界,很少有公司或企业没有受到病毒的感染和影响。
综上我们可以看出在当今的网络时代,信息安全问题已经突出的表现在了
网络安全方面,即如何在一个开放的网络环境中保证信息的安全,保证整个信
息系统的正常运行。
这也正是本文论述的重点。
第2章典型攻击行为技术特点分析及应对措施
2.1.DoS(DenialOfService)
2.1.1.淹没(Flooding)
是指黑客向目标主机发送大量的垃圾数据或者无效的请求,阻碍服务器的
为合法用户提供正常服务。
典型的情况是“半开的SYN”连接请求拒绝服务攻击(称为sYNFlooding)。
对于每个TCP连接请求,TCP协议实现时要为该连接请求保留一定的存储空间。
由于存储空间有限,而且黑客可以采用IP地址欺骗的办法,伪造SYN请求的
源地址并大量地发出这样的请求,使得服务器认为连接请求是来自不同的用户。
因为服务器需要等待某个连接请求的确认,并认为请求过期是需要一定的时间
的,在得到客户端确认之前服务器将一直保留对应的存储空间,但是黑客却大
量发出无效的连接请求SYN,当服务器接收到超过其存储能力的TCP连接请求
数量后,便不能再接收任何请求,包括合法用户的正常请求。
2.1.2.Smurfing拒绝服务攻击
msurfing拒绝服务攻击的主要原理
黑客使用IP广播和IP欺骗使Flooding攻击的效果倍增,使用伪造的ICMP
ECHOREQUEST包发往目标网络的IP广播地址。
smurfing攻击的原理如下图所示。
CIMP是用来处理错误和交换控制信息的,并且可以用来确定网络上的某台主机是否响应。
在一个网络上,可以向某个单一主机也可以向局域网的广播地址发送IP包。
当黑客向某个网络的广播地址发送CIMPECHOREQUEST包时,如果网络的路由器对发往网络广播地址的CIMP包不进行过滤,则网络内部的所有主机都可以接收到该CIMP请求包,并且都要向CIMP包所指示的源地址回应以ICMPECHO既PYL包。
如果黑客将发送的ICMP请求包的源地址伪造为被攻击者的地址,则该网络上所有主机的CIMPECHOREPYL包都要发往被攻击的主机,不仅造成被攻击者的主机出现流量过载,减慢甚至停止正常的服务,而且发出CIMP回应包的中间受害网络也会出现流量拥塞甚至网络瘫痪。
可以说,S~fing攻击的受害者是黑客的攻击目标,和无辜的充当黑客攻击工具的第三方网络。
图2-1
注释:
图2-1中实线部分表示黑客发出的CIMP包,虚线部分表示对目标攻击的CIMP包
Smurf攻击的小结
●Smurf攻击的影响面
Smurf攻击使得被黑客利用的“无辜”中间网络和被攻击的目标,无论是
它们的内部网络还是与因特网的连接,网络性能都受到影响,严重时整个网络
都无法使用。
而且,为这些网络提供服务的中小SIP,也会因此减低其网络效率和服务性能。
对大型的ISP而言,其骨干网可能会出现流量饱和的现象而部
分影响其服务质量。
●被黑客利用进行攻击的“无辜”中间网络应采取的措施
v配置路由器禁止IP广播包进网。
在几乎所有的情况下,这种功能是不必要的。
应该要在网络的所有路由器上都要禁止这种功能,而不仅仅在与外部网络连接的路由器上禁止。
例如,网络上有五个路由器连接着十个LAN,应在这五个路由器上都禁止IP广播包的通过。
v配置网络上所有计算机的操作系统,禁止对目的地址为广播地址的CIMP包响应。
虽然对路由器进行了禁止网外的CIMP广播包的进入,但是黑客很可能已经攻破了网络内部的某台主机,黑客仍然可以使用网络上这台被他控制的这台主机发起Smurf攻击。
●黑客攻击的目标应采取的措施
对被攻击的目标而言,要防止接受到大量的CIMPECHOREPYL包的攻击
没有一个简单的解决办法,甚至要防止受到其他类型的DoS攻击都没有太好的
办法,Yahoo!
等站点被DoS攻击这一事实就说明了这一点。
虽然可以对被攻
击网络的路由器进行配置,禁止CIMPECHOREPLAY包的进入,但这并不能
阻止网络路由器到其IsP之间的网络拥塞。
这样,较为妥当的解决办法是与其SIP
协商,由IsP暂时阻止这样的垃圾流量。
另外,被攻击目标应及时与被黑客利
用而发起攻击的中间网络管理员联系。
●黑客攻击实际发起的网络应采取的措施
于从本网络向外部网络发送的数据包,本网络应该将目的地址为其他网
络的这部分数据包过滤掉。
虽然当前的IP协议技术不可能消除IP伪造数据包,
但使用过滤技术可以减少这种伪造发生的可能。
2.1.3.分片攻击(FragmentAttacks)
种攻击方法利用了TCP/P协议的弱点,第一种形式的分片攻击是,有一些TCP/IP协议实现中,对IP分段出现重叠时并不能正确地处理。
例如,当黑客远程向目标主机发送IP的片段,然后在目标主机上重新构造成一个无效的UDP包,这个无效的UDP包使得目标主机处于不稳定状态。
一旦处于不稳定状态,被攻击的目标主机要么处于蓝屏幕的停机状态,要么死机或重新启动。
类似这样的黑客攻击工具有:
Teardorp,NewTear,Bokn和Boikn等。
第二种形式的分片攻击是,一些TCP/P的实现对出现一些特定的数据包会呈现出脆弱性。
例如,当黑客远程向目标主机发出的SYN包,其源地址和端口与目标主机的地址和端口一致时,目标主机就可能死机或挂起。
典型这样的黑客工具是:
LAND。
2.1.4.带外数据包攻击/Nuking(OutofBand)
向一个用户Windows系统的139口(NetBIOS的端口),发送带外数据包OOB(垃圾数据),Windows不知如何处理这些OOB,可以远程造成该用户系统运行异常。
对方用户只有重新启动才能正常工作。
2.1.5.分布式拒绝服务攻击DDOS
传统DoS攻击的缺点是:
●受网络资源的限制。
黑客所能够发出的无效请求数据包的数量要受到其主机出口带宽的限制;
●隐蔽性差。
如果从黑客本人的主机上发出拒绝服务攻击,即使他采用伪造IP地址等手段加以隐蔽,从网络流量异常这一点就可以大致判断其位置,与IsP合作还是较容易定位和缉拿到黑客的。
而DDoS却克服了以上两个致命弱点。
●隐蔽性更强。
通过间接操纵因特网上“无辜”的计算机实施攻击,突破了传统攻击方式从本地攻击的局限性和不安全性。
●攻击的规模可以根据情况做得很大,使目标系统完全失去提供服务的功能。
所以,分布式网络攻击体现了对黑客本人能力的急剧放大和对因特网上广阔资源的充分利用。
由于攻击点众多,被攻击方要进行防范就更加不易。
对Yahoo!
等世界上最著名站点的成功攻击证明了这一点。
2.1.6.拒绝服务攻击小结
●分布式网络攻击NAistribetNdeowrAcs)成为黑客的主要攻击手段,这也是未来连接在因特网上机构所面临的严重威胁之一。
DNA攻击形式是随着因特网快速发展的必然结果。
现在是DDoS攻击,那么下一次攻击也许就是分布式欺骗(Dsitributedspoofing)、分布式监听(Distibutedsniffing)、或者是分布式分段攻击(DistibutedFragmentationAttack)。
●从根本上还是要维护好上网主机的安全性。
●SIP与SIP之间、IsP与网络管理员管理员之间相互协调合作,共同对付DoS。
2.2.恶意软件(MaliciousSoftware)
2.2.1.逻辑炸弹(LogicalBomb)
它是一种程序,在特定的条件下(通常是由于漏洞)会对目标系统产生破坏作用。
2.2.2.后门(Backdoor)
它是一种程序,允许黑客远程执行任意命令。
一般情况下,黑客攻破某个系统后,即使系统管理员发现了黑客行为并堵住了系统的漏洞,为了能够再次访问该系统,黑客往往在系统中安放这样的程序。
2.2.3.蠕虫(Worm)
它是一种独立的程序,能够繁殖并从一个系统到另一个系统传播其自身的拷贝,通常在整个网络上。
像病毒一样,蠕虫可以直接破坏数据,或者因消耗系统资源而减低系统性能,甚至使整个网络瘫痪。
最著名的就是1988年Morrsi因特网蠕虫事件。
2.2.4.病毒(Virus)
它是一种程序或代码但并不是独立的程序),能够在当前的应用中自我复制,并且可以附着在其他程序上。
病毒也能够通过过度占用系统资源而降低系统性能,使得其他合法的授权用户也不能够正常使用系统资源。
2.2.5.特洛伊木马(Trojan)
一种独立的、能够执行任意命令的程序。
特洛伊木马往往能够执行某种有
用的功能,而这种看似有用的功能却能够隐藏在其中的非法程序。
当合法用户
使用这样合法的功能时,特洛伊木马也同时执行了非授权的功能,而且通常篡
夺了用户权限。
2.2.6.恶意软件攻击方法小结
恶意软件通常能够造成严重的安全威胁,秘密的信息可以被截获和发送到敌手处,关键的信息可以被修改,计算机的软件配置可以被改动以允许黑客进行连续的入侵。
排除恶意软件的威胁代价是高昂的。
采取预防措施和教育用户所花费的代价,要比被攻击后恢复的代价要低的多。
(1)制定一个保护计算机防止被病毒等恶意软件威胁的计划。
这样的计划应该包括要保护计算机被病毒和其他恶意软件威胁,系统管理员和合法用户应该拥有的明确责任。
例如,确定谁有权在计算机上下载和安装软件;
谁负责检测和清除恶意软件,用户还是管理员;
禁止用户运行从E一MAIL上接收到的可执行文件、禁止从公共站点上下载软件等。
(2)安装有效的反病毒等工具。
要考虑反病毒等工具要进行脱线备份,以防止它们可能被病毒等恶意软件修改而失去检测功能。
应积极地经常在线检测,同时也要不时进行脱线检测,以确保在线检测工具的正常功能。
一般情况下,这种方法在初始安装和配置操作系统时最为可靠。
(3)教育用户预防和识别病毒等恶意软件的技术
用户应该接受诸如病毒等恶意软件传播及防止它们进一步传播的教育。
这包括教育用户在装载和使用公共软件之前,要使用安全扫描工具对其进行检测。
另外,许多病毒等恶意软件有一定的特点,用户应该得到一定的识别知识,并且能够使用适当的软件清除。
最好能够及时进行新类型的安全威胁以及入侵方面的教育。
(4)及时更新清除恶意软件的工具
许多反恶意软件的工具,如反病毒软件,使用已知恶意软件特征的数据库,而新类型的恶意软件不断地出现,因此,检测软件应该不断地更新以确保有最新的检测版本。
否则,结果是只能自认为安全的自欺欺人。
2.3.利用脆弱性(ExploitingVulnerabilites)
2.3.1.访问权限(AceessPermissions)
黑客利用系统文件的读/写等访问控制权限配置不当造成的弱点,获取系统的访问权。
2.3.2.蛮力攻击(BruteForce)
黑客通过多次尝试主机上默认或安全性极弱的登录/口令,试登录到某个帐号。
还有一种形式是采用口令破解程序,对用户加密后的口令文件进行破解,如使用Cracker、LophtCracker、NTCrack等破解软件。
2.3.3.缓冲区溢出(BufferOverflow)
一种形式的缓冲区溢出攻击是黑客本人编写并存放在缓冲区后任意的代码,然后执行这些代码。
这对黑客的技术水平要求很高,一般的黑客少有此举。
另一种形式的缓冲区溢出攻击是程序代码编写时欠考虑。
典型的一种形式是对用户输入的边界检查问题。
例如,C语言中,函数地eto不对用户输入的数量进行检查,如果程序员不考虑这个情况就会出问题。
统计表明,在操作系统和应用软件中,因为编写的原因,其中约有30%的代码存在着缓冲区溢出的漏洞。
这就是为什么现在针对缓冲区溢出的攻击事件不断地发生的主要原因。
有理由相信,随着某些操作系统和应用软件源代码的公布,还会有更多的类似攻击事件的发生。
2.3.4.信息流泄露(RaceCondition)
黑客利用在某个程序执行时所产生的某些暂时的不安全条件,例如在执行SUID时执行用户具有同被执行程序的属主同等权限,这样执行用户就可以获得对某些敏感数据的访问权。
2.3.5.利用脆弱性小结
计算机和计算机网络构成了一个复杂的大系统,这个大系统内部又有各种型号和计算机、各种版本的服务和各种类型的协议构成,不可能保证计算机系统的硬件、软件(操作系统和应用软件)、网络协议、系统配置等各方面都完美无缺,黑客就能够发现并利用这些缺陷来进行攻击。
解决这方面的问题,一是教育,教育用户树立安全意识,如注意口令的设置、正确配置设备和服务等;
二是不断地升级系统软件和应用软件的版本,及时安装“补丁”软件。
2.4.操纵IP包(IPPacketmanipulation)
2.4.1.端口欺骗(Portspoofing)
利用常用服务的端口,如20/53/80/1024等,避开包过滤防火墙的过滤规则。
2.4.2.划整为零(Tinyfargments)
黑客将正常长度的数据包分解为若干小字节的数据包,从而避开防火墙过滤规则,如对nga币。
川siez等的检测规则等。
2.4.3.“盲”IP欺骗(BlindIPspoofing)
改变源IP地址进行欺骗。
这种IP欺骗称为“盲”IP欺骗,是因为黑客修改其发送数据包的源地址后,不能与目标主机进行连接并收到来自目标主机的响应。
但是,这种“盲”IP欺骗往往是黑客能够事先预计到目标主机可能会做出的响应而构成其他攻击的组成部分。
例如,前面所将到的Smurf攻击,黑客事先预计到网络
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全 防御 体系 构建 研究 毕业设计 论文