網(wǎng)絡(luò)安全防御技術(shù)淺析

宋宜昌

國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心廣東分中心 廣東 510665

0 前言

社會信息化建設(shè)和計算機網(wǎng)絡(luò)技術(shù)的發(fā)展給人們帶來了便利的辦公自動化和豐富的資源交流，但是黑客入侵、病毒破壞、木馬程序等安全危害也日益增多，網(wǎng)絡(luò)安全問題日趨嚴(yán)重。隨著網(wǎng)絡(luò)應(yīng)用的逐漸深入和普及，網(wǎng)絡(luò)安全越來越重要，網(wǎng)絡(luò)安全已經(jīng)稱為國家與國防安全的重要組成部分，國家和企業(yè)都對建立一個安全的網(wǎng)絡(luò)有了更高的要求，對入侵攻擊的檢測與防范、保障計算機系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)及整個信息基礎(chǔ)設(shè)施的安全已稱為刻不容緩的重要課題。通過開展網(wǎng)絡(luò)安全防御技術(shù)研究，可以發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中存在的主要安全問題，并找到解決這些問題的方法，有針對性地進行安全管理。

1 網(wǎng)絡(luò)安全防御技術(shù)研究的必要性

隨著計算機網(wǎng)絡(luò)信息系統(tǒng)在我國各行業(yè)、各單位的建立和發(fā)展，網(wǎng)絡(luò)信息資源得到了共享和充分的利用，但網(wǎng)絡(luò)安全方面的問題也日趨嚴(yán)重。并且隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)攻擊也呈現(xiàn)出一些新趨勢。

1.1 攻擊自動化

隨著大量黑客工具的不斷涌現(xiàn)，網(wǎng)絡(luò)攻擊的發(fā)起者不再是起初的具有豐富知識的計算機高手，任何具有基本計算機知識的人均可以利用黑客工具進行網(wǎng)絡(luò)攻擊，網(wǎng)絡(luò)攻擊的技術(shù)門檻大大降低，給網(wǎng)絡(luò)信息系統(tǒng)的安全建設(shè)帶來了嚴(yán)重的威脅。

1.2 攻擊速度越來越高

隨著分布式攻擊工具的出現(xiàn)，攻擊者可以管理和協(xié)調(diào)分布在許多Internet系統(tǒng)上的大量已部署的攻擊工具。目前，分布式攻擊工具能夠更有效、更快速地發(fā)動拒絕服務(wù)攻擊，掃描潛在的受害者，危害存在安全隱患的系統(tǒng)。

1.3 攻擊手段多樣化

網(wǎng)絡(luò)技術(shù)的發(fā)展和網(wǎng)絡(luò)新應(yīng)用的不斷開發(fā)，同時也帶來了網(wǎng)絡(luò)攻擊手段的不斷變化和翻新，利用漏洞進行的網(wǎng)絡(luò)攻擊更是層出不窮，隨著發(fā)現(xiàn)安全漏洞的速度越來越快，網(wǎng)絡(luò)攻擊的手段變化也是日新月異。

2 網(wǎng)絡(luò)安全防御技術(shù)

面對嚴(yán)峻的網(wǎng)絡(luò)安全形勢，針對不斷出現(xiàn)的網(wǎng)絡(luò)攻擊手段，研究相應(yīng)的網(wǎng)絡(luò)安全防御技術(shù)顯得越來越重要。根據(jù)近幾年網(wǎng)絡(luò)安全領(lǐng)域的發(fā)展情況，網(wǎng)絡(luò)安全防御技術(shù)大致可以分為兩類：傳統(tǒng)防御和主動防御。

2.1 傳統(tǒng)防御技術(shù)

傳統(tǒng)防御技術(shù)主要包括防火墻、認(rèn)證技術(shù)、訪問控制、病毒防范、入侵檢測、漏洞掃描、信息加密技術(shù)和災(zāi)備恢復(fù)等。

2.1.1 防火墻技術(shù)

防火墻是一種形象的說法，其實它是一種由計算機硬件和軟件組成的一個或一組系統(tǒng)，用于增強內(nèi)部可信網(wǎng)絡(luò)和外部不可信網(wǎng)絡(luò)之間的訪問控制，從狹義上講，防火墻是安裝了防火墻軟件的主機或路由器系統(tǒng)；從廣義上來看，防火墻還應(yīng)該包括整個網(wǎng)絡(luò)的安全策略和安全行為。

防火墻是設(shè)置在被保護網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，是內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立起一個安全網(wǎng)關(guān)，用來防止發(fā)生不可預(yù)測的、具有潛在的惡意入侵。它的主要功能包括過濾不安全的服務(wù)和非法用戶、管理網(wǎng)絡(luò)訪問行為、限制暴露用戶、阻止非法的網(wǎng)絡(luò)訪問、對網(wǎng)絡(luò)攻擊進行探測和報警。防火墻技術(shù)是目前最為流行也是使用最為廣泛的一種網(wǎng)絡(luò)安全技術(shù)，是實現(xiàn)計算機網(wǎng)絡(luò)安全的重要手段之一。

防火墻系統(tǒng)的實現(xiàn)技術(shù)主要分為分組過濾和代理服務(wù)兩種。分組過濾技術(shù)一種基于路由器的技術(shù)，由分組過濾路由器對IP分組進行選擇，允許或拒絕特定的分組通過，過濾一般是基于一個IP分組的源地址、目的地址、源端口、目的端口和相關(guān)協(xié)議進行的。代理服務(wù)技術(shù)是由一個高層的應(yīng)用網(wǎng)關(guān)作為代理服務(wù)器，接受外來的應(yīng)用連接請求，進行安全判定后，再與被保護的網(wǎng)絡(luò)應(yīng)用服務(wù)器連接，使得外部服務(wù)用戶可以在受控制的前提下使用內(nèi)部網(wǎng)絡(luò)的服務(wù)。

2.1.2 認(rèn)證技術(shù)

認(rèn)證是防止惡意攻擊的重要技術(shù)，它對開放環(huán)境中的各種消息系統(tǒng)的安全有重要作用，認(rèn)證的主要目的有兩個：①驗證信息的發(fā)送者是合法的；②驗證信息的完整性，保證信息在傳送過程中未被篡改、重放或延遲等。目前有關(guān)認(rèn)證的主要技術(shù)有：消息認(rèn)證，身份認(rèn)證和數(shù)字簽名。消息認(rèn)證和身份認(rèn)證解決了通信雙方利害一致條件下防止第三者偽裝和破壞的問題。數(shù)字簽名能夠防止他人冒名進行信息發(fā)送和接收，以及防止本人事后否認(rèn)已進行過的發(fā)送和接收活動。

2.1.3 訪問控制

訪問控制是網(wǎng)絡(luò)安全防范和保護的主要策略，主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非常訪問，也是維護網(wǎng)絡(luò)系統(tǒng)安全、保護網(wǎng)絡(luò)資源的重要手段，是保證網(wǎng)絡(luò)安全最重要的核心策略之一。訪問控制技術(shù)主要包括入網(wǎng)訪問控制、網(wǎng)絡(luò)的權(quán)限控制、目錄級安全控制、屬性安全控制、網(wǎng)絡(luò)服務(wù)器安全控制、網(wǎng)絡(luò)監(jiān)測和鎖定控制、網(wǎng)絡(luò)端口和節(jié)點的安全控制等。根據(jù)網(wǎng)絡(luò)安全的等級，網(wǎng)絡(luò)空間的環(huán)境不同，可靈活地設(shè)置訪問控制的種類和數(shù)量。

2.1.4 信息加密技術(shù)

信息加密的目的是保護網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護網(wǎng)上傳輸?shù)臄?shù)據(jù)。加密常用的方法有鏈路加密、端點加密和節(jié)點加密三種，鏈路加密的目的是保護網(wǎng)絡(luò)節(jié)點之間的鏈路信息安全；端到端加密的目的是對源端用戶到目的端用戶的數(shù)據(jù)提供保護；節(jié)點加密的目的是對源節(jié)點到目的節(jié)點之間的傳輸鏈路提供保護。

信息加密過程是由形形色色的加密算法來具體實施的，以較小的代價提供較高的安全保護。在多數(shù)情況下，信息加密是保證信息機密性的惟一方法。如果按照收發(fā)雙方密鑰是否相同來分類，可以將這些加密算法分為常規(guī)密碼算法和公鑰密碼算法。在常規(guī)密碼中，接收方和發(fā)送方使用相同的密鑰，即加密密鑰和解密密鑰是相同或等價的。在公鑰密碼中，接收方和發(fā)送方使用的密鑰互不相同，而且?guī)缀醪豢赡軓募用苊荑€推導(dǎo)出解密密鑰。當(dāng)然在實際應(yīng)用中人們通常將常規(guī)密碼和公鑰密碼結(jié)合在一起使用，比如：利用DES或者IDEA來加密信息，而采用RSA來傳遞會話密鑰。

密碼技術(shù)是網(wǎng)絡(luò)安全最有效的技術(shù)之一。一個加密網(wǎng)絡(luò)，不但可以防止非授權(quán)用戶的搭線竊聽和入網(wǎng)，而且也是對付惡意軟件的有效方法之一。

2.1.5 入侵檢測技術(shù)

入侵檢測，顧名思義，是對入侵行為的發(fā)覺。它通過對計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。

從技術(shù)上劃分，入侵監(jiān)測有兩種檢測模型：①異常檢測模型，檢測與可接受行為之間的偏差，如果可以定義每項可接受的行為，那么每項不可接受的行為就是入侵。這種檢測模型漏報率低，但誤報率較高。②特征檢測模型；檢測與已知的不可接受行為之間的匹配程度，如果可以定義所有的不可接受的行為，那么每種能夠與之匹配的行為都會引起告警。它將所有已知的攻擊特征和系統(tǒng)漏洞等以形式化的方法組成一個攻擊特征庫，然后將捕獲到的數(shù)據(jù)包用模式匹配的方法與特征庫中的特征逐條比較，以此判斷是否為攻擊或惡意入侵，這種模型誤報率低，但漏報率較高。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，這種檢測方法的缺點和不足逐漸顯現(xiàn)出來：需要匹配的數(shù)據(jù)量太大、只能檢測到已知的攻擊、容易受到欺騙等。

2.1.6 漏洞掃描

漏洞掃描就是對重要計算機信息系統(tǒng)進行檢查，發(fā)現(xiàn)其中可被黑客利用的漏洞。漏洞掃描的結(jié)果實際上就是系統(tǒng)安全性能的一個評估，它指出了哪些攻擊是可能的，是網(wǎng)絡(luò)安全方案的一個重要組成部分。

從底層技術(shù)來劃分，可以分為基于網(wǎng)絡(luò)的掃描和基于主機的掃描這兩種類型?；诰W(wǎng)絡(luò)的漏洞掃描工具可以看作為一種漏洞信息收集工具，根據(jù)不同漏洞的特性，構(gòu)造網(wǎng)絡(luò)數(shù)據(jù)包，發(fā)給網(wǎng)絡(luò)中的一個或多個目標(biāo)服務(wù)器，以判斷某個特定的漏洞是否存在?；诰W(wǎng)絡(luò)的漏洞掃描器包含網(wǎng)絡(luò)映射(Network Mapping)和端口掃描功能。基于主機的漏洞掃描器，掃描目標(biāo)系統(tǒng)的漏洞的原理，與基于網(wǎng)絡(luò)的漏洞掃描器的原理類似，但是，兩者的體系結(jié)構(gòu)不一樣。基于主機的漏洞掃描器通常在目標(biāo)系統(tǒng)上安裝一個代理(Agent)或者是服務(wù)(Services)，以便能夠訪問所有的文件與進程，這也使基于主機的漏洞掃描器能夠掃描更多的漏洞?，F(xiàn)在流行的基于主機的漏洞掃描器在每個目標(biāo)系統(tǒng)上都有個代理，以便向中央服務(wù)器反饋信息，中央服務(wù)器通過遠程控制臺進行管理。

2.2 主動防御技術(shù)

傳統(tǒng)防御技術(shù)為網(wǎng)絡(luò)信息系統(tǒng)的安全運行起到了有力的保護作用，但自身固有的缺陷也制約了其在網(wǎng)絡(luò)安全建設(shè)中不能發(fā)揮更大的作用。其缺陷主要為：防御能力是被動且是靜態(tài)的，其防御能力依賴于在接入系統(tǒng)之前的系統(tǒng)配置，只能防御系統(tǒng)配置中涉及的網(wǎng)絡(luò)安全攻擊，網(wǎng)絡(luò)安全防護應(yīng)該是一個動態(tài)變化的過程，新的安全漏洞不斷出現(xiàn)，黑客的攻擊手法不斷翻新，傳統(tǒng)防御技術(shù)難以檢測、識別和處理新產(chǎn)生的網(wǎng)絡(luò)攻擊手段，且只能被動的接受來自網(wǎng)絡(luò)的每一次入侵攻擊，不能從根本上解決網(wǎng)絡(luò)安全問題。

主動防御技術(shù)是近幾年網(wǎng)絡(luò)安全領(lǐng)域新興的一個熱點，受到了業(yè)內(nèi)的廣泛關(guān)注，主動防御技術(shù)是指能夠及時發(fā)現(xiàn)正在進行的網(wǎng)絡(luò)攻擊，預(yù)測和識別潛在的攻擊，并能采取相應(yīng)措施使攻擊者不能達到其目的的各種方法和技術(shù)手段。主動防御技術(shù)采用了完全不同于傳統(tǒng)防御技術(shù)的思想和技術(shù)，克服了傳統(tǒng)防御技術(shù)的不足。主動防御使網(wǎng)絡(luò)安全防護進入一個更高的階段，是未來網(wǎng)絡(luò)安全防護技術(shù)的發(fā)展方向。主動防御技術(shù)是在保證和增強基本網(wǎng)絡(luò)安全的基礎(chǔ)之上實施的，是以傳統(tǒng)網(wǎng)絡(luò)安全防御為前提的，主要包括入侵防護技術(shù)、蜜罐和蜜網(wǎng)技術(shù)、取證技術(shù)等。

2.2.1 入侵防護技術(shù)(IPS)

防火墻是實施訪問控制策略的系統(tǒng)，對流經(jīng)的網(wǎng)絡(luò)流量進行檢查，攔截不符合安全策略的數(shù)據(jù)包。入侵檢測技術(shù)通過監(jiān)視網(wǎng)絡(luò)或系統(tǒng)資源，尋找違反安全策略的行為或攻擊跡象，并發(fā)出報警。傳統(tǒng)的防火墻旨在拒絕那些明顯可疑的網(wǎng)絡(luò)流量，但仍然允許某些流量通過，因此防火墻對于很多入侵攻擊仍然無計可施。絕大多數(shù)入侵檢測系統(tǒng)都是被動的，而不是主動的。也就是說，在攻擊實際發(fā)生之前，它們往往無法預(yù)先發(fā)出警報。而入侵防護系統(tǒng)(IPS) 則傾向于提供主動防護，其設(shè)計宗旨是預(yù)先對入侵活動和攻擊性網(wǎng)絡(luò)流量進行攔截，避免其造成損失，而不是簡單地在惡意流量傳送時或傳送后才發(fā)出警報。IPS 是通過直接嵌入到網(wǎng)絡(luò)流量中實現(xiàn)這一功能的，即通過一個網(wǎng)絡(luò)端口接收來自外部系統(tǒng)的流量，經(jīng)過檢查確認(rèn)其中不包含異?；顒踊蚩梢蓛?nèi)容后，再通過另外一個端口將它傳送到內(nèi)部系統(tǒng)中。這樣一來，有問題的數(shù)據(jù)包，以及所有來自同一數(shù)據(jù)流的后續(xù)數(shù)據(jù)包，都能在 IPS 設(shè)備中被清除掉。

IPS實現(xiàn)實時檢查和阻止入侵的原理在于IPS擁有數(shù)目眾多的過濾器，能夠防止各種攻擊。當(dāng)新的攻擊手段被發(fā)現(xiàn)之后，IPS就會創(chuàng)建一個新的過濾器。IPS數(shù)據(jù)包處理引擎是專業(yè)化定制的集成電路，可以深層檢查數(shù)據(jù)包的內(nèi)容。如果有攻擊者利用Layer 2 (介質(zhì)訪問控制)至Layer 7(應(yīng)用)的漏洞發(fā)起攻擊，IPS能夠從數(shù)據(jù)流中檢查出這些攻擊并加以阻止。傳統(tǒng)的防火墻只能對Layer 3或Layer 4進行檢查，不能檢測應(yīng)用層的內(nèi)容。防火墻的包過濾技術(shù)不會針對每一字節(jié)進行檢查，因而也就無法發(fā)現(xiàn)攻擊活動，而IPS可以做到逐一字節(jié)地檢查數(shù)據(jù)包。所有流經(jīng)IPS的數(shù)據(jù)包都被分類，分類的依據(jù)是數(shù)據(jù)包中的報頭信息，如源IP地址和目的IP地址、端口號和應(yīng)用域。每種過濾器負責(zé)分析相對應(yīng)的數(shù)據(jù)包。通過檢查的數(shù)據(jù)包可以繼續(xù)前進，包含惡意內(nèi)容的數(shù)據(jù)包就會被丟棄，被懷疑的數(shù)據(jù)包需要接受進一步的檢查。

2.2.2 蜜罐和蜜網(wǎng)技術(shù)

蜜罐作為一種新興的網(wǎng)絡(luò)安全技術(shù)，以其獨特的思想受到了網(wǎng)絡(luò)專家的廣泛關(guān)注。蜜罐技術(shù)的奠基者Lance spitzner給出了蜜罐的權(quán)威定義：蜜罐是一種安全資源，其價值在于被掃描、攻擊和攻陷，然后對這些攻擊活動進行監(jiān)視、檢測和分析。蜜罐的主要目標(biāo)是容忍攻擊者入侵，記錄并學(xué)習(xí)攻擊者的攻擊工具、手段、目的等行為信息，尤其是未知攻擊行為信息，從而調(diào)整網(wǎng)絡(luò)安全策略，提高系統(tǒng)安全性能。同時，蜜罐還有轉(zhuǎn)移攻擊者注意力，消耗其攻擊資源、意志，間接保護真實目標(biāo)系統(tǒng)的作用。蜜罐技術(shù)提供了一種動態(tài)識別未知攻擊的方法，將捕獲的未知攻擊信息反饋給防護系統(tǒng)，實現(xiàn)防護能力的動態(tài)提升。

蜜網(wǎng)是在蜜罐技術(shù)上逐步發(fā)展起來的一個新的概念，又稱為誘捕網(wǎng)絡(luò)，在誘捕網(wǎng)絡(luò)架構(gòu)中，包含一個或多個蜜罐，同時又保證了網(wǎng)絡(luò)的高度可控性，以及提供多種數(shù)據(jù)捕獲和數(shù)據(jù)分析工具，以方便對攻擊信息的采集和分析。

為了在大規(guī)模的分布式網(wǎng)絡(luò)中方便地部署和維護蜜罐，對各個子網(wǎng)的安全威脅進行統(tǒng)一收集，Lance spitzner又提出了蜜場的概念，對蜜罐進行集中管理，使得蜜罐的維護、更新、規(guī)范化管理和數(shù)據(jù)分析都變得更加簡單。

蜜罐系統(tǒng)主要涉及到以下幾種相關(guān)技術(shù)：網(wǎng)絡(luò)欺騙、數(shù)據(jù)捕獲、數(shù)據(jù)控制(端口重定向)、攻擊分析、特征提取和自動報警等。它的優(yōu)點是：①誤報率低；②能夠進行對未知攻擊的檢測；③成本低，蜜罐技術(shù)不需要大量資金的投入，可以使用一些低成本的設(shè)備進行搭建。蜜罐系統(tǒng)的不足是它可以被識別，一旦被攻擊者辨別出其蜜罐的身份，它也就失去了價值。

蜜罐技術(shù)是一種新興的技術(shù)，還處于發(fā)展階段，由于它有著其他技術(shù)無可比擬的優(yōu)點，目前已稱為一個完整防護體系中不可或缺的一部分，相信隨著蜜罐技術(shù)的不斷完善，它必將會得到更廣泛的應(yīng)用，發(fā)揮更大的作用。

2.2.3 計算機取證技術(shù)

計算機取證(Computer Forensics)也稱計算機法醫(yī)學(xué)，它把計算機看作是犯罪現(xiàn)場，運用先進的辨析技術(shù)，對電腦犯罪行為進行法醫(yī)式的解剖，搜尋確認(rèn)罪犯及其犯罪證據(jù)，并據(jù)此提起訴訟。網(wǎng)絡(luò)犯罪手段與網(wǎng)絡(luò)安全防御技術(shù)的關(guān)系正如現(xiàn)實社會中的罪犯和警察的關(guān)系一樣，是魔和道的較量。如果單靠網(wǎng)絡(luò)安全技術(shù)應(yīng)付網(wǎng)絡(luò)犯罪效果是非常有限的，還需要借助社會和法律的強大威力對付網(wǎng)絡(luò)犯罪。法律手段中重要的一條就是證據(jù)，計算機取證正是在這種形勢下產(chǎn)生和發(fā)展的，計算機取證技術(shù)的出現(xiàn)標(biāo)志著網(wǎng)絡(luò)安全防御理論走向成熟。

取證技術(shù)，它包括靜態(tài)取證技術(shù)和動態(tài)取證技術(shù)。靜態(tài)取證技術(shù)是在已經(jīng)遭受入侵的情況下，運用各種技術(shù)手段進行分析取證工作。現(xiàn)在普遍采用的正是這種靜態(tài)取證方法，在入侵后對數(shù)據(jù)進行確認(rèn)、提取、分析，抽取出有效證據(jù)，主要涉及到數(shù)據(jù)保護技術(shù)、磁盤鏡像拷貝技術(shù)、隱藏數(shù)據(jù)識別和提取技術(shù)、數(shù)據(jù)恢復(fù)技術(shù)、數(shù)據(jù)分析技術(shù)、加解密技術(shù)和數(shù)據(jù)挖掘技術(shù)。動態(tài)取證技術(shù)是計算機取證的發(fā)展趨勢，它是在受保護的計算機上事先安裝上代理，當(dāng)攻擊者入侵時，對系統(tǒng)的操作及文件的修改、刪除、復(fù)制、傳送等行為，系統(tǒng)和代理會產(chǎn)生相應(yīng)的日志文件加以記錄。利用文件系統(tǒng)的特征，結(jié)合相關(guān)工具，盡可能真實的恢復(fù)這些文件信息，這些日志文件傳到取證機上加以備份保存用以作為入侵證據(jù)。在動態(tài)取證中最具特色的取證技術(shù)有入侵檢測取證技術(shù)、網(wǎng)絡(luò)追蹤技術(shù)、信息搜索與過濾技術(shù)、陷阱網(wǎng)絡(luò)取證技術(shù)、動態(tài)獲取內(nèi)存信息技術(shù)、IP地址獲取技術(shù)、人工智能和數(shù)據(jù)挖掘技術(shù)。

3 網(wǎng)絡(luò)安全防御技術(shù)面臨的主要問題及發(fā)展趨勢

隨著計算機網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)防御技術(shù)在近幾年也成為了研究的熱點，得到了快速的發(fā)展。 但同時也存在一些問題需要解決。一是防火墻技術(shù)還有待提高，近年來關(guān)于防火墻被攻擊成功的事件越來越多，給網(wǎng)絡(luò)安全保障工作帶來了極大威脅；二是入侵檢測技術(shù)的檢測效率不搞，具有較高的誤報率和漏報率；三是日益增長的網(wǎng)絡(luò)流量導(dǎo)致檢測分析難度加大 ；四是網(wǎng)絡(luò)防御系統(tǒng)自身的安全性也面臨考驗；五是缺乏統(tǒng)一的網(wǎng)絡(luò)防御術(shù)語和概念框架，缺乏客觀的測試與評估信息。

雖然防御技術(shù)目前還存在一些尚未解決的難點問題，但這并不能阻止網(wǎng)絡(luò)安全防御技術(shù)的發(fā)展。近年來，隨著神經(jīng)網(wǎng)絡(luò)技術(shù)、遺傳算法和生物免疫技術(shù)等新的概念不斷引入到入侵檢測技術(shù)中來，檢測技術(shù)將會得到很大的發(fā)展，目前已經(jīng)出現(xiàn)了基于協(xié)議分析、基于生物免疫、基于神經(jīng)網(wǎng)絡(luò)、基于支持向量機和基于數(shù)據(jù)挖掘等多種入侵檢測技術(shù)研究熱點，隨著對網(wǎng)絡(luò)防御技術(shù)的深入研究，防御技術(shù)必將在網(wǎng)絡(luò)安全防護中得到更加廣泛的應(yīng)用，成為應(yīng)對網(wǎng)絡(luò)威脅、保障網(wǎng)絡(luò)安全的有力武器。

[1] 應(yīng)向榮.網(wǎng)絡(luò)攻擊新趨勢下主動防御系統(tǒng)的重要性.[J].計算機安全.2003.

[2] 黃家林,張征帆.主動防御系統(tǒng)及應(yīng)用研究.[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.2007.

[3] 高曉飛,申普兵.網(wǎng)絡(luò)安全主動防御技術(shù).[J].計算機安全.2008.

[4] Anderson J P. Computer Security Threat Monitoring and Surveillance[P]. PA19034,USA.1980.

[5] Dorothy E.Denning. An intrusion-detection model. IEEE Transactions On Software Engineering.1987.

[6] B.Endicott.Active Defense to Cyber Attacks.Information Assurance and Security [J].2006.

[7] 熊華.網(wǎng)絡(luò)安全——取證與蜜罐[M].北京人民郵電出版社.2003.

[8] 于波,涂敏.計算機取證分析.計算機與現(xiàn)代化.2006.