前言：本站為你精心整理了計算機網絡安全分析論文范文，希望能為你的創作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

摘要：隨著計算機技術和網絡技術的發展，網絡安全問題，在今天已經成為網絡世界里最為人關注的問題之一危害網絡安全的因素很多，它們主要依附于各種惡意軟件，其中病毒和木馬最為一般網民所熟悉。針對這些危害因素，網絡安全技術得以快速發展，這也大大提高了網絡的安全性。文章分析了幾種常見的網絡入侵方法以及在此基礎上探討了網絡安全的幾點策略。

關鍵詞：網絡安全計算機網絡入侵檢測

一、計算機網絡安全的含義

計算機網絡安全的具體含義會隨著使用者的變化而變化，使用者不同，對網絡安全的認識和要求也就不同。例如從普通使用者的角度來說，可能僅僅希望個人隱私或機密信息在網絡上傳輸時受到保護，避免被竊聽、篡改和偽造；而網絡提供商除了關心這些網絡信息安全外，還要考慮如何應付突發的自然災害、軍事打擊等對網絡硬件的破壞，以及在網絡出現異常時如何恢復網絡通信，保持網絡通信的連續性。

從本質上來講，網絡安全包括組成網絡系統的硬件、軟件及其在網絡上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網絡安全既有技術方面的問題，也有管理方面的問題，兩方面相互補充，缺一不可。

二、常見的幾種網絡入侵方法

由于計算機網絡的設計初衷是資源共享、分散控制、分組交換，這決定了互聯網具有大跨度、分布式、無邊界的特征。這種開放性使黑客可以輕而易舉地進入各級網絡，并將破壞行為迅速地在網絡中傳播。同時，計算機網絡還有著自然社會中所不具有的隱蔽性：無法有效識別網絡用戶的真實身份；由于互聯網上信息以二進制數碼，即數字化的形式存在，所以操作者能比較容易地在數據傳播過程中改變信息內容。計算機網絡的傳輸協議及操作系統也存在設計上的缺陷和漏洞，從而導致各種被攻擊的潛在危險層出不窮，這使網絡安全問題與傳統的各種安全問題相比面臨著更加嚴峻的挑戰，黑客們也正是利用這樣的特征研發出了各種各樣的攻擊和入侵方法：

1.通過偽裝發動攻擊

2.利用開放端口漏洞發動攻擊

3.通過木馬程序進行入侵或發動攻擊

4.嗅探器和掃描攻擊

為了應對不斷更新的網絡攻擊手段，網絡安全技術也經歷了從被動防護到主動檢測的發展過程。主要的網絡安全技術包括：防火墻、VPN、防毒墻、入侵檢測、入侵防御、漏洞掃描。其中防病毒、防火墻和VPN屬早期的被動防護技術，入侵檢測、入侵防御和漏洞掃描屬主動檢測技術，這些技術領域的研究成果已經成為眾多信息安全產品的基礎。

三、網絡的安全策略分析

早期的網絡防護技術的出發點是首先劃分出明確的網絡邊界，然后通過在網絡邊界處對流經的信息利用各種控制方法進行檢查，只有符合規定的信息才可以通過網絡邊界，從而達到阻止對網絡攻擊、入侵的目的。主要的網絡防護技術包括：

1.防火墻

防火墻是一種隔離控制技術，通過預定義的安全策略，對內外網通信強制實施訪問控制，常用的防火墻技術有包過濾技術、狀態檢測技術、應用網關技術。包過濾技術是在網絡層中對數據包實施有選擇的通過，依據系統事先設定好的過濾邏輯，檢查數據據流中的每個數據包，根據數據包的源地址、目標地址、以及包所使用的端口確定是否允許該類數據包通過；狀態檢測技術采用的是一種基于連接的狀態檢測機制，將屬于同一連接的所有包作為一個整體的數據流看待，構成連接狀態表，通過規則表與狀態表的共同配合，對表中的各個連接狀態因素加以識別，與傳統包過濾防火墻的靜態過濾規則表相比，它具有更好的靈活性和安全性；應用網關技術在應用層實現，它使用一個運行特殊的“通信數據安全檢查”軟件的工作站來連接被保護網絡和其他網絡，其目的在于隱蔽被保護網絡的具體細節，保護其中的主機及其數據。

2.VPN

VPN（VirtualPrivateNetwork）即虛擬專用網絡，它是將物理分布在不同地點的網絡通過公用骨干網連接而成的邏輯上的虛擬子網。它可以幫助異地用戶、公司分支機構、商業伙伴及供應商與內部網建立可信的安全連接，并保證數據的安全傳輸。為了保障信息的安全，VPN技術采用了鑒別、訪問控制、保密性和完整性等措施，以防止信息被泄露、篡改和復制。VPN技術可以在不同的傳輸協議層實現，如在應用層有SSL協議，它廣泛應用于Web瀏覽程序和Web服務器程序，提供對等的身份認證和應用數據的加密；在會話層有Socks協議，在該協議中，客戶程序通過Socks客戶端的1080端口透過防火墻發起連接，建立到Socks服務器的VPN隧道；在網絡層有IPSec協議，它是一種由IETF設計的端到端的確保IP層通信安全的機制，對IP包進行的IPSec處理有AH（AuthenticationHeader）和ESP（EncapsulatingSecurityPayload）兩種方式。

3.防毒墻

防毒墻是指位于網絡入口處，用于對網絡傳輸中的病毒進行過濾的網絡安全設備。防火墻能夠對網絡數據流連接的合法性進行分析，但它對從允許連接的電腦上發送過來的病毒數據流卻是無能為力的，因為它無法識別合法數據包中是否存在病毒這一情況；防毒墻則是為了解決防火墻這種防毒缺陷而產生的一種安全設備。防毒墻使用簽名技術在網關處進行查毒工作，阻止網絡蠕蟲(Worm)和僵尸網絡(BOT)的擴散。此外，管理人員能夠定義分組的安全策略，以過濾網絡流量并阻止特定文件傳輸、文件類型擴展名、即時通信信道、批量或單獨的IP/MAC地址，以及TCP/UDP端口和協議。

四、網絡檢測技術分析

人們意識到僅僅依靠防護技術是無法擋住所有攻擊，于是以檢測為主要標志的安全技術應運而生。這類技術的基本思想是通過監視受保護系統的狀態和活動來識別針對計算機系統和網絡系統，或者更廣泛意義上的信息系統的非法攻擊。包括檢測外界非法入侵者的惡意攻擊或試探，以及內部合法用戶的超越使用權限的非法活動。主要的網絡安全檢測技術有：

1.入侵檢測

入侵檢測系統（IntrusionDetectionSystem,IDS）是用于檢測任何損害或企圖損害系統的保密性、完整性或可用性行為的一種網絡安全技術。它通過監視受保護系統的狀態和活動來識別針對計算機系統和網絡系統，包括檢測外界非法入侵者的惡意攻擊或試探，以及內部合法用戶的超越使用權限的非法活動。作為防火墻的有效補充，入侵檢測技術能夠幫助系統對付已知和未知網絡攻擊，擴展了系統管理員的安全管理能力（包括安全審計、監視、攻擊識別和響應），提高了信息安全基礎結構的完整性。

2.入侵防御

入侵防御系統（IntrusionPreventionSystem,IPS）則是一種主動的、積極的入侵防范、阻止系統。IPS是基于IDS的、建立在IDS發展的基礎上的新生網絡安全技術，IPS的檢測功能類似于IDS，防御功能類似于防火墻。IDS是一種并聯在網絡上的設備，它只能被動地檢測網絡遭到了何種攻擊，它的阻斷攻擊能力非常有限；而IPS部署在網絡的進出口處，當它檢測到攻擊企圖后，會自動地將攻擊包丟掉或采取措施將攻擊源阻斷。可以認為IPS就是防火墻加上入侵檢測系統，但并不是說IPS可以代替防火墻或入侵檢測系統。防火墻是粒度比較粗的訪問控制產品，它在基于TCP/IP協議的過濾方面表現出色，同時具備網絡地址轉換、服務、流量統計、VPN等功能。

3.漏洞掃描

漏洞掃描技術是一項重要的主動防范安全技術，它主要通過以下兩種方法來檢查目標主機是否存在漏洞：在端口掃描后得知目標主機開啟的端口以及端口上的網絡服務，將這些相關信息與網絡漏洞掃描系統提供的漏洞庫進行匹配，查看是否有滿足匹配條件的漏洞存在；通過模擬黑客的攻擊手法，對目標主機系統進行攻擊性的安全漏洞掃描，如測試弱勢口令等，若模擬攻擊成功，則表明目標主機系統存在安全漏洞。發現系統漏洞的一種重要技術是蜜罐(Honeypot)系統，它是故意讓人攻擊的目標，引誘黑客前來攻擊。通過對蜜罐系統記錄的攻擊行為進行分析，來發現攻擊者的攻擊方法及系統存在的漏洞。

五、結束語

網絡安全是一個復雜的問題，涉及法律、管理和技術等綜合方面。只有協調好三者之間的關系，構建完善的安全體系，才能有效地保護網絡安全。超級秘書網：

參考文獻：

［1］ChrustopgerM.KingCurtisE.DaktonT.ErtemOsmanoglu:安全體系結構的設計、部署與操作.清華大學出版社,2003,4(1).

［2］葛秀慧:計算機網絡安全管理(第2版).清華大學出版社,2008,5.

［3］胡錚等:網絡與信息安全.清華大學出版社,2006,5.

［4］胡道元、閔京華:網絡安全.科技信息,2005,10.

［5］王群:計算機網絡安全技術.清華大學出版社,2008,7