簡述交換機(jī)的基本原理精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的簡述交換機(jī)的基本原理主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：簡述交換機(jī)的基本原理范文

[關(guān)鍵詞] 網(wǎng)絡(luò)安全入侵檢測

網(wǎng)絡(luò)安全指的是信息系統(tǒng)中硬件、軟件和系統(tǒng)中的數(shù)據(jù)受到保護(hù),不因偶然的或者惡意的原因而遭到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運(yùn)行,網(wǎng)絡(luò)服務(wù)不中斷。而入侵檢測作為一種積極主動的安全防護(hù)技術(shù), 提供了對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時保護(hù)在網(wǎng)絡(luò)系統(tǒng)受到危去之前攔截和響應(yīng)入侵。入侵檢測系統(tǒng)能很好地彌補(bǔ)防火墻的不足, 從某種意義上說是防火墻的補(bǔ)充。

一、入侵檢測概述

1.入侵檢測技術(shù)

入侵檢測(Intrusion Detection)書面上的定義為“識別針對對計算機(jī)或網(wǎng)絡(luò)資源的惡意企圖和行為, 并對此做出反應(yīng)的過程”IDS 則是完成如上功能的獨(dú)立系統(tǒng)。IDS 能夠檢測未授權(quán)對象(人或程序)針對系統(tǒng)的入侵企圖或行為, 同時監(jiān)控授權(quán)對象對系統(tǒng)資源的非法操作。具體的功能是:

(1)從系統(tǒng)的不同環(huán)節(jié)收集信急。

(2)分析該信息, 試圖尋找入侵活動的特征。

(3)自動對檢測到的行為做出響應(yīng)。

(4)紀(jì)錄并報告檢測過程結(jié)果。

2.入侵檢測的基本原理

入侵檢測是通過多種途徑對網(wǎng)絡(luò)或計算機(jī)系統(tǒng)信息進(jìn)行收集,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象, 一旦發(fā)現(xiàn)攻擊自動發(fā)出報警并采取相應(yīng)的措施。同時, 記錄受到攻擊的過程, 為網(wǎng)絡(luò)或系統(tǒng)的恢復(fù)和追查攻擊的來源提供基本數(shù)據(jù)。

3.入侵檢測的分類

現(xiàn)有的分類大都基于信息源進(jìn)行分類, 根據(jù)信息源的不同分為基于主機(jī)型、基于網(wǎng)絡(luò)型、基于主機(jī)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的集成三大類。

(1)基于主機(jī)的入侵檢測系統(tǒng)。基于主機(jī)的入侵檢測系統(tǒng)可監(jiān)測系統(tǒng)、事件和Windows NT 下的安全記錄，以及Unix 環(huán)境下的系統(tǒng)記錄。當(dāng)有文件被修改時, IDS將新的記錄條目與己知的攻擊特征相比較, 看它們是否匹配, 如果匹配, 就會向系統(tǒng)管理員報警或者做出適當(dāng)?shù)捻憫?yīng)。

(2)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)以網(wǎng)絡(luò)包作為分析數(shù)據(jù)源。它通常利用一個工作在混雜模式下的網(wǎng)卡來實(shí)時監(jiān)視并分析通過網(wǎng)絡(luò)的數(shù)據(jù)流分析模塊通常使用模式匹配、統(tǒng)計分析等技術(shù)來識別攻擊行為。一旦檢測到了攻擊行為, IDS 的響應(yīng)模塊就做出適當(dāng)?shù)捻憫?yīng). 比如報警、切斷相關(guān)用戶的網(wǎng)絡(luò)連接等。不同入侵檢測系統(tǒng)在實(shí)現(xiàn)時采用的響應(yīng)方式也可能不同, 但通常都包括通知管理員、切斷連接、記錄相關(guān)的信急以提供必要的法律依據(jù)等。

(3)基于主機(jī)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的集成。。許多機(jī)構(gòu)的網(wǎng)絡(luò)安全解決方案都同時采用了基于主機(jī)和基于網(wǎng)絡(luò)的兩種入侵檢測系統(tǒng), 因為這兩種系統(tǒng)在很大程度上是互補(bǔ)的。實(shí)際上, 許多客戶在使用IDS 時都配置了基于網(wǎng)絡(luò)的入侵檢測。在防火墻之外的檢測器檢測來自外部Internet 的攻擊。DNS. Email 和Web 服務(wù)器經(jīng)常是攻擊的目標(biāo), 但是它們又必須與外部網(wǎng)絡(luò)交互,不可能對其進(jìn)行全部屏蔽, 所以應(yīng)當(dāng)在各個服務(wù)器上安裝基于主機(jī)的入侵檢測系統(tǒng), 其檢測結(jié)果也要向分析員控制臺報告。因此, 即便是小規(guī)模的網(wǎng)絡(luò)結(jié)構(gòu)也常常需要基于主機(jī)和基于網(wǎng)絡(luò)的兩種入侵檢測能力。

二、入侵檢測系統(tǒng)常用的檢測方法

入侵檢測系統(tǒng)常用的檢測方法有專家系統(tǒng)、特征檢測與統(tǒng)計檢測。據(jù)公安部計算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心的報告,國內(nèi)送檢的入侵檢測產(chǎn)品中95%是屬于使用入侵模板進(jìn)行模式匹配的特征檢測產(chǎn)品,其他5%是采用概率統(tǒng)計的統(tǒng)計檢測產(chǎn)品與基于日志的專家知識庫系產(chǎn)品。

1.專家系統(tǒng)

用專家系統(tǒng)對入侵進(jìn)行檢測, 經(jīng)常是針對有特征入侵行為。專家系統(tǒng)主要是運(yùn)用規(guī)則進(jìn)行分析, 不同的系統(tǒng)與設(shè)置具有不同的規(guī)則, 且規(guī)則之間往往無通用性。專家系統(tǒng)的建立依賴于知識庫的完備性, 知識庫的完備性又取決于審計記錄的完備性與實(shí)時性。入侵的特征抽取與表達(dá), 是入侵檢測專家系統(tǒng)的關(guān)鍵。在系統(tǒng)實(shí)現(xiàn)中, 將有關(guān)入侵的知識轉(zhuǎn)化為if- then 結(jié)構(gòu)(也可以是復(fù)合結(jié)構(gòu)), 條件部分為入侵特征, then 部分是系統(tǒng)防范措施。運(yùn)用專家系統(tǒng)防范有特征入侵行為的有效性完全取決于專家系統(tǒng)知識庫的完備性。

2.特征檢測

特征檢測需要對己知的攻擊或入侵的方式做出確定性的描述,形成相應(yīng)的事件模式。當(dāng)被審計的事件與己知的入侵事件模式相匹配時即報警其檢測方法同計算機(jī)病毒的檢測方式類似。日前基于對包特征描述的模式匹配應(yīng)用較為廣泛。該方法預(yù)報檢測的準(zhǔn)確率較高, 但對于無經(jīng)驗知識的入侵與攻擊行為無能為力。

3.統(tǒng)計檢測

統(tǒng)計模型常用異常檢測, 在統(tǒng)計模型中常用的測量參數(shù)包括:審計事件的數(shù)量、間隔時間、資源消耗情況等。常用的入侵檢測5種統(tǒng)計模型為:操作模型、方差、多元模型、馬爾柯夫過程模型、時間序列分析。統(tǒng)計方法的最大優(yōu)點(diǎn)是它可以”學(xué)習(xí), 用戶的使用習(xí)慣, 從而具有較高檢出率與可用性。但是它的”學(xué)習(xí)”, 能力也給入侵者以機(jī)會通過逐步”訓(xùn)練”, 使入侵事件符合正常操作的統(tǒng)計規(guī)律. 從而透過入侵檢測系統(tǒng)。

4.入侵檢測方案實(shí)現(xiàn)

方案簡述: “入侵檢測” 屬于安全評估類產(chǎn)品, 是一種網(wǎng)絡(luò)實(shí)時自動攻擊識別和響應(yīng)系統(tǒng)它通過多種途徑收集單位內(nèi)部網(wǎng)的主機(jī)和網(wǎng)絡(luò)信息, 對這些信息加以分析, 查看網(wǎng)絡(luò)安全體系結(jié)構(gòu)是否存在漏洞, 主機(jī)系統(tǒng)和網(wǎng)絡(luò)上是否有入侵事件發(fā)生, 如果發(fā)現(xiàn)有入侵事件, 自動對這些事件響應(yīng), 同時給出相應(yīng)提示。內(nèi)部網(wǎng)根據(jù)部門劃分不同子網(wǎng)網(wǎng)段。每個部門或子網(wǎng)有一個交換機(jī), 設(shè)置網(wǎng)絡(luò)中心, 有專門的網(wǎng)絡(luò)管理員。各個子網(wǎng)匯總到網(wǎng)絡(luò)中心連接到高性能服務(wù)器群, 高性能服務(wù)器群放置在防火墻的DMZ 區(qū)。方案構(gòu)建: 根據(jù)網(wǎng)絡(luò)流量和保護(hù)數(shù)據(jù)的重要程度, 選擇IDS 探測器(百兆)配置在內(nèi)部關(guān)鍵子網(wǎng)的交換機(jī)處放置, 核心交換機(jī)放置控制臺, 監(jiān)控和管理所有的探測器因此提供了對內(nèi)部攻擊和誤操作的實(shí)時保護(hù), 在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。入侵檢測可以進(jìn)行如下反應(yīng):

(1)控制臺報警。

(2)記錄網(wǎng)絡(luò)攻擊事件。

(3)實(shí)時阻斷網(wǎng)絡(luò)連接。

(4)入侵檢測采用透明工作方式, 靜靜地監(jiān)視本網(wǎng)絡(luò)數(shù)據(jù)流, 對網(wǎng)絡(luò)通訊不附加任何時延。

(5)入侵檢測可以過濾和監(jiān)視TCP或IP 協(xié)議。系統(tǒng)管理員通過配置入侵檢測, 可以按協(xié)議(TCP, ICMP), 源端口, 目的端口, 源IP或目的IP 地址過濾。入侵檢測可監(jiān)測多種網(wǎng)絡(luò)服務(wù):包括文件傳輸、遠(yuǎn)程登陸等, 并且所支持的服務(wù)隨著入侵檢測的發(fā)展可以不斷地擴(kuò)展。

(6)入侵檢測還支持用戶自定義的網(wǎng)絡(luò)安全事件監(jiān)視。

(7)入侵檢測能生成系統(tǒng)安全日志以利于系統(tǒng)安全審計并以開放數(shù)據(jù)庫方式支持安全分析決策系統(tǒng), 從而為網(wǎng)絡(luò)安全提供有效的保障。

參考文獻(xiàn)：

[1]楊振會:基于防火墻的入侵檢測系統(tǒng)的設(shè)計[J].計算機(jī)安全, 2006,(10)

[2]王炳晨:網(wǎng)絡(luò)安全專家服務(wù)――趨勢網(wǎng)絡(luò)安全掌控危機(jī)[J]. 微電腦世界, 2007,(07)

[3]富強(qiáng):東軟網(wǎng)絡(luò)安全十年發(fā)展之路[J].計算機(jī)安全, 2006,(07)