系統(tǒng)安全：防火墻與入侵檢測(cè)系統(tǒng)惡意用戶或軟件通過網(wǎng)絡(luò)對(duì)計(jì)算機(jī)系統(tǒng)的攻擊已成為當(dāng)今計(jì)算機(jī)安全最嚴(yán)重的威脅之一。課件制作人：謝鈞謝希仁防火墻(firewall)作為一種訪問控制技術(shù)，通過嚴(yán)格控制進(jìn)出網(wǎng)絡(luò)邊界的分組，禁止任何不必要的通信，從而減少潛在入侵的發(fā)生，盡可能降低這類安全威脅所帶來的安全風(fēng)險(xiǎn)。入侵檢測(cè)系統(tǒng)(IntrusionDetectionSystem)通過對(duì)進(jìn)入網(wǎng)絡(luò)的分組進(jìn)行深度分析與檢測(cè)發(fā)現(xiàn)疑是入侵行為的網(wǎng)絡(luò)活動(dòng)，并進(jìn)行報(bào)警以便進(jìn)一步采取相應(yīng)措施。防火墻入侵檢測(cè)系統(tǒng)防火墻在互連網(wǎng)絡(luò)中的位置1.防火墻(firewall)防火墻是把一個(gè)組織的內(nèi)部網(wǎng)絡(luò)與其他網(wǎng)絡(luò)（通常就是互聯(lián)網(wǎng)）隔離開的軟件和硬件的組合。根據(jù)訪問控制策略，它允許一些分組通過，而禁止另一些分組通過。訪問控制策略由使用防火墻的組織根據(jù)自己的安全需要自行制訂。課件制作人：謝鈞謝希仁G內(nèi)部網(wǎng)絡(luò)可信網(wǎng)絡(luò)不可信網(wǎng)絡(luò)分組過濾路由器

R分組過濾路由器R應(yīng)用級(jí)網(wǎng)關(guān)外局域網(wǎng)內(nèi)局域網(wǎng)防火墻互聯(lián)網(wǎng)防火墻技術(shù)一般分為兩類課件制作人：謝鈞謝希仁分組過濾路由器是一種具有分組過濾功能的路由器，它根據(jù)過濾規(guī)則對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的分組執(zhí)行轉(zhuǎn)發(fā)或者丟棄（即過濾）。過濾規(guī)則基于分組的網(wǎng)絡(luò)層或傳輸層首部的信息，例如：源/目的IP地址、源/目的端口、協(xié)議類型、標(biāo)志位等等。應(yīng)用級(jí)網(wǎng)關(guān)也稱為代理服務(wù)器。在應(yīng)用層通信中扮演報(bào)文中繼的角色。一種網(wǎng)絡(luò)應(yīng)用需要一個(gè)應(yīng)用級(jí)網(wǎng)關(guān)。在應(yīng)用級(jí)網(wǎng)關(guān)中可以實(shí)現(xiàn)基于應(yīng)用層數(shù)據(jù)的過濾和高層用戶鑒別。分組過濾路由器應(yīng)用級(jí)網(wǎng)關(guān)防火墻的一種常用配置兩種技術(shù)結(jié)合使用分組過濾路由器的優(yōu)點(diǎn)是簡(jiǎn)單、高效，且對(duì)于用戶是透明的，但不能對(duì)高層數(shù)據(jù)進(jìn)行過濾。應(yīng)用級(jí)網(wǎng)關(guān)也有一些缺點(diǎn)。首先，每種應(yīng)用都需要一個(gè)不同的應(yīng)用級(jí)網(wǎng)關(guān)（可以運(yùn)行在同一臺(tái)主機(jī)上）。其次，在應(yīng)用層轉(zhuǎn)發(fā)和處理報(bào)文，處理負(fù)擔(dān)較重。另外，對(duì)應(yīng)用程序不透明，需要在應(yīng)用程序客戶端配置應(yīng)用級(jí)網(wǎng)關(guān)地址。課件制作人：謝鈞謝希仁G內(nèi)部網(wǎng)絡(luò)可信網(wǎng)絡(luò)不可信網(wǎng)絡(luò)分組過濾路由器R分組過濾路由器R應(yīng)用級(jí)網(wǎng)關(guān)外局域網(wǎng)內(nèi)局域網(wǎng)防火墻互聯(lián)網(wǎng)2.入侵檢測(cè)系統(tǒng)防火墻試圖在入侵行為發(fā)生之前阻止所有可疑的通信。但事實(shí)是不可能阻止所有的入侵行為，有必要采取措施在入侵已經(jīng)開始，但還沒有造成危害或在造成更大危害前，及時(shí)檢測(cè)到入侵，以便盡快阻止入侵，把危害降低到最小。這就需要入侵檢測(cè)系統(tǒng)。入侵檢測(cè)系統(tǒng)(IntrusionDetectionSystem,IDS)對(duì)進(jìn)入網(wǎng)絡(luò)的分組執(zhí)行深度分組檢查，當(dāng)觀察到可疑分組時(shí)，向網(wǎng)絡(luò)管理員發(fā)出告警或執(zhí)行阻斷操作（由于IDS的“誤報(bào)”率通常較高，多數(shù)情況不執(zhí)行自動(dòng)阻斷）。IDS能用于檢測(cè)多種網(wǎng)絡(luò)攻擊，包括網(wǎng)絡(luò)映射、端口掃描、DoS攻擊、蠕蟲和病毒、系統(tǒng)漏洞攻擊等。課件制作人：謝鈞謝希仁兩種入侵檢測(cè)方法入侵檢測(cè)方法一般可以分為基于特征的入侵檢測(cè)和基于異常的入侵檢測(cè)兩種。課件制作人：謝鈞謝希仁基于特征的入侵檢測(cè)基于異常的入侵檢測(cè)基于特征的IDS維護(hù)一個(gè)所有已知攻擊標(biāo)志性特征的數(shù)據(jù)庫。每個(gè)特征是一個(gè)與某種入侵活動(dòng)相關(guān)聯(lián)的規(guī)則集，這些規(guī)則可能基于單個(gè)分組的首部字段值或數(shù)據(jù)中特定比特串，或者與一系列分組有關(guān)。當(dāng)發(fā)現(xiàn)有與某種攻擊特征匹配的分組或分組序列時(shí)，則認(rèn)為可能檢測(cè)到某種入侵行為。這些特征和規(guī)則通常由網(wǎng)絡(luò)安全專家生成，機(jī)構(gòu)的網(wǎng)絡(luò)管理員定制并將其加入到數(shù)據(jù)庫中。兩種入侵檢測(cè)方法入侵檢測(cè)方法一般可以分為基于特征的入侵檢測(cè)和基于異常的入侵檢測(cè)兩種。課件制作人：謝鈞謝希仁基于特征的入侵檢測(cè)基于特征的IDS只能檢測(cè)已知攻擊。基于異常的IDS可檢測(cè)未知攻擊。基于異常的IDS通過觀察正常運(yùn)行的網(wǎng)絡(luò)流量，學(xué)習(xí)正常流量的統(tǒng)計(jì)特性和規(guī)律，當(dāng)檢測(cè)到網(wǎng)絡(luò)中流量某種統(tǒng)計(jì)規(guī)律不符合正常情況時(shí)，則認(rèn)為可能發(fā)生了入侵行為。近年來，深度學(xué)習(xí)技術(shù)被大量應(yīng)用于入侵檢測(cè)領(lǐng)域，有效提高了對(duì)未知攻擊的檢測(cè)能力，克服了傳統(tǒng)基于特征庫檢測(cè)方法對(duì)未知攻擊檢測(cè)能力弱的局限性?；诋惓５娜肭謾z測(cè)基于特征的IDS維護(hù)一個(gè)所有已知攻擊標(biāo)志性特征的數(shù)據(jù)庫。每個(gè)特征是一個(gè)與某種入侵活動(dòng)相關(guān)聯(lián)的規(guī)則集，這些規(guī)則可能基于單個(gè)分組的首部字段值或數(shù)據(jù)中特定比特串，或