黑客入侵防范措施与对策
[摘要]针对分析了黑客入侵的步骤与方式，介绍了黑客入侵防范措施与对策。

提出了防火墙加上入侵检测系统（IDS）的新一代网络安全概念。

[关键词]网络安全入侵检测入侵检测系统IDS 防火墙端口
黑客最早源自英文hacker，早期在美国的电脑界是带有褒义的。

但在媒体报导中，黑客一词往往指那些“软件骇客”(software cracker)。

黑客一词，原指热心于计算机技术，水平高超的电脑专家，尤其是程序设计人员。

但到了今天，黑客一词已被用于泛指那些专门利用电脑搞破坏或恶作剧的家伙。

对这些人的正确英文叫法是Cracker，也有人翻译成“骇客”。

随着信息技术日新月异的发展，网络安全性已经成为人们普遍关心的问题，黑客对网络的入侵已经给许多网络系统带来灾难性的后果。

据统计，美国政府的计算机系统平均每年遭到非法侵入的次数至少50万次，造成的损失高达100亿美元。

因此，采取合理有效的防范措施和策略防范黑客，实现网络信息安全已是当务之急。

一、黑客入侵的步骤与方式
目前,网络系统普遍存在的安全隐患和缺陷,如物理实体本身的安全问题的缺陷、软件的后门漏洞、网络协议中的安全漏洞以及人为管理的松懈或缺乏安全意识均对网络安全构成潜在的威胁。

黑客利用网络系统中各种安全缺陷进行入侵攻击，对系统数据进行非法访问和破坏。

在与黑客的安全对抗中，通常是在遭受攻击后才被动防护。

只有深入研究和把握黑客攻击行为的规律，才能更好防范入侵，占据主动地位。

（一）黑客对网络系统入侵的步骤
黑客对网络系统入侵常分为3个步骤：信息收集，对系统完全弱点探测与分析，实施入侵和攻击。

1.信息收集。

为了进入所要攻击的目标网络的数据库，利用公开协议和工具，收集驻留在网络系统中各个主机系统的相关信息。

2.对系统弱点的探测。

收集到攻击目标的一批网络信息后，黑客会探测网络上每台主机，以寻求安全漏洞或安全弱点。

利用电子安全扫描程序安全分析工等工具，可以对整个网络或子网进行扫描，寻找安全漏洞，获取攻击目标系统的非法访问权。

3.实施入侵和攻击。

收集探测到有用的信息后，就可以对目标系统进行入侵，
如修改管理权限，提取有用信息，盗窃私人文件，毁坏重要数据，更改和破坏系统信息。

（二）黑客对网络系统入侵的方式
1.口令攻击。

使用口令破译工具对加密口令进行破解，获取口令非法登陆访问。

2.特洛伊木马。

是驻留在目标计算机里的一个隐蔽程序，它在目标计算机系统启动的时候自动启动，然后在某一端口进行侦听，收到数据后，对数据进行识别，然后按识别后的命令在目标计算机上执行相应操作，攻击者通过控制端程序登录到目标机器，从而实现完全控制。

3.利用缓冲区溢出攻击。

缓冲区溢出指一种系统攻击手段%通过往程序的缓冲区写入超出其长度的内容，造成缓冲区溢出，从而破坏程序的堆栈，使程序转而执行其他的命令，达到攻击的目的。

最常见的手段是，通过使某个特殊程序的缓冲区溢出而执行一个shell，通过shell的权限可以执行更高的命令，若这个特殊程序属于root并且有suid，攻击者便可获得具有root权限的suid。

4.端口扫描。

利用扫描器对各端口扫描，能发现远程服务器的各种TCP端口的分配、提供的服务及软件版本，并能探测出远程或本地主机存在的弱点和漏洞。

扫描器不能直接发动攻击，但使用扫描器一般是黑客进攻的前奏。

5.使用伪装IP攻击。

指一个非法的主机假冒内部的主机地址，骗取服务器的“信任”，从而达到对网络的攻击目的。

6.利用后门进行攻击。

后门一般为程序人员为了自己特殊目的，编写的潜伏代码或保留漏洞。

二、防范措施与策略
维护网络安全，重要的是在防范体系中采取主动防护技术和措施，主动防范措施包括3部分。

（一）实体安全的防范。

包括控制机房、网络服务器、线路和主机等的安全隐患均可能被黑客利用，则加强对于实体安全的检查和监护是网络维护的首要和必要措施，并对系统进行全天候的动态监控。

（二）内部安全防范。

内部防范机制主要是预防和制止内部信息资源和数据的外泄，防止外人从内部把“堡垒”攻破，该机制的作用是：1.保护用户信息资源的安全；2.防止和预防内部人员的越权访问；3.对网内所有级别的用户实时监测和监督用户；4.全天候动态检测和报警功能；5.提供详尽的访问审计功能。

（三）基础安全防范。

基础安全防范包括以下几种方法。

1.身份验证。

身份验证主要包括验证依据、验证系统和安全要求。

它是在计算机中最早应用并仍在广泛应用的安全技术，是互联网上信息安全的第一道屏障。

2.存取控制。

存取控制是网络安全理论的重要组成部分，主要包括人员限制、数据标识、权限控制、类型控制和风险分析。

它一般与身份验证技术一起使用，赋予不同身份的用户以不同的操作权限，以实现不同安全级别的信息分级管理。

3.数据加密和信息传输加密。

这种方法是将重要数据用加密算法进行处理，现在金融系统和商界普遍使用的算法是美国数据加密标准CDE。

近几年来我国对加密算法的研究主要集中在密码强度分析和实用化研究上。

4.完整性验证。

在数据传输过程中，验证收到的数据和原来数据之间是否保持完全一致。

检查“和”是最早采用的数据完整性验证的方法，它不能保证数据的完整性，只起到基本的验证作用，它的实现非常简单，现在仍广泛应用于数据传输。

5.防火墙。

防火墙是介于内部网与外部网之间的安全防范系统，可认为是一种访问控制机制，按照一定的安全策略进行检查网络间传输的数据包和连接方式，决定通信是否被允许，被保护的网络称为内部网，另一方称为外部网[3，4]。

防火墙能有效控制内部网络与外部网络间的访问及数据传输，从而达到保护内部网的信息不受外部非授权用户的访问和过滤不良信息的目的，它是设置在可信任的内部网络和不可信任的外界之间的一道屏障。

三、发展趋势
防火墙不足之处表现在：在安全对抗中处于被动；只针对IP地址，而不是针对用户进行安全防范，缺乏灵活性；只提供对外部攻击进行保护，对于绕过防火墙的攻击及来自网络内部的入侵无能为力，而入侵检测技术有效地解决了防火墙的不足。

入侵检测作为一种积极主动地安全防护技术，能在网络系统受到危害之前拦截和响应入侵，它是动态安全技术最核心的技术，而防火墙技术是静态安全防御技术，缺乏主动性。

因此可以将入侵检测技术与防火墙技术相结合，实现互补应用，即“防火墙＋入侵检测系统(IDS)”安全概念。

IDS将广泛采用人工智能的方法，运用包括专家系统、模型推理、人工神经网络技术，使网络安全防范更加高效化、准确化、智能化。