关于网吧服务器万象网管被攻击的问题~进~

的确，IT产业将全球供应链与市场结合到一起。记者无意去研究宏观的IT环境，不过当

记者把全部精力投入到安全上面的时候，有趣的结果产生了:安全也是平的。

从安全网关、防火墙、UTM、防病毒、IDS/IPS、***，到内网身份认证、安全客户端、安

全日志、网管系统，看似独立的安全产品已经出现了改变，无论是从早先的安全联动、8021X、还是

近期的私有安全协议、安全与目录服务整合，都体现出了一个趋势:安全是密切相连的，是“你中有

我，我中有你。”

信息安全的第一要素就是制定“企业安全规范”，而这个“安全规范”恰恰是企业各部

分业务与各种安全产品的整合，涵盖了从存储、业务传输、行为安全、网络基础设施、运行安全、系

统保护与物理连接的各个层面。

换句话说，安全已经不是传统上的单一设备，或者像某些厂商所讲的那种独立于网络的

设备。事实上，近三年的发展已经证明，日后信息安全将会逐渐以用户需求的系统方案为核心。而在

这套完整的安全方案之内，各部分都是有机联系的，之间呈现一种技术与需求交织的扁平网状关系。

因此当大多数人还沉迷于“不着边际”的《蓝海战略》的时候，记者则开始关注信息安

全的平坦化了。同时，为了让更多的读者了解信息安全的现状，记者专门打造了“安全是平的”系列

专题，与大家一起研究信息安全的新技术与新应用。

作为本系列的开篇之作，记者从“身份认证与内网安全”入手。这一对密不可分的安全

要素，已经成为了当前安全界最热门的话题，很多企业用户对于两者的关联与部署充满了疑问，而记

者也专门咨询了Cisco、CA、Juniper、神州数码网络、深信服、新华人寿保险集团和福建兴业银行的

IT安全专家，与读者一起分享其中的心得。

大势所趋从双因数认证入手

目前在信息安全界有三大技术趋势:第一，可信计算;第二，身份认证与内网安全;第三，

统一威胁管理(UTM)。根据IDC在今年1月份的统计报告，目前在身份认证与内网安全方面的需求最多

。而IDC近期出炉的《2006～2010中国IT安全市场分析与预测》报告则显示:排名靠前的安全厂商都与

身份认证与内网安全沾边。

在身份认证过程中，一般都是基于用户名和密码的做法。根据美国《Network World》今

年8月份的调查结果，超过60%的企业已经对传统的认证方式不放心了。

所谓双因数认证，是针对传统身份认证而言的。深信服的安全产品经理叶宜斌向记者表

示，随着各种间谍软件、键盘记录工具的泛滥，企业的IT人员发现，仅仅依靠用户名、密码的单一认

证体制非常不安全。而双因数认证则基于硬件建权，通过建立证书系统来进行客户端的认证工作。

另外，采用双因数认证还可以保证客户端登录网络的唯一性。神州数码网络的安全产品

经理王景辉介绍说，安全证书的生成可以提取其他一些信息，比如网卡MAC 地址、客户端CPU的序列

号等。因此当一台笔记本电脑第一次进入企业网络时，第一步是认证系统产生用户名和密码，第二步

则是系统收集笔记本的特征，进而提取具备唯一性的信息，以便生成一个唯一对应的证书。所有的认

证信息都可以导入认证服务器，从而实现对客户端唯一性登录的检查。

根据美国和中国的统计，超过七成的政府部门都在使用证书系统保证身份认证的安全可

靠。此外，大部分网络银行服务业采用了证书模式。

招商银行的IT专家透露说，目前该行已经在专业版网上银行系统中采用安全数字证书，

并通过USB Key的方式进行保存。USB Key中存放的是用户个人的数字证书，银行和用户各有一份公钥

和私钥，用户仅需要记忆一个密码就可以使用。

新华人寿保险集团的IT经理向记者表示，USB Key的认证模式在新华人寿已经全部实现了

，主要还是为日常的OA服务。而该项目的实施方，CA的安全专家介绍说，现在很多大型企业已经开始

采用证书系统，像新华人寿这样的企业，对系统数据流安全非常关注，特别是关注那些很多到桌面、

到用户文件的内容。

除了数字证书，还有一种双因数认证方式，即动态令牌。动态令牌根据基于时间的算法

，每分钟都产生一个5-6位的认证串号。在客户端，用户通过一个类似电子表的硬件，计算出每分钟

产生的令牌串号。那么用户登录系统，只要输入用户名和相应时间段的串号，就可以安全登录。

有意思的是，记者发现很多IT安全厂商自身都在使用动态令牌技术。像神州数码网络内

部的SSL ***就采用了动态令牌的安全登录方式。动态令牌避免了记忆密码的过程，其寿命一般为三

年。不过动态令牌由于内置了一个相当精确的时钟，因此成本较高。

2006-11-17 12:51 Namebus

平坦安全内网安全之美

前面讲过了，目前安全界的趋势是平坦化。一套认证系统做的再强大，如果仅仅孤立存

在，仍然无法带来更多的价值。事实上，认证系统越来越成为内网安全的一个子系统，它确保了企业

网在出现安全问题的时候，内网安全机制能够最终定位到具体的设备或者具体的人员上。

要知道，把安全问题落实到点上是多少年来企业IT人员的梦想。新华人寿的IT安全负责人向记者表示

，以前企业配置了IDS，结果一旦网络出现问题，IDS 就会不停的报警，然后给网管人员发出一大堆

可疑的IP地址信息。网管不是计算机，让它从一堆IP地址中定位某一台设备，这简直是在自虐。

利用认证系统，首先就可以保证网络用户的真实性与合法性。只有界定了合法用户的范围，才有定位

的可能性。

目前，不少安全厂商已经开始完善自身的内网安全技术，并与身份认证系统做到有机结合。王景辉介

绍说，他们已经把防水墙(客户端系统)、DCBI认证系统、 IDS、防火墙结合在一起组成了DCSM内网安

全管理技术，作为3DSMP技术的具体化。而在DCSM技术中，提出了五元素控制:即用户名、用户账号、

IP地址、交换机端口、VLAN绑定在一起，进一步去做访问控制。

在此基础上，内网安全机制可以根据IDS/IPS的报警，对用户进行判断:比如是否为某个用户发动了攻

击或者某个用户是否感染了特定的病毒，比如发现该用户扫描特定端口号就可以判断感染了蠕虫病

毒。此时，DCBI控制中心就会进行实时告警。若告警无效，系统就可以阻断某个用户的网络联结。

由于通过完整的认证过程，系统可以知道用户所在交换机端口和所在的VLAN，封杀就会非常精确。

不难看出，一套安全的认证系统，在内网安全方案中扮演着网络准入控制NAC的角色。Cisco的安全工

程师介绍，一套完善的认证机制与内网安全管理软件组合在一起，就可以实现丰富的准入控制功能。

此外，一般这类管理软件本身不需要安装，只要通过服务器进行分发，就可以推给每一台试图接入网

络的计算机上。

而Juniper的安全产品经理梁小东也表示，把认证系统与内网安全系统结合起来，可以确保总体的网

络设计更加安全。而且通过内置的安全协议，可以最大程度地让更多的安全产品，如防火墙、

IDS/IPS、UTM、***等互动起来。而用户也可以根据自己的预算和资金情况，选配不同的模块，具备

了安全部署的灵活性。

在采访的过程中，记者发现各个安全厂商已经在内网安全的问题上达成了共识。也许正如王景辉所讲

的，虽然企业用户都拥有完善的基础设施，包括全套防病毒系统，可近两年的状况是，病毒大规模爆

发的次数不但没有减少，反而更多了，而且大量安全事件都是从内网突破的。

因此总结起来看，要实现一套完善的内网安全机制，第一步就需要一个集中的安全认证;第二步是部

署监控系统。让IDS/IPS来监控网络中的行为，去判断是否存在某种攻击或者遭遇某种病毒;第三步是

具体执行。当问题判断出来以后，让系统合理地执行很重要。传统上封堵IP的做法，对于现在的攻击

和病毒效果不好，因为现在的攻击和病毒MAC地址及IP地址都可以变化。因此有效的方式，就是在安

全认证通过以后，系统就可以定位到某一个IP的用户是谁，然后确定相关事件发生在哪一个交换机端

口上。这样在采取行动的时候，就可以避免阻断整个IP子网的情况。此外，通过利用8021X协议，整

套安全系统可以把交换机也互动起来，这样就可以更加精确地定位发生安全事件的客户机在哪里。

[table=80%][tr][td=5,1][align=center]主流安全认证技术一瞥

[/align][/td][/tr][tr][td][align=center]属性

[/align][/td][td][align=center]类型[/align][/td][td]

[align=center]主要特点[/align][/td][td][align=center]

应用领域[/align][/td][td][align=center]

主要问题[/align][/td][/tr][tr][td=1,2][align=center]

单因数认证[/align][/td][td][align=center]用户名

密码体制[/align][/td][td][align=center]静态的认证方式，

实现简单[/align][/td][td][align=center]常见于办公网络

[/align][/td][td][align=center]安全性较差

[/align][/td][/tr][tr][td][align=center]短信认证

[/align][/td][td][align=center]动态的认证方式，部署方便，成本

较低，安全性较高[/align][/td][td][align=center]常用于企

业IT部门或部分金融机构[/align][/td][td][align=center]无

法与AD结合[/align][/td][/tr][tr][td=1,2][align=center]

双因数认证[/align][/td][td][align=center]数字证书

[/align][/td][td][align=center]安全性很高，可以与AD结合

使用。[/align][/td][td][align=center]常见于金融机构，政

府部门[/align][/td][td][align=center]系统开发的复杂度高

，存在一定的证书安全隐患[/align][/td][/tr][tr][td][align=center]动态令牌[/align][/td][td][align=center]具有最

高的安全性，基本不会有单点安全的困扰[/align][/td][td][align=center]IT安全厂商有使用[/align][/td][td][align=center]

成本高昂[/align][/td][/tr][/table]

2006-11-17 12:54 Namebus

精明用户混合认证模式

的确，纯粹的双因数认证对于安全起到了很高的保障作用。但不可否认的是，其带来的IT管理问题也

无法忽视。

美国《Network World》的安全编辑撰文指出，美国很多年营业额在15亿到10亿美元的中型企业用户

，很多都不考虑双因数认证的问题。因为他们认为，双因数认证系统不仅难于配置，而且花费在购买

和实施上的资金也较高，特别是其管理和维护的复杂度也过高。

回到国内，记者发现类似的问题确实也有不少。这个问题的关键在于，这些中型企业恰好处于市场的

成长期，用户的账号像兔子繁殖一样增加。因此认证需要的安全预算和人力不成正比。在此模式下，

部署最安全的双因数认证体系固然会给企业的IT部分增加较大的压力。

不过，这并不意味着认证安全无法解决。事实上，很多企业已经开始行动了。在此，记者很高兴地看

到了一种具有中国特色的“混合认证”模式已经投入了使用。

顾名思义，“混合认证”就是把传统的身份认证与双因数认证进行了整合，以求获得最佳性价比。在

此，请跟随记者去看看福建兴业银行的典型应用。福建兴业银行在认证系统中，将对人的认证和对机

器的认证进行了有机结合。在OA办公领域，采用的都是传统的“用户名+密码”的方式，而在分散各

地的ATM机器中，采用了双因数认证，通过收集ATM机器的序列号与后台的Radius服务器进行自动无线

认证，从而确保了安全监管的需求。

“我们通过这种混合认证模式，既保证了OA系统的简单、高效，同时又在安全的基础上，降低了企业

网的运营成本。”福建兴业银行的IT安全负责 人解释说，“这是把有限的资金用在生产网上。”

对于类似的认证，确实可以确保企业的安全与利益。神州数码网络的安全产品经理颜世峰曾向记者坦

言，如果国内企业普遍采用了混合认证模式，那么可以极大地规范企业网中的隐性安全问题，包括一

些私有设备和无线设备的准入控制，都可以低成本地解决。

事实上，中国特色的模式还不仅如此。叶宜斌曾经和记者开玩笑地说道:“在这个世界上，没有哪个

国家的人比中国人更喜欢发短信了。”因此，利用短信进行安全认证也成为了一大特色。

短信认证的成本很低，客户端只需要一部手机，服务器端类似一部具备SIM卡的短信群发机。用户登

录时用手机接收用户名和密码，这种模式甚至可以规定用户安全认证的期限。不过叶宜斌也指出，短

信认证虽然安全、成本低，但是其无法与企业目录服务(AD)进行整合，因此易用性受到挑战。

2006-11-17 12:57 Namebus

系统整合平坦概念出炉

近年来，在美国安全界一直有一个困扰:就是如何避免内网安全的泥石流问题。所谓泥石流问题，其

根源还是多重账户密码现象。要知道，无论是多么完善的认证系统，或者认证系统与内网安全技术结

合的多么好，用户都难以避免多账户密码的输入问题。

登录账户、密码，邮件账户、密码，办公账户、密码等等，还有多账户、多密码的问题已经引起企业

IT人员的重视。因为人们难以记忆不同的账户名和密码，而这往往导致安全隐患的出现。事实上，在

2004年8月欧洲的InfoSecurity大会期间，有70%的伦敦往返者欣然地和其他在会议中的人士共享他们

的登录信息，其初衷仅仅是为了少记忆一点账户名和密码。

为此，将安全认证、内网安全、包括***信息中的账户密码统一起来，已经是不可忽视的问题了。王

景辉介绍说，目前各家厂商都希望将认证系统、内网安全设备，包括***、UTM等，与企业的AD整合到

一起。他认为，这样做绝对是一个很好的思路。

因为目前企业用AD的很多，微软的产品多，因此安全技术中的所有模块都可以进行整合，包括认证系

统与AD的深度开发。在很多情况下，让企业的IT人员维护两套甚至更多的账号系统一样也是不现实的

，而且相当麻烦。

合理的方法是与用户既有的认证系统结合起来，而目前使用最多的就是域账号。对此，企业的***、

动态***包括认证系统都可以使用相同的AD账户，从而实现单点登录(Single Sign On)。

从更大的方面说，整个网络准入控制阶段都可以与AD结合。正如Cisco的安全工程师所说的，现在的

整体安全技术，最起码都要做到与AD结合，做到与Radius认证结合，因为这两个是最常用的。

有意思的是，根据美国《Network World》和本报在2005年的统计，无论是中国用户还是美国用户，

企业网中部署AD的都相当多，从中也反映出Windows认证的规模最广。但要把AD与内网安全进行整合

，目前最大挑战在于，安全厂商必须对微软的产品特别了解，需要一定的技术支持才能做相应的开发

。

以新华人寿的认证系统为例，传统的Windows登录域界面已经被修改，新的界面已经与后台AD和企业

邮件系统作了整合，一次登录就可以实现访问所有应用。

此外，根据用户的具体需求，王景辉表示内网安全技术还可以进一步与LDAP、X509证书进行结合。

记者了解到，目前国内的很多政府部门都在做类似的工作。以河南计生委的安全系统为例。河南计生

委的数字证书都是基于原CA公司的认证系统生成的。因此，他们在部署其他安全设备的时候，不能另

起炉灶再搞一套，否则会出现多次认证的问题。这就要求安全厂商需要同原CA厂商合作，一起做认证

接口的数据交换——安全厂商负责认证信息提交，CA厂商负责认证与返还信息。最后，与CA证书结合

后的安全系统同样可以实现一次性的三点认证(身份、域、***)。

记者注意到，美国《Network World》的安全编辑近期非常热衷于统一认证管理UIM的概念，他认为将

双因数认证、企业中央AD、后台认证服务器和信任仓库、以及部分网络准入控制的模块整合在一起，

就可以形成最完善的UIM体制。

其理由也很简单—认证几乎无可避免:很多应用使用权力分配的、或者所有权的认证方法和数据库，

因此想要利用一个简单的认证平台去支持所有的应用几乎是不可能的。而这正是UIM存在的基础。

对此，国内安全厂商的看法是，UIM很重要，可以解决企业用户的认证管理问题，不过从更大的内网

安全方向看，UIM仍不是全部。颜世峰的看法是，一套完善的内网安全技术至少包括三方面:第一网络

准入控制NAC(也可以算是UIM)。它保证了只有合法的、健康的主机才可以接入网络，其中包括用户身

份认证与接入设备的准入控制管理;第二，网络终端管理NTM。它解决企业办公终端的易用性、统一管

理、终端安全等问题;第三，网络安全运行管理NSRM。它可以动态保证网络设备、网络线路的安全、

稳定运行，自动发现网络故障、自动解决并报警。

看到了么，一套身份认证系统，就牵扯出整个内网安全的各个组成部分。现在应该没有人会怀疑安全

的平坦化了，但请记住，平坦才刚刚开始。

编看编想:平坦的安全缺乏标准

安全是平的，但在平坦的技术中缺乏标准。不论是身份认证还是更加庞大的内网安全，各个国家都没

有对应的通用标准。事实上，即便是8021X协议，各个安全厂家之间也无法完全通用。

对内网安全技术来说，现在国内外没有一个厂商大到有很强的实力，把不同的专业安全厂商的产品集

成到一起，因此很多还要靠大家一起来做。因此业界有天融信的TOPSEC，也有CheckPoint的OPSEC，

也有神州数码自己定义的协议SOAP。

业界需要标准，但是没有。王景辉无奈地向记者表示，各家厂商不得不定义自己的通信接口和密钥协

商机制，其中还要确保协议隧道中的所有数据都是加密的。不过他同时认为，目前的状态可以满足市

场需求。

记得有印象，早在2000年就有人提出统一安全标准的问题，但是做不到。退一步说，目前安全市场的

趋势是变化和更新速度非常快。开发一个安全协议要考虑保护用户现有和既有的投资，要让过去的设

备能用起来。但现在的情况是，还没有等协议出来，过去的设备已经过时了，从这个角度上说，统一

所有厂家的安全协议没有价值。

而且，各国政府在安全上是有自己的想法的，国际厂商出一个协议，不一定能够认同。

__________________

I came, I saw, then I left

囧~~~~~

手都麻了 ， 不对 也要给啊

首先你确定是外部攻击。还是有人在网吧上网的时候攻击。。。

表现如下：如果是外部的话。所有大家机子。包括主机19216811都上不去。

如果是有人在网吧的上网的时候攻击的。则是网吧内一个机子上的去。和你的网吧主机上的去。。

只需要监控一下哪个机子上的去网，找到那个人或者切他的画面看看就可以了

，，如果真是外部的，那就很麻烦了。先置防火墙。需要请个真正的高手帮你追踪了。。。不过。外部攻击很困难。谁没事攻击个网吧。。。。个人认为是有人上网的时候攻击着你玩。或者是有过节。。

现在的电脑技术,理论上DDOS攻击是没好办法主动防御的,那些防御都是被动的丢弃掉攻击者发来的数据包或者把数据包丢回去,丢弃的比接受的快就不堵塞,否则就堵,但攻击的数据包达到一定数量的时候,必然网络堵塞,目前没有太好的DDOS攻击的防御方式,这点懂得网络的人都知道,你能做的就是被动的防御,

下面是 复制 粘贴的经验供你参考:

DdoS攻击是黑客最常用的攻击手段，下面列出了对付它的一些常规方法。

(1)定期扫描

要定期扫描现有的网络主节点，清查可能存在的安全漏洞，对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽，是黑客利用的最佳位置，因此对这些主机本身加强主机安全是非常重要的。而且连接到网络主节点的都是服务器级别的计算机，所以定期扫描漏洞就变得更加重要了。

(2)在骨干节点配置防火墙

防火墙本身能抵御DdoS攻击和其他一些攻击。在发现受到攻击的时候，可以将攻击导向一些牺牲主机，这样可以保护真正的主机不被攻击。当然导向的这些牺牲主机可以选择不重要的，或者是linux以及unix等漏洞少和天生防范攻击优秀的系统。

(3)用足够的机器承受黑客攻击

这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击，在它不断访问用户、夺取用户资源之时，自己的能量也在逐渐耗失，或许未等用户被攻死，黑客已无力支招儿了。不过此方法需要投入的资金比较多，平时大多数设备处于空闲状态，和目前中小企业网络实际运行情况不相符。

(4)充分利用网络设备保护网络资源

所谓网络设备是指路由器、防火墙等负载均衡设备，它们可将网络有效地保护起来。当网络被攻击时最先死掉的是路由器，但其他机器没有死。死掉的路由器经重启后会恢复正常，而且启动起来还很快，没有什么损失。若其他服务器死掉，其中的数据会丢失，而且重启服务器又是一个漫长的过程。特别是一个公司使用了负载均衡设备，这样当一台路由器被攻击死机时，另一台将马上工作。从而最大程度的削减了DdoS的攻击。

(5)过滤不必要的服务和端口

可以使用Inexpress、Express、Forwarding等工具来过滤不必要的服务和端口，即在路由器上过滤假IP。比如Cisco公司的CEF(Cisco Express Forwarding)可以针对封包Source IP和Routing Table做比较，并加以过滤。只开放服务端口成为目前很多服务器的流行做法，例如WWW服务器那么只开放80而将其他所有端口关闭或在防火墙上做阻止策略。

(6)检查访问者的来源

使用Unicast Reverse Path Forwarding等通过反向路由器查询的方法检查访问者的IP地址是否是真，如果是假的，它将予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户，很难查出它来自何处。因此，利用Unicast Reverse Path Forwarding可减少假IP地址的出现，有助于提高网络安全性。

(7)过滤所有RFC1918 IP地址

RFC1918 IP地址是内部网的IP地址，像10000、19216800 和1721600，它们不是某个网段的固定的IP地址，而是Internet内部保留的区域性IP地址，应该把它们过滤掉。此方法并不是过滤内部员工的访问，而是将攻击时伪造的大量虚假内部IP过滤，这样也可以减轻DdoS的攻击。

(8)限制SYN/ICMP流量

用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽，这样，当出现大量的超过所限定的SYN/ICMP流量时，说明不是正常的网络访问，而是有黑客入侵。早期通过限制SYN/ICMP流量是最好的防范DOS的方法，虽然目前该方法对于DdoS效果不太明显了，不过仍然能够起到一定的作用。

三，寻找机会应对攻击

如果用户正在遭受攻击，他所能做的抵御工作将是非常有限的。因为在原本没有准备好的情况下有大流量的灾难性攻击冲向用户，很可能在用户还没回过神之际，网络已经瘫痪。但是，用户还是可以抓住机会寻求一线希望的。

(1)检查攻击来源，通常黑客会通过很多假IP地址发起攻击，此时，用户若能够分辨出哪些是真IP哪些是假IP地址，然后了解这些IP来自哪些网段，再找网网管理员将这些机器关闭，从而在第一时间消除攻击。如果发现这些IP地址是来自外面的而不是公司内部的IP的话，可以采取临时过滤的方法，将这些IP地址在服务器或路由器上过滤掉。

(2)找出攻击者所经过的路由，把攻击屏蔽掉。若黑客从某些端口发动攻击，用户可把这些端口屏蔽掉，以阻止入侵。不过此方法对于公司网络出口只有一个，而又遭受到来自外部的DdoS攻击时不太奏效，毕竟将出口端口封闭后所有计算机都无法访问internet了。

(3)最后还有一种比较折中的方法是在路由器上滤掉ICMP。虽然在攻击时他无法完全消除入侵，但是过滤掉ICMP后可以有效的防止攻击规模的升级，也可以在一定程度上降低攻击的级别。

总结：

目前网络安全界对于DdoS的防范还是没有什么好办法的，主要靠平时维护和扫描来对抗。简单的通过软件防范的效果非常不明显，即便是使用了硬件安防设施也仅仅能起到降低攻击级别的效果，Ddos攻击只能被减弱，无法被彻底消除。不过如果我们按照本文的方法和思路去防范DdoS的话，收到的效果还是非常显著的，可以将攻击带来的损失降低到最小。

入侵检测技术是一种利用入侵留下的痕迹，如试图登陆的失败记录等信息来有效的发现来自外部或内部的非法入侵的技术。它以探测于控制为技术本质，起着主动防御的作用，是网络安全中极其重要的部分。本文将简要介绍入侵检测技术的工作原理、分类、功能结构以及发展现状。

入侵检测技术原理

入侵检测可分为实时入侵和事后入侵检测两种。

实时入侵检测在网络连接过程中进行，系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断，一旦发现入侵迹象立即断开入侵者与主机的连接，并收集证据和实施数据恢复。这个检测过程是不断循环进行的。而事后入侵检测有网络管理人员进行，他们具有网络安全的专业知识，根据计算机系统对用户操作所做的历史审计记录判断用户是否具有入侵行为，如果有就断开连接，并记录入侵证据和进行数据恢复。事后入侵检测是管理员定期过不定期进行的，不具有实时性，因此防御入侵的能力不如实时入侵检测系统。

入侵检测方法的分类

1 基于用户行为概率统计模型的入侵检测方法

这种入侵检测方法是基于对拥护历史行为建模以及在早期的证据或模型的基础上，审计系统实时的检测用户对系统的使用情况，根据系统内部保存的拥护行为概率统计模型进行检测，当发现有可疑的用户行为发生时，保持跟踪并监测、记录该用户的行为。系统要根据每个用户以前的历史行为，生成每个用户的历史行为记录库，当用户改变他们的行为习惯时，这种异常就回被检测出来。

2 基于神经网络入侵检测方法

这种方法是利用神经网络技术来进行入侵检测。因此，这种方法对用户行为具有学习和自适应功能，能够根据实际检测到的信息有效的加以处理并作出入侵可能性的判断。但该方法还不成熟，目前该没有出现较为完善的产品。

3 基于专家系统的入侵检测技术

该技术感受安全专家对可疑行为的分析经验来形成一套推理规则，然后在此基础上建立响应的专家系统，由此专家系统自动进行对所涉及入侵行为建立行为的分析工作。该系统应当能够随着经验的积累而利用其自学能力进行规则的扩充和修正。

4 基于模型推理的入侵检测技术

5 该技术根据入侵者在进行入侵时所执行的某些行为模型所代表的入侵意图的行为特征来判断用户执行的操作是否是属于入侵行为。当然这种方法也是建立在对当前以知的入侵行为程序的基础之上的，对未知的入侵方法所执行的行为程序的模型识别需要进一步的学习和扩展。

6 以上几种方法每一种都不能保证能准确的检测出变化无穷的入侵行为。因此在网络安全防护中要充分衡量各种方法的利弊，综合运用这些方法才能有效的检测出入侵者的非法行为。

入侵检测系统的功能和结构

总的来说，入侵检测系统的功能有：

监视用户和系统的运行状况，查找非法用户和合法用户的越权操作。

检测系统培植的正确性和安全漏洞，并提示管理条例修补漏洞。

对拥护的非正常活动进行统计分析，发现入侵行为的规律。

检查系统程序和数据的一致性和正确性如计算和比较文件系统的校验和。

能够实时对检测到的入侵行为进行反应。

操作系统的审计跟踪管理。

根据以上入侵检测系统的功能，可以把它的功能结构分为两个大的部分：中心检测平台和代理服务器。代理服务器是负责从各个操作系统中采集审计数据，并把审计数据转换平台无关的格式后传送到中心检测平台，或者把中心平台的审计数据要求传送到各个操作系统中。而中心检测平台由专家系统、知识库和管理员组成，其功能是根据代理服务器采集来的审计数据进行专家系统分析，产生系统安全报告。管理员可以向各个主机提供安全管理功能，根据专家系统的分析向各个代理服务器发出审计数据的需求。另外，在中心检测平台和代理服务器之间是通过安全的RPC进行通信。

确认不是外网么？

1：安装绿盟的硬件防火墙，其他的我不予评论。---防御外网DDOS

2：内网内ARP欺骗、骷髅头、CAM攻击、IP欺骗、虚假IP、虚假MAC、IP分片、DDoS攻击、超大Ping包、格式错误数据、发包频率超标等协议病毒……一系列内网攻击都能导致内网掉线、卡滞、慢的现象。甚至像ARP这样的攻击又不好查出来，杀毒软件也没办法解决，又没法根除。这也是重装系统过后，无法解决内网掉线的主要原因。这些内网攻击在网络中普遍存在。-----免疫网络解决内网攻击问题

ARP病毒攻击

以窜改内网路由器IP或MAC地址，来达到**用户账号/密码，有时候甚至会导致网吧网络瘫痪。在前面，小编也分享过文章，《

网吧网络安全维护措施预防ARP攻击》，讲述了网吧预防ARP攻击

的方法，其中有一个方法就是利用arp-d命令。

　　用arp-d命令，只能临时解决上网问题，如果你想从根本上解决问题，就得找到网吧的病毒主机。下面小编说说

网吧网络遭受ARP攻击

　　1、通过上面的arp-a命令，可以判定改变了的网关MAC地址或多个IP指向的物理地址，就是病毒机的MAC地址。

　　那么对应这个MAC地址的主机又是哪一台呢，windows中有ipconfig/all命令查看每台的信息，但如果电脑数目多话，一台台查下去不是办法，因此可以下载一个叫NBTSCAN的软件，它可以扫描到PC的真实IP地址和MAC地址。

　　当然找到了IP之后，接下来是要找到这个IP具体所对应的机子了，如果你每台电脑编了号，并使用固定IP，IP的设置也有规律的话，那么就很快找到了。

　　找到了ARP病毒主机后，就需要在第一时间处理病毒主机

　　1、用杀毒软件查毒，杀毒。

　　2、建议重装系统，一了百了。（当然你应注意除系统盘外其他盘有无病毒）

网吧被ddos攻击的情况屡见不鲜 大多数网管对应不知所措本文将简要的讲解一个网吧网管应如何应对突发的ddos攻击

要发现并解决ddos攻击,你要有以下的准备

1心理准备

所谓ddos,就是分布式攻击,是不可能完全消除,只能够减缓其攻击的程度并不是哪个人水平很高,他就能防卸得了ddos攻击

2快速的判断

工欲善其事,必先利其器 很多网管在网吧发生掉线的情况时,就不问三七二十一,重启路由器 就像重启电脑一样

当掉线的情况不断持续时,你就要快速的使用有效手段判断是否出现ddos攻击

一般在掉线后网吧基本上会出现一团糟的情况,不可能有那么多时间细细排查 这就要求你在最短时间准备的得出结论 抓包工具(例如

sniffer pro, etherscan)是个有效的方法,直接查看路由器的状态,这两个是比较快也很有效的方法

是看路由器的cpu占用率,连接数, 再就是在路由器的镜像端口上抓包,查看是否存在大量向内的流量

3快速的解决

如果你的网吧用的是pppoe的动态ip,在断定是受到ddos攻击后,重启不失为一个好的办法

如果是固定IP,应尽快与电信部门联系,请他们帮助解决如果路由器有一定的防ddos攻击能力,你可以先断开外部的网线,进入路由器设置后启用防ddos攻击