如何在網路流量中找出威脅

『壹』 「宏觀網路流量」的定義是什麼有哪些異常檢測方法

一種互聯網宏觀流量異常檢測方法(2007-11-7 10:37) 摘要：網路流量異常指網路中流量不規則地顯著變化。網路短暫擁塞、分布式拒絕服務攻擊、大范圍掃描等本地事件或者網路路由異常等全局事件都能夠引起網路的異常。網路異常的檢測和分析對於網路安全應急響應部門非常重要，但是宏觀流量異常檢測需要從大量高維的富含雜訊的數據中提取和解釋異常模式，因此變得很困難。文章提出一種分析網路異常的通用方法，該方法運用主成分分析手段將高維空間劃分為對應正常和異常網路行為的子空間，並將流量向量影射在正常子空間中，使用基於距離的度量來檢測宏觀網路流量異常事件。公共互聯網正在社會生活的各個領域發揮著越來越重要的作用，與此同時，由互聯網的開放性和應用系統的復雜性所帶來的安全風險也隨之增多。2006年，國家計算機網路應急技術處理協調中心(CNCERT/CC)共接收26 476件非掃描類網路安全事件報告，與2005年相比增加2倍，超過2003—2005年3年的總和。2006年，CNCERT/CC利用部署的863-917網路安全監測平台，抽樣監測發現中國大陸地區約4.5萬個IP地址的主機被植入木馬，與2005年同期相比增加1倍；約有1千多萬個IP地址的主機被植入僵屍程序，被境外約1.6萬個主機進行控制。黑客利用木馬、僵屍網路等技術操縱數萬甚至上百萬台被入侵的計算機，釋放惡意代碼、發送垃圾郵件，並實施分布式拒絕服務攻擊，這對包括骨幹網在內的整個互聯網網路帶來嚴重的威脅。由數萬台機器同時發起的分布式拒絕服務攻擊能夠在短時間內耗盡城域網甚至骨幹網的帶寬，從而造成局部的互聯網崩潰。由於政府、金融、證券、能源、海關等重要信息系統的諸多業務依賴互聯網開展，互聯網骨幹網路的崩潰不僅會帶來巨額的商業損失，還會嚴重威脅國家安全。據不完全統計，2001年7月19日爆發的紅色代碼蠕蟲病毒造成的損失估計超過20億美元；2001年9月18日爆發的Nimda蠕蟲病毒造成的經濟損失超過26億美元；2003年1月爆發的SQL Slammer蠕蟲病毒造成經濟損失超過12億美元。針對目前互聯網宏觀網路安全需求，本文研究並提出一種宏觀網路流量異常檢測方法，能夠在骨幹網路層面對流量異常進行分析，在大規模安全事件爆發時進行快速有效的監測，從而為網路防禦贏得時間。1 網路流量異常檢測研究現狀在骨幹網路層面進行宏觀網路流量異常檢測時，巨大流量的實時處理和未知攻擊的檢測給傳統入侵檢測技術帶來了很大的挑戰。在流量異常檢測方面，國內外的學術機構和企業不斷探討並提出了多種檢測方法[1]。經典的流量監測方法是基於閾值基線的檢測方法，這種方法通過對歷史數據的分析建立正常的參考基線范圍，一旦超出此范圍就判斷為異常，它的特點是簡單、計算復雜度小，適用於實時檢測，然而它作為一種實用的檢測手段時，需要結合網路流量的特點進行修正和改進。另一種常用的方法是基於統計的檢測，如一般似然比(GLR)檢測方法[2]，它考慮兩個相鄰的時間窗口以及由這兩個窗口構成的合並窗口，每個窗口都用自回歸模型擬合，並計算各窗口序列殘差的聯合似然比，然後與某個預先設定的閾值T 進行比較，當超過閾值T 時，則窗口邊界被認定為異常點。這種檢測方法對於流量的突變檢測比較有效，但是由於它的閾值不是自動選取，並且當異常持續長度超過窗口長度時，該方法將出現部分失效。統計學模型在流量異常檢測中具有廣闊的研究前景，不同的統計學建模方式能夠產生不同的檢測方法。最近有許多學者研究了基於變換域進行流量異常檢測的方法[3]，基於變換域的方法通常將時域的流量信號變換到頻域或者小波域，然後依據變換後的空間特徵進行異常監測。P. Barford等人[4]將小波分析理論運用於流量異常檢測，並給出了基於其理論的4類異常結果，但該方法的計算過於復雜，不適於在高速骨幹網上進行實時檢測。Lakhina等人[5-6]利用主成分分析方法(PCA)，將源和目標之間的數據流高維結構空間進行PCA分解，歸結到3個主成分上，以3個新的復合變數來重構網路流的特徵，並以此發展出一套檢測方法。此外還有一些其他的監測方法[7]，例如基於Markov模型的網路狀態轉換概率檢測方法，將每種類型的事件定義為系統狀態，通過過程轉換模型來描述所預測的正常的網路特徵，當到來的流量特徵與期望特徵產生偏差時進行報警。又如LERAD檢測[8]，它是基於網路安全特徵的檢測，這種方法通過學習得到流量屬性之間的正常的關聯規則，然後建立正常的規則集，在實際檢測中對流量進行規則匹配，對違反規則的流量進行告警。這種方法能夠對發生異常的地址進行定位，並對異常的程度進行量化。但學習需要大量正常模式下的純凈數據，這在實際的網路中並不容易實現。隨著宏觀網路異常流量檢測成為網路安全的技術熱點，一些廠商紛紛推出了電信級的異常流量檢測產品，如Arbor公司的Peakflow、GenieNRM公司的GenieNTG 2100、NetScout公司的nGenius等。國外一些研究機構在政府資助下，開始部署宏觀網路異常監測的項目，並取得了較好的成績，如美國研究機構CERT建立了SiLK和AirCERT項目，澳大利亞啟動了NMAC流量監測系統等項目。針對宏觀網路異常流量監測的需要，CNCERT/CC部署運行863-917網路安全監測平台，採用分布式的架構，能夠通過多點對骨幹網路實現流量監測，通過分析協議、地址、埠、包長、流量、時序等信息，達到對中國互聯網宏觀運行狀態的監測。本文基於863-917網路安全監測平台獲取流量信息，構成監測矩陣，矩陣的行向量由源地址數量、目的地址數量、傳輸控制協議(TCP)位元組數、TCP報文數、數據報協議(UDP)位元組數、UDP報文數、其他流量位元組數、其他流量報文書、WEB流量位元組數、WEB流量報文數、TOP10個源IP占總位元組比例、TOP10個源IP占總報文數比例、TOP10個目的IP占總位元組數比例、TOP10個目的IP占總報文數比例14個部分組成，系統每5分鍾產生一個行向量，觀測窗口為6小時，從而形成了一個72×14的數量矩陣。由於在這14個觀測向量之間存在著一定的相關性，這使得利用較少的變數反映原來變數的信息成為可能。本項目採用了主成份分析法對觀測數據進行數據降維和特徵提取，下面對該演算法的工作原理進行介紹。 2 主成分分析技術主成分分析是一種坐標變換的方法，將給定數據集的點映射到一個新軸上面，這些新軸稱為主成分。主成分在代數學上是p 個隨機變數X 1, X 2……X p 的一系列的線性組合，在幾何學中這些現線性組合代表選取一個新的坐標系，它是以X 1,X 2……X p 為坐標軸的原來坐標系旋轉得到。新坐標軸代表數據變異性最大的方向，並且提供對於協方差結果的一個較為簡單但更精練的刻畫。主成分只是依賴於X 1,X 2……X p 的協方差矩陣，它是通過一組變數的幾個線性組合來解釋這些變數的協方差結構，通常用於高維數據的解釋和數據的壓縮。通常p 個成分能夠完全地再現全系統的變異性，但是大部分的變異性常常能夠只用少量k 個主成分就能夠說明，在這種情況下，這k 個主成分中所包含的信息和那p 個原變數做包含的幾乎一樣多，於是可以使用k 個主成分來代替原來p 個初始的變數，並且由對p 個變數的n 次測量結果所組成的原始數據集合，能夠被壓縮成為對於k 個主成分的n 次測量結果進行分析。運用主成分分析的方法常常能夠揭示出一些先前不曾預料的關系，因而能夠對於數據給出一些不同尋常的解釋。當使用零均值的數據進行處理時，每一個主成分指向了變化最大的方向。主軸以變化量的大小為序，一個主成分捕捉到在一個軸向上最大變化的方向，另一個主成分捕捉到在正交方向上的另一個變化。設隨機向量X '=[X 1,X 1……X p ]有協方差矩陣∑,其特徵值λ1≥λ2……λp≥0。考慮線性組合：Y1 =a 1 'X =a 11X 1+a 12X 2……a 1pX pY2 =a 2 'X =a 21X 1+a 22X 2……a 2pX p……Yp =a p'X =a p 1X 1+a p 2X 2……a p pX p從而得到：Var (Yi )=a i' ∑a i ,(i =1,2……p )Cov (Yi ,Yk )=a i '∑a k ,(i ,k =1,2……p )主成分就是那些不相關的Y 的線性組合，它們能夠使得方差盡可能大。第一主成分是有最大方差的線性組合，也即它能夠使得Var (Yi )=a i' ∑a i 最大化。我們只是關注有單位長度的系數向量，因此我們定義：第1主成分＝線性組合a 1'X，在a1'a 1=1時，它能夠使得Var (a1 'X )最大；第2主成分＝線性組合a 2 'X，在a2'a 2=1和Cov(a 1 'X,a 2 'X )=0時，它能夠使得Var (a 2 'X )最大；第i 個主成分＝線性組合a i'X，在a1'a 1=1和Cov(a i'X,a k'X )=0(k<i )時，它能夠使得Var (a i'X )最大。由此可知主成分都是不相關的，它們的方差等於協方差矩陣的特徵值。總方差中屬於第k個主成分(被第k個主成分所解釋)的比例為：如果總方差相當大的部分歸屬於第1個、第2個或者前幾個成分，而p較大的時候，那麼前幾個主成分就能夠取代原來的p個變數來對於原有的數據矩陣進行解釋，而且信息損失不多。在本項目中，對於一個包含14個特徵的矩陣進行主成分分析可知，特徵的最大變化基本上能夠被2到3個主成分捕捉到，這種主成分變化曲線的陡降特性構成了劃分正常子空間和異常子空間的基礎。3 異常檢測演算法本項目的異常流量檢測過程分為3個階段：建模階段、檢測階段和評估階段。下面對每個階段的演算法進行詳細的介紹。3.1 建模階段本項目採用滑動時間窗口建模，將當前時刻前的72個樣本作為建模空間，這72個樣本的數據構成了一個數據矩陣X。在試驗中，矩陣的行向量由14個元素構成。主成份分為正常主成分和異常主成份，它們分別代表了網路中的正常流量和異常流量，二者的區別主要體現在變化趨勢上。正常主成份隨時間的變化較為平緩，呈現出明顯的周期性；異常主成份隨時間的變化幅度較大，呈現出較強的突發性。根據采樣數據，判斷正常主成分的演算法是：依據主成分和采樣數據計算出第一主成分變數，求第一主成分變數這72個數值的均值μ1和方差σ1，找出第一主成分變數中偏離均值最大的元素，判斷其偏離均值的程度是否超過了3σ1。如果第一主成分變數的最大偏離超過了閾值，取第一主成份為正常主成分，其他主成份均為異常主成分，取主成份轉換矩陣U =[L 1]；如果最大偏離未超過閾值，轉入判斷第下一主成分，最後取得U =[L 1……L i -1]。第一主成份具有較強的周期性，隨後的主成份的周期性漸弱，突發性漸強，這也體現了網路中正常流量和異常流量的差別。在得到主成份轉換矩陣U後，針對每一個采樣數據Sk =xk 1,xk 2……xk p )，將其主成份投影到p維空間進行重建，重建後的向量為：Tk =UU T (Sk -X )T計算該采樣數據重建前與重建後向量之間的歐氏距離，稱之為殘差：dk =||Sk -Tk ||根據采樣數據，我們分別計算72次采樣數據的殘差，然後求其均值μd 和標准差σd 。轉換矩陣U、殘差均值μd 、殘差標准差σd 是我們構造的網路流量模型，也是進行流量異常檢測的前提條件。 3.2 檢測階段在通過建模得到網路流量模型後，對於新的觀測向量N,(n 1,n 2……np )，採用與建模階段類似的分析方法，將其中心化：Nd =N -X然後將中心化後的向量投影到p維空間重建，並計算殘差：Td =UUTNdTd =||Nd -Td ||如果該觀測值正常，則重建前與重建後向量應該非常相似，計算出的殘差d 應該很小；如果觀測值代表的流量與建模時發生了明顯變化，則計算出的殘差值會較大。本項目利用如下演算法對殘差進行量化：3.3 評估階段評估階段的任務是根據當前觀測向量的量化值q (d )，判斷網路流量是否正常。根據經驗，如果|q (d )|<5，網路基本正常；如果5≤|q (d )|<10，網路輕度異常；如果10≤|q (d )|，網路重度異常。4 實驗結果分析利用863-917網路安全監測平台，對北京電信骨幹網流量進行持續監測，我們提取6小時的觀測數據，由於篇幅所限，我們給出圖1—4的時間序列曲線。由圖1—4可知單獨利用任何一個曲線都難以判定異常，而利用本演算法可以容易地標定異常發生的時間。本演算法計算結果如圖5所示，異常發生時間在圖5中標出。我們利用863-917平台的回溯功能對於異常發生時間進行進一步的分析，發現在標出的異常時刻，一個大規模的僵屍網路對網外的3個IP地址發起了大規模的拒絕服務攻擊。 5 結束語本文提出一種基於主成分分析的方法來劃分子空間，分析和發現網路中的異常事件。本方法能夠准確快速地標定異常發生的時間點，從而幫助網路安全應急響應部門及時發現宏觀網路的流量異常狀況，為迅速解決網路異常贏得時間。試驗表明，我們採用的14個特徵構成的分析矩陣具有較好的識別准確率和分析效率，我們接下來將會繼續尋找更具有代表性的特徵來構成數據矩陣，並研究更好的特徵矩陣構造方法來進一步提高此方法的識別率，並將本方法推廣到短時分析中。6 參考文獻[1] XU K, ZHANG Z L, BHATTACHARYYA S. Profiling Internet backbone traffic: Behavior models and applications [C]// Proceedings of ACM SIGCOMM, Aug 22- 25, 2005, Philadelphia, PA, USA. New York, NY,USA:ACM,2005:169-180.[2] HAWKINS D M, QQUI P, KANG C W. The change point model for statistical process control [J]. Journal of Quality Technology,2003, 35(4).[3] THOTTAN M, JI C. Anomaly detection in IP networks [J]. IEEE Transactions on Signal Processing, 2003, 51 )8):2191-2204.[4] BARFORD P, KLINE J, PLONKA D, et al. A signal analysis of network traffic anomalies [C]//Proceedings of ACM SIGCOMM Intemet Measurement Workshop (IMW 2002), Nov 6-8, 2002, Marseilles, France. New York, NY,USA:ACM, 2002:71-82.[5] LAKHINA A, CROVELLA M, DIOT C. Mining anomalies using traffic feature distributions [C]// Proceedings of SIGCOMM, Aug 22-25, 2005, Philadelphia, PA, USA. New York, NY,USA: ACM, 2005: 217-228.[6] LAKHINA A, CROVELLA M, DIOT C. Diagnosing network-wide traffic anomalies [C]// Proceedings of ACM SIGCOMM, Aug 30 - Sep 3, 2004, Portland, OR, USA. New York, NY,USA: ACM, 2004: 219-230.[7] SCHWELLER R, GUPTA A, PARSONS E, et al. Reversible sketches for efficient and accurate change detection over network data streams [C]//Proceedings of ACM SIGCOMM Internet Measurement Conference (IMC』04), Oct 25-27, 2004, Taormina, Sicily, Italy. New York, NY,USA: ACM, 2004:207-212.[8] MAHONEY M V, CHAN P K. Learning rules for anomaly detection of hostile network traffic [C]// Proceedings of International Conference on Data Mining (ICDM』03), Nov 19-22, Melbourne, FL, USA . Los Alamitos, CA, USA: IEEE Computer Society, 2003:601-604.

『貳』 莫名其妙的就被扣流量和話費，如何監測移動設備中的惡意軟體

智能移動設備的發展給用戶帶來便捷的同時，也面臨了各種攻擊威脅，包括：Botnet、隱私竊取、釣魚攻擊等。據Juniper報告，去年（2012年3月到2013年3月）移動惡意軟體數量達到了27.6259萬。而受經濟利益驅使，攻擊者編寫針對移動終端的惡意軟體通常是為了帶來直接的金錢收益，如，Lookout的統計數據顯示78.5%的針對Android系統的惡意攻擊中會造成用戶賬戶被惡意扣費。另外，由於移動終端的網路操作通常需要付費，惡意軟體通常通過在後台預埋會造成網路流量的代碼來造成用戶賬戶被扣流量，這種方式實現起來也很容易。在面臨復雜多樣的安全威脅時，根據移動設備操作系統的不同（這里主要對iOS、Android進行說明），用戶可以使用以下幾種方式監測移動設備中的惡意軟體：

（一）iOS系列的移動設備，包括iPhone、iPad和iPod Touch等蘋果的移動設備。這些iOS移動設備，在沒有越獄的情況下，由於只能從官方在線商店安裝第三方軟體，因此設備中存在惡意軟體的概率非常低。但是iOS用戶中選擇進行越獄非常多，有的是希望安裝插件讓iOS 具有更多的功能，有的則是希望越獄之後用到免費的付費應用。如果是越獄後的iOS設備，那麼就需要一定措施來保護設備安全了。首先要修改越獄後的iOS根用戶的密碼，因為很多iOS惡意軟體都是利用了默認根用戶密碼(alpine)來進行攻擊的。很多用戶在越獄後選擇通過 Cydia 商店安裝第三方軟體，安裝這些軟體的時候沒有任何許可權提示，因此需要注意插件的「源」。在 Cydia 中可以添加不同的「源」，這相當於一個個不同的應用商店，請盡量選擇著名的來源，對於不知名的來源盡量避免安裝。iOS上幾乎沒有實際意義上的安全軟體。這是因為越獄之前，iOS給第三方軟體的許可權很小，不足以支持標準的安全或者殺毒軟體。而且越獄前的iOS設備因為幾乎不可能感染病毒因此也沒有必要安裝殺毒軟體。在越獄之後，iOS的安全性降低，但越獄用戶對此是有心理准備的，因此也使得越獄後的安全軟體幾乎沒有市場。

（二）對於Android用戶來說，選擇性就比較多了。首先，Android用戶在安裝每一個第三方軟體的時候，可以仔細核查軟體所列出的許可權列表。如果遇到你不希望該軟體擁有的許可權，比如讀取聯系人信息，那麼可以拒絕安裝該軟體。如果有些著名的軟體，用戶又必須要使用，但是又不想要該軟體得到相應的隱私信息。這種情況下可以安裝一些許可權管理軟體。這些許可權管理軟體有些是直接禁止指定的第三方軟體訪問某些許可權，但這樣容易導致第三方軟體崩潰。因此這些許可權管理軟體還提供另外一個選項：虛擬隱私信息。當第三方軟體想讀取部分隱私信息的時候(比如聯系人信息)，這些管理軟體會給第三方軟體返回相應的虛擬出來的隱私信息，而不是用戶實際有的隱私信息。這樣一來，既可以保護用戶的信息，又不會導致被管理的第三方軟體崩潰。最後，安卓市場上有大量的安全監控軟體和殺毒軟體，可以幫助用戶對自己安卓移動設備上的惡意軟體進行監測和防護。建議選擇一款比較著名的安全軟體安裝。

『叄』 威脅防護包含哪幾種攻擊檢測類型

雖然黑客攻擊的手法多種多樣，但就目前來說，絕大多數中初級黑客們所採用的手法和工具仍具有許多共性。從大的方面來劃分的話，歸納起來一般不外乎以下幾種：1、網路報文嗅探網路嗅探其實最開始是應用於網路管理的，就像遠程式控制制軟體一樣，但隨著黑客們的發現，這些強大的功能就開始被客們利用。最普遍的安全威脅來自內部，同時這些威脅通常都是致命的，其破壞性也遠大於外部威脅。其中網路嗅探對於安全防護一般的網路來說，使用這種方法操作簡單，而且同時威脅巨大。很多黑客也使用嗅探器進行網路入侵的滲透。網路嗅探器對信息安全的威脅來自其被動性和非干擾性，使得網路嗅探具有很強的隱蔽性，往往讓網路信息泄密變得不容易被發現。
嗅探器是利用計算機的網路介面，截獲目的計算機數據報文的一種技術。不同傳輸介質的網路的可監聽性是不同的。一般來說，乙太網被監聽的可能性比較高，因為乙太網是一個廣播型的網路；FDDI Token被監聽的可能性也比較高，盡管它不是一個廣播型網路，但帶有令牌的那些數據包在傳輸過程中，平均要經過網路上一半的計算機；微波和無線網被監聽的可能性同樣比較高，因為無線電本身是一個廣播型的傳輸媒介，彌散在空中的無線電信號可以被很輕易的截獲。
嗅探器工作在網路的底層，把受影視的計算機的網路傳輸全部數據記錄下來。雖然嗅探器經常初網管員用來進行網路管理，可以幫助網路管理員查找網路漏洞和檢測網路性能、分析網路的流量，以便找出所關心的網路中潛在的問題。但目前卻在黑客中的應用似乎更加廣泛，使人們開始對這類工具敬而遠之。2、地址欺騙IP地址欺騙攻擊是黑客們假冒受信主機（要麼是通過使用你網路IP地址范圍內的IP，要麼是通過使用你信任，並可提供特殊資源位置訪問的外部IP地址）對目標進行攻擊。在這種攻擊中，受信主機指的是你擁有管理控制權的主機或你可明確做出「信任」決定允許其訪問你網路的主機。通常，這種IP地址欺騙攻擊局限於把數據或命令注入到客戶/服務應用之間，或對等網路連接傳送中已存在的數據流。為了達到雙向通訊，攻擊者必須改變指向被欺騙IP地址的所有路由表。 IP地址攻擊可以欺騙防火牆，實現遠程攻擊。以上介紹的報文嗅探，IP欺騙的攻擊者不限於外部網路，在內部網路中同樣可能發生，所以在企業網路內部同樣要做好相關防禦措施。 3、密碼攻擊 密碼攻擊通過多種不同方法實現，包括蠻力攻擊（brute force attack），特洛伊木馬程序，IP欺騙和報文嗅探。盡管報文嗅探和IP欺騙可以捕獲用戶賬號和密碼，但密碼攻擊通常指的反復的試探、驗證用戶賬號或密碼。這種反復試探稱之為蠻力攻擊。通常蠻力攻擊使用運行於網路上的程序來執行，並企圖注冊到共享資源中，例如伺服器。當攻擊者成功的獲得了資源的訪問權，他就擁有了和那些賬戶被危及以獲得其資源訪問權的用戶有相同的權利。如果這些賬戶有足夠奪得特權，攻擊者可以為將來的訪問創建一個後門，這樣就不用擔心被危及用戶賬號的任何身份和密碼的改變。 4、拒絕服務攻擊 拒絕服務（Denial of Service，DoS）攻擊是目前最常見的一種攻擊類型。從網路攻擊的各種方法和所產生的破壞情況來看，DoS算是一種很簡單，但又很有效的進攻方式。它的目的就是拒絕你的服務訪問，破壞組織的正常運行，最終使你的網路連接堵塞，或者伺服器因疲於處理攻擊者發送的數據包而使伺服器系統的相關服務崩潰、系統資源耗盡。
DoS的攻擊方式有很多種，最基本的DoS攻擊就是利用合理的服務請求來佔用過多的服務資源，從而使合法用戶無法得到服務。DoS攻擊的基本過程：首先攻擊者向伺服器發送眾多的帶有虛假地址的請求，伺服器發送回復信息後等待回傳信息。由於地址是偽造的，所以伺服器一直等不到回傳的消息，然而伺服器中分配給這次請求的資源就始終沒有被釋放。當伺服器等待一定的時間後，連接會因超時而被切斷，攻擊者會再度傳送新的一批請求，在這種反復發送偽地址請求的情況下，伺服器資源最終會被耗盡。
這類攻擊和其他大部分攻擊不同的是，因為他們不是以獲得網路或網路上信息的訪問權為目的，而是要使受攻擊方耗盡網路、操作系統或應用程序有限的資源而崩潰，不能為其他正常其他用戶提供服務為目標。這就是這類攻擊被稱之為「拒絕服務攻擊」的真正原因。
當涉及到特殊的網路服務應用，象HTTP或FTP服務，攻擊者能夠獲得並保持所有伺服器支持的有用連接，有效地把伺服器或服務的真正使用者拒絕在外面。大部分拒絕服務攻擊是使用被攻擊系統整體結構上的弱點，而不是使用軟體的小缺陷或安全漏洞。然而，有些攻擊通過採用不希望的、無用的網路報文掀起網路風暴和提供錯誤的網路資源狀態信息危及網路的性能。
DDoS（Distributed Denial of Service，分布式拒絕服務）是一種基於DoS的特殊形式的分布、協作式的大規模拒絕服務攻擊。也就是說不再是單一的服務攻擊，而是同時實施幾個，甚至十幾個不同服務的拒絕攻擊。由此可見，它的攻擊力度更大，危害性當然也更大了。它主要瞄準比較大的網站，象商業公司，搜索引擎和政府部門的Web站點。
要避免系統遭受DoS攻擊，從前兩點來看，網路管理員要積極謹慎地維護整個系統，確保無安全隱患和漏洞；而針對第三點的惡意攻擊方式則需要安裝防火牆等安全設備過濾DoS攻擊，同時強烈建議網路管理員定期查看安全設備的日誌，及時發現對系統存在安全威脅的行為。 5、應用層攻擊 應用層攻擊能夠使用多種不同的方法來實現，最平常的方法是使用伺服器上通常可找到的應用軟體（如SQL Server、Sendmail、PostScript和FTP）缺陷。通過使用這些缺陷，攻擊者能夠獲得計算機的訪問權，以及該計算機上運行相應應用程序所需賬戶的許可權。
應用層攻擊的一種最新形式是使用許多公開化的新技術，如HTML規范、Web瀏覽器的操作性和HTTP協議等。這些攻擊通過網路傳送有害的程序，包括JAVA applet和Active X控制項等，並通過用戶的瀏覽器調用它們，很容易達到入侵、攻擊的目的。雖然微軟公司前段時間提供的代碼驗證技術可以使用戶的Active X控制項因安全檢查錯誤而暫停這類攻擊，但攻擊者已經發現怎樣利用適當標記和有大量漏洞的Active X控制項使之作為特洛伊木馬實施新的攻擊方式。這一技術可使用VBScript腳本程序直接控制執行隱蔽任務，如覆蓋文件，執行其他文件等，預防、查殺的難度更大。
在應用層攻擊中，容易遭受攻擊的目標包括路由器、資料庫、Web和FTP伺服器和與協議相關的服務，如DNS、WINS和SMB。

『肆』 如何防範移動互聯網中的各種安全威脅

移動互聯網逐漸滲透到人們的工作和日常生活中，豐富了人們溝通、娛樂體驗的同時，垃圾簡訊、手機病毒、無端死機等一系列問題也在凸顯。做好防範移動互聯網中存在的安全威脅，是一個社會問題，是個綜合問題，需要各方協調起來做，從而促進移動互聯網的健康發展。

1. 對於普通用戶來說，應該提高網路安全意識和防範技能，增加網路安全防護知識，改掉不良的上網習慣和不當的手機操作行為，及時安裝殺毒軟體、查補漏洞。不訪問問題站點 、不下載或安裝不明內容或應用的軟體。學會辨別問題網站、惡意軟體以及各種網路欺詐行為。

2. 運營商、網路安全供應商、手機製造商等廠商，要從移動互聯網整體建設的各個層面出發，分析存在的各種安全風險，聯合建立一個科學的、全局的、可擴展的網路安全體系和框架。綜合利用各種安全防護措施，保護各類軟硬體系統安全、數據安全和內容安全，並對安全產品進行統一的管理，包括配置各相關安全產品的安全策略、維護相關安全產品的系統配置、檢查並調整相關安全產品的系統狀態等。建立安全應急系統，做到防患於未然。移動互聯網的相關設備廠商要加強澀北安全性能研究，利用集成防火牆或其他技術保障設備安全。

3. 網路信息提供商應進一步完善信息內容的預審管理機制，加強信息內容傳播的監控手段，從信息源上阻斷不安全因素的傳播。要根據用戶的需求變化，提供整合的安全技術產品，要提高軟體技術研發水平，整個產品類型要由單一功能的產品防護向集中管理過渡，不斷提高安全防禦技術。只有如此，才能更好地保衛移動互聯網的安全，進而推動其健康有序的發展。

4. 政府的相關監管部門要協調好相互間的利益，建立並完善移動互聯網相關監管機制，加快相關的法律、法規建設，加大執法力度，嚴懲移動互聯網網路犯罪行為。同時，政府監管部門有義務開展對移動互聯網相關安全知識的宣傳教育活動，提高全社會的網路安全防範意識。

『伍』 如何判斷網站遭到流量攻擊了

流量異常增長，並且沒有正常的關鍵詞搜入記錄，網站載入速度突然變得巨慢，還有癱瘓的趨勢，就是在遇到流量攻擊了，這個時候應該立即進行流量清洗，網路搜索無限防雲伺服器就能做到。

『陸』 常見的網路安全威脅有哪些有哪些網路攻擊類型，針對以上問題可採取什麼防範措施，請列舉一些常規的網路

不聯網。只要聯網，就能被侵犯。

『柒』 網路安全威脅有哪些

計算機網路安全所面臨的威脅主要可分為兩大類：一是對網路中信息的威脅，二是對網路中設備的威脅。

從人的因素 考慮，影響網路安全的因素包括：
（1）人為的無意失誤。
（2）人為的惡意攻擊。一種是主動攻擊，另一種是被動攻擊。
（3）網路軟體的漏洞和「後門」。

針對您的問題這個一般都是針對WEB攻擊吧！一般有釣魚攻擊！網站掛馬！跨站攻擊！！DDOS這些吧！至於防禦方案！不同情況不一樣！沒有特定標准！+
內部威脅，包括系統自身的漏洞，計算機硬體的突發故障等外部威脅，包括網路上的病毒，網路上的惡意攻擊等

5.黑客：

『捌』 網路安全威脅有哪些

第一、網路監聽
網路監聽是一種監視網路狀態、數據流程以及網路上信息傳輸的技術。黑客可以通過偵聽，發現有興趣的信息，比如用戶賬戶、密碼等敏感信息。
第二、口令破解
是指黑客在不知道密鑰的情況之下，恢復出密文件中隱藏的明文信息的過程，常見的破解方式包括字典攻擊、強制攻擊、組合攻擊，通過這種破解方式，理論上可以實現任何口令的破解。
第三、拒絕服務攻擊
拒絕服務攻擊，即攻擊者想辦法讓目標設備停止提供服務或者資源訪問，造成系統無法向用戶提供正常服務。
第四、漏洞攻擊
漏洞是在硬體、軟體、協議的具體實現或者系統安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統，比如利用程序的緩沖區溢出漏洞執行非法操作、利用操作系統漏洞攻擊等。
第五、網站安全威脅
網站安全威脅主要指黑客利用網站設計的安全隱患實施網站攻擊，常見的網站安全威脅包括：SQL注入、跨站攻擊、旁註攻擊、失效的身份認證和會話管理等。
第六、社會工程學攻擊
利用社會科學並結合常識，將其有效地利用，最終達到獲取機密信息的目的。

『玖』 常見的網站威脅有什麼

常見網站威脅
網站管理員應該意識到的最大威脅之一是網路釣魚計劃，網路釣魚計劃正越來越多地被用來竊取網站訪問者的個人信息，例如信用卡號，姓名和地址。網路釣魚可以通過多種方式發揮作用，但是當針對你網站的訪問者使用網路釣魚時，這種類型的攻擊很可能會以你網站的「復製版」形式出現。當你的常規站點訪問者被誘騙去訪問這些虛假站點時，他們可能會以假冒他們在你安全站點上的偽裝輸入他們的個人信息，信用卡號和其他敏感數據。從那裡，他們的信息可能會受到損害。
作為網站所有者，你應該意識到的另一個嚴重威脅是分布式拒絕服務（DDoS）攻擊。這些攻擊變得非常普遍，范圍和范圍可能很大。DDoS攻擊的運行方式是用虛假的網路流量充斥你的網站，最終目的是使伺服器不堪重負，使其關閉。這些攻擊不僅給站點管理員帶來麻煩，也給站點的常規訪問者帶來麻煩。

『拾』 如何查看我的網路流量,是否被攻擊

用找個軟體看看你的上傳信息。是不是非常大。這樣絕對會影響你的網站反應能力！
http://www..com/s?ct=0&ie=gb2312&bs=%D2%AA%D5%AE%B9%AB%CB%BE&sr=&z=&cl=3&f=8&wd=%CD%F8%C2%E7%C1%F7%C1%BF%BC%EC%B2%E2%B9%A4%BE%DF