華中科技大學(xué)病毒原理第7章網(wǎng)絡(luò)環(huán)境下的防御ppt課件

1、.7網(wǎng)絡(luò)環(huán)境下病毒的防治網(wǎng)絡(luò)環(huán)境下病毒的防治7.1網(wǎng)絡(luò)蠕蟲的檢測與抑制方法網(wǎng)絡(luò)蠕蟲的檢測與抑制方法7.2木馬的檢測與防治木馬的檢測與防治7.3網(wǎng)絡(luò)病毒的去除網(wǎng)絡(luò)病毒的去除7.4網(wǎng)絡(luò)環(huán)境下病毒的隔離措施網(wǎng)絡(luò)環(huán)境下病毒的隔離措施.7.1網(wǎng)絡(luò)蠕蟲的檢測與抑制方法網(wǎng)絡(luò)蠕蟲的檢測與抑制方法 7.1.1基于掃描的蠕蟲檢測基于掃描的蠕蟲檢測 7.1.2基于基于honeypot的蠕蟲檢測的蠕蟲檢測 7.1.3基于包匹配的蠕蟲檢測基于包匹配的蠕蟲檢測 7.1.4基于內(nèi)容的蠕蟲檢測基于內(nèi)容的蠕蟲檢測 7.1.6基于終端源頭平安的蠕蟲抑制模型基于終端源頭平安的蠕蟲抑制模型.7.1.1基于掃描的蠕蟲檢測基于掃描的蠕蟲

2、檢測很多蠕蟲傳播是依托選擇性隨機(jī)掃描方式(如Code Red蠕蟲)。大范圍的隨機(jī)掃描往往是蠕蟲迸發(fā)時的征兆，因此搜集這些掃描活動就能在一定程度上發(fā)現(xiàn)蠕蟲。Massachusetts大學(xué)的Zou等人正是利用這種思想，經(jīng)過統(tǒng)計對未用地址進(jìn)展的掃描來分析能否發(fā)生蠕蟲。他們提出了一個蠕蟲預(yù)警系統(tǒng)模型，該模型主要包含兩個部分:蠕蟲預(yù)警中心和大量的監(jiān)視器。這些監(jiān)視器分布在Internet的各個位置上，主要是搜集本地蠕蟲掃描的相關(guān)數(shù)據(jù)，然后將統(tǒng)計數(shù)據(jù)發(fā)送到預(yù)警中心。預(yù)警中心那么綜合分析收到的數(shù)據(jù)。為了減少預(yù)警中心需求處置的數(shù)據(jù)量，在傳送到預(yù)警中心之前，需求對這些原始數(shù)據(jù)進(jìn)展預(yù)處置(如數(shù)據(jù)交融)，因此系統(tǒng)添加

3、了多個數(shù)據(jù)混合器。監(jiān)視器分為兩種，即入口監(jiān)視器和出口監(jiān)視器。這種方法可以在蠕蟲剛開場傳播不久就進(jìn)展預(yù)警。該方法的一個主要缺陷就是系統(tǒng)的監(jiān)控范圍必需很廣，如監(jiān)控的地址空間數(shù)為220，否那么會導(dǎo)致很大的誤差。不能直接去去除蠕蟲，阻止蠕蟲對網(wǎng)絡(luò)的破壞，保證網(wǎng)絡(luò)性能.7.1.2基于基于honeypot的蠕蟲檢測的蠕蟲檢測 Honeypot是一種用來搜集入侵行為信息并學(xué)習(xí)入侵過程的工具。由于Honeypot沒有向外界提供真正有價值的效力，因此一切進(jìn)出Honeypot的數(shù)據(jù)均被視為可疑數(shù)據(jù)，這樣就大大減少了所需求分析的數(shù)據(jù)量。劍橋大學(xué)的Kreibich等人提出運用Honeypot來自動提取蠕蟲的特征，然后

4、將這些特征參與到現(xiàn)有的IDS特征庫。他們將該系統(tǒng)稱為Honeycomb。其詳細(xì)做法是:首先對進(jìn)入Honeycomb的數(shù)據(jù)包進(jìn)展協(xié)議解析；然后提取運用層數(shù)據(jù)，利用后綴樹算法提取出最長的一樣子串；最后將這些子串作為蠕蟲的特征參與到IDS的特征庫中。采用這種方法可以極大地減少人工操作，并且可以縮短蠕蟲發(fā)生到特征提取之間的時間，有助于在初期就發(fā)現(xiàn)蠕蟲。.7.1.3基于包匹配的蠕蟲檢測基于包匹配的蠕蟲檢測 Xuan Chen和Heideman建立了一個基于路由器的蠕蟲檢測系統(tǒng)DEWP來實現(xiàn)蠕蟲的檢測和過濾。其方法基于這樣的察看景象:由于大多數(shù)蠕蟲都是針對某一個網(wǎng)絡(luò)效力的破綻，因此當(dāng)這種蠕蟲迸發(fā)時，在路由

5、器的兩個方向上均會出現(xiàn)大量目的端口一樣的網(wǎng)絡(luò)流量，并且不同目的地址數(shù)量急劇添加，當(dāng)數(shù)量增長到超越一定閾值時就以為發(fā)生了蠕蟲。 DEWP主要包含蠕蟲檢測模塊和包過濾模塊。蠕蟲檢測模塊進(jìn)展目的端口匹配和目的地址計數(shù)，假設(shè)發(fā)現(xiàn)蠕蟲，就將可疑蠕蟲數(shù)據(jù)包的目的端口參與包過濾模塊中，從而限制其傳播.7.1.4基于內(nèi)容的蠕蟲檢測基于內(nèi)容的蠕蟲檢測 經(jīng)過仔細(xì)分析現(xiàn)有各種蠕蟲的特點可以發(fā)現(xiàn)，這些蠕蟲具有一個明顯的共性：蠕蟲數(shù)據(jù)包的內(nèi)容是類似的。因此一些系統(tǒng)，如Autograph和EarlyBird均利用此性質(zhì)來檢測蠕蟲并自動提取特征。其根本方法是:假設(shè)在一段時間內(nèi)出現(xiàn)大量的反復(fù)數(shù)據(jù)包，那么以為出現(xiàn)蠕蟲，并將反復(fù)

6、部分作為蠕蟲特征.7.1.5基于傳播行為的蠕蟲檢測基于傳播行為的蠕蟲檢測Ellis等人指出蠕蟲在傳播過程中表達(dá)了以下三個特征：1.傳播數(shù)據(jù)的類似性；2.蠕蟲傳播呈類似樹狀構(gòu)造(不思索反復(fù)感染的情況)；3.主機(jī)感染蠕蟲后其行為發(fā)生變化，也稱為角色發(fā)生變化，即由攻擊的受害者變?yōu)楣舻陌l(fā)起者。因此可以經(jīng)過察看網(wǎng)絡(luò)中能否出現(xiàn)上述方式來判別蠕蟲能否發(fā)生。與此類似，Staniford等人提出了用活動圖的方式來檢測蠕蟲。其主要缺陷在于這種方法需求察看一切的網(wǎng)絡(luò)活動，因此普通只適宜于部分網(wǎng)絡(luò)。前面引見的蠕蟲抑制模型中，都是在網(wǎng)絡(luò)中并入專門或者兼職基于DNS效力的蠕蟲傳播模型檢測的設(shè)備，經(jīng)過監(jiān)控網(wǎng)絡(luò)中的數(shù)據(jù)特點

7、，看看能否帶有蠕蟲迸發(fā)的特征從而檢測出網(wǎng)絡(luò)中能否有蠕蟲的存在，甚至定位到某臺主機(jī)。假設(shè)思索在網(wǎng)絡(luò)中的各臺主機(jī)上就對本身的數(shù)據(jù)進(jìn)出進(jìn)展檢測，分析能否帶有感染蠕蟲的特征，從而判別本身能否曾經(jīng)被感染，進(jìn)而找出可疑進(jìn)程作為進(jìn)一步的處置。.7.1.6基于源頭平安的蠕蟲抑制?；谠搭^平安的蠕蟲抑制模型型 在蠕蟲抑制模型中，都是在網(wǎng)絡(luò)中并入專門或者兼職基于DNS效力的蠕蟲傳播模型檢測的設(shè)備，經(jīng)過監(jiān)控網(wǎng)絡(luò)中的數(shù)據(jù)特點，看看能否帶有蠕蟲迸發(fā)的特征從而檢測出網(wǎng)絡(luò)中能否有蠕蟲的存在，甚至定位到某臺主機(jī)。假設(shè)思索在網(wǎng)絡(luò)中的各臺主機(jī)上就對本身的數(shù)據(jù)進(jìn)出進(jìn)展檢測，分析能否帶有感染蠕蟲的特征，從而判別本身能否曾經(jīng)被感染，進(jìn)

8、而找出可疑進(jìn)程作為進(jìn)一步的處置。這就是基于終端平安的蠕蟲抑制模型。整個模型分為三個模塊：中心控制模塊，蠕蟲檢測模塊和蠕蟲定位模塊。.7.2木馬的檢測與防治木馬的檢測與防治 7.2.1木馬的檢測技術(shù) 1靜態(tài)檢測方法 2 動態(tài)檢測方法 7.2.2木馬的去除.7.2.1木馬的檢測技術(shù)(靜態(tài)) 對于靜態(tài)檢測方式，根據(jù)采用的工具不同可分為：基于殺毒軟件的方式和專門的木馬檢測方式。殺毒軟件的檢測方法為：把木馬作為病毒來檢測，首先對大量的木馬病毒文件進(jìn)展格式分析普通均為PE格式，在文件的代碼段中找出一串特征字符串作為木馬病毒的特征，建立特征庫。然后，對磁盤文件、傳入系統(tǒng)的比特串進(jìn)展掃描匹配，如發(fā)現(xiàn)有字符串與

9、木馬病毒特征匹配就以為發(fā)現(xiàn)了木馬病毒.7.2.1木馬的檢測技術(shù)(動態(tài))動態(tài)檢測的根本思想：1監(jiān)視對注冊表操作和文件訪問檢測木馬注冊表是木馬進(jìn)展隱蔽啟動的主要工具，是木馬進(jìn)展系統(tǒng)配置修正及其它惡意功能的操作重要對象之一，被木馬用于保管數(shù)據(jù)和隱蔽運轉(zhuǎn)方式。系統(tǒng)文件也是木馬進(jìn)展隱蔽啟動和本身文件隱蔽的重要利用對象。系統(tǒng)目錄是木馬進(jìn)展本身文件隱蔽的重要地方。根據(jù)系統(tǒng)的效力和運用需求，監(jiān)控和維護(hù)注冊表中木馬能用于隱蔽運轉(zhuǎn)、隱蔽啟動及系統(tǒng)平安配置的各項。監(jiān)控程序?qū)ο到y(tǒng)文件的訪問。對這些對象訪問的可疑操作行為和可疑操作企圖就是進(jìn)展分析檢測木馬的根據(jù)。2從運轉(zhuǎn)行為和通訊行為檢測木馬木馬植入被攻擊的目的系統(tǒng)后，

10、為了可以完成其惡意操作目的，必需有一定啟動方式、在系統(tǒng)中需求一定的運轉(zhuǎn)方式。木馬為了與控制端攻擊者進(jìn)展通訊，普通需求有一個通訊方式。木馬為了掩蓋其目的和行為，必需進(jìn)展運轉(zhuǎn)、通訊、啟動的隱蔽。而木馬的運轉(zhuǎn)、通訊、啟動的隱蔽行為是正常的運用程序極少采用。經(jīng)過檢測這些運轉(zhuǎn)、通訊、啟動的隱蔽行為進(jìn)而發(fā)現(xiàn)隱蔽在系統(tǒng)中的木馬。3監(jiān)視特定的API調(diào)用，發(fā)現(xiàn)木馬的隱蔽和惡意操作行為.木馬植入運轉(zhuǎn)的資源控制掃描監(jiān)控戰(zhàn)略注冊表掃描監(jiān)控行文分析戰(zhàn)略文件目錄掃描監(jiān)控可疑調(diào)用監(jiān)控分析網(wǎng)絡(luò)通訊過濾木馬動靜態(tài)特征庫端口進(jìn)程關(guān)聯(lián)掃描可疑行為分析木馬刪除行為戰(zhàn)略編輯戰(zhàn)略編輯編輯特征庫寫入木馬特征發(fā)現(xiàn)木馬可疑行為.7.3網(wǎng)絡(luò)病毒

11、的去除(通用)網(wǎng)絡(luò)病毒主要是指主要經(jīng)過網(wǎng)絡(luò)傳染的病毒，網(wǎng)絡(luò)指的是傳染渠道，就病毒本身而言，能夠包括文件型病毒、引導(dǎo)型病毒等多種病毒。所以這里說的去除方法是針對網(wǎng)絡(luò)，主要是局域網(wǎng)這一特殊傳染環(huán)境的各種針對性措施：立刻便用BROADCAST等命令，通知一切用戶退網(wǎng)，對比文件效力器。用帶有寫維護(hù)的“干凈系統(tǒng)盤啟動系統(tǒng)管理員任務(wù)站，并立刻去除本機(jī)病毒。用帶有寫維護(hù)的“干凈的系統(tǒng)盤啟動文件效力器，系統(tǒng)管理員登錄后，運用DISABLE LOGIN等命令制止其他用戶登錄。將文件效力器的硬盤中的資料備份到干凈的軟盤上。但千萬不可執(zhí)行硬盤上的安裝程序，也千萬不要往硬盤在中復(fù)制文件，以免破壞病毒搞壞的硬盤數(shù)據(jù)。用

12、病毒防治軟件掃描效力器上的一切卷的文件，恢復(fù)或刪除被病毒感染的文件，重新安裝被刪除文件。用病毒防治軟件掃描并去除一切能夠染上病毒的軟盤或備份文件中的病毒。用病毒防治軟件掃描并去除一切的有盤任務(wù)站應(yīng)硬盤上的病毒。在確信病毒曾經(jīng)徹底去除后，重新啟動網(wǎng)絡(luò)和任務(wù)站。如有異常景象，請網(wǎng)絡(luò)平安與病毒防治專家來處置。.7.3網(wǎng)絡(luò)病毒的去除(蠕蟲)一其中檢測效力器IDS：定期生成染毒計算機(jī)IP地址列表。二修正正的DNS效力器：獲取染毒計算機(jī)IP地址列表，過濾染毒計算機(jī)IP三地址產(chǎn)生的DNS懇求，將染毒計算機(jī)導(dǎo)向警示效力器。四警示效力器Warning Information Server：提供染毒告警信息，提供

13、補(bǔ)丁程序、殺毒工具下載，搜集用戶相關(guān)信息。.7.4網(wǎng)絡(luò)環(huán)境中的病毒免疫戰(zhàn)略網(wǎng)絡(luò)環(huán)境中的病毒免疫戰(zhàn)略 7.4.1人工免疫戰(zhàn)略人工免疫戰(zhàn)略 7.4.2網(wǎng)絡(luò)環(huán)境中的免疫戰(zhàn)略網(wǎng)絡(luò)環(huán)境中的免疫戰(zhàn)略 7.4.3免疫戰(zhàn)略的局限免疫戰(zhàn)略的局限.7.4.1人工免疫戰(zhàn)略人工免疫戰(zhàn)略 疫苗檢測器、記憶檢測器和成熟檢測器。 疫苗檢測器存儲的是人類曾經(jīng)研討出相應(yīng)對抗戰(zhàn)略的網(wǎng)絡(luò)病毒特征及其疫苗，用來防御已被人類掌控的病毒攻擊；記憶檢測器存儲的是己被確認(rèn)的網(wǎng)絡(luò)病毒特征信息，用來檢測己迸發(fā)的網(wǎng)絡(luò)病毒；成熟檢測器存儲的是類似網(wǎng)絡(luò)病毒特征的信息，用來檢測第一次攻擊網(wǎng)絡(luò)的病毒。它們先分工完成各自的檢測義務(wù)后共同協(xié)作防御盡能夠多的網(wǎng)

14、絡(luò)病毒攻擊。.7.4.2網(wǎng)絡(luò)環(huán)境中的免疫戰(zhàn)略網(wǎng)絡(luò)環(huán)境中的免疫戰(zhàn)略 免疫戰(zhàn)略可以分為靜態(tài)免疫戰(zhàn)略和動態(tài)免疫戰(zhàn)略。 靜態(tài)免疫戰(zhàn)略是指將疫苗一次性注入到指定節(jié)點中使其成為免疫節(jié)點，疫苗不在節(jié)點間進(jìn)展傳播；主要的靜態(tài)免疫戰(zhàn)略包括隨機(jī)免疫戰(zhàn)略、特定點免疫戰(zhàn)略和相識點免疫戰(zhàn)略。 動態(tài)免疫戰(zhàn)略是指將疫苗注入到選定的節(jié)點后，被免疫的節(jié)點向外傳播疫苗從而使其它節(jié)點也被免疫，整個免疫過程實踐上就是疫苗的傳播過程。.兩階段動態(tài)免疫戰(zhàn)略Two-phase Strategy,TPS 將疫苗的傳播分為兩個階段，第一階段疫苗沿著網(wǎng)絡(luò)節(jié)點構(gòu)成的途徑從低度結(jié)點向高度結(jié)點傳播，實現(xiàn)了對高度節(jié)點的優(yōu)先維護(hù)； 第二階段疫苗從高度結(jié)點

15、向低度結(jié)點傳播，實現(xiàn)了對低度節(jié)點的維護(hù)。由于每一個階段疫苗的傳播都是單向的，有效防止了雙向傳播和循環(huán)傳播，從而降低了網(wǎng)絡(luò)的流量.7.4.3免疫戰(zhàn)略的局限免疫戰(zhàn)略的局限 針對傳統(tǒng)方法的缺乏，將仿生技術(shù)運用到系統(tǒng)中，提出了一個病毒免疫方法。本節(jié)引見了人工免疫系統(tǒng)的根本組成與作用機(jī)制。對與傳統(tǒng)的病毒防治主要關(guān)注用戶個體，無法對整個網(wǎng)絡(luò)進(jìn)展有效的維護(hù)，因此也無法對病毒傳播所引發(fā)的DDoS攻擊做出有效的防御的問題。引見了網(wǎng)絡(luò)環(huán)境中的病毒免疫概念，并詳細(xì)引見了兩階段動態(tài)免疫戰(zhàn)略。并分析了該戰(zhàn)略的免疫覆蓋情況、免疫的速度和免疫的代價。把生物學(xué)的原理運用于計算機(jī)病毒，是一個新的課題。病毒免疫系統(tǒng)的研討，對計算

16、機(jī)系統(tǒng)以及網(wǎng)絡(luò)信息平安也具有深遠(yuǎn)的意義。對網(wǎng)絡(luò)環(huán)境中不同的病毒傳播模型，免疫戰(zhàn)略也不盡一樣，思索網(wǎng)絡(luò)環(huán)境中的免疫戰(zhàn)略才干更好的控制病毒的傳播。. 7.5網(wǎng)絡(luò)病毒的網(wǎng)絡(luò)隔離1 隔離技術(shù)的開展;2 基于銜接類型的隔離;3 確定傳播源的范圍;4 確定接納點的范圍;5 基于類型的隔離墻建立.7.5.1隔離背景 利用隔離措施切斷病毒的傳播是生物病毒防治的一個根本方法，早期的比較系統(tǒng)的隔離實際由M. Bellmore等人在1969年提出，本節(jié)提出的隔離墻主要是切斷結(jié)點之間的物理接觸，結(jié)點間的銜接是單一的，物理隔離是直觀可行的，也就是如今的物理隔離。1975年, N.J.T. Bailey 將生物的隔離定義

17、為兩元組的集合5，這些兩元組也就是病毒傳播的邊，文章給出了生物隔離的實際根底，也為后來的生物流行病隔離奠定了實際根底。但這種生物隔離實際沒有預(yù)見到如今龐雜的國際互連網(wǎng)Internet中包含種類如此眾多的動態(tài)銜接，且這些銜接都是邏輯的、籠統(tǒng)的。.7.5.1 網(wǎng)絡(luò)隔離技術(shù)的開展歷程 網(wǎng)絡(luò)隔離，英文名為Network Isolation，主要是指把兩個或兩個以上可路由的網(wǎng)絡(luò)如：TCP/IP經(jīng)過不可路由的協(xié)議如：IPX/SPX、NetBEUI等進(jìn)展數(shù)據(jù)交換而到達(dá)隔離目的。 第一代隔離技術(shù)完全的隔離 第二代隔離技術(shù)硬件卡隔離 第三代隔離技術(shù)數(shù)據(jù)轉(zhuǎn)播隔離 第四代隔離技術(shù)空氣開關(guān)隔離 第五代隔離技術(shù)平安通道

18、隔離。.已有隔離的技術(shù)Programmable disrupt of multicast packets for secure networks平安網(wǎng)絡(luò)中多播數(shù)據(jù)包的可編程中斷隔離 美國 專利號 5539373Hub-embedded system for automated network fault detection and isolation網(wǎng)絡(luò)缺陷的自動探測和隔離的Hub嵌入系統(tǒng) 美國 專利號6079034Data processing system and method including a network access connector for limiting access

19、 to the network網(wǎng)絡(luò)銜接器限制網(wǎng)絡(luò)訪問銜接的數(shù)據(jù)處置方法美國 專利號6754826Interface device with network isolation 網(wǎng)絡(luò)隔離的接口安裝美國 專利號7016358 Network abstraction and isolation layer for masquerading machine identity of a computer美國 專利號20050108407 The secure isolation gap中國 專利號CN2588677基于數(shù)據(jù)交換檢測的物理隔離網(wǎng)絡(luò)平安控制器中國 專利號 CN1421794 物理隔離控制開關(guān)

20、中國 專利號 CN146440.3 當(dāng)前網(wǎng)絡(luò)隔離的姿態(tài)當(dāng)前網(wǎng)絡(luò)隔離的姿態(tài)總結(jié)現(xiàn)有的網(wǎng)絡(luò)隔離研討和技術(shù)，無論是物理的、邏輯的還是兩者的混合方法，他們的隔離都是針對維護(hù)特定的子網(wǎng)，屬訪問控制的戰(zhàn)略，隔離針對的是特定的IP地址，被隔離的IP或被維護(hù)的IP是相對固定不變的，所以隔離相對容易。本章把它們歸類為基于IP地址的隔離IPBIIP-based isolation，根據(jù)隔離的范圍不同把它們分為兩類：一類是排他性隔離Exclusive IP based Isolation記為EIPBI，其主要思緒是除了被以為是平安的結(jié)點外，其他均被以為不平安的結(jié)點而被排除或隔離、不得訪問子網(wǎng)，一些平安

21、性要求較高的系統(tǒng)或單位的內(nèi)部網(wǎng)采用的就是這種隔離；另一類是選擇性隔離Selective IP based Isolation記為SIPBI，其思緒是選擇以為不平安的結(jié)點隔離，其他均被以為是平安的可以訪問子網(wǎng)，一些平安性要求不太高的系統(tǒng)或公開的網(wǎng)站采用的是SIPBI。很顯然SIPBI對網(wǎng)絡(luò)流量的影響減少了，但平安性降低了。值的留意的是無論EIPBI還是SIPBI，它們采取的隔離措施都是徹底切斷被隔離結(jié)點間的銜接，而不在乎這些銜接的類型。. 與這些來自具有固定IP的要挾不同，決大部分的網(wǎng)絡(luò)病毒并不是來自固定的IP，并且它們感染的目的也不是固定的。一個非常值得信任的IP 結(jié)點也會成為病毒傳播的媒介。

22、第二, 如今的Internet是一個龐大而復(fù)雜的網(wǎng)絡(luò)系統(tǒng)，其上運轉(zhuǎn)著各種不同的網(wǎng)絡(luò)運用平臺或稱為效力，而絕大部分的網(wǎng)絡(luò)病毒也是利用這些詳細(xì)的網(wǎng)絡(luò)運用平臺來傳播，也就是說病毒借助的是IP之上的某一類詳細(xì)的運用銜接，他們是邏輯的、籠統(tǒng)的，一臺銜接在Internet上的計算機(jī)能夠包含有許多種運用銜接，如圖1。只需切斷被隔離結(jié)點間病毒所借助的銜接類型，也就阻斷了病毒的傳播，而此時被隔離的結(jié)點間的其他銜接還可以繼續(xù)傳輸數(shù)據(jù)，這也就是本章要提出的運用類型的隔離Type Based Isolation(TBI)，顯然TBI對病毒的傳播隔離要比特定個體與個體的間的隔離復(fù)雜，但它對網(wǎng)絡(luò)的影響要比IPBI 小得多

23、。.7.5.3本節(jié)隔離的思緒1v2v3v4v5vFtpEmailHttpQQ.7.5.3本節(jié)隔離的思緒Ftp1v2v3v4vEmail疫區(qū)切斷5v6v7v8vYY注：本隔離隔離的是Email銜接.7.5.5隔離的實現(xiàn) 1)確定隔離的區(qū)域 2)建立隔離墻 3)隔離的效果分析.7.5.1當(dāng)前隔離的姿態(tài) 當(dāng)前計算機(jī)網(wǎng)絡(luò)的隔離都是基于IP地址的隔離IPBIIP-based isolation,根據(jù)隔離的范圍不同把它們分為兩類：一類是排他性隔離Exclusive IP based Isolation記為EIPBI； 另一類是選擇性隔離Selective IP based Isolation記為SIPBI，其思緒是選擇以為不平安的結(jié)點隔離，其他均被以為是平安的可以訪問子網(wǎng)，一些平安性要求不太高的系統(tǒng)或公開的網(wǎng)站采用的是