入侵检测安全解决方案
入侵检测安全解决方案
摘要:
随着互联网技术的飞速发展,网络安全逐渐成为一个潜在的巨大问题。但是长久以来,人们普遍关注的只是网络中信息传递的正确与否、速度怎样,而忽视了信息的安全问题,结果导致大量连接到Internet上的计算机暴露在愈来愈频繁的攻击中。因此,保证计算机系统、网络系统以及整个信息基础设施的安全已经成为刻不容缓的重要课题。本文先介绍入侵检测的概念和基本模型,然后按不同的类别分别介绍其技术特点。
关键词:
网络安全、入侵检测、入侵检测系统、蠕虫、入侵检测系统的发展
引言:
随着Internet的迅速扩张和电子商务的兴起,越来越多的企业以及政府部门依靠网络传递信息。然而网络的开放性与共享性使它很容易受到外界的攻击与破坏,信息的安全保密性受到了严重影响。与此同时,网上黑客的攻击活动也逐渐猖狂。人们发现保护资源和数据的安全,让其免受来自恶意入侵者的威胁是件非常重要的事。因此,保证计算机系统、网络系统以及整个信息基础设施的安全已经成为刻不容缓的重要课题,入侵检测技术随即产生。
正文:
该网络的拓扑结构分析
从网络拓扑图可以看出,该网络分为办公局域网、服务器网络和外网服务器,通过防火墙与互联网连接。在办公局域网中有一个交换机和一些客户机。对于办公局域网络,每台计算机处于平等的位置,两者之间的通信不用经过别的节点,它们处于竞争和共享的总线结构中。这种网络适用于规模不大的小型网络当中,管理简单方便,安全控制要求不高的场合。在服务器网络中,有目录服务器、邮件服务器等通过核心交换机,在经过防火墙与外网服务器相连,在通过外网防火墙与互联网相连。
网络拓扑结构安全性考虑
网络拓扑结构与网络的安全性关系很大,如果设备再好,结构设计有问题,比如拓扑结构不合理,使防火墙旋转放置在网络内部,而不是网络与外部的出口处,这样整个网络就不能抵挡外部的入侵了。设计好网络的拓扑结构,也就是使其进出口减少了收缩,把防御设备放置到网络的出入口,特别是防火墙和路由器,一定要放置在网络的边缘上,且是每个出入口均要有。
内网防火墙是一类防范措施的总称,它使得内部网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。防火墙简单的可以只用路由器实现,复杂的可以用主机甚至一个子网来实现。设置防火墙目的都是为了在内部网与外部网之间设立唯一的通道,简化网络的安全管理。
防火墙的功能有:
1、过滤掉不安全服务和非法用户
2、控制对特殊站点的访问
3、提供监视Internet安全和预警的方便端点
由于互连网的开放性,有许多防范功能的防火墙也有一些防范不到的地方:
1、防火墙不能防范不经由防火墙的攻击。例如,如果允许从受保护网内部不受限制的向外拨号,一些用户可以形成与Internet的直接的连接,从而绕过防火墙,造成一个潜在的后门攻击渠道。
2、防火墙不能防止感染了病毒的软件或文件的传输。这只能在每台主机上装反病毒软件。
3、防火墙不能防止数据驱动式攻击。当有些表面看来无害的数据被邮寄或复制到Internet 主机上并被执行而发起攻击时,就会发生数据驱动攻击。
因此,防火墙只是一种整体安全防范政策的一部分。这种安全政策必须包括公开的、以便用户知道自身责任的安全准则、职员培训计划以及与网络访问、当地和远程用户认证、拨出拨入呼叫、磁盘和数据加密以及病毒防护的有关政策。
2.网络的安全威胁
该网络网的特点是有一个办公局域网和服务器网络。这种情况下,网络面临着许多安全方面的威胁:
1)黑客攻击,特别是假冒源地址的拒绝服务攻击屡有发生。攻击者通过一些简单的攻击工具,就可以制造危害严重的网络洪流,耗尽网络资源或被攻击主机系统资源。但是同时,攻击者常常可以借助伪造源地址的方法逍遥法外,使网络管理员对这种攻击无可奈何;
2)病毒和蠕虫,在高速大容量的局域网络中,各种病毒和蠕虫,不论新旧都很容易通过不小心的用户或有漏洞的系统迅速传播扩散。其中特别是新发的网络蠕虫,常常可以在爆发初期的几个小时内就闪电般席卷全校甚至全球,造成网络阻塞甚至瘫痪;
3) 滥用网络资源,在校园网中总会出现滥用带宽等资源以致影响其它用户甚至整个网络正常使用的行为。如各种扫描、广播、访问量过大的视频下载服务等等。
3 系统功能需求
在以上安全威胁面前侵检测系统(Intrusion Detection System,IDS)必须满足以下需求:(1)确定攻击是否成功。由于基于主机的IDS使用含有已发生事件信息,它们可以比基于网络的IDS更加准确地判断攻击是否成功。在这方面,基于主机的IDS是基于网络的IDS完美补充,网络部分可以尽早提供警告,主机部分可以确定攻击成功与否。
(2)监视特定的系统活动。基于主机的IDS监视用户和访问文件的活动,包括文件访问、改变文件权限,试图建立新的可执行文件并且/或者试图访问特殊的设备。例如,基于主机的IDS可以监督所有用户的登录及下网情况,以及每位用户在联结到网络以后的行为。对于基于网络的系统经要做到这个程度是非常困难的。基于主机技术还可监视只有管理员才能实施的非正常行为。操作系统记录了任何有关用户帐号的增加,删除、更改的情况,只要改动一且发生,基于主机的IDS就能检察测到这种不适当的改动。基于主机的IDS还可审计能影响系统记录的校验措施的改变。基于主机的系统可以监视主要系统文件和可执行文件的改变。系统能够查出那些欲改写重要系统文件或者安装特洛伊木马或后门的尝试并将它们中断。而基于网络的系统有时会查不到这些行为。
(3)能够检查到基于网络的系统检查不出的攻击。基于主机的系统可以检测到那些基于网络的系统察觉不到的攻击。例如,来自主要服务器键盘的攻击不经过网络,所以可以躲开基于网络的入侵检测系统。
(4)适用被加密的和交换的环境。交换设备可将大型网络分成许多的小型网络部件加以管理,所以从覆盖足够大的网络范围的角度出发,很难确定配置基于网络的IDS的最佳位置。业务映射和交换机上的管理端口有助于此,但这些技术有时并不适用。基于主机的入侵检测系统可安装在所需的重要主机上,在交换的环境中具有更高的能见度。某些加密方式也向基于网络的入侵检测发出了挑战。由于加密方式位于协议堆栈内,所以基于网络的系统可能对某些攻击没有反应,基于主机的IDS没有这方面的限制,当操作系统及基于主机的系统看到即将到来的业务时,数据流已经被解密了。
(5)近于实时的检测和响应。尽管基于主机的入侵检测系统不能提供真正实时的反应,但如果应用正确,反应速度可以非常接近实时。老式系统利用一个进程在预先定义的间隔内检查登记文件的状态和内容,与老式系统不同,当前基于主机的系统的中断指令,这种新的记
录可被立即处理,显著减少了从攻击验证到作出响应的时间,在从操作系统作出记录到基于主机的系统得到辨识结果之间的这段时间是一段延迟,但大多数情况下,在破坏发生之前,系统就能发现入侵者,并中止他的攻击。
(6)不要求额外的硬件设备。基于主机的入侵检测系统存在于现行网络结构之中,包括文件服务器,Web服务器及其它共享资源。这些使得基于主机的系统效率很高。因为它们不需要在网络上另外安装登记,维护及管理的硬件设备。
(7)记录花费更加低廉。基于网络的入侵检测系统比基于主机的入侵检测系统要昂贵的多。
4.入侵检测安全解决方案
单一的安全保护往往效果不理想,而最佳途径就是采用多层安全防护措施对信息系统进行全方位的保护结合不同的安全保护因素,例如防病毒软件、防火墙和安全漏洞检测工具,来创建一个比单一防护有效得的多的综合的保护屏障。分层的安全防护成倍地增加了黑客攻击的成本和难度,从而大大减少了他们对该网络的攻击。在内网防火墙后增加一个IDS入侵检测系统,在外网防火墙和互联网之间增加一个IDS入侵检测系统,入侵检测系统的漏洞的存在,通过对防火墙的配置提供稳定可靠的安全性。风险管理系统是一个漏洞和风险评估工具,用于发现、发掘和报告网络安全漏洞。防病毒软件的应用也是多层安全防护的一种必要措施。防病毒软件是专门为防止已知和未知的病毒感染企业的信息系统而设计的。它的针对性很强,但是需要不断更新。
入侵检测系统
入侵检测系统是指监视入侵或者试图控制你的系统或者网络资源的那种努力的系统。作为分层安全中日益被越普遍采用的成分,入侵检测系统将有效地提升黑客进入网络系统的门槛。入侵监测系统能够通过向管理员发出入侵或者入侵企图来加强当前的存取控制系统,例如防火墙;识别防火墙通常不能识别的攻击,如来自企业内部的攻击;在发现入侵企图之后提供必要的信息,帮助系统的移植。
入侵检测系统工具方面,基于主机与基于网络两条腿并行。在基于主机方面,ITA入侵检测系统中唯一基于规则的、实时的、集中管理的主机监测系统,它可以在网络边界和网络内部检查和响应来自外界的攻击和可疑行为。从功能上看,它可以探测出潜在的危险--包括审计日志外不正常的"印迹",并且根据安全管理员设定的规则,还可以对这些"印迹"进行分类并作出相应的反击响应。由于ITA即代表了网络IDS技术的发展趋势,所以在主动安全防护方面,富有创见性。NetProwler是一个基于网络的动态入侵检测系统,它提供了动态、实时、透明的网络IDS,能记录日志,同时可中断内部不满者和外部黑客的非授权使用、误用和滥用。尤其在动态扩展攻击特征库方面,NetProwler可使用SDSI虚拟处理器能够立即展开自定义攻击信号,中断严重的恶意攻击。总体上讲,可以帮助企业避免内部、远程、乃至授权用户所进行的网络探测、系统误用及其它恶意行为。作为一套战略工具,它还可帮助安全管理员制定杜绝未来攻击的可靠应对措施。在实施基于网络的IDS系统同时仍然在特定的敏感主机上增加代理是一个比较完善的策略。因为,基于主机的IDS与基于网络的IDS并行可以做到优势互补:网络部分提供早期警告,而基于主机的部分可提供攻击成功与否的情况分析与确认。所以如果企业将赛门铁克的NetProwler与Intruder Alert配合使用,能够达到更佳效果。
防火墙
由于,防火墙的就成为多层安全防护中必要的一层。一个防火墙为了提供稳定可靠的安全性,必须跟踪流经它的所有通信信息。为了达到控制目的,防火墙首先必须获得所有通信层和其它应用的信息,然后存储这些信息,还要能够重新获得以及控制这些信息。防火墙仅检查独立的信息包是不够的,因为状态信息--以前的通信和其它应用信息--是控制新的通信连接的最基本的因素。对于某一通信连接,通信状态(以前的通信信息)和应用状态是对该连接做控制决定的关键因素。因此为了保证高层的安全,防火墙必须能够访问、分析和利用通信信息、通信状态、应用状态,并做信息处理
而在防火墙方面,底层建立的应用程序代理防火墙产品更安全、更快速,并且更便于管理与公司的网络集成,以其独特的混合体系结构将多种功能基于一身,易于集中管理,可对企业提供全面的安全性防护。
风险管理系统
风险管理系统是一个漏洞和风险评估工具,用于发现、发掘和报告网络安全漏洞。的风险管理系统不仅能够检测和报告漏洞,而且还可以证明漏洞发生在什么地方以及发生的原因。在系统间分享信息并继续探测各种漏洞直到发现所有的安全漏洞;还可以通过发掘漏洞以提供更高的可信度以确保被检测出的漏洞是真正的漏洞。这就使得风险分析更加精确并确保管理员可以把风险程度最高的漏洞放在优先考虑的位置。
在风险管理解决方案方面,ESM是一种基于主机的安全漏洞扫描和风险评估工具,它通过简化整个安全策略的设置和安全过程,可最大可能的检测出系统内部的安全漏洞障碍,并且使管理人员能够迅速对其网络安全基础架构中存在的潜在漏洞进行评估并采取措施。NetRecon 可根据整体网络视图进行风险评估,同时可在那些常见安全漏洞被入侵者利用且实施攻击之前进行漏洞识别,从而保护网络和系统。由于NetRecon具备了网络漏洞的自动发现和评估功能,它能够安全地模拟常见的入侵和攻击情况,在系统间分享信息并继续探测各种漏洞直到发现所有的安全漏洞,从而识别并准确报告网络漏洞,并推荐修正措施。
在整个企业网络系统风险评估过程中,基于主机的ESM在内的安全漏洞扫描工具只限于在单一位置自动进行并整合安全策略的规划、管理及控制工作,其对于整个网络系统内的风险评估,尤其对于基于不同网络协议的网络风险评估不能面面俱到。
蜜罐(Honeypot)
蜜罐(Honeypot)是一种在互联网上运行的计算机系统。它是专门为吸引并诱骗那些试图非法闯入他人计算机系统的人(如电脑黑客)而设计的,蜜罐系统是一个包含漏洞的诱骗系统,它通过模拟一个或多个易受攻击的主机,给攻击者提供一个容易攻击的目标。由于蜜罐并没有向外界提供真正有价值的服务,因此所有对蜜罐尝试都被视为可疑的。蜜罐的另一个用途是拖延攻击者对真正目标的攻击,让攻击者在蜜罐上浪费时间。简单点一说:蜜罐就是诱捕攻击者的一个陷阱。
防病毒软件
防病毒软件的应用也是多层安全防护的一种必要措施。防病毒软件是专门为防止已知和未知的病毒感染企业的信息系统而设计的。它的针对性很强,但是需要不断更新。最新的诺顿防病毒企业版7.6,提供桌面计算机和文件服务器的全面防毒保护,并可协助企业建立多层次防毒以保护其资产。与此同时,诺顿防病毒企业版7.6特别针对Microsoft Exchange/ Lotus Notes两类邮件服务器设计了自动化电子邮件防毒及内容过滤功能。借助诺顿防病毒企业版7.6对邮件服务器提供的防护功能,即可维持邮件服务器的稳定及正常运作的前提下,只需要一次扫描便能探测出恶意程序及带病毒的进出电子邮件,并可对有毒或可疑的电子邮件实施隔离,从而可以确保企业的邮件系统的高度安全。
多层防护发挥作用
即使网络中的入侵检测系统失效,防火墙、风险评估和防病毒软件蜜罐系统还会起作用。配置合理的防火墙能够在入侵检测系统发现之前阻止最普通的攻击。安全漏洞评估能够发现漏洞并帮助清除这些漏洞。如果一个系统没有安全漏洞,即使一个攻击没有被发现,那么这样的攻击也不会成功。即使入侵检测系统没有发现已知病毒,防火墙没能够阻止病毒,安全漏洞检测没有清除病毒传播途径,防病毒软件同样能够侦测这些病毒。所以,在使用了多层安全防护措施以后,企图入侵该网络系统的黑客要付出成数倍的代价才有可能达到入侵目的。这时,你的信息系统的安全系数得到了大大的提升。
系统特点
(1)误用检测特征库
又称为基于知识的检测。其基本前提是:假定所有可能的入侵行为都能被识别和表示。首先,对已知的攻击方法进行攻击签名表示,然后根据已经定义好的攻击签名,通过判断这些攻击签名是否出现来判断入侵行为的发生与否攻击特征库是所有误用检测系统的核心部件,系统中规则的质量决定了误用检测的准确性和有效性。本系统中的攻击特征库记录有一千多条攻击特征,提供丰富的数据库管理接口,管理员可以很容易的增加或修改规则。同时,系统现有规则描述方法与互联网上常用的snort 规则兼容,并且支持动态扩展新的描述方法,使管理员可以迅速对新发现的攻击做出相应规则,保障检测系统的有效性。
(2) 异常检测和蠕虫爆发检测
又称为基于行为的检测。其基本前提是:假定所有的入侵行为都是异常的。首先建立系统或用户的“正常”行为特征轮廓,通过比较当前的系统或用户的行为是否偏离正常的行为特征轮廓来判断是否发生了入侵。异常检测子系统可以统计被检测网络的流量、协议、服务、主机的活动行为,从而发现网络的异常。异常检测可以发现未知攻击,主要针对大规模的攻击行为,与误用检测互为补充。蠕虫是网络攻击的一种,由于具有自主传播的特性,对网络的影响远大于普通的攻击。本系统提出了一种新的蠕虫爆发检测算法,通过分析流量的变化趋势检测蠕虫。它的特点是可以在蠕虫对网络造成阻塞之前发出报警,从而使系统管理员和网络紧急响应组织有更多的时间做出反应。
(3)攻击源追踪
由于路由器在转发IP 包的时候不检查源地址,所以攻击者为了隐藏自己的信息,常常使用伪造源地址的方法,如常见的DoS 攻击就往往伴随着源地址的伪造。至今,追踪此类攻击的源地址仍是一个尚未圆满解决的问题。
攻击源追踪子系统使用所有监听网络边界路由器的记录目标地址为被攻击主机的流量数目。对于成功的攻击,其目的地址一定是真实的,所以将所有这些MA 的记录数据通过SS 汇总,使用MS 进行分析后,就可以判断是否此攻击由被监测网络发出。如果被检测网络内确实有主机发出DoS 攻击,则可进一步确定这台主机的位置。
参考文献:
蒋建春,冯登国.网络入侵检测原理与技术.北京:国防工业出版社
张云勇. 移动Agent及其应用. 北京:清华大学出版社
唐正军,等.网络入侵监测系统的设计与实现.北京:电子工业出版社
(注:文档可能无法思考全面,请浏览后下载,供参考。可复制、编制,期待你的好评与关注)
网络安全技术习题及答案 入侵检测系统
第9章入侵检测系统 1. 单项选择题 1)B 2)D 3)D 4)C 5)A 6)D 2、简答题 (1)什么叫入侵检测,入侵检测系统有哪些功能? 入侵检测系统(简称“IDS”)就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。 入侵检测系统功能主要有: 识别黑客常用入侵与攻击手段 监控网络异常通信
鉴别对系统漏洞及后门的利用 完善网络安全管理 (2)根据检测对象的不同,入侵检测系统可分哪几种? 根据检测对象的不同,入侵检测系统可分为基于主机的入侵检测基于网络的入侵检测、混合型三种。主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源。主机型入侵检测系统保护的一般是所在的系统。网络型入侵检测系统的数据源是网络上的数据包。一般网络型入侵检测系统担负着保护整个网段的任务。混合型是基于主机和基于网络的入侵检测系统的结合,它为前两种方案提供了互补,还提供了入侵检测的集中管理,采用这种技术能实现对入侵行为的全方位检测。 (3)常用的入侵检测系统的技术有哪几种?其原理分别是什么? 常用的入侵检测系统的技术有两种,一种基于误用检测(Anomal Detection),另一种基于异常检测(Misuse Detection)。 对于基于误用的检测技术来说,首先要定义违背安全策略事件的特征,检测主要判别这类特征是否在所收集到的数据中出现,如果检测到该行为在入侵特征库中,说明是入侵行为,此方法非常类似杀毒软件。基于误用的检测技术对于已知的攻击,它可以详细、准确的报告出攻击类型,但是对未知攻击却效果有限,而且知识库必须不断更新。 基于异常的检测技术则是先定义一组系统正常情况的数值,如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出),然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的正常情况。异常检测只能识别出那些与正常过程有较
浅谈网络安全中入侵检测技术的应用
浅谈网络安全中入侵检测技术的应用 摘要:信息社会的不断进步与发展,网络给人们带来了前所未有的便利,同时 也带来了全新的挑战。在网络安全问题备受关注的影响下,极大地促进了入侵检 测技术的应用与实施。通过入侵检测技术的应用,可以切实维护好计算机网络的 安全性与可靠性,避免个人信息出现泄漏、盗窃现象。本文主要阐述了入侵检测 技术,然后针对入侵检测技术在网络安全中的应用进行了研究,以供相关人士的 借鉴。 关键词:网络;安全;入侵检测技术;应用 目前,入侵检测技术在网络安全中得到了广泛的应用,发挥着不可比拟的作 用和优势,已经成为了维护网络安全的重要保障。在实际运行中,威胁网络安全 的因素比较多,带给了网络用户极大的不便。因此,必须要加强入侵检测技术的 应用,对计算机中的数据信息进行加密与处理,确保网络用户个人信息的完整性,创建良好的网络安全环境,更好地提升网络用户对网络的满意度。 1入侵检测技术的简述 1.1入侵检测的概述 入侵检测技术,是一种对计算机网络的程序进行入侵式的检测的先进技术, 它作为网络安全中第二道防线,起到保护计算机网络安全的作用。入侵检测是通 过收集与分析安全日志、行为、审计和其他可获得的信息以及系统的关键信息, 以此检测出计算机网络中违反安全策略的行为和受攻击的对象的一个工作过程。 它开展保护工作的过程具体可分为:监视、分析网络用户和网络系统活动;网络 安全系统构造和弱点的审查评估;认定反映已知进攻活动并作出警示警告;网络 系统异常行为的统计和分析4个步骤。入侵检测技术能够同时完成实时监控内部 攻击、外部攻击和错误操作的任务,把对网络系统的危害阻截在发生之前,并对 网络入侵作出响应,是一种相对传统的被动静态网络安全防护技术提出的一种积 极动态网络安全防护技术。 1.2入侵检测技术的特性 入侵检测技术基本上不具有访问控制的能力,这一技术就像拥有多年经验的 网络侦查员,通过对数据的分析,从数据中过滤可疑的数据包,将正常使用方式 与已知的入侵方式进行比较,来确定入侵检测是否成功。网络安全管理员根据这 些判断,就可以确切地知道所受到的攻击,并采取相应的措施来解决这一问题。 入侵检测系统是网络安全管理员经验积累的一种体现,减轻了网络安全管理员的 负担,降低了网络安全管理员的技术要求,并且提高了电力信息网络安全管理的 有效性和准确性。其功能有:①监视用户和系统的功能,查找非法用户合合法用户的越权操作。②审计系统配置的正确性和安全漏洞,并提示管理员修补后动。③对用户的非正常活动进行统计分析,发现入侵行为的规律。④操作系统的审 计跟踪管理,能够实时地对检测到的入侵行为进行反应,检查系统程序和数据的 一致性与正确性。 1.3入侵检测技术的流程 具体如下图1所示。现如今网络安全问题已经引起了社会各界人士的广泛关注,如何在发挥计算机数据库功能的同时避免其遭受病毒的侵袭,需要技术人员 给予足够的重视,不断提高自身的技术水平,了解入侵检测技术原理并实现技术 的合理使用,最为关键的是要严格按照应用流程进行操作,具体操作要点包括如 下几个步骤:①攻击者可以先通过某种方式在网络上注入网络攻击行为;②如果攻
网络入侵检测解决方案
网络入侵检测解决方案 1.网络型入侵侦测系统 入侵检测作为安全侦测的最后一道防线,能提供安全审计、监视、攻击识别和反攻击等多项功能,对内部攻击、外部攻击和误操作进行实时监控,是其它安全措施的必要补充,在网络安全防御中起到了不可替代的作用。 体系结构 系统采用引擎/控制台结构,引擎在网络中各个关键点部署,通过网络和中央控制台交换信息。 网络引擎部分运行于安全操作系统Open BSD之上,负责网络数据的获取、分析、检测,对警报进行过滤和实时响应,并发送给控制台进行显示和记录;控制台运行于Windows平台,负责警报信息的及时显示、记录、查阅,支持用户定制检测、响应策略和控制网络引擎。主要功能 “天眼”入侵侦测系统-网络型具备一般NIDS的主要功能,同时针对NIDS面临的威胁和NIDS发展方向开发出多项具有针对性的新功能,此外该系统对于国内外流行的防火墙包括本公司长城防火墙提供支持,具有较完备的检测、响应、互动能力,是一款高效实用的入侵防范工具,它的具体功能如下: 入侵侦测功能 能实时识别各种基于网络的攻击及其变形,包括DOS攻击、 CGI攻击、溢出攻击、后门探测和活动等。目前可以检测900余种攻击行为及其变形。 警报过滤功能 能根据定制的条件,过滤重复警报事件,减轻传输与响应的压力,同时还能保证警报信息不被遗。 实时响应功能 根据用户定义,警报事件在经过系统过滤后进行及时响应,包括实时切断连接会话、重新配置防火墙(支持中科网威“长城”防火墙、 CheckPoint FireWall-1和天融信防火墙)彻底屏蔽攻击、给管理员发送电子邮件、发送SNMP Trap报警、控制台实时显示、数据库记录等等。 系统策略定制功能 用户可以通过中央控制台详细定制系统策略、入侵侦测规则、警报过滤及响应规则等,还可以根据被保护平台、网络环境等信息选择预定义的策略,从而使系统能够真正适应具体环境的安全需求。
网络安全之入侵检测技术
网络安全之入侵检测技 术 Revised as of 23 November 2020
网络安全之入侵检测技术 标签: 2012-07-31 14:07 中国移动通信研究院卢楠 摘要:入侵检测技术作为网络安全中的一项重要技术已有近30年的发展历史,随着中国移动网络的开放与发展,入侵检测系统(IDS)也逐渐成为保卫中国移动网络安全不可或缺的安全设备之一。在入侵检测技术发展过程中,逐步形成了2类方法、5种硬件架构,不同的方法与架构都存在其优势与不足。本文基于入侵检测的应用场景,对现有的主流技术原理、硬件体系架构进行剖析;详细分析IDS产品的测评方法与技术,并介绍了一个科学合理、方便操作的IDS测评方案。最后,从应用需求出发分析入侵检测技术的未来发展趋势。 1、背景 目前,互联网安全面临严峻的形势。因特网上频繁发生的大规模网络入侵和计算机病毒泛滥等事件使很多政府部门、商业和教育机构等都受到了不同程度的侵害,甚至造成了极大的经济损失。 随着互联网技术的不断发展,网络安全问题日益突出。网络入侵行为经常发生,网络攻击的方式也呈现出多样性和隐蔽性的特征。当前网络和信息安全面临的形势严峻,网络安全的主要威胁如图1所示。
图1 目前网络安全的主要威胁 说到网络安全防护,最常用的设备是防火墙。防火墙是通过预先定义规则并依据规则对访问进行过滤的一种设备;防火墙能利用封包的多样属性来进行过滤,例如:来源 IP 、来源端口号、目的 IP 地址或端口号、(如 WWW 或是 FTP)。对于目前复杂的网络安全来说,单纯的防火墙技术已不能完全阻止网络攻击,如:无法解决木马后门问题、不能阻止网络内部人员攻击等。据调查发现,80%的网络攻击来自于网络内部,而防火墙不能提供实时入侵检测能力,对于病毒等束手无策。因此,很多组织致力于提出更多更强大的主动策略和方案来增强网络的安全性,其中一个有效的解决途径就是入侵检测系统IDS(Intrusion Detection Systems)。 2、入侵检测技术发展历史 IDS即入侵检测系统,其英文全称为:Intrusion Detection System。入侵检测系统是依照一定的安全策略,通过软件和硬件对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或攻击结果,以保证网络系统资源的机密性、完整性和可用性。IDS通用模型如图2所示。
网络安全现场检测表---入侵检测
测评中心控制编号:BJ-4122-08 / 修改记录:第0次 编号:BC-2012-1019/19 重要信息系统安全等级测评 现场检测表 被测单位名称: 被测系统名称: 测试对象编号: 测试对象名称: 配合人员签字: 测试人员签字: 核实人员签字: 测试日期: 测评中心 测试类别等级测评(二级) 测试对象 测试类网络安全 测试项安全审计 测试要求: 1.应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录; 2.审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他和审计相关的信 息。 测试内容: 1.应访谈安全审计员,询问边界和关键网络设备是否开启审计功能,审计内容包括哪些项;询 问审计记录的主要内容有哪些; 2.应检查边界和关键网络设备,查看其审计策略是否包括网络设备运行状况、网络流量、用户 行为等; 3.应检查边界和关键网络设备,查看其事件审计记录是否包括:事件的日期和时间、用户、事 件类型、事件成功情况及其他和审计相关的信息。
1.入侵检测设备是否启用系统日志功能? □否□是 2.网络中是否部署网管软件? □否□是,软件名称为:________________ 3.日志记录是否包括设备运行状况、网络流量、用户行为等? □否□是 4.日志审计内容包括: □时间 □类型 □用户 □事件类型 □事件是否成功 □其他_________ 备注: 测试类别等级测评(二级) 测试对象 测试类网络安全 测试项入侵防范 测试要求: 1)能在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、 缓冲区溢出攻击、IP 碎片攻击、网络蠕虫攻击等入侵事件的发生。 测试内容: 1)访谈安全管理员,询问网络入侵防范措施有哪些;询问是否有专门设备对网络入侵进行防范; 2)评测网络入侵防范设备,查看是否能检测以下攻击行为:端口扫描、强力攻击、木马后门攻 击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等; 3)评测网络入侵防范设备,查看其规则库是否为最新; 4)测试网络入侵防范设备,验证其检测策略是否有效。
精编【安全生产】入侵检测技术和防火墙结合的网络安全探讨
第9卷第2期浙江工贸职业技术学院学报V ol.9 No.2 2009年6月JOURNAL OF ZHEJIANG INDUSTRY&TRADE VOCATIONAL COLLEGE Jun.2009 【安全生产】入侵检测技术和防火墙结合的网络安全探讨 xxxx年xx月xx日 xxxxxxxx集团企业有限公司 Please enter your company's name and contentv
入侵检测技术和防火墙结合的网络安全探讨 陈珊陈哲* (浙江工贸职业技术学院,温州科技职业学院,浙江温州325000) 摘要:本文指出了目前校园网络安全屏障技术存在的问题,重点分析了IDS与防火墙结合互动构建校园网络安全体系的技术优势,并对IDS与防火墙的接口设计进行了分析研究。 关键词:防火墙;网络安全;入侵检测 中图文分号:TP309 文献标识码:A文章编号:1672-0105(2009)02-0061-05 The Discussion of Security Defence Based on IDS and Firewall Chen Shan, Chen Zhe (Zhejiang Industrial&Trade Polytechnic, Wenzhou Science and Technology Vocaitional College,Wenzhou Zhejiang 325000) Abstract: This essay points out the problem in current security defence technology of campus network, which focuses on the technology advantages of combine and interaction of firewall and IDS (Intrusion Detection System) to build 120 campus network security system, and it also analyses and studies the interface design of firewall and IDS. Key Words: Firewall; Network Security; IDS (Intrusion Detection Systems) 随着国际互联网技术的迅速发展,校园网络在我们的校园管理、日常教学等方面正扮演着越来越重要的角色,为了保护学校内部的机密信息(如人事安排、档案、在研课题、专利、纪检报告等),保证用户正常访问,不受网络黑客的攻击,病毒的传播,校园网必须加筑安全屏障,因此,在现有的技术条件下,如何构建相对可靠的校园网络安全体系,就成了校园网络管理人员的一个重要课题。 一、目前校园网络安全屏障技术存在的问题 一)防火墙技术的的缺陷 防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,它越来越多被地应用于校园网的互联环境中。是位于两个信任程度不同的网络之间(如校园网与Internet之间)的软件或硬件设备的组合,它对网络之间的通信进行控制,通过强制实施统一的安全策略,防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。但也必须看到,作为一种周边安全机制,防火墙无法监控内部网络,仅能在应用层或网络层进行访问控制,无法保证信息(即通信内容)安全,有些安全威胁是 *收稿日期:2009-3-9 作者简介:陈珊(1975- ),女,讲师,研究方向:计算机科学。
浅谈网络安全中入侵检测技术的应用
浅谈网络安全中入侵检测技术的应用 发表时间:2019-02-28T15:08:00.887Z 来源:《基层建设》2018年第36期作者:牛晓娟 [导读] 摘要:信息社会的不断进步与发展,网络给人们带来了前所未有的便利,同时也带来了全新的挑战。 三河发电有限责任公司河北三河 065201 摘要:信息社会的不断进步与发展,网络给人们带来了前所未有的便利,同时也带来了全新的挑战。在网络安全问题备受关注的影响下,极大地促进了入侵检测技术的应用与实施。通过入侵检测技术的应用,可以切实维护好计算机网络的安全性与可靠性,避免个人信息出现泄漏、盗窃现象。本文主要阐述了入侵检测技术,然后针对入侵检测技术在网络安全中的应用进行了研究,以供相关人士的借鉴。 关键词:网络;安全;入侵检测技术;应用 目前,入侵检测技术在网络安全中得到了广泛的应用,发挥着不可比拟的作用和优势,已经成为了维护网络安全的重要保障。在实际运行中,威胁网络安全的因素比较多,带给了网络用户极大的不便。因此,必须要加强入侵检测技术的应用,对计算机中的数据信息进行加密与处理,确保网络用户个人信息的完整性,创建良好的网络安全环境,更好地提升网络用户对网络的满意度。 1入侵检测技术的简述 1.1入侵检测的概述 入侵检测技术,是一种对计算机网络的程序进行入侵式的检测的先进技术,它作为网络安全中第二道防线,起到保护计算机网络安全的作用。入侵检测是通过收集与分析安全日志、行为、审计和其他可获得的信息以及系统的关键信息,以此检测出计算机网络中违反安全策略的行为和受攻击的对象的一个工作过程。它开展保护工作的过程具体可分为:监视、分析网络用户和网络系统活动;网络安全系统构造和弱点的审查评估;认定反映已知进攻活动并作出警示警告;网络系统异常行为的统计和分析4个步骤。入侵检测技术能够同时完成实时监控内部攻击、外部攻击和错误操作的任务,把对网络系统的危害阻截在发生之前,并对网络入侵作出响应,是一种相对传统的被动静态网络安全防护技术提出的一种积极动态网络安全防护技术。 1.2入侵检测技术的特性 入侵检测技术基本上不具有访问控制的能力,这一技术就像拥有多年经验的网络侦查员,通过对数据的分析,从数据中过滤可疑的数据包,将正常使用方式与已知的入侵方式进行比较,来确定入侵检测是否成功。网络安全管理员根据这些判断,就可以确切地知道所受到的攻击,并采取相应的措施来解决这一问题。入侵检测系统是网络安全管理员经验积累的一种体现,减轻了网络安全管理员的负担,降低了网络安全管理员的技术要求,并且提高了电力信息网络安全管理的有效性和准确性。其功能有:①监视用户和系统的功能,查找非法用户合合法用户的越权操作。②审计系统配置的正确性和安全漏洞,并提示管理员修补后动。③对用户的非正常活动进行统计分析,发现入侵行为的规律。④操作系统的审计跟踪管理,能够实时地对检测到的入侵行为进行反应,检查系统程序和数据的一致性与正确性。 1.3入侵检测技术的流程 具体如下图1所示。现如今网络安全问题已经引起了社会各界人士的广泛关注,如何在发挥计算机数据库功能的同时避免其遭受病毒的侵袭,需要技术人员给予足够的重视,不断提高自身的技术水平,了解入侵检测技术原理并实现技术的合理使用,最为关键的是要严格按照应用流程进行操作,具体操作要点包括如下几个步骤:①攻击者可以先通过某种方式在网络上注入网络攻击行为;②如果攻击者的攻击行为已经突破了防火墙,可以应用服务器,评估用户的安全证书;③未发现用户的欺骗验证行为,可以查看SQL语句;④使用传感器向控制台发出警报。 1.4入侵检测技术的工作原理 通过收集计算机系统中的关键信息点,并通过相应软件对计算机系统和网络中是否存攻击进行分析,如果检测到计算机某个系统正在受到网络病毒入侵、身份攻击、拒绝服务攻击,并做出正确的应对。其实入侵检测技术上也就是一种动态安全防护技术,在国际上称之为IDS,主要技术手段是发现计算机网络中存在异常和匹配模式。 1)异常入侵检测 异常入侵检测,是指将用户在使用数据库时所常用的行为特征信息储存到数据库当中,当产生新的数据库使用行为时,系统会自动将当前的使用行为特征与储存好的用户常用数据库使用行为特征相比较,如果两者相差比较大,就说明此次访问行为与平时有明显的不同,即访问出现异常现象。遇到这种现象时系统会自动开启安全防御系统,对异常现象进行处理。异常入侵检测可以适用于大部分的网络安全检测,具有较强的实用性,而且可以在大量数据中慢慢地掌握检测的方法和规则。 2)入侵检测的匹配模式 匹配模式就是把已经收集到的信息和已知网络入侵、系统错误模式数据库等进行对比,及时发现会对计算机网络系统造成侵害的入侵行为,以便制定有效的应对策略。此过程的重点是把所有入侵手段用计算机系统可以识别的模式进行表述,并建立入侵模式数据库。在具体检测过程中,要对收集到的数据特征模式是否在入侵模式库中进行判断,而批评模式的占有系统比较少,仅仅包含集中收集到的数据库,因此匹配成功的概率比较高,基本上不会出现在错报的情况,发展至今匹配模式在入侵检测技术中的应用已经趋于成熟,可以大范围推广使用。其主要缺点升级比较频繁,负责也就难以应对各种新型入侵攻击技术。 2入侵检测技术应用的必要性分析 互联网具备高度的开放性与自由性,而接入网络的计算机体系或软件没有绝对的安全,为确保计算机用户数据与体系的完整性、可用性和保密性,就一定要使用重要的安全防护方法。现阶段常用的安全防护方法有对系统实施完善、对数据实施加密、控制执行访问等。然而就现阶段技术发展来看,第一种方法在技术层面非常难完成;第二种方法短期内能对数据实施保护,然而加密技术自身完成过程中存在一些问题,被破解的可能性比较高;第三种措施会在一定程度上使网络用户的应用效率降低。综合来看,能够运用相对容易完成的安全系
计算机网络安全的入侵检测技术研究
计算机网络安全的入侵检测技术研究 计算机网络在给人类工作、生活、娱乐等带来极大便 利的同时,其中存在的安全问题也越来越突出。入侵检测技术作为一种重要的网络安全防护技术,受到了网络安全人员的青睐。本文对入侵检测技术的相关理论进行了介绍,对当前入侵检测技术存在的问题进行了详细的分析和讨论,并对入侵检测技术未来的发展趋势进行了展望。 关键词】计算机网络网络安全入侵检测 1 引言当前,计算机网络已经得到了广泛应用,人们工 作、学 习、生活、社交、娱乐等等各个方面几乎都离不开网络,然而,计算机网络中存在的安全问题也给人们造成了极大困扰,已经成为无法回避且亟待解决的重要问题,如果不能及时采取相应的防御或解决措施,将严重制约社会的发展和信息化进程。入侵检测技术作为一种解决网络安全问题的十分有效的技术之一,得到了网络安全人员的青睐。入侵检测技术能够有效检测来自网络内部和外部网络入侵,对网络提供实时保护。 2 入侵检测技术相关理?概述入侵检测技术能够及时检测 出当前系统中出现的异常 现象,该技术在系统中的关键节点收集信息,并通过对这些信息的分析,从中检测出系统当前是否遭到恶意侵袭或是否存在违反安全策略的行为出现。 入侵检测技术通常包括信息收集、信息分析和问题处理 等 3 个主要步骤。在信息分析部分,将收集到的信息传送给驻留在传感器中的检测引擎,利用统计分析、模式匹配等技术进行实时检测,利用完整性分析等技术进行事后检测分析,当出现误用模式时,将告警信息发送给控制台;在问题处理部分,
当控制台收到来自系统的告警信息时,根据事先定义的响应策略,采取终止进程、切断连接等措施。 在计算机网络安全应用中使用到的入侵检测技术主要 包括基于主机和基于网络的两种入侵检测系统。其中,基于主机的入侵检测系统的重点检测对象是计算机,通过预先对主机进行相应的设置,根据计算机的运行状态和相关参数来判断该主机是否收到非法入侵,基于主机的入侵检测系统能够对当前的攻击是否成功进行判断,为主机采取相应的措施提供可靠依据,基于入侵网络的入侵检测系统通常通过设置多个安全点。 3 存在问题和发展趋势 3.1 存在问题 3.1.1 入侵检测技术 相对落后随着计算机技术的不断发张,尽管入侵检测技术 在不断
网络安全之入侵检测技术
网络安全之入侵检测技术 入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。 入侵检测被认为是防火墙之后的第二道安全闸门。IDS主要用来监视和分析用户及系统的活动,可以识别反映已知进攻的活动模式并向相关人士报警。对异常行为模式,IDS要以报表的形式进行统计分析。产品提供的功能还要评估重要系统和数据文件的完整性。 一个成功的入侵检测系统,不仅可使系统管理员时刻了解网络系统,还能给网络安全策略的制订提供依据。它应该管理配置简单,使非专业人员非常容易地获得网络安全。入侵检测的规模还应根据网络规模、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后,会及时作出响应,包括切断网络连接、记录事件和报警等。IDS分类入侵检测通过对入侵行为的过程与特征进行研究,使安全系统对入侵事件和入侵过程作出实时响应。 IDS产品分类 目前市场上的IDS产品从技术上看,基本可分为两大类:基于网络的产品和基于主机的产品。混合的入侵检测系统可以弥补一些基于网络与基于主机的片面性缺陷。此外,文件的完整性检查工具也可看做是一类入侵检测产品。 基于网络的入侵检测产品放置在比较重要的网段内,对每一个数据包或可疑的数据包进行特征分析。商品化的产品包括:国外的ISS RealSecure Network Sensor、Cisco Secure IDS、CA e-Trust IDS、Axent的NetProwler,以及国内的金诺网安KIDS、北方计算中心NISDetector、启明星辰天阗黑客入侵检测与预警系统和中科网威“天眼”网络入侵侦测系统等。 基于主机的入侵检测产品主要对主机的网络实时连接以及系统审计日志进行智能分析和判断。基于主机的入侵检测系统有:ISS RealSecure OS Sensor、Emerald expert-BSM、金诺网安KIDS等。 混合式入侵检测系统综合了基于网络和主机的两种结构特点,既可发现网络中的攻击信息,也可从系统日志中发现异常情况。商品化产品有:ISS Server Sensor、NAI CyberCop Monitor、金诺网安KIDS等。 文件完整性检查工具通过检查文件的数字摘要与其他一些属性,判断文件是否被修改,从而检测出可能的入侵。这个领域的产品有半开放源代码的Tripwire。 IDS产品形式 绝大多数的入侵检测产品都以纯软件的形式出售,但为了达到性能最佳,往往需要对安装的系统进行优化调整。这样,把产品做成“黑盒子”的形式可以达到目的,如Cisco公司的Secure IDS和金诺网安KIDS。 随着入侵检测产品日益在规模庞大的企业中应用,分布式技术也开始融入到入侵检测产品中来。同时,集中管理多个传感器的中央控制台也在不断地完善。目前,绝大多数的入侵检测产品,尤其是企业级产品都具有分布式结构。 产品重要指标 在入侵检测产品中,有几个重要的性能指标值得重视,比如网络入侵检测系统负载能力,网络入侵检测系统是非常消耗资源的,但很少有厂商公布自己的pps (packet per second)参数。 网络入侵检测系统可支持的网络类型也是应该考虑的。目前,国内的入侵检测厂商还只是支持以太网和快速以太网。 网络入侵检测系统运行在什么操作系统平台上,网络入侵检测系统的运行平台一般以Unix为主,也有少数使用专有设备或基于Windows平台的入侵检测系统。
计算机网络安全的主要技术
随着计算机应用范围的扩大和互联网技术的迅速发展,计算机信息技术已经渗透到人们生活的方方面面,网上购物、商业贸易、金融财务等经济行为都已经实现网络运行,“数字化经济”引领世界进入一个全新的发展阶段。然而,由于计算机网络具有连接形式多样性、终端分布不均匀性和网络的开放性、互联性等特征,致使网络易受黑客、恶意软件和其他不轨人员的攻击,计算机网络安全问题日益突出。在网络安全越来越受到人们重视和关注的今天,网络安全技术作为一个独特的领域越来越受到人们关注。 一、网络安全的定义 所谓网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的因素或者恶意的攻击而遭到破坏、更改、泄漏,确保系统能连续、可靠、正常地运行,网络服务不中断。常见的影响网络安全的问题主要有病毒、黑客攻击、系统漏洞、资料篡改等,这就需要我们建立一套完整的网络安全体系来保障网络安全可靠地运行。 二、影响网络安全的主要因素 (1)信息泄密。主要表现为网络上的信息被窃听,这种仅窃听而不破坏网络中传输信息的网络侵犯者被称为消极侵犯者。 (2)信息被篡改。这是纯粹的信息破坏,这样的网络侵犯被称为积极侵犯者。积极侵犯者截取网上的信息包,并对之进行更改使之失效,或者故意添加一些有利于自已的信息,起到信息误导的作用,其破坏作用最大。 (3)传输非法信息流。只允许用户同其他用户进行特定类型的通信,但禁止其它类型的通信,如允许电子邮件传输而禁止文件传送。 (4)网络资源的错误使用。如不合理的资源访问控制,一些资源有可能被偶然或故意地破坏。 (5)非法使用网络资源。非法用户登录进入系统使用网络资源,造成资源的消耗,损害了合法用户的利益。 (6)环境影响。自然环境和社会环境对计算机网络都会产生极大的不良影响。如恶劣的天气、灾害、事故会对网络造成损害和影响。 (7)软件漏洞。软件漏洞包括以下几个方面:操作系统、数据库及应用软件、TCP/IP 协议、网络软件和服务、密码设置等的安全漏洞。这些漏洞一旦遭受电脑病毒攻击,就会带来灾难性的后果。 (8)人为安全因素。除了技术层面上的原因外,人为的因素也构成了目前较为突出的安全因素,无论系统的功能是多么强大或者配备了多少安全设施,如果管理人员不按规定正确地使用,甚至人为露系统的关键信息,则其造成的安全后果是难以量的。这主要表现在管理措施不完善,安全意识薄,管理人员的误操作等。 三、计算机网络安全的主要技术 网络安全技术随着人们网络实践的发展而发展,其涉及的技术面非常广,主要的技术如下:认证技术、加密技术、防火墙技术及入侵检测技术等,这些都是网络安全的重要防线。 (一)认证技术 对合法用户进行认证可以防止非法用户获得对公司信息系统的访问,使用认证机制还可
网络安全技术习题及答案第章入侵检测系统
网络安全技术习题及答 案第章入侵检测系统 Document number【AA80KGB-AA98YT-AAT8CB-2A6UT-A18GG】
第9章入侵检测系统 1. 单项选择题 1)B 2)D 3)D 4)C 5)A 6)D 2、简答题 (1)什么叫入侵检测,入侵检测系统有哪些功能 入侵检测系统(简称“IDS”)就是依照一定的,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。 入侵检测系统功能主要有: 识别黑客常用入侵与攻击手段 监控网络异常通信 鉴别对系统漏洞及后门的利用 完善网络安全管理 (2)根据检测对象的不同,入侵检测系统可分哪几种 根据检测对象的不同,入侵检测系统可分为基于主机的入侵检测基于网络的入侵检测、混合型三种。主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源。主机型入侵检测系统保护的一般是所在的系统。网络型入侵检测系统的数据源是网络上的数据包。一般网络型入侵检测系统担负着保护整个网段的任务。混合型是基于主机和基于网络的入侵检测系统的结合,它为前两种方案提供了互补,还提供了入侵检测的集中管理,采用这种技术能实现对入侵行为的全方位检测。 (3)常用的入侵检测系统的技术有哪几种其原理分别是什么
常用的入侵检测系统的技术有两种,一种基于误用检测(Anomal Detection),另一种基于异常检测(Misuse Detection)。 对于基于误用的检测技术来说,首先要定义违背安全策略事件的特征,检测主要判别这类特征是否在所收集到的数据中出现,如果检测到该行为在入侵特征库中,说明是入侵行为,此方法非常类似杀毒软件。基于误用的检测技术对于已知的攻击,它可以详细、准确的报告出攻击类型,但是对未知攻击却效果有限,而且知识库必须不断更新。 基于异常的检测技术则是先定义一组系统正常情况的数值,如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出),然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的正常情况。异常检测只能识别出那些与正常过程有较大偏差的行为,无法准确判别出攻击的手法,但它可以(至少在理论上可以)判别更广范、甚至未发觉的攻击。 (4)入侵检测系统弥补了防火墙的哪些不足 网络防火墙是指的是隔离在本地网络与外界网络之间的一道防御系统。 防火墙也存在以下不足之处: 防火墙可以阻断攻击,但不能消灭攻击源。入侵者可以寻找防火墙背后 可能敞开的后门而绕过防火墙; 防火墙不能抵抗最新的未设置策略的攻击漏洞。 防火墙的并发连接数限制容易导致拥塞或者溢出。而当防火墙溢出 的时候,整个防线就如同虚设,原本被禁止的连接也能从容通过了; 防火墙对待内部主动发起连接的攻击一般无法阻止; 防火墙本身也会出现问题和受到攻击; 防火墙不处理病毒。普通防火墙虽然扫描通过他的信息,但一般只扫描 源地址、目的地址端口号,不扫描数据的确切内容,对于病毒来说,防 火墙不能防范。 防火墙是一种静态的安全技术, 需要人工来实施和维护, 不能主动跟踪 入侵者。 综合以上可以看出,防火墙是网络安全的重要一环,但不代表设置了防火墙就能一定保证网络的安全。入侵攻击已经见怪不怪,对付这些入侵者的攻击,可以通过身份鉴别技术,使用严格的访问控制技术,还可以对数据进行加密保护等,但这并不完全可行。所以静态安全措施并不足以保护安全对象。因此,一种动态的方法是必要的。比如行为跟踪、入侵检测技术。但是,完全防
网络安全技术习题及答案入侵检测系统
第9 章入侵检测系统 1.单项选择题 1)B 2)D 3)D 4)C 5)A 6)D 2、简答题 (1)什么叫入侵检测,入侵检测系统有哪些功能?入侵检测系统(简称“ IDS”) 就是依照一定的,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。 入侵检测系统功能主要有: 识别黑客常用入侵与攻击手段 监控网络异常通信 鉴别对系统漏洞及后门的利用 完善网络安全管理 (2)根据检测对象的不同,入侵检测系统可分哪几种? 根据检测对象的不同,入侵检测系统可分为基于主机的入侵检测基于网络的入侵检测、混合型三种。主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源。主机型入侵检测系统保护的一般是所在的系统。网络型入侵检测系统的数据源是网络上的数据包。一般网络型入侵检测系统担负着保护整个网段的任务。混合型是基于主机和基于网络的入侵检测系统的结合,它为前两种方案提供了互补,还提供了入侵检测的集中管理,采用这种技术能实现对入侵行为的全方位检测。 (3)常用的入侵检测系统的技术有哪几种?其原理分别是什么?常用的入侵检测系统的技术有两种,一种基于误用检测( Anomal Detection ),另一种基于异常检测( Misuse Detection )。 对于基于误用的检测技术来说,首先要定义违背安全策略事件的特征,检测主要判别这类特征是否在所收集到的数据中出现,如果检测到该行为在入侵特征库中,说明是入侵行为,此方法非常类似杀毒软件。基于误用的检测技术对于已知的攻击,它可以详细、准确的报告出攻击类型,但是对未知攻击却效果有限,而且知识库必须不断更新。 基于异常的检测技术则是先定义一组系统正常情况的数值,如CPU利用率、内存利用率、文件校 验和等(这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出),然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的正常情况。异常检测只能识别出那些与正常过程有较大偏差的行为,无法准确判别出攻击的手
入侵检测技术论文
目录 第一章绪论 1.1 入侵检测技术的背景 1.2 程序设计的目的 第二章入侵检测系统 2.1 网络入侵概述 2.2 网络存在的安全隐患 2.3 网络入侵与攻击的常用手段 2.4 入侵检测技术 2.4.1 误用入侵检测技术 2.4.2 异常入侵检测技术 第三章协议分析 3.1 协议分析简介 3.2 协议分析的优势 第四章 PANIDS系统的设计及实现 4.1 PANIDS系统总体结构设计 4.2 系统基本信息读取模块的设计及实现 4.3 网络数据包捕获模块的设计及实现 4.4 基于协议分析的入侵检测模块的设计及实现 4.4.1 数据包的分解 4.4.2 入侵检测的实现 4.5 实验结果及结论 第五章总结与参考文献 摘要 网络技术高速发展的今天,人们越来越依赖于网络进行信息的处理。因此,网络安全就显得相当重要,随之产生的各种网络安全技术也得到了不断地发展。防火墙、加密等技术,总的来说均属于静态的防御技术。如果单纯依靠这些技术,仍然难以保证网络的安全性。入侵检测技术是一种主动的防御技术,它不仅能检测未经授权的对象入侵,而且也能监视授权对象对系统资源的非法使用。传统的入侵检测系统一般都采用模式匹配技术,但由于技术本身的特点,使其具有计算量大、检测效率低等缺点,而基于协议分析的检测技术较好的解决了这些问题,
其运用协议的规则性及整个会话过程的上下文相关性,不仅提高了入侵检测系统的速度,而且减少了漏报和误报率。本文提出了一种基于协议分析的网络入侵检测系统PANIDS的模型,在该模型中通过Winpcap捕获数据包,并对数据包进行协议分析,判断其是否符合某种入侵模式,从而达到入侵检测的目的。 关键词:入侵检测,协议分析, PANIDS 第一章绪论 1.1 入侵检测技术的背景 随着计算机网络的飞速发展,网络通信已经渗透到社会经济、文化和科学的各个领域;对人类社会的进步和发展起着举足轻重的作用,它正影响和改变着人们工作、学习和生活的方式。另外,Internet的发展和应用水平也已经成为衡量一个国家政治、经济、军事、技术实力的标志;发展网络技术是国民经济现代化建设不可缺少的必要条件。网络使得信息的获取、传递、存储、处理和利用变得更加有效、迅速,网络带给人们的便利比比皆是。然而,网络在给人们的学习、生活和工作带来巨大便利的同时也带来了各种安全问题。网络黑客可以轻松的取走你的机密文件,窃取你的银行存款,破坏你的企业帐目,公布你的隐私信函,篡改、干扰和毁坏你的数据库,甚至直接破坏你的磁盘或计算机,使你的网络瘫痪或者崩溃。因此,研究各种切实有效的安全技术来保障计算机系统和网络系统的安全,已经成为刻不容缓的课题。伴随着网络的发展,各种网络安全技术也随之发展起来。常用的网络安全技术有:数据加密、虚拟专用网络(VPN,Virtual Private Network)、防火墙、杀毒软件、数字签名和身份认证等技术。这些传统的网络安全技术,对保护网络的安全起到非常重要的作用,然而它们也存在不少缺陷。例如,防火墙技术虽然为网络服务提供了较好的身份认证和访问控制,但是它不能防止来自防火墙内部的攻击、不能防备最新出现的威胁、不能防止绕过防火墙的攻击,入侵者可以利用脆弱性程序或系统漏洞绕过防火墙的访问控制来进行非法攻击。传统的身份认证技术,很难抵抗脆弱性口令、字典攻击、特洛伊木马、网络窥探器以及电磁辐射等攻击手段。虚拟专用网技术只能保证传输过程中的安全,并不能防御诸如拒绝服务攻击、缓冲区溢出等常见的攻击。另外,这些技术都属于静态安全技术的范畴;静态安全技术的缺点是只能静态和消极地防御入侵,而不能主动检测和跟踪入侵。而入侵检测技术是一种动态安全技术,它主动地收集包括系统审计数据,网络数据包以及用户活动状态等多方面的信息;然后进行安全性分析,从而及时发现各种入侵并产生响应。 1.2 程序设计的目的 在目前的计算机安全状态下,基于防火墙、加密技术等的安全防护固然重要;但是要根本改善系统的安全现状,必须要发展入侵检测技术。它已经成为计算机安全策略中的核心技术之一。Intrusion Detection System(简称IDS)作为一种主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护。从网络安全立体纵深的多层次防御角度出发,入侵检测理应受到高度重视,这从国外入侵检测产品市场的蓬勃发展就可以看出。在国内,随着上网关键部门、关键业务越来越多,迫切需要具有自主版权的入侵检测产品;但目前我国的入侵检测技术还不够成熟,处于发展和跟踪国外技术的阶段,所以对入侵检测系统的研究非常重要。传统的入侵检测系统中一般采用传统的模式匹配技术,将待分析事件
网络安全现场检测表---入侵检测
编号:BC-2012-1019/19 重要信息系统安全等级测评 现场检测表 被测单位名称:被测系统名称:测试对象编号:测试对象名称:配合人员签字:测试人员签字:核实人员签字:测试日期: 测评中心
测试对象 测试类网络安全 测试项安全审计 测试要求: 1.应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录; 2.审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。测试内容: 1. 2 . 3 . 应访谈安全审计员,询问边界和关键网络设备是否开启审计功能,审计内容包括哪些项;询问审计记录的主要内容有哪些; 应检查边界和关键网络设备,查看其审计策略是否包括网络设备运行状况、网络流量、用户行为等;应检查边界和关键网络设备,查看其事件审计记录是否包括:事件的日期和时间、用户、事件类型、事件成功情况及其他与审计相关的信息。 测试记录: 1. 2 . 3 . 4 . 入侵检测设备是否启用系统日志功能? □否□是 网络中是否部署网管软件? □否□是,软件名称为:________________ 日志记录是否包括设备运行状况、网络流量、用户行为等? □否 □是 日志审计内容包括: □ □ 时间类型 用户事件类型 事件是否成功 其他_________ 备注:
测试对象 测试类网络安全 测试项入侵防范 测试要求: 1)能在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、 缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等入侵事件的发生。 拒绝服务攻击、 测试内容: 1)访谈安全管理员,询问网络入侵防范措施有哪些;询问是否有专门设备对网络入侵进行防范; 2) 评测网络入侵防范设备,查看是否能检测以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务 攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等; 3) 评测网络入侵防范设备,查看其规则库是否为最新; 4) 测试网络入侵防范设备,验证其检测策略是否有效。 测试记录: 1. 查看入侵检测设备检测的攻击行为是否包含以下类别? 端口扫描强力攻击木马后门攻击拒绝服务攻 击缓冲区溢出攻击IP碎片攻击网络蠕虫攻 击其他 _________________ 2 . 3 . 4 . □ □ 查看入侵检测系统的规则库是否为最新? □否□是,最后更新时间:__ 入侵检测系统是否启用了相应的检测规则? □否□是 入侵检测系统是否对检测到的行为进行日志记录: □否□是,记录保存时间(多长) 备注:
网络安全入侵检测_研究综述_蒋建春
DOI:10.13328/https://www.sodocs.net/doc/8912520167.html, k i.jos.2000.11.005 1000-9825/2000/11(11)1460-07○c2000J o urnal o f Soft war e 软件学报V ol.11,N o.11网络安全入侵检测:研究综述 蒋建春, 马恒太, 任党恩, 卿斯汉 (中国科学院信息安全技术工程研究中心,北京 100080) E-mail:jia nchun@https://www.sodocs.net/doc/8912520167.html, http://w w https://www.sodocs.net/doc/8912520167.html, 摘要:入侵检测是近年来网络安全研究的热点.首先说明入侵检测的必要性,并给出入侵检测的概念和模型,概述了多种入侵检测方法及体系结构.最后,讨论了该领域当前存在的问题及今后的研究方向. 关键词:网络安全;入侵检测 中图法分类号:T P393 文献标识码:A 计算机联网技术的发展改变了以单机为主的计算模式.但是,网络入侵的风险性和机会也相应地急剧增多.设计安全措施来防范未经授权访问系统的资源和数据,是当前网络安全领域的一个十分重要而迫切的问题.目前,要想完全避免安全事件的发生并不太现实.网络安全人员所能做到的只能是尽力发现和察觉入侵及入侵企图,以便采取有效的措施来堵塞漏洞和修复系统.这样的研究称为入侵检测,为此目的所研制的系统就称为入侵检测系统(intrusio n detection system,简称ID S).本文将论述网络安全存在的漏洞和潜在的威胁,给出入侵检测的概念和模型,详尽地概括并分析传统的和最新的各种检测方法及体系结构,并提出IDS当前存在的问题及今后的研究方向. 1 入侵检测的必要性 一个安全系统至少应该满足用户系统的保密性、完整性及可用性要求.但是,随着网络连接的迅速扩展,特别是Internet大范围的开放以及金融领域网络的接入,越来越多的系统遭到入侵攻击的威胁.这些威胁大多是通过挖掘操作系统和应用服务程序的弱点或者缺陷(bug)来实现的.1988年的“蠕虫事件”就是一个很好的实例[1].目前,对付破坏系统企图的理想方法是建立一个完全安全系统.但这样的话,就要求所有的用户能识别和认证自己,还要采用各种各样的加密技术和强访问控制策略来保护数据.而从实际上看,这根本是不可能的.首先,在实践当中,建立完全安全系统根本是不可能的.M iller[2]给出一份有关现今流行的操作系统和应用程序研究报告,指出软件中不可能没有缺陷,此外,设计和实现一个整体安全系统相当困难.其次,要将所有已安装的带安全缺陷的系统转换成安全系统需要相当长的时间.第3,加密技术方法本身存在的一定问题.第4,安全系统易受内部用户滥用特权的攻击.第5,安全访问控制等级和用户的使用效率成反比.第6,访问控制和保护模型本身存在一定的问题[2].第7,在软件工程中存在软件测试不充足、软件生命周期缩短、大型软件复杂性等难解问题. 基于上述几类问题的解决难度,一个实用的方法是,建立比较容易实现的安全系统,同时按照一定的安全策略建立相应的安全辅助系统,ID S就是这样一类系统.现在安全软件的开发方式基本上就是按照这个思路进行的.就目前系统安全状况而言,系统存在被攻击的可能性.如果系统遭到攻击,只要尽可能地检测到,甚至是实时地检测到,然后采取适当的处理措施.IDS一般不是采取预防的措施以防止入侵事件的发生,入侵检测作为安全 收稿日期:2000-03-14;修改日期:2000-07-14 基金项目:中国科学院软件研究所青年创新基金资助项目(CX ZK5606) 作者简介:蒋建春(1971-),男,广西壮族自治区全州人,博士生,主要研究领域为计算机网络,信息安全对抗;马恒太(1970-),男,山东临朐人,博士生,主要研究领域为网络信息安全,分布式计算;任党恩(1975-),男,安徽人,硕士生,主要研究领域为网络信息安全;卿斯汉(1939-),男,湖南人,研究员,博士生导师,主要研究领域为信息安全理论与技术.