网络安全入侵检测篇.docx
《网络安全入侵检测篇.docx》由会员分享,可在线阅读,更多相关《网络安全入侵检测篇.docx(16页珍藏版)》请在冰豆网上搜索。
网络安全入侵检测篇
超市局域网安全策略设计
——入侵检测
目录
一.项目背景1
(一)现状分析1
(二)现状需求1
(三)安全策略1
二.关键词注释3
三.现有网络情况及存在的问题5
(一)网络现状拓扑结构图5
(二)网络安全说明6
四.IDS系统的设计与实现7
(一)IDS的基本内容7
(二)入侵检测系统与防火墙11
(三)IDS的实现13
五.安全效果评定15
六.资金预算17
1.项目背景
(一)现状分析
自从超市安装了防火墙、堡垒机后,网络安全等级较原先有了显著的提高。
然而好景不长,没过几个月网络又出现了问题。
通过网络安全人员一一排除攻击可能,最后了解到是内部人员使用了带有病毒的移动设备。
鉴于此现状,网络安全维护人员重新对防火墙进行了审视,最后了解到防火墙具有以下局限性:
Ø防火墙无法防范来自内部网络的攻击;
Ø防火墙无法防范不经由防火墙的网络攻击;
Ø防火墙无法防范感染了病毒的软件或文件的传输;
Ø防火墙无法防范数据驱动方式攻击;
Ø防火墙无法防范利用网络协议缺陷进行的攻击;
Ø防火墙无法防范利用服务器系统漏洞进行的攻击;
Ø防火墙无法防范新的网络安全问题;
(二)现状需求
考虑到超市目前的安全状况,网络安全维护人员提出安装网络入侵检测系统势在必行。
(三)安全策略
互联网的普及给网络管理人员带来了极大的挑战:
随处可得的黑客工具和系统漏洞信息使我们的网络无时无刻不处于危险之中。
一般说来,一个典型的网络攻击是以大量的端口扫描等手段获取关于攻击对象的信息为开端的,这个过程必然产生大量的异常网络流量预示着即将到来的真正攻击,然而当前被广泛使用的网络产品都具有一个普遍的弱点—被动防御,即对这些重要的网络攻击先兆熟视无睹,错过了最佳的防御时间。
为了扭转这种不利的局面,变被动防御为积极防御,就要求网管人员对网络的运行状态进行实时监控以便随时发现入侵征兆并进行具体的分析,然后及时进行干预,从而取得防患于未然的效果。
然而入侵检测系统就是主动防御,为此超市决定安装入侵检测系统。
二.关键词注释
IDS:
IDS是英文“IntrusionDetectionSystem”的缩写,中文意思是“入侵检测系统”。
专业上讲就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
HIDS:
HIDS全称是Host-basedIntrusionDetectionSystem,即基于主机型入侵检测系统。
作为计算机系统的监视器和分析器,它并不作用于外部接口,而是专注于系统内部,监视系统全部或部分的动态的行为以及整个计算机系统的状态。
NIDS:
NIDS全称是NetworkIntrusionDetectionSystem,即网络入侵检测系统,主要用于检测Hacker或Cracker通过网络进行的入侵行为。
NIDS的运行方式有两种,一种是在目标主机上运行以监测其本身的通信信息,另一种是在一台单独的机器上运行以监测所有网络设备的通信信息。
PPP:
PPP全称public-privatepartnership,即公私合作关系,是公共基础设施项目(如新的电信系统、机场和电厂)的一个资助模式。
PPP具有处理错误检测、支持多个协议、允许在连接时刻协商IP地址、允许身份认证等功能。
适合于调制解调器、HDLC位序列线路、SONET和其它的物理层上使用。
它支持错误检测、选项协商、头部压缩以及使用HDLC类型帧格式(可选)的可靠传输。
SLIP:
SLIP(SerialLineInternetProtocol,串行线路网际协议),该协议是Windows远程访问的一种旧工业标准,主要在Unix远程访问服务器中使用,现今仍然用于连接某些ISP。
因为SLIP协议是面向低速串行线路的,可以用于专用线路,也可以用于拨号线路,Modem的传输速率在1200bps到19200bps。
HDLC:
全称是高级数据链路控制(High-LevelDataLinkControl或简称HDLC),是一个在同步网上传输数据、面向比特的数据链路层协议,它是由国际化标准组织(ISO)根据IBM公司的SDLC(SynchronousDataLinkControl)协议扩展开发而成的.
SDLC:
SDLC(SoftwareDevelopmentLifeCycle)即软件生命周期,软件生存周期,是软件的产生直到报废的生命周期,周期内有问题定义、可行性分析、总体描述、系统设计、编码、调试和测试、验收与运行、维护升级到废弃等阶段,这种按时间分程的思想方法是软件工程中的一种思想原则,即按部就班、逐步推进,每个阶段都要有定义、工作、审查、形成文档以供交流或备查,以提高软件的质量。
但随着新的面向对象的设计方法和技术的成熟,软件生命周期设计方法的指导意义正在逐步减少。
ISP:
全称(InternetServiceProvider),互联网服务提供商,即向广大用户综合提供互联网接入业务、信息业务、和增值业务的电信运营商。
ISP是经国家主管部门批准的正式运营企业,享受国家法律保护。
Cracker:
Cracker是以破解各种加密或有限制的商业软件为乐趣的人,这些以破解(Crack)最新版本的软件为己任的人,从某些角度来说是一种义务性的、发泄性的,他们讲究Crack的艺术性和完整性,从文化上体现的是计算机大众化。
他们以年轻人为主,对软件的商业化怀有敌意。
三.现有网络情况及存在的问题
(一)网络现状拓扑结构图
图3—1网络现状图
(二)网络安全说明
目前超市网络拓扑结构中就只有对外网起作用的安全设施,无法防范来自内部网络以及感染了病毒的软件或文件传输等的攻击,一旦网络遭遇这些攻击,网络就会处于瘫痪状态,另外防火墙是被动防御。
四.IDS系统的设计与实现
(一)IDS的基本内容
1.入侵检测系统(IntrusionDetectionSystem)就是对网络或操作系统上的可疑行为做出策略反应,及时切断资料入侵源、记录、并通过各种途径通知网络管理员,最大幅度地保障系统,帮助系统对付网络攻击,扩展系统管理员的管理能力(包括安全审计、监视、进攻识别和响应),提高信息安全基础结构的完整性,被认为是之后的第二道安全闸门,它在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护,最大幅度地保障系统安全。
它在网络安全技术中起到了不可替代的作用,是安全防御体系的一个重要组成部分。
2.入侵检测系统的功能:
1.监视用户和系统的运行状况,查找非法用户和合法用户的越权操作。
2.检测系统配置的正确性和安全漏洞,并提示管理员修补漏洞。
3.对用户的非正常活动进行统计分析,发现入侵行为的规律。
4.检查系统程序和数据的一致性与正确性。
如计算和比较文件系统的校验和能够实时对检测到的入侵行为进行反应。
5.识别攻击的活动模式并向网管人员报警
6.对异常活动的统计分析
7.操作系统审计跟踪管理,识别违反政策的用户活动
3.入侵检测系统的分类:
(1)入侵检测系统按其数据来源可分为三类:
a.基于主机的入侵检测系统
基于主机的入侵检测系统一般主要使用操作系统的审计跟踪日志作为输入,某些也会主动与主机系统进行交互以获得不存在于系统日志中的信息。
其所收集的信息集中在系统调用和应用层审计上,试图从日志判断滥用和入侵事件的线索。
b.基于网络的入侵检测系统:
基于网络的入侵检测系统在通过在计算机网络中的某些点被动地监听网络上传输的原始流量,对获取的网络数据进行处理,从中获取有用的信息,再与已知攻击特征相匹配或与正常网络行为原型相比较来识别攻击事件。
c.采用上述两种数据来源的分布式的入侵检测系统:
这种入侵检测系统能够同时分析来自主机系统审计日志和网络数据流的入侵检测系统,一般为分布式结构,有多个部件组成。
(2)入侵检测系统按其数据来源可分为三类:
a.基于行为的入侵检测系统:
基于行为的检测指根据使用者的行为或资源使用状况来判断是否入侵,而不依赖于具体行为是否出现来检测。
这种入侵检测基于统计方法,使用系统或用户的活动轮廓来检测入侵活动。
审计系统实时的检测用户对系统的使用情况,根据系统内部保存的用户行为概率统计模型进行检测,当发现有可疑的用户行为发生时,保持跟踪并监测、记录该用户的行为。
系统要根据每个用户以前的历史行为,生成每个用户的历史行为记录库,当用户改变他们的行为习惯时,这种异常就会被检测出来。
b.基于模型推理的入侵检测系统:
基于模型推理的入侵检测根据入侵者在进行入侵时所执行的某些行为程序的特征,建立一种入侵行为模型,根据这种行为模型所代表的入侵意图的行为特征来判断用户执行的操作是否是属于入侵行为。
当然这种方法也是建立在对当前已知的入侵行为程序的基础之上的,对未知的入侵方法所执行的行为程序的模型识别需要进一步的学习和扩展。
c.采用两者混合检测的入侵检测系统:
以上两种方法每一种都不能保证能准确地检测出变化无穷的入侵行为。
一种融合以上两种技术的检测方法应运而生,这种入侵检测技术不仅可以利用模型推理的方法针对用户的行为进行判断而且同时运用了统计方法建立用户的行为统计模型,监控用户的异常行为。
(3)入侵检测系统按检测时间可分为两类:
a.实时入侵检测系统:
实时入侵检测在网络连接过程中进行,系统根据用户的历史行为模型、在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断,一旦发现入侵迹象立即断开入侵者与主机的连接,并收集证据和实施数据恢复。
这个检测过程是自动的、不断循环进行的。
b.事后入侵检测系统:
事后入侵检测由网络管理人员进行,他们具有网络安全的专业知识,根据计算机系统对用户操作所做的历史审计记录判断用户是否具有入侵行为,如果有就断开连接,并记录入侵证据和进行数据恢复。
事后入侵检测是管理员定期或不定期进行的,不具有实时性,因此防御入侵的能力不如实时入侵检测系统。
(4)入侵检测系统按检测原理可分为两类:
a.异常检测:
异常检测的假设是入侵者活动异常于正常主体的活动,建立正常活动的“活动简档”,当前主体的活动违反其统计规律时,认为可能是“入侵”行为。
b.特征检测:
特征检测假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。
它能够准确的检测到某些特征的攻击,但却过度依赖事先定义好的安全策略,所以违法检测系统未知的攻击行为,从而产生漏洞。
4.两种重要的入侵检测系统的优缺点
(1)基于网络的入侵检测系统的优缺点
优点:
1 监测速度快。
基于网络的检测器通常能在微妙或妙级发现问题,而大多数的基于主机的产品则对最近几分钟内审计记录的分析。
2 隐蔽性好。
一个网络上的检测器不像一个主机那样显眼与易被存取,因而也不那么容易遭受攻击,基于网络的监测器不运行其他的应用程序,不提供网络服务,可以不响应其他计算机,一次可以做得比较的安全。
3 视野更宽。
可以检测一些主机检测不到的攻击,如泪滴攻击(Teardrop),基于网络的SYN攻击等,还可以检测不成功的攻击和恶意企图。
4 较少的检测器。
由于使用一个检测器就可以保护一个共享的网段,所以你不需要很多的监视器。
相反地,如果基于主机,则在每个主机撒谎能够都需要一个代理,这样的话,花费昂贵,而且难于管理。
但是在一个交换环境下,就需要特殊配置。
5 攻击者不宜转移证据。
基于网络的IDS使用正在发生的网络通讯进行实时攻击的检测,所以攻击者无法转移证据。
被捕获的数据逼近包括攻击的方法而且还包括可识别黑客身份和对其进行起诉的信息。
许多黑客都熟知审计记录,他们知道如何操纵这些文件掩盖他们的作案痕迹,如何阻止需要这些信息的基于主机的系统去检测入侵。
6 操作系统无关性。
基于网络的IDS专为安全监测资源,与主机的操作系统无关。
与之相比,基于主机的系统必须在特定的、没有遭到破坏的操作系统中才能正常工作,生成有用的结果。
7 可以配置在专门的机器上,不会占用被保护的设备的任何资源。
缺点:
只能监测本网段的活动,精确度不高;在交换环境下难以配置;防止入侵欺骗的能力较差;难以定位入侵者。
(2)基于主机的入侵检测系统的优缺点
优点:
1 能确定攻击是否成功。
主机是攻击的目的所在,所以基于主机的IDS使用含有已发生的事件信息,可以比基于网络的IDS更加准确地判断攻击是否成功。
就这一方面而言,基于主机的IDS与基于网络的IDS互相补充,网络部分尽早提供针对攻击的警报,而主机部分则可确定攻击是否成功。
2 监控粒度更细。
基于主机的IDS监控目标明确,视野集中,它可以检测一些基于网络的IDS不能检测的攻击。
它可以很容易地监控系统的一些活动,如对敏感文件、目录、程序或端口的存取。
例如,基于主机的IDS可以监督所有用户登录及退出登录的情况,以及每位用户在连接到网络以后的行为。
它还可见是通常只有管理员才能实施的非正常行为。
针对系统的一些活动,有时并不通过网络传输数据,有时虽然通过网络传输数据但所传输的数据并不能提供足够多的信息,从而使得基于网络的监测系统检测不到这些行为,或者检测到这个程度非常的困难。
3 配置灵活。
每个主机由其自己的基于主机的IDS,用户可根据自己的实际情况对其进行配置。
4 可用于加密的以及交换的环境。
加密和交换设备加大了基于网络的IDS收集信息的难度,但由于基于主机的IDS安装在要监控的主机上,根本不会受这些因素的影响。
5 对网络流量不敏感。
基于主机的IDS一般不会因为网络流量的增加而丢掉对网络行为的监视。
6 不需要额外的硬件。
缺点:
对入侵行为分析的工作量随主机数目的增加而增加,另外也带来一些额外的安全问题(安全管理员就有权访问他原来本不允许访问的服务器了)。
5.入侵检测系统的技术途径
(1)信息收集:
内容包括系统、网络、数据及用户活动的状态和行为。
而且,需要在计算机网络系统中的若干不同关键点收集信息,这样可以尽可能扩大检测范围的因素外,而且有时候从一个源来的信息有可能看不出疑点,但从几个源来的信息的不一致性却是可疑行为或入侵的最好标识。
入侵检测利用的信息一般来自以下四个方面:
Ø系统日志
Ø录以及文件中的异常改变
Ø程序执行中的异常行为
Ø物理形式的入侵信息
(2)数据分析:
一般通过模式匹配,统计分析和完整性三种技术手段进行分析。
其中前两种方法用于实时的入侵检测,而完整性分析则用于事后分析。
模式匹配:
模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。
该方法的一大优点是只需收集相关的数据集合,显著减少系统负担,且技术已相当成熟。
它与病毒防火墙采用的方法一样,检测准确率和效率都相当高。
但是,该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法,不能检测到从未出现过的黑客攻击手段。
统计分析:
统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。
测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。
其优点是可检测到未知的入侵和更为复杂的入侵,缺点是误报、漏报率高,且不适应用户正常行为的突然改变。
具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法,目前正处于研究热点和迅速发展之中。
完整性分析:
完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和目录的内容及属性,它在发现被更改的、被特络伊化的应用程序方面特别有效。
其优点是不管模式匹配方法和统计分析方法能否发现入侵,只要是成功的攻击导致了文件或其它对象的任何改变,它都能够发现。
缺点是一般以批处理方式实现,不用于实时响应。
6.入侵和攻击的趋势
(1)入侵和攻击的复杂化与综合化
入侵的手段有很多种,入侵者在一次攻击中一般只采用一种攻击手段。
由于网络防范技术的进步和多重化,使得攻击的难度增加,因此现在入侵者在实施入侵或攻击时往往同时采取多种入侵的手段,以保证入侵的成功,这样做还可以在攻击实施的初期掩盖攻击或入侵的真实目的。
(2)入侵主体的间接化(即实施入侵和攻击的主体的隐蔽化)
通过一定的技术,科研该主题的源地址与主机位置。
用力隐蔽技术后,对于被攻击的对象来说,攻击攻击的主体是无法直接确定。
现在有不少攻击都是借助其他脆弱主机或者脆弱的网络来攻击目标主机,而他们自己却隐藏在背后,这样也就使得他们不容易被发现和查出。
即使能够发现攻击,也不一定能够有效的追踪到攻击者。
这样,虽然自己的系统遭到了别人的入侵,但由于没法找到真正的攻击者和攻击的有效证据,因此也没有办法对攻击者实施法律裁判和惩罚。
(3)入侵和攻击的规模扩大
对于网络的入侵和攻击,在七出去往往是针对某公司或某一网站,其攻击的目的可能为某些网络技术爱好者的猎奇行为,当然也不排除商业的盗窃与破坏行为。
现在的攻击主要是真髓网络的,也就是说,他们的目的就是要使目标网络本亏或瘫痪,这样造成的危害严重,涉及面广。
另外,由于战争对电子技术与网络技术的依赖越来越大,现在如果发生战争,那么电子战与信息战将不可避免。
对于信息战,无论其规模与技术都与一般意义上的计算机网络入侵与攻击不可相提并论。
(4)入侵和攻击技术的分布化
以往常用的入侵与攻击行为往往有单机执行,由于防范技术的发展使得此类行为不能奏效。
攻击者就采取实用多台主机,同时攻击一台机器的办法。
这就是所谓的分布式拒绝访问服务攻击(DDoS),它可以在很短的时间内造成被攻击主机的瘫痪,它通过控制数台脆弱主机,把他们武装成一台极具攻击力的攻击者,然后然他们同时对目标主机进行攻击,这样目标主机很快就会寡不敌众,败下阵来。
并且,此类分布式攻击的单机信息模式与正常通信没有差异,使用通常的入侵检测方法无法及时检测出攻击,所以往往在攻击发出的初期不能被发现。
(二)入侵检测系统与防火墙
1.防火墙缺陷与不足
(1)限制有用的网络服务。
防火墙为了提高被保护网络的安全性,限制或关闭了很多有用但存在安全缺陷的网络服务。
由于绝大多数网络服务在设计之初根本没有考虑安全性,只考虑使用的方便与资源共享,所以都存在安全问题。
止痒防火墙限制了这些网络服务,等于从一个极端走向了另一个极端。
(2)无法防护内部网络用户的攻击。
目前防火墙只提供对外部网络用户攻击的防护,对来自内部网络用户的攻击之能依靠内部网络主机系统的安全性。
防火墙无法禁止变节者或公司内部存在的间谍件敏感数据拷贝到软盘或者PCMCIA卡上,并将其带出公司。
(3)Internet防火墙无法防范通过防火墙以外的其他途径的攻击。
例如,在一个被保护的网络上有一个没有限制的拨出存在,内部网络上的用户就可以直接通过SLIP或者PPP连接进入Internet。
聪明的用户可能会对需要附加认证的代理服务器感到厌烦,因而向ISP购买直接的SLIP或者PPP连接,从而试图绕过由精心构造的防火墙提供的安全系统。
这就为从后门攻击创造了极大的可能,网络上的用户必须了解这种类型的连接对于一个有全面安全保护系统来说是绝对不允许的。
(4)Internet防火墙也不能完全防止传送也感染病毒的软件与文件。
这是因为病毒的类型太多,操作系统也有多种,编码与压缩二进制的方法各不相同,所以不能期望Internet防火墙去对于每一个文件进行扫描,查出潜在的病毒。
对病毒特别关心的机构应在每个桌面都部署防病毒软件,防止病毒从软盘或者其他来源进入网络系统。
(5)防火墙无法防范数据驱动性的攻击。
数据驱动性的攻击从表面看是无害的数据被邮寄或者拷贝到Internet主机上,但一旦执行就开始攻击。
例如,一个数据型攻击可能导致主机修改与安全相关的文件,是的入侵者很容易获得对系统的访问权。
(6)不能防备新的网络安全问题。
防火墙是一种被被动式防御手段,他只能对现在已知的网络威胁起作用,随着网络攻击手段的不断更新和一些新的网络应用的出现,不可能考一次性的防火墙设置来解决永远的网络安全问题。
2.入侵检测系统对防火墙的弥补
防火墙是要保护的网络或系统与外界之间的一道安全屏障。
他通过加强网络间的访问控制,防止外部用户非法使用内部的资源,从而达到内部网络的设备不被破坏,防止内部网络的敏感数据被被窃取。
他规定了哪些内部服务可以被外部访问以及那些外部服务可以被内部人员访问。
但防火墙作为一种被动防御技术,他无法识别和防御来自内部网络的滥用和攻击(比如内部员工恶意破坏、删除设备、越权使用设备),也不呢不够有效防止绕过防火墙的攻击(比如公司的员工将机密数据用便携式存储设备随身带出造成泄密、员工自己拨号上网造成攻击进入等)。
入侵检测作为一种主动防御技术,可以在攻击发生是记录攻击者的行为,发出警报,必要时还可以追踪攻击者。
它既可以独立运行也可以与防火墙等安全技术协同工作,更好的保护网络。
(三)IDS的实现
1.加了入侵检测系统的拓扑结构图
图4—1加IDS后的网络图拓扑图
五.安全效果评定
以前的网络中只有包过滤路由器、防火墙、堡垒主机等网络安全设备,它们共同的弊端就是无法对网络内部的攻击起作用,都是被动防御措施;现在网络安装了入侵检测系统,弥补了防火墙对外网防御的漏洞同时也解决了内部网络安全问题。
目前网络处于双层保护之中,网络安全级别再次提升。
a.防火墙控制进出网络的信息包,作为中心“扼制点”,集中管理网络安全。
b.入侵检测系统放置在防火墙外可以检测到来自于网络外部所有的攻击信息,可以最大可能的检测到网络的攻击。
c.基于主机的入侵检测系统可以减少检测系统被攻击的可能性,受到防火墙的有效保护,可以发现防火墙配置的漏洞,有效的减少了外界干扰和误报的发生。
六.资金预算
本策划是以超市总部的局域网为例设计的,先假设总部总共有60台计算计机,基于主机的入侵检测系统购买一次可以装两台机器。
资金预算汇总如下:
设备类型
数量(台)
单价/元
备注
http:
//2a.zol-
神州数码
DCNIDS-1800-G2
1
612000
网络接口:
内置2个千兆电
天融信TopSentry2000(TS-2204-IDS)
20
88000
标配3个10/100BASE-TX端
费用:
工程费:
612000+88000*20=237.20万元
人工费:
2372000*30%=71.16万元
总造价:
237.20+71.16=308.36万元
营业税:
308.36*7%=21.59万元
工期:
两天。