第二节金业管理信息化的安全措施 有一句话说的好:“互联网的美妙之处在于你和每个人都撞相互连接,互联网的可怕之 处在于每个人和你都能相互连接,”企业只要将自己接入互联网。在充分享受互联料所带米 的无限商机的的同时。也将受到米自互联网上各种安全隐患的威典。而对肆意推残网络的各 种安全隐患,我门应该如何进行防范? 一、技术措满 (一)多层次安全措陆洋慧理论 正如现实世界中的安全滑施是多层次防护的,在料路世界中,对网储货产采取的安全 防御措能也是一个多层次的安全措熊,我们形象的称之为“洋葱理论,如图一1所示。 入 企业重要资产 威励 防 0 攻击 贸 S防 测 毒 据分 等 病毒 N墙 护 入使 图4】网络货产多层次安全排施一洋葱理论图 虚拟专用网(W)、防火墙、飞防护、入侵侦测、防病毒、数据备份等,这些不同的 安全措随在不同的层面发生作用,实现不同的防御功能,线像洋慧一样分层保护着企业料络 资产的安全。当然,对普通用户来说,以上的理论在实际应用中是透明的,即用户无须知道 它们的分层关系。 (二)TW技术 VPW是虚拟专用网(Yirtual Private Network)的简移,VPW指的是依靠ISP(互 联网服务提供商)和其它SP(网络服务提供商),在公用网络《通常是互暖网)中建 立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的怒道。使用 这条隧道可以对数据进行几倍加密达到安全使用互联网的目的,虚扳专用网是对企业
第二节 企业管理信息化的安全措施 有一句话说的好:“互联网的美妙之处在于你和每个人都能相互连接;互联网的可怕之 处在于每个人和你都能相互连接。”企业只要将自己接入互联网,在充分享受互联网所带来 的无限商机的的同时,也将受到来自互联网上各种安全隐患的威胁。面对肆意摧残网络的各 种安全隐患,我们应该如何进行防范? 一、技术措施 (一)多层次安全措施----洋葱理论 正如现实世界中的安全措施是多层次防护的,在网络世界中,对网络资产采取的安全 防御措施也是一个多层次的安全措施,我们形象的称之为“洋葱理论”,如图 4—1 所示。 虚拟专用网(VPN)、防火墙、DOS 防护、入侵侦测、防病毒、数据备份等,这些不同的 安全措施在不同的层面发生作用,实现不同的防御功能,就像洋葱一样分层保护着企业网络 资产的安全。当然,对普通用户来说,以上的理论在实际应用中是透明的,即用户无须知道 它们的分层关系。 (二)VPN 技术 VPN 是虚拟专用网(Virtual Private Network)的简称,VPN 指的是依靠 ISP(互 联网服务提供商)和其它 NSP(网络服务提供商),在公用网络(通常是互联网)中建 立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。使用 这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。虚拟专用网是对企业 防 病 毒 等 入 侵 侦 测 防 火 墙 D O S 防 护 V P N 企业重要资产 攻击 威胁 病毒 入侵 数 据 备 份 图 4-1 网络资产多层次安全措施----洋葱理论图
内部网的节展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同 公司的内部网建立可信的安全连接,并保证数据的安全传输。VW通过软件借助于 互联网建立起企业之间的连接《隧道),数据以加密的方式在楚道中传送,一旦数据 传送完毕,就可以结束P的连接。 在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的瑞到端的物理 蛙路,面是利用某种公众网的资源动态组成的。目前V四主要采用四项技术来保证安 全,这四项技术分别是隧道技术(Tunnelin)、加解密技术(Encryption表 Decryption),密钥管理技术(Key Management》、使用者与设备身份认证技术 Authentication). 由于VW是在互联网上临时建立的安全专用虚报网络,用户就节省了租用专线的 费用,在运行的资金支出上,企业成单位所付出的仅仅是向企业成单位所在地的ISP 支付一定的上网费用,也节省了长途电话费。由于它低康的价格,因此受到金业客户 的欢迎。 YPN可以提供的功能:防火墙功能、认证,加密、隧道化。 Client Client Client Clieat 图42VPW是通过互联网的安全通道
内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同 公司的内部网建立可信的安全连接,并保证数据的安全传输。 VPN 通过软件借助于 互联网建立起企业之间的连接(隧道),数据以加密的方式在隧道中传送,一旦数据 传送完毕,就可以结束 VPN 的连接。 在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理 链路,而是利用某种公众网的资源动态组成的。目前 VPN 主要采用四项技术来保证安 全 , 这 四 项 技 术 分 别 是 隧 道 技 术 ( Tunneling)、 加 解 密 技 术 ( Encryption & Decryption)、 密 钥 管 理 技术 ( Key Management)、 使 用 者 与 设备 身 份认 证 技 术 (Authentication)。 由于 VPN 是在互联网上临时建立的安全专用虚拟网络,用户就节省了租用专线的 费用,在运行的资金支出上,企业或单位所付出的仅仅是向企业或单位所在地的 ISP 支付一定的上网费用,也节省了长途电话费。由于它低廉的价格,因此受到企业客户 的欢迎。 VPN 可以提供的功能: 防火墙功能、认证、加密、隧道化。 加密 隧 道 Client Client Client Client Client Client Client Client 图 4-2 VPN 是通过互联网的安全通道
目前,主要的虚教专用网厂家:国外有ArTy,Ju■iner,Sonicsall,国内有深信服。 1.Array Networks: Array Networks构建了全球性能最佳的统一接入控制以及应用交付解决方案。灵活强大 的TyS系列SS.VPW访问网关让企业和服务供应商们可以在世界任何地方、通过任何一 种设备、快速安全的为他们的授权用户提供一切的应用显务。Array SP系列SSL访问网 关提供毫秒级别的响应速度,同时最高可支持6L,000并发用户,在性能及容量方面皆是业内 领先。由于针对关键业务应用作过设计优化,SX系列也是业内难一旋够满足所有安全接入 之关健需求并表现卓越的解决方案。S%系列产品具备了多层次的安全性,强大的应用和设 备兼容性,最低的总体拥有成本,最优的终端用户体验等优点。不管是小型企业还是世界财 富50O强的企业,Array SP究系列都能让您的员工、合作伙伴及客户随时随地、安全快捷地访 问所活的产品资源。 2.Juniper Juniper SA系列安全接入产品能够提供市场领先的单一SSl.TW安全平台来满足所有 的运程接入需求,客户瑞无需安装软件,而是通过测览器访问企业应用和货源。一流的端点 安全性,细粒度的访付控制和威脚防御功能、可扩展的产品,为各种规横的公司提供运程和 外联网访问支持,面向电信运营商的高度可用,高可扩展的产品。 3.Sonicwall Sonicwall1 Aventail E-Class安全远程访何(S球4)解决方案提供了完整的远程访何 控制解决方案,而且不会增加基础架构的成本或复杂性。Sonicwal1 Aventai1E-C1ass5 还提供了全面的应用访问,同时实现了高度的安全性、端点控制和统一策略管理。该解决方 案使用简单、易于挖制,利用SL无与伦比的安全性,让员工和外网商业合作伏伴可在 任何地方使用任何设备安全访问所需资源,而且无需发装客户端姚件,从而极大地提高了用 户的工作效率, 4.深信服 深信服为您提供高速、号用、安全且高度可靠的SS,啊产品。深信服SW可助您 轻松使用笔记本、桌面℃,智能手机,等移动终瑞设备实现安全、便捷的远程接入内网, 在降低运营成本的同时大解提高企业的生产效率。 (三)防火墙技术 所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专
目前,主要的虚拟专用网厂家:国外有 Array,Juniper,Sonicwall,国内有深信服。 1.Array Networks: Array Networks构建了全球性能最佳的统一接入控制以及应用交付解决方案。灵活强大 的Array SPX系列SSL VPN访问网关让企业和服务供应商们可以在世界任何地方、通过任何一 种设备、快速安全的为他们的授权用户提供一切的应用服务。Array SPX系列SSL VPN访问网 关提供毫秒级别的响应速度,同时最高可支持64,000并发用户,在性能及容量方面皆是业内 领先。由于针对关键业务应用作过设计优化,SPX系列也是业内唯一能够满足所有安全接入 之关键需求并表现卓越的解决方案。SPX系列产品具备了多层次的安全性,强大的应用和设 备兼容性,最低的总体拥有成本,最优的终端用户体验等优点。不管是小型企业还是世界财 富500强的企业,Array SPX系列都能让您的员工、合作伙伴及客户随时随地、安全快捷地访 问所需的产品资源。 2.Juniper Juniper SA 系列安全接入产品能够提供市场领先的单一SSL VPN 安全平台来满足所有 的远程接入需求,客户端无需安装软件,而是通过浏览器访问企业应用和资源。一流的端点 安全性、细粒度的访问控制和威胁防御功能、可扩展的产品,为各种规模的公司提供远程和 外联网访问支持,面向电信运营商的高度可用、高可扩展的产品。 3.Sonicwall Sonicwall Aventail E-Class安全远程访问(SRA)解决方案提供了完整的远程访问 控制解决方案,而且不会增加基础架构的成本或复杂性。Sonicwall Aventail E-Class SRA 还提供了全面的应用访问,同时实现了高度的安全性、端点控制和统一策略管理。该解决方 案使用简单、易于控制,利用SSL VPN无与伦比的安全性,让员工和外网商业合作伙伴可在 任何地方使用任何设备安全访问所需资源,而且无需安装客户端软件,从而极大地提高了用 户的工作效率。 4.深信服 深信服为您提供高速、易用、安全且高度可靠的 SSL VPN 产品。深信服 SSL VPN 可助您 轻松使用笔记本、桌面 PC、智能手机、PDA 等移动终端设备实现安全、便捷的远程接入内网, 在降低运营成本的同时大幅提高企业的生产效率。 (三)防火墙技术 所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专
用网与公共网之间的界面上构造的保护屏障,是一种获取安全性方法的形象说法,它 实际上是一种隔离技术,它是一种计算机梗件和软作的结合,使互联网与Intranet 之间建立起一个安全网关(Secur1 ty Gateway),从而保护内部网免受非法用户的侵入 防火墙的应用如图4一3所示。 亚务主机 Web最务器 Client Intrant 图+3防火墙应用示意图 简单的理解,防火墙就是一个位于计算机和它所连接的网络之侧的软件或硬件或 软硬件的结合体。该计算机流入流出的所有网络通销均要经过此防火墙, 1,防火墙的分类 为了更有效率地对付网络上各种不可攻击手段,防火墙也派分出几种防御架构。根据物 理特性,防火墙分为两大类:软件防火墙和硬件防火墙。 1)软件防火墙 软件防火墙是一种安装在负责内外网络转换的网美服务器或者独立的个人计算机上的 特殊程序。它是以辑形式存在的,防火墙程序跟随系统启动,通过运行在R10级别的特 殊驱动模块把防御机制插入系饶关于网洛的处理部分和网铬接口设备驱动之间,形成一种逻 辑上的防御体系。 在没有软件防火墙之前,系统和网路接口设备之阿的通道是直接的,网络接口设备通过 网络果动程序接口肥网络上传来的各种报文都忠实地交给系统处理,尽管DIS接收到的仍 然的是原封不动的数据报文,但是在提交到系统的通道上多了一层防陶机制,所有数据报文 露要经过这层机制根据一定的规则判断处理,只有它认为安全的数据才能到达系统,其他数 据则被丢痒。 软件防火墙工作于系统接口与DIS之间,用于检查过滤由DS发送过来的数据,在无
用网与公共网之间的界面上构造的保护屏障,是一种获取安全性方法的形象说法,它 实际上是一种隔离技术。它是一种计算机硬件和软件的结合,使互联网与 Intranet 之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入。 防火墙的应用如图 4—3 所示。 简单的理解,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件或 软硬件的结合体。该计算机流入流出的所有网络通信均要经过此防火墙。 1.防火墙的分类 为了更有效率地对付网络上各种不同攻击手段,防火墙也派分出几种防御架构。根据物 理特性,防火墙分为两大类:软件防火墙和硬件防火墙。 1)软件防火墙 软件防火墙是一种安装在负责内外网络转换的网关服务器或者独立的个人计算机上的 特殊程序。它是以逻辑形式存在的,防火墙程序跟随系统启动,通过运行在 Ring0 级别的特 殊驱动模块把防御机制插入系统关于网络的处理部分和网络接口设备驱动之间,形成一种逻 辑上的防御体系。 在没有软件防火墙之前,系统和网络接口设备之间的通道是直接的,网络接口设备通过 网络驱动程序接口把网络上传来的各种报文都忠实地交给系统处理,尽管 NDIS 接收到的仍 然的是原封不动的数据报文,但是在提交到系统的通道上多了一层防御机制,所有数据报文 都要经过这层机制根据一定的规则判断处理,只有它认为安全的数据才能到达系统,其他数 据则被丢弃。 软件防火墙工作于系统接口与 NDIS 之间,用于检查过滤由 NDIS 发送过来的数据,在无 Internet Client 业务主机 Web服务器 Client Client 防 火 墙 Intrant 图 4-3 防火墙应用示意图
需改动便件的前提下便能实观一定强度的安全保障,但是由于款件防火墙自身属于运行于系 统上的程序,需要古用一部分刊资源维持工作,因此软件防火墙会使整个系统工作效率和 数据吞叶速度有所下降, 2)硬件防火墙 硬件防火墙是一种以物理形式存在的专用设备,通常架设于两个网络的驳接处,直接从 网络设备上检查过滤有害的数据报文,位于防火墙设备后端的网络或者服务器接收到的是经 过膨火墙处理的相对安全的数据,不必另外分出C列货源去透行基于软件架构的DS数据 检测,可以大大提高工作效率。 硬件防火墙一般是通过网线连接于外部网络接口与内部服务器或企业网络之间的设备, 其又另外深分出两种结构,一种是售通硬件领别防火墙。它加有标准计算机的缓件平台和一 些功经过简化处理的]X系列操作系统和防火墙软件,这种防火精措雀相当于专门拿出 一台计算机安装款件防火墙,因此有可能会存在漏洞和不稳定因素,安全性并不能做到最好: 另一种是所请的“艺片”缓嬷件防火墙。它采用专门设计的使件平台,在上面桥建的钦件也 是专门开发的。并丰流行的操作系统。因而可以达到较好的安全性能性能。 实际应用中,硬件防火墙用的较少,因为它价格昂贵,例如国防部以及大型机房 等地才用。 2.主要防火墙产品 目前的防火墙有juniper,sonicwall,Cisco-ASA或者PTX,iI1 stoee,atchgurad, 蓝盾等。由于防火墙厂家比较多,这里就不具体介留了,根据最近的发展趋劳,防火培逐有 向(统一威静管理)发展,就是来米的TV是一个棱块化的产品,包括传饶的防火培之 外,还包含了VPW、入侵值测、防病毒等功能。 (四)Dos肺护 Da5防护是指针对Da5攻击采取的防御情铺。 随着雅虎,易密网等电子商务网站遭到拒绝服务攻击以来,拒绝服务攻击己成为互联网 上一种新兴的安全威励,而且防护起米又极其困难。在信息安全方面,拒绝服务攻击以其危 害性极大、难以防御的特点,成为黑客经常使用的攻击手段。 DS改击常用的手段是使网站服务器充斥大量要求回复的信息,消耗网络带宽或系统资 源,导致网洛成系统不据重负而停止提供正常的网路服务。 1.5YF1o0d攻击及防御 该攻击是以多个随机的尊主机地址向目的主机发送SN包,商目标主机在收到Y0黑
需改动硬件的前提下便能实现一定强度的安全保障,但是由于软件防火墙自身属于运行于系 统上的程序,需要占用一部分 CPU 资源维持工作,因此软件防火墙会使整个系统工作效率和 数据吞吐速度有所下降。 2)硬件防火墙 硬件防火墙是一种以物理形式存在的专用设备,通常架设于两个网络的驳接处,直接从 网络设备上检查过滤有害的数据报文,位于防火墙设备后端的网络或者服务器接收到的是经 过防火墙处理的相对安全的数据,不必另外分出 CPU 资源去进行基于软件架构的 NDIS 数据 检测,可以大大提高工作效率。 硬件防火墙一般是通过网线连接于外部网络接口与内部服务器或企业网络之间的设备, 其又另外派分出两种结构,一种是普通硬件级别防火墙,它拥有标准计算机的硬件平台和一 些功能经过简化处理的 UNIX 系列操作系统和防火墙软件,这种防火墙措施相当于专门拿出 一台计算机安装软件防火墙,因此有可能会存在漏洞和不稳定因素,安全性并不能做到最好; 另一种是所谓的“芯片”级硬件防火墙,它采用专门设计的硬件平台,在上面搭建的软件也 是专门开发的,并非流行的操作系统,因而可以达到较好的安全性能性能。 实际应用中,硬件防火墙用的较少,因为它价格昂贵,例如国防部以及大型机房 等地才用。 2.主要防火墙产品 目前的防火墙有 juniper ,sonicwall ,Cisco-ASA 或者 PIX,Hillstone,watchgurad, 蓝盾等,由于防火墙厂家比较多,这里就不具体介绍了,根据最近的发展趋势,防火墙逐渐 向 UTM(统一威胁管理)发展,就是未来的 UTM 是一个模块化的产品,包括传统的防火墙之 外,还包含了 VPN、入侵侦测、防病毒等功能。 (四)DoS 防护 DoS 防护是指针对 DoS 攻击采取的防御措施。 随着雅虎、易趣网等电子商务网站遭到拒绝服务攻击以来,拒绝服务攻击已成为互联网 上一种新兴的安全威胁,而且防护起来又极其困难。在信息安全方面,拒绝服务攻击以其危 害性极大、难以防御的特点,成为黑客经常使用的攻击手段。 DoS 攻击常用的手段是使网站服务器充斥大量要求回复的信息,消耗网络带宽或系统资 源,导致网络或系统不堪重负而停止提供正常的网络服务。 1.SYNFlood 攻击及防御 该攻击是以多个随机的源主机地址向目的主机发送 SYN 包,而目标主机在收到 SYNACK
后并不回应,这样,目标主机就为源主机建立了大量连接队列,而且由于没有收到K一直 维护着这些飘列,造成了烧源的大量清耗而不能向正常请求提供服务: 防范措施:在防火墙上过滤来白同一主机的后线连接。SYF引0Od成卧很大,由于释故 洪流的主机并不寻求响应,所以无法从一个简单高容量的传输中鉴别出米。 2.Surf攻击及防御 Sut攻击是以最初发动这种攻击的程序名“Suf”来命名的。这种攻击方法结合使 用了1P欺编和1螺回复方法使大量网络传输充斥目标系统,引起目标系统形绝为正常系统 进行服务,Sourf攻击通过使月将网复地址设置成受害网络的广播地址1CP应答请求(nig) 数据包。来淹没受害主机,最换导致该网络的所有主机都对此1P应答请求做出答复,导 致网络阻塞。更加复条的Su「将源地址改为第三方的受害者,最终导致第三方谢读。 防范排施:为了防止黑客利用用户的网络改击他人,应该关闭外部路由器或防火墙的广 播地址特性!并且为了防止敲黑客攻击,应该在防火墙上设置规则丢弃掉O即包。 3.1P脉编D5攻击及防御 这种攻击利用5T位来实现。假设现在有一个合法用户(61.2.63.64)已经月服务 器建立了正常的连接。攻击者构造攻击的TCP数据。伪装白己的P为61,2,6总,64,并 向服务器发送一个带有5T位的中数据段。服务器接收到这样的数据后,认为从 61,62.63,64发送的连接有错误。就会清空缓冲区中建立好的连接。这时,如果合法用 户61.62.63.6队再发送合法数据,服务器就已经没有这样的连接了,该用户就必须重新 开始建立连接。攻击时,攻击者会伪造大量的P地址。向目标发送5T数据,使服务器不 对合法用户服务,从面实现了对受害服务器的拒绝服务攻击。 防范措疏:入口过滤在15P边界路由器实铺,对从15P网络进入几联网的数据包透行检 测过滤,拦截具有非法源IP地址的数据包,主要针对源P欺编D6攻击。ISP网络边界路 由器检查数据包源P地址是否属于IS即网洛所辖网洛地址范围,丢弃源【P不属于该ISP 网修的数据包,入口过滤在改击夏端实施,是对P欺编S改击最简单,有效的防御方法。 (玉)入侵饮测技术 入侵使测(Intrus1 on Dete0 ction,ID),顾名思义,是对入侵行为的检测,它通过收 集和分析计算机网络暖计算机系统中若干关健点的信息,检查网格或系统中是否存在违反安 全策略的行为和被攻击的迹象。进行入侵侦测的款件与硬件的组合便是入侵债测系统 (Intrusion Detection System,S),图4一4所示为通用入侵偵测框架
后并不回应,这样,目标主机就为源主机建立了大量连接队列,而且由于没有收到 ACK 一直 维护着这些队列,造成了资源的大量消耗而不能向正常请求提供服务。 防范措施:在防火墙上过滤来自同一主机的后续连接。SYNFlood 威胁很大,由于释放 洪流的主机并不寻求响应,所以无法从一个简单高容量的传输中鉴别出来。 2.Smurf 攻击及防御 Smurf 攻击是以最初发动这种攻击的程序名“Smurf”来命名的。这种攻击方法结合使 用了 IP 欺骗和 ICMP 回复方法使大量网络传输充斥目标系统,引起目标系统拒绝为正常系统 进行服务。Smurf 攻击通过使用将回复地址设置成受害网络的广播地址 ICMP 应答请求(ping) 数据包,来淹没受害主机,最终导致该网络的所有主机都对此 ICMP 应答请求做出答复,导 致网络阻塞。更加复杂的 Smurf 将源地址改为第三方的受害者,最终导致第三方崩溃。 防范措施:为了防止黑客利用用户的网络攻击他人,应该关闭外部路由器或防火墙的广 播地址特性;并且为了防止被黑客攻击,应该在防火墙上设置规则丢弃掉 ICMP 包。 3.IP 欺骗 DoS 攻击及防御 这种攻击利用 RST 位来实现。假设现在有一个合法用户(61.62.63.64)已经同服务 器建立了正常的连接,攻击者构造攻击的 TCP 数据,伪装自己的 IP 为 61.62.63.64,并 向服务器发送一个带有 RST 位的 TCP 数据段。服务器接收到这样的数据后,认为从 61.62.63.64 发送的连接有错误,就会清空缓冲区中建立好的连接。这时,如果合法用 户 61.62.63.64 再发送合法数据,服务器就已经没有这样的连接了,该用户就必须重新 开始建立连接。攻击时,攻击者会伪造大量的 IP 地址,向目标发送 RST 数据,使服务器不 对合法用户服务,从而实现了对受害服务器的拒绝服务攻击。 防范措施:入口过滤在 ISP 边界路由器实施,对从 ISP 网络进入互联网的数据包进行检 测过滤,拦截具有非法源 IP 地址的数据包,主要针对源 IP 欺骗 DoS 攻击。ISP 网络边界路 由器检查数据包源 IP 地址是否属于 ISP 网络所辖网络地址范围,丢弃源 IP 不属于该 ISP 网络的数据包。入口过滤在攻击源端实施,是对 IP 欺骗 DoS 攻击最简单、有效的防御方法。 (五)入侵侦测技术 入侵侦测(Intrusion Detection,ID), 顾名思义,是对入侵行为的检测。它通过收 集和分析计算机网络或计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安 全策略的行为和被攻击的迹象。进行入侵侦测的软件与硬件的组合便是入侵侦测系统 (Intrusion Detection System,IDS)。图 4—4 所示为通用入侵侦测框架
南空单元 翰出:反应/事件+ 输出:高级中折事件 事件分析器 事件数规库 输出:事件的存储值息 输出:原如事件/低级事件+ 事件发生器 输入,原始事件源 Denning在19B7年所发表的论文中,首先对入侵债测系统模式做出定义:一般而言, 入侵偵测通过网格封包或信息的收集,检测可能的入侵行为,并且旋在入侵行为造成意害前 及时发出报警通知系统管理员并进行相关的处理错幽。为了达成这个目的,入程慎测系统应 包含3个必要功能的组件:信息来源、分析引摩和响应组件。 (1)信息来源(Infornation Source方为检测可能的恶意攻击,Is所检测的网 络或系统必领能提供足够的信息给S,资料来源收集模组的任务就是要收集这些 信息作为S分析引摹的资料输入: (2)分析引草(Analysis Engine):利用饶计或规侧的方式找出可能的入侵行为并 将事件提供给响应组件。 (3)响应模组(Response Component:能够根据分析引繁的输出来采取应有的行 动。通常具有白动化机制,如主动通知系统管理员、中断入侵者的连接和收集入侵 信息等。 1、入侵债测系统的分类 入侵债测系饶依属信息米源收集方式的不判,可以分为基于主机《山st-sdS)的 和基于网洛(etwork-Based1S):另外按其分析方法可分为异常检测和误用检测。 (l)主机型入侵焦测系统(ost-based Intrusion Detection Systen.HIDS》. 基于主机的入侵侦测系统是早期的入侵衡测系统结构,其检测的目标主要是主机 系绕和系统本地用户,检测原理是根据主机的审计数据和系统日志发现可疑事件。检测 系统可以运行在被检测的主机或单独的主机上。系统结构如图一5所示。 目标系饶 审计记录收集 审计记录 市计记录数据 服
Denning 在 1987 年所发表的论文中,首先对入侵侦测系统模式做出定义:一般而言, 入侵侦测通过网络封包或信息的收集,检测可能的入侵行为,并且能在入侵行为造成危害前 及时发出报警通知系统管理员并进行相关的处理措施。为了达成这个目的,入侵侦测系统应 包含 3 个必要功能的组件:信息来源、分析引擎和响应组件。 (1) 信息来源(Information Source):为检测可能的恶意攻击,IDS 所检测的网 络或系统必须能提供足够的信息给 IDS,资料来源收集模组的任务就是要收集这些 信息作为 IDS 分析引擎的资料输入。 (2) 分析引擎(Analysis Engine):利用统计或规则的方式找出可能的入侵行为并 将事件提供给响应组件。 (3) 响应模组(Response Component):能够根据分析引擎的输出来采取应有的行 动。通常具有自动化机制,如主动通知系统管理员、中断入侵者的连接和收集入侵 信息等。 1、入侵侦测系统的分类 入侵侦测系统依照信息来源收集方式的不同,可以分为基于主机(Host-Based IDS)的 和基于网络(Network-Based IDS);另外按其分析方法可分为异常检测和误用检测。 (1) 主机型入侵侦测系统(Host-based Intrusion Detection System, HIDS)。 基于主机的入侵侦测系统是早期的入侵侦测系统结构, 其检测的目标主要是主机 系统和系统本地用户, 检测原理是根据主机的审计数据和系统日志发现可疑事件。检测 系统可以运行在被检测的主机或单独的主机上, 系统结构如图 4—5 所示。 目标系统 审计记录收集 审计记录预处理 审计记录数据 归档/查询 审计记录 数据库
图4-5基于主机的四结构 主机型入侵债测系统的优点是:确定攻击是香成功:监测特定主机系统活动:较适合有 如密和网络交换器的环境:不需要另外添加设备。其缺点:可能因操作系统平台提供的日志 信息格式不月,必策针对不同的操作系统安装个别的入侵锁测系统:如果入侵者经其它系统 漏闲入侵系统并取得管理者的权限,那将导政主机型入侵镇测系统失去效用:可隐会因分布 式(Denm1 I of Service,DoS)攻击而失去作用,当监控分析时可能会曾加该台主机的系饶 货源负荷,影响被蓝测主机的效能,甚至成为入侵者利用的工具而使棱整测的主机负荷过重 而死机。 (2)网路型入侵债测系统(etwork-based Intrusion Detection Systen,NIDs). 网络入侵航测是通过分析主机之间网线上传输的信息来工作的。它通常利用一个工 作在"混杂核式”(PrO1 scuous Mode)下的网卡来实时监视并分析通过网洛的数据流。 它的分析模块通常使用模式四配、统计分析等技术来积别攻击行为。其结构如图4一6 所示
图 4-5 基于主机的 IDS 结构 主机型入侵侦测系统的优点是:确定攻击是否成功;监测特定主机系统活动;较适合有 加密和网络交换器的环境;不需要另外添加设备。其缺点:可能因操作系统平台提供的日志 信息格式不同,必须针对不同的操作系统安装个别的入侵侦测系统;如果入侵者经其它系统 漏洞入侵系统并取得管理者的权限,那将导致主机型入侵侦测系统失去效用;可能会因分布 式(Denail of Service,DoS)攻击而失去作用;当监控分析时可能会曾加该台主机的系统 资源负荷,影响被监测主机的效能,甚至成为入侵者利用的工具而使被监测的主机负荷过重 而死机。 (2) 网络型入侵侦测系统(Network-based Intrusion Detection System,NIDS)。 网络入侵侦测是通过分析主机之间网线上传输的信息来工作的。它通常利用一个工 作在"混杂模式"(Promiscuous Mode)下的网卡来实时监视并分析通过网络的数据流。 它的分析模块通常使用模式匹配、统计分析等技术来识别攻击行为。其结构如图 4—6 所示
安全配置 构造 分析结果 检测引擎 计题帆 网格主机 网铬主机 入侵征闻 图46基于网络的6结构 探测器的功能是按一定的规则从网铬上获取与安全事件相关的数据包,然后传递给分 析引擎进行安全分析判断。分析引繁从深测器上接收到的数据包结合网络安全数据库进行分 析,把分析的结果传递给配置构造器。配置构造器按分析引苹器的结果构造出探测器所需 要的配置规则。一且检测到了攻击行为,N5的响应颅块就做出适当的响应,比如报警、 切断相关用户的网络连接等。不同入侵值测系统在实现时采用的响应方式也可能不月,但通 常都包括通知管理员、切断连接、记录相美的信息以提供必要的法律依据等: 网路里入侵快测系统的优点是:成本低:可以检测到主机型检测系统检测不到的攻击行 为:入侵者消除入侵证据闲难:不影响操作系统的性能:架构网络型入侵债测系统简单。其 缺点是:如果料络流速高时可能会丢失许多封包,容易让入侵者有机可乘:无法检测加密的 封包:对于直接对主机的入侵无法检测出。 (3)混和入侵钱测系统(r1d): 主机型和网络型入侵镇测系统都有各自的优缺点,混和入侵锁测系统是基于主机和基于 网络的入侵值测系统的结合,许多机构的网路安全解决方案都月时采用了基于主机和基于 网络的两种入侵快测系统,因为这两种系统在很大程度上互补,两种技术结合能大幅度提升
图 4-6 基于网络的 IDS 结构 探测器的功能是按一定的规则从网络上获取与安全事件相关的数据包 , 然后传递给分 析引擎进行安全分析判断。分析引擎从探测器上接收到的数据包结合网络安全数据库进行分 析 , 把分析的结果传递给配置构造器。配置构造器按分析引擎器的结果构造出探测器所需 要的配置规则。一旦检测到了攻击行为,NIDS 的响应模块就做出适当的响应,比如报警、 切断相关用户的网络连接等。不同入侵侦测系统在实现时采用的响应方式也可能不同,但通 常都包括通知管理员、切断连接、记录相关的信息以提供必要的法律依据等。 网络型入侵侦测系统的优点是:成本低;可以检测到主机型检测系统检测不到的攻击行 为;入侵者消除入侵证据困难;不影响操作系统的性能;架构网络型入侵侦测系统简单。其 缺点是:如果网络流速高时可能会丢失许多封包,容易让入侵者有机可乘;无法检测加密的 封包;对于直接对主机的入侵无法检测出。 (3)混和入侵侦测系统(Hybrid)。 主机型和网络型入侵侦测系统都有各自的优缺点,混和入侵侦测系统是基于主机和基于 网络的入侵侦测系统的结合 ,许多机构的网络安全解决方案都同时采用了基于主机和基于 网络的两种入侵侦测系统,因为这两种系统在很大程度上互补,两种技术结合能大幅度提升
网修和系饶面对攻击和错误使用时的抵抗力,使安全实篷更加有效。 (4)异常检测(Anomaly Detectio通). 异常检测是服设入侵香话动异常于正常主体的话动,根据这一理念建立主体正常 活动的“活动简档”,将当前主体的活动状况与“活动简档”相比较,。当违反其饶计 规律时。认为该活动可能是“入侵”行为。异常检测的毒题在于如何建立“话动简 档”以及如何设计统计算法。从而不把正常的操作作为”入侵”成忽略真正的“入 侵”行为: (5)误用检测(Misuse Detectioa). 误用检测又称特征检测(S1 mature-based deteetion》,这一检测假设入侵者活动可以 用一种模式来表示,系统的目标是检测主体话动是否符合这线模式。它可以将己有的入侵方 法检查出来,但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达”入侵”现象 又不会将正常的活动包含进米, 2.主要入慢伙测产品 目前,国内外已有很多公司开发入侵值测系统,有的作为独立的产品。有的作为防火墙 的一部分,其结构和功能也不尽相同,非商业化的产品如Sot这一类的自由软件:;优秀 的商业产品有如:1Ss公司的RealSecure是分布式的入侵能测系统,Cisco公可的 NetRanger,Nl】公司的CyberCop是基于网络的入侵侦测系统.Trusted Information System 公司的Stalkers是基于主机的检测系统.下面主要介绍一下ISs公司的RealSecure和Cisco 公可的etRanger, (1)RealSecure. Real5 ecure是目前使用范围最广的商用入侵航测系统,它分为两部分,引擎和控制 台。引擎也效是我们所说的检测器。I5S提供的引摩有两个版本,indows NT和NIX, 控制台则是运行在indows NT系统上,安装好之后,策略由分析员米制定,RealSecure 重新定义完策略后不需重新启动引摩,它的默认设置就能够检测到大量的有用信皂,报 告也相当不错,是目前最直观、界面最友好的入侵使测系统。 (2)NetRanger. etRanger包括检测器和分析工作站,这些组件之间通过特殊的协议法行通信,它 的检测器被设计成可以检测Cisc。路由器的系统纪录和数据包,这是所有商业版本中能 力最强的一种,(且还支持数据包的装配功能,这样即使攻油在不同的分段中也能检测 出来。但是也有不利因素如系饶成本较高:
网络和系统面对攻击和错误使用时的抵抗力,使安全实施更加有效。 (4)异常检测(Anomaly Detection)。 异常检测是假设入侵者活动异常于正常主体的活动,根据这一理念建立主体正常 活动的“活动简档”,将当前主体的活动状况与“活动简档”相比较,当违反其统计 规律时,认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简 档”以及如何设计统计算法,从而不把正常的操作作为“入侵”或忽略真正的“入 侵”行为。 (5)误用检测(Misuse Detection)。 误用检测又称特征检测(Signature-based detection),这一检测假设入侵者活动可以 用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方 法检查出来,但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达"入侵"现象 又不会将正常的活动包含进来。 2.主要入侵侦测产品 目前,国内外已有很多公司开发入侵侦测系统,有的作为独立的产品,有的作为防火墙 的一部分,其结构和功能也不尽相同。非商业化的产品如 Snort 这一类的自由软件;优秀 的商业产品有如:ISS 公司的 RealSecure 是分布式的入侵侦测系统,Cisco 公司的 NetRanger、NAI 公司的 CyberCop 是基于网络的入侵侦测系统,Trusted Information System 公司的Stalkers是基于主机的检测系统。下面主要介绍一下ISS公司的RealSecure和Cisco 公司的 NetRanger。 (1) RealSecure。 RealSecure 是目前使用范围最广的商用入侵侦测系统 , 它分为两部分 , 引擎和控制 台。引擎也就是我们所说的检测器。 ISS 提供的引擎有两个版本 , Windows NT 和 UNIX , 控制台则是运行在 Windows NT 系统上。安装好之后 , 策略由分析员来制定 ,RealSecure 重新定义完策略后不需重新启动引擎 , 它的默认设置就能够检测到大量的有用信息 , 报 告也相当不错 , 是目前最直观、界面最友好的入侵侦测系统。 (2)NetRanger。 NetRanger 包括检测器和分析工作站 , 这些组件之间通过特殊的协议进行通信 , 它 的检测器被设计成可以检测 Cisco 路由器的系统纪录和数据包 , 这是所有商业版本中能 力最强的一种 , 而且还支持数据包的装配功能 , 这样即使攻击在不同的分段中也能检测 出来。但是也有不利因素如系统成本较高