近年來,隨著網際網路在中國的迅速發展,**、經濟、軍事、社會、文化和人們生活等各方面都越來越依賴於網路。網路經濟的興起和發展,極大地改變了人們的生活、工作和思維方式,促進了經濟的發展。尤其是從2023年開始,在世界資訊化大潮的影響和**的大力推動下,國內逐漸興起了一股**上網、企業上網和家庭上網的熱潮,眼下「數字中國」正大踏步向我們走來,大量建設的各種資訊化系統己經成為國家關鍵基礎設施,其中許多業務要與國際接軌,諸如電信、電子商務、金融網路等。但在這個發展潮流中,網路安全隱患始終難以解決,應該說國內網路安全是當今網路應用中最敏感的問題,是影響國家大局和長遠利益的重大關鍵問題。黑客入侵給這個產業造成的負面影響是顯而易見的。然而,由於網路安全的脆弱性,黑客在網上的攻擊活動每年都以幾何級數的速度在增長。儘管目前世界上已經有許多防火牆產品,但由於防火牆技術本身的侷限性,無法徹底地防護智慧型化侵襲者如黑客對系統的攻擊。
1.2網路面臨的威脅
(1)黑客的攻擊
據統計,幾乎每20秒全球就有一起黑客事件發生,僅美國每年所造成的經濟損失就超
(2)管理的缺陷
網路系統的嚴格管理是企業、機構及使用者免受攻擊的重要措施。事實上,很多企業、機構及使用者的**或系統都疏於管理。據it界企業團體的調查,美國90%的it企業對黑客攻擊準備不足.目前,美國75%-85%的**都抵擋不住黑客的攻擊,約有75%的企業網上資訊失竊,其中25%的企業損失在25萬美元以上。我國的isp、**公司及銀行也多次被國內外黑客攻擊。但是仍然有許多單位對自己網路的安全問題毫無認識,甚至遭到了黑客攻擊都毫不知曉。
(3)軟硬體的不足
國外先進國家對資訊科技尤其是網路技術實行壟斷,目前國內網路建設不論是網路硬體(如路由器、交換機、伺服器等),還是系統軟體基本上是採用拿來主義,這種將本國的資訊系統完全建立在別國產品基礎上的國家資訊保安是非常危險的,這就對網路安全提出了更深層次的需求。同時,網路技術和軟體技術本身就存在著大量漏洞和bug,缺乏相應的安全機制。
1.3防火牆的缺陷
(1)防火牆難於防內
人們普遍認為:只要設定防火牆守住網路的門戶不讓黑客進入就萬事大吉了。的確,
設定防火牆對保證網路門戶的安全很重要,但它並非無堅不摧。防火牆無法防止來自網路內部的攻擊,這幾年的統計表明,大約75%-80%的蓄意攻擊由企業內部工作人員發起,因為他們知道企業的安全策略。
(2)防火牆難於管理和配置,易造成安全漏洞
防火牆的管理及配置相當複雜,要想成功的維護防火牆,要求防火牆管理員對網路安全攻擊的手段及其與系統配置的關係有相當深刻的了解。防火牆的安全策略無法集中管理。一般來說,由多個系統(路由器、過濾器、**伺服器、閘道器、堡壘主機)組成的防火牆,管理上有所疏忽是在所難免的。目前國內使用的許多硬體防火牆是國外產品,其複雜介面和英文說明,使許多管理員望而卻步。
(3)防火牆的安全控制主要是基於ip位址的,難於為使用者在防火牆內外提供一致的安全策略
許多防火牆對使用者的安全控制主要是基於使用者所用機器的ip位址而不是使用者身份,這樣就很難為同一使用者在防火牆內外提供一致的安全策略,限制了企業網的物理範圍。
(4)防火牆只實現了粗粒度的訪問控制
防火牆只實現了粗粒度的訪問控制,且不能與企業內部使用的其它安全機制(如訪問控制)整合使用,這樣,企業必須為內部的身份驗證和訪問控制管理維護單獨的資料庫。
1.4入侵檢測(ids)的必要性
目前,有多種方法可以檢測到網路入侵行為,但是幾乎所有這些方法都要使用日誌檔案或跟蹤檔案。但是,這些檔案記錄的絕大多數資料是在系統正常執行時產生的。如果沒有第三方工具把正常情形與異常情形時的記錄內容區分開來,則入侵行為很難檢測。目前,針對大多數企業網路存在外部入侵、惡意攻擊、資訊洩漏、資源濫用等現狀,入侵檢測技術是防火牆技術合理而有效的補充,可以彌補防火牆的不足,它從計算機網路系統中的若干關鍵點收集資訊,並分析這些資訊,看看網路中是否有違反安全策略的行為和遭到襲擊的跡象。為網路安全提供實時的入侵檢測及採取相應的防護手段,如記錄證據用於跟蹤、恢復、斷開網路連線等。入侵檢測被認為是防火牆之後的第二道安全閘門,在不影響網路效能的情況下能對網路進行檢測,從而提供對內部攻擊、外部攻擊和誤操作的實時保護。
二、入侵檢測系統的基本原理
2.1入侵檢測(ids)的概念
入侵檢測系統是一種主動的網路安全防護措施,它從系統內部和各種網路資源中主動採集資訊,從中分析可能的網路入侵或攻擊。對乙個成功的入侵檢測系統來講,它不但可使系統管理員時刻了解網路系統(包括程式、檔案和硬體裝置等)的任何變更,還能給網路安全策略的制訂提供指南。更為重要的一點是,它易管理、配置簡單,從而使非專業人員非常容易地獲得網路安全。而且,入侵檢測的規模還應根據網路威脅、系統構造和安全需求的改變而改變。入侵檢測系統在發現入侵後,會及時作出響應,包括切斷網路連線、記錄事件和報警等。
入侵檢測的第一步是資訊收集,採集內容和物件為系統、網路、資料及使用者活動的狀態和行為。採集資訊時需要在計算機網路系統中的不同網段和不同主機採集。
ids主要執行如下任務:
1. 監視、分析使用者及系統活動。
2. 系統構造和弱點的審計。
3. 識別反映已知進攻的活動模式並向相關人士報警。
4. 異常行為模式的統計分析。
5. 評估重要系統和資料檔案的完整性。
6. 作業系統的審計跟蹤管理,並識別使用者違反安全策略的行為。
2.2 入侵檢測(ids)的分類
入侵檢測通過對入侵行為的過程與特徵進行研究,使安全系統對入侵事件和入侵過程作出實時響應,可按照其採用的技術及系統所檢測的物件進行分類。
一般來講,入侵檢測系統採用如下兩項技術:
一、異常檢測技術。假定所有入侵行為都是與正常行為不同的。如果建立系統正常行為的軌跡,那麼理論上可以把所有與正常軌跡不同的系統狀態視為可疑企圖。對於異常閥值與特徵的選擇是異常發現技術的關鍵。比如,通過流量統計分析將異常時間的異常網路流量視為可疑。異常發現技術的侷限是並非所有的入侵都表現為異常,而且系統的軌跡難於計算和更新。
二、模式檢測技術。假定所有入侵行為和手段(及其變種)都能夠表達為一種模式或特徵,那麼所有已知的入侵方法都可以用匹配的方法發現。模式發現的關鍵是如何表達入侵的模式,把真正的入侵與正常行為區分開來。模式發現的優點是誤報少,侷限是它只能發現已知的攻擊,對未知的攻擊無能為力。
3、採用上述兩種資料**的分布式入侵檢測系統; 能夠同時分析來自主機系統審計日誌和網路資料流的入侵檢測系統,一般為分布式結構,由多個部件組成。
前兩類入侵檢測系統雖然能夠在某些方面有很好的效果,但從總體來看都各有不足,孤立地去評估都是不可取的。分布式入侵檢測系統則同時具有這兩方面的技術,可以互相補充不足,達到真正全面檢測和防護的作用。黒盾-網路入侵檢測系統(hd-nids)正是這樣一種分布式入侵檢測系統。
入侵檢測系統(IDS)簡介
第一章 入侵檢測系統概念 當越來越多的公司將其核心業務向網際網路轉移的時候,網路安全作為乙個無法迴避的問題呈現在人們面前。傳統上,公司一般採用防火牆作為安全的第一道防線。而隨著攻擊者知識的日趨成熟,攻擊工具與手法的日趨複雜多樣,單純的防火牆策略已經無法滿足對安全高度敏感的部門的需要,網路的防衛必須採...
入侵檢測系統
網路入侵概念 入侵檢測 通過計算機網路或計算機系統的關鍵點收集資訊並進行分析,從中發現網路或系統中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測系統 ids 入侵檢測是軟體與硬體的組合,是防火牆的合理補充,是防火牆之後的第二道安全閘門。檢測的內容 試圖闖入,成功闖入,冒充其他使用者,違反安全策略,...
入侵檢測之基於主機入侵檢測系統
一般主要使用 作業系統的審計 跟蹤日誌 作為資料來源,某些也會主動與主機系統進行互動以 獲得不存在於系統日誌中的資訊 以檢測入侵。這種型別的檢測系統不需要額外的硬體 對網路流量不敏感,效率高,能準確定位入侵並及時進行反應,但是占用主機資源,依賴於主機的可靠性,所能檢測的攻擊型別受限。不能檢測網路攻擊...