入侵检测系统和防火墙
学号: 姓名:
随着互联网的兴起,网络服务、媒体的多元化发展,网络与越来越多的商业应用和经济领域的联系越来越多,与此同时,安全问题也渐渐浮出了水面。 因此,本文将要介绍的入侵检测系统(IDS)和防火墙技术,这些都只是我们在网络安全环节中进行的一个防御步骤。在网络内进行防火墙与IDS的设置,并不能保证我们的网络就绝对安全了,但是设置得当的防火墙和IDS,至少会使我们的网络更为坚固一些,并且能提供更多的攻击信息供我们分析。
(1) 入侵检测系统(IDS)
入侵检测(IntrusionDetection),顾名思义,便是对入侵行为的发觉。它通过对计算机网络或计算机系统中得若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
第一节 入侵检测系统概念
当越来越多的公司将其核心业务向互联网转移的时候,网络安全作为一个无法回避的问题呈现在人们面前。传统上,公司一般采用防火墙作为安全的第一道防线。而随着攻击者知识的日趋成熟,攻击工具与手法的日趋复杂多样,单纯的防火墙策略已经无法满足对安全高度敏感的部门的需要,网络的防卫必须采用一种纵深的、多样的手段。与此同时,当今的网络环境也变得越来越复杂,各式各样的复杂的设备,需要不断升级、补漏的系统使得网络管理员的工作不断加重,不经意的疏忽便有可能造成安全的重大隐患。在这种环境下,入侵检测系统成为了安全市场上新的热点,不仅愈来愈多的受到人们的关注,而且已经开始在各种不同的环境中发挥其关键作用。
本文中的“入侵”(Intrusion)是个广义的概念,不仅包括被发起攻击的人(如恶意的黑客)取得超出合法范围的系统控制权,也包括收集漏洞信息,造成拒绝访问(DenialofService)等对计算机系统造成危害的行为。
入侵检测(IntrusionDetection),顾名思义,便是对入侵行为的发觉。它通过对计算机网络或计算机系统中得若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统(IntrusionDetectionSystem,简称IDS)。与其他安全产品不同的是,入侵检测系统需要更多的智能,它必须可以将得到的数据进行分析,并得出有用的结果。一个合格的入侵检测系统能大大的简化管理员的工作,保证网络安全的运行。
具体说来,入侵检测系统的主要功能有:
a.监测并分析用户和系统的活动;
b.核查系统配置和漏洞;
c.评估系统关键资源和数据文件的完整性;
d.识别已知的攻击行为;
e.统计分析异常行为;
f.操作系统日志管理,并识别违反安全策略的用户活动。
由于入侵检测系统的市场在近几年中飞速发展,许多公司投入到这一领域上来。除了国外的ISS、axent、NFR、cisco等公司外,国内也有数家公司(如中联绿盟,中科网威等)推出了自己相应的产品。但就目前而言,入侵检测系统还缺乏相应的
标准
excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载
。目前,试图对IDS进行标准化的工作有两个组织:IETF的IntrusionDetectionWorking Group (idwg)和Common Intrusion DetectionFramework(CIDF),但进展非常缓慢,尚没有被广泛接收的标准出台。
第二节 入侵检测系统模型
2.1 CIDF模型
Common Intrusion DetectionFramework(CIDF)(http://www.gidos.org/)阐述了一个入侵检测系统(IDS)的通用模型。它将一个入侵检测系统分为以下组件:
事件产生器(Event generators)
事件分析器(Event analyzers
响应单元(Response units )
事件数据库(Event databases )
CIDF将IDS需要分析的数据统称为事件(event),它可以是网络中的数据包,也可以是从系统日志等其他途径得到的信息。
事件产生器的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件。事件分析器分析得到的数据,并产生分析结果。响应单元则是对分析结果作出作出反应的功能单元,它可以作出切断连接、改变文件属性等强烈反应,也可以只是简单的报警。事件数据库是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。
在这个模型中,前三者以程序的形式出现,而最后一个则往往是文件或数据流的形式。
在其他文章中,经常用数据采集部分、分析部分和控制台部分来分别代替事件产生器、事件分析器和响应单元这些术语。且常用日志来简单的指代事件数据库。如不特别指明,本文中两套术语意义相同。
2.2 IDS分类
一般来说,入侵检测系统可分为主机型和网络型。
主机型入侵检测系统往往以系统日志、应用程序日志等作为数据源,当然也可以通过其他手段(如监督系统调用)从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是所在的系统。
网络型入侵检测系统的数据源则是网络上的数据包。往往将一台机子的网卡设于混杂模式(promiscmode),监听所有本网段内的数据包并进行判断。一般网络型入侵检测系统担负着保护整个网段的任务。
不难看出,网络型IDS的优点主要是简便:一个网段上只需安装一个或几个这样的系统,便可以监测整个网段的情况。且由于往往分出单独的计算机做这种应用,不会给运行关键业务的主机带来负载上的增加。但由于现在网络的日趋复杂和高速网络的普及,这种结构正受到越来越大的挑战。一个典型的例子便是交换式以太网。
而尽管主机型IDS的缺点显而易见:必须为不同平台开发不同的程序、增加系统负荷、所需安装数量众多等,但是内在结构却没有任何束缚,同时可以利用操作系统本身提供的功能、并结合异常分析,更准确的报告攻击行为。参考文献[7]对此做了描述,感兴趣的读者可参看。
入侵检测系统的几个部件往往位于不同的主机上。一般来说会有三台机器,分别运行事件产生器、事件分析器和响应单元。在安装IDS的时候,关键是选择数据采集部分所在的位置,因为它决定了“事件”的可见度。
对于主机型IDS,其数据采集部分当然位于其所监测的主机上。
对于网络型IDS,其数据采集部分则有多种可能:
(1)如果网段用总线式的集线器相连,则可将其简单的接在集线器的一个端口上即可;
(2)对于交换式以太网交换机,问题则会变得复杂。由于交换机不采用共享媒质的
办法
鲁班奖评选办法下载鲁班奖评选办法下载鲁班奖评选办法下载企业年金办法下载企业年金办法下载
,传统的采用一个sniffer来监听整个子网的办法不再可行。可解决的办法有:
a.交换机的核心芯片上一般有一个用于调试的端口(spanport),任何其他端口的进出信息都可从此得到。如果交换机厂商把此端口开放出来,用户可将IDS系统接到此端口上。
优点:无需改变IDS体系结构。
缺点:采用此端口会降低交换机性能。
b.把入侵检测系统放在交换机内部或防火墙内部等数据流的关键入口、出口。
优点:可得到几乎所有关键数据。
缺点:必须与其他厂商紧密合作,且会降低网络性能。
c.采用分接器(Tap),将其接在所有要监测的线路上。
优点:再不降低网络性能的前提下收集了所需的信息。
缺点:必须购买额外的设备(Tap);若所保护的资源众多,IDS必须配备众多网络接口。
d.可能唯一在理论上没有限制的办法就是采用主机型IDS。
2.3 通信
协议
离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载
IDS系统组件之间需要通信,不同的厂商的IDS系统之间也需要通信。因此,定义统一的协议,使各部分能够根据协议所致订的的标准进行沟通是很有必要的。
IETF目前有一个专门的小组Intrusion Detection Working Group(idwg)负责定义这种通信
格式,称作Intrusion Detection ExchangeFormat。目前只有相关的草案(internetdraft),并未形成正式的RFC文档。尽管如此,草案为IDS各部分之间甚至不同IDS系统之间的通信提供了一定的指引。
IAP(IntrusionAlertProtocol)是idwg制定的、运行于TCP之上的应用层协议,其设计在很大程度上参考了HTTP,但补充了许多其他功能(如可从任意端发起连接,结合了加密、身份验证等)。对于IAP的具体实现,请参看[9],其中给出了非常详尽的说明。这里我们主要讨论一下设计一个入侵检测系统通信协议时应考虑的问题:
1. 分析系统与控制系统之间传输的信息是非常重要的信息,因此必须要保持数据的真实性和完整性。必须有一定的机制进行通信双方的身份验证和保密传输(同时防止主动和被动攻击)。
2. 通信的双方均有可能因异常情况而导致通信中断,IDS系统必须有额外
措施
《全国民用建筑工程设计技术措施》规划•建筑•景观全国民用建筑工程设计技术措施》规划•建筑•景观软件质量保证措施下载工地伤害及预防措施下载关于贯彻落实的具体措施
保证系统正常工作。
2.4入侵检测技术
对各种事件进行分析,从中发现违反安全策略的行为是入侵检测系统的核心功能。从技术上,入侵检测分为两类:一种基于标志(signature-based),另一种基于异常情况(anomaly-based)。
对于基于标识的检测技术来说,首先要定义违背安全策略的事件的特征,如网络数据包的某些头信息。检测主要判别这类特征是否在所收集到的数据中出现。此方法非常类似杀毒软件。
而基于异常的检测技术则是先定义一组系统“正常”情况的数值,如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出),然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况。
两种检测技术的方法、所得出的结论有非常大的差异。基于异常的检测技术的核心是维护一个知识库。对于已知得攻击,它可以详细、准确的报告报告出攻击类型,但是对未知攻击却效果有限,而且知识库必须不断更新。基于异常的检测技术则无法准确判别出攻击的手法,但它可以(至少在理论上可以)判别更广范、甚至未发觉的攻击。
如果条件允许,两者结合的检测会达到更好的效果。
第四节 存在的问题
尽管有众多的商业产品出现,与诸如防火墙等技术高度成熟的产品相比,入侵检测系统还存在相当多的问题。这一章我们便要讨论一下对其进行威胁的主要因素,值得注意的是,这些问题大多是目前入侵检测系统的结构所难以克服的(包括waRcher),而且这些矛盾可能越来越尖锐。
以下便是对入侵检测产品提出挑战的主要因素:
1.攻击者不断增加的知识,日趋成熟多样自动化工具,以及越来越复杂细致的攻击手法。
下图是CERT每年处理的安全事件(纵坐标)的统计:
不难看出,安全问题正日渐突出,尤其是2000年初出现了对诸如Yahoo,ebay等著名ICP的攻击事件。IDS必须不断跟踪最新的安全技术,才能不致被攻击者远远超越。
2.恶意信息采用加密的方法传输。
网络入侵检测系统通过匹配网络数据包发现攻击行为,IDS往往假设攻击信息是通过明文传输的,因此对信息的稍加改变便可能骗过IDS的检测。TFN现在便已经通过加密的方法传输控制信息。还有许多系统通过VPN(虚拟专用网)进行网络之间的互联,如果IDS不了解其所用的隧道机制,会出现大量的误报和漏报。
3.必须协调、适应多样性的环境中的不同的安全策略。
网络及其中的设备越来越多样化,即存在关键资源如邮件服务器、企业数据库,也存在众多相对不是很重要的PC机。不同企业之间这种情况也往往不尽相同。IDS要能有所定制以更适应多样的环境要求。
4.不断增大的网络流量。
用户往往要求IDS尽可能快的报警,因此需要对获得的数据进行实时的分析,这导致对所在系统的要求越来越高,商业产品一般都建议采用当前最好的硬件环境(如NFR5.0要求主频最少700以上的机器)。尽管如此,对百兆以上的流量,单一的IDS系统仍很难应付。可以想见,随着网络流量的进一步加大(许多大型ICP目前都有数百兆的带宽),对IDS将提出更大的挑战,在PC机上运行纯软件系统的方式需要突破。
5.广泛接受的术语和概念框架的缺乏。
入侵检测系统的厂家基本处于各自为战的情况,标准的缺乏使得其间的互通几乎不可能。
6.不断变化的入侵检测市场给购买、维护IDS造成的困难。
入侵检测系统是一项新生事物,随着技术水平的上升和对新攻击的识别的增加,IDS需要不断的升级才能保证网络的安全性,而不同厂家之间的产品在升级周期、升级手段上均有很大差别。因此用户在购买时很难做出决定,同时维护时也往处于很被动的局面。
7.采用不恰当的自动反应所造成的风险。
入侵检测系统可以很容易的与防火墙结合,当发现有攻击行为时,过滤掉所有来自攻击者的IP的数据。但是,不恰当的反应很容易带来新的问题,一个典型的例子便是:攻击者假冒大量不同的IP进行模拟攻击,而IDS系统自动配置防火墙将这些实际上并没有进行任何攻击的地址都过滤掉,于是形成了新的拒绝访问攻击(DOS)。
8.对IDS自身的攻击。
和其他系统一样,IDS本身也往往存在安全漏洞。如果查询bugtraq的邮件列
表
关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf
,诸如AxentNetProwler,NFR,ISSRealsecure等知名产品都有漏洞被发觉出来。若对IDS攻击成功,则直接导致其报警失灵,入侵者在其后所作的行为将无法被记录。(这也是为什么安全防卫必须多样化的原因之一。)
9.大量的误报和漏报使得发现问题的真正所在非常困难。
采用当前的技术及模型,完美的入侵检测系统无法实现。参考文献[1]中提到了若干种逃避IDS检测的办法,这种现象存在的主要原因是:
IDS必须清楚的了解所有操作系统网络协议的运作情况,甚至细节,才能准确的进行分析,否则[1]中提到的insertion,evasion的问题便无法解决。而不同操作系统之间,甚至同一操作系统的不同版本之间对协议处理的细节均有所不同。而力求全面则必然违背IDS高效工作的原则。
10.客观的评估与测试信息的缺乏。
11.交换式局域网造成网络数据流的可见性下降,同时更快的网络使数据的实时分析越发困难。
第四节 结论
未来的入侵检测系统将会结合其它网络管理软件,形成入侵检测、网络管理、网络监控三位一体的工具。强大的入侵检测软件的出现极大的方便了网络的管理,其实时报警为网络安全增加了又一道保障。尽管在技术上仍有许多未克服的问题,但正如攻击技术不断发展一样,入侵的检测也会不断更新、成熟。同时,正如本文一开始便提到的,网络安全需要纵深的、多样的防护。即使拥有当前最强大的入侵检测系统,如果不及时修补网络中的安全漏洞的话,安全也无从谈起。
(2) 网络防火墙
在电脑运算领域中,防火墙(英文:firewall)是一项协助确保资讯安全的设备,会依照特定的规则,允许或是限制传输的资料通过。防火墙可能是一台专属的硬件或是架设在一般硬件上的一套软件。
第一节 防火墙的定义
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。
在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。
第二节 防火墙的功能
防火墙最基本的功能就是隔离网络,通过将网络划分成不同的区域(通常情况下称为ZONE),制定出不同区域之间的访问控制策略来控制不同任程度区域间传送的数据流。例如互联网是不可信任的区域,而内部网络是高度信任的区域。以避免安全策略中禁止的一些通信。它有控制信息基本的任务在不同信任的区域。 典型信任的区域包括互联网(一个没有信任的区域) 和一个内部网络(一个高信任的区域)。最终目标是提供受控连通性在不同水平的信任区域通过安全政策的运行和连通性模型之间根据最少特权原则。
第三节 防火墙的类型
个人防火墙,通常是在一部电脑上具有封包过滤功能的软件,如ZoneAlarm及Windows XP SP2后内建的防火墙程式。而专用的防火墙通常做成网络设备,或是拥有2个以上网络接口的电脑。以作用的TCP/IP堆栈区分,主要分为网络层防火墙和应用层防火墙两种,但也有些防火墙是同时运作于网络层及应用层。
网络层防火墙:可视为一种 IP 封包过滤器,运作在底层的TCP/IP协定堆栈上。我们可以以列举的方式,只允许符合特定规则的封包通过,其余的一概禁止穿越防火墙。这些规则通常可以经由管理员定义或修改,不过某些防火墙设备可能只能套用内建的规则。我们也能以另一种较宽松的角度来制定防火墙规则,只要封包不符合任何一项“否定规则”就予以放行。现在的操作系统及网络设备大多已内建防火墙功能。较新的防火墙能利用封包的多样属性来进行过滤,例如:来源 IP 地址、来源埠号、目的 IP 地址或埠号、服务类型(如 WWW 或是 FTP)。也能经由通讯协定、TTL 值、来源的网域名称或网段...等属性来进行过滤。防火墙的视察软件接口范例,纪录IP进出情况与对应事件
应用层防火墙:是在TCP/IP堆栈的“应用层”上运作,使用浏览器时所产生的资料流或是使用 FTP 时的资料流都是属于这一层。应用层防火墙可以拦截进出某应用程式的所有封包,并且封锁其他的封包(通常是直接将封包丢弃)。理论上,这一类的防火墙可以完全阻绝外部的资料流进到受保护的机器里。防火墙借由监测所有的封包并找出不符规则的属性,可以防范电脑蠕虫或是木马程式的快速蔓延。不过就实作而言,这个方法既烦且杂(因软件种类极其繁多),所以大部分的防火墙都不会考虑以这种方法设计。XML防火墙是一种新型态的应用层防火墙。
代理服务:代理服务(Proxy)设备(可能是一台专属的硬件,或只是普通电脑上的一套软件)也能像应用程式一样回应输入封包(例如连线要求),同时封锁其他的封包,达到类似于防火墙的效果。代理会使从外部网络窜改一个内部系统更加困难,且只要对于代理有良好的设定,即使内部系统出现问题也不一定会造成安全上的漏洞。相反地,入侵者也许劫持一个公开可及的系统和使用它作为代理人为他们自己的目的;代理人伪装作为那个系统对其它内部机器。当对内部地址空间的用途加强安全,破坏狂也许仍然使用方法譬如IP欺骗(IP spoofing)试图通过小包对目标网络。防火墙经常有网络地址转换(NAT) 的功能,并且主机被保护在防火墙之后共同地使用所谓的“私人地址空间”,定义在RFC 1918。防火墙的适当的配置要求技巧和智慧,它要求管理员对网络协议和电脑安全有深入的了解,因小差错可使防火墙不能作为安全工具。
第四节 防火墙架设结构
堡垒主机式防火墙:此防火墙需有两片网络卡,一片与互联网连接,另一片与内部网络连接,如此互联网与内部网络的通路,无法直接接通,所有封包都需要透过堡垒主机转送。
双闸式防火墙:此防火墙除了堡垒主机式防火墙的两片网络卡设计外,另有安装一称为应用服务转送器的软件,所有网络封包都须经过此软件检查,此软件将过滤掉不被系统所允许的封包。
屏障单机式防火墙:此防火墙的硬件设备除需要主机外,还需要另一路由器,路由器需具有封包过滤的功能,主机则负责过滤及处理网络服务要求的封包,当互联网的封包进入屏障单机式防火墙时,路由器会先检查此封包是否满足过滤规则,再将过滤成功的封包,转送到主机做网络服务层的检查与转送。
屏障双闸式防火墙:将屏障单机式防火墙的主机换成,双闸式防火墙。
屏障子网域式防火墙:此防火墙借由多台主机与两个路由器组成,电脑分成两个区块,屏障子网域与内部网络,封包经由以下路径,第一个路由器->屏障子网域->第二路由器->内部网络,此设计因有阶段式的过滤功能,因此两个路由器可以有不同的过滤规则,让网络封包使用更有效率。若一封包通过第一过滤器封包,会先在屏障子网域做服务处理,若要做更深入内部网络的服务,则要通过第二路由器的过滤。
第五节 防火墙的优点和缺点
防火墙的优点如下:
(1)防火墙能强化安全策略。
(2)防火墙能有效地记录Internet上的活动。
(3)防火墙限制暴露用户点。防火墙能够用来隔开网络中一个网段与另一个网段。这样,能够防止影响一个网段的问题通过整个网络传播。
(4)防火墙是一个安全策略的检查站。所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝于门外。
防火墙的缺点如下:
(1)正常状况下,所有互联网的封包软件都应经过防火墙的过滤,这将造成网络交通的瓶颈。例如在攻击性封包出现时,攻击者会不时寄出封包,让防火墙疲于过滤封包,而使一些合法封包软件亦无法正常进出防火墙。
(2)防火墙虽然可以过滤互联网的封包,但却无法过滤内部网络的封包。因此若有人从内部网络攻击时,防火墙是毫无用武之地的。
(3)而电脑本身操作系统亦可能一些系统漏洞,使入侵者可以利用这些系统漏洞来绕过防火墙的过滤,进而入侵电脑。
(4)防火墙无法有效阻挡病毒的攻击,尤其是隐藏在资料中的病毒。
(3) 结论
防火墙是访问控制设备,安置在不同安全领域的接口处,其主要目的是根据网络的安全策略,按照经过的网络流量,而这种控制通常基于IP地址、端口、协议类型或应用代理。包过滤、网络地址转换、应用代理和日志审计是防火墙的基本功能。目前,防火墙已经成为企业网络安全的第一道屏障,保护企业网络免遭外部不信任网络的侵害。
IDS则不同于防火墙,它不是网络控制设备,不对通信流量做任何限制。它采用的是一种动态的安全防护技术,通过监视网络资源(网络数据包、系统日志、文件和用户活动的状态行为),主动寻找分析入侵行为的迹象,一旦发现入侵,立即进行日志、告警和安全控制操作等,从而给网络系统提供对外部攻击、内部攻击和误操作的安全保护。
可以看到,防火墙不识别网络流量,只要是经过合法通道的网络攻击,防火墙无能为力。例如很多来自ACTIVEX和 JAVA APPLET的恶意代码,通过合法的WEB访问渠道,对系统形成威胁。虽然现在的开发商对防火墙进行了许多功能扩展,有些还具备了初步的入侵检测功能,但防火墙作为网关,极易成为网络的瓶颈,并不宜做太多的扩展。同样,IDS也有自己的弱点。自身极易遭受拒绝服务的攻击,其包捕捉引擎在突发的、海量的流量前能够迅速失效,而且还有一些攻击绕过它的检测。同时,IDS对攻击的抵抗控制力也很弱,对攻击源一般只作两种处理:一种是发送RST包复位连接,另一种是发送回应包“HOST UNREACHABLE”欺骗攻击源。这两种方式都不可避免地增加了网络的流量,甚至拥塞网络。
综上所述,防火墙和IDS的功能特点和局限性决定了它们彼此非常需要对方,且不可能相互取代,原因在于防火墙侧重于控制,IDS侧重于主动发现入侵的信号。而且,它们本身所具有的强大功效仍没有充分发挥。例如,IDS检测到一种攻击行为,如不能及时有效地阻断或者过滤,这种攻击行为仍将对网络应用造成损害;没有IDS,一些攻击会利用防火墙合法的通道进入网络。因此,防火墙和IDS之间十分合适建立紧密的联动关系,以将两者的能力充分发挥出来,相互弥补不足,相互提供保护。从信息安全整体防御的角度出发,这种联动是十分必要的,极大地提高了网络安全体系的防护能力。(完)
浙公网安备 33021202002483