DCN网入侵检测系统组网分析及其建设方案的研究.pdfVIP

DCN网入侵检测系统组网分析及建设方案研究 程国辉 (辽宁邮电规划设计院有限公司110179) 摘要本文根据当前某主导通信运营商实际网络安全需求情况，收集并整理了该 运营商现有DCN网络安全状况，分析其在承载企业内网信息安全和稳定所面临的系列问 题，结合运营商当前资源和远期建设的实际情况，提出满足DCN建设和远期需求的入侵 检测系统建设原则，进而思考并总结归类出解决问题的模型，结合实例提出入侵检测系 统建设方案。 关键字DCN网；IDS；防DOS攻击；入侵防御系统IPS 1 引言 各运营商在企业内的DCN网络不断建设和发展的过程中，已经你出现了由于网络安 全管理的缺失或者不完善导致DCN网络安全无法顺利保证的情况，考虑下一步为实现企 业的业务拓展和核心网络的安全稳定目标，内网安全现状必然阻碍了这个目标的顺利 实现。 2 DCN网络安全建设需求分析 2．1原有防火墙难以满足安全性要求 当通信运营商将其核心业务向互联网转移的时候，网络安全作为一个无法回避的问 题呈现在人们面前。采用防火墙作为安全的第一道防线，将互联网和企业DCN网进行分 割方式面临不足。而随着攻击工具与手法的日趋复杂多样，单纯的防火墙策略已经无法满 足对安全高度敏感的部门的需要，网络的防卫必须采用一种纵深的、多样的手段。与此同 时，当今的网络环境也变得越来越复杂，各式各样的复杂的设备，需要不断升级、补漏 的系统使得网络管理员的工作不断加重，不经意的疏忽便有可能造成安全的重大隐患。 2．2 网络复杂化导致管理控制难度增大 DCN网络存在的安全问题主要集中在以下几个方面：组网方式随地市范围和实际的 设备部署而不断延伸；网络区域之间边界不清晰，互通控制管理难度大、效果差；网络 资源比较分散，关键数据分散管理，部分通信资源无法共享；扩展性差，网络层次不清 晰，会导致扩展性问题；非均匀的网络分布。另外计算机病毒制造技术也在不断地翻新 和发展，传播方式也有了很大的变化。病毒的发作具有高发性、变异性、破坏力强等特 点，在短短的时间内可以迅速传播、蔓延，导致计算机网络瘫痪，造成DCN网重要数据 的丢失。 2．3 内部员工误滥操作对链路产生挤压并引入危险 一般地，内部员工误用、滥用资源和对设备的误操作，无论是无意的还是有意的， 都将给攻击者可乘之机。如，下载一些带有病毒的文件，造成病毒的传播；对业务系统 进行误操作，造成业务系统死机；被植入木马，从而形成跳板去攻击DCN其他网络资 源；对数据滥用，造成重要的信息外泄，使重要机密数据被窃取。这种行为会给DCN网 带来一些明显的后果：DCN网机密泄漏和关键数据丢失；误操作导致计算机系统瘫痪、 影响业务正常运行；误用和滥用导致业务的不稳定、被攻击的可能性增大。 3 ID$系统建设的必要性和目标 3．1 IDS网络建设目标 IDS网络建设目标是通过对运营商DCN网络中的关键节点收集信息并对其进行分析， 第一时间发现网络或系统中是否有违反安全策略的行为和被攻击的迹象，通过将得到的 数据进行分析，并得出规律性和概率性的主要危及网络安全的因素，简化网络管理员的 日常工作，最终通过计算机和通信的技术手段保证DCN网络的安全运行。 3．2 IDS网络架构及两种组网模式 根据采集的数据源，入侵检测系统分为基于主机的入侵检测系统和基于网络的入侵 检测系统。两者的区别如表1所示。 表1 两种入侵检测系统性能比较 类别 数据源内容 优点 缺点 不会影响业务系统的性能；采 基于网络的入侵 不能检测通过加密通 网络中的所有数据包 取旁路侦听工作方式，不会影 检测系统 道的攻击 响网络的正常运行 计算机操作系统的事件日 能够提供更为详尽的用户行为 对主