入侵检测安全解决方案.doc

入侵检测安全解决方案 摘要： 随着互联网技术的飞速发展，网络安全逐渐成为一个潜在的巨大问题。但是长久以来，人们普遍关注的只是网络中信息传递的正确与否、速度怎样，而忽视了信息的安全问题，结果导致大量连接到Internet上的计算机暴露在愈来愈频繁的攻击中。因此，保证计算机系统、网络系统以及整个信息基础设施的安全已经成为刻不容缓的重要课题。本文先介绍入侵检测的概念和基本模型，然后按不同的类别分别介绍其技术特点。 关键词： 网络安全、入侵检测、入侵检测系统、蠕虫、入侵检测系统的发展 引言： 随着Internet的迅速扩张和电子商务的兴起，越来越多企业以及政府部门依靠网络传递信息然而网络的开放性与共享性使它容易受到外界的攻击与破坏,信息的安全保密性受到严重影响。网上黑客的攻击活动 该网络的拓扑结构分析 从网络拓扑图可以看出，该网络分为办公局域网、服务器网络和外网服务器，通过防火墙与互联网连接。在办公局域网中有一个交换机和一些客户机。对于局域网络，每台计算机处于平等的位置，两者之间的通信不用经过别的节点，它们处于竞争和共享的总线结构中。这种网络适用于规模不大的小型网络当中，管理简单方便，安全控制要求不高的场合。网络拓扑结构安全性考虑??????? 网络拓扑结构与网络的安全性关系很大，如果设备再好，结构设计有问题，比如拓扑结构不合理，使防火墙旋转放置在网络内部，而不是网络与外部的出口处，这样整个网络就不能抵挡外部的入侵了。设计好网络的拓扑结构，也就是使其进出口减少了收缩，把防御设备放置到网络的出入口，特别是防火墙和路由器，一定要放置在网络的边缘上，且是每个出入口均要有。内网防火墙是一类防范措施的总称，它使得内部网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。防火墙简单的可以只用路由器实现，复杂的可以用主机甚至一个子网来实现。设置防火墙目的都是为了在内部网与外部网之间设立唯一的通道，简化网络的安全管理。 防火墙的功能有： 1、过滤掉不安全服务和非法用户 2、控制对特殊站点的访问 3、提供监视Internet安全和预警的方便端点 由于互连网的开放性，有许多防范功能的防火墙也有一些防范不到的地方： 1、防火墙不能防范不经由防火墙的攻击。例如，如果允许从受保护网内部不受限制的向外拨号，一些用户可以形成与Internet的直接的连接，从而绕过防火墙，造成一个潜在的后门攻击渠道。 2、防火墙不能防止感染了病毒的软件或文件的传输。这只能在每台主机上装反病毒软件。 3、防火墙不能防止数据驱动式攻击。当有些表面看来无害的数据被邮寄或复制到Internet主机上并被执行而发起攻击时，就会发生数据驱动攻击。 因此，防火墙只是一种整体安全防范政策的一部分。这种安全政策必须包括公开的、以便用户知道自身责任的安全准则、职员培训计划以及与网络访问、当地和远程用户认证、拨出拨入呼叫、磁盘和数据加密以及病毒防护的有关政策。 ??? 该网络网的特点是有一个办公局域网和服务器网络。这种情况下，网络面临着许多安全方面的威胁： ??? 1）黑客攻击，特别是假冒源地址的拒绝服务攻击屡有发生。攻击者通过一些简单的攻击工具，就可以制造危害严重的网络洪流，耗尽网络资源或被攻击主机系统资源。但是同时，攻击者常常可以借助伪造源地址的方法逍遥法外，使网络管理员对这种攻击无可奈何； ??? 2）病毒和蠕虫，在高速大容量的局域网络中，各种病毒和蠕虫，不论新旧都很容易通过不小心的用户或有漏洞的系统迅速传播扩散。其中特别是新发的网络蠕虫，常常可以在爆发初期的几个小时内就闪电般席卷全校甚至全球，造成网络阻塞甚至瘫痪； ??? 3) 滥用网络资源，在校园网中总会出现滥用带宽等资源以致影响其它用户甚至整个网络正常使用的行为。如各种扫描、广播、访问量过大的视频下载服务等等。 3 系统功能需求 在以上安全威胁面前侵检测系统（Intrusion Detection System，IDS）必须满足以下需求： （1）确定攻击是否成功。由于基于主机的IDS使用含有已发生事件信息，它们可以比基于网络的IDS更加准确地判断攻击是否成功。在这方面，基于主机的IDS是基于网络的IDS完美补充，网络部分可以尽早提供警告，主机部分可以确定攻击成功与否。 （2）监视特定的系统活动。基于主机的IDS监视用户和访问文件的活动，包括文件访问、改变文件权限，试图建立新的可执行文件并且／或者试图访问特殊的设备。例如，基于主机的IDS可以监督所有用户的登录及下网情况，以及每位用户在联结到网络以后的行为。对于基于网络的系统经要做到这个程度是非常困难的。基于主机技术还可监视只有管理员才能实施的非正常行为。操作系统记录了任何有关用户帐号的增加，删除、更改的情况，只要改动一且发生，基于主机的ID