安全审计与入侵检测报告.docx

安全审计与扫描课程报告姓名：学号：班级：指导老师：基于入侵检测技术的网络安全分析一、简述网络安全技术发展到今天，除了防火墙和杀毒系统的防护，入侵检测技术也成为抵御黑客攻击的有效方式。尽管入侵检测技术还在不断完善发展之中，但是入侵检测产品的市场已经越来越大，真正掀起了网络安全的第三股热潮。入侵检测被认为是防火墙之后的第二道安全闸门。IDS主要用来监视和分析用户及系统的活动，可以识别反映已知进攻的活动模式并向相关人士报警。对异常行为模式，IDS要以报表的形式进行统计分析。二、入侵检测模型Denning于1987年提出一个通用的入侵检测模型(图1-1)。该模型由以下六个主要部分组成:(l)主体 (Subjects):启动在目标系统上活动的实体，如用户;(2)对象 (Objects):系统资源，如文件、设备、命令等;(3)审计记录(Audit records):由Subject，Action，Object，Exception-Condition，Resource-Usage，Time-stamp构成的六元组，活动(Action)是主体对目标的操作，对操作系统而言，这些操作包括读、写、登录、退出等;异常条件(Exception-Condition)是指系统对主体的该活动的异常报告，如违反系统读写权限;资源使用状况(Resource--Usage)是系统的资源消耗情况，如CPU、内存使用率等;时标(Time-Stamp)是活动发生时间;(4)活动简档(Activity Profile):用以保存主体正常活动的有关信息，具体实现依赖于检测方法，在统计方法中从事件数量、频度、资源消耗等方面度量，可以使用方差、马尔可夫模型等方法实现;(5)异常记录(Anomaly Record):由(Event，Time-stamp，Profile)组成，用以表示异常事件的发生情况;(6)活动规则:规则集是检查入侵是否发生的处理引擎，结合活动简档用专家系统或统计方法等分析接收到的审计记录，调整内部规则或统计信息，在判断有入侵发生时采取相应的措施。 入侵检测模型图Denning模型的最大缺点在于它没有包含己知系统漏洞或攻击方法的知识，而这些知识在许多情况下是非常有用的信息。三、入侵检测系统(IDS)诠释IDS是一种网络安全系统，当有敌人或者恶意用户试图通过Internet进入网络甚至计算机系统时，IDS能够检测出来，并进行报警，通知网络该采取措施进行响应。在本质上，入侵检测系统是一种典型的“窥探设备”。它不跨接多个物理网段(通常只有一个监听端口)，无须转发任何流量，而只需要在网络上被动地、无声息地收集它所关心的报文即可。目前，IDS分析及检测入侵阶段一般通过以下几种技术手段进行分析：特征库匹配、基于统计的分析和完整性分析。其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。IDS具备如下特点：1、精确地判断入侵事件安装在服务器上的IDS有一个完整的黑客攻击信息库，其中存放着各种黑客攻击行为的特征数据。每当用户对服务器上的数据进行操作时，IDS就将用户的操作与信息库中的数据进行匹配，一旦发现吻合，就认为此项操作为黑客攻击行为。由于信息库的内容会不断升级，因此可以保证新的黑客攻击方法也能被及时发现。IDS的攻击识别率可以达到百分之百。2、可判断应用层的入侵事件与防火墙不同，IDS是通过分析数据包的内容来识别黑客入侵行为的。因此，IDS可以判断出应用层的入侵事件。这样就极大的提高了判别黑客攻击行为的准确程度。3、对入侵可以立即进行反应IDS以进程的方式运行在服务器上，为系统提供实时的黑客攻击侦测保护。一旦发现黑客攻击行为，IDS可以立即做出相应。响应的方法有多种形式，其中包括：报警（如屏幕显示报警、寻呼机报警）、必要时关闭服务直至切断链路，与此同时，IDS会对攻击的过程进行详细记录，为以后的调查工作提供线索。4、全方位的监控与保护防火墙只能隔离来自本网段以外的攻击行为，而IDS监控的是所有针对服务器的操作，因此它可以识别来自本网段内、其他网段以及外部网络的全部攻击行为。这样就有效的解决了来自防火墙后由于用户误操作或内部人员恶意攻击所带来的安全威胁。由于IDS对用户操作进行详细记录，系统管理人员可以清楚的了解每个用户访问服务器的意图，及时发现恶意攻击的企图，提前采取必要措施。这一切对于有攻击企图的人无疑也起到了强大的震慑作用。四、网络安全的解决方案问题：根据图示的网络拓扑结构示意图，提出一种基于入侵检测技术的网络安全解决方案现有的网络安全防范措施主要有防火墙、口令验证系统、虚拟专用网(VPN) 、加密系统等,应用最广泛的是防火墙技术。防火墙技术是内部网最重要的安全技术之一,其主要功能就是控制对受保护网络的非法访问,它通过监视、限制、更改通过网络的数据流,一方面