防火墙与入侵检测系统联动架构的研究.docVIP

防火墙与入侵检测系统联动架构的研究 第1章 引言 1.1 课题研究背景 网络技术不断迅速的发展，使得人们的日常工作、学习和生活与网络紧密 的联系在了一起。3G 时代的到来，更使得人们轻松享受移动通信的便利与乐趣。 有人曾断言，在未来5 年内，国内的网络带宽将迅速增长50 倍。很显然，在这 样一个信息互联的时代，人们的工作生活再也离不开网络。但凡事都具有两面 性，如此发达的网络也给网络黑客们提供了大量的机会。根据美国计算机紧急 事件响应小组协调中心CERT/CC(Computer Emergency Response Team Coordination Center)的最新历史统计数据显示[1]（如图1-1），从1995 年开始，入 侵实例的数目从起初的171 例持续攀升到2008 年第三季度的6058 例。人们在 享受方便快捷的网络生活的同时，网络病毒也在不断的滋生，网络入侵事件频 频发生。个人、企业乃至国家的机密信息受到了巨大的威胁。因此，网络安全 问题被提到了一个很高的高度，倍受人们所重视。 1.1.1 常见的网络攻击方式 网络安全从本质上讲，是指网络上的信息安全，即信息的真实性、可控性、 完整性和可用性不被受到损坏、篡改和泄漏[2]。而网络攻击，则是对某个网络的 安全性造成威胁的行为，包括窃取信息、破坏完整性、未授权使用和拒绝服务 等[2]。从网络攻击手段来看，网络攻击方式主要可分为以下几种方式： （1）身份攻击 传统的网络安全性检查多半都是通过用户名/口令机制，合法用户通过输入 正确的用户名、密码来验证其合法身份。网络攻击者使用猜测、窃取、刺探和 仿冒等手段，通过欺骗系统，冒充合法用户进入到系统中，实施攻击行为。这 是网络中最常见，也是最简单的攻击手段。 （2）系统漏洞攻击 庞大的计算机网络系统通常是由各种不同类型的计算机系统通过各种纷繁 复杂的协议，经过繁琐的配置所连接组成的。其软硬件配置及协议方面必然或 多或少存在各种缺陷。而网络攻击者则通过各种手段寻找这些漏洞进行攻击， 比如缓冲区溢出漏洞攻击就是一个很典型的例子。 （3）特殊代码攻击 现代网络攻击手段越来越趋于自动化，网络攻击者通常使用一些恶意软件 或代码对目标进行攻击。用户无意间下载了包含恶意程序或代码的文件，病毒 在特定的情况下自动运行，以此来达到攻击者的攻击目的。 （4）链路攻击 从网络结构来看，我们的网络传输是由一段一段的数据链路所组成，各链 路通过一些传输媒介相连接通信，网络攻击者通过在媒介上进行窃听等手段， 窃取、阻断链路中的信息。 （5）拒绝服务（Denial of Service, DoS）攻击 拒绝服务(Denial of Service，DoS)攻击，是指攻击者利用诸如发送大量的数 据包等手段消耗攻击目标，也就是服务提供者的大量共享资源，使得被攻击系 统最终没有足够的剩余资源来为其他合法用户提供正常的服务，从而造成其他 的合法服务请求被拒绝的一种攻击方式。Dos 攻击是一种典型的对系统可用性进 行破坏的攻击方式，使用这种方式，可以严重降低甚至破坏用户的Internet 连接， 或者最糟糕的情况就是让被攻击者的系统同时崩溃。 目前还没有一种能够完全地址拒绝服务攻击的方法。因为任何能够引起系 统响应、任何能导致系统为其分配资源（包括对攻击的日志记录）、任何能促使 远程站点停止与合法用户通信的事件，都可以被应用到拒绝服务（Dos）攻击中。 常见的攻击方式有TCP SYN 洪水攻击、Ping of Death、UDP 洪水攻击以及碎片 炸弹等。 1.1.2 防火墙与入侵检测 对于日益增加的网络病毒和网络入侵事件，目前主要的网络安全防御手段 大致包括防火墙（Firewall）和入侵检测系统（Intrusion Detection System, IDS） 两种。从网络布局来看，防火墙被放置于内外网络的出入口处，对内外网络交 换的数据包做严格把关，阻止外部网络的病毒和非法访问的进入；而另一方面， 入侵检测系统则放置在内部网络中，时刻监视内部网络中的网络状况，发现网 络中存在的非法操作或入侵行为并及时发出响应，已达到保护内网安全的目的。 一个比较形象的比喻，如果内部网络是我们生活的居民小区，那么防火墙则是 小区门口的门卫，而入侵检测系统则是小区内的巡逻警察。 当然，拥有了防火墙和入侵检测系统并不意味着完全的保护。安全是一个 过程，而并不仅仅是一个个设备的摆放或堆砌。随着各种计算机和网络技术的 发展，网络黑客技术也有了长足的进步，在强大的网络病毒和网络入侵的攻势 下，传统的防火墙和入侵检测技术逐渐暴露出他们的不足。 防火墙作为内部网络和外部网络通信的第一道关口，它的安全规则需要预 先设置，属于静态防御，对于设置上的漏洞，防火墙无法做出回应。另外，对 于未知的