CERNET国际出监测系统.pptVIP

CERNET国际出口扫描监测系统 作者：王若伟 指导教师：李星 张辉 CERNET国际出口扫描监测系统 项目背景 入侵检测系统 系统设计 黑客攻击 目前网络安全的主要威胁，也是网络安全中最为引人关注的一个问题 世界上至少有20多万个黑客网站，黑客技术逐渐的被越来越多的人掌握和发展 黑客攻击的隐蔽性好，“杀伤力”强 目前对黑客攻击的解决方案 防火墙、安全扫描软件、入侵检测系统 入侵检测系统是近年来发展比较快的一个方向 BACK 入侵检测系统 定义:通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，以发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象。 主要功能: 监测并分析用户和系统的活动； 核查系统配置和漏洞； 评估系统关键资源和数据文件的完整性； 识别已知的攻击行为； 统计分析异常行为； 操作系统日志管理，并识别违反安全策略的用户活动。 入侵检测方式 基于网络 1.低拥有成本。 2.攻击者转移证据更困难。 3.实时检测和应答。 4.能够检测未成功的攻击企图。 5.操作系统独立。 基于主机 1.非常适用于加密和交换环境。 2.近实时的检测和应答。 3.不需要额外的硬件。 入侵检测技术 网络型入侵检测系统通常使用两种基本的检测技术 一、是分析数据流量，找出异常的网上交通 二、是分析数据内容，找出黑客攻击的表征 BACK 系统设计 系统设计概述 系统结构图 数据接口单元 源地址和目标地址处理单元 数据库单元 WEB显示和处理结果 系统设计概述 网络攻击的一个通常特征是：在短时间内发送大量的IP包 共同的弱点:同一个源地址或目的地址的IP包在网上频繁出现。 采用基于网络的对数据流量进行分析的技术 BACK 系统结构图 数据接口单元 对通过NETFLOW得到的数据文件进行处理，转变成程序可以进行分析处理的数据格式，供后面的分析程序使用 。 BACK 源地址处理单元 （一） 源地址单元处理的目的 发现出现频率高的源地址 源地址处理单元 （二） 通过对源地址的分析处理，设定一个阈值，将超过阈值的地址记录下来 用两个双向链表分别记录正在检查的数据和超过阈值的数据 源地址处理单元 （三） 分析处理的策略 目标地址处理单元 目标地址处理 BACK 数据库单元 数据进库 排序问题 BACK WEB显示和处理结果 谢谢大家！ * * 数据接口单元 源地址处理单元 目的地址处理单元 数据库单元 WEB显示 BACK CERNET主干网上30%-60%的资源被用来传送诸如攻击，扫描等大规模无用的流量 也就是说，如果有人想攻击某台主机或某个网络，他总会先对对方进行大规模的端口扫描，否则他将很难确定合适的攻击目标以及可能的攻击手段。这类攻击通常都有一个共同的弱点，就是同一个源地址或目的地址的IP包在网上频繁出现。 对通过CERNET国际出口的各个IP包的协议、地址以及端口进行分析，从而做出是否出现异常的判断 系统设计时按功能分成了数据接口单元，源地址处理单元，目的地址处理单元，送入数据库单元以及用WEB现实的单元。 数据接口单元读入数据，分别交给源地址和目的地址处理单元进行处理，结果送到数据库中再通过WEB显示出来。 数据接口单元主要是对通过NETFLOW得到的数据文件进行处理，把所有分析程序需要的数据，包括协议，地址，端口和流量，都记录在一个结构中，然后传到后面的分析程序。 通过对源地址的分析处理，找出网络中的异常情况，并将超过阈值被怀疑进行了扫描的地址记录下来。分配两个buffer用来存储正在检查的数据和超过阈值的数据 ，随着数据不断的由数据接口单元传递过来，buffer也随之不断的更新。当正在检查的某条记录的数据超过阈值时，就将它加入到另一