网络入侵危害和必要性以及入侵检测应用案例.doc

计算机网络入侵检测技术概论课程论文题目: 网络入侵危害和必要性以及入侵检测应用案例 课程名: 计算机网络入侵检测技术概论 学生姓名： 李忠 学号： 06051168 学院： 管理学院 专业： 工商管理类 年级： 06 任课教师： 唐菀 职称: 副教授 2007年12 月 11 4- 4 -网络入侵危害和必要性以及入侵检测应用案例摘 要：网络入侵的直接危害就是破坏了系统的机密性、完整性和可用性。入侵者的企图不同，对系统安全特性的破坏也就不同，但不管是破坏了哪一个特性，都会对系统和网络安全构成严重威胁。随着基于雇员的攻击行为和产品自身问题的增多，所以能够在防火墙内部监测非法的活动的入侵检测系统变得越来越必要。伴随网络的普及，安全日益成为影响网络效能的重要问题，如何使信息网络系统不受病毒和黑客的入侵，已成为政府机构信息化健康发展所要考虑的重要事情之一。关键词：网络入侵；危害；必要性；重要性；入侵检测系统；应用案例入侵检测技术是对系统的运行状态进行检测，从而发现各种攻击企图，攻击行为或者攻击结果，以保证系统资源的机密性、完整性与可用性。网络入侵的直接危害就是破坏了系统的机密性、完整性和可用性。例如，非法用户在盗取了系统管理员的密码后，就可以完全控制该主机，为所欲为。本来无权访问的文件或数据，现在可以访问，就破坏了系统的机密性；入侵者如果还改变了系统原有的配置，改变了文件的内容，修改了数据，就破坏了系统的完整性；攻击者使用拒绝服务攻击，使得目标主机的资源被耗尽，网络带宽被完全占用，就破坏了系统的可用性。入侵者的企图不同，对系统安全特性的破坏也就不同，但不管是破坏了哪一个特性，都会对系统和网络安全构成严重威胁。随着网络连接的迅速扩展，特别是Internet大范围的开放以及金融领域网络的接入，越来越多的系统遭到入侵攻击的威胁，这些威胁大多是通过挖掘操作系统和应用服务程序的弱点或者缺陷来实现的。目前，对付破坏系统企图的理想方法是建立一个完全安全系统。但这一点却很难做到。原因有以下几点：第一，要将所有已安装的带安全缺陷的系统转换成安全系统是不现实的，即使真正付诸于实践，也需要相当长的时间。第二，加密技术方法本身存在一定的问题，如密钥的生成、传输、分配和保存，加密算法的安全性。第三，访问控制和保护模型本身存在一定的问题。第四，静态的安全控制措施不足以保护安全对象属性。第五，安全系统易受内部用户滥用特权的攻击。第六，在实践当中，建立完全安全系统根本是不可能的。基于上述几类问题的解决难度，一个实用的方法是建立比较容易实现的安全系统，而入侵检测系统就是这样一类系统。如果系统遭到攻击，只要尽可能地检测到，甚至是实时地检测到，然后采取适当的处理措施，就可以避免造成更大的损失。过去，很多人认为只要安装一个防火墙就可保障网络的安全，实际上这是一个误解，原因主要有以下几点：第一、防火墙本身会有各种漏洞和后门，有可能被外部黑客攻破。第二、防火墙不能阻止内部攻击，对内部入侵者来说毫无作用。第三、由于性能的限制，防火墙通常不能提供实时的入侵检测能力。第四、有些外部访问可以绕开防火墙。例如，内部用户通过调制解调器拨号上网就把内部网络连到了外部网络，而这一连接并没有通过防火墙，防火墙对此没有任何监控能力。而入侵检测系统可以弥补防火墙的不足，为网络提供实时的入侵检测并采取相应的防护手段，如记录证据用于跟踪入侵者和灾难恢复、发出警报，甚至终止进程、断开网络连接等等。因此，随着基于雇员的攻击行为和产品自身问题的增多，所以能够在防火墙内部监测非法的活动的入侵检测系统变得越来越必要。随着网络技术的发展，新的技术给防火墙带来了严重的威胁。例如，VPN可以穿透防火墙，因此就需要入侵检测系统在防火墙后提供安全保障。虽然VPN本身很安全，但有可能通过VPN进行通信的其中一方被root kit或NetBus所控制，而这种破坏行为是防火墙无法抵御的。所以，基于上述原因，入侵检测系统已经成为安全策略的重要组成部分。就目前入侵检测系统的使用情况来看，入侵检测系统主要存在以下三点好处：一、入侵检测可以发现防火墙和虚拟专用网没有检测到的攻击。二、入侵检测可以实时监控互联网和外联网连接，保护关键性的资产、系统和资源相当于现实生活中的监视摄像机。三、入侵检测系统可以提供警报，智能化地阻止恶意攻击，甚至动态地重新配置网络，以避免以后再发生类似的攻击。入侵检测作为一项安全技术，其主要目的在于：第一，识别入侵者。第二，识别入侵行为。第三，检测和监视已成功的安全突破。第四，为对抗入侵及时提供重要信息，阻止事件的发生和事态的扩大。从这个角度来看安全问题，入侵检测对于建立一个安全系统来说是非常必要而且是非常重要的，它可以弥补传统安全保护措施的不足。伴随网络的普及，安全日益成为影响网络效能的重要问题，而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时，对安全提出了更高的要求。如何使信息网络系统不受病毒和黑客的入侵，已成为政府机构信息化健康发展所要考虑的重要事情之一。 政府单位所涉及的信息可以说都带有机密性，所以，其信息安全问题，如敏感信息的泄露、黑客的侵扰、网络资源的非法使用以及计算机病毒等，都将对政府机构信息安全构成威胁。为保证政府网络系统的安全，有必要对其网络进行专门安全设计。 例如，假如内部网络的一台机器安全受损（被攻击或者被病毒感染），就会同时影响在同一网络上的许多其他系统。透过网络传播，还会影响到与本系统网络有连接的其他网络；影响所及甚至还可能涉及法律、金融等安全敏感领域。下面就方正入侵检测系统在某政府单位中的一个应用案例作简要分析：一、项目背景电子政务的实施为政府和组织承担的公共管理和服务实现电子化、网络化和透明、高效开辟了广阔的空间，然而电子政务信息系统的安全问题也变得更加突出、严重。 某某是全国经济十强县。作为其所在省首批信息化试点县之一，“数字某某 ”电子政务基础工程作为电子政务和数字城市的基础建设项目，考虑到网络安全的重要性，一旦受到黑客攻击和重要的信息泄露，将会给国家造成巨大的损失，同时内部的病毒和人为的资源滥用也会给政府网络的安全管理带来很大的损害。因此， 某某的领导和专家对电子政务的安全极其重视。 二、方案设计 某某政府政务网络系统原始的拓扑结构如下图所示：方正软件针对某某政府政务网络的实际情况，分别从物理层、链路传输层、网络层、系统层、应用成和管理层全面分析了数据中心的安全需求，给出了一个包括安全管理策略、访问控制策略、网络安全监控与入侵检测策略、漏洞扫描与风险评估策略、计算机病毒防治策略、安全审计策略、备份与恢复策略、实时响应和恢复策略的整体安全策略，并以此安全策略为指导设计了某某电子政务的网络安全技术方案。 方案以上海方正科技软件有限公司提出的立体防护理念为核心，分别从网络边界的安全和管理、内部网段的安全、关键主机的安全、网络脆弱性检测和系统评估等四个方面建立起网络安全防护的整体构架，我们将数据中心网络划分为互联网接入、政府内网、公网服务器区和内网服务器区等四大重点防护区域，并针对每个防护区域给出了全面、协同的安全解决方案。方通网络入侵检测系统的拓扑结构如下图所示：部署方通网络入侵检测系统的目标之一：通过在某某“数字某某”政务网络的互联网接入处部署网络入侵检测产品，监视外部互联网、政府内网和公网服务器区三者之间的网络通信，从中发现网络中是否有违反安全策略（包括泄密、反动内容与站点、黄色内容与站点等）的行为和被攻击的迹象，一旦发现攻击能够发出报警并采取相应的措施，如阻断、跟踪和反击等。同时，记录受到攻击的过程，为网络或系统的恢复和追查攻击的来源提供基本数据。并把这些信息集中报告给数据中心的集中管理控制台。 本方案的设计目标之二： 在某某“数字某某”政务网络的内网服务器区的交换机和防火墙之间中心部署网络入侵检测系统方通Sniper的一个监控网口，监视所有进出内网服务器区的网络数据。从中发现网络中是否有违反安全策略的行为和被攻击的迹象，一旦发现攻击能够发出报警并采取相应的措施，如阻断、跟踪和反击等。同时，记录受到攻击的过程，为网络或系统的恢复和追查攻击的来源提供基本数据。并把这些信息集中报告给数据中心的集中管理控制台。 部署方通网络入侵检测系统的目标之三：使网络入侵检测系统和防火墙形成策略联动。一旦发现可疑的攻击，可以配置防火墙，将攻击阻挡在外面。 三、实施效果 某某政府政务网络的安全需求在此次网络安全建设中的得以满足。整个政务网数据中心具有了完整、规划全面的安全结构体系。从主机系统、网络系统、应用系统、办公管理信息系统、用户系统等方面，解决了整个政务网数据中心网络系统及各子系统和有关关键环节的安全隐患和安全漏洞。 考虑电子政务系统有更高标准的安全保证。而方正软件的网络安全设施及技术更保证了某某政府进一步发展政务公开、网上办公等业务，更好的为人民群众服务。以使用迅猛发展的网络经济、新的政务模式。 由于使用了方通入侵检测系统，系统管理员 可实时察看网络的安全情况，对于非法或可疑连接可以直接阻断，使得在网络和系统受到危害之前发现并阻止非法入侵。管理员还可以察觉内部网络滥用、内部信息泄露和内部人员访问公网的情况，察看网络的流量情况，还可以生成各种安全报表。某某政府信息中心对方通入侵检测系统的性能表现和稳定性、可靠性也非常满意。 方正软件快捷高效的本地化专业服务，也给某某政府信息中心留下了深刻的印象。方通入侵检测系统在中国经济十强县某某政府电子政务中的成功应用，必将对某某政府电子政务系统的信息安全保障工作发挥巨大的作用。 四、关于方通网络入侵检测检测 方通入侵检测系统是具备 2Gbps的数据处理能力、支持8个监控端口的实时网络入侵检测系统。可监控网络传输的数据流，自动检测可疑的网络行为，并报警、阻断，使用户在网络和系统受到危害之前发现并阻止非法入侵。同时可检测、识别、报警和阻止那些在实时环境下无法被防火墙发现的非法活动、内部网络滥用和内部信息泄露。 方通入侵检测系统在国内创下了数个第一：1、国内第一款千兆级入侵检测产品；2、国内第一款达到2G处理能力的入侵检测产品；3、国内唯一一款达到八端口监控的入侵检测产品；4、国内唯一一款支持 Intel 安腾 II 64 位服务器的入