入侵检测系统(eTrust Intrusion Detection).doc

入侵检测系统（eTrust Intrusion Detection）新世纪的业务运作与电脑网络息息相关，成功的企业必须有快速可靠的网络。对企业而言，计算机网络业已成为业务运作不可缺少的工具。与此同时，网络安全也成为刻不容缓急待解决的问题。可以说，我们今天所面对的安全问题已不再局限于系统本身。对外，我们将面对一群具有高智慧、高能力、高手段而且对网络系统和编程语言都有着深刻了解的黑客，他们无时无刻不在窥探着你的网络，你却没有丝毫的觉察。他们能在你的眼皮底下偷走或修改你的数据，能让你在正常操作中丢失你的管理员密码，能删除你的重要数据，更能让你的服务器在随时宕机; 对内，系统则会时刻受到在你身边而不为你察觉的内网用户的攻击威胁。外部入侵所能产生的危害程度可轻可重：有的无关痛痒，有的干扰网络的正常运行，严重的会更改或删除系统/应用关键数据，甚至使整个系统瘫痪。外部入侵者一般掌握较高级的网络安全技术，一旦他们突破了营业部的安全防线，会留下安全后门，为以后的入侵做好准备。外部人员的入侵过程一般不易一次完成，通常需要多次试探，逐步深入，最后达到入侵的目的。另外一种方式是内部人员入侵。内部人员入侵指营业部内部工作人员发起的网络入侵，其侵入的方式有：利用工作之便，修改应用程序和数据、利用超级用户权限，非法修改系统数据和应用数据、改变系统配置和权限配置，为外部人员入侵创造条件等等。对内部人员的入侵防范应侧重于对员工教育和有效的安全规章制度。利用内建的用于防止破坏的预防功能，eTrust Intrusion Detection入侵检测解决方案具有全面的入侵防护能力。这种性能很高、简单易用的解决方案在一个软件包中提供了广泛的监视、入侵和攻击检测、非法URL检测和阻塞、报警、记录以及实时响应等各种功能。通过自动检测网络数据流中潜在入侵、攻击和滥用方式，提供了先进的网络保护功能。例如，可以检测到“阻断服务”型攻击，并且在服务器及业务受到影响前按照预先定义的策略采取相应的行动。通过以上措施，入侵检测软件可以帮助网络管理员深入了解在整体安全性以及遵守的策略以及网络内部的运行情况（例如，它可以给出违反策略的数量及其来源的详细统计报表）。在未来多方位网络运算的环境下，网络安全所涉及方面将越来越广泛。“网络入侵检测系统”将有助于建立正确的安全服务理念，增强网络安全意识，促进安全操作规范的形成，从而在整体上加强网络建设的质量，提供更完善，更安全的服务。1、网络系统的安全性考虑由于大型网络系统内运行多种网络协议(TCP/IP，IPX/SPX，NETBEUA)，而这些网络协议并非专为安全通讯而设计。所以，网络系统可能存在的安全威胁来自以下方面： 操作系统的安全性。目前流行的许多操作系统均存在网络安全漏洞，如UNIX服务器，NT服务器及Windows桌面PC。 防火墙的安全性。防火墙产品自身是否安全，是否设置错误，需要经过检验。来自内部网用户的安全威胁。缺乏有效的手段监视、评估网络系统的安全性。采用的TCP/IP协议族软件，本身缺乏安全性。 未能对来自Internet的电子邮件挟带的病毒及Web浏览可能存在的恶意Java/ActiveX控件进行有效控制。 应用服务的安全。许多应用服务系统在访问控制及安全通讯方面考虑较少，并且，如果系统设置错误，很容易造成损失。计算机安全事业始于本世纪60年代末期。当时，计算机系统的脆弱性已日益为美国政府和私营部门的一些机构所认识。但是，由于当时计算机的速度和性能较落后，使用的范围也不广，再加上美国政府把它当作敏感问题而施加控制，因此，有关计算机安全的研究一直局限在比较小的范围内。进入80年代后，计算机的性能得到了成百上千倍的提高，应用的范围也在不断扩大，计算机已遍及世界各个角落。并且，人们利用通信网络把孤立的单机系统连接起来，相互通信和共享资源。但是，随之而来并日益严峻的问题是计算机信息安全的问题。人们在这方面所做的研究与计算机性能及应用的飞速发展不相适应，因此，它已成为未来信息技术中的主要问题之一。由于计算机信息有共享和易于扩散等特性，它在处理、存储、传输和使用上有着严重的脆弱性，很容易被干扰、滥用、遗漏和丢失，甚至被泄露、窃取、篡改、冒充和破坏，还有可能受到计算机病毒的感染。国际标准化组织（ISO）将“计算机安全”定义为：“为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露。”此概念偏重于静态信息保护。也有人将“计算机安全”定义为：“计算机的硬件、软件和数据受到保护，不因偶然和恶意的原因而遭到破坏、更改和泄露，系统连续正常运行。”该定义着重于动态意义描述。计算机安全的内容应包括两方面：即物理安全和逻辑安全。物理安全指系统设备及相关设备受到物理保护，免于破坏、丢失等。逻辑安全包括信息完整性、保密性和可用性： 保密性指高级别信息仅在授权情况下流向低级别的客体与主体； 完整性指信息不会被非授权修改及信息保持一致性等； 可用性指合法用户的正常请求能及时、正确、安全地得到服务或回应。一个系统存在的安全问题可能主要来源于两方面：或者是安全控制机构有故障；或者是系统安全定义有缺陷。前者是一个软件可靠性问题，可以用优秀的软件设计技术配合特殊的安全方针加以克服；而后者则需要精确描述安全系统。美国国防部（DOD）于1985年出版了可信计算机系统的评价准则 （又称“桔皮书” ），使计算机系统的安全性评估有了一个权威性的标准。DOD的桔皮书中使用了可信计算基础（Trusted Computing Base，TCB）这一概念，即计算机硬件与支持不可信应用及不可信用户的操作系统的组合体。桔皮书将计算机系统的可信程度划分为D、C1、C2、B1、B2、B3和A1七个层次。在DOD的评估准则中，从B级开始就要求具有强制存取控制和形式化模型技术的应用。桔皮书论述的重点是通用的操作系统，为了使它的评判方法使用于网络，美国国家计算机安全中心于1987年出版了可信网络指南。该书从网络安全的角度出发，解释了准则中的观点。与其它安全体系类似，网络应用系统的安全体系应包含： 访问控制。通过对特定网段、服务建立的访问控制体系，将绝大多数攻击阻止在到达攻击目标之前。 检查安全漏洞。通过对安全漏洞的周期检查，即使攻击可到达攻击目标，也可使绝大多数攻击无效。 攻击监控。通过对特定网段、服务建立的攻击监控体系，可实时检测出绝大多数攻击，并采取响应的行动（如断开网络连接、记录攻击过程、跟踪攻击源等）。 认证。良好的认证体系可防止攻击者假冒合法用户。 多层防御。攻击者在突破第一道防线后，延缓或阻断其到达攻击目标。 设立安全监控中心，为信息系统提供安全体系管理、监控、保护及紧急情况服务2、网络入侵检测系统（eTrust Intrusion Detection）A、防范的典型黑客攻击类型： 探测攻击 拒绝服务攻击 缓冲区溢出攻击 WEB攻击 邮件攻击 非授权访问 网络服务缺陷攻击 网络监听 B、eTrust Intrusion Detection入侵检测软件的特点： 网络访问控制。eTrust Intrusion Detection入侵检测软件以规则为基础，定义哪些用户可以访问网络上的特定资源，保证只有授权用户才可以访问网络资源。 高级防病毒引擎。病毒扫描引擎可以检测和阻止包含了计算机病毒的网络数据流。它可以防止用户下载被病毒感染的文件。新的和升级的病毒特征文件可以从CA站点获得。 全面的攻击文式库。eTrust Intrusion Detection入侵检测软件可以自动检测网络数据流中的攻击方式，即使正在进行之中的攻击也能检测。定期更新的攻击特征文件可以从CA站点获得，从而保证了eTrust入侵检测软件总是最新。 信息包嗅探技术。eTrust Intrusion Detection入侵检测软件以秘密方式运行，使攻击者无法感知到。