安全审计与入侵检测报告

1、安全审计与扫描课程报告姓名： 学号： 班级： 指导老师:基于入侵检测技术的网络安全分析 一、简述网络安全技术发展到今天，除了防火墙和杀毒系统的防护，入侵检测技术 也成为抵御黑客攻击的有效方式。尽管入侵检测技术还在不断完善发展之中， 但是入侵检测产品的市场已经越来越大，真正掀起了网络安全的第三股热潮。 入侵检测被认为是防火墙之后的第二道安全闸门。 IDS 主要用来监视和分析用 户及系统的活动，可以识别反映已知进攻的活动模式并向相关人士报警。对异 常行为模式， IDS 要以报表的形式进行统计分析。、入侵检测模型Denning于1987年提出一个通用的入侵检测模型(图1-1)。该模型由以下 六个主要

2、部分组成 :(1) 主体 (Subjects): 启动在目标系统上活动的实体，如用户 ;(2) 对象 (Objects): 系统资源，如文件、设备、命令等 ;(3) 审计记录 (Audit records): 由 构成的六元组，活动(Action)是主 体对目标的操作，对操作系统而言，这些操作包括读、写、登录、退出等 ; 异常 条件(Exceptio n-Co nditio n)是指系统对主体的该活动的异常报告，如违反系统读写权限;资源使用状况 (Resource-Usage) 是系统的资源消耗情况，如 CPU、 内存使用率等；时标(Time-Stamp)是活动发生时间；(4) 活动简档 (A

3、ctivity Profile): 用以保存主体正常活动的有关信息，具 体实现依赖于检测方法，在统计方法中从事件数量、频度、资源消耗等方面度 量，可以使用方差、马尔可夫模型等方法实现 ；(5) 异常记录(Anomaly Record):由(Event，Time-stamp，Profile)组成， 用以表示异常事件的发生情况 ；(6) 活动规则:规则集是检查入侵是否发生的处理引擎，结合活动简档用专 家系统或统计方法等分析接收到的审计记录，调整内部规则或统计信息，在判 断有入侵发生时采取相应的措施。Denning模型的最大缺点在于它没有包含己知系统漏洞或攻击方法的知识， 而这些知识在许多情况下是非

4、常有用的信息。三、入侵检测系统(IDS)诠释IDS是一种网络安全系统，当有敌人或者恶意用户试图通过 In ternet进入网 络甚至计算机系统时，IDS能够检测出来，并进行报警，通知网络该采取措施 进行响应。在本质上，入侵检测系统是一种典型的 窥探设备”它不跨接多个物理网段 (通常只有一个监听端口)，无须转发任何流量，而只需要在网络上被动地、无 声息地收集它所关心的报文即可。目前，IDS分析及检测入侵阶段一般通过以下几种技术手段进行分析：特征库 匹配、基于统计的分析和完整性分析。其中前两种方法用于实时的入侵检测， 而完整性分析则用于事后分析。|a_aIDS具备如下特点：1、精确地判断入侵事件安

5、装在服务器上的IDS有一个完整的黑客攻击信息库，其中存放着各种 黑客攻击行为的特征数据。每当用户对服务器上的数据进行操作时，IDS就将用户的操作与信息库中的数据进行匹配，一旦发现吻合，就认为此项操作为黑 客攻击行为。由于信息库的内容会不断升级，因此可以保证新的黑客攻击方法 也能被及时发现。IDS的攻击识别率可以达到百分之百。2、可判断应用层的入侵事件与防火墙不同，IDS是通过分析数据包的内容来识别黑客入侵行为的。 因此，IDS可以判断出应用层的入侵事件。这样就极大的提高了判别黑客攻击 行为的准确程度。3、对入侵可以立即进行反应IDS以进程的方式运行在服务器上，为系统提供实时的黑客攻击侦测保护。

6、 一旦发现黑客攻击行为，IDS可以立即做出相应。响应的方法有多种形式，其 中包括：报警（如屏幕显示报警、寻呼机报警）、必要时关闭服务直至切断链 路，与此同时，IDS会对攻击的过程进行详细记录，为以后的调查工作提供线 索。4、全方位的监控与保护防火墙只能隔离来自本网段以外的攻击行为，而 IDS监控的是所有针对服务器 的操作，因此它可以识别来自本网段内、其他网段以及外部网络的全部攻击行 为。这样就有效的解决了来自防火墙后由于用户误操作或内部人员恶意攻击所 带来的安全威胁。由于IDS对用户操作进行详细记录，系统管理人员可以清楚的了解每个用户访 问服务器的意图，及时发现恶意攻击的企图，提前采取必要措施

7、。这一切对于 有攻击企图的人无疑也起到了强大的震慑作用。四、网络安全的解决方案问题：根据图示的网络拓扑结构示意图，提出一种基于入侵检测技术的网络安全解决现有的网络安全防范措施主要有防火墙、口令验证系统、虚拟专用网(VPN)、加密系统等，应用最广泛的是防火墙技术。防火墙技术是内部网最重要的安全 技术之一,其主要功能就是控制对受保护网络的非法访问，它通过监视、限制、 更改通过网络的数据流，一方面尽可能屏蔽内部网的拓扑结构，另一方面对内屏 蔽外部危险站点，用以防范外对内、内对外的非法访问。但也有其明显的局限性，如:(1) 防火墙难于防内。防火墙的安全控制只能作用于外对内或内对外，而据权威部门统计结果

8、表明，网络上的安全攻击事件有70 %以上来自内部攻击。(2) 防火墙难于管理和配置，易造成安全漏洞。防火墙的管理及配置相当复杂，一般来说，由多个系统(路由器、过滤器、代理服 务器、网关、堡垒主机)组成的防火墙，管理上有所疏忽是在所难免的。根据美 国财经杂志统计资料明，30 %勺入侵发生在有防火墙的情况下。(3) 防火墙的安全控制主要是基于IP地址的,难以为用户在防火墙内外提 供一致的安全策略。许多防火墙对用户的安全控制主要是基于用户所用机器的IP地址而不是用户身份，这样就很难为同一用户在防火墙内外提供一致的安全 控制策略，限制了企业网的物理范围。(4) 防火墙只实现了粗粒度的访问控制。基于这个

9、原因，导致其不能与企业内部使用的其他安全机制(如访问控制)集成 使用。这样,企业就必须为内部的身份验证和访问控制管理维护单独的数据库。另外,防火墙和其他几种网络安全技术一样，只是起着防御的功能，不能完全阻止 入侵者通过蛮力攻击或利用计算机软硬件系统的缺陷闯入未授权的计算机或滥 用计算机及网络资源。从信息战的角度出发，消极的防御是不够的，应是攻防并 重,在防护基础上检测漏洞、应急反应和迅速恢复生成是十分必要的。所以这些 技术手段已经不能满足日益变化的网络安全需要了。入侵检测系统可以弥补防 火墙的不足，并为各网段和重要站点的安全提供实时的入侵检测及采取相应的 防护手段，如记录证据和断开网络连接等。

10、入侵检测系统能在入侵攻击对系统发 生危害前检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击。在入侵攻击过 程中,能减少入侵攻击所造成的损失。在被入侵攻击后，收集入侵攻击的相关信 息,作为防范系统的知识，添加入知识库内，增强系统的防范能力，避免系统再次 受到入侵。入侵检测在不影响网络性能的情况下能对网络进行监听，从而提供对 内部攻击、外部攻击和误操作的实时保护，大大提高了网络的安全性 所以，可以对于这样的网络结构做出这样的方案：基于网络的入侵检测系统基于网络的入侵检测系统使用原始网络包作为数据源。基于网络的IDS通常利用一个运行在随机模式下网络的适配器来实时监视并分析通过网络的所有 通信业务。它

11、的攻击辩识模块通常使用四种常用技术来识别攻击标志：1. 模式、表达式或字节匹配2. 频率或穿越阀值3. 次要事件的相关性4. 统计学意义上的非常规现象检测一旦检测到了攻击行为，IDS的响应模块就提供多种选项以通知、报警并 对攻击采取相应的反应。反应因产品而异，但通常都包括通知管理员、中断连 接并且/或为法庭分析和证据收集而做的会话记录。基于网络的IDS有许多仅靠基于主机的入侵检测法无法提供的功能。实际 上，许多客户在最初使用IDS时，都配置了基于网络的入侵检测。基于网络的 检测有以下优点：侦测速度快基于网络的监测器通常能在微秒或秒级发现问题。而大多数基 于主机的产品则要依靠对最近几分钟内审计记

12、录的分析。隐蔽性好一个网络上的监测器不像一个主机那样显眼和易被存取，因而也不那么容易遭受攻击。基于网络的监视器不运行其他的应用程序，不提供网络 服务，可以不响应其他计算机。因此可以做得比较安全。视野更宽基于网络的入侵检测甚至可以在网络的边缘上，即攻击者还没能 接入网络时就被发现并制止。较少的监测器由于使用一个监测器就可以保护一 个共享的网段，所以你不需要很多的监测器。相反地，如果基于主机，则在每 个主机上都需要一个代理，这样的话，花费昂贵，而且难于管理。但是，如果 在一个交换环境下，就需要特殊的配置。攻击者不易转移证据基于网络的 IDS 使用正在发生的网络通讯进行实时攻 击的检测。所以攻击者无法转移证据。被捕获的数据不仅包括的攻击的方法，