第一篇:防火墻和入侵檢測系統在電力企業信息網絡中的應用
防火墻和入侵檢測系統在電力企業信息網絡中的應用
摘要:文中通過分析電力企業信息網絡的結構和對網絡安全的要求,在歸納了防火墻和入侵檢測系統在網絡中的防御功能的基礎上,提出了將防火墻和入侵檢測系統運用到電力企業信息網絡的具體方案,并對相關技術和網絡安全體系的建設進行了討論。
0 引言
當前,電力系統已基本形成了自己的生產過程自動化和管理現代化信息網絡,并在實際生產和管理中發揮著巨大的作用。隨著全球信息化的迅猛發展,電力系統必將加強與外部世界的信息交流,以提高生產和管理效率,開拓更廣闊的發展空間。然而,網絡開放也增加了網絡受攻擊的可能性。與外部網絡的連接必然面臨外來攻擊的威脅。對于關系到國計民生的電力系統而言,網絡安全必須作為一個重大戰略問題來解決。目前,防火墻技術作為防范網絡攻擊最基本的手段已經相當成熟,是抵御攻擊的第一道防線,入侵檢測系統(intrusion detective system,縮寫為IDS)作為新型的網絡安全技術,有效地補充了防火墻的某些性能上的缺陷,兩者從不同的角度以不同的方式確保網絡系統的安全。
本文首先分析電力企業信息網絡的結構,并結合其特點和對網絡安全的特殊要求,就如何有效地將防火墻和入侵檢測技術運用到電力企業信息網絡中進行探討。1 電力系統的信息網絡
電力系統的信息網絡[1]分為兩大模塊:監控信息系統(supervisory information system,縮寫為 SIS)和管理信息系統(management information system,縮寫為MIS)。
SIS對生產現場進行實時監控,從分布在生產現場的許多點采集數據,再由系統中的計算單元進行性能計算、故障診斷等,將結果存放到實時數據服務器,為生產現場實時提供科學、準確的數據,以控制整個生產過程。SIS包括CRT監控系統、DCS(數據通信系統)、FCS(現場總線控制系統)等子系統。
MIS的功能是實現企業自動化管理,包括若干子系統,分別實現生產經營管理、財務和人事管理、設備和維修管理、物資管理、行政管理等功能。較完善的MIS還包括輔助決策子系統,為管理人員提供智能支持,是企業管理規范化、科學化的基礎。
目前電力系統的信息網絡一般將SIS和MIS分做同一網絡中的兩個子網,并分別配置服務器,兩子網之間用網關連接,如圖1所示。
DPU(分散過程控制單元)從生產現場采集數并發送到高速數據網供DCS各工作站分析處理,同時為了保證SIS的網絡安全,SIS以太網通過網關與MIS服務器連接,作為MIS到SIS的入口并管理MIS對SIS的訪問。
SIS和MIS功能各異,對安全的要求也有所不同。SIS由于與現場生產息息相關,一旦遭到入侵,勢必影響生產甚至造成惡性事故,所以其安全性要求更高。現行的網絡結構也充分體現了這一特點,對 SIS實施更高級別的保護。
當局域網與外部網絡連接后,MIS要向外界提供服務,網絡面臨的威脅將空前廣泛、尖銳,這時原有的安全系統顯然過于單薄,必須在原有基礎上制定更嚴密、可靠的防御體系。
在安全的操作系統基礎上,防火墻結合IDS是一種較為理想的解決方案。2 防火墻
防火墻[2]是防范網絡攻擊最常用的手段,是構造安全網絡環境的基礎工程。它通常被安置在內部網絡與外部網絡的連接點上,將內部網絡與外部網絡隔離,強制所有內部與外部之間的相互通信都通過這一節點,并按照設定的安全策略分析,限制這些通信,以達到保護內部網絡的目的。
2.1 防火墻的體系結構[3] 構造防火墻時通常根據所要提供的服務、技術人員的技術、工程的性價比等因素采用多種技術的組合,以達到最佳效果。
目前常見的防火墻體系結構有以下幾種:
a.雙重宿主主機體系結構。在內部網絡與外部網絡之間配置至少有兩個網絡接口的雙重宿主主機,接口分別與內部、外部網絡相連,而主機則充當網絡之間的路由器。這樣,內部、外部網絡的計算機之間的IP通信完全被阻隔,只能通過雙重宿主主機彼此聯系。
b.屏蔽主機體系結構。這種結構的防火墻由路由器和堡壘主機構成,路由器設置在內部、外部網絡之間,實現數據包過濾。堡壘主機設置在內部網絡中,外部網絡的計算機必須連接到堡壘主機才能訪問內部網絡。
c.屏蔽子網體系結構。利用兩個路由器(內部路由器和外部路由器)將內部網絡保護到更深一層,而在兩個路由器之間形成一個虛擬網絡,稱之為周邊網絡,堡壘主機連接在周邊網絡上,通過外部路由器與外部網絡相連。這樣,如果入侵者突破了外層的防火墻,甚至侵入堡壘主機,內部網絡依然安全。
2.2 電力企業信息網防火墻的結構設計
電力系統對安全性的高度要求,企業信息網絡的安全問題應該予以格外關注。必須組建科學、嚴密的防火墻體系,為企業內部網絡尤其是內部網絡中的SIS子網提供高度的網絡安全。
電力企業內部網絡由兩個安全級別不同的子網 MIS和SIS構成,其中SIS對安全要求更高,因此它僅向MIS提供服務而不直接與外部網絡相連,由 MIS向外界提供服務。基于這個特點,防火墻宜采用屏蔽子網的體系結構,如圖2所示。
MIS作為體系中的周邊網,SIS作為內部網。設置兩臺屏蔽路由器,其中外部路由器設在MIS與外部網絡之間,內部路由器設在SIS與MIS之間,對進出的數據包進行過濾。另外,堡壘主機連接在
MIS中,對外作為訪問的入口,對內則作為代理服務器,使內部用戶間接地訪問外部服務器。
應該強調的是,MIS的堡壘主機極有可能受到襲擊,因為所有對內部網絡的訪問都要經過它,因此,在條件允許的情況下,可以在MIS中配置兩臺堡壘主機,當一臺堡壘主機被攻擊而導致系統崩潰時,可以由另一臺主機提供服務,以保證服務的連續性。同時,在MIS中配置一臺處理機,與內部路由器組成安全網關,可以作為整個防火墻體系的一部分,控制MIS向SIS的訪問以及對數據傳輸進行限制,提供協議、鏈路和應用級保護。網關還應考慮安全操作系統問題,Win2000[4]是一個可行的選擇。盡管可能還存在一些潛在的漏洞,Win2000依然是目前業界最安全的操作系統之一。由于SIS僅對MIS的固定用戶提供服務,同時考慮到SIS的安全要求,對網關的管理可以采取Client/Server方式,這樣雖然在實現上較Browser/Server方式復雜一些,但卻具有更強的數據操縱和事務處理能力,以及對數據的安全性和完整性的約束能力。2.3 防火墻的缺陷
盡管防火墻在很大程度上實現了內部網絡的安全,但它的以下幾個致命的缺陷使得單一采用防火墻技術仍然是不可靠的。
a.無法防范病毒。雖然防火墻對流動的數據包進行嚴格的過濾,但針對的是數據包的源地址、目的地址和端口號,對數據的內容并不掃描,因此對病毒的侵入無能為力。
b.無法防范內部攻擊。從防火墻的設計思想來看,防范內部攻擊從來就不是它的任務,它在這方面是一片空白。
c.性能上的限制。防火墻只是按照固定的工作模式來防范已知的威脅,從這一點來說,防火墻雖然“勤懇”,但是過于“死板”。
所以,安裝了防火墻的系統還需要其他防御手段來加以充實。3 IDS IDS(入侵檢測系統)是一種主動防御攻擊的新型網絡安全系統,在功能上彌補了防火墻的缺陷,使整個安全防御體系更趨完善、可靠。
3.1 入侵檢測原理與實踐
IDS以檢測及控制[5]為基本思想,為網絡提供實時的入侵檢測,并采取相應的保護措施。它的設計原理一般是根據用戶歷史行為建立歷史庫,或者根據已知的入侵方法建立入侵模式,運行時從網絡系統的諸多關鍵點收集信息,并根據用戶行為歷史庫和入侵模式加以模式匹配、統計分析和完整性掃描,以檢測入侵跡象,尋找系統漏洞。
IDS一般分為基于主機的IDS和基于網絡的IDS兩種。基于主機的IDS其輸入數據來源于系統的審計日志,用于保護關鍵應用的服務器;基于網絡的IDS輸入數據來源于網絡的信息流,用于實時監控網絡關鍵路徑的信息。目前的入侵檢測產品通常都包括這兩個部件。
在實踐中,IDS一般分為監測器和控制臺兩大部分。為了便于集中管理,一般采用分布式結構,用戶在控制臺管理整個檢測系統、設置監測器的屬性、添加新的檢測方案、處理警報等。監測器部署在網絡中的關鍵點,如內部網絡與外部網絡的連接點、需重點保護的工作站等,根據入侵模式檢測異常行為,當發現入侵時保存現場,并生成警報上傳控制臺。3.2 在電力企業信息網中運用IDS 電力企業的安全涉及國家安全和社會穩定,建議盡可能使用國產檢測系統,如北京中科網威“天眼”入侵檢測系統[6]清華紫光Unis入侵檢測系統等,這些產品在技術上已相當成熟,且在不斷升級。
安裝IDS的關鍵步驟是部署檢測器與控制臺。針對電力企業網絡的特點,首先,可以在外部路由器與外部網絡的連接處部署監測器(如圖3所示),以監測異常的入侵企圖。在防火墻與MIS之間部署監測器,以監視和分析MIS與外部網絡的通信流。然后,分別在MIS和SIS中部署一臺監測器,監視各子網的內部情況;控制臺設置在MIS中。最后,根據實際情況為個別需重點保護的服務器、工作站安裝基于主機的入侵檢測軟件,保護重要設備。
安裝IDS后,更具挑戰性的工作就是有效地運行IDS。防火墻在測試和設置后便開始工作了,而 IDS則不同。IDS提供實時檢測需要管理員“實時”地配合,管理員要做好處理各種警報的準備工作;在系統發出警報時要判斷是否誤報,正確處理警報,決定是否關閉系統或是繼續監視入侵者以收集證據等,都需要管理員就地解決。只有管理員及時采取恰當的處理方法,才能真正發揮IDS的功效。4 安全體系的運作與后期擴充
雖然防火墻的防護是被動的,而IDS是實時的,但安全體系(包括各單一主機自身的安全體系)是作為一個整體協同運作的。目前的主機和網絡設備都具有完備的安全審計功能,IDS可以充分利用系統的網絡日志文件作為必要的數據來源,而當 IDS發現可疑行為時又需要其他主機或防火墻采取相應的保護措施,例如通知防火墻對可疑IP地址發來的數據包進行過濾等。
當然,從技術方面來說,網絡安全所涉及的范圍是相當廣泛的,包括安全的操作系統、防火墻、安全審計、入侵檢測、身份認證、信息加密、安全掃描、災難恢復等。防火墻結合IDS只是形成了安全體系基本內容,還需要在系統運行中運用多種技術不斷充實安全體系的功能,例如在系統中配置掃描器,定期進行風險評估和查找漏洞,升級防火墻或者向IDS中添加新的攻擊方式等。同時,任何防御體系都不可能保證系統的絕對安全,必須不斷提高系統管理人員的技術水平,密切關注網絡安全的發展動態,及時升級網絡防御系統,提高系統的防御能力。5 結語
當前,電力企業正以原有設施為基礎,構建企業與電力公司、企業與企業間的信息網絡,網絡安全是一個不可忽視的問題。防火墻與入侵檢測技術相結合,為網絡安全體系提供了一個良好的基礎,對保障系統安全發揮不可忽視的作用。當然,完備的安全體系還需要其他多種安全技術從功能上進一步完善,同時,安全問題不僅是一個技術問題,也是一個系統工程,需從組織管理、法律規范等多方面予以支持。H-2002-5
〖關閉本頁〗
第二篇:防火墻技術在企業財務管理系統中的應用
防火墻技術在企業財務管理系統中的應用
2010-06-10 09:02:02 作者:韓曉 來源:萬方數據 分享 | 摘要: 目前企業局域網上存在的安全隱患中,黑客惡意攻擊和病毒感染的威脅最大,造成的破壞也最大。針對局域網中存在的眾多隱患,企業必須實施了安全防御措施。主要包括防火墻技術,數據 關鍵詞: 防火墻企業防火墻防火墻功能信息安全代理服務器
目前企業局域網上存在的安全隱患中,黑客惡意攻擊和病毒感染的威脅最大,造成的破壞也最大。針對局域網中存在的眾多隱患,企業必須實施了安全防御措施。主要包括防火墻技術,數據加密技術、認證技術等,其中應用最為廣泛、實用性最強、效果最好的就是防火墻技術。本文就防火墻技術在財務管理信息系統中的應用進行較為深入的探討。
1、防火墻技術
1.1防火墻的基本概念
防火墻是保護內部網絡安全的一道防護墻。從理論上講,網絡防火墻是用來防止外部網上的各類危險程序傳播到某個受保護網內,財務上主要用于保護計算機和服務器不受攻擊。確保數據安全。從邏輯上講,防火墻是分離器,限制器和分析器;從物理角度看,各個防火墻的物理實現方式可以有所不同,但它通常是1組硬件設備(路由器、主機)和軟件的多種組合,而從本質上看防火墻是1種保護裝置,用來保護網絡數據、資源和用戶的聲譽,從技術上來說,網絡防火墻是1種訪問控制技術,在某個機構的網絡和不安壘的網絡之間設置障礙,阻止對信息資源的非法訪問,所以防火墻是一道門檻,控制進出2個方向的通信,防火墻主要用來保護安全網絡免受來自不安全網絡的入侵。
1.2防火墻的工作原理
防火墻的工作原理是按照事先規定好的配置和規則,監控所有通過防火墻的數據流,只允許授權的數據通過,同時記錄有關的鏈接來源,服務器提供的通信量以及試圖闖入者的任何企圖,以方便管理員的監測和跟蹤。
1.3防火墻的功能
防火墻主要有以下四種功能:(1)能夠防止非法用戶進入內部網絡;(2)可以很方便地監視網絡的安全性,并報警;(3)可以作為部署NAT(Network Address Translation,網絡地址變換)的地點,利用NAT技術,將有限的IP地址動態或靜態地與內部的IP地址對應起來。用來緩解地址空間短缺的問題;(4)可以連接到1個單獨的網段上,從物理上和內部網段隔開,并在此部署www.tmdps.cn)原創之作品(文字、圖片、圖表),轉載請務必注明出處,違者本網將依法追究責任。
第三篇:防火墻與入侵檢測技術的聯動
山西xxxxxxxx學院
畢 業 論 文(設計)
防火墻與入侵檢測技術的聯動
———————————————————
論文指導教師姓名:
(職稱)
所在系及專業名稱: 計算機系計算機網絡技術
班級:
論文提交日期: 2011年
月
日 論文答辯日期:
****年**月**日
答辯委員會主席:_____________
評 閱 人:_____________ 年 月 日
山西財貿職業技術學院畢業論文
論文題目:防火墻與入侵檢測技術的聯動 專 業:計算機網絡技術
畢 業 生: 簽名: 指導教師: 簽名:
摘 要
網絡的迅猛發展在給人們帶來巨大的便利的同時,也給人們帶來了眾多的煩惱。防火墻與入侵檢測的聯動,使安全防御體系由靜態防御升級為動態防御,提高了網絡的整體防御能力,體現了網絡安全的整體性和動態性,具有重要的研究意義和實用價值。
本文在深入研究和分析現有聯動模型的基礎上,結合它們的優點,并考慮聯動系統的可實現性、易用性和可擴展性,設計并實現了NSS(Netfilter-Snort-Stunnel)防火墻與入侵檢測聯動模型。
本文首先介紹了課題研究的背景,并對目前代表性的聯動技術進行了研究。接著根據聯動系統的功能組成,分別分析了防火墻技術、入侵檢測技術和聯動技術,為 NSS 防火墻與入侵檢測聯動模型的設計與實現打下了堅實的理論基礎。
其次,本文從功能角度詳細描述了 NSS 聯動模型各模塊的詳細設計包括各主要模塊的設計思想、體系結構和具體軟件配置等。
關鍵詞:防火墻,入侵檢測,聯動,分析,動態規則,SSL
目錄 緒論..............................................................................................................................................4
1.1 研究背景.......................................................................................................................4
1.1.1 網絡安全現狀...................................................................................................4 1.1.2 本文研究內容及結構安排...............................................................................5 防火墻與入侵檢測聯動技術分析.........................................................................................6
2.1
防火墻技術分析............................................................................................................6
2.1.1 防火墻簡介.....................................................................................................6 2.1.2 防火墻關鍵技術.............................................................................................6 2.1.3 防火墻發展趨勢.............................................................................................7 2.2 入侵檢測技術分析.......................................................................................................7
2.2.1 入侵檢測系統.................................................................................................7 2.2.2 入侵檢測分析手段.........................................................................................8 2.2.3 入侵檢測系統分類.........................................................................................8 NSS聯動技術的設計與實施分析............................................................................................10 3.1 聯動產生的背景.......................................................................................................10 3.2 聯動模型的設計目標和設計思想...........................................................................10 3.2.1 NSS 聯動模型的設計目標...........................................................................10 3.2.2 NSS 聯動模型的設計思想.............................................................................11 3.3 NSS 聯動模型的基本設計.........................................................................................11 3.4 NSS 聯動模型各模塊的具體設計.............................................................................12 3.4.1 入侵檢測系統模塊.........................................................................................12 3.4.2 防火墻模塊...................................................................................................13 3.4.3 聯動模塊.........................................................................................................14 3.4.4 管理控制模塊.................................................................................................15 4 總結與展望.............................................................................................................................16
山西財貿職業技術學院畢業論文 緒論
1.1 研究背景
1.1.1 網絡安全現狀
通信技術和計算機技術的迅猛發展,給 IT 及相關行業注入了新的生機和活力,給社會生產、生活方式帶來了革命性的影響。眾多的企業、組織、政府部門與機構都在組建和發展自己的網絡,并連接到 Internet 上,以充分共享、利用網絡的信息和資源。網絡已經成為社會和經濟發展強大動力,其地位越來越重要,已經成為國家的經濟基礎和命脈。但是伴隨著網絡的發展,網絡安全的問題也越來越嚴重,網絡入侵及安全事件更是頻繁發生。
網絡面臨的主要威脅主要來自下面幾方面: 1.黑客的攻擊
黑客對于大家來說,不再是一個高深莫測的人物,黑客技術逐漸被越來越多的人掌握和發展,目前,世界上有 20 多萬個黑客網站,這些站點都介紹一些攻擊方法和攻擊軟件的使用以及系統的一些漏洞,因而系統、站點遭受攻擊的可能性就變大了。尤其是現在還缺乏針對網絡犯罪卓有成效的反擊和跟蹤手段,使得黑客攻擊的隱蔽性好,“殺傷力”強,是網絡安全的主要威脅。
2.管理的欠缺
網絡系統的嚴格管理是企業、機構及用戶免受攻擊的重要措施。事實上,很多企業、機構及用戶的網站或系統都疏于這方面的管理。據IT界企業團體ITAA 的調查顯示,美國90%的IT企業對黑客攻擊準備不足。目前,美國75%-85%的網站都抵擋不住黑客的攻擊,約有75%的企業網上信息失竊,其中 25%的企業損失在25萬美元以上。
3.網絡的缺陷
因特網的共享性和開放性使網上信息安全存在先天不足,因為其賴以生存的
TCP/IP 協議族,缺乏相應的安全機制,而且因特網最初的設計考慮是該網不會 因局部故障而影響信息的傳輸,基本沒有考慮安全問題,因此它在安全可靠、服務質量、帶寬和方便性等方面存在著不適應性。
4.軟件的漏洞或“后門” 隨著軟件系統規模的不斷增大,系統中的安全漏洞或“后門”也不可避免的存
在,比如我們常用的操作系統,無論是 Windows 還是 UNIX 幾乎都存在或多或少的安全漏洞,眾多的各類服務器、瀏覽器、一些桌面軟件等等都被發現過存在安全隱患。大家熟悉病毒大都是利用微軟系統的漏洞給企業造成巨大損失,可以說任何一個軟件系統都可能會因為程序員的一個疏忽、設計中的一個缺陷等原因而存在漏洞,這也是網絡安全的主要威脅之一。
5.網絡內部攻擊
防火墻安全策略的設置的一個基本假設是,網絡的一邊即外部的人是不可信的,另一邊即內部是可信的,但在實際網絡中,據統計70%的攻擊和越權訪問來自與內部,內部人員的不當操作和惡意行為已經成為網絡安全的主要威脅之一。
1.1.2 本文研究內容及結構安排
第一章:緒論。
首先介紹了本文的研究背景和內容現狀,概述了網絡安全的現狀。最后介紹了本文的研究內容和結構安排。
第二章:聯動技術及理論分析。
本章首先對防火墻和入侵檢測進行了基本的闡述,然后分析研究了當前防火墻與入侵檢測技術及發展趨勢其理論模型,為 NSS(Netfilter-Snort-Stunnel)聯動模型設計和實施打下了堅實的理論基礎。
第三章:NSS 聯動模型的設計與實施分析。
山西財貿職業技術學院畢業論文
本章在第二章對防火墻與入侵檢測聯動方式的研究分析基礎上,結合現有聯動模型的優點,著重對防火墻與入侵檢測之間的整合方式進行了探討,設計了NSS(Netfilter-Snort-Stunnel)防火墻與入侵檢測系統聯動模型,并給出了模型的體系結構圖。第四章:聯動系統與陷阱系統有機整合 本章結合實際,對防火墻與入侵檢測系統聯動模型在實際網絡中的應用進行了研究,著重研究了聯動系統與陷阱系統有機整合以實現更加全面的縱深防御體。第五章:總結和展望。對全文的主要工作進行了總結,并對未來的工作進行了展望。防火墻與入侵檢測聯動技術分析 2.1
防火墻技術分析
2.1.1 防火墻簡介
在計算機科學中,防火墻是指位于可信網絡和不可信網絡之間并對經過其間的網絡流量進行檢查的網絡安全設備,其核心思想是通過監測和控制網絡之間的信息交換和訪問行為來實現對網絡安全的有效管理,在信任程度不同的網絡之間(如Internet 或有著一定風險的局域網之間)構造一個相對安全的子網環境,其中被保護的網絡稱為內部網絡或私有網絡,另一方則被稱為外部網絡或公用網絡。防火墻能有效的控制內部網絡與外部網絡之間的訪問及數據傳輸,從而達到保護內部網絡的信息不受外部非授權用戶的訪問和過濾不良信息的目的。典型防火墻系統應具有以下幾個方面的特征:
1.內部網絡和外部網絡之間的所有網絡數據流都必須經過防火墻。2.只有符合安全策略的數據流才能通過防火墻。3.防火墻能經受得起對其本身的攻擊。
2.1.2 防火墻關鍵技術
1.數據包過濾(Packet Filtering)
數據包過濾技術是在網絡層對數據包進行選擇,選擇的依據是系統內設置 的過濾邏輯,被稱為訪問控制表(Access Control Table)。通過檢查數據流中每個數據包的源地址、目的地址、所用的端口號、協議狀態等因素,或它們的組合來確定是否允許該數據包通過。
2.狀態檢測(State Detecting)狀態檢測防火墻在不斷開C/S的模式的前提下,提供一個完全的應用層感知。在狀態檢測防火墻里,信息包在網絡層就被截取了,然后,防火墻從接收到的數據包中提取與安全策略相關的狀態信息,并將這些信息保存在一個動態狀態表中,用于驗證后續的連接請求。
3.代理服務(Proxy)代理服務(Proxy)是運行在防火墻上的一種服務器程序,防火墻主機可以是一個具有兩個網絡接口的雙重宿主主機,也可以是一個堡壘主機。代理服務器(ProxyServer)作用在應用層上,它用來提供應用層服務的控制,利用代理服務器起到內部網絡向外部網絡申請服務時中間轉接作用。
2.1.3 防火墻發展趨勢
防火墻從技術發展上來看,提高性能和采用模塊化設計是主要方向。防火墻處理能力的提高主要集中在兩個方面,硬件結構的優化和軟件算法的更新。硬件結構的優化是走向軟硬件一體化,充分發揮硬件最高效能,又提高系統自身的安全性。功能設計的模塊化提高了防火墻的適應能力,處理能力提高是追求防火墻性能的線速處理能力,達到對整個會話過曾中所有傳輸內容進行檢查。審計報告也向智能化方向發展,在報告的基礎上對整個網絡安全狀況進行全盤的把握,并進行總結改進,依據充分的日志記錄,為用戶提供詳細又靈活的使用情況分析報告,為網絡管理人員提供一個全局的視角。網絡安全不能單一的依靠防火墻,而應與其他安全技術相融合。所以與入侵檢測、防病毒技術、反垃圾郵件技術、信息加密技術的協同聯動,形成一個立體全面的網絡安全防御體系,也是未來防火墻的一個發展趨勢。
2.2 入侵檢測技術分析
2.2.1 入侵檢測系統
實施入侵檢測的系統稱為入侵檢測系統(IDS)。衡量入侵檢測系統的兩個基
山西財貿職業技術學院畢業論文
本指標為檢測率和誤報率,兩者分別從正、反兩方面表明檢測系統的檢測準確性和有效性。實用的入侵檢測系統應盡可能地提高系統的檢測率而降低誤報率,但在實際的檢測系統中這兩個指標存在一定的矛盾,實現上需要綜合考慮。除檢測率和誤報率外,在實際設計和實現具體的入侵檢測系統時還應考慮操作方便性、抗攻擊 能力、系統開銷大小、可擴展性、自適應能力、自學習能力以及實時性等。從系統組成上看,入侵檢測系統一般由三個部分組成:數據采集、入侵檢測、入侵響應。
2.2.2 入侵檢測分析手段
目前,IDS 分析及檢測入侵階段一般通過以下幾種技術手段進行分析:特征匹配、統計分析、完整性分析。其中前兩種方法用于實時的入侵檢測,而完整性分析則常用于事后分析。
1.特征匹配
特征匹配就是將收集到的信息與已知的網絡入侵和系統誤用模式數據庫進行比較,從而發現違背安全策略的行為。
2.完整性分析
完整性分析主要關注某個文件或對象是否被篡改,包括文件和目錄的內容及屬性。它在發現被更改的、被特洛伊化的應用程序方面特別有效。
3.統計分析
統計分析首先給信息對象(如用戶、連接、文件、目錄和設備等)創建一個
統計描述,統計正常使用時的一些測量屬性(如訪問次數、讀寫次數、操作失敗 次數和延時等)。
2.2.3 入侵檢測系統分類
從入侵檢測系統所采用的分析技術來看,它可以分為采用異常檢測的入侵檢測系統和采用誤用檢測的入侵檢測系統。1.誤用檢測(Misuse Detection)誤用檢測是指根據已知入侵所獨有的模式或特征,監視特定目標的特定行為,通過對檢測數據的模式匹配來進行的檢測。誤用檢測的關鍵是如何發現并表
達入侵獨有的模式或特征,把真正的入侵與正常行為區分開來。誤用檢測的優點是可明確地指出入侵的類型,誤報少,準確性高。而局限性是它只能發現已知的攻擊,對未知的攻擊無能為力。誤用檢測模型如圖 2.1 所示。
2.異常檢測(Anomaly Detection)異常檢測假設入侵者活動異常于正常的活動。為實現該類檢測,IDS 建立正常活動的“規范集(Normal profile)”,當主體的活動違反其統計規律時,認為可能是“入侵”行為。異常檢測的優點之一為具有抽象系統正常行為從而檢測系統異常行為的能力。這種能力不受系統以前是否知道這種入侵與否的限制,所以能夠檢測新的入侵行為。
山西財貿職業技術學院畢業論文
常用的入侵檢測統計模型為:操作模型、方差、計算參數的方差、多元模型、馬爾柯夫過程模型和時間序列分析。統計方法的最大優點是它可以“學習”用戶的 使用習慣,從而具有較高檢出率與可用性。但是它的“學習”能力也給入侵者以機 會通過逐步“訓練”使入侵事件符合正常操作的統計規律,從而透過入侵檢測系統。異常檢測的模型如圖 2.2 所示。
2.2.4 入侵檢測技術發展趨勢
入侵檢測在完善原有技術的基礎上,又在研究新的檢測方法,如數據融合技術、主動的自主代理方法、智能技術以及免疫學原理的應用。其主要的發展方向可概括為:
1.大規模分布式入侵檢測 2.寬帶高速網絡的實時入侵檢測 3.入侵檢測的數據融合技術 4.與其它網絡安全技術相結合 NSS聯動技術的設計與實施分析
3.1 聯動產生的背景
真正的網絡安全應該是一個綜合的、動靜結合的、關聯互動的安全體系。不但應有多種相關技術的有機集成,也應該有多種安全產品之間的動態聯動,若僅僅是相關安全產品的簡單疊加是遠遠不夠的。正因如此,聯動思想應運而生,并逐漸成為網絡安全研究的熱點。
3.2 聯動模型的設計目標和設計思想
3.2.1 NSS 聯動模型的設計目標
一個有效的聯動模型需要考慮和解決以下問題: 1.聯動的有效性
針對具體入侵行為,聯動系統所采取的響應措施應該能夠有效阻止入侵的延續和最大限度降低系統損失,這也是聯動的目的。
2.聯動的實時性
聯動的目標是及時地采取措施以盡量降低入侵對系統造成的危害,需要盡可能地縮短入侵發現和響應實施之間的時間窗口,即縮短響應時間。這一方面要求 響應決策和響應執行的計算復雜度不能太高,另一方面要求系統有預測攻擊者意圖的能力。
3.聯動系統自身的安全性
聯動系統的作用在于保護網絡及主機免遭非法入侵,顯然其自身的安全性是最基本的要求。安全性的要求使入侵響應策略不能是簡單的靜態策略,而是能夠具有時效性和自刪除性。
3.2.2 NSS 聯動模型的設計思想
在 NSS 聯動模型中,防火墻作為網絡的第一道安全屏障,根據預先設定好的安全策略來控制網絡流量,并阻擋一部分外來的入侵。另外,入侵檢測系統時刻檢測網絡動態信息,一旦發現異常情況或者攻擊行為,便通過加密通道向聯動模塊發送告警信息,聯動模塊提取其中的重要信息(入侵事件類型、源地址、源端口、目的地址、目的端口)等,對其進行綜合分析,擬定合適的響應策略發送給防火墻模塊,防火墻模塊根據接收到的控制信息添加阻斷規則以實現動態響應。NSS 聯動模型中通過聯動模塊來進行防火墻模塊與入侵檢測模塊之間的信息交互。聯動模塊作為整個系統的核心的部分,需要對入侵告警信息進行綜合、分析、處理,并制定、調整相關的響應策略。經過聯動模塊的綜合分析,不僅能減少誤報率,防止對防火墻模塊造成 Dos 攻擊。而且可以減少安全組件間的通信流量,有效提高系統的性能。
3.3 NSS 聯動模型的基本設計
本章根據通用的安全聯動系統的決策流程,采用間接聯動、開放接口的方式設計了一種基于 Linux平臺的 NSS(Netfilter-Snort-Stunnel)防火墻與入侵檢測系統的聯動模型。并對聯動模型的主要的功能模塊的設計進行了詳細的分析 描述。NSS 聯動模型主要由四部分組成,分別為防火墻模塊,入侵檢測模塊,聯動模塊以及管理控制模塊。
圖 3.1 為 NSS 聯動模型的基本架構圖。
山西財貿職業技術學院畢業論文
3.4 NSS 聯動模型各模塊的具體設計
3.4.1 入侵檢測系統模塊
入侵檢測系統模塊主要完成入侵檢測、入侵告警及日志記錄等功能。入侵檢測系統模塊結構如圖 3.2 所示,包括數據采集模塊、規則匹配模塊、入侵告警模塊和日志記錄模塊。
1.數據采集模塊
數據采集模塊截獲網絡數據包從而獲得網絡事件,并對事件進行預處理,以便規則匹配模塊進行進一步處理;
2.規則匹配模塊
規則匹配模塊采用誤用檢測的方法把從數據采集模塊中所獲得的事件記錄與規則庫中的規則一一匹配。
3.入侵告警模塊
此模塊負責按照規則匹配的結果生成入侵告警信息。該告警信息應包括入侵發生時間、入侵種類、協議類型、入侵源 IP 地址與端口、入侵目的 IP 地址與端口等,為聯動做準備。
4.日志記錄模塊
日志記錄模塊負責將入侵告警信息存入日志記錄庫,為進一步的分析入侵事件或日后取證提供必要的依據。
3.4.2 防火墻模塊
防火墻模塊主要負責執行數據包處理的功能,并且根據聯動模塊發送的策略
山西財貿職業技術學院畢業論文
響應控制信息生成相應的防火墻動態阻斷規則,以實現對網絡攻擊的實時阻斷。根據上述功能需求,我們設計了圖 3.4 所示防火墻模塊。該模塊包括控制信息解析子模塊、動態規則處理子模塊及數據包處理模塊。
1.控制信息解析模塊 2.動態規則處理模塊 3.數據包處理模塊 最后,為實現系統的完整性,還需開發防火墻系統的日志審計系統。日志審計系統包括響應事件存儲數據庫及防火墻流量記錄數據庫,并提供顯示查詢的 WEB 接口,本文將這一部分功能集成到了管理控制模塊。
3.4.3 聯動模塊
聯動模塊是 NSS 模型最為重要的部分,它不僅承擔為入侵檢測系統模塊和防火墻模塊提供安全可信的信息交互通道,并且還需對入侵事件進行綜合分析和響應決策。聯動模塊主要完成對入侵檢測系統生成的告警信息進行分類和優先級標定,然后根據不同的告警事件提供不同的響應策略。另外,聯動模塊還負責信息交互的安全性。模塊間的信息交互需采用統一的格式,當有入侵事件發生時,從入侵事件中提取相關信息,生成特定的控制信息,然后通過安全通信方式發送給防火墻。
針對聯動模塊的主要功能需求,我們分別加以闡述。1.聯動模塊的安全通信
由于防火墻對于防火墻與入侵檢測系統之間的通信,應考慮以下問題: 1)交互的信息應有標準的表示機制,并能夠支持擴展。2)保證信息交互的安全性。3)應該保證傳輸的實時性。
基于以上考慮,本文采取基于 XML [14]國際標準的信息格式進行控制信息的傳遞處理,底層通過 SSL [15]等加密方式對報文進行加密傳輸。
2.聯動模塊的策略管控
由于入侵檢測系統不可避免的存在誤報和漏報,所以若是對入侵檢測系統生成的入侵告警事件不加區分,一概發送給防火墻添加動態規則加以阻斷,這無疑會大大加重防火墻的負擔,浪費兩者之間寶貴的通信帶寬,實在是得不償失。并且攻擊者有可能利用入侵檢測誤報率高的弱點,不斷的發送攻擊數據包,入侵檢測系統不斷產生告警信息,則這就會對防火墻形成 Dos 攻擊。具體架構如圖 3.3
3.4.4 管理控制模塊
管理控制模塊是用戶與系統的一個交互平臺,主要提供對聯動模塊的配置及
山西財貿職業技術學院畢業論文
管理功能,日志審計功能等。管理控制模塊可以分為以下幾個子模塊:配置信息讀寫模塊,日志審計模塊,人工控制模快。配置信息讀寫模塊:主要負責對聯動模塊的配置加以設和查看,包括聯動組件的 IP 地址設定、聯動模塊的加密通信的證書設定等。另外新聯動組件的加入或移除也需通過該模塊更改相關的配置。日志審計模塊:主要提供查看入侵告警日志及防火墻日志的功能,用戶可根據日志信息調整安全策略以因應安全形勢的變化。人工控制模塊:根據實際需求更改、添加或刪除策略響應,或者在遇到緊急情況下斷開聯動機制,實施人工干預,以保證系統安全。總結與展望
當前,單一的網絡安全防御技術已無法適應網絡安全形勢的發展,急需多種安全技術整合構建全面的防御體系。本文研究的防火墻與入侵檢測的聯動技術,可以實現網絡的動態和全面安全防護,具有十分重要的現實意義。本文的主要工作有: 1.分析了聯動技術的研究現狀、對現存的代表性聯動技術進行了研究。對防火墻與入侵檢測聯動技術的關鍵技術進行了深入的研究和分析,著重對防火墻與入侵檢測的不同整合方式進行了探討和比較。2.結合現有聯動模型的優點,設計了采用通用開放接口、間接聯動方式的 NSS(Netfilter-Snort-Stunnel)防火墻與入侵檢測系統聯動模型,并給出 了模型的體系結構圖。然后從功能的角度對 NSS 聯動模型進行了劃分,并詳細介紹了各個模塊的體系結構和功能設計。
3.詳細介紹和闡述了 NSS 聯動模型各模塊的實現細節,包括模塊架構,具體算法,決策流程圖、信息交互格式及所需軟件的配置并附上一些模塊具體實現代碼。在入侵檢測模塊的實現中,針對入侵檢測誤報率高的問題提出了一個簡單的改進機制,并對告警信息的格式進行了定義。在今后的工作中要: 1.進一步完善 NSS 模型的入侵檢測系統的效率,減少誤報率。研究神經網絡及其他智能檢測手段在入侵檢測系統中的應用。
2.對事件分析,策略決策和響應模型需進行更深入的研究,完善和優化
NSS模型的策略決策與響應流程。3.研究不同安全產品之間的數據交換標準。目前國際上還沒有安全產品間數據交互的通用標準,如何使防火墻、IDS、防病毒系統、VPN 等不同安全產品之間進行“無縫”的數據交換是困擾聯動技術發展的一大問題。4.繼續深入研究網絡安全縱深防御體系,并在防火墻與入侵檢測系統的聯動之外和其他的安全技術實現更加完善的整合。5.研究分布式防火墻與分布式入侵檢測系統的聯動模型,針對分布式的聯動模塊的策略決策與響應進行深入的研究。
由于本人的水平與時間所限,許多工作還處于探索階段,論文中的疏漏與錯誤在所難免,敬請各位專家,老師,同學指正。謝謝!
山西財貿職業技術學院畢業論文
第四篇:防火墻技術在電子商務中的應用
防火墻技術在電子商務中的應用
目 錄
目錄............................................................................(1)內容摘要.........................................................................(2)關鍵詞..........................................................................(2)正文............................................................................(2)
一、電子商務的概念及交易問題.....................................................(2)
(一)、什么是電子商務............................................................(2)(二)、電子商務的交易過程.................................................(2)
二、電子商務中的信息安全問題、特性及威脅...............................(3)(一)、電子交易的安全概念、安全特性.........................................(3)
(二)、電子商務中的信息安全問題及威脅.....................................(4)
三、防火墻的技術與體系結構.............................................(6)
四、防火墻的簡介與使用的益處.........................................(6)
五、防火墻常用技術和性能......................................................(11)
六、結論........................................................................(14)參考文獻........................................................................(14)
淺談防火墻技術在電子商務中的應用
內容摘要:防火墻技術作為保證電子商務活動中信息安全的第一道有效屏障,受到越來越多的關注。本文介紹了電子商務的概念、電子商務的交易過程、交易過程中的信息安全問題及威脅、重點介紹了電子商務交易系統的防火墻技術,討論了建立網上安全信任機制的基礎。
關鍵詞:防火墻
電子商務
應用 正文:
一、電子商務的概念及交易問題(一)什么是電子商務
電子商務源于英文Electronic Commerce,簡寫為EC。是指一個機構利用信息和技術手段,改變其和供應商、用戶、員工、合作伙伴、管理部門的互動關系,從而使自己變成為機動響應、快速響應、有效響應的響應性機構。電子商務的核心是商務;本質上是創造更多商機、提供更好商業服務的一種電子交易智能化手段。眼下,電子商務的含義已不僅僅是單純的電子購物,電子商務以數據(包括文本、聲音和圖像)的電子處理和傳輸為基礎,包含了許多不同的活動(如商品服務的電子貿易、數字內容的在線傳輸、電子轉賬、商品拍賣、協作、在線資源利用、消費品營銷和售后服務)。它涉及產品(消費品和工業品)和服務(信息服務、財務與法律服務);它包含了使用Internet和Web技術進行的所有的商務活動。
(二)、電子商務的交易過程
企業間電子商務交易過程大致可以分為交易前準備、交易談判和簽訂合同、辦理交易前手續以及交易合同的履行和索賠四個階段。
(1)交易前的準備
買賣雙方和參與交易的雙方在這一階段所作的簽約前的準備活動。買方根據自己要買的商品,準備購貨款,制訂購貨計劃,進行貨源的市場調查和分析,反復進行市場查詢,通過交換信息來比較價格和條件,了解各個賣方國家的貿易政策,反復修改購貨計劃和進貨計劃,確定和審批購貨計劃。利用Internet和各種電子商務網絡尋找自己滿意的商品和商家。然后修改并最后確定和審批購貨計劃,再按計劃確定購買商品的種類、規格、數量、價格、購貨地點和交易方式等。而賣方則對自己所銷售的商品,進行全面的市場調查和分析,了解各個買方國家的貿易政策,制訂各種銷售策略和銷售方式,制作廣告進行宣傳,召開商品新聞發布會,利用Internet和各種電子商務網絡發布商品廣告等手段擴大影響,尋找貿易伙伴和交易機會,擴大貿易范圍和商品所占市場的份額。
參加交易的其他各方如中介、銀行金融機構、信用卡、商檢系統、海關系統、保險、稅務系統、運輸公司等,買賣雙方都少不了要為電子商務交易做好準備。
(2)交易談判和簽訂貿易合同
買賣雙方在這一階段利用電子商務系統對所有交易細節在網上談判,將雙方磋商的結果做成文件,即以書面文件形式和電子文件形式簽訂貿易合同。交易雙方可以利用現代電子通信設備和通信方法,經過認真談判和磋商后,將雙方在交易中的權利、所承擔的義務、所購買商品的種類、數量、價格、交貨地點、交貨期、交易方式和運輸方式、違約和索賠等均有明確的條款。全部以電子交易合同作出全面詳細的規定,合同雙方可以利用電子數據交換(EDI)進行簽約,也可以通過數字簽名等方式簽約。
(3)辦理交易進行前的手續
買賣雙方從簽訂合同到開始履行合同要辦理各種手續,這也是雙方在交易前的準備過程。交易中要涉及到有關各方,即可能要涉及到中介、銀行金融機構、信用卡、商檢系統、海關系統、保險、稅務系統、運輸公司等與交易有關的各方。買賣雙方要利用EDI與有關各方進行各種電子票據和電子單證的交換,直到辦理完一切手續、商品開始發貨為止。
(4)交易合同的履行和索賠
這一階段是從買賣雙方辦完所有各種手續之后開始,賣方要備貨、組貨,進行報關、保險、取證、信用卡等手續,然后賣方將所購商品交付給運輸公司包裝、起運、發貨。買賣雙方可以通過電子商務服務器跟蹤發出的貨物,金融機構和銀行也按照合同,處理雙方收付款、并進行結算,出具相應的銀行單據等,當買方收到所購的商品,整個交易過程就完成了。索賠是在買賣雙方交易過程中出現違約時,需要進行違約處理的工作,受損方按貿易合同有關條款向違約方進行索賠。
二、電子商務中的信息安全問題、特性及威脅(一)、電子交易的安全概念、安全特性
電子商務安全是一個系統概念,不僅與計算機系統結構有關,還與電子商務應用的環境、人員素質和社會因素有關。其中交易的安全又是電子商務發展的核心和關鍵問題。交易對安全性的要求有如下幾個方面:(1)有效性,因為交易對于交易雙方都是一件十分嚴肅的事情,雙方都對交易的信息認可。(2)保密性,即要求交易的信息只有交易雙方知道,第三方不能通過網絡獲得。(3)完整性,包括過程的完整和數據資料的完整。(4)交易者身份的確定性,這是信用的前提。(5)交易的不可否認性,要求在交易信息的傳輸過程中為參與交易的個人,企業和國家提供可靠的標識。數據的安全主要包括數據的完整,不受損壞,不丟失。系統運行的可靠性要求保證電子商務參與者能在交易的過程始終能與交易對象進行信息資金的交換,保證交易不得中斷。
雖然各種有效的手段可以保證電子商務的基本安全,但是層出不窮的病毒入侵和黑客攻擊使得電子商務安全仍然是一個令人頭痛的問題,那么如何加強電子商務的安全呢?
防火墻可以保證對主機和應用安全訪問,保證多種客戶機和服務器的安全性,保護關鍵部門不受到來自內部和外部的攻擊,為通過Internet與遠程訪問的雇員、客戶、供應商提供安全渠道。
與傳統商務相比,電子商務具有許多特點:
其一,電子商務是一種快速、便捷、高效的交易方式。在電子商務中,信息的傳遞通過網絡完成,速度很快,可以節省寶貴的交易時間。
其二,電子商務是在公開環境下進行的交易,其可以在全球范圍內進行交易。由于借助互聯網,這就使得經濟交易突破了空間的限制;公開環境下的信息公開,使所有的企業可以平等地參與市場競爭。
其三,在電子商務中,電子數據的傳遞、編制、發送、接收都由精密的電腦程序完成,更加精確、可靠。
(二)、電子商務中的信息安全問題及威脅
1、電子商務的安全問題。總的來說分為二部分:一是網絡安全,二是商務安全。計算機網絡安全的內容包括:計算機網絡設備安全,計算機網絡系統安全,數據庫安 全,工作人員和環境等。其特征是針對計算機網絡本身可能存在的安全問題,實施網絡安全增強方案,以保證計算機網絡自身的安全性為目標。商務安全則緊緊圍繞 傳統商務在Internet上應用時產生的各種安全問題,在計算機網絡安全的基礎上,如何保障電子商務過程的順利進行。即實現電子商務的保密性,完整性,可鑒別性,不可偽造性和不可依賴性。
在Internet上的電子商務交易過程中,最核心和最關鍵的問題就是交易的安全性。一般來說商務安全中普遍存在著以下幾種安全隱患:
(1)竊取信息。由于未采用加密措施,數據信息在網絡上以明文形式傳送,入侵者在數據包經過的網關或路由器上可以截獲傳送的信息。通過多次竊取和分析,可以找到信息的規律和格式,進而得到傳輸信息的內容,造成網上傳輸信息泄密。
(2).惡意代碼。它們將繼續對所有的網絡系統構成威脅,并且,其數量將隨著Internet 的發展和編程環境的豐富而增多,擴散起來也更加便利,因此,造成的破壞也就越大。
(3)篡改信息。當入侵者掌握了信息的格式和規律后,通過各種技術手段和方法,將網絡上傳送的信息數據在中途修改,然后再發向目的地。這種方法并不新鮮,在路由器或網關上都可以做此類工作。
(4)假冒。由于掌握了數據的格式,并可以篡改通過的信息,攻擊者可以冒充合法用戶發送假冒的信息或者主動獲取信息,而遠端用戶通常很難分辨。
(5)惡意破壞。由于攻擊者可以接入網絡,則可能對網絡中的信息進行修改,掌握網上的機要信息,甚至可以潛入網絡內部,其后果是非常嚴重的。
2、電子商務面臨的安全威脅。根據攻擊能力的組織結構程度和使用的手段,可以將威脅歸納為四種基本類型:無組織結構的內部和外部威脅與有組織結構的內部和外部威脅。一般來講,對外部威脅,安全性強調防御;對內部威脅,安全性強調威懾。
(1)病毒。病毒是由一些不正直的程序員所編寫的計算機程序,它采用了獨特的設計,可以在受到某個事件觸發時,復制自身,并感染計算機。如果在病毒可以通過某個外界來源進入網絡時,網絡才會感染病毒。
(2)惡意破壞程序。網站會提供一些軟件應用的開發而變得更加活潑。這些應用可以實現動畫和其他一些特殊效果,從而使網站更具有吸引力和互動性。惡意破壞程序是指會導致不同程度破壞的軟件應用或者 Java 小程序。
(3)攻擊。目前已經出現了各種類型的網絡攻擊,它們通常被分為三類:探測式攻擊,訪問攻擊和拒絕服務(DOS)攻擊。a.探測式攻擊實際上是信息采集活動,黑客們通過這種攻擊搜集網絡數據,用于以后進一步攻擊網。b.訪問攻擊用于發現身份認證服務、文件傳輸協議(FTP)功能等網絡領域的漏洞,以訪問電子郵件賬號、數據庫和其他保密信息。c.DOS 攻擊可以防止用戶對于部分或者全部計算機系統的訪問。
(4)數據阻截。通過任何類型的網絡進行數據傳輸都可能會被未經授權的一方截取。犯罪分子可能會竊聽通信信息,甚至更改被傳輸的數據分組。犯罪分子可以利用不同的方法來阻截數據。
(5)垃圾信件。垃圾信件被廣泛用于表示那些主動發出的電子郵件或者利用電子郵件廣為發送未經申請的廣告信息的行為。垃圾信件通常是無害的,但是它可能會浪費接收者的時間和存儲空間,帶來很多麻煩。
因此,隨著電子商務日益發展和普及,安全問題顯得異常突出,解決安全問題已成為我國電子商務發展的當務之急。
三、防火墻的技術與體系結構
(一)、什么是防火墻
防火墻是一個或一組在兩個網絡之間執行安全訪問控制策略的系統,包括硬件和軟件,目的是保護內部網絡資源不被可疑人侵擾,防止內部受到外部的非法攻擊。本質上,它遵從的是一種允許或阻止業務來往的網絡通信安全機制,也就是提供可控的過濾網絡通信,只允許授權的通訊。
(二)、使用防火墻的益處
(1)保護脆弱的服務
通過過濾不安全的服務,防火墻可以極大地提高網絡安全和減少子網中主機的風險。例如,防火墻可以禁止NIS、NFS服務通過,防火墻同時可以拒絕源路由和ICMP重定向封包。
(2)集中的安全管理
防火墻對企業內部網實現集中的安全管理,在防火墻定義的安全規則可以運行于整個內部網絡系統,而無須在內部網每臺機器上分別設立安全策略。防火墻可以定義不同的認證方法,而不需要在每臺機器上分別安裝特定的認證軟件。外部用戶也只需要經過一次認證即可訪問內部網。
(3)控制對系統的訪問
防火墻可以提供對系統的訪問控制。如允許從外部訪問某些主機,同時禁止訪問另外的主機。例如,防火墻允許外部訪問特定的Mail Server和Web Server。
(4)策略執行
防火墻提供了制定和執行網絡安全策略的手段。未設置防火墻時,網絡安全取決于每臺主機的用戶。
(5)增強的保密性
使用防火墻可以阻止攻擊者獲取攻擊網絡系統的有用信息,如Finger和DNS。防火墻可以提供統計數據,來判斷可能的攻擊和探測。并且,防火墻可以記錄和統計通過防火墻的網絡通訊,提供關于網絡使用的統計數據。
四、防火墻的簡介與使用的益處
(一)、防火墻的簡介
一個防火墻(作為阻塞點、控制點)能極大地提高一個內部網絡的安全性,并通過過濾不安全的服務而降低風險。防火墻同時可以保護網絡免受基于路由的攻擊。
防火墻是為防止非法訪問或保護專用網絡而設計的一種系統。它是不同網絡或網絡安全域之間信息的唯一出入口,能根據企業的安全政策控制(允許、拒絕、監測)出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。
防火墻可用于硬件、軟件或二者的組合。防火墻常常被用于阻止非法的互聯網用戶訪問接入互聯網的專用網絡。所有的數據在進入或離開內部網絡時都要經過防火墻,防火墻會檢查每個數據包,并且阻止那些不符合指定安全標準的數據包。
一般來說,配置防火墻是為了防止外部無權限的交互式登錄。這有助于防止“黑客”從機器登錄到你的網絡。更復雜的防火墻能夠阻止從外部到內部的流量,但允許內網用戶更自由的與外部交流。
防火墻非常重要因為它可以提供單一的阻止點,在這一點上可以采取安全和審計措施。防火墻提供了一個重要的記錄和審計功能;它們經常為管理員提供關于已處理過的流量類型和數值的摘要。這是個非常重要的“點”,因為阻止點在網絡中的作用相當于警衛保衛財產。
從理論上說,有兩種類型的防火墻:應用層防火墻和網絡層防火墻
它們的區別可能與你所想的不一致。二者的區別取決于防火墻使用的使流量從一個安全區到另一個安全區所采用的機制。國際標準化組織(ISO)開放系統互聯(OSI)模型把網絡分成七層,每一層都為上一層服務。更重要的是要認識到轉發機制所在的層次越低,防火墻的檢查就越少。
(1)應用層防火墻
應用層防火墻通常是代理服務器運行的主機,它不允許網絡之間直接的流量,并在流量通過時做詳細的記錄和檢查。由于代理應用程序只是防火墻上運行的軟件,所以可在這做大量的記錄和訪問控制。應用層防火墻可用于網絡地址轉換,是因為在應用程序有效地偽裝初始連接的來源之后流量可以從一邊進入,另一邊出去。
在某些情況下,有一個應用程序的方式可能會影響防火墻的性能,并可能會使防火墻降低透明度。早期的應用層防火墻對終端用戶不是特別透明,并且還可能需要進行一些培訓。然而,許多現代應用層防火墻是完全透明的。與網絡層防火墻相比,應用層防火墻趨于提供更細化的審計報告,實行更保守的安全模型。
(2)網絡層防火墻
這種類型決定了它的判定一般是基于源地址、目的地址及獨立IP包中的端口。一個簡單的路由器就是一個傳統意義上的網絡層防火墻,因為它不能做出復雜的判斷,如數據包的發送目標和來源。現代的網絡層防火墻變得更復雜得多,并且會隨時關注通過防火墻的連接狀態的信息。
另一個重要的不同于許多網絡層防火墻的是它們可使流量直接通過,因此在使用時,你需要一個有效分配的IP地址塊,或者是專用網絡地址塊。網絡層防火墻的發展很迅速,對于用戶來說幾乎是透明的。
未來的防火墻將處于應用層防火墻和網絡層防火墻之間。網絡層防火墻可能會逐漸意識到經過它們的信息,應用層防火墻可能會變得越來越透明。最終將會是一種在數據通過時進行記錄和檢查的快速分組篩選系統。
在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,有效地監控了內部網和Internet之間的任何活動,保證了內部網絡的安全。防火墻可以是硬件型的,所有數據都首先通過硬件芯片監測,也可以是軟件類型,軟件在電腦上運行并監控,其實硬件型也就是芯片里固化了的軟件,但是它不占用計算機CPU處理時間,可以功能作的非常強大處理速度很快,對于個人用戶來說軟件型更加方便實在。
(二)、防火墻的體系結構
防火墻對于企業網絡的防御系統來說,是一個不可缺少的基礎設施。在選擇防火墻防火墻時,我們首先考慮的就是需要一個什么結構的產品,防火墻發展到今天,很多產品已經越來越象是一個網絡安全的工具箱,工具的多少固然很重要,但系統的結構卻是一個起決定性作用的前提。因為防火墻的結構決定了這些工具的組合能力,決定了當你在某種場合需要一個系統聲稱提供的功能的時候是不是真的能夠用得上。
防火墻的基本結構可以分為包過濾和應用代理兩種。包過濾技術關注的是網絡層和傳輸層的保護,而應用代理則更關心應用層的保護。
包過濾是歷史最久遠的防火墻技術,從實現上分,又可以分為簡單包過濾和狀態檢測的包過濾兩種。
簡單包過濾是對單個包的檢查,目前絕大多數路由器產品都提供這樣的功能,所以如果你已經有邊界路由器,那么完全沒有必要購買一個簡單包過濾的防火墻產品。由于這類技術不能跟蹤TCP的狀態,所以對TCP層的控制是有漏洞的,比如當你在這樣的產品上配置了僅允許從內到外的TCP訪問時,一些以TCP應答包的形式進行的攻擊仍然可以從外部通過防火墻對內部的系統進行攻擊。簡單包過濾的產品由于其保護的不完善,在99年以前國外的防火墻市場上就已經不存在了,但是目前國內研制的產品仍然有很多采用的是這種簡單包過濾的技術,從這點上可以說,國內產品的平均技術水準至少比國外落后2到3年。
狀態檢測的包過濾利用狀態表跟蹤每一個網絡會話的狀態,對每一個包的檢查不僅根據規則表,更考慮了數據包是否符合會話所處的狀態。因而提供了更完整的對傳輸層的控制能力。同時由于一系列優化技術的采用,狀態檢測包過濾的性能也明顯優于簡單包過濾產品,尤其是在一些規則復雜的大型網絡上。
順便提一下免費軟件中的包過濾技術,比較典型的是OpenBSD 和Linux中的IP Filter和IP Chains。一些有較強技術能力的網絡管理人員喜歡利用這樣的軟件自己配置成防火墻。但是從實現的原理上分析,雖然它們提供了對TCP狀態位的檢查,但是由于沒有跟蹤TCP的狀態,所以仍然是簡單包過濾。值得關注的是Linux2.4中的IP Table,從其名稱就可以看出,它在進行過濾時建立了一個用來記錄狀態信息的Table,已經具備了狀態檢測技術的基本特征。
包過濾結構的最大的優點是部署容易,對應用透明。一個產品如果保護功能十分強大,但是不能加到你的網絡中去,那么這個產品所提供的保護就毫無意義,而包過濾產品則很容易安裝到用戶所需要控制的網絡節點上,對用戶的應用系統則幾乎沒有影響。特別是近來出現的透明方式的包過濾防火墻,由于采用了網橋技術,幾乎可以部署在任何的以太網線路上,而完全不需要改動原來的拓撲結構。
包過濾的另一個優點是性能,狀態檢測包過濾是各種防火墻結構中在吞吐能力上最具優勢的結構。
但是對于防火墻產品來說,畢竟安全是首要的因素,包過濾防火墻對于網絡控制的依據仍然是IP地址和服務端口等基本的傳輸層以下的信息。對于應用層則缺少足夠的保護,而大量的網絡攻擊是利用應用系統的漏洞實現的。
應用代理防火墻可以說就是為防范應用層攻擊而設計的。應用代理也算是一個歷史比較長的技術,最初的代表是TIS工具包,現在這個工具包也可以在網絡上免費得到,它是一組代理的集合。代理的原理是徹底隔斷兩端的直接通信,所有通信都必須經應用層的代理轉發,訪問者任何時候都不能直接與服務器建立直接的TCP連接,應用層的協議會話過程必須符合代理的安全策略的要求。針對各種應用協議的代理防火墻提供了豐富的應用層的控制能力。可以這樣說,狀態檢測包過濾規范了網絡層和傳輸層行為,而應用代理則是規范了特定的應用協議上的行為。
對于使用代理防火墻的用戶來說,在得到安全性的同時,用戶也需要付出其它的代價。代理技術的一個主要的弱點是缺乏對應用的透明性,這個缺陷幾乎可以說是天生的,因為它只有位于應用會話的中間環節,才會對會話進行控制,而幾乎所有的應用協議在設計時都不
認為中間應該有一個防火墻存在。這使得對于許多應用協議來說實現代理是相當困難的。代理防火墻通常是一組代理的集合,需要為每一個支持的應用協議實現專門的功能,所以對于使用代理防火墻的用戶來說經常遇到的問題是防火墻是不支持某個正在使用的應用協議,要么放棄防火墻,要么放棄應用。特別是在一個復雜的分布計算的網絡環境下,幾乎無法成功的部署一個代理結構的防火墻,而這種情況在企業內部網進行安全區域分割是尤其明顯。
代理的另一個無法回避的缺陷是性能很差。代理防火墻必須建立在操作系統提供的socket服務接口之上,其對每個訪問實例的處理代價和資源消耗接近于Web服務器的兩倍。這使得應用代理防火墻的性能通常很難超過45Mbps的轉發速率和1000個并發訪問。對于一個繁忙的站點來說,這是很難接受的性能。
代理防火墻的技術發展遠沒有包過濾技術活躍,比較一下幾年以前的TIS和現在的代理類型的商用產品,在核心技術上幾乎沒有什么變化,變化的主要是增加了協議的種類。同時為了克服代理種類有限的局限性,很多代理防火墻同時也提供了狀態檢測包過濾的能力,當用戶遇到防火墻不能支持的應用協議時,就以包過濾的方式讓其通過。由于很難將這兩者的安全策略結合在一起,所以混合型的產品通常更難于配置,也很難真正的結合兩者的長處。
狀態檢測包過濾和應用代理這兩種技術目前仍然是防火墻市場中普遍采用的主流技術,但兩種技術正在形成一種融合的趨勢,演變的結果也許會導致一種新的結構名稱的出現。我們在NetEye防火墻中以狀態檢測包過濾為基礎實現了一種我們暫時稱之為“流過濾”的結構,其基本的原理是在防火墻外部仍然是包過濾的形態,工作在鏈路層或IP層,在規則允許下,兩端可以直接的訪問,但是對于任何一個被規則允許的訪問在防火墻內部都存在兩個完全獨立的TCP會話,數據是以“流”的方式從一個會話流向另一個會話,由于防火墻的應用層策略位于流的中間,因此可以在任何時候代替服務器或客戶端參與應用層的會話,從而起到了與應用代理防火墻相同的控制能力。比如在NetEye防火墻對SMTP協議的處理中,系統可以在透明網橋的模式下實現完全的對郵件的存儲轉發,并實現豐富的對SMTP協議的各種攻擊的防范功能。
“流過濾”的另一個優勢在于性能,完全為轉發目的而重新實現的TCP協議棧相對于以自身服務為目的的操作系統中的TCP協議棧來說,消耗資源更少而且更加高效,如果你需要一個能夠支持幾千個,甚至數萬個并發訪問,同時又有相當于代理技術的應用層防護能力的系統,“流過濾”結構幾乎是唯一的選擇。
防火墻技術發展這么多年,已經成為了網絡安全中最為成熟的技術,是安全管理員手中有效的防御工具。但是防火墻本身的核心技術的進步卻從來沒有停止過,事實上,任何一個
安全產品或技術都不能提供永遠的安全,因為網絡在變化,應用在變化,入侵的手段在變化。對于防火墻來說,技術的不斷進步才是真實的保障。
五、防火墻常用技術和性能
(一)、防火墻的四種基本類型
根據防火墻所采用的技術不同,我們可以將它分為四種基本類型:包過濾型、網絡地址轉換—NAT、代理型和監測型。
(1)、包過濾型
包過濾型產品是防火墻的初級產品,其技術依據是網絡中的分包傳輸技術。網絡上的數據都是以“包”為單位進行傳輸的,數據被分割成為一定大小的數據包,每一個數據包中都會包含一些特定信息,如數據的源地址、目標地址、TCP/UDP源端口和目標端口等。防火墻通過讀取數據包中的地址信息來判斷這些“包”是否來自可信任的安全站點 ,一旦發現來自危險站點的數據包,防火墻便會將這些數據拒之門外。系統管理員也可以根據實際情況靈活制訂判斷規則。
包過濾技術的優點是簡單實用,實現成本較低,在應用環境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統的安全。
但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基于網絡層的安全技術,只能根據數據包的來源、目標和端口等網絡信息進行判斷,無法識別基于應用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經驗的黑客很容易偽造IP地址,騙過包過濾型防火墻。
(2)、網絡地址轉化—NAT 網絡地址轉換是一種用于把IP地址轉換成臨時的、外部的、注冊的IP地址標準。它允許具有私有IP地址的內部網絡訪問因特網。它還意味著用戶不許要為其網絡中每一臺機器取得注冊的IP地址。
在內部網絡通過安全網卡訪問外部網絡時,將產生一個映射記錄。系統將外出的源地址和源端口映射為一個偽裝的地址和端口,讓這個偽裝的地址和端口通過非安全網卡與外部網絡連接,這樣對外就隱藏了真實的內部網絡地址。在外部網絡通過非安全網卡訪問內部網絡時,它并不知道內部網絡的連接情況,而只是通過一個開放的IP地址和端口來請求訪問。OLM防火墻根據預先定義好的映射規則來判斷這個訪問是否安全。當符合規則時,防火墻認為訪問是安全的,可以接受訪問請求,也可以將連接請求映射到不同的內部計算機中。當不符合規則時,防火墻認為該訪問是不安全的,不能被接受,防火墻將屏蔽外部的連接請求。
網絡地址轉換的過程對于用戶來說是透明的,不需要用戶進行設置,用戶只要進行常規操作即可。
(3)、代理型
代理型防火墻也可以被稱為代理服務器,它的安全性要高于包過濾型產品,并已經開始向應用層發展。代理服務器位于客戶機與服務器之間,完全阻擋了二者間的數據交流。從客戶機來看,代理服務器相當于一臺真正的服務器;而從服務器來看,代理服務器又是一臺真正的客戶機。當客戶機需要使用服務器上的數據時,首先將數據請求發給代理服務器,代理服務器再根據這一請求向服務器索取數據,然后再由代理服務器將數據傳輸給客戶機。由于外部系統與內部服務器之間沒有直接的數據通道,外部的惡意侵害也就很難傷害到企業內部網絡系統。
代理型防火墻的優點是安全性較高,可以針對應用層進行偵測和掃描,對付基于應用層的侵入和病毒都十分有效。其缺點是對系統的整體性能有較大的影響,而且代理服務器必須針對客戶機可能產生的所有應用類型逐一進行設置,大大增加了系統管理的復雜性。
(4)、監測型
監測型防火墻是新一代的產品,這一技術實際已經超越了最初的防火墻定義。監測型防火墻能夠對各層的數據進行主動的、實時的監測,在對這些數據加以分析的基礎上,監測型防火墻能夠有效地判斷出各層中的非法侵入。同時,這種檢測型防火墻產品一般還帶有分布式探測器,這些探測器安置在各種應用服務器和其他網絡的節點之中,不僅能夠檢測來自網絡外部的攻擊,同時對來自內部的惡意破壞也有極強的防范作用。據權威機構統計,在針對網絡系統的攻擊中,有相當比例的攻擊來自網絡內部。因此,監測型防火墻不僅超越了傳統防火墻的定義,而且在安全性上也超越了前兩代產品
雖然監測型防火墻安全性上已超越了包過濾型和代理服務器型防火墻,但由于監測型防火墻技術的實現成本較高,也不易管理,所以目前在實用中的防火墻產品仍然以第二代代理型產品為主,但在某些方面也已經開始使用監測型防火墻。基于對系統成本與安全技術成本的綜合考慮,用戶可以選擇性地使用某些監測型技術。這樣既能夠保證網絡系統的安全性需求,同時也能有效地控制安全系統的總擁有成本。
實際上,作為當前防火墻產品的主流趨勢,大多數代理服務器(也稱應用網關)也集成了包過濾技術,這兩種技術的混合應用顯然比單獨使用具有更大的優勢。由于這種產品是基于應用的,應用網關能提供對協議的過濾。例如,它可以過濾掉FTP連接中的PUT命令,而且通過代理應用,應用網關能夠有效地避免內部網絡的信息外泄。正是由于應用網關的這些特點,使得應用過程中的矛盾主要集中在對多種網絡應用協議的有效支持和對網絡整體性能的影響上。
(二)、防火墻的選擇
網絡防火墻技術的作為內部網絡與外部網絡之間的第一道安全屏障,是最先受到人們重視的網絡安全技術,就其產品的主流趨勢而言,大多數代理服務器(也稱應用網關)也集成了包濾技術,這兩種技術的混合應用顯然比單獨使用更具有大的優勢。那么我們究竟應該在哪些地方部署防火墻呢?首先,應該安裝防火墻的位置是公司內部網絡與外部Internet的接口處,以阻擋來自外部網絡的入侵;其次,如果公司內部網絡規模較大,并且設置有虛擬局域網(VLAN),則應該在各個VLAN之間設置防火墻;第三,通過公網連接的總部與各分支機構之間也應該設置防火墻,如果有條件,還應該同時將總部與各分支機構組成虛擬專用網(VPN)。
安裝防火墻的基本原則是:只要有惡意侵入的可能,無論是內部網絡還是與外部公網的連接處,都應該安裝防火墻。選擇防火墻的標準有很多,但最重要的是以下幾條:(1)總擁有成本防火墻產品作為網絡系統的安全屏障,其總擁有成本(TCO)不應該超過受保護網絡系統可能遭受最大損失的成本。以一個非關鍵部門的網絡系統為例,假如其系統中的所有信息及所支持應用的總價值為10萬元,則該部門所配備防火墻的總成本也不應該超過10萬元。當然,對于關鍵部門來說,其所造成的負面影響和連帶損失也應考慮在內。如果僅做粗略估算,非關鍵部門的防火墻購置成本不應該超過網絡系統的建設總成本,關鍵部門則應另當別論。
(2)防火墻本身是安全的。作為信息系統安全產品,防火墻本身也應該保證安全,不給外部侵入者以可乘之機。如果像馬其頓防線一樣,正面雖然牢不可破,但進攻者能夠輕易地繞過防線進入系統內部,網絡系統也就沒有任何安全性可言了。
通常,防火墻的安全性問題來自兩個方面:其一是防火墻本身的設計是否合理,這類問題一般用戶根本無從入手,只有通過權威認證機構的全面測試才能確定。所以對用戶來說,保守的方法是選擇一個通過多家權威認證機構測試的產品。其二是使用不當。一般來說,防火墻的許多配置需要系統管理員手工修改,如果系統管理員對防火墻不十分熟悉,就有可能在配置過程中遺留大量的安全漏洞。
(3)管理與培訓。管理和培訓是評價一個防火墻好壞的重要方面。我們已經談到,在計算防火墻的成本時,不能只簡單地計算購置成本,還必須考慮其總擁有成本。人員的培訓和日常維護費用通常會在TCO中占據較大的比例。一家優秀秀的安全產品供應商必須為其用戶提供良好的培訓和售后服務。
(4)可擴充性。在網絡系統建設的初期,由于內部信息系統的規模較小,遭受攻擊造成的損失也較小,因此沒有必要購置過于復雜和昂貴的防火墻產品。但隨著網絡的擴容和網絡應用的增加,網絡的風險成本也會急劇上升,此時便需要增加具有更高安全性的防火墻產品。如果早期購置的防火墻沒有可擴充性,或擴充成本極高,這便是對投資的浪費。好的產品應該留給用戶足夠的彈性空間,在安全水平要求不高的情況下,可以只選購基本系統,而隨著要求的提高,用戶仍然有進一步增加選件的余地。這樣不僅能夠保護用戶的投資,對提供防火墻產品的廠商來說,也擴大了產品覆蓋面。
(5)防火墻的安全性。防火墻產品最難評估的方面是防火墻的安全性能,即防火墻是否能夠有效地阻擋外部入侵。這一點同防火墻自身的安全性一樣,普通用戶通常無法判斷。即使安裝好了防火墻,如果沒有實際的外部入侵,也無從得知產品性能的優劣。但在實際應用中檢測安全產品的性能是極為危險的,所以用戶在選擇防火墻產品時,應該盡量選擇占市場份額較大同時又通過了權威認證機構認證測試的產品。
六、結論
隨著電子商務的不斷發展,安全是保證電子商務健康有序發展的關鍵因素,防火墻技術必將在網絡安全方面著發揮更加重要的作用和價值。
七、參考文獻
1、《電子商務》 翟才喜 楊敬杰主編 東北財經大學出版社 2002.2
2、《中國電子商務年鑒》2003 卷
第五篇:網絡安全入侵檢測系統設計思路論文
【摘要】隨著計算機病毒、攻客入侵等網絡信息安全事件發生頻率的逐漸增高,人們越來越意識到網絡安全的重要性。網絡安全已成為當前計算機網絡領域所面臨的一個最為主要的問題。入侵檢測系統作為時下IT領域內網絡信息安全的一門新型熱門技術,在保障網絡安全方面占有舉足輕重的地位。本文主要介紹了入侵檢測有關內容,入侵檢測的主要方法,以及基于計算機網絡安全入侵檢測系統的設計。
【關鍵詞】計算機網絡;安全;入侵檢測系統;研究;設計
計算機網絡在人們生活中的滲透,不僅改變了人類具體的生活方式,更重要的是改變了人類獲取信息的方式。它的出現在給人們帶來巨大方便的同時,也給人們的信息安全帶來了諸多隱患和威脅。一旦計算機網絡發生安全問題,勢必會造成信息泄露,給人們帶來不同程度的經濟損失,尤其是企業內部重要的信息,且情況嚴重時將很可能導致整個計算機系統崩潰。因此,為避免病毒等入侵到計算機網絡系統中,就必須采取有效的入侵檢測方法,設計出相應的入侵檢測系統。
1入侵檢測相關概述
所謂入侵,指的是一切試圖對資源的可用性、完整性和機密性等產生危害行為的統稱。它既包括發起惡意攻擊行為的人(惡意攻客),也包括對計算機網絡與系統造成危害的各種行為(計算機病毒、木馬等)。而入侵檢測則指對所有入侵行為的識別與診斷。其具體操作是對計算機網絡等中的若干關鍵點的數據信息進行收集與分析,通過該分析結果對網絡中是否存在攻擊對象或違反網絡安全行為的跡象進行判斷。入侵檢測所使用的軟件與硬件組成了入侵檢測系統。它具有必須對采集的數據進行安全分析,并從中得出有用的結果和采取相應的保護措施的功能,比其他網絡安全工具具有更多的智能[1]。
2入侵檢測的主要方法
2.1異常檢測法
異常檢測法主要用于檢測用戶的異常行為及其對計算機資源的異常使用。使用這種檢測方法需要建立相應的目標系統和用戶活動模型,以便通過該模型對系統與用戶的實際行為進行檢測,從而對用戶行為是否對計算機網絡和系統具有攻擊性進行判斷。它具有良好的適應性和檢測未知攻擊模式的能力,但誤報率高、檢測結果準確性差,使得其應用受到了一定限制[2]。此外,必須對計算機網絡與系統中合法授權用戶的行為等正常特征進行精確的定義、對非法與合法代碼與數據之間的界限進行精確的劃分,是當前異常檢測技術所面臨的主要技術難點。
2.2混合檢測法
混合檢測法是對異常檢測法與濫用檢測法兩者優點的綜合利用。由于這兩種方法在實際應用過程中呈現出一定的互補關系,因而兩者的有機結合可以達到取長補短、相互彌補的檢測效果,可以在很大程度上提高整體入侵檢測的性能與效率[3]。
3基于計算機網絡安全入侵檢測系統的設計
3.1網絡入侵檢測系統的設計
將網絡入侵檢測系統裝在被保護的計算機網絡中,將原始網絡報文作為數據源對入侵對象進行分析。在網絡入侵檢測系統的設計當中,對于所有通過網絡傳輸數據的實時監控與分析通常采用一個網絡適配器即可;對于數據采集模塊的設計,需要配備有過濾器、探測器、網絡接口引擎等元器件。數據采集模塊主要實現的功能是,按照一定網絡協議從網絡上獲取與入侵事件有關的全部數據信息,獲取后將其傳送至入侵檢測系統分析引擎模塊,對其安全性進行詳細全面的分析,以判斷其是否存在攻擊性。入侵分析引擎模塊的主要功能是,結合計算機網絡安全數據庫,對從數據采集模塊傳送來的數據信息進行安全分析,并將分析結果傳送至配置與管理模塊。配置與管理模塊實現的主要功能是,對其他功能模塊的配置工作進行管理,并將從入侵分析引擎模塊傳送來的安全分析結果以有效的方式向網絡管理員告知,從而為網絡管理員及時做出入侵應對措施提供依據和支持。當網絡入侵系統檢測到攻擊時,相應的功能模塊會立刻以報警、廣播、中斷連接等方式來對入侵者做出反應,向人們發出提示信息。
3.2主機入侵檢測系統的設計
主機入侵檢測系統的數據源通常包括應用程序日志、系統日志等。其入侵檢測功能的實現主要是通過對這些審計記錄文件所記錄的內容與攻擊內容進行匹配。若不匹配說明該入侵對象不具有攻擊性,若匹配則入侵檢測系統及時向網絡管理員發出警報,同時做出相應的保護行為。審計數據記錄的是系統用戶行為信息,在系統運行過程中必須要保證其不會被修改或泄露。然而當系統遭受攻擊時,這些數據很可能發生修改或泄露,因此主機入侵檢測系統的設計必須要具備一項功能,即檢測系統在完全被攻擊者控制之前,完成對審計數據的分析,并及時發出警報采取一定防護手段。主機入侵檢測系統具有精確判斷入侵事件、針對不同操作系統的特點準確判斷出計算機網絡應用層的入侵事件等優點。
4總結
總之,在計算機網絡安全問題的處理過程中,入侵檢測系統的研究與設計是非常關鍵的一個環節。一個性能良好的入侵檢測系統可以有效彌補防火墻存在的不足,可以為計算機網絡的安全提供可靠的保障,是現代網絡安全措施中一種較為有效的防護技術。雖然,現階段入侵檢測技術仍處于發展階段,但隨著社會各界對計算機網絡入侵檢測系統設計的越來越高度重視,入侵檢測系統的應用范圍和檢測性能必將會上升到一個新的臺階。
參考文獻
[1]唐靜.計算機網絡安全中入侵檢測系統的研究[J].網絡安全技術與應用,2015,08:21~22.[2]庫宇.高速網絡入侵檢測系統的研究與設計[D].吉林大學,2008.[3]鄭關勝,李含光.基于動態網絡安全模型的入侵檢測系統的研究[J].計算機應用,2006(S1):160~161+185.作者:吳卉男 單位:貴州師范大學數學與計算機科學學院
點擊咨詢 