安全审计与入侵检测报告

安全审计与扫描课程报告

姓名：

学号：

班级：指导老师：基于入侵检测技术的网络安全分析一、简述网络安全技术发展到今天，除了防火墙和杀毒系统的防护，入侵检测技术也成为抵御黑客攻击的有效方式。尽管入侵检测技术还在不断完善发展

之中，但是入侵检测产品的市场已经越来越大，真正掀起了网络安全的第三股热潮。入

侵检测被认为是防火墙之后的第二道安全闸门。IDS 主要用来监视和分析用户及系统的

活动，可以识别反映已知进攻的活动模式并向相关人士报警。对异常行为模式，IDS 要

以报表的形式进行统计分析。

、入侵检测模型

Denning 于1987 年提出一个通用的入侵检测模型(图1-1) 。该模型由以下六个主要部分组成:

(l) 主体(Subjects): 启动在目标系统上活动的实体，如用户;

(2) 对象(Objects): 系统资源，如文件、设备、命令等;

⑶审计记录(Audit records):由vSubject , Action , Object , ExceptionCondition , Resource-Usage, Time-stamp＞构成的六元组，活动(Action) 是主体对目标的操作，对操作系统而言，这些操作包括读、写、登录、退出等; 异常条件(Exceptio n-Co nditio n) 是指系统对主体的该活动的异常报告，如违反系统

读写权限; 资源使用状况(Resource--Usage) 是系统的资源消耗情况，如CPU、内存使用率等；时标(Time-Stamp)是活动发生时间；

(4) 活动简档(Activity Profile): 用以保存主体正常活动的有关信息，具体实现依赖于检测方法，在统计方法中从事件数量、频度、资源消耗等方面度量，可以使用方差、马尔可夫模型等方法实现；

(5) 异常记录(AnomalyRecord): 由(Event ，Time-stamp，Profile) 组成，用以表示异常事件的发生情况；

(6) 活动规则：规则集是检查入侵是否发生的处理引擎，结合活动简档用专家系统或统计方法等分析接收到的审计记录，调整内部规则或统计信息，在判断有入侵发生时采取相应的措施。•

入侵检测模型图

Denning模型的最大缺点在于它没有包含己知系统漏洞或攻击方法的知识，而这些知识在许多情况下是非常有用的信息。

三、入侵检测系统诠释(IDS)

IDS是一种网络安全系统，当有敌人或者恶意用户试图通过In ternet进入网

络甚至计算机系统时，IDS能够检测出来，并进行报警，通知网络该采取措施进行响应。

在本质上，入侵检测系统是一种典型的“窥探设备”它不跨接多个物理网段（通常只有一个监听端口），无须转发任何流量，而只需要在网络上被动地、无声息地收集它所关心的报文即可。

目前，IDS分析及检测入侵阶段一般通过以下几种技术手段进行分析：特征库匹配、基于统计的分析和完整性分析。其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。•

IDS具备如下特点:

1、精确地判断入侵事件

安装在服务器上的IDS 有一个完整的黑客攻击信息库，其中存放着各种黑客攻击行为的

特征数据。每当用户对服务器上的数据进行操作时，IDS 就将用户的操作与信息库中的数据进行匹配，一旦发现吻合，就认为此项操作为黑客攻击行为。由于信息库的内容会不断升级，因此可以保证新的黑客攻击方法也能被及时发现。IDS 的攻击识别率可以达到百分之百。

2、可判断应用层的入侵事件

与防火墙不同，IDS 是通过分析数据包的内容来识别黑客入侵行为的。因此，IDS 可

以判断出应用层的入侵事件。这样就极大的提高了判别黑客攻击行为的准确程度。．

3、对入侵可以立即进行反应

IDS 以进程的方式运行在服务器上，为系统提供实时的黑客攻击侦测保护。一旦发现黑客攻击行为，IDS 可以立即做出相应。响应的方法有多种形式，其中包括：报警（如屏幕显示报警、寻呼机报警）、必要时关闭服务直至切断链路，与此同时，IDS 会对攻击的过程进行详细记录，为以后的调查工作提供线索。

4、全方位的监控与保护

防火墙只能隔离来自本网段以外的攻击行为，而IDS 监控的是所有针对服务器的操作，因此它可以识别来自本网段内、其他网段以及外部网络的全部攻击行

为。这样就有效的解决了来自防火墙后由于用户误操作或内部人员恶意攻击所带来的安全威胁。

由于IDS对用户操作进行详细记录，系统管理人员可以清楚的了解每个用户访问服务器的意图，及时发现恶意攻击的企图，提前采取必要措施。这一切对于有攻击企图的人无疑也起到了强大的震慑作用。

四、网络安全的解决方案

问题：根据图示的网络拓扑结构示意图，提岀一种基于入侵检测技术的网络安全解决

方案.

现有的网络安全防范措施主要有防火墙、口令验证系统、虚拟专用网(VPN) 、加密系统等, 应用最广泛的是防火墙技术。防火墙技术是内部网最重要的安全技术之一,其主要功能就是控制对受保护网络的非法访问, 它通过监视、限制、更改通过网络的数据流, 一方面尽可能屏蔽内部网的拓扑结构, 另一方面对内屏蔽外部危险站点,用以防范外对内、内对外的非法访问。但也有其明显的局限性如:

(1) 防火墙难于防内。防火墙的安全控制只能作用于外对内或内对外, 而据权威部门统计结果表明, 网络上的安全攻击事件有70 %以上来自内部攻击。

(2) 防火墙难于管理和配置, 易造成安全漏洞。防火墙的管理及配置相当复杂,一般来说,由多个系统(路由器、过滤器、代理服务器、网关、堡垒主机) 组成的防火墙, 管理上有所疏忽是在所难免的。根据美国财经杂志统计资料明,30 %的入侵发生在有防火墙的情况下。

(3) 防火墙的安全控制主要是基于IP 地址的, 难以为用户在防火墙内外提供一致的安全策略。许多防火墙对用户的安全控制主要是基于用户所用机器的IP 地址而不是用户身份, 这样就很难为同一用户在防火墙内外提供一致的安全控制策略, 限制了企业网的物理范围。

(4) 防火墙只实现了粗粒度的访问控制。

基于这个原因,导致其不能与企业内部使用的其他安全机制(如访问控制) 集成使用。这样, 企业就必须为内部的身份验证和访问控制管理维护单独的数据库。另外, 防火墙和其他几种网络安全技术一样,只是起着防御的功能, 不能完全阻止入侵者通过蛮力攻击或利用计算机软硬件系统的缺陷闯入未授权的计算机或滥用计算机及网络资源。从信息战的角度出发, 消极的防御是不够的,应是攻防并重, 在防护基础上检测漏洞、应急反应和迅速恢复生成是十分必要的。所以这些技术手段已经不能满足日益变化的网络安全需要了。入侵检测系统可以弥补防火墙的不足, 并为各网段和重要站点的安全提供实时的入侵检测及采取相应的如记录证据和断开网络连接等。入侵检测系统能在入侵攻击对系统发, 防护手段．并利用报警与防护系统驱逐入侵攻击。在入侵攻击过生危害前检测到入侵攻击, 收集入侵攻击的相关信能减少入侵攻击所造成的损失。在被入侵攻击后, 程中,

避免系统再次增强系统的防范能力,, 添加入知识库内, 息, 作为防范系统的知识从而提供对受到入侵。入侵检测在不影响网络性能的情况下能对网络进行监听, . 大大提高了网络的安全性内部攻击、外部攻击和误操作的实时保护,

所以，可以对于这样的网络结构做出这样的方案: