网络安全审计

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

网络安全审计系统的实现方法

1 传统安全审计系统的历史

传统的安全审计系统早在70年代末、80年代初就已经出现在某些UNDO系统当中,

其审计的重点也是本主机的用户行为和系统调用。在随后的20年间,其他的各个操作系统也有了自己的安全审计工具,如符合C2安全级别的Windows NT, Nnux的syslog机制以

及SUN 13SM等。

2 常用安全措施的不足和基于网络的安全审计系统的出现

近几年来,随着开放系统Internet的飞速发展和电子商务的口益普及,网络安全和信息安全问题日益突出,各类黑客攻击事件更是层出不穷。而相应发展起来的安全防护措施也日益增多,特别是防火墙技术以及IDS(人侵检测技术)更是成为大家关注的焦点。但是这两者都有自己的局限性。

2.1防火墙技术的不足

防火墙技术是发展时间最长,也是当今防止网络人侵行为的最主要手段之一,主要有包过滤型防火墙和代理网关型防火墙两类。其主要思想是在内外部网络之间建立起一定的隔离,控制外部对受保护网络的访问,它通过控制穿越防火墙的数据流来屏蔽内部网络的敏感信息以及阻挡来自外部的威胁。虽然防火墙技术是当今公认发展最为成熟的一种技术,但是由于防火墙技术自身存在的一些缺陷,使其越来越难以完全满足当前网络安全防护的要求。

包过滤型防火墙如只实现了粗粒度的访问控制,一般只是基于IP地址和服务端口,对网络数据包中其他内容的检查极少,再加上其规则的配置和管理极其复杂,要求管理员对网络安全攻击有较深人的了解,因此在黑客猖撅的开放Internet系统中显得越来越难以使用。

而代理网关防火墙虽然可以将内部用户和外界隔离开来,从外部只能看到代理服务器而看不到内部任何资源,但它没有从根本上改变包过滤技术的缺陷,而且在对应用的支持和速度方面也不能令人满意

2.2入侵检测技术的不足

人侵检测技术是防火墙技术的合理补充,能够对各种黑客人侵行为进行识别,扩展了网络管理员的安全管理能力。一般来说,人侵检测系统(IDS)是防火墙之后的第二层网络安全

防护机制。

目前较为成熟的IDS系统可分为基十主机的IDS和基于网络的IDS两种。

基于主机的IDS来源于系统的审计日志,它和传统基于主机的审计系统一样一般只能检测发生在本主机上面的人侵行为。

基于网络的IDS系统对网络中的数据包进行监测,对一些有人侵嫌疑的包作出报警。人侵检测的最大特色就是它的实时性…准实时性),它能在出现攻击的时候发出警告,让管理人员在在第一时间了解到攻击行为的发生,并作出相应措施,以防止进一步的危害产生。实时性的要求使得人侵检测的速度性能至关重要,因此决定了其采用的数据分析算法不能过于复杂,也不可能采用长时间窗分析或把历史数据与实时数据结合起来进行分析,所以现在大多数人侵检测系统只是对单个数据包或者一小段时间内的数据包进行简单分析,从而作出判断,这样势必会产生较高的误报率和漏报率,一般只有20%攻击行为被IDS发现也就不足为奇了。虽然国内外普遍对人侵检测技术都有很高的评价,但是随着黑客技术的发展,一些人侵检测系统本身的缺陷也为人们所了解。一些黑客利用某些分布式技术,在同一时刻向某个人侵检测系统发送大量垃圾数据包,使得人侵检测系统来不及处理而过载,直到发生丢包现象。黑客在此时发动攻击,人侵相关的网络活动被淹没在大量的嘈声之中,使得人侵检测无法检测出包含人侵模式的网络信息,这样一来黑客就达到了逃避人侵检测的目的。

2.3基于网络的安全审计系统

在这种情况下,基于网络安全审计系统孕育而生。基于网络的安全审计系统在近几年刚刚起步,尚处在探索阶段,其审计重点也在网络的访问行为和网络中的各种数据。对此有比较深人研究的也只是少数几个高校或者科研机构,其中以Purdue大学的NASHIS系统较为著名。

一般的基于网络的安全审计系统作为一个完整安全框架中的一个必要环节,一般处在人侵检测系统之后,作为对防火墙系统和人侵检测系统的一个补充,其功能:首先它能够检测出某些特殊的IDS无法检测的人侵行为(比如时间跨度很大的长期的攻击特征);其次它可以对人侵行为进行记录并可以在任何时间对其进行再现以达到取证的目的;最后它可以用来提取一些未知的或者未被发现的人侵行为模式等。

图1安全审计在整个安全体系中的位置

与传统的人侵检测系统相比,安全审计系统并没有实时性的要求,因此可以对海量的历史数据进行分析,并且采用的分析方法也可以更加复杂和精细。一般来说,网络安全审计系统能够发现的攻击种类大大高于人侵检测系统,而且误报率也没有人侵检测系统那样的高。

3 基于网络的安全审计系统的常用实现方法

3.1基于规则库的方法

基于规则库的安全审计方法就是将已知的攻击行为进行特征提取,把这些特征用脚本语言等方法进行描述后放人规则库中,当进行安全审计时,将收集到网络数据与这些规则进行某种比较和匹配操作(关键字、正则表达式、模糊近似度等),从而发现可能的网络攻击行为。

这种方法和某些防火墙和防病毒软件的技术思路类似,检测的准确率都相当高,可以通过最简单的匹配方法过滤掉大量的网络数据信息,对于使用特定黑客工具进行的网络攻击特别有效。比如发现目的端口为139以及含有DOB标志的数据包,一般肯定是Winnuke攻击数据包。而且规则库可以从互连网上下载和升级(如。 . cert. org等站点都可以提供各种最新攻击数据库),使得系统的可扩充性非常好。

但是其不足之处在于这些规则一般只针对已知攻击类型或者某类特定的攻击软件,当出现新的攻击软件或者攻击软件进行升级之后,就容易产生漏报。

例如,著名的Back Orifice后门软件在90年代末非常流行,当时人们会发现攻击的端口是31337,因此31337这个古怪的端口便和Back Orifice联系在了一起。但不久之后,聪明的Back Orifice作者把这个源端口换成了80这个常用的Web服务器端口,这样一来便逃过了很多安全系统的检查。

此外,虽然对于大多数黑客来说,一般都只使用网络上别人写的攻击程序,但是越来越多的黑客已经开始学会分析和修改别人写的一些攻击程序,这样一来,对同一个攻击程序就会出现很多变种,其简单的通用特征就变得不十分明显,特别规则库的编写变得非常困难。

综上所述,基于规则库的安全审计方法有其自身的局限性。对于某些特征十分明显的网络攻击数据包,该技术的效果非常之好;但是对于其他一些非常容易产生变种的网络攻击行为(如Backdoo:等),规则库就很难用完全满足要求了。

3.2基于数理统计的方法

数理统计方法就是首先给对象创建一个统计量的描述,比如一个网络流量的平均值、方差等等,统计出正常情况下这些特征量的数值,然后用来对实际网络数据包的情况进行比较,当发现实际值远离正常数值时,就可以认为是潜在的攻击发生。

对于著名syn flooding攻击来说,攻击者的目的是不想完成正常的TCP 次握手所建立起来的连接,从而让等待建立这一特定服务的连接数量超过系统所限制的数量,这样就可以使被攻击系统无法建立关于该服务的新连接。很显然,要填满一个队列,一般要在一段时间内不停地发送SYN连接请求,根据各个系统的不同,一般在每分钟10-20,或者更多。显

相关文档
最新文档