安全审计与入侵检测报告

安全审计与扫描课程报告
姓名：
学号：
班级：
指导老师：
基于入侵检测技术的网络安全分析
一、简述
网络安全技术发展到今天，除了防火墙和杀毒系统的防护，入侵检测技术也成为抵御黑客攻击的有效方式。

尽管入侵检测技术还在不断完善发展之中，但是入侵检测产品的市场已经越来越大，真正掀起了网络安全的第三股热潮。

入侵检测被认为是防火墙之后的第二道安全闸门。

IDS主要用来监视和分析用户及系统的活动，可以识别反映已知进攻的活动模式并向相关人士报警。

对异常行为模式，IDS要以报表的形式进行统计分析。

二、入侵检测模型
Denning于1987年提出一个通用的入侵检测模型(图1-1)。

该模型由以下六个主要部分组成:
(l)主体 (Subjects):启动在目标系统上活动的实体，如用户;
(2)对象 (Objects):系统资源，如文件、设备、命令等;
(3)审计记录(Audit records):由<Subject，Action，Object，
Exception-Condition，Resource-Usage，Time-stamp>构成的六元组，活动(Action)是主体对目标的操作，对操作系统而言，这些操作包括读、写、登录、退出等;异常条件(Exception-Condition)是指系统对主体的该活动的异常报告，如违反系统读写权限;资源使用状况(Resource--Usage)是系统的资源消耗情况，如CPU、内存使用率等;时标(Time-Stamp)是活动发生时间;
(4)活动简档(Activity Profile):用以保存主体正常活动的有关信息，具体实现依赖于检测方法，在统计方法中从事件数量、频度、资源消耗等方面度量，可以使用方差、马尔可夫模型等方法实现;
(5)异常记录(Anomaly Record):由(Event，Time-stamp，Profile)组成，用以表示异常事件的发生情况;
(6)活动规则:规则集是检查入侵是否发生的处理引擎，结合活动简档用专家系统或统计方法等分析接收到的审计记录，调整内部规则或统计信息，在判断有入侵发生时采取相应的措施。

入侵检测模型图
Denning模型的最大缺点在于它没有包含己知系统漏洞或攻击方法的知识，而这些知识在许多情况下是非常有用的信息。

三、入侵检测系统(IDS)诠释
IDS是一种网络安全系统，当有敌人或者恶意用户试图通过Internet进入网络甚至计算机系统时，IDS能够检测出来，并进行报警，通知网络该采取措施进行响应。

在本质上，入侵检测系统是一种典型的“窥探设备”。

它不跨接多个物理网段(通常只有一个监听端口)，无须转发任何流量，而只需要在网络上被动地、无声息地收集它所关心的报文即可。

目前，IDS分析及检测入侵阶段一般通过以下几种技术手段进行分析：特征库匹配、基于统计的分析和完整性分析。

其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。

IDS具备如下特点：
1、精确地判断入侵事件
安装在服务器上的IDS有一个完整的黑客攻击信息库，其中存放着各种黑客攻击行为的特征数据。

每当用户对服务器上的数据进行操作时，IDS就将用户的操作与信息库中的数据进行匹配，一旦发现吻合，就认为此项操作为黑客攻击行为。

由于信息库的内容会不断升级，因此可以保证新的黑客攻击方法也能被及时发现。

IDS的攻击识别率可以达到百分之百。

2、可判断应用层的入侵事件
与防火墙不同，IDS是通过分析数据包的内容来识别黑客入侵行为的。

因此，IDS可以判断出应用层的入侵事件。

这样就极大的提高了判别黑客攻击行为的准确程度。

3、对入侵可以立即进行反应
IDS以进程的方式运行在服务器上，为系统提供实时的黑客攻击侦测保护。

一旦发现黑客攻击行为，IDS可以立即做出相应。

响应的方法有多种形式，其中包括：报警（如屏幕显示报警、寻呼机报警）、必要时关闭服务直至切断链路，与此同时，IDS会对攻击的过程进行详细记录，为以后的调查工作提供线索。

4、全方位的监控与保护
防火墙只能隔离来自本网段以外的攻击行为，而IDS监控的是所有针对服务器的操作，因此它可以识别来自本网段内、其他网段以及外部网络的全部攻击行为。

这样就有效的解决了来自防火墙后由于用户误操作或内部人员恶意攻击所带来的安全威胁。

由于IDS对用户操作进行详细记录，系统管理人员可以清楚的了解每个用户访问服务器的意图，及时发现恶意攻击的企图，提前采取必要措施。

这一切对于有攻击企图的人无疑也起到了强大的震慑作用。

四、网络安全的解决方案
问题：根据图示的网络拓扑结构示意图，提出一种基于入侵检测技术的网络安全解决方案
现有的网络安全防范措施主要有防火墙、口令验证系统、虚拟专用网(VPN) 、加密系统等,应用最广泛的是防火墙技术。

防火墙技术是内部网最重要的安全技术之一,其主要功能就是控制对受保护网络的非法访问,它通过监视、限制、更改通过网络的数据流,一方面尽可能屏蔽内部网的拓扑结构,另一方面对内屏蔽外部危险站点,用以防范外对内、内对外的非法访问。

但也有其明显的局限性,如:
(1) 防火墙难于防内。

防火墙的安全控制只能作用于外对内或内对外,而据权威部门统计结果表明,网络上的安全攻击事件有70 %以上来自内部攻击。

(2) 防火墙难于管理和配置,易造成安全漏洞。

防火墙的管理及配置相当复杂,一般来说,由多个系统(路由器、过滤器、代理服务器、网关、堡垒主机) 组成的防火墙,管理上有所疏忽是在所难免的。

根据美国财经杂志统计资料明,30 %的入侵发生在有防火墙的情况下。

(3) 防火墙的安全控制主要是基于IP 地址的,难以为用户在防火墙内外提供一致的安全策略。

许多防火墙对用户的安全控制主要是基于用户所用机器的IP 地址而不是用户身份,这样就很难为同一用户在防火墙内外提供一致的安全控制策略,限制了企业网的物理范围。

(4) 防火墙只实现了粗粒度的访问控制。

基于这个原因,导致其不能与企业内部使用的其他安全机制(如访问控制) 集成
使用。

这样,企业就必须为内部的身份验证和访问控制管理维护单独的数据库。

另外,防火墙和其他几种网络安全技术一样,只是起着防御的功能,不能完全阻止入侵者通过蛮力攻击或利用计算机软硬件系统的缺陷闯入未授权的计算机或滥用计算机及网络资源。

从信息战的角度出发,消极的防御是不够的,应是攻防并重,在防护基础上检测漏洞、应急反应和迅速恢复生成是十分必要的。

所以这些技术手段已经不能满足日益变化的网络安全需要了。

入侵检测系统可以弥补防火墙的不足, 并为各网段和重要站点的安全提供实时的入侵检测及采取相应的防护手段,如记录证据和断开网络连接等。

入侵检测系统能在入侵攻击对系统发生危害前检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击。

在入侵攻击过程中,
能减少入侵攻击所造成的损失。

在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入知识库内,增强系统的防范能力,避免系统再次受到入侵。

入侵检测在不影响网络性能的情况下能对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护,大大提高了网络的安全性.
所以，可以对于这样的网络结构做出这样的方案：
基于网络的入侵检测系统
基于网络的入侵检测系统使用原始网络包作为数据源。

基于网络的IDS 通常利用一个运行在随机模式下网络的适配器来实时监视并分析通过网络的所有通信业务。

它的攻击辩识模块通常使用四种常用技术来识别攻击标志：
1. 模式、表达式或字节匹配
2. 频率或穿越阀值
3. 次要事件的相关性
4. 统计学意义上的非常规现象检测
一旦检测到了攻击行为，IDS 的响应模块就提供多种选项以通知、报警并对攻击采取相应的反应。

反应因产品而异，但通常都包括通知管理员、中断连接并且/或为法庭分析和证据收集而做的会话记录。

基于网络的IDS 有许多仅靠基于主机的入侵检测法无法提供的功能。

实际上，许多客户在最初使用IDS 时，都配置了基于网络的入侵检测。

基于网络的检测有以下优点：
侦测速度快基于网络的监测器通常能在微秒或秒级发现问题。

而大多数基于主机的产品则要依靠对最近几分钟内审计记录的分析。

隐蔽性好一个网络上的监测器不像一个主机那样显眼和易被存取，因而也不那么容易遭受攻击。

基于网络的监视器不运行其他的应用程序，
不提供网络服务，
可以不响应其他计算机。

因此可以做得比较安全。

视野更宽基于网络的入侵检测甚至可以在网络的边缘上，即攻击者还没能接入网络时就被发现并制止。

较少的监测器由于使用一个监测器就可以保护一个共享的网段，所以你不需要很多的监测器。

相反地，如果基于主机，则在每个主机上都需要一个代理，这样的话，花费昂贵，而且难于管理。

但是，如果在一个交换环境下，就需要特殊的配置。

攻击者不易转移证据基于网络的IDS使用正在发生的网络通讯进行实时攻
击的检测。

所以攻击者无法转移证据。

被捕获的数据不仅包括的攻击的方法，而且还包括可识别黑客身份和对其进行起诉的信息。

许多黑客都熟知审记记录，他们知道如何操纵这些文件掩盖他们的作案痕迹，如何阻止需要这些信息的基于主机的系统去检测入侵。

操作系统无关性基于网络的IDS作为安全监测资源，与主机的操作系统无关。

与之相比，基于主机的系统必须在特定的、没有遭到破坏的操作系统中才能正常工作，生成有用的结果。

占资源少在被保护的设备上不用占用任何资源。