摘 要:入侵检测技术是网络安全的核心技术之一。本文对入侵检测系统的实现原理及控制行为进行了详细分析。分析了入侵检测设备的系统结构、系统组成及入侵检测信息的处理流程。并结合一个企业网的实例,详细阐述了入侵检测设备在企业网中的选型、联网及具体实现过程和可行性分析。在企业网络安全越来越受到重视的今天,本文具有一定的指导意义。 关键词:入侵检测;实现;企业网;应用
随着计算机技术和网络技术的飞速发展,计算机网络已经融入到生活的各个方面,发挥着越来越重要的作用。与此同时,网络安全也成为日益关注焦点。入侵检测系统(IDS)作为一种新型的网络安全技术,已经成为维护网络安全的最后一道屏障。因此,入侵检测系统的研究已经成为目前网络安全技术研究的热点之一。
1 入侵检测技术实现原理分析
网络入侵检测(IDS)技术是动态安全技术的核心技术之一。传统的操作系统加固技术和防火墙隔离技术等都是静态的安全防御技术,对网络环境下层出不穷、日新月异的攻击手段缺
乏主动的反应。入侵行为不仅仅指来自外部的攻击,同时也包括内部用户的未授权行为。从入侵策略的角度来看,入侵可以分为:企图进入、冒充其他合法用户、成功闯入、合法用户的泄露、拒绝服务及恶意使用等几个方面。另外各种系统自身的缺陷、系统的不当配置、网络协议在实现上的漏洞、应用软件的缺陷等都会为入侵者提供可乘之机。
网络入侵检测技术是通过对入侵行为过程与特征的研究,使安全系统对入侵事件和入侵过程作出实时的响应。入侵检测技术是防火墙的合理补充,能够帮助网络系统快速发现网络攻击的发生,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。作为一种安全管理工具,它从不同的系统资源收集信息,分析反映误用或异常行为模式的信息,对检测的行为做出自动的反应,并报告检测过程的结果。
作为一种安全管理工具,它是根据系统的安全策略来对收集到的事件状态信息进行分类处理,从而判断入侵和非入侵行为。入侵检测系统的主要功能有:监视、分析用户及系统活动,查非法用户和合法用户的越权操作;检测系统配置的正确性和安全漏洞,并提示管理员修补漏洞;识别、反映已知进攻的活动模式并向相关人士报警;异常行为模式的统计
分析;能够实时地对检测到的入侵行为进行反应;评估重要系统和数据文件的完整性;操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
IDS对网络的控制手段有:根据黑名单断开、根据灰名单报警、阻塞HTTP请求、通知防火墙阻断、通过SNMP Trap报警和执行用户自定义程序等。拥有防火墙的用户如能使IDS和防火墙联动,则控制功能可以进一步加强:当IDS发现入侵时,可以在报警的同时通知防火墙拦截可疑的数据包,实现对入侵行为全方位的控制。对于网络中原先就使用网管软件的用户来说,如果IDS产生的报警消息可以被他们的网管软件所接收,那就意味着其现有资源可以得到最大限度的利用,而且可以实现对包括入侵在内的各种网络异常现象的统一管理。IDS可以通过SNMP Trap消息将报警事件发送到网管平台,实现与各类网管平台的集成。
2 入侵检测系统结构及功能
2.1 系统结构
入侵检测系统的系统结构通常包括3个组件:传感器、检测器和自适应模型生成器,它们之间的联系如图1所示。
2.2 组件功能
1)传感器将格式化的数据传送给检测器和自适应模型生成器。
2)检测器分析传感器送来的这些数据以响应正出现的入侵。
3)自适应模型生成器通过这些数据, 学习新的检测模型, 一旦学习了新的模型, 数字振镜自适应模型生成器就将这个新的模型传送给检测器。
图1 IDS模型结构
2.3 处理流程
在上图所示的系统结构中的信息处理一般经过以下几步:
1)截获系统或网络信息,存入数据库。
2)进行数据分析、处理,建立模型。
3)进行检测分析,并对相应事件进行响应。
4)记录用户信息。弹性钢
5)行数据处理,确定可疑度。
6)根据可疑度,决定是否报警。
7)若在整个网络系统中采用自治Agent检测系统模型,则各个入侵检测Agent 之间还需要进行通信。
3 入侵检测技术在企业网中的应用实例
3.1 企业网简介
本例中的企业网分成骨干层、汇聚层、接入层三部分,骨干网采用2.5G的MSTP链路,在公司总部放置1台高端核心路由器和3台高端核心交换机组成集团公司总部的万兆核心网。在生产毛刷需要什么设备7个子公司各放置1台高端核心路由器和1台高端核心交换机组成各公司的核心网。高端核心路由器以GE光口方式和MSTP的光传输节点对接组成整个企业网的骨干层。而分布在7个子公司办公大楼的高端千兆交换机构成了企业网的汇聚层,汇聚层交换机一方面以双飞星晒图机G
E光口的方式和核心路由器对接,另一方面以GE氨分解制氢光口或者GE电口的方式和楼层接入交换机互连。接入层由二层交换机/三层交换机组成,固定配置24/48个FE电接口,以千兆接口上行。整个企业网的业务中心在公司总部,设置唯一Internet出口供企业网使用,Internet出口共有三条链路两个运营商,带宽均为100M,通过路由器、负载均衡设备来解决。为了保证安全生产信息的安全还配备了安全设备,主要包括防火墙和入侵检测设备。本例将主要介绍其中的入侵检测设备。入侵检测设备将在公司总部和7个子公司各配置一台,在公司总部和各子公司的核心交换机上做镜像端口用于采集数据并和网络连接,因公司总部位于网络的出口位置,考虑到速度和流量的因素,配置千兆入侵检测设备,其它子公司配置百兆检测设备。
3.2 设备选型及依据
经过对IDS产品进行对比,从市场占有率、兼容性、性价比等多种因素综合考虑,最终的产品选择是在信息网出口节点使用NGIDS-U千兆入侵检测设备。在其它节点使用NGIDS百兆入侵检测设备。图2 网络拓扑图
我们在上面已经阐述过入侵检测系统的主要性能指标和测试方法,在具体的企业网应用选
型中,对设备的选型涉及到设备的技术、配置、价格等方方面面,需要进行统筹考虑。在具体选型时,我们考虑的因素有:攻击检测的规则库的大小和检测的准确程度;是否有内容恢复功能;是否有完整网络审计、网络事件记录和全面的网络信息收集功能;产品的性能如何;是否集成网络分析和管理的辅助工具,如扫描器、嗅探器等;是否自带数据库,不需第三方数据源,数据是否可自动维护;管理维护是否足够简洁;互操作性如何,是否可和防火墙联动;自身安全性和隐蔽性如何;可升级性如何等。通过综合对比,选择的设备从技术层面来看使用双CPU,多探测引擎技术,支持对SSL加密数据的检测,支持多达3,000种的检测规则库,使用细粒度检测技术,支持协议分析技术,误用检测技术,协议异常检测,通过重写、优化TCP/IP协议栈,有效地抵御了IDS规避攻击等利用TCP/IP协议栈中漏洞发起的攻击行为,有效降低了IDS的漏报率。通过采用EDUA技术、高效的TCP流汇聚及匹配机制、细粒度的协议分析及智能模式匹配算法使检测性能提高。
配置入侵检测设备后的局域网如拓扑图2所示(图中只包括环网和骨干设备、入侵检测设备引擎,不包括大量的汇聚层和楼层交换设备)。
3.3 可行性分析
3.3.1 技术实施
IDS的探测引擎应与公司总部和网络各主结点的核心交换机直接连接,在交换机上,应将要监控端口的流量镜像到与IDS连接的端口,IDS黄鳝精的管理控制台应部署在专门的VLAN管理区。安装控制台的设备,还应安装IDS支持的数据库系统,以存储大量的IDS告警日志。根据不同区域设备安装操作系统的不同,IDS应启用不同的规则库,例如:如设备主要为windows平台,应启用专门针对windows的规则集。为了保证IDS能够对公共服务器区的数据流量进行监控,IDS还应与这两个区域的交换机相连,以进行监控,因此IDS要支持3个以上的探测引擎。
在该企业网络系统中,网络入侵检测系统的安装和部署具有很大的灵活性和可扩展性。灵活性表现在可以根据入侵检测引擎所在网段的不同情况,给入侵检测引擎配置不同的策略。可扩展性表现在模块化的体系结构在用户网络发生变化以后只需要进行局部的调整或相应增加引擎和数量即可,不需要对整个入侵系统进行改动。
3.3.2 管理
为了提高管理的安全性,专门在总部和各个节点划分出一个专门的管理VLAN,该VLAN禁止其他网段访问,对防火墙、路由器、交换机、入侵检测设备的管理工作都由该网段的管理主机进行。各个IDS上应配置专门的管理端口,该端口与交换机相连,该连接端口划分到专门的管理VLAN中。
3.3.3 联动
为了有效的对检测到的入侵行为进行阻断,IDS应配置成与防火墙进行联动,一旦IDS检测到攻击行为,及时的通过联运协议与防火墙配合,阻断攻击行为。目前, IDS联动的种类包括TOPSEC协议、OPSEC协议、Cisco路由器、交换机等。同时, IDS还支持与信息审计平台TA的联动,能够实时将入侵检测信息传送到TA,由TA进行综合关联性分析,提高检测效率。IDS通过与边界控制设备的联动,可以使安全体系跟随网络安全形势的变化,动态调整策略,为了减少误报造成的网络中断,应只对高风险的事件进行联动处理。
3.3.4 对原有业务影响分析
入侵检测系统的工作原理是利用sniffer技术对网络流量进行分析,不会给网络增加额外的
负担。即使入侵检测设备自身故障造成瘫痪,只是入侵检测功能失效,而不会对网络运行造成影响。入侵检测系统采用专用硬件,不需要对已经有的服务器进行改动,所以不会影响企业网系统中服务器的正常运行。
3.3.5 技术可行性分析
要成功部署入侵检测系统,必须要求网络中的交换设备支持端口镜像功能,企业网目前采用的交换机有Cisco等各种型号,经过确认,都支持端口镜像功能。
4 小结
入侵检测设备在企业局域网的安全体系中占有非常重要的地位,它和防火墙共同构成了局域网中的安全屏障。局域网在选用入侵检测设备时,应充分考虑本企业现有的网络条件和实际发展需要,在设备选型时应综合考虑资金、技术、实用性、服务、性价比等多方面因素,切忌求大求全,不切合实际。入侵检测设备部署到位后,只是完成了第一步,要使其更好地发挥作用,更重要的是策略配置和联调,只有合理的策略配置才能充分发挥其作用,减少误报、误警事件的发生。联调时应注意验证入侵检测设备的有效性,观察设备的
审计记录和检测反应,及其与防火墙联动的性能。入侵检测设备在投入使用后,应配备专人对其进行管理和维护,及时检查日志和调整策略,只有这样才能充分保障网络的安全,充分发挥入侵检测设备在网络中应有的作用。
随着人工智能技术的不断发展,入侵检测系统将向更加智能化的方向发展。一方面,不仅能够通过入侵模式匹配识别出已知的入侵行为,还能准确判断出未知的入侵行为;另一方面,入侵检测系统将和其他网络安全系统更加紧密地融合在一起,在发出入侵警报的同时与其他网络安全系统有效联动,自动抵御入侵行为。网络安全是网络健康发展的有力保障,相信更加智能化的入侵检测系统将在未来网络安全领域发挥更加重要的作用。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议