发布时间 : 星期五 文章NIDS网络立体防御系统可行性研究报告更新完毕开始阅读2a439693daef5ef7ba0d3cb4
统。
(4) 物理形式的入侵信息
这包括两个方面的内容, 一是未经授权的对网络硬件的连接; 二是对物理资源的未授权访问(非法访问)。黑客会想方设法的突破网络周边的防卫, 如果他们能够在物理上访问内部网,就能安装他们自己的设备和软件。因此,黑客就可以知道网上的由用户加上去的不安全(未授权)设备,然后利用这些设备访问网络。
2.3信息及综合决策系统介绍
信息及综合决策系统是数据库及基于数据库的信息处理系统的结合,是整个系统的信息汇总点,也是综合信息的处理机构。
3.1.2项目产品的关键技术内容
由前面的论述可以看出,任何单一的安全部件都只能实现一定程度的安全,任何单层次的结构所保障的安全也都是极其有限的,只有把他们有机的结合在一起,使他们互为依托,互相补充,才能实现系统的真正安全,基于此,提出了立体防御系统,其结构组成如图7所示。
图7 立体防御系统结构图
整个系统由三大部分组成:
外围防火墙系统由主防火墙和主机防火墙组成,中间为系统的核心,由分布式入侵检测系统组成,其具体结构及工作原理将在后面的入侵检测预警模型中进行详细的阐述,内层信息及综合决策系统由信息数据库、中央决策控制器及受保护主机上的单机信息库构成。
由此看出,通过外围防火墙的拦截,中部分布式入侵检测系统的实时及非实时的监测,内部信息及综合决策系统的全局布局决策,使得各种安全部件能够最大程度地发挥其性能,从而使整个系统成为一个全方位、多层次的立体防御系统。
3.2结构阐述
3.2.1 防火墙系统
整个系统通过主防火墙与Internet 相连,利用主防火墙,可对来自外部的大多数攻击进行防范,在子网内部,有一般用户和受保护主机,后者多为一些重要的服务器,是重点保护的对象。受保护服务器通过主防火墙与内部子网相连。 主机防火墙的功能主要为:
(1) 因为主机防火墙是直接面向受保护主机的,因此可对它进行更具体,更有针对性的
配置,从而对通过主防火墙的数据包进行再过滤,减少可能发生的攻击,从这个意义上来说,主防火墙相当于宏观上的调控,而主机防火墙相当于微观上的调控。
(2) 防止来自内部的攻击,根据调查,大部分的攻击都来自网络内部,因此主机防火墙
的设置是非常有意义的,因此,通过对主机防火墙的设置,可对不同的内部用户赋予不同的访问权限,从而大大提高系统的安全性。
主防火墙与主机防火墙的另一个重要作用在于可过滤掉大量无用的数据,减少传递给入侵检测系统及信息数据库的无意义流量,这对减轻整个系统的负荷,防止DOS(拒绝服务)攻击有着重要的意义,其中主机防火墙只是逻辑上的结构,它完全可以合并在受保护主机上,从而降低系统的成本。
3.2.3信息及综合决策系统
如前面提到的,信息及综合决策系统由信息数据库和中央决策控制器及各受保护主机上的单机信息库组成构成。
信息数据库是整个系统的日志数据汇总中心,负责将网络中所有的预警、故障、事务日志进行汇总,并按照统一的格式保存入数据库。在网络管理员进行检查时,负责将所有的数据分类统计,并作出各种报告,以协助管理员对网络进行更为完善的配置。
中央决策控制器负责对汇总后的信息进行分析,从而能发现单机无法发现的可能入侵(如对多个服务器的并行扫描),当确定有入侵且危害较大时,中央决策及控制器则采取紧急措施,如通过对防火墙的配置来阻断连接,对未被入侵的主机进行屏蔽,从而防止危害的扩大,同时记录入侵过程,可同时收集入侵证据,同时还可以根据入侵的危害及范围通过各种方式向管理员发出不同级别的报警信息;另一方面,管理员可通过它对各防火墙进行配置,对单机信息库进行更新,从而便于整个系统的维护和管理。
单机信息库储存了所对应受保护主机的状态信息,模式信息,是各分布式Agent的决策依据,因为对不同的主机而言,这些信息有着很大的差别,因此设立单机信息库是非常有必要的。
由上面分析可看出,以上各个部分紧密联系,相互配合,成为一个不可分割的整体。在极大的保证了系统的安全性、可靠性和高性能的同时,兼顾了系统的可用性、易用性,同时由于采用了基于Agent的分布式的体系结构可以很容易地添加受保护主机,大大的增强了系统的可扩展性。通过对防火墙的配置和对单机信息库的更新,对Agent功能的增强,使得增加新的功能非常容易,从而保证了整个系统有着很好的可扩充性。
3.1.3项目产品的技术创新点
传统的集中式入侵检测技术的基本模型是在网络的不同网段中放置多个传感器或探测器用来收集当前网络状态信息,然后这些信息被传送到中央控制台进行处理和分析,或者更进一步的情况是,这些传感器具有某种主动性,能够接收中央控制台的某些命令和下载某些识别模板等。
这种集中式模型具有几个明显的缺陷。首先,面对在大规模、异质网络基础上发起的复杂攻击行为,中央控制台的业务负荷将会达到不可承受的地步,以致于无法具有足够能力来处理来自四面八方的消息事件。其次,由于网络传输的时延问题,到达中央控制台的数据包中的事件消息只是反映了它刚被生成时的环境状态情况,已经不能反映可能随着时间已经改变的当前状态。这样,在集中式模型的系统中,想要进行较为完全的攻击模式的匹配就已经非常困难,更何况还要面对不断出现的新型攻击手段。
华夏网络的分布式的入侵检测系统将解决这个问题。通过将入侵检测系统的信息采集和处理功能部分分布到多台机器上,经本地处理后,将可疑的单机无法处理的数据传输给入侵检测系统的中心决策系统,在中心决策系统对信息进行综合后作出响应。这样,大大减少了网络中传输的数据量,使网络负担大大减轻,同时极大地增强了系统的鲁棒性。
基于这种想法,华夏网络提出了基于网络入侵检测的预警模型。IDS预警系统的体系结构和实现方法如图8所示:
信 息 数 据 库 主机IDS处理 行为模 式确定 模式匹配及行为模式判断 模式库 数据收集器 数据源
数据源 数据源
图8 单机上的预警子模块
整个安全防护体系中,分布于各主机的入侵检测系统模块对所负责的主机上的信息数据进行监控和审查,将可疑的信息和数据收集之后,交给下面的数据分析系统进行分析,提取这些受到怀疑的信息的特征,并将这些特征信息加以归纳和总结,然后将产生出的对这些信息的结果提交给系统中的模式库和模式匹配系统(模式库存于单机子信息中);模式匹配系统的任务就是根据数据分析系统送来的经过处理后的信息在模式库中进行查找匹配;如果模式匹配系统发现信息处理系统送来的信息和库中某一攻击模式匹配,一方面,模式匹配系统会将入侵模式匹配的信息交给规则响应系统,规则响应系统就会根据收到的信息,在自己的规则库进行查找,根据相应的规则作出响应动作,响应动作一方面根据需要阻止入侵行为;另一方面模式匹配系统还会将入侵模式匹配和报警信息提交给信息数据库。
以上功能是由各主机上的Agent来完成的。数个这样的Agent形式的预警子模块组合起来就形成了基于入侵检测的全局预警模型,如图9所示:
图9 基于入侵检测的全局预警模型
单独看来,每个Agent都是一个独立的基于主机的入侵检测系统,而从整体看来,它又是分布式入侵检测系统的一个结点,和中央决策及控制器一起完成网络入侵检测系统的功能。 同时,应建立一整套具有以下特性的入侵检测专用描述形式及标准以适应各种入侵检测信息的定义、传输以及处理:
(1)通用性:对简单的和复杂的入侵行为都有能力描述。 (2)可移植:适用于不同结构的IDS系统。
(3)可扩展:无论不可预料的新型入侵检测信息还是复杂IDS系统,都可以保证描述的准确性。
(4)自关联:能描述简单入侵和复杂入侵之间的关系。
从而使得防火墙、IDS及信息数据库之间能更迅速的更准确地进行数据传输,提高整个系统的效率。
3.1.4项目产品的技术来源、合作单位情况;项目产品知识产品产权的归属情况
3.1.5项目产品的主要技术性能指标与国内、外同类产品技术指标的比较 3.2项目的成熟性和可靠性论述 3.2.1项目的成熟性论述