入侵检测技术与网络安全规划研究

  • 格式:pdf
  • 大小:174.41 KB
  • 文档页数:4

第21卷第3期 2002年9月 飞行器测控学报 Vo1.21 NO.3 Sep.2002 

入侵检测技术与网络安全规划研究 

党翠芳 赵辉 王 涛 

(63921部队・北京・100094) 摘 要 本文主要论述网络攻防技术,分析了计算机网络通信中易受攻击的关键节点,论述了网 络攻击检测的方法,在此基础上,提出了网络安全策略。 关键词 计算机技术;信息系统;网络安全策略 

刖 吾 网络空间,是信息时代的产物。在信息系统的研制开发过程中,安全性越来越受到人们的重视。计算 机信息系统的安全保密性不仅是保证系统可靠工作的实际要求,也是系统赖以生存的前提和条件。尤其 对国家重要部门而言,其内部网络一般存储有高度机密或高度敏感的信息,如若出现泄密或被破坏,可能 会造成极其严重的后果和损失,其网络安全问题已成为系统是否成功与可用的重要标志,因此,保护网络 高安全性尤其重要。 在目前的网络安全工具中,入侵预防工具如防火墙无疑是保护内部网络的有效手段,但是,仅仅使用 防火墙保障网络安全是远远不够的,因为第一,入侵者可以寻找防火墙背后可能敞开的后门或者入侵者已 通过防火墙的防护进入网络内部;第二,防火墙完全不能阻止内部袭击;第三,防火墙通常没有实时入侵检 测能力;第四,防火墙对于病毒束手无策。所以,我们不但需要采用防火墙等网络安全工具在网络边界保 护内部网络的安全,而且需要研究高可靠的实时入侵检测工具来提高网络的安全级别,并对网络的安全性 进行评估。 

1 网络攻防手段初探 目前网络攻击的手段形形色色,但从根本上说都是利用网络中存在的各种缺陷和漏洞。攻击网络的 一方总在想尽办法蒙骗网络服务器,开辟数据通道,获得相关数据与资料,最后毁灭入侵痕迹。而网络管 理者总是在千方百计地堵住后门,关闭非正常数据通道,同时监控非正常数据的流量和路径,跟踪IP和接 入(攻击)端口,找到入侵者的下落,并采取相应措施。因此,了解网络系统可能存在的缺陷和黑客的攻击 手段,有助于建立全面的网络安全体系。 下面对一些初级黑客的攻击技法进行剖析并给出防卫方法。 1.1 寻找系统的漏洞和“后门” 操作系统和网络软件不可能100%的无缺陷和漏洞,大部分黑客往往利用这些缺陷和漏洞攻入网络 内部。另外,软件的”后门”通常是软件公司编程人员为了自便而设置的,一旦被黑客掌握,造成的后果将 不堪设想。 防卫的方法是:勤升级系统,勤打补丁文件1 1.2 利用UNIX操作系统提供的缺省帐户 许多主机都有ftp和guest等帐户,有的帐户甚至没有口令。黑客用UNIX操作系统提供的命令如 finger和ruser等收集信息,然后进行攻击。 

・收稿日期:2002—04—11

 维普资讯 http://www.cqvip.com 52 飞行器测控学报 第2l卷 防卫的方法是:加强口令管理,将UNIX系统中类似finger的服务关闭。 1.3利用信息协议的弱点 在一些网络协议中,IP源路径选项允许IP数据报告自己选择一条通往目的主机的路径(这是一个非 常不好但又无可奈何的技术手段,多路径正是网络连接的精髓部分)。攻击者可以利用这一弱点绕过防火 墙访问内部主机。 防卫的方法是:经常查看内部主机的访问记录,当发现伪装的IP地址或者不明来源的指令,以及特殊 时段的访问记录时,最好更换一个防火墙,同时加强IP地址的管理工作。 1.4利用正常渠道 当有些表面看来无害的数据被邮寄或复制到Internet主机上,并被执行发起攻击时,就会发生数据驱 动攻击。 防卫的方法是:对于来历不明的数据要非常小心,首先进行杀毒或者程序编码辨证。对于自己不知道 来源的邮件,如果大小超过30k最好马上清除。 1.5偷取特权 攻击者利用”特洛伊木马”程序、网络监听或者缓冲区溢出程序都有可能得到系统的特权,从而对系统 发起攻击。 目前在允许TELNET的情况下,还没有一个完全有效的阻止攻击的办法,只能期待技术的发展。 1.6利用系统管理员的失误 系统中的大部分安全隐患是由配置文件、访问控制文件和缺省初始化文件产生的。人为的失误(如 www服务器系统的配置差错,扩大普通用户使用权限,管理口令设置不当且长时间不进行更换等),都 给黑客造成了可乘之机。黑客常利用系统管理员的失误收集攻击信息。 防卫的方法是:加强工作人员的管理,提高工作责任心,搞好网络配置。 1.7假冒和篡改信息 由于掌握了数据的格式,通过篡改信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取敏感 的信息和有用的密码,而远端用户通常很难分辨。 防卫的方法是:从”内部”查找原因,特别是知道屏蔽IP地址和该系统路由器情况的人员,应该被列入 重点怀疑对象。 收集特定的IP包,篡改其数据,然后再一一重新发送,欺骗接收的主机。 防卫的方法是:加强内部人员管理,因为在现在的条件下,拦截数据还是一件非常困难的事情,除非是 知道攻击对象的IP地址和路由路径。 需要强调的是:在入侵者攻破系统后,经常会删除系统运行日志,以防被系统管理员发现。很多黑客 还会在系统的不同地方留下各种”标志”和”后门”,方便以后常来常往。所以,如果发生了入侵事件,应该 彻底检查系统,甚至不惜代价,将系统重新安装1 

2 网络通信中易受攻击的关键节点防护 根据”黑客”对计算机系统的攻击主要采用的策略和技术,可以在网络中易受攻击的关键节点上,如网 关、交换机、路由器、服务器和桌面等处采取某些措施,保证网络安全。 例如,在网络的关键位置设置防火墙,并控制进出网络的信息流向,提供网络使用状况和流量的日志 和审计记录,隐藏内部IP地址及网络结构的细节;在接人处安装基于Internet网关的防病毒软件,具体可 安装到Mail Server、web Server、DNS Server等代理服务器上,以防止来自Internet的病毒和恶意Java 程序的破坏;在信息系统内的主要服务器上安装基于主机的防病毒软件,防止内部用户通过服务器扩散病 毒;在终端上安装基于PC的防病毒软件等。另外,在一些关键的服务器或终端上要安装实时入侵检测系 

统,实时监测网络流量,扫描整个网络的安全漏洞,一旦发现问题,立即采取行动,如采取中断链接等方式 维普资讯 http://www.cqvip.com 第3期 党翠芳等:人侵检测技术与网络安全规划研究 保护网络的安全。 

3入侵检测和漏洞检测技术 入侵检测和漏洞检测技术是近年来出现的新型网络安全技术,是计算机网络系统安全解决方案中非 常重要的部分,可以弥补防火墙的不足,极大地提高整个系统的安全性能。它不但可以实现复杂烦琐的信 息系统安全管理,而且还可以从目标信息系统和网络资源中采集信息,分析来自网络外部和内部的入侵信 号和网络系统中的漏洞,有时还能实时地对攻击作出反应,如记录证据用于跟踪和恢复、断开网络连接等。 入侵检测系统可以对系统或网络资源进行实时检测,分析用户和系统的行为,对异常行为进行统计, 及时发现闯入系统或网络的入侵者,也可预防合法用户对资源的误操作。入侵检测系统一直在系统的后 台运行,通过对系统或网络日志分析,获得系统或网络目前的安全状况,当检测到非法或值得怀疑的行为 时,及时报告给系统或网络管理员,并自动采取躲避措施。 入侵检测系统主要包括基于主机的入侵检测系统和基于网络的入侵检测系统。初期多以基于主机的 入侵监测研究为主,即在每个要保护的主机上运行一个代理程序。此代理程序以计算机主机作为目标环 境,只检测系统局部范围的用户对此主机的访问,因此检测方法比较简单。随着[nternet的发展,基于网 络的攻击日益增多,基于主机的入侵检测系统已不能够胜任入侵检测任务,因此,入侵检测发展为目前的 基于网络的入侵检测。 基于网络的入侵检测系统是通过连接在网络上的站点捕获网上的包,并分析其是否具有已知的攻击 模式或将引起网络系统异常,以此来判别是否为人侵者。它相对于其它网络安全工具的优势在于:侦测速 度快,实时性好;网络上的监测器不易遭受攻击,隐蔽性好;视野更宽,既可以在网络的边缘上制止攻击,同 时也可以在内部网络中进行巡查。 网络入侵检测实际上也是一种信息识别与检测技术。网络入侵活动的实际体现就是数据包,它作为 信息输入到检测系统之中。检测系统对其进行分析和处理之后,得到的就是网络入侵的判断。入侵检测 可分为异常检测和滥用检测。两种检测手段各有自己的优势,当两者结合使用时,能得到更好的效果。此 外,应用在网络入侵的实时检测上时,算法必须足够快,至少应能匹配目前一般的网络速度。从实用的角 度看,算法还必须易于扩充,使得新的攻击方法出现时,能够方便迅速地更新检测手段。 网络入侵实时检测技术主要有基于统计和基于规则两种: 基于统计的入侵检测技术是依赖于系统内在的统计规律进行入侵检测的。一般情况下,正常的网络 操作在一定时间中总存在着内在的统计规律。例如固定时间内,发向一个特定服务器的SYN数据报数 目应小于一定限度;一个固定用户键盘输入的频率和习惯在相当的时间内应保持不变,如果有明显改变, 则有可能是帐户被盗用。这种检测手段包括的内容有:统计数据测量点的选取,统计数据的分析和入侵判 断以及自学习特性。相对于其他检测方法,基于统计信息的检测方法具有占用内存和CPU时间较少,运 算速度较快的特点,比较适于实时应用。此外,它对未知攻击手段也能起到一定的检测作用。 基于规则的入侵检测技术具有易于扩充和判断准确的优点。它采用人工智能的方法,把已知的攻击 手段抽象成一条条的推理规则,构成一棵判决树。然后,所有的网络活动都经过特征提取,最后输入到专 家系统之中得到判决结果。采用状态索引的判决树,当发生新的网络事件时,就只需根据小的判决树就可 以进行识别,因此提高了检测速度。但这种方法也存在相应的不足:(1)由于规则库必须事先定义好,因此 只能对己知的攻击手段进行检测;(2)CPU和内存占用仍然相对较高。通过与基于统计的方法结合使用 以及对算法的优化可使得实时检测系统性能有所改善。 漏洞检测系统可以对重要计算机信息系统进行检查,发现其中可被黑客利用的漏洞。主要有基于主 机的检测和基于网络的检测两种方式。基于主机的漏洞检测系统采用被动的、非破坏性的办法检测系统 的内核、文件的属性、操作系统的补丁等问题,对系统中不合适的设置、脆弱的口令以及其他同安全规则相 

抵触的设置(配置)进行检查,因此,可以非常准确地定位系统存在的问题,发现系统漏洞。它的缺点是与 维普资讯 http://www.cqvip.com 54 飞行器测控学报 第21卷 平台相关,升级复杂。基于网络的漏洞检测系统采用主动的、非破坏性的办法来检验系统是否有可能被攻 击崩溃。它利用一系列的脚本对系统进行攻击,并记录它的反应,然后对结果进行分析,从而发现其中的 漏洞。漏洞检测的结果实际上就是系统安全性能的一个评估,它指出了哪些攻击是可能的,因此成为安全 方案的一个重要组成部分。 

4 网络安全策略 计算机网络安全策略包括计算机本身的物理安全和网络安全两方面。 4.1物理安全策略 物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件和通信链路免受自然灾害、人为 破坏和搭线攻击;验证用户的身份和使用权限,防止用户越权操作;确保计算机系统有一个良好的电磁兼 容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。 其中”电子干扰”是威胁计算机安全的最重要的因素。因为任何计算机设备尤其是显示器都有电磁泄 露,通过合适的设备可以收到目标显示器上的信息,所以明文显示时就无密可言了。采取的防护措施主要 有:加装一个射频信号干扰器以有效防止显示器信号泄露。 4.2网络安全策略 网络安全技术涉及的内容是非常广泛的,主要包括以下几个方面: ●内外网络尽量隔离。确实需要连接时必须有相应的安全连接措施,例如采用防火墙、安全路由器、 保密网关等进行隔离。以保证内部关键信息资源的安全; ●加强网络访问控制。对用户名、口令及用户权限进行严格验证,合法才允许进入网络,否则,用户将 被拒之于网络之外。其中用户口令是用户入网的关键所在,必须经过加密。 ●利用加密技术传输信息。涉及保密的信息在网上传输时不以明文形式出现,以防信息被拦截、读取 甚至破坏。 ●网络和网络安全设备要经受住相应的安全测试。 ●正确配置网络服务器,确保网络服务器的安全。 ●确保操作系统及网络软件的安全。 ●确保客户端的安全。首先,应该切断病毒的传播途径,尽可能地降低感染病毒的风险;其次,使用现 成浏览器必须确保浏览器符合安全标准。 在网络安全中,除了采用上述技术措施之外,加强网络的安全管理,制定有关规章制度,对于确保网络 的安全、可靠运行,将起到十分有效的作用。网络安全管理包括确定安全管理等级和安全管理范围、制订 有关网络操作使用规程和人员出入机房管理制度和制定网络系统的维护制度和应急措施等。