用入侵檢測系統(tǒng)提高安全系數(shù)

http://m.yibo1263.com　2009-7-13 8:47:17 　來源:東北IT網(wǎng) 　編輯:葉子

　　應用實例

　　下面以中科大國禎網(wǎng)絡入侵檢測系統(tǒng)為例來說明網(wǎng)絡入侵檢測系統(tǒng)的主要特性和配置方法。

　　* 分布式系統(tǒng)設計�？梢罁�(jù)不同的網(wǎng)絡拓撲結(jié)構(gòu)靈活配置整個系統(tǒng)。

　　* 檢測速度快。感應器通常能在微秒或毫秒級發(fā)現(xiàn)問題。

　　* 安全性好。系統(tǒng)各個模塊間采用先進的加密傳輸。

　　* 易于控制。系統(tǒng)由感應器、控制中心和反應單元組成。其中感應器和反應單元都是基于無人值守設計的。用戶只須在控制中心掌控整個系統(tǒng)。

　　* 智能反擊。系統(tǒng)在感應器報警后會由控制中心下達反擊命令，根據(jù)不同協(xié)議或切斷連接或數(shù)據(jù)包過濾。

　　* 數(shù)據(jù)過濾。能對特定數(shù)據(jù)包實現(xiàn)過濾，并可按用戶需求過濾一定時間。

　　* 系統(tǒng)可擴展性好。系統(tǒng)的分布式結(jié)構(gòu)設計和核心感應器的結(jié)構(gòu)設計決定了系統(tǒng)的可擴展性較好。

　　* 隱蔽性和獨立性好。感應器不像一般主機在明處，因而也不那么容易遭受攻擊。而且它不運行其他的應用程序，不提供網(wǎng)絡服務，故有利于保障網(wǎng)絡安全。

　　* 資源配置要求不高。由于使用一個檢測器就可以保護一個共享的網(wǎng)段，所以不需要很多的檢測器。但是，如果在一個交換環(huán)境下，采用分接器（Tap），將其接在所有要檢測的線路上。還有，感應器不占用被保護資源。

　　* 容易捕獲證據(jù)。網(wǎng)絡入侵檢測系統(tǒng)基于正在發(fā)生的網(wǎng)絡通訊進行實時檢測，所以攻擊者無法轉(zhuǎn)移證據(jù)。且系統(tǒng)具備完善的日志記錄功能和審計功能。這樣黑客就不能靠擦除系統(tǒng)記錄來掩蓋作案痕跡了。

　　既然網(wǎng)絡入侵檢測系統(tǒng)這樣的好，那么該怎樣在具體的網(wǎng)絡環(huán)境中配置它呢？下面(圖２)以安徽國禎環(huán)保節(jié)能科技股份有限公司廠區(qū)網(wǎng)絡為例來說明。

　　該網(wǎng)絡采用1000M高速以太交換網(wǎng)。網(wǎng)絡結(jié)構(gòu)為星型分級拓撲結(jié)構(gòu)。主干交換機，即圖中一級節(jié)點，采用Cisco4006（配一個WS-X4232-L3，兩個WS-5484模塊），二級節(jié)點采用兩臺Cisco3524XL（各配一個WS-5484）交換機；接入系統(tǒng)采用CISCO2621路由器（配一個NM-8AM模塊）。采用1000BASE-SX、100 BASE-FX、100 BASE-TX標準，構(gòu)造100/1000M的網(wǎng)絡帶寬，提供到達桌面的100M連接。

　　可以看得出來，該網(wǎng)絡有一級節(jié)點一個，二級節(jié)點三個，三級節(jié)點一個。那么怎么把網(wǎng)絡入侵檢測系統(tǒng)配置在這個網(wǎng)絡中呢？

　　一般來說反應單元是置于網(wǎng)關上的，如圖所示�？刂浦行碾S意放置于內(nèi)部網(wǎng)絡方便的地方，這里把它置于中心機房。而感應器乃系統(tǒng)的靈魂所在，必須置于網(wǎng)絡流量集中的地方。否則系統(tǒng)性能將得不到保證。這里把它置于3個二級節(jié)點和1個三級節(jié)點上。

　　應用效果

　　配置好系統(tǒng)后，整個網(wǎng)絡對付攻擊的效果怎樣呢？

　　中科大國禎網(wǎng)絡入侵檢測系統(tǒng)能夠檢測到1200多種包括緩沖區(qū)溢出及拒絕服務攻擊和各種網(wǎng)絡掃描的網(wǎng)絡攻擊行為。

　　為了測試系統(tǒng)性能，我們進行了一系列攻擊測試。包括Ping of Death，SYN Flood，UDP Flood，Smurf，Unicode Attack以及使用著名的網(wǎng)絡掃描工具Nmap和Nessus以及Shadow Security Scanner產(chǎn)生網(wǎng)絡攻擊。

　　在上述攻擊中，我們的系統(tǒng)表現(xiàn)出了一個好的網(wǎng)絡入侵檢測系統(tǒng)所具備的實時高效，安全有效，日臻完善的優(yōu)點。

　　還有，在網(wǎng)絡大負載時系統(tǒng)表現(xiàn)又怎樣呢？實驗證明我們的系統(tǒng)在40M/sec的網(wǎng)絡環(huán)境中和60M/sec的網(wǎng)絡環(huán)境中表現(xiàn)依舊相當令人滿意。在90M/sec的網(wǎng)絡環(huán)境中系統(tǒng)性能有所下降，但是仍能夠檢測到60％的網(wǎng)絡攻擊。這是個尚待解決的普遍存在的問題。

　　我們提出的網(wǎng)絡安全解決方案在上面的例子中已經(jīng)展示出來了。那就是結(jié)合防火墻和網(wǎng)絡入侵檢測系統(tǒng)的優(yōu)點，在企業(yè)局域網(wǎng)絡的出入口處配置防火墻，以應對基本的外部網(wǎng)絡攻擊，在內(nèi)部網(wǎng)絡中配置網(wǎng)絡入侵檢測系統(tǒng)，以彌補防火墻的不足，并負責在內(nèi)部網(wǎng)絡中巡邏，檢測來自內(nèi)部網(wǎng)絡的攻擊。

本新聞共2頁,當前在第2頁 1 2

【收藏】【打印】【進入論壇】

·詳解入侵檢測、入侵防御和UTM

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费