當(dāng)前位置 : 首頁>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>黑客攻防>正文

用入侵檢測系統(tǒng)提高安全系數(shù)

http://m.yibo1263.com　2009-7-13 8:47:17 　來源:東北IT網(wǎng) 　編輯:葉子

　　應(yīng)用實例

　　下面以中科大國禎網(wǎng)絡(luò)入侵檢測系統(tǒng)為例來說明網(wǎng)絡(luò)入侵檢測系統(tǒng)的主要特性和配置方法。

　　* 分布式系統(tǒng)設(shè)計�？梢罁�(jù)不同的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)靈活配置整個系統(tǒng)。

　　* 檢測速度快。感應(yīng)器通常能在微秒或毫秒級發(fā)現(xiàn)問題。

　　* 安全性好。系統(tǒng)各個模塊間采用先進(jìn)的加密傳輸。

　　* 易于控制。系統(tǒng)由感應(yīng)器、控制中心和反應(yīng)單元組成。其中感應(yīng)器和反應(yīng)單元都是基于無人值守設(shè)計的。用戶只須在控制中心掌控整個系統(tǒng)。

　　* 智能反擊。系統(tǒng)在感應(yīng)器報警后會由控制中心下達(dá)反擊命令，根據(jù)不同協(xié)議或切斷連接或數(shù)據(jù)包過濾。

　　* 數(shù)據(jù)過濾。能對特定數(shù)據(jù)包實現(xiàn)過濾，并可按用戶需求過濾一定時間。

　　* 系統(tǒng)可擴(kuò)展性好。系統(tǒng)的分布式結(jié)構(gòu)設(shè)計和核心感應(yīng)器的結(jié)構(gòu)設(shè)計決定了系統(tǒng)的可擴(kuò)展性較好。

　　* 隱蔽性和獨立性好。感應(yīng)器不像一般主機(jī)在明處，因而也不那么容易遭受攻擊。而且它不運(yùn)行其他的應(yīng)用程序，不提供網(wǎng)絡(luò)服務(wù)，故有利于保障網(wǎng)絡(luò)安全。

　　* 資源配置要求不高。由于使用一個檢測器就可以保護(hù)一個共享的網(wǎng)段，所以不需要很多的檢測器。但是，如果在一個交換環(huán)境下，采用分接器（Tap），將其接在所有要檢測的線路上。還有，感應(yīng)器不占用被保護(hù)資源。

　　* 容易捕獲證據(jù)。網(wǎng)絡(luò)入侵檢測系統(tǒng)基于正在發(fā)生的網(wǎng)絡(luò)通訊進(jìn)行實時檢測，所以攻擊者無法轉(zhuǎn)移證據(jù)。且系統(tǒng)具備完善的日志記錄功能和審計功能。這樣黑客就不能靠擦除系統(tǒng)記錄來掩蓋作案痕跡了。

　　既然網(wǎng)絡(luò)入侵檢測系統(tǒng)這樣的好，那么該怎樣在具體的網(wǎng)絡(luò)環(huán)境中配置它呢？下面(圖２)以安徽國禎環(huán)保節(jié)能科技股份有限公司廠區(qū)網(wǎng)絡(luò)為例來說明。

　　該網(wǎng)絡(luò)采用1000M高速以太交換網(wǎng)。網(wǎng)絡(luò)結(jié)構(gòu)為星型分級拓?fù)浣Y(jié)構(gòu)。主干交換機(jī)，即圖中一級節(jié)點，采用Cisco4006（配一個WS-X4232-L3，兩個WS-5484模塊），二級節(jié)點采用兩臺Cisco3524XL（各配一個WS-5484）交換機(jī)；接入系統(tǒng)采用CISCO2621路由器（配一個NM-8AM模塊）。采用1000BASE-SX、100 BASE-FX、100 BASE-TX標(biāo)準(zhǔn)，構(gòu)造100/1000M的網(wǎng)絡(luò)帶寬，提供到達(dá)桌面的100M連接。

　　可以看得出來，該網(wǎng)絡(luò)有一級節(jié)點一個，二級節(jié)點三個，三級節(jié)點一個。那么怎么把網(wǎng)絡(luò)入侵檢測系統(tǒng)配置在這個網(wǎng)絡(luò)中呢？

　　一般來說反應(yīng)單元是置于網(wǎng)關(guān)上的，如圖所示�？刂浦行碾S意放置于內(nèi)部網(wǎng)絡(luò)方便的地方，這里把它置于中心機(jī)房。而感應(yīng)器乃系統(tǒng)的靈魂所在，必須置于網(wǎng)絡(luò)流量集中的地方。否則系統(tǒng)性能將得不到保證。這里把它置于3個二級節(jié)點和1個三級節(jié)點上。

　　應(yīng)用效果

　　配置好系統(tǒng)后，整個網(wǎng)絡(luò)對付攻擊的效果怎樣呢？

　　中科大國禎網(wǎng)絡(luò)入侵檢測系統(tǒng)能夠檢測到1200多種包括緩沖區(qū)溢出及拒絕服務(wù)攻擊和各種網(wǎng)絡(luò)掃描的網(wǎng)絡(luò)攻擊行為。

　　為了測試系統(tǒng)性能，我們進(jìn)行了一系列攻擊測試。包括Ping of Death，SYN Flood，UDP Flood，Smurf，Unicode Attack以及使用著名的網(wǎng)絡(luò)掃描工具Nmap和Nessus以及Shadow Security Scanner產(chǎn)生網(wǎng)絡(luò)攻擊。

　　在上述攻擊中，我們的系統(tǒng)表現(xiàn)出了一個好的網(wǎng)絡(luò)入侵檢測系統(tǒng)所具備的實時高效，安全有效，日臻完善的優(yōu)點。

　　還有，在網(wǎng)絡(luò)大負(fù)載時系統(tǒng)表現(xiàn)又怎樣呢？實驗證明我們的系統(tǒng)在40M/sec的網(wǎng)絡(luò)環(huán)境中和60M/sec的網(wǎng)絡(luò)環(huán)境中表現(xiàn)依舊相當(dāng)令人滿意。在90M/sec的網(wǎng)絡(luò)環(huán)境中系統(tǒng)性能有所下降，但是仍能夠檢測到60％的網(wǎng)絡(luò)攻擊。這是個尚待解決的普遍存在的問題。

　　我們提出的網(wǎng)絡(luò)安全解決方案在上面的例子中已經(jīng)展示出來了。那就是結(jié)合防火墻和網(wǎng)絡(luò)入侵檢測系統(tǒng)的優(yōu)點，在企業(yè)局域網(wǎng)絡(luò)的出入口處配置防火墻，以應(yīng)對基本的外部網(wǎng)絡(luò)攻擊，在內(nèi)部網(wǎng)絡(luò)中配置網(wǎng)絡(luò)入侵檢測系統(tǒng)，以彌補(bǔ)防火墻的不足，并負(fù)責(zé)在內(nèi)部網(wǎng)絡(luò)中巡邏，檢測來自內(nèi)部網(wǎng)絡(luò)的攻擊。

本新聞共2頁,當(dāng)前在第2頁 1 2

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

·詳解入侵檢測、入侵防御和UTM

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费