《协同网络安全防御系统》由会员分享,可在线阅读,更多相关《协同网络安全防御系统(58页珍藏版)》请在金锄头文库上搜索。
1、北京邮电大学硕士学位论文协同网络安全防御系统姓名:景晓晖申请学位级别:硕士专业:计算机科学与技术指导教师:白中英20030101毕业论文协同网络安全防御系统第一章绪论1 1 网络信息安全技术的现状与发展随着信息技术的飞速发展和网络应用大规模的普及展开,企业的信息化程度日益提高,人们对信息技术和信息系统的依赖性不断增强;但近年来,黑客入侵网络也日益猖獗,对社会带来了不同程度的危害,甚至给企业造成了巨大的经济损失。所以网络信息安全日渐成为突出的问题。面对这个问题,国内外厂商纷纷推出各种具有自不同特点和用途的安全产品,包括网络隔离系统、传输加密、入侵检测、漏洞扫描、安全评估、设计跟踪、数字证书、访问
2、控制和病毒防杀等。目前国内网络安全产品相对单一化,各种日志分散、繁杂,单从技术角度来看安全管理困难的问题是非常突出的。因为各类不同的安全设备实现不同的安全功能,而这些设备要分别采用各自不同的软件和方法进行配置和管理,如:网络隔离系统设备需要由厂商提供的专用配置管理软件进行管理,而入侵检测系统的管理要采用厂商的另一种控制端软件实现系统状态监控。因此,安全管理员如果要实现一个整体安全策略需要对不同的设备进行配置,并对不同设备的日志和报警信息进行管理,难度较大,特别是策略需要调整时,根难考虑周全和达到全局一致性。事实上,信息系统的安全问题即使在技术的层面上也绝非如安装网络隔离系统那么简单,而是需要综
3、合考虑入侵检测系统、漏洞扫描系统、审计跟踪系统等多个要素。不可能要求每个应用系统的安全管理员都是安全专家,而且由人工做到完全管理整个系统的安全设施似乎也不大现实,且不说需要对各个单独的安全要素进行静态配置和手工修改,仅仅就如何使用分布在各处的安全产品来实现一个统一的安全策略就是一个足够的挑战。另外,分散的手工配置其灵活性和时效性也根难以令人满意。所以目前无论国内外,由单一厂商开发的安全管理产品很难与其它厂商的安全产品协同工作。要保护一个网络的安全就需要一个整体的安全策略,对所使用的各种安全产品要进行统一的管理并使它们之间相互协调工作,而不能仅靠相关网络安全产品的简单集成和叠加,协同网络安全系统
4、正是为了解决这个问题而发展起来的。毕业论文1 2 现有的研究目前,国内外一些安全产品公司已经针对安全产品需要协同工作和统一管理的市场需求推出了部分解决方案。1 2 1 协同工作方面的研究鉴于入侵检测系统与防火墙的广泛使用,一些主要的防火墙生产厂商提出了自己的联动平台或接E l ,促进入侵检测系统与自己生产的防火墙之间联动操作。国外在此方面比较知名的主要有:1 1C h e c kP o i n t 公司倡导并发起的开放的O P S E C 安全联动平台O P S E CS D K 在1 9 9 7 年发布,允许第三方厂商将他们开发的产品集成到V P N 1 F i r e W a l l 1
5、、F l o o d G a t e 1 和M e t aI P 中。2 ) 安氏提出的插件技术在安氏入侵检测体系R e a l S e c u r e 上安装L i n k T r u s tC y b e r W a l l 插件,就可以安氏公司的L i n k T r u s tC y b e r W a l l 防火墙实现互动。互动的方式是R e a l S e c u r e 在配置特定事件的响应策略时,可以选择通过L i n k T r u s tC y b e r W a l l 禁止特定数据包实现访问控制。安全问题由于其特殊性,更多地需要依赖于国内产品。一些自己具有多方面安全产
6、品的国内厂商也注意到这个问题,并开始向这个方向努力。其中比较知名的厂商有:1 ) 中科网威中科网威公司的“天眼”网络入侵检测技术提供了一个开放的接口N e t p o w e rO p e n l D S ,使得防火墙可以通过调用N e t p o w e rO p c n I D S 的A P I 接口实现与入侵检测系统的联动。1 2 2 统一管理方面的研究在安全产品统一管理方面,有集中式和分布式智能代理的结构方式两种。集中式管理是安全产品管理系统传统上采用的方式,即一个控制台管理多个安全实施子系统,同时多个安全实施子系统的报警信息或反馈信息都上报给控制台进行处理和分析。这种集中式的模式有明
7、显的缺陷。如,面对在大规模、异质毕业论文网络基础上发起的复杂攻击行为,中央控制台的业务负荷将会达到不可承受的地步,以致于无法具有足够能力处理来自四面八方的消息事件,这种情况会造成对许多重大消息事件的遗漏,大大增加了漏警概率。目前国内大多数入侵检测系统都是采用这种管理方式。分布式智能代理的结构方式是现在安全产品管理方面提出了新技术,即由几个中央智能代理和大量分布的本地代理组成,其中本地代理负责处理本地事件,而中央代理负责整体的分析工作。它强调的是通过全体智能代理协同工作来分析入侵者的攻击策略,中央代理扮演的是协调者和全局分析员的角色。这种方式在解决集中式管理方式的固有缺陷方面有很大的优势,但它同
8、时也带来了其他的一些问题,如大量代理的组织和协作问题、相互之间的通信、分析任务的分配等等,而其中有些问题尚没有很好的解决办法。目前国内还没有这种管理方式的安全产品。可以看出目前安全产品的协同防御和统一管理方面还非常薄弱,还存在一些问题,一是入侵检测系统只是单纯地利用防火墙的某些阻断功能,在制定各自的安全策略时仍然是各自为政;二是无法了解网络信息,更无法利用、控制网络设备;三是要实现对各安全产品的统一管理而又要保证管理系统的实用性和工作效率比较困难。1 3 协同网络安全防御系统的目的与意义一个网络安全防御系统要将各种安全产品有机的结合起来,走标准化和开放式的道路是关键。因为这样才能实现各种安全产
9、品能够方便地集成、协同工作与动态联动,才能确保总体的安全策略能得到有效地贯彻实施。协同网络安全防御系统是结合网络管理技术采用分布式系统结构对网络内的设备和安全产品进行统一管理并使他们协同工作的安全防御系统。该系统采用目前相对成熟的网络管理技术,将安全管理与网络管理结台在一起。系统中的所有安全部件都在一个统一调度和控制框架下,协调工作,相互保护和补充,共同实现系统联防并且能在各安全部件协同的基础上实现配置、监控、报告处理、统计分析、综合审计和动态联动等。如:当入侵检测系统检测到有人攻击时,我们可以通过网络安全管理系统通知网络隔离系统,由网络隔离系统自动切断攻击源:通过获取网络资源的信息来了解网络
10、是否处于不安全状态。这样,协同网络安全系统可以毕业论文掌握全面的网络信息,协调各安全产品的安全策略,从而大大提高了该系统的抗攻击能力,具有能适用于各种网络和系统环境、可以很容易地扩充新的安全部件和可以集中化进行管理等特点。协同网络安全防御系统利用网络管理技术采用分布式系统结构将网络隔离系统、入侵检测系统和网络设备等整合在一个管理范畴内,实现了依据标准对安全产品进行统一管理,使它们相互之间协调工作,并可以容纳其他支持标准的第三方的安全产品。此系统的提出与实现必将带动安全产品领域的快速发展。第二章协同网络安全防御系统中的主要技术2 。1 网络安全技术目前各种安全组织和生产厂商发明了多种安全防护手段
11、,在网络中,最常用的安全防护工具就是网络隔离系统和入侵检测系统。这两种技术已经得到了普遍应用并取得了很好的安全防护效果,在网络安全中占有重要的地位。下面就介绍一下它们主要功能与优缺点。2 1 1 网络隔离系统网络隔离系统在网络中是一个逻辑装置,它的主要作用在于把那些不受欢迎的访问隔离在特定网络之外。通常网络隔离系统被放置于内部网络与公共网络之间,任何数据传递都必须通过网络隔离系统,网络隔离系统对这些数据进行分析、处理,并根据已经设置的安全规则判定是否允许通过。建立网络隔离系统对于保护内部网络免受来自外部的攻击有较好的防范作用,同时网络隔离系统本身具备较高的系统安全级别,可以防止非法用户通过控制
12、网络隔离系统对内网发动攻击。它主要提供以下四种服务:服务控制:确定在网络隔离系统外面和里面可以访问的I n t e r n e t 服务类型。网络隔离系统可以根据口地址和T C P 端口号来过滤通信量;可以提供代理软件,在继续传递服务请求之前接收并结实每个服务请求;或在其上直接运行服务器软件,提供相应服务,比如w 曲或邮件服务。毕业论文方向控制:启动特定的服务请求并允许它通过网络隔离系统,这些操作是具有方向性的。方向控制就是用来确定这种方向。用户控制:根据请求访问的用户来确定是否提供该服务。这个功能通常用于控制网络隔离系统内部的用户( 本地用户) 。它也可以用来控制从外部用户处进行通信量;后者
13、需要某种形式的安全验证技术。行为控制:控制如何使用特定的服务。比如网络隔离系统可以从电子邮件中过滤掉垃圾邮件:它也可以限制外部访问,使他们只能够访问本地W e b服务器中的一部分信息。网络隔离系统的优点:强化安全策略:网络隔离系统执行站点的安全策略,仅仅允许“认可的”和符合既定规则的请求通过;有效记录进出的活动:由于所有进出的信息都必须通过网络隔离系统,因此网络隔离系统非常适合监视关于系统和网络的使用信息。作为访问的唯一通道,网络隔离系统能在被保护的网络和外部网络之间进行记录。保护内部网络的隐秘性:网络隔离系统能够用来分离网络中不同的网段。防止不同网段中的信息向其他网段传播和扩散。同时防止内部
14、网络结构等信息被外界探知。保护关键部门不受到来自内部、外部的攻击,为通过I n t e m e t 与远程访问的雇员、客户、供应商提供安全通道。网络隔离系统的缺陷:不能防范不经过网络隔离系统的连接:网络隔离系统布置在内部网络与互联网的连接点上,监视内外网之间的连接。如果连接绕过网络隔离系统,网络隔离系统将无法监视这些连接,如在内部网中使用拨号方式连入外网。由于内部攻击来自内部网络,因此,网络隔离系统也不能防止在内部网络中发起的攻击行为。不能阻止来自内部的威胁:如果内部员工有意或无意地为外部入侵者对内部网络的攻击提供了方便,网络隔离系统将无法对其进行防范。不能防范网络中病毒的威胁:网络隔离系统无
15、法防止病毒感染程序或文件的传输。因为要求网络隔离系统扫描所有进来的文件、电子邮件和消息来毕业论文确定是否有病毒,会大大减低网络隔离系统的性能,是不实用的,实际中也是不可能的。2 1 2 入侵检测( I D S )入侵检测是近年来出现的新型网络安全技术,它可以弥补网络隔离系统的不足,为网络安全提供实时的入侵检测及采取相应的防护手段。入侵检测是自动监控发生在计算机系统或网络上的事件,并分析是否有入侵的迹象的过程。攻击者从互联网上访问系统、系统的授权用户试图获得他们未得到授权的其他权利等这些行为都是导致入侵的原因。入侵检测系统就是能够自动完成这些监控和分析过程的软件和硬件产品。按照监控对象不同,入侵
16、检测系统可以分为两类:基于主机的入侵检测系统和基于网络的入侵检测系统。( 1 ) 基于主机的入侵检测系统:主要用于保护运行关键应用的服务器。它通过监视与分析主机的审计记录和日志文件以及其他一些主机信息,如进程行为、内存使用情况等,来检测入侵。基于主机的入侵检测系统的优点:它可以精确地判断所监视的主机上发生的入侵事件,并可以对入侵事件立即进行反映;基于主机的入侵检测系统根据不同的操作系统来进行具体设计,做到针对不同操作系统的特点来判断应用层的入侵事件。基于主机的入侵检测系统的缺点:基于主机的入侵检测系统会占用主机资源,在服务器上产生额外的负载;基于主机的入侵检测系统可能会给运行它的主机带来额外的安全隐患。( 2 ) 基于网络的入侵检测系统:通过实时监视网络上的数据流来寻找具有网络攻击特征的活动,主要用于实时监控网络关键路径的信息监听共享网段上流经的所有分组来采集数据包,分析可疑现象。毕业论文基于网络的入侵检测系统的优点:它可以提供实时网络监视;它监视网络上流经的数据包,监视粒度更细致;系统的可移植性很强,独立与网
