入侵检测在存储区域网中的应用
开篇:润墨网以专业的文秘视角,为您筛选了一篇入侵检测在存储区域网中的应用范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
【 摘 要 】 从SAN(存储区域网)的安全隐患出发,分析了SAN在应用环境中受到的三种典型威胁。结合现行的入侵检测技术给出一个可行的解决方案。
【 关键词 】 入侵检测;SAN;IDS
【 中图分类号 】 TP393
Intrusion Detection in the Storage Area Networks Application
Xie Jun
(Taizhou Vocational School of Mechanical & Electrical Technology JangsuTaizhou 225300)
【 Abstract 】 From SAN ( storage area network ) safety set out, analysed SAN in the application environment are three typical threat. Combined with the current intrusion detection technology is a feasible solution.
【 Keywords 】 Intrusion detection; SAN;IDS
0 引言
随着网络技术的不断发展,高效安全的信息存储与传输已经成为网络经济发展必不可少的特性。由于黑客入侵、内部人员泄密、管理员权限的滥用等原因,很容易发生文件或资料丢失泄漏,由此造成的重大后果将是无法弥补的,通过安全存储技术的应用,在相当程度上能够有效地防止此类事件的发生,避免由于资料泄漏所造成的严重损失。本课题是以当前网络存储的主要结构SAN(存储区域网络)作为基础架构设施来进行实例分析提出安全对策。
1 SAN的安全隐患
SAN(Storage Area Networks,存储区域网)是一种高速的专用存储子网,这个子网中的设备可以从主网中卸载流量。通常SAN 由RAID 阵列等存储设备和服务器通过光纤通道连接组成。而网络存储带来高性能、高开放性的同时,也对安全性提出了新的挑战。由于其上数据的价值和集中性,使网络存储资源逐渐成为黑客们攻击的重点。
根据存储网络的体系结构一般说来,在不同范围存在三个危险区:系统/连接(外网)、存储结构(内网)、子系统/介质(介质)。SAN 在应用环境中受到的典型威胁的具体内容和危害性可分为三类。
第一类出现在服务器与存储区域网或存储阵列设备的连接处。攻击者通过盗用服务器的合法地址实施两方面的攻击,一是访问超出它访问权限的数据;二是修改SAN 交换机的配置信息,影响存储区域网中合法用户对数据的正常操作。
第二类出现在SAN交换机之间的连接处。当一个未经认证的SAN 交换机加入到现有交换机阵列中来时,攻击者可通过该交换机非法获取数据,也能获得整个存储区域网的配置信息。
第三类出现在服务器与存储阵列之间,当FC交换通过软分区隔离时,任何非授权的服务器能突破软分区的限制,并与存储设备通信;该服务器还能通过发出大量的请求包,造成对合法用户的拒绝服务攻击。
2 入侵检测技术
防火墙系统作为网络边界的第一道安全防线,虽然在存储安全体系中发挥着重要的作用,但随着入侵技术的不断改变和提高,基于策略及静态保护的防火墙系统己经不能完全满足安全防护实际需要,这就需要智能和动态分析为基础的入侵检测系统作为辅助。入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。从网络安全的立体纵深、多层次防御的角度出发,入侵检测理应受到人们的高度重视。
2.1 入侵检测定义
入侵检测系统(Intrusion Detection System,IDS)是部署在网络的安全关键点,实时收集各种信息,根据内置的专家系统和入侵分析引擎进行分析、发现、报警、阻断潜在的攻击行为的一种网络安全设备。
2.2 入侵检测的分类
按系统结构可分为集中式入侵检测和分布式入侵检测;按待分析的数据来源将入侵检测分为基于主机和基于网络的2类;按工作方式可分为离线检测和在线检测;按检测时间可分为实时入侵检测和事后入侵检测;按照分析方法分可分为误用检测和异常检测。
2.3 入侵检测系统的工作原理
入侵检测系统通常只有一个监听端口,无需转发任何流量,而只需要在网络上主动、无声息的收集它所关心的报文,是一个典型的“窥探设备”。收集到报文后,入侵检测系统将从报文中提取相应的流量统计特征值,并利用内置的入侵知识库与这些流量特征进行智能分析、比较、匹配,根据预设的阈值,匹配耦合度较高的报文流量将被认为是进攻而发出相应的报警信号或自动进行有限度的反击。
2.4 入侵检测系统的工作流程
人侵检测的第一步是信息收集,包括网络流量的内容、用户连接活动的状态和行为。接下来是信号分析,系统将对上述收集到的信息通过模式匹配,统计分析和完整性3种技术手段进行分析。对于通过分析被认为有人侵行为的就实时记录、报警或有限度反击,作出适当的反应包括详细日志记录、实时报警和有限度的反击攻击源。
3 基于SAN的入侵检测系统
3.1 基于SAN的入侵检测系统的模块设计
入侵检测系统一般由控制台,数据库管理和数据采集与数据分析几大功能模块组成。本文的入侵检测系统将数据采集与数据分析模块的功能集中由探测器模块功能实现。方案构建根据网络流量和保护数据的重要程度,选择IDS探测器配置在服务器的交换机处放置;核心交换机放置控制台,监控和管理所有的探测器因此提供了对内部攻击和误操作的实时保护,在存储网络系统受到危害之前拦截和响应入侵。
系统主要包括控制台和主机探测器二个部分。探测器和控制台是相对独立的,探测器各自分布在服器的换机处独立工作,探测器通过网络接口和控制台通信,系统结构如图1所示。
网络探测器截获网络中的原始数据包,并从其中寻找可能 的入侵信息或其他敏感信息。
控制台实时监控所有分布在网络中的探测器,汇总各个探测器的告警信息和状态信息,并负责完成对探测器的远程配置、规则库的管理、告警信息的查阅、报表、打印以及数据库的备份等工作。
3.2 基于SAN的入侵检测系统的功能
在存储区域网中,入侵检测系统运行于存储服务器与Internet 之间,通过实时截取网络上的数据流,分析网络通讯会话轨迹,寻找网络攻击模式和其它网络违规活动。当发现网络攻击或未授权访问时,入侵检测可以进行几种反应。
1) 控制台报警。
2) 记录网络攻击事件。
3) 实时阻断网络连接。
4) 入侵检测采用透明工作方式,静静地监视本网络数据流,对网络通讯不附加任何时延。
5) 入侵检测可以过滤和监视TCP/IP协议。系统管理员通过配置入侵检测,可以按协议(TCP、ICMP)源端口,目的端口,源IP目的IP地址过滤。入侵检测可监测多种网络服务包括文件传输、远程登陆等,并且所支持的服务随着入侵检测的发展可以不断地扩展。
6) 入侵检测还支持用户自定义的网络安全事件监视。
7) 入侵检测能生成系统安全日志以利于系统安全审计并以开放数据库方式支持安全分析决策系统,从而为存储安全提供有效的保障。
4 结束语
为了解决传统存储技术无法满足各行业信息系统日益增长的数据存储需求的问题,网络存储技术应运而生,然而,存储的网络化在满足业务存储需求的同时,面临着各种各样的安全问题和安全隐患。本文对SAN存在的安全问题进行分析,并依据分析的结果,结合SAN环境和入侵检测技术设计了网络存储的安全方案。
参考文献
[1] 伍小龙,温雅敏.网络存储的安全问题与对策[N].江西理工大学报,2006,27(3).
[2] 张玉清、钱秀槟等.入侵检测系统概述[J].计算机工程与应用,2004,40(3).
[3] 蒋建国,冯登国.网络入侵检测原理与技术[M].北京:国防工业出版社,2001:185-186.
作者简介:
解俊(1977-),男,江苏泰州人,讲师;主要研究方向为计算机网络。