军队网络入侵检测系统方案设计
开篇:润墨网以专业的文秘视角,为您筛选了一篇军队网络入侵检测系统方案设计范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘要:传统的网络安全防护已经不能完全保证军队信息化发展的需要,必须采用多种技术手段和综合措施,全方位地构建网络安全防护体系,更好、更有效、更方便地保护和管理军队信息网络资源和各种应用资源。入侵检测是网络系统安全的重要保障措施之一,作为一种积极主动的安全防护措施,提供了对内部攻击、外部攻击和误操作的实时保护,入侵检测技术的研究和应用已经成为军队网络安全的研究重点。
关键词:网络安全;入侵检测;异常检测
中图分类号:TP309文献标识码:A文章编号:16727800(2012)009015602
1军队网络入侵检测系统的需求分析
军队网络的建成,对于提高军队现代化水平具有重要意义。但是,由于军队网络涉及到军事秘密、国家安全等特殊性,必然成为众多攻击者的目标,而网络一旦被攻破,将会造成信息泄密,更严重的可能会使得整个网络瘫痪。
构造一个绝对安全的防护系统存在很大的困难:首先,系统软件和操作系统存在不同程度的漏洞;随着军队信息化建设对网络需求的日益增长,采取军队网络与外部完全隔离是不可能的;另外,组成计算机网络的关键技术TCP/IP协议本身也存在安全问题,还有许多不完善之处。
传统的网络安全体系主要从身份认证和访问控制这两个方面来保证系统的安全性。但是,随着攻击工具与手法的日趋复杂多样,单纯的防火墙策略并不能阻挡所有的入侵行为(如test.cgi和phf攻击),已经无法满足对军队网络安全的需要。含ActiveX、Java、JavaScript和VBScript的Web页面、电子邮件的附件以及带宏的Office文档等经常携带一些可执行程序,这些程序中很可能携带计算机病毒、特洛伊木马和BO等黑客工具,具有潜在危险性,系统应该能够对这些可疑目标进行检测,隔离未知应用。在内部网络上,也可能存在来自内部的一些恶意攻击,甚至可能存在来自外部的恶意入侵,安全防护体系应该能够监视内部关键的网段,扫描网络上的所有数据,检测服务拒绝袭击、可疑活动、恶意的小型应用程序和病毒等攻击,及时报告管理人员,阻止这些攻击到达目标主机。
在军队网络上采用多种技术手段和综合措施,全方位地构建军队网络安全防护体系,更好、更有效、更方便地保护和管理军队信息网络资源和各种应用资源。与此同时,军队网络管理员的工作日趋繁重,必须投入大部分的精力在网络的安全防护。因此,希望有一种安全策略,可以较为智能地保卫网络,检测到入侵的行为,以提高网络的安全可靠性并减少网络管理员的工作。入侵检测是网络系统安全的重要保障措施之一,它被认为是防火墙之后的第二道安全闸门,它对主机和网络资源的恶意攻击进行识别和响应,它不仅监测来自外部入侵行为,同时也监测内部用户的未授权行为和操作人员的误操作。入侵检测作为一种积极主动地安全防护措施,提供了对内部攻击、外部攻击和误操作的实时保护。入侵检测技术的研究和应用已经成为军队信息安全亟待解决的重要问题。
2军队网络入侵检测系统设计
作为一个完整的军队网络安全防护系统,应包括以下4个功能模块,包括以下4个部分的功能:防御、检测、调查、事后分析。
从以上可以看出,防御模块只是构筑一个综合网络防护系统的一部分。检测模块用于挖掘各类违反系统安全规则的入侵和异常行为,调查模块将检测模块所获得的数据加以统计和智能分析,并确认当前所发生的有关入侵企图,事后分析模块将类似的行为加入模式库,抵制后续类似的入侵行为。其中,检测、调查、事后分析即可以构筑一个完整的军队网络入侵检测系统。
结合以上功能模块的实现,具体将军队网络入侵检测系统分为以下几部分工作来完成,系统框架如图1。
数据源一般情况下可分为基于主机的和基于网络的。基于主机的包括审计纪录、系统日志、应用日志、对象信息;基于网络的主要是TCP/IP网络数据包;以及其它网络操作可视行为。入侵检测通过这些数据实施检测和智能分析。下面主要以基于网络数据的采集为例来介绍:Libnet是一个用于网络程序开发的C语言库文件,提供了一个创建底层网络包编写与处理的框架。它包含在链路层和IP层开发Packet的一系列功能。Libnet提供的接口函数主要实现和封装了数据包的构造和发送过程。该库提供的C函数接口可用于需要捕获经过网络接口(只要经过该接口,目标地址不一定为本机)数据包的系统开发上。基于BSD包过滤器(BPF)的Libpcap提供的接口函数主要实现和封装了与数据包截获有关的过程。Libnids提供的接口函数主要实现了开发网络入侵检测系统所必须的一些结构框架。它是在前面介绍的两种C函数接口库Libnet和Libpcap的基础上开发的,封装了开发NIDS所需的许多通用型函数。Libnids提供的接口函数监视流经本地的所有网络通信、检查数据包等。除此之外,还具有重组TCP数据段、处理IP分片包和监测TCP端口扫描的功能。
入侵检测从分析引擎所采用的技术来说,可以分为误用检测和基于特征的检测两大类。基于特征的检测搜索审计事件数据,察看其中是否存在预先定义的特征模式;异常检测提取正常模式审计数据的数学特征,检查事件数据中是否存在与之相背的异常模式。在本系统中采用一个基于Agent的入侵检测系统数据分析结构,如图2。
(1)入侵信息处理模块。包括数据接收、数据处理和上传接口,用于对各个Agent报告的入侵信息进行处理后提交给控制中心。
(2)管理模块。包括数据库、检测模型库、模型生成、Agent管理、Agent控制等组件。主要功能是根据各个Agent收集的系统运行数据和控制中心的指令,协调和管理Agent的运行状态。
响应和恢复机制也是我们初步设想的方案之一,它是为了在必要时采取果断措施,终止入侵行为,启动灾难恢复系统,力争将损失减少到最小。同时,各个部分工作时产生的所有记录都将存入系统的审计数据库中,这样就更方便了网络管理员进一步研究和解决问题。
3功能应用
作为入侵监测系统的分析系统、数据库存贮系统和控制台等几个部分我们既可以用一台服务器,也可以将几个部分分布在不同的服务器上。对于基于主机的数据采集部分,分别放在网管中心的各个服务器上;对于基于网络的数据采集部分,应用入侵检测的检测器,将一个检测器放在防火墙的外面,另一个检测器放在防火墙的里面。当然,如果有必要的话,还可以将监测系统分布在内部网的其它主机上。
4性能分析
本系统可以对网络入侵进行动态实时检测,对信息系统和信息资源实施安全保护。检测内容主要有:①网络运行状态监视;②可疑用户跟踪;③黑客及其行为记录;④攻击模式研究;⑤对攻击目标按安全级别进行保护;⑥实时阻截攻击行为;⑦网络攻击诱骗技术。
更多的检测入侵攻击将在下一步应用阶段加以不断补充和完善。随着军队网络入侵检测系统的研究和应用的不断深入,入侵检测系统必将成为军队网络安全防护体系的重要部分,在军队信息化建设中发挥重要作用。
参考文献:
[1]牛承珍.关于入侵检测技术及其应用的研究[J].软件导刊,2010(9).