论文部分内容阅读
中国科技大学研究生院 陆殿军 张强 中科院高能所计算中心 李首杰
前不久黑客大举入侵Yahoo等国内外知名网站的事件,以及国内电子商务网站不断遭黑客攻击等消息,使网站安全防范日益成为人们担忧的问题。如何才能建立一个安全而又健壮的系统,保证企业的业务能不间断地运行,入侵侦测和漏洞检测系统为我们提供了一种有效的手段,可以尽量减轻或避免这种损失,作为网络安全系统中重要的组成部分,它可以说是黑客的天敌。
入侵侦测和漏洞检测系统是网络安全系统中重要的组成部分,它不但可以实现复杂烦琐的信息系统安全管理,而且还可以从目标信息系统和网络资源中采集信息,分析来自网络外部和内部的入侵信号和网络系统中的漏洞,有的时候还实时地对攻击作出反应。
入侵侦测具有监视分析用户和系统的行为、审计系统配置和漏洞、评估敏感系统和数据的完整性、识别攻击行为、对异常行为进行统计、自动收集和系统相关的补丁、进行审计跟踪识别违反安全法规的行为、使用诱骗服务器记录黑客行为等功能,使系统管理员可以较有效地监视、审计、评估自己的系统。
漏洞检测就是对重要计算机信息系统进行检查,发现其中可被黑客利用的漏洞。这种技术通常采用两种策略,第一种是被动式策略,第二种是主动式策略。被动式策略是基于主机的检测,对系统中不合适的设置、脆弱的口令以及其他同安全规则相抵触的对象进行检查;而主动式策略是基于网络的检测,通过执行一些脚本文件对系统进行攻击并记录它的反应,从而发现其中的漏洞。漏洞检测的结果实际上就是系统安全性能的一个评估,它指出了那些攻击是可能的,因此成为安全方案中一个重要的部分。
一个健全的网络信息系统安全方案应该包括:安全效用检验、安全审记、安全技术、安全教育与培训、安全机构与程序、安全规则等内容,是一个复杂的系统工程。安全技术是其中一个重要的环节,入侵侦测和漏洞检测系统是安全技术中的核心。
一、入侵侦测
入侵侦测技术可分为五种:
1.基于应用的监控技术。主要特征是使用应用层监控传感器在应用层收集信息。随着电子商务的流行,由于这种技术可以更准确地监控用户某一应用的行为,所以也越来越受到注意,其缺点在于有可能降低技术本身的安全。
2.基于主机的监控技术。主要特征是使用主机传感器感受本系统的信息。可用于分布式、加密、交换环境中,把特定问题同特定用户联系起来。其缺点是主机传感器要和特定平台相关联,对网络行为也觉察不到,同时加大了系统的负担。
3.基于目标的技术。主要特征是针对专有系统属性、文件属性、敏感数据、攻击进程结果进行监控。这种技术不依据历史数据,系统开销小,可以准确地确定受攻击的部位,受到攻击的系统恢复容易。其缺点在于实时性较差,对目标的检验数依赖较大。
4.基于网络的监控技术。主要特征是网络监控传感器感受包监听器收集的信息。该技术不需要任何特殊的审计和登录机制,只要配置网络接口就可以了,不会影响其它数据源。其缺点在于如果数据流进行了加密就不能审查其内容,对主机上执行的命令也感觉不到。此外,该技术对高速网络不是特别有效。
5.综合以上四种方法进行监控。可提高侦测性能。但是这样就会产生非常复杂的网络安全方案,严重影响网络的效率,而且目前还没有一个统一的业界标准。
在使用入侵侦测技术时,应该注意以下技术特点的应用要根据具体情况进行选择:
信息收集分析时间:可分固定时间间隔和实时收集分析两种。采用固定时间间隔方法,适用于对安全性能要求较低的系统,对系统的开销影响较小,缺点是在时间间隔内将失去对网络的保护。采用实时收集和分析技术可以实时地抑制攻击,系统管理员能及时了解和阻止攻击,并记录黑客的信息,但缺点是加大了系统开销。
采用的分析类型:分为签名分析、统计分析和完整性分析。签名分析就是同攻击数据库中的系统设置和用户行为模式匹配,其优点在于能够有针对性的收集系统数据,减少了系统的开销。统计分析用来发现偏离正常模式的行为,这种技术可以发现未知的攻击,使用灵活的统计方法还可以侦测到复杂的攻击。完整性分析主要关注某些文件和对象的属性是否发生了变化,可侦测到任何使文件发生变化的攻击,弥补了签名分析和统计分析的缺陷,但是实时性很差。
侦测系统对攻击和误用的反应:有些基于网络的侦测系统可以针对侦测到的问题作出反应,这个特点使网络管理员对付诸如象拒绝服务的攻击变得非常容易。这些反应主要有:改变环境、效用检验、实时通知等。
侦测系统的管理和安装:用户采用侦测系统时,需要根据本网的一些具体情况而定。实际上,没有两种相同的网络环境,因此,就必须对采用的系统进行配置。比如,可以配置系统的网络地址、安全条件等。
侦测系统的完整性:所谓完整性就是系统自身的安全性,鉴于侦测系统的巨大作用,系统设计人员要对系统本身的自保性能有足够的重视,经常采用的手段有:认证、超强加密、数字签名等来确保合法使用,保证通信不受任何干扰。
设置诱骗服务器:诱骗服务器的目的就是吸引黑客的注意力,把攻击导向它,从敏感的传感器中发现攻击者的攻击位置,攻击路径和攻击实质,随后它把这些信息送到一个安全的地方供以后查用。这种技术是否采用可根据网络的自身情况而定。
二、漏洞检测
漏洞检测技术可分为五种:
1.基于应用的检测技术。采用被动的、非破坏性的办法检查应用软件包的设置,发现安全漏洞。
2.基于主机的检测技术。采用被动的、非破坏性的办法对系统进行检测。通常涉及系统内核、文件属性、操作系统补丁问题,还包括口令解密。因此,可以非常准确的定位系统存在的问题,发现系统漏洞。其缺点是与平台相关,升级复杂。
3.基于目标的漏洞检测技术。它采用被动的、非破坏性的办法检查系统属性和文件属性,如数据库、注册号等。通过消息文摘算法,对文件的加密数进行检验。
4.基于网络的检测技术。它采用积极的、非破坏性的办法来检验系统是否有可能被攻击崩溃。利用一系列脚本对系统进行攻击,然后对结果进行分析。网络检测技术常被用来进行穿透实验和安全审记。这种技术可以发现一系列平台的漏洞,也容易安装。但是,它容易影响网络的性能,对系统内部检验不到。
5.综合的技术。集中了以上四种技术的优点,极大的增强了漏洞识别的精度。
使用漏洞检测技术时,应该注意以下几点:
* 合理的检测分析的位置;
* 完善的报表功能与灵活的配置特性;
* 可提供多种检测后的解决方案;
* 检测系统本身的完整性等。
三、入侵侦测和漏洞检测系统的实现模型
入侵侦测和漏洞检测系统的实现是和具体的网络拓扑密切相关的,通常该系统在网络系统中可设计为两个部分:安全服务器(Security server)和侦测代理(agent)。
如图所示,侦测代理(Agent)分布在整个网络,大体上有三种,①主机侦测代理;②网络设备侦测代理;③公用服务器侦测代理。
主机代理中有主机侦测代理和主机漏洞检测代理两种类型。其中侦测代理动态地实现探测入侵信号,并作出相应反应,漏洞检测代理检测系统的配置、日志等,把检测到的信息传给安全服务器和用户。
在网段上有唯一的代理负责本网段的安全。该代理主要完成本网段的入侵侦测。
在防火墙的外部还带有专门的代理负责公用服务器的安全,这些代理也要有侦测代理和主机漏洞检测代理两种类型。在安全服务器上,有一个网络漏洞检测代理从远程对网络中的主机进行漏洞检测。
入侵侦测代理在结构上由传感器、分析器、通信管理器等部件组成。顾名思义,传感器就是安全信息感受器,它侦测诸如多次不合法的登录,对端口进行扫描等信息。传感器中有过滤正常非正常信息的能力,它只接受有意义的安全信息。分析器首先接收来自传感器的信息,把这些信息同正常数据相比较,将结果送往通信管理器并动态地作出一定的反应。通信管理器再把这些信息分类,送往安全服务器。
漏洞检测代理在结构上由检测器、检测单元、通信管理器等部件组成。检测器是检测单元的管理器,它决定如何调度检测单元。检测单元是一系列的检测项,通常是一些脚本文件。通信管理器把检测的结果发给用户和安全服务器。
每一个主机代理感受敏感的安全信息,对这些信息进行处理,作出反应,然后把一些信息交给网段代理和安全服务器处理。网段代理对本网段的安全负责,它一边监视本网段的情况,另一边向安全服务器汇报。
安全服务器中包含有网络安全数据库、通信管理器、联机信息处理器等部件,它的主要功能是和每一个代理进行相互通信,实时处理所有从各代理发来的信息,作出响应的反应,同时对本网的各安全参数进行审计和记录日志,为完善网络的安全性能提供参数。它还有一个重要的功能就是控制防火墙。从图中可以看出这些部件相互协作,为整个系统提供了一个分布式的完整的解决方案。
四、结论
入侵侦测和漏洞检测技术是计算机网络系统安全解决方案中非常重要的部分,它极大地提高了整个系统的安全性能。一个分布式的解决方案可以可靠地实现网络信息系统的安全。通过部署入侵侦测和漏洞检测系统可以实现:支持内部审记、责任曝光、突发事件处理与调查、估计损失与迅速恢复、改善安全管理过程、发现新的问题、记录系统发生的问题等。总之,入侵侦测和漏洞检测技术是一个非常重要的技术,它的完美实现会给计算机网络安全带来革命性的变化。
前不久黑客大举入侵Yahoo等国内外知名网站的事件,以及国内电子商务网站不断遭黑客攻击等消息,使网站安全防范日益成为人们担忧的问题。如何才能建立一个安全而又健壮的系统,保证企业的业务能不间断地运行,入侵侦测和漏洞检测系统为我们提供了一种有效的手段,可以尽量减轻或避免这种损失,作为网络安全系统中重要的组成部分,它可以说是黑客的天敌。
入侵侦测和漏洞检测系统是网络安全系统中重要的组成部分,它不但可以实现复杂烦琐的信息系统安全管理,而且还可以从目标信息系统和网络资源中采集信息,分析来自网络外部和内部的入侵信号和网络系统中的漏洞,有的时候还实时地对攻击作出反应。
入侵侦测具有监视分析用户和系统的行为、审计系统配置和漏洞、评估敏感系统和数据的完整性、识别攻击行为、对异常行为进行统计、自动收集和系统相关的补丁、进行审计跟踪识别违反安全法规的行为、使用诱骗服务器记录黑客行为等功能,使系统管理员可以较有效地监视、审计、评估自己的系统。
漏洞检测就是对重要计算机信息系统进行检查,发现其中可被黑客利用的漏洞。这种技术通常采用两种策略,第一种是被动式策略,第二种是主动式策略。被动式策略是基于主机的检测,对系统中不合适的设置、脆弱的口令以及其他同安全规则相抵触的对象进行检查;而主动式策略是基于网络的检测,通过执行一些脚本文件对系统进行攻击并记录它的反应,从而发现其中的漏洞。漏洞检测的结果实际上就是系统安全性能的一个评估,它指出了那些攻击是可能的,因此成为安全方案中一个重要的部分。
一个健全的网络信息系统安全方案应该包括:安全效用检验、安全审记、安全技术、安全教育与培训、安全机构与程序、安全规则等内容,是一个复杂的系统工程。安全技术是其中一个重要的环节,入侵侦测和漏洞检测系统是安全技术中的核心。
一、入侵侦测
入侵侦测技术可分为五种:
1.基于应用的监控技术。主要特征是使用应用层监控传感器在应用层收集信息。随着电子商务的流行,由于这种技术可以更准确地监控用户某一应用的行为,所以也越来越受到注意,其缺点在于有可能降低技术本身的安全。
2.基于主机的监控技术。主要特征是使用主机传感器感受本系统的信息。可用于分布式、加密、交换环境中,把特定问题同特定用户联系起来。其缺点是主机传感器要和特定平台相关联,对网络行为也觉察不到,同时加大了系统的负担。
3.基于目标的技术。主要特征是针对专有系统属性、文件属性、敏感数据、攻击进程结果进行监控。这种技术不依据历史数据,系统开销小,可以准确地确定受攻击的部位,受到攻击的系统恢复容易。其缺点在于实时性较差,对目标的检验数依赖较大。
4.基于网络的监控技术。主要特征是网络监控传感器感受包监听器收集的信息。该技术不需要任何特殊的审计和登录机制,只要配置网络接口就可以了,不会影响其它数据源。其缺点在于如果数据流进行了加密就不能审查其内容,对主机上执行的命令也感觉不到。此外,该技术对高速网络不是特别有效。
5.综合以上四种方法进行监控。可提高侦测性能。但是这样就会产生非常复杂的网络安全方案,严重影响网络的效率,而且目前还没有一个统一的业界标准。
在使用入侵侦测技术时,应该注意以下技术特点的应用要根据具体情况进行选择:
信息收集分析时间:可分固定时间间隔和实时收集分析两种。采用固定时间间隔方法,适用于对安全性能要求较低的系统,对系统的开销影响较小,缺点是在时间间隔内将失去对网络的保护。采用实时收集和分析技术可以实时地抑制攻击,系统管理员能及时了解和阻止攻击,并记录黑客的信息,但缺点是加大了系统开销。
采用的分析类型:分为签名分析、统计分析和完整性分析。签名分析就是同攻击数据库中的系统设置和用户行为模式匹配,其优点在于能够有针对性的收集系统数据,减少了系统的开销。统计分析用来发现偏离正常模式的行为,这种技术可以发现未知的攻击,使用灵活的统计方法还可以侦测到复杂的攻击。完整性分析主要关注某些文件和对象的属性是否发生了变化,可侦测到任何使文件发生变化的攻击,弥补了签名分析和统计分析的缺陷,但是实时性很差。
侦测系统对攻击和误用的反应:有些基于网络的侦测系统可以针对侦测到的问题作出反应,这个特点使网络管理员对付诸如象拒绝服务的攻击变得非常容易。这些反应主要有:改变环境、效用检验、实时通知等。
侦测系统的管理和安装:用户采用侦测系统时,需要根据本网的一些具体情况而定。实际上,没有两种相同的网络环境,因此,就必须对采用的系统进行配置。比如,可以配置系统的网络地址、安全条件等。
侦测系统的完整性:所谓完整性就是系统自身的安全性,鉴于侦测系统的巨大作用,系统设计人员要对系统本身的自保性能有足够的重视,经常采用的手段有:认证、超强加密、数字签名等来确保合法使用,保证通信不受任何干扰。
设置诱骗服务器:诱骗服务器的目的就是吸引黑客的注意力,把攻击导向它,从敏感的传感器中发现攻击者的攻击位置,攻击路径和攻击实质,随后它把这些信息送到一个安全的地方供以后查用。这种技术是否采用可根据网络的自身情况而定。
二、漏洞检测
漏洞检测技术可分为五种:
1.基于应用的检测技术。采用被动的、非破坏性的办法检查应用软件包的设置,发现安全漏洞。
2.基于主机的检测技术。采用被动的、非破坏性的办法对系统进行检测。通常涉及系统内核、文件属性、操作系统补丁问题,还包括口令解密。因此,可以非常准确的定位系统存在的问题,发现系统漏洞。其缺点是与平台相关,升级复杂。
3.基于目标的漏洞检测技术。它采用被动的、非破坏性的办法检查系统属性和文件属性,如数据库、注册号等。通过消息文摘算法,对文件的加密数进行检验。
4.基于网络的检测技术。它采用积极的、非破坏性的办法来检验系统是否有可能被攻击崩溃。利用一系列脚本对系统进行攻击,然后对结果进行分析。网络检测技术常被用来进行穿透实验和安全审记。这种技术可以发现一系列平台的漏洞,也容易安装。但是,它容易影响网络的性能,对系统内部检验不到。
5.综合的技术。集中了以上四种技术的优点,极大的增强了漏洞识别的精度。
使用漏洞检测技术时,应该注意以下几点:
* 合理的检测分析的位置;
* 完善的报表功能与灵活的配置特性;
* 可提供多种检测后的解决方案;
* 检测系统本身的完整性等。
三、入侵侦测和漏洞检测系统的实现模型
入侵侦测和漏洞检测系统的实现是和具体的网络拓扑密切相关的,通常该系统在网络系统中可设计为两个部分:安全服务器(Security server)和侦测代理(agent)。
如图所示,侦测代理(Agent)分布在整个网络,大体上有三种,①主机侦测代理;②网络设备侦测代理;③公用服务器侦测代理。
主机代理中有主机侦测代理和主机漏洞检测代理两种类型。其中侦测代理动态地实现探测入侵信号,并作出相应反应,漏洞检测代理检测系统的配置、日志等,把检测到的信息传给安全服务器和用户。
在网段上有唯一的代理负责本网段的安全。该代理主要完成本网段的入侵侦测。
在防火墙的外部还带有专门的代理负责公用服务器的安全,这些代理也要有侦测代理和主机漏洞检测代理两种类型。在安全服务器上,有一个网络漏洞检测代理从远程对网络中的主机进行漏洞检测。
入侵侦测代理在结构上由传感器、分析器、通信管理器等部件组成。顾名思义,传感器就是安全信息感受器,它侦测诸如多次不合法的登录,对端口进行扫描等信息。传感器中有过滤正常非正常信息的能力,它只接受有意义的安全信息。分析器首先接收来自传感器的信息,把这些信息同正常数据相比较,将结果送往通信管理器并动态地作出一定的反应。通信管理器再把这些信息分类,送往安全服务器。
漏洞检测代理在结构上由检测器、检测单元、通信管理器等部件组成。检测器是检测单元的管理器,它决定如何调度检测单元。检测单元是一系列的检测项,通常是一些脚本文件。通信管理器把检测的结果发给用户和安全服务器。
每一个主机代理感受敏感的安全信息,对这些信息进行处理,作出反应,然后把一些信息交给网段代理和安全服务器处理。网段代理对本网段的安全负责,它一边监视本网段的情况,另一边向安全服务器汇报。
安全服务器中包含有网络安全数据库、通信管理器、联机信息处理器等部件,它的主要功能是和每一个代理进行相互通信,实时处理所有从各代理发来的信息,作出响应的反应,同时对本网的各安全参数进行审计和记录日志,为完善网络的安全性能提供参数。它还有一个重要的功能就是控制防火墙。从图中可以看出这些部件相互协作,为整个系统提供了一个分布式的完整的解决方案。
四、结论
入侵侦测和漏洞检测技术是计算机网络系统安全解决方案中非常重要的部分,它极大地提高了整个系统的安全性能。一个分布式的解决方案可以可靠地实现网络信息系统的安全。通过部署入侵侦测和漏洞检测系统可以实现:支持内部审记、责任曝光、突发事件处理与调查、估计损失与迅速恢复、改善安全管理过程、发现新的问题、记录系统发生的问题等。总之,入侵侦测和漏洞检测技术是一个非常重要的技术,它的完美实现会给计算机网络安全带来革命性的变化。