nids網(wǎng)絡(luò)立體防御系統(tǒng)可行性研究報告

目錄一．總論近年來,網(wǎng)絡(luò)攻擊變得越來越普遍,也越來越難于防范.舊的單層次的安全體系結(jié)構(gòu)日益顯得力不從心，通過不斷分析和研究入侵檢測的模型及原理，分析它們的長處以及不足，在國際上提出了一種新的安全體系結(jié)構(gòu)--網(wǎng)絡(luò)入侵檢測，她使得各安全因素能夠有機的結(jié)合，從而最大程。同時，現(xiàn)在世界上每年因利用計算機網(wǎng)絡(luò)進行犯罪所造成的直接經(jīng)濟損失令人吃驚。據(jù)美國ABA(AmericanBarAssociation)組織調(diào)查和專家估計，美國每年因計算機犯罪所造成的經(jīng)濟損失高達150億美元。據(jù)報道，在Internet上，每天大約有4起計算機犯罪發(fā)生。計算機犯罪，作為一種更為隱蔽的犯罪手段，給社會帶來了很大的危害，因此網(wǎng)絡(luò)安全問題已經(jīng)成為世界各國研究的熱門話題?，F(xiàn)代計算機系統(tǒng)功能日漸復(fù)雜，網(wǎng)絡(luò)體系日漸強大，正在對社會產(chǎn)生巨大深遠的影響，但同時由于計算機網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互連性等特征，致使網(wǎng)絡(luò)易受黑客、惡意軟件和其他不軌的攻擊，所以使得安全問題越來越突出。對于軍用的自動化指揮網(wǎng)絡(luò)系統(tǒng)而言，其網(wǎng)上信息的安全和保密尤為重要。因此，要提高計算機網(wǎng)絡(luò)的防御能力，加強網(wǎng)絡(luò)的安全措施，否則該網(wǎng)絡(luò)將是個無用、甚至會危及國家安全的網(wǎng)絡(luò)。無論是在局域網(wǎng)還是在廣域網(wǎng)中，都存在著自然和人為等諸多因素的脆弱性和潛在威脅。故此，網(wǎng)絡(luò)的防御措施應(yīng)是能全方位地針對各種不同的威脅和脆弱性，這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。影響計算機網(wǎng)絡(luò)安全的因素很多，有些因素可能是有意的，也可能是無意的；可能是人為的，也可能是非人為的。歸結(jié)起來，針對網(wǎng)絡(luò)安全的威脅主要有4個方面：實體摧毀是計算機網(wǎng)絡(luò)安全面對的“硬殺傷”威脅。主要有電磁攻擊、兵力破壞和火力。2.無意失誤如操作員安全配置不當造成的安全漏洞，用戶安全意識不強，用戶口令選擇不慎，用戶將自己的帳號隨意轉(zhuǎn)借他人或與別人共享等都會對網(wǎng)絡(luò)安全帶來威脅。3.黑客攻擊這是計算機網(wǎng)絡(luò)所面臨的最大威脅。此類攻擊又可以分為2種：一種是網(wǎng)絡(luò)攻擊，以各種方式有選擇地破壞對方信息的有效性和完整性；另一類是網(wǎng)絡(luò)偵察，它是在不影響網(wǎng)絡(luò)正常工作的情況下，進行截獲、竊取、破譯以獲得對方重要的機密信息。這2種攻擊均可對計算機網(wǎng)絡(luò)造成極大的危害。網(wǎng)絡(luò)軟件不可能是百分之百的無缺陷和無漏洞的，然而，這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標。另外，軟件的“后門”都是軟件公司的設(shè)計編程人員為了方便而設(shè)置的，一般不其造成的后果將不堪設(shè)想。戰(zhàn)模型包含4個層次:第1層次，實體層次的計算機網(wǎng)絡(luò)對抗;第2層次，能量層次的計算機網(wǎng)絡(luò)對抗;第3層次，信息層次(邏輯層次)的計算機網(wǎng)絡(luò)對抗;第4層次，感知層次(超技術(shù)層次)的計算機網(wǎng)絡(luò)對抗。針對不同層次對抗，計算機網(wǎng)絡(luò)策。網(wǎng)絡(luò)安全問題自從其出現(xiàn)就受到了廣泛的重視，國內(nèi)外許多研究結(jié)構(gòu)和研究人員都致力于這方面的研究，并且取得了一定的成果，有些技術(shù)已經(jīng)形成了一套較為完整的理論體系。從廣義上講，計算機網(wǎng)絡(luò)安全技術(shù)主要有:[2](5)防火墻技術(shù);(6)安全管理技術(shù);傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)被廣泛的應(yīng)用，在網(wǎng)絡(luò)安全的保護中發(fā)揮了重要的作用，但是每種技術(shù)也存在著這樣或那樣的安全缺陷或隱患，所以有必要對網(wǎng)絡(luò)安全技術(shù)作進一步的分析和研究，而目前大多的網(wǎng)絡(luò)安全產(chǎn)品由于基于單層次的安全體系結(jié)構(gòu)，只能提供一定程度的安全保護，越來越不適應(yīng)現(xiàn)代信息社會的發(fā)展需要?；谶@種情況，華夏網(wǎng)絡(luò)提出了構(gòu)建一種基于網(wǎng)絡(luò)入侵檢測的立體防御系統(tǒng)，即建立一套多層次的全方位的網(wǎng)絡(luò)防御及檢測體系，把各種單一的安全部分有機的結(jié)合起來，使它們互相配合、互相依托、相互促進，形成一套完整的功能,遠遠大于局部系統(tǒng)的安全系統(tǒng)。該系統(tǒng)能最大的程度提高整個網(wǎng)絡(luò)的安全性，同時實現(xiàn)安全和防御的可擴展性(物理范圍)，可擴充性(邏輯范圍)，透明性及可操作性，使其適用于不同的具體應(yīng)用環(huán)境，適用于不同的用戶，滿足用戶不同要求。同時，在提供較高的安全性的同時，使系統(tǒng)具有很高的可用性性能。這種新的安全體系結(jié)構(gòu)主要由三大部分組成:(1)防火墻系統(tǒng)；(2)入侵檢測系統(tǒng)(IDS)；(3)信息及綜合決策系統(tǒng)。、目前的進展情況、申請技術(shù)創(chuàng)新基金的必要性1.2.1本項目的社會經(jīng)濟意義1.2.2項目目前的進展情況申請技術(shù)創(chuàng)新基金的必要性1.3本企業(yè)實施項目的優(yōu)勢和風險1.3.1本企業(yè)實施項目的優(yōu)勢1.3.2本企業(yè)實施項目的風險1.4項目計劃目標技術(shù)、質(zhì)量指標計劃新增投資來源1.5主要技術(shù)、經(jīng)濟指標對比二．申報企業(yè)情況2.2企業(yè)人員及開發(fā)能力論述2.2.1企業(yè)法定代表人的基本情況2.2.2企業(yè)人員情況2.2.3新產(chǎn)品開發(fā)能力2.2.4項目技術(shù)負責人的基本情況2.3企業(yè)財務(wù)經(jīng)濟狀況2.3.1企業(yè)財務(wù)經(jīng)濟狀況及預(yù)測2.4企業(yè)管理情況2.4.1企業(yè)管理制度介紹2.4.2公司質(zhì)量保障體系建設(shè)3公司榮譽2.5企業(yè)發(fā)展思路可信賴的網(wǎng)絡(luò)G可信賴的網(wǎng)絡(luò)G三．技術(shù)可行性和成熟性分析3.1項目的技術(shù)創(chuàng)新性論述3.1.1項目產(chǎn)品的基本原理下面是對組成系統(tǒng)的三大部分的基本原理進行介紹:2.1防火墻古時候，人們常在寓所之間砌起一道磚墻，一旦火災(zāi)發(fā)生，它能夠防止火勢蔓延到別的寓所，這種墻因此而得名“防火墻”。現(xiàn)在，如果一個網(wǎng)絡(luò)接到了Internet上，它的用戶就可以訪問外部世界并與之通信。但同時，外部世界也同樣可以訪問該網(wǎng)絡(luò)并與之交互。為安全起見，可以在該網(wǎng)絡(luò)和Internet之間插入一個中介系統(tǒng)，豎起一道安全屏障。這道屏障的作用是阻斷來自外部通過網(wǎng)絡(luò)對本網(wǎng)絡(luò)的威脅和入侵，提供扼守本網(wǎng)絡(luò)的安全和審計的唯一關(guān)卡。這種中介系統(tǒng)也叫做“防火墻”或“防火墻系統(tǒng)”。防火墻就是一種由軟件、硬件構(gòu)成的系統(tǒng)，用來在兩個網(wǎng)絡(luò)之間實施存取控制策略。圖1是防火墻在互連的網(wǎng)絡(luò)中的位置。[3]盡管防火墻有各種不同的類型,但所有的防火墻都有一個共同的特征:基于源地址基礎(chǔ)上的區(qū)分和拒絕某些訪問的能力.[4]一般都將防火墻內(nèi)的網(wǎng)絡(luò)稱為“可信賴的網(wǎng)絡(luò)”(trustednetwork),而將外部的internet稱為“不可信賴的網(wǎng)絡(luò)”(mistrustfulnetwork).防火墻分組過濾分組過濾分組過濾路由器R應(yīng)用網(wǎng)關(guān)路由器R不可信賴防火墻是近期發(fā)展起來的一種保護計算機網(wǎng)絡(luò)安全的技術(shù)性措施，它是一個用以阻止網(wǎng)絡(luò)中的黑客訪問某個機構(gòu)網(wǎng)絡(luò)的屏障，也可稱之為控制進／出2個方向通信的門檻。一個防火墻系統(tǒng)通常由屏蔽路由器和代理服務(wù)器組成。屏蔽路由器是一個多端口的IP路由器，它通過對每一個到來的IP包依據(jù)一組規(guī)則進行檢查來判斷是否對之進行轉(zhuǎn)發(fā)。代理服務(wù)器是防火墻系統(tǒng)中的一個服務(wù)器進程，它能夠代替網(wǎng)絡(luò)用戶完成特定的TCP／IP功能。一個代理服務(wù)器本質(zhì)上是一個應(yīng)用層的網(wǎng)關(guān)，一個為特定網(wǎng)絡(luò)應(yīng)用而連接2個網(wǎng)絡(luò)的網(wǎng)關(guān)。Chewick和Bellovin對防火墻的定義為，[5]防火墻是一個由多個部件組成的集合或系統(tǒng)，它被放置在兩個網(wǎng)絡(luò)之間，并具有以下特性:。換句話說，防火墻置于內(nèi)部可信網(wǎng)絡(luò)和外部不可信網(wǎng)絡(luò)之間，作為一個阻塞點來監(jiān)視和拋棄應(yīng)用防火墻的確是一種重要的新型安全措施。防火墻在概念上非常簡單,它可以分為:基于過濾器(filter-based)和基于代理(proxy-based)的兩大類設(shè)備之一。[6]目前的防火墻主要有包過濾防火墻、代理防火墻2種類型，并在計算機網(wǎng)絡(luò)得到了廣泛的應(yīng)用。包過濾防火墻，包過濾技術(shù)是根據(jù)定義好的過濾規(guī)則審查每個數(shù)據(jù)包并確定數(shù)據(jù)包是否與過濾規(guī)則相匹配，從而決定數(shù)據(jù)包能否通過，它的特點是開銷小，速度快，缺點是定義數(shù)據(jù)包過濾器比較復(fù)雜，且不能理解特定服務(wù)的上下文環(huán)境。代理防火墻(應(yīng)用層防火墻)，代理防火墻采用代理(Proxy)技術(shù)與TCP連接的全過程，這樣從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過防火墻處理后，就象來自于防火墻外部網(wǎng)卡一樣，從而目的。其核心技術(shù)就是代理服務(wù)器技術(shù)，特點是安全性很高，缺點是對于每個中斷的internet服務(wù)，都需要提供相應(yīng)的代理程序，且對于計算機的性能有一定的要求。但是，防火墻也不能解決進入防火墻的數(shù)據(jù)帶來的所有安全問題。如果用戶抓來一個程序在本地運行，那個程序很可能就包含一段惡意的代碼，或泄露敏感信息，或?qū)χM行破壞。防火墻的另一個缺點是很少有防火墻制造商推出簡便易用的“監(jiān)獄看守”型的防火墻，大多數(shù)的產(chǎn)品還停留在需要網(wǎng)絡(luò)管理員手工建立的水平上。因此有必要將它們?nèi)诤?，?gòu)成了一個典型的防火墻系統(tǒng)。2.2入侵檢測系統(tǒng)(IDS)2.2.1入侵檢測系統(tǒng)的定義入侵檢測最早是由JamesAnderson于1980年提出來的，其定義是：潛在的有預(yù)謀的未經(jīng)從該定義可以看出，入侵檢測對安全保護采取的是一種積極、主動的防御策略，而傳統(tǒng)的安全技屏障，這些技術(shù)將完全失去作用，對系統(tǒng)不再提供保護，而入侵者則對系統(tǒng)可以進行肆無忌憚的是入侵檢測技術(shù)則不同，它對進入系統(tǒng)的訪問者(包括入侵者)能進行實時的監(jiān)視和檢測，一旦發(fā)現(xiàn)訪問者對系統(tǒng)進行非法的操作(這時訪問者成為了入侵者)，就會向系統(tǒng)管理員發(fā)出警報或者自動截斷與入侵者的連接，這樣就會大大提高系統(tǒng)的安全性。所以對入侵檢測技術(shù)研究是非常必要的，并且它也是一種全新理念的網(wǎng)絡(luò)(系統(tǒng))防護技術(shù)。圖2為入侵檢測一般過程示意圖，箭頭所指方向為流程方向。輸入過程包括：用戶或者安全管理人員定義的配置規(guī)則和作為事件檢測的原始數(shù)據(jù)，對于代理監(jiān)視器來講原始數(shù)據(jù)是原始網(wǎng)絡(luò)包；輸出過程包括：系統(tǒng)發(fā)起的對安全用戶或管理用戶或管理員定義的規(guī)則原始數(shù)據(jù)包入侵發(fā)現(xiàn)攻擊特征圖2入侵發(fā)現(xiàn)示意圖2.2.2入侵檢測系統(tǒng)的模型與原理入侵檢測系統(tǒng)(IDS,IntrusionDetectionSystem)用來識別針對計算機系統(tǒng)和網(wǎng)絡(luò)系以具體說來，IDS的主要功能有以下方面:(1)監(jiān)測并分析用戶和系統(tǒng)的活動；(2)核查系統(tǒng)配置和漏洞；(3)評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性；(4)識別已知的攻擊行為；(5)統(tǒng)計分析異常行為；(6)操作系統(tǒng)日志管理，并識別違反安全策略的用戶活動。入侵檢測系統(tǒng)及預(yù)警系統(tǒng)(IntrusionDetection&AlertSystem)能夠從一系列的系統(tǒng)和網(wǎng)絡(luò)資源中收集信息并對這些信息加以分析，以期能找到入侵(intrusion)或者是濫用misuse管理員報警和作出一定的處理如切斷入侵檢測連接等。入侵檢測功能原理如圖3所示：斷開連接恢復(fù)數(shù)據(jù)異常記錄斷開連接恢復(fù)數(shù)據(jù)異常記錄行為特征模塊規(guī)則模塊變量閥值用戶的當前操用戶的當前操作用戶行為數(shù)據(jù)庫入侵檢測監(jiān)測N入侵YY記錄證明記錄證明圖3入侵檢測功能原理最早的入侵檢測模型是由DorothyDenning于1986年提出來的，該模型雖然與具體系統(tǒng)和具體輸入無關(guān)，但是對此后的大部分實用系統(tǒng)都有很大的借鑒價值。圖4表示了該通用模型的體系審計記錄、網(wǎng)絡(luò)數(shù)據(jù)包特征表更新規(guī)則更新事事件產(chǎn)生器圖4通用的入侵檢測系統(tǒng)模型在該模型中，事件產(chǎn)生器可根據(jù)具體應(yīng)用環(huán)境而有所不同，一般來自審計記錄、網(wǎng)絡(luò)數(shù)據(jù)包以及其它可視行為，這些事件構(gòu)成了入侵檢測的基礎(chǔ)。行為特征表是整個檢測系統(tǒng)的核心，它包含了用于計算用戶行為特征的所有變量，這些記錄可根據(jù)具體采用的統(tǒng)計方法以及事件記錄中的具體動作模式而定義，并根據(jù)匹配上的記錄數(shù)據(jù)更新變量值。如果有統(tǒng)計變量的值達到了異常程度，行為特征表將產(chǎn)生異常記錄，并采取一定的措施。規(guī)則模塊可以由系統(tǒng)安全策略、入侵模式等組成，它一方面為判斷是否入侵提供參考機制，另一方面為根據(jù)事件記錄、異常記錄以及有效日期等控制并更新其它模塊的狀態(tài)。在具體實現(xiàn)上，規(guī)則的選擇與更新可能不盡相同，但一的檢測，而規(guī)則模塊執(zhí)行基于知識的檢測。根據(jù)入侵檢測模型，入侵檢測系統(tǒng)的原理可以分為如下兩種：(1)異常檢測原理該原理指的是根據(jù)非正常行為(系統(tǒng)或用戶)和使用計算機資源非正常情況檢測出入侵行為，如圖5所示：命命令、系統(tǒng)調(diào)用、應(yīng)用使用、網(wǎng)絡(luò)連接異常行為正常行為圖5異常檢測原理模型從圖5可以看出，異常檢測原理根據(jù)假設(shè)攻擊與正常的(合法的)活動有很大的差異來識別攻擊。異常檢測首先收集一段時期正常操作活動的歷史記錄，再建立代表用戶、主機或網(wǎng)絡(luò)連接的正常行為輪廓，然后收集事件數(shù)據(jù)并使用一些不同的方法來決定所檢測到的事件活動是否異常檢測技術(shù)即假定所有入侵行為都是與正常行為不同的。[14]如果建立系統(tǒng)正常行為的軌跡,那么理論上可以把所有與正常軌跡不同的系統(tǒng)狀態(tài)視為可疑企圖。對于異常閥值與特征的選擇是異常檢測技術(shù)的關(guān)鍵。比如,通過流量統(tǒng)計分析將異常時間的異常網(wǎng)絡(luò)流量視為可疑。異常檢測技術(shù)的局限是并非所有的入侵都表現(xiàn)為異常,而且系統(tǒng)的軌跡難以計算和更新。異常檢測技術(shù)的核心是建立行為模型，目前主要是由以下幾種方法:[10](2)誤用檢測原理該原理是指根據(jù)已經(jīng)知道的入侵檢測方式來檢測入侵。入侵者常常利用系統(tǒng)或應(yīng)用軟件中的弱點或漏洞來攻擊系統(tǒng)而這些弱點或漏洞可以編成一些模式，如果入侵者攻擊方式恰好匹配上檢測系統(tǒng)模式庫中的某種方式，則入侵即被檢測到了。如圖6所示：攻擊者模式庫圖6誤用檢測模型的入侵方法都可以用匹配的方法發(fā)現(xiàn)。模式發(fā)現(xiàn)的關(guān)鍵是如何表達入侵的模式,把真正的入侵與正誤用檢測技術(shù)主要分為以下幾種:[10]2.2.3入侵檢測的研究動態(tài)從分類上看，入侵檢測系統(tǒng)可以分為：基于網(wǎng)絡(luò)的檢測系統(tǒng)：分布在網(wǎng)絡(luò)上或者是設(shè)置在被監(jiān)視的主機附近，檢查網(wǎng)絡(luò)通信情況以及分析是否有異?；顒?，它能提供網(wǎng)段的整個信息，由于要檢測整個網(wǎng)段的流量，所以，它處理的信息量很大，易受到拒絕服務(wù)攻擊(DOS)攻擊?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)把原始的網(wǎng)絡(luò)數(shù)據(jù)作為數(shù)據(jù)源。它是利用網(wǎng)絡(luò)適配器來實時的監(jiān)測,并分析通過網(wǎng)絡(luò)進行傳輸?shù)乃型ㄐ艠I(yè)務(wù)。一旦檢測到攻擊,IDS的響應(yīng)模塊通過通知、報警以及中斷連接等方式來對攻擊行為作出反應(yīng)?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)的主要優(yōu)點是:①成本低;②攻擊者轉(zhuǎn)移證據(jù)困難;③定時的檢測和響應(yīng);④能夠檢測到未成功的攻擊企圖;⑤操作系統(tǒng)獨立?；谥鳈C的檢測系統(tǒng)：在被監(jiān)視的主機上運行，檢查這些主機上的對外流量，文件系統(tǒng)的完整性及各種活動是否合法以及是否可以接受，它能給主機提供較高程度的保護，但每臺受保護主機都需要安裝相應(yīng)的軟件，且不能提供網(wǎng)段的整體信息?；谥鳈C的入侵檢測系統(tǒng)一般以系統(tǒng)日志、序日志等審計記錄文件作為數(shù)據(jù)源.一旦發(fā)現(xiàn)數(shù)據(jù)發(fā)生變化,IDS就將比較新的日志記錄與攻擊簽名是否匹配。若匹配,IDS就向各系統(tǒng)管理員發(fā)出入侵報警并采取相應(yīng)的行動?；谥鳈C的入侵檢測系統(tǒng)具有的主要優(yōu)點是:①非常適合于加密和交換環(huán)境；②近實時的檢測和應(yīng)答；③不需要格外的硬件。各自的優(yōu)勢，因此，文章在參考了有關(guān)資料后，[13]提出了一個分布式入侵檢測系統(tǒng)的實現(xiàn)方案，這在該文的后面有較為詳細的說明。從技術(shù)上看，入侵檢測又分為基于標識(signature-based)和基于異常情況(anomaly-對于基于標識的檢測技術(shù)來說，首先要定義違背安全策略的事件特征，如網(wǎng)絡(luò)數(shù)據(jù)包的某些頭信息，判別這類特征是否在所收集的數(shù)據(jù)中出現(xiàn)。此方法非常類似殺毒軟件，因此，它能較為準基于異常的檢測技術(shù)則是先定義一組系統(tǒng)“正?！鼻闆r的數(shù)值，如cpu的利用率，內(nèi)存利用率，文件校驗等(這類數(shù)據(jù)可以人為定義，也可以通過觀察系統(tǒng)，并用統(tǒng)計的方法得出)，然后將系行的數(shù)值與所定義的“正常”情況比較，得出是否有被攻擊的跡象。這種檢測方式的核心在于如何定義所謂的“正?！鼻闆r。它的特點是對已知和未知的攻擊都有一定的檢測能力，缺點是誤報率高。入侵檢測很大程度上依賴于收集信息的可靠性和正確性。通常一個完整的入侵檢測技術(shù)需要利用的數(shù)據(jù)或文件來自于以下4個方面:[11](1)系統(tǒng)和網(wǎng)絡(luò)日志文件黑客經(jīng)常在系統(tǒng)日志中留下他們的蹤跡。因此，充分利用系統(tǒng)和網(wǎng)絡(luò)日志文件信息是檢測入侵行顯示出有人正在入侵或己成功入侵該系統(tǒng)。通過查看日志文件，能夠發(fā)現(xiàn)成功的入侵或入侵企圖，。(2)目錄和文件中的不期望的改變網(wǎng)絡(luò)環(huán)境中的文件系統(tǒng)包含很多軟件和數(shù)據(jù)文件，包含重要信息的文件和私有數(shù)據(jù)文件經(jīng)常是黑客關(guān)注或試圖破壞的目標。目錄和文件中的不期望的改變(包括修改、創(chuàng)建和刪除)，特別是那些正常情況下限制訪問的數(shù)據(jù)，很可能就是一種入侵產(chǎn)生的標志和信號。(3)程序執(zhí)行中的不期望行為網(wǎng)絡(luò)系統(tǒng)上的“程序執(zhí)行”一般包括操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)、用戶啟動的程序和特定目的的應(yīng)用，的方式也就不同。一個進程出現(xiàn)了不期望的行為，可能預(yù)示著有黑客正在入侵系統(tǒng)。(4)物理形式的入侵信息這包括兩個方面的內(nèi)容，一是未經(jīng)授權(quán)的對網(wǎng)絡(luò)硬件的連接;二是對物理資源的未授權(quán)訪問 (非法訪問)。黑客會想方設(shè)法的突破網(wǎng)絡(luò)周邊的防衛(wèi)，如果他們能夠在物理上訪問內(nèi)部網(wǎng)，就能安裝他們自己的設(shè)備和軟件。因此，黑客就可以知道網(wǎng)上的由用戶加上去的不安全(未授權(quán))設(shè)備，然后利用這些設(shè)備訪問網(wǎng)絡(luò)。2.3信息及綜合決策系統(tǒng)介紹信息及綜合決策系統(tǒng)是數(shù)據(jù)庫及基于數(shù)據(jù)庫的信息處理系統(tǒng)的結(jié)合，是整個系統(tǒng)的信息匯總點，也是綜合信息的處理機構(gòu)。3.1.2項目產(chǎn)品的關(guān)鍵技術(shù)內(nèi)容由前面的論述可以看出，任何單一的安全部件都只能實現(xiàn)一定程度的安全，任何單層次的結(jié)構(gòu)所保障的安全也都是極其有限的，只有把他們有機的結(jié)合在一起，使他們互為依托，互相補充，圖7立體防御系統(tǒng)結(jié)構(gòu)圖整個系統(tǒng)由三大部分組成：外圍防火墻系統(tǒng)由主防火墻和主機防火墻組成，中間為系統(tǒng)的核心，由分布式入侵檢測系統(tǒng)組成，其具體結(jié)構(gòu)及工作原理將在后面的入侵檢測預(yù)警模型中進行詳細的闡述，內(nèi)層信息及綜合決策系統(tǒng)由信息數(shù)據(jù)庫、中央決策控制器及受保護主機上的單機信息庫構(gòu)成。由此看出，通過外圍防火墻的攔截，中部分布式入侵檢測系統(tǒng)的實時及非實時的監(jiān)測，內(nèi)部信息及綜合決策系統(tǒng)的全局布局決策，使得各種安全部件能夠最大程度地發(fā)揮其性能，從而使整個系統(tǒng)成為一個全方位、多層次的立體防御系統(tǒng)。3.2結(jié)構(gòu)闡述3.2.1防火墻系統(tǒng)整個系統(tǒng)通過主防火墻與Internet相連，利用主防火墻，可對來自外部的大多數(shù)攻擊進行防在子網(wǎng)內(nèi)部，有一般用戶和受保護主機，后者多為一些重要的服務(wù)器，是重點保護的對象。受保護服務(wù)器通過主防火墻與內(nèi)部子網(wǎng)相連。主機防火墻的功能主要為：(1)因為主機防火墻是直接面向受保護主機的，因此可對它進行更具體，更有針對性的配置，從而對通過主防火墻的數(shù)據(jù)包進行再過濾，減少可能發(fā)生的攻擊，從這個意義上來說，主防火墻相當于宏觀上的調(diào)控，而主機防火墻相當于微觀上的調(diào)控。(2)防止來自內(nèi)部的攻擊，根據(jù)調(diào)查，大部分的攻擊都來自網(wǎng)絡(luò)內(nèi)部，因此主機防火墻的賦予不同的訪問權(quán)限，從而大大提高系統(tǒng)的安全性。主防火墻與主機防火墻的另一個重要作用在于可過濾掉大量無用的數(shù)據(jù)，減少傳遞給入侵檢測系統(tǒng)及信息數(shù)據(jù)庫的無意義流量，這對減輕整個系統(tǒng)的負荷，防止DOS(拒絕服務(wù))攻擊有著重要的意義，其中主機防火墻只是邏輯上的結(jié)構(gòu)，它完全可以合并在受保護主機上，從而降低系統(tǒng)3.2.3信息及綜合決策系統(tǒng)如前面提到的，信息及綜合決策系統(tǒng)由信息數(shù)據(jù)庫和中央決策控制器及各受保護主機上的單機信息數(shù)據(jù)庫是整個系統(tǒng)的日志數(shù)據(jù)匯總中心，負責將網(wǎng)絡(luò)中所有的預(yù)警、故障、事務(wù)日志進行匯總，并按照統(tǒng)一的格式保存入數(shù)據(jù)庫。在網(wǎng)絡(luò)管理員進行檢查時，負責將所有的數(shù)據(jù)分類統(tǒng)計，并作出各種報告，以協(xié)助管理員對網(wǎng)絡(luò)進行更為完善的配置。中央決策控制器負責對匯總后的信息進行分析，從而能發(fā)現(xiàn)單機無法發(fā)現(xiàn)的可能入侵(如對多個服務(wù)器的并行掃描)，當確定有入侵且危害較大時，中央決策及控制器則采取緊急措施，如通過對防火墻的配置來阻斷連接，對未被入侵的主機進行屏蔽，從而防止危害的擴大，同時記錄入侵過程，可同時收集入侵證據(jù)，同時還可以根據(jù)入侵的危害及范圍通過各種方式向管理員發(fā)出不同級別的報警信息；另一方面，管理員可通過它對各防火墻進行配置，對單機信息庫進行更新，從而便于整個系統(tǒng)的維護和管理。單機信息庫儲存了所對應(yīng)受保護主機的狀態(tài)信息，模式信息，是各分布式Agent的決策依據(jù)，因為對不同的主機而言，這些信息有著很大的差別，因此設(shè)立單機信息庫是非常有必要的。由上面分析可看出，以上各個部分緊密聯(lián)系，相互配合，成為一個不可分割的整體。在極大的保證了系統(tǒng)的安全性、可靠性和高性能的同時，兼顧了系統(tǒng)的可用性、易用性，同時由于采用了基于Agent的分布式的體系結(jié)構(gòu)可以很容易地添加受保護主機，大大的增強了系統(tǒng)的可擴展性。通過對防火墻的配置和對單機信息庫的更新，對Agent功能的增強，使得增加新的功能非常容易，從而保證了整個系統(tǒng)有著很好的可擴充性。3.1.3項目產(chǎn)品的技術(shù)創(chuàng)新點傳統(tǒng)的集中式入侵檢測技術(shù)的基本模型是在網(wǎng)絡(luò)的不同網(wǎng)段中放置多個傳感器或探測器用來收集當前網(wǎng)絡(luò)狀態(tài)信息，然后這些信息被傳送到中央控制臺進行處理和分析，或者更進一步的情況是，這些傳感器具有某種主動性，能夠接收中央控制臺的某些命令和下載某些識別模板這種集中式模型具有幾個明顯的缺陷。首先，面對在大規(guī)模、異質(zhì)網(wǎng)絡(luò)基礎(chǔ)上發(fā)起的復(fù)雜攻擊行為，中央控制臺的業(yè)務(wù)負荷將會達到不可承受的地步，以致于無法具有足夠能力來處理來自四面八方的消息事件。其次，由于網(wǎng)絡(luò)傳輸?shù)臅r延問題，到達中央控制臺的數(shù)據(jù)包中的事件消息只是反映了它剛被生成時的環(huán)境狀態(tài)情況，已經(jīng)不能反映可能隨著時間已經(jīng)改變的當前狀態(tài)。要面對不斷出現(xiàn)的新型攻擊手段。華夏網(wǎng)絡(luò)的分布式的入侵檢測系統(tǒng)將解決這個問題。通過將入侵檢測系統(tǒng)的信息采集和處理功能部分分布到多臺機器上，經(jīng)本地處理后，將可疑的單機無法處理的數(shù)據(jù)傳輸給入侵檢測系統(tǒng)的中心決策系統(tǒng)，在中心決策系統(tǒng)對信息進行綜合后作出響應(yīng)。這樣，大大減少了網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)量，使網(wǎng)絡(luò)負擔大大減輕，同時極大地增強了系統(tǒng)的魯棒性?；谶@種想法，華夏網(wǎng)絡(luò)提出了基于網(wǎng)絡(luò)入侵檢測的預(yù)警模型。IDS預(yù)警系統(tǒng)的體系結(jié)構(gòu)和實現(xiàn)方法如圖8所示：信息數(shù)據(jù)庫主機IDS處理模式庫行為模模式庫行為模式確定數(shù)據(jù)收集器數(shù)據(jù)源數(shù)據(jù)源數(shù)據(jù)源數(shù)據(jù)源圖8單機上的預(yù)警子模塊整個安全防護體系中，分布于各主機的入侵檢測系統(tǒng)模塊對所負責的主機上的信息數(shù)據(jù)進行監(jiān)控和審查，將可疑的信息和數(shù)據(jù)收集之后，交給下面的數(shù)據(jù)分析系統(tǒng)進行分析，提取這些受到懷疑的信息的特征，并將這些特征信息加以歸納和總結(jié)，然后將產(chǎn)生出的對這些信息的結(jié)果提交給系統(tǒng)中的模式庫和模式匹配系統(tǒng)(模式庫