1、14-信息安全体系建设,1、信息安全基本要素,完整性,机密性,可审查性,可用性,可控性,确保信息不暴露给未授权的实体或进程,只有得到允许的人才能修改数据,并且能够判别出数据是否已被篡改,得到授权的实体在需要时可访问数据,即攻击者不能占用所有的资源而阻碍授权者的工作,可以控制授权范围内的信息流向及行为方式,对出现的网络安全问题提供调查的依据和手段,信息安全的攻与防,信息窃取,信息传递,信息冒充,信息篡改,信息抵赖,加密技术,完整性技术,认证技术,数字签名,一些经典的结论,公理1 摩菲定理 所有的程序都有缺陷。定理1 大程序定律 大程序的缺陷甚至比它包含的内容还多。推理1-1 一个安全相关程序有安
2、全性缺陷。定理2 只要不运行这个程序,那么这个程序是否有缺陷,也无关紧要。推理2-1 只要不运行这个程序,即使这个程序有安全性漏洞,也无关紧要。定理3 对外暴露的计算机,应尽可能少地运行程序,且运行的程序也应尽可能小。推理3-1 防火墙基本法则大多数主机不满足我们的要求:因为它们运行太多太大的程序。因此,唯一的解决办法是将真正希望运行的程序隔离在网络边界的另一边。,信息安全策略,自上而下地制定安全策略密码技术与方法不要使用太复杂的方法:RSA密码系统不要使用太昂贵的设备采用多防线技术不要太过于依赖系统操作:定期备份,基本的安全建议,阻止或禁用所有没有显式允许的行为总要设置足够复杂的口令,并经常
3、更改认真地使用厂商发布的补丁进行更新使用最小的权限授权所有的访问有限的信任对所有的外部接口(包括拨号接口)心存怀疑启用监视、记录、审查和检测功能做好事件响应能力和业务连续能力的规划技术并不能保护你不受到来自社会的攻击开发安全策略,获得管理层的认可并广泛应用进行真实的风险评估比敌人更了解你的平台和应用程序,入侵、病毒检测,安全通信,访问控制,身份验证,2、信息安全技术体系架构,密码算法,信息安全模型(一),P,M,R,R,D,安全模型MP2DRR,访问控制机制,入侵检测机制,安全响应机制,备份与恢复机制,管理,P,安全策略,信息安全模型(二),基于OSI参考模型的安全技术,网络层攻击,数据链路攻
4、击,应用层攻击,安全协议,信息安全,主机安全 主要考虑保护合法用户对于授权资源的使用,防止非法入侵者对于系统资源的侵占与破坏.其最常用的办法是利用操作系统的功能,如Unix的用户认证、文件访问权限控制、记帐审计等。 网络安全 主要考虑网络上主机之间的访问控制,防止来自外部网络的入侵,保护数据在网上传输时不被泄密和修改其最常用的方法是防火墙、加密等。,网络安全组件,网络的整体安全是由安全操作系统、应用系统、防火墙、网络监控、安全扫描、信息审计、通信加密、灾难恢复、网络反病毒等多个安全组件共同组成的,每一个单独的组件只能完成其中部分功能,而不能完成全部功能,主机网络安全系统体系结构,信息安全技术,
5、技术体系信息安全防护信息安全检测信息安全响应信息安全恢复信息安全审计安全机制评估认证授权监控审计应急,信息安全风险评估机制,信息安全风险评估机制作用:及时发现安全隐患,便于事前响应提供信息安全决策信息信息安全风险评估机制组成:信息资产健康档案库漏洞扫描系统安全渗透工具,信息安全认证授权机制,信息安全认证授权机制作用:防止非法者进入限制合法者权限信息安全认证授权机制组成:身份识别系统授权系统密码管理系统,信息安全防护机制,信息安全防护机制作用:防止信息安全攻击发生切断攻击链信息安全防护机制组成:防火墙系统网络隔离系统病毒防范系统补丁管理系统IPS系统VPN终端安全管理系统,信息安全监控机制,监控
6、机制作用监测可潜在威胁提供安全状态报告安全预警减少安全事件造成的影响提高应急响应的能力 监控机制组成漏洞扫描系统IP定位系统入侵检测报警事件关联分析威胁场景数据库,信息安全审计机制,审计机制用途威慑违法行为安全策略一致性检查安全取证审计机制组成人工登记操作系统审计数据库审计防火墙日志网络设备日志专用审计设备,应急响应机制,应急响应机制组成: 应急管理系统应急响应预案应急响应指挥通信监控系统备份系统容灾系统应急响应工具应急响应机制目标:安全事件快速处置灾害恢复,BS7799信息安全管理体系一般建立方法,信息安全等级保护体系建立方法,1.定级2.安全设计和规划3.安全实施4.安全运行5.监控与改进
7、,定级,1.系统资产识别2.系统资产价值确认,安全设计和规划,监控与改进,企业网络安全风险分析,企业网络拓扑和应用分析企业网络安全风险分析企业网络安全的风险评估,企业网络拓扑和应用分析,财务VLAN,工程技术VLAN,项目VLAN,对内服务器VLAN,对外服务器,Internet,企业网络安全风险分析,物理层安全分析,设备防盗,防毁 链路老化,人为破坏,被动物咬断等 网络设备自身故障 停电导致网络设备无法工作 机房电磁辐射 其他,网络层安全分析,安全的网络拓扑结构风险 非法用户对服务器的安全威胁 内部局域网带来安全威胁,操作系统层安全分析,1000个以上的商用操作系统安全漏洞 没有及时添加安全
8、补丁 病毒程序的传播 文件/用户权限设置错误 默认安装的不安全设置 缺省用户的权限和密码口令 用户设置过于简单密码使用 特洛依木马,应用层安全分析,网上浏览应用安全 电子邮件应用安全 WWW应用的安全 FTP应用的安全 Telnet的安全性 网络管理协议(SNMP) 应用层的身份识别,管理层安全分析,内部人员信息泄漏风险; 机房没有任何限制,任何人都可以进出; 内部工作人员因误操作而带来安全风险; 内部员工在未经允许在内部网上做攻击测试; 建立各种网络安全规范。,企业网络安全规划,企业网络安全规划的原则企业网络安全规划体系企业网络安全解决技术,企业网络安全规划的原则,“木桶”原则 “整体性”原
9、则 “有效性与实用性”原则 “安全性评价”原则 “等级性”原则 “动态化”原则 有的放矢、各取所需原则,企业网络安全规划体系,“防护检测分析响应” 的安全防护体系,信息安全体系建设典型解决方案,统一用户管理网络安全边界控制网络安全集中监测网络集中统一防病毒网络内容安全管理远程访问安全补丁统一管理桌面安全管理应用系统统一认证,拨号用户 B,拨号用户 C,拨号用户 A,拨号用户 D,Internet,垃圾邮件,病毒破坏,黑客攻击,资源滥用,信息泄密,DOS攻击,不良信息,终端安全,信息丢失,未授权接入,非法外联监控,安全事件处理,IT 系统运维面临的问题,现有网络安全防御体制,现有网络安全体制,I
10、DS68%,杀毒软件99%,防火墙98%,ACL(规则控制)71%,*2004 CSI/FBI Computer Crime and Security Survey资料来源:Computer Security Institute,移动用户D,广域网,如何进行信息系统的等级化保护?,各信息系统依据重要程度的等级需要划分不同安全强度的安全域,采取不同的安全控制措施和制定安全策略,完成安全设施的重新部署或响应,如何从全局角度对安全状况分析、评估与管理,获得全局安全视图,制定安全策略指导或自动,Internet,p,用户如何管理现有安全资源并执行策略机制?,补丁服务器,p,打补丁了吗?,更新补丁了吗?
11、,p,p,p,p,p,p,p,p,p,p,p,困境无法知道哪些机器没有安装漏洞补丁知道哪些机器但是找不到机器在哪里机器太多不知如何做起,系统安全漏洞微软每周都有数个修正档需要更新2003年Windows 2000 Server有50个漏洞补丁,Internet,用户如何防止内部信息的泄露?,未经安全检查与过滤,违规接入内部网络,私自拨号上网,Internet,用户如何实现积极防御和综合防范?,怎样定位病毒源或者攻击源,怎样实时监控病毒 与攻击,语音教室网段,财务网段,多媒体教室网段,内部办公网段1,数字图书馆网段,教学网段1,网站,OA网段,教学网段3,教学网段2,教学网段4,网管网段,校园网
12、服务器群,Internet,保户网络与基础设施的安全,1、网络设备2、通讯设备3、通讯线路4、可用性5、机密性6、完整性7、可管理性,保护边界与外部连接,边界进出数据流的有效控制与监视,保护计算环境,操作系统数据库系统终端,保护应用业务系统,办公自动化系统其他应用系统.,网络基础设施保护需求,教学网段5,内部办公N,Intranet,边界处的访问控制,边界处的病毒与恶意代码防护,边界内部的网络扫描与拨号监控,边界处的网络入侵检测,边界处的认证与授权,网络边界与外部连接的保护需求,边界处的垃圾邮件和内容过滤,计算环境的保护需求,基于主机的入侵检测,基于主机的恶意代码和病毒检测,主机脆弱性扫描,主
13、机系统加固,主机文件完整性检查,主机用户认证与授权,主机数据存储安全,主机访问控制,管理分析 & 实施策略,Modem,看不懂,进不来,改不了,跑不了,可审查,信息安全的目的,打不垮,采取的解决办法一,对于非法访问及攻击类 -在非可信网络接口处安装访问控制防火墙、蠕虫墙、Dos/DDos墙、IPsec VPN、SSL VPN、内容过滤系统,领导网段,Internet,防火墙、IPSEC VPN、SSL VPN、内容过滤等,防DOS/DDOS设备,个人安全套件,语音教室网段,财务网段,多媒体教室网段,内部办公网段1,数字图书馆网段,内部办公N,OA网段,教学网段3,教学网段2,教学网段4,网管网
14、段,校园网服务器群,教学网段5,采取的解决办法二,对于病毒、蠕虫、木马类 -实施全网络防病毒系统对于垃圾邮件类 -在网关处实施防垃圾邮件系统,Internet,邮件过滤网关、反垃圾邮件系统,在MAIL系统中邮件病毒过滤系统、反垃圾邮件系统,领导网段,语音教室网段,财务网段,多媒体教室网段,内部办公网段1,数字图书馆网段,内部办公N,OA网段,教学网段3,教学网段2,教学网段4,网管网段,校园网服务器群,教学网段5,采取的解决办法三,对于内部信息泄露、非法外联、内部攻击类 -在各网络中安装IDS系统 -在系统中安装安全隐患扫描系统 -在系统中安装事件分析响应系统 -在主机中安装资源管理系统 -在
15、主机中安装防火墙系统 -在重要主机中安装内容过滤系统 -在重要主机中安装VPN系统,人事商务网段,Internet,领导网段,语音教室网段,财务网段,多媒体教室网段,内部办公网段1,数字图书馆网段,内部办公N,OA网段,教学网段3,教学网段2,教学网段4,网管网段,校园网服务器群,教学网段5,采取的解决办法四,对于系统统一管理、信息分析、事件分析响应 -在网络中配置管理系统 -在网络中配置信息审计系统 -在网络中配置日志审计系统 -在网络中补丁分发系统 -在网络中配置安全管理中心,销售体系网段N,Internet,安全审计中心,01010100,01010100,01010100,010101
16、00,01010100,01010100,01010100,01010100,01010100,01010100,01010100,01010100,领导网段,语音教室网段,财务网段,多媒体教室网段,内部办公网段1,数字图书馆网段,内部办公N,OA网段,教学网段3,教学网段2,教学网段4,网管网段,校园网服务器群,教学网段5,Internet,领导网段,语音教室网段,财务网段,多媒体教室网段,内部办公网段1,数字图书馆网段,内部办公N,OA网段,教学网段3,安服网段,教学网段4,网管网段,校园网服务器群,教学网段5,网络安全接入与认证,802.1x协议及工作机制 基于RADIUS的认证计费 基
17、于802.1x的认证计费 几种认证方式比较 防止IP地址盗用 802.1x+RADIUS的应用案例,802.1x协议及工作机制,802.1x协议称为基于端口的访问控制协议(Port Based Network Access Control Protocol),该协议的核心内容如下图所示。靠近用户一侧的以太网交换机上放置一个EAP(Extensible Authentication Protocol,可扩展的认证协议)代理,用户PC机运行EAPoE(EAP over Ethernet)的客户端软件与交换机通信。,802.1x协议包括三个重要部分:客户端请求系统(Supplicant System
18、)认证系统(Authenticator System)认证服务器(Authentication Server System),802.1x协议及工作机制,上图描述了三者之间的关系以及互相之间的通信。客户机安装一个EAPoE客户端软件,该软件支持交换机端口的接入控制,用户通过启动客户端软件发起802.1x协议的认证过程。,认证系统通常为支持802.1x协议的交换机。该交换机有两个逻辑端口:受控端口和非受控端口。非受控端口始终处于双向连通状态,主要用来传递EAPoE协议帧,保证客户端始终可以发出或接受认证。受控端口只有在认证通过之后才导通,用于传递网络信息。如果用户未通过认证,受控端口处于非导通状
19、态,则用户无法访问网络信息。受控端口可配置为双向受控和仅输入受控两种方式,以适应不同的应用环境。,基于RADIUS的认证计费,衡量RADIUS的标准 RADIUS的性能是用户该关注的地方,比如,能接受多少请求以及能处理多少事务。同时遵循标准,并具备良好的与接入控制设备的互操作性是RADIUS服务器好坏的重要指标。安全性也是关注的重点,服务器在和网络接入服务器(NAS,Network Access Servers)通信的过程中是如何保证安全和完整性的。另外,RADIUS是否能够让管理员实现诸多管理安全特性和策略是非常重要的一环。是否支持强制时间配额,这种功能使网络管理员可以限制用户或用户组能够通
20、过RADIUS服务器接入网络多长时间。RADIUS服务器是否都通过ODBC或JDBC,利用SQL Server数据库保存和访问用户配置文件。,RADIUS认证系统的组成RADIUS是一种C/S结构的协议。Radius Client一般是指与NAS通信的、处理用户上网验证的软件;Radius Server一般是指认证服务器上的计费和用户验证软件。Server与Client通信进行认证处理,这两个软件都是遵循RFC相关Radius协议设计的。RADIUS的客户端最初就是NAS,现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。如下图。,RADIUS的工作原理用户接入NAS,
21、NAS向RADIUS服务器使用Access-Require数据包提交用户信息,包括用户名、口令等相关信息。其中用户口令是经过MD5加密的,双方使用共享密钥,这个密钥不经过网络传播。RADIUS服务器对用户名和密码的合法性进行检验,必要时可以提出一个Challenge,要求进一步对用户认证,也可以对NAS进行类似的认证。如果合法,给NAS返回Access-Accept数据包,允许用户进行下一步工作,否则返回Access-Reject数据包,拒绝用户访问。如果允许访问,NAS向RADIUS服务器提出计费请求Account-Require,RADIUS服务器响应Account-Accept,对用户的
22、计费开始,同时用户可以进行自己的相关操作。,基于802.1x的认证计费,(1)用户开始上网时,启动802.1x客户端软件。该软件查询网络上能处理EAPoE数据包的交换机。当支持802.1x协议的交换机接收到EAPoE数据包时,就会向请求者发送响应的包,要求用户输入登录用户名及口令。(2)客户端收到交换机的响应后,提供身份标识给认证服务器。由于此时客户端还未经过验证,因此认证流只能从交换机未受控逻辑端口经过。交换机通过EAP协议将认证流转发到AAA服务器,进行认证。(3)如果认证通过,则认证系统的交换机的受控逻辑端口打开。(4)客户端软件发起DHCP请求,经认证交换机转发到DHCP Server
23、。(5)DHCP Server为用户分配IP地址。,(6)DHCP Server分配的地址信息返回给认证系统的服务器,服务器记录用户的相关信息,如用户ID,MAC,IP地址等信息,并建立动态的ACL访问列表,以限制用户的权限。(7)当认证交换机检测到用户的上网流量,就会向认证服务器发送计费信息,开始对用户计费。(8)当用户退出网络时间,可用鼠标点击客户端软件(在用户上网期间,该软件处于运行状态)的“退出”按钮。认证系统检测到该数据包后,会通知AAA(Authentication,Authorization,Accounting)服务器停止计费,并删除用户的相关信息(如MAC和IP地址),受控逻
24、辑端口关闭。用户进入再认证状态。(9)如果上网的PC机异常死机,当验证设备检测不到PC机在线状态后,则认为用户已经下线,即向认证服务器发送终止计费的信息。,几种认证方式比较,PPPoE: PPPoE的本质就是在以太网上运行PPP协议。由于PPP协议认证过程的第一阶段是发现阶段,广播只能在二层网络,才能发现宽带接入服务器。因此,也就决定了在客户机和服务器之间,不能有路由器或三层交换机。另外,由于PPPoE点对点的本质,在客户机和服务器之间,限制了组播协议存在。这样,将会在一定程度上,影响视频业务的开展。除此之外,PPP协议需要再次封装到以太网中,所以效率较低。,WebDHCP:采用旁路方式网络架
25、构时,不能对用户进行类似带宽管理。另外,DHCP是动态分配IP地址,但其本身的成熟度加上设备对这种方式支持力度还较小,故在防止用户盗用IP地址等方面,还需要额外的手段来控制。除此之外,用户连接性差,易用性不够好。,802.1x:802.1x协议为二层协议,不需要到达三层,而且接入交换机无须支持802.1q的VLAN,对设备的整体性能要求不高,可以有效降低建网成本。业务报文直接承载在正常的二层报文上,用户通过认证后,业务流和认证流实现分离,对后续的数据包处理没有特殊要求。在认证过程中,802.1x不用封装帧到以太网中,效率相对较高。,防止IP地址盗用,1. 使用ARP命令(1)使用操作系统的AR
26、P命令进入“MS-DOS方式”或“命令提示符”,在命令提示符下输入命令:ARP s 202.207.176.3 00-10-5C-AD-72-E3,即可把MAC地址00-10-5C-AD-72-E3和IP地址202.207.176.3捆绑在一起。这样,就不会出现客户机IP地址被盗用而不能正常使用网络的情况发生。ARP命令仅对局域网的上网服务器、客户机的静态IP地址有效。当被绑定IP地址的计算机宕机后,地址帮绑定关系解除。如果采用Modem拨号上网或是动态IP地址就不起作用。ARP命令的参数的功能如下:ARP -s -d -a-s:将相应的IP地址与物理地址的捆绑,如以上所举的例子。-d:删除相
27、应的IP地址与物理地址的捆绑。-a:通过查询ARP协议表显示IP地址和对应物理地址的情况。,(2)使用交换机的ARP命令例如,Cisco的二层和三层交换机。在二层交换机只能绑定与该交换机IP地址具有相同网络地址的IP地址。在三层交换机可以绑定该设备所有VLAN的IP地址。交换机支持静态绑定和动态帮绑定,一般采用静态绑定。其绑定操作过程是:采用Telnet命令或Console口连接交换机,进入特权模式;输入config,进入全局配置模式;输入绑定命令:arp 202.207.176.3 0010.5CAD.72E3 arpa;至此,即可完成绑定。绑定的解除,在全局配置模式下输入:no arp 2
28、02.207.176.3即可。,防止IP地址盗用,2. 使用802.1x的安全接入与Radius认证(1)采用IP和账号绑定,防止静态IP冲突 用户进行802.1x认证时,用户还没有通过认证,该用户与网络是隔离的,其指定的IP不会与别的用户IP冲突。当用户使用账号密码试图通过认证时,因为认证服务器端该用户账号和其IP做了绑定,认证服务器对其不予通过认证,从而同样不会造成IP冲突。当用户使用正确的账号IP通过认证后,再更改IP时,Radius客户端软件能够检测到IP的更改,即刻剔除用户下线,从而不会造成IP冲突。,(2)采用客户IP属性校验,防止动态IP冲突 用户进行802.1X认证前不用动态获
29、得IP,而是静态指定。认证前用户还没有通过认证,该用户与网络是隔离的,其指定的IP不会与别的用户IP冲突。当用户使用账号密码试图通过认证,因为认证服务器端该用户账号的IP属性是动态IP,认证报文中该用户的IP属性确是静态IP,则认证服务器对其不予通过认证,从而同样不会造成IP冲突。,802.1x+RADIUS的应用案例,网络病毒及防御,瑞星网络版的防杀毒系统,保护网络边界,网络边界,防火墙和路由器应用使用网络DMZ构建入侵检测系统路由器认证技术及应用,防火墙和路由器应用 -1,边界安全设备叫做防火墙。防火墙阻止试图对组织内部网络进行扫描,阻止企图闯入网络的活动,防止外部进行拒绝服务(DoS,D
30、enial of Service)攻击,禁止一定范围内黑客利用Internet来探测用户内部网络的行为。阻塞和筛选规则由网管员所在机构的安全策略来决定。防火墙也可以用来保护在Intranet中的资源不会受到攻击。不管在网络中每一段用的是什么类型的网络(公共的或私有的)或系统,防火墙都能把网络中的各个段隔离开并进行保护。,双防火墙体系结构,防火墙和路由器应用 -2,防火墙通常与连接两个围绕着防火墙网络中的边界路由器一起协同工作(下图),边界路由器是安全的第一道屏障。通常的做法是,将路由器设置为执报文筛选和NAT,而让防火墙来完成特定的端口阻塞和报文检查,这样的配置将整体上提高网络的性能。根据这个
31、网络结构设置防火墙,最安全也是最简单的方法就是:首先阻塞所有的端口号并且检查所有的报文,然后对需要提供的服务有选择地开放其端口号。通常来说,要想让一台Web服务器在Internet上仅能够被匿名访问,只开放80端口(http协议)或443端口(httpsSSL协议)即可。,使用网络DMZ,把Web服务器放在DMZ中,必须保证Web服务器与的Intranet处于不同的子网。这样当网络流量进入路由器时,连接到Internet上的路由器和防火墙就能对网络流量进行筛选和检查了。这样,就证实了DMZ是一种安全性较高的措施;所以除了Web服务器,还应该考虑把E-mail(SMTP/POP)服务器和FTP服
32、务器等,也一同放在DMZ中 。,构建入侵检测系统,入侵检测系统可分为基于网络的IDS,基于主机的IDS、分布式IDS和智能IDS。基于网络的IDS适应能力强,其开发难度略小于其他几种。根据CIDF规范,一般从功能上将入侵检测系统划分为四个基本部分:数据采集子系统、数据分析子系统、控制台子系统、数据库管理子系统,如下图所示。,构建入侵检测系统建构步骤,获取libpcap和tcpdump审计踪迹是IDS的数据来源,而数据采集机制是实现IDS的基础,否则,入侵检测就无从谈起。数据采集子系统位于IDS的最底层,其主要目的是从网络环境中获取事件,并向其他部分提供事件。目前比较流行的做法是:使用libpc
33、ap和tcpdump,将网卡置于“混杂”模式,捕获某个网段上所有的数据流。libpcap和tcpdump在网上广为流传,读者可以到相关网站下载。 libpcap是Unix或Linux从内核捕获网络数据包的必备工具,它是独立于系统的API接口,为底层网络监控提供了一个可移植的框架,可用于网络统计收集、安全监控、网络调试等应用。 tcpdump是用于网络监控的工具,是Unix上常用的sniffer。它的实现基于libpcap接口,通过应用布尔表达式进行过滤转换、包获取和包显示等功能。tcpdump可以帮助网管员描述系统的正常行为,并最终识别出那些不正常的行为。当然,它只是有益于收集关于某网段上的数
34、据流(网络流类型、连接等)信息,至于分析网络活动是否正常,那是程序员和管理员所要做的工作。,构建并配置探测器,实现数据采集 应根据自己网络的具体情况,选用合适的软件及硬件设备。如果网络数据流量很小,用一般的PC机安装Linux即可,如果所监控的网络流量非常大,则需要用一台性能较高的机器。在Linux服务器上开出一个日志分区,用于采集数据的存储。 创建libpcap库。从网上下载的通常都是libpcap.ta r.z的压缩包,所以,应先将其解压缩、解包,然后执行配置脚本,创建适合于自己系统环境的Makefile,再用make命令创建ibpcap库。libpcap安装完毕之后,将生成一个libpc
35、ap库三个include文件和一个man页面(即用户手册)。 创建tcpdump。与创建libpcap的过程一样,先将压缩包解压缩、解包到与libpcap相同的父目录下,然后配置、安装tcpdump。,建立数据分析模块 数据分析模块相当于IDS的大脑,必须具备高度的“智慧”和“判断能力”。所以,在设计此模块之前,需要对各种网络协议、系统漏洞、攻击手法、可疑行为等有一个很清晰、深入的研究,然后制订出相应的安全规则库和安全策略;再分别建立滥用检测模型和异常检测模型,让机器模拟人脑的分析过程,识别确知特征的攻击和异常行为,最后将分析结果形成报警消息,发送给控制管理中心。 设计数据分析模块的工作量浩大
36、,需要特别注意三个问题:应优化检测模型和算法的设计,确保系统的执行效率;安全规则的制订要充分考虑包容性和可扩展性,以提高系统的伸缩性;报警消息要遵循特定的标准格式,增强其共享与互操作能力,切忌随意制订消息格式的不规范做法。,构建控制台子系统 控制台子系统的主要任务有两个:管理数据采集分析中心,以友好、便于查询的方式显示数据采集分析中心发送过来的警报消息;根据安全策略进行一系列的响应动作,以阻止非法行为,确保网络的安全。 控制台子系统的设计重点是:警报信息查询、探测器管理、规则管理及用户管理。,构建数据库管理子系统 该模块的数据来源有两个: 数据分析子系统发来的报警信息及其他重要信息; 管理员经
37、过条件查询后对查询结果处理所得的数据,如生成的本地文件、格式报表等。,联调 以上几步完成之后,一个IDS的最基本框架已被实现。但要使这个IDS顺利地运转起来,还需要保持各个部分之间安全、顺畅地通信和交互,这就是联调工作所要解决的问题。,首先,要实现数据采集分析中心和控制管理中心之间的通信,二者之间是双向的通信。控制管理中心显示、整理数据采集分析中心发送过来的分析结果及其他信息,数据采集分析中心接收控制管理中心发来的配置、管理等命令。注意确保这二者之间通信的安全性,最好对通信数据流进行加密操作,以防止被窃听或篡改。同时,控制管理中心的控制台子系统和数据库子系统之间也有大量的交互操作,如警报信息查询、网络事件重建等。联调通过之后,一个基本的IDS就搭建完毕。后面要做的就是不断完善各部分功能,尤其是提高系统的检测能力。,
