基于CISCO设备的网络入侵检测系统设计与应用

 2022-01-17 11:01

论文总字数:13531字

目 录

1.绪论 7

1.1研究背景 7

1.1.1 什么是网络安全 7

1.1.2 什么是入侵检测 7

1.2 国内外研究现状以及研究的意义 7

1.2.1 研究的意义 7

1.2.2 国内外研究现状 7

2.常见的入侵手段以及检测方法 8

2.1 数据包嗅探器 8

2.2 IP欺骗 8

2.3 拒绝服务攻击(DOS) 9

2.4 缓冲区溢出攻击 (Buffer Overflow) 11

2.5 网络侦测 12

3.入侵检测系统概述 12

3.1入侵检测系统的基础知识 12

3.1.1 异常检测 12

3.1.2 滥用监测 13

3.2入侵检测系统的类别 13

3.2.1 基于主机的入侵检测系统 13

3.2.2 基于网络的入侵检测系统 13

3.2.3 混合型入侵检测系统 14

4.基于Cisco设备的入侵检测系统 14

4.1基于Cisco设备的IDS模型 14

4.1.1 Cisco 对特征的分类 15

4.2 IDS探测器部署 15

4.2.1 边界保护 15

4.2.2 ExtraNets保护 16

4.2.3 内部网保护 17

4.3 利用模拟软件模拟Cisco设备 17

5.设计及相关配置代码 22

5.1 总体设计 22

5.2 详细设计与相关配置代码 23

结束语 27

致谢 28

参考文献 28

1.绪论

1.1研究背景

1.1.1 网络安全定义

ISO对网络安全做了如下定义:计算机系统安全是能为数据处理系统提供安全性保护,它的保护范围包括:软件、硬件、数据等。网络的安全通常是指采取各种各样的技术和控制措施,使网络环境正常运行,从而保障网络数据流的可用性、完整性和保密性。网络安全的具体意义会随着“定位”的不同而变化。比如:从用户(个人、企业等)的角度来说,他们总是希望所有涉及到私人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护。

网络安全具有保密性、完整性、可用性、可控性、以及可审查性五个方面的特征。

网络安全涉及三个方面:安全威胁、安全服务和安全机制。

1.1.2 入侵检测定义

在说到入侵检测时,有必要说一下防火墙与入侵检测的区别。防火墙是一种将内部网络和公共互联网分离的方法,它实际上是一种隔离技术。防火墙是被动防御的,好比一个军事基地的门卫和防护网。而入侵检测是一种主动式的防御手段,好比军事基地的巡逻兵。当入侵行为通过防火墙时,需要入侵检测系统(Intrusion Detection System)及时检测到入侵并把危害降低到最小。

1.2 国内外研究现状以及研究的意义

1.2.1 研究的意义

最近几年以来,计算机技术的空前发展和网络规模不断扩大,使系统遭受的入侵和攻击越来越多且损失越来越严重,网络与信息安全问题变得尤其突出。计算机网络安全、信息安全已经成为一个国际性问题,每年由网络安全引起的经济损失高达数百亿美元。

计算机安全的主要任务就是入侵防御,目标是将外部威胁阻挡在你的网络和系统之外。身份认证,防火墙,以及大部分类型的病毒防护措施,都算是入侵防御的一类手段。由于现阶段网络环境复杂多样,攻击者的知识越来越丰富,采用的手段也越来越高明。为了保证网络和信息的安全,必须综合使用各种安全技术。入侵检测技术作为一种安全技术,其主要目的在于:第一,识别入侵者;第二,识别入侵行为;第三,检测和监视已成功的安全突破;第四,当入侵发生时提供实时的重要信息,阻止事件的发生和事态的扩大。

1.2.2 国内外研究现状

入侵检测的研究最早可以追溯到James P.Anderson 在1980年的工作。在同年4月,他初次提出了入侵检测的概念,将入侵检测(intrusion Attempt)或威胁(Threat)定义为:潜在的有预谋的未经允许的授权访问信息、操作信息、致使系统不可靠或无法使用的企图。

1990年是入侵检测系统发展史上的一个分水岭。这一年加州大学提出了基于网络的入侵检测系统(NSM)。这是第一次直接将网络流作为审计数据来源。从此,入侵检测系统开始形成两个重要研究方向:基于网络的IDS 和基于主机的IDS。

2002年普渡大学提出了一种全新的入侵检测结构——自治代理结构,同时实现了原型系统AAFID系统。在早期阶段,入侵检测并没有得到人们的重视,网络安全爱好者们出于兴趣才会研究它。因为当时最主流的方法是预防性措施,人们将大部分预算都投入在预防入侵中,比如加密,身份验证,访问控制等等。直到1996年,才逐步出现大量的商用入侵检测系统。现在和未来几年之内的发展趋势是混合型以及分布式入侵检测系统。

2.常见的入侵手段以及检测方法

2.1 数据包嗅探器

因为计算机缓冲区大小有限,所以网络通信把数据流分解成packet,并且按照顺序一个一个发送出去,直到整条消息传送完成。由于许多网络应用是明文发送packet的,所以只要截获了这些数据就可以处理他们。

如今,随处可见大量的共享的数据包嗅探器,这些工具甚至不需要用户理解任何底层协议的东西。数据包嗅探器,实际上就是把网卡设置为杂合模式的软件,在这种模式下,可以捕获所有在局域网内传递的packet。

基于数据包嗅探器的对策:

● 身份认证 —— 使用更加安全的认证方式,比如一次性口令(OTP)。目前所有银行都提供网银令牌,这种网银令牌就是为了创建OTP所必须的工具。他是一种硬件或软件设备,通常在一定间隔内生成随机密码。

● 交换式基础设施 —— 如果整个网络环境都是交换式以太网,攻击者只能获得其连接的端口的packet。

● 防嗅探工具—— 这是专门用于检测网络中是否使用嗅探器的三方安全软件或硬件。这些软件可以检测主机响应时间,来确定主机有无处理超过自身的更多流量。例如:AntiSniff。

● 加密—— 最有效的方式。如果把信道进行加密,嗅探器获得的将不再是明文,而是经过加密的密文。

2.2 IP欺骗

IP欺骗就是外部网络的攻击者冒充一台来自内网范围内的主机或者一台被授权的外网主机。

按照网络互联协议,数据包头含有源地址和目的地址的信息。IP欺骗通过伪造一个数据包头,将源地址改为另外一台主机的地址,从而冒充一个被信任的系统。

图2-1:IP欺骗

针对IP欺骗的对策:

● 访问控制 —— 通过配置访问控制,拒绝所有来自外部网络但源地址属于内网的流量。但是,如果某些外部地址是受信任的,这种方式就无效了,所以这种方式只适合内部地址是唯一受信任的情况下。

● RFC2827过滤 —— 该过滤可以拒绝任何在特定接口上,不是所期望的源IP地址的流量。例如设置一个到IP 155.155.10.1/24的连接,可以设置RFC2827过滤,使只有来自155.155.10.1的流量能进入对应接口。

消除IP欺骗最有效的方式,就是从根本上消除它的作用。IP欺骗是基于IP地址认证的,所以如果附加一些认证,IP欺骗攻击就没有什么用了。

2.3 拒绝服务攻击(DOS)

拒绝服务攻击的目的就是破坏计算机系统,使系统不能正常使用,它通过耗尽主机资源或者耗尽网络资源的方式来达到目的。DOS攻击的套路是通过让系统过载来拒绝提供正常服务,通常DOS攻击仅需要利用一些漏洞就可以进行攻击,所以这种攻击很难被消除。如图2-2所示,这是一个耗尽网络资源的攻击:

图2-2:smurf 攻击

攻击者Attacker 企图攻击目标target ,但是受限于攻击者的带宽只有1.5M, 而目标服务器的带宽有45M,在这种情况下,攻击者很难耗尽目标服务器的资源。而攻击者通过将自己的源地址设为目标服务器的源地址,192.168.1.1,来向192.168.10.255这个广播地址发送icmp-echo包。收到icmp-echo包的目的地址,会回应大量的响应信息给地址为192.168.1.1的target,155M带宽的信息会冲垮45M的服务器带宽,造成网络堵塞,服务器过载。

如图2-3所示,这是一个基于主机的SYN FLOOD攻击:

图2-3:SYN FLOOD攻击

建立TCP连接需三次握手,客户端首先发送SYN给服务器,服务器发回SYN/ACK,客户接到后再发回ACK信息,此时连接建立成功。SYN攻击时客户端伪装一个不可到达的源地址,向目的服务器发送一个SYN,收到信息的服务器会向这个不可达的地址返回一个SYN/ACK,由于收不到客户端返回的ACK,服务器上的TCP 就会一直等待,如果这个发送速率过大,服务器甚至可能崩溃 。

DOS对策:

● 防欺骗特性——配置路由器和防火墙上的防欺骗特性,能够减少风险。

● 防DoS特性——配置适当路由器和防火墙的防DOS特性,有助于限制攻击的效力。这些特性往往与限制在特定时间内系统允许打开或半打开连接的数量有关。

2.4 缓冲区溢出攻击 (Buffer Overflow)

顾名思义,缓冲区溢出的含义就是向缓冲区注入多于其存储容量的数据,造成数据过界。往往溢出的数据只会破坏程序数据,造成程序意外终止。但是若构造一些特殊的溢出数据的内容,那么有可能会获得系统的控制权。操作系统会动态的为应用程序分配内存空间,若攻击者发送一个很长的HTTP,可能会造成缓存存储不下,就会引导指针指向CMD.EXE 这个文件。

2.5 网络侦测

网络侦测是指:利用公开的信息和程序来了解目标网络情况的各种活动。具体包括ping扫描和端口扫描:

● ping扫射——知道特定环境中所有在线主机

● 端口扫描——查询所有已知端口,知道运行在主机上的所有服务。

3.入侵检测系统概述

3.1入侵检测系统的基础知识

入侵检测系统(IDS)的全称Intrusion Detection System,它从计算机网络中的一些关键节点收集信息,并且加以分析,检查网络中是否有违反用户行为模式的迹象和遭受到攻击的迹象。入侵检测的定义是:识别针对计算机或者网络资源的恶意攻击,并且做出正确反应的过程。

IDS是完成上述功能的一个独立系统或者硬件。虽然IDS的目的都是探查入侵者的攻击行为,但是并不是所有的IDS都使用相同的方式来检查入侵,并且产生警报。如今IDS主要使用两类触发机制,异常检测和滥用监测。

3.1.1 异常检测

异常检测通常也被称为基于模型的检测。在使用异常检测之前,我们必须为系统中的每一个用户组创立一套模型。模型中包含用户的使用习惯,通常使用的服务等等。模型为一个正常使用系统的用户定义了一个基线,如果超过了基线,那么系统会判断这是否是一次攻击。

建立这些模型在基于异常检测的IDS中是很大的一部分工作,模型的质量和IDS的质量直接相关联,为了创建一个良好的模型,通常有一下几种方式:

● 统计抽样

剩余内容已隐藏,请支付后下载全文,论文总字数:13531字

相关图片展示:

您需要先支付 80元 才能查看全部内容!立即支付

该课题毕业论文、开题报告、外文翻译、程序设计、图纸设计等资料可联系客服协助查找;