92124部隊 劉 超 趙希晶

1.引言

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和應(yīng)用范圍的擴大，人們越來越依賴于網(wǎng)絡(luò)進行信息的處理。信息基礎(chǔ)設(shè)施己成為國民經(jīng)濟的一個重要支撐點，作為信息基礎(chǔ)設(shè)施的一個重要組成部分，信息安全關(guān)系到國家的存亡，經(jīng)濟的發(fā)展，社會的穩(wěn)定。隨著網(wǎng)絡(luò)攻擊工具和攻擊手法的日趨復(fù)雜化多樣化，僅靠傳統(tǒng)的網(wǎng)絡(luò)安全防范措施己無法滿足對網(wǎng)絡(luò)安全的要求，因此，網(wǎng)絡(luò)安全是目前一項十分重要的任務(wù)。入侵檢測系統(tǒng)(Intrusion Detection System，IDS)是近年來發(fā)展迅速的一種新型的網(wǎng)絡(luò)安全技術(shù)。

入侵檢測系統(tǒng)是指能夠通過分析與系統(tǒng)安全相關(guān)的數(shù)據(jù)來檢測入侵活動的系統(tǒng)，包括入侵檢測的軟件和硬件的組合。從系統(tǒng)所執(zhí)行的功能上來考慮，入侵檢測系統(tǒng)必須包括如下三個功能部件：提供事件記錄流的數(shù)據(jù)收集部件、發(fā)現(xiàn)入侵跡象的分析引擎和基于分析引擎的結(jié)果產(chǎn)生的響應(yīng)部件。網(wǎng)絡(luò)入侵檢測系統(tǒng)作為新一代的動態(tài)安全防范技術(shù)，它通過對計算機網(wǎng)絡(luò)或系統(tǒng)中若干關(guān)鍵點數(shù)據(jù)的收集，并對其進行分析，從而發(fā)現(xiàn)是否有違反安全策略的行為和被攻擊的跡象。網(wǎng)絡(luò)入侵檢測系統(tǒng)能檢測到誰正在攻擊當(dāng)前的網(wǎng)絡(luò)，從而及時通知網(wǎng)絡(luò)管理員進行響應(yīng)，減少入侵行為帶來的損失，也能知道網(wǎng)絡(luò)是如何被攻擊的，從而有助于安全專家分析攻擊過程，由此得出系統(tǒng)或配置方面的漏洞，防止再次受到同樣的攻擊。一個完備的入侵檢測系統(tǒng)一定是基于主機和基于網(wǎng)絡(luò)兩種方式兼?zhèn)涞南到y(tǒng)。不同的體系結(jié)構(gòu)。不同的技術(shù)途徑實現(xiàn)的入侵檢測系統(tǒng)都各有優(yōu)缺點，具體采用那種模型和技術(shù)，都要根據(jù)具體的環(huán)境來選擇。

2.入侵檢測系統(tǒng)的整體結(jié)構(gòu)

系統(tǒng)的拓撲結(jié)構(gòu)圖

3.入侵檢測系統(tǒng)建立的軟、硬件選擇

3.1 入侵檢測系統(tǒng)（IDS）的硬件選擇

IDS選擇硬件時，必須考慮到將要監(jiān)視的網(wǎng)絡(luò)的規(guī)模，探測器的性能必須和所要監(jiān)視的網(wǎng)絡(luò)的規(guī)模相匹配。使用IDS的目標(biāo)是檢測網(wǎng)絡(luò)上感興趣的數(shù)據(jù)流，所以匹配的探測器的關(guān)鍵是保證所有的包都被捕獲和記錄。顯然，偶爾的丟包是會發(fā)生的，目標(biāo)是構(gòu)建一個好的IDS系統(tǒng)，使得由于硬件的局限性而引起的丟包可能減少到最小。因此我們的目標(biāo)是：

（1）盡量減少丟包。

（2）保證安裝的系統(tǒng)能夠完成預(yù)計要完成的任務(wù)。

（3）節(jié)約開支。

例如，我們可以對四個最關(guān)鍵的硬件作出以下選擇：

1）處理器

選擇使用intel Pentium IV 3.06Ghz處理器。所以使用這種處理器，關(guān)鍵在于它使用了超線程技術(shù)。這種技術(shù)模擬了多個處理器系統(tǒng)，保證了系統(tǒng)在運行其他進程時，允許snort在另一個管道中持續(xù)運行而不會喪失大部分處理器性能，從而在實際上限制了任何網(wǎng)絡(luò)監(jiān)視的暫停。當(dāng)然，使用這種處理器，限制了我們對操作系統(tǒng)的選擇，因為只有在windows系統(tǒng)上才能最充分的發(fā)揮其性能。

在醫(yī)學(xué)教育中臨床實習(xí)是重要組成部分，同時也是學(xué)生將理論知識運用到臨床中的一個過程，在婦產(chǎn)科中比較重視理論與實踐的相結(jié)合，臨床帶教工作可促使醫(yī)學(xué)生在極短的時間內(nèi)掌握臨床技能，在理論知識的基礎(chǔ)上得到提升。針對我國的實際情況來說因受到醫(yī)療體制改革、帶教意識差等因素從而影響了臨床帶教的質(zhì)量。婦產(chǎn)科所涉及的是患者的隱私問題，因而增加了婦產(chǎn)科的帶教困難[1]。

2）內(nèi)存

內(nèi)存的大小直接影響到系統(tǒng)的運行速度。目前x86系統(tǒng)所使用的RAM價格便宜，可用選用x86，對系統(tǒng)配置2G的內(nèi)存。

3）存儲介質(zhì)

在選擇存儲介質(zhì)前，必須確定每天如何操作IDS。如果是建立一個庫存儲每天的日志文件，那么硬盤較小就可以了，但如果打算每周或者每月備份一次日志文件，那么硬盤就需要大容量了。結(jié)合我們實際使用的系統(tǒng)，需要每日備份日志文件，但周末需要系統(tǒng)記錄3日的數(shù)據(jù)，且現(xiàn)在硬盤價格很便宜，所以系統(tǒng)仍使用大容量硬盤160G。

4）網(wǎng)卡

選擇2塊網(wǎng)卡，一塊網(wǎng)卡用于正常的網(wǎng)絡(luò)通信，另一塊網(wǎng)卡用于監(jiān)聽。網(wǎng)卡的選擇必須和連接的交換機的速率相匹配，否則丟包明顯，甚至無法抓包。因此針對連接不同交換機的IDS選擇百兆、千兆intel網(wǎng)卡。

3.2 IDS操作系統(tǒng)的選擇。

為安裝snort時通常要考慮易用性、成熟性、兼容性、通用性等因素。選擇操作系統(tǒng)平臺。

首先，系統(tǒng)管理員對操作系統(tǒng)最有效的選擇就是他最熟悉的操作系統(tǒng)。例如如果對windonws及其軟件的使用非常熟悉，但是在linux方面卻完全是個新手，那么很顯然應(yīng)選擇windows。另一個影響我們選擇的因素是操作系統(tǒng)的易用性。在任何一種操作系統(tǒng)上安裝snort都會比較復(fù)雜。相對而言，在windows上安裝和使用snort比較容易。雖然在windows系統(tǒng)上運行snort有一些技術(shù)復(fù)雜度，例如winpcap問題、內(nèi)核升級問題以及系統(tǒng)修復(fù)問題等等，但是很容易找到解決任何可能出現(xiàn)的問題的相關(guān)文檔。我們還需要考慮性能問題，雖然windows不如unix擁有出色的性能，但是我們也考慮到硬件對操作系統(tǒng)的影響非常大，而x86架構(gòu)系統(tǒng)的硬件現(xiàn)在非常便宜，完全可以彌補windows性能上的不足。綜上，得出選擇IDS平臺的黃金法則：“選擇最熟悉的并且是能夠最容易地被集成到現(xiàn)有環(huán)境的平臺。”通常我們選擇windows作為系統(tǒng)的操作系統(tǒng)。

4.IDS系統(tǒng)的實現(xiàn)

結(jié)合系統(tǒng)結(jié)構(gòu)及安全要求，在整個系統(tǒng)中部署兩類IDS，一個是部署在外部防火墻和路由器之間，監(jiān)控內(nèi)外網(wǎng)之間的數(shù)據(jù)，它是基于特征的入侵檢測技術(shù)的。另一類連接在內(nèi)網(wǎng)的交換機上，監(jiān)控內(nèi)網(wǎng)中的數(shù)據(jù)流，它是基于策略的入侵檢測技術(shù)。

4.1 內(nèi)部IDS的實現(xiàn)

內(nèi)部網(wǎng)絡(luò)，通常采用基于策略的IDS。為了讓IDS正常工作，必須定義規(guī)則或者攻擊特征，當(dāng)出現(xiàn)新的攻擊行為特征時，我們必須及時把該特征增加到規(guī)則文件內(nèi)，只要不斷的及時更新規(guī)則，就可以保證IDS檢測到最新的攻擊。但這里面存在一個問題，當(dāng)新的攻擊已經(jīng)存在，系統(tǒng)尚未及時做好規(guī)則文件，而此時網(wǎng)絡(luò)中恰巧發(fā)生了這種攻擊行為，就無法知道這種攻擊的存在了。

基于策略的IDS系統(tǒng)工作方式完全和通用IDS系統(tǒng)相反，它僅僅定義網(wǎng)絡(luò)中可以接受的行為，包括特定主機之間的特定通信類型、特定協(xié)議等。它的核心概念是：不屬于可接收行為列表的操作都是潛在的入侵。

基于策略的IDS的好處是，使IDS管理員不必再及時不斷的更新攻擊規(guī)則，只需設(shè)置網(wǎng)絡(luò)中正常的操作行為準(zhǔn)則。其他的都是不正常的可疑的。而且因為基于策略的IDS只需要定義少量可接收的行為規(guī)則，因而比通用IDS的性能更好。但是一般而言基于策略的IDS不適合同外部連接的網(wǎng)絡(luò)。因為和外部連接的數(shù)據(jù)種類太多，無法一一羅列。

4.2 外部IDS的實現(xiàn)

部署在外部防火墻和路由器之間，監(jiān)控內(nèi)外網(wǎng)之間的數(shù)據(jù)，它是基于特征的入侵檢測技術(shù)。

一般通過以下幾個步驟實現(xiàn)：

1）系統(tǒng)安裝，通常安裝微軟的windows 2000 sever；

2）安裝snort；

3）配置snort。

這項技術(shù)目前已比較成熟，在這里不再贅述。

5.結(jié)論

前面所述的方案基本保證了企業(yè)當(dāng)前系統(tǒng)流暢、安全的運行。但隨著計算機技術(shù)的不斷發(fā)展，還會有更復(fù)雜、對安全要求更高的應(yīng)用出現(xiàn)。因此我們還要在這條道路上繼續(xù)走下去。今后對網(wǎng)絡(luò)安全系統(tǒng)的建設(shè)將堅持技術(shù)和管理并重。

在擁有先進手段的前提下，對于網(wǎng)絡(luò)安全問題來說最重要的應(yīng)該是網(wǎng)絡(luò)安全思想，可以說有好的安全思想可以避免絕大多數(shù)的安全問題，所以安全思想意識應(yīng)放在網(wǎng)絡(luò)安全的首要位置。可以采用更加先進的網(wǎng)絡(luò)安全體系架構(gòu)、密碼算法、防火墻、入侵檢測系統(tǒng)和病毒防治軟件等來保衛(wèi)系統(tǒng)的安全。比這些技術(shù)層次上安全措施更為重要的是一套良好的安全制度和安全思想，它們才是確保系統(tǒng)安全的根本

總之網(wǎng)絡(luò)攻擊手段的多元化、復(fù)雜化、智能化，使網(wǎng)絡(luò)安全的形勢日益嚴(yán)峻，保衛(wèi)網(wǎng)絡(luò)安全將是一個持久和艱巨的過程，任重而道遠，需要不斷學(xué)習(xí)，不斷開發(fā)、掌握和使用與安全威脅相斗爭的各種安全技術(shù)和手段。希望有更多的人能加入到研究和維護網(wǎng)絡(luò)安全的行列中，為保護網(wǎng)絡(luò)安全做出自己的貢獻。

[1]李家春,李之棠.入侵檢測系統(tǒng)[J].計算機應(yīng)用研究,2001.

[2]許榕生,劉寶旭,楊澤明等.黑客攻擊技術(shù)揭秘[M].機械工業(yè)出版社,2002.

[3]于磊.網(wǎng)絡(luò)安全利器——snort[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2003.

[4]譚思亮.監(jiān)聽與隱藏——網(wǎng)絡(luò)偵聽揭密與數(shù)據(jù)保護技術(shù)[M].北京:人民郵電出版社,2002.

[5]楊檳.網(wǎng)絡(luò)安全與防火墻[J].計算機系統(tǒng)應(yīng)用,1997.