第一篇:网络信息理入侵检测技术研究论文
摘要:随着现代信息技术的进步,越来越多的企业通过计算机进行全面信息的管理,但是在一些情况下,外部木马等的介入会对于企业的数据储存进而造成信息泄露等,所以说针对于现代企业而言,网络安全工作具有十分重要的意义。在这个大前提下,企业如何处理网络信息管理中的入侵检测技术变得非常重要。本文进行了相关分析,希望带来帮助。
关键词:网络信息;管理;入侵检测技术
在现代之中,一些非法分子利用木马进行相应的隐藏,然后通过对于计算机植入木马,进行一些信息的窃取。现代企业在面临网络非法分子进行信息盗取过程之中,首先应该对于入侵行为有着明确的认识,这就需要现代的入侵检测技术了,对于入侵行为有着明确的判定,才能真正的展开后续行动,这对现代网络信息管理而言十分重要。
1网络信息管理中入侵检测技术概述
(1)入侵检测技术在网络信息管理之中的作用。如果说现代计算机作为系统,那么入侵检测技术就相当于保安系统,对于关键信息的储存位置进行定期检查和扫描,一旦发现外来不明用户杜宇关键信息进行查询,便对使用用户进行警告,帮助用户进行入侵行为的相关处理,保障关键的信息系统和数据信息不会收到损坏和盗窃。入侵检测技术同样会对系统之中存在的漏洞进行检查和通报,对于系统之中的漏洞而言,往往便是入侵行为发生的位置,所以针对于这些位置进行处理,更为良好的保证整个系统的安全,对于现代企业网络系统而言,入侵检测技术便是保障的第二道铁闸。
(2)现阶段入侵检测技术的主要流程。通常情况下,入侵检测技主要可以分为两个阶段。第一个阶段便是信息采集,主要便是对于用户的各种信息使用行为和重要信息进行收集,这些信息的收集主要是通过对于重点信息部位的使用信息进行查询得出的,所以说在现代应用之中,入侵检测技术一方面应用了现代的检测技术,另外一方面也对于多种信息都进行了收集行为,保证了收集信息的准确性;第二个阶段便是处理相关信息,通过将收集的信息和过往的信息进行有效对比,然后如果对比出相关错误便进行判断,判断使用行为是否违背了网络安全管理规范,如果判断结果为肯定,那么便可以认定其属于入侵行为,对于使用用户进行提醒,帮助用户对于入侵行为进行清除。
2现阶段入侵检测技术的使用现状
(1)网络信息管理中入侵检测系统的问题。入侵检测技术作为一种网络辅助软件去,其本身在现阶段并不是完善的,自身也存在漏洞。所以说很多非法分子的入侵不仅仅是面对系统的,很多先通过入侵技术的漏洞来进行。针对现阶段的使用过程而言,入侵检测技术仍然存在自身的漏洞危险,也存在主要使用风险。在现阶段存在危险的方面主要有两个方面。一方面便是由于入侵检测系统存在漏洞;另外一方面便是现代计算机技术的发展。无论是相关的检测系统亦或是相关病毒,都是现代编程人员利用C语言进行编程,伴随着相关编程水平的不断提高,两种技术同样得到了自我发展,所以说很多hacker高手在现代的入侵行为之中,已经不能以旧有的眼光来进行相关分析。所以说新的时期,入侵检测技术也应该得到自我的发展,同样针对于应用网络的相关企业做好安全保证,保证信息技术在现代之中的发展。
(2)现阶段网络信息管理之中入侵检测技术存在的问题。网络信息管理之中的入侵检测技术在现代之中仍然存在问题,同样是两个方面问题。一方面是由于入侵技术自身存在漏洞,在现阶段很多入侵检测技术是通过对于入侵行为进行有效的提取,将行为进行归纳,对于行为是否符合现代网络安全规范,然后判断结果是否为入侵。很多时候,入侵行为往往较为隐秘,所以说这就导致了相关的入侵检测技术不能对于入侵行为进行提取,更无从谈起其是否符合网络安全规范。另外一方面的问题便是检测速度明显小于入侵速度,这也是在现阶段常见的问题。随着现代网络技术的发展,网络速度已经得到了有效的自我发展,很多入侵检测过程之中,很多时候检测速度小于网络检测速度,这样的情况下,一些行为尚未进行阻拦,便已经达成入侵的目的了,进而导致了信息的丢失,所以说这方面的问题同样应该得到改善。企业在应用之中,也应该注意这种速度的问题,防止因为速度进而造成自身信息丢失等。
3网络信息管理之中入侵检测技术的具体分类
(1)异常检测,异常检测顾名思义,便是对于入侵行为进行检测,但是由于入侵的性质未定,这就导致很多时候入侵检测技术进行了无用功。现阶段往往入侵检测技术通过建立一个行为轮廓来进行限定,如果入侵行为已经超过了这个行为轮廓,便确定其为入侵行为。这种模式大大简化了行为判定的过程,但是由于过于简单的相应行为也容易出现相关漏洞。在实际工作之中,往往非入侵行为但是在行为轮廓行为之外的网络访问行为,但是在入侵检测技术之中被判断为入侵行为,造成了工作的重复。所以说在进行行为轮廓的确定时,同样应该由一些特征量来确定,减少检测工作可能出现的失误,进而可以提升检测工作的效率;另外一方面可以设置参考数值,通过参考数值的评定来进行评判,在入侵检测技术之中,参考数值非常重要。
(2)误用检测,其应用前提便是所有的入侵行为进行识别并且进行标记。在一般情况下,误用检测便是通过攻击方法来进行攻击签名,然后再通过定义已经完成的攻击签名对于入侵行为进行相关判断。很多行为都是通过漏洞来进行,所以误用检测可以准确的判断出相应入侵行为,不仅预防了入侵行为,还可以对于其他入侵行为进行警示作用。这种技术在实际使用过程之中,提升了入侵检测数的效率和准确。
4结语
在现代信息技术得到发展的今天,网络信息管理已经成为了现代企业非常重要的组成部分。针对于网络安全而言,其自身往往具有一些技术之中的漏洞,所以同样容易引发入侵行为。针对于入侵行为,现代之中有着入侵检测技术,本文对于入侵检测技术的使用进行了分析,希望为相关人员带来相关思考。
参考文献
[1]张丽.入侵检测技术在网络信息管理中的应用分析[J].中国科技博览,2014,第16期:12-12.[2]陈莹莹.网络信息管理中入侵检测技术的研究[J].信息通信,2013,06期:99-99.[3]张伟.计算机网络信息管理系统中的入侵检测技术[J].计算机光盘软件与应用,2014,11期:168-169.
第二篇:入侵检测技术论文
目录
第一章 绪论
1.1 入侵检测技术的背景 1.2 程序设计的目的 第二章 入侵检测系统 2.1 网络入侵概述
2.2 网络存在的安全隐患
2.3 网络入侵与攻击的常用手段 2.4 入侵检测技术
2.4.1 误用入侵检测技术 2.4.2 异常入侵检测技术
第三章 协议分析 3.1 协议分析简介 3.2 协议分析的优势
第四章 PANIDS系统的设计及实现 4.1 PANIDS系统总体结构设计
4.2 系统基本信息读取模块的设计及实现 4.3 网络数据包捕获模块的设计及实现 4.4 基于协议分析的入侵检测模块的设计及实现 4.4.1 数据包的分解 4.4.2 入侵检测的实现 4.5 实验结果及结论
第五章 总结与参考文献
摘要
网络技术高速发展的今天,人们越来越依赖于网络进行信息的处理。因此,网络安全就显得相当重要,随之产生的各种网络安全技术也得到了不断地发展。防火墙、加密等技术,总的来说均属于静态的防御技术。如果单纯依靠这些技术,仍然难以保证网络的安全性。入侵检测技术是一种主动的防御技术,它不仅能检测未经授权的对象入侵,而且也能监视授权对象对系统资源的非法使用。传统的入侵检测系统一般都采用模式匹配技术,但由于技术本身的特点,使其具有计算量大、检测效率低等缺点,而基于协议分析的检测技术较好的解决了这些问题,其运用协议的规则性及整个会话过程的上下文相关性,不仅提高了入侵检测系统的速度,而且减少了漏报和误报率。本文提出了一种基于协议分析的网络入侵检测系统PANIDS的模型,在该模型中通过Winpcap捕获数据包,并对数据包进行协议分析,判断其是否符合某种入侵模式,从而达到入侵检测的目的。
关键词: 入侵检测,协议分析,PANIDS
第一章 绪论
1.1 入侵检测技术的背景
随着计算机网络的飞速发展,网络通信已经渗透到社会经济、文化和科学的各个领域;对人类社会的进步和发展起着举足轻重的作用,它正影响和改变着人们工作、学习和生活的方式。另外,Internet的发展和应用水平也已经成为衡量一个国家政治、经济、军事、技术实力的标志;发展网络技术是国民经济现代化建设不可缺少的必要条件。网络使得信息的获取、传递、存储、处理和利用变得更加有效、迅速,网络带给人们的便利比比皆是。然而,网络在给人们的学习、生活和工作带来巨大便利的同时也带来了各种安全问题。网络黑客可以轻松的取走你的机密文件,窃取你的银行存款,破坏你的企业帐目,公布你的隐私信函,篡改、干扰和毁坏你的数据库,甚至直接破坏你的磁盘或计算机,使你的网络瘫痪或者崩溃。因此,研究各种切实有效的安全技术来保障计算机系统和网络系统的安全,已经成为刻不容缓的课题。伴随着网络的发展,各种网络安全技术也随之发展起来。常用的网络安全技术有:数据加密、虚拟专用网络(VPN,Virtual Private Network)、防火墙、杀毒软件、数字签名和身份认证等技术。这些传统的网络安全技术,对保护网络的安全起到非常重要的作用,然而它们也存在不少缺陷。例如,防火墙技术虽然为网络服务提供了较好的身份认证和访问控制,但是它不能防止来自防火墙内部的攻击、不能防备最新出现的威胁、不能防止绕过防火墙的攻击,入侵者可以利用脆弱性程序或系统漏洞绕过防火墙的访问控制来进行非法攻击。传统的身份认证技术,很难抵抗脆弱性口令、字典攻击、特洛伊木马、网络窥探器以及电磁辐射等攻击手段。虚拟专用网技术只能保证传输过程中的安全,并不能防御诸如拒绝服务攻击、缓冲区溢出等常见的攻击。另外,这些技术都属于静态安全技术的范畴;静态安全技术的缺点是只能静态和消极地防御入侵,而不能主动检测和跟踪入侵。而入侵检测技术是一种动态安全技术,它主动地收集包括系统审计数据,网络数据包以及用户活动状态等多方面的信息;然后进行安全性分析,从而及时发现各种入侵并产生响应。1.2 程序设计的目的
在目前的计算机安全状态下,基于防火墙、加密技术等的安全防护固然重要;但是要根本改善系统的安全现状,必须要发展入侵检测技术。它已经成为计算机安全策略中的核心技术之一。Intrusion Detection System(简称IDS)作为一种主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护。从网络安全立体纵深的多层次防御角度出发,入侵检测理应受到高度重视,这从国外入侵检测产品市场的蓬勃发展就可以看出。在国内,随着上网关键部门、关键业务越来越多,迫切需要具有自主版权的入侵检测产品;但目前我国的入侵检测技术还不够成熟,处于发展和跟踪国外技术的阶段,所以对入侵检测系统的研究非常重要。传统的入侵检测系统中一般采用传统的模式匹配技术,将待分析事件与入侵规则相匹配。从网络数据包的包头开始与攻击特征字符串比较。若比较结果不同,则下移一个字节再进行;若比较结果相同,那么就检测到一个可 能 的攻击。这种逐字节匹配方法具有计算负载大及探测不够灵活两个最根本的缺陷。面对近几年不断出现的ATM、千兆以太网、G比特光纤网等高速网络应用,实现实时入侵检测成为一个现实的问题。适应高速网络的环境,改进检测算法以提高运行速度和效率是解决该问题的一个途径。协议分析能够智能地”理解”协议,利用网络协议的高度规则性快速探测攻击的存在,从而大大减少了模式匹配所需的运算。所以说研究基于协议分析的入侵检测技术具有很强的现实意义。
第二章 入侵检测系统
2.1 网络入侵概述
网络在给人们带来便利的同时也引入了很多安全问题。从防卫者的角度来看,网络安全的目标可以归结为以下几个方面 :(1)网络服务的可用性。在需要时,网络信息服务能为授权用户提供实时有效的服务。
(2)网络信息的保密性。网络服务要求能防止敏感信息泄漏,只有授权用户才能获取服务信息。
(3)网络信息的完整性。网络服务必须保证服务者提供的信息内容不能被非授权篡改。完整性是对信息的准确性和可靠性的评价指标。
(4)网络信息的不可抵赖性。用户不能否认消息或文件的来源地,也不能否认接受了信息或文件。
(5)网络运行的可控性。也就是网络管理的可控性,包括网络运行的物理的可控性和逻辑或配置的可控性,能够有效地控制网络用户的行为及信息的传播范围。
2.2 网络存在的安全隐患
网络入侵从根本上来说,主要是因为网络存在很多安全隐患,这样才使得攻击者有机可乘。导致网络不安全的主要因素可以归结为下面几点:
(1)软件的Bug。众所周知,各种操作系统、协议栈、服务器守护进程、各种应用程序等都存在不少漏洞。可以不夸张的说,几乎每个互联网上的软件都或多或少的存在一些安全漏洞。这些漏洞中,最常见的有缓冲区溢出、竞争条件(多个程序同时访问一段数据)等。
(2)系统配置不当。操作系统的默认配置往往照顾用户的友好性,但是容易使用的同时也就意味着容易遭受攻击。这类常见的漏洞有:系统管理员配置不恰当、系统本身存在后门等。
(3)脆弱性口令。大部分人为了输入口令的时候方便简单,多数都使用自己或家人的名字、生日、门牌号、电话号码等作为口令。攻击者可以通过猜测口令或拿到口令文件后,利用字典攻击等手段来轻易破解口令。
(4)信息泄漏。入侵者常用的方法之一就是窃听。在广播式的局域网上,将网卡配置成”混杂”模式,就可以窃听到该局域网的所有数据包。如果在服务器上安装窃听软件就可以拿到远程用户的帐号和口令。
(5)设计的缺陷。最典型的就是TCP/IP协议,在协议设计时并没有考虑到安全因素。虽然现在已经充分意识到了这一点,但是由于TCP/IP协议已经广泛使用,因此暂时还无法被完全代替。另外,虽然操作系统设计的时候考虑了很多安全因素,但是仍然无法避免地存在一些缺陷。例如,广泛使用的Windows操作系统,几乎每隔几个月都要出一定数量的安全补丁,就是因为系统存在很多安全隐患。2.3 网络入侵与攻击的常用手段
长期以来,黑客攻击技术没有成为系统安全研究的一个重点,一方面是攻击技术很大程度上依赖于个人的经验以及攻击者之间的交流,这种交流通常都是地下的,黑客有他们自己的交流方式和行为准则,这与传统的学术研究领域不相同;另一方面,研究者还没有充分认识到:只有更多地了解攻击技术,才能更好地保护系统的安全。下面简单介绍几种主要的攻击类型。1.探测攻击
通过扫描允许连接的服务和开放端口,能迅速发现目标主机端口的分配情况以及所提供的各项服务和服务程序的版本号。另外通过扫描还可以探测到系统的漏洞等信息。黑客找到有机可乘的服务或端口后就可以进行攻击了。常见的探测扫描程序有:SATAN、NTScan、X_Scan、Nessus等。2.网络监听
将网卡设置为混杂模式,对已流经某个以太网段的所有数据包进行监听,以获取敏感信息,如包含了”usename”或”password”等信息的数据包。常见的网络监听工具有:NetRay、Sniffer、Etherfind、Snoop、Tcpdump等。3.解码类攻击
通过各种方法获取password文件,然后用口令猜测程序来破译用户帐号和密码。常见的解码工具有:Crack、LophtCrack等。
2.4 入侵检测技术
入侵检测技术可以分为两大类:异常入侵检测技术和误用入侵检测技术。下面分别介绍这两种入侵检测技术。2.4.1 误用入侵检测技术
误用入侵检测首先对表示特定入侵的行为模式进行编码,建立误用模式库;然后对实际检测过程中得到的审计事件数据进行过滤,检查是否包含入侵特征串。误用检测的缺陷在于只能检测已知的攻击模式。常见的误用入侵检测技术有以下几种:
1.模式匹配
模式匹配是最常用的误用检测技术,特点是原理简单、扩展性好、检测效率高、可以实时检测;但是只能适用于比较简单的攻击方式。它将收集到的信息与已知的网络入侵和系统误用模式串进行比较,从而发现违背安全策略的行为。著名的轻量级开放源代码入侵检测系统Snort就是采用这种技术。2.专家系统
该技术根据安全专家对可疑行为的分析经验来形成一套推理规则,然后在此基础上建立相应的专家系统来自动对所涉及的入侵行为进行分析。该系统应当能够随着经验的积累而利用其自学习能力进行规则的扩充和修正。专家系统方法存在一些实际问题:处理海量数据时存在效率问题,这是由于专家系统的推理和决策模块通常使用解释型语言来实现,所以执行速度比编译型语言慢;专家系统的性能完全取决于设计者的知识和技能;规则库维护非常艰巨,更改规则时必须考虑到对知识库中其他规则的影响等等。3.状态迁移法
状态迁移图可用来描述系统所处的状态和状态之间可能的迁移。状态迁移图用于入侵检测时,表示了入侵者从合法状态迁移到最终的危害状态所采取的一系列行动。
在检测未知的脆弱性时,因为状态迁移法强调的是系统处于易受损的状态而不是未知入侵的审计特征,因此这种方法更具有健壮性。而它潜在的一个弱点是太拘泥于预先定义的状态迁移序列。这种模型运行在原始审计数据的抽象层次上,它利用系统状态的观念和事件的转变流;这就有可能提供了一种既能减少误警率又能检测到新的攻击的途径。另外,因为涉及了比较高层次的抽象,有希望把它的知识库移植到不同的机器、网络和应用的入侵检测上。2.4.2 异常入侵检测技术
异常检测是通过对系统异常行为的检测来发现入侵。异常检测的关键问题在于正常使用模式的建立,以及如何利用该模式对当前系统或用户行为进行比较,从而判断出与正常模式的偏离程度。”模式”(profiles)通常使用一组系统的度量(metrics)来定义。度量,就是指系统或用户行为在特定方面的衡量标准。每个度量都对应于一个门限值。常用的异常检测技术有: 1.统计分析
最早的异常检测系统采用的是统计分析技术。首先,检测器根据用户对象的动作为每个用户建立一个用户特征表,通过比较当前特征与已存储定型的以前特征,从而判断是否异常行为。统计分析的优点:有成熟的概率统计理论支持、维护方便,不需要象误用检测系统那样不断地对规则库进行更新和维护等。统计分析的缺点:大多数统计分析系统是以批处理的方式对审计记录进行分析的,不能提供对入侵行为的实时检测、统计分析不能反映事件在时间顺序上的前后相关性,而不少入侵行为都有明显的前后相关性、门限值的确定非常棘手等。2.神经网络
这种方法对用户行为具有学习和自适应功能,能够根据实际检测到的信息有效地加以处理并做出入侵可能性的判断。利用神经网络所具有的识别、分类和归纳能力,可以使入侵检测系统适应用户行为特征的可变性。从模式识别的角度来看,入侵检测系统可以使用神经网络来提取用户行为的模式特征,并以此创建用户的行为特征轮廓。总之,把神经网络引入入侵检测系统,能很好地解决用户行为的动态特征以及搜索数据的不完整性、不确定性所造成的难以精确检测的问题。利用神经网络检测入侵的基本思想是用一系列信息单元(命令)训练神经单元,这样在给定一组输入后,就可能预测输出。将神经网络应用于攻击模式的学习,理论上也是可行的。但目前主要应用于系统行为的学习,包括用户以及系统守护程序的行为。与统计理论相比,神经网络更好地表达了变量间的非线性关系,并且能自动学习并更新。
神经网络也存在一些问题:在不少情况下,系统趋向于形成某种不稳定的网络结构,不能从训练数据中学习特定的知识,这种情况目前尚不能完全确定产生的原因;另外,神经网络对判断为异常的事件不会提供任何解释或说明信息,这导致了用户无法确认入侵的责任人,也无法判断究竟是系统哪方面存在的问题导致了攻击者得以成功入侵。
前面介绍了误用检测和异常检测所使用的一些常用检测手段,在近期入侵检测系统的发展过程中,研究人员提出了一些新的入侵检测技术。这些技术不能简单地归类为误用检测或异常检测,它们提供了一种有别于传统入侵检测视角的技术层次。这些新技术有:免疫系统、基因算法、数据挖掘、基于代理的检测等等,他们提供了更具有普遍意义的分析检测技术,或者提出了新的检测系统构架,因此无论是对误用检测还是对异常检测来说都可以得到很好的应用。
第三章 协议分析
3.1 协议分析简介 1.以太帧协议分析
这是对以太网数据帧头进行协议分析,并把分析的结果记入Packet结构中。分析完以太帧头后把数据包传送到下一级协议分析程序中。数据帧的第13和14两个字节组成的字段是协议类型字段。如果用十六进制表示,那么IP协议对应0X0800、ARP对应0X0806、RARP对应0X0835。2.ARP和RARP数据包协议分析
这是对ARP或RARP数据进行协议分析,并把协议分析后的数据送入基于ICMP协议规则集的匹配检测模块进行检测,查看是否存在ARP和RARP相关的攻击。由于基于ARP/RARP协议的攻击较少,所以把他们归入ICMP协议规则集中。3.IP数据包协议分析
这是对IP 数据包进行协议分析,并把协议分析后的数据送入基于IP协议规则集的匹配检测程序中进行检测。IP数据包首部的第一个字节的后面4个比特组成的字段标识了IP首部的长度。该字段的值乘以4就等于IP首部的长度。没有包含IP选项的普通IP首部长度为20,如果大于20就说明此IP数据包包含IP首部。第5和第6个字节是IP数据包的16位标识,每一IP数据包都有唯一的标识。该标识在IP数据包分片重组时中起到至关重要的作用,每个分片就是通过检查此ID号来判别是否属于同一个IP包。第7个字节开始的前3个比特是重要的标志位:第一个标志位(最高位)为保留位(该位必须为0,否则就是一个错误的IP数据包),第二个标志位DF指示该IP数据包能否分片(该位为0则表示该IP数据包可以分片,为1则不能分片),第三个标志位MF指示该数据包是否为最后一个分片(该位为0表示此数据包是最后一个分片,为1表示不是最后一个分片)。从MF标志位开始的后面13个比特位记录了分片的偏移量。分片的IP数据包,各个分片到目的端才会重组;传输过程中每个分片可以独立选路。如何才能重组一个分片了的IP数据包呢?首先,16位分片ID(Fragment ID)标识了每个IP数据包的唯一性。数据包分片后,它的每个分片具有相同的标识。其次,通过每个分片的片偏移量可以确定每个分片的位置,再结合MF可以判断该分片是否为最后一个分片。综合上述信息,就可以顺利的重组一个数据包。分片重组对网络入侵检测系统具有重要意义。首先,有一些攻击方法利用了操作系统协议栈中分片合并实现上的漏洞,例如著名的TearDrop攻击就是在短时间内发送若干偏移量有重叠的分片,目标机接收到这样的分片的时候就会合并分片,由于其偏移量的重叠而发生内存错误,甚至会导致协议栈的崩溃。这种攻击手段单从一个数据包上是无法辨认的,需要在协议分析中模拟操作系统的分片合并,以发现不合法的分片。另外,Tiny Fragment(极小分片)等攻击方法,将攻击信息隐藏在多个微小分片内来绕过入侵检测系统或防火墙的检测从而达到攻击的目的。对付这种攻击也需要在检测的过程中合并碎片,恢复数据包的真实面目。
IP包头的第10个字节开始的后面八个比特位表示了协议的类型:其中1表示ICMP协议,2表示IGMP协议,6表示TCP协议,17表示UDP协议。(这些数字是十进制的)。对IP数据包检测完毕后,如果检测到攻击就记录该数据包,然后重新开始检测一个新的原始数据包。如果没有检测到攻击,则在判断上层协议类型之后就把数据包分流到TCP、UDP等协议分析程序中进行进一步协议分析。4.TCP数据包协议分析
这是对TCP数据包进行协议分析,并把协议分析后的数据送入基于TCP协议规则集的匹配检测程序中进行检测。首先读入TCP数据包,对TCP包头进行协议分析;并检查是否有TCP选项,如果有的话就对TCP选项进行协议分析。然后,判断该TCP数据包是否发生分段,如果发生了分段就进行TCP重组。再把重组后的数据包送入基于TCP协议规则集的匹配检测程序进行检测。如果检测到攻击就记录下该攻击数据包,以备攻击取证等使用。记录数据包后又返回,重新读取一个新的数据包。如果没有检测到攻击,就把该数据包送入下一级协议分析模块中,作进一步的协议分析。
5.ICMP数据包协议分析
这是对ICMP数据包进行协议分析,并把协议分析后的数据送入基于ICMP协议规则集的匹配检测程序中进行检测。ICMP报文有很多类型,根据报文中的类型字段和代码字段就可以区分每一种ICMP报文类型。6.UDP协议分析
这是对UDP数据包进行协议分析,并把协议分析后的数据送入基于UDP协议规则集的匹配检测程序中进行检测。如果检测到攻击就记录该数据包,然后返回并读取下一个数据包。如果没有检测到攻击,那么就把数据包送入基于应用层协议规则集的检测模块进行进一步的检测分析。应用层协议很复杂,这里不进行详细讨论。
3.2 协议分析的优势(1)提高性能:当系统提升协议栈来解析每一层时,它用已获得的知识来消除在数据包结构中不可能出现的攻击。比如4层协议是TCP,那就不用再搜索其他第四层协议如UDP上形成的攻击。如果数据包最高层是简单网络管理协议SNMP(Simple Network Management Protocol),那就不用再寻找Telnet或HTTP攻击。这样检测的范围明显缩小,而且更具有针对性;从而使得IDS系统性能得到明显改善。
(2)能够探测碎片攻击等基于协议漏洞的攻击:在基于协议分析的IDS中,各种协议都被解析。如果出现IP分片,数据包将首先被重装;然后再对整个数据包进行详细分析来检测隐藏在碎片中的潜在攻击行为。这是采用传统模式匹配技术的NIDS所无法做到的。(3)降低误报和漏报率:协议分析能减少传统模式匹配NIDS系统中常见的误报和漏报现象。在基于协议分析的NIDS系统中误报率会明显减少,因为它们知道和每个协议有关的潜在攻击的确切位置以及该位置每个字节的真正含义。例如,针对基于协议分析的IDS不但能识别简单的路径欺骗:例如把CGI攻击”/cgi-bin/phf”变为”/cgi-bin/./phf”或”/cgi-binphf”;而且也能识别复杂的HEX编码欺骗:例如”/winnt/system32/cmd.exe”,编码后变为”/winnt/system32/%2563md.exe”,通过协议分析%25 解码后为‘%’,%63解码后为‘c’,这样就解析出了攻击串。又如针对Unicode(UTF-8)的编码欺骗(与ASCII字符相关的HEX编码一直到%7f,Unicode编码值要高于它),攻击串编码后得到”/winnt/system32%c0%afcmd.exe”,通过解码可知%c0%af在Unicode中对应/,所以解码后就能顺利还原出攻击串。第四章 PANIDS系统的设计及实现
4.1 PANIDS系统总体结构设计
PANIDS系统 主要由系统基本信息读取模块、网络数据包捕获模块、基于协议分析的入侵检测模块、响应模块和控制管理中心等几部分组成。4.2 系统基本信息读取模块的设计及实现
为了更好的显示出本机的特性,在此PANIDS系统中特别增加系统基本信息读取模块。通过此模块能显示出主机名和本机的IP地址和所使用的Winsock的版本
在此模块中主要用到函数gethostname()和gethostbyname()。gethostname()函数作用是获取本地主机的主机名,其定义如下:
int PASCAL FAR gethostname(char FAR * name, int namelen);name:用于指向所获取的主机名的缓冲区的指针。Namelen:缓冲区的大小,以字节为单位。
gethostbyname()在此模块中是一个主要函数,该函数可以从主机名数据库中得到对应的”主机”。其定义如下:
#include
gethostbyname()返回对应于给定主机名的包含主机名字和地址信息的hostent结构指针。结构的声明与gethostaddr()中一致。如果没有错误发生,gethostbyname()返回如上所述的一个指向hostent结构的指针,否则,返回一个空指针。hostent结构的数据结构如下: struct hostent { char *h_name;//地址的正式名称
char **h_aliases;//空字节-地址的预备名称的指针 int h_addrtype;//地址类型,通常是AF_INET int h_length;//地址的比特长度
char **h_addr_list;//零字节-主机网络地址指针,网络字节顺序 };返回的指针指向一个由Windows Sockets实现分配的结构。应用程序不应该试图修改这个结构或者释放它的任何部分。此外,每一线程仅有一份这个结构的拷贝,所以应用程序应该在发出其他Windows Scokets API调用前,把自己所需的信息拷贝下来。
gethostbyname()实现没有必要识别传送给它的IP地址串。对于这样的请求,应该把IP地址串当作一个未知主机名同样处理。如果应用程序有IP地址串需要处理,它应该使用inet_addr()函数把地址串转换为IP地址,然后调用gethostbyaddr()来得到hostent结构。4.3 网络数据包捕获模块的设计及实现 网络数据包捕获的方法有很多,比如既可以利用原始套接字来实现,也可以通过Libpcap、Jpcap和WinPcap 提供的接口函数来实现。Libpcap、Jpcap和WinPcap是世界各地的网络专家共同努力的结果,为开发者提供了很多高效且与系统无关的网络数据包截获接口函数;所以在性能上一般比采用普通的套接字方法要好。LibPcap是一个优秀跨平台的网络抓包开发工具,JPcap是它的一个Java版本。WinPcap在某种程度上可以说它是LibPcap的一个Windows版本,因为它们的大部分接口函数以及所采用的数据结构都是一样的。另外,WinPcap在某些方面进行了优化,还提供了发送原始数据包和统计网络通信过程中各种信息的功能(LibPcap没有统计功能),方便进行测试;所以采用WinPcap所提供的库函数来截获网络数据包。
Winpcap捕获数据包的实现
1.网络数据包捕获的主要数据结构(1)PACKET结构
typedef struct _PACKET { HANDLE hEvent;OVERLAPPED OverLapped;PVOID Buffer;//这个buffer就是指向存放数据包的用户缓冲区 UINT Length;//buffer的长度
DWORD ulBytesReceived;//调用PacketReceivePacket()函数所读 //取的字节数,可能包含多个数据包 BOOLEAN bIoComplete;} PACKET, *LPPACKET;其他未注释的几个成员,都是过时的成员,他们的存在只是为了与原来的兼容。此结构主要用来存放从内核中读取的数据包。(2)pcap_file_header 结构 struct pcap_file_header{ bpf_u_int32 magic;//一个标识号,标识特定驱动器产生的dump文件 u_short version_major;//WinPcap的主版本号 u_short version_minor;//WinPcap的次版本号
bpf_int32 thiszone;//GMT时间与本地时间的校正值 bpf_u_int32 sigfigs;//精确的时间戳
bpf_u_int32 snaplen;//每个数据包需要存放到硬盘上的最大长度 bpf_u_int32 linktype;//链路层的数据类型 };//这个头部共24个字节
把截获的数据包以标准的Windump格式存放到硬盘上时,就是以这个结构 作为文件的开头。(3)bpf_hdr结构 struct bpf_hdr { struct timeval bh_tstamp;//数据包捕获的时间戳信息 UINT bh_caplen;//数据包被捕获部分的长度 UINT bh_datalen;//数据的原始长度 USHORT bh_hdrlen;//此结构的长度 };从内核中读取数据包并存放在用户缓冲区中时,采用此结构来封装所截获的 数据包。其中timeval的结构如下 struct timeval { long tv_sec;//以秒为单位的时间 long tv_usec;//以毫秒为单位的时间 };(4)dump_bpf_hdr结构 struct dump_bpf_hdr{ struct timeval ts;//数据包捕获的时间戳 UINT caplen;//数据包被捕获部分的长度 UINT len;//数据包的原始长度 };把数据包存放到硬盘上或者向网络上发送数据包时,都使用此结构来封装每一个数据包。
2.数据包捕获的具体实现
在了解其数据结构的基础上,下面来分析其是如何具体实现网络数据包捕获的。其前期的主要过程应为:首先应找到设备列表,然后显示适配器列表和选择适配器,最后通过pcap_open_live()函数根据网卡名字将所选的网卡打开,并设置为混杂模式。
用Winpacp捕获数据包时,数据包捕获的程序流程图如图4.3所示,其中pcap_loop()是截包的关键环节,它是一个循环截包函数,分析此函数的源码可知,其内部主要处理过程如图4.4所示。在pcap_loop()的每次循环中,首先通过调用PacketReceivePacket()函数,从内核缓冲区中把一组数据包读取到用户缓冲区。然后,根据bpf_hdr结构提供的该数据包的定位信息,把用户缓冲区的多个数据包逐个的提取出来,并依次送入回调函数进行进一步处理。通过这个过程就实现了网络数据包的捕获。
4.4 基于协议分析的入侵检测模块的设计及实现
此模块是基于协议分析入侵检测系统PANIDS的核心部分,下面我们重点讨论此模块的设计及实现。4.4.1 数据包的分解 当需要发送数据时,就需要进行封装。封装的过程就是把用户数据用协议来进行封装,首先由应用层协议进行封装,如HTTP协议。而HTTP协议是基于TCP协议的。它就被TCP协议进行封装,http包作为TCP数据段的数据部分。而TCP协议是基于IP协议的,所以TCP段就作为IP协议的数据部分,加上IP协议头,就构成了IP数据报,而IP数据报是基于以太网的,所以这个时候就被封装成了以太网帧,这个时候就可以发送数据了。通过物理介质进行传送。在这里我们所用到的是数据包的分解。分解的过程与封装的过程恰恰相反,这个时候就需要从一个以太网帧中读出用户数据,就需要一层一层地进行分解,首先是去掉以太网头和以太网尾,在把剩下的部分传递给IP层软件进行分解,去掉IP头,然后把剩下的传递给传输层,例如TCP协议,此时就去掉TCP头,剩下应用层协议部分数据包了,例如HTTP协议,此时HTTP协议软件模块就会进一步分解,把用户数据给分解出来,例如是HTML代码。这样应用软件就可以操作用户数据了,如用浏览器来浏览HTML页面。其具体的数据包分解如下:
ethernet =(struct sniff_ethernet*)(pkt_data);ip =(struct sniff_ip*)(pkt_data + size_ethernet);tcp =(struct sniff_tcp*)(pkt_data + size_ethernet + size_ip);udp =(struct sniff_udp*)(pkt_data + size_ethernet + size_ip);icmp =(struct sniff_icmp*)(pkt_data + size_ethernet + size_ip);4.4.2 入侵检测的实现
通过Winpcap捕获数据包,数据包分解完以后就对其进行协议分析,判断分组是否符合某种入侵模式,如果符合,则进行入侵告警。在本系统中实现了对多种常见入侵模式的检测,采用的入侵模式包括ICMP分片、常用端口、IGMP分片、WinNuke攻击、应用层攻击。1.ICMP分片
ICMP报文是TCP/IP协议中一种控制报文,它的长度一般都比较小,如果出现ICMP报文分片,那么说明一定出现了Ping of Death攻击。
在本系统中ip->ip_p == 0×1,这是表示ip首部的协议类型字段,0×1代表ICMP。
string str1 = inet_ntoa(in_addrIP);string str2 = inet_ntoa(ip->ip_src);当(ip->ip_off > 1)&& str1!= str2时,就表认为是Ping of Death攻击。如果都符合,就报警(调用函数将受到攻击的时间、攻击名称以及攻击的IP地址显示出来)。
2.常用端口
一些攻击特洛伊木马、蠕虫病毒等都会采用一些固定端口进行通信,那么如果在分组分析过程中发现出现了某个端口的出现,则可以认为可能出现了某种攻击,这里为了减少误判,应当设置一个阈值,仅当某个端口的分组出现超过阈值后才进行报警。这就意味着检测到发往某个端口的的分组超过阈值后才认为出现了某种攻击,并进行告警。本系统定义了两种端口扫描,Trojan Horse端口扫描和代理服务器端口扫描。Trojan Horse端口扫描实现如下:首先根据if((tcp->th_flags & TH_SYN)==TH_SYN)判断其是否为TCP SYN报文,若是,并且端口为Trojan Horse的常用扫描端口时,最后判断报文数是否超过阈值TrojanThreshold,如果超过的后,就被认定为Trojan Horse端口扫描,然后报警。对代理服务器端口扫描检测的实现方法和Trojan Horse端口扫描实现方法一样,这里不再论述。
3.IGMP分片
IGMP(Internet Group Message Protocol)是Internet中多播组管理协议,其长度也一般较小。同上ip->ip_p==0×2也是表示首部的协议类型字段,0×2代表IGMP,本系统实现了对其两种攻击模式的检测。
(1)通过if(ntohs(ip->ip_len)>1499)首先判断其是否为分片的IGMP报文,若是,并且收到的报文数超过设定的阈值IGMPThreshold,则就最终判定其为IGMP DoS攻击,然后报警。
(2)通过if(strcmp(mbf,mbuffer)==0||strcmp(mbf,”0.0.0.0″)==0)判断其是否为某种特定的源地址等于目的地址或者目的地址等于0的报文,若是,并且收到的报文数超过设定的阈值LandThreshold则被判定为land DoS攻击,然后报警。
4.WinNuke攻击 通过if((tcp->th_flags & TH_URG)==TH_URG)判断其是否为TCP URG报文,若是,则根据WinNuke的典型特征是使用TCP中的Ugrent指针,并使用135、137、138、139端口,因此可以利用这两个特征加以判断,同样为了减少误判,应当设置一个阈值。当阈值超过设定的WinNukeThreshold时,就被最终判定为WinNuke攻击,然后报警。5.应用层攻击
其是分析应用层的数据特征,判断是否存在入侵。在本系统中实现了对一种较为简单的应用层攻击的检测。它也是属于TCP SYN报文中的一种。主要思想是监测报文中是否存在system32关键字,如果存在,则报警。
4.5 实验结果及结论
程序编译成功后,执行可执行文件,此时系统已被启动,然后在”设置”菜单中将网卡设为混杂模式,点击”开始”按钮,本系统开始检测。由实验结果可知,本系统能较好的检测出一些典型攻击,并能在界面上显示出攻击日期/时间、攻击的类型、攻击源的IP地址,达到了预期的效果。
第五章 总结与参考文献
入侵检测是一种积极主动的安全防护技术;它既能检测未经授权的对象入侵系统,又能监视授权对象对系统资源的非法操作。入侵检测与防火墙、身份认证、数据加密、数字签名等安全技术共同构筑了一个多层次的动态安全体系。本文主要对基于网络的入侵检测系统的关键技术进行了研究和探讨。首先较全面、系统地分析了入侵检测技术的历史、现状和发展趋势、了解了黑客常用的攻击手段及其原理。然后,系统地阐述了入侵检测的原理。接着讲述了协议分析和模式匹配技术,最后,针对当前典型的网络入侵,设计并实现了一个基于协议分析的网络入侵检测系统PANIDS,实现了多层次的协议分析,包括基本协议的解析、协议上下文的关联分析以及应用层协议的分析,并取得了较为满意的检测效果。
[1] 戴英侠,连一峰,王航.系统安全与入侵检测[M].北京:清华大学出版社 [2] 聂元铭,丘平.网络信息安全技术[M].北京:科学出版社
[3] 董玉格,金海,赵振.攻击与防护-网络安全与实用防护技术[M].北京:人民 邮电出版社 [4] 戴云,范平志.入侵检测系统研究综述[J].计算机工程与应用 [5] 刘文淘.网络入侵检测系统[M].北京:电子工业出版社,
第三篇:网络信息检测
通信系统的检测:
1.系统检查测试:硬件通电测试;系统功能测试
2.初验测试:可靠性;接通率;基本功能(如通信系统的业务呼叫与接续、计费、信令、系统负荷能力、传输指标、故障诊断、环境条件适应能力等)。
3.试运行验收测试:联网运行(接入用户和电路);故障率。
信息网络系统检测:
1.安装质量检查:机房环境是否满足要求;设备器材清点检查;设备机柜加固检查;设备
模块配置检查;设备间及机架内缆线布放;电源检查;设备至各类配线设备间缆线布放;缆线导通检查;各种标签检查;接地电阻值检查;接地引入线及接地装置检查;机房内防火措施;机房内安全措施等。
2.通电测试前设备检查:按施工图设计文件要求检查设备安装情况;设备接地应良好;供
电电源电压及极性符合要求。
3.设备通电测试:设备供电正常;报警指示工作正常;设备通电后工作正常及故障检查。
网络层安全的安全检测应符合以下要求:
1.防攻击:信息网络应能抵御来自防火墙以外的网络攻击,适用流行的攻击手段进行模拟
攻击,不能攻破判为合格。
2.因特网访问控制:信息网络应根据需求控制内部终端机的因特网连接请求和内容,适用
终端机用不同身份访问因特网的不同资源,符合设计要求判为合格。
3.信息网络与控制网络的安全隔离:测试方法应按本规范第5.3.2条的要求,保证做到未
经授权,从信息网络不能进入控制网络;符合此要求者判为合格。
4.防病毒系统的有效性:将含有当前已知流行病的的文件(病毒样本)通过文件传输、邮
件附件、网上邻居等方式向各点传播,各点的防毒软件应能正确地检测到该含病毒文件,并执行杀毒操作;符合本要求者判为合格。
5.入侵检测系统的有效性:如果安装了入侵检测系统,使用流行的攻击手段进行模拟攻击
如(DoS、拒绝服务攻击),这些攻击应被入侵检测系统发现和阻断;符合此要求这判为合格。
6.内容过滤系统的有效性:如果安装了内容过滤系统,则尝试访问若干受限的网址或者内
容,应该可以正常访问:符合此要求者判为合格。
系统层安全应满足一下要求:
1.操作系统应选用经过实践检测的具有一定安全强度的操作系统。
2.使用安全性较高的文件系统。
3.严格管理操作系统的用户账号,要求用户必须使用满足安全要求的口令。
4.服务器应只提供必须的服务,其他无关的服务应关闭,对可能存在的漏洞的服务或操作
系统,应更换或者升级响应的补丁程序;扫描服务器,无漏洞者为合格。
5.认真设置并正确利用审计系统,对一些非法的侵入尝试必须有记录;模拟非法尝试,审
计日志中有正确记录者判为合格。
系统检测:
(一)建筑设备监控系统的检测应以系统功能和性能检测为主,同时对现场安装质量、设
备性能及工程实施过程中的质量记录进行抽查或复核。
(二)建设设备监控系统检测应在系统运行连续投运时间不少于1个月后进行。
(三)建设设备监控系统检测应依据工程合同技术文件按、施工图设计文件、设计变更审
核文件、设备及产品的技术文件进行。
(四)建筑设备监控系统检测时应提供以下工程实施及质量控制记录:
1.设备材料进场检验记录
2.隐蔽工程和过程检查验收记录
3.工程安装质量检查及观感质量验收记录
4.设备及系统自检测记录
5.系统试运行记录。
安防系统
1.安全技术防范产品必须经过国家或行业授权的认证机构(或检测机构)认证(检测)合格,并取得相应的认证证书(或检测报告)
2.预埋管、预留件、桥架等的安装符合设计要求
3.机房、弱电竖井的施工已结束
4.对电(光)缆敷设与布线应检验管线的防水、防潮,电缆排列位置,布放、绑扎质量,桥架的架设质量,缆线在桥架内的安装质量,焊接及插接头安装质量和接线盒接线质量等
5.对接地线应检验接地材料、接地线焊接质量、接地电阻等
6.对系统的各类探测器、摄像机、云台、防护罩、控制器、辅助电源、电锁、对讲设备等的安装部位、安装质量和广安质量进行检验
(一)安全防范系统的系统检测应由国家或行业授权的检测机构进行检测,并出具检
测报告,检测内容、合格判据应执行国家公共安全行业的相关标准
(二)安全防范系统检测应依据工程合同技术文件、施工图设计文件、工程设计变更
说明和洽商记录、产品的技术文件进行。
(三)安全防范系统进行系统检测的时候应提供:
1.设备材料进场检验记录
2.隐蔽工程和过程检查验收记录
3.工程安装质量和观感验收记录
4.设备及系统自检测记录
5.系统试运行记录
视频安防监控系统的检测:
1.系统功能检测:云台转动,镜头、光圈的调节,调焦变倍,图像切换,防护罩功能的检
2.3.4.5.测 图像质量检测:在摄像机的标准照度下进行图像的清晰度及抗干扰能力的检测 系统整体功能检测:功能检测应包括视频安防监控系统的监控范围、现场设备的介入率及完好率;矩阵监控主机的切换、控制、变成、巡检、记录等功能;对数字视频录像式监控系统还应检查主机死机记录、图像显示和记录速度、图像质量、对前端设备的控制能力以及通信接口功能、远端联网功能等;对数字硬盘录像监控系统除检测其记录速度外,还应检测记录的检索、回放等功能。系统联动功能检测:联动功能检测应包括与出入口管理系统、入侵报警系统、巡更管理系统、停车场(库)管理系统等的联动控制能力 视频安防监控系统的图像记录保存时间应满足管理要求。
入侵报警系统的检测:
1.探测器的盲区检测,防动物功能检测
2.探测器的防破坏功能检测应包括报警器的放拆报警功能,信号线开路、短路报警功能,电源线被剪的报警功能
3.探测器灵敏度检测
4.系统控制功能检测应包括系统的撤防、布防功能,关机报警功能,系统后备电源自动切
换功能等
5.系统通信功能检测应包括报警信息传输、报警响应功能
6.现场设备的接入率及完好率测试
7.系统的联动功能检测应包括报警信号对相关报警现场照明系统的自动触发、对监控摄像
机的自动启动、视频安防监视画面的自动调入,相关出入口的自动启闭,录像设备的自动启动等
8.报警系统管理软件(含电子地图)功能检测
9.报警信号联网上传功能的检测
10.报警系统报警事件存储记录的保存时间应满足管理需求。
出入口控制系统
1.出入口控制(门禁)系统的功能检测
(1)系统主机在离线的情况下,出入口(门禁)控制器独立工作的准确性、实时性
和储存信息的功能
(2)系统主机对出入口(门禁)控制器在线控制时,出入口(门禁)控制器工作的准确性、实时性和存储信息的功能,遗迹出入口(门禁)控制器和系统主机之
间的信息传输功能
(3)检测掉电后,系统启用备用电源应急工作的准确性、实时性和信息的存储和恢
复能力
(4)通过系统主机、出入口(门禁)控制器及其他控制终端,实时监控出入控制点的人员状况m系统对非法强行入侵即使报警的能力
(5)检测本系统与消防系统报警时的联动功能
(6)现场设备的接入率及完好率测试
(7)出入口管理系统的数据存储记录保存时间应满足管理要求
2.系统的软件检测
(1)演示软件的所有功能,以证明软件功能与任务书或合同书要求一致
(2)根据需求说明书中规定的性能要求,包括时间、适应性、稳定性等以及图形化
界面友好程度,对软件逐项进行测试;
(3)对软件系统操作的安全性进行测试,如系统操作人员的分级授权、系统操作人
员操作信息的存储记录等
(4)在软件测试的基础上,对被验收的软件进行综合评审,给出综合评审杰伦,包
括:软件设计与需求的一致性、程序与软件设计的一致性、文档(含软件培训、教材和说明书)描述与程序的一致性、完整性、准确性和标准化程度等。
巡更管理系统
1.按照巡更路线图检查系统的巡更终端、读卡机的响应功能
2.现场设备的接入率及完好率测试
3.检查巡更管理系统编程、修改功能以及撤防、布防功能
4.检查系统的运行状态、信息传输、故障报警和指示故障位置的功能
5.检查巡更管理系统对巡更人员的监督和记录情况、安全保障措施和对意外情况及时报警的处理手段
6.对在线联网式巡更管理系统还需要检查电子地图上的显示信息,遇有故障时的报警信号
以及和视频安防监控系统等的联动功能
7.巡更系统的数据储存记录保存时间应满足管理要求。
停车场(库)管理系统
停车场(库)管理系统功能检测应分别对入口管理系统、出口管理系统和管理中心的功能进行检测
1.车辆探测器对出入车辆的探测灵敏度检测,抗干扰性能检测
2.自动栅栏升降功能检测,防砸车功能检测
3.读卡器功能检测,对无效卡的识别功能;对非接触IC卡读卡器还应检测读卡距离和灵敏
度
4.发卡(票)器功能检测,吐卡功能是否正常,入场日期、时间等记录是否正确
5.满位显示功能是否正常
6.管理中心的计费、显示、收费、统计、信息存储等功能的检测
7.出/入口管理监控站及与管理中心站的通信是否正常
8.管理系统的其他功能,入“防折返”功能检测
9.对具有图像对比功能的停车场(库)管理系统应分别检测出/入口车牌和车辆图像记录的清晰度、调用图像信息的符合情况
10.检测停车场(库)管理系统与消防系统报警时的联动功能;电视监控系统摄像机对进出
车库车辆的监视等
11.空车位及收费显示
12.管理中心监控站的车辆出入数据记录保存时间应满足管理要求。
安全防范综合管理系统
1.各子系统的数据通信接口:各子系统与综合管理系统以数据通信方式连接时,应能在综
合管理监控站上观测到子系统的工作状态和报警信息,并和实际状态核实,确保准确性和实时性;对具有控制功能的子系统,应检测从综合管理监控站发送命令时,子系统响应的情况
2.综合管理系统监控站:对综合管理系统监控站的软、硬件功能的检测,包括
(1)检测子系统监控站与综合管理系统监控站队系统状态和报警信息记录的一致性
(2)综合管理系统监控站队各类报警信息的显示、记录、统计功能
(3)综合管理系统监控站的数据报表打印、报警打印功能
(4)综合管理系统监控站操作的方便性,人机界面应友好、汉化、图形化。
综合布线系统
线缆敷设和终接的检测:
1.缆线的弯曲半径
2.预埋线槽和暗管的敷设
3.电源线与综合布线系统缆线应分隔布放,蓝仙剑的最小净距应符合设计要求
4.建筑物内电、光缆暗管敷设及与其他管线之间的最小净距
5.对绞电缆芯线终接
6.光纤连接损耗值。
机柜、机架、配线架安装的检测:
1.卡入配线架连接 模块内的单根线缆色标应和线缆的色标相一致,大堆事电缆按标准色
谱的组合规定进行排序
2.背板式跳线架应经配套的金属背板及接线管理架安装在墙壁上,金属背板与墙壁应紧固
光缆布线检测时,如果系统中有一条光纤链路无法修复则判为不合格;
家庭晋级求助报警装置的检测:
1.可靠性:准去、即使的传输紧急求助信号
2.可操作性:老年人和未成年人在紧急情况下应能方便地发出求助信号;
3.应具有防破坏和故障报警功能
4.每户宜安装一处以上的紧急求助报警装置
5.紧急求助报警装置宜有一种以上的报警方式
6.报警信号宜区别求助内容
7.紧急求助报警装置宜加夜间显示
新型消防设施的设置情况及共呢不过检测包括:
1.早期烟雾探测火灾报警系统
2.大空间早期火灾只能检测系统、大空间红外图像矩阵火灾报警及灭火系统
3.可燃气体泄露报警及联动控制系统
第四篇:信息安全产品测试报告-内网管理-入侵检测-网络运维-梭子鱼
信息安全产品测试报告
对信息安全产品的测试,从2007年4月份开始至2007年7月底,一共测试了十款产品,其中内网安全管理产品三款,网络运营管理产品两款,防火墙设备三款,入侵保护设备一款,防垃圾邮件设备一款,鉴于我们的测试环境、测试工具以及测试时间的限制,只是对其进行了简单的功能测试、安全性、稳定性测试,具体的性能指标我们没有相关的专业工具无法进行测试,下面就具体的测试情况作一说明。
内网安全管理产品:
内网安全产品此次共测试了三款产品:北京圣博润高新技术有限公司的LanSecs内网安全管理系统,南京金鹰软件系统有限公司的APA eosEye易视桌面监控审计系统,北京北信源自动化技术有限公司的北信源内网安全管理系统。
产品简介:
1、LanSecs内网安全管理系统
LanSecS内网安全管理系统是一套集成了北京圣博润高新技术有限公司多项核心技术的实用安全系统。该系统着重于内网的安全管理和监控,以系统网络运营管理为基础,以防内网泄密为目标,其核心功能由设备智能探测器、审计监控客户端、安全管理核心平台(包括内网管理、安全审计)协同完成,设备智能探测器能自动搜索内网中的网络设备(包括三层和二层设备),识别网络中所有计算机的IP地址、MAC地址、主机名称等基本设备信息; 审计监控客户端负责采集受控计算机的软、硬件配置信息,当受控终端的软件、硬件配置发生变动或用户进行非授权操作时,能够及时向安全管理核心平台发出报警信息;安全管理核心平台是整个系统的控制中心,对整个内网的安全进行统一管理和控制; 具有以下几大功能:
◆监控内网网络设备、计算机系统的稳定性和可靠性;
◆内网系统资源安全管理和监控;
◆阻止内网的信息通过网络向外泄漏;
◆防止内网中信息通过系统外设向外泄漏;
◆自动发现并阻止非法接入内网的计算机;
2、APA eosEye易视桌面监控审计系统
APA®eosEye™易视桌面监控审计系统是南京金鹰软件系统有限公司APA(应用过程审计平台)系列产品之一,易视桌面监控审计系统是一个具有通用性的操作行为监管和涉密信息资产保护系统,是面向于windows个人桌面的内部信息安全集中监管平台。
可通过对个人桌面的各种操作行为的分析和监控,实现对异常、可疑、违规行为的发现、报警、录象、阻断和审计,以达到防止内部敏感信息或涉密信息泄露的目标。随着信息安全泄密事件的时有发生,由此而影射出的内部信息安全的管理变得尤为重要。
易视桌面监控审计系统从三个方面为用户的安全分析、防护、管理做出更多努力:防止信息资产的外泄、规范员工单机操作的行为、为管理者提供一组安全服务的管理工具。
3、北信源内网安全管理系统
北京北信源自动化技术有限公司通过对国内和国外近几年来计算机终端管理技术和发展趋势的研究,将政府和企业内部网络终端安全管理概括的从终端状态、行为、事件三个方面来进行防御,研制出北信源内网安全管理系统软件。管理手段大致包括如下内容:
图-1 内网管理核心功能
北信源内网安全管理(VRV)遵循网络防护和端点防护并重理念,对网络安全管理人员在网络管理、客户端管理过程中所面临的种种问题提供解决方案,实现内部网络客户端的可控管理,并能够支持多级级联广域网构架,达到最佳的管理效果。
北信源内网安全管理(VRV)系统强化了对网络计算机客户端状态、行为以及事件的管理,它提供了防火墙、IDS、防病毒系统、专业网管软件所不能提供的防护功能,对它们管理的盲区进行监控,扩展成为一个实时的可控内网管理平台,并能够同其它安全设备进行安全集成和报警联动。
测试说明:
因时间和精力有限,我们测试内网安全产品时,只能以点带面的安装几个客户端,测试产品的功能,另外测试产品的安装、配置、管理、稳定性、资源占用性、自身安全性等指标。测试情况:
一、LanSecs内网安全管理系统
1、安装
该产品是纯软件产品,服务器端安装非常简单,首先安装数据库,数据库使用微软的Sql数据库,然后安装加密狗驱动,再安装主程序,根据提示很快就完成安装。
2、配置
指定局域网的IP地址段,系统的探测器就开始扫描全网计算机,扫描完毕可根据需要把计算机进行分组、分部门管理;客户端需要到服务器的共享目录中下载客户端程序或将客户端程序拷贝到客户端进行安装;安装成功后服务器端就能接收到客户端安装信息,就能对客户端进行管理。
3、管理
C/S方式进行管理,服务器端可对客户端进行各种管理:Mac地址绑定,限定客户端自行更改IP地址;非法进程管理,限制客户端不能执行特定的程序进程;网络接入管理,对客户端的联网行为进行限制;非法接入阻断,对未经授权或未安装客户端程序的计算机进行阻断处理,使其不能接入公司局域网;限制外设访问,限制客户端对本机的各种设备如光驱、软驱、USB设备等进行访问;远程协助,当客户端计算机出现系统故障或软件故障是进行远程协助,远程控制对方计算机。
4、稳定性 系统运行一个来月,服务器端及客户端程序运行稳定。
5、安全性 服务器端程序需要加密狗才能运行,保证了局域网内不会有人盗用服务器程序;客户端程序存在一些问题:会被卡巴斯基杀毒软件最为病毒杀掉,而且客户端程序没有保护,可以自由的被结束结束进程,甚至从计算机中删除,这样服务器端就失去了对该计算机的管理权限。
6、资源占用
7、其他功能 该产品还具有网络管理模块,如果配置好局域网内交换机的SNMP参数,系统可以自动搜索发现所有的交换机并能自动生成全网的拓扑图,拓扑图基本结构是正确的,有些地方与实际情况不符,需要手工调整;可以对交换机进行简单的数据查询操作。
8、报表
该产品能提供比较详细的数据报表
优点:安装使用比较简便,远程协助功能比较好,网络管理功能作为附加模块对网络管理有一定的帮助。
缺点:客户端很容易被卸载,甚至被当作病毒
二、APA
1、安装
该产品是一款软硬结合的产品,1U的机身,自带操作系统和数据库;安装时需先设置好IP地址,再将设备连到局域网中,在网管机上安装管理程序即可。管理程序安装也比较简单,根据提示很快就能完成。
2、配置
管理程序运行之前必须要进行数据源的设置,否则不能运行;
3、管理
该产品也采用C/S架构进行管理,通过安装的用户控制台来进行客户机的管理,通过审计控制台来进行客户机的审计;可以对用户进行按部门分类,管理规则按部门下发;可以对客户机的程序进程进行审计,限制特定进程的运行,但不能实时控制客户机的进程;可以对客户机的网络连接进行监控及审计,阻断非法接入的机器,可以对客户的移动存储设备使用情况进行监控和审计,并能实现U盘的透明加解密;能对指定的文件或目录进行保护,可以划定某些程序专用的工作目录。
4、稳定性 在网运行三个多月,服务器端没有出现不稳定现象,客户端也比较稳定,没有异常现象。
5、安全性 该产品的系统平台可能是Windows2000,经扫描软件扫描,没有扫描到有用信息,可能是经过了特殊处理;客户端进程能通过任务管理器结束,但客户端程序是由两个进程互相制约的,一个结束了,另一个会把结束了的进程自动重启,但如果通过软件把两个同时结束了,客户端就失去控制了。
6、资源占用 服务器的资源占用情况未知,客户端占用资源不多,对日常应用没有影响。
7、报表
对各种审计行为都能给出详细的统计报表。
优点:软硬一体,拥有涉密文件保护增强系统
缺点:不能实现客户机的远程控制,软硬一体造成价格过高,规则设置有些烦琐。
三、VRV
1、安装 该产品是一款纯软件产品,服务器端需要安装到一台服务器或高性能PC上,需要安装的模块较多,但安装界面比较简洁明了,根据提示逐个模块进行安装即可。安装过程中需要输入授权序列号。
2、配置 安装完毕首先需要对服务器端进行参数配置:指定需要管理的区域、IP地址范围、扫描器地址、生成客户端注册程序等初始化工作。
3、管理 该产品采用B/S方式进行管理,通过浏览器来完成全部的管理工作,可根据需要分配不同的用户并赋予一定的权限进行相应的管理,通过其策略管理系统,能实现的功能很多:硬件资源管理、软件及进程管理、接入认证、移动存储设备管理、违规外联管理、客户端的安全管理,包括用户密码、用户权限、防火墙设置、注册表检查、进程保护、软件安装行为、上网控制、IP-MAC绑定、杀毒软件安装等,行为管理与审计,包括文件输出审计、文件保护及审计、上网审计、聊天行为审计、工作目录管理等等,涉密检查、软件分发、流量管理、文件备份、主机运维管理、系统维护等等,管理员可远程查看客户机运行的程序进程、启动的服务、开放的端口、安装的软件等等,并能进行操作,如发现某进程为可以进程,可以远程终止该进程,或者远程终止某可疑服务;也可主动性的启动某程序,强制进行病毒扫描,修改网络配置等操作,并能对客户机网络数据进行抓包分析,或者直接远程接管客户机,同时还具有在线帮助功能,用户访问在线帮助网站,可请求任意一位在线的网管或技术能手帮助,被请求人就收请求后就能接管请求者的计算机。
4、稳定性 系统运行两周,服务器端及客户端均稳定运行,没有出现不稳定现象。
5、安全性 服务器端需要序列号才能进行安装,即使局域网内有其他的机器安装了服务器端,但其地址没有被主控服务器认可,而且客户机注册时是绑定服务器端地址的,所以是不能管理客户机的;客户端具有自我防护机制,用户自己不能随意停止和卸载,只能通过特定的卸载程序,还要由服务器端生成卸载密码才能卸载客户端程序。
6、资源占用 服务器端占用资源不高,客户端程序只是在进行远程控制的时候占用资源较高,用户能感到操作变慢,其他时候对用户的操作没有影响。
7、其他功能 该产品也具有对指定文件或目录的保护功能,也可以划定工作目录;还有简单的网络管理功能:拓扑图生成、交换机信息等等。
8、报表 非常完善的报表功能,具有多种报表模板,只需调用相应的模板就能输出相应的报表,还可自定义不同形式的模板,平时的一些查询信息也都能输出到Excel。
优点:功能全面,B/S架构管理起来非常方便,在线帮助功能很方便用户,抓包分析功能方便了网络故障排查。缺点:设置略显复杂。
网络运营管理产品
产品简介:
北塔网络运维管理专家BTNM(Before Trouble Network Manager)是上海北塔网络公司完全自主开发的一套全中文北塔网络运维管理系统,是一套在充分调研了国内网络现状以及网络管理方式,采用目前为止最先进的网络管理技术,以用户的网络、线路以及服务器、路由器、交换机、计算机等等的日常运作管理为着眼点,独立研发的完全适应于高、中端网络管理软件领域需求的一套优秀、可靠、先进的“基于网络平台、面向客户应用”的网络设备资源与应用服务资源、全中文、通用管理软件,为广大客户从根本上解决了困扰已久的网络管理难的棘手问题,并且很有效的帮助网络管理人员从根本上提高网络利用率和网络服务的质量提高客户满意度。主要特色:
1、全面透明的网络综合管理
BTNM网络资源管理系统能够采用多种算法、支持分层、跨地域的迅速搜索整个网络内的所有节点、自动勾画出整个网络的物理拓扑图;
2、真实可用的设备面板管理
支持主流网络的产品的设备面板显示,在设备面板图上真实、实时地显示设备各端口连接状态。
3、强大的预警功能
BTNM配置了强大的预警和告警系统,它可以对网络中的异常情况进行告警,也可以对网络服务器的有关进程和访问情况进行预警。
4、高级服务器管理功能
BTNM能够显示服务器的所有进程运行情况的实时数据。
5、多种数据流量分析管理
BTNM支持跨IP网段分析捕捉各类异常网络数据流,提供2-7层的数据分析。
6、完善的报表分析
BTNM提供各类图表,各类均量、趋势、统计等数据,依据不同的分析角度进行原始数据预筛选、处理;
8、网络安全管理
配合网络安全管理BTNM提供在单台或者多台网络管理机组成的跨地域的管理区域内,提供全网的IP定位、MAC定位、IP-MAC;服务分布查询:定义好要查询的服务端口,输入网段,就可以以图形的方式显示出该范围内已打开和未打开的该服务的地址分布情况,宏观的了解整个网络。BTNM为网络武装一层盔甲使网络更加的安全。
9、机房环境的监测
BTNM能够对机房环境监测以及UPS状态进行监测。
网强网络管理系统
网强网络管理系统(NetStrong NetMaster System),是由上海网强信息自主开发,拥有自主知识产权的符合IETF颁布的SNMPv2规范的网络管理系统软件。是网强公司针对信息中心、网络中心和网管工程师的实际需求,在充分调研国内网络管理和网络管理工程师的行为模式后,推出的最适合用户使用的网络管理系统。网络管理系统主要功能包括:
故障管理:事件监视,告警提示,网络工具;
配置管理:自动拓扑发现,设备背板管理;
性能管理:性能分析,统计报告; 功能特点:
1、所见即所得,真实拓扑图,实现网络环境的集中统一管理
采用独有的Netstrong发现算法和优化算法,能够根据用户的要求,显示出网络逻辑拓扑图和物理拓扑图。
2、真实背板图,跨厂商管理,点鼠标取代跑机房
拓扑图中的所有网络设备都能够显示与设备本身完全吻合的“设备背板图”,图中能够真实表现设备情况及设备端口位置,而且通过各种不同的颜色描述了该端口的状态。
3、实时检测、及时处理
可自主选择设置预警条件和告警方式,实时监测网络情况。一旦网络中出现了异常情况,系统会自动通知网管员。
4、完善的数据分析, 各种数据统计,全面体现网络运行状况
网络管理系统提供基于设备和端口的性能分析。还能够针对设备端口属性及设备之
间的链路进行分析,实时的显示当前时间内该设备端口的流量/数据包长/错包率/丢包率,以及设备之间链路的流量信息。
5、帮助决策分析,报表统计和审计
自动生成各种报表(日报、周报、月报,自定义时间段报表),支持实时分析记录的保存和读取。
6、随时随地、运筹帷幄,B/S和C/S双重管理模式
网强网络管理系统的B/S管理平台实现Web管理,同时还有C/S管理模式,多客户端远程协助。
测试说明:
这两款产品在测试前都需要把局域网内交换机的SNMP功能打开,否则不能进行管理。北塔网络运维管理
1、安装
该产品为纯软件,需安装到一台服务器或高性能PC上,安装过程比较简单。
2、管理
指定局域网的IP地址范围以及SNMP参数,系统就可以开始进行网络扫描了,五、六分钟即可扫描到全网内所有支持SNMP协议的设备,并自动生成网络拓扑图,拓扑图生成需时较长,生成的拓扑图结构与网络真实拓扑非常相符,设备的状态以及网络流量都以不同的颜色加以区分,方便管理员实时查看设备的运行状态以及网络流量的大小;对交换机的管理可以展示真实面板,各个端口的状态都可以进行查看及控制,交换机的各种运行参数都可以进行实时查看,全网的IP地址使用情况查看、IP定位功能,可以清楚地查看当前网络使用的IP地址,定位IP地址在交换机的那个端口;可定义多种情况的报警。
3、稳定性 系统安装运行了一个多月,运行正常,没有出现不稳定因素。
4、其他功能 数据流分析模块,资产管理模块,PC终端管理模块。
5、报表
优点:拓扑图生成准确,交换机管理方便,IP地址定位非常实用。缺点:
网强网络管理系统
1、安装
该产品也是一款纯软件,需安装到一台服务器或高性能PC上,先安装数据库,再安装主程序,厂商提供了比较详细的安装说明。
2、管理
设定拓扑图搜索参数,系统搜索设备,用时不多,也就五、六分钟,整个拓扑图就生成了,与真实拓扑非常相符,可实时查看设备状态、链路流量,设备的状态以及网络流量都以不同的颜色加以区分,交换机的管理也能展示真实面板,主交换机的面板与实际不符;能查看IP——MAC——端口的对应情况,并对变化进行报警,3、稳定性 系统运行2个对礼拜,运行正常,没有出现不稳定因素。
4、其他功能 数据流分析模块;可以B/S管理,通过浏览器可以查看设备运行状态以及各种报表。
5、报表
设备的性能报表、分析报表,链路的性能分析报表等。
优点:拓扑图生成准确,交换机管理方便,B/S方式方便随时随地查看网络运行状况。缺点:
入侵保护产品:
绿盟科技IPS
针对目前流行的蠕虫、病毒、间谍软件、垃圾邮件、DDoS和黑客攻击,包括未知的攻击形式,绿盟科技提供了完善的安全防护方案。冰之眼网络入侵保护系统(ICEYE NIPS)是绿盟科技入侵保护解决方案的核心,作为自主知识产权的新一代安全产品,先进的体系架构集成领先的入侵保护技术,包括以全面深入的协议分析技术为基础,协议识别、协议异常检测、关联分析为核心的新一代入侵保护引擎,实时拦截数据流量中各种类型的恶意攻击流量,把攻击防御在企业网络之外,保护企业的信息资产。
冰之眼网络入侵保护系统能够协助客户:
* 阻止来自外部或内部的蠕虫、病毒和黑客等的威胁,确保企业信息资产的安全。*阻止间谍软件的威胁,保护企业机密。
*阻止企业员工因为各种IM即时通讯软件、网络在线游戏、P2P下载、在线视频导致的企业网络资源滥用而影响正常工作,净化流量,为网络加速。
*阻止P2P应用可能导致的企业重要机密信息泄漏和可能引发的与版权相关的法律问题。
*实时保障企业网络系统7x24不间断运行,提高企业整体的网络安全水平。*智能、自动化的安全防御,降低企业整体的安全费用以及对于网络安全领域人才的需求。
*高效、全面的流量分析、事件统计,能迅速定位网络故障,提高网络稳定运行时间。
公司介绍:
中联绿盟信息技术(北京)有限公司(NSFOCUS Information Technology Co., Ltd.)简称“绿盟科技”,公司成立于2000年4月,是国内最早从事网络安全的高科技企业之一,现有员工400多人,总部设在北京,在北京、广州、上海、成都、沈阳、西安、武汉建有 7 个分公司,在济南、石家庄、福州、长沙、深圳、南宁、海口、南京、杭州、南昌、重庆、昆明、贵阳、哈尔滨、长春、兰州、天津、太原、郑州、合肥、乌鲁木齐、拉萨等地建立了办事处,为客户提供及时、有效的本地化服务。
绿盟科技基于多年的安全漏洞研究与安全产品开发能力,为 Microsoft、Sun、Cisco 等国际知名厂商提供安全漏洞研究报告,为政府、电信、金融、能源等行业客户提供高端安全产品与全面的网络安全解决方案,协助客户建立安全可靠的绿色网络环境。
绿盟科技的安全产品与解决方案涵盖:网络入侵检测/保护系统、远程安全评估系统、抗拒绝服务攻击系统、安全审计系统、内网安全管理系统和网络异常流量监测系统,以及政府、军队、企业网应用安全、城域网安全和电信城域网安全等多种针对各行业的解决方案。
作为国内领先的企业级网络安全解决方案提供商,绿盟科技拥有众多在业界值得骄傲的荣誉:
第一批经国家认可的安全服务试点企业
第一批通过国家正式认证的国内安全服务最高资质
第一批公共互联网应急处理国家级服务试点单位
第一家通过国内和国际ISO9001双认证的网络安全企业 •
国内第一家提出完整专业安全服务体系的网络安全企业
国内发布自主研究安全漏洞最多的安全公司
国内第一家对国外安全产品厂商提供入侵检测技术出口的安全公司
“冰之眼”网络入侵检测/防护系统,囊括2005国内主要IT媒体与专业期刊产品评选的各类奖项
入选“中国电子政务IT百强”和“中国电信供应商100佳”
连续四年获得“值得信赖安全服务品牌”证书
测试说明:
我们测试了其型号为600P的产品。1U的机身,四个百兆接口。
1、安装
安装很简单,可以全透明安装,直接串接到防火墙与交换机之间即可工作,端口可以不设IP地址。找一端口设IP地址可进行管理配置。
2、管理
两种管理方式C/S方式和B/S方式;C/S方式需安装控制台程序,都是全中文界面。过滤规则库非常丰富,各种系统漏洞、间谍木马、黑客攻击、炒股聊天、在线视频、网络游戏、蠕虫病毒、P2P下载等等,全部分类放置,方便部署,还可自定组合规则;可以实时查看设定的规则过滤请况,以及实时查看设定的主机访问情况。
3、安全性 测试期间内,我们设定了阻止木马、攻击、聊天、P2P下载、网络游戏、蠕虫、在线视频等等规则,效果非常明显,通过监控台可以看到,被阻止的访问非常多,说明内网用户进行聊天、看在线视频、玩网络游戏、P2P方式下载的用户比较多,网络带宽大部分都用在这些上,通过外网进来的攻击、蠕虫、木马等也被阻断了很多,有效地保护了内网的安全。
4、稳定性 该产品测试了一个多月,期间有过几次外网中断问题,重启该设备后问题消失,怀疑是该设备引起的,具体原因尚不清楚,总体来说还是比较稳定的。
5、其他功能 该产品还具有防火墙功能,我们也测试了其防火墙功能,主要功能如NAT转换、地址映射等没有问题,对双线路支持的不是太好,但作为主防火墙的一个简单后备还是可以的。
6、日志报表 该产品有非常详细的日志记录功能,可以随时查看攻击情况,并能对每条日志进行说明,给出解决方法;报表也非常详细,可针对流量、访问类型、攻击类型等给出详细的报告。
优点:过滤功能非常强大,规则库丰富,日志非常详细 缺点:价格偏高,每年都需要一笔规则库升级费用。
防垃圾邮件产品
梭子鱼垃圾邮件防火墙
产品简介:
梭子鱼垃圾邮件防火墙是一款软件及硬件集成的企业级邮件解决方案,提供强大的、可拓展的垃圾邮件及病毒防护功能,减轻了邮件服务器的负载。该产品采用基于WEB的管理控制界面,可以轻松设定多达10层过滤层,保护服务器免于垃圾邮件及病毒袭击;该产品采用十大技术,具易于使用及维护、性价比出众、集成性高等特点。能支持25000个活跃邮件用户每天处理2500万封邮件。整合了最新的垃圾邮件及病毒防护技术:拒绝服务攻击及安全防护层、IP封锁清单、速率控制、针对压缩文件的病毒检查、专门的病毒检查、用户自定义规则、垃圾邮件指纹检查、源地址分析、贝叶斯分析、基于规则的垃圾邮件评分,多达10层次的过滤机制,辨识率高达98%。
测试说明:
我们测试的是其300型号的产品,该产品的指标如下:
可承受的有效使用者数量
300——1000 域数量
250 邮件日至容量
2GB 隔离区容量
10GB 机身
1U mini 接口
1个10/100Mbps自适应网口
1、安装
该产品的安装很简单,给其设定好内网的IP地址后,直接接到住交换机上或串接到邮件服务器与防火墙中间都行。
2、配置
须将邮件服务器的外网地址映射到梭子鱼的接口地址上,让所有进来的邮件先到达梭子鱼进行过滤;还需要进行一些其它设置,因为我们现有的防火墙不能得到来访者的真实IP地址,因此部分根据IP地址来判断垃圾邮件的功能如DNS黑名单,反向解析等等都不能启用,否则大部分信件都会被作为垃圾邮件,但这也使垃圾邮件的过滤功能大打折扣。
3、使用
该产品测试使用了一个多星期,总体来说垃圾邮件的过滤功能还是比较好的,在没有启用来源IP地址判断功能的前提下,垃圾邮件的过滤还是很多的,能占到所有邮件的60%以上,但现在垃圾邮件发送者也针对反垃圾邮件措施改变了发送方法,以至于现在的垃圾邮件非常难以判断,只有通过识别来源IP地址才能更有效的识别垃圾邮件。
4、问题
该产品在测试中也有一些问题,隔离区内的邮件用户从公司之外不能访问,这个问题后经梭子鱼的工程师修改配置已经解决;隔离区内的邮件很多都不能看到邮件内容,无法判断是否是正常邮件,以至于很多用户反映很多正常邮件都不能收到。
第五篇:无线局域网入侵检测协议分析论文
无线局域网入侵检测系统的研究
【摘要】 自从20世纪90年代出现无线局域网以来,由于WLAN具有多方面的优点,令其发展十分迅速,但在无线局域网蓬勃发展的同时,安全问题也越来越突出。本文先介绍了无线局域网的特点、IEEE802.11系列协议标准以及无线局域网中的固有漏洞,然后又介绍了常见的入侵方式,其次系统的介绍了入侵检测的概念、基本原理、工作模式、分类及发展趋势,并阐述了各种局域网入侵检测系统的关键技术,并通过分析比较得出:无线局域网入侵检测系统在设计上有别于有线入侵检测系统。本文在深入分析了无线局域网技术以及常见入侵检测技术的基础上,针对无线局域网络的特点,提出了一个将协议分析和模式匹配相结合的无线入侵检测系统模型。模式匹配算法具有快速简单的优点,在实际应用中最为广泛,但计算量大,检测准确性低,通过改进模式匹配算法,取得了较好的结果。协议分析技术可以利用网络协议的高度规则性快速探测攻击的存在,通过层次化、格式化的无线网络报文逐层分析,可提高检测效率,并有效控制漏报率和误报率。最后提出了该系统的框架和主要的流程步骤,对其中的关键模块进行了详细设计。该系统利用Winpcap函数库对无线传输数据进行捕获,然后利用解码模块对捕获到...更多还原
【Abstract】 Wireless local area network has developed very rapidly since the 1990s for it’s many advantages, and at the same time, the security problem has become more and more remarkable.This paper firstly describes the characteristics of WLAN, protocol standards of IEEE802.11 series and the inherent vulnerability in the WLAN, then presents the common intrusion method, and at last, introduces the concept of intrusion detection, basic principles, work patterns, classification and trends, systematically.At...更多还原
【关键词】 无线局域网; 入侵检测; 协议分析;
【Key words】 wireless LAN; intrusion detection; protocol analysis;
【索购全文】Q联系Q:138113721 Q联系Q: 139938848付费即发
目录 摘要 3-4 ABSTRACT 4-5 第一章 绪论 8-11
1.1 研究背景 8
1.2 无线入侵检测技术研究现状 8-10
1.3 本文主要研究内容和结构 10-11 第二章 WLAN概述 11-18
2.1 WLAN标准 11-13
2.1.1 IEEE 802.11 11
2.1.2 IEEE 802.11b 11-12
2.1.3 IEEE 802.11a 12
2.1.4 IEEE 802.11g 12
2.1.5 IEEE 802.11i 12
2.1.6 IEEE 802.11n 12-13
2.2 WLAN的组成 13-14
2.3 WLAN组网方式 14-15
2.4 IEEE802.11协议分析 15-17
2.5 本章小结 17-18
第三章 无线局域网入侵检测系统 18-28
3.1 无线局域网安全技术 18-19
3.1.1 MAC地址过滤和服务区标识符(SSID)匹配 18
3.1.2 WEP协议 18
3.1.3 WPA技术 18-19
3.1.4 802.11i协议 19
3.2 WLAN常见的入侵方式 19-21
3.2.1 网络窃听 19
3.2.2 假冒身份 19-20
3.2.3 拒绝服务攻击 20
3.2.4 SSID猜解与诱骗 20
3.2.5 中间人攻击 20-21
3.2.6 异常报文攻击 21
3.2.7 重放攻击 21
3.3 入侵检测的概念 21-22
3.4 入侵检测技术 22-27
3.4.1 入侵检测的发展 22
3.4.2 入侵检测的分类 22-27
3.5 本章小结 27-28
第四章 基于协议分析的入侵检测系统设计 28-52
4.1 模式匹配与协议分析结合的入侵检测方法 28-29
4.2 基于协议分析技术的检测过程 29-31
4.2.1 协议分析树的构建 30-31
4.3 基于协议分析技术的入侵检测体系结构 31-32
4.4 检测代理关键模块设计 32-49
4.4.1 数据捕获模块 33-37
4.4.2 预检测模块 37-38
4.4.3 解码模块 38-42
4.4.4 规则解析模块 42-43
4.4.5 协议分析模块 43-44
4.4.6 模式匹配算法 44-47
4.4.7 改进的BM算法 47-49
4.5 对常见攻击的检测效果分析 49-51
4.5.1 IP 攻击 49-50
4.5.2 ICMP 攻击 50
4.5.3 其他攻击 50-51
4.6 本章小结 51-52 结论 52-53 参考文献