入侵检测系统在工业以太网中的应用
中南民族大学
硕士学位论文
入侵检测系统在工业以太网中的应用
姓名:任恺
申请学位级别:硕士
专业:计算机应用
指导教师:宋中山
20080402
中南民族大学硕士学位论文
摘要
随着以太网技术的日益成熟,工业以太网的应用也日趋广泛,工业以太网技术在给我们带来方便的同时,网络安全问题也逐步凸显出来。目前,网络安全领域,入侵检测系统是有效发现和防御网络入侵的安全防护手段,在网络安全的应用中处于上升发展阶段。本文研究了入侵检测系统在工业以太网中的应用的可行性和实现途径等几个问题。
对工业以太网的安全问题、目前常用的安全技术手段进行了全面概述。分析了工业以太网目前存在的安全问题,处理这些安全问题通常采用的方法和手段。指出了目前的处理方法存在的缺陷和问题,从完善目前工业以太网网络安全的角度引入了入侵检测系统的概念。分析了入侵检测系统的基本原理以及入侵检测系统在网络安全中的重要意义,对入侵检测系统运用在工业以太网中的优势进行了分析,对其在工业以太网的网络安全方面的前景进行了预测。
介绍了著名的开源入侵检测系统--Snort。详细地介绍了Snort的功能特性,搭建了一套完整的以Snort为核心软件的入侵检测系统。它是包括“传感器-数据库-分析平台”3个部分的完整的3层结构的IDS体系系统。并对工业以太网的工作运行环境进行了仿真,将搭建的系统应用于仿真的工业以太网络环境,完成调试和设置使入侵检测系统能够正常的工作于仿真的工业以太网网络环境。
用Blade IDS Informer、Solarwids Network Toolset等几套网络分析测试系统对基于Snort的工业以太网入侵检测系统进行全面测试,从网络性能、入侵检测系统的有效性及完备性,资源占用和事件分析能力3个方面进行实验得到定量数据和图表。最后对数据进行最终的总结,得出入侵检测系统运用于工业以太网的可行性分析以及其应用的性能分析。
关键词:工业以太网;入侵检测系统;网络安全;Snort;IDS
I
Abstract
As the development of Ethernet technology, the application of industrial Ethernet is widespread now. The industrial Ethernet technology brings the convenience to us, at the same time the network security problem is gradually truing out. At present, in the network security domain, the Intrusion Detection Systems is an effective way to detecting the network intrusion and protection network to keeping safety, IDS is developing fast in network security's application. This article is about the application of Intrusion Detection Systems and how to realize it in the Industry Ethernet.
First, we describe the industry Ethernet’s security problem, and commonly used technology for safety of industrial Ethernet. We analyze the industrial Ethernet present existence security problem, and the methods we usually use now. We point out the problems of system using now, from present concept of industrial Ethernet network security’s Intrusion Detection System. We have analyzed the Intrusion Detection System’s basic principle as well as the important meaning of Intrusion Detection Systems using in network security. At last, we give the forecast to IDS in the industrial Ethernet’s network security aspect's prospect.
At last, we introduce famous opens source Intrusion Detection Systems—Snort. In detail the Snort’s functions, it takes Snort as the core software's Intrusion Detection Systems. It is includes “the sensor – the database - the analyzer”3 partial complete 3 layers of IDS system. We build the system applies in the simulation industrial Ethernet environment, and take the tests in the simulation of industrial Ethernet environment.
With the B lade IDS Informer, Solarwids Network Toolset and several sets of network analysis testing tools. We carry on the comprehen sive test based on the Snort industrial Ethernet Intrusion Detection Systems, from the network performance, the Intrusion Detection system’s validity and completeness, the percentage of resources using and the ability of event analyzing 3 aspects to carry on tests and obtains the quantitative data and the graphs. Finally we carry on the final summary to the Intrusion Detection Systems to utilize in the industrial Ethernet. We analyzed the feasibility and performance of it.
Key word: Industrial Ethernet; Intrusion Detection Systems; Network security; Snort
II
中南民族大学
学位论文原创性声明
本人郑重声明:所呈交的论文是本人在导师的指导下独立进行研究所取得的研究成果。除了文中特别加以标注引用的内容外,本论文不包含任何其他个人或集体已经发表或撰写的成果作品。对本文的研究做出重要贡献的个人和集体,均已在文中以明确方式标明。本人完全意识到本声明的法律后果由本人承担。
作者签名:日期:年月日
学位论文版权使用授权书
本学位论文作者完全了解学校有关保留、使用学位论文的规定,同意学校保留并向国家有关部门或机构送交论文的复印件和电子版,允许论文被查阅和借阅。本人授权中南民族大学可以将本学位论文的全部或部分内容编入有关数据库进行检索,可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。
本学位论文属于
1、保密□,在______年解密后适用本授权书。
√
2、不保密□。
(请在以上相应方框内打“√”)
作者签名:日期:年月日
导师签名:日期:年月日
中南民族大学硕士学位论文
第1章 绪论
1.1 工业以太网网络安全研究现状
工业以太网发展至今已经逐步走向完善的道路,对于工业以太网的网络安全问题,许多网络安全设备制造厂商给予了关注,并且不断的有一些产品推出。工业以太网信息安全包括了保护数据、文件不被误操作、盗窃、间谍以及非法操纵的所有措施。为了防止机密数据的丢失目前厂商多采用防火墙技术和加密技术,其目的就是将工业以太网络屏蔽于不安全的外网之外。
目前工业网络安全问题采用防火墙技术和交换机安全技术来实现,但是防火墙、交换机安全功能上仍然存在很多问题和缺陷,例如交换机的流量控制功能只能对经过端口的各类流量进行简单的速率限制,将广播、组播的异常流量限制在一定的范围内,而无法区分哪些是正常流量,哪些是异常流量。同时,如何设定一个合适的阈值也比较困难。一些交换机具有ACL,但如果ASIC支持的ACL少仍旧没有用。一般工业以太网交换机还不能对非法的ARP进行特殊处理。网络中是否会出现路由欺诈、生成树欺诈的攻击、802.1x的Dos攻击、对交换机网管系统的Dos攻击等,都是以太网交换机面临的潜在威胁。
除了传统意义上了的防火墙技术和交换机控制技术的完善以外,很多时候入侵数据的判断,入侵来源的完善记录,分析和阻止可能入侵行为的要求,使得入侵检测系统在工业以太网上应用成为一种需要。IDS入侵检测系统对敏感类型攻击予以记录并进行报警,进行主动防御也是各个工业以太网安全企业未来研究的方向。目前市场已有的产品方面还处于不成熟阶段,大多是在其交换机,防火墙上加入少量的入侵检测功能,功能和效果都非常的有限。
1.2 本课题的研究意义
工业以太网的信息安全,关系到安全生产和企业的竞争力,其重要性不言而喻。以太网信息安全产品的市场需求前景是非常良好的。目前工业以太网信息安全技术主要是
1
基于防火墙技术和交换机控制技术。本课题将尝试将入侵检测技术引入工业以太网,并对其做可行性分析和研究。
Snort是应用最广泛的跨系统、开源的轻量级入侵检测系统。经过多年发展,Snort 规则已经成为入侵检测系统的事实标准。本文在Snort的基础上,设计和实现了针对工业以太网络的入侵检测系统方案。为将来设计和实现基于Snort的嵌入式工业以太网入侵检测系统提供了一种参考和思路。同时本课题研究,可以为今后实现的基于FPGA的嵌入式工业以太网入侵检测系统提供实验参考依据。
1.3 本课题的内容安排
本课题的全文章节安排如下:
第1章:介绍工业以太网络的网络安全问题的研究背景和意义,工业以太网中应用入侵检测技术,可以提高网络安全的防范水平,整个系统更加完善。第一章结尾给出本文全文的组织结构。
第2章:介绍工业以太网和入侵检测的基本概念,分析工业以太网目前存在的安全问题。详细分析在网络的各个层如何做到网络安全的防护。研究入侵检测系统,比较入侵检测系统相对于传统网络安全防火墙的优势,对工业以太网使用于入侵检测系统进行可行性论证分析。
第3章:介绍入侵检测系统实验环境的搭建:基于Snort的入侵检查系统,后台采用PHP、MySQL、Apache做数据记录平台,前端用BASE平台做分析平台,整个系统的协同工作调试。说明工业以太网实验室模拟环境的搭建,使用的主要设备,网络结构的选择。
第4章:基于工业以太网的入侵检测系统的测试方法与测试工具的选择,从网络性能、入侵检测系统的有效性、完备性,资源占用和事件分析能力3个方面进行测试,测试工具最终确定为Blade IDS Informer和Solarwids Network Toolset。
第5章:进行计划的测试,得到的结果以图表形式呈现,对结果定量的分析,基于实验数据对Snort入侵检测系统在工业以太网上应用进行评估,得到入侵检测系统用于工业以太网可行的结论。同时指出该应用存在的问题和不足和以后改进的方向。
结束语:总结全论文,提炼出作者的实验目的和实验结论。
2
中南民族大学硕士学位论文
第2章 工业以太网安全与入侵检测系统概述 2.1 工业以太网的特点及安全要求
传统以太网络是Intranet、Internet等类型的信息网络,但是工业以太网是面向生产过程,对实时性、可靠性、安全性和数据完整性有很高的要求。除了与传统以太网络相同的安全要求以外,它有着自己不同于传统以太网络的显著特点和安全要求[13]:
(1)工业以太网是一个网络控制系统,实时性要求高,网络传输要有确定性。
(2)管理层的传统以太网可以与控制层的工业以太网交换数据,上下层网段采用相同协议自由通信。
(3)工业以太网中周期与非周期信息同时存在,各自有不同的要求。周期信息的传输通常具有顺序性要求,而非周期信息有优先级要求,如报警信息是需要立即响应的。
(4)工业以太网要为紧要任务提供最低限度的性能保证服务,同时也要为非紧要任务提供尽力服务,所以工业以太网同时具有实时协议也具有非实时协议。
基于工业以太网络的上述特性,一个理想的工业以太网络,它应有如下的安全应用要求:
(1)工业以太网应该保证实时性不会被破坏。在商业应用中,对实时性的要求基本不涉及安全;而过程控制对实时性的要求是硬性的,常常涉及生产设备和人员安全。
(2)在工业以太网的数据传输中要防止数据被窃取。生产过程中的控制参数往往涉及到商业机密,是以技术为核心竞争力的企业的命脉。
(3)开放性是工业以太网的优势,远程的监视、控制、调试、诊断等极大的增强了控制的分布性、灵活性,打破了时空的限制,但是对于这些应用必须保证经过授权的合法性和可审查性。
2.2 工业以太网的应用安全问题分析
2.2.1影响工业以太网正常运行的常见攻击方式
(1) 病毒攻击
病毒攻击能够导致整个网络的路由震荡,这样可能使上层的信息层网络部分流量流
3
入工业以太网,加大了它的通信负荷,影响其实时性。在控制层也存在不少计算机终端连接在工业以太网交换机,一旦终端感染病毒,病毒发作即使不能造成网络瘫痪,也可能会消耗带宽和交换机资源。
(2) 不安全的中继点
如果一个攻击者访问了一个不安全的中继点,那么它就可以伪装成一个交换机,并对数据包相应地加以标识,而真正的交换机将提供所有的网络资源的访问权。
(3) 含无效参数的IP数据包
这种攻击经常被用来中断目标系统的操作(拒绝服务)。由于其无效参数,这些IP 数据包易于识别。如果出现多次这样的数据包表明系统遭到了攻击。
(4) SYN 泛滥
在SYN泛滥情况下,攻击者不停地发送同步数据包以启动一个连接建立。这些数据包被发送到目标系统以打开其端口,并能不停地改变源端口。目标计算机便会建立一个TCP连接并发送带有SYN和ACK标记的确认信息,并等待通信连接的确认,但是攻击者并不会发送。这样,建立了大量的不完全连接,这最终将耗尽目标系统的大量资源,使它再也无法完成实际任务。[16]
(5) IP欺诈
在IP欺诈的情况下,操作数据包的发送者IP地址,使其看上去像是来自于另一台计算机。IP欺诈经常被用来通过防火墙或是在进行攻击的情况下隐藏攻击者的身份。
(6) 登录攻击
在登录攻击情况下,发送至目标计算机的TCP数据包具有以下属性: SYN标志被置位;发送地址与目标计算机的地址是相同的。目标计算机便会将它本身的ACK标志当作是新建立连接的SYN标志。这种无限循环将导致目标系统的崩溃。
(7) MAC攻击
工业以太网交换机通常是二层交换机,而MAC地址是二层交换机工作的基础,网络依赖MAC地址保证数据的正常转发。动态的二层地址表在一定时间以后(AGE TIME)会发生更新。如果某端口一直没有收到源地址为某一MAC地址的数据包,那么该MAC 地址和该端口的映射关系就会失效。这时,交换机收到目的地址为该MAC地址的数据包就会进行泛洪处理,对交换机的整体性能造成影响,能导致交换机的运行速度下降。而且,假如攻击者生成大量数据包,数据包的源MAC地址都不相同,就会充满交换机
4
中南民族大学硕士学位论文
的MAC地址表空间,导致真正的数据流到达交换机时被泛洪出去。这种通过复杂攻击和欺骗交换机入侵网络方式,已有不少实例。一旦表中MAC地址与网络段之间的映射信息被破坏,迫使交换机转储自己的MAC地址表,开始失效恢复,交换机就会停止网络传输过滤,它的作用就类似共享介质设备或集线器,CSMA/CD机制将重新作用从而影响工业以太网的实时性。
其它常见的攻击方式还有:数据泛滥、SYN发送者无法找到、ICMP回复请求、缓冲器溢出、Smurf攻击和整数溢出等。
2.2.2工业以太网安全在各个网络层的实施
所有的工业以太网协议几乎都使用T C P / U D P / I P 簇。当现场级与外网和Internet相互连接时,信息安全就成为一个越来越重要的问题。到目前为止还没有工业以太网信息安全的国际和国家标准文本出台。工业以太网和普通以太网都是使用标准的以太网和T C P / U D P /IP协议簇,可采取信息安全措施的方法比较的类似。[17]2.2.2.1网络级
图2.1中使用的是IP信息安全(IPSec)机制。
图2.1 网络级 IP/IPsec
对于工业以太网中IPSec的详细描述见参考文献[3]。使用IPSec的优势在于对于终端用户和应用来说是透明的,并且提供了多种用途的解决方案。IPSec还包括了过滤功能,这样只有被选择的流量才会进行上层的IPSec的处理。
2.2.2.2传输层SSL/TLS
图2.2中显示的是TCP 之上的信息安全措施,它包括SSL和TSL。TSL是协议因特网标准TSL记录协议被用于更高层协议的封装。
5
图 2.2传输层SSL/TLS
比如TSL握手协议这类被封装的协议允许服务器和客户相互鉴权,并且允许应用协议传输或者接收数据的第一个字节之前,相互协商封装算法和密钥。TSL握手协议提供的连接方面的信息安全包括三个基本属性:
(1)可以使用不对称或者公用钥匙、密码技术( 如RSA,DSS等)来实现对等的身份
识别。
(2)共享密文的安全性:无法窃听到协议的秘文,任何非授权连接也不能获得秘文。
(3)协商是可靠的:任何入侵者在各方通信时都不能修改这个协商的通信,一旦修改
肯定会被发现。SSL被设计用于在使用TCP时提供可靠的端对端的信息安全服务,并且SSL可以嵌入在特定的数据包中传输。
握手协议是SSL协议中最复杂的部分,因为它允许服务器和客户相互鉴权、协调加密、MAC算法和密码钥匙,这些都被用于保护在SSL记录中发送的数据。握手协议是由客户和服务器间交换报文的一系列程序组成,这就是有名的三次握手,但是实际上数据交换可以被认为经过4个阶段:
(1)建立信息安全能力。
(2)服务器鉴权和密钥交换。
(3)服务器鉴权和钥匙交换。
(4)建立信息安全连接的阶段。
2.2.2.3应用层
图2.3中显示了特定应用层的信息安全服务,这些服务被嵌入到特定的应用中。UDP 使用Kerberos,其他协议使用S/MINE、PGP和SET等。
6
中南民族大学硕士学位论文
图2.3 应用层
2.2.3目前以太网安全防范机制和实现方式
工业以太网信息安全包括了保护数据和文件和命令不被误操作、盗窃以及劫持操纵的所有合适的措施。为了防止机密数据的丢失多采用使用了防火墙、数据加密、用户授权等技术,这些技术也常常结合在一起使用,其目的就是保障工业以太网的稳定运行和数据信息的安全。
目前基于信息层网络广泛采用的交换机安全技术主要包括以下这些。
(1)流量控制技术,把流经端口的异常流量限制在一定的范围内。
(2)访问控制列表(ACL)技术,ACL通过对网络资源进行访问输入和输出控制,确保网络设备不被非法访问或被用作攻击跳板。
(3)安全套接层(SSL)技术为所有 HTTP流量加密,允许访问交换机上基于浏览器的管理 GUI。
(4)802.1x和RADIUS 网络登录控制基于端口的访问,以进行验证和责任明晰。源端口过滤只允许指定端口进行相互通信。
(5)Secure Shell (SSHv1/SSHv2) 加密传输所有的数据,确保IP网络上安全的CLI远程访问。
(6)安全FTP 实现与交换机之间安全的文件传输,避免不需要的文件下载或未授权的交换机配置文件复制。
但是这些安全功能仍然存在很多实际问题,交换机的流量控制功能只能对经过端口的各类流量进行简单的速率限制,将广播、组播的异常流量限制在一定的范围内。而无法区分哪些是正常流量,哪些是异常流量。同时,如何设定一个合适的阈值也比较困难。一些交换机具有ACL,但如果ASIC支持的ACL少仍旧没有用。一般交换机还不能对ARP欺骗进行特殊处理。网络中是否会出现路由欺诈、生成树欺诈的攻击、802.1x的Dos攻击、对交换机网管系统的Dos攻击等,都是交换机面临的潜在威胁。
7
在控制层,工业以太网交换机,可以借鉴这些安全技术,但是由于工业以太网交换机主要用于数据包的快速转发,强调转发性能和实时性的提高。应用这些安全技术时将面临实时性和成本的很大困难,目前工业以太网的应用和设计主要是基于工程实践和经验,网络上主要是控制系统与操作站、优化系统工作站、先进控制工作站、数据库服务器等设备之间的数据传输,网络负荷平稳,具有一定的周期性。但是,随着系统集成和扩展的需要、IT技术在自动化系统组件的大力应用,使得以太网络安全控制的遇到更多的问题。
基于以上特点除了传统意义上了的防火墙技术的控制手段以外,很多对入侵数据如何判断,完善的记录入侵的来源,分析和阻止可能入侵行为使得入侵检测系统和入侵防御系统在工业以太网上应用成为一种需要。IDS入侵检测系统,甚至IPS入侵防御系统对敏感类型攻击予以记录并进行报警,进行主动防御也是各个工业以太网安全企业研究的方向。目前产品方面多是在其交换机,防火墙上加入少量的入侵检测功能,各项技术基本处于刚刚起步阶段。
2.3入侵检测的基本原理
2.3.1 定义
所谓入侵(Intrusion)是指有关试图破坏资源的完整性、机密性和可用性的活动。入侵检测(Intrusion Detection) 是指监控并分析计算机系统或网络上发生的事件, 以寻找入侵迹象的过程。入侵检测系统( Intrusion Detection System, 简称IDS) 是为完成入侵检测任务而开发的软件或硬件系统。[5]
2.3.2入侵检测系统模型
2.3.2.1 CIDF模型(公共入侵检测框架)
为了促进IDS 的标准化, 美国国防部高级研究计划局DAPPA提出了CIDF(Common Intrusion Detection Framework), 阐述了一个入侵检测系统( IDS)的公共模型。
8
中南民族大学硕士学位论文
输出:采取措施
CIDF包括4个组件:事件产生器(Event generator)、事件分析器(Event analyzer)、响应单元(Response unit)、事件数据库(Event database) 。[17]
事件产生器收集事件, 并作特定处理, 使之为其它组件使用。事件分析器对事件产生器传送来的信息作分析, 看是否出现了违反策略的操作、用户行为异常等活动, 根据分析结果产生警报信息。事件数据库存储事件产生器和事件分析器传送来的信息, 做检索和查询服务。响应单元根据报警信息,采取相应措施。事件产生器的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件。事件分析器分析得到的数据,并产生分析结果。响应单元则是对分析结果做出反应的功能单元,它可以做出切断连接、改变文件属性等强烈反应,也可以只是简单的报警。事件数据库是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。
在这个模型中,前三者以程序的形式出现,而最后一个则往往是文件或数据流的形式。
事件产生器、事件分析器和响应单元这些术语在通常应用中分别指数据采集部分、分析部分和控制台部分,而事件数据库常指日志。
2.3.2.2通用入侵检测模型
美国斯坦福国际研究所的Dorothy Denning 于1986 年最早提出了入侵检测模型(图2.5)。该模型由六个组件构成: 主体、客体、审计记录、活动描述、异常记录、活动规
9
10
则。它独立于具体的系统, 现有的入侵检测技术及体系都是在该模型的基础上发展起来的。事件产生器( Event generator) 根据不同事件, 来生成检测所需的基本信息, 如审计记录、网络包等。审计记录是这样一个6元组: 主体, 活动, 客体, 例外情形, 资源使用, 时间戳。
更新
更
新网络包及入侵程序记录
图 2-4 Denning入侵检测模型
活动描述文件(Activity profile) 描述了主体对客体的活动, 如用户对系统文件的读、写、用户登录、系统命令调用等。它用来作为相应主、客体之间正常行为的特征或描述。在模型中, 活动描述文件包括10 个组件: 变量名、活动模式、例外模式、资源使用模式、时间间隔、变量类型、门限、主体模式、客体模式、值。规则集(Rule set) 表示推理机制。在该模型中, 有四种规则: 审计记录规则、定期的活动更新规则、异常记录规则、定期的异常分析规则。 2.3.3 入侵检测系统的通信协议
IDS 系统组件之间需要通信,不同的厂商的IDS 系统之间也需要通信。因此,定义统一的协议,使各部分能够根据协议所致订的标准进行沟通是很有必要的。 IETF 目前有一个专门的小组Intrusion Detection Working Group (IDWG)负责定义这种通信格式,称作Intrusion Detection Exchange Format 。目前只有相关的草案(Internet Draft ),并未形成正式的RFC 文档。尽管如此,草案为IDS 各部分之间甚至不同IDS 系统之间的通信提供了一定的指引。IAP(Intrusion Alert Protocol)是IDWG 制定的、运行于TCP 之上的应用层协议,其设计在很大程度上参考了HTTP ,但补充了许多其他功能(如可从任意端发起连接,结合了加密、身份验证等)。这里我们主要讨论一下设计一个入侵检测系统图 2.5 Denning 入侵检测模型
中南民族大学硕士学位论文
通信协议时应考虑的问题。
2.3.4入侵检测IDS存在的问题和运用与工业以太网的前景 尽管有众多的商业产品出现,与诸如防火墙等技术高度成熟的产品相比,入侵检测系统还存在相当多的问题。这一章我们便要讨论一下对其进行威胁的主要因素,值得注意的是,这些问题大多是目前入侵检测系统的结构所难以克服的,而且这些矛盾可能越来越尖锐。以下便是对入侵检测产品提出挑战的主要因素:
(1) 攻击者不断增加的知识,日趋成熟多样自动化工具,以及越来越复杂细致的攻击手法。
(2) 恶意信息采用加密的方法传输。网络入侵检测系统通过匹配网络数据包发现攻击行为,IDS往往假设攻击信息是通过明文传输的,因此对信息的稍加改变便可能骗过IDS的检测。
(3) 必须协调、适应多样性的环境中的不同的安全策略。网络及其中的设备越来越多样化,即存在关键资源如邮件服务器、企业数据库,也存在众多相对不是很重要的PC机。不同企业之间这种情况也往往不尽相同。IDS要能有所定制以更适应多样的环境要求。
(4) 不断增大的网络流量。用户往往要求IDS尽可能快的报警,因此需要对获得的数据进行实时的分析,这导致对所在系统的要求越来越高。对工业以太网的实时性造成影响。
(5) 广泛接受的术语和概念框架的缺乏。入侵检测系统的厂家基本处于各自为战的情况,标准的缺乏使得其间的互通几乎不可能。其工业标准的制定还有很远的路要走。
(6). 采用不恰当的自动反应所造成的风险。入侵检测系统可以很容易的与防火墙结合,当发现有攻击行为时,过滤掉所有来自攻击者的IP的数据。
(7) 对IDS自身的攻击。和其他系统一样,IDS本身也往往存在安全漏洞。若对IDS 攻击成功,则直接导致其报警失灵,入侵者在其后所作的行为将无法被记录。
(8) 大量的误报和漏报使得发现问题的真正所在非常困难。采用当前的技术及模型,完美的入侵检测系统无法实现。
(9) 客观的评估与测试信息的缺乏。交换式局域网造成网络数据流的可见性下降,同时更快的网络使数据的实时分析越发困难。
IDS系统由于其优于防火墙的一些特性使得它在工业以太网上的应用前景比较光
11
明,一些困难的技术问题随着网络安全技术的整体发展会逐步解决,在将来的工业以太网网络安全应用中有望得到重视和发展。
12
中南民族大学硕士学位论文
第3章 基于snort的模拟测试环境调试
3.1 Snort软件环境分析
构建snort入侵检测系统,snort系统可以运行在很多系统环境中,具有系统可移植性,它是一套非常优秀的开发源代码网络监测系统,在网络安全中有着广泛的应用,snort 本身的基本原理是基于网络嗅探,在网络抓取相关数据包,对其进行协议规则分析,如符合规则的报警特征就发出警报,网络安全管理员可以根据报警的详细信息及时处理异常的情况,发现网络安全问题,及时处理。
由于snort最开始是基于Unix Linux平台的源代码开放软件,它是一个轻量级的IDS (Intrusion Detection System)系统,整套系统包括抓包软件,Snort,PHP,MySQL数据库(记录报警信息),Apache,前端的BASE分析系统。Snort系统还是入侵监测系统常常使用的“传感器-数据库-分析平台”的3层体系结构系统。[21]
(1)WinPcap作为系统底层网络接口驱动,Snort作为数据报捕获、筛选和转储程序,二者即可构成IDS的传感器部件。为了完整覆盖监控可以根据网络分布情况在多个网络关键节点上分别部署IDS传感器。
(2)数据库系统,Snort获得记录信息后可以存储到本地日志也可以发送到Syslog服务器或是直接存储到数据库中,数据库可以是本地也可以是远程的,Snort2.8.0支持MySQL、MSSQL、PostgreSQL、ODBC、Oracle等数据库接口。
(3)Snort的日志记录仅仅包含网络数据包的原始信息,对这些大量的原始信息进行人工整理分析是一件非常耗时而且低效率的事情,所以还需要一个能够操作查询数据库的分析平台。无论是从易用性还是平台独立性考虑,WEB平台都是首选。ACID(Analysis Console for Intrusion Databases )是Snort早期最流行的分析平台,使用PHP开发,不过现在开发组不再更新和支持这套系统,现在已经由基于它再开发的BASE(Basic Analysis and Security Engine)所取代。
这3层体系结构既可以部署于同一台服务器部署在不同的物理服务器,架构组织非常灵活。如果仅仅需要一个测试研究环境,单服务器部署是可行的,如果需要一个稳定高效的专业IDS平台,那么多层分布的IDS无论是在安全还是在性能方面都能够满足。具体的部署方案还要取决于实际环境需求。
13
3.2 实验测试环境的构建
3.2.1实验安装环境:
表 3.1 测试平台和系统环境
PC为台式机3台:
Intel(R) Pentium(R) D CPU 2.80GHz*2 双核处理器
SAMSUNG HD160JJ SCSI Dist 160G
512MB 内存
Realtek RTL8269/8110 Family Gigabit Ethernet NIC 硬件环境
工作站:
联想万全服务器T468
网络系统:百兆以太网络,
Alcatel-Lucent路由器一台Linksys w54gs 无线路由器一台普通百兆交换机一台
操作系统:
服务器windows 2000 server版,普通pc为windows XP SP3已经打好所有更新布丁
传感器:
WinPcap 4.0.2
Snort 2.801 以及 SnortRules-snapshot-current
数据库:
MySQL-essential-5.0.45-win32
MySQL-gui-tools-5.0-r12-win32
Php-5.2.5-win32
Adodb 4.96a
PhpMyadmin sql web管理平台
软件部署:
分析平台:
Apache_2.2.6-win32-mswin32-x86
Php-5.2.5-win32
ActivePerl-5.6.1.635-mswin32-x86
Web前端分析软件:
Base-1.3.9
Perl图形插件
服务器系统的自身安全必须得以保障,由于WinXP并不是专业的服务器版本,考虑到仅仅是做测试实验用,准备工作为大好最新的更新安全补丁,卡巴斯基杀毒软件最新数据库系统全面监测杀毒,关掉和本次实验没有关系的服务项目,让系统尽可能的净化。
14
中南民族大学硕士学位论文
条件允许专门的服务器可能稳定性更好,但实验条件限制不能采用3台服务器分别部署三个平台,暂时一台服务器安装测试。测试环境的部署参考图3.1所示。
内部集线器
图3.1 模拟工业以太网IDS部署示意图
3.2.2实验环境搭建
3.2.2.1传感器组建
安装WinPcap和Snort。将Snort安装在c:\snort\。安装完Snort后,rules目录下还是空的,将另外Snortrules包解压拷贝到Snort安装目录下.
修改snort的设置文件:c:\snort\rules\var\snort.conf
3.2.2.2数据库平台搭建
PHP+MySQL+Apache的安装,安装需要有些设置安装好后调试另外,为了便于调试和管理MySQL服务,还安装了它的图形管理界面PhpMyadmin使用GUI Tools建立snortdb和snortarc两个数据库,数据库和用户命名不能包含符号,使用英文字母和数字命名。BASE有数据库存档功能,这里建立的snortdb是snort存储的数据库,而snortarc是BASE的存档数据库。对这两个数据库建立用户snortuser并授予CREATE/SELECT/INSERT/UPDATE/DELETE权限。
使用MySQL命令行控制台设置上面的内容,可以参考:
15
建立数据库和数据库用户snort:
Mysql> create database snortdb;
Mysql> grant INSERT, SELECT on root.* to snortuser@localhost;
Mysql> SET PASSWORD FOR snortuser@localhost=PASSWORD (‘eric’);
Mysql> grant CREATE, INSERT, SELECT, DELETE, UPDATE on snortdb.* to snortuser@localhost;
Mysql> grant CREATE, INSERT, SELECT, DELETE, UPDATE on snortdb.* to snortuser; 导入数据库信息
Mysql -u root -p < ./snort/schemas/create_mysql snortdb
Mysql -u root -p < ./snort/schemas/create_mysql snortarc
完成后查看数据库情况, 确认创建成功。
3.2.2.3 PHP和Apache的安装配置
使用PHP非安装软件包可以避免开启不必要的功能和插件。解压软件包至目录D:\Application\php在安装目录下,复制php.ini-dist为php.ini并编辑其内容: 设置扩展库目录:
extension_dir = "D:\Application\php\ext"
开启所需的扩展插件
extension=php_gd2.dll
extension=php_mysql.dll
禁用http文件上传,封堵一切可能的不安全因素
file_uploads = off
在Apache的设置文件..\Apache\conf\httpd.conf中添加对PHP的支持:
#自定义设置,注意使用正斜杠
PHPIniDir "../php"
LoadFile “../php/php5ts.dll"
LoadModule php5_module "../php/php5apache2_2.dll"
AddType application/x-httpd-php .php
设置完成后重启Apache确认是否运行正常,假如出现错误,可以使用Apache的Test
Configuration查找错误原因。
16
第八章入侵检测系统
第八章入侵检测系统 第一节引言 通过电子手段对一个组织信息库的恶意攻击称为信息战(information warfare)。攻击的目的可能干扰组织的正常活动,甚至企图对组织的信息库造成严重的破坏。对信息战的各种抵抗措施都可归结为三类:保护、检测、响应。 保护 (入侵的防范)指保护硬件、软件、数据抵御各种攻击的技术。目前各种网络安全设施如防火墙及VPN,各种加密技术,身份认证技术,易攻击性扫描等都属于保护的范围之内,它们是计算机系统的第一道防线。 检测 (入侵的检测)研究如何高效正确地检测网络攻击。只有入侵防范不足以保护计算机的安全,任何系统及协议都不可避免地存在缺陷,可能是协议本身也可能是协议的实现,还有一些技术之外的社会关系问题,都能威胁信息安全。因此即使采用这些保护措施,入侵者仍可能利用相应缺陷攻入系统,这意味着入侵检测具有其他安全措施所不能代替的作用。 响应 (入侵的响应)是入侵检测之后的处理工作,主要包括损失评估,根除入侵者留下的后门,数据恢复,收集入侵者留下的证据等。这三种安全措施构成完整的信息战防御系统。 入侵检测(Intrusion Detection,ID)是本章讨论的主题之一,它通过监测计算机系统的某些信息,加以分析,检测入侵行为,并做出反应。入侵检测系统所检测的系统信息包括系统记录,网络流量,应用程序日志等。入侵(Intrusion)定义为未经授权的计算机使用者以及不正当使用(misuse)计算机的合法用户(内部威胁),危害或试图危害资源的完整性、保密性、可用性的行为。入侵检测系统(Intrusion Detection System,IDS)是实现入侵检测功能的硬件与软件。入侵检测基于这样一个假设,即:入侵行为与正常行为有显著的不同,因而是可以检测的。入侵检测的研究开始于20世纪80年代,进入90年代入侵检测成为研究与应用的热点,其间出现了许多研究原型与商业产品。 入侵检测系统在功能上是入侵防范系统的补充,而并不是入侵防范系统的替代。相反,它与这些系统共同工作,检测出已经躲过这些系统控制的攻击行为。入侵检测系统是计算机系统安全、网络安全的第二道防线。 一个理想的入侵检测系统具有如下特性: ?能以最小的人为干预持续运行。 ?能够从系统崩溃中恢复和重置。 ?能抵抗攻击。IDS必须能监测自身和检测自己是否已经被攻击者所改变。
网络入侵检测系统在电力行业的应用(解决方案)
网络入侵检测系统在电力行业的应用(解决方案) 电力行业关系到国计民生,是我国经济快速发展的重要基石。信息安全建设作为保障生产的一个重要组成 部分,越来越多地受到重视并被提到议事日程上来。 电力行业关系到国计民生,是我国经济快速发展的重要基石。电力系统的信息化建设有力地推动了电力行业生产、办公、服务水平,随着电力系统网络规模的不断发展和信息化水平的不断提高,信息安全建设作为保障生产的一个重要组成部分,越来越多地受到重视并被提到议事日程上来。 据来自有关部门的资料,目前电力系统存在的一些信息安全问题已明显地威胁到电力系统的安全和稳定,,影响着“数字电力系统”的实现进程。研究电力系统信息安全问题、开发相应的应用系统、制定电力系统信息遭受外部攻击时的防范与系统恢复措施,是电力行业当前信息化工作的重要内容。电力系统信息安全已经成为电力企业生产、经营和管理的重要组成部分。 榕基入侵检测系统(RJ-IDS)是榕基网安公司除了漏洞扫描系统外的一条全新产品线,该产品是一种动态的入侵检测与响应系统,除了能对高速网络上的数据包捕获、分析、结合特征库进行相应的模式匹配外,还具有强大的行为和事件统计分析功能,能够自动检测可疑行为,及时发现来自网络外部或内部的攻击,并可以实时响应,切断攻击方的连接,帮助企业最大限度的保护公司内部的网络安全。 网络构架描述 国内电力行业某省级公司,随着业务需求的进一步扩展,原有的网络及系统平台已经不能满足应用需求,从保障业务系统高效、稳定和安全运行等方面考虑,必须升级优化现有系统,其中提高网络的安全性 是重中之重。 该公司信息系统基础设施包括电力系统网络、局域网和互联网三个部分。电力系统网络是承载该公司与各个子公司内部业务交流的核心平台,局域网是该公司内部日常办公的主要载体,外部信息的获取和发 布通过互联网来完成。 该公司的局域网于2001年建成并投入运行,核心交换机为Cisco Catalyst 6509。以千兆下联十多台设在各部门的百兆交换机,均为Cisco Catalyst 3524XL/3550系列交换机,并划分了多个VLAN;在网络出口处,该公司通过Cisco 7401交换机与Internet连接,Internet接入边界有最基本的安全设备,一台硬件 防火墙和一台VPN设备。 公司提供包括WWW、SMTP、FTP等互联网应用服务,目前开设了一个内部信息发布、员工交流站点和一个对外展示企业形象的站点,公司还架设了一个供300多人使用的邮件系统。同时公司还拥有很多的重要应用系统,其中包括企业OA系统和各种信息管理系统。 目前大流量的应用主要集中在局域网内,因此局域网的压力很大;大部分的应用必须跨广域网,但由于应用刚刚起步,因此跨广域网的流量不很大,随着信息化建设的逐步深入,广域网潜在的瓶颈将会严重影 响应用的普及;公司与各个子公司之间以VPN相连。 安全需求分析
工业以太网的意义和应用分析
以太网技术在工业控制领域的应用及意义 随着计算机和网络技术的飞速发展,在企业网络不同层次间传送的数据信息己变得越来越复杂,工业网络在开放性、互连性、带宽等方面提出了更高的要求。现场总线技术适应了工业网络的发展趋势,用数字通信代替传统的模拟信号传输,大量地减少了仪表之间的连接电缆、接线端口等,降低了系统的硬件成本,被誉为自动化领域的计算机局域网。 现场总线的出现,对于实现面向设备的自动化系统起到了巨大的推动作用,但现场总线这类专用实时通信网络具有成本高、速度低和支持应用有限等缺陷,以及总线通信协议的多样性使得不同总线产品不能直接互连、互用和互可操作等,无法达到全开放的要求,因此现场总线在工业网络中的进一步发展受到了限制。 随着Internet技术的不断发展,以太网己成为事实上的工业标准,TCP/IP 的简单实用已为广大用户所接受,基于TCP/IP协议的以太网可以满足工业网络各个层次的需求。目前不仅在办公自动化领域,而且在各个企业的上层网络也都广泛使用以太网技术。由于它技术成熟,连接电缆和接口设备价格较低,带宽也在飞速增加,特别是快速Ethernet与交换式Ethernet的出现,使人们转向希望以物美价廉的以太网设备取代工业网络中相对昂贵的专用总线设备。 Ethernet通信机制 Ethernet是IEEE802. 3所支持的局域网标准,最早由Xerox开发,后经数字仪器公司、Intel公司和Xerox联合扩展,成为Ethernet标准。Ethernet采用星形或总线形结构,传输速率为10Mb/s,100 Mb/s,1000 Mb/s或是更高,传输介质可采用双绞线、光纤、同轴电缆等,网络机制从早期的共享式发展到目前盛行的交换式,工作方式从单工发展到全双工。 在OSI/ISO 7层协议中,Ethernet本身只定义了物理层和数据链路层,作为一个完整的通信系统,它需要高层协议的支持。自从APARNET将TCP/IP和Ethernet捆绑在一起之后,Ethernet便采用TCP/IP作为其高层协议,TCP用来保证传输的可靠性,IP则用来确定信息传递路线。 Ethernet的介质访问控制层协议采用CSMA/CD,其工作原理如下:某节点要
工业以太网与现场总线的优缺点 整理
工业以太网与现场总线的优缺点 1 引言 用于办公室和商业的以太网伴随着现场总线大战硝烟已悄悄地进入了控制领域,近年来以太网更是走向前台,发展迅速,颇引人注目。究其原因,主要由于工业自动化系统正向分布化、智能化的实时控制方面发展,其中通信已成为关键,用户对统一的通信协议和网络的要求日益迫切。另一方面,Intranet/Internet等信息技术的飞速发展,要求企业从现场控制层到管理层能实现全面的无缝信息集成,并提供一个开放的基础构架,而目前的现场总线尚不能满足这些要求。 现场总线的出现确实给工业自动化带来一场深层次的革命,但多种现场总线互不兼容,不同公司的控制器之间不能实现高速的实时数据传输,信息网络存在协议上的鸿沟,导致“自动化孤岛”现象的出现,促使人们开始寻求新的出路并关注到以太网。同时现场总线的传输速率也远远不如工业以太网传输速率快。 2 以太网与工业以太网 2.1 什么是以太网与工业以太网 以太网是当今现有局域网采用的最通用的通信协议标准。该标准定义了在局域网(LAN)中采用的电缆类型和信号处理方法。以太网在互联设备之间以10~100Mbps的速率传送信息包,双绞线电缆型号为10 Base T。以太网由于其低成本、高可靠性以及10Mbps的速率而成为应用最为广泛的以太网技术。直扩的无线以太网可达11Mbps,许多制造供应商提供的产品都能采用通用的软件协议进行通信,开放性好。 普通以太网应用到工业控制系统,这种网络叫工业以太网。 2.2 以太网具有的优点 (1)具有相当高的数据传输速率(目前已达到100Mbps),能提供足够的带宽; (2)由于具有相同的通信协议,Ethernet和TCP/IP很容易集成到IT(信息技术)世界; (3)能在同一总线上运行不同的传输协议,从而能建立企业的公共网络平台或基础构架;
Windows平台下基于snort的入侵检测系统安装详解
Windows平台下基于snort的入侵检测系统安装详解 序言:最近公司网络总是不间断出现点问题,也搭建了一些流量监控服务器进行监控和分析;也一直在关注网络安全方面的知识。看到snort IDS是一个开源的软件,突然想学习下。就有了搭建Windows下Snort IDS的想法。一下内容参考网络上的资料。 1.软件准备 Apache,php,mysql,winpcap,snort,acid,adodb,jpgraph等 2.软件安装 window平台:windows xp sp3 (1)apache的安装 一路下一步,具体配置如下图:
安装完成后验证web服务是否运行正常 (2)mysql安装
(3)php安装 解压php压缩包到C盘下并命名为php 复制c:\php\phpini-dist到c:\windows下并重命名为php.ini 复制c:\php\php5ts.dll,c:\php\libmysql.dll 到 c:\windows\system32下复制c:\php\ext\php_gd2.dll到c:\windows\system32下 修改 c:\apache\conf\httpd配置文件 添加LoadModule php5_module c:/php/php5apache2_2.dll AddType application/x-httpd-php .php 重启apache服务 在c:\apache\htdocs\下新建test.php http://x.x.x.x/test.php验证php能否工作
无线入侵检测系统的应用及其优缺点
无线入侵检测系统的应用及其优缺点 现在随着黑客技术的提高,无线局域网(WLANs)受到越来越多的威胁。配置无线基站(W APs)的失误导致会话劫持以及拒绝服务攻击(DoS)都象瘟疫一般影响着无线局域网的安全。无线网络不但因为基于传统有线网络TCP/IP架构而受到攻击,还有可能受到基于电气和电子工程师协会(IEEE) 发行802.11标准本身的安全问题而受到威胁。为了更好的检测和防御这些潜在的威胁,无线局域网也使用了一种入侵检测系统(IDS)来解决这个问题。以至于没有配置入侵检测系统的组织机构也开始考虑配置IDS的解决方案。这篇文章将为你讲述,为什么需要无线入侵检测系统,无线入侵检测系统的优缺点等问题。 来自无线局域网的安全 无线局域网容易受到各种各样的威胁。象802.11标准的加密方法和有线对等保密(Wired Equivalent Privacy)都很脆弱。在”Weaknesses in the Key Scheduling Algorithm of RC-4” 文档里就说明了WEP key能在传输中通过暴力破解攻击。即使WEP加密被用于无线局域网中,黑客也能通过解密得到关键数据。 黑客通过欺骗(rogue)W AP得到关键数据。无线局域网的用户在不知情的情况下,以为自己通过很好的信号连入无线局域网,却不知已遭到黑客的监听了。随着低成本和易于配置造成了现在的无线局域网的流行,许多用户也可以在自己的传统局域网架设无线基站(W APs),随之而来的一些用户在网络上安装的后门程序,也造成了对黑客开放的不利环境。这正是没有配置入侵检测系统的组织机构开始考虑配置IDS的解决方案的原因。或许架设无线基站的传统局域网用户也同样面临着遭到黑客的监听的威胁。 基于802.11标准的网络还有可能遭到拒绝服务攻击(DoS)的威胁,从而使得无线局域网难于工作。无线通讯由于受到一些物理上的威胁会造成信号衰减,这些威胁包括:树,建筑物,雷雨和山峰等破坏无线通讯的物体。象微波炉,无线电话也可能威胁基于802.11标准的无线网络。黑客通过无线基站发起的恶意的拒绝服务攻击(DoS)会造成系统重起。另外,黑客还能通过上文提到的欺骗W AP发送非法请求来干扰正常用户使用无线局域网。 另外一种威胁无线局域网的是ever-increasing pace。这种威胁确实存在,并可能导致大范围地破坏,这也正是让802.11标准越来越流行的原因。对于这种攻击,现在暂时还没有好的防御方法,但我们会在将来提出一个更好的解决方案。 入侵检测 入侵检测系统(IDS)通过分析网络中的传输数据来判断破坏系统和入侵事件。传统的入侵检测系统仅能检测和对破坏系统作出反应。如今,入侵检测系统已用于无线局域网,来监视分析用户的活动,判断入侵事件的类型,检测非法的网络行为,对异常的网络流量进行报警。无线入侵检测系统同传统的入侵检测系统类似。但无线入侵检测系统加入了一些无线局域网的检测和对破坏系统反应的特性。 无线入侵检测系统可以通过提供商来购买,为了发挥无线入侵检测系统的优良的性能,他们同时还提供无线入侵检测系统的解决方案。如今,在市面上的流行的无线入侵检测系统
工业以太网的特色技术及其应用选择
工业以太网的特色技术及其应用选择 发布时间:2007-05-15 浏览次数:105 | 我要说几句 | ?? 用户解决方案2012优秀论文合订本 ?? NIDays2012产品演示资料套件 ?? 《提高测量精度的七大技巧》资源包 ?? LabVIEW 2012评估版软件 关键词:工业以太网实时特色技术 编者按:工业以太网成为自动化领域业界的技术热点已有时日,其技术本身尚在发展之中,还没有走向成熟,还存在许多有待解决的问题。究竟什么是工业以太网,它有哪些特色技术,如何应用与选择适合自己需求的工业以太网技术与产品,依然是今天人们所关心的问题。 一什么是工业以太网 工业以太网技术,是以太网或者说是互联网系列技术延伸到工业应用环境的产物。前者源于后者又不同于后者。以太网技术原本不是为工业应用环境准备的。经过对工业应用环境适应性的改造,通信实时性改进,并添加了一些控制应用功能后,形成了工业以太网的技术主体。因此,工业以太网是一系列技术的综称。 二工业以太网涉及企业网络的各个层次
企业网络系统按其功能划分,一般称为以下三个层次:企业资源规划层(Enterprise Resource Plan NI ng, ERP)、制造执行层(Manufacturing Excurtion System, MES)和现场控制层(Field Control System,FCS)。通过各层之间的网络连接与信息交换,构成完整的企业信息系统。( 见图1) 图中的ERP与MES功能层属于采用以太网技术构成信息网络。这个层次的工业以太网,其核心技术依然是信息网络中原本的以太网以及互联网系列技术。工业以太网在该层次的特色技术是对其实行的工业环境适应性改造。而现场控制层FCS中,基于普通以太网技术的控制网络、实时以太网则属于该层次中工业以太网的特色技术范畴。可以把工业以太网在该层的特色技术看作是一种现场总线技术。除了工业环境适应性改造的内容之外,通信实时性、时间发布与同步、控制应用的功能与规范,则成为工业以太网在该层次的技术核心。
入侵检测系统的技术发展及应用前景
入侵检测系统的技术发展及应用前景 摘要 当今世界,人们的日常生活越来越离不开网络。随着网络的发展,人们也越来越重视网络信息安全的问题,特别是网络中涉及商业机密以及国家安全的信息。单纯的采用防火墙已经不足以保护这些重要信息,还要能够及时的发现恶意行为,并在恶意行为实施前做好保护措施,如断开连接,发出警告,过滤IP,甚至发起反击,这就是入侵检测技术。本文主要介绍入侵检测技术的发展概况及其分类的情况,并就入侵检测技术的应用前景及发展趋势作简单分析。 关键字:网络安全; 入侵检测; IDS; 发展趋势; 网络攻击 一、入侵检测技术简介 1、入侵检测的发展概况 入侵检测可追溯到1986年,SRI的Dorothy E.Denning发表的一篇论文《AnIntrusion-Detection Model》,该文深入探讨了入侵检测技术,检索了行为分析的基本机制,首次将入侵检测的概念作为一种计算机安全防御措施提出,并建立了一个独立于系统、程序应用环境和系统脆弱性的通用入侵检测系统模型。90年代以前,SRI以及Los Alamos实验室都主要是针对主机IDS 进行研究,分别开发了IDES、Haystack等入侵检测系统。1990年,UCD设计的网络安全监视器标志着入侵检测系统的研究进入网络领域。网络IDS的研究方法主要有两种:一是分析各主机的审计数据,并分析各主机审计数据之间的关系;二是分析网络数据包。由于90年代因特网的发展及通信和网络带宽的增加,系统的互连性已经有了显著提高,于是人们开始试图将主机和网络IDS集成。分布式入侵检测系统(DIDS)最早试图将基于主机的方法和网络监视方法集成在一起。可见,入侵检测系统的发展主要经历了三个阶段:主机IDS的研究、网络IDS的研究、最后将主机和网络IDS集成。
网络安全技术习题及答案 入侵检测系统
第9章入侵检测系统 1. 单项选择题 1)B 2)D 3)D 4)C 5)A 6)D 2、简答题 (1)什么叫入侵检测,入侵检测系统有哪些功能? 入侵检测系统(简称“IDS”)就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。 入侵检测系统功能主要有: 识别黑客常用入侵与攻击手段 监控网络异常通信
鉴别对系统漏洞及后门的利用 完善网络安全管理 (2)根据检测对象的不同,入侵检测系统可分哪几种? 根据检测对象的不同,入侵检测系统可分为基于主机的入侵检测基于网络的入侵检测、混合型三种。主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源。主机型入侵检测系统保护的一般是所在的系统。网络型入侵检测系统的数据源是网络上的数据包。一般网络型入侵检测系统担负着保护整个网段的任务。混合型是基于主机和基于网络的入侵检测系统的结合,它为前两种方案提供了互补,还提供了入侵检测的集中管理,采用这种技术能实现对入侵行为的全方位检测。 (3)常用的入侵检测系统的技术有哪几种?其原理分别是什么? 常用的入侵检测系统的技术有两种,一种基于误用检测(Anomal Detection),另一种基于异常检测(Misuse Detection)。 对于基于误用的检测技术来说,首先要定义违背安全策略事件的特征,检测主要判别这类特征是否在所收集到的数据中出现,如果检测到该行为在入侵特征库中,说明是入侵行为,此方法非常类似杀毒软件。基于误用的检测技术对于已知的攻击,它可以详细、准确的报告出攻击类型,但是对未知攻击却效果有限,而且知识库必须不断更新。 基于异常的检测技术则是先定义一组系统正常情况的数值,如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出),然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的正常情况。异常检测只能识别出那些与正常过程有较
安装基本的Windows入侵检测系统
安装基本的Windows入侵检测系统(WinIDS) 预安装任务 提示:下列任务这些必须在安装WinIDS前完成 提示: 1.在一些情况下微软系统默认安装IIS。要保证在开始安装WinIDS前IIS已被移除。2.进入到C:\Windows\system32\drivers\etc下,适用写字板打开hosts文件,将’本机ip winids’加入到文件中(如下所示),保存退出,在命令行中使用’ping winids’测试。 3.将下载的AIO软件包解压缩 安装WinPcap 一路next,accept,finish即可 安装和配置Snort 1.安装Snort程序到c:\snort 提示:在安装开始的第二个步“Install Options”处,由于Snort的所有Windows版本已经默认支持将日志记录到Mysql和ODBC数据库服务器,所以此处可以选择第一个单选按钮或者可以选择其它两个以添加额外的数据库支持。
Snort安装第二步图示 2.进入c:\snort\etc下,使用写字板编辑snort.conf文件 提示:使用写字板中的“查找”寻找下列变量。 更改内容如下所示: Original: var HOME_NET any Change: var HOME_NET 192.168.1.0/24(需更改) Original: var EXTERNAL_NET any Change: var EXTERNAL_NET !$HOME_NET Original: var RULE_PATH ../rules Change: var RULE_PATH c:\snort\rules Original: # config detection: search-method lowmem Change: config detection: search-method lowmem Original: dynamicpreprocessor directory /usr/local/lib/snort_dynamicpreprocessor/ Change: dynamicpreprocessor directory c:\snort\lib\snort_dynamicpreprocessor Original: dynamicengine /usr/local/lib/snort_dynamicengine/libsf_engine.so Change: dynamicengine c:\ snort\lib\snort_dynamicengine\sf_engine.dll 提示:查找条目'preprocessor stream4_reassemble' (less the quotes), 并添加下一行到该条目之下。 preprocessor stream4_reassemble: both.ports 21 23 25 53 80 110 111 139 143 445 513 1433 提示:查找条目'Preprocessor sfportscan' (less the quotes)并改变下一行。
入侵检测系统的发展历史
本文由heisjay贡献 pdf文档可能在WAP端浏览体验不佳。建议您优先选择TXT,或下载源文件到本机查看。戚 技术 人侵检测系统的发展厉史 华中科技大学 摘 DIS 涂保东 要:从大量史料中整理出入侵检测系统(}n七ru]s的历史进程 : , 。。 eciDteto 。 n ys s et m , IDS )研究与开发的历史 , 为人们了解 把握
目前研究与开发的热点提供参考 }Ds 关键词 入侵检测系统 发展历史 网络安全 很早以来人们就认识到用户的行为进行适当监控络恶意的和错误的操作 应对网以阻止 etm Dl(田 入侵检测专家系统) nnte「e 。 ’‘ 被 Dete et!on 网od e l “ 正式发表 。 De
旧g 用在早期的{ t A网(AR尸)上监控 保障网络数据 re o 用户的验证信息 这是第一个基于规 , 在该文中提出了入侵检测系统的抽象模型模型基于这样一个假设入侵者: 与运行的安全 。 入侵检测思想在二十 te tn多年前就已萌穿随着I的蓬勃发展近几年来旧S得到了较深入的研则的专家系统模型采用与系统平台和应用环境无关的设计针对已知的, 使用系统的模式与正常用户的使用模 式不同 , 因此可以通过监控系统的跟 系统漏洞和恶意行为进行检测 为构
踪记录来识别入侵者的异常使用模式 从而检测出入侵者违反系统安全性的o情形Den旧g的模型是许多旧S原型 。 究和广泛的应用 1980 年 4 月Jam g es P A n des 「。on 发 ‘’ 建入侵检测系统提供了一个通用的框品同P架随后S日完成了与sA四AR的合为其提交了第一款实用的旧S产 1985 表著名的研究报告 rT卜eat Comp an ute「 eeur、t丫
六种工业以太网比较
六种工业以太网比较 Company number:【0089WT-8898YT-W8CCB-BUUT-202108】
六种工业以太网比较 摘要:当前,工业以太网技术是控制领域中的研究热点。所谓工业以太网,一般来讲是指技术上与商用以太网(即标准)兼容,但在产品设计时,在材质的选用、产品的强度、适用性以及实时性、可互操作性、可靠性、抗干扰性和本质安全等方面能满足工业现场的需要。随着互联网技术的发展与普及推广,Ethernet技术也得到了迅速的发展,Ethernet传输速率的提高和Ethernet交换技术的发展,给解决Ethernet通信的非确定性问题带来了希望,并使Ethernet全面应用于工业控制领域成为可能。目前,几种典型的工业以太网有HSE、PROFInet、Modbus/TCP、EtherNet/IP、Powerlink、EPA六种。本文通过对这六种工业以太网比较,以便更好的应用于系统集成。 关键词:工业以太网、HSE、PROFInet、Modbus、EtherNet、Powerlink、EPA 与传统控制网络相比,工业以太网具有应用广泛、为所有的编程语言所持、软硬件资源丰富、易于与Internet连接、可实现办公自动化网络与工业控制网络的无缝连接等诸多优点。由于这些优点,特别是与信息传输技术的无缝集成以及传统技术无法比拟的传输宽带,以太网得到了工业界的认可。 1.HSE(高速以太网) HSE(High Speed Ethernet Fieldbus)由现场总线基金会组织(FF)制定,是对FF-H1的高速网段的解决方案,它与H1现场总线整合构成信息集成开放的体系结构。 FF HSE的1-4层由现有的以太网、TCP/IP和IEEE标准所定义,HSE和H1使用同样的用户层,现场总线信息规范(FMS)在H1中定义了服务接口,现场设备访问代理(FDA)为HSE提供接口。用户层规定功能模块、设备描述(DD)、功能文件(CF)以及系统管理(SM)。HSE网络遵循标准的以太网规范,并根据过程控制的需要适当
入侵检测系统
入侵检测系统 1. 引言 1.1 背景 近年来,随着信息和网络技术的高速发展以及其它的一些利益的驱动,计算机和网络基础设施,特别是各种官方机构网站成为黑客攻击的目标,近年来由于对电子商务的热切需求,更加激化了各种入侵事件增长的趋势。作为网络安全防护工具“防火墙”的一种重要的补充措施,入侵检测系统(Intrusion Detection System,简称 IDS)得到了迅猛的发展。 依赖防火墙建立网络的组织往往是“外紧内松”,无法阻止内部人员所做的攻击,对信息流的控制缺乏灵活性从外面看似非常安全,但内部缺乏必要的安全措施。据统计,全球80%以上的入侵来自于内部。由于性能的限制,防火墙通常不能提供实时的入侵检测能力,对于企业内部人员所做的攻击,防火墙形同虚设。 入侵检测是对防火墙及其有益的补充,入侵检测系统能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中,能减少入侵攻击所造成的损失。在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入知识库内,增强系统的防范能力,避免系统再次受到入侵。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护,大大提高了网络的安全性。 1.2 背国内外研究现状 入侵检测技术国外的起步较早,有比较完善的技术和相关产品。如开放源代码的snort,虽然它已经跟不上发展的脚步,但它也是各种商业IDS的参照系;NFR公司的NID等,都已相当的完善。虽然国内起步晚,但是也有相当的商业产品:天阗IDS、绿盟冰之眼等不错的产品,不过国外有相当完善的技术基础,国内在这方面相对较弱。
工业以太网通信标准PROFInet及其应用
工业以太网通信标准PROFInet及其应用 发布日期:2011-09-27 浏览次数:2110 分享到:0 【摘要】:随着信息技术技术的飞速发展,当今自动化技术的发展正日益受到信息技术原理及其标准的重大影响。在自动化领域中集成信息技术可以为企业内部自动化系统间的全局通信提供解决方案,基于工业以太网通信标准的PROFInet通信技术使这种集成 成为可能。PROFInet是Process Field Net的缩写,它是Profibus客户、生产商与系统集成联盟协会推出的在PROFIBUS与以太网间全开放的通信协议。 1 引言 随着信息技术技术的飞速发展,当今自动化技术的发展正日益受到信息技术原理及其 标准的重大影响。在自动化领域中集成信息技术可以为企业内部自动化系统间的全局通信提供解决方案,基于工业以太网通信标准的PROFInet通信技术使这种集成成为可能。PROFInet 是Process Field Net的缩写,它是Profibus客户、生产商与系统集成联盟协会推出的在PROFIBUS与以太网间全开放的通信协议。PROFInet是一种基于实时工业以太网的自动化解决方案,包括一整套完整高性能并可升级的解决方案,可以为PROFIBUS及其他各种现场总线网络提供以太网移植服务;PROFInet标准的开放性保证了其长远的兼容性与扩展性,从而 可以保护用户的投资与利益。PROFInet可以使工程与组态、试运行、操作和维护更为便捷,并且能够与PROFIBUS以及其它现场总线网络实现无缝集成与连接。工程实践证明,在组建企业工控网络时采用PROFInet通讯技术可以节省近15%的硬件投资。 2 PROFInet通讯标准 PROFInet可以提供办公室和自动化领域开放的、一致的连接。PROFInet方案覆盖了分散自动化系统的所有运行阶段,它主要包含以下方面:(1)高度分散自动化系统的开放对象模型(结构模型);(2)基于Ethernet的开放的、面向对象的运行期通信方案(功能单元间的通信关系);(3)独立于制造商的工程设计方案(应用开发)。PROFInet方案可以用一条等式简单而明了地描述:PROFInet=Profibus+具有PROFIBUS和IT标准Ethernet的开放的、一致的通信。 2.1 PROFInet设备的软件结构 PROFInet设备的软件覆盖了现场设备的整个运行期通信,基于模块化设计的软件包含若干通信层,每层都与系统环境一致。PROFInet软件主要包括一个RPC(Remote Procedure Call)层,一个DCOM(Distributed Component Object Model)层和一个专门为PROFInet对象定义的层。PROFInet对象可以是ACCO(Active Connection Control Object)设备、RT auto (Runtime Automation)设备、物理设备或逻辑设备。软件中定义的实时数据通道提供PROFInet对象与以太网间的实时通信服务。PROFInet通过系统接口连接到操作系统(如WinCE),通过应用接口连接到控制器(如PLC)。
天融信入侵检测系统安装手册
天融信入侵检测系统 安装手册 天融信 TOPSEC? 北京市海淀区上地东路1号华控大厦100085 电话:+8610-82776666 传真:+8610-82776677 服务热线:+8610-8008105119 https://www.360docs.net/doc/563328410.html,
版权声明本手册中的所有内容及格式的版权属于北京天融信公司(以下简称天融信)所有,未经天融信许可,任何人不得仿制、拷贝、转译或任意引用。 版权所有不得翻印?2013 天融信公司 商标声明本手册中所谈及的产品名称仅做识别之用。手册中涉及的其他公司的注册商标或是版权属各商标注册人所有,恕不逐一列明。 TOPSEC? 天融信公司 信息反馈 https://www.360docs.net/doc/563328410.html,
目录 1前言 (1) 1.1文档目的 (1) 1.2读者对象 (1) 1.3约定 (1) 1.4相关文档 (2) 1.5技术服务体系 (2) 2安装天融信入侵检测系统 (3) 2.1系统组成与规格 (3) 2.1.1系统组成 (3) 2.1.2系统规格 (3) 2.2系统安装 (3) 2.2.1硬件设备安装 (3) 2.2.2检查设备工作状态 (4) 2.3登录天融信入侵检测系统 (4) 2.3.1缺省出厂配置 (5) 2.3.2通过CONSOLE口登录 (6) 2.3.3设置其他管理方式 (8) 2.3.4管理主机的相关设置 (10) 2.3.5通过浏览器登录 (10) 2.4恢复出厂配置 (11) 3典型应用 (12)
1前言 本安装手册主要介绍天融信入侵检测系统(即TopSentry)的安装和使用。通过阅读本文档,用户可以了解如何正确地在网络中安装天融信入侵检测系统,并进行简单配置。 本章内容主要包括: ●文档目的 ●读者对象 ●约定 ●相关文档 ●技术服务体系 1.1文档目的 本文档主要介绍如何安装天融信入侵检测系统及其相关组件,包括设备安装和扩展模块安装等。 1.2读者对象 本安装手册适用于具有基本网络知识的系统管理员和网络管理员阅读,通过阅读本文档,他们可以独自完成以下一些工作: 初次使用和安装天融信入侵检测系统。 管理天融信入侵检测系统。 1.3约定 本文档遵循以下约定: 1)命令语法描述采用以下约定, 尖括号(<>)表示该命令参数为必选项。 方括号([])表示该命令参数是可选项。 竖线(|)隔开多个相互独立的备选参数。 黑体表示需要用户输入的命令或关键字,例如help命令。 斜体表示需要用户提供实际值的参数。 2)图形界面操作的描述采用以下约定: “”表示按钮。
入侵检测系统应用
实训11:windows下配置snort(一) 【实验原理】 一、Snort是一个强大的清量级的网络入侵检测系统。它具有实时数据流量分析和日志Ip网络数据包的能力,能够进行协议分析,对内容搜索或匹配。它能够检测各种不同的攻击方式,对攻击进行实时警报。此外,Snort具有很好的扩展性和可移植性。还有,这个软件遵循公用许可GPL,所以只要遵守GPL任何组织和个人都可以自由使用。 二、snort特点: 1.Snort虽然功能强大,但是其代码极为简洁,短小,其源代码压缩包只有200KB不到。Snort 可移植性非常好。 2.Snort具有实时流量分析和日志Ip网数据包的能力。 3.Snort能够进行协议分析,内容的搜索/匹配。 4.Snort的日至格式既可以是Tcpdump的二进制格式,也可以编码成ASCII字符形式,更便于拥护尤其是新手检查,使用数据库输出插件,Snort可以把日志记入数据库,当前支持的数据库包括:Postagresql, MySQL,任何UnixODBC数据库,MicrosoftMsSQL,还有Oracle等数据库。 5.使用TCP流插件(TCPSTREAM),Snort可以对TCP包进行重组。 6.使用Spade(Statistical Packet Anomaly Detection Engine)插件,Snort能够报告非正常的可以包,从而对端口扫描进行有效的检测。 7.Snort还有很强的系统防护能力。 8.扩展性能较好,对于新的攻击威胁反应迅速。 9.Snort支持插件,可以使用具有特定功能的报告,检测子系统插件对其功能进行扩展。 10.Snort的规则语言非常简单,能够对新的网络攻击做出很快的反应。 三、入侵检测的原理 1、信息收集 入侵检测的第一步是信息收集,内容包括系统、网络、数据及用户活动的状态和行为。而且,需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息,这除了尽可能扩大检测范围的因素外,还有一个重要的因素就是从一个源来的信息有可能看不出疑点,但从几个源来的信息的不一致性却是可疑行为或入侵的最好标识。 1)系统和网络日志文件 黑客经常在系统日志文件中留下他们的踪迹,因此,充分利用系统和网络日志文件信息是检测入侵的必要条件。 2)目录和文件中的不期望的改变 网络环境中的文件系统包含很多软件和数据文件,包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标。 3)程序执行中的不期望行为 网络系统上的程序执行一般包括操作系统、网络服务、用户起动的程序和特定目的的应用,例如数据库服务器。 4)物理形式的入侵信息 这包括两个方面的内容: 一是未授权的对网络硬件连接;二是对物理资源的未授权访问。例如,用户在家里可能安装Modem以访问远程办公室,与此同时黑客正在利用自动工具来识别在公共电话线上的Modem,如果一拨号访问流量经过了这些自动工具,黑客就会利用这个后门来访问内部网,从而越过了内部网络原有的防护措施,然后捕获网络流量,进而攻击其它系统,并偷取敏感的私有信息等等。
实验五_入侵检测系统安装
实验序号 5 实验名称 实验五:入侵检测系统 实验地点 实验日期 2013 年 5 月 28 日 实 验 内 容 1、安装Apache HTTP Server 2、PHP 3、安装Snort 4、安装winpcap 5、安装配置MYSQL 数据库 6、安装adodb 7、安装配置数据控制台acid 8、安装jpgrapg 库 9、配置并启动snort 实验过程及步骤: 1、 安装Apache HTTP Server (httpd-2.2.17-win32-x86-no_ssl )
2、PHP 步骤1:解压缩php-5.2.1-Win32 至c:\php 步骤2:拷贝c:\php下php.ini-dist至c:\windows\system目录下,然后改名为php.ini 步骤3:添加gd图形库支持,在php.ini中添加extension=php_gd2.dll。如果php.ini有该句,将此语句前面的“;”注释符去掉 注意:这里需要将文件c:\php\ext\php_gd2.dll拷贝到目录c:\php\下 步骤4:添加Apache对PHP的支持: 在c:\apache\conf\httpd.conf中添加:LoadModule php5_module "c:/php/php5apache2_2.dll” AddType application/x-httpd-php .php
注意.php前面有空格 改端口为:8080 步骤5:重启Apache 步骤6:在C:\Apache\htdocs目录下新建test.php测试文件,test.php 文件内容为 步骤7:使用http://127.0.0.1/test.php,测试PHP是否成功安装,如成功安装,则在浏览器中出现下面的网页: 3、安装Snort
几种典型工业以太网技术比较
几种典型工业以太网技术比较
1 工业以太网总览 表1给出了常见的几种工业以太网及其管理组织。 表1-1 常见工业以太网及其管理组织列表 上述各种工业以太网管理组织的标识如图1所示。 图1-1 工业以太网管理组织标识 根据从站设备的实现方式,可将工业以太网分为三种类型: (1)类型A ——通用硬件、标准TCP/IP协议 Modbus/TCP、Ethernet/IP、PROFInet/CbA(版本1)采用这种方式。使用标准TCP /IP协议和通用以太网控制器,结构如图1-2所示。这种方式下,所有的实时数据(如过程数据)和非实时数据(如参数配置数据)均通过TCP/IP 协议传输。其优点是成本低廉,实现方便,完全兼容通用以太网。在具体实现中,某些产品可能更改/优化了TCP/IP协议以获得更好的性能,但其实时性始终受到底层结构的限制。
通用以太网控制器IP TCP/UDP IT 应用 HTTP SNMP FTP … 图1-2 工业以太网类型A 结构 (2)类型B —— 通用硬件、自定义实时数据传输协议 Ethernet Powerlink 、PROFInet/RT (版本2)采用这种方式。采用通用以太网控制器,但不使用TCP/IP 协议来传输实时数据,而是定义了一种专用的包含实时层的实时数据传输协议,用来传输对实时性要求很高的数据,结构如图1-3所示。TCP/IP 协议栈可能依然存在,用来传输非实时数据,但是其对以太网的读取受到实时层(Timing-Layer )的限制,以提高实时性能。这种结构的优点是实时性较强,硬件与通用以太网兼容。 通用以太网控制器 IT 应用 HTTP SNMP FTP … 图1-3 工业以太网类型B 结构 (3)类型C —— 专用硬件、自定义实时数据传输协议 EtherCAT 、SERCOS-III 、PROFInet/IRT (版本3)采用这种方式。这种方式在类型B 的基础上底层使用专有以太网控制器(至少在从站侧),以进一步
入侵检测系统安装和使用
入侵检测系统安装和使 用 Document serial number【KK89K-LLS98YT-SS8CB-SSUT-SST108】
入侵检测系统安装和使用 【实验目的】 通过安装并运行一个snort系统,了解入侵检测系统的作用和功能 【实验内容】 安装并配置appahe,安装并配置MySQL,安装并配置snort;服务器端安装配置php脚本,通过IE浏览器访问IDS 【实验环境】 硬件PC机一台。 系统配置:操作系统windows10。 【实验步骤】 1、安装appache服务器 启动appache服务器 测试本机的80端口是否被占用, 2、安装配置snort 查看Snort版本 安装最新版本程序 2、安装MySql配置mysql 运行snort 1、网络入侵检测snort的原理 Snort能够对网络上的数据包进行抓包分析,但区别于其它嗅探器的是,它能根据所定义的规则进行响应及处理。Snort通过对获取的数据包,进行各规则的分析后,根据规则链,可采取Activation(报警并启动另外一个动态规则链)、Dynamic(由其它的规则包调用)、Alert(报警),Pass(忽略),Log(不报警但记录网络流量)五种响应的机制。 Snort有数据包嗅探,数据包分析,数据包检测,响应处理等多种功能,每个模块实现不同的功能,各模块都是用插件的方式和Snort相结合,功能扩展方便。例如,预处理插件的功能就是在规则匹配误用检测之前运行,完成TIP碎片重组,http解码,telnet解码等功能,处理插件完成检查协议各字段,关闭连接,攻击响应等功能,输出插件将得理后的各种情况以日志或警告的方式输出。