nids网络立体防御系统可行性研究报告(编辑修改稿)

nids网络立体防御系统可行性研究报告(编辑修改稿)内容摘要：

目录和文件中的不期望的改变 网络环境中的文件系统包含很多软件和数据文件，包含重要信息的文件和私有数据文件经常是黑客关注或试图破坏的目标。 目录和文件中的不期望的改变（包括修改、创建和删除），特别是那些正常情况下限制访问的数据，很可能就是一种入侵产生的标志和信号。 (3) 程序执行中的不期望行为 网络系统上的“程序执行”一般包括操作系统、 网络服务、用户启动的程序和特定目的的应用，每个系统上的执行程序由一到多个进程来实现。 每个进程执行在具有不同权限的环境中，这种环境控制着进程可访问的系统资源、程序和数据文件等。 因此，操作执行的方式不同，调用系统资源的方式也就不同。 一个进程出现了不期望的行为，可能预示着有黑客正在入侵系统。 (4) 物理形式的入侵信息 这包括两个方面的内容， 一是未经授权的对网络硬件的连接。 二是对物理资源的未授权访问（非法访问）。 黑客会想方设法的突破网络周边的防卫， 如果他们能够在物理上访问内部网，就能安装他们自己的设备和软件。 因此，黑客就可以知道网上的由用户加上去的不安全（未授权）设备，然后利用这些设备访问网络。 信息及综合决策系统介绍 信息及综合决策系统是数据库及基于数据库的信息处理系统的结合，是整个系统的信息汇总点，也是综合信息的处理机构。 3． 1． 2 项目产品的关键技术内容 由前面的论述可以看出，任何单一的安全部件都只能实现一定程度的安全，任何单层次的结构所保障的安全也都是极其有限的，只有把他们有机的结合在一起，使他们互为依托，互相补充，才能实现系统的真正安全，基于此，提出了立体防御系统，其结构组 成如图 7所示。 李萧萧的个人主页 需要文档请给我留言。 图 7 立体防御系统结构图 整个系统由三大部分组成： 外围防火墙系统由主防火墙和主机防火墙组成，中间为系统的核心，由分布式入侵检测系统组成，其具体结构及工作原理将在后面的入侵检测预警模型中 进行 详细的阐述，内层信息及综合决策系统由信息数据库、中央决策控制器及受保护主机上的单机信息库构成。 由此看出，通过外围防火墙的拦截，中部分布式入侵检测系统的实时及非实时的监测，内部信息及综合决策系统的全局布局决策，使得各种安全部件能够最大程度地发挥其性能， 从而使整个系统成为一个全方位、多层次的立体防御系统。 结构阐述 防火墙系统 整个系统通过主防火墙与 Inter 相连，利用主防火墙，可对来自外部的大多数攻击进行防范，在子网内部，有一般用户和受保护主机，后者多为一些重要的服务器，是重点保护的对象。 受保护服务器通过主防火墙与内部子网相连。 主机防火墙的功能主要为： （ 1） 因为主机防火墙是直接面向受保护主机的，因此可对它进行更具体，更有针对性的配置，从而对通过主防火墙的数据包进行再过滤，减少可能发生的攻击，从这个意义上来说，主防火墙相当于宏观上 的调控，而主机防火墙相当于微观上的调控。 （ 2） 防止来自内部的攻击，根据调查，大部分的攻击都来自网络内部，因此主机防火墙的设置是非常有意义的，因此，通过对主机防火墙的设置，可对不同的内部用户赋李萧萧的个人主页 需要文档请给我留言。 予不同的访问权限，从而大大提高系统的安全性。 主防火墙与主机防火墙的另一个重要作用在于可过滤掉大量无用的数据，减少传递给入侵检测系统及信息数据库的无意义流量，这对减轻整个系统的负荷，防止 DOS（拒绝服务）攻击有着重要的意义，其中主机防火墙只是逻辑上的结构，它完全可以合并在受保护主机上，从而降低系统的成本。 综合决策系统 如前面提到的，信息及综合决策系统由信息数据库和中央决策控制器及各受保护主机上的单机信息库组成构成。 信息数据库是整个系统的日志数据汇总中心，负责将网络中所有的预警、故障、事务日志进行汇总，并按照统一的格式保存入数据库。 在网络管理员进行检查时，负责将所有的数据分类统计，并作出各种报告，以协助管理员对网络进行更为完善的配置。 中央决策控制器负责对汇总后的信息进行分析，从而能发现单机无法发现的可能入侵（如对多个服务器的并行扫描），当确定有入侵且危害较大时，中央决策及控制器则采取紧急措施，如通过对防火墙的配置来阻断连接，对未被入侵的主机进行屏蔽，从而防止危害的扩大，同时记录入侵过程，可同时收集入侵证据，同时还可以根据入侵的危害及范围通过各种方式向管理员发出不同级别的报警信息；另一方面，管理员可通过它对各防火墙进行配置，对单机信息库进行更新，从而便于整个系统的维护和管理。 单机信息库储存了所对应受保护主机的状态信息，模式信息，是各分布式 Agent 的决策依据，因为对不同的主机而言，这些信息有着很大的差别，因此设立单机信息库是非常有必要的。 由上面分析可看出，以上各个部分紧密联系，相互配合 ，成为一个不可分割的整体。 在极大的保证了系统的安全性、可靠性和高性能的同时，兼顾了系统的可用性、易用性，同时由于采用了基于 Agent 的分布式的体系结构可以很容易地添加受保护主机，大大的增强了系统的可扩展性。 通过对防火墙的配置和对单机信息库的更新，对 Agent 功能的增强，使得增加新的功能非常容易，从而保证了整个系统有着很好的可扩充性。 3． 1． 3 项目产品的技术创新点 传统的集中式入侵检测技术的基本模型是在网络的不同网段中放置多个传感器或探测器用来收集当前网络状态信息，然后这些信息被传送到中央控制台进 行处理和分析，或者更进一步的情况是，这些传感器具有某种主动性，能够接收中央控制台的某些命令和下载某些识别模板李萧萧的个人主页 需要文档请给我留言。 等。 这种集中式模型具有几个明显的缺陷。 首先，面对在大规模、异质网络基础上发起的复杂攻击行为，中央控制台的业务负荷将会达到不可承受的地步，以致于无法具有足够能力来处理来自四面八方的消息事件。 其次，由于网络传输的时延问题，到达中央控制台的数据包中的事件消息只是反映了它刚被生成时的环境状态情况，已经不能反映可能随着时间已经改变的当前状态。 这样，在集中式模型的系统中，想要进行较为完全的攻击模式的匹配就已经非 常困难，更何况还要面对不断出现的新型攻击手段。 华夏网络的分布式的入侵检测系统将解决这个问题。 通过将入侵检测系统的信息采集和处理功能部分分布到多台机器上，经本地处理后，将可疑的单机无法处理的数据传输给入侵检测系统的中心决策系统，在中心决策系统对信息进行综合后作出响应。 这样，大大减少了网络中传输的数据量，使网络负担大大减轻，同时极大地增强了系统的鲁棒性。 基于这种想法，华夏网络提出了基于网络入侵检测的预警模型。 IDS 预警系统的体系结构和实现方法如图 8所示： 图 8 单机上的预警子模块 整个安全防护体系中，分布于各主机的入侵检测系统模块对所负责的主机上的信息数据进行监控和审查，将可疑的信息和数据收集之后，交给下面的数据分析系统进行分析，提取这些受到怀疑的信息的特征，并将这些特征信息加以归纳和总结，然后将产生出的对这些信息的结果提交给系统中的模式库和模式匹配系统（模式库存于单机子信息中）；模式匹配系统的任务就是根据数据分析系统送来的经过处理后的信息在模式库中进行查找匹配；如果模式匹配系统信 息 数 据 库 模式匹配及行为模式判断 主机 IDS 处理 行为模 式确定 数据 收集器 模式库 数据源 数据源 数据源 李萧萧的个人主页 需要文档请给我留言。 发现信息处理系统送来的信息和库中某一攻击模式匹配，一方面，模式匹 配系统会将入侵模式匹配的信息交给规则响应系统，规则响应系统就会根据收到的信息，在自己的规则库进行查找，根据相应的规则作出响应动作，响应动作一方面根据需要阻止入侵行为；另一方面模式匹配系统还会将入侵模式匹配和报警信息提交给信息数据库。 以上功能是由各主机上的 Agent来完成的。 数个这样的 Agent 形式的预警子模块组合起来就形成了基于入侵检测的全局预警模型，如图 9所示： 图 9 基于入侵检测的全局预警模型 单独看来，每个 Agent 都是一个独立的基于主机的入侵检测系统，而从整体看来，它又是分布式入侵检 测系统的一个结点，和中央决策及控制器一起完成网络入侵检测系统的功能。 同时，应建立一整套具有以下特性的入侵检测专用描述形式及标准以适应各种入侵检测信息的定义、传输以及处理： （ 1）通用性：对简单的和复杂的入侵行为都有能力描述。 （ 2）可移植：适用于不同结构的 IDS系统。 （ 3）可扩展：无论不可预料的新型入侵检测信息还是复杂 IDS 系统，都可以保证描述的准确性。 （ 4）自关联：能描述简单入侵和复杂入侵之间的关系。 李萧萧的个人主页 需要文档请给我留言。 从而使得防火墙、 IDS 及信息数据库之间能更迅速的更准确地进行数据传输，提高整个系统的效率。 3． 1． 4 项目产品的技术来源、合作单位情况；项目产品知识产品产权的归属情况 3． 1． 5 项目产品的主要技术性能指标与国内、外同类产品技术指标的比较 3． 2 项目的成熟性和可靠性论述 3． 2． 1 项目的成熟性论述 李萧萧的个人主页 需要文档请给我留言。 3． 2． 2 项目的可靠性论述 四．项目产品市场调查与竞争能力预测 4． 1 本产品的主要用途，目前主要使用领域的需求量，未来市场预测、项目产品的经济 寿命期，目前处于寿命期的阶段 4． 2 本项目产品国内主要研制单位及重要生产厂家研制、开发情况 4． 3 本项目产品的国内外市场竞争能力 五．项目实施方案 5． 1 项目开发计划 5． 2 技术方案 5． 3 生产方案 5． 4 营销方案 5． 5 其他问题的解决方案 六．投资预算与资金筹措 6． 1 投资预算 6． 1． 1 项目投资预算依据 6． 1． 2 项目投资预算 6． 2 新增资金的筹措 6． 3 资金使用计划 6． 3． 1 资金使用计划 6． 3． 2 创新基金使用明细 七．经济、社会效益分析 7． 1 产品总成本分析 (达产期 ) 7． 1． 1 产品方案和生产规模 7． 1． 2 年产品总成本 (达产期 ) 7。 2 产品单位售价与盈利预测 7． 3 经济效益分析 李萧萧的个人主页 需要文档请给我留言。 7． 4 项目投资评价 7． 4． 1 净现值 7． 4． 2 内部收益率 7． 4． 3 投资回收期 7． 4． 4 项目盈亏平衡分析 7． 4． 5 项目敏感性分析 7． 5 社会效益分析 八．项目可行性研究报告编制说明 8． 1 编制单位情况 8． 2 可行性研究报告编制人员 九、项目可行性研究报告的专家论证意见 VoIP 项目可行性调查分析报告 目 录 1. VoIP 技术简介 VoIP产生的背景 VoIP迅速发展的背景 VoIP发 展阶段 2. 中国 VoIP市场状况 VoIP在市场中的应用 VoIP通话总量急剧膨胀 中国电信市场的竞争格局 3. 市场可行性分析 市场分析 环境分析 客。