1980年,Janme Anderson在自己的报告中提出了一种从未有人发现过的安全研究方式——入侵检测系统。入侵检测是根据网络环境里来往的数据包发现和识别未经授权的或恶意的攻击和入侵,并对这个数据包和发送该数据包地址的IP作出反应的过程。而入侵检测系统正是这样一套运用该技术对计算机和网络中的数据包进行实时检测的系统工具。
从IDS入侵检测系统的发明到现在,它一直作为网络安全防护系统中的一个重要的设备,运作在当今的网络架构中,IDS技术是通过旁路链接网络,用netflow技术从网络中获得来往的数据包,并对这些数据包进行初步的分析,从而检测和识别出未授权进出的数据包或异常数据信息。IDS的重点对象是整个网络中行为的监控,从来往数据包信息判断是否在网络总存在攻击,当IDS发现异常的数据流信息时,自身并不会直接对该数据包做出反应,而是通过联动其他网络安全设备来对该数据流做出反应。
但IPS技术不仅能自主做异常数据包采取行动,还能够对网络进行多层次、深层的防备与保护以作用于保证网络内部的安全性,IPS的出现可以说是网络安全设备开发以来一个质的飞跃。从简单的角度理解,IPS是防火墙与IDS的结合,然而防火墙和IDS是不能被替代的,传统ASA防火墙的主要功能在于TCP/IP协议的状态化包过滤,而IDS是提供的全网的安全实时状况,对于发生过的攻击进行还原和取证,为网络漏洞发现和故障排除提供可靠的依据。基于此,本文以入侵防御系统IPS的仿真与研究为主题,分析目前网络中安全设备存在的缺陷及不足之处,引出入侵检测防御系统IPS,再分析IPS工作原理后,模拟当今网络架构,仿真部署IPS系统,然后模拟黑客对该网络进行简单的网络攻击。经过上述实验的现象和结果的分析,认清目前网络的安全现状,掌握理解网络安全架构中入侵监测防御系统IPS的重要性,加深对网络安全,安全策略部署的认识和理解。
1.1 网络环境现状
自1972年Xerox公司发明了以太网,1980年2月IEEE组织了802委员会,开始制定局域网标准以来,网络以惊人的速度发展。我国的计算机网络起开始于二十世纪80年代,1980年进行联网试验,并组建各单位的局域网。1989年11月,第一个公用分组交换网建成运行。1993年建成新公用分组交换网CHINANET。1994年4月,我国用专线接入因特网,当时的带宽只有64kb/s。1994年5月,设立第一个WWW服务器。1994年9月,中国公用计算机互联网启动。2004年2月,建成我国下一代互联网CNGI主干试验网CERNET2开通并提供服务,其速度为2.5-10Gb/s。从期初的发展到现在的第四代计算机网络,短短30年间局域网技术越发成熟,从而出现了各种不同形式的网络环境,例如光纤这样的高速网络技术,同时还有智能多媒体网络技术等等。因此,整个网络的用途和结构也发生着翻天覆地的变化。
期初的网络只是学校、公司单位、组织等为了通讯或传输数据的需要而搭建的结构,其结构往往是个闭环,并且其中的设备规模和接入点也是相对固定的。在这样的网络环境中,能进入网络获得资源的一般都是内部人员,在这样一切都相对静态的环境下,黑客只能依靠社会工程学,先获得入网资格,才能实施他的黑客行为。且对于当时而言,一个陌生人想要通过社会工程学进入一个含有重要信息的网络是一件极其困难的事情,所以可以说当时的网络是相对比较安全的。
但现在网络的结构是开放的,而如今又是移动网络时代,不同的人在不同的地点,可以通过3G、4G、Wifi等随时接入互联网,浏览互联网中的信息。在这样的网络环境下,黑客便可从不同的接入点进入目标网络,旁敲侧击慢慢对目标网络展开攻势,并且在网络高速发展的当下,网络结构日益复杂,接入点的增加、拓扑结构的改变,使得网络维护和安全防护的难度大大提升,面对未知来源的攻击,无疑加大了防御的难度。所以如何及时准确地判别进入网络的数据包的是否具有攻击意图,也就成了目前网络安全设备厂商和安全软件开发者所急需攻克的一大问题。论文网 大数据的网络入侵防御系统仿真与研究(3):http://www.youerw.com/jisuanji/lunwen_80119.html