第一章绪论
随着计算机网络互联网从二十世纪八十年代末诞生并飞速的发展,计算机信息网络已然走进了千家万户,极大地改变了我们的生活方式。在这种环境下,市场销售客户对服务的质量要求日趋升级,矛盾日益加剧,这促使公司不断提升支持支撑能力和运营维护水平。移动公司目前发展起来的IT支持支撑系统既给我们的生活、工作及学习等带来了极大的便利,但是也使得支持支撑系统的计算机网络女全问题变得日益复杂突出。如何实施高效的管理和监督,来避免系统内部的和系统外部的网络安全风险,已经成为目前移动公司的工T支持支撑系统中备受关注的焦点和关键因素。研究背景
目前互联网已经成为人们日常生活、工作、学习的一部分,给人类社会的信息化提供了前所未有的机遇。借助互联网,我们可以方便便捷地交流、搜索、存储信息,给生活、工作、学习都带来了极大地便利。此外,政府部门和各种企业越来越多地依靠网络传递信息,远程教育、电子政务、电子商务等等功能日新月异地促进着国家经济发展、人民生活质量的提高以及社会的进步等等方面发挥着越来越重要的效用。
然而,网络互联网却在自身中存在着一些不安全的因素,主要有以下两点:其一,由于互联网是面向所有的用户,所有的资源都是网络共享;其二,互联网的技术的开放性、开源性、标准性。由于这两点,使得这些不安全的因素在信息化时代的现在,我们享用着互联网的便捷的同时也受到严重的网络安全问题。随着我们国家网络信息化建设迅速的发展,电信业、能源、交通等等对安全非常敏感的重要行业竞相进入网络信息化的大时代,尽管其都纷纷使用各种各样的安全产品、工具、技术,安全环境却不容乐观,计算机病毒、木马、蠕虫、网页篡改、网络攻击、垃圾邮件、端口扫描等等网络的不安全仍然层出不断。这些不安全问题中尤为突出的是病毒事件以及黑客攻击事件。
调查结果显示,我国信息网络使用单位对网络安全管理工作的重视程度有所提高,安全状况较去年有所改善。按照行业划分,金融、证券行业信息安全管理制度和技术措施较完善。调查表明,一些单位信息安全事件处置方法和手段单一,防范措施不完善,网络安全管理人员不足、专业素质有待提高,被调查单位信息安全管理水平整体上仍滞后于信息化发展要求。调查表明,我国计算机病毒本土化制作、传播的趋势更加明显。
2课题来源
论文的课题来源是2011年6月至10月在甘肃移动公司技术支撑中心参与的一项开放体系的复合式网络信息分析系统项目。下面对该项目的建设目标、系统部署与功能等进行概述:
首先本项目的建设目标主要包括以下三个方面:
(1)建立独立于高层应用的IP数据包高速采集、存储管理平台;
(2)研制数据采集、分析相互独立的IP数据分析系统;
(3)研制可配置的IP数据高速采集、分析系统。
其次是系统部署:开放体系结构的复合式网络信息分析系统部署在核心交换机或路由器的镜像端口上,从镜像端口上高速获取数据,并进行相关分析处理。为了在上述开放体系结构的复合式网络信息分析系统下进行安全的信息交流与处理,需要有效的网络信息安全技术。目前防火墙和计算机病毒防治产品是使用最多的网络安全产品,近八成的被调查单位使用了防火墙和计算机病毒防治产品。防火墙产品中,73%的是国内产品;计算机病毒防治产品中,79%的是国内产品。其中一直广泛应用的静态安全技术大约有:身份认证、虚拟专用网、防火墙、计算机病毒查杀工具、数据加密解密技术等,但是这些静态安全技术都有其缺点和很大的不足,都属于对不安全因素的消极的防御,而不能智能的主动的检测处理入侵。譬如:身份认证难以抵挡住字典攻击、网络窥探器、脆弱性口令等攻手段;虚拟专用网防御不了缓冲区溢出、拒绝服务攻击等;防火墙防护不了绕过防火墙自身和内部的攻击;由以上静态安全技术的缺点得出在事前即时查出并阻止入侵,且在事后能对入侵行为分析,查出来计算机网络系统漏洞并即时修改漏洞的安全技术手段,于是入侵检测系统(Intrusion Detection System, IDS)应运而生。因此本课题中,拟采用入侵检测技术实现甘肃移动公司技术支撑中心实施的复合式网络信息分析系统项目中的网络信息安全。
入侵检测系统是最近十几年来新兴发展崛起的一种计算机网络安全系统设备。入侵检测系统这种网络安全设备,其功能能够实时地、智能地、自动地保障计算机网络安全的安全动态智能设施。其是继承网络安全身份认证、网络静态防火墙、网络动态防火墙、数据信息加密、解密技术等等一系列以前的传统安全保护技术后的新兴的一代的网络安全保护保障措施。该系统可以检测出来其要保护的系统内部的一系列入侵行为,还可以检测出来来自系统外部的一系列入侵行为。
摘要 3-4
Abstract 4
第一章 绪论 7-11
1.1 研究背景 7-8
1.2 课题来源 8-9
1.3 国内外研究现状 9-10
1.4 论文结构 10-11
第二章 入侵检测技术基础知识 11-16
2.1 入侵检............ 11-12
2.2 入侵检测............ 12-13
2.3 入侵检测............ 13-15
2.4 本章小结 15-16
第三章 复合式网络信............ 16-32
3.1 系统需求 16-17
3.2 入侵检测系统设计原则 17-18
3.3 入侵检测系统功能架构 18-20
3.4 基于Snort的............ 20-22
3.5 系统子模块分析 22-24
3.5.1 抓包解码模块 22
3.5.2 预处理器模块 22-23
3.5.3 入侵特征库模块 23
3.5.4 检测引擎模块 23
3.5.5 告警日志模块 23-24
3.6 数据库设计 24-26
3.6.1 规则链表 24-25
3.6.2 匹配引擎 25-26
3.6.3 检测............ 26
3.7 Snort中的wm算法 26-31
3.8 本章小结 31-32
第五章 总结与展望 45-46
参考文献 46-48
致谢 48
总结与展望
本文是根据本人在中国移动通信集团甘肃有限公司所做的开放体系的复合式网络信息分析系统研究项目。本方案的基本原则和方法建立在实际工作基础上,对企业信息安全防范具有现实的指导意义。文中分析了当前各种网络安全技术的优缺点,并根据甘肃移动客户服务系统网络安全现状以及对网络安全的需求,构建相关网络入侵检测体系结构,并对其进行改进和测试,并分析了它的性能效率以及实用性。
网络系统的安全体系建设是一个长期的过程,新的安全技术手段会不断出现,新的攻击手段也会层出不穷。任何一个安全设计方案都不可能一下子解决所有安全问题。但随着网络化、信息化进程的不断推进,我们对信息、系统建设中的网络安全问题的认识会在理论上、技术实践上、管理实践上不断地深化。文中所提方案主要是从总体上建立起客服系统网络安全的架构,并将重点放在省级数据中心和省级呼叫中心这一层面,由于各地市在基本结构趋同的情况下,还存在一些差异,在具体实施安全策略时,可能存在一些不同。