面对红色代码II,传统的防火墙显得力不从心,因为防火墙充当了外网和内网的一个屏障,但并不是所有的外部访问都是通过防火墙的。此外,安全威胁也可能来自内网,而防火墙只能防范来自外部的攻击。由远东科技开发的“黑客煞星”在静态的防火墙技术中融入了动态的入侵检测技术,在服务器被红色代码II扫描的时候,能及时发现对方的入侵企图,让网络管理员防患于未然。
如何应用?
以下把黑客的攻击划分为三个阶段,简要说明入侵检测的工作流程。
第一阶段: 黑客收集目标系统的信息,包括网络的拓扑结构、系统提供的服务、操作系统的类型及可能存在的弱点等。例如,“红色代码II”通过随机生成一个IP地址列表,然后对目标进行扫描并搜集信息。在这一阶段,“黑客煞星”以判断对方的入侵企图为主,列出可疑的IP地址,以方便系统管理员对其做重点检测。
第二阶段: 黑客识别系统中的关键弱点,了解系统有没有防火墙,有没有入侵检测系统等等。在这一阶段,“黑客煞星”可以认定对方具有明显的恶意,其内部的检测引擎能及时地发现攻击者。
第三阶段: 黑客进行攻击测试。归纳起来说,黑客主要是利用因特网上已经公开的资料和工具软件,对系统的安全漏洞和错误的系统配置进行攻击。在这一阶段,“黑客煞星”不仅能发现已知的攻击方法,而且能及时发现由于系统配置不当而引发的安全问题。其检测系统能够在黑客攻击开始时就发现他们,并及时发出警报。图为“黑客煞星”典型拓扑图。
系统如何组成?
“黑客煞星”由网络传感器、控制台和响应控制中心三部分组成。其中,网络传感器安装在装有网络适配卡的主机上,在一个指定的网段上执行过滤和监视功能;控制台显示和记录数据,设置传感器配置信息,并监视传感器运行状态;响应控制中心安装在网关上,根据控制台的指令对网络攻击行为作出反应。
系统将网络适配卡设成像监听器那样工作,可收到本地网段上的所有信息流。传感器首先解码所有的数据包,当数据包符合了当前有效的过滤器规则时,就会采取相应的动作,发警报或记录日志。根据记录日志,每个活动的过程都能得到恢复和分析。
多个传感器可向一个控制台报告。传感器发送的消息都作为日志记录在控制台的本地日志文件和数据库中。把这些数据用数据挖掘技术进行进一步的分析预测,能发现新的可疑行为。另一方面,根据这些数据,可以还原网络会话过程,监视攻击行为。传感器和控制台通过TCP和UDP协议通信,这些数据是经过认证和加密的。
响应控制中心安装在网关上,它能够控制局域网内部到Internet的连接,在收到安全管理中心的指令后,可以根据系统管理员预先定义的响应策略切断与攻击者的网络连接,并进行跟踪反击。
“黑客煞星”典型拓扑图
