论文部分内容阅读
摘要:基于web检测网络入侵安全管理机制就是通过搜集和分析计算机网络系统中的那些关键点的网络通信信息情况,从而检测相应的计算机网络系统中是否存在遭到网络内部和外部网络入侵以及违背相关网络安全策略行为的一种运行方式,该机制的实现对提高当前网络系统的安全性,发挥了非常重要的作用。本文从基于web检测网络入侵安全管理的相关概念谈起,然后就基于web检测网络入侵安全管理的设置进行剖析,最后就基于web检测网络入侵安全管理的部署进行说明。
关键词:网络入侵;web;检测;安全管理
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2012) 19-0000-02
1 基于web检测网络入侵安全管理概述
1.1 基于web入侵检测安全管理说明
基于web入侵检测系统是由入侵检测的相关软件与硬件组合而成,作为防火墙体系的有效补充,基于web入侵检测系统在不影响网络系统通信性能的情况下能对网络进行事实监测,提供针对网络系统内部和外部攻击的实时保护,目前,该技术已经成为计算机网络系统的第二道安全防线。可以说,基于web入侵检测系统作为网络管理员进行网络安全管理的一种重要辅佐机制,它在很大程度上减轻了网络管理员的负担,对有效提高当前计算机网络安全管理的效率和准确性发挥了非常重要的作用。
1.2 基于web入侵检测安全管理系统的工作原理
通俗的讲,基于web入侵检测系统的工作原理是这样的,若有一个连接网络的计算机系统,出于安全因素的需求,仅允许那些具有相关授权用户访问该计算机网络系统。也就是说,对于一个连接着万维网的Web服务器,仅允许那些具有授权的客户访问存放在该Web服务器上的Web页面。为了防止其他非授权用户的访问,在进行简单的防火墙和网络访问认证机制设置的基础上,由基于web入侵检测系统通过在一系列适当的位置上对未授权的用户访问进行警告以及对假冒授权用户的入侵者通过采取一些有效的防护措施来拒绝其访问的方式达到网络安全管理的目的。
1.3 基于web入侵检测安全管理系统的基本构成
基于web入侵检测安全管理系统的基本构成单元主要包括事件产生器、事件分析器、响应单元三部分,以下将分别给予详细说明。
(1)事件产生器
事件产生器用于对被保护计算机网络系统相关重要数据或数据包的采集和监视,这些数据或数据包中的数据信息,包括基于web入侵检测系统日志中的相关信息。对于事件产生器搜集到的信息,一般是将其保存到专门的事件数据库中。
(2)事件分析器
事件分析器主要用来完成以下两个方面的任务:一是定期对事件数据库中保存的数据做统计分析,如果发现某段时期事件数据库中保存的数据存在异常现象,就有针对性的对该时期内的异常数据进行详细分析;二是在确保事件分析器收集到的数据正确的前提下,在完成上一个任务的基础上,对于那些具有潜在危险和异常情况的数据在确认的情况下,通知响应单元做出相应的入侵防范动作。
(3)响应单元
事件分析器的很多工作需要响应单元协同完成,在事件分析器发现有入侵企图的异常数据时,响应单元就要采取相应的拦截、阻断、反追踪等入侵防范措施,从而保护计算机网络系统免受来自内部和外部的各种攻击和破坏。
2 基于web检测网络入侵安全管理的设置
基于web检测网络入侵安全管理系统是整个计算机网络安全防御系统的重要组成部分。基于web检测网络入侵安全管理的设置影响着web检测网络入侵安全管理系统在整个网络安全防御体系中的地位和重要程度。同时由于基于web检测网络入侵安全管理系统位于网络体系结构中的高层部分,因此,高层应用的多样性也就导致了基于web检测网络入侵安全管理系统分析的复杂性,如何根据计算机网络运行情况和受保护网络的拓扑结构来对基于web检测网络入侵安全管理设备进行合理的优化配置,是保证基于web检测网络入侵安全管理系统有效运行的关键。一般而言,有效的基于web检测网络入侵安全管理的设置主要分为以下几个基本的步骤:①确定网络入侵检测需求;②设计网络入侵检测系统在网络中的拓扑位置;③配置网络入侵检测系统;④基于web检测网络入侵安全管理系统磨合;⑤基于web检测网络入侵安全管理系统的使用及自调节。
需要说明的是,基于web检测网络入侵安全管理系统的设置需要经过多次的反复磨合,才能够达到有效保护计算机网络系统的目的。在设置的过程中要进行多次的回溯,在回溯过程会重复多次,通过不断地调整基于web检测网络入侵安全管理系统的检测配置,将报警出错的几率降到最低,从而确保基于web检测网络入侵安全管理系统能够在最佳状态下进行检测分析,以现对计算机网络系统的有效监控和分析。
3 基于web检测网络入侵安全管理的部署
基于web检测网络入侵安全管理的部署工作包括对主机入侵检测和网络入侵检测等不同类型入侵检测系统的部署规划。这里的基于web检测网络入侵安全管理的部署主要指对网络入侵检测器的部署。一般来讲,基于web检测网络入侵安全管理的部署点可以划分为DMZ区、外网入口、内网主干以及关键子网这四个不同的区域。
3.1 DMZ区
DMZ区部署点在DMZ区的总口上,这是基于web检测网络入侵安全管理的入侵检测器最常见的部署位置。入侵检测器在DMZ区可以有效检测到所有用户向外提供服务的服务器进行攻击的行为。再加上DMZ区中的各个服务器提供的服务有限,所以针对这些对外提供的服务进行入侵检测,基于web检测网络入侵安全管理的入侵检测器的功效能够得到充分的发挥。
3.2 外网入口
在外网入口这个区域,基于web检测网络入侵安全管理的入侵检测器可以检测到所有来自外部网络的可能的攻击行为(对防火墙本身的攻击、对内部服务器的攻击、网络系统内部计算机之间不正常的数据通信行为等)并进行记录。
3.3 内网主干
在内网主干部署点这个区域,基于web检测网络入侵安全管理的入侵检测器可以检测所有内部网络中来自外部网络的不正常操作以及通过防火墙的各种攻击,并且可以准确地定位具体的攻击源和攻击目的,从而可以为计算机网络系统管理员进行针对性的网络安全管理,提供很大的方便。
3.4 关键子网
在一个网络体系中,总有一些子网处于对一些重要数据的安全保护,需要进行严格的管理,通过对这些关键子网进行安全检测,可以有效地防止那些没有授权的用户入侵,从而可以有效避免关键子网中那些重要数据的丢失或泄漏。
参考文献:
[1]李子明.针对WEB服务器的入侵检测研究[J].上海交通大学学报,2011(06).
[2]徐英梅.基于Web数据流技术的网络入侵检测研究[J].计算机安全,2010(11).
[3]崔强强.基于网络的Web漏洞检测系统的研究与实现[J].计算机工程,2009(20).
关键词:网络入侵;web;检测;安全管理
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2012) 19-0000-02
1 基于web检测网络入侵安全管理概述
1.1 基于web入侵检测安全管理说明
基于web入侵检测系统是由入侵检测的相关软件与硬件组合而成,作为防火墙体系的有效补充,基于web入侵检测系统在不影响网络系统通信性能的情况下能对网络进行事实监测,提供针对网络系统内部和外部攻击的实时保护,目前,该技术已经成为计算机网络系统的第二道安全防线。可以说,基于web入侵检测系统作为网络管理员进行网络安全管理的一种重要辅佐机制,它在很大程度上减轻了网络管理员的负担,对有效提高当前计算机网络安全管理的效率和准确性发挥了非常重要的作用。
1.2 基于web入侵检测安全管理系统的工作原理
通俗的讲,基于web入侵检测系统的工作原理是这样的,若有一个连接网络的计算机系统,出于安全因素的需求,仅允许那些具有相关授权用户访问该计算机网络系统。也就是说,对于一个连接着万维网的Web服务器,仅允许那些具有授权的客户访问存放在该Web服务器上的Web页面。为了防止其他非授权用户的访问,在进行简单的防火墙和网络访问认证机制设置的基础上,由基于web入侵检测系统通过在一系列适当的位置上对未授权的用户访问进行警告以及对假冒授权用户的入侵者通过采取一些有效的防护措施来拒绝其访问的方式达到网络安全管理的目的。
1.3 基于web入侵检测安全管理系统的基本构成
基于web入侵检测安全管理系统的基本构成单元主要包括事件产生器、事件分析器、响应单元三部分,以下将分别给予详细说明。
(1)事件产生器
事件产生器用于对被保护计算机网络系统相关重要数据或数据包的采集和监视,这些数据或数据包中的数据信息,包括基于web入侵检测系统日志中的相关信息。对于事件产生器搜集到的信息,一般是将其保存到专门的事件数据库中。
(2)事件分析器
事件分析器主要用来完成以下两个方面的任务:一是定期对事件数据库中保存的数据做统计分析,如果发现某段时期事件数据库中保存的数据存在异常现象,就有针对性的对该时期内的异常数据进行详细分析;二是在确保事件分析器收集到的数据正确的前提下,在完成上一个任务的基础上,对于那些具有潜在危险和异常情况的数据在确认的情况下,通知响应单元做出相应的入侵防范动作。
(3)响应单元
事件分析器的很多工作需要响应单元协同完成,在事件分析器发现有入侵企图的异常数据时,响应单元就要采取相应的拦截、阻断、反追踪等入侵防范措施,从而保护计算机网络系统免受来自内部和外部的各种攻击和破坏。
2 基于web检测网络入侵安全管理的设置
基于web检测网络入侵安全管理系统是整个计算机网络安全防御系统的重要组成部分。基于web检测网络入侵安全管理的设置影响着web检测网络入侵安全管理系统在整个网络安全防御体系中的地位和重要程度。同时由于基于web检测网络入侵安全管理系统位于网络体系结构中的高层部分,因此,高层应用的多样性也就导致了基于web检测网络入侵安全管理系统分析的复杂性,如何根据计算机网络运行情况和受保护网络的拓扑结构来对基于web检测网络入侵安全管理设备进行合理的优化配置,是保证基于web检测网络入侵安全管理系统有效运行的关键。一般而言,有效的基于web检测网络入侵安全管理的设置主要分为以下几个基本的步骤:①确定网络入侵检测需求;②设计网络入侵检测系统在网络中的拓扑位置;③配置网络入侵检测系统;④基于web检测网络入侵安全管理系统磨合;⑤基于web检测网络入侵安全管理系统的使用及自调节。
需要说明的是,基于web检测网络入侵安全管理系统的设置需要经过多次的反复磨合,才能够达到有效保护计算机网络系统的目的。在设置的过程中要进行多次的回溯,在回溯过程会重复多次,通过不断地调整基于web检测网络入侵安全管理系统的检测配置,将报警出错的几率降到最低,从而确保基于web检测网络入侵安全管理系统能够在最佳状态下进行检测分析,以现对计算机网络系统的有效监控和分析。
3 基于web检测网络入侵安全管理的部署
基于web检测网络入侵安全管理的部署工作包括对主机入侵检测和网络入侵检测等不同类型入侵检测系统的部署规划。这里的基于web检测网络入侵安全管理的部署主要指对网络入侵检测器的部署。一般来讲,基于web检测网络入侵安全管理的部署点可以划分为DMZ区、外网入口、内网主干以及关键子网这四个不同的区域。
3.1 DMZ区
DMZ区部署点在DMZ区的总口上,这是基于web检测网络入侵安全管理的入侵检测器最常见的部署位置。入侵检测器在DMZ区可以有效检测到所有用户向外提供服务的服务器进行攻击的行为。再加上DMZ区中的各个服务器提供的服务有限,所以针对这些对外提供的服务进行入侵检测,基于web检测网络入侵安全管理的入侵检测器的功效能够得到充分的发挥。
3.2 外网入口
在外网入口这个区域,基于web检测网络入侵安全管理的入侵检测器可以检测到所有来自外部网络的可能的攻击行为(对防火墙本身的攻击、对内部服务器的攻击、网络系统内部计算机之间不正常的数据通信行为等)并进行记录。
3.3 内网主干
在内网主干部署点这个区域,基于web检测网络入侵安全管理的入侵检测器可以检测所有内部网络中来自外部网络的不正常操作以及通过防火墙的各种攻击,并且可以准确地定位具体的攻击源和攻击目的,从而可以为计算机网络系统管理员进行针对性的网络安全管理,提供很大的方便。
3.4 关键子网
在一个网络体系中,总有一些子网处于对一些重要数据的安全保护,需要进行严格的管理,通过对这些关键子网进行安全检测,可以有效地防止那些没有授权的用户入侵,从而可以有效避免关键子网中那些重要数据的丢失或泄漏。
参考文献:
[1]李子明.针对WEB服务器的入侵检测研究[J].上海交通大学学报,2011(06).
[2]徐英梅.基于Web数据流技术的网络入侵检测研究[J].计算机安全,2010(11).
[3]崔强强.基于网络的Web漏洞检测系统的研究与实现[J].计算机工程,2009(20).