入侵檢測技術范文
時間:2023-03-23 21:26:40
導語:如何才能寫好一篇入侵檢測技術,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。
篇1
中圖分類號:TP393.08 文獻標識碼:A文章編號:1007-9599 (2012) 01-0000-02
Intrusion Detection Technology Study
Gu Xiaoning
(Jining Teachers College Computer Science Department,Wulanchabu012000,China)
Abstract:With the application of the computer net-work increasing, the problem about net-work security is more and more serious day by day. The concept of the incursion detecting system was introduced in this thesis,and simply analyzed incursion detecting technology while the mostly used detecting technology nowadays was discussed.In the last,the development trend and main research direct of the technology was viewed.
Keywords:Network security;Intrusion detection;Detection technology;
Intrusion detection system
一、引言
伴隨著計算機網絡技術和互聯網的飛速發展,各種網絡攻擊和入侵事件時有發生,所造成的破壞性和損失日益嚴重。網絡安全威脅愈加被人們所重視。
傳統的信息安全方法都是靜態的安全防御技術,面對現今復雜多變的入侵手段難以應付。而入侵檢測是一種動態安全的核心技術,它通過對入侵行為的發覺,收集信息進行分析,并做出實時的響應,從中發現是否有違反安全策略的行為和被攻擊擊的跡象,在不影響網絡性能的情況下對網絡進行監測,提供對系統的實時保護[1]。
二、入侵檢測系統
入侵檢測系統是傳統操作系統加固和防火墻隔離技術的合理補充,它的功能是監控并分析系統及用戶活動,檢查系統的配置和漏洞,發現已知的攻擊行為以及分析異常行為,對系統日志進行管理并識別非正常活動,對發現的入侵行為進行告警和響應等。它能夠保護網絡安全策略,可以提高系統管理員的安全管理能力和信息安全基礎結構的完整性。理想的入侵檢測系統應該管理方便、配置簡單,擴展性強、保護范圍廣。應該具備動態自適應性,應能夠根據網絡的規模、系統的構造和安全需求的改變而改變。
(一)入侵檢測系統的工作模式
入侵檢測的工作過程一般分四個方面:
(1)對信息進行采集。(2)分析該信息,試圖尋找入侵活動的特征。(3)對檢測到的行為自動作出響應。(4)記錄并處理結果。
(二)入侵檢測系統的分類[2]
1.根據目標系統的類型來看,可以分為兩類
(1)基于主機(Host-Based)的入侵檢測系統。通常,基于主機的入侵檢測系統可監測系統事件和操作系統下的安全記錄以及系統記錄。它通過監視并分析主機系統的日志、端口調用和安全審計記錄等來檢測入侵,保護主機的系統安全。
(2)基于網絡(Network-Based)的入侵檢測系統。該類型的入侵檢測系統主要作用是針對保護網絡。該系統由混雜模式下的網絡適配器組成,用來識別網絡中的原始數據包,實時監視并分析通過網絡的所有通信業務。
2.根據入侵檢測系統分析的數據來源
入侵檢測系統分析的數據可以是主機系統日志、網絡數據包、應用程序的日志、防火墻報警日志以其他入侵檢測系統的報警信息等
3.根據入侵檢測方法可以分為兩類
(1)異常入侵檢測檢測。該類型的系統基于正常狀態數據特征判斷主體系統是否入侵。
(2)誤用入侵檢測。該檢測系統收集非正常數據特征通過匹配來確定系統中是否有入侵和攻擊。
4.根據系統各個模塊運行的分布方式
(1)集中式入侵檢測系統;(2)分布式入侵檢測系統。
(三)入侵檢測的系統的數據源
1.基于主機的數據源
(1)系統運行狀態信息;(2)系統記帳信息;(3)系統日志。
2.基于網絡的數據源
(1)SNMP信息;(2)網絡通信包
3.應用程序日志文件
4.其他入侵檢測系統的報警信息
三、入侵檢測技術
入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術。它在系統內部和各種網絡資源中主動采集信息,從中發現內部、外部攻擊與合法用戶是否濫用特權。入侵檢測技術可以根據用戶的歷史行為或的當前操作,完成對入侵的檢測,根據系統入侵的痕跡,來恢復和處理數據[1]。
(一)入侵檢測的過程。入侵檢測的過程分為三步:信息收集、信息分析以及告警與響應[5]。
1.信息收集。想要入侵檢測就必須有信息收集,具體內容包括系統、網絡、數據以及用戶活動的狀態和行為等。信息收集要盡可能的擴大范圍,從一個信息源來的信息可能看不出什么,但是從多個信息源收集到的不同信息能夠最大限度的識別可疑行為或入侵。
2.信息分析。入侵檢測系統收集到的信息量非常大,而且大部分都是正常的信息。想要從龐大的信息中找出少部分的異常入侵信息,就要通過信息分析。所以說信息分析是入侵檢測過程的核心環節。
3.告警與響應。入侵檢測發現系統發生變更后,產生警告并采取響應措施,告訴管理員有入侵發生或者直接處理。
(二)入侵分析的模型。入侵分析是入侵檢測的核心。在這里,我們把入侵分析的處理過程分為三個階段:構建分析器、對現場數據進行分析、反饋和提煉[2]。
1.構建分析器
分析器可以執行預處理、分類和后處理的核心功能
(1)可以收集并生成事件信息;(2)分析預處理信息;(3)建立一個行為分析引擎。
2.對現場數據進行分析
(1)輸入事件記錄;(2)進行預處理;(3)比較事件記錄和知識庫;(4)產生響應。
3.反饋和提煉
(三)入侵檢測的分析方法
1.誤用檢測。誤用入侵檢測的技術基礎是分析各種類型的攻擊手段,建立相關的特征庫。對當前的數據源來源進行各種處理后,再進行特征匹配或者規則匹配工作,如果發現滿足條件的匹配,則認為發生了一次攻擊行為[4]。
2.異常檢測。異常入侵檢測通過觀察當前活動與系統歷史正常活動情況之間的差異來實現。首先建立一個關于系統正常活動的狀態模型并不斷進行更新,當用戶活動與正常行為有重大偏離時,則指示發現了非法攻擊行為[9]。
(四)告警與響應
在完成系統安全狀況的分析并確定出系統問題以后,就應該讓人們知道這些問題的存在,這個階段就叫做響應期。響應又可以分為兩種模式:被動響應和主動響應。
被動響應就是系統只簡單的記錄和報告所檢測出來的問題,而主動響應則是系統主動阻斷攻擊防止入侵[5]。
四、入侵檢測技術的發展趨勢
前面介紹了入侵檢測系統和入侵檢測技術的基本概念和功能,并對典型入侵檢測技術進行了分析。通過這些介紹和分析,可以得出結論:入侵檢測技術是網絡安全解決方案的一個重要組成部分。雖然入侵檢測的研究已經取得了相當的進展,但是由于現階段信息技術不斷進步,入侵檢測技術已不能滿足需要。今后的入侵檢測技術主要朝以下幾個方向發展:
(一)寬帶高速實時的檢測技術。網絡帶寬迅速增長,寬帶接入手段種類繁多,如何實時檢測高速網絡下的入侵行為成為必須解決的問題。因此對入侵檢測的處理能力提出更高的要求。
(二)大規模分布式的檢測技術。統一集中式入侵檢測方式存在明顯的缺陷。首先,對于大規模的分布式攻擊會造成大量的信息處理遺漏,導致漏報率的增高。其次,由于網絡傳輸的延時問題,收集到的數據信息不能實時的反映當前的網絡狀態[7]。為了解決這些問題,大部分系統采用了分布式的結構。
(三)智能化入侵檢測。使用智能化的方法與手段來進行入侵檢測。所謂的智能化方法,現階段常用的有神經網絡、遺傳算法、模糊技術、免疫原理等方法,這些方法常用于入侵特征的辨認與泛化。從某種程度上講,入侵檢測技術一直領先與安全技術的發展,兩者相互推動、互相促進。隨著網絡的日益普及和各種黑客工具的蔓延,入侵的復雜化趨勢也越來越明顯,向著分布式、隱蔽化方向發展。因此,為了適應新的發展形式,智能化入侵檢測具有更廣泛的應用前景。
(四)多種分析方法并存。對于入侵檢測系統,分析方法是系統的核心。現在的入侵檢測系統有很多入侵檢測分析方法,但大部分分析方法只適應某些種類的入侵。所以在目前情況下,多種分析方法綜合運用是一個值得研究的問題。
五、結論
入侵檢測作為一種主動性地安全防護技術,最大的優勢是提供了對內部攻擊、外部攻擊和誤操作的實時保護,預先對入侵活動進行攔截和響應。在網絡信息安全立體縱深、多重防御的發展趨勢下,未來的入侵檢測系統可以軟硬件結合,配合其他網絡管理軟件,提供更加及時、準確的檢測手段。
參考文獻:
[[1]Rebecca Gurley Bace.入侵檢測[M].北京:人民郵電出版社,2001
[2]蔣建春,馮登國.網絡入侵檢測原理與技術[M].北京:國防工業出版社,2002
[3]Paul E.Proctor,鄧琦皓等譯.入侵檢測實用手冊[M].北京:中國電力出版社,2002
[4]韓東海,王超,李群.入侵檢測系統實例剖析[M].北京:清華大學出版社,2002
[5]戴英俠,連一峰等.系統安全與入侵檢測[M].北京:清華大學出版,2002
[6]薛靜鋒,寧宇鵬,閻慧.IDS入侵檢測技術[M].北京:機械工業出版社,2004
[7]宋勁松.網絡入侵檢測的分析、發現和報告攻擊[M].北京:國防工業出版社,2004
篇2
入侵檢測通過執行以下任務來實現:
1、監視、分析用戶及系統活動;
2、系統構造和弱點的審計;
3、識別反映已知進攻的活動模式并向相關人士報警;
4、異常行為模式的統計分析;
5、評估重要系統和數據文件的完整性;
篇3
關鍵詞:網絡信息;管理;入侵檢測技術
在現代之中,一些非法分子利用木馬進行相應的隱藏,然后通過對于計算機植入木馬,進行一些信息的竊取。現代企業在面臨網絡非法分子進行信息盜取過程之中,首先應該對于入侵行為有著明確的認識,這就需要現代的入侵檢測技術了,對于入侵行為有著明確的判定,才能真正的展開后續行動,這對現代網絡信息管理而言十分重要。
1網絡信息管理中入侵檢測技術概述
(1)入侵檢測技術在網絡信息管理之中的作用。如果說現代計算機作為系統,那么入侵檢測技術就相當于保安系統,對于關鍵信息的儲存位置進行定期檢查和掃描,一旦發現外來不明用戶杜宇關鍵信息進行查詢,便對使用用戶進行警告,幫助用戶進行入侵行為的相關處理,保障關鍵的信息系統和數據信息不會收到損壞和盜竊。入侵檢測技術同樣會對系統之中存在的漏洞進行檢查和通報,對于系統之中的漏洞而言,往往便是入侵行為發生的位置,所以針對于這些位置進行處理,更為良好的保證整個系統的安全,對于現代企業網絡系統而言,入侵檢測技術便是保障的第二道鐵閘。
(2)現階段入侵檢測技術的主要流程。通常情況下,入侵檢測技主要可以分為兩個階段。第一個階段便是信息采集,主要便是對于用戶的各種信息使用行為和重要信息進行收集,這些信息的收集主要是通過對于重點信息部位的使用信息進行查詢得出的,所以說在現代應用之中,入侵檢測技術一方面應用了現代的檢測技術,另外一方面也對于多種信息都進行了收集行為,保證了收集信息的準確性;第二個階段便是處理相關信息,通過將收集的信息和過往的信息進行有效對比,然后如果對比出相關錯誤便進行判斷,判斷使用行為是否違背了網絡安全管理規范,如果判斷結果為肯定,那么便可以認定其屬于入侵行為,對于使用用戶進行提醒,幫助用戶對于入侵行為進行清除。
2現階段入侵檢測技術的使用現狀
(1)網絡信息管理中入侵檢測系統的問題。入侵檢測技術作為一種網絡輔助軟件去,其本身在現階段并不是完善的,自身也存在漏洞。所以說很多非法分子的入侵不僅僅是面對系統的,很多先通過入侵技術的漏洞來進行。針對現階段的使用過程而言,入侵檢測技術仍然存在自身的漏洞危險,也存在主要使用風險。在現階段存在危險的方面主要有兩個方面。一方面便是由于入侵檢測系統存在漏洞;另外一方面便是現代計算機技術的發展。無論是相關的檢測系統亦或是相關病毒,都是現代編程人員利用C語言進行編程,伴隨著相關編程水平的不斷提高,兩種技術同樣得到了自我發展,所以說很多黑客高手在現代的入侵行為之中,已經不能以舊有的眼光來進行相關分析。所以說新的時期,入侵檢測技術也應該得到自我的發展,同樣針對于應用網絡的相關企業做好安全保證,保證信息技術在現代之中的發展。
(2)現階段網絡信息管理之中入侵檢測技術存在的問題。網絡信息管理之中的入侵檢測技術在現代之中仍然存在問題,同樣是兩個方面問題。一方面是由于入侵技術自身存在漏洞,在現階段很多入侵檢測技術是通過對于入侵行為進行有效的提取,將行為進行歸納,對于行為是否符合現代網絡安全規范,然后判斷結果是否為入侵。很多時候,入侵行為往往較為隱秘,所以說這就導致了相關的入侵檢測技術不能對于入侵行為進行提取,更無從談起其是否符合網絡安全規范。另外一方面的問題便是檢測速度明顯小于入侵速度,這也是在現階段常見的問題。隨著現代網絡技術的發展,網絡速度已經得到了有效的自我發展,很多入侵檢測過程之中,很多時候檢測速度小于網絡檢測速度,這樣的情況下,一些行為尚未進行阻攔,便已經達成入侵的目的了,進而導致了信息的丟失,所以說這方面的問題同樣應該得到改善。企業在應用之中,也應該注意這種速度的問題,防止因為速度進而造成自身信息丟失等。
3網絡信息管理之中入侵檢測技術的具體分類
(1)異常檢測,異常檢測顧名思義,便是對于入侵行為進行檢測,但是由于入侵的性質未定,這就導致很多時候入侵檢測技術進行了無用功。現階段往往入侵檢測技術通過建立一個行為輪廓來進行限定,如果入侵行為已經超過了這個行為輪廓,便確定其為入侵行為。這種模式大大簡化了行為判定的過程,但是由于過于簡單的相應行為也容易出現相關漏洞。在實際工作之中,往往非入侵行為但是在行為輪廓行為之外的網絡訪問行為,但是在入侵檢測技術之中被判斷為入侵行為,造成了工作的重復。所以說在進行行為輪廓的確定時,同樣應該由一些特征量來確定,減少檢測工作可能出現的失誤,進而可以提升檢測工作的效率;另外一方面可以設置參考數值,通過參考數值的評定來進行評判,在入侵檢測技術之中,參考數值非常重要。
(2)誤用檢測,其應用前提便是所有的入侵行為進行識別并且進行標記。在一般情況下,誤用檢測便是通過攻擊方法來進行攻擊簽名,然后再通過定義已經完成的攻擊簽名對于入侵行為進行相關判斷。很多行為都是通過漏洞來進行,所以誤用檢測可以準確的判斷出相應入侵行為,不僅預防了入侵行為,還可以對于其他入侵行為進行警示作用。這種技術在實際使用過程之中,提升了入侵檢測數的效率和準確。
4結語
在現代信息技術得到發展的今天,網絡信息管理已經成為了現代企業非常重要的組成部分。針對于網絡安全而言,其自身往往具有一些技術之中的漏洞,所以同樣容易引發入侵行為。針對于入侵行為,現代之中有著入侵檢測技術,本文對于入侵檢測技術的使用進行了分析,希望為相關人員帶來相關思考。
參考文獻
[1]張麗.入侵檢測技術在網絡信息管理中的應用分析[J].中國科技博覽,2014,第16期:12-12.
[2]陳瑩瑩.網絡信息管理中入侵檢測技術的研究[J].信息通信,2013,06期:99-99.
篇4
【關鍵詞】入侵檢測技術;網絡安全;具體運用
網絡信息技術發展日新月異,人們在享受它所帶來的便利的同時,還受到它所帶來的網絡安全問題的威脅和危害。網絡安全是基于對網絡系統的軟、硬件系統中的關鍵數據進行加密和保護。隨著網絡信息技術的應用范圍越來越廣泛,對網絡攻擊的種類增多,程度也越來越嚴重,傳統的網絡安全防護技術已經無法抵御這些種類與日俱增的惡意入侵和攻擊,逐漸不能適應網絡安全防護更高的要求。入侵檢測技術是作為傳統網絡安全防護技術的一項補充,它擴充了系統管理員的安全審計、監視、進攻識別和響應等方面的安全管理能力,提升了信息安全基礎結構的完整性,成為網絡安全防護中第二道堅實的防線。以下將就入侵檢測技術的概念、工作原理等做出系統的歸納,和入侵檢測技術在網絡安全中的具體運用進行闡述。
1入侵檢測技術概述
1.1入侵檢測的簡介
入侵檢測技術,是一種對計算機網絡的程序進行入侵式的檢測先進技術,它肩負著網絡安全中第二道防線的任務,起到保護計算機網絡安全的作用。入侵檢測是通過對安全日志、行為、審計和其他可獲得的信息以及系統的關鍵信息的收集并作出分析,以此檢測出計算機網絡中違反安全策略的行為和受攻擊的對象的一個工作過程。它實施保護工作的過程具體可分為:監視、分析網絡用戶和網絡系統活動;網絡安全系統構造和弱點的審查評估;認定反映已知進攻活動并作出警示警告;網絡系統異常行為的統計和分析4個步驟。入侵檢測技術能夠同時兼備實時監控內部攻擊、外部攻擊和錯誤操作的任務,把對網絡系統的危害阻截在發生之前,并對網絡入侵作出響應,是一種相對傳統的被動靜態網絡安全防護技術提出的一種積極動態網絡安全防護技術。
1.2工作原理
入侵檢測系統相當于一部典型的窺探設備,它的工作原理是在不用跨接多個物理網段也不用轉發流量的前提下,通過收集網絡上靜態的、被動的相關數據報文,提取出所收集的數據報文的流量統計特征的相關數據與入侵檢測系統內置的入侵數據進行智能化的匹配和分析,如果出現匹配耦合度高的數據報文流量,那個它就被認定是入侵攻擊,網絡入侵檢測系統就會根據計算機系統所設定的閥值和相應的配置激發報警并對認定的入侵攻擊進行一定的反擊。
2入侵檢測技術網絡安全中的具體運用
入侵檢測技術包括了聚類算法、數據挖掘技術和智能分布技術等幾個方面。入侵檢測技術在網絡安全中的運用,重點是這幾種檢測技術合理的運用,具體如下。
2.1聚類算法的運用
入侵檢測技術當中的聚類算法在網絡安全的運用具有可以在脫離指導的情況下開展網絡異常檢測工作。可以將沒有標記的數據的工作相似的數據歸到同一類中,并對網絡安全系統運行中存在的異常的數據迅速高效地識別出來。運用到網絡安全,大大提高了網絡運行的可靠程度,使網絡安全的級別更上一個級別。在實際情況中,網絡中通常存在著種類比較多的數據,當中還包括了大量的相似數據,這些數據如同定時炸彈般隱藏著極大的危險,如不能及時發現并攔截處理,就會破壞網絡安全系統,而聚類算法的運用就解決了這一問題,為網絡安全系統正常運行提供了保障。
2.2數據挖掘技術的運用
數據挖掘技術,顧名思義就是對互聯網中的傳輸數據的挖掘和分析,從而找出數據中的錯誤、不規范、異常等的情況,并適當地處理這些非正常的情況。數據挖掘技術在運行速度方面占有絕對的優勢,把它運用到網絡安全工作中,這種優勢能很好的體現出來出來,它運用數據挖掘技術中的關聯算法和序列挖掘算法來提取網絡的行為模式,能夠準確快速地識別網絡中非正常的、不規范的運行程序;并且運用分類算法進行歸類和預測用戶網絡行為或特權程序系統的調用,此外還把聚類算法和數據挖掘技術結合起來,比較和計算出每次記錄之間的矢量距自動分辨和歸類出用戶的登錄記錄、連接記錄,最后,對各分類出來的數據給予相應的處理。
2.3智能分布技術的運用
智能分布技術是基于網絡擴展性、智能性、無關性等相關特性而言的對網絡安全進行檢測的技術。該技術的在網絡安全中的運用,能夠把網絡特別是較龐大復雜的網絡環境劃分成幾個區域來進行檢測,把多個檢測點設定在每一個區域中,在整個網絡安全系統設定一個管理點,對各區域的檢測點進行檢測再集中管理,從而分析檢測出入侵的程序和異常的數據等。這樣不但能提高網絡安全系數,還可以確保對入侵程序快速準確地定位,并及時采取有針對性的處理方法,極大程度地提高了網絡安全系統的運行效率。
3總結
隨著網絡信息技術的飛速發展,網絡應用的領域越來越廣泛,隨之而來出現的網絡安全問題種類也越來越多,危害程度越來越大,傳統的網絡安全防護技術對網絡安全的作用效果逐漸降低甚至失效,入侵檢測技術的出現,挽救了這個局面,通過把聚類算法、數據挖掘技術、智能分布技術等入侵檢測技術相互配合運用到網絡安全中,為網絡安全提供了第二道防線的保護,對入侵網絡的攻擊進行快速有效的攔截和反擊,很大程度降低了入侵攻擊所帶來的傷害,大大提高了網絡安全的系數。是未來網絡安全技術發展的趨勢。
參考文獻
[1]張正昊.淺談計算機網絡信息安全及防護措施[J].科技風,2014(19).
[2]隋新,劉瑩.入侵檢測技術的研究[J].科技通報,2014(11).
[3]孫志寬.計算機網絡安全的現狀及對策研究[J].科技風,2014(19).
[4]周小燕.網絡入侵安全檢查實踐操作分析[J].無線互聯科技,2014(11).
篇5
【關鍵詞】入侵檢測技術 網絡安全 具體運用
網絡信息技術發展日新月異,人們在享受它所帶來的便利的同時,還受到它所帶來的網絡安全問題的威脅和危害。網絡安全是基于對網絡系統的軟、硬件系統中的關鍵數據進行加密和保護。隨著網絡信息技術的應用范圍越來越廣泛,對網絡攻擊的種類增多,程度也越來越嚴重,傳統的網絡安全防護技術已經無法抵御這些種類與日俱增的惡意入侵和攻擊,逐漸不能適應網絡安全防護更高的要求。入侵檢測技術是作為傳統網絡安全防護技術的一項補充,它擴充了系統管理員的安全審計、監視、進攻識別和響應等方面的安全管理能力,提升了信息安全基礎結構的完整性,成為網絡安全防護中第二道堅實的防線。以下將就入侵檢測技術的概念、工作原理等做出系統的歸納,和入侵檢測技術在網絡安全中的具體運用進行闡述。
1 入侵檢測技術概述
1.1 入侵檢測的簡介
入侵檢測技術,是一種對計算機網絡的程序進行入侵式的檢測先進技術,它肩負著網絡安全中第二道防線的任務,起到保護計算機網絡安全的作用。入侵檢測是通過對安全日志、行為、審計和其他可獲得的信息以及系統的關鍵信息的收集并作出分析,以此檢測出計算機網絡中違反安全策略的行為和受攻擊的對象的一個工作過程。它實施保護工作的過程具體可分為:監視、分析網絡用戶和網絡系統活動;網絡安全系統構造和弱點的審查評估;認定反映已知進攻活動并作出警示警告;網絡系統異常行為的統計和分析4個步驟。入侵檢測技術能夠同時兼備實時監控內部攻擊、外部攻擊和錯誤操作的任務,把對網絡系統的危害阻截在發生之前,并對網絡入侵作出響應,是一種相對傳統的被動靜態網絡安全防護技術提出的一種積極動態網絡安全防護技術。
1.2 工作原理
入侵檢測系統相當于一部典型的窺探設備,它的工作原理是在不用跨接多個物理網段也不用轉發流量的前提下,通過收集網絡上靜態的、被動的相關數據報文,提取出所收集的數據報文的流量統計特征的相關數據與入侵檢測系統內置的入侵數據進行智能化的匹配和分析,如果出現匹配耦合度高的數據報文流量,那個它就被認定是入侵攻擊,網絡入侵檢測系統就會根據計算機系統所設定的閥值和相應的配置激發報警并對認定的入侵攻擊進行一定的反擊。
2 入侵檢測技術網絡安全中的具體運用
入侵檢測技術包括了聚類算法、數據挖掘技術和智能分布技術等幾個方面。入侵檢測技術在網絡安全中的運用,重點是這幾種檢測技術合理的運用,具體如下。
2.1 聚類算法的運用
入侵檢測技術當中的聚類算法在網絡安全的運用具有可以在脫離指導的情況下開展網絡異常檢測工作。可以將沒有標記的數據的工作相似的數據歸到同一類中,并對網絡安全系統運行中存在的異常的數據迅速高效地識別出來。運用到網絡安全,大大提高了網絡運行的可靠程度,使網絡安全的級別更上一個級別。在實際情況中,網絡中通常存在著種類比較多的數據,當中還包括了大量的相似數據,這些數據如同定時炸彈般隱藏著極大的危險,如不能及時發現并攔截處理,就會破壞網絡安全系統,而聚類算法的運用就解決了這一問題,為網絡安全系統正常運行提供了保障。
2.2 數據挖掘技術的運用
數據挖掘技術,顧名思義就是對互聯網中的傳輸數據的挖掘和分析,從而找出數據中的錯誤、不規范、異常等的情況,并適當地處理這些非正常的情況。數據挖掘技術在運行速度方面占有絕對的優勢,把它運用到網絡安全工作中,這種優勢能很好的體現出來出來,它運用數據挖掘技術中的關聯算法和序列挖掘算法來提取網絡的行為模式,能夠準確快速地識別網絡中非正常的、不規范的運行程序;并且運用分類算法進行歸類和預測用戶網絡行為或特權程序系統的調用,此外還把聚類算法和數據挖掘技術結合起來,比較和計算出每次記錄之間的矢量距自動分辨和歸類出用戶的登錄記錄、連接記錄,最后,對各分類出來的數據給予相應的處理。
2.3 智能分布技術的運用
智能分布技術是基于網絡擴展性、智能性、無關性等相關特性而言的對網絡安全進行檢測的技術。該技術的在網絡安全中的運用,能夠把網絡特別是較龐大復雜的網絡環境劃分成幾個區域來進行檢測,把多個檢測點設定在每一個區域中,在整個網絡安全系統設定一個管理點,對各區域的檢測點進行檢測再集中管理,從而分析檢測出入侵的程序和異常的數據等。這樣不但能提高網絡安全系數,還可以確保對入侵程序快速準確地定位,并及時采取有針對性的處理方法,極大程度地提高了網絡安全系統的運行效率。
3 總結
隨著網絡信息技術的飛速發展,網絡應用的領域越來越廣泛,隨之而來出現的網絡安全問題種類也越來越多,危害程度越來越大,傳統的網絡安全防護技術對網絡安全的作用效果逐漸降低甚至失效,入侵檢測技術的出現,挽救了這個局面,通過把聚類算法、數據挖掘技術、智能分布技術等入侵檢測技術相互配合運用到網絡安全中,為網絡安全提供了第二道防線的保護,對入侵網絡的攻擊進行快速有效的攔截和反擊,很大程度降低了入侵攻擊所帶來的傷害,大大提高了網絡安全的系數。是未來網絡安全技術發展的趨勢。
參考文獻
[1]張正昊.淺談計算機網絡信息安全及防護措施[J].科技風,2014(19).
[2]隋新,劉瑩.入侵檢測技術的研究[J].科技通報,2014(11).
[3]孫志寬.計算C網絡安全的現狀及對策研究[J].科技風,2014(19).
[4]周小燕.網絡入侵安全檢查實踐操作分析[J].無線互聯科技,2014(11).
[5]季林鳳.計算機數據庫入侵檢測技術探析[J].電腦知識與技術,2014(27).
作者簡介
闕宏宇(1976-),男,四川省成都市人。軟件工程碩士。講師。研究方向為計算機網絡。
梁波(1982-),男,四川省彭州市人。軟件工程碩士。講師。研究方向為軟件開發、計算機網絡。
篇6
【關鍵詞】網絡安全 入侵檢測
一、現在網絡安全隱患
隨著計算機技術的發展在連結信息能力、流通能力提高的同時,基于網絡連接的安全問題也日益突出,很多組織正在致力于提出更多的更強大的主動策略和方案來增強網絡的安全性,然而另一個更為有效的解決途徑就是入侵檢測。在入侵檢測之前,大量的安全機制都是根據從主觀的角度設計的,他們沒有根據網絡攻擊的具體行為來決定安全對策。因此,它們對入侵行為的反應非常遲鈍,很難發現未知的攻擊行為,不能根據網絡行為的變化來及時地調整系統的安全策略。而入侵檢測正是根據網絡攻擊行為而進行設計的,它不僅能夠發現已知入侵行為,而且有能力發現未知的入侵行為,并可以通過學習和分析入侵手段,及時地調整系
統策略以加強系統的安全性。
二、入侵檢測的定義
入侵檢測是從系統(網絡)的關鍵點采集信息并分析信息,察看系統(網絡)中是否有違法安全策略的行為,保證系統(網絡)的安全性,完整性和可用性。它從計算機網絡系統中的若干關鍵點收集信息,并分析這些信息,看看網絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門,在不影響網絡性能的情況下能對網絡進行監測,從而提供對內部攻擊、外部攻擊和誤操作的實時保護。
三、入侵檢測的系統功能構成
一個入侵檢測系統的功能結構如圖一所示,它至少包含事件提取、入侵分析、入侵響應和遠程管理四部分功能。
入侵分析的任務就是在提取到的運行數據中找出入侵的痕跡,將授權的正常訪問行為和非授權的不正常訪問行為區分開,分析出入侵行為并對入侵者進行定位。
入侵響應功能在分析出入侵行為后被觸發,根據入侵行為產生響應。
由于單個入侵檢測系統的檢測能力和檢測范圍的限制,入侵檢測系統一般采用分布監視集中管理的結構,多個檢測單元運行于網絡中的各個網段或系統上,通過遠程管理功能在一臺管理站點上實現統一的管理和監控。
四、入侵檢測系統分類
入侵檢測系統根據其檢測數據來源分為兩類:基于主機的入侵檢測系統和基于網絡的入侵檢測系統。
1.基于網絡的入侵檢測系統
基于網絡的入侵檢測系統通過網絡監視來實現數據提取。在internet中,局域網普遍采用ieee 802.3協議。該協議定義主機進行數據傳輸時采用子網廣播的方式,任何一臺主機發送的數據包,都會在所經過的子網中進行廣播,也就是說,任何一臺主機接收和發送的數據都可以被同一子網內的其他主機接收。在正常設置下,主機的網卡對每一個到達的數據包進行過濾,只將目的地址是本機的或廣播地址的數據包放入接收緩沖區,而將其他數據包丟棄,因此,正常情況下網絡上的主機表現為只關心與本機有關的數據包,但是將網卡的接收模式進行適當的設置后就可以改變網卡的過濾策略,使網卡能夠接收經過本網段的所有數據包,無論這些數據包的目的地是否是該主機。網卡的這種接收模式被稱為混雜模式,目前絕大部分網卡都提供這種設置,因此,在需要的時候,對網卡進行合理的設置就能獲得經過本網段的所有通信信息,從而實現網絡監視的功能。在其他網絡環境下,雖然可能不采用廣播的方式傳送報文,但目前很多路由設備或交換機都提供數據報文監視功能。
2.基于網絡的入侵檢測系統
基于主機的入侵檢測系統將檢測模塊駐留在被保護系統上,通過提取被保護系統的運行數據并進行入侵分析來實現入侵檢測的功能。
基于主機的入侵檢測系統可以有若干種實現方法:
檢測系統設置以發現不正當的系統設置和系統設置的不正當更改對系統安全狀態進行定期檢查以發現不正常的安全狀態。
基于主機日志的安全審計,通過分析主機日志來發現入侵行為。基于主機的入侵檢測系統具有檢測效率高,分析代價小,分析速度快的特點,能夠迅速并準確地定位入侵者,并可以結合操作系統和應用程序的行為特征對入侵進行進一步分析。目前很多是基于主機日志分析的入侵檢測系統。基于主機的入侵檢測系統存在的問題是:首先它在一定程度上依賴于系統的可靠性,它要求系統本身應該具備基本的安全功能并具有合理的設置,然后才能提取入侵信息;即使進行了正確的設置,對操作系統熟悉的攻擊者仍然有可能在入侵行為完成后及時地將系統日志抹去,從而不被發覺;并且主機的日志能夠提供的信息有限,有的入侵手段和途徑不會在日志中有所反映,日志系統對有的入侵行為不能做出正確的響應,例如利用網絡協議棧的漏洞進行的攻擊,通過ping命令發送大數據包,造成系統協議棧溢出而死機,或是利用arp欺騙來偽裝成其他主機進行通信,這些手段都不會被高層的日志記錄下來。在數據提取的實時性、充分性、可靠性方面基于主機日志的入侵檢測系統不如基于網絡的入侵檢測系統。
五、入侵檢測技術的發展方向
近年對入侵檢測技術有幾個主要發展方向:
(1)分布式入侵檢測與通用入侵檢測架構
傳統的ids一般局限于單一的主機或網絡架構,對異構系統及大規模的網絡的監測明顯不足。同時不同的ids系統之間不能協同工作能力,為解決這一問題,需要分布式入侵檢測技術與通用入侵檢測架構。
(2)應用層入侵檢測
許多入侵的語義只有在應用層才能理解,而目前的ids僅能檢測如web之類的通用協議,而不能處理如lotus notes、數據庫系統等其他的應用系統。許多基于客戶、服務器結構與中間件技術及對象技術的大型應用,需要應用層的入侵檢測保護。
(3)智能的入侵檢測
入侵方法越來越多樣化與綜合化,盡管已經有智能體、神經網絡與遺傳算法在入侵檢測領域應用研究,但是這只是一些嘗試性的研究工作,需要對智能化的ids加以進一步的研究以解決其自學習與自適應能力。
入侵檢測產品仍具有較大的發展空間,從技術途徑來講,我們認為,除了完善常規的、傳統的技術(模式識別和完整性檢測)外,應重點加強統計分析的相關技術研究。
參考文獻:
篇7
關鍵詞:計算機數據庫;入侵檢測技術;網絡安全
中圖分類號:TP309.2 文獻標識碼:A
計算機數據庫普遍受到網絡與設備的威脅。計算機安全主要是指物理安全與信息安全(網絡安全),其中信息安全主要是指保護網絡信息的完整性、可用性、保密性。據調查數據表明,信息系統的整體安全方面,數據庫是最容易受到攻擊的部件。計算機數據庫主要受到計算機病毒或黑客的攻擊,其中與計算機病毒的種類相比較,黑客對計算機數據庫的攻擊方法更多、更致命。美國FBI調查數據顯示,網絡安全導致每年美國承受超出170億美元的經濟損失,其中每天被黑客攻擊或病害感染的網頁達到15000個。據國家計算機網絡應急技術處理協調中心的評估數據表明,2012年中國“僵尸”電腦數量已超過全球“僵尸”電腦總數的58%。由此可見,必須加強對計算機數據庫安全保護的研究。
1 計算機數據庫入侵檢測技術的現狀問題
經過20余年的發展,計算機數據庫入侵檢測技術已相當成熟,但不斷出現的新需求及新情況勢必要求不斷推進入侵檢測技術。目前主流入侵檢測系統包括基于主機的入侵檢測系統及基于網絡的入侵檢測系統;主流入侵檢測方法包括誤用檢測及異常檢測,其中誤用檢測要求對異常行為進行建模,把符合特征庫描述的行為視為攻擊;異常檢測要求對正常行為進行建模,把不符合特征庫描述的行為視為攻擊。總體而言,計算機數據庫入侵檢測技術發展的現狀尚不能完全滿足系統安全的要求,同時仍存有一些問題亟待解決。
(1)計算機入侵檢測誤報漏報率高:數據庫信息主要由個人信息及企業信息組成,因此信息的安全性普遍受到社會個體及組織的廣泛關注,同時計算機入侵檢測技術的研發過程,研究人員對某些關鍵點設置的要求相當高。但此種情況極易受到大量病毒或黑客的入侵,由此導致入侵檢測結果的準確率大幅度下降,同時某些暫時提高入侵檢測結果準確率的做法反過來亦會影響到數據庫安全。
(2)計算機入侵檢測的效率較低:任何數據入侵或反入侵皆需進行大量的二進制數據計算,以提高數據運行的有效性。但龐大的計算勢必造成大量的時間及財力浪費,由此阻礙著入侵檢測效率的提高,同時也與當今網絡環境極不相稱。
(3)計算機入侵檢測技術的自我防御能力較弱:計算機入侵檢測技術發展尚不完善,加上設計人員的專業知識欠缺,因此勢必影響到計算機入侵檢測技術自我防御能力的提高。若入侵檢測技術被黑客或病毒入侵,有限的防御能力勢必難以完成入侵檢測,由此必然威脅到數據庫的安全。
(4)計算機入侵檢測技術的可擴展性差:計算機入侵檢測技術無自動更新功能,因此不能對新的異常行為或病毒進行有效判別,進而造成病毒肆意,甚至破壞數據庫的安全防線。
2 計算機數據庫入侵檢測技術的發展方向
計算機入侵檢測系統具備網絡管理、網絡監視及入侵檢測功能,其主要采用先進的分布式架構(表1)。入侵檢測系統包含2300多種規則,能夠借助智能分析與模式相結合的方法對網內外傳輸的所有數據進行實時捕獲,進而實現對網絡領域存在的入侵行為或異常現象進行檢測,同時借助內置的攻擊特征庫把相關事件錄入數據庫,以便為事后分析提供參考依據。此外,計算機入侵檢測系統是高效的數據采集技術,與內容恢復、狀態協議分析、行為分析、異常分析、網絡審計等入侵分析技術具有非常好的兼容性,同時能夠檢測到網絡、端口探察、應用層及底層活動的掃描攻擊。
結合表1內容及計算機入侵檢測技術存在的問題,本文認為計算機數據庫入侵檢測技術應堅持“分布型、層次化、智能化檢測及反術測評標準化”的發展道路。
(1)分布型檢測。傳統的入侵檢測大多被局限到單一網絡結構,主要完成單一網絡結構的數據庫檢測,此種檢測方法根本沒有能力應對大規模的異構體系數據庫。此外,數據庫檢測體系間的協同性較弱。針對此類問題,最有效的辦法是采用分布式數據庫入侵檢測手段。
(2)層次化檢測。就檢測范圍而言,傳統的入侵檢測技術具有相當大的局限性,尤其對某些高端數據庫系統,入侵檢測技術尚存在諸多盲點。目前多數服務器結構系統皆需多層次的入侵檢測保護功能,由此保障網絡安全。針對此類問題,最有效的辦法是采用層次化的檢測方式,區別對待普通系統與高端數據庫系統,由此提高入侵檢測技術的作用力。
(3)智能化檢測。雖然目前使用的計算機入侵檢測技術已經應用到遺傳算法及神經網絡等,但應用水平尚處在初級階段或嘗試性階段,因此有必要把智能化入侵檢測列入專項課題進行研究,由此提高計算機入侵檢測的自我適應能力。
(4)應用入侵檢測技術過程,用戶有必要不定期對技術系統進行測評,其中測評的內容應涉及到資源占用比、檢測范圍、檢測可靠程度,同時充分利用測評數據對檢測系統實施評估,然后再結合評估情況對檢測系統進行完善。總體而言,依托入侵檢測技術,計算機數據庫系統的安全性勢必大大增強,即入侵檢測系統通過化解計算機數據庫系統外部的攻擊及排除系統內部的潛在威脅,進而對計算機數據庫系統實施有效保護。
(5)計算機數據庫入侵檢測技術的強化措施除采取分布型檢測、層次化檢測及智能化檢測外,筆者認為創建新型系統模型、建立數據庫知識標準、減少入侵檢測的計算量等皆可加強計算機入侵檢測技術,其中優化Apriori算法是一種由Apriori算法改進而來的計算方法,其對減少入侵檢測的計算量至關重要,此外優化Apriori算法的剪枝候選集功能是顯示入侵檢測計算量減少的主要工作。
3 結束語
綜上所述,入侵檢測技術是一種保障計算機數據庫免受黑客或病毒入侵的安全防護高新技術,其不僅能夠化解來自外界的攻擊(黑客),同時也能夠排查出內部潛在的病毒,進而實現對計算機數據庫的實時性保護。隨著網絡技術更新周期的縮短,網絡安全問題越來越引起社會的關注。數據庫是最容易受到黑客與病毒攻擊的部件,加上數據庫存儲有數以億計用戶的信息,因此必須采取措施確保計算機數據率的網絡安全。盡管入侵檢測技術的應用已相當成熟,但仍然存在諸多問題亟待解決,其中包括入侵檢測誤報漏報率高、入侵檢測的效率較低、入侵檢測技術的自我防御能力較弱及入侵檢測技術的可擴展性差等。基于此,本文提出計算機數據庫入侵檢測技術應該堅持“分布型、層次化、智能化檢測及反術測評標準化”的發展道路,由此提高網絡安全及維護社會的安定和諧。
參考文獻
[1] 秋瑜.計算機數據庫入侵檢測技術分析研究[J].硅谷,2012,(6):79-79.
[2] 王素香.計算機數據庫的入侵檢測技術分析[J].計算機光盤軟件與應用,2013,(1):101.
[3] 李媛媛.計算機數據庫的入侵檢測技術分析[J].中國信息化,2013,(14):137-137.
[4] 肖大薇.計算機數據庫入侵檢測技術分析研究[J].信息系統工程,2012,(4):54-55.
[5] 王世軼.基于數據庫的入侵檢測技術分析[J].科技風,2012,(14):52.
[6] 高超,王麗君.數據挖掘技術在基于系統調用的入侵檢測中的應用[J].鞍山科技大學學報,2006,29(1):45-49.
篇8
【關鍵詞】計算機數據庫 入侵檢測 措施
當今時代是信息技術與安全問題并行的時代,社會經濟的高速發展必然伴隨著某些安全問題的發生,所以數據庫的安全已經成為人民大眾和政府企業的工作保證。盡管當下防火墻廣泛應用,但是仍然不能保證可以完全抵御黑客的入侵,所以入侵檢測技術成為了新時代下社會關注的重點,入侵檢測技術不僅能夠解決數據庫面臨的種種威脅,更能及時發現入侵對象并進行及時的修補,但是在實踐過程中也出現了這樣或那樣的問題,下面將進行詳盡的論述。
1 入侵檢測
入侵檢測是一種對入侵行為進行檢測、識別和回應的一種安全技術。主要通過分析檢測計算機系統、安全日志、電腦數據及網絡行為等方式來判斷是否遭到入侵,從而更好的對計算機進行全方位的安全保護。入侵檢測的主要行為有以下五點:一是對用戶行為進行監察;二是對計算機的運行系統進行審查;三是對入侵行為進行識別并發出警報;四是對異常行為進行統計和記錄,并進而評估計算機系統的危險系數;五是對計算機系統的監察情況進行跟蹤管理。當前入侵檢測技術雖然已經在多個方面得到了效果良好的實踐效果,但是仍然有很多不足之處,下面主要概述一下計算機數據庫檢測系統在應用中出現的問題。
2 常見問題
我國計算機數據庫一般采用防火墻安全模式,加上入侵檢測技術的發展起步較晚,因而在很多方面還不成熟,在實踐過程中主要發現了以下問題。
2.1 防御能力偏弱
由于入侵檢測技術尚不成熟,所以從事數據庫入侵檢測技術的技術團隊也沒有形成很好的規模,而且資金投入的匱乏性也使得人們對入侵檢測技術工作的積極性不高。就當前我國部分發展較好的地區而言,數據庫的入侵檢測技術相對落后,且技術人員自身也缺乏專業的解決問題的能力,對于實際操作中臨時出現的新問題無法做到很好的應對,這種遇到黑客和病毒入侵時無法及時應對的現狀容易導致數據庫系統的癱瘓,給企業和個人造成數據被盜走或損毀的損失,嚴重者也可能威脅到國家相關部門的安全防御。
2.2 錯誤率高
入侵檢測技術的最直接目的就是保護計算機數據庫的隱私,避免數據的流失和泄露,因而在對檢測關卡的要求非常嚴格。如此一來,在入侵檢測技術實際的運行過程中可能會出現很多系統性的檢測錯誤,在各種系統性錯誤上報的同時可能潛伏著真正的病毒,但是系統很有可能一時間承受不了龐大的信息量而出現漏檢的情況,而且對于一些應用軟件的誤檢也會給工作人員帶來時間與精力上的雙重浪費,嚴重影響著檢測工作的效率,計算機數據庫的安全也得不到保障。
2.3 效率低下
前面講到,入侵檢測技術的目的主要是對于病毒進行識別和查殺,而檢測技術的關鍵點就在于速度,因而高效率的檢測是入侵檢測技術的重中之重。由于計算機數據庫的信息量過大且運行程序較多,所以入侵檢測技術整個運行過程可以說是比較復雜,一方面造成了檢測工作的前期成本較高,另一方面也容易造成漏檢、誤檢等錯誤行為。除此之外,我國當前的檢測技術發展在很多方面都存在著欠缺,因而更新的速度也較慢,這也會對檢測系統造成不利影響,在一定程度上滯后了入侵檢測技術的發展。
3 優化措施
當前數據庫已經成為了各類企業和政府有關部門的安全保障,只有針對這些數據庫系統采用必要的保護措施,才能確保計算機網絡數據的可靠性、安全性和保密性。
3.1 優化算法
這種算法是基于大型項目的調查而應用的一種算法,其主要目的是可以大幅度的消減系統運行中的候選項目,在數據庫檢測技術中可以產生很好的實踐效果。該種算法在生成候選項時會產生很多錯誤的項目集合的候選集,而且在連接程序中相同的項目會有很大程度的重復性,所以很容易導致檢測技術利用率相對降低。所以在今后的實踐中可以首先對項目數量進行優化和減少,尤其是待選項目的總量,從整體上減少工作量;其次對數據庫進行合理的分析檢查,把數據庫的準備工作做好盡量做到一次做完編碼,提高算法的效率。
3.2 建立合理模型
入侵檢測系統的工作原理主要是通過系統檢測-判斷行為-入侵警報這三個環節來達到保證計算機數據庫安全的目的。系統主要由數據庫借口零部件、數據手機模塊、數據分析處理模塊、數據挖掘模塊及入侵檢測模塊等五個主要部分組成,為了使各個模塊真正的發揮出作用,需要根據人們所需重新設計出最新的數據庫模型,具體設計如下:
(1)數據收集。系統要在入侵檢測的過程中對系統不同的數據進行收集和記錄,做好前期的準備工作。
(2)分析挖掘。系統要按照設定好的要求對采集到的數據進行合理挖掘,建立好數據庫。
(3)模式調整。要求入侵檢測技術要可以根據系統設定來將不符合規定的數據要求做好技術準確的處理。
(4)提取特征。要求系統可以根據用戶的行為數據判斷出用戶的行為特征,并對不同的用戶行為特征進行分類匯總。
(5)入侵檢測。這里主要要求系統應用相關算法,從數據庫里提取相關的數據信息并輔以相關用戶行為特征,根據檢測結果來采取相對應的措施。
4 總結
根據計算機數據庫入侵技術檢測的現狀,其今后的發展趨勢主要向智能化發展。數據庫的安全性對于政府部門、企業和個人都有著非常重要的實際意義,本文主要分析了當前入侵檢測系統中出現的問題來讓讀者明確計算機數據庫的重要性,并對數據庫入侵檢測技術的未來發展提出了自身的建議措施,最大程度的提升入侵檢測技術對計算機數據庫的安全防護作用。
參考文獻
篇9
關鍵詞入侵檢測異常檢測誤用檢測
在網絡技術日新月異的今天,論文基于網絡的計算機應用已經成為發展的主流。政府、教育、商業、金融等機構紛紛聯入Internet,全社會信息共享已逐步成為現實。然而,近年來,網上黑客的攻擊活動正以每年10倍的速度增長。因此,保證計算機系統、網絡系統以及整個信息基礎設施的安全已經成為刻不容緩的重要課題。
1防火墻
目前防范網絡攻擊最常用的方法是構建防火墻。
防火墻作為一種邊界安全的手段,在網絡安全保護中起著重要作用。其主要功能是控制對網絡的非法訪問,通過監視、限制、更改通過網絡的數據流,一方面盡可能屏蔽內部網的拓撲結構,另一方面對內屏蔽外部危險站點,以防范外對內的非法訪問。然而,防火墻存在明顯的局限性。
(1)入侵者可以找到防火墻背后可能敞開的后門。如同深宅大院的高大院墻不能擋住老鼠的偷襲一樣,防火墻有時無法阻止入侵者的攻擊。
(2)防火墻不能阻止來自內部的襲擊。調查發現,50%的攻擊都將來自于網絡內部。
(3)由于性能的限制,防火墻通常不能提供實時的入侵檢測能力。畢業論文而這一點,對于層出不窮的網絡攻擊技術來說是至關重要的。
因此,在Internet入口處部署防火墻系統是不能確保安全的。單純的防火墻策略已經無法滿足對安全高度敏感部門的需要,網絡的防衛必須采用一種縱深的、多樣化的手段。
由于傳統防火墻存在缺陷,引發了入侵檢測IDS(IntrusionDetectionSystem)的研究和開發。入侵檢測是防火墻之后的第二道安全閘門,是對防火墻的合理補充,在不影響網絡性能的情況下,通過對網絡的監測,幫助系統對付網絡攻擊,擴展系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應),提高信息安全基礎結構的完整性,提供對內部攻擊、外部攻擊和誤操作的實時保護。現在,入侵檢測已經成為網絡安全中一個重要的研究方向,在各種不同的網絡環境中發揮重要作用。
2入侵檢測
2.1入侵檢測
入侵檢測是通過從計算機網絡系統中的若干關鍵點收集信息并對其進行分析,從中發現違反安全策略的行為和遭到攻擊的跡象,并做出自動的響應。其主要功能是對用戶和系統行為的監測與分析、系統配置和漏洞的審計檢查、重要系統和數據文件的完整性評估、已知的攻擊行為模式的識別、異常行為模式的統計分析、操作系統的審計跟蹤管理及違反安全策略的用戶行為的識別。入侵檢測通過迅速地檢測入侵,在可能造成系統損壞或數據丟失之前,識別并驅除入侵者,使系統迅速恢復正常工作,并且阻止入侵者進一步的行動。同時,收集有關入侵的技術資料,用于改進和增強系統抵抗入侵的能力。
入侵檢測可分為基于主機型、基于網絡型、基于型三類。從20世紀90年代至今,英語論文已經開發出一些入侵檢測的產品,其中比較有代表性的產品有ISS(IntemetSecuritySystem)公司的Realsecure,NAI(NetworkAssociates,Inc)公司的Cybercop和Cisco公司的NetRanger。
2.2檢測技術
入侵檢測為網絡安全提供實時檢測及攻擊行為檢測,并采取相應的防護手段。例如,實時檢測通過記錄證據來進行跟蹤、恢復、斷開網絡連接等控制;攻擊行為檢測注重于發現信息系統中可能已經通過身份檢查的形跡可疑者,進一步加強信息系統的安全力度。入侵檢測的步驟如下:
收集系統、網絡、數據及用戶活動的狀態和行為的信息
入侵檢測一般采用分布式結構,在計算機網絡系統中的若干不同關鍵點(不同網段和不同主機)收集信息,一方面擴大檢測范圍,另一方面通過多個采集點的信息的比較來判斷是否存在可疑現象或發生入侵行為。
入侵檢測所利用的信息一般來自以下4個方面:系統和網絡日志文件、目錄和文件中的不期望的改變、程序執行中的不期望行為、物理形式的入侵信息。
(2)根據收集到的信息進行分析
常用的分析方法有模式匹配、統計分析、完整性分析。模式匹配是將收集到的信息與已知的網絡入侵和系統誤用模式數據庫進行比較,從而發現違背安全策略的行為。
統計分析方法首先給系統對象(如用戶、文件、目錄和設備等)創建一個統計描述,統計正常使用時的一些測量屬性。測量屬性的平均值將被用來與網絡、系統的行為進行比較。當觀察值超出正常值范圍時,就有可能發生入侵行為。該方法的難點是閾值的選擇,閾值太小可能產生錯誤的入侵報告,閾值太大可能漏報一些入侵事件。
完整性分析主要關注某個文件或對象是否被更改,包括文件和目錄的內容及屬性。該方法能有效地防范特洛伊木馬的攻擊。
3分類及存在的問題
入侵檢測通過對入侵和攻擊行為的檢測,查出系統的入侵者或合法用戶對系統資源的濫用和誤用。工作總結根據不同的檢測方法,將入侵檢測分為異常入侵檢測(AnomalyDetection)和誤用人侵檢測(MisuseDetection)。
3.1異常檢測
又稱為基于行為的檢測。其基本前提是:假定所有的入侵行為都是異常的。首先建立系統或用戶的“正常”行為特征輪廓,通過比較當前的系統或用戶的行為是否偏離正常的行為特征輪廓來判斷是否發生了入侵。此方法不依賴于是否表現出具體行為來進行檢測,是一種間接的方法。
常用的具體方法有:統計異常檢測方法、基于特征選擇異常檢測方法、基于貝葉斯推理異常檢測方法、基于貝葉斯網絡異常檢測方法、基于模式預測異常檢測方法、基于神經網絡異常檢測方法、基于機器學習異常檢測方法、基于數據采掘異常檢測方法等。
采用異常檢測的關鍵問題有如下兩個方面:
(1)特征量的選擇
在建立系統或用戶的行為特征輪廓的正常模型時,選取的特征量既要能準確地體現系統或用戶的行為特征,又能使模型最優化,即以最少的特征量就能涵蓋系統或用戶的行為特征。(2)參考閾值的選定
由于異常檢測是以正常的特征輪廓作為比較的參考基準,因此,參考閾值的選定是非常關鍵的。
閾值設定得過大,那漏警率會很高;閾值設定的過小,則虛警率就會提高。合適的參考閾值的選定是決定這一檢測方法準確率的至關重要的因素。
由此可見,異常檢測技術難點是“正常”行為特征輪廓的確定、特征量的選取、特征輪廓的更新。由于這幾個因素的制約,異常檢測的虛警率很高,但對于未知的入侵行為的檢測非常有效。此外,由于需要實時地建立和更新系統或用戶的特征輪廓,這樣所需的計算量很大,對系統的處理性能要求很高。
3.2誤用檢測
又稱為基于知識的檢測。其基本前提是:假定所有可能的入侵行為都能被識別和表示。首先,留學生論文對已知的攻擊方法進行攻擊簽名(攻擊簽名是指用一種特定的方式來表示已知的攻擊模式)表示,然后根據已經定義好的攻擊簽名,通過判斷這些攻擊簽名是否出現來判斷入侵行為的發生與否。這種方法是依據是否出現攻擊簽名來判斷入侵行為,是一種直接的方法。
常用的具體方法有:基于條件概率誤用入侵檢測方法、基于專家系統誤用入侵檢測方法、基于狀態遷移分析誤用入侵檢測方法、基于鍵盤監控誤用入侵檢測方法、基于模型誤用入侵檢測方法。誤用檢測的關鍵問題是攻擊簽名的正確表示。
誤用檢測是根據攻擊簽名來判斷入侵的,根據對已知的攻擊方法的了解,用特定的模式語言來表示這種攻擊,使得攻擊簽名能夠準確地表示入侵行為及其所有可能的變種,同時又不會把非入侵行為包含進來。由于多數入侵行為是利用系統的漏洞和應用程序的缺陷,因此,通過分析攻擊過程的特征、條件、排列以及事件間的關系,就可具體描述入侵行為的跡象。這些跡象不僅對分析已經發生的入侵行為有幫助,而且對即將發生的入侵也有預警作用。
誤用檢測將收集到的信息與已知的攻擊簽名模式庫進行比較,從中發現違背安全策略的行為。由于只需要收集相關的數據,這樣系統的負擔明顯減少。該方法類似于病毒檢測系統,其檢測的準確率和效率都比較高。但是它也存在一些缺點。
3.2.1不能檢測未知的入侵行為
由于其檢測機理是對已知的入侵方法進行模式提取,對于未知的入侵方法就不能進行有效的檢測。也就是說漏警率比較高。
3.2.2與系統的相關性很強
對于不同實現機制的操作系統,由于攻擊的方法不盡相同,很難定義出統一的模式庫。另外,誤用檢測技術也難以檢測出內部人員的入侵行為。
目前,由于誤用檢測技術比較成熟,多數的商業產品都主要是基于誤用檢測模型的。不過,為了增強檢測功能,不少產品也加入了異常檢測的方法。
4入侵檢測的發展方向
隨著信息系統對一個國家的社會生產與國民經濟的影響越來越大,再加上網絡攻擊者的攻擊工具與手法日趨復雜化,信息戰已逐步被各個國家重視。近年來,入侵檢測有如下幾個主要發展方向:
4.1分布式入侵檢測與通用入侵檢測架構
傳統的IDS一般局限于單一的主機或網絡架構,對異構系統及大規模的網絡的監測明顯不足,再加上不同的IDS系統之間不能很好地協同工作。為解決這一問題,需要采用分布式入侵檢測技術與通用入侵檢測架構。
4.2應用層入侵檢測
許多入侵的語義只有在應用層才能理解,然而目前的IDS僅能檢測到諸如Web之類的通用協議,而不能處理LotusNotes、數據庫系統等其他的應用系統。許多基于客戶/服務器結構、中間件技術及對象技術的大型應用,也需要應用層的入侵檢測保護。
4.3智能的入侵檢測
入侵方法越來越多樣化與綜合化,盡管已經有智能體、神經網絡與遺傳算法在入侵檢測領域應用研究,但是,這只是一些嘗試性的研究工作,需要對智能化的IDS加以進一步的研究,以解決其自學習與自適應能力。
4.4入侵檢測的評測方法
用戶需對眾多的IDS系統進行評價,評價指標包括IDS檢測范圍、系統資源占用、IDS自身的可靠性,從而設計出通用的入侵檢測測試與評估方法與平臺,實現對多種IDS的檢測。
4.5全面的安全防御方案
結合安全工程風險管理的思想與方法來處理網絡安全問題,將網絡安全作為一個整體工程來處理。從管理、網絡結構、加密通道、防火墻、病毒防護、入侵檢測多方位全面對所關注的網絡作全面的評估,然后提出可行的全面解決方案。
綜上所述,入侵檢測作為一種積極主動的安全防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護,使網絡系統在受到危害之前即攔截和響應入侵行為,為網絡安全增加一道屏障。隨著入侵檢測的研究與開發,并在實際應用中與其它網絡管理軟件相結合,使網絡安全可以從立體縱深、多層次防御的角度出發,形成人侵檢測、網絡管理、網絡監控三位一體化,從而更加有效地保護網絡的安全。
參考文獻
l吳新民.兩種典型的入侵檢測方法研究.計算機工程與應用,2002;38(10):181—183
2羅妍,李仲麟,陳憲.入侵檢測系統模型的比較.計算機應用,2001;21(6):29~31
3李渙洲.網絡安全與入侵檢測技術.四川師范大學學報.2001;24(3):426—428
4張慧敏,何軍,黃厚寬.入侵檢測系統.計算機應用研究,2001;18(9):38—4l
篇10
隨著計算機網絡技術的飛速發展其廣泛應用于我國各項社會服務、經濟金融、政治軍事、教育國防事業中,令企事業單位生產運營效率全面提升,可以說計算機網絡系統真正給人們的生活創設了便利,構建了共享化、高效化、現代化的社會發展環境。同時網絡系統由于自身建設、程序設計、操作失誤等因素不可避免的包含許多病毒或漏洞,給黑客入侵者以可乘之機,并給重要數據信息的安全引入了諸多不可預測的復雜風險,動輒令企事業單位機密文件丟失、個人信息被不良竊取,造成了嚴重的經濟損失。
1 計算機網絡常見入侵方式
針對計算機網絡的入侵主要指應用相應計算機程序調試技巧、編寫技巧實現對未授權文件或網絡的非法訪問,并入侵至網絡中的不良行為。當前常見的計算機網絡入侵包括病毒攻擊、身份攻擊、拒絕服務、防火墻攻擊、網絡欺騙、木馬攻擊、后門入侵、惡意程序攻擊、入侵撥號程序、邏輯炸彈攻擊、破解密碼、垃圾搜尋、社交工程攻擊等。所謂病毒攻擊即利用其自我復制特性進行系統資源的破壞、侵襲,對其數據完整性進行不良破壞或竊取、令系統拒絕服務,該攻擊入侵方式具有隱蔽性、傳播性、繁殖性、潛伏性與寄生性等特征。身份攻擊則利用網絡服務對用戶身份的確認進而通過竊取、欺騙手段對合法用戶身份進行冒充以實現網絡攻擊目標,該類攻擊包含漏洞攻擊、收集信息攻擊與口令攻擊等。其中獲取與收集信息主要采用試探方式,例如掃描賬戶、ping、掃描漏洞、端口與嗅探網絡方式進而對系統漏洞、服務、權限進行探測,采用工具與公開協議對網絡中各主機存儲的有用信息進行獲取與收集,并捕捉到其存在的漏洞,進而為后續攻擊做準備。針對防火墻進行攻擊具有一定難度,然而一旦攻擊得手將造成網絡系統的崩潰、癱瘓,令用戶蒙受較大損失。拒絕服務攻擊主體將一定數量與序列的報文傳送至網絡中令大量的恢復要求信息運行充斥于服務器中,導致網絡帶寬與系統資源被不良消耗,進而令其無法正常的服務運行、甚至不勝負荷而引發系統死機、癱瘓現象。網絡欺騙主要通過對電子郵件、網頁的偽造誘導用戶錄入關鍵隱私信息,例如密碼、銀行賬戶、登錄賬戶、信用卡信息等進而實現竊取入侵目標。對撥號程序的攻擊通過自動撥號進行調制解調器連接通道的搜尋,以實現入侵目標。邏輯炸彈則是計算機軟件中嵌入的一類指令,可通過觸發進而實現惡意的系統操作。
2 入侵檢測技術內涵
入侵檢測技術通過對安全日志、人們行為與數據的審計、可獲取信息展開操作進而檢測到企圖闖入系統的信息,包含檢測、威懾、評估損失狀況、預測攻擊與支持等。該技術可以說是防火墻系統技術的良好補充,可有效輔助系統強化其應對異常狀況、非授權、入侵行為能力,通過實時檢測提供對外部、內部攻擊與誤操作的動態實時保護,是一種安全有效的防護策略技術,入侵檢測硬件與軟件的完善結合便構成了入侵檢測系統。合理應用該技術可令不良入侵攻擊行為在危害系統之前便被準確的檢測到,進而利用防護與報警系統將入侵攻擊驅逐,降低其造成的不良損失。當系統被攻擊入侵后我們則應通過對入侵信息的全面收集構建防范知識系統,進而提升網絡系統綜合防范能效。
3 計算機網絡安全中科學應用入侵檢測技術
入侵檢測技術主要通過對維護網絡安全、分析、監視系統與用戶活動、審計系統弱點與構造、對已知進攻模式活動進行反應識別并報備、分析統計異常行為、對數據文件與重要系統完整性進行評估、跟蹤審計操作系統實施管理、識別違反安全的活動等行為進而確保計算機網絡系統的可靠安全。一般來講網絡檢測入侵系統包含多層次體系結構,即、控制與管理層等,控制層承擔由獲取收集信息職能,并對所受攻擊事項進行顯示,進而實現對的管理與配置。承擔對網絡數據包的監視職能,并將檢測的數據信息、攻擊行為發送至管理層。管理器承擔對各類報警與日志的管理,以及對檢測到的攻擊信息與安全信息進行顯示,響應攻擊警告與配置信息,對控制臺的各類命令進行有效執行,并令由的警告攻擊信息傳輸至控制臺,最終完成了整體入侵檢測過程。依據該過程我們制定科學的入侵檢測技術應用策略。
3.1收集信息策略
應用入侵檢測技術的首要關鍵因素在于數據,我們可將檢測數據源分為網絡、系統日志、文件與目錄中不期望更改事項、執行程序中不期望各項行為、入侵的物理形式信息等。在應用進程中對信息的收集應位于每一網段之中科學部署至少一個IDS,依據相應的網絡結構特征,采集數據部分由多樣連接形式構成,倘若位于網段中應用交換集線器連接,其核心交換機芯片一般會設有調試端口,我們可連接IDS系統于該端口之中。同時設置入侵檢測系統于防火墻或交換機內部的數據流出口或入口,進而獲取所有核心關鍵數據。對于網絡系統中不同類別的信息關鍵點收集我們不僅應依據檢測對象擴充檢測范疇、對網絡包截取進行設置,同時還需要應對薄弱環節,即來源于統一對象的各項信息可能無法發掘疑點,因而需要我們在收集入侵信息時,應對幾個來源對象信息包含的不一致性展開重點分析,令其作為對可疑、入侵行為科學判斷的有效標識。對于整體計算機網絡系統來講,入侵行為相對有限,因此對各類少數的數據異常,我們可令其孤立,進而構建而成數據群展開集中性處理,強化分析入侵行為的針對性。
3.2分析檢測入侵信息
完成收集的信息我們可利用異常分析發現與匹配模式進行綜合數據分析,進而發掘與安全策略違背的行為,將其合理發送至管理器。實踐應用中我們應對各類系統漏洞、網絡協議進行清醒深刻認識,遵循制定的安全策略與規則,利用異常檢測與濫用檢測模型進行分析過程模擬,合理確認識別異常與特征攻擊行為,最終令分析結構構建成為報警信息并發送至管理控制中心。對于TCP/IP協議網絡,我們還可采用探測引擎技術,應用旁路偵聽對網絡流經的所有數據包進行動態監視,并依據用戶定義相關策略展開檢測,有效識別各類網絡事件并告知控制中心,令其進行定位與報警顯示。
3.3響應入侵信息
針對入侵信息我們應作出準確反應,基于數據分析基礎檢測本地網段,令數據包中隱藏的惡意入侵準確發掘出來,并及時作出響應。該環節涵蓋告警網絡引擎、通知控制臺、發送郵件于安全管理人員、對實時會話進行查看并通報制控制臺,對現場事件如實記錄日志,并采取相應安全行為進行網絡配置的合理調整、終止不良入侵,對特定用戶相應程序進行合理執行。另外我們可促進防火墻與入侵檢測技術的優勢結合應用,創設兩者的協同模型及安全網絡防護體系。令兩者共同開放接口并依據固定協議展開通信,實現對端口進行約定。防火墻應用過濾機制對流經數據包展開解析并令其同事先完成定義的規則展開對比,進而令非授信數據包準確過濾。對于繞過防火墻的數據包我們可利用入侵檢測技術依據一致特征規則集進行網絡攻擊檢測并做出及時響應,確保對各類入侵攻擊的有效防御。
4結論
總之,基于網絡入侵不良影響我們只有主力研究如何有效防范網絡入侵,科學檢查、預測攻擊行為,基于入侵檢測思想進行實時動態監控,才能防患于未然令攻擊影響消失在萌芽狀態,進一步阻礙不良攻擊事件的發生及擴大,進而真正創設優質、高效可靠的網絡運行環境。
參考文獻
