序論:速發(fā)表網(wǎng)結(jié)合其深厚的文秘經(jīng)驗�,特別為您篩選了11篇入侵檢測論文范文。如果您需要更多原創(chuàng)資料�����,歡迎隨時與我們的客服老師聯(lián)系����,希望您能從中汲取靈感和知識!
篇1
0引言
近年來�,隨著信息和網(wǎng)絡(luò)技術(shù)的高速發(fā)展以及政治、經(jīng)濟或者軍事利益的驅(qū)動��,計算機和網(wǎng)絡(luò)基礎(chǔ)設(shè)施���,特別是各種官方機構(gòu)的網(wǎng)站�����,成為黑客攻擊的熱門目標(biāo)�。近年來對電子商務(wù)的熱切需求,更加激化了這種入侵事件的增長趨勢�。由于防火墻只防外不防內(nèi),并且很容易被繞過�,所以僅僅依賴防火墻的計算機系統(tǒng)已經(jīng)不能對付日益猖獗的入侵行為,對付入侵行為的第二道防線——入侵檢測系統(tǒng)就被啟用了�����。
1入侵檢測系統(tǒng)(IDS)概念
1980年�,JamesP.Anderson第一次系統(tǒng)闡述了入侵檢測的概念,并將入侵行為分為外部滲透���、內(nèi)部滲透和不法行為三種����,還提出了利用審計數(shù)據(jù)監(jiān)視入侵活動的思想[1]����。即其之后,1986年DorothyE.Denning提出實時異常檢測的概念[2]并建立了第一個實時入侵檢測模型,命名為入侵檢測專家系統(tǒng)(IDES)����,1990年�,L.T.Heberlein等設(shè)計出監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)流的入侵檢測系統(tǒng)�����,NSM(NetworkSecurityMonitor)����。自此之后�����,入侵檢測系統(tǒng)才真正發(fā)展起來���。
Anderson將入侵嘗試或威脅定義為:潛在的����、有預(yù)謀的��、未經(jīng)授權(quán)的訪問信息�、操作信息、致使系統(tǒng)不可靠或無法使用的企圖�。而入侵檢測的定義為[4]:發(fā)現(xiàn)非授權(quán)使用計算機的個體(如“黑客”)或計算機系統(tǒng)的合法用戶濫用其訪問系統(tǒng)的權(quán)利以及企圖實施上述行為的個體����。執(zhí)行入侵檢測任務(wù)的程序即是入侵檢測系統(tǒng)�。入侵檢測系統(tǒng)也可以定義為:檢測企圖破壞計算機資源的完整性,真實性和可用性的行為的軟件��。
入侵檢測系統(tǒng)執(zhí)行的主要任務(wù)包括[3]:監(jiān)視�、分析用戶及系統(tǒng)活動;審計系統(tǒng)構(gòu)造和弱點�;識別、反映已知進攻的活動模式���,向相關(guān)人士報警��;統(tǒng)計分析異常行為模式�����;評估重要系統(tǒng)和數(shù)據(jù)文件的完整性��;審計����、跟蹤管理操作系統(tǒng)���,識別用戶違反安全策略的行為���。入侵檢測一般分為三個步驟:信息收集�����、數(shù)據(jù)分析、響應(yīng)���。
入侵檢測的目的:(1)識別入侵者�;(2)識別入侵行為���;(3)檢測和監(jiān)視以實施的入侵行為����;(4)為對抗入侵提供信息�,阻止入侵的發(fā)生和事態(tài)的擴大;
2入侵檢測系統(tǒng)模型
美國斯坦福國際研究所(SRI)的D.E.Denning于1986年首次提出一種入侵檢測模型[2]�����,該模型的檢測方法就是建立用戶正常行為的描述模型�����,并以此同當(dāng)前用戶活動的審計記錄進行比較,如果有較大偏差��,則表示有異?��;顒影l(fā)生��。這是一種基于統(tǒng)計的檢測方法�����。隨著技術(shù)的發(fā)展�,后來人們又提出了基于規(guī)則的檢測方法��。結(jié)合這兩種方法的優(yōu)點�,人們設(shè)計出很多入侵檢測的模型。通用入侵檢測構(gòu)架(CommonIntrusionDetectionFramework簡稱CIDF)組織����,試圖將現(xiàn)有的入侵檢測系統(tǒng)標(biāo)準(zhǔn)化,CIDF闡述了一個入侵檢測系統(tǒng)的通用模型(一般稱為CIDF模型)���。它將一個入侵檢測系統(tǒng)分為以下四個組件:
事件產(chǎn)生器(EventGenerators)
事件分析器(Eventanalyzers)
響應(yīng)單元(Responseunits)
事件數(shù)據(jù)庫(Eventdatabases)
它將需要分析的數(shù)據(jù)通稱為事件����,事件可以是基于網(wǎng)絡(luò)的數(shù)據(jù)包也可以是基于主機的系統(tǒng)日志中的信息。事件產(chǎn)生器的目的是從整個計算機環(huán)境中獲得事件���,并向系統(tǒng)其它部分提供此事件��。事件分析器分析得到的事件并產(chǎn)生分析結(jié)果����。響應(yīng)單元則是對分析結(jié)果做出反應(yīng)的功能單元����,它可以做出切斷連接���、修改文件屬性等強烈反應(yīng)���。事件數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)的地方的通稱,它可以是復(fù)雜的數(shù)據(jù)庫也可以是簡單的文本文件�����。
3入侵檢測系統(tǒng)的分類:
現(xiàn)有的IDS的分類�����,大都基于信息源和分析方法。為了體現(xiàn)對IDS從布局�����、采集�、分析、響應(yīng)等各個層次及系統(tǒng)性研究方面的問題���,在這里采用五類標(biāo)準(zhǔn):控制策略��、同步技術(shù)�����、信息源����、分析方法����、響應(yīng)方式。
按照控制策略分類
控制策略描述了IDS的各元素是如何控制的,以及IDS的輸入和輸出是如何管理的�����。按照控制策略IDS可以劃分為�����,集中式IDS���、部分分布式IDS和全部分布式IDS����。在集中式IDS中�,一個中央節(jié)點控制系統(tǒng)中所有的監(jiān)視、檢測和報告���。在部分分布式IDS中,監(jiān)控和探測是由本地的一個控制點控制�����,層次似的將報告發(fā)向一個或多個中心站�����。在全分布式IDS中,監(jiān)控和探測是使用一種叫“”的方法��,進行分析并做出響應(yīng)決策�。
按照同步技術(shù)分類
同步技術(shù)是指被監(jiān)控的事件以及對這些事件的分析在同一時間進行。按照同步技術(shù)劃分��,IDS劃分為間隔批任務(wù)處理型IDS和實時連續(xù)性IDS���。在間隔批任務(wù)處理型IDS中���,信息源是以文件的形式傳給分析器,一次只處理特定時間段內(nèi)產(chǎn)生的信息�����,并在入侵發(fā)生時將結(jié)果反饋給用戶���。很多早期的基于主機的IDS都采用這種方案�����。在實時連續(xù)型IDS中���,事件一發(fā)生���,信息源就傳給分析引擎,并且立刻得到處理和反映�����。實時IDS是基于網(wǎng)絡(luò)IDS首選的方案�。
按照信息源分類
按照信息源分類是目前最通用的劃分方法,它分為基于主機的IDS���、基于網(wǎng)絡(luò)的IDS和分布式IDS�?��;谥鳈C的IDS通過分析來自單個的計算機系統(tǒng)的系統(tǒng)審計蹤跡和系統(tǒng)日志來檢測攻擊���。基于主機的IDS是在關(guān)鍵的網(wǎng)段或交換部位通過捕獲并分析網(wǎng)絡(luò)數(shù)據(jù)包來檢測攻擊����。分布式IDS�����,能夠同時分析來自主機系統(tǒng)日志和網(wǎng)絡(luò)數(shù)據(jù)流,系統(tǒng)由多個部件組成�,采用分布式結(jié)構(gòu)。
按照分析方法分類
按照分析方法IDS劃分為濫用檢測型IDS和異常檢測型IDS�。濫用檢測型的IDS中,首先建立一個對過去各種入侵方法和系統(tǒng)缺陷知識的數(shù)據(jù)庫����,當(dāng)收集到的信息與庫中的原型相符合時則報警。任何不符合特定條件的活動將會被認(rèn)為合法�,因此這樣的系統(tǒng)虛警率很低。異常檢測型IDS是建立在如下假設(shè)的基礎(chǔ)之上的���,即任何一種入侵行為都能由于其偏離正?��;蛘咚谕南到y(tǒng)和用戶活動規(guī)律而被檢測出來。所以它需要一個記錄合法活動的數(shù)據(jù)庫�����,由于庫的有限性使得虛警率比較高�。
按照響應(yīng)方式分類
按照響應(yīng)方式IDS劃分為主動響應(yīng)IDS和被動響應(yīng)IDS。當(dāng)特定的入侵被檢測到時�,主動IDS會采用以下三種響應(yīng):收集輔助信息���;改變環(huán)境以堵住導(dǎo)致入侵發(fā)生的漏洞;對攻擊者采取行動(這是一種不被推薦的做法�,因為行為有點過激)。被動響應(yīng)IDS則是將信息提供給系統(tǒng)用戶����,依靠管理員在這一信息的基礎(chǔ)上采取進一步的行動。
4IDS的評價標(biāo)準(zhǔn)
目前的入侵檢測技術(shù)發(fā)展迅速���,應(yīng)用的技術(shù)也很廣泛�,如何來評價IDS的優(yōu)缺點就顯得非常重要���。評價IDS的優(yōu)劣主要有這樣幾個方面[5]:(1)準(zhǔn)確性��。準(zhǔn)確性是指IDS不會標(biāo)記環(huán)境中的一個合法行為為異?�;蛉肭?����。(2)性能��。IDS的性能是指處理審計事件的速度�����。對一個實時IDS來說����,必須要求性能良好�。(3)完整性。完整性是指IDS能檢測出所有的攻擊�。(4)故障容錯(faulttolerance)。當(dāng)被保護系統(tǒng)遭到攻擊和毀壞時���,能迅速恢復(fù)系統(tǒng)原有的數(shù)據(jù)和功能���。(5)自身抵抗攻擊能力。這一點很重要�,尤其是“拒絕服務(wù)”攻擊。因為多數(shù)對目標(biāo)系統(tǒng)的攻擊都是采用首先用“拒絕服務(wù)”攻擊摧毀IDS����,再實施對系統(tǒng)的攻擊。(6)及時性(Timeliness)�。一個IDS必須盡快地執(zhí)行和傳送它的分析結(jié)果,以便在系統(tǒng)造成嚴(yán)重危害之前能及時做出反應(yīng)����,阻止攻擊者破壞審計數(shù)據(jù)或IDS本身���。
除了上述幾個主要方面,還應(yīng)該考慮以下幾個方面:(1)IDS運行時�,額外的計算機資源的開銷;(2)誤警報率/漏警報率的程度�;(3)適應(yīng)性和擴展性;(4)靈活性���;(5)管理的開銷��;(6)是否便于使用和配置��。
5IDS的發(fā)展趨
隨著入侵檢測技術(shù)的發(fā)展���,成型的產(chǎn)品已陸續(xù)應(yīng)用到實踐中。入侵檢測系統(tǒng)的典型代表是ISS(國際互聯(lián)網(wǎng)安全系統(tǒng)公司)公司的RealSecure�。目前較為著名的商用入侵檢測產(chǎn)品還有:NAI公司的CyberCopMonitor、Axent公司的NetProwler����、CISCO公司的Netranger、CA公司的Sessionwall-3等���。國內(nèi)的該類產(chǎn)品較少����,但發(fā)展很快�����,已有總參北方所���、中科網(wǎng)威����、啟明星辰等公司推出產(chǎn)品��。
人們在完善原有技術(shù)的基礎(chǔ)上���,又在研究新的檢測方法����,如數(shù)據(jù)融合技術(shù)��,主動的自主方法�����,智能技術(shù)以及免疫學(xué)原理的應(yīng)用等。其主要的發(fā)展方向可概括為:
(1)大規(guī)模分布式入侵檢測�。傳統(tǒng)的入侵檢測技術(shù)一般只局限于單一的主機或網(wǎng)絡(luò)框架,顯然不能適應(yīng)大規(guī)模網(wǎng)絡(luò)的監(jiān)測�����,不同的入侵檢測系統(tǒng)之間也不能協(xié)同工作����。因此,必須發(fā)展大規(guī)模的分布式入侵檢測技術(shù)�����。
(2)寬帶高速網(wǎng)絡(luò)的實時入侵檢測技術(shù)����。大量高速網(wǎng)絡(luò)的不斷涌現(xiàn),各種寬帶接入手段層出不窮���,如何實現(xiàn)高速網(wǎng)絡(luò)下的實時入侵檢測成為一個現(xiàn)實的問題���。
(3)入侵檢測的數(shù)據(jù)融合技術(shù)�����。目前的IDS還存在著很多缺陷�����。首先,目前的技術(shù)還不能對付訓(xùn)練有素的黑客的復(fù)雜的攻擊�。其次,系統(tǒng)的虛警率太高�����。最后��,系統(tǒng)對大量的數(shù)據(jù)處理����,非但無助于解決問題,還降低了處理能力�。數(shù)據(jù)融合技術(shù)是解決這一系列問題的好方法。
(4)與網(wǎng)絡(luò)安全技術(shù)相結(jié)合���。結(jié)合防火墻��,病毒防護以及電子商務(wù)技術(shù)�,提供完整的網(wǎng)絡(luò)安全保障。
6結(jié)束語
在目前的計算機安全狀態(tài)下���,基于防火墻�����、加密技術(shù)的安全防護固然重要���,但是,要根本改善系統(tǒng)的安全現(xiàn)狀�����,必須要發(fā)展入侵檢測技術(shù)�,它已經(jīng)成為計算機安全策略中的核心技術(shù)之一。IDS作為一種主動的安全防護技術(shù)����,提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護����。隨著網(wǎng)絡(luò)通信技術(shù)安全性的要求越來越高�����,入侵檢測技術(shù)必將受到人們的高度重視�����。
參考文獻:
[1]putersecuritythreatmonitoringandsurveillance[P].PA19034,USA,1980.4
[2]DenningDE.AnIntrusion-DetectionModel[A].IEEESymponSecurity&Privacy[C],1986.118-131
篇2
在網(wǎng)絡(luò)技術(shù)日新月異的今天����,論文基于網(wǎng)絡(luò)的計算機應(yīng)用已經(jīng)成為發(fā)展的主流��。政府�、教育�����、商業(yè)��、金融等機構(gòu)紛紛聯(lián)入Internet��,全社會信息共享已逐步成為現(xiàn)實����。然而����,近年來���,網(wǎng)上黑客的攻擊活動正以每年10倍的速度增長����。因此�����,保證計算機系統(tǒng)����、網(wǎng)絡(luò)系統(tǒng)以及整個信息基礎(chǔ)設(shè)施的安全已經(jīng)成為刻不容緩的重要課題。
1防火墻
目前防范網(wǎng)絡(luò)攻擊最常用的方法是構(gòu)建防火墻�����。
防火墻作為一種邊界安全的手段��,在網(wǎng)絡(luò)安全保護中起著重要作用���。其主要功能是控制對網(wǎng)絡(luò)的非法訪問����,通過監(jiān)視、限制�����、更改通過網(wǎng)絡(luò)的數(shù)據(jù)流�,一方面盡可能屏蔽內(nèi)部網(wǎng)的拓?fù)浣Y(jié)構(gòu),另一方面對內(nèi)屏蔽外部危險站點�����,以防范外對內(nèi)的非法訪問�����。然而�,防火墻存在明顯的局限性��。
(1)入侵者可以找到防火墻背后可能敞開的后門�。如同深宅大院的高大院墻不能擋住老鼠的偷襲一樣,防火墻有時無法阻止入侵者的攻擊�。
(2)防火墻不能阻止來自內(nèi)部的襲擊��。調(diào)查發(fā)現(xiàn)�,50%的攻擊都將來自于網(wǎng)絡(luò)內(nèi)部��。
(3)由于性能的限制����,防火墻通常不能提供實時的入侵檢測能力。畢業(yè)論文而這一點��,對于層出不窮的網(wǎng)絡(luò)攻擊技術(shù)來說是至關(guān)重要的�����。
因此�����,在Internet入口處部署防火墻系統(tǒng)是不能確保安全的��。單純的防火墻策略已經(jīng)無法滿足對安全高度敏感部門的需要����,網(wǎng)絡(luò)的防衛(wèi)必須采用一種縱深的、多樣化的手段����。
由于傳統(tǒng)防火墻存在缺陷��,引發(fā)了入侵檢測IDS(IntrusionDetectionSystem)的研究和開發(fā)��。入侵檢測是防火墻之后的第二道安全閘門����,是對防火墻的合理補充��,在不影響網(wǎng)絡(luò)性能的情況下�����,通過對網(wǎng)絡(luò)的監(jiān)測����,幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊,擴展系統(tǒng)管理員的安全管理能力(包括安全審計�����、監(jiān)視��、進攻識別和響應(yīng))���,提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性�,提供對內(nèi)部攻擊���、外部攻擊和誤操作的實時保護?���,F(xiàn)在��,入侵檢測已經(jīng)成為網(wǎng)絡(luò)安全中一個重要的研究方向�,在各種不同的網(wǎng)絡(luò)環(huán)境中發(fā)揮重要作用。
2入侵檢測
2.1入侵檢測
入侵檢測是通過從計算機網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析����,從中發(fā)現(xiàn)違反安全策略的行為和遭到攻擊的跡象,并做出自動的響應(yīng)�。其主要功能是對用戶和系統(tǒng)行為的監(jiān)測與分析、系統(tǒng)配置和漏洞的審計檢查��、重要系統(tǒng)和數(shù)據(jù)文件的完整性評估���、已知的攻擊行為模式的識別��、異常行為模式的統(tǒng)計分析���、操作系統(tǒng)的審計跟蹤管理及違反安全策略的用戶行為的識別�。入侵檢測通過迅速地檢測入侵���,在可能造成系統(tǒng)損壞或數(shù)據(jù)丟失之前����,識別并驅(qū)除入侵者���,使系統(tǒng)迅速恢復(fù)正常工作�����,并且阻止入侵者進一步的行動����。同時����,收集有關(guān)入侵的技術(shù)資料,用于改進和增強系統(tǒng)抵抗入侵的能力�����。
入侵檢測可分為基于主機型�、基于網(wǎng)絡(luò)型、基于型三類��。從20世紀(jì)90年代至今��,英語論文已經(jīng)開發(fā)出一些入侵檢測的產(chǎn)品���,其中比較有代表性的產(chǎn)品有ISS(IntemetSecuritySystem)公司的Realsecure��,NAI(NetworkAssociates����,Inc)公司的Cybercop和Cisco公司的NetRanger�����。
2.2檢測技術(shù)
入侵檢測為網(wǎng)絡(luò)安全提供實時檢測及攻擊行為檢測����,并采取相應(yīng)的防護手段。例如���,實時檢測通過記錄證據(jù)來進行跟蹤�����、恢復(fù)���、斷開網(wǎng)絡(luò)連接等控制�����;攻擊行為檢測注重于發(fā)現(xiàn)信息系統(tǒng)中可能已經(jīng)通過身份檢查的形跡可疑者��,進一步加強信息系統(tǒng)的安全力度�����。入侵檢測的步驟如下:
收集系統(tǒng)�、網(wǎng)絡(luò)�����、數(shù)據(jù)及用戶活動的狀態(tài)和行為的信息
入侵檢測一般采用分布式結(jié)構(gòu)���,在計算機網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(不同網(wǎng)段和不同主機)收集信息����,一方面擴大檢測范圍,另一方面通過多個采集點的信息的比較來判斷是否存在可疑現(xiàn)象或發(fā)生入侵行為�。
入侵檢測所利用的信息一般來自以下4個方面:系統(tǒng)和網(wǎng)絡(luò)日志文件、目錄和文件中的不期望的改變��、程序執(zhí)行中的不期望行為���、物理形式的入侵信息。
(2)根據(jù)收集到的信息進行分析
常用的分析方法有模式匹配�、統(tǒng)計分析、完整性分析�。模式匹配是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進行比較,從而發(fā)現(xiàn)違背安全策略的行為���。
統(tǒng)計分析方法首先給系統(tǒng)對象(如用戶���、文件、目錄和設(shè)備等)創(chuàng)建一個統(tǒng)計描述���,統(tǒng)計正常使用時的一些測量屬性�����。測量屬性的平均值將被用來與網(wǎng)絡(luò)�����、系統(tǒng)的行為進行比較�����。當(dāng)觀察值超出正常值范圍時�����,就有可能發(fā)生入侵行為��。該方法的難點是閾值的選擇�����,閾值太小可能產(chǎn)生錯誤的入侵報告����,閾值太大可能漏報一些入侵事件。
完整性分析主要關(guān)注某個文件或?qū)ο笫欠癖桓?�,包括文件和目錄的?nèi)容及屬性����。該方法能有效地防范特洛伊木馬的攻擊����。
3分類及存在的問題
入侵檢測通過對入侵和攻擊行為的檢測�����,查出系統(tǒng)的入侵者或合法用戶對系統(tǒng)資源的濫用和誤用����。工作總結(jié)根據(jù)不同的檢測方法���,將入侵檢測分為異常入侵檢測(AnomalyDetection)和誤用人侵檢測(MisuseDetection)����。
3.1異常檢測
又稱為基于行為的檢測�。其基本前提是:假定所有的入侵行為都是異常的。首先建立系統(tǒng)或用戶的“正?�!毙袨樘卣鬏喞?��,通過比較當(dāng)前的系統(tǒng)或用戶的行為是否偏離正常的行為特征輪廓來判斷是否發(fā)生了入侵��。此方法不依賴于是否表現(xiàn)出具體行為來進行檢測�,是一種間接的方法。
常用的具體方法有:統(tǒng)計異常檢測方法���、基于特征選擇異常檢測方法���、基于貝葉斯推理異常檢測方法、基于貝葉斯網(wǎng)絡(luò)異常檢測方法����、基于模式預(yù)測異常檢測方法、基于神經(jīng)網(wǎng)絡(luò)異常檢測方法����、基于機器學(xué)習(xí)異常檢測方法、基于數(shù)據(jù)采掘異常檢測方法等��。
采用異常檢測的關(guān)鍵問題有如下兩個方面:
(1)特征量的選擇
在建立系統(tǒng)或用戶的行為特征輪廓的正常模型時����,選取的特征量既要能準(zhǔn)確地體現(xiàn)系統(tǒng)或用戶的行為特征,又能使模型最優(yōu)化�����,即以最少的特征量就能涵蓋系統(tǒng)或用戶的行為特征。(2)參考閾值的選定
由于異常檢測是以正常的特征輪廓作為比較的參考基準(zhǔn)��,因此��,參考閾值的選定是非常關(guān)鍵的�。
閾值設(shè)定得過大,那漏警率會很高�����;閾值設(shè)定的過小��,則虛警率就會提高���。合適的參考閾值的選定是決定這一檢測方法準(zhǔn)確率的至關(guān)重要的因素。
由此可見�,異常檢測技術(shù)難點是“正常”行為特征輪廓的確定�、特征量的選取、特征輪廓的更新���。由于這幾個因素的制約����,異常檢測的虛警率很高,但對于未知的入侵行為的檢測非常有效�。此外,由于需要實時地建立和更新系統(tǒng)或用戶的特征輪廓�,這樣所需的計算量很大,對系統(tǒng)的處理性能要求很高��。
3.2誤用檢測
又稱為基于知識的檢測�����。其基本前提是:假定所有可能的入侵行為都能被識別和表示�����。首先�,留學(xué)生論文對已知的攻擊方法進行攻擊簽名(攻擊簽名是指用一種特定的方式來表示已知的攻擊模式)表示,然后根據(jù)已經(jīng)定義好的攻擊簽名�����,通過判斷這些攻擊簽名是否出現(xiàn)來判斷入侵行為的發(fā)生與否�����。這種方法是依據(jù)是否出現(xiàn)攻擊簽名來判斷入侵行為,是一種直接的方法�����。
常用的具體方法有:基于條件概率誤用入侵檢測方法���、基于專家系統(tǒng)誤用入侵檢測方法��、基于狀態(tài)遷移分析誤用入侵檢測方法�、基于鍵盤監(jiān)控誤用入侵檢測方法�����、基于模型誤用入侵檢測方法�。誤用檢測的關(guān)鍵問題是攻擊簽名的正確表示。
誤用檢測是根據(jù)攻擊簽名來判斷入侵的��,根據(jù)對已知的攻擊方法的了解�,用特定的模式語言來表示這種攻擊���,使得攻擊簽名能夠準(zhǔn)確地表示入侵行為及其所有可能的變種����,同時又不會把非入侵行為包含進來����。由于多數(shù)入侵行為是利用系統(tǒng)的漏洞和應(yīng)用程序的缺陷�����,因此����,通過分析攻擊過程的特征��、條件��、排列以及事件間的關(guān)系�����,就可具體描述入侵行為的跡象��。這些跡象不僅對分析已經(jīng)發(fā)生的入侵行為有幫助�,而且對即將發(fā)生的入侵也有預(yù)警作用。
誤用檢測將收集到的信息與已知的攻擊簽名模式庫進行比較�,從中發(fā)現(xiàn)違背安全策略的行為。由于只需要收集相關(guān)的數(shù)據(jù)��,這樣系統(tǒng)的負(fù)擔(dān)明顯減少。該方法類似于病毒檢測系統(tǒng)����,其檢測的準(zhǔn)確率和效率都比較高。但是它也存在一些缺點���。
3.2.1不能檢測未知的入侵行為
由于其檢測機理是對已知的入侵方法進行模式提取���,對于未知的入侵方法就不能進行有效的檢測。也就是說漏警率比較高�。
3.2.2與系統(tǒng)的相關(guān)性很強
對于不同實現(xiàn)機制的操作系統(tǒng),由于攻擊的方法不盡相同����,很難定義出統(tǒng)一的模式庫。另外��,誤用檢測技術(shù)也難以檢測出內(nèi)部人員的入侵行為�����。
目前�����,由于誤用檢測技術(shù)比較成熟����,多數(shù)的商業(yè)產(chǎn)品都主要是基于誤用檢測模型的。不過�����,為了增強檢測功能���,不少產(chǎn)品也加入了異常檢測的方法�。
4入侵檢測的發(fā)展方向
隨著信息系統(tǒng)對一個國家的社會生產(chǎn)與國民經(jīng)濟的影響越來越大�����,再加上網(wǎng)絡(luò)攻擊者的攻擊工具與手法日趨復(fù)雜化���,信息戰(zhàn)已逐步被各個國家重視�。近年來����,入侵檢測有如下幾個主要發(fā)展方向:
4.1分布式入侵檢測與通用入侵檢測架構(gòu)
傳統(tǒng)的IDS一般局限于單一的主機或網(wǎng)絡(luò)架構(gòu),對異構(gòu)系統(tǒng)及大規(guī)模的網(wǎng)絡(luò)的監(jiān)測明顯不足�����,再加上不同的IDS系統(tǒng)之間不能很好地協(xié)同工作。為解決這一問題�,需要采用分布式入侵檢測技術(shù)與通用入侵檢測架構(gòu)。
4.2應(yīng)用層入侵檢測
許多入侵的語義只有在應(yīng)用層才能理解�,然而目前的IDS僅能檢測到諸如Web之類的通用協(xié)議,而不能處理LotusNotes�����、數(shù)據(jù)庫系統(tǒng)等其他的應(yīng)用系統(tǒng)���。許多基于客戶/服務(wù)器結(jié)構(gòu)�、中間件技術(shù)及對象技術(shù)的大型應(yīng)用��,也需要應(yīng)用層的入侵檢測保護�����。
4.3智能的入侵檢測
入侵方法越來越多樣化與綜合化�,盡管已經(jīng)有智能體、神經(jīng)網(wǎng)絡(luò)與遺傳算法在入侵檢測領(lǐng)域應(yīng)用研究�����,但是,這只是一些嘗試性的研究工作��,需要對智能化的IDS加以進一步的研究�,以解決其自學(xué)習(xí)與自適應(yīng)能力�。
4.4入侵檢測的評測方法
用戶需對眾多的IDS系統(tǒng)進行評價,評價指標(biāo)包括IDS檢測范圍���、系統(tǒng)資源占用�、IDS自身的可靠性�����,從而設(shè)計出通用的入侵檢測測試與評估方法與平臺�,實現(xiàn)對多種IDS的檢測。
4.5全面的安全防御方案
結(jié)合安全工程風(fēng)險管理的思想與方法來處理網(wǎng)絡(luò)安全問題��,將網(wǎng)絡(luò)安全作為一個整體工程來處理�����。從管理����、網(wǎng)絡(luò)結(jié)構(gòu)���、加密通道、防火墻�、病毒防護、入侵檢測多方位全面對所關(guān)注的網(wǎng)絡(luò)作全面的評估�,然后提出可行的全面解決方案。
綜上所述����,入侵檢測作為一種積極主動的安全防護技術(shù),提供了對內(nèi)部攻擊�����、外部攻擊和誤操作的實時保護����,使網(wǎng)絡(luò)系統(tǒng)在受到危害之前即攔截和響應(yīng)入侵行為,為網(wǎng)絡(luò)安全增加一道屏障�����。隨著入侵檢測的研究與開發(fā)�����,并在實際應(yīng)用中與其它網(wǎng)絡(luò)管理軟件相結(jié)合,使網(wǎng)絡(luò)安全可以從立體縱深����、多層次防御的角度出發(fā),形成人侵檢測�、網(wǎng)絡(luò)管理�、網(wǎng)絡(luò)監(jiān)控三位一體化,從而更加有效地保護網(wǎng)絡(luò)的安全��。
參考文獻
l吳新民.兩種典型的入侵檢測方法研究.計算機工程與應(yīng)用��,2002���;38(10):181—183
2羅妍���,李仲麟,陳憲.入侵檢測系統(tǒng)模型的比較.計算機應(yīng)用����,2001;21(6):29~31
3李渙洲.網(wǎng)絡(luò)安全與入侵檢測技術(shù).四川師范大學(xué)學(xué)報.2001��;24(3):426—428
篇3
1引言
入侵檢測技術(shù)是繼“防火墻”����、“數(shù)據(jù)加密”等傳統(tǒng)安全保護措施后新一代的安全保障技術(shù),它對計算機和
網(wǎng)絡(luò)資源上的惡意使用行為進行識別和響應(yīng),不僅檢測來自外部的入侵行為,同時也監(jiān)督內(nèi)部用戶的未授權(quán)活動�����。但是隨著網(wǎng)絡(luò)入侵技術(shù)的發(fā)展和變化以及網(wǎng)絡(luò)運用的不斷深入,現(xiàn)有入侵檢測系統(tǒng)暴露出了諸多的問題�。特別是由于網(wǎng)絡(luò)流量增加�����、新安全漏洞未更新規(guī)則庫和特殊隧道及后門等原因造成的漏報問題和IDS攻擊以及網(wǎng)絡(luò)數(shù)據(jù)特征匹配的不合理特性等原因造成的誤報問題,導(dǎo)致IDS對攻擊行為反應(yīng)遲緩,增加安全管理人員的工作負(fù)擔(dān),嚴(yán)重影響了IDS發(fā)揮實際的作用���。
本文針對現(xiàn)有入侵監(jiān)測系統(tǒng)誤報率和漏報率較高的問題,對幾種降低IDS誤報率和漏報率的方法進行研究����。通過將這幾種方法相互結(jié)合,能有效提高入侵檢測系統(tǒng)的運行效率并能大大簡化安全管理員的工作,從而保證網(wǎng)絡(luò)
安全的運行��。
2入侵檢測系統(tǒng)
入侵是對信息系統(tǒng)的非授權(quán)訪問及(或)未經(jīng)許可在信息系統(tǒng)中進行操作,威脅計算機或網(wǎng)絡(luò)的安全機制(包括機密性�、完整性、可用性)的行為�。入侵可能是來自外界對攻擊者對系統(tǒng)的非法訪問,也可能是系統(tǒng)的授權(quán)用戶對未授權(quán)的內(nèi)容進行非法訪問,入侵檢測就是對企圖入侵、正在進行的入侵或已經(jīng)發(fā)生的入侵進行識別的過程����。入侵檢測系統(tǒng)IDS(IntrusionDetectionSystem)是從多種計算機系統(tǒng)機及網(wǎng)絡(luò)中收集信息,再通過這些信息分析入侵特征的網(wǎng)絡(luò)安全系統(tǒng)�����。
現(xiàn)在的IDS產(chǎn)品使用的檢測方法主要是誤用檢測和異常檢測��。誤用檢測是對不正常的行為進行建模,這些行為就是以前記錄下來的確認(rèn)了的誤用或攻擊�����。目前誤用檢測的方法主要是模式匹配,即將每一個已知的攻擊事件定義為一個獨立的特征,這樣對入侵行為的檢測就成為對特征的匹配搜索,如果和已知的入侵特征匹配,就認(rèn)為是攻擊����。異常檢測是對正常的行為建模,所有不符合這個模型的事件就被懷疑為攻擊?��,F(xiàn)在異常檢測的主要方法是統(tǒng)計模型,它通過設(shè)置極限閾值等方法,將檢測數(shù)據(jù)與已有的正常行為比較,如果超出極限閾值,就認(rèn)為是入侵行為。
入侵檢測性能的關(guān)鍵參數(shù)包括:(1)誤報:實際無害的事件卻被IDS檢測為攻擊事件����。(2)漏報:攻擊事件未被IDS檢測到或被分析人員認(rèn)為是無害的。
3降低IDS誤報率方法研究
3.1智能關(guān)聯(lián)
智能關(guān)聯(lián)是將企業(yè)相關(guān)系統(tǒng)的信息(如主機特征信息)與網(wǎng)絡(luò)IDS檢測結(jié)構(gòu)相融合,從而減少誤報�����。如系統(tǒng)的脆弱性信息需要包括特定的操作系統(tǒng)(OS)以及主機上運行的服務(wù)。當(dāng)IDS使用智能關(guān)聯(lián)時,它可以參考目標(biāo)主機上存在的�、與脆弱性相關(guān)的所有告警信息。如果目標(biāo)主機不存在某個攻擊可以利用的漏洞,IDS將抑制告警的產(chǎn)生����。
智能關(guān)聯(lián)包括主動和被動關(guān)聯(lián)。主動關(guān)聯(lián)是通過掃描確定主機漏洞;被動關(guān)聯(lián)是借助操作系統(tǒng)的指紋識別技術(shù),即通過分析IP�����、TCP報頭信息識別主機上的操作系統(tǒng)�����。
3.1.1被動指紋識別技術(shù)的工作原理
被動指紋識別技術(shù)的實質(zhì)是匹配分析法���。匹配雙方一個是來自源主機數(shù)據(jù)流中的TCP����、IP報頭信息,另一個是特征數(shù)據(jù)庫中的目標(biāo)主機信息,通過將兩者做匹配來識別源主機發(fā)送的數(shù)據(jù)流中是否含有惡意信息�����。通常比較的報頭信息包括窗口(WINDOWSIZE)�����、數(shù)據(jù)報存活期(TTL)、DF(dontfragment)標(biāo)志以及數(shù)據(jù)報長(Totallength)�����。
窗口大小(wsize)指輸入數(shù)據(jù)緩沖區(qū)大小,它在TCP會話的初始階段由OS設(shè)定�����。數(shù)據(jù)報存活期指數(shù)據(jù)報在被丟棄前經(jīng)過的跳數(shù)(hop);不同的TTL值可以代表不同的操作系統(tǒng)(OS),TTL=64,OS=UNIX;TTL=12,OS=Windows����。DF字段通常設(shè)為默認(rèn)值,而OpenBSD不對它進行設(shè)置。數(shù)據(jù)報長是IP報頭和負(fù)載(Payload)長度之和��。在SYN和SYNACK數(shù)據(jù)報中,不同的數(shù)據(jù)報長代表不同的操作系統(tǒng),60代表Linux����、44代表Solaris���、48代表Windows2000�����。
IDS將上述參數(shù)合理組合作為主機特征庫中的特征(稱為指紋)來識別不同的操作系統(tǒng)��。如TTL=64,初步判斷OS=Linux/OpenBSD;如果再給定wsize的值就可以區(qū)分是Linux還是OpenBSD����。因此,(TTL,wsize)就可以作為特征庫中的一個特征信息。3.1.2被動指紋識別技術(shù)工作流程
具有指紋識別技術(shù)的IDS系統(tǒng)通過收集目標(biāo)主機信息,判斷主機是否易受到針對某種漏洞的攻擊,從而降低誤報率�����。
因此當(dāng)IDS檢測到攻擊數(shù)據(jù)包時,首先查看主機信息表,判斷目標(biāo)主機是否存在該攻擊可利用的漏洞;如果不存在該漏洞,IDS將抑制告警的產(chǎn)生,但要記錄關(guān)于該漏洞的告警信息作為追究法律責(zé)任的依據(jù)���。這種做法能夠使安全管理員專心處理由于系統(tǒng)漏洞產(chǎn)生的告警����。
3.2告警泛濫抑制
IDS產(chǎn)品使用告警泛濫抑制技術(shù)可以降低誤報率�����。在利用漏洞的攻擊勢頭逐漸變強之時,IDS短時間內(nèi)會產(chǎn)生大量的告警信息;而IDS傳感器卻要對同一攻擊重復(fù)記錄,尤其是蠕蟲在網(wǎng)絡(luò)中自我繁殖的過程中,這種現(xiàn)象最為重要��。
所謂“告警泛濫”是指短時間內(nèi)產(chǎn)生的關(guān)于同一攻擊的告警����。IDS可根據(jù)用戶需求減少或抑制短時間內(nèi)同一傳感器針對某個流量產(chǎn)生的重復(fù)告警��。這樣����。網(wǎng)管人員可以專注于公司網(wǎng)絡(luò)的安全狀況,不至于為泛濫的告警信息大傷腦筋�。告警泛濫抑制技術(shù)是將一些規(guī)則或參數(shù)(包括警告類型、源IP�、目的IP以及時間窗大小)融入到IDS傳感器中,使傳感器能夠識別告警飽和現(xiàn)象并實施抵制操作。有了這種技術(shù),傳感器可以在告警前對警報進行預(yù)處理,抑制重復(fù)告警����。例如,可以對傳感器進行適當(dāng)配置,使它忽略在30秒內(nèi)產(chǎn)生的針對同一主機的告警信息;IDS在抑制告警的同時可以記錄這些重復(fù)警告用于事后的統(tǒng)計分析。
3.3告警融合
該技術(shù)是將不同傳感器產(chǎn)生的�����、具有相關(guān)性的低級別告警融合成更高級別的警告信息,這有助于解決誤報和漏報問題����。當(dāng)與低級別警告有關(guān)的條件或規(guī)則滿足時,安全管理員在IDS上定義的元告警相關(guān)性規(guī)則就會促使高級別警告產(chǎn)生。如掃描主機事件,如果單獨考慮每次掃描,可能認(rèn)為每次掃描都是獨立的事件,而且對系統(tǒng)的影響可以忽略不計;但是,如果把在短時間內(nèi)產(chǎn)生的一系列事件整合考慮,會有不同的結(jié)論��。IDS在10min內(nèi)檢測到來自于同一IP的掃描事件,而且掃描強度在不斷升級,安全管理人員可以認(rèn)為是攻擊前的滲透操作,應(yīng)該作為高級別告警對待����。例子告訴我們告警融合技術(shù)可以發(fā)出早期攻擊警告,如果沒有這種技術(shù),需要安全管理員來判斷一系列低級別告警是否是隨后更高級別攻擊的先兆;而通過設(shè)置元警告相關(guān)性規(guī)則,安全管理員可以把精力都集中在高級別警告的處理上。元警告相關(guān)性規(guī)則中定義參數(shù)包括時間窗�����、事件數(shù)量�、事件類型IP地址、端口號����、事件順序。
4降低IDS漏報率方法研究
4.1特征模式匹配方法分析
模式匹配是入侵檢測系統(tǒng)中常用的分析方法,許多入侵檢測系統(tǒng)如大家熟知的snort等都采用了模式匹配方法�����。
單一的模式匹配方法使得IDS檢測慢�����、不準(zhǔn)確���、消耗系統(tǒng)資源,并存在以下嚴(yán)重問題:
(1)計算的負(fù)載過大,持續(xù)該運算法則所需的計算量極其巨大���。
(2)模式匹配特征搜索技術(shù)使用固定的特征模式來探測攻擊,只能探測明確的、唯一的攻擊特征,即便是基于最輕微變換的攻擊串都會被忽略����。
(3)一個基于模式匹配的IDS系統(tǒng)不能智能地判斷看似不同字符串/命令串的真實含義和最終效果�。在模式匹配系統(tǒng)中,每一個這樣的變化都要求攻擊特征數(shù)據(jù)庫增加一個特征記錄��。這種技術(shù)攻擊運算規(guī)則的內(nèi)在缺陷使得所謂的龐大特征庫實際上是徒勞的,最后的結(jié)果往往是付出更高的計算負(fù)載,而導(dǎo)致更多的丟包率,也就產(chǎn)生遺漏更多攻擊的可能,特別是在高速網(wǎng)絡(luò)下,導(dǎo)致大量丟包,漏報率明顯增大�。
可見傳統(tǒng)的模式匹配方法已不能適應(yīng)新的要求。在網(wǎng)絡(luò)通信中,網(wǎng)絡(luò)協(xié)議定義了標(biāo)準(zhǔn)的�����、層次化�����、格式化的網(wǎng)絡(luò)數(shù)據(jù)包��。在攻擊檢測中,利用這種層次性對網(wǎng)絡(luò)協(xié)議逐層分析,可以提高檢測效率�。因此,在數(shù)據(jù)分析時將協(xié)議分析方法和模式匹配方法結(jié)合使用,可以大幅度減少匹配算法的計算量,提高分析效率,得到更準(zhǔn)確的檢測結(jié)果。超級秘書網(wǎng)
4.2協(xié)議分析方法分析
在以網(wǎng)絡(luò)為主的入侵檢測系統(tǒng)中,由于把通過網(wǎng)絡(luò)獲得的數(shù)據(jù)包作為偵測的資料來源,所以數(shù)據(jù)包在網(wǎng)絡(luò)傳輸中必須遵循固定的協(xié)議才能在電腦之間相互溝通,因此能夠按照協(xié)議類別對規(guī)則集進行分類��。協(xié)議分析的原理就是根據(jù)現(xiàn)有的協(xié)議模式,到固定的位置取值(而不式逐一的去比較),然后根據(jù)取得的值判斷其協(xié)議連同實施下一步分析動作�����。其作用是非類似于郵局的郵件自動分撿設(shè)備,有效的提高了分析效率,同時還能夠避免單純模式匹配帶來的誤報����。
根據(jù)以上特點,能夠?qū)f(xié)議分析算法用一棵協(xié)議分類樹來表示,如圖2所示。這樣,當(dāng)IDS進行模式匹配時,利用協(xié)議分析過濾許多規(guī)則,能夠節(jié)省大量的時間�。在任何規(guī)則中關(guān)于TCP的規(guī)則最多,大約占了50%以上,因此在初步分類后,能夠按照端口進行第二次分類。在兩次分類完成后,能夠快速比較特征庫中的規(guī)則,減少大量不必要的時間消耗�����。如有必要,還可進行多次分類,盡量在規(guī)則樹上分叉,盡可能的縮減模式匹配的范圍����。
每個分析機的數(shù)據(jù)結(jié)構(gòu)中包含以下信息:協(xié)議名稱、協(xié)議代號以及該協(xié)議對應(yīng)的攻擊檢測函數(shù)����。協(xié)議名稱是該協(xié)議的唯一標(biāo)志,協(xié)議代號是為了提高分析速度用的編號。為了提高檢測的精確度,可以在樹中加入自定義的協(xié)議結(jié)點,以此來細(xì)化分析數(shù)據(jù),例如在HTTP協(xié)議中可以把請求URL列入該樹中作為一個結(jié)點,再將URL中不同的方法作為子節(jié)點�����。
分析機的功能是分析某一特定協(xié)議的數(shù)據(jù),得出是否具有攻擊的可能性存在�����。一般情況下,分析機盡可能的放到樹結(jié)構(gòu)的葉子結(jié)點上或盡可能的靠近葉子結(jié)點,因為越靠近樹根部分的分析機,調(diào)用的次數(shù)越多�。過多的分析機聚集在根部附近會嚴(yán)重影響系統(tǒng)的性能����。同時葉子結(jié)點上的協(xié)議類型劃分越細(xì),分析機的效率越高����。
因此,協(xié)議分析技術(shù)有檢測快、準(zhǔn)確�、資源消耗少的特點,它利用網(wǎng)絡(luò)協(xié)議的高度規(guī)則性快速探測攻擊的存在。
5結(jié)束語
本文對幾種降低IDS誤報率和漏報率的方法進行分析研究,通過將這幾種方法相互結(jié)合,能有效提高入侵檢測系統(tǒng)的運行效率并能大大簡化安全管理員的工作,從而保證網(wǎng)絡(luò)安全的運行�����。由于方法論的問題,目前IDS的誤報和漏報是不可能徹底解決的���。因此,IDS需要走強化安全管理功能的道路,需要強化對多種安全信息的收集功能,需要提高IDS的智能化分析和報告能力,并需要與多種安全產(chǎn)品形成配合��。只有這樣,IDS才能成為網(wǎng)絡(luò)安全的重要基礎(chǔ)設(shè)施���。
參考文獻:
[1]張杰,戴英俠.入侵檢測系統(tǒng)技術(shù)現(xiàn)狀及其發(fā)展趨勢[J].計算機與通信,2002(6):28-32.
[2]唐洪英,付國瑜.入侵檢測的原理與方法[J].重慶工學(xué)院學(xué)報,2002(4):71-73.
[3]戴連英,連一峰,王航.系統(tǒng)安全與入侵檢測技術(shù)[M].北京:清華大學(xué)出版社,2002(3).
篇4
2頂層設(shè)計的作用
應(yīng)用規(guī)范可以為用戶提煉一個系統(tǒng)的、完整的���、關(guān)于應(yīng)用效果的準(zhǔn)確表達���,成為工程設(shè)計方全面而嚴(yán)謹(jǐn)?shù)脑O(shè)計和驗收的依據(jù)�����,并對施工工藝提供相應(yīng)的指導(dǎo)。由于應(yīng)用規(guī)范的定義�����,所有的描述內(nèi)容僅涉及應(yīng)用效果����,而不規(guī)定具體技術(shù)和產(chǎn)品,其開放式的結(jié)構(gòu)不僅為更多新技術(shù)的進入提供了廣闊空間��,同時對新技術(shù)予以嚴(yán)謹(jǐn)?shù)募s束和指導(dǎo)��,避免應(yīng)用中采用“似是而非”的技術(shù)�����;避免生產(chǎn)廠商以“先進技術(shù)”誤導(dǎo)用戶和工程設(shè)計及施工方�。
3以“頂層設(shè)計”的方法規(guī)劃智能建筑的入侵探測技術(shù)配置的一般性過程
3.1全方位準(zhǔn)確描述智能建筑的應(yīng)用環(huán)境
3.1.1智能建筑內(nèi)部空間的基本功能在智能建筑的內(nèi)部空間中,符合準(zhǔn)入權(quán)限的人員及其喂養(yǎng)的各類寵物���,均可以在其中無拘束地自由活動���。
3.1.2智能建筑(以住宅類為例)由各種不同的功能區(qū)域構(gòu)成智能建筑可以由屏障式建筑體(院墻/大門)�、過渡空間(院落)�、主體建筑、附屬建筑等多種建筑形態(tài)構(gòu)成���,也可以是單獨的多/高層樓宇式建筑物��。1)室外建筑構(gòu)成體在外形特征的相關(guān)變化院落形態(tài)變化對比如表1所示�。2)室內(nèi)空間功能多樣化及其內(nèi)部環(huán)境條件多元化為了滿足多個不同個體的人員��、多層面應(yīng)用需求�����,智能建筑內(nèi)部可能設(shè)置有廳/餐/廚/衛(wèi)/主/客/傭/影視/文娛/體/閱讀等不同功能空間����。這些空間在不同時段會滿足于個體應(yīng)用需求的溫濕度差異;且在不同時段分布不同色溫����、不同照度�����、不同波長的光照明����、不同頻譜��、不同規(guī)律���、不同響度的聲音等。3)智能建筑中配置滿足不同層面需要的各類設(shè)施為了滿足住戶多層面的應(yīng)用需求��,智能建筑中分布有大量的水/電/氣管路����;配置了空氣溫濕度、理化潔凈度探測控制裝置�,各類照明、感應(yīng)���、影音播放及相關(guān)控制裝置����,各類實現(xiàn)建筑物內(nèi)部及內(nèi)/外聯(lián)系的通信裝置;不同功能空間中還配置有特定的電器裝置��,甚至某些空間中還配置了可以自動“行走”的從事清潔等服務(wù)的機器(人)��。上述各種設(shè)施是建筑物內(nèi)各種頻率/振幅的機械振動或波振動源�����;在不同時段也可能在較寬頻譜范圍內(nèi)形成不同調(diào)制方式�����、不同能量的空間電磁波輻射(包括光波)和/或線路上的電磁擾動�����。綜合以上分析得出結(jié)論:合法入住的人員及寵物的正?���;顒樱悄芙ㄖ?nèi)部配置的各類電氣裝置的正常工作狀況�����,均會成為傳統(tǒng)型入侵探測技術(shù)的干擾源��。
3.2以另一種角度解析入侵探測技術(shù)
入侵探測的本質(zhì):采用物理測量技術(shù),識別出“不允許進入特定區(qū)域的人”�。探測技術(shù)發(fā)展經(jīng)歷了以下幾個階段,并各具相應(yīng)特性�����。
3.2.1入侵探測技術(shù)的智能化進程初級型階段的入侵探測技術(shù)是針對參照物“有沒有”實施最簡單判斷���,使用的典型技術(shù)是鐵磁性“接近開關(guān)”對門����、窗的“開/閉”狀態(tài)判斷�����,以門/窗有沒有開啟作為觸發(fā)報警條件����。傳統(tǒng)型階段的入侵探測技術(shù)達到了“什么樣”的判斷水平——針對移動特性與體積���、重量�、溫度�、外形等參量之一的探測�����,以上述物理參量是否存在或以某個特定值作為預(yù)設(shè)的觸發(fā)報警條件����。智能型入侵探測的智能水平達到了判別“是誰”的能力——采用各類生物識別技術(shù)�,實現(xiàn)對特定人員身份的探測(識別)。本文針對智能建筑的入侵探測應(yīng)用討論�,所以探討內(nèi)容涵蓋傳統(tǒng)型入侵探測技術(shù)和生物識別技術(shù)(智能型入侵探測技術(shù))。
3.2.2傳統(tǒng)型入侵探測技術(shù)——對人的外部物理特征(共性)參量實施探測傳統(tǒng)型入侵探測技術(shù)針對入侵行為的主要特性——移動���,同時為了提升探測的準(zhǔn)確性�,再針對人員常見的幾種外部物理參量之一進行探測����,如表3所示。各類傳統(tǒng)型入侵探測技術(shù)僅針對人員單一的外部物理參量實施探測�,探測效果相當(dāng)于“盲人摸象”,可能得出不準(zhǔn)確的結(jié)論�;更重要的是,傳統(tǒng)型入侵探測裝置不可能區(qū)分出觸發(fā)者是用戶還是非法入侵者�����,所以不適于在智能建筑的室內(nèi)安裝應(yīng)用。
3.2.3智能型入侵探測技術(shù)——對人的外部社會特性(個性)實施探測用戶與入侵者區(qū)分依據(jù)是人的外部社會特性����,是每個人與其他人之間不同的、可測或可度量的����、外在的(生物或者人為附加)特征。表4列出了目前不同的生物特征測量技術(shù)�,對人實現(xiàn)區(qū)分所需要的時間和空間條件,而根據(jù)這些條件���,可以針對智能建筑中不同區(qū)域的應(yīng)用需求�,選擇合適的探測技術(shù)����,如表4所示��。5.3智能建筑不同功能區(qū)域?qū)θ肭痔綔y應(yīng)用需求及配置智能建筑內(nèi)部區(qū)域?qū)θ肭痔綔y的應(yīng)用需求及配置建議如表5所示�����。
4應(yīng)用規(guī)范的通用性規(guī)定
4.1入侵探測裝置合法性必須獲得強制性認(rèn)證證書的有效覆蓋�����;沒有現(xiàn)行強制性認(rèn)證標(biāo)準(zhǔn)的產(chǎn)品,需要獲得自愿認(rèn)證證書的有效覆蓋����。產(chǎn)品參照標(biāo)準(zhǔn)中的具體相關(guān)技術(shù)指標(biāo),均應(yīng)滿足應(yīng)用規(guī)范規(guī)定����。
4.2配置合理性針對智能建筑的不同部位或區(qū)域,配置與應(yīng)用需求對應(yīng)類別的入侵探測裝置�����,比如:建筑物內(nèi)部屬于人員及寵物活動區(qū)域���,入侵探測的應(yīng)用需求是“確定進入該空間的人員是否具有相應(yīng)的權(quán)限”���,依據(jù)此需求,建筑物內(nèi)部原則上不應(yīng)配置傳統(tǒng)型入侵探測裝置(當(dāng)然��,針對廚房等某些具有危險物品的空間�,為防止嬰幼兒或?qū)櫸锱廊耄赡懿捎脗鹘y(tǒng)型入侵探測裝置���。當(dāng)然在具體的配置過程中�,還需要滿足應(yīng)用需求的其他方面);而傳統(tǒng)型入侵探測裝置應(yīng)配置在智能建筑外部���,特別是周界�,當(dāng)然還應(yīng)該滿足構(gòu)成“封閉式防范”和對外觀適應(yīng)性等其他要求��。根據(jù)表2所列的內(nèi)容�,可以得出明確結(jié)論——傳統(tǒng)型入侵探測由于不具備識別人員身份的能力,通常只能設(shè)置于智能建筑的外部�,擔(dān)任判斷是否有“人員入侵”的工作。若安裝于圍墻/圍欄/窗/陽臺等不允許人員“合法”出入的周界區(qū)域���,只要發(fā)現(xiàn)有“目標(biāo)”越過這些區(qū)域(無論是“出”或者是“入”)�����,都必須輸出報警信號���。而具體應(yīng)該采用何種入侵探測技術(shù)���,應(yīng)根據(jù)每種入侵探測技術(shù)的特點及具體應(yīng)用需求來確定��。
4.3風(fēng)險等級適配性1)應(yīng)用規(guī)范應(yīng)規(guī)定智能建筑的風(fēng)險等級�,以及入侵探測裝置的防范嚴(yán)密性等級。2)配置與風(fēng)險等級對應(yīng)的入侵探測裝置類別�,除了與空間條件相適應(yīng)外,其探測的嚴(yán)密程度也應(yīng)該與建筑的風(fēng)險等級相對應(yīng)����。比如:對于低風(fēng)險等級建筑的門禁可以采用IC卡、密碼等探測技術(shù)����;高風(fēng)險等級建筑的門禁應(yīng)用可以采用其他相應(yīng)的生物識別技術(shù)。3)配置與風(fēng)險等級對應(yīng)的入侵探測裝置��。低風(fēng)險等級的周界配置的入侵探測裝置的觸發(fā)響應(yīng)時間或探測靈敏度指標(biāo)可以較低�,而高風(fēng)險等級的周界配置入侵探測裝置的相應(yīng)技術(shù)指標(biāo)要求較高。
4.4探測介質(zhì)安全性建筑的入侵探測裝置在長期使用的條件下��,對人員物不產(chǎn)生任何傷害���;建筑物外使用的入侵探測裝置��,在短時間內(nèi)不應(yīng)對人員(包含入侵者)產(chǎn)生傷害��。
4.5環(huán)境適應(yīng)性1)入侵探測裝置的外觀造型應(yīng)與整體建筑造型風(fēng)格和景觀觀感相適應(yīng)����。2)入侵探測裝置的探測介質(zhì)、通訊介質(zhì)電磁參量等應(yīng)該與智能建筑整體(局部)電磁環(huán)境相適應(yīng)����,不會產(chǎn)生相互干擾。
4.6探測技術(shù)的互補與協(xié)調(diào)性1)在同一空間或區(qū)域內(nèi)�����,可采用兩種或以上探測介質(zhì)不同但探測區(qū)域重合的入侵探測(身份識別)技術(shù)����,減少漏報警的機會。2)對不同空間或區(qū)域配置的相同或不同探測裝置之間的異常信號實現(xiàn)統(tǒng)一管理與分析���,提高報警準(zhǔn)確率���。
4.7資源配置的節(jié)約性1)由于智能建筑內(nèi)分布大量的環(huán)境類探測器、傳感器�,形成廣泛分布的傳輸通道,在保障“報警優(yōu)先”并確?��?捎行П苊狻巴ǖ雷枞睏l件下����,入侵探測裝置的輸出/遠(yuǎn)端控制宜盡可能利用智能建筑內(nèi)部配置的其他探測裝置的信號通道����。2)門禁確認(rèn)進入人員身份的識別信號,可以提供給后續(xù)智能控制系統(tǒng)�����,實現(xiàn)“具體房間室內(nèi)溫濕度���、燈光色調(diào)/照度�、音響內(nèi)容與響度��、沐浴水溫”多參量的個性化調(diào)節(jié)等應(yīng)用環(huán)節(jié)���。3)配置于室內(nèi)的攝像機���,可以同時用于入侵探測與火警探測兩種報警復(fù)核??煽紤]具有“模糊的行為識別”與“高清的取證識別”兩種工作模式�����,以應(yīng)對不同風(fēng)險等級或應(yīng)對不同級別隱私保護需求�。4)環(huán)境類痕量化學(xué)傳感器與入侵探測功能交互�����。住戶個人生活習(xí)慣�,如從吸煙或使用化妝品品牌的痕量分析作為身份識別,既可以根據(jù)習(xí)慣性化學(xué)痕量判斷對于住戶個人的個性化實施調(diào)節(jié)��;也可以將與習(xí)慣性品牌痕量分析不符合的分析結(jié)果���,作為入侵(內(nèi)部人員非法進入)報警參考條件�。
4.8使用便利性入侵探測裝置的安裝��、調(diào)試����、維護、保養(yǎng)應(yīng)方便�。家居型智能建筑應(yīng)用的入侵探測裝置最大程度提升DIY水平;在不能或不宜采用DIY方式安裝的場所����,或入侵探測裝置本身的DIY程度要求不高的條件下�,入侵探測裝置應(yīng)分別配置針對現(xiàn)場用戶和安全控制中心的故障提示方式����。
4.9與風(fēng)險等級對應(yīng)價格體系的合理性與可承受性1)性能/價格比是相應(yīng)用戶可以接受的(首先是性能��,然后才是價格)��。2)價格與產(chǎn)品風(fēng)險等級對應(yīng)����,“優(yōu)質(zhì)優(yōu)價”。3)價格體系應(yīng)該給生產(chǎn)����、銷售、安裝�����、調(diào)試��、維保等環(huán)節(jié)留有相應(yīng)生存空間����,最好還留有發(fā)展空間�,杜絕惡性價格競爭��。
4.10入侵探測裝置使用年限的規(guī)定入侵探測裝置應(yīng)規(guī)定使用年限��,以室內(nèi)不超過5年����、室外不超過3年為宜。
4.11入侵探測裝置不適用條件的規(guī)定1)系統(tǒng)集成商在構(gòu)成系統(tǒng)過程中�����,在入侵探測裝置無法承受氣候時�����,系統(tǒng)對入侵探測裝置予以“屏蔽”����。2)用戶對于不同空間隱私性、不同時間準(zhǔn)入條件等具體應(yīng)用需求�,明確規(guī)定不適用的入侵探測裝置或入侵探測系統(tǒng)相應(yīng)功能不適用的時間段。
篇5
隨著計算機技術(shù)以及網(wǎng)絡(luò)信息技術(shù)的高速發(fā)展, 許多部門都利用互聯(lián)網(wǎng)建立了自己的信息系統(tǒng), 以充分利用各類信息資源���。但在連接信息能力�����、流通能力提高的同時,基于網(wǎng)絡(luò)連接的安全問題也日益突出����。在現(xiàn)今的網(wǎng)絡(luò)安全技術(shù)中,常用的口令證��、防火墻��、安全審計及及加密技術(shù)等等��,都屬于靜態(tài)防御技術(shù)�,而系統(tǒng)面臨的安全威脅越來越多��,新的攻擊手段也層出不窮���,僅僅依靠初步的防御技術(shù)是遠(yuǎn)遠(yuǎn)不夠的����,需要采取有效的手段對整個系統(tǒng)進行主動監(jiān)控����。入侵檢測系統(tǒng)是近年來網(wǎng)絡(luò)安全領(lǐng)域的熱門技術(shù)����,是保障計算機及網(wǎng)絡(luò)安全的有力措施之一�����。
1 入侵檢測和入侵檢測系統(tǒng)基本概念
入侵檢測(Intrusion Detection)是動態(tài)的跟蹤和檢測方法的簡稱���, 是對入侵行為的發(fā)覺����,它通過旁路偵聽的方式����,對計算機網(wǎng)絡(luò)和計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象�。
入侵檢測的軟件和硬件組成了入侵檢測系統(tǒng)(IDS:Intrusion Detection System),IDS是繼防火墻之后的第二道安全閘門,它在不影響網(wǎng)絡(luò)性能的情況下依照一定的安全策略����,對網(wǎng)絡(luò)的運行狀況進行監(jiān)測。它能夠幫助網(wǎng)絡(luò)系統(tǒng)快速發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的發(fā)生,對得到的數(shù)據(jù)進行分析�����,一旦發(fā)現(xiàn)入侵�,及進做出響應(yīng),包括切斷網(wǎng)絡(luò)連接�����、記錄或者報警等��。由于入侵檢測能在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)進行監(jiān)測�����,為系統(tǒng)提供對內(nèi)部攻擊�、外部攻擊和誤操作的有效保護�����。因此�����,為網(wǎng)絡(luò)安全提供高效的入侵檢測及相應(yīng)的防護手段,它以探測與控制為技術(shù)本質(zhì)�����,能彌補防火墻的不足��,起著主動防御的作用�����,是網(wǎng)絡(luò)安全中極其重要的部分�����。免費論文����。
2 入侵檢測系統(tǒng)的分類
入侵檢測系統(tǒng)根據(jù)其檢測數(shù)據(jù)來源分為兩類:基于主機的入侵檢測系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。
基于主機的入侵檢測系統(tǒng)的檢測目標(biāo)是主機系統(tǒng)和系統(tǒng)本地用戶�����。其原理是根據(jù)主機的審計數(shù)據(jù)和系統(tǒng)日志發(fā)現(xiàn)可疑事件�����。該系統(tǒng)通常運行在被監(jiān)測的主機或服務(wù)器上,實時檢測主機安全性方面如操作系統(tǒng)日志�����、審核日志文件���、應(yīng)用程序日志文件等情況�,其效果依賴于數(shù)據(jù)的準(zhǔn)確性以及安全事件的定義���?��;谥鳈C的入侵檢測系統(tǒng)具有檢測效率高,分析代價小��,分析速度快的特點��,能夠迅速并準(zhǔn)確地定位入侵者����,并可以結(jié)合操作系統(tǒng)和應(yīng)用程序的行為特征對入侵進行進一步分析���、響應(yīng)��?�;谥鳈C的入侵檢測系統(tǒng)只能檢測單個主機系統(tǒng)����。
基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)搜集來自網(wǎng)絡(luò)層的信息。這些信息通常通過嗅包技術(shù)���,使用在混雜模式的網(wǎng)絡(luò)接口獲得���。基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)可以監(jiān)視和檢測網(wǎng)絡(luò)層的攻擊���。它具有較強的數(shù)據(jù)提取能力��。在數(shù)據(jù)提取的實時性��、充分性��、可靠性方面優(yōu)于基于主機日志的入侵檢測系統(tǒng)��?����;诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)可以對本網(wǎng)段的多個主機系統(tǒng)進行檢測���,多個分布于不同網(wǎng)段上的基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)可以協(xié)同工作以提供更強的入侵檢測能力���。
3 入侵檢測方法
入侵檢測方法主要分為異常入侵檢測和誤用入侵檢測。
異常入侵檢測的主要前提條件是將入侵性活動作為異?����;顒拥淖蛹?�,理想狀況是異?����;顒蛹c入侵性活動集等同�����,這樣��,若能檢測所有的異?����;顒?���,則可檢測所有的入侵活動。但是����,入侵性活動并不總是與異常活動相符合���。這種活動存在4種可能性:(1)入侵性而非異常�;(2)非入侵性且異常�;(3)非入侵性且非異常;(4)入侵且異常�。異常入侵要解決的問題是構(gòu)造異常活動集��,并從中發(fā)現(xiàn)入侵性活動子集���。異常入侵檢測方法依賴于異常模型的建立��。不同模型構(gòu)成不同的檢測方法�,異常檢測是通過觀測到的一組測量值偏離度來預(yù)測用戶行為的變化�,然后作出決策判斷的檢測技術(shù)�。
誤用入侵檢測是通過將預(yù)先設(shè)定的入侵模式與監(jiān)控到的入侵發(fā)生情況進行模式匹配來檢測���。它假設(shè)能夠精確地將入侵攻擊按某種方式編碼���,并可以通過捕獲入侵攻擊將其重新分析整理,確認(rèn)該入侵行為是否為基于對同一弱點進行入侵攻擊方法的變種��,入侵模式說明導(dǎo)致安全事件或誤用事件的特征���、條件���、排列和關(guān)系。免費論文���。根據(jù)匹配模式的構(gòu)造和表達方式的不同�,形成了不同的誤用檢測模型�����。誤用檢測模型能針對性地建立高效的入侵檢測系統(tǒng)����,檢測精度高���,誤報率低����,但它對未知的入侵活動或已知入侵活動的變異檢測的性能較低。
4 入侵檢測系統(tǒng)的評估
對于入侵檢測系統(tǒng)的評估�,主要的性能指標(biāo)有:(1)可靠性,系統(tǒng)具有容錯能力和可連續(xù)運行��;(2)可用性���,系統(tǒng)開銷要最小���,不會嚴(yán)重降低網(wǎng)絡(luò)系統(tǒng)性能;(3)可測試�����,通過攻擊可以檢測系統(tǒng)運行�;(4)適應(yīng)性,對系統(tǒng)來說必須是易于開發(fā)的�,可添加新的功能,能隨時適應(yīng)系統(tǒng)環(huán)境的改變���;(5)實時性��,系統(tǒng)能盡快地察覺入侵企圖以便制止和限制破壞��;(6)準(zhǔn)確性���,檢測系統(tǒng)具有較低的誤警率和漏警率�����;(7)安全性�����,檢測系統(tǒng)必須難于被欺騙和能夠保護自身安全�。免費論文����。
5 入侵檢測的發(fā)展趨勢
入侵檢測作為一種積極主動的安全防護技術(shù),提供了對攻擊和誤操作的實時保護�����,在網(wǎng)絡(luò)系統(tǒng)受到危險之前攔截和響應(yīng)入侵,但它存在的問題有:誤報率和漏報率高��、檢測速度慢�,對IDS自身的攻擊,缺乏準(zhǔn)確定位與處理機制��、缺乏性能評價體系等���。在目前的入侵檢測技術(shù)研究中,其主要的發(fā)展方向可概括為:
(1)大規(guī)模分布式入侵檢測
(2)寬帶高速網(wǎng)絡(luò)的實時入侵檢測技術(shù)
(3)入侵檢測的數(shù)據(jù)融合技術(shù)
(4)與網(wǎng)絡(luò)安全技術(shù)相結(jié)合
6 結(jié)束語
隨著計算機技術(shù)以及網(wǎng)絡(luò)信息技術(shù)的高速發(fā)展��,入侵檢測技術(shù)已成為計算機安全策略中的核心技術(shù)之一����。它作為一種積極主動的防護技術(shù),提供了對內(nèi)部攻擊�、外部攻擊和誤操作的實時保護,為網(wǎng)絡(luò)安全提供高效的入侵檢測及相應(yīng)的防護手段�。入侵檢測作為一個新的安全機制開始集成到網(wǎng)絡(luò)系統(tǒng)安全框架中。
[參考文獻]
[1]張杰�����,戴英俠.入侵檢測系統(tǒng)技術(shù)現(xiàn)狀及其發(fā)展趨勢[J].計算機與通信�����,2002,96]:28-32.
[2]陳明.網(wǎng)絡(luò)安全教程[M].北京:清華大學(xué)出版社,2004,1.
[3]羅守山.入侵檢測[M].北京:北京郵電大學(xué)出版社�����,2004.
篇6
隨著網(wǎng)絡(luò)的技術(shù)的不斷發(fā)展�����,互聯(lián)網(wǎng)的開放性也得到了長足的發(fā)展����,這為網(wǎng)絡(luò)信息的共享和交互使用提供了很大方便,但同時也對信息的安全性提出了嚴(yán)峻的挑戰(zhàn)�。近年來,隨著網(wǎng)絡(luò)的普及與應(yīng)用領(lǐng)域的逐漸擴展�����,網(wǎng)絡(luò)安全與信息安全問題日漸突出�。在網(wǎng)絡(luò)安全的實踐中,建立一個完全安全的系統(tǒng)是不現(xiàn)實的��。因此�����,保證計算機系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)以及整個信息基礎(chǔ)設(shè)施的安全已經(jīng)成為刻不容緩的重要課題���。
入侵檢測技術(shù)(IDS)是近年來出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù)���,它是通過從計算機網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析,從中發(fā)現(xiàn)違反安全策略的行為和遭到攻擊的跡象�,并做出自動的響應(yīng)。入侵檢測通過迅速地檢測入侵����,在可能造成系統(tǒng)損壞或數(shù)據(jù)丟失之前�����,識別并驅(qū)除入侵者����,使系統(tǒng)迅速恢復(fù)正常工作,并且阻止入侵者進一步的行動����,它的應(yīng)用擴展了系統(tǒng)管理員的安全管理能力,幫助計算機系統(tǒng)抵御攻擊。因而�,研究入侵檢測方法和技術(shù),根據(jù)這些方法和技術(shù)建立相應(yīng)的入侵檢測系統(tǒng)對保證網(wǎng)絡(luò)安全是非常必要的���。
一�、入侵檢測系統(tǒng)的分類
1.按照檢測類型劃分
(1)異常檢測類型:檢測與可接受行為之間的偏差�����,如果可以定義每項可接受的行為就應(yīng)該是入侵�����。首先總結(jié)正常操作應(yīng)該具備的特征(用戶輪廓)��,當(dāng)用戶活動與正常行為有重大偏離時即被認(rèn)為是入侵����。這種檢測模型漏報率低,誤報率高�。因為不需要對每種入侵行為進行定義,所以能有效檢測未知的入侵���。
(2)誤用檢測類型:檢測與已知的不可接受行為之間的匹配程度��,如果可以定義所有的不可接受行為�����,那么每種能夠與之匹配的行為都會引起警告��。收集非正常操作的行為特征���,建立相關(guān)的特征庫�,當(dāng)監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時��,系統(tǒng)就認(rèn)為這種行為是入侵�。這種檢測模型誤報率、漏報率高��。對于已知的攻擊�����,它可以詳細(xì)���、準(zhǔn)確地報告出攻擊類型,但是對未知攻擊卻效果有限�,而且特征庫必須不斷更新��。
2.按照檢測對象劃分
(1)基于主機:系統(tǒng)分析的數(shù)據(jù)是計算機操作系統(tǒng)的時間日志����、應(yīng)用程序的時間日志�、系統(tǒng)調(diào)用、端口調(diào)用和安全審計記錄�����。主機入侵檢測系統(tǒng)保護的一般是所在的主機系統(tǒng)�����。是來實現(xiàn)的���,是運行在目標(biāo)主機上的小的可執(zhí)行程序����,它們與命令控制臺通信�����。
(2)基于網(wǎng)絡(luò):系統(tǒng)分析的數(shù)據(jù)是網(wǎng)絡(luò)上的數(shù)據(jù)包����。網(wǎng)絡(luò)型入侵檢測系統(tǒng)擔(dān)負(fù)著保護整個網(wǎng)段的任務(wù)���,基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)由遍及網(wǎng)絡(luò)的傳感器組成,傳感器是一臺將以太網(wǎng)置于混雜模式的計算機����,用于嗅探網(wǎng)絡(luò)上的數(shù)據(jù)包?����?萍颊撐?��。
(3)混合型:基于網(wǎng)絡(luò)和基于主機的入侵檢測系統(tǒng)都有不足之處����,會造成防御體系的不全面��,綜合了基于網(wǎng)絡(luò)和基于主機的混合型入侵檢測系統(tǒng)�����,既可以發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊信息�,也可以從系統(tǒng)日志中發(fā)現(xiàn)異常情況。
3.按照工作方式分類
(1)離線檢測:這是一種非實時工作的系統(tǒng)��,在時間發(fā)生后分析審計時間�����,從中檢查入侵事件�。這類系統(tǒng)的成本低,可以分析大量事件��,調(diào)查長期的情況�����,有利于其它方法提供及時的保護�����。而且�,很多侵入在完成之后都將審計事件刪除,使其無法審計����。
(2)在線檢測:對網(wǎng)絡(luò)數(shù)據(jù)包或主機的審計事件進行實時分析,可以快速反映�,保護系統(tǒng)的安全���;但在系統(tǒng)規(guī)模比較大時,難以保證實時性�����。
二�、入侵檢測系統(tǒng)存在的主要問題
1.誤報
誤報是指被入侵檢測系統(tǒng)測出但其實是正常及合法使用受保護網(wǎng)絡(luò)和計算機的警報。假警報不但令人討厭�����,并且降低入侵檢測系統(tǒng)的效率�。攻擊者可以而且往往是利用包結(jié)構(gòu)偽造無威脅的,“正常”假警報�,以誘使收受人把入侵檢測系統(tǒng)關(guān)掉。
沒有一個入侵檢測無敵于誤報����,應(yīng)用系統(tǒng)總會發(fā)生錯誤,原因是:缺乏共享信息的標(biāo)準(zhǔn)機制和集中協(xié)調(diào)的機制����,不同的網(wǎng)絡(luò)及主機有小同的安全問題,不同的入侵檢測系統(tǒng)有各自的功能���;缺乏揣摩數(shù)據(jù)在一段時間內(nèi)行為的能力���;缺乏有效跟蹤分析等。
2.精巧及有組織的攻擊
攻擊可以來自四面八方���,特別是一群人組織策劃且攻擊者技術(shù)高超的攻擊����,攻擊者花費很多時間準(zhǔn)備����,并發(fā)動全球性攻擊,要找出這樣復(fù)雜的攻擊是一件難事�����。
3.入侵檢測系統(tǒng)的互動性能不高
在大型網(wǎng)絡(luò)中���,網(wǎng)絡(luò)的不同部分可能使用了多種入侵檢測系統(tǒng)�,甚至還有防火墻�����、漏洞掃描等其他類別的安全設(shè)備,這些入侵檢測系統(tǒng)之間以及IDS和其他安全組件之間如何交換信息���,共同協(xié)作來發(fā)現(xiàn)攻擊�、做出相應(yīng)并阻止攻擊是關(guān)系整個系統(tǒng)安全性的重要因素��。
三�、入侵檢測系統(tǒng)發(fā)展的主要趨勢
目前除了完善常規(guī)的、傳統(tǒng)的技術(shù)(模式識別和完整性檢測)外����,入侵檢測系統(tǒng)應(yīng)重點加強與統(tǒng)計分析相關(guān)技術(shù)的研究。許多學(xué)者在研究新的檢測辦法��,如采用自動的主動防御辦法�����,將免疫學(xué)原理應(yīng)用到入侵檢測的方法等����。其主要發(fā)展方向可以概括為以下幾個方面:
1.入侵檢測系統(tǒng)的標(biāo)準(zhǔn)化
就目前而言,入侵檢測系統(tǒng)還缺乏相應(yīng)的標(biāo)準(zhǔn)����,不同的入侵檢測系統(tǒng)之間的數(shù)據(jù)交換和信息通信幾乎不可能�。目前����,DARPA和IETF的入侵檢測工作組試圖對入侵檢測系統(tǒng)進行標(biāo)準(zhǔn)化工作����,分別制定了CIDF和IDMEF標(biāo)準(zhǔn),從體系結(jié)構(gòu)�、通信機制、消息格式等各方面對入侵檢測系統(tǒng)規(guī)范化����,但進展非常緩慢,尚沒有被廣泛接受的標(biāo)準(zhǔn)出臺���。因而�����,具有標(biāo)準(zhǔn)化接口的入侵檢測系統(tǒng)將是下一代入侵檢測系統(tǒng)的特征����。
2.分布式入侵檢測
分布式入侵檢測的第一層含義是針對分布式網(wǎng)絡(luò)攻擊的檢測方法;第二層含義即使用分布式的方法來實現(xiàn)分布式的攻擊��,其中的關(guān)鍵技術(shù)為信息的協(xié)同處理與入侵攻擊的全局信息的提取�。
3.應(yīng)用層入侵檢測
許多入侵的語義只有在應(yīng)用層才能理解,而目前的入侵檢測系統(tǒng)僅能檢測Web之類的通用協(xié)議���,不能處理如Lotus Notes數(shù)據(jù)庫系統(tǒng)等其他的應(yīng)用系統(tǒng)�。許多基于客戶/服務(wù)器結(jié)構(gòu)�����、中間件技術(shù)及對象技術(shù)的大型應(yīng)用���,需要應(yīng)用層的入侵檢測保護�����?�?萍颊撐?。
4.智能入侵檢測
目前��,入侵方法越來越多樣化與綜合化�,盡管已經(jīng)有智能體系�、神經(jīng)網(wǎng)絡(luò)與遺傳算法應(yīng)用在入侵檢測領(lǐng)域����,但這些只是一些嘗試性的研究工作,需要對智能化的入侵檢測系統(tǒng)進一步研究����,以解決其自學(xué)習(xí)與自適應(yīng)能力。
5.建立入侵檢測系統(tǒng)評價體系
設(shè)計通用的入侵檢測測試���、評估辦法和平臺,實現(xiàn)對多種入侵檢測系統(tǒng)的檢測�,已成為當(dāng)前入侵檢測系統(tǒng)的另一重要研究與發(fā)展領(lǐng)域。評價入侵檢測系統(tǒng)可從檢測范圍���、系統(tǒng)資源占用�、自身的可靠性等方面進行�,評價指標(biāo)有:能否保證自身的安全、運行與維護系統(tǒng)的開銷�、報警準(zhǔn)確率、負(fù)載能力以及可支持的網(wǎng)絡(luò)類型�����、支持的入侵特征數(shù)、是否支持IP碎片重組�、是否支持TCP流重組等。
6.綜合性檢測系統(tǒng)
單一的技術(shù)很難構(gòu)筑一道強有力的安全防線����,這就需要和其他安全技術(shù)共同組成更完備的安全的保障系統(tǒng),如結(jié)合防火墻�����、PKIX�、安全電子交易SET等新的網(wǎng)絡(luò)安全與電子商務(wù)技術(shù),提供完整的網(wǎng)絡(luò)安全保障體系���?�?萍颊撐?����。
四���、結(jié)語
入侵檢測作為一種積極主動地安全防護技術(shù),提供了對內(nèi)部攻擊����、外部攻擊和誤操作的實時保護�����,在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵���。但是目前,入侵檢測技術(shù)主要停留在異常檢測和誤用檢測上����,這兩種方法都還不完善,存在著這樣那樣的缺陷�����。網(wǎng)絡(luò)入侵技術(shù)不斷發(fā)展����,入侵行為表現(xiàn)出不確定性��、復(fù)雜性���、多樣性等特點�;網(wǎng)絡(luò)應(yīng)用的發(fā)展帶來了新的問題,如高速網(wǎng)絡(luò)其流量大����,基于網(wǎng)絡(luò)的檢測系統(tǒng)如何適應(yīng)這種情況?基于主機審計數(shù)據(jù)這怎樣做到既減小數(shù)據(jù)量�����,又能有效地檢測到入侵行為�?入侵檢測技術(shù)己經(jīng)成為當(dāng)前網(wǎng)絡(luò)技術(shù)領(lǐng)域內(nèi)的一個研究熱點,在未來的發(fā)展過程中����,將越來越多地與其他科學(xué)和技術(shù)進行交融匯合,如數(shù)據(jù)融合�����、人工智能以及網(wǎng)絡(luò)管理等等��。隨著網(wǎng)絡(luò)信息技術(shù)的發(fā)展��,入侵檢測技術(shù)也在不斷地發(fā)展�����,已經(jīng)出現(xiàn)了很多新的方向,如寬帶高速網(wǎng)絡(luò)的實時入侵檢測技術(shù)�����、大規(guī)模分布式入侵檢測技術(shù)等�����。
參考文獻:
[1]戴英俠,連一峰,王航.系統(tǒng)安全與入侵檢測[M].北京:清華大學(xué)出版社.2002.
[2]孫知信,徐紅霞.模糊技術(shù)在入侵檢測系統(tǒng)中的應(yīng)用研究綜述[J].南京郵電大學(xué)學(xué)報.2006,(2).
[3]裴慶祺.模糊入侵檢測技術(shù)研究[M].西安:西安電子科技大學(xué).2004.
篇7
在網(wǎng)絡(luò)技術(shù)日新月異的今天���,基于網(wǎng)絡(luò)的計算機應(yīng)用已經(jīng)成為發(fā)展的主流�����。政府�����、教育、商業(yè)�����、金融等機構(gòu)紛紛聯(lián)入Internet�,全社會信息共享已逐步成為現(xiàn)實��。然而�����,近年來��,網(wǎng)上黑客的攻擊活動正以每年10倍的速度增長�����。因此����,保證計算機系統(tǒng)�����、網(wǎng)絡(luò)系統(tǒng)以及整個信息基礎(chǔ)設(shè)施的安全已經(jīng)成為刻不容緩的重要課題�。
1 防火墻
目前防范網(wǎng)絡(luò)攻擊最常用的方法是構(gòu)建防火墻。
防火墻作為一種邊界安全的手段�����,在網(wǎng)絡(luò)安全保護中起著重要作用。其主要功能是控制對網(wǎng)絡(luò)的非法訪問��,通過監(jiān)視����、限制、更改通過網(wǎng)絡(luò)的數(shù)據(jù)流�����,一方面盡可能屏蔽內(nèi)部網(wǎng)的拓?fù)浣Y(jié)構(gòu)�����,另一方面對內(nèi)屏蔽外部危險站點����,以防范外對內(nèi)的非法訪問。然而�,防火墻存在明顯的局限性。
(1)入侵者可以找到防火墻背后可能敞開的后門��。如同深宅大院的高大院墻不能擋住老鼠的偷襲一樣���,防火墻有時無法阻止入侵者的攻擊。
(2)防火墻不能阻止來自內(nèi)部的襲擊。調(diào)查發(fā)現(xiàn)�����,50%的攻擊都將來自于網(wǎng)絡(luò)內(nèi)部����。
(3)由于性能的限制,防火墻通常不能提供實時的入侵檢測能力��。畢業(yè)論文 而這一點�,對于層出不窮的網(wǎng)絡(luò)攻擊技術(shù)來說是至關(guān)重要的。
因此����,在Internet入口處部署防火墻系統(tǒng)是不能確保安全的。單純的防火墻策略已經(jīng)無法滿足對安全高度敏感部門的需要��,網(wǎng)絡(luò)的防衛(wèi)必須采用一種縱深的�����、多樣化的手段��。
由于傳統(tǒng)防火墻存在缺陷��,引發(fā)了入侵檢測IDS(Intrusion Detection System)的研究和開發(fā)。入侵檢測是防火墻之后的第二道安全閘門�����,是對防火墻的合理補充���,在不影響網(wǎng)絡(luò)性能的情況下���,通過對網(wǎng)絡(luò)的監(jiān)測,幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊���,擴展系統(tǒng)管理員的安全管理能力(包括安全審計��、監(jiān)視����、進攻識別和響應(yīng))��,提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性����,提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護?,F(xiàn)在�����,入侵檢測已經(jīng)成為網(wǎng)絡(luò)安全中一個重要的研究方向,在各種不同的網(wǎng)絡(luò)環(huán)境中發(fā)揮重要作用��。
2 入侵檢測
2.1 入侵檢測
入侵檢測是通過從計算機網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析���,從中發(fā)現(xiàn)違反安全策略的行為和遭到攻擊的跡象��,并做出自動的響應(yīng)�。其主要功能是對用戶和系統(tǒng)行為的監(jiān)測與分析����、系統(tǒng)配置和漏洞的審計檢查、重要系統(tǒng)和數(shù)據(jù)文件的完整性評估�、已知的攻擊行為模式的識別、異常行為模式的統(tǒng)計分析�、操作系統(tǒng)的審計跟蹤管理及違反安全策略的用戶行為的識別。入侵檢測通過迅速地檢測入侵����,在可能造成系統(tǒng)損壞或數(shù)據(jù)丟失之前,識別并驅(qū)除入侵者����,使系統(tǒng)迅速恢復(fù)正常工作���,并且阻止入侵者進一步的行動。同時���,收集有關(guān)入侵的技術(shù)資料����,用于改進和增強系統(tǒng)抵抗入侵的能力����。
入侵檢測可分為基于主機型、基于網(wǎng)絡(luò)型��、基于型三類����。從20世紀(jì)90年代至今,英語論文 已經(jīng)開發(fā)出一些入侵檢測的產(chǎn)品���,其中比較有代表性的產(chǎn)品有ISS(Intemet Security System)公司的Realsecure����,NAI(Network Associates,Inc)公司的Cybercop和Cisco公司的NetRanger��。
2.2 檢測技術(shù)
入侵檢測為網(wǎng)絡(luò)安全提供實時檢測及攻擊行為檢測��,并采取相應(yīng)的防護手段����。例如�,實時檢測通過記錄證據(jù)來進行跟蹤、恢復(fù)��、斷開網(wǎng)絡(luò)連接等控制�;攻擊行為檢測注重于發(fā)現(xiàn)信息系統(tǒng)中可能已經(jīng)通過身份檢查的形跡可疑者,進一步加強信息系統(tǒng)的安全力度�����。入侵檢測的步驟如下:
收集系統(tǒng)�����、網(wǎng)絡(luò)��、數(shù)據(jù)及用戶活動的狀態(tài)和行為的信息
入侵檢測一般采用分布式結(jié)構(gòu)�,在計算機網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(不同網(wǎng)段和不同主機)收集信息���,一方面擴大檢測范圍,另一方面通過多個采集點的信息的比較來判斷是否存在可疑現(xiàn)象或發(fā)生入侵行為�。
入侵檢測所利用的信息一般來自以下4個方面:系統(tǒng)和網(wǎng)絡(luò)日志文件、目錄和文件中的不期望的改變�、程序執(zhí)行中的不期望行為、物理形式的入侵信息��。
(2)根據(jù)收集到的信息進行分析
常用的分析方法有模式匹配�、統(tǒng)計分析、完整性分析���。模式匹配是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進行比較�����,從而發(fā)現(xiàn)違背安全策略的行為��。
統(tǒng)計分析方法首先給系統(tǒng)對象(如用戶�����、文件��、目錄和設(shè)備等)創(chuàng)建一個統(tǒng)計描述�����,統(tǒng)計正常使用時的一些測量屬性����。測量屬性的平均值將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進行比較�����。當(dāng)觀察值超出正常值范圍時�,就有可能發(fā)生入侵行為��。該方法的難點是閾值的選擇���,閾值太小可能產(chǎn)生錯誤的入侵報告���,閾值太大可能漏報一些入侵事件。
完整性分析主要關(guān)注某個文件或?qū)ο笫欠癖桓?���,包括文件和目錄的?nèi)容及屬性。該方法能有效地防范特洛伊木馬的攻擊。
3 分類及存在的問題
入侵檢測通過對入侵和攻擊行為的檢測��,查出系統(tǒng)的入侵者或合法用戶對系統(tǒng)資源的濫用和誤用��。工作總結(jié) 根據(jù)不同的檢測方法�,將入侵檢測分為異常入侵檢測(Anomaly Detection)和誤用人侵檢測(Misuse Detection)。
3.1 異常檢測
又稱為基于行為的檢測��。其基本前提是:假定所有的入侵行為都是異常的�����。首先建立系統(tǒng)或用戶的“正?��!毙袨樘卣鬏喞?���,通過比較當(dāng)前的系統(tǒng)或用戶的行為是否偏離正常的行為特征輪廓來判斷是否發(fā)生了入侵�����。此方法不依賴于是否表現(xiàn)出具體行為來進行檢測�����,是一種間接的方法。
常用的具體方法有:統(tǒng)計異常檢測方法����、基于特征選擇異常檢測方法、基于貝葉斯推理異常檢測方法�、基于貝葉斯網(wǎng)絡(luò)異常檢測方法、基于模式預(yù)測異常檢測方法���、基于神經(jīng)網(wǎng)絡(luò)異常檢測方法�、基于機器學(xué)習(xí)異常檢測方法����、基于數(shù)據(jù)采掘異常檢測方法等。
采用異常檢測的關(guān)鍵問題有如下兩個方面:
(1)特征量的選擇
在建立系統(tǒng)或用戶的行為特征輪廓的正常模型時�,選取的特征量既要能準(zhǔn)確地體現(xiàn)系統(tǒng)或用戶的行為特征��,又能使模型最優(yōu)化�����,即以最少的特征量就能涵蓋系統(tǒng)或用戶的行為特征����。
(2)參考閾值的選定
由于異常檢測是以正常的特征輪廓作為比較的參考基準(zhǔn),因此,參考閾值的選定是非常關(guān)鍵的�����。
閾值設(shè)定得過大��,那漏警率會很高���;閾值設(shè)定的過小�����,則虛警率就會提高����。合適的參考閾值的選定是決定這一檢測方法準(zhǔn)確率的至關(guān)重要的因素���。
由此可見�,異常檢測技術(shù)難點是“正?��!毙袨樘卣鬏喞拇_定����、特征量的選取、特征輪廓的更新����。由于這幾個因素的制約,異常檢測的虛警率很高�����,但對于未知的入侵行為的檢測非常有效����。此外,由于需要實時地建立和更新系統(tǒng)或用戶的特征輪廓�����,這樣所需的計算量很大�����,對系統(tǒng)的處理性能要求很高����。
3.2 誤用檢測
又稱為基于知識的檢測�����。其基本前提是:假定所有可能的入侵行為都能被識別和表示。首先����,留學(xué)生論文 對已知的攻擊方法進行攻擊簽名(攻擊簽名是指用一種特定的方式來表示已知的攻擊模式)表示,然后根據(jù)已經(jīng)定義好的攻擊簽名���,通過判斷這些攻擊簽名是否出現(xiàn)來判斷入侵行為的發(fā)生與否��。這種方法是依據(jù)是否出現(xiàn)攻擊簽名來判斷入侵行為�,是一種直接的方法�。
常用的具體方法有:基于條件概率誤用入侵檢測方法、基于專家系統(tǒng)誤用入侵檢測方法�、基于狀態(tài)遷移分析誤用入侵檢測方法、基于鍵盤監(jiān)控誤用入侵檢測方法�、基于模型誤用入侵檢測方法。誤用檢測的關(guān)鍵問題是攻擊簽名的正確表示��。
誤用檢測是根據(jù)攻擊簽名來判斷入侵的��,根據(jù)對已知的攻擊方法的了解��,用特定的模式語言來表示這種攻擊��,使得攻擊簽名能夠準(zhǔn)確地表示入侵行為及其所有可能的變種,同時又不會把非入侵行為包含進來���。由于多數(shù)入侵行為是利用系統(tǒng)的漏洞和應(yīng)用程序的缺陷�����,因此�,通過分析攻擊過程的特征���、條件�����、排列以及事件間的關(guān)系�����,就可具體描述入侵行為的跡象�����。這些跡象不僅對分析已經(jīng)發(fā)生的入侵行為有幫助��,而且對即將發(fā)生的入侵也有預(yù)警作用��。
誤用檢測將收集到的信息與已知的攻擊簽名模式庫進行比較����,從中發(fā)現(xiàn)違背安全策略的行為�����。由于只需要收集相關(guān)的數(shù)據(jù)����,這樣系統(tǒng)的負(fù)擔(dān)明顯減少。該方法類似于病毒檢測系統(tǒng)�,其檢測的準(zhǔn)確率和效率都比較高。但是它也存在一些缺點��。
3.2.1 不能檢測未知的入侵行為
由于其檢測機理是對已知的入侵方法進行模式提取�����,對于未知的入侵方法就不能進行有效的檢測���。也就是說漏警率比較高�����。
3.2.2 與系統(tǒng)的相關(guān)性很強
對于不同實現(xiàn)機制的操作系統(tǒng)��,由于攻擊的方法不盡相同���,很難定義出統(tǒng)一的模式庫���。另外,誤用檢測技術(shù)也難以檢測出內(nèi)部人員的入侵行為����。
目前,由于誤用檢測技術(shù)比較成熟�����,多數(shù)的商業(yè)產(chǎn)品都主要是基于誤用檢測模型的�����。不過���,為了增強檢測功能���,不少產(chǎn)品也加入了異常檢測的方法�。
4 入侵檢測的發(fā)展方向
隨著信息系統(tǒng)對一個國家的社會生產(chǎn)與國民經(jīng)濟的影響越來越大�,再加上網(wǎng)絡(luò)攻擊者的攻擊工具與手法日趨復(fù)雜化�,信息戰(zhàn)已逐步被各個國家重視。近年來�����,入侵檢測有如下幾個主要發(fā)展方向:
4.1 分布式入侵檢測與通用入侵檢測架構(gòu)
傳統(tǒng)的IDS一般局限于單一的主機或網(wǎng)絡(luò)架構(gòu)����,對異構(gòu)系統(tǒng)及大規(guī)模的網(wǎng)絡(luò)的監(jiān)測明顯不足,再加上不同的IDS系統(tǒng)之間不能很好地協(xié)同工作��。為解決這一問題�,需要采用分布式入侵檢測技術(shù)與通用入侵檢測架構(gòu)。
4.2應(yīng)用層入侵檢測
許多入侵的語義只有在應(yīng)用層才能理解��,然而目前的IDS僅能檢測到諸如Web之類的通用協(xié)議�����,而不能處理Lotus Notes����、數(shù)據(jù)庫系統(tǒng)等其他的應(yīng)用系統(tǒng)�����。許多基于客戶/服務(wù)器結(jié)構(gòu)�����、中間件技術(shù)及對象技術(shù)的大型應(yīng)用����,也需要應(yīng)用層的入侵檢測保護�。
4.3 智能的入侵檢測
入侵方法越來越多樣化與綜合化,盡管已經(jīng)有智能體�����、神經(jīng)網(wǎng)絡(luò)與遺傳算法在入侵檢測領(lǐng)域應(yīng)用研究����,但是,這只是一些嘗試性的研究工作�,需要對智能化的IDS加以進一步的研究,以解決其自學(xué)習(xí)與自適應(yīng)能力���。
4.4 入侵檢測的評測方法
用戶需對眾多的IDS系統(tǒng)進行評價���,評價指標(biāo)包括IDS檢測范圍���、系統(tǒng)資源占用、IDS自身的可靠性�����,從而設(shè)計出通用的入侵檢測測試與評估方法與平臺���,實現(xiàn)對多種IDS的檢測。
4.5 全面的安全防御方案
結(jié)合安全工程風(fēng)險管理的思想與方法來處理網(wǎng)絡(luò)安全問題�����,將網(wǎng)絡(luò)安全作為一個整體工程來處理��。從管理��、網(wǎng)絡(luò)結(jié)構(gòu)�����、加密通道、防火墻�����、病毒防護�����、入侵檢測多方位全面對所關(guān)注的網(wǎng)絡(luò)作全面的評估�,然后提出可行的全面解決方案。
綜上所述�,入侵檢測作為一種積極主動的安全防護技術(shù),提供了對內(nèi)部攻擊��、外部攻擊和誤操作的實時保護����,使網(wǎng)絡(luò)系統(tǒng)在受到危害之前即攔截和響應(yīng)入侵行為,為網(wǎng)絡(luò)安全增加一道屏障�����。隨著入侵檢測的研究與開發(fā)����,并在實際應(yīng)用中與其它網(wǎng)絡(luò)管理軟件相結(jié)合�����,使網(wǎng)絡(luò)安全可以從立體縱深�、多層次防御的角度出發(fā)��,形成人侵檢測�、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)監(jiān)控三位一體化����,從而更加有效地保護網(wǎng)絡(luò)的安全����。
參考文獻
l 吳新民.兩種典型的入侵檢測方法研究.計算機工程與應(yīng)用,2002��;38(10):181—183
2 羅妍�����,李仲麟���,陳憲.入侵檢測系統(tǒng)模型的比較.計算機應(yīng)用�����,2001�����;21(6):29~31
3 李渙洲.網(wǎng)絡(luò)安全與入侵檢測技術(shù).四川師范大學(xué)學(xué)報.2001�;24(3):426—428
篇8
1數(shù)據(jù)庫入侵檢測技術(shù)
計算機數(shù)據(jù)庫能夠安全有效的使用。入侵技術(shù)的檢測具有如下功能:(1)能有效的對用戶的行為進行監(jiān)控與分析��;(2)對計算機系統(tǒng)運行的變化弱點進行審計分析�����;(3)在檢測到入侵并識別之后進行預(yù)警�;(4)對計算機系統(tǒng)的異常信息進行分析,并對關(guān)鍵的信息進行評估分析��;(5)對檢測到操作系統(tǒng)的異常情況進行跟蹤處理���。一般的計算機入侵系統(tǒng)主要包括如圖1所示��。
1.1數(shù)據(jù)庫入侵檢測技術(shù)
計算機入侵檢測技術(shù)是在互聯(lián)網(wǎng)技術(shù)快速發(fā)展的時代背景下���,為了保證計算機數(shù)據(jù)庫的安全而產(chǎn)生的�?���?梢栽谟嬎銠C運行的過程中,對一些有可能危害計算機運行安全的網(wǎng)站或者病毒進行阻攔����,防止出現(xiàn)病毒入侵計算機數(shù)據(jù)庫的情況,保證計算機數(shù)據(jù)庫的安全���。利用入侵檢測技術(shù)�����,但計算機出現(xiàn)病毒即將入侵的情況時���,檢測系統(tǒng)就會自動響起報警系統(tǒng)����,這些計算機管理人員就會通過報警聲得知計算機出現(xiàn)安全問題,可以立即采取促使�,阻止并且的入侵行為,保護計算機數(shù)據(jù)庫的安全�。入侵檢測技術(shù)還可以對計算機內(nèi)部自帶的一些系統(tǒng)出現(xiàn)的入侵行為進行防范�,入侵檢測技術(shù)對一些可以收集一些沒有授權(quán)的信息��,可以提前這些信息進行入侵的防范工作����,當(dāng)在計算機運行時出現(xiàn)入侵行為以后能夠及時的做出反應(yīng)。將入侵檢測系統(tǒng)應(yīng)用在計算機數(shù)據(jù)庫的安全管理之中����,可以起到對計算機安全的監(jiān)控作用,通過對計算機運行的實時監(jiān)控和監(jiān)測�,保證能夠第一時間發(fā)展其中的問題。利用計算機監(jiān)測系統(tǒng)���,還可以減輕計算機檢測人員的工作量���,能夠使他們有更多的時間去制定解決入侵病毒,提高計算機數(shù)據(jù)安全管理的效率���。
1.2入侵檢測常用的兩種方法
1.2.1誤用檢測方法誤用檢測是入侵檢測技術(shù)中最常用的的一種檢測方法���,利用誤用檢測的方法,可以總結(jié)過去入侵的經(jīng)驗教訓(xùn)����,分析過去對計算機數(shù)據(jù)庫出現(xiàn)入侵的具體情況的解決措施���,總結(jié)出入侵的主要規(guī)律。通過對這些入侵規(guī)律的不斷了解�����,并且對計算機的運行情況進行監(jiān)測����,就可以發(fā)展計算機是否存在病毒入侵的情況。如果發(fā)現(xiàn)計算機數(shù)據(jù)庫存在著病毒入侵的情況��,通過誤用檢測的方法���,可以快速的分析出入侵的原因和情況�����,以至于能夠快速準(zhǔn)的制定解決方案。但是誤用檢測對系統(tǒng)內(nèi)部的入侵情況不能及時的做出反應(yīng)����,因為誤用方法不可能獨立的應(yīng)用�,職能依靠于一種具體的系統(tǒng)來進行����,這就會影響系統(tǒng)的移植性,造成不能對一些從未出現(xiàn)過的病毒進行檢測����,降低了檢測的準(zhǔn)確性。1.2.2異常檢測方法異常檢測方法是在計算機運行的基礎(chǔ)上�����,通過對計算機運行是否存在入侵情況的假設(shè)來進行的����。在利用異常檢測的方法進行系統(tǒng)的監(jiān)測時,通過將一些正常使用的模式和非正常使用的模式進行對比分析���,從對比出的不同結(jié)果來發(fā)現(xiàn)系統(tǒng)中存在的入侵行為�。這種異常檢測的方法和誤用檢測方法不同��,不用依賴系統(tǒng)進行操作����,降低了對系統(tǒng)入侵行為的局限性��,可以檢測出新型入侵行為��。但是異常檢測方法也存在著一些問題����,例如異常檢測方法雖然能夠檢測出入侵行為�,但是不能對入侵行為進行具體的描述,就會導(dǎo)致系統(tǒng)在檢測的過程中容易發(fā)生失誤問題�����。
2數(shù)據(jù)挖掘技術(shù)在數(shù)據(jù)庫入侵檢測中的應(yīng)用
為了防止數(shù)據(jù)庫數(shù)據(jù)的額損失��,防止出現(xiàn)數(shù)據(jù)庫入侵問題����,計算機數(shù)據(jù)管理專家不斷的根據(jù)先進的互聯(lián)網(wǎng)數(shù)據(jù)庫的特點進行研究和分析。將入侵檢測技術(shù)應(yīng)用到計算機數(shù)據(jù)庫的數(shù)據(jù)安全管理中����,可以有效的對計算機運行時出現(xiàn)的一些病毒或者是一些非正常的訪問進行阻擋,防止出現(xiàn)惡意軟件入侵?jǐn)?shù)據(jù)庫的情況�,保護了數(shù)據(jù)庫數(shù)據(jù)的安全�����。2.1數(shù)據(jù)挖掘技術(shù)概述在對數(shù)據(jù)庫的入侵情況進行檢測時,可以利用數(shù)據(jù)挖掘技術(shù)��?���?梢詫?shù)據(jù)庫之中的一些不完整的數(shù)據(jù)和正常完整的數(shù)據(jù)進行區(qū)分,并且可以將不完整的數(shù)據(jù)信息進行徹底的清除�。
2.2數(shù)據(jù)庫入侵檢測中常用的數(shù)據(jù)挖掘方法
2.2.1關(guān)聯(lián)規(guī)則的挖掘使用關(guān)聯(lián)規(guī)則的挖掘首先要在數(shù)據(jù)庫中找出記錄集合,通過對記錄集合分析和檢測���,發(fā)現(xiàn)其中數(shù)據(jù)之間存在的相似之處����,借助頻繁項集生成的規(guī)則�����,對數(shù)據(jù)進行挖掘�。2.2.2序列模式的挖掘使用序列模式的挖掘也是為了發(fā)展數(shù)據(jù)庫之中的數(shù)據(jù)存在的相似點。利用序列模式的挖掘的優(yōu)勢�,主要就是體現(xiàn)在可以對數(shù)據(jù)庫記錄之間時間窗口的挖掘�,可以在對數(shù)據(jù)庫中的數(shù)據(jù)進行審計時找出其中存在的規(guī)律��。
3結(jié)語
近幾年�,隨著社會經(jīng)濟的快速發(fā)展,已經(jīng)進去到了互聯(lián)網(wǎng)時代�����。網(wǎng)絡(luò)技術(shù)被廣泛到生產(chǎn)生活中��。為企業(yè)的發(fā)展了巨大的作用�����,但是在網(wǎng)絡(luò)技術(shù)快速發(fā)展的背景下��,也為企業(yè)的發(fā)展帶來了巨大的安全隱患�。網(wǎng)絡(luò)操作存在著病毒入侵的風(fēng)險,隨時可能對數(shù)據(jù)庫中的企業(yè)的信息安全造成威脅����,病毒入侵可能導(dǎo)致企業(yè)的商業(yè)機密泄露,影響企業(yè)在市場中的競爭力��。為了提高對計算機數(shù)據(jù)庫的安全管理����,本論文對數(shù)據(jù)庫入侵檢測技術(shù)進行了分析�����,希望能夠?qū)θ肭謾z測技術(shù)的推廣起到借鑒作用,保障網(wǎng)絡(luò)信息的基本安全����。
參考文獻
篇9
1 高校網(wǎng)絡(luò)環(huán)境的入侵檢測方案的問題
1.1 入侵檢測方案
隨著“計算機網(wǎng)絡(luò)技術(shù)”的高速發(fā)展,網(wǎng)絡(luò)終端���、測試平臺����、監(jiān)控系統(tǒng)等方面已經(jīng)出現(xiàn)相對完善的發(fā)展�。這些顯著的發(fā)展和技術(shù),為高校網(wǎng)絡(luò)環(huán)境提供了獲取信息的便利性�����,但不可否認(rèn)的是�,網(wǎng)絡(luò)安全已經(jīng)成為不能不考慮的問題。入侵檢測方案正是利用利用網(wǎng)絡(luò)平臺����,通過網(wǎng)絡(luò)與遠(yuǎn)程服務(wù)器交換���,將終端數(shù)據(jù)庫分布實現(xiàn)入侵檢測監(jiān)控的辦法。
1.2 高校網(wǎng)絡(luò)環(huán)境現(xiàn)狀
當(dāng)前�,高校網(wǎng)絡(luò)環(huán)境是虛擬網(wǎng)絡(luò)平臺。在網(wǎng)絡(luò)開放環(huán)境下���,虛擬網(wǎng)絡(luò)平臺的入侵檢測方案既要允許高校主機數(shù)據(jù)庫對專用用戶的可用性�����,又要保證對非法用戶的篩選和防御��。其實����,當(dāng)前大多數(shù)高校網(wǎng)絡(luò)環(huán)境的入侵方案是專用用戶才能評價發(fā)現(xiàn)檢測的模式��。在數(shù)據(jù)庫環(huán)境下��,高校網(wǎng)絡(luò)環(huán)境的設(shè)計理念應(yīng)盡量符合人的感知和認(rèn)知過程�,實現(xiàn)“用戶的高校網(wǎng)絡(luò)環(huán)境系統(tǒng)”。很多高校的網(wǎng)絡(luò)環(huán)境都是基于WEB的數(shù)據(jù)庫的轉(zhuǎn)換和數(shù)據(jù)交換監(jiān)控�����,數(shù)據(jù)庫相對簡單,斷接相當(dāng)頻繁��,入侵檢測的方式單一����,安全可靠性低。面對平臺和數(shù)據(jù)容量的增加�,客觀上要求基于自動檢測�����,能夠?qū)?shù)據(jù)庫進行分析���、聚類���、糾錯、響應(yīng)及時的遺傳算法的高效網(wǎng)絡(luò)��,才能處理訪問數(shù)據(jù)庫的繁雜��,實現(xiàn)專用用戶交互�����、完成網(wǎng)絡(luò)平臺多樣化數(shù)據(jù)的可擴展性。因此�,高校網(wǎng)絡(luò)環(huán)境情況影響著數(shù)據(jù)庫交換,更影響著入侵檢測方案實施和制定�,必須按照網(wǎng)絡(luò)平臺需求,構(gòu)建適應(yīng)高校網(wǎng)絡(luò)平臺的入侵檢測方案�。
1.3 高校網(wǎng)絡(luò)環(huán)境的入侵檢測方案的關(guān)鍵點
高校網(wǎng)絡(luò)環(huán)境的入侵檢測方案的關(guān)鍵點就是要充分利用高校網(wǎng)絡(luò)資源平臺,整合數(shù)據(jù)庫�、角色管理的安全模型、校園無縫隙監(jiān)控���、多方位反饋與應(yīng)對系統(tǒng)等資源�,預(yù)測或?qū)崟r處理高校網(wǎng)絡(luò)入侵時間的發(fā)生���。
2 高校網(wǎng)絡(luò)環(huán)境的入侵檢測方案思考
2.1 建立適合高校網(wǎng)絡(luò)環(huán)境的檢測系統(tǒng)平臺
在當(dāng)前高校網(wǎng)絡(luò)環(huán)境下的入侵檢測���,必須運用比較成熟“云計算技術(shù)”,實現(xiàn)檢測方案系統(tǒng)��。
云計算技術(shù)利用高速互聯(lián)網(wǎng)的傳輸能力�����,將計算、存儲���、軟件���、服務(wù)等資源從分散的個人計算機或服務(wù)器移植到互聯(lián)網(wǎng)中集中管理的大規(guī)模高性能計算機、個人計算機���、虛擬計算機中�,從而使用戶像使用電力一樣使用這些資源��。云計算表述了一種新的計算模式:應(yīng)用����、數(shù)據(jù)和IT資源以服務(wù)的方式通過網(wǎng)絡(luò)提供給用戶使用�。
從網(wǎng)絡(luò)平臺系統(tǒng)看,云計算也是一種基礎(chǔ)架構(gòu)管理的方法論����,大量的計算資源組成IT資源池,用于動態(tài)創(chuàng)建高度虛擬化的資源提供用戶使用�����。網(wǎng)絡(luò)平臺可將各種資源匯聚為“一個可動態(tài)分配的計算機系統(tǒng)資源池”,軟件����、硬件、數(shù)據(jù)��、信息服務(wù)等都可以在“云計算”這一平臺上租賃使用��。用戶無需了解底層系統(tǒng)的支撐架構(gòu)���,不需要維護和購買相應(yīng)的軟硬件�����,通過專用密鑰進入云計算平臺即可享用各種低成本的信息化服務(wù)�����。云計算能改變了原有的互聯(lián)網(wǎng)資源提供商需要獨立��、分散建造機房�、運營系統(tǒng)���、維護安全的困境�����,極大低降低了高校整體能源消耗����,為高校提供了綠色、低碳�、高效的IT基礎(chǔ)設(shè)施實施及檢測管理方案。 轉(zhuǎn)貼于
2.2 入侵檢測機制
高校網(wǎng)絡(luò)環(huán)境的入侵檢測體系結(jié)構(gòu)在高校網(wǎng)絡(luò)環(huán)境的技術(shù)條件下�����,必須依據(jù)網(wǎng)絡(luò)NIDS模塊��,組建檢測管理平臺:主要有如下模塊組成:應(yīng)用任務(wù)模塊(負(fù)責(zé)系統(tǒng)管理功能)���;入侵檢測與分析模塊;數(shù)據(jù)庫交換模塊(負(fù)責(zé)數(shù)據(jù)包嗅探�����、預(yù)處理過濾和固定字段模式匹配)�����。入侵檢測主要功能就是實現(xiàn)網(wǎng)絡(luò)環(huán)境下實時流量分析以及入侵檢測功能。針對硬件邏輯和核心態(tài)軟件邏輯采用的高效檢測策略����,利用入侵檢測模塊中,入侵檢測模型包括三個主要的流程:
第一步驟:高校網(wǎng)絡(luò)環(huán)境的入侵檢測體系的調(diào)度平臺�����,從用戶請求隊列中取出優(yōu)先級最高的用戶請求R��。R首先讀取元數(shù)據(jù)庫���,根據(jù)用戶請求的硬件資源判斷是否能被當(dāng)前空閑的物理機資源滿足�,如CPU頻率�����、核心數(shù)����、帶寬、存儲����、硬盤空間等�����。如果能滿足�,則直接轉(zhuǎn)向步驟2�����;如果不能滿足�,判斷是否可以通過平臺虛擬機遷移,釋放相關(guān)資源����;如果可以則在執(zhí)行遷移步驟,轉(zhuǎn)步驟2����;如果即使遷移也無法完成,則退出��,并報告用戶資源無法完成請求����。
第二步驟:如果資源請求可以滿足,調(diào)度服務(wù)器從存儲結(jié)點中選擇與用戶請求對應(yīng)的虛擬機模板T(對于新建立的虛擬機)或虛擬機鏡像I����。
第三步驟:調(diào)度服務(wù)器將I遷入對應(yīng)的物理機,并創(chuàng)建對應(yīng)的虛擬機實例V����。
如果平臺需要調(diào)整現(xiàn)有物理機上的虛擬機分布,如何以最小的調(diào)整代價�����,實現(xiàn)資源的重新分配���。對于部分平臺�����,由于遷移可能造成虛擬平臺的不穩(wěn)定�����;遷移的條件要求較高���,以確保最少的虛擬機受到影響為準(zhǔn)�����。
3 結(jié)論
高校網(wǎng)絡(luò)環(huán)境的入侵檢測方案的思考�,是適應(yīng)高校檢測環(huán)境的發(fā)展要求�,必須把握其發(fā)展方向和關(guān)鍵技術(shù);實現(xiàn)高校網(wǎng)絡(luò)環(huán)境入侵檢測方案����。在現(xiàn)代技術(shù)條件下高校網(wǎng)絡(luò)環(huán)境雖然技術(shù)存在的一些缺陷,但入侵檢測方案成為主流監(jiān)控手段的發(fā)展方向已經(jīng)不可改變���。我們相信���,基于高校網(wǎng)絡(luò)環(huán)境的入侵檢測方案的理念,相信能夠成為新的監(jiān)控技術(shù)發(fā)展的亮點���。
參考文獻
[1]申建剛�、夏國平����、邱鞏強,基于云計算技術(shù)虛擬現(xiàn)實的施工設(shè)備布置系統(tǒng)����,計算機集成制造系統(tǒng),2009.10.
[2]劉秀玲����、杜歡平、楊國杰�����,分布式多交互虛擬場景渲染的協(xié)同控制��,計算機工程與應(yīng)用����,2009.29.
篇10
目前,開放式網(wǎng)絡(luò)環(huán)境使人們充分享受著數(shù)字化��,信息化給人們?nèi)粘5墓ぷ魃顚W(xué)習(xí)帶來的巨大便利,也因此對計算機網(wǎng)絡(luò)越來越強的依賴性��,與此同時,各種針對網(wǎng)絡(luò)的攻擊與破壞日益增多�,成為制約網(wǎng)絡(luò)技術(shù)發(fā)展的一大障礙。傳統(tǒng)的安全技術(shù)并不能對系統(tǒng)是否真的沒有被入侵有任何保證�����。入侵檢測系統(tǒng)已經(jīng)成為信息網(wǎng)絡(luò)安全其必不可少的一道防線。
人體內(nèi)有一個免疫系統(tǒng)�,它是人體抵御病原菌侵犯最重要的保衛(wèi)系統(tǒng),主要手段是依靠自身的防御體系和免疫能力�����。一些學(xué)者試圖學(xué)習(xí)和模仿生物機體的這種能力��,將其移植到計算機網(wǎng)絡(luò)安全方面�����。相關(guān)研究很多都基于生物免疫系統(tǒng)的體系結(jié)構(gòu)和免疫機制[5]����。基于免疫理論的研究已逐漸成為目前人們研究的一個重要方向���,其研究成果將會為計算機網(wǎng)絡(luò)安全提供一條新的途徑����。
一���、入侵檢測簡介
入侵即入侵者利用主機或網(wǎng)絡(luò)中程序的漏洞��,對特權(quán)程序進行非法或異常的調(diào)用�����,使外網(wǎng)攻擊者侵入內(nèi)網(wǎng)獲取內(nèi)網(wǎng)的資源����。入侵檢測即是檢測各種非法的入侵行為����。入侵檢測提供了對網(wǎng)絡(luò)的實時保護,在系統(tǒng)受到危害時提前有所作為�����。入侵檢測嚴(yán)密監(jiān)視系統(tǒng)的各種不安全的活動�����,識別用戶不安全的行為���。入侵檢測應(yīng)付各種網(wǎng)絡(luò)攻擊����,提高了用戶的安全性。入侵檢測[4]技術(shù)就是為保證網(wǎng)路系統(tǒng)的安全而設(shè)計的一種可以檢測系統(tǒng)中異常的����、不安全的行為的技術(shù)。
二�����、基于免疫機理的入侵檢測系統(tǒng)
(一)入侵檢測系統(tǒng)和自然免疫系統(tǒng)用四元函數(shù)組來定義一個自然免疫系統(tǒng)∑nis[5]����,∑nis=(xnis,ωnis,ynis,gnis)xnis是輸入,它為各種類型的抗原���,令z表示所有抗原���,抗原包括自身蛋白集合和病原體集合這兩個互斥的集合,即�����,用w表示自身蛋白集合�,nw表示病原體集合�����,有s∪nw=z���,w=ynis是輸出,只考慮免疫系統(tǒng)對病原體的識別而不計免疫效應(yīng)��,ynis取0或1�,分別表示自然免疫系統(tǒng)判別輸入時的自身或非自身。
gnis是一個自然免疫系統(tǒng)輸入輸出之間的非線性關(guān)系函數(shù)��,則有ynis=gnis(xnis)=ωnis為自然免疫系統(tǒng)的內(nèi)部組成��。而根據(jù)系統(tǒng)的定義�,入侵檢測系統(tǒng)可以表示為∑ids=(xids,ωids,yids,gids)
式中��,xids是入侵檢測系統(tǒng)的輸入�����。令m表示是整個論域�����,整個論域也可以劃分成為兩個互斥的集合即入侵集合,表示為i和正常集合表示﹁i�,有i∪﹁i=m,i∩﹁i=輸入xids�,輸出yids,此時入侵檢測系統(tǒng)具有報警s和不報警﹁a兩種狀態(tài)�,報警用1表示,不報警用0表示��。
gids表示輸入與輸出之間的非線性函數(shù)關(guān)系���,則有yids=gids(xids)=ωids是自然免疫系統(tǒng)的內(nèi)部組成����。不同種類的檢測系統(tǒng)具有不同的ωids�����,產(chǎn)生不同的ωids�,從而將輸入向量映射到輸出。
(二)基于自然免疫機理的入侵檢測系統(tǒng)的設(shè)計
自然免疫系統(tǒng)是一個識別病原菌的系統(tǒng)�����,與網(wǎng)絡(luò)入侵檢測系統(tǒng)有很多類似之處���,因此自然免疫系統(tǒng)得到一個設(shè)計網(wǎng)絡(luò)入侵檢測系統(tǒng)的啟發(fā)����,我們先來研究自然入侵檢測系統(tǒng)的動態(tài)防護性、檢測性能���、自適應(yīng)性以及系統(tǒng)健壯性這四個特性[5]���。
1.動態(tài)防護性。
自然免疫系統(tǒng)可以用比較少的資源完成相對復(fù)雜的檢測任務(wù)�。人體約有1016種病原體需要識別,自然免疫系統(tǒng)采用動態(tài)防護�,任一時刻,淋巴檢測器只能檢測到病原體的一個子集��,但淋巴檢測器每天都會及時更新����,所以每天檢測的病原體是不同的����,淋巴細(xì)胞的及時更新,來應(yīng)對當(dāng)前的待檢病原體����。
2.檢測性能�。
自然免疫系統(tǒng)具有非常強的低預(yù)警率和高檢測率���。之所以具有這樣好的檢測性能��,是因為自然免疫系統(tǒng)具有多樣性�、多層次���、異常檢測能力����、獨特性等多種特性��。
3.自適應(yīng)性�。
自然免疫系統(tǒng)具有良好的自適應(yīng)性,檢測器一般情況下能夠檢測到頻率比較高的攻擊規(guī)則�,很少或基本根本沒有檢測到入侵的規(guī)則,將會被移出常用檢測規(guī)則庫�����,這樣就會使得規(guī)則庫中的規(guī)則一直可以檢測到經(jīng)常遇到的攻擊��。基于免疫機理的入侵檢測系統(tǒng)采用異常檢測方法檢測攻擊���,對通過異常檢測到的攻擊提取異常特征形成新的檢測規(guī)則�,當(dāng)這些入侵再次出現(xiàn)時直接通過規(guī)則匹配直接就可以檢測到��。
4.健壯性����。
自然免疫系統(tǒng)采用了高度分布式的結(jié)構(gòu),基于免疫機理研究出的入侵檢測系統(tǒng)也包含多個子系統(tǒng)和大量遍布整個系統(tǒng)的檢測����,每個子系統(tǒng)或檢測僅能檢測某一個或幾類入侵,而多個子系統(tǒng)或大量檢測器的集合就能檢測到大多數(shù)入侵�,少量幾個的失效,不會影響整個系統(tǒng)的檢測能力[4]�����。
(三)基于免疫機理的入侵檢測系統(tǒng)體系架構(gòu)
根據(jù)上述所討論的思想����,現(xiàn)在我們提出基于免疫機理的入侵檢測系統(tǒng)aiids[1]��,包括如下四個組成部分:
1.主機入侵檢測子系統(tǒng)。
其入侵信息來源于被監(jiān)控主機的日志�����。它由多個組成�,主要監(jiān)控計算機網(wǎng)絡(luò)系統(tǒng)的完整保密以及可用性等方面。
2.網(wǎng)絡(luò)入侵子系統(tǒng)�。
其入侵信息來源于局域網(wǎng)的通信數(shù)據(jù)包。該數(shù)據(jù)包一般位于網(wǎng)絡(luò)節(jié)點處��,網(wǎng)絡(luò)入侵子系統(tǒng)首先對數(shù)據(jù)包的ip和tcp包頭進行解析��,然后收集數(shù)據(jù)組件���、解析包頭和提取組件特征���、生成抗體和組件的檢測、協(xié)同和報告�����、優(yōu)化規(guī)則���、掃描攻擊以及檢測機遇協(xié)議漏洞的攻擊和拒絕服務(wù)攻擊等����。
3.網(wǎng)絡(luò)節(jié)點入侵子系統(tǒng)。
其入侵信息來源于網(wǎng)絡(luò)的通信數(shù)據(jù)包�,網(wǎng)絡(luò)節(jié)點入侵子系統(tǒng)監(jiān)控網(wǎng)絡(luò)節(jié)點的數(shù)據(jù)包,對數(shù)據(jù)包進行解碼和分析����。他包括多個應(yīng)用層,用來檢測應(yīng)用層的各種攻擊����。
4.控制臺。
篇11
論文關(guān)鍵詞:計算機�,網(wǎng)絡(luò)安全,安全管理��,密鑰安全技術(shù)
當(dāng)今社會.網(wǎng)絡(luò)已經(jīng)成為信息交流便利和開放的代名詞.然而伴隨計算機與通信技術(shù)的迅猛發(fā)展.網(wǎng)絡(luò)攻擊與防御技術(shù)也在循環(huán)遞升����,原本網(wǎng)絡(luò)固有的優(yōu)越性、開放性和互聯(lián)性變成了信息安全隱患的便利橋梁.網(wǎng)絡(luò)安全已變成越來越棘手的問題在此.筆者僅談一些關(guān)于網(wǎng)絡(luò)安全及網(wǎng)絡(luò)攻擊的相關(guān)知識和一些常用的安全防范技術(shù)����。
1網(wǎng)絡(luò)信息安全的內(nèi)涵
網(wǎng)絡(luò)安全從其本質(zhì)上講就是網(wǎng)絡(luò)上的信息安全.指網(wǎng)絡(luò)系統(tǒng)硬件�����、軟件及其系統(tǒng)中數(shù)據(jù)的安全。網(wǎng)絡(luò)信息的傳輸��、存儲�、處理和使用都要求處于安全狀態(tài)可見.網(wǎng)絡(luò)安全至少應(yīng)包括靜態(tài)安全和動態(tài)安全兩種靜態(tài)安全是指信息在沒有傳輸和處理的狀態(tài)下信息內(nèi)容的秘密性、完整性和真實性:動態(tài)安全是指信息在傳輸過程中不被篡改�、竊取、遺失和破壞���。
2網(wǎng)絡(luò)信息安全的現(xiàn)狀
中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)的《第23次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》����。報告顯示��,截至2008年底�,中國網(wǎng)民數(shù)達到2.98億.手機網(wǎng)民數(shù)超1億達1.137億。
Research艾瑞市場咨詢根據(jù)公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局統(tǒng)計數(shù)據(jù)顯示.2006年中國(大陸)病毒造成的主要危害情況:“瀏覽器配置被修改”是用戶提及率最高的選項.達20.9%.其次病毒造成的影響還表現(xiàn)為“數(shù)據(jù)受損或丟失”18%.“系統(tǒng)使用受限”16.1%.“密碼被盜”13.1%.另外“受到病毒非法遠(yuǎn)程控制”提及率為6.1%“無影響”的只有4.2%�。
3安全防范重在管理
在網(wǎng)絡(luò)安全中.無論從采用的管理模型,還是技術(shù)控制���,最重要的還是貫徹始終的安全管理管理是多方面的.有信息的管理����、人員的管理、制度的管理���、機構(gòu)的管理等.它的作用也是最關(guān)鍵的.是網(wǎng)絡(luò)安全防范中的靈魂�。
在機構(gòu)或部門中.各層次人員的責(zé)任感.對信息安全的認(rèn)識�����、理解和重視程度��,都與網(wǎng)絡(luò)安全息息相關(guān)所以信息安全管理至少需要組織中的所有雇員的參與.此外還需要供應(yīng)商�、顧客或股東的參與和信息安全的專家建議在信息系統(tǒng)設(shè)計階段就將安全要求和控制一體化考慮進去.則成本會更低、效率會更高那么做好網(wǎng)絡(luò)信息安全管理.至少應(yīng)從下面幾個方面人手.再結(jié)合本部門的情況制定管理策略和措施:
①樹立正確的安全意識.要求每個員工都要清楚自己的職責(zé)分工如設(shè)立專職的系統(tǒng)管理員.進行定時強化培訓(xùn).對網(wǎng)絡(luò)運行情況進行定時檢測等��。
2)有了明確的職責(zé)分工.還要保障制度的貫徹落實.要加強監(jiān)督檢查建立嚴(yán)格的考核制度和獎懲機制是必要的����。
③對網(wǎng)絡(luò)的管理要遵循國家的規(guī)章制度.維持網(wǎng)絡(luò)有條不紊地運行。
④應(yīng)明確網(wǎng)絡(luò)信息的分類.按等級采取不同級別的安全保護����。
4網(wǎng)絡(luò)信息系統(tǒng)的安全防御
4.1防火墻技術(shù)
根據(jù)CNCERT/CC調(diào)查顯示.在各類網(wǎng)絡(luò)安全技術(shù)使用中.防火墻的使用率最高達到76.5%。防火墻的使用比例較高主要是因為它價格比較便宜.易安裝.并可在線升級等特點防火墻是設(shè)置在被保護網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障�����,以防止發(fā)生不可預(yù)測的、潛在破壞性的侵入��。它通過監(jiān)測�����、限制�����、更改跨越防火墻的數(shù)據(jù)流��,盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息����、結(jié)構(gòu)和運行狀況.以此來實現(xiàn)網(wǎng)絡(luò)的安全保護���。
4.2認(rèn)證技術(shù)
認(rèn)證是防止主動攻擊的重要技術(shù).它對開放環(huán)境中的各種消息系統(tǒng)的安全有重要作用.認(rèn)證的主要目的有兩個:
①驗證信息的發(fā)送者是真正的主人
2)驗證信息的完整性��,保證信息在傳送過程中未被竄改��、重放或延遲等�����。
4.3信息加密技術(shù)
加密是實現(xiàn)信息存儲和傳輸保密性的一種重要手段信息加密的方法有對稱密鑰加密和非對稱密鑰加密.兩種方法各有所長.可以結(jié)合使用.互補長短�。
4.4數(shù)字水印技術(shù)
信息隱藏主要研究如何將某一機密信息秘密隱藏于另一公開的信息中.然后通過公開信息的傳輸來傳遞機密信息對信息隱藏而吉.可能的監(jiān)測者或非法攔截者則難以從公開信息中判斷機密信息是否存在.難以截獲機密信息.從而能保證機密信息的安全隨著網(wǎng)絡(luò)技術(shù)和信息技術(shù)的廣泛應(yīng)用.信息隱藏技術(shù)的發(fā)展有了更加廣闊的應(yīng)用前景。數(shù)字水印是信息隱藏技術(shù)的一個重要研究方向.它是通過一定的算法將一些標(biāo)志性信息直接嵌到多媒體內(nèi)容中.但不影響原內(nèi)容的價值和使用.并且不能被人的感覺系統(tǒng)覺察或注意到�。
4.5入侵檢測技術(shù)的應(yīng)用
