序論:速發(fā)表網(wǎng)結(jié)合其深厚的文秘經(jīng)驗(yàn),特別為您篩選了11篇入侵檢測(cè)論文范文�����。如果您需要更多原創(chuàng)資料,歡迎隨時(shí)與我們的客服老師聯(lián)系��,希望您能從中汲取靈感和知識(shí)�����!
篇1
0引言
近年來(lái)����,隨著信息和網(wǎng)絡(luò)技術(shù)的高速發(fā)展以及政治���、經(jīng)濟(jì)或者軍事利益的驅(qū)動(dòng)����,計(jì)算機(jī)和網(wǎng)絡(luò)基礎(chǔ)設(shè)施�����,特別是各種官方機(jī)構(gòu)的網(wǎng)站�����,成為黑客攻擊的熱門目標(biāo)���。近年來(lái)對(duì)電子商務(wù)的熱切需求,更加激化了這種入侵事件的增長(zhǎng)趨勢(shì)。由于防火墻只防外不防內(nèi)���,并且很容易被繞過(guò)����,所以僅僅依賴防火墻的計(jì)算機(jī)系統(tǒng)已經(jīng)不能對(duì)付日益猖獗的入侵行為��,對(duì)付入侵行為的第二道防線——入侵檢測(cè)系統(tǒng)就被啟用了�。
1入侵檢測(cè)系統(tǒng)(IDS)概念
1980年,JamesP.Anderson第一次系統(tǒng)闡述了入侵檢測(cè)的概念�����,并將入侵行為分為外部滲透��、內(nèi)部滲透和不法行為三種�����,還提出了利用審計(jì)數(shù)據(jù)監(jiān)視入侵活動(dòng)的思想[1]。即其之后,1986年DorothyE.Denning提出實(shí)時(shí)異常檢測(cè)的概念[2]并建立了第一個(gè)實(shí)時(shí)入侵檢測(cè)模型,命名為入侵檢測(cè)專家系統(tǒng)(IDES)�����,1990年����,L.T.Heberlein等設(shè)計(jì)出監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)流的入侵檢測(cè)系統(tǒng),NSM(NetworkSecurityMonitor)。自此之后�,入侵檢測(cè)系統(tǒng)才真正發(fā)展起來(lái)。
Anderson將入侵嘗試或威脅定義為:潛在的、有預(yù)謀的�����、未經(jīng)授權(quán)的訪問(wèn)信息、操作信息�����、致使系統(tǒng)不可靠或無(wú)法使用的企圖�����。而入侵檢測(cè)的定義為[4]:發(fā)現(xiàn)非授權(quán)使用計(jì)算機(jī)的個(gè)體(如“黑客”)或計(jì)算機(jī)系統(tǒng)的合法用戶濫用其訪問(wèn)系統(tǒng)的權(quán)利以及企圖實(shí)施上述行為的個(gè)體��。執(zhí)行入侵檢測(cè)任務(wù)的程序即是入侵檢測(cè)系統(tǒng)����。入侵檢測(cè)系統(tǒng)也可以定義為:檢測(cè)企圖破壞計(jì)算機(jī)資源的完整性����,真實(shí)性和可用性的行為的軟件�����。
入侵檢測(cè)系統(tǒng)執(zhí)行的主要任務(wù)包括[3]:監(jiān)視�����、分析用戶及系統(tǒng)活動(dòng)�����;審計(jì)系統(tǒng)構(gòu)造和弱點(diǎn);識(shí)別����、反映已知進(jìn)攻的活動(dòng)模式��,向相關(guān)人士報(bào)警;統(tǒng)計(jì)分析異常行為模式�;評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性���;審計(jì)�����、跟蹤管理操作系統(tǒng)����,識(shí)別用戶違反安全策略的行為�。入侵檢測(cè)一般分為三個(gè)步驟:信息收集、數(shù)據(jù)分析、響應(yīng)�。
入侵檢測(cè)的目的:(1)識(shí)別入侵者�;(2)識(shí)別入侵行為�����;(3)檢測(cè)和監(jiān)視以實(shí)施的入侵行為�����;(4)為對(duì)抗入侵提供信息,阻止入侵的發(fā)生和事態(tài)的擴(kuò)大;
2入侵檢測(cè)系統(tǒng)模型
美國(guó)斯坦福國(guó)際研究所(SRI)的D.E.Denning于1986年首次提出一種入侵檢測(cè)模型[2]����,該模型的檢測(cè)方法就是建立用戶正常行為的描述模型�����,并以此同當(dāng)前用戶活動(dòng)的審計(jì)記錄進(jìn)行比較��,如果有較大偏差���,則表示有異?��;顒?dòng)發(fā)生。這是一種基于統(tǒng)計(jì)的檢測(cè)方法。隨著技術(shù)的發(fā)展,后來(lái)人們又提出了基于規(guī)則的檢測(cè)方法。結(jié)合這兩種方法的優(yōu)點(diǎn)����,人們?cè)O(shè)計(jì)出很多入侵檢測(cè)的模型�����。通用入侵檢測(cè)構(gòu)架(CommonIntrusionDetectionFramework簡(jiǎn)稱CIDF)組織,試圖將現(xiàn)有的入侵檢測(cè)系統(tǒng)標(biāo)準(zhǔn)化����,CIDF闡述了一個(gè)入侵檢測(cè)系統(tǒng)的通用模型(一般稱為CIDF模型)�。它將一個(gè)入侵檢測(cè)系統(tǒng)分為以下四個(gè)組件:
事件產(chǎn)生器(EventGenerators)
事件分析器(Eventanalyzers)
響應(yīng)單元(Responseunits)
事件數(shù)據(jù)庫(kù)(Eventdatabases)
它將需要分析的數(shù)據(jù)通稱為事件,事件可以是基于網(wǎng)絡(luò)的數(shù)據(jù)包也可以是基于主機(jī)的系統(tǒng)日志中的信息���。事件產(chǎn)生器的目的是從整個(gè)計(jì)算機(jī)環(huán)境中獲得事件,并向系統(tǒng)其它部分提供此事件��。事件分析器分析得到的事件并產(chǎn)生分析結(jié)果。響應(yīng)單元?jiǎng)t是對(duì)分析結(jié)果做出反應(yīng)的功能單元����,它可以做出切斷連接、修改文件屬性等強(qiáng)烈反應(yīng)。事件數(shù)據(jù)庫(kù)是存放各種中間和最終數(shù)據(jù)的地方的通稱�����,它可以是復(fù)雜的數(shù)據(jù)庫(kù)也可以是簡(jiǎn)單的文本文件。
3入侵檢測(cè)系統(tǒng)的分類:
現(xiàn)有的IDS的分類����,大都基于信息源和分析方法。為了體現(xiàn)對(duì)IDS從布局、采集���、分析����、響應(yīng)等各個(gè)層次及系統(tǒng)性研究方面的問(wèn)題�,在這里采用五類標(biāo)準(zhǔn):控制策略��、同步技術(shù)�、信息源���、分析方法��、響應(yīng)方式。
按照控制策略分類
控制策略描述了IDS的各元素是如何控制的��,以及IDS的輸入和輸出是如何管理的。按照控制策略IDS可以劃分為,集中式IDS、部分分布式IDS和全部分布式IDS。在集中式IDS中��,一個(gè)中央節(jié)點(diǎn)控制系統(tǒng)中所有的監(jiān)視�����、檢測(cè)和報(bào)告�。在部分分布式IDS中,監(jiān)控和探測(cè)是由本地的一個(gè)控制點(diǎn)控制,層次似的將報(bào)告發(fā)向一個(gè)或多個(gè)中心站�����。在全分布式IDS中,監(jiān)控和探測(cè)是使用一種叫“”的方法��,進(jìn)行分析并做出響應(yīng)決策。
按照同步技術(shù)分類
同步技術(shù)是指被監(jiān)控的事件以及對(duì)這些事件的分析在同一時(shí)間進(jìn)行���。按照同步技術(shù)劃分�,IDS劃分為間隔批任務(wù)處理型IDS和實(shí)時(shí)連續(xù)性IDS�����。在間隔批任務(wù)處理型IDS中���,信息源是以文件的形式傳給分析器�����,一次只處理特定時(shí)間段內(nèi)產(chǎn)生的信息��,并在入侵發(fā)生時(shí)將結(jié)果反饋給用戶。很多早期的基于主機(jī)的IDS都采用這種方案�。在實(shí)時(shí)連續(xù)型IDS中����,事件一發(fā)生�,信息源就傳給分析引擎�,并且立刻得到處理和反映。實(shí)時(shí)IDS是基于網(wǎng)絡(luò)IDS首選的方案���。
按照信息源分類
按照信息源分類是目前最通用的劃分方法����,它分為基于主機(jī)的IDS、基于網(wǎng)絡(luò)的IDS和分布式IDS����?�;谥鳈C(jī)的IDS通過(guò)分析來(lái)自單個(gè)的計(jì)算機(jī)系統(tǒng)的系統(tǒng)審計(jì)蹤跡和系統(tǒng)日志來(lái)檢測(cè)攻擊�����?���;谥鳈C(jī)的IDS是在關(guān)鍵的網(wǎng)段或交換部位通過(guò)捕獲并分析網(wǎng)絡(luò)數(shù)據(jù)包來(lái)檢測(cè)攻擊�。分布式IDS����,能夠同時(shí)分析來(lái)自主機(jī)系統(tǒng)日志和網(wǎng)絡(luò)數(shù)據(jù)流�����,系統(tǒng)由多個(gè)部件組成��,采用分布式結(jié)構(gòu)�。
按照分析方法分類
按照分析方法IDS劃分為濫用檢測(cè)型IDS和異常檢測(cè)型IDS���。濫用檢測(cè)型的IDS中�����,首先建立一個(gè)對(duì)過(guò)去各種入侵方法和系統(tǒng)缺陷知識(shí)的數(shù)據(jù)庫(kù)�����,當(dāng)收集到的信息與庫(kù)中的原型相符合時(shí)則報(bào)警���。任何不符合特定條件的活動(dòng)將會(huì)被認(rèn)為合法�,因此這樣的系統(tǒng)虛警率很低�。異常檢測(cè)型IDS是建立在如下假設(shè)的基礎(chǔ)之上的�����,即任何一種入侵行為都能由于其偏離正?��;蛘咚谕南到y(tǒng)和用戶活動(dòng)規(guī)律而被檢測(cè)出來(lái)���。所以它需要一個(gè)記錄合法活動(dòng)的數(shù)據(jù)庫(kù)�,由于庫(kù)的有限性使得虛警率比較高�����。
按照響應(yīng)方式分類
按照響應(yīng)方式IDS劃分為主動(dòng)響應(yīng)IDS和被動(dòng)響應(yīng)IDS��。當(dāng)特定的入侵被檢測(cè)到時(shí)�����,主動(dòng)IDS會(huì)采用以下三種響應(yīng):收集輔助信息��;改變環(huán)境以堵住導(dǎo)致入侵發(fā)生的漏洞���;對(duì)攻擊者采取行動(dòng)(這是一種不被推薦的做法,因?yàn)樾袨橛悬c(diǎn)過(guò)激)。被動(dòng)響應(yīng)IDS則是將信息提供給系統(tǒng)用戶,依靠管理員在這一信息的基礎(chǔ)上采取進(jìn)一步的行動(dòng)�����。
4IDS的評(píng)價(jià)標(biāo)準(zhǔn)
目前的入侵檢測(cè)技術(shù)發(fā)展迅速���,應(yīng)用的技術(shù)也很廣泛�����,如何來(lái)評(píng)價(jià)IDS的優(yōu)缺點(diǎn)就顯得非常重要。評(píng)價(jià)IDS的優(yōu)劣主要有這樣幾個(gè)方面[5]:(1)準(zhǔn)確性。準(zhǔn)確性是指IDS不會(huì)標(biāo)記環(huán)境中的一個(gè)合法行為為異常或入侵��。(2)性能。IDS的性能是指處理審計(jì)事件的速度。對(duì)一個(gè)實(shí)時(shí)IDS來(lái)說(shuō)��,必須要求性能良好�����。(3)完整性�。完整性是指IDS能檢測(cè)出所有的攻擊。(4)故障容錯(cuò)(faulttolerance)����。當(dāng)被保護(hù)系統(tǒng)遭到攻擊和毀壞時(shí)����,能迅速恢復(fù)系統(tǒng)原有的數(shù)據(jù)和功能。(5)自身抵抗攻擊能力。這一點(diǎn)很重要�,尤其是“拒絕服務(wù)”攻擊���。因?yàn)槎鄶?shù)對(duì)目標(biāo)系統(tǒng)的攻擊都是采用首先用“拒絕服務(wù)”攻擊摧毀IDS�,再實(shí)施對(duì)系統(tǒng)的攻擊����。(6)及時(shí)性(Timeliness)。一個(gè)IDS必須盡快地執(zhí)行和傳送它的分析結(jié)果,以便在系統(tǒng)造成嚴(yán)重危害之前能及時(shí)做出反應(yīng),阻止攻擊者破壞審計(jì)數(shù)據(jù)或IDS本身。
除了上述幾個(gè)主要方面�����,還應(yīng)該考慮以下幾個(gè)方面:(1)IDS運(yùn)行時(shí),額外的計(jì)算機(jī)資源的開銷;(2)誤警報(bào)率/漏警報(bào)率的程度��;(3)適應(yīng)性和擴(kuò)展性;(4)靈活性����;(5)管理的開銷���;(6)是否便于使用和配置。
5IDS的發(fā)展趨
隨著入侵檢測(cè)技術(shù)的發(fā)展�,成型的產(chǎn)品已陸續(xù)應(yīng)用到實(shí)踐中�����。入侵檢測(cè)系統(tǒng)的典型代表是ISS(國(guó)際互聯(lián)網(wǎng)安全系統(tǒng)公司)公司的RealSecure�。目前較為著名的商用入侵檢測(cè)產(chǎn)品還有:NAI公司的CyberCopMonitor、Axent公司的NetProwler�、CISCO公司的Netranger�、CA公司的Sessionwall-3等���。國(guó)內(nèi)的該類產(chǎn)品較少����,但發(fā)展很快��,已有總參北方所、中科網(wǎng)威、啟明星辰等公司推出產(chǎn)品�����。
人們?cè)谕晟圃屑夹g(shù)的基礎(chǔ)上�,又在研究新的檢測(cè)方法��,如數(shù)據(jù)融合技術(shù),主動(dòng)的自主方法,智能技術(shù)以及免疫學(xué)原理的應(yīng)用等�。其主要的發(fā)展方向可概括為:
(1)大規(guī)模分布式入侵檢測(cè)�����。傳統(tǒng)的入侵檢測(cè)技術(shù)一般只局限于單一的主機(jī)或網(wǎng)絡(luò)框架��,顯然不能適應(yīng)大規(guī)模網(wǎng)絡(luò)的監(jiān)測(cè)��,不同的入侵檢測(cè)系統(tǒng)之間也不能協(xié)同工作�。因此,必須發(fā)展大規(guī)模的分布式入侵檢測(cè)技術(shù)。
(2)寬帶高速網(wǎng)絡(luò)的實(shí)時(shí)入侵檢測(cè)技術(shù)�。大量高速網(wǎng)絡(luò)的不斷涌現(xiàn)����,各種寬帶接入手段層出不窮��,如何實(shí)現(xiàn)高速網(wǎng)絡(luò)下的實(shí)時(shí)入侵檢測(cè)成為一個(gè)現(xiàn)實(shí)的問(wèn)題���。
(3)入侵檢測(cè)的數(shù)據(jù)融合技術(shù)。目前的IDS還存在著很多缺陷��。首先�����,目前的技術(shù)還不能對(duì)付訓(xùn)練有素的黑客的復(fù)雜的攻擊�����。其次���,系統(tǒng)的虛警率太高����。最后�,系統(tǒng)對(duì)大量的數(shù)據(jù)處理�����,非但無(wú)助于解決問(wèn)題,還降低了處理能力��。數(shù)據(jù)融合技術(shù)是解決這一系列問(wèn)題的好方法。
(4)與網(wǎng)絡(luò)安全技術(shù)相結(jié)合����。結(jié)合防火墻����,病毒防護(hù)以及電子商務(wù)技術(shù),提供完整的網(wǎng)絡(luò)安全保障��。
6結(jié)束語(yǔ)
在目前的計(jì)算機(jī)安全狀態(tài)下����,基于防火墻、加密技術(shù)的安全防護(hù)固然重要,但是���,要根本改善系統(tǒng)的安全現(xiàn)狀,必須要發(fā)展入侵檢測(cè)技術(shù)��,它已經(jīng)成為計(jì)算機(jī)安全策略中的核心技術(shù)之一。IDS作為一種主動(dòng)的安全防護(hù)技術(shù),提供了對(duì)內(nèi)部攻擊�����、外部攻擊和誤操作的實(shí)時(shí)保護(hù)�����。隨著網(wǎng)絡(luò)通信技術(shù)安全性的要求越來(lái)越高��,入侵檢測(cè)技術(shù)必將受到人們的高度重視�����。
參考文獻(xiàn):
[1]putersecuritythreatmonitoringandsurveillance[P].PA19034,USA,1980.4
[2]DenningDE.AnIntrusion-DetectionModel[A].IEEESymponSecurity&Privacy[C],1986.118-131
篇2
在網(wǎng)絡(luò)技術(shù)日新月異的今天,論文基于網(wǎng)絡(luò)的計(jì)算機(jī)應(yīng)用已經(jīng)成為發(fā)展的主流��。政府�、教育����、商業(yè)���、金融等機(jī)構(gòu)紛紛聯(lián)入Internet�����,全社會(huì)信息共享已逐步成為現(xiàn)實(shí)。然而�,近年來(lái),網(wǎng)上黑客的攻擊活動(dòng)正以每年10倍的速度增長(zhǎng)���。因此���,保證計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)以及整個(gè)信息基礎(chǔ)設(shè)施的安全已經(jīng)成為刻不容緩的重要課題���。
1防火墻
目前防范網(wǎng)絡(luò)攻擊最常用的方法是構(gòu)建防火墻�����。
防火墻作為一種邊界安全的手段���,在網(wǎng)絡(luò)安全保護(hù)中起著重要作用����。其主要功能是控制對(duì)網(wǎng)絡(luò)的非法訪問(wèn),通過(guò)監(jiān)視、限制、更改通過(guò)網(wǎng)絡(luò)的數(shù)據(jù)流�,一方面盡可能屏蔽內(nèi)部網(wǎng)的拓?fù)浣Y(jié)構(gòu)�����,另一方面對(duì)內(nèi)屏蔽外部危險(xiǎn)站點(diǎn),以防范外對(duì)內(nèi)的非法訪問(wèn)。然而,防火墻存在明顯的局限性�。
(1)入侵者可以找到防火墻背后可能敞開的后門��。如同深宅大院的高大院墻不能擋住老鼠的偷襲一樣����,防火墻有時(shí)無(wú)法阻止入侵者的攻擊���。
(2)防火墻不能阻止來(lái)自內(nèi)部的襲擊����。調(diào)查發(fā)現(xiàn)����,50%的攻擊都將來(lái)自于網(wǎng)絡(luò)內(nèi)部�����。
(3)由于性能的限制��,防火墻通常不能提供實(shí)時(shí)的入侵檢測(cè)能力。畢業(yè)論文而這一點(diǎn)��,對(duì)于層出不窮的網(wǎng)絡(luò)攻擊技術(shù)來(lái)說(shuō)是至關(guān)重要的�。
因此��,在Internet入口處部署防火墻系統(tǒng)是不能確保安全的���。單純的防火墻策略已經(jīng)無(wú)法滿足對(duì)安全高度敏感部門的需要,網(wǎng)絡(luò)的防衛(wèi)必須采用一種縱深的���、多樣化的手段�。
由于傳統(tǒng)防火墻存在缺陷����,引發(fā)了入侵檢測(cè)IDS(IntrusionDetectionSystem)的研究和開發(fā)���。入侵檢測(cè)是防火墻之后的第二道安全閘門,是對(duì)防火墻的合理補(bǔ)充�����,在不影響網(wǎng)絡(luò)性能的情況下����,通過(guò)對(duì)網(wǎng)絡(luò)的監(jiān)測(cè)�����,幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊,擴(kuò)展系統(tǒng)管理員的安全管理能力(包括安全審計(jì)�����、監(jiān)視�����、進(jìn)攻識(shí)別和響應(yīng))�,提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性,提供對(duì)內(nèi)部攻擊���、外部攻擊和誤操作的實(shí)時(shí)保護(hù)?��,F(xiàn)在,入侵檢測(cè)已經(jīng)成為網(wǎng)絡(luò)安全中一個(gè)重要的研究方向���,在各種不同的網(wǎng)絡(luò)環(huán)境中發(fā)揮重要作用�����。
2入侵檢測(cè)
2.1入侵檢測(cè)
入侵檢測(cè)是通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析,從中發(fā)現(xiàn)違反安全策略的行為和遭到攻擊的跡象���,并做出自動(dòng)的響應(yīng)��。其主要功能是對(duì)用戶和系統(tǒng)行為的監(jiān)測(cè)與分析�����、系統(tǒng)配置和漏洞的審計(jì)檢查、重要系統(tǒng)和數(shù)據(jù)文件的完整性評(píng)估�����、已知的攻擊行為模式的識(shí)別��、異常行為模式的統(tǒng)計(jì)分析����、操作系統(tǒng)的審計(jì)跟蹤管理及違反安全策略的用戶行為的識(shí)別。入侵檢測(cè)通過(guò)迅速地檢測(cè)入侵��,在可能造成系統(tǒng)損壞或數(shù)據(jù)丟失之前�,識(shí)別并驅(qū)除入侵者��,使系統(tǒng)迅速恢復(fù)正常工作��,并且阻止入侵者進(jìn)一步的行動(dòng)����。同時(shí),收集有關(guān)入侵的技術(shù)資料,用于改進(jìn)和增強(qiáng)系統(tǒng)抵抗入侵的能力��。
入侵檢測(cè)可分為基于主機(jī)型�、基于網(wǎng)絡(luò)型���、基于型三類。從20世紀(jì)90年代至今�����,英語(yǔ)論文已經(jīng)開發(fā)出一些入侵檢測(cè)的產(chǎn)品��,其中比較有代表性的產(chǎn)品有ISS(IntemetSecuritySystem)公司的Realsecure���,NAI(NetworkAssociates�,Inc)公司的Cybercop和Cisco公司的NetRanger�。
2.2檢測(cè)技術(shù)
入侵檢測(cè)為網(wǎng)絡(luò)安全提供實(shí)時(shí)檢測(cè)及攻擊行為檢測(cè),并采取相應(yīng)的防護(hù)手段�。例如,實(shí)時(shí)檢測(cè)通過(guò)記錄證據(jù)來(lái)進(jìn)行跟蹤��、恢復(fù)、斷開網(wǎng)絡(luò)連接等控制�;攻擊行為檢測(cè)注重于發(fā)現(xiàn)信息系統(tǒng)中可能已經(jīng)通過(guò)身份檢查的形跡可疑者��,進(jìn)一步加強(qiáng)信息系統(tǒng)的安全力度。入侵檢測(cè)的步驟如下:
收集系統(tǒng)�����、網(wǎng)絡(luò)��、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為的信息
入侵檢測(cè)一般采用分布式結(jié)構(gòu)���,在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)(不同網(wǎng)段和不同主機(jī))收集信息��,一方面擴(kuò)大檢測(cè)范圍�,另一方面通過(guò)多個(gè)采集點(diǎn)的信息的比較來(lái)判斷是否存在可疑現(xiàn)象或發(fā)生入侵行為���。
入侵檢測(cè)所利用的信息一般來(lái)自以下4個(gè)方面:系統(tǒng)和網(wǎng)絡(luò)日志文件�、目錄和文件中的不期望的改變、程序執(zhí)行中的不期望行為���、物理形式的入侵信息����。
(2)根據(jù)收集到的信息進(jìn)行分析
常用的分析方法有模式匹配��、統(tǒng)計(jì)分析���、完整性分析����。模式匹配是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫(kù)進(jìn)行比較,從而發(fā)現(xiàn)違背安全策略的行為�����。
統(tǒng)計(jì)分析方法首先給系統(tǒng)對(duì)象(如用戶�����、文件����、目錄和設(shè)備等)創(chuàng)建一個(gè)統(tǒng)計(jì)描述,統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性。測(cè)量屬性的平均值將被用來(lái)與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較����。當(dāng)觀察值超出正常值范圍時(shí)�����,就有可能發(fā)生入侵行為����。該方法的難點(diǎn)是閾值的選擇,閾值太小可能產(chǎn)生錯(cuò)誤的入侵報(bào)告,閾值太大可能漏報(bào)一些入侵事件��。
完整性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓?,包括文件和目錄的?nèi)容及屬性����。該方法能有效地防范特洛伊木馬的攻擊��。
3分類及存在的問(wèn)題
入侵檢測(cè)通過(guò)對(duì)入侵和攻擊行為的檢測(cè)�,查出系統(tǒng)的入侵者或合法用戶對(duì)系統(tǒng)資源的濫用和誤用��。工作總結(jié)根據(jù)不同的檢測(cè)方法,將入侵檢測(cè)分為異常入侵檢測(cè)(AnomalyDetection)和誤用人侵檢測(cè)(MisuseDetection)���。
3.1異常檢測(cè)
又稱為基于行為的檢測(cè)���。其基本前提是:假定所有的入侵行為都是異常的�。首先建立系統(tǒng)或用戶的“正?����!毙袨樘卣鬏喞ㄟ^(guò)比較當(dāng)前的系統(tǒng)或用戶的行為是否偏離正常的行為特征輪廓來(lái)判斷是否發(fā)生了入侵。此方法不依賴于是否表現(xiàn)出具體行為來(lái)進(jìn)行檢測(cè)����,是一種間接的方法。
常用的具體方法有:統(tǒng)計(jì)異常檢測(cè)方法����、基于特征選擇異常檢測(cè)方法��、基于貝葉斯推理異常檢測(cè)方法�����、基于貝葉斯網(wǎng)絡(luò)異常檢測(cè)方法�、基于模式預(yù)測(cè)異常檢測(cè)方法、基于神經(jīng)網(wǎng)絡(luò)異常檢測(cè)方法、基于機(jī)器學(xué)習(xí)異常檢測(cè)方法����、基于數(shù)據(jù)采掘異常檢測(cè)方法等�����。
采用異常檢測(cè)的關(guān)鍵問(wèn)題有如下兩個(gè)方面:
(1)特征量的選擇
在建立系統(tǒng)或用戶的行為特征輪廓的正常模型時(shí)�,選取的特征量既要能準(zhǔn)確地體現(xiàn)系統(tǒng)或用戶的行為特征,又能使模型最優(yōu)化����,即以最少的特征量就能涵蓋系統(tǒng)或用戶的行為特征。(2)參考閾值的選定
由于異常檢測(cè)是以正常的特征輪廓作為比較的參考基準(zhǔn),因此�,參考閾值的選定是非常關(guān)鍵的。
閾值設(shè)定得過(guò)大�,那漏警率會(huì)很高;閾值設(shè)定的過(guò)小��,則虛警率就會(huì)提高����。合適的參考閾值的選定是決定這一檢測(cè)方法準(zhǔn)確率的至關(guān)重要的因素���。
由此可見,異常檢測(cè)技術(shù)難點(diǎn)是“正常”行為特征輪廓的確定���、特征量的選取、特征輪廓的更新���。由于這幾個(gè)因素的制約�����,異常檢測(cè)的虛警率很高��,但對(duì)于未知的入侵行為的檢測(cè)非常有效�����。此外�����,由于需要實(shí)時(shí)地建立和更新系統(tǒng)或用戶的特征輪廓��,這樣所需的計(jì)算量很大,對(duì)系統(tǒng)的處理性能要求很高�����。
3.2誤用檢測(cè)
又稱為基于知識(shí)的檢測(cè)�。其基本前提是:假定所有可能的入侵行為都能被識(shí)別和表示����。首先�,留學(xué)生論文對(duì)已知的攻擊方法進(jìn)行攻擊簽名(攻擊簽名是指用一種特定的方式來(lái)表示已知的攻擊模式)表示����,然后根據(jù)已經(jīng)定義好的攻擊簽名�,通過(guò)判斷這些攻擊簽名是否出現(xiàn)來(lái)判斷入侵行為的發(fā)生與否。這種方法是依據(jù)是否出現(xiàn)攻擊簽名來(lái)判斷入侵行為,是一種直接的方法���。
常用的具體方法有:基于條件概率誤用入侵檢測(cè)方法�、基于專家系統(tǒng)誤用入侵檢測(cè)方法�、基于狀態(tài)遷移分析誤用入侵檢測(cè)方法�����、基于鍵盤監(jiān)控誤用入侵檢測(cè)方法、基于模型誤用入侵檢測(cè)方法��。誤用檢測(cè)的關(guān)鍵問(wèn)題是攻擊簽名的正確表示�。
誤用檢測(cè)是根據(jù)攻擊簽名來(lái)判斷入侵的,根據(jù)對(duì)已知的攻擊方法的了解���,用特定的模式語(yǔ)言來(lái)表示這種攻擊,使得攻擊簽名能夠準(zhǔn)確地表示入侵行為及其所有可能的變種�,同時(shí)又不會(huì)把非入侵行為包含進(jìn)來(lái)���。由于多數(shù)入侵行為是利用系統(tǒng)的漏洞和應(yīng)用程序的缺陷�,因此,通過(guò)分析攻擊過(guò)程的特征�、條件、排列以及事件間的關(guān)系,就可具體描述入侵行為的跡象。這些跡象不僅對(duì)分析已經(jīng)發(fā)生的入侵行為有幫助,而且對(duì)即將發(fā)生的入侵也有預(yù)警作用���。
誤用檢測(cè)將收集到的信息與已知的攻擊簽名模式庫(kù)進(jìn)行比較�,從中發(fā)現(xiàn)違背安全策略的行為�����。由于只需要收集相關(guān)的數(shù)據(jù)��,這樣系統(tǒng)的負(fù)擔(dān)明顯減少�����。該方法類似于病毒檢測(cè)系統(tǒng),其檢測(cè)的準(zhǔn)確率和效率都比較高。但是它也存在一些缺點(diǎn)���。
3.2.1不能檢測(cè)未知的入侵行為
由于其檢測(cè)機(jī)理是對(duì)已知的入侵方法進(jìn)行模式提取,對(duì)于未知的入侵方法就不能進(jìn)行有效的檢測(cè)��。也就是說(shuō)漏警率比較高�����。
3.2.2與系統(tǒng)的相關(guān)性很強(qiáng)
對(duì)于不同實(shí)現(xiàn)機(jī)制的操作系統(tǒng),由于攻擊的方法不盡相同,很難定義出統(tǒng)一的模式庫(kù)�����。另外�����,誤用檢測(cè)技術(shù)也難以檢測(cè)出內(nèi)部人員的入侵行為����。
目前,由于誤用檢測(cè)技術(shù)比較成熟,多數(shù)的商業(yè)產(chǎn)品都主要是基于誤用檢測(cè)模型的。不過(guò)�,為了增強(qiáng)檢測(cè)功能��,不少產(chǎn)品也加入了異常檢測(cè)的方法�。
4入侵檢測(cè)的發(fā)展方向
隨著信息系統(tǒng)對(duì)一個(gè)國(guó)家的社會(huì)生產(chǎn)與國(guó)民經(jīng)濟(jì)的影響越來(lái)越大�����,再加上網(wǎng)絡(luò)攻擊者的攻擊工具與手法日趨復(fù)雜化��,信息戰(zhàn)已逐步被各個(gè)國(guó)家重視����。近年來(lái),入侵檢測(cè)有如下幾個(gè)主要發(fā)展方向:
4.1分布式入侵檢測(cè)與通用入侵檢測(cè)架構(gòu)
傳統(tǒng)的IDS一般局限于單一的主機(jī)或網(wǎng)絡(luò)架構(gòu)����,對(duì)異構(gòu)系統(tǒng)及大規(guī)模的網(wǎng)絡(luò)的監(jiān)測(cè)明顯不足,再加上不同的IDS系統(tǒng)之間不能很好地協(xié)同工作。為解決這一問(wèn)題��,需要采用分布式入侵檢測(cè)技術(shù)與通用入侵檢測(cè)架構(gòu)���。
4.2應(yīng)用層入侵檢測(cè)
許多入侵的語(yǔ)義只有在應(yīng)用層才能理解��,然而目前的IDS僅能檢測(cè)到諸如Web之類的通用協(xié)議�,而不能處理LotusNotes��、數(shù)據(jù)庫(kù)系統(tǒng)等其他的應(yīng)用系統(tǒng)�����。許多基于客戶/服務(wù)器結(jié)構(gòu)�、中間件技術(shù)及對(duì)象技術(shù)的大型應(yīng)用�,也需要應(yīng)用層的入侵檢測(cè)保護(hù)���。
4.3智能的入侵檢測(cè)
入侵方法越來(lái)越多樣化與綜合化���,盡管已經(jīng)有智能體���、神經(jīng)網(wǎng)絡(luò)與遺傳算法在入侵檢測(cè)領(lǐng)域應(yīng)用研究��,但是,這只是一些嘗試性的研究工作,需要對(duì)智能化的IDS加以進(jìn)一步的研究,以解決其自學(xué)習(xí)與自適應(yīng)能力���。
4.4入侵檢測(cè)的評(píng)測(cè)方法
用戶需對(duì)眾多的IDS系統(tǒng)進(jìn)行評(píng)價(jià),評(píng)價(jià)指標(biāo)包括IDS檢測(cè)范圍���、系統(tǒng)資源占用、IDS自身的可靠性,從而設(shè)計(jì)出通用的入侵檢測(cè)測(cè)試與評(píng)估方法與平臺(tái)�����,實(shí)現(xiàn)對(duì)多種IDS的檢測(cè)�。
4.5全面的安全防御方案
結(jié)合安全工程風(fēng)險(xiǎn)管理的思想與方法來(lái)處理網(wǎng)絡(luò)安全問(wèn)題����,將網(wǎng)絡(luò)安全作為一個(gè)整體工程來(lái)處理。從管理�、網(wǎng)絡(luò)結(jié)構(gòu)、加密通道�����、防火墻、病毒防護(hù)、入侵檢測(cè)多方位全面對(duì)所關(guān)注的網(wǎng)絡(luò)作全面的評(píng)估�����,然后提出可行的全面解決方案��。
綜上所述�,入侵檢測(cè)作為一種積極主動(dòng)的安全防護(hù)技術(shù)��,提供了對(duì)內(nèi)部攻擊���、外部攻擊和誤操作的實(shí)時(shí)保護(hù),使網(wǎng)絡(luò)系統(tǒng)在受到危害之前即攔截和響應(yīng)入侵行為�����,為網(wǎng)絡(luò)安全增加一道屏障。隨著入侵檢測(cè)的研究與開發(fā)�����,并在實(shí)際應(yīng)用中與其它網(wǎng)絡(luò)管理軟件相結(jié)合,使網(wǎng)絡(luò)安全可以從立體縱深����、多層次防御的角度出發(fā)��,形成人侵檢測(cè)���、網(wǎng)絡(luò)管理����、網(wǎng)絡(luò)監(jiān)控三位一體化,從而更加有效地保護(hù)網(wǎng)絡(luò)的安全。
參考文獻(xiàn)
l吳新民.兩種典型的入侵檢測(cè)方法研究.計(jì)算機(jī)工程與應(yīng)用,2002;38(10):181—183
2羅妍��,李仲麟��,陳憲.入侵檢測(cè)系統(tǒng)模型的比較.計(jì)算機(jī)應(yīng)用�,2001�����;21(6):29~31
3李渙洲.網(wǎng)絡(luò)安全與入侵檢測(cè)技術(shù).四川師范大學(xué)學(xué)報(bào).2001���;24(3):426—428
篇3
1引言
入侵檢測(cè)技術(shù)是繼“防火墻”���、“數(shù)據(jù)加密”等傳統(tǒng)安全保護(hù)措施后新一代的安全保障技術(shù),它對(duì)計(jì)算機(jī)和
網(wǎng)絡(luò)資源上的惡意使用行為進(jìn)行識(shí)別和響應(yīng),不僅檢測(cè)來(lái)自外部的入侵行為,同時(shí)也監(jiān)督內(nèi)部用戶的未授權(quán)活動(dòng)。但是隨著網(wǎng)絡(luò)入侵技術(shù)的發(fā)展和變化以及網(wǎng)絡(luò)運(yùn)用的不斷深入,現(xiàn)有入侵檢測(cè)系統(tǒng)暴露出了諸多的問(wèn)題。特別是由于網(wǎng)絡(luò)流量增加�����、新安全漏洞未更新規(guī)則庫(kù)和特殊隧道及后門等原因造成的漏報(bào)問(wèn)題和IDS攻擊以及網(wǎng)絡(luò)數(shù)據(jù)特征匹配的不合理特性等原因造成的誤報(bào)問(wèn)題,導(dǎo)致IDS對(duì)攻擊行為反應(yīng)遲緩,增加安全管理人員的工作負(fù)擔(dān),嚴(yán)重影響了IDS發(fā)揮實(shí)際的作用�。
本文針對(duì)現(xiàn)有入侵監(jiān)測(cè)系統(tǒng)誤報(bào)率和漏報(bào)率較高的問(wèn)題,對(duì)幾種降低IDS誤報(bào)率和漏報(bào)率的方法進(jìn)行研究����。通過(guò)將這幾種方法相互結(jié)合,能有效提高入侵檢測(cè)系統(tǒng)的運(yùn)行效率并能大大簡(jiǎn)化安全管理員的工作,從而保證網(wǎng)絡(luò)
安全的運(yùn)行���。
2入侵檢測(cè)系統(tǒng)
入侵是對(duì)信息系統(tǒng)的非授權(quán)訪問(wèn)及(或)未經(jīng)許可在信息系統(tǒng)中進(jìn)行操作,威脅計(jì)算機(jī)或網(wǎng)絡(luò)的安全機(jī)制(包括機(jī)密性�、完整性�����、可用性)的行為��。入侵可能是來(lái)自外界對(duì)攻擊者對(duì)系統(tǒng)的非法訪問(wèn),也可能是系統(tǒng)的授權(quán)用戶對(duì)未授權(quán)的內(nèi)容進(jìn)行非法訪問(wèn),入侵檢測(cè)就是對(duì)企圖入侵����、正在進(jìn)行的入侵或已經(jīng)發(fā)生的入侵進(jìn)行識(shí)別的過(guò)程��。入侵檢測(cè)系統(tǒng)IDS(IntrusionDetectionSystem)是從多種計(jì)算機(jī)系統(tǒng)機(jī)及網(wǎng)絡(luò)中收集信息,再通過(guò)這些信息分析入侵特征的網(wǎng)絡(luò)安全系統(tǒng)���。
現(xiàn)在的IDS產(chǎn)品使用的檢測(cè)方法主要是誤用檢測(cè)和異常檢測(cè)�。誤用檢測(cè)是對(duì)不正常的行為進(jìn)行建模,這些行為就是以前記錄下來(lái)的確認(rèn)了的誤用或攻擊�。目前誤用檢測(cè)的方法主要是模式匹配,即將每一個(gè)已知的攻擊事件定義為一個(gè)獨(dú)立的特征,這樣對(duì)入侵行為的檢測(cè)就成為對(duì)特征的匹配搜索,如果和已知的入侵特征匹配,就認(rèn)為是攻擊�。異常檢測(cè)是對(duì)正常的行為建模,所有不符合這個(gè)模型的事件就被懷疑為攻擊。現(xiàn)在異常檢測(cè)的主要方法是統(tǒng)計(jì)模型,它通過(guò)設(shè)置極限閾值等方法,將檢測(cè)數(shù)據(jù)與已有的正常行為比較,如果超出極限閾值,就認(rèn)為是入侵行為。
入侵檢測(cè)性能的關(guān)鍵參數(shù)包括:(1)誤報(bào):實(shí)際無(wú)害的事件卻被IDS檢測(cè)為攻擊事件。(2)漏報(bào):攻擊事件未被IDS檢測(cè)到或被分析人員認(rèn)為是無(wú)害的。
3降低IDS誤報(bào)率方法研究
3.1智能關(guān)聯(lián)
智能關(guān)聯(lián)是將企業(yè)相關(guān)系統(tǒng)的信息(如主機(jī)特征信息)與網(wǎng)絡(luò)IDS檢測(cè)結(jié)構(gòu)相融合,從而減少誤報(bào)���。如系統(tǒng)的脆弱性信息需要包括特定的操作系統(tǒng)(OS)以及主機(jī)上運(yùn)行的服務(wù)�。當(dāng)IDS使用智能關(guān)聯(lián)時(shí),它可以參考目標(biāo)主機(jī)上存在的、與脆弱性相關(guān)的所有告警信息�����。如果目標(biāo)主機(jī)不存在某個(gè)攻擊可以利用的漏洞,IDS將抑制告警的產(chǎn)生���。
智能關(guān)聯(lián)包括主動(dòng)和被動(dòng)關(guān)聯(lián)����。主動(dòng)關(guān)聯(lián)是通過(guò)掃描確定主機(jī)漏洞;被動(dòng)關(guān)聯(lián)是借助操作系統(tǒng)的指紋識(shí)別技術(shù),即通過(guò)分析IP�����、TCP報(bào)頭信息識(shí)別主機(jī)上的操作系統(tǒng)�����。
3.1.1被動(dòng)指紋識(shí)別技術(shù)的工作原理
被動(dòng)指紋識(shí)別技術(shù)的實(shí)質(zhì)是匹配分析法��。匹配雙方一個(gè)是來(lái)自源主機(jī)數(shù)據(jù)流中的TCP�、IP報(bào)頭信息,另一個(gè)是特征數(shù)據(jù)庫(kù)中的目標(biāo)主機(jī)信息,通過(guò)將兩者做匹配來(lái)識(shí)別源主機(jī)發(fā)送的數(shù)據(jù)流中是否含有惡意信息。通常比較的報(bào)頭信息包括窗口(WINDOWSIZE)����、數(shù)據(jù)報(bào)存活期(TTL)���、DF(dontfragment)標(biāo)志以及數(shù)據(jù)報(bào)長(zhǎng)(Totallength)�。
窗口大小(wsize)指輸入數(shù)據(jù)緩沖區(qū)大小,它在TCP會(huì)話的初始階段由OS設(shè)定�。數(shù)據(jù)報(bào)存活期指數(shù)據(jù)報(bào)在被丟棄前經(jīng)過(guò)的跳數(shù)(hop);不同的TTL值可以代表不同的操作系統(tǒng)(OS),TTL=64,OS=UNIX;TTL=12,OS=Windows�����。DF字段通常設(shè)為默認(rèn)值,而OpenBSD不對(duì)它進(jìn)行設(shè)置����。數(shù)據(jù)報(bào)長(zhǎng)是IP報(bào)頭和負(fù)載(Payload)長(zhǎng)度之和�����。在SYN和SYNACK數(shù)據(jù)報(bào)中,不同的數(shù)據(jù)報(bào)長(zhǎng)代表不同的操作系統(tǒng),60代表Linux��、44代表Solaris��、48代表Windows2000��。
IDS將上述參數(shù)合理組合作為主機(jī)特征庫(kù)中的特征(稱為指紋)來(lái)識(shí)別不同的操作系統(tǒng)�。如TTL=64,初步判斷OS=Linux/OpenBSD;如果再給定wsize的值就可以區(qū)分是Linux還是OpenBSD。因此,(TTL,wsize)就可以作為特征庫(kù)中的一個(gè)特征信息�����。3.1.2被動(dòng)指紋識(shí)別技術(shù)工作流程
具有指紋識(shí)別技術(shù)的IDS系統(tǒng)通過(guò)收集目標(biāo)主機(jī)信息,判斷主機(jī)是否易受到針對(duì)某種漏洞的攻擊,從而降低誤報(bào)率�。
因此當(dāng)IDS檢測(cè)到攻擊數(shù)據(jù)包時(shí),首先查看主機(jī)信息表,判斷目標(biāo)主機(jī)是否存在該攻擊可利用的漏洞;如果不存在該漏洞,IDS將抑制告警的產(chǎn)生,但要記錄關(guān)于該漏洞的告警信息作為追究法律責(zé)任的依據(jù)。這種做法能夠使安全管理員專心處理由于系統(tǒng)漏洞產(chǎn)生的告警���。
3.2告警泛濫抑制
IDS產(chǎn)品使用告警泛濫抑制技術(shù)可以降低誤報(bào)率����。在利用漏洞的攻擊勢(shì)頭逐漸變強(qiáng)之時(shí),IDS短時(shí)間內(nèi)會(huì)產(chǎn)生大量的告警信息;而IDS傳感器卻要對(duì)同一攻擊重復(fù)記錄,尤其是蠕蟲在網(wǎng)絡(luò)中自我繁殖的過(guò)程中,這種現(xiàn)象最為重要����。
所謂“告警泛濫”是指短時(shí)間內(nèi)產(chǎn)生的關(guān)于同一攻擊的告警�����。IDS可根據(jù)用戶需求減少或抑制短時(shí)間內(nèi)同一傳感器針對(duì)某個(gè)流量產(chǎn)生的重復(fù)告警��。這樣�。網(wǎng)管人員可以專注于公司網(wǎng)絡(luò)的安全狀況,不至于為泛濫的告警信息大傷腦筋���。告警泛濫抑制技術(shù)是將一些規(guī)則或參數(shù)(包括警告類型����、源IP�����、目的IP以及時(shí)間窗大小)融入到IDS傳感器中,使傳感器能夠識(shí)別告警飽和現(xiàn)象并實(shí)施抵制操作��。有了這種技術(shù),傳感器可以在告警前對(duì)警報(bào)進(jìn)行預(yù)處理,抑制重復(fù)告警�����。例如,可以對(duì)傳感器進(jìn)行適當(dāng)配置,使它忽略在30秒內(nèi)產(chǎn)生的針對(duì)同一主機(jī)的告警信息;IDS在抑制告警的同時(shí)可以記錄這些重復(fù)警告用于事后的統(tǒng)計(jì)分析�。
3.3告警融合
該技術(shù)是將不同傳感器產(chǎn)生的��、具有相關(guān)性的低級(jí)別告警融合成更高級(jí)別的警告信息,這有助于解決誤報(bào)和漏報(bào)問(wèn)題。當(dāng)與低級(jí)別警告有關(guān)的條件或規(guī)則滿足時(shí),安全管理員在IDS上定義的元告警相關(guān)性規(guī)則就會(huì)促使高級(jí)別警告產(chǎn)生���。如掃描主機(jī)事件,如果單獨(dú)考慮每次掃描,可能認(rèn)為每次掃描都是獨(dú)立的事件,而且對(duì)系統(tǒng)的影響可以忽略不計(jì);但是,如果把在短時(shí)間內(nèi)產(chǎn)生的一系列事件整合考慮,會(huì)有不同的結(jié)論。IDS在10min內(nèi)檢測(cè)到來(lái)自于同一IP的掃描事件,而且掃描強(qiáng)度在不斷升級(jí),安全管理人員可以認(rèn)為是攻擊前的滲透操作,應(yīng)該作為高級(jí)別告警對(duì)待。例子告訴我們告警融合技術(shù)可以發(fā)出早期攻擊警告,如果沒(méi)有這種技術(shù),需要安全管理員來(lái)判斷一系列低級(jí)別告警是否是隨后更高級(jí)別攻擊的先兆;而通過(guò)設(shè)置元警告相關(guān)性規(guī)則,安全管理員可以把精力都集中在高級(jí)別警告的處理上���。元警告相關(guān)性規(guī)則中定義參數(shù)包括時(shí)間窗���、事件數(shù)量����、事件類型IP地址、端口號(hào)、事件順序。
4降低IDS漏報(bào)率方法研究
4.1特征模式匹配方法分析
模式匹配是入侵檢測(cè)系統(tǒng)中常用的分析方法,許多入侵檢測(cè)系統(tǒng)如大家熟知的snort等都采用了模式匹配方法。
單一的模式匹配方法使得IDS檢測(cè)慢���、不準(zhǔn)確�����、消耗系統(tǒng)資源,并存在以下嚴(yán)重問(wèn)題:
(1)計(jì)算的負(fù)載過(guò)大,持續(xù)該運(yùn)算法則所需的計(jì)算量極其巨大��。
(2)模式匹配特征搜索技術(shù)使用固定的特征模式來(lái)探測(cè)攻擊,只能探測(cè)明確的�、唯一的攻擊特征,即便是基于最輕微變換的攻擊串都會(huì)被忽略�����。
(3)一個(gè)基于模式匹配的IDS系統(tǒng)不能智能地判斷看似不同字符串/命令串的真實(shí)含義和最終效果�����。在模式匹配系統(tǒng)中,每一個(gè)這樣的變化都要求攻擊特征數(shù)據(jù)庫(kù)增加一個(gè)特征記錄��。這種技術(shù)攻擊運(yùn)算規(guī)則的內(nèi)在缺陷使得所謂的龐大特征庫(kù)實(shí)際上是徒勞的,最后的結(jié)果往往是付出更高的計(jì)算負(fù)載,而導(dǎo)致更多的丟包率,也就產(chǎn)生遺漏更多攻擊的可能,特別是在高速網(wǎng)絡(luò)下,導(dǎo)致大量丟包,漏報(bào)率明顯增大�。
可見傳統(tǒng)的模式匹配方法已不能適應(yīng)新的要求�。在網(wǎng)絡(luò)通信中,網(wǎng)絡(luò)協(xié)議定義了標(biāo)準(zhǔn)的、層次化、格式化的網(wǎng)絡(luò)數(shù)據(jù)包。在攻擊檢測(cè)中,利用這種層次性對(duì)網(wǎng)絡(luò)協(xié)議逐層分析,可以提高檢測(cè)效率���。因此,在數(shù)據(jù)分析時(shí)將協(xié)議分析方法和模式匹配方法結(jié)合使用,可以大幅度減少匹配算法的計(jì)算量,提高分析效率,得到更準(zhǔn)確的檢測(cè)結(jié)果���。超級(jí)秘書網(wǎng)
4.2協(xié)議分析方法分析
在以網(wǎng)絡(luò)為主的入侵檢測(cè)系統(tǒng)中,由于把通過(guò)網(wǎng)絡(luò)獲得的數(shù)據(jù)包作為偵測(cè)的資料來(lái)源,所以數(shù)據(jù)包在網(wǎng)絡(luò)傳輸中必須遵循固定的協(xié)議才能在電腦之間相互溝通,因此能夠按照協(xié)議類別對(duì)規(guī)則集進(jìn)行分類��。協(xié)議分析的原理就是根據(jù)現(xiàn)有的協(xié)議模式,到固定的位置取值(而不式逐一的去比較),然后根據(jù)取得的值判斷其協(xié)議連同實(shí)施下一步分析動(dòng)作。其作用是非類似于郵局的郵件自動(dòng)分撿設(shè)備,有效的提高了分析效率,同時(shí)還能夠避免單純模式匹配帶來(lái)的誤報(bào)。
根據(jù)以上特點(diǎn),能夠?qū)f(xié)議分析算法用一棵協(xié)議分類樹來(lái)表示,如圖2所示���。這樣,當(dāng)IDS進(jìn)行模式匹配時(shí),利用協(xié)議分析過(guò)濾許多規(guī)則,能夠節(jié)省大量的時(shí)間�。在任何規(guī)則中關(guān)于TCP的規(guī)則最多,大約占了50%以上,因此在初步分類后,能夠按照端口進(jìn)行第二次分類���。在兩次分類完成后,能夠快速比較特征庫(kù)中的規(guī)則,減少大量不必要的時(shí)間消耗���。如有必要,還可進(jìn)行多次分類,盡量在規(guī)則樹上分叉,盡可能的縮減模式匹配的范圍。
每個(gè)分析機(jī)的數(shù)據(jù)結(jié)構(gòu)中包含以下信息:協(xié)議名稱、協(xié)議代號(hào)以及該協(xié)議對(duì)應(yīng)的攻擊檢測(cè)函數(shù)��。協(xié)議名稱是該協(xié)議的唯一標(biāo)志,協(xié)議代號(hào)是為了提高分析速度用的編號(hào)���。為了提高檢測(cè)的精確度,可以在樹中加入自定義的協(xié)議結(jié)點(diǎn),以此來(lái)細(xì)化分析數(shù)據(jù),例如在HTTP協(xié)議中可以把請(qǐng)求URL列入該樹中作為一個(gè)結(jié)點(diǎn),再將URL中不同的方法作為子節(jié)點(diǎn)��。
分析機(jī)的功能是分析某一特定協(xié)議的數(shù)據(jù),得出是否具有攻擊的可能性存在。一般情況下,分析機(jī)盡可能的放到樹結(jié)構(gòu)的葉子結(jié)點(diǎn)上或盡可能的靠近葉子結(jié)點(diǎn),因?yàn)樵娇拷鼧涓糠值姆治鰴C(jī),調(diào)用的次數(shù)越多。過(guò)多的分析機(jī)聚集在根部附近會(huì)嚴(yán)重影響系統(tǒng)的性能�。同時(shí)葉子結(jié)點(diǎn)上的協(xié)議類型劃分越細(xì),分析機(jī)的效率越高。
因此,協(xié)議分析技術(shù)有檢測(cè)快�、準(zhǔn)確、資源消耗少的特點(diǎn),它利用網(wǎng)絡(luò)協(xié)議的高度規(guī)則性快速探測(cè)攻擊的存在�����。
5結(jié)束語(yǔ)
本文對(duì)幾種降低IDS誤報(bào)率和漏報(bào)率的方法進(jìn)行分析研究,通過(guò)將這幾種方法相互結(jié)合,能有效提高入侵檢測(cè)系統(tǒng)的運(yùn)行效率并能大大簡(jiǎn)化安全管理員的工作,從而保證網(wǎng)絡(luò)安全的運(yùn)行�。由于方法論的問(wèn)題,目前IDS的誤報(bào)和漏報(bào)是不可能徹底解決的���。因此,IDS需要走強(qiáng)化安全管理功能的道路,需要強(qiáng)化對(duì)多種安全信息的收集功能,需要提高IDS的智能化分析和報(bào)告能力,并需要與多種安全產(chǎn)品形成配合���。只有這樣,IDS才能成為網(wǎng)絡(luò)安全的重要基礎(chǔ)設(shè)施�����。
參考文獻(xiàn):
[1]張杰,戴英俠.入侵檢測(cè)系統(tǒng)技術(shù)現(xiàn)狀及其發(fā)展趨勢(shì)[J].計(jì)算機(jī)與通信,2002(6):28-32.
[2]唐洪英,付國(guó)瑜.入侵檢測(cè)的原理與方法[J].重慶工學(xué)院學(xué)報(bào),2002(4):71-73.
[3]戴連英,連一峰,王航.系統(tǒng)安全與入侵檢測(cè)技術(shù)[M].北京:清華大學(xué)出版社,2002(3).
篇4
2頂層設(shè)計(jì)的作用
應(yīng)用規(guī)范可以為用戶提煉一個(gè)系統(tǒng)的、完整的�����、關(guān)于應(yīng)用效果的準(zhǔn)確表達(dá)�����,成為工程設(shè)計(jì)方全面而嚴(yán)謹(jǐn)?shù)脑O(shè)計(jì)和驗(yàn)收的依據(jù)���,并對(duì)施工工藝提供相應(yīng)的指導(dǎo)�。由于應(yīng)用規(guī)范的定義���,所有的描述內(nèi)容僅涉及應(yīng)用效果,而不規(guī)定具體技術(shù)和產(chǎn)品��,其開放式的結(jié)構(gòu)不僅為更多新技術(shù)的進(jìn)入提供了廣闊空間,同時(shí)對(duì)新技術(shù)予以嚴(yán)謹(jǐn)?shù)募s束和指導(dǎo),避免應(yīng)用中采用“似是而非”的技術(shù)��;避免生產(chǎn)廠商以“先進(jìn)技術(shù)”誤導(dǎo)用戶和工程設(shè)計(jì)及施工方。
3以“頂層設(shè)計(jì)”的方法規(guī)劃智能建筑的入侵探測(cè)技術(shù)配置的一般性過(guò)程
3.1全方位準(zhǔn)確描述智能建筑的應(yīng)用環(huán)境
3.1.1智能建筑內(nèi)部空間的基本功能在智能建筑的內(nèi)部空間中�,符合準(zhǔn)入權(quán)限的人員及其喂養(yǎng)的各類寵物���,均可以在其中無(wú)拘束地自由活動(dòng)�。
3.1.2智能建筑(以住宅類為例)由各種不同的功能區(qū)域構(gòu)成智能建筑可以由屏障式建筑體(院墻/大門)、過(guò)渡空間(院落)���、主體建筑、附屬建筑等多種建筑形態(tài)構(gòu)成�����,也可以是單獨(dú)的多/高層樓宇式建筑物�����。1)室外建筑構(gòu)成體在外形特征的相關(guān)變化院落形態(tài)變化對(duì)比如表1所示。2)室內(nèi)空間功能多樣化及其內(nèi)部環(huán)境條件多元化為了滿足多個(gè)不同個(gè)體的人員��、多層面應(yīng)用需求,智能建筑內(nèi)部可能設(shè)置有廳/餐/廚/衛(wèi)/主/客/傭/影視/文娛/體/閱讀等不同功能空間���。這些空間在不同時(shí)段會(huì)滿足于個(gè)體應(yīng)用需求的溫濕度差異�;且在不同時(shí)段分布不同色溫��、不同照度�����、不同波長(zhǎng)的光照明����、不同頻譜�、不同規(guī)律、不同響度的聲音等��。3)智能建筑中配置滿足不同層面需要的各類設(shè)施為了滿足住戶多層面的應(yīng)用需求�����,智能建筑中分布有大量的水/電/氣管路�;配置了空氣溫濕度�、理化潔凈度探測(cè)控制裝置����,各類照明、感應(yīng)���、影音播放及相關(guān)控制裝置�,各類實(shí)現(xiàn)建筑物內(nèi)部及內(nèi)/外聯(lián)系的通信裝置��;不同功能空間中還配置有特定的電器裝置��,甚至某些空間中還配置了可以自動(dòng)“行走”的從事清潔等服務(wù)的機(jī)器(人)。上述各種設(shè)施是建筑物內(nèi)各種頻率/振幅的機(jī)械振動(dòng)或波振動(dòng)源;在不同時(shí)段也可能在較寬頻譜范圍內(nèi)形成不同調(diào)制方式、不同能量的空間電磁波輻射(包括光波)和/或線路上的電磁擾動(dòng)���。綜合以上分析得出結(jié)論:合法入住的人員及寵物的正?��;顒?dòng)�����,智能建筑內(nèi)部配置的各類電氣裝置的正常工作狀況�����,均會(huì)成為傳統(tǒng)型入侵探測(cè)技術(shù)的干擾源����。
3.2以另一種角度解析入侵探測(cè)技術(shù)
入侵探測(cè)的本質(zhì):采用物理測(cè)量技術(shù),識(shí)別出“不允許進(jìn)入特定區(qū)域的人”��。探測(cè)技術(shù)發(fā)展經(jīng)歷了以下幾個(gè)階段,并各具相應(yīng)特性�。
3.2.1入侵探測(cè)技術(shù)的智能化進(jìn)程初級(jí)型階段的入侵探測(cè)技術(shù)是針對(duì)參照物“有沒(méi)有”實(shí)施最簡(jiǎn)單判斷����,使用的典型技術(shù)是鐵磁性“接近開關(guān)”對(duì)門����、窗的“開/閉”狀態(tài)判斷,以門/窗有沒(méi)有開啟作為觸發(fā)報(bào)警條件��。傳統(tǒng)型階段的入侵探測(cè)技術(shù)達(dá)到了“什么樣”的判斷水平——針對(duì)移動(dòng)特性與體積���、重量�、溫度、外形等參量之一的探測(cè),以上述物理參量是否存在或以某個(gè)特定值作為預(yù)設(shè)的觸發(fā)報(bào)警條件。智能型入侵探測(cè)的智能水平達(dá)到了判別“是誰(shuí)”的能力——采用各類生物識(shí)別技術(shù),實(shí)現(xiàn)對(duì)特定人員身份的探測(cè)(識(shí)別)。本文針對(duì)智能建筑的入侵探測(cè)應(yīng)用討論�,所以探討內(nèi)容涵蓋傳統(tǒng)型入侵探測(cè)技術(shù)和生物識(shí)別技術(shù)(智能型入侵探測(cè)技術(shù))���。
3.2.2傳統(tǒng)型入侵探測(cè)技術(shù)——對(duì)人的外部物理特征(共性)參量實(shí)施探測(cè)傳統(tǒng)型入侵探測(cè)技術(shù)針對(duì)入侵行為的主要特性——移動(dòng)����,同時(shí)為了提升探測(cè)的準(zhǔn)確性��,再針對(duì)人員常見的幾種外部物理參量之一進(jìn)行探測(cè),如表3所示。各類傳統(tǒng)型入侵探測(cè)技術(shù)僅針對(duì)人員單一的外部物理參量實(shí)施探測(cè),探測(cè)效果相當(dāng)于“盲人摸象”����,可能得出不準(zhǔn)確的結(jié)論;更重要的是,傳統(tǒng)型入侵探測(cè)裝置不可能區(qū)分出觸發(fā)者是用戶還是非法入侵者���,所以不適于在智能建筑的室內(nèi)安裝應(yīng)用。
3.2.3智能型入侵探測(cè)技術(shù)——對(duì)人的外部社會(huì)特性(個(gè)性)實(shí)施探測(cè)用戶與入侵者區(qū)分依據(jù)是人的外部社會(huì)特性��,是每個(gè)人與其他人之間不同的���、可測(cè)或可度量的���、外在的(生物或者人為附加)特征�。表4列出了目前不同的生物特征測(cè)量技術(shù),對(duì)人實(shí)現(xiàn)區(qū)分所需要的時(shí)間和空間條件,而根據(jù)這些條件,可以針對(duì)智能建筑中不同區(qū)域的應(yīng)用需求,選擇合適的探測(cè)技術(shù),如表4所示。5.3智能建筑不同功能區(qū)域?qū)θ肭痔綔y(cè)應(yīng)用需求及配置智能建筑內(nèi)部區(qū)域?qū)θ肭痔綔y(cè)的應(yīng)用需求及配置建議如表5所示。
4應(yīng)用規(guī)范的通用性規(guī)定
4.1入侵探測(cè)裝置合法性必須獲得強(qiáng)制性認(rèn)證證書的有效覆蓋��;沒(méi)有現(xiàn)行強(qiáng)制性認(rèn)證標(biāo)準(zhǔn)的產(chǎn)品����,需要獲得自愿認(rèn)證證書的有效覆蓋��。產(chǎn)品參照標(biāo)準(zhǔn)中的具體相關(guān)技術(shù)指標(biāo)�����,均應(yīng)滿足應(yīng)用規(guī)范規(guī)定。
4.2配置合理性針對(duì)智能建筑的不同部位或區(qū)域����,配置與應(yīng)用需求對(duì)應(yīng)類別的入侵探測(cè)裝置,比如:建筑物內(nèi)部屬于人員及寵物活動(dòng)區(qū)域����,入侵探測(cè)的應(yīng)用需求是“確定進(jìn)入該空間的人員是否具有相應(yīng)的權(quán)限”����,依據(jù)此需求���,建筑物內(nèi)部原則上不應(yīng)配置傳統(tǒng)型入侵探測(cè)裝置(當(dāng)然����,針對(duì)廚房等某些具有危險(xiǎn)物品的空間,為防止嬰幼兒或?qū)櫸锱廊?,可能采用傳統(tǒng)型入侵探測(cè)裝置�����。當(dāng)然在具體的配置過(guò)程中,還需要滿足應(yīng)用需求的其他方面);而傳統(tǒng)型入侵探測(cè)裝置應(yīng)配置在智能建筑外部��,特別是周界,當(dāng)然還應(yīng)該滿足構(gòu)成“封閉式防范”和對(duì)外觀適應(yīng)性等其他要求�。根據(jù)表2所列的內(nèi)容�����,可以得出明確結(jié)論——傳統(tǒng)型入侵探測(cè)由于不具備識(shí)別人員身份的能力�,通常只能設(shè)置于智能建筑的外部���,擔(dān)任判斷是否有“人員入侵”的工作��。若安裝于圍墻/圍欄/窗/陽(yáng)臺(tái)等不允許人員“合法”出入的周界區(qū)域�����,只要發(fā)現(xiàn)有“目標(biāo)”越過(guò)這些區(qū)域(無(wú)論是“出”或者是“入”)��,都必須輸出報(bào)警信號(hào)。而具體應(yīng)該采用何種入侵探測(cè)技術(shù)����,應(yīng)根據(jù)每種入侵探測(cè)技術(shù)的特點(diǎn)及具體應(yīng)用需求來(lái)確定��。
4.3風(fēng)險(xiǎn)等級(jí)適配性1)應(yīng)用規(guī)范應(yīng)規(guī)定智能建筑的風(fēng)險(xiǎn)等級(jí)���,以及入侵探測(cè)裝置的防范嚴(yán)密性等級(jí)�。2)配置與風(fēng)險(xiǎn)等級(jí)對(duì)應(yīng)的入侵探測(cè)裝置類別,除了與空間條件相適應(yīng)外��,其探測(cè)的嚴(yán)密程度也應(yīng)該與建筑的風(fēng)險(xiǎn)等級(jí)相對(duì)應(yīng)�����。比如:對(duì)于低風(fēng)險(xiǎn)等級(jí)建筑的門禁可以采用IC卡�����、密碼等探測(cè)技術(shù)��;高風(fēng)險(xiǎn)等級(jí)建筑的門禁應(yīng)用可以采用其他相應(yīng)的生物識(shí)別技術(shù)。3)配置與風(fēng)險(xiǎn)等級(jí)對(duì)應(yīng)的入侵探測(cè)裝置�����。低風(fēng)險(xiǎn)等級(jí)的周界配置的入侵探測(cè)裝置的觸發(fā)響應(yīng)時(shí)間或探測(cè)靈敏度指標(biāo)可以較低�����,而高風(fēng)險(xiǎn)等級(jí)的周界配置入侵探測(cè)裝置的相應(yīng)技術(shù)指標(biāo)要求較高�����。
4.4探測(cè)介質(zhì)安全性建筑的入侵探測(cè)裝置在長(zhǎng)期使用的條件下�,對(duì)人員物不產(chǎn)生任何傷害�����;建筑物外使用的入侵探測(cè)裝置�����,在短時(shí)間內(nèi)不應(yīng)對(duì)人員(包含入侵者)產(chǎn)生傷害���。
4.5環(huán)境適應(yīng)性1)入侵探測(cè)裝置的外觀造型應(yīng)與整體建筑造型風(fēng)格和景觀觀感相適應(yīng)��。2)入侵探測(cè)裝置的探測(cè)介質(zhì)���、通訊介質(zhì)電磁參量等應(yīng)該與智能建筑整體(局部)電磁環(huán)境相適應(yīng),不會(huì)產(chǎn)生相互干擾�����。
4.6探測(cè)技術(shù)的互補(bǔ)與協(xié)調(diào)性1)在同一空間或區(qū)域內(nèi)���,可采用兩種或以上探測(cè)介質(zhì)不同但探測(cè)區(qū)域重合的入侵探測(cè)(身份識(shí)別)技術(shù),減少漏報(bào)警的機(jī)會(huì)�。2)對(duì)不同空間或區(qū)域配置的相同或不同探測(cè)裝置之間的異常信號(hào)實(shí)現(xiàn)統(tǒng)一管理與分析,提高報(bào)警準(zhǔn)確率�����。
4.7資源配置的節(jié)約性1)由于智能建筑內(nèi)分布大量的環(huán)境類探測(cè)器、傳感器��,形成廣泛分布的傳輸通道�,在保障“報(bào)警優(yōu)先”并確?�?捎行П苊狻巴ǖ雷枞睏l件下���,入侵探測(cè)裝置的輸出/遠(yuǎn)端控制宜盡可能利用智能建筑內(nèi)部配置的其他探測(cè)裝置的信號(hào)通道�。2)門禁確認(rèn)進(jìn)入人員身份的識(shí)別信號(hào)�,可以提供給后續(xù)智能控制系統(tǒng)����,實(shí)現(xiàn)“具體房間室內(nèi)溫濕度、燈光色調(diào)/照度�、音響內(nèi)容與響度、沐浴水溫”多參量的個(gè)性化調(diào)節(jié)等應(yīng)用環(huán)節(jié)��。3)配置于室內(nèi)的攝像機(jī),可以同時(shí)用于入侵探測(cè)與火警探測(cè)兩種報(bào)警復(fù)核�����?����?煽紤]具有“模糊的行為識(shí)別”與“高清的取證識(shí)別”兩種工作模式����,以應(yīng)對(duì)不同風(fēng)險(xiǎn)等級(jí)或應(yīng)對(duì)不同級(jí)別隱私保護(hù)需求。4)環(huán)境類痕量化學(xué)傳感器與入侵探測(cè)功能交互�。住戶個(gè)人生活習(xí)慣��,如從吸煙或使用化妝品品牌的痕量分析作為身份識(shí)別,既可以根據(jù)習(xí)慣性化學(xué)痕量判斷對(duì)于住戶個(gè)人的個(gè)性化實(shí)施調(diào)節(jié)���;也可以將與習(xí)慣性品牌痕量分析不符合的分析結(jié)果����,作為入侵(內(nèi)部人員非法進(jìn)入)報(bào)警參考條件�����。
4.8使用便利性入侵探測(cè)裝置的安裝�、調(diào)試�����、維護(hù)��、保養(yǎng)應(yīng)方便����。家居型智能建筑應(yīng)用的入侵探測(cè)裝置最大程度提升DIY水平��;在不能或不宜采用DIY方式安裝的場(chǎng)所����,或入侵探測(cè)裝置本身的DIY程度要求不高的條件下���,入侵探測(cè)裝置應(yīng)分別配置針對(duì)現(xiàn)場(chǎng)用戶和安全控制中心的故障提示方式。
4.9與風(fēng)險(xiǎn)等級(jí)對(duì)應(yīng)價(jià)格體系的合理性與可承受性1)性能/價(jià)格比是相應(yīng)用戶可以接受的(首先是性能��,然后才是價(jià)格)。2)價(jià)格與產(chǎn)品風(fēng)險(xiǎn)等級(jí)對(duì)應(yīng)�����,“優(yōu)質(zhì)優(yōu)價(jià)”����。3)價(jià)格體系應(yīng)該給生產(chǎn)�����、銷售、安裝�����、調(diào)試、維保等環(huán)節(jié)留有相應(yīng)生存空間,最好還留有發(fā)展空間�,杜絕惡性價(jià)格競(jìng)爭(zhēng)���。
4.10入侵探測(cè)裝置使用年限的規(guī)定入侵探測(cè)裝置應(yīng)規(guī)定使用年限��,以室內(nèi)不超過(guò)5年、室外不超過(guò)3年為宜�。
4.11入侵探測(cè)裝置不適用條件的規(guī)定1)系統(tǒng)集成商在構(gòu)成系統(tǒng)過(guò)程中���,在入侵探測(cè)裝置無(wú)法承受氣候時(shí),系統(tǒng)對(duì)入侵探測(cè)裝置予以“屏蔽”��。2)用戶對(duì)于不同空間隱私性���、不同時(shí)間準(zhǔn)入條件等具體應(yīng)用需求���,明確規(guī)定不適用的入侵探測(cè)裝置或入侵探測(cè)系統(tǒng)相應(yīng)功能不適用的時(shí)間段����。
篇5
隨著計(jì)算機(jī)技術(shù)以及網(wǎng)絡(luò)信息技術(shù)的高速發(fā)展, 許多部門都利用互聯(lián)網(wǎng)建立了自己的信息系統(tǒng), 以充分利用各類信息資源。但在連接信息能力、流通能力提高的同時(shí),基于網(wǎng)絡(luò)連接的安全問(wèn)題也日益突出。在現(xiàn)今的網(wǎng)絡(luò)安全技術(shù)中�,常用的口令證、防火墻����、安全審計(jì)及及加密技術(shù)等等���,都屬于靜態(tài)防御技術(shù),而系統(tǒng)面臨的安全威脅越來(lái)越多,新的攻擊手段也層出不窮,僅僅依靠初步的防御技術(shù)是遠(yuǎn)遠(yuǎn)不夠的,需要采取有效的手段對(duì)整個(gè)系統(tǒng)進(jìn)行主動(dòng)監(jiān)控�。入侵檢測(cè)系統(tǒng)是近年來(lái)網(wǎng)絡(luò)安全領(lǐng)域的熱門技術(shù)���,是保障計(jì)算機(jī)及網(wǎng)絡(luò)安全的有力措施之一。
1 入侵檢測(cè)和入侵檢測(cè)系統(tǒng)基本概念
入侵檢測(cè)(Intrusion Detection)是動(dòng)態(tài)的跟蹤和檢測(cè)方法的簡(jiǎn)稱, 是對(duì)入侵行為的發(fā)覺(jué)�,它通過(guò)旁路偵聽的方式�����,對(duì)計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析�����,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象����。
入侵檢測(cè)的軟件和硬件組成了入侵檢測(cè)系統(tǒng)(IDS:Intrusion Detection System),IDS是繼防火墻之后的第二道安全閘門����,它在不影響網(wǎng)絡(luò)性能的情況下依照一定的安全策略����,對(duì)網(wǎng)絡(luò)的運(yùn)行狀況進(jìn)行監(jiān)測(cè)�。它能夠幫助網(wǎng)絡(luò)系統(tǒng)快速發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的發(fā)生����,對(duì)得到的數(shù)據(jù)進(jìn)行分析,一旦發(fā)現(xiàn)入侵����,及進(jìn)做出響應(yīng)���,包括切斷網(wǎng)絡(luò)連接、記錄或者報(bào)警等���。由于入侵檢測(cè)能在不影響網(wǎng)絡(luò)性能的情況下對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)�����,為系統(tǒng)提供對(duì)內(nèi)部攻擊�����、外部攻擊和誤操作的有效保護(hù)。因此�,為網(wǎng)絡(luò)安全提供高效的入侵檢測(cè)及相應(yīng)的防護(hù)手段���,它以探測(cè)與控制為技術(shù)本質(zhì),能彌補(bǔ)防火墻的不足,起著主動(dòng)防御的作用,是網(wǎng)絡(luò)安全中極其重要的部分�。免費(fèi)論文。
2 入侵檢測(cè)系統(tǒng)的分類
入侵檢測(cè)系統(tǒng)根據(jù)其檢測(cè)數(shù)據(jù)來(lái)源分為兩類:基于主機(jī)的入侵檢測(cè)系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)�。
基于主機(jī)的入侵檢測(cè)系統(tǒng)的檢測(cè)目標(biāo)是主機(jī)系統(tǒng)和系統(tǒng)本地用戶�。其原理是根據(jù)主機(jī)的審計(jì)數(shù)據(jù)和系統(tǒng)日志發(fā)現(xiàn)可疑事件��。該系統(tǒng)通常運(yùn)行在被監(jiān)測(cè)的主機(jī)或服務(wù)器上����,實(shí)時(shí)檢測(cè)主機(jī)安全性方面如操作系統(tǒng)日志�����、審核日志文件����、應(yīng)用程序日志文件等情況���,其效果依賴于數(shù)據(jù)的準(zhǔn)確性以及安全事件的定義����。基于主機(jī)的入侵檢測(cè)系統(tǒng)具有檢測(cè)效率高��,分析代價(jià)小���,分析速度快的特點(diǎn),能夠迅速并準(zhǔn)確地定位入侵者�����,并可以結(jié)合操作系統(tǒng)和應(yīng)用程序的行為特征對(duì)入侵進(jìn)行進(jìn)一步分析�、響應(yīng)����?;谥鳈C(jī)的入侵檢測(cè)系統(tǒng)只能檢測(cè)單個(gè)主機(jī)系統(tǒng)。
基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)搜集來(lái)自網(wǎng)絡(luò)層的信息�����。這些信息通常通過(guò)嗅包技術(shù),使用在混雜模式的網(wǎng)絡(luò)接口獲得���?��;诰W(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)可以監(jiān)視和檢測(cè)網(wǎng)絡(luò)層的攻擊。它具有較強(qiáng)的數(shù)據(jù)提取能力�。在數(shù)據(jù)提取的實(shí)時(shí)性、充分性�、可靠性方面優(yōu)于基于主機(jī)日志的入侵檢測(cè)系統(tǒng)?��;诰W(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)可以對(duì)本網(wǎng)段的多個(gè)主機(jī)系統(tǒng)進(jìn)行檢測(cè)�,多個(gè)分布于不同網(wǎng)段上的基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)可以協(xié)同工作以提供更強(qiáng)的入侵檢測(cè)能力��。
3 入侵檢測(cè)方法
入侵檢測(cè)方法主要分為異常入侵檢測(cè)和誤用入侵檢測(cè)�����。
異常入侵檢測(cè)的主要前提條件是將入侵性活動(dòng)作為異?���;顒?dòng)的子集,理想狀況是異?����;顒?dòng)集與入侵性活動(dòng)集等同,這樣,若能檢測(cè)所有的異常活動(dòng)�����,則可檢測(cè)所有的入侵活動(dòng)。但是�,入侵性活動(dòng)并不總是與異常活動(dòng)相符合����。這種活動(dòng)存在4種可能性:(1)入侵性而非異常;(2)非入侵性且異常����;(3)非入侵性且非異常����;(4)入侵且異常。異常入侵要解決的問(wèn)題是構(gòu)造異?;顒?dòng)集,并從中發(fā)現(xiàn)入侵性活動(dòng)子集�����。異常入侵檢測(cè)方法依賴于異常模型的建立。不同模型構(gòu)成不同的檢測(cè)方法��,異常檢測(cè)是通過(guò)觀測(cè)到的一組測(cè)量值偏離度來(lái)預(yù)測(cè)用戶行為的變化����,然后作出決策判斷的檢測(cè)技術(shù)。
誤用入侵檢測(cè)是通過(guò)將預(yù)先設(shè)定的入侵模式與監(jiān)控到的入侵發(fā)生情況進(jìn)行模式匹配來(lái)檢測(cè)���。它假設(shè)能夠精確地將入侵攻擊按某種方式編碼����,并可以通過(guò)捕獲入侵攻擊將其重新分析整理�����,確認(rèn)該入侵行為是否為基于對(duì)同一弱點(diǎn)進(jìn)行入侵攻擊方法的變種�����,入侵模式說(shuō)明導(dǎo)致安全事件或誤用事件的特征���、條件��、排列和關(guān)系����。免費(fèi)論文。根據(jù)匹配模式的構(gòu)造和表達(dá)方式的不同�����,形成了不同的誤用檢測(cè)模型�。誤用檢測(cè)模型能針對(duì)性地建立高效的入侵檢測(cè)系統(tǒng),檢測(cè)精度高����,誤報(bào)率低,但它對(duì)未知的入侵活動(dòng)或已知入侵活動(dòng)的變異檢測(cè)的性能較低���。
4 入侵檢測(cè)系統(tǒng)的評(píng)估
對(duì)于入侵檢測(cè)系統(tǒng)的評(píng)估��,主要的性能指標(biāo)有:(1)可靠性�����,系統(tǒng)具有容錯(cuò)能力和可連續(xù)運(yùn)行;(2)可用性�,系統(tǒng)開銷要最小����,不會(huì)嚴(yán)重降低網(wǎng)絡(luò)系統(tǒng)性能����;(3)可測(cè)試,通過(guò)攻擊可以檢測(cè)系統(tǒng)運(yùn)行�����;(4)適應(yīng)性����,對(duì)系統(tǒng)來(lái)說(shuō)必須是易于開發(fā)的,可添加新的功能�,能隨時(shí)適應(yīng)系統(tǒng)環(huán)境的改變;(5)實(shí)時(shí)性,系統(tǒng)能盡快地察覺(jué)入侵企圖以便制止和限制破壞�����;(6)準(zhǔn)確性����,檢測(cè)系統(tǒng)具有較低的誤警率和漏警率����;(7)安全性���,檢測(cè)系統(tǒng)必須難于被欺騙和能夠保護(hù)自身安全��。免費(fèi)論文���。
5 入侵檢測(cè)的發(fā)展趨勢(shì)
入侵檢測(cè)作為一種積極主動(dòng)的安全防護(hù)技術(shù)�,提供了對(duì)攻擊和誤操作的實(shí)時(shí)保護(hù)���,在網(wǎng)絡(luò)系統(tǒng)受到危險(xiǎn)之前攔截和響應(yīng)入侵���,但它存在的問(wèn)題有:誤報(bào)率和漏報(bào)率高��、檢測(cè)速度慢���,對(duì)IDS自身的攻擊,缺乏準(zhǔn)確定位與處理機(jī)制、缺乏性能評(píng)價(jià)體系等���。在目前的入侵檢測(cè)技術(shù)研究中,其主要的發(fā)展方向可概括為:
(1)大規(guī)模分布式入侵檢測(cè)
(2)寬帶高速網(wǎng)絡(luò)的實(shí)時(shí)入侵檢測(cè)技術(shù)
(3)入侵檢測(cè)的數(shù)據(jù)融合技術(shù)
(4)與網(wǎng)絡(luò)安全技術(shù)相結(jié)合
6 結(jié)束語(yǔ)
隨著計(jì)算機(jī)技術(shù)以及網(wǎng)絡(luò)信息技術(shù)的高速發(fā)展��,入侵檢測(cè)技術(shù)已成為計(jì)算機(jī)安全策略中的核心技術(shù)之一����。它作為一種積極主動(dòng)的防護(hù)技術(shù)�,提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)�,為網(wǎng)絡(luò)安全提供高效的入侵檢測(cè)及相應(yīng)的防護(hù)手段�。入侵檢測(cè)作為一個(gè)新的安全機(jī)制開始集成到網(wǎng)絡(luò)系統(tǒng)安全框架中。
[參考文獻(xiàn)]
[1]張杰���,戴英俠.入侵檢測(cè)系統(tǒng)技術(shù)現(xiàn)狀及其發(fā)展趨勢(shì)[J].計(jì)算機(jī)與通信���,2002,96]:28-32.
[2]陳明.網(wǎng)絡(luò)安全教程[M].北京:清華大學(xué)出版社��,2004,1.
[3]羅守山.入侵檢測(cè)[M].北京:北京郵電大學(xué)出版社�����,2004.
篇6
隨著網(wǎng)絡(luò)的技術(shù)的不斷發(fā)展,互聯(lián)網(wǎng)的開放性也得到了長(zhǎng)足的發(fā)展�����,這為網(wǎng)絡(luò)信息的共享和交互使用提供了很大方便��,但同時(shí)也對(duì)信息的安全性提出了嚴(yán)峻的挑戰(zhàn)����。近年來(lái)����,隨著網(wǎng)絡(luò)的普及與應(yīng)用領(lǐng)域的逐漸擴(kuò)展���,網(wǎng)絡(luò)安全與信息安全問(wèn)題日漸突出�����。在網(wǎng)絡(luò)安全的實(shí)踐中�,建立一個(gè)完全安全的系統(tǒng)是不現(xiàn)實(shí)的。因此,保證計(jì)算機(jī)系統(tǒng)�����、網(wǎng)絡(luò)系統(tǒng)以及整個(gè)信息基礎(chǔ)設(shè)施的安全已經(jīng)成為刻不容緩的重要課題���。
入侵檢測(cè)技術(shù)(IDS)是近年來(lái)出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù)�,它是通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析,從中發(fā)現(xiàn)違反安全策略的行為和遭到攻擊的跡象�����,并做出自動(dòng)的響應(yīng)�。入侵檢測(cè)通過(guò)迅速地檢測(cè)入侵���,在可能造成系統(tǒng)損壞或數(shù)據(jù)丟失之前�,識(shí)別并驅(qū)除入侵者,使系統(tǒng)迅速恢復(fù)正常工作�����,并且阻止入侵者進(jìn)一步的行動(dòng)�����,它的應(yīng)用擴(kuò)展了系統(tǒng)管理員的安全管理能力�����,幫助計(jì)算機(jī)系統(tǒng)抵御攻擊。因而�,研究入侵檢測(cè)方法和技術(shù),根據(jù)這些方法和技術(shù)建立相應(yīng)的入侵檢測(cè)系統(tǒng)對(duì)保證網(wǎng)絡(luò)安全是非常必要的。
一���、入侵檢測(cè)系統(tǒng)的分類
1.按照檢測(cè)類型劃分
(1)異常檢測(cè)類型:檢測(cè)與可接受行為之間的偏差��,如果可以定義每項(xiàng)可接受的行為就應(yīng)該是入侵���。首先總結(jié)正常操作應(yīng)該具備的特征(用戶輪廓),當(dāng)用戶活動(dòng)與正常行為有重大偏離時(shí)即被認(rèn)為是入侵��。這種檢測(cè)模型漏報(bào)率低���,誤報(bào)率高�。因?yàn)椴恍枰獙?duì)每種入侵行為進(jìn)行定義,所以能有效檢測(cè)未知的入侵����。
(2)誤用檢測(cè)類型:檢測(cè)與已知的不可接受行為之間的匹配程度���,如果可以定義所有的不可接受行為,那么每種能夠與之匹配的行為都會(huì)引起警告�����。收集非正常操作的行為特征���,建立相關(guān)的特征庫(kù)����,當(dāng)監(jiān)測(cè)的用戶或系統(tǒng)行為與庫(kù)中的記錄相匹配時(shí)����,系統(tǒng)就認(rèn)為這種行為是入侵。這種檢測(cè)模型誤報(bào)率���、漏報(bào)率高。對(duì)于已知的攻擊��,它可以詳細(xì)�����、準(zhǔn)確地報(bào)告出攻擊類型�����,但是對(duì)未知攻擊卻效果有限,而且特征庫(kù)必須不斷更新���。
2.按照檢測(cè)對(duì)象劃分
(1)基于主機(jī):系統(tǒng)分析的數(shù)據(jù)是計(jì)算機(jī)操作系統(tǒng)的時(shí)間日志、應(yīng)用程序的時(shí)間日志��、系統(tǒng)調(diào)用����、端口調(diào)用和安全審計(jì)記錄���。主機(jī)入侵檢測(cè)系統(tǒng)保護(hù)的一般是所在的主機(jī)系統(tǒng)����。是來(lái)實(shí)現(xiàn)的����,是運(yùn)行在目標(biāo)主機(jī)上的小的可執(zhí)行程序�����,它們與命令控制臺(tái)通信。
(2)基于網(wǎng)絡(luò):系統(tǒng)分析的數(shù)據(jù)是網(wǎng)絡(luò)上的數(shù)據(jù)包����。網(wǎng)絡(luò)型入侵檢測(cè)系統(tǒng)擔(dān)負(fù)著保護(hù)整個(gè)網(wǎng)段的任務(wù)���,基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)由遍及網(wǎng)絡(luò)的傳感器組成,傳感器是一臺(tái)將以太網(wǎng)置于混雜模式的計(jì)算機(jī)�����,用于嗅探網(wǎng)絡(luò)上的數(shù)據(jù)包?�?萍颊撐摹?/p>
(3)混合型:基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測(cè)系統(tǒng)都有不足之處�����,會(huì)造成防御體系的不全面�,綜合了基于網(wǎng)絡(luò)和基于主機(jī)的混合型入侵檢測(cè)系統(tǒng),既可以發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊信息��,也可以從系統(tǒng)日志中發(fā)現(xiàn)異常情況����。
3.按照工作方式分類
(1)離線檢測(cè):這是一種非實(shí)時(shí)工作的系統(tǒng)����,在時(shí)間發(fā)生后分析審計(jì)時(shí)間�,從中檢查入侵事件��。這類系統(tǒng)的成本低���,可以分析大量事件��,調(diào)查長(zhǎng)期的情況,有利于其它方法提供及時(shí)的保護(hù)��。而且�,很多侵入在完成之后都將審計(jì)事件刪除,使其無(wú)法審計(jì)�。
(2)在線檢測(cè):對(duì)網(wǎng)絡(luò)數(shù)據(jù)包或主機(jī)的審計(jì)事件進(jìn)行實(shí)時(shí)分析�����,可以快速反映,保護(hù)系統(tǒng)的安全�����;但在系統(tǒng)規(guī)模比較大時(shí)���,難以保證實(shí)時(shí)性。
二�、入侵檢測(cè)系統(tǒng)存在的主要問(wèn)題
1.誤報(bào)
誤報(bào)是指被入侵檢測(cè)系統(tǒng)測(cè)出但其實(shí)是正常及合法使用受保護(hù)網(wǎng)絡(luò)和計(jì)算機(jī)的警報(bào)����。假警報(bào)不但令人討厭�����,并且降低入侵檢測(cè)系統(tǒng)的效率��。攻擊者可以而且往往是利用包結(jié)構(gòu)偽造無(wú)威脅的�,“正常”假警報(bào),以誘使收受人把入侵檢測(cè)系統(tǒng)關(guān)掉��。
沒(méi)有一個(gè)入侵檢測(cè)無(wú)敵于誤報(bào),應(yīng)用系統(tǒng)總會(huì)發(fā)生錯(cuò)誤�,原因是:缺乏共享信息的標(biāo)準(zhǔn)機(jī)制和集中協(xié)調(diào)的機(jī)制���,不同的網(wǎng)絡(luò)及主機(jī)有小同的安全問(wèn)題�,不同的入侵檢測(cè)系統(tǒng)有各自的功能�;缺乏揣摩數(shù)據(jù)在一段時(shí)間內(nèi)行為的能力���;缺乏有效跟蹤分析等���。
2.精巧及有組織的攻擊
攻擊可以來(lái)自四面八方�����,特別是一群人組織策劃且攻擊者技術(shù)高超的攻擊��,攻擊者花費(fèi)很多時(shí)間準(zhǔn)備�,并發(fā)動(dòng)全球性攻擊���,要找出這樣復(fù)雜的攻擊是一件難事����。
3.入侵檢測(cè)系統(tǒng)的互動(dòng)性能不高
在大型網(wǎng)絡(luò)中,網(wǎng)絡(luò)的不同部分可能使用了多種入侵檢測(cè)系統(tǒng)�,甚至還有防火墻、漏洞掃描等其他類別的安全設(shè)備��,這些入侵檢測(cè)系統(tǒng)之間以及IDS和其他安全組件之間如何交換信息�,共同協(xié)作來(lái)發(fā)現(xiàn)攻擊�、做出相應(yīng)并阻止攻擊是關(guān)系整個(gè)系統(tǒng)安全性的重要因素����。
三��、入侵檢測(cè)系統(tǒng)發(fā)展的主要趨勢(shì)
目前除了完善常規(guī)的����、傳統(tǒng)的技術(shù)(模式識(shí)別和完整性檢測(cè))外�����,入侵檢測(cè)系統(tǒng)應(yīng)重點(diǎn)加強(qiáng)與統(tǒng)計(jì)分析相關(guān)技術(shù)的研究����。許多學(xué)者在研究新的檢測(cè)辦法��,如采用自動(dòng)的主動(dòng)防御辦法��,將免疫學(xué)原理應(yīng)用到入侵檢測(cè)的方法等���。其主要發(fā)展方向可以概括為以下幾個(gè)方面:
1.入侵檢測(cè)系統(tǒng)的標(biāo)準(zhǔn)化
就目前而言����,入侵檢測(cè)系統(tǒng)還缺乏相應(yīng)的標(biāo)準(zhǔn)����,不同的入侵檢測(cè)系統(tǒng)之間的數(shù)據(jù)交換和信息通信幾乎不可能�����。目前��,DARPA和IETF的入侵檢測(cè)工作組試圖對(duì)入侵檢測(cè)系統(tǒng)進(jìn)行標(biāo)準(zhǔn)化工作����,分別制定了CIDF和IDMEF標(biāo)準(zhǔn)��,從體系結(jié)構(gòu)����、通信機(jī)制、消息格式等各方面對(duì)入侵檢測(cè)系統(tǒng)規(guī)范化��,但進(jìn)展非常緩慢,尚沒(méi)有被廣泛接受的標(biāo)準(zhǔn)出臺(tái)���。因而����,具有標(biāo)準(zhǔn)化接口的入侵檢測(cè)系統(tǒng)將是下一代入侵檢測(cè)系統(tǒng)的特征����。
2.分布式入侵檢測(cè)
分布式入侵檢測(cè)的第一層含義是針對(duì)分布式網(wǎng)絡(luò)攻擊的檢測(cè)方法;第二層含義即使用分布式的方法來(lái)實(shí)現(xiàn)分布式的攻擊��,其中的關(guān)鍵技術(shù)為信息的協(xié)同處理與入侵攻擊的全局信息的提取��。
3.應(yīng)用層入侵檢測(cè)
許多入侵的語(yǔ)義只有在應(yīng)用層才能理解����,而目前的入侵檢測(cè)系統(tǒng)僅能檢測(cè)Web之類的通用協(xié)議,不能處理如Lotus Notes數(shù)據(jù)庫(kù)系統(tǒng)等其他的應(yīng)用系統(tǒng)�。許多基于客戶/服務(wù)器結(jié)構(gòu)��、中間件技術(shù)及對(duì)象技術(shù)的大型應(yīng)用����,需要應(yīng)用層的入侵檢測(cè)保護(hù)�����?��?萍颊撐?。
4.智能入侵檢測(cè)
目前�,入侵方法越來(lái)越多樣化與綜合化�����,盡管已經(jīng)有智能體系�、神經(jīng)網(wǎng)絡(luò)與遺傳算法應(yīng)用在入侵檢測(cè)領(lǐng)域���,但這些只是一些嘗試性的研究工作�,需要對(duì)智能化的入侵檢測(cè)系統(tǒng)進(jìn)一步研究,以解決其自學(xué)習(xí)與自適應(yīng)能力�����。
5.建立入侵檢測(cè)系統(tǒng)評(píng)價(jià)體系
設(shè)計(jì)通用的入侵檢測(cè)測(cè)試、評(píng)估辦法和平臺(tái)�����,實(shí)現(xiàn)對(duì)多種入侵檢測(cè)系統(tǒng)的檢測(cè)����,已成為當(dāng)前入侵檢測(cè)系統(tǒng)的另一重要研究與發(fā)展領(lǐng)域��。評(píng)價(jià)入侵檢測(cè)系統(tǒng)可從檢測(cè)范圍�����、系統(tǒng)資源占用����、自身的可靠性等方面進(jìn)行�,評(píng)價(jià)指標(biāo)有:能否保證自身的安全���、運(yùn)行與維護(hù)系統(tǒng)的開銷����、報(bào)警準(zhǔn)確率����、負(fù)載能力以及可支持的網(wǎng)絡(luò)類型��、支持的入侵特征數(shù)����、是否支持IP碎片重組�����、是否支持TCP流重組等。
6.綜合性檢測(cè)系統(tǒng)
單一的技術(shù)很難構(gòu)筑一道強(qiáng)有力的安全防線�,這就需要和其他安全技術(shù)共同組成更完備的安全的保障系統(tǒng),如結(jié)合防火墻�����、PKIX、安全電子交易SET等新的網(wǎng)絡(luò)安全與電子商務(wù)技術(shù)���,提供完整的網(wǎng)絡(luò)安全保障體系�?��?萍颊撐?����。
四���、結(jié)語(yǔ)
入侵檢測(cè)作為一種積極主動(dòng)地安全防護(hù)技術(shù)�����,提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)���,在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵�。但是目前�����,入侵檢測(cè)技術(shù)主要停留在異常檢測(cè)和誤用檢測(cè)上��,這兩種方法都還不完善,存在著這樣那樣的缺陷�。網(wǎng)絡(luò)入侵技術(shù)不斷發(fā)展,入侵行為表現(xiàn)出不確定性、復(fù)雜性�����、多樣性等特點(diǎn)�;網(wǎng)絡(luò)應(yīng)用的發(fā)展帶來(lái)了新的問(wèn)題��,如高速網(wǎng)絡(luò)其流量大,基于網(wǎng)絡(luò)的檢測(cè)系統(tǒng)如何適應(yīng)這種情況�?基于主機(jī)審計(jì)數(shù)據(jù)這怎樣做到既減小數(shù)據(jù)量,又能有效地檢測(cè)到入侵行為���?入侵檢測(cè)技術(shù)己經(jīng)成為當(dāng)前網(wǎng)絡(luò)技術(shù)領(lǐng)域內(nèi)的一個(gè)研究熱點(diǎn)���,在未來(lái)的發(fā)展過(guò)程中��,將越來(lái)越多地與其他科學(xué)和技術(shù)進(jìn)行交融匯合�,如數(shù)據(jù)融合、人工智能以及網(wǎng)絡(luò)管理等等���。隨著網(wǎng)絡(luò)信息技術(shù)的發(fā)展,入侵檢測(cè)技術(shù)也在不斷地發(fā)展�����,已經(jīng)出現(xiàn)了很多新的方向,如寬帶高速網(wǎng)絡(luò)的實(shí)時(shí)入侵檢測(cè)技術(shù)��、大規(guī)模分布式入侵檢測(cè)技術(shù)等���。
參考文獻(xiàn):
[1]戴英俠,連一峰,王航.系統(tǒng)安全與入侵檢測(cè)[M].北京:清華大學(xué)出版社.2002.
[2]孫知信,徐紅霞.模糊技術(shù)在入侵檢測(cè)系統(tǒng)中的應(yīng)用研究綜述[J].南京郵電大學(xué)學(xué)報(bào).2006,(2).
[3]裴慶祺.模糊入侵檢測(cè)技術(shù)研究[M].西安:西安電子科技大學(xué).2004.
篇7
在網(wǎng)絡(luò)技術(shù)日新月異的今天�,基于網(wǎng)絡(luò)的計(jì)算機(jī)應(yīng)用已經(jīng)成為發(fā)展的主流��。政府���、教育、商業(yè)��、金融等機(jī)構(gòu)紛紛聯(lián)入Internet,全社會(huì)信息共享已逐步成為現(xiàn)實(shí)�。然而���,近年來(lái)��,網(wǎng)上黑客的攻擊活動(dòng)正以每年10倍的速度增長(zhǎng)�����。因此����,保證計(jì)算機(jī)系統(tǒng)�����、網(wǎng)絡(luò)系統(tǒng)以及整個(gè)信息基礎(chǔ)設(shè)施的安全已經(jīng)成為刻不容緩的重要課題����。
1 防火墻
目前防范網(wǎng)絡(luò)攻擊最常用的方法是構(gòu)建防火墻。
防火墻作為一種邊界安全的手段����,在網(wǎng)絡(luò)安全保護(hù)中起著重要作用����。其主要功能是控制對(duì)網(wǎng)絡(luò)的非法訪問(wèn)����,通過(guò)監(jiān)視�����、限制�����、更改通過(guò)網(wǎng)絡(luò)的數(shù)據(jù)流�����,一方面盡可能屏蔽內(nèi)部網(wǎng)的拓?fù)浣Y(jié)構(gòu),另一方面對(duì)內(nèi)屏蔽外部危險(xiǎn)站點(diǎn)�����,以防范外對(duì)內(nèi)的非法訪問(wèn)��。然而����,防火墻存在明顯的局限性��。
(1)入侵者可以找到防火墻背后可能敞開的后門��。如同深宅大院的高大院墻不能擋住老鼠的偷襲一樣,防火墻有時(shí)無(wú)法阻止入侵者的攻擊����。
(2)防火墻不能阻止來(lái)自內(nèi)部的襲擊�。調(diào)查發(fā)現(xiàn)����,50%的攻擊都將來(lái)自于網(wǎng)絡(luò)內(nèi)部���。
(3)由于性能的限制�,防火墻通常不能提供實(shí)時(shí)的入侵檢測(cè)能力��。畢業(yè)論文 而這一點(diǎn),對(duì)于層出不窮的網(wǎng)絡(luò)攻擊技術(shù)來(lái)說(shuō)是至關(guān)重要的��。
因此����,在Internet入口處部署防火墻系統(tǒng)是不能確保安全的�。單純的防火墻策略已經(jīng)無(wú)法滿足對(duì)安全高度敏感部門的需要��,網(wǎng)絡(luò)的防衛(wèi)必須采用一種縱深的��、多樣化的手段。
由于傳統(tǒng)防火墻存在缺陷��,引發(fā)了入侵檢測(cè)IDS(Intrusion Detection System)的研究和開發(fā)。入侵檢測(cè)是防火墻之后的第二道安全閘門����,是對(duì)防火墻的合理補(bǔ)充�����,在不影響網(wǎng)絡(luò)性能的情況下��,通過(guò)對(duì)網(wǎng)絡(luò)的監(jiān)測(cè)����,幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊�����,擴(kuò)展系統(tǒng)管理員的安全管理能力(包括安全審計(jì)���、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng))�,提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性����,提供對(duì)內(nèi)部攻擊�����、外部攻擊和誤操作的實(shí)時(shí)保護(hù)?�,F(xiàn)在��,入侵檢測(cè)已經(jīng)成為網(wǎng)絡(luò)安全中一個(gè)重要的研究方向���,在各種不同的網(wǎng)絡(luò)環(huán)境中發(fā)揮重要作用���。
2 入侵檢測(cè)
2.1 入侵檢測(cè)
入侵檢測(cè)是通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析��,從中發(fā)現(xiàn)違反安全策略的行為和遭到攻擊的跡象��,并做出自動(dòng)的響應(yīng)�����。其主要功能是對(duì)用戶和系統(tǒng)行為的監(jiān)測(cè)與分析��、系統(tǒng)配置和漏洞的審計(jì)檢查��、重要系統(tǒng)和數(shù)據(jù)文件的完整性評(píng)估��、已知的攻擊行為模式的識(shí)別��、異常行為模式的統(tǒng)計(jì)分析���、操作系統(tǒng)的審計(jì)跟蹤管理及違反安全策略的用戶行為的識(shí)別��。入侵檢測(cè)通過(guò)迅速地檢測(cè)入侵,在可能造成系統(tǒng)損壞或數(shù)據(jù)丟失之前�����,識(shí)別并驅(qū)除入侵者���,使系統(tǒng)迅速恢復(fù)正常工作�,并且阻止入侵者進(jìn)一步的行動(dòng)。同時(shí)�����,收集有關(guān)入侵的技術(shù)資料�����,用于改進(jìn)和增強(qiáng)系統(tǒng)抵抗入侵的能力。
入侵檢測(cè)可分為基于主機(jī)型�����、基于網(wǎng)絡(luò)型�����、基于型三類���。從20世紀(jì)90年代至今,英語(yǔ)論文 已經(jīng)開發(fā)出一些入侵檢測(cè)的產(chǎn)品��,其中比較有代表性的產(chǎn)品有ISS(Intemet Security System)公司的Realsecure����,NAI(Network Associates�,Inc)公司的Cybercop和Cisco公司的NetRanger����。
2.2 檢測(cè)技術(shù)
入侵檢測(cè)為網(wǎng)絡(luò)安全提供實(shí)時(shí)檢測(cè)及攻擊行為檢測(cè),并采取相應(yīng)的防護(hù)手段。例如��,實(shí)時(shí)檢測(cè)通過(guò)記錄證據(jù)來(lái)進(jìn)行跟蹤�、恢復(fù)�、斷開網(wǎng)絡(luò)連接等控制�;攻擊行為檢測(cè)注重于發(fā)現(xiàn)信息系統(tǒng)中可能已經(jīng)通過(guò)身份檢查的形跡可疑者��,進(jìn)一步加強(qiáng)信息系統(tǒng)的安全力度���。入侵檢測(cè)的步驟如下:
收集系統(tǒng)����、網(wǎng)絡(luò)�����、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為的信息
入侵檢測(cè)一般采用分布式結(jié)構(gòu),在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)(不同網(wǎng)段和不同主機(jī))收集信息�����,一方面擴(kuò)大檢測(cè)范圍��,另一方面通過(guò)多個(gè)采集點(diǎn)的信息的比較來(lái)判斷是否存在可疑現(xiàn)象或發(fā)生入侵行為。
入侵檢測(cè)所利用的信息一般來(lái)自以下4個(gè)方面:系統(tǒng)和網(wǎng)絡(luò)日志文件����、目錄和文件中的不期望的改變���、程序執(zhí)行中的不期望行為��、物理形式的入侵信息。
(2)根據(jù)收集到的信息進(jìn)行分析
常用的分析方法有模式匹配����、統(tǒng)計(jì)分析、完整性分析�。模式匹配是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫(kù)進(jìn)行比較��,從而發(fā)現(xiàn)違背安全策略的行為�。
統(tǒng)計(jì)分析方法首先給系統(tǒng)對(duì)象(如用戶�����、文件�����、目錄和設(shè)備等)創(chuàng)建一個(gè)統(tǒng)計(jì)描述����,統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性。測(cè)量屬性的平均值將被用來(lái)與網(wǎng)絡(luò)�、系統(tǒng)的行為進(jìn)行比較。當(dāng)觀察值超出正常值范圍時(shí)�����,就有可能發(fā)生入侵行為。該方法的難點(diǎn)是閾值的選擇����,閾值太小可能產(chǎn)生錯(cuò)誤的入侵報(bào)告��,閾值太大可能漏報(bào)一些入侵事件�����。
完整性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓?���,包括文件和目錄的?nèi)容及屬性����。該方法能有效地防范特洛伊木馬的攻擊。
3 分類及存在的問(wèn)題
入侵檢測(cè)通過(guò)對(duì)入侵和攻擊行為的檢測(cè)����,查出系統(tǒng)的入侵者或合法用戶對(duì)系統(tǒng)資源的濫用和誤用�����。工作總結(jié) 根據(jù)不同的檢測(cè)方法��,將入侵檢測(cè)分為異常入侵檢測(cè)(Anomaly Detection)和誤用人侵檢測(cè)(Misuse Detection)。
3.1 異常檢測(cè)
又稱為基于行為的檢測(cè)�。其基本前提是:假定所有的入侵行為都是異常的。首先建立系統(tǒng)或用戶的“正常”行為特征輪廓���,通過(guò)比較當(dāng)前的系統(tǒng)或用戶的行為是否偏離正常的行為特征輪廓來(lái)判斷是否發(fā)生了入侵���。此方法不依賴于是否表現(xiàn)出具體行為來(lái)進(jìn)行檢測(cè)�,是一種間接的方法。
常用的具體方法有:統(tǒng)計(jì)異常檢測(cè)方法、基于特征選擇異常檢測(cè)方法��、基于貝葉斯推理異常檢測(cè)方法�、基于貝葉斯網(wǎng)絡(luò)異常檢測(cè)方法�、基于模式預(yù)測(cè)異常檢測(cè)方法、基于神經(jīng)網(wǎng)絡(luò)異常檢測(cè)方法���、基于機(jī)器學(xué)習(xí)異常檢測(cè)方法�����、基于數(shù)據(jù)采掘異常檢測(cè)方法等�����。
采用異常檢測(cè)的關(guān)鍵問(wèn)題有如下兩個(gè)方面:
(1)特征量的選擇
在建立系統(tǒng)或用戶的行為特征輪廓的正常模型時(shí),選取的特征量既要能準(zhǔn)確地體現(xiàn)系統(tǒng)或用戶的行為特征����,又能使模型最優(yōu)化����,即以最少的特征量就能涵蓋系統(tǒng)或用戶的行為特征。
(2)參考閾值的選定
由于異常檢測(cè)是以正常的特征輪廓作為比較的參考基準(zhǔn)���,因此,參考閾值的選定是非常關(guān)鍵的。
閾值設(shè)定得過(guò)大����,那漏警率會(huì)很高����;閾值設(shè)定的過(guò)小��,則虛警率就會(huì)提高����。合適的參考閾值的選定是決定這一檢測(cè)方法準(zhǔn)確率的至關(guān)重要的因素����。
由此可見�����,異常檢測(cè)技術(shù)難點(diǎn)是“正?���!毙袨樘卣鬏喞拇_定、特征量的選取���、特征輪廓的更新。由于這幾個(gè)因素的制約��,異常檢測(cè)的虛警率很高,但對(duì)于未知的入侵行為的檢測(cè)非常有效����。此外,由于需要實(shí)時(shí)地建立和更新系統(tǒng)或用戶的特征輪廓�,這樣所需的計(jì)算量很大���,對(duì)系統(tǒng)的處理性能要求很高。
3.2 誤用檢測(cè)
又稱為基于知識(shí)的檢測(cè)�����。其基本前提是:假定所有可能的入侵行為都能被識(shí)別和表示����。首先����,留學(xué)生論文 對(duì)已知的攻擊方法進(jìn)行攻擊簽名(攻擊簽名是指用一種特定的方式來(lái)表示已知的攻擊模式)表示���,然后根據(jù)已經(jīng)定義好的攻擊簽名���,通過(guò)判斷這些攻擊簽名是否出現(xiàn)來(lái)判斷入侵行為的發(fā)生與否����。這種方法是依據(jù)是否出現(xiàn)攻擊簽名來(lái)判斷入侵行為��,是一種直接的方法��。
常用的具體方法有:基于條件概率誤用入侵檢測(cè)方法���、基于專家系統(tǒng)誤用入侵檢測(cè)方法�、基于狀態(tài)遷移分析誤用入侵檢測(cè)方法���、基于鍵盤監(jiān)控誤用入侵檢測(cè)方法�、基于模型誤用入侵檢測(cè)方法���。誤用檢測(cè)的關(guān)鍵問(wèn)題是攻擊簽名的正確表示��。
誤用檢測(cè)是根據(jù)攻擊簽名來(lái)判斷入侵的���,根據(jù)對(duì)已知的攻擊方法的了解����,用特定的模式語(yǔ)言來(lái)表示這種攻擊�,使得攻擊簽名能夠準(zhǔn)確地表示入侵行為及其所有可能的變種�����,同時(shí)又不會(huì)把非入侵行為包含進(jìn)來(lái)。由于多數(shù)入侵行為是利用系統(tǒng)的漏洞和應(yīng)用程序的缺陷�����,因此��,通過(guò)分析攻擊過(guò)程的特征�、條件����、排列以及事件間的關(guān)系�����,就可具體描述入侵行為的跡象。這些跡象不僅對(duì)分析已經(jīng)發(fā)生的入侵行為有幫助���,而且對(duì)即將發(fā)生的入侵也有預(yù)警作用�。
誤用檢測(cè)將收集到的信息與已知的攻擊簽名模式庫(kù)進(jìn)行比較,從中發(fā)現(xiàn)違背安全策略的行為����。由于只需要收集相關(guān)的數(shù)據(jù),這樣系統(tǒng)的負(fù)擔(dān)明顯減少�����。該方法類似于病毒檢測(cè)系統(tǒng)�����,其檢測(cè)的準(zhǔn)確率和效率都比較高����。但是它也存在一些缺點(diǎn)。
3.2.1 不能檢測(cè)未知的入侵行為
由于其檢測(cè)機(jī)理是對(duì)已知的入侵方法進(jìn)行模式提取��,對(duì)于未知的入侵方法就不能進(jìn)行有效的檢測(cè)�����。也就是說(shuō)漏警率比較高���。
3.2.2 與系統(tǒng)的相關(guān)性很強(qiáng)
對(duì)于不同實(shí)現(xiàn)機(jī)制的操作系統(tǒng)���,由于攻擊的方法不盡相同,很難定義出統(tǒng)一的模式庫(kù)���。另外����,誤用檢測(cè)技術(shù)也難以檢測(cè)出內(nèi)部人員的入侵行為。
目前����,由于誤用檢測(cè)技術(shù)比較成熟����,多數(shù)的商業(yè)產(chǎn)品都主要是基于誤用檢測(cè)模型的�����。不過(guò)���,為了增強(qiáng)檢測(cè)功能����,不少產(chǎn)品也加入了異常檢測(cè)的方法���。
4 入侵檢測(cè)的發(fā)展方向
隨著信息系統(tǒng)對(duì)一個(gè)國(guó)家的社會(huì)生產(chǎn)與國(guó)民經(jīng)濟(jì)的影響越來(lái)越大�,再加上網(wǎng)絡(luò)攻擊者的攻擊工具與手法日趨復(fù)雜化����,信息戰(zhàn)已逐步被各個(gè)國(guó)家重視。近年來(lái)����,入侵檢測(cè)有如下幾個(gè)主要發(fā)展方向:
4.1 分布式入侵檢測(cè)與通用入侵檢測(cè)架構(gòu)
傳統(tǒng)的IDS一般局限于單一的主機(jī)或網(wǎng)絡(luò)架構(gòu)��,對(duì)異構(gòu)系統(tǒng)及大規(guī)模的網(wǎng)絡(luò)的監(jiān)測(cè)明顯不足����,再加上不同的IDS系統(tǒng)之間不能很好地協(xié)同工作�����。為解決這一問(wèn)題���,需要采用分布式入侵檢測(cè)技術(shù)與通用入侵檢測(cè)架構(gòu)����。
4.2應(yīng)用層入侵檢測(cè)
許多入侵的語(yǔ)義只有在應(yīng)用層才能理解,然而目前的IDS僅能檢測(cè)到諸如Web之類的通用協(xié)議�����,而不能處理Lotus Notes���、數(shù)據(jù)庫(kù)系統(tǒng)等其他的應(yīng)用系統(tǒng)�����。許多基于客戶/服務(wù)器結(jié)構(gòu)��、中間件技術(shù)及對(duì)象技術(shù)的大型應(yīng)用���,也需要應(yīng)用層的入侵檢測(cè)保護(hù)����。
4.3 智能的入侵檢測(cè)
入侵方法越來(lái)越多樣化與綜合化�����,盡管已經(jīng)有智能體�、神經(jīng)網(wǎng)絡(luò)與遺傳算法在入侵檢測(cè)領(lǐng)域應(yīng)用研究,但是����,這只是一些嘗試性的研究工作,需要對(duì)智能化的IDS加以進(jìn)一步的研究,以解決其自學(xué)習(xí)與自適應(yīng)能力�。
4.4 入侵檢測(cè)的評(píng)測(cè)方法
用戶需對(duì)眾多的IDS系統(tǒng)進(jìn)行評(píng)價(jià)��,評(píng)價(jià)指標(biāo)包括IDS檢測(cè)范圍���、系統(tǒng)資源占用���、IDS自身的可靠性���,從而設(shè)計(jì)出通用的入侵檢測(cè)測(cè)試與評(píng)估方法與平臺(tái),實(shí)現(xiàn)對(duì)多種IDS的檢測(cè)��。
4.5 全面的安全防御方案
結(jié)合安全工程風(fēng)險(xiǎn)管理的思想與方法來(lái)處理網(wǎng)絡(luò)安全問(wèn)題����,將網(wǎng)絡(luò)安全作為一個(gè)整體工程來(lái)處理�。從管理、網(wǎng)絡(luò)結(jié)構(gòu)���、加密通道�、防火墻�、病毒防護(hù)、入侵檢測(cè)多方位全面對(duì)所關(guān)注的網(wǎng)絡(luò)作全面的評(píng)估,然后提出可行的全面解決方案�����。
綜上所述��,入侵檢測(cè)作為一種積極主動(dòng)的安全防護(hù)技術(shù)�,提供了對(duì)內(nèi)部攻擊�、外部攻擊和誤操作的實(shí)時(shí)保護(hù)�����,使網(wǎng)絡(luò)系統(tǒng)在受到危害之前即攔截和響應(yīng)入侵行為��,為網(wǎng)絡(luò)安全增加一道屏障����。隨著入侵檢測(cè)的研究與開發(fā)��,并在實(shí)際應(yīng)用中與其它網(wǎng)絡(luò)管理軟件相結(jié)合�����,使網(wǎng)絡(luò)安全可以從立體縱深、多層次防御的角度出發(fā)����,形成人侵檢測(cè)���、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)監(jiān)控三位一體化�,從而更加有效地保護(hù)網(wǎng)絡(luò)的安全。
參考文獻(xiàn)
l 吳新民.兩種典型的入侵檢測(cè)方法研究.計(jì)算機(jī)工程與應(yīng)用����,2002;38(10):181—183
2 羅妍����,李仲麟,陳憲.入侵檢測(cè)系統(tǒng)模型的比較.計(jì)算機(jī)應(yīng)用�����,2001;21(6):29~31
3 李渙洲.網(wǎng)絡(luò)安全與入侵檢測(cè)技術(shù).四川師范大學(xué)學(xué)報(bào).2001��;24(3):426—428
篇8
1數(shù)據(jù)庫(kù)入侵檢測(cè)技術(shù)
計(jì)算機(jī)數(shù)據(jù)庫(kù)能夠安全有效的使用�����。入侵技術(shù)的檢測(cè)具有如下功能:(1)能有效的對(duì)用戶的行為進(jìn)行監(jiān)控與分析;(2)對(duì)計(jì)算機(jī)系統(tǒng)運(yùn)行的變化弱點(diǎn)進(jìn)行審計(jì)分析�;(3)在檢測(cè)到入侵并識(shí)別之后進(jìn)行預(yù)警;(4)對(duì)計(jì)算機(jī)系統(tǒng)的異常信息進(jìn)行分析��,并對(duì)關(guān)鍵的信息進(jìn)行評(píng)估分析�;(5)對(duì)檢測(cè)到操作系統(tǒng)的異常情況進(jìn)行跟蹤處理���。一般的計(jì)算機(jī)入侵系統(tǒng)主要包括如圖1所示�����。
1.1數(shù)據(jù)庫(kù)入侵檢測(cè)技術(shù)
計(jì)算機(jī)入侵檢測(cè)技術(shù)是在互聯(lián)網(wǎng)技術(shù)快速發(fā)展的時(shí)代背景下,為了保證計(jì)算機(jī)數(shù)據(jù)庫(kù)的安全而產(chǎn)生的�����?���?梢栽谟?jì)算機(jī)運(yùn)行的過(guò)程中��,對(duì)一些有可能危害計(jì)算機(jī)運(yùn)行安全的網(wǎng)站或者病毒進(jìn)行阻攔�����,防止出現(xiàn)病毒入侵計(jì)算機(jī)數(shù)據(jù)庫(kù)的情況�,保證計(jì)算機(jī)數(shù)據(jù)庫(kù)的安全��。利用入侵檢測(cè)技術(shù)��,但計(jì)算機(jī)出現(xiàn)病毒即將入侵的情況時(shí)����,檢測(cè)系統(tǒng)就會(huì)自動(dòng)響起報(bào)警系統(tǒng)��,這些計(jì)算機(jī)管理人員就會(huì)通過(guò)報(bào)警聲得知計(jì)算機(jī)出現(xiàn)安全問(wèn)題���,可以立即采取促使�,阻止并且的入侵行為��,保護(hù)計(jì)算機(jī)數(shù)據(jù)庫(kù)的安全�����。入侵檢測(cè)技術(shù)還可以對(duì)計(jì)算機(jī)內(nèi)部自帶的一些系統(tǒng)出現(xiàn)的入侵行為進(jìn)行防范����,入侵檢測(cè)技術(shù)對(duì)一些可以收集一些沒(méi)有授權(quán)的信息��,可以提前這些信息進(jìn)行入侵的防范工作����,當(dāng)在計(jì)算機(jī)運(yùn)行時(shí)出現(xiàn)入侵行為以后能夠及時(shí)的做出反應(yīng)��。將入侵檢測(cè)系統(tǒng)應(yīng)用在計(jì)算機(jī)數(shù)據(jù)庫(kù)的安全管理之中,可以起到對(duì)計(jì)算機(jī)安全的監(jiān)控作用��,通過(guò)對(duì)計(jì)算機(jī)運(yùn)行的實(shí)時(shí)監(jiān)控和監(jiān)測(cè)�����,保證能夠第一時(shí)間發(fā)展其中的問(wèn)題��。利用計(jì)算機(jī)監(jiān)測(cè)系統(tǒng)���,還可以減輕計(jì)算機(jī)檢測(cè)人員的工作量���,能夠使他們有更多的時(shí)間去制定解決入侵病毒,提高計(jì)算機(jī)數(shù)據(jù)安全管理的效率�。
1.2入侵檢測(cè)常用的兩種方法
1.2.1誤用檢測(cè)方法誤用檢測(cè)是入侵檢測(cè)技術(shù)中最常用的的一種檢測(cè)方法���,利用誤用檢測(cè)的方法,可以總結(jié)過(guò)去入侵的經(jīng)驗(yàn)教訓(xùn)����,分析過(guò)去對(duì)計(jì)算機(jī)數(shù)據(jù)庫(kù)出現(xiàn)入侵的具體情況的解決措施����,總結(jié)出入侵的主要規(guī)律�。通過(guò)對(duì)這些入侵規(guī)律的不斷了解,并且對(duì)計(jì)算機(jī)的運(yùn)行情況進(jìn)行監(jiān)測(cè)���,就可以發(fā)展計(jì)算機(jī)是否存在病毒入侵的情況��。如果發(fā)現(xiàn)計(jì)算機(jī)數(shù)據(jù)庫(kù)存在著病毒入侵的情況����,通過(guò)誤用檢測(cè)的方法�,可以快速的分析出入侵的原因和情況,以至于能夠快速準(zhǔn)的制定解決方案�����。但是誤用檢測(cè)對(duì)系統(tǒng)內(nèi)部的入侵情況不能及時(shí)的做出反應(yīng)���,因?yàn)檎`用方法不可能獨(dú)立的應(yīng)用���,職能依靠于一種具體的系統(tǒng)來(lái)進(jìn)行,這就會(huì)影響系統(tǒng)的移植性�,造成不能對(duì)一些從未出現(xiàn)過(guò)的病毒進(jìn)行檢測(cè),降低了檢測(cè)的準(zhǔn)確性�。1.2.2異常檢測(cè)方法異常檢測(cè)方法是在計(jì)算機(jī)運(yùn)行的基礎(chǔ)上,通過(guò)對(duì)計(jì)算機(jī)運(yùn)行是否存在入侵情況的假設(shè)來(lái)進(jìn)行的�。在利用異常檢測(cè)的方法進(jìn)行系統(tǒng)的監(jiān)測(cè)時(shí)�����,通過(guò)將一些正常使用的模式和非正常使用的模式進(jìn)行對(duì)比分析,從對(duì)比出的不同結(jié)果來(lái)發(fā)現(xiàn)系統(tǒng)中存在的入侵行為�。這種異常檢測(cè)的方法和誤用檢測(cè)方法不同,不用依賴系統(tǒng)進(jìn)行操作�����,降低了對(duì)系統(tǒng)入侵行為的局限性�,可以檢測(cè)出新型入侵行為。但是異常檢測(cè)方法也存在著一些問(wèn)題���,例如異常檢測(cè)方法雖然能夠檢測(cè)出入侵行為����,但是不能對(duì)入侵行為進(jìn)行具體的描述��,就會(huì)導(dǎo)致系統(tǒng)在檢測(cè)的過(guò)程中容易發(fā)生失誤問(wèn)題����。
2數(shù)據(jù)挖掘技術(shù)在數(shù)據(jù)庫(kù)入侵檢測(cè)中的應(yīng)用
為了防止數(shù)據(jù)庫(kù)數(shù)據(jù)的額損失,防止出現(xiàn)數(shù)據(jù)庫(kù)入侵問(wèn)題�����,計(jì)算機(jī)數(shù)據(jù)管理專家不斷的根據(jù)先進(jìn)的互聯(lián)網(wǎng)數(shù)據(jù)庫(kù)的特點(diǎn)進(jìn)行研究和分析����。將入侵檢測(cè)技術(shù)應(yīng)用到計(jì)算機(jī)數(shù)據(jù)庫(kù)的數(shù)據(jù)安全管理中�,可以有效的對(duì)計(jì)算機(jī)運(yùn)行時(shí)出現(xiàn)的一些病毒或者是一些非正常的訪問(wèn)進(jìn)行阻擋��,防止出現(xiàn)惡意軟件入侵?jǐn)?shù)據(jù)庫(kù)的情況,保護(hù)了數(shù)據(jù)庫(kù)數(shù)據(jù)的安全�。2.1數(shù)據(jù)挖掘技術(shù)概述在對(duì)數(shù)據(jù)庫(kù)的入侵情況進(jìn)行檢測(cè)時(shí),可以利用數(shù)據(jù)挖掘技術(shù)�?�?梢詫?duì)數(shù)據(jù)庫(kù)之中的一些不完整的數(shù)據(jù)和正常完整的數(shù)據(jù)進(jìn)行區(qū)分�,并且可以將不完整的數(shù)據(jù)信息進(jìn)行徹底的清除���。
2.2數(shù)據(jù)庫(kù)入侵檢測(cè)中常用的數(shù)據(jù)挖掘方法
2.2.1關(guān)聯(lián)規(guī)則的挖掘使用關(guān)聯(lián)規(guī)則的挖掘首先要在數(shù)據(jù)庫(kù)中找出記錄集合�����,通過(guò)對(duì)記錄集合分析和檢測(cè)���,發(fā)現(xiàn)其中數(shù)據(jù)之間存在的相似之處,借助頻繁項(xiàng)集生成的規(guī)則���,對(duì)數(shù)據(jù)進(jìn)行挖掘��。2.2.2序列模式的挖掘使用序列模式的挖掘也是為了發(fā)展數(shù)據(jù)庫(kù)之中的數(shù)據(jù)存在的相似點(diǎn)�。利用序列模式的挖掘的優(yōu)勢(shì)��,主要就是體現(xiàn)在可以對(duì)數(shù)據(jù)庫(kù)記錄之間時(shí)間窗口的挖掘���,可以在對(duì)數(shù)據(jù)庫(kù)中的數(shù)據(jù)進(jìn)行審計(jì)時(shí)找出其中存在的規(guī)律�����。
3結(jié)語(yǔ)
近幾年�����,隨著社會(huì)經(jīng)濟(jì)的快速發(fā)展,已經(jīng)進(jìn)去到了互聯(lián)網(wǎng)時(shí)代�。網(wǎng)絡(luò)技術(shù)被廣泛到生產(chǎn)生活中��。為企業(yè)的發(fā)展了巨大的作用�,但是在網(wǎng)絡(luò)技術(shù)快速發(fā)展的背景下�����,也為企業(yè)的發(fā)展帶來(lái)了巨大的安全隱患�����。網(wǎng)絡(luò)操作存在著病毒入侵的風(fēng)險(xiǎn)�,隨時(shí)可能對(duì)數(shù)據(jù)庫(kù)中的企業(yè)的信息安全造成威脅���,病毒入侵可能導(dǎo)致企業(yè)的商業(yè)機(jī)密泄露�,影響企業(yè)在市場(chǎng)中的競(jìng)爭(zhēng)力���。為了提高對(duì)計(jì)算機(jī)數(shù)據(jù)庫(kù)的安全管理,本論文對(duì)數(shù)據(jù)庫(kù)入侵檢測(cè)技術(shù)進(jìn)行了分析�����,希望能夠?qū)θ肭謾z測(cè)技術(shù)的推廣起到借鑒作用���,保障網(wǎng)絡(luò)信息的基本安全。
參考文獻(xiàn)
篇9
1 高校網(wǎng)絡(luò)環(huán)境的入侵檢測(cè)方案的問(wèn)題
1.1 入侵檢測(cè)方案
隨著“計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)”的高速發(fā)展��,網(wǎng)絡(luò)終端����、測(cè)試平臺(tái)、監(jiān)控系統(tǒng)等方面已經(jīng)出現(xiàn)相對(duì)完善的發(fā)展。這些顯著的發(fā)展和技術(shù)���,為高校網(wǎng)絡(luò)環(huán)境提供了獲取信息的便利性����,但不可否認(rèn)的是,網(wǎng)絡(luò)安全已經(jīng)成為不能不考慮的問(wèn)題�����。入侵檢測(cè)方案正是利用利用網(wǎng)絡(luò)平臺(tái)�,通過(guò)網(wǎng)絡(luò)與遠(yuǎn)程服務(wù)器交換�����,將終端數(shù)據(jù)庫(kù)分布實(shí)現(xiàn)入侵檢測(cè)監(jiān)控的辦法�。
1.2 高校網(wǎng)絡(luò)環(huán)境現(xiàn)狀
當(dāng)前��,高校網(wǎng)絡(luò)環(huán)境是虛擬網(wǎng)絡(luò)平臺(tái)��。在網(wǎng)絡(luò)開放環(huán)境下,虛擬網(wǎng)絡(luò)平臺(tái)的入侵檢測(cè)方案既要允許高校主機(jī)數(shù)據(jù)庫(kù)對(duì)專用用戶的可用性���,又要保證對(duì)非法用戶的篩選和防御�����。其實(shí)����,當(dāng)前大多數(shù)高校網(wǎng)絡(luò)環(huán)境的入侵方案是專用用戶才能評(píng)價(jià)發(fā)現(xiàn)檢測(cè)的模式�����。在數(shù)據(jù)庫(kù)環(huán)境下���,高校網(wǎng)絡(luò)環(huán)境的設(shè)計(jì)理念應(yīng)盡量符合人的感知和認(rèn)知過(guò)程��,實(shí)現(xiàn)“用戶的高校網(wǎng)絡(luò)環(huán)境系統(tǒng)”�。很多高校的網(wǎng)絡(luò)環(huán)境都是基于WEB的數(shù)據(jù)庫(kù)的轉(zhuǎn)換和數(shù)據(jù)交換監(jiān)控,數(shù)據(jù)庫(kù)相對(duì)簡(jiǎn)單���,斷接相當(dāng)頻繁���,入侵檢測(cè)的方式單一��,安全可靠性低��。面對(duì)平臺(tái)和數(shù)據(jù)容量的增加���,客觀上要求基于自動(dòng)檢測(cè)�����,能夠?qū)?shù)據(jù)庫(kù)進(jìn)行分析���、聚類、糾錯(cuò)�、響應(yīng)及時(shí)的遺傳算法的高效網(wǎng)絡(luò),才能處理訪問(wèn)數(shù)據(jù)庫(kù)的繁雜,實(shí)現(xiàn)專用用戶交互�����、完成網(wǎng)絡(luò)平臺(tái)多樣化數(shù)據(jù)的可擴(kuò)展性��。因此���,高校網(wǎng)絡(luò)環(huán)境情況影響著數(shù)據(jù)庫(kù)交換�,更影響著入侵檢測(cè)方案實(shí)施和制定�����,必須按照網(wǎng)絡(luò)平臺(tái)需求����,構(gòu)建適應(yīng)高校網(wǎng)絡(luò)平臺(tái)的入侵檢測(cè)方案。
1.3 高校網(wǎng)絡(luò)環(huán)境的入侵檢測(cè)方案的關(guān)鍵點(diǎn)
高校網(wǎng)絡(luò)環(huán)境的入侵檢測(cè)方案的關(guān)鍵點(diǎn)就是要充分利用高校網(wǎng)絡(luò)資源平臺(tái)�����,整合數(shù)據(jù)庫(kù)�����、角色管理的安全模型���、校園無(wú)縫隙監(jiān)控、多方位反饋與應(yīng)對(duì)系統(tǒng)等資源�����,預(yù)測(cè)或?qū)崟r(shí)處理高校網(wǎng)絡(luò)入侵時(shí)間的發(fā)生���。
2 高校網(wǎng)絡(luò)環(huán)境的入侵檢測(cè)方案思考
2.1 建立適合高校網(wǎng)絡(luò)環(huán)境的檢測(cè)系統(tǒng)平臺(tái)
在當(dāng)前高校網(wǎng)絡(luò)環(huán)境下的入侵檢測(cè)����,必須運(yùn)用比較成熟“云計(jì)算技術(shù)”����,實(shí)現(xiàn)檢測(cè)方案系統(tǒng)��。
云計(jì)算技術(shù)利用高速互聯(lián)網(wǎng)的傳輸能力�����,將計(jì)算���、存儲(chǔ)、軟件��、服務(wù)等資源從分散的個(gè)人計(jì)算機(jī)或服務(wù)器移植到互聯(lián)網(wǎng)中集中管理的大規(guī)模高性能計(jì)算機(jī)�、個(gè)人計(jì)算機(jī)���、虛擬計(jì)算機(jī)中����,從而使用戶像使用電力一樣使用這些資源�。云計(jì)算表述了一種新的計(jì)算模式:應(yīng)用、數(shù)據(jù)和IT資源以服務(wù)的方式通過(guò)網(wǎng)絡(luò)提供給用戶使用�。
從網(wǎng)絡(luò)平臺(tái)系統(tǒng)看�,云計(jì)算也是一種基礎(chǔ)架構(gòu)管理的方法論�����,大量的計(jì)算資源組成IT資源池��,用于動(dòng)態(tài)創(chuàng)建高度虛擬化的資源提供用戶使用���。網(wǎng)絡(luò)平臺(tái)可將各種資源匯聚為“一個(gè)可動(dòng)態(tài)分配的計(jì)算機(jī)系統(tǒng)資源池”,軟件��、硬件�、數(shù)據(jù)��、信息服務(wù)等都可以在“云計(jì)算”這一平臺(tái)上租賃使用�。用戶無(wú)需了解底層系統(tǒng)的支撐架構(gòu),不需要維護(hù)和購(gòu)買相應(yīng)的軟硬件�,通過(guò)專用密鑰進(jìn)入云計(jì)算平臺(tái)即可享用各種低成本的信息化服務(wù)。云計(jì)算能改變了原有的互聯(lián)網(wǎng)資源提供商需要獨(dú)立�、分散建造機(jī)房����、運(yùn)營(yíng)系統(tǒng)、維護(hù)安全的困境,極大低降低了高校整體能源消耗����,為高校提供了綠色����、低碳���、高效的IT基礎(chǔ)設(shè)施實(shí)施及檢測(cè)管理方案����。 轉(zhuǎn)貼于
2.2 入侵檢測(cè)機(jī)制
高校網(wǎng)絡(luò)環(huán)境的入侵檢測(cè)體系結(jié)構(gòu)在高校網(wǎng)絡(luò)環(huán)境的技術(shù)條件下��,必須依據(jù)網(wǎng)絡(luò)NIDS模塊�,組建檢測(cè)管理平臺(tái):主要有如下模塊組成:應(yīng)用任務(wù)模塊(負(fù)責(zé)系統(tǒng)管理功能);入侵檢測(cè)與分析模塊�;數(shù)據(jù)庫(kù)交換模塊(負(fù)責(zé)數(shù)據(jù)包嗅探��、預(yù)處理過(guò)濾和固定字段模式匹配)��。入侵檢測(cè)主要功能就是實(shí)現(xiàn)網(wǎng)絡(luò)環(huán)境下實(shí)時(shí)流量分析以及入侵檢測(cè)功能��。針對(duì)硬件邏輯和核心態(tài)軟件邏輯采用的高效檢測(cè)策略,利用入侵檢測(cè)模塊中�,入侵檢測(cè)模型包括三個(gè)主要的流程:
第一步驟:高校網(wǎng)絡(luò)環(huán)境的入侵檢測(cè)體系的調(diào)度平臺(tái)�����,從用戶請(qǐng)求隊(duì)列中取出優(yōu)先級(jí)最高的用戶請(qǐng)求R�����。R首先讀取元數(shù)據(jù)庫(kù)�����,根據(jù)用戶請(qǐng)求的硬件資源判斷是否能被當(dāng)前空閑的物理機(jī)資源滿足�����,如CPU頻率�、核心數(shù)����、帶寬����、存儲(chǔ)、硬盤空間等��。如果能滿足�����,則直接轉(zhuǎn)向步驟2���;如果不能滿足,判斷是否可以通過(guò)平臺(tái)虛擬機(jī)遷移�,釋放相關(guān)資源��;如果可以則在執(zhí)行遷移步驟�����,轉(zhuǎn)步驟2;如果即使遷移也無(wú)法完成�����,則退出��,并報(bào)告用戶資源無(wú)法完成請(qǐng)求��。
第二步驟:如果資源請(qǐng)求可以滿足,調(diào)度服務(wù)器從存儲(chǔ)結(jié)點(diǎn)中選擇與用戶請(qǐng)求對(duì)應(yīng)的虛擬機(jī)模板T(對(duì)于新建立的虛擬機(jī))或虛擬機(jī)鏡像I。
第三步驟:調(diào)度服務(wù)器將I遷入對(duì)應(yīng)的物理機(jī)��,并創(chuàng)建對(duì)應(yīng)的虛擬機(jī)實(shí)例V�。
如果平臺(tái)需要調(diào)整現(xiàn)有物理機(jī)上的虛擬機(jī)分布,如何以最小的調(diào)整代價(jià)����,實(shí)現(xiàn)資源的重新分配。對(duì)于部分平臺(tái)�����,由于遷移可能造成虛擬平臺(tái)的不穩(wěn)定;遷移的條件要求較高�����,以確保最少的虛擬機(jī)受到影響為準(zhǔn)��。
3 結(jié)論
高校網(wǎng)絡(luò)環(huán)境的入侵檢測(cè)方案的思考�����,是適應(yīng)高校檢測(cè)環(huán)境的發(fā)展要求����,必須把握其發(fā)展方向和關(guān)鍵技術(shù);實(shí)現(xiàn)高校網(wǎng)絡(luò)環(huán)境入侵檢測(cè)方案����。在現(xiàn)代技術(shù)條件下高校網(wǎng)絡(luò)環(huán)境雖然技術(shù)存在的一些缺陷�����,但入侵檢測(cè)方案成為主流監(jiān)控手段的發(fā)展方向已經(jīng)不可改變���。我們相信���,基于高校網(wǎng)絡(luò)環(huán)境的入侵檢測(cè)方案的理念,相信能夠成為新的監(jiān)控技術(shù)發(fā)展的亮點(diǎn)�。
參考文獻(xiàn)
[1]申建剛����、夏國(guó)平�����、邱鞏強(qiáng)�,基于云計(jì)算技術(shù)虛擬現(xiàn)實(shí)的施工設(shè)備布置系統(tǒng),計(jì)算機(jī)集成制造系統(tǒng)���,2009.10.
[2]劉秀玲�����、杜歡平����、楊國(guó)杰���,分布式多交互虛擬場(chǎng)景渲染的協(xié)同控制���,計(jì)算機(jī)工程與應(yīng)用����,2009.29.
篇10
目前��,開放式網(wǎng)絡(luò)環(huán)境使人們充分享受著數(shù)字化����,信息化給人們?nèi)粘5墓ぷ魃顚W(xué)習(xí)帶來(lái)的巨大便利,也因此對(duì)計(jì)算機(jī)網(wǎng)絡(luò)越來(lái)越強(qiáng)的依賴性,與此同時(shí),各種針對(duì)網(wǎng)絡(luò)的攻擊與破壞日益增多����,成為制約網(wǎng)絡(luò)技術(shù)發(fā)展的一大障礙�。傳統(tǒng)的安全技術(shù)并不能對(duì)系統(tǒng)是否真的沒(méi)有被入侵有任何保證。入侵檢測(cè)系統(tǒng)已經(jīng)成為信息網(wǎng)絡(luò)安全其必不可少的一道防線���。
人體內(nèi)有一個(gè)免疫系統(tǒng)���,它是人體抵御病原菌侵犯最重要的保衛(wèi)系統(tǒng),主要手段是依靠自身的防御體系和免疫能力。一些學(xué)者試圖學(xué)習(xí)和模仿生物機(jī)體的這種能力��,將其移植到計(jì)算機(jī)網(wǎng)絡(luò)安全方面��。相關(guān)研究很多都基于生物免疫系統(tǒng)的體系結(jié)構(gòu)和免疫機(jī)制[5]�?�;诿庖呃碚摰难芯恳阎饾u成為目前人們研究的一個(gè)重要方向��,其研究成果將會(huì)為計(jì)算機(jī)網(wǎng)絡(luò)安全提供一條新的途徑�����。
一�����、入侵檢測(cè)簡(jiǎn)介
入侵即入侵者利用主機(jī)或網(wǎng)絡(luò)中程序的漏洞,對(duì)特權(quán)程序進(jìn)行非法或異常的調(diào)用,使外網(wǎng)攻擊者侵入內(nèi)網(wǎng)獲取內(nèi)網(wǎng)的資源。入侵檢測(cè)即是檢測(cè)各種非法的入侵行為��。入侵檢測(cè)提供了對(duì)網(wǎng)絡(luò)的實(shí)時(shí)保護(hù)�,在系統(tǒng)受到危害時(shí)提前有所作為��。入侵檢測(cè)嚴(yán)密監(jiān)視系統(tǒng)的各種不安全的活動(dòng)�,識(shí)別用戶不安全的行為。入侵檢測(cè)應(yīng)付各種網(wǎng)絡(luò)攻擊�����,提高了用戶的安全性��。入侵檢測(cè)[4]技術(shù)就是為保證網(wǎng)路系統(tǒng)的安全而設(shè)計(jì)的一種可以檢測(cè)系統(tǒng)中異常的�����、不安全的行為的技術(shù)。
二�、基于免疫機(jī)理的入侵檢測(cè)系統(tǒng)
(一)入侵檢測(cè)系統(tǒng)和自然免疫系統(tǒng)用四元函數(shù)組來(lái)定義一個(gè)自然免疫系統(tǒng)∑nis[5],∑nis=(xnis,ωnis,ynis,gnis)xnis是輸入�����,它為各種類型的抗原�,令z表示所有抗原�,抗原包括自身蛋白集合和病原體集合這兩個(gè)互斥的集合,即�,用w表示自身蛋白集合,nw表示病原體集合���,有s∪nw=z,w=ynis是輸出�,只考慮免疫系統(tǒng)對(duì)病原體的識(shí)別而不計(jì)免疫效應(yīng)�,ynis取0或1�,分別表示自然免疫系統(tǒng)判別輸入時(shí)的自身或非自身。
gnis是一個(gè)自然免疫系統(tǒng)輸入輸出之間的非線性關(guān)系函數(shù)����,則有ynis=gnis(xnis)=ωnis為自然免疫系統(tǒng)的內(nèi)部組成�。而根據(jù)系統(tǒng)的定義�,入侵檢測(cè)系統(tǒng)可以表示為∑ids=(xids,ωids,yids,gids)
式中���,xids是入侵檢測(cè)系統(tǒng)的輸入��。令m表示是整個(gè)論域��,整個(gè)論域也可以劃分成為兩個(gè)互斥的集合即入侵集合����,表示為i和正常集合表示﹁i�,有i∪﹁i=m,i∩﹁i=輸入xids�����,輸出yids�,此時(shí)入侵檢測(cè)系統(tǒng)具有報(bào)警s和不報(bào)警﹁a兩種狀態(tài)��,報(bào)警用1表示��,不報(bào)警用0表示�����。
gids表示輸入與輸出之間的非線性函數(shù)關(guān)系���,則有yids=gids(xids)=ωids是自然免疫系統(tǒng)的內(nèi)部組成。不同種類的檢測(cè)系統(tǒng)具有不同的ωids�,產(chǎn)生不同的ωids,從而將輸入向量映射到輸出���。
(二)基于自然免疫機(jī)理的入侵檢測(cè)系統(tǒng)的設(shè)計(jì)
自然免疫系統(tǒng)是一個(gè)識(shí)別病原菌的系統(tǒng),與網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)有很多類似之處�����,因此自然免疫系統(tǒng)得到一個(gè)設(shè)計(jì)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的啟發(fā)�,我們先來(lái)研究自然入侵檢測(cè)系統(tǒng)的動(dòng)態(tài)防護(hù)性�、檢測(cè)性能�����、自適應(yīng)性以及系統(tǒng)健壯性這四個(gè)特性[5]�����。
1.動(dòng)態(tài)防護(hù)性�。
自然免疫系統(tǒng)可以用比較少的資源完成相對(duì)復(fù)雜的檢測(cè)任務(wù)�����。人體約有1016種病原體需要識(shí)別,自然免疫系統(tǒng)采用動(dòng)態(tài)防護(hù)���,任一時(shí)刻���,淋巴檢測(cè)器只能檢測(cè)到病原體的一個(gè)子集,但淋巴檢測(cè)器每天都會(huì)及時(shí)更新����,所以每天檢測(cè)的病原體是不同的�����,淋巴細(xì)胞的及時(shí)更新��,來(lái)應(yīng)對(duì)當(dāng)前的待檢病原體�����。
2.檢測(cè)性能。
自然免疫系統(tǒng)具有非常強(qiáng)的低預(yù)警率和高檢測(cè)率�����。之所以具有這樣好的檢測(cè)性能�,是因?yàn)樽匀幻庖呦到y(tǒng)具有多樣性�����、多層次����、異常檢測(cè)能力����、獨(dú)特性等多種特性���。
3.自適應(yīng)性。
自然免疫系統(tǒng)具有良好的自適應(yīng)性�,檢測(cè)器一般情況下能夠檢測(cè)到頻率比較高的攻擊規(guī)則,很少或基本根本沒(méi)有檢測(cè)到入侵的規(guī)則���,將會(huì)被移出常用檢測(cè)規(guī)則庫(kù)�����,這樣就會(huì)使得規(guī)則庫(kù)中的規(guī)則一直可以檢測(cè)到經(jīng)常遇到的攻擊����?���;诿庖邫C(jī)理的入侵檢測(cè)系統(tǒng)采用異常檢測(cè)方法檢測(cè)攻擊��,對(duì)通過(guò)異常檢測(cè)到的攻擊提取異常特征形成新的檢測(cè)規(guī)則��,當(dāng)這些入侵再次出現(xiàn)時(shí)直接通過(guò)規(guī)則匹配直接就可以檢測(cè)到。
4.健壯性����。
自然免疫系統(tǒng)采用了高度分布式的結(jié)構(gòu),基于免疫機(jī)理研究出的入侵檢測(cè)系統(tǒng)也包含多個(gè)子系統(tǒng)和大量遍布整個(gè)系統(tǒng)的檢測(cè)�����,每個(gè)子系統(tǒng)或檢測(cè)僅能檢測(cè)某一個(gè)或幾類入侵�����,而多個(gè)子系統(tǒng)或大量檢測(cè)器的集合就能檢測(cè)到大多數(shù)入侵�,少量幾個(gè)的失效,不會(huì)影響整個(gè)系統(tǒng)的檢測(cè)能力[4]����。
(三)基于免疫機(jī)理的入侵檢測(cè)系統(tǒng)體系架構(gòu)
根據(jù)上述所討論的思想�����,現(xiàn)在我們提出基于免疫機(jī)理的入侵檢測(cè)系統(tǒng)aiids[1]�,包括如下四個(gè)組成部分:
1.主機(jī)入侵檢測(cè)子系統(tǒng)��。
其入侵信息來(lái)源于被監(jiān)控主機(jī)的日志��。它由多個(gè)組成���,主要監(jiān)控計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的完整保密以及可用性等方面。
2.網(wǎng)絡(luò)入侵子系統(tǒng)�����。
其入侵信息來(lái)源于局域網(wǎng)的通信數(shù)據(jù)包����。該數(shù)據(jù)包一般位于網(wǎng)絡(luò)節(jié)點(diǎn)處���,網(wǎng)絡(luò)入侵子系統(tǒng)首先對(duì)數(shù)據(jù)包的ip和tcp包頭進(jìn)行解析�����,然后收集數(shù)據(jù)組件���、解析包頭和提取組件特征��、生成抗體和組件的檢測(cè)����、協(xié)同和報(bào)告、優(yōu)化規(guī)則�、掃描攻擊以及檢測(cè)機(jī)遇協(xié)議漏洞的攻擊和拒絕服務(wù)攻擊等。
3.網(wǎng)絡(luò)節(jié)點(diǎn)入侵子系統(tǒng)�。
其入侵信息來(lái)源于網(wǎng)絡(luò)的通信數(shù)據(jù)包�,網(wǎng)絡(luò)節(jié)點(diǎn)入侵子系統(tǒng)監(jiān)控網(wǎng)絡(luò)節(jié)點(diǎn)的數(shù)據(jù)包,對(duì)數(shù)據(jù)包進(jìn)行解碼和分析����。他包括多個(gè)應(yīng)用層�����,用來(lái)檢測(cè)應(yīng)用層的各種攻擊�����。
4.控制臺(tái)�����。
篇11
論文關(guān)鍵詞:計(jì)算機(jī)���,網(wǎng)絡(luò)安全,安全管理�����,密鑰安全技術(shù)
當(dāng)今社會(huì).網(wǎng)絡(luò)已經(jīng)成為信息交流便利和開放的代名詞.然而伴隨計(jì)算機(jī)與通信技術(shù)的迅猛發(fā)展.網(wǎng)絡(luò)攻擊與防御技術(shù)也在循環(huán)遞升����,原本網(wǎng)絡(luò)固有的優(yōu)越性����、開放性和互聯(lián)性變成了信息安全隱患的便利橋梁.網(wǎng)絡(luò)安全已變成越來(lái)越棘手的問(wèn)題在此.筆者僅談一些關(guān)于網(wǎng)絡(luò)安全及網(wǎng)絡(luò)攻擊的相關(guān)知識(shí)和一些常用的安全防范技術(shù)。
1網(wǎng)絡(luò)信息安全的內(nèi)涵
網(wǎng)絡(luò)安全從其本質(zhì)上講就是網(wǎng)絡(luò)上的信息安全.指網(wǎng)絡(luò)系統(tǒng)硬件��、軟件及其系統(tǒng)中數(shù)據(jù)的安全��。網(wǎng)絡(luò)信息的傳輸、存儲(chǔ)��、處理和使用都要求處于安全狀態(tài)可見.網(wǎng)絡(luò)安全至少應(yīng)包括靜態(tài)安全和動(dòng)態(tài)安全兩種靜態(tài)安全是指信息在沒(méi)有傳輸和處理的狀態(tài)下信息內(nèi)容的秘密性�、完整性和真實(shí)性:動(dòng)態(tài)安全是指信息在傳輸過(guò)程中不被篡改��、竊取、遺失和破壞���。
2網(wǎng)絡(luò)信息安全的現(xiàn)狀
中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)的《第23次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》����。報(bào)告顯示����,截至2008年底����,中國(guó)網(wǎng)民數(shù)達(dá)到2.98億.手機(jī)網(wǎng)民數(shù)超1億達(dá)1.137億。
Research艾瑞市場(chǎng)咨詢根據(jù)公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局統(tǒng)計(jì)數(shù)據(jù)顯示.2006年中國(guó)(大陸)病毒造成的主要危害情況:“瀏覽器配置被修改”是用戶提及率最高的選項(xiàng).達(dá)20.9%.其次病毒造成的影響還表現(xiàn)為“數(shù)據(jù)受損或丟失”18%.“系統(tǒng)使用受限”16.1%.“密碼被盜”13.1%.另外“受到病毒非法遠(yuǎn)程控制”提及率為6.1%“無(wú)影響”的只有4.2%���。
3安全防范重在管理
在網(wǎng)絡(luò)安全中.無(wú)論從采用的管理模型���,還是技術(shù)控制�����,最重要的還是貫徹始終的安全管理管理是多方面的.有信息的管理、人員的管理�����、制度的管理��、機(jī)構(gòu)的管理等.它的作用也是最關(guān)鍵的.是網(wǎng)絡(luò)安全防范中的靈魂���。
在機(jī)構(gòu)或部門中.各層次人員的責(zé)任感.對(duì)信息安全的認(rèn)識(shí)�、理解和重視程度�,都與網(wǎng)絡(luò)安全息息相關(guān)所以信息安全管理至少需要組織中的所有雇員的參與.此外還需要供應(yīng)商、顧客或股東的參與和信息安全的專家建議在信息系統(tǒng)設(shè)計(jì)階段就將安全要求和控制一體化考慮進(jìn)去.則成本會(huì)更低�����、效率會(huì)更高那么做好網(wǎng)絡(luò)信息安全管理.至少應(yīng)從下面幾個(gè)方面人手.再結(jié)合本部門的情況制定管理策略和措施:
①樹立正確的安全意識(shí).要求每個(gè)員工都要清楚自己的職責(zé)分工如設(shè)立專職的系統(tǒng)管理員.進(jìn)行定時(shí)強(qiáng)化培訓(xùn).對(duì)網(wǎng)絡(luò)運(yùn)行情況進(jìn)行定時(shí)檢測(cè)等����。
2)有了明確的職責(zé)分工.還要保障制度的貫徹落實(shí).要加強(qiáng)監(jiān)督檢查建立嚴(yán)格的考核制度和獎(jiǎng)懲機(jī)制是必要的����。
③對(duì)網(wǎng)絡(luò)的管理要遵循國(guó)家的規(guī)章制度.維持網(wǎng)絡(luò)有條不紊地運(yùn)行。
④應(yīng)明確網(wǎng)絡(luò)信息的分類.按等級(jí)采取不同級(jí)別的安全保護(hù)���。
4網(wǎng)絡(luò)信息系統(tǒng)的安全防御
4.1防火墻技術(shù)
根據(jù)CNCERT/CC調(diào)查顯示.在各類網(wǎng)絡(luò)安全技術(shù)使用中.防火墻的使用率最高達(dá)到76.5%��。防火墻的使用比例較高主要是因?yàn)樗鼉r(jià)格比較便宜.易安裝.并可在線升級(jí)等特點(diǎn)防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障�����,以防止發(fā)生不可預(yù)測(cè)的�����、潛在破壞性的侵入����。它通過(guò)監(jiān)測(cè)����、限制�����、更改跨越防火墻的數(shù)據(jù)流,盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息�����、結(jié)構(gòu)和運(yùn)行狀況.以此來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)�。
4.2認(rèn)證技術(shù)
認(rèn)證是防止主動(dòng)攻擊的重要技術(shù).它對(duì)開放環(huán)境中的各種消息系統(tǒng)的安全有重要作用.認(rèn)證的主要目的有兩個(gè):
①驗(yàn)證信息的發(fā)送者是真正的主人
2)驗(yàn)證信息的完整性,保證信息在傳送過(guò)程中未被竄改���、重放或延遲等����。
4.3信息加密技術(shù)
加密是實(shí)現(xiàn)信息存儲(chǔ)和傳輸保密性的一種重要手段信息加密的方法有對(duì)稱密鑰加密和非對(duì)稱密鑰加密.兩種方法各有所長(zhǎng).可以結(jié)合使用.互補(bǔ)長(zhǎng)短�。
4.4數(shù)字水印技術(shù)
信息隱藏主要研究如何將某一機(jī)密信息秘密隱藏于另一公開的信息中.然后通過(guò)公開信息的傳輸來(lái)傳遞機(jī)密信息對(duì)信息隱藏而吉.可能的監(jiān)測(cè)者或非法攔截者則難以從公開信息中判斷機(jī)密信息是否存在.難以截獲機(jī)密信息.從而能保證機(jī)密信息的安全隨著網(wǎng)絡(luò)技術(shù)和信息技術(shù)的廣泛應(yīng)用.信息隱藏技術(shù)的發(fā)展有了更加廣闊的應(yīng)用前景��。數(shù)字水印是信息隱藏技術(shù)的一個(gè)重要研究方向.它是通過(guò)一定的算法將一些標(biāo)志性信息直接嵌到多媒體內(nèi)容中.但不影響原內(nèi)容的價(jià)值和使用.并且不能被人的感覺(jué)系統(tǒng)覺(jué)察或注意到�����。
4.5入侵檢測(cè)技術(shù)的應(yīng)用
