前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇入侵检测技术范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
关键词:入侵检测;入侵检测系统;动态防护
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)36-pppp-0c
On the Intrusion Detection Technology
FANG A-li,YIN Mei-gui
(HeYuan Polytechnic Electronic and Information Engineering ,HeYuan 517000, China)
Abstract:Intrusion detection technology is a dynamic combination of multiple technologies for the computer and network protection . Starting from the basic concepts of intrusion detection, expounded the principles ,process, performance indicators and technical issues of intrusion detection.
Key words :intrusion detection;intrusion detection systems;dynamic protection
在信息网络普及的时代,计算机和网络安全显得直观重要,防火墙技术,通常能够在内网和外网之间提供安全的网络保护,但是这是远远不够的。入侵检测技术是对防火墙技术的有效补充,为计算机和网络安全增加了又一道阀门。
1 基本概念
入侵检测是指对计算机或网络资源的恶意企图和行为进行识别,并对此做出响应和处理的过程。
入侵检测技术是一种对计算机网络中违反安全策略行为进行检测和对计算机系统进行实时检测,发现其中未授权或异常现象进行报告的技术。
入侵检测系统是指进行入侵检测的软件和软件配置环境相关硬件的集合。
入侵检测技术是一种动态安全防御技术,入侵检测系统的功能是在对网络性能不影响的情况下,对网络活动进行检测,从而对来自网络的内外部攻击和人员的误操作提供实时保护,并在系统受到危害之前对可能得入侵进行拦截和响应。
2 入侵检测原理
入侵检测一般分为实时入侵检测和事后入侵检测。
实时入侵检测原理:在网络连接的条件下,入侵检测系统首先根据用户的历史行为模型、神经网络模型以及存储在计算机中的专家知识对当前的系统进行判断,如果发现可疑,立马断开可疑对象发出者与主机的连接;紧接着,收集相关证据并实施数据恢复。
事后入侵检测原理:网络管理人员定期或不定期根据计算机系统对于用户操作的历史审计记录进行判断用户事后是否具有入侵行为,如果有就断开连接,并记录入侵证据,然后对数据进行恢复。
3 入侵检测过程
入侵检测的一般过程分为三个步:信息收集、数据分析和事件响应。
第一步为信息收集,信息收集由不同主机的或放置在不同网段的传感器来完成。收集的信息包括系统和网络日志文件、网络流量、异常的目录和文件改变、异常的程序执行等。
第二步为数据分析,数据分析通过模式匹配、统计分析和完整性分析等技术,对收集到的数据进行深入分析(其中,数据包括网络、系统、数据及用户活动的状态和行为等),发现攻击,然后根据分析的结果产生事件,并将事件传递给事件响应模块等待处理。
第三步为事件处理,事件处理是由控制台依据告警产生预先定义的响应(分主动响应和被动响应),并进行重新配置路由器或防火墙、终止进程、切断连接、改变文件属性,或者只是简单的告警。
4 入侵检测的主要性能指标
入侵检测的主要性能指标包括:准确性指标、效率指标和系统指标。
4.1准确性指标
准确性指标主要包括检测率、误报率和漏报率等指标。检测率是指系统在所监视网络在受到攻击时能正确报警的概率。检测率=入侵报警数/入侵攻击数。误报率是指系统把正常的行为误报为入侵攻击而进行报警的概率和把一种攻击错报为另一种攻击的概率。误报率=错误报警数 /(正常行为数+攻击数)漏报率是指所检测网络受到入侵攻击时,系统不能正确报警的概率。漏报率=不能正确报警的数量/入侵攻击的总量。
4.2效率指标
效率指标主要是根据用户系统的实际需求,以保证检测质量为准,同时取决于不同的硬件设备级别。效率指标主要包括最大处理能力、每秒并发TCP会话数、最大并发TCP会话数等。最大处理能力是指在指定检测率范围内,系统没有漏报的最大处理能力。每秒并发TCP会话数是指系统每秒最大可以增加的TCP连接数。最大并发TCP会话数是指系统最大限度范围内,可以同时支持的TCP连接数。
4.3系统指标
系统指标是衡量系统运行的稳定性和使用的方便性的参考。衡量指标只要包括最大规则数、平均无故障时间等。最大规则数是指系统允许配置的最大入侵检测规则条目数。平均无故障时间是指系统无故障连续工作的时间。
5 入侵检测技术
入侵检测技术的关键技术是异常检测技术和误用检测技术。
5.1异常检测技术
异常检测技术是依据用户的行为和系统资源的使用状况来判断是否存在网络入侵的技术,也称为基于行为的检测技术。
异常检测技术原理:首先假设网络攻击行为是不常见的或是异常的,然后将当前捕获的网络行为与行为模型进行对比,若入侵行为偏离了正常的行为轨迹,就可以被检测出来。
异常检测技术分类:异常检测技术分为统计分析异常检测、贝叶斯推理异常检测、神经网络异常检测、模式预测异常检测、数据采掘异常检测、文件完整性异常检测、免疫系统异常检测和机器学习异常检测。
异常检测技术优缺点:异常检测技术具有能够检测出新的网络入侵方法攻击、较少依赖于特定的主机操作系统、对于内部合法用户的越权违法行为的检测能力较强等优点。但存在误报率高、行为模型建立困难、难以对入侵行为进行分类和命名等不足。
5.2误用检测技术
误用检测技术是指运用已知攻击方法,根据已定义好的入侵模式,通过判断这些入侵模式是否出现来检测。也称为基于知识或模式匹配的检测技术。
误用检测技术原理:首先假设所有的网络攻击行为和方法都具有一定的模式或特征,然后将当前捕获的网络行为特征与入侵信息库中的特征信息进行比较,如果匹配,则当前行为就被认定为入侵行为。
误用检测技术分类:误用检测技术专家系统误用检测、特征分析误用检测、模式推理误用检测、条件概率误用检测、状态转换误用检测、键盘监控误用检测等检测技术。
误用检测技术优缺点:误用检测技术检测准确度高、技术相对成熟,便于进行系统维护,但其对具体系统依赖性太强,可移植性差、维护特征库的工作量大、不能检测出新的入侵行为、难以检测来自系统内部的攻击。
其它入侵检测技术包括基于数据挖掘、遗传算法和免疫技术的入侵检测技术等。
6 入侵检测系统
入侵检测系统的分类依据不同,分类也不同,依据系统所检测的对象是主机或网络包,入侵检测系统的分为:基于主机的入侵检测系统和基于网络包分析的入侵检测系统。
6.1基于主机的入侵检测系统
基于主机的入侵检测系统需要安装在被保护的主机上,通过监视和分析主机的审计记录及日志文件来检测入侵行为,通常用来保护运行关键应用的服务器。OSSEC HIDS就是一个典型的基于主机的开源入侵检测系统。
基于主机的入侵检测系统的优点是能够校验出攻击是否成功;可使特定的系统行为受到严密监控等。缺点是会占用主机的资源,对操作系统的依赖性强。
6.2基于网络包分析的入侵检测系统
基于网络包分析的入侵检测系统需要安装在受护的网段中,利用网络监听技术实时监视网段中传输的各种数据包,并对这些数据包的内容以及数据来源和传输目的地等进行分析和检测。一旦发现可疑事件或入侵行为,系统就会发出警报,在严重时切断网络连接。
基于网络包分析的入侵检测系统的优点是购买成本低,对识别出来的攻击能进行实时检测和响应。缺点是防欺骗能力差、交互环境下难以配置等。Sguil是一款典型的被称为网络安全专家监视网络活动的控制台工具。
基于网络和基于主机的IDS在功能上各有优势,又互为补充。对于对方无法检测到的一些入侵行为都能及时发现。但对于从某个重要服务器的键盘发出的攻击就无法通过基于网络的IDS检测到,相反,对于涉及检查包首标(header)来进行得检测只能通过基于网络的IDS来完成。
7 结束语
随着用户对于网络安全意识的提高,以及入侵检测技术的发展日趋成熟,相信不久的将来,人们对于危险四伏的网络环境将不再恐惧。
参考文献:
关键词入侵检测异常检测误用检测
在网络技术日新月异的今天,写作论文基于网络的计算机应用已经成为发展的主流。政府、教育、商业、金融等机构纷纷联入Internet,全社会信息共享已逐步成为现实。然而,近年来,网上黑客的攻击活动正以每年10倍的速度增长。因此,保证计算机系统、网络系统以及整个信息基础设施的安全已经成为刻不容缓的重要课题。
1防火墙
目前防范网络攻击最常用的方法是构建防火墙。
防火墙作为一种边界安全的手段,在网络安全保护中起着重要作用。其主要功能是控制对网络的非法访问,通过监视、限制、更改通过网络的数据流,一方面尽可能屏蔽内部网的拓扑结构,另一方面对内屏蔽外部危险站点,以防范外对内的非法访问。然而,防火墙存在明显的局限性。
(1)入侵者可以找到防火墙背后可能敞开的后门。如同深宅大院的高大院墙不能挡住老鼠的偷袭一样,防火墙有时无法阻止入侵者的攻击。
(2)防火墙不能阻止来自内部的袭击。调查发现,50%的攻击都将来自于网络内部。
(3)由于性能的限制,防火墙通常不能提供实时的入侵检测能力。写作毕业论文而这一点,对于层出不穷的网络攻击技术来说是至关重要的。
因此,在Internet入口处部署防火墙系统是不能确保安全的。单纯的防火墙策略已经无法满足对安全高度敏感部门的需要,网络的防卫必须采用一种纵深的、多样化的手段。
由于传统防火墙存在缺陷,引发了入侵检测IDS(IntrusionDetectionSystem)的研究和开发。入侵检测是防火墙之后的第二道安全闸门,是对防火墙的合理补充,在不影响网络性能的情况下,通过对网络的监测,帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高信息安全基础结构的完整性,提供对内部攻击、外部攻击和误操作的实时保护。现在,入侵检测已经成为网络安全中一个重要的研究方向,在各种不同的网络环境中发挥重要作用。
2入侵检测
2.1入侵检测
入侵检测是通过从计算机网络系统中的若干关键点收集信息并对其进行分析,从中发现违反安全策略的行为和遭到攻击的迹象,并做出自动的响应。其主要功能是对用户和系统行为的监测与分析、系统配置和漏洞的审计检查、重要系统和数据文件的完整性评估、已知的攻击行为模式的识别、异常行为模式的统计分析、操作系统的审计跟踪管理及违反安全策略的用户行为的识别。入侵检测通过迅速地检测入侵,在可能造成系统损坏或数据丢失之前,识别并驱除入侵者,使系统迅速恢复正常工作,并且阻止入侵者进一步的行动。同时,收集有关入侵的技术资料,用于改进和增强系统抵抗入侵的能力。
入侵检测可分为基于主机型、基于网络型、基于型三类。从20世纪90年代至今,写作英语论文已经开发出一些入侵检测的产品,其中比较有代表性的产品有ISS(IntemetSecuritySystem)公司的Realsecure,NAI(NetworkAssociates,Inc)公司的Cybercop和Cisco公司的NetRanger。
2.2检测技术
入侵检测为网络安全提供实时检测及攻击行为检测,并采取相应的防护手段。例如,实时检测通过记录证据来进行跟踪、恢复、断开网络连接等控制;攻击行为检测注重于发现信息系统中可能已经通过身份检查的形迹可疑者,进一步加强信息系统的安全力度。入侵检测的步骤如下:
收集系统、网络、数据及用户活动的状态和行为的信息
入侵检测一般采用分布式结构,在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息,一方面扩大检测范围,另一方面通过多个采集点的信息的比较来判断是否存在可疑现象或发生入侵行为。
入侵检测所利用的信息一般来自以下4个方面:系统和网络日志文件、目录和文件中的不期望的改变、程序执行中的不期望行为、物理形式的入侵信息。
(2)根据收集到的信息进行分析
常用的分析方法有模式匹配、统计分析、完整性分析。模式匹配是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。
统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性。测量属性的平均值将被用来与网络、系统的行为进行比较。当观察值超出正常值范围时,就有可能发生入侵行为。该方法的难点是阈值的选择,阈值太小可能产生错误的入侵报告,阈值太大可能漏报一些入侵事件。
完整性分析主要关注某个文件或对象是否被更改,包括文件和目录的内容及属性。该方法能有效地防范特洛伊木马的攻击。
3分类及存在的问题
入侵检测通过对入侵和攻击行为的检测,查出系统的入侵者或合法用户对系统资源的滥用和误用。写作工作总结根据不同的检测方法,将入侵检测分为异常入侵检测(AnomalyDetection)和误用人侵检测(MisuseDetection)。
3.1异常检测
又称为基于行为的检测。其基本前提是:假定所有的入侵行为都是异常的。首先建立系统或用户的“正常”行为特征轮廓,通过比较当前的系统或用户的行为是否偏离正常的行为特征轮廓来判断是否发生了入侵。此方法不依赖于是否表现出具体行为来进行检测,是一种间接的方法。
常用的具体方法有:统计异常检测方法、基于特征选择异常检测方法、基于贝叶斯推理异常检测方法、基于贝叶斯网络异常检测方法、基于模式预测异常检测方法、基于神经网络异常检测方法、基于机器学习异常检测方法、基于数据采掘异常检测方法等。
采用异常检测的关键问题有如下两个方面:
(1)特征量的选择
在建立系统或用户的行为特征轮廓的正常模型时,选取的特征量既要能准确地体现系统或用户的行为特征,又能使模型最优化,即以最少的特征量就能涵盖系统或用户的行为特征。
(2)参考阈值的选定
由于异常检测是以正常的特征轮廓作为比较的参考基准,因此,参考阈值的选定是非常关键的。
阈值设定得过大,那漏警率会很高;阈值设定的过小,则虚警率就会提高。合适的参考阈值的选定是决定这一检测方法准确率的至关重要的因素。
由此可见,异常检测技术难点是“正常”行为特征轮廓的确定、特征量的选取、特征轮廓的更新。由于这几个因素的制约,异常检测的虚警率很高,但对于未知的入侵行为的检测非常有效。此外,由于需要实时地建立和更新系统或用户的特征轮廓,这样所需的计算量很大,对系统的处理性能要求很高。
3.2误用检测
又称为基于知识的检测。其基本前提是:假定所有可能的入侵行为都能被识别和表示。首先,写作留学生论文对已知的攻击方法进行攻击签名(攻击签名是指用一种特定的方式来表示已知的攻击模式)表示,然后根据已经定义好的攻击签名,通过判断这些攻击签名是否出现来判断入侵行为的发生与否。这种方法是依据是否出现攻击签名来判断入侵行为,是一种直接的方法。
常用的具体方法有:基于条件概率误用入侵检测方法、基于专家系统误用入侵检测方法、基于状态迁移分析误用入侵检测方法、基于键盘监控误用入侵检测方法、基于模型误用入侵检测方法。误用检测的关键问题是攻击签名的正确表示。
误用检测是根据攻击签名来判断入侵的,根据对已知的攻击方法的了解,用特定的模式语言来表示这种攻击,使得攻击签名能够准确地表示入侵行为及其所有可能的变种,同时又不会把非入侵行为包含进来。由于多数入侵行为是利用系统的漏洞和应用程序的缺陷,因此,通过分析攻击过程的特征、条件、排列以及事件间的关系,就可具体描述入侵行为的迹象。这些迹象不仅对分析已经发生的入侵行为有帮助,而且对即将发生的入侵也有预警作用。
误用检测将收集到的信息与已知的攻击签名模式库进行比较,从中发现违背安全策略的行为。由于只需要收集相关的数据,这样系统的负担明显减少。该方法类似于病毒检测系统,其检测的准确率和效率都比较高。但是它也存在一些缺点。
3.2.1不能检测未知的入侵行为
由于其检测机理是对已知的入侵方法进行模式提取,对于未知的入侵方法就不能进行有效的检测。也就是说漏警率比较高。
3.2.2与系统的相关性很强
对于不同实现机制的操作系统,由于攻击的方法不尽相同,很难定义出统一的模式库。另外,误用检测技术也难以检测出内部人员的入侵行为。
目前,由于误用检测技术比较成熟,多数的商业产品都主要是基于误用检测模型的。不过,为了增强检测功能,不少产品也加入了异常检测的方法。
4入侵检测的发展方向
随着信息系统对一个国家的社会生产与国民经济的影响越来越大,再加上网络攻击者的攻击工具与手法日趋复杂化,信息战已逐步被各个国家重视。近年来,入侵检测有如下几个主要发展方向:
4.1分布式入侵检测与通用入侵检测架构
传统的IDS一般局限于单一的主机或网络架构,对异构系统及大规模的网络的监测明显不足,再加上不同的IDS系统之间不能很好地协同工作。为解决这一问题,需要采用分布式入侵检测技术与通用入侵检测架构。
4.2应用层入侵检测
许多入侵的语义只有在应用层才能理解,然而目前的IDS仅能检测到诸如Web之类的通用协议,而不能处理LotusNotes、数据库系统等其他的应用系统。许多基于客户/服务器结构、中间件技术及对象技术的大型应用,也需要应用层的入侵检测保护。
4.3智能的入侵检测
入侵方法越来越多样化与综合化,尽管已经有智能体、神经网络与遗传算法在入侵检测领域应用研究,但是,这只是一些尝试性的研究工作,需要对智能化的IDS加以进一步的研究,以解决其自学习与自适应能力。
4.4入侵检测的评测方法
用户需对众多的IDS系统进行评价,评价指标包括IDS检测范围、系统资源占用、IDS自身的可靠性,从而设计出通用的入侵检测测试与评估方法与平台,实现对多种IDS的检测。
4.5全面的安全防御方案
结合安全工程风险管理的思想与方法来处理网络安全问题,将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、入侵检测多方位全面对所关注的网络作全面的评估,然后提出可行的全面解决方案。
综上所述,入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,使网络系统在受到危害之前即拦截和响应入侵行为,为网络安全增加一道屏障。随着入侵检测的研究与开发,并在实际应用中与其它网络管理软件相结合,使网络安全可以从立体纵深、多层次防御的角度出发,形成人侵检测、网络管理、网络监控三位一体化,从而更加有效地保护网络的安全。
参考文献
l吴新民.两种典型的入侵检测方法研究.计算机工程与应用,2002;38(10):181—183
2罗妍,李仲麟,陈宪.入侵检测系统模型的比较.计算机应用,2001;21(6):29~31
3李涣洲.网络安全与入侵检测技术.四川师范大学学报.2001;24(3):426—428
4张慧敏,何军,黄厚宽.入侵检测系统.计算机应用研究,2001;18(9):38—4l
【 关键词 】 网络信息管理;入侵检测技术;存在问题
The Network Information Management in Intrusion Detection Technology Analysis
Yin Wen-ting
(Ningxia Electric Power Company Guyuan Power Supply Bureau Power Dispatching Control Center NingxiaGuyuan 756000)
【 Abstract 】 this paper, based on the working practice, this paper analyzes the present information management network intrusion detection technology related problems, And introduces mainly the anomaly detection and misuse detection two network information management intrusion detection technology. One anomaly detection and including characteristic features of the selection and reference threshold choice two kinds. We hope that relevant personnel to reference and, Information management of network intrusion detection technology can have a deeper knowledge, Gradually grasp the information management network intrusion detection technology of the actual content, Promote the intrusion detection technology in network information management application development.
【 Keywords 】 the network information management;Intrusion detection technology;problems
0 引言
随着科技日新月异的发展,整个的网络信息管理已经成为了社会生活中各个部门十分重视的一个方面。但是,目前网络信息管理活动中出现的各类不良攻击行为日趋普遍,为了保障整个网络系统、计算机系统和全部信息设施的网络安全,引进入侵检测技术对整个网络信息进行安全管理很有必要。下面,就通过对网络信息管理入侵技术存在的问题、入侵检查技术的内容以及网络信息管理入侵检测技术的分类进行探讨。
1 网络信息管理入侵检测技术存在的问题
1.1 无法检测未知的入侵行为
入侵检测技术主要是对于已知的入侵模式进行提取,这就是网络信息管理入侵检测技术的检测机理,但是很多的入侵行为显得极为隐秘,无法被正常检测出来,这样就会对整个网络信息管理带来一定的安全隐患。换而言之,网络信息管理入侵检测技术的一个缺点就是漏警率较高,这样的问题对整个网络系统的信息管理带来了消极影响。一些未知的入侵行为可能会带来很大的信息泄露或损坏等风险,而且这样的网络信息管理问题在应用入侵检测技术时也大量出现过。
1.2 检测速度小于网络速率
目前网络信息管理入侵检测系统在检测速度上还有待进一步的提高,由于在进行入侵检测进程时经常会出现检测速度小于网络传输速率的问题,这个时候对在某一特定时间内入侵的风险行为,检测系统通常没有能力进行识别和摸索,进而使得这些未知的入侵行为对整个网络信息管理带来了一定的影响。由于目前网络传输速度的飞速提升,而入侵检测技术的检测速度远远跟不上网络速度的前进步伐,这样就使得网络信息管理入侵检测技术的检测速率远小于网络速率,造成了误报和漏报的情况,这样不利于整个入侵检测系统进行检测程序的准确性和实效性的发展。
1.3 自身检测系统容易遭受攻击
对整个网络信息管理入侵检测系统而言,它们很容易遭受到入侵行为的攻击。目前来说,很多信息管理的入侵检测系统在使用过程中大部分都存在着遭受危险攻击的现象,主要原因就是科技的进步导致世界各地的黑客技术也迅猛发展,一些黑客高手通过一些恶意插件或者难以检测的木马对相应的入侵检测系统进行攻击,使得这些系统的检测作用紊乱,同时自身的系统构件也受到了一定的损害。在这样的情况下,整个的入侵检测系统还存在着一定的构件缺点,不能够有效地过滤掉恶意攻击行为,对系统形成相应的保护。在网络信息管理中,这些系统的使用风险无疑是增高了。
2 入侵检测技术的内容
入侵检查就是对防火墙的补充,是整个网络信息安全管理的第二道大门。入侵检测就是对整个计算机网络中的一些信息的关键点进行分析,从这些信息中去发现是否存在着一些违反了网络安全规定和系统遭受攻击的行为,并且对此自动进行回应。它在网络信息管理中的主要作用就是对系统和用户的网络行为进行监测和维护,同时对整个系统的安全漏洞和配置进行审计,并且及时对相关入侵行为进行识别、跟踪和警报工作。入侵检测技术在网络信息管理中的应用能够很好地帮助系统用户维护整个信息的安全和及时修护系统,保障系统正常工作的作用。通常来说,入侵检测技术的步骤主要如下:首先,必须要收集整个用户、系统和网络等活动的行为和状态的信息。这些信息基本上都是对网络信息的关键点分析得来,一方面能够将整个检测的范围扩大,同时还能依据多个信息采集点来判断是否有入侵行为的存在。其次,分析收集的信息。通常入侵检测技术的分析数据方法都是采用模型匹配,将收集的信息与数据库中的信息进行比对,从而找出是否有违背网络信息管理安全策略的行为。另外,统计分析法和完整性分析法也是常用的数据分析方法,这些分析方法的应用就是入侵检测技术能够很快识别、追踪入侵行为的重要基础。
3 网络信息管理入侵检测技术的分类
3.1 异常检测
(1)特征量的选择
在进行异常检测行为过程中,为了判断哪些入侵行为在网络信息管理中属于异常的,通常会建立一个正常的系统和用户的行为特征轮廓,在整个入侵检测系统中进行记忆,当一些异常的入侵行为出现时,系统就能够很快检测出来。在建立正常的行为特征轮廓模型的时候,通常是选择一些能够准确地体现出用户和系统行为的特征量,能够使得整个检测系统在应用过程中达到最优化的效果,进而减少了检测的难度,从而提高了整个网络信息管理的检测效率。
(2)参考阈值的选择
在异常检测过程中,通常设定了正常的特征轮廓,因此为了保证整个入侵检测系统工作方法的准确,参考阈值的选择是十分重要的。在网络信息管理过程中,当参考阈值的设定过小时,检测系统的虚警率就会提高;当参考阈值的设定过大时,就会出现漏警率过高的情况,由此看来在保持异常检查工作科学进行进程,必须要选择一个合适的参考阈值,这样才能够保证整个的异常检测对入侵行为的检测形成有效的作用。
3.2 误用检测
误用检测的应用前提就是所有的入侵行为都能够被识别和标记。通常,误用检测就是利用对一直的攻击方法实施攻击签名,再依据已经定义完成的攻击签名来对是否存在入侵行为进行判断。考虑到大部分的入侵行为都是通过利用系统的应用程序以及漏洞产生的,因此进行误用检测能够准确地对一些网络行为进行界定,准确地判断出哪些属于入侵行为,不仅能够检测出入侵行为,还能够对其他的入侵行为起到了很好的警示作用。由于误用检测只需要进行数据的采集工作,使得整个系统在应用时的幅度大大减小了,进而保障了整个入侵检测技术的高效性和准确性。
4 结束语
综上所述,在网络信息管理过程中入侵检测技术能够为整个系统和用户的信息起到一种实时维护和安全监管作用。虽然,入侵检测技术还有待进一步的发展,但是它所体现出来的网络信息管理的安全维护作用已经是有目共睹的。随着入侵检测技术的不断化发展,在不就得将来,网络信息管理中的入侵检测技术能够最大限度地和其他的网络信息管理软件进行结合,使得整个网络信息管理朝着多层次、立体纵深的方向发展,从而提高网络信息的安全保护工作。
参考文献
[1] 何武红,陈勇.2003-2004年度中国市场主流IDS产品评测技术报告[N].中国计算机报,2005年.
[2] 王晋.一种基于移动的自适应的分布式入侵检测系统的架构与实施[D].中国科学院研究生院(软件研究所),2005年.
[3] 叶颖,严毅.基于通用入侵规范下网络入侵检测系统的研究[A].广西计算机学会——2004年学术年会论文集[C].2004年.
[4] 喻建平,闫巧.入侵检测系统的发展及其研究方向[J].信息安全与通信保密,2002年05期.
关键词:入侵检测系统 Boosting算法智能算法
中图分类号: TN915 文献标识码:A
随着互联网技术的飞速发展,网络的结构变得越来越复杂,网络安全也变得日益重要和复杂,一个健全的网络信息系统安全方案应该包括安全效用检验、安全审计、安全技术、安全机构与程序和安全规则等内容。目前经常使用的安全技术主要有防火墙、防病毒软件、用户认证、加密、入侵检测技术等。多年来,人们在维护信息系统安全时常用的安全技术往往是防火墙。然而,随着各种网络安全事件的发生,使得人们清楚地认识到仅仅依靠防火墙来维护系统安全是远远不够。
入侵检测是一种主动的网络安全防御措施,它不仅可以通过监测网络实现对内部攻击、外部攻击和误操作的实时保护,有效地弥补防火墙的不足,而且还能结合其它网络安全产品,对网络安全进行全方位的保护,具有主动性和实时性的特点,是防火墙重要的和有益的补充。
1入侵检测的基本概念与模型
早在20世纪80年代初期,Anderson将入侵定义为:未经授权蓄意尝试访问信息、篡改信息、使系统不可靠或不能使用。Heady认为入侵是指试图破坏资源的完整性、机密性及可用性的行为集合J。我们认为,入侵的定义应与受害目标相关联,判断与目标相关的操作是对目标的操作超出了目标的安全策略范围。入侵检测通过收集操作系统、系统程序、应用程序、网络包等信息,发现系统中违背安全策略或危及系统安全的行为。具有入侵检测功能系统称为入侵检测系统,简称IDS。
最早的入侵检测模型是由Denning给出的,该模型主要根据主机系统审计记录数据,生成有关系统的若干轮廓,并监测轮廓的变化差异发现系统的入侵行为,如图1所示。为此,Chen等提出一种通用的入侵检测框架模型,简称CIDFJ。该模型认为入侵检测系统由事件产生器(eventgenerators)、事件分析器(eventanalyzers)、响应单元(responseunits)和事件数据库(eventdatabases)组成,如图2所示。
CIDF将入侵检测系统需要分析的数据统称为事件,它可以是网络中的数据包,也可以是从系统日志等其它途径得到的信息。事件产生器是从整个计算环境中获得事件,并向系统的其它部分提供事件。事件数据库存放各种中间和最终数据,数据存放的形式既可以是复杂的数据库,也可以是简单的文本文件。CIDF模型具有很强的扩展性,目前已经得到广泛认同。
2入侵检测系统的分类
基于信息来源的不同,网络入侵检测系统可分为网络基IDS、主机基IDS和混合基IDS 3类,其中混合基IDS是综合了网络基IDS和主机基IDS的入侵检测系统,它既可以发现网络中的入侵信息,又可以从系统日志中发现异常情况。
基于检测分析方法的不同,网络入侵检测可分为滥用检测IDS(基于知识)与异常检测IDS(基于行为)2类。后者的理论基础是假设入侵者活动异常于正常主体的活动中,通过对审计踪迹数据的分析建立起系统主体的正常行为特征轮廓,将当前主体的活动状况与已建立的特征轮廓进行比较。
3入侵检测的方法和技术
入侵检测系统在结构上的发展是与信息系统的结构变化密切相关,但入侵检测的方式没有多少变化,时至今日入侵检测还是异常检测、误用检测或是二者的结合。入侵检测系统发展趋势为同时采用多种检测技术的综合型智能入侵检测系统。
3.1基于神经网络的入侵检测系统
人工神经网络的优点是具有较强的容错性,能够识别带噪声或变形的输入模式,具有很强的自适应能力;而入侵检测系统的异常检测技术实质上是一种模式识别或分类问题,因此有很多学者将神经网络技术应用到了入侵检测系统中,发展成为今天的基于神经网络的入侵检测系统。
3.2基于贝叶斯推理的入侵检测方法
基于贝叶斯推理的入侵检测方法,系指在任意给定的时刻,测量Al,A2,…An变量值,推理判断系统是否发生入侵行为。其中,每个变量A表示系统某一方面的特征,例如磁盘I/0的活动数量、系统中页面出错的数目等。每个异常变量Ai的异常可靠性和敏感性分别用P(Ai=1|I,)和P(Ai=1|I)表示。于是,在给定每个Ai值的条件下,由贝叶斯定理得出I的可信度为:
P(I|Al,A2,…An)= P(Al,A2,…An|I) (1)
其中,要求给出I和I的联合概率分布。假定每个测量Ai仅
与I相关,与其它的测量条件Aj(i≠j)无关,则有:
P(Al,A2,…An|I)= ∏i=1P(Ai|I)
P(Al,A2,…An|I)= ∏i=1p(Ai|I)
从而得到:
P(I|A1,A2,…An)P(I) ∏i=1P(Ai|I)
P(I |Al,A2,…An) P(I) ∏i=1p(Ai|I)
因此,根据各种异常测量的值、入侵的先验概率、入侵发生时每种测量得到的异常概率,能够判断系统入侵的概率。但是为了保证检测的准确性,还需要考查各测量Ai之间的独立性。一种方法是通过相关性分析,确定各异常变晕与入侵的关系。
3.3 遗传算法
遗传算法是进化算法的一个实例,来自达尔文自然选择这一概念。遗传算法有能力处理多维优化问题,其中,染色体由将要优化的变量的代码值组成。若适宜函数设计得很好,则检测率可能会较高,而误警率会很低。GA的不利是它不能在审计轨迹中定位攻击,也不能检测一个新的攻击。基于GA的入侵检测不能检测协同攻击,且该检测方法遭遇计算复杂度的考验。
3.4 分类和聚类
分类将一个数据项分配到其中的一个类别中,这些类是用一组带有正常和攻击事件的数据训练而成,通过iJJJ练可获得几个类,这些类分别被标上正常或攻击,测试数据将按这些类被划分聚类也称为非参数的统计方法,这种方法中,大量的历史数据被分析并根据评价标准将它们聚成几个类。由于训练类别同时需要正常数据和攻击数据,因此,该方法的缺陷也是明显的,即它们不能检测任何新的攻击;另一个缺点是,类中没有包含任何事迹序列信息;而且该方法的计算效率也是个问题,它们不能频繁地更新它们的知识库。
3.5计算机免疫
该方法的基础是入侵检测问题与生物免疫系统的相似性,检测过程也称“自我/非我”的识别过程。Unix系统调用的短序列被用于检测系统的分析,它是以系统为中心而不是以用户为中心的,基于计算机系统中的特权进程系统调用既可用于异常检测又可用于误用检测。该方法对检测Unix中的几种异常行为是很有前景的,但若攻击不包括特权进程,则方法容易失效。
4下一代入侵检测系统的发展方向
(1)面向Ipv6的IDS下一代互联网络采用IPv6协议,IPv6协议本身提供加密和认证功能,这就增加了面向IPv6的入侵检测系统监听网络数据包内容的难度。随着IPv6应用范围的扩展,入侵检测系统支持IPv6将是一大发展趋势,是入侵检测技术未来几年该领域研究的主流。
(2)智能型协作IDS现在的分布式IDS利用分布在网络中的探测器扩大了数据源的范围因而可以更好地检测入侵。但多数DIDS只是简单地丰富了数据来源,并未有效地对信息共享进行协作。因此需要开发智能协作IDS进行灵活分配角色的协作机制,有效抑制短时间内产生的关于同一攻击的告警数量,减少不必要的信息传输,提高检测系统的性能和本身的安全性。
(3)基于行为分析技术的IDS行为分析技术不仅简单分析单次攻击事件,还根据前后发生的事件确认是否确有攻击发生,攻击行为是否生效。这样,不仅能使管理员看到孤立的攻击事件的报警,还可以看到整个攻击过程,有利于日后的取证分析。
(4)根据Gartner的分析,目前对网络的攻击有70%以上是集中在应用层,并且这一数字呈上升趋势。在对应用层的攻击中,大部分是通过H,兀’P协议(80端口)进行的。虽然这些站点通过部署防火墙在网络层以下进行了很好的防范,但其应用层的漏洞仍可被利用进而受到入侵和攻击。因此,对具体应用的有效保护就显得越发重要。
5结论
随着网络安全问题的日益突出,入侵检测也愈来愈多地受到人们的关注,并已经开始在各种不同环境中发挥关键作用.可以预见,入侵检测技术的发展将对网络应用具有重要意义并产生深远影响,而IDS的未来发展方向将是智能的分布式入侵检测系统,研究和开发自主知识产权的IDS系统将成为我国信息安全领域的重要课题。
参考文献
[1]JAMESP,ANDERSONC.Computer security threat monitoring and surveillance[R].Fort Washington,PA,1980.
[2]唐正军,李建华.入侵检测技术[M].北京:清华大学出版社,2004.
[3]郑成兴.网络入侵防范的理论与实践[M].北京:机械工业出版社,2006.
[4]于志宏.基于协议分析的入侵检测规则智能匹配[J].吉林大学学报,2008,26(2):157-160.
关键词:入侵检测技术;网络安全;应用
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 14-0000-01
Intrusion Detection Technology Application
in the Network Security
Ou Hongxing
(Hunan University of Science and Technology Modern Education Technology Center,Yongzhou425100,China)
Abstract:With the continuous expansion of information technology,various types of online promotion and application software,computer networks to improve data transmission efficiency,data concentration,data sharing has played an increasingly important role in network and information system has been the work has gradually become an important infrastructure.To ensure safe and efficient operation of all work to ensure network and information security and network hardware and software systems running smoothly is the basic premise of the normal,so construction of computer network and system security is particularly important.
Keywords:Intrusion detection technology;Network security;
Application
一、计算机网络安全
计算机网络安全是指利用网络管理控制和技术措施,保证在一个网络环境里,数据的保密性、完整性及可使用性受到保护。计算机网络安全包括两个方面,即物理安全和罗辑安全。物理安全指系统设备及相关设施受到物理保护,免于破坏、丢失等。罗辑安全包括信息的完整性、保密性和可用性。
二、计算机网络安全的现状
目前欧洲各国的小型企业每年因计算机病毒导致的经济损失高达220亿欧元,而这些病毒主要是通过电子邮件进行传播的。据反病毒厂商趋势公司称,像Sobbing、Slammer等网络病毒和蠕虫造成的网络大塞车,去年就给企业造成了550亿美元的损失。而包括从身份窃贼到间谍在内的其他网络危险造成的损失则很难量化,网络安全问题带来的损失由此可见一斑。
三、计算机网络不安全因素
对计算机信息构成不安全的因素很多,其中包括人为的因素、自然的因素和偶发的因素。其中,人为因素是指,一些不法之徒利用计算机网络存在的漏洞,或者潜入计算机房,盗用计算机系统资源,非法获取重要数据、篡改系统数据、破坏硬件设备、编制计算机病毒。
四、入侵检测系统在计算机网络安全中的重点应用
(一)入侵检测系统。入侵检测技术是网络安全研究的一个热点,是一种积极主动的安全防护技术,提供了对内部入侵、外部入侵和误操作的实时保护,在网络系统受到危害之前拦截相应入侵。随着时代的发展,入侵检测技术将朝着三个方向发展:分布式入侵检测、智能化入侵检测和全面的安全防御方案。
(二)入侵检测系统技术是进行入侵检测的软件与硬件的组合,其主要功能是检测,除此之外还有检测部分阻止不了的入侵;检测入侵的前兆,从而加以处理,如阻止、封闭等;入侵事件的归档,从而提供法律依据;网络遭受威胁程度的评估和入侵事件的恢复等功能。在校园网络中采用入侵检测技术,最好采用混合入侵检测,在网络中同时采用基于网络和基于主机的入侵检测系统,则会构架成一套完整立体的主动防御体系。
(三)入侵检测系统技术对各种事件进行分析,从中发现违反安全策略的行为是入侵检测系统的核心功能。从技术上,入侵检测分为两类:一种基于标志(signature-based),另一种基于异常情况(anomaly-based)。
对于基于标识的检测技术来说,首先要定义违背安全策略的事件的特征,如网络数据包的某些头信息。检测主要判别这类特征是否在所收集到的数据中出现。此方法非常类似杀毒软件。而基于异常的检测技术则是先定义一组系统“正常”情况的数值,如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出),然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况。
两种检测技术的方法、所得出的结论有非常大的差异。基于标志的检测技术的核心是维护一个知识库。基于异常的检测技术则无法准确判别出攻击的手法,但它可以(至少在理论上可以)判别更广范、甚至未发觉的攻击。
五、现阶段常用计算机安全防护措施的应用
(一)网络病毒的防范。在网络环境下,病毒传播扩散快,所以最好使用全方位的防病毒产品,针对网络中所有可能的病毒攻击点设置对应的防病毒软件,通过全方位、多层次的防病毒系统的配置,通过定期或不定期的自动升级,使网络免受病毒的侵袭。
(二)配置防火墙。利用防火墙,允许防火墙同意访问的人与数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。
(三)漏洞扫描系统。解决网络层安全问题,寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。
由于计算机运算速度的不断提高,各种密码算法面临着新的密码体制,如量子密码、DNA密码、混沌理论等密码新技术正处于探索之中。因此网络安全技术在21世纪将成为信息网络发展的关键技术,21世纪人类步入信息社会后,信息这一社会发展的重要战略资源需要网络安全技术的有力保障,才能形成社会发展的推动力。
在我国信息网络安全技术的研究和产品开发仍处于起步阶段,仍有大量的工作需要我们去研究、开发和探索,以走出有中国特色的产学研联合发展之路,赶上或超过发达国家的水平,以此保证我国信息网络的安全,推动我国国民经济的高速发展。
参考文献:
[1]王秀和,杨明.计算机网络安全技术浅析[J].中国教育技术设备,2007
[2]龙冬阳.网络安全技术及应用[M].广州:华南理工大学出版社,2006
[3]蔡立军.计算机网络安全技术[M].中国水利水电出版社,2006
[4]周国民.入侵检测系统评价与技术发展研究[J].现代电子技术,2008