入侵檢測論文大全11篇
時間:2023-03-23 15:14:46緒論:寫作既是個人情感的抒發,也是對學術真理的探索,歡迎閱讀由發表云整理的11篇入侵檢測論文范文,希望它們能為您的寫作提供參考和啟發。
篇(1)
0引言
近年來,隨著信息和網絡技術的高速發展以及政治、經濟或者軍事利益的驅動,計算機和網絡基礎設施,特別是各種官方機構的網站,成為黑客攻擊的熱門目標。近年來對電子商務的熱切需求,更加激化了這種入侵事件的增長趨勢。由于防火墻只防外不防內,并且很容易被繞過,所以僅僅依賴防火墻的計算機系統已經不能對付日益猖獗的入侵行為,對付入侵行為的第二道防線——入侵檢測系統就被啟用了。
1入侵檢測系統(IDS)概念
1980年,JamesP.Anderson第一次系統闡述了入侵檢測的概念,并將入侵行為分為外部滲透、內部滲透和不法行為三種,還提出了利用審計數據監視入侵活動的思想[1]。即其之后,1986年DorothyE.Denning提出實時異常檢測的概念[2]并建立了第一個實時入侵檢測模型,命名為入侵檢測專家系統(IDES),1990年,L.T.Heberlein等設計出監視網絡數據流的入侵檢測系統,NSM(NetworkSecurityMonitor)。自此之后,入侵檢測系統才真正發展起來。
Anderson將入侵嘗試或威脅定義為:潛在的、有預謀的、未經授權的訪問信息、操作信息、致使系統不可靠或無法使用的企圖。而入侵檢測的定義為[4]:發現非授權使用計算機的個體(如“黑客”)或計算機系統的合法用戶濫用其訪問系統的權利以及企圖實施上述行為的個體。執行入侵檢測任務的程序即是入侵檢測系統。入侵檢測系統也可以定義為:檢測企圖破壞計算機資源的完整性,真實性和可用性的行為的軟件。
入侵檢測系統執行的主要任務包括[3]:監視、分析用戶及系統活動;審計系統構造和弱點;識別、反映已知進攻的活動模式,向相關人士報警;統計分析異常行為模式;評估重要系統和數據文件的完整性;審計、跟蹤管理操作系統,識別用戶違反安全策略的行為。入侵檢測一般分為三個步驟:信息收集、數據分析、響應。
入侵檢測的目的:(1)識別入侵者;(2)識別入侵行為;(3)檢測和監視以實施的入侵行為;(4)為對抗入侵提供信息,阻止入侵的發生和事態的擴大;
2入侵檢測系統模型
美國斯坦福國際研究所(SRI)的D.E.Denning于1986年首次提出一種入侵檢測模型[2],該模型的檢測方法就是建立用戶正常行為的描述模型,并以此同當前用戶活動的審計記錄進行比較,如果有較大偏差,則表示有異常活動發生。這是一種基于統計的檢測方法。隨著技術的發展,后來人們又提出了基于規則的檢測方法。結合這兩種方法的優點,人們設計出很多入侵檢測的模型。通用入侵檢測構架(CommonIntrusionDetectionFramework簡稱CIDF)組織,試圖將現有的入侵檢測系統標準化,CIDF闡述了一個入侵檢測系統的通用模型(一般稱為CIDF模型)。它將一個入侵檢測系統分為以下四個組件:
事件產生器(EventGenerators)
事件分析器(Eventanalyzers)
響應單元(Responseunits)
事件數據庫(Eventdatabases)
它將需要分析的數據通稱為事件,事件可以是基于網絡的數據包也可以是基于主機的系統日志中的信息。事件產生器的目的是從整個計算機環境中獲得事件,并向系統其它部分提供此事件。事件分析器分析得到的事件并產生分析結果。響應單元則是對分析結果做出反應的功能單元,它可以做出切斷連接、修改文件屬性等強烈反應。事件數據庫是存放各種中間和最終數據的地方的通稱,它可以是復雜的數據庫也可以是簡單的文本文件。
3入侵檢測系統的分類:
現有的IDS的分類,大都基于信息源和分析方法。為了體現對IDS從布局、采集、分析、響應等各個層次及系統性研究方面的問題,在這里采用五類標準:控制策略、同步技術、信息源、分析方法、響應方式。
按照控制策略分類
控制策略描述了IDS的各元素是如何控制的,以及IDS的輸入和輸出是如何管理的。按照控制策略IDS可以劃分為,集中式IDS、部分分布式IDS和全部分布式IDS。在集中式IDS中,一個中央節點控制系統中所有的監視、檢測和報告。在部分分布式IDS中,監控和探測是由本地的一個控制點控制,層次似的將報告發向一個或多個中心站。在全分布式IDS中,監控和探測是使用一種叫“”的方法,進行分析并做出響應決策。
按照同步技術分類
同步技術是指被監控的事件以及對這些事件的分析在同一時間進行。按照同步技術劃分,IDS劃分為間隔批任務處理型IDS和實時連續性IDS。在間隔批任務處理型IDS中,信息源是以文件的形式傳給分析器,一次只處理特定時間段內產生的信息,并在入侵發生時將結果反饋給用戶。很多早期的基于主機的IDS都采用這種方案。在實時連續型IDS中,事件一發生,信息源就傳給分析引擎,并且立刻得到處理和反映。實時IDS是基于網絡IDS首選的方案。
按照信息源分類
按照信息源分類是目前最通用的劃分方法,它分為基于主機的IDS、基于網絡的IDS和分布式IDS。基于主機的IDS通過分析來自單個的計算機系統的系統審計蹤跡和系統日志來檢測攻擊。基于主機的IDS是在關鍵的網段或交換部位通過捕獲并分析網絡數據包來檢測攻擊。分布式IDS,能夠同時分析來自主機系統日志和網絡數據流,系統由多個部件組成,采用分布式結構。
按照分析方法分類
按照分析方法IDS劃分為濫用檢測型IDS和異常檢測型IDS。濫用檢測型的IDS中,首先建立一個對過去各種入侵方法和系統缺陷知識的數據庫,當收集到的信息與庫中的原型相符合時則報警。任何不符合特定條件的活動將會被認為合法,因此這樣的系統虛警率很低。異常檢測型IDS是建立在如下假設的基礎之上的,即任何一種入侵行為都能由于其偏離正常或者所期望的系統和用戶活動規律而被檢測出來。所以它需要一個記錄合法活動的數據庫,由于庫的有限性使得虛警率比較高。
按照響應方式分類
按照響應方式IDS劃分為主動響應IDS和被動響應IDS。當特定的入侵被檢測到時,主動IDS會采用以下三種響應:收集輔助信息;改變環境以堵住導致入侵發生的漏洞;對攻擊者采取行動(這是一種不被推薦的做法,因為行為有點過激)。被動響應IDS則是將信息提供給系統用戶,依靠管理員在這一信息的基礎上采取進一步的行動。
4IDS的評價標準
目前的入侵檢測技術發展迅速,應用的技術也很廣泛,如何來評價IDS的優缺點就顯得非常重要。評價IDS的優劣主要有這樣幾個方面[5]:(1)準確性。準確性是指IDS不會標記環境中的一個合法行為為異常或入侵。(2)性能。IDS的性能是指處理審計事件的速度。對一個實時IDS來說,必須要求性能良好。(3)完整性。完整性是指IDS能檢測出所有的攻擊。(4)故障容錯(faulttolerance)。當被保護系統遭到攻擊和毀壞時,能迅速恢復系統原有的數據和功能。(5)自身抵抗攻擊能力。這一點很重要,尤其是“拒絕服務”攻擊。因為多數對目標系統的攻擊都是采用首先用“拒絕服務”攻擊摧毀IDS,再實施對系統的攻擊。(6)及時性(Timeliness)。一個IDS必須盡快地執行和傳送它的分析結果,以便在系統造成嚴重危害之前能及時做出反應,阻止攻擊者破壞審計數據或IDS本身。
除了上述幾個主要方面,還應該考慮以下幾個方面:(1)IDS運行時,額外的計算機資源的開銷;(2)誤警報率/漏警報率的程度;(3)適應性和擴展性;(4)靈活性;(5)管理的開銷;(6)是否便于使用和配置。
5IDS的發展趨
隨著入侵檢測技術的發展,成型的產品已陸續應用到實踐中。入侵檢測系統的典型代表是ISS(國際互聯網安全系統公司)公司的RealSecure。目前較為著名的商用入侵檢測產品還有:NAI公司的CyberCopMonitor、Axent公司的NetProwler、CISCO公司的Netranger、CA公司的Sessionwall-3等。國內的該類產品較少,但發展很快,已有總參北方所、中科網威、啟明星辰等公司推出產品。
人們在完善原有技術的基礎上,又在研究新的檢測方法,如數據融合技術,主動的自主方法,智能技術以及免疫學原理的應用等。其主要的發展方向可概括為:
(1)大規模分布式入侵檢測。傳統的入侵檢測技術一般只局限于單一的主機或網絡框架,顯然不能適應大規模網絡的監測,不同的入侵檢測系統之間也不能協同工作。因此,必須發展大規模的分布式入侵檢測技術。
(2)寬帶高速網絡的實時入侵檢測技術。大量高速網絡的不斷涌現,各種寬帶接入手段層出不窮,如何實現高速網絡下的實時入侵檢測成為一個現實的問題。
(3)入侵檢測的數據融合技術。目前的IDS還存在著很多缺陷。首先,目前的技術還不能對付訓練有素的黑客的復雜的攻擊。其次,系統的虛警率太高。最后,系統對大量的數據處理,非但無助于解決問題,還降低了處理能力。數據融合技術是解決這一系列問題的好方法。
(4)與網絡安全技術相結合。結合防火墻,病毒防護以及電子商務技術,提供完整的網絡安全保障。
6結束語
在目前的計算機安全狀態下,基于防火墻、加密技術的安全防護固然重要,但是,要根本改善系統的安全現狀,必須要發展入侵檢測技術,它已經成為計算機安全策略中的核心技術之一。IDS作為一種主動的安全防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護。隨著網絡通信技術安全性的要求越來越高,入侵檢測技術必將受到人們的高度重視。
參考文獻:
[1]putersecuritythreatmonitoringandsurveillance[P].PA19034,USA,1980.4
[2]DenningDE.AnIntrusion-DetectionModel[A].IEEESymponSecurity&Privacy[C],1986.118-131
篇(2)
2網絡入侵檢測的重要性與必要性分析
網絡入侵檢測,就是對網絡入侵行為的發覺。與其他安全技術相比而言,入侵檢測技術并不是以建立安全和可靠的網絡環境為主,而是以分析和處理對網絡用戶信息構成威脅的行為,進而進行非法控制來確保網絡系統的安全。它的主要目的是對用戶和系統進行檢測與分析,找出系統中存在的漏洞與問題,一旦發現攻擊或威脅就會自動及時地向管理人員報警,同時對各種非法活動或異常活動進行識別、統計與分析。
3數據挖掘在網絡入侵檢測中的應用分析
在使用數據挖掘技術對網絡入侵行為進行檢測的過程中,我們可以通過分析有用的數據或信息來提取用戶的行為特征和入侵規律,進而建立起一個相對完善的規則庫來進行入侵檢測。該檢測過程主要是數據收集——數據預處理——數據挖掘,以下是在對已有的基于數據挖掘的網絡入侵檢測的模型結構圖進行闡述的基礎上進行一些優化。
3.1綜合了誤用檢測和異常檢測的模型
為改進前綜合誤用檢測和異常檢測的模型。從圖2可以看出,它是綜合利用了誤用檢測和異常檢測模型而形成的基于數據挖掘的網絡入侵檢測模型。其優點在于通過結合誤用檢測器和異常檢測器,把所要分析的數據信息減少了很多,大大縮小了數據范圍。其劣勢在于當異常檢測器檢測到新的入侵檢測后,僅僅更新了異常檢測器,而沒有去及時地更新誤用檢測器,這就無形中增加了工作量。對于這一不足之處,筆者提出了以下改進意見。
3.2改進后的誤用檢測和異常檢測模型
筆者進行了一些改進,以形成一種更加有利的基于數據挖掘的入侵檢測模型,基礎上進行了一定的優化。一是把從網絡中獲取的網絡數據包發送到數據預處理器中,由它進行加工處理,然后使用相應的關聯規則找出其中具有代表性的規則,放入關聯規則集中,接下來用聚類規則將關聯規則所得的支持度和可信度進行聚類優化。此后,我們可根據規定的閾值而將一部分正常的數據刪除出去,這就大大減少了所要分析的數據量。此時可以把剩下的那些數據發送到誤用檢測器中進行檢測,如果誤用檢測器也沒有檢測到攻擊行為,則把該類數據發送到異常檢測器中再次進行檢測,與上面的例子一樣,這個異常檢測器實際上也起到了一個過濾的作用,以此來把海量的正常數據過濾出去,相應地數據量就會再一次變少,這就方便了后期的挖掘。這一模型系統的一大特點就是為了避免重復檢測,利用對數據倉庫的更新來完善異常檢測器和誤用檢測器。也就是說,根據異常檢測器的檢測結果來對異常檢測器和誤用檢測器進行更新,若測得該行為是正常行為,那么就會更新異常檢測器,若測得該行為是攻擊行為,那么就更新誤用檢測器來記錄該次的行為,從而方便下次進行重復的檢測。
篇(3)
1入侵檢測系統分析
表1分析了入侵檢測系統結構變化。
表1IDS出現的問題及結構的變化
IDS發展解決的問題結構特征
基于主機單一主機的安全各部分運行在單節點上
基于網絡局域網的安全采集部分呈現分布式
分布式單一分析節點的弱勢分析部分呈現分布式
網格的運行是由用戶發起任務請求,然后尋找資源搭配完成任務,這樣形成的團體稱為虛擬組織(VO),網格入侵檢測系統是為其他VO提供服務的VO[1],目前其面臨的主要問題如下:
(1)分布性:包括資源分布和任務分解。
(2)動態部署:系統是為VO提供服務的,其部署應是動態的。
(3)動態形成:系統本身也是一VO,是動態形成的。
(4)最優方案選擇:本系統需多種網格資源協同進行,要選擇一個最優方案。
(5)協同計算:保證按照入侵檢測流程順利運行。
(6)動態改變:防止資源失效。
目前關于網格入侵檢測系統的研究[2]只能說解決了分布性、動態形成、協同計算。而對于動態部署[1]、動態改變[3]仍處于研究中。
2VGIDS系統模型
VGIDS基于開放網格服務(OGSA)思想提出了一個公共服務——GIDSService來解決目前網格入侵檢測系統面臨的問題。整個VGIDS結構如圖1所示。
(1)VO-Based:網格是一個虛擬組織的聚集,本系統提出一虛擬組織目錄(VOL)。用戶向GIDSService提交請求并將被檢測VO代號作為參數。GIDSSevvice查找VOL獲取VO信息。當VOL數量減為一就成為單一網格應用,可由網格管理(GM)將VO信息傳給GIDSServic。
圖1VGIDS系統結構
(2)GIDSService:負責資源發現,調度。具體包括:
RI(RequestInterface):服務接口,負責服務請求及VO信息獲取。同VOL解決動態部署。
DA(DelegationAgent):委托。同用戶交互獲得用戶委托授權。
DD(DistributedData):分布式數據。存儲VGIDS需要的資源信息。解決分布問題。
RQ(ResourceQuery):資源查詢。當獲得用戶授權后便由RQ根據DD描述向資源目錄(RL)查找資源。解決分布問題。
PC(PlanChoose):最優方案選擇。當從RL獲得可用資源后PC根據AM(任務管理)要求選擇一個最優方案。本文稱為多維最優路徑選擇問題。
AM(AssignmentManage):任務管理。首先根據DD存儲所需資源的調度信息,當VGIDS形成后,根據PC的方案選擇及DD存儲的資源信息進行任務的調度和協同各分布資源的交互,解決協同計算。
IR(IntrusionReaction):入侵響應。
SN(SecurityNegotiate):安全協商。同資源和用戶的安全協商。
DI(DynamicInspect):動態檢查。負責檢查資源失效向RQ發起重新查找資源請求。解決動態改變問題。
LB(LoadBalance):負載平衡。主要根據DD信息解決網格資源調度的負載平衡問題。
3VGIDS服務描述
本系統是一動態虛擬組織,在系統運行之前必須以靜態網格服務的形式部署于網格之上,當用戶申請時再動態形成。
定義1:VGIDS的靜態定義如下:VGIDS=<Base,Resource,Role,Task,Flow,Relation>
Base為VGIDS基本描述,Base=<ID,Power,IO,Inf,log,goal,P>。ID為虛擬組織編號;Power為獲得的授權;IO為被檢測對象;Inf為監控VGIDS獲得的信息文件;log為系統日志;goal為VGIDS目標,包括調度算法所估計的系統效率及用戶要求;P為系統交互策略,需同網格資源進行交互,授予資源角色和相關權利并同時分配相關任務。
Resource為VGIDS的所有資源,Resource=<IP,Property,Serve,Power,P>。
IP為資源地址;Property為資源屬性(存儲、分析),方便角色匹配;Serve為資源可提供的服務指標;Power為使用資源所要求的授權;P為資源交互策略。
Role為存在的角色類型,Role=<ID,Tas,Res,Power>。ID為角色的分類號,按照工作流分為5類角色分別對應VGIDS的5個環節;Tas為角色任務;Res為角色需要的資源類型;Power為角色所獲得的權利。
Task為工作流任務集合。Task=<ID,Des,Res,Role,P>。ID為任務標號;Des為任務描述;Res為需要的資源種類;Role為任務匹配的角色;P為Task執行策略。
Flow為工作流描述文件,Flow=<Role,Seq,P>。Role為角色集合,Seq為角色執行序列,P為對于各個角色的控制策略。
Relation為已確定資源Resource和Role之間的關系。Relation=<Res,Role,Rl>。Res為資源集合,Role為角色集合,Rl為對應關系。
4多維最優路徑選擇
4.1問題描述
將圖1抽象為圖2模型定義2:Graph=(U、D、A、{Edge})。
U為所有被檢測對象的集合,Un=(Loadn、Pn),Loadn為Un單位時間所要求處理的數據,Pn為Un在被檢測VO中所占權重,如果P為空,則按照Load大小作為權重。
D為存儲服務集合,Dn=(Capn、Qosdn),Capn為Dn提供的存儲容量。Qosdn為Dn提供的服務質量,近似為數據吞吐率。
A為分析服務集合,An=(Classn、Qosan),Classn為An處理的數據種類,如系統日志或網絡流量。Qosan為An提供的服務質量,近似為處理速率。
Edge為邊的集合,有網絡傳輸速度加權v。
圖2VGIDS調度模型
定義3:Qos定義為一個多維向量,可用一個性能度量指標的集合表示:
{M1(t)、M2(t),…,Mn(t)}
Mn(t)為一個與網格服務質量有關的量,如CPU的主頻、網絡速度、內存。服務的執行過程體現出來的性能參數是一條n維空間的軌跡M,這個n維空間的每一維代表一個性能指標
M=R1*R2*…*Rn
其中,Rn是性能指標Mn(t)的取值范圍。在本系統中存在兩類Qos,分別為D和A。本系統強調實時性,所以CPU、RAM和網絡速度占很大權重,Qos計算公式如下:
Wcpu表示CPU的權重;CPUusage表示當前CPU使用率;CPUspeed表示CPU的實際速度;CPUmin表示要求的CPU速率的最小值。Wram表示RAM的權重;RAMusage表示當前RAM使用率;RAMsize表示RAM的實際大小;RAMmin表示要求的RAM的最小值。Wnet表示網絡傳輸的權重;NETusage表示當前網絡負載;NETspeed表示網絡的實際速度;NETmin表示要求的網絡傳輸速率的最小值。
資源調度就是利用對各個資源的量化,為每一檢測對象選擇一條數據傳輸路徑。本系統目標是使整個VO獲得快速的檢測,而不是對個別對象的檢測速率很高。
定義4:對于任意一個被檢測VO的檢測對象,如果能夠為其構造一條檢測路徑,稱系統對于此對象是完備的。
定義5:對于VO,如果能夠為其所有的檢測對象構造檢測路徑,則稱系統對于被檢測VO是完備的。
本調度算法的目的便是在滿足被檢測VO和入侵檢測工作流要求下,按照所選網格資源提供的能力為整個VO構造VGIDS,使所有被檢測對象檢測效率之和最高。這是一非典型的線性規劃問題,如下定義:
X1,…Xn是n個獨立變量,表示VGIDS所選路徑;公式<5>表示最大耗費時間;公式<6>—<8>表示所有對于Xn的約束條件。由于Xn變量難以確定并且約束條件種類較多所以難以將上述問題標準化為公式<5>—<8>。
4.2算法描述
本文利用貪心選擇和Dijkstra算法進行調度。
按照用戶給出的U的權值P從大到小進行排序,if(P==NULL),則按Load從大到小進行排序得到排序后的對象數組和負載數組為
U[i](0<i≤n,n為U的大小);Load[i](0<i≤n,n為U的大小)
for(i=0;i<=n;i++),循環對U和Load執行以下操作:
(1)對于所有邊,定義其權值為網絡傳輸時間t=Load[i]/v,對于所有服務D和A定義其處理數據時間為t1=Load[i]/Qos,將t1加到每一個服務的入邊上得到最終各邊權值,如果兩點之間沒有邊相連則t[j]為∞。
(2)定義Capmin[i]為U[i]對于數據存儲能力的最低要求,Qosdmin為U[i]對于D中服務質量的最低要求,Qosamin為U[i]對于A中服務質量的最低要求。對于所有D中Cap<Capmin[i]或者Qosd<Qosdmin的節點以及A中Qosa<Qosamin[i]的節點,將其所有輸入和輸出邊的t設為∞。
(3)設所有點集合為V,V0為檢測對象,邊Edge定義為<Vi,Vj>。用帶權連接矩陣arcs[i][j]表示<Vi,Vj>的權值。定義向量D表示當前所找到的從起點V0到終點Vi的最短路徑,初始化為若V0到Vi有邊,則D[i]為邊的權值,否則置D[i]為∞。定義向量P來保存最短路徑,若P[v][w]為TRUE,則W是從V0到V當前求得最短路徑上的頂點。
(4)for(v=0;v<v.number;v++)
{
final[v]=false;
D[v]=arcs[v0][v];
for(w=0;w<v.number;++w)P[v][w]=false;
//設空路徑
if(D[v]<INFINITY){P[v][v0]=true;P[v][v]=true;}}
D[v0]=0;final[v0]=true;//初始化,V0頂點屬于已求得最短路徑的終點集合
for(i=1;i<v.number;++i){
min=INFINITY;
for(w=0;w<v.number;++w)
if(!final[w])
if(D[w]<min){v=w;min=D[w];}
final[v]=true;
for(w=0;w<v.number;++w)//更新當前最短路徑及距離;
if(!final[w]&&(min+arcs[v][w]<D[w])){
D[w]=min+arcs[v][w];
P[w]=P[v];P[w][w]=true;
}}}
掃描A中各點,選取其中D[i](Vi∈A)最小的一點X,然后從P中選取從V0到X的路徑便為所選一條VGIDS路徑。
(5)將所選路徑上的邊的速率改為V=V-Load[i],D的Cap改為Cap=Cap-Capmin,D的Qosd改為Qosd=Qosd-Qosdmin,A的Qosa改為Qosa=Qosa-Qosamin。
(6)++i,回到步驟(1)重新開始循環。
5系統開發
本項目主要利用Globus工具包外加CoGKits開發工具。Globus作為一個廣泛應用的網格中間件其主要是針對五層沙漏結構,并利用GridService技術逐層對五層沙漏提出的功能單源進行實現[5],表2簡單敘述VGIDS實現的各層功能及Globus中對應服務調用。
實驗時VGIDS部署在Linux系統上,采用基于Linux核心的數據采集技術及Oracle10g作為數據庫系統解決分布式存儲問題,數據分析技術仍采用現有的基于規則的入侵檢測技術。系統試驗平臺如圖3所示。
表2系統功能劃分及調用接口
五層結構VGIDSGlobus
應用層GridService無
匯聚層資源發現、證書管理、目錄復制、復制管理、協同分配元目錄服務MDS,目錄復制和復制管理服務,在線信任倉儲服務,DUROC協同分配服務
資源層訪問計算、訪問數據、訪問系統結構與性能信息提供GRIP、GRRP、基于http的GRAM用于分配資源和監視資源,提供GridFtp數據訪問管理協議及LDAP目錄訪問協議。Globus定義了這些協議的C和Java實現
連接層通信、認證、授權提供GSI協議用于認證、授權、及通信保密
構造層數據采集、數據存儲、數據分析提供缺省和GARA資源預約
圖3系統試驗平臺
本平臺共8臺機器,一臺網格目錄服務和CA認證中心,一臺部署VGIDS服務。兩臺機器作為被檢測對象,相互之間可實現簡單網格協作,本試驗兩臺機器之間通過GridFtp服務傳輸數據。其余四臺機器分別實現兩個存儲服務和兩個分析服務。
6總結和展望
目前網格入侵檢測系統主要是針對某一特定網格應用靜態執行。而本文所提出的VGIDS則是針對網格運行模式——虛擬組織所提出的通用網格入侵檢測服務。本系統事先進行靜態定義,然后當有服務請求時動態解析定義文件,動態形成可執行的網格入侵檢測系統。本系統解決目前網格入侵檢測系統面臨的動態部署、動態形成、最優方案選擇、動態改變等問題。
對于網格入侵檢測系統同樣還面臨著如何解決數據異構,如何發現分布式協同攻擊,如何保障自身的安全等問題,本模型有待進一步完善。
參考文獻
[1]OngTianChoonandAzmanSamsudin.Grid-basedIntrusionDetectionSystem.SchoolofComputerSciencesUniversitySainsMalaysia,IEEE,2003.1028-1032
[2]AlexandreSchulterandJúlioAlbuquerqueReis.AGrid-worksandManagementLaboratoryFederalUniversityofSantaCatarina,ProceedingsoftheInternationalConferenceonNetworking,InternationalConferenceonSystemsandInternationalConferenceonMobileCommunicationsandLearningTechnologies.IEEE,2006
篇(4)
2頂層設計的作用
應用規范可以為用戶提煉一個系統的、完整的、關于應用效果的準確表達,成為工程設計方全面而嚴謹的設計和驗收的依據,并對施工工藝提供相應的指導。由于應用規范的定義,所有的描述內容僅涉及應用效果,而不規定具體技術和產品,其開放式的結構不僅為更多新技術的進入提供了廣闊空間,同時對新技術予以嚴謹的約束和指導,避免應用中采用“似是而非”的技術;避免生產廠商以“先進技術”誤導用戶和工程設計及施工方。
3以“頂層設計”的方法規劃智能建筑的入侵探測技術配置的一般性過程
3.1全方位準確描述智能建筑的應用環境
3.1.1智能建筑內部空間的基本功能在智能建筑的內部空間中,符合準入權限的人員及其喂養的各類寵物,均可以在其中無拘束地自由活動。
3.1.2智能建筑(以住宅類為例)由各種不同的功能區域構成智能建筑可以由屏障式建筑體(院墻/大門)、過渡空間(院落)、主體建筑、附屬建筑等多種建筑形態構成,也可以是單獨的多/高層樓宇式建筑物。1)室外建筑構成體在外形特征的相關變化院落形態變化對比如表1所示。2)室內空間功能多樣化及其內部環境條件多元化為了滿足多個不同個體的人員、多層面應用需求,智能建筑內部可能設置有廳/餐/廚/衛/主/客/傭/影視/文娛/體/閱讀等不同功能空間。這些空間在不同時段會滿足于個體應用需求的溫濕度差異;且在不同時段分布不同色溫、不同照度、不同波長的光照明、不同頻譜、不同規律、不同響度的聲音等。3)智能建筑中配置滿足不同層面需要的各類設施為了滿足住戶多層面的應用需求,智能建筑中分布有大量的水/電/氣管路;配置了空氣溫濕度、理化潔凈度探測控制裝置,各類照明、感應、影音播放及相關控制裝置,各類實現建筑物內部及內/外聯系的通信裝置;不同功能空間中還配置有特定的電器裝置,甚至某些空間中還配置了可以自動“行走”的從事清潔等服務的機器(人)。上述各種設施是建筑物內各種頻率/振幅的機械振動或波振動源;在不同時段也可能在較寬頻譜范圍內形成不同調制方式、不同能量的空間電磁波輻射(包括光波)和/或線路上的電磁擾動。綜合以上分析得出結論:合法入住的人員及寵物的正常活動,智能建筑內部配置的各類電氣裝置的正常工作狀況,均會成為傳統型入侵探測技術的干擾源。
3.2以另一種角度解析入侵探測技術
入侵探測的本質:采用物理測量技術,識別出“不允許進入特定區域的人”。探測技術發展經歷了以下幾個階段,并各具相應特性。
3.2.1入侵探測技術的智能化進程初級型階段的入侵探測技術是針對參照物“有沒有”實施最簡單判斷,使用的典型技術是鐵磁性“接近開關”對門、窗的“開/閉”狀態判斷,以門/窗有沒有開啟作為觸發報警條件。傳統型階段的入侵探測技術達到了“什么樣”的判斷水平——針對移動特性與體積、重量、溫度、外形等參量之一的探測,以上述物理參量是否存在或以某個特定值作為預設的觸發報警條件。智能型入侵探測的智能水平達到了判別“是誰”的能力——采用各類生物識別技術,實現對特定人員身份的探測(識別)。本文針對智能建筑的入侵探測應用討論,所以探討內容涵蓋傳統型入侵探測技術和生物識別技術(智能型入侵探測技術)。
3.2.2傳統型入侵探測技術——對人的外部物理特征(共性)參量實施探測傳統型入侵探測技術針對入侵行為的主要特性——移動,同時為了提升探測的準確性,再針對人員常見的幾種外部物理參量之一進行探測,如表3所示。各類傳統型入侵探測技術僅針對人員單一的外部物理參量實施探測,探測效果相當于“盲人摸象”,可能得出不準確的結論;更重要的是,傳統型入侵探測裝置不可能區分出觸發者是用戶還是非法入侵者,所以不適于在智能建筑的室內安裝應用。
3.2.3智能型入侵探測技術——對人的外部社會特性(個性)實施探測用戶與入侵者區分依據是人的外部社會特性,是每個人與其他人之間不同的、可測或可度量的、外在的(生物或者人為附加)特征。表4列出了目前不同的生物特征測量技術,對人實現區分所需要的時間和空間條件,而根據這些條件,可以針對智能建筑中不同區域的應用需求,選擇合適的探測技術,如表4所示。5.3智能建筑不同功能區域對入侵探測應用需求及配置智能建筑內部區域對入侵探測的應用需求及配置建議如表5所示。
4應用規范的通用性規定
4.1入侵探測裝置合法性必須獲得強制性認證證書的有效覆蓋;沒有現行強制性認證標準的產品,需要獲得自愿認證證書的有效覆蓋。產品參照標準中的具體相關技術指標,均應滿足應用規范規定。
4.2配置合理性針對智能建筑的不同部位或區域,配置與應用需求對應類別的入侵探測裝置,比如:建筑物內部屬于人員及寵物活動區域,入侵探測的應用需求是“確定進入該空間的人員是否具有相應的權限”,依據此需求,建筑物內部原則上不應配置傳統型入侵探測裝置(當然,針對廚房等某些具有危險物品的空間,為防止嬰幼兒或寵物爬入,可能采用傳統型入侵探測裝置。當然在具體的配置過程中,還需要滿足應用需求的其他方面);而傳統型入侵探測裝置應配置在智能建筑外部,特別是周界,當然還應該滿足構成“封閉式防范”和對外觀適應性等其他要求。根據表2所列的內容,可以得出明確結論——傳統型入侵探測由于不具備識別人員身份的能力,通常只能設置于智能建筑的外部,擔任判斷是否有“人員入侵”的工作。若安裝于圍墻/圍欄/窗/陽臺等不允許人員“合法”出入的周界區域,只要發現有“目標”越過這些區域(無論是“出”或者是“入”),都必須輸出報警信號。而具體應該采用何種入侵探測技術,應根據每種入侵探測技術的特點及具體應用需求來確定。
4.3風險等級適配性1)應用規范應規定智能建筑的風險等級,以及入侵探測裝置的防范嚴密性等級。2)配置與風險等級對應的入侵探測裝置類別,除了與空間條件相適應外,其探測的嚴密程度也應該與建筑的風險等級相對應。比如:對于低風險等級建筑的門禁可以采用IC卡、密碼等探測技術;高風險等級建筑的門禁應用可以采用其他相應的生物識別技術。3)配置與風險等級對應的入侵探測裝置。低風險等級的周界配置的入侵探測裝置的觸發響應時間或探測靈敏度指標可以較低,而高風險等級的周界配置入侵探測裝置的相應技術指標要求較高。
4.4探測介質安全性建筑的入侵探測裝置在長期使用的條件下,對人員物不產生任何傷害;建筑物外使用的入侵探測裝置,在短時間內不應對人員(包含入侵者)產生傷害。
4.5環境適應性1)入侵探測裝置的外觀造型應與整體建筑造型風格和景觀觀感相適應。2)入侵探測裝置的探測介質、通訊介質電磁參量等應該與智能建筑整體(局部)電磁環境相適應,不會產生相互干擾。
4.6探測技術的互補與協調性1)在同一空間或區域內,可采用兩種或以上探測介質不同但探測區域重合的入侵探測(身份識別)技術,減少漏報警的機會。2)對不同空間或區域配置的相同或不同探測裝置之間的異常信號實現統一管理與分析,提高報警準確率。
4.7資源配置的節約性1)由于智能建筑內分布大量的環境類探測器、傳感器,形成廣泛分布的傳輸通道,在保障“報警優先”并確保可有效避免“通道阻塞”條件下,入侵探測裝置的輸出/遠端控制宜盡可能利用智能建筑內部配置的其他探測裝置的信號通道。2)門禁確認進入人員身份的識別信號,可以提供給后續智能控制系統,實現“具體房間室內溫濕度、燈光色調/照度、音響內容與響度、沐浴水溫”多參量的個性化調節等應用環節。3)配置于室內的攝像機,可以同時用于入侵探測與火警探測兩種報警復核。可考慮具有“模糊的行為識別”與“高清的取證識別”兩種工作模式,以應對不同風險等級或應對不同級別隱私保護需求。4)環境類痕量化學傳感器與入侵探測功能交互。住戶個人生活習慣,如從吸煙或使用化妝品品牌的痕量分析作為身份識別,既可以根據習慣性化學痕量判斷對于住戶個人的個性化實施調節;也可以將與習慣性品牌痕量分析不符合的分析結果,作為入侵(內部人員非法進入)報警參考條件。
4.8使用便利性入侵探測裝置的安裝、調試、維護、保養應方便。家居型智能建筑應用的入侵探測裝置最大程度提升DIY水平;在不能或不宜采用DIY方式安裝的場所,或入侵探測裝置本身的DIY程度要求不高的條件下,入侵探測裝置應分別配置針對現場用戶和安全控制中心的故障提示方式。
4.9與風險等級對應價格體系的合理性與可承受性1)性能/價格比是相應用戶可以接受的(首先是性能,然后才是價格)。2)價格與產品風險等級對應,“優質優價”。3)價格體系應該給生產、銷售、安裝、調試、維保等環節留有相應生存空間,最好還留有發展空間,杜絕惡性價格競爭。
4.10入侵探測裝置使用年限的規定入侵探測裝置應規定使用年限,以室內不超過5年、室外不超過3年為宜。
4.11入侵探測裝置不適用條件的規定1)系統集成商在構成系統過程中,在入侵探測裝置無法承受氣候時,系統對入侵探測裝置予以“屏蔽”。2)用戶對于不同空間隱私性、不同時間準入條件等具體應用需求,明確規定不適用的入侵探測裝置或入侵探測系統相應功能不適用的時間段。
篇(5)
在網絡技術日新月異的今天,寫作論文基于網絡的計算機應用已經成為發展的主流。政府、教育、商業、金融等機構紛紛聯入Internet,全社會信息共享已逐步成為現實。然而,近年來,網上黑客的攻擊活動正以每年10倍的速度增長。因此,保證計算機系統、網絡系統以及整個信息基礎設施的安全已經成為刻不容緩的重要課題。
1防火墻
目前防范網絡攻擊最常用的方法是構建防火墻。
防火墻作為一種邊界安全的手段,在網絡安全保護中起著重要作用。其主要功能是控制對網絡的非法訪問,通過監視、限制、更改通過網絡的數據流,一方面盡可能屏蔽內部網的拓撲結構,另一方面對內屏蔽外部危險站點,以防范外對內的非法訪問。然而,防火墻存在明顯的局限性。
(1)入侵者可以找到防火墻背后可能敞開的后門。如同深宅大院的高大院墻不能擋住老鼠的偷襲一樣,防火墻有時無法阻止入侵者的攻擊。
(2)防火墻不能阻止來自內部的襲擊。調查發現,50%的攻擊都將來自于網絡內部。
(3)由于性能的限制,防火墻通常不能提供實時的入侵檢測能力。寫作畢業論文而這一點,對于層出不窮的網絡攻擊技術來說是至關重要的。
因此,在Internet入口處部署防火墻系統是不能確保安全的。單純的防火墻策略已經無法滿足對安全高度敏感部門的需要,網絡的防衛必須采用一種縱深的、多樣化的手段。
由于傳統防火墻存在缺陷,引發了入侵檢測IDS(IntrusionDetectionSystem)的研究和開發。入侵檢測是防火墻之后的第二道安全閘門,是對防火墻的合理補充,在不影響網絡性能的情況下,通過對網絡的監測,幫助系統對付網絡攻擊,擴展系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應),提高信息安全基礎結構的完整性,提供對內部攻擊、外部攻擊和誤操作的實時保護。現在,入侵檢測已經成為網絡安全中一個重要的研究方向,在各種不同的網絡環境中發揮重要作用。
2入侵檢測
2.1入侵檢測
入侵檢測是通過從計算機網絡系統中的若干關鍵點收集信息并對其進行分析,從中發現違反安全策略的行為和遭到攻擊的跡象,并做出自動的響應。其主要功能是對用戶和系統行為的監測與分析、系統配置和漏洞的審計檢查、重要系統和數據文件的完整性評估、已知的攻擊行為模式的識別、異常行為模式的統計分析、操作系統的審計跟蹤管理及違反安全策略的用戶行為的識別。入侵檢測通過迅速地檢測入侵,在可能造成系統損壞或數據丟失之前,識別并驅除入侵者,使系統迅速恢復正常工作,并且阻止入侵者進一步的行動。同時,收集有關入侵的技術資料,用于改進和增強系統抵抗入侵的能力。
入侵檢測可分為基于主機型、基于網絡型、基于型三類。從20世紀90年代至今,寫作英語論文已經開發出一些入侵檢測的產品,其中比較有代表性的產品有ISS(IntemetSecuritySystem)公司的Realsecure,NAI(NetworkAssociates,Inc)公司的Cybercop和Cisco公司的NetRanger。
2.2檢測技術
入侵檢測為網絡安全提供實時檢測及攻擊行為檢測,并采取相應的防護手段。例如,實時檢測通過記錄證據來進行跟蹤、恢復、斷開網絡連接等控制;攻擊行為檢測注重于發現信息系統中可能已經通過身份檢查的形跡可疑者,進一步加強信息系統的安全力度。入侵檢測的步驟如下:
收集系統、網絡、數據及用戶活動的狀態和行為的信息
入侵檢測一般采用分布式結構,在計算機網絡系統中的若干不同關鍵點(不同網段和不同主機)收集信息,一方面擴大檢測范圍,另一方面通過多個采集點的信息的比較來判斷是否存在可疑現象或發生入侵行為。
入侵檢測所利用的信息一般來自以下4個方面:系統和網絡日志文件、目錄和文件中的不期望的改變、程序執行中的不期望行為、物理形式的入侵信息。
(2)根據收集到的信息進行分析
常用的分析方法有模式匹配、統計分析、完整性分析。模式匹配是將收集到的信息與已知的網絡入侵和系統誤用模式數據庫進行比較,從而發現違背安全策略的行為。
統計分析方法首先給系統對象(如用戶、文件、目錄和設備等)創建一個統計描述,統計正常使用時的一些測量屬性。測量屬性的平均值將被用來與網絡、系統的行為進行比較。當觀察值超出正常值范圍時,就有可能發生入侵行為。該方法的難點是閾值的選擇,閾值太小可能產生錯誤的入侵報告,閾值太大可能漏報一些入侵事件。
完整性分析主要關注某個文件或對象是否被更改,包括文件和目錄的內容及屬性。該方法能有效地防范特洛伊木馬的攻擊。
3分類及存在的問題
入侵檢測通過對入侵和攻擊行為的檢測,查出系統的入侵者或合法用戶對系統資源的濫用和誤用。寫作工作總結根據不同的檢測方法,將入侵檢測分為異常入侵檢測(AnomalyDetection)和誤用人侵檢測(MisuseDetection)。
3.1異常檢測
又稱為基于行為的檢測。其基本前提是:假定所有的入侵行為都是異常的。首先建立系統或用戶的“正常”行為特征輪廓,通過比較當前的系統或用戶的行為是否偏離正常的行為特征輪廓來判斷是否發生了入侵。此方法不依賴于是否表現出具體行為來進行檢測,是一種間接的方法。
常用的具體方法有:統計異常檢測方法、基于特征選擇異常檢測方法、基于貝葉斯推理異常檢測方法、基于貝葉斯網絡異常檢測方法、基于模式預測異常檢測方法、基于神經網絡異常檢測方法、基于機器學習異常檢測方法、基于數據采掘異常檢測方法等。
采用異常檢測的關鍵問題有如下兩個方面:
(1)特征量的選擇
在建立系統或用戶的行為特征輪廓的正常模型時,選取的特征量既要能準確地體現系統或用戶的行為特征,又能使模型最優化,即以最少的特征量就能涵蓋系統或用戶的行為特征。
(2)參考閾值的選定
由于異常檢測是以正常的特征輪廓作為比較的參考基準,因此,參考閾值的選定是非常關鍵的。
閾值設定得過大,那漏警率會很高;閾值設定的過小,則虛警率就會提高。合適的參考閾值的選定是決定這一檢測方法準確率的至關重要的因素。
由此可見,異常檢測技術難點是“正常”行為特征輪廓的確定、特征量的選取、特征輪廓的更新。由于這幾個因素的制約,異常檢測的虛警率很高,但對于未知的入侵行為的檢測非常有效。此外,由于需要實時地建立和更新系統或用戶的特征輪廓,這樣所需的計算量很大,對系統的處理性能要求很高。
3.2誤用檢測
又稱為基于知識的檢測。其基本前提是:假定所有可能的入侵行為都能被識別和表示。首先,寫作留學生論文對已知的攻擊方法進行攻擊簽名(攻擊簽名是指用一種特定的方式來表示已知的攻擊模式)表示,然后根據已經定義好的攻擊簽名,通過判斷這些攻擊簽名是否出現來判斷入侵行為的發生與否。這種方法是依據是否出現攻擊簽名來判斷入侵行為,是一種直接的方法。
常用的具體方法有:基于條件概率誤用入侵檢測方法、基于專家系統誤用入侵檢測方法、基于狀態遷移分析誤用入侵檢測方法、基于鍵盤監控誤用入侵檢測方法、基于模型誤用入侵檢測方法。誤用檢測的關鍵問題是攻擊簽名的正確表示。
誤用檢測是根據攻擊簽名來判斷入侵的,根據對已知的攻擊方法的了解,用特定的模式語言來表示這種攻擊,使得攻擊簽名能夠準確地表示入侵行為及其所有可能的變種,同時又不會把非入侵行為包含進來。由于多數入侵行為是利用系統的漏洞和應用程序的缺陷,因此,通過分析攻擊過程的特征、條件、排列以及事件間的關系,就可具體描述入侵行為的跡象。這些跡象不僅對分析已經發生的入侵行為有幫助,而且對即將發生的入侵也有預警作用。
誤用檢測將收集到的信息與已知的攻擊簽名模式庫進行比較,從中發現違背安全策略的行為。由于只需要收集相關的數據,這樣系統的負擔明顯減少。該方法類似于病毒檢測系統,其檢測的準確率和效率都比較高。但是它也存在一些缺點。
3.2.1不能檢測未知的入侵行為
由于其檢測機理是對已知的入侵方法進行模式提取,對于未知的入侵方法就不能進行有效的檢測。也就是說漏警率比較高。
3.2.2與系統的相關性很強
對于不同實現機制的操作系統,由于攻擊的方法不盡相同,很難定義出統一的模式庫。另外,誤用檢測技術也難以檢測出內部人員的入侵行為。
目前,由于誤用檢測技術比較成熟,多數的商業產品都主要是基于誤用檢測模型的。不過,為了增強檢測功能,不少產品也加入了異常檢測的方法。
4入侵檢測的發展方向
隨著信息系統對一個國家的社會生產與國民經濟的影響越來越大,再加上網絡攻擊者的攻擊工具與手法日趨復雜化,信息戰已逐步被各個國家重視。近年來,入侵檢測有如下幾個主要發展方向:
4.1分布式入侵檢測與通用入侵檢測架構
傳統的IDS一般局限于單一的主機或網絡架構,對異構系統及大規模的網絡的監測明顯不足,再加上不同的IDS系統之間不能很好地協同工作。為解決這一問題,需要采用分布式入侵檢測技術與通用入侵檢測架構。
4.2應用層入侵檢測
許多入侵的語義只有在應用層才能理解,然而目前的IDS僅能檢測到諸如Web之類的通用協議,而不能處理LotusNotes、數據庫系統等其他的應用系統。許多基于客戶/服務器結構、中間件技術及對象技術的大型應用,也需要應用層的入侵檢測保護。
4.3智能的入侵檢測
入侵方法越來越多樣化與綜合化,盡管已經有智能體、神經網絡與遺傳算法在入侵檢測領域應用研究,但是,這只是一些嘗試性的研究工作,需要對智能化的IDS加以進一步的研究,以解決其自學習與自適應能力。
4.4入侵檢測的評測方法
用戶需對眾多的IDS系統進行評價,評價指標包括IDS檢測范圍、系統資源占用、IDS自身的可靠性,從而設計出通用的入侵檢測測試與評估方法與平臺,實現對多種IDS的檢測。
4.5全面的安全防御方案
結合安全工程風險管理的思想與方法來處理網絡安全問題,將網絡安全作為一個整體工程來處理。從管理、網絡結構、加密通道、防火墻、病毒防護、入侵檢測多方位全面對所關注的網絡作全面的評估,然后提出可行的全面解決方案。
綜上所述,入侵檢測作為一種積極主動的安全防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護,使網絡系統在受到危害之前即攔截和響應入侵行為,為網絡安全增加一道屏障。隨著入侵檢測的研究與開發,并在實際應用中與其它網絡管理軟件相結合,使網絡安全可以從立體縱深、多層次防御的角度出發,形成人侵檢測、網絡管理、網絡監控三位一體化,從而更加有效地保護網絡的安全。
參考文獻
l吳新民.兩種典型的入侵檢測方法研究.計算機工程與應用,2002;38(10):181—183
2羅妍,李仲麟,陳憲.入侵檢測系統模型的比較.計算機應用,2001;21(6):29~31
3李渙洲.網絡安全與入侵檢測技術.四川師范大學學報.2001;24(3):426—428
篇(6)
關鍵詞:入侵檢測異常檢測誤用檢測
在網絡技術日新月異的今天,基于網絡的計算機應用已經成為發展的主流。政府、教育、商業、金融等機構紛紛聯入Internet,全社會信息共享已逐步成為現實。然而,近年來,網上黑客的攻擊活動正以每年10倍的速度增長。因此,保證計算機系統、網絡系統以及整個信息基礎設施的安全已經成為刻不容緩的重要課題。
1 防火墻
目前防范網絡攻擊最常用的方法是構建防火墻。
防火墻作為一種邊界安全的手段,在網絡安全保護中起著重要作用。其主要功能是控制對網絡的非法訪問,通過監視、限制、更改通過網絡的數據流,一方面盡可能屏蔽內部網的拓撲結構,另一方面對內屏蔽外部危險站點,以防范外對內的非法訪問。然而,防火墻存在明顯的局限性。
(1)入侵者可以找到防火墻背后可能敞開的后門。如同深宅大院的高大院墻不能擋住老鼠的偷襲一樣,防火墻有時無法阻止入侵者的攻擊。
(2)防火墻不能阻止來自內部的襲擊。調查發現,50%的攻擊都將來自于網絡內部。
(3)由于性能的限制,防火墻通常不能提供實時的入侵檢測能力。畢業論文 而這一點,對于層出不窮的網絡攻擊技術來說是至關重要的。
因此,在Internet入口處部署防火墻系統是不能確保安全的。單純的防火墻策略已經無法滿足對安全高度敏感部門的需要,網絡的防衛必須采用一種縱深的、多樣化的手段。
由于傳統防火墻存在缺陷,引發了入侵檢測IDS(Intrusion Detection System)的研究和開發。入侵檢測是防火墻之后的第二道安全閘門,是對防火墻的合理補充,在不影響網絡性能的情況下,通過對網絡的監測,幫助系統對付網絡攻擊,擴展系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應),提高信息安全基礎結構的完整性,提供對內部攻擊、外部攻擊和誤操作的實時保護。現在,入侵檢測已經成為網絡安全中一個重要的研究方向,在各種不同的網絡環境中發揮重要作用。
2 入侵檢測
2.1 入侵檢測
入侵檢測是通過從計算機網絡系統中的若干關鍵點收集信息并對其進行分析,從中發現違反安全策略的行為和遭到攻擊的跡象,并做出自動的響應。其主要功能是對用戶和系統行為的監測與分析、系統配置和漏洞的審計檢查、重要系統和數據文件的完整性評估、已知的攻擊行為模式的識別、異常行為模式的統計分析、操作系統的審計跟蹤管理及違反安全策略的用戶行為的識別。入侵檢測通過迅速地檢測入侵,在可能造成系統損壞或數據丟失之前,識別并驅除入侵者,使系統迅速恢復正常工作,并且阻止入侵者進一步的行動。同時,收集有關入侵的技術資料,用于改進和增強系統抵抗入侵的能力。
入侵檢測可分為基于主機型、基于網絡型、基于型三類。從20世紀90年代至今,英語論文 已經開發出一些入侵檢測的產品,其中比較有代表性的產品有ISS(Intemet Security System)公司的Realsecure,NAI(Network Associates,Inc)公司的Cybercop和Cisco公司的NetRanger。
2.2 檢測技術
入侵檢測為網絡安全提供實時檢測及攻擊行為檢測,并采取相應的防護手段。例如,實時檢測通過記錄證據來進行跟蹤、恢復、斷開網絡連接等控制;攻擊行為檢測注重于發現信息系統中可能已經通過身份檢查的形跡可疑者,進一步加強信息系統的安全力度。入侵檢測的步驟如下:
收集系統、網絡、數據及用戶活動的狀態和行為的信息
入侵檢測一般采用分布式結構,在計算機網絡系統中的若干不同關鍵點(不同網段和不同主機)收集信息,一方面擴大檢測范圍,另一方面通過多個采集點的信息的比較來判斷是否存在可疑現象或發生入侵行為。
入侵檢測所利用的信息一般來自以下4個方面:系統和網絡日志文件、目錄和文件中的不期望的改變、程序執行中的不期望行為、物理形式的入侵信息。
(2)根據收集到的信息進行分析
常用的分析方法有模式匹配、統計分析、完整性分析。模式匹配是將收集到的信息與已知的網絡入侵和系統誤用模式數據庫進行比較,從而發現違背安全策略的行為。
統計分析方法首先給系統對象(如用戶、文件、目錄和設備等)創建一個統計描述,統計正常使用時的一些測量屬性。測量屬性的平均值將被用來與網絡、系統的行為進行比較。當觀察值超出正常值范圍時,就有可能發生入侵行為。該方法的難點是閾值的選擇,閾值太小可能產生錯誤的入侵報告,閾值太大可能漏報一些入侵事件。
完整性分析主要關注某個文件或對象是否被更改,包括文件和目錄的內容及屬性。該方法能有效地防范特洛伊木馬的攻擊。
3 分類及存在的問題
入侵檢測通過對入侵和攻擊行為的檢測,查出系統的入侵者或合法用戶對系統資源的濫用和誤用。工作總結 根據不同的檢測方法,將入侵檢測分為異常入侵檢測(Anomaly Detection)和誤用人侵檢測(Misuse Detection)。
3.1 異常檢測
又稱為基于行為的檢測。其基本前提是:假定所有的入侵行為都是異常的。首先建立系統或用戶的“正常”行為特征輪廓,通過比較當前的系統或用戶的行為是否偏離正常的行為特征輪廓來判斷是否發生了入侵。此方法不依賴于是否表現出具體行為來進行檢測,是一種間接的方法。
常用的具體方法有:統計異常檢測方法、基于特征選擇異常檢測方法、基于貝葉斯推理異常檢測方法、基于貝葉斯網絡異常檢測方法、基于模式預測異常檢測方法、基于神經網絡異常檢測方法、基于機器學習異常檢測方法、基于數據采掘異常檢測方法等。
采用異常檢測的關鍵問題有如下兩個方面:
(1)特征量的選擇
在建立系統或用戶的行為特征輪廓的正常模型時,選取的特征量既要能準確地體現系統或用戶的行為特征,又能使模型最優化,即以最少的特征量就能涵蓋系統或用戶的行為特征。(2)參考閾值的選定
由于異常檢測是以正常的特征輪廓作為比較的參考基準,因此,參考閾值的選定是非常關鍵的。
閾值設定得過大,那漏警率會很高;閾值設定的過小,則虛警率就會提高。合適的參考閾值的選定是決定這一檢測方法準確率的至關重要的因素。
篇(7)
在網絡技術日新月異的今天,基于網絡的計算機應用已經成為發展的主流。政府、教育、商業、金融等機構紛紛聯入Internet,全社會信息共享已逐步成為現實。然而,近年來,網上黑客的攻擊活動正以每年10倍的速度增長。因此,保證計算機系統、網絡系統以及整個信息基礎設施的安全已經成為刻不容緩的重要課題。
1 防火墻
目前防范網絡攻擊最常用的方法是構建防火墻。
防火墻作為一種邊界安全的手段,在網絡安全保護中起著重要作用。其主要功能是控制對網絡的非法訪問,通過監視、限制、更改通過網絡的數據流,一方面盡可能屏蔽內部網的拓撲結構,另一方面對內屏蔽外部危險站點,以防范外對內的非法訪問。然而,防火墻存在明顯的局限性。
(1)入侵者可以找到防火墻背后可能敞開的后門。如同深宅大院的高大院墻不能擋住老鼠的偷襲一樣,防火墻有時無法阻止入侵者的攻擊。
(2)防火墻不能阻止來自內部的襲擊。調查發現,50%的攻擊都將來自于網絡內部。
(3)由于性能的限制,防火墻通常不能提供實時的入侵檢測能力。畢業論文 而這一點,對于層出不窮的網絡攻擊技術來說是至關重要的。
因此,在Internet入口處部署防火墻系統是不能確保安全的。單純的防火墻策略已經無法滿足對安全高度敏感部門的需要,網絡的防衛必須采用一種縱深的、多樣化的手段。
由于傳統防火墻存在缺陷,引發了入侵檢測IDS(Intrusion Detection System)的研究和開發。入侵檢測是防火墻之后的第二道安全閘門,是對防火墻的合理補充,在不影響網絡性能的情況下,通過對網絡的監測,幫助系統對付網絡攻擊,擴展系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應),提高信息安全基礎結構的完整性,提供對內部攻擊、外部攻擊和誤操作的實時保護。現在,入侵檢測已經成為網絡安全中一個重要的研究方向,在各種不同的網絡環境中發揮重要作用。
2 入侵檢測
2.1 入侵檢測
入侵檢測是通過從計算機網絡系統中的若干關鍵點收集信息并對其進行分析,從中發現違反安全策略的行為和遭到攻擊的跡象,并做出自動的響應。其主要功能是對用戶和系統行為的監測與分析、系統配置和漏洞的審計檢查、重要系統和數據文件的完整性評估、已知的攻擊行為模式的識別、異常行為模式的統計分析、操作系統的審計跟蹤管理及違反安全策略的用戶行為的識別。入侵檢測通過迅速地檢測入侵,在可能造成系統損壞或數據丟失之前,識別并驅除入侵者,使系統迅速恢復正常工作,并且阻止入侵者進一步的行動。同時,收集有關入侵的技術資料,用于改進和增強系統抵抗入侵的能力。
入侵檢測可分為基于主機型、基于網絡型、基于型三類。從20世紀90年代至今,英語論文 已經開發出一些入侵檢測的產品,其中比較有代表性的產品有ISS(Intemet Security System)公司的Realsecure,NAI(Network Associates,Inc)公司的Cybercop和Cisco公司的NetRanger。
2.2 檢測技術
入侵檢測為網絡安全提供實時檢測及攻擊行為檢測,并采取相應的防護手段。例如,實時檢測通過記錄證據來進行跟蹤、恢復、斷開網絡連接等控制;攻擊行為檢測注重于發現信息系統中可能已經通過身份檢查的形跡可疑者,進一步加強信息系統的安全力度。入侵檢測的步驟如下:
收集系統、網絡、數據及用戶活動的狀態和行為的信息
入侵檢測一般采用分布式結構,在計算機網絡系統中的若干不同關鍵點(不同網段和不同主機)收集信息,一方面擴大檢測范圍,另一方面通過多個采集點的信息的比較來判斷是否存在可疑現象或發生入侵行為。
入侵檢測所利用的信息一般來自以下4個方面:系統和網絡日志文件、目錄和文件中的不期望的改變、程序執行中的不期望行為、物理形式的入侵信息。
(2)根據收集到的信息進行分析
常用的分析方法有模式匹配、統計分析、完整性分析。模式匹配是將收集到的信息與已知的網絡入侵和系統誤用模式數據庫進行比較,從而發現違背安全策略的行為。
統計分析方法首先給系統對象(如用戶、文件、目錄和設備等)創建一個統計描述,統計正常使用時的一些測量屬性。測量屬性的平均值將被用來與網絡、系統的行為進行比較。當觀察值超出正常值范圍時,就有可能發生入侵行為。該方法的難點是閾值的選擇,閾值太小可能產生錯誤的入侵報告,閾值太大可能漏報一些入侵事件。
完整性分析主要關注某個文件或對象是否被更改,包括文件和目錄的內容及屬性。該方法能有效地防范特洛伊木馬的攻擊。
3 分類及存在的問題
入侵檢測通過對入侵和攻擊行為的檢測,查出系統的入侵者或合法用戶對系統資源的濫用和誤用。工作總結 根據不同的檢測方法,將入侵檢測分為異常入侵檢測(Anomaly Detection)和誤用人侵檢測(Misuse Detection)。
3.1 異常檢測
又稱為基于行為的檢測。其基本前提是:假定所有的入侵行為都是異常的。首先建立系統或用戶的“正常”行為特征輪廓,通過比較當前的系統或用戶的行為是否偏離正常的行為特征輪廓來判斷是否發生了入侵。此方法不依賴于是否表現出具體行為來進行檢測,是一種間接的方法。
常用的具體方法有:統計異常檢測方法、基于特征選擇異常檢測方法、基于貝葉斯推理異常檢測方法、基于貝葉斯網絡異常檢測方法、基于模式預測異常檢測方法、基于神經網絡異常檢測方法、基于機器學習異常檢測方法、基于數據采掘異常檢測方法等。
采用異常檢測的關鍵問題有如下兩個方面:
(1)特征量的選擇
在建立系統或用戶的行為特征輪廓的正常模型時,選取的特征量既要能準確地體現系統或用戶的行為特征,又能使模型最優化,即以最少的特征量就能涵蓋系統或用戶的行為特征。
(2)參考閾值的選定
由于異常檢測是以正常的特征輪廓作為比較的參考基準,因此,參考閾值的選定是非常關鍵的。
閾值設定得過大,那漏警率會很高;閾值設定的過小,則虛警率就會提高。合適的參考閾值的選定是決定這一檢測方法準確率的至關重要的因素。
由此可見,異常檢測技術難點是“正常”行為特征輪廓的確定、特征量的選取、特征輪廓的更新。由于這幾個因素的制約,異常檢測的虛警率很高,但對于未知的入侵行為的檢測非常有效。此外,由于需要實時地建立和更新系統或用戶的特征輪廓,這樣所需的計算量很大,對系統的處理性能要求很高。
3.2 誤用檢測
又稱為基于知識的檢測。其基本前提是:假定所有可能的入侵行為都能被識別和表示。首先,留學生論文 對已知的攻擊方法進行攻擊簽名(攻擊簽名是指用一種特定的方式來表示已知的攻擊模式)表示,然后根據已經定義好的攻擊簽名,通過判斷這些攻擊簽名是否出現來判斷入侵行為的發生與否。這種方法是依據是否出現攻擊簽名來判斷入侵行為,是一種直接的方法。
常用的具體方法有:基于條件概率誤用入侵檢測方法、基于專家系統誤用入侵檢測方法、基于狀態遷移分析誤用入侵檢測方法、基于鍵盤監控誤用入侵檢測方法、基于模型誤用入侵檢測方法。誤用檢測的關鍵問題是攻擊簽名的正確表示。
誤用檢測是根據攻擊簽名來判斷入侵的,根據對已知的攻擊方法的了解,用特定的模式語言來表示這種攻擊,使得攻擊簽名能夠準確地表示入侵行為及其所有可能的變種,同時又不會把非入侵行為包含進來。由于多數入侵行為是利用系統的漏洞和應用程序的缺陷,因此,通過分析攻擊過程的特征、條件、排列以及事件間的關系,就可具體描述入侵行為的跡象。這些跡象不僅對分析已經發生的入侵行為有幫助,而且對即將發生的入侵也有預警作用。
誤用檢測將收集到的信息與已知的攻擊簽名模式庫進行比較,從中發現違背安全策略的行為。由于只需要收集相關的數據,這樣系統的負擔明顯減少。該方法類似于病毒檢測系統,其檢測的準確率和效率都比較高。但是它也存在一些缺點。
3.2.1 不能檢測未知的入侵行為
由于其檢測機理是對已知的入侵方法進行模式提取,對于未知的入侵方法就不能進行有效的檢測。也就是說漏警率比較高。
3.2.2 與系統的相關性很強
對于不同實現機制的操作系統,由于攻擊的方法不盡相同,很難定義出統一的模式庫。另外,誤用檢測技術也難以檢測出內部人員的入侵行為。
目前,由于誤用檢測技術比較成熟,多數的商業產品都主要是基于誤用檢測模型的。不過,為了增強檢測功能,不少產品也加入了異常檢測的方法。
4 入侵檢測的發展方向
隨著信息系統對一個國家的社會生產與國民經濟的影響越來越大,再加上網絡攻擊者的攻擊工具與手法日趨復雜化,信息戰已逐步被各個國家重視。近年來,入侵檢測有如下幾個主要發展方向:
4.1 分布式入侵檢測與通用入侵檢測架構
傳統的IDS一般局限于單一的主機或網絡架構,對異構系統及大規模的網絡的監測明顯不足,再加上不同的IDS系統之間不能很好地協同工作。為解決這一問題,需要采用分布式入侵檢測技術與通用入侵檢測架構。
4.2應用層入侵檢測
許多入侵的語義只有在應用層才能理解,然而目前的IDS僅能檢測到諸如Web之類的通用協議,而不能處理Lotus Notes、數據庫系統等其他的應用系統。許多基于客戶/服務器結構、中間件技術及對象技術的大型應用,也需要應用層的入侵檢測保護。
4.3 智能的入侵檢測
入侵方法越來越多樣化與綜合化,盡管已經有智能體、神經網絡與遺傳算法在入侵檢測領域應用研究,但是,這只是一些嘗試性的研究工作,需要對智能化的IDS加以進一步的研究,以解決其自學習與自適應能力。
4.4 入侵檢測的評測方法
用戶需對眾多的IDS系統進行評價,評價指標包括IDS檢測范圍、系統資源占用、IDS自身的可靠性,從而設計出通用的入侵檢測測試與評估方法與平臺,實現對多種IDS的檢測。
4.5 全面的安全防御方案
結合安全工程風險管理的思想與方法來處理網絡安全問題,將網絡安全作為一個整體工程來處理。從管理、網絡結構、加密通道、防火墻、病毒防護、入侵檢測多方位全面對所關注的網絡作全面的評估,然后提出可行的全面解決方案。
綜上所述,入侵檢測作為一種積極主動的安全防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護,使網絡系統在受到危害之前即攔截和響應入侵行為,為網絡安全增加一道屏障。隨著入侵檢測的研究與開發,并在實際應用中與其它網絡管理軟件相結合,使網絡安全可以從立體縱深、多層次防御的角度出發,形成人侵檢測、網絡管理、網絡監控三位一體化,從而更加有效地保護網絡的安全。
參考文獻
l 吳新民.兩種典型的入侵檢測方法研究.計算機工程與應用,2002;38(10):181—183
2 羅妍,李仲麟,陳憲.入侵檢測系統模型的比較.計算機應用,2001;21(6):29~31
3 李渙洲.網絡安全與入侵檢測技術.四川師范大學學報.2001;24(3):426—428
篇(8)
中圖分類號:TN915.08 文獻標識碼:A文章編號:1007-9599 (2010) 04-0000-02
Application of Intrusion&Deceit Technique in Network Security
Chen Yongxiang Li Junya
(Jiyuan Vocational&Technical College,Jiyuan454650,Chian)
Abstract:At present,Intrusion Deception technology is the development of network security in recent years, an important branch, the paper generated from the intrusion deception techniques to start a brief description of its development, while popular Honeypot conducted in-depth research, mainly related to the classification of Honeypot, Honeypot advantages and disadvantages, Honeypot design principles and methods, the final will be a simple Honeypot application to specific network.
Key words:Intrusion and deceit technology;Honeypot;Network Security
近年來計算機網絡發展異常迅猛,各行各業對網絡的依賴已越發嚴重。這一方面提高了信息的高速流動,但另一方面卻帶來了極大的隱患。由于網絡的開放性、計算機系統設計的非安全性導致網絡受到大量的攻擊。如何提高網絡的自我防護能力是目前研究的一個熱點。論文通過引入入侵誘騙技術,設計了一個高效的網絡防護系統。
一、入侵誘騙技術簡介
通過多年的研究表明,網絡安全存在的最大問題就是目前采用的被動防護方式,該方式只能被動的應對攻擊,缺乏主動防護的功能。為應對這一問題,就提出了入侵誘騙技術。該技術是對被動防護的擴展,通過積極的進行入侵檢測,并實時的將可疑目標引向自身,導致攻擊失效,從而有效的保護目標。
上個世紀80年代末期由stoll首先提出該思想,到上世紀90年代初期由Bill Cheswish進一步豐富了該思想。他通過在空閑的端口上設置一些用于吸引入侵者的偽造服務來獲取入侵者的信息,從而研究入侵者的規律。到1996年Fred Cohen 提出將防火墻技術應用于入侵誘騙技術中,實現消除入侵資源。為進一步吸引入侵目標,在研究中提出了引誘其攻擊自身的特殊目標“Honeypot”。研究者通過對Honeypot中目標的觀察,可清晰的了解入侵的方法以及自身系統的漏洞,從而提升系統的安全防護水平。
二、Honeypot的研究
在這個入侵誘騙技術中,Honeypot的設計是關鍵。按交互級別,可對Honeypot進行分類:低交互度Honeypot、中交互度Honeypot和高交互度Honeypot。低交互度Honeypot由于簡單的設計和基本的功能,低交互度的honeypot通常是最容易安裝、部署和維護的。在該系統中,由于沒有真正的操作系統可供攻擊者遠程登錄,操作系統所帶來的復雜性被削弱了,所以它所帶來的風險是最小的。但也讓我們無法觀察一個攻擊者與系統交互信息的整個過程。它主要用于檢測。通過中交互度Honeypot可以獲得更多有用的信息,同時能做出響應,是仍然沒有為攻擊者提供一個可使用的操作系統。部署和維護中交互度的Honeypot是一個更為復雜的過程。高交互度Honeypot的主要特點是提供了一個真實的操作系統。該系統能夠收集更多的信息、吸引更多的入侵行為。
當然Honeypot也存在著一些缺點:需要較多的時間和精力投入。Honeypot技術只能對針對其攻擊行為進行監視和分析,其視野較為有限,不像入俊檢側系統能夠通過旁路偵聽等技術對整個網絡進行監控。Honeypot技術不能直接防護有漏洞的信息系統。部署Honeypot會帶來一定的安全風險。
構建一個有用的Honeypot是一個十分復雜的過程,主要涉及到Honeypot的偽裝、采集信息、風險控制、數據分析。其中,Honeypot的偽裝就是將一個Honeypot通過一定的措施構造成一個十分逼真的環境,以吸引入侵者。但Honeypot偽裝的難度是既不能暴露太多的信息又不能讓入侵者產生懷疑。最初采用的是偽造服務,目前主要采用通過修改的真實系統來充當。Honeypot的主要功能之一就是獲取入侵者的信息,通常是采用網絡sniffer或IDS來記錄網絡包從而達到記錄信息的目的。雖然Honeypot可以獲取入侵者的信息,并能有效的防護目標,但Honeypot也給系統帶來了隱患,如何控制這些潛在的風險十分關鍵。Honeypot的最后一個過程就是對采用數據的分析。通過分析就能獲得需要的相關入侵者規律的信息。
對于設計Honeypot,主要有三個步驟:首先,必須確定自己Honeypot的目標。因為Honeypot并不能完全代替傳統的網絡安全機制,它只是網絡安全的補充,所以必須根據自己的目標定位Honeypot。通常Honeypot可定位于阻止入侵、檢測入侵等多個方面。其次,必須確定自己Honeypot的設計原則。在這里不僅要確定Honeypot的級別還有確定平臺的選擇。目前,對用于研究目的的Honeypot一般采用高交互Honeypot,其目的就是能夠更加廣泛的收集入侵者的信息,獲取需要的資料。在平臺的選擇上,目前我們選擇的范圍很有限,一般采用Linux系統。其原因主要是Linux的開源、廣泛應用和卓越的性能。最后,就是對選定環境的安裝和配置。
三、Honeypot在網絡中的應用
為更清晰的研究Honeypot,將Honeypot應用于具體的網絡中。在我們的研究中,選擇了一個小規模的網絡來實現。當設計完整個網絡結構后,我們在網絡出口部分配置了設計的Honeypot。在硬件方面增加了安裝了snort的入侵檢測系統、安裝了Sebek的數據捕獲端。并且都構建在Vmware上實現虛擬Honeypot。在實現中,主要安裝并配置了Honeyd、snort和sebek.其Honeypot的結構圖,見圖1。
圖1 Honeypot結構圖
四、小結
論文從入侵誘騙技術入手系統的分析了該技術的發展歷程,然后對入侵誘騙技術中的Honeypot進行了深入的研究,主要涉及到Honeypot的分類、設計原則、設計方法,最后,將一個簡易的Honeypot應用于具體的網絡環境中,并通過嚴格的測試,表明該系統是有效的。
參考文獻
[1]蔡芝蔚.基于Honeypot的入侵誘騙系統研究[M].網絡通訊與安全,1244~1245
[2]楊奕.基于入侵誘騙技術的網絡安全研究與實現.[J].計算機應用學報,2004.3:230~232.
[3]周光宇,王果平.基于入侵誘騙技術的網絡安全系統的研究[J].微計算機信息,2007.9
[4]夏磊,蔣建中,高志昊.入侵誘騙、入侵檢測、入侵響應三位一體的網絡安全新機制
[5]Bill Cheswick. An Evening with Berferd In Which a Cracker is Lured,Endured,and Studied.Proceedings of the Winter 1992 Usenix conference,1992
篇(9)
論文摘要:隨著計算機與網絡技術的不斷發展,網絡安全也日益受到人們越來越多的關注。防范網絡入侵、加強網絡安全防范的技術也多種多樣,其中入侵檢測技術以其低成本、低風險以及高靈活性得到了廣泛的應用,并且有著廣闊的發展前景。本文就入侵檢測技術在計算機網絡安全維護過程中的有效應用提出探討。
一、入侵檢測系統的分類
入侵檢測系統可以分為入侵檢測、入侵防御兩大類。其中入侵檢測系統是根據特定的安全策略,實時監控網絡及系統的運行狀態,盡量在非法入侵程序發起攻擊前發現其攻擊企圖,從而提高網絡系統資源的完整性和保密性。而隨著網絡攻擊技術的日益提高,網絡系統中的安全漏洞不斷被發現,傳統的入侵檢測技術及防火墻技術對這些多變的安全問題無法全面應對,于是入侵防御系統應運而生,它可以對流經的數據流量做深度感知與檢測,丟棄惡意報文,阻斷其攻擊,限制濫用報文,保護帶寬資源。入侵檢測系統與入侵防御系統的區別在于:入侵檢測只具備單純的報警作用,而對于網絡入侵無法做出防御;而入侵防御系統則位于網絡與防火墻的硬件設備中間,當其檢測到惡意攻擊時,會在這種攻擊開始擴散前將其阻止在外。并且二者檢測攻擊的方法也不同,入侵防御系統對入網的數據包進行檢查,在確定該數據包的真正用途的前提下,再對其是否可以進入網絡進行判斷。
二、入侵檢測技術在維護計算機網絡安全中的應用
(一)基于網絡的入侵檢測
基于網絡的入侵檢測形式有基于硬件的,也有基于軟件的,不過二者的工作流程是相同的。它們將網絡接口的模式設置為混雜模式,以便于對全部流經該網段的數據進行時實監控,將其做出分析,再和數據庫中預定義的具備攻擊特征做出比較,從而將有害的攻擊數據包識別出來,做出響應,并記錄日志。
1.入侵檢測的體系結構
網絡入侵檢測的體系結構通常由三部分組成,分別為Agent、Console以及Manager。其中Agent的作用是對網段內的數據包進行監視,找出攻擊信息并把相關的數據發送至管理器;Console的主要作用是負責收集處的信息,顯示出所受攻擊的信息,把找出的攻擊信息及相關數據發送至管理器;Manager的主要作用則是響應配置攻擊警告信息,控制臺所的命令也由Manager來執行,再把所發出的攻擊警告發送至控制臺。
2.入侵檢測的工作模式
基于網絡的入侵檢測,要在每個網段中部署多個入侵檢測,按照網絡結構的不同,其的連接形式也各不相同。如果網段的連接方式為總線式的集線器,則把與集線器中的某個端口相連接即可;如果為交換式以太網交換機,因為交換機無法共享媒價,因此只采用一個對整個子網進行監聽的辦法是無法實現的。因此可以利用交換機核心芯片中用于調試的端口中,將入侵檢測系統與該端口相連接。或者把它放在數據流的關鍵出入口,于是就可以獲取幾乎全部的關鍵數據。
3.攻擊響應及升級攻擊特征庫、自定義攻擊特征
如果入侵檢測系統檢測出惡意攻擊信息,其響應方式有多種,例如發送電子郵件、記錄日志、通知管理員、查殺進程、切斷會話、通知管理員、啟動觸發器開始執行預設命令、取消用戶的賬號以及創建一個報告等等。升級攻擊特征庫可以把攻擊特征庫文件通過手動或者自動的形式由相關的站點中下載下來,再利用控制臺將其實時添加至攻擊特征庫中。而網絡管理員可以按照單位的資源狀況及其應用狀況,以入侵檢測系統特征庫為基礎來自定義攻擊特征,從而對單位的特定資源與應用進行保護。
(二)對于主機的入侵檢測
通常對主機的入侵檢測會設置在被重點檢測的主機上,從而對本主機的系統審計日志、網絡實時連接等信息做出智能化的分析與判斷。如果發展可疑情況,則入侵檢測系統就會有針對性的采用措施。基于主機的入侵檢測系統可以具體實現以下功能:對用戶的操作系統及其所做的所有行為進行全程監控;持續評估系統、應用以及數據的完整性,并進行主動的維護;創建全新的安全監控策略,實時更新;對于未經授權的行為進行檢測,并發出報警,同時也可以執行預設好的響應措施;將所有日志收集起來并加以保護,留作后用。基于主機的入侵檢測系統對于主機的保護很全面細致,但要在網路中全面部署成本太高。并且基于主機的入侵檢測系統工作時要占用被保護主機的處理資源,所以會降低被保護主機的性能。
三、入侵檢測技術存在的問題
盡管入侵檢測技術有其優越性,但是現階段它還存在著一定的不足,主要體現在以下幾個方面:
第一:局限性:由于網絡入侵檢測系統只對與其直接連接的網段通信做出檢測,而不在同一網段的網絡包則無法檢測,因此如果網絡環境為交換以太網,則其監測范圍就會表現出一定的局限性,如果安裝多臺傳感器則又增加了系統的成本。
第二:目前網絡入侵檢測系統一般采有的是特征檢測的方法,對于一些普通的攻擊來說可能比較有效,但是一些復雜的、計算量及分析時間均較大的攻擊則無法檢測。
第三:監聽某些特定的數據包時可能會產生大量的分析數據,會影響系統的性能。
第四:在處理會話過程的加密問題時,對于網絡入侵檢測技術來說相對較難,現階段通過加密通道的攻擊相對較少,但是此問題會越來越突出。
第五:入侵檢測系統自身不具備阻斷和隔離網絡攻擊的能力,不過可以與防火墻進行聯動,發現入侵行為后通過聯動協議通知防火墻,讓防火墻采取隔離手段。
四、總結
現階段的入侵檢測技術相對來說還存在著一定的缺陷,很多單位在解決網絡入侵相關的安全問題時都采用基于主機與基于網絡相結合的入侵檢測系統。當然入侵檢測技術也在不斷的發展,數據挖掘異常檢測、神經網絡異常檢測、貝葉斯推理異常檢測、專家系統濫用檢測、狀態轉換分析濫用檢測等入侵檢測技術也越來越成熟。總之、用戶要提高計算機網絡系統的安全性,不僅僅要靠技術支持,還要依靠自身良好的維護與管理。
參考文獻:
篇(10)
目前,開放式網絡環境使人們充分享受著數字化,信息化給人們日常的工作生活學習帶來的巨大便利,也因此對計算機網絡越來越強的依賴性,與此同時,各種針對網絡的攻擊與破壞日益增多,成為制約網絡技術發展的一大障礙。傳統的安全技術并不能對系統是否真的沒有被入侵有任何保證。入侵檢測系統已經成為信息網絡安全其必不可少的一道防線。
人體內有一個免疫系統,它是人體抵御病原菌侵犯最重要的保衛系統,主要手段是依靠自身的防御體系和免疫能力。一些學者試圖學習和模仿生物機體的這種能力,將其移植到計算機網絡安全方面。相關研究很多都基于生物免疫系統的體系結構和免疫機制[5]。基于免疫理論的研究已逐漸成為目前人們研究的一個重要方向,其研究成果將會為計算機網絡安全提供一條新的途徑。
一、入侵檢測簡介
入侵即入侵者利用主機或網絡中程序的漏洞,對特權程序進行非法或異常的調用,使外網攻擊者侵入內網獲取內網的資源。入侵檢測即是檢測各種非法的入侵行為。入侵檢測提供了對網絡的實時保護,在系統受到危害時提前有所作為。入侵檢測嚴密監視系統的各種不安全的活動,識別用戶不安全的行為。入侵檢測應付各種網絡攻擊,提高了用戶的安全性。入侵檢測[4]技術就是為保證網路系統的安全而設計的一種可以檢測系統中異常的、不安全的行為的技術。
二、基于免疫機理的入侵檢測系統
(一)入侵檢測系統和自然免疫系統用四元函數組來定義一個自然免疫系統∑nis[5],∑nis=(xnis,ωnis,ynis,gnis)xnis是輸入,它為各種類型的抗原,令z表示所有抗原,抗原包括自身蛋白集合和病原體集合這兩個互斥的集合,即,用w表示自身蛋白集合,nw表示病原體集合,有s∪nw=z,w=ynis是輸出,只考慮免疫系統對病原體的識別而不計免疫效應,ynis取0或1,分別表示自然免疫系統判別輸入時的自身或非自身。
gnis是一個自然免疫系統輸入輸出之間的非線性關系函數,則有ynis=gnis(xnis)=ωnis為自然免疫系統的內部組成。而根據系統的定義,入侵檢測系統可以表示為∑ids=(xids,ωids,yids,gids)
式中,xids是入侵檢測系統的輸入。令m表示是整個論域,整個論域也可以劃分成為兩個互斥的集合即入侵集合,表示為i和正常集合表示﹁i,有i∪﹁i=m,i∩﹁i=輸入xids,輸出yids,此時入侵檢測系統具有報警s和不報警﹁a兩種狀態,報警用1表示,不報警用0表示。
gids表示輸入與輸出之間的非線性函數關系,則有yids=gids(xids)=ωids是自然免疫系統的內部組成。不同種類的檢測系統具有不同的ωids,產生不同的ωids,從而將輸入向量映射到輸出。
(二)基于自然免疫機理的入侵檢測系統的設計
自然免疫系統是一個識別病原菌的系統,與網絡入侵檢測系統有很多類似之處,因此自然免疫系統得到一個設計網絡入侵檢測系統的啟發,我們先來研究自然入侵檢測系統的動態防護性、檢測性能、自適應性以及系統健壯性這四個特性[5]。
1.動態防護性。
自然免疫系統可以用比較少的資源完成相對復雜的檢測任務。人體約有1016種病原體需要識別,自然免疫系統采用動態防護,任一時刻,淋巴檢測器只能檢測到病原體的一個子集,但淋巴檢測器每天都會及時更新,所以每天檢測的病原體是不同的,淋巴細胞的及時更新,來應對當前的待檢病原體。
2.檢測性能。
自然免疫系統具有非常強的低預警率和高檢測率。之所以具有這樣好的檢測性能,是因為自然免疫系統具有多樣性、多層次、異常檢測能力、獨特性等多種特性。
3.自適應性。
自然免疫系統具有良好的自適應性,檢測器一般情況下能夠檢測到頻率比較高的攻擊規則,很少或基本根本沒有檢測到入侵的規則,將會被移出常用檢測規則庫,這樣就會使得規則庫中的規則一直可以檢測到經常遇到的攻擊。基于免疫機理的入侵檢測系統采用異常檢測方法檢測攻擊,對通過異常檢測到的攻擊提取異常特征形成新的檢測規則,當這些入侵再次出現時直接通過規則匹配直接就可以檢測到。
4.健壯性。
自然免疫系統采用了高度分布式的結構,基于免疫機理研究出的入侵檢測系統也包含多個子系統和大量遍布整個系統的檢測,每個子系統或檢測僅能檢測某一個或幾類入侵,而多個子系統或大量檢測器的集合就能檢測到大多數入侵,少量幾個的失效,不會影響整個系統的檢測能力[4]。
(三)基于免疫機理的入侵檢測系統體系架構
根據上述所討論的思想,現在我們提出基于免疫機理的入侵檢測系統aiids[1],包括如下四個組成部分:
1.主機入侵檢測子系統。
其入侵信息來源于被監控主機的日志。它由多個組成,主要監控計算機網絡系統的完整保密以及可用性等方面。
2.網絡入侵子系統。
其入侵信息來源于局域網的通信數據包。該數據包一般位于網絡節點處,網絡入侵子系統首先對數據包的ip和tcp包頭進行解析,然后收集數據組件、解析包頭和提取組件特征、生成抗體和組件的檢測、協同和報告、優化規則、掃描攻擊以及檢測機遇協議漏洞的攻擊和拒絕服務攻擊等。
3.網絡節點入侵子系統。
其入侵信息來源于網絡的通信數據包,網絡節點入侵子系統監控網絡節點的數據包,對數據包進行解碼和分析。他包括多個應用層,用來檢測應用層的各種攻擊。
4.控制臺。
篇(11)
1 引言
入侵檢測是一種網絡安全防御技術,其可以部署于網絡防火墻、訪問控制列表等軟件中,可以檢測流入到系統中的數據流,并且識別數據流中的網絡包內容,判別數據流是否屬于木馬和病毒等不正常數據。目前,網絡安全入侵檢測技術已經誕生了多種,比如狀態檢測技術和深度包過濾技術,有效提高了網絡安全識別、處理等防御能力。
2 “互聯網+”時代網絡安全管理現狀
目前,我國已經進入到了“互聯網+”時代,互聯網已經應用到了金融、民生、工業等多個領域。互聯網的繁榮為人們帶來了許多的便利,同時互聯網安全事故也頻頻出現,網絡病毒、木馬和黑客攻擊技術也大幅度改進,并且呈現出攻擊渠道多樣化、威脅智能化、范圍廣泛化等特點。
2.1 攻擊渠道多樣化
目前,網絡設備、應用接入渠道較多,按照內外網劃分為內網接入、外網接入;按照有線、無線可以劃分為有線接入、無線接入;按照接入設備可以劃分為PC接入、移動智能終端接入等多種類別,接入渠道較多,也為攻擊威脅提供了較多的入侵渠道。
2.2 威脅智能化
攻擊威脅程序設計技術的提升,使得病毒、木馬隱藏的周期更長,行為更加隱蔽,傳統的網絡木馬、病毒防御工具無法查殺。
2.3 破壞范圍更廣
隨著網絡及承載的應用軟件集成化增強,不同類型的系統管理平臺都通過SOA架構、ESB技術接入到網絡集群平臺上,一旦某個系統受到攻擊,病毒可以在很短的時間內傳播到其他子系統,破壞范圍更廣。
3 “互聯網+”時代網絡安全入侵檢測功能設計
入侵檢測業務流程包括三個階段,分別是采集網絡數據、分析數據內容和啟動防御措施,能夠實時預估網絡安全防御狀況,保證網絡安全運行,如圖1所示。
網絡安全入侵檢測過程中,為了提高入侵檢測準確度,引入遺傳算法和BP神經網絡,結合這兩種數據挖掘算法的優勢,設計了一個遺傳神經網絡算法,業務流程如下:
(1)采集網絡數據,獲取數據源。
(2)利用遺傳神經網絡識別數據內容,對數據進行建模,將獲取的網絡數據包轉換為神經網絡能夠識別的數學向量。
(3)使用已知的、理想狀態的數據對遺傳神經網絡進行訓練。
(4)使用訓練好的遺傳神經網絡對網絡數據進行檢測。
(5)保存遺傳神經網絡檢測的結果。
(6)網絡安全響應。
遺傳神經網絡在入侵檢測過程中包括兩個階段,分別是訓練學習階段和檢測分析階段。
(1)訓練學習階段。遺傳神經網絡訓練學習可以生成一個功能完善的、識別準確的入侵檢測模型,系統訓練學習流程如下:給定樣本庫和期望輸出參數,將兩者作為遺傳神經網絡輸入參數,學習樣本中包含非常典型的具有攻擊行為特征的樣本數據和正常數據,通過訓練學習得到的遺傳神經網絡可以與輸入的期望結果進行比較和分析,直到期望輸出的誤差可以達到人們的期望值。
(2)檢測分析階段。遺傳神經網絡訓練結束之后,使用權值的形式將其保存起來,將其應用到實際網絡入侵檢測系統,能夠識別正常行為或異常行為。
4 結束語
互聯網的快速發展和普及為人們的工作、生活和學習帶來便利,但同時也潛在著許多威脅,采用先進的網絡安全防御技術,以便提升網絡的安全運行能力。入侵檢測是網絡安全主動防御的一個關鍵技術,入侵檢測利用遺傳算法和BP神經網絡算法優勢,可以準確地構建一個入侵檢測模型,準確地檢測出病毒、木馬數據,啟動病毒木馬查殺軟件,清除網絡中的威脅,保證網絡正常運行。
參考文獻
[1]徐振華.基于BP神經網絡的分布式入侵檢測模型改進算法研究[J].網絡安全技術與應用,2016,24(2):111-112.
[2]劉成.試論入侵檢測技術在網絡安全中的應用與研究[J].網絡安全技術與應用,2016,24(2):74-75.
[3]周立軍,張杰,呂海燕.基于數據挖掘技術的網絡入侵檢測技術研究[J].現代電子技術,2016,18(6):121-122.
