入侵检测技术范文
时间:2023-03-23 21:26:40
导语:如何才能写好一篇入侵检测技术,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2012) 01-0000-02
Intrusion Detection Technology Study
Gu Xiaoning
(Jining Teachers College Computer Science Department,Wulanchabu012000,China)
Abstract:With the application of the computer net-work increasing, the problem about net-work security is more and more serious day by day. The concept of the incursion detecting system was introduced in this thesis,and simply analyzed incursion detecting technology while the mostly used detecting technology nowadays was discussed.In the last,the development trend and main research direct of the technology was viewed.
Keywords:Network security;Intrusion detection;Detection technology;
Intrusion detection system
一、引言
伴随着计算机网络技术和互联网的飞速发展,各种网络攻击和入侵事件时有发生,所造成的破坏性和损失日益严重。网络安全威胁愈加被人们所重视。
传统的信息安全方法都是静态的安全防御技术,面对现今复杂多变的入侵手段难以应付。而入侵检测是一种动态安全的核心技术,它通过对入侵行为的发觉,收集信息进行分析,并做出实时的响应,从中发现是否有违反安全策略的行为和被攻击击的迹象,在不影响网络性能的情况下对网络进行监测,提供对系统的实时保护[1]。
二、入侵检测系统
入侵检测系统是传统操作系统加固和防火墙隔离技术的合理补充,它的功能是监控并分析系统及用户活动,检查系统的配置和漏洞,发现已知的攻击行为以及分析异常行为,对系统日志进行管理并识别非正常活动,对发现的入侵行为进行告警和响应等。它能够保护网络安全策略,可以提高系统管理员的安全管理能力和信息安全基础结构的完整性。理想的入侵检测系统应该管理方便、配置简单,扩展性强、保护范围广。应该具备动态自适应性,应能够根据网络的规模、系统的构造和安全需求的改变而改变。
(一)入侵检测系统的工作模式
入侵检测的工作过程一般分四个方面:
(1)对信息进行采集。(2)分析该信息,试图寻找入侵活动的特征。(3)对检测到的行为自动作出响应。(4)记录并处理结果。
(二)入侵检测系统的分类[2]
1.根据目标系统的类型来看,可以分为两类
(1)基于主机(Host-Based)的入侵检测系统。通常,基于主机的入侵检测系统可监测系统事件和操作系统下的安全记录以及系统记录。它通过监视并分析主机系统的日志、端口调用和安全审计记录等来检测入侵,保护主机的系统安全。
(2)基于网络(Network-Based)的入侵检测系统。该类型的入侵检测系统主要作用是针对保护网络。该系统由混杂模式下的网络适配器组成,用来识别网络中的原始数据包,实时监视并分析通过网络的所有通信业务。
2.根据入侵检测系统分析的数据来源
入侵检测系统分析的数据可以是主机系统日志、网络数据包、应用程序的日志、防火墙报警日志以其他入侵检测系统的报警信息等
3.根据入侵检测方法可以分为两类
(1)异常入侵检测检测。该类型的系统基于正常状态数据特征判断主体系统是否入侵。
(2)误用入侵检测。该检测系统收集非正常数据特征通过匹配来确定系统中是否有入侵和攻击。
4.根据系统各个模块运行的分布方式
(1)集中式入侵检测系统;(2)分布式入侵检测系统。
(三)入侵检测的系统的数据源
1.基于主机的数据源
(1)系统运行状态信息;(2)系统记帐信息;(3)系统日志。
2.基于网络的数据源
(1)SNMP信息;(2)网络通信包
3.应用程序日志文件
4.其他入侵检测系统的报警信息
三、入侵检测技术
入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术。它在系统内部和各种网络资源中主动采集信息,从中发现内部、外部攻击与合法用户是否滥用特权。入侵检测技术可以根据用户的历史行为或的当前操作,完成对入侵的检测,根据系统入侵的痕迹,来恢复和处理数据[1]。
(一)入侵检测的过程。入侵检测的过程分为三步:信息收集、信息分析以及告警与响应[5]。
1.信息收集。想要入侵检测就必须有信息收集,具体内容包括系统、网络、数据以及用户活动的状态和行为等。信息收集要尽可能的扩大范围,从一个信息源来的信息可能看不出什么,但是从多个信息源收集到的不同信息能够最大限度的识别可疑行为或入侵。
2.信息分析。入侵检测系统收集到的信息量非常大,而且大部分都是正常的信息。想要从庞大的信息中找出少部分的异常入侵信息,就要通过信息分析。所以说信息分析是入侵检测过程的核心环节。
3.告警与响应。入侵检测发现系统发生变更后,产生警告并采取响应措施,告诉管理员有入侵发生或者直接处理。
(二)入侵分析的模型。入侵分析是入侵检测的核心。在这里,我们把入侵分析的处理过程分为三个阶段:构建分析器、对现场数据进行分析、反馈和提炼[2]。
1.构建分析器
分析器可以执行预处理、分类和后处理的核心功能
(1)可以收集并生成事件信息;(2)分析预处理信息;(3)建立一个行为分析引擎。
2.对现场数据进行分析
(1)输入事件记录;(2)进行预处理;(3)比较事件记录和知识库;(4)产生响应。
3.反馈和提炼
(三)入侵检测的分析方法
1.误用检测。误用入侵检测的技术基础是分析各种类型的攻击手段,建立相关的特征库。对当前的数据源来源进行各种处理后,再进行特征匹配或者规则匹配工作,如果发现满足条件的匹配,则认为发生了一次攻击行为[4]。
2.异常检测。异常入侵检测通过观察当前活动与系统历史正常活动情况之间的差异来实现。首先建立一个关于系统正常活动的状态模型并不断进行更新,当用户活动与正常行为有重大偏离时,则指示发现了非法攻击行为[9]。
(四)告警与响应
在完成系统安全状况的分析并确定出系统问题以后,就应该让人们知道这些问题的存在,这个阶段就叫做响应期。响应又可以分为两种模式:被动响应和主动响应。
被动响应就是系统只简单的记录和报告所检测出来的问题,而主动响应则是系统主动阻断攻击防止入侵[5]。
四、入侵检测技术的发展趋势
前面介绍了入侵检测系统和入侵检测技术的基本概念和功能,并对典型入侵检测技术进行了分析。通过这些介绍和分析,可以得出结论:入侵检测技术是网络安全解决方案的一个重要组成部分。虽然入侵检测的研究已经取得了相当的进展,但是由于现阶段信息技术不断进步,入侵检测技术已不能满足需要。今后的入侵检测技术主要朝以下几个方向发展:
(一)宽带高速实时的检测技术。网络带宽迅速增长,宽带接入手段种类繁多,如何实时检测高速网络下的入侵行为成为必须解决的问题。因此对入侵检测的处理能力提出更高的要求。
(二)大规模分布式的检测技术。统一集中式入侵检测方式存在明显的缺陷。首先,对于大规模的分布式攻击会造成大量的信息处理遗漏,导致漏报率的增高。其次,由于网络传输的延时问题,收集到的数据信息不能实时的反映当前的网络状态[7]。为了解决这些问题,大部分系统采用了分布式的结构。
(三)智能化入侵检测。使用智能化的方法与手段来进行入侵检测。所谓的智能化方法,现阶段常用的有神经网络、遗传算法、模糊技术、免疫原理等方法,这些方法常用于入侵特征的辨认与泛化。从某种程度上讲,入侵检测技术一直领先与安全技术的发展,两者相互推动、互相促进。随着网络的日益普及和各种黑客工具的蔓延,入侵的复杂化趋势也越来越明显,向着分布式、隐蔽化方向发展。因此,为了适应新的发展形式,智能化入侵检测具有更广泛的应用前景。
(四)多种分析方法并存。对于入侵检测系统,分析方法是系统的核心。现在的入侵检测系统有很多入侵检测分析方法,但大部分分析方法只适应某些种类的入侵。所以在目前情况下,多种分析方法综合运用是一个值得研究的问题。
五、结论
入侵检测作为一种主动性地安全防护技术,最大的优势是提供了对内部攻击、外部攻击和误操作的实时保护,预先对入侵活动进行拦截和响应。在网络信息安全立体纵深、多重防御的发展趋势下,未来的入侵检测系统可以软硬件结合,配合其他网络管理软件,提供更加及时、准确的检测手段。
参考文献:
[[1]Rebecca Gurley Bace.入侵检测[M].北京:人民邮电出版社,2001
[2]蒋建春,冯登国.网络入侵检测原理与技术[M].北京:国防工业出版社,2002
[3]Paul E.Proctor,邓琦皓等译.入侵检测实用手册[M].北京:中国电力出版社,2002
[4]韩东海,王超,李群.入侵检测系统实例剖析[M].北京:清华大学出版社,2002
[5]戴英侠,连一峰等.系统安全与入侵检测[M].北京:清华大学出版,2002
[6]薛静锋,宁宇鹏,阎慧.IDS入侵检测技术[M].北京:机械工业出版社,2004
[7]宋劲松.网络入侵检测的分析、发现和报告攻击[M].北京:国防工业出版社,2004
篇2
入侵检测通过执行以下任务来实现:
1、监视、分析用户及系统活动;
2、系统构造和弱点的审计;
3、识别反映已知进攻的活动模式并向相关人士报警;
4、异常行为模式的统计分析;
5、评估重要系统和数据文件的完整性;
篇3
关键词:网络信息;管理;入侵检测技术
在现代之中,一些非法分子利用木马进行相应的隐藏,然后通过对于计算机植入木马,进行一些信息的窃取。现代企业在面临网络非法分子进行信息盗取过程之中,首先应该对于入侵行为有着明确的认识,这就需要现代的入侵检测技术了,对于入侵行为有着明确的判定,才能真正的展开后续行动,这对现代网络信息管理而言十分重要。
1网络信息管理中入侵检测技术概述
(1)入侵检测技术在网络信息管理之中的作用。如果说现代计算机作为系统,那么入侵检测技术就相当于保安系统,对于关键信息的储存位置进行定期检查和扫描,一旦发现外来不明用户杜宇关键信息进行查询,便对使用用户进行警告,帮助用户进行入侵行为的相关处理,保障关键的信息系统和数据信息不会收到损坏和盗窃。入侵检测技术同样会对系统之中存在的漏洞进行检查和通报,对于系统之中的漏洞而言,往往便是入侵行为发生的位置,所以针对于这些位置进行处理,更为良好的保证整个系统的安全,对于现代企业网络系统而言,入侵检测技术便是保障的第二道铁闸。
(2)现阶段入侵检测技术的主要流程。通常情况下,入侵检测技主要可以分为两个阶段。第一个阶段便是信息采集,主要便是对于用户的各种信息使用行为和重要信息进行收集,这些信息的收集主要是通过对于重点信息部位的使用信息进行查询得出的,所以说在现代应用之中,入侵检测技术一方面应用了现代的检测技术,另外一方面也对于多种信息都进行了收集行为,保证了收集信息的准确性;第二个阶段便是处理相关信息,通过将收集的信息和过往的信息进行有效对比,然后如果对比出相关错误便进行判断,判断使用行为是否违背了网络安全管理规范,如果判断结果为肯定,那么便可以认定其属于入侵行为,对于使用用户进行提醒,帮助用户对于入侵行为进行清除。
2现阶段入侵检测技术的使用现状
(1)网络信息管理中入侵检测系统的问题。入侵检测技术作为一种网络辅助软件去,其本身在现阶段并不是完善的,自身也存在漏洞。所以说很多非法分子的入侵不仅仅是面对系统的,很多先通过入侵技术的漏洞来进行。针对现阶段的使用过程而言,入侵检测技术仍然存在自身的漏洞危险,也存在主要使用风险。在现阶段存在危险的方面主要有两个方面。一方面便是由于入侵检测系统存在漏洞;另外一方面便是现代计算机技术的发展。无论是相关的检测系统亦或是相关病毒,都是现代编程人员利用C语言进行编程,伴随着相关编程水平的不断提高,两种技术同样得到了自我发展,所以说很多黑客高手在现代的入侵行为之中,已经不能以旧有的眼光来进行相关分析。所以说新的时期,入侵检测技术也应该得到自我的发展,同样针对于应用网络的相关企业做好安全保证,保证信息技术在现代之中的发展。
(2)现阶段网络信息管理之中入侵检测技术存在的问题。网络信息管理之中的入侵检测技术在现代之中仍然存在问题,同样是两个方面问题。一方面是由于入侵技术自身存在漏洞,在现阶段很多入侵检测技术是通过对于入侵行为进行有效的提取,将行为进行归纳,对于行为是否符合现代网络安全规范,然后判断结果是否为入侵。很多时候,入侵行为往往较为隐秘,所以说这就导致了相关的入侵检测技术不能对于入侵行为进行提取,更无从谈起其是否符合网络安全规范。另外一方面的问题便是检测速度明显小于入侵速度,这也是在现阶段常见的问题。随着现代网络技术的发展,网络速度已经得到了有效的自我发展,很多入侵检测过程之中,很多时候检测速度小于网络检测速度,这样的情况下,一些行为尚未进行阻拦,便已经达成入侵的目的了,进而导致了信息的丢失,所以说这方面的问题同样应该得到改善。企业在应用之中,也应该注意这种速度的问题,防止因为速度进而造成自身信息丢失等。
3网络信息管理之中入侵检测技术的具体分类
(1)异常检测,异常检测顾名思义,便是对于入侵行为进行检测,但是由于入侵的性质未定,这就导致很多时候入侵检测技术进行了无用功。现阶段往往入侵检测技术通过建立一个行为轮廓来进行限定,如果入侵行为已经超过了这个行为轮廓,便确定其为入侵行为。这种模式大大简化了行为判定的过程,但是由于过于简单的相应行为也容易出现相关漏洞。在实际工作之中,往往非入侵行为但是在行为轮廓行为之外的网络访问行为,但是在入侵检测技术之中被判断为入侵行为,造成了工作的重复。所以说在进行行为轮廓的确定时,同样应该由一些特征量来确定,减少检测工作可能出现的失误,进而可以提升检测工作的效率;另外一方面可以设置参考数值,通过参考数值的评定来进行评判,在入侵检测技术之中,参考数值非常重要。
(2)误用检测,其应用前提便是所有的入侵行为进行识别并且进行标记。在一般情况下,误用检测便是通过攻击方法来进行攻击签名,然后再通过定义已经完成的攻击签名对于入侵行为进行相关判断。很多行为都是通过漏洞来进行,所以误用检测可以准确的判断出相应入侵行为,不仅预防了入侵行为,还可以对于其他入侵行为进行警示作用。这种技术在实际使用过程之中,提升了入侵检测数的效率和准确。
4结语
在现代信息技术得到发展的今天,网络信息管理已经成为了现代企业非常重要的组成部分。针对于网络安全而言,其自身往往具有一些技术之中的漏洞,所以同样容易引发入侵行为。针对于入侵行为,现代之中有着入侵检测技术,本文对于入侵检测技术的使用进行了分析,希望为相关人员带来相关思考。
参考文献
[1]张丽.入侵检测技术在网络信息管理中的应用分析[J].中国科技博览,2014,第16期:12-12.
[2]陈莹莹.网络信息管理中入侵检测技术的研究[J].信息通信,2013,06期:99-99.
篇4
【关键词】入侵检测技术;网络安全;具体运用
网络信息技术发展日新月异,人们在享受它所带来的便利的同时,还受到它所带来的网络安全问题的威胁和危害。网络安全是基于对网络系统的软、硬件系统中的关键数据进行加密和保护。随着网络信息技术的应用范围越来越广泛,对网络攻击的种类增多,程度也越来越严重,传统的网络安全防护技术已经无法抵御这些种类与日俱增的恶意入侵和攻击,逐渐不能适应网络安全防护更高的要求。入侵检测技术是作为传统网络安全防护技术的一项补充,它扩充了系统管理员的安全审计、监视、进攻识别和响应等方面的安全管理能力,提升了信息安全基础结构的完整性,成为网络安全防护中第二道坚实的防线。以下将就入侵检测技术的概念、工作原理等做出系统的归纳,和入侵检测技术在网络安全中的具体运用进行阐述。
1入侵检测技术概述
1.1入侵检测的简介
入侵检测技术,是一种对计算机网络的程序进行入侵式的检测先进技术,它肩负着网络安全中第二道防线的任务,起到保护计算机网络安全的作用。入侵检测是通过对安全日志、行为、审计和其他可获得的信息以及系统的关键信息的收集并作出分析,以此检测出计算机网络中违反安全策略的行为和受攻击的对象的一个工作过程。它实施保护工作的过程具体可分为:监视、分析网络用户和网络系统活动;网络安全系统构造和弱点的审查评估;认定反映已知进攻活动并作出警示警告;网络系统异常行为的统计和分析4个步骤。入侵检测技术能够同时兼备实时监控内部攻击、外部攻击和错误操作的任务,把对网络系统的危害阻截在发生之前,并对网络入侵作出响应,是一种相对传统的被动静态网络安全防护技术提出的一种积极动态网络安全防护技术。
1.2工作原理
入侵检测系统相当于一部典型的窥探设备,它的工作原理是在不用跨接多个物理网段也不用转发流量的前提下,通过收集网络上静态的、被动的相关数据报文,提取出所收集的数据报文的流量统计特征的相关数据与入侵检测系统内置的入侵数据进行智能化的匹配和分析,如果出现匹配耦合度高的数据报文流量,那个它就被认定是入侵攻击,网络入侵检测系统就会根据计算机系统所设定的阀值和相应的配置激发报警并对认定的入侵攻击进行一定的反击。
2入侵检测技术网络安全中的具体运用
入侵检测技术包括了聚类算法、数据挖掘技术和智能分布技术等几个方面。入侵检测技术在网络安全中的运用,重点是这几种检测技术合理的运用,具体如下。
2.1聚类算法的运用
入侵检测技术当中的聚类算法在网络安全的运用具有可以在脱离指导的情况下开展网络异常检测工作。可以将没有标记的数据的工作相似的数据归到同一类中,并对网络安全系统运行中存在的异常的数据迅速高效地识别出来。运用到网络安全,大大提高了网络运行的可靠程度,使网络安全的级别更上一个级别。在实际情况中,网络中通常存在着种类比较多的数据,当中还包括了大量的相似数据,这些数据如同定时炸弹般隐藏着极大的危险,如不能及时发现并拦截处理,就会破坏网络安全系统,而聚类算法的运用就解决了这一问题,为网络安全系统正常运行提供了保障。
2.2数据挖掘技术的运用
数据挖掘技术,顾名思义就是对互联网中的传输数据的挖掘和分析,从而找出数据中的错误、不规范、异常等的情况,并适当地处理这些非正常的情况。数据挖掘技术在运行速度方面占有绝对的优势,把它运用到网络安全工作中,这种优势能很好的体现出来出来,它运用数据挖掘技术中的关联算法和序列挖掘算法来提取网络的行为模式,能够准确快速地识别网络中非正常的、不规范的运行程序;并且运用分类算法进行归类和预测用户网络行为或特权程序系统的调用,此外还把聚类算法和数据挖掘技术结合起来,比较和计算出每次记录之间的矢量距自动分辨和归类出用户的登录记录、连接记录,最后,对各分类出来的数据给予相应的处理。
2.3智能分布技术的运用
智能分布技术是基于网络扩展性、智能性、无关性等相关特性而言的对网络安全进行检测的技术。该技术的在网络安全中的运用,能够把网络特别是较庞大复杂的网络环境划分成几个区域来进行检测,把多个检测点设定在每一个区域中,在整个网络安全系统设定一个管理点,对各区域的检测点进行检测再集中管理,从而分析检测出入侵的程序和异常的数据等。这样不但能提高网络安全系数,还可以确保对入侵程序快速准确地定位,并及时采取有针对性的处理方法,极大程度地提高了网络安全系统的运行效率。
3总结
随着网络信息技术的飞速发展,网络应用的领域越来越广泛,随之而来出现的网络安全问题种类也越来越多,危害程度越来越大,传统的网络安全防护技术对网络安全的作用效果逐渐降低甚至失效,入侵检测技术的出现,挽救了这个局面,通过把聚类算法、数据挖掘技术、智能分布技术等入侵检测技术相互配合运用到网络安全中,为网络安全提供了第二道防线的保护,对入侵网络的攻击进行快速有效的拦截和反击,很大程度降低了入侵攻击所带来的伤害,大大提高了网络安全的系数。是未来网络安全技术发展的趋势。
参考文献
[1]张正昊.浅谈计算机网络信息安全及防护措施[J].科技风,2014(19).
[2]隋新,刘莹.入侵检测技术的研究[J].科技通报,2014(11).
[3]孙志宽.计算机网络安全的现状及对策研究[J].科技风,2014(19).
[4]周小燕.网络入侵安全检查实践操作分析[J].无线互联科技,2014(11).
篇5
【关键词】入侵检测技术 网络安全 具体运用
网络信息技术发展日新月异,人们在享受它所带来的便利的同时,还受到它所带来的网络安全问题的威胁和危害。网络安全是基于对网络系统的软、硬件系统中的关键数据进行加密和保护。随着网络信息技术的应用范围越来越广泛,对网络攻击的种类增多,程度也越来越严重,传统的网络安全防护技术已经无法抵御这些种类与日俱增的恶意入侵和攻击,逐渐不能适应网络安全防护更高的要求。入侵检测技术是作为传统网络安全防护技术的一项补充,它扩充了系统管理员的安全审计、监视、进攻识别和响应等方面的安全管理能力,提升了信息安全基础结构的完整性,成为网络安全防护中第二道坚实的防线。以下将就入侵检测技术的概念、工作原理等做出系统的归纳,和入侵检测技术在网络安全中的具体运用进行阐述。
1 入侵检测技术概述
1.1 入侵检测的简介
入侵检测技术,是一种对计算机网络的程序进行入侵式的检测先进技术,它肩负着网络安全中第二道防线的任务,起到保护计算机网络安全的作用。入侵检测是通过对安全日志、行为、审计和其他可获得的信息以及系统的关键信息的收集并作出分析,以此检测出计算机网络中违反安全策略的行为和受攻击的对象的一个工作过程。它实施保护工作的过程具体可分为:监视、分析网络用户和网络系统活动;网络安全系统构造和弱点的审查评估;认定反映已知进攻活动并作出警示警告;网络系统异常行为的统计和分析4个步骤。入侵检测技术能够同时兼备实时监控内部攻击、外部攻击和错误操作的任务,把对网络系统的危害阻截在发生之前,并对网络入侵作出响应,是一种相对传统的被动静态网络安全防护技术提出的一种积极动态网络安全防护技术。
1.2 工作原理
入侵检测系统相当于一部典型的窥探设备,它的工作原理是在不用跨接多个物理网段也不用转发流量的前提下,通过收集网络上静态的、被动的相关数据报文,提取出所收集的数据报文的流量统计特征的相关数据与入侵检测系统内置的入侵数据进行智能化的匹配和分析,如果出现匹配耦合度高的数据报文流量,那个它就被认定是入侵攻击,网络入侵检测系统就会根据计算机系统所设定的阀值和相应的配置激发报警并对认定的入侵攻击进行一定的反击。
2 入侵检测技术网络安全中的具体运用
入侵检测技术包括了聚类算法、数据挖掘技术和智能分布技术等几个方面。入侵检测技术在网络安全中的运用,重点是这几种检测技术合理的运用,具体如下。
2.1 聚类算法的运用
入侵检测技术当中的聚类算法在网络安全的运用具有可以在脱离指导的情况下开展网络异常检测工作。可以将没有标记的数据的工作相似的数据归到同一类中,并对网络安全系统运行中存在的异常的数据迅速高效地识别出来。运用到网络安全,大大提高了网络运行的可靠程度,使网络安全的级别更上一个级别。在实际情况中,网络中通常存在着种类比较多的数据,当中还包括了大量的相似数据,这些数据如同定时炸弹般隐藏着极大的危险,如不能及时发现并拦截处理,就会破坏网络安全系统,而聚类算法的运用就解决了这一问题,为网络安全系统正常运行提供了保障。
2.2 数据挖掘技术的运用
数据挖掘技术,顾名思义就是对互联网中的传输数据的挖掘和分析,从而找出数据中的错误、不规范、异常等的情况,并适当地处理这些非正常的情况。数据挖掘技术在运行速度方面占有绝对的优势,把它运用到网络安全工作中,这种优势能很好的体现出来出来,它运用数据挖掘技术中的关联算法和序列挖掘算法来提取网络的行为模式,能够准确快速地识别网络中非正常的、不规范的运行程序;并且运用分类算法进行归类和预测用户网络行为或特权程序系统的调用,此外还把聚类算法和数据挖掘技术结合起来,比较和计算出每次记录之间的矢量距自动分辨和归类出用户的登录记录、连接记录,最后,对各分类出来的数据给予相应的处理。
2.3 智能分布技术的运用
智能分布技术是基于网络扩展性、智能性、无关性等相关特性而言的对网络安全进行检测的技术。该技术的在网络安全中的运用,能够把网络特别是较庞大复杂的网络环境划分成几个区域来进行检测,把多个检测点设定在每一个区域中,在整个网络安全系统设定一个管理点,对各区域的检测点进行检测再集中管理,从而分析检测出入侵的程序和异常的数据等。这样不但能提高网络安全系数,还可以确保对入侵程序快速准确地定位,并及时采取有针对性的处理方法,极大程度地提高了网络安全系统的运行效率。
3 总结
随着网络信息技术的飞速发展,网络应用的领域越来越广泛,随之而来出现的网络安全问题种类也越来越多,危害程度越来越大,传统的网络安全防护技术对网络安全的作用效果逐渐降低甚至失效,入侵检测技术的出现,挽救了这个局面,通过把聚类算法、数据挖掘技术、智能分布技术等入侵检测技术相互配合运用到网络安全中,为网络安全提供了第二道防线的保护,对入侵网络的攻击进行快速有效的拦截和反击,很大程度降低了入侵攻击所带来的伤害,大大提高了网络安全的系数。是未来网络安全技术发展的趋势。
参考文献
[1]张正昊.浅谈计算机网络信息安全及防护措施[J].科技风,2014(19).
[2]隋新,刘莹.入侵检测技术的研究[J].科技通报,2014(11).
[3]孙志宽.计算C网络安全的现状及对策研究[J].科技风,2014(19).
[4]周小燕.网络入侵安全检查实践操作分析[J].无线互联科技,2014(11).
[5]季林凤.计算机数据库入侵检测技术探析[J].电脑知识与技术,2014(27).
作者简介
阙宏宇(1976-),男,四川省成都市人。软件工程硕士。讲师。研究方向为计算机网络。
梁波(1982-),男,四川省彭州市人。软件工程硕士。讲师。研究方向为软件开发、计算机网络。
篇6
【关键词】网络安全 入侵检测
一、现在网络安全隐患
随着计算机技术的发展在连结信息能力、流通能力提高的同时,基于网络连接的安全问题也日益突出,很多组织正在致力于提出更多的更强大的主动策略和方案来增强网络的安全性,然而另一个更为有效的解决途径就是入侵检测。在入侵检测之前,大量的安全机制都是根据从主观的角度设计的,他们没有根据网络攻击的具体行为来决定安全对策。因此,它们对入侵行为的反应非常迟钝,很难发现未知的攻击行为,不能根据网络行为的变化来及时地调整系统的安全策略。而入侵检测正是根据网络攻击行为而进行设计的,它不仅能够发现已知入侵行为,而且有能力发现未知的入侵行为,并可以通过学习和分析入侵手段,及时地调整系
统策略以加强系统的安全性。
二、入侵检测的定义
入侵检测是从系统(网络)的关键点采集信息并分析信息,察看系统(网络)中是否有违法安全策略的行为,保证系统(网络)的安全性,完整性和可用性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。
三、入侵检测的系统功能构成
一个入侵检测系统的功能结构如图一所示,它至少包含事件提取、入侵分析、入侵响应和远程管理四部分功能。
入侵分析的任务就是在提取到的运行数据中找出入侵的痕迹,将授权的正常访问行为和非授权的不正常访问行为区分开,分析出入侵行为并对入侵者进行定位。
入侵响应功能在分析出入侵行为后被触发,根据入侵行为产生响应。
由于单个入侵检测系统的检测能力和检测范围的限制,入侵检测系统一般采用分布监视集中管理的结构,多个检测单元运行于网络中的各个网段或系统上,通过远程管理功能在一台管理站点上实现统一的管理和监控。
四、入侵检测系统分类
入侵检测系统根据其检测数据来源分为两类:基于主机的入侵检测系统和基于网络的入侵检测系统。
1.基于网络的入侵检测系统
基于网络的入侵检测系统通过网络监视来实现数据提取。在internet中,局域网普遍采用ieee 802.3协议。该协议定义主机进行数据传输时采用子网广播的方式,任何一台主机发送的数据包,都会在所经过的子网中进行广播,也就是说,任何一台主机接收和发送的数据都可以被同一子网内的其他主机接收。在正常设置下,主机的网卡对每一个到达的数据包进行过滤,只将目的地址是本机的或广播地址的数据包放入接收缓冲区,而将其他数据包丢弃,因此,正常情况下网络上的主机表现为只关心与本机有关的数据包,但是将网卡的接收模式进行适当的设置后就可以改变网卡的过滤策略,使网卡能够接收经过本网段的所有数据包,无论这些数据包的目的地是否是该主机。网卡的这种接收模式被称为混杂模式,目前绝大部分网卡都提供这种设置,因此,在需要的时候,对网卡进行合理的设置就能获得经过本网段的所有通信信息,从而实现网络监视的功能。在其他网络环境下,虽然可能不采用广播的方式传送报文,但目前很多路由设备或交换机都提供数据报文监视功能。
2.基于网络的入侵检测系统
基于主机的入侵检测系统将检测模块驻留在被保护系统上,通过提取被保护系统的运行数据并进行入侵分析来实现入侵检测的功能。
基于主机的入侵检测系统可以有若干种实现方法:
检测系统设置以发现不正当的系统设置和系统设置的不正当更改对系统安全状态进行定期检查以发现不正常的安全状态。
基于主机日志的安全审计,通过分析主机日志来发现入侵行为。基于主机的入侵检测系统具有检测效率高,分析代价小,分析速度快的特点,能够迅速并准确地定位入侵者,并可以结合操作系统和应用程序的行为特征对入侵进行进一步分析。目前很多是基于主机日志分析的入侵检测系统。基于主机的入侵检测系统存在的问题是:首先它在一定程度上依赖于系统的可靠性,它要求系统本身应该具备基本的安全功能并具有合理的设置,然后才能提取入侵信息;即使进行了正确的设置,对操作系统熟悉的攻击者仍然有可能在入侵行为完成后及时地将系统日志抹去,从而不被发觉;并且主机的日志能够提供的信息有限,有的入侵手段和途径不会在日志中有所反映,日志系统对有的入侵行为不能做出正确的响应,例如利用网络协议栈的漏洞进行的攻击,通过ping命令发送大数据包,造成系统协议栈溢出而死机,或是利用arp欺骗来伪装成其他主机进行通信,这些手段都不会被高层的日志记录下来。在数据提取的实时性、充分性、可靠性方面基于主机日志的入侵检测系统不如基于网络的入侵检测系统。
五、入侵检测技术的发展方向
近年对入侵检测技术有几个主要发展方向:
(1)分布式入侵检测与通用入侵检测架构
传统的ids一般局限于单一的主机或网络架构,对异构系统及大规模的网络的监测明显不足。同时不同的ids系统之间不能协同工作能力,为解决这一问题,需要分布式入侵检测技术与通用入侵检测架构。
(2)应用层入侵检测
许多入侵的语义只有在应用层才能理解,而目前的ids仅能检测如web之类的通用协议,而不能处理如lotus notes、数据库系统等其他的应用系统。许多基于客户、服务器结构与中间件技术及对象技术的大型应用,需要应用层的入侵检测保护。
(3)智能的入侵检测
入侵方法越来越多样化与综合化,尽管已经有智能体、神经网络与遗传算法在入侵检测领域应用研究,但是这只是一些尝试性的研究工作,需要对智能化的ids加以进一步的研究以解决其自学习与自适应能力。
入侵检测产品仍具有较大的发展空间,从技术途径来讲,我们认为,除了完善常规的、传统的技术(模式识别和完整性检测)外,应重点加强统计分析的相关技术研究。
参考文献:
篇7
关键词:计算机数据库;入侵检测技术;网络安全
中图分类号:TP309.2 文献标识码:A
计算机数据库普遍受到网络与设备的威胁。计算机安全主要是指物理安全与信息安全(网络安全),其中信息安全主要是指保护网络信息的完整性、可用性、保密性。据调查数据表明,信息系统的整体安全方面,数据库是最容易受到攻击的部件。计算机数据库主要受到计算机病毒或黑客的攻击,其中与计算机病毒的种类相比较,黑客对计算机数据库的攻击方法更多、更致命。美国FBI调查数据显示,网络安全导致每年美国承受超出170亿美元的经济损失,其中每天被黑客攻击或病害感染的网页达到15000个。据国家计算机网络应急技术处理协调中心的评估数据表明,2012年中国“僵尸”电脑数量已超过全球“僵尸”电脑总数的58%。由此可见,必须加强对计算机数据库安全保护的研究。
1 计算机数据库入侵检测技术的现状问题
经过20余年的发展,计算机数据库入侵检测技术已相当成熟,但不断出现的新需求及新情况势必要求不断推进入侵检测技术。目前主流入侵检测系统包括基于主机的入侵检测系统及基于网络的入侵检测系统;主流入侵检测方法包括误用检测及异常检测,其中误用检测要求对异常行为进行建模,把符合特征库描述的行为视为攻击;异常检测要求对正常行为进行建模,把不符合特征库描述的行为视为攻击。总体而言,计算机数据库入侵检测技术发展的现状尚不能完全满足系统安全的要求,同时仍存有一些问题亟待解决。
(1)计算机入侵检测误报漏报率高:数据库信息主要由个人信息及企业信息组成,因此信息的安全性普遍受到社会个体及组织的广泛关注,同时计算机入侵检测技术的研发过程,研究人员对某些关键点设置的要求相当高。但此种情况极易受到大量病毒或黑客的入侵,由此导致入侵检测结果的准确率大幅度下降,同时某些暂时提高入侵检测结果准确率的做法反过来亦会影响到数据库安全。
(2)计算机入侵检测的效率较低:任何数据入侵或反入侵皆需进行大量的二进制数据计算,以提高数据运行的有效性。但庞大的计算势必造成大量的时间及财力浪费,由此阻碍着入侵检测效率的提高,同时也与当今网络环境极不相称。
(3)计算机入侵检测技术的自我防御能力较弱:计算机入侵检测技术发展尚不完善,加上设计人员的专业知识欠缺,因此势必影响到计算机入侵检测技术自我防御能力的提高。若入侵检测技术被黑客或病毒入侵,有限的防御能力势必难以完成入侵检测,由此必然威胁到数据库的安全。
(4)计算机入侵检测技术的可扩展性差:计算机入侵检测技术无自动更新功能,因此不能对新的异常行为或病毒进行有效判别,进而造成病毒肆意,甚至破坏数据库的安全防线。
2 计算机数据库入侵检测技术的发展方向
计算机入侵检测系统具备网络管理、网络监视及入侵检测功能,其主要采用先进的分布式架构(表1)。入侵检测系统包含2300多种规则,能够借助智能分析与模式相结合的方法对网内外传输的所有数据进行实时捕获,进而实现对网络领域存在的入侵行为或异常现象进行检测,同时借助内置的攻击特征库把相关事件录入数据库,以便为事后分析提供参考依据。此外,计算机入侵检测系统是高效的数据采集技术,与内容恢复、状态协议分析、行为分析、异常分析、网络审计等入侵分析技术具有非常好的兼容性,同时能够检测到网络、端口探察、应用层及底层活动的扫描攻击。
结合表1内容及计算机入侵检测技术存在的问题,本文认为计算机数据库入侵检测技术应坚持“分布型、层次化、智能化检测及反术测评标准化”的发展道路。
(1)分布型检测。传统的入侵检测大多被局限到单一网络结构,主要完成单一网络结构的数据库检测,此种检测方法根本没有能力应对大规模的异构体系数据库。此外,数据库检测体系间的协同性较弱。针对此类问题,最有效的办法是采用分布式数据库入侵检测手段。
(2)层次化检测。就检测范围而言,传统的入侵检测技术具有相当大的局限性,尤其对某些高端数据库系统,入侵检测技术尚存在诸多盲点。目前多数服务器结构系统皆需多层次的入侵检测保护功能,由此保障网络安全。针对此类问题,最有效的办法是采用层次化的检测方式,区别对待普通系统与高端数据库系统,由此提高入侵检测技术的作用力。
(3)智能化检测。虽然目前使用的计算机入侵检测技术已经应用到遗传算法及神经网络等,但应用水平尚处在初级阶段或尝试性阶段,因此有必要把智能化入侵检测列入专项课题进行研究,由此提高计算机入侵检测的自我适应能力。
(4)应用入侵检测技术过程,用户有必要不定期对技术系统进行测评,其中测评的内容应涉及到资源占用比、检测范围、检测可靠程度,同时充分利用测评数据对检测系统实施评估,然后再结合评估情况对检测系统进行完善。总体而言,依托入侵检测技术,计算机数据库系统的安全性势必大大增强,即入侵检测系统通过化解计算机数据库系统外部的攻击及排除系统内部的潜在威胁,进而对计算机数据库系统实施有效保护。
(5)计算机数据库入侵检测技术的强化措施除采取分布型检测、层次化检测及智能化检测外,笔者认为创建新型系统模型、建立数据库知识标准、减少入侵检测的计算量等皆可加强计算机入侵检测技术,其中优化Apriori算法是一种由Apriori算法改进而来的计算方法,其对减少入侵检测的计算量至关重要,此外优化Apriori算法的剪枝候选集功能是显示入侵检测计算量减少的主要工作。
3 结束语
综上所述,入侵检测技术是一种保障计算机数据库免受黑客或病毒入侵的安全防护高新技术,其不仅能够化解来自外界的攻击(黑客),同时也能够排查出内部潜在的病毒,进而实现对计算机数据库的实时性保护。随着网络技术更新周期的缩短,网络安全问题越来越引起社会的关注。数据库是最容易受到黑客与病毒攻击的部件,加上数据库存储有数以亿计用户的信息,因此必须采取措施确保计算机数据率的网络安全。尽管入侵检测技术的应用已相当成熟,但仍然存在诸多问题亟待解决,其中包括入侵检测误报漏报率高、入侵检测的效率较低、入侵检测技术的自我防御能力较弱及入侵检测技术的可扩展性差等。基于此,本文提出计算机数据库入侵检测技术应该坚持“分布型、层次化、智能化检测及反术测评标准化”的发展道路,由此提高网络安全及维护社会的安定和谐。
参考文献
[1] 秋瑜.计算机数据库入侵检测技术分析研究[J].硅谷,2012,(6):79-79.
[2] 王素香.计算机数据库的入侵检测技术分析[J].计算机光盘软件与应用,2013,(1):101.
[3] 李媛媛.计算机数据库的入侵检测技术分析[J].中国信息化,2013,(14):137-137.
[4] 肖大薇.计算机数据库入侵检测技术分析研究[J].信息系统工程,2012,(4):54-55.
[5] 王世轶.基于数据库的入侵检测技术分析[J].科技风,2012,(14):52.
[6] 高超,王丽君.数据挖掘技术在基于系统调用的入侵检测中的应用[J].鞍山科技大学学报,2006,29(1):45-49.
篇8
【关键词】计算机数据库 入侵检测 措施
当今时代是信息技术与安全问题并行的时代,社会经济的高速发展必然伴随着某些安全问题的发生,所以数据库的安全已经成为人民大众和政府企业的工作保证。尽管当下防火墙广泛应用,但是仍然不能保证可以完全抵御黑客的入侵,所以入侵检测技术成为了新时代下社会关注的重点,入侵检测技术不仅能够解决数据库面临的种种威胁,更能及时发现入侵对象并进行及时的修补,但是在实践过程中也出现了这样或那样的问题,下面将进行详尽的论述。
1 入侵检测
入侵检测是一种对入侵行为进行检测、识别和回应的一种安全技术。主要通过分析检测计算机系统、安全日志、电脑数据及网络行为等方式来判断是否遭到入侵,从而更好的对计算机进行全方位的安全保护。入侵检测的主要行为有以下五点:一是对用户行为进行监察;二是对计算机的运行系统进行审查;三是对入侵行为进行识别并发出警报;四是对异常行为进行统计和记录,并进而评估计算机系统的危险系数;五是对计算机系统的监察情况进行跟踪管理。当前入侵检测技术虽然已经在多个方面得到了效果良好的实践效果,但是仍然有很多不足之处,下面主要概述一下计算机数据库检测系统在应用中出现的问题。
2 常见问题
我国计算机数据库一般采用防火墙安全模式,加上入侵检测技术的发展起步较晚,因而在很多方面还不成熟,在实践过程中主要发现了以下问题。
2.1 防御能力偏弱
由于入侵检测技术尚不成熟,所以从事数据库入侵检测技术的技术团队也没有形成很好的规模,而且资金投入的匮乏性也使得人们对入侵检测技术工作的积极性不高。就当前我国部分发展较好的地区而言,数据库的入侵检测技术相对落后,且技术人员自身也缺乏专业的解决问题的能力,对于实际操作中临时出现的新问题无法做到很好的应对,这种遇到黑客和病毒入侵时无法及时应对的现状容易导致数据库系统的瘫痪,给企业和个人造成数据被盗走或损毁的损失,严重者也可能威胁到国家相关部门的安全防御。
2.2 错误率高
入侵检测技术的最直接目的就是保护计算机数据库的隐私,避免数据的流失和泄露,因而在对检测关卡的要求非常严格。如此一来,在入侵检测技术实际的运行过程中可能会出现很多系统性的检测错误,在各种系统性错误上报的同时可能潜伏着真正的病毒,但是系统很有可能一时间承受不了庞大的信息量而出现漏检的情况,而且对于一些应用软件的误检也会给工作人员带来时间与精力上的双重浪费,严重影响着检测工作的效率,计算机数据库的安全也得不到保障。
2.3 效率低下
前面讲到,入侵检测技术的目的主要是对于病毒进行识别和查杀,而检测技术的关键点就在于速度,因而高效率的检测是入侵检测技术的重中之重。由于计算机数据库的信息量过大且运行程序较多,所以入侵检测技术整个运行过程可以说是比较复杂,一方面造成了检测工作的前期成本较高,另一方面也容易造成漏检、误检等错误行为。除此之外,我国当前的检测技术发展在很多方面都存在着欠缺,因而更新的速度也较慢,这也会对检测系统造成不利影响,在一定程度上滞后了入侵检测技术的发展。
3 优化措施
当前数据库已经成为了各类企业和政府有关部门的安全保障,只有针对这些数据库系统采用必要的保护措施,才能确保计算机网络数据的可靠性、安全性和保密性。
3.1 优化算法
这种算法是基于大型项目的调查而应用的一种算法,其主要目的是可以大幅度的消减系统运行中的候选项目,在数据库检测技术中可以产生很好的实践效果。该种算法在生成候选项时会产生很多错误的项目集合的候选集,而且在连接程序中相同的项目会有很大程度的重复性,所以很容易导致检测技术利用率相对降低。所以在今后的实践中可以首先对项目数量进行优化和减少,尤其是待选项目的总量,从整体上减少工作量;其次对数据库进行合理的分析检查,把数据库的准备工作做好尽量做到一次做完编码,提高算法的效率。
3.2 建立合理模型
入侵检测系统的工作原理主要是通过系统检测-判断行为-入侵警报这三个环节来达到保证计算机数据库安全的目的。系统主要由数据库借口零部件、数据手机模块、数据分析处理模块、数据挖掘模块及入侵检测模块等五个主要部分组成,为了使各个模块真正的发挥出作用,需要根据人们所需重新设计出最新的数据库模型,具体设计如下:
(1)数据收集。系统要在入侵检测的过程中对系统不同的数据进行收集和记录,做好前期的准备工作。
(2)分析挖掘。系统要按照设定好的要求对采集到的数据进行合理挖掘,建立好数据库。
(3)模式调整。要求入侵检测技术要可以根据系统设定来将不符合规定的数据要求做好技术准确的处理。
(4)提取特征。要求系统可以根据用户的行为数据判断出用户的行为特征,并对不同的用户行为特征进行分类汇总。
(5)入侵检测。这里主要要求系统应用相关算法,从数据库里提取相关的数据信息并辅以相关用户行为特征,根据检测结果来采取相对应的措施。
4 总结
根据计算机数据库入侵技术检测的现状,其今后的发展趋势主要向智能化发展。数据库的安全性对于政府部门、企业和个人都有着非常重要的实际意义,本文主要分析了当前入侵检测系统中出现的问题来让读者明确计算机数据库的重要性,并对数据库入侵检测技术的未来发展提出了自身的建议措施,最大程度的提升入侵检测技术对计算机数据库的安全防护作用。
参考文献
篇9
关键词入侵检测异常检测误用检测
在网络技术日新月异的今天,论文基于网络的计算机应用已经成为发展的主流。政府、教育、商业、金融等机构纷纷联入Internet,全社会信息共享已逐步成为现实。然而,近年来,网上黑客的攻击活动正以每年10倍的速度增长。因此,保证计算机系统、网络系统以及整个信息基础设施的安全已经成为刻不容缓的重要课题。
1防火墙
目前防范网络攻击最常用的方法是构建防火墙。
防火墙作为一种边界安全的手段,在网络安全保护中起着重要作用。其主要功能是控制对网络的非法访问,通过监视、限制、更改通过网络的数据流,一方面尽可能屏蔽内部网的拓扑结构,另一方面对内屏蔽外部危险站点,以防范外对内的非法访问。然而,防火墙存在明显的局限性。
(1)入侵者可以找到防火墙背后可能敞开的后门。如同深宅大院的高大院墙不能挡住老鼠的偷袭一样,防火墙有时无法阻止入侵者的攻击。
(2)防火墙不能阻止来自内部的袭击。调查发现,50%的攻击都将来自于网络内部。
(3)由于性能的限制,防火墙通常不能提供实时的入侵检测能力。毕业论文而这一点,对于层出不穷的网络攻击技术来说是至关重要的。
因此,在Internet入口处部署防火墙系统是不能确保安全的。单纯的防火墙策略已经无法满足对安全高度敏感部门的需要,网络的防卫必须采用一种纵深的、多样化的手段。
由于传统防火墙存在缺陷,引发了入侵检测IDS(IntrusionDetectionSystem)的研究和开发。入侵检测是防火墙之后的第二道安全闸门,是对防火墙的合理补充,在不影响网络性能的情况下,通过对网络的监测,帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高信息安全基础结构的完整性,提供对内部攻击、外部攻击和误操作的实时保护。现在,入侵检测已经成为网络安全中一个重要的研究方向,在各种不同的网络环境中发挥重要作用。
2入侵检测
2.1入侵检测
入侵检测是通过从计算机网络系统中的若干关键点收集信息并对其进行分析,从中发现违反安全策略的行为和遭到攻击的迹象,并做出自动的响应。其主要功能是对用户和系统行为的监测与分析、系统配置和漏洞的审计检查、重要系统和数据文件的完整性评估、已知的攻击行为模式的识别、异常行为模式的统计分析、操作系统的审计跟踪管理及违反安全策略的用户行为的识别。入侵检测通过迅速地检测入侵,在可能造成系统损坏或数据丢失之前,识别并驱除入侵者,使系统迅速恢复正常工作,并且阻止入侵者进一步的行动。同时,收集有关入侵的技术资料,用于改进和增强系统抵抗入侵的能力。
入侵检测可分为基于主机型、基于网络型、基于型三类。从20世纪90年代至今,英语论文已经开发出一些入侵检测的产品,其中比较有代表性的产品有ISS(IntemetSecuritySystem)公司的Realsecure,NAI(NetworkAssociates,Inc)公司的Cybercop和Cisco公司的NetRanger。
2.2检测技术
入侵检测为网络安全提供实时检测及攻击行为检测,并采取相应的防护手段。例如,实时检测通过记录证据来进行跟踪、恢复、断开网络连接等控制;攻击行为检测注重于发现信息系统中可能已经通过身份检查的形迹可疑者,进一步加强信息系统的安全力度。入侵检测的步骤如下:
收集系统、网络、数据及用户活动的状态和行为的信息
入侵检测一般采用分布式结构,在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息,一方面扩大检测范围,另一方面通过多个采集点的信息的比较来判断是否存在可疑现象或发生入侵行为。
入侵检测所利用的信息一般来自以下4个方面:系统和网络日志文件、目录和文件中的不期望的改变、程序执行中的不期望行为、物理形式的入侵信息。
(2)根据收集到的信息进行分析
常用的分析方法有模式匹配、统计分析、完整性分析。模式匹配是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。
统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性。测量属性的平均值将被用来与网络、系统的行为进行比较。当观察值超出正常值范围时,就有可能发生入侵行为。该方法的难点是阈值的选择,阈值太小可能产生错误的入侵报告,阈值太大可能漏报一些入侵事件。
完整性分析主要关注某个文件或对象是否被更改,包括文件和目录的内容及属性。该方法能有效地防范特洛伊木马的攻击。
3分类及存在的问题
入侵检测通过对入侵和攻击行为的检测,查出系统的入侵者或合法用户对系统资源的滥用和误用。工作总结根据不同的检测方法,将入侵检测分为异常入侵检测(AnomalyDetection)和误用人侵检测(MisuseDetection)。
3.1异常检测
又称为基于行为的检测。其基本前提是:假定所有的入侵行为都是异常的。首先建立系统或用户的“正常”行为特征轮廓,通过比较当前的系统或用户的行为是否偏离正常的行为特征轮廓来判断是否发生了入侵。此方法不依赖于是否表现出具体行为来进行检测,是一种间接的方法。
常用的具体方法有:统计异常检测方法、基于特征选择异常检测方法、基于贝叶斯推理异常检测方法、基于贝叶斯网络异常检测方法、基于模式预测异常检测方法、基于神经网络异常检测方法、基于机器学习异常检测方法、基于数据采掘异常检测方法等。
采用异常检测的关键问题有如下两个方面:
(1)特征量的选择
在建立系统或用户的行为特征轮廓的正常模型时,选取的特征量既要能准确地体现系统或用户的行为特征,又能使模型最优化,即以最少的特征量就能涵盖系统或用户的行为特征。(2)参考阈值的选定
由于异常检测是以正常的特征轮廓作为比较的参考基准,因此,参考阈值的选定是非常关键的。
阈值设定得过大,那漏警率会很高;阈值设定的过小,则虚警率就会提高。合适的参考阈值的选定是决定这一检测方法准确率的至关重要的因素。
由此可见,异常检测技术难点是“正常”行为特征轮廓的确定、特征量的选取、特征轮廓的更新。由于这几个因素的制约,异常检测的虚警率很高,但对于未知的入侵行为的检测非常有效。此外,由于需要实时地建立和更新系统或用户的特征轮廓,这样所需的计算量很大,对系统的处理性能要求很高。
3.2误用检测
又称为基于知识的检测。其基本前提是:假定所有可能的入侵行为都能被识别和表示。首先,留学生论文对已知的攻击方法进行攻击签名(攻击签名是指用一种特定的方式来表示已知的攻击模式)表示,然后根据已经定义好的攻击签名,通过判断这些攻击签名是否出现来判断入侵行为的发生与否。这种方法是依据是否出现攻击签名来判断入侵行为,是一种直接的方法。
常用的具体方法有:基于条件概率误用入侵检测方法、基于专家系统误用入侵检测方法、基于状态迁移分析误用入侵检测方法、基于键盘监控误用入侵检测方法、基于模型误用入侵检测方法。误用检测的关键问题是攻击签名的正确表示。
误用检测是根据攻击签名来判断入侵的,根据对已知的攻击方法的了解,用特定的模式语言来表示这种攻击,使得攻击签名能够准确地表示入侵行为及其所有可能的变种,同时又不会把非入侵行为包含进来。由于多数入侵行为是利用系统的漏洞和应用程序的缺陷,因此,通过分析攻击过程的特征、条件、排列以及事件间的关系,就可具体描述入侵行为的迹象。这些迹象不仅对分析已经发生的入侵行为有帮助,而且对即将发生的入侵也有预警作用。
误用检测将收集到的信息与已知的攻击签名模式库进行比较,从中发现违背安全策略的行为。由于只需要收集相关的数据,这样系统的负担明显减少。该方法类似于病毒检测系统,其检测的准确率和效率都比较高。但是它也存在一些缺点。
3.2.1不能检测未知的入侵行为
由于其检测机理是对已知的入侵方法进行模式提取,对于未知的入侵方法就不能进行有效的检测。也就是说漏警率比较高。
3.2.2与系统的相关性很强
对于不同实现机制的操作系统,由于攻击的方法不尽相同,很难定义出统一的模式库。另外,误用检测技术也难以检测出内部人员的入侵行为。
目前,由于误用检测技术比较成熟,多数的商业产品都主要是基于误用检测模型的。不过,为了增强检测功能,不少产品也加入了异常检测的方法。
4入侵检测的发展方向
随着信息系统对一个国家的社会生产与国民经济的影响越来越大,再加上网络攻击者的攻击工具与手法日趋复杂化,信息战已逐步被各个国家重视。近年来,入侵检测有如下几个主要发展方向:
4.1分布式入侵检测与通用入侵检测架构
传统的IDS一般局限于单一的主机或网络架构,对异构系统及大规模的网络的监测明显不足,再加上不同的IDS系统之间不能很好地协同工作。为解决这一问题,需要采用分布式入侵检测技术与通用入侵检测架构。
4.2应用层入侵检测
许多入侵的语义只有在应用层才能理解,然而目前的IDS仅能检测到诸如Web之类的通用协议,而不能处理LotusNotes、数据库系统等其他的应用系统。许多基于客户/服务器结构、中间件技术及对象技术的大型应用,也需要应用层的入侵检测保护。
4.3智能的入侵检测
入侵方法越来越多样化与综合化,尽管已经有智能体、神经网络与遗传算法在入侵检测领域应用研究,但是,这只是一些尝试性的研究工作,需要对智能化的IDS加以进一步的研究,以解决其自学习与自适应能力。
4.4入侵检测的评测方法
用户需对众多的IDS系统进行评价,评价指标包括IDS检测范围、系统资源占用、IDS自身的可靠性,从而设计出通用的入侵检测测试与评估方法与平台,实现对多种IDS的检测。
4.5全面的安全防御方案
结合安全工程风险管理的思想与方法来处理网络安全问题,将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、入侵检测多方位全面对所关注的网络作全面的评估,然后提出可行的全面解决方案。
综上所述,入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,使网络系统在受到危害之前即拦截和响应入侵行为,为网络安全增加一道屏障。随着入侵检测的研究与开发,并在实际应用中与其它网络管理软件相结合,使网络安全可以从立体纵深、多层次防御的角度出发,形成人侵检测、网络管理、网络监控三位一体化,从而更加有效地保护网络的安全。
参考文献
l吴新民.两种典型的入侵检测方法研究.计算机工程与应用,2002;38(10):181—183
2罗妍,李仲麟,陈宪.入侵检测系统模型的比较.计算机应用,2001;21(6):29~31
3李涣洲.网络安全与入侵检测技术.四川师范大学学报.2001;24(3):426—428
4张慧敏,何军,黄厚宽.入侵检测系统.计算机应用研究,2001;18(9):38—4l
篇10
随着计算机网络技术的飞速发展其广泛应用于我国各项社会服务、经济金融、政治军事、教育国防事业中,令企事业单位生产运营效率全面提升,可以说计算机网络系统真正给人们的生活创设了便利,构建了共享化、高效化、现代化的社会发展环境。同时网络系统由于自身建设、程序设计、操作失误等因素不可避免的包含许多病毒或漏洞,给黑客入侵者以可乘之机,并给重要数据信息的安全引入了诸多不可预测的复杂风险,动辄令企事业单位机密文件丢失、个人信息被不良窃取,造成了严重的经济损失。
1 计算机网络常见入侵方式
针对计算机网络的入侵主要指应用相应计算机程序调试技巧、编写技巧实现对未授权文件或网络的非法访问,并入侵至网络中的不良行为。当前常见的计算机网络入侵包括病毒攻击、身份攻击、拒绝服务、防火墙攻击、网络欺骗、木马攻击、后门入侵、恶意程序攻击、入侵拨号程序、逻辑炸弹攻击、破解密码、垃圾搜寻、社交工程攻击等。所谓病毒攻击即利用其自我复制特性进行系统资源的破坏、侵袭,对其数据完整性进行不良破坏或窃取、令系统拒绝服务,该攻击入侵方式具有隐蔽性、传播性、繁殖性、潜伏性与寄生性等特征。身份攻击则利用网络服务对用户身份的确认进而通过窃取、欺骗手段对合法用户身份进行冒充以实现网络攻击目标,该类攻击包含漏洞攻击、收集信息攻击与口令攻击等。其中获取与收集信息主要采用试探方式,例如扫描账户、ping、扫描漏洞、端口与嗅探网络方式进而对系统漏洞、服务、权限进行探测,采用工具与公开协议对网络中各主机存储的有用信息进行获取与收集,并捕捉到其存在的漏洞,进而为后续攻击做准备。针对防火墙进行攻击具有一定难度,然而一旦攻击得手将造成网络系统的崩溃、瘫痪,令用户蒙受较大损失。拒绝服务攻击主体将一定数量与序列的报文传送至网络中令大量的恢复要求信息运行充斥于服务器中,导致网络带宽与系统资源被不良消耗,进而令其无法正常的服务运行、甚至不胜负荷而引发系统死机、瘫痪现象。网络欺骗主要通过对电子邮件、网页的伪造诱导用户录入关键隐私信息,例如密码、银行账户、登录账户、信用卡信息等进而实现窃取入侵目标。对拨号程序的攻击通过自动拨号进行调制解调器连接通道的搜寻,以实现入侵目标。逻辑炸弹则是计算机软件中嵌入的一类指令,可通过触发进而实现恶意的系统操作。
2 入侵检测技术内涵
入侵检测技术通过对安全日志、人们行为与数据的审计、可获取信息展开操作进而检测到企图闯入系统的信息,包含检测、威慑、评估损失状况、预测攻击与支持等。该技术可以说是防火墙系统技术的良好补充,可有效辅助系统强化其应对异常状况、非授权、入侵行为能力,通过实时检测提供对外部、内部攻击与误操作的动态实时保护,是一种安全有效的防护策略技术,入侵检测硬件与软件的完善结合便构成了入侵检测系统。合理应用该技术可令不良入侵攻击行为在危害系统之前便被准确的检测到,进而利用防护与报警系统将入侵攻击驱逐,降低其造成的不良损失。当系统被攻击入侵后我们则应通过对入侵信息的全面收集构建防范知识系统,进而提升网络系统综合防范能效。
3 计算机网络安全中科学应用入侵检测技术
入侵检测技术主要通过对维护网络安全、分析、监视系统与用户活动、审计系统弱点与构造、对已知进攻模式活动进行反应识别并报备、分析统计异常行为、对数据文件与重要系统完整性进行评估、跟踪审计操作系统实施管理、识别违反安全的活动等行为进而确保计算机网络系统的可靠安全。一般来讲网络检测入侵系统包含多层次体系结构,即、控制与管理层等,控制层承担由获取收集信息职能,并对所受攻击事项进行显示,进而实现对的管理与配置。承担对网络数据包的监视职能,并将检测的数据信息、攻击行为发送至管理层。管理器承担对各类报警与日志的管理,以及对检测到的攻击信息与安全信息进行显示,响应攻击警告与配置信息,对控制台的各类命令进行有效执行,并令由的警告攻击信息传输至控制台,最终完成了整体入侵检测过程。依据该过程我们制定科学的入侵检测技术应用策略。
3.1收集信息策略
应用入侵检测技术的首要关键因素在于数据,我们可将检测数据源分为网络、系统日志、文件与目录中不期望更改事项、执行程序中不期望各项行为、入侵的物理形式信息等。在应用进程中对信息的收集应位于每一网段之中科学部署至少一个IDS,依据相应的网络结构特征,采集数据部分由多样连接形式构成,倘若位于网段中应用交换集线器连接,其核心交换机芯片一般会设有调试端口,我们可连接IDS系统于该端口之中。同时设置入侵检测系统于防火墙或交换机内部的数据流出口或入口,进而获取所有核心关键数据。对于网络系统中不同类别的信息关键点收集我们不仅应依据检测对象扩充检测范畴、对网络包截取进行设置,同时还需要应对薄弱环节,即来源于统一对象的各项信息可能无法发掘疑点,因而需要我们在收集入侵信息时,应对几个来源对象信息包含的不一致性展开重点分析,令其作为对可疑、入侵行为科学判断的有效标识。对于整体计算机网络系统来讲,入侵行为相对有限,因此对各类少数的数据异常,我们可令其孤立,进而构建而成数据群展开集中性处理,强化分析入侵行为的针对性。
3.2分析检测入侵信息
完成收集的信息我们可利用异常分析发现与匹配模式进行综合数据分析,进而发掘与安全策略违背的行为,将其合理发送至管理器。实践应用中我们应对各类系统漏洞、网络协议进行清醒深刻认识,遵循制定的安全策略与规则,利用异常检测与滥用检测模型进行分析过程模拟,合理确认识别异常与特征攻击行为,最终令分析结构构建成为报警信息并发送至管理控制中心。对于TCP/IP协议网络,我们还可采用探测引擎技术,应用旁路侦听对网络流经的所有数据包进行动态监视,并依据用户定义相关策略展开检测,有效识别各类网络事件并告知控制中心,令其进行定位与报警显示。
3.3响应入侵信息
针对入侵信息我们应作出准确反应,基于数据分析基础检测本地网段,令数据包中隐藏的恶意入侵准确发掘出来,并及时作出响应。该环节涵盖告警网络引擎、通知控制台、发送邮件于安全管理人员、对实时会话进行查看并通报制控制台,对现场事件如实记录日志,并采取相应安全行为进行网络配置的合理调整、终止不良入侵,对特定用户相应程序进行合理执行。另外我们可促进防火墙与入侵检测技术的优势结合应用,创设两者的协同模型及安全网络防护体系。令两者共同开放接口并依据固定协议展开通信,实现对端口进行约定。防火墙应用过滤机制对流经数据包展开解析并令其同事先完成定义的规则展开对比,进而令非授信数据包准确过滤。对于绕过防火墙的数据包我们可利用入侵检测技术依据一致特征规则集进行网络攻击检测并做出及时响应,确保对各类入侵攻击的有效防御。
4结论
总之,基于网络入侵不良影响我们只有主力研究如何有效防范网络入侵,科学检查、预测攻击行为,基于入侵检测思想进行实时动态监控,才能防患于未然令攻击影响消失在萌芽状态,进一步阻碍不良攻击事件的发生及扩大,进而真正创设优质、高效可靠的网络运行环境。
参考文献