入侵检测论文范文
时间:2023-03-24 22:27:35
导语:如何才能写好一篇入侵检测论文,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
论文摘要:随着计算机的飞速发展以及网络技术的普遍应用,随着信息时代的来临,信息作为一种重要的资源正得到了人们的重视与应用。因特网是一个发展非常活跃的领域,可能会受到黑客的非法攻击,所以在任何情况下,对于各种事故,无意或有意的破坏,保护数据及其传送、处理都是非常必要的。计划如何保护你的局域网免受因特网攻击带来的危害时,首先要考虑的是防火墙。防火墙的核心思想是在不安全的网际网环境中构造一个相对安全的子网环境。本文介绍了防火墙技术的基本概念、系统结构、原理、构架、入侵检测技术及VPN等相关问题。
Abstract:Alongwiththefastcomputerdevelopmentandtheuniversalapplicationofthenetworktechnology,alongwithinformationtimescomingupon,Informationisattractingtheworld’sattentionandemployedasakindofimportantresources.Internetisaveryactivelydevelopedfield.Becauseitmaybeillegallyattackedbyhackers,Itisverynecessaryfordata’sprotection,deliveryandprotectionagainstvariousaccidents,intentionalorwantdestroyunderanycondition.FirewallisthefirstconsiderationwhenplanhowtoprotectyourlocalareanetworkagainstendangersbroughtbyInternetattack.Thecorecontentoffirewalltechnologyistoconstructarelativelysafeenvironmentofsubnetinthenot-so-safenetworkenvironment.Thispaperintroducesthebasicconceptionandsystemstructureoffire-walltechnologyandalsodiscussestwomaintechnologymeanstorealizefire-wall:Oneisbasedonpacketfiltering,whichistorealizefire-wallfunctionthroughScreeningRouter;andtheotherisProxyandthetypicalrepresentationisthegatewayonapplicationlevel.....
第一章绪论
§1.1概述
随着以Internet为代表的全球信息化浪潮的来临,信息网络技术的应用正日益广泛,应用层次正在深入,应用领域也从传统的、小型业务系统逐渐向大型、关键业务系统扩展,其中以党政系统、大中院校网络系统、银行系统、商业系统、管理部门、政府或军事领域等为典型。伴随网络的普及,公共通信网络传输中的数据安全问题日益成为关注的焦点。一方面,网络化的信息系统提供了资源的共享性、用户使用的方便性,通过分布式处理提高了系统效率和可靠性,并且还具备可扩充性。另一方面,也正是由于具有这些特点增加了网络信息系统的不安全性。
开放性的网络,导致网络所面临的破坏和攻击可能是多方面的,例如:可能来自物理传输线路的攻击,也可以对网络通信协议和实现实施攻击,可以是对软件实施攻击,也可以对硬件实施攻击。国际性的网络,意味着网络的攻击不仅仅来自本地网络的用户,也可以来自linternet上的任何一台机器,也就是说,网络安全所面临的是一个国际化的挑战。开放的、国际化的Internet的发展给政府机构、企事业单位的工作带来了革命性的变革和开放,使得他们能够利用Internet提高办事效率、市场反应能力和竞争力。通过Internet,他们可以从异地取回重要数据,同时也面临Internet开放所带来的数据安全的挑战与危险。如何保护企业的机密信息不受黑客和工业间谍的入侵,己成为政府机构、企事业单位信息化建设健康发展所要考虑的重要因素之一。广泛分布的企业内部网络由公共网络互联起来,这种互联方式面临多种安全威胁,极易受到外界的攻击,导致对网络的非法访问和信息泄露。防火墙是安全防范的最有效也是最基本的手段之一。
虽然国内己有许多成熟的防火墙及其他相关安全产品,并且这些产品早已打入市场,但是对于安全产品来说,要想进入我军部队。我们必须自己掌握安全测试技术,使进入部队的安全产品不出现问题,所以对网络安全测试的研究非常重要,具有深远的意义。
§1.2本文主要工作
了解防火墙的原理、架构、技术实现
了解防火墙的部署和使用配置
熟悉防火墙测试的相关标准
掌握防火墙产品的功能、性能、安全性和可用性的测试方法
掌握入侵检测与VPN的概念及相关测试方法
第二章防火墙的原理、架构、技术实现
§2.1什么是防火墙?
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
§2.2防火墙的原理
随着网络规模的扩大和开放性的增强,网络上的很多敏感信息和保密数据将受到很多主动和被动的人为攻击。一种解决办法是为需要保护的网络上的每个工作站和服务器装备上强大的安全特征(例如入侵检测),但这几乎是一种不切合实际的方法,因为对具有几百个甚至上千个节点的网络,它们可能运行着不同的操作系统,当发现了安全缺陷时,每个可能被影响的节点都必须加以改进以修复这个缺陷。另一种选择就是防火墙(Firewall),防火墙是用来在安全私有网络(可信任网络)和外部不可信任网络之间安全连接的一个设备或一组设备,作为私有网络和外部网络之间连接的单点存在。防火墙是设置在可信任的内部网络和不可信任的外部网络之间的一道屏障,它可以实施比较广泛的安全策略来控制信息流,防止不可预料的潜在的入侵破坏.DMZ外网和内部局域网的防火墙系统。
§2.3防火墙的架构
防火墙产品的三代体系架构主要为:
第一代架构:主要是以单一cpu作为整个系统业务和管理的核心,cpu有x86、powerpc、mips等多类型,产品主要表现形式是pc机、工控机、pc-box或risc-box等;
第二代架构:以np或asic作为业务处理的主要核心,对一般安全业务进行加速,嵌入式cpu为管理核心,产品主要表现形式为box等;
第三代架构:iss(integratedsecuritysystem)集成安全体系架构,以高速安全处理芯片作为业务处理的主要核心,采用高性能cpu发挥多种安全业务的高层应用,产品主要表现形式为基于电信级的高可靠、背板交换式的机架式设备,容量大性能高,各单元及系统更为灵活。
§2.4防火墙的技术实现
从Windows软件防火墙的诞生开始,这种安全防护产品就在跟随着不断深入的黑客病毒与反黑反毒之争,不断的进化与升级。从最早期的只能分析来源地址,端口号以及未经处理的报文原文的封包过滤防火墙,后来出现了能对不同的应用程序设置不同的访问网络权限的技术;近年来由ZoneAlarm等国外知名品牌牵头,还开始流行了具有未知攻击拦截能力的智能行为监控防火墙;最后,由于近来垃圾插件和流氓软件的盛行,很多防火墙都在考虑给自己加上拦截流氓软件的功能。综上,Windows软件防火墙从开始的时候单纯的一个截包丢包,堵截IP和端口的工具,发展到了今天功能强大的整体性的安全套件。
第三章防火墙的部署和使用配置
§3.1防火墙的部署
虽然监测型防火墙安全性上已超越了包过滤型和服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代型产品为主,但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本。
实际上,作为当前防火墙产品的主流趋势,大多数服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的,应用网关能提供对协议的过滤。例如,它可以过滤掉FTP连接中的PUT命令,而且通过应用,应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。
----那么我们究竟应该在哪些地方部署防火墙呢?
----首先,应该安装防火墙的位置是公司内部网络与外部Internet的接口处,以阻挡来自外部网络的入侵;其次,如果公司内部网络规模较大,并且设置有虚拟局域网(VLAN),则应该在各个VLAN之间设置防火墙;第三,通过公网连接的总部与各分支机构之间也应该设置防火墙,如果有条件,还应该同时将总部与各分支机构组成虚拟专用网(VPN)。
----安装防火墙的基本原则是:只要有恶意侵入的可能,无论是内部网络还是与外部公网的连接处,都应该安装防火墙。
§3.2防火墙的使用配置
一、防火墙的配置规则:
没有连接的状态(没有握手或握手不成功或非法的数据包),任何数据包无法穿过防火墙。(内部发起的连接可以回包。通过ACL开放的服务器允许外部发起连接)
inside可以访问任何outside和dmz区域。
dmz可以访问outside区域。
inside访问dmz需要配合static(静态地址转换)。
outside访问dmz需要配合acl(访问控制列表)。
二、防火墙设备的设置步骤:
1、确定设置防火墙的部署模式;
2、设置防火墙设备的IP地址信息(接口地址或管理地址(设置在VLAN1上));
3、设置防火墙设备的路由信息;
4、确定经过防火墙设备的IP地址信息(基于策略的源、目标地址);
5、确定网络应用(如FTP、EMAIL等应用);
6、配置访问控制策略。
第四章防火墙测试的相关标准
防火墙作为信息安全产品的一种,它的产生源于信息安全的需求。所以防火墙的测试不仅有利于提高防火墙的工作效率,更是为了保证国家信息的安全。依照中华人民共和国国家标准GB/T18019-1999《信息技术包过滤防火墙安全技术要求》、GB/T18020-1999《信息技术应用级防火墙安全技术要求》和GB/T17900-1999《网络服务器的安全技术要求》以及多款防火墙随机提供的说明文档,中国软件评测中心软件产品测试部根据有关方面的标准和不同防火墙的特点整理出以下软件防火墙的测试标准:
4.1规则配置方面
要使防火墙软件更好的服务于用户,除了其默认的安全规则外,还需要用户在使用过程中不断的完善其规则;而规则的设置是否灵活方便、实际效果是否理想等方面,也是判断一款防火墙软件整体安全性是否合格的重要标准。简单快捷的规则配置过程让防火墙软件具备更好的亲和力,一款防火墙软件如果能实施在线检测所有对本机的访问并控制它们、分别对应用程序、文件或注册表键值实施单独的规则添加等等,这将成为此款软件防火墙规则配置的一个特色。
§4.2防御能力方面
对于防火墙防御能力的表现,由于偶然因素太多,因此无法从一个固定平等的测试环境中来得出结果。但是可以使用了X-Scan等安全扫描工具来测试。虽然得出的结果可能仍然有一定的出入,但大致可以做为一个性能参考。
§4.3主动防御提示方面
对于网络访问、系统进程访问、程序运行等本机状态发生改变时,防火墙软件一般都会有主动防御提示出现。这方面主要测试软件拦截或过滤时是否提示用户做出相应的操作选择。
§4.4自定义安全级别方面
用户是否可以参照已有安全级别的安全性描述来设置符合自身特殊需要的规则。防火墙可设置系统防火墙的安全等级、安全规则,以防止电脑被外界入侵。一般的防火墙共有四个级别:
高级:预设的防火墙安全等级,用户可以上网,收发邮件;l
中级:预设的防火墙安全等级,用户可以上网,收发邮件,网络聊天,FTP、Telnet等;l
低级:预设的防火墙安全等级,只对已知的木马进行拦截,对于其它的访问,只是给于提示用户及记录;l
自定义:用户可自定义防火墙的安全规则,可以根据需要自行进行配置。l
§4.5其他功能方面
这主要是从软件的扩展功能表现、操作设置的易用性、软件的兼容性和安全可靠性方面来综合判定。比如是否具有过滤网址、实施木马扫描、阻止弹出广告窗口、将未受保护的无线网络“学习”为规则、恶意软件检测、个人隐私保护等丰富的功能项,是否可以满足用户各方面的需要。
§4.6资源占用方面
这方面的测试包括空闲时和浏览网页时的CPU占用率、内存占有率以及屏蔽大量攻击时的资源占用和相应速度。总的来是就是资源占用率越低越好,启动的速度越快越好。
§4.7软件安装方面
这方面主要测试软件的安装使用是否需要重启系统、安装过程是不是方便、安装完成后是否提示升级本地数据库的信息等等。
§4.8软件界面方面
软件是否可切换界面皮肤和语言、界面是否简洁等等。简洁的界面并不代表其功能就不完善,相反地,简化了用户的操作设置项也就带来了更智能的安全防护功能。比如有的防护墙安装完成后会在桌面生成简单模式和高级模式两个启动项,这方便用户根据不同的安全级别启动相应的防护
第五章防火墙的入侵检测
§5.1什么是入侵检测系统?
入侵检测可被定义为对计算机和网络资源上的恶意使用行为进行识别和响应的处理过程,它不仅检测来自外部的入侵行为,同时也检测内部用户的未授权活动。
入侵检测系统(IDS)是从计算机网络系统中的若干关键点收集信息,并分析这些信息,检查网络中是否有违反安全策略的行为和遭到袭击的迹象。IDS被公认为是防火墙之后的第二道安全闸门,它作为一种积极主动的安全防护技术,从网络安全立体纵深、多层次防御的角度出发,对防范网络恶意攻击及误操作提供了主动的实时保护,从而能够在网络系统受到危害之前拦截和响应入侵
§5.2入侵检测技术及发展
自1980年产生IDS概念以来,已经出现了基于主机和基于网络的入侵检测系统,出现了基于知识的模型识别、异常识别和协议分析等入侵检测技术,并能够对百兆、千兆甚至更高流量的网络系统执行入侵检测。
入侵检测技术的发展已经历了四个主要阶段:
第一阶段是以基于协议解码和模式匹配为主的技术,其优点是对于已知的攻击行为非常有效,各种已知的攻击行为可以对号入座,误报率低;缺点是高超的黑客采用变形手法或者新技术可以轻易躲避检测,漏报率高。
第二阶段是以基于模式匹配+简单协议分析+异常统计为主的技术,其优点是能够分析处理一部分协议,可以进行重组;缺点是匹配效率较低,管理功能较弱。这种检测技术实际上是在第一阶段技术的基础上增加了部分对异常行为分析的功能。
第三阶段是以基于完全协议分析+模式匹配+异常统计为主的技术,其优点是误报率、漏报率和滥报率较低,效率高,可管理性强,并在此基础上实现了多级分布式的检测管理;缺点是可视化程度不够,防范及管理功能较弱。
第四阶段是以基于安全管理+协议分析+模式匹配+异常统计为主的技术,其优点是入侵管理和多项技术协同工作,建立全局的主动保障体系,具有良好的可视化、可控性和可管理性。以该技术为核心,可构造一个积极的动态防御体系,即IMS——入侵管理系统。
新一代的入侵检测系统应该是具有集成HIDS和NIDS的优点、部署方便、应用灵活、功能强大、并提供攻击签名、检测、报告和事件关联等配套服务功能的智能化系统§5.3入侵检测技术分类
从技术上讲,入侵检测技术大致分为基于知识的模式识别、基于知识的异常识别和协议分析三类。而主要的入侵检测方法有特征检测法、概率统计分析法和专家知识库系统。
(1)基于知识的模式识别
这种技术是通过事先定义好的模式数据库实现的,其基本思想是:首先把各种可能的入侵活动均用某种模式表示出来,并建立模式数据库,然后监视主体的一举一动,当检测到主体活动违反了事先定义的模式规则时,根据模式匹配原则判别是否发生了攻击行为。
模式识别的关键是建立入侵模式的表示形式,同时,要能够区分入侵行为和正常行为。这种检测技术仅限于检测出已建立模式的入侵行为,属已知类型,对新类型的入侵是无能为力的,仍需改进。
(2)基于知识的异常识别
这种技术是通过事先建立正常行为档案库实现的,其基本思想是:首先把主体的各种正常活动用某种形式描述出来,并建立“正常活动档案”,当某种活动与所描述的正常活动存在差异时,就认为是“入侵”行为,进而被检测识别。
异常识别的关键是描述正常活动和构建正常活动档案库。
利用行为进行识别时,存在四种可能:一是入侵且行为正常;二是入侵且行为异常;三是非入侵且行为正常;四是非入侵且行为异常。根据异常识别思想,把第二种和第四种情况判定为“入侵”行为。这种检测技术可以检测出未知行为,并具有简单的学习功能。
以下是几种基于知识的异常识别的检测方法:
1)基于审计的攻击检测技术
这种检测方法是通过对审计信息的综合分析实现的,其基本思想是:根据用户的历史行为、先前的证据或模型,使用统计分析方法对用户当前的行为进行检测和判别,当发现可疑行为时,保持跟踪并监视其行为,同时向系统安全员提交安全审计报告。
2)基于神经网络的攻击检测技术
由于用户的行为十分复杂,要准确匹配一个用户的历史行为和当前的行为是相当困难的,这也是基于审计攻击检测的主要弱点。
而基于神经网络的攻击检测技术则是一个对基于传统统计技术的攻击检测方法的改进方向,它能够解决传统的统计分析技术所面临的若干问题,例如,建立确切的统计分布、实现方法的普遍性、降低算法实现的成本和系统优化等问题。
3)基于专家系统的攻击检测技术
所谓专家系统就是一个依据专家经验定义的推理系统。这种检测是建立在专家经验基础上的,它根据专家经验进行推理判断得出结论。例如,当用户连续三次登录失败时,可以把该用户的第四次登录视为攻击行为。
4)基于模型推理的攻击检测技术
攻击者在入侵一个系统时往往采用一定的行为程序,如猜测口令的程序,这种行为程序构成了某种具有一定行为特征的模型,根据这种模型所代表的攻击意图的行为特征,可以实时地检测出恶意的攻击企图,尽管攻击者不一定都是恶意的。用基于模型的推理方法人们能够为某些行为建立特定的模型,从而能够监视具有特定行为特征的某些活动。根据假设的攻击脚本,这种系统就能检测出非法的用户行为。一般为了准确判断,要为不同的入侵者和不同的系统建立特定的攻击脚本。
使用基于知识的模式识别和基于知识的异常识别所得出的结论差异较大,甚至得出相反结论。这是因为基于知识的模式识别的核心是维护一个入侵模式库,它对已知攻击可以详细、准确地报告出攻击类型,但对未知攻击却无能为力,而且入侵模式库必须不断更新。而基于知识的异常识别则是通过对入侵活动的检测得出结论的,它虽无法准确判断出攻击的手段,但可以发现更广泛的、甚至未知的攻击行为。
§5.4入侵检测技术剖析
1)信号分析
对收集到的有关系统、网络、数据及用户活动的状态和行为等信息,一般通过三种技术手段进行分析:模式匹配、统计分析和完整性分析。其中前两种方法用于实时的入侵检测,而完整性分析则用于事后分析。
2)模式匹配
模式匹配就是将收集到的信息与已知的网络入侵和系统已有模式数据库进行比较,从而发现违背安全策略的行为。该过程可以很简单(如通过字符串匹配以寻找一个简单的条目或指令),也可以很复杂(如利用正规的数学表达式来表示安全状态的变化)。一般来讲,一种进攻模式可以用一个过程(如执行一条指令)或一个输出(如获得权限)来表示。该方法的一大优点是只需收集相关的数据集合,显著减少系统负担,且技术已相当成熟。它与病毒防火墙采用的方法一样,检测准确率和效率都相当高。但是,该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法,不能检测到从未出现过的黑客攻击手段。
3)统计分析
统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。在比较这一点上与模式匹配有些相象之处。测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。例如,本来都默认用GUEST帐号登录的,突然用ADMINI帐号登录。这样做的优点是可检测到未知的入侵和更为复杂的入侵,缺点是误报、漏报率高,且不适应用户正常行为的突然改变。具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法,目前正处于研究热点和迅速发展之中。
4)完整性分析
完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和目录的内容及属性,它在发现被更改的、被特咯伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制,称为消息摘要函数(例如MD5),它能识别哪怕是微小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵,只要是成功的攻击导致了文件或其它对象的任何改变,它都能够发现。缺点是一般以批处理方式实现,用于事后分析而不用于实时响应。尽管如此,完整性检测方法还应该是网络安全产品的必要手段之一。例如,可以在每一天的某个特定时间内开启完整性分析模块,对网络系统进行全面地扫描检查。
§5.5防火墙与入侵检测的联动
网络安全是一个整体的动态的系统工程,不能靠几个产品单独工作来进行安全防范。理想情况下,整个系统的安全产品应该有一个响应协同,相互通信,协同工作。其中入侵检测系统和防火墙之间的联动就能更好的进行安全防护。图8所示就是入侵检测系统和防火墙之间的联动,当入侵检测系统检测到入侵后,通过和防火墙通信,让防火墙自动增加规则,以拦截相关的入侵行为,实现联动联防。
§5.6什么是VPN?
VPN的英文全称是“VirtualPrivateNetwork”,翻译过来就是“虚拟专用网络”。顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一,目前在交换机,防火墙设备或Windows2000等软件里也都支持VPN功能,一句话,VPN的核心就是在利用公共网络建立虚拟私有网。
虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
§5.7VPN的特点
1.安全保障虽然实现VPN的技术和方式很多,但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在安全性方面,由于VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。
2.服务质量保证(QoS)
VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。在网络优化方面,构建VPN的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低,在流量高峰时引起网络阻塞,使实时性要求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量预测与流量控制策略,可以按照优先级分实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。
3.可扩充性和灵活性
VPN必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。
4.可管理性
从用户角度和运营商角度应可方便地进行管理、维护。VPN管理的目标为:减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上,VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。
§5.8VPN防火墙
VPN防火墙就是一种过滤塞(目前你这么理解不算错),你可以让你喜欢的东西通过这个塞子,别的玩意都统统过滤掉。在网络的世界里,要由VPN防火墙过滤的就是承载通信数据的通信包。
最简单的VPN防火墙是以太网桥。但几乎没有人会认为这种原始VPN防火墙能管多大用。大多数VPN防火墙采用的技术和标准可谓五花八门。这些VPN防火墙的形式多种多样:有的取代系统上已经装备的TCP/IP协议栈;有的在已有的协议栈上建立自己的软件模块;有的干脆就是独立的一套操作系统。还有一些应用型的VPN防火墙只对特定类型的网络连接提供保护(比如SMTP或者HTTP协议等)。还有一些基于硬件的VPN防火墙产品其实应该归入安全路由器一类。以上的产品都可以叫做VPN防火墙,因为他们的工作方式都是一样的:分析出入VPN防火墙的数据包,决定放行还是把他们扔到一边。
所有的VPN防火墙都具有IP地址过滤功能。这项任务要检查IP包头,根据其IP源地址和目标地址作出放行/丢弃决定。看看下面这张图,两个网段之间隔了一个VPN防火墙,VPN防火墙的一端有台UNIX计算机,另一边的网段则摆了台PC客户机。
当PC客户机向UNIX计算机发起telnet请求时,PC的telnet客户程序就产生一个TCP包并把它传给本地的协议栈准备发送。接下来,协议栈将这个TCP包“塞”到一个IP包里,然后通过PC机的TCP/IP栈所定义的路径将它发送给UNIX计算机。在这个例子里,这个IP包必须经过横在PC和UNIX计算机中的VPN防火墙才能到达UNIX计算机。
现在我们“命令”(用专业术语来说就是配制)VPN防火墙把所有发给UNIX计算机的数据包都给拒了,完成这项工作以后,比较好的VPN防火墙还会通知客户程序一声呢!既然发向目标的IP数据没法转发,那么只有和UNIX计算机同在一个网段的用户才能访问UNIX计算机了。
还有一种情况,你可以命令VPN防火墙专给那台可怜的PC机找茬,别人的数据包都让过就它不行。这正是VPN防火墙最基本的功能:根据IP地址做转发判断。但要上了大场面这种小伎俩就玩不转了,由于黑客们可以采用IP地址欺骗技术,伪装成合法地址的计算机就可以穿越信任这个地址的VPN防火墙了。不过根据地址的转发决策机制还是最基本和必需的。另外要注意的一点是,不要用DNS主机名建立过滤表,对DNS的伪造比IP地址欺骗要容易多了。
后记:
入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。入侵检测系统面临的最主要挑战有两个:一个是虚警率太高,一个是检测速度太慢。现有的入侵检测系统还有其他技术上的致命弱点。因此,可以这样说,入侵检测产品仍具有较大的发展空间,从技术途径来讲,除了完善常规的、传统的技术(模式识别和完整性检测)外,应重点加强统计分析的相关技术研究。
但无论如何,入侵检测不是对所有的入侵都能够及时发现的,即使拥有当前最强大的入侵检测系统,如果不及时修补网络中的安全漏洞的话,安全也无从谈起。
同样入侵检测技术也存在许多缺点,IDS的检测模型始终落后于攻击者的新知识和技术手段。主要表现在以下几个方面:
1)利用加密技术欺骗IDS;
2)躲避IDS的安全策略;
3)快速发动进攻,使IDS无法反应;
4)发动大规模攻击,使IDS判断出错;
5)直接破坏IDS;
6)智能攻击技术,边攻击边学习,变IDS为攻击者的工具。
我认为在与防火墙技术结合中应该注意扩大检测范围和类别、加强自学习和自适应的能力方面发展。
参考文献:
1..MarcusGoncalves著。宋书民,朱智强等译。防火墙技术指南[M]。机械工业出版社
2.梅杰,许榕生。Internet防火墙技术新发展。微电脑世界.
篇2
关键字贝叶斯;核密度;入侵检测;分类
1前言
在入侵检测系统中,为了提高系统的性能,包括降低误报率和漏报率,缩短反应时间等,学者们引入了许多方法,如专家系统、神经网络、遗传算法和数据挖掘中的聚类,分类等各种算法。例如:Cooper&Herkovits提出的一种基于贪心算法的贝叶斯信念网络,而Provan&SinghProvan,G.M&SinghM和其他学者报告了这种方法的优点。贝叶斯网络说明联合条件概率分布,为机器学习提供一种因果关系的图形,能有效的处理某些问题,如诊断:贝叶斯网络能正确的处理不确定和有噪声的问题,这类问题在任何检测任务中都很重要。
然而,在分类算法的比较研究发现,一种称作朴素贝叶斯分类的简单贝叶斯算法给人印象更为深刻。尽管朴素贝叶斯的分类器有个很简单的假定,但从现实数据中的实验反复地表明它可以与决定树和神经网络分类算法相媲美[1]。
在本文中,我们研究朴素贝叶斯分类算法,用来检测入侵审计数据,旨在开发一种更有效的,检验更加准确的算法。
2贝叶斯分类器
贝叶斯分类是统计学分类方法。它们可以预测类成员关系的可能性,如给定样本属于一个特定类的概率。
朴素贝叶斯分类[2]假定了一个属性值对给定类的影响独立于其它属性的值,这一假定称作类条件独立。
设定数据样本用一个n维特征向量X={x1,x2,,xn}表示,分别描述对n个属性A1,A2,,An样本的n个度量。假定有m个类C1,C2,,Cm。给定一个未知的数据样本X(即没有类标号),朴素贝叶斯分类分类法将预测X属于具有最高后验概率(条件X下)的类,当且仅当P(Ci|X)>P(Cj|X),1≤j≤m,j≠i这样,最大化P(Ci|X)。其中P(Ci|X)最大类Ci称为最大后验假定,其原理为贝叶斯定理:
公式(1)
由于P(X)对于所有类为常数,只需要P(X|Ci)P(Ci)最大即可。并据此对P(Ci|X)最大化。否则,最大化P(X|Ci)P(Ci)。如果给定具有许多属性的数据集,计算P(X|Ci)P(Ci)的开销可能非常大。为降低计算P(X|Ci)的开销,可以做类条件独立的朴素假定。给定样本的类标号,假定属性值相互条件独立,即在属性间,不存在依赖关系,这样,
公式(2)
概率,可以由训练样本估值:
(1)如果Ak是分类属性,则P(xk|Ci)=sik/si其中sik是Ak上具有值xk的类Ci的训练样本数,而si是Ci中的训练样本数。
(2)如果Ak是连续值属性,则通常假定该属性服从高斯分布。因而
公式(3)
其中,给定类Ci的训练样本属性Ak的值,是属性Ak的高斯密度函数,而分别为平均值和标准差。
朴素贝叶斯分类算法(以下称为NBC)具有最小的出错率。然而,实践中并非如此,这是由于对其应用假定(如类条件独立性)的不确定性,以及缺乏可用的概率数据造成的。主要表现为:
①不同的检测属性之间可能存在依赖关系,如protocol_type,src_bytes和dst_bytes三种属性之间总会存在一定的联系;
②当连续值属性分布是多态时,可能产生很明显的问题。在这种情况下,考虑分类问题涉及更加广泛,或者我们在做数据分析时应该考虑另一种数据分析。
后一种方法我们将在以下章节详细讨论。
3朴素贝叶斯的改进:核密度估计
核密度估计是一种普便的朴素贝叶斯方法,主要解决由每个连续值属性设为高斯分布所产生的问题,正如上一节所提到的。在[3]文中,作者认为连续属性值更多是以核密度估计而不是高斯估计。
朴素贝叶斯核密度估计分类算法(以下称K-NBC)十分类似如NBC,除了在计算连续属性的概率时:NBC是使用高斯密度函数来评估该属性,而K-NBC正如它的名字所说得一样,使用高斯核密度函数来评估属性。它的标准核密度公式为
公式(4)
其中h=σ称为核密度的带宽,K=g(x,0,1),定义为非负函数。这样公式(4)变形为公式(5)
公式(5)
在K-NBC中采用高斯核密度为数据分析,这是因为高斯密度有着更理想的曲线特点。图1说明了实际数据的概率分布更接近高斯核密度曲线。
图1两种不同的概率密度对事务中数据的评估,其中黑线代表高斯密度,虚线为核估计密度并有两个不同值的带宽朴素贝叶斯算法在计算μc和σc时,只需要存储观测值xk的和以及他们的平方和,这对一个正态分布来说是已经足够了。而核密度在训练过程中需要存储每一个连续属性的值(在学习过程中,对名词性属性只需要存储它在样本中的频率值,这一点和朴素贝叶斯算法一样)。而为事例分类时,在计算连续值属性的概率时,朴素贝叶斯算法只需要评估g一次,而核密度估计算法需要对每个c类中属性X每一个观察值进行n次评估,这就增加计算存储空间和时间复杂度,表1中对比了两种方法的时间复杂度和内存需求空间。
4实验研究与结果分析
本节的目标是评价我们提出核密度评估分类算法对入侵审计数据分类的效果,主要从整体检测率、检测率和误检率上来分析。
表1在给定n条训练事务和m个检测属性条件下,
NBC和K-NBC的算法复杂度
朴素贝叶斯核密度
时间空间时间空间
具有n条事务的训练数据O(nm)O(m)O(nm)O(nm)
具有q条事务的测试数据O(qm)O(qnm)
4.1实验建立
在实验中,我们使用NBC与K-NBC进行比较。另观察表1两种算法的复杂度,可得知有效的减少检测属性,可以提高他们的运算速度,同时删除不相关的检测属性还有可以提高分类效率,本文将在下一节详细介绍对称不确定方法[4]如何对入侵审计数据的预处理。我们也会在实验中进行对比分析。
我们使用WEKA来进行本次实验。采用KDDCUP99[5]中的数据作为入侵检测分类器的训练样本集和测试样本集,其中每个记录由41个离散或连续的属性(如:持续时间,协议类型等)来描述,并标有其所属的类型(如:正常或具体的攻击类型)。所有数据分类23类,在这里我们把这些类网络行为分为5大类网络行为(Normal、DOS、U2R、R2L、Probe)。
在实验中,由于KDDCUP99有500多万条记录,为了处理的方便,我们均匀从kddcup.data.gz中按照五类网络行为抽取了5万条数据作为训练样本集,并把他们分成5组,每组数据为10000条,其中normal数据占据整组数据中的98.5%,这一点符合真实环境中正常数据远远大于入侵数据的比例。我们首
先检测一组数据中只有同类的入侵的情况,共4组数据(DOS中的neptune,Proble中的Satan,U2R中的buffer_overflow,R2l中的guess_passwd),再检测一组数据中有各种类型入侵数据的情况。待分类器得到良好的训练后,再从KDD99数据中抽取5组数据作为测试样本,分别代表Noraml-DOS,Normal-Probe,Normal-U2R,Normal-R2L,最后一组为混后型数据,每组数据为1万条。
4.2数据的预处理
由于朴素贝叶斯有个假定,即假定所有待测属性对给定类的影响独立于其他属性的值,然而现实中的数据不总是如此。因此,本文引入对称不确定理论来对数据进行预处理,删除数据中不相关的属性。
对称不确定理论是基于信息概念论,首先我们先了解一下信息理论念,属性X的熵为:
公式(6)
给定一个观察变量Y,变量X的熵为:
公式(7)
P(xi)是变量X所有值的先验概率,P(xi|yi)是给定观察值Y,X的后验概率。这些随着X熵的降低反映在条件Y下,X额外的信息,我们称之为信息增益,
公式(8)
按照这个方法,如果IG(X|Y)>IG(X|Y),那么属性Y比起属性Z来,与属性X相关性更强。
定理:对两个随机变量来说,它们之间的信息增益是对称的。即
公式(9)
对测量属性之间相关性的方法来说,对称性是一种比较理想的特性。但是在计算有很多值的属性的信息增益时,结果会出现偏差。而且为了确保他们之间可以比较,必须使这些值离散化,同样也会引起偏差。因此我们引入对称不确定性,
公式(10)
通过以下两个步骤来选择好的属性:
①计算出所有被测属性与class的SU值,并把它们按降序方式排列;
②根据设定的阈值删除不相关的属性。
最后决定一个最优阈值δ,这里我们通过分析NBC和K-NBC计算结果来取值。
4.3实验结果及分析
在试验中,以记录正确分类的百分比作为分类效率的评估标准,表2为两种算法的分类效率。
表2对应相同入侵类型数据进行检测的结果
数据集
算法DOS
(neptune)Proble
(satan)R2L
(guess_passwd)U2R
(buffer_overflow)
检测率误检率整体检测率检测率误检率整体检测率检测率误检率整体检测率检测率误检率整体检测率
NBC99.50.299.7998.30.199.8497.30.899.2951.898.21
K-NBC99.50.299.9698.3099.9697.30.299.81710.199.76
SU+NBC99.5099.9698.30.199.85980.799.2491.198.84
SU+K-NBC99.5099.9698.3099.9698.70.299.76850.199.81
根据表2四组不同类别的入侵检测结果,我们从以下三个方面分析:
(1)整体检测率。K-NBC的整体检测率要比NBC高,这是因为K-NBC在对normal这一类数据的检测率要比NBC高,而normal这一类数据又占整个检测数据集数的95%以上,这也说明了在上一节提到的normal类的数据分布曲线更加接近核密度曲线。
(2)检测率。在对DOS和PROBLE这两组数据检测结果,两个算法的检测率都相同,这是因为这两类入侵行为在实现入侵中占绝大部分,而且这一类数据更容易检测,所以两种算法的检测效果比较接近;针对R2L检测,从表2可以看到,在没有进行数据预处理之前,两者的的检测率相同,但经过数据预处理后的两个算法的检测率都有了提高,而K-NBC的效率比NBC更好点;而对U2R的检测结果,K-NBC就比NBC差一点,经过数据预处理后,K-NBC的检测率有一定的提高,但还是比NBC的效果差一些。
(3)误检率。在DOS和Proble这两种组数据的误检率相同,在其他两组数据的中,K-NBC的误检率都比NBC的低。
根据表3的结果分析,我们也可以看到的检测结果与表2的分组检测的结果比较类似,并且从综合角度来说,K-NBC检测效果要比NBC的好。在这里,我们也发现,两种算法对R2L和U2L这两类入侵的检测效果要比DOS和Proble这两类入侵的差。这主要是因为这两类入侵属于入侵行为的稀有类,检测难度也相应加大。在KDD99竞赛中,冠军方法对这两类的检测效果也是最差的。但我们可以看到NBC对这种稀有类的入侵行为检测更为准确一点,这应该是稀有类的分布更接近正态分布。
从上述各方面综合分析,我们可以证明K-NBC作为的入侵检测分类算法的是有其优越性的。
表3对混合入侵类型数据进行检测的结果
数据集
算法整体检测分类检测
NormalDosProbleR2LU2R
检测率误检率检测率误检率检测率误检率检测率误检率检测率误检率检测率误检率
NBC98.141.898.20.899.8099.8090086.71.8
K-NBC99.780.299.82.399.8099.8096073.30.1
SU+NBC97.992.0980.899.8099.8090086.71.9
SU+K-NBC99.790.299.81.999.8099.80960800.1
5结论
在本文中,我们用高斯核密度函数代替朴素贝叶斯中的高斯函数,建立K-NBC分类器,对入侵行为进行检测,另我们使用对称不确定方法来删除检测数据的中与类不相关的属性,从而进一步改进核密度朴素贝叶斯的分类效率,实验表明,对预处理后的审计数据,再结合K-NBC来检测,可以达到更好的分类效果,具有很好的实用性。同时我们也注意到,由于入侵检测的数据中的入侵行为一般为稀有类,特别是对R2L和U2R这两类数据进行检测时,NBC有着比较理想的结果,所以在下一步工作中,我们看是否能把NBC和K-NBC这两种分类模型和优点联合起来,并利用对称不确定理论来删除检测数据与类相关的属性中的冗余属性,进一步提高入侵检测效率。
参考文献
[1]Langley.P.,Iba,W.&Thompson,K.AnanalysisofBayesianclassifiers[A],in“ProceedingsoftheTenthNationalConferenceonArtificialIntelligence”[C]MenloPark,1992.223-228
[2]HanJ.,KamberM..数据挖掘概念与技术[M].孟小峰,等译.北京:机械工业出版社.2005.196201
[3]JohnG.H..EnhancementstotheDataMiningProcess[D].Ph.D.Thesis,ComputerScienceDept.,StanfordUniversity,1997
篇3
关键词:校园网络;黑客攻击;入侵技术
1 校园网络安全现状
随着网络应用的普及,电子商务!电子银行和电子政务等网络服务的大力发展,网络在人们日常生活中的应用越来越多重要性越来越大,网络攻击也越来越严重。有一些人专门利用他们掌握的信息技术知识从事破坏活动,入侵他人计算机系统窃取!修改和破坏重要信息,给社会造成了巨大的损。随着攻击手段的变化,传统的以身份验证、加密、防火墙为主的静态安全防护体系已经越来越难以适应日益变化的网络环境,尤其是授权用户的滥用权利行为,几乎只有审计才能发现园网是国内最大的网络实体,如何保证校园网络系统的安全,是摆在我们面前的最重要问题。
因此,校园网对入侵检测系统也有着特别的需求校园网的特点是在线用户比率高、上网时间长、用户流量大、对服务器访问量大,这种情况下,校园网络面临着许多安全方面的威胁:
(1)黑客攻击,特别是假冒源地址的拒绝服务攻击屡有发生攻击者通过一些简单的攻击工具,就可以制造危害严重的网络洪流,耗尽网络资源或使主机系统资源遭到攻击同时,攻击者常常借助伪造源地址的方法,使网络管理员对这种攻击无可奈何。
(2)病毒和蠕虫,在高速大容量的局域网络中,各种病毒和蠕虫,不论新旧都很容易通过有漏洞的系统迅速传播扩散"其中,特别是新出现的网络蠕虫,常常可以在爆发初期的几个小时内就闪电般席卷全校,造成网络阻塞甚至瘫痪。
(3)滥用网络资源,在校园网中总会出现滥用带宽等资源以致影响其他用户甚至整个网络正常使用的行为如各种扫描、广播、访问量过大的视频下载服务等等。入侵检测系统(IntrusionDeteetionSystem,IDS)的出现使得我们可以主动实时地全面防范网络攻击N工DS指从网络系统的若干节点中搜集信息并进行分析,从而发现网络系统中是否有违反安全策略的行为,并做出适当的响应"它既能检测出非授权使用计算机的用户,也能检测出授权用户的滥用行为。
IDS按照功能大致可划分为主机入侵检测(HostIDS,HIDS)网络入侵检测(NetworkIDS,NIDS)分布式入侵检测(DistributedIDS,DIDS)其中,网络入侵检测的特点是成本低,实时地检测和分析,而且可以检测到未成功的攻击企图"从分析方法的角度可分为异常检测(Anomaly DeteCtion)和误用检测(MISuseDeteCtion)其中误用检测是指定义一系列规则,符合规则的被认为是入侵其优点是误报率低、开销小、效率高Snort作为IDS的经典代表,是基于网络和误用检测的入侵检测系统入侵检测技术自20世纪80年代早起提出以来,在早期的入侵检测系统中,大多数是基于主机的,但是在过去的10年间基于网络的入侵检测系统占有主要地位,现在和未来的发展主流将是混合型和分布式形式的入侵检测系统。
2 入侵检测研究现状
国外机构早在20世纪80年代就开展了相关基础理论研究工作。经过20多年的不断发展,从最初的一种有价值的研究想法和单纯的理论模型,迅速发展出种类繁多的各种实际原型系统,并且在近10年内涌现出许多商用入侵检测系统,成为计算机安全防护领域内不可缺少的一种安全防护技术。Anderson在1980年的报告“Computer Seeurity Threat Monitoring and Surveillance”中,提出必须改变现有的系统审计机制,以便为专职系统安全人员提供安全信息,此文被认为是有关入侵检测的最早论述;1984一1986年,Dorothy E.Denning和Peter G.Neumann联合开发了一个实时IDES(Intrusion DeteCtion Expert System),IDES采用统计分析,异常检测和专家系统的混合结构,Delming1986年的论文“An Intrusion Deteetion Modelo”,被公认为是入侵检测领域的另一开山之作"。1987年,Dorothy Denning发表的经典论文AnIntursion Deteetion Modelo中提出了入侵检测的基本模型,并提出了几种可用于入侵检测的统计分析模型。Dnening的论文正式启动了入侵检测领域的研究工作,在发展的早期阶段,入侵检测还仅仅是个有趣的研究领域,还没有获得计算机用户的足够注意,因为,当时的流行做法是将计算机安全的大部分预算投入到预防性的措施上,如:加密、身份验证和访问控制等方面,而将检测和响应等排斥在外。到了1996年后,才逐步出现了大量的商用入侵检测系统。从20世纪90年代到现在,入侵检测系统的研发呈现出百家争鸣的繁荣局面,并在智能化和分布式两个方向取得了长足的进展。其中一种主要的异常检测技术是神经网络技术,此外,如基于贝叶斯网络的异常检测方法,基于模式预测的异常检测方法,基于数据挖掘的异常检测方法以及基于计算机免疫学的检测方法也相继出现,对于误用入侵检测也有多种检测方法,如专家系统(expert system),特征分析(Signature analysis),状态转移分析(State transition analysis)等.
入侵检测系统的典型代表是ISSInc(国际互联网安全系统公司)Rea1Secure产品。较为著名的商用入侵检测产品还有:NAJ公司的CyberCoPMoitor、Axent公司的Netprowler、CISCO公司的Netranger、CA公司的SeSSionwall-3等。目前,普渡大学、加州大学戴维斯分校、洛斯阿拉莫斯国家实验室、哥伦比亚大学、新墨西哥大学等机构在这些方面的研究代表了当前的最高水平。随着计算机系统软、硬件的飞速发展,以及网络技术、分布式计算!系统工程!人工智能等计算机新兴技术与理论的不断发展与完善,入侵检测理论本身也处于发展变化中,但还未形成一个比较完整的理论体系。
在国内,随着上网的关键部门、关键业务越来越多,更需要具有自主版权的入侵检测产品。我国在这方面的研究相对晚,国内的该类产品较少,但发展较快,己有总参北方所、中科网威、启明星辰,H3C等公司推出产品。至今日入侵检测技术仍然改变了以往被动防御的特点,使网络管理员能够主动地实时跟踪各种危害系统安全的入侵行为并做出及时的响应,尤其在抵御网络内部人员的破坏时更有独到的特点,因而成为了防火墙之后的又一道安全防线。
随着互联网的进一步普及和深入,入侵检测技术有着更广泛的发展前途和实际价值。尽管问题尚存,但希望更大,相信目前正在研究的大规模分布式入侵检测系统、基于多传感器的数据融合、基于计算机免疫技术、基于神经网络及基于遗传算法等的新一代入侵检测系统一定能够解决目前面临到种种问题,更好地完成抵御入侵的任务。
3 未来和展望
随着网络规模和复杂程度的不断增长,如何在校园网多校区乃至异构网络环境下收集和处理分布在网络各处的不同格式信息!如何进行管理域间的合作以及保证在局部入侵检测失效的情况下维持系统整体安全等"同时,伴随着大量诸如高速/超高速接入手段的出现,如何实现高速/超高速网络下的实时入侵检测。降低丢包率也成为一个现实的问题,面对G级的网络数据流量,传统的软件结构和算法都需要重新设计;开发和设计适当的专用硬件也成为研究方向之一"时至今日,入侵检测系统的评估测试方面仍然不成熟,如何对入侵检测系统进行评估是一个重要而敏感的话题。
参考文献
[1]董明明,巩青歌.Snort规则集的优化方法.计算机安全.2009.8:35-37
篇4
论文摘要:自从有了计算机网络,资源和信息的共享更方便了,但信息安全变得困难了,文章就网络的安全进行了探讨。
随着计算机信息技术的发展,使网络成为全球信息传递和交互的主要途径,改变着人们的生产和生活方式。网络信息已经成为社会发展的重要组成部分,对政治、经济、军事、文化、教育等诸多领域产生了巨大的影响。事实上,网络安全已经成为关系国家主权和国家安全、经济繁荣和社会稳定、文化传承和教育进步的重大问题,因此,我们在利用网络信息资源的同时,必须加强网络信息安全技术的研究和开发。
1网络安全的概念
运用网络的目的是为了利用网络的物理或逻辑的环境,实现各类信息的共享,计算机网络需要保护传输中的敏感信息,需要区分信息的合法用户和非法用户。在使用网络的同时,有的人可能无意地非法访问并修改了某些敏感信息,致使网络服务中断,有的人出于各种目的有意地窃取机密信息,破坏网络的正常运作。所有这些都是对网络的威胁。因此,网络安全从其本质上来讲就是网络的信息安全,主要研究计算机网络的安全技术和安全机制,以确保网络免受各种威胁和攻击,做到正常而有序地工作。
2网络安全的分析
确保网络安全应从以下四个方面着手:
①运行系统的安全。硬件系统的可靠安全运行,计算机操作系统和应用软件的安全,数据库系统的安全,侧重于保证系统正常地运行,其本质是保护系统的合法操作和正常运行。②网络上系统信息的安全。即确保用户口令鉴别、用户存取权限控制,数据存取权限、数据加密、计算机病毒防治等方面的安全。③网络上信息传播的安全。信息传播后的安全,包括信息过滤等。其侧重于防止和控制非法、有害的信息传播产生的后果,避免网络上传输的信息失控。④网络上信息内容的安全。即保护信息的保密性、真实性和完整性。保护用户的利益和隐私。
3网络安全的攻略
网络的任何一部分都存在安全隐患,针对每一个安全隐患需要采取具体的措施加以防范。目前常用的安全技术有包过滤技术、加密技术、防火墙技术、入侵检测技术等。下面分别介绍:
①包过滤技术。它可以阻止某些主机随意访问另外一些主机。包过滤功能通常在路由器中实现,具有包过滤功能的路由器叫包过滤路由器。网络管理员可以配置包过滤路由器,来控制哪些包可以通过,哪些包不可以通过。
②加密技术。凡是用特种符号按照通信双方约定的方法把数据的原形隐藏起来,不为第三者所识别的通信方式称为密码通信。在计算机通信中,采用密码技术将信息隐蔽起来,再将隐蔽后的信息传播出去,是信息在传输过程中即使被窃取或截获,窃取者也不能了解信息的内容,从而保证信息传输的安全。
③防火墙技术。防火墙将网络分为内部和外部网络,内部网络是安全的和可信赖的,而外部网络则是不太安全。它是一种计算机硬件和软件的结合,对内部网络和外部网络之间的数据流量进行分析、检测、管理和控制,从而保护内部网络免受外部非法用户的侵入。
④入侵检测技术。通过对计算机网络和主机系统中的关键信息进行实时采集和分析,从而判断出非法用户入侵和合法用户滥用资源的行为,并作出适当反应的网络安全技术。
根据入侵检测系统的技术与原理的不同,可以分为异常入侵检测、误用入侵检测和特征检测三种。
异常入侵检测技术。收集一段时间内合法用户行为的相关数据,然后使用统计方法来考察用户行为,来断定这些行为是否符合合法用户的行为特征。如果能检测所有的异常活动,就能检测所有的入侵性活动。
误用入侵检测技术。假设具有能够被精确地按某种方式编码的攻击,并可以通过捕获攻击及重新整理,确认入侵活动是基于同一弱点进行攻击的入侵方法的变种。它是通过按照预先定义好的入侵模式以及观察到入侵发生情况进行模式匹配来检测。
特征检测。此方法关注的是系统本身的行为,定义系统行为轮廓,并将系统行为与轮廓进行比较,对未指明为正常行为的事件定义为入侵。
网络安全已经成为网络发展的瓶颈,也是一个越来越引起世界关注的重要问题。只有重视了网络安全,才能将可能出现的损失降到最低。
参考文献
[1] 郭秋萍.计算机网络技术[M].北京:清华大学出版社,2008.
[2] 张震.计算机网络技术实用教程[M].北京:北京交通大学出版社,2009.
篇5
关键词:无线传感器网络;入侵检测;机器学习;博弈论
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)13-3004-03
Survey on Intrusion Detection System in Wireless Sensor Networks
DUAN Xiao-yang1, MA Hui-fang2, HAN Zhi-jie1, WANG Guan-nan1
(1.School of Computer and Information Engineering Henan University, Kaifeng 475004, China; 2.Kaifeng Institute of Education, Kaifeng 475004, China)
Abstract: Recently, wireless sensor networks has an increasingly wide range of applications in intelligent environmental monitoring, disaster control, battlefield surveillance and security monitoring. It caused growing concern. So the wireless sensor network security appears particularly important. The paper firstly depicted the intrusion and intrusion detection. Then the current intrusion detection techniques in wireless sensor networks as well as their advantages and disadvantages are described and analyzed in detail by classification. Finally the paper stated the possible intrusion detection technology in wireless sensor networks.
Key words: WSN; intrusion detection; machine learning; game theory
无线传感器网络(wireless sensor network,简称WSN )的相关研究已经成为现阶段国内外研究的热点[1-4]。与目前常见的无线网络相比,无线传感器网络具有以下特征:网络的自组织性,动态变化的网络拓扑结构,分布式控制,多条无线网络,节点功能的局限性,无线网络的局限性,安全性差,数量多、规模大,数据冗余与汇聚等。
有关安全的研究和历史表明,不管在网络中采取多么先进的安全措施,攻击者总有可能找到网络系统的弱点,实施攻击。单独使用预防技术(如加密、身份认证等)难以达到预期的安全目标,这些技术可以降低网络被攻击的可能性,但是不能完全杜绝攻击,因此,安全的防御措施也是不可或缺的,入侵检测系统(IDS Instruction Detection System)是近年来出现的新型网络安全技术,它弥补了上述防范措施的不足,可以为网络安全提供实时的入侵检测及采取相应的保护。
本文主要对入侵检测系统和现阶段的入侵检测技术进行分类介绍和分析,并对比各自的优缺点,最后提出自己对无线传感器网络入侵检测技术发展的展望。
1 入侵和入侵检测
入侵行为被定义为任何试图破坏目标资源的完整性、机密性和可访问性的动作。入侵一般可简单分为外部入侵和内部入侵。Denning在1987年发表的论文中,首先对入侵检测系统模式做出定义:一般而言,入侵检测通过网络风暴或信息的收集,检测可能的入侵行为,并且能在入侵行为造成危害前及时发出报警同质系统管理员并进行相关的处理措施。为达成这个目的,入侵检测系统应包含3个必要功能的组件(信息收集、检测引擎和相应组件),如图1所示。
2 入侵检测系统的分类
1) 根据数据信息来源进行分类
基于主机的IDS(HIDS):在操作系统、应用程序或内核层次上对攻击进行检测。系统获取数据的依据是系统运行所在的主机,保护的目标也是系统运行所在的主机,通过监视和分析主机的审计记录和日志文件来检测入侵。
基于网络的IDS(NIDS):系统获取数据的来源是网络传输的原始数据包,NIDS放置在网络基础设施的关键区域,通常利用一个运行在随机模式下的网络适配器来实时监视并分析通过网络的所有通信业务,保护的目标是网路的运行。
混合型的IDS:它是基于主机和基于网络的的入侵检测系统的结合,在网络中配置NIDS以检测整个网络的安全情况,同时在那些关键的主机上配置HIDS,这可以提供比采用单一的入侵检测方案更为安全的保护。
2) 根据响应方式的不同进行分类
主动响应IDS:如果检测出入侵后,能够主动重新配置防火墙、关闭适当的服务或反击入侵者,那么就被称为主动响应。
被动响应IDS:若检测到入侵后仅仅给出警报或记录日志,就是被动响应。
3) 根据系统各个模块运行的分布式方式不同进行分类
集中式入侵检测:它有一个中心计算机负责监控、检测和响应等工作,这种适用于网络比较简单的情况下。
分布式入侵检测:他它用一个移动的方式监视和检测,每个分析点都有响应的能力。
4) 根据分析方法的不同进行分类
异常入侵检测:这种方法首先总结出正常操作应该具有的特征,在得出正常操作的模型后,对后续的操作进行监视,一旦发现偏离正常统计学意义上的操作模式,即进行报警。
误用入侵检测:这种方法首先收集非正常操作也即入侵行为的特征,建立相关的特征库,在后续的检测过程中,将收集到的数据与特征库中的特征代码相比较,得出是否入侵的结论。
混合型入侵检测:即异常检测和误用检测的结合,基于异常的入侵检测可以发现一些未知的的攻击,对具体系统的依赖性相对较小,但误报率很高,配置和实现也相对困难;基于误用的入侵检测能比较准确地检测到已经标识的入侵行为,但是对具体的系统依赖性很大,移植性差,而且不能检测到新的攻击类型。所以,只有把二者有机结合起来,才能达到最佳的系统性能,如图2是一个通用的将二者结合起来的检测方法。
3 入侵检测技术
传感器网络的资源局限性和应用相关性等特点,决定了对其入侵检测机制的研究是一个极具挑战性的课题,一个行之有效的传感器网络入侵检测系统须要具有简单性、实时性和检测准确性三个特性。下面主要介绍一下目前的无线传感器网络检入侵检测技术方法及其各自的优缺点:
1) 基于多Agent的入侵检测。
王培等在文献[5]中针对分簇式无线传感器网络提出了基于多的入侵检测方法,其系统结构如图3所示。
通过让节点和簇头分别执行不同检测任务,结合本地检测和联合检测,并采用多个模块分别实现数据收集、分析检测和入侵响应和管理的任务,以便使系统具有操作简单、易于扩展、能耗降低、安全性提高的特点。但是该方案中每个节点中都需要配备监视Agent、检测Agent、响应Agent和管理Agent,会占用节点的大量存储空间,而且也会增加节点的能源消耗。
这种方法可以减少网络负载,克服网络延迟和良好的可扩展性,高安全性,但是每个节点都有多个功能,较大的能量消耗,在其测试活动过程重叠时,准确率将大大低和较低的自适应性。
2) 基于机器学习和数据挖掘的入侵检测。
基于机器学习的入侵检测整体架构如图4所示。
文献[6]提出基于免疫遗传算法的异常检测,节点从它的邻居节点偷听信标包并提取称为抗原的关键参数,如果匹配的抗原数量比在一个探测器的寿命预先定义的阈值高时,该探测器将失效并产生一个新的探测器。反之,如果匹配的抗原数量比探测器的寿命阈值少时,探测器将触发入侵报警,对于探测器更新机制,使建议的IDS更加健壮;文献[7]针对选择性转发攻击提出了基于支持向量机的异常检测,使用SVM针对入侵数据的健壮分类方法。SVM克服传统机器学习方法大样本的缺陷,根据有限的样本信息在模型的复杂性和学习能力之间寻求最佳折衷,能获得最好的范化能力。
这种方法将异常检测作为分类或者聚类问题,借助机器学习的有效学习能力,构建具有一定精度的异常检测模型,具有较高的准确率,但是,不足之处是需要的样本量较大,训练时间长。
3) 基于网络流量分析的入侵检测
基于流量分析的入侵检测模型的基本结构如图5所示。
文献[8]采用Markov线性预测模型,为无线传感器网络设计了一种基于流量预测的拒绝服务攻击检测方案――MPDD。在该方案中,每个节点基于流量预测判断和检测异常网络流量,无需特殊的硬件支持和节点之间的合作;提出了一种报警评估机制,有效提高方案的检测准确度.减少了预测误差或信道误码所带来的误报。文献[9] 等提出了基于流量分析的入侵检测方案,通过对邻居节点的行为进行统计分析,阀值技术分析,然后应用到选定参数,即一定长度的时间窗下所接收的数据包数和数据包的间隔时间,它不需要任何额外的硬件安装和额外的通讯费用,其计算代价也比较低。
这种方法相对比较简单,直观,实时性高,但要求流量输入要具备一定的统计特性,因此不具有通用性,误报率高。
4) 基于博弈论模型的入侵检测。
基于博弈论的入侵检测系统基本模型如图6所示,分布在网络中的入侵检测器采用某种检测手段审计网络数据,检测入侵,并提交检测结果。然后博弈模型模拟攻防双方的互动行为,并权衡来自入侵检测器的检测结果和其检测效率,得出纳什均衡以辅助IDS做出合理正确的响应策略。
Mohsen Estiri等人在文献[10]中针对无线传感器网络的丢包攻击提出基于博弈论的入侵检测方案,提出了重复博弈理论模型来进行入侵检测,在该模型中,将无线传感器网络中的攻击者与入侵检测系统作为非协作、非零和的博弈双方,并利用平均折扣因子收益来显示节点在博弈当前阶段所达到的比下一阶段所得到的更有价值。而且最终系统将达到纳什均衡,形成无线传感器网络的防御策略。
这种方法方法可以帮助管理者权衡检测效率和网络资源,但是检测的人为干预是必须的,而且具有较差的系统适应能力。
5)基于信任机制的入侵检测。
Min Lin[11]等提出了基于信任模型的动态入侵检测方案,利用具有较高信任度的节点来交替地检测簇内节点,提出了非参数CUSUM的检测改进算法,报警响应也借助信任模型中的信任级划分,有效减少节点的能源消耗,减小节点的计算开销。Long Ju[12]等提出了基于加权信任机制的入侵检测方法,在系统开始就给每个传感器节点分配权重,每个周期当节点发送与其他节点不同的报告时进行更新,这样当节点的权重低于某一阈值时就被检测出是恶意检点。
这种方法具有低功耗,高安全性等优点,但当簇头节点入侵,或遇到Sybil攻击时检测精确度降低,而且其阈值设置会影响算法的精度,而且如何找到一个合适的阈值是一个棘手的问题。
4 结论
由以上分析可以看到,目前的各种异常检测技术还不能实时、准确地对各种入侵进行检测。近年来,分形理论与无线网络数据流分形特性和自相似特性为异常检测提供了新的理论基础。无线传感器网络数据流呈现出一定的分形特性,具有长相关性、具有较宽的类似白噪声的频谱特性、具有混沌吸引子等,基于此,根据网络数据流具有的分形指数(Hurst参数,分形维数、李雅普诺夫指数)可以建立客观检测模型,从而根据网络数据客观内在规律异常检测。此外,由于小波分析在信号处理中具有独特的频谱多分辨率优势,基于频谱、小波分析的异常检测被证实适合实时的异常检测,因此,研究分形理论与小波分析的无线传感器网络异常检测模型与方法将是一个新的发展方向。
参考文献:
[1] 孙利民,李建中,陈渝,朱红松.无线传感器网络[M].北京:清华大学出版社,2005.
[2] 周贤伟,覃伯平,徐福华.无线传感器网络与安全[M].北京:国防工业出版社,2007.
[3] 陈林星.无线传感器网络技术与应用[M].北京:电子工业出版社,2009.
[4] Onat I,Miri A.An intrusion detection system for wireless sensor networks[C]//Montreal,Canada:Proceedings of the IEEE International Conference on Wireless and Mobile Computing,Networking and Communications (WiMOB’05),2005:253-259.
[5] 王培,周贤伟.基于多的无线传感器网络入侵检测系统研究[J].传感技术学报,2007,20(3):677-681.
[6] Liu Yang,Yu Fengqi.Immunity-based intrusion detection for wireless sensor networks[C]//Hong Kong,China:Proc Int Jt Conf Neural Networks,2008:439-444.
[7] Tian Jingwen,Gao Meijuan,Zhou Shiru.Wireless Sensor Network for Community Intrusion Detection System Based on Classify Support Vector Machine[C]//Zhuhai,China:Proceedings of the 2009 IEEE International Conference on Information and Automation,2009:1217-1221.
[8] 韩志杰,张玮玮,陈志国.基于Markov的无线传感器网络入侵检测机制[J].计算机工程与科学,2010,32(9):27-29.
[9] Ponomarchuk Yulia. Seo Dae-Wha.Intrusion Detection Based on Traffic Analysis in Wireless Sensor Networks[C]//Shanghai,China:19th Annual Wireless and Optical Communications Conference,2010.
[10] Estiri M,Khademzadeh A.A Game-theoretical Model For Intrusion Detection In Wireless Sensor Networks[C]//Calgary,AB:Electrical and Computer Engineering (CCECE),2010 23rd Canadian Conference on,2010:1-5.
[11] Min Lin,Shi Nan.An Intrusion Detection Algorithm for Wireless Sensor Network Based on Trust Management Module[C]//Wuhan,China:Internet Technology and Applications,2010 International Conference on,2010:1-4.
篇6
【关键词】Snort;入侵检测;数据包采样
一、Snort简介
Snort利用库函数libpcap截取报文,对报文进行协议分析,内容搜索/匹配,可以用来检测缓冲区溢出、隐秘端口扫描、CGI攻击、SMB探测、OS指纹特征检测等等各种攻击和探测。Snort具有较强的学习能力,它使用灵活的规则语言来描述网络数据报文,可以对新的攻击作出快速地翻译。Snort能实时报警同时支持多种报警信息处理,包括写到syslog、指定的文件、UNIX套接字或者使用WinPopup消息。Snort支持插件体系,扩展能力强。Snort的现实意义作为开源软件填补了只有商业入侵检测系统的空白,可以帮助中小网络的系统管理员有效地监视网络流量和检测入侵行为。
Snort 作为一个基于网络的入侵检测系统(NIDS),其工作过程为:①Snort系统的启动和初始化;②解析命令行;③读入规则库,生成入侵规则链表;④通过Libpcap库函数抓取一个网络数据包;⑤根据抓取的包的网络协议层次及包的协议类型,对数据包进行解析;⑥启动检测引擎,将解析好的数据包和入侵规则链表进行逐一匹配,直至找到匹配的规则转⑦或所有规则均不匹配转⑧;⑦对应匹配规则的入侵行为发生,记录攻击并报警;⑧重复第④至⑦步,直至系统停止。
二、基于采样的入侵检测
入侵攻击特征分析实验
利用Snort对MIT Lincon实验室的两份公开数据集进行离线检测统计实验,实验过程及结果如下:
①入口数据集攻击分析:数据共包778484个,攻击包40245个,攻击包占0.05%;根据实验数据表1和表2分析可得,基于TCP协议的攻击, 15%的攻击出现了连续性;基于UDP协议的攻击,99%的攻击在给定时间间隔内出现,表现出了极强的攻击连续性。
②出口数据集攻击分析:数据包共166011个,攻击包195个,攻击包占0.001%;根据实验结果表3,分析可得:基于TCP协议的攻击包占总包数的0.001%,网络工作正常,在上,攻击分布较均衡,有11%的攻击出现了连续性。
(2)实验结论
攻击包在时间上具有连续性。
(3)基于采样的入侵检测算法
基于攻击包在时间上的连续性,金庆辉提出了一种入侵检测的采样方法,其算法的设计思想是:若某源IP流中发现入侵,则认为在下一时间中它的包有很大概率也是入侵;若某源IP流在一个时间段中无入侵,则认为下一时间段中同源包有很大概率是正常流。算法流程图见图5至图7所示。
金庆辉提出的算法缺点分析:根据算法思想假设第一点进行黑名单检测,有选择性的直接对部份包标记为异常包,这样将导致误警率提高;根据算法思想假设第二点进行数据包采样,将采样后的包标记为正常包是不准确的,同时也会导致漏警率的增加。
改良的入侵检测采样算法:改良算法的基本思想:设置一个白名单记录,包括源IP地址、Port端口号、协议、生命值及生存周期;算法过程:数据包进行白名单匹配,对属于白名单且生命期大于固定值I则进行采样送检测,否则直接送检测引擎检测;根据检测结果及老化周期更新白名单。算法流程见图8所示。
改进的算法对数据包若在白名单中无记录或其生命值小于I,则直接送检测引擎检测,而对与白名单匹配且生命值大于等于I的记录进行采样检测,为防止白名单的无限扩大,设置记录的生存周期为30分钟,即某个白名单记录在30分钟内没有再次出现,则删除对应记录。整个算法思想基于:若某源IP流在一个时间段中无入侵,则认为下一时间段中同源包有很大概率是正常流。该数据采样算法没有图5所示算法对检测的误警率,漏警率比图5所示算法要小,同时不会出现后者算法中黑、白名单的不断增长问题。由于攻击流占全部数据流的比例相当小,因而采样算法可以大幅提高Snort系统的检测率,验证如下。
三、实验
实验在一台安装了Snort系统的服务器上进行,使用AX4000流量发生/分析仪作为测试工具,在Snort系统上分别加载改进采样算法、原采样算法及普通算法,对比检测数据包处理效率。
(1)实验步骤:使用AX4000构造千兆流量,并作为分析设备。
①测试加载了改进采样算法的Snort在不同固定生命值I下对千兆流量的处理能力。
②测试Snort加载不同的采样算法后对混合了异常流的千兆流量的入侵检测能力。
(2)实验结果:
①改进采样算法中不同生命值对检测率的影响和检测引擎处理速度的提升,见图9、图10所示。由图可见,加载上文所提出的数据包采样算法后,给定的固定生命值I取值在(10,20)时,入侵检测率达到最佳状态,此时Snort处理数据包速度接近千兆线速度。
②与常用采样算法比较:使用AX4000构造异常流与正常流1:1的混合作为测试流量,将固定生命值I取值15的改进采样算法、改进前的数据包采样算法及普通数据包采样算法进行比较,见图11所示。
四、结语
本文研究了Snort入侵检测系统的特征、工作原理,针对Snort的不足提出了基于采样的入侵检测系统,并通过实验证明了该采样算法能显著提高Snort的入侵检测效率。
参考文献:
[1] J.P. Anderson. Computer security threat monitoring and surveillance.Technical Report,James P.Anderson Company,Fort Washington,Pennsylvania,1980.
[2] D.E.Denning.An intrusion Detection Model.IEEE Trans. Software Eng., 1987 (13):222-232.
[3] 戴英侠,连一峰,王航.系统安全与入侵检测系统.北京:清华大学出版社,2002.
[4] 金庆辉.入侵检测中的数据包采样算法研究及实现 [湖南大学硕士论文].长沙:湖南大学,2008年.
篇7
关键词:局域网网络安全
一、引言
信息科技的迅速发展,Internet已成为全球重要的信息传播工具。科技论文。据不完全统计,Internet现在遍及186个国家,容纳近60万个网络,提供了包括600个大型联网图书馆,400个联网的学术文献库,2000种网上杂志,900种网上新闻报纸,50多万个Web网站在内的多种服务,总共近100万个信息源为世界各地的网民提供大量信息资源交流和共享的空间。信息的应用也从原来的军事、科技、文化和商业渗透到当今社会的各个领域,在社会生产、生活中的作用日益显著。传播、共享和自增殖是信息的固有属性,与此同时,又要求信息的传播是可控的,共享是授权的,增殖是确认的。因此在任何情况下,信息的安全和可靠必须是保证的。
二、局域网的安全现状
目前的局域网基本上都采用以广播为技术基础的以太网,任何两个节点之间的通信数据包,不仅为这两个节点的网卡所接收,也同时为处在同一以太网上的任何一个节点的网卡所截取。科技论文。因此,黑客只要接入以太网上的任一节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息,这就是以太网所固有的安全隐患。事实上,Internet上许多免费的黑客工具,如SATAN、ISS、NETCAT等等,都把以太网侦听作为其最基本的手段。
三、局域网安全技术
1、采用防火墙技术。防火墙是建立在被保护网络与不可信网络之间的一道安全屏障,用于保护内部网络和资源。它在内部和外部两个网络之间建立一个安全控制点,对进、出内部网络的服务和访问进行控制和审计。防火墙产品主要分为两大类:
包过滤防火墙(也称为网络层防火墙)在网络层提供较低级别的安全防护和控制。
应用级防火墙(也称为应用防火墙)在最高的应用层提供高级别的安全防护和控制。
2、网络分段。网络分段通常被认为是控制网络广播风暴的一种基本手段,但其实也是保证网络安全的一项重要措施。其目的就是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法侦听,网络分段可分为物理分段和逻辑分段两种方式。
目前,海关的局域网大多采用以交换机为中心、路由器为边界的网络格局,应重点挖掘中心交换机的访问控制功能和三层交换功能,综合应用物理分段与逻辑分段两种方法,来实现对局域网的安全控制。例如:在海关系统中普遍使用的DECMultiSwitch900的入侵检测功能,其实就是一种基于MAC地址的访问控制,也就是上述的基于数据链路层的物理分段。
3、以交换式集线器代替共享式集线器。对局域网的中心交换机进行网络分段后,以太网侦听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机,而使用最广泛的分支集线器通常是共享式集线器。这样,当用户与主机进行数据通信时,两台机器之间的数据包(称为单播包UnicastPacket)还是会被同一台集线器上的其他用户所侦听。用户TELNET到一台主机上,由于TELNET程序本身缺乏加密功能,用户所键入的每一个字符(包括用户名、密码等重要信息),都将被明文发送,这就给黑客提供了机会。因此,应该以交换式集线器代替共享式集线器,使单播包仅在两个节点之间传送,从而防止非法侦听。
4、VLAN的划分。运用VLAN(虚拟局域网)技术,将以太网通信变为点到点通信,防止大部分基于网络侦听的入侵。目前的VLAN技术主要有三种:基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。基于端口的VLAN虽然稍欠灵活,但却比较成熟,在实际应用中效果显著,广受欢迎。基于MAC地址的VLAN为移动计算提供了可能性,但同时也潜藏着遭受MAC欺诈攻击的隐患。而基于协议的VLAN,理论上非常理想,但实际应用却尚不成熟。
在集中式网络环境下,我们通常将中心的所有主机系统集中到一个VLAN里,在这个VLAN里不允许有任何用户节点,从而较好地保护敏感的主机资源。在分布式网络环境下,我们可以按机构或部门的设置来划分VLAN。各部门内部的所有服务器和用户节点都在各自的VLAN内,互不侵扰。VLAN内部的连接采用交换实现,而VLAN与VLAN之间的连接则采用路由实现。
5、隐患扫描。一个计算机网络安全漏洞有它多方面的属性,主要可以用以下几个方面来概括:漏洞可能造成的直接威胁、漏洞的成因、漏洞的严重性和漏洞被利用的方式。漏洞检测和入侵检测系统是网络安全系统的一个重要组成部分,它不但可以实现复杂烦琐的信息系统安全管理,而且还可以从目标信息系统和网络资源中采集信息,分析来自网络外部和内部的入侵信号和网络系统中的漏洞,有时还能实时地对攻击做出反应。漏洞检测就是对重要计算机信息系统进行检查,发现其中可被黑客利用的漏洞。这种技术通常采用两种策略,即被动式策略和主动式策略。被动式策略是基于主机的检测,对系统中不合适的设置、脆弱的口令以及其他同安全规则相抵触的对象进行检查;而主动式策略是基于网络的检测,通过执行一些脚本文件对系统进行攻击,并记录它的反应,从而发现其中的漏洞。漏洞检测的结果实际上就是系统安全性能的一个评估,它指出了哪些攻击是可能的,因此成为安全方案的一个重要组成部分。入侵检测和漏洞检测系统是防火墙的重要补充,并能有效地结合其他网络安全产品的性能,对网络安全进行全方位的保护。科技论文。
四、网络安全制度
1、组织工作人员认真学习《计算机信息网络国际互联网安全保护管理办法》,提高工作人员的维护网络安全的警惕性和自觉性。
2、负责对本网络用户进行安全教育和培训,使用户自觉遵守和维护《计算机信息网络国际互联网安全保护管理办法》,使他们具备基本的网络安全知识。
3、实时监控网络用户的行为,保障网络设备自身和网上信息的安全。
4、对已经发生的网络破坏行为在最短的时间内做出响应,使损失减少到最低限度。
五、结束语
网络的开放性决定了局域网安全的脆弱性,而网络技术的不断飞速发展,又给局域网的安全管理增加了技术上的不确定性,目前有效的安全技术可能很快就会过时,在黑客和病毒面前不堪一击。因此,局域网的安全管理不仅要有切实有效的技术手段,严格的管理制度,更要有知识面广,具有学习精神的管理人员。
参考文献
[1]石志国,薛为民,尹浩.《计算机网络安全教程》[M].北京:北方交通大学出版社,2007.
篇8
论文摘要:在介绍网络安全概念及其产生原因的基础上,介绍了各种信息技术及其在局域网信息安全中的作用和地位。
随着现代网络通信技术的应用和发展,互联网迅速发展起来,国家逐步进入到网络化、共享化,我国已经进入到信息化的新世纪。在整个互联网体系巾,局域网是其巾最重要的部分,公司网、企业网、银行金融机构网、政府、学校、社区网都属于局域网的范畴。局域网实现了信息的传输和共享,为用户方便访问互联网、提升业务效率和效益提供了有效途径。但是由于网络的开放性,黑客攻击、病毒肆虐、木马猖狂都给局域网的信息安全带来了严重威胁。
信息技术是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论和信息论诸多学科的技术。信息技术的应用就是确保信息安全,使网络信息免遭黑客破坏、病毒入侵、数据被盗或更改。网络已经成为现代人生活的一部分,局域网的安全问题也闲此变得更为重要,信息技术的应用必不可少。
1网络安全的概念及产生的原因
1.1网络安全的概念
计算机网络安全是指保护计算机、网络系统硬件、软件以及系统中的数据不因偶然的或恶意的原因而遭到破坏、更改和泄密,确保系统能连续和可靠地运行,使网络服务不巾断。从本质上来讲,网络安全就是网络上的信息安全。网络系统的安全威胁主要表现在主机可能会受到非法入侵者的攻击,网络中的敏感信息有可能泄露或被修改。从内部网向公共网传送的信息可能被他人窃听或篡改等等。典型的网络安全威胁主要有窃听、重传、伪造、篡改、非授权访问、拒绝服务攻击、行为否认、旁路控制、电磁/射频截获、人员疏忽。
网络安全包括安全的操作系统、应用系统以及防病毒、防火墙、入侵检测、网络监控、信息审计、通信加密、灾难恢复和完全扫描等。它涉及的领域相当广泛,这是因为目前的各种通信网络中存在着各种各样的安全漏洞和威胁。从广义上讲,凡是涉及网络上信息的保密性、完整性、可性、真实性和可控性的相关技术和理论,都是网络安全所要研究的领域。网络安全归纳起来就是信息的存储安全和传输安全。
1.2网络安全产生的原因
1.2.1操作系统存在安全漏洞
任何操作系统都不是无法摧毁的“馒垒”。操作系统设计者留下的微小破绽都给网络安全留下了许多隐患,网络攻击者以这些“后门”作为通道对网络实施攻击。局域网中使用的操作系统虽然都经过大量的测试与改进,但仍有漏洞与缺陷存在,入侵者利用各种工具扫描网络及系统巾的安全漏洞,通过一些攻击程序对网络进行恶意攻击,严重时造成网络的瘫痪、系统的拒绝服务、信息的被窃取或篡改等。
1.2.2 TCP/lP协议的脆弱性
当前特网部是基于TCP/IP协议,但是陔协议对于网络的安全性考虑得并不多。且,南于TCtVIP协议在网络上公布于众,如果人们对TCP/IP很熟悉,就可以利川它的安全缺陷来实施网络攻击。
1.2.3网络的开放性和广域性设计
网络的开放性和广域性设计加大了信息的保密难度.这其巾还包括网络身的布线以及通信质量而引起的安全问题。互联网的全开放性使网络可能面临来自物理传输线路或者对网络通信协议以及对软件和硬件实施的攻击;互联网的同际性给网络攻击者在世界上任何一个角落利州互联网上的任何一个机器对网络发起攻击提供机会,这也使得网络信息保护更加难。
1.2.4计算机病毒的存在
计算机病毒是编制或者存计箅机程序巾插入的一组旨在破坏计箅机功能或数据,严重影响汁算机软件、硬件的正常运行,并且能够自我复制的一组计算机指令或程序代码。计算机病毒具有传染性、寄生性、隐蔽性、触发性、破坏性几大特点。大量涌现的病毒在网上传播极快,给全球地嗣的网络安全带来了巨大灾难。
1.2.5网络结构的不安全性
特网是一个南无数个局域网连成的大网络,它是一种网问网技术。当l主机与另一局域网的主机进行通信时,它们之间互相传送的数据流要经过很多机器重重转发,这样攻击者只要利用l台处于用户的数据流传输路径上的主机就有可能劫持用户的数据包。
2信息技术在互联网中的应用
2.1信息技术的发展现状和研究背景
信息网络安全研究在经历了通信保密、数据保护后进入网络信息安全研究阶段,当前已经…现了一些比较成熟的软件和技术,如:防火墙、安全路由器、安全网关、黑客人侵检测、系统脆弱性扫描软件等。信息网络安全是一个综合、交叉的学科,应从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统等方面综合开展研究,使各部分相互协同,共同维护网络安全。
国外的信息安全研究起步较早,早在20世纪70年代美国就在网络安全技术基础理论研究成果“计算机保密模型(Beu&Lapaduh模型)”的基础上,提出了“可信计箅机系统安全评估准则(TESEC)”以及后来的关于网络系统数据库方面的相关解释,彤成了安全信息系统体系结构的准则。安全协议作为信息安全的重要内容,处于发展提高阶段,仍存在局限性和漏洞。密码学作为信息安全的关键技术,近年来空前活跃,美、欧、亚各洲举行的密码学和信息安全学术会议频繁。自从美国学者于1976年提出了公开密钥密码体制后,成为当前研究的热点,克服了网络信息系统密钥管理的闲舴,同时解决了数字签名问题。另外南于计箅机运算速度的不断提高和网络安全要求的不断提升,各种安全技术不断发展,网络安全技术存21世纪将成为信息安全的关键技术。
2.2信息技术的应用
2.2.1网络防病毒软件
存网络环境下,病毒的传播扩散越来越快,必须有适合于局域网的全方位防病毒产品。针对局域网的渚多特性,应该有一个基于服务器操作系统平的防病毒软件和针对各种桌面操作系统的防病毒软件。如果局域网和互联网相连,则川到网大防病毒软件来加强上网计算机的安全。如果使用邮件存网络内部进行信息交换.则需要安装基于邮件服务器平的邮件防病毒软件,用于识别出隐藏在电子邮件和附件巾的病毒最好的策略是使川全方位的防病毒产品,针对网络巾所有可能的病毒攻击点设置对应的防病毒软件。通过全方位、多层次的防病毒系统的配置,定期或不定期地动升级,保护局域网免受病毒的侵袭。
2.2.2防火墙技术
防火墙技术是建立在现代通信网络技术和信息安全技术基础;上的应用性安全技术,越来越多地应用于专用网络与公用网络的互联环境巾,尤其以接入lnlernel网络的局域网为典型。防火墙是网络安全的屏障:一个防火墙能檄大地提高一个内部网络的安全性,通过过滤不安全的服务而降低风险。南于只有经过精心选择的应州协议才能通过防火墙,所以网络环境变得更安全。防火墙可以强化网络安全策略:通过以防火墙为中心的安全方案配置,能将所有安全软件如口令、加密、身份认证、审计等配置在防火墙上。对网络存取和访问进行监控审计:如果所有的访问都经过防火墙,那么防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。
防火墙技术是企业内外部网络问非常有效的一种实施访问控制的手段,逻辑上处于内外部网之问,确保内部网络正常安全运行的一组软硬件的有机组合,川来提供存取控制和保密服务。存引人防火墙之后,局域网内网和外部网之问的通信必须经过防火墙进行,某局域网根据网络决策者及网络擘家共同决定的局域网的安全策略来设置防火墙,确定什么类型的信息可以通过防火墙。可见防火墙的职责就是根据规定的安全策略,对通过外部网络与内部网络的信息进行检企,符合安全策略的予以放行,不符合的不予通过。
防火墙是一种有效的安全工具,它对外屏蔽内部网络结构,限制外部网络到内部网络的访问。但是它仍有身的缺陷,对于内部网络之问的入侵行为和内外勾结的入侵行为很难发觉和防范,对于内部网络之间的访问和侵害,防火墙则得无能为力。
2.2.3漏洞扫描技术
漏洞扫描技术是要弄清楚网络巾存在哪些安全隐患、脆弱点,解决网络层安全问题。各种大型网络不仅复杂而且不断变化,仅仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估得很不现实。要解决这一问题,必须寻找一种能金找网络安全漏洞、评估并提…修改建议的网络安全扫描工具,利刖优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。存网络安全程度要水不高的情况下,可以利用各种黑客工具对网络实施模拟攻击,暴露出:网络的漏洞,冉通过相关技术进行改善。
2.2.4密码技术
密码技术是信息安全的核心与关键。密码体制按密钥可以分为对称密码、非对称密码、混合密码3种体制。另外采用加密技术的网络系统不仅不需要特殊网络拓扑结构的支持,而且在数据传输过程巾也不会对所经过网络路径的安全程度做出要求,真正实现了网络通信过程端到端的安全保障。非对称密码和混合密码是当前网络信息加密使川的主要技术。
信息加密技术的功能主要是保护计算机网络系统内的数据、文件、口令和控制信息等网络资源的安全。信息加密的方法有3种,一是网络链路加密方法:目的是保护网络系统节点之间的链路信息安全;二是网络端点加密方法:目的是保护网络源端川户到口的川户的数据安全;二是网络节点加密方法:目的是对源节点到目的节点之间的传输链路提供保护川户可以根据实际要求采川不同的加密技术。
2.2.5入侵检测技术。
入侵检测系统对计算机和网络资源上的恶意使川行为进行识别和响应。入侵检测技术同时监测来自内部和外部的人侵行为和内部刚户的未授权活动,并且对网络入侵事件及其过程做fIj实时响应,是维护网络动态安全的核心技术。入侵检测技术根据不同的分类标准分为基于行为的入侵检测和基于知识的人侵检测两类。根据使用者的行为或资源使状况的正常程度来判断是否发生入侵的称为基于行为的入侵检测,运用已知的攻击方法通过分析入侵迹象来加以判断是否发生入侵行为称为基于知识的入侵检测。通过对迹象的分析能对已发生的入侵行为有帮助,并对即将发生的入侵产生警戒作用
3结语
篇9
关键词:网络安全;入侵检测;聚类分析;差异度
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)27-2049-02
The Smallest Difference Cluster Exceptionally Is Invading In The Examination Application
ZHENG Guan-zhen, XU Hui-zeng
(Dongying Vocational College, Dongying 257091, China)
Abstract: Studied with emphasis exceptionally has invaded the examination system model. Exists in view of the existing model to trains the data demand to be high, the rate of false alarm higher question, proposed one kind based on the smallest difference cluster invasion examination method. This method the sector scalar, the ordinal number variable, the dual variable nominal variable type's attribute maps on sector [0,1], calculates between each data object as well as with each bunch of difference, has solved exceptionally the invasion well.
Key words: network security; invasion examination; cluster analysis; difference
随着计算机和网络技术应用的普及和发展,计算机系统安全越来越受到人们的重视。安全计算机系统是基于计算机机密性、完整性和可用性的实现[1]。传统计算机系统的安全是通过设计一定的安全策略,即通过身份认证、访问控制和审计等技术来保护计算机系统免遭入侵[2]。但是越来越多的攻击者利用各种漏洞实施攻击,通过监控特权进程的系统调用进行攻击,如系统服务、setuid程序等[3]。这些应用程序由于具有特殊权限,可以访问特殊资源,攻击者利用它们可以实现其破坏或控制系统的目标。
针对网络中的各种安全威胁,产生了许多关于网络安全的技术。主要有以下几类:主机安全技术、身份认证技术、访问控制技术、加密技术、防火墙技术、安全审计技术、安全管理技术和入侵检测技术等。入侵检测是一种比较新兴的网络安全技术。入侵检测系统主要是采用误用检测技术,如模式匹配、协议分析、状态转换分析。这些方法均只能准确地检测已知的入侵行为,并不能检测未知的入侵行为,具有局限性,所以在入侵检测中引入聚类分析。聚类分析[4]是将一组数据对象通过计算它们属性之间的综合差别,将差别较小的对象放在一个簇中。如果网络中的入侵行为与合法行为存在一定的差异,那么采用聚类的方法就可以将网络中的入侵行为聚集为一簇,从而发现入侵行为。
1 异常入侵检测系统模型
1.1 入侵检测
ID就是对入侵行为的发现[4]。入侵检测是基于两个基本假设,即用户和程序的行为是可见的;正常行为与入侵行为是可区分的。它通过收集并分析计算机网络或计算机系统中的若干关键点信息,从中发现网络或系统中是否有违反安全策略的行为和被攻击过的迹象。因此入侵检测具有事前预警和事后发觉的功能。这种技术可以大大提高了网络系统的安全。
入侵检测主要包括数据采集、数据分析和响应三个部分。
1.2 异常入侵检测系统模型
异常入侵检测技术识别主机或网络中异常的或不寻常行为。它假设攻击与正常的活动有很大的差别。异常检测首先收集一段时间操作活动的历史数据;再建立代表主机、用户或网络连接的正常行为描述;然后收集事件数据并使用一些不同的方法来决定所检测到的事件是否偏离了正常行为模式,从而判断是否发生了入侵行为。
异常入侵检测是通过已知来推导未知的技术。目前常用的方法主要是概率统计、神经网络、数据挖掘中的分类和聚类方法以及人工免疫等。
1.2.1 网络连接记录的数据结构
通过分析会发现黑客在重新控制目标主机之前,均要与目标主机建立连接。对此,本文提出通过对网络的连接记录进行监测建立入侵检测系统。其目的是为了发现网络中异常的连接记录。
1.2.2 数据采集模块设计
对入侵检测系统来说[5],数据采集是系统正常工作的基础。对于网络入侵检测系统,网络数据截获模块就是实现网络入侵检测系统高效工作的基础。在设计整个入侵检测系统时,必须要有一种好的数据包捕获机制来保证网络数据截获模块工作稳定可靠,防止漏包,为整个入侵检测模块稳定可靠地提供数据,
1.2.3 系统总体设计
遵循入侵检测系统的标准流程,即数据收集、数据分析、结果处理的流程对网络数据包进行分析处理。笔者提出基于数据挖掘的异常模式入侵检测系统。检测系统主要由以下四个部分组成,即数据采集、数据分析、结果处理和用户界面。
2 最小差异度的聚类算法
2.1 差异度相关定义
很多聚类算法只考虑元素与类之间的距离,而没有考虑类大小产生的影响。通过区间标量[6]、序数变量和二元变量标称变量类型的属性映射到区间[0,1]上,然后再对所有属性计算差异度并按最小差异度进行聚类,这就使得所有属性的差异度在概念上是一致的[7]。
基于最小差异度聚类的入侵检测方法对所有攻击的检测率较高,对于DoS攻击的检测率最高,对于PROBE攻击检测率也是一般;而对于U2R和R2L的检测率却较低。此外,误报率FR和发现未见攻击类型的检测率一般,说明该入侵检测方法已经具有了发现未知入侵行为的能力。
2.2 基于最小差异度聚类的入侵检测方法
聚类的入侵检测方法就是假设网络中的入侵行为是可以区分的, 而且通过聚类能将具有入侵企图的数据划分为单独的类, 从而将合法行为与非法行为区分开来。最小差异度的聚类
方法就是先计算每个对象与已有类的差异度; 然后将该对象赋予与它差异度最小的类, 就得到了一种新的基于最小差异度聚类的入侵检测方法。通过对训练集进行聚类, 得到一系列不同大小的类。本文根据类的特征值CF( Ci) 大小对类作标志并进行排序, 然后按一定比例将类划分为合法类和非法类。在入侵检测的过程中, 计算新收到的数据对象与已有的类的差异度, 利用最小差异度的聚类。如果新的数据对象被划入非法的类中, 则判定为入侵行为; 反之则为合法行为。
3 最小差异度聚类实现异常入侵检测模型
3.1 测试环境
本次测试是对入侵检测的模块进行测试。测试数据来自KDD Cup1999 数据集, 因此在单机上就可以进行, 不需要网络
环境。单机采用个人电脑, 基本配置如下:
硬件环境 CPU为Intel( R) Celeron( R) CPU2. 13 GHz, 内存为512 MB。
软件环境 操作系统Windows XP SP2, 数据库SQL Server2000。
3.2 测试数据准备
本次测试使用的数据为KDD Cup1999 数据集。该数据集是模拟局域网上采集来的9 个星期的网络连接数据, 包含了约4 900 000条模拟攻击记录, 总共22 种攻击, 分为DoS、R2L、U2R、PROBE 四大类。每条记录由41 个特征刻画, 其中包括7个分类特征和34 个数值型特征。
3.3 测试结果
基于最小差异度聚类的入侵检测方法对所有攻击的检测率较高, 达到了75.57% ~79.11%,效果一般; 对于DoS攻击的检测率最高,达到了87.21% ~91.37% ;对于PROBE 攻击检测率也是一般;而对于U2R 和R2L 的检测率却较低。此外,误报率FR和发现未见攻击类型的检测率一般,分别达到了8.02% ~13.65% 和1.21% ~39.54% , 但还是说明该入侵检测方法已经具有了发现未知入侵行为的能力。
4 结束语
异常检测是IDS研究中重要而比较困难的领域。本文研究了异常入侵检测系统模型,并对模型进行了分析,提出了最小差异度聚类实现异常入侵检测模型的方法,通过算法进行实现,并采用了KDD Cup1999数据集。数据运行表明,所提出的模型的算法是合理而有效的。
参考文献:
[1] 隆益民.网络入侵及检测[J].计算机工程与科学,2001,37(1):27-30.
[2] 黄锦,李家滨.防火墙日志信息的入侵检测研究[J].计算机工程,2001,26(9):115-117.
[3] 苏瑜睿,冯登国.基于非层次聚类的异常检测模型[C]//中国计算机大会论文集.北京:清华大学出版社,2005.
[4] HAN Jia-wei, KAMBER M.数据挖掘概念与技术[M].范明,孟小峰,译.北京:机械工业出版社,2001:222-224.
[5] 李波.基于数据挖掘的异常模式入侵检测研究[D].沈阳:东北大学,2005.
[6] 张彬,胡茜.入侵检测概念、过程分析和部署[J].数据通信,2004,(12):45-48.
[7] 贺跃,郑建军,朱蕾.一种基于熵的连续属性离散算法[J].计算机应用,2005,25(3):637-638.
[8] 蒋盛益,李庆华.基于引力的入侵检测方法[J].系统仿真学报,2005,17(9):2202-2206.
[10] 严晓光,褚学征.聚类在网络入侵的异常检测中的应用[J].计算机系统应用,2005,(10):78-80.
[11] 伊胜伟,刘D,魏红芳.基于数据挖掘的入侵检测系统智能结构模型[J].计算机工程与设计,2005,26(29):2464-2466,2472.
篇10
论文摘要:随着信息化步伐的不断加快,计算机网络给人们带来了很大的便捷,但是与此同时也给人们带来了很大的隐患。计算机网络安全已经受到了人们的高度重视,人们也已经对其提出了很多防范策略,并且得到了很好的好评。
随着网络的日益发展以及计算机网络安全问题的不断出现,对网络安全防范粗略的研究必然成为必然趋势。计算机网络技术普遍的使用,使得人们在学习和工作中享受计算机网络带来的便捷的同时被越来越多的安全隐患所伤害。因此,计算机网络安全防范策略的研究和实施是网络化发展的必然趋势。
1 计算机网络安全存在的问题
1.1 计算机病毒较多
计算机病毒是一种人为编制的特殊程序代码,可将自己附着在其他程序代码上以便传播,可自我复制、隐藏和潜伏,并带有破坏数据、文件或系统的特殊功能。当前,计算机病毒是危害计算机网络安全最普遍的一种方法,同时其危害是非常大的,尤其是一些通过网络传播的流行性病毒,这些病毒不仅危害性大,而且传播速度非常快,传播形式多样,因此,要想彻底清除这些病毒是很困难的,因此,网络安全存在着巨大的隐患。
1.2 盗用IP地址
盗用IP地址现象非常普遍,这不仅影响了网络的正常运行,而且一般被盗用的地址权限都很高,因而也给用户造成了较大的经济损失。盗用IP地址就是指运用那些没有经过授权的IP地址,从而使得通过网上资源或隐藏身份进行破坏网络的行为的目的得以实现。目前,网络上经常会发生盗用IP地址,这不仅严重侵害了合法使用网络人员的合法权益,而且还导致网络安全和网络正常工作受到负面影响。
1.3 攻击者对网络进行非法访问和破坏
网络可分为内网和外网,网络受到攻击也分为来自外部的非法访问和网络攻击以及来自内部的非法访问和网络攻击。无论是哪种网络攻击都要经过三个步骤:搜集信息-目标的选择、实施攻击-上传攻击程序、下载用户数据。
1.4 垃圾邮件和病毒邮件泛滥
电子邮件系统是办公自动化系统的基本需求,随着信息化的快速发展,邮件系统的功能和技术已经非常成熟,但是也避免不了垃圾邮件和病毒邮件的传送。垃圾邮件和病毒邮件是全球问题,2011年初,俄罗斯在全球垃圾邮件市场上的份额增长了4%-5%。垃圾邮件和病毒邮件是破坏网络营销环境的罪魁之一,垃圾邮件影响了用户网上购物的信心,从而进一步危害到了电子商务网站的发展。垃圾邮件和病毒邮件对人们的影响不仅表现在时间上,而且也影响了安全。垃圾邮件和病毒邮件占用了大量的网络资源。使得正常的业务运作变得缓慢。另外,垃圾邮件与一些病毒和入侵等关系越来越密切,其已经成为黑客发动攻击的重要平台。
2 计算机网络安全的防范策略
2.1 计算机病毒的安全与防范技术
在网络环境下,防范计算机病毒仅采用单一的方法来进行已经无任何意义,要想彻底清除网络病毒,必须选择与网络适合的全方位防病毒产品。如果对互联网而言,除了需要网关的防病毒软件,还必须对上网计算机的安全进行强化;如果在防范内部局域网病毒时需要一个具有服务器操作系统平台的防病毒软件,这是远远不够的,还需要针对各种桌面操作系统的防病毒软件;如果在网络内部使用电子邮件进行信息交换时,为了识别出隐藏在电子邮件和附件中的病毒,还需要增加一套基于邮件服务器平台的邮件防病毒软件。由此可见,要想彻底的清除病毒,是需要使用全方位的防病毒产品进行配合。另外,在管理方面,要打击盗版,因为盗版软件很容易染上病毒,访问可靠的网站,在下载电子邮件附件时要先进行病毒扫描,确保无病毒后进行下载,最重要的是要对数据库数据随时进行备份。
2.2 身份认证技术
系统对用户身份证明的核查的过程就是身份认证,就是对用户是否具有它所请求资源的存储使用权进行查明。用户向系统出示自己的身份证明的过程就是所谓的身份识别。一般情况下,将身份认证和身份识别统称为身份认证。随着黑客或木马程序从网上截获密码的事件越来越多,用户关键信息被窃情况越来越多,用户已经越来越认识到身份认证这一技术的重要性。身份认证技术可以用于解决用户的物理身份和数字身份的一致性问题,给其他安全技术提供权限管理的依据。对于身份认证系统而言,合法用户的身份是否易于被其他人冒充,这是最重要的技术指标。用户身份如果被其他不法分子冒充,不仅会对合法用户的利益产生损害,而且还会对其他用户的利益甚至整个系统都产生危害。由此可知,身份认证不仅是授权控制的基础,而且还是整个信息安全体系的基础。身份认证技术有以下几种:基于口令的认证技术、给予密钥的认证鉴别技术、基于智能卡和智能密码钥匙 (UsBKEY)的认证技术、基于生物特征识别的认证技术。对于生物识别技术而言,其核心就是如何获取这些生物特征,并将之转换为数字信息、存储于计算机中,并且完成验证与识别个人身份是需要利用可靠的匹配算法来进行的。
2.3 入侵检测技术
入侵检测就是对网络入侵行为进行检测,入侵检测技术属于一种积极主动地安全保护技术,它对内部攻击、外部攻击以及误操作都提供了实时保护。入侵检测一般采用误用检测技术和异常监测技术。1)误用检测技术。这种检测技术是假设所有的入侵者的活动都能够表达为征或模式,对已知的入侵行为进行分析并且把相应的特征模型建立出来,这样就把对入侵行为的检测变成对特征模型匹配的搜索,如果与已知的入侵特征匹配,就断定是攻击,否则,便不是。对已知的攻击,误用入侵检测技术检测准确度较高,但是对已知攻击的变体或者是一些新型的攻击的检测准确度则不高。因此,要想保证系统检测能力的完备性是需要不断的升级模型才行。目前,在绝大多数的商业化入侵检测系统中,基本上都是采用这种检测技术构建。2)异常检测技术。异常检测技术假设所有入侵者活动都与正常用户的活动不同,分析正常用户的活动并且构建模型,把所有不同于正常模型的用户活动状态的数量统计出来,如果此活动与统计规律不相符,则表示可以是入侵行为。这种技术弥补了误用检测技术的不足,它能够检测到未知的入侵。但是,在许多环境中,建立正常用户活动模式的特征轮廓以及对活动的异常性进行报警的阈值的确定都是比较困难的,另外,不是所有的非法入侵活动都在统计规律上表示异常。今后对入侵检测技术的研究主要放在对异常监测技术方面。
另外,计算机网络安全防范策略还包括一些被动防范策略。被动式防范策略主要包括隐藏IP地址、关闭端口、更换管理员账户等,本文只对以上三种进行分析。1)隐藏IP地址。在网络安全方面,IP地址的作用是非常大的,如果IP地址被攻击者盗用,他就可以向这个IP发动各种进攻。用服务器能够实现IP地址的隐藏,服务器使用后,其他用户只能对服务器IP地址进行探测,而根本检测不到用户的IP地址,也就是说,隐藏IP地址的目的实现了,用户上网安全得到了很好的保护;2)关闭不必要的端口。一般情况下,黑客要想攻击你的计算机,首先对你的计算机端口进行扫描,如果安装了端口监视程序,这会有警告提示。另外,还可以通过关闭不必要的端口来解决此问题;3)更换管理员账户。管理员账户的权限最高,如果这个账户被攻击,那么危害将会很大。而截获管理员账户的密码又是黑客入侵常用的手段之一,因此,要对管理员账户进行重新配置。
3 结束语
计算机网络给人们带来便捷的同时也带了隐患,要想是计算机网络发挥出其更大的作用,人们必须对这些隐患采取一定的措施来进行防止。引起计算机网络安全问题的因素不同,所采取的防范策略也不同,因此,防范策略的实施和运用也不要盲目,否则不仅没有缓解网络安全问题,反而使得网络安全问题更加严重,人们受到更大的危害。
参考文献
[1] 林敏,李哲宇.影响计算机网络安全的因素探讨[J].科技资讯,2007,(20).
[2] 胡瑞卿,田杰荣.关于网络安全防护的几点思考[J].电脑知识与技术,2008(16).
[3] 王建军,李世英.计算机网络安全问题的分析与探讨[J].赤峰学院学报:自然科学版,2009(1).
[4] 华建军.计算机网络安全问题探究[J].科技信息,2007(9).