入侵检测论文范文
时间:2023-09-29 00:04:49
入侵检测论文篇1
入侵检测系统(IDS)可以对系统或网络资源进行实时检测,及时发现闯入系统或网络的入侵者,也可预防合法用户对资源的误操作。本论文从入侵检测的基本理论和入侵检测中的关键技术出发,主要研究了一个简单的基于网络的windows平台上的个人入侵检测系统的实现(PIDS,PersonalIntrusionDetectionSystem)。论文首先分析了当前网络的安全现状,介绍了入侵检测技术的历史以及当前入侵检测系统的关键理论。分析了Windows的网络体系结构以及开发工具Winpcap的数据包捕获和过滤的结构。最后在Winpcap系统环境下实现本系统设计。本系统采用异常检测技术,通过Winpcap截取实时数据包,同时从截获的IP包中提取出概述性事件信息并传送给入侵检测模块,采用量化分析的方法对信息进行分析。系统在实际测试中表明对于具有量化特性的网络入侵具有较好的检测能力。最后归纳出系统现阶段存在的问题和改进意见,并根据系统的功能提出了后续开发方向。
关键词:网络安全;入侵检测;数据包捕获;PIDS
1.1网络安全概述
1.1.1网络安全问题的产生
可以从不同角度对网络安全作出不同的解释。一般意义上,网络安全是指信息安全和控制安全两部分。国际标准化组织把信息安全定义为“信息的完整性、可用性、保密性和可靠性”;控制安全则指身份认证、不可否认性、授权和访问控制。
互联网与生俱有的开放性、交互性和分散性特征使人类所憧憬的信息共享、开放、灵活和快速等需求得到满足。网络环境为信息共享、信息交流、信息服务创造了理想空间,网络技术的迅速发展和广泛应用,为人类社会的进步提供了巨大推动力。然而,正是由于互联网的上述特性,产生了许多安全问题:
(1)信息泄漏、信息污染、信息不易受控。例如,资源未授权侵用、未授权信息流出现、系统拒绝信息流和系统否认等,这些都是信息安全的技术难点。
(2)在网络环境中,一些组织或个人出于某种特殊目的,进行信息泄密、信息破坏、信息侵权和意识形态的信息渗透,甚至通过网络进行政治颠覆等活动,使国家利益、社会公共利益和各类主体的合法权益受到威胁。
(3)网络运用的趋势是全社会广泛参与,随之而来的是控制权分散的管理问题。由于人们利益、目标、价值的分歧,使信息资源的保护和管理出现脱节和真空,从而使信息安全问题变得广泛而复杂。
(4)随着社会重要基础设施的高度信息化,社会的“命脉”和核心控制系统有可能面临更大的威胁。
1.1.2网络信息系统面临的安全威胁
目前网络信息系统面临的安全威胁主要有:
(1)非法使用服务:这种攻击的目的在于非法利用网络的能力,网络上的非授权访问应该是不可能的。不幸的是,用于在网络上共享资源及信息的工具、程序存在许多安全漏洞,而利用了这些漏洞就可以对系统进行访问了。
(2)身份冒充;这种攻击的着眼点在于网络中的信任关系,主要有地址伪装IP欺骗和用户名假冒。
(3)数据窃取:指所保护的重要数据被非法用户所获取,如入侵者利用电磁波辐射或搭线窃听等方式截获用户口令、帐号等重要敏感信息。
(4)破坏数据完整性:指通过非法手段窃得系统一定使用权限,并删除、修改、伪造某些重要信息,以干扰用户的正常使用或便于入侵者的进一步攻击。
1.1.3对网络个人主机的攻击
对方首先通过扫描来查找可以入侵的机器,即漏洞探测;接着确定该机器的IP地址;然后利用相应的攻击工具发起某种攻击。
网络嗅探,嗅探器是一种网络监听工具(如:sniffer),该工具利用计算机网络接口可以截获其他计算机的数据信息。嗅探器工作在网络环境的底层,它会拦截所有正在网络上传送的数据,并且通过相应的软件实时分析这些数据的内容,进而明确所处的网络状态和整体布局。在合理的网络中,嗅探器对系统管理员而言至关重要,通过嗅探器可以监视数据流动情况以及网络传输的信息,从而为管理员判断网络问题、管理网络提供宝贵的信息。然而,如果黑客使用嗅探器,他可以获得和系统管理员同样重要而敏感的信息,(如:在某局域网上,嗅探器可以很轻松地截获在网上传送的用户姓名、口令、信用卡号码和帐号等)从而对网络安全构成威胁。其工作原理是:在一个共享介质的网络中(如以太网),一个网段上的所有网络接口均能访问介质上传输的所有数据。每个网络接口的硬件地址与其他网络接口的硬件地址不同,同时每个网络至少还有一个广播地址。广播地址并不对应于某个具体的网络接口,而是代表所有网络接口。当用户发送数据时,这些数据就会发送到局域网上所有可用的机器。在一般情况下,网络上所有的机器都可以“听”到通过的流量,但对不属于自己的数据的硬件地址不予响应。换句话说,工作站A不会捕获属于工作站B的数据,而是简单地忽略这些数据。当发送者希望引起网络中所有主机操作系统的注意时,他就使用“广播地址”。因此,在正常情况下,一个合法的网络接口应该只响应这样两种数据帧:一是帧的目标区域具有和本地网络接口相匹配的硬件地址,二是帧的目标区域具有“广播地址”。在接收到上面两种情况的数据帧时,主机通过CPU产生硬件中断,该中断能引起操作系统注意,然后将帧中所包含的数据传送给系统作进一步处理。而嗅探器就是一种能将本地计算机状态设成“混杂(Promiscuous)”状态的软件,当本机处于这种方式时,该机具备“广播地址”,它对所有遭遇到的每一个帧都产生硬件中断以便提醒操作系统处理流经该网段的每一报文包。在该方式下,网络接口就可以捕获网络上所有数据帧,从而可以达到监听的目的。拒绝服务攻击(DenialofService,简称DoS),是指占据大量的共享资源(如:处理器、磁盘空间、CPU、打印机),使系统没有剩余的资源给其他用户,从而使服务请求被拒绝,造成系统运行迟缓或瘫痪。其攻击目的是为完成其他攻击做准备。其攻击原理是:在拒绝服务攻击中,恶意用户向服务器传送众多要求确认的信息,使服务器里充斥着这种无用的信息。所有这些请求的地址都是虚假的,以至于服务器试图回传时,却无法找到用户。服务器于是暂时等候,有时超过一分钟,然后再切断连接。服务器切断连接后,攻击者又发送新一批虚假请求,该过程周而复始,最终使网站服务器充斥大量要求回复的信息,消耗网络带宽或系统资源,导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。典型的DOS攻击技术,如TCP/SYN攻击,该攻击作为一种拒绝服务攻击存在的时间己经有20多年了。但是,随着技术的不断进步,SYN攻击也不断被更多黑客所了解并利用。其原理是基于连接时的三次握手,如果黑客机器发出的包的源地址是一个虚假的IP地址,ISP主机发出的确认请求包ACK/SYN就找不到目标地址,如果这个确认包一直没找到目标地址,那么也就是目标主机无法获得对方回复的ACK包。而在缺省超时的时间范围内,主机的一部分资源要花在等待这个ACK包的响应上,假如短时间内主机接到大量来自虚假IP地址的SYN包,它就要占有大量的资源来处理这些错误的等待,最后的结果就是系统资源耗尽以致瘫痪。
入侵检测论文篇2
关键词:网络安全,入侵检测
随着计算机技术以及网络信息技术的高速发展, 许多部门都利用互联网建立了自己的信息系统, 以充分利用各类信息资源。但在连接信息能力、流通能力提高的同时,基于网络连接的安全问题也日益突出。在现今的网络安全技术中,常用的口令证、防火墙、安全审计及及加密技术等等,都属于静态防御技术,而系统面临的安全威胁越来越多,新的攻击手段也层出不穷,仅仅依靠初步的防御技术是远远不够的,需要采取有效的手段对整个系统进行主动监控。入侵检测系统是近年来网络安全领域的热门技术,是保障计算机及网络安全的有力措施之一。
1 入侵检测和入侵检测系统基本概念
入侵检测(Intrusion Detection)是动态的跟踪和检测方法的简称, 是对入侵行为的发觉,它通过旁路侦听的方式,对计算机网络和计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
入侵检测的软件和硬件组成了入侵检测系统(IDS:Intrusion Detection System),IDS是继防火墙之后的第二道安全闸门,它在不影响网络性能的情况下依照一定的安全策略,对网络的运行状况进行监测。它能够帮助网络系统快速发现网络攻击的发生,对得到的数据进行分析,一旦发现入侵,及进做出响应,包括切断网络连接、记录或者报警等。由于入侵检测能在不影响网络性能的情况下对网络进行监测,为系统提供对内部攻击、外部攻击和误操作的有效保护。因此,为网络安全提供高效的入侵检测及相应的防护手段,它以探测与控制为技术本质,能弥补防火墙的不足,起着主动防御的作用,是网络安全中极其重要的部分。免费论文。
2 入侵检测系统的分类
入侵检测系统根据其检测数据来源分为两类:基于主机的入侵检测系统和基于网络的入侵检测系统。
基于主机的入侵检测系统的检测目标是主机系统和系统本地用户。其原理是根据主机的审计数据和系统日志发现可疑事件。该系统通常运行在被监测的主机或服务器上,实时检测主机安全性方面如操作系统日志、审核日志文件、应用程序日志文件等情况,其效果依赖于数据的准确性以及安全事件的定义。基于主机的入侵检测系统具有检测效率高,分析代价小,分析速度快的特点,能够迅速并准确地定位入侵者,并可以结合操作系统和应用程序的行为特征对入侵进行进一步分析、响应。基于主机的入侵检测系统只能检测单个主机系统。
基于网络的入侵检测系统搜集来自网络层的信息。这些信息通常通过嗅包技术,使用在混杂模式的网络接口获得。基于网络的入侵检测系统可以监视和检测网络层的攻击。它具有较强的数据提取能力。在数据提取的实时性、充分性、可靠性方面优于基于主机日志的入侵检测系统。基于网络的入侵检测系统可以对本网段的多个主机系统进行检测,多个分布于不同网段上的基于网络的入侵检测系统可以协同工作以提供更强的入侵检测能力。
3 入侵检测方法
入侵检测方法主要分为异常入侵检测和误用入侵检测。
异常入侵检测的主要前提条件是将入侵性活动作为异常活动的子集,理想状况是异常活动集与入侵性活动集等同,这样,若能检测所有的异常活动,则可检测所有的入侵活动。但是,入侵性活动并不总是与异常活动相符合。这种活动存在4种可能性:(1)入侵性而非异常;(2)非入侵性且异常;(3)非入侵性且非异常;(4)入侵且异常。异常入侵要解决的问题是构造异常活动集,并从中发现入侵性活动子集。异常入侵检测方法依赖于异常模型的建立。不同模型构成不同的检测方法,异常检测是通过观测到的一组测量值偏离度来预测用户行为的变化,然后作出决策判断的检测技术。
误用入侵检测是通过将预先设定的入侵模式与监控到的入侵发生情况进行模式匹配来检测。它假设能够精确地将入侵攻击按某种方式编码,并可以通过捕获入侵攻击将其重新分析整理,确认该入侵行为是否为基于对同一弱点进行入侵攻击方法的变种,入侵模式说明导致安全事件或误用事件的特征、条件、排列和关系。免费论文。根据匹配模式的构造和表达方式的不同,形成了不同的误用检测模型。误用检测模型能针对性地建立高效的入侵检测系统,检测精度高,误报率低,但它对未知的入侵活动或已知入侵活动的变异检测的性能较低。
4 入侵检测系统的评估
对于入侵检测系统的评估,主要的性能指标有:(1)可靠性,系统具有容错能力和可连续运行;(2)可用性,系统开销要最小,不会严重降低网络系统性能;(3)可测试,通过攻击可以检测系统运行;(4)适应性,对系统来说必须是易于开发的,可添加新的功能,能随时适应系统环境的改变;(5)实时性,系统能尽快地察觉入侵企图以便制止和限制破坏;(6)准确性,检测系统具有较低的误警率和漏警率;(7)安全性,检测系统必须难于被欺骗和能够保护自身安全。免费论文。
5 入侵检测的发展趋势
入侵检测作为一种积极主动的安全防护技术,提供了对攻击和误操作的实时保护,在网络系统受到危险之前拦截和响应入侵,但它存在的问题有:误报率和漏报率高、检测速度慢,对IDS自身的攻击,缺乏准确定位与处理机制、缺乏性能评价体系等。在目前的入侵检测技术研究中,其主要的发展方向可概括为:
(1)大规模分布式入侵检测
(2)宽带高速网络的实时入侵检测技术
(3)入侵检测的数据融合技术
(4)与网络安全技术相结合
6 结束语
随着计算机技术以及网络信息技术的高速发展,入侵检测技术已成为计算机安全策略中的核心技术之一。它作为一种积极主动的防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,为网络安全提供高效的入侵检测及相应的防护手段。入侵检测作为一个新的安全机制开始集成到网络系统安全框架中。
[参考文献]
[1]张杰,戴英侠.入侵检测系统技术现状及其发展趋势[J].计算机与通信,2002,96]:28-32.
[2]陈明.网络安全教程[M].北京:清华大学出版社,2004,1.
[3]罗守山.入侵检测[M].北京:北京邮电大学出版社,2004.
[4]戴云,范平志,入侵检测系统研究综述[J].计算机工程与应用,2002,4.
入侵检测论文篇3
【关键词】入侵 检测
1 入侵检测系统概述
1.1 入侵检测发展背景
在入侵检测之前,大量的安全机制都是基于主观的角度设计的,它们没有根据网络攻击的具体行为来决定安全对策。因此,它们对入侵行为的反应非常迟钝,很难发现未知的攻击行为,不能根据网络行为的变化来及时的调整系统的安全策略。而入侵检测正是根据网络行为而设计的,它不仅能够发现一致的入侵行为,而且有能力发现未知的入侵行为,并可以通过学习和分析入侵手段,及时地调整系统策略以加强系统的安全性。
1.2 入侵检测的概念与分类
1.2.1 入侵检测概念
当对不熟悉网络安全的人们解释入侵检测的时候,描述入侵检测系统通常是很容易的,入侵检测系统就是“计算机和网络防止小偷的情报系统”,或者说“入侵检测系统搜索闯入计算机系统的入侵者并及时报警”。然而我们用专业术语去描述为:通过对行为、安全日志、审计数据或者其他网络上可以获得的信息进行操作,检测到对系统的闯入或闯入企图”(参见国际GB/T18336)。入侵检测是检测盒响应计算机误用的学科,起作用包括威慑、检测、响应、损失情况评估、攻击预测和支持。
1.2.2 入侵检测系统分类
基于信息来源的不同,网络入侵检测系统可以分为网络基IDS与主机基IDS两类;基于监测分析方法的不同,网络入侵检测系统可以分为滥用检测IDS和异常检测IDS两类。
(1)网络基IDS与主机基IDS。网络基IDS和主机基IDS的优缺点如表1-1所示。
网络基ID以所截获的数据包流量信息作为检测分析信息来源,主机基IDS以用户针对主机的访问行为信息作为检测分析信息来源。攻击是一个过程,攻击行为通过用户的访问实现,因此在主机基与网络基入侵检测系统中,网络基一般主要起预警作用。
(2)滥用检测与异常检测。网络入侵检测系统检测分析技术可以分为滥用检测和异常检测两种,如表1-2所示。
2 基于关键字的入侵检测系统
2.1 基于关键字的入侵检测系统概述
比如说,网络上流行的涉黄搜索用语“你懂得”、“黄色网站”、“AV”等等。以及政治敏感词汇“”、“茉莉花革命”、“64”等等。还有一些涉及血腥暴力的词汇用语。都会潜移默化的影响网民,特别是青少年。因此,基于关键字的入侵检测系统开发具有重要的实用价值。
通俗的解释什么是关键字入侵就是:隐含有不健康意义的文字,代码等等,试图在网络上传播。那么我们的关键字入侵检测系统就是专门用来处处理这些不良信息的系统。
2.2 基于关键字的入侵检测系统原理分析
现行网络对抗中广泛应用OODA(观察,适应,决策,行动)包括适应性机制所必需的四个功能:感知、解析、决策和行动。网络入侵检测系统的运行实际上是在网络对抗环境下的适应性工作过程,那么在基于关键字的入侵检测系统开发中也可以遵循此过程进行分析,解构。
基于关键字的入侵检测过程我们可以简单的绘制一个框架图,如图2-1所示。
在网络端口收集到信息,经过目标检测系统,系统对接受的信息进行分析,一般采用模式匹配、统计分析和完整性分析等三种技术手段进行分析。在系统对信息进行分析后,对信息进行存储,并连接到关键字数据库,当在数据库里发现存储的应当处理的数据时,便产生响应,发生预警,并定位到相关数据。具体的响应可以设置为屏蔽、删除或者警告等。并直接反映到用户的操作界面。
2.3 基于关键字的入侵检测系统的设计
在网络活动中,我们获取信息都是通过向服务器发送信息,然后接受信息,那么在浏览过程中,都会留下浏览记录。那么这个浏览记录标记称为COOKIES。
Cookies是一种能够让网站服务器把少量数据储存到客户端的硬盘或内存,或是从客户端的硬盘读取数据的一种技术。Cookies是当你浏览某网站时,由Web服务器置于你硬盘上的一个非常小的文本文件,它可以记录你的用户ID、密码、浏览过的网页、停留的时间等信息。那么在用户端我们通过设置相应的关键字数据库,在对比数据库与网络置于硬盘上的文本内容后,建立连接到开发的ASP程序。便可以迅速做出响应。屏蔽,过滤掉文本中的关键字。
3 基于关键字的入侵检测系统的实现
ASP是Active Server Page的缩写,意为“动态服务器页面”。ASP是微软公司开发的代替CGI脚本的一种应用,它可以与数据库和其它程序进行交互,是一种简单、方便的编程工具。ASP的程序文件的格式是 .asp。在使用asp语言建立网站时,常常需要用数据库记录一些信息,如访客发表的留言、访客访问时间等。此时就需要用到asp连接数据库的代码连接数据库后便于进行数据添加删除等操作。
3.1 主要界面
(1)数据库模块。在建立数据库时,寻求到了一些关键字,是需要我们在网络环境中加以处理的。如图3-1。
(2)在通过微软的动态网页技术生成默认主页。如图3-2所示。
3.2 功能模块实现
(1)用记事本打开index.asp找到langxin=Request.Cookies(“langxin”) 将后面的Request.Cookies("langxin")修改为你网站的用户COOKIES。如图3-3所示。
(2)将所有文件上传到空间(注意别把自己的文件给覆盖了,最好建立一个文件夹),如图3-4。
(3)然后在后台建立一个连接到index.asp(也可以将index.asp为其他名称。)在文本与数据库中关键字比对时,发现匹配的非法关键字。将在网页上进行过滤。
4 结论
随着当前网络宽带和节点的激烈增长,入侵检测系统必须监控的原始资料也不断增长。这种情况产生了一个令人沮丧的收集和入侵检测系统组件服务。但我们的许多计算机科技工作者正致力于对入侵检测的研究。 本文主要介绍了基于关键字的入侵检测系统开发应用的背景、当前状况、原理、以及发展前景。从众多入侵检测技术中,选取了日常网络活动中接触最广泛的,也最涉及用户利益的关键字技术为切入点。探究保障用户网络信息安全、屏蔽网络不良信息、营造网上健康舆论氛围的新途径。
参考文献
[1]Charles P. Pfleeger, Shari Lawrence Pfleeger.信息安全原理与应用[M].电子工业出版社,2004.
[2]Eoghan Casey.数字证据与计算机犯罪[M].电子工业出版社,2004.
[3]胡昌振,网络入侵检测原理与技术[M].北京理工大学出版社,2010.
[4]蒋卫华.网络安全检测与协同控制技术[M].机械工业出版社,2008.
[5]Michael E. Whitman, Herbert J. Mattord.信息安全原理[M].清华大学出版社,2006.
[6]薛质,苏波,李建华.信息安全技术技术和安全策略[M].清华大学出版社,2007.
作者单位
入侵检测论文篇4
关键词入侵检测异常检测误用检测
在网络技术日新月异的今天,基于网络的计算机应用已经成为发展的主流。政府、教育、商业、金融等机构纷纷联入Internet,全社会信息共享已逐步成为现实。然而,近年来,网上黑客的攻击活动正以每年10倍的速度增长。因此,保证计算机系统、网络系统以及整个信息基础设施的安全已经成为刻不容缓的重要课题。
1 防火墙
目前防范网络攻击最常用的方法是构建防火墙。
防火墙作为一种边界安全的手段,在网络安全保护中起着重要作用。其主要功能是控制对网络的非法访问,通过监视、限制、更改通过网络的数据流,一方面尽可能屏蔽内部网的拓扑结构,另一方面对内屏蔽外部危险站点,以防范外对内的非法访问。然而,防火墙存在明显的局限性。
(1)入侵者可以找到防火墙背后可能敞开的后门。如同深宅大院的高大院墙不能挡住老鼠的偷袭一样,防火墙有时无法阻止入侵者的攻击。
(2)防火墙不能阻止来自内部的袭击。调查发现,50%的攻击都将来自于网络内部。
(3)由于性能的限制,防火墙通常不能提供实时的入侵检测能力。毕业论文 而这一点,对于层出不穷的网络攻击技术来说是至关重要的。
因此,在Internet入口处部署防火墙系统是不能确保安全的。单纯的防火墙策略已经无法满足对安全高度敏感部门的需要,网络的防卫必须采用一种纵深的、多样化的手段。
由于传统防火墙存在缺陷,引发了入侵检测IDS(Intrusion Detection System)的研究和开发。入侵检测是防火墙之后的第二道安全闸门,是对防火墙的合理补充,在不影响网络性能的情况下,通过对网络的监测,帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高信息安全基础结构的完整性,提供对内部攻击、外部攻击和误操作的实时保护。现在,入侵检测已经成为网络安全中一个重要的研究方向,在各种不同的网络环境中发挥重要作用。
2 入侵检测
2.1 入侵检测
入侵检测是通过从计算机网络系统中的若干关键点收集信息并对其进行分析,从中发现违反安全策略的行为和遭到攻击的迹象,并做出自动的响应。其主要功能是对用户和系统行为的监测与分析、系统配置和漏洞的审计检查、重要系统和数据文件的完整性评估、已知的攻击行为模式的识别、异常行为模式的统计分析、操作系统的审计跟踪管理及违反安全策略的用户行为的识别。入侵检测通过迅速地检测入侵,在可能造成系统损坏或数据丢失之前,识别并驱除入侵者,使系统迅速恢复正常工作,并且阻止入侵者进一步的行动。同时,收集有关入侵的技术资料,用于改进和增强系统抵抗入侵的能力。
入侵检测可分为基于主机型、基于网络型、基于型三类。从20世纪90年代至今,英语论文 已经开发出一些入侵检测的产品,其中比较有代表性的产品有ISS(Intemet Security System)公司的Realsecure,NAI(Network Associates,Inc)公司的Cybercop和Cisco公司的NetRanger。
2.2 检测技术
入侵检测为网络安全提供实时检测及攻击行为检测,并采取相应的防护手段。例如,实时检测通过记录证据来进行跟踪、恢复、断开网络连接等控制;攻击行为检测注重于发现信息系统中可能已经通过身份检查的形迹可疑者,进一步加强信息系统的安全力度。入侵检测的步骤如下:
收集系统、网络、数据及用户活动的状态和行为的信息
入侵检测一般采用分布式结构,在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息,一方面扩大检测范围,另一方面通过多个采集点的信息的比较来判断是否存在可疑现象或发生入侵行为。
入侵检测所利用的信息一般来自以下4个方面:系统和网络日志文件、目录和文件中的不期望的改变、程序执行中的不期望行为、物理形式的入侵信息。
(2)根据收集到的信息进行分析
常用的分析方法有模式匹配、统计分析、完整性分析。模式匹配是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。
统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性。测量属性的平均值将被用来与网络、系统的行为进行比较。当观察值超出正常值范围时,就有可能发生入侵行为。该方法的难点是阈值的选择,阈值太小可能产生错误的入侵报告,阈值太大可能漏报一些入侵事件。
完整性分析主要关注某个文件或对象是否被更改,包括文件和目录的内容及属性。该方法能有效地防范特洛伊木马的攻击。
3 分类及存在的问题
入侵检测通过对入侵和攻击行为的检测,查出系统的入侵者或合法用户对系统资源的滥用和误用。工作总结 根据不同的检测方法,将入侵检测分为异常入侵检测(Anomaly Detection)和误用人侵检测(Misuse Detection)。
3.1 异常检测
又称为基于行为的检测。其基本前提是:假定所有的入侵行为都是异常的。首先建立系统或用户的“正常”行为特征轮廓,通过比较当前的系统或用户的行为是否偏离正常的行为特征轮廓来判断是否发生了入侵。此方法不依赖于是否表现出具体行为来进行检测,是一种间接的方法。
常用的具体方法有:统计异常检测方法、基于特征选择异常检测方法、基于贝叶斯推理异常检测方法、基于贝叶斯网络异常检测方法、基于模式预测异常检测方法、基于神经网络异常检测方法、基于机器学习异常检测方法、基于数据采掘异常检测方法等。
采用异常检测的关键问题有如下两个方面:
(1)特征量的选择
在建立系统或用户的行为特征轮廓的正常模型时,选取的特征量既要能准确地体现系统或用户的行为特征,又能使模型最优化,即以最少的特征量就能涵盖系统或用户的行为特征。
(2)参考阈值的选定
由于异常检测是以正常的特征轮廓作为比较的参考基准,因此,参考阈值的选定是非常关键的。
阈值设定得过大,那漏警率会很高;阈值设定的过小,则虚警率就会提高。合适的参考阈值的选定是决定这一检测方法准确率的至关重要的因素。
由此可见,异常检测技术难点是“正常”行为特征轮廓的确定、特征量的选取、特征轮廓的更新。由于这几个因素的制约,异常检测的虚警率很高,但对于未知的入侵行为的检测非常有效。此外,由于需要实时地建立和更新系统或用户的特征轮廓,这样所需的计算量很大,对系统的处理性能要求很高。
3.2 误用检测
又称为基于知识的检测。其基本前提是:假定所有可能的入侵行为都能被识别和表示。首先,留学生论文 对已知的攻击方法进行攻击签名(攻击签名是指用一种特定的方式来表示已知的攻击模式)表示,然后根据已经定义好的攻击签名,通过判断这些攻击签名是否出现来判断入侵行为的发生与否。这种方法是依据是否出现攻击签名来判断入侵行为,是一种直接的方法。
常用的具体方法有:基于条件概率误用入侵检测方法、基于专家系统误用入侵检测方法、基于状态迁移分析误用入侵检测方法、基于键盘监控误用入侵检测方法、基于模型误用入侵检测方法。误用检测的关键问题是攻击签名的正确表示。
误用检测是根据攻击签名来判断入侵的,根据对已知的攻击方法的了解,用特定的模式语言来表示这种攻击,使得攻击签名能够准确地表示入侵行为及其所有可能的变种,同时又不会把非入侵行为包含进来。由于多数入侵行为是利用系统的漏洞和应用程序的缺陷,因此,通过分析攻击过程的特征、条件、排列以及事件间的关系,就可具体描述入侵行为的迹象。这些迹象不仅对分析已经发生的入侵行为有帮助,而且对即将发生的入侵也有预警作用。
误用检测将收集到的信息与已知的攻击签名模式库进行比较,从中发现违背安全策略的行为。由于只需要收集相关的数据,这样系统的负担明显减少。该方法类似于病毒检测系统,其检测的准确率和效率都比较高。但是它也存在一些缺点。
3.2.1 不能检测未知的入侵行为
由于其检测机理是对已知的入侵方法进行模式提取,对于未知的入侵方法就不能进行有效的检测。也就是说漏警率比较高。
3.2.2 与系统的相关性很强
对于不同实现机制的操作系统,由于攻击的方法不尽相同,很难定义出统一的模式库。另外,误用检测技术也难以检测出内部人员的入侵行为。
目前,由于误用检测技术比较成熟,多数的商业产品都主要是基于误用检测模型的。不过,为了增强检测功能,不少产品也加入了异常检测的方法。
4 入侵检测的发展方向
随着信息系统对一个国家的社会生产与国民经济的影响越来越大,再加上网络攻击者的攻击工具与手法日趋复杂化,信息战已逐步被各个国家重视。近年来,入侵检测有如下几个主要发展方向:
4.1 分布式入侵检测与通用入侵检测架构
传统的IDS一般局限于单一的主机或网络架构,对异构系统及大规模的网络的监测明显不足,再加上不同的IDS系统之间不能很好地协同工作。为解决这一问题,需要采用分布式入侵检测技术与通用入侵检测架构。
4.2应用层入侵检测
许多入侵的语义只有在应用层才能理解,然而目前的IDS仅能检测到诸如Web之类的通用协议,而不能处理Lotus Notes、数据库系统等其他的应用系统。许多基于客户/服务器结构、中间件技术及对象技术的大型应用,也需要应用层的入侵检测保护。
4.3 智能的入侵检测
入侵方法越来越多样化与综合化,尽管已经有智能体、神经网络与遗传算法在入侵检测领域应用研究,但是,这只是一些尝试性的研究工作,需要对智能化的IDS加以进一步的研究,以解决其自学习与自适应能力。
4.4 入侵检测的评测方法
用户需对众多的IDS系统进行评价,评价指标包括IDS检测范围、系统资源占用、IDS自身的可靠性,从而设计出通用的入侵检测测试与评估方法与平台,实现对多种IDS的检测。
4.5 全面的安全防御方案
结合安全工程风险管理的思想与方法来处理网络安全问题,将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、入侵检测多方位全面对所关注的网络作全面的评估,然后提出可行的全面解决方案。
综上所述,入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,使网络系统在受到危害之前即拦截和响应入侵行为,为网络安全增加一道屏障。随着入侵检测的研究与开发,并在实际应用中与其它网络管理软件相结合,使网络安全可以从立体纵深、多层次防御的角度出发,形成人侵检测、网络管理、网络监控三位一体化,从而更加有效地保护网络的安全。
参考文献
l 吴新民.两种典型的入侵检测方法研究.计算机工程与应用,2002;38(10):181—183
2 罗妍,李仲麟,陈宪.入侵检测系统模型的比较.计算机应用,2001;21(6):29~31
3 李涣洲.网络安全与入侵检测技术.四川师范大学学报.2001;24(3):426—428
4 张慧敏,何军,黄厚宽.入侵检测系统.计算机应用研究,2001;18(9):38—4l
5 蒋建春,冯登国.网络入侵检测原理与技术.北京:国防工业出版社,2001
入侵检测论文篇5
关键词:计算机数据库;入侵检测技术;发展研究
中图分类号:TP393.08
当前人们普遍使用计算机,计算机也逐步成为人们日常的办公工具,所以许多数据内容都要计算机数据库的整理并存储,并且计算机的数据库是整个系统的重要部分,因此许多计算机黑客将数据库作为攻击的对象,造成计算机不但面临着来自网络设备的威胁,还存在网络信息安全的问题,因此增加计算机数据库安全保护就十分重要,只有先对计算机数据库实施相应的保护措施,这样才能在受到病毒侵入时确保计算机网络数据的可靠性。随着入侵检测技术不断的进步,许多新的安全防御检测措施不断运用,但经过对计算机防火墙、杀毒软件、路由器等一整套的入侵检测结果推断在当前的计算机网络系统中:入侵检测技术还不够完善,有着许多的缺陷,这会直接降低计算机的入侵检测能力。
1 计算机数据库入侵检测技术的现状问题
由于我国的入侵监测系统和技术运用时间不长,因此目前我国的入侵检测技术还处于初始阶段,进步较慢,检测的系统还需要完善,许多新技术与新型检测理论都处于讨论时期,还没有正式启用,因而入侵检测技术还有以下不足:
1.1 漏报以及误报的频率较高。入侵检测系统与相应的入侵检测技术的运用目的在于维护存储较多内容的数据库,所以在进行系统应用时要求较高,尤其是监测系统关卡的设置,而致使很多非外界的攻击与病毒被检测出来,这就影响了入侵检测系统的效率以及服务质量。
1.2 入侵检测效率低。在计算机网络中,每一个数据编程与数据的入侵及反入侵,所有都需运用二进制对大量的数据进行处理,处理后才可以确保其有效运行,所以其计算量特别大,异常检测的技术成本也特别高,造成的原因是因为用户需求的不断改变,其记录也要跟着人们的需求进行更新,数量就会越来越多,又因为知识库特征里入侵的规则是专业人员先定义后匹配的,因此更增添了其运行的成本。
1.3 较差的自身防护能力。目前的检测技术,因为系统自身的问题以及技术人员能力有限,造成入侵检测技术本身的防护能力就比较差,所以,这就会造成当有病毒入侵或外界攻击入侵检测系统时,会使整个检测系统面临瘫痪,轻者其入侵行为会造成不能正确记录的结果,重者是系统被攻破,然后入侵到数据库里。
1.4 入侵检测技术的可扩展性差。计算机入侵检测系统没有自动更新的能力,所以无法对新的行为或病毒进行正确的判断,从而使得病毒肆意,更甚者冲破数据库的安全防线。
2 提升计算机入侵检测技术的措施
2.1 建立统一的数据库知识标准。研究与把握数据库入侵的特征是非常重要的部分,特征库的覆盖面与准确度在所有的入侵检测结构中都有所帮助。数据挖掘技术中经常运用的手段就是相关研究,相关研究的重点就是制定记录的处理以及一组的Item,提示对它们实施合理的整理与研究找出Item之间的关系,然后在数据库系统内部利用将它们实施有效的整合对潜在入侵行为进行处理探索,来迅速找出潜在的入侵威胁行为。针对系统中的特别检测要选择对应的挖掘项目实施数据挖掘,这种方式主要由以下两个方面:运用迭代技术检测出数据库复杂项集,此过程中要时刻对数据库进行扫描,确保其准确性;把复杂项集变换成相关的规定,规定推出后就应实行一种新规则,然后系统根据此规定运行。
2.2 采用分布式层次化入侵检测技术。目前的数据库入侵检测经常会有许多局限性,只可对一种网络系统结构实施针对性的检测,这对许多高端的以及大规模的数据库检测能力不够,另外,不同层次的数据库监测系统间的相互联系也不足。对于这些发生的状况,若要完善就需要运用分布式的数据库入侵检测技术,运用层次化升级的结论,在众多人使用的服务器上的数据库运用新技术才能增强计算机数据库入侵检测的实际能力。
2.3 智能化、标准化的数据库入侵检测。随着科技的迅速发展,计算机数据库入侵检测系统也得到了极大的进步,智能设备的广泛使用,加上医学的遗传学、神经条件反射在数据库入侵检测的运用,给计算机数据库入侵检测技术带来了巨大的发展。但这些都是初步的探索,在实际运用中还有许多的不足,所以智能化的技术若想真正的与计算机入侵检测技术融为一体还要付出许多努力,而且,数据库入侵检测技术也要逐步提高自身技能,以适应新时代的发展。
2.4 可持续发展战略。一种技术若想可以继续发展就需要制定严格的评测准则,只有在实际使用中随时对计算机数据库的运用情况检测才能为计算机的防御工作做好充分的准备。一般评测的指标都有:数据库的应用情况、入侵检测的范围大小、计算机系统的利用状况。然后把这些整理的数据实施统一的规划处理并输送到特定的系统平台,制作出统一的评测准则,运用到全部计算机数据库检测系统中,最后实现分布式的多层次多方面的入侵检测。
因此,计算机数据库入侵检测技术十分重要,不但能够作为数据库的保护者还能保护计算机系统,只有积极提升计算机入侵检测技术才能适应不断发展的科技社会,从而保证计算机的运转安全。
3 计算机数据库入侵检测技术的发展方向
随着计算机数据库在实际生活中的运用,它在人们的生活与工作中起着重要的作用,另外,攻击数据库的手段越来越复杂,越来越多的用户选择使用数据库入侵检测技术。未来,计算机数据库入侵检测技术主要有以下几种发展方向:
3.1 分布式检测。原来的入侵检测多数拘泥于一个网络结构,用来进行单一网络结构的检测,这种检测方式无法处理规模较大的异构体系数据库。另外,数据库检测体系之间的关联度不够。对于这种问题,最有效的手段是使用分布式数据库入侵检测方式。
3.2 层次化检测。就检测范围来说,传统的入侵检测技术有很大的缺陷,特别是针对一些高端数据库系统,入侵检测技术还有许多的问题。当前许多服务器结构系统都要求具备多层次的入侵检测保护能力,来确保网络的安全。针对这种问题,最可行的方式是使用层次化的检测手段,将普通系统与高端数据库系统区分开来,以此增强入侵检测技术的能力。
3.3 智能化检测。即使当前使用的计算机入侵检测技术已经运用到医学中,但是运用水平还处于尝试性阶段,所以,将智能化入侵检测列入专项课题进行讨论是十分必要的,通过研究讨论来增强计算机入侵检测的自我适应能力。
3.4 标准化评测。用户在使用数据库时应当不定期对计算机数据库入侵检测系统实施评价检测,评价指标包括:入侵检测的监测范围、数据库系统资源占用率、入侵检测技术的可靠性。凭借这些指标,创造出通用的检测平台,最终完成多层次数据库入侵的检测。
4 结束语
总之,计算机数据库入侵检测技术对计算机系统正常工作起着重要的作用。为了保证计算机的正常运行,我们应当增强对计算机数据库入侵检测技术的研究力度,不断依据各种问题来完善计算机数据库入侵检测技术的体系,最终让用户正常使用计算机。
参考文献:
[1]李广润.计算机数据库入侵检测技术应用初探[J].计算机光盘软件与应用,2013(03):41-42.
[2]吴晓风.关于计算机数据库入侵检测技术的几点思考[J].太原城市职业技术学院学报,2012(12):21-22.
[3]王敏.刍议计算机数据库的入侵检测技术及其应用[J].课程教育研究(新教师教学),2012(11):24-25.
作者简介:苗斌(1979.11-),男,河北保定人,硕士,现任学院纪检监察处处长,讲师,研究方向:计算机技术。
入侵检测论文篇6
【关键词】网络安全 入侵检测
一、现在网络安全隐患
随着计算机技术的发展在连结信息能力、流通能力提高的同时,基于网络连接的安全问题也日益突出,很多组织正在致力于提出更多的更强大的主动策略和方案来增强网络的安全性,然而另一个更为有效的解决途径就是入侵检测。在入侵检测之前,大量的安全机制都是根据从主观的角度设计的,他们没有根据网络攻击的具体行为来决定安全对策。因此,它们对入侵行为的反应非常迟钝,很难发现未知的攻击行为,不能根据网络行为的变化来及时地调整系统的安全策略。而入侵检测正是根据网络攻击行为而进行设计的,它不仅能够发现已知入侵行为,而且有能力发现未知的入侵行为,并可以通过学习和分析入侵手段,及时地调整系
统策略以加强系统的安全性。
二、入侵检测的定义
入侵检测是从系统(网络)的关键点采集信息并分析信息,察看系统(网络)中是否有违法安全策略的行为,保证系统(网络)的安全性,完整性和可用性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。Www.lw881.com
三、入侵检测的系统功能构成
一个入侵检测系统的功能结构如图一所示,它至少包含事件提取、入侵分析、入侵响应和远程管理四部分功能。
入侵分析的任务就是在提取到的运行数据中找出入侵的痕迹,将授权的正常访问行为和非授权的不正常访问行为区分开,分析出入侵行为并对入侵者进行定位。
入侵响应功能在分析出入侵行为后被触发,根据入侵行为产生响应。
由于单个入侵检测系统的检测能力和检测范围的限制,入侵检测系统一般采用分布监视集中管理的结构,多个检测单元运行于网络中的各个网段或系统上,通过远程管理功能在一台管理站点上实现统一的管理和监控。
四、入侵检测系统分类
入侵检测系统根据其检测数据来源分为两类:基于主机的入侵检测系统和基于网络的入侵检测系统。
1.基于网络的入侵检测系统
基于网络的入侵检测系统通过网络监视来实现数据提取。在internet中,局域网普遍采用ieee 802.3协议。该协议定义主机进行数据传输时采用子网广播的方式,任何一台主机发送的数据包,都会在所经过的子网中进行广播,也就是说,任何一台主机接收和发送的数据都可以被同一子网内的其他主机接收。在正常设置下,主机的网卡对每一个到达的数据包进行过滤,只将目的地址是本机的或广播地址的数据包放入接收缓冲区,而将其他数据包丢弃,因此,正常情况下网络上的主机表现为只关心与本机有关的数据包,但是将网卡的接收模式进行适当的设置后就可以改变网卡的过滤策略,使网卡能够接收经过本网段的所有数据包,无论这些数据包的目的地是否是该主机。网卡的这种接收模式被称为混杂模式,目前绝大部分网卡都提供这种设置,因此,在需要的时候,对网卡进行合理的设置就能获得经过本网段的所有通信信息,从而实现网络监视的功能。在其他网络环境下,虽然可能不采用广播的方式传送报文,但目前很多路由设备或交换机都提供数据报文监视功能。
2.基于网络的入侵检测系统
基于主机的入侵检测系统将检测模块驻留在被保护系统上,通过提取被保护系统的运行数据并进行入侵分析来实现入侵检测的功能。
基于主机的入侵检测系统可以有若干种实现方法:
检测系统设置以发现不正当的系统设置和系统设置的不正当更改对系统安全状态进行定期检查以发现不正常的安全状态。
基于主机日志的安全审计,通过分析主机日志来发现入侵行为。基于主机的入侵检测系统具有检测效率高,分析代价小,分析速度快的特点,能够迅速并准确地定位入侵者,并可以结合操作系统和应用程序的行为特征对入侵进行进一步分析。目前很多是基于主机日志分析的入侵检测系统。基于主机的入侵检测系统存在的问题是:首先它在一定程度上依赖于系统的可靠性,它要求系统本身应该具备基本的安全功能并具有合理的设置,然后才能提取入侵信息;即使进行了正确的设置,对操作系统熟悉的攻击者仍然有可能在入侵行为完成后及时地将系统日志抹去,从而不被发觉;并且主机的日志能够提供的信息有限,有的入侵手段和途径不会在日志中有所反映,日志系统对有的入侵行为不能做出正确的响应,例如利用网络协议栈的漏洞进行的攻击,通过ping命令发送大数据包,造成系统协议栈溢出而死机,或是利用arp欺骗来伪装成其他主机进行通信,这些手段都不会被高层的日志记录下来。在数据提取的实时性、充分性、可靠性方面基于主机日志的入侵检测系统不如基于网络的入侵检测系统。
五、入侵检测技术的发展方向
近年对入侵检测技术有几个主要发展方向:
(1)分布式入侵检测与通用入侵检测架构
传统的ids一般局限于单一的主机或网络架构,对异构系统及大规模的网络的监测明显不足。同时不同的ids系统之间不能协同工作能力,为解决这一问题,需要分布式入侵检测技术与通用入侵检测架构。
(2)应用层入侵检测
许多入侵的语义只有在应用层才能理解,而目前的ids仅能检测如web之类的通用协议,而不能处理如lotus notes、数据库系统等其他的应用系统。许多基于客户、服务器结构与中间件技术及对象技术的大型应用,需要应用层的入侵检测保护。
(3)智能的入侵检测
入侵方法越来越多样化与综合化,尽管已经有智能体、神经网络与遗传算法在入侵检测领域应用研究,但是这只是一些尝试性的研究工作,需要对智能化的ids加以进一步的研究以解决其自学习与自适应能力。
入侵检测产品仍具有较大的发展空间,从技术途径来讲,我们认为,除了完善常规的、传统的技术(模式识别和完整性检测)外,应重点加强统计分析的相关技术研究。
参考文献:
[1][美]rebecca gurley bace.入侵检测[m].人民邮电出版社,1991.
入侵检测论文篇7
该文将通过使用粗糙集理论来建立入侵特征库,具有的特征包括了节点发送报文时的频率、报文的长度、报文的源地址、报文的目的地址以及不同类型的报文所占的比例等等。由于外形传感器网络的结构高度分散,而且负载也极为不均衡,所以在获取实验的数据时一般会花费较多的时间,而且获得的样本不够完整和精确,数量也有限,但是使用粗糙集理论就能够改善这些缺点,该文将利用这一理论来进行无线传感器网络安全算法的研究。
2生物免疫原理的新型无线传感器网络安全算法分析
2.1算法描述
(1)在一个检测周期内收集节点获取的数据,对数据的特征进行提取;
(2)对获取的数据集按属性进行整理,通过约简入侵检测属性,将冗余的入侵属性去除;
(3)检测网络的运行,如果运行正常那么就在下一个检测周期当中再次进行检查,而如果运行存在异常,那么就通过与特征库中的数据相对照来查找是否存在异常特征,如果存在,那么就按照现有的方式进行隔离、消除入侵的节点,如果特征库中不存在该异常特征,就要对其进行分类,并判断BND(X)是否小于阈值T0或者为空集,如果不是,那么就使X=BND(X),重新进行分类。
2.2分析检测入侵的能力
通过仿真比较,基于生物免疫原理的新型无线传感器网络安全算法在使用前后的检测情况如表1所示。从表1中可以看出,使用基于生物免疫原理的新型无线传感器网络安全算法之后,入侵的检测率得到了明显地提高,而且对于多数的网络入侵都能够进行有效检测,但是由于网络入侵的方式、性质包括环境都不尽相同,所以这种算法对于每一种攻击检测率的提高程度也不太一样。比如对于普遍存在的Dos攻击,该算法提高了对其的检测率,但是由于受到了软件、硬件、资源等多种因素的影响,在检测时还是存在着一定的漏检率和错检率。而Sybil攻击用现有的检测方式较难在无线传感器网络中检测出来,但是通过基于生物免疫原理的新型无线传感器网络安全算法,对信息进行监测和决策,较好地控制了身份和节点之间的对应关系,从而有效地检测出了Sybil攻击,检测效率有了明显提升。
入侵检测论文篇8
各种攻击事件与入侵手法层出不穷,由此催生市场对于网络安全产品的需求不断增加。使用防火墙、访问控制、加密技术等传统的安全技术和产品,在入侵技术快
速发展的新形势下,逐步暴露出其局限性。入侵检测系统是继防火墙之后计算机网络安全系统保护的第二道安全闸门,主要收集计算机网络或计算机系统中若干关
键点的信息并对其进行分析,从而发现网络或系统中是否存在违反安全策略的行为或被攻击的迹象,引入入侵检测系统,并对入侵检测的分类和存在的问题进行分
析与研究,最后分析入侵检测发展方向。
关键词:网络安全;入侵检测;入侵检测系统
中图分类号:TP393.08 文献标识码:A 文章编号:1671—7597(2012)01201 85-02
随着网络技术日新月异,计算机网络安全系统日益成为人们关注的热
点。入侵检测系统作为一种主动保护网络的安全技术,在不影响网络性能
的情况下,能监测网络运行,并实时保护内部攻击、外部攻击和误操作。
入侵检测系统愈来愈多地受到人们关注,也是研究领域的热点。
1 入侵检测系统
美国詹姆斯·安德森在1980年《计算机安全威胁的监察与监管》技术
报告中首先提出了入侵检测的概念。
美国国家安全通信委员会入侵检测小组在1997年给出了“入侵检测”
的定义:就是指在特定的网络环境中,发现和识别企图入侵、正在进行的
入侵或已经发生的入侵行为,并做出响应。入侵检测系统是运用入侵检测
技术对计算机或网络资源进行实时检测的系统,包括软件系统、软硬件相
结合的系统。入侵检测系统是从网络中的若干关键点收集信息并进行分
析,从而发现违反安全策略的行为或遭到入侵攻击的迹象,并自动做出响
应。主要功能包括监测与分析用户和系统行为、检查和扫描系统安全漏
洞、完整性评估重要的文件、识别已知的攻击行为、统计分析异常的行
为、审计跟踪操作系统、检测违反安全策略的用户行为等。
美国国防部高级研究计划署提出了一个通用入侵检测框架,大致由
4个相对独立的功能模块组成,如图1所示。
2 入侵检测系统的分类及存在的问题
2.1 依据数据来源来分类
依据检测数据的来源,入侵检测系统可分为基于主机的入侵检测系统
和基于网络的入侵检测系统。
1)基于主机的入侵检测系统
该入侵检测系统大多被部署在需要重点监测的主机上,监测数据的来
源主要是使用操作系统的审计和跟踪日志,需要时也会与主机系统进行交
互以获得在系统日志中不存在的信息,然后和常见已知攻击的内部数据库
进行比较来识别攻击事件。其优点包括:不需要额外的硬件、对网络流量
不敏感、效率高、能准确定位入侵并迅速做出响应。其缺点有:占用主机
资源、依赖于主机的可靠性、实施事后检测、全面部署的代价较大。
2)基于网络的入侵检测系统
该入侵检测系统通常被部署在网络设备节点上,通过被动监听网络上
传输的原始数据流,对获得的网络数据进行处理,提取出有用的信息,然
后与已知攻击特征进行匹配或与正常网络行为原型进行比较来检测入侵。
其优点有:操作系统无关性、配置简单、可进行实时检测并响应、可检测
协议攻击和特定环境的攻击等多种攻击。其缺点大致包括:只能对经过本
网段的活动进行监视、得不到主机系统的实时状态、精确度较差、不能在
交换式环境或加密环境中检测。
2.2 依据分析方法来分类
依据数据分析方法,可以将入侵检测系统分为异常入侵检测系统、误
用入侵检测系统。
1)异常入侵检测系统
首先建立一个正常的特征库,以此为参照,结合使用者的行为或资源
使用状况来判断是否入侵。常用的异常入侵检测技术主要有:统计分析、
基于数据挖掘的检测方法。其优点是:系统相对无关,可检测出新的入侵
或者从未发生过的入侵,还可以检测出属于权限滥用类型的入侵;缺点是
误检率很高。
2)误用入侵检测系统
根据已知的攻击知识建立攻击特征库,通过用户或系统行为与特征库
中各种攻击模式的比较,来确定是否发生入侵。常用的误用检测技术主要
有:基于专家系统和基于状态转移分析的检测方法。误用入侵检测系统的
优点:误报率低。误用入侵检测系统的缺点:攻击特征库越来越大,只能
检测到已知的攻击行为。
3 入侵检测的发展方向
随着网络技术不断发展和网络规模的不断扩大,网络攻击者的攻击工
具与手法日趋复杂化。近年来,入侵技术无论在规模上还是在方法上都发
生了巨大的变化。同时,入侵检测技术也随网络技术和相关学科的发展而
日趋成熟,其未来发展的主要方向有:
3.1 基于机器学习算法的入侵检测技术
机器学习主要是综合利用统计学、神经网络、模糊集、进化计算等领
域的方法,完成数据总结、概念描述、分类规则提取、数据聚类、相关性
分析、偏差分析、序列模式发现等任务。主要有:
1)计算机免疫技术。通过识别异常或者以前从未出现过的特征来确
定入侵。基于计算机免疫技术的入侵检测系统在实现异常检测方面具有巨
大的潜力。计算机免疫研究目前主要模拟了免疫检测,而对免疫应答、免
疫调整等功能的研究不足,以及对检测到“非我”后处理方法的研究还不
够深入。
2)神经网络技术。通过训练向后传播神经网络来识别已知的网络入
侵,进而研究识别未知的网络入侵。优点主要有:实现简单、分析速度
快、可实时分析、具备较强的攻击模式分析能力、能够较好地处理带噪声
的数据。但也存在一些问题:神经网络拓扑结构的形成不稳定,易陷于局
部极小,学习时间长,且对判断为异常的事件不能提供解释或者说明信
息。新的研究致力于解决向后传播网络的若干限制性缺陷。
3)遗传算法。也称基因算法,是一种基于遗传和变异的生物进化方
法。利用若干个字符串序列来定义指令组,使用这些指令组来识别正常或
者异常行为。该指令组在初始训练阶段中不断进化,以提高其分析能力。
优点是能处理带有大量噪声和无关数据的变化事件。但该算法在入侵检测
中的应用时间不长,其实际应用还有待进一步研究。
3.2 基于数据挖掘的入侵检测技术
操作系统的日益复杂化和网络数据流量的急剧膨胀,使得系统安全审
计数据以惊人的速度剧增。数据挖掘是从大型数据库或数据仓库中提取隐
含的、实现未知的、潜在有用的、易被理解的信息的过程。使用数据挖掘
中的分类分析、关联分析、聚类分析、序列模式分析等算法从海量的数据
中提取出相关的用户行为特征,并根据这些特征生成安全事件的分类模
型,应用于安全事件的自动鉴别。
基于数据挖掘的入侵检测的优点在于适合处理海量计算机网络数据
流,缺点是难以做到实时入侵检测。该技术一经提出即得到很快发展,如
今在许多方面取得了成果,但现在还远没有达到能投入实际使用的程度,
也没有形成完备的理论体系。
3.3 基于Agent的分布式入侵检测系统
基于Agent的分布式入侵检测系统采用分布式部件进行数据收集,各
部件按照层次型的结构组织,在各自所在的主机进行检测,相互之间可交
换信息,并在检测到入侵时采取响应。
高级入侵技术呈现出分布性和协作性的特点,因此要求分布式入侵检
测系统要具有智慧性、分布性和协同工作的特点。现有的分布式入侵检测
大都采用“分布式数据收集、集中处理”的体系架构,虽然比“集中式数
据收集、集中式处理”的以往的入侵检测系统在性能上和扩展上有所提
高,但是仍然存在以下不足:
1)实时性差:因数据从收集到传给中央处理器有一段时延,中央处
理器接收到的是数据被收集时的状态。基于过时信息做出的判断可信度较
低。
2)单点失效问题:由于数据是集中进行分析处理的,如果入侵者以
某种方式对中央数据分析器进行攻击,将导致整个入侵检测系统瘫痪。
3)适应性差:入侵检测系统是针对专门的系统而开发的,所以很难
移植到其他的环境中,且不同的系统间难以实现互操作。
3.4 入侵响应技术
入侵检测系统分析出入侵行为或者可疑现象后,需要采取相应的措
施,比如通过生成事件警告、E—mail或短信来通知管理员等,将入侵造成
的损失降低到最小程度。随着网络安全技术的更新与进步,目前三种更加
实时、系统自动的入侵响应方法,正越来越被重视研究和推广应用。一是
系统保护,主要是减少入侵损失;二是动态策略,主要是提高系统安全
性;三是攻击对抗,主要是实时保护系统和实现入侵跟踪和反入侵的主动
防御策略。
入侵检测系统作为一种动态的集监控、预防和抵御入侵于一体的安全
防护系统,越来越受到人们的重视。随着对入侵检测深入的技术研发、同
时结合最新的网络管理软件,将对网络安全构成入侵检测、网络管理、网
络监控三位一体的多维立体防御体系,与时俱进地保护网络安全。
参考文献:
[1]龙冬阳,《网络安全技术及应用第一版》,华南理工大学出版社,
2006.2.
[2]李涣洲,《网络安全与入侵检测技术》,四川师范大学学报,2001,
24:426—428.
[3]王丽娜主编,《信息安全导论》,武汉大学出版社,2008,8(1):
61.
[4]CEAC国家信息化计算机教育认证项目电子政务与信息安全认证专项
组,北京大学电子政务研究院电子政务与信息安全技术实验室编著,《网络安
全基础》,人民邮电出版社,2008,5(1):203—206.
[5]杜晔、张大伟、范艳芳编著,《网络攻防技术教程》,武汉大学出版