基于网络的入侵检测范文
时间:2023-10-27 11:24:57
基于网络的入侵检测篇1
关键词:入侵检测;snort技术;检测性能
1 引言
随着科学技术的不断发展,网络日趋复杂化,过去保护网络安全所采用的防火墙只是被动防御的网络安全工具,已不能适应如今复杂多变的网络安全问题。入侵检测是网络安全领域中一个较新的课题,检测引擎作为其核心模块,检测速度将直接影响系统的效率,模式匹配是入侵检测系统的重要检测方法。入侵检测技术是近年来飞速发展起来的一种集动态的集监控、预防和抵御系统入侵为一体的新型安全机制。作为传统安全机制的补充,入侵检测技术能够提出预警并实行相应反应动作。入侵检测是对计算机和网络资源上的恶意行为进行识别和相应处理的过程,具有智能监控、实时探测、动态响应、易于配置等特点。
在我国入侵检测技术的研究起步较晚,还不够成熟和完善,需要投入较多的精力进行探索研究,特别是基于模式匹配也就是基于规则的入侵检测,这对抑制黑客攻击和网络病毒的传播,提高网络安全具有重要意义。
2 网络入侵检测技术概述
入侵检测系统(IDS,Intrusion Detection System)可以识别计算机和网络系统,或信息系统的非法攻击,主要包括检测非法入侵者的恶意攻击,或是合法用户的越权行为。入侵检测系统在结构上基本一致,都由数据采集、数据分析及用户界面等组成,不同的只是在分析采集方法和数据类型等方面。
2.1 入侵检测系统分类
(1)基于主机的入侵检测系统。基于主机IDS部署在单主机上,利用审计记录,通过操作系统的日志记录,主机自动检测入侵行为。它不对网络数据包或扫描配置进行检查,而是整理系统日志。
(2)基于网络的入侵检测系统。基于网络的IDS主要用于防御外部入侵攻击。它通过监控出入网络的通信数据流,按照一定规则分析数据流的内容,从而发现协议攻击、运行已知黑客程序的企图和可能破坏安全策略的特征,做出入侵攻击判断。
为了能够捕获入侵攻击行为,基于网络IDS必须位于能够看到所有数据包的位置,这包括:环网内部、安全网络中紧随防火墙之后以及其它子网的路由器或网关之后。
2.2 入侵检测技术
入侵检测系统中核心的问题是数据分析技术,包括对原始数据的同步、整理、组织、分类以及各种类型的细致分析,提取其中所包含的系统活动特征或模式,用于判断行为是否正常。采用何种数据分析技术,将直接决定系统的检测能力和效果。 数据分析技术分为:误用检测和异常检测。误用检测搜索审计事件数据,查看是否存在预先定义的误用模式,典型的有特征模式匹配技术、协议分析技术和状态协议分析技术等;异常检测提取正常模式审计数据的数学特征,检查事件数据是否存在与之相违背的异常模式,典型的有统计分析技术、数据重组技术、行为分析技术。此外还提出了一些新技术,如免疫系统、基因算法、数据挖掘等。
3 Snort 网络入侵检测系统
3.1 Snort工作原理
Snort是一个功能强大的网络入侵检测系统,其最大的优势是开放源代码。它利用Libpcap网络数据包中捕获并分析函数包,监听有无可疑的网络活动;其数据分析技术采用基于误用检测技术,对数据进行最直接的搜索匹配。Snort的工作模式包括:数据包嗅探器、数据包记录器、网络入侵检测系统。
3.2 Snort系统的体系结构
⑴Sniffer。Sniffer数据包嗅探器的功能是捕获网络数据包并解析数据。Snort利用Libpcap库函数捕获数据,Libpcap能够从链路层直接获取接口函数提供给应用程序,并且能通过设置数据包的过滤器指定所需捕获的数据。网络数据采集和解析机制是整个NIDS实现的基础,其中关键的是要保证系统高速运行和较低的丢包率,这对软件的效率和硬件的处理能力都有关系。
⑵预处理器。预处理程序可以很容易扩展Snort的功能,用户和程序员能够将模块化的插件方便地融入Snort之中。预处理程序代码在探测引擎被调用之前运行,但在数据包译码之后。通过这个机制,数据包可以通过额外的方法被修改或分析。
⑶检测引擎。Snort的核心部分就是检测引擎,预处理器传送捕获的数据包后Snort根据规则库对它们进行匹配检测。匹配性能的好坏取决于准确性和速度。网络入侵检测系统属于被动防御,不能主动发送数据包探测,准确性主要是提取入侵特征码的精确性和编写规则的简洁性,只有将特征码归结为不同字段的特征值,再检测特征值对入侵行为进行判断。快速性表示检测引擎的组织结构进行规则匹配的速度,Snort用链表的形式组织规则。要求Snort的规则链表要进行分类和组织结构优化。
⑷日志和报警。Snort对被检测包有alert、log和pass三种处理方式,这些方式具体的完成在日志和报警子系统中,以命令行交互的方式选择。日志子系统将嗅探器收集到的数据包解码后以文本格式或tcpdump格式记录。报警子系统将报警信息写入指定的文件或数据库中。
3.3 Snort总体流程
Snort的入侵检测流程首先是规则的解析流程,主要包括读取规则和组织规则;然后是使用规则进行规则匹配的流程。
⑴规则解析流程。解析流程的具体过程为:①Snort读取规则文件;②依次读取每条规则;③解析规则语法,用相应的规则语法表示;④在内存中组织规则,建立规则语法树。规则文件读取ParseRulesFile()函数检查规则文件、读取规则和整理多行规则。ParseRulesFile()只是接口函数,而具体的规则解析任务主要由ParseRule()函数实现。ParseRule()函数解析每条规则,调用不同的函数并加入到规则链表。
ParseRule()函数调用RuleType()提取规则类型。分别调用proeessHeadNode()函数处理规则头和proeessRuleoption()函数处理规则选项。如果提取规则的类型为PreProcess、output、config、var等则分别调用相应的函数对其处理,完成后跳出本条规则解析,然后继续解析下一条。
⑵规则匹配流程。Snort按照顺序遍历activation、dynamic、alert、pass、log的规则子树。接着根据报文的IP地址和端口号,在规则头链表中找到对应的规则头。最后,将这条数据报文匹配规则头附带的规则选项组织为链表。首先匹配第一个规则选项,若匹配则按照定义的规则行为做出处理结果。若不匹配,选择下一个规则选项匹配。若所有规则都不匹配,则说明报文不包含入侵行为特征。
4 检测系统实验
本文的实验平台主要有:Microsoft virtual pc虚拟机、windows server 2003镜像文件、Windows 版本的Snort 安装包、基于PHP的入侵检测数据库分析控制台等。
4.1 实验过程:Snort的使用
(1)嗅探器:Snort从网络上读出数据包然后在控制台上显示。
①只需要打印TCP/IP包头信息显示在屏幕上,输入命令行:./snortV
②要在硬盘上记录全部的包,指定一个日志目录,自动记录数据包,输入:./snort -dev -l ./log
(2)网络入侵检测系统:命令行模式:./snort -dev -l ./log -h ***.***.***.***/** -c snort.conf
(3)网络入侵检测模式下的输出选项
ASCII格式是Snort默认的记录日志格式,使用full报警机制,snort会在打印包头信息后再打印报警消息。使用-s可以将报警消息发送到syslog。Snort还有另一种SMB报警机制,通过SAMBA发送到Windows主机,在运行./configure脚本时,必须使用―enable-smbalerts。
4.2 Snort与控制台,数据库的使用检测
(1)设置监测包含的规则。
找到snort.conf文件中描述规则的部分
(2)运行C:\duoaduo\Snort\bin中的snort.exe,不关闭窗口,浏览网页
(3)打开acid检测控制台主界面
点击右侧图示中TCP后的数字“1%”,将显示所有检测到的TCP协议日志详细情况
5 总结
论文首先介绍网络入侵检测的概况,然后进行了Snort检测系统研究,包括其工作原理、体系结构和入侵检测流程等,还进行了检测系统实验,介绍实验平台、实验的具体过程,来展现snort的工作过程,最后显示实验数据和日志情况。
[参考文献]
[1]高平利,任金昌.基于Snort入侵检测系统的分析与实现[J].计算机应用与软件,2006,23(8):134-135.
[2]王冬霞,张玉辉.基于Snort入侵检测系统的研究与设计[J].科技广场, 2012(9):117-119.
[3]董忠.基于Snort系统的网络入侵检测模型的研究[J].计量技术, 2012(002):14-16.
基于网络的入侵检测篇2
关键词:入侵检测;免疫原理;r连续位匹配;检测集生成
中图分类号:TP18文献标识码:A文章编号:1009-3044(2012)26-6348-03
Network Intrusion Detection Based on Immune Theory
WU Xiang1, HAN Liang2
(1.Naval Headquarters, Beijing 100841, China; 2.The East China Sea Fleet of Navy, Ningbo 315122, China)
Abstract: After analysis of the immune algorithm characteristics, the metaphor mechanism which is associated with the intrusion detection is extracted and studied in-depth. And then on the basis of artificial immune system, intrusion Detection system based on immune mechanism is built and the definition of system self and system non-self, immune matching rules set, and also the generation and life cycle of the immune detector are explained. Finally, the model is validated by the simulation experiments. The establishment of the immune intrusion detection system and the simulation work is the cornerstone of this research.
Key words: intrusion detection; immune theory; r contiguous bits matching; detector set generation
人体的免疫系统功能是通过大量不同类型的细胞之间的相互作用实现的[1-2]。在这些不同类型的细胞主要作用是区分“自体”和“非自体”。“自体”是指人体自身的细胞,而“非自体”是指病原体、毒性有机物和内源的突变细胞或衰老细胞。淋巴细胞能对“非自体”成分产生应答,以消除它们对机体的危害;但对“自体”成分,则不产生应答,以保持内环境动态稳定,维持机体健康。
可以看出入侵检测系统和免疫系统具有一定程度的相似性。对于一个入侵检测系统,特别是网络入侵检测系统,免疫系统的组成、结构、特征、免疫机理、算法等都为入侵检测系统设计有着重要的借鉴意义。它们要解决的问题都可以被描述为:识别“自体”和“非自体”,并消除“非自体”。
1自体和非自体的定义
计算机安全的免疫系统保护的是计算机系统的数据文件,所以将“自体”定义为计算机中合法的数据,这些数据包括合法用户、授权活动、原始源代码、未被欺诈的数据等;将“非自体”定义为其它一切非法数据,这些数据包括自身遭受非法篡改的数据、病毒感染的数据以及外来数据等。
2免疫匹配规则
在计算机中,所有的数据都是以二进制来表示的,这就表明在进行仿真的过程中,使用免疫匹配规则的对象都应该是针对二进制字符串的,因此需要采用二进制的匹配算法。采用何种二进制字符串的匹配算法,这是一个十分关键的问题,因为只有采用了合适的匹配算法,才能有效的构造免疫检测器集[4]。目前有很多的近似匹配算法,如r连续位的匹配算法、海明距离匹配算法等。r连续位匹配规则能更好地反映抗体绑定的真实提取,即能更真实地反映检测器字符串与被检测字符串的匹配情况,所以它比海明匹配规则更常用,因此文章采用r连续位的匹配算法。
r连续位的匹配规则可以描述如下:对于任意的两个字符串x,y,如果两个字符串x,y在相应位置上至少连续r位相同,那么这两个字符串是r连续位匹配的,即Match(x,y)|r=true。例如,如果设定r=5,字符串x=“10111010”和字符串y=“11011010”,由于它们在相应位置4-8位上都为“11010”,因此这两个字符串是匹配的。
在训练阶段,首先随机生成候选检测器集合,然后让候选检测器与自体集进行匹配,这个过程也叫阴性选择过程。在匹配的过程中,那些与与自体集相匹配的候选检测器就被丢弃,而不与自体集匹配的候选检测器则作为成熟检测器,存储于检测器集合中。
[1] Oscar A,Fabio A G, Fernando N,et al.Search and Optimization:A Solution Concept for Artificial Immune Networks: A Coevo? lutionary Perspective [C].Proceedings of 6th international conference on Artificial Immune systems,Brazil,2007:26-29.
[2] Hofmeyr, S, Forrest, S. Immunity by Design: An Artificial Immune System[C]//Proceedings of the 1999 Genetic and Evolution? ary Computation Conference,1999:1289-1296.
[3]杨进,刘晓洁,李涛,等.人工免疫中匹配算法研究[J].四川大学学报:工程科学版,2008,40(3):126-131.
[4]马莉.基于免疫原理的网络入侵检测器生成算法的研究[D].南京:南京理工大学硕士论文, 2006.
[5]卿斯汉,蒋建春,马恒太,等.入侵检测技术研究综述[J].通信学报,2004,25(7):19-29.
[6]焦李成,杜海峰,刘芳,等.免疫优化计算、学习与识别[M].北京:科学出版社, 2006.
[7] Dasgupta D,Gonzalez F.An Immunity-Based Technique to Characterize Intrusions in, Computer Networks [J].Special Issue on Artificial Immune Systems of the Journal IEEE Transactions on Evolutionary Comput- ation.2002,6(3):281-291.
[8] Cantu-Paz E. Feature subset selection, class separability, and genetic algorithms[C]//Proceedings of the Genetic and Evolution? ary Computation Conf, 2004:959-970.
基于网络的入侵检测篇3
关键词:IPv6;网络入侵检测;模式匹配;蜜罐技术
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)18-2pppp-0c
Research of Network Intrusion Detection System Based on IPv6 Environment
ZHANG Jun,ZHONG Le-hai
(College of Computer Science, China West Normal University,Nanchong 637002,China)
Abstract: IPv6 will be the core technology in the next generation Internet. Therefore, the study on intrusion detection system in IPv6 is closely linked with the next generation Internet .After analyzing the fundamentals of network security system today and the primary characteristics of IPv6,a framework of intrusion detection system in IPv6 was put forward. A pattern matching by using improved KMP, and using Honeypot technology.
Key words:IPv6;network intrusion detection;pattern matching;Honeypot technology
1 引言
防火墙作为一种边界安全设施能比较有效地保护网络内部的非法访问。由于传统防火墙所暴露出来的不足和弱点,引发了人们对入侵检测系统(IDS)技术的研究和开发。入侵检测系统为网络安全提供实时的入侵检测及采取相应的防护手段。随着下一代网络的发展,IPv6提供了较好的安全体系结构,IPv6安全机制的引进,增强了网络层的安全性。同时,IPv6安全机制的应用对现有的网络安全体系也提出了新的要求和挑战。由于入侵手法层出不穷,入侵检测系统很难检测到新的入侵行为,蜜罐技术的引入能够很好的解决这一问题。
入侵检测是指通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作,检测到系统的闯入或闯入的企图。入侵检测技术,它是一种主动保护自己免受黑客攻击的新型网络安全技术,进行入侵检测的软件与硬件的组合便是入侵检测系统[1]。
Spitzner认为,蜜罐是一个信息系统资源,其价值就在于它的资源被未授权或非法使用。蜜罐系统通过伪装成带有漏洞的真实系统来吸引黑客进入,并记录黑客在其中的活动。我们通过分析蜜罐记录的数据就可以很轻松的了解到黑客的动向及其使用的新方法等信息。本文引入蜜罐技术是为了记录黑客行为,提取出入侵规则,把新的入侵规则添加到入侵检测系统的规则库中,从而使入侵检测系统能够检测出新的入侵行为。
由于IPSec作为IPv6的下一代互联网的必选协议,它从协议上保证了数据传输的安全性。该协议定义了认证报头和封装安全载荷报头,实现了基于网络层的身份认证,确保了数据包的完整性和机密性,在一定程度上实现了网络层安全[2]。由于在IPv6环境下网络的安全问题仍然突出,入侵检测系统作为一种有效的网络安全工具,它依然在IPv6环境下发挥着重要作用。
2 IPv6网络入侵检测系统结构
入侵检测系统广泛采用成熟的模式匹配技术,针对IPv6的特点,本系统采用将协议分析技术与规则
匹配技术相结合的IPv6网络入侵检测系统框架,使用改进的KMP算法来检测入侵行为。IPv6网络入侵检
基金项目:四川省科技攻关资助项目(No:05GG009-018)
作者简介:张俊(1981-),女,河南洛阳人,西华师范大学计算机学院计算机应用技术专业硕士研究生,研究方向:基于网络的计算机应用;钟乐海(1963-),男,四川广安人,博士,西华师范大学计算机学院教授,硕士导师,研究方向:计算机网络应用技术及信息安全技术
测的基本思想是:捕获目标地址属于受保护网络的数据包,送往协议分析模块,通过具体协议字段分层次协议,送往相应协议解析器,分析数据包的数据部分,再根据特征库中的模式进行模式匹配,判断该数据包是否有入侵企图,最后由响应模块对该数据包做出相应的响应[3],IPv6网络入侵检测系统结构如图1所示。
图1 IPv6网络入侵检测系统结构图
2.1 数据采集模块
数据采集模块是底层模块,它是网络入侵检测系统的基本组成部分,是实现整个入侵检测系统的基础。该模块按一定的规则从网络上获取与安全事件相关的数据包,然后传递给协议解析模块解析处理,为整个系统提供数据来源。
基于IPv6的网络入侵检测系统采用专门为数据监听应用程序设计的库文件WinPacp来实现包捕获模块,这样可以不了解网络的数据链路层细节。
WinPacp是基于BSD系统内核提供的BPF设计的,利用BPF的信息过滤机制可以去掉用户不关心的数据包,从而提高系统的工作效率[4]。
2.2 中层模块
中层模块是IPv6网络入侵检测系统的核心,它由协议解码模块和规则匹配模块组成。协议解码模块是对捕获的数据包进行协议解码,解析成协议数据的格式,并分辨各个协议的头部和负载,进一步分析出头部中的各个字段;规则匹配模块对协议解析模块提交的数据进行匹配算法和规则库中的规则进行比较分析,从而判断是否有入侵行为。
2.3 高层模块
高层模块包括响应模块和界面管理模块。当入侵检测系统发现系统有入侵事件发生时,就要让系统管理员等相关安全人员指导已经有安全问题发生,并需要采取相应的响应措施。响应模块主要功能是对经过检测的数据包执行具体的响应,是入侵检测系统不可缺少的一部分。
从响应的方式上分,入侵检测系统的响应可分为主动响应和被动响应,本文采用主动响应和被动响应向结合的方式来对入侵行为做出响应。
3 一种改进的模式匹配算法
匹配算法直接影响到系统的实时性能。从网络数据包搜索入侵特征时,需要一个有效的字符串搜索算法。在字符串搜索算法中,最著名的是KMP(Knuth-Morris-Pratt)算法和BM(Boyer-Moore)算法[5]。这两种算法在最坏的情况下具有线性的搜索时间,即计算时间复杂度为0(mn),m、n分别是位于欲匹配的字符串长度,而且还可能会出现多次回溯,算法效率太低,因此,我们对KMP算法进行了改进。
基于网络的入侵检测篇4
关键词:入侵检测;分布式入侵检测系统;安全
中图分类号:TP393 文献标识码:A文章编号:1009-3044(2007)04-10977-01
1 引言
入侵检测(IDS)是一种自动识别针对计算机和网络资源的恶意行为并采取相应的保护措施以避免系统遭到侵害、或进行适当的记录以便在遭到侵害后快速恢复系统功能的过程。
虽然IDS的功能比较全面,但并不是解决网络安全问题的“一揽子”方案,像其它所有安全产品一样,目前的IDS普遍存在一些有待克服的问题。
首先,大部分IDS系统进行攻击检测的主要依据是攻击特征,然而每天都有新的攻击技术和攻击方法出现,IDS检测出未知攻击方法的概率几乎为零,而目前几乎所有的IDS都缺乏有效的攻击特征快速更新升级策略。
其次,由于IDS要对大部分网段内部和进出网段的数据包进行过滤分析,当网络通信流量较大时,检测的实时性和有效性就大打折扣。例如,在10兆以太网上IDS可以较好地实现分析和检测,但网络容量一旦提升到100兆甚至1000兆,目前的IDS便很难做到快速反应。
此外,由于目前IDS系统的检测分析机制比较简单,基本不具备关联性分析和趋势分析能力,因此对时空跨度加大的攻击方式,如DDOS等的检测效果很不理想,这也在很大程度上影响了用户对IDS的信心。
2 IDS的改进措施
为了解决IDS所存在的问题,我们提出分布式混合IDS系统(DIDS)的设计方案。DIDS的分布式表现在两个方面,首先数据包过滤的工作由分布在各网络设备(包括联网主机)上的探测完成;其次,探测认为可疑的数据包将根据其类型交给专用的分析层设备处理。这样对网络信息进行分流,既提高了检测速度,解决了检测效率问题,又增强了DIDS本身抗击拒绝服务攻击的能力。此外,我们的DIDS综合了基于主机和基于网络IDS的功能。各探测不仅实现信息过滤,同时对所在系统进行监视;而分析层和管理层则可对全局的信息进行关联性分析,在一定程度上解决DDOS攻击的问题。具体而言,我们在DIDS的设计中采取了以下改进措施:
(1)为了实现IDS攻击特征库的实时更新,我们在DIDS的设计中增加一个专门的特征库检索、验证和更新引擎。
(2)采用分布式的设计,由多个独立工作相互协调的系统模块分担网络数据包的过滤与分析。
(3)设计网络信息关联性描述模型,用统计学方法分析用户的行为特征,形成用户网络行为的趋势估计,从而全面提高DIDS检测DDOS等攻击的能力。
(4)采用一些特定的网络攻击方法,对检出的网络攻击行为实施有效的反攻,使攻击者暂时或较长时间丧失进一步攻击的能力,从而提高IDS攻击响应的主动性。
3 DIDS的功能模块设计
DIDS的总体设计原则是分布式检测分析,集中式管理维护。按逻辑层次划分为管理层、分析层和检测层。其结构如图1所示。
图1 DIDS逻辑模块
管理层包含唯一的管理控制中心(CONSOLE),基于Linux/FreeBSD平台,提供图形化的用户管理界面,维护全局数据库,对各分析层和检测层模块实施控制与管理,并进行网络行为的关联性分析。管理中心需要一立的服务器或高档PC,可以采用Intel架构,要求有大型关系数据库支持,可以采用Linux下的MySQL。在企业网络中,DIDS管理中心服务器应该和内部数据库服务器等设备得到同等的保护。
分析层按网络结构分为Internet信息包分析和Intranet信息包分析模块,在各分析模块中按不同通信协议划分子模块;分析层接收各下属检测层模块的输入,对确认的攻击行为按照设定的响应策略采取相应的措施,如向管理层报告,或实施反攻等;分析层拥有本地数据库,该库的维护由管理层完成。每个分析层单元应该由独立的主机来实现,采用Linux/FreeBSD操作系统平台,在系统内核模块级实现分析单元,这样既保证系统效率,又可以增强系统的健壮性。分析层与层是松散的附属关系,其间的关系可以由图2说明。
探测分布在网络的各个关键服务器、主机或其它网络设备,目前设计中的都是以应用程序方式运行在目标系统上,因此对目标操作系统的类型有一定要求。图3描绘了DIDS各模块在实际网络环境中的设置。
图2 分析单元与探测之间的关系
图3 DIDS在实际网络环境中的设置
4 预期达到的性能指标
(1)有效检测各种已知的典型攻击方法;
(2)比较有效地检测时空跨度较大的攻击行为,防止目前已知的各种DDOS攻击方式。
(3)检测与反应速度明显优于现有IDS产品;
(4)主动式的攻击响应能力;
(5)图形化的用户管理界面,设置简便,平滑的扩展升级;
(6)组网方便,配置灵活,系统兼容强;
5 主要技术难点和解决思路
(1)多级分布式设计虽然可以分担信息过滤和分析工作,但为了达到关联性分析的要求,各分析单元之间必须进行有效的信息交互;同时各探测也需要向分析单元递交信息。如何设计并保证各系统模块之间的通信是DIDS设计的难点之一。我们的思路是为DIDS设置专用的内部网络,同时设计专门的加密通信协议。
(2)异常行为检测一直是IDS领域的难点,其关键是建立用户和系统行为的统计学模型,然后根据过往信息对后续行为进行预测。由于系统和用户的行为往往非常复杂,很难用简单的数学公式进行精确概括。而且,异常检测设计实现复杂,需要较长时间的微调才能发挥效能,虚警概率也较高。因此长期以来,大多IDS产品只采用特征检测。但是异常行为检测在许多方面优于特征检测:首先异常检测从设计上贯彻了“缺省不许”的安全策略,符合目前安全设计的基本原则;其次,利用异常检测方法可以实现系统自学;第三可以检测出新的攻击方法。而且,我们认为上述困难并不是没有办法解决:首先,简化设计思路,只针对某些特定的系统参数和用户行为进行预测;其次,设计训练学习库,简化系统微调过程;其三,采用模糊匹配算法,融合相关信息,降低虚警概率。
(3)攻击特征收集与在线更新也是DIDS需要解决的关键问题之一。首先在线获取的攻击方法必须经管理人员分析验证并编辑为特征描述,所以需要为管理员提供特征描述生成工具,生成的脚本可以手工调整。其次,系统必须设计相应的特征解释引擎以将特征库转化为系统可识别的操作命令。最后在线的特征库更新采用“推”的方式,由管理中心将更新信息发送给各分析单元和探测,各分析单元和探测正确接收后返回确认信息,管理中心将确认备案。
6 总结与展望
分布式体系结构的网络入侵检测系统中,各个检测点相互协作却又相互独立,它具有良好的伸缩性,扩展性。同时,DIDS与其他网络安全技术相结合,如防火墙、密罐、反病毒系统等,提供了完整的网络安全保障。不过在入侵检测技术发展的同时,入侵技术也在更新, DIDS还需在自动反击技术、应用层入侵检测、智能的入侵检测等方面有所突破。
参考文献:
[1]Northcutt, S著,余青霓等译.网络入侵检测分析员手册[M]. 北京:人民邮电出版社,2000.
[2]何浩,史美林,董永乐.入侵检测系统负载问题的一种解决方案[J].计算机工程与应用,2001, 37(20):48-49.
[3]王柏. 分布式计算环境[M]. 北京邮电大学出版社.
基于网络的入侵检测篇5
关键词:计算机网络安全;入侵检测
中图分类号:TP393.08 文献标识码:A 文章编号:1674-7712 (2012) 12-0100-01
一、入侵检测技术在维护计算机网络安全中的应用
(一)网络入侵检测
网络入侵检测有基于硬件和软件的,二者的工作流程是基本相同的。需将网络接口的模式设置为混杂模式,以便对流经该网段的全部数据进行实时的监控,做出分析,再和数据库中预定义的具备攻击特征属性做出比较,从而把有害的攻击数据包识别出来,进行响应,并记录日志[1]。
1.体系结构。网络入侵检测的体系结构通常由三大部分组成,分别为Agent、Console以及Manager。其中,Agent的作用是对网段以内的数据包进行监视,发现攻击信息并把相关的数据发送到管理器;Console的主要作用是负责收集处信息,显示所受攻击信息,把攻击信息及相关数据发送到管理器;Manager的作用则主要是响应配置攻击警告信息,控制台所的命令也由Manager来执行,再把所发出的攻击警告发送至控制台。
2.工作模式。网络入侵检测,每个网段都部署多个入侵检测的,按网络拓扑结构的不同,的连接形式也不相同。利用交换机核心芯片中的调试端口,将入侵检测系统与该端口相连接。或者把它放在数据流的关键点上,就可以获取几乎全部的关键数据。
3.攻击响应及升级攻击特征库、自定义攻击特征。入侵检测系统检测到恶意攻击信息,响应方式多种多样,比如发送电子邮件、切断会话、通知管理员、记录日志、通知管理员、查杀进程、启动触发器以及开始执行预设命令、取消用户账号以及创建报告等等[2]。升级攻击特征库是把攻击特征库文件通过手动或者自动的形式从相关站点中下载下来,再利用控制台实时添加进攻击特征库。
(二)主机入侵检测
主机入侵检测会设置在被重点检测的主机上,从而对本主机的系统审计日志、网络实时连接等信息并做出智能化的分析与判断。如果发展可疑情形,则入侵检测系统就会有针对性的采用措施。基于主机的入侵检测系统可以具体实现以下功能:对操作系统及其所做的所有行为进行全程监控;持续评估系统、应用以及数据的完整性,并进行主动的维护;创建全新的安全监控策略,实时更新;对于未经授权的行为进行检测,并发出报警,同时也可以执行预设好的响应措施;将所有日志收集起来并加以保护,留作后用。主机入侵检测系统对于主机的保护很全面细致,但要在网络中全面部署则成本太高。并且主机入侵检测系统工作时要占用被保护主机的CPU处理资源,所以可能会降低被保护主机的性能[3]。
二、高校网络环境的入侵检测方案的问题
(一)高校网络环境入侵检测方案
伴随网络技术的高速发展,网络安全已经成为不能不考虑的问题。入侵检测方案正是利用网络平台,通过与远程服务器交换,将终端数据库分布实现入侵检测监控。设计应尽量符合人的感知和认知。多数高校网络环境采用基于WEB的数据库的转换和数据交换监控,数据库相对简单,入侵检测方式单一,但可靠性低。面对平台和数据容量的增加,客观上要求基于自动检测,要对数据库进行分析、聚类、纠错的高效网络,才能处理,实现用户交互,优化平台数据的可扩展性[4]。
(二)高校网络环境入侵检测的关键点
高校网络环境的入侵检测方案的关键点就是要充分利用高校网络资源平台,整合数据库、角色管理的安全模型、校园无缝监控、多方位反馈与应对系统等资源,预测或实时处理高校网络入侵时间的发生。
三、高校网络环境的入侵检测方案思考
(一)建立适合高校网络环境的检测系统平台
高校网络环境的入侵检测,可采纳“云计算技术”,实现检测方案系统。利用其高速传输能力,将计算、存储、软件、服务等资源从分散的个人计算机或服务器移植到互联网中集中管理的大规模分布的高性能计算机、个人计算机、虚拟计算机中,从而使用户像使用电能一样使用这些资源。大量计算资源构成资源池,用于动态创建高度虚拟化的资源提供用户使用。改变了资源提供商需要独立、分散建造机房、运营系统、维护安全的困难,降低了整体的能源消耗。
(二)入侵检测机制
入侵检测体系结构须依据网络NIDS模块,构建检测管理平台:模块组成主要有:应用任务模块;入侵检测与分析模块;数据库交换模块(负责数据包的嗅探、数据包预处理过滤和固定字段的模式匹配)。实现实时的流量分析与入侵检测功能。针对硬件逻辑和核心软件逻辑采用高效的检测策略规则。检测模型包括三个主要流程步骤:
1.调度平台从用户的请求队列中首先取出优先级最高的用户请求R。R读取元数据库,根据请求的硬件资源判断是否能被当前空闲资源满足。如果满足,转向步骤2;如果不满足,判断是否可以通过平台虚拟机的迁移,释放相关资源;如果可以,则执行迁移操作,转步骤2;如果迁移也无法完成,则退出,并报告无法完成请求。
2.如果资源请求可以满足,调度服务器可从存储结点中选择与用户请求相对应的虚拟机模板T(新建立的虚拟机)或虚拟机镜像I。
3.调度服务器将I迁入相对应的物理机,并创建相对应的虚拟机实例V。
四、总结
要提高计算机网络系统的安全性,不但要靠技术支持,更需要依靠高校自身良好的维护与管理。高校网络环境的入侵检测方案的思考,适应高校检测环境的发展要求,必须把握其发展方向和关键技术,实现高效入侵检测。
参考文献:
[1]胥琼丹.入侵检测技术在计算机网络安全维护中的应用[J].电脑知识与技术,2010,11
[2]刘明.试析计算机网络入侵检测技术及其安全防范[J].计算机与网络,2011,1
[3]臧露.入侵检测技术在网络安全中的应用与研究[J].信息技术,2009,6
基于网络的入侵检测篇6
[关键词]JSP引擎;Web服务器;配置
引 言
Sun推出的JSP是一种执行于服务器端的动态网页开发技术,它基于Java技术。执行JSP时需在Web服务器上架设一个编译JSP网页的引擎。配置 JSP 环境可有多种途径,但主要工作是安装和配置Web服务器和JSP引擎。
下面以Tomcat作为JSP引擎,配合Tomcat、Apache、IIS这三种Web服务器来讲述3种搭建JSP运行环境的方案。
1相关软件介绍
1.1 J2SDK:Java2的软件开发工具,是Java应用程序的基础。JSP是基于Java技术的,所以配置JSP环境之前必须要安装J2SDK。
1.2Apache服务器:Apache组织开发的一种常用Web服务器,提供Web服务。
1.3 Tomcat服务器:Apache组织开发的一种JSP引擎,本身具有Web服务器的功能,可作为独立的Web服务器来使用。但在作为Web服务器方面,Tomcat处理静态HTML页面时不如Apache迅速,也没有Apache健壮,所以一般将Tomcat与Apache配合使用,让Apache对网站的静态页面请求提供服务,而Tomcat作为专用的JSP引擎,提供JSP解析,以得到更好的性能。并且Tomcat本身就是Apache的一个子项目,所以Tomcat对Apache提供了强有力的支持。
1.4 mod_jk.dll:Apache组织Jakarta项目组开发的使Apache支持Tomcat的插件。有了此插件,Tomcat能够和Apache进行无缝连接。
1.5 tc4ntiis.zip:Apache组织Jakarta项目组开发的使IIS支持Tomcat的插件。
2 配置前的准备
2.1准备一个测试用的JSP网页
利用文本编辑器输入下列代码,并保存为test .jsp
<HTML>
<HEAD>
<TITLE>JSP测试页面</TITLE>
</HEAD>
<BODY>
<%out.println(“<h1>Hello World! </h1>”=;%>
</BODY>
</HTML>
2.2安装J2SDK
不管哪种方案,在安装和配置JSP引擎之前必须先安装J2SDK。
2.2.1安装J2SDK
在Windows下,直接运行下载的j2sdk安装文件,根据安装向导安装到一个目录,如d:\j2sdk;
2.2.2添加环境变量
根据所装操作系统设置如下环境变量:
PATH=d:\j2sdk\bin;JAVA_HOME=d:\j2sdk;CLASSPATH=d:\j2sdk\lib\tools.jar
3 JSP环境的配置方案
3.1方案一:J2SDK+Tomcat
在这种方案里Tomcat既作为JSP引擎又作为Web服务器,配置较简单。
3.1.1安装Tomcat
直接运行jakarta-tomcat安装文件,安装时它会自动寻找J2SDK的位置。例如安装到d:\ tomcat5。
3.1.2配置Tomcat的环境变量
添加一个新的环境变量TOMCAT_HOME=d:\ tomcat5
3.1.3测试默认服务
启动Tomcat后,在浏览器地址栏中输入localhost:8080,若在浏览器中看到Tomcat的欢迎界面,表示Tomcat工作正常。
3.1.4测试项目
在浏览器地址栏中输入localhost:8080/examples/jsp/test.jsp,若显示“Hello World!”,则说明JSP环境配置成功!
由于Tomcat本身具有web服务器的功能,因此不必安装Apache,当然它也可与Apache集成到一起,下面介绍。
3.2方案二:J2SDK+Apache+Tomcat
虽然Tomcat也可作Web服务器,但其处理静态HTML的速度比不上Apache,且其作为Web服务器的功能远不如Apache,因此把Apache和Tomcat集成起来,用Apache充当Web服务器,而Tomcat作为专用的JSP引擎。这种方案的配置较复杂,但能让Apache和Tomcat完美整合,实现强大的功能。
3.2.1安装Apache
运行apache安装文件,按照向导安装到d:\Apache2。
3.2.2测试Apache默认服务
在浏览器地址栏中输入:localhost,若在浏览器中看到Apache的欢迎界面,说明Apache工作正常。
3.2.3按照方案一的步骤安装Tomcat,并保证它正常运行。
3.2.4将下载的mod_jk-2.0.42.dll复制到d:\Apache2\modules目录下。
3.2.5配置Apache
用文本编辑器打开d:\Apache2\conf\httpd.conf
找到"DirectoryIndex",在index.html.var后面再添加index.jsp;
在httpd.conf的最后加入下面这段代码:
LoadModule jk_module modules/mod_jk-2.0.42.dll
JkWorkersFile “d:\tomcat5/conf/workers.properties”
JkMount /servlet/* ajp13
JkMount /*.jsp ajp13
添加完毕后保存。
3.2.6配置Tomcat
用文本编辑器打开d:\ Tomcat5\conf\server.xml。查找到如下这段代码:
<!—
<Connector className=“org.apache.ajp. Tomcat5.Ajp13Connector”
port=“8009” minProcessors=“5”maxProcessors=“75” acceptCount=“10” debug=“0”/>
-->
把注释符号<!-- --> 删掉就可启用Ajp13。然后保存,现在Tomcat和Apache的整合配置基本完成。
3.2.7整体测试
依次启动Apache2、Tomcat5。在浏览器地址栏里输入localhost:8080/examples/jsp /test.jsp,若浏览器中出现“Hello World!”,则Tomcat重新配置后工作正常;输入localhost/examples/jsp /test.jsp,若与localhost:8080/examples/jsp /test.jsp的结果相同,则表明Apache和Tomcat整合成功!
3.3方案三:J2SDK+IIS+Tomcat
Windows平台下最常用的Web服务器无疑是IIS,正常情况下IIS不支持JSP,可通过使用一个IIS到Tomcat重定向插件,使IIS能够将所有的JSP请求发送到Tomcat执行,可以使IIS增加处理JSP的功能。若已习惯使用IIS,则可尝试这种配置。
3.3.1按照方案一的步骤安装Tomcat,并保证它正常运行。(如安装到d:\ Tomcat5);
3.3.2将下载的tc4ntiis.zip直接解压缩到d:\ Tomcat5目录下。查看配置所需文件;
3.3.3用文本编辑器打开d:\ Tomcat5\conf\ntiis\workers.properties ,修改下列值为:
workers. Tomcat_home=d:\ Tomcat5
workers.java_home=d:\j2sdk
3.3.4打开Internet服务管理器,在默认站点上添加一个新的虚拟目录,名称为jakarta;
3.3.5在Internet服务管理器中添加一个ISAPI筛选器,名字为Jakarta Redirect,可执行文件指定为d:\ Tomcat5\bin\native\isapi_redirector.dll。
3.3.6编辑 server.xml 文件并保存(同方案二的第7步)。
3.3.7重新启动IIS和Tomcat。
3.3.8测试项目:在浏览器地址栏里输入localhost:8080/examples/jsp/test.jsp,若浏览器中出现“Hello World!”,则Tomcat重新配置后工作正常;在地址栏中输入localhost/examples/jsp /test.jsp,若与localhost:8080/examples/jsp /test.jsp的结果相同,则表明IIS和Tomcat整合成功了!
4 结 语
搭建JSP的运行环境是学习JSP技术的基础,JSP引擎种类很多,配置方法也很多,而且软件的版本也在不断的升级,大家可根据自己的需要和实际情况选择合适的配置方法。希望本文给出的几种JSP环境配置方案,对想学习JSP的人有所帮助。
[参考文献]
基于网络的入侵检测篇7
【关键词】网络安全 入侵检测
一、现在网络安全隐患
随着计算机技术的发展在连结信息能力、流通能力提高的同时,基于网络连接的安全问题也日益突出,很多组织正在致力于提出更多的更强大的主动策略和方案来增强网络的安全性,然而另一个更为有效的解决途径就是入侵检测。在入侵检测之前,大量的安全机制都是根据从主观的角度设计的,他们没有根据网络攻击的具体行为来决定安全对策。因此,它们对入侵行为的反应非常迟钝,很难发现未知的攻击行为,不能根据网络行为的变化来及时地调整系统的安全策略。而入侵检测正是根据网络攻击行为而进行设计的,它不仅能够发现已知入侵行为,而且有能力发现未知的入侵行为,并可以通过学习和分析入侵手段,及时地调整系
统策略以加强系统的安全性。
二、入侵检测的定义
入侵检测是从系统(网络)的关键点采集信息并分析信息,察看系统(网络)中是否有违法安全策略的行为,保证系统(网络)的安全性,完整性和可用性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。Www.lw881.com
三、入侵检测的系统功能构成
一个入侵检测系统的功能结构如图一所示,它至少包含事件提取、入侵分析、入侵响应和远程管理四部分功能。
入侵分析的任务就是在提取到的运行数据中找出入侵的痕迹,将授权的正常访问行为和非授权的不正常访问行为区分开,分析出入侵行为并对入侵者进行定位。
入侵响应功能在分析出入侵行为后被触发,根据入侵行为产生响应。
由于单个入侵检测系统的检测能力和检测范围的限制,入侵检测系统一般采用分布监视集中管理的结构,多个检测单元运行于网络中的各个网段或系统上,通过远程管理功能在一台管理站点上实现统一的管理和监控。
四、入侵检测系统分类
入侵检测系统根据其检测数据来源分为两类:基于主机的入侵检测系统和基于网络的入侵检测系统。
1.基于网络的入侵检测系统
基于网络的入侵检测系统通过网络监视来实现数据提取。在internet中,局域网普遍采用ieee 802.3协议。该协议定义主机进行数据传输时采用子网广播的方式,任何一台主机发送的数据包,都会在所经过的子网中进行广播,也就是说,任何一台主机接收和发送的数据都可以被同一子网内的其他主机接收。在正常设置下,主机的网卡对每一个到达的数据包进行过滤,只将目的地址是本机的或广播地址的数据包放入接收缓冲区,而将其他数据包丢弃,因此,正常情况下网络上的主机表现为只关心与本机有关的数据包,但是将网卡的接收模式进行适当的设置后就可以改变网卡的过滤策略,使网卡能够接收经过本网段的所有数据包,无论这些数据包的目的地是否是该主机。网卡的这种接收模式被称为混杂模式,目前绝大部分网卡都提供这种设置,因此,在需要的时候,对网卡进行合理的设置就能获得经过本网段的所有通信信息,从而实现网络监视的功能。在其他网络环境下,虽然可能不采用广播的方式传送报文,但目前很多路由设备或交换机都提供数据报文监视功能。
2.基于网络的入侵检测系统
基于主机的入侵检测系统将检测模块驻留在被保护系统上,通过提取被保护系统的运行数据并进行入侵分析来实现入侵检测的功能。
基于主机的入侵检测系统可以有若干种实现方法:
检测系统设置以发现不正当的系统设置和系统设置的不正当更改对系统安全状态进行定期检查以发现不正常的安全状态。
基于主机日志的安全审计,通过分析主机日志来发现入侵行为。基于主机的入侵检测系统具有检测效率高,分析代价小,分析速度快的特点,能够迅速并准确地定位入侵者,并可以结合操作系统和应用程序的行为特征对入侵进行进一步分析。目前很多是基于主机日志分析的入侵检测系统。基于主机的入侵检测系统存在的问题是:首先它在一定程度上依赖于系统的可靠性,它要求系统本身应该具备基本的安全功能并具有合理的设置,然后才能提取入侵信息;即使进行了正确的设置,对操作系统熟悉的攻击者仍然有可能在入侵行为完成后及时地将系统日志抹去,从而不被发觉;并且主机的日志能够提供的信息有限,有的入侵手段和途径不会在日志中有所反映,日志系统对有的入侵行为不能做出正确的响应,例如利用网络协议栈的漏洞进行的攻击,通过ping命令发送大数据包,造成系统协议栈溢出而死机,或是利用arp欺骗来伪装成其他主机进行通信,这些手段都不会被高层的日志记录下来。在数据提取的实时性、充分性、可靠性方面基于主机日志的入侵检测系统不如基于网络的入侵检测系统。
五、入侵检测技术的发展方向
近年对入侵检测技术有几个主要发展方向:
(1)分布式入侵检测与通用入侵检测架构
传统的ids一般局限于单一的主机或网络架构,对异构系统及大规模的网络的监测明显不足。同时不同的ids系统之间不能协同工作能力,为解决这一问题,需要分布式入侵检测技术与通用入侵检测架构。
(2)应用层入侵检测
许多入侵的语义只有在应用层才能理解,而目前的ids仅能检测如web之类的通用协议,而不能处理如lotus notes、数据库系统等其他的应用系统。许多基于客户、服务器结构与中间件技术及对象技术的大型应用,需要应用层的入侵检测保护。
(3)智能的入侵检测
入侵方法越来越多样化与综合化,尽管已经有智能体、神经网络与遗传算法在入侵检测领域应用研究,但是这只是一些尝试性的研究工作,需要对智能化的ids加以进一步的研究以解决其自学习与自适应能力。
入侵检测产品仍具有较大的发展空间,从技术途径来讲,我们认为,除了完善常规的、传统的技术(模式识别和完整性检测)外,应重点加强统计分析的相关技术研究。
参考文献:
[1][美]rebecca gurley bace.入侵检测[m].人民邮电出版社,1991.
基于网络的入侵检测篇8
摘要:随着计算机与网络技术的不断发展,网络安全也日益受到人们越来越多的关注。防范网络入侵、加强网络安全防范的技术也多种多样,其中入侵检测技术以其低成本、低风险以及高灵活性得到了广泛的应用,并且有着广阔的发展前景。本文就入侵检测技术在计算机网络安全维护过程中的有效应用提出探讨。
Keywords: computer network security, intrusion detection technology.
Abstract: Along with the computer and network technology unceasing development, the network security also increasingly being people more and more attention. Prevention network intrusion, strengthen the network security technology also varied, including the intrusion detection technology with its low cost, low risk and high flexibility a wide range of applications, and has a broad development prospects. This paper intrusion detection technology in computer network security in the process of maintaining effective application discuss.
中图分类号:TN711文献标识码:A 文章编号:
一、入侵检测系统的要概念分类
入侵检测系统(简称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。 IDS最早出现在1980年4月。 1980年代中期,IDS逐渐发展成为入侵检测专家系统(IDES)。 1990年,IDS分化为基于网络的IDS和基于主机的IDS。后又出现分布式IDS。目前,IDS发展迅速,已有人宣称IDS可以完全取代防火墙。
入侵检测系统可以分为入侵检测、入侵防御两大类。其中入侵检测系统是根据特定的安全策略,实时监控网络及系统的运行状态,尽量在非法入侵程序发起攻击前发现其攻击企图,从而提高网络系统资源的完整性和保密性。而随着网络攻击技术的日益提高,网络系统中的安全漏洞不断被发现,传统的入侵检测技术及防火墙技术对这些多变的安全问题无法全面应对,于是入侵防御系统应运而生,它可以对流经的数据流量做深度感知与检测,丢弃恶意报文,阻断其攻击,限制滥用报文,保护带宽资源。入侵检测系统与入侵防御系统的区别在于:入侵检测只具备单纯的报警作用,而对于网络入侵无法做出防御;而入侵防御系统则位于网络与防火墙的硬件设备中间,当其检测到恶意攻击时,会在这种攻击开始扩散前将其阻止在外。并且二者检测攻击的方法也不同,入侵防御系统对入网的数据包进行检查,在确定该数据包的真正用途的前提下,再对其是否可以进入网络进行判断。
二、入侵检测技术在维护计算机网络安全中的应用
(一)基于网络的入侵检测
基于网络的入侵检测形式有基于硬件的,也有基于软件的,不过二者的工作流程是相同的。它们将网络接口的模式设置为混杂模式,以便于对全部流经该网段的数据进行时实监控,将其做出分析,再和数据库中预定义的具备攻击特征做出比较,从而将有害的攻击数据包识别出来,做出响应,并记录日志。
1.入侵检测的体系结构
网络入侵检测的体系结构通常由三部分组成,分别为Agent、Console以及Manager。其中Agent的作用是对网段内的数据包进行监视,找出攻击信息并把相关的数据发送至管理器;Console的主要作用是负责收集处的信息,显示出所受攻击的信息,把找出的攻击信息及相关数据发送至管理器;Manager的主要作用则是响应配置攻击警告信息,控制台所的命令也由Manager来执行,再把所发出的攻击警告发送至控制台。
2.入侵检测的工作模式
基于网络的入侵检测,要在每个网段中部署多个入侵检测,按照网络结构的不同,其的连接形式也各不相同。如果网段的连接方式为总线式的集线器,则把与集线器中的某个端口相连接即可;如果为交换式以太网交换机,因为交换机无法共享媒价,因此只采用一个对整个子网进行监听的办法是无法实现的。因此可以利用交换机核心芯片中用于调试的端口中,将入侵检测系统与该端口相连接。或者把它放在数据流的关键出入口,于是就可以获取几乎全部的关键数据。
3.攻击响应及升级攻击特征库、自定义攻击特征
如果入侵检测系统检测出恶意攻击信息,其响应方式有多种,例如发送电子邮件、记录日志、通知管理员、查杀进程、切断会话、通知管理员、启动触发器开始执行预设命令、取消用户的账号以及创建一个报告等等。升级攻击特征库可以把攻击特征库文件通过手动或者自动的形式由相关的站点中下载下来,再利用控制台将其实时添加至攻击特征库中。而网络管理员可以按照单位的资源状况及其应用状况,以入侵检测系统特征库为基础来自定义攻击特征,从而对单位的特定资源与应用进行保护。
(二)对于主机的入侵检测
通常对主机的入侵检测会设置在被重点检测的主机上,从而对本主机的系统审计日志、网络实时连接等信息做出智能化的分析与判断。如果发展可疑情况,则入侵检测系统就会有针对性的采用措施。基于主机的入侵检测系统可以具体实现以下功能:对用户的操作系统及其所做的所有行为进行全程监控;持续评估系统、应用以及数据的完整性,并进行主动的维护;创建全新的安全监控策略,实时更新;对于未经授权的行为进行检测,并发出报警,同时也可以执行预设好的响应措施;将所有日志收集起来并加以保护,留作后用。基于主机的入侵检测系统对于主机的保护很全面细致,但要在网路中全面部署成本太高。并且基于主机的入侵检测系统工作时要占用被保护主机的处理资源,所以会降低被保护主机的性能。
三、入侵检测技术存在的问题
尽管入侵检测技术有其优越性,但是现阶段它还存在着一定的不足,主要体现在以下几个方面:
第一:局限性:由于网络入侵检测系统只对与其直接连接的网段通信做出检测,而不在同一网段的网络包则无法检测,因此如果网络环境为交换以太网,则其监测范围就会表现出一定的局限性,如果安装多台传感器则又增加了系统的成本。
第二:目前网络入侵检测系统一般采有的是特征检测的方法,对于一些普通的攻击来说可能比较有效,但是一些复杂的、计算量及分析时间均较大的攻击则无法检测。
第三:监听某些特定的数据包时可能会产生大量的分析数据,会影响系统的性能。
第四:在处理会话过程的加密问题时,对于网络入侵检测技术来说相对较难,现阶段通过加密通道的攻击相对较少,但是此问题会越来越突出。
第五:入侵检测系统自身不具备阻断和隔离网络攻击的能力,不过可以与防火墙进行联动,发现入侵行为后通过联动协议通知防火墙,让防火墙采取隔离手段。
四、总结
现阶段的入侵检测技术相对来说还存在着一定的缺陷,很多单位在解决网络入侵相关的安全问题时都采用基于主机与基于网络相结合的入侵检测系统。当然入侵检测技术也在不断的发展,数据挖掘异常检测、神经网络异常检测、贝叶斯推理异常检测、专家系统滥用检测、状态转换分析滥用检测等入侵检测技术也越来越成熟。总之、用户要提高计算机网络系统的安全性,不仅仅要靠技术支持,还要依靠自身良好的维护与管理。
参考文献:
[1]胥琼丹.入侵检测技术在计算机网络安全维护中的应用[J].电脑知识与技术,2010,11
[2]刘明.试析计算机网络入侵检测技术及其安全防范[J].计算机与网络,2011,1
[3]臧露.入侵检测技术在网络安全中的应用与研究[J].信息技术,2009,6