入侵檢測(cè)論文大全11篇
時(shí)間:2023-03-23 15:14:46緒論:寫(xiě)作既是個(gè)人情感的抒發(fā),也是對(duì)學(xué)術(shù)真理的探索,歡迎閱讀由發(fā)表云整理的11篇入侵檢測(cè)論文范文,希望它們能為您的寫(xiě)作提供參考和啟發(fā)。
篇(1)
0引言
近年來(lái),隨著信息和網(wǎng)絡(luò)技術(shù)的高速發(fā)展以及政治、經(jīng)濟(jì)或者軍事利益的驅(qū)動(dòng),計(jì)算機(jī)和網(wǎng)絡(luò)基礎(chǔ)設(shè)施,特別是各種官方機(jī)構(gòu)的網(wǎng)站,成為黑客攻擊的熱門(mén)目標(biāo)。近年來(lái)對(duì)電子商務(wù)的熱切需求,更加激化了這種入侵事件的增長(zhǎng)趨勢(shì)。由于防火墻只防外不防內(nèi),并且很容易被繞過(guò),所以僅僅依賴防火墻的計(jì)算機(jī)系統(tǒng)已經(jīng)不能對(duì)付日益猖獗的入侵行為,對(duì)付入侵行為的第二道防線——入侵檢測(cè)系統(tǒng)就被啟用了。
1入侵檢測(cè)系統(tǒng)(IDS)概念
1980年,JamesP.Anderson第一次系統(tǒng)闡述了入侵檢測(cè)的概念,并將入侵行為分為外部滲透、內(nèi)部滲透和不法行為三種,還提出了利用審計(jì)數(shù)據(jù)監(jiān)視入侵活動(dòng)的思想[1]。即其之后,1986年DorothyE.Denning提出實(shí)時(shí)異常檢測(cè)的概念[2]并建立了第一個(gè)實(shí)時(shí)入侵檢測(cè)模型,命名為入侵檢測(cè)專家系統(tǒng)(IDES),1990年,L.T.Heberlein等設(shè)計(jì)出監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)流的入侵檢測(cè)系統(tǒng),NSM(NetworkSecurityMonitor)。自此之后,入侵檢測(cè)系統(tǒng)才真正發(fā)展起來(lái)。
Anderson將入侵嘗試或威脅定義為:潛在的、有預(yù)謀的、未經(jīng)授權(quán)的訪問(wèn)信息、操作信息、致使系統(tǒng)不可靠或無(wú)法使用的企圖。而入侵檢測(cè)的定義為[4]:發(fā)現(xiàn)非授權(quán)使用計(jì)算機(jī)的個(gè)體(如“黑客”)或計(jì)算機(jī)系統(tǒng)的合法用戶濫用其訪問(wèn)系統(tǒng)的權(quán)利以及企圖實(shí)施上述行為的個(gè)體。執(zhí)行入侵檢測(cè)任務(wù)的程序即是入侵檢測(cè)系統(tǒng)。入侵檢測(cè)系統(tǒng)也可以定義為:檢測(cè)企圖破壞計(jì)算機(jī)資源的完整性,真實(shí)性和可用性的行為的軟件。
入侵檢測(cè)系統(tǒng)執(zhí)行的主要任務(wù)包括[3]:監(jiān)視、分析用戶及系統(tǒng)活動(dòng);審計(jì)系統(tǒng)構(gòu)造和弱點(diǎn);識(shí)別、反映已知進(jìn)攻的活動(dòng)模式,向相關(guān)人士報(bào)警;統(tǒng)計(jì)分析異常行為模式;評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性;審計(jì)、跟蹤管理操作系統(tǒng),識(shí)別用戶違反安全策略的行為。入侵檢測(cè)一般分為三個(gè)步驟:信息收集、數(shù)據(jù)分析、響應(yīng)。
入侵檢測(cè)的目的:(1)識(shí)別入侵者;(2)識(shí)別入侵行為;(3)檢測(cè)和監(jiān)視以實(shí)施的入侵行為;(4)為對(duì)抗入侵提供信息,阻止入侵的發(fā)生和事態(tài)的擴(kuò)大;
2入侵檢測(cè)系統(tǒng)模型
美國(guó)斯坦福國(guó)際研究所(SRI)的D.E.Denning于1986年首次提出一種入侵檢測(cè)模型[2],該模型的檢測(cè)方法就是建立用戶正常行為的描述模型,并以此同當(dāng)前用戶活動(dòng)的審計(jì)記錄進(jìn)行比較,如果有較大偏差,則表示有異常活動(dòng)發(fā)生。這是一種基于統(tǒng)計(jì)的檢測(cè)方法。隨著技術(shù)的發(fā)展,后來(lái)人們又提出了基于規(guī)則的檢測(cè)方法。結(jié)合這兩種方法的優(yōu)點(diǎn),人們?cè)O(shè)計(jì)出很多入侵檢測(cè)的模型。通用入侵檢測(cè)構(gòu)架(CommonIntrusionDetectionFramework簡(jiǎn)稱CIDF)組織,試圖將現(xiàn)有的入侵檢測(cè)系統(tǒng)標(biāo)準(zhǔn)化,CIDF闡述了一個(gè)入侵檢測(cè)系統(tǒng)的通用模型(一般稱為CIDF模型)。它將一個(gè)入侵檢測(cè)系統(tǒng)分為以下四個(gè)組件:
事件產(chǎn)生器(EventGenerators)
事件分析器(Eventanalyzers)
響應(yīng)單元(Responseunits)
事件數(shù)據(jù)庫(kù)(Eventdatabases)
它將需要分析的數(shù)據(jù)通稱為事件,事件可以是基于網(wǎng)絡(luò)的數(shù)據(jù)包也可以是基于主機(jī)的系統(tǒng)日志中的信息。事件產(chǎn)生器的目的是從整個(gè)計(jì)算機(jī)環(huán)境中獲得事件,并向系統(tǒng)其它部分提供此事件。事件分析器分析得到的事件并產(chǎn)生分析結(jié)果。響應(yīng)單元?jiǎng)t是對(duì)分析結(jié)果做出反應(yīng)的功能單元,它可以做出切斷連接、修改文件屬性等強(qiáng)烈反應(yīng)。事件數(shù)據(jù)庫(kù)是存放各種中間和最終數(shù)據(jù)的地方的通稱,它可以是復(fù)雜的數(shù)據(jù)庫(kù)也可以是簡(jiǎn)單的文本文件。
3入侵檢測(cè)系統(tǒng)的分類:
現(xiàn)有的IDS的分類,大都基于信息源和分析方法。為了體現(xiàn)對(duì)IDS從布局、采集、分析、響應(yīng)等各個(gè)層次及系統(tǒng)性研究方面的問(wèn)題,在這里采用五類標(biāo)準(zhǔn):控制策略、同步技術(shù)、信息源、分析方法、響應(yīng)方式。
按照控制策略分類
控制策略描述了IDS的各元素是如何控制的,以及IDS的輸入和輸出是如何管理的。按照控制策略IDS可以劃分為,集中式IDS、部分分布式IDS和全部分布式IDS。在集中式IDS中,一個(gè)中央節(jié)點(diǎn)控制系統(tǒng)中所有的監(jiān)視、檢測(cè)和報(bào)告。在部分分布式IDS中,監(jiān)控和探測(cè)是由本地的一個(gè)控制點(diǎn)控制,層次似的將報(bào)告發(fā)向一個(gè)或多個(gè)中心站。在全分布式IDS中,監(jiān)控和探測(cè)是使用一種叫“”的方法,進(jìn)行分析并做出響應(yīng)決策。
按照同步技術(shù)分類
同步技術(shù)是指被監(jiān)控的事件以及對(duì)這些事件的分析在同一時(shí)間進(jìn)行。按照同步技術(shù)劃分,IDS劃分為間隔批任務(wù)處理型IDS和實(shí)時(shí)連續(xù)性IDS。在間隔批任務(wù)處理型IDS中,信息源是以文件的形式傳給分析器,一次只處理特定時(shí)間段內(nèi)產(chǎn)生的信息,并在入侵發(fā)生時(shí)將結(jié)果反饋給用戶。很多早期的基于主機(jī)的IDS都采用這種方案。在實(shí)時(shí)連續(xù)型IDS中,事件一發(fā)生,信息源就傳給分析引擎,并且立刻得到處理和反映。實(shí)時(shí)IDS是基于網(wǎng)絡(luò)IDS首選的方案。
按照信息源分類
按照信息源分類是目前最通用的劃分方法,它分為基于主機(jī)的IDS、基于網(wǎng)絡(luò)的IDS和分布式IDS。基于主機(jī)的IDS通過(guò)分析來(lái)自單個(gè)的計(jì)算機(jī)系統(tǒng)的系統(tǒng)審計(jì)蹤跡和系統(tǒng)日志來(lái)檢測(cè)攻擊。基于主機(jī)的IDS是在關(guān)鍵的網(wǎng)段或交換部位通過(guò)捕獲并分析網(wǎng)絡(luò)數(shù)據(jù)包來(lái)檢測(cè)攻擊。分布式IDS,能夠同時(shí)分析來(lái)自主機(jī)系統(tǒng)日志和網(wǎng)絡(luò)數(shù)據(jù)流,系統(tǒng)由多個(gè)部件組成,采用分布式結(jié)構(gòu)。
按照分析方法分類
按照分析方法IDS劃分為濫用檢測(cè)型IDS和異常檢測(cè)型IDS。濫用檢測(cè)型的IDS中,首先建立一個(gè)對(duì)過(guò)去各種入侵方法和系統(tǒng)缺陷知識(shí)的數(shù)據(jù)庫(kù),當(dāng)收集到的信息與庫(kù)中的原型相符合時(shí)則報(bào)警。任何不符合特定條件的活動(dòng)將會(huì)被認(rèn)為合法,因此這樣的系統(tǒng)虛警率很低。異常檢測(cè)型IDS是建立在如下假設(shè)的基礎(chǔ)之上的,即任何一種入侵行為都能由于其偏離正常或者所期望的系統(tǒng)和用戶活動(dòng)規(guī)律而被檢測(cè)出來(lái)。所以它需要一個(gè)記錄合法活動(dòng)的數(shù)據(jù)庫(kù),由于庫(kù)的有限性使得虛警率比較高。
按照響應(yīng)方式分類
按照響應(yīng)方式IDS劃分為主動(dòng)響應(yīng)IDS和被動(dòng)響應(yīng)IDS。當(dāng)特定的入侵被檢測(cè)到時(shí),主動(dòng)IDS會(huì)采用以下三種響應(yīng):收集輔助信息;改變環(huán)境以堵住導(dǎo)致入侵發(fā)生的漏洞;對(duì)攻擊者采取行動(dòng)(這是一種不被推薦的做法,因?yàn)樾袨橛悬c(diǎn)過(guò)激)。被動(dòng)響應(yīng)IDS則是將信息提供給系統(tǒng)用戶,依靠管理員在這一信息的基礎(chǔ)上采取進(jìn)一步的行動(dòng)。
4IDS的評(píng)價(jià)標(biāo)準(zhǔn)
目前的入侵檢測(cè)技術(shù)發(fā)展迅速,應(yīng)用的技術(shù)也很廣泛,如何來(lái)評(píng)價(jià)IDS的優(yōu)缺點(diǎn)就顯得非常重要。評(píng)價(jià)IDS的優(yōu)劣主要有這樣幾個(gè)方面[5]:(1)準(zhǔn)確性。準(zhǔn)確性是指IDS不會(huì)標(biāo)記環(huán)境中的一個(gè)合法行為為異常或入侵。(2)性能。IDS的性能是指處理審計(jì)事件的速度。對(duì)一個(gè)實(shí)時(shí)IDS來(lái)說(shuō),必須要求性能良好。(3)完整性。完整性是指IDS能檢測(cè)出所有的攻擊。(4)故障容錯(cuò)(faulttolerance)。當(dāng)被保護(hù)系統(tǒng)遭到攻擊和毀壞時(shí),能迅速恢復(fù)系統(tǒng)原有的數(shù)據(jù)和功能。(5)自身抵抗攻擊能力。這一點(diǎn)很重要,尤其是“拒絕服務(wù)”攻擊。因?yàn)槎鄶?shù)對(duì)目標(biāo)系統(tǒng)的攻擊都是采用首先用“拒絕服務(wù)”攻擊摧毀IDS,再實(shí)施對(duì)系統(tǒng)的攻擊。(6)及時(shí)性(Timeliness)。一個(gè)IDS必須盡快地執(zhí)行和傳送它的分析結(jié)果,以便在系統(tǒng)造成嚴(yán)重危害之前能及時(shí)做出反應(yīng),阻止攻擊者破壞審計(jì)數(shù)據(jù)或IDS本身。
除了上述幾個(gè)主要方面,還應(yīng)該考慮以下幾個(gè)方面:(1)IDS運(yùn)行時(shí),額外的計(jì)算機(jī)資源的開(kāi)銷;(2)誤警報(bào)率/漏警報(bào)率的程度;(3)適應(yīng)性和擴(kuò)展性;(4)靈活性;(5)管理的開(kāi)銷;(6)是否便于使用和配置。
5IDS的發(fā)展趨
隨著入侵檢測(cè)技術(shù)的發(fā)展,成型的產(chǎn)品已陸續(xù)應(yīng)用到實(shí)踐中。入侵檢測(cè)系統(tǒng)的典型代表是ISS(國(guó)際互聯(lián)網(wǎng)安全系統(tǒng)公司)公司的RealSecure。目前較為著名的商用入侵檢測(cè)產(chǎn)品還有:NAI公司的CyberCopMonitor、Axent公司的NetProwler、CISCO公司的Netranger、CA公司的Sessionwall-3等。國(guó)內(nèi)的該類產(chǎn)品較少,但發(fā)展很快,已有總參北方所、中科網(wǎng)威、啟明星辰等公司推出產(chǎn)品。
人們?cè)谕晟圃屑夹g(shù)的基礎(chǔ)上,又在研究新的檢測(cè)方法,如數(shù)據(jù)融合技術(shù),主動(dòng)的自主方法,智能技術(shù)以及免疫學(xué)原理的應(yīng)用等。其主要的發(fā)展方向可概括為:
(1)大規(guī)模分布式入侵檢測(cè)。傳統(tǒng)的入侵檢測(cè)技術(shù)一般只局限于單一的主機(jī)或網(wǎng)絡(luò)框架,顯然不能適應(yīng)大規(guī)模網(wǎng)絡(luò)的監(jiān)測(cè),不同的入侵檢測(cè)系統(tǒng)之間也不能協(xié)同工作。因此,必須發(fā)展大規(guī)模的分布式入侵檢測(cè)技術(shù)。
(2)寬帶高速網(wǎng)絡(luò)的實(shí)時(shí)入侵檢測(cè)技術(shù)。大量高速網(wǎng)絡(luò)的不斷涌現(xiàn),各種寬帶接入手段層出不窮,如何實(shí)現(xiàn)高速網(wǎng)絡(luò)下的實(shí)時(shí)入侵檢測(cè)成為一個(gè)現(xiàn)實(shí)的問(wèn)題。
(3)入侵檢測(cè)的數(shù)據(jù)融合技術(shù)。目前的IDS還存在著很多缺陷。首先,目前的技術(shù)還不能對(duì)付訓(xùn)練有素的黑客的復(fù)雜的攻擊。其次,系統(tǒng)的虛警率太高。最后,系統(tǒng)對(duì)大量的數(shù)據(jù)處理,非但無(wú)助于解決問(wèn)題,還降低了處理能力。數(shù)據(jù)融合技術(shù)是解決這一系列問(wèn)題的好方法。
(4)與網(wǎng)絡(luò)安全技術(shù)相結(jié)合。結(jié)合防火墻,病毒防護(hù)以及電子商務(wù)技術(shù),提供完整的網(wǎng)絡(luò)安全保障。
6結(jié)束語(yǔ)
在目前的計(jì)算機(jī)安全狀態(tài)下,基于防火墻、加密技術(shù)的安全防護(hù)固然重要,但是,要根本改善系統(tǒng)的安全現(xiàn)狀,必須要發(fā)展入侵檢測(cè)技術(shù),它已經(jīng)成為計(jì)算機(jī)安全策略中的核心技術(shù)之一。IDS作為一種主動(dòng)的安全防護(hù)技術(shù),提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。隨著網(wǎng)絡(luò)通信技術(shù)安全性的要求越來(lái)越高,入侵檢測(cè)技術(shù)必將受到人們的高度重視。
參考文獻(xiàn):
[1]putersecuritythreatmonitoringandsurveillance[P].PA19034,USA,1980.4
[2]DenningDE.AnIntrusion-DetectionModel[A].IEEESymponSecurity&Privacy[C],1986.118-131
篇(2)
2網(wǎng)絡(luò)入侵檢測(cè)的重要性與必要性分析
網(wǎng)絡(luò)入侵檢測(cè),就是對(duì)網(wǎng)絡(luò)入侵行為的發(fā)覺(jué)。與其他安全技術(shù)相比而言,入侵檢測(cè)技術(shù)并不是以建立安全和可靠的網(wǎng)絡(luò)環(huán)境為主,而是以分析和處理對(duì)網(wǎng)絡(luò)用戶信息構(gòu)成威脅的行為,進(jìn)而進(jìn)行非法控制來(lái)確保網(wǎng)絡(luò)系統(tǒng)的安全。它的主要目的是對(duì)用戶和系統(tǒng)進(jìn)行檢測(cè)與分析,找出系統(tǒng)中存在的漏洞與問(wèn)題,一旦發(fā)現(xiàn)攻擊或威脅就會(huì)自動(dòng)及時(shí)地向管理人員報(bào)警,同時(shí)對(duì)各種非法活動(dòng)或異常活動(dòng)進(jìn)行識(shí)別、統(tǒng)計(jì)與分析。
3數(shù)據(jù)挖掘在網(wǎng)絡(luò)入侵檢測(cè)中的應(yīng)用分析
在使用數(shù)據(jù)挖掘技術(shù)對(duì)網(wǎng)絡(luò)入侵行為進(jìn)行檢測(cè)的過(guò)程中,我們可以通過(guò)分析有用的數(shù)據(jù)或信息來(lái)提取用戶的行為特征和入侵規(guī)律,進(jìn)而建立起一個(gè)相對(duì)完善的規(guī)則庫(kù)來(lái)進(jìn)行入侵檢測(cè)。該檢測(cè)過(guò)程主要是數(shù)據(jù)收集——數(shù)據(jù)預(yù)處理——數(shù)據(jù)挖掘,以下是在對(duì)已有的基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)入侵檢測(cè)的模型結(jié)構(gòu)圖進(jìn)行闡述的基礎(chǔ)上進(jìn)行一些優(yōu)化。
3.1綜合了誤用檢測(cè)和異常檢測(cè)的模型
為改進(jìn)前綜合誤用檢測(cè)和異常檢測(cè)的模型。從圖2可以看出,它是綜合利用了誤用檢測(cè)和異常檢測(cè)模型而形成的基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)入侵檢測(cè)模型。其優(yōu)點(diǎn)在于通過(guò)結(jié)合誤用檢測(cè)器和異常檢測(cè)器,把所要分析的數(shù)據(jù)信息減少了很多,大大縮小了數(shù)據(jù)范圍。其劣勢(shì)在于當(dāng)異常檢測(cè)器檢測(cè)到新的入侵檢測(cè)后,僅僅更新了異常檢測(cè)器,而沒(méi)有去及時(shí)地更新誤用檢測(cè)器,這就無(wú)形中增加了工作量。對(duì)于這一不足之處,筆者提出了以下改進(jìn)意見(jiàn)。
3.2改進(jìn)后的誤用檢測(cè)和異常檢測(cè)模型
筆者進(jìn)行了一些改進(jìn),以形成一種更加有利的基于數(shù)據(jù)挖掘的入侵檢測(cè)模型,基礎(chǔ)上進(jìn)行了一定的優(yōu)化。一是把從網(wǎng)絡(luò)中獲取的網(wǎng)絡(luò)數(shù)據(jù)包發(fā)送到數(shù)據(jù)預(yù)處理器中,由它進(jìn)行加工處理,然后使用相應(yīng)的關(guān)聯(lián)規(guī)則找出其中具有代表性的規(guī)則,放入關(guān)聯(lián)規(guī)則集中,接下來(lái)用聚類規(guī)則將關(guān)聯(lián)規(guī)則所得的支持度和可信度進(jìn)行聚類優(yōu)化。此后,我們可根據(jù)規(guī)定的閾值而將一部分正常的數(shù)據(jù)刪除出去,這就大大減少了所要分析的數(shù)據(jù)量。此時(shí)可以把剩下的那些數(shù)據(jù)發(fā)送到誤用檢測(cè)器中進(jìn)行檢測(cè),如果誤用檢測(cè)器也沒(méi)有檢測(cè)到攻擊行為,則把該類數(shù)據(jù)發(fā)送到異常檢測(cè)器中再次進(jìn)行檢測(cè),與上面的例子一樣,這個(gè)異常檢測(cè)器實(shí)際上也起到了一個(gè)過(guò)濾的作用,以此來(lái)把海量的正常數(shù)據(jù)過(guò)濾出去,相應(yīng)地?cái)?shù)據(jù)量就會(huì)再一次變少,這就方便了后期的挖掘。這一模型系統(tǒng)的一大特點(diǎn)就是為了避免重復(fù)檢測(cè),利用對(duì)數(shù)據(jù)倉(cāng)庫(kù)的更新來(lái)完善異常檢測(cè)器和誤用檢測(cè)器。也就是說(shuō),根據(jù)異常檢測(cè)器的檢測(cè)結(jié)果來(lái)對(duì)異常檢測(cè)器和誤用檢測(cè)器進(jìn)行更新,若測(cè)得該行為是正常行為,那么就會(huì)更新異常檢測(cè)器,若測(cè)得該行為是攻擊行為,那么就更新誤用檢測(cè)器來(lái)記錄該次的行為,從而方便下次進(jìn)行重復(fù)的檢測(cè)。
篇(3)
1入侵檢測(cè)系統(tǒng)分析
表1分析了入侵檢測(cè)系統(tǒng)結(jié)構(gòu)變化。
表1IDS出現(xiàn)的問(wèn)題及結(jié)構(gòu)的變化
IDS發(fā)展解決的問(wèn)題結(jié)構(gòu)特征
基于主機(jī)單一主機(jī)的安全各部分運(yùn)行在單節(jié)點(diǎn)上
基于網(wǎng)絡(luò)局域網(wǎng)的安全采集部分呈現(xiàn)分布式
分布式單一分析節(jié)點(diǎn)的弱勢(shì)分析部分呈現(xiàn)分布式
網(wǎng)格的運(yùn)行是由用戶發(fā)起任務(wù)請(qǐng)求,然后尋找資源搭配完成任務(wù),這樣形成的團(tuán)體稱為虛擬組織(VO),網(wǎng)格入侵檢測(cè)系統(tǒng)是為其他VO提供服務(wù)的VO[1],目前其面臨的主要問(wèn)題如下:
(1)分布性:包括資源分布和任務(wù)分解。
(2)動(dòng)態(tài)部署:系統(tǒng)是為VO提供服務(wù)的,其部署應(yīng)是動(dòng)態(tài)的。
(3)動(dòng)態(tài)形成:系統(tǒng)本身也是一VO,是動(dòng)態(tài)形成的。
(4)最優(yōu)方案選擇:本系統(tǒng)需多種網(wǎng)格資源協(xié)同進(jìn)行,要選擇一個(gè)最優(yōu)方案。
(5)協(xié)同計(jì)算:保證按照入侵檢測(cè)流程順利運(yùn)行。
(6)動(dòng)態(tài)改變:防止資源失效。
目前關(guān)于網(wǎng)格入侵檢測(cè)系統(tǒng)的研究[2]只能說(shuō)解決了分布性、動(dòng)態(tài)形成、協(xié)同計(jì)算。而對(duì)于動(dòng)態(tài)部署[1]、動(dòng)態(tài)改變[3]仍處于研究中。
2VGIDS系統(tǒng)模型
VGIDS基于開(kāi)放網(wǎng)格服務(wù)(OGSA)思想提出了一個(gè)公共服務(wù)——GIDSService來(lái)解決目前網(wǎng)格入侵檢測(cè)系統(tǒng)面臨的問(wèn)題。整個(gè)VGIDS結(jié)構(gòu)如圖1所示。
(1)VO-Based:網(wǎng)格是一個(gè)虛擬組織的聚集,本系統(tǒng)提出一虛擬組織目錄(VOL)。用戶向GIDSService提交請(qǐng)求并將被檢測(cè)VO代號(hào)作為參數(shù)。GIDSSevvice查找VOL獲取VO信息。當(dāng)VOL數(shù)量減為一就成為單一網(wǎng)格應(yīng)用,可由網(wǎng)格管理(GM)將VO信息傳給GIDSServic。
圖1VGIDS系統(tǒng)結(jié)構(gòu)
(2)GIDSService:負(fù)責(zé)資源發(fā)現(xiàn),調(diào)度。具體包括:
RI(RequestInterface):服務(wù)接口,負(fù)責(zé)服務(wù)請(qǐng)求及VO信息獲取。同VOL解決動(dòng)態(tài)部署。
DA(DelegationAgent):委托。同用戶交互獲得用戶委托授權(quán)。
DD(DistributedData):分布式數(shù)據(jù)。存儲(chǔ)VGIDS需要的資源信息。解決分布問(wèn)題。
RQ(ResourceQuery):資源查詢。當(dāng)獲得用戶授權(quán)后便由RQ根據(jù)DD描述向資源目錄(RL)查找資源。解決分布問(wèn)題。
PC(PlanChoose):最優(yōu)方案選擇。當(dāng)從RL獲得可用資源后PC根據(jù)AM(任務(wù)管理)要求選擇一個(gè)最優(yōu)方案。本文稱為多維最優(yōu)路徑選擇問(wèn)題。
AM(AssignmentManage):任務(wù)管理。首先根據(jù)DD存儲(chǔ)所需資源的調(diào)度信息,當(dāng)VGIDS形成后,根據(jù)PC的方案選擇及DD存儲(chǔ)的資源信息進(jìn)行任務(wù)的調(diào)度和協(xié)同各分布資源的交互,解決協(xié)同計(jì)算。
IR(IntrusionReaction):入侵響應(yīng)。
SN(SecurityNegotiate):安全協(xié)商。同資源和用戶的安全協(xié)商。
DI(DynamicInspect):動(dòng)態(tài)檢查。負(fù)責(zé)檢查資源失效向RQ發(fā)起重新查找資源請(qǐng)求。解決動(dòng)態(tài)改變問(wèn)題。
LB(LoadBalance):負(fù)載平衡。主要根據(jù)DD信息解決網(wǎng)格資源調(diào)度的負(fù)載平衡問(wèn)題。
3VGIDS服務(wù)描述
本系統(tǒng)是一動(dòng)態(tài)虛擬組織,在系統(tǒng)運(yùn)行之前必須以靜態(tài)網(wǎng)格服務(wù)的形式部署于網(wǎng)格之上,當(dāng)用戶申請(qǐng)時(shí)再動(dòng)態(tài)形成。
定義1:VGIDS的靜態(tài)定義如下:VGIDS=<Base,Resource,Role,Task,F(xiàn)low,Relation>
Base為VGIDS基本描述,Base=<ID,Power,IO,Inf,log,goal,P>。ID為虛擬組織編號(hào);Power為獲得的授權(quán);IO為被檢測(cè)對(duì)象;Inf為監(jiān)控VGIDS獲得的信息文件;log為系統(tǒng)日志;goal為VGIDS目標(biāo),包括調(diào)度算法所估計(jì)的系統(tǒng)效率及用戶要求;P為系統(tǒng)交互策略,需同網(wǎng)格資源進(jìn)行交互,授予資源角色和相關(guān)權(quán)利并同時(shí)分配相關(guān)任務(wù)。
Resource為VGIDS的所有資源,Resource=<IP,Property,Serve,Power,P>。
IP為資源地址;Property為資源屬性(存儲(chǔ)、分析),方便角色匹配;Serve為資源可提供的服務(wù)指標(biāo);Power為使用資源所要求的授權(quán);P為資源交互策略。
Role為存在的角色類型,Role=<ID,Tas,Res,Power>。ID為角色的分類號(hào),按照工作流分為5類角色分別對(duì)應(yīng)VGIDS的5個(gè)環(huán)節(jié);Tas為角色任務(wù);Res為角色需要的資源類型;Power為角色所獲得的權(quán)利。
Task為工作流任務(wù)集合。Task=<ID,Des,Res,Role,P>。ID為任務(wù)標(biāo)號(hào);Des為任務(wù)描述;Res為需要的資源種類;Role為任務(wù)匹配的角色;P為T(mén)ask執(zhí)行策略。
Flow為工作流描述文件,F(xiàn)low=<Role,Seq,P>。Role為角色集合,Seq為角色執(zhí)行序列,P為對(duì)于各個(gè)角色的控制策略。
Relation為已確定資源Resource和Role之間的關(guān)系。Relation=<Res,Role,Rl>。Res為資源集合,Role為角色集合,Rl為對(duì)應(yīng)關(guān)系。
4多維最優(yōu)路徑選擇
4.1問(wèn)題描述
將圖1抽象為圖2模型定義2:Graph=(U、D、A、{Edge})。
U為所有被檢測(cè)對(duì)象的集合,Un=(Loadn、Pn),Loadn為Un單位時(shí)間所要求處理的數(shù)據(jù),Pn為Un在被檢測(cè)VO中所占權(quán)重,如果P為空,則按照Load大小作為權(quán)重。
D為存儲(chǔ)服務(wù)集合,Dn=(Capn、Qosdn),Capn為Dn提供的存儲(chǔ)容量。Qosdn為Dn提供的服務(wù)質(zhì)量,近似為數(shù)據(jù)吞吐率。
A為分析服務(wù)集合,An=(Classn、Qosan),Classn為An處理的數(shù)據(jù)種類,如系統(tǒng)日志或網(wǎng)絡(luò)流量。Qosan為An提供的服務(wù)質(zhì)量,近似為處理速率。
Edge為邊的集合,有網(wǎng)絡(luò)傳輸速度加權(quán)v。
圖2VGIDS調(diào)度模型
定義3:Qos定義為一個(gè)多維向量,可用一個(gè)性能度量指標(biāo)的集合表示:
{M1(t)、M2(t),…,Mn(t)}
Mn(t)為一個(gè)與網(wǎng)格服務(wù)質(zhì)量有關(guān)的量,如CPU的主頻、網(wǎng)絡(luò)速度、內(nèi)存。服務(wù)的執(zhí)行過(guò)程體現(xiàn)出來(lái)的性能參數(shù)是一條n維空間的軌跡M,這個(gè)n維空間的每一維代表一個(gè)性能指標(biāo)
M=R1*R2*…*Rn
其中,Rn是性能指標(biāo)Mn(t)的取值范圍。在本系統(tǒng)中存在兩類Qos,分別為D和A。本系統(tǒng)強(qiáng)調(diào)實(shí)時(shí)性,所以CPU、RAM和網(wǎng)絡(luò)速度占很大權(quán)重,Qos計(jì)算公式如下:
Wcpu表示CPU的權(quán)重;CPUusage表示當(dāng)前CPU使用率;CPUspeed表示CPU的實(shí)際速度;CPUmin表示要求的CPU速率的最小值。Wram表示RAM的權(quán)重;RAMusage表示當(dāng)前RAM使用率;RAMsize表示RAM的實(shí)際大小;RAMmin表示要求的RAM的最小值。Wnet表示網(wǎng)絡(luò)傳輸?shù)臋?quán)重;NETusage表示當(dāng)前網(wǎng)絡(luò)負(fù)載;NETspeed表示網(wǎng)絡(luò)的實(shí)際速度;NETmin表示要求的網(wǎng)絡(luò)傳輸速率的最小值。
資源調(diào)度就是利用對(duì)各個(gè)資源的量化,為每一檢測(cè)對(duì)象選擇一條數(shù)據(jù)傳輸路徑。本系統(tǒng)目標(biāo)是使整個(gè)VO獲得快速的檢測(cè),而不是對(duì)個(gè)別對(duì)象的檢測(cè)速率很高。
定義4:對(duì)于任意一個(gè)被檢測(cè)VO的檢測(cè)對(duì)象,如果能夠?yàn)槠錁?gòu)造一條檢測(cè)路徑,稱系統(tǒng)對(duì)于此對(duì)象是完備的。
定義5:對(duì)于VO,如果能夠?yàn)槠渌械臋z測(cè)對(duì)象構(gòu)造檢測(cè)路徑,則稱系統(tǒng)對(duì)于被檢測(cè)VO是完備的。
本調(diào)度算法的目的便是在滿足被檢測(cè)VO和入侵檢測(cè)工作流要求下,按照所選網(wǎng)格資源提供的能力為整個(gè)VO構(gòu)造VGIDS,使所有被檢測(cè)對(duì)象檢測(cè)效率之和最高。這是一非典型的線性規(guī)劃問(wèn)題,如下定義:
X1,…Xn是n個(gè)獨(dú)立變量,表示VGIDS所選路徑;公式<5>表示最大耗費(fèi)時(shí)間;公式<6>—<8>表示所有對(duì)于Xn的約束條件。由于Xn變量難以確定并且約束條件種類較多所以難以將上述問(wèn)題標(biāo)準(zhǔn)化為公式<5>—<8>。
4.2算法描述
本文利用貪心選擇和Dijkstra算法進(jìn)行調(diào)度。
按照用戶給出的U的權(quán)值P從大到小進(jìn)行排序,if(P==NULL),則按Load從大到小進(jìn)行排序得到排序后的對(duì)象數(shù)組和負(fù)載數(shù)組為
U[i](0<i≤n,n為U的大小);Load[i](0<i≤n,n為U的大小)
for(i=0;i<=n;i++),循環(huán)對(duì)U和Load執(zhí)行以下操作:
(1)對(duì)于所有邊,定義其權(quán)值為網(wǎng)絡(luò)傳輸時(shí)間t=Load[i]/v,對(duì)于所有服務(wù)D和A定義其處理數(shù)據(jù)時(shí)間為t1=Load[i]/Qos,將t1加到每一個(gè)服務(wù)的入邊上得到最終各邊權(quán)值,如果兩點(diǎn)之間沒(méi)有邊相連則t[j]為∞。
(2)定義Capmin[i]為U[i]對(duì)于數(shù)據(jù)存儲(chǔ)能力的最低要求,Qosdmin為U[i]對(duì)于D中服務(wù)質(zhì)量的最低要求,Qosamin為U[i]對(duì)于A中服務(wù)質(zhì)量的最低要求。對(duì)于所有D中Cap<Capmin[i]或者Qosd<Qosdmin的節(jié)點(diǎn)以及A中Qosa<Qosamin[i]的節(jié)點(diǎn),將其所有輸入和輸出邊的t設(shè)為∞。
(3)設(shè)所有點(diǎn)集合為V,V0為檢測(cè)對(duì)象,邊Edge定義為<Vi,Vj>。用帶權(quán)連接矩陣arcs[i][j]表示<Vi,Vj>的權(quán)值。定義向量D表示當(dāng)前所找到的從起點(diǎn)V0到終點(diǎn)Vi的最短路徑,初始化為若V0到Vi有邊,則D[i]為邊的權(quán)值,否則置D[i]為∞。定義向量P來(lái)保存最短路徑,若P[v][w]為T(mén)RUE,則W是從V0到V當(dāng)前求得最短路徑上的頂點(diǎn)。
(4)for(v=0;v<v.number;v++)
{
final[v]=false;
D[v]=arcs[v0][v];
for(w=0;w<v.number;++w)P[v][w]=false;
//設(shè)空路徑
if(D[v]<INFINITY){P[v][v0]=true;P[v][v]=true;}}
D[v0]=0;final[v0]=true;//初始化,V0頂點(diǎn)屬于已求得最短路徑的終點(diǎn)集合
for(i=1;i<v.number;++i){
min=INFINITY;
for(w=0;w<v.number;++w)
if(!final[w])
if(D[w]<min){v=w;min=D[w];}
final[v]=true;
for(w=0;w<v.number;++w)//更新當(dāng)前最短路徑及距離;
if(!final[w]&&(min+arcs[v][w]<D[w])){
D[w]=min+arcs[v][w];
P[w]=P[v];P[w][w]=true;
}}}
掃描A中各點(diǎn),選取其中D[i](Vi∈A)最小的一點(diǎn)X,然后從P中選取從V0到X的路徑便為所選一條VGIDS路徑。
(5)將所選路徑上的邊的速率改為V=V-Load[i],D的Cap改為Cap=Cap-Capmin,D的Qosd改為Qosd=Qosd-Qosdmin,A的Qosa改為Qosa=Qosa-Qosamin。
(6)++i,回到步驟(1)重新開(kāi)始循環(huán)。
5系統(tǒng)開(kāi)發(fā)
本項(xiàng)目主要利用Globus工具包外加CoGKits開(kāi)發(fā)工具。Globus作為一個(gè)廣泛應(yīng)用的網(wǎng)格中間件其主要是針對(duì)五層沙漏結(jié)構(gòu),并利用GridService技術(shù)逐層對(duì)五層沙漏提出的功能單源進(jìn)行實(shí)現(xiàn)[5],表2簡(jiǎn)單敘述VGIDS實(shí)現(xiàn)的各層功能及Globus中對(duì)應(yīng)服務(wù)調(diào)用。
實(shí)驗(yàn)時(shí)VGIDS部署在Linux系統(tǒng)上,采用基于Linux核心的數(shù)據(jù)采集技術(shù)及Oracle10g作為數(shù)據(jù)庫(kù)系統(tǒng)解決分布式存儲(chǔ)問(wèn)題,數(shù)據(jù)分析技術(shù)仍采用現(xiàn)有的基于規(guī)則的入侵檢測(cè)技術(shù)。系統(tǒng)試驗(yàn)平臺(tái)如圖3所示。
表2系統(tǒng)功能劃分及調(diào)用接口
五層結(jié)構(gòu)VGIDSGlobus
應(yīng)用層GridService無(wú)
匯聚層資源發(fā)現(xiàn)、證書(shū)管理、目錄復(fù)制、復(fù)制管理、協(xié)同分配元目錄服務(wù)MDS,目錄復(fù)制和復(fù)制管理服務(wù),在線信任倉(cāng)儲(chǔ)服務(wù),DUROC協(xié)同分配服務(wù)
資源層訪問(wèn)計(jì)算、訪問(wèn)數(shù)據(jù)、訪問(wèn)系統(tǒng)結(jié)構(gòu)與性能信息提供GRIP、GRRP、基于http的GRAM用于分配資源和監(jiān)視資源,提供GridFtp數(shù)據(jù)訪問(wèn)管理協(xié)議及LDAP目錄訪問(wèn)協(xié)議。Globus定義了這些協(xié)議的C和Java實(shí)現(xiàn)
連接層通信、認(rèn)證、授權(quán)提供GSI協(xié)議用于認(rèn)證、授權(quán)、及通信保密
構(gòu)造層數(shù)據(jù)采集、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)分析提供缺省和GARA資源預(yù)約
圖3系統(tǒng)試驗(yàn)平臺(tái)
本平臺(tái)共8臺(tái)機(jī)器,一臺(tái)網(wǎng)格目錄服務(wù)和CA認(rèn)證中心,一臺(tái)部署VGIDS服務(wù)。兩臺(tái)機(jī)器作為被檢測(cè)對(duì)象,相互之間可實(shí)現(xiàn)簡(jiǎn)單網(wǎng)格協(xié)作,本試驗(yàn)兩臺(tái)機(jī)器之間通過(guò)GridFtp服務(wù)傳輸數(shù)據(jù)。其余四臺(tái)機(jī)器分別實(shí)現(xiàn)兩個(gè)存儲(chǔ)服務(wù)和兩個(gè)分析服務(wù)。
6總結(jié)和展望
目前網(wǎng)格入侵檢測(cè)系統(tǒng)主要是針對(duì)某一特定網(wǎng)格應(yīng)用靜態(tài)執(zhí)行。而本文所提出的VGIDS則是針對(duì)網(wǎng)格運(yùn)行模式——虛擬組織所提出的通用網(wǎng)格入侵檢測(cè)服務(wù)。本系統(tǒng)事先進(jìn)行靜態(tài)定義,然后當(dāng)有服務(wù)請(qǐng)求時(shí)動(dòng)態(tài)解析定義文件,動(dòng)態(tài)形成可執(zhí)行的網(wǎng)格入侵檢測(cè)系統(tǒng)。本系統(tǒng)解決目前網(wǎng)格入侵檢測(cè)系統(tǒng)面臨的動(dòng)態(tài)部署、動(dòng)態(tài)形成、最優(yōu)方案選擇、動(dòng)態(tài)改變等問(wèn)題。
對(duì)于網(wǎng)格入侵檢測(cè)系統(tǒng)同樣還面臨著如何解決數(shù)據(jù)異構(gòu),如何發(fā)現(xiàn)分布式協(xié)同攻擊,如何保障自身的安全等問(wèn)題,本模型有待進(jìn)一步完善。
參考文獻(xiàn)
[1]OngTianChoonandAzmanSamsudin.Grid-basedIntrusionDetectionSystem.SchoolofComputerSciencesUniversitySainsMalaysia,IEEE,2003.1028-1032
[2]AlexandreSchulterandJúlioAlbuquerqueReis.AGrid-worksandManagementLaboratoryFederalUniversityofSantaCatarina,ProceedingsoftheInternationalConferenceonNetworking,InternationalConferenceonSystemsandInternationalConferenceonMobileCommunicationsandLearningTechnologies.IEEE,2006
篇(4)
2頂層設(shè)計(jì)的作用
應(yīng)用規(guī)范可以為用戶提煉一個(gè)系統(tǒng)的、完整的、關(guān)于應(yīng)用效果的準(zhǔn)確表達(dá),成為工程設(shè)計(jì)方全面而嚴(yán)謹(jǐn)?shù)脑O(shè)計(jì)和驗(yàn)收的依據(jù),并對(duì)施工工藝提供相應(yīng)的指導(dǎo)。由于應(yīng)用規(guī)范的定義,所有的描述內(nèi)容僅涉及應(yīng)用效果,而不規(guī)定具體技術(shù)和產(chǎn)品,其開(kāi)放式的結(jié)構(gòu)不僅為更多新技術(shù)的進(jìn)入提供了廣闊空間,同時(shí)對(duì)新技術(shù)予以嚴(yán)謹(jǐn)?shù)募s束和指導(dǎo),避免應(yīng)用中采用“似是而非”的技術(shù);避免生產(chǎn)廠商以“先進(jìn)技術(shù)”誤導(dǎo)用戶和工程設(shè)計(jì)及施工方。
3以“頂層設(shè)計(jì)”的方法規(guī)劃智能建筑的入侵探測(cè)技術(shù)配置的一般性過(guò)程
3.1全方位準(zhǔn)確描述智能建筑的應(yīng)用環(huán)境
3.1.1智能建筑內(nèi)部空間的基本功能在智能建筑的內(nèi)部空間中,符合準(zhǔn)入權(quán)限的人員及其喂養(yǎng)的各類寵物,均可以在其中無(wú)拘束地自由活動(dòng)。
3.1.2智能建筑(以住宅類為例)由各種不同的功能區(qū)域構(gòu)成智能建筑可以由屏障式建筑體(院墻/大門(mén))、過(guò)渡空間(院落)、主體建筑、附屬建筑等多種建筑形態(tài)構(gòu)成,也可以是單獨(dú)的多/高層樓宇式建筑物。1)室外建筑構(gòu)成體在外形特征的相關(guān)變化院落形態(tài)變化對(duì)比如表1所示。2)室內(nèi)空間功能多樣化及其內(nèi)部環(huán)境條件多元化為了滿足多個(gè)不同個(gè)體的人員、多層面應(yīng)用需求,智能建筑內(nèi)部可能設(shè)置有廳/餐/廚/衛(wèi)/主/客/傭/影視/文娛/體/閱讀等不同功能空間。這些空間在不同時(shí)段會(huì)滿足于個(gè)體應(yīng)用需求的溫濕度差異;且在不同時(shí)段分布不同色溫、不同照度、不同波長(zhǎng)的光照明、不同頻譜、不同規(guī)律、不同響度的聲音等。3)智能建筑中配置滿足不同層面需要的各類設(shè)施為了滿足住戶多層面的應(yīng)用需求,智能建筑中分布有大量的水/電/氣管路;配置了空氣溫濕度、理化潔凈度探測(cè)控制裝置,各類照明、感應(yīng)、影音播放及相關(guān)控制裝置,各類實(shí)現(xiàn)建筑物內(nèi)部及內(nèi)/外聯(lián)系的通信裝置;不同功能空間中還配置有特定的電器裝置,甚至某些空間中還配置了可以自動(dòng)“行走”的從事清潔等服務(wù)的機(jī)器(人)。上述各種設(shè)施是建筑物內(nèi)各種頻率/振幅的機(jī)械振動(dòng)或波振動(dòng)源;在不同時(shí)段也可能在較寬頻譜范圍內(nèi)形成不同調(diào)制方式、不同能量的空間電磁波輻射(包括光波)和/或線路上的電磁擾動(dòng)。綜合以上分析得出結(jié)論:合法入住的人員及寵物的正常活動(dòng),智能建筑內(nèi)部配置的各類電氣裝置的正常工作狀況,均會(huì)成為傳統(tǒng)型入侵探測(cè)技術(shù)的干擾源。
3.2以另一種角度解析入侵探測(cè)技術(shù)
入侵探測(cè)的本質(zhì):采用物理測(cè)量技術(shù),識(shí)別出“不允許進(jìn)入特定區(qū)域的人”。探測(cè)技術(shù)發(fā)展經(jīng)歷了以下幾個(gè)階段,并各具相應(yīng)特性。
3.2.1入侵探測(cè)技術(shù)的智能化進(jìn)程初級(jí)型階段的入侵探測(cè)技術(shù)是針對(duì)參照物“有沒(méi)有”實(shí)施最簡(jiǎn)單判斷,使用的典型技術(shù)是鐵磁性“接近開(kāi)關(guān)”對(duì)門(mén)、窗的“開(kāi)/閉”狀態(tài)判斷,以門(mén)/窗有沒(méi)有開(kāi)啟作為觸發(fā)報(bào)警條件。傳統(tǒng)型階段的入侵探測(cè)技術(shù)達(dá)到了“什么樣”的判斷水平——針對(duì)移動(dòng)特性與體積、重量、溫度、外形等參量之一的探測(cè),以上述物理參量是否存在或以某個(gè)特定值作為預(yù)設(shè)的觸發(fā)報(bào)警條件。智能型入侵探測(cè)的智能水平達(dá)到了判別“是誰(shuí)”的能力——采用各類生物識(shí)別技術(shù),實(shí)現(xiàn)對(duì)特定人員身份的探測(cè)(識(shí)別)。本文針對(duì)智能建筑的入侵探測(cè)應(yīng)用討論,所以探討內(nèi)容涵蓋傳統(tǒng)型入侵探測(cè)技術(shù)和生物識(shí)別技術(shù)(智能型入侵探測(cè)技術(shù))。
3.2.2傳統(tǒng)型入侵探測(cè)技術(shù)——對(duì)人的外部物理特征(共性)參量實(shí)施探測(cè)傳統(tǒng)型入侵探測(cè)技術(shù)針對(duì)入侵行為的主要特性——移動(dòng),同時(shí)為了提升探測(cè)的準(zhǔn)確性,再針對(duì)人員常見(jiàn)的幾種外部物理參量之一進(jìn)行探測(cè),如表3所示。各類傳統(tǒng)型入侵探測(cè)技術(shù)僅針對(duì)人員單一的外部物理參量實(shí)施探測(cè),探測(cè)效果相當(dāng)于“盲人摸象”,可能得出不準(zhǔn)確的結(jié)論;更重要的是,傳統(tǒng)型入侵探測(cè)裝置不可能區(qū)分出觸發(fā)者是用戶還是非法入侵者,所以不適于在智能建筑的室內(nèi)安裝應(yīng)用。
3.2.3智能型入侵探測(cè)技術(shù)——對(duì)人的外部社會(huì)特性(個(gè)性)實(shí)施探測(cè)用戶與入侵者區(qū)分依據(jù)是人的外部社會(huì)特性,是每個(gè)人與其他人之間不同的、可測(cè)或可度量的、外在的(生物或者人為附加)特征。表4列出了目前不同的生物特征測(cè)量技術(shù),對(duì)人實(shí)現(xiàn)區(qū)分所需要的時(shí)間和空間條件,而根據(jù)這些條件,可以針對(duì)智能建筑中不同區(qū)域的應(yīng)用需求,選擇合適的探測(cè)技術(shù),如表4所示。5.3智能建筑不同功能區(qū)域?qū)θ肭痔綔y(cè)應(yīng)用需求及配置智能建筑內(nèi)部區(qū)域?qū)θ肭痔綔y(cè)的應(yīng)用需求及配置建議如表5所示。
4應(yīng)用規(guī)范的通用性規(guī)定
4.1入侵探測(cè)裝置合法性必須獲得強(qiáng)制性認(rèn)證證書(shū)的有效覆蓋;沒(méi)有現(xiàn)行強(qiáng)制性認(rèn)證標(biāo)準(zhǔn)的產(chǎn)品,需要獲得自愿認(rèn)證證書(shū)的有效覆蓋。產(chǎn)品參照標(biāo)準(zhǔn)中的具體相關(guān)技術(shù)指標(biāo),均應(yīng)滿足應(yīng)用規(guī)范規(guī)定。
4.2配置合理性針對(duì)智能建筑的不同部位或區(qū)域,配置與應(yīng)用需求對(duì)應(yīng)類別的入侵探測(cè)裝置,比如:建筑物內(nèi)部屬于人員及寵物活動(dòng)區(qū)域,入侵探測(cè)的應(yīng)用需求是“確定進(jìn)入該空間的人員是否具有相應(yīng)的權(quán)限”,依據(jù)此需求,建筑物內(nèi)部原則上不應(yīng)配置傳統(tǒng)型入侵探測(cè)裝置(當(dāng)然,針對(duì)廚房等某些具有危險(xiǎn)物品的空間,為防止嬰幼兒或?qū)櫸锱廊耄赡懿捎脗鹘y(tǒng)型入侵探測(cè)裝置。當(dāng)然在具體的配置過(guò)程中,還需要滿足應(yīng)用需求的其他方面);而傳統(tǒng)型入侵探測(cè)裝置應(yīng)配置在智能建筑外部,特別是周界,當(dāng)然還應(yīng)該滿足構(gòu)成“封閉式防范”和對(duì)外觀適應(yīng)性等其他要求。根據(jù)表2所列的內(nèi)容,可以得出明確結(jié)論——傳統(tǒng)型入侵探測(cè)由于不具備識(shí)別人員身份的能力,通常只能設(shè)置于智能建筑的外部,擔(dān)任判斷是否有“人員入侵”的工作。若安裝于圍墻/圍欄/窗/陽(yáng)臺(tái)等不允許人員“合法”出入的周界區(qū)域,只要發(fā)現(xiàn)有“目標(biāo)”越過(guò)這些區(qū)域(無(wú)論是“出”或者是“入”),都必須輸出報(bào)警信號(hào)。而具體應(yīng)該采用何種入侵探測(cè)技術(shù),應(yīng)根據(jù)每種入侵探測(cè)技術(shù)的特點(diǎn)及具體應(yīng)用需求來(lái)確定。
4.3風(fēng)險(xiǎn)等級(jí)適配性1)應(yīng)用規(guī)范應(yīng)規(guī)定智能建筑的風(fēng)險(xiǎn)等級(jí),以及入侵探測(cè)裝置的防范嚴(yán)密性等級(jí)。2)配置與風(fēng)險(xiǎn)等級(jí)對(duì)應(yīng)的入侵探測(cè)裝置類別,除了與空間條件相適應(yīng)外,其探測(cè)的嚴(yán)密程度也應(yīng)該與建筑的風(fēng)險(xiǎn)等級(jí)相對(duì)應(yīng)。比如:對(duì)于低風(fēng)險(xiǎn)等級(jí)建筑的門(mén)禁可以采用IC卡、密碼等探測(cè)技術(shù);高風(fēng)險(xiǎn)等級(jí)建筑的門(mén)禁應(yīng)用可以采用其他相應(yīng)的生物識(shí)別技術(shù)。3)配置與風(fēng)險(xiǎn)等級(jí)對(duì)應(yīng)的入侵探測(cè)裝置。低風(fēng)險(xiǎn)等級(jí)的周界配置的入侵探測(cè)裝置的觸發(fā)響應(yīng)時(shí)間或探測(cè)靈敏度指標(biāo)可以較低,而高風(fēng)險(xiǎn)等級(jí)的周界配置入侵探測(cè)裝置的相應(yīng)技術(shù)指標(biāo)要求較高。
4.4探測(cè)介質(zhì)安全性建筑的入侵探測(cè)裝置在長(zhǎng)期使用的條件下,對(duì)人員物不產(chǎn)生任何傷害;建筑物外使用的入侵探測(cè)裝置,在短時(shí)間內(nèi)不應(yīng)對(duì)人員(包含入侵者)產(chǎn)生傷害。
4.5環(huán)境適應(yīng)性1)入侵探測(cè)裝置的外觀造型應(yīng)與整體建筑造型風(fēng)格和景觀觀感相適應(yīng)。2)入侵探測(cè)裝置的探測(cè)介質(zhì)、通訊介質(zhì)電磁參量等應(yīng)該與智能建筑整體(局部)電磁環(huán)境相適應(yīng),不會(huì)產(chǎn)生相互干擾。
4.6探測(cè)技術(shù)的互補(bǔ)與協(xié)調(diào)性1)在同一空間或區(qū)域內(nèi),可采用兩種或以上探測(cè)介質(zhì)不同但探測(cè)區(qū)域重合的入侵探測(cè)(身份識(shí)別)技術(shù),減少漏報(bào)警的機(jī)會(huì)。2)對(duì)不同空間或區(qū)域配置的相同或不同探測(cè)裝置之間的異常信號(hào)實(shí)現(xiàn)統(tǒng)一管理與分析,提高報(bào)警準(zhǔn)確率。
4.7資源配置的節(jié)約性1)由于智能建筑內(nèi)分布大量的環(huán)境類探測(cè)器、傳感器,形成廣泛分布的傳輸通道,在保障“報(bào)警優(yōu)先”并確保可有效避免“通道阻塞”條件下,入侵探測(cè)裝置的輸出/遠(yuǎn)端控制宜盡可能利用智能建筑內(nèi)部配置的其他探測(cè)裝置的信號(hào)通道。2)門(mén)禁確認(rèn)進(jìn)入人員身份的識(shí)別信號(hào),可以提供給后續(xù)智能控制系統(tǒng),實(shí)現(xiàn)“具體房間室內(nèi)溫濕度、燈光色調(diào)/照度、音響內(nèi)容與響度、沐浴水溫”多參量的個(gè)性化調(diào)節(jié)等應(yīng)用環(huán)節(jié)。3)配置于室內(nèi)的攝像機(jī),可以同時(shí)用于入侵探測(cè)與火警探測(cè)兩種報(bào)警復(fù)核。可考慮具有“模糊的行為識(shí)別”與“高清的取證識(shí)別”兩種工作模式,以應(yīng)對(duì)不同風(fēng)險(xiǎn)等級(jí)或應(yīng)對(duì)不同級(jí)別隱私保護(hù)需求。4)環(huán)境類痕量化學(xué)傳感器與入侵探測(cè)功能交互。住戶個(gè)人生活習(xí)慣,如從吸煙或使用化妝品品牌的痕量分析作為身份識(shí)別,既可以根據(jù)習(xí)慣性化學(xué)痕量判斷對(duì)于住戶個(gè)人的個(gè)性化實(shí)施調(diào)節(jié);也可以將與習(xí)慣性品牌痕量分析不符合的分析結(jié)果,作為入侵(內(nèi)部人員非法進(jìn)入)報(bào)警參考條件。
4.8使用便利性入侵探測(cè)裝置的安裝、調(diào)試、維護(hù)、保養(yǎng)應(yīng)方便。家居型智能建筑應(yīng)用的入侵探測(cè)裝置最大程度提升DIY水平;在不能或不宜采用DIY方式安裝的場(chǎng)所,或入侵探測(cè)裝置本身的DIY程度要求不高的條件下,入侵探測(cè)裝置應(yīng)分別配置針對(duì)現(xiàn)場(chǎng)用戶和安全控制中心的故障提示方式。
4.9與風(fēng)險(xiǎn)等級(jí)對(duì)應(yīng)價(jià)格體系的合理性與可承受性1)性能/價(jià)格比是相應(yīng)用戶可以接受的(首先是性能,然后才是價(jià)格)。2)價(jià)格與產(chǎn)品風(fēng)險(xiǎn)等級(jí)對(duì)應(yīng),“優(yōu)質(zhì)優(yōu)價(jià)”。3)價(jià)格體系應(yīng)該給生產(chǎn)、銷售、安裝、調(diào)試、維保等環(huán)節(jié)留有相應(yīng)生存空間,最好還留有發(fā)展空間,杜絕惡性價(jià)格競(jìng)爭(zhēng)。
4.10入侵探測(cè)裝置使用年限的規(guī)定入侵探測(cè)裝置應(yīng)規(guī)定使用年限,以室內(nèi)不超過(guò)5年、室外不超過(guò)3年為宜。
4.11入侵探測(cè)裝置不適用條件的規(guī)定1)系統(tǒng)集成商在構(gòu)成系統(tǒng)過(guò)程中,在入侵探測(cè)裝置無(wú)法承受氣候時(shí),系統(tǒng)對(duì)入侵探測(cè)裝置予以“屏蔽”。2)用戶對(duì)于不同空間隱私性、不同時(shí)間準(zhǔn)入條件等具體應(yīng)用需求,明確規(guī)定不適用的入侵探測(cè)裝置或入侵探測(cè)系統(tǒng)相應(yīng)功能不適用的時(shí)間段。
篇(5)
在網(wǎng)絡(luò)技術(shù)日新月異的今天,寫(xiě)作論文基于網(wǎng)絡(luò)的計(jì)算機(jī)應(yīng)用已經(jīng)成為發(fā)展的主流。政府、教育、商業(yè)、金融等機(jī)構(gòu)紛紛聯(lián)入Internet,全社會(huì)信息共享已逐步成為現(xiàn)實(shí)。然而,近年來(lái),網(wǎng)上黑客的攻擊活動(dòng)正以每年10倍的速度增長(zhǎng)。因此,保證計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)以及整個(gè)信息基礎(chǔ)設(shè)施的安全已經(jīng)成為刻不容緩的重要課題。
1防火墻
目前防范網(wǎng)絡(luò)攻擊最常用的方法是構(gòu)建防火墻。
防火墻作為一種邊界安全的手段,在網(wǎng)絡(luò)安全保護(hù)中起著重要作用。其主要功能是控制對(duì)網(wǎng)絡(luò)的非法訪問(wèn),通過(guò)監(jiān)視、限制、更改通過(guò)網(wǎng)絡(luò)的數(shù)據(jù)流,一方面盡可能屏蔽內(nèi)部網(wǎng)的拓?fù)浣Y(jié)構(gòu),另一方面對(duì)內(nèi)屏蔽外部危險(xiǎn)站點(diǎn),以防范外對(duì)內(nèi)的非法訪問(wèn)。然而,防火墻存在明顯的局限性。
(1)入侵者可以找到防火墻背后可能敞開(kāi)的后門(mén)。如同深宅大院的高大院墻不能擋住老鼠的偷襲一樣,防火墻有時(shí)無(wú)法阻止入侵者的攻擊。
(2)防火墻不能阻止來(lái)自內(nèi)部的襲擊。調(diào)查發(fā)現(xiàn),50%的攻擊都將來(lái)自于網(wǎng)絡(luò)內(nèi)部。
(3)由于性能的限制,防火墻通常不能提供實(shí)時(shí)的入侵檢測(cè)能力。寫(xiě)作畢業(yè)論文而這一點(diǎn),對(duì)于層出不窮的網(wǎng)絡(luò)攻擊技術(shù)來(lái)說(shuō)是至關(guān)重要的。
因此,在Internet入口處部署防火墻系統(tǒng)是不能確保安全的。單純的防火墻策略已經(jīng)無(wú)法滿足對(duì)安全高度敏感部門(mén)的需要,網(wǎng)絡(luò)的防衛(wèi)必須采用一種縱深的、多樣化的手段。
由于傳統(tǒng)防火墻存在缺陷,引發(fā)了入侵檢測(cè)IDS(IntrusionDetectionSystem)的研究和開(kāi)發(fā)。入侵檢測(cè)是防火墻之后的第二道安全閘門(mén),是對(duì)防火墻的合理補(bǔ)充,在不影響網(wǎng)絡(luò)性能的情況下,通過(guò)對(duì)網(wǎng)絡(luò)的監(jiān)測(cè),幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊,擴(kuò)展系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)),提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性,提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。現(xiàn)在,入侵檢測(cè)已經(jīng)成為網(wǎng)絡(luò)安全中一個(gè)重要的研究方向,在各種不同的網(wǎng)絡(luò)環(huán)境中發(fā)揮重要作用。
2入侵檢測(cè)
2.1入侵檢測(cè)
入侵檢測(cè)是通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析,從中發(fā)現(xiàn)違反安全策略的行為和遭到攻擊的跡象,并做出自動(dòng)的響應(yīng)。其主要功能是對(duì)用戶和系統(tǒng)行為的監(jiān)測(cè)與分析、系統(tǒng)配置和漏洞的審計(jì)檢查、重要系統(tǒng)和數(shù)據(jù)文件的完整性評(píng)估、已知的攻擊行為模式的識(shí)別、異常行為模式的統(tǒng)計(jì)分析、操作系統(tǒng)的審計(jì)跟蹤管理及違反安全策略的用戶行為的識(shí)別。入侵檢測(cè)通過(guò)迅速地檢測(cè)入侵,在可能造成系統(tǒng)損壞或數(shù)據(jù)丟失之前,識(shí)別并驅(qū)除入侵者,使系統(tǒng)迅速恢復(fù)正常工作,并且阻止入侵者進(jìn)一步的行動(dòng)。同時(shí),收集有關(guān)入侵的技術(shù)資料,用于改進(jìn)和增強(qiáng)系統(tǒng)抵抗入侵的能力。
入侵檢測(cè)可分為基于主機(jī)型、基于網(wǎng)絡(luò)型、基于型三類。從20世紀(jì)90年代至今,寫(xiě)作英語(yǔ)論文已經(jīng)開(kāi)發(fā)出一些入侵檢測(cè)的產(chǎn)品,其中比較有代表性的產(chǎn)品有ISS(IntemetSecuritySystem)公司的Realsecure,NAI(NetworkAssociates,Inc)公司的Cybercop和Cisco公司的NetRanger。
2.2檢測(cè)技術(shù)
入侵檢測(cè)為網(wǎng)絡(luò)安全提供實(shí)時(shí)檢測(cè)及攻擊行為檢測(cè),并采取相應(yīng)的防護(hù)手段。例如,實(shí)時(shí)檢測(cè)通過(guò)記錄證據(jù)來(lái)進(jìn)行跟蹤、恢復(fù)、斷開(kāi)網(wǎng)絡(luò)連接等控制;攻擊行為檢測(cè)注重于發(fā)現(xiàn)信息系統(tǒng)中可能已經(jīng)通過(guò)身份檢查的形跡可疑者,進(jìn)一步加強(qiáng)信息系統(tǒng)的安全力度。入侵檢測(cè)的步驟如下:
收集系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為的信息
入侵檢測(cè)一般采用分布式結(jié)構(gòu),在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)(不同網(wǎng)段和不同主機(jī))收集信息,一方面擴(kuò)大檢測(cè)范圍,另一方面通過(guò)多個(gè)采集點(diǎn)的信息的比較來(lái)判斷是否存在可疑現(xiàn)象或發(fā)生入侵行為。
入侵檢測(cè)所利用的信息一般來(lái)自以下4個(gè)方面:系統(tǒng)和網(wǎng)絡(luò)日志文件、目錄和文件中的不期望的改變、程序執(zhí)行中的不期望行為、物理形式的入侵信息。
(2)根據(jù)收集到的信息進(jìn)行分析
常用的分析方法有模式匹配、統(tǒng)計(jì)分析、完整性分析。模式匹配是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫(kù)進(jìn)行比較,從而發(fā)現(xiàn)違背安全策略的行為。
統(tǒng)計(jì)分析方法首先給系統(tǒng)對(duì)象(如用戶、文件、目錄和設(shè)備等)創(chuàng)建一個(gè)統(tǒng)計(jì)描述,統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性。測(cè)量屬性的平均值將被用來(lái)與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較。當(dāng)觀察值超出正常值范圍時(shí),就有可能發(fā)生入侵行為。該方法的難點(diǎn)是閾值的選擇,閾值太小可能產(chǎn)生錯(cuò)誤的入侵報(bào)告,閾值太大可能漏報(bào)一些入侵事件。
完整性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓模ㄎ募湍夸浀膬?nèi)容及屬性。該方法能有效地防范特洛伊木馬的攻擊。
3分類及存在的問(wèn)題
入侵檢測(cè)通過(guò)對(duì)入侵和攻擊行為的檢測(cè),查出系統(tǒng)的入侵者或合法用戶對(duì)系統(tǒng)資源的濫用和誤用。寫(xiě)作工作總結(jié)根據(jù)不同的檢測(cè)方法,將入侵檢測(cè)分為異常入侵檢測(cè)(AnomalyDetection)和誤用人侵檢測(cè)(MisuseDetection)。
3.1異常檢測(cè)
又稱為基于行為的檢測(cè)。其基本前提是:假定所有的入侵行為都是異常的。首先建立系統(tǒng)或用戶的“正常”行為特征輪廓,通過(guò)比較當(dāng)前的系統(tǒng)或用戶的行為是否偏離正常的行為特征輪廓來(lái)判斷是否發(fā)生了入侵。此方法不依賴于是否表現(xiàn)出具體行為來(lái)進(jìn)行檢測(cè),是一種間接的方法。
常用的具體方法有:統(tǒng)計(jì)異常檢測(cè)方法、基于特征選擇異常檢測(cè)方法、基于貝葉斯推理異常檢測(cè)方法、基于貝葉斯網(wǎng)絡(luò)異常檢測(cè)方法、基于模式預(yù)測(cè)異常檢測(cè)方法、基于神經(jīng)網(wǎng)絡(luò)異常檢測(cè)方法、基于機(jī)器學(xué)習(xí)異常檢測(cè)方法、基于數(shù)據(jù)采掘異常檢測(cè)方法等。
采用異常檢測(cè)的關(guān)鍵問(wèn)題有如下兩個(gè)方面:
(1)特征量的選擇
在建立系統(tǒng)或用戶的行為特征輪廓的正常模型時(shí),選取的特征量既要能準(zhǔn)確地體現(xiàn)系統(tǒng)或用戶的行為特征,又能使模型最優(yōu)化,即以最少的特征量就能涵蓋系統(tǒng)或用戶的行為特征。
(2)參考閾值的選定
由于異常檢測(cè)是以正常的特征輪廓作為比較的參考基準(zhǔn),因此,參考閾值的選定是非常關(guān)鍵的。
閾值設(shè)定得過(guò)大,那漏警率會(huì)很高;閾值設(shè)定的過(guò)小,則虛警率就會(huì)提高。合適的參考閾值的選定是決定這一檢測(cè)方法準(zhǔn)確率的至關(guān)重要的因素。
由此可見(jiàn),異常檢測(cè)技術(shù)難點(diǎn)是“正常”行為特征輪廓的確定、特征量的選取、特征輪廓的更新。由于這幾個(gè)因素的制約,異常檢測(cè)的虛警率很高,但對(duì)于未知的入侵行為的檢測(cè)非常有效。此外,由于需要實(shí)時(shí)地建立和更新系統(tǒng)或用戶的特征輪廓,這樣所需的計(jì)算量很大,對(duì)系統(tǒng)的處理性能要求很高。
3.2誤用檢測(cè)
又稱為基于知識(shí)的檢測(cè)。其基本前提是:假定所有可能的入侵行為都能被識(shí)別和表示。首先,寫(xiě)作留學(xué)生論文對(duì)已知的攻擊方法進(jìn)行攻擊簽名(攻擊簽名是指用一種特定的方式來(lái)表示已知的攻擊模式)表示,然后根據(jù)已經(jīng)定義好的攻擊簽名,通過(guò)判斷這些攻擊簽名是否出現(xiàn)來(lái)判斷入侵行為的發(fā)生與否。這種方法是依據(jù)是否出現(xiàn)攻擊簽名來(lái)判斷入侵行為,是一種直接的方法。
常用的具體方法有:基于條件概率誤用入侵檢測(cè)方法、基于專家系統(tǒng)誤用入侵檢測(cè)方法、基于狀態(tài)遷移分析誤用入侵檢測(cè)方法、基于鍵盤(pán)監(jiān)控誤用入侵檢測(cè)方法、基于模型誤用入侵檢測(cè)方法。誤用檢測(cè)的關(guān)鍵問(wèn)題是攻擊簽名的正確表示。
誤用檢測(cè)是根據(jù)攻擊簽名來(lái)判斷入侵的,根據(jù)對(duì)已知的攻擊方法的了解,用特定的模式語(yǔ)言來(lái)表示這種攻擊,使得攻擊簽名能夠準(zhǔn)確地表示入侵行為及其所有可能的變種,同時(shí)又不會(huì)把非入侵行為包含進(jìn)來(lái)。由于多數(shù)入侵行為是利用系統(tǒng)的漏洞和應(yīng)用程序的缺陷,因此,通過(guò)分析攻擊過(guò)程的特征、條件、排列以及事件間的關(guān)系,就可具體描述入侵行為的跡象。這些跡象不僅對(duì)分析已經(jīng)發(fā)生的入侵行為有幫助,而且對(duì)即將發(fā)生的入侵也有預(yù)警作用。
誤用檢測(cè)將收集到的信息與已知的攻擊簽名模式庫(kù)進(jìn)行比較,從中發(fā)現(xiàn)違背安全策略的行為。由于只需要收集相關(guān)的數(shù)據(jù),這樣系統(tǒng)的負(fù)擔(dān)明顯減少。該方法類似于病毒檢測(cè)系統(tǒng),其檢測(cè)的準(zhǔn)確率和效率都比較高。但是它也存在一些缺點(diǎn)。
3.2.1不能檢測(cè)未知的入侵行為
由于其檢測(cè)機(jī)理是對(duì)已知的入侵方法進(jìn)行模式提取,對(duì)于未知的入侵方法就不能進(jìn)行有效的檢測(cè)。也就是說(shuō)漏警率比較高。
3.2.2與系統(tǒng)的相關(guān)性很強(qiáng)
對(duì)于不同實(shí)現(xiàn)機(jī)制的操作系統(tǒng),由于攻擊的方法不盡相同,很難定義出統(tǒng)一的模式庫(kù)。另外,誤用檢測(cè)技術(shù)也難以檢測(cè)出內(nèi)部人員的入侵行為。
目前,由于誤用檢測(cè)技術(shù)比較成熟,多數(shù)的商業(yè)產(chǎn)品都主要是基于誤用檢測(cè)模型的。不過(guò),為了增強(qiáng)檢測(cè)功能,不少產(chǎn)品也加入了異常檢測(cè)的方法。
4入侵檢測(cè)的發(fā)展方向
隨著信息系統(tǒng)對(duì)一個(gè)國(guó)家的社會(huì)生產(chǎn)與國(guó)民經(jīng)濟(jì)的影響越來(lái)越大,再加上網(wǎng)絡(luò)攻擊者的攻擊工具與手法日趨復(fù)雜化,信息戰(zhàn)已逐步被各個(gè)國(guó)家重視。近年來(lái),入侵檢測(cè)有如下幾個(gè)主要發(fā)展方向:
4.1分布式入侵檢測(cè)與通用入侵檢測(cè)架構(gòu)
傳統(tǒng)的IDS一般局限于單一的主機(jī)或網(wǎng)絡(luò)架構(gòu),對(duì)異構(gòu)系統(tǒng)及大規(guī)模的網(wǎng)絡(luò)的監(jiān)測(cè)明顯不足,再加上不同的IDS系統(tǒng)之間不能很好地協(xié)同工作。為解決這一問(wèn)題,需要采用分布式入侵檢測(cè)技術(shù)與通用入侵檢測(cè)架構(gòu)。
4.2應(yīng)用層入侵檢測(cè)
許多入侵的語(yǔ)義只有在應(yīng)用層才能理解,然而目前的IDS僅能檢測(cè)到諸如Web之類的通用協(xié)議,而不能處理LotusNotes、數(shù)據(jù)庫(kù)系統(tǒng)等其他的應(yīng)用系統(tǒng)。許多基于客戶/服務(wù)器結(jié)構(gòu)、中間件技術(shù)及對(duì)象技術(shù)的大型應(yīng)用,也需要應(yīng)用層的入侵檢測(cè)保護(hù)。
4.3智能的入侵檢測(cè)
入侵方法越來(lái)越多樣化與綜合化,盡管已經(jīng)有智能體、神經(jīng)網(wǎng)絡(luò)與遺傳算法在入侵檢測(cè)領(lǐng)域應(yīng)用研究,但是,這只是一些嘗試性的研究工作,需要對(duì)智能化的IDS加以進(jìn)一步的研究,以解決其自學(xué)習(xí)與自適應(yīng)能力。
4.4入侵檢測(cè)的評(píng)測(cè)方法
用戶需對(duì)眾多的IDS系統(tǒng)進(jìn)行評(píng)價(jià),評(píng)價(jià)指標(biāo)包括IDS檢測(cè)范圍、系統(tǒng)資源占用、IDS自身的可靠性,從而設(shè)計(jì)出通用的入侵檢測(cè)測(cè)試與評(píng)估方法與平臺(tái),實(shí)現(xiàn)對(duì)多種IDS的檢測(cè)。
4.5全面的安全防御方案
結(jié)合安全工程風(fēng)險(xiǎn)管理的思想與方法來(lái)處理網(wǎng)絡(luò)安全問(wèn)題,將網(wǎng)絡(luò)安全作為一個(gè)整體工程來(lái)處理。從管理、網(wǎng)絡(luò)結(jié)構(gòu)、加密通道、防火墻、病毒防護(hù)、入侵檢測(cè)多方位全面對(duì)所關(guān)注的網(wǎng)絡(luò)作全面的評(píng)估,然后提出可行的全面解決方案。
綜上所述,入侵檢測(cè)作為一種積極主動(dòng)的安全防護(hù)技術(shù),提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù),使網(wǎng)絡(luò)系統(tǒng)在受到危害之前即攔截和響應(yīng)入侵行為,為網(wǎng)絡(luò)安全增加一道屏障。隨著入侵檢測(cè)的研究與開(kāi)發(fā),并在實(shí)際應(yīng)用中與其它網(wǎng)絡(luò)管理軟件相結(jié)合,使網(wǎng)絡(luò)安全可以從立體縱深、多層次防御的角度出發(fā),形成人侵檢測(cè)、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)監(jiān)控三位一體化,從而更加有效地保護(hù)網(wǎng)絡(luò)的安全。
參考文獻(xiàn)
l吳新民.兩種典型的入侵檢測(cè)方法研究.計(jì)算機(jī)工程與應(yīng)用,2002;38(10):181—183
2羅妍,李仲麟,陳憲.入侵檢測(cè)系統(tǒng)模型的比較.計(jì)算機(jī)應(yīng)用,2001;21(6):29~31
3李渙洲.網(wǎng)絡(luò)安全與入侵檢測(cè)技術(shù).四川師范大學(xué)學(xué)報(bào).2001;24(3):426—428
篇(6)
關(guān)鍵詞:入侵檢測(cè)異常檢測(cè)誤用檢測(cè)
在網(wǎng)絡(luò)技術(shù)日新月異的今天,基于網(wǎng)絡(luò)的計(jì)算機(jī)應(yīng)用已經(jīng)成為發(fā)展的主流。政府、教育、商業(yè)、金融等機(jī)構(gòu)紛紛聯(lián)入Internet,全社會(huì)信息共享已逐步成為現(xiàn)實(shí)。然而,近年來(lái),網(wǎng)上黑客的攻擊活動(dòng)正以每年10倍的速度增長(zhǎng)。因此,保證計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)以及整個(gè)信息基礎(chǔ)設(shè)施的安全已經(jīng)成為刻不容緩的重要課題。
1 防火墻
目前防范網(wǎng)絡(luò)攻擊最常用的方法是構(gòu)建防火墻。
防火墻作為一種邊界安全的手段,在網(wǎng)絡(luò)安全保護(hù)中起著重要作用。其主要功能是控制對(duì)網(wǎng)絡(luò)的非法訪問(wèn),通過(guò)監(jiān)視、限制、更改通過(guò)網(wǎng)絡(luò)的數(shù)據(jù)流,一方面盡可能屏蔽內(nèi)部網(wǎng)的拓?fù)浣Y(jié)構(gòu),另一方面對(duì)內(nèi)屏蔽外部危險(xiǎn)站點(diǎn),以防范外對(duì)內(nèi)的非法訪問(wèn)。然而,防火墻存在明顯的局限性。
(1)入侵者可以找到防火墻背后可能敞開(kāi)的后門(mén)。如同深宅大院的高大院墻不能擋住老鼠的偷襲一樣,防火墻有時(shí)無(wú)法阻止入侵者的攻擊。
(2)防火墻不能阻止來(lái)自內(nèi)部的襲擊。調(diào)查發(fā)現(xiàn),50%的攻擊都將來(lái)自于網(wǎng)絡(luò)內(nèi)部。
(3)由于性能的限制,防火墻通常不能提供實(shí)時(shí)的入侵檢測(cè)能力。畢業(yè)論文 而這一點(diǎn),對(duì)于層出不窮的網(wǎng)絡(luò)攻擊技術(shù)來(lái)說(shuō)是至關(guān)重要的。
因此,在Internet入口處部署防火墻系統(tǒng)是不能確保安全的。單純的防火墻策略已經(jīng)無(wú)法滿足對(duì)安全高度敏感部門(mén)的需要,網(wǎng)絡(luò)的防衛(wèi)必須采用一種縱深的、多樣化的手段。
由于傳統(tǒng)防火墻存在缺陷,引發(fā)了入侵檢測(cè)IDS(Intrusion Detection System)的研究和開(kāi)發(fā)。入侵檢測(cè)是防火墻之后的第二道安全閘門(mén),是對(duì)防火墻的合理補(bǔ)充,在不影響網(wǎng)絡(luò)性能的情況下,通過(guò)對(duì)網(wǎng)絡(luò)的監(jiān)測(cè),幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊,擴(kuò)展系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)),提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性,提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。現(xiàn)在,入侵檢測(cè)已經(jīng)成為網(wǎng)絡(luò)安全中一個(gè)重要的研究方向,在各種不同的網(wǎng)絡(luò)環(huán)境中發(fā)揮重要作用。
2 入侵檢測(cè)
2.1 入侵檢測(cè)
入侵檢測(cè)是通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析,從中發(fā)現(xiàn)違反安全策略的行為和遭到攻擊的跡象,并做出自動(dòng)的響應(yīng)。其主要功能是對(duì)用戶和系統(tǒng)行為的監(jiān)測(cè)與分析、系統(tǒng)配置和漏洞的審計(jì)檢查、重要系統(tǒng)和數(shù)據(jù)文件的完整性評(píng)估、已知的攻擊行為模式的識(shí)別、異常行為模式的統(tǒng)計(jì)分析、操作系統(tǒng)的審計(jì)跟蹤管理及違反安全策略的用戶行為的識(shí)別。入侵檢測(cè)通過(guò)迅速地檢測(cè)入侵,在可能造成系統(tǒng)損壞或數(shù)據(jù)丟失之前,識(shí)別并驅(qū)除入侵者,使系統(tǒng)迅速恢復(fù)正常工作,并且阻止入侵者進(jìn)一步的行動(dòng)。同時(shí),收集有關(guān)入侵的技術(shù)資料,用于改進(jìn)和增強(qiáng)系統(tǒng)抵抗入侵的能力。
入侵檢測(cè)可分為基于主機(jī)型、基于網(wǎng)絡(luò)型、基于型三類。從20世紀(jì)90年代至今,英語(yǔ)論文 已經(jīng)開(kāi)發(fā)出一些入侵檢測(cè)的產(chǎn)品,其中比較有代表性的產(chǎn)品有ISS(Intemet Security System)公司的Realsecure,NAI(Network Associates,Inc)公司的Cybercop和Cisco公司的NetRanger。
2.2 檢測(cè)技術(shù)
入侵檢測(cè)為網(wǎng)絡(luò)安全提供實(shí)時(shí)檢測(cè)及攻擊行為檢測(cè),并采取相應(yīng)的防護(hù)手段。例如,實(shí)時(shí)檢測(cè)通過(guò)記錄證據(jù)來(lái)進(jìn)行跟蹤、恢復(fù)、斷開(kāi)網(wǎng)絡(luò)連接等控制;攻擊行為檢測(cè)注重于發(fā)現(xiàn)信息系統(tǒng)中可能已經(jīng)通過(guò)身份檢查的形跡可疑者,進(jìn)一步加強(qiáng)信息系統(tǒng)的安全力度。入侵檢測(cè)的步驟如下:
收集系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為的信息
入侵檢測(cè)一般采用分布式結(jié)構(gòu),在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)(不同網(wǎng)段和不同主機(jī))收集信息,一方面擴(kuò)大檢測(cè)范圍,另一方面通過(guò)多個(gè)采集點(diǎn)的信息的比較來(lái)判斷是否存在可疑現(xiàn)象或發(fā)生入侵行為。
入侵檢測(cè)所利用的信息一般來(lái)自以下4個(gè)方面:系統(tǒng)和網(wǎng)絡(luò)日志文件、目錄和文件中的不期望的改變、程序執(zhí)行中的不期望行為、物理形式的入侵信息。
(2)根據(jù)收集到的信息進(jìn)行分析
常用的分析方法有模式匹配、統(tǒng)計(jì)分析、完整性分析。模式匹配是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫(kù)進(jìn)行比較,從而發(fā)現(xiàn)違背安全策略的行為。
統(tǒng)計(jì)分析方法首先給系統(tǒng)對(duì)象(如用戶、文件、目錄和設(shè)備等)創(chuàng)建一個(gè)統(tǒng)計(jì)描述,統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性。測(cè)量屬性的平均值將被用來(lái)與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較。當(dāng)觀察值超出正常值范圍時(shí),就有可能發(fā)生入侵行為。該方法的難點(diǎn)是閾值的選擇,閾值太小可能產(chǎn)生錯(cuò)誤的入侵報(bào)告,閾值太大可能漏報(bào)一些入侵事件。
完整性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓模ㄎ募湍夸浀膬?nèi)容及屬性。該方法能有效地防范特洛伊木馬的攻擊。
3 分類及存在的問(wèn)題
入侵檢測(cè)通過(guò)對(duì)入侵和攻擊行為的檢測(cè),查出系統(tǒng)的入侵者或合法用戶對(duì)系統(tǒng)資源的濫用和誤用。工作總結(jié) 根據(jù)不同的檢測(cè)方法,將入侵檢測(cè)分為異常入侵檢測(cè)(Anomaly Detection)和誤用人侵檢測(cè)(Misuse Detection)。
3.1 異常檢測(cè)
又稱為基于行為的檢測(cè)。其基本前提是:假定所有的入侵行為都是異常的。首先建立系統(tǒng)或用戶的“正常”行為特征輪廓,通過(guò)比較當(dāng)前的系統(tǒng)或用戶的行為是否偏離正常的行為特征輪廓來(lái)判斷是否發(fā)生了入侵。此方法不依賴于是否表現(xiàn)出具體行為來(lái)進(jìn)行檢測(cè),是一種間接的方法。
常用的具體方法有:統(tǒng)計(jì)異常檢測(cè)方法、基于特征選擇異常檢測(cè)方法、基于貝葉斯推理異常檢測(cè)方法、基于貝葉斯網(wǎng)絡(luò)異常檢測(cè)方法、基于模式預(yù)測(cè)異常檢測(cè)方法、基于神經(jīng)網(wǎng)絡(luò)異常檢測(cè)方法、基于機(jī)器學(xué)習(xí)異常檢測(cè)方法、基于數(shù)據(jù)采掘異常檢測(cè)方法等。
采用異常檢測(cè)的關(guān)鍵問(wèn)題有如下兩個(gè)方面:
(1)特征量的選擇
在建立系統(tǒng)或用戶的行為特征輪廓的正常模型時(shí),選取的特征量既要能準(zhǔn)確地體現(xiàn)系統(tǒng)或用戶的行為特征,又能使模型最優(yōu)化,即以最少的特征量就能涵蓋系統(tǒng)或用戶的行為特征。(2)參考閾值的選定
由于異常檢測(cè)是以正常的特征輪廓作為比較的參考基準(zhǔn),因此,參考閾值的選定是非常關(guān)鍵的。
閾值設(shè)定得過(guò)大,那漏警率會(huì)很高;閾值設(shè)定的過(guò)小,則虛警率就會(huì)提高。合適的參考閾值的選定是決定這一檢測(cè)方法準(zhǔn)確率的至關(guān)重要的因素。
篇(7)
在網(wǎng)絡(luò)技術(shù)日新月異的今天,基于網(wǎng)絡(luò)的計(jì)算機(jī)應(yīng)用已經(jīng)成為發(fā)展的主流。政府、教育、商業(yè)、金融等機(jī)構(gòu)紛紛聯(lián)入Internet,全社會(huì)信息共享已逐步成為現(xiàn)實(shí)。然而,近年來(lái),網(wǎng)上黑客的攻擊活動(dòng)正以每年10倍的速度增長(zhǎng)。因此,保證計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)以及整個(gè)信息基礎(chǔ)設(shè)施的安全已經(jīng)成為刻不容緩的重要課題。
1 防火墻
目前防范網(wǎng)絡(luò)攻擊最常用的方法是構(gòu)建防火墻。
防火墻作為一種邊界安全的手段,在網(wǎng)絡(luò)安全保護(hù)中起著重要作用。其主要功能是控制對(duì)網(wǎng)絡(luò)的非法訪問(wèn),通過(guò)監(jiān)視、限制、更改通過(guò)網(wǎng)絡(luò)的數(shù)據(jù)流,一方面盡可能屏蔽內(nèi)部網(wǎng)的拓?fù)浣Y(jié)構(gòu),另一方面對(duì)內(nèi)屏蔽外部危險(xiǎn)站點(diǎn),以防范外對(duì)內(nèi)的非法訪問(wèn)。然而,防火墻存在明顯的局限性。
(1)入侵者可以找到防火墻背后可能敞開(kāi)的后門(mén)。如同深宅大院的高大院墻不能擋住老鼠的偷襲一樣,防火墻有時(shí)無(wú)法阻止入侵者的攻擊。
(2)防火墻不能阻止來(lái)自內(nèi)部的襲擊。調(diào)查發(fā)現(xiàn),50%的攻擊都將來(lái)自于網(wǎng)絡(luò)內(nèi)部。
(3)由于性能的限制,防火墻通常不能提供實(shí)時(shí)的入侵檢測(cè)能力。畢業(yè)論文 而這一點(diǎn),對(duì)于層出不窮的網(wǎng)絡(luò)攻擊技術(shù)來(lái)說(shuō)是至關(guān)重要的。
因此,在Internet入口處部署防火墻系統(tǒng)是不能確保安全的。單純的防火墻策略已經(jīng)無(wú)法滿足對(duì)安全高度敏感部門(mén)的需要,網(wǎng)絡(luò)的防衛(wèi)必須采用一種縱深的、多樣化的手段。
由于傳統(tǒng)防火墻存在缺陷,引發(fā)了入侵檢測(cè)IDS(Intrusion Detection System)的研究和開(kāi)發(fā)。入侵檢測(cè)是防火墻之后的第二道安全閘門(mén),是對(duì)防火墻的合理補(bǔ)充,在不影響網(wǎng)絡(luò)性能的情況下,通過(guò)對(duì)網(wǎng)絡(luò)的監(jiān)測(cè),幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊,擴(kuò)展系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)),提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性,提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。現(xiàn)在,入侵檢測(cè)已經(jīng)成為網(wǎng)絡(luò)安全中一個(gè)重要的研究方向,在各種不同的網(wǎng)絡(luò)環(huán)境中發(fā)揮重要作用。
2 入侵檢測(cè)
2.1 入侵檢測(cè)
入侵檢測(cè)是通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析,從中發(fā)現(xiàn)違反安全策略的行為和遭到攻擊的跡象,并做出自動(dòng)的響應(yīng)。其主要功能是對(duì)用戶和系統(tǒng)行為的監(jiān)測(cè)與分析、系統(tǒng)配置和漏洞的審計(jì)檢查、重要系統(tǒng)和數(shù)據(jù)文件的完整性評(píng)估、已知的攻擊行為模式的識(shí)別、異常行為模式的統(tǒng)計(jì)分析、操作系統(tǒng)的審計(jì)跟蹤管理及違反安全策略的用戶行為的識(shí)別。入侵檢測(cè)通過(guò)迅速地檢測(cè)入侵,在可能造成系統(tǒng)損壞或數(shù)據(jù)丟失之前,識(shí)別并驅(qū)除入侵者,使系統(tǒng)迅速恢復(fù)正常工作,并且阻止入侵者進(jìn)一步的行動(dòng)。同時(shí),收集有關(guān)入侵的技術(shù)資料,用于改進(jìn)和增強(qiáng)系統(tǒng)抵抗入侵的能力。
入侵檢測(cè)可分為基于主機(jī)型、基于網(wǎng)絡(luò)型、基于型三類。從20世紀(jì)90年代至今,英語(yǔ)論文 已經(jīng)開(kāi)發(fā)出一些入侵檢測(cè)的產(chǎn)品,其中比較有代表性的產(chǎn)品有ISS(Intemet Security System)公司的Realsecure,NAI(Network Associates,Inc)公司的Cybercop和Cisco公司的NetRanger。
2.2 檢測(cè)技術(shù)
入侵檢測(cè)為網(wǎng)絡(luò)安全提供實(shí)時(shí)檢測(cè)及攻擊行為檢測(cè),并采取相應(yīng)的防護(hù)手段。例如,實(shí)時(shí)檢測(cè)通過(guò)記錄證據(jù)來(lái)進(jìn)行跟蹤、恢復(fù)、斷開(kāi)網(wǎng)絡(luò)連接等控制;攻擊行為檢測(cè)注重于發(fā)現(xiàn)信息系統(tǒng)中可能已經(jīng)通過(guò)身份檢查的形跡可疑者,進(jìn)一步加強(qiáng)信息系統(tǒng)的安全力度。入侵檢測(cè)的步驟如下:
收集系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為的信息
入侵檢測(cè)一般采用分布式結(jié)構(gòu),在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)(不同網(wǎng)段和不同主機(jī))收集信息,一方面擴(kuò)大檢測(cè)范圍,另一方面通過(guò)多個(gè)采集點(diǎn)的信息的比較來(lái)判斷是否存在可疑現(xiàn)象或發(fā)生入侵行為。
入侵檢測(cè)所利用的信息一般來(lái)自以下4個(gè)方面:系統(tǒng)和網(wǎng)絡(luò)日志文件、目錄和文件中的不期望的改變、程序執(zhí)行中的不期望行為、物理形式的入侵信息。
(2)根據(jù)收集到的信息進(jìn)行分析
常用的分析方法有模式匹配、統(tǒng)計(jì)分析、完整性分析。模式匹配是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫(kù)進(jìn)行比較,從而發(fā)現(xiàn)違背安全策略的行為。
統(tǒng)計(jì)分析方法首先給系統(tǒng)對(duì)象(如用戶、文件、目錄和設(shè)備等)創(chuàng)建一個(gè)統(tǒng)計(jì)描述,統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性。測(cè)量屬性的平均值將被用來(lái)與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較。當(dāng)觀察值超出正常值范圍時(shí),就有可能發(fā)生入侵行為。該方法的難點(diǎn)是閾值的選擇,閾值太小可能產(chǎn)生錯(cuò)誤的入侵報(bào)告,閾值太大可能漏報(bào)一些入侵事件。
完整性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓模ㄎ募湍夸浀膬?nèi)容及屬性。該方法能有效地防范特洛伊木馬的攻擊。
3 分類及存在的問(wèn)題
入侵檢測(cè)通過(guò)對(duì)入侵和攻擊行為的檢測(cè),查出系統(tǒng)的入侵者或合法用戶對(duì)系統(tǒng)資源的濫用和誤用。工作總結(jié) 根據(jù)不同的檢測(cè)方法,將入侵檢測(cè)分為異常入侵檢測(cè)(Anomaly Detection)和誤用人侵檢測(cè)(Misuse Detection)。
3.1 異常檢測(cè)
又稱為基于行為的檢測(cè)。其基本前提是:假定所有的入侵行為都是異常的。首先建立系統(tǒng)或用戶的“正常”行為特征輪廓,通過(guò)比較當(dāng)前的系統(tǒng)或用戶的行為是否偏離正常的行為特征輪廓來(lái)判斷是否發(fā)生了入侵。此方法不依賴于是否表現(xiàn)出具體行為來(lái)進(jìn)行檢測(cè),是一種間接的方法。
常用的具體方法有:統(tǒng)計(jì)異常檢測(cè)方法、基于特征選擇異常檢測(cè)方法、基于貝葉斯推理異常檢測(cè)方法、基于貝葉斯網(wǎng)絡(luò)異常檢測(cè)方法、基于模式預(yù)測(cè)異常檢測(cè)方法、基于神經(jīng)網(wǎng)絡(luò)異常檢測(cè)方法、基于機(jī)器學(xué)習(xí)異常檢測(cè)方法、基于數(shù)據(jù)采掘異常檢測(cè)方法等。
采用異常檢測(cè)的關(guān)鍵問(wèn)題有如下兩個(gè)方面:
(1)特征量的選擇
在建立系統(tǒng)或用戶的行為特征輪廓的正常模型時(shí),選取的特征量既要能準(zhǔn)確地體現(xiàn)系統(tǒng)或用戶的行為特征,又能使模型最優(yōu)化,即以最少的特征量就能涵蓋系統(tǒng)或用戶的行為特征。
(2)參考閾值的選定
由于異常檢測(cè)是以正常的特征輪廓作為比較的參考基準(zhǔn),因此,參考閾值的選定是非常關(guān)鍵的。
閾值設(shè)定得過(guò)大,那漏警率會(huì)很高;閾值設(shè)定的過(guò)小,則虛警率就會(huì)提高。合適的參考閾值的選定是決定這一檢測(cè)方法準(zhǔn)確率的至關(guān)重要的因素。
由此可見(jiàn),異常檢測(cè)技術(shù)難點(diǎn)是“正常”行為特征輪廓的確定、特征量的選取、特征輪廓的更新。由于這幾個(gè)因素的制約,異常檢測(cè)的虛警率很高,但對(duì)于未知的入侵行為的檢測(cè)非常有效。此外,由于需要實(shí)時(shí)地建立和更新系統(tǒng)或用戶的特征輪廓,這樣所需的計(jì)算量很大,對(duì)系統(tǒng)的處理性能要求很高。
3.2 誤用檢測(cè)
又稱為基于知識(shí)的檢測(cè)。其基本前提是:假定所有可能的入侵行為都能被識(shí)別和表示。首先,留學(xué)生論文 對(duì)已知的攻擊方法進(jìn)行攻擊簽名(攻擊簽名是指用一種特定的方式來(lái)表示已知的攻擊模式)表示,然后根據(jù)已經(jīng)定義好的攻擊簽名,通過(guò)判斷這些攻擊簽名是否出現(xiàn)來(lái)判斷入侵行為的發(fā)生與否。這種方法是依據(jù)是否出現(xiàn)攻擊簽名來(lái)判斷入侵行為,是一種直接的方法。
常用的具體方法有:基于條件概率誤用入侵檢測(cè)方法、基于專家系統(tǒng)誤用入侵檢測(cè)方法、基于狀態(tài)遷移分析誤用入侵檢測(cè)方法、基于鍵盤(pán)監(jiān)控誤用入侵檢測(cè)方法、基于模型誤用入侵檢測(cè)方法。誤用檢測(cè)的關(guān)鍵問(wèn)題是攻擊簽名的正確表示。
誤用檢測(cè)是根據(jù)攻擊簽名來(lái)判斷入侵的,根據(jù)對(duì)已知的攻擊方法的了解,用特定的模式語(yǔ)言來(lái)表示這種攻擊,使得攻擊簽名能夠準(zhǔn)確地表示入侵行為及其所有可能的變種,同時(shí)又不會(huì)把非入侵行為包含進(jìn)來(lái)。由于多數(shù)入侵行為是利用系統(tǒng)的漏洞和應(yīng)用程序的缺陷,因此,通過(guò)分析攻擊過(guò)程的特征、條件、排列以及事件間的關(guān)系,就可具體描述入侵行為的跡象。這些跡象不僅對(duì)分析已經(jīng)發(fā)生的入侵行為有幫助,而且對(duì)即將發(fā)生的入侵也有預(yù)警作用。
誤用檢測(cè)將收集到的信息與已知的攻擊簽名模式庫(kù)進(jìn)行比較,從中發(fā)現(xiàn)違背安全策略的行為。由于只需要收集相關(guān)的數(shù)據(jù),這樣系統(tǒng)的負(fù)擔(dān)明顯減少。該方法類似于病毒檢測(cè)系統(tǒng),其檢測(cè)的準(zhǔn)確率和效率都比較高。但是它也存在一些缺點(diǎn)。
3.2.1 不能檢測(cè)未知的入侵行為
由于其檢測(cè)機(jī)理是對(duì)已知的入侵方法進(jìn)行模式提取,對(duì)于未知的入侵方法就不能進(jìn)行有效的檢測(cè)。也就是說(shuō)漏警率比較高。
3.2.2 與系統(tǒng)的相關(guān)性很強(qiáng)
對(duì)于不同實(shí)現(xiàn)機(jī)制的操作系統(tǒng),由于攻擊的方法不盡相同,很難定義出統(tǒng)一的模式庫(kù)。另外,誤用檢測(cè)技術(shù)也難以檢測(cè)出內(nèi)部人員的入侵行為。
目前,由于誤用檢測(cè)技術(shù)比較成熟,多數(shù)的商業(yè)產(chǎn)品都主要是基于誤用檢測(cè)模型的。不過(guò),為了增強(qiáng)檢測(cè)功能,不少產(chǎn)品也加入了異常檢測(cè)的方法。
4 入侵檢測(cè)的發(fā)展方向
隨著信息系統(tǒng)對(duì)一個(gè)國(guó)家的社會(huì)生產(chǎn)與國(guó)民經(jīng)濟(jì)的影響越來(lái)越大,再加上網(wǎng)絡(luò)攻擊者的攻擊工具與手法日趨復(fù)雜化,信息戰(zhàn)已逐步被各個(gè)國(guó)家重視。近年來(lái),入侵檢測(cè)有如下幾個(gè)主要發(fā)展方向:
4.1 分布式入侵檢測(cè)與通用入侵檢測(cè)架構(gòu)
傳統(tǒng)的IDS一般局限于單一的主機(jī)或網(wǎng)絡(luò)架構(gòu),對(duì)異構(gòu)系統(tǒng)及大規(guī)模的網(wǎng)絡(luò)的監(jiān)測(cè)明顯不足,再加上不同的IDS系統(tǒng)之間不能很好地協(xié)同工作。為解決這一問(wèn)題,需要采用分布式入侵檢測(cè)技術(shù)與通用入侵檢測(cè)架構(gòu)。
4.2應(yīng)用層入侵檢測(cè)
許多入侵的語(yǔ)義只有在應(yīng)用層才能理解,然而目前的IDS僅能檢測(cè)到諸如Web之類的通用協(xié)議,而不能處理Lotus Notes、數(shù)據(jù)庫(kù)系統(tǒng)等其他的應(yīng)用系統(tǒng)。許多基于客戶/服務(wù)器結(jié)構(gòu)、中間件技術(shù)及對(duì)象技術(shù)的大型應(yīng)用,也需要應(yīng)用層的入侵檢測(cè)保護(hù)。
4.3 智能的入侵檢測(cè)
入侵方法越來(lái)越多樣化與綜合化,盡管已經(jīng)有智能體、神經(jīng)網(wǎng)絡(luò)與遺傳算法在入侵檢測(cè)領(lǐng)域應(yīng)用研究,但是,這只是一些嘗試性的研究工作,需要對(duì)智能化的IDS加以進(jìn)一步的研究,以解決其自學(xué)習(xí)與自適應(yīng)能力。
4.4 入侵檢測(cè)的評(píng)測(cè)方法
用戶需對(duì)眾多的IDS系統(tǒng)進(jìn)行評(píng)價(jià),評(píng)價(jià)指標(biāo)包括IDS檢測(cè)范圍、系統(tǒng)資源占用、IDS自身的可靠性,從而設(shè)計(jì)出通用的入侵檢測(cè)測(cè)試與評(píng)估方法與平臺(tái),實(shí)現(xiàn)對(duì)多種IDS的檢測(cè)。
4.5 全面的安全防御方案
結(jié)合安全工程風(fēng)險(xiǎn)管理的思想與方法來(lái)處理網(wǎng)絡(luò)安全問(wèn)題,將網(wǎng)絡(luò)安全作為一個(gè)整體工程來(lái)處理。從管理、網(wǎng)絡(luò)結(jié)構(gòu)、加密通道、防火墻、病毒防護(hù)、入侵檢測(cè)多方位全面對(duì)所關(guān)注的網(wǎng)絡(luò)作全面的評(píng)估,然后提出可行的全面解決方案。
綜上所述,入侵檢測(cè)作為一種積極主動(dòng)的安全防護(hù)技術(shù),提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù),使網(wǎng)絡(luò)系統(tǒng)在受到危害之前即攔截和響應(yīng)入侵行為,為網(wǎng)絡(luò)安全增加一道屏障。隨著入侵檢測(cè)的研究與開(kāi)發(fā),并在實(shí)際應(yīng)用中與其它網(wǎng)絡(luò)管理軟件相結(jié)合,使網(wǎng)絡(luò)安全可以從立體縱深、多層次防御的角度出發(fā),形成人侵檢測(cè)、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)監(jiān)控三位一體化,從而更加有效地保護(hù)網(wǎng)絡(luò)的安全。
參考文獻(xiàn)
l 吳新民.兩種典型的入侵檢測(cè)方法研究.計(jì)算機(jī)工程與應(yīng)用,2002;38(10):181—183
2 羅妍,李仲麟,陳憲.入侵檢測(cè)系統(tǒng)模型的比較.計(jì)算機(jī)應(yīng)用,2001;21(6):29~31
3 李渙洲.網(wǎng)絡(luò)安全與入侵檢測(cè)技術(shù).四川師范大學(xué)學(xué)報(bào).2001;24(3):426—428
篇(8)
中圖分類號(hào):TN915.08 文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1007-9599 (2010) 04-0000-02
Application of Intrusion&Deceit Technique in Network Security
Chen Yongxiang Li Junya
(Jiyuan Vocational&Technical College,Jiyuan454650,Chian)
Abstract:At present,Intrusion Deception technology is the development of network security in recent years, an important branch, the paper generated from the intrusion deception techniques to start a brief description of its development, while popular Honeypot conducted in-depth research, mainly related to the classification of Honeypot, Honeypot advantages and disadvantages, Honeypot design principles and methods, the final will be a simple Honeypot application to specific network.
Key words:Intrusion and deceit technology;Honeypot;Network Security
近年來(lái)計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展異常迅猛,各行各業(yè)對(duì)網(wǎng)絡(luò)的依賴已越發(fā)嚴(yán)重。這一方面提高了信息的高速流動(dòng),但另一方面卻帶來(lái)了極大的隱患。由于網(wǎng)絡(luò)的開(kāi)放性、計(jì)算機(jī)系統(tǒng)設(shè)計(jì)的非安全性導(dǎo)致網(wǎng)絡(luò)受到大量的攻擊。如何提高網(wǎng)絡(luò)的自我防護(hù)能力是目前研究的一個(gè)熱點(diǎn)。論文通過(guò)引入入侵誘騙技術(shù),設(shè)計(jì)了一個(gè)高效的網(wǎng)絡(luò)防護(hù)系統(tǒng)。
一、入侵誘騙技術(shù)簡(jiǎn)介
通過(guò)多年的研究表明,網(wǎng)絡(luò)安全存在的最大問(wèn)題就是目前采用的被動(dòng)防護(hù)方式,該方式只能被動(dòng)的應(yīng)對(duì)攻擊,缺乏主動(dòng)防護(hù)的功能。為應(yīng)對(duì)這一問(wèn)題,就提出了入侵誘騙技術(shù)。該技術(shù)是對(duì)被動(dòng)防護(hù)的擴(kuò)展,通過(guò)積極的進(jìn)行入侵檢測(cè),并實(shí)時(shí)的將可疑目標(biāo)引向自身,導(dǎo)致攻擊失效,從而有效的保護(hù)目標(biāo)。
上個(gè)世紀(jì)80年代末期由stoll首先提出該思想,到上世紀(jì)90年代初期由Bill Cheswish進(jìn)一步豐富了該思想。他通過(guò)在空閑的端口上設(shè)置一些用于吸引入侵者的偽造服務(wù)來(lái)獲取入侵者的信息,從而研究入侵者的規(guī)律。到1996年Fred Cohen 提出將防火墻技術(shù)應(yīng)用于入侵誘騙技術(shù)中,實(shí)現(xiàn)消除入侵資源。為進(jìn)一步吸引入侵目標(biāo),在研究中提出了引誘其攻擊自身的特殊目標(biāo)“Honeypot”。研究者通過(guò)對(duì)Honeypot中目標(biāo)的觀察,可清晰的了解入侵的方法以及自身系統(tǒng)的漏洞,從而提升系統(tǒng)的安全防護(hù)水平。
二、Honeypot的研究
在這個(gè)入侵誘騙技術(shù)中,Honeypot的設(shè)計(jì)是關(guān)鍵。按交互級(jí)別,可對(duì)Honeypot進(jìn)行分類:低交互度Honeypot、中交互度Honeypot和高交互度Honeypot。低交互度Honeypot由于簡(jiǎn)單的設(shè)計(jì)和基本的功能,低交互度的honeypot通常是最容易安裝、部署和維護(hù)的。在該系統(tǒng)中,由于沒(méi)有真正的操作系統(tǒng)可供攻擊者遠(yuǎn)程登錄,操作系統(tǒng)所帶來(lái)的復(fù)雜性被削弱了,所以它所帶來(lái)的風(fēng)險(xiǎn)是最小的。但也讓我們無(wú)法觀察一個(gè)攻擊者與系統(tǒng)交互信息的整個(gè)過(guò)程。它主要用于檢測(cè)。通過(guò)中交互度Honeypot可以獲得更多有用的信息,同時(shí)能做出響應(yīng),是仍然沒(méi)有為攻擊者提供一個(gè)可使用的操作系統(tǒng)。部署和維護(hù)中交互度的Honeypot是一個(gè)更為復(fù)雜的過(guò)程。高交互度Honeypot的主要特點(diǎn)是提供了一個(gè)真實(shí)的操作系統(tǒng)。該系統(tǒng)能夠收集更多的信息、吸引更多的入侵行為。
當(dāng)然Honeypot也存在著一些缺點(diǎn):需要較多的時(shí)間和精力投入。Honeypot技術(shù)只能對(duì)針對(duì)其攻擊行為進(jìn)行監(jiān)視和分析,其視野較為有限,不像入俊檢側(cè)系統(tǒng)能夠通過(guò)旁路偵聽(tīng)等技術(shù)對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行監(jiān)控。Honeypot技術(shù)不能直接防護(hù)有漏洞的信息系統(tǒng)。部署Honeypot會(huì)帶來(lái)一定的安全風(fēng)險(xiǎn)。
構(gòu)建一個(gè)有用的Honeypot是一個(gè)十分復(fù)雜的過(guò)程,主要涉及到Honeypot的偽裝、采集信息、風(fēng)險(xiǎn)控制、數(shù)據(jù)分析。其中,Honeypot的偽裝就是將一個(gè)Honeypot通過(guò)一定的措施構(gòu)造成一個(gè)十分逼真的環(huán)境,以吸引入侵者。但Honeypot偽裝的難度是既不能暴露太多的信息又不能讓入侵者產(chǎn)生懷疑。最初采用的是偽造服務(wù),目前主要采用通過(guò)修改的真實(shí)系統(tǒng)來(lái)充當(dāng)。Honeypot的主要功能之一就是獲取入侵者的信息,通常是采用網(wǎng)絡(luò)sniffer或IDS來(lái)記錄網(wǎng)絡(luò)包從而達(dá)到記錄信息的目的。雖然Honeypot可以獲取入侵者的信息,并能有效的防護(hù)目標(biāo),但Honeypot也給系統(tǒng)帶來(lái)了隱患,如何控制這些潛在的風(fēng)險(xiǎn)十分關(guān)鍵。Honeypot的最后一個(gè)過(guò)程就是對(duì)采用數(shù)據(jù)的分析。通過(guò)分析就能獲得需要的相關(guān)入侵者規(guī)律的信息。
對(duì)于設(shè)計(jì)Honeypot,主要有三個(gè)步驟:首先,必須確定自己Honeypot的目標(biāo)。因?yàn)镠oneypot并不能完全代替?zhèn)鹘y(tǒng)的網(wǎng)絡(luò)安全機(jī)制,它只是網(wǎng)絡(luò)安全的補(bǔ)充,所以必須根據(jù)自己的目標(biāo)定位Honeypot。通常Honeypot可定位于阻止入侵、檢測(cè)入侵等多個(gè)方面。其次,必須確定自己Honeypot的設(shè)計(jì)原則。在這里不僅要確定Honeypot的級(jí)別還有確定平臺(tái)的選擇。目前,對(duì)用于研究目的的Honeypot一般采用高交互Honeypot,其目的就是能夠更加廣泛的收集入侵者的信息,獲取需要的資料。在平臺(tái)的選擇上,目前我們選擇的范圍很有限,一般采用Linux系統(tǒng)。其原因主要是Linux的開(kāi)源、廣泛應(yīng)用和卓越的性能。最后,就是對(duì)選定環(huán)境的安裝和配置。
三、Honeypot在網(wǎng)絡(luò)中的應(yīng)用
為更清晰的研究Honeypot,將Honeypot應(yīng)用于具體的網(wǎng)絡(luò)中。在我們的研究中,選擇了一個(gè)小規(guī)模的網(wǎng)絡(luò)來(lái)實(shí)現(xiàn)。當(dāng)設(shè)計(jì)完整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)后,我們?cè)诰W(wǎng)絡(luò)出口部分配置了設(shè)計(jì)的Honeypot。在硬件方面增加了安裝了snort的入侵檢測(cè)系統(tǒng)、安裝了Sebek的數(shù)據(jù)捕獲端。并且都構(gòu)建在Vmware上實(shí)現(xiàn)虛擬Honeypot。在實(shí)現(xiàn)中,主要安裝并配置了Honeyd、snort和sebek.其Honeypot的結(jié)構(gòu)圖,見(jiàn)圖1。
圖1 Honeypot結(jié)構(gòu)圖
四、小結(jié)
論文從入侵誘騙技術(shù)入手系統(tǒng)的分析了該技術(shù)的發(fā)展歷程,然后對(duì)入侵誘騙技術(shù)中的Honeypot進(jìn)行了深入的研究,主要涉及到Honeypot的分類、設(shè)計(jì)原則、設(shè)計(jì)方法,最后,將一個(gè)簡(jiǎn)易的Honeypot應(yīng)用于具體的網(wǎng)絡(luò)環(huán)境中,并通過(guò)嚴(yán)格的測(cè)試,表明該系統(tǒng)是有效的。
參考文獻(xiàn)
[1]蔡芝蔚.基于Honeypot的入侵誘騙系統(tǒng)研究[M].網(wǎng)絡(luò)通訊與安全,1244~1245
[2]楊奕.基于入侵誘騙技術(shù)的網(wǎng)絡(luò)安全研究與實(shí)現(xiàn).[J].計(jì)算機(jī)應(yīng)用學(xué)報(bào),2004.3:230~232.
[3]周光宇,王果平.基于入侵誘騙技術(shù)的網(wǎng)絡(luò)安全系統(tǒng)的研究[J].微計(jì)算機(jī)信息,2007.9
[4]夏磊,蔣建中,高志昊.入侵誘騙、入侵檢測(cè)、入侵響應(yīng)三位一體的網(wǎng)絡(luò)安全新機(jī)制
[5]Bill Cheswick. An Evening with Berferd In Which a Cracker is Lured,Endured,and Studied.Proceedings of the Winter 1992 Usenix conference,1992
篇(9)
論文摘要:隨著計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,網(wǎng)絡(luò)安全也日益受到人們?cè)絹?lái)越多的關(guān)注。防范網(wǎng)絡(luò)入侵、加強(qiáng)網(wǎng)絡(luò)安全防范的技術(shù)也多種多樣,其中入侵檢測(cè)技術(shù)以其低成本、低風(fēng)險(xiǎn)以及高靈活性得到了廣泛的應(yīng)用,并且有著廣闊的發(fā)展前景。本文就入侵檢測(cè)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全維護(hù)過(guò)程中的有效應(yīng)用提出探討。
一、入侵檢測(cè)系統(tǒng)的分類
入侵檢測(cè)系統(tǒng)可以分為入侵檢測(cè)、入侵防御兩大類。其中入侵檢測(cè)系統(tǒng)是根據(jù)特定的安全策略,實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)及系統(tǒng)的運(yùn)行狀態(tài),盡量在非法入侵程序發(fā)起攻擊前發(fā)現(xiàn)其攻擊企圖,從而提高網(wǎng)絡(luò)系統(tǒng)資源的完整性和保密性。而隨著網(wǎng)絡(luò)攻擊技術(shù)的日益提高,網(wǎng)絡(luò)系統(tǒng)中的安全漏洞不斷被發(fā)現(xiàn),傳統(tǒng)的入侵檢測(cè)技術(shù)及防火墻技術(shù)對(duì)這些多變的安全問(wèn)題無(wú)法全面應(yīng)對(duì),于是入侵防御系統(tǒng)應(yīng)運(yùn)而生,它可以對(duì)流經(jīng)的數(shù)據(jù)流量做深度感知與檢測(cè),丟棄惡意報(bào)文,阻斷其攻擊,限制濫用報(bào)文,保護(hù)帶寬資源。入侵檢測(cè)系統(tǒng)與入侵防御系統(tǒng)的區(qū)別在于:入侵檢測(cè)只具備單純的報(bào)警作用,而對(duì)于網(wǎng)絡(luò)入侵無(wú)法做出防御;而入侵防御系統(tǒng)則位于網(wǎng)絡(luò)與防火墻的硬件設(shè)備中間,當(dāng)其檢測(cè)到惡意攻擊時(shí),會(huì)在這種攻擊開(kāi)始擴(kuò)散前將其阻止在外。并且二者檢測(cè)攻擊的方法也不同,入侵防御系統(tǒng)對(duì)入網(wǎng)的數(shù)據(jù)包進(jìn)行檢查,在確定該數(shù)據(jù)包的真正用途的前提下,再對(duì)其是否可以進(jìn)入網(wǎng)絡(luò)進(jìn)行判斷。
二、入侵檢測(cè)技術(shù)在維護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用
(一)基于網(wǎng)絡(luò)的入侵檢測(cè)
基于網(wǎng)絡(luò)的入侵檢測(cè)形式有基于硬件的,也有基于軟件的,不過(guò)二者的工作流程是相同的。它們將網(wǎng)絡(luò)接口的模式設(shè)置為混雜模式,以便于對(duì)全部流經(jīng)該網(wǎng)段的數(shù)據(jù)進(jìn)行時(shí)實(shí)監(jiān)控,將其做出分析,再和數(shù)據(jù)庫(kù)中預(yù)定義的具備攻擊特征做出比較,從而將有害的攻擊數(shù)據(jù)包識(shí)別出來(lái),做出響應(yīng),并記錄日志。
1.入侵檢測(cè)的體系結(jié)構(gòu)
網(wǎng)絡(luò)入侵檢測(cè)的體系結(jié)構(gòu)通常由三部分組成,分別為Agent、Console以及Manager。其中Agent的作用是對(duì)網(wǎng)段內(nèi)的數(shù)據(jù)包進(jìn)行監(jiān)視,找出攻擊信息并把相關(guān)的數(shù)據(jù)發(fā)送至管理器;Console的主要作用是負(fù)責(zé)收集處的信息,顯示出所受攻擊的信息,把找出的攻擊信息及相關(guān)數(shù)據(jù)發(fā)送至管理器;Manager的主要作用則是響應(yīng)配置攻擊警告信息,控制臺(tái)所的命令也由Manager來(lái)執(zhí)行,再把所發(fā)出的攻擊警告發(fā)送至控制臺(tái)。
2.入侵檢測(cè)的工作模式
基于網(wǎng)絡(luò)的入侵檢測(cè),要在每個(gè)網(wǎng)段中部署多個(gè)入侵檢測(cè),按照網(wǎng)絡(luò)結(jié)構(gòu)的不同,其的連接形式也各不相同。如果網(wǎng)段的連接方式為總線式的集線器,則把與集線器中的某個(gè)端口相連接即可;如果為交換式以太網(wǎng)交換機(jī),因?yàn)榻粨Q機(jī)無(wú)法共享媒價(jià),因此只采用一個(gè)對(duì)整個(gè)子網(wǎng)進(jìn)行監(jiān)聽(tīng)的辦法是無(wú)法實(shí)現(xiàn)的。因此可以利用交換機(jī)核心芯片中用于調(diào)試的端口中,將入侵檢測(cè)系統(tǒng)與該端口相連接。或者把它放在數(shù)據(jù)流的關(guān)鍵出入口,于是就可以獲取幾乎全部的關(guān)鍵數(shù)據(jù)。
3.攻擊響應(yīng)及升級(jí)攻擊特征庫(kù)、自定義攻擊特征
如果入侵檢測(cè)系統(tǒng)檢測(cè)出惡意攻擊信息,其響應(yīng)方式有多種,例如發(fā)送電子郵件、記錄日志、通知管理員、查殺進(jìn)程、切斷會(huì)話、通知管理員、啟動(dòng)觸發(fā)器開(kāi)始執(zhí)行預(yù)設(shè)命令、取消用戶的賬號(hào)以及創(chuàng)建一個(gè)報(bào)告等等。升級(jí)攻擊特征庫(kù)可以把攻擊特征庫(kù)文件通過(guò)手動(dòng)或者自動(dòng)的形式由相關(guān)的站點(diǎn)中下載下來(lái),再利用控制臺(tái)將其實(shí)時(shí)添加至攻擊特征庫(kù)中。而網(wǎng)絡(luò)管理員可以按照單位的資源狀況及其應(yīng)用狀況,以入侵檢測(cè)系統(tǒng)特征庫(kù)為基礎(chǔ)來(lái)自定義攻擊特征,從而對(duì)單位的特定資源與應(yīng)用進(jìn)行保護(hù)。
(二)對(duì)于主機(jī)的入侵檢測(cè)
通常對(duì)主機(jī)的入侵檢測(cè)會(huì)設(shè)置在被重點(diǎn)檢測(cè)的主機(jī)上,從而對(duì)本主機(jī)的系統(tǒng)審計(jì)日志、網(wǎng)絡(luò)實(shí)時(shí)連接等信息做出智能化的分析與判斷。如果發(fā)展可疑情況,則入侵檢測(cè)系統(tǒng)就會(huì)有針對(duì)性的采用措施。基于主機(jī)的入侵檢測(cè)系統(tǒng)可以具體實(shí)現(xiàn)以下功能:對(duì)用戶的操作系統(tǒng)及其所做的所有行為進(jìn)行全程監(jiān)控;持續(xù)評(píng)估系統(tǒng)、應(yīng)用以及數(shù)據(jù)的完整性,并進(jìn)行主動(dòng)的維護(hù);創(chuàng)建全新的安全監(jiān)控策略,實(shí)時(shí)更新;對(duì)于未經(jīng)授權(quán)的行為進(jìn)行檢測(cè),并發(fā)出報(bào)警,同時(shí)也可以執(zhí)行預(yù)設(shè)好的響應(yīng)措施;將所有日志收集起來(lái)并加以保護(hù),留作后用。基于主機(jī)的入侵檢測(cè)系統(tǒng)對(duì)于主機(jī)的保護(hù)很全面細(xì)致,但要在網(wǎng)路中全面部署成本太高。并且基于主機(jī)的入侵檢測(cè)系統(tǒng)工作時(shí)要占用被保護(hù)主機(jī)的處理資源,所以會(huì)降低被保護(hù)主機(jī)的性能。
三、入侵檢測(cè)技術(shù)存在的問(wèn)題
盡管入侵檢測(cè)技術(shù)有其優(yōu)越性,但是現(xiàn)階段它還存在著一定的不足,主要體現(xiàn)在以下幾個(gè)方面:
第一:局限性:由于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)只對(duì)與其直接連接的網(wǎng)段通信做出檢測(cè),而不在同一網(wǎng)段的網(wǎng)絡(luò)包則無(wú)法檢測(cè),因此如果網(wǎng)絡(luò)環(huán)境為交換以太網(wǎng),則其監(jiān)測(cè)范圍就會(huì)表現(xiàn)出一定的局限性,如果安裝多臺(tái)傳感器則又增加了系統(tǒng)的成本。
第二:目前網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)一般采有的是特征檢測(cè)的方法,對(duì)于一些普通的攻擊來(lái)說(shuō)可能比較有效,但是一些復(fù)雜的、計(jì)算量及分析時(shí)間均較大的攻擊則無(wú)法檢測(cè)。
第三:監(jiān)聽(tīng)某些特定的數(shù)據(jù)包時(shí)可能會(huì)產(chǎn)生大量的分析數(shù)據(jù),會(huì)影響系統(tǒng)的性能。
第四:在處理會(huì)話過(guò)程的加密問(wèn)題時(shí),對(duì)于網(wǎng)絡(luò)入侵檢測(cè)技術(shù)來(lái)說(shuō)相對(duì)較難,現(xiàn)階段通過(guò)加密通道的攻擊相對(duì)較少,但是此問(wèn)題會(huì)越來(lái)越突出。
第五:入侵檢測(cè)系統(tǒng)自身不具備阻斷和隔離網(wǎng)絡(luò)攻擊的能力,不過(guò)可以與防火墻進(jìn)行聯(lián)動(dòng),發(fā)現(xiàn)入侵行為后通過(guò)聯(lián)動(dòng)協(xié)議通知防火墻,讓防火墻采取隔離手段。
四、總結(jié)
現(xiàn)階段的入侵檢測(cè)技術(shù)相對(duì)來(lái)說(shuō)還存在著一定的缺陷,很多單位在解決網(wǎng)絡(luò)入侵相關(guān)的安全問(wèn)題時(shí)都采用基于主機(jī)與基于網(wǎng)絡(luò)相結(jié)合的入侵檢測(cè)系統(tǒng)。當(dāng)然入侵檢測(cè)技術(shù)也在不斷的發(fā)展,數(shù)據(jù)挖掘異常檢測(cè)、神經(jīng)網(wǎng)絡(luò)異常檢測(cè)、貝葉斯推理異常檢測(cè)、專家系統(tǒng)濫用檢測(cè)、狀態(tài)轉(zhuǎn)換分析濫用檢測(cè)等入侵檢測(cè)技術(shù)也越來(lái)越成熟。總之、用戶要提高計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性,不僅僅要靠技術(shù)支持,還要依靠自身良好的維護(hù)與管理。
參考文獻(xiàn):
篇(10)
目前,開(kāi)放式網(wǎng)絡(luò)環(huán)境使人們充分享受著數(shù)字化,信息化給人們?nèi)粘5墓ぷ魃顚W(xué)習(xí)帶來(lái)的巨大便利,也因此對(duì)計(jì)算機(jī)網(wǎng)絡(luò)越來(lái)越強(qiáng)的依賴性,與此同時(shí),各種針對(duì)網(wǎng)絡(luò)的攻擊與破壞日益增多,成為制約網(wǎng)絡(luò)技術(shù)發(fā)展的一大障礙。傳統(tǒng)的安全技術(shù)并不能對(duì)系統(tǒng)是否真的沒(méi)有被入侵有任何保證。入侵檢測(cè)系統(tǒng)已經(jīng)成為信息網(wǎng)絡(luò)安全其必不可少的一道防線。
人體內(nèi)有一個(gè)免疫系統(tǒng),它是人體抵御病原菌侵犯最重要的保衛(wèi)系統(tǒng),主要手段是依靠自身的防御體系和免疫能力。一些學(xué)者試圖學(xué)習(xí)和模仿生物機(jī)體的這種能力,將其移植到計(jì)算機(jī)網(wǎng)絡(luò)安全方面。相關(guān)研究很多都基于生物免疫系統(tǒng)的體系結(jié)構(gòu)和免疫機(jī)制[5]。基于免疫理論的研究已逐漸成為目前人們研究的一個(gè)重要方向,其研究成果將會(huì)為計(jì)算機(jī)網(wǎng)絡(luò)安全提供一條新的途徑。
一、入侵檢測(cè)簡(jiǎn)介
入侵即入侵者利用主機(jī)或網(wǎng)絡(luò)中程序的漏洞,對(duì)特權(quán)程序進(jìn)行非法或異常的調(diào)用,使外網(wǎng)攻擊者侵入內(nèi)網(wǎng)獲取內(nèi)網(wǎng)的資源。入侵檢測(cè)即是檢測(cè)各種非法的入侵行為。入侵檢測(cè)提供了對(duì)網(wǎng)絡(luò)的實(shí)時(shí)保護(hù),在系統(tǒng)受到危害時(shí)提前有所作為。入侵檢測(cè)嚴(yán)密監(jiān)視系統(tǒng)的各種不安全的活動(dòng),識(shí)別用戶不安全的行為。入侵檢測(cè)應(yīng)付各種網(wǎng)絡(luò)攻擊,提高了用戶的安全性。入侵檢測(cè)[4]技術(shù)就是為保證網(wǎng)路系統(tǒng)的安全而設(shè)計(jì)的一種可以檢測(cè)系統(tǒng)中異常的、不安全的行為的技術(shù)。
二、基于免疫機(jī)理的入侵檢測(cè)系統(tǒng)
(一)入侵檢測(cè)系統(tǒng)和自然免疫系統(tǒng)用四元函數(shù)組來(lái)定義一個(gè)自然免疫系統(tǒng)∑nis[5],∑nis=(xnis,ωnis,ynis,gnis)xnis是輸入,它為各種類型的抗原,令z表示所有抗原,抗原包括自身蛋白集合和病原體集合這兩個(gè)互斥的集合,即,用w表示自身蛋白集合,nw表示病原體集合,有s∪nw=z,w=ynis是輸出,只考慮免疫系統(tǒng)對(duì)病原體的識(shí)別而不計(jì)免疫效應(yīng),ynis取0或1,分別表示自然免疫系統(tǒng)判別輸入時(shí)的自身或非自身。
gnis是一個(gè)自然免疫系統(tǒng)輸入輸出之間的非線性關(guān)系函數(shù),則有ynis=gnis(xnis)=ωnis為自然免疫系統(tǒng)的內(nèi)部組成。而根據(jù)系統(tǒng)的定義,入侵檢測(cè)系統(tǒng)可以表示為∑ids=(xids,ωids,yids,gids)
式中,xids是入侵檢測(cè)系統(tǒng)的輸入。令m表示是整個(gè)論域,整個(gè)論域也可以劃分成為兩個(gè)互斥的集合即入侵集合,表示為i和正常集合表示﹁i,有i∪﹁i=m,i∩﹁i=輸入xids,輸出yids,此時(shí)入侵檢測(cè)系統(tǒng)具有報(bào)警s和不報(bào)警﹁a兩種狀態(tài),報(bào)警用1表示,不報(bào)警用0表示。
gids表示輸入與輸出之間的非線性函數(shù)關(guān)系,則有yids=gids(xids)=ωids是自然免疫系統(tǒng)的內(nèi)部組成。不同種類的檢測(cè)系統(tǒng)具有不同的ωids,產(chǎn)生不同的ωids,從而將輸入向量映射到輸出。
(二)基于自然免疫機(jī)理的入侵檢測(cè)系統(tǒng)的設(shè)計(jì)
自然免疫系統(tǒng)是一個(gè)識(shí)別病原菌的系統(tǒng),與網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)有很多類似之處,因此自然免疫系統(tǒng)得到一個(gè)設(shè)計(jì)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的啟發(fā),我們先來(lái)研究自然入侵檢測(cè)系統(tǒng)的動(dòng)態(tài)防護(hù)性、檢測(cè)性能、自適應(yīng)性以及系統(tǒng)健壯性這四個(gè)特性[5]。
1.動(dòng)態(tài)防護(hù)性。
自然免疫系統(tǒng)可以用比較少的資源完成相對(duì)復(fù)雜的檢測(cè)任務(wù)。人體約有1016種病原體需要識(shí)別,自然免疫系統(tǒng)采用動(dòng)態(tài)防護(hù),任一時(shí)刻,淋巴檢測(cè)器只能檢測(cè)到病原體的一個(gè)子集,但淋巴檢測(cè)器每天都會(huì)及時(shí)更新,所以每天檢測(cè)的病原體是不同的,淋巴細(xì)胞的及時(shí)更新,來(lái)應(yīng)對(duì)當(dāng)前的待檢病原體。
2.檢測(cè)性能。
自然免疫系統(tǒng)具有非常強(qiáng)的低預(yù)警率和高檢測(cè)率。之所以具有這樣好的檢測(cè)性能,是因?yàn)樽匀幻庖呦到y(tǒng)具有多樣性、多層次、異常檢測(cè)能力、獨(dú)特性等多種特性。
3.自適應(yīng)性。
自然免疫系統(tǒng)具有良好的自適應(yīng)性,檢測(cè)器一般情況下能夠檢測(cè)到頻率比較高的攻擊規(guī)則,很少或基本根本沒(méi)有檢測(cè)到入侵的規(guī)則,將會(huì)被移出常用檢測(cè)規(guī)則庫(kù),這樣就會(huì)使得規(guī)則庫(kù)中的規(guī)則一直可以檢測(cè)到經(jīng)常遇到的攻擊。基于免疫機(jī)理的入侵檢測(cè)系統(tǒng)采用異常檢測(cè)方法檢測(cè)攻擊,對(duì)通過(guò)異常檢測(cè)到的攻擊提取異常特征形成新的檢測(cè)規(guī)則,當(dāng)這些入侵再次出現(xiàn)時(shí)直接通過(guò)規(guī)則匹配直接就可以檢測(cè)到。
4.健壯性。
自然免疫系統(tǒng)采用了高度分布式的結(jié)構(gòu),基于免疫機(jī)理研究出的入侵檢測(cè)系統(tǒng)也包含多個(gè)子系統(tǒng)和大量遍布整個(gè)系統(tǒng)的檢測(cè),每個(gè)子系統(tǒng)或檢測(cè)僅能檢測(cè)某一個(gè)或幾類入侵,而多個(gè)子系統(tǒng)或大量檢測(cè)器的集合就能檢測(cè)到大多數(shù)入侵,少量幾個(gè)的失效,不會(huì)影響整個(gè)系統(tǒng)的檢測(cè)能力[4]。
(三)基于免疫機(jī)理的入侵檢測(cè)系統(tǒng)體系架構(gòu)
根據(jù)上述所討論的思想,現(xiàn)在我們提出基于免疫機(jī)理的入侵檢測(cè)系統(tǒng)aiids[1],包括如下四個(gè)組成部分:
1.主機(jī)入侵檢測(cè)子系統(tǒng)。
其入侵信息來(lái)源于被監(jiān)控主機(jī)的日志。它由多個(gè)組成,主要監(jiān)控計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的完整保密以及可用性等方面。
2.網(wǎng)絡(luò)入侵子系統(tǒng)。
其入侵信息來(lái)源于局域網(wǎng)的通信數(shù)據(jù)包。該數(shù)據(jù)包一般位于網(wǎng)絡(luò)節(jié)點(diǎn)處,網(wǎng)絡(luò)入侵子系統(tǒng)首先對(duì)數(shù)據(jù)包的ip和tcp包頭進(jìn)行解析,然后收集數(shù)據(jù)組件、解析包頭和提取組件特征、生成抗體和組件的檢測(cè)、協(xié)同和報(bào)告、優(yōu)化規(guī)則、掃描攻擊以及檢測(cè)機(jī)遇協(xié)議漏洞的攻擊和拒絕服務(wù)攻擊等。
3.網(wǎng)絡(luò)節(jié)點(diǎn)入侵子系統(tǒng)。
其入侵信息來(lái)源于網(wǎng)絡(luò)的通信數(shù)據(jù)包,網(wǎng)絡(luò)節(jié)點(diǎn)入侵子系統(tǒng)監(jiān)控網(wǎng)絡(luò)節(jié)點(diǎn)的數(shù)據(jù)包,對(duì)數(shù)據(jù)包進(jìn)行解碼和分析。他包括多個(gè)應(yīng)用層,用來(lái)檢測(cè)應(yīng)用層的各種攻擊。
4.控制臺(tái)。
篇(11)
1 引言
入侵檢測(cè)是一種網(wǎng)絡(luò)安全防御技術(shù),其可以部署于網(wǎng)絡(luò)防火墻、訪問(wèn)控制列表等軟件中,可以檢測(cè)流入到系統(tǒng)中的數(shù)據(jù)流,并且識(shí)別數(shù)據(jù)流中的網(wǎng)絡(luò)包內(nèi)容,判別數(shù)據(jù)流是否屬于木馬和病毒等不正常數(shù)據(jù)。目前,網(wǎng)絡(luò)安全入侵檢測(cè)技術(shù)已經(jīng)誕生了多種,比如狀態(tài)檢測(cè)技術(shù)和深度包過(guò)濾技術(shù),有效提高了網(wǎng)絡(luò)安全識(shí)別、處理等防御能力。
2 “互聯(lián)網(wǎng)+”時(shí)代網(wǎng)絡(luò)安全管理現(xiàn)狀
目前,我國(guó)已經(jīng)進(jìn)入到了“互聯(lián)網(wǎng)+”時(shí)代,互聯(lián)網(wǎng)已經(jīng)應(yīng)用到了金融、民生、工業(yè)等多個(gè)領(lǐng)域。互聯(lián)網(wǎng)的繁榮為人們帶來(lái)了許多的便利,同時(shí)互聯(lián)網(wǎng)安全事故也頻頻出現(xiàn),網(wǎng)絡(luò)病毒、木馬和黑客攻擊技術(shù)也大幅度改進(jìn),并且呈現(xiàn)出攻擊渠道多樣化、威脅智能化、范圍廣泛化等特點(diǎn)。
2.1 攻擊渠道多樣化
目前,網(wǎng)絡(luò)設(shè)備、應(yīng)用接入渠道較多,按照內(nèi)外網(wǎng)劃分為內(nèi)網(wǎng)接入、外網(wǎng)接入;按照有線、無(wú)線可以劃分為有線接入、無(wú)線接入;按照接入設(shè)備可以劃分為PC接入、移動(dòng)智能終端接入等多種類別,接入渠道較多,也為攻擊威脅提供了較多的入侵渠道。
2.2 威脅智能化
攻擊威脅程序設(shè)計(jì)技術(shù)的提升,使得病毒、木馬隱藏的周期更長(zhǎng),行為更加隱蔽,傳統(tǒng)的網(wǎng)絡(luò)木馬、病毒防御工具無(wú)法查殺。
2.3 破壞范圍更廣
隨著網(wǎng)絡(luò)及承載的應(yīng)用軟件集成化增強(qiáng),不同類型的系統(tǒng)管理平臺(tái)都通過(guò)SOA架構(gòu)、ESB技術(shù)接入到網(wǎng)絡(luò)集群平臺(tái)上,一旦某個(gè)系統(tǒng)受到攻擊,病毒可以在很短的時(shí)間內(nèi)傳播到其他子系統(tǒng),破壞范圍更廣。
3 “互聯(lián)網(wǎng)+”時(shí)代網(wǎng)絡(luò)安全入侵檢測(cè)功能設(shè)計(jì)
入侵檢測(cè)業(yè)務(wù)流程包括三個(gè)階段,分別是采集網(wǎng)絡(luò)數(shù)據(jù)、分析數(shù)據(jù)內(nèi)容和啟動(dòng)防御措施,能夠?qū)崟r(shí)預(yù)估網(wǎng)絡(luò)安全防御狀況,保證網(wǎng)絡(luò)安全運(yùn)行,如圖1所示。
網(wǎng)絡(luò)安全入侵檢測(cè)過(guò)程中,為了提高入侵檢測(cè)準(zhǔn)確度,引入遺傳算法和BP神經(jīng)網(wǎng)絡(luò),結(jié)合這兩種數(shù)據(jù)挖掘算法的優(yōu)勢(shì),設(shè)計(jì)了一個(gè)遺傳神經(jīng)網(wǎng)絡(luò)算法,業(yè)務(wù)流程如下:
(1)采集網(wǎng)絡(luò)數(shù)據(jù),獲取數(shù)據(jù)源。
(2)利用遺傳神經(jīng)網(wǎng)絡(luò)識(shí)別數(shù)據(jù)內(nèi)容,對(duì)數(shù)據(jù)進(jìn)行建模,將獲取的網(wǎng)絡(luò)數(shù)據(jù)包轉(zhuǎn)換為神經(jīng)網(wǎng)絡(luò)能夠識(shí)別的數(shù)學(xué)向量。
(3)使用已知的、理想狀態(tài)的數(shù)據(jù)對(duì)遺傳神經(jīng)網(wǎng)絡(luò)進(jìn)行訓(xùn)練。
(4)使用訓(xùn)練好的遺傳神經(jīng)網(wǎng)絡(luò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行檢測(cè)。
(5)保存遺傳神經(jīng)網(wǎng)絡(luò)檢測(cè)的結(jié)果。
(6)網(wǎng)絡(luò)安全響應(yīng)。
遺傳神經(jīng)網(wǎng)絡(luò)在入侵檢測(cè)過(guò)程中包括兩個(gè)階段,分別是訓(xùn)練學(xué)習(xí)階段和檢測(cè)分析階段。
(1)訓(xùn)練學(xué)習(xí)階段。遺傳神經(jīng)網(wǎng)絡(luò)訓(xùn)練學(xué)習(xí)可以生成一個(gè)功能完善的、識(shí)別準(zhǔn)確的入侵檢測(cè)模型,系統(tǒng)訓(xùn)練學(xué)習(xí)流程如下:給定樣本庫(kù)和期望輸出參數(shù),將兩者作為遺傳神經(jīng)網(wǎng)絡(luò)輸入?yún)?shù),學(xué)習(xí)樣本中包含非常典型的具有攻擊行為特征的樣本數(shù)據(jù)和正常數(shù)據(jù),通過(guò)訓(xùn)練學(xué)習(xí)得到的遺傳神經(jīng)網(wǎng)絡(luò)可以與輸入的期望結(jié)果進(jìn)行比較和分析,直到期望輸出的誤差可以達(dá)到人們的期望值。
(2)檢測(cè)分析階段。遺傳神經(jīng)網(wǎng)絡(luò)訓(xùn)練結(jié)束之后,使用權(quán)值的形式將其保存起來(lái),將其應(yīng)用到實(shí)際網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng),能夠識(shí)別正常行為或異常行為。
4 結(jié)束語(yǔ)
互聯(lián)網(wǎng)的快速發(fā)展和普及為人們的工作、生活和學(xué)習(xí)帶來(lái)便利,但同時(shí)也潛在著許多威脅,采用先進(jìn)的網(wǎng)絡(luò)安全防御技術(shù),以便提升網(wǎng)絡(luò)的安全運(yùn)行能力。入侵檢測(cè)是網(wǎng)絡(luò)安全主動(dòng)防御的一個(gè)關(guān)鍵技術(shù),入侵檢測(cè)利用遺傳算法和BP神經(jīng)網(wǎng)絡(luò)算法優(yōu)勢(shì),可以準(zhǔn)確地構(gòu)建一個(gè)入侵檢測(cè)模型,準(zhǔn)確地檢測(cè)出病毒、木馬數(shù)據(jù),啟動(dòng)病毒木馬查殺軟件,清除網(wǎng)絡(luò)中的威脅,保證網(wǎng)絡(luò)正常運(yùn)行。
參考文獻(xiàn)
[1]徐振華.基于BP神經(jīng)網(wǎng)絡(luò)的分布式入侵檢測(cè)模型改進(jìn)算法研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2016,24(2):111-112.
[2]劉成.試論入侵檢測(cè)技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用與研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2016,24(2):74-75.
[3]周立軍,張杰,呂海燕.基于數(shù)據(jù)挖掘技術(shù)的網(wǎng)絡(luò)入侵檢測(cè)技術(shù)研究[J].現(xiàn)代電子技術(shù),2016,18(6):121-122.
