入侵檢測論文大全11篇
時間:2023-03-23 15:14:46緒論:寫作既是個人情感的抒發(fā),也是對學術(shù)真理的探索,歡迎閱讀由發(fā)表云整理的11篇入侵檢測論文范文,希望它們能為您的寫作提供參考和啟發(fā)。
篇(1)
0引言
近年來,隨著信息和網(wǎng)絡(luò)技術(shù)的高速發(fā)展以及政治、經(jīng)濟或者軍事利益的驅(qū)動,計算機和網(wǎng)絡(luò)基礎(chǔ)設(shè)施,特別是各種官方機構(gòu)的網(wǎng)站,成為黑客攻擊的熱門目標。近年來對電子商務(wù)的熱切需求,更加激化了這種入侵事件的增長趨勢。由于防火墻只防外不防內(nèi),并且很容易被繞過,所以僅僅依賴防火墻的計算機系統(tǒng)已經(jīng)不能對付日益猖獗的入侵行為,對付入侵行為的第二道防線——入侵檢測系統(tǒng)就被啟用了。
1入侵檢測系統(tǒng)(IDS)概念
1980年,JamesP.Anderson第一次系統(tǒng)闡述了入侵檢測的概念,并將入侵行為分為外部滲透、內(nèi)部滲透和不法行為三種,還提出了利用審計數(shù)據(jù)監(jiān)視入侵活動的思想[1]。即其之后,1986年DorothyE.Denning提出實時異常檢測的概念[2]并建立了第一個實時入侵檢測模型,命名為入侵檢測專家系統(tǒng)(IDES),1990年,L.T.Heberlein等設(shè)計出監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)流的入侵檢測系統(tǒng),NSM(NetworkSecurityMonitor)。自此之后,入侵檢測系統(tǒng)才真正發(fā)展起來。
Anderson將入侵嘗試或威脅定義為:潛在的、有預(yù)謀的、未經(jīng)授權(quán)的訪問信息、操作信息、致使系統(tǒng)不可靠或無法使用的企圖。而入侵檢測的定義為[4]:發(fā)現(xiàn)非授權(quán)使用計算機的個體(如“黑客”)或計算機系統(tǒng)的合法用戶濫用其訪問系統(tǒng)的權(quán)利以及企圖實施上述行為的個體。執(zhí)行入侵檢測任務(wù)的程序即是入侵檢測系統(tǒng)。入侵檢測系統(tǒng)也可以定義為:檢測企圖破壞計算機資源的完整性,真實性和可用性的行為的軟件。
入侵檢測系統(tǒng)執(zhí)行的主要任務(wù)包括[3]:監(jiān)視、分析用戶及系統(tǒng)活動;審計系統(tǒng)構(gòu)造和弱點;識別、反映已知進攻的活動模式,向相關(guān)人士報警;統(tǒng)計分析異常行為模式;評估重要系統(tǒng)和數(shù)據(jù)文件的完整性;審計、跟蹤管理操作系統(tǒng),識別用戶違反安全策略的行為。入侵檢測一般分為三個步驟:信息收集、數(shù)據(jù)分析、響應(yīng)。
入侵檢測的目的:(1)識別入侵者;(2)識別入侵行為;(3)檢測和監(jiān)視以實施的入侵行為;(4)為對抗入侵提供信息,阻止入侵的發(fā)生和事態(tài)的擴大;
2入侵檢測系統(tǒng)模型
美國斯坦福國際研究所(SRI)的D.E.Denning于1986年首次提出一種入侵檢測模型[2],該模型的檢測方法就是建立用戶正常行為的描述模型,并以此同當前用戶活動的審計記錄進行比較,如果有較大偏差,則表示有異常活動發(fā)生。這是一種基于統(tǒng)計的檢測方法。隨著技術(shù)的發(fā)展,后來人們又提出了基于規(guī)則的檢測方法。結(jié)合這兩種方法的優(yōu)點,人們設(shè)計出很多入侵檢測的模型。通用入侵檢測構(gòu)架(CommonIntrusionDetectionFramework簡稱CIDF)組織,試圖將現(xiàn)有的入侵檢測系統(tǒng)標準化,CIDF闡述了一個入侵檢測系統(tǒng)的通用模型(一般稱為CIDF模型)。它將一個入侵檢測系統(tǒng)分為以下四個組件:
事件產(chǎn)生器(EventGenerators)
事件分析器(Eventanalyzers)
響應(yīng)單元(Responseunits)
事件數(shù)據(jù)庫(Eventdatabases)
它將需要分析的數(shù)據(jù)通稱為事件,事件可以是基于網(wǎng)絡(luò)的數(shù)據(jù)包也可以是基于主機的系統(tǒng)日志中的信息。事件產(chǎn)生器的目的是從整個計算機環(huán)境中獲得事件,并向系統(tǒng)其它部分提供此事件。事件分析器分析得到的事件并產(chǎn)生分析結(jié)果。響應(yīng)單元則是對分析結(jié)果做出反應(yīng)的功能單元,它可以做出切斷連接、修改文件屬性等強烈反應(yīng)。事件數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)的地方的通稱,它可以是復(fù)雜的數(shù)據(jù)庫也可以是簡單的文本文件。
3入侵檢測系統(tǒng)的分類:
現(xiàn)有的IDS的分類,大都基于信息源和分析方法。為了體現(xiàn)對IDS從布局、采集、分析、響應(yīng)等各個層次及系統(tǒng)性研究方面的問題,在這里采用五類標準:控制策略、同步技術(shù)、信息源、分析方法、響應(yīng)方式。
按照控制策略分類
控制策略描述了IDS的各元素是如何控制的,以及IDS的輸入和輸出是如何管理的。按照控制策略IDS可以劃分為,集中式IDS、部分分布式IDS和全部分布式IDS。在集中式IDS中,一個中央節(jié)點控制系統(tǒng)中所有的監(jiān)視、檢測和報告。在部分分布式IDS中,監(jiān)控和探測是由本地的一個控制點控制,層次似的將報告發(fā)向一個或多個中心站。在全分布式IDS中,監(jiān)控和探測是使用一種叫“”的方法,進行分析并做出響應(yīng)決策。
按照同步技術(shù)分類
同步技術(shù)是指被監(jiān)控的事件以及對這些事件的分析在同一時間進行。按照同步技術(shù)劃分,IDS劃分為間隔批任務(wù)處理型IDS和實時連續(xù)性IDS。在間隔批任務(wù)處理型IDS中,信息源是以文件的形式傳給分析器,一次只處理特定時間段內(nèi)產(chǎn)生的信息,并在入侵發(fā)生時將結(jié)果反饋給用戶。很多早期的基于主機的IDS都采用這種方案。在實時連續(xù)型IDS中,事件一發(fā)生,信息源就傳給分析引擎,并且立刻得到處理和反映。實時IDS是基于網(wǎng)絡(luò)IDS首選的方案。
按照信息源分類
按照信息源分類是目前最通用的劃分方法,它分為基于主機的IDS、基于網(wǎng)絡(luò)的IDS和分布式IDS。基于主機的IDS通過分析來自單個的計算機系統(tǒng)的系統(tǒng)審計蹤跡和系統(tǒng)日志來檢測攻擊。基于主機的IDS是在關(guān)鍵的網(wǎng)段或交換部位通過捕獲并分析網(wǎng)絡(luò)數(shù)據(jù)包來檢測攻擊。分布式IDS,能夠同時分析來自主機系統(tǒng)日志和網(wǎng)絡(luò)數(shù)據(jù)流,系統(tǒng)由多個部件組成,采用分布式結(jié)構(gòu)。
按照分析方法分類
按照分析方法IDS劃分為濫用檢測型IDS和異常檢測型IDS。濫用檢測型的IDS中,首先建立一個對過去各種入侵方法和系統(tǒng)缺陷知識的數(shù)據(jù)庫,當收集到的信息與庫中的原型相符合時則報警。任何不符合特定條件的活動將會被認為合法,因此這樣的系統(tǒng)虛警率很低。異常檢測型IDS是建立在如下假設(shè)的基礎(chǔ)之上的,即任何一種入侵行為都能由于其偏離正常或者所期望的系統(tǒng)和用戶活動規(guī)律而被檢測出來。所以它需要一個記錄合法活動的數(shù)據(jù)庫,由于庫的有限性使得虛警率比較高。
按照響應(yīng)方式分類
按照響應(yīng)方式IDS劃分為主動響應(yīng)IDS和被動響應(yīng)IDS。當特定的入侵被檢測到時,主動IDS會采用以下三種響應(yīng):收集輔助信息;改變環(huán)境以堵住導(dǎo)致入侵發(fā)生的漏洞;對攻擊者采取行動(這是一種不被推薦的做法,因為行為有點過激)。被動響應(yīng)IDS則是將信息提供給系統(tǒng)用戶,依靠管理員在這一信息的基礎(chǔ)上采取進一步的行動。
4IDS的評價標準
目前的入侵檢測技術(shù)發(fā)展迅速,應(yīng)用的技術(shù)也很廣泛,如何來評價IDS的優(yōu)缺點就顯得非常重要。評價IDS的優(yōu)劣主要有這樣幾個方面[5]:(1)準確性。準確性是指IDS不會標記環(huán)境中的一個合法行為為異常或入侵。(2)性能。IDS的性能是指處理審計事件的速度。對一個實時IDS來說,必須要求性能良好。(3)完整性。完整性是指IDS能檢測出所有的攻擊。(4)故障容錯(faulttolerance)。當被保護系統(tǒng)遭到攻擊和毀壞時,能迅速恢復(fù)系統(tǒng)原有的數(shù)據(jù)和功能。(5)自身抵抗攻擊能力。這一點很重要,尤其是“拒絕服務(wù)”攻擊。因為多數(shù)對目標系統(tǒng)的攻擊都是采用首先用“拒絕服務(wù)”攻擊摧毀IDS,再實施對系統(tǒng)的攻擊。(6)及時性(Timeliness)。一個IDS必須盡快地執(zhí)行和傳送它的分析結(jié)果,以便在系統(tǒng)造成嚴重危害之前能及時做出反應(yīng),阻止攻擊者破壞審計數(shù)據(jù)或IDS本身。
除了上述幾個主要方面,還應(yīng)該考慮以下幾個方面:(1)IDS運行時,額外的計算機資源的開銷;(2)誤警報率/漏警報率的程度;(3)適應(yīng)性和擴展性;(4)靈活性;(5)管理的開銷;(6)是否便于使用和配置。
5IDS的發(fā)展趨
隨著入侵檢測技術(shù)的發(fā)展,成型的產(chǎn)品已陸續(xù)應(yīng)用到實踐中。入侵檢測系統(tǒng)的典型代表是ISS(國際互聯(lián)網(wǎng)安全系統(tǒng)公司)公司的RealSecure。目前較為著名的商用入侵檢測產(chǎn)品還有:NAI公司的CyberCopMonitor、Axent公司的NetProwler、CISCO公司的Netranger、CA公司的Sessionwall-3等。國內(nèi)的該類產(chǎn)品較少,但發(fā)展很快,已有總參北方所、中科網(wǎng)威、啟明星辰等公司推出產(chǎn)品。
人們在完善原有技術(shù)的基礎(chǔ)上,又在研究新的檢測方法,如數(shù)據(jù)融合技術(shù),主動的自主方法,智能技術(shù)以及免疫學原理的應(yīng)用等。其主要的發(fā)展方向可概括為:
(1)大規(guī)模分布式入侵檢測。傳統(tǒng)的入侵檢測技術(shù)一般只局限于單一的主機或網(wǎng)絡(luò)框架,顯然不能適應(yīng)大規(guī)模網(wǎng)絡(luò)的監(jiān)測,不同的入侵檢測系統(tǒng)之間也不能協(xié)同工作。因此,必須發(fā)展大規(guī)模的分布式入侵檢測技術(shù)。
(2)寬帶高速網(wǎng)絡(luò)的實時入侵檢測技術(shù)。大量高速網(wǎng)絡(luò)的不斷涌現(xiàn),各種寬帶接入手段層出不窮,如何實現(xiàn)高速網(wǎng)絡(luò)下的實時入侵檢測成為一個現(xiàn)實的問題。
(3)入侵檢測的數(shù)據(jù)融合技術(shù)。目前的IDS還存在著很多缺陷。首先,目前的技術(shù)還不能對付訓練有素的黑客的復(fù)雜的攻擊。其次,系統(tǒng)的虛警率太高。最后,系統(tǒng)對大量的數(shù)據(jù)處理,非但無助于解決問題,還降低了處理能力。數(shù)據(jù)融合技術(shù)是解決這一系列問題的好方法。
(4)與網(wǎng)絡(luò)安全技術(shù)相結(jié)合。結(jié)合防火墻,病毒防護以及電子商務(wù)技術(shù),提供完整的網(wǎng)絡(luò)安全保障。
6結(jié)束語
在目前的計算機安全狀態(tài)下,基于防火墻、加密技術(shù)的安全防護固然重要,但是,要根本改善系統(tǒng)的安全現(xiàn)狀,必須要發(fā)展入侵檢測技術(shù),它已經(jīng)成為計算機安全策略中的核心技術(shù)之一。IDS作為一種主動的安全防護技術(shù),提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。隨著網(wǎng)絡(luò)通信技術(shù)安全性的要求越來越高,入侵檢測技術(shù)必將受到人們的高度重視。
參考文獻:
[1]putersecuritythreatmonitoringandsurveillance[P].PA19034,USA,1980.4
[2]DenningDE.AnIntrusion-DetectionModel[A].IEEESymponSecurity&Privacy[C],1986.118-131
篇(2)
2衛(wèi)星通信網(wǎng)入侵檢測系統(tǒng)的實現(xiàn)
2.1入侵檢測系統(tǒng)的體系結(jié)構(gòu)
入侵檢測是檢測計算機網(wǎng)絡(luò)和系統(tǒng)以發(fā)現(xiàn)違反安全策略事件的過程。如圖2所示,作為入侵檢測系統(tǒng)至少應(yīng)該包括三個功能模塊:提供事件記錄的信息源、發(fā)現(xiàn)入侵跡象的分析引擎和基于分析引擎的響應(yīng)部件。CIDF闡述了一個入侵檢測系統(tǒng)的通用模型,即入侵檢測系統(tǒng)可以分為4個組件:事件產(chǎn)生器、事件分析器、響應(yīng)單元、事件數(shù)據(jù)庫。
2.2入侵檢測系統(tǒng)的功能
衛(wèi)星通信網(wǎng)絡(luò)采用的是分布式的入侵檢測系統(tǒng),其主要功能模塊包括:(1)數(shù)據(jù)采集模塊。收集衛(wèi)星發(fā)送來的各種數(shù)據(jù)信息以及地面站提供的一些數(shù)據(jù),分為日志采集模塊、數(shù)據(jù)報采集模塊和其他信息源采集模塊。(2)數(shù)據(jù)分析模塊。對應(yīng)于數(shù)據(jù)采集模塊,也有三種類型的數(shù)據(jù)分析模塊:日志分析模塊、數(shù)據(jù)報分析模塊和其他信息源分析模塊。(3)告警統(tǒng)計及管理模塊。該模塊負責對數(shù)據(jù)分析模塊產(chǎn)生的告警進行匯總,這樣能更好地檢測分布式入侵。(4)決策模塊。決策模塊對告警統(tǒng)計上報的告警做出決策,根據(jù)入侵的不同情況選擇不同的響應(yīng)策略,并判斷是否需要向上級節(jié)點發(fā)出警告。(5)響應(yīng)模塊。響應(yīng)模塊根據(jù)決策模塊送出的策略,采取相應(yīng)的響應(yīng)措施。其主要措施有:忽略、向管理員報警、終止連接等響應(yīng)。(6)數(shù)據(jù)存儲模塊。數(shù)據(jù)存儲模塊用于存儲入侵特征、入侵事件等數(shù)據(jù),留待進一步分析。(7)管理平臺。管理平臺是管理員與入侵檢測系統(tǒng)交互的管理界面。管理員通過這個平臺可以手動處理響應(yīng),做出最終的決策,完成對系統(tǒng)的配置、權(quán)限管理,對入侵特征庫的手動維護工作。
2.3數(shù)據(jù)挖掘技術(shù)
入侵檢測系統(tǒng)中需要用到數(shù)據(jù)挖掘技術(shù)。數(shù)據(jù)挖掘是從大量的、不完全的、有噪聲的、模糊的、隨機的數(shù)據(jù)中提取隱含在其中的、人們事先不知道的、但又是潛在有用的信息和知識的過程。將數(shù)據(jù)挖掘技術(shù)應(yīng)用于入侵檢測系統(tǒng)的主要優(yōu)點:(1)自適應(yīng)能力強。專家根據(jù)現(xiàn)有的攻擊從而分析、建立出它們的特征模型作為傳統(tǒng)入侵檢測系統(tǒng)規(guī)則庫。但是如果一種攻擊跨越較長一段時間,那么原有的入侵檢測系統(tǒng)規(guī)則庫很難得到及時更新,并且為了一種新的攻擊去更換整個系統(tǒng)的成本將大大提升。因為應(yīng)用數(shù)據(jù)挖掘技術(shù)的異常檢測與信號匹配模式是不一樣的,它不是對每一個信號一一檢測,所以新的攻擊可以得到有效的檢測,表現(xiàn)出較強實時性。(2)誤警率低。因為現(xiàn)有系統(tǒng)的檢測原理主要是依靠單純的信號匹配,這種生硬的方式,使得它的報警率與實際情況不一致。數(shù)據(jù)挖掘技術(shù)與入侵檢測技術(shù)相結(jié)合的系統(tǒng)是從等報發(fā)生的序列中發(fā)現(xiàn)隱含在其中的規(guī)律,可以過濾出正常行為的信號,從而降低了系統(tǒng)的誤警率。(3)智能性強。應(yīng)用了數(shù)據(jù)挖掘的入侵檢測系統(tǒng)可以在人很少參與的情況下自動地從大量的網(wǎng)絡(luò)數(shù)據(jù)中提取人們不易發(fā)現(xiàn)的行為模式,也提高了系統(tǒng)檢測的準確性。
篇(3)
1入侵檢測系統(tǒng)分析
表1分析了入侵檢測系統(tǒng)結(jié)構(gòu)變化。
表1IDS出現(xiàn)的問題及結(jié)構(gòu)的變化
IDS發(fā)展解決的問題結(jié)構(gòu)特征
基于主機單一主機的安全各部分運行在單節(jié)點上
基于網(wǎng)絡(luò)局域網(wǎng)的安全采集部分呈現(xiàn)分布式
分布式單一分析節(jié)點的弱勢分析部分呈現(xiàn)分布式
網(wǎng)格的運行是由用戶發(fā)起任務(wù)請求,然后尋找資源搭配完成任務(wù),這樣形成的團體稱為虛擬組織(VO),網(wǎng)格入侵檢測系統(tǒng)是為其他VO提供服務(wù)的VO[1],目前其面臨的主要問題如下:
(1)分布性:包括資源分布和任務(wù)分解。
(2)動態(tài)部署:系統(tǒng)是為VO提供服務(wù)的,其部署應(yīng)是動態(tài)的。
(3)動態(tài)形成:系統(tǒng)本身也是一VO,是動態(tài)形成的。
(4)最優(yōu)方案選擇:本系統(tǒng)需多種網(wǎng)格資源協(xié)同進行,要選擇一個最優(yōu)方案。
(5)協(xié)同計算:保證按照入侵檢測流程順利運行。
(6)動態(tài)改變:防止資源失效。
目前關(guān)于網(wǎng)格入侵檢測系統(tǒng)的研究[2]只能說解決了分布性、動態(tài)形成、協(xié)同計算。而對于動態(tài)部署[1]、動態(tài)改變[3]仍處于研究中。
2VGIDS系統(tǒng)模型
VGIDS基于開放網(wǎng)格服務(wù)(OGSA)思想提出了一個公共服務(wù)——GIDSService來解決目前網(wǎng)格入侵檢測系統(tǒng)面臨的問題。整個VGIDS結(jié)構(gòu)如圖1所示。
(1)VO-Based:網(wǎng)格是一個虛擬組織的聚集,本系統(tǒng)提出一虛擬組織目錄(VOL)。用戶向GIDSService提交請求并將被檢測VO代號作為參數(shù)。GIDSSevvice查找VOL獲取VO信息。當VOL數(shù)量減為一就成為單一網(wǎng)格應(yīng)用,可由網(wǎng)格管理(GM)將VO信息傳給GIDSServic。
圖1VGIDS系統(tǒng)結(jié)構(gòu)
(2)GIDSService:負責資源發(fā)現(xiàn),調(diào)度。具體包括:
RI(RequestInterface):服務(wù)接口,負責服務(wù)請求及VO信息獲取。同VOL解決動態(tài)部署。
DA(DelegationAgent):委托。同用戶交互獲得用戶委托授權(quán)。
DD(DistributedData):分布式數(shù)據(jù)。存儲VGIDS需要的資源信息。解決分布問題。
RQ(ResourceQuery):資源查詢。當獲得用戶授權(quán)后便由RQ根據(jù)DD描述向資源目錄(RL)查找資源。解決分布問題。
PC(PlanChoose):最優(yōu)方案選擇。當從RL獲得可用資源后PC根據(jù)AM(任務(wù)管理)要求選擇一個最優(yōu)方案。本文稱為多維最優(yōu)路徑選擇問題。
AM(AssignmentManage):任務(wù)管理。首先根據(jù)DD存儲所需資源的調(diào)度信息,當VGIDS形成后,根據(jù)PC的方案選擇及DD存儲的資源信息進行任務(wù)的調(diào)度和協(xié)同各分布資源的交互,解決協(xié)同計算。
IR(IntrusionReaction):入侵響應(yīng)。
SN(SecurityNegotiate):安全協(xié)商。同資源和用戶的安全協(xié)商。
DI(DynamicInspect):動態(tài)檢查。負責檢查資源失效向RQ發(fā)起重新查找資源請求。解決動態(tài)改變問題。
LB(LoadBalance):負載平衡。主要根據(jù)DD信息解決網(wǎng)格資源調(diào)度的負載平衡問題。
3VGIDS服務(wù)描述
本系統(tǒng)是一動態(tài)虛擬組織,在系統(tǒng)運行之前必須以靜態(tài)網(wǎng)格服務(wù)的形式部署于網(wǎng)格之上,當用戶申請時再動態(tài)形成。
定義1:VGIDS的靜態(tài)定義如下:VGIDS=<Base,Resource,Role,Task,F(xiàn)low,Relation>
Base為VGIDS基本描述,Base=<ID,Power,IO,Inf,log,goal,P>。ID為虛擬組織編號;Power為獲得的授權(quán);IO為被檢測對象;Inf為監(jiān)控VGIDS獲得的信息文件;log為系統(tǒng)日志;goal為VGIDS目標,包括調(diào)度算法所估計的系統(tǒng)效率及用戶要求;P為系統(tǒng)交互策略,需同網(wǎng)格資源進行交互,授予資源角色和相關(guān)權(quán)利并同時分配相關(guān)任務(wù)。
Resource為VGIDS的所有資源,Resource=<IP,Property,Serve,Power,P>。
IP為資源地址;Property為資源屬性(存儲、分析),方便角色匹配;Serve為資源可提供的服務(wù)指標;Power為使用資源所要求的授權(quán);P為資源交互策略。
Role為存在的角色類型,Role=<ID,Tas,Res,Power>。ID為角色的分類號,按照工作流分為5類角色分別對應(yīng)VGIDS的5個環(huán)節(jié);Tas為角色任務(wù);Res為角色需要的資源類型;Power為角色所獲得的權(quán)利。
Task為工作流任務(wù)集合。Task=<ID,Des,Res,Role,P>。ID為任務(wù)標號;Des為任務(wù)描述;Res為需要的資源種類;Role為任務(wù)匹配的角色;P為Task執(zhí)行策略。
Flow為工作流描述文件,F(xiàn)low=<Role,Seq,P>。Role為角色集合,Seq為角色執(zhí)行序列,P為對于各個角色的控制策略。
Relation為已確定資源Resource和Role之間的關(guān)系。Relation=<Res,Role,Rl>。Res為資源集合,Role為角色集合,Rl為對應(yīng)關(guān)系。
4多維最優(yōu)路徑選擇
4.1問題描述
將圖1抽象為圖2模型定義2:Graph=(U、D、A、{Edge})。
U為所有被檢測對象的集合,Un=(Loadn、Pn),Loadn為Un單位時間所要求處理的數(shù)據(jù),Pn為Un在被檢測VO中所占權(quán)重,如果P為空,則按照Load大小作為權(quán)重。
D為存儲服務(wù)集合,Dn=(Capn、Qosdn),Capn為Dn提供的存儲容量。Qosdn為Dn提供的服務(wù)質(zhì)量,近似為數(shù)據(jù)吞吐率。
A為分析服務(wù)集合,An=(Classn、Qosan),Classn為An處理的數(shù)據(jù)種類,如系統(tǒng)日志或網(wǎng)絡(luò)流量。Qosan為An提供的服務(wù)質(zhì)量,近似為處理速率。
Edge為邊的集合,有網(wǎng)絡(luò)傳輸速度加權(quán)v。
圖2VGIDS調(diào)度模型
定義3:Qos定義為一個多維向量,可用一個性能度量指標的集合表示:
{M1(t)、M2(t),…,Mn(t)}
Mn(t)為一個與網(wǎng)格服務(wù)質(zhì)量有關(guān)的量,如CPU的主頻、網(wǎng)絡(luò)速度、內(nèi)存。服務(wù)的執(zhí)行過程體現(xiàn)出來的性能參數(shù)是一條n維空間的軌跡M,這個n維空間的每一維代表一個性能指標
M=R1*R2*…*Rn
其中,Rn是性能指標Mn(t)的取值范圍。在本系統(tǒng)中存在兩類Qos,分別為D和A。本系統(tǒng)強調(diào)實時性,所以CPU、RAM和網(wǎng)絡(luò)速度占很大權(quán)重,Qos計算公式如下:
Wcpu表示CPU的權(quán)重;CPUusage表示當前CPU使用率;CPUspeed表示CPU的實際速度;CPUmin表示要求的CPU速率的最小值。Wram表示RAM的權(quán)重;RAMusage表示當前RAM使用率;RAMsize表示RAM的實際大小;RAMmin表示要求的RAM的最小值。Wnet表示網(wǎng)絡(luò)傳輸?shù)臋?quán)重;NETusage表示當前網(wǎng)絡(luò)負載;NETspeed表示網(wǎng)絡(luò)的實際速度;NETmin表示要求的網(wǎng)絡(luò)傳輸速率的最小值。
資源調(diào)度就是利用對各個資源的量化,為每一檢測對象選擇一條數(shù)據(jù)傳輸路徑。本系統(tǒng)目標是使整個VO獲得快速的檢測,而不是對個別對象的檢測速率很高。
定義4:對于任意一個被檢測VO的檢測對象,如果能夠為其構(gòu)造一條檢測路徑,稱系統(tǒng)對于此對象是完備的。
定義5:對于VO,如果能夠為其所有的檢測對象構(gòu)造檢測路徑,則稱系統(tǒng)對于被檢測VO是完備的。
本調(diào)度算法的目的便是在滿足被檢測VO和入侵檢測工作流要求下,按照所選網(wǎng)格資源提供的能力為整個VO構(gòu)造VGIDS,使所有被檢測對象檢測效率之和最高。這是一非典型的線性規(guī)劃問題,如下定義:
X1,…Xn是n個獨立變量,表示VGIDS所選路徑;公式<5>表示最大耗費時間;公式<6>—<8>表示所有對于Xn的約束條件。由于Xn變量難以確定并且約束條件種類較多所以難以將上述問題標準化為公式<5>—<8>。
4.2算法描述
本文利用貪心選擇和Dijkstra算法進行調(diào)度。
按照用戶給出的U的權(quán)值P從大到小進行排序,if(P==NULL),則按Load從大到小進行排序得到排序后的對象數(shù)組和負載數(shù)組為
U[i](0<i≤n,n為U的大小);Load[i](0<i≤n,n為U的大小)
for(i=0;i<=n;i++),循環(huán)對U和Load執(zhí)行以下操作:
(1)對于所有邊,定義其權(quán)值為網(wǎng)絡(luò)傳輸時間t=Load[i]/v,對于所有服務(wù)D和A定義其處理數(shù)據(jù)時間為t1=Load[i]/Qos,將t1加到每一個服務(wù)的入邊上得到最終各邊權(quán)值,如果兩點之間沒有邊相連則t[j]為∞。
(2)定義Capmin[i]為U[i]對于數(shù)據(jù)存儲能力的最低要求,Qosdmin為U[i]對于D中服務(wù)質(zhì)量的最低要求,Qosamin為U[i]對于A中服務(wù)質(zhì)量的最低要求。對于所有D中Cap<Capmin[i]或者Qosd<Qosdmin的節(jié)點以及A中Qosa<Qosamin[i]的節(jié)點,將其所有輸入和輸出邊的t設(shè)為∞。
(3)設(shè)所有點集合為V,V0為檢測對象,邊Edge定義為<Vi,Vj>。用帶權(quán)連接矩陣arcs[i][j]表示<Vi,Vj>的權(quán)值。定義向量D表示當前所找到的從起點V0到終點Vi的最短路徑,初始化為若V0到Vi有邊,則D[i]為邊的權(quán)值,否則置D[i]為∞。定義向量P來保存最短路徑,若P[v][w]為TRUE,則W是從V0到V當前求得最短路徑上的頂點。
(4)for(v=0;v<v.number;v++)
{
final[v]=false;
D[v]=arcs[v0][v];
for(w=0;w<v.number;++w)P[v][w]=false;
//設(shè)空路徑
if(D[v]<INFINITY){P[v][v0]=true;P[v][v]=true;}}
D[v0]=0;final[v0]=true;//初始化,V0頂點屬于已求得最短路徑的終點集合
for(i=1;i<v.number;++i){
min=INFINITY;
for(w=0;w<v.number;++w)
if(!final[w])
if(D[w]<min){v=w;min=D[w];}
final[v]=true;
for(w=0;w<v.number;++w)//更新當前最短路徑及距離;
if(!final[w]&&(min+arcs[v][w]<D[w])){
D[w]=min+arcs[v][w];
P[w]=P[v];P[w][w]=true;
}}}
掃描A中各點,選取其中D[i](Vi∈A)最小的一點X,然后從P中選取從V0到X的路徑便為所選一條VGIDS路徑。
(5)將所選路徑上的邊的速率改為V=V-Load[i],D的Cap改為Cap=Cap-Capmin,D的Qosd改為Qosd=Qosd-Qosdmin,A的Qosa改為Qosa=Qosa-Qosamin。
(6)++i,回到步驟(1)重新開始循環(huán)。
5系統(tǒng)開發(fā)
本項目主要利用Globus工具包外加CoGKits開發(fā)工具。Globus作為一個廣泛應(yīng)用的網(wǎng)格中間件其主要是針對五層沙漏結(jié)構(gòu),并利用GridService技術(shù)逐層對五層沙漏提出的功能單源進行實現(xiàn)[5],表2簡單敘述VGIDS實現(xiàn)的各層功能及Globus中對應(yīng)服務(wù)調(diào)用。
實驗時VGIDS部署在Linux系統(tǒng)上,采用基于Linux核心的數(shù)據(jù)采集技術(shù)及Oracle10g作為數(shù)據(jù)庫系統(tǒng)解決分布式存儲問題,數(shù)據(jù)分析技術(shù)仍采用現(xiàn)有的基于規(guī)則的入侵檢測技術(shù)。系統(tǒng)試驗平臺如圖3所示。
表2系統(tǒng)功能劃分及調(diào)用接口
五層結(jié)構(gòu)VGIDSGlobus
應(yīng)用層GridService無
匯聚層資源發(fā)現(xiàn)、證書管理、目錄復(fù)制、復(fù)制管理、協(xié)同分配元目錄服務(wù)MDS,目錄復(fù)制和復(fù)制管理服務(wù),在線信任倉儲服務(wù),DUROC協(xié)同分配服務(wù)
資源層訪問計算、訪問數(shù)據(jù)、訪問系統(tǒng)結(jié)構(gòu)與性能信息提供GRIP、GRRP、基于http的GRAM用于分配資源和監(jiān)視資源,提供GridFtp數(shù)據(jù)訪問管理協(xié)議及LDAP目錄訪問協(xié)議。Globus定義了這些協(xié)議的C和Java實現(xiàn)
連接層通信、認證、授權(quán)提供GSI協(xié)議用于認證、授權(quán)、及通信保密
構(gòu)造層數(shù)據(jù)采集、數(shù)據(jù)存儲、數(shù)據(jù)分析提供缺省和GARA資源預(yù)約
圖3系統(tǒng)試驗平臺
本平臺共8臺機器,一臺網(wǎng)格目錄服務(wù)和CA認證中心,一臺部署VGIDS服務(wù)。兩臺機器作為被檢測對象,相互之間可實現(xiàn)簡單網(wǎng)格協(xié)作,本試驗兩臺機器之間通過GridFtp服務(wù)傳輸數(shù)據(jù)。其余四臺機器分別實現(xiàn)兩個存儲服務(wù)和兩個分析服務(wù)。
6總結(jié)和展望
目前網(wǎng)格入侵檢測系統(tǒng)主要是針對某一特定網(wǎng)格應(yīng)用靜態(tài)執(zhí)行。而本文所提出的VGIDS則是針對網(wǎng)格運行模式——虛擬組織所提出的通用網(wǎng)格入侵檢測服務(wù)。本系統(tǒng)事先進行靜態(tài)定義,然后當有服務(wù)請求時動態(tài)解析定義文件,動態(tài)形成可執(zhí)行的網(wǎng)格入侵檢測系統(tǒng)。本系統(tǒng)解決目前網(wǎng)格入侵檢測系統(tǒng)面臨的動態(tài)部署、動態(tài)形成、最優(yōu)方案選擇、動態(tài)改變等問題。
對于網(wǎng)格入侵檢測系統(tǒng)同樣還面臨著如何解決數(shù)據(jù)異構(gòu),如何發(fā)現(xiàn)分布式協(xié)同攻擊,如何保障自身的安全等問題,本模型有待進一步完善。
參考文獻
[1]OngTianChoonandAzmanSamsudin.Grid-basedIntrusionDetectionSystem.SchoolofComputerSciencesUniversitySainsMalaysia,IEEE,2003.1028-1032
[2]AlexandreSchulterandJúlioAlbuquerqueReis.AGrid-worksandManagementLaboratoryFederalUniversityofSantaCatarina,ProceedingsoftheInternationalConferenceonNetworking,InternationalConferenceonSystemsandInternationalConferenceonMobileCommunicationsandLearningTechnologies.IEEE,2006
篇(4)
2頂層設(shè)計的作用
應(yīng)用規(guī)范可以為用戶提煉一個系統(tǒng)的、完整的、關(guān)于應(yīng)用效果的準確表達,成為工程設(shè)計方全面而嚴謹?shù)脑O(shè)計和驗收的依據(jù),并對施工工藝提供相應(yīng)的指導(dǎo)。由于應(yīng)用規(guī)范的定義,所有的描述內(nèi)容僅涉及應(yīng)用效果,而不規(guī)定具體技術(shù)和產(chǎn)品,其開放式的結(jié)構(gòu)不僅為更多新技術(shù)的進入提供了廣闊空間,同時對新技術(shù)予以嚴謹?shù)募s束和指導(dǎo),避免應(yīng)用中采用“似是而非”的技術(shù);避免生產(chǎn)廠商以“先進技術(shù)”誤導(dǎo)用戶和工程設(shè)計及施工方。
3以“頂層設(shè)計”的方法規(guī)劃智能建筑的入侵探測技術(shù)配置的一般性過程
3.1全方位準確描述智能建筑的應(yīng)用環(huán)境
3.1.1智能建筑內(nèi)部空間的基本功能在智能建筑的內(nèi)部空間中,符合準入權(quán)限的人員及其喂養(yǎng)的各類寵物,均可以在其中無拘束地自由活動。
3.1.2智能建筑(以住宅類為例)由各種不同的功能區(qū)域構(gòu)成智能建筑可以由屏障式建筑體(院墻/大門)、過渡空間(院落)、主體建筑、附屬建筑等多種建筑形態(tài)構(gòu)成,也可以是單獨的多/高層樓宇式建筑物。1)室外建筑構(gòu)成體在外形特征的相關(guān)變化院落形態(tài)變化對比如表1所示。2)室內(nèi)空間功能多樣化及其內(nèi)部環(huán)境條件多元化為了滿足多個不同個體的人員、多層面應(yīng)用需求,智能建筑內(nèi)部可能設(shè)置有廳/餐/廚/衛(wèi)/主/客/傭/影視/文娛/體/閱讀等不同功能空間。這些空間在不同時段會滿足于個體應(yīng)用需求的溫濕度差異;且在不同時段分布不同色溫、不同照度、不同波長的光照明、不同頻譜、不同規(guī)律、不同響度的聲音等。3)智能建筑中配置滿足不同層面需要的各類設(shè)施為了滿足住戶多層面的應(yīng)用需求,智能建筑中分布有大量的水/電/氣管路;配置了空氣溫濕度、理化潔凈度探測控制裝置,各類照明、感應(yīng)、影音播放及相關(guān)控制裝置,各類實現(xiàn)建筑物內(nèi)部及內(nèi)/外聯(lián)系的通信裝置;不同功能空間中還配置有特定的電器裝置,甚至某些空間中還配置了可以自動“行走”的從事清潔等服務(wù)的機器(人)。上述各種設(shè)施是建筑物內(nèi)各種頻率/振幅的機械振動或波振動源;在不同時段也可能在較寬頻譜范圍內(nèi)形成不同調(diào)制方式、不同能量的空間電磁波輻射(包括光波)和/或線路上的電磁擾動。綜合以上分析得出結(jié)論:合法入住的人員及寵物的正常活動,智能建筑內(nèi)部配置的各類電氣裝置的正常工作狀況,均會成為傳統(tǒng)型入侵探測技術(shù)的干擾源。
3.2以另一種角度解析入侵探測技術(shù)
入侵探測的本質(zhì):采用物理測量技術(shù),識別出“不允許進入特定區(qū)域的人”。探測技術(shù)發(fā)展經(jīng)歷了以下幾個階段,并各具相應(yīng)特性。
3.2.1入侵探測技術(shù)的智能化進程初級型階段的入侵探測技術(shù)是針對參照物“有沒有”實施最簡單判斷,使用的典型技術(shù)是鐵磁性“接近開關(guān)”對門、窗的“開/閉”狀態(tài)判斷,以門/窗有沒有開啟作為觸發(fā)報警條件。傳統(tǒng)型階段的入侵探測技術(shù)達到了“什么樣”的判斷水平——針對移動特性與體積、重量、溫度、外形等參量之一的探測,以上述物理參量是否存在或以某個特定值作為預(yù)設(shè)的觸發(fā)報警條件。智能型入侵探測的智能水平達到了判別“是誰”的能力——采用各類生物識別技術(shù),實現(xiàn)對特定人員身份的探測(識別)。本文針對智能建筑的入侵探測應(yīng)用討論,所以探討內(nèi)容涵蓋傳統(tǒng)型入侵探測技術(shù)和生物識別技術(shù)(智能型入侵探測技術(shù))。
3.2.2傳統(tǒng)型入侵探測技術(shù)——對人的外部物理特征(共性)參量實施探測傳統(tǒng)型入侵探測技術(shù)針對入侵行為的主要特性——移動,同時為了提升探測的準確性,再針對人員常見的幾種外部物理參量之一進行探測,如表3所示。各類傳統(tǒng)型入侵探測技術(shù)僅針對人員單一的外部物理參量實施探測,探測效果相當于“盲人摸象”,可能得出不準確的結(jié)論;更重要的是,傳統(tǒng)型入侵探測裝置不可能區(qū)分出觸發(fā)者是用戶還是非法入侵者,所以不適于在智能建筑的室內(nèi)安裝應(yīng)用。
3.2.3智能型入侵探測技術(shù)——對人的外部社會特性(個性)實施探測用戶與入侵者區(qū)分依據(jù)是人的外部社會特性,是每個人與其他人之間不同的、可測或可度量的、外在的(生物或者人為附加)特征。表4列出了目前不同的生物特征測量技術(shù),對人實現(xiàn)區(qū)分所需要的時間和空間條件,而根據(jù)這些條件,可以針對智能建筑中不同區(qū)域的應(yīng)用需求,選擇合適的探測技術(shù),如表4所示。5.3智能建筑不同功能區(qū)域?qū)θ肭痔綔y應(yīng)用需求及配置智能建筑內(nèi)部區(qū)域?qū)θ肭痔綔y的應(yīng)用需求及配置建議如表5所示。
4應(yīng)用規(guī)范的通用性規(guī)定
4.1入侵探測裝置合法性必須獲得強制性認證證書的有效覆蓋;沒有現(xiàn)行強制性認證標準的產(chǎn)品,需要獲得自愿認證證書的有效覆蓋。產(chǎn)品參照標準中的具體相關(guān)技術(shù)指標,均應(yīng)滿足應(yīng)用規(guī)范規(guī)定。
4.2配置合理性針對智能建筑的不同部位或區(qū)域,配置與應(yīng)用需求對應(yīng)類別的入侵探測裝置,比如:建筑物內(nèi)部屬于人員及寵物活動區(qū)域,入侵探測的應(yīng)用需求是“確定進入該空間的人員是否具有相應(yīng)的權(quán)限”,依據(jù)此需求,建筑物內(nèi)部原則上不應(yīng)配置傳統(tǒng)型入侵探測裝置(當然,針對廚房等某些具有危險物品的空間,為防止嬰幼兒或?qū)櫸锱廊耄赡懿捎脗鹘y(tǒng)型入侵探測裝置。當然在具體的配置過程中,還需要滿足應(yīng)用需求的其他方面);而傳統(tǒng)型入侵探測裝置應(yīng)配置在智能建筑外部,特別是周界,當然還應(yīng)該滿足構(gòu)成“封閉式防范”和對外觀適應(yīng)性等其他要求。根據(jù)表2所列的內(nèi)容,可以得出明確結(jié)論——傳統(tǒng)型入侵探測由于不具備識別人員身份的能力,通常只能設(shè)置于智能建筑的外部,擔任判斷是否有“人員入侵”的工作。若安裝于圍墻/圍欄/窗/陽臺等不允許人員“合法”出入的周界區(qū)域,只要發(fā)現(xiàn)有“目標”越過這些區(qū)域(無論是“出”或者是“入”),都必須輸出報警信號。而具體應(yīng)該采用何種入侵探測技術(shù),應(yīng)根據(jù)每種入侵探測技術(shù)的特點及具體應(yīng)用需求來確定。
4.3風險等級適配性1)應(yīng)用規(guī)范應(yīng)規(guī)定智能建筑的風險等級,以及入侵探測裝置的防范嚴密性等級。2)配置與風險等級對應(yīng)的入侵探測裝置類別,除了與空間條件相適應(yīng)外,其探測的嚴密程度也應(yīng)該與建筑的風險等級相對應(yīng)。比如:對于低風險等級建筑的門禁可以采用IC卡、密碼等探測技術(shù);高風險等級建筑的門禁應(yīng)用可以采用其他相應(yīng)的生物識別技術(shù)。3)配置與風險等級對應(yīng)的入侵探測裝置。低風險等級的周界配置的入侵探測裝置的觸發(fā)響應(yīng)時間或探測靈敏度指標可以較低,而高風險等級的周界配置入侵探測裝置的相應(yīng)技術(shù)指標要求較高。
4.4探測介質(zhì)安全性建筑的入侵探測裝置在長期使用的條件下,對人員物不產(chǎn)生任何傷害;建筑物外使用的入侵探測裝置,在短時間內(nèi)不應(yīng)對人員(包含入侵者)產(chǎn)生傷害。
4.5環(huán)境適應(yīng)性1)入侵探測裝置的外觀造型應(yīng)與整體建筑造型風格和景觀觀感相適應(yīng)。2)入侵探測裝置的探測介質(zhì)、通訊介質(zhì)電磁參量等應(yīng)該與智能建筑整體(局部)電磁環(huán)境相適應(yīng),不會產(chǎn)生相互干擾。
4.6探測技術(shù)的互補與協(xié)調(diào)性1)在同一空間或區(qū)域內(nèi),可采用兩種或以上探測介質(zhì)不同但探測區(qū)域重合的入侵探測(身份識別)技術(shù),減少漏報警的機會。2)對不同空間或區(qū)域配置的相同或不同探測裝置之間的異常信號實現(xiàn)統(tǒng)一管理與分析,提高報警準確率。
4.7資源配置的節(jié)約性1)由于智能建筑內(nèi)分布大量的環(huán)境類探測器、傳感器,形成廣泛分布的傳輸通道,在保障“報警優(yōu)先”并確保可有效避免“通道阻塞”條件下,入侵探測裝置的輸出/遠端控制宜盡可能利用智能建筑內(nèi)部配置的其他探測裝置的信號通道。2)門禁確認進入人員身份的識別信號,可以提供給后續(xù)智能控制系統(tǒng),實現(xiàn)“具體房間室內(nèi)溫濕度、燈光色調(diào)/照度、音響內(nèi)容與響度、沐浴水溫”多參量的個性化調(diào)節(jié)等應(yīng)用環(huán)節(jié)。3)配置于室內(nèi)的攝像機,可以同時用于入侵探測與火警探測兩種報警復(fù)核。可考慮具有“模糊的行為識別”與“高清的取證識別”兩種工作模式,以應(yīng)對不同風險等級或應(yīng)對不同級別隱私保護需求。4)環(huán)境類痕量化學傳感器與入侵探測功能交互。住戶個人生活習慣,如從吸煙或使用化妝品品牌的痕量分析作為身份識別,既可以根據(jù)習慣性化學痕量判斷對于住戶個人的個性化實施調(diào)節(jié);也可以將與習慣性品牌痕量分析不符合的分析結(jié)果,作為入侵(內(nèi)部人員非法進入)報警參考條件。
4.8使用便利性入侵探測裝置的安裝、調(diào)試、維護、保養(yǎng)應(yīng)方便。家居型智能建筑應(yīng)用的入侵探測裝置最大程度提升DIY水平;在不能或不宜采用DIY方式安裝的場所,或入侵探測裝置本身的DIY程度要求不高的條件下,入侵探測裝置應(yīng)分別配置針對現(xiàn)場用戶和安全控制中心的故障提示方式。
4.9與風險等級對應(yīng)價格體系的合理性與可承受性1)性能/價格比是相應(yīng)用戶可以接受的(首先是性能,然后才是價格)。2)價格與產(chǎn)品風險等級對應(yīng),“優(yōu)質(zhì)優(yōu)價”。3)價格體系應(yīng)該給生產(chǎn)、銷售、安裝、調(diào)試、維保等環(huán)節(jié)留有相應(yīng)生存空間,最好還留有發(fā)展空間,杜絕惡性價格競爭。
4.10入侵探測裝置使用年限的規(guī)定入侵探測裝置應(yīng)規(guī)定使用年限,以室內(nèi)不超過5年、室外不超過3年為宜。
4.11入侵探測裝置不適用條件的規(guī)定1)系統(tǒng)集成商在構(gòu)成系統(tǒng)過程中,在入侵探測裝置無法承受氣候時,系統(tǒng)對入侵探測裝置予以“屏蔽”。2)用戶對于不同空間隱私性、不同時間準入條件等具體應(yīng)用需求,明確規(guī)定不適用的入侵探測裝置或入侵探測系統(tǒng)相應(yīng)功能不適用的時間段。
篇(5)
在網(wǎng)絡(luò)技術(shù)日新月異的今天,寫作論文基于網(wǎng)絡(luò)的計算機應(yīng)用已經(jīng)成為發(fā)展的主流。政府、教育、商業(yè)、金融等機構(gòu)紛紛聯(lián)入Internet,全社會信息共享已逐步成為現(xiàn)實。然而,近年來,網(wǎng)上黑客的攻擊活動正以每年10倍的速度增長。因此,保證計算機系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)以及整個信息基礎(chǔ)設(shè)施的安全已經(jīng)成為刻不容緩的重要課題。
1防火墻
目前防范網(wǎng)絡(luò)攻擊最常用的方法是構(gòu)建防火墻。
防火墻作為一種邊界安全的手段,在網(wǎng)絡(luò)安全保護中起著重要作用。其主要功能是控制對網(wǎng)絡(luò)的非法訪問,通過監(jiān)視、限制、更改通過網(wǎng)絡(luò)的數(shù)據(jù)流,一方面盡可能屏蔽內(nèi)部網(wǎng)的拓撲結(jié)構(gòu),另一方面對內(nèi)屏蔽外部危險站點,以防范外對內(nèi)的非法訪問。然而,防火墻存在明顯的局限性。
(1)入侵者可以找到防火墻背后可能敞開的后門。如同深宅大院的高大院墻不能擋住老鼠的偷襲一樣,防火墻有時無法阻止入侵者的攻擊。
(2)防火墻不能阻止來自內(nèi)部的襲擊。調(diào)查發(fā)現(xiàn),50%的攻擊都將來自于網(wǎng)絡(luò)內(nèi)部。
(3)由于性能的限制,防火墻通常不能提供實時的入侵檢測能力。寫作畢業(yè)論文而這一點,對于層出不窮的網(wǎng)絡(luò)攻擊技術(shù)來說是至關(guān)重要的。
因此,在Internet入口處部署防火墻系統(tǒng)是不能確保安全的。單純的防火墻策略已經(jīng)無法滿足對安全高度敏感部門的需要,網(wǎng)絡(luò)的防衛(wèi)必須采用一種縱深的、多樣化的手段。
由于傳統(tǒng)防火墻存在缺陷,引發(fā)了入侵檢測IDS(IntrusionDetectionSystem)的研究和開發(fā)。入侵檢測是防火墻之后的第二道安全閘門,是對防火墻的合理補充,在不影響網(wǎng)絡(luò)性能的情況下,通過對網(wǎng)絡(luò)的監(jiān)測,幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊,擴展系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視、進攻識別和響應(yīng)),提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性,提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。現(xiàn)在,入侵檢測已經(jīng)成為網(wǎng)絡(luò)安全中一個重要的研究方向,在各種不同的網(wǎng)絡(luò)環(huán)境中發(fā)揮重要作用。
2入侵檢測
2.1入侵檢測
入侵檢測是通過從計算機網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析,從中發(fā)現(xiàn)違反安全策略的行為和遭到攻擊的跡象,并做出自動的響應(yīng)。其主要功能是對用戶和系統(tǒng)行為的監(jiān)測與分析、系統(tǒng)配置和漏洞的審計檢查、重要系統(tǒng)和數(shù)據(jù)文件的完整性評估、已知的攻擊行為模式的識別、異常行為模式的統(tǒng)計分析、操作系統(tǒng)的審計跟蹤管理及違反安全策略的用戶行為的識別。入侵檢測通過迅速地檢測入侵,在可能造成系統(tǒng)損壞或數(shù)據(jù)丟失之前,識別并驅(qū)除入侵者,使系統(tǒng)迅速恢復(fù)正常工作,并且阻止入侵者進一步的行動。同時,收集有關(guān)入侵的技術(shù)資料,用于改進和增強系統(tǒng)抵抗入侵的能力。
入侵檢測可分為基于主機型、基于網(wǎng)絡(luò)型、基于型三類。從20世紀90年代至今,寫作英語論文已經(jīng)開發(fā)出一些入侵檢測的產(chǎn)品,其中比較有代表性的產(chǎn)品有ISS(IntemetSecuritySystem)公司的Realsecure,NAI(NetworkAssociates,Inc)公司的Cybercop和Cisco公司的NetRanger。
2.2檢測技術(shù)
入侵檢測為網(wǎng)絡(luò)安全提供實時檢測及攻擊行為檢測,并采取相應(yīng)的防護手段。例如,實時檢測通過記錄證據(jù)來進行跟蹤、恢復(fù)、斷開網(wǎng)絡(luò)連接等控制;攻擊行為檢測注重于發(fā)現(xiàn)信息系統(tǒng)中可能已經(jīng)通過身份檢查的形跡可疑者,進一步加強信息系統(tǒng)的安全力度。入侵檢測的步驟如下:
收集系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為的信息
入侵檢測一般采用分布式結(jié)構(gòu),在計算機網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(不同網(wǎng)段和不同主機)收集信息,一方面擴大檢測范圍,另一方面通過多個采集點的信息的比較來判斷是否存在可疑現(xiàn)象或發(fā)生入侵行為。
入侵檢測所利用的信息一般來自以下4個方面:系統(tǒng)和網(wǎng)絡(luò)日志文件、目錄和文件中的不期望的改變、程序執(zhí)行中的不期望行為、物理形式的入侵信息。
(2)根據(jù)收集到的信息進行分析
常用的分析方法有模式匹配、統(tǒng)計分析、完整性分析。模式匹配是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進行比較,從而發(fā)現(xiàn)違背安全策略的行為。
統(tǒng)計分析方法首先給系統(tǒng)對象(如用戶、文件、目錄和設(shè)備等)創(chuàng)建一個統(tǒng)計描述,統(tǒng)計正常使用時的一些測量屬性。測量屬性的平均值將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進行比較。當觀察值超出正常值范圍時,就有可能發(fā)生入侵行為。該方法的難點是閾值的選擇,閾值太小可能產(chǎn)生錯誤的入侵報告,閾值太大可能漏報一些入侵事件。
完整性分析主要關(guān)注某個文件或?qū)ο笫欠癖桓模ㄎ募湍夸浀膬?nèi)容及屬性。該方法能有效地防范特洛伊木馬的攻擊。
3分類及存在的問題
入侵檢測通過對入侵和攻擊行為的檢測,查出系統(tǒng)的入侵者或合法用戶對系統(tǒng)資源的濫用和誤用。寫作工作總結(jié)根據(jù)不同的檢測方法,將入侵檢測分為異常入侵檢測(AnomalyDetection)和誤用人侵檢測(MisuseDetection)。
3.1異常檢測
又稱為基于行為的檢測。其基本前提是:假定所有的入侵行為都是異常的。首先建立系統(tǒng)或用戶的“正常”行為特征輪廓,通過比較當前的系統(tǒng)或用戶的行為是否偏離正常的行為特征輪廓來判斷是否發(fā)生了入侵。此方法不依賴于是否表現(xiàn)出具體行為來進行檢測,是一種間接的方法。
常用的具體方法有:統(tǒng)計異常檢測方法、基于特征選擇異常檢測方法、基于貝葉斯推理異常檢測方法、基于貝葉斯網(wǎng)絡(luò)異常檢測方法、基于模式預(yù)測異常檢測方法、基于神經(jīng)網(wǎng)絡(luò)異常檢測方法、基于機器學習異常檢測方法、基于數(shù)據(jù)采掘異常檢測方法等。
采用異常檢測的關(guān)鍵問題有如下兩個方面:
(1)特征量的選擇
在建立系統(tǒng)或用戶的行為特征輪廓的正常模型時,選取的特征量既要能準確地體現(xiàn)系統(tǒng)或用戶的行為特征,又能使模型最優(yōu)化,即以最少的特征量就能涵蓋系統(tǒng)或用戶的行為特征。
(2)參考閾值的選定
由于異常檢測是以正常的特征輪廓作為比較的參考基準,因此,參考閾值的選定是非常關(guān)鍵的。
閾值設(shè)定得過大,那漏警率會很高;閾值設(shè)定的過小,則虛警率就會提高。合適的參考閾值的選定是決定這一檢測方法準確率的至關(guān)重要的因素。
由此可見,異常檢測技術(shù)難點是“正常”行為特征輪廓的確定、特征量的選取、特征輪廓的更新。由于這幾個因素的制約,異常檢測的虛警率很高,但對于未知的入侵行為的檢測非常有效。此外,由于需要實時地建立和更新系統(tǒng)或用戶的特征輪廓,這樣所需的計算量很大,對系統(tǒng)的處理性能要求很高。
3.2誤用檢測
又稱為基于知識的檢測。其基本前提是:假定所有可能的入侵行為都能被識別和表示。首先,寫作留學生論文對已知的攻擊方法進行攻擊簽名(攻擊簽名是指用一種特定的方式來表示已知的攻擊模式)表示,然后根據(jù)已經(jīng)定義好的攻擊簽名,通過判斷這些攻擊簽名是否出現(xiàn)來判斷入侵行為的發(fā)生與否。這種方法是依據(jù)是否出現(xiàn)攻擊簽名來判斷入侵行為,是一種直接的方法。
常用的具體方法有:基于條件概率誤用入侵檢測方法、基于專家系統(tǒng)誤用入侵檢測方法、基于狀態(tài)遷移分析誤用入侵檢測方法、基于鍵盤監(jiān)控誤用入侵檢測方法、基于模型誤用入侵檢測方法。誤用檢測的關(guān)鍵問題是攻擊簽名的正確表示。
誤用檢測是根據(jù)攻擊簽名來判斷入侵的,根據(jù)對已知的攻擊方法的了解,用特定的模式語言來表示這種攻擊,使得攻擊簽名能夠準確地表示入侵行為及其所有可能的變種,同時又不會把非入侵行為包含進來。由于多數(shù)入侵行為是利用系統(tǒng)的漏洞和應(yīng)用程序的缺陷,因此,通過分析攻擊過程的特征、條件、排列以及事件間的關(guān)系,就可具體描述入侵行為的跡象。這些跡象不僅對分析已經(jīng)發(fā)生的入侵行為有幫助,而且對即將發(fā)生的入侵也有預(yù)警作用。
誤用檢測將收集到的信息與已知的攻擊簽名模式庫進行比較,從中發(fā)現(xiàn)違背安全策略的行為。由于只需要收集相關(guān)的數(shù)據(jù),這樣系統(tǒng)的負擔明顯減少。該方法類似于病毒檢測系統(tǒng),其檢測的準確率和效率都比較高。但是它也存在一些缺點。
3.2.1不能檢測未知的入侵行為
由于其檢測機理是對已知的入侵方法進行模式提取,對于未知的入侵方法就不能進行有效的檢測。也就是說漏警率比較高。
3.2.2與系統(tǒng)的相關(guān)性很強
對于不同實現(xiàn)機制的操作系統(tǒng),由于攻擊的方法不盡相同,很難定義出統(tǒng)一的模式庫。另外,誤用檢測技術(shù)也難以檢測出內(nèi)部人員的入侵行為。
目前,由于誤用檢測技術(shù)比較成熟,多數(shù)的商業(yè)產(chǎn)品都主要是基于誤用檢測模型的。不過,為了增強檢測功能,不少產(chǎn)品也加入了異常檢測的方法。
4入侵檢測的發(fā)展方向
隨著信息系統(tǒng)對一個國家的社會生產(chǎn)與國民經(jīng)濟的影響越來越大,再加上網(wǎng)絡(luò)攻擊者的攻擊工具與手法日趨復(fù)雜化,信息戰(zhàn)已逐步被各個國家重視。近年來,入侵檢測有如下幾個主要發(fā)展方向:
4.1分布式入侵檢測與通用入侵檢測架構(gòu)
傳統(tǒng)的IDS一般局限于單一的主機或網(wǎng)絡(luò)架構(gòu),對異構(gòu)系統(tǒng)及大規(guī)模的網(wǎng)絡(luò)的監(jiān)測明顯不足,再加上不同的IDS系統(tǒng)之間不能很好地協(xié)同工作。為解決這一問題,需要采用分布式入侵檢測技術(shù)與通用入侵檢測架構(gòu)。
4.2應(yīng)用層入侵檢測
許多入侵的語義只有在應(yīng)用層才能理解,然而目前的IDS僅能檢測到諸如Web之類的通用協(xié)議,而不能處理LotusNotes、數(shù)據(jù)庫系統(tǒng)等其他的應(yīng)用系統(tǒng)。許多基于客戶/服務(wù)器結(jié)構(gòu)、中間件技術(shù)及對象技術(shù)的大型應(yīng)用,也需要應(yīng)用層的入侵檢測保護。
4.3智能的入侵檢測
入侵方法越來越多樣化與綜合化,盡管已經(jīng)有智能體、神經(jīng)網(wǎng)絡(luò)與遺傳算法在入侵檢測領(lǐng)域應(yīng)用研究,但是,這只是一些嘗試性的研究工作,需要對智能化的IDS加以進一步的研究,以解決其自學習與自適應(yīng)能力。
4.4入侵檢測的評測方法
用戶需對眾多的IDS系統(tǒng)進行評價,評價指標包括IDS檢測范圍、系統(tǒng)資源占用、IDS自身的可靠性,從而設(shè)計出通用的入侵檢測測試與評估方法與平臺,實現(xiàn)對多種IDS的檢測。
4.5全面的安全防御方案
結(jié)合安全工程風險管理的思想與方法來處理網(wǎng)絡(luò)安全問題,將網(wǎng)絡(luò)安全作為一個整體工程來處理。從管理、網(wǎng)絡(luò)結(jié)構(gòu)、加密通道、防火墻、病毒防護、入侵檢測多方位全面對所關(guān)注的網(wǎng)絡(luò)作全面的評估,然后提出可行的全面解決方案。
綜上所述,入侵檢測作為一種積極主動的安全防護技術(shù),提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護,使網(wǎng)絡(luò)系統(tǒng)在受到危害之前即攔截和響應(yīng)入侵行為,為網(wǎng)絡(luò)安全增加一道屏障。隨著入侵檢測的研究與開發(fā),并在實際應(yīng)用中與其它網(wǎng)絡(luò)管理軟件相結(jié)合,使網(wǎng)絡(luò)安全可以從立體縱深、多層次防御的角度出發(fā),形成人侵檢測、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)監(jiān)控三位一體化,從而更加有效地保護網(wǎng)絡(luò)的安全。
參考文獻
l吳新民.兩種典型的入侵檢測方法研究.計算機工程與應(yīng)用,2002;38(10):181—183
2羅妍,李仲麟,陳憲.入侵檢測系統(tǒng)模型的比較.計算機應(yīng)用,2001;21(6):29~31
3李渙洲.網(wǎng)絡(luò)安全與入侵檢測技術(shù).四川師范大學學報.2001;24(3):426—428
篇(6)
關(guān)鍵詞:入侵檢測異常檢測誤用檢測
在網(wǎng)絡(luò)技術(shù)日新月異的今天,基于網(wǎng)絡(luò)的計算機應(yīng)用已經(jīng)成為發(fā)展的主流。政府、教育、商業(yè)、金融等機構(gòu)紛紛聯(lián)入Internet,全社會信息共享已逐步成為現(xiàn)實。然而,近年來,網(wǎng)上黑客的攻擊活動正以每年10倍的速度增長。因此,保證計算機系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)以及整個信息基礎(chǔ)設(shè)施的安全已經(jīng)成為刻不容緩的重要課題。
1 防火墻
目前防范網(wǎng)絡(luò)攻擊最常用的方法是構(gòu)建防火墻。
防火墻作為一種邊界安全的手段,在網(wǎng)絡(luò)安全保護中起著重要作用。其主要功能是控制對網(wǎng)絡(luò)的非法訪問,通過監(jiān)視、限制、更改通過網(wǎng)絡(luò)的數(shù)據(jù)流,一方面盡可能屏蔽內(nèi)部網(wǎng)的拓撲結(jié)構(gòu),另一方面對內(nèi)屏蔽外部危險站點,以防范外對內(nèi)的非法訪問。然而,防火墻存在明顯的局限性。
(1)入侵者可以找到防火墻背后可能敞開的后門。如同深宅大院的高大院墻不能擋住老鼠的偷襲一樣,防火墻有時無法阻止入侵者的攻擊。
(2)防火墻不能阻止來自內(nèi)部的襲擊。調(diào)查發(fā)現(xiàn),50%的攻擊都將來自于網(wǎng)絡(luò)內(nèi)部。
(3)由于性能的限制,防火墻通常不能提供實時的入侵檢測能力。畢業(yè)論文 而這一點,對于層出不窮的網(wǎng)絡(luò)攻擊技術(shù)來說是至關(guān)重要的。
因此,在Internet入口處部署防火墻系統(tǒng)是不能確保安全的。單純的防火墻策略已經(jīng)無法滿足對安全高度敏感部門的需要,網(wǎng)絡(luò)的防衛(wèi)必須采用一種縱深的、多樣化的手段。
由于傳統(tǒng)防火墻存在缺陷,引發(fā)了入侵檢測IDS(Intrusion Detection System)的研究和開發(fā)。入侵檢測是防火墻之后的第二道安全閘門,是對防火墻的合理補充,在不影響網(wǎng)絡(luò)性能的情況下,通過對網(wǎng)絡(luò)的監(jiān)測,幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊,擴展系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視、進攻識別和響應(yīng)),提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性,提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。現(xiàn)在,入侵檢測已經(jīng)成為網(wǎng)絡(luò)安全中一個重要的研究方向,在各種不同的網(wǎng)絡(luò)環(huán)境中發(fā)揮重要作用。
2 入侵檢測
2.1 入侵檢測
入侵檢測是通過從計算機網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析,從中發(fā)現(xiàn)違反安全策略的行為和遭到攻擊的跡象,并做出自動的響應(yīng)。其主要功能是對用戶和系統(tǒng)行為的監(jiān)測與分析、系統(tǒng)配置和漏洞的審計檢查、重要系統(tǒng)和數(shù)據(jù)文件的完整性評估、已知的攻擊行為模式的識別、異常行為模式的統(tǒng)計分析、操作系統(tǒng)的審計跟蹤管理及違反安全策略的用戶行為的識別。入侵檢測通過迅速地檢測入侵,在可能造成系統(tǒng)損壞或數(shù)據(jù)丟失之前,識別并驅(qū)除入侵者,使系統(tǒng)迅速恢復(fù)正常工作,并且阻止入侵者進一步的行動。同時,收集有關(guān)入侵的技術(shù)資料,用于改進和增強系統(tǒng)抵抗入侵的能力。
入侵檢測可分為基于主機型、基于網(wǎng)絡(luò)型、基于型三類。從20世紀90年代至今,英語論文 已經(jīng)開發(fā)出一些入侵檢測的產(chǎn)品,其中比較有代表性的產(chǎn)品有ISS(Intemet Security System)公司的Realsecure,NAI(Network Associates,Inc)公司的Cybercop和Cisco公司的NetRanger。
2.2 檢測技術(shù)
入侵檢測為網(wǎng)絡(luò)安全提供實時檢測及攻擊行為檢測,并采取相應(yīng)的防護手段。例如,實時檢測通過記錄證據(jù)來進行跟蹤、恢復(fù)、斷開網(wǎng)絡(luò)連接等控制;攻擊行為檢測注重于發(fā)現(xiàn)信息系統(tǒng)中可能已經(jīng)通過身份檢查的形跡可疑者,進一步加強信息系統(tǒng)的安全力度。入侵檢測的步驟如下:
收集系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為的信息
入侵檢測一般采用分布式結(jié)構(gòu),在計算機網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(不同網(wǎng)段和不同主機)收集信息,一方面擴大檢測范圍,另一方面通過多個采集點的信息的比較來判斷是否存在可疑現(xiàn)象或發(fā)生入侵行為。
入侵檢測所利用的信息一般來自以下4個方面:系統(tǒng)和網(wǎng)絡(luò)日志文件、目錄和文件中的不期望的改變、程序執(zhí)行中的不期望行為、物理形式的入侵信息。
(2)根據(jù)收集到的信息進行分析
常用的分析方法有模式匹配、統(tǒng)計分析、完整性分析。模式匹配是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進行比較,從而發(fā)現(xiàn)違背安全策略的行為。
統(tǒng)計分析方法首先給系統(tǒng)對象(如用戶、文件、目錄和設(shè)備等)創(chuàng)建一個統(tǒng)計描述,統(tǒng)計正常使用時的一些測量屬性。測量屬性的平均值將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進行比較。當觀察值超出正常值范圍時,就有可能發(fā)生入侵行為。該方法的難點是閾值的選擇,閾值太小可能產(chǎn)生錯誤的入侵報告,閾值太大可能漏報一些入侵事件。
完整性分析主要關(guān)注某個文件或?qū)ο笫欠癖桓模ㄎ募湍夸浀膬?nèi)容及屬性。該方法能有效地防范特洛伊木馬的攻擊。
3 分類及存在的問題
入侵檢測通過對入侵和攻擊行為的檢測,查出系統(tǒng)的入侵者或合法用戶對系統(tǒng)資源的濫用和誤用。工作總結(jié) 根據(jù)不同的檢測方法,將入侵檢測分為異常入侵檢測(Anomaly Detection)和誤用人侵檢測(Misuse Detection)。
3.1 異常檢測
又稱為基于行為的檢測。其基本前提是:假定所有的入侵行為都是異常的。首先建立系統(tǒng)或用戶的“正常”行為特征輪廓,通過比較當前的系統(tǒng)或用戶的行為是否偏離正常的行為特征輪廓來判斷是否發(fā)生了入侵。此方法不依賴于是否表現(xiàn)出具體行為來進行檢測,是一種間接的方法。
常用的具體方法有:統(tǒng)計異常檢測方法、基于特征選擇異常檢測方法、基于貝葉斯推理異常檢測方法、基于貝葉斯網(wǎng)絡(luò)異常檢測方法、基于模式預(yù)測異常檢測方法、基于神經(jīng)網(wǎng)絡(luò)異常檢測方法、基于機器學習異常檢測方法、基于數(shù)據(jù)采掘異常檢測方法等。
采用異常檢測的關(guān)鍵問題有如下兩個方面:
(1)特征量的選擇
在建立系統(tǒng)或用戶的行為特征輪廓的正常模型時,選取的特征量既要能準確地體現(xiàn)系統(tǒng)或用戶的行為特征,又能使模型最優(yōu)化,即以最少的特征量就能涵蓋系統(tǒng)或用戶的行為特征。(2)參考閾值的選定
由于異常檢測是以正常的特征輪廓作為比較的參考基準,因此,參考閾值的選定是非常關(guān)鍵的。
閾值設(shè)定得過大,那漏警率會很高;閾值設(shè)定的過小,則虛警率就會提高。合適的參考閾值的選定是決定這一檢測方法準確率的至關(guān)重要的因素。
篇(7)
在網(wǎng)絡(luò)技術(shù)日新月異的今天,基于網(wǎng)絡(luò)的計算機應(yīng)用已經(jīng)成為發(fā)展的主流。政府、教育、商業(yè)、金融等機構(gòu)紛紛聯(lián)入Internet,全社會信息共享已逐步成為現(xiàn)實。然而,近年來,網(wǎng)上黑客的攻擊活動正以每年10倍的速度增長。因此,保證計算機系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)以及整個信息基礎(chǔ)設(shè)施的安全已經(jīng)成為刻不容緩的重要課題。
1 防火墻
目前防范網(wǎng)絡(luò)攻擊最常用的方法是構(gòu)建防火墻。
防火墻作為一種邊界安全的手段,在網(wǎng)絡(luò)安全保護中起著重要作用。其主要功能是控制對網(wǎng)絡(luò)的非法訪問,通過監(jiān)視、限制、更改通過網(wǎng)絡(luò)的數(shù)據(jù)流,一方面盡可能屏蔽內(nèi)部網(wǎng)的拓撲結(jié)構(gòu),另一方面對內(nèi)屏蔽外部危險站點,以防范外對內(nèi)的非法訪問。然而,防火墻存在明顯的局限性。
(1)入侵者可以找到防火墻背后可能敞開的后門。如同深宅大院的高大院墻不能擋住老鼠的偷襲一樣,防火墻有時無法阻止入侵者的攻擊。
(2)防火墻不能阻止來自內(nèi)部的襲擊。調(diào)查發(fā)現(xiàn),50%的攻擊都將來自于網(wǎng)絡(luò)內(nèi)部。
(3)由于性能的限制,防火墻通常不能提供實時的入侵檢測能力。畢業(yè)論文 而這一點,對于層出不窮的網(wǎng)絡(luò)攻擊技術(shù)來說是至關(guān)重要的。
因此,在Internet入口處部署防火墻系統(tǒng)是不能確保安全的。單純的防火墻策略已經(jīng)無法滿足對安全高度敏感部門的需要,網(wǎng)絡(luò)的防衛(wèi)必須采用一種縱深的、多樣化的手段。
由于傳統(tǒng)防火墻存在缺陷,引發(fā)了入侵檢測IDS(Intrusion Detection System)的研究和開發(fā)。入侵檢測是防火墻之后的第二道安全閘門,是對防火墻的合理補充,在不影響網(wǎng)絡(luò)性能的情況下,通過對網(wǎng)絡(luò)的監(jiān)測,幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊,擴展系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視、進攻識別和響應(yīng)),提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性,提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。現(xiàn)在,入侵檢測已經(jīng)成為網(wǎng)絡(luò)安全中一個重要的研究方向,在各種不同的網(wǎng)絡(luò)環(huán)境中發(fā)揮重要作用。
2 入侵檢測
2.1 入侵檢測
入侵檢測是通過從計算機網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析,從中發(fā)現(xiàn)違反安全策略的行為和遭到攻擊的跡象,并做出自動的響應(yīng)。其主要功能是對用戶和系統(tǒng)行為的監(jiān)測與分析、系統(tǒng)配置和漏洞的審計檢查、重要系統(tǒng)和數(shù)據(jù)文件的完整性評估、已知的攻擊行為模式的識別、異常行為模式的統(tǒng)計分析、操作系統(tǒng)的審計跟蹤管理及違反安全策略的用戶行為的識別。入侵檢測通過迅速地檢測入侵,在可能造成系統(tǒng)損壞或數(shù)據(jù)丟失之前,識別并驅(qū)除入侵者,使系統(tǒng)迅速恢復(fù)正常工作,并且阻止入侵者進一步的行動。同時,收集有關(guān)入侵的技術(shù)資料,用于改進和增強系統(tǒng)抵抗入侵的能力。
入侵檢測可分為基于主機型、基于網(wǎng)絡(luò)型、基于型三類。從20世紀90年代至今,英語論文 已經(jīng)開發(fā)出一些入侵檢測的產(chǎn)品,其中比較有代表性的產(chǎn)品有ISS(Intemet Security System)公司的Realsecure,NAI(Network Associates,Inc)公司的Cybercop和Cisco公司的NetRanger。
2.2 檢測技術(shù)
入侵檢測為網(wǎng)絡(luò)安全提供實時檢測及攻擊行為檢測,并采取相應(yīng)的防護手段。例如,實時檢測通過記錄證據(jù)來進行跟蹤、恢復(fù)、斷開網(wǎng)絡(luò)連接等控制;攻擊行為檢測注重于發(fā)現(xiàn)信息系統(tǒng)中可能已經(jīng)通過身份檢查的形跡可疑者,進一步加強信息系統(tǒng)的安全力度。入侵檢測的步驟如下:
收集系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為的信息
入侵檢測一般采用分布式結(jié)構(gòu),在計算機網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(不同網(wǎng)段和不同主機)收集信息,一方面擴大檢測范圍,另一方面通過多個采集點的信息的比較來判斷是否存在可疑現(xiàn)象或發(fā)生入侵行為。
入侵檢測所利用的信息一般來自以下4個方面:系統(tǒng)和網(wǎng)絡(luò)日志文件、目錄和文件中的不期望的改變、程序執(zhí)行中的不期望行為、物理形式的入侵信息。
(2)根據(jù)收集到的信息進行分析
常用的分析方法有模式匹配、統(tǒng)計分析、完整性分析。模式匹配是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進行比較,從而發(fā)現(xiàn)違背安全策略的行為。
統(tǒng)計分析方法首先給系統(tǒng)對象(如用戶、文件、目錄和設(shè)備等)創(chuàng)建一個統(tǒng)計描述,統(tǒng)計正常使用時的一些測量屬性。測量屬性的平均值將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進行比較。當觀察值超出正常值范圍時,就有可能發(fā)生入侵行為。該方法的難點是閾值的選擇,閾值太小可能產(chǎn)生錯誤的入侵報告,閾值太大可能漏報一些入侵事件。
完整性分析主要關(guān)注某個文件或?qū)ο笫欠癖桓模ㄎ募湍夸浀膬?nèi)容及屬性。該方法能有效地防范特洛伊木馬的攻擊。
3 分類及存在的問題
入侵檢測通過對入侵和攻擊行為的檢測,查出系統(tǒng)的入侵者或合法用戶對系統(tǒng)資源的濫用和誤用。工作總結(jié) 根據(jù)不同的檢測方法,將入侵檢測分為異常入侵檢測(Anomaly Detection)和誤用人侵檢測(Misuse Detection)。
3.1 異常檢測
又稱為基于行為的檢測。其基本前提是:假定所有的入侵行為都是異常的。首先建立系統(tǒng)或用戶的“正常”行為特征輪廓,通過比較當前的系統(tǒng)或用戶的行為是否偏離正常的行為特征輪廓來判斷是否發(fā)生了入侵。此方法不依賴于是否表現(xiàn)出具體行為來進行檢測,是一種間接的方法。
常用的具體方法有:統(tǒng)計異常檢測方法、基于特征選擇異常檢測方法、基于貝葉斯推理異常檢測方法、基于貝葉斯網(wǎng)絡(luò)異常檢測方法、基于模式預(yù)測異常檢測方法、基于神經(jīng)網(wǎng)絡(luò)異常檢測方法、基于機器學習異常檢測方法、基于數(shù)據(jù)采掘異常檢測方法等。
采用異常檢測的關(guān)鍵問題有如下兩個方面:
(1)特征量的選擇
在建立系統(tǒng)或用戶的行為特征輪廓的正常模型時,選取的特征量既要能準確地體現(xiàn)系統(tǒng)或用戶的行為特征,又能使模型最優(yōu)化,即以最少的特征量就能涵蓋系統(tǒng)或用戶的行為特征。
(2)參考閾值的選定
由于異常檢測是以正常的特征輪廓作為比較的參考基準,因此,參考閾值的選定是非常關(guān)鍵的。
閾值設(shè)定得過大,那漏警率會很高;閾值設(shè)定的過小,則虛警率就會提高。合適的參考閾值的選定是決定這一檢測方法準確率的至關(guān)重要的因素。
由此可見,異常檢測技術(shù)難點是“正常”行為特征輪廓的確定、特征量的選取、特征輪廓的更新。由于這幾個因素的制約,異常檢測的虛警率很高,但對于未知的入侵行為的檢測非常有效。此外,由于需要實時地建立和更新系統(tǒng)或用戶的特征輪廓,這樣所需的計算量很大,對系統(tǒng)的處理性能要求很高。
3.2 誤用檢測
又稱為基于知識的檢測。其基本前提是:假定所有可能的入侵行為都能被識別和表示。首先,留學生論文 對已知的攻擊方法進行攻擊簽名(攻擊簽名是指用一種特定的方式來表示已知的攻擊模式)表示,然后根據(jù)已經(jīng)定義好的攻擊簽名,通過判斷這些攻擊簽名是否出現(xiàn)來判斷入侵行為的發(fā)生與否。這種方法是依據(jù)是否出現(xiàn)攻擊簽名來判斷入侵行為,是一種直接的方法。
常用的具體方法有:基于條件概率誤用入侵檢測方法、基于專家系統(tǒng)誤用入侵檢測方法、基于狀態(tài)遷移分析誤用入侵檢測方法、基于鍵盤監(jiān)控誤用入侵檢測方法、基于模型誤用入侵檢測方法。誤用檢測的關(guān)鍵問題是攻擊簽名的正確表示。
誤用檢測是根據(jù)攻擊簽名來判斷入侵的,根據(jù)對已知的攻擊方法的了解,用特定的模式語言來表示這種攻擊,使得攻擊簽名能夠準確地表示入侵行為及其所有可能的變種,同時又不會把非入侵行為包含進來。由于多數(shù)入侵行為是利用系統(tǒng)的漏洞和應(yīng)用程序的缺陷,因此,通過分析攻擊過程的特征、條件、排列以及事件間的關(guān)系,就可具體描述入侵行為的跡象。這些跡象不僅對分析已經(jīng)發(fā)生的入侵行為有幫助,而且對即將發(fā)生的入侵也有預(yù)警作用。
誤用檢測將收集到的信息與已知的攻擊簽名模式庫進行比較,從中發(fā)現(xiàn)違背安全策略的行為。由于只需要收集相關(guān)的數(shù)據(jù),這樣系統(tǒng)的負擔明顯減少。該方法類似于病毒檢測系統(tǒng),其檢測的準確率和效率都比較高。但是它也存在一些缺點。
3.2.1 不能檢測未知的入侵行為
由于其檢測機理是對已知的入侵方法進行模式提取,對于未知的入侵方法就不能進行有效的檢測。也就是說漏警率比較高。
3.2.2 與系統(tǒng)的相關(guān)性很強
對于不同實現(xiàn)機制的操作系統(tǒng),由于攻擊的方法不盡相同,很難定義出統(tǒng)一的模式庫。另外,誤用檢測技術(shù)也難以檢測出內(nèi)部人員的入侵行為。
目前,由于誤用檢測技術(shù)比較成熟,多數(shù)的商業(yè)產(chǎn)品都主要是基于誤用檢測模型的。不過,為了增強檢測功能,不少產(chǎn)品也加入了異常檢測的方法。
4 入侵檢測的發(fā)展方向
隨著信息系統(tǒng)對一個國家的社會生產(chǎn)與國民經(jīng)濟的影響越來越大,再加上網(wǎng)絡(luò)攻擊者的攻擊工具與手法日趨復(fù)雜化,信息戰(zhàn)已逐步被各個國家重視。近年來,入侵檢測有如下幾個主要發(fā)展方向:
4.1 分布式入侵檢測與通用入侵檢測架構(gòu)
傳統(tǒng)的IDS一般局限于單一的主機或網(wǎng)絡(luò)架構(gòu),對異構(gòu)系統(tǒng)及大規(guī)模的網(wǎng)絡(luò)的監(jiān)測明顯不足,再加上不同的IDS系統(tǒng)之間不能很好地協(xié)同工作。為解決這一問題,需要采用分布式入侵檢測技術(shù)與通用入侵檢測架構(gòu)。
4.2應(yīng)用層入侵檢測
許多入侵的語義只有在應(yīng)用層才能理解,然而目前的IDS僅能檢測到諸如Web之類的通用協(xié)議,而不能處理Lotus Notes、數(shù)據(jù)庫系統(tǒng)等其他的應(yīng)用系統(tǒng)。許多基于客戶/服務(wù)器結(jié)構(gòu)、中間件技術(shù)及對象技術(shù)的大型應(yīng)用,也需要應(yīng)用層的入侵檢測保護。
4.3 智能的入侵檢測
入侵方法越來越多樣化與綜合化,盡管已經(jīng)有智能體、神經(jīng)網(wǎng)絡(luò)與遺傳算法在入侵檢測領(lǐng)域應(yīng)用研究,但是,這只是一些嘗試性的研究工作,需要對智能化的IDS加以進一步的研究,以解決其自學習與自適應(yīng)能力。
4.4 入侵檢測的評測方法
用戶需對眾多的IDS系統(tǒng)進行評價,評價指標包括IDS檢測范圍、系統(tǒng)資源占用、IDS自身的可靠性,從而設(shè)計出通用的入侵檢測測試與評估方法與平臺,實現(xiàn)對多種IDS的檢測。
4.5 全面的安全防御方案
結(jié)合安全工程風險管理的思想與方法來處理網(wǎng)絡(luò)安全問題,將網(wǎng)絡(luò)安全作為一個整體工程來處理。從管理、網(wǎng)絡(luò)結(jié)構(gòu)、加密通道、防火墻、病毒防護、入侵檢測多方位全面對所關(guān)注的網(wǎng)絡(luò)作全面的評估,然后提出可行的全面解決方案。
綜上所述,入侵檢測作為一種積極主動的安全防護技術(shù),提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護,使網(wǎng)絡(luò)系統(tǒng)在受到危害之前即攔截和響應(yīng)入侵行為,為網(wǎng)絡(luò)安全增加一道屏障。隨著入侵檢測的研究與開發(fā),并在實際應(yīng)用中與其它網(wǎng)絡(luò)管理軟件相結(jié)合,使網(wǎng)絡(luò)安全可以從立體縱深、多層次防御的角度出發(fā),形成人侵檢測、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)監(jiān)控三位一體化,從而更加有效地保護網(wǎng)絡(luò)的安全。
參考文獻
l 吳新民.兩種典型的入侵檢測方法研究.計算機工程與應(yīng)用,2002;38(10):181—183
2 羅妍,李仲麟,陳憲.入侵檢測系統(tǒng)模型的比較.計算機應(yīng)用,2001;21(6):29~31
3 李渙洲.網(wǎng)絡(luò)安全與入侵檢測技術(shù).四川師范大學學報.2001;24(3):426—428
篇(8)
中圖分類號:TN915.08 文獻標識碼:A文章編號:1007-9599 (2010) 04-0000-02
Application of Intrusion&Deceit Technique in Network Security
Chen Yongxiang Li Junya
(Jiyuan Vocational&Technical College,Jiyuan454650,Chian)
Abstract:At present,Intrusion Deception technology is the development of network security in recent years, an important branch, the paper generated from the intrusion deception techniques to start a brief description of its development, while popular Honeypot conducted in-depth research, mainly related to the classification of Honeypot, Honeypot advantages and disadvantages, Honeypot design principles and methods, the final will be a simple Honeypot application to specific network.
Key words:Intrusion and deceit technology;Honeypot;Network Security
近年來計算機網(wǎng)絡(luò)發(fā)展異常迅猛,各行各業(yè)對網(wǎng)絡(luò)的依賴已越發(fā)嚴重。這一方面提高了信息的高速流動,但另一方面卻帶來了極大的隱患。由于網(wǎng)絡(luò)的開放性、計算機系統(tǒng)設(shè)計的非安全性導(dǎo)致網(wǎng)絡(luò)受到大量的攻擊。如何提高網(wǎng)絡(luò)的自我防護能力是目前研究的一個熱點。論文通過引入入侵誘騙技術(shù),設(shè)計了一個高效的網(wǎng)絡(luò)防護系統(tǒng)。
一、入侵誘騙技術(shù)簡介
通過多年的研究表明,網(wǎng)絡(luò)安全存在的最大問題就是目前采用的被動防護方式,該方式只能被動的應(yīng)對攻擊,缺乏主動防護的功能。為應(yīng)對這一問題,就提出了入侵誘騙技術(shù)。該技術(shù)是對被動防護的擴展,通過積極的進行入侵檢測,并實時的將可疑目標引向自身,導(dǎo)致攻擊失效,從而有效的保護目標。
上個世紀80年代末期由stoll首先提出該思想,到上世紀90年代初期由Bill Cheswish進一步豐富了該思想。他通過在空閑的端口上設(shè)置一些用于吸引入侵者的偽造服務(wù)來獲取入侵者的信息,從而研究入侵者的規(guī)律。到1996年Fred Cohen 提出將防火墻技術(shù)應(yīng)用于入侵誘騙技術(shù)中,實現(xiàn)消除入侵資源。為進一步吸引入侵目標,在研究中提出了引誘其攻擊自身的特殊目標“Honeypot”。研究者通過對Honeypot中目標的觀察,可清晰的了解入侵的方法以及自身系統(tǒng)的漏洞,從而提升系統(tǒng)的安全防護水平。
二、Honeypot的研究
在這個入侵誘騙技術(shù)中,Honeypot的設(shè)計是關(guān)鍵。按交互級別,可對Honeypot進行分類:低交互度Honeypot、中交互度Honeypot和高交互度Honeypot。低交互度Honeypot由于簡單的設(shè)計和基本的功能,低交互度的honeypot通常是最容易安裝、部署和維護的。在該系統(tǒng)中,由于沒有真正的操作系統(tǒng)可供攻擊者遠程登錄,操作系統(tǒng)所帶來的復(fù)雜性被削弱了,所以它所帶來的風險是最小的。但也讓我們無法觀察一個攻擊者與系統(tǒng)交互信息的整個過程。它主要用于檢測。通過中交互度Honeypot可以獲得更多有用的信息,同時能做出響應(yīng),是仍然沒有為攻擊者提供一個可使用的操作系統(tǒng)。部署和維護中交互度的Honeypot是一個更為復(fù)雜的過程。高交互度Honeypot的主要特點是提供了一個真實的操作系統(tǒng)。該系統(tǒng)能夠收集更多的信息、吸引更多的入侵行為。
當然Honeypot也存在著一些缺點:需要較多的時間和精力投入。Honeypot技術(shù)只能對針對其攻擊行為進行監(jiān)視和分析,其視野較為有限,不像入俊檢側(cè)系統(tǒng)能夠通過旁路偵聽等技術(shù)對整個網(wǎng)絡(luò)進行監(jiān)控。Honeypot技術(shù)不能直接防護有漏洞的信息系統(tǒng)。部署Honeypot會帶來一定的安全風險。
構(gòu)建一個有用的Honeypot是一個十分復(fù)雜的過程,主要涉及到Honeypot的偽裝、采集信息、風險控制、數(shù)據(jù)分析。其中,Honeypot的偽裝就是將一個Honeypot通過一定的措施構(gòu)造成一個十分逼真的環(huán)境,以吸引入侵者。但Honeypot偽裝的難度是既不能暴露太多的信息又不能讓入侵者產(chǎn)生懷疑。最初采用的是偽造服務(wù),目前主要采用通過修改的真實系統(tǒng)來充當。Honeypot的主要功能之一就是獲取入侵者的信息,通常是采用網(wǎng)絡(luò)sniffer或IDS來記錄網(wǎng)絡(luò)包從而達到記錄信息的目的。雖然Honeypot可以獲取入侵者的信息,并能有效的防護目標,但Honeypot也給系統(tǒng)帶來了隱患,如何控制這些潛在的風險十分關(guān)鍵。Honeypot的最后一個過程就是對采用數(shù)據(jù)的分析。通過分析就能獲得需要的相關(guān)入侵者規(guī)律的信息。
對于設(shè)計Honeypot,主要有三個步驟:首先,必須確定自己Honeypot的目標。因為Honeypot并不能完全代替?zhèn)鹘y(tǒng)的網(wǎng)絡(luò)安全機制,它只是網(wǎng)絡(luò)安全的補充,所以必須根據(jù)自己的目標定位Honeypot。通常Honeypot可定位于阻止入侵、檢測入侵等多個方面。其次,必須確定自己Honeypot的設(shè)計原則。在這里不僅要確定Honeypot的級別還有確定平臺的選擇。目前,對用于研究目的的Honeypot一般采用高交互Honeypot,其目的就是能夠更加廣泛的收集入侵者的信息,獲取需要的資料。在平臺的選擇上,目前我們選擇的范圍很有限,一般采用Linux系統(tǒng)。其原因主要是Linux的開源、廣泛應(yīng)用和卓越的性能。最后,就是對選定環(huán)境的安裝和配置。
三、Honeypot在網(wǎng)絡(luò)中的應(yīng)用
為更清晰的研究Honeypot,將Honeypot應(yīng)用于具體的網(wǎng)絡(luò)中。在我們的研究中,選擇了一個小規(guī)模的網(wǎng)絡(luò)來實現(xiàn)。當設(shè)計完整個網(wǎng)絡(luò)結(jié)構(gòu)后,我們在網(wǎng)絡(luò)出口部分配置了設(shè)計的Honeypot。在硬件方面增加了安裝了snort的入侵檢測系統(tǒng)、安裝了Sebek的數(shù)據(jù)捕獲端。并且都構(gòu)建在Vmware上實現(xiàn)虛擬Honeypot。在實現(xiàn)中,主要安裝并配置了Honeyd、snort和sebek.其Honeypot的結(jié)構(gòu)圖,見圖1。
圖1 Honeypot結(jié)構(gòu)圖
四、小結(jié)
論文從入侵誘騙技術(shù)入手系統(tǒng)的分析了該技術(shù)的發(fā)展歷程,然后對入侵誘騙技術(shù)中的Honeypot進行了深入的研究,主要涉及到Honeypot的分類、設(shè)計原則、設(shè)計方法,最后,將一個簡易的Honeypot應(yīng)用于具體的網(wǎng)絡(luò)環(huán)境中,并通過嚴格的測試,表明該系統(tǒng)是有效的。
參考文獻
[1]蔡芝蔚.基于Honeypot的入侵誘騙系統(tǒng)研究[M].網(wǎng)絡(luò)通訊與安全,1244~1245
[2]楊奕.基于入侵誘騙技術(shù)的網(wǎng)絡(luò)安全研究與實現(xiàn).[J].計算機應(yīng)用學報,2004.3:230~232.
[3]周光宇,王果平.基于入侵誘騙技術(shù)的網(wǎng)絡(luò)安全系統(tǒng)的研究[J].微計算機信息,2007.9
[4]夏磊,蔣建中,高志昊.入侵誘騙、入侵檢測、入侵響應(yīng)三位一體的網(wǎng)絡(luò)安全新機制
[5]Bill Cheswick. An Evening with Berferd In Which a Cracker is Lured,Endured,and Studied.Proceedings of the Winter 1992 Usenix conference,1992
篇(9)
論文摘要:隨著計算機與網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,網(wǎng)絡(luò)安全也日益受到人們越來越多的關(guān)注。防范網(wǎng)絡(luò)入侵、加強網(wǎng)絡(luò)安全防范的技術(shù)也多種多樣,其中入侵檢測技術(shù)以其低成本、低風險以及高靈活性得到了廣泛的應(yīng)用,并且有著廣闊的發(fā)展前景。本文就入侵檢測技術(shù)在計算機網(wǎng)絡(luò)安全維護過程中的有效應(yīng)用提出探討。
一、入侵檢測系統(tǒng)的分類
入侵檢測系統(tǒng)可以分為入侵檢測、入侵防御兩大類。其中入侵檢測系統(tǒng)是根據(jù)特定的安全策略,實時監(jiān)控網(wǎng)絡(luò)及系統(tǒng)的運行狀態(tài),盡量在非法入侵程序發(fā)起攻擊前發(fā)現(xiàn)其攻擊企圖,從而提高網(wǎng)絡(luò)系統(tǒng)資源的完整性和保密性。而隨著網(wǎng)絡(luò)攻擊技術(shù)的日益提高,網(wǎng)絡(luò)系統(tǒng)中的安全漏洞不斷被發(fā)現(xiàn),傳統(tǒng)的入侵檢測技術(shù)及防火墻技術(shù)對這些多變的安全問題無法全面應(yīng)對,于是入侵防御系統(tǒng)應(yīng)運而生,它可以對流經(jīng)的數(shù)據(jù)流量做深度感知與檢測,丟棄惡意報文,阻斷其攻擊,限制濫用報文,保護帶寬資源。入侵檢測系統(tǒng)與入侵防御系統(tǒng)的區(qū)別在于:入侵檢測只具備單純的報警作用,而對于網(wǎng)絡(luò)入侵無法做出防御;而入侵防御系統(tǒng)則位于網(wǎng)絡(luò)與防火墻的硬件設(shè)備中間,當其檢測到惡意攻擊時,會在這種攻擊開始擴散前將其阻止在外。并且二者檢測攻擊的方法也不同,入侵防御系統(tǒng)對入網(wǎng)的數(shù)據(jù)包進行檢查,在確定該數(shù)據(jù)包的真正用途的前提下,再對其是否可以進入網(wǎng)絡(luò)進行判斷。
二、入侵檢測技術(shù)在維護計算機網(wǎng)絡(luò)安全中的應(yīng)用
(一)基于網(wǎng)絡(luò)的入侵檢測
基于網(wǎng)絡(luò)的入侵檢測形式有基于硬件的,也有基于軟件的,不過二者的工作流程是相同的。它們將網(wǎng)絡(luò)接口的模式設(shè)置為混雜模式,以便于對全部流經(jīng)該網(wǎng)段的數(shù)據(jù)進行時實監(jiān)控,將其做出分析,再和數(shù)據(jù)庫中預(yù)定義的具備攻擊特征做出比較,從而將有害的攻擊數(shù)據(jù)包識別出來,做出響應(yīng),并記錄日志。
1.入侵檢測的體系結(jié)構(gòu)
網(wǎng)絡(luò)入侵檢測的體系結(jié)構(gòu)通常由三部分組成,分別為Agent、Console以及Manager。其中Agent的作用是對網(wǎng)段內(nèi)的數(shù)據(jù)包進行監(jiān)視,找出攻擊信息并把相關(guān)的數(shù)據(jù)發(fā)送至管理器;Console的主要作用是負責收集處的信息,顯示出所受攻擊的信息,把找出的攻擊信息及相關(guān)數(shù)據(jù)發(fā)送至管理器;Manager的主要作用則是響應(yīng)配置攻擊警告信息,控制臺所的命令也由Manager來執(zhí)行,再把所發(fā)出的攻擊警告發(fā)送至控制臺。
2.入侵檢測的工作模式
基于網(wǎng)絡(luò)的入侵檢測,要在每個網(wǎng)段中部署多個入侵檢測,按照網(wǎng)絡(luò)結(jié)構(gòu)的不同,其的連接形式也各不相同。如果網(wǎng)段的連接方式為總線式的集線器,則把與集線器中的某個端口相連接即可;如果為交換式以太網(wǎng)交換機,因為交換機無法共享媒價,因此只采用一個對整個子網(wǎng)進行監(jiān)聽的辦法是無法實現(xiàn)的。因此可以利用交換機核心芯片中用于調(diào)試的端口中,將入侵檢測系統(tǒng)與該端口相連接。或者把它放在數(shù)據(jù)流的關(guān)鍵出入口,于是就可以獲取幾乎全部的關(guān)鍵數(shù)據(jù)。
3.攻擊響應(yīng)及升級攻擊特征庫、自定義攻擊特征
如果入侵檢測系統(tǒng)檢測出惡意攻擊信息,其響應(yīng)方式有多種,例如發(fā)送電子郵件、記錄日志、通知管理員、查殺進程、切斷會話、通知管理員、啟動觸發(fā)器開始執(zhí)行預(yù)設(shè)命令、取消用戶的賬號以及創(chuàng)建一個報告等等。升級攻擊特征庫可以把攻擊特征庫文件通過手動或者自動的形式由相關(guān)的站點中下載下來,再利用控制臺將其實時添加至攻擊特征庫中。而網(wǎng)絡(luò)管理員可以按照單位的資源狀況及其應(yīng)用狀況,以入侵檢測系統(tǒng)特征庫為基礎(chǔ)來自定義攻擊特征,從而對單位的特定資源與應(yīng)用進行保護。
(二)對于主機的入侵檢測
通常對主機的入侵檢測會設(shè)置在被重點檢測的主機上,從而對本主機的系統(tǒng)審計日志、網(wǎng)絡(luò)實時連接等信息做出智能化的分析與判斷。如果發(fā)展可疑情況,則入侵檢測系統(tǒng)就會有針對性的采用措施。基于主機的入侵檢測系統(tǒng)可以具體實現(xiàn)以下功能:對用戶的操作系統(tǒng)及其所做的所有行為進行全程監(jiān)控;持續(xù)評估系統(tǒng)、應(yīng)用以及數(shù)據(jù)的完整性,并進行主動的維護;創(chuàng)建全新的安全監(jiān)控策略,實時更新;對于未經(jīng)授權(quán)的行為進行檢測,并發(fā)出報警,同時也可以執(zhí)行預(yù)設(shè)好的響應(yīng)措施;將所有日志收集起來并加以保護,留作后用。基于主機的入侵檢測系統(tǒng)對于主機的保護很全面細致,但要在網(wǎng)路中全面部署成本太高。并且基于主機的入侵檢測系統(tǒng)工作時要占用被保護主機的處理資源,所以會降低被保護主機的性能。
三、入侵檢測技術(shù)存在的問題
盡管入侵檢測技術(shù)有其優(yōu)越性,但是現(xiàn)階段它還存在著一定的不足,主要體現(xiàn)在以下幾個方面:
第一:局限性:由于網(wǎng)絡(luò)入侵檢測系統(tǒng)只對與其直接連接的網(wǎng)段通信做出檢測,而不在同一網(wǎng)段的網(wǎng)絡(luò)包則無法檢測,因此如果網(wǎng)絡(luò)環(huán)境為交換以太網(wǎng),則其監(jiān)測范圍就會表現(xiàn)出一定的局限性,如果安裝多臺傳感器則又增加了系統(tǒng)的成本。
第二:目前網(wǎng)絡(luò)入侵檢測系統(tǒng)一般采有的是特征檢測的方法,對于一些普通的攻擊來說可能比較有效,但是一些復(fù)雜的、計算量及分析時間均較大的攻擊則無法檢測。
第三:監(jiān)聽某些特定的數(shù)據(jù)包時可能會產(chǎn)生大量的分析數(shù)據(jù),會影響系統(tǒng)的性能。
第四:在處理會話過程的加密問題時,對于網(wǎng)絡(luò)入侵檢測技術(shù)來說相對較難,現(xiàn)階段通過加密通道的攻擊相對較少,但是此問題會越來越突出。
第五:入侵檢測系統(tǒng)自身不具備阻斷和隔離網(wǎng)絡(luò)攻擊的能力,不過可以與防火墻進行聯(lián)動,發(fā)現(xiàn)入侵行為后通過聯(lián)動協(xié)議通知防火墻,讓防火墻采取隔離手段。
四、總結(jié)
現(xiàn)階段的入侵檢測技術(shù)相對來說還存在著一定的缺陷,很多單位在解決網(wǎng)絡(luò)入侵相關(guān)的安全問題時都采用基于主機與基于網(wǎng)絡(luò)相結(jié)合的入侵檢測系統(tǒng)。當然入侵檢測技術(shù)也在不斷的發(fā)展,數(shù)據(jù)挖掘異常檢測、神經(jīng)網(wǎng)絡(luò)異常檢測、貝葉斯推理異常檢測、專家系統(tǒng)濫用檢測、狀態(tài)轉(zhuǎn)換分析濫用檢測等入侵檢測技術(shù)也越來越成熟。總之、用戶要提高計算機網(wǎng)絡(luò)系統(tǒng)的安全性,不僅僅要靠技術(shù)支持,還要依靠自身良好的維護與管理。
參考文獻:
篇(10)
目前,開放式網(wǎng)絡(luò)環(huán)境使人們充分享受著數(shù)字化,信息化給人們?nèi)粘5墓ぷ魃顚W習帶來的巨大便利,也因此對計算機網(wǎng)絡(luò)越來越強的依賴性,與此同時,各種針對網(wǎng)絡(luò)的攻擊與破壞日益增多,成為制約網(wǎng)絡(luò)技術(shù)發(fā)展的一大障礙。傳統(tǒng)的安全技術(shù)并不能對系統(tǒng)是否真的沒有被入侵有任何保證。入侵檢測系統(tǒng)已經(jīng)成為信息網(wǎng)絡(luò)安全其必不可少的一道防線。
人體內(nèi)有一個免疫系統(tǒng),它是人體抵御病原菌侵犯最重要的保衛(wèi)系統(tǒng),主要手段是依靠自身的防御體系和免疫能力。一些學者試圖學習和模仿生物機體的這種能力,將其移植到計算機網(wǎng)絡(luò)安全方面。相關(guān)研究很多都基于生物免疫系統(tǒng)的體系結(jié)構(gòu)和免疫機制[5]。基于免疫理論的研究已逐漸成為目前人們研究的一個重要方向,其研究成果將會為計算機網(wǎng)絡(luò)安全提供一條新的途徑。
一、入侵檢測簡介
入侵即入侵者利用主機或網(wǎng)絡(luò)中程序的漏洞,對特權(quán)程序進行非法或異常的調(diào)用,使外網(wǎng)攻擊者侵入內(nèi)網(wǎng)獲取內(nèi)網(wǎng)的資源。入侵檢測即是檢測各種非法的入侵行為。入侵檢測提供了對網(wǎng)絡(luò)的實時保護,在系統(tǒng)受到危害時提前有所作為。入侵檢測嚴密監(jiān)視系統(tǒng)的各種不安全的活動,識別用戶不安全的行為。入侵檢測應(yīng)付各種網(wǎng)絡(luò)攻擊,提高了用戶的安全性。入侵檢測[4]技術(shù)就是為保證網(wǎng)路系統(tǒng)的安全而設(shè)計的一種可以檢測系統(tǒng)中異常的、不安全的行為的技術(shù)。
二、基于免疫機理的入侵檢測系統(tǒng)
(一)入侵檢測系統(tǒng)和自然免疫系統(tǒng)用四元函數(shù)組來定義一個自然免疫系統(tǒng)∑nis[5],∑nis=(xnis,ωnis,ynis,gnis)xnis是輸入,它為各種類型的抗原,令z表示所有抗原,抗原包括自身蛋白集合和病原體集合這兩個互斥的集合,即,用w表示自身蛋白集合,nw表示病原體集合,有s∪nw=z,w=ynis是輸出,只考慮免疫系統(tǒng)對病原體的識別而不計免疫效應(yīng),ynis取0或1,分別表示自然免疫系統(tǒng)判別輸入時的自身或非自身。
gnis是一個自然免疫系統(tǒng)輸入輸出之間的非線性關(guān)系函數(shù),則有ynis=gnis(xnis)=ωnis為自然免疫系統(tǒng)的內(nèi)部組成。而根據(jù)系統(tǒng)的定義,入侵檢測系統(tǒng)可以表示為∑ids=(xids,ωids,yids,gids)
式中,xids是入侵檢測系統(tǒng)的輸入。令m表示是整個論域,整個論域也可以劃分成為兩個互斥的集合即入侵集合,表示為i和正常集合表示﹁i,有i∪﹁i=m,i∩﹁i=輸入xids,輸出yids,此時入侵檢測系統(tǒng)具有報警s和不報警﹁a兩種狀態(tài),報警用1表示,不報警用0表示。
gids表示輸入與輸出之間的非線性函數(shù)關(guān)系,則有yids=gids(xids)=ωids是自然免疫系統(tǒng)的內(nèi)部組成。不同種類的檢測系統(tǒng)具有不同的ωids,產(chǎn)生不同的ωids,從而將輸入向量映射到輸出。
(二)基于自然免疫機理的入侵檢測系統(tǒng)的設(shè)計
自然免疫系統(tǒng)是一個識別病原菌的系統(tǒng),與網(wǎng)絡(luò)入侵檢測系統(tǒng)有很多類似之處,因此自然免疫系統(tǒng)得到一個設(shè)計網(wǎng)絡(luò)入侵檢測系統(tǒng)的啟發(fā),我們先來研究自然入侵檢測系統(tǒng)的動態(tài)防護性、檢測性能、自適應(yīng)性以及系統(tǒng)健壯性這四個特性[5]。
1.動態(tài)防護性。
自然免疫系統(tǒng)可以用比較少的資源完成相對復(fù)雜的檢測任務(wù)。人體約有1016種病原體需要識別,自然免疫系統(tǒng)采用動態(tài)防護,任一時刻,淋巴檢測器只能檢測到病原體的一個子集,但淋巴檢測器每天都會及時更新,所以每天檢測的病原體是不同的,淋巴細胞的及時更新,來應(yīng)對當前的待檢病原體。
2.檢測性能。
自然免疫系統(tǒng)具有非常強的低預(yù)警率和高檢測率。之所以具有這樣好的檢測性能,是因為自然免疫系統(tǒng)具有多樣性、多層次、異常檢測能力、獨特性等多種特性。
3.自適應(yīng)性。
自然免疫系統(tǒng)具有良好的自適應(yīng)性,檢測器一般情況下能夠檢測到頻率比較高的攻擊規(guī)則,很少或基本根本沒有檢測到入侵的規(guī)則,將會被移出常用檢測規(guī)則庫,這樣就會使得規(guī)則庫中的規(guī)則一直可以檢測到經(jīng)常遇到的攻擊。基于免疫機理的入侵檢測系統(tǒng)采用異常檢測方法檢測攻擊,對通過異常檢測到的攻擊提取異常特征形成新的檢測規(guī)則,當這些入侵再次出現(xiàn)時直接通過規(guī)則匹配直接就可以檢測到。
4.健壯性。
自然免疫系統(tǒng)采用了高度分布式的結(jié)構(gòu),基于免疫機理研究出的入侵檢測系統(tǒng)也包含多個子系統(tǒng)和大量遍布整個系統(tǒng)的檢測,每個子系統(tǒng)或檢測僅能檢測某一個或幾類入侵,而多個子系統(tǒng)或大量檢測器的集合就能檢測到大多數(shù)入侵,少量幾個的失效,不會影響整個系統(tǒng)的檢測能力[4]。
(三)基于免疫機理的入侵檢測系統(tǒng)體系架構(gòu)
根據(jù)上述所討論的思想,現(xiàn)在我們提出基于免疫機理的入侵檢測系統(tǒng)aiids[1],包括如下四個組成部分:
1.主機入侵檢測子系統(tǒng)。
其入侵信息來源于被監(jiān)控主機的日志。它由多個組成,主要監(jiān)控計算機網(wǎng)絡(luò)系統(tǒng)的完整保密以及可用性等方面。
2.網(wǎng)絡(luò)入侵子系統(tǒng)。
其入侵信息來源于局域網(wǎng)的通信數(shù)據(jù)包。該數(shù)據(jù)包一般位于網(wǎng)絡(luò)節(jié)點處,網(wǎng)絡(luò)入侵子系統(tǒng)首先對數(shù)據(jù)包的ip和tcp包頭進行解析,然后收集數(shù)據(jù)組件、解析包頭和提取組件特征、生成抗體和組件的檢測、協(xié)同和報告、優(yōu)化規(guī)則、掃描攻擊以及檢測機遇協(xié)議漏洞的攻擊和拒絕服務(wù)攻擊等。
3.網(wǎng)絡(luò)節(jié)點入侵子系統(tǒng)。
其入侵信息來源于網(wǎng)絡(luò)的通信數(shù)據(jù)包,網(wǎng)絡(luò)節(jié)點入侵子系統(tǒng)監(jiān)控網(wǎng)絡(luò)節(jié)點的數(shù)據(jù)包,對數(shù)據(jù)包進行解碼和分析。他包括多個應(yīng)用層,用來檢測應(yīng)用層的各種攻擊。
4.控制臺。
篇(11)
1 引言
入侵檢測是一種網(wǎng)絡(luò)安全防御技術(shù),其可以部署于網(wǎng)絡(luò)防火墻、訪問控制列表等軟件中,可以檢測流入到系統(tǒng)中的數(shù)據(jù)流,并且識別數(shù)據(jù)流中的網(wǎng)絡(luò)包內(nèi)容,判別數(shù)據(jù)流是否屬于木馬和病毒等不正常數(shù)據(jù)。目前,網(wǎng)絡(luò)安全入侵檢測技術(shù)已經(jīng)誕生了多種,比如狀態(tài)檢測技術(shù)和深度包過濾技術(shù),有效提高了網(wǎng)絡(luò)安全識別、處理等防御能力。
2 “互聯(lián)網(wǎng)+”時代網(wǎng)絡(luò)安全管理現(xiàn)狀
目前,我國已經(jīng)進入到了“互聯(lián)網(wǎng)+”時代,互聯(lián)網(wǎng)已經(jīng)應(yīng)用到了金融、民生、工業(yè)等多個領(lǐng)域。互聯(lián)網(wǎng)的繁榮為人們帶來了許多的便利,同時互聯(lián)網(wǎng)安全事故也頻頻出現(xiàn),網(wǎng)絡(luò)病毒、木馬和黑客攻擊技術(shù)也大幅度改進,并且呈現(xiàn)出攻擊渠道多樣化、威脅智能化、范圍廣泛化等特點。
2.1 攻擊渠道多樣化
目前,網(wǎng)絡(luò)設(shè)備、應(yīng)用接入渠道較多,按照內(nèi)外網(wǎng)劃分為內(nèi)網(wǎng)接入、外網(wǎng)接入;按照有線、無線可以劃分為有線接入、無線接入;按照接入設(shè)備可以劃分為PC接入、移動智能終端接入等多種類別,接入渠道較多,也為攻擊威脅提供了較多的入侵渠道。
2.2 威脅智能化
攻擊威脅程序設(shè)計技術(shù)的提升,使得病毒、木馬隱藏的周期更長,行為更加隱蔽,傳統(tǒng)的網(wǎng)絡(luò)木馬、病毒防御工具無法查殺。
2.3 破壞范圍更廣
隨著網(wǎng)絡(luò)及承載的應(yīng)用軟件集成化增強,不同類型的系統(tǒng)管理平臺都通過SOA架構(gòu)、ESB技術(shù)接入到網(wǎng)絡(luò)集群平臺上,一旦某個系統(tǒng)受到攻擊,病毒可以在很短的時間內(nèi)傳播到其他子系統(tǒng),破壞范圍更廣。
3 “互聯(lián)網(wǎng)+”時代網(wǎng)絡(luò)安全入侵檢測功能設(shè)計
入侵檢測業(yè)務(wù)流程包括三個階段,分別是采集網(wǎng)絡(luò)數(shù)據(jù)、分析數(shù)據(jù)內(nèi)容和啟動防御措施,能夠?qū)崟r預(yù)估網(wǎng)絡(luò)安全防御狀況,保證網(wǎng)絡(luò)安全運行,如圖1所示。
網(wǎng)絡(luò)安全入侵檢測過程中,為了提高入侵檢測準確度,引入遺傳算法和BP神經(jīng)網(wǎng)絡(luò),結(jié)合這兩種數(shù)據(jù)挖掘算法的優(yōu)勢,設(shè)計了一個遺傳神經(jīng)網(wǎng)絡(luò)算法,業(yè)務(wù)流程如下:
(1)采集網(wǎng)絡(luò)數(shù)據(jù),獲取數(shù)據(jù)源。
(2)利用遺傳神經(jīng)網(wǎng)絡(luò)識別數(shù)據(jù)內(nèi)容,對數(shù)據(jù)進行建模,將獲取的網(wǎng)絡(luò)數(shù)據(jù)包轉(zhuǎn)換為神經(jīng)網(wǎng)絡(luò)能夠識別的數(shù)學向量。
(3)使用已知的、理想狀態(tài)的數(shù)據(jù)對遺傳神經(jīng)網(wǎng)絡(luò)進行訓練。
(4)使用訓練好的遺傳神經(jīng)網(wǎng)絡(luò)對網(wǎng)絡(luò)數(shù)據(jù)進行檢測。
(5)保存遺傳神經(jīng)網(wǎng)絡(luò)檢測的結(jié)果。
(6)網(wǎng)絡(luò)安全響應(yīng)。
遺傳神經(jīng)網(wǎng)絡(luò)在入侵檢測過程中包括兩個階段,分別是訓練學習階段和檢測分析階段。
(1)訓練學習階段。遺傳神經(jīng)網(wǎng)絡(luò)訓練學習可以生成一個功能完善的、識別準確的入侵檢測模型,系統(tǒng)訓練學習流程如下:給定樣本庫和期望輸出參數(shù),將兩者作為遺傳神經(jīng)網(wǎng)絡(luò)輸入?yún)?shù),學習樣本中包含非常典型的具有攻擊行為特征的樣本數(shù)據(jù)和正常數(shù)據(jù),通過訓練學習得到的遺傳神經(jīng)網(wǎng)絡(luò)可以與輸入的期望結(jié)果進行比較和分析,直到期望輸出的誤差可以達到人們的期望值。
(2)檢測分析階段。遺傳神經(jīng)網(wǎng)絡(luò)訓練結(jié)束之后,使用權(quán)值的形式將其保存起來,將其應(yīng)用到實際網(wǎng)絡(luò)入侵檢測系統(tǒng),能夠識別正常行為或異常行為。
4 結(jié)束語
互聯(lián)網(wǎng)的快速發(fā)展和普及為人們的工作、生活和學習帶來便利,但同時也潛在著許多威脅,采用先進的網(wǎng)絡(luò)安全防御技術(shù),以便提升網(wǎng)絡(luò)的安全運行能力。入侵檢測是網(wǎng)絡(luò)安全主動防御的一個關(guān)鍵技術(shù),入侵檢測利用遺傳算法和BP神經(jīng)網(wǎng)絡(luò)算法優(yōu)勢,可以準確地構(gòu)建一個入侵檢測模型,準確地檢測出病毒、木馬數(shù)據(jù),啟動病毒木馬查殺軟件,清除網(wǎng)絡(luò)中的威脅,保證網(wǎng)絡(luò)正常運行。
參考文獻
[1]徐振華.基于BP神經(jīng)網(wǎng)絡(luò)的分布式入侵檢測模型改進算法研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2016,24(2):111-112.
[2]劉成.試論入侵檢測技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用與研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2016,24(2):74-75.
[3]周立軍,張杰,呂海燕.基于數(shù)據(jù)挖掘技術(shù)的網(wǎng)絡(luò)入侵檢測技術(shù)研究[J].現(xiàn)代電子技術(shù),2016,18(6):121-122.
