时间:2023-06-01 09:32:14
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇入侵检测技术,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
关键词:入侵;检测;入侵检测系统;ISS RealSecure
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)22-626-02
Intrusion Detection Technology
LI Peng-cheng
(Gaoyou Radio and Television Situation,Yangzhou 225600,China)
Abstract:Intrusion Detection (Intrusion Detection), as its name suggests, that is, the invasion of that. Its computer network or computer systems in a number of key points to collect information, through the analysis of such information to identify the network or system whether there is a breach of security policy and the conduct of the signs of being attacked. For intrusion detection software and hardware combination is the Intrusion Detection System (Intrusion Detection System, called IDS). And other security products different is that the intrusion detection system needs more intelligence, it must be able to get the data for analysis and draw useful results.
Key words:invasion;detection;Intrusion Detection System;ISS RealSecure
1 前言
早期的IDS模型设计用来监控单一服务器,是基于主机的入侵检测系统;近期的更多模型则集中用于监控通过网络互连的多个服务器。
2 IDS的任务和作用
1) 监视、分析用户及系统活动;
2) 对系统构造和弱点的审计;
3) 识别和反应已知进攻的活动模式并向相关人士报警;
4) 异常行为模式的统计分析;
5) 评估重要系统和数据文件的完整性;
6) 操作系统的审计跟踪管理,识别用户违反安全策略的行为。
3 入侵检测过程
3.1 对信息的收集
1) 系统和网络日志文件
2) 目录和文件中的不期望的改变
3) 程序执行中的不期望行为
4) 物理形式的入侵信息
3.2 信号分析
1) 模式匹配的方法:模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。这种分析方法也称为误用检测。该过程可以很简单(如通过字符串匹配以寻找一个简单的条目或指令),也可以很复杂(如利用正规的数学表达式来表示安全状态的变化)。一般来讲,一种进攻模式可以用一个过程(如执行一条指令)或一个输出(如获得权限)来表示。该方法的一大优点是只需收集相关的数据集合,显著减少系统负担,且技术已相当成熟。它与病毒防火墙采用的方法一样,检测准确率和效率都相当高。但是,该方法存在的弱点是需要不断的升级模式库以对付不断出现的黑客攻击手法,不能检测到从未出现过的黑客攻击手段。
2) 统计分析的方法:统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。这种分析方法也称为异常检测。例如,统计分析时发现一个在晚八点至早六点从不登录的账户却在凌晨两点突然试图登录,系统认为该行为是异常行为。统计分析的优点是可检测到未知的入侵和更为复杂的入侵,缺点是误报、漏报率高,且不适应用户正常行为的突然改变。具体的统计分析方法有:基于专家系统的、基于模型推理的和基于神经网络的分析方法。
3) 完整性分析的方法:完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和目录的内容及属性的变化。完整性分析在发现被更改的、被特洛伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制(如:消息摘要函数),能识别哪怕是微小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵,只要是成功的攻击导致了文件或其它对象的任何改变,它都能够发现。缺点是一般以批处理方式实现,不用于实时响应。尽管如此,完整性检测方法还是网络安全产品的重要组成部分。可以在每一天的某个特定时间内开启完整性分析模块,对网络系统进行全面地扫描检查。
4 入侵检测系统
4.1 基于主机的入侵检测系统(图1)
这种类型的系统依赖于审计数据或系统日志的准确性、完整性以及安全事件的定义。若入侵者设法逃避审计或进行合作入侵,则基于主机的检测系统的弱点就暴露出来了。特别是在现代的网络环境下,单独地依靠主机审计信息进行入侵检测难以适应网络安全的需求。
■ ■
图1基于主机的入侵检测系统 图2 基于网络的入侵检测系统
这主要表现在以下四个方面:一是主机的审计信息弱点,如易受攻击,入侵者可通过使用某些系统特权或调用比审计本身更低级的操作来逃避审计。二是不能通过分析主机审计记录来检测网络攻击。三是IDS的运行或多或少影响服务器性能。四是基于主机的IDS只能对服务器的特定用户、应用程序执行动作、日志进行检测,所能检测到的攻击类型受到限制。
4.2 基于网络的入侵检测系统(图2)
基于网络的IDS的优点是:
1) 服务器平立:基于网络的IDS监视通信流量而不影响服务器平台的变化和更新。
2) 配置简单:基于网络的IDS环境只需要一个普通的网络访问接口。
3) 检测多种攻击:基于网络的IDS探测器可以监视多种多样的攻击包括协议攻击和特定环境的攻击,长于识别与网络低层操作有关的攻击。
4.3 分布式入侵检测技术(图3)
典型的入侵检测系统是一个统一集中的代码块,它位于系统内核或内核之上,监控传送到内核的所有请求。但是,随着网络系统结构复杂化和大型化,系统的弱点或漏洞将趋于分布化。另外,入侵行为不再是单一的行为,而是表现出相互协作的入侵特点,在这种背景下,产生了基于分布式的入侵检测系统。
5 入侵检测工具介绍
5.1 ISS BlackICE
BlackICE Server Protection 软件(以下简称BlackICE)是由ISS安全公司出品的一款著名的基于主机的入侵检测系统。该软件在九九年曾获得了PC Magazine的技术卓越大奖。专家对它的评语是:“对于没有防火墙的家庭用户来说,BlackICE是一道不可缺少的防线;而对于企业网络,它又增加了一层保护措施--它并不是要取代防火墙,而是阻止企图穿过防火墙的入侵者。BlackICE集成有非常强大的检测和分析引擎,可以识别多种入侵技巧,给予用户全面的网络检测以及系统的保护。而且该软件还具有灵敏度及准确率高,稳定性出色,系统资源占用率极少的特点。
5.2 ISS RealSecure
RealSecure 2.0 for Windows NT是一种领导市场的攻击检测方案,它提供了分布式的安全体系结构。多个检测引擎可以监控不同的网络并向中央管理控制台报告。控制台与引擎之间的通信可以通过128bit RSA进行认证和加密。
RealSecure可以在NT、Solaris、SunOS和Linux上运行,并可以在混合的操作系统或匹配的操作系统环境下使用。对于一个小型的系统,可以将引擎和控制台放在同一台机器上运行。一个引擎可以向多个控制台报告,一个控制台也可以管理多个引擎。还可以对CheckPoint Software的Firewall-1重新进行配置。ISS还计划使其能对Cisco的路由器进行重新配置。RelSecure的优势在于其简洁性和低价格,引擎价格1万美元,控制台是免费的。
参考文献:
关键词:网络信息;管理;入侵检测技术
在现代之中,一些非法分子利用木马进行相应的隐藏,然后通过对于计算机植入木马,进行一些信息的窃取。现代企业在面临网络非法分子进行信息盗取过程之中,首先应该对于入侵行为有着明确的认识,这就需要现代的入侵检测技术了,对于入侵行为有着明确的判定,才能真正的展开后续行动,这对现代网络信息管理而言十分重要。
1网络信息管理中入侵检测技术概述
(1)入侵检测技术在网络信息管理之中的作用。如果说现代计算机作为系统,那么入侵检测技术就相当于保安系统,对于关键信息的储存位置进行定期检查和扫描,一旦发现外来不明用户杜宇关键信息进行查询,便对使用用户进行警告,帮助用户进行入侵行为的相关处理,保障关键的信息系统和数据信息不会收到损坏和盗窃。入侵检测技术同样会对系统之中存在的漏洞进行检查和通报,对于系统之中的漏洞而言,往往便是入侵行为发生的位置,所以针对于这些位置进行处理,更为良好的保证整个系统的安全,对于现代企业网络系统而言,入侵检测技术便是保障的第二道铁闸。
(2)现阶段入侵检测技术的主要流程。通常情况下,入侵检测技主要可以分为两个阶段。第一个阶段便是信息采集,主要便是对于用户的各种信息使用行为和重要信息进行收集,这些信息的收集主要是通过对于重点信息部位的使用信息进行查询得出的,所以说在现代应用之中,入侵检测技术一方面应用了现代的检测技术,另外一方面也对于多种信息都进行了收集行为,保证了收集信息的准确性;第二个阶段便是处理相关信息,通过将收集的信息和过往的信息进行有效对比,然后如果对比出相关错误便进行判断,判断使用行为是否违背了网络安全管理规范,如果判断结果为肯定,那么便可以认定其属于入侵行为,对于使用用户进行提醒,帮助用户对于入侵行为进行清除。
2现阶段入侵检测技术的使用现状
(1)网络信息管理中入侵检测系统的问题。入侵检测技术作为一种网络辅助软件去,其本身在现阶段并不是完善的,自身也存在漏洞。所以说很多非法分子的入侵不仅仅是面对系统的,很多先通过入侵技术的漏洞来进行。针对现阶段的使用过程而言,入侵检测技术仍然存在自身的漏洞危险,也存在主要使用风险。在现阶段存在危险的方面主要有两个方面。一方面便是由于入侵检测系统存在漏洞;另外一方面便是现代计算机技术的发展。无论是相关的检测系统亦或是相关病毒,都是现代编程人员利用C语言进行编程,伴随着相关编程水平的不断提高,两种技术同样得到了自我发展,所以说很多黑客高手在现代的入侵行为之中,已经不能以旧有的眼光来进行相关分析。所以说新的时期,入侵检测技术也应该得到自我的发展,同样针对于应用网络的相关企业做好安全保证,保证信息技术在现代之中的发展。
(2)现阶段网络信息管理之中入侵检测技术存在的问题。网络信息管理之中的入侵检测技术在现代之中仍然存在问题,同样是两个方面问题。一方面是由于入侵技术自身存在漏洞,在现阶段很多入侵检测技术是通过对于入侵行为进行有效的提取,将行为进行归纳,对于行为是否符合现代网络安全规范,然后判断结果是否为入侵。很多时候,入侵行为往往较为隐秘,所以说这就导致了相关的入侵检测技术不能对于入侵行为进行提取,更无从谈起其是否符合网络安全规范。另外一方面的问题便是检测速度明显小于入侵速度,这也是在现阶段常见的问题。随着现代网络技术的发展,网络速度已经得到了有效的自我发展,很多入侵检测过程之中,很多时候检测速度小于网络检测速度,这样的情况下,一些行为尚未进行阻拦,便已经达成入侵的目的了,进而导致了信息的丢失,所以说这方面的问题同样应该得到改善。企业在应用之中,也应该注意这种速度的问题,防止因为速度进而造成自身信息丢失等。
3网络信息管理之中入侵检测技术的具体分类
(1)异常检测,异常检测顾名思义,便是对于入侵行为进行检测,但是由于入侵的性质未定,这就导致很多时候入侵检测技术进行了无用功。现阶段往往入侵检测技术通过建立一个行为轮廓来进行限定,如果入侵行为已经超过了这个行为轮廓,便确定其为入侵行为。这种模式大大简化了行为判定的过程,但是由于过于简单的相应行为也容易出现相关漏洞。在实际工作之中,往往非入侵行为但是在行为轮廓行为之外的网络访问行为,但是在入侵检测技术之中被判断为入侵行为,造成了工作的重复。所以说在进行行为轮廓的确定时,同样应该由一些特征量来确定,减少检测工作可能出现的失误,进而可以提升检测工作的效率;另外一方面可以设置参考数值,通过参考数值的评定来进行评判,在入侵检测技术之中,参考数值非常重要。
(2)误用检测,其应用前提便是所有的入侵行为进行识别并且进行标记。在一般情况下,误用检测便是通过攻击方法来进行攻击签名,然后再通过定义已经完成的攻击签名对于入侵行为进行相关判断。很多行为都是通过漏洞来进行,所以误用检测可以准确的判断出相应入侵行为,不仅预防了入侵行为,还可以对于其他入侵行为进行警示作用。这种技术在实际使用过程之中,提升了入侵检测数的效率和准确。
4结语
在现代信息技术得到发展的今天,网络信息管理已经成为了现代企业非常重要的组成部分。针对于网络安全而言,其自身往往具有一些技术之中的漏洞,所以同样容易引发入侵行为。针对于入侵行为,现代之中有着入侵检测技术,本文对于入侵检测技术的使用进行了分析,希望为相关人员带来相关思考。
参考文献
[1]张丽.入侵检测技术在网络信息管理中的应用分析[J].中国科技博览,2014,第16期:12-12.
[2]陈莹莹.网络信息管理中入侵检测技术的研究[J].信息通信,2013,06期:99-99.
随着计算机网络技术的不断发展,计算机网络与各行各业的联系越加紧密,相应的保证网络安全就显得尤为重要。提高网络安全性,以往的方法是实施网络安全检测技术,如防火墙技术、加密技术、病毒防护技术等,其只能被动的防护,难以满足网络安全需要。在计算机网络应用日益频繁、复杂的情况下,应当科学、合理的应用网络入侵检测技术,对网络系统进行实时的入侵检测,如此可以大大提高网络安全程度。所以,科学、合理的应用网络入侵检测技术是非常重要的。本文将重点分析网络入侵检测技术及其要点,希望对于有效应用此项技术有所作用。
【关键词】网络入侵 检测技术 技术要点
随着网络的普及和上网人数的与日俱增,网络安全问题日益凸显。从近些年网络攻击情况来看,网络安全问题日益严峻,如若不能及时且有效的解决网络安全问题,将会给人们带来严重损失。为了避免此种情况的发生,应当科学、合理的应用网络入侵检测技术,以便发挥网络入侵检测功能,实时检测网络,避免系统内部攻击情况发生,同时加强主动防御,使网络安全运行。由此看来,网络入侵检测技术的有效应用,不仅能够有效解决网络安全问题,还能强化网络防御功能,值得广泛应用。
1 入侵检测系统
入侵检测系统(IDS)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或采取主动反应措施的网络安全设备。所以,将其应用于计算机网络之中,可以有效的解决网络问题,提高计算机网络的安全性。
从目前入侵检测系统研究情况来看,入侵检测系统主要分为基于主机的入侵检测系统、基于网络的入侵检测系统、分布式入侵检测系统。基于主机的入侵检测系统是将用户访问主机的行为信息作为信息分析来源,进行入侵检测,这使其更适用于网络加密方面;基于网络的入侵检测系统是以所截获的数据包流量信息作为检测分析来源,进行入侵检测,这使其适用于网络攻击预警方面。分布式入侵检测系统则是在网络不同位置分布探测点,通过探测点收集信息,并将信息传送给中央探测点,进而判断是否入侵检测。无论哪种形式的网络入侵检测,对于解决网络安全问题都很有作用。
2 常用的网络入侵检测技术
当然,实现网络入侵检测系统的有效应用是因为有网络入侵检测技术的支持。基于目前网络入侵检测技术研究来说,常用的、有效的网络入侵检测技术有:
2.1 常用异常检测技术
2.1.1 量化分析技术
作为比较常用的入侵检测技术,量化分析技术主要是进行目标完整性检测和门限检测。目标完整性检测,更适用于主机入侵检测,即对主机中的某些敏感文件进行全面的、详细的、深入的检测,确定文件是否被恶意更改,进而判断网络是否被攻击,以便良好的维护、防护网络。而门限检测,则是对主机一段时间内的行为及变化与预设门限值进行比较,如若出现偏差,则说明计算机网络被攻击,进而加强网络防护。
2.1.2 基于统计的入侵检测技术
相对来说,基于统计的入侵检测技术发展较早,但其确有较多优点,能够有效的检测计算机网络,提高计算机网络的安全性。目前美国斯坦福研究院就是采用基于统计的入侵检测技术构建的入侵检测专家系统。而使基于统计的入侵检测技术能够有效、常用的原因是,此项技术应用于网络中,可以在不知道网络漏洞的情况下,对网络进行有效的检测,进而得到较准确的检测结果,有效处理网络安全问题,提高网络安全性。
2.1.3 数据挖掘
所谓数据挖掘是指从大量的数据中提取隐含的、 未知的、 具有潜在价值的信息的非平凡过程。利用数据挖掘方法来处理网络安全问题,可以对网络数据进行分析,明确正常数据模型的特点,进而构建检测模型,对网络进行全方位的检测,如此可以准确的找到网络安全问题的原因,以便有针对性的、有效的处理安全问题,提升网络安全性。所以,数据挖掘也是比较常用的网络入侵检测方法。
2.2 基于专家系统的滥用检测系统
基于专家系统的滥用检测系统是,依据专家知识定义入侵特征,再将被观察对象与该特征进行比较,分析是否为入侵行为。当然,要想保证基于专家系统的滥用检测系统可以有效应用,需要网络安全实际需要及系统应用要求,合理策划和设计专家系统的功能模块,即检测知识库、数据库、解释接口等,那么基于专家系统的滥用检测系统才能真正发挥作用,有效解决网络安全问题,提高网络防御水平。
3 网络入侵检测技术要点
基于以上内容的分析,确定网络入侵检测技术有效应用网络之中,可以充分发挥作用,进行网络入侵检测,有效解决网络安全问题。当然,要想实现这一目的,需要明确网络入侵检测技术要点,科学、合理的应用技术。
网络入侵检测技术要点是:
3.1 注意实时性的体现
也就是在利用网络入侵检测技术对网络进行实时入侵中,一旦发现攻击企图或攻击,应当及时追踪入侵者的位置,对其进行破坏,避免后续再次出现网络被攻击的情况。
3.2 注意适用性的体现
也就是了解网络环境、计算机系统类型、主机数量等,进而合理的设计应用网络入侵检测技术,以便此项技术可以有效应用于计算机网络中,实施入侵检测,保证网络安全。
3.3 注意可扩展性的体现
网络攻击行为不同,计算机网络受遭受的破坏不同。为了能够有效防御各种攻击行为,应当注意在扩展网络入侵检测系统,使之有效应用。
4 结束语
从近些年网络攻击次数不断增多,网络安全问题日益严峻,如若不能及时且有效的解决网络安全问题,将会给人们带来严重损失。为了避免此种情况的发生,应当科学、合理的应用网络入侵检测技术,如量化分析技术、基于统计的入侵检测技术、以数据挖掘等,构建网络入侵检测系统,可以充分发挥网络入侵检测作用,实时检测网络,避免系统内部攻击情况发生,同时加强主动防御,使网络安全运行。由此看来,将网络入侵检测技术有效应用与计算机网络之中是非常重要的,可以大大提高计算机网络的安全性。
参考文献
[1]王晟,赵壁芳.基于模糊数据挖掘和遗传算法的网络入侵检测技术[J].计算机测量与控制,2012,20(03):660-663.
[2]宋继红,杨放,葛震等.网络入侵检测技术的研究[J].沈阳工业大学学报,2003,25(02):129-131.
[3]黄俊,韩玲莉,陈光平等.基于无指导离群点检测的网络入侵检测技术[J].小型微型计算机系统,2007,28(11):2007-2009.
[4]何文彬.关于网络入侵检测技术的研究[J].电脑知识与技术,2011,07(14):3285-3287.
作者简介
黄少文(1989- ),男,广东省河源市人。大学本科学历。主要从事计算机网络专业教育教学和研究工作。
关键词:入侵检测技术;算法;模型
中图分类号:TP311 文献标识码:A 文章编号:1009-3044(2016)09-0072-02
随着Internet不断发展的同时,网站上出现入侵攻击的现象也愈发常见。跟据统计显示,大约每20秒就有一次入侵事件发生,网站犯罪每年以20%-30%速度增加,全球每年因网站非法入侵等情况而遭受的各种损失已至百亿级别。
在中国绝大多数的网站都有安全缺陷,不少网站都遭受到过入侵攻击,这一情况对我国网站信息安全产生极坏的影响。与此同时,随着网站安全防范技术的增强,网站入侵攻击的手段方法也愈发多变、隐蔽、难以发觉。非法入侵者使用的入侵手段已不只是木马、感染、网页脚本和黑客后门等,比方说超级蠕虫、隐蔽攻击等更高级攻击技术也开始出现。因此,研究入侵检测技术算法的改进与应用已经成为必要的问题。
1 入侵检测技术
入侵检测系统(Intrusion Detection System, IDS)是一种主动保护自己免受伤害的网络安全设备,主要负责采集系统中关键节点的数据,通过对数据的分析处理,发现危害系统的行为,同时对该种行为做出相应的防御,网络管理者可以通过它实时地了解网络的实际情况。
目前,入侵检测技术多种多样,涵盖了各个领域,每种技术都有各自的优势与长处,也有各自的特点,人们采用不同的划分标准区别各种各样的入侵检测技术,其中比较被大多数人认可的五种划分方式是反应机制、检测所采取的技术、数据的来源、体系结构以及反应快慢,在这五种方式中,每种都含有不同的检测技术
1)基于主机的入侵检测
入侵检测技术的初期阶段,入侵检测技术的应用是不尽如人意的,也因此出现了非常严重的入侵问题,例如,根据计算机密码配置文件的入侵程序,间接或直接的非法访问,使用SUID等入侵程序获取访问权限等。通常,当主机遭到入侵之后,入侵者的操作会留在系统的日志中。这样,利用日志分析技术可以来检测入侵主机之后到底发生了什么。基于日志分析的检测技术十分依赖于主机日志记录的准确性和严谨性。如果日志遭到破坏或篡改,将没有本法很好的分析入侵行为。
2)基于网络的入侵检测
基于网络的入侵检测和以往的入侵检测技术存在的区别,主要就是不再是被动地检测主机系统日志,主动在网络分组数据流进行实时监控网络,以检测可疑的活动。使用旁路时,侦听器的工作机制,以相应的收集数据,对可疑行为分析检验。基于网络的入侵检测技术,在利用实时监控的同时可以不改变系统配置进行入侵检测,丝毫不用影响正常的网络服务。
2 规则匹配算法
基于规则匹配算法的入侵检测系统是在1995年由外国学者Sandeep Kumar提出的,其主要思想是将规则规则与网络中捕获并解码分析的数据包进行匹配,通过检测引擎模块检测网络中是否含有非法入侵行为。
Sandeep Kumar首次引出入侵信号的层次性概念,将入侵信号区分为不同的抽象层次,具体来说,主要有四个层次,分别是存在、序列、规则表示及其他。
1)存在(Existence)
存在规则又称匹配规则,在对系统进行定期检查的过程中,发现含有入侵信号的审计事件,表明有入侵企图。
2)序列(Sequence)
序列规则可以理解为入侵行为是按照一定次序发生的,在系统的审计事件中用连续峰值体现出来。
3)规则表示(Regular Expressions)
该规则用规则表示式构成,一般情况下,都是一些没有顺序关系的活动,用逻辑表达式将这些活动事件连接起来。
4)其他(Others Pattern)
这种规则的入侵信号用以上三种规则都不能表示,内部否定是其中一种比较重要的表现形式。
入侵检测系统可以检测出的入侵信号用存在规则表示,系统内部的规则文件在检测过程中发挥了重要作用,规则匹配系统事件来源独立,只考虑事件中的数据,描述和匹配过程分离,只定义匹配的内容,不考虑匹配过程,根据不同入侵信号的特点动态形成相应的规则,多个事件可以在同一时间进行匹配,在实际应用中,要提取高质量的规则,根据入侵手段的变化,动态改变匹配规则,设立不同优先级,及时处理优先级比较高的事件,完成对所有规则的匹配工作。
规则匹配的原理就是在文本串T中按字符顺序依次查找是否含有规则串P,一般情况下,规则串P的长度要远远小于文本串T的长度,如果在文本串T中的某些字段找到了与规则串P完全吻合的字段,表示规则匹配成功,如果找不到表示规则匹配失败。
入侵检测系统把网络中的数据包信息按照五元组的格式进行分类,禁止一些含有入侵企图的访问端口,其次要对数据包内容进行检测,字符串匹配技术将发挥重要作用,通过系统特定的规则与内容信息的比对,进而查出入侵行为。
4 结束语
网络的快速发展,在给广大用户带来众多便利的同时,也给网络环境带来了巨大的安全隐患,入侵检测系统作为重要的主动防御系统能够实时监控网络中的数据包,当发现网络中有攻击行为时,及时产生报警信息提示用户并将该信息记录到日志当中。
文章对入侵检测系统与相关规则算法进行了研究。首先介绍了规则匹配的定义,又分别介绍了几种规则匹配算法的算法思想,进而对几种多模式规则算法做出了对比分析,通过对几种算法性能分析,介绍了各种算法的能力,并对几种算法的基本原理记性了详细阐述。在此基础上,提出了改进的算法可以更好的执行入侵检测的异常情况,并快速的响应发出警报。
本文提出的改进规则匹配算法,虽然提高了匹配效率,但 在实际应用中还应该多方面考虑算法的实际效果,来弥补可能仍然存在的不足之处,例如基于规则匹配的入侵检测一般只能检测到已知类型的入侵攻击,而遇到未知类型的入侵攻击,此类的入侵检测系统就很难准确的检测到了,如何在以后的工作中,将多规则匹配算法应用到预防未知类型的入侵检测,将是今后入侵检测系统未来发展的重点方向。
参考文献:
[1] 那琳.SQL注入式攻击及其防范措施研究[J].计算机光盘软件与应用,2011(19):73-74.
[2] 岳燕,赵才武.浅议政府机关WEB服务器的安全策略[J].云南科技管理,2012(1):71-73.
[3] 冯谷,高鹏.新型SQL注入技术研究与分析[J].计算机科学,2012,23:415-417,423.
[4] 陈剑,龚发根.一种优化分布式文件系统的文件合并策略[J].计算机应用,2011(22):161-163.
[5] 王红艳.一种基于Hadoop架构的网络安全事件分析方法[J].信息网络安全,2013(1):55-57.
关键词:入侵检测技术;网络安全;发展趋势
一、前言
随着计算机网络的飞速发展和Internet应用范围的不断扩大,人们能够方便有效地获取信息资源和与他人交流。但是,由于网络协议本身设计和实现上一些不完善的因素,随之而来的Internet入侵事件也就层出不穷。作为开放网络的组成部分,校园网络的安全也是不可忽视的。由于各种原因导致校园网既是大量攻击的发源地,也是攻击者最容易攻破的目标。当前校园网常见的风险如下:普遍存在的计算机系统的漏洞,对信息安全、系统的使用、网络的运行构成严重的威胁;计算机蠕虫、病毒泛滥。影响用户的使用、信息安全、网络运行;外来的系统入侵、攻击等恶意破坏行为,有些计算机已经被攻破,用作黑客攻击的工具:拒绝服务攻击目前越来越普遍。
二、入侵检测技术在校园网中的作用
加强校内处信息的交流,满足校区广大师生的需求,充分利用网络资源为全校教学、科研和管理服务,我们将用户的应用需求归纳为如下几个方面:
1.内部信息:向各部门规章制度、规划、计划、通知等公开信息等。
2.电子邮件:校园内部的电子邮件的发送与接收。
3.文件传输:校园内部的文本文件、图像文件、语音文件等发送与接收。
4.资源共享:文件共享、数据库共享、打印机共享。
5.导航系统:校园内部各部门web站点的导航。
6.外部通信:通过广域网或专线连接,可与国内外的合作伙伴交流信息。
7.接入因特网:接入中国电信、Internet,对外信息。
架设一个入侵监测系统(IDS)是非常必要的,处于防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵监测系统是防火墙的延续。它们可以和你的防火墙和路由器配合工作。
IDS扫描当前网络的活动,监视和记录网络的流量,根据定义好的规则来过滤从主机网卡到网线上的流量,提供实时报警。IDS是被动的,它监测你的网络上所有的数据包。其目的就是扑捉危险或有恶意动作的信息包。IDS是按你指定的规则运行的,记录是庞大的,所以我们必须制定合适的规则对他进行正确的配置,如果IDS没有正确的配置,其效果如同没有一样。IDS能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了信息安全基础结构的完整性。
三、入侵检测技术在校园网中存在的不足
(一)防火墙位置。
防火墙是网络安全的关口设备,只有在关键网络流量通过防火墙的时候,防火墙才能对此实行检查、防护等功能。因此,在网络拓扑上,防火墙应当处在网络的出口处和不同安全等级区域的结合点处。这些位置通常位于内部网到Internet出口链路处;主干交换机至服务器区域工作组交换机的骨干链路上;内部网与高安全等级的网的连接点;远程拨号服务器与骨干交换机或路由器之间。
(二)入侵检测位置。
不同于防火墙,IDS入侵检测系统是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作。因此,对IDS的部署,唯一的要求是:IDS应当挂接在所有来自高危网络区域的访问流量和需要进行统计、监视的网络报文都必须流经的链路上。IDS在交换式网络中的位置一般选择在:尽可能靠近攻击源;尽可能靠近受保护资源。这些位置通常是:
•服务器区域的交换机上;
•Internet接入路由器之后的第一台交换机上;
•重点保护网段的局域网交换机上。
(三)防火墙与IDS的结合。
谈到网络安全,人们第一个想到的就是防火墙。但随着技术的发展,网络日趋复杂,传统防火墙所暴露出来的不足和弱点引起了人们对入侵检测系统(IDS)技术的研究和开发。
首先,传统的防火墙在工作时,就像深宅大院虽有高大的院墙,却不能挡住小老鼠甚至是家贼的偷袭一样,因为入侵者可以找到防火墙背后可能敞开的后门。
其次,防火墙完全不能阻止来自内部的袭击。我们通过调查发现,70%的攻击都将来自于校园网内部,对于校园网内部个别心怀不满的教师或学生来说,防火墙形同虚设。
再者,由于性能的限制,防火墙通常不能提供实时的入侵检测能力,对于现在层出不穷的攻击技术来说是至关重要的。
第四,防火墙对于病毒也束手无策。因此,以为在 Internet入口处部署防火墙系统就足够安全的想法是不切实际的。
入侵检测系统(IDS)可以弥补防火墙的不足,为网络安全提供实时的入侵检测及采取相应的防护手段,如及时记录证据用于跟踪、切断网络连接,执行用户的安全策略等。
四、防火墙与IDS结合的优点改进校园网
防火墙只是一种基于策略的被动防御措施,是一种粗颗粒的防御手段,无法自动调整策略设置来阻断正在进行的攻击,也无法防范基于协议的攻击。所以,单靠防火墙是无法实现良好的安全防护性能的。
IDS能够实时分析校园网外部及校园网内部的数据通讯信息,分辨入侵企图,在校园网络系统受到危害前以各种方式发出警报,并且及时对网络入侵采取相应措施,最大限度保护校园网系统的安全。但是,单靠入侵检测系统自身,只能及时发现攻击行为,但却无法阻止和处理。
我们将二者结合起来互动运行,防火墙便可通过IDS及时发现其策略之外的攻击行为,IDS也可以通过防火墙对来自外部网络的攻击行为进行阻断。IDS与防火墙有效互动就可以实现一个较为有效的安全防护体系,可以大大提高整体防护性能,解决了传统信息安全技术的弊端、解决了原先防火墙的粗颗粒防御和检测系统只发现难响应的问题。防火墙和入侵检测的模型有以下好处:
1.如果能够足够迅速检测到入侵,那么就能确认入侵者,并能在破坏发生或数据损坏之前把他驱逐出系统。即使未能足够迅速地检测出入侵并加以阻止,也是越迅速地检测出入侵,越能减少破坏的危害并能更迅速地加以恢复。
2.高效的检测系统能够起到威慑作用,因此也能从一定程度上阻止入侵。
3.入侵检测系统能够收集有关入侵技术的信息。这样可以用来加强入侵阻止设施。
五、入侵检测技术的发展趋势
目前,国外一些研究机构已经开发出了应用于不同操作系统的几种典型的入侵检测系统(IDS。它们通常采用静态异常模型和规则的误用模型来检测人侵。这些1DS的检测基本是基于服务器或基于网络的=早期的1DS模型设计用来监控单一服务器,是基于主机的人侵检测系统,然而近期的更多模型则集中用于监控通过网络互连的多服务器,是基于网络的侵人检测系统近年来人侵检测技术的主要发展方向。
六、结语
人侵检测被认为是防火墙之后的第二道安全闸门,它采用的是一种主动的技术,能有效地发现入侵行为和合法用户滥用特权的行为,已经成为网络安全体系中一个重要组成分.目前入侵检测技术还处于研究和发展阶段,同样存在很多不足之处。随着网络通信技术安全性的要求越来越高,人们需要重点研究一些智能化的检测技术,同时还要研究如何将入侵检测技术和其他网络安全技术相结合来构建一个网络安全体系等等,这些都是以后入侵检测发展的主要方面。
关键词:云计算;病毒入侵;构建
中图分类号:TP311 文献标识码:A 文章编号:1009-3044(2013)32-7205-03
病毒防护是计算机技术中一项重要技术,计算机在运行过程中会遇到各种各样的病毒,这些病毒会影响到计算机的运行严重情况下甚至会导致计算机系统瘫痪,从而造成不可估量的损害。因此病毒防护历来是计算机技术中一项重要技术。传统的病毒防护技术主要指的是防火墙、杀毒软件、网络入侵检测等技术。这些病毒防护技术虽然在一定程度上满足了计算机的基本功能,但是随着信息技术的不断发展,传统的防护技术已经不能够适应快速地、日益增长的安全问题了。因此病毒防护技术亟待创新。
云计算是当今一个新兴概念,云计算本身具有综合性、容低性、高容错性等性能,这些性能正好能够更好地处理计算机病毒。加强云计算技术在病毒检测技术中的应用是未来发展的必然趋势。
1 云计算在病毒入侵检测技术中的具体应用
云计算技术本身是一种新型技术,云计算在计算机中的应用主要体现在通过通过云计算技术对庞大的侵入计算机行为数据进行分析,而后再通过其他平台通过网页形式报告给计算机用户,从而使用户能够及时了解计算机本身的安全状况。
在新形势下入侵计算机的行为数据量是非常大的,采用传统的病毒防护技术不能实现快速地分析检测,而采用云计算技术则可以在短时间内实现对大数据的处理。与传统病毒防护技术相比,云计算技术有着无可比拟的优势。该文就以snort网络病毒入侵检测系统为例来详细说明云计算技术在病毒入侵检测技术中的应用。
2 Snort网络入侵检测系统的构建
Snort网络入侵检测系统本身是一项复杂的网络检验系统,该系统的构建是需要多个步骤才能实现的。该系统的构建主要包括以下几个步骤:
一是云的构建。云计算应用关键就在于构建云,当前在构建云的过程中主要是通过在多台Linux中安装Hadoop来实现的。二是设计程序。程序的设计是系统构建的关键步骤,对于snort网络主要是设计Map-Reduce程序。通过设计完整的程序来实现对警报信息的有效整合。三是构建Hbase分布式数据库。该数据库主要是用来存储经过整合后的数据的。四是利用Map-Reduce来对数据进行分析处理,最终以web服务器和PHP网页脚本语言呈现给用户。
3 病毒入侵检测系统的具体实施
上文只是把系统构建的步骤进行了介绍,下面我们就来探讨病毒入侵检测系统的具体实施。对于该系统的构建我们主要是在综合机房中实现的,该系统对硬件配置的要求较高,因此采用校内网速IG、网速达到100M的快带网络来构建起云计算实验平台。该系统需要6台普通PC机来进行构建,在这6台PC中有一台作为主节点,另外5台作为从节点来使用。在这些电脑中还需要安装zookeeprer。
该系统的具体实施是按照以下步骤来实施的:首先是对6台计算机安装linux并分别命名。对于主节点要命名为hadoop,其余五台则分别命名为hadoop1、hadoop2、hadoop3、hadoop4、hadoop5.命名之后就要把五台计算机连接在一起。其次是要生成PCI秘钥对,最终保证各台计算机ash实现无密码登陆。第三步是安装jdk文件,jdk在安装完成之后还要专门进行调试。只有经过专门调试才能保证正常工作。第四步就是配置相关文件。对于hadoop中hadoop-env.sh要修改其jdk路径,对于slaves文件的修改要把其变为hadoop1-hadoop5.做好这些配置后,还要对core-site.xml文件进行配置,该文件是hadoop的主要文件,我们必须要对此保持高度重视。最后就是要配置mapred—site.xml文件。在完成以上步骤之后就可以启动云了。最后一步是安装apache服务器。针对这服务器的安装需要从以下几步来做:安装woke目录;下载并解压apache文件;建立makefile;编译make;安装Apache。至此该网络病毒入侵检测系统算是构建完成。在完成系统构建之后,我们就可以通过专门实验来观察其效果了。
4 系统效果分析
通过专门实验之后,我们发现该系统本身有效地检测出了计算机的病毒。在云计算环境下的病毒入侵检测系统实现了从病毒防护平台就可以查出恶意入侵的源IP、攻击的起始时间、结束时间等内容。通过这一系统基本上实现了对网络系统的病毒检测。
通过云计算技术病毒网络入侵检测系统实现了对警讯来源、目的等的综合分析。采用云计算技术可以使得用户能够迅速掌握计算机所遭受到的攻击,对于快速处理计算机病毒具有至关重要的问题。在病毒入侵检测系统中应用云计算技术改变了传统的处理警报的形势,提高了云端安全问题解决效率。采用项技术基本上能够有效解决病毒入侵检测。
上文详细分析了云计算技术所取得的明显效果。但是我们在实验过程中也出现了一些问题,这些问题的出现最终会影响到病毒入侵检测效果,因此在这样的背景下我们除了要掌握其效果之外,还要对实验过程中出现的问题进行详细处理。当前在实验过程中出现的问题主要表现在以下几个方面:
4.1 产生错误代码
在实验过程中我们发现网络系统本身出现了错误代码。经过详细分析我们发现之所以会出现错误代码主要原因是因为dfs.name.dir路径设置有问题,该文件并所有权发生混乱,最终使得主节点检查不到子节点。针对这个问题我们通过修改子节点的文件夹权限,最终有效解决了这个问题。
4.2 数据处理方法有待深化
在数据处理过程中算法Merge Extended Alert job处理过后的数据与之前数据相比并没有明显区别。可见当前的数据处理技术还有待深化。
4.3 程序问题
所谓程序问题主要指的是两方面的问题:一是出现了数据重复处理的现象。之所以会出现遮掩高度问题主要是因为没有将原来的hdfs移除造成的。在意识到这个问题之后工作人员及时移除数据,数据重复处理的现象得以避免。二是runjob程序仍然存在。在实验过程中使用Kill命令本身不足以停止Hadoop。这对数据处理造成了很大影响。在这方面必须要引起我们的高度重视。在今后的病毒防护过程中必须要不断改善这种现象。
5 云计算技术安全性分析
云计算技术在计算机病毒入侵检测系统中虽然得到有效应用,但是正如上文所说云计算技术在实验过程中还存在一些问题,因此加强对云计算技术安全性的详细分析具有重要意义。该文就以PCShare为例来详细对云计算技术的安全性进行分析。通过观察我们发现云计算技术在应用过程中存在着以下安全性问题:
5.1 文件路径欺骗
在计算机运行过程中云计算技术本身存在着文件路径被欺骗的隐患。木马程序通过构建没有实际内容的文件可以改变实际存在的文件目录。这样的木马程序会对计算机的自动运行造成巨大影响。该木马程序首先是通过创建虚拟目录,而后让木马程序在虚拟目录中运行,最后再删除虚拟目录。通过这种方法最终严重影响到了计算机性能。
这个问题的具体步骤,首先是利用subst命令对恶意程序赋驱动符。在实际运行过程中用磁盘驱动器符来代替恶意程序创建的目录;之后就是要在虚拟驱动器中运行恶意程序,最后就是删除虚拟驱动器。
5.2 云查杀欺骗。云查杀过程中存在的欺骗主要指的是通信欺骗。通信欺骗也是云计算技术运行过程中遇到的主要问题
上述两个问题是云计算过程中常见的问题,针对这两个问题的处理,我们需要采取专门措施来予以预防。对于文件路径欺骗的行为,工作人员要运用杀毒软件来获得木马程序本身的虚拟目录,然后进一步获取物理路径。如果杀毒软件本身不能够找到物理路径的时候,就需要采用其他方法对木马程序进行定位。对于云查杀过程中通信欺骗行为。在实际应用过程中可以通过杀毒软件对数据进行加密,对数据包进行检验等方法来有效防止恶意程序的破坏。
云计算技术是当前IT技术中一项新兴技术,该技术在病毒入侵检测系统中的应用能够有效提升病毒入侵检测能力,对于保证计算机安全具有重要意义。在病毒防治形势日益复杂的背景下加强对云计算技术的研究具有重要意义。该文详细分析了云计算技术的优势,而后以sonrt网络病毒入侵检测系统构建为例详细说明了云计算技术在病毒入侵检测系统中的应用,最后对云计算技术的安全性进行了分析。在今后的实际工作过程中必须要不断加强对云计算技术的研究。
参考文献:
[1] 蒋晓峰.面向开源程序的特征码免杀与主动防御突破研究[D].上海:上海交通大学,2011.
关键词:计算机数据库;入侵检测技术;网络安全
中图分类号:TP309.2 文献标识码:A
计算机数据库普遍受到网络与设备的威胁。计算机安全主要是指物理安全与信息安全(网络安全),其中信息安全主要是指保护网络信息的完整性、可用性、保密性。据调查数据表明,信息系统的整体安全方面,数据库是最容易受到攻击的部件。计算机数据库主要受到计算机病毒或黑客的攻击,其中与计算机病毒的种类相比较,黑客对计算机数据库的攻击方法更多、更致命。美国FBI调查数据显示,网络安全导致每年美国承受超出170亿美元的经济损失,其中每天被黑客攻击或病害感染的网页达到15000个。据国家计算机网络应急技术处理协调中心的评估数据表明,2012年中国“僵尸”电脑数量已超过全球“僵尸”电脑总数的58%。由此可见,必须加强对计算机数据库安全保护的研究。
1 计算机数据库入侵检测技术的现状问题
经过20余年的发展,计算机数据库入侵检测技术已相当成熟,但不断出现的新需求及新情况势必要求不断推进入侵检测技术。目前主流入侵检测系统包括基于主机的入侵检测系统及基于网络的入侵检测系统;主流入侵检测方法包括误用检测及异常检测,其中误用检测要求对异常行为进行建模,把符合特征库描述的行为视为攻击;异常检测要求对正常行为进行建模,把不符合特征库描述的行为视为攻击。总体而言,计算机数据库入侵检测技术发展的现状尚不能完全满足系统安全的要求,同时仍存有一些问题亟待解决。
(1)计算机入侵检测误报漏报率高:数据库信息主要由个人信息及企业信息组成,因此信息的安全性普遍受到社会个体及组织的广泛关注,同时计算机入侵检测技术的研发过程,研究人员对某些关键点设置的要求相当高。但此种情况极易受到大量病毒或黑客的入侵,由此导致入侵检测结果的准确率大幅度下降,同时某些暂时提高入侵检测结果准确率的做法反过来亦会影响到数据库安全。
(2)计算机入侵检测的效率较低:任何数据入侵或反入侵皆需进行大量的二进制数据计算,以提高数据运行的有效性。但庞大的计算势必造成大量的时间及财力浪费,由此阻碍着入侵检测效率的提高,同时也与当今网络环境极不相称。
(3)计算机入侵检测技术的自我防御能力较弱:计算机入侵检测技术发展尚不完善,加上设计人员的专业知识欠缺,因此势必影响到计算机入侵检测技术自我防御能力的提高。若入侵检测技术被黑客或病毒入侵,有限的防御能力势必难以完成入侵检测,由此必然威胁到数据库的安全。
(4)计算机入侵检测技术的可扩展性差:计算机入侵检测技术无自动更新功能,因此不能对新的异常行为或病毒进行有效判别,进而造成病毒肆意,甚至破坏数据库的安全防线。
2 计算机数据库入侵检测技术的发展方向
计算机入侵检测系统具备网络管理、网络监视及入侵检测功能,其主要采用先进的分布式架构(表1)。入侵检测系统包含2300多种规则,能够借助智能分析与模式相结合的方法对网内外传输的所有数据进行实时捕获,进而实现对网络领域存在的入侵行为或异常现象进行检测,同时借助内置的攻击特征库把相关事件录入数据库,以便为事后分析提供参考依据。此外,计算机入侵检测系统是高效的数据采集技术,与内容恢复、状态协议分析、行为分析、异常分析、网络审计等入侵分析技术具有非常好的兼容性,同时能够检测到网络、端口探察、应用层及底层活动的扫描攻击。
结合表1内容及计算机入侵检测技术存在的问题,本文认为计算机数据库入侵检测技术应坚持“分布型、层次化、智能化检测及反术测评标准化”的发展道路。
(1)分布型检测。传统的入侵检测大多被局限到单一网络结构,主要完成单一网络结构的数据库检测,此种检测方法根本没有能力应对大规模的异构体系数据库。此外,数据库检测体系间的协同性较弱。针对此类问题,最有效的办法是采用分布式数据库入侵检测手段。
(2)层次化检测。就检测范围而言,传统的入侵检测技术具有相当大的局限性,尤其对某些高端数据库系统,入侵检测技术尚存在诸多盲点。目前多数服务器结构系统皆需多层次的入侵检测保护功能,由此保障网络安全。针对此类问题,最有效的办法是采用层次化的检测方式,区别对待普通系统与高端数据库系统,由此提高入侵检测技术的作用力。
(3)智能化检测。虽然目前使用的计算机入侵检测技术已经应用到遗传算法及神经网络等,但应用水平尚处在初级阶段或尝试性阶段,因此有必要把智能化入侵检测列入专项课题进行研究,由此提高计算机入侵检测的自我适应能力。
(4)应用入侵检测技术过程,用户有必要不定期对技术系统进行测评,其中测评的内容应涉及到资源占用比、检测范围、检测可靠程度,同时充分利用测评数据对检测系统实施评估,然后再结合评估情况对检测系统进行完善。总体而言,依托入侵检测技术,计算机数据库系统的安全性势必大大增强,即入侵检测系统通过化解计算机数据库系统外部的攻击及排除系统内部的潜在威胁,进而对计算机数据库系统实施有效保护。
(5)计算机数据库入侵检测技术的强化措施除采取分布型检测、层次化检测及智能化检测外,笔者认为创建新型系统模型、建立数据库知识标准、减少入侵检测的计算量等皆可加强计算机入侵检测技术,其中优化Apriori算法是一种由Apriori算法改进而来的计算方法,其对减少入侵检测的计算量至关重要,此外优化Apriori算法的剪枝候选集功能是显示入侵检测计算量减少的主要工作。
3 结束语
综上所述,入侵检测技术是一种保障计算机数据库免受黑客或病毒入侵的安全防护高新技术,其不仅能够化解来自外界的攻击(黑客),同时也能够排查出内部潜在的病毒,进而实现对计算机数据库的实时性保护。随着网络技术更新周期的缩短,网络安全问题越来越引起社会的关注。数据库是最容易受到黑客与病毒攻击的部件,加上数据库存储有数以亿计用户的信息,因此必须采取措施确保计算机数据率的网络安全。尽管入侵检测技术的应用已相当成熟,但仍然存在诸多问题亟待解决,其中包括入侵检测误报漏报率高、入侵检测的效率较低、入侵检测技术的自我防御能力较弱及入侵检测技术的可扩展性差等。基于此,本文提出计算机数据库入侵检测技术应该坚持“分布型、层次化、智能化检测及反术测评标准化”的发展道路,由此提高网络安全及维护社会的安定和谐。
参考文献
[1] 秋瑜.计算机数据库入侵检测技术分析研究[J].硅谷,2012,(6):79-79.
[2] 王素香.计算机数据库的入侵检测技术分析[J].计算机光盘软件与应用,2013,(1):101.
[3] 李媛媛.计算机数据库的入侵检测技术分析[J].中国信息化,2013,(14):137-137.
[4] 肖大薇.计算机数据库入侵检测技术分析研究[J].信息系统工程,2012,(4):54-55.
[5] 王世轶.基于数据库的入侵检测技术分析[J].科技风,2012,(14):52.
[6] 高超,王丽君.数据挖掘技术在基于系统调用的入侵检测中的应用[J].鞍山科技大学学报,2006,29(1):45-49.
关键词:计算机数据库;入侵检测技术;发展研究
中图分类号:TP393.08
当前人们普遍使用计算机,计算机也逐步成为人们日常的办公工具,所以许多数据内容都要计算机数据库的整理并存储,并且计算机的数据库是整个系统的重要部分,因此许多计算机黑客将数据库作为攻击的对象,造成计算机不但面临着来自网络设备的威胁,还存在网络信息安全的问题,因此增加计算机数据库安全保护就十分重要,只有先对计算机数据库实施相应的保护措施,这样才能在受到病毒侵入时确保计算机网络数据的可靠性。随着入侵检测技术不断的进步,许多新的安全防御检测措施不断运用,但经过对计算机防火墙、杀毒软件、路由器等一整套的入侵检测结果推断在当前的计算机网络系统中:入侵检测技术还不够完善,有着许多的缺陷,这会直接降低计算机的入侵检测能力。
1 计算机数据库入侵检测技术的现状问题
由于我国的入侵监测系统和技术运用时间不长,因此目前我国的入侵检测技术还处于初始阶段,进步较慢,检测的系统还需要完善,许多新技术与新型检测理论都处于讨论时期,还没有正式启用,因而入侵检测技术还有以下不足:
1.1 漏报以及误报的频率较高。入侵检测系统与相应的入侵检测技术的运用目的在于维护存储较多内容的数据库,所以在进行系统应用时要求较高,尤其是监测系统关卡的设置,而致使很多非外界的攻击与病毒被检测出来,这就影响了入侵检测系统的效率以及服务质量。
1.2 入侵检测效率低。在计算机网络中,每一个数据编程与数据的入侵及反入侵,所有都需运用二进制对大量的数据进行处理,处理后才可以确保其有效运行,所以其计算量特别大,异常检测的技术成本也特别高,造成的原因是因为用户需求的不断改变,其记录也要跟着人们的需求进行更新,数量就会越来越多,又因为知识库特征里入侵的规则是专业人员先定义后匹配的,因此更增添了其运行的成本。
1.3 较差的自身防护能力。目前的检测技术,因为系统自身的问题以及技术人员能力有限,造成入侵检测技术本身的防护能力就比较差,所以,这就会造成当有病毒入侵或外界攻击入侵检测系统时,会使整个检测系统面临瘫痪,轻者其入侵行为会造成不能正确记录的结果,重者是系统被攻破,然后入侵到数据库里。
1.4 入侵检测技术的可扩展性差。计算机入侵检测系统没有自动更新的能力,所以无法对新的行为或病毒进行正确的判断,从而使得病毒肆意,更甚者冲破数据库的安全防线。
2 提升计算机入侵检测技术的措施
2.1 建立统一的数据库知识标准。研究与把握数据库入侵的特征是非常重要的部分,特征库的覆盖面与准确度在所有的入侵检测结构中都有所帮助。数据挖掘技术中经常运用的手段就是相关研究,相关研究的重点就是制定记录的处理以及一组的Item,提示对它们实施合理的整理与研究找出Item之间的关系,然后在数据库系统内部利用将它们实施有效的整合对潜在入侵行为进行处理探索,来迅速找出潜在的入侵威胁行为。针对系统中的特别检测要选择对应的挖掘项目实施数据挖掘,这种方式主要由以下两个方面:运用迭代技术检测出数据库复杂项集,此过程中要时刻对数据库进行扫描,确保其准确性;把复杂项集变换成相关的规定,规定推出后就应实行一种新规则,然后系统根据此规定运行。
2.2 采用分布式层次化入侵检测技术。目前的数据库入侵检测经常会有许多局限性,只可对一种网络系统结构实施针对性的检测,这对许多高端的以及大规模的数据库检测能力不够,另外,不同层次的数据库监测系统间的相互联系也不足。对于这些发生的状况,若要完善就需要运用分布式的数据库入侵检测技术,运用层次化升级的结论,在众多人使用的服务器上的数据库运用新技术才能增强计算机数据库入侵检测的实际能力。
2.3 智能化、标准化的数据库入侵检测。随着科技的迅速发展,计算机数据库入侵检测系统也得到了极大的进步,智能设备的广泛使用,加上医学的遗传学、神经条件反射在数据库入侵检测的运用,给计算机数据库入侵检测技术带来了巨大的发展。但这些都是初步的探索,在实际运用中还有许多的不足,所以智能化的技术若想真正的与计算机入侵检测技术融为一体还要付出许多努力,而且,数据库入侵检测技术也要逐步提高自身技能,以适应新时代的发展。
2.4 可持续发展战略。一种技术若想可以继续发展就需要制定严格的评测准则,只有在实际使用中随时对计算机数据库的运用情况检测才能为计算机的防御工作做好充分的准备。一般评测的指标都有:数据库的应用情况、入侵检测的范围大小、计算机系统的利用状况。然后把这些整理的数据实施统一的规划处理并输送到特定的系统平台,制作出统一的评测准则,运用到全部计算机数据库检测系统中,最后实现分布式的多层次多方面的入侵检测。
因此,计算机数据库入侵检测技术十分重要,不但能够作为数据库的保护者还能保护计算机系统,只有积极提升计算机入侵检测技术才能适应不断发展的科技社会,从而保证计算机的运转安全。
3 计算机数据库入侵检测技术的发展方向
随着计算机数据库在实际生活中的运用,它在人们的生活与工作中起着重要的作用,另外,攻击数据库的手段越来越复杂,越来越多的用户选择使用数据库入侵检测技术。未来,计算机数据库入侵检测技术主要有以下几种发展方向:
3.1 分布式检测。原来的入侵检测多数拘泥于一个网络结构,用来进行单一网络结构的检测,这种检测方式无法处理规模较大的异构体系数据库。另外,数据库检测体系之间的关联度不够。对于这种问题,最有效的手段是使用分布式数据库入侵检测方式。
3.2 层次化检测。就检测范围来说,传统的入侵检测技术有很大的缺陷,特别是针对一些高端数据库系统,入侵检测技术还有许多的问题。当前许多服务器结构系统都要求具备多层次的入侵检测保护能力,来确保网络的安全。针对这种问题,最可行的方式是使用层次化的检测手段,将普通系统与高端数据库系统区分开来,以此增强入侵检测技术的能力。
3.3 智能化检测。即使当前使用的计算机入侵检测技术已经运用到医学中,但是运用水平还处于尝试性阶段,所以,将智能化入侵检测列入专项课题进行讨论是十分必要的,通过研究讨论来增强计算机入侵检测的自我适应能力。
3.4 标准化评测。用户在使用数据库时应当不定期对计算机数据库入侵检测系统实施评价检测,评价指标包括:入侵检测的监测范围、数据库系统资源占用率、入侵检测技术的可靠性。凭借这些指标,创造出通用的检测平台,最终完成多层次数据库入侵的检测。
4 结束语
总之,计算机数据库入侵检测技术对计算机系统正常工作起着重要的作用。为了保证计算机的正常运行,我们应当增强对计算机数据库入侵检测技术的研究力度,不断依据各种问题来完善计算机数据库入侵检测技术的体系,最终让用户正常使用计算机。
参考文献:
[1]李广润.计算机数据库入侵检测技术应用初探[J].计算机光盘软件与应用,2013(03):41-42.
[2]吴晓风.关于计算机数据库入侵检测技术的几点思考[J].太原城市职业技术学院学报,2012(12):21-22.
[3]王敏.刍议计算机数据库的入侵检测技术及其应用[J].课程教育研究(新教师教学),2012(11):24-25.
【关键词】 网络安全 入侵检测 技术应用
入侵检测系统会在收集、分析计算机主机系统、网络核心数据的基础上,判断一些合法用户滥用资源及非法用户入侵计算机的行为,并做出对应的反应。与传统的网络安全技术相结合,入侵检测系统通过响应与检测大大提高了计算机系统的防御功能。
一、网络入侵的种类
常见的网络入侵包括病毒入侵、身份入侵、防火墙入侵等三种,其中病毒入侵是最常见的网络入侵行为,病毒可以在网络系统中进行自我复制,破坏网络系统数据的安全性与完整性,病毒入侵具有隐藏性、传染性、入侵范围大的特点。身份入侵主要是通过欺骗性较强的网络冒充合法网络用户的个人信息,再进入网络系统内部进行相应的入侵攻击。最后,防火墙入侵,一般情况下防火墙抵抗入侵的能力较强,但是如果防火墙设计存在缺陷,可能会导致对防火墙的直接入侵或间接入侵。
二、入侵检测的定义及手段
入侵检测是计算机系统安全审核中的重要环节,入侵检测系统是一种可及时捕捉计算机系统异常现象或未经授权的非法操作行为的技术,网络安全系统管理中,主要通过网络行为、审计数据、安全策略日志等进行分析,入侵检测技术可以针对误操作、内部及外部攻击进行有效的实时保护,在危险因素攻击计算机系统前进行有效的响应及拦截,是一种主动性更强的防护技术。计算机网络安全入侵检测技术包括模式匹配、异常检测、完整性分析三种手段,模式匹配主要是对计算机网络的数据进行检测,确定网络攻击特征;异常检测则是在收集操作过程中历史数据的基础上,形成网络正常活动的档案,将网络实时的活动情况与正常活动档案进行比较,判断是否有病毒入侵;完整性分析则是检测网络中的文件、目录是否处于正常状态,该技术最大的优势在于可以检测出任何一个入侵的地方。
三、网络安全管理中入侵检测技术的应用
3.1入侵信息收集
入侵检测技术主要依靠收集数据判断系统的安全性,网络检测数据主要包括系统日志、网络日志、文件、目录中的保密事项、执行程序中的限制操作行为、入侵物理形式信息等等。计算机网络应用进程中,要在每个网段中部署一个以上的IDS,才能采集所有的相关信息;入侵检测系统还可设置于交换机内部或防火墙数据的出入口等,可以有效的采集到更多的关键核心数据。如需要采集网络系统中不同类别的关键信息,要扩大检测范围,并设置截取网络的数据包,并重点分析网络系统中的薄弱环节。如果计算机系统入侵行为较少,可建立一个集中处理的数据群,提高入侵行为检测的针对性。
3.2信息分析及处理
收集完入侵信息后要对其进行分析与处理,实践环节主要采用两种模式对安全隐患或问题信息进行识别与处理,即模式匹配及异常情况分析。经过处理分析的信息再由管理器进行统一分析,提高了信息分析的规范化与标准化。入侵检测技术在实践过程中可以将问题信息传达给控制器,由控制器进行智能化、专业化的分析,充分保障计算机系统及数据信息的完整性及安全性。入侵技术的设计者及使用者需要制定相应的安全操作规则,采取行之有效的安全策略,并在此基础之上建立完善的入侵检测模型,利用网络管理中心来对相应的分析结果进行科学识别。
3.3网络信息的记录及反击措施
入侵检测技术的第三步就是记录网络运行中产生的大量数据,在分析这些数据信息后对当前网络环境是否存在入侵问题做出准确判断,如果发现会及时采取报警措施,尤其是在医院网络这种网络环境相对繁琐的情况下,要及时采取反击措施,才能最大程度上避免入侵活动导致的网络损失。入侵检测技术可以与防火墙技术联合应用,设计者可以设计一个科学化的模型,开放防火墙的一个内部端口,将其根据对应的协议与入侵检测技术的科学模型相连接,保证通信息顺畅性。防火墙内均有过滤机制用于分析经过防火墙的所有数据,将网络用户非相关数据剔除后,大大提高网络的安全性。
四、结语
随着网络信息技术的不断发展,网络攻击行为也越来越先进,网络安全问题日益突出,入侵检测技术在保障网络安全中意义十分重大。入侵检测系统在传统的网络安全技术基础之上,完成了响应和检测,起到了充分的防御功能,对网络安全事故的处理实现了事后发现到事前预警以及自动化响应的过渡等。相信随着网络应用技术的发展,入侵检测技术也会向着智能化、分布式的方向发展,为网络安全管理提供更加可靠的保障。
参 考 文 献
[1]胥琼丹.入侵检测技术在计算机网络安全维护中的应用[J].电脑知识与技术,2014(11)
入侵检测(intrusion detection, id)是指通过对行为、安全日志或审计数据或其它可以获得的信息进行操作,检测到对系统的闯入或闯入的企图。它通过对计算机系统或网络计算机系统中的若干关键点收集信息并对其进行分析,从中发现系统或网络中是否有违反安全策略的行为和被攻击的迹象。
信息管理系统(mis)在一个企业的正常运转中具有十分重要的作用,很多情况下,内部人员由于本身具有的特定权限,其相应的误操作和有意破坏,将会直接影响到服务器数据的完整性和安全性,给安全生产带来隐患。
现有的入侵检测系统多数采用概率统计、专家系统、神经网络等智能化方法来实现系统的检测机制。其中,神经网络方法可以利用大量实例通过训练的方法构造正常行为模型,能够有效预测未知的攻击,并且它有自适应、自学习、自组织、并行性等优点,在攻击类型上,则对非授权获得超级用户权限和远程到本地的非授权访问的检测效果显著。
本文将着力使用改进的bp神经网络,通过有效的数据选取和学习,来着重解决mis中的安全隐患问题。 1 入侵检测的分类
入侵检测就其数据源分类而言可以分为基于主机的入侵检测(hids)和基于网络的入侵检测(nids)。hids通过分析特定主机上的行为来检测入侵,其数据来源通常是系统和应用程序的审计日志或系统的行为数据。nids一般通过分析网络流量,网络数据包和协议来分析检测入侵,从大量的网络数据包中提取模式/特征,然后进行相应的分析。
就入侵检测技术而言则主要分为异常检测和误用检测。异常检测技术根据异常检测器观察主体的活动,然后模拟出这些活动正常行为的轮廓,通过比较当前的轮廓和模拟正常轮廓来判断异常行为,可以检测出未知的入侵。误用检测技术通过已知的入侵建立误用模型,将用户当前的行为与这些入侵模型进行匹配,可以实现快速的检测。
基于主机的入侵检测可以从所监测的主机收集信息,从而以很细的粒度分析主机行为,能够精确的确定对操作系统执行恶意行为的进程和用户。该入侵检测技术一般用于保护关键应用服务器,考虑到大多数mis系统采用的c/s结构和实际需要,本文主要研究基于主机的用户数据库调用,同时结合异常和误用两种技术检测入侵。 2 入侵检测模型介绍
任何一个入侵检测系统都必须基于合理的入侵检测模型。其中cidf(common intrusion detection framework)模型(如图1)正逐渐成为ids的公共标准。
图1:cidf通用入侵检测模型
本文在cidf通用模型基础之上,提出一种企业入侵检测模型(如图2)。系统基于windows平台,数据库采用sqlserver。ids直接运行在服务器端,实时监测各个客户端的数据库调用。
图2:企业应用系统入侵检测模型 2.1 主要功能模块介绍
模型主要由四个主要模块组成:
数据采集:主要由sqlserver跟踪日志给出,相当于事件产生器;
检测单元:主要由神经网络训练出一个相对稳定的正常模型,用于检测异常调用,相当于事件分析器;
特征数据库:主要利用误用检测的特点,实现快速检测各种已知的异常调用,并直接反馈倒报警单元,相当于事件数据库,其征数据库与被监控数据库分离存储;
报警单元:主要是杀掉异常调用的客户端进程,反馈给系统管理员并记录到自定义日志文件,相当于响应单元。 2.2 流程介绍
系统主要流程是:首先通过采集的样本数据经过训练后形成检测单元,建立相应特征数据库并完成日志文件初始化工作;然后实时监测客户端调用,将数据直接和特征数据库进行匹配,如有匹配则送入报警单元,反之则送入检测单元;检测单元将数据作为输入向量与正常模型比较,如果泛化输出值大于期望值,则列为异常,直接送入误用数据库存储,并通知报警单元,反之继续监测各调用。
下面从数据采集和神经网络学习两方面来讨论系统具体实现的关键技术。 3 关键技术实现 3.1数据采集 入侵检测的关键是用户行为特征的提取。本文主要研究客户端对主机数据库的安全调用,所以考虑sqlserver跟踪各客户端的数据库调用作为数据源,主要利用sqlserver的事件探察器,建立新的跟踪文件,针对tsql、存储过程、安全审核、会话等事件,选取objectid, loginname, cpu, read, write clientprocessid, spid 七个数据列作为输入向量。分别表示客户端对数据库表、存储过程和视图的调用;客户数据库登陆名;cpu占用时间;对数据库的读写操作;客户端进程号和系统分配进程号。这七种数据在对数据库的调用过程中相对稳定。loginname中则主要考虑客户端默认调用sa,采集到的数据都是十进制数据,不需要额外的数据预处理,符合神经网络输入的要求。 3.2 神经网络学习
系统采用vogl改进批处理bp学习算法,采用三层神经网络:输入单元为七个,分别对应上述七个处理向量;输出层为一个神经单元,输出结果规定在(0,1)范围内,用0表示为正常行为,用1表示为异常行为;隐层结点通过试验确定为6个;权值和阈值为小的随机数;学习率为0.1;隐含层和输出层采用sigmoid函数f(x)=(1+e-x)-1为激发函数,该函数具有非线性放大功能,可以把输入从负无穷大放大到正无穷大的信号,变换到0到1之间的输出,可以逼近非线性输入/输出关系。我们将七种特征向量作为神经网络的输入向量,训练的结果就是确定了bp网络的权值,而这些权值就存储了行为的特征模式,将训练后的神经网络用于实际的工作,就可以判断是否有异常的调用,如发现了新的非权限异常调用,则把检测到的模式存储到特征数据库。
词】电子政务;入侵检测;信息安全;数据挖掘
Research Survey on Intrusion Detection Based on the E-government Information Systems
SHANG Lei
(Shandong University of Political Science and Law,Jinan Shangdong,250013,China)
【Abstract】With the development of computer technology and network technology, E-government was widely used. It also caused many security problems. As a proactive defense of the new technology, Intrusion Detection System (IDS)can be helpful for E-government information safely. This paper presented a summary of the current state of IDS based on E-government, and some directions for future research are addressed.
【Key words】E-government;Intrusion-detection;Information security;Data mining
0 引言
随着以互联网为主要表现形式的信息通信技术的快速发展和广泛应用,信息化为行政改革推波助澜,发展电子政务成为21世纪全球范围内的一个不可扭转的趋势。电子政务的实施中涉及众多重要的政府信息,甚至国家安全信息,这些信息承载着各级政府管理部门的信息传递与流程管理,比任何商务信息或个人信息更为敏感,因此信息安全问题是电子政务建设中至关重要的核心议题。
电子政务系统面临的安全威胁主要表现在以下几个方面:(1)系统安全漏洞威胁。政务系统本身存在一些漏洞或缺陷,软件安全性不高,为攻击者利用,如操作系统漏洞、数据库管理系统漏洞、通信协议本身的安全漏洞等。(2)计算机病毒。(3)外部入侵。政务网络的开放性要求,给黑客攻击带来了便利。(4)内部攻击。如内部人员的恶意破坏或越权访问、内部管理疏漏误操作、管理人员滥用职权等。入侵检测技术是应用在防御主动攻击方面的一种动态网络安全技术,提供了对内部攻击、外部攻击和误操作的实时保护,应用于电子政务信息系统中,将很大程度的提高系统的防御能力。
1 相关概念简介
1.1 电子政务
关于电子政务(electronic government),国内外的组织结构存在着不同的定义,在我国将其定义为:政府机构应用现代信息和通信技术,将管理和服务通过网络技术进行集成, 在互联网上实现政府组织结构和工作流程的优化重组,超越时间、空间与部门分隔的限制,全方位地向社会提供优质、规范、透明、符合国际水准的管理和服务。[1]电子政务的实施涉及政府机关内部、其他机关、团体、企业和社会公众,其中应用于G2G(政府间的电子政务)的系统如:电子办公系统、电子培训系统、业绩评价系统、电子法规政策系统、电子公文系统、电子司法档案系统等。应用于G2B(政府对企业的电子政务)的信息系统如:电子税务系统、电子证照办理系统、电子采购与招标系统等。G2C(政府对公民的电子政务)系统:社会保险服务网络、电子医疗服务系统、交通管理服务系统等。这些系统的共同特点是基于互联网、存在信息的双向交流、有一定的开放性,因此为保证电子政务的信息安全, 有必要对其信息和网络系统进行专门的安全设计。
1.2 入侵检测
1980 年,James P. Anderson 发表了论文《Computer Security Threat Monitoring and Surveillance》,文中第一次精确给出了入侵的概念,并将入侵划分为:外部闯入、内部授权用户的越权使用和滥用三种类型,提出了用审计追踪来监视入侵威胁。1998 年,Ross Anderson 和 Abida Khattak 将信息检索的技术引进了入侵检测方面,随后人工智能、分布式技术、神经网络技术的加入奠定了入侵检测系统的设计基础。
人侵侦测系统( Intrusion Detection System ,IDS )[2]对计算机网络及基于网络的系统进行监视,依据监视结果针对不同的入侵行为采用不同的安全策略,以期最大程度地降低入侵带来的危害,是一种主动检测系统是否受到攻击的网络安全技术。入侵检测系统的主要功能包括:监视、分析用户及系统活动;识别、反映已知进攻的活动模式;统计分析异常行为模式;审计、跟踪管理操作系统,识别用户违反安全策略的行为等。总体来说,入侵检测系统的发展经历了五个阶段:基于主机的入侵检测系统,HIDS;基于多 主机的入侵检测系统;基于网络入侵检测系统,NIDS;分布式入侵检测系统;以及面向大规模网络的入侵检测系统。[3]在技术上分为基于特征的检测和基于异常的检测,。通过对现有的入侵检测系统研究,应用于入侵检测的方法主要包括:专家系统、有限状态机、统计分析、模式匹配、类神经网络、模糊理论、分布式处理等技术。 2 电子政
务信息系统入侵检测技术分析
电子政务系统安全是多因素、多层次、多目标、动态变化的复杂系统工程,需要从整体上认识处理网络、信息和应用的安全问题,寻求一种大规模应用环境下具有高安全性和一定开放性的安全体系结构,入侵检测技术成为其中重要的研究方向。目前已有很多研究者投入到该领域的研究通过人工智能技术、移动技术、数据融合和信息关联技术提高入侵检测系统的功能和效率。 2.1 基于数据挖掘的入侵检测技术
将数据挖掘技术应用到入侵检测系统中,是近年发展起来的热点问题,哥伦比亚大学的Wenke Lee等人首先提出将数据挖掘技术应用于电子政务入侵检测。[2]基本的数据挖掘技术包括:数据采集、数据预处理、模式发现、模式评估及知识表示,其中模式发现是整个过程的关键。数据挖掘技术可以在大量网络数据及审计数据中挖掘出异常或入侵性的行为模式,也可以找出用户正常行为来创建用户的正常行为库,降低训练集获取的难度。目前用于电子政务入侵检测的数据挖掘方法主要有序列分析、聚类分析、关联分析、分类分析等。文献[2]中提出了一种基于电子政务的数据挖掘异常入侵检测模型,将模型的工作过程定义为数据采集、数据预处理、关联挖掘、入侵检测四步。文献[4]提出基于最小距离的聚类算进行聚类分析,大大提高了电子政务信息系统的安全能力。
2.2 基于多主体技术的入侵检测
协同工作是电子政务系统的重要特点,同时也是解决电子政务系统安全问题时必须考虑的因素。人工智能领域的多主体( multi-agent)协作技术能够有效处理分散的、分布的、不同种类的在线信息资源,是构造大型、复杂、鲁棒的分布式信息处理系统的有效解决方案。多agent技术最早出现于20世纪70年代的人工智能领域,用于解决大规模复杂问题的智能求解而发展起来的,[5]该技术的基本思想是把大的复杂系统分解为许多小的、可以实现相互通信、能够彼此协调工作的自治系统(A-gent),然后通过这些自治A gent的交互、协作等智能行为完成复杂的任务求解。
目前多agent技术在电子政务系统协同工作设计中应用非常广泛,在文献[5]中提出了一个基于多A gent的电子政务应用系统平台模型,并在此基础上设计了基于多A gent技术的网络攻击自动检测及免疫系统,利用多个子Agent的相互协作自动识别外部攻击,以支持不同安全策略之间的互操作性,系统中分别定义了用户接口Agent、认证Agent、授权Agent、审计Agent,它们由智能协作Agent进行协调管理。文献[6]提出了一种基于环型协作机制的分布式入侵检测系统模型,用于提高系统的安全性、高可靠性和协作能力。它将分布在各处的监测站点组织成一个逻辑环,由运行在环中的令牌来实现对协作的控制和驱动,从而提高网络人侵检测能力。
3 结束语
入侵检测作为防火墙之后的第二道闸口正日益成为保障电子政务网络系统安全的一种重要手段。人工智能、数据挖掘、分布式处理等技术的应用在一定程度上降低了入侵检测的误报率和漏报率,提高了系统的功能和效率,有效地保护了电子政务系统的安全。但该技术在电子政务安全领域的应用还处于研究和发展阶段,还有许多问题有待解决,如对攻击意图的识别、攻击模式自动获取、以及与其他安全技术结合等问题。
【参考文献】
[1]蒋毅.电子政务基础[M].机械工业出版社,2006:31-33.
[2]王悦.基于电子政务的数据挖掘异常入侵检测技术[J].微计算机信息,2010,26(9-1):236-238.
[3]张超,霍红卫,钱秀槟,张玉清.入侵检测系统概述[J].计算机工程与应用,2004,3:116-119.
[4]朱景锋.物联网环境下电子政务信息系统入侵检测技术分析与对策研究[J].科技通报,2012,4,28(4):130-132.
随着计算机网络技术的飞速发展其广泛应用于我国各项社会服务、经济金融、政治军事、教育国防事业中,令企事业单位生产运营效率全面提升,可以说计算机网络系统真正给人们的生活创设了便利,构建了共享化、高效化、现代化的社会发展环境。同时网络系统由于自身建设、程序设计、操作失误等因素不可避免的包含许多病毒或漏洞,给黑客入侵者以可乘之机,并给重要数据信息的安全引入了诸多不可预测的复杂风险,动辄令企事业单位机密文件丢失、个人信息被不良窃取,造成了严重的经济损失。
1 计算机网络常见入侵方式
针对计算机网络的入侵主要指应用相应计算机程序调试技巧、编写技巧实现对未授权文件或网络的非法访问,并入侵至网络中的不良行为。当前常见的计算机网络入侵包括病毒攻击、身份攻击、拒绝服务、防火墙攻击、网络欺骗、木马攻击、后门入侵、恶意程序攻击、入侵拨号程序、逻辑炸弹攻击、破解密码、垃圾搜寻、社交工程攻击等。所谓病毒攻击即利用其自我复制特性进行系统资源的破坏、侵袭,对其数据完整性进行不良破坏或窃取、令系统拒绝服务,该攻击入侵方式具有隐蔽性、传播性、繁殖性、潜伏性与寄生性等特征。身份攻击则利用网络服务对用户身份的确认进而通过窃取、欺骗手段对合法用户身份进行冒充以实现网络攻击目标,该类攻击包含漏洞攻击、收集信息攻击与口令攻击等。其中获取与收集信息主要采用试探方式,例如扫描账户、ping、扫描漏洞、端口与嗅探网络方式进而对系统漏洞、服务、权限进行探测,采用工具与公开协议对网络中各主机存储的有用信息进行获取与收集,并捕捉到其存在的漏洞,进而为后续攻击做准备。针对防火墙进行攻击具有一定难度,然而一旦攻击得手将造成网络系统的崩溃、瘫痪,令用户蒙受较大损失。拒绝服务攻击主体将一定数量与序列的报文传送至网络中令大量的恢复要求信息运行充斥于服务器中,导致网络带宽与系统资源被不良消耗,进而令其无法正常的服务运行、甚至不胜负荷而引发系统死机、瘫痪现象。网络欺骗主要通过对电子邮件、网页的伪造诱导用户录入关键隐私信息,例如密码、银行账户、登录账户、信用卡信息等进而实现窃取入侵目标。对拨号程序的攻击通过自动拨号进行调制解调器连接通道的搜寻,以实现入侵目标。逻辑炸弹则是计算机软件中嵌入的一类指令,可通过触发进而实现恶意的系统操作。
2 入侵检测技术内涵
入侵检测技术通过对安全日志、人们行为与数据的审计、可获取信息展开操作进而检测到企图闯入系统的信息,包含检测、威慑、评估损失状况、预测攻击与支持等。该技术可以说是防火墙系统技术的良好补充,可有效辅助系统强化其应对异常状况、非授权、入侵行为能力,通过实时检测提供对外部、内部攻击与误操作的动态实时保护,是一种安全有效的防护策略技术,入侵检测硬件与软件的完善结合便构成了入侵检测系统。合理应用该技术可令不良入侵攻击行为在危害系统之前便被准确的检测到,进而利用防护与报警系统将入侵攻击驱逐,降低其造成的不良损失。当系统被攻击入侵后我们则应通过对入侵信息的全面收集构建防范知识系统,进而提升网络系统综合防范能效。
3 计算机网络安全中科学应用入侵检测技术
入侵检测技术主要通过对维护网络安全、分析、监视系统与用户活动、审计系统弱点与构造、对已知进攻模式活动进行反应识别并报备、分析统计异常行为、对数据文件与重要系统完整性进行评估、跟踪审计操作系统实施管理、识别违反安全的活动等行为进而确保计算机网络系统的可靠安全。一般来讲网络检测入侵系统包含多层次体系结构,即、控制与管理层等,控制层承担由获取收集信息职能,并对所受攻击事项进行显示,进而实现对的管理与配置。承担对网络数据包的监视职能,并将检测的数据信息、攻击行为发送至管理层。管理器承担对各类报警与日志的管理,以及对检测到的攻击信息与安全信息进行显示,响应攻击警告与配置信息,对控制台的各类命令进行有效执行,并令由的警告攻击信息传输至控制台,最终完成了整体入侵检测过程。依据该过程我们制定科学的入侵检测技术应用策略。
3.1收集信息策略
应用入侵检测技术的首要关键因素在于数据,我们可将检测数据源分为网络、系统日志、文件与目录中不期望更改事项、执行程序中不期望各项行为、入侵的物理形式信息等。在应用进程中对信息的收集应位于每一网段之中科学部署至少一个IDS,依据相应的网络结构特征,采集数据部分由多样连接形式构成,倘若位于网段中应用交换集线器连接,其核心交换机芯片一般会设有调试端口,我们可连接IDS系统于该端口之中。同时设置入侵检测系统于防火墙或交换机内部的数据流出口或入口,进而获取所有核心关键数据。对于网络系统中不同类别的信息关键点收集我们不仅应依据检测对象扩充检测范畴、对网络包截取进行设置,同时还需要应对薄弱环节,即来源于统一对象的各项信息可能无法发掘疑点,因而需要我们在收集入侵信息时,应对几个来源对象信息包含的不一致性展开重点分析,令其作为对可疑、入侵行为科学判断的有效标识。对于整体计算机网络系统来讲,入侵行为相对有限,因此对各类少数的数据异常,我们可令其孤立,进而构建而成数据群展开集中性处理,强化分析入侵行为的针对性。
3.2分析检测入侵信息
完成收集的信息我们可利用异常分析发现与匹配模式进行综合数据分析,进而发掘与安全策略违背的行为,将其合理发送至管理器。实践应用中我们应对各类系统漏洞、网络协议进行清醒深刻认识,遵循制定的安全策略与规则,利用异常检测与滥用检测模型进行分析过程模拟,合理确认识别异常与特征攻击行为,最终令分析结构构建成为报警信息并发送至管理控制中心。对于TCP/IP协议网络,我们还可采用探测引擎技术,应用旁路侦听对网络流经的所有数据包进行动态监视,并依据用户定义相关策略展开检测,有效识别各类网络事件并告知控制中心,令其进行定位与报警显示。
3.3响应入侵信息
针对入侵信息我们应作出准确反应,基于数据分析基础检测本地网段,令数据包中隐藏的恶意入侵准确发掘出来,并及时作出响应。该环节涵盖告警网络引擎、通知控制台、发送邮件于安全管理人员、对实时会话进行查看并通报制控制台,对现场事件如实记录日志,并采取相应安全行为进行网络配置的合理调整、终止不良入侵,对特定用户相应程序进行合理执行。另外我们可促进防火墙与入侵检测技术的优势结合应用,创设两者的协同模型及安全网络防护体系。令两者共同开放接口并依据固定协议展开通信,实现对端口进行约定。防火墙应用过滤机制对流经数据包展开解析并令其同事先完成定义的规则展开对比,进而令非授信数据包准确过滤。对于绕过防火墙的数据包我们可利用入侵检测技术依据一致特征规则集进行网络攻击检测并做出及时响应,确保对各类入侵攻击的有效防御。
4结论
总之,基于网络入侵不良影响我们只有主力研究如何有效防范网络入侵,科学检查、预测攻击行为,基于入侵检测思想进行实时动态监控,才能防患于未然令攻击影响消失在萌芽状态,进一步阻碍不良攻击事件的发生及扩大,进而真正创设优质、高效可靠的网络运行环境。
参考文献