3OSAN
鹰眼网络入侵检测系统
技术白皮书
目录
1.公司简介 (1)
2.产品概述 (1)
3.产品体系结构 (2)
4.产品规格 (3)
5.产品功能特征 (3)
6.产品特色 (8)
6.1. 高性能的核心抓包机制 (8)
6.2. 丰富的攻击特征库 (9)
6.3. 良好的协作联动能力 (9)
6.4. 抗IDS攻击的事件合并能力 (9)
6.5. 优化的数据库结构设计 (10)
6.6. 高可用性的界面设计 (10)
6.7. 大规模网络下的入侵检测能力 (10)
6.8. 完备的自身安全性设计 (11)
6.9. 硬件的高可靠性设计 (12)
7.产品典型应用环境 (13)
7.1. 鹰眼网络入侵检测系统 (13)
7.2. 鹰眼分布式网络入侵检测系统 (14)
8.产品技术指标 (15)
8.1. 产品硬件规格 (15)
8.2. 网络支持 (16)
8.3. 检测效率 (17)
8.4. 攻击特征 (17)
8.5. 抗攻击能力 (17)
8.6. 响应方式 (18)
8.7. 系统稳定性 (18)
1.公司简介
三○盛安信息系统有限公司是由中国电子科技集团公司第三十研究所控股的成都三○信息系统工程有限公司(三○信息)与四川三○卫士安全软件(安全软件)有限公司合并组建而成,是专业从事信息安全产品研发、安全信息系统集成、行业应用软件开发及信息安全服务的高科技企业。
创建于1965年的中国电子科技集团公司第三十研究所是由国家认定的,唯一以全所力量从事信息安全和保密通信网络研究及工程建设的专业研究所,建有博士后流动站和国家级的"国防科技保密通信重点实验室"。
三○盛安作为中国电子科技集团公司第三十研究所产业创新的重要承担者,肩负着开拓信息安全新领域的重任。公司竭诚为用户提供构建安全信息系统所需的全面的、动态的解决方案和整体服务,包括安全咨询服务、安全平台软件、网络安全产品、相关行业应用软件以及工程实施和外包服务,并能根据不同用户需求提供各类定制产品和服务。目前公司的业务已覆盖了电子政务、电子商务以及金融、电信、电力、交通、教育、科研院所等领域,客户遍及全国并向海外延伸。公司已在北京、上海、西藏、兰州等地设立了分公司或办事机构,为用户就近提供方便优质的服务。三○盛安是国家首批认定的软件企业和高新技术企业。公司严格按照ISO9001、CMM质量保证体系管理软硬件产品的研发、生产、销售以及工程、服务等。公司不仅先后获得了涉密计算机网络设计及施工定点单位、信息安全服务等方面的资质,而且还是国家计委信息安全专项、科技部国家863信息安全专项承担单位。公司研发的产品均已通过了各领域信息安全产品测评机构的测评认证。
三○盛安高度重视与战略伙伴的合作,先后与HP、IBM、Lucent、Cisco、Oracle、Symantec、TurboLinux、CA等国际知名公司建立了良好的合作伙伴关系。在安全领域我们正与多家著名安全产品厂商结成联盟,就多层次信息系统安全防护体系的建立进行广泛合作,以满足用户日益增长的需求。
三○盛安依靠中国电子科技集团公司第三十研究所雄厚的基础理论研究和技术积淀,凝聚优秀的高科技人才群体,为铸造中华民族的信息长城而不懈努力。
2.产品概述
随着近年来互联网络的迅速普及,网络的安全问题日益严重,各种网络攻击行为给企业、政府带来巨大的经济损失,甚至使国家的安全与主权受到威胁,网络信息安全近年来已受到普遍关注。
由于攻击技术的不断发展,攻击手段的不断丰富,攻击所带来的危害愈加严重,防范攻击的难度不断增加,入侵检测产品作为一种高效、准确和智能化的网络攻击检测工具得到了广泛的关注和认同。它采集信息系统中的网络数据,系统日志,服务状态,资源使用状况等信息,进行综合分析和比较,判断入侵行为的发生,并采用多种不同手段记录攻击,实时告警,阻断攻击者的进攻,从而增强用户网络和信息系统的安全。
作为国内最早从事信息安全研究的中国电子科技集团公司第三十研究所的下属公司,三零盛安公司很早就开展了对入侵检测技术的跟踪和研究,并从1999年开始,陆续在国内市场上推出了多款针对不同应用环境的入侵检测产品,在入侵检测技术和攻击技术的研究和跟踪上也一直处于国内同行前列。
鹰眼网络入侵检测产品系列已经通过各种国家权威机构的测评和认证,包括国家公安部安全检测中心的测试、国家安全部信息安全产品测评中心、国家保密局、解放军信息安全产品测评中心、银行等机构,获得了相关的产品资质证书,充分证明了鹰眼产品是稳定、可靠、高效的网络安全产品。
3.产品体系结构
鹰眼网络入侵检测系统以操作系统的网络数据零拷贝采集技术为基础,以自主设计的入侵检测引擎为核心,对网络数据进行特征分析,实时捕获各种攻击行为。产品提供单机和分布式两种架构,能够完成大规模信息网络中的多点检测,集中管理,中心能够完成数据的二次分析与存储,并提供多种不同的报警方式,注重互动和协作能力,形成全方位的入侵防御体系。其体系结构图如下:
4.产品规格
鹰眼产品为了满足不同用户的不同需求,按照体系架构和应用环境的不同,可以为用户提供如下不同规格的产品:
?鹰眼网络入侵检测系统NIDS-S
NIDS100-S:百兆入侵检测
NIDS1000-S:千兆入侵检测
?鹰眼分布式网络入侵检测系统
NIDS100-DxE:分布式百兆检测引擎
NIDS1000-DxE:分布式千兆检测引擎
NIDS1000-DxC:分布式入侵检测系统控制中心
5.产品功能特征
强大的入侵检测功能
鹰眼网络入侵检测系统提供强大的入侵检测功能,目前可以检测的攻击类型有23大类,共计890余种入侵行为:
功能强大的搜索引擎
面对海量的入侵记录,用户如何才能找到自己关心的内容?鹰眼网络入侵检测系统向用户提供了强大的搜索引擎,丰富的查询搜索方式,这样,用户可以非常方便,快速的按照自己的需要查找所关心的入侵记录。
实时、全面、丰富的入侵检测分析报告
根据入侵检测记录的结果,我们将通过周期性的审计分析,以在线方式为用户提供全面,详细,丰富的入侵检测分析报告,反映用户在一个周期内受到的攻击类型,严重程度,发生频率,攻击来源,详细数据等诸多信息。我们更为用户提供了丰富的分析图表,帮助用户随时对自己的网络安全状况作出正确的评估。
历史记录的统计分析、查询和下载
鹰眼网络入侵检测系统在为用户提供实时报告的同时,提供对历史记录的综合统计报告和高级搜索功能,并对提供了历史日志文件记录的高级搜索功能,同时还定期将数据打包,供用户下载。
多样化报警和响应方式
鹰眼网络入侵检测系统一旦检测到入侵行为,可以通过多种方式进行报警。并能够根据预定义
的策略,选择切断攻击方的所有连接,或通知防火墙,修改过滤规则,切断攻击,从而保护本地主机的安全。
鹰眼网络入侵检测系统具有以下五种报警响应方式:
a)WEB控制台的“入侵报警灯”
报警灯位于WEB操作界面左上方,
◆若灯为绿色,则表示无入侵行为发生过;
◆若灯变为红色,则表示曾有入侵行为发生过;
◆若灯在不停地闪烁,则表示当前有入侵行为正在发生。
b)电子邮件报警
鹰眼系统能够依照用户自定义的邮件发送策略,将近期检测到的攻击通过电子邮件的方式发送给管理员。管理员不论身处何地,只要能够接收电子邮件,就能够了解网络
的安全状况。
c)SNMP TRAP告警
鹰眼系统能够将告警信息通过SNMP Trap的方式发送到用户指定的SNMP管理中心,使用户可以通过自己应用环境中的简单网管系统查询到鹰眼告警信息。
d)SYSLOG告警
鹰眼系统能够将告警信息发送到用户网络环境中任何开放了syslog服务的服务器上,使用户可以通过查看服务器系统日志的方式查询到鹰眼的告警信息。
e)主动切断
鹰眼系统能够基于用户的定制策略在发现TCP和ICMP协议的攻击行为时,向攻击方和被攻击主机发送切断数据包,实施主动切断,以阻止攻击行为的进一步发生。
f)防火墙联动响应
在发现一些危险性较大的攻击行为,仅仅依靠IDS无法有效阻止攻击时,鹰眼系统将自动发送阻断请求到实现联动的防火墙,通知防火墙修改过滤规则,及时阻止攻击行为的
进一步发生。目前鹰眼入侵检测系统已经能够同时与天融信、东方龙马、华堂、华依、联
想网御等多种防火墙产品实现联动。
可灵活定制的入侵规则库
用户可以通过鹰眼网络入侵检测系统的远程WEB控制台定制鹰眼的入侵规则库。目前为用户
提供了多种不同深度的规则配置方式以及响应策略的配置,包括:规则定制、响应策略定制、预处理插件定制和用户自定义规则定制。
●响应策略定制:用户可以根据自身需要将暂停响应、警报记录、邮件告警、SNMP告警、
SYSLOG告警、主动切断、防火墙联动七种响应方式任意组合成适合自身需要的响应策略,并将这些策略应用到具体规则中。
●规则定制:用户可以根据规则的严重程度,规则的类型,以及自身的实际环境配置每一条
规则所对应的入侵行为的响应策略,包括停止响应。
●预处理插件定制:用户可以选择使用鹰眼网络入侵检测系统提供的5种预处理检测插件,
并对其检测参数进行配置。
●用户自定义规则:用户可以对入侵规则中的协议类型、地址信息,协议标志位,和检测内
容等信息进行定制,产生用户定义的新规则,并将这些新规则应用到检测过程中。
不断更新的入侵规则库
黑客技术在发展,攻击模式不断更新,我们的技术人员也在不断跟踪世界最新的网络攻防技术,并根据攻击技术的最新发展不断推出最新的入侵检测规则库的升级包,您可以访问本公司的产品网站:https://www.doczj.com/doc/5815366511.html,下载,并通过鹰眼的WEB控制台进行安装。
WEB控制台远程管理方式
为了方便用户更好的管理和利用鹰眼网络入侵检测系统,我们推出了采用B/S模式管理的鹰眼WEB远程控制台。这样,用户可以在任意的OS平台中使用浏览器登录鹰眼,浏览入侵日志,配置入侵规则、监控自身网络状况,远程管理和维护鹰眼设备等。
6.产品特色
6.1. 高性能的核心抓包机制
鹰眼产品通过独有的核心抓包技术,在系统的核心态下直接控制网卡状态,抓取网络数据帧,再通过核心态与用户态之间的专用数据通道完成数据帧从核心态到用户态的传递,从而减少了系统
在用户态与核心态之间进行系统状态切换和数据拷贝的次数,大大提高了核心抓包的性能。
6.2. 丰富的攻击特征库
鹰眼网络入侵检测系统能够提供对23大类,共计858种攻击行为的检测,同时,在我们已经积累多年的攻击技术研究基础之上,我们不断对新出现的攻击行为进行跟踪和研究,对我们的攻击特征库进行周期性的更新和发布,使我们的产品始终具备对最新的攻击行为的检测能力。
6.3. 良好的协作联动能力
在攻击日益猖獗的情况下,仅仅依赖入侵检测产品显然是无法完全抵抗攻击的,因此需要多个安全产品之间的联动协作,目前较多的是防火墙产品与入侵检测产品之间的联动协作。目前鹰眼系统已经能够与华堂,华依,天网,天融信,东方龙马和联想网御等多种防火墙进行联动。鹰眼能够根据用户的配置,在探头检测到攻击信息后,与相应的防火墙之间建立安全连接,发送联动消息。鹰眼的防火墙联动代码的优秀的体系结构设计,使其具备了良好的兼容性和可扩展性,能够轻松实现新的防火墙联动模块的添加,具备与任何防火墙联动接口进行有效联动的可扩展能力。
6.4. 抗IDS攻击的事件合并能力
随着IDS产品的发展,针对IDS的攻击技术也随之而生,通过模拟大量能够使IDS产生报警的攻击数据,使IDS淹没在攻击事件风暴中,甚至漏过了真正的攻击数据。因此如何应对,成了众多IDS产品面临的课题,鹰眼产品在自主设计的事件合并算法的基础上,已经具备了针对这种攻击的抵抗能力,通过对一定时间周期内发生的攻击事件的性质,频率等的智能化分析和判断,决定是否对这些攻击事件进行合并,由此,能够识别事件风暴,并将其合并为一条或几条针对IDS的DOS 攻击事件报警,从而避免了系统的过载,使鹰眼能够正常识别真实的攻击行为。
6.5. 优化的数据库结构设计
鹰眼网络入侵检测系统的所有攻击记录均通过数据库进行管理,独特的数据库结构设计使其能够实现数据的高速入库,快速查询,浏览,数据库中使用了内存表技术和多表循环的管理机制,后台在内存表中实现高速的数据插入,前台也对内存表进行查询,数据定期备份到硬盘数据表中。由于内存表存储在内存中,而且容量较小,确保了查询和插入速度,同时大量的历史数据备份到硬盘数据表中,供用户查询和下载,确保了数据的完整性。
6.6. 高可用性的界面设计
鹰眼网络入侵检测系统的所有用户操作全部通过浏览器方式完成,而这种B/S模式的用户界面存在着许多优点,其一,对用户环境没有任何特殊要求,无须用户为满足产品使用进行任何环境改变;其二,B/S模式的数据处理过程全部在服务器端完成,不会增加管理主机系统负载。第三,通过超链接的作用,对数据记录的浏览能够实现非常灵活的跳转,用户可以在浏览过程中任意切换到关联内容中,通过这个特性,用户可以很容易的发现各种类型告警或者统计数据之间的关联性,从而更全面和深入地了解攻击事件;第四,WEB界面是一种为大多数用户所熟悉的界面,用户无需花费太多时间,就能轻松掌握界面的使用方法。
6.7. 大规模网络下的入侵检测能力
鹰眼网络入侵检测系统支持分布式体系结构,分为控制中心与探头,探头负责对所监测网段的数据采集与分析,并将得到的报警信息通过TCP数据通道发送到控制中心,控制中心则负责对所收到的所有报警信息进行汇总,分析,以及对所管辖的引擎的监控,管理,配置。整个体系结构的特点如下:
可靠的数据传送通道
我们通过可靠的TCP协议为探头与控制中心之间建立数据通道和管理通道,提供状态查询,判断,重连机制,确保控制中心能够随时监控每一个探头的连接状态,并在连接中断时,自动重新建立连接。
●集中的命令下发机制:
控制中心为每一个引擎的连接建立了一整套完整的数据结构描述,通过这个数据结构,能够对这些连接进行有效的识别和管理,用户通过控制中心所下达的命令将能够轻松的通过这些数据结构下达到部分或所有的探头。从而实现有效的集中管理和配置。
●海量的数据处理能力:
控制中心将集中汇总所有的引擎报警信息,将其入库,并进行各种分析和统计,产生报表,因此其数据库的优化和处理能力就显得尤为重要,我们通过linux下的多线程机制的优点,以及对数据库表结构的优化设计,在高效硬件的配合下,使系统的处理能力大幅提高,从而实现对海量数据的快速处理。
6.8. 完备的自身安全性设计
●加密的远程数据通道:
我们使用加密技术来确保鹰眼网络入侵检测系统在各个工作环节中所有的传输数据的安全性。这主要在两个方面:一、用户使用浏览器访问用户管理界面时,我们使用SSL 技术为用户建立一条加密通道,为每一个用户浏览器安装独有的用户证书,用户管理主机与鹰眼设备之间通过X509证书进行双向验证,通过后所有交互数据均使用这条SSL通道进行传输;二、在分布式架构中,在探头与控制中心之间进行通信连接时,采用挑战响应算法进行连接合法性认证,数据传送时,对数据进行加密,确保传输开始前的相互认证和数据在传输过程中不会被窃听、篡改或者伪造。
●OS的安全加固:
鹰眼网络入侵检测产品使用了我们自主开发的安全OS,该OS提供了多项安全功能,包括使用USB介质完成本地用户身份鉴别,根用户权限分割,系统调用时的权限验证等
等,同时我们关闭了系统中所有无用服务,确保外部攻击者无法通过有问题的服务端口对
产品进行攻击。
●隐藏自身的IP地址:
鹰眼网络入侵检测系统的所有探测端口均屏蔽了自身的IP地址,使攻击者无法通过探测端口对鹰眼进行扫描和攻击,用户对鹰眼设备的访问以及探头与控制中心之间的通信
过程均通过带外方式进行,与用户网络隔离,由此来确保鹰眼设备的安全性。
●界面中的多级用户管理:
在鹰眼网络入侵检测系统的界面访问中,为了确保不会出现越权访问和操作,我们对用户进行了权限分配,包括四级用户,用户包括系统管理员,日志管理员,普通管理员,普通用户,用户通过口令进行身份验证,不同用户具有不同权限,用户之间彼此制约,相
互监督,确保系统操作的安全性。
●系统日志保存:
由于用户对鹰眼网络入侵检测系统的所有操作均通过界面来完成,因此记录用户在界面上的所有操作,将有助于在出现安全问题时,能够通过这些原始记录寻找问题的原因,鹰眼网络入侵检测系统中保存了用户尤其是管理员用户对于设备的所有关键操作的日志,而这些日志只有日志管理员才能够查看,从而确保了其安全性和可靠性。
6.9. 硬件的高可靠性设计
●使用特殊的ramdisk方式构造根文件系统,确保文件系统在任意掉电的情况下不
会出现损坏或数据的丢失。
●使用LCD的状态显示方式,能够随时监控设备的软件和硬件的工作指标的变化
情况,确保在系统出现问题时,及时发现。
●提供串口的维护方式,在设备访问出现问题时,能够通过串口登录系统,对其进
行各种维护操作。
7.产品典型应用环境
7.1. 鹰眼网络入侵检测系统
对于用户不同的网络拓扑和应用环境,鹰眼网络入侵检测系统的安装方式和网络结构均有所不同,以下通过两个范例说明鹰眼网络入侵检测系统在典型应用环境下的安装:
(共享式网络环境)
(交换式网络环境)
上面的应用结构中,用户通过管理主机,以带外方式对鹰眼设备进行管理。
7.2. 鹰眼分布式网络入侵检测系统
该产品在鹰眼网络入侵检测系统的基础上,扩展为一个分布式入侵检测系统,该系统采用分布式体系结构,由一个管理中心与多个检测探头组成,通过二者的协同工作,实现一个功能强大,集中管理的分布式入侵检测系统,其体系结构图如下:
图3 鹰眼分布式网络入侵检测系统部署示意图
该产品由一个管理中心与多个探头组成,能够在复杂的网络拓扑中实现一个功能强大,协同工作,集中管理的入侵检测系统。
8.产品技术指标
8.1. 产品硬件规格
鹰眼网络入侵检测系统NIDS100-S1
?机箱高度:1U
?尺寸:高43.2mm 宽482.6mm 深431.8mm
?重量:6.5KG
?工作温度:0℃-50℃
?相对湿度::5~95%.40℃(不凝露)
鹰眼千兆网络入侵检测系统NIDS1000-S4
?机箱高度:4U
?尺寸:高175mm 宽430mm 深605mm
?重量:23KG
?工作温度:5℃-40℃
?相对湿度::5~95%.25℃~30℃(不凝露)
鹰眼分布式网络入侵检测系统
控制中心
?机箱高度:1U
?尺寸:高42.4mm 宽430.0mm 深648.0mm
?工作温度:5℃-40℃
?重量:10KG
?相对湿度::5~95%.25℃~30℃(不凝露)
百兆检测引擎
?机箱高度:1U
?尺寸:高43.2mm 宽482.6mm 深431.8mm
?重量:6.5KG
?工作温度:0℃-50℃
?相对湿度::5~95%.40℃(不凝露)
千兆检测引擎
?机箱高度:4U
?尺寸:高175mm 宽430mm 深605mm
?重量:23KG
?工作温度:5℃-40℃
?相对湿度::5~95%.25℃~30℃(不凝露)
8.2. 网络支持
?支持的网络环境:TCP/IP
?支持的网络带宽:10/100M/1000M
?网络接口:
鹰眼网络入侵检测系统NIDS100-S
●一个10/100M探测端口
●一个10/100M管理端口
鹰眼千兆网络入侵检测系统NIDS1000-S
●一个10/100/1000M探测端口(电口、光口可选)
●一个10/100M管理端口
鹰眼分布式网络入侵检测系统
千兆检测引擎
●一个100/1000M探测端口(电口、光口可选)
●一个10/100M管理端口
百兆检测引擎
●一个10/100M探测端口
●一个10/100M管理端口
控制中心
●一个10/100M管理端口
8.3. 检测效率
●100M网络环境下漏报率:低于5%
●1000M网络环境下漏报率:低于15%
8.4. 攻击特征
●攻击特征数:23大类858条规则
●攻击特征库方式和更新频率:网上下载或本地升级,一般情况下每月一次升级,
遇重大黑客攻击24小时内发布攻击特征升级包
8.5. 抗攻击能力
●抗针对IDS的DOS攻击
●支持IP碎片重组
精品文档 . 第1章入侵检测概述 思考题: (1)分布式入侵检测系统(DIDS)是如何把基于主机的入侵检测方法和基于网络的入侵检测方法集成在一起的? 答:分布式入侵检测系统是将主机入侵检测和网络入侵检测的能力集成的第一次尝试,以便于一个集中式的安全管理小组能够跟踪安全侵犯和网络间的入侵。DIDS的最初概念是采用集中式控制技术,向DIDS中心控制器发报告。 DIDS解决了这样几个问题。在大型网络互联中的一个棘手问题是在网络环境下跟踪网络用户和文件。DIDS允许用户在该环境中通过自动跨越被监视的网络跟踪和得到用户身份的相关信息来处理这个问题。DIDS是第一个具有这个能力的入侵检测系统。 DIDS解决的另一个问题是如何从发生在系统不同的抽象层次的事件中发现相关数据或事件。这类信息要求要理解它们对整个网络的影响,DIDS用一个6层入侵检测模型提取数据相关性,每层代表了对数据的一次变换结果。 (2)入侵检测作用体现在哪些方面? 答:一般来说,入侵检测系统的作用体现在以下几个方面: ●监控、分析用户和系统的活动; ●审计系统的配置和弱点; ●评估关键系统和数据文件的完整性; ●识别攻击的活动模式; ●对异常活动进行统计分析; ●对操作系统进行审计跟踪管理,识别违反政策的用户活动。 (3)为什么说研究入侵检测非常必要? 答:计算机网络安全应提供保密性、完整性以及抵抗拒绝服务的能力,但是由于连网用户的增加,网上电子商务开辟的广阔前景,越来越多的系统受到入侵者的攻击。为了对付这些攻击企图,可以要求所有的用户确认并验证自己的身份,并使用严格的访问控制机制,还可以用各种密码学方法对数据提供保护,但是这并不完全可行。另一种对付破坏系统企图的理想方法是建立一个完全安全的系统。但这样的话,就要求所有的用户能识别和认证自己,还要采用各种各样的加密技术和强访问控制策略来保护数据。而从实际上看,这根本是不可能的。 因此,一个实用的方法是建立比较容易实现的安全系统,同时按照一定的安全策略建立相应的安全辅助系统。入侵检测系统就是这样一类系统,现在安全软件的开发方式基本上就是按照这个思路进行的。就目前系统安全状况而言,系统存在被攻击的可能性。如果系统遭到攻击,只要尽可能地检测到,甚至是实时地检测到,然后采取适当的处理
第八章入侵检测系统 第一节引言 通过电子手段对一个组织信息库的恶意攻击称为信息战(information warfare)。攻击的目的可能干扰组织的正常活动,甚至企图对组织的信息库造成严重的破坏。对信息战的各种抵抗措施都可归结为三类:保护、检测、响应。 保护 (入侵的防范)指保护硬件、软件、数据抵御各种攻击的技术。目前各种网络安全设施如防火墙及VPN,各种加密技术,身份认证技术,易攻击性扫描等都属于保护的范围之内,它们是计算机系统的第一道防线。 检测 (入侵的检测)研究如何高效正确地检测网络攻击。只有入侵防范不足以保护计算机的安全,任何系统及协议都不可避免地存在缺陷,可能是协议本身也可能是协议的实现,还有一些技术之外的社会关系问题,都能威胁信息安全。因此即使采用这些保护措施,入侵者仍可能利用相应缺陷攻入系统,这意味着入侵检测具有其他安全措施所不能代替的作用。 响应 (入侵的响应)是入侵检测之后的处理工作,主要包括损失评估,根除入侵者留下的后门,数据恢复,收集入侵者留下的证据等。这三种安全措施构成完整的信息战防御系统。 入侵检测(Intrusion Detection,ID)是本章讨论的主题之一,它通过监测计算机系统的某些信息,加以分析,检测入侵行为,并做出反应。入侵检测系统所检测的系统信息包括系统记录,网络流量,应用程序日志等。入侵(Intrusion)定义为未经授权的计算机使用者以及不正当使用(misuse)计算机的合法用户(内部威胁),危害或试图危害资源的完整性、保密性、可用性的行为。入侵检测系统(Intrusion Detection System,IDS)是实现入侵检测功能的硬件与软件。入侵检测基于这样一个假设,即:入侵行为与正常行为有显著的不同,因而是可以检测的。入侵检测的研究开始于20世纪80年代,进入90年代入侵检测成为研究与应用的热点,其间出现了许多研究原型与商业产品。 入侵检测系统在功能上是入侵防范系统的补充,而并不是入侵防范系统的替代。相反,它与这些系统共同工作,检测出已经躲过这些系统控制的攻击行为。入侵检测系统是计算机系统安全、网络安全的第二道防线。 一个理想的入侵检测系统具有如下特性: ?能以最小的人为干预持续运行。 ?能够从系统崩溃中恢复和重置。 ?能抵抗攻击。IDS必须能监测自身和检测自己是否已经被攻击者所改变。
1.1 入侵检测部署方案 1.1.1需求分析 利用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安全的网络保护,降低了网络安全风险,但是入侵者可寻找防火墙背后可能敞开的后门,或者入侵者也可能就在防火墙内。通过部署安全措施,要实现主动阻断针对信息系统的各种攻击,如病毒、木马、间谍软件、可疑代码、端口扫描、DoS/DDoS等,能防御针对操作系统漏洞的攻击,能够实现应用层的安全防护,保护核心信息资产的免受攻击危害。 针对网络的具体情况和行业特点,我们得到的入侵检测的需求包括以下几个方面: ●入侵检测要求 能够对攻击行为进行检测,是对入侵检测设备的核心需求,要求可以检测的种类包括:基于特征的检测、异常行为检测(包括针对各种服务器的攻击等)、可移动存储设备检测等等。 ●自身安全性要求 作为网络安全设备,入侵检测系统必须具有很高的安全性,配置文件需要加密保存,管理台和探测器之间的通讯必须采用加密的方式,探测器要可以去除协议栈,并且能够抵抗各种攻击。 ●日志审计要求 系统能对入侵警报信息分类过滤、进行统计或生成报表。对客户端、服务器端的不同地址和不同服务协议的流量分析。可以选择不同的时间间隔生成报表,反映用户在一定时期内受到的攻击类型、严重程度、发生频率、攻击来源等信息,使管理员随时对网络安全状况有正确的了解。可以根据管理员的选择,定制不同形式的报表。 ●实时响应要求
当入侵检测报警系统发现网络入侵和内部的违规操作时,将针对预先设置的规则,对事件进行实时应急响应。根据不同级别的入侵行为能做出不同方式告警,用以提醒管理人员及时发现问题,并采取有效措施,控制事态发展。报警信息要分为不同的级别:对有入侵动机的行为向用户显示提示信息、对严重的违规现象实行警告通知、对极其危险的攻击可通过网管或者互动防火墙进行及时阻断、以及向安全管理中心报告。另外,必须在基于规则和相应的报警条件下,对不恰当的网络流量进行拦截。 联动要求 入侵检测系统必须能够与防火墙实现安全联动,当入侵检测系统发现攻击行为时,能够及时通知防火墙,防火墙根据入侵检测发送来的消息,动态生成安全规则,将可疑主机阻挡在网络之外,实现动态的防护体系!进一步提升网络的安全性。 1.1.2方案设计 网络入侵检测系统位于有敏感数据需要保护的网络上,通过实时侦听网络数据流,寻找网络违规模式和未授权的网络访问尝试。当发现网络违规行为和未授权的网络访问时,网络监控系统能够根据系统安全策略做出反应,包括实时报警、事件登录,或执行用户自定义的安全策略等。 入侵检测系统可以部署在网络中的核心,这里我们建议在网络中采用入侵检测系统,监视并记录网络中的所有访问行为和操作,有效防止非法操作和恶
浅谈网络安全中入侵检测技术的应用 摘要:信息社会的不断进步与发展,网络给人们带来了前所未有的便利,同时 也带来了全新的挑战。在网络安全问题备受关注的影响下,极大地促进了入侵检 测技术的应用与实施。通过入侵检测技术的应用,可以切实维护好计算机网络的 安全性与可靠性,避免个人信息出现泄漏、盗窃现象。本文主要阐述了入侵检测 技术,然后针对入侵检测技术在网络安全中的应用进行了研究,以供相关人士的 借鉴。 关键词:网络;安全;入侵检测技术;应用 目前,入侵检测技术在网络安全中得到了广泛的应用,发挥着不可比拟的作 用和优势,已经成为了维护网络安全的重要保障。在实际运行中,威胁网络安全 的因素比较多,带给了网络用户极大的不便。因此,必须要加强入侵检测技术的 应用,对计算机中的数据信息进行加密与处理,确保网络用户个人信息的完整性,创建良好的网络安全环境,更好地提升网络用户对网络的满意度。 1入侵检测技术的简述 1.1入侵检测的概述 入侵检测技术,是一种对计算机网络的程序进行入侵式的检测的先进技术, 它作为网络安全中第二道防线,起到保护计算机网络安全的作用。入侵检测是通 过收集与分析安全日志、行为、审计和其他可获得的信息以及系统的关键信息, 以此检测出计算机网络中违反安全策略的行为和受攻击的对象的一个工作过程。 它开展保护工作的过程具体可分为:监视、分析网络用户和网络系统活动;网络 安全系统构造和弱点的审查评估;认定反映已知进攻活动并作出警示警告;网络 系统异常行为的统计和分析4个步骤。入侵检测技术能够同时完成实时监控内部 攻击、外部攻击和错误操作的任务,把对网络系统的危害阻截在发生之前,并对 网络入侵作出响应,是一种相对传统的被动静态网络安全防护技术提出的一种积 极动态网络安全防护技术。 1.2入侵检测技术的特性 入侵检测技术基本上不具有访问控制的能力,这一技术就像拥有多年经验的 网络侦查员,通过对数据的分析,从数据中过滤可疑的数据包,将正常使用方式 与已知的入侵方式进行比较,来确定入侵检测是否成功。网络安全管理员根据这 些判断,就可以确切地知道所受到的攻击,并采取相应的措施来解决这一问题。 入侵检测系统是网络安全管理员经验积累的一种体现,减轻了网络安全管理员的 负担,降低了网络安全管理员的技术要求,并且提高了电力信息网络安全管理的 有效性和准确性。其功能有:①监视用户和系统的功能,查找非法用户合合法用户的越权操作。②审计系统配置的正确性和安全漏洞,并提示管理员修补后动。③对用户的非正常活动进行统计分析,发现入侵行为的规律。④操作系统的审 计跟踪管理,能够实时地对检测到的入侵行为进行反应,检查系统程序和数据的 一致性与正确性。 1.3入侵检测技术的流程 具体如下图1所示。现如今网络安全问题已经引起了社会各界人士的广泛关注,如何在发挥计算机数据库功能的同时避免其遭受病毒的侵袭,需要技术人员 给予足够的重视,不断提高自身的技术水平,了解入侵检测技术原理并实现技术 的合理使用,最为关键的是要严格按照应用流程进行操作,具体操作要点包括如 下几个步骤:①攻击者可以先通过某种方式在网络上注入网络攻击行为;②如果攻
第9章入侵检测系统 1. 单项选择题 1)B 2)D 3)D 4)C 5)A 6)D 2、简答题 (1)什么叫入侵检测,入侵检测系统有哪些功能? 入侵检测系统(简称“IDS”)就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。 入侵检测系统功能主要有: 识别黑客常用入侵与攻击手段 监控网络异常通信
鉴别对系统漏洞及后门的利用 完善网络安全管理 (2)根据检测对象的不同,入侵检测系统可分哪几种? 根据检测对象的不同,入侵检测系统可分为基于主机的入侵检测基于网络的入侵检测、混合型三种。主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源。主机型入侵检测系统保护的一般是所在的系统。网络型入侵检测系统的数据源是网络上的数据包。一般网络型入侵检测系统担负着保护整个网段的任务。混合型是基于主机和基于网络的入侵检测系统的结合,它为前两种方案提供了互补,还提供了入侵检测的集中管理,采用这种技术能实现对入侵行为的全方位检测。 (3)常用的入侵检测系统的技术有哪几种?其原理分别是什么? 常用的入侵检测系统的技术有两种,一种基于误用检测(Anomal Detection),另一种基于异常检测(Misuse Detection)。 对于基于误用的检测技术来说,首先要定义违背安全策略事件的特征,检测主要判别这类特征是否在所收集到的数据中出现,如果检测到该行为在入侵特征库中,说明是入侵行为,此方法非常类似杀毒软件。基于误用的检测技术对于已知的攻击,它可以详细、准确的报告出攻击类型,但是对未知攻击却效果有限,而且知识库必须不断更新。 基于异常的检测技术则是先定义一组系统正常情况的数值,如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出),然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的正常情况。异常检测只能识别出那些与正常过程有较
网络入侵检测原理与技术 摘要:计算机网络技术的发展和应用对人类生活方式的影响越来越大,通过Internet人们的交流越来越方便快捷,以此同时安全问题也一直存在着,而人们却一直未给予足够的重视,结果连接到Internet上的计算机暴露在愈来愈频繁的攻击中,基于计算机、网络的信息安全问题已经成为非常严重的问题。 关键词:入侵检测;入侵检测系统;入侵检测系统的原理、方法、技术 一、网络入侵及其原因 简单来说,网络安全问题可以分为两个方面: 1)网络本身的安全; 2)所传输的信息的安全。 那么,我们之所以要进行网络入侵检测,原因主要有以下几个:1)黑客攻击日益猖獗 2)传统安全产品存在相当多的问题 二、入侵检测原理、方法及技术 1、入侵检测概念 入侵检测是指对潜在的有预谋的未经授权的访问信息、操作信息以及致使系统不可靠、不稳定或者无法使用的企图的检测和监视。它是对安全保护的一种积极主动地防御策略,它从计算机网络系统中的若干关键点收集信息,并进行相应的分析,以检查网路中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后第二道安全闸门,在不影响网路性能的前提下对网络进行监测,从而提供对内外部攻击和误操作的实时保护。 2、入侵检测模型
3、入侵检测原理 根据入侵检测模型,入侵检测系统的原理可以分为以下两种: 1)异常检测原理 该原理根据系统或者用户的非正常行为和使用计算机资源的非正常情况来检测入侵行为。 异常检测原理根据假设攻击和正常的活动的很大的差异来识别攻击。首先收集一段正常操作的活动记录,然后建立代表用户、主机或网络连接的正常行为轮廓,再收集事件数据同时使用一些不同的方法来决定所检测到的事件活动是否正常。 基于异常检测原理的入侵检测方法和技术主要有以下几种方法: a)统计异常检测方法; b)特征选择异常检测方法; c)基于贝叶斯推理异常的检测方法; d)基于贝叶斯网络异常检测方法; e)基于模式预测异常检测方法。 其中比较成熟的方法是统计异常检测方法和特征选择异常检测方法,对这两种方法目前已有由此而开发成的软件产品面市,而其他方法都还停留在理论研究阶段。 异常检测原理的优点:无需获取攻击特征,能检测未知攻击或已知攻击的变种,且能适应用户或系统等行为的变化。 异常检测原理的缺点:一般根据经验知识选取或不断调整阈值以满足系统要求,阈值难以设定;异常不一定由攻击引起,系统易将用户或系统的特殊行为(如出错处理等)判定为入侵,同时系统的检测准确性受阈值的影响,在阈值选取不当时,会产生较多的检测错误,造成检测错误率高;攻击者可逐渐修改用户或系统行为的轮廓模型,因而检测系统易被攻击者训练;无法识别攻击的类型,因而难以采取适当的措施阻止攻击的继续。 2)误用检测原理 误用检测,也称为基于知识或基于签名的入侵检测。误用检测IDS根据已知攻击的知识建立攻击特征库,通过用户或系统行为与特征库中各种攻击模式的比较确定是否发生入侵。常用的误用检测方法和技术主要有: a)基于专家系统的检测方法; b)基于状态转移分析的检测方法; c)基于条件的概率误用检测方法; d)基于键盘监控误用检测方法; e)基于模型误用检测方法。 误用检测技术的关键问题是:攻击签名的正确表示。误用检测是根据攻击签名来判断入侵的,如何用特定的模式语言来表示这种攻击行为,是该方法的关键所在。尤其攻击签名必须能够准确地表示入侵行为及其所有可能的变种,同时又不会把非入侵行为包含进来。由于大部分的入侵行为是利用系统的漏洞和应用程序的缺陷进行攻击的,那么通过分析攻击过程的特征、条件、排列以及事件间的关系,就可具体描述入侵行为的迹象。 4、入侵检测方法 1)基于概率统计的检测 该方法是在异常入侵检测中最常用的技术,对用户行为建立模型并根据该模型,当发现出现可疑行为时进行跟踪,监视和记录该用户的行为。优越性在于理论成熟,缺点是匹配用
入侵检测系统的研究 【摘要】近几年来,随着网络技术以及网络规模的 不断扩大,此时对计算机系统的攻击已经是随处可见。现阶段,安全问题成为越来越多的人关注的重点。本文主要分析了入侵检测系统的功能、技术等情况。 【关键词】入侵检测系统研究情况 、刖言 目前的安全防护主要有防火墙等手段,但是由于防火墙 本身容易受到攻击,并且内部网络中存在着一系列的问题,从而不能够发挥其应有的作用。面对这一情况,一些组织开 始提出了通过采用更强大的主动策略以及方案来增强网络 的安全性。其中个最有效的解决方法那就是入侵检测。入 侵检测采用的是一种主动技术,从而弥补防火墙技术的不足,并且也可以防止入侵行为。 二、入侵检测系统的概述 (一)入侵检测系统的具体功能 入侵检测就是要借助计算机和网络资源来识别以及响 应一些恶意使用行为。检测的内容主要分为两个部分:外部的入侵行为、内部用户的未授权活动。然而入侵检测系统是由入侵检测的软件以及硬件这两个部分组成的。到现在为
止,入侵检测成为继防火墙之后的第二道安全闸门。在网络 安全体系中,入侵检测是成为一个非常重要的组成部分。总 之,入侵检测的功能主要包括了以下几个功能:第一,对用户活动进行监测以及分析;第二,审计系统构造变化以及弱点;第三,对已知进攻的活动模式进行识别反映,并且要向相关人士报警;第四,统计分析异常行为模式,保证评估重要系统以及数据文件的完整性以及准确性;第五,审计以及跟踪管理操作系统。 二)入侵检测系统的模型 在1987 年正式提出了入侵检测的模型,并且也是第 次将入侵检测作为一种计算机安全防御措施提出来。入侵检测模型主要分为六个部分:第一部分,主体。主体就是指在目标系统上进行活动的实体,也就是一般情况下所说的用户。第二部分,对象。对象就是指资源,主要是由系统文件、设备、命令等组成的。第三部分,审计记录。在主体对象中,活动起着操作性的作用,然而对操作系统来说,这些操作包括了登陆、退出、读、写以及执行等。异常条件主要是指系统可以识别异常的活动,比如:违反系统读写权限。资源使用情况主要指的是在系统内部,资源的实际消耗情况。时间戳主要是指活动所发生的时间。第四部分,活动档案。活动档案就是指系统正常行为的模型,并且可以将系统正常活动的相关信息保存下来。第五部分,异常记录。异常记录主要是可以将异常事件的发生情况表现出来。第六部分,活动规则。活动规则主要是指通过一组异常记录来判断入侵是否发生在规划集合中。一般情况下,通过将系统的正常活动模型作为准则,并且要按照专家所提出的系统或者统计方法来分析以及处理审计记录,如果已经发生了入侵,那么此时就应该采用相应的处理措施。 三)入侵检测系统的具体分类 通过研究现有的入侵检测系统,可以按照信息源的不同 将入侵检测系统分为以下几类: 第一,以主机为基础的入侵检测系统。通过对主机的审 计记录来进行监视以及分析,从而可以达到了入侵检测。这 监视主要发生在分布式、加密以及交换的环境中,从而可以判断出攻击是否发生。然而这一入侵检测系统存在着缺点,那就是该系统与具体操作系统平台有联系,从而很难将来自网络的入侵检测出来,并且会占有一定的系
基于神经网络的网络入侵检测 本章从人工神经网络的角度出发,对基于神经网络的网络入侵检测系统展开研究。在尝试用不同的网络结构训练和测试神经网络后,引入dropout层并给出了一种效果较好的网络结构。基于该网络结构,对目前的神经网络训练算法进行了改进和优化,从而有效避免了训练时出现的过拟合问题,提升了训练效率。 4.1 BP神经网络相关理论 本章从学习算法与网络结构相结合的角度出发,神经网络包括单层前向网络、多层前向网络、反馈神经网络、随机神经网络、竞争神经网络等多种类型。构造人工神经网络模型时主要考虑神经元的特征、网络的拓补结构以及学习规则等。本文选择反向传播神经网络(Back Propagation Neural Network, BPNN)作为基本网络模型。 BP神经网络是一种通过误差逆传播算法训练的多层前馈神经网络,是目前应用最广泛的神经网络模型形式之一。网络中每一层的节点都只接收上一层的输出,而每一层节点的输出都只影响下一层的输入,同层节点之间没有交互,相邻两层节点之间均为全连接模式。BP神经网络在结构上分为输入层、隐含层与输出层三部分,其拓扑结构如图4-1所示。 图4-1 BP神经网络拓扑结构 Figure 4-1 Topological Structure of BP Neural Network
这里隐含层既可以是一层也可以是多层,数据在输入后由隐含层传递到输出层,通过各层的处理最终得到输出结果。 传统的BP网络算法可分为两个过程:神经网络中信号的前向传播和误差函数的反向传播。算法在执行时会不断调整网络中的权值和偏置,计算输出结果与期望结果之间的误差,当误差达到预先设定的值后,算法就会结束。 (1)前向传播 隐含层第J个节点的输出通过式(4-1)来计算: (4-1) 式中ωij代表输入层到隐含层的权重,αj代表输入层到隐含层的偏置,n 为输入层的节点个数,f(.)为激活函数。输出层第k个节点的输出通过式(4-2)来计算: (4-2) 式中ωjk代表隐含层到输出层的权重,bk代表隐含层到输出层的偏置,l为隐含层的结点个数。 根据实际输出与期望输出来计算误差,见式(4-3)。 (4-3) 式中(Yk-Ok)用ek来表示,Yk代表期望输出,m为输出层的结点个数。 当E不满足要求时,就会进入反向传播阶段。 (2)反向传播 反向传播是从输出到输入的传播过程。从式((4-1)至式(4-3 )中,可以发现网络误差E是与各层权值和偏置有关的函数,所以如果想减小误差,需要对权值和偏置进行调整。一般采取梯度下降法反向计算每层的权值增量,令权值的变化量同误差的负梯度方向成正相关,调整的原则是令误差沿负梯度方向不断减少。权值的更新公式见式(4-4),偏置的更新公式见式(4-5)。
网络安全之入侵检测技 术 Revised as of 23 November 2020
网络安全之入侵检测技术 标签: 2012-07-31 14:07 中国移动通信研究院卢楠 摘要:入侵检测技术作为网络安全中的一项重要技术已有近30年的发展历史,随着中国移动网络的开放与发展,入侵检测系统(IDS)也逐渐成为保卫中国移动网络安全不可或缺的安全设备之一。在入侵检测技术发展过程中,逐步形成了2类方法、5种硬件架构,不同的方法与架构都存在其优势与不足。本文基于入侵检测的应用场景,对现有的主流技术原理、硬件体系架构进行剖析;详细分析IDS产品的测评方法与技术,并介绍了一个科学合理、方便操作的IDS测评方案。最后,从应用需求出发分析入侵检测技术的未来发展趋势。 1、背景 目前,互联网安全面临严峻的形势。因特网上频繁发生的大规模网络入侵和计算机病毒泛滥等事件使很多政府部门、商业和教育机构等都受到了不同程度的侵害,甚至造成了极大的经济损失。 随着互联网技术的不断发展,网络安全问题日益突出。网络入侵行为经常发生,网络攻击的方式也呈现出多样性和隐蔽性的特征。当前网络和信息安全面临的形势严峻,网络安全的主要威胁如图1所示。
图1 目前网络安全的主要威胁 说到网络安全防护,最常用的设备是防火墙。防火墙是通过预先定义规则并依据规则对访问进行过滤的一种设备;防火墙能利用封包的多样属性来进行过滤,例如:来源 IP 、来源端口号、目的 IP 地址或端口号、(如 WWW 或是 FTP)。对于目前复杂的网络安全来说,单纯的防火墙技术已不能完全阻止网络攻击,如:无法解决木马后门问题、不能阻止网络内部人员攻击等。据调查发现,80%的网络攻击来自于网络内部,而防火墙不能提供实时入侵检测能力,对于病毒等束手无策。因此,很多组织致力于提出更多更强大的主动策略和方案来增强网络的安全性,其中一个有效的解决途径就是入侵检测系统IDS(Intrusion Detection Systems)。 2、入侵检测技术发展历史 IDS即入侵检测系统,其英文全称为:Intrusion Detection System。入侵检测系统是依照一定的安全策略,通过软件和硬件对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或攻击结果,以保证网络系统资源的机密性、完整性和可用性。IDS通用模型如图2所示。
第9章入侵检测系统1. 单项选择题 1) B 2) D 3) D 4) C 5) A 6) D 2、简答题 (1)什么叫入侵检测,入侵检测系统有哪些功能? 入侵检测系统(简称“IDS”)就是依照一定的,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。 入侵检测系统功能主要有: ●识别黑客常用入侵与攻击手段 ●监控网络异常通信 ●鉴别对系统漏洞及后门的利用 ●完善网络安全管理 (2)根据检测对象的不同,入侵检测系统可分哪几种? 根据检测对象的不同,入侵检测系统可分为基于主机的入侵检测基于网络的入侵检测、混合型三种。主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源。主机型入侵检测系统保护的一般是所在的系统。网络型入侵检测系统的数据源是网络上的数据包。一般网络型入侵检测系统担负着保护整个网段的任务。混合型是基于主机和基于网络的入侵检测系统的结合,它为前两种方案提供了互补,还提供了入侵检测的集中管理,采用这种技术能实现对入侵行为的全方位检测。 (3)常用的入侵检测系统的技术有哪几种?其原理分别是什么? 常用的入侵检测系统的技术有两种,一种基于误用检测(Anomal Detection),另一种基于异常检测(Misuse Detection)。 对于基于误用的检测技术来说,首先要定义违背安全策略事件的特征,检测主要判别这类特征是否在所收集到的数据中出现,如果检测到该行为在入侵特征库中,说明是入侵行为,此方法非常类似杀毒软件。基于误用的检测技术对于已知的攻击,它可以详细、准确的报告出攻击类型,但是对未知攻击却效果有限,而且知识库必须不断更新。 基于异常的检测技术则是先定义一组系统正常情况的数值,如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出),然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的正常情况。
入侵检测系统研究的论文 摘要介绍了入侵检测系统的概念,分析了入侵检测系统的模型;并对现有的入侵检测系统进行了分类,讨论了入侵检测系统的评价标准,最后对入侵检测系统的发展趋势作了有意义的预测。 关键词入侵检测系统;cidf ;网络安全;防火墙 0 引言 近年来,随着信息和网络技术的高速发展以及政治、经济或者军事利益的驱动,计算机和网络基础设施,特别是各种官方机构的网站,成为黑客攻击的热门目标。近年来对电子商务的热切需求,更加激化了这种入侵事件的增长趋势。由于防火墙只防外不防内,并且很容易被绕过,所以仅仅依赖防火墙的计算机系统已经不能对付日益猖獗的入侵行为,对付入侵行为的第二道防线——入侵检测系统就被启用了。 1 入侵检测系统(ids)概念 1980年,james 第一次系统阐述了入侵检测的概念,并将入侵行为分为外部滲透、内部滲透和不法行为三种,还提出了利用审计数据监视入侵活动的思想[1]。即其之后,1986年dorothy 提出实时异常检测的概念[2]并建立了第一个实时入侵检测模型,命名为入侵检测专家系统(ides),1990年,等设计出监视网络数据流的入侵检测系统,nsm(network security monitor)。自此之后,入侵检测系统才真正发展起来。 anderson将入侵尝试或威胁定义为:潜在的、有预谋的、未经授权的访问信息、操作信息、致使系统不可靠或无法使用的企图。而入侵检测的定义为[4]:发现非授权使用计算机的个体(如“黑客”)或计算机系统的合法用户滥用其访问系统的权利以及企图实施上述行为的个体。执行入侵检测任务的程序即是入侵检测系统。入侵检测系统也可以定义为:检测企图破坏计算机资源的完整性,真实性和可用性的行为的软件。 入侵检测系统执行的主要任务包括[3]:监视、分析用户及系统活动;审计系统构造和弱点;识别、反映已知进攻的活动模式,向相关人士报警;统计分析异常行为模式;评估重要系统和数据文件的完整性;审计、跟踪管理操作系统,识别用户违反安全策略的行为。入侵检测一般分为三个步骤:信息收集、数据分析、响应。 入侵检测的目的:(1)识别入侵者;(2)识别入侵行为;(3)检测和监视以实施的入侵行为;(4)为对抗入侵提供信息,阻止入侵的发生和事态的扩大; 2 入侵检测系统模型 美国斯坦福国际研究所(sri)的于1986年首次提出一种入侵检测模型[2],该模型的检测方法就是建立用户正常行为的描述模型,并以此同当前用户活动的审计记录进行比较,如果有较大偏差,则表示有异常活动发生。这是一种基于统计的检测方法。随着技术的发展,后来人们又提出了基于规则的检测方法。结合这两种方法的优点,人们设计出很多入侵检测的模型。通用入侵检测构架(common intrusion detection framework简称cidf)组织,试图将现有的入侵检测系统标准化,cidf阐述了一个入侵检测系统的通用模型(一般称为cidf模型)。它将一个入侵检测系统分为以下四个组件: 事件产生器(event generators) 事件分析器(event analyzers) 响应单元(response units) 事件数据库(event databases) 它将需要分析的数据通称为事件,事件可以是基于网络的数据包也可以是基于主机的系统日志中的信息。事件产生器的目的是从整个计算机环境中获得事件,并向系统其它部分提供此事件。事件分析器分析得到的事件并产生分析结果。响应单元则是对分析结果做出反应
1引言 目前,网络的攻击手段越来越多,入侵手段也不断更新。抵制攻击常用的机制是防火墙,它是被动的网络安全机制,对许多攻击难以检测,尤其是来自内部网络的攻击。入侵检测它弥补了传统安全技术的不足,是一种主动的防御技术。根据CIDF(CommonIntrusionDetectionFramework)标准[1]。 IDS就是通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的网络安全技术。 根据入侵检测系统的信息源,通常将入侵检测系统分为三类[2]:基于主机的入侵检测系统(Host-BasedIDS)、基于网络的入侵检测系统(Network-BasedIDS)和基于应用程序的入侵检测系统(Application-BasedIDS)。基于主机的入侵检测系统检测的信息主要来自操作系统的审计踪迹和系统日志。基于网络的入侵检测系统的信息源是网络数据包。基于应用程序的入侵检测系统的信息源则是应用程序产生的事务日志,它实际上是基于主机的入侵检测系统的一个特例。三种入侵检测手段都具有自己的优点和不足,互相可作为补充。 不同的入侵检测算法将直接决定本系统的执行效率,所以选用好的入侵检测算法是非常重要的。入侵检测算法大致有简单模式匹配、专家系统、模型推理、状态转换分析等。目前多数商业化的入侵检测产品都采用简单模式匹配。其特点是原理简单、扩展性好、检测效率高、可以实时检测,但只能适用于比较简单的攻击方式,并且误报率高。由于人工神经网络在入侵检测中具有如下应用优势[3]:(1)人工神经网络具有卓越的非线性映射能力和知识归纳学习,可以通过对大量实例样本反复学习来逐渐调整和修改人工神经网络的权值分布,使人工神经网络收敛于稳定状态,从而完成知识的学习,获得预测能力。(2)人工神经网络能不断接受新的实例样本,并不断调整人工神经网络的权值分布,自适应能力强,具有动态特性。(3)人工神经网络具有良好的知识推理能力,当人工神经网络学会正常行为模式,就能够对偏离正常行为特征轮廓的事件做出反应,进而可 基于神经网络的实时入侵检测系统的研究和实现 仲兆满1,李存华2,3,管燕1,2 ZHONGZhao-man1,LICun-hua2,3,GUANYan1,2 1.连云港师范高等专科学校计算机科学与技术系,江苏连云港222006 2.扬州大学信息工程学院,江苏扬州225009 3.淮海工学院,计算机科学与技术系,江苏连云港222005 1.DepartmentofComputer,LianyungangTeacher’sCollege,Lianyungang,Jiangsu222006,China 2.CollegeofInformationEngineering,YangzhouUniversity,Yangzhou,Jiangsu225009,China 3.DepartmentofComputerScience,HuaihaiInstituteofTechnology,Lianyungang,Jiangsu222005,China E-mail:zhongzhaoman@163.com ZHONGZhao-man,LICun-hua,GUANYan.Instantintrusiondetectionsystembasedonneuralnetwork.ComputerEngineeringandApplications,2007,43(30):120-123. Abstract:AccordingtothecharacteristicsoftheattacksagainstTCP/IPprotocol,transferringlayerdatapacketscanbeclassifiedintothreetypes(namelyUDP,TCPandICMP)andhandledrespectively.Thethreetypesofpacketsareusedasinputtotrainandformulatedifferentneuralnetworksforintrusiondetection.Withtheproposedmethod,anovelinstantintrusiondetectionsystemisdesignedandachieved.Thesystemhasfavorableusability,extensibilityandtheparametersofthenetworkstructurecanbeflexiblyadjustedtoachievesatisfactorydetectionperformance.Experimentalresultsprovethatdisposingdatapacketsrespectivelycanreducethetimeofneuralnetworktrainingandimprovetheaccuracyofnetworkintrusiondetection. Keywords:networksecurity;intrusiondetection;BPneuralnetwork;packetsoftransferringlayer 摘要:根据TCP/IP协议族攻击的特征,提出在传输层上将捕获的数据包分成三类(UDP、TCP和ICMP)分别进行编码并输入到三个不同的神经网络中训练、检测。根据以上思想设计并实现了一个基于BP神经网络的实时入侵检测系统的原型。该原型系统具有通用性和可扩展性,能够根据需要灵活调整网络结构和训练参数,可以发展为更精确的网络入侵检测系统。最后给出了实验设计及其结果,证明了文中对数据包分类处理的方法既能减少网络训练的次数,又能提高网络检测的精度。 关键词:网络安全;入侵检测;BP神经网络;传输层数据包 文章编号:1002-8331(2007)30-0120-04文献标识码:A中图分类号:TP393 作者简介:仲兆满(1977-),男,讲师,主要研究方向为智能信息处理、网络安全等;李存华(1963-),男,教授,博士,主要研究方向为网络安全、数据挖掘等;管燕(1976-),女,讲师,主要研究方向为图像处理、模式识别等。
入侵检测技术 一、入侵检测技术 入侵检测的研究最早可追溯到James Aderson在1980年的工作,他首先提出了入侵检测的概念,在该文中Aderson提出审计追踪可应用于监视入侵威胁,但由于当时所有已有的系统安全程序都着重于拒绝未经认证主体对重要数据的访问,这一设想的重要性当时并未被理解。1987年Dorothy.E.Denning[2]提出入侵检测系统(Intrusion Detection System,IDS)的抽象模型,首次将入侵检测的概念作为一种计算机系统安全防御问题的措施提出,与传统加密和访问控制的常用方法相比,IDS是全新的计算机安全措施。1988年的Morris Internet蠕虫事件使得Internet近5天无法使用。该事件使得对计算机安全的需要迫在眉睫,从而导致了许多IDS系统的开发研制。 入侵检测(Intrusion Detection)的定义为:识别针对计算机或网络资源的恶意企图和行为,并对此作出反应的过程。IDS则是完成如上功能的独立系统。IDS能够检测未授权对象(人或程序)针对系统的入侵企图或行为(Intrusion),同时监控授权对象对系统资源的非法操作(Misuse)。 ●从系统的不同环节收集信息; ●分析该信息,试图寻找入侵活动的特征; ●自动对检测到的行为做出响应; ●纪录并报告检测过程结果。 入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。入侵检测系统能很好的弥补防火墙的不足,从某种意义上说是防火墙的补充[1]。 二、入侵检测的分类 现有的分类,大都基于信息源和分析方法进行分类。 2.1 根据信息源的不同,分为基于主机型和基于网络型两大类 2.1.1 基于主机的入侵检测系统 基于主机的IDS可监测系统、事件和Windows NT下的安全记录以及Unix环境下的系统记录。当有文件被修改时,IDS将新的记录条目与已知的攻击特征相比较,看它们是否匹配。如果匹配,就会向系统管理员报警或者作出适当的响应。 基于主机的IDS在发展过程中融入了其他技术。检测对关键系统文件和可执行文件入侵
第9卷第2期浙江工贸职业技术学院学报V ol.9 No.2 2009年6月JOURNAL OF ZHEJIANG INDUSTRY&TRADE VOCATIONAL COLLEGE Jun.2009 【安全生产】入侵检测技术和防火墙结合的网络安全探讨 xxxx年xx月xx日 xxxxxxxx集团企业有限公司 Please enter your company's name and contentv
入侵检测技术和防火墙结合的网络安全探讨 陈珊陈哲* (浙江工贸职业技术学院,温州科技职业学院,浙江温州325000) 摘要:本文指出了目前校园网络安全屏障技术存在的问题,重点分析了IDS与防火墙结合互动构建校园网络安全体系的技术优势,并对IDS与防火墙的接口设计进行了分析研究。 关键词:防火墙;网络安全;入侵检测 中图文分号:TP309 文献标识码:A文章编号:1672-0105(2009)02-0061-05 The Discussion of Security Defence Based on IDS and Firewall Chen Shan, Chen Zhe (Zhejiang Industrial&Trade Polytechnic, Wenzhou Science and Technology Vocaitional College,Wenzhou Zhejiang 325000) Abstract: This essay points out the problem in current security defence technology of campus network, which focuses on the technology advantages of combine and interaction of firewall and IDS (Intrusion Detection System) to build 120 campus network security system, and it also analyses and studies the interface design of firewall and IDS. Key Words: Firewall; Network Security; IDS (Intrusion Detection Systems) 随着国际互联网技术的迅速发展,校园网络在我们的校园管理、日常教学等方面正扮演着越来越重要的角色,为了保护学校内部的机密信息(如人事安排、档案、在研课题、专利、纪检报告等),保证用户正常访问,不受网络黑客的攻击,病毒的传播,校园网必须加筑安全屏障,因此,在现有的技术条件下,如何构建相对可靠的校园网络安全体系,就成了校园网络管理人员的一个重要课题。 一、目前校园网络安全屏障技术存在的问题 一)防火墙技术的的缺陷 防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,它越来越多被地应用于校园网的互联环境中。是位于两个信任程度不同的网络之间(如校园网与Internet之间)的软件或硬件设备的组合,它对网络之间的通信进行控制,通过强制实施统一的安全策略,防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。但也必须看到,作为一种周边安全机制,防火墙无法监控内部网络,仅能在应用层或网络层进行访问控制,无法保证信息(即通信内容)安全,有些安全威胁是 *收稿日期:2009-3-9 作者简介:陈珊(1975- ),女,讲师,研究方向:计算机科学。
电脑编程技巧与维护 网络入侵检测技术综述 谭兵1。吴宗文2。黄伟 (1.重庆大学软件学院,重庆400044;2.成都军区78098部队装备部,崇州611237) 摘要:入侵检测工作应在计算机网络系统中的关键节点上。介绍入侵检测的基本概念,阐述两类基本的检测技术,详细地论述了入侵检测过程及检测技术面临的挑战与发展趋势。 关键词:入侵检测;异常检测:误用检测 NetworkIntrtmionDetectionTechnology TANⅨn矿,WU历耐.HUANGWei (1.TheSchoolofSoftwareEngineering,ChongqingUniversity,Chongqing400044; 2.Chengdumilitaryregion78098armylogisticsdepartments,Chongzhou611237) Abstract:Theworkinthecomputernetworkintrusiondetectionsystem,akeynode.Thispaperintroducesthebasicconceptsofintrusiondetection,describedtwotypesofbasicdetectiontechnology,intrusiondetectionarediscussedindetail theprocessandtesttechnology challenges andtrends。 Keywords:Intrusiondetection;Anomalydetection;Misusedetection 入侵检测(IntrusionDetection),顾名思义,即是对入侵行为的发觉。它在计算机网络或计算机系统中的若干关键点收集信息,通过对这些信息的分析来发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。违反安全策略的行为有:入侵一非法用户的违规行为;滥用—用户的违规行为。 对于入侵检测的使用,人们总会问这样一个问题。如果已经安装了防火墙,给操作系统打了补丁,并为安全设置了密码,为什么还要检测入侵呢?答案非常简单:因为入侵会不断发生。举个例子,就像人们有时候会忘记锁上窗户,人们有时也会忘记正确的升级防火墙规则设置。 即使在最高级别的保护措施下,计算机系统也不是百分之百的安全。实际上,大多数计算机安全专家认为,既定的用户要求属性,如网络连接,还未能达到成为百分之百安全系统的要求。因此,必须发展入侵检测技术及系统以便及时发现并对计算机攻击行为做出反应。 l入侵检测发展 起初,系统管理员们坐在控制台前监控用户的活动来进行人侵检测。他们通过观察,例如在本地登录的闲置用户或非正常激活的闲置打印机。尽管上述方法不是足够有效的,但这一早期入侵检测模式是临时的且不可升级。 入侵检测的下一步涉及到审计日志。审计日志即系统管理员所记录的非正常和恶意行为。 在上世纪70年代末和80年代初,管理员将审计日志打印在扇形折纸上,平均每周末都能累积四到五英尺高。很明显,要在这一堆纸里进行搜索是相当耗费时间的。由于这类 本文收稿日期:2009—11-12 —110~信息量过于丰富且只能手动分析,所以管理员主要用审计日志作为判据,以便在发生特别安全事件后,确定引起这一事件的原阂。基本上不可能靠它发现正在进行的攻击。 随着存储器价格的降低,审计日志转移到网上且开发出了分析相关数据的程序。然而,分析过程慢且需频繁而密集计算,因此,入侵检测程序往往是在系统用户登录量少的夜间进行。所以,大多数的入侵行为还是在发生后才被检测到。 90年代早期,研究人员开发出了实时入侵检测系统,即对审计数据进行实时评估。由于实现了实时反应,且在一些情况下,可以预测攻击,因此,这就使攻击和试图攻击发生时即可被检测到成为可能。 近年来,很多入侵检测方面的努力都集中在一些开发的产品上,这些产品将被用户有效配置在广大网络中。在计算机环境不断持续变化和无数新攻击技术不断产生的情况下,要使安全方面也不断升级是个非常困难任务[1l。 2分类 目前,入侵检测技术可基本分为3类:异常检测、误用检测和混合检测。异常检测是假定所有入侵行为都是与正常行为不同的;误用检测是根据已知攻击的知识建立攻击特征库,通过用户或系统行为与特征库中的各种攻击模式的比较确定是否有入侵发生;混合检测模型是对异常检测模型和误用检测模犁的综合。文中详细介绍异常检测和误用检测。2.1异常检测模型 异常检测利用用户和应用软件的预期行为。将对正常行为的背离作为问题进行解释。异常检测的一个基本假设就是攻击行为异于正常行为。例如,对特定用户的日常行为(打字和数量)进行非常准确的模拟,假定某用户习惯上午lO点左右登录,看邮件,运行数据库管理,中午到下午i点休息,有极少数文件的存取出现错误等等。如果系统发现相同的用 万方数据