西安电子科技大学
硕士学位论文
网络安全与入侵检测
姓名:冯飞
申请学位级别:硕士专业:通信与信息系统指导教师:王育民
20030101
摘要
入侵检测是最近10余年发展起来的一种动态的监控、预防或抵御系统入侵行为的安全机制。和传统的预防性安全机制相比,入侵检测具有智能监控、实时探铡、动态响应、易于配置和适用广泛等特点。显然,入侵检测是对传统计算机安全机制的一种补充,成为目前动态安全工具的主要研究和开发的方向。
本论文在此领域主要工作成果如下:对现有入侵检测领域的各种检测模型和技术进行了归类分析研究;归纳了当前实际入侵检测系统的特点:讨论了针对应用程序的IDS的理论和实现问题,给出了针对应用程序的嵌入式的IDS的设计思想并提出了一种模型和实现的方法;研究了计算机取证的相关问题以及IDS在取证中的应用,并给出了一种通用的取证方法:分析了当前出现的各种新型木马的技术。
关键词:网络安全入侵检铡计算机取证
Abstract
IntrusionDetectionisaneffectivesecuritymechanismdevelopedintherecentdecade,whichprotectscomputersandnetworksthrougllthewaysofsurveillance,precautionandprevention.Comparedwithtraditionalprecautionmechanisms,intrusiondetectionhasthecharacteristicsofintellectualsurveillance,real?timedetection,dynamicresponseandeasyconfiguration.Becauseofitswideapplicability,intrusiondetectionbecomesthekeypartofthesecuritymechanismInthisthesis,themainlyresearchresultsarelistasfollows:ThemodemtechnologiesandmodelsinintrusiondetectionfieldaFecategorizedandstudied,ThecharactersofcurrentpracticalIDSareintroduced.ThetheoriesandrealizationofIDSbasedonapplicationsarepresented.ThebasicideasconcemedwithhowtodesignandrealizetheembeddedIDSforapplicationarcproposed.Thevariousaspectsofcomputerforensicsarediscussedbasedoncurrentnetworkenvironment.HowIDScanapplytocomputerforensicsandhowIDScanhelptocollectthedigitalevidenceareintroducedwithacommondigitalevidencecollectionmethod,ThenewTrojantechno]ogiesappearingatpresentareintroduced.
Keyword:NetworkSecurityIntrusionDetectionComputerForensics
独创性(或创新性)声明
本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究成果。尽我所知,除了文中特别加以标注和致谢中所罗列的内容以外,论文中不含有其他人已经发表或撰写的研究成果:也不包含为获得西安电子科技大学或其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示了谢意。
申请学位论文与资料若有不实之处,本人承担一切相关责任。
本人签名:蔓1同期理!:!,!三
关于论文使用授权的说明
本人完全了解西安电子科技大学有关保留和使用学位论文的规定,即:研究生在校攻读学位期间论文工作的只是产权单位属西安电子科技大学。本人保证毕业离校后.发表论文或使用论文工作成果时署名单位仍然为西安电子科技大学。学校有权保留送交论文的复印件,允许查阅和借阅论文;学校可以公布论文的全部或部分内容,可以允许采用影印、缩印或其它复制手段保存论文。(保密的论文在解密后遵守此规定)
本学位论文属于保密,在年解密后使用本授权书。
翩签氆妾鲐,日期枷矗r,,厂
本人签名:之曼玉
日期J耐?/?矿
第一章绪论
第一章绪论
本章主要介绍本文研究的背景和意义,简要给出入侵检测系统的基本模型及其相关概念,列举了本文要解决的问题以反取得的主要研究成果,最后给出了全文的内容简介。
1.1研究背景和意义
计算机与通信技术的融合使计算机网络在信息的采集、传输、存储与处理中处于核心地位。Interact的飞速发展已经把人们的学习、工作与生活紧密地联系在一起,涉及到教育、经济、政治、军事等各行业和部门。随着人们对计算机网络依赖性的增强,计算机网络逐渐成为整个社会基础设施中最重要的一部分。对计算机和网络系统的严重依赖使得我们必须确保计算机和网络系统的安全。否则,不仅会造成大量的人力、物力资源的浪费,竞争优势的丧失.公司商业机密信息或研究技术文档的被窃,甚至会丢失有关国家的机密,进而危及国家的安全。所有这些信息安全与网上信息对抗的需求,使得如何增强计算机系统和网络系统的安全性的研究成了举世瞩目的焦点。最近,美国在向国会提交2001年财政计划时,将“打击网络恐怖活动经费”提高到了20_3亿美元。并且主要用于开发监视黑客入侵政府部门电脑的高级软件系统、信息安全研究、研制打击网络恐怖活动的技术以及培训有关专业人员。另外,日本、德国等国政府都在拨巨款,以开展反黑客技术的研究。中国也相应地启动了信息安全紧急应急计划,来从事这方面的研究工作。
但是对网络、系统的安全保护却越来越困难,这是因为:网络的迅速发展,使得网络的结构越来越复杂。其次,网络中众多的“黑客”站点不仅提供了大量的系统缺陷信息及其攻击方法,而且还提供了大量易于使用的系统漏洞扫描和攻击工具,攻击者不需要具备专门的系统知识就可以利用相应的入侵工具轻易攻入具有安全缺陷的系统。第三,目前对系统的攻击也不仅仅是那些年轻的“黑客”们由于好奇侵入系统的玩笑性游戏,入侵者的背后甚至得到一些拥有足够系统资源、专业知识和入侵经验的犯罪组织、竞争的对手甚至是敌对的国家的支撑。而且,网络安全采用的技术手段与黑客的攻击方式基于同样的环境,黑客的能力与网络安全防范能力只能是此消彼长,在斗争中交替发展。因此网络的安全防御和入侵行为的检测是一个长期的艰巨的任务。
网络安全与入侵检测系统
1.2入侵检测与入侵检测系统
入侵行为主要指对系统资源的非授权使用,它可以造成系统数据的丢失和破坏、甚至会造成系统拒绝对合法用户服务等后果。通常入侵者可分为两类:外部入侵者(一般指系统中的非法用户,如常说的黑客)和内部入侵者(有越权使用系统资源行为的合法用户)。
入侵检测(IntrusionDetection)的目标就是通过检查系统的审计数据或网络数据包信息来检测系统中违背安全策略或危及系统安全的行为或活动,从而保护信息系统的资源不受拒绝服务攻击、防止系统数据的泄漏、篡改和破坏。关于入侵检测技术的研究,涉及到计算机、网络以及安全等多个领域的知识。目前,最基本的入侵检测方法主要是基于已知入侵行为模式、基于通信业务分析以及基于系统状态(或行为)统计异常性的检测。
入侵检测系统就是能够通过分析系统安全相关数据来检测入侵活动的系统。~般来说,入侵检测系统在功能结构上基本一致,均由数据采集、数据分析以及用户界面等几个功能模块组成,只是具体的入侵检测系统在分析数据的方法、采集数据以及采集数据的类型等方面有所不同。面对入侵攻击的技术、手段持续变化的状况,入侵检钡E系统(IntrusionDetectionSystem)必须能够维护一些与检测系统的分析技术相关的信息,以使检测系统能够确保检测出对系统具有威胁的恶意事件。这类信息一般包括:
?系统、用户以及进程行为的正常或异常的特征轮廓。
●标识可疑事件的字符串,包括:关于已知攻击和入侵的特征签名。
?激活针对各种系统异常情况以及攻击行为采取响应所需的信息。
这些信息咀安全的方法提供给用户的IDS系统,有些信息还要定期地升级。
Denning在1986年提出的基于主机系统的主体特征轮廓、系统对象、审计日志、异常记录以及活动规则等的检测系统模型是最典型(也是最常被引用)的系统设计模型。具体实现时,多采用基于规则的模式匹配算法,通过审计迹与主体特征轮廓的匹配程度来检测在系统登录、程序执行以及文件存取时的入侵攻击或资源滥用。这种设计模型在许多早期基于主机的监测系统中得到了广泛的应用。
1.3本文的主要研究成果和论文安排
国外自八十年代开展入侵检测技术的研究,他们基本上是从如何构建系统主体特征轮廓或如何获取已知入侵行为知识的角度,给出了一些可行的知识描述方法和相应的检测算法.而且最初多侧重于主机系统的安全防御。随着网络应用的
第一章绪论
发展,面向网络(特别是大规模网络)的入侵检测技术与系统模型的研究,已成为当前入侵检测领域研究的重点。国内在该领域起步较晚,尚缺乏系统的研究,特别是检测性能方面的分析研究和对实际系统的分析。为此,本论文对现有的入侵检测技术和模型进行了系统分析研究,提出了一些新的观点和实用系统设计模型。主要包括:
●对现有入侵检测领域的各种检测模型和技术迸行了归类分析,在相互比较
的基础上详细地讨论了各种技术的优缺点。
●系统的讨论了IDS与其他系统之间的协同问题,解决了存在的部分问题。
?通过分析与测试,归纳了当前实际入侵检测系统产品的特点,讨论了其存在的问题,并提出了相应的解决途径。
?在针对应用程序的IDS方面,给出了相应的设计原理,并提出了基于应用程序的嵌入式入侵检测系统模型。同时完成了相应的编程工作。
●将入侵检测系统应用于网络犯罪取证方面,这是一个新的尝试。在此基础
上给出了一种有效的取证方法。
●分析讨论了当前出现的各种新型术马的技术。
全文共分为六章,其余章节具体安排如下:
第二章主要概述了网络安全的若干方面的基础知识。包括网络安全问题产生的原因,网络安全的特点,网络安全的层次结构,网络安全系统的设计原则和计算机及网络系统的安全对策。
第三章着重研究实际的IDS。首先分析了实际入侵检测的必要性及当前主流IDS产品的特点,并对存在的问题进行了讨论并给出了相关的建议:研究了IDS与其他系统之间的协同问题,包括入侵数据采集协同,数据分析协同和入侵响应协同;最后预测了实际入侵检测技术的发展趋势。
第四章重点研究针对应用程序的IDS。在简要分析各类入侵检测技术优缺点的基础上。重点讨论了针对应用程序的IDS的理论和实现问题,在综合各种方案的研究基础上,给出了针对应用程序的嵌入式的IDS的设计思想并提出了一种模型和实现的方法。
第五章主要研究了计算机取证的相关问题以及IDS在取证中的应用。首先介绍了计算机取证的基本概念和电子证据的一些特点,同时研究了IDS在取证方面的应用,指出了其局限性并提出了改进建议。然后给出了计算机取证的一个通用程序和需要注意的问题。
第六章主要研究新型的木马技术和相应的检测技术。首先简要的介绍了木马技术的发展过程和基本原理,接着重点讨论了新型木马所采用的新技术.并给出了相应的检测与清除技术。
最后,结束语对全文的研究工作进行了总结,指出了进一步研究的方向。
第二章网络安全概述
第二章网络安全概述
本章主要概述网络安全的若干基本问题和基本知识。包括网络安全问题产生的原因,网络安全的特点,网络安全的层次结构,网络安全系统的设计原则和计算机及网络系统的安全对策。
2.1计算机网络安全问题
计算机网络安全问题是随着网络特别是Internet的发展而产生的,直到近年来才得到普遍关注。计算机网络的连通性和开放性给资源共享和通信带来了最大的便利,同时也使本不乐观的安全问题雪上加霜:标准化和开放性使众多厂商的产品可以互操作,也使入侵者可以预知系统的行为。1988年一个能够在Intemet上自我复制和传播的蠕虫程序导致Intemet瘫痪了数日,这起网络安全事件促使了CERT等许多安全机构和组织的诞生,也使人们认识到作为Internet技术的核心,TcMP协议存在许多安全隐患和脆弱性。
尽管网络安全的研究得到越来越多的关注,然而,网络安全问题并没有因此而减少;相反,随着网络规模的飞速扩大、结构的复杂和应用领域的不断扩大,出于各种目的而盗用资源或窃取机密甚至破坏网络的肇事者也越来越多,网络安全事件呈迅速增长的趋势,造成的损失也越来越大。
据美国FBI统计:全球平均每20秒就发生一起Internet计算机系统被入侵事件,丽且仅美国每年因此而造成的损失就高达lOO亿美元。2000年的2月8~10月,黑客首攻号称“世界上最可靠的网站之一”的Yahoo成功后,3天之内.一口气攻击了近10家著名网站,使这些网站相继瘫痪了2~3个小时。据市场调查公司YankeeGroup估计,2月初的黑客攻击造成了12亿多美元的损失。YankeeGroup的分析家认为:在可预见的将来,情况会变得更糟糕。
一般认为,计算机网络系统的安全威胁主要来自于黑客(Hacker)的攻击、计算机病毒(Virus)和拒绝服务攻击(DeniesofService)三个方面。目前,人们开始重视来自网络内部的入侵攻击。黑客攻击早在主机终端时代就已经出现,随着Internet的发展,现代黑客则从以系统为主的攻击转变到以网络为主的攻击。新的攻击手法包括:通过网络侦听获取网上用户的账号和密码、监听密钥分配过程、攻击密钥管理服务器,以得到密钥和认证码,从而获得合法资格:利用UNIX操作系统提供的守护进程(Daemon)的缺省账户进行攻击,如TelnetDaemon、FTPDaemon、RPCDaemon等:利用Finger等命令收集信息,提高自己的攻击能力:利用Sendmail,采用Debug、Wizard和Pipe等进行攻击;利用FTP,采用匿名用户访问进行攻击;利用NFS进行攻击。通过隐蔽通道进行非法活动、突破防火墙等。目前.已知的黑客攻击手段达数百种之多,而且随着攻击工具的完善,攻击
者不需要专业知识就能够完成复杂的攻击过程。
总之,人们面临来自计算机网络系统的安全威胁日益严重。安全问题已经成为影响网络发展、特别是商业应用的主要问题,并直接威胁着国家和社会的安全。
2.2网络安全问题产生的原因
网络系统的安全性和可靠性源于网络自身的一些特点。当前网络的主要特点包括:
?网络的共享性:资源共享是建立计算机网络的主要目的之一,但也为攻击者利用共享的资源进行破坏活动提供了机会。
●网络的开放性:网上的用户很容易浏览到一个企业、单位及个人的敏感性
信息。
●系统的复杂性:计算机网络系统的复杂性使网络的安全管理更加困难。
?边界的不确定性:网络的可扩展性导致网络边界的不确定性。丽络资源共享访问时的网络安全边界被破坏,从而对网络安全构成严重的威胁。
●路径的不确定性:从用户主机到另一个主机可能存在多条路径。一份报文
在从发送节点达到目标节点之前可能要经过若干个中间节点。所以起点节
点和目标节点的安全保密性能并不能保证中间节点的不可靠性问题。
●信息的高度聚集性:当信息分离的小块出现时,信息的价值往往不大。只
有将大量相关信息聚集在一起时,方可显示出其重要价值。网络中聚集了
大量的信息,特别是Internet中,它们很容易遭到分析性攻击。
除此之外,协议漏洞、操作系统的安全性和应用程序的hug等因素也是造成网络安全问题的原因。按其产生的原因大致可分为咀下几类:
(1)操作系统的安全漏洞:目前所使用的计算机系统在结构和代码设计时偏重于考虑系统使用的方便。陛,至于它的安全性则很少顾及,所以易导致系统的安全机制不健全,存在很多安全漏洞。如当今最为流行的Windows操作系统就存在很多的漏洞,Win98基本没有安全机制,而WinNT/2000/XP的安全性也是很不可靠的。
(2)通信线路和网络本身固有的弱点:网络通信线路可能被人搭线窃听;通过未受保护的线路,可以从外界访问系统内部的数据。
(3)网络协议安全的脆弱性:当前计算机网络系统都是用TCP/IP协议,其缺陷是不能适应现代网络通信技术安全性的需求。所能够提供的是不可靠的数据传输.另外在安全方面还容易导致伪造和欺骗。
(4)数据库管理系统安全的脆弱性:由于数据库管理系统对数据库管理建立在分级管理的概念上,而且数据库管理系统的安全也取决于操作系统的安全性,所以随之而来就带来了一系列的问题。
故障、应用软件的故障等等。
通过以上对网络安全问题产生原因的分析,可以粗略的得出“网络和系统的漏洞/弱点十安全威胁=安全问题”的结论。要解决安全问题,简单的说,对于漏洞和弱点需要采取“补漏”等强化手段进行网络优化和系统完善;对于安全威胁的抑制,则需要社会舆论、道德约束、法律制裁等多方面的力量合作。但网络安全问题已日益复杂化的特征.要真正解决各种安全问题,是不可能~蹴而就的。
2.3l阿络安全的特点
随着网络技术的更新与发展,网络安全问题及安全防范技术也呈现出层出不穷的态势。纵观网络安全的历史和现状,网络安全的表现形式虽然各不相同,但大致都具有如下5个特点:
(1)网络安全的涉及面广
网络安全己渗透到生活中的每一个领域。按照网络安全所保护的对象可分为4个层次:国家安全,即如何保护国家机密不受网络”黑客”的袭击而泄漏;商业安全,即如何保护商业机密、企业资料不逶窃取;个人安全,即如何傈护个入隐私(包括信用卡号码、健康状况等等):网络自身安全.即如何保证接入网际网络的电晒网络不受病毒的侵袭而瘫痪。
(2)网络安全涉及的技术层面深
网络已形成~个跟现实社会紧密相关的虚拟社会,采用了众多的新技术。雨且黑客所采用的攻击手段和技术很多都是以前未曾见过的,技术含量比较高。这~切都注定了网络安全所涉及的技术层面的日盏探入化,
(3)网络安全的黑盒性
网络安全是~种以”防患于末然“为主的安全保护,这就注定了网络安全产品的功能有些模糊,不像其它应用系统那样明确。如,一种入侵检测系统到底能够检测出那些攻击,一般用户是没法知道了。因此,对于网络安全产品,中间机构的介入就非常关键。如我国公安部网络安全检测中心,国际上的各种认证机构(如国际计算机安全协会IcsA)等中介机构的介入,对于安全产品的定位和评价部很有帮助。
(4)网络安全的动态性
由于国内外黑客和病毒方面的技术日新月异.而新的安全漏洞也层出不穷。因此,网络安全必须能够紧跟网络发展的步伐,适应新兴的黑客投术。
(5)网络安全的相对性
任何网络安全都是相对的,任何网络安全产品的安全保证都只能说是提高网络安全的水平,而不能杜绝危害网络安全的所有事件。只能使网络遭到攻击的可能性低一些,使因遭受攻击而引起损失能够限制在一定的范围内。
第二章网络安全概述
由此可见.网络安全己演变成为一个极为复杂、棘手而又迫切需要解决问题。而如何按照一定的标准或理论对安全问题进行划分.使安全问题能够细节化和具体化,便于进行问题的分析和研究,则是解决问题的前提。
2.4网络安全的层次结构
国际著名的网络安全研究公司HurwitsGToup经过研究得出结论,在考虑网络安全的过程中,应该考虑以下五方面的问题:网络是否安全?操作系统是否安全?用户是否安全?应用程序是否安全?数据是否安全?即,将安全问题划分为网络安全、操作系统安全等五个方面的安全。目前,这个五层次的网络系统安全体系理论已经得到了国际网络安全界的广泛支持,并已将这一理论应用到产品之中。(1)网络层的安全性。网络层安全性的核心问题是网络能否得到控制,即:是不是任何一个IP地址的用户都能安全进入网络同时限制入侵者进入网络。
通过网络通道对网络系统进行访问时,每一个用户都会有一个独立的IP地址,这个IP地址能够大致表明用户的来源地址和来源系统。目标站点通过对来源IP分析.能够初步判断来自这一IP的数据是否安全,是否会对本网络系统造成危害.以及来自这一IP的用户是否有权使用本网络的数据。一旦发现某些数据来自不可信任的IP地址,系统便会自动将这些数据阻挡在系统之外。并且大多数系统能够自动记录那些曾经造成过危害的IP地址,使得它们的数据免于遭受第二次危害。
用于解决网络层安全性问题的产品主要有防火墙产品和VPN(虚拟专用网)。防火墙的主要目的在于判断来源IP,将危害或未经授权的IP数据拒之于系统之外,而只让安全的IP数据通过。一般来说,公司的内部网络若与公众Interact相连,则应该在二者之间设置防火墙产品,以防止公司内部数据的外泄。VPN主要解决的是数据传输的安全性问题,如果公司在地域上跨度较大,使用专网、专线过于昂贵,则可以考虑使用VPN。其主要目的在于保证公司内部的关键数据能够安全地借助公共网络进行频繁的交换。
(2)系统的安全性。在系统安全性问题中,需要考虑的问题主要有两个:一是病毒、木马、蠕虫对于网络的威胁;二是黑客对网络的破坏和入侵。
病毒等有害程序的主要传播途径已经由过去的软盘、光盘等存储介质变成了网络,多数病毒不仅能够直接感染网络上的计算机,也能够在网络上对自身进行复制。电子邮件、文件传输以及网络页面中的恶意Java小程序和ActiveX控件,甚至文档文件都能够携带对网络和系统有破坏作用的病毒,网络防病毒工具必须能够针对网络中可能的病毒入口进行防护。
而对于黑客而言.他们的主要目的在于窃取数据和非法修改系统,其手段之一是窃取合法用户的口令,在合法身份的掩护下进行非法操作;其手段之二是利用网络操作系统的某些非法但不为系统管理员和合法用户所知的操作指令。要弥
网络安全与入侵检测系统
补这些漏洞,我们需要专门的系统风险评估工具.在完成了这些工作之后,操作系统自身的安全性问题将在一定程度上得到保障。
(3)用户的安全性。对于用户的安全性问题,所要考虑的问题是:是否只允许那些真正被授权的用户使用系统中资源和数据?
首先要做的是对用户进行分组管理,并且这种分组管理应该是针对安全性问题。应该根据不同的安全级别将用户分成若干等级,每一等级的用户只能访问到与其等级相对应的系统资源和数据。其次应考虑强有力的身份认证,其目的是确保用户的密码不被他人猜测到。
在大型的应用系统中,有时会存在多重的登录体系,用户如需进入最高层的应用,往往需要多次输入多个不同密码,如果管理不严,多重密码也会造成安全上的漏洞。所以在某些先进的登录系统中,用户只需要输入一次密码,系统就能够自动识别用户的安全级别,从而使用户进入不同的应用层次。这种单一的登录体系要比多重登录体系提供更强大的安全性。
(4)应用程序的安全性。在这一层中我们需要回答的问题是:是否只有合法的用户才能对特定的数据进行合法的操作?
这其中涉及两个方面的问题:一是应用程序对数据的合法权限:二是应用程序对用户的合法权限。例如在公司内部,上级部门的应用程序应该能够存取下级部门的数据,而下级部门的应用程序一般不应该允许存取上级部门的数据。同级部门的应用程序的存取权限也应有所限制,例如同一部门不同业务的应用程序也不应该互相访问对方的数据,一方面可以避免数据的意外损坏,另一方面也是安全方面的考虑。
(5)数据的安全性。数据的安全性问题所要回答的问题是:机密数据是否还处于机密状态?
在数据的保存过程中,机密的数据即使处于安全的空问,也要对其进行加密处理,以保证万一数据失窃,偷盗者(如网络黑客)也不能破解其中的内容。这是一种比较被动的安全手段.但往往能够收到最好的效果。
上述的五层安全体系并非孤立分散,事实上它们之间是紧密关联,相互作用的。在正确实施安全策略并进行安全规划时,有必要将这五个方面进行综合考虑-并权衡它们之间的融合性和互异性。如果将网络系统比作一幢办公大楼的话,门卫就相当于对网络层的安全性考虑,他负责判断每一位来访者是否能够被允许进入办公大楼,发现具有危险性的来访者则将其拒之门外,而不是让所有人都能够随意出入。操作系统的安全性在这里相当于整个大楼的办公制度,办公流程的每一环节紧密相连,环环相扣,不让外人有可乘之机。如果对整个大楼的安全性有更高的要求的话,还应该在每一楼层中设置警卫,办公人员只能进入相应的楼层,而如果要进入其它楼层,则需要获得相应的权限.这实际是对用户的分组管理,
第二章网络安全概述
类似于网络系统中对于用户安全问题的考虑。应用程序的安全性在这里相当于部门与部门间的分工,每一部门只做自己的工作,而不会干扰其它部门的工作。数据的安全性则类似于使用保险柜来存放机密文件.即使窃贼进入了办公室,也很难将保险柜打开,取得其中的文件。若将这些早已被人们所熟悉的办公制度运用于网络系统中,便是我们所看到的五层网络安全体系。如同要确保整个办公系统安全无误的运作需要从各个环节同时把关一样,要确保网络的安全,尤其是要进行安全方案的设计,也必须同时考虑上述的五个环节:在考虑实现成本的前提下,尽力堵住每一个安全漏洞,消除每一个不安全因素,将网络被入侵、被滥用的可能性降低到最小限度。
2.5网络安全系统的设计原则
计算机网络最重要的资源是它向网络用户提供的服务。根据美国计算机安全专家提出的一种全新的安全框架,计算机网络或安全防护系统应该具有如下安全特性或安全设计目标:
(1)保密性。防止未经授权许可的访问,动态信息防止被截取解密。规定哪些信息不能被窥探,哪些资源不能被未经授权许可的用户访问。
(2)完整。眭。信息在存储或传输时不被修改、破坏或不发生信息包丢失、丢序等。信息的完整性是信息安全的基本要求,破坏信息的完整?陛是影响信息安全的常用手段。
(3)可用’|生。主机存放静态信息具有可使用性和可操作性。而病毒则常常破坏信息的可用性.使系统不能正常的运行。
(4)实用性。实用性是指信息加密密钥不可丢失,丢失了密钥的信息也就丢失了信息的实用性。
(5)真实性。信息的可靠性、信息的可用度,包括信息的完整性、准确性和发送人身份认证等方面的安全需求。
尽管不可能设计出绝对符合上述安全和保密要求的实际网络安全防护体系.但如果在设计之初能遵循一定的合理原则,那么相应网络和系统安全就更加有保障。反之.若在设计时没有一定的设计尺度和系统规划,则很难设计出真正功能完善,易于维护和升级的解决方案。因此,从系统的角度出发,在进行安全信息系统的设计时,至少应该遵循以下设计准则:
(1)“木桶原则”进行信息均衡,实施全面的安全保护。
计算机系统本身在物理上、操作上和管理上的漏洞构成了系统的安全脆弱性。攻击者采用“最易渗透”原则,必然在系统最薄弱的地方进行攻击。因此,充分完整的对系统的安全漏洞和安全威胁进行分析,评估和检测是设计信息安全系统的必要前提条件。安全机制和安全设计的首要出发点是防止最常用的攻击手段.
网络安全与入侵检测系统
而根本目标是提高整个系统的“安全最低点”的安全性能。
(2)整体性原则。安全防护,检测和应急回复功能的配套性。
由于没有完全可靠的网络信息安全与保密,因此要求在网络遭受攻击和破坏的情况下,必须尽可能快的恢复系统的功能,减少损失。所以信息安全系统应该包括安全防护机制,安全检测机制和安全’陕复机制。安全防护机制是根据具体系统存在的各种安全漏洞和安全威胁采取相应的防护措施;安全检测机制是检测系统的运行情况,及时发现和制止对系统的各种攻击;安全恢复机制是在安全防护机制失效的情况下。进行应急处理,尽可能及时恢复信息并减少攻击的破坏程度。(3)有效性与实用性原则。不能影响系统的正常运行和合法用户的合法操作。
网络的信息安全和信息共享存在一个矛盾:一方面为健全和弥补系统缺陷和漏洞.往往采取了多种技术手段和措施:而另一方面,势必给系统的运行和用户的使用造成麻烦,尤其对网络环境实时性要求很高的业务不能容忍安全连接和安全处理造成的时延和数据扩张。因此必须在安全性的基础上,把安全处理的运算减少或分摊,减少用户记忆和存储工作。
(4)安全性评价原则。使用安全评价原则与用户需求和应用环境紧密相关。
评价信息安全系统是否安全并没有绝对的评判标准和衡量指标,而只决定于系统的用户需求和具体的应用环境,具体取决于凡个因素:系统韵规模和范围:系统的性质和信息的重要程度。另外具体用户会根据实际应用提出一定的需求。(5)等级性原则。安全层次和安全级别。
良好的信息系统必然是分为不同的级别的,包括对信息保密程度分级(如绝密。机密,秘密,普通等);对用户操作权限分级(如面向个人及恧向群组),对网络安全程度分级(如安全子网和安全区域);对系统实现结构的分级(如应用层,传输层,网络层等)。通过对不同级别的分级,可以提供全面的可靠的安全算法和安全体制,从而满足网络中不同层次的各种实际需要。
(6)动态化原则。整个系统尽可能引入更多的可变因素。并具有良好的扩展性。
被加密的信息生存期越短、可变因素越多,如周期性更改口令和主密钥、安全传输采用一次性会话密钥、动态选择和使用加密算法等措施,系统的安全性就会越高。另一方面,各种密码攻击和入侵手段在不断的发展,用以被利用的资源和设备也在迅速提高,因此所谓的安全也只是相对的和暂时的.不存在一劳永逸的信息安全系统,应该可以根据攻击手段的发展进行相应的更新和升级。
(7)计算机为本原则。设计应该与操作系统的设计相结合,将二者进行功能和性能的统一。
(8)权限分割.互相制约,最小化原则在很多系统中都有一个系统超级用户或系统管理员.拥有对系统全部资源的存取和分配权,所以它们的安全至关重要,如果不加以限制,有可能由于超级用户的恶意行为、口令泄密、偶然破坏等对系
第二章网络安全概述
统造成不可估量的损失和破坏。有必要对系统超级用户的权限加以限制,实现权限最小化原则。管理权限交叉,有几个系统管理用户动态控制系统的管理,实现互相制约。而对于非管理用户,即普通用户,则实行权限最小原则,坚决不允许其进行授权外的操作。
(9)有的放矢、各取所需的原则。尽管将安全性设定为最高目标,但往往由于网络安全系统的设计是受经费限制.因此在考虑安全问题解决方案时必须考虑性能价格的平衡,而且不同的系统所需求的安全侧重点各不相同。因此在网络安全系统的设计上必须做到有的放矢,具体问题具体分析,合理有效的分配有限的资金。
2.6计算机及网络系统的安全对策
尽管对计算机安全的研究取得了很大进展,但安全计算机系统的实现和维护仍然非常困难,因为我们无法确保系统的安全性达到某一确定的安全级别。入侵者可以通过利用系统中的安全漏洞侵入系统,丽这些安全性漏洞主要来源于系统软件、应用软件设计上的缺陷或系统中安全策略规范设计与实现上的缺陷和不足。即使我们能够设计和实现一种极其安全的系统,但由于现有系统中大量的应用程序和数据处理对现有系统的依赖性以及配置新系统所需要的附加投资等多方面的限制,用新系统替代现有系统需付出极大的系统迁移代价,所以这种采用新的安全系统替代现有系统的方案事实上很难得到实施。另一方面,通过增加新功能模块对现有系统进行升级的方寨却又不断地引入新的系统安全性缺陷。
入侵检测是最近10余年发展起来的一种动态的监控、预防或抵御系统入侵行为的安全机制。主要通过监控网络、系统的状态、行为以及系统的使用情况,来检测系统用户的越权使用以及系统外部的入侵者利用系统的安全缺陷对系统进行入侵的企图。和传统的预防性安全机制相比,入侵检测是一种事后处理方案,具有智能监控、实时探测、动态响应、易于配置等特点。由于入侵检测所需要的分析数据源仅是记录系统活动轨迹的审计数据,使其几乎适用于所有的计算机系统。入侵检测技术的引入,使得网络、系统的安全性得到进一步地提高(例如,可检测出内部人员偶然或故意提高他们的用户权限的行为,避免系统内部人员对系统的越权使用)。显然,入侵检测是对传统计算机安全机制的一种补充,它的开发应用增大了网络与系统安全的保护纵深,成为目前动态安全工具的主要研究和开发的方向。许多研发机构和主要的安全厂商都在进行这方面的研究和开发,有的已推出了相应的产品。
实践经验使人们认识到:由于现有的各种安全防御机制都有自己的局限性。例如,防火墙能够通过过滤和访问控制阻止多数对系统的非法访问,但是不能抵御某些入侵攻击,尤其是在防火墙系统存在配置上的错误、没有定义或没有明确
网络安全与入侵检测系统
定义系统安全策略时,都会危及到整个系统的安全。另外,由于其主要是在网络数据流的关键路径上,通过访问控制来实现系统内部与外部的隔离,从而针对恶意的移动代码(病毒、木马、缓冲区溢出等)攻击、来自内部的攻击等,防火墙将无能为力。因此,针对网络的安全不能只依靠单一的安全防御技术和防御机制。只有通过在对网络安全防御体系和各种网络安全技术和工具的研究的基础上,制定具体的系统安全策略,通过设立多道的安全防线、集成各种可靠的安全机制(诸如:防火墙、存取控制和认证机制、安全监控工具、漏洞扫描工具、入侵检测系统以及进行有效的安全管理、培训等)建立完善的多层安全防御体系,才能够有效地抵御来自系统内、外的入侵攻击,达到维护网络系统的安全。
第三章实际入侵检测的分析与研究
第三章实际入侵检测的分析与研究
经过十几年的发展,IDS理论得到了长足的发展,IDS实际产品也逐渐丰富起来,但IDS理论和IDS产品之间还存在着较大的差距。本章着重研究实际的IDS。首先分析了实际入侵检测的必要性:主要的J-作是在做了一定数量的实际产品分析的基础上,讨论了当前实际IDS产品的特点,对存在的问题进行了讨论并给出了相关的建议:另一方面研究了实际中IDS与其他系统之间的协同问题,包括八侵数据采集协同,数据分析协同和入侵响应协同;最后预测了实际入侵检测技术的发展趋势。并给出了如何有效利用1DS的建议。
3.1实际中入侵检测的必要性
安全产品必须提供两个基本的功能:可视性和可控性。两者的结合才能使制定和执行安全策略来使网络安全成为可能。
(1)可视性:观察和理解网络的本质特性以及网络上的流量的能力。
可视性使得根据实际的网络数据状况制定安全策略成为可能。可视性是作推测性分析的必要条件,使网络的漏洞在被利用前可以得到弥补,而且可视性通过提供访问控制系统效率的量化数据和安全策略韵有效性情况来增强访阀控制系统的实际能力。
(2)可控性:控制和影响网络数据流包括访阔网络的能力。
可控性使得强制服从安全规范成为可能。可控性使安全管理员可以制定和构造特定的网络流量,从而可以保证被保护网络内的信息资源不会受到威胁。
通常情况下,控制系统如防火墙和路由器可以给网络提供一定程度的保护,但单独的控制设备的效率完全依赖于设备的性能和安全管理员的经验和时间。而且,不论控制设备设计的多么完美,安全管理员多么有经验和时间,系统总会有漏洞,hacker的任务就是找到这些漏洞并加以剥用,即可绕过控制系统。监视系统是任何一个成功安全体系的关键部分,监视系统是以一种测试并弥补的方式运行,在漏洞被利用之前发现它,不管是在实时处理时还是在事后取证上。
网络中控制系统和监视系统在现实生活的安全系统中也有相应的映射。如机场,控制系统就是机场入口的检票官.他可以限制只有持票者可以进入,然而仅有检票官的安全系统是很不够的,很显然,持票者很可能带有危险物。监视系统如金属探测器和x光探测器等则可以提供持票者所带物品的详细情况,由于这些信息,控制系统在允许一个人进入之前可供考虑的因素就更丰富了,从而提高了安全系统的效率.安全系统在有监视系统和控制系统组合的情况下远比仅有控制系统要安全。网络安全体系亦如此.必须有监视系统和控制系统组成,网络中基本的控制系统是防火墙以及路由器,访问控制表和用户许可表,而网络中基本的监
16网络安全与入侵检测系统
视系统是入侵检测系统和漏洞扫描系统。入侵检测系统是近十多年来发展起来的新一代动态安全防范技术,它通过对计算机网络或系统中若干关键点数据的收集,并对其进行分析,从而发现是否有违反安全策略的行为和被攻击的迹象。
入侵检测系统监控网络中的数据流来发现来自各方各面的攻击,其提供的信息有以下三点作用:
●提高防火墙的效率:
●提供调整安全策略的参数;
●为安全管理员提供作决定的信息。
而且入侵检测系统能知道是谁在攻击当前的网络。当将网络入侵检测系统的探测器置于内部网的周边或防火墙之外时,它能很有效地揭示针对内部网络的攻击的本质。也就是说,如果有黑客针对企业内部网络,甚至防火墙本身进行攻击时,入侵检测系统能及时地提醒您,并告知攻击的来源。
入侵检测系统能知道网络是如何被攻击的。例如如果有人获取了服务器的特定权限,我们就需要知道他们是如何获得的,以防止它再次发生。优秀的入侵检测系统能提供攻击的特征描述,甚至包括按键的回放,这样有助于安全专家分析攻击过程,由此得出系统或配置的漏洞,从而防止再次受到同样的攻击。
入侵检测系统能知道企业内部网络中的威胁源。防呔墙的功能是阻止外部网络对内部网络的访问,而在网络中安置入侵检测系统,就能够发现来自于内部网络的未授权用户的访问,发现威胁是来自于一般员工的误操作,还是不满员工的刻意行为或者是hacker的非授权访问。入侵检测系统可以放置于任何关键区域中或者在防火墙内部的边界上。
入侵检测系统能减轻重要网段或关键服务器所受的威胁。将网络入侵检测系统的探测器配置在特定的敏感网段中,或者将基于主机的入侵检测系统安放于关键服务器中,偶然的或可疑的威胁将通过入侵检测系统来验证,攻击和非授权行为能被及时地发现,先进的安全组件互动机制还能修改安全策略来阻止进~步的攻击,这使安全风险得到有效的控制和减轻。
入侵检测系统能取得起诉用的法律证据。电子证据已经日渐成为一种新的证据形式并被逐步接受,网络入侵检测系统的信息提供了网络行为的视图,它通过从多个点收集的标准化的数据.不仅用于事件关联和发现攻击.也可用于行为跟踪。隐藏在旁路的入侵检测系统往往不容易被黑客发现而删除记录.其中保存完好的数据往往是作为法庭起诉的有力证据。
网络安全体系中,入侵检测系统是其它技术和工具无法替代的。正如“门锁(firewall)被撬,再加一把锁往往于事无补。”一样,网络安全需要多种技术和方法来共同保证。
网络安全与人侵检测系统
行调整,以阻挡对主机的入侵,如CiscoSecureIDS洲etRanger)、ISSRealSecure和CAeTrustIntrusionDeteetion等。
?入侵检测系统的管理支持SNMP及通用网管系统。如CAeTrustIntrusionDetection和AxentNetProwler/IntrusionAlert。
●数据挖掘:增加噪声的攻击手段的使用,以及DOs攻击,有必要采用数据挖
掘的方法从大量的信息中提取有威胁的、隐蔽的入侵行为。
1传统的网络包检测
2网络节点检测
3实时的主机事件记录
4集中式监控
5数据关联与融台
图3-1检测类型
通过对以上产品分析,我们发现实际中以下几点值得讨论:
f1)异常捡测(anomalydetection)的问题
异常检测是根据入侵攻击活动与系统(或用户)的正常活动之间存在偏差来检测入侵。通过对系统审计数据的分析建立起系统主体(单个用户、一组用户、主机甚至是系统中的某个关键的程序和文件等)的正常行为特征轮廓(Profile),如果系统中的审计数据与已建立的主体正常行为特征有较大出入,就认为系统遭到入侵。通过上述的简要统计我们发现当前的入侵检测系统几乎全是采用误用检钡lJ(misusedetection)的方法,即通过收集入侵攻击特征和系统缺陷的相关知识来构成入侵检测系统中的知识库,然后利用这些知识寻找攻击行为。理想中的异常检测方法能根据特征轮廓自动区分不同的用户和行为,但实际的情况是在多数环境下用户的行为过于的随机而且易受外界的影响,这导致行为模型不可能包括所有的正常行为,直接的结果是异常检测误报率高,因此实际的应用还需要进一步的研究。
(2)自动响应的问题
在理论的研究中,入侵检测系统的自动响应能力被认为是阻止入侵行为的必要条件,有些观点甚至认为没有自动响应能力的入侵检测系统是无价值的,但实
第9章入侵检测系统 1. 单项选择题 1)B 2)D 3)D 4)C 5)A 6)D 2、简答题 (1)什么叫入侵检测,入侵检测系统有哪些功能? 入侵检测系统(简称“IDS”)就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。 入侵检测系统功能主要有: 识别黑客常用入侵与攻击手段 监控网络异常通信
鉴别对系统漏洞及后门的利用 完善网络安全管理 (2)根据检测对象的不同,入侵检测系统可分哪几种? 根据检测对象的不同,入侵检测系统可分为基于主机的入侵检测基于网络的入侵检测、混合型三种。主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源。主机型入侵检测系统保护的一般是所在的系统。网络型入侵检测系统的数据源是网络上的数据包。一般网络型入侵检测系统担负着保护整个网段的任务。混合型是基于主机和基于网络的入侵检测系统的结合,它为前两种方案提供了互补,还提供了入侵检测的集中管理,采用这种技术能实现对入侵行为的全方位检测。 (3)常用的入侵检测系统的技术有哪几种?其原理分别是什么? 常用的入侵检测系统的技术有两种,一种基于误用检测(Anomal Detection),另一种基于异常检测(Misuse Detection)。 对于基于误用的检测技术来说,首先要定义违背安全策略事件的特征,检测主要判别这类特征是否在所收集到的数据中出现,如果检测到该行为在入侵特征库中,说明是入侵行为,此方法非常类似杀毒软件。基于误用的检测技术对于已知的攻击,它可以详细、准确的报告出攻击类型,但是对未知攻击却效果有限,而且知识库必须不断更新。 基于异常的检测技术则是先定义一组系统正常情况的数值,如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出),然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的正常情况。异常检测只能识别出那些与正常过程有较
第八章入侵检测系统 第一节引言 通过电子手段对一个组织信息库的恶意攻击称为信息战(information warfare)。攻击的目的可能干扰组织的正常活动,甚至企图对组织的信息库造成严重的破坏。对信息战的各种抵抗措施都可归结为三类:保护、检测、响应。 保护 (入侵的防范)指保护硬件、软件、数据抵御各种攻击的技术。目前各种网络安全设施如防火墙及VPN,各种加密技术,身份认证技术,易攻击性扫描等都属于保护的范围之内,它们是计算机系统的第一道防线。 检测 (入侵的检测)研究如何高效正确地检测网络攻击。只有入侵防范不足以保护计算机的安全,任何系统及协议都不可避免地存在缺陷,可能是协议本身也可能是协议的实现,还有一些技术之外的社会关系问题,都能威胁信息安全。因此即使采用这些保护措施,入侵者仍可能利用相应缺陷攻入系统,这意味着入侵检测具有其他安全措施所不能代替的作用。 响应 (入侵的响应)是入侵检测之后的处理工作,主要包括损失评估,根除入侵者留下的后门,数据恢复,收集入侵者留下的证据等。这三种安全措施构成完整的信息战防御系统。 入侵检测(Intrusion Detection,ID)是本章讨论的主题之一,它通过监测计算机系统的某些信息,加以分析,检测入侵行为,并做出反应。入侵检测系统所检测的系统信息包括系统记录,网络流量,应用程序日志等。入侵(Intrusion)定义为未经授权的计算机使用者以及不正当使用(misuse)计算机的合法用户(内部威胁),危害或试图危害资源的完整性、保密性、可用性的行为。入侵检测系统(Intrusion Detection System,IDS)是实现入侵检测功能的硬件与软件。入侵检测基于这样一个假设,即:入侵行为与正常行为有显著的不同,因而是可以检测的。入侵检测的研究开始于20世纪80年代,进入90年代入侵检测成为研究与应用的热点,其间出现了许多研究原型与商业产品。 入侵检测系统在功能上是入侵防范系统的补充,而并不是入侵防范系统的替代。相反,它与这些系统共同工作,检测出已经躲过这些系统控制的攻击行为。入侵检测系统是计算机系统安全、网络安全的第二道防线。 一个理想的入侵检测系统具有如下特性: ?能以最小的人为干预持续运行。 ?能够从系统崩溃中恢复和重置。 ?能抵抗攻击。IDS必须能监测自身和检测自己是否已经被攻击者所改变。
(19)中华人民共和国国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 201910288349.2 (22)申请日 2019.04.11 (71)申请人 鸿秦(北京)科技有限公司 地址 100085 北京市海淀区上地九街9号9 号2层207 (72)发明人 张涛 周洋 赵琨 陈财森 应书皓 苏绍帆 (74)专利代理机构 北京世誉鑫诚专利代理事务 所(普通合伙) 11368 代理人 孙国栋 (51)Int.Cl. H04L 29/06(2006.01) H04L 12/24(2006.01) G06N 3/08(2006.01) G06N 3/04(2006.01) (54)发明名称 一种基于对抗模型的网络入侵检测方法及 装置 (57)摘要 本发明属于网络行为分析和安全技术领域, 尤其为一种基于对抗模型的网络入侵检测方法 及装置,包括以下步骤:S1、通过大量的数据收 集,获取大量的个人上网行为数据,给它们做好 标签,分类存放;S2、数据集的划分真实数据和生 成数据两个部分,并对生成的最后模型进行论证 比较分析;S3、对于其中的数据进行清洗和整理, 寻找时间序列的关系;能够作用于网络异常行为 入侵检测时,可对网络行为做出判断与预测,分 类得到精准的行为标签,并且通过实时跟踪,对 被分类为存在异常行为的后续动作实时跟踪,判 断模型的准确性,通过建立对抗神经网络模型, 模拟异常行为的发生,对判断器模型进行不断的 优化和改进, 达到较高的判断准确率。权利要求书1页 说明书6页 附图3页CN 110012019 A 2019.07.12 C N 110012019 A
1.1 入侵检测部署方案 1.1.1需求分析 利用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安全的网络保护,降低了网络安全风险,但是入侵者可寻找防火墙背后可能敞开的后门,或者入侵者也可能就在防火墙内。通过部署安全措施,要实现主动阻断针对信息系统的各种攻击,如病毒、木马、间谍软件、可疑代码、端口扫描、DoS/DDoS等,能防御针对操作系统漏洞的攻击,能够实现应用层的安全防护,保护核心信息资产的免受攻击危害。 针对网络的具体情况和行业特点,我们得到的入侵检测的需求包括以下几个方面: ●入侵检测要求 能够对攻击行为进行检测,是对入侵检测设备的核心需求,要求可以检测的种类包括:基于特征的检测、异常行为检测(包括针对各种服务器的攻击等)、可移动存储设备检测等等。 ●自身安全性要求 作为网络安全设备,入侵检测系统必须具有很高的安全性,配置文件需要加密保存,管理台和探测器之间的通讯必须采用加密的方式,探测器要可以去除协议栈,并且能够抵抗各种攻击。 ●日志审计要求 系统能对入侵警报信息分类过滤、进行统计或生成报表。对客户端、服务器端的不同地址和不同服务协议的流量分析。可以选择不同的时间间隔生成报表,反映用户在一定时期内受到的攻击类型、严重程度、发生频率、攻击来源等信息,使管理员随时对网络安全状况有正确的了解。可以根据管理员的选择,定制不同形式的报表。 ●实时响应要求
当入侵检测报警系统发现网络入侵和内部的违规操作时,将针对预先设置的规则,对事件进行实时应急响应。根据不同级别的入侵行为能做出不同方式告警,用以提醒管理人员及时发现问题,并采取有效措施,控制事态发展。报警信息要分为不同的级别:对有入侵动机的行为向用户显示提示信息、对严重的违规现象实行警告通知、对极其危险的攻击可通过网管或者互动防火墙进行及时阻断、以及向安全管理中心报告。另外,必须在基于规则和相应的报警条件下,对不恰当的网络流量进行拦截。 联动要求 入侵检测系统必须能够与防火墙实现安全联动,当入侵检测系统发现攻击行为时,能够及时通知防火墙,防火墙根据入侵检测发送来的消息,动态生成安全规则,将可疑主机阻挡在网络之外,实现动态的防护体系!进一步提升网络的安全性。 1.1.2方案设计 网络入侵检测系统位于有敏感数据需要保护的网络上,通过实时侦听网络数据流,寻找网络违规模式和未授权的网络访问尝试。当发现网络违规行为和未授权的网络访问时,网络监控系统能够根据系统安全策略做出反应,包括实时报警、事件登录,或执行用户自定义的安全策略等。 入侵检测系统可以部署在网络中的核心,这里我们建议在网络中采用入侵检测系统,监视并记录网络中的所有访问行为和操作,有效防止非法操作和恶
浅谈网络安全中入侵检测技术的应用 摘要:信息社会的不断进步与发展,网络给人们带来了前所未有的便利,同时 也带来了全新的挑战。在网络安全问题备受关注的影响下,极大地促进了入侵检 测技术的应用与实施。通过入侵检测技术的应用,可以切实维护好计算机网络的 安全性与可靠性,避免个人信息出现泄漏、盗窃现象。本文主要阐述了入侵检测 技术,然后针对入侵检测技术在网络安全中的应用进行了研究,以供相关人士的 借鉴。 关键词:网络;安全;入侵检测技术;应用 目前,入侵检测技术在网络安全中得到了广泛的应用,发挥着不可比拟的作 用和优势,已经成为了维护网络安全的重要保障。在实际运行中,威胁网络安全 的因素比较多,带给了网络用户极大的不便。因此,必须要加强入侵检测技术的 应用,对计算机中的数据信息进行加密与处理,确保网络用户个人信息的完整性,创建良好的网络安全环境,更好地提升网络用户对网络的满意度。 1入侵检测技术的简述 1.1入侵检测的概述 入侵检测技术,是一种对计算机网络的程序进行入侵式的检测的先进技术, 它作为网络安全中第二道防线,起到保护计算机网络安全的作用。入侵检测是通 过收集与分析安全日志、行为、审计和其他可获得的信息以及系统的关键信息, 以此检测出计算机网络中违反安全策略的行为和受攻击的对象的一个工作过程。 它开展保护工作的过程具体可分为:监视、分析网络用户和网络系统活动;网络 安全系统构造和弱点的审查评估;认定反映已知进攻活动并作出警示警告;网络 系统异常行为的统计和分析4个步骤。入侵检测技术能够同时完成实时监控内部 攻击、外部攻击和错误操作的任务,把对网络系统的危害阻截在发生之前,并对 网络入侵作出响应,是一种相对传统的被动静态网络安全防护技术提出的一种积 极动态网络安全防护技术。 1.2入侵检测技术的特性 入侵检测技术基本上不具有访问控制的能力,这一技术就像拥有多年经验的 网络侦查员,通过对数据的分析,从数据中过滤可疑的数据包,将正常使用方式 与已知的入侵方式进行比较,来确定入侵检测是否成功。网络安全管理员根据这 些判断,就可以确切地知道所受到的攻击,并采取相应的措施来解决这一问题。 入侵检测系统是网络安全管理员经验积累的一种体现,减轻了网络安全管理员的 负担,降低了网络安全管理员的技术要求,并且提高了电力信息网络安全管理的 有效性和准确性。其功能有:①监视用户和系统的功能,查找非法用户合合法用户的越权操作。②审计系统配置的正确性和安全漏洞,并提示管理员修补后动。③对用户的非正常活动进行统计分析,发现入侵行为的规律。④操作系统的审 计跟踪管理,能够实时地对检测到的入侵行为进行反应,检查系统程序和数据的 一致性与正确性。 1.3入侵检测技术的流程 具体如下图1所示。现如今网络安全问题已经引起了社会各界人士的广泛关注,如何在发挥计算机数据库功能的同时避免其遭受病毒的侵袭,需要技术人员 给予足够的重视,不断提高自身的技术水平,了解入侵检测技术原理并实现技术 的合理使用,最为关键的是要严格按照应用流程进行操作,具体操作要点包括如 下几个步骤:①攻击者可以先通过某种方式在网络上注入网络攻击行为;②如果攻
网络入侵检测原理与技术 摘要:计算机网络技术的发展和应用对人类生活方式的影响越来越大,通过Internet人们的交流越来越方便快捷,以此同时安全问题也一直存在着,而人们却一直未给予足够的重视,结果连接到Internet上的计算机暴露在愈来愈频繁的攻击中,基于计算机、网络的信息安全问题已经成为非常严重的问题。 关键词:入侵检测;入侵检测系统;入侵检测系统的原理、方法、技术 一、网络入侵及其原因 简单来说,网络安全问题可以分为两个方面: 1)网络本身的安全; 2)所传输的信息的安全。 那么,我们之所以要进行网络入侵检测,原因主要有以下几个:1)黑客攻击日益猖獗 2)传统安全产品存在相当多的问题 二、入侵检测原理、方法及技术 1、入侵检测概念 入侵检测是指对潜在的有预谋的未经授权的访问信息、操作信息以及致使系统不可靠、不稳定或者无法使用的企图的检测和监视。它是对安全保护的一种积极主动地防御策略,它从计算机网络系统中的若干关键点收集信息,并进行相应的分析,以检查网路中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后第二道安全闸门,在不影响网路性能的前提下对网络进行监测,从而提供对内外部攻击和误操作的实时保护。 2、入侵检测模型
3、入侵检测原理 根据入侵检测模型,入侵检测系统的原理可以分为以下两种: 1)异常检测原理 该原理根据系统或者用户的非正常行为和使用计算机资源的非正常情况来检测入侵行为。 异常检测原理根据假设攻击和正常的活动的很大的差异来识别攻击。首先收集一段正常操作的活动记录,然后建立代表用户、主机或网络连接的正常行为轮廓,再收集事件数据同时使用一些不同的方法来决定所检测到的事件活动是否正常。 基于异常检测原理的入侵检测方法和技术主要有以下几种方法: a)统计异常检测方法; b)特征选择异常检测方法; c)基于贝叶斯推理异常的检测方法; d)基于贝叶斯网络异常检测方法; e)基于模式预测异常检测方法。 其中比较成熟的方法是统计异常检测方法和特征选择异常检测方法,对这两种方法目前已有由此而开发成的软件产品面市,而其他方法都还停留在理论研究阶段。 异常检测原理的优点:无需获取攻击特征,能检测未知攻击或已知攻击的变种,且能适应用户或系统等行为的变化。 异常检测原理的缺点:一般根据经验知识选取或不断调整阈值以满足系统要求,阈值难以设定;异常不一定由攻击引起,系统易将用户或系统的特殊行为(如出错处理等)判定为入侵,同时系统的检测准确性受阈值的影响,在阈值选取不当时,会产生较多的检测错误,造成检测错误率高;攻击者可逐渐修改用户或系统行为的轮廓模型,因而检测系统易被攻击者训练;无法识别攻击的类型,因而难以采取适当的措施阻止攻击的继续。 2)误用检测原理 误用检测,也称为基于知识或基于签名的入侵检测。误用检测IDS根据已知攻击的知识建立攻击特征库,通过用户或系统行为与特征库中各种攻击模式的比较确定是否发生入侵。常用的误用检测方法和技术主要有: a)基于专家系统的检测方法; b)基于状态转移分析的检测方法; c)基于条件的概率误用检测方法; d)基于键盘监控误用检测方法; e)基于模型误用检测方法。 误用检测技术的关键问题是:攻击签名的正确表示。误用检测是根据攻击签名来判断入侵的,如何用特定的模式语言来表示这种攻击行为,是该方法的关键所在。尤其攻击签名必须能够准确地表示入侵行为及其所有可能的变种,同时又不会把非入侵行为包含进来。由于大部分的入侵行为是利用系统的漏洞和应用程序的缺陷进行攻击的,那么通过分析攻击过程的特征、条件、排列以及事件间的关系,就可具体描述入侵行为的迹象。 4、入侵检测方法 1)基于概率统计的检测 该方法是在异常入侵检测中最常用的技术,对用户行为建立模型并根据该模型,当发现出现可疑行为时进行跟踪,监视和记录该用户的行为。优越性在于理论成熟,缺点是匹配用
网络安全之入侵检测技 术 Revised as of 23 November 2020
网络安全之入侵检测技术 标签: 2012-07-31 14:07 中国移动通信研究院卢楠 摘要:入侵检测技术作为网络安全中的一项重要技术已有近30年的发展历史,随着中国移动网络的开放与发展,入侵检测系统(IDS)也逐渐成为保卫中国移动网络安全不可或缺的安全设备之一。在入侵检测技术发展过程中,逐步形成了2类方法、5种硬件架构,不同的方法与架构都存在其优势与不足。本文基于入侵检测的应用场景,对现有的主流技术原理、硬件体系架构进行剖析;详细分析IDS产品的测评方法与技术,并介绍了一个科学合理、方便操作的IDS测评方案。最后,从应用需求出发分析入侵检测技术的未来发展趋势。 1、背景 目前,互联网安全面临严峻的形势。因特网上频繁发生的大规模网络入侵和计算机病毒泛滥等事件使很多政府部门、商业和教育机构等都受到了不同程度的侵害,甚至造成了极大的经济损失。 随着互联网技术的不断发展,网络安全问题日益突出。网络入侵行为经常发生,网络攻击的方式也呈现出多样性和隐蔽性的特征。当前网络和信息安全面临的形势严峻,网络安全的主要威胁如图1所示。
图1 目前网络安全的主要威胁 说到网络安全防护,最常用的设备是防火墙。防火墙是通过预先定义规则并依据规则对访问进行过滤的一种设备;防火墙能利用封包的多样属性来进行过滤,例如:来源 IP 、来源端口号、目的 IP 地址或端口号、(如 WWW 或是 FTP)。对于目前复杂的网络安全来说,单纯的防火墙技术已不能完全阻止网络攻击,如:无法解决木马后门问题、不能阻止网络内部人员攻击等。据调查发现,80%的网络攻击来自于网络内部,而防火墙不能提供实时入侵检测能力,对于病毒等束手无策。因此,很多组织致力于提出更多更强大的主动策略和方案来增强网络的安全性,其中一个有效的解决途径就是入侵检测系统IDS(Intrusion Detection Systems)。 2、入侵检测技术发展历史 IDS即入侵检测系统,其英文全称为:Intrusion Detection System。入侵检测系统是依照一定的安全策略,通过软件和硬件对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或攻击结果,以保证网络系统资源的机密性、完整性和可用性。IDS通用模型如图2所示。
基于神经网络的网络入侵检测 本章从人工神经网络的角度出发,对基于神经网络的网络入侵检测系统展开研究。在尝试用不同的网络结构训练和测试神经网络后,引入dropout层并给出了一种效果较好的网络结构。基于该网络结构,对目前的神经网络训练算法进行了改进和优化,从而有效避免了训练时出现的过拟合问题,提升了训练效率。 4.1 BP神经网络相关理论 本章从学习算法与网络结构相结合的角度出发,神经网络包括单层前向网络、多层前向网络、反馈神经网络、随机神经网络、竞争神经网络等多种类型。构造人工神经网络模型时主要考虑神经元的特征、网络的拓补结构以及学习规则等。本文选择反向传播神经网络(Back Propagation Neural Network, BPNN)作为基本网络模型。 BP神经网络是一种通过误差逆传播算法训练的多层前馈神经网络,是目前应用最广泛的神经网络模型形式之一。网络中每一层的节点都只接收上一层的输出,而每一层节点的输出都只影响下一层的输入,同层节点之间没有交互,相邻两层节点之间均为全连接模式。BP神经网络在结构上分为输入层、隐含层与输出层三部分,其拓扑结构如图4-1所示。 图4-1 BP神经网络拓扑结构 Figure 4-1 Topological Structure of BP Neural Network
这里隐含层既可以是一层也可以是多层,数据在输入后由隐含层传递到输出层,通过各层的处理最终得到输出结果。 传统的BP网络算法可分为两个过程:神经网络中信号的前向传播和误差函数的反向传播。算法在执行时会不断调整网络中的权值和偏置,计算输出结果与期望结果之间的误差,当误差达到预先设定的值后,算法就会结束。 (1)前向传播 隐含层第J个节点的输出通过式(4-1)来计算: (4-1) 式中ωij代表输入层到隐含层的权重,αj代表输入层到隐含层的偏置,n 为输入层的节点个数,f(.)为激活函数。输出层第k个节点的输出通过式(4-2)来计算: (4-2) 式中ωjk代表隐含层到输出层的权重,bk代表隐含层到输出层的偏置,l为隐含层的结点个数。 根据实际输出与期望输出来计算误差,见式(4-3)。 (4-3) 式中(Yk-Ok)用ek来表示,Yk代表期望输出,m为输出层的结点个数。 当E不满足要求时,就会进入反向传播阶段。 (2)反向传播 反向传播是从输出到输入的传播过程。从式((4-1)至式(4-3 )中,可以发现网络误差E是与各层权值和偏置有关的函数,所以如果想减小误差,需要对权值和偏置进行调整。一般采取梯度下降法反向计算每层的权值增量,令权值的变化量同误差的负梯度方向成正相关,调整的原则是令误差沿负梯度方向不断减少。权值的更新公式见式(4-4),偏置的更新公式见式(4-5)。
测评中心控制编号:BJ-4122-08 / 修改记录:第0次 编号:BC-2012-1019/19 重要信息系统安全等级测评 现场检测表 被测单位名称: 被测系统名称: 测试对象编号: 测试对象名称: 配合人员签字: 测试人员签字: 核实人员签字: 测试日期: 测评中心 测试类别等级测评(二级) 测试对象 测试类网络安全 测试项安全审计 测试要求: 1.应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录; 2.审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他和审计相关的信 息。 测试内容: 1.应访谈安全审计员,询问边界和关键网络设备是否开启审计功能,审计内容包括哪些项;询 问审计记录的主要内容有哪些; 2.应检查边界和关键网络设备,查看其审计策略是否包括网络设备运行状况、网络流量、用户 行为等; 3.应检查边界和关键网络设备,查看其事件审计记录是否包括:事件的日期和时间、用户、事 件类型、事件成功情况及其他和审计相关的信息。
1.入侵检测设备是否启用系统日志功能? □否□是 2.网络中是否部署网管软件? □否□是,软件名称为:________________ 3.日志记录是否包括设备运行状况、网络流量、用户行为等? □否□是 4.日志审计内容包括: □时间 □类型 □用户 □事件类型 □事件是否成功 □其他_________ 备注: 测试类别等级测评(二级) 测试对象 测试类网络安全 测试项入侵防范 测试要求: 1)能在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、 缓冲区溢出攻击、IP 碎片攻击、网络蠕虫攻击等入侵事件的发生。 测试内容: 1)访谈安全管理员,询问网络入侵防范措施有哪些;询问是否有专门设备对网络入侵进行防范; 2)评测网络入侵防范设备,查看是否能检测以下攻击行为:端口扫描、强力攻击、木马后门攻 击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等; 3)评测网络入侵防范设备,查看其规则库是否为最新; 4)测试网络入侵防范设备,验证其检测策略是否有效。
第9章入侵检测系统1. 单项选择题 1) B 2) D 3) D 4) C 5) A 6) D 2、简答题 (1)什么叫入侵检测,入侵检测系统有哪些功能? 入侵检测系统(简称“IDS”)就是依照一定的,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。 入侵检测系统功能主要有: ●识别黑客常用入侵与攻击手段 ●监控网络异常通信 ●鉴别对系统漏洞及后门的利用 ●完善网络安全管理 (2)根据检测对象的不同,入侵检测系统可分哪几种? 根据检测对象的不同,入侵检测系统可分为基于主机的入侵检测基于网络的入侵检测、混合型三种。主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源。主机型入侵检测系统保护的一般是所在的系统。网络型入侵检测系统的数据源是网络上的数据包。一般网络型入侵检测系统担负着保护整个网段的任务。混合型是基于主机和基于网络的入侵检测系统的结合,它为前两种方案提供了互补,还提供了入侵检测的集中管理,采用这种技术能实现对入侵行为的全方位检测。 (3)常用的入侵检测系统的技术有哪几种?其原理分别是什么? 常用的入侵检测系统的技术有两种,一种基于误用检测(Anomal Detection),另一种基于异常检测(Misuse Detection)。 对于基于误用的检测技术来说,首先要定义违背安全策略事件的特征,检测主要判别这类特征是否在所收集到的数据中出现,如果检测到该行为在入侵特征库中,说明是入侵行为,此方法非常类似杀毒软件。基于误用的检测技术对于已知的攻击,它可以详细、准确的报告出攻击类型,但是对未知攻击却效果有限,而且知识库必须不断更新。 基于异常的检测技术则是先定义一组系统正常情况的数值,如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出),然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的正常情况。
止管理主机被攻击者攻破后用来作为发起攻击的“跳板”;对所有出入系统的连接进行日志记录。 3.3系统VPN 的合理设计 使用VPN ,可以在电子政务系统所连接不同的政府部门 之间建虚拟隧道,使得两个政务网之间的相互访问就像在一个专用网络中一样。使用VPN ,可以使政务网用户在外网就象在内网一样地访问政务专用网的资源。使用VPN ,也可以实现政务网内特殊管理的需要。VPN 的建立有3种方式:一种是 Internet 服务商(ISP )建设,对企业透明;第二种是政府部门自 身建设,对ISP 透明;第三种是ISP 和政府部门共同建设。 在政务网的基础上建立VPN ,第二种方案比较合适,即政府部门自身建设,对ISP 透明。因为政务网是地理范围在政务网内的计算机网络,它有运行于Internet 的公网IP 地址,有自己的路由设备,有自己的网络管理和维护机构,对政务网络有很强的自主管理权和技术支持。所以,在政务网基础上建立 VPN ,完全可以不依赖于ISP ,政府部门自身进行建设。这样可 以有更大的自主性,也可以节省经费。 3.4其他信息安全技术的使用 此外,电子政务系统的安全性可以采用如下的措施加以保 证:控制对网络设备的SNMP 和telnet ,在所有的骨干路由器上建立access-list 只对网管中心的地址段做permit ,即通过网管中心的主机才能远程维护各骨干路由设备;路由协议在不安全的端口上进行Passive 防止不必要的路由泄露;将所有重要事件进行纪录通过日志输出;采用防火墙设备对政务局域网进行保护。 参考文献:[1]陈昊潭.试论黄委基层电子政务建设中存在的问题及对策[J ].办公自动化,2009(10). [2]张艳.电子政务系统中的数据安全技术研究[J ].现代计算机(专业版),2009(8). [3] 江琴.浅谈电子政务信息的安全管理[J ].科技资讯,2009(25). (责任编辑:卓 光) 网络入侵检测技术综述 姚丽娟 (长江水利委员会网络与信息中心,湖北武汉430010) 摘 要:随着网络技术飞速发展和网络规模的不断扩大,网络安全已经成为全球性的重要问题之一。概述了网络入 侵检测技术的发展历史及其通用模型,对入侵检测系统的分类和入侵检测的方法进行了分析,讨论了该领域尚存在的问题。 关键词:网络攻击;入侵检测;网络安全中图分类号:TP393.08 文献标识码:A 文章编号:1672-7800(2010)06-0160-03 1入侵检测的概念、原理和模型 “入侵”是个广义的概念,不仅包括发起攻击的人取得超出 合法范围的系统控制权,也包括收集漏洞信息,造成拒绝服务访问(DoS )等对计算机造成危害的行为。早在上世纪80年代初期,Anderson 将入侵定义为:未经授权蓄意尝试访问信息、篡改信息、使系统不可靠或不能使用。美国国际计算机安全协会对入侵检测的定义是:入侵检测是通过从计算机网络或计算机 系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击迹象的一种安全技术。 从系统构成上看,人侵检测系统至少包括数据提取、人侵分析、响应处理3部分。数据提取是入侵检测系统的数据采集器,负责提取反映受保护系统运行状态的运行数据,并完成数据的过滤和预处理。人侵分析是核心模块,负责对原始数据进行同步、整理、组织、分类、特征提取以及各种细致分析。 最早的入侵检测模型是由Denning 给出的,该模型主要根 软件导刊 Software Guide 第9卷%第6期 2010年6月Vol.9No.6Jun.2010 作者简介:姚丽娟(1983-),女,湖北武汉人,长江水利委员会网络与信息中心助理工程师,研究方向为网络通讯。
第9卷第2期浙江工贸职业技术学院学报V ol.9 No.2 2009年6月JOURNAL OF ZHEJIANG INDUSTRY&TRADE VOCATIONAL COLLEGE Jun.2009 【安全生产】入侵检测技术和防火墙结合的网络安全探讨 xxxx年xx月xx日 xxxxxxxx集团企业有限公司 Please enter your company's name and contentv
入侵检测技术和防火墙结合的网络安全探讨 陈珊陈哲* (浙江工贸职业技术学院,温州科技职业学院,浙江温州325000) 摘要:本文指出了目前校园网络安全屏障技术存在的问题,重点分析了IDS与防火墙结合互动构建校园网络安全体系的技术优势,并对IDS与防火墙的接口设计进行了分析研究。 关键词:防火墙;网络安全;入侵检测 中图文分号:TP309 文献标识码:A文章编号:1672-0105(2009)02-0061-05 The Discussion of Security Defence Based on IDS and Firewall Chen Shan, Chen Zhe (Zhejiang Industrial&Trade Polytechnic, Wenzhou Science and Technology Vocaitional College,Wenzhou Zhejiang 325000) Abstract: This essay points out the problem in current security defence technology of campus network, which focuses on the technology advantages of combine and interaction of firewall and IDS (Intrusion Detection System) to build 120 campus network security system, and it also analyses and studies the interface design of firewall and IDS. Key Words: Firewall; Network Security; IDS (Intrusion Detection Systems) 随着国际互联网技术的迅速发展,校园网络在我们的校园管理、日常教学等方面正扮演着越来越重要的角色,为了保护学校内部的机密信息(如人事安排、档案、在研课题、专利、纪检报告等),保证用户正常访问,不受网络黑客的攻击,病毒的传播,校园网必须加筑安全屏障,因此,在现有的技术条件下,如何构建相对可靠的校园网络安全体系,就成了校园网络管理人员的一个重要课题。 一、目前校园网络安全屏障技术存在的问题 一)防火墙技术的的缺陷 防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,它越来越多被地应用于校园网的互联环境中。是位于两个信任程度不同的网络之间(如校园网与Internet之间)的软件或硬件设备的组合,它对网络之间的通信进行控制,通过强制实施统一的安全策略,防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。但也必须看到,作为一种周边安全机制,防火墙无法监控内部网络,仅能在应用层或网络层进行访问控制,无法保证信息(即通信内容)安全,有些安全威胁是 *收稿日期:2009-3-9 作者简介:陈珊(1975- ),女,讲师,研究方向:计算机科学。
浅谈网络安全中入侵检测技术的应用 发表时间:2019-02-28T15:08:00.887Z 来源:《基层建设》2018年第36期作者:牛晓娟 [导读] 摘要:信息社会的不断进步与发展,网络给人们带来了前所未有的便利,同时也带来了全新的挑战。 三河发电有限责任公司河北三河 065201 摘要:信息社会的不断进步与发展,网络给人们带来了前所未有的便利,同时也带来了全新的挑战。在网络安全问题备受关注的影响下,极大地促进了入侵检测技术的应用与实施。通过入侵检测技术的应用,可以切实维护好计算机网络的安全性与可靠性,避免个人信息出现泄漏、盗窃现象。本文主要阐述了入侵检测技术,然后针对入侵检测技术在网络安全中的应用进行了研究,以供相关人士的借鉴。 关键词:网络;安全;入侵检测技术;应用 目前,入侵检测技术在网络安全中得到了广泛的应用,发挥着不可比拟的作用和优势,已经成为了维护网络安全的重要保障。在实际运行中,威胁网络安全的因素比较多,带给了网络用户极大的不便。因此,必须要加强入侵检测技术的应用,对计算机中的数据信息进行加密与处理,确保网络用户个人信息的完整性,创建良好的网络安全环境,更好地提升网络用户对网络的满意度。 1入侵检测技术的简述 1.1入侵检测的概述 入侵检测技术,是一种对计算机网络的程序进行入侵式的检测的先进技术,它作为网络安全中第二道防线,起到保护计算机网络安全的作用。入侵检测是通过收集与分析安全日志、行为、审计和其他可获得的信息以及系统的关键信息,以此检测出计算机网络中违反安全策略的行为和受攻击的对象的一个工作过程。它开展保护工作的过程具体可分为:监视、分析网络用户和网络系统活动;网络安全系统构造和弱点的审查评估;认定反映已知进攻活动并作出警示警告;网络系统异常行为的统计和分析4个步骤。入侵检测技术能够同时完成实时监控内部攻击、外部攻击和错误操作的任务,把对网络系统的危害阻截在发生之前,并对网络入侵作出响应,是一种相对传统的被动静态网络安全防护技术提出的一种积极动态网络安全防护技术。 1.2入侵检测技术的特性 入侵检测技术基本上不具有访问控制的能力,这一技术就像拥有多年经验的网络侦查员,通过对数据的分析,从数据中过滤可疑的数据包,将正常使用方式与已知的入侵方式进行比较,来确定入侵检测是否成功。网络安全管理员根据这些判断,就可以确切地知道所受到的攻击,并采取相应的措施来解决这一问题。入侵检测系统是网络安全管理员经验积累的一种体现,减轻了网络安全管理员的负担,降低了网络安全管理员的技术要求,并且提高了电力信息网络安全管理的有效性和准确性。其功能有:①监视用户和系统的功能,查找非法用户合合法用户的越权操作。②审计系统配置的正确性和安全漏洞,并提示管理员修补后动。③对用户的非正常活动进行统计分析,发现入侵行为的规律。④操作系统的审计跟踪管理,能够实时地对检测到的入侵行为进行反应,检查系统程序和数据的一致性与正确性。 1.3入侵检测技术的流程 具体如下图1所示。现如今网络安全问题已经引起了社会各界人士的广泛关注,如何在发挥计算机数据库功能的同时避免其遭受病毒的侵袭,需要技术人员给予足够的重视,不断提高自身的技术水平,了解入侵检测技术原理并实现技术的合理使用,最为关键的是要严格按照应用流程进行操作,具体操作要点包括如下几个步骤:①攻击者可以先通过某种方式在网络上注入网络攻击行为;②如果攻击者的攻击行为已经突破了防火墙,可以应用服务器,评估用户的安全证书;③未发现用户的欺骗验证行为,可以查看SQL语句;④使用传感器向控制台发出警报。 1.4入侵检测技术的工作原理 通过收集计算机系统中的关键信息点,并通过相应软件对计算机系统和网络中是否存攻击进行分析,如果检测到计算机某个系统正在受到网络病毒入侵、身份攻击、拒绝服务攻击,并做出正确的应对。其实入侵检测技术上也就是一种动态安全防护技术,在国际上称之为IDS,主要技术手段是发现计算机网络中存在异常和匹配模式。 1)异常入侵检测 异常入侵检测,是指将用户在使用数据库时所常用的行为特征信息储存到数据库当中,当产生新的数据库使用行为时,系统会自动将当前的使用行为特征与储存好的用户常用数据库使用行为特征相比较,如果两者相差比较大,就说明此次访问行为与平时有明显的不同,即访问出现异常现象。遇到这种现象时系统会自动开启安全防御系统,对异常现象进行处理。异常入侵检测可以适用于大部分的网络安全检测,具有较强的实用性,而且可以在大量数据中慢慢地掌握检测的方法和规则。 2)入侵检测的匹配模式 匹配模式就是把已经收集到的信息和已知网络入侵、系统错误模式数据库等进行对比,及时发现会对计算机网络系统造成侵害的入侵行为,以便制定有效的应对策略。此过程的重点是把所有入侵手段用计算机系统可以识别的模式进行表述,并建立入侵模式数据库。在具体检测过程中,要对收集到的数据特征模式是否在入侵模式库中进行判断,而批评模式的占有系统比较少,仅仅包含集中收集到的数据库,因此匹配成功的概率比较高,基本上不会出现在错报的情况,发展至今匹配模式在入侵检测技术中的应用已经趋于成熟,可以大范围推广使用。其主要缺点升级比较频繁,负责也就难以应对各种新型入侵攻击技术。 2入侵检测技术应用的必要性分析 互联网具备高度的开放性与自由性,而接入网络的计算机体系或软件没有绝对的安全,为确保计算机用户数据与体系的完整性、可用性和保密性,就一定要使用重要的安全防护方法。现阶段常用的安全防护方法有对系统实施完善、对数据实施加密、控制执行访问等。然而就现阶段技术发展来看,第一种方法在技术层面非常难完成;第二种方法短期内能对数据实施保护,然而加密技术自身完成过程中存在一些问题,被破解的可能性比较高;第三种措施会在一定程度上使网络用户的应用效率降低。综合来看,能够运用相对容易完成的安全系
电脑编程技巧与维护 网络入侵检测技术综述 谭兵1。吴宗文2。黄伟 (1.重庆大学软件学院,重庆400044;2.成都军区78098部队装备部,崇州611237) 摘要:入侵检测工作应在计算机网络系统中的关键节点上。介绍入侵检测的基本概念,阐述两类基本的检测技术,详细地论述了入侵检测过程及检测技术面临的挑战与发展趋势。 关键词:入侵检测;异常检测:误用检测 NetworkIntrtmionDetectionTechnology TANⅨn矿,WU历耐.HUANGWei (1.TheSchoolofSoftwareEngineering,ChongqingUniversity,Chongqing400044; 2.Chengdumilitaryregion78098armylogisticsdepartments,Chongzhou611237) Abstract:Theworkinthecomputernetworkintrusiondetectionsystem,akeynode.Thispaperintroducesthebasicconceptsofintrusiondetection,describedtwotypesofbasicdetectiontechnology,intrusiondetectionarediscussedindetail theprocessandtesttechnology challenges andtrends。 Keywords:Intrusiondetection;Anomalydetection;Misusedetection 入侵检测(IntrusionDetection),顾名思义,即是对入侵行为的发觉。它在计算机网络或计算机系统中的若干关键点收集信息,通过对这些信息的分析来发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。违反安全策略的行为有:入侵一非法用户的违规行为;滥用—用户的违规行为。 对于入侵检测的使用,人们总会问这样一个问题。如果已经安装了防火墙,给操作系统打了补丁,并为安全设置了密码,为什么还要检测入侵呢?答案非常简单:因为入侵会不断发生。举个例子,就像人们有时候会忘记锁上窗户,人们有时也会忘记正确的升级防火墙规则设置。 即使在最高级别的保护措施下,计算机系统也不是百分之百的安全。实际上,大多数计算机安全专家认为,既定的用户要求属性,如网络连接,还未能达到成为百分之百安全系统的要求。因此,必须发展入侵检测技术及系统以便及时发现并对计算机攻击行为做出反应。 l入侵检测发展 起初,系统管理员们坐在控制台前监控用户的活动来进行人侵检测。他们通过观察,例如在本地登录的闲置用户或非正常激活的闲置打印机。尽管上述方法不是足够有效的,但这一早期入侵检测模式是临时的且不可升级。 入侵检测的下一步涉及到审计日志。审计日志即系统管理员所记录的非正常和恶意行为。 在上世纪70年代末和80年代初,管理员将审计日志打印在扇形折纸上,平均每周末都能累积四到五英尺高。很明显,要在这一堆纸里进行搜索是相当耗费时间的。由于这类 本文收稿日期:2009—11-12 —110~信息量过于丰富且只能手动分析,所以管理员主要用审计日志作为判据,以便在发生特别安全事件后,确定引起这一事件的原阂。基本上不可能靠它发现正在进行的攻击。 随着存储器价格的降低,审计日志转移到网上且开发出了分析相关数据的程序。然而,分析过程慢且需频繁而密集计算,因此,入侵检测程序往往是在系统用户登录量少的夜间进行。所以,大多数的入侵行为还是在发生后才被检测到。 90年代早期,研究人员开发出了实时入侵检测系统,即对审计数据进行实时评估。由于实现了实时反应,且在一些情况下,可以预测攻击,因此,这就使攻击和试图攻击发生时即可被检测到成为可能。 近年来,很多入侵检测方面的努力都集中在一些开发的产品上,这些产品将被用户有效配置在广大网络中。在计算机环境不断持续变化和无数新攻击技术不断产生的情况下,要使安全方面也不断升级是个非常困难任务[1l。 2分类 目前,入侵检测技术可基本分为3类:异常检测、误用检测和混合检测。异常检测是假定所有入侵行为都是与正常行为不同的;误用检测是根据已知攻击的知识建立攻击特征库,通过用户或系统行为与特征库中的各种攻击模式的比较确定是否有入侵发生;混合检测模型是对异常检测模型和误用检测模犁的综合。文中详细介绍异常检测和误用检测。2.1异常检测模型 异常检测利用用户和应用软件的预期行为。将对正常行为的背离作为问题进行解释。异常检测的一个基本假设就是攻击行为异于正常行为。例如,对特定用户的日常行为(打字和数量)进行非常准确的模拟,假定某用户习惯上午lO点左右登录,看邮件,运行数据库管理,中午到下午i点休息,有极少数文件的存取出现错误等等。如果系统发现相同的用 万方数据