時間:2023-06-01 09:32:14
開篇:寫作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇入侵檢測技術,希望這些內容能成為您創(chuàng)作過程中的良師益友,陪伴您不斷探索和進步。
關鍵詞:入侵;檢測;入侵檢測系統(tǒng);ISS RealSecure
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2008)22-626-02
Intrusion Detection Technology
LI Peng-cheng
(Gaoyou Radio and Television Situation,Yangzhou 225600,China)
Abstract:Intrusion Detection (Intrusion Detection), as its name suggests, that is, the invasion of that. Its computer network or computer systems in a number of key points to collect information, through the analysis of such information to identify the network or system whether there is a breach of security policy and the conduct of the signs of being attacked. For intrusion detection software and hardware combination is the Intrusion Detection System (Intrusion Detection System, called IDS). And other security products different is that the intrusion detection system needs more intelligence, it must be able to get the data for analysis and draw useful results.
Key words:invasion;detection;Intrusion Detection System;ISS RealSecure
1 前言
早期的IDS模型設計用來監(jiān)控單一服務器,是基于主機的入侵檢測系統(tǒng);近期的更多模型則集中用于監(jiān)控通過網(wǎng)絡互連的多個服務器。
2 IDS的任務和作用
1) 監(jiān)視、分析用戶及系統(tǒng)活動;
2) 對系統(tǒng)構造和弱點的審計;
3) 識別和反應已知進攻的活動模式并向相關人士報警;
4) 異常行為模式的統(tǒng)計分析;
5) 評估重要系統(tǒng)和數(shù)據(jù)文件的完整性;
6) 操作系統(tǒng)的審計跟蹤管理,識別用戶違反安全策略的行為。
3 入侵檢測過程
3.1 對信息的收集
1) 系統(tǒng)和網(wǎng)絡日志文件
2) 目錄和文件中的不期望的改變
3) 程序執(zhí)行中的不期望行為
4) 物理形式的入侵信息
3.2 信號分析
1) 模式匹配的方法:模式匹配就是將收集到的信息與已知的網(wǎng)絡入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進行比較,從而發(fā)現(xiàn)違背安全策略的行為。這種分析方法也稱為誤用檢測。該過程可以很簡單(如通過字符串匹配以尋找一個簡單的條目或指令),也可以很復雜(如利用正規(guī)的數(shù)學表達式來表示安全狀態(tài)的變化)。一般來講,一種進攻模式可以用一個過程(如執(zhí)行一條指令)或一個輸出(如獲得權限)來表示。該方法的一大優(yōu)點是只需收集相關的數(shù)據(jù)集合,顯著減少系統(tǒng)負擔,且技術已相當成熟。它與病毒防火墻采用的方法一樣,檢測準確率和效率都相當高。但是,該方法存在的弱點是需要不斷的升級模式庫以對付不斷出現(xiàn)的黑客攻擊手法,不能檢測到從未出現(xiàn)過的黑客攻擊手段。
2) 統(tǒng)計分析的方法:統(tǒng)計分析方法首先給系統(tǒng)對象(如用戶、文件、目錄和設備等)創(chuàng)建一個統(tǒng)計描述,統(tǒng)計正常使用時的一些測量屬性(如訪問次數(shù)、操作失敗次數(shù)和延時等)。測量屬性的平均值將被用來與網(wǎng)絡、系統(tǒng)的行為進行比較,任何觀察值在正常值范圍之外時,就認為有入侵發(fā)生。這種分析方法也稱為異常檢測。例如,統(tǒng)計分析時發(fā)現(xiàn)一個在晚八點至早六點從不登錄的賬戶卻在凌晨兩點突然試圖登錄,系統(tǒng)認為該行為是異常行為。統(tǒng)計分析的優(yōu)點是可檢測到未知的入侵和更為復雜的入侵,缺點是誤報、漏報率高,且不適應用戶正常行為的突然改變。具體的統(tǒng)計分析方法有:基于專家系統(tǒng)的、基于模型推理的和基于神經(jīng)網(wǎng)絡的分析方法。
3) 完整性分析的方法:完整性分析主要關注某個文件或對象是否被更改,這經(jīng)常包括文件和目錄的內容及屬性的變化。完整性分析在發(fā)現(xiàn)被更改的、被特洛伊化的應用程序方面特別有效。完整性分析利用強有力的加密機制(如:消息摘要函數(shù)),能識別哪怕是微小的變化。其優(yōu)點是不管模式匹配方法和統(tǒng)計分析方法能否發(fā)現(xiàn)入侵,只要是成功的攻擊導致了文件或其它對象的任何改變,它都能夠發(fā)現(xiàn)。缺點是一般以批處理方式實現(xiàn),不用于實時響應。盡管如此,完整性檢測方法還是網(wǎng)絡安全產(chǎn)品的重要組成部分。可以在每一天的某個特定時間內開啟完整性分析模塊,對網(wǎng)絡系統(tǒng)進行全面地掃描檢查。
4 入侵檢測系統(tǒng)
4.1 基于主機的入侵檢測系統(tǒng)(圖1)
這種類型的系統(tǒng)依賴于審計數(shù)據(jù)或系統(tǒng)日志的準確性、完整性以及安全事件的定義。若入侵者設法逃避審計或進行合作入侵,則基于主機的檢測系統(tǒng)的弱點就暴露出來了。特別是在現(xiàn)代的網(wǎng)絡環(huán)境下,單獨地依靠主機審計信息進行入侵檢測難以適應網(wǎng)絡安全的需求。
■ ■
圖1基于主機的入侵檢測系統(tǒng) 圖2 基于網(wǎng)絡的入侵檢測系統(tǒng)
這主要表現(xiàn)在以下四個方面:一是主機的審計信息弱點,如易受攻擊,入侵者可通過使用某些系統(tǒng)特權或調用比審計本身更低級的操作來逃避審計。二是不能通過分析主機審計記錄來檢測網(wǎng)絡攻擊。三是IDS的運行或多或少影響服務器性能。四是基于主機的IDS只能對服務器的特定用戶、應用程序執(zhí)行動作、日志進行檢測,所能檢測到的攻擊類型受到限制。
4.2 基于網(wǎng)絡的入侵檢測系統(tǒng)(圖2)
基于網(wǎng)絡的IDS的優(yōu)點是:
1) 服務器平立:基于網(wǎng)絡的IDS監(jiān)視通信流量而不影響服務器平臺的變化和更新。
2) 配置簡單:基于網(wǎng)絡的IDS環(huán)境只需要一個普通的網(wǎng)絡訪問接口。
3) 檢測多種攻擊:基于網(wǎng)絡的IDS探測器可以監(jiān)視多種多樣的攻擊包括協(xié)議攻擊和特定環(huán)境的攻擊,長于識別與網(wǎng)絡低層操作有關的攻擊。
4.3 分布式入侵檢測技術(圖3)
典型的入侵檢測系統(tǒng)是一個統(tǒng)一集中的代碼塊,它位于系統(tǒng)內核或內核之上,監(jiān)控傳送到內核的所有請求。但是,隨著網(wǎng)絡系統(tǒng)結構復雜化和大型化,系統(tǒng)的弱點或漏洞將趨于分布化。另外,入侵行為不再是單一的行為,而是表現(xiàn)出相互協(xié)作的入侵特點,在這種背景下,產(chǎn)生了基于分布式的入侵檢測系統(tǒng)。
5 入侵檢測工具介紹
5.1 ISS BlackICE
BlackICE Server Protection 軟件(以下簡稱BlackICE)是由ISS安全公司出品的一款著名的基于主機的入侵檢測系統(tǒng)。該軟件在九九年曾獲得了PC Magazine的技術卓越大獎。專家對它的評語是:“對于沒有防火墻的家庭用戶來說,BlackICE是一道不可缺少的防線;而對于企業(yè)網(wǎng)絡,它又增加了一層保護措施--它并不是要取代防火墻,而是阻止企圖穿過防火墻的入侵者。BlackICE集成有非常強大的檢測和分析引擎,可以識別多種入侵技巧,給予用戶全面的網(wǎng)絡檢測以及系統(tǒng)的保護。而且該軟件還具有靈敏度及準確率高,穩(wěn)定性出色,系統(tǒng)資源占用率極少的特點。
5.2 ISS RealSecure
RealSecure 2.0 for Windows NT是一種領導市場的攻擊檢測方案,它提供了分布式的安全體系結構。多個檢測引擎可以監(jiān)控不同的網(wǎng)絡并向中央管理控制臺報告。控制臺與引擎之間的通信可以通過128bit RSA進行認證和加密。
RealSecure可以在NT、Solaris、SunOS和Linux上運行,并可以在混合的操作系統(tǒng)或匹配的操作系統(tǒng)環(huán)境下使用。對于一個小型的系統(tǒng),可以將引擎和控制臺放在同一臺機器上運行。一個引擎可以向多個控制臺報告,一個控制臺也可以管理多個引擎。還可以對CheckPoint Software的Firewall-1重新進行配置。ISS還計劃使其能對Cisco的路由器進行重新配置。RelSecure的優(yōu)勢在于其簡潔性和低價格,引擎價格1萬美元,控制臺是免費的。
參考文獻:
關鍵詞:網(wǎng)絡信息;管理;入侵檢測技術
在現(xiàn)代之中,一些非法分子利用木馬進行相應的隱藏,然后通過對于計算機植入木馬,進行一些信息的竊取。現(xiàn)代企業(yè)在面臨網(wǎng)絡非法分子進行信息盜取過程之中,首先應該對于入侵行為有著明確的認識,這就需要現(xiàn)代的入侵檢測技術了,對于入侵行為有著明確的判定,才能真正的展開后續(xù)行動,這對現(xiàn)代網(wǎng)絡信息管理而言十分重要。
1網(wǎng)絡信息管理中入侵檢測技術概述
(1)入侵檢測技術在網(wǎng)絡信息管理之中的作用。如果說現(xiàn)代計算機作為系統(tǒng),那么入侵檢測技術就相當于保安系統(tǒng),對于關鍵信息的儲存位置進行定期檢查和掃描,一旦發(fā)現(xiàn)外來不明用戶杜宇關鍵信息進行查詢,便對使用用戶進行警告,幫助用戶進行入侵行為的相關處理,保障關鍵的信息系統(tǒng)和數(shù)據(jù)信息不會收到損壞和盜竊。入侵檢測技術同樣會對系統(tǒng)之中存在的漏洞進行檢查和通報,對于系統(tǒng)之中的漏洞而言,往往便是入侵行為發(fā)生的位置,所以針對于這些位置進行處理,更為良好的保證整個系統(tǒng)的安全,對于現(xiàn)代企業(yè)網(wǎng)絡系統(tǒng)而言,入侵檢測技術便是保障的第二道鐵閘。
(2)現(xiàn)階段入侵檢測技術的主要流程。通常情況下,入侵檢測技主要可以分為兩個階段。第一個階段便是信息采集,主要便是對于用戶的各種信息使用行為和重要信息進行收集,這些信息的收集主要是通過對于重點信息部位的使用信息進行查詢得出的,所以說在現(xiàn)代應用之中,入侵檢測技術一方面應用了現(xiàn)代的檢測技術,另外一方面也對于多種信息都進行了收集行為,保證了收集信息的準確性;第二個階段便是處理相關信息,通過將收集的信息和過往的信息進行有效對比,然后如果對比出相關錯誤便進行判斷,判斷使用行為是否違背了網(wǎng)絡安全管理規(guī)范,如果判斷結果為肯定,那么便可以認定其屬于入侵行為,對于使用用戶進行提醒,幫助用戶對于入侵行為進行清除。
2現(xiàn)階段入侵檢測技術的使用現(xiàn)狀
(1)網(wǎng)絡信息管理中入侵檢測系統(tǒng)的問題。入侵檢測技術作為一種網(wǎng)絡輔助軟件去,其本身在現(xiàn)階段并不是完善的,自身也存在漏洞。所以說很多非法分子的入侵不僅僅是面對系統(tǒng)的,很多先通過入侵技術的漏洞來進行。針對現(xiàn)階段的使用過程而言,入侵檢測技術仍然存在自身的漏洞危險,也存在主要使用風險。在現(xiàn)階段存在危險的方面主要有兩個方面。一方面便是由于入侵檢測系統(tǒng)存在漏洞;另外一方面便是現(xiàn)代計算機技術的發(fā)展。無論是相關的檢測系統(tǒng)亦或是相關病毒,都是現(xiàn)代編程人員利用C語言進行編程,伴隨著相關編程水平的不斷提高,兩種技術同樣得到了自我發(fā)展,所以說很多黑客高手在現(xiàn)代的入侵行為之中,已經(jīng)不能以舊有的眼光來進行相關分析。所以說新的時期,入侵檢測技術也應該得到自我的發(fā)展,同樣針對于應用網(wǎng)絡的相關企業(yè)做好安全保證,保證信息技術在現(xiàn)代之中的發(fā)展。
(2)現(xiàn)階段網(wǎng)絡信息管理之中入侵檢測技術存在的問題。網(wǎng)絡信息管理之中的入侵檢測技術在現(xiàn)代之中仍然存在問題,同樣是兩個方面問題。一方面是由于入侵技術自身存在漏洞,在現(xiàn)階段很多入侵檢測技術是通過對于入侵行為進行有效的提取,將行為進行歸納,對于行為是否符合現(xiàn)代網(wǎng)絡安全規(guī)范,然后判斷結果是否為入侵。很多時候,入侵行為往往較為隱秘,所以說這就導致了相關的入侵檢測技術不能對于入侵行為進行提取,更無從談起其是否符合網(wǎng)絡安全規(guī)范。另外一方面的問題便是檢測速度明顯小于入侵速度,這也是在現(xiàn)階段常見的問題。隨著現(xiàn)代網(wǎng)絡技術的發(fā)展,網(wǎng)絡速度已經(jīng)得到了有效的自我發(fā)展,很多入侵檢測過程之中,很多時候檢測速度小于網(wǎng)絡檢測速度,這樣的情況下,一些行為尚未進行阻攔,便已經(jīng)達成入侵的目的了,進而導致了信息的丟失,所以說這方面的問題同樣應該得到改善。企業(yè)在應用之中,也應該注意這種速度的問題,防止因為速度進而造成自身信息丟失等。
3網(wǎng)絡信息管理之中入侵檢測技術的具體分類
(1)異常檢測,異常檢測顧名思義,便是對于入侵行為進行檢測,但是由于入侵的性質未定,這就導致很多時候入侵檢測技術進行了無用功。現(xiàn)階段往往入侵檢測技術通過建立一個行為輪廓來進行限定,如果入侵行為已經(jīng)超過了這個行為輪廓,便確定其為入侵行為。這種模式大大簡化了行為判定的過程,但是由于過于簡單的相應行為也容易出現(xiàn)相關漏洞。在實際工作之中,往往非入侵行為但是在行為輪廓行為之外的網(wǎng)絡訪問行為,但是在入侵檢測技術之中被判斷為入侵行為,造成了工作的重復。所以說在進行行為輪廓的確定時,同樣應該由一些特征量來確定,減少檢測工作可能出現(xiàn)的失誤,進而可以提升檢測工作的效率;另外一方面可以設置參考數(shù)值,通過參考數(shù)值的評定來進行評判,在入侵檢測技術之中,參考數(shù)值非常重要。
(2)誤用檢測,其應用前提便是所有的入侵行為進行識別并且進行標記。在一般情況下,誤用檢測便是通過攻擊方法來進行攻擊簽名,然后再通過定義已經(jīng)完成的攻擊簽名對于入侵行為進行相關判斷。很多行為都是通過漏洞來進行,所以誤用檢測可以準確的判斷出相應入侵行為,不僅預防了入侵行為,還可以對于其他入侵行為進行警示作用。這種技術在實際使用過程之中,提升了入侵檢測數(shù)的效率和準確。
4結語
在現(xiàn)代信息技術得到發(fā)展的今天,網(wǎng)絡信息管理已經(jīng)成為了現(xiàn)代企業(yè)非常重要的組成部分。針對于網(wǎng)絡安全而言,其自身往往具有一些技術之中的漏洞,所以同樣容易引發(fā)入侵行為。針對于入侵行為,現(xiàn)代之中有著入侵檢測技術,本文對于入侵檢測技術的使用進行了分析,希望為相關人員帶來相關思考。
參考文獻
[1]張麗.入侵檢測技術在網(wǎng)絡信息管理中的應用分析[J].中國科技博覽,2014,第16期:12-12.
[2]陳瑩瑩.網(wǎng)絡信息管理中入侵檢測技術的研究[J].信息通信,2013,06期:99-99.
隨著計算機網(wǎng)絡技術的不斷發(fā)展,計算機網(wǎng)絡與各行各業(yè)的聯(lián)系越加緊密,相應的保證網(wǎng)絡安全就顯得尤為重要。提高網(wǎng)絡安全性,以往的方法是實施網(wǎng)絡安全檢測技術,如防火墻技術、加密技術、病毒防護技術等,其只能被動的防護,難以滿足網(wǎng)絡安全需要。在計算機網(wǎng)絡應用日益頻繁、復雜的情況下,應當科學、合理的應用網(wǎng)絡入侵檢測技術,對網(wǎng)絡系統(tǒng)進行實時的入侵檢測,如此可以大大提高網(wǎng)絡安全程度。所以,科學、合理的應用網(wǎng)絡入侵檢測技術是非常重要的。本文將重點分析網(wǎng)絡入侵檢測技術及其要點,希望對于有效應用此項技術有所作用。
【關鍵詞】網(wǎng)絡入侵 檢測技術 技術要點
隨著網(wǎng)絡的普及和上網(wǎng)人數(shù)的與日俱增,網(wǎng)絡安全問題日益凸顯。從近些年網(wǎng)絡攻擊情況來看,網(wǎng)絡安全問題日益嚴峻,如若不能及時且有效的解決網(wǎng)絡安全問題,將會給人們帶來嚴重損失。為了避免此種情況的發(fā)生,應當科學、合理的應用網(wǎng)絡入侵檢測技術,以便發(fā)揮網(wǎng)絡入侵檢測功能,實時檢測網(wǎng)絡,避免系統(tǒng)內部攻擊情況發(fā)生,同時加強主動防御,使網(wǎng)絡安全運行。由此看來,網(wǎng)絡入侵檢測技術的有效應用,不僅能夠有效解決網(wǎng)絡安全問題,還能強化網(wǎng)絡防御功能,值得廣泛應用。
1 入侵檢測系統(tǒng)
入侵檢測系統(tǒng)(IDS)是一種對網(wǎng)絡傳輸進行即時監(jiān)視,在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或采取主動反應措施的網(wǎng)絡安全設備。所以,將其應用于計算機網(wǎng)絡之中,可以有效的解決網(wǎng)絡問題,提高計算機網(wǎng)絡的安全性。
從目前入侵檢測系統(tǒng)研究情況來看,入侵檢測系統(tǒng)主要分為基于主機的入侵檢測系統(tǒng)、基于網(wǎng)絡的入侵檢測系統(tǒng)、分布式入侵檢測系統(tǒng)。基于主機的入侵檢測系統(tǒng)是將用戶訪問主機的行為信息作為信息分析來源,進行入侵檢測,這使其更適用于網(wǎng)絡加密方面;基于網(wǎng)絡的入侵檢測系統(tǒng)是以所截獲的數(shù)據(jù)包流量信息作為檢測分析來源,進行入侵檢測,這使其適用于網(wǎng)絡攻擊預警方面。分布式入侵檢測系統(tǒng)則是在網(wǎng)絡不同位置分布探測點,通過探測點收集信息,并將信息傳送給中央探測點,進而判斷是否入侵檢測。無論哪種形式的網(wǎng)絡入侵檢測,對于解決網(wǎng)絡安全問題都很有作用。
2 常用的網(wǎng)絡入侵檢測技術
當然,實現(xiàn)網(wǎng)絡入侵檢測系統(tǒng)的有效應用是因為有網(wǎng)絡入侵檢測技術的支持。基于目前網(wǎng)絡入侵檢測技術研究來說,常用的、有效的網(wǎng)絡入侵檢測技術有:
2.1 常用異常檢測技術
2.1.1 量化分析技術
作為比較常用的入侵檢測技術,量化分析技術主要是進行目標完整性檢測和門限檢測。目標完整性檢測,更適用于主機入侵檢測,即對主機中的某些敏感文件進行全面的、詳細的、深入的檢測,確定文件是否被惡意更改,進而判斷網(wǎng)絡是否被攻擊,以便良好的維護、防護網(wǎng)絡。而門限檢測,則是對主機一段時間內的行為及變化與預設門限值進行比較,如若出現(xiàn)偏差,則說明計算機網(wǎng)絡被攻擊,進而加強網(wǎng)絡防護。
2.1.2 基于統(tǒng)計的入侵檢測技術
相對來說,基于統(tǒng)計的入侵檢測技術發(fā)展較早,但其確有較多優(yōu)點,能夠有效的檢測計算機網(wǎng)絡,提高計算機網(wǎng)絡的安全性。目前美國斯坦福研究院就是采用基于統(tǒng)計的入侵檢測技術構建的入侵檢測專家系統(tǒng)。而使基于統(tǒng)計的入侵檢測技術能夠有效、常用的原因是,此項技術應用于網(wǎng)絡中,可以在不知道網(wǎng)絡漏洞的情況下,對網(wǎng)絡進行有效的檢測,進而得到較準確的檢測結果,有效處理網(wǎng)絡安全問題,提高網(wǎng)絡安全性。
2.1.3 數(shù)據(jù)挖掘
所謂數(shù)據(jù)挖掘是指從大量的數(shù)據(jù)中提取隱含的、 未知的、 具有潛在價值的信息的非平凡過程。利用數(shù)據(jù)挖掘方法來處理網(wǎng)絡安全問題,可以對網(wǎng)絡數(shù)據(jù)進行分析,明確正常數(shù)據(jù)模型的特點,進而構建檢測模型,對網(wǎng)絡進行全方位的檢測,如此可以準確的找到網(wǎng)絡安全問題的原因,以便有針對性的、有效的處理安全問題,提升網(wǎng)絡安全性。所以,數(shù)據(jù)挖掘也是比較常用的網(wǎng)絡入侵檢測方法。
2.2 基于專家系統(tǒng)的濫用檢測系統(tǒng)
基于專家系統(tǒng)的濫用檢測系統(tǒng)是,依據(jù)專家知識定義入侵特征,再將被觀察對象與該特征進行比較,分析是否為入侵行為。當然,要想保證基于專家系統(tǒng)的濫用檢測系統(tǒng)可以有效應用,需要網(wǎng)絡安全實際需要及系統(tǒng)應用要求,合理策劃和設計專家系統(tǒng)的功能模塊,即檢測知識庫、數(shù)據(jù)庫、解釋接口等,那么基于專家系統(tǒng)的濫用檢測系統(tǒng)才能真正發(fā)揮作用,有效解決網(wǎng)絡安全問題,提高網(wǎng)絡防御水平。
3 網(wǎng)絡入侵檢測技術要點
基于以上內容的分析,確定網(wǎng)絡入侵檢測技術有效應用網(wǎng)絡之中,可以充分發(fā)揮作用,進行網(wǎng)絡入侵檢測,有效解決網(wǎng)絡安全問題。當然,要想實現(xiàn)這一目的,需要明確網(wǎng)絡入侵檢測技術要點,科學、合理的應用技術。
網(wǎng)絡入侵檢測技術要點是:
3.1 注意實時性的體現(xiàn)
也就是在利用網(wǎng)絡入侵檢測技術對網(wǎng)絡進行實時入侵中,一旦發(fā)現(xiàn)攻擊企圖或攻擊,應當及時追蹤入侵者的位置,對其進行破壞,避免后續(xù)再次出現(xiàn)網(wǎng)絡被攻擊的情況。
3.2 注意適用性的體現(xiàn)
也就是了解網(wǎng)絡環(huán)境、計算機系統(tǒng)類型、主機數(shù)量等,進而合理的設計應用網(wǎng)絡入侵檢測技術,以便此項技術可以有效應用于計算機網(wǎng)絡中,實施入侵檢測,保證網(wǎng)絡安全。
3.3 注意可擴展性的體現(xiàn)
網(wǎng)絡攻擊行為不同,計算機網(wǎng)絡受遭受的破壞不同。為了能夠有效防御各種攻擊行為,應當注意在擴展網(wǎng)絡入侵檢測系統(tǒng),使之有效應用。
4 結束語
從近些年網(wǎng)絡攻擊次數(shù)不斷增多,網(wǎng)絡安全問題日益嚴峻,如若不能及時且有效的解決網(wǎng)絡安全問題,將會給人們帶來嚴重損失。為了避免此種情況的發(fā)生,應當科學、合理的應用網(wǎng)絡入侵檢測技術,如量化分析技術、基于統(tǒng)計的入侵檢測技術、以數(shù)據(jù)挖掘等,構建網(wǎng)絡入侵檢測系統(tǒng),可以充分發(fā)揮網(wǎng)絡入侵檢測作用,實時檢測網(wǎng)絡,避免系統(tǒng)內部攻擊情況發(fā)生,同時加強主動防御,使網(wǎng)絡安全運行。由此看來,將網(wǎng)絡入侵檢測技術有效應用與計算機網(wǎng)絡之中是非常重要的,可以大大提高計算機網(wǎng)絡的安全性。
參考文獻
[1]王晟,趙壁芳.基于模糊數(shù)據(jù)挖掘和遺傳算法的網(wǎng)絡入侵檢測技術[J].計算機測量與控制,2012,20(03):660-663.
[2]宋繼紅,楊放,葛震等.網(wǎng)絡入侵檢測技術的研究[J].沈陽工業(yè)大學學報,2003,25(02):129-131.
[3]黃俊,韓玲莉,陳光平等.基于無指導離群點檢測的網(wǎng)絡入侵檢測技術[J].小型微型計算機系統(tǒng),2007,28(11):2007-2009.
[4]何文彬.關于網(wǎng)絡入侵檢測技術的研究[J].電腦知識與技術,2011,07(14):3285-3287.
作者簡介
黃少文(1989- ),男,廣東省河源市人。大學本科學歷。主要從事計算機網(wǎng)絡專業(yè)教育教學和研究工作。
關鍵詞:入侵檢測技術;算法;模型
中圖分類號:TP311 文獻標識碼:A 文章編號:1009-3044(2016)09-0072-02
隨著Internet不斷發(fā)展的同時,網(wǎng)站上出現(xiàn)入侵攻擊的現(xiàn)象也愈發(fā)常見。跟據(jù)統(tǒng)計顯示,大約每20秒就有一次入侵事件發(fā)生,網(wǎng)站犯罪每年以20%-30%速度增加,全球每年因網(wǎng)站非法入侵等情況而遭受的各種損失已至百億級別。
在中國絕大多數(shù)的網(wǎng)站都有安全缺陷,不少網(wǎng)站都遭受到過入侵攻擊,這一情況對我國網(wǎng)站信息安全產(chǎn)生極壞的影響。與此同時,隨著網(wǎng)站安全防范技術的增強,網(wǎng)站入侵攻擊的手段方法也愈發(fā)多變、隱蔽、難以發(fā)覺。非法入侵者使用的入侵手段已不只是木馬、感染、網(wǎng)頁腳本和黑客后門等,比方說超級蠕蟲、隱蔽攻擊等更高級攻擊技術也開始出現(xiàn)。因此,研究入侵檢測技術算法的改進與應用已經(jīng)成為必要的問題。
1 入侵檢測技術
入侵檢測系統(tǒng)(Intrusion Detection System, IDS)是一種主動保護自己免受傷害的網(wǎng)絡安全設備,主要負責采集系統(tǒng)中關鍵節(jié)點的數(shù)據(jù),通過對數(shù)據(jù)的分析處理,發(fā)現(xiàn)危害系統(tǒng)的行為,同時對該種行為做出相應的防御,網(wǎng)絡管理者可以通過它實時地了解網(wǎng)絡的實際情況。
目前,入侵檢測技術多種多樣,涵蓋了各個領域,每種技術都有各自的優(yōu)勢與長處,也有各自的特點,人們采用不同的劃分標準區(qū)別各種各樣的入侵檢測技術,其中比較被大多數(shù)人認可的五種劃分方式是反應機制、檢測所采取的技術、數(shù)據(jù)的來源、體系結構以及反應快慢,在這五種方式中,每種都含有不同的檢測技術
1)基于主機的入侵檢測
入侵檢測技術的初期階段,入侵檢測技術的應用是不盡如人意的,也因此出現(xiàn)了非常嚴重的入侵問題,例如,根據(jù)計算機密碼配置文件的入侵程序,間接或直接的非法訪問,使用SUID等入侵程序獲取訪問權限等。通常,當主機遭到入侵之后,入侵者的操作會留在系統(tǒng)的日志中。這樣,利用日志分析技術可以來檢測入侵主機之后到底發(fā)生了什么。基于日志分析的檢測技術十分依賴于主機日志記錄的準確性和嚴謹性。如果日志遭到破壞或篡改,將沒有本法很好的分析入侵行為。
2)基于網(wǎng)絡的入侵檢測
基于網(wǎng)絡的入侵檢測和以往的入侵檢測技術存在的區(qū)別,主要就是不再是被動地檢測主機系統(tǒng)日志,主動在網(wǎng)絡分組數(shù)據(jù)流進行實時監(jiān)控網(wǎng)絡,以檢測可疑的活動。使用旁路時,偵聽器的工作機制,以相應的收集數(shù)據(jù),對可疑行為分析檢驗。基于網(wǎng)絡的入侵檢測技術,在利用實時監(jiān)控的同時可以不改變系統(tǒng)配置進行入侵檢測,絲毫不用影響正常的網(wǎng)絡服務。
2 規(guī)則匹配算法
基于規(guī)則匹配算法的入侵檢測系統(tǒng)是在1995年由外國學者Sandeep Kumar提出的,其主要思想是將規(guī)則規(guī)則與網(wǎng)絡中捕獲并解碼分析的數(shù)據(jù)包進行匹配,通過檢測引擎模塊檢測網(wǎng)絡中是否含有非法入侵行為。
Sandeep Kumar首次引出入侵信號的層次性概念,將入侵信號區(qū)分為不同的抽象層次,具體來說,主要有四個層次,分別是存在、序列、規(guī)則表示及其他。
1)存在(Existence)
存在規(guī)則又稱匹配規(guī)則,在對系統(tǒng)進行定期檢查的過程中,發(fā)現(xiàn)含有入侵信號的審計事件,表明有入侵企圖。
2)序列(Sequence)
序列規(guī)則可以理解為入侵行為是按照一定次序發(fā)生的,在系統(tǒng)的審計事件中用連續(xù)峰值體現(xiàn)出來。
3)規(guī)則表示(Regular Expressions)
該規(guī)則用規(guī)則表示式構成,一般情況下,都是一些沒有順序關系的活動,用邏輯表達式將這些活動事件連接起來。
4)其他(Others Pattern)
這種規(guī)則的入侵信號用以上三種規(guī)則都不能表示,內部否定是其中一種比較重要的表現(xiàn)形式。
入侵檢測系統(tǒng)可以檢測出的入侵信號用存在規(guī)則表示,系統(tǒng)內部的規(guī)則文件在檢測過程中發(fā)揮了重要作用,規(guī)則匹配系統(tǒng)事件來源獨立,只考慮事件中的數(shù)據(jù),描述和匹配過程分離,只定義匹配的內容,不考慮匹配過程,根據(jù)不同入侵信號的特點動態(tài)形成相應的規(guī)則,多個事件可以在同一時間進行匹配,在實際應用中,要提取高質量的規(guī)則,根據(jù)入侵手段的變化,動態(tài)改變匹配規(guī)則,設立不同優(yōu)先級,及時處理優(yōu)先級比較高的事件,完成對所有規(guī)則的匹配工作。
規(guī)則匹配的原理就是在文本串T中按字符順序依次查找是否含有規(guī)則串P,一般情況下,規(guī)則串P的長度要遠遠小于文本串T的長度,如果在文本串T中的某些字段找到了與規(guī)則串P完全吻合的字段,表示規(guī)則匹配成功,如果找不到表示規(guī)則匹配失敗。
入侵檢測系統(tǒng)把網(wǎng)絡中的數(shù)據(jù)包信息按照五元組的格式進行分類,禁止一些含有入侵企圖的訪問端口,其次要對數(shù)據(jù)包內容進行檢測,字符串匹配技術將發(fā)揮重要作用,通過系統(tǒng)特定的規(guī)則與內容信息的比對,進而查出入侵行為。
4 結束語
網(wǎng)絡的快速發(fā)展,在給廣大用戶帶來眾多便利的同時,也給網(wǎng)絡環(huán)境帶來了巨大的安全隱患,入侵檢測系統(tǒng)作為重要的主動防御系統(tǒng)能夠實時監(jiān)控網(wǎng)絡中的數(shù)據(jù)包,當發(fā)現(xiàn)網(wǎng)絡中有攻擊行為時,及時產(chǎn)生報警信息提示用戶并將該信息記錄到日志當中。
文章對入侵檢測系統(tǒng)與相關規(guī)則算法進行了研究。首先介紹了規(guī)則匹配的定義,又分別介紹了幾種規(guī)則匹配算法的算法思想,進而對幾種多模式規(guī)則算法做出了對比分析,通過對幾種算法性能分析,介紹了各種算法的能力,并對幾種算法的基本原理記性了詳細闡述。在此基礎上,提出了改進的算法可以更好的執(zhí)行入侵檢測的異常情況,并快速的響應發(fā)出警報。
本文提出的改進規(guī)則匹配算法,雖然提高了匹配效率,但 在實際應用中還應該多方面考慮算法的實際效果,來彌補可能仍然存在的不足之處,例如基于規(guī)則匹配的入侵檢測一般只能檢測到已知類型的入侵攻擊,而遇到未知類型的入侵攻擊,此類的入侵檢測系統(tǒng)就很難準確的檢測到了,如何在以后的工作中,將多規(guī)則匹配算法應用到預防未知類型的入侵檢測,將是今后入侵檢測系統(tǒng)未來發(fā)展的重點方向。
參考文獻:
[1] 那琳.SQL注入式攻擊及其防范措施研究[J].計算機光盤軟件與應用,2011(19):73-74.
[2] 岳燕,趙才武.淺議政府機關WEB服務器的安全策略[J].云南科技管理,2012(1):71-73.
[3] 馮谷,高鵬.新型SQL注入技術研究與分析[J].計算機科學,2012,23:415-417,423.
[4] 陳劍,龔發(fā)根.一種優(yōu)化分布式文件系統(tǒng)的文件合并策略[J].計算機應用,2011(22):161-163.
[5] 王紅艷.一種基于Hadoop架構的網(wǎng)絡安全事件分析方法[J].信息網(wǎng)絡安全,2013(1):55-57.
關鍵詞:入侵檢測技術;網(wǎng)絡安全;發(fā)展趨勢
一、前言
隨著計算機網(wǎng)絡的飛速發(fā)展和Internet應用范圍的不斷擴大,人們能夠方便有效地獲取信息資源和與他人交流。但是,由于網(wǎng)絡協(xié)議本身設計和實現(xiàn)上一些不完善的因素,隨之而來的Internet入侵事件也就層出不窮。作為開放網(wǎng)絡的組成部分,校園網(wǎng)絡的安全也是不可忽視的。由于各種原因導致校園網(wǎng)既是大量攻擊的發(fā)源地,也是攻擊者最容易攻破的目標。當前校園網(wǎng)常見的風險如下:普遍存在的計算機系統(tǒng)的漏洞,對信息安全、系統(tǒng)的使用、網(wǎng)絡的運行構成嚴重的威脅;計算機蠕蟲、病毒泛濫。影響用戶的使用、信息安全、網(wǎng)絡運行;外來的系統(tǒng)入侵、攻擊等惡意破壞行為,有些計算機已經(jīng)被攻破,用作黑客攻擊的工具:拒絕服務攻擊目前越來越普遍。
二、入侵檢測技術在校園網(wǎng)中的作用
加強校內處信息的交流,滿足校區(qū)廣大師生的需求,充分利用網(wǎng)絡資源為全校教學、科研和管理服務,我們將用戶的應用需求歸納為如下幾個方面:
1.內部信息:向各部門規(guī)章制度、規(guī)劃、計劃、通知等公開信息等。
2.電子郵件:校園內部的電子郵件的發(fā)送與接收。
3.文件傳輸:校園內部的文本文件、圖像文件、語音文件等發(fā)送與接收。
4.資源共享:文件共享、數(shù)據(jù)庫共享、打印機共享。
5.導航系統(tǒng):校園內部各部門web站點的導航。
6.外部通信:通過廣域網(wǎng)或專線連接,可與國內外的合作伙伴交流信息。
7.接入因特網(wǎng):接入中國電信、Internet,對外信息。
架設一個入侵監(jiān)測系統(tǒng)(IDS)是非常必要的,處于防火墻之后對網(wǎng)絡活動進行實時檢測。許多情況下,由于可以記錄和禁止網(wǎng)絡活動,所以入侵監(jiān)測系統(tǒng)是防火墻的延續(xù)。它們可以和你的防火墻和路由器配合工作。
IDS掃描當前網(wǎng)絡的活動,監(jiān)視和記錄網(wǎng)絡的流量,根據(jù)定義好的規(guī)則來過濾從主機網(wǎng)卡到網(wǎng)線上的流量,提供實時報警。IDS是被動的,它監(jiān)測你的網(wǎng)絡上所有的數(shù)據(jù)包。其目的就是撲捉危險或有惡意動作的信息包。IDS是按你指定的規(guī)則運行的,記錄是龐大的,所以我們必須制定合適的規(guī)則對他進行正確的配置,如果IDS沒有正確的配置,其效果如同沒有一樣。IDS能夠幫助系統(tǒng)對付網(wǎng)絡攻擊,擴展了系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視、攻擊識別和響應),提高了信息安全基礎結構的完整性。
三、入侵檢測技術在校園網(wǎng)中存在的不足
(一)防火墻位置。
防火墻是網(wǎng)絡安全的關口設備,只有在關鍵網(wǎng)絡流量通過防火墻的時候,防火墻才能對此實行檢查、防護等功能。因此,在網(wǎng)絡拓撲上,防火墻應當處在網(wǎng)絡的出口處和不同安全等級區(qū)域的結合點處。這些位置通常位于內部網(wǎng)到Internet出口鏈路處;主干交換機至服務器區(qū)域工作組交換機的骨干鏈路上;內部網(wǎng)與高安全等級的網(wǎng)的連接點;遠程撥號服務器與骨干交換機或路由器之間。
(二)入侵檢測位置。
不同于防火墻,IDS入侵檢測系統(tǒng)是一個監(jiān)聽設備,沒有跨接在任何鏈路上,無須網(wǎng)絡流量流經(jīng)它便可以工作。因此,對IDS的部署,唯一的要求是:IDS應當掛接在所有來自高危網(wǎng)絡區(qū)域的訪問流量和需要進行統(tǒng)計、監(jiān)視的網(wǎng)絡報文都必須流經(jīng)的鏈路上。IDS在交換式網(wǎng)絡中的位置一般選擇在:盡可能靠近攻擊源;盡可能靠近受保護資源。這些位置通常是:
•服務器區(qū)域的交換機上;
•Internet接入路由器之后的第一臺交換機上;
•重點保護網(wǎng)段的局域網(wǎng)交換機上。
(三)防火墻與IDS的結合。
談到網(wǎng)絡安全,人們第一個想到的就是防火墻。但隨著技術的發(fā)展,網(wǎng)絡日趨復雜,傳統(tǒng)防火墻所暴露出來的不足和弱點引起了人們對入侵檢測系統(tǒng)(IDS)技術的研究和開發(fā)。
首先,傳統(tǒng)的防火墻在工作時,就像深宅大院雖有高大的院墻,卻不能擋住小老鼠甚至是家賊的偷襲一樣,因為入侵者可以找到防火墻背后可能敞開的后門。
其次,防火墻完全不能阻止來自內部的襲擊。我們通過調查發(fā)現(xiàn),70%的攻擊都將來自于校園網(wǎng)內部,對于校園網(wǎng)內部個別心懷不滿的教師或學生來說,防火墻形同虛設。
再者,由于性能的限制,防火墻通常不能提供實時的入侵檢測能力,對于現(xiàn)在層出不窮的攻擊技術來說是至關重要的。
第四,防火墻對于病毒也束手無策。因此,以為在 Internet入口處部署防火墻系統(tǒng)就足夠安全的想法是不切實際的。
入侵檢測系統(tǒng)(IDS)可以彌補防火墻的不足,為網(wǎng)絡安全提供實時的入侵檢測及采取相應的防護手段,如及時記錄證據(jù)用于跟蹤、切斷網(wǎng)絡連接,執(zhí)行用戶的安全策略等。
四、防火墻與IDS結合的優(yōu)點改進校園網(wǎng)
防火墻只是一種基于策略的被動防御措施,是一種粗顆粒的防御手段,無法自動調整策略設置來阻斷正在進行的攻擊,也無法防范基于協(xié)議的攻擊。所以,單靠防火墻是無法實現(xiàn)良好的安全防護性能的。
IDS能夠實時分析校園網(wǎng)外部及校園網(wǎng)內部的數(shù)據(jù)通訊信息,分辨入侵企圖,在校園網(wǎng)絡系統(tǒng)受到危害前以各種方式發(fā)出警報,并且及時對網(wǎng)絡入侵采取相應措施,最大限度保護校園網(wǎng)系統(tǒng)的安全。但是,單靠入侵檢測系統(tǒng)自身,只能及時發(fā)現(xiàn)攻擊行為,但卻無法阻止和處理。
我們將二者結合起來互動運行,防火墻便可通過IDS及時發(fā)現(xiàn)其策略之外的攻擊行為,IDS也可以通過防火墻對來自外部網(wǎng)絡的攻擊行為進行阻斷。IDS與防火墻有效互動就可以實現(xiàn)一個較為有效的安全防護體系,可以大大提高整體防護性能,解決了傳統(tǒng)信息安全技術的弊端、解決了原先防火墻的粗顆粒防御和檢測系統(tǒng)只發(fā)現(xiàn)難響應的問題。防火墻和入侵檢測的模型有以下好處:
1.如果能夠足夠迅速檢測到入侵,那么就能確認入侵者,并能在破壞發(fā)生或數(shù)據(jù)損壞之前把他驅逐出系統(tǒng)。即使未能足夠迅速地檢測出入侵并加以阻止,也是越迅速地檢測出入侵,越能減少破壞的危害并能更迅速地加以恢復。
2.高效的檢測系統(tǒng)能夠起到威懾作用,因此也能從一定程度上阻止入侵。
3.入侵檢測系統(tǒng)能夠收集有關入侵技術的信息。這樣可以用來加強入侵阻止設施。
五、入侵檢測技術的發(fā)展趨勢
目前,國外一些研究機構已經(jīng)開發(fā)出了應用于不同操作系統(tǒng)的幾種典型的入侵檢測系統(tǒng)(IDS。它們通常采用靜態(tài)異常模型和規(guī)則的誤用模型來檢測人侵。這些1DS的檢測基本是基于服務器或基于網(wǎng)絡的=早期的1DS模型設計用來監(jiān)控單一服務器,是基于主機的人侵檢測系統(tǒng),然而近期的更多模型則集中用于監(jiān)控通過網(wǎng)絡互連的多服務器,是基于網(wǎng)絡的侵人檢測系統(tǒng)近年來人侵檢測技術的主要發(fā)展方向。
六、結語
人侵檢測被認為是防火墻之后的第二道安全閘門,它采用的是一種主動的技術,能有效地發(fā)現(xiàn)入侵行為和合法用戶濫用特權的行為,已經(jīng)成為網(wǎng)絡安全體系中一個重要組成分.目前入侵檢測技術還處于研究和發(fā)展階段,同樣存在很多不足之處。隨著網(wǎng)絡通信技術安全性的要求越來越高,人們需要重點研究一些智能化的檢測技術,同時還要研究如何將入侵檢測技術和其他網(wǎng)絡安全技術相結合來構建一個網(wǎng)絡安全體系等等,這些都是以后入侵檢測發(fā)展的主要方面。
關鍵詞:云計算;病毒入侵;構建
中圖分類號:TP311 文獻標識碼:A 文章編號:1009-3044(2013)32-7205-03
病毒防護是計算機技術中一項重要技術,計算機在運行過程中會遇到各種各樣的病毒,這些病毒會影響到計算機的運行嚴重情況下甚至會導致計算機系統(tǒng)癱瘓,從而造成不可估量的損害。因此病毒防護歷來是計算機技術中一項重要技術。傳統(tǒng)的病毒防護技術主要指的是防火墻、殺毒軟件、網(wǎng)絡入侵檢測等技術。這些病毒防護技術雖然在一定程度上滿足了計算機的基本功能,但是隨著信息技術的不斷發(fā)展,傳統(tǒng)的防護技術已經(jīng)不能夠適應快速地、日益增長的安全問題了。因此病毒防護技術亟待創(chuàng)新。
云計算是當今一個新興概念,云計算本身具有綜合性、容低性、高容錯性等性能,這些性能正好能夠更好地處理計算機病毒。加強云計算技術在病毒檢測技術中的應用是未來發(fā)展的必然趨勢。
1 云計算在病毒入侵檢測技術中的具體應用
云計算技術本身是一種新型技術,云計算在計算機中的應用主要體現(xiàn)在通過通過云計算技術對龐大的侵入計算機行為數(shù)據(jù)進行分析,而后再通過其他平臺通過網(wǎng)頁形式報告給計算機用戶,從而使用戶能夠及時了解計算機本身的安全狀況。
在新形勢下入侵計算機的行為數(shù)據(jù)量是非常大的,采用傳統(tǒng)的病毒防護技術不能實現(xiàn)快速地分析檢測,而采用云計算技術則可以在短時間內實現(xiàn)對大數(shù)據(jù)的處理。與傳統(tǒng)病毒防護技術相比,云計算技術有著無可比擬的優(yōu)勢。該文就以snort網(wǎng)絡病毒入侵檢測系統(tǒng)為例來詳細說明云計算技術在病毒入侵檢測技術中的應用。
2 Snort網(wǎng)絡入侵檢測系統(tǒng)的構建
Snort網(wǎng)絡入侵檢測系統(tǒng)本身是一項復雜的網(wǎng)絡檢驗系統(tǒng),該系統(tǒng)的構建是需要多個步驟才能實現(xiàn)的。該系統(tǒng)的構建主要包括以下幾個步驟:
一是云的構建。云計算應用關鍵就在于構建云,當前在構建云的過程中主要是通過在多臺Linux中安裝Hadoop來實現(xiàn)的。二是設計程序。程序的設計是系統(tǒng)構建的關鍵步驟,對于snort網(wǎng)絡主要是設計Map-Reduce程序。通過設計完整的程序來實現(xiàn)對警報信息的有效整合。三是構建Hbase分布式數(shù)據(jù)庫。該數(shù)據(jù)庫主要是用來存儲經(jīng)過整合后的數(shù)據(jù)的。四是利用Map-Reduce來對數(shù)據(jù)進行分析處理,最終以web服務器和PHP網(wǎng)頁腳本語言呈現(xiàn)給用戶。
3 病毒入侵檢測系統(tǒng)的具體實施
上文只是把系統(tǒng)構建的步驟進行了介紹,下面我們就來探討病毒入侵檢測系統(tǒng)的具體實施。對于該系統(tǒng)的構建我們主要是在綜合機房中實現(xiàn)的,該系統(tǒng)對硬件配置的要求較高,因此采用校內網(wǎng)速IG、網(wǎng)速達到100M的快帶網(wǎng)絡來構建起云計算實驗平臺。該系統(tǒng)需要6臺普通PC機來進行構建,在這6臺PC中有一臺作為主節(jié)點,另外5臺作為從節(jié)點來使用。在這些電腦中還需要安裝zookeeprer。
該系統(tǒng)的具體實施是按照以下步驟來實施的:首先是對6臺計算機安裝linux并分別命名。對于主節(jié)點要命名為hadoop,其余五臺則分別命名為hadoop1、hadoop2、hadoop3、hadoop4、hadoop5.命名之后就要把五臺計算機連接在一起。其次是要生成PCI秘鑰對,最終保證各臺計算機ash實現(xiàn)無密碼登陸。第三步是安裝jdk文件,jdk在安裝完成之后還要專門進行調試。只有經(jīng)過專門調試才能保證正常工作。第四步就是配置相關文件。對于hadoop中hadoop-env.sh要修改其jdk路徑,對于slaves文件的修改要把其變?yōu)閔adoop1-hadoop5.做好這些配置后,還要對core-site.xml文件進行配置,該文件是hadoop的主要文件,我們必須要對此保持高度重視。最后就是要配置mapred—site.xml文件。在完成以上步驟之后就可以啟動云了。最后一步是安裝apache服務器。針對這服務器的安裝需要從以下幾步來做:安裝woke目錄;下載并解壓apache文件;建立makefile;編譯make;安裝Apache。至此該網(wǎng)絡病毒入侵檢測系統(tǒng)算是構建完成。在完成系統(tǒng)構建之后,我們就可以通過專門實驗來觀察其效果了。
4 系統(tǒng)效果分析
通過專門實驗之后,我們發(fā)現(xiàn)該系統(tǒng)本身有效地檢測出了計算機的病毒。在云計算環(huán)境下的病毒入侵檢測系統(tǒng)實現(xiàn)了從病毒防護平臺就可以查出惡意入侵的源IP、攻擊的起始時間、結束時間等內容。通過這一系統(tǒng)基本上實現(xiàn)了對網(wǎng)絡系統(tǒng)的病毒檢測。
通過云計算技術病毒網(wǎng)絡入侵檢測系統(tǒng)實現(xiàn)了對警訊來源、目的等的綜合分析。采用云計算技術可以使得用戶能夠迅速掌握計算機所遭受到的攻擊,對于快速處理計算機病毒具有至關重要的問題。在病毒入侵檢測系統(tǒng)中應用云計算技術改變了傳統(tǒng)的處理警報的形勢,提高了云端安全問題解決效率。采用項技術基本上能夠有效解決病毒入侵檢測。
上文詳細分析了云計算技術所取得的明顯效果。但是我們在實驗過程中也出現(xiàn)了一些問題,這些問題的出現(xiàn)最終會影響到病毒入侵檢測效果,因此在這樣的背景下我們除了要掌握其效果之外,還要對實驗過程中出現(xiàn)的問題進行詳細處理。當前在實驗過程中出現(xiàn)的問題主要表現(xiàn)在以下幾個方面:
4.1 產(chǎn)生錯誤代碼
在實驗過程中我們發(fā)現(xiàn)網(wǎng)絡系統(tǒng)本身出現(xiàn)了錯誤代碼。經(jīng)過詳細分析我們發(fā)現(xiàn)之所以會出現(xiàn)錯誤代碼主要原因是因為dfs.name.dir路徑設置有問題,該文件并所有權發(fā)生混亂,最終使得主節(jié)點檢查不到子節(jié)點。針對這個問題我們通過修改子節(jié)點的文件夾權限,最終有效解決了這個問題。
4.2 數(shù)據(jù)處理方法有待深化
在數(shù)據(jù)處理過程中算法Merge Extended Alert job處理過后的數(shù)據(jù)與之前數(shù)據(jù)相比并沒有明顯區(qū)別。可見當前的數(shù)據(jù)處理技術還有待深化。
4.3 程序問題
所謂程序問題主要指的是兩方面的問題:一是出現(xiàn)了數(shù)據(jù)重復處理的現(xiàn)象。之所以會出現(xiàn)遮掩高度問題主要是因為沒有將原來的hdfs移除造成的。在意識到這個問題之后工作人員及時移除數(shù)據(jù),數(shù)據(jù)重復處理的現(xiàn)象得以避免。二是runjob程序仍然存在。在實驗過程中使用Kill命令本身不足以停止Hadoop。這對數(shù)據(jù)處理造成了很大影響。在這方面必須要引起我們的高度重視。在今后的病毒防護過程中必須要不斷改善這種現(xiàn)象。
5 云計算技術安全性分析
云計算技術在計算機病毒入侵檢測系統(tǒng)中雖然得到有效應用,但是正如上文所說云計算技術在實驗過程中還存在一些問題,因此加強對云計算技術安全性的詳細分析具有重要意義。該文就以PCShare為例來詳細對云計算技術的安全性進行分析。通過觀察我們發(fā)現(xiàn)云計算技術在應用過程中存在著以下安全性問題:
5.1 文件路徑欺騙
在計算機運行過程中云計算技術本身存在著文件路徑被欺騙的隱患。木馬程序通過構建沒有實際內容的文件可以改變實際存在的文件目錄。這樣的木馬程序會對計算機的自動運行造成巨大影響。該木馬程序首先是通過創(chuàng)建虛擬目錄,而后讓木馬程序在虛擬目錄中運行,最后再刪除虛擬目錄。通過這種方法最終嚴重影響到了計算機性能。
這個問題的具體步驟,首先是利用subst命令對惡意程序賦驅動符。在實際運行過程中用磁盤驅動器符來代替惡意程序創(chuàng)建的目錄;之后就是要在虛擬驅動器中運行惡意程序,最后就是刪除虛擬驅動器。
5.2 云查殺欺騙。云查殺過程中存在的欺騙主要指的是通信欺騙。通信欺騙也是云計算技術運行過程中遇到的主要問題
上述兩個問題是云計算過程中常見的問題,針對這兩個問題的處理,我們需要采取專門措施來予以預防。對于文件路徑欺騙的行為,工作人員要運用殺毒軟件來獲得木馬程序本身的虛擬目錄,然后進一步獲取物理路徑。如果殺毒軟件本身不能夠找到物理路徑的時候,就需要采用其他方法對木馬程序進行定位。對于云查殺過程中通信欺騙行為。在實際應用過程中可以通過殺毒軟件對數(shù)據(jù)進行加密,對數(shù)據(jù)包進行檢驗等方法來有效防止惡意程序的破壞。
云計算技術是當前IT技術中一項新興技術,該技術在病毒入侵檢測系統(tǒng)中的應用能夠有效提升病毒入侵檢測能力,對于保證計算機安全具有重要意義。在病毒防治形勢日益復雜的背景下加強對云計算技術的研究具有重要意義。該文詳細分析了云計算技術的優(yōu)勢,而后以sonrt網(wǎng)絡病毒入侵檢測系統(tǒng)構建為例詳細說明了云計算技術在病毒入侵檢測系統(tǒng)中的應用,最后對云計算技術的安全性進行了分析。在今后的實際工作過程中必須要不斷加強對云計算技術的研究。
參考文獻:
[1] 蔣曉峰.面向開源程序的特征碼免殺與主動防御突破研究[D].上海:上海交通大學,2011.
關鍵詞:計算機數(shù)據(jù)庫;入侵檢測技術;網(wǎng)絡安全
中圖分類號:TP309.2 文獻標識碼:A
計算機數(shù)據(jù)庫普遍受到網(wǎng)絡與設備的威脅。計算機安全主要是指物理安全與信息安全(網(wǎng)絡安全),其中信息安全主要是指保護網(wǎng)絡信息的完整性、可用性、保密性。據(jù)調查數(shù)據(jù)表明,信息系統(tǒng)的整體安全方面,數(shù)據(jù)庫是最容易受到攻擊的部件。計算機數(shù)據(jù)庫主要受到計算機病毒或黑客的攻擊,其中與計算機病毒的種類相比較,黑客對計算機數(shù)據(jù)庫的攻擊方法更多、更致命。美國FBI調查數(shù)據(jù)顯示,網(wǎng)絡安全導致每年美國承受超出170億美元的經(jīng)濟損失,其中每天被黑客攻擊或病害感染的網(wǎng)頁達到15000個。據(jù)國家計算機網(wǎng)絡應急技術處理協(xié)調中心的評估數(shù)據(jù)表明,2012年中國“僵尸”電腦數(shù)量已超過全球“僵尸”電腦總數(shù)的58%。由此可見,必須加強對計算機數(shù)據(jù)庫安全保護的研究。
1 計算機數(shù)據(jù)庫入侵檢測技術的現(xiàn)狀問題
經(jīng)過20余年的發(fā)展,計算機數(shù)據(jù)庫入侵檢測技術已相當成熟,但不斷出現(xiàn)的新需求及新情況勢必要求不斷推進入侵檢測技術。目前主流入侵檢測系統(tǒng)包括基于主機的入侵檢測系統(tǒng)及基于網(wǎng)絡的入侵檢測系統(tǒng);主流入侵檢測方法包括誤用檢測及異常檢測,其中誤用檢測要求對異常行為進行建模,把符合特征庫描述的行為視為攻擊;異常檢測要求對正常行為進行建模,把不符合特征庫描述的行為視為攻擊。總體而言,計算機數(shù)據(jù)庫入侵檢測技術發(fā)展的現(xiàn)狀尚不能完全滿足系統(tǒng)安全的要求,同時仍存有一些問題亟待解決。
(1)計算機入侵檢測誤報漏報率高:數(shù)據(jù)庫信息主要由個人信息及企業(yè)信息組成,因此信息的安全性普遍受到社會個體及組織的廣泛關注,同時計算機入侵檢測技術的研發(fā)過程,研究人員對某些關鍵點設置的要求相當高。但此種情況極易受到大量病毒或黑客的入侵,由此導致入侵檢測結果的準確率大幅度下降,同時某些暫時提高入侵檢測結果準確率的做法反過來亦會影響到數(shù)據(jù)庫安全。
(2)計算機入侵檢測的效率較低:任何數(shù)據(jù)入侵或反入侵皆需進行大量的二進制數(shù)據(jù)計算,以提高數(shù)據(jù)運行的有效性。但龐大的計算勢必造成大量的時間及財力浪費,由此阻礙著入侵檢測效率的提高,同時也與當今網(wǎng)絡環(huán)境極不相稱。
(3)計算機入侵檢測技術的自我防御能力較弱:計算機入侵檢測技術發(fā)展尚不完善,加上設計人員的專業(yè)知識欠缺,因此勢必影響到計算機入侵檢測技術自我防御能力的提高。若入侵檢測技術被黑客或病毒入侵,有限的防御能力勢必難以完成入侵檢測,由此必然威脅到數(shù)據(jù)庫的安全。
(4)計算機入侵檢測技術的可擴展性差:計算機入侵檢測技術無自動更新功能,因此不能對新的異常行為或病毒進行有效判別,進而造成病毒肆意,甚至破壞數(shù)據(jù)庫的安全防線。
2 計算機數(shù)據(jù)庫入侵檢測技術的發(fā)展方向
計算機入侵檢測系統(tǒng)具備網(wǎng)絡管理、網(wǎng)絡監(jiān)視及入侵檢測功能,其主要采用先進的分布式架構(表1)。入侵檢測系統(tǒng)包含2300多種規(guī)則,能夠借助智能分析與模式相結合的方法對網(wǎng)內外傳輸?shù)乃袛?shù)據(jù)進行實時捕獲,進而實現(xiàn)對網(wǎng)絡領域存在的入侵行為或異常現(xiàn)象進行檢測,同時借助內置的攻擊特征庫把相關事件錄入數(shù)據(jù)庫,以便為事后分析提供參考依據(jù)。此外,計算機入侵檢測系統(tǒng)是高效的數(shù)據(jù)采集技術,與內容恢復、狀態(tài)協(xié)議分析、行為分析、異常分析、網(wǎng)絡審計等入侵分析技術具有非常好的兼容性,同時能夠檢測到網(wǎng)絡、端口探察、應用層及底層活動的掃描攻擊。
結合表1內容及計算機入侵檢測技術存在的問題,本文認為計算機數(shù)據(jù)庫入侵檢測技術應堅持“分布型、層次化、智能化檢測及反術測評標準化”的發(fā)展道路。
(1)分布型檢測。傳統(tǒng)的入侵檢測大多被局限到單一網(wǎng)絡結構,主要完成單一網(wǎng)絡結構的數(shù)據(jù)庫檢測,此種檢測方法根本沒有能力應對大規(guī)模的異構體系數(shù)據(jù)庫。此外,數(shù)據(jù)庫檢測體系間的協(xié)同性較弱。針對此類問題,最有效的辦法是采用分布式數(shù)據(jù)庫入侵檢測手段。
(2)層次化檢測。就檢測范圍而言,傳統(tǒng)的入侵檢測技術具有相當大的局限性,尤其對某些高端數(shù)據(jù)庫系統(tǒng),入侵檢測技術尚存在諸多盲點。目前多數(shù)服務器結構系統(tǒng)皆需多層次的入侵檢測保護功能,由此保障網(wǎng)絡安全。針對此類問題,最有效的辦法是采用層次化的檢測方式,區(qū)別對待普通系統(tǒng)與高端數(shù)據(jù)庫系統(tǒng),由此提高入侵檢測技術的作用力。
(3)智能化檢測。雖然目前使用的計算機入侵檢測技術已經(jīng)應用到遺傳算法及神經(jīng)網(wǎng)絡等,但應用水平尚處在初級階段或嘗試性階段,因此有必要把智能化入侵檢測列入專項課題進行研究,由此提高計算機入侵檢測的自我適應能力。
(4)應用入侵檢測技術過程,用戶有必要不定期對技術系統(tǒng)進行測評,其中測評的內容應涉及到資源占用比、檢測范圍、檢測可靠程度,同時充分利用測評數(shù)據(jù)對檢測系統(tǒng)實施評估,然后再結合評估情況對檢測系統(tǒng)進行完善。總體而言,依托入侵檢測技術,計算機數(shù)據(jù)庫系統(tǒng)的安全性勢必大大增強,即入侵檢測系統(tǒng)通過化解計算機數(shù)據(jù)庫系統(tǒng)外部的攻擊及排除系統(tǒng)內部的潛在威脅,進而對計算機數(shù)據(jù)庫系統(tǒng)實施有效保護。
(5)計算機數(shù)據(jù)庫入侵檢測技術的強化措施除采取分布型檢測、層次化檢測及智能化檢測外,筆者認為創(chuàng)建新型系統(tǒng)模型、建立數(shù)據(jù)庫知識標準、減少入侵檢測的計算量等皆可加強計算機入侵檢測技術,其中優(yōu)化Apriori算法是一種由Apriori算法改進而來的計算方法,其對減少入侵檢測的計算量至關重要,此外優(yōu)化Apriori算法的剪枝候選集功能是顯示入侵檢測計算量減少的主要工作。
3 結束語
綜上所述,入侵檢測技術是一種保障計算機數(shù)據(jù)庫免受黑客或病毒入侵的安全防護高新技術,其不僅能夠化解來自外界的攻擊(黑客),同時也能夠排查出內部潛在的病毒,進而實現(xiàn)對計算機數(shù)據(jù)庫的實時性保護。隨著網(wǎng)絡技術更新周期的縮短,網(wǎng)絡安全問題越來越引起社會的關注。數(shù)據(jù)庫是最容易受到黑客與病毒攻擊的部件,加上數(shù)據(jù)庫存儲有數(shù)以億計用戶的信息,因此必須采取措施確保計算機數(shù)據(jù)率的網(wǎng)絡安全。盡管入侵檢測技術的應用已相當成熟,但仍然存在諸多問題亟待解決,其中包括入侵檢測誤報漏報率高、入侵檢測的效率較低、入侵檢測技術的自我防御能力較弱及入侵檢測技術的可擴展性差等。基于此,本文提出計算機數(shù)據(jù)庫入侵檢測技術應該堅持“分布型、層次化、智能化檢測及反術測評標準化”的發(fā)展道路,由此提高網(wǎng)絡安全及維護社會的安定和諧。
參考文獻
[1] 秋瑜.計算機數(shù)據(jù)庫入侵檢測技術分析研究[J].硅谷,2012,(6):79-79.
[2] 王素香.計算機數(shù)據(jù)庫的入侵檢測技術分析[J].計算機光盤軟件與應用,2013,(1):101.
[3] 李媛媛.計算機數(shù)據(jù)庫的入侵檢測技術分析[J].中國信息化,2013,(14):137-137.
[4] 肖大薇.計算機數(shù)據(jù)庫入侵檢測技術分析研究[J].信息系統(tǒng)工程,2012,(4):54-55.
[5] 王世軼.基于數(shù)據(jù)庫的入侵檢測技術分析[J].科技風,2012,(14):52.
[6] 高超,王麗君.數(shù)據(jù)挖掘技術在基于系統(tǒng)調用的入侵檢測中的應用[J].鞍山科技大學學報,2006,29(1):45-49.
關鍵詞:計算機數(shù)據(jù)庫;入侵檢測技術;發(fā)展研究
中圖分類號:TP393.08
當前人們普遍使用計算機,計算機也逐步成為人們日常的辦公工具,所以許多數(shù)據(jù)內容都要計算機數(shù)據(jù)庫的整理并存儲,并且計算機的數(shù)據(jù)庫是整個系統(tǒng)的重要部分,因此許多計算機黑客將數(shù)據(jù)庫作為攻擊的對象,造成計算機不但面臨著來自網(wǎng)絡設備的威脅,還存在網(wǎng)絡信息安全的問題,因此增加計算機數(shù)據(jù)庫安全保護就十分重要,只有先對計算機數(shù)據(jù)庫實施相應的保護措施,這樣才能在受到病毒侵入時確保計算機網(wǎng)絡數(shù)據(jù)的可靠性。隨著入侵檢測技術不斷的進步,許多新的安全防御檢測措施不斷運用,但經(jīng)過對計算機防火墻、殺毒軟件、路由器等一整套的入侵檢測結果推斷在當前的計算機網(wǎng)絡系統(tǒng)中:入侵檢測技術還不夠完善,有著許多的缺陷,這會直接降低計算機的入侵檢測能力。
1 計算機數(shù)據(jù)庫入侵檢測技術的現(xiàn)狀問題
由于我國的入侵監(jiān)測系統(tǒng)和技術運用時間不長,因此目前我國的入侵檢測技術還處于初始階段,進步較慢,檢測的系統(tǒng)還需要完善,許多新技術與新型檢測理論都處于討論時期,還沒有正式啟用,因而入侵檢測技術還有以下不足:
1.1 漏報以及誤報的頻率較高。入侵檢測系統(tǒng)與相應的入侵檢測技術的運用目的在于維護存儲較多內容的數(shù)據(jù)庫,所以在進行系統(tǒng)應用時要求較高,尤其是監(jiān)測系統(tǒng)關卡的設置,而致使很多非外界的攻擊與病毒被檢測出來,這就影響了入侵檢測系統(tǒng)的效率以及服務質量。
1.2 入侵檢測效率低。在計算機網(wǎng)絡中,每一個數(shù)據(jù)編程與數(shù)據(jù)的入侵及反入侵,所有都需運用二進制對大量的數(shù)據(jù)進行處理,處理后才可以確保其有效運行,所以其計算量特別大,異常檢測的技術成本也特別高,造成的原因是因為用戶需求的不斷改變,其記錄也要跟著人們的需求進行更新,數(shù)量就會越來越多,又因為知識庫特征里入侵的規(guī)則是專業(yè)人員先定義后匹配的,因此更增添了其運行的成本。
1.3 較差的自身防護能力。目前的檢測技術,因為系統(tǒng)自身的問題以及技術人員能力有限,造成入侵檢測技術本身的防護能力就比較差,所以,這就會造成當有病毒入侵或外界攻擊入侵檢測系統(tǒng)時,會使整個檢測系統(tǒng)面臨癱瘓,輕者其入侵行為會造成不能正確記錄的結果,重者是系統(tǒng)被攻破,然后入侵到數(shù)據(jù)庫里。
1.4 入侵檢測技術的可擴展性差。計算機入侵檢測系統(tǒng)沒有自動更新的能力,所以無法對新的行為或病毒進行正確的判斷,從而使得病毒肆意,更甚者沖破數(shù)據(jù)庫的安全防線。
2 提升計算機入侵檢測技術的措施
2.1 建立統(tǒng)一的數(shù)據(jù)庫知識標準。研究與把握數(shù)據(jù)庫入侵的特征是非常重要的部分,特征庫的覆蓋面與準確度在所有的入侵檢測結構中都有所幫助。數(shù)據(jù)挖掘技術中經(jīng)常運用的手段就是相關研究,相關研究的重點就是制定記錄的處理以及一組的Item,提示對它們實施合理的整理與研究找出Item之間的關系,然后在數(shù)據(jù)庫系統(tǒng)內部利用將它們實施有效的整合對潛在入侵行為進行處理探索,來迅速找出潛在的入侵威脅行為。針對系統(tǒng)中的特別檢測要選擇對應的挖掘項目實施數(shù)據(jù)挖掘,這種方式主要由以下兩個方面:運用迭代技術檢測出數(shù)據(jù)庫復雜項集,此過程中要時刻對數(shù)據(jù)庫進行掃描,確保其準確性;把復雜項集變換成相關的規(guī)定,規(guī)定推出后就應實行一種新規(guī)則,然后系統(tǒng)根據(jù)此規(guī)定運行。
2.2 采用分布式層次化入侵檢測技術。目前的數(shù)據(jù)庫入侵檢測經(jīng)常會有許多局限性,只可對一種網(wǎng)絡系統(tǒng)結構實施針對性的檢測,這對許多高端的以及大規(guī)模的數(shù)據(jù)庫檢測能力不夠,另外,不同層次的數(shù)據(jù)庫監(jiān)測系統(tǒng)間的相互聯(lián)系也不足。對于這些發(fā)生的狀況,若要完善就需要運用分布式的數(shù)據(jù)庫入侵檢測技術,運用層次化升級的結論,在眾多人使用的服務器上的數(shù)據(jù)庫運用新技術才能增強計算機數(shù)據(jù)庫入侵檢測的實際能力。
2.3 智能化、標準化的數(shù)據(jù)庫入侵檢測。隨著科技的迅速發(fā)展,計算機數(shù)據(jù)庫入侵檢測系統(tǒng)也得到了極大的進步,智能設備的廣泛使用,加上醫(yī)學的遺傳學、神經(jīng)條件反射在數(shù)據(jù)庫入侵檢測的運用,給計算機數(shù)據(jù)庫入侵檢測技術帶來了巨大的發(fā)展。但這些都是初步的探索,在實際運用中還有許多的不足,所以智能化的技術若想真正的與計算機入侵檢測技術融為一體還要付出許多努力,而且,數(shù)據(jù)庫入侵檢測技術也要逐步提高自身技能,以適應新時代的發(fā)展。
2.4 可持續(xù)發(fā)展戰(zhàn)略。一種技術若想可以繼續(xù)發(fā)展就需要制定嚴格的評測準則,只有在實際使用中隨時對計算機數(shù)據(jù)庫的運用情況檢測才能為計算機的防御工作做好充分的準備。一般評測的指標都有:數(shù)據(jù)庫的應用情況、入侵檢測的范圍大小、計算機系統(tǒng)的利用狀況。然后把這些整理的數(shù)據(jù)實施統(tǒng)一的規(guī)劃處理并輸送到特定的系統(tǒng)平臺,制作出統(tǒng)一的評測準則,運用到全部計算機數(shù)據(jù)庫檢測系統(tǒng)中,最后實現(xiàn)分布式的多層次多方面的入侵檢測。
因此,計算機數(shù)據(jù)庫入侵檢測技術十分重要,不但能夠作為數(shù)據(jù)庫的保護者還能保護計算機系統(tǒng),只有積極提升計算機入侵檢測技術才能適應不斷發(fā)展的科技社會,從而保證計算機的運轉安全。
3 計算機數(shù)據(jù)庫入侵檢測技術的發(fā)展方向
隨著計算機數(shù)據(jù)庫在實際生活中的運用,它在人們的生活與工作中起著重要的作用,另外,攻擊數(shù)據(jù)庫的手段越來越復雜,越來越多的用戶選擇使用數(shù)據(jù)庫入侵檢測技術。未來,計算機數(shù)據(jù)庫入侵檢測技術主要有以下幾種發(fā)展方向:
3.1 分布式檢測。原來的入侵檢測多數(shù)拘泥于一個網(wǎng)絡結構,用來進行單一網(wǎng)絡結構的檢測,這種檢測方式無法處理規(guī)模較大的異構體系數(shù)據(jù)庫。另外,數(shù)據(jù)庫檢測體系之間的關聯(lián)度不夠。對于這種問題,最有效的手段是使用分布式數(shù)據(jù)庫入侵檢測方式。
3.2 層次化檢測。就檢測范圍來說,傳統(tǒng)的入侵檢測技術有很大的缺陷,特別是針對一些高端數(shù)據(jù)庫系統(tǒng),入侵檢測技術還有許多的問題。當前許多服務器結構系統(tǒng)都要求具備多層次的入侵檢測保護能力,來確保網(wǎng)絡的安全。針對這種問題,最可行的方式是使用層次化的檢測手段,將普通系統(tǒng)與高端數(shù)據(jù)庫系統(tǒng)區(qū)分開來,以此增強入侵檢測技術的能力。
3.3 智能化檢測。即使當前使用的計算機入侵檢測技術已經(jīng)運用到醫(yī)學中,但是運用水平還處于嘗試性階段,所以,將智能化入侵檢測列入專項課題進行討論是十分必要的,通過研究討論來增強計算機入侵檢測的自我適應能力。
3.4 標準化評測。用戶在使用數(shù)據(jù)庫時應當不定期對計算機數(shù)據(jù)庫入侵檢測系統(tǒng)實施評價檢測,評價指標包括:入侵檢測的監(jiān)測范圍、數(shù)據(jù)庫系統(tǒng)資源占用率、入侵檢測技術的可靠性。憑借這些指標,創(chuàng)造出通用的檢測平臺,最終完成多層次數(shù)據(jù)庫入侵的檢測。
4 結束語
總之,計算機數(shù)據(jù)庫入侵檢測技術對計算機系統(tǒng)正常工作起著重要的作用。為了保證計算機的正常運行,我們應當增強對計算機數(shù)據(jù)庫入侵檢測技術的研究力度,不斷依據(jù)各種問題來完善計算機數(shù)據(jù)庫入侵檢測技術的體系,最終讓用戶正常使用計算機。
參考文獻:
[1]李廣潤.計算機數(shù)據(jù)庫入侵檢測技術應用初探[J].計算機光盤軟件與應用,2013(03):41-42.
[2]吳曉風.關于計算機數(shù)據(jù)庫入侵檢測技術的幾點思考[J].太原城市職業(yè)技術學院學報,2012(12):21-22.
[3]王敏.芻議計算機數(shù)據(jù)庫的入侵檢測技術及其應用[J].課程教育研究(新教師教學),2012(11):24-25.
【關鍵詞】 網(wǎng)絡安全 入侵檢測 技術應用
入侵檢測系統(tǒng)會在收集、分析計算機主機系統(tǒng)、網(wǎng)絡核心數(shù)據(jù)的基礎上,判斷一些合法用戶濫用資源及非法用戶入侵計算機的行為,并做出對應的反應。與傳統(tǒng)的網(wǎng)絡安全技術相結合,入侵檢測系統(tǒng)通過響應與檢測大大提高了計算機系統(tǒng)的防御功能。
一、網(wǎng)絡入侵的種類
常見的網(wǎng)絡入侵包括病毒入侵、身份入侵、防火墻入侵等三種,其中病毒入侵是最常見的網(wǎng)絡入侵行為,病毒可以在網(wǎng)絡系統(tǒng)中進行自我復制,破壞網(wǎng)絡系統(tǒng)數(shù)據(jù)的安全性與完整性,病毒入侵具有隱藏性、傳染性、入侵范圍大的特點。身份入侵主要是通過欺騙性較強的網(wǎng)絡冒充合法網(wǎng)絡用戶的個人信息,再進入網(wǎng)絡系統(tǒng)內部進行相應的入侵攻擊。最后,防火墻入侵,一般情況下防火墻抵抗入侵的能力較強,但是如果防火墻設計存在缺陷,可能會導致對防火墻的直接入侵或間接入侵。
二、入侵檢測的定義及手段
入侵檢測是計算機系統(tǒng)安全審核中的重要環(huán)節(jié),入侵檢測系統(tǒng)是一種可及時捕捉計算機系統(tǒng)異常現(xiàn)象或未經(jīng)授權的非法操作行為的技術,網(wǎng)絡安全系統(tǒng)管理中,主要通過網(wǎng)絡行為、審計數(shù)據(jù)、安全策略日志等進行分析,入侵檢測技術可以針對誤操作、內部及外部攻擊進行有效的實時保護,在危險因素攻擊計算機系統(tǒng)前進行有效的響應及攔截,是一種主動性更強的防護技術。計算機網(wǎng)絡安全入侵檢測技術包括模式匹配、異常檢測、完整性分析三種手段,模式匹配主要是對計算機網(wǎng)絡的數(shù)據(jù)進行檢測,確定網(wǎng)絡攻擊特征;異常檢測則是在收集操作過程中歷史數(shù)據(jù)的基礎上,形成網(wǎng)絡正常活動的檔案,將網(wǎng)絡實時的活動情況與正常活動檔案進行比較,判斷是否有病毒入侵;完整性分析則是檢測網(wǎng)絡中的文件、目錄是否處于正常狀態(tài),該技術最大的優(yōu)勢在于可以檢測出任何一個入侵的地方。
三、網(wǎng)絡安全管理中入侵檢測技術的應用
3.1入侵信息收集
入侵檢測技術主要依靠收集數(shù)據(jù)判斷系統(tǒng)的安全性,網(wǎng)絡檢測數(shù)據(jù)主要包括系統(tǒng)日志、網(wǎng)絡日志、文件、目錄中的保密事項、執(zhí)行程序中的限制操作行為、入侵物理形式信息等等。計算機網(wǎng)絡應用進程中,要在每個網(wǎng)段中部署一個以上的IDS,才能采集所有的相關信息;入侵檢測系統(tǒng)還可設置于交換機內部或防火墻數(shù)據(jù)的出入口等,可以有效的采集到更多的關鍵核心數(shù)據(jù)。如需要采集網(wǎng)絡系統(tǒng)中不同類別的關鍵信息,要擴大檢測范圍,并設置截取網(wǎng)絡的數(shù)據(jù)包,并重點分析網(wǎng)絡系統(tǒng)中的薄弱環(huán)節(jié)。如果計算機系統(tǒng)入侵行為較少,可建立一個集中處理的數(shù)據(jù)群,提高入侵行為檢測的針對性。
3.2信息分析及處理
收集完入侵信息后要對其進行分析與處理,實踐環(huán)節(jié)主要采用兩種模式對安全隱患或問題信息進行識別與處理,即模式匹配及異常情況分析。經(jīng)過處理分析的信息再由管理器進行統(tǒng)一分析,提高了信息分析的規(guī)范化與標準化。入侵檢測技術在實踐過程中可以將問題信息傳達給控制器,由控制器進行智能化、專業(yè)化的分析,充分保障計算機系統(tǒng)及數(shù)據(jù)信息的完整性及安全性。入侵技術的設計者及使用者需要制定相應的安全操作規(guī)則,采取行之有效的安全策略,并在此基礎之上建立完善的入侵檢測模型,利用網(wǎng)絡管理中心來對相應的分析結果進行科學識別。
3.3網(wǎng)絡信息的記錄及反擊措施
入侵檢測技術的第三步就是記錄網(wǎng)絡運行中產(chǎn)生的大量數(shù)據(jù),在分析這些數(shù)據(jù)信息后對當前網(wǎng)絡環(huán)境是否存在入侵問題做出準確判斷,如果發(fā)現(xiàn)會及時采取報警措施,尤其是在醫(yī)院網(wǎng)絡這種網(wǎng)絡環(huán)境相對繁瑣的情況下,要及時采取反擊措施,才能最大程度上避免入侵活動導致的網(wǎng)絡損失。入侵檢測技術可以與防火墻技術聯(lián)合應用,設計者可以設計一個科學化的模型,開放防火墻的一個內部端口,將其根據(jù)對應的協(xié)議與入侵檢測技術的科學模型相連接,保證通信息順暢性。防火墻內均有過濾機制用于分析經(jīng)過防火墻的所有數(shù)據(jù),將網(wǎng)絡用戶非相關數(shù)據(jù)剔除后,大大提高網(wǎng)絡的安全性。
四、結語
隨著網(wǎng)絡信息技術的不斷發(fā)展,網(wǎng)絡攻擊行為也越來越先進,網(wǎng)絡安全問題日益突出,入侵檢測技術在保障網(wǎng)絡安全中意義十分重大。入侵檢測系統(tǒng)在傳統(tǒng)的網(wǎng)絡安全技術基礎之上,完成了響應和檢測,起到了充分的防御功能,對網(wǎng)絡安全事故的處理實現(xiàn)了事后發(fā)現(xiàn)到事前預警以及自動化響應的過渡等。相信隨著網(wǎng)絡應用技術的發(fā)展,入侵檢測技術也會向著智能化、分布式的方向發(fā)展,為網(wǎng)絡安全管理提供更加可靠的保障。
參 考 文 獻
[1]胥瓊丹.入侵檢測技術在計算機網(wǎng)絡安全維護中的應用[J].電腦知識與技術,2014(11)
入侵檢測(intrusion detection, id)是指通過對行為、安全日志或審計數(shù)據(jù)或其它可以獲得的信息進行操作,檢測到對系統(tǒng)的闖入或闖入的企圖。它通過對計算機系統(tǒng)或網(wǎng)絡計算機系統(tǒng)中的若干關鍵點收集信息并對其進行分析,從中發(fā)現(xiàn)系統(tǒng)或網(wǎng)絡中是否有違反安全策略的行為和被攻擊的跡象。
信息管理系統(tǒng)(mis)在一個企業(yè)的正常運轉中具有十分重要的作用,很多情況下,內部人員由于本身具有的特定權限,其相應的誤操作和有意破壞,將會直接影響到服務器數(shù)據(jù)的完整性和安全性,給安全生產(chǎn)帶來隱患。
現(xiàn)有的入侵檢測系統(tǒng)多數(shù)采用概率統(tǒng)計、專家系統(tǒng)、神經(jīng)網(wǎng)絡等智能化方法來實現(xiàn)系統(tǒng)的檢測機制。其中,神經(jīng)網(wǎng)絡方法可以利用大量實例通過訓練的方法構造正常行為模型,能夠有效預測未知的攻擊,并且它有自適應、自學習、自組織、并行性等優(yōu)點,在攻擊類型上,則對非授權獲得超級用戶權限和遠程到本地的非授權訪問的檢測效果顯著。
本文將著力使用改進的bp神經(jīng)網(wǎng)絡,通過有效的數(shù)據(jù)選取和學習,來著重解決mis中的安全隱患問題。 1 入侵檢測的分類
入侵檢測就其數(shù)據(jù)源分類而言可以分為基于主機的入侵檢測(hids)和基于網(wǎng)絡的入侵檢測(nids)。hids通過分析特定主機上的行為來檢測入侵,其數(shù)據(jù)來源通常是系統(tǒng)和應用程序的審計日志或系統(tǒng)的行為數(shù)據(jù)。nids一般通過分析網(wǎng)絡流量,網(wǎng)絡數(shù)據(jù)包和協(xié)議來分析檢測入侵,從大量的網(wǎng)絡數(shù)據(jù)包中提取模式/特征,然后進行相應的分析。
就入侵檢測技術而言則主要分為異常檢測和誤用檢測。異常檢測技術根據(jù)異常檢測器觀察主體的活動,然后模擬出這些活動正常行為的輪廓,通過比較當前的輪廓和模擬正常輪廓來判斷異常行為,可以檢測出未知的入侵。誤用檢測技術通過已知的入侵建立誤用模型,將用戶當前的行為與這些入侵模型進行匹配,可以實現(xiàn)快速的檢測。
基于主機的入侵檢測可以從所監(jiān)測的主機收集信息,從而以很細的粒度分析主機行為,能夠精確的確定對操作系統(tǒng)執(zhí)行惡意行為的進程和用戶。該入侵檢測技術一般用于保護關鍵應用服務器,考慮到大多數(shù)mis系統(tǒng)采用的c/s結構和實際需要,本文主要研究基于主機的用戶數(shù)據(jù)庫調用,同時結合異常和誤用兩種技術檢測入侵。 2 入侵檢測模型介紹
任何一個入侵檢測系統(tǒng)都必須基于合理的入侵檢測模型。其中cidf(common intrusion detection framework)模型(如圖1)正逐漸成為ids的公共標準。
圖1:cidf通用入侵檢測模型
本文在cidf通用模型基礎之上,提出一種企業(yè)入侵檢測模型(如圖2)。系統(tǒng)基于windows平臺,數(shù)據(jù)庫采用sqlserver。ids直接運行在服務器端,實時監(jiān)測各個客戶端的數(shù)據(jù)庫調用。
圖2:企業(yè)應用系統(tǒng)入侵檢測模型 2.1 主要功能模塊介紹
模型主要由四個主要模塊組成:
數(shù)據(jù)采集:主要由sqlserver跟蹤日志給出,相當于事件產(chǎn)生器;
檢測單元:主要由神經(jīng)網(wǎng)絡訓練出一個相對穩(wěn)定的正常模型,用于檢測異常調用,相當于事件分析器;
特征數(shù)據(jù)庫:主要利用誤用檢測的特點,實現(xiàn)快速檢測各種已知的異常調用,并直接反饋倒報警單元,相當于事件數(shù)據(jù)庫,其征數(shù)據(jù)庫與被監(jiān)控數(shù)據(jù)庫分離存儲;
報警單元:主要是殺掉異常調用的客戶端進程,反饋給系統(tǒng)管理員并記錄到自定義日志文件,相當于響應單元。 2.2 流程介紹
系統(tǒng)主要流程是:首先通過采集的樣本數(shù)據(jù)經(jīng)過訓練后形成檢測單元,建立相應特征數(shù)據(jù)庫并完成日志文件初始化工作;然后實時監(jiān)測客戶端調用,將數(shù)據(jù)直接和特征數(shù)據(jù)庫進行匹配,如有匹配則送入報警單元,反之則送入檢測單元;檢測單元將數(shù)據(jù)作為輸入向量與正常模型比較,如果泛化輸出值大于期望值,則列為異常,直接送入誤用數(shù)據(jù)庫存儲,并通知報警單元,反之繼續(xù)監(jiān)測各調用。
下面從數(shù)據(jù)采集和神經(jīng)網(wǎng)絡學習兩方面來討論系統(tǒng)具體實現(xiàn)的關鍵技術。 3 關鍵技術實現(xiàn) 3.1數(shù)據(jù)采集 入侵檢測的關鍵是用戶行為特征的提取。本文主要研究客戶端對主機數(shù)據(jù)庫的安全調用,所以考慮sqlserver跟蹤各客戶端的數(shù)據(jù)庫調用作為數(shù)據(jù)源,主要利用sqlserver的事件探察器,建立新的跟蹤文件,針對tsql、存儲過程、安全審核、會話等事件,選取objectid, loginname, cpu, read, write clientprocessid, spid 七個數(shù)據(jù)列作為輸入向量。分別表示客戶端對數(shù)據(jù)庫表、存儲過程和視圖的調用;客戶數(shù)據(jù)庫登陸名;cpu占用時間;對數(shù)據(jù)庫的讀寫操作;客戶端進程號和系統(tǒng)分配進程號。這七種數(shù)據(jù)在對數(shù)據(jù)庫的調用過程中相對穩(wěn)定。loginname中則主要考慮客戶端默認調用sa,采集到的數(shù)據(jù)都是十進制數(shù)據(jù),不需要額外的數(shù)據(jù)預處理,符合神經(jīng)網(wǎng)絡輸入的要求。 3.2 神經(jīng)網(wǎng)絡學習
系統(tǒng)采用vogl改進批處理bp學習算法,采用三層神經(jīng)網(wǎng)絡:輸入單元為七個,分別對應上述七個處理向量;輸出層為一個神經(jīng)單元,輸出結果規(guī)定在(0,1)范圍內,用0表示為正常行為,用1表示為異常行為;隱層結點通過試驗確定為6個;權值和閾值為小的隨機數(shù);學習率為0.1;隱含層和輸出層采用sigmoid函數(shù)f(x)=(1+e-x)-1為激發(fā)函數(shù),該函數(shù)具有非線性放大功能,可以把輸入從負無窮大放大到正無窮大的信號,變換到0到1之間的輸出,可以逼近非線性輸入/輸出關系。我們將七種特征向量作為神經(jīng)網(wǎng)絡的輸入向量,訓練的結果就是確定了bp網(wǎng)絡的權值,而這些權值就存儲了行為的特征模式,將訓練后的神經(jīng)網(wǎng)絡用于實際的工作,就可以判斷是否有異常的調用,如發(fā)現(xiàn)了新的非權限異常調用,則把檢測到的模式存儲到特征數(shù)據(jù)庫。
詞】電子政務;入侵檢測;信息安全;數(shù)據(jù)挖掘
Research Survey on Intrusion Detection Based on the E-government Information Systems
SHANG Lei
(Shandong University of Political Science and Law,Jinan Shangdong,250013,China)
【Abstract】With the development of computer technology and network technology, E-government was widely used. It also caused many security problems. As a proactive defense of the new technology, Intrusion Detection System (IDS)can be helpful for E-government information safely. This paper presented a summary of the current state of IDS based on E-government, and some directions for future research are addressed.
【Key words】E-government;Intrusion-detection;Information security;Data mining
0 引言
隨著以互聯(lián)網(wǎng)為主要表現(xiàn)形式的信息通信技術的快速發(fā)展和廣泛應用,信息化為行政改革推波助瀾,發(fā)展電子政務成為21世紀全球范圍內的一個不可扭轉的趨勢。電子政務的實施中涉及眾多重要的政府信息,甚至國家安全信息,這些信息承載著各級政府管理部門的信息傳遞與流程管理,比任何商務信息或個人信息更為敏感,因此信息安全問題是電子政務建設中至關重要的核心議題。
電子政務系統(tǒng)面臨的安全威脅主要表現(xiàn)在以下幾個方面:(1)系統(tǒng)安全漏洞威脅。政務系統(tǒng)本身存在一些漏洞或缺陷,軟件安全性不高,為攻擊者利用,如操作系統(tǒng)漏洞、數(shù)據(jù)庫管理系統(tǒng)漏洞、通信協(xié)議本身的安全漏洞等。(2)計算機病毒。(3)外部入侵。政務網(wǎng)絡的開放性要求,給黑客攻擊帶來了便利。(4)內部攻擊。如內部人員的惡意破壞或越權訪問、內部管理疏漏誤操作、管理人員濫用職權等。入侵檢測技術是應用在防御主動攻擊方面的一種動態(tài)網(wǎng)絡安全技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護,應用于電子政務信息系統(tǒng)中,將很大程度的提高系統(tǒng)的防御能力。
1 相關概念簡介
1.1 電子政務
關于電子政務(electronic government),國內外的組織結構存在著不同的定義,在我國將其定義為:政府機構應用現(xiàn)代信息和通信技術,將管理和服務通過網(wǎng)絡技術進行集成, 在互聯(lián)網(wǎng)上實現(xiàn)政府組織結構和工作流程的優(yōu)化重組,超越時間、空間與部門分隔的限制,全方位地向社會提供優(yōu)質、規(guī)范、透明、符合國際水準的管理和服務。[1]電子政務的實施涉及政府機關內部、其他機關、團體、企業(yè)和社會公眾,其中應用于G2G(政府間的電子政務)的系統(tǒng)如:電子辦公系統(tǒng)、電子培訓系統(tǒng)、業(yè)績評價系統(tǒng)、電子法規(guī)政策系統(tǒng)、電子公文系統(tǒng)、電子司法檔案系統(tǒng)等。應用于G2B(政府對企業(yè)的電子政務)的信息系統(tǒng)如:電子稅務系統(tǒng)、電子證照辦理系統(tǒng)、電子采購與招標系統(tǒng)等。G2C(政府對公民的電子政務)系統(tǒng):社會保險服務網(wǎng)絡、電子醫(yī)療服務系統(tǒng)、交通管理服務系統(tǒng)等。這些系統(tǒng)的共同特點是基于互聯(lián)網(wǎng)、存在信息的雙向交流、有一定的開放性,因此為保證電子政務的信息安全, 有必要對其信息和網(wǎng)絡系統(tǒng)進行專門的安全設計。
1.2 入侵檢測
1980 年,James P. Anderson 發(fā)表了論文《Computer Security Threat Monitoring and Surveillance》,文中第一次精確給出了入侵的概念,并將入侵劃分為:外部闖入、內部授權用戶的越權使用和濫用三種類型,提出了用審計追蹤來監(jiān)視入侵威脅。1998 年,Ross Anderson 和 Abida Khattak 將信息檢索的技術引進了入侵檢測方面,隨后人工智能、分布式技術、神經(jīng)網(wǎng)絡技術的加入奠定了入侵檢測系統(tǒng)的設計基礎。
人侵偵測系統(tǒng)( Intrusion Detection System ,IDS )[2]對計算機網(wǎng)絡及基于網(wǎng)絡的系統(tǒng)進行監(jiān)視,依據(jù)監(jiān)視結果針對不同的入侵行為采用不同的安全策略,以期最大程度地降低入侵帶來的危害,是一種主動檢測系統(tǒng)是否受到攻擊的網(wǎng)絡安全技術。入侵檢測系統(tǒng)的主要功能包括:監(jiān)視、分析用戶及系統(tǒng)活動;識別、反映已知進攻的活動模式;統(tǒng)計分析異常行為模式;審計、跟蹤管理操作系統(tǒng),識別用戶違反安全策略的行為等。總體來說,入侵檢測系統(tǒng)的發(fā)展經(jīng)歷了五個階段:基于主機的入侵檢測系統(tǒng),HIDS;基于多 主機的入侵檢測系統(tǒng);基于網(wǎng)絡入侵檢測系統(tǒng),NIDS;分布式入侵檢測系統(tǒng);以及面向大規(guī)模網(wǎng)絡的入侵檢測系統(tǒng)。[3]在技術上分為基于特征的檢測和基于異常的檢測,。通過對現(xiàn)有的入侵檢測系統(tǒng)研究,應用于入侵檢測的方法主要包括:專家系統(tǒng)、有限狀態(tài)機、統(tǒng)計分析、模式匹配、類神經(jīng)網(wǎng)絡、模糊理論、分布式處理等技術。 2 電子政
務信息系統(tǒng)入侵檢測技術分析
電子政務系統(tǒng)安全是多因素、多層次、多目標、動態(tài)變化的復雜系統(tǒng)工程,需要從整體上認識處理網(wǎng)絡、信息和應用的安全問題,尋求一種大規(guī)模應用環(huán)境下具有高安全性和一定開放性的安全體系結構,入侵檢測技術成為其中重要的研究方向。目前已有很多研究者投入到該領域的研究通過人工智能技術、移動技術、數(shù)據(jù)融合和信息關聯(lián)技術提高入侵檢測系統(tǒng)的功能和效率。 2.1 基于數(shù)據(jù)挖掘的入侵檢測技術
將數(shù)據(jù)挖掘技術應用到入侵檢測系統(tǒng)中,是近年發(fā)展起來的熱點問題,哥倫比亞大學的Wenke Lee等人首先提出將數(shù)據(jù)挖掘技術應用于電子政務入侵檢測。[2]基本的數(shù)據(jù)挖掘技術包括:數(shù)據(jù)采集、數(shù)據(jù)預處理、模式發(fā)現(xiàn)、模式評估及知識表示,其中模式發(fā)現(xiàn)是整個過程的關鍵。數(shù)據(jù)挖掘技術可以在大量網(wǎng)絡數(shù)據(jù)及審計數(shù)據(jù)中挖掘出異常或入侵性的行為模式,也可以找出用戶正常行為來創(chuàng)建用戶的正常行為庫,降低訓練集獲取的難度。目前用于電子政務入侵檢測的數(shù)據(jù)挖掘方法主要有序列分析、聚類分析、關聯(lián)分析、分類分析等。文獻[2]中提出了一種基于電子政務的數(shù)據(jù)挖掘異常入侵檢測模型,將模型的工作過程定義為數(shù)據(jù)采集、數(shù)據(jù)預處理、關聯(lián)挖掘、入侵檢測四步。文獻[4]提出基于最小距離的聚類算進行聚類分析,大大提高了電子政務信息系統(tǒng)的安全能力。
2.2 基于多主體技術的入侵檢測
協(xié)同工作是電子政務系統(tǒng)的重要特點,同時也是解決電子政務系統(tǒng)安全問題時必須考慮的因素。人工智能領域的多主體( multi-agent)協(xié)作技術能夠有效處理分散的、分布的、不同種類的在線信息資源,是構造大型、復雜、魯棒的分布式信息處理系統(tǒng)的有效解決方案。多agent技術最早出現(xiàn)于20世紀70年代的人工智能領域,用于解決大規(guī)模復雜問題的智能求解而發(fā)展起來的,[5]該技術的基本思想是把大的復雜系統(tǒng)分解為許多小的、可以實現(xiàn)相互通信、能夠彼此協(xié)調工作的自治系統(tǒng)(A-gent),然后通過這些自治A gent的交互、協(xié)作等智能行為完成復雜的任務求解。
目前多agent技術在電子政務系統(tǒng)協(xié)同工作設計中應用非常廣泛,在文獻[5]中提出了一個基于多A gent的電子政務應用系統(tǒng)平臺模型,并在此基礎上設計了基于多A gent技術的網(wǎng)絡攻擊自動檢測及免疫系統(tǒng),利用多個子Agent的相互協(xié)作自動識別外部攻擊,以支持不同安全策略之間的互操作性,系統(tǒng)中分別定義了用戶接口Agent、認證Agent、授權Agent、審計Agent,它們由智能協(xié)作Agent進行協(xié)調管理。文獻[6]提出了一種基于環(huán)型協(xié)作機制的分布式入侵檢測系統(tǒng)模型,用于提高系統(tǒng)的安全性、高可靠性和協(xié)作能力。它將分布在各處的監(jiān)測站點組織成一個邏輯環(huán),由運行在環(huán)中的令牌來實現(xiàn)對協(xié)作的控制和驅動,從而提高網(wǎng)絡人侵檢測能力。
3 結束語
入侵檢測作為防火墻之后的第二道閘口正日益成為保障電子政務網(wǎng)絡系統(tǒng)安全的一種重要手段。人工智能、數(shù)據(jù)挖掘、分布式處理等技術的應用在一定程度上降低了入侵檢測的誤報率和漏報率,提高了系統(tǒng)的功能和效率,有效地保護了電子政務系統(tǒng)的安全。但該技術在電子政務安全領域的應用還處于研究和發(fā)展階段,還有許多問題有待解決,如對攻擊意圖的識別、攻擊模式自動獲取、以及與其他安全技術結合等問題。
【參考文獻】
[1]蔣毅.電子政務基礎[M].機械工業(yè)出版社,2006:31-33.
[2]王悅.基于電子政務的數(shù)據(jù)挖掘異常入侵檢測技術[J].微計算機信息,2010,26(9-1):236-238.
[3]張超,霍紅衛(wèi),錢秀檳,張玉清.入侵檢測系統(tǒng)概述[J].計算機工程與應用,2004,3:116-119.
[4]朱景鋒.物聯(lián)網(wǎng)環(huán)境下電子政務信息系統(tǒng)入侵檢測技術分析與對策研究[J].科技通報,2012,4,28(4):130-132.
隨著計算機網(wǎng)絡技術的飛速發(fā)展其廣泛應用于我國各項社會服務、經(jīng)濟金融、政治軍事、教育國防事業(yè)中,令企事業(yè)單位生產(chǎn)運營效率全面提升,可以說計算機網(wǎng)絡系統(tǒng)真正給人們的生活創(chuàng)設了便利,構建了共享化、高效化、現(xiàn)代化的社會發(fā)展環(huán)境。同時網(wǎng)絡系統(tǒng)由于自身建設、程序設計、操作失誤等因素不可避免的包含許多病毒或漏洞,給黑客入侵者以可乘之機,并給重要數(shù)據(jù)信息的安全引入了諸多不可預測的復雜風險,動輒令企事業(yè)單位機密文件丟失、個人信息被不良竊取,造成了嚴重的經(jīng)濟損失。
1 計算機網(wǎng)絡常見入侵方式
針對計算機網(wǎng)絡的入侵主要指應用相應計算機程序調試技巧、編寫技巧實現(xiàn)對未授權文件或網(wǎng)絡的非法訪問,并入侵至網(wǎng)絡中的不良行為。當前常見的計算機網(wǎng)絡入侵包括病毒攻擊、身份攻擊、拒絕服務、防火墻攻擊、網(wǎng)絡欺騙、木馬攻擊、后門入侵、惡意程序攻擊、入侵撥號程序、邏輯炸彈攻擊、破解密碼、垃圾搜尋、社交工程攻擊等。所謂病毒攻擊即利用其自我復制特性進行系統(tǒng)資源的破壞、侵襲,對其數(shù)據(jù)完整性進行不良破壞或竊取、令系統(tǒng)拒絕服務,該攻擊入侵方式具有隱蔽性、傳播性、繁殖性、潛伏性與寄生性等特征。身份攻擊則利用網(wǎng)絡服務對用戶身份的確認進而通過竊取、欺騙手段對合法用戶身份進行冒充以實現(xiàn)網(wǎng)絡攻擊目標,該類攻擊包含漏洞攻擊、收集信息攻擊與口令攻擊等。其中獲取與收集信息主要采用試探方式,例如掃描賬戶、ping、掃描漏洞、端口與嗅探網(wǎng)絡方式進而對系統(tǒng)漏洞、服務、權限進行探測,采用工具與公開協(xié)議對網(wǎng)絡中各主機存儲的有用信息進行獲取與收集,并捕捉到其存在的漏洞,進而為后續(xù)攻擊做準備。針對防火墻進行攻擊具有一定難度,然而一旦攻擊得手將造成網(wǎng)絡系統(tǒng)的崩潰、癱瘓,令用戶蒙受較大損失。拒絕服務攻擊主體將一定數(shù)量與序列的報文傳送至網(wǎng)絡中令大量的恢復要求信息運行充斥于服務器中,導致網(wǎng)絡帶寬與系統(tǒng)資源被不良消耗,進而令其無法正常的服務運行、甚至不勝負荷而引發(fā)系統(tǒng)死機、癱瘓現(xiàn)象。網(wǎng)絡欺騙主要通過對電子郵件、網(wǎng)頁的偽造誘導用戶錄入關鍵隱私信息,例如密碼、銀行賬戶、登錄賬戶、信用卡信息等進而實現(xiàn)竊取入侵目標。對撥號程序的攻擊通過自動撥號進行調制解調器連接通道的搜尋,以實現(xiàn)入侵目標。邏輯炸彈則是計算機軟件中嵌入的一類指令,可通過觸發(fā)進而實現(xiàn)惡意的系統(tǒng)操作。
2 入侵檢測技術內涵
入侵檢測技術通過對安全日志、人們行為與數(shù)據(jù)的審計、可獲取信息展開操作進而檢測到企圖闖入系統(tǒng)的信息,包含檢測、威懾、評估損失狀況、預測攻擊與支持等。該技術可以說是防火墻系統(tǒng)技術的良好補充,可有效輔助系統(tǒng)強化其應對異常狀況、非授權、入侵行為能力,通過實時檢測提供對外部、內部攻擊與誤操作的動態(tài)實時保護,是一種安全有效的防護策略技術,入侵檢測硬件與軟件的完善結合便構成了入侵檢測系統(tǒng)。合理應用該技術可令不良入侵攻擊行為在危害系統(tǒng)之前便被準確的檢測到,進而利用防護與報警系統(tǒng)將入侵攻擊驅逐,降低其造成的不良損失。當系統(tǒng)被攻擊入侵后我們則應通過對入侵信息的全面收集構建防范知識系統(tǒng),進而提升網(wǎng)絡系統(tǒng)綜合防范能效。
3 計算機網(wǎng)絡安全中科學應用入侵檢測技術
入侵檢測技術主要通過對維護網(wǎng)絡安全、分析、監(jiān)視系統(tǒng)與用戶活動、審計系統(tǒng)弱點與構造、對已知進攻模式活動進行反應識別并報備、分析統(tǒng)計異常行為、對數(shù)據(jù)文件與重要系統(tǒng)完整性進行評估、跟蹤審計操作系統(tǒng)實施管理、識別違反安全的活動等行為進而確保計算機網(wǎng)絡系統(tǒng)的可靠安全。一般來講網(wǎng)絡檢測入侵系統(tǒng)包含多層次體系結構,即、控制與管理層等,控制層承擔由獲取收集信息職能,并對所受攻擊事項進行顯示,進而實現(xiàn)對的管理與配置。承擔對網(wǎng)絡數(shù)據(jù)包的監(jiān)視職能,并將檢測的數(shù)據(jù)信息、攻擊行為發(fā)送至管理層。管理器承擔對各類報警與日志的管理,以及對檢測到的攻擊信息與安全信息進行顯示,響應攻擊警告與配置信息,對控制臺的各類命令進行有效執(zhí)行,并令由的警告攻擊信息傳輸至控制臺,最終完成了整體入侵檢測過程。依據(jù)該過程我們制定科學的入侵檢測技術應用策略。
3.1收集信息策略
應用入侵檢測技術的首要關鍵因素在于數(shù)據(jù),我們可將檢測數(shù)據(jù)源分為網(wǎng)絡、系統(tǒng)日志、文件與目錄中不期望更改事項、執(zhí)行程序中不期望各項行為、入侵的物理形式信息等。在應用進程中對信息的收集應位于每一網(wǎng)段之中科學部署至少一個IDS,依據(jù)相應的網(wǎng)絡結構特征,采集數(shù)據(jù)部分由多樣連接形式構成,倘若位于網(wǎng)段中應用交換集線器連接,其核心交換機芯片一般會設有調試端口,我們可連接IDS系統(tǒng)于該端口之中。同時設置入侵檢測系統(tǒng)于防火墻或交換機內部的數(shù)據(jù)流出口或入口,進而獲取所有核心關鍵數(shù)據(jù)。對于網(wǎng)絡系統(tǒng)中不同類別的信息關鍵點收集我們不僅應依據(jù)檢測對象擴充檢測范疇、對網(wǎng)絡包截取進行設置,同時還需要應對薄弱環(huán)節(jié),即來源于統(tǒng)一對象的各項信息可能無法發(fā)掘疑點,因而需要我們在收集入侵信息時,應對幾個來源對象信息包含的不一致性展開重點分析,令其作為對可疑、入侵行為科學判斷的有效標識。對于整體計算機網(wǎng)絡系統(tǒng)來講,入侵行為相對有限,因此對各類少數(shù)的數(shù)據(jù)異常,我們可令其孤立,進而構建而成數(shù)據(jù)群展開集中性處理,強化分析入侵行為的針對性。
3.2分析檢測入侵信息
完成收集的信息我們可利用異常分析發(fā)現(xiàn)與匹配模式進行綜合數(shù)據(jù)分析,進而發(fā)掘與安全策略違背的行為,將其合理發(fā)送至管理器。實踐應用中我們應對各類系統(tǒng)漏洞、網(wǎng)絡協(xié)議進行清醒深刻認識,遵循制定的安全策略與規(guī)則,利用異常檢測與濫用檢測模型進行分析過程模擬,合理確認識別異常與特征攻擊行為,最終令分析結構構建成為報警信息并發(fā)送至管理控制中心。對于TCP/IP協(xié)議網(wǎng)絡,我們還可采用探測引擎技術,應用旁路偵聽對網(wǎng)絡流經(jīng)的所有數(shù)據(jù)包進行動態(tài)監(jiān)視,并依據(jù)用戶定義相關策略展開檢測,有效識別各類網(wǎng)絡事件并告知控制中心,令其進行定位與報警顯示。
3.3響應入侵信息
針對入侵信息我們應作出準確反應,基于數(shù)據(jù)分析基礎檢測本地網(wǎng)段,令數(shù)據(jù)包中隱藏的惡意入侵準確發(fā)掘出來,并及時作出響應。該環(huán)節(jié)涵蓋告警網(wǎng)絡引擎、通知控制臺、發(fā)送郵件于安全管理人員、對實時會話進行查看并通報制控制臺,對現(xiàn)場事件如實記錄日志,并采取相應安全行為進行網(wǎng)絡配置的合理調整、終止不良入侵,對特定用戶相應程序進行合理執(zhí)行。另外我們可促進防火墻與入侵檢測技術的優(yōu)勢結合應用,創(chuàng)設兩者的協(xié)同模型及安全網(wǎng)絡防護體系。令兩者共同開放接口并依據(jù)固定協(xié)議展開通信,實現(xiàn)對端口進行約定。防火墻應用過濾機制對流經(jīng)數(shù)據(jù)包展開解析并令其同事先完成定義的規(guī)則展開對比,進而令非授信數(shù)據(jù)包準確過濾。對于繞過防火墻的數(shù)據(jù)包我們可利用入侵檢測技術依據(jù)一致特征規(guī)則集進行網(wǎng)絡攻擊檢測并做出及時響應,確保對各類入侵攻擊的有效防御。
4結論
總之,基于網(wǎng)絡入侵不良影響我們只有主力研究如何有效防范網(wǎng)絡入侵,科學檢查、預測攻擊行為,基于入侵檢測思想進行實時動態(tài)監(jiān)控,才能防患于未然令攻擊影響消失在萌芽狀態(tài),進一步阻礙不良攻擊事件的發(fā)生及擴大,進而真正創(chuàng)設優(yōu)質、高效可靠的網(wǎng)絡運行環(huán)境。
參考文獻
