发布时间:2023-04-23 15:24:48
序言:写作是分享个人见解和探索未知领域的桥梁,我们为您精选了8篇的入侵检测论文样本,期待这些样本能够为您提供丰富的参考和启发,请尽情阅读。
1入侵检测系统分析
表1分析了入侵检测系统结构变化。
表1IDS出现的问题及结构的变化
IDS发展解决的问题结构特征
基于主机单一主机的安全各部分运行在单节点上
基于网络局域网的安全采集部分呈现分布式
分布式单一分析节点的弱势分析部分呈现分布式
网格的运行是由用户发起任务请求,然后寻找资源搭配完成任务,这样形成的团体称为虚拟组织(VO),网格入侵检测系统是为其他VO提供服务的VO[1],目前其面临的主要问题如下:
(1)分布性:包括资源分布和任务分解。
(2)动态部署:系统是为VO提供服务的,其部署应是动态的。
(3)动态形成:系统本身也是一VO,是动态形成的。
(4)最优方案选择:本系统需多种网格资源协同进行,要选择一个最优方案。
(5)协同计算:保证按照入侵检测流程顺利运行。
(6)动态改变:防止资源失效。
目前关于网格入侵检测系统的研究[2]只能说解决了分布性、动态形成、协同计算。而对于动态部署[1]、动态改变[3]仍处于研究中。
2VGIDS系统模型
VGIDS基于开放网格服务(OGSA)思想提出了一个公共服务——GIDSService来解决目前网格入侵检测系统面临的问题。整个VGIDS结构如图1所示。
(1)VO-Based:网格是一个虚拟组织的聚集,本系统提出一虚拟组织目录(VOL)。用户向GIDSService提交请求并将被检测VO代号作为参数。GIDSSevvice查找VOL获取VO信息。当VOL数量减为一就成为单一网格应用,可由网格管理(GM)将VO信息传给GIDSServic。
图1VGIDS系统结构
(2)GIDSService:负责资源发现,调度。具体包括:
RI(RequestInterface):服务接口,负责服务请求及VO信息获取。同VOL解决动态部署。
DA(DelegationAgent):委托。同用户交互获得用户委托授权。
DD(DistributedData):分布式数据。存储VGIDS需要的资源信息。解决分布问题。
RQ(ResourceQuery):资源查询。当获得用户授权后便由RQ根据DD描述向资源目录(RL)查找资源。解决分布问题。
PC(PlanChoose):最优方案选择。当从RL获得可用资源后PC根据AM(任务管理)要求选择一个最优方案。本文称为多维最优路径选择问题。
AM(AssignmentManage):任务管理。首先根据DD存储所需资源的调度信息,当VGIDS形成后,根据PC的方案选择及DD存储的资源信息进行任务的调度和协同各分布资源的交互,解决协同计算。
IR(IntrusionReaction):入侵响应。
SN(SecurityNegotiate):安全协商。同资源和用户的安全协商。
DI(DynamicInspect):动态检查。负责检查资源失效向RQ发起重新查找资源请求。解决动态改变问题。
LB(LoadBalance):负载平衡。主要根据DD信息解决网格资源调度的负载平衡问题。
3VGIDS服务描述
本系统是一动态虚拟组织,在系统运行之前必须以静态网格服务的形式部署于网格之上,当用户申请时再动态形成。
定义1:VGIDS的静态定义如下:VGIDS=<Base,Resource,Role,Task,Flow,Relation>
Base为VGIDS基本描述,Base=<ID,Power,IO,Inf,log,goal,P>。ID为虚拟组织编号;Power为获得的授权;IO为被检测对象;Inf为监控VGIDS获得的信息文件;log为系统日志;goal为VGIDS目标,包括调度算法所估计的系统效率及用户要求;P为系统交互策略,需同网格资源进行交互,授予资源角色和相关权利并同时分配相关任务。
Resource为VGIDS的所有资源,Resource=<IP,Property,Serve,Power,P>。
IP为资源地址;Property为资源属性(存储、分析),方便角色匹配;Serve为资源可提供的服务指标;Power为使用资源所要求的授权;P为资源交互策略。
Role为存在的角色类型,Role=<ID,Tas,Res,Power>。ID为角色的分类号,按照工作流分为5类角色分别对应VGIDS的5个环节;Tas为角色任务;Res为角色需要的资源类型;Power为角色所获得的权利。
Task为工作流任务集合。Task=<ID,Des,Res,Role,P>。ID为任务标号;Des为任务描述;Res为需要的资源种类;Role为任务匹配的角色;P为Task执行策略。
Flow为工作流描述文件,Flow=<Role,Seq,P>。Role为角色集合,Seq为角色执行序列,P为对于各个角色的控制策略。
Relation为已确定资源Resource和Role之间的关系。Relation=<Res,Role,Rl>。Res为资源集合,Role为角色集合,Rl为对应关系。
4多维最优路径选择
4.1问题描述
将图1抽象为图2模型定义2:Graph=(U、D、A、{Edge})。
U为所有被检测对象的集合,Un=(Loadn、Pn),Loadn为Un单位时间所要求处理的数据,Pn为Un在被检测VO中所占权重,如果P为空,则按照Load大小作为权重。
D为存储服务集合,Dn=(Capn、Qosdn),Capn为Dn提供的存储容量。Qosdn为Dn提供的服务质量,近似为数据吞吐率。
A为分析服务集合,An=(Classn、Qosan),Classn为An处理的数据种类,如系统日志或网络流量。Qosan为An提供的服务质量,近似为处理速率。
Edge为边的集合,有网络传输速度加权v。
图2VGIDS调度模型
定义3:Qos定义为一个多维向量,可用一个性能度量指标的集合表示:
{M1(t)、M2(t),…,Mn(t)}
Mn(t)为一个与网格服务质量有关的量,如CPU的主频、网络速度、内存。服务的执行过程体现出来的性能参数是一条n维空间的轨迹M,这个n维空间的每一维代表一个性能指标
M=R1*R2*…*Rn
其中,Rn是性能指标Mn(t)的取值范围。在本系统中存在两类Qos,分别为D和A。本系统强调实时性,所以CPU、RAM和网络速度占很大权重,Qos计算公式如下:
Wcpu表示CPU的权重;CPUusage表示当前CPU使用率;CPUspeed表示CPU的实际速度;CPUmin表示要求的CPU速率的最小值。Wram表示RAM的权重;RAMusage表示当前RAM使用率;RAMsize表示RAM的实际大小;RAMmin表示要求的RAM的最小值。Wnet表示网络传输的权重;NETusage表示当前网络负载;NETspeed表示网络的实际速度;NETmin表示要求的网络传输速率的最小值。
资源调度就是利用对各个资源的量化,为每一检测对象选择一条数据传输路径。本系统目标是使整个VO获得快速的检测,而不是对个别对象的检测速率很高。
定义4:对于任意一个被检测VO的检测对象,如果能够为其构造一条检测路径,称系统对于此对象是完备的。
定义5:对于VO,如果能够为其所有的检测对象构造检测路径,则称系统对于被检测VO是完备的。
本调度算法的目的便是在满足被检测VO和入侵检测工作流要求下,按照所选网格资源提供的能力为整个VO构造VGIDS,使所有被检测对象检测效率之和最高。这是一非典型的线性规划问题,如下定义:
X1,…Xn是n个独立变量,表示VGIDS所选路径;公式<5>表示最大耗费时间;公式<6>—<8>表示所有对于Xn的约束条件。由于Xn变量难以确定并且约束条件种类较多所以难以将上述问题标准化为公式<5>—<8>。
4.2算法描述
本文利用贪心选择和Dijkstra算法进行调度。
按照用户给出的U的权值P从大到小进行排序,if(P==NULL),则按Load从大到小进行排序得到排序后的对象数组和负载数组为
U[i](0<i≤n,n为U的大小);Load[i](0<i≤n,n为U的大小)
for(i=0;i<=n;i++),循环对U和Load执行以下操作:
(1)对于所有边,定义其权值为网络传输时间t=Load[i]/v,对于所有服务D和A定义其处理数据时间为t1=Load[i]/Qos,将t1加到每一个服务的入边上得到最终各边权值,如果两点之间没有边相连则t[j]为∞。
(2)定义Capmin[i]为U[i]对于数据存储能力的最低要求,Qosdmin为U[i]对于D中服务质量的最低要求,Qosamin为U[i]对于A中服务质量的最低要求。对于所有D中Cap<Capmin[i]或者Qosd<Qosdmin的节点以及A中Qosa<Qosamin[i]的节点,将其所有输入和输出边的t设为∞。
(3)设所有点集合为V,V0为检测对象,边Edge定义为<Vi,Vj>。用带权连接矩阵arcs[i][j]表示<Vi,Vj>的权值。定义向量D表示当前所找到的从起点V0到终点Vi的最短路径,初始化为若V0到Vi有边,则D[i]为边的权值,否则置D[i]为∞。定义向量P来保存最短路径,若P[v][w]为TRUE,则W是从V0到V当前求得最短路径上的顶点。
(4)for(v=0;v<v.number;v++)
{
final[v]=false;
D[v]=arcs[v0][v];
for(w=0;w<v.number;++w)P[v][w]=false;
//设空路径
if(D[v]<INFINITY){P[v][v0]=true;P[v][v]=true;}}
D[v0]=0;final[v0]=true;//初始化,V0顶点属于已求得最短路径的终点集合
for(i=1;i<v.number;++i){
min=INFINITY;
for(w=0;w<v.number;++w)
if(!final[w])
if(D[w]<min){v=w;min=D[w];}
final[v]=true;
for(w=0;w<v.number;++w)//更新当前最短路径及距离;
if(!final[w]&&(min+arcs[v][w]<D[w])){
D[w]=min+arcs[v][w];
P[w]=P[v];P[w][w]=true;
}}}
扫描A中各点,选取其中D[i](Vi∈A)最小的一点X,然后从P中选取从V0到X的路径便为所选一条VGIDS路径。
(5)将所选路径上的边的速率改为V=V-Load[i],D的Cap改为Cap=Cap-Capmin,D的Qosd改为Qosd=Qosd-Qosdmin,A的Qosa改为Qosa=Qosa-Qosamin。
(6)++i,回到步骤(1)重新开始循环。
5系统开发
本项目主要利用Globus工具包外加CoGKits开发工具。Globus作为一个广泛应用的网格中间件其主要是针对五层沙漏结构,并利用GridService技术逐层对五层沙漏提出的功能单源进行实现[5],表2简单叙述VGIDS实现的各层功能及Globus中对应服务调用。
实验时VGIDS部署在Linux系统上,采用基于Linux核心的数据采集技术及Oracle10g作为数据库系统解决分布式存储问题,数据分析技术仍采用现有的基于规则的入侵检测技术。系统试验平台如图3所示。
表2系统功能划分及调用接口
五层结构VGIDSGlobus
应用层GridService无
汇聚层资源发现、证书管理、目录复制、复制管理、协同分配元目录服务MDS,目录复制和复制管理服务,在线信任仓储服务,DUROC协同分配服务
资源层访问计算、访问数据、访问系统结构与性能信息提供GRIP、GRRP、基于http的GRAM用于分配资源和监视资源,提供GridFtp数据访问管理协议及LDAP目录访问协议。Globus定义了这些协议的C和Java实现
连接层通信、认证、授权提供GSI协议用于认证、授权、及通信保密
构造层数据采集、数据存储、数据分析提供缺省和GARA资源预约
图3系统试验平台
本平台共8台机器,一台网格目录服务和CA认证中心,一台部署VGIDS服务。两台机器作为被检测对象,相互之间可实现简单网格协作,本试验两台机器之间通过GridFtp服务传输数据。其余四台机器分别实现两个存储服务和两个分析服务。
6总结和展望
目前网格入侵检测系统主要是针对某一特定网格应用静态执行。而本文所提出的VGIDS则是针对网格运行模式——虚拟组织所提出的通用网格入侵检测服务。本系统事先进行静态定义,然后当有服务请求时动态解析定义文件,动态形成可执行的网格入侵检测系统。本系统解决目前网格入侵检测系统面临的动态部署、动态形成、最优方案选择、动态改变等问题。
对于网格入侵检测系统同样还面临着如何解决数据异构,如何发现分布式协同攻击,如何保障自身的安全等问题,本模型有待进一步完善。
参考文献
[1]OngTianChoonandAzmanSamsudin.Grid-basedIntrusionDetectionSystem.SchoolofComputerSciencesUniversitySainsMalaysia,IEEE,2003.1028-1032
[2]AlexandreSchulterandJúlioAlbuquerqueReis.AGrid-worksandManagementLaboratoryFederalUniversityofSantaCatarina,ProceedingsoftheInternationalConferenceonNetworking,InternationalConferenceonSystemsandInternationalConferenceonMobileCommunicationsandLearningTechnologies.IEEE,2006
[3]TolbaMF,Abdel-WahabMS,TahaIA,etal,“GIDA:TowardEnablingGridIntrusionDetectionSystems”,CCGrid,11thMay,2005
关键词:入侵检测异常检测误用检测
在网络技术日新月异的今天,基于网络的计算机应用已经成为发展的主流。政府、教育、商业、金融等机构纷纷联入Internet,全社会信息共享已逐步成为现实。然而,近年来,网上黑客的攻击活动正以每年10倍的速度增长。因此,保证计算机系统、网络系统以及整个信息基础设施的安全已经成为刻不容缓的重要课题。
1 防火墙
目前防范网络攻击最常用的方法是构建防火墙。
防火墙作为一种边界安全的手段,在网络安全保护中起着重要作用。其主要功能是控制对网络的非法访问,通过监视、限制、更改通过网络的数据流,一方面尽可能屏蔽内部网的拓扑结构,另一方面对内屏蔽外部危险站点,以防范外对内的非法访问。然而,防火墙存在明显的局限性。
(1)入侵者可以找到防火墙背后可能敞开的后门。如同深宅大院的高大院墙不能挡住老鼠的偷袭一样,防火墙有时无法阻止入侵者的攻击。
(2)防火墙不能阻止来自内部的袭击。调查发现,50%的攻击都将来自于网络内部。
(3)由于性能的限制,防火墙通常不能提供实时的入侵检测能力。毕业论文 而这一点,对于层出不穷的网络攻击技术来说是至关重要的。
因此,在Internet入口处部署防火墙系统是不能确保安全的。单纯的防火墙策略已经无法满足对安全高度敏感部门的需要,网络的防卫必须采用一种纵深的、多样化的手段。
由于传统防火墙存在缺陷,引发了入侵检测IDS(Intrusion Detection System)的研究和开发。入侵检测是防火墙之后的第二道安全闸门,是对防火墙的合理补充,在不影响网络性能的情况下,通过对网络的监测,帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高信息安全基础结构的完整性,提供对内部攻击、外部攻击和误操作的实时保护。现在,入侵检测已经成为网络安全中一个重要的研究方向,在各种不同的网络环境中发挥重要作用。
2 入侵检测
2.1 入侵检测
入侵检测是通过从计算机网络系统中的若干关键点收集信息并对其进行分析,从中发现违反安全策略的行为和遭到攻击的迹象,并做出自动的响应。其主要功能是对用户和系统行为的监测与分析、系统配置和漏洞的审计检查、重要系统和数据文件的完整性评估、已知的攻击行为模式的识别、异常行为模式的统计分析、操作系统的审计跟踪管理及违反安全策略的用户行为的识别。入侵检测通过迅速地检测入侵,在可能造成系统损坏或数据丢失之前,识别并驱除入侵者,使系统迅速恢复正常工作,并且阻止入侵者进一步的行动。同时,收集有关入侵的技术资料,用于改进和增强系统抵抗入侵的能力。
入侵检测可分为基于主机型、基于网络型、基于型三类。从20世纪90年代至今,英语论文 已经开发出一些入侵检测的产品,其中比较有代表性的产品有ISS(Intemet Security System)公司的Realsecure,NAI(Network Associates,Inc)公司的Cybercop和Cisco公司的NetRanger。
2.2 检测技术
入侵检测为网络安全提供实时检测及攻击行为检测,并采取相应的防护手段。例如,实时检测通过记录证据来进行跟踪、恢复、断开网络连接等控制;攻击行为检测注重于发现信息系统中可能已经通过身份检查的形迹可疑者,进一步加强信息系统的安全力度。入侵检测的步骤如下:
收集系统、网络、数据及用户活动的状态和行为的信息
入侵检测一般采用分布式结构,在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息,一方面扩大检测范围,另一方面通过多个采集点的信息的比较来判断是否存在可疑现象或发生入侵行为。
入侵检测所利用的信息一般来自以下4个方面:系统和网络日志文件、目录和文件中的不期望的改变、程序执行中的不期望行为、物理形式的入侵信息。
(2)根据收集到的信息进行分析
常用的分析方法有模式匹配、统计分析、完整性分析。模式匹配是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。
统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性。测量属性的平均值将被用来与网络、系统的行为进行比较。当观察值超出正常值范围时,就有可能发生入侵行为。该方法的难点是阈值的选择,阈值太小可能产生错误的入侵报告,阈值太大可能漏报一些入侵事件。
完整性分析主要关注某个文件或对象是否被更改,包括文件和目录的内容及属性。该方法能有效地防范特洛伊木马的攻击。
3 分类及存在的问题
入侵检测通过对入侵和攻击行为的检测,查出系统的入侵者或合法用户对系统资源的滥用和误用。工作总结 根据不同的检测方法,将入侵检测分为异常入侵检测(Anomaly Detection)和误用人侵检测(Misuse Detection)。
3.1 异常检测
又称为基于行为的检测。其基本前提是:假定所有的入侵行为都是异常的。首先建立系统或用户的“正常”行为特征轮廓,通过比较当前的系统或用户的行为是否偏离正常的行为特征轮廓来判断是否发生了入侵。此方法不依赖于是否表现出具体行为来进行检测,是一种间接的方法。
常用的具体方法有:统计异常检测方法、基于特征选择异常检测方法、基于贝叶斯推理异常检测方法、基于贝叶斯网络异常检测方法、基于模式预测异常检测方法、基于神经网络异常检测方法、基于机器学习异常检测方法、基于数据采掘异常检测方法等。
采用异常检测的关键问题有如下两个方面:
(1)特征量的选择
在建立系统或用户的行为特征轮廓的正常模型时,选取的特征量既要能准确地体现系统或用户的行为特征,又能使模型最优化,即以最少的特征量就能涵盖系统或用户的行为特征。(2)参考阈值的选定
由于异常检测是以正常的特征轮廓作为比较的参考基准,因此,参考阈值的选定是非常关键的。
阈值设定得过大,那漏警率会很高;阈值设定的过小,则虚警率就会提高。合适的参考阈值的选定是决定这一检测方法准确率的至关重要的因素。
由此可见,异常检测技术难点是“正常”行为特征轮廓的确定、特征量的选取、特征轮廓的更新。由于这几个因素的制约,异常检测的虚警率很高,但对于未知的入侵行为的检测非常有效。此外,由于需要实时地建立和更新系统或用户的特征轮廓,这样所需的计算量很大,对系统的处理性能要求很高。
论文关键词:计算机网络安全 入侵检测技术
论文摘要:随着计算机与网络技术的不断发展,网络安全也日益受到人们越来越多的关注。防范网络入侵、加强网络安全防范的技术也多种多样,其中入侵检测技术以其低成本、低风险以及高灵活性得到了广泛的应用,并且有着广阔的发展前景。本文就入侵检测技术在计算机网络安全维护过程中的有效应用提出探讨。
一、入侵检测系统的分类
入侵检测系统可以分为入侵检测、入侵防御两大类。其中入侵检测系统是根据特定的安全策略,实时监控网络及系统的运行状态,尽量在非法入侵程序发起攻击前发现其攻击企图,从而提高网络系统资源的完整性和保密性。而随着网络攻击技术的日益提高,网络系统中的安全漏洞不断被发现,传统的入侵检测技术及防火墙技术对这些多变的安全问题无法全面应对,于是入侵防御系统应运而生,它可以对流经的数据流量做深度感知与检测,丢弃恶意报文,阻断其攻击,限制滥用报文,保护带宽资源。入侵检测系统与入侵防御系统的区别在于:入侵检测只具备单纯的报警作用,而对于网络入侵无法做出防御;而入侵防御系统则位于网络与防火墙的硬件设备中间,当其检测到恶意攻击时,会在这种攻击开始扩散前将其阻止在外。并且二者检测攻击的方法也不同,入侵防御系统对入网的数据包进行检查,在确定该数据包的真正用途的前提下,再对其是否可以进入网络进行判断。
二、入侵检测技术在维护计算机网络安全中的应用
(一)基于网络的入侵检测
基于网络的入侵检测形式有基于硬件的,也有基于软件的,不过二者的工作流程是相同的。它们将网络接口的模式设置为混杂模式,以便于对全部流经该网段的数据进行时实监控,将其做出分析,再和数据库中预定义的具备攻击特征做出比较,从而将有害的攻击数据包识别出来,做出响应,并记录日志。
1.入侵检测的体系结构
网络入侵检测的体系结构通常由三部分组成,分别为Agent、Console以及Manager。其中Agent的作用是对网段内的数据包进行监视,找出攻击信息并把相关的数据发送至管理器;Console的主要作用是负责收集处的信息,显示出所受攻击的信息,把找出的攻击信息及相关数据发送至管理器;Manager的主要作用则是响应配置攻击警告信息,控制台所的命令也由Manager来执行,再把所发出的攻击警告发送至控制台。
2.入侵检测的工作模式
基于网络的入侵检测,要在每个网段中部署多个入侵检测,按照网络结构的不同,其的连接形式也各不相同。如果网段的连接方式为总线式的集线器,则把与集线器中的某个端口相连接即可;如果为交换式以太网交换机,因为交换机无法共享媒价,因此只采用一个对整个子网进行监听的办法是无法实现的。因此可以利用交换机核心芯片中用于调试的端口中,将入侵检测系统与该端口相连接。或者把它放在数据流的关键出入口,于是就可以获取几乎全部的关键数据。
3.攻击响应及升级攻击特征库、自定义攻击特征
如果入侵检测系统检测出恶意攻击信息,其响应方式有多种,例如发送电子邮件、记录日志、通知管理员、查杀进程、切断会话、通知管理员、启动触发器开始执行预设命令、取消用户的账号以及创建一个报告等等。升级攻击特征库可以把攻击特征库文件通过手动或者自动的形式由相关的站点中下载下来,再利用控制台将其实时添加至攻击特征库中。而网络管理员可以按照单位的资源状况及其应用状况,以入侵检测系统特征库为基础来自定义攻击特征,从而对单位的特定资源与应用进行保护。
(二)对于主机的入侵检测
通常对主机的入侵检测会设置在被重点检测的主机上,从而对本主机的系统审计日志、网络实时连接等信息做出智能化的分析与判断。如果发展可疑情况,则入侵检测系统就会有针对性的采用措施。基于主机的入侵检测系统可以具体实现以下功能:对用户的操作系统及其所做的所有行为进行全程监控;持续评估系统、应用以及数据的完整性,并进行主动的维护;创建全新的安全监控策略,实时更新;对于未经授权的行为进行检测,并发出报警,同时也可以执行预设好的响应措施;将所有日志收集起来并加以保护,留作后用。基于主机的入侵检测系统对于主机的保护很全面细致,但要在网路中全面部署成本太高。并且基于主机的入侵检测系统工作时要占用被保护主机的处理资源,所以会降低被保护主机的性能。
三、入侵检测技术存在的问题
尽管入侵检测技术有其优越性,但是现阶段它还存在着一定的不足,主要体现在以下几个方面:
第一:局限性:由于网络入侵检测系统只对与其直接连接的网段通信做出检测,而不在同一网段的网络包则无法检测,因此如果网络环境为交换以太网,则其监测范围就会表现出一定的局限性,如果安装多台传感器则又增加了系统的成本。
第二:目前网络入侵检测系统一般采有的是特征检测的方法,对于一些普通的攻击来说可能比较有效,但是一些复杂的、计算量及分析时间均较大的攻击则无法检测。
第三:监听某些特定的数据包时可能会产生大量的分析数据,会影响系统的性能。
第四:在处理会话过程的加密问题时,对于网络入侵检测技术来说相对较难,现阶段通过加密通道的攻击相对较少,但是此问题会越来越突出。
第五:入侵检测系统自身不具备阻断和隔离网络攻击的能力,不过可以与防火墙进行联动,发现入侵行为后通过联动协议通知防火墙,让防火墙采取隔离手段。
四、总结
现阶段的入侵检测技术相对来说还存在着一定的缺陷,很多单位在解决网络入侵相关的安全问题时都采用基于主机与基于网络相结合的入侵检测系统。当然入侵检测技术也在不断的发展,数据挖掘异常检测、神经网络异常检测、贝叶斯推理异常检测、专家系统滥用检测、状态转换分析滥用检测等入侵检测技术也越来越成熟。总之、用户要提高计算机网络系统的安全性,不仅仅要靠技术支持,还要依靠自身良好的维护与管理。
参考文献:
[1]胥琼丹.入侵检测技术在计算机网络安全维护中的应用[J].电脑知识与技术,2010,11
关键词:扫描,权限后门,网络攻击
信息网络和安全体系是信息化健康发展的基础和保障。但是,随着信息化应用的深入、认识的提高和技术的发展,现有信息网络系统的安全性建设已提上工作日程。
入侵攻击有关方法,主要有完成攻击前的信息收集、完成主要的权限提升完成主要的后门留置等,下面仅就包括笔者根据近年来在网络管理中有关知识和经验,就入侵攻击的对策及检测情况做一阐述。论文大全。
对入侵攻击来说,扫描是信息收集的主要手段,所以通过对各种扫描原理进行分析后,我们可以找到在攻击发生时数据流所具有的特征。
1、利用数据流特征来检测攻击的思路
扫描时,攻击者首先需要自己构造用来扫描的IP数据包,通过发送正常的和不正常的数据包达到计算机端口,再等待端口对其响应,通过响应的结果作为鉴别。我们要做的是让IDS系统能够比较准确地检测到系统遭受了网络扫描。考虑下面几种思路:
(1)特征匹配
找到扫描攻击时数据包中含有的数据特征,可以通过分析网络信息包中是否含有端口扫描特征的数据,来检测端口扫描的存在。如UDP端口扫描尝试:content:“sUDP”等。
(2)统计分析
预先定义一个时间段,在这个时间段内如发现了超过某一预定值的连接次数,认为是端口扫描。
(3)系统分析
若攻击者对同一主机使用缓慢的分布式扫描方法,间隔时间足够让入侵检测系统忽略,不按顺序扫描整个网段,将探测步骤分散在几个会话中,不导致系统或网络出现明显异常,不导致日志系统快速增加记录,那么这种扫描将是比较隐秘的。这样的话,通过上面的简单的统计分析方法不能检测到它们的存在,但是从理论上来说,扫描是无法绝对隐秘的,若能对收集到的长期数据进行系统分析,可以检测出缓慢和分布式的扫描。
2、检测本地权限攻击的思路
行为监测法、文件完备性检查、系统快照对比检查是常用的检测技术。虚拟机技术是下一步我们要研究的重点方向。
(1)行为监测法
由于溢出程序有些行为在正常程序中比较罕见,因此可以根据溢出程序的共同行为制定规则条件,如果符合现有的条件规则就认为是溢出程序。行为监测法可以检测未知溢出程序,但实现起来有一定难度,不容易考虑周全。行为监测法从以下方面进行有效地监测:一是监控内存活动,跟踪内存容量的异常变化,对中断向量进行监控、检测。二是跟踪程序进程的堆栈变化,维护程序运行期的堆栈合法性。以防御本地溢出攻击和竞争条件攻击。
监测敏感目录和敏感类型的文件。对来自www服务的脚本执行目录、ftp服务目录等敏感目录的可执行文件的运行,进行拦截、仲裁。对这些目录的文件写入操作进行审计,阻止非法程序的上传和写入。监测来自系统服务程序的命令的执行。对数据库服务程序的有关接口进行控制,防止通过系统服务程序进行的权限提升。论文大全。监测注册表的访问,采用特征码检测的方法,阻止木马和攻击程序的运行。
(2)文件完备性检查
对系统文件和常用库文件做定期的完备性检查。可以采用checksum的方式,对重要文件做先验快照,检测对这些文件的访问,对这些文件的完备性作检查,结合行为检测的方法,防止文件覆盖攻击和欺骗攻击。
(3)系统快照对比检查
对系统中的公共信息,如系统的配置参数,环境变量做先验快照,检测对这些系统变量的访问,防止篡改导向攻击。
(4)虚拟机技术
通过构造虚拟x86计算机的寄存器表、指令对照表和虚拟内存,能够让具有溢出敏感特征的程序在虚拟机中运行一段时间。论文大全。这一过程可以提取与有可能被怀疑是溢出程序或与溢出程序相似的行为,比如可疑的跳转等和正常计算机程序不一样的地方,再结合特征码扫描法,将已知溢出程序代码特征库的先验知识应用到虚拟机的运行结果中,完成对一个特定攻击行为的判定。
虚拟机技术仍然与传统技术相结合,并没有抛弃已知的特征知识库。虚拟机的引入使得防御软件从单纯的静态分析进入了动态和静态分析相结合的境界,在一个阶段里面,极大地提高了已知攻击和未知攻击的检测水平,以相对比较少的代价获得了可观的突破。在今后相当长的一段时间内,虚拟机在合理的完整性、技术技巧等方面都会有相当的进展。目前国际上公认的、并已经实现的虚拟机技术在未知攻击的判定上可达到80%左右的准确率。
3、后门留置检测的常用技术
(1)对比检测法
检测后门时,重要的是要检测木马的可疑踪迹和异常行为。因为木马程序在目标网络的主机上驻留时,为了不被用户轻易发现,往往会采取各种各样的隐藏措施,因此检测木马程序时必须考虑到木马可能采取的隐藏技术并进行有效地规避,才能发现木马引起的异常现象从而使隐身的木马“现形”。常用的检测木马可疑踪迹和异常行为的方法包括对比检测法、文件防篡改法、系统资源监测法和协议分析法等。
(2)文件防篡改法
文件防篡改法是指用户在打开新文件前,首先对该文件的身份信息进行检验以确保没有被第三方修改。文件的身份信息是用于惟一标识文件的指纹信息,可以采用数字签名或者md5检验和的方式进行生成。
(3)系统资源监测法
系统资源监测法是指采用监控主机系统资源的方式来检测木马程序异常行为的技术。由于黑客需要利用木马程序进行信息搜集,以及渗透攻击,木马程序必然会使用主机的一部分资源,因此通过对主机资源(例如网络、CPU、内存、磁盘、USB存储设备和注册表等资源)进行监控将能够发现和拦截可疑的木马行为。
(4)协议分析法
协议分析法是指参照某种标准的网络协议对所监听的网络会话进行对比分析,从而判断该网络会话是否为非法木马会话的技术。利用协议分析法能够检测出采取了端口复用技术进行端口隐藏的木马。
参考文献:
[1]张普兵,郭广猛,廖成君.Internet中的电子欺骗攻击及其防范[J].计算机应用,2001,21(1):32-34.
[2]苏一丹,李桂.基于DFA的大规模入侵建模方法研究[J].计算机工程与应用,2003,39(28).
[3]蒋总礼,姜守旭.形式语言与自动机理论[M].北京:清华大学出版社,2003.
Abstract:This article simply introduces the current honeypot and honeynet technology, on the analysis of enrollment network security for college entrance examination, a high—concealment and high—safety honeypot system design scheme is put forward, and it is proved to be effective by experiment.
关键词: 蜜罐;重定向;无缝环境切换;招生网络安全
Key words: honeypot;redirection;seamless context switch;enrollment network security
中图分类号:TP39 文献标识码:A 文章编号:1006—4311(2012)27—0190—02
1 研究背景
基于中国教育与科研计算机网(CERNET)的高考招生录取是迄今为止世界上规模最大的网上招生录取应用。对于网上招生录取这种影响大、涉及面广、关注度高的网络应用而言,网络的安全至关重要。前些年,浙江省高校招生网上录取工作就曾遭受恶意攻击。前车之鉴,后事之师,如何保证高校网上招生录取现场的网络安全、高效、稳定地运行成为我们面临的课题。笔者根据近几年来从事网上招生录取网络保障的实践,吸取一些网络保障专家们的经验,对高校网上招生院校端录取现场的网络安全进行了研究,引入了一种优化的网络安全保障方案。出于安全保密的原因,文中将某些具体细节隐去,但这并不影响本文的完整性。
目前防火墙是网络上使用最多的安全设备,是网络安全的重要基石。然而最近的调查显示,防火墙的攻破率已经超过47%。传统的老三样,防火墙连同入侵检测和杀病毒的技术在新的安全形势下,显得过时。
一些新兴的技术在未来则可能成为保障网络安全的重要手段,有一种称为“蜜罐”(honeypot)的设备,则是要让黑客误以为已经成功侵入网络,并且让黑客继续“为所欲为”,目的在于拖时间,以便网络保安系统和人员能够把黑客“抓住”。继“蜜罐”之后,又出现了蜜网技术,尽管蜜网技术截今为止已经发展到了第三代,但蜜网系统“甜度”不高,安全性差的问题依然没有得到完全解决。
2 现有蜜网技术的不足
攻击者入侵到真实的系统中,必然留下一些记录,现有的蜜场产品往往忽视这个细节,只简单地将可疑流量重定向到诱骗环境当中,这时候,比较高级的攻击者发现自己的记录没有了,会意识到自己处于诱骗环境中,于是退出而不再访问诱骗环境,甚至会伪造一些虚假的信息迷惑和误导管理员,从而使诱骗环境失效甚至会成为攻击者所利用的工具。
不同于其它安全工具,诱骗系统并不只是收集信息的工具,而是充当攻击的牺牲者。允许攻击者进入诱骗系统,从而可以监控他们的行为,这是诱骗系统的特征之一,而诱骗系统的这一本质特征,也决定了其冒险性。而且随着现在诱骗技术的发展,越来越多的人们意识到诱骗环境的重要性,已经出现了一些针对诱骗环境的探测工具。诱骗主机越多,冒险性就越大,尤其是将诱骗环境放置在网络的核心位置。因此入侵诱骗技术就好比一把双刃剑,能否降低其负面效应是入侵诱骗技术能否长期发展的关键。另一方面单一的入侵检测方法无法满足检测日新月异的攻击的需要。
3 HCHS蜜罐系统的结构
本研究在深入分析当前蜜罐与蜜网技术之后,针对隐蔽性和安全性不足的问题,引入无缝环境切换理论,并运用误用检测模式和异常检测模式的进行两次入侵检测以及相应的两次重定向,设计一个高隐蔽高安全性的新型蜜罐系统。
高隐蔽高安全性的蜜罐系统优化模型结构图如下:
3.1 混合入侵检测 误用入侵检测——在误用入侵检测中,假定所有入侵行为和手段都能够表达为一种模式或特征,那么所有已知的入侵方法都可以用匹配的方法发现。误用入侵检测的关键是如何表达入侵的模式,把真正的入侵与正常行为区分开来。其优点是误报少,局限性是它只能发现已知的攻击,对未知的攻击无能为力。
异常入侵检测——在异常入侵检测中,假定所有入侵行为都是与正常行为不同的,这样,如果建立系统正常行为的轨迹,那么理论上可以把所有与正常轨迹不同的系统状态视为可疑企图。比如,通过流量统计分析将异常时间的异常网络流量视为可疑。异常入侵检测的局限是并非所有的入侵都表现为异常,而且系统的轨迹难于计算和更新。
对比这两种检测方法可以发现,异常检测难于定量分析,这种检测方式有一种固有的不确定性。与此不同,误用检测会遵循定义好的模式,能通过对审计记录信息做模式匹配来检测,但仅可检测已知的入侵方式。所以这两类检测机制都不完美。本论文分别运用误用入侵检测和异常入侵检测两种方法对网络及主机进行两次入侵检测并相应设置两次重定向机制,误用入侵检测用基于网络的IDS来实现,异常入侵检测用基于主机的IDS来实现。这样做可综合两种入侵检测方法的优点,提高对恶意连接的检测率,使系统的安全性得以增强。
【 关键词 】 IPS;校园局域网;安全体系
Base on Intrusion Prevention System ‘s Research and Implementation in Campus network Security System
Lu Xu-xia
(Tongji University Shanghai 200092)
【 Abstract 】 In network security, intrusion prevention system is a defensive nature of the network security technology. It is in order to make up for the deficiency of network firewall and IDS. Different intrusion prevention system realization way is different. They are defensive. This article discusses the current campus network security risks, the IPS concept and classification, how to deploy the IPS in the campus networks, and the advantage of IPS.
【 Keywords 】 IPS;campus network;security system
0 引言
目前随着计算机网络的迅速发展,网络给人们带来了无限的方便和快捷,人们可以随时随地上网获取信息。其中校园网是网络中的一个重要组成部分。随着网络环境的逐渐复杂多变,各种入侵手段的层出不穷,如何保证校园网络环境不受威胁,保证学生正常的学习使用,是我们渐渐要引起重视的一个课题。
1 目前校园局域网存在的安全隐患
目前校园网存在的安全隐患表现在多方面。如图1所示。
校园网存在的安全隐患虽然众多,但是归类一下主要表现为几大点。
a. 由系统或者应用软件漏洞引起的安全隐患。Windows系统存在很多的系统安全漏洞,浏览器IE存在严重的安全漏洞,一些技术爱好者对黑客软件的好奇,如一些系统漏洞探测工具等,盗号工具等很可能含有木马程序的黑客工具,如校园使用的E-mail服务系统没有任何安全管理和监控保护。
b. 由外部设备插入引起的安全隐患。如移动硬盘、U盘携带病毒的传播。
c. 外部攻击。黑客攻击校园网等。
d. 人为因素。主要分为外部人员攻击、学校安全管理部门安全意识淡薄、学生上网安全意识淡薄等。
校园网络安全的形势非常严峻,为解决以上安全隐患和漏洞,结合校园网特点和现今网络安全的典型解决方案和技术,我们引入IPS技术来提高和保证校园安全。
2 IPS概述
2.1 IPS的概念
IPS是Intrusion Prevention System的缩写,即入侵防御系统。位于防火墙和网络的设备之间。这样,如果检测到攻击,IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。一般来说,IPS系统都依靠对数据包的检测。IPS将检查入网的数据包,确定这种数据包的真正用途,然后决定是否允许这种数据包进入你的网络。
2.2 IPS的分类
IPS主要分为三大类:对host的入侵防护、应用入侵防护和对Web的入侵防护。
对host的入侵防护HIPS: 这种入侵防护是将IPS软件安装在主机上,其软件具有对主机的防护功能。一般的HIPS利用实时入侵检测,网络上的状态包检测,状态包过滤等方式,可以防止非法进行用户验证、非法改动数据库、防止缓冲区溢出等等的入侵。由于HIPS需要安装到主机上,所以与主机上安装的操作系统平台紧密相关,不同的操作系统需要不同的IPS的软件程序。
应用入侵防护AIPS:AIPS是在网络链路层对网络进行防御保护,由于其工作在链路层,所以和主机的操作系统平台无关。它是在对主机的入侵防护基础之上的位于应用服务器之前的网络设备。未来的NIPS很有可能成为交换机的附加功能,对交换机功能进行进一步扩充,在交换机上就对数据包进行检测和阻断功能。这样每一层的交换机都成了网络保护的手段。
对Web的入侵防护NIPS:这种入侵防护通常设计成类似交换机的设备,提供了多个网络端口,原因是NIPS需要实时在线,需要具备很高的性能,否则会成为网络的瓶颈。NIPS是通过实时检测网络中的网络流量来判断网络是否异常。NIPS使用在线连接各台主机的方式,一旦发现有入侵活动,就立马隔断整个网络的会话。
3 校园网中如何部署IPS
3.1 部署
既然IPS是在威胁进入网络之前进行防御,所以我们一般需要在“前端”进行部署。如在校园网与外部网络的入口处部署、重要服务器集群前端和校园网内部接入处部署等。
3.2 具体部署
校园局域网中有学生宿舍网络、图书馆网络、教学楼网络、各种服务器如课件服务器、学分查询系统、教师宿舍网络。我们需要在这些网络和外部网络的接口处设置IPS。在IPS之后再安装硬件防火墙,然后再连接到internet。其拓扑结构如图2所示。
通过部署IPS来实现对内部网络的整体网络访问的控制和流量的控制,尤其是限制P2P下载,实现网管级别防病毒;通过在互联服务区的接口处部署入侵防御系统,实现对众多服务器开放业务的更高级别深层防御。具体可以根据具体校园网络的不同进行不同的部署。部署关键点是主要是与因特网的连接都对IPS进行部署。
2.3 对部署的IPS进行测试
我们需要对IPS进行多方面的测试,以保证IPS可以最大限度地保证网络安全。主要有对IPS系统基本管理功能的测试,测试IPS的测试策略定义能力,测试IPS针对具体环境对入侵事件做进一步精确分析的能力,IPS系统软件、攻击特征升级能力等。我们主要对几点测试进行详细介绍。首先我们可以在真正部署IPS设备之前部署一个测试网络。如图3所示。
IPS系统基本管理功能的测试:
登录控制管理端界面,查看其各组件的分布情况,如管理界面、报警显示界面、数据库、日志查询界面等。配置多级管理模式,满足控制台―控制台―控制台―引擎的部署结构。添加多个虚拟引擎,看其是否有数量限制,查看可支持的其他组件。
测试IPS的测试策略定义能力:
打开策略管理菜单,自定义用户策略user,针对http协议不同字段设置各种参数,打开新策略user,并定义某一条事件的响应方式,定义响应模板,将新模板应用到所有TCP协议事件中,导入导出策略等
测试IPS针对具体环境对入侵事件做进一步精确分析的能力:
在显示中心的环境匹配信息设置中,配置好被攻击机的相关信息,如主机名teacher、IP地址、操作系统类型,协议=TCP,端口=80,打开环境匹配报警窗口,从Windows攻击机上采用GUI_UICODE工具对被攻击机发起UNICODE攻击,然后查看综合显示中心的报警情况。
4 校园局域网使用IPS的优势
入侵防御系统的优势有很多,与入侵检测系统的争论比较颇多。IPS的优点如表1所示。
5 总结
校园网络的安全性越来越引起重视,入侵防御系统的介入,大大提高了校园局域网的安全性,也是一个新的研究课题,随着校园网的告诉发展,入侵防御系统还会面临新的挑战,会根据新的安全问题不断发展。
参考文献
[1] 张龙. IPS入侵预防系统研究与设计[D].山东大学,2006年.
[2] 黄律,傅明,曾菲菲,宋丹.入侵检测系统及其研究[J].电脑与信息技术,2004年01期.
[3] 罗桂琼.基于协议分析的入侵检测系统[J].电脑与信息技术,2005年04期.
[4] 梁琳,拾以娟,铁玲.基于策略的安全智能联动模型[J].信息安全与通信保密,2004,(2):35-37.
[5] 梅锋.入侵防御系统研究 [期刊论文] .有线电视技术,2009(8).
关键词:金融信息,网络安全,保障体系,服务
1金融信息系统安全保障体系的总体构架
金融信息系统安全保障体系的总体构架有系统安全、物理安全、应用安全、网络安全、和管理安全。毕业论文,网络安全。
1.1金融信息系统的安全
系统安全指的就是网络结构的安全和操作系统的安全,应用系统安全等等。毕业论文,网络安全。网络结构的安全就是指网络拓扑没有冗余的环路产生,线路比较畅通,结构合理。操作系统的安全就是指要采用较高的网络操作系统,删除一些不常用却存在安全隐患的应用,对一些用户的信息和口令要进行严格的把关和限制。应用系统的安全就是指只保留一些常用的端口号和协议,要严格的控制使用者的操作权限。在系统中要对系统有一些必要的备份和恢复,它是为了保护金融系统出现问题时,能够快速的恢复,在金融系统在运行的过程中要对其内容进行备份。
1.2金融信息系统的物理安全
物理安全就是要保证整个网络体系与信息结构都是安全的。物理安全主要涉及的就是环境的安全和设备的安全,环境安全主要就是防雷、防火、防水、等等,而设备的安全指的就是防盗、放干扰等等。
1.3金融信息系统的应用安全
金融信息系统的应用安全主要就是指金融信息系统访问控制的需要,对访问的控制采用不同的级别,对用户级别的访问授权也是不同。收集验证数据和安全传输的数据都是对目前使用者的身份识别和验证的重要步骤。而对于金融系统中数据资源的备份和恢复的机制也要采取相应的保护措施,在故障发生后第一时间恢复系统。
1.4金融信息系统的网络安全
金融信息都是通过才能向外界的,而通过采取数据链路层和网络层的加密来实现通信的保护,对网络中重要信息进行保护。而对网络进行入侵检测也是必要的,通过信息代码对进出的网段进行监控,来确保信息的安全性。毕业论文,网络安全。对系统也要进行不定期的部件检测,所是发现有漏洞要及时的进行补救。
1.5金融信息系统的安全管理
金融系统是一个涵盖多方面的网络,也运行着很多的网络,对金融系统进行信息管理,就应该设置安全的管理中心,要集中的管理,严格的规定和确定明确的责任和控制,确保金融系统可靠的运行。
2金融信息系统安全保障的措施
2.1设置安全保障的措施
对于任何未经允许的策略都严格的禁止,系统允许访问的都要经过眼的认证才能进入下一步,重要的金融信息要经加密的措施进行传输。要通过网络安全策略对金融信息系统的网络设置防火墙,用来保护各个金融节点的信息安全,允许授权用户访问局域网,允许授权用户访问该局域网内的特定资源;按业务和行政归属,在横向和纵向网络上通过采用MPLSVPN技术进行VPN划分。
2.2使用安全技术和安全产品的措施
为了金融系统有个安全可靠运行环境,遵循金融系统的安全保障体系策略,要在金融信息系统中安装一些安全技术和安全的产品。将金融信息系统划分为不同的安全区域,每个区域都不同的责任和任务,对不同的区域要有不同的保护措施,即方便又增强了安全性。在金融想呕吐中安装一道防火墙,用来防止不可预见的事故,若是有潜在的破坏性的攻击者,防火墙会起到一定的作用,对外部屏蔽内部的消息,以实现网络的安全防护。应该在金融信息系统中设置入侵检测系统,要对网络的安全状态进行定期的检测,对入侵的事件进行检测,对网络进行全方位的保护。在金融信息系统中安装防病毒的系统,对有可能产生的病源或是路径进行相对应的配置防病毒的软件,对金融信息系统提供一个集中式的管理,对反病毒的程序进行安装、扫描、更新和共享等,将日常的金融信息系统的维护工作简单化,对有可能侵入金融信息系统的病毒进行24小时监控,使得网络免遭病毒的危害。定期的对金融信息系统进行安全评估,对系统中的工作站、服务器、交换机、数据库一一的进行检测评估,根据评估的结果,向系统提供报告。安全的评估与防火墙的入侵检测是相互配合的,够使网络提供更高性能的服务。毕业论文,网络安全。
2.3金融信息管理的安全措施
在管理的技术手段上,也要提高安全管理的水平。金融信息系统是相对比较封闭的,金融信息系统的安全是最重要的,业务逻辑与操作规范的严密是重中之重。因此对于金融信息系统的内部管理,加强领导班子对安全管理的体系,强化日常的管理制度吗、,提升根本的管理层次。
2.3.1建立完善的组织机构
如今我国更加重视信息安全的发展,它可以促进经济发展和维护社会的稳定。在金融信息系统的内部要建立安全管理小组,安全管理小组的任务就是要制定出符合金融发展的安全策略。管理小组由责任和义务维护好系统的安全和稳定。
2.3.2制定一系列的安全管理办法和法规,主要就是抓住内网的管理,行为、应用等管理,进行内容控制和存储管理。对每个设施都要有一套预案,并定期进行测试。毕业论文,网络安全。
2.3.3 加强严格管理,加强登陆身份的认证,严格控制用户的使用权限,对每个用户都要进行信息跟踪,为系统的审核提供保障。毕业论文,网络安全。
2.3.4加强重视信息保护的等级,对金融信息系统中信息重点保护,对重要信息实施强制保护和强制性认证,以确保金融业务信息的安全。也要不断的加强信息管理人才与安全队伍的建设,加大对复合型人才的培养力度,通过各种会议、网站、广播、电视、报纸等媒体加大信息安全普法和守法宣传力度,提高全民信息安全意识,尤其是加强企业内部人员的信息安全知识培训与教育,提高员工的信息安全自律水平。
3结语
随着金融信息化的快速发展,金融信息系统的规模逐步扩大,金融信息资产的数量急剧增加,对网络与信息系统实施安全保护已势在必行。目前互联网的应用还缺乏一定的安全措施,这样就严重的影响和限制了金融系统通过网络向外界提供服务的质量和种类。因此,各个金融信息系统都必须要采取一定的安全防护措施,构建一个安全的合理的金融信息系统。
参考文献:
[1]卢新德.构建信息安全保障新体系:全球信息战的新形势与我国的信息安全战略[M].北京:中国经济出版社,2007.
[2]李改成.金融信息安全工程[M].北京:机械工业出版社,2010.
[3]方德英,黄飞鸣.金融业信息化战略——理论与实践[M].北京:电子工业出版社,2009.4.
【关键词】IPS PDRR 入侵检测
一、引言
目前计算机网络融人到人类社会的方方面面, 与此同时计算机网络本身的安全问题也日益严重。传统上网络系统的安全主要由防火墙和人侵检测两大支柱技术来保障, 这两大技术对网络系统的安全都曾经起到重大的作用, 为维护网络系统的安全做出过巨大的贡献。另一方面, 网络攻击技术也在不断的发展, 出现了小分片攻击、慢扫描、Ddos攻击、加密攻击等新的攻击技术, 甚至还出现了专门攻击防火墙与人侵检测系统等网络安全软件的攻击程序, 这一切都对传统的网络安全技术提出了挑战, 对网络安全技术的发展提出了新的要求。
同时, 防火墙和人侵检测系统自身也存在一些固有的弱点, 使得自身的发展受到限制。如防火墙本身容易受到攻击, 且对于内部网络出现的问题经常束手无策。人侵检测系统是保障网络正常运行的重要工具, 具有识别人侵特征和安全审记等功能, 人侵检测系统可以检测出已知的和未知的人侵, 是一种主动式安全检测技术。人侵检测系统可以分为两大类异常人侵检测系统和误用人侵检测系统, 由于检测误差的存在, 异常人侵检测系统会产生较高的误报率, 从而产生大量的警报, 使真正的人侵信息淹没在虚假的警报信息中而误用人侵检测系统会出现较高的漏报率, 不能检测到未知的人侵同时, 由于人侵检测系统必须要对网络中所有通过的数据包进行检测, 而检测本身又是一个非常耗时的过程, 这就使得人侵检测系统本身的负载量非常大, 导致检测效率的下降和引起网络性能的瓶颈另外, 人侵检测系统虽然具有响应模块, 但入侵检测系统的响应技术的发展严重滞后, 大量的人侵信息不能够自动处理, 必须要人工干预, 人工处理的速度很慢, 效果很差, 这也影响了人们对性能的信心。
目前第三种重要的网络安全技术―入侵预防系统(IPS)已经产生。人侵预防系统(IPS)将会成为下一代的网络安全技术。具备一定程度的智能处理功能, 能够防御住未知的攻击, 是一种比防火墙和更为主动的防御系统。
二、PDRR模型
传统的网络安全模型, 基本原理都是建立在基于权限管理的访问控制理论基础上的, 都是静态的, 如Bell-Lapadula模型、Biba模型、信息流控制的格模型、Iris授权模型、数据隐藏模型、消息过滤模型等。但是随着网络的深人发展, 静态的网络安全模型已经不能适应当前的分布式、动态变化、发展迅速的网络环境。针对日益严重的网络安全问题和越来越突出的安全需求, 代表“ 动态安全模型” 的“PDRR模型” 应运而生。在研究信息安全及网络战防御理论的过程中, 美国国防部提出了信息保障的概念, 并给出了包含保护、检测、响应3个环节的动态安全模型, 即P2DR模型, 后来又增加了恢复环节, 形成了PDRR模型。PDRR模型结构图如图:
PDRR模型是在整体的安全策略的控制和指导下, 综合运用防护、检测、响应、恢复四种工具, 全方位确保被保护系统的安全。首先利用防护工具对被保护系统提供基础的防护同时, 利用检测工具了解和评估系统的安全状态通过适当的响应将系统调整到“ 最安全” 和“ 风险最低” 的状态通过恢复操作将受到攻击影响的系统恢复到原始的健康状态。防护、检测、响应和恢复组成了一个完整的、动态的安全循环周期。
安全策略是指在一个特定的环境里, 为保证提供一定级别的安全保护所奉行的基本思想、所遵循的基本原则。“ 可信计算机系统评估准则”TCSEC 中定义安全策略为“ 一个组织为、管理和保护敏感的信息资源而制定的一组法律、法规和措施的总和”。PDRR模型中, 安全策略已经从以前的被动保护转到了主动防御。因此, PDRR的安全策略是对整个局部网络实施的分层次、多级别的包括安全审计、人侵检测、告警和修复等应急反应功能的实时处理系统策略。
三、结束语
IPS的发展是一个寻求在准确检测攻击的基础上防御攻击的过程, 是功能由单纯审计跟踪到审计跟踪结合访问控制的扩展, 实现了由被动防御过渡到主动防御, 并且将人侵检测和访问控制紧密融合。入侵防护系统IPS适时顺应了安全保障体系中主动防御以及功能融合、集中管理的趋势, 日益受到越来越多的人们的关注。本文针对聚类技术进行了相关的研究,首先给出了聚类的基本概念和相关的描述,说明了聚类分析技术的重要性。随后针对相关的聚类分析方法进行了研究,分析了它们的特点和优、缺点。本章最后,给出了聚类分析的数学模型,研究了应用人工鱼群计算技术解决聚类问题的思路和方法,同时针对该算法进行了相关的改进,使算法具有较好的全局收敛能力和计算效率。
虽然目前IPS的技术还不是很成熟, 但是随着技术的发展和数据处理能力的提高, 技术将日益完善, 并必将在信息安全体系中起到越来越重要的作用。在未来, IPS可以采用一些更为先进的技术来提高系统的性能, 如并行处理检测技术来提高检测速度, 协议重组分析和事件关联分析技术来进一步加大检测的深度, 机器学习技术来提高自适应能力等, 以及进一步提高IPS的响应性能, 数据挖掘技术进一步提高网络数据的应用价值, 使具备更高的智能性。IPS是网络安全领域的一个新的卫士, 它的出现必将极大地增强网络安全领域的实力, 开辟网络安全领域发展的一个新的局面, 为互联网提供更高层次的安全保障。
参考文献:
[1] 于海涛,李梓,王振福,等.入侵检测相关技术的研究[J].智能计算机与应用,2013.