時間:2023-06-01 09:32:14
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇入侵檢測技術,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
關鍵詞:入侵;檢測;入侵檢測系統;ISS RealSecure
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2008)22-626-02
Intrusion Detection Technology
LI Peng-cheng
(Gaoyou Radio and Television Situation,Yangzhou 225600,China)
Abstract:Intrusion Detection (Intrusion Detection), as its name suggests, that is, the invasion of that. Its computer network or computer systems in a number of key points to collect information, through the analysis of such information to identify the network or system whether there is a breach of security policy and the conduct of the signs of being attacked. For intrusion detection software and hardware combination is the Intrusion Detection System (Intrusion Detection System, called IDS). And other security products different is that the intrusion detection system needs more intelligence, it must be able to get the data for analysis and draw useful results.
Key words:invasion;detection;Intrusion Detection System;ISS RealSecure
1 前言
早期的IDS模型設計用來監控單一服務器,是基于主機的入侵檢測系統;近期的更多模型則集中用于監控通過網絡互連的多個服務器。
2 IDS的任務和作用
1) 監視、分析用戶及系統活動;
2) 對系統構造和弱點的審計;
3) 識別和反應已知進攻的活動模式并向相關人士報警;
4) 異常行為模式的統計分析;
5) 評估重要系統和數據文件的完整性;
6) 操作系統的審計跟蹤管理,識別用戶違反安全策略的行為。
3 入侵檢測過程
3.1 對信息的收集
1) 系統和網絡日志文件
2) 目錄和文件中的不期望的改變
3) 程序執行中的不期望行為
4) 物理形式的入侵信息
3.2 信號分析
1) 模式匹配的方法:模式匹配就是將收集到的信息與已知的網絡入侵和系統誤用模式數據庫進行比較,從而發現違背安全策略的行為。這種分析方法也稱為誤用檢測。該過程可以很簡單(如通過字符串匹配以尋找一個簡單的條目或指令),也可以很復雜(如利用正規的數學表達式來表示安全狀態的變化)。一般來講,一種進攻模式可以用一個過程(如執行一條指令)或一個輸出(如獲得權限)來表示。該方法的一大優點是只需收集相關的數據集合,顯著減少系統負擔,且技術已相當成熟。它與病毒防火墻采用的方法一樣,檢測準確率和效率都相當高。但是,該方法存在的弱點是需要不斷的升級模式庫以對付不斷出現的黑客攻擊手法,不能檢測到從未出現過的黑客攻擊手段。
2) 統計分析的方法:統計分析方法首先給系統對象(如用戶、文件、目錄和設備等)創建一個統計描述,統計正常使用時的一些測量屬性(如訪問次數、操作失敗次數和延時等)。測量屬性的平均值將被用來與網絡、系統的行為進行比較,任何觀察值在正常值范圍之外時,就認為有入侵發生。這種分析方法也稱為異常檢測。例如,統計分析時發現一個在晚八點至早六點從不登錄的賬戶卻在凌晨兩點突然試圖登錄,系統認為該行為是異常行為。統計分析的優點是可檢測到未知的入侵和更為復雜的入侵,缺點是誤報、漏報率高,且不適應用戶正常行為的突然改變。具體的統計分析方法有:基于專家系統的、基于模型推理的和基于神經網絡的分析方法。
3) 完整性分析的方法:完整性分析主要關注某個文件或對象是否被更改,這經常包括文件和目錄的內容及屬性的變化。完整性分析在發現被更改的、被特洛伊化的應用程序方面特別有效。完整性分析利用強有力的加密機制(如:消息摘要函數),能識別哪怕是微小的變化。其優點是不管模式匹配方法和統計分析方法能否發現入侵,只要是成功的攻擊導致了文件或其它對象的任何改變,它都能夠發現。缺點是一般以批處理方式實現,不用于實時響應。盡管如此,完整性檢測方法還是網絡安全產品的重要組成部分。可以在每一天的某個特定時間內開啟完整性分析模塊,對網絡系統進行全面地掃描檢查。
4 入侵檢測系統
4.1 基于主機的入侵檢測系統(圖1)
這種類型的系統依賴于審計數據或系統日志的準確性、完整性以及安全事件的定義。若入侵者設法逃避審計或進行合作入侵,則基于主機的檢測系統的弱點就暴露出來了。特別是在現代的網絡環境下,單獨地依靠主機審計信息進行入侵檢測難以適應網絡安全的需求。
■ ■
圖1基于主機的入侵檢測系統 圖2 基于網絡的入侵檢測系統
這主要表現在以下四個方面:一是主機的審計信息弱點,如易受攻擊,入侵者可通過使用某些系統特權或調用比審計本身更低級的操作來逃避審計。二是不能通過分析主機審計記錄來檢測網絡攻擊。三是IDS的運行或多或少影響服務器性能。四是基于主機的IDS只能對服務器的特定用戶、應用程序執行動作、日志進行檢測,所能檢測到的攻擊類型受到限制。
4.2 基于網絡的入侵檢測系統(圖2)
基于網絡的IDS的優點是:
1) 服務器平立:基于網絡的IDS監視通信流量而不影響服務器平臺的變化和更新。
2) 配置簡單:基于網絡的IDS環境只需要一個普通的網絡訪問接口。
3) 檢測多種攻擊:基于網絡的IDS探測器可以監視多種多樣的攻擊包括協議攻擊和特定環境的攻擊,長于識別與網絡低層操作有關的攻擊。
4.3 分布式入侵檢測技術(圖3)
典型的入侵檢測系統是一個統一集中的代碼塊,它位于系統內核或內核之上,監控傳送到內核的所有請求。但是,隨著網絡系統結構復雜化和大型化,系統的弱點或漏洞將趨于分布化。另外,入侵行為不再是單一的行為,而是表現出相互協作的入侵特點,在這種背景下,產生了基于分布式的入侵檢測系統。
5 入侵檢測工具介紹
5.1 ISS BlackICE
BlackICE Server Protection 軟件(以下簡稱BlackICE)是由ISS安全公司出品的一款著名的基于主機的入侵檢測系統。該軟件在九九年曾獲得了PC Magazine的技術卓越大獎。專家對它的評語是:“對于沒有防火墻的家庭用戶來說,BlackICE是一道不可缺少的防線;而對于企業網絡,它又增加了一層保護措施--它并不是要取代防火墻,而是阻止企圖穿過防火墻的入侵者。BlackICE集成有非常強大的檢測和分析引擎,可以識別多種入侵技巧,給予用戶全面的網絡檢測以及系統的保護。而且該軟件還具有靈敏度及準確率高,穩定性出色,系統資源占用率極少的特點。
5.2 ISS RealSecure
RealSecure 2.0 for Windows NT是一種領導市場的攻擊檢測方案,它提供了分布式的安全體系結構。多個檢測引擎可以監控不同的網絡并向中央管理控制臺報告。控制臺與引擎之間的通信可以通過128bit RSA進行認證和加密。
RealSecure可以在NT、Solaris、SunOS和Linux上運行,并可以在混合的操作系統或匹配的操作系統環境下使用。對于一個小型的系統,可以將引擎和控制臺放在同一臺機器上運行。一個引擎可以向多個控制臺報告,一個控制臺也可以管理多個引擎。還可以對CheckPoint Software的Firewall-1重新進行配置。ISS還計劃使其能對Cisco的路由器進行重新配置。RelSecure的優勢在于其簡潔性和低價格,引擎價格1萬美元,控制臺是免費的。
參考文獻:
關鍵詞:網絡信息;管理;入侵檢測技術
在現代之中,一些非法分子利用木馬進行相應的隱藏,然后通過對于計算機植入木馬,進行一些信息的竊取。現代企業在面臨網絡非法分子進行信息盜取過程之中,首先應該對于入侵行為有著明確的認識,這就需要現代的入侵檢測技術了,對于入侵行為有著明確的判定,才能真正的展開后續行動,這對現代網絡信息管理而言十分重要。
1網絡信息管理中入侵檢測技術概述
(1)入侵檢測技術在網絡信息管理之中的作用。如果說現代計算機作為系統,那么入侵檢測技術就相當于保安系統,對于關鍵信息的儲存位置進行定期檢查和掃描,一旦發現外來不明用戶杜宇關鍵信息進行查詢,便對使用用戶進行警告,幫助用戶進行入侵行為的相關處理,保障關鍵的信息系統和數據信息不會收到損壞和盜竊。入侵檢測技術同樣會對系統之中存在的漏洞進行檢查和通報,對于系統之中的漏洞而言,往往便是入侵行為發生的位置,所以針對于這些位置進行處理,更為良好的保證整個系統的安全,對于現代企業網絡系統而言,入侵檢測技術便是保障的第二道鐵閘。
(2)現階段入侵檢測技術的主要流程。通常情況下,入侵檢測技主要可以分為兩個階段。第一個階段便是信息采集,主要便是對于用戶的各種信息使用行為和重要信息進行收集,這些信息的收集主要是通過對于重點信息部位的使用信息進行查詢得出的,所以說在現代應用之中,入侵檢測技術一方面應用了現代的檢測技術,另外一方面也對于多種信息都進行了收集行為,保證了收集信息的準確性;第二個階段便是處理相關信息,通過將收集的信息和過往的信息進行有效對比,然后如果對比出相關錯誤便進行判斷,判斷使用行為是否違背了網絡安全管理規范,如果判斷結果為肯定,那么便可以認定其屬于入侵行為,對于使用用戶進行提醒,幫助用戶對于入侵行為進行清除。
2現階段入侵檢測技術的使用現狀
(1)網絡信息管理中入侵檢測系統的問題。入侵檢測技術作為一種網絡輔助軟件去,其本身在現階段并不是完善的,自身也存在漏洞。所以說很多非法分子的入侵不僅僅是面對系統的,很多先通過入侵技術的漏洞來進行。針對現階段的使用過程而言,入侵檢測技術仍然存在自身的漏洞危險,也存在主要使用風險。在現階段存在危險的方面主要有兩個方面。一方面便是由于入侵檢測系統存在漏洞;另外一方面便是現代計算機技術的發展。無論是相關的檢測系統亦或是相關病毒,都是現代編程人員利用C語言進行編程,伴隨著相關編程水平的不斷提高,兩種技術同樣得到了自我發展,所以說很多黑客高手在現代的入侵行為之中,已經不能以舊有的眼光來進行相關分析。所以說新的時期,入侵檢測技術也應該得到自我的發展,同樣針對于應用網絡的相關企業做好安全保證,保證信息技術在現代之中的發展。
(2)現階段網絡信息管理之中入侵檢測技術存在的問題。網絡信息管理之中的入侵檢測技術在現代之中仍然存在問題,同樣是兩個方面問題。一方面是由于入侵技術自身存在漏洞,在現階段很多入侵檢測技術是通過對于入侵行為進行有效的提取,將行為進行歸納,對于行為是否符合現代網絡安全規范,然后判斷結果是否為入侵。很多時候,入侵行為往往較為隱秘,所以說這就導致了相關的入侵檢測技術不能對于入侵行為進行提取,更無從談起其是否符合網絡安全規范。另外一方面的問題便是檢測速度明顯小于入侵速度,這也是在現階段常見的問題。隨著現代網絡技術的發展,網絡速度已經得到了有效的自我發展,很多入侵檢測過程之中,很多時候檢測速度小于網絡檢測速度,這樣的情況下,一些行為尚未進行阻攔,便已經達成入侵的目的了,進而導致了信息的丟失,所以說這方面的問題同樣應該得到改善。企業在應用之中,也應該注意這種速度的問題,防止因為速度進而造成自身信息丟失等。
3網絡信息管理之中入侵檢測技術的具體分類
(1)異常檢測,異常檢測顧名思義,便是對于入侵行為進行檢測,但是由于入侵的性質未定,這就導致很多時候入侵檢測技術進行了無用功。現階段往往入侵檢測技術通過建立一個行為輪廓來進行限定,如果入侵行為已經超過了這個行為輪廓,便確定其為入侵行為。這種模式大大簡化了行為判定的過程,但是由于過于簡單的相應行為也容易出現相關漏洞。在實際工作之中,往往非入侵行為但是在行為輪廓行為之外的網絡訪問行為,但是在入侵檢測技術之中被判斷為入侵行為,造成了工作的重復。所以說在進行行為輪廓的確定時,同樣應該由一些特征量來確定,減少檢測工作可能出現的失誤,進而可以提升檢測工作的效率;另外一方面可以設置參考數值,通過參考數值的評定來進行評判,在入侵檢測技術之中,參考數值非常重要。
(2)誤用檢測,其應用前提便是所有的入侵行為進行識別并且進行標記。在一般情況下,誤用檢測便是通過攻擊方法來進行攻擊簽名,然后再通過定義已經完成的攻擊簽名對于入侵行為進行相關判斷。很多行為都是通過漏洞來進行,所以誤用檢測可以準確的判斷出相應入侵行為,不僅預防了入侵行為,還可以對于其他入侵行為進行警示作用。這種技術在實際使用過程之中,提升了入侵檢測數的效率和準確。
4結語
在現代信息技術得到發展的今天,網絡信息管理已經成為了現代企業非常重要的組成部分。針對于網絡安全而言,其自身往往具有一些技術之中的漏洞,所以同樣容易引發入侵行為。針對于入侵行為,現代之中有著入侵檢測技術,本文對于入侵檢測技術的使用進行了分析,希望為相關人員帶來相關思考。
參考文獻
[1]張麗.入侵檢測技術在網絡信息管理中的應用分析[J].中國科技博覽,2014,第16期:12-12.
[2]陳瑩瑩.網絡信息管理中入侵檢測技術的研究[J].信息通信,2013,06期:99-99.
隨著計算機網絡技術的不斷發展,計算機網絡與各行各業的聯系越加緊密,相應的保證網絡安全就顯得尤為重要。提高網絡安全性,以往的方法是實施網絡安全檢測技術,如防火墻技術、加密技術、病毒防護技術等,其只能被動的防護,難以滿足網絡安全需要。在計算機網絡應用日益頻繁、復雜的情況下,應當科學、合理的應用網絡入侵檢測技術,對網絡系統進行實時的入侵檢測,如此可以大大提高網絡安全程度。所以,科學、合理的應用網絡入侵檢測技術是非常重要的。本文將重點分析網絡入侵檢測技術及其要點,希望對于有效應用此項技術有所作用。
【關鍵詞】網絡入侵 檢測技術 技術要點
隨著網絡的普及和上網人數的與日俱增,網絡安全問題日益凸顯。從近些年網絡攻擊情況來看,網絡安全問題日益嚴峻,如若不能及時且有效的解決網絡安全問題,將會給人們帶來嚴重損失。為了避免此種情況的發生,應當科學、合理的應用網絡入侵檢測技術,以便發揮網絡入侵檢測功能,實時檢測網絡,避免系統內部攻擊情況發生,同時加強主動防御,使網絡安全運行。由此看來,網絡入侵檢測技術的有效應用,不僅能夠有效解決網絡安全問題,還能強化網絡防御功能,值得廣泛應用。
1 入侵檢測系統
入侵檢測系統(IDS)是一種對網絡傳輸進行即時監視,在發現可疑傳輸時發出警報或采取主動反應措施的網絡安全設備。所以,將其應用于計算機網絡之中,可以有效的解決網絡問題,提高計算機網絡的安全性。
從目前入侵檢測系統研究情況來看,入侵檢測系統主要分為基于主機的入侵檢測系統、基于網絡的入侵檢測系統、分布式入侵檢測系統。基于主機的入侵檢測系統是將用戶訪問主機的行為信息作為信息分析來源,進行入侵檢測,這使其更適用于網絡加密方面;基于網絡的入侵檢測系統是以所截獲的數據包流量信息作為檢測分析來源,進行入侵檢測,這使其適用于網絡攻擊預警方面。分布式入侵檢測系統則是在網絡不同位置分布探測點,通過探測點收集信息,并將信息傳送給中央探測點,進而判斷是否入侵檢測。無論哪種形式的網絡入侵檢測,對于解決網絡安全問題都很有作用。
2 常用的網絡入侵檢測技術
當然,實現網絡入侵檢測系統的有效應用是因為有網絡入侵檢測技術的支持。基于目前網絡入侵檢測技術研究來說,常用的、有效的網絡入侵檢測技術有:
2.1 常用異常檢測技術
2.1.1 量化分析技術
作為比較常用的入侵檢測技術,量化分析技術主要是進行目標完整性檢測和門限檢測。目標完整性檢測,更適用于主機入侵檢測,即對主機中的某些敏感文件進行全面的、詳細的、深入的檢測,確定文件是否被惡意更改,進而判斷網絡是否被攻擊,以便良好的維護、防護網絡。而門限檢測,則是對主機一段時間內的行為及變化與預設門限值進行比較,如若出現偏差,則說明計算機網絡被攻擊,進而加強網絡防護。
2.1.2 基于統計的入侵檢測技術
相對來說,基于統計的入侵檢測技術發展較早,但其確有較多優點,能夠有效的檢測計算機網絡,提高計算機網絡的安全性。目前美國斯坦福研究院就是采用基于統計的入侵檢測技術構建的入侵檢測專家系統。而使基于統計的入侵檢測技術能夠有效、常用的原因是,此項技術應用于網絡中,可以在不知道網絡漏洞的情況下,對網絡進行有效的檢測,進而得到較準確的檢測結果,有效處理網絡安全問題,提高網絡安全性。
2.1.3 數據挖掘
所謂數據挖掘是指從大量的數據中提取隱含的、 未知的、 具有潛在價值的信息的非平凡過程。利用數據挖掘方法來處理網絡安全問題,可以對網絡數據進行分析,明確正常數據模型的特點,進而構建檢測模型,對網絡進行全方位的檢測,如此可以準確的找到網絡安全問題的原因,以便有針對性的、有效的處理安全問題,提升網絡安全性。所以,數據挖掘也是比較常用的網絡入侵檢測方法。
2.2 基于專家系統的濫用檢測系統
基于專家系統的濫用檢測系統是,依據專家知識定義入侵特征,再將被觀察對象與該特征進行比較,分析是否為入侵行為。當然,要想保證基于專家系統的濫用檢測系統可以有效應用,需要網絡安全實際需要及系統應用要求,合理策劃和設計專家系統的功能模塊,即檢測知識庫、數據庫、解釋接口等,那么基于專家系統的濫用檢測系統才能真正發揮作用,有效解決網絡安全問題,提高網絡防御水平。
3 網絡入侵檢測技術要點
基于以上內容的分析,確定網絡入侵檢測技術有效應用網絡之中,可以充分發揮作用,進行網絡入侵檢測,有效解決網絡安全問題。當然,要想實現這一目的,需要明確網絡入侵檢測技術要點,科學、合理的應用技術。
網絡入侵檢測技術要點是:
3.1 注意實時性的體現
也就是在利用網絡入侵檢測技術對網絡進行實時入侵中,一旦發現攻擊企圖或攻擊,應當及時追蹤入侵者的位置,對其進行破壞,避免后續再次出現網絡被攻擊的情況。
3.2 注意適用性的體現
也就是了解網絡環境、計算機系統類型、主機數量等,進而合理的設計應用網絡入侵檢測技術,以便此項技術可以有效應用于計算機網絡中,實施入侵檢測,保證網絡安全。
3.3 注意可擴展性的體現
網絡攻擊行為不同,計算機網絡受遭受的破壞不同。為了能夠有效防御各種攻擊行為,應當注意在擴展網絡入侵檢測系統,使之有效應用。
4 結束語
從近些年網絡攻擊次數不斷增多,網絡安全問題日益嚴峻,如若不能及時且有效的解決網絡安全問題,將會給人們帶來嚴重損失。為了避免此種情況的發生,應當科學、合理的應用網絡入侵檢測技術,如量化分析技術、基于統計的入侵檢測技術、以數據挖掘等,構建網絡入侵檢測系統,可以充分發揮網絡入侵檢測作用,實時檢測網絡,避免系統內部攻擊情況發生,同時加強主動防御,使網絡安全運行。由此看來,將網絡入侵檢測技術有效應用與計算機網絡之中是非常重要的,可以大大提高計算機網絡的安全性。
參考文獻
[1]王晟,趙壁芳.基于模糊數據挖掘和遺傳算法的網絡入侵檢測技術[J].計算機測量與控制,2012,20(03):660-663.
[2]宋繼紅,楊放,葛震等.網絡入侵檢測技術的研究[J].沈陽工業大學學報,2003,25(02):129-131.
[3]黃俊,韓玲莉,陳光平等.基于無指導離群點檢測的網絡入侵檢測技術[J].小型微型計算機系統,2007,28(11):2007-2009.
[4]何文彬.關于網絡入侵檢測技術的研究[J].電腦知識與技術,2011,07(14):3285-3287.
作者簡介
黃少文(1989- ),男,廣東省河源市人。大學本科學歷。主要從事計算機網絡專業教育教學和研究工作。
關鍵詞:入侵檢測技術;算法;模型
中圖分類號:TP311 文獻標識碼:A 文章編號:1009-3044(2016)09-0072-02
隨著Internet不斷發展的同時,網站上出現入侵攻擊的現象也愈發常見。跟據統計顯示,大約每20秒就有一次入侵事件發生,網站犯罪每年以20%-30%速度增加,全球每年因網站非法入侵等情況而遭受的各種損失已至百億級別。
在中國絕大多數的網站都有安全缺陷,不少網站都遭受到過入侵攻擊,這一情況對我國網站信息安全產生極壞的影響。與此同時,隨著網站安全防范技術的增強,網站入侵攻擊的手段方法也愈發多變、隱蔽、難以發覺。非法入侵者使用的入侵手段已不只是木馬、感染、網頁腳本和黑客后門等,比方說超級蠕蟲、隱蔽攻擊等更高級攻擊技術也開始出現。因此,研究入侵檢測技術算法的改進與應用已經成為必要的問題。
1 入侵檢測技術
入侵檢測系統(Intrusion Detection System, IDS)是一種主動保護自己免受傷害的網絡安全設備,主要負責采集系統中關鍵節點的數據,通過對數據的分析處理,發現危害系統的行為,同時對該種行為做出相應的防御,網絡管理者可以通過它實時地了解網絡的實際情況。
目前,入侵檢測技術多種多樣,涵蓋了各個領域,每種技術都有各自的優勢與長處,也有各自的特點,人們采用不同的劃分標準區別各種各樣的入侵檢測技術,其中比較被大多數人認可的五種劃分方式是反應機制、檢測所采取的技術、數據的來源、體系結構以及反應快慢,在這五種方式中,每種都含有不同的檢測技術
1)基于主機的入侵檢測
入侵檢測技術的初期階段,入侵檢測技術的應用是不盡如人意的,也因此出現了非常嚴重的入侵問題,例如,根據計算機密碼配置文件的入侵程序,間接或直接的非法訪問,使用SUID等入侵程序獲取訪問權限等。通常,當主機遭到入侵之后,入侵者的操作會留在系統的日志中。這樣,利用日志分析技術可以來檢測入侵主機之后到底發生了什么。基于日志分析的檢測技術十分依賴于主機日志記錄的準確性和嚴謹性。如果日志遭到破壞或篡改,將沒有本法很好的分析入侵行為。
2)基于網絡的入侵檢測
基于網絡的入侵檢測和以往的入侵檢測技術存在的區別,主要就是不再是被動地檢測主機系統日志,主動在網絡分組數據流進行實時監控網絡,以檢測可疑的活動。使用旁路時,偵聽器的工作機制,以相應的收集數據,對可疑行為分析檢驗。基于網絡的入侵檢測技術,在利用實時監控的同時可以不改變系統配置進行入侵檢測,絲毫不用影響正常的網絡服務。
2 規則匹配算法
基于規則匹配算法的入侵檢測系統是在1995年由外國學者Sandeep Kumar提出的,其主要思想是將規則規則與網絡中捕獲并解碼分析的數據包進行匹配,通過檢測引擎模塊檢測網絡中是否含有非法入侵行為。
Sandeep Kumar首次引出入侵信號的層次性概念,將入侵信號區分為不同的抽象層次,具體來說,主要有四個層次,分別是存在、序列、規則表示及其他。
1)存在(Existence)
存在規則又稱匹配規則,在對系統進行定期檢查的過程中,發現含有入侵信號的審計事件,表明有入侵企圖。
2)序列(Sequence)
序列規則可以理解為入侵行為是按照一定次序發生的,在系統的審計事件中用連續峰值體現出來。
3)規則表示(Regular Expressions)
該規則用規則表示式構成,一般情況下,都是一些沒有順序關系的活動,用邏輯表達式將這些活動事件連接起來。
4)其他(Others Pattern)
這種規則的入侵信號用以上三種規則都不能表示,內部否定是其中一種比較重要的表現形式。
入侵檢測系統可以檢測出的入侵信號用存在規則表示,系統內部的規則文件在檢測過程中發揮了重要作用,規則匹配系統事件來源獨立,只考慮事件中的數據,描述和匹配過程分離,只定義匹配的內容,不考慮匹配過程,根據不同入侵信號的特點動態形成相應的規則,多個事件可以在同一時間進行匹配,在實際應用中,要提取高質量的規則,根據入侵手段的變化,動態改變匹配規則,設立不同優先級,及時處理優先級比較高的事件,完成對所有規則的匹配工作。
規則匹配的原理就是在文本串T中按字符順序依次查找是否含有規則串P,一般情況下,規則串P的長度要遠遠小于文本串T的長度,如果在文本串T中的某些字段找到了與規則串P完全吻合的字段,表示規則匹配成功,如果找不到表示規則匹配失敗。
入侵檢測系統把網絡中的數據包信息按照五元組的格式進行分類,禁止一些含有入侵企圖的訪問端口,其次要對數據包內容進行檢測,字符串匹配技術將發揮重要作用,通過系統特定的規則與內容信息的比對,進而查出入侵行為。
4 結束語
網絡的快速發展,在給廣大用戶帶來眾多便利的同時,也給網絡環境帶來了巨大的安全隱患,入侵檢測系統作為重要的主動防御系統能夠實時監控網絡中的數據包,當發現網絡中有攻擊行為時,及時產生報警信息提示用戶并將該信息記錄到日志當中。
文章對入侵檢測系統與相關規則算法進行了研究。首先介紹了規則匹配的定義,又分別介紹了幾種規則匹配算法的算法思想,進而對幾種多模式規則算法做出了對比分析,通過對幾種算法性能分析,介紹了各種算法的能力,并對幾種算法的基本原理記性了詳細闡述。在此基礎上,提出了改進的算法可以更好的執行入侵檢測的異常情況,并快速的響應發出警報。
本文提出的改進規則匹配算法,雖然提高了匹配效率,但 在實際應用中還應該多方面考慮算法的實際效果,來彌補可能仍然存在的不足之處,例如基于規則匹配的入侵檢測一般只能檢測到已知類型的入侵攻擊,而遇到未知類型的入侵攻擊,此類的入侵檢測系統就很難準確的檢測到了,如何在以后的工作中,將多規則匹配算法應用到預防未知類型的入侵檢測,將是今后入侵檢測系統未來發展的重點方向。
參考文獻:
[1] 那琳.SQL注入式攻擊及其防范措施研究[J].計算機光盤軟件與應用,2011(19):73-74.
[2] 岳燕,趙才武.淺議政府機關WEB服務器的安全策略[J].云南科技管理,2012(1):71-73.
[3] 馮谷,高鵬.新型SQL注入技術研究與分析[J].計算機科學,2012,23:415-417,423.
[4] 陳劍,龔發根.一種優化分布式文件系統的文件合并策略[J].計算機應用,2011(22):161-163.
[5] 王紅艷.一種基于Hadoop架構的網絡安全事件分析方法[J].信息網絡安全,2013(1):55-57.
關鍵詞:入侵檢測技術;網絡安全;發展趨勢
一、前言
隨著計算機網絡的飛速發展和Internet應用范圍的不斷擴大,人們能夠方便有效地獲取信息資源和與他人交流。但是,由于網絡協議本身設計和實現上一些不完善的因素,隨之而來的Internet入侵事件也就層出不窮。作為開放網絡的組成部分,校園網絡的安全也是不可忽視的。由于各種原因導致校園網既是大量攻擊的發源地,也是攻擊者最容易攻破的目標。當前校園網常見的風險如下:普遍存在的計算機系統的漏洞,對信息安全、系統的使用、網絡的運行構成嚴重的威脅;計算機蠕蟲、病毒泛濫。影響用戶的使用、信息安全、網絡運行;外來的系統入侵、攻擊等惡意破壞行為,有些計算機已經被攻破,用作黑客攻擊的工具:拒絕服務攻擊目前越來越普遍。
二、入侵檢測技術在校園網中的作用
加強校內處信息的交流,滿足校區廣大師生的需求,充分利用網絡資源為全校教學、科研和管理服務,我們將用戶的應用需求歸納為如下幾個方面:
1.內部信息:向各部門規章制度、規劃、計劃、通知等公開信息等。
2.電子郵件:校園內部的電子郵件的發送與接收。
3.文件傳輸:校園內部的文本文件、圖像文件、語音文件等發送與接收。
4.資源共享:文件共享、數據庫共享、打印機共享。
5.導航系統:校園內部各部門web站點的導航。
6.外部通信:通過廣域網或專線連接,可與國內外的合作伙伴交流信息。
7.接入因特網:接入中國電信、Internet,對外信息。
架設一個入侵監測系統(IDS)是非常必要的,處于防火墻之后對網絡活動進行實時檢測。許多情況下,由于可以記錄和禁止網絡活動,所以入侵監測系統是防火墻的延續。它們可以和你的防火墻和路由器配合工作。
IDS掃描當前網絡的活動,監視和記錄網絡的流量,根據定義好的規則來過濾從主機網卡到網線上的流量,提供實時報警。IDS是被動的,它監測你的網絡上所有的數據包。其目的就是撲捉危險或有惡意動作的信息包。IDS是按你指定的規則運行的,記錄是龐大的,所以我們必須制定合適的規則對他進行正確的配置,如果IDS沒有正確的配置,其效果如同沒有一樣。IDS能夠幫助系統對付網絡攻擊,擴展了系統管理員的安全管理能力(包括安全審計、監視、攻擊識別和響應),提高了信息安全基礎結構的完整性。
三、入侵檢測技術在校園網中存在的不足
(一)防火墻位置。
防火墻是網絡安全的關口設備,只有在關鍵網絡流量通過防火墻的時候,防火墻才能對此實行檢查、防護等功能。因此,在網絡拓撲上,防火墻應當處在網絡的出口處和不同安全等級區域的結合點處。這些位置通常位于內部網到Internet出口鏈路處;主干交換機至服務器區域工作組交換機的骨干鏈路上;內部網與高安全等級的網的連接點;遠程撥號服務器與骨干交換機或路由器之間。
(二)入侵檢測位置。
不同于防火墻,IDS入侵檢測系統是一個監聽設備,沒有跨接在任何鏈路上,無須網絡流量流經它便可以工作。因此,對IDS的部署,唯一的要求是:IDS應當掛接在所有來自高危網絡區域的訪問流量和需要進行統計、監視的網絡報文都必須流經的鏈路上。IDS在交換式網絡中的位置一般選擇在:盡可能靠近攻擊源;盡可能靠近受保護資源。這些位置通常是:
•服務器區域的交換機上;
•Internet接入路由器之后的第一臺交換機上;
•重點保護網段的局域網交換機上。
(三)防火墻與IDS的結合。
談到網絡安全,人們第一個想到的就是防火墻。但隨著技術的發展,網絡日趨復雜,傳統防火墻所暴露出來的不足和弱點引起了人們對入侵檢測系統(IDS)技術的研究和開發。
首先,傳統的防火墻在工作時,就像深宅大院雖有高大的院墻,卻不能擋住小老鼠甚至是家賊的偷襲一樣,因為入侵者可以找到防火墻背后可能敞開的后門。
其次,防火墻完全不能阻止來自內部的襲擊。我們通過調查發現,70%的攻擊都將來自于校園網內部,對于校園網內部個別心懷不滿的教師或學生來說,防火墻形同虛設。
再者,由于性能的限制,防火墻通常不能提供實時的入侵檢測能力,對于現在層出不窮的攻擊技術來說是至關重要的。
第四,防火墻對于病毒也束手無策。因此,以為在 Internet入口處部署防火墻系統就足夠安全的想法是不切實際的。
入侵檢測系統(IDS)可以彌補防火墻的不足,為網絡安全提供實時的入侵檢測及采取相應的防護手段,如及時記錄證據用于跟蹤、切斷網絡連接,執行用戶的安全策略等。
四、防火墻與IDS結合的優點改進校園網
防火墻只是一種基于策略的被動防御措施,是一種粗顆粒的防御手段,無法自動調整策略設置來阻斷正在進行的攻擊,也無法防范基于協議的攻擊。所以,單靠防火墻是無法實現良好的安全防護性能的。
IDS能夠實時分析校園網外部及校園網內部的數據通訊信息,分辨入侵企圖,在校園網絡系統受到危害前以各種方式發出警報,并且及時對網絡入侵采取相應措施,最大限度保護校園網系統的安全。但是,單靠入侵檢測系統自身,只能及時發現攻擊行為,但卻無法阻止和處理。
我們將二者結合起來互動運行,防火墻便可通過IDS及時發現其策略之外的攻擊行為,IDS也可以通過防火墻對來自外部網絡的攻擊行為進行阻斷。IDS與防火墻有效互動就可以實現一個較為有效的安全防護體系,可以大大提高整體防護性能,解決了傳統信息安全技術的弊端、解決了原先防火墻的粗顆粒防御和檢測系統只發現難響應的問題。防火墻和入侵檢測的模型有以下好處:
1.如果能夠足夠迅速檢測到入侵,那么就能確認入侵者,并能在破壞發生或數據損壞之前把他驅逐出系統。即使未能足夠迅速地檢測出入侵并加以阻止,也是越迅速地檢測出入侵,越能減少破壞的危害并能更迅速地加以恢復。
2.高效的檢測系統能夠起到威懾作用,因此也能從一定程度上阻止入侵。
3.入侵檢測系統能夠收集有關入侵技術的信息。這樣可以用來加強入侵阻止設施。
五、入侵檢測技術的發展趨勢
目前,國外一些研究機構已經開發出了應用于不同操作系統的幾種典型的入侵檢測系統(IDS。它們通常采用靜態異常模型和規則的誤用模型來檢測人侵。這些1DS的檢測基本是基于服務器或基于網絡的=早期的1DS模型設計用來監控單一服務器,是基于主機的人侵檢測系統,然而近期的更多模型則集中用于監控通過網絡互連的多服務器,是基于網絡的侵人檢測系統近年來人侵檢測技術的主要發展方向。
六、結語
人侵檢測被認為是防火墻之后的第二道安全閘門,它采用的是一種主動的技術,能有效地發現入侵行為和合法用戶濫用特權的行為,已經成為網絡安全體系中一個重要組成分.目前入侵檢測技術還處于研究和發展階段,同樣存在很多不足之處。隨著網絡通信技術安全性的要求越來越高,人們需要重點研究一些智能化的檢測技術,同時還要研究如何將入侵檢測技術和其他網絡安全技術相結合來構建一個網絡安全體系等等,這些都是以后入侵檢測發展的主要方面。
關鍵詞:云計算;病毒入侵;構建
中圖分類號:TP311 文獻標識碼:A 文章編號:1009-3044(2013)32-7205-03
病毒防護是計算機技術中一項重要技術,計算機在運行過程中會遇到各種各樣的病毒,這些病毒會影響到計算機的運行嚴重情況下甚至會導致計算機系統癱瘓,從而造成不可估量的損害。因此病毒防護歷來是計算機技術中一項重要技術。傳統的病毒防護技術主要指的是防火墻、殺毒軟件、網絡入侵檢測等技術。這些病毒防護技術雖然在一定程度上滿足了計算機的基本功能,但是隨著信息技術的不斷發展,傳統的防護技術已經不能夠適應快速地、日益增長的安全問題了。因此病毒防護技術亟待創新。
云計算是當今一個新興概念,云計算本身具有綜合性、容低性、高容錯性等性能,這些性能正好能夠更好地處理計算機病毒。加強云計算技術在病毒檢測技術中的應用是未來發展的必然趨勢。
1 云計算在病毒入侵檢測技術中的具體應用
云計算技術本身是一種新型技術,云計算在計算機中的應用主要體現在通過通過云計算技術對龐大的侵入計算機行為數據進行分析,而后再通過其他平臺通過網頁形式報告給計算機用戶,從而使用戶能夠及時了解計算機本身的安全狀況。
在新形勢下入侵計算機的行為數據量是非常大的,采用傳統的病毒防護技術不能實現快速地分析檢測,而采用云計算技術則可以在短時間內實現對大數據的處理。與傳統病毒防護技術相比,云計算技術有著無可比擬的優勢。該文就以snort網絡病毒入侵檢測系統為例來詳細說明云計算技術在病毒入侵檢測技術中的應用。
2 Snort網絡入侵檢測系統的構建
Snort網絡入侵檢測系統本身是一項復雜的網絡檢驗系統,該系統的構建是需要多個步驟才能實現的。該系統的構建主要包括以下幾個步驟:
一是云的構建。云計算應用關鍵就在于構建云,當前在構建云的過程中主要是通過在多臺Linux中安裝Hadoop來實現的。二是設計程序。程序的設計是系統構建的關鍵步驟,對于snort網絡主要是設計Map-Reduce程序。通過設計完整的程序來實現對警報信息的有效整合。三是構建Hbase分布式數據庫。該數據庫主要是用來存儲經過整合后的數據的。四是利用Map-Reduce來對數據進行分析處理,最終以web服務器和PHP網頁腳本語言呈現給用戶。
3 病毒入侵檢測系統的具體實施
上文只是把系統構建的步驟進行了介紹,下面我們就來探討病毒入侵檢測系統的具體實施。對于該系統的構建我們主要是在綜合機房中實現的,該系統對硬件配置的要求較高,因此采用校內網速IG、網速達到100M的快帶網絡來構建起云計算實驗平臺。該系統需要6臺普通PC機來進行構建,在這6臺PC中有一臺作為主節點,另外5臺作為從節點來使用。在這些電腦中還需要安裝zookeeprer。
該系統的具體實施是按照以下步驟來實施的:首先是對6臺計算機安裝linux并分別命名。對于主節點要命名為hadoop,其余五臺則分別命名為hadoop1、hadoop2、hadoop3、hadoop4、hadoop5.命名之后就要把五臺計算機連接在一起。其次是要生成PCI秘鑰對,最終保證各臺計算機ash實現無密碼登陸。第三步是安裝jdk文件,jdk在安裝完成之后還要專門進行調試。只有經過專門調試才能保證正常工作。第四步就是配置相關文件。對于hadoop中hadoop-env.sh要修改其jdk路徑,對于slaves文件的修改要把其變為hadoop1-hadoop5.做好這些配置后,還要對core-site.xml文件進行配置,該文件是hadoop的主要文件,我們必須要對此保持高度重視。最后就是要配置mapred—site.xml文件。在完成以上步驟之后就可以啟動云了。最后一步是安裝apache服務器。針對這服務器的安裝需要從以下幾步來做:安裝woke目錄;下載并解壓apache文件;建立makefile;編譯make;安裝Apache。至此該網絡病毒入侵檢測系統算是構建完成。在完成系統構建之后,我們就可以通過專門實驗來觀察其效果了。
4 系統效果分析
通過專門實驗之后,我們發現該系統本身有效地檢測出了計算機的病毒。在云計算環境下的病毒入侵檢測系統實現了從病毒防護平臺就可以查出惡意入侵的源IP、攻擊的起始時間、結束時間等內容。通過這一系統基本上實現了對網絡系統的病毒檢測。
通過云計算技術病毒網絡入侵檢測系統實現了對警訊來源、目的等的綜合分析。采用云計算技術可以使得用戶能夠迅速掌握計算機所遭受到的攻擊,對于快速處理計算機病毒具有至關重要的問題。在病毒入侵檢測系統中應用云計算技術改變了傳統的處理警報的形勢,提高了云端安全問題解決效率。采用項技術基本上能夠有效解決病毒入侵檢測。
上文詳細分析了云計算技術所取得的明顯效果。但是我們在實驗過程中也出現了一些問題,這些問題的出現最終會影響到病毒入侵檢測效果,因此在這樣的背景下我們除了要掌握其效果之外,還要對實驗過程中出現的問題進行詳細處理。當前在實驗過程中出現的問題主要表現在以下幾個方面:
4.1 產生錯誤代碼
在實驗過程中我們發現網絡系統本身出現了錯誤代碼。經過詳細分析我們發現之所以會出現錯誤代碼主要原因是因為dfs.name.dir路徑設置有問題,該文件并所有權發生混亂,最終使得主節點檢查不到子節點。針對這個問題我們通過修改子節點的文件夾權限,最終有效解決了這個問題。
4.2 數據處理方法有待深化
在數據處理過程中算法Merge Extended Alert job處理過后的數據與之前數據相比并沒有明顯區別。可見當前的數據處理技術還有待深化。
4.3 程序問題
所謂程序問題主要指的是兩方面的問題:一是出現了數據重復處理的現象。之所以會出現遮掩高度問題主要是因為沒有將原來的hdfs移除造成的。在意識到這個問題之后工作人員及時移除數據,數據重復處理的現象得以避免。二是runjob程序仍然存在。在實驗過程中使用Kill命令本身不足以停止Hadoop。這對數據處理造成了很大影響。在這方面必須要引起我們的高度重視。在今后的病毒防護過程中必須要不斷改善這種現象。
5 云計算技術安全性分析
云計算技術在計算機病毒入侵檢測系統中雖然得到有效應用,但是正如上文所說云計算技術在實驗過程中還存在一些問題,因此加強對云計算技術安全性的詳細分析具有重要意義。該文就以PCShare為例來詳細對云計算技術的安全性進行分析。通過觀察我們發現云計算技術在應用過程中存在著以下安全性問題:
5.1 文件路徑欺騙
在計算機運行過程中云計算技術本身存在著文件路徑被欺騙的隱患。木馬程序通過構建沒有實際內容的文件可以改變實際存在的文件目錄。這樣的木馬程序會對計算機的自動運行造成巨大影響。該木馬程序首先是通過創建虛擬目錄,而后讓木馬程序在虛擬目錄中運行,最后再刪除虛擬目錄。通過這種方法最終嚴重影響到了計算機性能。
這個問題的具體步驟,首先是利用subst命令對惡意程序賦驅動符。在實際運行過程中用磁盤驅動器符來代替惡意程序創建的目錄;之后就是要在虛擬驅動器中運行惡意程序,最后就是刪除虛擬驅動器。
5.2 云查殺欺騙。云查殺過程中存在的欺騙主要指的是通信欺騙。通信欺騙也是云計算技術運行過程中遇到的主要問題
上述兩個問題是云計算過程中常見的問題,針對這兩個問題的處理,我們需要采取專門措施來予以預防。對于文件路徑欺騙的行為,工作人員要運用殺毒軟件來獲得木馬程序本身的虛擬目錄,然后進一步獲取物理路徑。如果殺毒軟件本身不能夠找到物理路徑的時候,就需要采用其他方法對木馬程序進行定位。對于云查殺過程中通信欺騙行為。在實際應用過程中可以通過殺毒軟件對數據進行加密,對數據包進行檢驗等方法來有效防止惡意程序的破壞。
云計算技術是當前IT技術中一項新興技術,該技術在病毒入侵檢測系統中的應用能夠有效提升病毒入侵檢測能力,對于保證計算機安全具有重要意義。在病毒防治形勢日益復雜的背景下加強對云計算技術的研究具有重要意義。該文詳細分析了云計算技術的優勢,而后以sonrt網絡病毒入侵檢測系統構建為例詳細說明了云計算技術在病毒入侵檢測系統中的應用,最后對云計算技術的安全性進行了分析。在今后的實際工作過程中必須要不斷加強對云計算技術的研究。
參考文獻:
[1] 蔣曉峰.面向開源程序的特征碼免殺與主動防御突破研究[D].上海:上海交通大學,2011.
關鍵詞:計算機數據庫;入侵檢測技術;網絡安全
中圖分類號:TP309.2 文獻標識碼:A
計算機數據庫普遍受到網絡與設備的威脅。計算機安全主要是指物理安全與信息安全(網絡安全),其中信息安全主要是指保護網絡信息的完整性、可用性、保密性。據調查數據表明,信息系統的整體安全方面,數據庫是最容易受到攻擊的部件。計算機數據庫主要受到計算機病毒或黑客的攻擊,其中與計算機病毒的種類相比較,黑客對計算機數據庫的攻擊方法更多、更致命。美國FBI調查數據顯示,網絡安全導致每年美國承受超出170億美元的經濟損失,其中每天被黑客攻擊或病害感染的網頁達到15000個。據國家計算機網絡應急技術處理協調中心的評估數據表明,2012年中國“僵尸”電腦數量已超過全球“僵尸”電腦總數的58%。由此可見,必須加強對計算機數據庫安全保護的研究。
1 計算機數據庫入侵檢測技術的現狀問題
經過20余年的發展,計算機數據庫入侵檢測技術已相當成熟,但不斷出現的新需求及新情況勢必要求不斷推進入侵檢測技術。目前主流入侵檢測系統包括基于主機的入侵檢測系統及基于網絡的入侵檢測系統;主流入侵檢測方法包括誤用檢測及異常檢測,其中誤用檢測要求對異常行為進行建模,把符合特征庫描述的行為視為攻擊;異常檢測要求對正常行為進行建模,把不符合特征庫描述的行為視為攻擊。總體而言,計算機數據庫入侵檢測技術發展的現狀尚不能完全滿足系統安全的要求,同時仍存有一些問題亟待解決。
(1)計算機入侵檢測誤報漏報率高:數據庫信息主要由個人信息及企業信息組成,因此信息的安全性普遍受到社會個體及組織的廣泛關注,同時計算機入侵檢測技術的研發過程,研究人員對某些關鍵點設置的要求相當高。但此種情況極易受到大量病毒或黑客的入侵,由此導致入侵檢測結果的準確率大幅度下降,同時某些暫時提高入侵檢測結果準確率的做法反過來亦會影響到數據庫安全。
(2)計算機入侵檢測的效率較低:任何數據入侵或反入侵皆需進行大量的二進制數據計算,以提高數據運行的有效性。但龐大的計算勢必造成大量的時間及財力浪費,由此阻礙著入侵檢測效率的提高,同時也與當今網絡環境極不相稱。
(3)計算機入侵檢測技術的自我防御能力較弱:計算機入侵檢測技術發展尚不完善,加上設計人員的專業知識欠缺,因此勢必影響到計算機入侵檢測技術自我防御能力的提高。若入侵檢測技術被黑客或病毒入侵,有限的防御能力勢必難以完成入侵檢測,由此必然威脅到數據庫的安全。
(4)計算機入侵檢測技術的可擴展性差:計算機入侵檢測技術無自動更新功能,因此不能對新的異常行為或病毒進行有效判別,進而造成病毒肆意,甚至破壞數據庫的安全防線。
2 計算機數據庫入侵檢測技術的發展方向
計算機入侵檢測系統具備網絡管理、網絡監視及入侵檢測功能,其主要采用先進的分布式架構(表1)。入侵檢測系統包含2300多種規則,能夠借助智能分析與模式相結合的方法對網內外傳輸的所有數據進行實時捕獲,進而實現對網絡領域存在的入侵行為或異常現象進行檢測,同時借助內置的攻擊特征庫把相關事件錄入數據庫,以便為事后分析提供參考依據。此外,計算機入侵檢測系統是高效的數據采集技術,與內容恢復、狀態協議分析、行為分析、異常分析、網絡審計等入侵分析技術具有非常好的兼容性,同時能夠檢測到網絡、端口探察、應用層及底層活動的掃描攻擊。
結合表1內容及計算機入侵檢測技術存在的問題,本文認為計算機數據庫入侵檢測技術應堅持“分布型、層次化、智能化檢測及反術測評標準化”的發展道路。
(1)分布型檢測。傳統的入侵檢測大多被局限到單一網絡結構,主要完成單一網絡結構的數據庫檢測,此種檢測方法根本沒有能力應對大規模的異構體系數據庫。此外,數據庫檢測體系間的協同性較弱。針對此類問題,最有效的辦法是采用分布式數據庫入侵檢測手段。
(2)層次化檢測。就檢測范圍而言,傳統的入侵檢測技術具有相當大的局限性,尤其對某些高端數據庫系統,入侵檢測技術尚存在諸多盲點。目前多數服務器結構系統皆需多層次的入侵檢測保護功能,由此保障網絡安全。針對此類問題,最有效的辦法是采用層次化的檢測方式,區別對待普通系統與高端數據庫系統,由此提高入侵檢測技術的作用力。
(3)智能化檢測。雖然目前使用的計算機入侵檢測技術已經應用到遺傳算法及神經網絡等,但應用水平尚處在初級階段或嘗試性階段,因此有必要把智能化入侵檢測列入專項課題進行研究,由此提高計算機入侵檢測的自我適應能力。
(4)應用入侵檢測技術過程,用戶有必要不定期對技術系統進行測評,其中測評的內容應涉及到資源占用比、檢測范圍、檢測可靠程度,同時充分利用測評數據對檢測系統實施評估,然后再結合評估情況對檢測系統進行完善。總體而言,依托入侵檢測技術,計算機數據庫系統的安全性勢必大大增強,即入侵檢測系統通過化解計算機數據庫系統外部的攻擊及排除系統內部的潛在威脅,進而對計算機數據庫系統實施有效保護。
(5)計算機數據庫入侵檢測技術的強化措施除采取分布型檢測、層次化檢測及智能化檢測外,筆者認為創建新型系統模型、建立數據庫知識標準、減少入侵檢測的計算量等皆可加強計算機入侵檢測技術,其中優化Apriori算法是一種由Apriori算法改進而來的計算方法,其對減少入侵檢測的計算量至關重要,此外優化Apriori算法的剪枝候選集功能是顯示入侵檢測計算量減少的主要工作。
3 結束語
綜上所述,入侵檢測技術是一種保障計算機數據庫免受黑客或病毒入侵的安全防護高新技術,其不僅能夠化解來自外界的攻擊(黑客),同時也能夠排查出內部潛在的病毒,進而實現對計算機數據庫的實時性保護。隨著網絡技術更新周期的縮短,網絡安全問題越來越引起社會的關注。數據庫是最容易受到黑客與病毒攻擊的部件,加上數據庫存儲有數以億計用戶的信息,因此必須采取措施確保計算機數據率的網絡安全。盡管入侵檢測技術的應用已相當成熟,但仍然存在諸多問題亟待解決,其中包括入侵檢測誤報漏報率高、入侵檢測的效率較低、入侵檢測技術的自我防御能力較弱及入侵檢測技術的可擴展性差等。基于此,本文提出計算機數據庫入侵檢測技術應該堅持“分布型、層次化、智能化檢測及反術測評標準化”的發展道路,由此提高網絡安全及維護社會的安定和諧。
參考文獻
[1] 秋瑜.計算機數據庫入侵檢測技術分析研究[J].硅谷,2012,(6):79-79.
[2] 王素香.計算機數據庫的入侵檢測技術分析[J].計算機光盤軟件與應用,2013,(1):101.
[3] 李媛媛.計算機數據庫的入侵檢測技術分析[J].中國信息化,2013,(14):137-137.
[4] 肖大薇.計算機數據庫入侵檢測技術分析研究[J].信息系統工程,2012,(4):54-55.
[5] 王世軼.基于數據庫的入侵檢測技術分析[J].科技風,2012,(14):52.
[6] 高超,王麗君.數據挖掘技術在基于系統調用的入侵檢測中的應用[J].鞍山科技大學學報,2006,29(1):45-49.
關鍵詞:計算機數據庫;入侵檢測技術;發展研究
中圖分類號:TP393.08
當前人們普遍使用計算機,計算機也逐步成為人們日常的辦公工具,所以許多數據內容都要計算機數據庫的整理并存儲,并且計算機的數據庫是整個系統的重要部分,因此許多計算機黑客將數據庫作為攻擊的對象,造成計算機不但面臨著來自網絡設備的威脅,還存在網絡信息安全的問題,因此增加計算機數據庫安全保護就十分重要,只有先對計算機數據庫實施相應的保護措施,這樣才能在受到病毒侵入時確保計算機網絡數據的可靠性。隨著入侵檢測技術不斷的進步,許多新的安全防御檢測措施不斷運用,但經過對計算機防火墻、殺毒軟件、路由器等一整套的入侵檢測結果推斷在當前的計算機網絡系統中:入侵檢測技術還不夠完善,有著許多的缺陷,這會直接降低計算機的入侵檢測能力。
1 計算機數據庫入侵檢測技術的現狀問題
由于我國的入侵監測系統和技術運用時間不長,因此目前我國的入侵檢測技術還處于初始階段,進步較慢,檢測的系統還需要完善,許多新技術與新型檢測理論都處于討論時期,還沒有正式啟用,因而入侵檢測技術還有以下不足:
1.1 漏報以及誤報的頻率較高。入侵檢測系統與相應的入侵檢測技術的運用目的在于維護存儲較多內容的數據庫,所以在進行系統應用時要求較高,尤其是監測系統關卡的設置,而致使很多非外界的攻擊與病毒被檢測出來,這就影響了入侵檢測系統的效率以及服務質量。
1.2 入侵檢測效率低。在計算機網絡中,每一個數據編程與數據的入侵及反入侵,所有都需運用二進制對大量的數據進行處理,處理后才可以確保其有效運行,所以其計算量特別大,異常檢測的技術成本也特別高,造成的原因是因為用戶需求的不斷改變,其記錄也要跟著人們的需求進行更新,數量就會越來越多,又因為知識庫特征里入侵的規則是專業人員先定義后匹配的,因此更增添了其運行的成本。
1.3 較差的自身防護能力。目前的檢測技術,因為系統自身的問題以及技術人員能力有限,造成入侵檢測技術本身的防護能力就比較差,所以,這就會造成當有病毒入侵或外界攻擊入侵檢測系統時,會使整個檢測系統面臨癱瘓,輕者其入侵行為會造成不能正確記錄的結果,重者是系統被攻破,然后入侵到數據庫里。
1.4 入侵檢測技術的可擴展性差。計算機入侵檢測系統沒有自動更新的能力,所以無法對新的行為或病毒進行正確的判斷,從而使得病毒肆意,更甚者沖破數據庫的安全防線。
2 提升計算機入侵檢測技術的措施
2.1 建立統一的數據庫知識標準。研究與把握數據庫入侵的特征是非常重要的部分,特征庫的覆蓋面與準確度在所有的入侵檢測結構中都有所幫助。數據挖掘技術中經常運用的手段就是相關研究,相關研究的重點就是制定記錄的處理以及一組的Item,提示對它們實施合理的整理與研究找出Item之間的關系,然后在數據庫系統內部利用將它們實施有效的整合對潛在入侵行為進行處理探索,來迅速找出潛在的入侵威脅行為。針對系統中的特別檢測要選擇對應的挖掘項目實施數據挖掘,這種方式主要由以下兩個方面:運用迭代技術檢測出數據庫復雜項集,此過程中要時刻對數據庫進行掃描,確保其準確性;把復雜項集變換成相關的規定,規定推出后就應實行一種新規則,然后系統根據此規定運行。
2.2 采用分布式層次化入侵檢測技術。目前的數據庫入侵檢測經常會有許多局限性,只可對一種網絡系統結構實施針對性的檢測,這對許多高端的以及大規模的數據庫檢測能力不夠,另外,不同層次的數據庫監測系統間的相互聯系也不足。對于這些發生的狀況,若要完善就需要運用分布式的數據庫入侵檢測技術,運用層次化升級的結論,在眾多人使用的服務器上的數據庫運用新技術才能增強計算機數據庫入侵檢測的實際能力。
2.3 智能化、標準化的數據庫入侵檢測。隨著科技的迅速發展,計算機數據庫入侵檢測系統也得到了極大的進步,智能設備的廣泛使用,加上醫學的遺傳學、神經條件反射在數據庫入侵檢測的運用,給計算機數據庫入侵檢測技術帶來了巨大的發展。但這些都是初步的探索,在實際運用中還有許多的不足,所以智能化的技術若想真正的與計算機入侵檢測技術融為一體還要付出許多努力,而且,數據庫入侵檢測技術也要逐步提高自身技能,以適應新時代的發展。
2.4 可持續發展戰略。一種技術若想可以繼續發展就需要制定嚴格的評測準則,只有在實際使用中隨時對計算機數據庫的運用情況檢測才能為計算機的防御工作做好充分的準備。一般評測的指標都有:數據庫的應用情況、入侵檢測的范圍大小、計算機系統的利用狀況。然后把這些整理的數據實施統一的規劃處理并輸送到特定的系統平臺,制作出統一的評測準則,運用到全部計算機數據庫檢測系統中,最后實現分布式的多層次多方面的入侵檢測。
因此,計算機數據庫入侵檢測技術十分重要,不但能夠作為數據庫的保護者還能保護計算機系統,只有積極提升計算機入侵檢測技術才能適應不斷發展的科技社會,從而保證計算機的運轉安全。
3 計算機數據庫入侵檢測技術的發展方向
隨著計算機數據庫在實際生活中的運用,它在人們的生活與工作中起著重要的作用,另外,攻擊數據庫的手段越來越復雜,越來越多的用戶選擇使用數據庫入侵檢測技術。未來,計算機數據庫入侵檢測技術主要有以下幾種發展方向:
3.1 分布式檢測。原來的入侵檢測多數拘泥于一個網絡結構,用來進行單一網絡結構的檢測,這種檢測方式無法處理規模較大的異構體系數據庫。另外,數據庫檢測體系之間的關聯度不夠。對于這種問題,最有效的手段是使用分布式數據庫入侵檢測方式。
3.2 層次化檢測。就檢測范圍來說,傳統的入侵檢測技術有很大的缺陷,特別是針對一些高端數據庫系統,入侵檢測技術還有許多的問題。當前許多服務器結構系統都要求具備多層次的入侵檢測保護能力,來確保網絡的安全。針對這種問題,最可行的方式是使用層次化的檢測手段,將普通系統與高端數據庫系統區分開來,以此增強入侵檢測技術的能力。
3.3 智能化檢測。即使當前使用的計算機入侵檢測技術已經運用到醫學中,但是運用水平還處于嘗試性階段,所以,將智能化入侵檢測列入專項課題進行討論是十分必要的,通過研究討論來增強計算機入侵檢測的自我適應能力。
3.4 標準化評測。用戶在使用數據庫時應當不定期對計算機數據庫入侵檢測系統實施評價檢測,評價指標包括:入侵檢測的監測范圍、數據庫系統資源占用率、入侵檢測技術的可靠性。憑借這些指標,創造出通用的檢測平臺,最終完成多層次數據庫入侵的檢測。
4 結束語
總之,計算機數據庫入侵檢測技術對計算機系統正常工作起著重要的作用。為了保證計算機的正常運行,我們應當增強對計算機數據庫入侵檢測技術的研究力度,不斷依據各種問題來完善計算機數據庫入侵檢測技術的體系,最終讓用戶正常使用計算機。
參考文獻:
[1]李廣潤.計算機數據庫入侵檢測技術應用初探[J].計算機光盤軟件與應用,2013(03):41-42.
[2]吳曉風.關于計算機數據庫入侵檢測技術的幾點思考[J].太原城市職業技術學院學報,2012(12):21-22.
[3]王敏.芻議計算機數據庫的入侵檢測技術及其應用[J].課程教育研究(新教師教學),2012(11):24-25.
【關鍵詞】 網絡安全 入侵檢測 技術應用
入侵檢測系統會在收集、分析計算機主機系統、網絡核心數據的基礎上,判斷一些合法用戶濫用資源及非法用戶入侵計算機的行為,并做出對應的反應。與傳統的網絡安全技術相結合,入侵檢測系統通過響應與檢測大大提高了計算機系統的防御功能。
一、網絡入侵的種類
常見的網絡入侵包括病毒入侵、身份入侵、防火墻入侵等三種,其中病毒入侵是最常見的網絡入侵行為,病毒可以在網絡系統中進行自我復制,破壞網絡系統數據的安全性與完整性,病毒入侵具有隱藏性、傳染性、入侵范圍大的特點。身份入侵主要是通過欺騙性較強的網絡冒充合法網絡用戶的個人信息,再進入網絡系統內部進行相應的入侵攻擊。最后,防火墻入侵,一般情況下防火墻抵抗入侵的能力較強,但是如果防火墻設計存在缺陷,可能會導致對防火墻的直接入侵或間接入侵。
二、入侵檢測的定義及手段
入侵檢測是計算機系統安全審核中的重要環節,入侵檢測系統是一種可及時捕捉計算機系統異常現象或未經授權的非法操作行為的技術,網絡安全系統管理中,主要通過網絡行為、審計數據、安全策略日志等進行分析,入侵檢測技術可以針對誤操作、內部及外部攻擊進行有效的實時保護,在危險因素攻擊計算機系統前進行有效的響應及攔截,是一種主動性更強的防護技術。計算機網絡安全入侵檢測技術包括模式匹配、異常檢測、完整性分析三種手段,模式匹配主要是對計算機網絡的數據進行檢測,確定網絡攻擊特征;異常檢測則是在收集操作過程中歷史數據的基礎上,形成網絡正常活動的檔案,將網絡實時的活動情況與正常活動檔案進行比較,判斷是否有病毒入侵;完整性分析則是檢測網絡中的文件、目錄是否處于正常狀態,該技術最大的優勢在于可以檢測出任何一個入侵的地方。
三、網絡安全管理中入侵檢測技術的應用
3.1入侵信息收集
入侵檢測技術主要依靠收集數據判斷系統的安全性,網絡檢測數據主要包括系統日志、網絡日志、文件、目錄中的保密事項、執行程序中的限制操作行為、入侵物理形式信息等等。計算機網絡應用進程中,要在每個網段中部署一個以上的IDS,才能采集所有的相關信息;入侵檢測系統還可設置于交換機內部或防火墻數據的出入口等,可以有效的采集到更多的關鍵核心數據。如需要采集網絡系統中不同類別的關鍵信息,要擴大檢測范圍,并設置截取網絡的數據包,并重點分析網絡系統中的薄弱環節。如果計算機系統入侵行為較少,可建立一個集中處理的數據群,提高入侵行為檢測的針對性。
3.2信息分析及處理
收集完入侵信息后要對其進行分析與處理,實踐環節主要采用兩種模式對安全隱患或問題信息進行識別與處理,即模式匹配及異常情況分析。經過處理分析的信息再由管理器進行統一分析,提高了信息分析的規范化與標準化。入侵檢測技術在實踐過程中可以將問題信息傳達給控制器,由控制器進行智能化、專業化的分析,充分保障計算機系統及數據信息的完整性及安全性。入侵技術的設計者及使用者需要制定相應的安全操作規則,采取行之有效的安全策略,并在此基礎之上建立完善的入侵檢測模型,利用網絡管理中心來對相應的分析結果進行科學識別。
3.3網絡信息的記錄及反擊措施
入侵檢測技術的第三步就是記錄網絡運行中產生的大量數據,在分析這些數據信息后對當前網絡環境是否存在入侵問題做出準確判斷,如果發現會及時采取報警措施,尤其是在醫院網絡這種網絡環境相對繁瑣的情況下,要及時采取反擊措施,才能最大程度上避免入侵活動導致的網絡損失。入侵檢測技術可以與防火墻技術聯合應用,設計者可以設計一個科學化的模型,開放防火墻的一個內部端口,將其根據對應的協議與入侵檢測技術的科學模型相連接,保證通信息順暢性。防火墻內均有過濾機制用于分析經過防火墻的所有數據,將網絡用戶非相關數據剔除后,大大提高網絡的安全性。
四、結語
隨著網絡信息技術的不斷發展,網絡攻擊行為也越來越先進,網絡安全問題日益突出,入侵檢測技術在保障網絡安全中意義十分重大。入侵檢測系統在傳統的網絡安全技術基礎之上,完成了響應和檢測,起到了充分的防御功能,對網絡安全事故的處理實現了事后發現到事前預警以及自動化響應的過渡等。相信隨著網絡應用技術的發展,入侵檢測技術也會向著智能化、分布式的方向發展,為網絡安全管理提供更加可靠的保障。
參 考 文 獻
[1]胥瓊丹.入侵檢測技術在計算機網絡安全維護中的應用[J].電腦知識與技術,2014(11)
入侵檢測(intrusion detection, id)是指通過對行為、安全日志或審計數據或其它可以獲得的信息進行操作,檢測到對系統的闖入或闖入的企圖。它通過對計算機系統或網絡計算機系統中的若干關鍵點收集信息并對其進行分析,從中發現系統或網絡中是否有違反安全策略的行為和被攻擊的跡象。
信息管理系統(mis)在一個企業的正常運轉中具有十分重要的作用,很多情況下,內部人員由于本身具有的特定權限,其相應的誤操作和有意破壞,將會直接影響到服務器數據的完整性和安全性,給安全生產帶來隱患。
現有的入侵檢測系統多數采用概率統計、專家系統、神經網絡等智能化方法來實現系統的檢測機制。其中,神經網絡方法可以利用大量實例通過訓練的方法構造正常行為模型,能夠有效預測未知的攻擊,并且它有自適應、自學習、自組織、并行性等優點,在攻擊類型上,則對非授權獲得超級用戶權限和遠程到本地的非授權訪問的檢測效果顯著。
本文將著力使用改進的bp神經網絡,通過有效的數據選取和學習,來著重解決mis中的安全隱患問題。 1 入侵檢測的分類
入侵檢測就其數據源分類而言可以分為基于主機的入侵檢測(hids)和基于網絡的入侵檢測(nids)。hids通過分析特定主機上的行為來檢測入侵,其數據來源通常是系統和應用程序的審計日志或系統的行為數據。nids一般通過分析網絡流量,網絡數據包和協議來分析檢測入侵,從大量的網絡數據包中提取模式/特征,然后進行相應的分析。
就入侵檢測技術而言則主要分為異常檢測和誤用檢測。異常檢測技術根據異常檢測器觀察主體的活動,然后模擬出這些活動正常行為的輪廓,通過比較當前的輪廓和模擬正常輪廓來判斷異常行為,可以檢測出未知的入侵。誤用檢測技術通過已知的入侵建立誤用模型,將用戶當前的行為與這些入侵模型進行匹配,可以實現快速的檢測。
基于主機的入侵檢測可以從所監測的主機收集信息,從而以很細的粒度分析主機行為,能夠精確的確定對操作系統執行惡意行為的進程和用戶。該入侵檢測技術一般用于保護關鍵應用服務器,考慮到大多數mis系統采用的c/s結構和實際需要,本文主要研究基于主機的用戶數據庫調用,同時結合異常和誤用兩種技術檢測入侵。 2 入侵檢測模型介紹
任何一個入侵檢測系統都必須基于合理的入侵檢測模型。其中cidf(common intrusion detection framework)模型(如圖1)正逐漸成為ids的公共標準。
圖1:cidf通用入侵檢測模型
本文在cidf通用模型基礎之上,提出一種企業入侵檢測模型(如圖2)。系統基于windows平臺,數據庫采用sqlserver。ids直接運行在服務器端,實時監測各個客戶端的數據庫調用。
圖2:企業應用系統入侵檢測模型 2.1 主要功能模塊介紹
模型主要由四個主要模塊組成:
數據采集:主要由sqlserver跟蹤日志給出,相當于事件產生器;
檢測單元:主要由神經網絡訓練出一個相對穩定的正常模型,用于檢測異常調用,相當于事件分析器;
特征數據庫:主要利用誤用檢測的特點,實現快速檢測各種已知的異常調用,并直接反饋倒報警單元,相當于事件數據庫,其征數據庫與被監控數據庫分離存儲;
報警單元:主要是殺掉異常調用的客戶端進程,反饋給系統管理員并記錄到自定義日志文件,相當于響應單元。 2.2 流程介紹
系統主要流程是:首先通過采集的樣本數據經過訓練后形成檢測單元,建立相應特征數據庫并完成日志文件初始化工作;然后實時監測客戶端調用,將數據直接和特征數據庫進行匹配,如有匹配則送入報警單元,反之則送入檢測單元;檢測單元將數據作為輸入向量與正常模型比較,如果泛化輸出值大于期望值,則列為異常,直接送入誤用數據庫存儲,并通知報警單元,反之繼續監測各調用。
下面從數據采集和神經網絡學習兩方面來討論系統具體實現的關鍵技術。 3 關鍵技術實現 3.1數據采集 入侵檢測的關鍵是用戶行為特征的提取。本文主要研究客戶端對主機數據庫的安全調用,所以考慮sqlserver跟蹤各客戶端的數據庫調用作為數據源,主要利用sqlserver的事件探察器,建立新的跟蹤文件,針對tsql、存儲過程、安全審核、會話等事件,選取objectid, loginname, cpu, read, write clientprocessid, spid 七個數據列作為輸入向量。分別表示客戶端對數據庫表、存儲過程和視圖的調用;客戶數據庫登陸名;cpu占用時間;對數據庫的讀寫操作;客戶端進程號和系統分配進程號。這七種數據在對數據庫的調用過程中相對穩定。loginname中則主要考慮客戶端默認調用sa,采集到的數據都是十進制數據,不需要額外的數據預處理,符合神經網絡輸入的要求。 3.2 神經網絡學習
系統采用vogl改進批處理bp學習算法,采用三層神經網絡:輸入單元為七個,分別對應上述七個處理向量;輸出層為一個神經單元,輸出結果規定在(0,1)范圍內,用0表示為正常行為,用1表示為異常行為;隱層結點通過試驗確定為6個;權值和閾值為小的隨機數;學習率為0.1;隱含層和輸出層采用sigmoid函數f(x)=(1+e-x)-1為激發函數,該函數具有非線性放大功能,可以把輸入從負無窮大放大到正無窮大的信號,變換到0到1之間的輸出,可以逼近非線性輸入/輸出關系。我們將七種特征向量作為神經網絡的輸入向量,訓練的結果就是確定了bp網絡的權值,而這些權值就存儲了行為的特征模式,將訓練后的神經網絡用于實際的工作,就可以判斷是否有異常的調用,如發現了新的非權限異常調用,則把檢測到的模式存儲到特征數據庫。
詞】電子政務;入侵檢測;信息安全;數據挖掘
Research Survey on Intrusion Detection Based on the E-government Information Systems
SHANG Lei
(Shandong University of Political Science and Law,Jinan Shangdong,250013,China)
【Abstract】With the development of computer technology and network technology, E-government was widely used. It also caused many security problems. As a proactive defense of the new technology, Intrusion Detection System (IDS)can be helpful for E-government information safely. This paper presented a summary of the current state of IDS based on E-government, and some directions for future research are addressed.
【Key words】E-government;Intrusion-detection;Information security;Data mining
0 引言
隨著以互聯網為主要表現形式的信息通信技術的快速發展和廣泛應用,信息化為行政改革推波助瀾,發展電子政務成為21世紀全球范圍內的一個不可扭轉的趨勢。電子政務的實施中涉及眾多重要的政府信息,甚至國家安全信息,這些信息承載著各級政府管理部門的信息傳遞與流程管理,比任何商務信息或個人信息更為敏感,因此信息安全問題是電子政務建設中至關重要的核心議題。
電子政務系統面臨的安全威脅主要表現在以下幾個方面:(1)系統安全漏洞威脅。政務系統本身存在一些漏洞或缺陷,軟件安全性不高,為攻擊者利用,如操作系統漏洞、數據庫管理系統漏洞、通信協議本身的安全漏洞等。(2)計算機病毒。(3)外部入侵。政務網絡的開放性要求,給黑客攻擊帶來了便利。(4)內部攻擊。如內部人員的惡意破壞或越權訪問、內部管理疏漏誤操作、管理人員濫用職權等。入侵檢測技術是應用在防御主動攻擊方面的一種動態網絡安全技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護,應用于電子政務信息系統中,將很大程度的提高系統的防御能力。
1 相關概念簡介
1.1 電子政務
關于電子政務(electronic government),國內外的組織結構存在著不同的定義,在我國將其定義為:政府機構應用現代信息和通信技術,將管理和服務通過網絡技術進行集成, 在互聯網上實現政府組織結構和工作流程的優化重組,超越時間、空間與部門分隔的限制,全方位地向社會提供優質、規范、透明、符合國際水準的管理和服務。[1]電子政務的實施涉及政府機關內部、其他機關、團體、企業和社會公眾,其中應用于G2G(政府間的電子政務)的系統如:電子辦公系統、電子培訓系統、業績評價系統、電子法規政策系統、電子公文系統、電子司法檔案系統等。應用于G2B(政府對企業的電子政務)的信息系統如:電子稅務系統、電子證照辦理系統、電子采購與招標系統等。G2C(政府對公民的電子政務)系統:社會保險服務網絡、電子醫療服務系統、交通管理服務系統等。這些系統的共同特點是基于互聯網、存在信息的雙向交流、有一定的開放性,因此為保證電子政務的信息安全, 有必要對其信息和網絡系統進行專門的安全設計。
1.2 入侵檢測
1980 年,James P. Anderson 發表了論文《Computer Security Threat Monitoring and Surveillance》,文中第一次精確給出了入侵的概念,并將入侵劃分為:外部闖入、內部授權用戶的越權使用和濫用三種類型,提出了用審計追蹤來監視入侵威脅。1998 年,Ross Anderson 和 Abida Khattak 將信息檢索的技術引進了入侵檢測方面,隨后人工智能、分布式技術、神經網絡技術的加入奠定了入侵檢測系統的設計基礎。
人侵偵測系統( Intrusion Detection System ,IDS )[2]對計算機網絡及基于網絡的系統進行監視,依據監視結果針對不同的入侵行為采用不同的安全策略,以期最大程度地降低入侵帶來的危害,是一種主動檢測系統是否受到攻擊的網絡安全技術。入侵檢測系統的主要功能包括:監視、分析用戶及系統活動;識別、反映已知進攻的活動模式;統計分析異常行為模式;審計、跟蹤管理操作系統,識別用戶違反安全策略的行為等。總體來說,入侵檢測系統的發展經歷了五個階段:基于主機的入侵檢測系統,HIDS;基于多 主機的入侵檢測系統;基于網絡入侵檢測系統,NIDS;分布式入侵檢測系統;以及面向大規模網絡的入侵檢測系統。[3]在技術上分為基于特征的檢測和基于異常的檢測,。通過對現有的入侵檢測系統研究,應用于入侵檢測的方法主要包括:專家系統、有限狀態機、統計分析、模式匹配、類神經網絡、模糊理論、分布式處理等技術。 2 電子政
務信息系統入侵檢測技術分析
電子政務系統安全是多因素、多層次、多目標、動態變化的復雜系統工程,需要從整體上認識處理網絡、信息和應用的安全問題,尋求一種大規模應用環境下具有高安全性和一定開放性的安全體系結構,入侵檢測技術成為其中重要的研究方向。目前已有很多研究者投入到該領域的研究通過人工智能技術、移動技術、數據融合和信息關聯技術提高入侵檢測系統的功能和效率。 2.1 基于數據挖掘的入侵檢測技術
將數據挖掘技術應用到入侵檢測系統中,是近年發展起來的熱點問題,哥倫比亞大學的Wenke Lee等人首先提出將數據挖掘技術應用于電子政務入侵檢測。[2]基本的數據挖掘技術包括:數據采集、數據預處理、模式發現、模式評估及知識表示,其中模式發現是整個過程的關鍵。數據挖掘技術可以在大量網絡數據及審計數據中挖掘出異常或入侵性的行為模式,也可以找出用戶正常行為來創建用戶的正常行為庫,降低訓練集獲取的難度。目前用于電子政務入侵檢測的數據挖掘方法主要有序列分析、聚類分析、關聯分析、分類分析等。文獻[2]中提出了一種基于電子政務的數據挖掘異常入侵檢測模型,將模型的工作過程定義為數據采集、數據預處理、關聯挖掘、入侵檢測四步。文獻[4]提出基于最小距離的聚類算進行聚類分析,大大提高了電子政務信息系統的安全能力。
2.2 基于多主體技術的入侵檢測
協同工作是電子政務系統的重要特點,同時也是解決電子政務系統安全問題時必須考慮的因素。人工智能領域的多主體( multi-agent)協作技術能夠有效處理分散的、分布的、不同種類的在線信息資源,是構造大型、復雜、魯棒的分布式信息處理系統的有效解決方案。多agent技術最早出現于20世紀70年代的人工智能領域,用于解決大規模復雜問題的智能求解而發展起來的,[5]該技術的基本思想是把大的復雜系統分解為許多小的、可以實現相互通信、能夠彼此協調工作的自治系統(A-gent),然后通過這些自治A gent的交互、協作等智能行為完成復雜的任務求解。
目前多agent技術在電子政務系統協同工作設計中應用非常廣泛,在文獻[5]中提出了一個基于多A gent的電子政務應用系統平臺模型,并在此基礎上設計了基于多A gent技術的網絡攻擊自動檢測及免疫系統,利用多個子Agent的相互協作自動識別外部攻擊,以支持不同安全策略之間的互操作性,系統中分別定義了用戶接口Agent、認證Agent、授權Agent、審計Agent,它們由智能協作Agent進行協調管理。文獻[6]提出了一種基于環型協作機制的分布式入侵檢測系統模型,用于提高系統的安全性、高可靠性和協作能力。它將分布在各處的監測站點組織成一個邏輯環,由運行在環中的令牌來實現對協作的控制和驅動,從而提高網絡人侵檢測能力。
3 結束語
入侵檢測作為防火墻之后的第二道閘口正日益成為保障電子政務網絡系統安全的一種重要手段。人工智能、數據挖掘、分布式處理等技術的應用在一定程度上降低了入侵檢測的誤報率和漏報率,提高了系統的功能和效率,有效地保護了電子政務系統的安全。但該技術在電子政務安全領域的應用還處于研究和發展階段,還有許多問題有待解決,如對攻擊意圖的識別、攻擊模式自動獲取、以及與其他安全技術結合等問題。
【參考文獻】
[1]蔣毅.電子政務基礎[M].機械工業出版社,2006:31-33.
[2]王悅.基于電子政務的數據挖掘異常入侵檢測技術[J].微計算機信息,2010,26(9-1):236-238.
[3]張超,霍紅衛,錢秀檳,張玉清.入侵檢測系統概述[J].計算機工程與應用,2004,3:116-119.
[4]朱景鋒.物聯網環境下電子政務信息系統入侵檢測技術分析與對策研究[J].科技通報,2012,4,28(4):130-132.
隨著計算機網絡技術的飛速發展其廣泛應用于我國各項社會服務、經濟金融、政治軍事、教育國防事業中,令企事業單位生產運營效率全面提升,可以說計算機網絡系統真正給人們的生活創設了便利,構建了共享化、高效化、現代化的社會發展環境。同時網絡系統由于自身建設、程序設計、操作失誤等因素不可避免的包含許多病毒或漏洞,給黑客入侵者以可乘之機,并給重要數據信息的安全引入了諸多不可預測的復雜風險,動輒令企事業單位機密文件丟失、個人信息被不良竊取,造成了嚴重的經濟損失。
1 計算機網絡常見入侵方式
針對計算機網絡的入侵主要指應用相應計算機程序調試技巧、編寫技巧實現對未授權文件或網絡的非法訪問,并入侵至網絡中的不良行為。當前常見的計算機網絡入侵包括病毒攻擊、身份攻擊、拒絕服務、防火墻攻擊、網絡欺騙、木馬攻擊、后門入侵、惡意程序攻擊、入侵撥號程序、邏輯炸彈攻擊、破解密碼、垃圾搜尋、社交工程攻擊等。所謂病毒攻擊即利用其自我復制特性進行系統資源的破壞、侵襲,對其數據完整性進行不良破壞或竊取、令系統拒絕服務,該攻擊入侵方式具有隱蔽性、傳播性、繁殖性、潛伏性與寄生性等特征。身份攻擊則利用網絡服務對用戶身份的確認進而通過竊取、欺騙手段對合法用戶身份進行冒充以實現網絡攻擊目標,該類攻擊包含漏洞攻擊、收集信息攻擊與口令攻擊等。其中獲取與收集信息主要采用試探方式,例如掃描賬戶、ping、掃描漏洞、端口與嗅探網絡方式進而對系統漏洞、服務、權限進行探測,采用工具與公開協議對網絡中各主機存儲的有用信息進行獲取與收集,并捕捉到其存在的漏洞,進而為后續攻擊做準備。針對防火墻進行攻擊具有一定難度,然而一旦攻擊得手將造成網絡系統的崩潰、癱瘓,令用戶蒙受較大損失。拒絕服務攻擊主體將一定數量與序列的報文傳送至網絡中令大量的恢復要求信息運行充斥于服務器中,導致網絡帶寬與系統資源被不良消耗,進而令其無法正常的服務運行、甚至不勝負荷而引發系統死機、癱瘓現象。網絡欺騙主要通過對電子郵件、網頁的偽造誘導用戶錄入關鍵隱私信息,例如密碼、銀行賬戶、登錄賬戶、信用卡信息等進而實現竊取入侵目標。對撥號程序的攻擊通過自動撥號進行調制解調器連接通道的搜尋,以實現入侵目標。邏輯炸彈則是計算機軟件中嵌入的一類指令,可通過觸發進而實現惡意的系統操作。
2 入侵檢測技術內涵
入侵檢測技術通過對安全日志、人們行為與數據的審計、可獲取信息展開操作進而檢測到企圖闖入系統的信息,包含檢測、威懾、評估損失狀況、預測攻擊與支持等。該技術可以說是防火墻系統技術的良好補充,可有效輔助系統強化其應對異常狀況、非授權、入侵行為能力,通過實時檢測提供對外部、內部攻擊與誤操作的動態實時保護,是一種安全有效的防護策略技術,入侵檢測硬件與軟件的完善結合便構成了入侵檢測系統。合理應用該技術可令不良入侵攻擊行為在危害系統之前便被準確的檢測到,進而利用防護與報警系統將入侵攻擊驅逐,降低其造成的不良損失。當系統被攻擊入侵后我們則應通過對入侵信息的全面收集構建防范知識系統,進而提升網絡系統綜合防范能效。
3 計算機網絡安全中科學應用入侵檢測技術
入侵檢測技術主要通過對維護網絡安全、分析、監視系統與用戶活動、審計系統弱點與構造、對已知進攻模式活動進行反應識別并報備、分析統計異常行為、對數據文件與重要系統完整性進行評估、跟蹤審計操作系統實施管理、識別違反安全的活動等行為進而確保計算機網絡系統的可靠安全。一般來講網絡檢測入侵系統包含多層次體系結構,即、控制與管理層等,控制層承擔由獲取收集信息職能,并對所受攻擊事項進行顯示,進而實現對的管理與配置。承擔對網絡數據包的監視職能,并將檢測的數據信息、攻擊行為發送至管理層。管理器承擔對各類報警與日志的管理,以及對檢測到的攻擊信息與安全信息進行顯示,響應攻擊警告與配置信息,對控制臺的各類命令進行有效執行,并令由的警告攻擊信息傳輸至控制臺,最終完成了整體入侵檢測過程。依據該過程我們制定科學的入侵檢測技術應用策略。
3.1收集信息策略
應用入侵檢測技術的首要關鍵因素在于數據,我們可將檢測數據源分為網絡、系統日志、文件與目錄中不期望更改事項、執行程序中不期望各項行為、入侵的物理形式信息等。在應用進程中對信息的收集應位于每一網段之中科學部署至少一個IDS,依據相應的網絡結構特征,采集數據部分由多樣連接形式構成,倘若位于網段中應用交換集線器連接,其核心交換機芯片一般會設有調試端口,我們可連接IDS系統于該端口之中。同時設置入侵檢測系統于防火墻或交換機內部的數據流出口或入口,進而獲取所有核心關鍵數據。對于網絡系統中不同類別的信息關鍵點收集我們不僅應依據檢測對象擴充檢測范疇、對網絡包截取進行設置,同時還需要應對薄弱環節,即來源于統一對象的各項信息可能無法發掘疑點,因而需要我們在收集入侵信息時,應對幾個來源對象信息包含的不一致性展開重點分析,令其作為對可疑、入侵行為科學判斷的有效標識。對于整體計算機網絡系統來講,入侵行為相對有限,因此對各類少數的數據異常,我們可令其孤立,進而構建而成數據群展開集中性處理,強化分析入侵行為的針對性。
3.2分析檢測入侵信息
完成收集的信息我們可利用異常分析發現與匹配模式進行綜合數據分析,進而發掘與安全策略違背的行為,將其合理發送至管理器。實踐應用中我們應對各類系統漏洞、網絡協議進行清醒深刻認識,遵循制定的安全策略與規則,利用異常檢測與濫用檢測模型進行分析過程模擬,合理確認識別異常與特征攻擊行為,最終令分析結構構建成為報警信息并發送至管理控制中心。對于TCP/IP協議網絡,我們還可采用探測引擎技術,應用旁路偵聽對網絡流經的所有數據包進行動態監視,并依據用戶定義相關策略展開檢測,有效識別各類網絡事件并告知控制中心,令其進行定位與報警顯示。
3.3響應入侵信息
針對入侵信息我們應作出準確反應,基于數據分析基礎檢測本地網段,令數據包中隱藏的惡意入侵準確發掘出來,并及時作出響應。該環節涵蓋告警網絡引擎、通知控制臺、發送郵件于安全管理人員、對實時會話進行查看并通報制控制臺,對現場事件如實記錄日志,并采取相應安全行為進行網絡配置的合理調整、終止不良入侵,對特定用戶相應程序進行合理執行。另外我們可促進防火墻與入侵檢測技術的優勢結合應用,創設兩者的協同模型及安全網絡防護體系。令兩者共同開放接口并依據固定協議展開通信,實現對端口進行約定。防火墻應用過濾機制對流經數據包展開解析并令其同事先完成定義的規則展開對比,進而令非授信數據包準確過濾。對于繞過防火墻的數據包我們可利用入侵檢測技術依據一致特征規則集進行網絡攻擊檢測并做出及時響應,確保對各類入侵攻擊的有效防御。
4結論
總之,基于網絡入侵不良影響我們只有主力研究如何有效防范網絡入侵,科學檢查、預測攻擊行為,基于入侵檢測思想進行實時動態監控,才能防患于未然令攻擊影響消失在萌芽狀態,進一步阻礙不良攻擊事件的發生及擴大,進而真正創設優質、高效可靠的網絡運行環境。
參考文獻
