绪论:写作既是个人情感的抒发,也是对学术真理的探索,欢迎阅读由发表云整理的11篇入侵检测论文范文,希望它们能为您的写作提供参考和启发。
0引言
近年来,随着信息和网络技术的高速发展以及政治、经济或者军事利益的驱动,计算机和网络基础设施,特别是各种官方机构的网站,成为黑客攻击的热门目标。近年来对电子商务的热切需求,更加激化了这种入侵事件的增长趋势。由于防火墙只防外不防内,并且很容易被绕过,所以仅仅依赖防火墙的计算机系统已经不能对付日益猖獗的入侵行为,对付入侵行为的第二道防线——入侵检测系统就被启用了。
1入侵检测系统(IDS)概念
1980年,JamesP.Anderson第一次系统阐述了入侵检测的概念,并将入侵行为分为外部滲透、内部滲透和不法行为三种,还提出了利用审计数据监视入侵活动的思想[1]。即其之后,1986年DorothyE.Denning提出实时异常检测的概念[2]并建立了第一个实时入侵检测模型,命名为入侵检测专家系统(IDES),1990年,L.T.Heberlein等设计出监视网络数据流的入侵检测系统,NSM(NetworkSecurityMonitor)。自此之后,入侵检测系统才真正发展起来。
Anderson将入侵尝试或威胁定义为:潜在的、有预谋的、未经授权的访问信息、操作信息、致使系统不可靠或无法使用的企图。而入侵检测的定义为[4]:发现非授权使用计算机的个体(如“黑客”)或计算机系统的合法用户滥用其访问系统的权利以及企图实施上述行为的个体。执行入侵检测任务的程序即是入侵检测系统。入侵检测系统也可以定义为:检测企图破坏计算机资源的完整性,真实性和可用性的行为的软件。
入侵检测系统执行的主要任务包括[3]:监视、分析用户及系统活动;审计系统构造和弱点;识别、反映已知进攻的活动模式,向相关人士报警;统计分析异常行为模式;评估重要系统和数据文件的完整性;审计、跟踪管理操作系统,识别用户违反安全策略的行为。入侵检测一般分为三个步骤:信息收集、数据分析、响应。
入侵检测的目的:(1)识别入侵者;(2)识别入侵行为;(3)检测和监视以实施的入侵行为;(4)为对抗入侵提供信息,阻止入侵的发生和事态的扩大;
2入侵检测系统模型
美国斯坦福国际研究所(SRI)的D.E.Denning于1986年首次提出一种入侵检测模型[2],该模型的检测方法就是建立用户正常行为的描述模型,并以此同当前用户活动的审计记录进行比较,如果有较大偏差,则表示有异常活动发生。这是一种基于统计的检测方法。随着技术的发展,后来人们又提出了基于规则的检测方法。结合这两种方法的优点,人们设计出很多入侵检测的模型。通用入侵检测构架(CommonIntrusionDetectionFramework简称CIDF)组织,试图将现有的入侵检测系统标准化,CIDF阐述了一个入侵检测系统的通用模型(一般称为CIDF模型)。它将一个入侵检测系统分为以下四个组件:
事件产生器(EventGenerators)
事件分析器(Eventanalyzers)
响应单元(Responseunits)
事件数据库(Eventdatabases)
它将需要分析的数据通称为事件,事件可以是基于网络的数据包也可以是基于主机的系统日志中的信息。事件产生器的目的是从整个计算机环境中获得事件,并向系统其它部分提供此事件。事件分析器分析得到的事件并产生分析结果。响应单元则是对分析结果做出反应的功能单元,它可以做出切断连接、修改文件属性等强烈反应。事件数据库是存放各种中间和最终数据的地方的通称,它可以是复杂的数据库也可以是简单的文本文件。
3入侵检测系统的分类:
现有的IDS的分类,大都基于信息源和分析方法。为了体现对IDS从布局、采集、分析、响应等各个层次及系统性研究方面的问题,在这里采用五类标准:控制策略、同步技术、信息源、分析方法、响应方式。
按照控制策略分类
控制策略描述了IDS的各元素是如何控制的,以及IDS的输入和输出是如何管理的。按照控制策略IDS可以划分为,集中式IDS、部分分布式IDS和全部分布式IDS。在集中式IDS中,一个中央节点控制系统中所有的监视、检测和报告。在部分分布式IDS中,监控和探测是由本地的一个控制点控制,层次似的将报告发向一个或多个中心站。在全分布式IDS中,监控和探测是使用一种叫“”的方法,进行分析并做出响应决策。
按照同步技术分类
同步技术是指被监控的事件以及对这些事件的分析在同一时间进行。按照同步技术划分,IDS划分为间隔批任务处理型IDS和实时连续性IDS。在间隔批任务处理型IDS中,信息源是以文件的形式传给分析器,一次只处理特定时间段内产生的信息,并在入侵发生时将结果反馈给用户。很多早期的基于主机的IDS都采用这种方案。在实时连续型IDS中,事件一发生,信息源就传给分析引擎,并且立刻得到处理和反映。实时IDS是基于网络IDS首选的方案。
按照信息源分类
按照信息源分类是目前最通用的划分方法,它分为基于主机的IDS、基于网络的IDS和分布式IDS。基于主机的IDS通过分析来自单个的计算机系统的系统审计踪迹和系统日志来检测攻击。基于主机的IDS是在关键的网段或交换部位通过捕获并分析网络数据包来检测攻击。分布式IDS,能够同时分析来自主机系统日志和网络数据流,系统由多个部件组成,采用分布式结构。
按照分析方法分类
按照分析方法IDS划分为滥用检测型IDS和异常检测型IDS。滥用检测型的IDS中,首先建立一个对过去各种入侵方法和系统缺陷知识的数据库,当收集到的信息与库中的原型相符合时则报警。任何不符合特定条件的活动将会被认为合法,因此这样的系统虚警率很低。异常检测型IDS是建立在如下假设的基础之上的,即任何一种入侵行为都能由于其偏离正常或者所期望的系统和用户活动规律而被检测出来。所以它需要一个记录合法活动的数据库,由于库的有限性使得虚警率比较高。
按照响应方式分类
按照响应方式IDS划分为主动响应IDS和被动响应IDS。当特定的入侵被检测到时,主动IDS会采用以下三种响应:收集辅助信息;改变环境以堵住导致入侵发生的漏洞;对攻击者采取行动(这是一种不被推荐的做法,因为行为有点过激)。被动响应IDS则是将信息提供给系统用户,依靠管理员在这一信息的基础上采取进一步的行动。
4IDS的评价标准
目前的入侵检测技术发展迅速,应用的技术也很广泛,如何来评价IDS的优缺点就显得非常重要。评价IDS的优劣主要有这样几个方面[5]:(1)准确性。准确性是指IDS不会标记环境中的一个合法行为为异常或入侵。(2)性能。IDS的性能是指处理审计事件的速度。对一个实时IDS来说,必须要求性能良好。(3)完整性。完整性是指IDS能检测出所有的攻击。(4)故障容错(faulttolerance)。当被保护系统遭到攻击和毁坏时,能迅速恢复系统原有的数据和功能。(5)自身抵抗攻击能力。这一点很重要,尤其是“拒绝服务”攻击。因为多数对目标系统的攻击都是采用首先用“拒绝服务”攻击摧毁IDS,再实施对系统的攻击。(6)及时性(Timeliness)。一个IDS必须尽快地执行和传送它的分析结果,以便在系统造成严重危害之前能及时做出反应,阻止攻击者破坏审计数据或IDS本身。
除了上述几个主要方面,还应该考虑以下几个方面:(1)IDS运行时,额外的计算机资源的开销;(2)误警报率/漏警报率的程度;(3)适应性和扩展性;(4)灵活性;(5)管理的开销;(6)是否便于使用和配置。
5IDS的发展趋
随着入侵检测技术的发展,成型的产品已陆续应用到实践中。入侵检测系统的典型代表是ISS(国际互联网安全系统公司)公司的RealSecure。目前较为著名的商用入侵检测产品还有:NAI公司的CyberCopMonitor、Axent公司的NetProwler、CISCO公司的Netranger、CA公司的Sessionwall-3等。国内的该类产品较少,但发展很快,已有总参北方所、中科网威、启明星辰等公司推出产品。
人们在完善原有技术的基础上,又在研究新的检测方法,如数据融合技术,主动的自主方法,智能技术以及免疫学原理的应用等。其主要的发展方向可概括为:
(1)大规模分布式入侵检测。传统的入侵检测技术一般只局限于单一的主机或网络框架,显然不能适应大规模网络的监测,不同的入侵检测系统之间也不能协同工作。因此,必须发展大规模的分布式入侵检测技术。
(2)宽带高速网络的实时入侵检测技术。大量高速网络的不断涌现,各种宽带接入手段层出不穷,如何实现高速网络下的实时入侵检测成为一个现实的问题。
(3)入侵检测的数据融合技术。目前的IDS还存在着很多缺陷。首先,目前的技术还不能对付训练有素的黑客的复杂的攻击。其次,系统的虚警率太高。最后,系统对大量的数据处理,非但无助于解决问题,还降低了处理能力。数据融合技术是解决这一系列问题的好方法。
(4)与网络安全技术相结合。结合防火墙,病毒防护以及电子商务技术,提供完整的网络安全保障。
6结束语
在目前的计算机安全状态下,基于防火墙、加密技术的安全防护固然重要,但是,要根本改善系统的安全现状,必须要发展入侵检测技术,它已经成为计算机安全策略中的核心技术之一。IDS作为一种主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护。随着网络通信技术安全性的要求越来越高,入侵检测技术必将受到人们的高度重视。
参考文献:
[1]putersecuritythreatmonitoringandsurveillance[P].PA19034,USA,1980.4
[2]DenningDE.AnIntrusion-DetectionModel[A].IEEESymponSecurity&Privacy[C],1986.118-131
2卫星通信网入侵检测系统的实现
2.1入侵检测系统的体系结构
入侵检测是检测计算机网络和系统以发现违反安全策略事件的过程。如图2所示,作为入侵检测系统至少应该包括三个功能模块:提供事件记录的信息源、发现入侵迹象的分析引擎和基于分析引擎的响应部件。CIDF阐述了一个入侵检测系统的通用模型,即入侵检测系统可以分为4个组件:事件产生器、事件分析器、响应单元、事件数据库。
2.2入侵检测系统的功能
卫星通信网络采用的是分布式的入侵检测系统,其主要功能模块包括:(1)数据采集模块。收集卫星发送来的各种数据信息以及地面站提供的一些数据,分为日志采集模块、数据报采集模块和其他信息源采集模块。(2)数据分析模块。对应于数据采集模块,也有三种类型的数据分析模块:日志分析模块、数据报分析模块和其他信息源分析模块。(3)告警统计及管理模块。该模块负责对数据分析模块产生的告警进行汇总,这样能更好地检测分布式入侵。(4)决策模块。决策模块对告警统计上报的告警做出决策,根据入侵的不同情况选择不同的响应策略,并判断是否需要向上级节点发出警告。(5)响应模块。响应模块根据决策模块送出的策略,采取相应的响应措施。其主要措施有:忽略、向管理员报警、终止连接等响应。(6)数据存储模块。数据存储模块用于存储入侵特征、入侵事件等数据,留待进一步分析。(7)管理平台。管理平台是管理员与入侵检测系统交互的管理界面。管理员通过这个平台可以手动处理响应,做出最终的决策,完成对系统的配置、权限管理,对入侵特征库的手动维护工作。
2.3数据挖掘技术
入侵检测系统中需要用到数据挖掘技术。数据挖掘是从大量的、不完全的、有噪声的、模糊的、随机的数据中提取隐含在其中的、人们事先不知道的、但又是潜在有用的信息和知识的过程。将数据挖掘技术应用于入侵检测系统的主要优点:(1)自适应能力强。专家根据现有的攻击从而分析、建立出它们的特征模型作为传统入侵检测系统规则库。但是如果一种攻击跨越较长一段时间,那么原有的入侵检测系统规则库很难得到及时更新,并且为了一种新的攻击去更换整个系统的成本将大大提升。因为应用数据挖掘技术的异常检测与信号匹配模式是不一样的,它不是对每一个信号一一检测,所以新的攻击可以得到有效的检测,表现出较强实时性。(2)误警率低。因为现有系统的检测原理主要是依靠单纯的信号匹配,这种生硬的方式,使得它的报警率与实际情况不一致。数据挖掘技术与入侵检测技术相结合的系统是从等报发生的序列中发现隐含在其中的规律,可以过滤出正常行为的信号,从而降低了系统的误警率。(3)智能性强。应用了数据挖掘的入侵检测系统可以在人很少参与的情况下自动地从大量的网络数据中提取人们不易发现的行为模式,也提高了系统检测的准确性。
1入侵检测系统分析
表1分析了入侵检测系统结构变化。
表1IDS出现的问题及结构的变化
IDS发展解决的问题结构特征
基于主机单一主机的安全各部分运行在单节点上
基于网络局域网的安全采集部分呈现分布式
分布式单一分析节点的弱势分析部分呈现分布式
网格的运行是由用户发起任务请求,然后寻找资源搭配完成任务,这样形成的团体称为虚拟组织(VO),网格入侵检测系统是为其他VO提供服务的VO[1],目前其面临的主要问题如下:
(1)分布性:包括资源分布和任务分解。
(2)动态部署:系统是为VO提供服务的,其部署应是动态的。
(3)动态形成:系统本身也是一VO,是动态形成的。
(4)最优方案选择:本系统需多种网格资源协同进行,要选择一个最优方案。
(5)协同计算:保证按照入侵检测流程顺利运行。
(6)动态改变:防止资源失效。
目前关于网格入侵检测系统的研究[2]只能说解决了分布性、动态形成、协同计算。而对于动态部署[1]、动态改变[3]仍处于研究中。
2VGIDS系统模型
VGIDS基于开放网格服务(OGSA)思想提出了一个公共服务——GIDSService来解决目前网格入侵检测系统面临的问题。整个VGIDS结构如图1所示。
(1)VO-Based:网格是一个虚拟组织的聚集,本系统提出一虚拟组织目录(VOL)。用户向GIDSService提交请求并将被检测VO代号作为参数。GIDSSevvice查找VOL获取VO信息。当VOL数量减为一就成为单一网格应用,可由网格管理(GM)将VO信息传给GIDSServic。
图1VGIDS系统结构
(2)GIDSService:负责资源发现,调度。具体包括:
RI(RequestInterface):服务接口,负责服务请求及VO信息获取。同VOL解决动态部署。
DA(DelegationAgent):委托。同用户交互获得用户委托授权。
DD(DistributedData):分布式数据。存储VGIDS需要的资源信息。解决分布问题。
RQ(ResourceQuery):资源查询。当获得用户授权后便由RQ根据DD描述向资源目录(RL)查找资源。解决分布问题。
PC(PlanChoose):最优方案选择。当从RL获得可用资源后PC根据AM(任务管理)要求选择一个最优方案。本文称为多维最优路径选择问题。
AM(AssignmentManage):任务管理。首先根据DD存储所需资源的调度信息,当VGIDS形成后,根据PC的方案选择及DD存储的资源信息进行任务的调度和协同各分布资源的交互,解决协同计算。
IR(IntrusionReaction):入侵响应。
SN(SecurityNegotiate):安全协商。同资源和用户的安全协商。
DI(DynamicInspect):动态检查。负责检查资源失效向RQ发起重新查找资源请求。解决动态改变问题。
LB(LoadBalance):负载平衡。主要根据DD信息解决网格资源调度的负载平衡问题。
3VGIDS服务描述
本系统是一动态虚拟组织,在系统运行之前必须以静态网格服务的形式部署于网格之上,当用户申请时再动态形成。
定义1:VGIDS的静态定义如下:VGIDS=<Base,Resource,Role,Task,Flow,Relation>
Base为VGIDS基本描述,Base=<ID,Power,IO,Inf,log,goal,P>。ID为虚拟组织编号;Power为获得的授权;IO为被检测对象;Inf为监控VGIDS获得的信息文件;log为系统日志;goal为VGIDS目标,包括调度算法所估计的系统效率及用户要求;P为系统交互策略,需同网格资源进行交互,授予资源角色和相关权利并同时分配相关任务。
Resource为VGIDS的所有资源,Resource=<IP,Property,Serve,Power,P>。
IP为资源地址;Property为资源属性(存储、分析),方便角色匹配;Serve为资源可提供的服务指标;Power为使用资源所要求的授权;P为资源交互策略。
Role为存在的角色类型,Role=<ID,Tas,Res,Power>。ID为角色的分类号,按照工作流分为5类角色分别对应VGIDS的5个环节;Tas为角色任务;Res为角色需要的资源类型;Power为角色所获得的权利。
Task为工作流任务集合。Task=<ID,Des,Res,Role,P>。ID为任务标号;Des为任务描述;Res为需要的资源种类;Role为任务匹配的角色;P为Task执行策略。
Flow为工作流描述文件,Flow=<Role,Seq,P>。Role为角色集合,Seq为角色执行序列,P为对于各个角色的控制策略。
Relation为已确定资源Resource和Role之间的关系。Relation=<Res,Role,Rl>。Res为资源集合,Role为角色集合,Rl为对应关系。
4多维最优路径选择
4.1问题描述
将图1抽象为图2模型定义2:Graph=(U、D、A、{Edge})。
U为所有被检测对象的集合,Un=(Loadn、Pn),Loadn为Un单位时间所要求处理的数据,Pn为Un在被检测VO中所占权重,如果P为空,则按照Load大小作为权重。
D为存储服务集合,Dn=(Capn、Qosdn),Capn为Dn提供的存储容量。Qosdn为Dn提供的服务质量,近似为数据吞吐率。
A为分析服务集合,An=(Classn、Qosan),Classn为An处理的数据种类,如系统日志或网络流量。Qosan为An提供的服务质量,近似为处理速率。
Edge为边的集合,有网络传输速度加权v。
图2VGIDS调度模型
定义3:Qos定义为一个多维向量,可用一个性能度量指标的集合表示:
{M1(t)、M2(t),…,Mn(t)}
Mn(t)为一个与网格服务质量有关的量,如CPU的主频、网络速度、内存。服务的执行过程体现出来的性能参数是一条n维空间的轨迹M,这个n维空间的每一维代表一个性能指标
M=R1*R2*…*Rn
其中,Rn是性能指标Mn(t)的取值范围。在本系统中存在两类Qos,分别为D和A。本系统强调实时性,所以CPU、RAM和网络速度占很大权重,Qos计算公式如下:
Wcpu表示CPU的权重;CPUusage表示当前CPU使用率;CPUspeed表示CPU的实际速度;CPUmin表示要求的CPU速率的最小值。Wram表示RAM的权重;RAMusage表示当前RAM使用率;RAMsize表示RAM的实际大小;RAMmin表示要求的RAM的最小值。Wnet表示网络传输的权重;NETusage表示当前网络负载;NETspeed表示网络的实际速度;NETmin表示要求的网络传输速率的最小值。
资源调度就是利用对各个资源的量化,为每一检测对象选择一条数据传输路径。本系统目标是使整个VO获得快速的检测,而不是对个别对象的检测速率很高。
定义4:对于任意一个被检测VO的检测对象,如果能够为其构造一条检测路径,称系统对于此对象是完备的。
定义5:对于VO,如果能够为其所有的检测对象构造检测路径,则称系统对于被检测VO是完备的。
本调度算法的目的便是在满足被检测VO和入侵检测工作流要求下,按照所选网格资源提供的能力为整个VO构造VGIDS,使所有被检测对象检测效率之和最高。这是一非典型的线性规划问题,如下定义:
X1,…Xn是n个独立变量,表示VGIDS所选路径;公式<5>表示最大耗费时间;公式<6>—<8>表示所有对于Xn的约束条件。由于Xn变量难以确定并且约束条件种类较多所以难以将上述问题标准化为公式<5>—<8>。
4.2算法描述
本文利用贪心选择和Dijkstra算法进行调度。
按照用户给出的U的权值P从大到小进行排序,if(P==NULL),则按Load从大到小进行排序得到排序后的对象数组和负载数组为
U[i](0<i≤n,n为U的大小);Load[i](0<i≤n,n为U的大小)
for(i=0;i<=n;i++),循环对U和Load执行以下操作:
(1)对于所有边,定义其权值为网络传输时间t=Load[i]/v,对于所有服务D和A定义其处理数据时间为t1=Load[i]/Qos,将t1加到每一个服务的入边上得到最终各边权值,如果两点之间没有边相连则t[j]为∞。
(2)定义Capmin[i]为U[i]对于数据存储能力的最低要求,Qosdmin为U[i]对于D中服务质量的最低要求,Qosamin为U[i]对于A中服务质量的最低要求。对于所有D中Cap<Capmin[i]或者Qosd<Qosdmin的节点以及A中Qosa<Qosamin[i]的节点,将其所有输入和输出边的t设为∞。
(3)设所有点集合为V,V0为检测对象,边Edge定义为<Vi,Vj>。用带权连接矩阵arcs[i][j]表示<Vi,Vj>的权值。定义向量D表示当前所找到的从起点V0到终点Vi的最短路径,初始化为若V0到Vi有边,则D[i]为边的权值,否则置D[i]为∞。定义向量P来保存最短路径,若P[v][w]为TRUE,则W是从V0到V当前求得最短路径上的顶点。
(4)for(v=0;v<v.number;v++)
{
final[v]=false;
D[v]=arcs[v0][v];
for(w=0;w<v.number;++w)P[v][w]=false;
//设空路径
if(D[v]<INFINITY){P[v][v0]=true;P[v][v]=true;}}
D[v0]=0;final[v0]=true;//初始化,V0顶点属于已求得最短路径的终点集合
for(i=1;i<v.number;++i){
min=INFINITY;
for(w=0;w<v.number;++w)
if(!final[w])
if(D[w]<min){v=w;min=D[w];}
final[v]=true;
for(w=0;w<v.number;++w)//更新当前最短路径及距离;
if(!final[w]&&(min+arcs[v][w]<D[w])){
D[w]=min+arcs[v][w];
P[w]=P[v];P[w][w]=true;
}}}
扫描A中各点,选取其中D[i](Vi∈A)最小的一点X,然后从P中选取从V0到X的路径便为所选一条VGIDS路径。
(5)将所选路径上的边的速率改为V=V-Load[i],D的Cap改为Cap=Cap-Capmin,D的Qosd改为Qosd=Qosd-Qosdmin,A的Qosa改为Qosa=Qosa-Qosamin。
(6)++i,回到步骤(1)重新开始循环。
5系统开发
本项目主要利用Globus工具包外加CoGKits开发工具。Globus作为一个广泛应用的网格中间件其主要是针对五层沙漏结构,并利用GridService技术逐层对五层沙漏提出的功能单源进行实现[5],表2简单叙述VGIDS实现的各层功能及Globus中对应服务调用。
实验时VGIDS部署在Linux系统上,采用基于Linux核心的数据采集技术及Oracle10g作为数据库系统解决分布式存储问题,数据分析技术仍采用现有的基于规则的入侵检测技术。系统试验平台如图3所示。
表2系统功能划分及调用接口
五层结构VGIDSGlobus
应用层GridService无
汇聚层资源发现、证书管理、目录复制、复制管理、协同分配元目录服务MDS,目录复制和复制管理服务,在线信任仓储服务,DUROC协同分配服务
资源层访问计算、访问数据、访问系统结构与性能信息提供GRIP、GRRP、基于http的GRAM用于分配资源和监视资源,提供GridFtp数据访问管理协议及LDAP目录访问协议。Globus定义了这些协议的C和Java实现
连接层通信、认证、授权提供GSI协议用于认证、授权、及通信保密
构造层数据采集、数据存储、数据分析提供缺省和GARA资源预约
图3系统试验平台
本平台共8台机器,一台网格目录服务和CA认证中心,一台部署VGIDS服务。两台机器作为被检测对象,相互之间可实现简单网格协作,本试验两台机器之间通过GridFtp服务传输数据。其余四台机器分别实现两个存储服务和两个分析服务。
6总结和展望
目前网格入侵检测系统主要是针对某一特定网格应用静态执行。而本文所提出的VGIDS则是针对网格运行模式——虚拟组织所提出的通用网格入侵检测服务。本系统事先进行静态定义,然后当有服务请求时动态解析定义文件,动态形成可执行的网格入侵检测系统。本系统解决目前网格入侵检测系统面临的动态部署、动态形成、最优方案选择、动态改变等问题。
对于网格入侵检测系统同样还面临着如何解决数据异构,如何发现分布式协同攻击,如何保障自身的安全等问题,本模型有待进一步完善。
参考文献
[1]OngTianChoonandAzmanSamsudin.Grid-basedIntrusionDetectionSystem.SchoolofComputerSciencesUniversitySainsMalaysia,IEEE,2003.1028-1032
[2]AlexandreSchulterandJúlioAlbuquerqueReis.AGrid-worksandManagementLaboratoryFederalUniversityofSantaCatarina,ProceedingsoftheInternationalConferenceonNetworking,InternationalConferenceonSystemsandInternationalConferenceonMobileCommunicationsandLearningTechnologies.IEEE,2006
2顶层设计的作用
应用规范可以为用户提炼一个系统的、完整的、关于应用效果的准确表达,成为工程设计方全面而严谨的设计和验收的依据,并对施工工艺提供相应的指导。由于应用规范的定义,所有的描述内容仅涉及应用效果,而不规定具体技术和产品,其开放式的结构不仅为更多新技术的进入提供了广阔空间,同时对新技术予以严谨的约束和指导,避免应用中采用“似是而非”的技术;避免生产厂商以“先进技术”误导用户和工程设计及施工方。
3以“顶层设计”的方法规划智能建筑的入侵探测技术配置的一般性过程
3.1全方位准确描述智能建筑的应用环境
3.1.1智能建筑内部空间的基本功能在智能建筑的内部空间中,符合准入权限的人员及其喂养的各类宠物,均可以在其中无拘束地自由活动。
3.1.2智能建筑(以住宅类为例)由各种不同的功能区域构成智能建筑可以由屏障式建筑体(院墙/大门)、过渡空间(院落)、主体建筑、附属建筑等多种建筑形态构成,也可以是单独的多/高层楼宇式建筑物。1)室外建筑构成体在外形特征的相关变化院落形态变化对比如表1所示。2)室内空间功能多样化及其内部环境条件多元化为了满足多个不同个体的人员、多层面应用需求,智能建筑内部可能设置有厅/餐/厨/卫/主/客/佣/影视/文娱/体/阅读等不同功能空间。这些空间在不同时段会满足于个体应用需求的温湿度差异;且在不同时段分布不同色温、不同照度、不同波长的光照明、不同频谱、不同规律、不同响度的声音等。3)智能建筑中配置满足不同层面需要的各类设施为了满足住户多层面的应用需求,智能建筑中分布有大量的水/电/气管路;配置了空气温湿度、理化洁净度探测控制装置,各类照明、感应、影音播放及相关控制装置,各类实现建筑物内部及内/外联系的通信装置;不同功能空间中还配置有特定的电器装置,甚至某些空间中还配置了可以自动“行走”的从事清洁等服务的机器(人)。上述各种设施是建筑物内各种频率/振幅的机械振动或波振动源;在不同时段也可能在较宽频谱范围内形成不同调制方式、不同能量的空间电磁波辐射(包括光波)和/或线路上的电磁扰动。综合以上分析得出结论:合法入住的人员及宠物的正常活动,智能建筑内部配置的各类电气装置的正常工作状况,均会成为传统型入侵探测技术的干扰源。
3.2以另一种角度解析入侵探测技术
入侵探测的本质:采用物理测量技术,识别出“不允许进入特定区域的人”。探测技术发展经历了以下几个阶段,并各具相应特性。
3.2.1入侵探测技术的智能化进程初级型阶段的入侵探测技术是针对参照物“有没有”实施最简单判断,使用的典型技术是铁磁性“接近开关”对门、窗的“开/闭”状态判断,以门/窗有没有开启作为触发报警条件。传统型阶段的入侵探测技术达到了“什么样”的判断水平——针对移动特性与体积、重量、温度、外形等参量之一的探测,以上述物理参量是否存在或以某个特定值作为预设的触发报警条件。智能型入侵探测的智能水平达到了判别“是谁”的能力——采用各类生物识别技术,实现对特定人员身份的探测(识别)。本文针对智能建筑的入侵探测应用讨论,所以探讨内容涵盖传统型入侵探测技术和生物识别技术(智能型入侵探测技术)。
3.2.2传统型入侵探测技术——对人的外部物理特征(共性)参量实施探测传统型入侵探测技术针对入侵行为的主要特性——移动,同时为了提升探测的准确性,再针对人员常见的几种外部物理参量之一进行探测,如表3所示。各类传统型入侵探测技术仅针对人员单一的外部物理参量实施探测,探测效果相当于“盲人摸象”,可能得出不准确的结论;更重要的是,传统型入侵探测装置不可能区分出触发者是用户还是非法入侵者,所以不适于在智能建筑的室内安装应用。
3.2.3智能型入侵探测技术——对人的外部社会特性(个性)实施探测用户与入侵者区分依据是人的外部社会特性,是每个人与其他人之间不同的、可测或可度量的、外在的(生物或者人为附加)特征。表4列出了目前不同的生物特征测量技术,对人实现区分所需要的时间和空间条件,而根据这些条件,可以针对智能建筑中不同区域的应用需求,选择合适的探测技术,如表4所示。5.3智能建筑不同功能区域对入侵探测应用需求及配置智能建筑内部区域对入侵探测的应用需求及配置建议如表5所示。
4应用规范的通用性规定
4.1入侵探测装置合法性必须获得强制性认证证书的有效覆盖;没有现行强制性认证标准的产品,需要获得自愿认证证书的有效覆盖。产品参照标准中的具体相关技术指标,均应满足应用规范规定。
4.2配置合理性针对智能建筑的不同部位或区域,配置与应用需求对应类别的入侵探测装置,比如:建筑物内部属于人员及宠物活动区域,入侵探测的应用需求是“确定进入该空间的人员是否具有相应的权限”,依据此需求,建筑物内部原则上不应配置传统型入侵探测装置(当然,针对厨房等某些具有危险物品的空间,为防止婴幼儿或宠物爬入,可能采用传统型入侵探测装置。当然在具体的配置过程中,还需要满足应用需求的其他方面);而传统型入侵探测装置应配置在智能建筑外部,特别是周界,当然还应该满足构成“封闭式防范”和对外观适应性等其他要求。根据表2所列的内容,可以得出明确结论——传统型入侵探测由于不具备识别人员身份的能力,通常只能设置于智能建筑的外部,担任判断是否有“人员入侵”的工作。若安装于围墙/围栏/窗/阳台等不允许人员“合法”出入的周界区域,只要发现有“目标”越过这些区域(无论是“出”或者是“入”),都必须输出报警信号。而具体应该采用何种入侵探测技术,应根据每种入侵探测技术的特点及具体应用需求来确定。
4.3风险等级适配性1)应用规范应规定智能建筑的风险等级,以及入侵探测装置的防范严密性等级。2)配置与风险等级对应的入侵探测装置类别,除了与空间条件相适应外,其探测的严密程度也应该与建筑的风险等级相对应。比如:对于低风险等级建筑的门禁可以采用IC卡、密码等探测技术;高风险等级建筑的门禁应用可以采用其他相应的生物识别技术。3)配置与风险等级对应的入侵探测装置。低风险等级的周界配置的入侵探测装置的触发响应时间或探测灵敏度指标可以较低,而高风险等级的周界配置入侵探测装置的相应技术指标要求较高。
4.4探测介质安全性建筑的入侵探测装置在长期使用的条件下,对人员物不产生任何伤害;建筑物外使用的入侵探测装置,在短时间内不应对人员(包含入侵者)产生伤害。
4.5环境适应性1)入侵探测装置的外观造型应与整体建筑造型风格和景观观感相适应。2)入侵探测装置的探测介质、通讯介质电磁参量等应该与智能建筑整体(局部)电磁环境相适应,不会产生相互干扰。
4.6探测技术的互补与协调性1)在同一空间或区域内,可采用两种或以上探测介质不同但探测区域重合的入侵探测(身份识别)技术,减少漏报警的机会。2)对不同空间或区域配置的相同或不同探测装置之间的异常信号实现统一管理与分析,提高报警准确率。
4.7资源配置的节约性1)由于智能建筑内分布大量的环境类探测器、传感器,形成广泛分布的传输通道,在保障“报警优先”并确保可有效避免“通道阻塞”条件下,入侵探测装置的输出/远端控制宜尽可能利用智能建筑内部配置的其他探测装置的信号通道。2)门禁确认进入人员身份的识别信号,可以提供给后续智能控制系统,实现“具体房间室内温湿度、灯光色调/照度、音响内容与响度、沐浴水温”多参量的个性化调节等应用环节。3)配置于室内的摄像机,可以同时用于入侵探测与火警探测两种报警复核。可考虑具有“模糊的行为识别”与“高清的取证识别”两种工作模式,以应对不同风险等级或应对不同级别隐私保护需求。4)环境类痕量化学传感器与入侵探测功能交互。住户个人生活习惯,如从吸烟或使用化妆品品牌的痕量分析作为身份识别,既可以根据习惯性化学痕量判断对于住户个人的个性化实施调节;也可以将与习惯性品牌痕量分析不符合的分析结果,作为入侵(内部人员非法进入)报警参考条件。
4.8使用便利性入侵探测装置的安装、调试、维护、保养应方便。家居型智能建筑应用的入侵探测装置最大程度提升DIY水平;在不能或不宜采用DIY方式安装的场所,或入侵探测装置本身的DIY程度要求不高的条件下,入侵探测装置应分别配置针对现场用户和安全控制中心的故障提示方式。
4.9与风险等级对应价格体系的合理性与可承受性1)性能/价格比是相应用户可以接受的(首先是性能,然后才是价格)。2)价格与产品风险等级对应,“优质优价”。3)价格体系应该给生产、销售、安装、调试、维保等环节留有相应生存空间,最好还留有发展空间,杜绝恶性价格竞争。
4.10入侵探测装置使用年限的规定入侵探测装置应规定使用年限,以室内不超过5年、室外不超过3年为宜。
4.11入侵探测装置不适用条件的规定1)系统集成商在构成系统过程中,在入侵探测装置无法承受气候时,系统对入侵探测装置予以“屏蔽”。2)用户对于不同空间隐私性、不同时间准入条件等具体应用需求,明确规定不适用的入侵探测装置或入侵探测系统相应功能不适用的时间段。
在网络技术日新月异的今天,写作论文基于网络的计算机应用已经成为发展的主流。政府、教育、商业、金融等机构纷纷联入Internet,全社会信息共享已逐步成为现实。然而,近年来,网上黑客的攻击活动正以每年10倍的速度增长。因此,保证计算机系统、网络系统以及整个信息基础设施的安全已经成为刻不容缓的重要课题。
1防火墙
目前防范网络攻击最常用的方法是构建防火墙。
防火墙作为一种边界安全的手段,在网络安全保护中起着重要作用。其主要功能是控制对网络的非法访问,通过监视、限制、更改通过网络的数据流,一方面尽可能屏蔽内部网的拓扑结构,另一方面对内屏蔽外部危险站点,以防范外对内的非法访问。然而,防火墙存在明显的局限性。
(1)入侵者可以找到防火墙背后可能敞开的后门。如同深宅大院的高大院墙不能挡住老鼠的偷袭一样,防火墙有时无法阻止入侵者的攻击。
(2)防火墙不能阻止来自内部的袭击。调查发现,50%的攻击都将来自于网络内部。
(3)由于性能的限制,防火墙通常不能提供实时的入侵检测能力。写作毕业论文而这一点,对于层出不穷的网络攻击技术来说是至关重要的。
因此,在Internet入口处部署防火墙系统是不能确保安全的。单纯的防火墙策略已经无法满足对安全高度敏感部门的需要,网络的防卫必须采用一种纵深的、多样化的手段。
由于传统防火墙存在缺陷,引发了入侵检测IDS(IntrusionDetectionSystem)的研究和开发。入侵检测是防火墙之后的第二道安全闸门,是对防火墙的合理补充,在不影响网络性能的情况下,通过对网络的监测,帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高信息安全基础结构的完整性,提供对内部攻击、外部攻击和误操作的实时保护。现在,入侵检测已经成为网络安全中一个重要的研究方向,在各种不同的网络环境中发挥重要作用。
2入侵检测
2.1入侵检测
入侵检测是通过从计算机网络系统中的若干关键点收集信息并对其进行分析,从中发现违反安全策略的行为和遭到攻击的迹象,并做出自动的响应。其主要功能是对用户和系统行为的监测与分析、系统配置和漏洞的审计检查、重要系统和数据文件的完整性评估、已知的攻击行为模式的识别、异常行为模式的统计分析、操作系统的审计跟踪管理及违反安全策略的用户行为的识别。入侵检测通过迅速地检测入侵,在可能造成系统损坏或数据丢失之前,识别并驱除入侵者,使系统迅速恢复正常工作,并且阻止入侵者进一步的行动。同时,收集有关入侵的技术资料,用于改进和增强系统抵抗入侵的能力。
入侵检测可分为基于主机型、基于网络型、基于型三类。从20世纪90年代至今,写作英语论文已经开发出一些入侵检测的产品,其中比较有代表性的产品有ISS(IntemetSecuritySystem)公司的Realsecure,NAI(NetworkAssociates,Inc)公司的Cybercop和Cisco公司的NetRanger。
2.2检测技术
入侵检测为网络安全提供实时检测及攻击行为检测,并采取相应的防护手段。例如,实时检测通过记录证据来进行跟踪、恢复、断开网络连接等控制;攻击行为检测注重于发现信息系统中可能已经通过身份检查的形迹可疑者,进一步加强信息系统的安全力度。入侵检测的步骤如下:
收集系统、网络、数据及用户活动的状态和行为的信息
入侵检测一般采用分布式结构,在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息,一方面扩大检测范围,另一方面通过多个采集点的信息的比较来判断是否存在可疑现象或发生入侵行为。
入侵检测所利用的信息一般来自以下4个方面:系统和网络日志文件、目录和文件中的不期望的改变、程序执行中的不期望行为、物理形式的入侵信息。
(2)根据收集到的信息进行分析
常用的分析方法有模式匹配、统计分析、完整性分析。模式匹配是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。
统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性。测量属性的平均值将被用来与网络、系统的行为进行比较。当观察值超出正常值范围时,就有可能发生入侵行为。该方法的难点是阈值的选择,阈值太小可能产生错误的入侵报告,阈值太大可能漏报一些入侵事件。
完整性分析主要关注某个文件或对象是否被更改,包括文件和目录的内容及属性。该方法能有效地防范特洛伊木马的攻击。
3分类及存在的问题
入侵检测通过对入侵和攻击行为的检测,查出系统的入侵者或合法用户对系统资源的滥用和误用。写作工作总结根据不同的检测方法,将入侵检测分为异常入侵检测(AnomalyDetection)和误用人侵检测(MisuseDetection)。
3.1异常检测
又称为基于行为的检测。其基本前提是:假定所有的入侵行为都是异常的。首先建立系统或用户的“正常”行为特征轮廓,通过比较当前的系统或用户的行为是否偏离正常的行为特征轮廓来判断是否发生了入侵。此方法不依赖于是否表现出具体行为来进行检测,是一种间接的方法。
常用的具体方法有:统计异常检测方法、基于特征选择异常检测方法、基于贝叶斯推理异常检测方法、基于贝叶斯网络异常检测方法、基于模式预测异常检测方法、基于神经网络异常检测方法、基于机器学习异常检测方法、基于数据采掘异常检测方法等。
采用异常检测的关键问题有如下两个方面:
(1)特征量的选择
在建立系统或用户的行为特征轮廓的正常模型时,选取的特征量既要能准确地体现系统或用户的行为特征,又能使模型最优化,即以最少的特征量就能涵盖系统或用户的行为特征。
(2)参考阈值的选定
由于异常检测是以正常的特征轮廓作为比较的参考基准,因此,参考阈值的选定是非常关键的。
阈值设定得过大,那漏警率会很高;阈值设定的过小,则虚警率就会提高。合适的参考阈值的选定是决定这一检测方法准确率的至关重要的因素。
由此可见,异常检测技术难点是“正常”行为特征轮廓的确定、特征量的选取、特征轮廓的更新。由于这几个因素的制约,异常检测的虚警率很高,但对于未知的入侵行为的检测非常有效。此外,由于需要实时地建立和更新系统或用户的特征轮廓,这样所需的计算量很大,对系统的处理性能要求很高。
3.2误用检测
又称为基于知识的检测。其基本前提是:假定所有可能的入侵行为都能被识别和表示。首先,写作留学生论文对已知的攻击方法进行攻击签名(攻击签名是指用一种特定的方式来表示已知的攻击模式)表示,然后根据已经定义好的攻击签名,通过判断这些攻击签名是否出现来判断入侵行为的发生与否。这种方法是依据是否出现攻击签名来判断入侵行为,是一种直接的方法。
常用的具体方法有:基于条件概率误用入侵检测方法、基于专家系统误用入侵检测方法、基于状态迁移分析误用入侵检测方法、基于键盘监控误用入侵检测方法、基于模型误用入侵检测方法。误用检测的关键问题是攻击签名的正确表示。
误用检测是根据攻击签名来判断入侵的,根据对已知的攻击方法的了解,用特定的模式语言来表示这种攻击,使得攻击签名能够准确地表示入侵行为及其所有可能的变种,同时又不会把非入侵行为包含进来。由于多数入侵行为是利用系统的漏洞和应用程序的缺陷,因此,通过分析攻击过程的特征、条件、排列以及事件间的关系,就可具体描述入侵行为的迹象。这些迹象不仅对分析已经发生的入侵行为有帮助,而且对即将发生的入侵也有预警作用。
误用检测将收集到的信息与已知的攻击签名模式库进行比较,从中发现违背安全策略的行为。由于只需要收集相关的数据,这样系统的负担明显减少。该方法类似于病毒检测系统,其检测的准确率和效率都比较高。但是它也存在一些缺点。
3.2.1不能检测未知的入侵行为
由于其检测机理是对已知的入侵方法进行模式提取,对于未知的入侵方法就不能进行有效的检测。也就是说漏警率比较高。
3.2.2与系统的相关性很强
对于不同实现机制的操作系统,由于攻击的方法不尽相同,很难定义出统一的模式库。另外,误用检测技术也难以检测出内部人员的入侵行为。
目前,由于误用检测技术比较成熟,多数的商业产品都主要是基于误用检测模型的。不过,为了增强检测功能,不少产品也加入了异常检测的方法。
4入侵检测的发展方向
随着信息系统对一个国家的社会生产与国民经济的影响越来越大,再加上网络攻击者的攻击工具与手法日趋复杂化,信息战已逐步被各个国家重视。近年来,入侵检测有如下几个主要发展方向:
4.1分布式入侵检测与通用入侵检测架构
传统的IDS一般局限于单一的主机或网络架构,对异构系统及大规模的网络的监测明显不足,再加上不同的IDS系统之间不能很好地协同工作。为解决这一问题,需要采用分布式入侵检测技术与通用入侵检测架构。
4.2应用层入侵检测
许多入侵的语义只有在应用层才能理解,然而目前的IDS仅能检测到诸如Web之类的通用协议,而不能处理LotusNotes、数据库系统等其他的应用系统。许多基于客户/服务器结构、中间件技术及对象技术的大型应用,也需要应用层的入侵检测保护。
4.3智能的入侵检测
入侵方法越来越多样化与综合化,尽管已经有智能体、神经网络与遗传算法在入侵检测领域应用研究,但是,这只是一些尝试性的研究工作,需要对智能化的IDS加以进一步的研究,以解决其自学习与自适应能力。
4.4入侵检测的评测方法
用户需对众多的IDS系统进行评价,评价指标包括IDS检测范围、系统资源占用、IDS自身的可靠性,从而设计出通用的入侵检测测试与评估方法与平台,实现对多种IDS的检测。
4.5全面的安全防御方案
结合安全工程风险管理的思想与方法来处理网络安全问题,将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、入侵检测多方位全面对所关注的网络作全面的评估,然后提出可行的全面解决方案。
综上所述,入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,使网络系统在受到危害之前即拦截和响应入侵行为,为网络安全增加一道屏障。随着入侵检测的研究与开发,并在实际应用中与其它网络管理软件相结合,使网络安全可以从立体纵深、多层次防御的角度出发,形成人侵检测、网络管理、网络监控三位一体化,从而更加有效地保护网络的安全。
参考文献
l吴新民.两种典型的入侵检测方法研究.计算机工程与应用,2002;38(10):181—183
2罗妍,李仲麟,陈宪.入侵检测系统模型的比较.计算机应用,2001;21(6):29~31
3李涣洲.网络安全与入侵检测技术.四川师范大学学报.2001;24(3):426—428
关键词:入侵检测异常检测误用检测
在网络技术日新月异的今天,基于网络的计算机应用已经成为发展的主流。政府、教育、商业、金融等机构纷纷联入Internet,全社会信息共享已逐步成为现实。然而,近年来,网上黑客的攻击活动正以每年10倍的速度增长。因此,保证计算机系统、网络系统以及整个信息基础设施的安全已经成为刻不容缓的重要课题。
1 防火墙
目前防范网络攻击最常用的方法是构建防火墙。
防火墙作为一种边界安全的手段,在网络安全保护中起着重要作用。其主要功能是控制对网络的非法访问,通过监视、限制、更改通过网络的数据流,一方面尽可能屏蔽内部网的拓扑结构,另一方面对内屏蔽外部危险站点,以防范外对内的非法访问。然而,防火墙存在明显的局限性。
(1)入侵者可以找到防火墙背后可能敞开的后门。如同深宅大院的高大院墙不能挡住老鼠的偷袭一样,防火墙有时无法阻止入侵者的攻击。
(2)防火墙不能阻止来自内部的袭击。调查发现,50%的攻击都将来自于网络内部。
(3)由于性能的限制,防火墙通常不能提供实时的入侵检测能力。毕业论文 而这一点,对于层出不穷的网络攻击技术来说是至关重要的。
因此,在Internet入口处部署防火墙系统是不能确保安全的。单纯的防火墙策略已经无法满足对安全高度敏感部门的需要,网络的防卫必须采用一种纵深的、多样化的手段。
由于传统防火墙存在缺陷,引发了入侵检测IDS(Intrusion Detection System)的研究和开发。入侵检测是防火墙之后的第二道安全闸门,是对防火墙的合理补充,在不影响网络性能的情况下,通过对网络的监测,帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高信息安全基础结构的完整性,提供对内部攻击、外部攻击和误操作的实时保护。现在,入侵检测已经成为网络安全中一个重要的研究方向,在各种不同的网络环境中发挥重要作用。
2 入侵检测
2.1 入侵检测
入侵检测是通过从计算机网络系统中的若干关键点收集信息并对其进行分析,从中发现违反安全策略的行为和遭到攻击的迹象,并做出自动的响应。其主要功能是对用户和系统行为的监测与分析、系统配置和漏洞的审计检查、重要系统和数据文件的完整性评估、已知的攻击行为模式的识别、异常行为模式的统计分析、操作系统的审计跟踪管理及违反安全策略的用户行为的识别。入侵检测通过迅速地检测入侵,在可能造成系统损坏或数据丢失之前,识别并驱除入侵者,使系统迅速恢复正常工作,并且阻止入侵者进一步的行动。同时,收集有关入侵的技术资料,用于改进和增强系统抵抗入侵的能力。
入侵检测可分为基于主机型、基于网络型、基于型三类。从20世纪90年代至今,英语论文 已经开发出一些入侵检测的产品,其中比较有代表性的产品有ISS(Intemet Security System)公司的Realsecure,NAI(Network Associates,Inc)公司的Cybercop和Cisco公司的NetRanger。
2.2 检测技术
入侵检测为网络安全提供实时检测及攻击行为检测,并采取相应的防护手段。例如,实时检测通过记录证据来进行跟踪、恢复、断开网络连接等控制;攻击行为检测注重于发现信息系统中可能已经通过身份检查的形迹可疑者,进一步加强信息系统的安全力度。入侵检测的步骤如下:
收集系统、网络、数据及用户活动的状态和行为的信息
入侵检测一般采用分布式结构,在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息,一方面扩大检测范围,另一方面通过多个采集点的信息的比较来判断是否存在可疑现象或发生入侵行为。
入侵检测所利用的信息一般来自以下4个方面:系统和网络日志文件、目录和文件中的不期望的改变、程序执行中的不期望行为、物理形式的入侵信息。
(2)根据收集到的信息进行分析
常用的分析方法有模式匹配、统计分析、完整性分析。模式匹配是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。
统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性。测量属性的平均值将被用来与网络、系统的行为进行比较。当观察值超出正常值范围时,就有可能发生入侵行为。该方法的难点是阈值的选择,阈值太小可能产生错误的入侵报告,阈值太大可能漏报一些入侵事件。
完整性分析主要关注某个文件或对象是否被更改,包括文件和目录的内容及属性。该方法能有效地防范特洛伊木马的攻击。
3 分类及存在的问题
入侵检测通过对入侵和攻击行为的检测,查出系统的入侵者或合法用户对系统资源的滥用和误用。工作总结 根据不同的检测方法,将入侵检测分为异常入侵检测(Anomaly Detection)和误用人侵检测(Misuse Detection)。
3.1 异常检测
又称为基于行为的检测。其基本前提是:假定所有的入侵行为都是异常的。首先建立系统或用户的“正常”行为特征轮廓,通过比较当前的系统或用户的行为是否偏离正常的行为特征轮廓来判断是否发生了入侵。此方法不依赖于是否表现出具体行为来进行检测,是一种间接的方法。
常用的具体方法有:统计异常检测方法、基于特征选择异常检测方法、基于贝叶斯推理异常检测方法、基于贝叶斯网络异常检测方法、基于模式预测异常检测方法、基于神经网络异常检测方法、基于机器学习异常检测方法、基于数据采掘异常检测方法等。
采用异常检测的关键问题有如下两个方面:
(1)特征量的选择
在建立系统或用户的行为特征轮廓的正常模型时,选取的特征量既要能准确地体现系统或用户的行为特征,又能使模型最优化,即以最少的特征量就能涵盖系统或用户的行为特征。(2)参考阈值的选定
由于异常检测是以正常的特征轮廓作为比较的参考基准,因此,参考阈值的选定是非常关键的。
阈值设定得过大,那漏警率会很高;阈值设定的过小,则虚警率就会提高。合适的参考阈值的选定是决定这一检测方法准确率的至关重要的因素。
在网络技术日新月异的今天,基于网络的计算机应用已经成为发展的主流。政府、教育、商业、金融等机构纷纷联入Internet,全社会信息共享已逐步成为现实。然而,近年来,网上黑客的攻击活动正以每年10倍的速度增长。因此,保证计算机系统、网络系统以及整个信息基础设施的安全已经成为刻不容缓的重要课题。
1 防火墙
目前防范网络攻击最常用的方法是构建防火墙。
防火墙作为一种边界安全的手段,在网络安全保护中起着重要作用。其主要功能是控制对网络的非法访问,通过监视、限制、更改通过网络的数据流,一方面尽可能屏蔽内部网的拓扑结构,另一方面对内屏蔽外部危险站点,以防范外对内的非法访问。然而,防火墙存在明显的局限性。
(1)入侵者可以找到防火墙背后可能敞开的后门。如同深宅大院的高大院墙不能挡住老鼠的偷袭一样,防火墙有时无法阻止入侵者的攻击。
(2)防火墙不能阻止来自内部的袭击。调查发现,50%的攻击都将来自于网络内部。
(3)由于性能的限制,防火墙通常不能提供实时的入侵检测能力。毕业论文 而这一点,对于层出不穷的网络攻击技术来说是至关重要的。
因此,在Internet入口处部署防火墙系统是不能确保安全的。单纯的防火墙策略已经无法满足对安全高度敏感部门的需要,网络的防卫必须采用一种纵深的、多样化的手段。
由于传统防火墙存在缺陷,引发了入侵检测IDS(Intrusion Detection System)的研究和开发。入侵检测是防火墙之后的第二道安全闸门,是对防火墙的合理补充,在不影响网络性能的情况下,通过对网络的监测,帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高信息安全基础结构的完整性,提供对内部攻击、外部攻击和误操作的实时保护。现在,入侵检测已经成为网络安全中一个重要的研究方向,在各种不同的网络环境中发挥重要作用。
2 入侵检测
2.1 入侵检测
入侵检测是通过从计算机网络系统中的若干关键点收集信息并对其进行分析,从中发现违反安全策略的行为和遭到攻击的迹象,并做出自动的响应。其主要功能是对用户和系统行为的监测与分析、系统配置和漏洞的审计检查、重要系统和数据文件的完整性评估、已知的攻击行为模式的识别、异常行为模式的统计分析、操作系统的审计跟踪管理及违反安全策略的用户行为的识别。入侵检测通过迅速地检测入侵,在可能造成系统损坏或数据丢失之前,识别并驱除入侵者,使系统迅速恢复正常工作,并且阻止入侵者进一步的行动。同时,收集有关入侵的技术资料,用于改进和增强系统抵抗入侵的能力。
入侵检测可分为基于主机型、基于网络型、基于型三类。从20世纪90年代至今,英语论文 已经开发出一些入侵检测的产品,其中比较有代表性的产品有ISS(Intemet Security System)公司的Realsecure,NAI(Network Associates,Inc)公司的Cybercop和Cisco公司的NetRanger。
2.2 检测技术
入侵检测为网络安全提供实时检测及攻击行为检测,并采取相应的防护手段。例如,实时检测通过记录证据来进行跟踪、恢复、断开网络连接等控制;攻击行为检测注重于发现信息系统中可能已经通过身份检查的形迹可疑者,进一步加强信息系统的安全力度。入侵检测的步骤如下:
收集系统、网络、数据及用户活动的状态和行为的信息
入侵检测一般采用分布式结构,在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息,一方面扩大检测范围,另一方面通过多个采集点的信息的比较来判断是否存在可疑现象或发生入侵行为。
入侵检测所利用的信息一般来自以下4个方面:系统和网络日志文件、目录和文件中的不期望的改变、程序执行中的不期望行为、物理形式的入侵信息。
(2)根据收集到的信息进行分析
常用的分析方法有模式匹配、统计分析、完整性分析。模式匹配是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。
统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性。测量属性的平均值将被用来与网络、系统的行为进行比较。当观察值超出正常值范围时,就有可能发生入侵行为。该方法的难点是阈值的选择,阈值太小可能产生错误的入侵报告,阈值太大可能漏报一些入侵事件。
完整性分析主要关注某个文件或对象是否被更改,包括文件和目录的内容及属性。该方法能有效地防范特洛伊木马的攻击。
3 分类及存在的问题
入侵检测通过对入侵和攻击行为的检测,查出系统的入侵者或合法用户对系统资源的滥用和误用。工作总结 根据不同的检测方法,将入侵检测分为异常入侵检测(Anomaly Detection)和误用人侵检测(Misuse Detection)。
3.1 异常检测
又称为基于行为的检测。其基本前提是:假定所有的入侵行为都是异常的。首先建立系统或用户的“正常”行为特征轮廓,通过比较当前的系统或用户的行为是否偏离正常的行为特征轮廓来判断是否发生了入侵。此方法不依赖于是否表现出具体行为来进行检测,是一种间接的方法。
常用的具体方法有:统计异常检测方法、基于特征选择异常检测方法、基于贝叶斯推理异常检测方法、基于贝叶斯网络异常检测方法、基于模式预测异常检测方法、基于神经网络异常检测方法、基于机器学习异常检测方法、基于数据采掘异常检测方法等。
采用异常检测的关键问题有如下两个方面:
(1)特征量的选择
在建立系统或用户的行为特征轮廓的正常模型时,选取的特征量既要能准确地体现系统或用户的行为特征,又能使模型最优化,即以最少的特征量就能涵盖系统或用户的行为特征。
(2)参考阈值的选定
由于异常检测是以正常的特征轮廓作为比较的参考基准,因此,参考阈值的选定是非常关键的。
阈值设定得过大,那漏警率会很高;阈值设定的过小,则虚警率就会提高。合适的参考阈值的选定是决定这一检测方法准确率的至关重要的因素。
由此可见,异常检测技术难点是“正常”行为特征轮廓的确定、特征量的选取、特征轮廓的更新。由于这几个因素的制约,异常检测的虚警率很高,但对于未知的入侵行为的检测非常有效。此外,由于需要实时地建立和更新系统或用户的特征轮廓,这样所需的计算量很大,对系统的处理性能要求很高。
3.2 误用检测
又称为基于知识的检测。其基本前提是:假定所有可能的入侵行为都能被识别和表示。首先,留学生论文 对已知的攻击方法进行攻击签名(攻击签名是指用一种特定的方式来表示已知的攻击模式)表示,然后根据已经定义好的攻击签名,通过判断这些攻击签名是否出现来判断入侵行为的发生与否。这种方法是依据是否出现攻击签名来判断入侵行为,是一种直接的方法。
常用的具体方法有:基于条件概率误用入侵检测方法、基于专家系统误用入侵检测方法、基于状态迁移分析误用入侵检测方法、基于键盘监控误用入侵检测方法、基于模型误用入侵检测方法。误用检测的关键问题是攻击签名的正确表示。
误用检测是根据攻击签名来判断入侵的,根据对已知的攻击方法的了解,用特定的模式语言来表示这种攻击,使得攻击签名能够准确地表示入侵行为及其所有可能的变种,同时又不会把非入侵行为包含进来。由于多数入侵行为是利用系统的漏洞和应用程序的缺陷,因此,通过分析攻击过程的特征、条件、排列以及事件间的关系,就可具体描述入侵行为的迹象。这些迹象不仅对分析已经发生的入侵行为有帮助,而且对即将发生的入侵也有预警作用。
误用检测将收集到的信息与已知的攻击签名模式库进行比较,从中发现违背安全策略的行为。由于只需要收集相关的数据,这样系统的负担明显减少。该方法类似于病毒检测系统,其检测的准确率和效率都比较高。但是它也存在一些缺点。
3.2.1 不能检测未知的入侵行为
由于其检测机理是对已知的入侵方法进行模式提取,对于未知的入侵方法就不能进行有效的检测。也就是说漏警率比较高。
3.2.2 与系统的相关性很强
对于不同实现机制的操作系统,由于攻击的方法不尽相同,很难定义出统一的模式库。另外,误用检测技术也难以检测出内部人员的入侵行为。
目前,由于误用检测技术比较成熟,多数的商业产品都主要是基于误用检测模型的。不过,为了增强检测功能,不少产品也加入了异常检测的方法。
4 入侵检测的发展方向
随着信息系统对一个国家的社会生产与国民经济的影响越来越大,再加上网络攻击者的攻击工具与手法日趋复杂化,信息战已逐步被各个国家重视。近年来,入侵检测有如下几个主要发展方向:
4.1 分布式入侵检测与通用入侵检测架构
传统的IDS一般局限于单一的主机或网络架构,对异构系统及大规模的网络的监测明显不足,再加上不同的IDS系统之间不能很好地协同工作。为解决这一问题,需要采用分布式入侵检测技术与通用入侵检测架构。
4.2应用层入侵检测
许多入侵的语义只有在应用层才能理解,然而目前的IDS仅能检测到诸如Web之类的通用协议,而不能处理Lotus Notes、数据库系统等其他的应用系统。许多基于客户/服务器结构、中间件技术及对象技术的大型应用,也需要应用层的入侵检测保护。
4.3 智能的入侵检测
入侵方法越来越多样化与综合化,尽管已经有智能体、神经网络与遗传算法在入侵检测领域应用研究,但是,这只是一些尝试性的研究工作,需要对智能化的IDS加以进一步的研究,以解决其自学习与自适应能力。
4.4 入侵检测的评测方法
用户需对众多的IDS系统进行评价,评价指标包括IDS检测范围、系统资源占用、IDS自身的可靠性,从而设计出通用的入侵检测测试与评估方法与平台,实现对多种IDS的检测。
4.5 全面的安全防御方案
结合安全工程风险管理的思想与方法来处理网络安全问题,将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、入侵检测多方位全面对所关注的网络作全面的评估,然后提出可行的全面解决方案。
综上所述,入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,使网络系统在受到危害之前即拦截和响应入侵行为,为网络安全增加一道屏障。随着入侵检测的研究与开发,并在实际应用中与其它网络管理软件相结合,使网络安全可以从立体纵深、多层次防御的角度出发,形成人侵检测、网络管理、网络监控三位一体化,从而更加有效地保护网络的安全。
参考文献
l 吴新民.两种典型的入侵检测方法研究.计算机工程与应用,2002;38(10):181—183
2 罗妍,李仲麟,陈宪.入侵检测系统模型的比较.计算机应用,2001;21(6):29~31
3 李涣洲.网络安全与入侵检测技术.四川师范大学学报.2001;24(3):426—428
中图分类号:TN915.08 文献标识码:A文章编号:1007-9599 (2010) 04-0000-02
Application of Intrusion&Deceit Technique in Network Security
Chen Yongxiang Li Junya
(Jiyuan Vocational&Technical College,Jiyuan454650,Chian)
Abstract:At present,Intrusion Deception technology is the development of network security in recent years, an important branch, the paper generated from the intrusion deception techniques to start a brief description of its development, while popular Honeypot conducted in-depth research, mainly related to the classification of Honeypot, Honeypot advantages and disadvantages, Honeypot design principles and methods, the final will be a simple Honeypot application to specific network.
Key words:Intrusion and deceit technology;Honeypot;Network Security
近年来计算机网络发展异常迅猛,各行各业对网络的依赖已越发严重。这一方面提高了信息的高速流动,但另一方面却带来了极大的隐患。由于网络的开放性、计算机系统设计的非安全性导致网络受到大量的攻击。如何提高网络的自我防护能力是目前研究的一个热点。论文通过引入入侵诱骗技术,设计了一个高效的网络防护系统。
一、入侵诱骗技术简介
通过多年的研究表明,网络安全存在的最大问题就是目前采用的被动防护方式,该方式只能被动的应对攻击,缺乏主动防护的功能。为应对这一问题,就提出了入侵诱骗技术。该技术是对被动防护的扩展,通过积极的进行入侵检测,并实时的将可疑目标引向自身,导致攻击失效,从而有效的保护目标。
上个世纪80年代末期由stoll首先提出该思想,到上世纪90年代初期由Bill Cheswish进一步丰富了该思想。他通过在空闲的端口上设置一些用于吸引入侵者的伪造服务来获取入侵者的信息,从而研究入侵者的规律。到1996年Fred Cohen 提出将防火墙技术应用于入侵诱骗技术中,实现消除入侵资源。为进一步吸引入侵目标,在研究中提出了引诱其攻击自身的特殊目标“Honeypot”。研究者通过对Honeypot中目标的观察,可清晰的了解入侵的方法以及自身系统的漏洞,从而提升系统的安全防护水平。
二、Honeypot的研究
在这个入侵诱骗技术中,Honeypot的设计是关键。按交互级别,可对Honeypot进行分类:低交互度Honeypot、中交互度Honeypot和高交互度Honeypot。低交互度Honeypot由于简单的设计和基本的功能,低交互度的honeypot通常是最容易安装、部署和维护的。在该系统中,由于没有真正的操作系统可供攻击者远程登录,操作系统所带来的复杂性被削弱了,所以它所带来的风险是最小的。但也让我们无法观察一个攻击者与系统交互信息的整个过程。它主要用于检测。通过中交互度Honeypot可以获得更多有用的信息,同时能做出响应,是仍然没有为攻击者提供一个可使用的操作系统。部署和维护中交互度的Honeypot是一个更为复杂的过程。高交互度Honeypot的主要特点是提供了一个真实的操作系统。该系统能够收集更多的信息、吸引更多的入侵行为。
当然Honeypot也存在着一些缺点:需要较多的时间和精力投入。Honeypot技术只能对针对其攻击行为进行监视和分析,其视野较为有限,不像入俊检侧系统能够通过旁路侦听等技术对整个网络进行监控。Honeypot技术不能直接防护有漏洞的信息系统。部署Honeypot会带来一定的安全风险。
构建一个有用的Honeypot是一个十分复杂的过程,主要涉及到Honeypot的伪装、采集信息、风险控制、数据分析。其中,Honeypot的伪装就是将一个Honeypot通过一定的措施构造成一个十分逼真的环境,以吸引入侵者。但Honeypot伪装的难度是既不能暴露太多的信息又不能让入侵者产生怀疑。最初采用的是伪造服务,目前主要采用通过修改的真实系统来充当。Honeypot的主要功能之一就是获取入侵者的信息,通常是采用网络sniffer或IDS来记录网络包从而达到记录信息的目的。虽然Honeypot可以获取入侵者的信息,并能有效的防护目标,但Honeypot也给系统带来了隐患,如何控制这些潜在的风险十分关键。Honeypot的最后一个过程就是对采用数据的分析。通过分析就能获得需要的相关入侵者规律的信息。
对于设计Honeypot,主要有三个步骤:首先,必须确定自己Honeypot的目标。因为Honeypot并不能完全代替传统的网络安全机制,它只是网络安全的补充,所以必须根据自己的目标定位Honeypot。通常Honeypot可定位于阻止入侵、检测入侵等多个方面。其次,必须确定自己Honeypot的设计原则。在这里不仅要确定Honeypot的级别还有确定平台的选择。目前,对用于研究目的的Honeypot一般采用高交互Honeypot,其目的就是能够更加广泛的收集入侵者的信息,获取需要的资料。在平台的选择上,目前我们选择的范围很有限,一般采用Linux系统。其原因主要是Linux的开源、广泛应用和卓越的性能。最后,就是对选定环境的安装和配置。
三、Honeypot在网络中的应用
为更清晰的研究Honeypot,将Honeypot应用于具体的网络中。在我们的研究中,选择了一个小规模的网络来实现。当设计完整个网络结构后,我们在网络出口部分配置了设计的Honeypot。在硬件方面增加了安装了snort的入侵检测系统、安装了Sebek的数据捕获端。并且都构建在Vmware上实现虚拟Honeypot。在实现中,主要安装并配置了Honeyd、snort和sebek.其Honeypot的结构图,见图1。
图1 Honeypot结构图
四、小结
论文从入侵诱骗技术入手系统的分析了该技术的发展历程,然后对入侵诱骗技术中的Honeypot进行了深入的研究,主要涉及到Honeypot的分类、设计原则、设计方法,最后,将一个简易的Honeypot应用于具体的网络环境中,并通过严格的测试,表明该系统是有效的。
参考文献
[1]蔡芝蔚.基于Honeypot的入侵诱骗系统研究[M].网络通讯与安全,1244~1245
[2]杨奕.基于入侵诱骗技术的网络安全研究与实现.[J].计算机应用学报,2004.3:230~232.
[3]周光宇,王果平.基于入侵诱骗技术的网络安全系统的研究[J].微计算机信息,2007.9
[4]夏磊,蒋建中,高志昊.入侵诱骗、入侵检测、入侵响应三位一体的网络安全新机制
[5]Bill Cheswick. An Evening with Berferd In Which a Cracker is Lured,Endured,and Studied.Proceedings of the Winter 1992 Usenix conference,1992
论文摘要:随着计算机与网络技术的不断发展,网络安全也日益受到人们越来越多的关注。防范网络入侵、加强网络安全防范的技术也多种多样,其中入侵检测技术以其低成本、低风险以及高灵活性得到了广泛的应用,并且有着广阔的发展前景。本文就入侵检测技术在计算机网络安全维护过程中的有效应用提出探讨。
一、入侵检测系统的分类
入侵检测系统可以分为入侵检测、入侵防御两大类。其中入侵检测系统是根据特定的安全策略,实时监控网络及系统的运行状态,尽量在非法入侵程序发起攻击前发现其攻击企图,从而提高网络系统资源的完整性和保密性。而随着网络攻击技术的日益提高,网络系统中的安全漏洞不断被发现,传统的入侵检测技术及防火墙技术对这些多变的安全问题无法全面应对,于是入侵防御系统应运而生,它可以对流经的数据流量做深度感知与检测,丢弃恶意报文,阻断其攻击,限制滥用报文,保护带宽资源。入侵检测系统与入侵防御系统的区别在于:入侵检测只具备单纯的报警作用,而对于网络入侵无法做出防御;而入侵防御系统则位于网络与防火墙的硬件设备中间,当其检测到恶意攻击时,会在这种攻击开始扩散前将其阻止在外。并且二者检测攻击的方法也不同,入侵防御系统对入网的数据包进行检查,在确定该数据包的真正用途的前提下,再对其是否可以进入网络进行判断。
二、入侵检测技术在维护计算机网络安全中的应用
(一)基于网络的入侵检测
基于网络的入侵检测形式有基于硬件的,也有基于软件的,不过二者的工作流程是相同的。它们将网络接口的模式设置为混杂模式,以便于对全部流经该网段的数据进行时实监控,将其做出分析,再和数据库中预定义的具备攻击特征做出比较,从而将有害的攻击数据包识别出来,做出响应,并记录日志。
1.入侵检测的体系结构
网络入侵检测的体系结构通常由三部分组成,分别为Agent、Console以及Manager。其中Agent的作用是对网段内的数据包进行监视,找出攻击信息并把相关的数据发送至管理器;Console的主要作用是负责收集处的信息,显示出所受攻击的信息,把找出的攻击信息及相关数据发送至管理器;Manager的主要作用则是响应配置攻击警告信息,控制台所的命令也由Manager来执行,再把所发出的攻击警告发送至控制台。
2.入侵检测的工作模式
基于网络的入侵检测,要在每个网段中部署多个入侵检测,按照网络结构的不同,其的连接形式也各不相同。如果网段的连接方式为总线式的集线器,则把与集线器中的某个端口相连接即可;如果为交换式以太网交换机,因为交换机无法共享媒价,因此只采用一个对整个子网进行监听的办法是无法实现的。因此可以利用交换机核心芯片中用于调试的端口中,将入侵检测系统与该端口相连接。或者把它放在数据流的关键出入口,于是就可以获取几乎全部的关键数据。
3.攻击响应及升级攻击特征库、自定义攻击特征
如果入侵检测系统检测出恶意攻击信息,其响应方式有多种,例如发送电子邮件、记录日志、通知管理员、查杀进程、切断会话、通知管理员、启动触发器开始执行预设命令、取消用户的账号以及创建一个报告等等。升级攻击特征库可以把攻击特征库文件通过手动或者自动的形式由相关的站点中下载下来,再利用控制台将其实时添加至攻击特征库中。而网络管理员可以按照单位的资源状况及其应用状况,以入侵检测系统特征库为基础来自定义攻击特征,从而对单位的特定资源与应用进行保护。
(二)对于主机的入侵检测
通常对主机的入侵检测会设置在被重点检测的主机上,从而对本主机的系统审计日志、网络实时连接等信息做出智能化的分析与判断。如果发展可疑情况,则入侵检测系统就会有针对性的采用措施。基于主机的入侵检测系统可以具体实现以下功能:对用户的操作系统及其所做的所有行为进行全程监控;持续评估系统、应用以及数据的完整性,并进行主动的维护;创建全新的安全监控策略,实时更新;对于未经授权的行为进行检测,并发出报警,同时也可以执行预设好的响应措施;将所有日志收集起来并加以保护,留作后用。基于主机的入侵检测系统对于主机的保护很全面细致,但要在网路中全面部署成本太高。并且基于主机的入侵检测系统工作时要占用被保护主机的处理资源,所以会降低被保护主机的性能。
三、入侵检测技术存在的问题
尽管入侵检测技术有其优越性,但是现阶段它还存在着一定的不足,主要体现在以下几个方面:
第一:局限性:由于网络入侵检测系统只对与其直接连接的网段通信做出检测,而不在同一网段的网络包则无法检测,因此如果网络环境为交换以太网,则其监测范围就会表现出一定的局限性,如果安装多台传感器则又增加了系统的成本。
第二:目前网络入侵检测系统一般采有的是特征检测的方法,对于一些普通的攻击来说可能比较有效,但是一些复杂的、计算量及分析时间均较大的攻击则无法检测。
第三:监听某些特定的数据包时可能会产生大量的分析数据,会影响系统的性能。
第四:在处理会话过程的加密问题时,对于网络入侵检测技术来说相对较难,现阶段通过加密通道的攻击相对较少,但是此问题会越来越突出。
第五:入侵检测系统自身不具备阻断和隔离网络攻击的能力,不过可以与防火墙进行联动,发现入侵行为后通过联动协议通知防火墙,让防火墙采取隔离手段。
四、总结
现阶段的入侵检测技术相对来说还存在着一定的缺陷,很多单位在解决网络入侵相关的安全问题时都采用基于主机与基于网络相结合的入侵检测系统。当然入侵检测技术也在不断的发展,数据挖掘异常检测、神经网络异常检测、贝叶斯推理异常检测、专家系统滥用检测、状态转换分析滥用检测等入侵检测技术也越来越成熟。总之、用户要提高计算机网络系统的安全性,不仅仅要靠技术支持,还要依靠自身良好的维护与管理。
参考文献:
目前,开放式网络环境使人们充分享受着数字化,信息化给人们日常的工作生活学习带来的巨大便利,也因此对计算机网络越来越强的依赖性,与此同时,各种针对网络的攻击与破坏日益增多,成为制约网络技术发展的一大障碍。传统的安全技术并不能对系统是否真的没有被入侵有任何保证。入侵检测系统已经成为信息网络安全其必不可少的一道防线。
人体内有一个免疫系统,它是人体抵御病原菌侵犯最重要的保卫系统,主要手段是依靠自身的防御体系和免疫能力。一些学者试图学习和模仿生物机体的这种能力,将其移植到计算机网络安全方面。相关研究很多都基于生物免疫系统的体系结构和免疫机制[5]。基于免疫理论的研究已逐渐成为目前人们研究的一个重要方向,其研究成果将会为计算机网络安全提供一条新的途径。
一、入侵检测简介
入侵即入侵者利用主机或网络中程序的漏洞,对特权程序进行非法或异常的调用,使外网攻击者侵入内网获取内网的资源。入侵检测即是检测各种非法的入侵行为。入侵检测提供了对网络的实时保护,在系统受到危害时提前有所作为。入侵检测严密监视系统的各种不安全的活动,识别用户不安全的行为。入侵检测应付各种网络攻击,提高了用户的安全性。入侵检测[4]技术就是为保证网路系统的安全而设计的一种可以检测系统中异常的、不安全的行为的技术。
二、基于免疫机理的入侵检测系统
(一)入侵检测系统和自然免疫系统用四元函数组来定义一个自然免疫系统∑nis[5],∑nis=(xnis,ωnis,ynis,gnis)xnis是输入,它为各种类型的抗原,令z表示所有抗原,抗原包括自身蛋白集合和病原体集合这两个互斥的集合,即,用w表示自身蛋白集合,nw表示病原体集合,有s∪nw=z,w=ynis是输出,只考虑免疫系统对病原体的识别而不计免疫效应,ynis取0或1,分别表示自然免疫系统判别输入时的自身或非自身。
gnis是一个自然免疫系统输入输出之间的非线性关系函数,则有ynis=gnis(xnis)=ωnis为自然免疫系统的内部组成。而根据系统的定义,入侵检测系统可以表示为∑ids=(xids,ωids,yids,gids)
式中,xids是入侵检测系统的输入。令m表示是整个论域,整个论域也可以划分成为两个互斥的集合即入侵集合,表示为i和正常集合表示﹁i,有i∪﹁i=m,i∩﹁i=输入xids,输出yids,此时入侵检测系统具有报警s和不报警﹁a两种状态,报警用1表示,不报警用0表示。
gids表示输入与输出之间的非线性函数关系,则有yids=gids(xids)=ωids是自然免疫系统的内部组成。不同种类的检测系统具有不同的ωids,产生不同的ωids,从而将输入向量映射到输出。
(二)基于自然免疫机理的入侵检测系统的设计
自然免疫系统是一个识别病原菌的系统,与网络入侵检测系统有很多类似之处,因此自然免疫系统得到一个设计网络入侵检测系统的启发,我们先来研究自然入侵检测系统的动态防护性、检测性能、自适应性以及系统健壮性这四个特性[5]。
1.动态防护性。
自然免疫系统可以用比较少的资源完成相对复杂的检测任务。人体约有1016种病原体需要识别,自然免疫系统采用动态防护,任一时刻,淋巴检测器只能检测到病原体的一个子集,但淋巴检测器每天都会及时更新,所以每天检测的病原体是不同的,淋巴细胞的及时更新,来应对当前的待检病原体。
2.检测性能。
自然免疫系统具有非常强的低预警率和高检测率。之所以具有这样好的检测性能,是因为自然免疫系统具有多样性、多层次、异常检测能力、独特性等多种特性。
3.自适应性。
自然免疫系统具有良好的自适应性,检测器一般情况下能够检测到频率比较高的攻击规则,很少或基本根本没有检测到入侵的规则,将会被移出常用检测规则库,这样就会使得规则库中的规则一直可以检测到经常遇到的攻击。基于免疫机理的入侵检测系统采用异常检测方法检测攻击,对通过异常检测到的攻击提取异常特征形成新的检测规则,当这些入侵再次出现时直接通过规则匹配直接就可以检测到。
4.健壮性。
自然免疫系统采用了高度分布式的结构,基于免疫机理研究出的入侵检测系统也包含多个子系统和大量遍布整个系统的检测,每个子系统或检测仅能检测某一个或几类入侵,而多个子系统或大量检测器的集合就能检测到大多数入侵,少量几个的失效,不会影响整个系统的检测能力[4]。
(三)基于免疫机理的入侵检测系统体系架构
根据上述所讨论的思想,现在我们提出基于免疫机理的入侵检测系统aiids[1],包括如下四个组成部分:
1.主机入侵检测子系统。
其入侵信息来源于被监控主机的日志。它由多个组成,主要监控计算机网络系统的完整保密以及可用性等方面。
2.网络入侵子系统。
其入侵信息来源于局域网的通信数据包。该数据包一般位于网络节点处,网络入侵子系统首先对数据包的ip和tcp包头进行解析,然后收集数据组件、解析包头和提取组件特征、生成抗体和组件的检测、协同和报告、优化规则、扫描攻击以及检测机遇协议漏洞的攻击和拒绝服务攻击等。
3.网络节点入侵子系统。
其入侵信息来源于网络的通信数据包,网络节点入侵子系统监控网络节点的数据包,对数据包进行解码和分析。他包括多个应用层,用来检测应用层的各种攻击。
4.控制台。
1 引言
入侵检测是一种网络安全防御技术,其可以部署于网络防火墙、访问控制列表等软件中,可以检测流入到系统中的数据流,并且识别数据流中的网络包内容,判别数据流是否属于木马和病毒等不正常数据。目前,网络安全入侵检测技术已经诞生了多种,比如状态检测技术和深度包过滤技术,有效提高了网络安全识别、处理等防御能力。
2 “互联网+”时代网络安全管理现状
目前,我国已经进入到了“互联网+”时代,互联网已经应用到了金融、民生、工业等多个领域。互联网的繁荣为人们带来了许多的便利,同时互联网安全事故也频频出现,网络病毒、木马和黑客攻击技术也大幅度改进,并且呈现出攻击渠道多样化、威胁智能化、范围广泛化等特点。
2.1 攻击渠道多样化
目前,网络设备、应用接入渠道较多,按照内外网划分为内网接入、外网接入;按照有线、无线可以划分为有线接入、无线接入;按照接入设备可以划分为PC接入、移动智能终端接入等多种类别,接入渠道较多,也为攻击威胁提供了较多的入侵渠道。
2.2 威胁智能化
攻击威胁程序设计技术的提升,使得病毒、木马隐藏的周期更长,行为更加隐蔽,传统的网络木马、病毒防御工具无法查杀。
2.3 破坏范围更广
随着网络及承载的应用软件集成化增强,不同类型的系统管理平台都通过SOA架构、ESB技术接入到网络集群平台上,一旦某个系统受到攻击,病毒可以在很短的时间内传播到其他子系统,破坏范围更广。
3 “互联网+”时代网络安全入侵检测功能设计
入侵检测业务流程包括三个阶段,分别是采集网络数据、分析数据内容和启动防御措施,能够实时预估网络安全防御状况,保证网络安全运行,如图1所示。
网络安全入侵检测过程中,为了提高入侵检测准确度,引入遗传算法和BP神经网络,结合这两种数据挖掘算法的优势,设计了一个遗传神经网络算法,业务流程如下:
(1)采集网络数据,获取数据源。
(2)利用遗传神经网络识别数据内容,对数据进行建模,将获取的网络数据包转换为神经网络能够识别的数学向量。
(3)使用已知的、理想状态的数据对遗传神经网络进行训练。
(4)使用训练好的遗传神经网络对网络数据进行检测。
(5)保存遗传神经网络检测的结果。
(6)网络安全响应。
遗传神经网络在入侵检测过程中包括两个阶段,分别是训练学习阶段和检测分析阶段。
(1)训练学习阶段。遗传神经网络训练学习可以生成一个功能完善的、识别准确的入侵检测模型,系统训练学习流程如下:给定样本库和期望输出参数,将两者作为遗传神经网络输入参数,学习样本中包含非常典型的具有攻击行为特征的样本数据和正常数据,通过训练学习得到的遗传神经网络可以与输入的期望结果进行比较和分析,直到期望输出的误差可以达到人们的期望值。
(2)检测分析阶段。遗传神经网络训练结束之后,使用权值的形式将其保存起来,将其应用到实际网络入侵检测系统,能够识别正常行为或异常行为。
4 结束语
互联网的快速发展和普及为人们的工作、生活和学习带来便利,但同时也潜在着许多威胁,采用先进的网络安全防御技术,以便提升网络的安全运行能力。入侵检测是网络安全主动防御的一个关键技术,入侵检测利用遗传算法和BP神经网络算法优势,可以准确地构建一个入侵检测模型,准确地检测出病毒、木马数据,启动病毒木马查杀软件,清除网络中的威胁,保证网络正常运行。
参考文献
[1]徐振华.基于BP神经网络的分布式入侵检测模型改进算法研究[J].网络安全技术与应用,2016,24(2):111-112.
[2]刘成.试论入侵检测技术在网络安全中的应用与研究[J].网络安全技术与应用,2016,24(2):74-75.
[3]周立军,张杰,吕海燕.基于数据挖掘技术的网络入侵检测技术研究[J].现代电子技术,2016,18(6):121-122.