入侵检测论文范文1
论文摘要:随着计算机的飞速发展以及网络技术的普遍应用,随着信息时代的来临,信息作为一种重要的资源正得到了人们的重视与应用。因特网是一个发展非常活跃的领域,可能会受到黑客的非法攻击,所以在任何情况下,对于各种事故,无意或有意的破坏,保护数据及其传送、处理都是非常必要的。计划如何保护你的局域网免受因特网攻击带来的危害时,首先要考虑的是防火墙。防火墙的核心思想是在不安全的网际网环境中构造一个相对安全的子网环境。本文介绍了防火墙技术的基本概念、系统结构、原理、构架、入侵检测技术及VPN等相关问题。
Abstract:Alongwiththefastcomputerdevelopmentandtheuniversalapplicationofthenetworktechnology,alongwithinformationtimescomingupon,Informationisattractingtheworld’sattentionandemployedasakindofimportantresources.Internetisaveryactivelydevelopedfield.Becauseitmaybeillegallyattackedbyhackers,Itisverynecessaryfordata’sprotection,deliveryandprotectionagainstvariousaccidents,intentionalorwantdestroyunderanycondition.FirewallisthefirstconsiderationwhenplanhowtoprotectyourlocalareanetworkagainstendangersbroughtbyInternetattack.Thecorecontentoffirewalltechnologyistoconstructarelativelysafeenvironmentofsubnetinthenot-so-safenetworkenvironment.Thispaperintroducesthebasicconceptionandsystemstructureoffire-walltechnologyandalsodiscussestwomaintechnologymeanstorealizefire-wall:Oneisbasedonpacketfiltering,whichistorealizefire-wallfunctionthroughScreeningRouter;andtheotherisProxyandthetypicalrepresentationisthegatewayonapplicationlevel.....
第一章绪论
§1.1概述
随着以Internet为代表的全球信息化浪潮的来临,信息网络技术的应用正日益广泛,应用层次正在深入,应用领域也从传统的、小型业务系统逐渐向大型、关键业务系统扩展,其中以党政系统、大中院校网络系统、银行系统、商业系统、管理部门、政府或军事领域等为典型。伴随网络的普及,公共通信网络传输中的数据安全问题日益成为关注的焦点。一方面,网络化的信息系统提供了资源的共享性、用户使用的方便性,通过分布式处理提高了系统效率和可靠性,并且还具备可扩充性。另一方面,也正是由于具有这些特点增加了网络信息系统的不安全性。
开放性的网络,导致网络所面临的破坏和攻击可能是多方面的,例如:可能来自物理传输线路的攻击,也可以对网络通信协议和实现实施攻击,可以是对软件实施攻击,也可以对硬件实施攻击。国际性的网络,意味着网络的攻击不仅仅来自本地网络的用户,也可以来自linternet上的任何一台机器,也就是说,网络安全所面临的是一个国际化的挑战。开放的、国际化的Internet的发展给政府机构、企事业单位的工作带来了革命性的变革和开放,使得他们能够利用Internet提高办事效率、市场反应能力和竞争力。通过Internet,他们可以从异地取回重要数据,同时也面临Internet开放所带来的数据安全的挑战与危险。如何保护企业的机密信息不受黑客和工业间谍的入侵,己成为政府机构、企事业单位信息化建设健康发展所要考虑的重要因素之一。广泛分布的企业内部网络由公共网络互联起来,这种互联方式面临多种安全威胁,极易受到外界的攻击,导致对网络的非法访问和信息泄露。防火墙是安全防范的最有效也是最基本的手段之一。
虽然国内己有许多成熟的防火墙及其他相关安全产品,并且这些产品早已打入市场,但是对于安全产品来说,要想进入我军部队。我们必须自己掌握安全测试技术,使进入部队的安全产品不出现问题,所以对网络安全测试的研究非常重要,具有深远的意义。
§1.2本文主要工作
了解防火墙的原理、架构、技术实现
了解防火墙的部署和使用配置
熟悉防火墙测试的相关标准
掌握防火墙产品的功能、性能、安全性和可用性的测试方法
掌握入侵检测与VPN的概念及相关测试方法
第二章防火墙的原理、架构、技术实现
§2.1什么是防火墙?
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
§2.2防火墙的原理
随着网络规模的扩大和开放性的增强,网络上的很多敏感信息和保密数据将受到很多主动和被动的人为攻击。一种解决办法是为需要保护的网络上的每个工作站和服务器装备上强大的安全特征(例如入侵检测),但这几乎是一种不切合实际的方法,因为对具有几百个甚至上千个节点的网络,它们可能运行着不同的操作系统,当发现了安全缺陷时,每个可能被影响的节点都必须加以改进以修复这个缺陷。另一种选择就是防火墙(Firewall),防火墙是用来在安全私有网络(可信任网络)和外部不可信任网络之间安全连接的一个设备或一组设备,作为私有网络和外部网络之间连接的单点存在。防火墙是设置在可信任的内部网络和不可信任的外部网络之间的一道屏障,它可以实施比较广泛的安全策略来控制信息流,防止不可预料的潜在的入侵破坏.DMZ外网和内部局域网的防火墙系统。
§2.3防火墙的架构
防火墙产品的三代体系架构主要为:
第一代架构:主要是以单一cpu作为整个系统业务和管理的核心,cpu有x86、powerpc、mips等多类型,产品主要表现形式是pc机、工控机、pc-box或risc-box等;
第二代架构:以np或asic作为业务处理的主要核心,对一般安全业务进行加速,嵌入式cpu为管理核心,产品主要表现形式为box等;
第三代架构:iss(integratedsecuritysystem)集成安全体系架构,以高速安全处理芯片作为业务处理的主要核心,采用高性能cpu发挥多种安全业务的高层应用,产品主要表现形式为基于电信级的高可靠、背板交换式的机架式设备,容量大性能高,各单元及系统更为灵活。
§2.4防火墙的技术实现
从Windows软件防火墙的诞生开始,这种安全防护产品就在跟随着不断深入的黑客病毒与反黑反毒之争,不断的进化与升级。从最早期的只能分析来源地址,端口号以及未经处理的报文原文的封包过滤防火墙,后来出现了能对不同的应用程序设置不同的访问网络权限的技术;近年来由ZoneAlarm等国外知名品牌牵头,还开始流行了具有未知攻击拦截能力的智能行为监控防火墙;最后,由于近来垃圾插件和流氓软件的盛行,很多防火墙都在考虑给自己加上拦截流氓软件的功能。综上,Windows软件防火墙从开始的时候单纯的一个截包丢包,堵截IP和端口的工具,发展到了今天功能强大的整体性的安全套件。
第三章防火墙的部署和使用配置
§3.1防火墙的部署
虽然监测型防火墙安全性上已超越了包过滤型和服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代型产品为主,但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本。
实际上,作为当前防火墙产品的主流趋势,大多数服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的,应用网关能提供对协议的过滤。例如,它可以过滤掉FTP连接中的PUT命令,而且通过应用,应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。
----那么我们究竟应该在哪些地方部署防火墙呢?
----首先,应该安装防火墙的位置是公司内部网络与外部Internet的接口处,以阻挡来自外部网络的入侵;其次,如果公司内部网络规模较大,并且设置有虚拟局域网(VLAN),则应该在各个VLAN之间设置防火墙;第三,通过公网连接的总部与各分支机构之间也应该设置防火墙,如果有条件,还应该同时将总部与各分支机构组成虚拟专用网(VPN)。
----安装防火墙的基本原则是:只要有恶意侵入的可能,无论是内部网络还是与外部公网的连接处,都应该安装防火墙。
§3.2防火墙的使用配置
一、防火墙的配置规则:
没有连接的状态(没有握手或握手不成功或非法的数据包),任何数据包无法穿过防火墙。(内部发起的连接可以回包。通过ACL开放的服务器允许外部发起连接)
inside可以访问任何outside和dmz区域。
dmz可以访问outside区域。
inside访问dmz需要配合static(静态地址转换)。
outside访问dmz需要配合acl(访问控制列表)。
二、防火墙设备的设置步骤:
1、确定设置防火墙的部署模式;
2、设置防火墙设备的IP地址信息(接口地址或管理地址(设置在VLAN1上));
3、设置防火墙设备的路由信息;
4、确定经过防火墙设备的IP地址信息(基于策略的源、目标地址);
5、确定网络应用(如FTP、EMAIL等应用);
6、配置访问控制策略。
第四章防火墙测试的相关标准
防火墙作为信息安全产品的一种,它的产生源于信息安全的需求。所以防火墙的测试不仅有利于提高防火墙的工作效率,更是为了保证国家信息的安全。依照中华人民共和国国家标准GB/T18019-1999《信息技术包过滤防火墙安全技术要求》、GB/T18020-1999《信息技术应用级防火墙安全技术要求》和GB/T17900-1999《网络服务器的安全技术要求》以及多款防火墙随机提供的说明文档,中国软件评测中心软件产品测试部根据有关方面的标准和不同防火墙的特点整理出以下软件防火墙的测试标准:
4.1规则配置方面
要使防火墙软件更好的服务于用户,除了其默认的安全规则外,还需要用户在使用过程中不断的完善其规则;而规则的设置是否灵活方便、实际效果是否理想等方面,也是判断一款防火墙软件整体安全性是否合格的重要标准。简单快捷的规则配置过程让防火墙软件具备更好的亲和力,一款防火墙软件如果能实施在线检测所有对本机的访问并控制它们、分别对应用程序、文件或注册表键值实施单独的规则添加等等,这将成为此款软件防火墙规则配置的一个特色。
§4.2防御能力方面
对于防火墙防御能力的表现,由于偶然因素太多,因此无法从一个固定平等的测试环境中来得出结果。但是可以使用了X-Scan等安全扫描工具来测试。虽然得出的结果可能仍然有一定的出入,但大致可以做为一个性能参考。
§4.3主动防御提示方面
对于网络访问、系统进程访问、程序运行等本机状态发生改变时,防火墙软件一般都会有主动防御提示出现。这方面主要测试软件拦截或过滤时是否提示用户做出相应的操作选择。
§4.4自定义安全级别方面
用户是否可以参照已有安全级别的安全性描述来设置符合自身特殊需要的规则。防火墙可设置系统防火墙的安全等级、安全规则,以防止电脑被外界入侵。一般的防火墙共有四个级别:
高级:预设的防火墙安全等级,用户可以上网,收发邮件;l
中级:预设的防火墙安全等级,用户可以上网,收发邮件,网络聊天,FTP、Telnet等;l
低级:预设的防火墙安全等级,只对已知的木马进行拦截,对于其它的访问,只是给于提示用户及记录;l
自定义:用户可自定义防火墙的安全规则,可以根据需要自行进行配置。l
§4.5其他功能方面
这主要是从软件的扩展功能表现、操作设置的易用性、软件的兼容性和安全可靠性方面来综合判定。比如是否具有过滤网址、实施木马扫描、阻止弹出广告窗口、将未受保护的无线网络“学习”为规则、恶意软件检测、个人隐私保护等丰富的功能项,是否可以满足用户各方面的需要。
§4.6资源占用方面
这方面的测试包括空闲时和浏览网页时的CPU占用率、内存占有率以及屏蔽大量攻击时的资源占用和相应速度。总的来是就是资源占用率越低越好,启动的速度越快越好。
§4.7软件安装方面
这方面主要测试软件的安装使用是否需要重启系统、安装过程是不是方便、安装完成后是否提示升级本地数据库的信息等等。
§4.8软件界面方面
软件是否可切换界面皮肤和语言、界面是否简洁等等。简洁的界面并不代表其功能就不完善,相反地,简化了用户的操作设置项也就带来了更智能的安全防护功能。比如有的防护墙安装完成后会在桌面生成简单模式和高级模式两个启动项,这方便用户根据不同的安全级别启动相应的防护
第五章防火墙的入侵检测
§5.1什么是入侵检测系统?
入侵检测可被定义为对计算机和网络资源上的恶意使用行为进行识别和响应的处理过程,它不仅检测来自外部的入侵行为,同时也检测内部用户的未授权活动。
入侵检测系统(IDS)是从计算机网络系统中的若干关键点收集信息,并分析这些信息,检查网络中是否有违反安全策略的行为和遭到袭击的迹象。IDS被公认为是防火墙之后的第二道安全闸门,它作为一种积极主动的安全防护技术,从网络安全立体纵深、多层次防御的角度出发,对防范网络恶意攻击及误操作提供了主动的实时保护,从而能够在网络系统受到危害之前拦截和响应入侵
§5.2入侵检测技术及发展
自1980年产生IDS概念以来,已经出现了基于主机和基于网络的入侵检测系统,出现了基于知识的模型识别、异常识别和协议分析等入侵检测技术,并能够对百兆、千兆甚至更高流量的网络系统执行入侵检测。
入侵检测技术的发展已经历了四个主要阶段:
第一阶段是以基于协议解码和模式匹配为主的技术,其优点是对于已知的攻击行为非常有效,各种已知的攻击行为可以对号入座,误报率低;缺点是高超的黑客采用变形手法或者新技术可以轻易躲避检测,漏报率高。
第二阶段是以基于模式匹配+简单协议分析+异常统计为主的技术,其优点是能够分析处理一部分协议,可以进行重组;缺点是匹配效率较低,管理功能较弱。这种检测技术实际上是在第一阶段技术的基础上增加了部分对异常行为分析的功能。
第三阶段是以基于完全协议分析+模式匹配+异常统计为主的技术,其优点是误报率、漏报率和滥报率较低,效率高,可管理性强,并在此基础上实现了多级分布式的检测管理;缺点是可视化程度不够,防范及管理功能较弱。
第四阶段是以基于安全管理+协议分析+模式匹配+异常统计为主的技术,其优点是入侵管理和多项技术协同工作,建立全局的主动保障体系,具有良好的可视化、可控性和可管理性。以该技术为核心,可构造一个积极的动态防御体系,即IMS——入侵管理系统。
新一代的入侵检测系统应该是具有集成HIDS和NIDS的优点、部署方便、应用灵活、功能强大、并提供攻击签名、检测、报告和事件关联等配套服务功能的智能化系统§5.3入侵检测技术分类
从技术上讲,入侵检测技术大致分为基于知识的模式识别、基于知识的异常识别和协议分析三类。而主要的入侵检测方法有特征检测法、概率统计分析法和专家知识库系统。
(1)基于知识的模式识别
这种技术是通过事先定义好的模式数据库实现的,其基本思想是:首先把各种可能的入侵活动均用某种模式表示出来,并建立模式数据库,然后监视主体的一举一动,当检测到主体活动违反了事先定义的模式规则时,根据模式匹配原则判别是否发生了攻击行为。
模式识别的关键是建立入侵模式的表示形式,同时,要能够区分入侵行为和正常行为。这种检测技术仅限于检测出已建立模式的入侵行为,属已知类型,对新类型的入侵是无能为力的,仍需改进。
(2)基于知识的异常识别
这种技术是通过事先建立正常行为档案库实现的,其基本思想是:首先把主体的各种正常活动用某种形式描述出来,并建立“正常活动档案”,当某种活动与所描述的正常活动存在差异时,就认为是“入侵”行为,进而被检测识别。
异常识别的关键是描述正常活动和构建正常活动档案库。
利用行为进行识别时,存在四种可能:一是入侵且行为正常;二是入侵且行为异常;三是非入侵且行为正常;四是非入侵且行为异常。根据异常识别思想,把第二种和第四种情况判定为“入侵”行为。这种检测技术可以检测出未知行为,并具有简单的学习功能。
以下是几种基于知识的异常识别的检测方法:
1)基于审计的攻击检测技术
这种检测方法是通过对审计信息的综合分析实现的,其基本思想是:根据用户的历史行为、先前的证据或模型,使用统计分析方法对用户当前的行为进行检测和判别,当发现可疑行为时,保持跟踪并监视其行为,同时向系统安全员提交安全审计报告。
2)基于神经网络的攻击检测技术
由于用户的行为十分复杂,要准确匹配一个用户的历史行为和当前的行为是相当困难的,这也是基于审计攻击检测的主要弱点。
而基于神经网络的攻击检测技术则是一个对基于传统统计技术的攻击检测方法的改进方向,它能够解决传统的统计分析技术所面临的若干问题,例如,建立确切的统计分布、实现方法的普遍性、降低算法实现的成本和系统优化等问题。
3)基于专家系统的攻击检测技术
所谓专家系统就是一个依据专家经验定义的推理系统。这种检测是建立在专家经验基础上的,它根据专家经验进行推理判断得出结论。例如,当用户连续三次登录失败时,可以把该用户的第四次登录视为攻击行为。
4)基于模型推理的攻击检测技术
攻击者在入侵一个系统时往往采用一定的行为程序,如猜测口令的程序,这种行为程序构成了某种具有一定行为特征的模型,根据这种模型所代表的攻击意图的行为特征,可以实时地检测出恶意的攻击企图,尽管攻击者不一定都是恶意的。用基于模型的推理方法人们能够为某些行为建立特定的模型,从而能够监视具有特定行为特征的某些活动。根据假设的攻击脚本,这种系统就能检测出非法的用户行为。一般为了准确判断,要为不同的入侵者和不同的系统建立特定的攻击脚本。
使用基于知识的模式识别和基于知识的异常识别所得出的结论差异较大,甚至得出相反结论。这是因为基于知识的模式识别的核心是维护一个入侵模式库,它对已知攻击可以详细、准确地报告出攻击类型,但对未知攻击却无能为力,而且入侵模式库必须不断更新。而基于知识的异常识别则是通过对入侵活动的检测得出结论的,它虽无法准确判断出攻击的手段,但可以发现更广泛的、甚至未知的攻击行为。
§5.4入侵检测技术剖析
1)信号分析
对收集到的有关系统、网络、数据及用户活动的状态和行为等信息,一般通过三种技术手段进行分析:模式匹配、统计分析和完整性分析。其中前两种方法用于实时的入侵检测,而完整性分析则用于事后分析。
2)模式匹配
模式匹配就是将收集到的信息与已知的网络入侵和系统已有模式数据库进行比较,从而发现违背安全策略的行为。该过程可以很简单(如通过字符串匹配以寻找一个简单的条目或指令),也可以很复杂(如利用正规的数学表达式来表示安全状态的变化)。一般来讲,一种进攻模式可以用一个过程(如执行一条指令)或一个输出(如获得权限)来表示。该方法的一大优点是只需收集相关的数据集合,显著减少系统负担,且技术已相当成熟。它与病毒防火墙采用的方法一样,检测准确率和效率都相当高。但是,该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法,不能检测到从未出现过的黑客攻击手段。
3)统计分析
统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。在比较这一点上与模式匹配有些相象之处。测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。例如,本来都默认用GUEST帐号登录的,突然用ADMINI帐号登录。这样做的优点是可检测到未知的入侵和更为复杂的入侵,缺点是误报、漏报率高,且不适应用户正常行为的突然改变。具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法,目前正处于研究热点和迅速发展之中。
4)完整性分析
完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和目录的内容及属性,它在发现被更改的、被特咯伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制,称为消息摘要函数(例如MD5),它能识别哪怕是微小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵,只要是成功的攻击导致了文件或其它对象的任何改变,它都能够发现。缺点是一般以批处理方式实现,用于事后分析而不用于实时响应。尽管如此,完整性检测方法还应该是网络安全产品的必要手段之一。例如,可以在每一天的某个特定时间内开启完整性分析模块,对网络系统进行全面地扫描检查。
§5.5防火墙与入侵检测的联动
网络安全是一个整体的动态的系统工程,不能靠几个产品单独工作来进行安全防范。理想情况下,整个系统的安全产品应该有一个响应协同,相互通信,协同工作。其中入侵检测系统和防火墙之间的联动就能更好的进行安全防护。图8所示就是入侵检测系统和防火墙之间的联动,当入侵检测系统检测到入侵后,通过和防火墙通信,让防火墙自动增加规则,以拦截相关的入侵行为,实现联动联防。
§5.6什么是VPN?
VPN的英文全称是“VirtualPrivateNetwork”,翻译过来就是“虚拟专用网络”。顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一,目前在交换机,防火墙设备或Windows2000等软件里也都支持VPN功能,一句话,VPN的核心就是在利用公共网络建立虚拟私有网。
虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
§5.7VPN的特点
1.安全保障虽然实现VPN的技术和方式很多,但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在安全性方面,由于VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。
2.服务质量保证(QoS)
VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。在网络优化方面,构建VPN的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低,在流量高峰时引起网络阻塞,使实时性要求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量预测与流量控制策略,可以按照优先级分实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。
3.可扩充性和灵活性
VPN必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。
4.可管理性
从用户角度和运营商角度应可方便地进行管理、维护。VPN管理的目标为:减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上,VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。
§5.8VPN防火墙
VPN防火墙就是一种过滤塞(目前你这么理解不算错),你可以让你喜欢的东西通过这个塞子,别的玩意都统统过滤掉。在网络的世界里,要由VPN防火墙过滤的就是承载通信数据的通信包。
最简单的VPN防火墙是以太网桥。但几乎没有人会认为这种原始VPN防火墙能管多大用。大多数VPN防火墙采用的技术和标准可谓五花八门。这些VPN防火墙的形式多种多样:有的取代系统上已经装备的TCP/IP协议栈;有的在已有的协议栈上建立自己的软件模块;有的干脆就是独立的一套操作系统。还有一些应用型的VPN防火墙只对特定类型的网络连接提供保护(比如SMTP或者HTTP协议等)。还有一些基于硬件的VPN防火墙产品其实应该归入安全路由器一类。以上的产品都可以叫做VPN防火墙,因为他们的工作方式都是一样的:分析出入VPN防火墙的数据包,决定放行还是把他们扔到一边。
所有的VPN防火墙都具有IP地址过滤功能。这项任务要检查IP包头,根据其IP源地址和目标地址作出放行/丢弃决定。看看下面这张图,两个网段之间隔了一个VPN防火墙,VPN防火墙的一端有台UNIX计算机,另一边的网段则摆了台PC客户机。
当PC客户机向UNIX计算机发起telnet请求时,PC的telnet客户程序就产生一个TCP包并把它传给本地的协议栈准备发送。接下来,协议栈将这个TCP包“塞”到一个IP包里,然后通过PC机的TCP/IP栈所定义的路径将它发送给UNIX计算机。在这个例子里,这个IP包必须经过横在PC和UNIX计算机中的VPN防火墙才能到达UNIX计算机。
现在我们“命令”(用专业术语来说就是配制)VPN防火墙把所有发给UNIX计算机的数据包都给拒了,完成这项工作以后,比较好的VPN防火墙还会通知客户程序一声呢!既然发向目标的IP数据没法转发,那么只有和UNIX计算机同在一个网段的用户才能访问UNIX计算机了。
还有一种情况,你可以命令VPN防火墙专给那台可怜的PC机找茬,别人的数据包都让过就它不行。这正是VPN防火墙最基本的功能:根据IP地址做转发判断。但要上了大场面这种小伎俩就玩不转了,由于黑客们可以采用IP地址欺骗技术,伪装成合法地址的计算机就可以穿越信任这个地址的VPN防火墙了。不过根据地址的转发决策机制还是最基本和必需的。另外要注意的一点是,不要用DNS主机名建立过滤表,对DNS的伪造比IP地址欺骗要容易多了。
后记:
入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。入侵检测系统面临的最主要挑战有两个:一个是虚警率太高,一个是检测速度太慢。现有的入侵检测系统还有其他技术上的致命弱点。因此,可以这样说,入侵检测产品仍具有较大的发展空间,从技术途径来讲,除了完善常规的、传统的技术(模式识别和完整性检测)外,应重点加强统计分析的相关技术研究。
但无论如何,入侵检测不是对所有的入侵都能够及时发现的,即使拥有当前最强大的入侵检测系统,如果不及时修补网络中的安全漏洞的话,安全也无从谈起。
同样入侵检测技术也存在许多缺点,IDS的检测模型始终落后于攻击者的新知识和技术手段。主要表现在以下几个方面:
1)利用加密技术欺骗IDS;
2)躲避IDS的安全策略;
3)快速发动进攻,使IDS无法反应;
4)发动大规模攻击,使IDS判断出错;
5)直接破坏IDS;
6)智能攻击技术,边攻击边学习,变IDS为攻击者的工具。
我认为在与防火墙技术结合中应该注意扩大检测范围和类别、加强自学习和自适应的能力方面发展。
参考文献:
1..MarcusGoncalves著。宋书民,朱智强等译。防火墙技术指南[M]。机械工业出版社
2.梅杰,许榕生。Internet防火墙技术新发展。微电脑世界.
入侵检测论文范文2
关键词:入侵检测,计算机网络,分布式
1. 入侵检测系统概述入侵检测,就是对网络或者系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证系统资源的机密性、完整性和可用性。简单说就是对入侵行为的发觉。入侵检测系统(Intrusion Detection System,简称IDS)是一个能够对网络或计算机系统的活动进行实时监测的系统,它能够发现并报告网络或系统中存在的可疑迹象,为网络安全管理员及时采取对策提供有价值的信息。
2.入侵检测系统的历史研究与现状入侵检测系统从开始研究到目前的商业产品,已经有20多年的历史了。最早研究入侵检测的是James Anderson,他在1980年首先提出了入侵检测的概念,将入侵尝试或威胁定义为:潜在的、有预谋的、未经授权的访问信息、操作信息、致使系统不可靠或无法使用的企图。Anderson提出审计追踪可应用于监视入侵威胁。
国外入侵检测系统已经进入相对成熟期,目前比较成功的商业系统大都是混合使用多种技术,而且很多系统不只是具有入侵检测和响应功能,还具有很强的网络管理和网络通信统计的功能。比如:ISS公司的RealSecure、Axcent公司的Intruder Alert、Cisco公司的Cisco Secure IDS、Network Flight Recorder公司的NID、NetworkIce公司的BlackIce Defender、NAI公司的CyberCop Intrusion Protection等产品。
国内对入侵检测系统的研究起步较晚,无论理论研究还是实践创新都落后于国外,目前处于对国外技术的跟踪研究状态。。近年来有一些单位如:中科院、清华大学、国防科技大学、中联绿盟、金诺网安、启明星辰等都开展了入侵检测系统的理论研究和产品开发研制工作。
3.入侵检测系统的分类随着入侵检测技术的发展,目前已经出现了很多入侵检测系统,不同的入侵检测系统具有不同的特征。根据不同的分类标准,入侵检测系统可分为不同的类别。
1.按照数据来源划分,入侵检测系统分为基于主机的入侵检测系统(HIDS)和基于网络的入侵检测系统(NIDS)。
1)基于主机的入侵检测系统
它检测的目标主要是主机系统和系统本地用户。检测的原理是根据主机的审计数据和系统的日志发现可疑事件,检测系统可以运行在被检测的主机或单独的主机上。此系统依赖于审计数据或系统日志的准确性和完整性以及安全事件的定义。
2)基于网络的入侵检测系统
它通过在共享网段上对通信数据进行侦听,采集数据,分析可疑现象,系统根据网络流量、协议分析、简单网络管理协议信息等检测入侵。
2.按照目前国内外的入侵检测技术IDS主要分为两类:基于异常的入侵检测和基于误用的入侵检测。
1)基于异常的入侵检测
首先总结正常操作应该具有的特征,例如特定用户的操作习惯与某些操作的频率等;在得出正常操作的模型之后,对后续的操作进行监视,一旦发现偏离正常统计学意义上的操作模式,即进行报警。
2)基于误用的入侵检测
收集非正常操作也就是入侵行为的特征,建立相关的特征库;在后续的检测过程中,将收集到的数据与特征库中的特征代码进行比较,得出是否是入侵的结论。当前流行的系统基本上采用了这种模型。
3.按照目前IDS的发展趋势来分,IDS分为集中式和分布式两种。
1)集中式IDS
所谓集中式是指整合基于主机的IDS和基于网络的IDS的各自优点,将HIDS和NIDS这两种检测技术很好地集成起来,提供集成化的攻击签名、检测、报告和事件关联功能。
2)分布式IDS
对分布式而言有两层含义,一是针对分布式网络攻击的检测方法;第二层含义即使用分布式的方法来检测分布式的攻击。这其中的关键技术为检测信息的协同处理与入侵攻击的全局信息的提取。。
4.入侵检测技术的发展方向目前入侵检测系统面临的最主要挑战有两个:一是误警率太高,二是检测速度太慢。针对这些挑战和入侵手段的不断进步,今后的入侵检测技术大致将朝以下几个方向发展。
1.分布式入侵检测与通用入侵检测架构
传统的IDS一般局限于单一的主机或网络架构,对异构系统及大规模的网络的监测明显不足。同时不同的IDS系统之间不能协同工作,为解决这一问题,需要分布式入侵检测技术与通用入侵检测架构。
2.应用层入侵检测
许多入侵的语义只有在应用层才能理解,而目前的IDS仅能检测如WEB之类的通用协议,而不能处理如Lotus Notes、数据库系统等其他的应用系统。许多基于客户、服务器结构与中间件技术及对象技术的大型应用,需要应用层的入侵检测保护。
3.智能化的入侵检测
入侵方法越来越多样化与综合化,已经有模糊技术、神经网络与遗传算法在入侵检测领域的应用研究,这些方法常用于入侵特征的辨识与泛化,需对智能化的IDS做进一步的研究以解决其自学习与自适应能力,来完善系统模型,提高检测的效率和准确性。
4.入侵检测的评测方法
用户需对众多的IDS系统进行评价,设计通用的入侵检测测试与评估方法与平台,实现对多种IDS系统的检测已成为当前IDS的另一重要研究与发展领域。
5.综合性检测系统
与其它的网络安全技术 (包括硬件技术) 相结合, 形成综合的检测系统,解决传统方法检测对象单一、检测攻击形式简单的问题和一些难以解决的问题。
6.宽带高速网络的实时入侵检测技术
大量高速网络技术近年来不断出现,在此背景下的各种宽带接入手段层出不穷,如何实现高速网络环境的入侵检测已成为一个现实问题。这需要考虑两个方面,首先,入侵检测系统的软件结构和算法需要重新设计,以适应高速网络的新环境,重点是提高运行速度和效率。另一方面是,随着高速网络技术的不断进步和成熟,新的高速网络协议的设计也成为未来的一个发展趋势,现有的入侵检测系统如何适应和利用未来新的网络协议结构是一个全新的问题。
从信息安全角度出发,入侵检测理应受到人们的高度重视,从国外入侵检测产品市场的蓬勃发展可以看出这一点。。在国内,随着国家重要部门的关键业务逐渐增多,迫切需要具有自主版权的入侵检测产品。但目前的入侵检测仅停留在研究和实验样品(缺乏升级和服务)阶段,或者是防火墙中集成较为初级的入侵检测模块。可见,入侵检测产品仍具有较大的发展空间,从技术途径来讲,除了完善常规的、传统的技术(模式识别和完整性分析)外,应重点加强统计分析的相关技术研究。
入侵检测论文范文3
关键词:计算机;网络安全;入侵检测技术
1引言
当今世界计算机网络的运用十分广泛,人们通过互联网进行商品买卖、社交以及娱乐,企业利用互联网进行交易,甚至能够危及到国家安全的机密信息也在计算机网络中沟通流动,因此计算机网络安全影响着社会各个层次、各个方面。计算机网络安全问题成为全世界共同关注的问题,如果不能有效地解决,将会严重制约信息化的发展进程。随着网络专家的不懈努力,找到了一个有效的解决途径就是入侵检测技术。入侵检测系统可以弥补防火墙的不足,在不影响网络性能的情况下对网络进行检测,从而提供对内部攻击、外部攻击和误操作的实时保护。
2入侵检测技术相关理论概述
2.1定义
入侵检测技术是一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术,是一种为保证计算机系统的安全而设计与配置的技术。入侵检测系统(IntrusionDetectionSystem,简称IDS)是进行入侵检测的软件与硬件的组合。入侵检测系统(IDS)可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的系统。包括系统外部的入侵和内部用户的非授权行为,是一种用于检测计算机网络中违反安全策略行为的技术。入侵检测系统在发现入侵后,会及时作出响应,包括切断网络连接、记录事件和报警等。入侵检测技术从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。
2.2分类
(1)按照检测时间分类:入侵检测按检测的时间可分为实时入侵检测和事后入侵检测两种;(2)按照分析方法分类:入侵检测按照检测分析方法一般被分为误用检测和异常检测两大类;(3)按照数据来源分类:入侵检测依据待分析的数据来源通常可分为基于主机的检测系统和基于网络的检测系统两类;(4)按照系统结构分类:入侵检测按系统结构的划分可分为集中式入侵检测和分布式入侵检测两种;(5)按照工作方式分类:入侵检测按照工作方式的区别可分为离线检测和在线检测两种。
2.3工作流程
入侵检测技术的工作流程基本上可以归纳为以下3个步骤:(1)信息收集:信息收集是入侵检测的第一步,信息收集的内容主要包括系统、网络、数据及用户活动的行为和状态。收集信息的工作是由放置在不同网段的传感器或不同主机的来完成,包括非正常的目录和文件改变、非正常的程序执行以及系统和网络日志文件、网络流量的信息。(2)信息分析:收集到的有关系统、网络、数据及用户活动的状态和行为等信息,被送到检测引擎,检测引擎驻留在传感器中,一般通过3种技术手段进行分析:统计分析、完整性分析和模式匹配。其中模式匹配和统计分析用于实时的入侵检测,而完整性分析则用于事后的检测分析。当检测到某种误用模式时,就会产生一个告警并发送给控制台。(3)问题处理:控制台收到告警后,会按照告警产生预先定义的响应采取相应措施,可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性,也可以只是简单的告警。识别告警的方法主要有:活动特征、告警特征和用户特征。
3应用安全
入侵检测技术在计算机网络安全中的应用主要体现在基于主机的入侵检测系统和基于网络的入侵检测系统两个方面。
3.1基于主机的入侵检测系统
基于主机的入侵检测系统是把主机作为对计算机的重点检测对象,对主机进行入侵检测的设置,根据主机的运行情况来判断并检测主机是否出现了受到攻击的行为。主机入侵检测系统能够全面实时地监控计算机网络用户的操作行为,当网络出现网络异常情况时会进行预警,全面及时地保护网络安全。基于主机的入侵检测系统能够对攻击行为是否成功进行判断,并为主机作出决策提供充足的依据。基于主机分入侵检测系统还可以对文件访问、文件执行等指定的特定的系统部位进行监控。
3.2基于网络的入侵检测系统
基于网络的入侵检测系统又被称为基于行为的入侵检测系统,它在检测设置时无需在主机上进行安装,并且可以设置多个安全点,能够同时对多个网络通信进行监控,因此有着检测成本相对较低、检测速度快的优点。基于网络的入侵检测系统能够及时发现计算机在网络运行过程中受到的攻击,并及时向检测系统发送检测结果报告,提高发现计算机网络安全入侵的速度,方便快捷,并且大大缩短了计算机受到网络攻击的时间。基于网络的入侵检测系统由于采取对计算机的多处网络安全点和网络通信进行监控和观察,并且安装方便,因此检测效果高;监测系统一旦发现问题之后,可以直接利用网络进行报告,无论何时何地,都能做出快捷地反应和解决措施,提高了计算机网络安全检测技术的水平和检测效率,确保了计算机在安全网络环境下的正常运行,为计算机用户带来了便利。
4存在问题
4.1入侵检测技术相对落后
目前国内在入侵检测技术的研究起步比较晚,与发达国家相比差距还比较大。在网络安全技术发展的同时,网络入侵技术也在不断地升级,如果计算机网络安全入侵检测技术相对落后的话,当比较复杂高级的计算机网络入侵行为发生时,入侵检测技术是难以有效地解决威胁网络安全的因素的。在网络环境下,计算机对于网络安全的依赖性比较高,网络安全的入侵检测技术也存在一定的缺陷,安全检测存在局限性,在相同的网段能够进行计算机网络系统的局部检测与分析,一旦计算机网络系统处于不同的网段,其检测的全面性与有效性是难以保证的,由此可见,计算机网络安全的检测技术仍然有待提高,其存在的局限性与不完整性是非常明显。
4.2入侵检测技术方式单一
计算机网络安全的入侵检测系统主要采取的方式是特征检测,特征检测的适用范围是那些比较简单的入侵攻击行为,在单一的主机或网络构架下的检测效果很好,对异构系统以及大规模的网络监控就显得力不从心。当出现比较复杂的入侵行为时,入侵检测需要大量的计算和分析时间,这时入侵特征检测就无法发挥作用。另外,当入侵检测系统对网络系统进行监控时,会产生数量巨大的分析数据,分析数据会对系统性能造成较大压力。
4.3入侵检测技术加密处理困难
(1)计算机网络安全入侵检测技术在处理会话过程的加密问题上有很大的困难,就目前的发展趋势来看,这个问题会越来越突出。(2)入侵检测系统自身无法对网络攻击行为进行阻断,必须通过计算机内部防火墙的联合机制才能更好地完成入侵检测,自身的功能存在缺陷明显,作用也无法得到充分的发挥。(3)人们在日常生活中对计算机的广泛应用,计算机触及到用户越来越多的隐私,因而计算机内存储的网络数据也具有一定的隐私性,在计算机受到网络安全的威胁后,计算机网络安全的入侵检测系统自身无法完成对计算机系统的全面检测,检测技术并不能保证计算机网络数据的安全性和隐私性,加之网络检测需要同计算机内部防火墙联合,这样便会对计算机内部网络数据造成一定的暴露,不能对其做到科学全面的加密处理,在一定程度上对用户的个人隐私造成威胁。
5发展趋势
5.1分布式入侵检测
在如今高速发展的信息网络时代,传统的入侵检测技术缺乏协同并且过于单一,在应对高级复杂的网络安全入侵时显得力不从心,因此分布式的协作机制就显得更有优势。分布式入侵检测核心的技术体现在全局的入侵信息提取与多个入侵检测协同处理,主要体现在收集数据、入侵信息的分析和及时的自动响应等方面。它在系统资源方面的优势远大于别的方式,将是将来主要的发展方向之一。
5.2智能化入侵检测
目前的安全入侵方式越来越智能化和多样化,因此入侵技术的智能化发展也变得顺理成章。智能化入侵检测技术包含了模糊技术、神经网络、遗传算法、免疫原理等方法,能够更有效地识别与分析入侵威胁因素,提高网络安全入侵检测技术水平。智能化入侵检测可以将入侵的特点更具有广泛识别性和辨识性,因此可以在解决出现的故障时,识别和隔离可疑攻击,并不干涉正常运行的程序,以确保计算机的运行效率。
5.3一体化全方位防御方案
根据目前的网络安全入侵情况来看,入侵方式越来越智能化和多样化,仅仅某一方面的入侵检测方式很难应对,因此针对这种情况,网络安全入侵检测系统很可能实现一体化的发展趋势,这样入侵检测的结果将会更加全面和科学准确,打造网络安全入侵检测平台,最大化地利用计算机资源,增强入侵检测的可靠性,全方位地确保计算机的网络安全。
6结语
作为一种积极主动地计算机网络安全防护技术,入侵检测为计算机网络安全提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和解决入侵威胁,对保护网络安全的作用十分重要。面对日益复杂的网络安全形势,必需正视自己在入侵检测技术上与发达国家的差距,加大研究力度,提升我国计算机网络安全的入侵检测技术水平,为计算机网络安全提供有力保障。
参考文献
[1]毛晓仙.试论计算机网络安全的入侵检测技术[J].网络安全技术与应用,2014,08:63+65.
[2]唐锐.基于频繁模式的离群点挖掘在入侵检测中的应用[D].重庆大学,2013.
[3]宋彦京.计算机网络入侵检测系统与技术措施分析[J].网络安全技术与应用,2014,11:51-52.
入侵检测论文范文4
【关键词】入侵检测系统 人工智能 模式识别
伴随着互联网技术的广泛应用,基于计算机网络的业务应用领域已经逐步深入到社会各行各业范围中,计算机网络的安全性能显得十分关键。计算机网络的安全定义主要包括保密性、完整性、可用性以及认证等四个重要环节。因为计算机网络在理念设计、实践部署以及实际应用过程中存在较大的缺陷,使得计算机网络安全服务无法得到满意的结果,所以研发安全可靠的信息安全互联网产品已经发展成为学术界领域努力的前进方向。入侵检测技术作为扩充计算机系统安全确保能力、提高信息安全基础架构完整性的关键性领域。因为入侵检测的操作过程需要面对复杂的网络环境与变化多端的攻击方式,这就需要入侵检测系统具备灵活性、主动性以及自适应性等优秀性能。模式识别环境下入侵检测技术已经逐步社会重点关注的方向,尤其是模式识别的实际运用,更加是提高入侵检测系统性能的重要方法。
1 入侵检测系统的概述
入侵检测系统的理论定义主要是指在入侵检测过程中所需要具备的各种基本软件与硬件的配置组合,其通过对计算机网络信息系统的实际工作状态进行实时性的有效监测,发现各种类型的攻击意图、攻击行为或者攻击后果同时作出相应的响应,从而可以确保计算机系统资源的安全性、运行性与可靠性。其主要功能分别表现在:监控行为、分析系统用户与执行活动;检测计算机系统的技术配置与操作漏洞;评估系统取决于计算机资源与数据信息的完整性;模式识别已具备的攻击行为、统计分析异常行为;对于操作系统进行日志的操作管理;模式识别违反安全策略的系统用户活动;系统响应入侵行为的事件等。
2 智能入侵检测技术
现阶段大部分入侵检测系统可以符合大部分系统用户的实际需求,然而在重点技术领域(金融、商务以及军事等)的实际应用仍然存在各方面问题,通常表现在:误报率比较高、报警信息比较多;缺少检测未知入侵行为的有效技术;自适应与自学习能力比较低;互操作性比较差,无法形成协同防御的完善体系等。人工智能技术的实际应用,为能够解决上述各种问题积累坚实的基础。模式识别技术的基本原理是:把一个输入模式和储存在计算机系统中的多个参考模式相互对比,寻找出最接近的参考模式,把这种参考模式所代表的类名作为输入模式的类名输出。模式识别技术能够分成学习与识别这两个具体过程。学习是为了构造识别系统而进行的一种行为,参考模式是通过学习之后确定的。在应用识别系统的过程中,必须实时更新参考模式以增强系统的自适应性,这需要对识别结果集进行学习。本质上,模式识别是对未知样本进行类归属判定的过程;而入侵检测也是将一个新的实例与原有的规则集进行比较归类的过程。两者工作机理非常相似。模式识别的应用对于改善入侵检测系统的识别精度、识别能力以及智能特性有着重要的影响。
3 智能入侵检测系统
智能入侵检测系统主要采取模块化思想进行设计,其中包含数据采集模块,特征提取模块,规则处理模块,分析检测模块和异常响应模块等。
系统各个模块的功能如下:
数据采集模块:实时采集计算机网络系统的原始数据信息,同时根据各自不同的网络协议进行解码操作,然后对解码处理之后的数据信息进行分片重组、流重组以及代码转换等种技术处理,还原数据包的原始数据含义与数据包相关之间的实际关系。
特征提取模块:对于数据采集模块直接采集得到的数据信息进行特征化选取,然后对信息数据进行向量化处理,最后生成待检测的数据样本。
规则处理模块:进行规则集的向量化与聚类处理工作。首先根据条读入的处理规则,对于各条规则进行向量化处理,获得一个规则向量集,然后对规则向量集进行聚类分析处理,在向量集规模较小的情况不需要进行聚类入生成精简的参考规则集。
分析检测模块:这是计算机系统的核心控制模块。把待检测的数据样本和参考规则集进行比较分析处理,从而确定是否出现入侵状况。具体的处理过程为:
(1)采取近邻法分析待检测的数据样本和参考规则集。
(2)当欧氏距离d=0的时候,即待检测的数据样本和参考规则集中某部分规则进行匹配处理,从而得到分析结果。
(3)当d≠0的时候则采取k-近邻法进行二次检测处理,从而得到相应的分析结果。
(4)根据具体的分析结果从而判断分析待检测数据样是否出现异常行为。
(5)假如是异常行为,则会马上启动异常响应的处理措施,同时对原规则数据库进行更新操作;假如是正常行为,则直接退出。
异常响应模块:对于入侵行为作出响应(报警、日志记录等)。
4 结语
入侵检测理论是防火墙技术、数据加密技术以及访问控制等各种传统安全技术的重要基础,作为网络信息安全防护体系的关键构成环节。入侵检测系统能够对计算机网络入侵行为作出相应的识别与响应,其不但能够检测来自计算机网络的实际攻击行为,也能够监督系统内部用户未经授权的访问活动。模式识别是处于不断提升发展的新型学科技术,其理论基础与应用范围也处于不断发展的阶段。本文提出将模式识别方法具体运用在入侵检测的技术领域中,把入侵检测的相关问题转变成模式识别问题来进行处理,这实际上是一种富有价值的技术解决方案。基于模式识别的入侵检测系统自适应/学习能力强、成本低和健壮性好,能有效提高系统的安全性。但是,本系统仍存在缺陷:为保证参考规则集的有效性和实时性,需要提取海量的对象行为特征;在高带宽的网络环境下,为缩短检测响应时间,对检测算法的时空效率提出更高的要求。这两点对入侵检测系统的效能来说具有决定性意义,如何快速构建入侵参考模式知识库、进一步提高检测算法的智能性和效率,将是进一步研究的方向。
参考文献
[1]沟口理一郎,石田亨.人工智能[Ml.北京:科学出版社,2005.
[2]蔡自兴,徐光v.人工智能及其应用[M].北京:清华大学出版社,2004.
[3]简清明,曾黄麟,叶晓彤.粗糙集特征选择和支持向量机在入侵检测系统中的应用[J].四川理工学院学报:自然科学版,2009,22(5).
[4]赵丽萍.基于模式识别的入侵检测模型[J].电脑开发与应用,2008,21(6).
[5]胡煜.主分量分析法和K近邻法应用于基因芯片数据分析[J].北华大学学报:自然科学版,2008,9(1).
入侵检测论文范文5
目前通常说的入侵就是指对系统资源的非授权操作,可造成系统数据的丢失和破坏、甚至会造成系统拒绝对合法用户服务等问题。Smaha从分类的角度将入侵描述成尝试性闯入、伪装攻击、安全控制系统渗透、泄露、拒绝服务、恶意使用等六类。入侵者通常可分为外部入侵者,例如黑客等系统的非法用户,和内部入侵者,即越权使用系统资源的用户。
下面给出几种主要的异常检测方法:
一、基于概率统计的异常检测方法
概率统计方法是基于行为的入侵检测技术中应用最早也是最多的一种方法。其工作过程如下:检测器根据用户对象的动作为每个用户分别建立一个用户特征表,通过比较当前特征与已存储的典型特征来判断是否为异常行为。用户特征表根据审计记录情况不断更新。这种方法的优越性在于能应用成熟的概率统计理论。但也有一些不足之处,如统计检测对事件发生的次序不敏感,也就是说,完全依靠统计理论可能漏检那些利用彼此关联事件的入侵行为;其次,判断是否入侵的阈值很难确定,阈值太低则误检率提高,阈值太高则漏检率提高。
二、基于特征选择的异常检测方法
基于特征选择的异常检测方法是通过从一组度量指标中挑选能检测出入侵的度量指标构成子集预测或分类已检测到的行为模式。异常入侵检测的一个基本问题是异常活动和入侵活动有时很难区分。判断符合实际的度量指标比较复杂,因为不同的入侵其度量指标子集往往不同,很难找到一个度量集对所有的入侵类型都能合适。用预先确定的特定度量指标来检测入侵行为可能会错过个别入侵行为模式。
三、基于贝叶斯推理的异常检测方法
基于贝叶斯推理的异常检测方法是通过在任意给定的时刻,用度量指标A1,A2,A3,…,An来推断系统是否有入侵事件发生。其中每Ai变量表示系统的某个特征(如磁盘I/O的活动数量,或者系统中页面出错的数量)。
四、基于贝叶斯网络的异常检测
贝叶斯网络是实现贝叶斯定理揭示的学习功能,发现大量变量之间的关系,进行预测、分类等的有力工具。采用贝叶斯网络能以阁行方式表示变量之间上网因果关系,并通过一个仅与邻居节点相关的概率集计算出随即变量之间的联合概率分布。这个概率集包括所有根节点的先验概率和所有非根节点在其父节点的所有组合概率下的条件概率。
五、基于模式预测的异常检测方法
基于模式预测的异常检测方法的假设条件是事件序列不是随机的而是遵循可识别的模式,这种检测方法的特点是考虑了事件的序列及相互联系。一种实现方法采用了基于时间的推理,利用时间规律来识别用户行为正常模式的特征。通过归纳学习产生这些规则集,并能动态地修改系统中的这些规则,使之具有较高的预测性、准确性和可信度。如果规则大部分时间使正确的,并能够成功的预测所观察到的数据,那么规则就具有高可信度。
六、基于神经网络的入侵检测
与统计理论相比,神经网络更好地表达了变量间的非线性关系,并且能自动学习与更新。利用神经网络检测入侵的基本思想是用以系列用户的合法行为训练神经网络确定网络结构和神经元,由此在给定一组输入后,就可能预测输出。
上面讨论了入侵检测方法中的异常检测技术。基于异常的检测技术虽然无法准确判别出攻击的手法,但可以(至少在理论上可以)判别更广泛、甚至未察觉的攻击。在实际应用中可将误用检测方法和异常检测方法结合进行检测。
基于概率统计的异常检测方法示例:
本文中采用的检测技术期望得到3个特征值的概率分布。而这3个特征值是应用数据挖掘技术中的聚类分析得到的。聚类是把数据按照相似性归纳成若干类别,同一类中的数据彼此相似,不同类中的数据相异。聚类分析可以建立宏观的概念,发现数据的分布模式,以及可能的数据属性之间的相互关系。
一个时间序列的熵是一个用于揭示该信号变化程度的量。最大熵方法的基本思想是:在一个封闭的系统中,熵总是达到一个稳定值。最大熵分布就是指一个孤立的或稳定状态系统在长时间后达到的状态。一般情况下,如果造成一个变量的变化原因十分复杂,就有理由认为其符合一定限定条件下的最大熵分布。这种方法已经成功的应用于语言文字和信号处理等方面。
首先将系统特征表示为时间的变化函数,希望通过计算信号来分析这一系统特征的行为。若将这一信号的变化范围离散化为个预先定义的单元:
Q[i]
其中,Q[i+1]-Q[i],i=1,2,…v对应于不同的单元。则信号位于单元中的概为Pi(T)=■■[θ(f(t)-Q(i))-θ(f(t)-Q[i+1])]
其中,函数θ(t)定义为
θ(t-t)=1 t-t>00.5 t=t0 t-t
图2-3正常行为出现概率分布
以特征为例,在实验中将定为100,其位于各个区间的概率如图2-3中实际曲线所示。
首先这种分布必须满足限定条件■Pi=1下最大化熵。另外,还要添加额外的限定条件(通常由专家知识给出)■PiEi=ε,然后采用拉格朗日乘子法得到在这些限定条件下的最大熵分布。即L=■Pilnpi-A(■Pi-1)β(■PiEi-ε)
并最大化得
Pi=e-A-1e-βEi=■
上式即为限定条件下的最大熵分布。根据先验知识,对于S1这一特征,将其离散化为S1[i],长时间看其平均值应该是一定值。因此,可以得到如下限定条件:
■PiS[i]=109.3 (1)
其分布为
Pi=6.82×10-2×(93.18×10-2)
i=0,1,…,v
如图2-3中理论1曲线所示。由图2-3可见,理论与实际的分布是比较吻合的。另外注意到由25%的时段S1的值都为0,这也符合另一个先验知识:网络在某些时段是没有流量的。
因此,又添加了另一个限定条件:
P0=0.25 (2)
使用两个限定条件式(1)、(2),得到的最大熵分布为
P0=0.25
Pi=5.05×10-2×(93.62×10-2)i
如图2-3中理论2曲线所示。在样本数目(为4010)不是很多的条件下,这样的概率分布拟合是很好的。
在概率论中有一个基本的结论,即发生小概率事件是不正常的。这样,只需设定一个判断异常的界限即可。对于的理论分布,设定异常事件发生的条件(或规则)为:S1>1500,由图2-3中理论2分布曲线计算得到这一事件发生的概率为■Pi=3×10-3
该值对应理论上的误报率(也就是正常行为被错误分类为异常的概率)。
入侵检测论文范文6
【关键词】网络安全 入侵检测
一、现在网络安全隐患
随着计算机技术的发展在连结信息能力、流通能力提高的同时,基于网络连接的安全问题也日益突出,很多组织正在致力于提出更多的更强大的主动策略和方案来增强网络的安全性,然而另一个更为有效的解决途径就是入侵检测。在入侵检测之前,大量的安全机制都是根据从主观的角度设计的,他们没有根据网络攻击的具体行为来决定安全对策。因此,它们对入侵行为的反应非常迟钝,很难发现未知的攻击行为,不能根据网络行为的变化来及时地调整系统的安全策略。而入侵检测正是根据网络攻击行为而进行设计的,它不仅能够发现已知入侵行为,而且有能力发现未知的入侵行为,并可以通过学习和分析入侵手段,及时地调整系
统策略以加强系统的安全性。
二、入侵检测的定义
入侵检测是从系统(网络)的关键点采集信息并分析信息,察看系统(网络)中是否有违法安全策略的行为,保证系统(网络)的安全性,完整性和可用性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。
三、入侵检测的系统功能构成
一个入侵检测系统的功能结构如图一所示,它至少包含事件提取、入侵分析、入侵响应和远程管理四部分功能。
入侵分析的任务就是在提取到的运行数据中找出入侵的痕迹,将授权的正常访问行为和非授权的不正常访问行为区分开,分析出入侵行为并对入侵者进行定位。
入侵响应功能在分析出入侵行为后被触发,根据入侵行为产生响应。
由于单个入侵检测系统的检测能力和检测范围的限制,入侵检测系统一般采用分布监视集中管理的结构,多个检测单元运行于网络中的各个网段或系统上,通过远程管理功能在一台管理站点上实现统一的管理和监控。
四、入侵检测系统分类
入侵检测系统根据其检测数据来源分为两类:基于主机的入侵检测系统和基于网络的入侵检测系统。
1.基于网络的入侵检测系统
基于网络的入侵检测系统通过网络监视来实现数据提取。在internet中,局域网普遍采用ieee 802.3协议。该协议定义主机进行数据传输时采用子网广播的方式,任何一台主机发送的数据包,都会在所经过的子网中进行广播,也就是说,任何一台主机接收和发送的数据都可以被同一子网内的其他主机接收。在正常设置下,主机的网卡对每一个到达的数据包进行过滤,只将目的地址是本机的或广播地址的数据包放入接收缓冲区,而将其他数据包丢弃,因此,正常情况下网络上的主机表现为只关心与本机有关的数据包,但是将网卡的接收模式进行适当的设置后就可以改变网卡的过滤策略,使网卡能够接收经过本网段的所有数据包,无论这些数据包的目的地是否是该主机。网卡的这种接收模式被称为混杂模式,目前绝大部分网卡都提供这种设置,因此,在需要的时候,对网卡进行合理的设置就能获得经过本网段的所有通信信息,从而实现网络监视的功能。在其他网络环境下,虽然可能不采用广播的方式传送报文,但目前很多路由设备或交换机都提供数据报文监视功能。
2.基于网络的入侵检测系统
基于主机的入侵检测系统将检测模块驻留在被保护系统上,通过提取被保护系统的运行数据并进行入侵分析来实现入侵检测的功能。
基于主机的入侵检测系统可以有若干种实现方法:
检测系统设置以发现不正当的系统设置和系统设置的不正当更改对系统安全状态进行定期检查以发现不正常的安全状态。
基于主机日志的安全审计,通过分析主机日志来发现入侵行为。基于主机的入侵检测系统具有检测效率高,分析代价小,分析速度快的特点,能够迅速并准确地定位入侵者,并可以结合操作系统和应用程序的行为特征对入侵进行进一步分析。目前很多是基于主机日志分析的入侵检测系统。基于主机的入侵检测系统存在的问题是:首先它在一定程度上依赖于系统的可靠性,它要求系统本身应该具备基本的安全功能并具有合理的设置,然后才能提取入侵信息;即使进行了正确的设置,对操作系统熟悉的攻击者仍然有可能在入侵行为完成后及时地将系统日志抹去,从而不被发觉;并且主机的日志能够提供的信息有限,有的入侵手段和途径不会在日志中有所反映,日志系统对有的入侵行为不能做出正确的响应,例如利用网络协议栈的漏洞进行的攻击,通过ping命令发送大数据包,造成系统协议栈溢出而死机,或是利用arp欺骗来伪装成其他主机进行通信,这些手段都不会被高层的日志记录下来。在数据提取的实时性、充分性、可靠性方面基于主机日志的入侵检测系统不如基于网络的入侵检测系统。
五、入侵检测技术的发展方向
近年对入侵检测技术有几个主要发展方向:
(1)分布式入侵检测与通用入侵检测架构
传统的ids一般局限于单一的主机或网络架构,对异构系统及大规模的网络的监测明显不足。同时不同的ids系统之间不能协同工作能力,为解决这一问题,需要分布式入侵检测技术与通用入侵检测架构。
(2)应用层入侵检测
许多入侵的语义只有在应用层才能理解,而目前的ids仅能检测如web之类的通用协议,而不能处理如lotus notes、数据库系统等其他的应用系统。许多基于客户、服务器结构与中间件技术及对象技术的大型应用,需要应用层的入侵检测保护。
(3)智能的入侵检测
入侵方法越来越多样化与综合化,尽管已经有智能体、神经网络与遗传算法在入侵检测领域应用研究,但是这只是一些尝试性的研究工作,需要对智能化的ids加以进一步的研究以解决其自学习与自适应能力。
入侵检测产品仍具有较大的发展空间,从技术途径来讲,我们认为,除了完善常规的、传统的技术(模式识别和完整性检测)外,应重点加强统计分析的相关技术研究。
参考文献:
