时间:2022-07-10 08:23:34
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇入侵检测论文,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
在网络技术日新月异的今天,论文基于网络的计算机应用已经成为发展的主流。政府、教育、商业、金融等机构纷纷联入Internet,全社会信息共享已逐步成为现实。然而,近年来,网上黑客的攻击活动正以每年10倍的速度增长。因此,保证计算机系统、网络系统以及整个信息基础设施的安全已经成为刻不容缓的重要课题。
1防火墙
目前防范网络攻击最常用的方法是构建防火墙。
防火墙作为一种边界安全的手段,在网络安全保护中起着重要作用。其主要功能是控制对网络的非法访问,通过监视、限制、更改通过网络的数据流,一方面尽可能屏蔽内部网的拓扑结构,另一方面对内屏蔽外部危险站点,以防范外对内的非法访问。然而,防火墙存在明显的局限性。
(1)入侵者可以找到防火墙背后可能敞开的后门。如同深宅大院的高大院墙不能挡住老鼠的偷袭一样,防火墙有时无法阻止入侵者的攻击。
(2)防火墙不能阻止来自内部的袭击。调查发现,50%的攻击都将来自于网络内部。
(3)由于性能的限制,防火墙通常不能提供实时的入侵检测能力。毕业论文而这一点,对于层出不穷的网络攻击技术来说是至关重要的。
因此,在Internet入口处部署防火墙系统是不能确保安全的。单纯的防火墙策略已经无法满足对安全高度敏感部门的需要,网络的防卫必须采用一种纵深的、多样化的手段。
由于传统防火墙存在缺陷,引发了入侵检测IDS(IntrusionDetectionSystem)的研究和开发。入侵检测是防火墙之后的第二道安全闸门,是对防火墙的合理补充,在不影响网络性能的情况下,通过对网络的监测,帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高信息安全基础结构的完整性,提供对内部攻击、外部攻击和误操作的实时保护。现在,入侵检测已经成为网络安全中一个重要的研究方向,在各种不同的网络环境中发挥重要作用。
2入侵检测
2.1入侵检测
入侵检测是通过从计算机网络系统中的若干关键点收集信息并对其进行分析,从中发现违反安全策略的行为和遭到攻击的迹象,并做出自动的响应。其主要功能是对用户和系统行为的监测与分析、系统配置和漏洞的审计检查、重要系统和数据文件的完整性评估、已知的攻击行为模式的识别、异常行为模式的统计分析、操作系统的审计跟踪管理及违反安全策略的用户行为的识别。入侵检测通过迅速地检测入侵,在可能造成系统损坏或数据丢失之前,识别并驱除入侵者,使系统迅速恢复正常工作,并且阻止入侵者进一步的行动。同时,收集有关入侵的技术资料,用于改进和增强系统抵抗入侵的能力。
入侵检测可分为基于主机型、基于网络型、基于型三类。从20世纪90年代至今,英语论文已经开发出一些入侵检测的产品,其中比较有代表性的产品有ISS(IntemetSecuritySystem)公司的Realsecure,NAI(NetworkAssociates,Inc)公司的Cybercop和Cisco公司的NetRanger。
2.2检测技术
入侵检测为网络安全提供实时检测及攻击行为检测,并采取相应的防护手段。例如,实时检测通过记录证据来进行跟踪、恢复、断开网络连接等控制;攻击行为检测注重于发现信息系统中可能已经通过身份检查的形迹可疑者,进一步加强信息系统的安全力度。入侵检测的步骤如下:
收集系统、网络、数据及用户活动的状态和行为的信息
入侵检测一般采用分布式结构,在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息,一方面扩大检测范围,另一方面通过多个采集点的信息的比较来判断是否存在可疑现象或发生入侵行为。
入侵检测所利用的信息一般来自以下4个方面:系统和网络日志文件、目录和文件中的不期望的改变、程序执行中的不期望行为、物理形式的入侵信息。
(2)根据收集到的信息进行分析
常用的分析方法有模式匹配、统计分析、完整性分析。模式匹配是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。
统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性。测量属性的平均值将被用来与网络、系统的行为进行比较。当观察值超出正常值范围时,就有可能发生入侵行为。该方法的难点是阈值的选择,阈值太小可能产生错误的入侵报告,阈值太大可能漏报一些入侵事件。
完整性分析主要关注某个文件或对象是否被更改,包括文件和目录的内容及属性。该方法能有效地防范特洛伊木马的攻击。
3分类及存在的问题
入侵检测通过对入侵和攻击行为的检测,查出系统的入侵者或合法用户对系统资源的滥用和误用。工作总结根据不同的检测方法,将入侵检测分为异常入侵检测(AnomalyDetection)和误用人侵检测(MisuseDetection)。
3.1异常检测
又称为基于行为的检测。其基本前提是:假定所有的入侵行为都是异常的。首先建立系统或用户的“正常”行为特征轮廓,通过比较当前的系统或用户的行为是否偏离正常的行为特征轮廓来判断是否发生了入侵。此方法不依赖于是否表现出具体行为来进行检测,是一种间接的方法。
常用的具体方法有:统计异常检测方法、基于特征选择异常检测方法、基于贝叶斯推理异常检测方法、基于贝叶斯网络异常检测方法、基于模式预测异常检测方法、基于神经网络异常检测方法、基于机器学习异常检测方法、基于数据采掘异常检测方法等。
采用异常检测的关键问题有如下两个方面:
(1)特征量的选择
在建立系统或用户的行为特征轮廓的正常模型时,选取的特征量既要能准确地体现系统或用户的行为特征,又能使模型最优化,即以最少的特征量就能涵盖系统或用户的行为特征。(2)参考阈值的选定
由于异常检测是以正常的特征轮廓作为比较的参考基准,因此,参考阈值的选定是非常关键的。
阈值设定得过大,那漏警率会很高;阈值设定的过小,则虚警率就会提高。合适的参考阈值的选定是决定这一检测方法准确率的至关重要的因素。
由此可见,异常检测技术难点是“正常”行为特征轮廓的确定、特征量的选取、特征轮廓的更新。由于这几个因素的制约,异常检测的虚警率很高,但对于未知的入侵行为的检测非常有效。此外,由于需要实时地建立和更新系统或用户的特征轮廓,这样所需的计算量很大,对系统的处理性能要求很高。
3.2误用检测
又称为基于知识的检测。其基本前提是:假定所有可能的入侵行为都能被识别和表示。首先,留学生论文对已知的攻击方法进行攻击签名(攻击签名是指用一种特定的方式来表示已知的攻击模式)表示,然后根据已经定义好的攻击签名,通过判断这些攻击签名是否出现来判断入侵行为的发生与否。这种方法是依据是否出现攻击签名来判断入侵行为,是一种直接的方法。
常用的具体方法有:基于条件概率误用入侵检测方法、基于专家系统误用入侵检测方法、基于状态迁移分析误用入侵检测方法、基于键盘监控误用入侵检测方法、基于模型误用入侵检测方法。误用检测的关键问题是攻击签名的正确表示。
误用检测是根据攻击签名来判断入侵的,根据对已知的攻击方法的了解,用特定的模式语言来表示这种攻击,使得攻击签名能够准确地表示入侵行为及其所有可能的变种,同时又不会把非入侵行为包含进来。由于多数入侵行为是利用系统的漏洞和应用程序的缺陷,因此,通过分析攻击过程的特征、条件、排列以及事件间的关系,就可具体描述入侵行为的迹象。这些迹象不仅对分析已经发生的入侵行为有帮助,而且对即将发生的入侵也有预警作用。
误用检测将收集到的信息与已知的攻击签名模式库进行比较,从中发现违背安全策略的行为。由于只需要收集相关的数据,这样系统的负担明显减少。该方法类似于病毒检测系统,其检测的准确率和效率都比较高。但是它也存在一些缺点。
3.2.1不能检测未知的入侵行为
由于其检测机理是对已知的入侵方法进行模式提取,对于未知的入侵方法就不能进行有效的检测。也就是说漏警率比较高。
3.2.2与系统的相关性很强
对于不同实现机制的操作系统,由于攻击的方法不尽相同,很难定义出统一的模式库。另外,误用检测技术也难以检测出内部人员的入侵行为。
目前,由于误用检测技术比较成熟,多数的商业产品都主要是基于误用检测模型的。不过,为了增强检测功能,不少产品也加入了异常检测的方法。
4入侵检测的发展方向
随着信息系统对一个国家的社会生产与国民经济的影响越来越大,再加上网络攻击者的攻击工具与手法日趋复杂化,信息战已逐步被各个国家重视。近年来,入侵检测有如下几个主要发展方向:
4.1分布式入侵检测与通用入侵检测架构
传统的IDS一般局限于单一的主机或网络架构,对异构系统及大规模的网络的监测明显不足,再加上不同的IDS系统之间不能很好地协同工作。为解决这一问题,需要采用分布式入侵检测技术与通用入侵检测架构。
4.2应用层入侵检测
许多入侵的语义只有在应用层才能理解,然而目前的IDS仅能检测到诸如Web之类的通用协议,而不能处理LotusNotes、数据库系统等其他的应用系统。许多基于客户/服务器结构、中间件技术及对象技术的大型应用,也需要应用层的入侵检测保护。
4.3智能的入侵检测
入侵方法越来越多样化与综合化,尽管已经有智能体、神经网络与遗传算法在入侵检测领域应用研究,但是,这只是一些尝试性的研究工作,需要对智能化的IDS加以进一步的研究,以解决其自学习与自适应能力。
4.4入侵检测的评测方法
用户需对众多的IDS系统进行评价,评价指标包括IDS检测范围、系统资源占用、IDS自身的可靠性,从而设计出通用的入侵检测测试与评估方法与平台,实现对多种IDS的检测。
4.5全面的安全防御方案
结合安全工程风险管理的思想与方法来处理网络安全问题,将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、入侵检测多方位全面对所关注的网络作全面的评估,然后提出可行的全面解决方案。
综上所述,入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,使网络系统在受到危害之前即拦截和响应入侵行为,为网络安全增加一道屏障。随着入侵检测的研究与开发,并在实际应用中与其它网络管理软件相结合,使网络安全可以从立体纵深、多层次防御的角度出发,形成人侵检测、网络管理、网络监控三位一体化,从而更加有效地保护网络的安全。
参考文献
l吴新民.两种典型的入侵检测方法研究.计算机工程与应用,2002;38(10):181—183
2罗妍,李仲麟,陈宪.入侵检测系统模型的比较.计算机应用,2001;21(6):29~31
3李涣洲.网络安全与入侵检测技术.四川师范大学学报.2001;24(3):426—428
4张慧敏,何军,黄厚宽.入侵检测系统.计算机应用研究,2001;18(9):38—4l
关键词:网络安全,入侵检测
随着计算机技术以及网络信息技术的高速发展, 许多部门都利用互联网建立了自己的信息系统, 以充分利用各类信息资源。但在连接信息能力、流通能力提高的同时,基于网络连接的安全问题也日益突出。在现今的网络安全技术中,常用的口令证、防火墙、安全审计及及加密技术等等,都属于静态防御技术,而系统面临的安全威胁越来越多,新的攻击手段也层出不穷,仅仅依靠初步的防御技术是远远不够的,需要采取有效的手段对整个系统进行主动监控。入侵检测系统是近年来网络安全领域的热门技术,是保障计算机及网络安全的有力措施之一。
1 入侵检测和入侵检测系统基本概念
入侵检测(Intrusion Detection)是动态的跟踪和检测方法的简称, 是对入侵行为的发觉,它通过旁路侦听的方式,对计算机网络和计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
入侵检测的软件和硬件组成了入侵检测系统(IDS:Intrusion Detection System),IDS是继防火墙之后的第二道安全闸门,它在不影响网络性能的情况下依照一定的安全策略,对网络的运行状况进行监测。它能够帮助网络系统快速发现网络攻击的发生,对得到的数据进行分析,一旦发现入侵,及进做出响应,包括切断网络连接、记录或者报警等。由于入侵检测能在不影响网络性能的情况下对网络进行监测,为系统提供对内部攻击、外部攻击和误操作的有效保护。因此,为网络安全提供高效的入侵检测及相应的防护手段,它以探测与控制为技术本质,能弥补防火墙的不足,起着主动防御的作用,是网络安全中极其重要的部分。免费论文。
2 入侵检测系统的分类
入侵检测系统根据其检测数据来源分为两类:基于主机的入侵检测系统和基于网络的入侵检测系统。
基于主机的入侵检测系统的检测目标是主机系统和系统本地用户。其原理是根据主机的审计数据和系统日志发现可疑事件。该系统通常运行在被监测的主机或服务器上,实时检测主机安全性方面如操作系统日志、审核日志文件、应用程序日志文件等情况,其效果依赖于数据的准确性以及安全事件的定义。基于主机的入侵检测系统具有检测效率高,分析代价小,分析速度快的特点,能够迅速并准确地定位入侵者,并可以结合操作系统和应用程序的行为特征对入侵进行进一步分析、响应。基于主机的入侵检测系统只能检测单个主机系统。
基于网络的入侵检测系统搜集来自网络层的信息。这些信息通常通过嗅包技术,使用在混杂模式的网络接口获得。基于网络的入侵检测系统可以监视和检测网络层的攻击。它具有较强的数据提取能力。在数据提取的实时性、充分性、可靠性方面优于基于主机日志的入侵检测系统。基于网络的入侵检测系统可以对本网段的多个主机系统进行检测,多个分布于不同网段上的基于网络的入侵检测系统可以协同工作以提供更强的入侵检测能力。
3 入侵检测方法
入侵检测方法主要分为异常入侵检测和误用入侵检测。
异常入侵检测的主要前提条件是将入侵性活动作为异常活动的子集,理想状况是异常活动集与入侵性活动集等同,这样,若能检测所有的异常活动,则可检测所有的入侵活动。但是,入侵性活动并不总是与异常活动相符合。这种活动存在4种可能性:(1)入侵性而非异常;(2)非入侵性且异常;(3)非入侵性且非异常;(4)入侵且异常。异常入侵要解决的问题是构造异常活动集,并从中发现入侵性活动子集。异常入侵检测方法依赖于异常模型的建立。不同模型构成不同的检测方法,异常检测是通过观测到的一组测量值偏离度来预测用户行为的变化,然后作出决策判断的检测技术。
误用入侵检测是通过将预先设定的入侵模式与监控到的入侵发生情况进行模式匹配来检测。它假设能够精确地将入侵攻击按某种方式编码,并可以通过捕获入侵攻击将其重新分析整理,确认该入侵行为是否为基于对同一弱点进行入侵攻击方法的变种,入侵模式说明导致安全事件或误用事件的特征、条件、排列和关系。免费论文。根据匹配模式的构造和表达方式的不同,形成了不同的误用检测模型。误用检测模型能针对性地建立高效的入侵检测系统,检测精度高,误报率低,但它对未知的入侵活动或已知入侵活动的变异检测的性能较低。
4 入侵检测系统的评估
对于入侵检测系统的评估,主要的性能指标有:(1)可靠性,系统具有容错能力和可连续运行;(2)可用性,系统开销要最小,不会严重降低网络系统性能;(3)可测试,通过攻击可以检测系统运行;(4)适应性,对系统来说必须是易于开发的,可添加新的功能,能随时适应系统环境的改变;(5)实时性,系统能尽快地察觉入侵企图以便制止和限制破坏;(6)准确性,检测系统具有较低的误警率和漏警率;(7)安全性,检测系统必须难于被欺骗和能够保护自身安全。免费论文。
5 入侵检测的发展趋势
入侵检测作为一种积极主动的安全防护技术,提供了对攻击和误操作的实时保护,在网络系统受到危险之前拦截和响应入侵,但它存在的问题有:误报率和漏报率高、检测速度慢,对IDS自身的攻击,缺乏准确定位与处理机制、缺乏性能评价体系等。在目前的入侵检测技术研究中,其主要的发展方向可概括为:
(1)大规模分布式入侵检测
(2)宽带高速网络的实时入侵检测技术
(3)入侵检测的数据融合技术
(4)与网络安全技术相结合
6 结束语
随着计算机技术以及网络信息技术的高速发展,入侵检测技术已成为计算机安全策略中的核心技术之一。它作为一种积极主动的防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,为网络安全提供高效的入侵检测及相应的防护手段。入侵检测作为一个新的安全机制开始集成到网络系统安全框架中。
[参考文献]
[1]张杰,戴英侠.入侵检测系统技术现状及其发展趋势[J].计算机与通信,2002,96]:28-32.
[2]陈明.网络安全教程[M].北京:清华大学出版社,2004,1.
[3]罗守山.入侵检测[M].北京:北京邮电大学出版社,2004.
[4]戴云,范平志,入侵检测系统研究综述[J].计算机工程与应用,2002,4.
【关键词】数据库入侵;检测技术
1数据库入侵检测技术
计算机数据库能够安全有效的使用。入侵技术的检测具有如下功能:(1)能有效的对用户的行为进行监控与分析;(2)对计算机系统运行的变化弱点进行审计分析;(3)在检测到入侵并识别之后进行预警;(4)对计算机系统的异常信息进行分析,并对关键的信息进行评估分析;(5)对检测到操作系统的异常情况进行跟踪处理。一般的计算机入侵系统主要包括如图1所示。
1.1数据库入侵检测技术
计算机入侵检测技术是在互联网技术快速发展的时代背景下,为了保证计算机数据库的安全而产生的。可以在计算机运行的过程中,对一些有可能危害计算机运行安全的网站或者病毒进行阻拦,防止出现病毒入侵计算机数据库的情况,保证计算机数据库的安全。利用入侵检测技术,但计算机出现病毒即将入侵的情况时,检测系统就会自动响起报警系统,这些计算机管理人员就会通过报警声得知计算机出现安全问题,可以立即采取促使,阻止并且的入侵行为,保护计算机数据库的安全。入侵检测技术还可以对计算机内部自带的一些系统出现的入侵行为进行防范,入侵检测技术对一些可以收集一些没有授权的信息,可以提前这些信息进行入侵的防范工作,当在计算机运行时出现入侵行为以后能够及时的做出反应。将入侵检测系统应用在计算机数据库的安全管理之中,可以起到对计算机安全的监控作用,通过对计算机运行的实时监控和监测,保证能够第一时间发展其中的问题。利用计算机监测系统,还可以减轻计算机检测人员的工作量,能够使他们有更多的时间去制定解决入侵病毒,提高计算机数据安全管理的效率。
1.2入侵检测常用的两种方法
1.2.1误用检测方法误用检测是入侵检测技术中最常用的的一种检测方法,利用误用检测的方法,可以总结过去入侵的经验教训,分析过去对计算机数据库出现入侵的具体情况的解决措施,总结出入侵的主要规律。通过对这些入侵规律的不断了解,并且对计算机的运行情况进行监测,就可以发展计算机是否存在病毒入侵的情况。如果发现计算机数据库存在着病毒入侵的情况,通过误用检测的方法,可以快速的分析出入侵的原因和情况,以至于能够快速准的制定解决方案。但是误用检测对系统内部的入侵情况不能及时的做出反应,因为误用方法不可能独立的应用,职能依靠于一种具体的系统来进行,这就会影响系统的移植性,造成不能对一些从未出现过的病毒进行检测,降低了检测的准确性。1.2.2异常检测方法异常检测方法是在计算机运行的基础上,通过对计算机运行是否存在入侵情况的假设来进行的。在利用异常检测的方法进行系统的监测时,通过将一些正常使用的模式和非正常使用的模式进行对比分析,从对比出的不同结果来发现系统中存在的入侵行为。这种异常检测的方法和误用检测方法不同,不用依赖系统进行操作,降低了对系统入侵行为的局限性,可以检测出新型入侵行为。但是异常检测方法也存在着一些问题,例如异常检测方法虽然能够检测出入侵行为,但是不能对入侵行为进行具体的描述,就会导致系统在检测的过程中容易发生失误问题。
2数据挖掘技术在数据库入侵检测中的应用
为了防止数据库数据的额损失,防止出现数据库入侵问题,计算机数据管理专家不断的根据先进的互联网数据库的特点进行研究和分析。将入侵检测技术应用到计算机数据库的数据安全管理中,可以有效的对计算机运行时出现的一些病毒或者是一些非正常的访问进行阻挡,防止出现恶意软件入侵数据库的情况,保护了数据库数据的安全。2.1数据挖掘技术概述在对数据库的入侵情况进行检测时,可以利用数据挖掘技术。可以对数据库之中的一些不完整的数据和正常完整的数据进行区分,并且可以将不完整的数据信息进行彻底的清除。
2.2数据库入侵检测中常用的数据挖掘方法
2.2.1关联规则的挖掘使用关联规则的挖掘首先要在数据库中找出记录集合,通过对记录集合分析和检测,发现其中数据之间存在的相似之处,借助频繁项集生成的规则,对数据进行挖掘。2.2.2序列模式的挖掘使用序列模式的挖掘也是为了发展数据库之中的数据存在的相似点。利用序列模式的挖掘的优势,主要就是体现在可以对数据库记录之间时间窗口的挖掘,可以在对数据库中的数据进行审计时找出其中存在的规律。
3结语
近几年,随着社会经济的快速发展,已经进去到了互联网时代。网络技术被广泛到生产生活中。为企业的发展了巨大的作用,但是在网络技术快速发展的背景下,也为企业的发展带来了巨大的安全隐患。网络操作存在着病毒入侵的风险,随时可能对数据库中的企业的信息安全造成威胁,病毒入侵可能导致企业的商业机密泄露,影响企业在市场中的竞争力。为了提高对计算机数据库的安全管理,本论文对数据库入侵检测技术进行了分析,希望能够对入侵检测技术的推广起到借鉴作用,保障网络信息的基本安全。
参考文献
[1]张岚.计算机数据库入侵检测技术分析[J].信息与电脑(理论版),2014(06):120.
论文摘要:随着网络技术的飞速发展和广泛应用,信息安全问题正日益突出显现出来,受到越来越多的关注。文章介绍了网络信息安全的现状.探讨了网络信息安全的内涵,分析了网络信息安全的主要威胁,最后给出了网络信息安全的实现技术和防范措施.以保障计算机网络的信息安全,从而充分发挥计算机网络的作用。
论文关键词:计算机,网络安全,安全管理,密钥安全技术
当今社会.网络已经成为信息交流便利和开放的代名词.然而伴随计算机与通信技术的迅猛发展.网络攻击与防御技术也在循环递升,原本网络固有的优越性、开放性和互联性变成了信息安全隐患的便利桥梁.网络安全已变成越来越棘手的问题在此.笔者仅谈一些关于网络安全及网络攻击的相关知识和一些常用的安全防范技术。
1网络信息安全的内涵
网络安全从其本质上讲就是网络上的信息安全.指网络系统硬件、软件及其系统中数据的安全。网络信息的传输、存储、处理和使用都要求处于安全状态可见.网络安全至少应包括静态安全和动态安全两种静态安全是指信息在没有传输和处理的状态下信息内容的秘密性、完整性和真实性:动态安全是指信息在传输过程中不被篡改、窃取、遗失和破坏。
2网络信息安全的现状
中国互联网络信息中心(CNNIC)的《第23次中国互联网络发展状况统计报告》。报告显示,截至2008年底,中国网民数达到2.98亿.手机网民数超1亿达1.137亿。
Research艾瑞市场咨询根据公安部公共信息网络安全监察局统计数据显示.2006年中国(大陆)病毒造成的主要危害情况:“浏览器配置被修改”是用户提及率最高的选项.达20.9%.其次病毒造成的影响还表现为“数据受损或丢失”18%.“系统使用受限”16.1%.“密码被盗”13.1%.另外“受到病毒非法远程控制”提及率为6.1%“无影响”的只有4.2%。
3安全防范重在管理
在网络安全中.无论从采用的管理模型,还是技术控制,最重要的还是贯彻始终的安全管理管理是多方面的.有信息的管理、人员的管理、制度的管理、机构的管理等.它的作用也是最关键的.是网络安全防范中的灵魂。
在机构或部门中.各层次人员的责任感.对信息安全的认识、理解和重视程度,都与网络安全息息相关所以信息安全管理至少需要组织中的所有雇员的参与.此外还需要供应商、顾客或股东的参与和信息安全的专家建议在信息系统设计阶段就将安全要求和控制一体化考虑进去.则成本会更低、效率会更高那么做好网络信息安全管理.至少应从下面几个方面人手.再结合本部门的情况制定管理策略和措施:
①树立正确的安全意识.要求每个员工都要清楚自己的职责分工如设立专职的系统管理员.进行定时强化培训.对网络运行情况进行定时检测等。
2)有了明确的职责分工.还要保障制度的贯彻落实.要加强监督检查建立严格的考核制度和奖惩机制是必要的。
③对网络的管理要遵循国家的规章制度.维持网络有条不紊地运行。
④应明确网络信息的分类.按等级采取不同级别的安全保护。
4网络信息系统的安全防御
4.1防火墙技术
根据CNCERT/CC调查显示.在各类网络安全技术使用中.防火墙的使用率最高达到76.5%。防火墙的使用比例较高主要是因为它价格比较便宜.易安装.并可在线升级等特点防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入。它通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况.以此来实现网络的安全保护。
4.2认证技术
认证是防止主动攻击的重要技术.它对开放环境中的各种消息系统的安全有重要作用.认证的主要目的有两个:
①验证信息的发送者是真正的主人
2)验证信息的完整性,保证信息在传送过程中未被窜改、重放或延迟等。
4.3信息加密技术
加密是实现信息存储和传输保密性的一种重要手段信息加密的方法有对称密钥加密和非对称密钥加密.两种方法各有所长.可以结合使用.互补长短。
4.4数字水印技术
信息隐藏主要研究如何将某一机密信息秘密隐藏于另一公开的信息中.然后通过公开信息的传输来传递机密信息对信息隐藏而吉.可能的监测者或非法拦截者则难以从公开信息中判断机密信息是否存在.难以截获机密信息.从而能保证机密信息的安全随着网络技术和信息技术的广泛应用.信息隐藏技术的发展有了更加广阔的应用前景。数字水印是信息隐藏技术的一个重要研究方向.它是通过一定的算法将一些标志性信息直接嵌到多媒体内容中.但不影响原内容的价值和使用.并且不能被人的感觉系统觉察或注意到。
4.5入侵检测技术的应用
人侵检测系统(IntrusionDetectionSystem简称IDS)是从多种计算机系统及网络系统中收集信息.再通过这此信息分析入侵特征的网络安全系统IDS被认为是防火墙之后的第二道安全闸门.它能使在入侵攻击对系统发生危害前.检测到入侵攻击.并利用报警与防护系统驱逐入侵攻击:在入侵攻击过程中.能减少入侵攻击所造成的损失:在被入侵攻击后.收集入侵攻击的相关信息.作为防范系统的知识.添加入策略集中.增强系统的防范能力.避免系统再次受到同类型的入侵入侵检测的作用包括威慑、检测、响应、损失情况评估、攻击预测和支持。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术.是一种用于检测计算机网络中违反安全策略行为的技术。
关键词:计算机 网络信息 安全保密技术
随着计算机网络的产生和快速发展,不断改变着人类的生活方式。可以通过计算机网络技术发送电子邮件,进行网络办公,网络学习,处理银行事务,国家机关处理要务等等。但是计算机网络也是一把双刃剑,许多不法分子或者病毒等等“不速之客”严重威胁着人们的计算机网络信息的安全,甚至会威胁到国家机关和部队中的信息安全,加强计算机网络信息安全保密工作至关重要。计算机安全保密技术的提出成为近些年来非常热门的话题,越来越受到人们的关注。以下将对计算机网络信息安全保密技术具体分析。
1. 计算机网络信息安全保密技术的概述
关于计算机网络信息的安全保密工作主要是通过对计算机系统的安全和数据保护以及对信息保密来实现的。计算机的系统安全主要是指通过一定的安全技术,来进行保护计算机的硬件、应用的软件和操作系统、数据等等,防止被破坏、入侵的过程。主要是保护计算机网络防止受到入侵和剖坏,以保护系统的可靠运行和网络的不中断。信息保密是指对计算机信息系统中的信息资源进行控制的过程。现在网络病毒或者不法分子的入侵越来越多,所以加强计算机安全保密技术非常关键。
2. 计算机网络信息安全的现状
计算机网络具有开放性和资源的共享性等等特点,正是由于这些特点,计算机安全和保密技术越来越突出。当前计算机网络信息所面临的安全非常多,尤其是对电脑来说,安全问题至关重要。这些病毒主要有:计算机病毒的入侵和危害、计算机电磁信号的泄露、网络通信协议的安全泄露、在计算机系统中安装窃密的装置等等威胁,将会带来意想不到的后果,对于计算机网络信息安全和保密工作刻不容缓。
3. 计算机网络信息安全保密的常用技术
3.1 网络安全技术
对于计算机网络的安全和保密工作主要涉及的问题是网络协议的完备性。主要措施是加强网络脆弱性的检测和防火墙、入侵检测的技术。网络脆弱性检测技术,主要是通过计算机“黑客”攻击而演变出来的探测软件的集合,主要包括的对象有网络操作系统、协议、防火墙、口令等等安全保密措施进行保密工作;对这些软件的探测和攻击,可以对安全网路的防护做出具体的评估,以不断改进安全保密措施。防火墙的安全技术,主要是对网络上流通的信息的识别和过滤,已达到阻止一些信息的作用,这是内部网络和外部网络进行安全隔离的系统。入侵检测技术,主要是通过发现网络系统的异常访问,并判断出一些入侵行为的发生,已达到阻止和反攻击的目的。
3.2 病毒防治技术
计算机的病毒对于计算机网络信息安全具有非常大的威胁。典型特征是,进行潜伏、复制和破坏。防治计算机病毒的方法;发现了病毒进行解剖,最后在灭杀。对计算机病毒的主要防治工作可以在服务器上装载防病毒的装置;也可以不定期的使用防毒软件对计算机进行检测;还可以在网络接口上安装防病毒的芯片等,这些方法也可以结合使用也达到病毒防治的作用。
3.3 加强数据库的安全技术
加强数据库的安全技术,首先制定出正确的安全策略;在利用一定的技术手段对数据库进行保护(比如密钥口令的分段管理,数据加密保护,身份认证,信息加密,防病毒传染等等保护措施);然后对数据库管理系统进行安全保密;在制定数据库的荣灭备份;最后在数据库的周围警戒和出入控制等措施。
3.4 鉴别技术
鉴别技术的主要工作发现非法用户对网络信息的修改和窃取等。鉴别技术也被称为认证技术。鉴别技术主要有;对身份的鉴别,目的是为了验证合法用户,使系统决定是否能够上网;在一个是对信息过程的鉴别;还有一个是对防抵赖的鉴别,主要是对重要的文书或者契约发生了否认和抵赖进行防止工作。
3.5 对访问的控制
这一个工作是计算机信息系统安全中的一个关键性的技术。主要是由访问控制原则和访问的机制构成的。访问控制原则可以确定授予每一个用户的限制条件;访问机制是实现访问策略的预定的访问控制功能。
4. 加强网络信息安全的辅助措施
主要关于加强电脑的保密工作具体有(1)设置8位以上的开机密码,以防止他们破解、更改,密码要定期更换。(2)电脑必须配备安全的杀毒软件。(3)不得让无关的工作人员使用电脑。(4)电脑在使用打印机、传真机等设备时,不得与其它非电脑网络进行连接,严禁在电脑上使用无线设备。(5)对于电脑的维修要严格按照程序进行。(6)责任人要定期对电脑进行核对、清查工作,发现丢失后及时向有关部门报告。
结语
随着计算机技术的不断发展,对于网络信息安全保密工作越来越重要,所以要不断加强计算机网络信息的安全保密技术,才能确保计算机信息系统的安全可靠。
参考文献
[1] 周碧英 浅析计算机网络安全技术[期刊论文]-甘肃科技 2008(3)
[2] 王治 计算机网络安全探讨[期刊论文]-科技创新导报 2008(21)
1研究背景
计算机网络是信息社会的基础,已经进入了社会的各个角落,经济、文化、军事和社会生活越来越多的依赖计算机网络。然而,计算机在给人们带来巨大便利的同时,也带来了不可忽视的问题,计算机病毒给网络系统的安全运行带来了极大的挑战。2003年1月25日,突如其来的“蠕虫王”病毒,在互联网世界制造了类似于“9.11”的恐怖袭击事件,很多国本论文由整理提供家的互联网也受到了严重影响。同样,前两年的“熊猫烧香”病毒再次为计算机网络安全敲起了警钟。那么,面对网络世界的威胁,人类总在试图寻找各种方面来进行克服和攻关。入侵检测技术作为解决计算机病毒危害的方法之一,对其进行研究就成为可能。
2计算机病毒的发展趋势
计算机病毒的花样不断翻新,编程手段越来越高,防不胜防。特别是Internet的广泛应用,促进了病毒的空前活跃,网络蠕虫病毒传播更快更广,Windows病毒更加复杂,带有黑客性质的病毒和特洛依木马等有害代码大量涌现。据《中华人民共和国工业和信息化部信息安全协调司》计算机病毒检测周报(2009.3.29—2009.4.4)公布的消息称:“木马”及变种、“木马下载者”及变种、“灰鸽子”及变种、“U盘杀手”及变种、网游大盗“及变种等病毒及变种对计算机安全网络的安全运行构成了威胁。对计算机病毒及变种的了解可以使我们站在一定的高度上对变种病毒有一个较清楚的认识,以便今后针对其采取强而有效的措施进行诊治。变种病毒可以说是病毒发展的趋向,也就是说:病毒主要朝着能对抗反病毒手段和有目的的方向发展。
3计算机病毒检测的基本技术
3.1计算机病毒入侵检测技术。计算机病毒检测技术作为计算机病毒检测的方法技术之一,它是一种利用入侵者留下的痕迹等信息来有效地发现来自外部或者内部的非法入侵技术。它以探测与控制为技术本质,起着主动防御的作用,是计算机网络安全中较重要的内容。
3.2智能引擎技术。智能引擎技术发展了特征代码扫描法的优点,同时也对其弊端进行了改进,对病毒的变形变种有着非常准确本论文由整理提供的智能识别功能,而且病毒扫描速度并不会随着病毒库的增大而减慢。
3.3嵌入式杀毒技术。嵌入式杀毒技术是对病毒经常攻击的应用程序或者对象提供重点保护的技术,它利用操作系统或者应用程序提供的内部接口来实现。它能对使用频率高、使用范围广的主要的应用软件提供被动式的保护。
3.4未知病毒查杀技术。未知病毒查杀技术是继虚拟执行技术后的又一大技术突破,它结合了虚拟技术和人工智能技术,实现了对未知病毒的准确查杀。
4计算机病毒检测技术的发展现状
目前,国外一些研究机构已经研发出了应用于不同操作系统的几种典型的计算机病毒检测技术。这些计算机病毒检测技术基本上是基于服务器、网络以及变种病毒的。基于服务器的入侵检测技术采用服务器操作系统的检测序列作为主要输入源来检测侵入行为,而大多数基于计算机变种病毒的检测技术则以预防和消除计算机病毒作为终结目标的。早期的计算机病毒检测技术主要用来预防和消除传统的计算机病毒;然而,为了更好地应对计算机病毒的花样不断翻新,编程手段越来越高的形势,最新的计算机病毒检测方法技术更多地集中用于预防和消除计算机变种病毒,打好计算机病毒对抗与反对抗的攻坚战。
总之,由于计算机病毒的变种更新速度加快,表现形式也更加复杂,那么计算机病毒检测技术在计算机网络安全运行防护中所起的作用就显得至关重要,因此受到了广泛的重视。相信随着计算机病毒检测技术的不断改进和提高,将会有更加安全可靠的计算机病毒检测技术问世,更好维护网络安全,造福于全世界。
5计算机病毒检测方法技术的作用
计算机病毒检测技术本论文由整理提供在计算机网络安全防护中起着至关重要的作用,主要有:①堵塞计算机病毒的传播途径,严防计算机病毒的侵害;②计算机病毒的可以对计算机数据和文件安全构成威胁,那么计算机病毒检测技术可以保护计算机数据和文件安全;③可以在一定程度上打击病毒制造者的猖獗违法行为;④最新病毒检测方法技术的问世为以后更好应对多变的计算机病毒奠定了方法技术基础。
虽然,计算机病毒检测技术的作用很大,但并不能完全防止计算机病毒的攻击,我们必须提高警惕,充分发挥主观能动性。因此,加强IT行业从业人员的职业道德教育、加快完善计算机病毒防止方面的法律法规、加强国际交流与合作同样显得刻不容缓。也许只有这样计算机计算机病毒检测技术才能更好发挥作用,我们才能更好防止日益变化和复杂的计算机病毒的攻击。超级秘书网
6结语
随着计算机网络技术的不断发展,计算机给人类经济、文化、军事和社会活动带来更多便利的同时,也带来了相当巨大的安全挑战。现代信息网络面临着各种各样的安全威胁,有来自网络外面的攻击,比如网络黑客、计算机病毒及变种等。因此合理有效的计算机病毒检测技术是防治计算机病毒最有效,最经济省力,也是最应该值得重视本论文由整理提供的问题。研究计算机病毒检测技术有利于我们更好地防止计算机病毒的攻击,有利于我们更好地维护计算机网络世界的安全,使得计算机网络真正发挥其积极的作用,促进人类经济、文化、军事和社会活动的健康。
参考文献:
[1]卓新建,郑康锋,辛阳.《计算机病毒原理与防治》,北京邮电大学出版社,2007年8月第二版.
[2]郝文化.《防黑反毒技术指南》,机械工业出版社,2004年1月第一版.
[3]程胜利,谈冉,熊文龙等.《计算机病毒与其防治技术》,清华大学出版社,2004年9月第一版.
[4]张仁斌,李钢,侯.《计算机病毒与反病毒技术》.清华大学出版社,2006年6月.
[5]傅建明,彭国军,张焕国.《计算机病毒与对抗》.武汉大学出版社,2004年版.
[6]吴万钊,吴万铎.《计算机病毒分析与防治大全》.学苑出版社.1993年10月.
随着信息产业的高速发展,众多企业都利用互联网建立了自己的信息系统,以充分利用各类信息资源。但是我们在享受信息产业发展带给我们的便利的同时,也面临着巨大的风险。我们的系统随时可能遭受病毒的感染、黑客的入侵,这都可以给我们造成巨大的损失。本文主要介绍了信息系统所面临的技术安全隐患,并提出了行之有效的解决方案。
关键字:信息系统 信息安全 身份认证 安全检测
Abstract:
Along with the high-speed development of information industries, the multitudinous enterprise has established their own information system using the Internet to use each kind of information resource. But while we enjoy the information industries development to take to our convenient, we also faced the huge risk. Our system possibly suffers viral infection, hacker’s invasion; this all may create massive loss to us. This article mainly introduced the technical security hidden danger, which the information system faces, and proposed the effective solution.
Keywords:Information system
Information security
Status authentication
Safe examination
一、目前信息系统技术安全的研究
1. 企业信息安全现状分析
随着信息化进程的深入,企业信息安全己经引起人们的重视,但依然存在不少问题。一是安全技术保障体系尚不完善,企业花了大量的金钱购买了信息安全设备,但是技术保障不成体系,达不到预想的目标:二是应急反应体系没有经常化、制度化:三是企业信息安全的标准、制度建设滞后。
2003年5月至2004年5月,在7072家被调查单位中有4057家单位发生过信息网络安全事件,占被调查总数的58%。调查结果表明,造成网络安全事件发生的主要原因是安全管理制度不落实和安全防范意识薄弱。其中,由于未修补或防范软件漏洞导致发生安全事件的占安全事件总数的“%,登录密码过于简单或未修改密码导致发生安全事件的占19%.
对于网络安全管理情况的调查:调查表明,近年来,使用单位对信息网络安全管理工作的重视程度普遍提高,80%的被调查单位有专职或兼职的安全管理人员,12%的单位建立了安全组织,有2%的单位请信息安全服务企业提供专业化的安全服务。调查表明,认为单位信息网络安全防护能力“较高”和“一般”的比较多,分别占44%。但是,被调查单位也普遍反映用户安全观念薄弱、安全管理员缺乏培训、安全经费投入不足和安全产品不能满足要求等问题,也说明目前安全管理水平和社会化服务的程度还比较低 。
2.
企业信息安全防范的任务
信息安全的任务是多方面的,根据当前信息安全的现状,制定信息安全防范的任务主要是:
从安全技术上,进行全面的安全漏洞检测和分析,针对检测和分析的结果制定防范措施和完整的解决方案;正确配置防火墙、网络防病毒软件、入侵检测系统、建立安全认证系统等安全系统。
从安全管理上,建立和完善安全管理规范和机制,切实加强和落实安全管理制度,增强安全防范意识。
信息安全防范要确保以下几方面的安全。网络安全:保障各种网络资源(资源、实体、载体)稳定可靠地运行、受控合法地使用。信息安全:保障存储、传输、应用的机密性(Confidentiality )、完整性(Integrity)、抗否认性(non-Repudiation) ,可用性(Availability)。其他安全:病毒防治、预防内部犯罪。
二、计算机网络中信息系统的安全防范措施
(一)网络层安全措施
①防火墙技术
防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互联环境之中,尤其以接入Internet网络为甚。
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全 。
防火墙是网络安全的屏障:一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。防火墙可以强化网络安全策略:通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。对网络存取和访问进行监控审计:如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。防止内部信息的外泄:通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。除了安全作用,有的防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN 。通过VPN,将企事业单位在地域上分布在全世界各地的LAN或专用子网,有机地联成一个整体。不仅省去了专用通信线路,而且为信息共享提供了技术保障。
②入侵检测技术
IETF 将一个入侵检测系统分为四个组件:事件产生器(Event Generators );事件分析器(Event Analyzers );响应单元(Response Units)和事件数据库(Event Data Bases )。事件产生器的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件。事件分析器分析得到的数据,并产生分析结果。响应单元则是对分析结果做出反应的功能单元,它可以做出切断连接、改变文件属性等强烈反应,也可以只是简单的报警。事件数据库是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。
根据检测对象的不同,入侵检测系统可分为主机型和网络型。基于主机的监测。主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源,当然也可以通过其他手段(如监督系统调用)从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是所在的系统。这种系统经常运行在被监测的系统之上,用以监测系统上正在运行的进程是否合法。最近出现的一种ID ( Intrusion Detection ):位于操作系统的内核之中并监测系统的最底层行为。所有这些系统最近已经可以被用于多种平台。网络型入侵检测。它的数据源是网络上的数据包。往往将一台机子的网卡设于混杂模式(Promise Mode ),对所有本网段内的数据包并进行信息收集,并进行判断。一般网络型入侵检测系统担负着保护整个网段的任务。
转贴于 对各种事件进行分析,从中发现违反安全策略的行为是入侵检测系统的核心功能。从技术上,入侵检测分为两类:一种基于标志(C Signature-Based ),另一种基于异常情况(Abnormally-Based )。
(二)服务器端安全措施 只有正确的安装和设置操作系统,才能使其在安全方面发挥应有的作用。下面以WIN2000 SERVER 为例。
①正确地分区和分配逻辑盘。
微软的IIS经常有泄漏源码/溢出的漏洞,如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏甚至入侵者远程获取ADMIN。本系统的配置是建立三个逻辑驱动器,C盘20G,用来装系统和重要的日志文件,D盘20G放IIS, E盘20G放FTP,这样无论IIS或FTP出了安全漏洞都不会直接影响到系统目录和系统文件。因为,IIS和FTP是对外服务的,比较容易出问题。而把IIS和FTP分开主要是为了防止入侵者上传程序并从IIS中运行。
②正确地选择安装顺序。
一般的人可能对安装顺序不太重视,认为只要安装好了,怎么装都可以的。很多时候正是因为管理员思想上的松懈才给不法分子以可乘之机。Win2000在安装中有几个顺序是一定要注意的:
首先,何时接入网络:Win2000在安装时有一个漏洞,在你输入Administrator密码后,系统就建立了ADMIN$的共享,但是并没有用你刚刚输入的密码来保护它这种情况一直持续到你再次启动后,在此期间,任何人都可以通过ADMIN$进入你的机器;同时,只要安装一完成,各种服务就会自动运行,而这时的服务器是满身漏洞,非常容易进入的,因此,在完全安装并配置好Win2000 SERVER之前,一定不要把主机接入网络。
其次,补丁的安装:补丁的安装应该在所有应用程序安装完之后,因为补丁程序往往要替换/修改某些系统文件,如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果,例如: IIS的HotFix就要求每次更改IIS的配置都需要安装,尽管很麻烦,却很必要。
(三)安全配置
①端口::端口是计算机和外部网络相连的逻辑接口,从安全的角度来看,仅打开你需要使用的端口会比较安全,配置的方法是在网卡属性——TCP/IP——高级——选项——TCP/IP筛选中启用TCP/IP筛选,不过对于Win2000的端口过滤来说,有一个不好的特性:只能规定开哪些端口,不能规定关闭哪些端口;这样对于需要开大量端口的用户就比较麻烦。
②IIS: IIS是微软的组件中漏洞最多的一个,平均两三个月就要出一个漏洞,而微软的IIS默认安装又实在不敢恭维,所以IIS的配置是我们的重点,所以在本系统的WWW服务器采取下面的设置:
首先,把操作系统在C盘默认安装的Inetpub目录彻底删掉,在D盘建一个Inetpub在IIS管理器中将主目录指向D: \Inetpub。
其次,在IIS安装时默认的scripts等虚拟目录一概删除,这些都容易成为攻击的目标。我们虽然已经把Inetpub从系统盘挪出来了,但这样作也是完全必要的。如果需要什么权限的目录可以在需要的时候再建,需要什么权限开什么。特别注意写权限和执行程序的权限,没有绝对的必要千万不要给。
③应用程序配置:在IIS管理器中删除必须之外的任何无用映射,必须指出的是ASP, ASP和其它确实需要用到的文件类型。我们不需要IIS提供的应用程序的映射,删除所有的映射,具体操作:在IIS管理器中右击主机一属性一WWW服务编辑一主目录配置一应用程序映射,然后就一个个删除这些映射。点击“确定”退出时要让虚拟站点继承刚才所设定的属性。
经过了Win2000 Server的正确安装与正确配置,操作系统的漏洞得到了很好的预防,同时增加了补丁,这样子就大大增强了操作系统的安全性能。
虽然信息管理系统安全性措施目前已经比较成熟,但我们切不可马虎大意,只有不断学习新的网络安全知识、采取日新月异的网络安全措施,才能保证我们的网络安全防御真正金汤。
参考文献
[1]刘海平,朱仲英.一个基于ASP的在线会员管理信息系统.微型电脑应用.2002 (10)
[2]东软集团有限公司,NetEye防火墙使用指南3.0,1-3
[3]贾晶,陈元,王丽娜编著,信息系统的安全与保密,第一版,1999.01,清华大学出版社
[4] Eric Maiwald,Wi1liEducation, Security Planning & Disaster Recovery,2003,Posts & Telecommunications Press, PP. 86-94
[5]杨兵.网络系统安全技术研究及其在宝钢设备采购管理系统中的应用:(学位论文).辽宁:东北大学,2002
[6]刘广良.建设银行计算机网络信息系统安全管理策略研究:(学位论文).湖南:湖南大学.2001
摘要数据挖掘是一种通用的数据处理技术,它从大量的数据中提取人们感兴趣的内容的过程。将数据挖掘技术应用到网络安全当中,建立网络入侵检测系统,是数据挖掘技术应用的一个新领域。本文介绍了数据挖掘技术在入侵检测中运用的必要性、必然性和可行性。
关键词:数据挖掘;入侵检测;必要性;必然性;可行性
随着计算机技术的飞速发展,网络的资源共享程度进一步加强,在资源共享的过程中,网络安全问题备受重视,传统的入侵检测系统面对海量的信息数据,不能及时有效的分析处理这些数据,而数据挖掘技术的运用正好能够满足入侵检测系统的要求,合理的分析数据,有效处理数据。
一、数据挖掘技术与入侵检测分析
数据挖掘是从大量的、不完全的、有噪声的、模糊的、随机的数据集中识别有效的、新颖的、潜在有用的,以及最终可理解的模式的过程。它是一门涉及面很广的交叉学科,包括机器学习、数理统计、神经网络、数据库、模式识别、粗糙集、模糊数学等相关技术。由于它是一门受到来自各种不同领域的研究者关注的交叉性学科,因此导致了很多不同的术语名称。其中,最常用的术语是“知识发现”和“数据挖掘”。相对来讲,数据挖掘主要流行于统计界、数据分析、数据库和管理信息系统界;而知识发现则主要流行于人工智能和机器学习界。
入侵检测是一种试图通过观察行为、安全日志或审计资料来检测发现针对计算机或网络入侵的技术,这种检测通过手工或专家系统软件对日志或其他网络信息进行分析来完成。而更广义的说法是:识别企图侵入系统非法获得访问权限行为的过程,它通过对计算机系统或计算机网络中的若干关键点收集信息并对其进行分析,从中发现系统或网络中是否有违反安全策略的行为和被攻击的迹象。作为一种积极主动地安全防护技术,入侵检测提供了对内部攻击、外部攻击和误操作的实时防护,在网络系统受到危害之前拦截和对入侵做出响应。强大的入侵检测软件的出现极大的方便了网络的管理,其实时报警为网络安全增加了又一道保障。
计算机网络中每天都会产生海量的网络数据,主机也会产生大量的系统数据和日志信息。能否从如此丰富的历史数据中找到我们所感兴趣的信息,这是最为关键的一点,也是最为困难的一点。数据挖掘正是一种可以从包含大量冗余信息的数据里快速提取出尽可能多的有用信息的数据分析工具。因此研究者从数据的角度找到了数据挖掘和入侵检测的交汇点,将二者结合起来,并在实践中证明了将数据挖掘应用于入侵检测的可行性。目前,将数据挖掘应用于入侵检测已经成为一个研究热点。在这个研究领域,影响比较大的主要是Columbia University的Wenke Lee研究组和Portnoy,后继的研究者大多沿袭了Wenke Lee和Portnoy的研究路线,并在此基础上作了相应改进或者采用数据挖掘与其他智能技术相结合的方法。
二、数据挖掘在入侵检测中运用的必要性
入侵检测就是通过运用一些分析方法对数据进行分析、提炼、评价,再识别出正常和异常的数据或者对潜在的新型入侵做出预测。在入侵检测技术中采用数据挖掘技术有以下几点必要性:
第一,网络结构日趋复杂,网上业务种类和业务数量急剧增多,网络管理人员进行决策的依据是反映网络状况和网络行为的海量历史数据,显然没有必要也不应该把所有的原始数据全部提交给网络管理人员,而是要对其进行分析,生成与管理和决策问题相关的信息。
第二,由于时间的变化,数据也发生变化,数据中所含有的信息和知识也随之发生变化,因此旧的模型需要更新,这就要求重新在数据挖掘系统上,在包含新数据的情况下来建立新的模型,然后将新的模型用于应用系统。
第三,数据挖掘技术能够解决从数据角度对网络性能进行评价的问题。数据挖掘是一个从数据集数据库中提取隐含的、明显未知的、具有潜在用处的信息的过程。数据挖掘的结构是一个概念化知识,该知识反映了数据的内在特性,是对数据所包含的信息的更高层次的抽象。如果把数据挖掘技术应用到入侵检测中,以侦听到的数据集作为分析对象,运用分类分析方法和联系分析方法就可以对业务进行分类并能找到数据之间的相互关系,这样就可以从数据角度去评价审计数据集,从而达到了入侵检测的目标。
第四,由于不同来源的数据具有不同的性质,也就要求采用不同的数据挖掘算法发现其中隐藏的规律;而不同的数据挖掘算法也要求采用不同的特征数据,因此,对于不同类型的入侵检测数据,采用不同的数据挖掘算法发现其中的规则。对描述系统缺陷和已知攻击方法的数据,由于决策树方法具有较高的精度和效率,我们采用分类判定树算法进行处理,以发现其中的分类规则,对于审计数据采用分类和关联分析相结合的方法,以发现关键属性间的协同工作,对于系统调用序列数据,则采用序列模式挖掘算法,对于IP数据包等时态数据,将有关属性按时间排成序列,采用时态数据挖掘方法进行分析。
三、数据挖掘在入侵检测中运用的必然性
入侵检测是一种新兴的关于计算机网络系统安全问题的解决方案。主要有两种,滥用检测和异常检测。滥用检测是对利用已知的系统缺陷和已知的入侵方法进行入侵活动的检测。滥用检测的优点是可以有针对性地建立高效的入侵检测系统,其主要缺陷是不能检测未知的入侵,也不能检测已知入侵的变种,因此可能发生漏报。异常入侵由用户的异常行为和对电脑资源的异常使用产生。异常检测需要建立目标系统及其用户的正常活动模型,然后基于这个模型对系统和用户的实际活动进行审计,以判定用户的行为是否对系统构成威胁。由于入侵检测系统本身应用的特殊性,要求它具有准确性、全局性、可扩展性、可伸缩性以及环境适应性和本身的鲁棒性。到目前为止,研究人员已经提出或实现了许多方法,但是没有一种模型能够完全满足以上这些要求。而数据挖掘技术则正好在智能性、自适应性以及可操作性方面有着特殊的优势,乔治梅森大学的研发人员发展了关联挖掘在入侵检测方面的重要的应用,并提出了一种新型的应用于异常检测的多重检测方法。综合各种最新的研究成果并应用后挖掘技术,将滥用检测和异常检测融为一体,采用数据挖掘技术实现基于内容的智能化入侵检测系统IDSDM (Intrusion Detection System using Data Mining techniques),对在IDS(Intrusion Detection System)系统中最大限度上发挥数据挖掘技术的优点作了一个有益的尝试。
四、数据挖掘在入侵检测中运用的可行性
数据挖掘通常应用于市场行销、金融投资、生产制造等领域,但在入侵检测设计领域中运用数据挖掘技术对网络业务进行分析也具有明显优势。其可行性主要表现在以下几个方面:首先,网络中检测的数据种类繁多,监测到的数据量量非常大,具有稳定的数据来源,非常适合进行数据挖掘。其次,网络中侦听到的数据按其所具有的不同属性是可以进行分类的,同时,不同的数据之间的确存有某种相关性,如一个连接往往伴随另一个连接发生。因此,运用数据挖掘技术对审计数据进行挖掘能够得到有价值的信息。再次,从各种渠道所获得的审计数据经过加工处理之后适合运用数据挖掘中的联系分析方法。现在国内外己有一些研究机构利用数据挖掘和神经网络技术进行入侵检测,钊对一些入侵行为获得了较为理想的结果。美国哥伦比亚大学的Wenky Lcc在他的论文中详细论述了将一种数据挖掘框架用于构建入侵检测规则和模型的方案,得到了一些实验数据和仿真结果,进而在理论上和实验上证明了将数据挖掘技术应用于入侵检测的可行性。无论是异常检测还是滥用检测,都可利用数据挖掘技术提高检测的精度。
参考文献:
[1]刘文涛.Linux网络入侵检测系统[M].北京:电子工业出版社.2004
[2]唐国军、李建华.入侵检测技术[M].北京:清华大学出版社.2004
[3]Rebecca Gurley Brace.入侵检测原理[M].北京:人民邮电出版社.2001
论文关键词:计算机网络安全 入侵检测技术
一、入侵检测系统的分类
在计算机网络中,入侵检测通常可以分为两大类,即入侵检测和入侵防御。入侵检测是指在网络中,用其特定的安全方案,对网络的操作进行及时的检测和控制,如果有恶意的程序对其发起攻击,要能及时的发现并进行阻止,从而提高网络监测的安全性、保密性和完整性。但是随着计算机网络的不断发展,越来越多的黑客来时蓄意破坏网站,盗取资料,安全隐患也越来越大,我们使用的传统的入侵检测技术和防火墙已经应付不了目前存在的很多安全问题,所以就诞生了新的入侵防御系统,它通过对经过的数据进行检测来了解其中存在的潜在的危险,从而摒弃那些存在危险或者有可能存在危险的数据和文件,从根源阻断它们对系统带来的威胁从而保护网络的安全性和保密性。
入侵监测系统和入侵防御系统两者之间也存在很明显的区别,入侵检测系统只是对网络进行一个“体检”,找出可能存在问题的地方,但是不能对整个网络作出防御措施;而入侵防御系统无法自身识别出存在危险的数据和文件,它需要入侵检测系统的相互合作,通过入侵检测系统检测出存在危险的数据,及时阻止这些数据的扩散,把它们拦在门外,保证网络的安全性。
二、入侵检测技术在维护计算机网络安全中的应用
2.1 基于网络的入侵检测
基于网络的入侵检测有两种基本形式,即软件的和硬件的,但是这两种形式的检测方式在工作流程上有着异曲同工之处。为了将整个网络的数据进行实时的检测和控制,就必须把网络接口设置为混杂模式,这样就可以在数据流过的时候对经过的数据进行控制分析,将这些数据和那些具备攻击性质的数据作比较,找出那些存在攻击性或者存在潜在危险的数据,将这些数据拦截下来,保障网络的安全运行,对于拦截下的存在问题的数据,要做好及时的记录,作为以后遇到问题可以参考的依据。
2.1.1 入侵检测的体系结构
网络入侵检测主要由Agent、Console以及Manager三个部分组成。其中Agent是用来对经过的数据作出检测,找出那些存在威胁的数据,并及时把这些数据发送到管理器;Console主要是搜集信息和数据,显示那些存在危险的数据,并从现实的这些数据中找出真正有攻击性的数据并把它们发送到管理器上;Manager主要是给警告信息发出的信号给予响应,同时Manager也执行从控制台发来的指令,再把接收来的警告信息发送到控制台。
2.1.2 入侵检测的工作模式
基于网络的入侵检测,在整个网络中要布置多个入侵检测,一般都是部署在每个网段的中部,而且不同的网络结构也不一样,所以自然网络连接形式也不一样。如果在网段中连接方式是总线式集线器,那么就把和集线器力的任何一个端口连接;如果是太网交换机,因为交换机自身存在一定的缺陷,是无法实现资源的共享的,所以在整个网段中只安排一个是不可行的,因此,可以把入侵检测系统和交换机中用于调试的端口进行连接,也可以把它放在数据流经过的关键地段,这样就可以取得经过的全部数据。
2.1.3 攻击响应及升级攻击特征库、自定义攻击特征
入侵检测系统响应恶意文件的方式有很多种,如发送邮件、查杀进程、通知管理员、记录日志、把用户的账号自动注销、把正在进行的会话切断、建立一个报告并发送等等。堆攻击特征库进行升级时可以自动从相关网站或者是地址中把有用的信息下载下来,在把这些信息反馈给控制台,由控制台把这些信息添加带攻击特征库中。对网络进行管理的人员可以按照自身的设备条件和资源状况来自定义设定特征库,对单位的网络系统和整体资源进行全面的保护。
2.2 对于主机的入侵检测
对公司主机的入侵检测一般不会对所有电脑全部进行,而是从中挑选重点检测的主机,分析和判断该主机在日志审核系统、网络连接上存在的问题。一旦发现可疑情况,那么入侵检测系统就会对主机上存在问题的部分采取相应的措施来保护网络系统。基于主机的入侵检测系统具有以下功能:全程监控用户在网络上的一切操作;对阵个系统进行持续的评估,保持数据的完整性;及时更新特征库的数据,建立全新的安全维护系统;对未经允许的操作或者是存在危险的数据做出及时的警报;将有用的信息收集起来,作为以后的参考资料。基于主机的入侵检测系统全面细致的主机进行了保护,提高了网络的安全性和保密性,节约了资源,节省了成本。
三、入侵检测技术存在的问题
虽然入侵检测系统既有很大的优势,但是在很多方面它还存在很多的缺陷,主要是体现在以下几个方方面:
第一:虽然网络入侵检测系统可以对网段里的数据进行检测和控制,发现存在的问题,但是如果不在这一网段,那么该系统就无法检测出来,所如期能检测系统的检测范围有一定的局限性,无法对全局作出检测,但是如果增加传感器的数量,就势必会增加成本。
第二:入侵检测系统的检测方法一般是通过对数据进行特征分析,这种检测方法对一般普通的问题成效较为明显,但是有一些复杂的难以识别的问题,检测系统就可能无法分辨,这就造成存在一定的安全隐患。
第三:入侵检测系统在网络上数据检测时需要进行大量的数据分析,这也可能会影响网络的质量和性能。
第四:网络入侵检测技术在处理会话加密问题上存在一定的困难,因为由于现阶段的技术,对加密通道的攻击较少,但是随着社会发展,这类问题会越来越多。
第五:虽然入侵检测系统可以检测网络上存在的问题,但是它自身的防御能力却很弱,如果它一旦受到恶意数据的攻击,那么就很难抵抗,但是它可以与防火墙进行联动,那些攻击文件通过防火墙,防火墙就会立即采取隔离措施,这样也能达到保护自身的目的。
四、总结
虽然现在入侵检测系统已经得到广泛的应用,但是它自身还是存在很多局限性,所以在发展上还不是很成熟,很多单位在入侵检测系统的选择上都是采用了基于主机和网络相结合的方式。但是这会在发展,所以入侵检测系统也在不断的发展,在数据收集和检测、网络异常的检测、专家系统滥用检测以及贝叶斯推理异常检测等等检测技术上发展的越来越成熟。总之,提高计算机网络的安全性不仅仅需要自身技术的发展,同时还需要政府以及企业进行维护和管理,只有这样我国的计算机网络事业才能发展的更好,才能给人们的生活带来更多的方便。
参考文献:
[1]胥琼丹.入侵检测技术在计算机网络安全维护中的应用[J].电脑知识与技术,2010,11
关键词:校园网络;网络安全;网络监听
中图分类号:TP393.18 文献标识码:A 文章编号:1674-7712 (2012) 10-0118-01
一、引言
随着全球计算机信息网络的产生和发展,信息传递速度大大提高,根本上加强信息交流、资源共享、科学计算和科研合作的能力,促进了国家教育和科研事业的迅速发展。与其它网络一样,校园网的网络安全问题也是当前各高校面临的一个主要问题而如何维护并加强校园网的网络安全成为则成为一个值得人们关注的焦点问题。
二、网络监听与网络安全
(一)网络监听技术的原理
截获网络中的通信数据是网络监听的最终目的,其方法是对网络协议进行分析,分析网络监听的能够实现的功能是:在网络中不同计算机之间相互进行数据交换时,所有连接在一起的计算机主机都能够接受发送的数据包,在包头中含有目标主机的正确地址,所有,只有与发送的数据包中目标地址相同的计算机主机才能够正确接收到数据包,而其他的计算机主机都会丢弃数据包,但是如果计算机主机在监听模式的时候,主机都会将接收到的数据包保存下来,而不再对数据包中的目标地址进行分析,然后人们可以对数据包进行分析,最终得到网络通信中的数据内容。
(二)网络监听的优点和缺点
1.网络监听的优点
(1)成本低廉:能够在较少的监测点上进行相关配置,就可以监听到网络中发生的任何入侵行为。
(2)功能强大:能够监测主机入侵检测系统所监测不到的特殊性的网络攻击,例如拒绝服务攻击(DOS Teardrop)等等。
(3)独立性强:基于网络的入侵检测系统与其相对应的计算机主机的操作系统无关,而计算机主机的入侵检测系统必须运行在指定的操作系统中。
2.网络监听的缺点
(1)网络监听只是对系统漏洞进行检测的作用,其本身不能起到维护网络安全的作用,必须与防火墙等软件联合使用,其在维护网络安全中只是一个辅助的作用。
(2)针对本工程来说,只是可以对所有数据都进行监听或者某一个端口、某一个IP、某一种协议进行简单的有限制监听。如:不能同时对指定的某两个端口进行监听,也不能同时对指定的某两个IP进行监听。
(三)非法网络监听的防范
网络监听常常要保存大量的信息,对收集的信息进行大量的整理工作,因此,正在进行监听的机器对用户的请求响应很慢。所以可以通过以下几点来防范非法监听。
1.网络分段。网络分段不仅仅是控制网络广播风暴的一种基本方法,同时也是保证网络安全的必要措施,网络分段是将网络资源与非法用户相互隔离开来,从而达到防止非法监听的目的。
2.数据加密。网络通信数据经过加密之后,虽然通过网络监听仍然可以得到传输的数据信息,但却无法正确显示,但是使用数据加密会使得网络传输的速度下降,而且如果加密技术比较简单,也很容易被攻破,所以,计算机管理者和操作者即要考虑网络的安全问题,也要考虑网络传输的速度问题。
3.使用虚拟局域网。使用虚拟局域网(VLAN)技术,将以太网数据通信转换成为点到点的数据通信,能够防止多数基于网络监听的非法入侵。
三、安全策略在校园网络中的应用
(一)网络监听策略。校园网面临的安全问题来自多方面,主要存在于校园网的网络外部和内部,而来自校园网内部的攻击应该占主要地位。校园网中大部分是正在学习知识的学生,他们人数众多,求知欲强,好奇心更强,而且有些同学的网络知识水平也很高。这样就使得他们成为了校园网中潜在的威胁。
网络监听技术可以对校园网络进行故障诊断和分析,首先通过监听收集网络通信中传输的所有数据,然后对这些数据进行详细分析,可以解决在多协议、多拓扑的网络上的各种问题,并且能够排除网络故障,从而能够得到报表等形式的数据分析结果,对于网络的良好运行是强大的支持。
网络监听技术可以对校园网络进行安全分析,及时发现各种侵害校园网络安全的行为,达到维护校园网络安全的目的。例如:可以分析网络监听到的数据信息,截获发送不法信息的IP地址,找到网络威胁的源头,再设置防火墙拒绝非法IP的访问。
(二)入侵检测策略。入侵检测(IDS)是主动保护自身不受到攻击和威胁的一种网络安全技术,它是网络防火墙之后的第二道安全防线,能够对防火墙的安全措施进行相应补充,管理员可以在计算机网络系统中设置关键点,入侵检测系统从这些关键点收集数据信息,对这些数据信息进行分析,从而判断网络中是否有遭到入侵的情况和违反安全策略的行为,一旦入侵检测系统发现出现攻击时,会启动防火墙禁止这些IP地址访问,时刻保护内部和外部的网络攻击,这种结合的方式集成了防火墙和入侵检测系统的所有,不但能够对网络攻击进行实时监控,还能够提高网络信息安全结构的完整性,从而降低网络非法入侵造成的损失。
(三)防火墙策略。防火墙是由软件和硬件共同组合而成的,是在网络层面上构造的一道保护屏障,通过对刘静的网络通信数据进行实时扫描,禁止某些网络攻击,从而避免在这些攻击在计算机上继续执行。防火墙不但可以对不使用的端口进行关闭,还能够禁止制定端口的数据流出,封锁病毒的侵入,通过对特殊站点设置访问禁止,来禁用不明入侵者的所有通信数据。
四、总结
计算机网络安全问题是当今最令人头疼的问题。通过对校园网的网络系统面临的安全问题的分析与研究。
对于校园网这个大的局域网来说,无论是运用防火墙技术,还是利用入侵检测系统,要做的就是分析在网内传输的(包括发自网内的和发送到网内的)数据中,哪些信息是安全的,是有利的,哪些是不安全的,是有破坏作用的。
要维护网络的安全,仅仅依靠被动地检测是远远不够,我们需要主动地防御恶意的攻击,并且要做好长期而充分的准备去迎接挑战。
参考文献
[1]赵.校园网络安全的改进[D].重庆大学硕士毕业论文,2006:14-16
[2]杨守君.黑客技术和网络安全[M].北京:中国对外翻译出版社,2000:115-118
[3]谢希仁.计算机网络(第四版)[M].大连:大连理工大学出版社,2003:2-6
[4]吴玉,李岚.基于网络数据获取技术的网络监听的检测和防范[J].信息技术,2007,8:142-144
[5]韩红宇.面向校园网的网络监听技术研究[J].中国科技信息,2005,24:12
【关键词】网络安全技术;入侵检测;入侵检测系统
1.引言
随着网络技术的发展和应用范围的扩大,人们越来越依赖于网络进行信息的处理。信息基础设施己成为国民经济的一个重要支撑点,作为信息基础设施的一个重要组成部分,信息安全关系到国家的存亡,经济的发展,社会的稳定。随着网络攻击工具和攻击手法的日趋复杂化多样化,仅靠传统的网络安全防范措施己无法满足对网络安全的要求,因此,网络安全是目前一项十分重要的任务。入侵检测系统(Intrusion Detection System,IDS)是近年来发展迅速的一种新型的网络安全技术。
入侵检测系统是指能够通过分析与系统安全相关的数据来检测入侵活动的系统,包括入侵检测的软件和硬件的组合。从系统所执行的功能上来考虑,入侵检测系统必须包括如下三个功能部件:提供事件记录流的数据收集部件、发现入侵迹象的分析引擎和基于分析引擎的结果产生的响应部件。网络入侵检测系统作为新一代的动态安全防范技术,它通过对计算机网络或系统中若干关键点数据的收集,并对其进行分析,从而发现是否有违反安全策略的行为和被攻击的迹象。网络入侵检测系统能检测到谁正在攻击当前的网络,从而及时通知网络管理员进行响应,减少入侵行为带来的损失,也能知道网络是如何被攻击的,从而有助于安全专家分析攻击过程,由此得出系统或配置方面的漏洞,防止再次受到同样的攻击。一个完备的入侵检测系统一定是基于主机和基于网络两种方式兼备的系统。不同的体系结构。不同的技术途径实现的入侵检测系统都各有优缺点,具体采用那种模型和技术,都要根据具体的环境来选择。
2.入侵检测系统的整体结构
为了让入侵检测系统能最大程度的发挥作用,我们必须在关键地点部署入侵检测系统。考虑到路由器上安全设置的功能相当于简单的防火墙,可以依据众所周知的端口,在网络层阻止特定的数据包,但是当数据包使用其他端口通过路由器时,路由器的安全设置就不起作用了,所以我们在外部路由器和防火墙之间放置一台IDS,这样,当数据包通过路由器时,也会被IDS监听到,同时路由器可以预先过滤掉一些网络流量。不把IDS放在网络外面的原因是:那样可能会增加很多不确定的报警,而且会让IDS受到攻击的危险大大增加。这个是外部IDS,监控内外网络之间的数据,它是基于特征的入侵检测技术。另外,我们在内网交换机上部署内网IDS,采用基于策略的IDS。因为考虑到系统因为不能及时更新攻击特征,而错过检测到最新攻击的可能。我们在内部采用基于策略的IDS。它的好处是使IDS管理员不必不间断的更新攻击规则,只需设置网络中正常的操作行为准则。其他的都认为是不正常的可疑的。而且因为基于策略的IDS只需要定义少量可接收的行为规则,因而比通用IDS的性能更好。但是一般而言基于策略的IDS不适合同外部连接的网络。因为和外部连接的数据种类太多。系统的拓扑结构如下图所示:
系统的拓扑结构图
3.入侵检测系统建立的软、硬件选择
3.1 入侵检测系统(IDS)的硬件选择
IDS选择硬件时,必须考虑到将要监视的网络的规模,探测器的性能必须和所要监视的网络的规模相匹配。使用IDS的目标是检测网络上感兴趣的数据流,所以匹配的探测器的关键是保证所有的包都被捕获和记录。显然,偶尔的丢包是会发生的,目标是构建一个好的IDS系统,使得由于硬件的局限性而引起的丢包可能减少到最小。因此我们的目标是:
(1)尽量减少丢包。
(2)保证安装的系统能够完成预计要完成的任务。
(3)节约开支。
例如,我们可以对四个最关键的硬件作出以下选择:
1)处理器
选择使用intel Pentium IV 3.06Ghz处理器。所以使用这种处理器,关键在于它使用了超线程技术。这种技术模拟了多个处理器系统,保证了系统在运行其他进程时,允许snort在另一个管道中持续运行而不会丧失大部分处理器性能,从而在实际上限制了任何网络监视的暂停。当然,使用这种处理器,限制了我们对操作系统的选择,因为只有在windows系统上才能最充分的发挥其性能。
2)内存
内存的大小直接影响到系统的运行速度。目前x86系统所使用的RAM价格便宜,可用选用x86,对系统配置2G的内存。
3)存储介质
在选择存储介质前,必须确定每天如何操作IDS。如果是建立一个库存储每天的日志文件,那么硬盘较小就可以了,但如果打算每周或者每月备份一次日志文件,那么硬盘就需要大容量了。结合我们实际使用的系统,需要每日备份日志文件,但周末需要系统记录3日的数据,且现在硬盘价格很便宜,所以系统仍使用大容量硬盘160G。
4)网卡
选择2块网卡,一块网卡用于正常的网络通信,另一块网卡用于监听。网卡的选择必须和连接的交换机的速率相匹配,否则丢包明显,甚至无法抓包。因此针对连接不同交换机的IDS选择百兆、千兆intel网卡。
3.2 IDS操作系统的选择。
为安装snort时通常要考虑易用性、成熟性、兼容性、通用性等因素。选择操作系统平台。
首先,系统管理员对操作系统最有效的选择就是他最熟悉的操作系统。例如如果对windonws及其软件的使用非常熟悉,但是在linux方面却完全是个新手,那么很显然应选择windows。另一个影响我们选择的因素是操作系统的易用性。在任何一种操作系统上安装snort都会比较复杂。相对而言,在windows上安装和使用snort比较容易。虽然在windows系统上运行snort有一些技术复杂度,例如winpcap问题、内核升级问题以及系统修复问题等等,但是很容易找到解决任何可能出现的问题的相关文档。我们还需要考虑性能问题,虽然windows不如unix拥有出色的性能,但是我们也考虑到硬件对操作系统的影响非常大,而x86架构系统的硬件现在非常便宜,完全可以弥补windows性能上的不足。综上,得出选择IDS平台的黄金法则:“选择最熟悉的并且是能够最容易地被集成到现有环境的平台。”通常我们选择windows作为系统的操作系统。
4.IDS系统的实现
结合系统结构及安全要求,在整个系统中部署两类IDS,一个是部署在外部防火墙和路由器之间,监控内外网之间的数据,它是基于特征的入侵检测技术的。另一类连接在内网的交换机上,监控内网中的数据流,它是基于策略的入侵检测技术。
4.1 内部IDS的实现
内部网络,通常采用基于策略的IDS。为了让IDS正常工作,必须定义规则或者攻击特征,当出现新的攻击行为特征时,我们必须及时把该特征增加到规则文件内,只要不断的及时更新规则,就可以保证IDS检测到最新的攻击。但这里面存在一个问题,当新的攻击已经存在,系统尚未及时做好规则文件,而此时网络中恰巧发生了这种攻击行为,就无法知道这种攻击的存在了。
基于策略的IDS系统工作方式完全和通用IDS系统相反,它仅仅定义网络中可以接受的行为,包括特定主机之间的特定通信类型、特定协议等。它的核心概念是:不属于可接收行为列表的操作都是潜在的入侵。
基于策略的IDS的好处是,使IDS管理员不必再及时不断的更新攻击规则,只需设置网络中正常的操作行为准则。其他的都是不正常的可疑的。而且因为基于策略的IDS只需要定义少量可接收的行为规则,因而比通用IDS的性能更好。但是一般而言基于策略的IDS不适合同外部连接的网络。因为和外部连接的数据种类太多,无法一一罗列。
4.2 外部IDS的实现
部署在外部防火墙和路由器之间,监控内外网之间的数据,它是基于特征的入侵检测技术。
一般通过以下几个步骤实现:
1)系统安装,通常安装微软的windows 2000 sever;
2)安装snort;
3)配置snort。
这项技术目前已比较成熟,在这里不再赘述。
5.结论
前面所述的方案基本保证了企业当前系统流畅、安全的运行。但随着计算机技术的不断发展,还会有更复杂、对安全要求更高的应用出现。因此我们还要在这条道路上继续走下去。今后对网络安全系统的建设将坚持技术和管理并重。
在拥有先进手段的前提下,对于网络安全问题来说最重要的应该是网络安全思想,可以说有好的安全思想可以避免绝大多数的安全问题,所以安全思想意识应放在网络安全的首要位置。可以采用更加先进的网络安全体系架构、密码算法、防火墙、入侵检测系统和病毒防治软件等来保卫系统的安全。比这些技术层次上安全措施更为重要的是一套良好的安全制度和安全思想,它们才是确保系统安全的根本
总之网络攻击手段的多元化、复杂化、智能化,使网络安全的形势日益严峻,保卫网络安全将是一个持久和艰巨的过程,任重而道远,需要不断学习,不断开发、掌握和使用与安全威胁相斗争的各种安全技术和手段。希望有更多的人能加入到研究和维护网络安全的行列中,为保护网络安全做出自己的贡献。
参考文献
[1]李家春,李之棠.入侵检测系统[J].计算机应用研究,2001.
[2]许榕生,刘宝旭,杨泽明等.黑客攻击技术揭秘[M].机械工业出版社,2002.
[3]于磊.网络安全利器——snort[J].网络安全技术与应用,2003.
关键词:数据挖掘;网络安全;入侵检测;算法
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2017)08-0049-03
数据挖掘(Data Mining)技术的定义是从现有的数据库中提取有用知识的技术。这几年的科学理论研究成果表明,把数据挖掘技术添加入侵检测系统(Intrusion Detection System,IDS)中来,并从中选择有效地特征点,构造出合适的测试模型,不但能提升整个系统设备的入侵检测的功能,而且也会影响系统的误报率和漏报率。随着计算机网络技术的不断发展,计算机网络在给人们带来了许多方便的同时,也产生了一些负面作用。如系统与软件漏洞等,也为个别非法入侵者提供了可乘之机。而为了防止内部或外部非法使用者对计算机进行攻击,工程师设计出了入侵检测系统(httrusion Detection System,IDS)。
1入侵检测的技术理论
入侵检测技术的主要功能是监控网络系统各主机的运行状态,监测出各种潜在攻击行为、或者潜在的木马程序,这样就可以IDS系统资源具有可用性、完备性与安全性。
我们可以从监测数据目标的方向,把入侵检测系统IDS区分为根据内核主机的IDS、根据网络的IDS和根据应用的IDS等众多种类别。本论文主要是根据网络的入侵检测系统IDS的构造进行深入的解析。
研究人员也可以从分析数据检测方法的异同点方向,把入侵检测系统划分为以下几大类别:
1)误用检测(MISuse Detection)。又称为根据特征的检测方法,它把已知的攻击行为标识成一个特征库,再去比对现有已发生的动作行为,如果有检测结果具有相似性则表明它是一个入侵行为。误报率低是这种方法的优点,但是对主机的攻击行为达到一定数量级时,将使特征库变得很庞大,仅能检测到特征库中已标识的攻击行为是这一方法缺点。
2)异常检测(Anomaly Detection)。又叫作根据行为的检测,它也是事先构建一个正常的特征库,然后再继续搜集使用者的行为或使用资源状况,来判定这是否为一种入侵行为。这种方法的优点是通用性较强,跟系统本身无直接联系,同时也可以检测出未知的攻击方法。但受到正常框架的局限,也无法对整个系统的全部用户行为进行全面的描述,并且各个用户的行为也会发生变化的,因此会发生误检率值升高的缺点。
把以上两种方法综合起来,肯定能取得更好的效果。传统的入侵检测系统IDS只是将异常检测和误用检测作为两个独立部分加入到检测系统中,为了充分利用两种检测的优点,可将异常检测和误用检测相结合构成新的IDS基本规则:凡是能与正常行为模式库匹配的行为称为正常行为,凡是与异常行为模式库匹配的行为称为人侵行为,这样可以在一定程度上减少误报率和漏报率,提高入侵检测的准确性。但是需要手动来更新行为模式库的方法,也是浪费人力和物力。为了提高人侵z测的速度,可以将数据挖掘技术的一些算法如:分类算法、聚类算法、关联规则算法、序列规则算法等,应用到入侵检测系统的设计当中。于是,不论是否发生入侵行为,系统就能有效跟踪识别,并自动更新规则库算法,从而促进整个检测系统性能的优化。
要获取入侵检测的数据源,研究人员利用一些专用的抓包软件来实现,在Windows平台下抓包工具软件,主要有Winpcap等工具,而Unix平台下,可以利用Arpwatch和Tcpdump软件工具来抓包。数据挖掘技术的数据分析阶段也可再细分,它的响应部分可划分为被动响应与主动响应这两类。
2数据挖掘技术简介
数据挖掘(Data Mining)技术可以看作是从众多的数据源中提取人们需要的模式的算法过程。这里的数据挖掘的对象可以是数据源或其他文件系统,或者是Web资源之类的其他数据的集合;数据挖掘并不是一个直线延展型的过程,也可把它比作是一个不断螺旋上升、反复的、且具有众多步骤、繁杂的处理过程。
数据挖掘算法能够做到预测未来趋势及行为,从而做出具有前瞻性知识的决策。数据挖掘的根本目的是从数据特征库中,搜寻出有意义的隐含知识,可以按功能区分它的类别:
1)聚类
平时我们输入的数据可能无任何类型标记,而聚类是把数据按一定的规则划分到各个集合中,其中对象可划分为多个类或簇,划分后同一个簇中的对象具有很高的相似性,可是我们也发现不同簇中的对象差异却很大。
2)关联分析
关联分析可以查找数据库中众多数据之间的联系,主要包括是序列模式与关联规则。序列模式分析则主要研究数据之间的因果关系,比如买了手机的用户可能会在几个月内买手机套;关联规则是指监测出其中某一对象与其他类对象之间的关联依赖性,比如:关联分析方法在分析用户在买牙膏的同时,存在买牙刷的可能性。
3)概念描述
数据库中的数据是纷繁复杂的,专家们总期望用最简易的描述形式,来表达汇集的数据源。概念描述是概括出同一类别对象的对应特征,并且描述出它的内涵。
4)偏差检测
偏差检测包涵众多隐藏的知识,比如数值不规则的变化、不符合规则的实例、模型预测值和监测结果的偏差、分类中的异常特例等。
5)自动预测趋势和行为
数据挖掘自动在大型数据库中提出描述主要数据类的模型,进行监测与分类,搜寻出未来的数据趋势或预测性信息。
数据挖掘算法是最近几年创新融合,引入到入侵检测系统的一类技术。其优点是能从主机的大量纷繁复杂的日志文件与网络数据中,提取出我们想要的、且未发现的规律理论。利用数据挖掘算法保障我们的网络安全,这是研究人员的一种大胆创新尝试。当前条件下,对数据挖掘算法的研究已进入一个新的阶段,同时它也是一个通用性很强的技术。在入侵检测系统中,把入侵检测看作数据分析过程,将安全数据引入特定的数据挖掘算法,可以产生一个具有良好的扩展效果,自适应性较强的入侵检测系统。截至目前,数据挖掘算法应用到入侵检测上的主要有关联、序列、分类和聚类这几个模型方面。
3数据挖掘算法在入侵检测系统中的应用
数据挖掘是对存放在数据库或其他信息数据库中的数据进行提取,挖掘出对人类有用知识的过程。
把数据挖掘技术融合到入侵检测系统中,再分析相关以往的数据,挖掘提取出各个用户的行为特征、分析入侵行为的隐含规律,从而构建一个完备的特征库来进行入侵检测。该过程主要分为以下几步。数据收集来源于网络,主要是根据网络来检测系统数据,常用的工具有TCPDUMP等。
利用Snort的工作原理来举例,扩展系统主要在规则匹配方面,通过系统测试实验,分析攻击行为的典型特征,总结出攻击数据库大小模式与时间的内在联系。
下面可以模拟出一个实验环境:
IP地址为172.16.5.2的主机配置为PIV 3.2G,内存4G,操作系统为Windows 7;这几台分机的IP地址分别为172.16.5.21;172.16.5.36;172.16.5.480
实验主要步骤:通过TcpDump这个工具软件捕获一组络数据包,通过本系统记录约20min传送来的数据包,分别利用3台分机对一台主机进行攻击,测试不同攻击类型的数据包。
异常分析器则采用K-Meoils算法(即聚类分析算法),实验数据分析表明:人为增大了聚类半径R,可能会导致攻击数据包与正常数包被系统归类到同一个聚类,而误检率必然因数值的增大而变大。误检率因数值的增大而增大,因数值的减小而渐渐减小。同时,若某种类型的攻击数据包的数目变更数值,检测系统会将其认定为正常类,因此数值越小,也将导致误检率越高。若聚类设置半径R=6,加人挖掘技术的检测系统,明显比Snort最初的检测速度还快,而且误检率也更低。
特征提取器采用Apriori算法关联分析,支持度设为50%,置信度参数设为100%,参数值设置为1000,实验结果显示以下3条新的入侵检测规则:
Alert tcp 172.16.5.2l 2450->172.16.5.2 80
(msg:“poli-cy:externalnet attempt to access 172.16.5.2”;classtype:at-temptesd-recon;)
Alert tcp 172.16.5.36 1850->172.16.5.2 21
(msg:“poli-cy:extemalnet attempt to OCCCSS 172.16.5.2”;classtype:at-tempted-recon;)
Alert tcp 172.16.5.48 2578->172.16.1.2 1080
(msg:“policy:extemalnet attempt to access 172.16.5.2”;elasstype:at-tempted-reeon;)
以上实验结果的分析表明:异常日志受到特征提取器的影响,检测系统挖掘提取出新类型攻击的规则,同时可以检测新类型攻击行为。
在数据挖掘中,预处理训练数据的好坏,也会影响提取的用户特征,并间接影响分析出规则的正确性。入侵检测系统中,可以建立包含入侵者的行为的模型数据库,那么以后建立起的检测系统将不能识别出该入侵行为,从而造成漏报或误报的情况。因此,用于训练的数据一定不能包含任何入侵行为,且数据挖掘算法要事先格式化成需要处理的形式。
在预处理过的数据中,数据挖掘算法从中提取用户行为特征库,再对所得的特征规则进行相应更新,建立起用户行为规则库。入侵检测系统依据规则库的规则,再对当前用户的行为进行检测,再对得到的结果采取不同的对方式。
数据挖掘主要过程可以分为原始数据的采集、数据的预处理、最后数据的挖掘这三个步骤来进行。数据挖掘技术主要包括关联分析、聚类分析和分类分析、序列模式分析等四类。基于数据挖掘的入侵检测系统研究是针对数据挖掘与入侵检测的众多特点,构造出恰当的挖掘模型,在满足实际网络安全的前提下,实现两者的有效融合。
1)序列模式分析。序列模式分析主要是指搜寻出在一定的段时间T内,有出现数据特征甲,然后有特征乙出现,而后特征丙也出现了,即序列甲 乙 丙,出现频度较高之类知识。由于网络攻击和时间变量存在关联,因此在关联分析基础上进行序列模式分析,可以进一步分析攻击行为时间相关性。它主要运用序列分析发现入侵行为的序列关,系.挖掘安全事件之间先后关系,从而提取出入侵行为的时间序列特征。序列模式挖掘的大部分方法都采用了类Apriori算法的变异,使用的参数设置和约束条件均有所不同。另一种挖掘此类模式的方法为序列模式生长技术,它是基于数据库投影的,类似于无选项生成的频繁模式挖掘增长方式。
2)关联规则挖掘。研究人员认为:关联规则挖掘是数据挖掘技术算法中应用最广泛的,也是最先被引人入侵检测的技术。关联规则分析是采用改变可信度与支持度原定规定数值的技术,它主要包括两个步骤:第一是监别不低于用户规定的、最小支持度参数值的频繁项目集;然后从中构建出可信度不低于用户规定的、最小可信度参数值的规则。值得一提的是,现在已有多种关联规则算法(如Apriori算法)引入到入侵检测系统中。
3)聚类分析。聚类是指用来分析对一个数据对象的集合,但与此不同的是,这个要区分的类是不可知的。聚类就是将数据对象划分成多个簇或类,具有较高相似度的对象被分在同一个簇中,而不同簇中的对象却有较大的差异。相异度是用来描述对象属性的参数值。用在入侵检测中的聚类分析主要包括两种,第一种是入侵行为远小于正常行为的数目,第二种是人侵行为和正常行为显著不同的。常用的聚类技术主要有:根据模型的方法(model-based method)划分方法(partitioning meth-od)、)和层次方法(hierarchical method)、根据网格的方法(grid-based method)、根据密度的方法(density-based method)等。
4数据挖掘技术研究的前沿技术
数据挖掘技术是一门融合多门学科的崭新技术,其中包括信息检索、神经网络、数据可视化、数据库应用技术、统计学原理、模式识别、高端计算、机器自学习、信号处理DSP和空间数据研究等。数据挖掘技术可以和其他技术相结合,如粗集、模糊逻辑、遗传算法、决策树理论、人工神经网络以及规则归纳法等等。
下面介绍几种最新的数据挖掘技术,可以与之相结合应用到入侵检测系统中的技术:
1)膜糊数据挖掘技术
在数据挖掘过程中,审计数据中一定含有量化特征,量化数据分隔在置信度、支持度两个参数值区域中。这种划分方法的尖锐边界(sharp boundary),这一问题也影响着IDS的检测性能。为克服尖锐边界所带来的一系列问题,Bridges把特征量化细分为模糊隶属度值的等类别。Bridges使用模糊逻辑算法与关联规则挖掘算法、数据频繁情节挖掘算法三类相结合,综合应用上述方法来开发数据挖掘技术。
2)多级近似(level-wise)挖掘技术
若发生频率较低的某些正常行为,其支持度不会超过预定的数值;在数据挖掘过程中,若降低支持度的数值,也能取得许多与频率值高的服务类别相近的模式。多级近似挖掘技术被专家们提出来为解决这一矛盾,它的原理是:首先提取出与频率高的中心属性值关联的模式,而后再把支持度数值降低,从中提取出与频率值低的属性值相关的那些模式。该模式挖掘技术提取的过程中,要注意控制那些旧的中心属性的添加:必须至少包括一个“新”(低频繁度)的中心属性值作为备选项目集。这样,每次循环演算获得的模式就转变为由全部新的中心属性构成的,或者是由旧中心属性与新中心属性综合构成。
3)遗传算法技术
遗传算法(genetic algoritm)是指模拟自然生物进化遗传模式和采用大自然选择的一种最优算法技术,遗传算法有效解决了大量数据的繁杂无序的特性。基于遗传算法的数据挖掘技术主要研究方向还是在分类系统方面,对于关联规则的研究,挖掘应用较少。比如Shi使用遗传算法则可以自动优化隶属度函数的参数。遗传算法技术是将若干问题可能的解,按某种形式进行合理的编码,编码后的解我们称之为染色体(个体)。然后选择几个染色体组成原始种群,再针对每个染色体进行分析,再根据选定的函数统计出适应值,以便让性能较优的染色体具有较好的适应值。选取适应值好的染色体进行相应的复制,再经过遗传算法:选择、重组(交叉)、变异,来创造出一种更新的且更适应环境的染色体,形成更新的种群。不断循环繁殖、进化,最后收敛到一个最适应系统环境的体中,从而使得问题得到最优解。
4)决策树技术
决策树方法技术是指用信息论方法获得值的一种数据挖掘技术。在数据库概念中,决策树技术采用的是信息论中的信息增益(互信息),来搜寻含有MAX信息量的属性字段,组建决策树中的一个节点,再基于该属性字段的异同来获取数值,也就建成了树的分支。在任意的分支子集中,重复构建树的下层分支与节点的过程。决策树方法技术,不但可以实现数据规则的可视化,构造过程中也不需要浪费较长时间,精度较高的输出结果,也容易让人理解,所以在知识发现系统中,决策树方法技术得到广泛的应用。
5)人工神经网络技术
神经网络由大量的处理单元组成,单元间进行交互是通过带有权值的连接来实现的。神经网络可以通过添加连接或删除连接的方法、改变单元状,改变连接的权值来标识异常事件。神经网络在数据较大、领域知识不完备以及存在噪声数据的情况下,发挥强有力的非线性处理能力,达到传统符号学习方法意想不到的效果。把神经网络的自学习、自组织功能与数据挖掘技术相结合,应用到入侵检测系统中,可以提高入侵检测的效率,避免了人工输入规则,较好地处理带噪声的数据。
6)Agent Agent技术
该技术目前尚无统一的定义,普遍的观点是一种处于平台环境下的计算机系统,为实现算法程序的初衷,它能实现在一定的系统中自主灵活地运行。一个完善的Agent能够与环境中的其他Agent相互协作,并从它的经验中不断地学习,共同完成原定的任务。分布式入侵检测系统基于Agent和数据挖掘的分布式结构,在各种特性上构造了移动Agent的自治性和智能路由性,在一定程度上满足了入侵检测系统的要求,当检测环境变化时或者需要保护机器数目发生变化,入侵检测系统则不要做较大修改;或者当新的正常使用模式与新的攻击类型模式时,系统可以自动扩充相关知识库并及时鉴别,从而提高其扩展性和环境适应性。
5小结
