入侵檢測(cè)技術(shù)范文

時(shí)間:2023-03-23 21:26:40

導(dǎo)語(yǔ):如何才能寫(xiě)好一篇入侵檢測(cè)技術(shù),這就需要搜集整理更多的資料和文獻(xiàn),歡迎閱讀由公務(wù)員之家整理的十篇范文,供你借鑒。

篇1

關(guān)鍵詞:網(wǎng)絡(luò)安全;入侵檢測(cè);入侵檢測(cè)技術(shù);入侵檢測(cè)系統(tǒng)

中圖分類號(hào):TP393.08 文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1007-9599 (2012) 01-0000-02

Intrusion Detection Technology Study

Gu Xiaoning

(Jining Teachers College Computer Science Department,Wulanchabu012000,China)

Abstract:With the application of the computer net-work increasing, the problem about net-work security is more and more serious day by day. The concept of the incursion detecting system was introduced in this thesis,and simply analyzed incursion detecting technology while the mostly used detecting technology nowadays was discussed.In the last,the development trend and main research direct of the technology was viewed.

Keywords:Network security;Intrusion detection;Detection technology;

Intrusion detection system

一、引言

伴隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)和互聯(lián)網(wǎng)的飛速發(fā)展,各種網(wǎng)絡(luò)攻擊和入侵事件時(shí)有發(fā)生,所造成的破壞性和損失日益嚴(yán)重。網(wǎng)絡(luò)安全威脅愈加被人們所重視。

傳統(tǒng)的信息安全方法都是靜態(tài)的安全防御技術(shù),面對(duì)現(xiàn)今復(fù)雜多變的入侵手段難以應(yīng)付。而入侵檢測(cè)是一種動(dòng)態(tài)安全的核心技術(shù),它通過(guò)對(duì)入侵行為的發(fā)覺(jué),收集信息進(jìn)行分析,并做出實(shí)時(shí)的響應(yīng),從中發(fā)現(xiàn)是否有違反安全策略的行為和被攻擊擊的跡象,在不影響網(wǎng)絡(luò)性能的情況下對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè),提供對(duì)系統(tǒng)的實(shí)時(shí)保護(hù)[1]。

二、入侵檢測(cè)系統(tǒng)

入侵檢測(cè)系統(tǒng)是傳統(tǒng)操作系統(tǒng)加固和防火墻隔離技術(shù)的合理補(bǔ)充,它的功能是監(jiān)控并分析系統(tǒng)及用戶活動(dòng),檢查系統(tǒng)的配置和漏洞,發(fā)現(xiàn)已知的攻擊行為以及分析異常行為,對(duì)系統(tǒng)日志進(jìn)行管理并識(shí)別非正常活動(dòng),對(duì)發(fā)現(xiàn)的入侵行為進(jìn)行告警和響應(yīng)等。它能夠保護(hù)網(wǎng)絡(luò)安全策略,可以提高系統(tǒng)管理員的安全管理能力和信息安全基礎(chǔ)結(jié)構(gòu)的完整性。理想的入侵檢測(cè)系統(tǒng)應(yīng)該管理方便、配置簡(jiǎn)單,擴(kuò)展性強(qiáng)、保護(hù)范圍廣。應(yīng)該具備動(dòng)態(tài)自適應(yīng)性,應(yīng)能夠根據(jù)網(wǎng)絡(luò)的規(guī)模、系統(tǒng)的構(gòu)造和安全需求的改變而改變。

(一)入侵檢測(cè)系統(tǒng)的工作模式

入侵檢測(cè)的工作過(guò)程一般分四個(gè)方面:

(1)對(duì)信息進(jìn)行采集。(2)分析該信息,試圖尋找入侵活動(dòng)的特征。(3)對(duì)檢測(cè)到的行為自動(dòng)作出響應(yīng)。(4)記錄并處理結(jié)果。

(二)入侵檢測(cè)系統(tǒng)的分類[2]

1.根據(jù)目標(biāo)系統(tǒng)的類型來(lái)看,可以分為兩類

(1)基于主機(jī)(Host-Based)的入侵檢測(cè)系統(tǒng)。通常,基于主機(jī)的入侵檢測(cè)系統(tǒng)可監(jiān)測(cè)系統(tǒng)事件和操作系統(tǒng)下的安全記錄以及系統(tǒng)記錄。它通過(guò)監(jiān)視并分析主機(jī)系統(tǒng)的日志、端口調(diào)用和安全審計(jì)記錄等來(lái)檢測(cè)入侵,保護(hù)主機(jī)的系統(tǒng)安全。

(2)基于網(wǎng)絡(luò)(Network-Based)的入侵檢測(cè)系統(tǒng)。該類型的入侵檢測(cè)系統(tǒng)主要作用是針對(duì)保護(hù)網(wǎng)絡(luò)。該系統(tǒng)由混雜模式下的網(wǎng)絡(luò)適配器組成,用來(lái)識(shí)別網(wǎng)絡(luò)中的原始數(shù)據(jù)包,實(shí)時(shí)監(jiān)視并分析通過(guò)網(wǎng)絡(luò)的所有通信業(yè)務(wù)。

2.根據(jù)入侵檢測(cè)系統(tǒng)分析的數(shù)據(jù)來(lái)源

入侵檢測(cè)系統(tǒng)分析的數(shù)據(jù)可以是主機(jī)系統(tǒng)日志、網(wǎng)絡(luò)數(shù)據(jù)包、應(yīng)用程序的日志、防火墻報(bào)警日志以其他入侵檢測(cè)系統(tǒng)的報(bào)警信息等

3.根據(jù)入侵檢測(cè)方法可以分為兩類

(1)異常入侵檢測(cè)檢測(cè)。該類型的系統(tǒng)基于正常狀態(tài)數(shù)據(jù)特征判斷主體系統(tǒng)是否入侵。

(2)誤用入侵檢測(cè)。該檢測(cè)系統(tǒng)收集非正常數(shù)據(jù)特征通過(guò)匹配來(lái)確定系統(tǒng)中是否有入侵和攻擊。

4.根據(jù)系統(tǒng)各個(gè)模塊運(yùn)行的分布方式

(1)集中式入侵檢測(cè)系統(tǒng);(2)分布式入侵檢測(cè)系統(tǒng)。

(三)入侵檢測(cè)的系統(tǒng)的數(shù)據(jù)源

1.基于主機(jī)的數(shù)據(jù)源

(1)系統(tǒng)運(yùn)行狀態(tài)信息;(2)系統(tǒng)記帳信息;(3)系統(tǒng)日志。

2.基于網(wǎng)絡(luò)的數(shù)據(jù)源

(1)SNMP信息;(2)網(wǎng)絡(luò)通信包

3.應(yīng)用程序日志文件

4.其他入侵檢測(cè)系統(tǒng)的報(bào)警信息

三、入侵檢測(cè)技術(shù)

入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?,F(xiàn)象的技術(shù)。它在系統(tǒng)內(nèi)部和各種網(wǎng)絡(luò)資源中主動(dòng)采集信息,從中發(fā)現(xiàn)內(nèi)部、外部攻擊與合法用戶是否濫用特權(quán)。入侵檢測(cè)技術(shù)可以根據(jù)用戶的歷史行為或的當(dāng)前操作,完成對(duì)入侵的檢測(cè),根據(jù)系統(tǒng)入侵的痕跡,來(lái)恢復(fù)和處理數(shù)據(jù)[1]。

(一)入侵檢測(cè)的過(guò)程。入侵檢測(cè)的過(guò)程分為三步:信息收集、信息分析以及告警與響應(yīng)[5]。

1.信息收集。想要入侵檢測(cè)就必須有信息收集,具體內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)以及用戶活動(dòng)的狀態(tài)和行為等。信息收集要盡可能的擴(kuò)大范圍,從一個(gè)信息源來(lái)的信息可能看不出什么,但是從多個(gè)信息源收集到的不同信息能夠最大限度的識(shí)別可疑行為或入侵。

2.信息分析。入侵檢測(cè)系統(tǒng)收集到的信息量非常大,而且大部分都是正常的信息。想要從龐大的信息中找出少部分的異常入侵信息,就要通過(guò)信息分析。所以說(shuō)信息分析是入侵檢測(cè)過(guò)程的核心環(huán)節(jié)。

3.告警與響應(yīng)。入侵檢測(cè)發(fā)現(xiàn)系統(tǒng)發(fā)生變更后,產(chǎn)生警告并采取響應(yīng)措施,告訴管理員有入侵發(fā)生或者直接處理。

(二)入侵分析的模型。入侵分析是入侵檢測(cè)的核心。在這里,我們把入侵分析的處理過(guò)程分為三個(gè)階段:構(gòu)建分析器、對(duì)現(xiàn)場(chǎng)數(shù)據(jù)進(jìn)行分析、反饋和提煉[2]。

1.構(gòu)建分析器

分析器可以執(zhí)行預(yù)處理、分類和后處理的核心功能

(1)可以收集并生成事件信息;(2)分析預(yù)處理信息;(3)建立一個(gè)行為分析引擎。

2.對(duì)現(xiàn)場(chǎng)數(shù)據(jù)進(jìn)行分析

(1)輸入事件記錄;(2)進(jìn)行預(yù)處理;(3)比較事件記錄和知識(shí)庫(kù);(4)產(chǎn)生響應(yīng)。

3.反饋和提煉

(三)入侵檢測(cè)的分析方法

1.誤用檢測(cè)。誤用入侵檢測(cè)的技術(shù)基礎(chǔ)是分析各種類型的攻擊手段,建立相關(guān)的特征庫(kù)。對(duì)當(dāng)前的數(shù)據(jù)源來(lái)源進(jìn)行各種處理后,再進(jìn)行特征匹配或者規(guī)則匹配工作,如果發(fā)現(xiàn)滿足條件的匹配,則認(rèn)為發(fā)生了一次攻擊行為[4]。

2.異常檢測(cè)。異常入侵檢測(cè)通過(guò)觀察當(dāng)前活動(dòng)與系統(tǒng)歷史正常活動(dòng)情況之間的差異來(lái)實(shí)現(xiàn)。首先建立一個(gè)關(guān)于系統(tǒng)正?;顒?dòng)的狀態(tài)模型并不斷進(jìn)行更新,當(dāng)用戶活動(dòng)與正常行為有重大偏離時(shí),則指示發(fā)現(xiàn)了非法攻擊行為[9]。

(四)告警與響應(yīng)

在完成系統(tǒng)安全狀況的分析并確定出系統(tǒng)問(wèn)題以后,就應(yīng)該讓人們知道這些問(wèn)題的存在,這個(gè)階段就叫做響應(yīng)期。響應(yīng)又可以分為兩種模式:被動(dòng)響應(yīng)和主動(dòng)響應(yīng)。

被動(dòng)響應(yīng)就是系統(tǒng)只簡(jiǎn)單的記錄和報(bào)告所檢測(cè)出來(lái)的問(wèn)題,而主動(dòng)響應(yīng)則是系統(tǒng)主動(dòng)阻斷攻擊防止入侵[5]。

四、入侵檢測(cè)技術(shù)的發(fā)展趨勢(shì)

前面介紹了入侵檢測(cè)系統(tǒng)和入侵檢測(cè)技術(shù)的基本概念和功能,并對(duì)典型入侵檢測(cè)技術(shù)進(jìn)行了分析。通過(guò)這些介紹和分析,可以得出結(jié)論:入侵檢測(cè)技術(shù)是網(wǎng)絡(luò)安全解決方案的一個(gè)重要組成部分。雖然入侵檢測(cè)的研究已經(jīng)取得了相當(dāng)?shù)倪M(jìn)展,但是由于現(xiàn)階段信息技術(shù)不斷進(jìn)步,入侵檢測(cè)技術(shù)已不能滿足需要。今后的入侵檢測(cè)技術(shù)主要朝以下幾個(gè)方向發(fā)展:

(一)寬帶高速實(shí)時(shí)的檢測(cè)技術(shù)。網(wǎng)絡(luò)帶寬迅速增長(zhǎng),寬帶接入手段種類繁多,如何實(shí)時(shí)檢測(cè)高速網(wǎng)絡(luò)下的入侵行為成為必須解決的問(wèn)題。因此對(duì)入侵檢測(cè)的處理能力提出更高的要求。

(二)大規(guī)模分布式的檢測(cè)技術(shù)。統(tǒng)一集中式入侵檢測(cè)方式存在明顯的缺陷。首先,對(duì)于大規(guī)模的分布式攻擊會(huì)造成大量的信息處理遺漏,導(dǎo)致漏報(bào)率的增高。其次,由于網(wǎng)絡(luò)傳輸?shù)难訒r(shí)問(wèn)題,收集到的數(shù)據(jù)信息不能實(shí)時(shí)的反映當(dāng)前的網(wǎng)絡(luò)狀態(tài)[7]。為了解決這些問(wèn)題,大部分系統(tǒng)采用了分布式的結(jié)構(gòu)。

(三)智能化入侵檢測(cè)。使用智能化的方法與手段來(lái)進(jìn)行入侵檢測(cè)。所謂的智能化方法,現(xiàn)階段常用的有神經(jīng)網(wǎng)絡(luò)、遺傳算法、模糊技術(shù)、免疫原理等方法,這些方法常用于入侵特征的辨認(rèn)與泛化。從某種程度上講,入侵檢測(cè)技術(shù)一直領(lǐng)先與安全技術(shù)的發(fā)展,兩者相互推動(dòng)、互相促進(jìn)。隨著網(wǎng)絡(luò)的日益普及和各種黑客工具的蔓延,入侵的復(fù)雜化趨勢(shì)也越來(lái)越明顯,向著分布式、隱蔽化方向發(fā)展。因此,為了適應(yīng)新的發(fā)展形式,智能化入侵檢測(cè)具有更廣泛的應(yīng)用前景。

(四)多種分析方法并存。對(duì)于入侵檢測(cè)系統(tǒng),分析方法是系統(tǒng)的核心?,F(xiàn)在的入侵檢測(cè)系統(tǒng)有很多入侵檢測(cè)分析方法,但大部分分析方法只適應(yīng)某些種類的入侵。所以在目前情況下,多種分析方法綜合運(yùn)用是一個(gè)值得研究的問(wèn)題。

五、結(jié)論

入侵檢測(cè)作為一種主動(dòng)性地安全防護(hù)技術(shù),最大的優(yōu)勢(shì)是提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù),預(yù)先對(duì)入侵活動(dòng)進(jìn)行攔截和響應(yīng)。在網(wǎng)絡(luò)信息安全立體縱深、多重防御的發(fā)展趨勢(shì)下,未來(lái)的入侵檢測(cè)系統(tǒng)可以軟硬件結(jié)合,配合其他網(wǎng)絡(luò)管理軟件,提供更加及時(shí)、準(zhǔn)確的檢測(cè)手段。

參考文獻(xiàn):

[[1]Rebecca Gurley Bace.入侵檢測(cè)[M].北京:人民郵電出版社,2001

[2]蔣建春,馮登國(guó).網(wǎng)絡(luò)入侵檢測(cè)原理與技術(shù)[M].北京:國(guó)防工業(yè)出版社,2002

[3]Paul E.Proctor,鄧琦皓等譯.入侵檢測(cè)實(shí)用手冊(cè)[M].北京:中國(guó)電力出版社,2002

[4]韓東海,王超,李群.入侵檢測(cè)系統(tǒng)實(shí)例剖析[M].北京:清華大學(xué)出版社,2002

[5]戴英俠,連一峰等.系統(tǒng)安全與入侵檢測(cè)[M].北京:清華大學(xué)出版,2002

[6]薛靜鋒,寧宇鵬,閻慧.IDS入侵檢測(cè)技術(shù)[M].北京:機(jī)械工業(yè)出版社,2004

[7]宋勁松.網(wǎng)絡(luò)入侵檢測(cè)的分析、發(fā)現(xiàn)和報(bào)告攻擊[M].北京:國(guó)防工業(yè)出版社,2004

篇2

入侵檢測(cè)通過(guò)執(zhí)行以下任務(wù)來(lái)實(shí)現(xiàn):

1、監(jiān)視、分析用戶及系統(tǒng)活動(dòng);

2、系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì);

3、識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警;

4、異常行為模式的統(tǒng)計(jì)分析;

5、評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性;

篇3

關(guān)鍵詞:網(wǎng)絡(luò)信息;管理;入侵檢測(cè)技術(shù)

在現(xiàn)代之中,一些非法分子利用木馬進(jìn)行相應(yīng)的隱藏,然后通過(guò)對(duì)于計(jì)算機(jī)植入木馬,進(jìn)行一些信息的竊取。現(xiàn)代企業(yè)在面臨網(wǎng)絡(luò)非法分子進(jìn)行信息盜取過(guò)程之中,首先應(yīng)該對(duì)于入侵行為有著明確的認(rèn)識(shí),這就需要現(xiàn)代的入侵檢測(cè)技術(shù)了,對(duì)于入侵行為有著明確的判定,才能真正的展開(kāi)后續(xù)行動(dòng),這對(duì)現(xiàn)代網(wǎng)絡(luò)信息管理而言十分重要。

1網(wǎng)絡(luò)信息管理中入侵檢測(cè)技術(shù)概述

(1)入侵檢測(cè)技術(shù)在網(wǎng)絡(luò)信息管理之中的作用。如果說(shuō)現(xiàn)代計(jì)算機(jī)作為系統(tǒng),那么入侵檢測(cè)技術(shù)就相當(dāng)于保安系統(tǒng),對(duì)于關(guān)鍵信息的儲(chǔ)存位置進(jìn)行定期檢查和掃描,一旦發(fā)現(xiàn)外來(lái)不明用戶杜宇關(guān)鍵信息進(jìn)行查詢,便對(duì)使用用戶進(jìn)行警告,幫助用戶進(jìn)行入侵行為的相關(guān)處理,保障關(guān)鍵的信息系統(tǒng)和數(shù)據(jù)信息不會(huì)收到損壞和盜竊。入侵檢測(cè)技術(shù)同樣會(huì)對(duì)系統(tǒng)之中存在的漏洞進(jìn)行檢查和通報(bào),對(duì)于系統(tǒng)之中的漏洞而言,往往便是入侵行為發(fā)生的位置,所以針對(duì)于這些位置進(jìn)行處理,更為良好的保證整個(gè)系統(tǒng)的安全,對(duì)于現(xiàn)代企業(yè)網(wǎng)絡(luò)系統(tǒng)而言,入侵檢測(cè)技術(shù)便是保障的第二道鐵閘。

(2)現(xiàn)階段入侵檢測(cè)技術(shù)的主要流程。通常情況下,入侵檢測(cè)技主要可以分為兩個(gè)階段。第一個(gè)階段便是信息采集,主要便是對(duì)于用戶的各種信息使用行為和重要信息進(jìn)行收集,這些信息的收集主要是通過(guò)對(duì)于重點(diǎn)信息部位的使用信息進(jìn)行查詢得出的,所以說(shuō)在現(xiàn)代應(yīng)用之中,入侵檢測(cè)技術(shù)一方面應(yīng)用了現(xiàn)代的檢測(cè)技術(shù),另外一方面也對(duì)于多種信息都進(jìn)行了收集行為,保證了收集信息的準(zhǔn)確性;第二個(gè)階段便是處理相關(guān)信息,通過(guò)將收集的信息和過(guò)往的信息進(jìn)行有效對(duì)比,然后如果對(duì)比出相關(guān)錯(cuò)誤便進(jìn)行判斷,判斷使用行為是否違背了網(wǎng)絡(luò)安全管理規(guī)范,如果判斷結(jié)果為肯定,那么便可以認(rèn)定其屬于入侵行為,對(duì)于使用用戶進(jìn)行提醒,幫助用戶對(duì)于入侵行為進(jìn)行清除。

2現(xiàn)階段入侵檢測(cè)技術(shù)的使用現(xiàn)狀

(1)網(wǎng)絡(luò)信息管理中入侵檢測(cè)系統(tǒng)的問(wèn)題。入侵檢測(cè)技術(shù)作為一種網(wǎng)絡(luò)輔助軟件去,其本身在現(xiàn)階段并不是完善的,自身也存在漏洞。所以說(shuō)很多非法分子的入侵不僅僅是面對(duì)系統(tǒng)的,很多先通過(guò)入侵技術(shù)的漏洞來(lái)進(jìn)行。針對(duì)現(xiàn)階段的使用過(guò)程而言,入侵檢測(cè)技術(shù)仍然存在自身的漏洞危險(xiǎn),也存在主要使用風(fēng)險(xiǎn)。在現(xiàn)階段存在危險(xiǎn)的方面主要有兩個(gè)方面。一方面便是由于入侵檢測(cè)系統(tǒng)存在漏洞;另外一方面便是現(xiàn)代計(jì)算機(jī)技術(shù)的發(fā)展。無(wú)論是相關(guān)的檢測(cè)系統(tǒng)亦或是相關(guān)病毒,都是現(xiàn)代編程人員利用C語(yǔ)言進(jìn)行編程,伴隨著相關(guān)編程水平的不斷提高,兩種技術(shù)同樣得到了自我發(fā)展,所以說(shuō)很多黑客高手在現(xiàn)代的入侵行為之中,已經(jīng)不能以舊有的眼光來(lái)進(jìn)行相關(guān)分析。所以說(shuō)新的時(shí)期,入侵檢測(cè)技術(shù)也應(yīng)該得到自我的發(fā)展,同樣針對(duì)于應(yīng)用網(wǎng)絡(luò)的相關(guān)企業(yè)做好安全保證,保證信息技術(shù)在現(xiàn)代之中的發(fā)展。

(2)現(xiàn)階段網(wǎng)絡(luò)信息管理之中入侵檢測(cè)技術(shù)存在的問(wèn)題。網(wǎng)絡(luò)信息管理之中的入侵檢測(cè)技術(shù)在現(xiàn)代之中仍然存在問(wèn)題,同樣是兩個(gè)方面問(wèn)題。一方面是由于入侵技術(shù)自身存在漏洞,在現(xiàn)階段很多入侵檢測(cè)技術(shù)是通過(guò)對(duì)于入侵行為進(jìn)行有效的提取,將行為進(jìn)行歸納,對(duì)于行為是否符合現(xiàn)代網(wǎng)絡(luò)安全規(guī)范,然后判斷結(jié)果是否為入侵。很多時(shí)候,入侵行為往往較為隱秘,所以說(shuō)這就導(dǎo)致了相關(guān)的入侵檢測(cè)技術(shù)不能對(duì)于入侵行為進(jìn)行提取,更無(wú)從談起其是否符合網(wǎng)絡(luò)安全規(guī)范。另外一方面的問(wèn)題便是檢測(cè)速度明顯小于入侵速度,這也是在現(xiàn)階段常見(jiàn)的問(wèn)題。隨著現(xiàn)代網(wǎng)絡(luò)技術(shù)的發(fā)展,網(wǎng)絡(luò)速度已經(jīng)得到了有效的自我發(fā)展,很多入侵檢測(cè)過(guò)程之中,很多時(shí)候檢測(cè)速度小于網(wǎng)絡(luò)檢測(cè)速度,這樣的情況下,一些行為尚未進(jìn)行阻攔,便已經(jīng)達(dá)成入侵的目的了,進(jìn)而導(dǎo)致了信息的丟失,所以說(shuō)這方面的問(wèn)題同樣應(yīng)該得到改善。企業(yè)在應(yīng)用之中,也應(yīng)該注意這種速度的問(wèn)題,防止因?yàn)樗俣冗M(jìn)而造成自身信息丟失等。

3網(wǎng)絡(luò)信息管理之中入侵檢測(cè)技術(shù)的具體分類

(1)異常檢測(cè),異常檢測(cè)顧名思義,便是對(duì)于入侵行為進(jìn)行檢測(cè),但是由于入侵的性質(zhì)未定,這就導(dǎo)致很多時(shí)候入侵檢測(cè)技術(shù)進(jìn)行了無(wú)用功?,F(xiàn)階段往往入侵檢測(cè)技術(shù)通過(guò)建立一個(gè)行為輪廓來(lái)進(jìn)行限定,如果入侵行為已經(jīng)超過(guò)了這個(gè)行為輪廓,便確定其為入侵行為。這種模式大大簡(jiǎn)化了行為判定的過(guò)程,但是由于過(guò)于簡(jiǎn)單的相應(yīng)行為也容易出現(xiàn)相關(guān)漏洞。在實(shí)際工作之中,往往非入侵行為但是在行為輪廓行為之外的網(wǎng)絡(luò)訪問(wèn)行為,但是在入侵檢測(cè)技術(shù)之中被判斷為入侵行為,造成了工作的重復(fù)。所以說(shuō)在進(jìn)行行為輪廓的確定時(shí),同樣應(yīng)該由一些特征量來(lái)確定,減少檢測(cè)工作可能出現(xiàn)的失誤,進(jìn)而可以提升檢測(cè)工作的效率;另外一方面可以設(shè)置參考數(shù)值,通過(guò)參考數(shù)值的評(píng)定來(lái)進(jìn)行評(píng)判,在入侵檢測(cè)技術(shù)之中,參考數(shù)值非常重要。

(2)誤用檢測(cè),其應(yīng)用前提便是所有的入侵行為進(jìn)行識(shí)別并且進(jìn)行標(biāo)記。在一般情況下,誤用檢測(cè)便是通過(guò)攻擊方法來(lái)進(jìn)行攻擊簽名,然后再通過(guò)定義已經(jīng)完成的攻擊簽名對(duì)于入侵行為進(jìn)行相關(guān)判斷。很多行為都是通過(guò)漏洞來(lái)進(jìn)行,所以誤用檢測(cè)可以準(zhǔn)確的判斷出相應(yīng)入侵行為,不僅預(yù)防了入侵行為,還可以對(duì)于其他入侵行為進(jìn)行警示作用。這種技術(shù)在實(shí)際使用過(guò)程之中,提升了入侵檢測(cè)數(shù)的效率和準(zhǔn)確。

4結(jié)語(yǔ)

在現(xiàn)代信息技術(shù)得到發(fā)展的今天,網(wǎng)絡(luò)信息管理已經(jīng)成為了現(xiàn)代企業(yè)非常重要的組成部分。針對(duì)于網(wǎng)絡(luò)安全而言,其自身往往具有一些技術(shù)之中的漏洞,所以同樣容易引發(fā)入侵行為。針對(duì)于入侵行為,現(xiàn)代之中有著入侵檢測(cè)技術(shù),本文對(duì)于入侵檢測(cè)技術(shù)的使用進(jìn)行了分析,希望為相關(guān)人員帶來(lái)相關(guān)思考。

參考文獻(xiàn)

[1]張麗.入侵檢測(cè)技術(shù)在網(wǎng)絡(luò)信息管理中的應(yīng)用分析[J].中國(guó)科技博覽,2014,第16期:12-12.

[2]陳瑩瑩.網(wǎng)絡(luò)信息管理中入侵檢測(cè)技術(shù)的研究[J].信息通信,2013,06期:99-99.

篇4

【關(guān)鍵詞】入侵檢測(cè)技術(shù);網(wǎng)絡(luò)安全;具體運(yùn)用

網(wǎng)絡(luò)信息技術(shù)發(fā)展日新月異,人們?cè)谙硎芩鶐?lái)的便利的同時(shí),還受到它所帶來(lái)的網(wǎng)絡(luò)安全問(wèn)題的威脅和危害。網(wǎng)絡(luò)安全是基于對(duì)網(wǎng)絡(luò)系統(tǒng)的軟、硬件系統(tǒng)中的關(guān)鍵數(shù)據(jù)進(jìn)行加密和保護(hù)。隨著網(wǎng)絡(luò)信息技術(shù)的應(yīng)用范圍越來(lái)越廣泛,對(duì)網(wǎng)絡(luò)攻擊的種類增多,程度也越來(lái)越嚴(yán)重,傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)技術(shù)已經(jīng)無(wú)法抵御這些種類與日俱增的惡意入侵和攻擊,逐漸不能適應(yīng)網(wǎng)絡(luò)安全防護(hù)更高的要求。入侵檢測(cè)技術(shù)是作為傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)技術(shù)的一項(xiàng)補(bǔ)充,它擴(kuò)充了系統(tǒng)管理員的安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)等方面的安全管理能力,提升了信息安全基礎(chǔ)結(jié)構(gòu)的完整性,成為網(wǎng)絡(luò)安全防護(hù)中第二道堅(jiān)實(shí)的防線。以下將就入侵檢測(cè)技術(shù)的概念、工作原理等做出系統(tǒng)的歸納,和入侵檢測(cè)技術(shù)在網(wǎng)絡(luò)安全中的具體運(yùn)用進(jìn)行闡述。

1入侵檢測(cè)技術(shù)概述

1.1入侵檢測(cè)的簡(jiǎn)介

入侵檢測(cè)技術(shù),是一種對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的程序進(jìn)行入侵式的檢測(cè)先進(jìn)技術(shù),它肩負(fù)著網(wǎng)絡(luò)安全中第二道防線的任務(wù),起到保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的作用。入侵檢測(cè)是通過(guò)對(duì)安全日志、行為、審計(jì)和其他可獲得的信息以及系統(tǒng)的關(guān)鍵信息的收集并作出分析,以此檢測(cè)出計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略的行為和受攻擊的對(duì)象的一個(gè)工作過(guò)程。它實(shí)施保護(hù)工作的過(guò)程具體可分為:監(jiān)視、分析網(wǎng)絡(luò)用戶和網(wǎng)絡(luò)系統(tǒng)活動(dòng);網(wǎng)絡(luò)安全系統(tǒng)構(gòu)造和弱點(diǎn)的審查評(píng)估;認(rèn)定反映已知進(jìn)攻活動(dòng)并作出警示警告;網(wǎng)絡(luò)系統(tǒng)異常行為的統(tǒng)計(jì)和分析4個(gè)步驟。入侵檢測(cè)技術(shù)能夠同時(shí)兼?zhèn)鋵?shí)時(shí)監(jiān)控內(nèi)部攻擊、外部攻擊和錯(cuò)誤操作的任務(wù),把對(duì)網(wǎng)絡(luò)系統(tǒng)的危害阻截在發(fā)生之前,并對(duì)網(wǎng)絡(luò)入侵作出響應(yīng),是一種相對(duì)傳統(tǒng)的被動(dòng)靜態(tài)網(wǎng)絡(luò)安全防護(hù)技術(shù)提出的一種積極動(dòng)態(tài)網(wǎng)絡(luò)安全防護(hù)技術(shù)。

1.2工作原理

入侵檢測(cè)系統(tǒng)相當(dāng)于一部典型的窺探設(shè)備,它的工作原理是在不用跨接多個(gè)物理網(wǎng)段也不用轉(zhuǎn)發(fā)流量的前提下,通過(guò)收集網(wǎng)絡(luò)上靜態(tài)的、被動(dòng)的相關(guān)數(shù)據(jù)報(bào)文,提取出所收集的數(shù)據(jù)報(bào)文的流量統(tǒng)計(jì)特征的相關(guān)數(shù)據(jù)與入侵檢測(cè)系統(tǒng)內(nèi)置的入侵?jǐn)?shù)據(jù)進(jìn)行智能化的匹配和分析,如果出現(xiàn)匹配耦合度高的數(shù)據(jù)報(bào)文流量,那個(gè)它就被認(rèn)定是入侵攻擊,網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)就會(huì)根據(jù)計(jì)算機(jī)系統(tǒng)所設(shè)定的閥值和相應(yīng)的配置激發(fā)報(bào)警并對(duì)認(rèn)定的入侵攻擊進(jìn)行一定的反擊。

2入侵檢測(cè)技術(shù)網(wǎng)絡(luò)安全中的具體運(yùn)用

入侵檢測(cè)技術(shù)包括了聚類算法、數(shù)據(jù)挖掘技術(shù)和智能分布技術(shù)等幾個(gè)方面。入侵檢測(cè)技術(shù)在網(wǎng)絡(luò)安全中的運(yùn)用,重點(diǎn)是這幾種檢測(cè)技術(shù)合理的運(yùn)用,具體如下。

2.1聚類算法的運(yùn)用

入侵檢測(cè)技術(shù)當(dāng)中的聚類算法在網(wǎng)絡(luò)安全的運(yùn)用具有可以在脫離指導(dǎo)的情況下開(kāi)展網(wǎng)絡(luò)異常檢測(cè)工作??梢詫](méi)有標(biāo)記的數(shù)據(jù)的工作相似的數(shù)據(jù)歸到同一類中,并對(duì)網(wǎng)絡(luò)安全系統(tǒng)運(yùn)行中存在的異常的數(shù)據(jù)迅速高效地識(shí)別出來(lái)。運(yùn)用到網(wǎng)絡(luò)安全,大大提高了網(wǎng)絡(luò)運(yùn)行的可靠程度,使網(wǎng)絡(luò)安全的級(jí)別更上一個(gè)級(jí)別。在實(shí)際情況中,網(wǎng)絡(luò)中通常存在著種類比較多的數(shù)據(jù),當(dāng)中還包括了大量的相似數(shù)據(jù),這些數(shù)據(jù)如同定時(shí)炸彈般隱藏著極大的危險(xiǎn),如不能及時(shí)發(fā)現(xiàn)并攔截處理,就會(huì)破壞網(wǎng)絡(luò)安全系統(tǒng),而聚類算法的運(yùn)用就解決了這一問(wèn)題,為網(wǎng)絡(luò)安全系統(tǒng)正常運(yùn)行提供了保障。

2.2數(shù)據(jù)挖掘技術(shù)的運(yùn)用

數(shù)據(jù)挖掘技術(shù),顧名思義就是對(duì)互聯(lián)網(wǎng)中的傳輸數(shù)據(jù)的挖掘和分析,從而找出數(shù)據(jù)中的錯(cuò)誤、不規(guī)范、異常等的情況,并適當(dāng)?shù)靥幚磉@些非正常的情況。數(shù)據(jù)挖掘技術(shù)在運(yùn)行速度方面占有絕對(duì)的優(yōu)勢(shì),把它運(yùn)用到網(wǎng)絡(luò)安全工作中,這種優(yōu)勢(shì)能很好的體現(xiàn)出來(lái)出來(lái),它運(yùn)用數(shù)據(jù)挖掘技術(shù)中的關(guān)聯(lián)算法和序列挖掘算法來(lái)提取網(wǎng)絡(luò)的行為模式,能夠準(zhǔn)確快速地識(shí)別網(wǎng)絡(luò)中非正常的、不規(guī)范的運(yùn)行程序;并且運(yùn)用分類算法進(jìn)行歸類和預(yù)測(cè)用戶網(wǎng)絡(luò)行為或特權(quán)程序系統(tǒng)的調(diào)用,此外還把聚類算法和數(shù)據(jù)挖掘技術(shù)結(jié)合起來(lái),比較和計(jì)算出每次記錄之間的矢量距自動(dòng)分辨和歸類出用戶的登錄記錄、連接記錄,最后,對(duì)各分類出來(lái)的數(shù)據(jù)給予相應(yīng)的處理。

2.3智能分布技術(shù)的運(yùn)用

智能分布技術(shù)是基于網(wǎng)絡(luò)擴(kuò)展性、智能性、無(wú)關(guān)性等相關(guān)特性而言的對(duì)網(wǎng)絡(luò)安全進(jìn)行檢測(cè)的技術(shù)。該技術(shù)的在網(wǎng)絡(luò)安全中的運(yùn)用,能夠把網(wǎng)絡(luò)特別是較龐大復(fù)雜的網(wǎng)絡(luò)環(huán)境劃分成幾個(gè)區(qū)域來(lái)進(jìn)行檢測(cè),把多個(gè)檢測(cè)點(diǎn)設(shè)定在每一個(gè)區(qū)域中,在整個(gè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)定一個(gè)管理點(diǎn),對(duì)各區(qū)域的檢測(cè)點(diǎn)進(jìn)行檢測(cè)再集中管理,從而分析檢測(cè)出入侵的程序和異常的數(shù)據(jù)等。這樣不但能提高網(wǎng)絡(luò)安全系數(shù),還可以確保對(duì)入侵程序快速準(zhǔn)確地定位,并及時(shí)采取有針對(duì)性的處理方法,極大程度地提高了網(wǎng)絡(luò)安全系統(tǒng)的運(yùn)行效率。

3總結(jié)

隨著網(wǎng)絡(luò)信息技術(shù)的飛速發(fā)展,網(wǎng)絡(luò)應(yīng)用的領(lǐng)域越來(lái)越廣泛,隨之而來(lái)出現(xiàn)的網(wǎng)絡(luò)安全問(wèn)題種類也越來(lái)越多,危害程度越來(lái)越大,傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)技術(shù)對(duì)網(wǎng)絡(luò)安全的作用效果逐漸降低甚至失效,入侵檢測(cè)技術(shù)的出現(xiàn),挽救了這個(gè)局面,通過(guò)把聚類算法、數(shù)據(jù)挖掘技術(shù)、智能分布技術(shù)等入侵檢測(cè)技術(shù)相互配合運(yùn)用到網(wǎng)絡(luò)安全中,為網(wǎng)絡(luò)安全提供了第二道防線的保護(hù),對(duì)入侵網(wǎng)絡(luò)的攻擊進(jìn)行快速有效的攔截和反擊,很大程度降低了入侵攻擊所帶來(lái)的傷害,大大提高了網(wǎng)絡(luò)安全的系數(shù)。是未來(lái)網(wǎng)絡(luò)安全技術(shù)發(fā)展的趨勢(shì)。

參考文獻(xiàn)

[1]張正昊.淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)信息安全及防護(hù)措施[J].科技風(fēng),2014(19).

[2]隋新,劉瑩.入侵檢測(cè)技術(shù)的研究[J].科技通報(bào),2014(11).

[3]孫志寬.計(jì)算機(jī)網(wǎng)絡(luò)安全的現(xiàn)狀及對(duì)策研究[J].科技風(fēng),2014(19).

[4]周小燕.網(wǎng)絡(luò)入侵安全檢查實(shí)踐操作分析[J].無(wú)線互聯(lián)科技,2014(11).

篇5

【關(guān)鍵詞】入侵檢測(cè)技術(shù) 網(wǎng)絡(luò)安全 具體運(yùn)用

網(wǎng)絡(luò)信息技術(shù)發(fā)展日新月異,人們?cè)谙硎芩鶐?lái)的便利的同時(shí),還受到它所帶來(lái)的網(wǎng)絡(luò)安全問(wèn)題的威脅和危害。網(wǎng)絡(luò)安全是基于對(duì)網(wǎng)絡(luò)系統(tǒng)的軟、硬件系統(tǒng)中的關(guān)鍵數(shù)據(jù)進(jìn)行加密和保護(hù)。隨著網(wǎng)絡(luò)信息技術(shù)的應(yīng)用范圍越來(lái)越廣泛,對(duì)網(wǎng)絡(luò)攻擊的種類增多,程度也越來(lái)越嚴(yán)重,傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)技術(shù)已經(jīng)無(wú)法抵御這些種類與日俱增的惡意入侵和攻擊,逐漸不能適應(yīng)網(wǎng)絡(luò)安全防護(hù)更高的要求。入侵檢測(cè)技術(shù)是作為傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)技術(shù)的一項(xiàng)補(bǔ)充,它擴(kuò)充了系統(tǒng)管理員的安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)等方面的安全管理能力,提升了信息安全基礎(chǔ)結(jié)構(gòu)的完整性,成為網(wǎng)絡(luò)安全防護(hù)中第二道堅(jiān)實(shí)的防線。以下將就入侵檢測(cè)技術(shù)的概念、工作原理等做出系統(tǒng)的歸納,和入侵檢測(cè)技術(shù)在網(wǎng)絡(luò)安全中的具體運(yùn)用進(jìn)行闡述。

1 入侵檢測(cè)技術(shù)概述

1.1 入侵檢測(cè)的簡(jiǎn)介

入侵檢測(cè)技術(shù),是一種對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的程序進(jìn)行入侵式的檢測(cè)先進(jìn)技術(shù),它肩負(fù)著網(wǎng)絡(luò)安全中第二道防線的任務(wù),起到保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的作用。入侵檢測(cè)是通過(guò)對(duì)安全日志、行為、審計(jì)和其他可獲得的信息以及系統(tǒng)的關(guān)鍵信息的收集并作出分析,以此檢測(cè)出計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略的行為和受攻擊的對(duì)象的一個(gè)工作過(guò)程。它實(shí)施保護(hù)工作的過(guò)程具體可分為:監(jiān)視、分析網(wǎng)絡(luò)用戶和網(wǎng)絡(luò)系統(tǒng)活動(dòng);網(wǎng)絡(luò)安全系統(tǒng)構(gòu)造和弱點(diǎn)的審查評(píng)估;認(rèn)定反映已知進(jìn)攻活動(dòng)并作出警示警告;網(wǎng)絡(luò)系統(tǒng)異常行為的統(tǒng)計(jì)和分析4個(gè)步驟。入侵檢測(cè)技術(shù)能夠同時(shí)兼?zhèn)鋵?shí)時(shí)監(jiān)控內(nèi)部攻擊、外部攻擊和錯(cuò)誤操作的任務(wù),把對(duì)網(wǎng)絡(luò)系統(tǒng)的危害阻截在發(fā)生之前,并對(duì)網(wǎng)絡(luò)入侵作出響應(yīng),是一種相對(duì)傳統(tǒng)的被動(dòng)靜態(tài)網(wǎng)絡(luò)安全防護(hù)技術(shù)提出的一種積極動(dòng)態(tài)網(wǎng)絡(luò)安全防護(hù)技術(shù)。

1.2 工作原理

入侵檢測(cè)系統(tǒng)相當(dāng)于一部典型的窺探設(shè)備,它的工作原理是在不用跨接多個(gè)物理網(wǎng)段也不用轉(zhuǎn)發(fā)流量的前提下,通過(guò)收集網(wǎng)絡(luò)上靜態(tài)的、被動(dòng)的相關(guān)數(shù)據(jù)報(bào)文,提取出所收集的數(shù)據(jù)報(bào)文的流量統(tǒng)計(jì)特征的相關(guān)數(shù)據(jù)與入侵檢測(cè)系統(tǒng)內(nèi)置的入侵?jǐn)?shù)據(jù)進(jìn)行智能化的匹配和分析,如果出現(xiàn)匹配耦合度高的數(shù)據(jù)報(bào)文流量,那個(gè)它就被認(rèn)定是入侵攻擊,網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)就會(huì)根據(jù)計(jì)算機(jī)系統(tǒng)所設(shè)定的閥值和相應(yīng)的配置激發(fā)報(bào)警并對(duì)認(rèn)定的入侵攻擊進(jìn)行一定的反擊。

2 入侵檢測(cè)技術(shù)網(wǎng)絡(luò)安全中的具體運(yùn)用

入侵檢測(cè)技術(shù)包括了聚類算法、數(shù)據(jù)挖掘技術(shù)和智能分布技術(shù)等幾個(gè)方面。入侵檢測(cè)技術(shù)在網(wǎng)絡(luò)安全中的運(yùn)用,重點(diǎn)是這幾種檢測(cè)技術(shù)合理的運(yùn)用,具體如下。

2.1 聚類算法的運(yùn)用

入侵檢測(cè)技術(shù)當(dāng)中的聚類算法在網(wǎng)絡(luò)安全的運(yùn)用具有可以在脫離指導(dǎo)的情況下開(kāi)展網(wǎng)絡(luò)異常檢測(cè)工作??梢詫](méi)有標(biāo)記的數(shù)據(jù)的工作相似的數(shù)據(jù)歸到同一類中,并對(duì)網(wǎng)絡(luò)安全系統(tǒng)運(yùn)行中存在的異常的數(shù)據(jù)迅速高效地識(shí)別出來(lái)。運(yùn)用到網(wǎng)絡(luò)安全,大大提高了網(wǎng)絡(luò)運(yùn)行的可靠程度,使網(wǎng)絡(luò)安全的級(jí)別更上一個(gè)級(jí)別。在實(shí)際情況中,網(wǎng)絡(luò)中通常存在著種類比較多的數(shù)據(jù),當(dāng)中還包括了大量的相似數(shù)據(jù),這些數(shù)據(jù)如同定時(shí)炸彈般隱藏著極大的危險(xiǎn),如不能及時(shí)發(fā)現(xiàn)并攔截處理,就會(huì)破壞網(wǎng)絡(luò)安全系統(tǒng),而聚類算法的運(yùn)用就解決了這一問(wèn)題,為網(wǎng)絡(luò)安全系統(tǒng)正常運(yùn)行提供了保障。

2.2 數(shù)據(jù)挖掘技術(shù)的運(yùn)用

數(shù)據(jù)挖掘技術(shù),顧名思義就是對(duì)互聯(lián)網(wǎng)中的傳輸數(shù)據(jù)的挖掘和分析,從而找出數(shù)據(jù)中的錯(cuò)誤、不規(guī)范、異常等的情況,并適當(dāng)?shù)靥幚磉@些非正常的情況。數(shù)據(jù)挖掘技術(shù)在運(yùn)行速度方面占有絕對(duì)的優(yōu)勢(shì),把它運(yùn)用到網(wǎng)絡(luò)安全工作中,這種優(yōu)勢(shì)能很好的體現(xiàn)出來(lái)出來(lái),它運(yùn)用數(shù)據(jù)挖掘技術(shù)中的關(guān)聯(lián)算法和序列挖掘算法來(lái)提取網(wǎng)絡(luò)的行為模式,能夠準(zhǔn)確快速地識(shí)別網(wǎng)絡(luò)中非正常的、不規(guī)范的運(yùn)行程序;并且運(yùn)用分類算法進(jìn)行歸類和預(yù)測(cè)用戶網(wǎng)絡(luò)行為或特權(quán)程序系統(tǒng)的調(diào)用,此外還把聚類算法和數(shù)據(jù)挖掘技術(shù)結(jié)合起來(lái),比較和計(jì)算出每次記錄之間的矢量距自動(dòng)分辨和歸類出用戶的登錄記錄、連接記錄,最后,對(duì)各分類出來(lái)的數(shù)據(jù)給予相應(yīng)的處理。

2.3 智能分布技術(shù)的運(yùn)用

智能分布技術(shù)是基于網(wǎng)絡(luò)擴(kuò)展性、智能性、無(wú)關(guān)性等相關(guān)特性而言的對(duì)網(wǎng)絡(luò)安全進(jìn)行檢測(cè)的技術(shù)。該技術(shù)的在網(wǎng)絡(luò)安全中的運(yùn)用,能夠把網(wǎng)絡(luò)特別是較龐大復(fù)雜的網(wǎng)絡(luò)環(huán)境劃分成幾個(gè)區(qū)域來(lái)進(jìn)行檢測(cè),把多個(gè)檢測(cè)點(diǎn)設(shè)定在每一個(gè)區(qū)域中,在整個(gè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)定一個(gè)管理點(diǎn),對(duì)各區(qū)域的檢測(cè)點(diǎn)進(jìn)行檢測(cè)再集中管理,從而分析檢測(cè)出入侵的程序和異常的數(shù)據(jù)等。這樣不但能提高網(wǎng)絡(luò)安全系數(shù),還可以確保對(duì)入侵程序快速準(zhǔn)確地定位,并及時(shí)采取有針對(duì)性的處理方法,極大程度地提高了網(wǎng)絡(luò)安全系統(tǒng)的運(yùn)行效率。

3 總結(jié)

隨著網(wǎng)絡(luò)信息技術(shù)的飛速發(fā)展,網(wǎng)絡(luò)應(yīng)用的領(lǐng)域越來(lái)越廣泛,隨之而來(lái)出現(xiàn)的網(wǎng)絡(luò)安全問(wèn)題種類也越來(lái)越多,危害程度越來(lái)越大,傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)技術(shù)對(duì)網(wǎng)絡(luò)安全的作用效果逐漸降低甚至失效,入侵檢測(cè)技術(shù)的出現(xiàn),挽救了這個(gè)局面,通過(guò)把聚類算法、數(shù)據(jù)挖掘技術(shù)、智能分布技術(shù)等入侵檢測(cè)技術(shù)相互配合運(yùn)用到網(wǎng)絡(luò)安全中,為網(wǎng)絡(luò)安全提供了第二道防線的保護(hù),對(duì)入侵網(wǎng)絡(luò)的攻擊進(jìn)行快速有效的攔截和反擊,很大程度降低了入侵攻擊所帶來(lái)的傷害,大大提高了網(wǎng)絡(luò)安全的系數(shù)。是未來(lái)網(wǎng)絡(luò)安全技術(shù)發(fā)展的趨勢(shì)。

參考文獻(xiàn)

[1]張正昊.淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)信息安全及防護(hù)措施[J].科技風(fēng),2014(19).

[2]隋新,劉瑩.入侵檢測(cè)技術(shù)的研究[J].科技通報(bào),2014(11).

[3]孫志寬.計(jì)算C網(wǎng)絡(luò)安全的現(xiàn)狀及對(duì)策研究[J].科技風(fēng),2014(19).

[4]周小燕.網(wǎng)絡(luò)入侵安全檢查實(shí)踐操作分析[J].無(wú)線互聯(lián)科技,2014(11).

[5]季林鳳.計(jì)算機(jī)數(shù)據(jù)庫(kù)入侵檢測(cè)技術(shù)探析[J].電腦知識(shí)與技術(shù),2014(27).

作者簡(jiǎn)介

闕宏宇(1976-),男,四川省成都市人。軟件工程碩士。講師。研究方向?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)。

梁波(1982-),男,四川省彭州市人。軟件工程碩士。講師。研究方向?yàn)檐浖_(kāi)發(fā)、計(jì)算機(jī)網(wǎng)絡(luò)。

篇6

【關(guān)鍵詞】網(wǎng)絡(luò)安全 入侵檢測(cè)

一、現(xiàn)在網(wǎng)絡(luò)安全隱患

隨著計(jì)算機(jī)技術(shù)的發(fā)展在連結(jié)信息能力、流通能力提高的同時(shí),基于網(wǎng)絡(luò)連接的安全問(wèn)題也日益突出,很多組織正在致力于提出更多的更強(qiáng)大的主動(dòng)策略和方案來(lái)增強(qiáng)網(wǎng)絡(luò)的安全性,然而另一個(gè)更為有效的解決途徑就是入侵檢測(cè)。在入侵檢測(cè)之前,大量的安全機(jī)制都是根據(jù)從主觀的角度設(shè)計(jì)的,他們沒(méi)有根據(jù)網(wǎng)絡(luò)攻擊的具體行為來(lái)決定安全對(duì)策。因此,它們對(duì)入侵行為的反應(yīng)非常遲鈍,很難發(fā)現(xiàn)未知的攻擊行為,不能根據(jù)網(wǎng)絡(luò)行為的變化來(lái)及時(shí)地調(diào)整系統(tǒng)的安全策略。而入侵檢測(cè)正是根據(jù)網(wǎng)絡(luò)攻擊行為而進(jìn)行設(shè)計(jì)的,它不僅能夠發(fā)現(xiàn)已知入侵行為,而且有能力發(fā)現(xiàn)未知的入侵行為,并可以通過(guò)學(xué)習(xí)和分析入侵手段,及時(shí)地調(diào)整系

統(tǒng)策略以加強(qiáng)系統(tǒng)的安全性。

二、入侵檢測(cè)的定義

入侵檢測(cè)是從系統(tǒng)(網(wǎng)絡(luò))的關(guān)鍵點(diǎn)采集信息并分析信息,察看系統(tǒng)(網(wǎng)絡(luò))中是否有違法安全策略的行為,保證系統(tǒng)(網(wǎng)絡(luò))的安全性,完整性和可用性。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息,并分析這些信息,看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測(cè)被認(rèn)為是防火墻之后的第二道安全閘門(mén),在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè),從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。

三、入侵檢測(cè)的系統(tǒng)功能構(gòu)成

一個(gè)入侵檢測(cè)系統(tǒng)的功能結(jié)構(gòu)如圖一所示,它至少包含事件提取、入侵分析、入侵響應(yīng)和遠(yuǎn)程管理四部分功能。

入侵分析的任務(wù)就是在提取到的運(yùn)行數(shù)據(jù)中找出入侵的痕跡,將授權(quán)的正常訪問(wèn)行為和非授權(quán)的不正常訪問(wèn)行為區(qū)分開(kāi),分析出入侵行為并對(duì)入侵者進(jìn)行定位。

入侵響應(yīng)功能在分析出入侵行為后被觸發(fā),根據(jù)入侵行為產(chǎn)生響應(yīng)。

由于單個(gè)入侵檢測(cè)系統(tǒng)的檢測(cè)能力和檢測(cè)范圍的限制,入侵檢測(cè)系統(tǒng)一般采用分布監(jiān)視集中管理的結(jié)構(gòu),多個(gè)檢測(cè)單元運(yùn)行于網(wǎng)絡(luò)中的各個(gè)網(wǎng)段或系統(tǒng)上,通過(guò)遠(yuǎn)程管理功能在一臺(tái)管理站點(diǎn)上實(shí)現(xiàn)統(tǒng)一的管理和監(jiān)控。

四、入侵檢測(cè)系統(tǒng)分類

入侵檢測(cè)系統(tǒng)根據(jù)其檢測(cè)數(shù)據(jù)來(lái)源分為兩類:基于主機(jī)的入侵檢測(cè)系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)。

1.基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)

基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)通過(guò)網(wǎng)絡(luò)監(jiān)視來(lái)實(shí)現(xiàn)數(shù)據(jù)提取。在internet中,局域網(wǎng)普遍采用ieee 802.3協(xié)議。該協(xié)議定義主機(jī)進(jìn)行數(shù)據(jù)傳輸時(shí)采用子網(wǎng)廣播的方式,任何一臺(tái)主機(jī)發(fā)送的數(shù)據(jù)包,都會(huì)在所經(jīng)過(guò)的子網(wǎng)中進(jìn)行廣播,也就是說(shuō),任何一臺(tái)主機(jī)接收和發(fā)送的數(shù)據(jù)都可以被同一子網(wǎng)內(nèi)的其他主機(jī)接收。在正常設(shè)置下,主機(jī)的網(wǎng)卡對(duì)每一個(gè)到達(dá)的數(shù)據(jù)包進(jìn)行過(guò)濾,只將目的地址是本機(jī)的或廣播地址的數(shù)據(jù)包放入接收緩沖區(qū),而將其他數(shù)據(jù)包丟棄,因此,正常情況下網(wǎng)絡(luò)上的主機(jī)表現(xiàn)為只關(guān)心與本機(jī)有關(guān)的數(shù)據(jù)包,但是將網(wǎng)卡的接收模式進(jìn)行適當(dāng)?shù)脑O(shè)置后就可以改變網(wǎng)卡的過(guò)濾策略,使網(wǎng)卡能夠接收經(jīng)過(guò)本網(wǎng)段的所有數(shù)據(jù)包,無(wú)論這些數(shù)據(jù)包的目的地是否是該主機(jī)。網(wǎng)卡的這種接收模式被稱為混雜模式,目前絕大部分網(wǎng)卡都提供這種設(shè)置,因此,在需要的時(shí)候,對(duì)網(wǎng)卡進(jìn)行合理的設(shè)置就能獲得經(jīng)過(guò)本網(wǎng)段的所有通信信息,從而實(shí)現(xiàn)網(wǎng)絡(luò)監(jiān)視的功能。在其他網(wǎng)絡(luò)環(huán)境下,雖然可能不采用廣播的方式傳送報(bào)文,但目前很多路由設(shè)備或交換機(jī)都提供數(shù)據(jù)報(bào)文監(jiān)視功能。

2.基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)

基于主機(jī)的入侵檢測(cè)系統(tǒng)將檢測(cè)模塊駐留在被保護(hù)系統(tǒng)上,通過(guò)提取被保護(hù)系統(tǒng)的運(yùn)行數(shù)據(jù)并進(jìn)行入侵分析來(lái)實(shí)現(xiàn)入侵檢測(cè)的功能。

基于主機(jī)的入侵檢測(cè)系統(tǒng)可以有若干種實(shí)現(xiàn)方法:

檢測(cè)系統(tǒng)設(shè)置以發(fā)現(xiàn)不正當(dāng)?shù)南到y(tǒng)設(shè)置和系統(tǒng)設(shè)置的不正當(dāng)更改對(duì)系統(tǒng)安全狀態(tài)進(jìn)行定期檢查以發(fā)現(xiàn)不正常的安全狀態(tài)。

基于主機(jī)日志的安全審計(jì),通過(guò)分析主機(jī)日志來(lái)發(fā)現(xiàn)入侵行為?;谥鳈C(jī)的入侵檢測(cè)系統(tǒng)具有檢測(cè)效率高,分析代價(jià)小,分析速度快的特點(diǎn),能夠迅速并準(zhǔn)確地定位入侵者,并可以結(jié)合操作系統(tǒng)和應(yīng)用程序的行為特征對(duì)入侵進(jìn)行進(jìn)一步分析。目前很多是基于主機(jī)日志分析的入侵檢測(cè)系統(tǒng)。基于主機(jī)的入侵檢測(cè)系統(tǒng)存在的問(wèn)題是:首先它在一定程度上依賴于系統(tǒng)的可靠性,它要求系統(tǒng)本身應(yīng)該具備基本的安全功能并具有合理的設(shè)置,然后才能提取入侵信息;即使進(jìn)行了正確的設(shè)置,對(duì)操作系統(tǒng)熟悉的攻擊者仍然有可能在入侵行為完成后及時(shí)地將系統(tǒng)日志抹去,從而不被發(fā)覺(jué);并且主機(jī)的日志能夠提供的信息有限,有的入侵手段和途徑不會(huì)在日志中有所反映,日志系統(tǒng)對(duì)有的入侵行為不能做出正確的響應(yīng),例如利用網(wǎng)絡(luò)協(xié)議棧的漏洞進(jìn)行的攻擊,通過(guò)ping命令發(fā)送大數(shù)據(jù)包,造成系統(tǒng)協(xié)議棧溢出而死機(jī),或是利用arp欺騙來(lái)偽裝成其他主機(jī)進(jìn)行通信,這些手段都不會(huì)被高層的日志記錄下來(lái)。在數(shù)據(jù)提取的實(shí)時(shí)性、充分性、可靠性方面基于主機(jī)日志的入侵檢測(cè)系統(tǒng)不如基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)。

五、入侵檢測(cè)技術(shù)的發(fā)展方向

近年對(duì)入侵檢測(cè)技術(shù)有幾個(gè)主要發(fā)展方向:

(1)分布式入侵檢測(cè)與通用入侵檢測(cè)架構(gòu)

傳統(tǒng)的ids一般局限于單一的主機(jī)或網(wǎng)絡(luò)架構(gòu),對(duì)異構(gòu)系統(tǒng)及大規(guī)模的網(wǎng)絡(luò)的監(jiān)測(cè)明顯不足。同時(shí)不同的ids系統(tǒng)之間不能協(xié)同工作能力,為解決這一問(wèn)題,需要分布式入侵檢測(cè)技術(shù)與通用入侵檢測(cè)架構(gòu)。

(2)應(yīng)用層入侵檢測(cè)

許多入侵的語(yǔ)義只有在應(yīng)用層才能理解,而目前的ids僅能檢測(cè)如web之類的通用協(xié)議,而不能處理如lotus notes、數(shù)據(jù)庫(kù)系統(tǒng)等其他的應(yīng)用系統(tǒng)。許多基于客戶、服務(wù)器結(jié)構(gòu)與中間件技術(shù)及對(duì)象技術(shù)的大型應(yīng)用,需要應(yīng)用層的入侵檢測(cè)保護(hù)。

(3)智能的入侵檢測(cè)

入侵方法越來(lái)越多樣化與綜合化,盡管已經(jīng)有智能體、神經(jīng)網(wǎng)絡(luò)與遺傳算法在入侵檢測(cè)領(lǐng)域應(yīng)用研究,但是這只是一些嘗試性的研究工作,需要對(duì)智能化的ids加以進(jìn)一步的研究以解決其自學(xué)習(xí)與自適應(yīng)能力。

入侵檢測(cè)產(chǎn)品仍具有較大的發(fā)展空間,從技術(shù)途徑來(lái)講,我們認(rèn)為,除了完善常規(guī)的、傳統(tǒng)的技術(shù)(模式識(shí)別和完整性檢測(cè))外,應(yīng)重點(diǎn)加強(qiáng)統(tǒng)計(jì)分析的相關(guān)技術(shù)研究。

參考文獻(xiàn):

篇7

關(guān)鍵詞:計(jì)算機(jī)數(shù)據(jù)庫(kù);入侵檢測(cè)技術(shù);網(wǎng)絡(luò)安全

中圖分類號(hào):TP309.2 文獻(xiàn)標(biāo)識(shí)碼:A

計(jì)算機(jī)數(shù)據(jù)庫(kù)普遍受到網(wǎng)絡(luò)與設(shè)備的威脅。計(jì)算機(jī)安全主要是指物理安全與信息安全(網(wǎng)絡(luò)安全),其中信息安全主要是指保護(hù)網(wǎng)絡(luò)信息的完整性、可用性、保密性。據(jù)調(diào)查數(shù)據(jù)表明,信息系統(tǒng)的整體安全方面,數(shù)據(jù)庫(kù)是最容易受到攻擊的部件。計(jì)算機(jī)數(shù)據(jù)庫(kù)主要受到計(jì)算機(jī)病毒或黑客的攻擊,其中與計(jì)算機(jī)病毒的種類相比較,黑客對(duì)計(jì)算機(jī)數(shù)據(jù)庫(kù)的攻擊方法更多、更致命。美國(guó)FBI調(diào)查數(shù)據(jù)顯示,網(wǎng)絡(luò)安全導(dǎo)致每年美國(guó)承受超出170億美元的經(jīng)濟(jì)損失,其中每天被黑客攻擊或病害感染的網(wǎng)頁(yè)達(dá)到15000個(gè)。據(jù)國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心的評(píng)估數(shù)據(jù)表明,2012年中國(guó)“僵尸”電腦數(shù)量已超過(guò)全球“僵尸”電腦總數(shù)的58%。由此可見(jiàn),必須加強(qiáng)對(duì)計(jì)算機(jī)數(shù)據(jù)庫(kù)安全保護(hù)的研究。

1 計(jì)算機(jī)數(shù)據(jù)庫(kù)入侵檢測(cè)技術(shù)的現(xiàn)狀問(wèn)題

經(jīng)過(guò)20余年的發(fā)展,計(jì)算機(jī)數(shù)據(jù)庫(kù)入侵檢測(cè)技術(shù)已相當(dāng)成熟,但不斷出現(xiàn)的新需求及新情況勢(shì)必要求不斷推進(jìn)入侵檢測(cè)技術(shù)。目前主流入侵檢測(cè)系統(tǒng)包括基于主機(jī)的入侵檢測(cè)系統(tǒng)及基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng);主流入侵檢測(cè)方法包括誤用檢測(cè)及異常檢測(cè),其中誤用檢測(cè)要求對(duì)異常行為進(jìn)行建模,把符合特征庫(kù)描述的行為視為攻擊;異常檢測(cè)要求對(duì)正常行為進(jìn)行建模,把不符合特征庫(kù)描述的行為視為攻擊??傮w而言,計(jì)算機(jī)數(shù)據(jù)庫(kù)入侵檢測(cè)技術(shù)發(fā)展的現(xiàn)狀尚不能完全滿足系統(tǒng)安全的要求,同時(shí)仍存有一些問(wèn)題亟待解決。

(1)計(jì)算機(jī)入侵檢測(cè)誤報(bào)漏報(bào)率高:數(shù)據(jù)庫(kù)信息主要由個(gè)人信息及企業(yè)信息組成,因此信息的安全性普遍受到社會(huì)個(gè)體及組織的廣泛關(guān)注,同時(shí)計(jì)算機(jī)入侵檢測(cè)技術(shù)的研發(fā)過(guò)程,研究人員對(duì)某些關(guān)鍵點(diǎn)設(shè)置的要求相當(dāng)高。但此種情況極易受到大量病毒或黑客的入侵,由此導(dǎo)致入侵檢測(cè)結(jié)果的準(zhǔn)確率大幅度下降,同時(shí)某些暫時(shí)提高入侵檢測(cè)結(jié)果準(zhǔn)確率的做法反過(guò)來(lái)亦會(huì)影響到數(shù)據(jù)庫(kù)安全。

(2)計(jì)算機(jī)入侵檢測(cè)的效率較低:任何數(shù)據(jù)入侵或反入侵皆需進(jìn)行大量的二進(jìn)制數(shù)據(jù)計(jì)算,以提高數(shù)據(jù)運(yùn)行的有效性。但龐大的計(jì)算勢(shì)必造成大量的時(shí)間及財(cái)力浪費(fèi),由此阻礙著入侵檢測(cè)效率的提高,同時(shí)也與當(dāng)今網(wǎng)絡(luò)環(huán)境極不相稱。

(3)計(jì)算機(jī)入侵檢測(cè)技術(shù)的自我防御能力較弱:計(jì)算機(jī)入侵檢測(cè)技術(shù)發(fā)展尚不完善,加上設(shè)計(jì)人員的專業(yè)知識(shí)欠缺,因此勢(shì)必影響到計(jì)算機(jī)入侵檢測(cè)技術(shù)自我防御能力的提高。若入侵檢測(cè)技術(shù)被黑客或病毒入侵,有限的防御能力勢(shì)必難以完成入侵檢測(cè),由此必然威脅到數(shù)據(jù)庫(kù)的安全。

(4)計(jì)算機(jī)入侵檢測(cè)技術(shù)的可擴(kuò)展性差:計(jì)算機(jī)入侵檢測(cè)技術(shù)無(wú)自動(dòng)更新功能,因此不能對(duì)新的異常行為或病毒進(jìn)行有效判別,進(jìn)而造成病毒肆意,甚至破壞數(shù)據(jù)庫(kù)的安全防線。

2 計(jì)算機(jī)數(shù)據(jù)庫(kù)入侵檢測(cè)技術(shù)的發(fā)展方向

計(jì)算機(jī)入侵檢測(cè)系統(tǒng)具備網(wǎng)絡(luò)管理、網(wǎng)絡(luò)監(jiān)視及入侵檢測(cè)功能,其主要采用先進(jìn)的分布式架構(gòu)(表1)。入侵檢測(cè)系統(tǒng)包含2300多種規(guī)則,能夠借助智能分析與模式相結(jié)合的方法對(duì)網(wǎng)內(nèi)外傳輸?shù)乃袛?shù)據(jù)進(jìn)行實(shí)時(shí)捕獲,進(jìn)而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)領(lǐng)域存在的入侵行為或異常現(xiàn)象進(jìn)行檢測(cè),同時(shí)借助內(nèi)置的攻擊特征庫(kù)把相關(guān)事件錄入數(shù)據(jù)庫(kù),以便為事后分析提供參考依據(jù)。此外,計(jì)算機(jī)入侵檢測(cè)系統(tǒng)是高效的數(shù)據(jù)采集技術(shù),與內(nèi)容恢復(fù)、狀態(tài)協(xié)議分析、行為分析、異常分析、網(wǎng)絡(luò)審計(jì)等入侵分析技術(shù)具有非常好的兼容性,同時(shí)能夠檢測(cè)到網(wǎng)絡(luò)、端口探察、應(yīng)用層及底層活動(dòng)的掃描攻擊。

結(jié)合表1內(nèi)容及計(jì)算機(jī)入侵檢測(cè)技術(shù)存在的問(wèn)題,本文認(rèn)為計(jì)算機(jī)數(shù)據(jù)庫(kù)入侵檢測(cè)技術(shù)應(yīng)堅(jiān)持“分布型、層次化、智能化檢測(cè)及反術(shù)測(cè)評(píng)標(biāo)準(zhǔn)化”的發(fā)展道路。

(1)分布型檢測(cè)。傳統(tǒng)的入侵檢測(cè)大多被局限到單一網(wǎng)絡(luò)結(jié)構(gòu),主要完成單一網(wǎng)絡(luò)結(jié)構(gòu)的數(shù)據(jù)庫(kù)檢測(cè),此種檢測(cè)方法根本沒(méi)有能力應(yīng)對(duì)大規(guī)模的異構(gòu)體系數(shù)據(jù)庫(kù)。此外,數(shù)據(jù)庫(kù)檢測(cè)體系間的協(xié)同性較弱。針對(duì)此類問(wèn)題,最有效的辦法是采用分布式數(shù)據(jù)庫(kù)入侵檢測(cè)手段。

(2)層次化檢測(cè)。就檢測(cè)范圍而言,傳統(tǒng)的入侵檢測(cè)技術(shù)具有相當(dāng)大的局限性,尤其對(duì)某些高端數(shù)據(jù)庫(kù)系統(tǒng),入侵檢測(cè)技術(shù)尚存在諸多盲點(diǎn)。目前多數(shù)服務(wù)器結(jié)構(gòu)系統(tǒng)皆需多層次的入侵檢測(cè)保護(hù)功能,由此保障網(wǎng)絡(luò)安全。針對(duì)此類問(wèn)題,最有效的辦法是采用層次化的檢測(cè)方式,區(qū)別對(duì)待普通系統(tǒng)與高端數(shù)據(jù)庫(kù)系統(tǒng),由此提高入侵檢測(cè)技術(shù)的作用力。

(3)智能化檢測(cè)。雖然目前使用的計(jì)算機(jī)入侵檢測(cè)技術(shù)已經(jīng)應(yīng)用到遺傳算法及神經(jīng)網(wǎng)絡(luò)等,但應(yīng)用水平尚處在初級(jí)階段或嘗試性階段,因此有必要把智能化入侵檢測(cè)列入專項(xiàng)課題進(jìn)行研究,由此提高計(jì)算機(jī)入侵檢測(cè)的自我適應(yīng)能力。

(4)應(yīng)用入侵檢測(cè)技術(shù)過(guò)程,用戶有必要不定期對(duì)技術(shù)系統(tǒng)進(jìn)行測(cè)評(píng),其中測(cè)評(píng)的內(nèi)容應(yīng)涉及到資源占用比、檢測(cè)范圍、檢測(cè)可靠程度,同時(shí)充分利用測(cè)評(píng)數(shù)據(jù)對(duì)檢測(cè)系統(tǒng)實(shí)施評(píng)估,然后再結(jié)合評(píng)估情況對(duì)檢測(cè)系統(tǒng)進(jìn)行完善。總體而言,依托入侵檢測(cè)技術(shù),計(jì)算機(jī)數(shù)據(jù)庫(kù)系統(tǒng)的安全性勢(shì)必大大增強(qiáng),即入侵檢測(cè)系統(tǒng)通過(guò)化解計(jì)算機(jī)數(shù)據(jù)庫(kù)系統(tǒng)外部的攻擊及排除系統(tǒng)內(nèi)部的潛在威脅,進(jìn)而對(duì)計(jì)算機(jī)數(shù)據(jù)庫(kù)系統(tǒng)實(shí)施有效保護(hù)。

(5)計(jì)算機(jī)數(shù)據(jù)庫(kù)入侵檢測(cè)技術(shù)的強(qiáng)化措施除采取分布型檢測(cè)、層次化檢測(cè)及智能化檢測(cè)外,筆者認(rèn)為創(chuàng)建新型系統(tǒng)模型、建立數(shù)據(jù)庫(kù)知識(shí)標(biāo)準(zhǔn)、減少入侵檢測(cè)的計(jì)算量等皆可加強(qiáng)計(jì)算機(jī)入侵檢測(cè)技術(shù),其中優(yōu)化Apriori算法是一種由Apriori算法改進(jìn)而來(lái)的計(jì)算方法,其對(duì)減少入侵檢測(cè)的計(jì)算量至關(guān)重要,此外優(yōu)化Apriori算法的剪枝候選集功能是顯示入侵檢測(cè)計(jì)算量減少的主要工作。

3 結(jié)束語(yǔ)

綜上所述,入侵檢測(cè)技術(shù)是一種保障計(jì)算機(jī)數(shù)據(jù)庫(kù)免受黑客或病毒入侵的安全防護(hù)高新技術(shù),其不僅能夠化解來(lái)自外界的攻擊(黑客),同時(shí)也能夠排查出內(nèi)部潛在的病毒,進(jìn)而實(shí)現(xiàn)對(duì)計(jì)算機(jī)數(shù)據(jù)庫(kù)的實(shí)時(shí)性保護(hù)。隨著網(wǎng)絡(luò)技術(shù)更新周期的縮短,網(wǎng)絡(luò)安全問(wèn)題越來(lái)越引起社會(huì)的關(guān)注。數(shù)據(jù)庫(kù)是最容易受到黑客與病毒攻擊的部件,加上數(shù)據(jù)庫(kù)存儲(chǔ)有數(shù)以億計(jì)用戶的信息,因此必須采取措施確保計(jì)算機(jī)數(shù)據(jù)率的網(wǎng)絡(luò)安全。盡管入侵檢測(cè)技術(shù)的應(yīng)用已相當(dāng)成熟,但仍然存在諸多問(wèn)題亟待解決,其中包括入侵檢測(cè)誤報(bào)漏報(bào)率高、入侵檢測(cè)的效率較低、入侵檢測(cè)技術(shù)的自我防御能力較弱及入侵檢測(cè)技術(shù)的可擴(kuò)展性差等?;诖?,本文提出計(jì)算機(jī)數(shù)據(jù)庫(kù)入侵檢測(cè)技術(shù)應(yīng)該堅(jiān)持“分布型、層次化、智能化檢測(cè)及反術(shù)測(cè)評(píng)標(biāo)準(zhǔn)化”的發(fā)展道路,由此提高網(wǎng)絡(luò)安全及維護(hù)社會(huì)的安定和諧。

參考文獻(xiàn)

[1] 秋瑜.計(jì)算機(jī)數(shù)據(jù)庫(kù)入侵檢測(cè)技術(shù)分析研究[J].硅谷,2012,(6):79-79.

[2] 王素香.計(jì)算機(jī)數(shù)據(jù)庫(kù)的入侵檢測(cè)技術(shù)分析[J].計(jì)算機(jī)光盤(pán)軟件與應(yīng)用,2013,(1):101.

[3] 李媛媛.計(jì)算機(jī)數(shù)據(jù)庫(kù)的入侵檢測(cè)技術(shù)分析[J].中國(guó)信息化,2013,(14):137-137.

[4] 肖大薇.計(jì)算機(jī)數(shù)據(jù)庫(kù)入侵檢測(cè)技術(shù)分析研究[J].信息系統(tǒng)工程,2012,(4):54-55.

[5] 王世軼.基于數(shù)據(jù)庫(kù)的入侵檢測(cè)技術(shù)分析[J].科技風(fēng),2012,(14):52.

[6] 高超,王麗君.數(shù)據(jù)挖掘技術(shù)在基于系統(tǒng)調(diào)用的入侵檢測(cè)中的應(yīng)用[J].鞍山科技大學(xué)學(xué)報(bào),2006,29(1):45-49.

篇8

【關(guān)鍵詞】計(jì)算機(jī)數(shù)據(jù)庫(kù) 入侵檢測(cè) 措施

當(dāng)今時(shí)代是信息技術(shù)與安全問(wèn)題并行的時(shí)代,社會(huì)經(jīng)濟(jì)的高速發(fā)展必然伴隨著某些安全問(wèn)題的發(fā)生,所以數(shù)據(jù)庫(kù)的安全已經(jīng)成為人民大眾和政府企業(yè)的工作保證。盡管當(dāng)下防火墻廣泛應(yīng)用,但是仍然不能保證可以完全抵御黑客的入侵,所以入侵檢測(cè)技術(shù)成為了新時(shí)代下社會(huì)關(guān)注的重點(diǎn),入侵檢測(cè)技術(shù)不僅能夠解決數(shù)據(jù)庫(kù)面臨的種種威脅,更能及時(shí)發(fā)現(xiàn)入侵對(duì)象并進(jìn)行及時(shí)的修補(bǔ),但是在實(shí)踐過(guò)程中也出現(xiàn)了這樣或那樣的問(wèn)題,下面將進(jìn)行詳盡的論述。

1 入侵檢測(cè)

入侵檢測(cè)是一種對(duì)入侵行為進(jìn)行檢測(cè)、識(shí)別和回應(yīng)的一種安全技術(shù)。主要通過(guò)分析檢測(cè)計(jì)算機(jī)系統(tǒng)、安全日志、電腦數(shù)據(jù)及網(wǎng)絡(luò)行為等方式來(lái)判斷是否遭到入侵,從而更好的對(duì)計(jì)算機(jī)進(jìn)行全方位的安全保護(hù)。入侵檢測(cè)的主要行為有以下五點(diǎn):一是對(duì)用戶行為進(jìn)行監(jiān)察;二是對(duì)計(jì)算機(jī)的運(yùn)行系統(tǒng)進(jìn)行審查;三是對(duì)入侵行為進(jìn)行識(shí)別并發(fā)出警報(bào);四是對(duì)異常行為進(jìn)行統(tǒng)計(jì)和記錄,并進(jìn)而評(píng)估計(jì)算機(jī)系統(tǒng)的危險(xiǎn)系數(shù);五是對(duì)計(jì)算機(jī)系統(tǒng)的監(jiān)察情況進(jìn)行跟蹤管理。當(dāng)前入侵檢測(cè)技術(shù)雖然已經(jīng)在多個(gè)方面得到了效果良好的實(shí)踐效果,但是仍然有很多不足之處,下面主要概述一下計(jì)算機(jī)數(shù)據(jù)庫(kù)檢測(cè)系統(tǒng)在應(yīng)用中出現(xiàn)的問(wèn)題。

2 常見(jiàn)問(wèn)題

我國(guó)計(jì)算機(jī)數(shù)據(jù)庫(kù)一般采用防火墻安全模式,加上入侵檢測(cè)技術(shù)的發(fā)展起步較晚,因而在很多方面還不成熟,在實(shí)踐過(guò)程中主要發(fā)現(xiàn)了以下問(wèn)題。

2.1 防御能力偏弱

由于入侵檢測(cè)技術(shù)尚不成熟,所以從事數(shù)據(jù)庫(kù)入侵檢測(cè)技術(shù)的技術(shù)團(tuán)隊(duì)也沒(méi)有形成很好的規(guī)模,而且資金投入的匱乏性也使得人們對(duì)入侵檢測(cè)技術(shù)工作的積極性不高。就當(dāng)前我國(guó)部分發(fā)展較好的地區(qū)而言,數(shù)據(jù)庫(kù)的入侵檢測(cè)技術(shù)相對(duì)落后,且技術(shù)人員自身也缺乏專業(yè)的解決問(wèn)題的能力,對(duì)于實(shí)際操作中臨時(shí)出現(xiàn)的新問(wèn)題無(wú)法做到很好的應(yīng)對(duì),這種遇到黑客和病毒入侵時(shí)無(wú)法及時(shí)應(yīng)對(duì)的現(xiàn)狀容易導(dǎo)致數(shù)據(jù)庫(kù)系統(tǒng)的癱瘓,給企業(yè)和個(gè)人造成數(shù)據(jù)被盜走或損毀的損失,嚴(yán)重者也可能威脅到國(guó)家相關(guān)部門(mén)的安全防御。

2.2 錯(cuò)誤率高

入侵檢測(cè)技術(shù)的最直接目的就是保護(hù)計(jì)算機(jī)數(shù)據(jù)庫(kù)的隱私,避免數(shù)據(jù)的流失和泄露,因而在對(duì)檢測(cè)關(guān)卡的要求非常嚴(yán)格。如此一來(lái),在入侵檢測(cè)技術(shù)實(shí)際的運(yùn)行過(guò)程中可能會(huì)出現(xiàn)很多系統(tǒng)性的檢測(cè)錯(cuò)誤,在各種系統(tǒng)性錯(cuò)誤上報(bào)的同時(shí)可能潛伏著真正的病毒,但是系統(tǒng)很有可能一時(shí)間承受不了龐大的信息量而出現(xiàn)漏檢的情況,而且對(duì)于一些應(yīng)用軟件的誤檢也會(huì)給工作人員帶來(lái)時(shí)間與精力上的雙重浪費(fèi),嚴(yán)重影響著檢測(cè)工作的效率,計(jì)算機(jī)數(shù)據(jù)庫(kù)的安全也得不到保障。

2.3 效率低下

前面講到,入侵檢測(cè)技術(shù)的目的主要是對(duì)于病毒進(jìn)行識(shí)別和查殺,而檢測(cè)技術(shù)的關(guān)鍵點(diǎn)就在于速度,因而高效率的檢測(cè)是入侵檢測(cè)技術(shù)的重中之重。由于計(jì)算機(jī)數(shù)據(jù)庫(kù)的信息量過(guò)大且運(yùn)行程序較多,所以入侵檢測(cè)技術(shù)整個(gè)運(yùn)行過(guò)程可以說(shuō)是比較復(fù)雜,一方面造成了檢測(cè)工作的前期成本較高,另一方面也容易造成漏檢、誤檢等錯(cuò)誤行為。除此之外,我國(guó)當(dāng)前的檢測(cè)技術(shù)發(fā)展在很多方面都存在著欠缺,因而更新的速度也較慢,這也會(huì)對(duì)檢測(cè)系統(tǒng)造成不利影響,在一定程度上滯后了入侵檢測(cè)技術(shù)的發(fā)展。

3 優(yōu)化措施

當(dāng)前數(shù)據(jù)庫(kù)已經(jīng)成為了各類企業(yè)和政府有關(guān)部門(mén)的安全保障,只有針對(duì)這些數(shù)據(jù)庫(kù)系統(tǒng)采用必要的保護(hù)措施,才能確保計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)的可靠性、安全性和保密性。

3.1 優(yōu)化算法

這種算法是基于大型項(xiàng)目的調(diào)查而應(yīng)用的一種算法,其主要目的是可以大幅度的消減系統(tǒng)運(yùn)行中的候選項(xiàng)目,在數(shù)據(jù)庫(kù)檢測(cè)技術(shù)中可以產(chǎn)生很好的實(shí)踐效果。該種算法在生成候選項(xiàng)時(shí)會(huì)產(chǎn)生很多錯(cuò)誤的項(xiàng)目集合的候選集,而且在連接程序中相同的項(xiàng)目會(huì)有很大程度的重復(fù)性,所以很容易導(dǎo)致檢測(cè)技術(shù)利用率相對(duì)降低。所以在今后的實(shí)踐中可以首先對(duì)項(xiàng)目數(shù)量進(jìn)行優(yōu)化和減少,尤其是待選項(xiàng)目的總量,從整體上減少工作量;其次對(duì)數(shù)據(jù)庫(kù)進(jìn)行合理的分析檢查,把數(shù)據(jù)庫(kù)的準(zhǔn)備工作做好盡量做到一次做完編碼,提高算法的效率。

3.2 建立合理模型

入侵檢測(cè)系統(tǒng)的工作原理主要是通過(guò)系統(tǒng)檢測(cè)-判斷行為-入侵警報(bào)這三個(gè)環(huán)節(jié)來(lái)達(dá)到保證計(jì)算機(jī)數(shù)據(jù)庫(kù)安全的目的。系統(tǒng)主要由數(shù)據(jù)庫(kù)借口零部件、數(shù)據(jù)手機(jī)模塊、數(shù)據(jù)分析處理模塊、數(shù)據(jù)挖掘模塊及入侵檢測(cè)模塊等五個(gè)主要部分組成,為了使各個(gè)模塊真正的發(fā)揮出作用,需要根據(jù)人們所需重新設(shè)計(jì)出最新的數(shù)據(jù)庫(kù)模型,具體設(shè)計(jì)如下:

(1)數(shù)據(jù)收集。系統(tǒng)要在入侵檢測(cè)的過(guò)程中對(duì)系統(tǒng)不同的數(shù)據(jù)進(jìn)行收集和記錄,做好前期的準(zhǔn)備工作。

(2)分析挖掘。系統(tǒng)要按照設(shè)定好的要求對(duì)采集到的數(shù)據(jù)進(jìn)行合理挖掘,建立好數(shù)據(jù)庫(kù)。

(3)模式調(diào)整。要求入侵檢測(cè)技術(shù)要可以根據(jù)系統(tǒng)設(shè)定來(lái)將不符合規(guī)定的數(shù)據(jù)要求做好技術(shù)準(zhǔn)確的處理。

(4)提取特征。要求系統(tǒng)可以根據(jù)用戶的行為數(shù)據(jù)判斷出用戶的行為特征,并對(duì)不同的用戶行為特征進(jìn)行分類匯總。

(5)入侵檢測(cè)。這里主要要求系統(tǒng)應(yīng)用相關(guān)算法,從數(shù)據(jù)庫(kù)里提取相關(guān)的數(shù)據(jù)信息并輔以相關(guān)用戶行為特征,根據(jù)檢測(cè)結(jié)果來(lái)采取相對(duì)應(yīng)的措施。

4 總結(jié)

根據(jù)計(jì)算機(jī)數(shù)據(jù)庫(kù)入侵技術(shù)檢測(cè)的現(xiàn)狀,其今后的發(fā)展趨勢(shì)主要向智能化發(fā)展。數(shù)據(jù)庫(kù)的安全性對(duì)于政府部門(mén)、企業(yè)和個(gè)人都有著非常重要的實(shí)際意義,本文主要分析了當(dāng)前入侵檢測(cè)系統(tǒng)中出現(xiàn)的問(wèn)題來(lái)讓讀者明確計(jì)算機(jī)數(shù)據(jù)庫(kù)的重要性,并對(duì)數(shù)據(jù)庫(kù)入侵檢測(cè)技術(shù)的未來(lái)發(fā)展提出了自身的建議措施,最大程度的提升入侵檢測(cè)技術(shù)對(duì)計(jì)算機(jī)數(shù)據(jù)庫(kù)的安全防護(hù)作用。

參考文獻(xiàn)

篇9

關(guān)鍵詞入侵檢測(cè)異常檢測(cè)誤用檢測(cè)

在網(wǎng)絡(luò)技術(shù)日新月異的今天,論文基于網(wǎng)絡(luò)的計(jì)算機(jī)應(yīng)用已經(jīng)成為發(fā)展的主流。政府、教育、商業(yè)、金融等機(jī)構(gòu)紛紛聯(lián)入Internet,全社會(huì)信息共享已逐步成為現(xiàn)實(shí)。然而,近年來(lái),網(wǎng)上黑客的攻擊活動(dòng)正以每年10倍的速度增長(zhǎng)。因此,保證計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)以及整個(gè)信息基礎(chǔ)設(shè)施的安全已經(jīng)成為刻不容緩的重要課題。

1防火墻

目前防范網(wǎng)絡(luò)攻擊最常用的方法是構(gòu)建防火墻。

防火墻作為一種邊界安全的手段,在網(wǎng)絡(luò)安全保護(hù)中起著重要作用。其主要功能是控制對(duì)網(wǎng)絡(luò)的非法訪問(wèn),通過(guò)監(jiān)視、限制、更改通過(guò)網(wǎng)絡(luò)的數(shù)據(jù)流,一方面盡可能屏蔽內(nèi)部網(wǎng)的拓?fù)浣Y(jié)構(gòu),另一方面對(duì)內(nèi)屏蔽外部危險(xiǎn)站點(diǎn),以防范外對(duì)內(nèi)的非法訪問(wèn)。然而,防火墻存在明顯的局限性。

(1)入侵者可以找到防火墻背后可能敞開(kāi)的后門(mén)。如同深宅大院的高大院墻不能擋住老鼠的偷襲一樣,防火墻有時(shí)無(wú)法阻止入侵者的攻擊。

(2)防火墻不能阻止來(lái)自內(nèi)部的襲擊。調(diào)查發(fā)現(xiàn),50%的攻擊都將來(lái)自于網(wǎng)絡(luò)內(nèi)部。

(3)由于性能的限制,防火墻通常不能提供實(shí)時(shí)的入侵檢測(cè)能力。畢業(yè)論文而這一點(diǎn),對(duì)于層出不窮的網(wǎng)絡(luò)攻擊技術(shù)來(lái)說(shuō)是至關(guān)重要的。

因此,在Internet入口處部署防火墻系統(tǒng)是不能確保安全的。單純的防火墻策略已經(jīng)無(wú)法滿足對(duì)安全高度敏感部門(mén)的需要,網(wǎng)絡(luò)的防衛(wèi)必須采用一種縱深的、多樣化的手段。

由于傳統(tǒng)防火墻存在缺陷,引發(fā)了入侵檢測(cè)IDS(IntrusionDetectionSystem)的研究和開(kāi)發(fā)。入侵檢測(cè)是防火墻之后的第二道安全閘門(mén),是對(duì)防火墻的合理補(bǔ)充,在不影響網(wǎng)絡(luò)性能的情況下,通過(guò)對(duì)網(wǎng)絡(luò)的監(jiān)測(cè),幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊,擴(kuò)展系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)),提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性,提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)?,F(xiàn)在,入侵檢測(cè)已經(jīng)成為網(wǎng)絡(luò)安全中一個(gè)重要的研究方向,在各種不同的網(wǎng)絡(luò)環(huán)境中發(fā)揮重要作用。

2入侵檢測(cè)

2.1入侵檢測(cè)

入侵檢測(cè)是通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析,從中發(fā)現(xiàn)違反安全策略的行為和遭到攻擊的跡象,并做出自動(dòng)的響應(yīng)。其主要功能是對(duì)用戶和系統(tǒng)行為的監(jiān)測(cè)與分析、系統(tǒng)配置和漏洞的審計(jì)檢查、重要系統(tǒng)和數(shù)據(jù)文件的完整性評(píng)估、已知的攻擊行為模式的識(shí)別、異常行為模式的統(tǒng)計(jì)分析、操作系統(tǒng)的審計(jì)跟蹤管理及違反安全策略的用戶行為的識(shí)別。入侵檢測(cè)通過(guò)迅速地檢測(cè)入侵,在可能造成系統(tǒng)損壞或數(shù)據(jù)丟失之前,識(shí)別并驅(qū)除入侵者,使系統(tǒng)迅速恢復(fù)正常工作,并且阻止入侵者進(jìn)一步的行動(dòng)。同時(shí),收集有關(guān)入侵的技術(shù)資料,用于改進(jìn)和增強(qiáng)系統(tǒng)抵抗入侵的能力。

入侵檢測(cè)可分為基于主機(jī)型、基于網(wǎng)絡(luò)型、基于型三類。從20世紀(jì)90年代至今,英語(yǔ)論文已經(jīng)開(kāi)發(fā)出一些入侵檢測(cè)的產(chǎn)品,其中比較有代表性的產(chǎn)品有ISS(IntemetSecuritySystem)公司的Realsecure,NAI(NetworkAssociates,Inc)公司的Cybercop和Cisco公司的NetRanger。

2.2檢測(cè)技術(shù)

入侵檢測(cè)為網(wǎng)絡(luò)安全提供實(shí)時(shí)檢測(cè)及攻擊行為檢測(cè),并采取相應(yīng)的防護(hù)手段。例如,實(shí)時(shí)檢測(cè)通過(guò)記錄證據(jù)來(lái)進(jìn)行跟蹤、恢復(fù)、斷開(kāi)網(wǎng)絡(luò)連接等控制;攻擊行為檢測(cè)注重于發(fā)現(xiàn)信息系統(tǒng)中可能已經(jīng)通過(guò)身份檢查的形跡可疑者,進(jìn)一步加強(qiáng)信息系統(tǒng)的安全力度。入侵檢測(cè)的步驟如下:

收集系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為的信息

入侵檢測(cè)一般采用分布式結(jié)構(gòu),在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)(不同網(wǎng)段和不同主機(jī))收集信息,一方面擴(kuò)大檢測(cè)范圍,另一方面通過(guò)多個(gè)采集點(diǎn)的信息的比較來(lái)判斷是否存在可疑現(xiàn)象或發(fā)生入侵行為。

入侵檢測(cè)所利用的信息一般來(lái)自以下4個(gè)方面:系統(tǒng)和網(wǎng)絡(luò)日志文件、目錄和文件中的不期望的改變、程序執(zhí)行中的不期望行為、物理形式的入侵信息。

(2)根據(jù)收集到的信息進(jìn)行分析

常用的分析方法有模式匹配、統(tǒng)計(jì)分析、完整性分析。模式匹配是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫(kù)進(jìn)行比較,從而發(fā)現(xiàn)違背安全策略的行為。

統(tǒng)計(jì)分析方法首先給系統(tǒng)對(duì)象(如用戶、文件、目錄和設(shè)備等)創(chuàng)建一個(gè)統(tǒng)計(jì)描述,統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性。測(cè)量屬性的平均值將被用來(lái)與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較。當(dāng)觀察值超出正常值范圍時(shí),就有可能發(fā)生入侵行為。該方法的難點(diǎn)是閾值的選擇,閾值太小可能產(chǎn)生錯(cuò)誤的入侵報(bào)告,閾值太大可能漏報(bào)一些入侵事件。

完整性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓?,包括文件和目錄的?nèi)容及屬性。該方法能有效地防范特洛伊木馬的攻擊。

3分類及存在的問(wèn)題

入侵檢測(cè)通過(guò)對(duì)入侵和攻擊行為的檢測(cè),查出系統(tǒng)的入侵者或合法用戶對(duì)系統(tǒng)資源的濫用和誤用。工作總結(jié)根據(jù)不同的檢測(cè)方法,將入侵檢測(cè)分為異常入侵檢測(cè)(AnomalyDetection)和誤用人侵檢測(cè)(MisuseDetection)。

3.1異常檢測(cè)

又稱為基于行為的檢測(cè)。其基本前提是:假定所有的入侵行為都是異常的。首先建立系統(tǒng)或用戶的“正?!毙袨樘卣鬏喞?,通過(guò)比較當(dāng)前的系統(tǒng)或用戶的行為是否偏離正常的行為特征輪廓來(lái)判斷是否發(fā)生了入侵。此方法不依賴于是否表現(xiàn)出具體行為來(lái)進(jìn)行檢測(cè),是一種間接的方法。

常用的具體方法有:統(tǒng)計(jì)異常檢測(cè)方法、基于特征選擇異常檢測(cè)方法、基于貝葉斯推理異常檢測(cè)方法、基于貝葉斯網(wǎng)絡(luò)異常檢測(cè)方法、基于模式預(yù)測(cè)異常檢測(cè)方法、基于神經(jīng)網(wǎng)絡(luò)異常檢測(cè)方法、基于機(jī)器學(xué)習(xí)異常檢測(cè)方法、基于數(shù)據(jù)采掘異常檢測(cè)方法等。

采用異常檢測(cè)的關(guān)鍵問(wèn)題有如下兩個(gè)方面:

(1)特征量的選擇

在建立系統(tǒng)或用戶的行為特征輪廓的正常模型時(shí),選取的特征量既要能準(zhǔn)確地體現(xiàn)系統(tǒng)或用戶的行為特征,又能使模型最優(yōu)化,即以最少的特征量就能涵蓋系統(tǒng)或用戶的行為特征。(2)參考閾值的選定

由于異常檢測(cè)是以正常的特征輪廓作為比較的參考基準(zhǔn),因此,參考閾值的選定是非常關(guān)鍵的。

閾值設(shè)定得過(guò)大,那漏警率會(huì)很高;閾值設(shè)定的過(guò)小,則虛警率就會(huì)提高。合適的參考閾值的選定是決定這一檢測(cè)方法準(zhǔn)確率的至關(guān)重要的因素。

由此可見(jiàn),異常檢測(cè)技術(shù)難點(diǎn)是“正?!毙袨樘卣鬏喞拇_定、特征量的選取、特征輪廓的更新。由于這幾個(gè)因素的制約,異常檢測(cè)的虛警率很高,但對(duì)于未知的入侵行為的檢測(cè)非常有效。此外,由于需要實(shí)時(shí)地建立和更新系統(tǒng)或用戶的特征輪廓,這樣所需的計(jì)算量很大,對(duì)系統(tǒng)的處理性能要求很高。

3.2誤用檢測(cè)

又稱為基于知識(shí)的檢測(cè)。其基本前提是:假定所有可能的入侵行為都能被識(shí)別和表示。首先,留學(xué)生論文對(duì)已知的攻擊方法進(jìn)行攻擊簽名(攻擊簽名是指用一種特定的方式來(lái)表示已知的攻擊模式)表示,然后根據(jù)已經(jīng)定義好的攻擊簽名,通過(guò)判斷這些攻擊簽名是否出現(xiàn)來(lái)判斷入侵行為的發(fā)生與否。這種方法是依據(jù)是否出現(xiàn)攻擊簽名來(lái)判斷入侵行為,是一種直接的方法。

常用的具體方法有:基于條件概率誤用入侵檢測(cè)方法、基于專家系統(tǒng)誤用入侵檢測(cè)方法、基于狀態(tài)遷移分析誤用入侵檢測(cè)方法、基于鍵盤(pán)監(jiān)控誤用入侵檢測(cè)方法、基于模型誤用入侵檢測(cè)方法。誤用檢測(cè)的關(guān)鍵問(wèn)題是攻擊簽名的正確表示。

誤用檢測(cè)是根據(jù)攻擊簽名來(lái)判斷入侵的,根據(jù)對(duì)已知的攻擊方法的了解,用特定的模式語(yǔ)言來(lái)表示這種攻擊,使得攻擊簽名能夠準(zhǔn)確地表示入侵行為及其所有可能的變種,同時(shí)又不會(huì)把非入侵行為包含進(jìn)來(lái)。由于多數(shù)入侵行為是利用系統(tǒng)的漏洞和應(yīng)用程序的缺陷,因此,通過(guò)分析攻擊過(guò)程的特征、條件、排列以及事件間的關(guān)系,就可具體描述入侵行為的跡象。這些跡象不僅對(duì)分析已經(jīng)發(fā)生的入侵行為有幫助,而且對(duì)即將發(fā)生的入侵也有預(yù)警作用。

誤用檢測(cè)將收集到的信息與已知的攻擊簽名模式庫(kù)進(jìn)行比較,從中發(fā)現(xiàn)違背安全策略的行為。由于只需要收集相關(guān)的數(shù)據(jù),這樣系統(tǒng)的負(fù)擔(dān)明顯減少。該方法類似于病毒檢測(cè)系統(tǒng),其檢測(cè)的準(zhǔn)確率和效率都比較高。但是它也存在一些缺點(diǎn)。

3.2.1不能檢測(cè)未知的入侵行為

由于其檢測(cè)機(jī)理是對(duì)已知的入侵方法進(jìn)行模式提取,對(duì)于未知的入侵方法就不能進(jìn)行有效的檢測(cè)。也就是說(shuō)漏警率比較高。

3.2.2與系統(tǒng)的相關(guān)性很強(qiáng)

對(duì)于不同實(shí)現(xiàn)機(jī)制的操作系統(tǒng),由于攻擊的方法不盡相同,很難定義出統(tǒng)一的模式庫(kù)。另外,誤用檢測(cè)技術(shù)也難以檢測(cè)出內(nèi)部人員的入侵行為。

目前,由于誤用檢測(cè)技術(shù)比較成熟,多數(shù)的商業(yè)產(chǎn)品都主要是基于誤用檢測(cè)模型的。不過(guò),為了增強(qiáng)檢測(cè)功能,不少產(chǎn)品也加入了異常檢測(cè)的方法。

4入侵檢測(cè)的發(fā)展方向

隨著信息系統(tǒng)對(duì)一個(gè)國(guó)家的社會(huì)生產(chǎn)與國(guó)民經(jīng)濟(jì)的影響越來(lái)越大,再加上網(wǎng)絡(luò)攻擊者的攻擊工具與手法日趨復(fù)雜化,信息戰(zhàn)已逐步被各個(gè)國(guó)家重視。近年來(lái),入侵檢測(cè)有如下幾個(gè)主要發(fā)展方向:

4.1分布式入侵檢測(cè)與通用入侵檢測(cè)架構(gòu)

傳統(tǒng)的IDS一般局限于單一的主機(jī)或網(wǎng)絡(luò)架構(gòu),對(duì)異構(gòu)系統(tǒng)及大規(guī)模的網(wǎng)絡(luò)的監(jiān)測(cè)明顯不足,再加上不同的IDS系統(tǒng)之間不能很好地協(xié)同工作。為解決這一問(wèn)題,需要采用分布式入侵檢測(cè)技術(shù)與通用入侵檢測(cè)架構(gòu)。

4.2應(yīng)用層入侵檢測(cè)

許多入侵的語(yǔ)義只有在應(yīng)用層才能理解,然而目前的IDS僅能檢測(cè)到諸如Web之類的通用協(xié)議,而不能處理LotusNotes、數(shù)據(jù)庫(kù)系統(tǒng)等其他的應(yīng)用系統(tǒng)。許多基于客戶/服務(wù)器結(jié)構(gòu)、中間件技術(shù)及對(duì)象技術(shù)的大型應(yīng)用,也需要應(yīng)用層的入侵檢測(cè)保護(hù)。

4.3智能的入侵檢測(cè)

入侵方法越來(lái)越多樣化與綜合化,盡管已經(jīng)有智能體、神經(jīng)網(wǎng)絡(luò)與遺傳算法在入侵檢測(cè)領(lǐng)域應(yīng)用研究,但是,這只是一些嘗試性的研究工作,需要對(duì)智能化的IDS加以進(jìn)一步的研究,以解決其自學(xué)習(xí)與自適應(yīng)能力。

4.4入侵檢測(cè)的評(píng)測(cè)方法

用戶需對(duì)眾多的IDS系統(tǒng)進(jìn)行評(píng)價(jià),評(píng)價(jià)指標(biāo)包括IDS檢測(cè)范圍、系統(tǒng)資源占用、IDS自身的可靠性,從而設(shè)計(jì)出通用的入侵檢測(cè)測(cè)試與評(píng)估方法與平臺(tái),實(shí)現(xiàn)對(duì)多種IDS的檢測(cè)。

4.5全面的安全防御方案

結(jié)合安全工程風(fēng)險(xiǎn)管理的思想與方法來(lái)處理網(wǎng)絡(luò)安全問(wèn)題,將網(wǎng)絡(luò)安全作為一個(gè)整體工程來(lái)處理。從管理、網(wǎng)絡(luò)結(jié)構(gòu)、加密通道、防火墻、病毒防護(hù)、入侵檢測(cè)多方位全面對(duì)所關(guān)注的網(wǎng)絡(luò)作全面的評(píng)估,然后提出可行的全面解決方案。

綜上所述,入侵檢測(cè)作為一種積極主動(dòng)的安全防護(hù)技術(shù),提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù),使網(wǎng)絡(luò)系統(tǒng)在受到危害之前即攔截和響應(yīng)入侵行為,為網(wǎng)絡(luò)安全增加一道屏障。隨著入侵檢測(cè)的研究與開(kāi)發(fā),并在實(shí)際應(yīng)用中與其它網(wǎng)絡(luò)管理軟件相結(jié)合,使網(wǎng)絡(luò)安全可以從立體縱深、多層次防御的角度出發(fā),形成人侵檢測(cè)、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)監(jiān)控三位一體化,從而更加有效地保護(hù)網(wǎng)絡(luò)的安全。

參考文獻(xiàn)

l吳新民.兩種典型的入侵檢測(cè)方法研究.計(jì)算機(jī)工程與應(yīng)用,2002;38(10):181—183

2羅妍,李仲麟,陳憲.入侵檢測(cè)系統(tǒng)模型的比較.計(jì)算機(jī)應(yīng)用,2001;21(6):29~31

3李渙洲.網(wǎng)絡(luò)安全與入侵檢測(cè)技術(shù).四川師范大學(xué)學(xué)報(bào).2001;24(3):426—428

4張慧敏,何軍,黃厚寬.入侵檢測(cè)系統(tǒng).計(jì)算機(jī)應(yīng)用研究,2001;18(9):38—4l

篇10

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展其廣泛應(yīng)用于我國(guó)各項(xiàng)社會(huì)服務(wù)、經(jīng)濟(jì)金融、政治軍事、教育國(guó)防事業(yè)中,令企事業(yè)單位生產(chǎn)運(yùn)營(yíng)效率全面提升,可以說(shuō)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)真正給人們的生活創(chuàng)設(shè)了便利,構(gòu)建了共享化、高效化、現(xiàn)代化的社會(huì)發(fā)展環(huán)境。同時(shí)網(wǎng)絡(luò)系統(tǒng)由于自身建設(shè)、程序設(shè)計(jì)、操作失誤等因素不可避免的包含許多病毒或漏洞,給黑客入侵者以可乘之機(jī),并給重要數(shù)據(jù)信息的安全引入了諸多不可預(yù)測(cè)的復(fù)雜風(fēng)險(xiǎn),動(dòng)輒令企事業(yè)單位機(jī)密文件丟失、個(gè)人信息被不良竊取,造成了嚴(yán)重的經(jīng)濟(jì)損失。

1 計(jì)算機(jī)網(wǎng)絡(luò)常見(jiàn)入侵方式

針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的入侵主要指應(yīng)用相應(yīng)計(jì)算機(jī)程序調(diào)試技巧、編寫(xiě)技巧實(shí)現(xiàn)對(duì)未授權(quán)文件或網(wǎng)絡(luò)的非法訪問(wèn),并入侵至網(wǎng)絡(luò)中的不良行為。當(dāng)前常見(jiàn)的計(jì)算機(jī)網(wǎng)絡(luò)入侵包括病毒攻擊、身份攻擊、拒絕服務(wù)、防火墻攻擊、網(wǎng)絡(luò)欺騙、木馬攻擊、后門(mén)入侵、惡意程序攻擊、入侵撥號(hào)程序、邏輯炸彈攻擊、破解密碼、垃圾搜尋、社交工程攻擊等。所謂病毒攻擊即利用其自我復(fù)制特性進(jìn)行系統(tǒng)資源的破壞、侵襲,對(duì)其數(shù)據(jù)完整性進(jìn)行不良破壞或竊取、令系統(tǒng)拒絕服務(wù),該攻擊入侵方式具有隱蔽性、傳播性、繁殖性、潛伏性與寄生性等特征。身份攻擊則利用網(wǎng)絡(luò)服務(wù)對(duì)用戶身份的確認(rèn)進(jìn)而通過(guò)竊取、欺騙手段對(duì)合法用戶身份進(jìn)行冒充以實(shí)現(xiàn)網(wǎng)絡(luò)攻擊目標(biāo),該類攻擊包含漏洞攻擊、收集信息攻擊與口令攻擊等。其中獲取與收集信息主要采用試探方式,例如掃描賬戶、ping、掃描漏洞、端口與嗅探網(wǎng)絡(luò)方式進(jìn)而對(duì)系統(tǒng)漏洞、服務(wù)、權(quán)限進(jìn)行探測(cè),采用工具與公開(kāi)協(xié)議對(duì)網(wǎng)絡(luò)中各主機(jī)存儲(chǔ)的有用信息進(jìn)行獲取與收集,并捕捉到其存在的漏洞,進(jìn)而為后續(xù)攻擊做準(zhǔn)備。針對(duì)防火墻進(jìn)行攻擊具有一定難度,然而一旦攻擊得手將造成網(wǎng)絡(luò)系統(tǒng)的崩潰、癱瘓,令用戶蒙受較大損失。拒絕服務(wù)攻擊主體將一定數(shù)量與序列的報(bào)文傳送至網(wǎng)絡(luò)中令大量的恢復(fù)要求信息運(yùn)行充斥于服務(wù)器中,導(dǎo)致網(wǎng)絡(luò)帶寬與系統(tǒng)資源被不良消耗,進(jìn)而令其無(wú)法正常的服務(wù)運(yùn)行、甚至不勝負(fù)荷而引發(fā)系統(tǒng)死機(jī)、癱瘓現(xiàn)象。網(wǎng)絡(luò)欺騙主要通過(guò)對(duì)電子郵件、網(wǎng)頁(yè)的偽造誘導(dǎo)用戶錄入關(guān)鍵隱私信息,例如密碼、銀行賬戶、登錄賬戶、信用卡信息等進(jìn)而實(shí)現(xiàn)竊取入侵目標(biāo)。對(duì)撥號(hào)程序的攻擊通過(guò)自動(dòng)撥號(hào)進(jìn)行調(diào)制解調(diào)器連接通道的搜尋,以實(shí)現(xiàn)入侵目標(biāo)。邏輯炸彈則是計(jì)算機(jī)軟件中嵌入的一類指令,可通過(guò)觸發(fā)進(jìn)而實(shí)現(xiàn)惡意的系統(tǒng)操作。

2 入侵檢測(cè)技術(shù)內(nèi)涵

入侵檢測(cè)技術(shù)通過(guò)對(duì)安全日志、人們行為與數(shù)據(jù)的審計(jì)、可獲取信息展開(kāi)操作進(jìn)而檢測(cè)到企圖闖入系統(tǒng)的信息,包含檢測(cè)、威懾、評(píng)估損失狀況、預(yù)測(cè)攻擊與支持等。該技術(shù)可以說(shuō)是防火墻系統(tǒng)技術(shù)的良好補(bǔ)充,可有效輔助系統(tǒng)強(qiáng)化其應(yīng)對(duì)異常狀況、非授權(quán)、入侵行為能力,通過(guò)實(shí)時(shí)檢測(cè)提供對(duì)外部、內(nèi)部攻擊與誤操作的動(dòng)態(tài)實(shí)時(shí)保護(hù),是一種安全有效的防護(hù)策略技術(shù),入侵檢測(cè)硬件與軟件的完善結(jié)合便構(gòu)成了入侵檢測(cè)系統(tǒng)。合理應(yīng)用該技術(shù)可令不良入侵攻擊行為在危害系統(tǒng)之前便被準(zhǔn)確的檢測(cè)到,進(jìn)而利用防護(hù)與報(bào)警系統(tǒng)將入侵攻擊驅(qū)逐,降低其造成的不良損失。當(dāng)系統(tǒng)被攻擊入侵后我們則應(yīng)通過(guò)對(duì)入侵信息的全面收集構(gòu)建防范知識(shí)系統(tǒng),進(jìn)而提升網(wǎng)絡(luò)系統(tǒng)綜合防范能效。

3 計(jì)算機(jī)網(wǎng)絡(luò)安全中科學(xué)應(yīng)用入侵檢測(cè)技術(shù)

入侵檢測(cè)技術(shù)主要通過(guò)對(duì)維護(hù)網(wǎng)絡(luò)安全、分析、監(jiān)視系統(tǒng)與用戶活動(dòng)、審計(jì)系統(tǒng)弱點(diǎn)與構(gòu)造、對(duì)已知進(jìn)攻模式活動(dòng)進(jìn)行反應(yīng)識(shí)別并報(bào)備、分析統(tǒng)計(jì)異常行為、對(duì)數(shù)據(jù)文件與重要系統(tǒng)完整性進(jìn)行評(píng)估、跟蹤審計(jì)操作系統(tǒng)實(shí)施管理、識(shí)別違反安全的活動(dòng)等行為進(jìn)而確保計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的可靠安全。一般來(lái)講網(wǎng)絡(luò)檢測(cè)入侵系統(tǒng)包含多層次體系結(jié)構(gòu),即、控制與管理層等,控制層承擔(dān)由獲取收集信息職能,并對(duì)所受攻擊事項(xiàng)進(jìn)行顯示,進(jìn)而實(shí)現(xiàn)對(duì)的管理與配置。承擔(dān)對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的監(jiān)視職能,并將檢測(cè)的數(shù)據(jù)信息、攻擊行為發(fā)送至管理層。管理器承擔(dān)對(duì)各類報(bào)警與日志的管理,以及對(duì)檢測(cè)到的攻擊信息與安全信息進(jìn)行顯示,響應(yīng)攻擊警告與配置信息,對(duì)控制臺(tái)的各類命令進(jìn)行有效執(zhí)行,并令由的警告攻擊信息傳輸至控制臺(tái),最終完成了整體入侵檢測(cè)過(guò)程。依據(jù)該過(guò)程我們制定科學(xué)的入侵檢測(cè)技術(shù)應(yīng)用策略。

3.1收集信息策略

應(yīng)用入侵檢測(cè)技術(shù)的首要關(guān)鍵因素在于數(shù)據(jù),我們可將檢測(cè)數(shù)據(jù)源分為網(wǎng)絡(luò)、系統(tǒng)日志、文件與目錄中不期望更改事項(xiàng)、執(zhí)行程序中不期望各項(xiàng)行為、入侵的物理形式信息等。在應(yīng)用進(jìn)程中對(duì)信息的收集應(yīng)位于每一網(wǎng)段之中科學(xué)部署至少一個(gè)IDS,依據(jù)相應(yīng)的網(wǎng)絡(luò)結(jié)構(gòu)特征,采集數(shù)據(jù)部分由多樣連接形式構(gòu)成,倘若位于網(wǎng)段中應(yīng)用交換集線器連接,其核心交換機(jī)芯片一般會(huì)設(shè)有調(diào)試端口,我們可連接IDS系統(tǒng)于該端口之中。同時(shí)設(shè)置入侵檢測(cè)系統(tǒng)于防火墻或交換機(jī)內(nèi)部的數(shù)據(jù)流出口或入口,進(jìn)而獲取所有核心關(guān)鍵數(shù)據(jù)。對(duì)于網(wǎng)絡(luò)系統(tǒng)中不同類別的信息關(guān)鍵點(diǎn)收集我們不僅應(yīng)依據(jù)檢測(cè)對(duì)象擴(kuò)充檢測(cè)范疇、對(duì)網(wǎng)絡(luò)包截取進(jìn)行設(shè)置,同時(shí)還需要應(yīng)對(duì)薄弱環(huán)節(jié),即來(lái)源于統(tǒng)一對(duì)象的各項(xiàng)信息可能無(wú)法發(fā)掘疑點(diǎn),因而需要我們?cè)谑占肭中畔r(shí),應(yīng)對(duì)幾個(gè)來(lái)源對(duì)象信息包含的不一致性展開(kāi)重點(diǎn)分析,令其作為對(duì)可疑、入侵行為科學(xué)判斷的有效標(biāo)識(shí)。對(duì)于整體計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)來(lái)講,入侵行為相對(duì)有限,因此對(duì)各類少數(shù)的數(shù)據(jù)異常,我們可令其孤立,進(jìn)而構(gòu)建而成數(shù)據(jù)群展開(kāi)集中性處理,強(qiáng)化分析入侵行為的針對(duì)性。

3.2分析檢測(cè)入侵信息

完成收集的信息我們可利用異常分析發(fā)現(xiàn)與匹配模式進(jìn)行綜合數(shù)據(jù)分析,進(jìn)而發(fā)掘與安全策略違背的行為,將其合理發(fā)送至管理器。實(shí)踐應(yīng)用中我們應(yīng)對(duì)各類系統(tǒng)漏洞、網(wǎng)絡(luò)協(xié)議進(jìn)行清醒深刻認(rèn)識(shí),遵循制定的安全策略與規(guī)則,利用異常檢測(cè)與濫用檢測(cè)模型進(jìn)行分析過(guò)程模擬,合理確認(rèn)識(shí)別異常與特征攻擊行為,最終令分析結(jié)構(gòu)構(gòu)建成為報(bào)警信息并發(fā)送至管理控制中心。對(duì)于TCP/IP協(xié)議網(wǎng)絡(luò),我們還可采用探測(cè)引擎技術(shù),應(yīng)用旁路偵聽(tīng)對(duì)網(wǎng)絡(luò)流經(jīng)的所有數(shù)據(jù)包進(jìn)行動(dòng)態(tài)監(jiān)視,并依據(jù)用戶定義相關(guān)策略展開(kāi)檢測(cè),有效識(shí)別各類網(wǎng)絡(luò)事件并告知控制中心,令其進(jìn)行定位與報(bào)警顯示。

3.3響應(yīng)入侵信息

針對(duì)入侵信息我們應(yīng)作出準(zhǔn)確反應(yīng),基于數(shù)據(jù)分析基礎(chǔ)檢測(cè)本地網(wǎng)段,令數(shù)據(jù)包中隱藏的惡意入侵準(zhǔn)確發(fā)掘出來(lái),并及時(shí)作出響應(yīng)。該環(huán)節(jié)涵蓋告警網(wǎng)絡(luò)引擎、通知控制臺(tái)、發(fā)送郵件于安全管理人員、對(duì)實(shí)時(shí)會(huì)話進(jìn)行查看并通報(bào)制控制臺(tái),對(duì)現(xiàn)場(chǎng)事件如實(shí)記錄日志,并采取相應(yīng)安全行為進(jìn)行網(wǎng)絡(luò)配置的合理調(diào)整、終止不良入侵,對(duì)特定用戶相應(yīng)程序進(jìn)行合理執(zhí)行。另外我們可促進(jìn)防火墻與入侵檢測(cè)技術(shù)的優(yōu)勢(shì)結(jié)合應(yīng)用,創(chuàng)設(shè)兩者的協(xié)同模型及安全網(wǎng)絡(luò)防護(hù)體系。令兩者共同開(kāi)放接口并依據(jù)固定協(xié)議展開(kāi)通信,實(shí)現(xiàn)對(duì)端口進(jìn)行約定。防火墻應(yīng)用過(guò)濾機(jī)制對(duì)流經(jīng)數(shù)據(jù)包展開(kāi)解析并令其同事先完成定義的規(guī)則展開(kāi)對(duì)比,進(jìn)而令非授信數(shù)據(jù)包準(zhǔn)確過(guò)濾。對(duì)于繞過(guò)防火墻的數(shù)據(jù)包我們可利用入侵檢測(cè)技術(shù)依據(jù)一致特征規(guī)則集進(jìn)行網(wǎng)絡(luò)攻擊檢測(cè)并做出及時(shí)響應(yīng),確保對(duì)各類入侵攻擊的有效防御。

4結(jié)論

總之,基于網(wǎng)絡(luò)入侵不良影響我們只有主力研究如何有效防范網(wǎng)絡(luò)入侵,科學(xué)檢查、預(yù)測(cè)攻擊行為,基于入侵檢測(cè)思想進(jìn)行實(shí)時(shí)動(dòng)態(tài)監(jiān)控,才能防患于未然令攻擊影響消失在萌芽狀態(tài),進(jìn)一步阻礙不良攻擊事件的發(fā)生及擴(kuò)大,進(jìn)而真正創(chuàng)設(shè)優(yōu)質(zhì)、高效可靠的網(wǎng)絡(luò)運(yùn)行環(huán)境。

參考文獻(xiàn)