网络安全之入侵检测技术
网络安全之入侵检测技
术
Revised as of 23 November 2020
网络安全之入侵检测技术
标签:
2012-07-31 14:07
中国移动通信研究院卢楠
摘要:入侵检测技术作为网络安全中的一项重要技术已有近30年的发展历史,随着中国移动网络的开放与发展,入侵检测系统(IDS)也逐渐成为保卫中国移动网络安全不可或缺的安全设备之一。在入侵检测技术发展过程中,逐步形成了2类方法、5种硬件架构,不同的方法与架构都存在其优势与不足。本文基于入侵检测的应用场景,对现有的主流技术原理、硬件体系架构进行剖析;详细分析IDS产品的测评方法与技术,并介绍了一个科学合理、方便操作的IDS测评方案。最后,从应用需求出发分析入侵检测技术的未来发展趋势。
1、背景
目前,互联网安全面临严峻的形势。因特网上频繁发生的大规模网络入侵和计算机病毒泛滥等事件使很多政府部门、商业和教育机构等都受到了不同程度的侵害,甚至造成了极大的经济损失。
随着互联网技术的不断发展,网络安全问题日益突出。网络入侵行为经常发生,网络攻击的方式也呈现出多样性和隐蔽性的特征。当前网络和信息安全面临的形势严峻,网络安全的主要威胁如图1所示。
图1 目前网络安全的主要威胁
说到网络安全防护,最常用的设备是防火墙。防火墙是通过预先定义规则并依据规则对访问进行过滤的一种设备;防火墙能利用封包的多样属性来进行过滤,例如:来源 IP 、来源端口号、目的 IP 地址或端口号、(如 WWW 或是 FTP)。对于目前复杂的网络安全来说,单纯的防火墙技术已不能完全阻止网络攻击,如:无法解决木马后门问题、不能阻止网络内部人员攻击等。据调查发现,80%的网络攻击来自于网络内部,而防火墙不能提供实时入侵检测能力,对于病毒等束手无策。因此,很多组织致力于提出更多更强大的主动策略和方案来增强网络的安全性,其中一个有效的解决途径就是入侵检测系统IDS(Intrusion Detection Systems)。
2、入侵检测技术发展历史
IDS即入侵检测系统,其英文全称为:Intrusion Detection System。入侵检测系统是依照一定的安全策略,通过软件和硬件对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或攻击结果,以保证网络系统资源的机密性、完整性和可用性。IDS通用模型如图2所示。
图2 IDS 通用模型
IDS诞生于1980年,到目前为止已经有30余年的历史,在这30余年中,IDS的发展经过了4个阶段。
第一阶段:概念诞生。IDS这个概念诞生于1980年4月,James 为美国空军做了一份题为《Computer Security Threat Monitoring and Surveillance》(计算机安全威胁监控与监视)的技术报告,第一次详细阐述了入侵检测概念。他提出了一种对计算机系统风险和威胁的分类方法,并将威胁分为外部渗透、内部渗透和不法行为三种,还提出了利用审计跟踪数据监视入侵活动的思想。这份报告被公认为是入侵检测的开山之作。
第二阶段:模型发展。从1984年到1986年,乔治敦大学的Dorothy Denning和SRI/CSL 的Peter Neumann研究出了一个实时入侵检测系统模型,取名为IDES(入侵检测专家系统)。该模型由六个部分组成:主题、对象、审计记录、轮廓特征、异常记录、活动规则,如图3所示。它独立于特定的系统平台、应用环境、系统弱点以及入侵类型,为构建入侵检测系统提供了一个通用的框架。1988年,SRI/CSL的Teresa Lunt等人改进了Denning的入侵检测模型,并开发出了IDES。该系统包括一个异常检测器和一个专家系统,分别用于统计异常模型的建立和基于规则的特征分析检测。
图3 IDES结构框架第四阶段:继续演进。IDS在90年代形成的IDS两大阵营的基础上,有了长足的发展,形成了更多技术及分类。除了根据检测数据的不同分为主机型和网络型入侵检测系统外,根据采用的检测技术,入侵检测系统可以分为基于异常的入侵检测(Anomaly Detection,AD)和基于误用(特征)的入侵检测(Misuse Detection,MD)。早期的IDS仅仅是一个监听系统或者提供有限的数据分析功能,而新一代IDS更是增加了应用层数据分析的能力;同时,其配合防火墙进行联动,形成功能互补,可更有效的阻断攻击事件。现有的入侵检测技术的分类及相关关系如图4所示。
图4 入侵检测系统分类3、入侵检测应用场景
与防火墙不同,IDS是一个监听设备,无需网络流量流经它,便可正常工作,即IDS采用旁路部署方式接入网络。与防火墙相比IDS有如下优势:
(1)IDS是旁路设备,不影响原有链路的速度;
(2)由于具有庞大和详尽的入侵知识库,可以提供非常准确的判断识别,漏报和误报率远
远低于防火墙;
(3)对日志记录非常详细,包括:访问的资源、报文内容等;
(4)无论IDS工作与否,都不会影响网络的连通性和稳定性;
(5)能够检测未成功的攻击行为;
(6)可对内网进行入侵检测等。
同时,与防火墙相比,其也具有如下的劣势:
(1)检测效率低,不能适应高速网络检测;
(2)针对IDS自身的攻击无法防护;
(3)不能实现加密、杀毒功能;
(4)检测到入侵,只进行告警,而无阻断等。
IDS和防火墙均具备对方不可代替的功能,因此在很多应用场景中,IDS与防火墙共存,形成互补。
根据网络规模的不同,IDS有三种部署场景:小型网络中,IDS旁路部署在Internet接入路由器之后的第一台交换机上,如图5所示;中型网络中,采用图6的方式部署;大型网络采用图7的方式部署。
图5 小型网络部署
图6 中型网络部署
图7 大型网络部
署
4、IDS硬件体系架构分析
主流的IDS的体系架构分为X86、NP、ASIC、FPGA及混合架构,对各体系架构的原理及特点介绍如下。
X86架构
X86架构采用通用CPU和PCI总线接口,具有很高的灵活性和可扩展性,是早期防火墙、入侵防护系统开发的主要平台。其安全功能主要由软件实现,可以根据用户的实际需要而做相应调整,增加或减少功能模块,产品比较灵活,功能十分丰富。基于这一架构产品开发周期短,成本低,是绝大多数网络安全厂商的选择。但其性能发展却受到体系结构的制约,作为通用的计算平台,X86的结构层次较多,不易优化,且往往会受到PCI总线的带宽限制。虽然PCI总线接口理论上能达到接近2Gbps的吞吐量,但是由于通用CPU的处理能力有限,尽管软件部分可以尽可能地优化,但实际很难达到高速率和低时延。
NP架构
网络处理器(NP)技术,NP是专门为网络设备处理网络流量而设计的处理器,体系结构如图8所示。其体系结构和指令集对于入侵检测系统和防火墙常用的包过滤、转发等算法和操作都进行了专门的优化,可以高效地完成TCP/IP栈的常用操作,并对网络流量进行快速的并发处理。硬件结构设计也大多采用高速的接口技术和总线规范,具有较高的I/O能力。然而,NP的弱点也比较明显,其在4-7层的数据处理上相对较弱。在检测策略比较复杂(如入侵防护系统所用的检测策略)的情况下,吞吐速率有明显下降,时延明显。
图8 网络处理器架构 ASIC架构
相比之下,ASIC通过专门设计的ASIC芯片逻辑进行硬件加速处理。ASIC通过把指令或计算逻辑固化到芯片中,获得了很高的处理能力,因而明显提升了安全产品的性能。新一代的高可编程ASIC采用了更灵活的设计,能够通过软件改变应用逻辑,具有更广泛的适应能力。但是,ASIC的缺点也同样明显,它的灵活性和扩展性不够,开发费用高,开发周期太长,一般耗时接近2年。
虽然研发成本较高、灵活性受限制、无法支持太多的功能,但其性能具有先天的优势,非常适合应用于模式简单、对吞吐量和时延指标要求较高的电信级大流量的处理。
FPGA架构
相对于NP,FPGA是对数据进行高速并行处理的器件,具有更强的灵活性和扩展性。在IDS 中FPGA擅长把一些安全特征转化成逻辑,在实现过程中能够同时匹配上千条规则,其并行速度超过普通CPU,而且相对于并行ASIC,其灵活性占有较大优势。如图9所示为FPGA架构典型应用。其中SPC表示:Services Processing Card;NPC表示:Network Processing Card。
图9 FPGA架构应用混合架构
混合体系架构,即由ASIC+NP+FPGA集成。典型的安全厂商如:McAfee,其网络安全平台创新地采用这一架构,通过AVERT组织设计的ASIC,把指令或计算逻辑固化到芯片中,获得了高速的协议和检测处理能力。使用NP处理SSL加密通信、拒绝服务攻击等消耗计算资源的功能;采用FPGA芯片保证产品的更新升级。FPGA顾名思义就是器件可编程,因而能轻松升级,很好地满足需求变化,延长了产品寿命,有助于网络安全设备跟踪标准和协议的持续变化。同时,FPGA有一定的预留性,一般情况下只用到其容量的20%左右,可充分保证日后升级所用。
5、IDS产品测评技术介绍
目前,市场上存在各种各样的IDS设备,而且各个设备的性能和价格都不尽相同,具体实现方式也存在差异,如何才能找到性价比高、适合自己的IDS设备成为各个公司所关心的问题。对各款IDS设备进行测试评估,是解决这个问题的最可靠的途径。而且经常性的测试评估有利于及时了解技术发展现状和存在的不足。
依据资质进行筛选
在测试前,我们可以先看看测试的IDS产品取得了哪些认证。目前国内主要有4家信息安全产品的认证机构,分别是公安部计算机信息系统安全产品质量监督检验中心、国家保密局涉密信息系统安全保密测评中心、中国人民解放军信息安全测评认证中心、中国国家信息安全测评认证中心。
这4家认证机构中,公安部的认证对IDS产品来说是必须的,通过了公安部的认证,才能领取计算机安全专用产品销售许可证。
确定重要评价指标
如果需要测评的IDS有经过上面的多家认证机构的认证之后,说明质量基本是没有问题的。但是很多时候我们需要一款适合自己的产品,好并不代表适合。所以,我们需要测试IDS产品的各个方面的性能,对其有全面的了解。评测IDS的指标主要有:及时性、准确性、完备性、健壮性、处理性能、易用性。
及时性要求IDS必须尽快地分析数据并把分析结果传播出去,以使系统安全管理者能够在入侵攻击尚未造成更大的危害之前做出反应,阻止入侵者进一步的破坏活动。要注意的是它不仅要求IDS产品的处理速度要尽可能地快,而且要求传播、反应检测结果信息的时间尽可能的少。
测试时可以应用以下场景:
1、查看测试产品最新的3个升级包,记录升级时间间隔;
2、观察在IDS不暂停工作的情况下是否可以完成升级;
3、测试IDS在升级过程中是否仍能检测到攻击事件。
准确性指IDS从各种行为中正确的识别入侵的能力。可以从漏报率和误报率两个方面来体现。误报率是指系统在检测时把正常的网络活动视为攻击的概率。漏报率是指漏掉真正的攻击而不报警的概率。
图10 ROC曲线
实际上IDS的实现总是在漏报率和误报率上追求平衡,要使两者都为零,几乎是不可能的。误报率为零则表明很可能存在某些攻击行为没有被检测出来;漏报率为零则表明可能存在各种各样的误报。如果IDS设备能够让用户自定义漏报率和误报率的比例(比如安全级别,安全级别越高则漏报率越低,相应误报率也可能越高),那么最好还是保留一定的误报会显得比较安全,毕竟误报比漏报要显得安全。
虽然漏报率和误报率不能同时为零,但是在测评时,我们还是希望这两个数值越低越好。可以通过一些黑客工具模拟攻击行为,从而测试出IDS的漏报率和误报率。
ROC曲线以图形的方式来表示正确率和误报率的关系。ROC曲线是基于正确报告率和误报率的关系来描述的。这样的图称为诺模图(Nomogram),它在数学领域用于表示数字化的关
系。选好一个临界点(Cutoff Point)之后,就可以从图中确定IDS的正确报告率和误报率。曲线的形状直接反映了IDS产品的准确性和总体品质。如果一条直线向上,然后向右以45度角延伸,就是一个非常失败的IDS,它毫无用处;相反,ROC曲线下方的区域越大,IDS的准确率越高。如图2所示,IDS B的准确性高于IDS C,类似地,IDS A在所有的IDS中具有最高的准确性。
可以通过一些测试工具模拟各种攻击,来评测IDS的准确性。比如IDS Informer、IDS Wakeup、Sneeze的工具。
完备性是指IDS能够检测出所有攻击行为的能力。100%正确率实际上是一个无法达到的目标。如何评价IDS检测的完备性呢
1、可以通过查看帮助文件中厂商声称可检测的攻击列表来做大致的了解,可以看看可检测
的各种攻击都属于那些协议,总共支持多少种应用层协议,以及该协议下检测攻击种类的数量。
2、可以查看进一年内新增加的检测规则占总规则数的比例,结果越大越好。
3、可以挑选一些近期流行的攻击行为,进行模拟测试。
健壮性即自身安全性,毫无疑问,IDS程序本身的安全性也是衡量IDS系统好坏的一个重要指标。由于IDS是检测入侵的重要手段,所以它也就成为很多入侵者攻击的首选目标。和其他系统一样IDS本身也往往存在安全漏洞。若对IDS攻击成功将直接导致入侵行为无法被检测。因此IDS自身必须能够抵御攻击,特别是DOS攻击。
IDS的安全性,一般可以通过以下几个方面来衡量:
1、所有重要数据的存储和传输过程是否都经过加密处理;
2、在网络中的隐藏性,是否对于外界设备来说是透明的;
3、不同级别的操作人员是否有不同的使用权限,以及这些权限分配是否合理。
处理性能主要从系统处理数据的能力已经对资源消耗的程度等方面体现。比如:
1、处理速度:指IDS处理数据源数据的速度。
2、延迟时间:指在攻击发生至IDS检测到入侵之间的延迟时间。
3、资源的占用情况:即系统在到达某种检测能力要求时,对资源的需求情况。
4、负荷能力:IDS有其设计的负荷能力,在超出负荷能力的情况下,性能会出现不同程度
的下降。
易用性是指和系统使用有关的一些方面,主要是指系统安装、配置、管理、使用的方便程度、系统界面的友好程度和攻击规则库维护的简易程度等方面。
这个指标比较偏向于主观判断。但是也有一些客观指标,比如:
1、是否有较多内容通过图形表格方式描述;
2、帮助信息内容是否丰富并且可用;
3、是否有配置导航功能;
4、是否有保存系统配置的功能;
5、是否有足够多的提示信息;
6、操作使用日志记录是否完善;
执行测试
在测试评估IDS的时候,很少会把IDS放在实际运行的网络中,因为实际网络环境是不可控的,并且网络环境的专用性太强,所以要构建专用的网络环境。图3为入侵检测系统测试组网示意图。其中背景流量发生器用来生成网络通信,攻击机用来模拟入侵者发起攻击,IDS网络传感器为待测试入侵检测系统,目标机模拟网络中被攻击的机器。
图11入侵检测系统测试组网示意图
下面是组网设备的详细说明:
1) 以太网交换机:一台具备将全部端口镜像到一个目的端口功能的以太网交换机。用于将流量镜像到IDS网络传感器。
2) 攻击机:攻击机预装扫描工具Nessus和Informer、Wakeup、Sneeze等互联网安全攻击工具。
3) 目标机:目标机安装和开启各类应用服务,作为被攻击对象。
4) 背景流量发生器:使用IP InterEmulator或其它网络仿真系统,可以产生应用层协议流量作为背景流量。
5) IDS网络传感器:被测的IDS设备。
6) IDS管理控制台:用于管理IDS设备的机器。
测试内容可结合实际的网络特征及需求进行,如:测试入侵检测系统管理功能、检测能力、安全性测试和性能测试及其它等,如图3所示。管理功能主要检查点包括:配置界面、策略配置、升级方式、日志功能、报表输出和接口功能等;检测能力包括:检测能力、告警功能、流量关联分析、协议支持和流量监控等;安全测试包括:账号口令管理、权限管理、用户认证和事件审计功能等;性能测试包括:性能容量、漏报率、误报率、稳定性和扩展性等。
图12 入侵检测系
统测试内容
测试主要通过模拟真实网络情况进行,如:利用仪表模拟运营商网间互联处的业务流量模型;模拟真实的业务协议特征和风险特征;攻击效果与真实用户体验基本一致等。背景流量与真实流量差异越小,测试结果将越准确。
入侵检测系统测评方法参考以下测试方法学:
1、IETF标准草案:draft-hamilton-bmwg-ca-bench-term-00和draft-hamilton-bmwg-
ca -bench - meth-06;
2、NSSLabs标准:NETWORK INTRUSION PREVENTION SYSTEMS ;
入侵检测系统测评符合并参考以下相关标准:
1、网络入侵检测系统测试方法国家标准:GB/T 26268-2010;
2公开?来自:labs
声明:本文仅代表作者个人观点。其原创性及文中表达的意见、判断、数据、观点和陈述文字等内容均与中国移动研究院无关。移动Labs博客致力于为ICT领域的研究者及从业者提供技术和业务交流的网络平台,对本文中全部或部分内容的真实性、完整性不作任何保证或承诺,仅供读者参考交流。
网络安全技术习题及答案 入侵检测系统
第9章入侵检测系统 1. 单项选择题 1)B 2)D 3)D 4)C 5)A 6)D 2、简答题 (1)什么叫入侵检测,入侵检测系统有哪些功能? 入侵检测系统(简称“IDS”)就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。 入侵检测系统功能主要有: 识别黑客常用入侵与攻击手段 监控网络异常通信
鉴别对系统漏洞及后门的利用 完善网络安全管理 (2)根据检测对象的不同,入侵检测系统可分哪几种? 根据检测对象的不同,入侵检测系统可分为基于主机的入侵检测基于网络的入侵检测、混合型三种。主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源。主机型入侵检测系统保护的一般是所在的系统。网络型入侵检测系统的数据源是网络上的数据包。一般网络型入侵检测系统担负着保护整个网段的任务。混合型是基于主机和基于网络的入侵检测系统的结合,它为前两种方案提供了互补,还提供了入侵检测的集中管理,采用这种技术能实现对入侵行为的全方位检测。 (3)常用的入侵检测系统的技术有哪几种?其原理分别是什么? 常用的入侵检测系统的技术有两种,一种基于误用检测(Anomal Detection),另一种基于异常检测(Misuse Detection)。 对于基于误用的检测技术来说,首先要定义违背安全策略事件的特征,检测主要判别这类特征是否在所收集到的数据中出现,如果检测到该行为在入侵特征库中,说明是入侵行为,此方法非常类似杀毒软件。基于误用的检测技术对于已知的攻击,它可以详细、准确的报告出攻击类型,但是对未知攻击却效果有限,而且知识库必须不断更新。 基于异常的检测技术则是先定义一组系统正常情况的数值,如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出),然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的正常情况。异常检测只能识别出那些与正常过程有较
计算机网络安全的入侵检测技术研究
计算机网络安全的入侵检测技术研究 计算机网络在给人类工作、生活、娱乐等带来极大便 利的同时,其中存在的安全问题也越来越突出。入侵检测技术作为一种重要的网络安全防护技术,受到了网络安全人员的青睐。本文对入侵检测技术的相关理论进行了介绍,对当前入侵检测技术存在的问题进行了详细的分析和讨论,并对入侵检测技术未来的发展趋势进行了展望。 关键词】计算机网络网络安全入侵检测 1 引言当前,计算机网络已经得到了广泛应用,人们工 作、学 习、生活、社交、娱乐等等各个方面几乎都离不开网络,然而,计算机网络中存在的安全问题也给人们造成了极大困扰,已经成为无法回避且亟待解决的重要问题,如果不能及时采取相应的防御或解决措施,将严重制约社会的发展和信息化进程。入侵检测技术作为一种解决网络安全问题的十分有效的技术之一,得到了网络安全人员的青睐。入侵检测技术能够有效检测来自网络内部和外部网络入侵,对网络提供实时保护。 2 入侵检测技术相关理?概述入侵检测技术能够及时检测 出当前系统中出现的异常 现象,该技术在系统中的关键节点收集信息,并通过对这些信息的分析,从中检测出系统当前是否遭到恶意侵袭或是否存在违反安全策略的行为出现。 入侵检测技术通常包括信息收集、信息分析和问题处理 等 3 个主要步骤。在信息分析部分,将收集到的信息传送给驻留在传感器中的检测引擎,利用统计分析、模式匹配等技术进行实时检测,利用完整性分析等技术进行事后检测分析,当出现误用模式时,将告警信息发送给控制台;在问题处理部分,
当控制台收到来自系统的告警信息时,根据事先定义的响应策略,采取终止进程、切断连接等措施。 在计算机网络安全应用中使用到的入侵检测技术主要 包括基于主机和基于网络的两种入侵检测系统。其中,基于主机的入侵检测系统的重点检测对象是计算机,通过预先对主机进行相应的设置,根据计算机的运行状态和相关参数来判断该主机是否收到非法入侵,基于主机的入侵检测系统能够对当前的攻击是否成功进行判断,为主机采取相应的措施提供可靠依据,基于入侵网络的入侵检测系统通常通过设置多个安全点。 3 存在问题和发展趋势 3.1 存在问题 3.1.1 入侵检测技术 相对落后随着计算机技术的不断发张,尽管入侵检测技术 在不断
浅谈网络安全中入侵检测技术的应用
浅谈网络安全中入侵检测技术的应用 摘要:信息社会的不断进步与发展,网络给人们带来了前所未有的便利,同时 也带来了全新的挑战。在网络安全问题备受关注的影响下,极大地促进了入侵检 测技术的应用与实施。通过入侵检测技术的应用,可以切实维护好计算机网络的 安全性与可靠性,避免个人信息出现泄漏、盗窃现象。本文主要阐述了入侵检测 技术,然后针对入侵检测技术在网络安全中的应用进行了研究,以供相关人士的 借鉴。 关键词:网络;安全;入侵检测技术;应用 目前,入侵检测技术在网络安全中得到了广泛的应用,发挥着不可比拟的作 用和优势,已经成为了维护网络安全的重要保障。在实际运行中,威胁网络安全 的因素比较多,带给了网络用户极大的不便。因此,必须要加强入侵检测技术的 应用,对计算机中的数据信息进行加密与处理,确保网络用户个人信息的完整性,创建良好的网络安全环境,更好地提升网络用户对网络的满意度。 1入侵检测技术的简述 1.1入侵检测的概述 入侵检测技术,是一种对计算机网络的程序进行入侵式的检测的先进技术, 它作为网络安全中第二道防线,起到保护计算机网络安全的作用。入侵检测是通 过收集与分析安全日志、行为、审计和其他可获得的信息以及系统的关键信息, 以此检测出计算机网络中违反安全策略的行为和受攻击的对象的一个工作过程。 它开展保护工作的过程具体可分为:监视、分析网络用户和网络系统活动;网络 安全系统构造和弱点的审查评估;认定反映已知进攻活动并作出警示警告;网络 系统异常行为的统计和分析4个步骤。入侵检测技术能够同时完成实时监控内部 攻击、外部攻击和错误操作的任务,把对网络系统的危害阻截在发生之前,并对 网络入侵作出响应,是一种相对传统的被动静态网络安全防护技术提出的一种积 极动态网络安全防护技术。 1.2入侵检测技术的特性 入侵检测技术基本上不具有访问控制的能力,这一技术就像拥有多年经验的 网络侦查员,通过对数据的分析,从数据中过滤可疑的数据包,将正常使用方式 与已知的入侵方式进行比较,来确定入侵检测是否成功。网络安全管理员根据这 些判断,就可以确切地知道所受到的攻击,并采取相应的措施来解决这一问题。 入侵检测系统是网络安全管理员经验积累的一种体现,减轻了网络安全管理员的 负担,降低了网络安全管理员的技术要求,并且提高了电力信息网络安全管理的 有效性和准确性。其功能有:①监视用户和系统的功能,查找非法用户合合法用户的越权操作。②审计系统配置的正确性和安全漏洞,并提示管理员修补后动。③对用户的非正常活动进行统计分析,发现入侵行为的规律。④操作系统的审 计跟踪管理,能够实时地对检测到的入侵行为进行反应,检查系统程序和数据的 一致性与正确性。 1.3入侵检测技术的流程 具体如下图1所示。现如今网络安全问题已经引起了社会各界人士的广泛关注,如何在发挥计算机数据库功能的同时避免其遭受病毒的侵袭,需要技术人员 给予足够的重视,不断提高自身的技术水平,了解入侵检测技术原理并实现技术 的合理使用,最为关键的是要严格按照应用流程进行操作,具体操作要点包括如 下几个步骤:①攻击者可以先通过某种方式在网络上注入网络攻击行为;②如果攻
入侵检测技术 课后答案
精品文档 . 第1章入侵检测概述 思考题: (1)分布式入侵检测系统(DIDS)是如何把基于主机的入侵检测方法和基于网络的入侵检测方法集成在一起的? 答:分布式入侵检测系统是将主机入侵检测和网络入侵检测的能力集成的第一次尝试,以便于一个集中式的安全管理小组能够跟踪安全侵犯和网络间的入侵。DIDS的最初概念是采用集中式控制技术,向DIDS中心控制器发报告。 DIDS解决了这样几个问题。在大型网络互联中的一个棘手问题是在网络环境下跟踪网络用户和文件。DIDS允许用户在该环境中通过自动跨越被监视的网络跟踪和得到用户身份的相关信息来处理这个问题。DIDS是第一个具有这个能力的入侵检测系统。 DIDS解决的另一个问题是如何从发生在系统不同的抽象层次的事件中发现相关数据或事件。这类信息要求要理解它们对整个网络的影响,DIDS用一个6层入侵检测模型提取数据相关性,每层代表了对数据的一次变换结果。 (2)入侵检测作用体现在哪些方面? 答:一般来说,入侵检测系统的作用体现在以下几个方面: ●监控、分析用户和系统的活动; ●审计系统的配置和弱点; ●评估关键系统和数据文件的完整性; ●识别攻击的活动模式; ●对异常活动进行统计分析; ●对操作系统进行审计跟踪管理,识别违反政策的用户活动。 (3)为什么说研究入侵检测非常必要? 答:计算机网络安全应提供保密性、完整性以及抵抗拒绝服务的能力,但是由于连网用户的增加,网上电子商务开辟的广阔前景,越来越多的系统受到入侵者的攻击。为了对付这些攻击企图,可以要求所有的用户确认并验证自己的身份,并使用严格的访问控制机制,还可以用各种密码学方法对数据提供保护,但是这并不完全可行。另一种对付破坏系统企图的理想方法是建立一个完全安全的系统。但这样的话,就要求所有的用户能识别和认证自己,还要采用各种各样的加密技术和强访问控制策略来保护数据。而从实际上看,这根本是不可能的。 因此,一个实用的方法是建立比较容易实现的安全系统,同时按照一定的安全策略建立相应的安全辅助系统。入侵检测系统就是这样一类系统,现在安全软件的开发方式基本上就是按照这个思路进行的。就目前系统安全状况而言,系统存在被攻击的可能性。如果系统遭到攻击,只要尽可能地检测到,甚至是实时地检测到,然后采取适当的处理
网络入侵检测解决方案
网络入侵检测解决方案 1.网络型入侵侦测系统 入侵检测作为安全侦测的最后一道防线,能提供安全审计、监视、攻击识别和反攻击等多项功能,对内部攻击、外部攻击和误操作进行实时监控,是其它安全措施的必要补充,在网络安全防御中起到了不可替代的作用。 体系结构 系统采用引擎/控制台结构,引擎在网络中各个关键点部署,通过网络和中央控制台交换信息。 网络引擎部分运行于安全操作系统Open BSD之上,负责网络数据的获取、分析、检测,对警报进行过滤和实时响应,并发送给控制台进行显示和记录;控制台运行于Windows平台,负责警报信息的及时显示、记录、查阅,支持用户定制检测、响应策略和控制网络引擎。主要功能 “天眼”入侵侦测系统-网络型具备一般NIDS的主要功能,同时针对NIDS面临的威胁和NIDS发展方向开发出多项具有针对性的新功能,此外该系统对于国内外流行的防火墙包括本公司长城防火墙提供支持,具有较完备的检测、响应、互动能力,是一款高效实用的入侵防范工具,它的具体功能如下: 入侵侦测功能 能实时识别各种基于网络的攻击及其变形,包括DOS攻击、 CGI攻击、溢出攻击、后门探测和活动等。目前可以检测900余种攻击行为及其变形。 警报过滤功能 能根据定制的条件,过滤重复警报事件,减轻传输与响应的压力,同时还能保证警报信息不被遗。 实时响应功能 根据用户定义,警报事件在经过系统过滤后进行及时响应,包括实时切断连接会话、重新配置防火墙(支持中科网威“长城”防火墙、 CheckPoint FireWall-1和天融信防火墙)彻底屏蔽攻击、给管理员发送电子邮件、发送SNMP Trap报警、控制台实时显示、数据库记录等等。 系统策略定制功能 用户可以通过中央控制台详细定制系统策略、入侵侦测规则、警报过滤及响应规则等,还可以根据被保护平台、网络环境等信息选择预定义的策略,从而使系统能够真正适应具体环境的安全需求。
入侵检测技术的现状及未来
入侵检测技术的现状及未来 【摘要】入侵检测能有效弥补传统防御技术的缺陷,近年来入侵检测系统已经成为网络安全的系统中的重要组成部分。本文在对当前主流入侵检测技术及系统进行详细研究分析的基础上,指出了入侵检测系统面临的问题和挑战。最后对入侵检测系统的未来发展方向进行了讨论,展望了应用人工智能技术的入侵检测系统、基于Android平台的入侵检测系统、基于云模型和支持向量机的特征选择方法等新方向。 【关键词】网络安全;入侵检测;异常检测;智能技术 0.引言 目前,在网络安全日趋严峻的情况下,解决网络安全问题所采用的防火墙、身份认证、数据加密、虚拟子网等一般被动防御方法已经不能完全抵御入侵。此时,研究开发能够及时准确对入侵进行检测并能做出响应的网络安全防范技术,即入侵检测技术(ID,Intrusion Detection),成为一个有效的解决途径。入侵检测作为一种积极主动地安全防护技术,已经成为网络安全领域中最主要的研究方向。 1.入侵检测概述 1.1入侵检测的基本概念 入侵检测(Intrusion Detection),即是对入侵行为的检测。入侵是指潜在的、有预谋的、未被授权的用户试图“接入信息、操纵信息、致使系统不可靠或不可用”的企图或可能性。它通过从计算机网络或计算机系统的关键点收集信息,并对收集到的信息进行分析,从而发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。而入侵检测系统则是入侵检测的软件与硬件的组合。 1.2入侵检测系统的通用模型 1987年Dorothy E Denning[1]提出了入侵检测的模型,首次将入侵检测作为一种计算机安全防御措施提出。该模型包括6个主要的部分:主体(Subjects)、对象(Objects)、审计记录(Audit Record)、活动档案(Active Profile)、异常记录(Anomaly Record )、活动规则(Activity Rules)。 2.入侵检测系统采用的检测技术 从技术上看,入侵可以分为两类:一种是有特征的攻击,它是对已知系统的系统弱点进行常规性的攻击;另一种是异常攻击。与此对应,入侵检测也分为两类:基于特征的(Signature-based即基于滥用的)和基于异常的(Anomaly-based,也称基于行为的)。
入侵检测技术在数据库系统的应用
入侵检测技术在数据库系统的应用 摘要:入侵检测是检测和识别针对计算机系统和网络系统的非法攻击或违反安全策略事件的过程。数据库入侵检测系统的研究与设计借鉴了针对网络和针对主机的入侵检测技术,又考虑了数据库自身的特点。 关键词:入侵检测入侵分析数据库系统 传统的数据库安全机制以身份认证和存取控制为重点,是一种以预防为主的被动安全机制,无法满足日益增长数据库对安全的需要。近年来对数据库入侵检测机制的研究受到了广泛关注和重视。通过建立异常检测机制,有效地发现用户在使用数据库过程中可能发生的入侵和攻击,以期达到保护数字图书馆数据库安全的目的。 1、入侵检测简介 入侵检测是检测和识别针对计算机系统和网络系统,或者更广泛意义上的信息系统的非法攻击,或者违反安全策略事件的过程。它从计算机系统或者网络环境中采集数据,分析数据,发现可疑攻击行为或者异常事件,并采取一定的响应措施拦截攻击行为,降低可能的损失。在入侵检测系统中,系统将用户的当前操作所产生的数据同用户的历史操作数据根据一定的算法进行检测,从而判断用户的当前操作是否属于入侵行为,然后系统根据检测结果采取相应的行动。入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。入侵检测系统能很好地弥补防火墙的不足,从某种意义上说是防火墙的补充。入侵检测技术是计算机安全技术中的重要部分,它从计算机系统中的若干关键点收集信息,并分析这些信息,检测计算机系统中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测系统在几乎不影响计算机系统性能的情况下能对计算机系统进行实时监测,并对系统提供针对内部攻击、外部攻击和误操作的实时保护。入侵检测技术通过对入侵行为的过程与特征的研究,使安全系统对入侵事件和入侵过程能做出实时响应。入侵检测技术扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。 2、入侵检测技术分类 (1)从数据的来源看 入侵检测通常可以分为两类:基于主机的入侵检测和基于网络的入侵检测。基于主机的入侵检测通常从主机的审计记录和日志文件中获得所需的主要数据源,并辅之以主机上的其他信息,例如文件系统属性、进程状态等,在此基础上完成检测攻击行为的任务。基于网络的入侵检测通过监听网络中的数据包来获得必要的数据来源,并通过协议分析、特征匹配、统计分析等手段发现当前发生的攻击行为。从数据分析手段来看,入侵检测通常又可以分为两类:误用入侵检测和异常入侵检测。误用检测的技术基础是分析各种类型的攻击手段,并找出可能的“攻击特征”集合。误入侵检测的定义为:识别针对计算机或网络资源的恶意企图和行为,并对此做出反应的过程。入侵检测系统则是完成如上功能的独立系统。入侵检测系统能够检测未授权对象,针对系统的入侵企图或行为,同时监控授权对象对系统资源的非法操作。 (2)从数据分析手段看 入侵检测通常可以两类:滥用入侵检测和异常入侵检测。滥用入侵检测的技术基础是分析各种类型的攻击手段,并找出可能的“攻击特征”集合形成特征库或者模式库,滥用入侵检测利用形成的特征库,对当前的数据来源进行各种分析处理后,再进行特征匹配或者规则匹配工作,如果发现满足条件的匹配,则指示已经发生了一次攻击行为然后入侵检测系统的响应单元做出相应的处理。异常入侵检测是通过观察当前活动与系统历史正常活动情况之间的差异来实现。这就需要异常入侵检测建立一个关于系统正常活动的状态模型并不断更新,然后将用户当前的活动情况与这个正常模型进行对比,如果发现了超过设定值的差异程度,则指示发现了非法攻击行为。 相比较而言,滥用入侵检测比异常入侵检测具备更好的确定解释能力,即明确指示当前发生的攻击手段类型,另外,滥用入侵检测具备较高的检测率和较低的虚警率,开发规则库和特征集合相对于建立系统正常模型而言,要更容易、更方便。但是,滥用入侵检测只能检测到已知的攻击模式,模式库只有不段更
网络安全之入侵检测技术
网络安全之入侵检测技 术 Revised as of 23 November 2020
网络安全之入侵检测技术 标签: 2012-07-31 14:07 中国移动通信研究院卢楠 摘要:入侵检测技术作为网络安全中的一项重要技术已有近30年的发展历史,随着中国移动网络的开放与发展,入侵检测系统(IDS)也逐渐成为保卫中国移动网络安全不可或缺的安全设备之一。在入侵检测技术发展过程中,逐步形成了2类方法、5种硬件架构,不同的方法与架构都存在其优势与不足。本文基于入侵检测的应用场景,对现有的主流技术原理、硬件体系架构进行剖析;详细分析IDS产品的测评方法与技术,并介绍了一个科学合理、方便操作的IDS测评方案。最后,从应用需求出发分析入侵检测技术的未来发展趋势。 1、背景 目前,互联网安全面临严峻的形势。因特网上频繁发生的大规模网络入侵和计算机病毒泛滥等事件使很多政府部门、商业和教育机构等都受到了不同程度的侵害,甚至造成了极大的经济损失。 随着互联网技术的不断发展,网络安全问题日益突出。网络入侵行为经常发生,网络攻击的方式也呈现出多样性和隐蔽性的特征。当前网络和信息安全面临的形势严峻,网络安全的主要威胁如图1所示。
图1 目前网络安全的主要威胁 说到网络安全防护,最常用的设备是防火墙。防火墙是通过预先定义规则并依据规则对访问进行过滤的一种设备;防火墙能利用封包的多样属性来进行过滤,例如:来源 IP 、来源端口号、目的 IP 地址或端口号、(如 WWW 或是 FTP)。对于目前复杂的网络安全来说,单纯的防火墙技术已不能完全阻止网络攻击,如:无法解决木马后门问题、不能阻止网络内部人员攻击等。据调查发现,80%的网络攻击来自于网络内部,而防火墙不能提供实时入侵检测能力,对于病毒等束手无策。因此,很多组织致力于提出更多更强大的主动策略和方案来增强网络的安全性,其中一个有效的解决途径就是入侵检测系统IDS(Intrusion Detection Systems)。 2、入侵检测技术发展历史 IDS即入侵检测系统,其英文全称为:Intrusion Detection System。入侵检测系统是依照一定的安全策略,通过软件和硬件对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或攻击结果,以保证网络系统资源的机密性、完整性和可用性。IDS通用模型如图2所示。
入侵检测技术现状分析与研究
学年论文 题目:入侵检测技术现状分析与研究 学院专业级班 学生姓名学号 指导教师职称 完成日期
入侵检测技术现状分析与研究 【摘要】随着网络的快速发展及普及,网络安全已经成为不可忽视的信息安全.小至个人用户的信息,大至公司企业重要的资料数据,一但在不知不觉中被盗窃,会给自己乃至公司带来利益的损失.入侵检测技在1980年由JamesP.Anderson在给一个保密客户写的一份题为《计算机安全威胁监控与监视》的技术报告中指出,审计记录可以用于识别计算机误用,他给威胁进行了分类,第一次详细阐述了入侵检测的概念 【关键词】IDS、协议、分析、网络安全
目录 第一章绪论 (1) 1.1入侵检测技术的背景 (1) 1.2入侵检测技术的应用与发展现状 (1) 第二章入侵检测技术 (1) 2.1入侵检测系统的分类 (1) 2.1.1基于主机的入侵检测系统 (2) 2.1.2基于网络的入侵检测系统 (2) 2.2入侵检测技术 (3) 2.2.1异常入侵检测技术 (3) 2.2.2误用入侵检测技术 (3) 第三章校园网中的分布式入侵检测分析 (4) 3.1 分布式入侵检测的设计思想 (4) 3.2 校园分布式入侵检测模式的分析 (4) 3.3 采用的入侵检测技术 (5) 第四章入侵检测系统的发展趋势 (7) 第五章总结 (8)
第一章绪论 1.1入侵检测技术的背景 随着计算机网络技术的飞速发展,人们已经离不开了网络的通信.网络渗透到了人们生活的点点滴滴,地球村的建设,让人们走进了高速发展的时代,信息中心的高速传输,网络资源的高度共享,都离不开网络.网络使得信息的获取、传递、处理和利用变得更加有效,网络带给人们学习、工作、娱乐的便利之余,也带给我们一些安全隐患.网络黑客可以轻松的取走你的重要的文件,盗取你的银行存款,破坏你的企业平台,公布你的隐私信函,篡改、干扰和毁坏你的数据库,甚至直接破坏用户的计算机,使你的网络瘫痪或者崩溃.所以,研究各种切实有效的安全技术来保障计算机系统和网络系统的安全,已经成为一个刻不容缓的问题.伴随着网络的发展,各种网络安全技术也随之发展起来. 美国韦式大辞典中对入侵检测的定义为:“硬闯入的行为,或者是在没受到邀请和欢迎的情况下进入一个地方”.当说到入侵检测的时候,我们是指发现了网络上的一台计算机有未经过授权的闯入行为,这个未经过许可的网络入侵或访问,是一种对其他网络设备的安全威胁或伤害.我们通常使用的网络安全技术有:防火墙、杀毒软件、虚拟专用网、数据加密、数字签名和身份认证技术等.这些传统的网络安全技术,对保护网络的安全起到非常重要的作用,然而它们也存在不少缺陷.例如,防火墙技术虽然为网络服务提供了较好的身份认证和访问控制,但是它不能防止来自防火墙内部的攻击,不能防备最新出现的威胁,不能防止绕过防火墙的攻击,入侵者可以利用脆弱性程序或系统漏洞绕过防火墙的访问控制来进行非法攻击.传统的身份认证技术,很难抵抗脆弱性口令,字典攻击,特洛伊木马,网络窥探器以及电磁辐射等攻击手段.虚拟专用网技术只能保证传输过程中的安全,并不能防御诸如拒绝服务攻击,缓冲区溢出等常见的攻击.另外,这些技术都属于静态安全技术的范畴;静态安全技术的缺点是只能静态和消极地防御入侵,而不能主动检测和跟踪入侵.而入侵检测技术是一种动态安全技术,它主动地收集包括系统审计数据,网络数据包以及用户活动状态等多方面的信息;然后进行安全性分析,从而及时发现各种入侵并产生响应.、 1.2入侵检测技术的应用与发展现状 在目前的计算机安全状态下,基于防火墙,加密技术等的安全防护固然重要;但是要根本改善系统的安全现状,必须要发展入侵检测技术.它已经成为计算机安全策略中的核心技术之一.Intrusion Detection System(简称IDS)作为一种主动的安全防护技术,提供了对内部攻击,外部攻击和误操作的实时保护.从网络安全立体纵深的多层次防御角度出发,入侵检测理应受到高度重视,这从国外入侵检测产品市场的蓬勃发展就可以看出.在国内,随着上网关键部门,关键业务越来越多,迫切需要具有自主版权的入侵检测产品;但目前我国的入侵检测技术还不够成熟,处于发展和跟踪国外技术的阶段,所以对入侵检测系统的研究非常重要.传统的入侵检测系统中一般采用传统的模式匹配技术,将待分析事件与入侵规则相匹配.从网络数据包的包头开始与攻击特征字符串比较.若比较结果不同,则下移一个字节再进行;若比较结果相同,那么就检测到一个可能的攻击.这种逐字节匹配方法具有两个最根本的缺陷:计算负载大以及探测不够灵活.面对近几年不断出现的A TM,千兆以太网,G比特光纤网等高速网络应用,实现实时入侵检测成为一个现实的问题.适应高速网络的环境,改进检测算法以提高运行速度和效率是解决该问题的一个途径.协议分析能够智能地"解释"协议,利用网络协议的高度规则性快速探测攻击的存在,从而大大减少了模式匹配所需的运算.所以说研究基于协议分析的入侵检测技术具有很强的现实意义. 第二章入侵检测技术 2.1入侵检测系统的分类 入侵检测系统按采用的技术分为:异常检测系统和误用检测系统.按系统所监测的对象分为:基于主
网络安全现场检测表---入侵检测
测评中心控制编号:BJ-4122-08 / 修改记录:第0次 编号:BC-2012-1019/19 重要信息系统安全等级测评 现场检测表 被测单位名称: 被测系统名称: 测试对象编号: 测试对象名称: 配合人员签字: 测试人员签字: 核实人员签字: 测试日期: 测评中心 测试类别等级测评(二级) 测试对象 测试类网络安全 测试项安全审计 测试要求: 1.应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录; 2.审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他和审计相关的信 息。 测试内容: 1.应访谈安全审计员,询问边界和关键网络设备是否开启审计功能,审计内容包括哪些项;询 问审计记录的主要内容有哪些; 2.应检查边界和关键网络设备,查看其审计策略是否包括网络设备运行状况、网络流量、用户 行为等; 3.应检查边界和关键网络设备,查看其事件审计记录是否包括:事件的日期和时间、用户、事 件类型、事件成功情况及其他和审计相关的信息。
1.入侵检测设备是否启用系统日志功能? □否□是 2.网络中是否部署网管软件? □否□是,软件名称为:________________ 3.日志记录是否包括设备运行状况、网络流量、用户行为等? □否□是 4.日志审计内容包括: □时间 □类型 □用户 □事件类型 □事件是否成功 □其他_________ 备注: 测试类别等级测评(二级) 测试对象 测试类网络安全 测试项入侵防范 测试要求: 1)能在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、 缓冲区溢出攻击、IP 碎片攻击、网络蠕虫攻击等入侵事件的发生。 测试内容: 1)访谈安全管理员,询问网络入侵防范措施有哪些;询问是否有专门设备对网络入侵进行防范; 2)评测网络入侵防范设备,查看是否能检测以下攻击行为:端口扫描、强力攻击、木马后门攻 击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等; 3)评测网络入侵防范设备,查看其规则库是否为最新; 4)测试网络入侵防范设备,验证其检测策略是否有效。
入侵检测技术 课后答案
习题答案 第1章入侵检测概述 思考题: (1)分布式入侵检测系统(DIDS)是如何把基于主机的入侵检测方法和基于网络的入侵检测方法集成在一起的? 答:分布式入侵检测系统是将主机入侵检测和网络入侵检测的能力集成的第一次尝试,以便于一个集中式的安全管理小组能够跟踪安全侵犯和网络间的入侵。DIDS的最初概念是采用集中式控制技术,向DIDS中心控制器发报告。 DIDS解决了这样几个问题。在大型网络互联中的一个棘手问题是在网络环境下跟踪网络用户和文件。DIDS允许用户在该环境中通过自动跨越被监视的网络跟踪和得到用户身份的相关信息来处理这个问题。DIDS是第一个具有这个能力的入侵检测系统。 DIDS解决的另一个问题是如何从发生在系统不同的抽象层次的事件中发现相关数据或事件。这类信息要求要理解它们对整个网络的影响,DIDS用一个6层入侵检测模型提取数据相关性,每层代表了对数据的一次变换结果。 (2)入侵检测作用体现在哪些方面? 答:一般来说,入侵检测系统的作用体现在以下几个方面: ●监控、分析用户和系统的活动; ●审计系统的配置和弱点; ●评估关键系统和数据文件的完整性; ●识别攻击的活动模式; ●对异常活动进行统计分析; ●对操作系统进行审计跟踪管理,识别违反政策的用户活动。 (3)为什么说研究入侵检测非常必要? 答:计算机网络安全应提供保密性、完整性以及抵抗拒绝服务的能力,但是由于连网用户的增加,网上电子商务开辟的广阔前景,越来越多的系统受到入侵者的攻击。为了对付这些攻击企图,可以要求所有的用户确认并验证自己的身份,并使用严格的访问控制机制,还可以用各种密码学方法对数据提供保护,但是这并不完全可行。另一种对付破坏系统企图的理想方法是建立一个完全安全的系统。但这样的话,就要求所有的用户能识别和认证自己,还要采用各种各样的加密技术和强访问控制策略来保护数据。而从实际上看,这根本是不可能的。 因此,一个实用的方法是建立比较容易实现的安全系统,同时按照一定的安全策略建立相应的安全辅助系统。入侵检测系统就是这样一类系统,现在安全软件的开发方式基本上就是按照这个思路进行的。就目前系统安全状况而言,系统存在被攻击的可能性。如果系统遭到攻击,只要尽可能地检测到,甚至是实时地检测到,然后采取适当的处理 –– 1
精编【安全生产】入侵检测技术和防火墙结合的网络安全探讨
第9卷第2期浙江工贸职业技术学院学报V ol.9 No.2 2009年6月JOURNAL OF ZHEJIANG INDUSTRY&TRADE VOCATIONAL COLLEGE Jun.2009 【安全生产】入侵检测技术和防火墙结合的网络安全探讨 xxxx年xx月xx日 xxxxxxxx集团企业有限公司 Please enter your company's name and contentv
入侵检测技术和防火墙结合的网络安全探讨 陈珊陈哲* (浙江工贸职业技术学院,温州科技职业学院,浙江温州325000) 摘要:本文指出了目前校园网络安全屏障技术存在的问题,重点分析了IDS与防火墙结合互动构建校园网络安全体系的技术优势,并对IDS与防火墙的接口设计进行了分析研究。 关键词:防火墙;网络安全;入侵检测 中图文分号:TP309 文献标识码:A文章编号:1672-0105(2009)02-0061-05 The Discussion of Security Defence Based on IDS and Firewall Chen Shan, Chen Zhe (Zhejiang Industrial&Trade Polytechnic, Wenzhou Science and Technology Vocaitional College,Wenzhou Zhejiang 325000) Abstract: This essay points out the problem in current security defence technology of campus network, which focuses on the technology advantages of combine and interaction of firewall and IDS (Intrusion Detection System) to build 120 campus network security system, and it also analyses and studies the interface design of firewall and IDS. Key Words: Firewall; Network Security; IDS (Intrusion Detection Systems) 随着国际互联网技术的迅速发展,校园网络在我们的校园管理、日常教学等方面正扮演着越来越重要的角色,为了保护学校内部的机密信息(如人事安排、档案、在研课题、专利、纪检报告等),保证用户正常访问,不受网络黑客的攻击,病毒的传播,校园网必须加筑安全屏障,因此,在现有的技术条件下,如何构建相对可靠的校园网络安全体系,就成了校园网络管理人员的一个重要课题。 一、目前校园网络安全屏障技术存在的问题 一)防火墙技术的的缺陷 防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,它越来越多被地应用于校园网的互联环境中。是位于两个信任程度不同的网络之间(如校园网与Internet之间)的软件或硬件设备的组合,它对网络之间的通信进行控制,通过强制实施统一的安全策略,防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。但也必须看到,作为一种周边安全机制,防火墙无法监控内部网络,仅能在应用层或网络层进行访问控制,无法保证信息(即通信内容)安全,有些安全威胁是 *收稿日期:2009-3-9 作者简介:陈珊(1975- ),女,讲师,研究方向:计算机科学。
计算机数据库入侵检测技术的应用
计算机数据库入侵检测技术的应用 发表时间:2019-01-15T10:01:49.673Z 来源:《防护工程》2018年第30期作者:王亮 [导读] 文章正是在此背景下,对计算机数据库入侵检测技术的应用进行了相应分析,以期为计算机数据库的安全工作提供相应借鉴。 广州工商学院计算机科学与工程系 510850 摘要:在计算机被大面积运用的背景下,虽然计算机数据库的出现为民众创造了较大的便利,但其应用压缩期间却存在较多安全问题,容易使计算机数据库里面的数据存在丢失、损坏等现象。因此,对计算机数据库入侵检测技术的应用予以强化便显得极为重要,能够为计算机数据库给予有效保障。文章正是在此背景下,对计算机数据库入侵检测技术的应用进行了相应分析,以期为计算机数据库的安全工作提供相应借鉴。 关键词:计算机;数据库;入侵检测技术 引言:计算机网络技术对全人类的文化、经济等各个领域都带来了无尽的机遇,与此同时也带来了对数据中信息安全各种挑战,数据的安全性已经成为网络发展中最受关注的问题。病毒、各种供给手段的入侵不仅会对网络系统造成破坏,更会使企业、个人机密数据被篡改、窃取,进而造成大量的损失,可以说数据的安全性,对社会的稳定性以及国民的经济都会直接造成影响。因此,就需要利用入侵检测技术具备的准确性、及时性以及主动性为计算机数据库提供安全保障。 1.1数据库入侵技术及方法 数据库入侵检测技术概述对计算机数据库中可能存在的破坏、篡改等行为进行有效识别,同时将这些行为进行消除的这一过程,称为数据库入侵检测技术。在进行检测的过程中,该技术会将计算机系统中的数据进行收集,同时判断系统中是否存在相关违法行为。入侵检测技术会在计算机系统中将相关信息进行分析,从而提高系统中信息的完整性、准确性,并检测用户的活动行为,一旦计算机中包含异常行为,就会对其进行评估,并实时对具体情况进行记录,采取跟踪管理模式,进而确保系统的安全性。 1.2数据库入侵检测技术的方法 异常检测技术。在对数据库入侵技术进行选择阶段,通常情况下人们多数愿意选择异常检测技术,该技术目前的应用范围很广,它可以将所有类型的病毒入侵行为全部判断为恶意行为,计算机系统会综合分析用户的操作行为,进而在系统内构建出用户行为框架(活动模型),在数据库遭到入侵时,系统会将其与活动模型进行对比,一旦发现有异常情况,当即对其进行攻击,查杀。误用检测技术。误用检测技术主要作用是对病毒的类型以及入侵的方法进行分析,进而对其充分了解,一旦确定了攻击对象,该对象就会遭到误用检测技术的攻击,从而将病毒有效查杀。但是一旦入侵计算机数据库的攻击方式以及病毒类型发生了转变,那么误用检测技术就无法有效发挥病毒查杀的功能,因此,误用检测技术只能在计算机系统对入侵活动做出编译后,才能对其进行查杀。在病毒入侵到计算机数据库中时,误用检测技术会以之前预设好的病毒特征对病毒进行判断,并采取防护措施。 1.3数据库入侵检测技术的应用 计算机数据库系统由管理软件和数据库组成的系统,称为计算机数据库系统。数据库系统分为三个层次,即网络系统、宿主操作系统、数据库管理系统三层,当数据库系统遭到入侵时,通常情况下是对操作系统本身进行文件的窃取、篡改行为,可也能会制造一些加的文件、数据。针对数据库系统的安全维护,可以分别对三个层次进行分析。首先是分析入侵容忍技术,即对计算机内层的中间层可采用路径检测技术,计算机外层可采用入侵检测技术。 2.1数据挖掘 对数据的挖掘,需要根据用户的实际需求采取具有针对性的挖掘方式。目前主流的、应用比较广泛的挖掘方式有两种,即序列模式和关联规则。关联规则指在数据库性质相同的项目中挖掘出不同数据库的内在联系,序列模式是指在对数据库进行操作过程中,将时间单元中的关系进行记录。在入侵检测技术中的数据挖掘,主要作用就是对用户的登录进行排序,随后对用户行为进行检测。 2.2入侵容忍技术 数据库入侵检测技术除了起到对恶意入侵进行防范之外,还需要具备遭到攻击后的自我恢复能力,从而确保正常运行。入侵容忍技术是实现自我恢复能力技术,其实现原理是借助 ITDB 发出命令,将可疑攻击行为隔离,随后依据该攻击行为对 ITDB 的相关部件进行自动调配,以确保系统不会受到错误指令的影响。有效应用入侵容忍技术,可以有效使数据库管理系统的自适应功能得到良好发挥。ITDB 能够通过控制用户对数据库的访问,将用户对数据库的读写权限进行限制,一旦发现用户操作存在可疑行为,而该行为会对数据库系统安全造成威胁,就会立即将本用户隔离。 2.3应用入侵检测技术 在对数据库进行应用的过程中,会出现越来越多的病毒以及非法手段,进而对数据库造成较大的安全威胁。另外,入侵检测技术和操作系统之间存在一定差异,数据库应先对 SQL 和 IDS 进行检测,确保预先包装的 Web 应用受到良好保护。入侵检测系统具体工作流程如下:①利用 Web 登录页面将 SQL 发起;②当攻击行为到达服务器,进行相关记录、数据的查找;③评估用户所提交的数据,在传感器进行用户安全证书评估阶段,可查看相关 SQL 语句,一旦发现用户操作存在欺骗行为,须及时采取行动,同时对控制台发出警报。 3.1检测系统缺乏较好的自我保护水平 随着计算机技术的持续推进,病毒技术也获得了较快的发展,更甚者其发展远在计算机技术之上,这使得病毒类别愈来愈多且极为繁杂,部分病毒异变后带来的破坏程度更大,加大了入侵检测技术发展的难度。并且,现阶段我国有关入侵检测技术的人才较为匮乏,对系统的健全和升级构成了相应阻挠,加之病毒的发展来势汹汹,极为迅猛,故而难以实现清理、防范病毒和入侵行为所提出的需求,使得系统缺乏足够的自我保护效力。此外,当前具有的入侵技术操作人员不具备丰富的专业知识及实践经验为其工作提供支撑,再加上系统本身也具有较多不足,故存在大面积病毒入侵事件的时候,入侵检测技术便会被其影响而难以顺利运行。误报、错报的现象时有发生现今社会,科学技术持续进步的境况中,较多计算机、信息技术均获取了较好的发展。但此间,计算机数据库入侵检测技术却被较多因子干扰而发展缓慢,故而难以和其他技术的发展脚步达成一致,滋生了较多不足,譬如操作人员通过计算机针对个人及网络信息保密处
浅谈网络安全中入侵检测技术的应用
浅谈网络安全中入侵检测技术的应用 发表时间:2019-02-28T15:08:00.887Z 来源:《基层建设》2018年第36期作者:牛晓娟 [导读] 摘要:信息社会的不断进步与发展,网络给人们带来了前所未有的便利,同时也带来了全新的挑战。 三河发电有限责任公司河北三河 065201 摘要:信息社会的不断进步与发展,网络给人们带来了前所未有的便利,同时也带来了全新的挑战。在网络安全问题备受关注的影响下,极大地促进了入侵检测技术的应用与实施。通过入侵检测技术的应用,可以切实维护好计算机网络的安全性与可靠性,避免个人信息出现泄漏、盗窃现象。本文主要阐述了入侵检测技术,然后针对入侵检测技术在网络安全中的应用进行了研究,以供相关人士的借鉴。 关键词:网络;安全;入侵检测技术;应用 目前,入侵检测技术在网络安全中得到了广泛的应用,发挥着不可比拟的作用和优势,已经成为了维护网络安全的重要保障。在实际运行中,威胁网络安全的因素比较多,带给了网络用户极大的不便。因此,必须要加强入侵检测技术的应用,对计算机中的数据信息进行加密与处理,确保网络用户个人信息的完整性,创建良好的网络安全环境,更好地提升网络用户对网络的满意度。 1入侵检测技术的简述 1.1入侵检测的概述 入侵检测技术,是一种对计算机网络的程序进行入侵式的检测的先进技术,它作为网络安全中第二道防线,起到保护计算机网络安全的作用。入侵检测是通过收集与分析安全日志、行为、审计和其他可获得的信息以及系统的关键信息,以此检测出计算机网络中违反安全策略的行为和受攻击的对象的一个工作过程。它开展保护工作的过程具体可分为:监视、分析网络用户和网络系统活动;网络安全系统构造和弱点的审查评估;认定反映已知进攻活动并作出警示警告;网络系统异常行为的统计和分析4个步骤。入侵检测技术能够同时完成实时监控内部攻击、外部攻击和错误操作的任务,把对网络系统的危害阻截在发生之前,并对网络入侵作出响应,是一种相对传统的被动静态网络安全防护技术提出的一种积极动态网络安全防护技术。 1.2入侵检测技术的特性 入侵检测技术基本上不具有访问控制的能力,这一技术就像拥有多年经验的网络侦查员,通过对数据的分析,从数据中过滤可疑的数据包,将正常使用方式与已知的入侵方式进行比较,来确定入侵检测是否成功。网络安全管理员根据这些判断,就可以确切地知道所受到的攻击,并采取相应的措施来解决这一问题。入侵检测系统是网络安全管理员经验积累的一种体现,减轻了网络安全管理员的负担,降低了网络安全管理员的技术要求,并且提高了电力信息网络安全管理的有效性和准确性。其功能有:①监视用户和系统的功能,查找非法用户合合法用户的越权操作。②审计系统配置的正确性和安全漏洞,并提示管理员修补后动。③对用户的非正常活动进行统计分析,发现入侵行为的规律。④操作系统的审计跟踪管理,能够实时地对检测到的入侵行为进行反应,检查系统程序和数据的一致性与正确性。 1.3入侵检测技术的流程 具体如下图1所示。现如今网络安全问题已经引起了社会各界人士的广泛关注,如何在发挥计算机数据库功能的同时避免其遭受病毒的侵袭,需要技术人员给予足够的重视,不断提高自身的技术水平,了解入侵检测技术原理并实现技术的合理使用,最为关键的是要严格按照应用流程进行操作,具体操作要点包括如下几个步骤:①攻击者可以先通过某种方式在网络上注入网络攻击行为;②如果攻击者的攻击行为已经突破了防火墙,可以应用服务器,评估用户的安全证书;③未发现用户的欺骗验证行为,可以查看SQL语句;④使用传感器向控制台发出警报。 1.4入侵检测技术的工作原理 通过收集计算机系统中的关键信息点,并通过相应软件对计算机系统和网络中是否存攻击进行分析,如果检测到计算机某个系统正在受到网络病毒入侵、身份攻击、拒绝服务攻击,并做出正确的应对。其实入侵检测技术上也就是一种动态安全防护技术,在国际上称之为IDS,主要技术手段是发现计算机网络中存在异常和匹配模式。 1)异常入侵检测 异常入侵检测,是指将用户在使用数据库时所常用的行为特征信息储存到数据库当中,当产生新的数据库使用行为时,系统会自动将当前的使用行为特征与储存好的用户常用数据库使用行为特征相比较,如果两者相差比较大,就说明此次访问行为与平时有明显的不同,即访问出现异常现象。遇到这种现象时系统会自动开启安全防御系统,对异常现象进行处理。异常入侵检测可以适用于大部分的网络安全检测,具有较强的实用性,而且可以在大量数据中慢慢地掌握检测的方法和规则。 2)入侵检测的匹配模式 匹配模式就是把已经收集到的信息和已知网络入侵、系统错误模式数据库等进行对比,及时发现会对计算机网络系统造成侵害的入侵行为,以便制定有效的应对策略。此过程的重点是把所有入侵手段用计算机系统可以识别的模式进行表述,并建立入侵模式数据库。在具体检测过程中,要对收集到的数据特征模式是否在入侵模式库中进行判断,而批评模式的占有系统比较少,仅仅包含集中收集到的数据库,因此匹配成功的概率比较高,基本上不会出现在错报的情况,发展至今匹配模式在入侵检测技术中的应用已经趋于成熟,可以大范围推广使用。其主要缺点升级比较频繁,负责也就难以应对各种新型入侵攻击技术。 2入侵检测技术应用的必要性分析 互联网具备高度的开放性与自由性,而接入网络的计算机体系或软件没有绝对的安全,为确保计算机用户数据与体系的完整性、可用性和保密性,就一定要使用重要的安全防护方法。现阶段常用的安全防护方法有对系统实施完善、对数据实施加密、控制执行访问等。然而就现阶段技术发展来看,第一种方法在技术层面非常难完成;第二种方法短期内能对数据实施保护,然而加密技术自身完成过程中存在一些问题,被破解的可能性比较高;第三种措施会在一定程度上使网络用户的应用效率降低。综合来看,能够运用相对容易完成的安全系