网络入侵检测技术综述
电脑编程技巧与维护
网络入侵检测技术综述
谭兵1。吴宗文2。黄伟
(1.重庆大学软件学院,重庆400044;2.成都军区78098部队装备部,崇州611237)
摘要:入侵检测工作应在计算机网络系统中的关键节点上。介绍入侵检测的基本概念,阐述两类基本的检测技术,详细地论述了入侵检测过程及检测技术面临的挑战与发展趋势。
关键词:入侵检测;异常检测:误用检测
NetworkIntrtmionDetectionTechnology
TANⅨn矿,WU历耐.HUANGWei
(1.TheSchoolofSoftwareEngineering,ChongqingUniversity,Chongqing400044;
2.Chengdumilitaryregion78098armylogisticsdepartments,Chongzhou611237)
Abstract:Theworkinthecomputernetworkintrusiondetectionsystem,akeynode.Thispaperintroducesthebasicconceptsofintrusiondetection,describedtwotypesofbasicdetectiontechnology,intrusiondetectionarediscussedindetail
theprocessandtesttechnology
challenges
andtrends。
Keywords:Intrusiondetection;Anomalydetection;Misusedetection
入侵检测(IntrusionDetection),顾名思义,即是对入侵行为的发觉。它在计算机网络或计算机系统中的若干关键点收集信息,通过对这些信息的分析来发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。违反安全策略的行为有:入侵一非法用户的违规行为;滥用—用户的违规行为。
对于入侵检测的使用,人们总会问这样一个问题。如果已经安装了防火墙,给操作系统打了补丁,并为安全设置了密码,为什么还要检测入侵呢?答案非常简单:因为入侵会不断发生。举个例子,就像人们有时候会忘记锁上窗户,人们有时也会忘记正确的升级防火墙规则设置。
即使在最高级别的保护措施下,计算机系统也不是百分之百的安全。实际上,大多数计算机安全专家认为,既定的用户要求属性,如网络连接,还未能达到成为百分之百安全系统的要求。因此,必须发展入侵检测技术及系统以便及时发现并对计算机攻击行为做出反应。
l入侵检测发展
起初,系统管理员们坐在控制台前监控用户的活动来进行人侵检测。他们通过观察,例如在本地登录的闲置用户或非正常激活的闲置打印机。尽管上述方法不是足够有效的,但这一早期入侵检测模式是临时的且不可升级。
入侵检测的下一步涉及到审计日志。审计日志即系统管理员所记录的非正常和恶意行为。
在上世纪70年代末和80年代初,管理员将审计日志打印在扇形折纸上,平均每周末都能累积四到五英尺高。很明显,要在这一堆纸里进行搜索是相当耗费时间的。由于这类
本文收稿日期:2009—11-12
—110~信息量过于丰富且只能手动分析,所以管理员主要用审计日志作为判据,以便在发生特别安全事件后,确定引起这一事件的原阂。基本上不可能靠它发现正在进行的攻击。
随着存储器价格的降低,审计日志转移到网上且开发出了分析相关数据的程序。然而,分析过程慢且需频繁而密集计算,因此,入侵检测程序往往是在系统用户登录量少的夜间进行。所以,大多数的入侵行为还是在发生后才被检测到。
90年代早期,研究人员开发出了实时入侵检测系统,即对审计数据进行实时评估。由于实现了实时反应,且在一些情况下,可以预测攻击,因此,这就使攻击和试图攻击发生时即可被检测到成为可能。
近年来,很多入侵检测方面的努力都集中在一些开发的产品上,这些产品将被用户有效配置在广大网络中。在计算机环境不断持续变化和无数新攻击技术不断产生的情况下,要使安全方面也不断升级是个非常困难任务[1l。
2分类
目前,入侵检测技术可基本分为3类:异常检测、误用检测和混合检测。异常检测是假定所有入侵行为都是与正常行为不同的;误用检测是根据已知攻击的知识建立攻击特征库,通过用户或系统行为与特征库中的各种攻击模式的比较确定是否有入侵发生;混合检测模型是对异常检测模型和误用检测模犁的综合。文中详细介绍异常检测和误用检测。2.1异常检测模型
异常检测利用用户和应用软件的预期行为。将对正常行为的背离作为问题进行解释。异常检测的一个基本假设就是攻击行为异于正常行为。例如,对特定用户的日常行为(打字和数量)进行非常准确的模拟,假定某用户习惯上午lO点左右登录,看邮件,运行数据库管理,中午到下午i点休息,有极少数文件的存取出现错误等等。如果系统发现相同的用
万方数据
COMPUllNGSECURITYTECHNIQUES计算机安全技术
户在下午3点登录,利用编译器和调试工具,并且出现很多文件存取错误,那么它将标记这一行为为可疑。
异常检测系统的主要优点是它们可检测到以前未知的攻击。通过定义‘正常’,它们可以确定任何侵害,不管是存在局部威胁还是伞部。在真实的系统中,检测先前未知攻击的优点是要求具备高的正伪识别速率的。异常检测系统在高度动态环境中的使用是非常困难的,因为并非所有的入侵都表现为异常。
2.2误用检测模型
误用检测系统从本质上可定义为‘出了什么问题’。它们包括攻击行为描述(或签名)和将它们与审查数据流进行比较,寻找已知攻击的证据。例如,如果某人在Unix系统密码文件上创建了一个符号链接并执行一个与访问符号链接的优先应用程序,就会产生上述攻击。在这个例子中,攻击利用缺少文件访问核查发起的。误用检测系统的主要优点是误报少,准确率高。
误用检测最主要的缺点就是它们只能检测那些有明确签名的已知攻击。当发现新的攻击后,开发人员必须模拟并把他们加到签名数据库中。
3入侵检测过程
入侵检测系统IDS(IntrusionDetectionSystems)依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果。假如把防火墙比作一幢大楼的『J锁。那么IDS就是这幢大楼里的监视系统。
入侵检测的目的似乎非常简单:就是检测入侵行为。其实不然,这是一项}f4难重重的任务,事实I二,入侵检测系统并不检测入侵行为,他们只用于识别入侵的证据,不管入侵行为正在发生或已经发生。
这些证据有时涉及到所谓的“攻击现象”。如果不存在攻击现象,或攻击现象信息量不足,又或攻击现象包含的信息可信度不高,则系统就不能检测到入侵行为。
3.1信息收集
信息收集是入侵榆测的关键环节,收集的内容包括系统、网络、数据及用户括动的状态和行为。要达到精确的入侵检测,必须获得可靠且完整的目标系统活动数据。可靠数据收集需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)进行。人侵检测在很大程度上依赖于收集信息的可靠性和准确性,信息一般来自4个方面:
(1)系统和网络日志文件。大部分操作日志提供了不同的审查方式以便不同用户的操作登录。这些登录日志可能被限制在与安全相关事件上(例如失败的登录尝试),或者也可能提供每个过程所调用系统命令的完整报告。类似的,路由器和防火墙为网络活动提供事件日志。这些日志可能只包括简单的信息。例如刚络连接的通或断,或网络中出现的每个数据包的完整记录。(2)目录和文件中的不期望的改变。网络环境中的文件系统包含很多软件和数据文件,包含重要信息的文件和私有数据文件经常是入侵者修改或破坏的目标。目录和文件中的不期单的改变(包括修改、创建和删除),特别是那些正常情况下限制访问的,很可能就是入侵发生的指示和信号。(3)程序执行的不期望行为。网络系统的执行程序一般包括操作系统、网络服务、用户启动的应用程序。执行的程序由一个或多个进程来实现,每个进程执行在不同权限的环境中,这种环境控制着进程可访问的系统资源、程序和数据文件等。如果一个程序在执行过程中出现了不期望的行为,如:越权访问、非法读写等,表明该程序可能被修改或破坏。(4)物理形式的入侵信息。包含未授权的对网络硬件的连接和对物理资源的未授权访问田。
3.2信号分析
对收集到的有关系统、网络、数据及用户活动的状态和行为等信息,一般通过3种技术手段进行分析:模式匹配。统计分析和完整性分析嘲。
3.3入侵检测响应
一个入侵系统的响应是指在枪测出现问题时它的输出或活动。一个响应可以呈现出多种形式;最通常的形式是产生一个描述被检测入侵行为的警告。也存在很多入侵性的响应,如分页系统管理员,发出警报声,或设置反攻击机制。
反攻击可能包括重新分配一个路由器来阻止攻击者的地址或甚至直接攻击来犯者。很明显,侵略性的响应是非常危险的,因为它们发动反击的对象可能是无辜的。比如,黑客可以利用确定的地址来攻击一个网络,但这个地址实际上产生于其他地方。如果入侵检测系统检测到攻击并重新分配路由器以阻止这一地址的网路,它就可能有效执行拒绝服务性攻击以阻止模拟地址攻击。
4挑战
尽管在过去几年里入侵检测发展迅速,但是许多重要问题依然存在。首先,检测系统必须更有效,以便能在出现很少错误的前提下检测出更大范围内的攻击。另外,入侵榆测必须跟卜.现代网络不断增长的幅度、速度以及编译器。最后,我们需要能够支持对整个网络攻击进行识别的分析技术。
仅仅检测出各种各样攻击还是不够的,入侵检测系统必须紧跟由高速网络和高性能网点产生的输入事件流。Gb以太网作为公共,快速的镜像联结变得越来越流行。网络节点也变得越来越快,处理更多的数据,产生更多的核查日志。这将我们带回到那个历史问题前,即系统管理员面临堆积如山的数据。
对不断增长的系统效率,我们面临的挑战是设计实现出一个能在出现最少错误前提下可以检测到将近100%攻击的系统,但当前技术离这个目标还很远。
5发展趋势
入侵检测作为一种积极主动地安全防范技术,提供了对攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵l川;但目前存在诸多问题:误/漏报率高、没有主动防御能力、缺乏准确定位和处理机制、性能普遍不足。随着网络系统结构的复杂化和大型化,网络入侵手段将变得多种多样,系统的弱点或漏洞会增加更多不确定因素,因此入侵检测技术也必须不断更新和发展。
5.1分析技术的改进
入侵检测误报和漏报的解决最终依靠分析技术的改进。目前入侵检测分析方法主要有:统计分析、模式匹配、数据重组、协议分析、行为分析等。
统计分析是统计网络中相关事件发生的次数,达到判别
一111—
万方数据
电脑编程技巧与维护
攻击的目的。模式匹配利用对攻击的特征字符进行匹配完成对攻击的检测。数据重组是对网络连接的数据流进行重组再加以分析.而不仅仅分析单个数据包。
5.2内容恢复和网络审计功能的引入
前面已经提到,入侵检测的最高境界是行为分析。但行为分析前还不是很成熟,因此,个别优秀的入侵检测产品引入了内容恢复和网络审计功能。
内容恢复即在协议分析的基础上,对网络中发生的应为加以完整的重组和记录,网络中发生的任何行为都逃不过它的监视。网络审计即对网络中所有的连接事件进行记录。入侵检测的接人方式决定入侵检测系统中的网络审计不仅类似防火墙可以记录p04络进出信息,还可以记录网络内部连接状况,此功能对内容恢复无法恢复的加密连接尤其有用。
内容恢复和网络审计让管理员看到网络的真正运行状况,其实就是调动管理员参与行为分析过程。此功能不仅能使管理员看到孤立的攻击事件的报警,还可以看到整个攻击过程,了解攻击确实发生与否,杳看攻击着的操作过程,了解攻击造成的危害。不fEi发现已知攻击,同时发现未知攻击。不便发现外部攻击者的攻击,也发现内部用户的恶意行为。毕竟管理员是最了解其网络的,管理员通过此功能的使用,很好地达到了行为分析的目的。但使用此功能的同时需注意对用户隐私的保护。53集成网络分析和管理功能
入侵检测不但对网络攻击是一个检测。同时,侵检测可以收到网络中的所有数据,对网络的故障分析和健康管理也可起到重大作用。当管理员发现某台主机有问题时,也希望能马卜对其进行管理。入侵检测也不应只采用被动分析方法,最好能和主动分析结合。所以,入侵检测产品集成网管功能,扫描器(Scanner),嗅探器(Sniffer)等功能是以后发展的方向。5.4安全性和易用性的提高
入侵检测是个安全产品,自身安全极为重要。因此,目前的入侵检测产品大多采用硬件结构,黑洞式接入,免除自身安全问题。同时,对易用性的要求也日益增强,例如:全中文的图形界面,自动的数据库维护,多样的报表输出。这些都是优秀入侵产品的特性和以后继续发展细化的趋势。5.5防火墙联动功能
入侵检测发现攻击,自动发送给防火墙,防火墙加载动态规则拦截入侵,称为防火墙联动功能。目前此功能还没有到完全实用的阶段,主要是一种概念。随便使用会导致很多问题。目前主要的应用对象是自动传播的攻击,如Nimda等,联动只在这种场合有一定的作用。无限制地使用联动。如未经充分测试,对防火墙的稳定性和网络应用会造成负面影响。但随着入侵检测产品检测准确度的提高,联动功能日益趋向实用化。
这些改进都体现着统一威胁管理的概念,使新的入侵检测技术实现用户需求的整合和技术的整合,对单薄的网络安全机制将会是一次深刻的改变[sl。
参考文献
【1】RichardA.,Kemmerer,GiovanniV.IntrusionDetection:ABriefHistoryandOverview【J】.SecurityandPrivacy,2002(35):27—30.
【2】谢根亮.入侵检测系统综述【J】.网络安全技术与应用,2008:39√m,
【3】戚文静,刘学主编.网络安全原理与应用【M】.北京:中国水利水电出版社,2008.
【41张威,潘小凤。防火墙与入侵检测技术探讨【J】.南京工业职业技术学院学报,2008,f8):25—27.
【5】丛慧源.浅析入侵检测系统存在问题及发展趋势叨.网络通讯及安全,2009,(5):796—797.
作者简介
谭兵,男(1978一),在读硕士研究生,研究方向:计算机网络信息安全。
吴宗文,男(1967一),部长,研究方向:网络信息化管理。
(上接第109页)
病毒数据库,当具有相同特征代码的进程创建时就会被阻断其执行过程,这样就可实现未染毒计算机的自动免疫了。
3结语
目前学校网络实验室管理工作人员面临着计算机软件更新工作量大、病毒泛滥、保护系统经常被破坏等问题。如果能找到一种方法,能实现主动阻止网络病毒爆发又能有效地控制学生上机的行为,使学生在|:课期间不能运行一些被禁止的软件或其他有损计算机的操作,诸如有破坏性的程序、聊天程序、无关网站、游戏、电影播放软件等等,同时又能实现软件的自动增量更新、自动清除垃圾数据、自动更改计算机IP地址和计算机名等功能,将是解决这些问题的一个很好的办法。本文通过对网络蠕虫传播机制的研究,找到一种可以对网络蠕虫进行自动诱捕来实现从被动防御转向主动防御的过程。
一112一
参考文献
【1】1戴伏英.网络和计算机游戏成瘾的预防叨.中国学校卫生,2005,26(7):45—85.
【2】吴欣.学校机房违规软件监控系统【J】.教育信息化,2005,27(6):122-124.
【31刘丹,等.计算机机房管理中若干问题的探讨叨.河南机电高等专学院学报,2005,13(2):65—67.
【4】王少东.计算机专业机房管理的技术手段【J】.南京工程学院学报,2004,2(1):67—72.
作者简介
蔡碉,女(1972一),讲师,本科学历,研究方向:从事计算机教学与研究、实验室建设与管理。
万方数据
信息安全及其前沿技术综述
信息安全及其前沿技术综述 一、信息安全基本概念 1、定义 (1)国内的回答 ●可以把信息安全保密内容分为:实体安全、运行安全、数据安全和管理安全四个方面。(沈昌祥) ●计算机安全包括:实体安全;软件安全;运行安全;数据安全;(教科书)●计算机信息人机系统安全的目标是着力于实体安全、运行安全、信息安全和人员安全维护。安全保护的直接对象是计算机信息系统,实现安全保护的关键因素是人。(等级保护条例) (2)国外的回答 ●信息安全是使信息避免一系列威胁,保障商务的连续性,最大限度地减少商务的损失,最大限度地获取投资和商务的回报,涉及的是机密性、完整性、可用性。(BS7799) ●信息安全就是对信息的机密性、完整性、可用性的保护。(教科书) ●信息安全涉及到信息的保密 (3)信息安全的发展渊源来看 1)通信保密阶段(40—70年代) ●以密码学研究为主 ●重在数据安全层面 2)计算机系统安全阶段(70—80年代) ●开始针对信息系统的安全进行研究 ●重在物理安全层与运行安全层,兼顾数据安全层 3)网络信息系统安全阶段(>90年代) ●开始针对信息安全体系进行研究 ●重在运行安全与数据安全层,兼顾内容安全层 2、信息安全两种主要论点
●机密性(保密性):就是对抗对手的被动攻击,保证信息不泄漏给 未经授权的人。 ●完整性:就是对抗对手主动攻击,防止信息被未经授权的篡改。 ●可用性:就是保证信息及信息系统确实为授权使用者所用。 (可控性:就是对信息及信息系统实施安全监控。) 二、为什么需要信息安全 信息、信息处理过程及对信息起支持作用的信息系统和信息网络都是重要的商务资产。信息的保密性、完整性和可用性对保持竞争优势、资金流动、效益、法律符合性和商业形象都是至关重要的。 然而,越来越多的组织及其信息系统和网络面临着包括计算机诈骗、间谍、蓄意破坏、火灾、水灾等大范围的安全威胁,诸如计算机病毒、计算机入侵、DoS 攻击等手段造成的信息灾难已变得更加普遍,有计划而不易被察觉。 组织对信息系统和信息服务的依赖意味着更易受到安全威胁的破坏,公共和私人网络的互连及信息资源的共享增大了实现访问控制的难度。
入侵检测技术综述
入侵检测技术综述 胡征兵1Shirochin V.P.2 乌克兰国立科技大学 摘要 Internet蓬勃发展到今天,计算机系统已经从独立的主机发展到复杂、互连的开放式系统,这给人们在信息利用和资源共享上带来了很大的便利。由Internet来传递和处理各种生活信息,早已成为人们重要的沟通方式之一,随之而来的各种攻击事件与入侵手法更是层出不穷,引发了一系列安全问题。本文介绍现今热门的网络安全技术-入侵检测技术,本文先讲述入侵检测的概念、模型及分类,并分析了其检测方法和不足之处,最后说描述了它的发展趋势及主要的IDS公司和产品。 关键词入侵检测入侵检测系统网络安全防火墙 1 引言 随着个人、企业和政府机构日益依赖于Internet进行通讯,协作及销售。对安全解决方案的需求急剧增长。这些安全解决方案应该能够阻止入侵者同时又能保证客户及合作伙伴的安全访问。虽然防火墙及强大的身份验证能够保护系统不受未经授权访问的侵扰,但是它们对专业黑客或恶意的经授权用户却无能为力。企业经常在防火墙系统上投入大量的资金,在Internet入口处部署防火墙系统来保证安全,依赖防火墙建立网络的组织往往是“外紧内松”,无法阻止内部人员所做的攻击,对信息流的控制缺乏灵活性,从外面看似非常安全,但内部缺乏必要的安全措施。据统计,全球80%以上的入侵来自于内部。由于性能的限制,防火墙通常不能提供实时的入侵检测能力,对于企业内部人员所做的攻击,防火墙形同虚设。 入侵检测是对防火墙及其有益的补充,入侵检测系统能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中,能减少入侵攻击所造成的损失。在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入知识库内,增强系统的防范能力,避免系统再次受到入侵。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护,大大提高了网络的安全性[1]。 2 入侵检测的概念、模型 入侵检测(Intrusion Detection,ID), 顾名思义,是对入侵行为的检测。它通过收集和分析计算机网络或计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统(Intrusion Detection System,IDS)。 入侵检测的研究最早可以追溯到詹姆斯·安德森[1]在1980年为美国空军做的题为《计算机安全威胁监控与监视》的技术报告,第一次详细阐述了入侵检测的概念。他提出了一种对计算机系统风险和威胁的分类方法,并将威胁分为外部渗透、内部渗透和不法行为三种,还提出了利用审计跟踪数据监视入侵活动的思想。他的理论成为入侵检测系统设计及开发的基础 , 他的工作成为基于主机的入侵检测系统和其它入侵检测系统的出发点。 Denning[2]在1987年所发表的论文中,首先对入侵检测系统模式做出定义:一般而言,入侵检测通过网络封包或信息的收集,检测可能的入侵行为,并且能在入侵行为造成危害前及时发出报警通知系统管理员并进行相关的处理措施。为了达成这个目的,入侵检测系统应包含3个必要功能的组件:信息来源、分析引擎和响应组件。 ●信息来源(Information Source):为检测可能的恶意攻击,IDS所检测的网络或系统必须能提供足够的信息给IDS,资料来源收集模组的任务就是要收集这些信息作为IDS分析引擎的资料输入。 ●分析引擎(Analysis Engine):利用统计或规则的方式找出可能的入侵行为并将事件提供给响应组件。 ●响应模组(Response Component):能够根据分析引擎的输出来采取应有的行动。通常具有自动化机制,如主动通知系统管理员、中断入侵者的连接和收集入侵信息等。 3 入侵检测系统的分类 入侵检测系统依照信息来源收集方式的不同,可以分为基于主机(Host-Based IDS)的和基于网络(Network-Based IDS);另外按其分析方法可分为异常检测(Anomaly Detection,AD)和误用检测(Misuse Detection,MD),其分类架构如图1所示: 图 1. 入侵检测系统分类架构图
入侵检测技术 课后答案
精品文档 . 第1章入侵检测概述 思考题: (1)分布式入侵检测系统(DIDS)是如何把基于主机的入侵检测方法和基于网络的入侵检测方法集成在一起的? 答:分布式入侵检测系统是将主机入侵检测和网络入侵检测的能力集成的第一次尝试,以便于一个集中式的安全管理小组能够跟踪安全侵犯和网络间的入侵。DIDS的最初概念是采用集中式控制技术,向DIDS中心控制器发报告。 DIDS解决了这样几个问题。在大型网络互联中的一个棘手问题是在网络环境下跟踪网络用户和文件。DIDS允许用户在该环境中通过自动跨越被监视的网络跟踪和得到用户身份的相关信息来处理这个问题。DIDS是第一个具有这个能力的入侵检测系统。 DIDS解决的另一个问题是如何从发生在系统不同的抽象层次的事件中发现相关数据或事件。这类信息要求要理解它们对整个网络的影响,DIDS用一个6层入侵检测模型提取数据相关性,每层代表了对数据的一次变换结果。 (2)入侵检测作用体现在哪些方面? 答:一般来说,入侵检测系统的作用体现在以下几个方面: ●监控、分析用户和系统的活动; ●审计系统的配置和弱点; ●评估关键系统和数据文件的完整性; ●识别攻击的活动模式; ●对异常活动进行统计分析; ●对操作系统进行审计跟踪管理,识别违反政策的用户活动。 (3)为什么说研究入侵检测非常必要? 答:计算机网络安全应提供保密性、完整性以及抵抗拒绝服务的能力,但是由于连网用户的增加,网上电子商务开辟的广阔前景,越来越多的系统受到入侵者的攻击。为了对付这些攻击企图,可以要求所有的用户确认并验证自己的身份,并使用严格的访问控制机制,还可以用各种密码学方法对数据提供保护,但是这并不完全可行。另一种对付破坏系统企图的理想方法是建立一个完全安全的系统。但这样的话,就要求所有的用户能识别和认证自己,还要采用各种各样的加密技术和强访问控制策略来保护数据。而从实际上看,这根本是不可能的。 因此,一个实用的方法是建立比较容易实现的安全系统,同时按照一定的安全策略建立相应的安全辅助系统。入侵检测系统就是这样一类系统,现在安全软件的开发方式基本上就是按照这个思路进行的。就目前系统安全状况而言,系统存在被攻击的可能性。如果系统遭到攻击,只要尽可能地检测到,甚至是实时地检测到,然后采取适当的处理
网络安全技术第1章网络安全概述习题及答案
第1章网络安全概述 练习题 1.选择题 (1)在短时间内向网络中的某台服务器发送大量无效连接请求,导致合法用户暂时无法访问服务器的攻击行为是破坏了( C )。 A.机密性B.完整性 C.可用性D.可控性 (2)Alice向Bob发送数字签名的消息M,则不正确的说法是( A ) 。 A.Alice可以保证Bob收到消息M B.Alice不能否认发送消息M C.Bob不能编造或改变消息M D.Bob可以验证消息M确实来源于Alice (3)入侵检测系统(IDS,Intrusion Detection System)是对( D )的合理补充,帮助系统对付网络攻击。 A.交换机B.路由器C.服务器D.防火墙(4)根据统计显示,80%的网络攻击源于内部网络,因此,必须加强对内部网络的安全控制和防范。下面的措施中,无助于提高局域网内安全性的措施是( D )。 A.使用防病毒软件B.使用日志审计系统 C.使用入侵检测系统D.使用防火墙防止内部攻击 2. 填空题 (1)网络安全的基本要素主要包括机密性、完整性、可用性、可控性与不可抵赖性。 (2)网络安全是指在分布式网络环境中,对信息载体(处理载体、存储载体、传输载体)和信息的处理、传输、存储、访问提供安全保护,以防止数据、信息内容遭到破坏、更改、泄露,或网络服务中断或拒绝服务或被非授权使用和篡改。 (3)网络钓鱼是近年来兴起的另一种新型网络攻击手段,黑客建立一个网站,通过模仿银行、购物网站、炒股网站、彩票网站等,诱骗用户访问。 (4)防火墙是网络的第一道防线,它是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的入侵, (5)入侵检测是网络的第二道防线,入侵检测是指通过对行为、安全日志或审计数据或其他网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图。
入侵检测技术概述
入侵检测技术概述 孟令权李红梅黑龙江省计算中心 摘要 本文概要介绍了当前常见的网络安全技术——入侵检测技术,论述了入侵检测的概念及 分类,并分析了其检测方法和不足之处.最后描述了它的发展趋势及主要的IDS公司和产品。 关键词 入侵检测;网络;安全;IDS 1 引言 入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。违反安全策略的行为有:入侵——非法用户的违规行为;滥用——用户的违规行为。 2 入侵检测的概念 入侵检测(I n t r u s i o n D e t e c t i o n ,I D ) ,顾名思义,是对入侵行为的检测。它通过收集和分析计算机网络或计算机系统中若干关键点的信息,检查网络或系统中是否存在违 反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系 统(Intrusion Detection SystemIDS ) 。 3 入侵检测系统的分类 入侵检测系统(I D S ) 依照信息来源收集方式的不同,可以分为基于主机(H o s t-Based IDS ) 的和基于网络(Netwo r k-BasedIDS ) ;另外按其分析方法可分为异常检测(Anomaly Detection ,AD ) 和误用检测(Misuse Detection ,M D ) 。 3 .1主机型入侵检测系统 基于主机的入侵检测系统是早期的入侵检测系统结构,其检测的目标主要是主机系统和系统本地用户,检测原理是根据主机的审计数据和系统日志发现可疑事件。检测系统可以运行在被检测的主机或单独的主机上。 其优点是:确定攻击是否成功;监测特定主机系统活动,较适合有加密和网络交换器的环境,不需要另外添加设备。 其缺点:可能因操作系统平台提供的日志信息格式不同,必须针对不同的操作系统安装不同类型的入侵检测系统。监控分析时可能会曾加该台主机的系统资源负荷.影响被监测主机的效能,甚至成为入侵者利用的工具而使被监测的主机负荷过重而死机。 3 .2 网络型入侵检测系统 网络入侵检测是通过分析主机之间网线上传输的信息来工作的。它通常利用一个工作在“混杂模式”(PromiscuousMode) 下的网卡来实时监视并分析通过网络的数据流。它的分析模块通常使用模式匹配、统计分析等技术来识别攻击行为。 其优点是:成本低;可以检测到主机型检测系统检测不到的攻击行为;入侵者消除入侵证据困难;不影响操作系统的性能;架构网络型入侵检测系统简单。 其缺点是:如果网络流速高时可能会丢失许多封包,容易让入侵者有机可乘;无法检测加密的封包对干直接对主机的入侵无法检测出。 3 .3混和入侵检测系统 主机型和网络型入侵检测系统都有各自的优缺点,混和入侵检测系统是基于主机和基于网络的入侵检测系统的结合,许多机构的网络安全解决方案都同时采用了基于主机和基于网络的两种入侵检测系统,因为这两种系统在很大程度上互补,两种技术结合。能大幅度提升网络和系统面对攻击和错误使用时的抵抗力,使安全实施更加有效。 3 . 4 误用检测
网络安全技术习题及答案 入侵检测系统
第9章入侵检测系统 1. 单项选择题 1)B 2)D 3)D 4)C 5)A 6)D 2、简答题 (1)什么叫入侵检测,入侵检测系统有哪些功能? 入侵检测系统(简称“IDS”)就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。 入侵检测系统功能主要有: 识别黑客常用入侵与攻击手段 监控网络异常通信
鉴别对系统漏洞及后门的利用 完善网络安全管理 (2)根据检测对象的不同,入侵检测系统可分哪几种? 根据检测对象的不同,入侵检测系统可分为基于主机的入侵检测基于网络的入侵检测、混合型三种。主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源。主机型入侵检测系统保护的一般是所在的系统。网络型入侵检测系统的数据源是网络上的数据包。一般网络型入侵检测系统担负着保护整个网段的任务。混合型是基于主机和基于网络的入侵检测系统的结合,它为前两种方案提供了互补,还提供了入侵检测的集中管理,采用这种技术能实现对入侵行为的全方位检测。 (3)常用的入侵检测系统的技术有哪几种?其原理分别是什么? 常用的入侵检测系统的技术有两种,一种基于误用检测(Anomal Detection),另一种基于异常检测(Misuse Detection)。 对于基于误用的检测技术来说,首先要定义违背安全策略事件的特征,检测主要判别这类特征是否在所收集到的数据中出现,如果检测到该行为在入侵特征库中,说明是入侵行为,此方法非常类似杀毒软件。基于误用的检测技术对于已知的攻击,它可以详细、准确的报告出攻击类型,但是对未知攻击却效果有限,而且知识库必须不断更新。 基于异常的检测技术则是先定义一组系统正常情况的数值,如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出),然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的正常情况。异常检测只能识别出那些与正常过程有较
入侵检测技术毕业论文
入侵检测技术毕业论文 Last updated on the afternoon of January 3, 2021
毕业设计 开题报告 学生姓名徐盼 学号 专业计算机网络技术 班级网络201401班 指导教师刘烨 开题时间2016年10月20日 黄冈职业技术学院电子信息学院
电子信息学院毕业设计开题报告
学业作品题目入侵检测技术应用 学生姓名徐盼 学号 专业计算机网络技术 班级网络201401班 指导教师刘烨 完成日期2016年11月20日 目录
摘要 近年来随着计算机网络的迅速发展,网络安全问题越来越受到人们的重视。从网络安全角度来看,防火墙等防护技术只是被动安全防御技术,只是尽量阻止攻击或延缓攻击,只会依照特定的规则,允许或是限制传输的数据通过。在网络环境下不但攻击手段层出不穷,而且操作系统、安全系统也可能存在诸多未知的漏洞,这就需要引入主动防御技术对系统安全加以补充,目前主动防御技术主要就是入侵检测技术。 本文从入侵检测技术的发展入手,研究、分析了入侵检测技术和入侵检测系统的原理、应用、信息收集和分析、数据的处理及其优缺点和未来的发展方向。 关键词:网络安全,网络入侵,入侵检测技术,入侵检测系统 第一章绪论 入侵检测技术的提出 随着Internet高速发展,个人、企业以及政府部门越来越多地依靠网络传递信息,然而网络的开放性与共享性容易使它受到外界的攻击与破坏,信息的安全保密性受到严重影响。网络安全问题已成为世界各国政府、企业及广大网络用户最关心的问题之一。 在计算机上处理业务已由基于单机的数学运算、文件处理,基于简单连结的内部网络的内部业务处理、办公自动化等发展到基于企业复杂的内部网、企业外部网、全球互联网的企业级计算机处理系统和世界范围内的信息共享和业务处理。在信息处理能力提高的同时,系统的连结能力也在不断的提高。但在连结信息能力、流通能力提高的同时,基于网络连接的安全问题也日益突出,黑客攻击日益猖獗,防范问题日趋严峻:具WarroonResearch的调查,1997年世界排名前一千的公司几乎都曾被黑客闯入;
入侵检测技术的现状及未来
入侵检测技术的现状及未来 【摘要】入侵检测能有效弥补传统防御技术的缺陷,近年来入侵检测系统已经成为网络安全的系统中的重要组成部分。本文在对当前主流入侵检测技术及系统进行详细研究分析的基础上,指出了入侵检测系统面临的问题和挑战。最后对入侵检测系统的未来发展方向进行了讨论,展望了应用人工智能技术的入侵检测系统、基于Android平台的入侵检测系统、基于云模型和支持向量机的特征选择方法等新方向。 【关键词】网络安全;入侵检测;异常检测;智能技术 0.引言 目前,在网络安全日趋严峻的情况下,解决网络安全问题所采用的防火墙、身份认证、数据加密、虚拟子网等一般被动防御方法已经不能完全抵御入侵。此时,研究开发能够及时准确对入侵进行检测并能做出响应的网络安全防范技术,即入侵检测技术(ID,Intrusion Detection),成为一个有效的解决途径。入侵检测作为一种积极主动地安全防护技术,已经成为网络安全领域中最主要的研究方向。 1.入侵检测概述 1.1入侵检测的基本概念 入侵检测(Intrusion Detection),即是对入侵行为的检测。入侵是指潜在的、有预谋的、未被授权的用户试图“接入信息、操纵信息、致使系统不可靠或不可用”的企图或可能性。它通过从计算机网络或计算机系统的关键点收集信息,并对收集到的信息进行分析,从而发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。而入侵检测系统则是入侵检测的软件与硬件的组合。 1.2入侵检测系统的通用模型 1987年Dorothy E Denning[1]提出了入侵检测的模型,首次将入侵检测作为一种计算机安全防御措施提出。该模型包括6个主要的部分:主体(Subjects)、对象(Objects)、审计记录(Audit Record)、活动档案(Active Profile)、异常记录(Anomaly Record )、活动规则(Activity Rules)。 2.入侵检测系统采用的检测技术 从技术上看,入侵可以分为两类:一种是有特征的攻击,它是对已知系统的系统弱点进行常规性的攻击;另一种是异常攻击。与此对应,入侵检测也分为两类:基于特征的(Signature-based即基于滥用的)和基于异常的(Anomaly-based,也称基于行为的)。
入侵检测技术综述
河南理工大学 课程论文 (2014-2015第二学年) 论文题目:入侵检测技术综述 学院: 专业班级: 学号: 姓名: 指导老师: 日期:2015.7.3
1引言 1 2入侵行为的概念、分类和演化 1 3入侵检测技术的发展 3 3.1以Denning模型为代表的IDS早期技术 3 3.2中期:统计学理论和专家系统相结合 4 3.3基于网络的NIDS是目前的主流技术 4 4结语 5 参考文献 6
摘要:自从计算机问世以来,安全问题就一直存在着,使用者也一直未给予足够的重视,结果大量连接到Internet上的计算机暴露在愈来愈频繁的攻击中。本文先介绍入侵行为的概念和演化,然后按时间顺序,沿着技术发展的脉络,回顾了入侵检测技术从20世纪70年代初到今天的发展历程。文章以历史和实践的观点,透视入侵和入侵检测技术相互制约,相互促进的演进过程。 关键词:计算机安全;入侵检测;入侵检测系统;入侵检测系统的历史 1引言 自从计算机问世以来,安全问题就一直存在。特别是随着Internet的迅速扩张和电子商务的兴起,人们发现保护资源和数据的安全,让他免受来自恶意入侵者的威胁是件相当困难的事。提到网络安全,很多人首先想到的是防火墙,防火墙作为一种静态的访问控制类安全产品通常使用包过滤的技术来实现网络的隔离。适当配置的防火墙虽然可以将非预期的访问请求屏蔽在外,但不能检查出经过他的合法流量中是否包含着恶意的入侵代码。在这种需求背景下,入侵检测系统(IDS)应运而生。 入侵检测系统(IDS)是将电子数据处理、安全审计、模式匹配及统计技术等有机地融合在一起,通过分析被检测系统的审计数据或直接从网络捕获数据,发现违背安全策略或危及系统安全的行为和活动。本文主要讨论入侵和入侵检测技术从20世纪70年代初到今天的发展历程。这个概念出自James P.Anderson在1972年的一项报告,随后的30多年中,概念本身几乎没有改变。 2入侵行为的概念、分类和演化 从最早期的计算机安全开始,人们就密切关注恶意使用者破坏保护机制的可能性。早期系统多为多用户批处理系统。这个时期,主要的威胁来自系统的合法使用者,他们企图得到未经授权的材料。到了20世纪70年代,分时系统和其他的多用户系统已成气候,Willis H Ware 主持的计算机安全防御科学特别工作 小组提供了一项报告,为处理多级数据的计算机系统的发展奠定了基础。但这篇报告并没有受到应有的重视,直到70年代中期,人们才开始进行构建多级安全体系的系统研究。 1980年4月,詹姆斯·安德森(James P.Anderson)为美国空军做的题为《Computer Security Threat Monitoring and Surveillance》(计算机安全威胁监控与监视)的技术报告,第一次详细阐述了入侵检测的概念,并首先为入侵和入侵检测提出了一个统一的架构,这是该领域的开山之作。他在论文中给出了入侵和入侵检测技术方面的概念: 威胁(Threat)可能存在有预谋的、未经认可的尝试: ①存取数据; ②操控数据; ③使系统不可靠或无法使用。 危险(Risk)意外的和不可预知的数据暴露,或者,由于硬件故障、软件设计的不完整和不正确所造成的违反操作完整性的问题。 脆弱性(Vulnerability)已知的或可疑的硬件或软件设计中的缺陷;使系统暴露的操作;意外暴露自己信息的操作。攻击(Attack)实施威胁的明确的表达或行为。 渗透/入侵(Penetration)一个成功的攻击;(未经认可的)获得对文件和程序的使用,或对计算机系统的控制。 威胁概念中的③包括DOS(Denial Of Service)“拒绝服务攻击”。盗用计算资源也属于这个类别之内。 一般来说,外部入侵者的首要工作是进入系统。所外人,也可能是合法用户,但违规使用了未经授权的资源。另一方面,除了拒绝服务攻击外,多数攻击都需要入侵者取得用户身份。20世纪80年代中后期,网络计算已经相当普遍,渗透和入侵也更广泛。但许多厂商和系
网络安全之入侵检测技术
网络安全之入侵检测技 术 Revised as of 23 November 2020
网络安全之入侵检测技术 标签: 2012-07-31 14:07 中国移动通信研究院卢楠 摘要:入侵检测技术作为网络安全中的一项重要技术已有近30年的发展历史,随着中国移动网络的开放与发展,入侵检测系统(IDS)也逐渐成为保卫中国移动网络安全不可或缺的安全设备之一。在入侵检测技术发展过程中,逐步形成了2类方法、5种硬件架构,不同的方法与架构都存在其优势与不足。本文基于入侵检测的应用场景,对现有的主流技术原理、硬件体系架构进行剖析;详细分析IDS产品的测评方法与技术,并介绍了一个科学合理、方便操作的IDS测评方案。最后,从应用需求出发分析入侵检测技术的未来发展趋势。 1、背景 目前,互联网安全面临严峻的形势。因特网上频繁发生的大规模网络入侵和计算机病毒泛滥等事件使很多政府部门、商业和教育机构等都受到了不同程度的侵害,甚至造成了极大的经济损失。 随着互联网技术的不断发展,网络安全问题日益突出。网络入侵行为经常发生,网络攻击的方式也呈现出多样性和隐蔽性的特征。当前网络和信息安全面临的形势严峻,网络安全的主要威胁如图1所示。
图1 目前网络安全的主要威胁 说到网络安全防护,最常用的设备是防火墙。防火墙是通过预先定义规则并依据规则对访问进行过滤的一种设备;防火墙能利用封包的多样属性来进行过滤,例如:来源 IP 、来源端口号、目的 IP 地址或端口号、(如 WWW 或是 FTP)。对于目前复杂的网络安全来说,单纯的防火墙技术已不能完全阻止网络攻击,如:无法解决木马后门问题、不能阻止网络内部人员攻击等。据调查发现,80%的网络攻击来自于网络内部,而防火墙不能提供实时入侵检测能力,对于病毒等束手无策。因此,很多组织致力于提出更多更强大的主动策略和方案来增强网络的安全性,其中一个有效的解决途径就是入侵检测系统IDS(Intrusion Detection Systems)。 2、入侵检测技术发展历史 IDS即入侵检测系统,其英文全称为:Intrusion Detection System。入侵检测系统是依照一定的安全策略,通过软件和硬件对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或攻击结果,以保证网络系统资源的机密性、完整性和可用性。IDS通用模型如图2所示。
网络安全技术第1章网络安全概述习题及答案
网络安全技术第1章网络安全概述习题及答案 -标准化文件发布号:(9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII
第1章网络安全概述 练习题 1.选择题 (1)在短时间内向网络中的某台服务器发送大量无效连接请求,导致合法用户暂时无法访问服务器的攻击行为是破坏了( C )。 A.机密性B.完整性 C.可用性D.可控性 (2)Alice向Bob发送数字签名的消息M,则不正确的说法是( A ) 。 A.Alice可以保证Bob收到消息M B.Alice不能否认发送消息M C.Bob不能编造或改变消息M D.Bob可以验证消息M确实来源于Alice (3)入侵检测系统(IDS,Intrusion Detection System)是对( D )的合理补充,帮助系统对付网络攻击。 A.交换机B.路由器C.服务器D.防火墙(4)根据统计显示,80%的网络攻击源于内部网络,因此,必须加强对内部网络的安全控制和防范。下面的措施中,无助于提高局域网内安全性的措施是( D )。 A.使用防病毒软件B.使用日志审计系统 C.使用入侵检测系统D.使用防火墙防止内部攻击 2. 填空题 (1)网络安全的基本要素主要包括机密性、完整性、可用性、可控性与不可抵赖性。 (2)网络安全是指在分布式网络环境中,对信息载体(处理载体、存储载体、传输载体)和信息的处理、传输、存储、访问提供安全保护,以防止数据、信息内容遭到破坏、更改、泄露,或网络服务中断或拒绝服务或被非授权使用和篡改。 (3)网络钓鱼是近年来兴起的另一种新型网络攻击手段,黑客建立一个网站,通过模仿银行、购物网站、炒股网站、彩票网站等,诱骗用户访问。
信息安全综述
网络信息安全综述 李晴川 (重庆邮电大学通信学院,学号:S100103006) 摘要 21世纪是信息的时代。信息成为一种重要的战略资源,信息的获取、处理和安全保障能力成为一个国家综合国力的重要组成部分。信息安全事关国家安全、事关社会稳定。因此, 必须采取措施确保我国的信息安全。近年来,信息安全领域的发展十分迅速,取得了许多新的重要成果。本文主要综述了网络信息安全技术、发展、挑战、对策。 关键词 网络信息安全 安全机制 技术发展 挑战 对策 一 引言 进入21世纪以来,网络用户呈几何级数增长,人们对网络信息的需求和依赖日益增强,很多企业正是看到其中巨大的商机纷纷开展网上业务。无论在计算机上存储、处理、应用,还是在通信网络上传输,信息都可能被非授权访问而导致泄密,被篡改破坏而导致不完整,被冒充替换而导致否认,也可能被阻塞拦截而导致无法存取。这些破坏可能是有意的,如黑客攻击、病毒感染;也可能是无意的,如误操作、程序错误等。 因此,网络信息安全事关国家安全和社会稳定, 因此, 必须采取措施确保我国的信息安全。 二、网络信息安全的内容 网络信息安全分为网络安全和信息安全两个层面。网络安全包括系统安全,即硬件平台、操作系统、应用软件运行服务安全,即保证服务的连续性、高效率。信息安全则主要足指数据安全,包括数据加密、备份、程序等。 (1)硬件安全。即网络硬件和存储媒休的安全。要保护这些硬设施不受损害,能够正常工作。 (2)软件安全。即计算机及其网络各种软件不被篡改或破坏,不被非法操作或误操作,功能不会失效,不被非法复制。 (3)运行服务安全。即网络中的各个信息系统能够正常运行并能正常地通过网络交流信息。通过对网络系统中的各种设备运行状况的监测,发现不安全因素能及时报警并采取措施改变不安全态,保障网络系统正常运行。 (4)数据安全。即网络中存能及流通数据的女全。要保护网络中的数据不被篡改、非法增删、复制、解密、显示、使用等。
入侵检测技术现状分析与研究
学年论文 题目:入侵检测技术现状分析与研究 学院专业级班 学生姓名学号 指导教师职称 完成日期
入侵检测技术现状分析与研究 【摘要】随着网络的快速发展及普及,网络安全已经成为不可忽视的信息安全.小至个人用户的信息,大至公司企业重要的资料数据,一但在不知不觉中被盗窃,会给自己乃至公司带来利益的损失.入侵检测技在1980年由JamesP.Anderson在给一个保密客户写的一份题为《计算机安全威胁监控与监视》的技术报告中指出,审计记录可以用于识别计算机误用,他给威胁进行了分类,第一次详细阐述了入侵检测的概念 【关键词】IDS、协议、分析、网络安全
目录 第一章绪论 (1) 1.1入侵检测技术的背景 (1) 1.2入侵检测技术的应用与发展现状 (1) 第二章入侵检测技术 (1) 2.1入侵检测系统的分类 (1) 2.1.1基于主机的入侵检测系统 (2) 2.1.2基于网络的入侵检测系统 (2) 2.2入侵检测技术 (3) 2.2.1异常入侵检测技术 (3) 2.2.2误用入侵检测技术 (3) 第三章校园网中的分布式入侵检测分析 (4) 3.1 分布式入侵检测的设计思想 (4) 3.2 校园分布式入侵检测模式的分析 (4) 3.3 采用的入侵检测技术 (5) 第四章入侵检测系统的发展趋势 (7) 第五章总结 (8)
第一章绪论 1.1入侵检测技术的背景 随着计算机网络技术的飞速发展,人们已经离不开了网络的通信.网络渗透到了人们生活的点点滴滴,地球村的建设,让人们走进了高速发展的时代,信息中心的高速传输,网络资源的高度共享,都离不开网络.网络使得信息的获取、传递、处理和利用变得更加有效,网络带给人们学习、工作、娱乐的便利之余,也带给我们一些安全隐患.网络黑客可以轻松的取走你的重要的文件,盗取你的银行存款,破坏你的企业平台,公布你的隐私信函,篡改、干扰和毁坏你的数据库,甚至直接破坏用户的计算机,使你的网络瘫痪或者崩溃.所以,研究各种切实有效的安全技术来保障计算机系统和网络系统的安全,已经成为一个刻不容缓的问题.伴随着网络的发展,各种网络安全技术也随之发展起来. 美国韦式大辞典中对入侵检测的定义为:“硬闯入的行为,或者是在没受到邀请和欢迎的情况下进入一个地方”.当说到入侵检测的时候,我们是指发现了网络上的一台计算机有未经过授权的闯入行为,这个未经过许可的网络入侵或访问,是一种对其他网络设备的安全威胁或伤害.我们通常使用的网络安全技术有:防火墙、杀毒软件、虚拟专用网、数据加密、数字签名和身份认证技术等.这些传统的网络安全技术,对保护网络的安全起到非常重要的作用,然而它们也存在不少缺陷.例如,防火墙技术虽然为网络服务提供了较好的身份认证和访问控制,但是它不能防止来自防火墙内部的攻击,不能防备最新出现的威胁,不能防止绕过防火墙的攻击,入侵者可以利用脆弱性程序或系统漏洞绕过防火墙的访问控制来进行非法攻击.传统的身份认证技术,很难抵抗脆弱性口令,字典攻击,特洛伊木马,网络窥探器以及电磁辐射等攻击手段.虚拟专用网技术只能保证传输过程中的安全,并不能防御诸如拒绝服务攻击,缓冲区溢出等常见的攻击.另外,这些技术都属于静态安全技术的范畴;静态安全技术的缺点是只能静态和消极地防御入侵,而不能主动检测和跟踪入侵.而入侵检测技术是一种动态安全技术,它主动地收集包括系统审计数据,网络数据包以及用户活动状态等多方面的信息;然后进行安全性分析,从而及时发现各种入侵并产生响应.、 1.2入侵检测技术的应用与发展现状 在目前的计算机安全状态下,基于防火墙,加密技术等的安全防护固然重要;但是要根本改善系统的安全现状,必须要发展入侵检测技术.它已经成为计算机安全策略中的核心技术之一.Intrusion Detection System(简称IDS)作为一种主动的安全防护技术,提供了对内部攻击,外部攻击和误操作的实时保护.从网络安全立体纵深的多层次防御角度出发,入侵检测理应受到高度重视,这从国外入侵检测产品市场的蓬勃发展就可以看出.在国内,随着上网关键部门,关键业务越来越多,迫切需要具有自主版权的入侵检测产品;但目前我国的入侵检测技术还不够成熟,处于发展和跟踪国外技术的阶段,所以对入侵检测系统的研究非常重要.传统的入侵检测系统中一般采用传统的模式匹配技术,将待分析事件与入侵规则相匹配.从网络数据包的包头开始与攻击特征字符串比较.若比较结果不同,则下移一个字节再进行;若比较结果相同,那么就检测到一个可能的攻击.这种逐字节匹配方法具有两个最根本的缺陷:计算负载大以及探测不够灵活.面对近几年不断出现的A TM,千兆以太网,G比特光纤网等高速网络应用,实现实时入侵检测成为一个现实的问题.适应高速网络的环境,改进检测算法以提高运行速度和效率是解决该问题的一个途径.协议分析能够智能地"解释"协议,利用网络协议的高度规则性快速探测攻击的存在,从而大大减少了模式匹配所需的运算.所以说研究基于协议分析的入侵检测技术具有很强的现实意义. 第二章入侵检测技术 2.1入侵检测系统的分类 入侵检测系统按采用的技术分为:异常检测系统和误用检测系统.按系统所监测的对象分为:基于主
入侵检测技术
入侵检测技术 一、入侵检测技术 入侵检测的研究最早可追溯到James Aderson在1980年的工作,他首先提出了入侵检测的概念,在该文中Aderson提出审计追踪可应用于监视入侵威胁,但由于当时所有已有的系统安全程序都着重于拒绝未经认证主体对重要数据的访问,这一设想的重要性当时并未被理解。1987年Dorothy.E.Denning[2]提出入侵检测系统(Intrusion Detection System,IDS)的抽象模型,首次将入侵检测的概念作为一种计算机系统安全防御问题的措施提出,与传统加密和访问控制的常用方法相比,IDS是全新的计算机安全措施。1988年的Morris Internet蠕虫事件使得Internet近5天无法使用。该事件使得对计算机安全的需要迫在眉睫,从而导致了许多IDS系统的开发研制。 入侵检测(Intrusion Detection)的定义为:识别针对计算机或网络资源的恶意企图和行为,并对此作出反应的过程。IDS则是完成如上功能的独立系统。IDS能够检测未授权对象(人或程序)针对系统的入侵企图或行为(Intrusion),同时监控授权对象对系统资源的非法操作(Misuse)。 ●从系统的不同环节收集信息; ●分析该信息,试图寻找入侵活动的特征; ●自动对检测到的行为做出响应; ●纪录并报告检测过程结果。 入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。入侵检测系统能很好的弥补防火墙的不足,从某种意义上说是防火墙的补充[1]。 二、入侵检测的分类 现有的分类,大都基于信息源和分析方法进行分类。 2.1 根据信息源的不同,分为基于主机型和基于网络型两大类 2.1.1 基于主机的入侵检测系统 基于主机的IDS可监测系统、事件和Windows NT下的安全记录以及Unix环境下的系统记录。当有文件被修改时,IDS将新的记录条目与已知的攻击特征相比较,看它们是否匹配。如果匹配,就会向系统管理员报警或者作出适当的响应。 基于主机的IDS在发展过程中融入了其他技术。检测对关键系统文件和可执行文件入侵
网络安全技术研究的目的、意义和现状
网络安全技术综述 研究目的: 随着互联网技术的不断发展和广泛应用,计算机网络在现代生活中的作用越来越重要,如今,个人、企业以及政府部门,国家军事部门,不管是天文的还是地理的都依靠网络传递信息,这已成为主流,人们也越来越依赖网络。然而,网络的开放性与共享性容易使它受到外界的攻击与破坏,网络信息的各种入侵行为和犯罪活动接踵而至,信息的安全保密性受到严重影响。因此,网络安全问题已成为世界各国政府、企业及广大网络用户最关心的问题之一。 21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息社会、网络社会的时候,我国将建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国自己特色的网络安全体系。 网络安全技术指致力于解决诸如如何有效进行介入控制,以及何如保证数据传输的安全性的技术手段,主要包括物理安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,及其它的安全服务和安全机制策略。在网络技术高速发展的今天,对网络安全技术的研究意义重大,它关系到小至个人的利益,大至国家的安全。对网络安全技术的研究就是为了尽最大的努力为个人、国家创造一个良好的网络环境,让网络安全技术更好的为广大用户服务。 研究意义: 一个国家的信息安全体系实际上包括国家的法规和政策,以及技术与市场的发展平台.我国在构建信息防卫系统时,应着力发展自己独特的安全产品,我国要 想真正解决网络安全问题,最终的办法就是通过发展民族的安全产业,带动我国网络安全技术的整体提高。信息安全是国家发展所面临的一个重要问题.对于这个问题,我们还没有从系统的规划上去考虑它,从技术上,产业上,政策上来发展它.政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来电子化,信息化的发展将起到非常重要的作用。
信息安全技术概述
1基本概念 1.1信息安全的要素 ●性:指网络中的信息不被非授权实体获取与使用。 的信息包括: 1.存储在计算机系统中的信息:使用访问控制机制,也可以进行加密增加安全性。 2.网络中传输的信息:应用加密机制。 ●完整性:指数据未经授权不能进行改变的特性,即信息在存储或传输过程中保持不被修改、 不被破坏和丢失的特性,还要求数据的来源具有正确性和可信性,数据是真实可信的。 解决手段:数据完整性机制。 ●真实性:保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操 作者的物理身份与数字身份相对应。 解决手段:身份认证机制。 ●不可否认性:或不可抵赖性。发送信息方不能否认发送过信息,信息的接收方不能否认接收 过信息。 解决手段:数字签名机制。 1.2信息技术 ●明文(Message):指待加密的信息,用M或P表示。 ●密文(Ciphertext):指明文经过加密处理后的形式,用C表示。 ●密钥(Key):指用于加密或解密的参数,用K表示。 ●加密(Encryption):指用某种方法伪装消息以隐藏它的容的过程。 ●加密算法(EncryptionAlgorithm):指将明文变换为密文的变换函数,用E表示。 ●解密(Decryption):指把密文转换成明文的过程。 ●解密算法(DecryptionAlgorithm):指将密文变换为明文的变换函数,用D表示。 ●密码分析(Cryptanalysis):指截获密文者试图通过分析截获的密文从而推断出原来的明文 或密钥的过程。 ●密码分析员(Crytanalyst):指从事密码分析的人。 ●被动攻击(PassiveAttack):指对一个系统采取截获密文并对其进行分析和攻击,这种攻 击对密文没有破坏作用。 ●主动攻击(ActiveAttack):指攻击者非法入侵一个密码系统,采用伪造、修改、删除等手 段向系统注入假消息进行欺骗,这种攻击对密文具有破坏作用。 ●密码体制(密码方案):由明文空间、密文空间、密钥空间、加密算法、解密算法构成的五 元组。 分类: 1.对称密码体制:单钥密码体制,加密密钥和解密密钥相同。 2.非对称密码体制:双钥密码体制、公开密码体制,加密密钥和解密密钥不同。 ●密码系统(Cryptosystem):指用于加密和解密的系统,通常应当是一个包含软、硬件的系 统。 ●柯克霍夫原则:密码系统的安全性取决于密钥,而不是密码算法,即密码算法要公开。
入侵检测技术综述
入侵检测技术综述 摘要:Internet蓬勃发展到今天,计算机系统已经从独立的主机发展到复杂、互 连的开放式系统,这给人们在信息利用和资源共享上带来了很大的便利。由Internet来传递和处理各种生活信息,早已成为人们重要的沟通方式之一,随之 而来的各种攻击事件与入侵手法更是层出不穷,引发了一系列安全问题。本文从 专利文献的视角对入侵检测技术的发展进行了全面的分析与研究,总结了与入侵 检测技术相关的专利申请基本情况,介绍了入侵检测技术分支及其发展路线。 关键词:入侵检测,主机,网络,混合型。 1、概述 随着个人、企业和政府机构日益依赖于Internet进行通讯,协作及销售。对 安全解决方案的需求急剧增长。入侵检测是对防火墙及其有益的补充,入侵检测 系统能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系 统驱逐入侵攻击。在入侵攻击过程中,能减少入侵攻击所造成的损失。在被入侵 攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入知识库内,增 强系统的防范能力,避免系统再次受到入侵。入侵检测被认为是防火墙之后的第 二道安全闸门,在不影响网络性能的情况下能对网络进行监听,从而提供对内部 攻击、外部攻击和误操作的实时保护,大大提高了网络的安全性。 入侵检测(Intrusion Detection,ID), 顾名思义,是对入侵行为的检测。它通 过收集和分析计算机网络或计算机系统中若干关键点的信息,检查网络或系统中 是否存在违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组 合便是入侵检测系统(Intrusion Detection System,IDS)。一般而言,入侵检测通 过网络封包或信息的收集,检测可能的入侵行为,并且能在入侵行为造成危害前 及时发出报警通知系统管理员并进行相关的处理措施。为了达成这个目的,入侵 检测系统应包含3个必要功能的组件:信息来源、分析引擎和响应组件。 2、专利申请分析 2.1入侵检测技术专利申请年代分布 图2-1示出了入侵检测技术专利申请的年代分布情况,可见,入侵检测技术 在上个世纪九十年代已经出现了少量的专利申请,进入二十一世纪,入侵检测技 术专利申请逐年大幅递增,到了05、06年左右达到了一个极大值,从06年开始,往后的五年申请量逐渐减少,到了10年前后达到了一个极小值,随后又开始逐 年递增,并且在近三年达到了一个峰值,考虑到17年和18年存在部分专利尚未 公开的情况,该峰值或许还会增大。总体来说,近二十年入侵检测技术专利申请 量是逐年递增的,随着黑客技术的不断增强,入侵检测系统也在不断升级,这催 生了越来越多的专利申请。 2.2中国入侵检测专利年申请量分布 图2-2示出了入侵检测技术在中国专利申请年代的分布情况,从图中可知,2000年中国 才开始有关于入侵检测的专利申请,之后的十几年里,中国关于入侵检测技术的申请量逐年 递增且增幅明显,截止目前,尚有大量的专利申请未被公开,按照走向来看,2018年中国关 于入侵检测技术的专利申请量有望创造新的峰值。相比于欧美发达国家,中国的计算机技术 起步晚,因此在2000年前后才出现了关于入侵检测的专利申请,但是进入二十一世纪以后,