IDES入侵检测系统
入侵检测系统
域的网络,绝大部分的网络区域都已经全面升级到交换式的网络结构。因此,IDS在交换式网络中的位置一般选择在:
(1)尽可能靠近攻击源
( 2)尽可能靠近受保护资源
这些位置通常是:
·服务器区域的交换机上
·Internet接入路由器之后的第一台交换机上
·重点保护网段的局域网交换机上
由于入侵检测系统的市场在近几年中飞速发展,许多公司投入到这一领域上来。Venustech(启明星辰)、Internet Security System(ISS)、思科、赛门铁克等公司都推出了自己的产品。
编辑本段系统组成
IETF将一个入侵检测系统分为四个组件:事件产生器(Event generators);事件分析器(Event analyzers);响应单元(Response units );事件数据库(Event databases )。
事件产生器的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件。事件分析器分析得到的数据,并产生分析结果。响应单元则是对分析结果作出作出反应的功能单元,它可以作出切断连接、改变文件属性等
强烈反应,也可以只是简单的报警。事件数据库是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。
编辑本段系统分类
根据检测对象的不同,入侵检测系统可分为主机型和网络型。
系统通信协议
系统通信协议
IDS系统内部各组件之间需要通信,不同厂商的IDS
系统之间也需要通信。因此,有必要定义统一的协议。目前,IETF目前有一个专门的小组Intrusion Detection Working Group (IDWG)负责定义这种通信格式,称作Intrusion Detection Exchange Format(IDEF),但还
没有统一的标准。
以下是设计通信协议时应考虑的问题:
1.系统与控制系统之间传输的信息是非常重要的信息,因此必须要保持数据的真实性和完整性。必须有一定的机制进行通信双方的身份验证和保密传输(同时防止主动和被动攻击)。
2.通信的双方均有可能因异常情况而导致通信中断,IDS系统必须有额外措施保证系统正常工作。
入侵检测技术
入侵检测技术
对各种事件进行分析,从中发现违反安全策略的行为是入侵检测系统的核心功能。从技术上,入侵检测分为两类:一种基于标志(signature-based),另一种基于异
常情况(anomaly-based)。
对于基于标识的检测技术来说,首先要定义违背安全策略的事件的特征,如网络数据包的某些头信息。检测主要判别这类特征是否在所收集到的数据中出现。此方法非常类似杀毒软件。
而基于异常的检测技术则是先定义一组系统“正常”情况的数值,如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出),然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况。
两种检测技术的方法、所得出的结论有非常大的差异。基于标志的检测技术的核心是维护一个知识库。对于已知的攻击,它可以详细、准确的报告出攻击类型,但是对未知攻击却效果有限,而且知识库必须不断更新。基于异常的检测技术则无法准确判别出攻击的手法,但它可以(至少在理论上可以)判别更广范、甚至未发觉的攻击。
编辑本段IDS缺点
1998年2月,Secure Networks Inc.指出IDS有许多弱点,主要为:IDS对数据的检测;对IDS自身攻击的防护。由于当代网络发展迅速,网络传输速率大大加快,这造成了IDS工作的很大负担,也意味着IDS对攻击活动检测的可靠性不高。而IDS在应对对自身的攻击时,对其他传输的检测也会被抑制。同时由于模式识别技术的不完善,IDS的高虚警率也是它的一大问题。
扩展阅读:
1
华为赛门铁克入侵检测专家系统http://www.szj
https://www.360docs.net/doc/f17552080.html,/products_body.asp?cid=266&id=2060
网络安全技术 习题及答案 第9章 入侵检测系统
第9章入侵检测系统 1. 单项选择题 1)B 2)D 3)D 4)C 5)A 6)D 2、简答题 (1)什么叫入侵检测,入侵检测系统有哪些功能? 入侵检测系统(简称“IDS”)就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。 入侵检测系统功能主要有: 识别黑客常用入侵与攻击手段 监控网络异常通信 鉴别对系统漏洞及后门的利用 完善网络安全管理 (2)根据检测对象的不同,入侵检测系统可分哪几种? 根据检测对象的不同,入侵检测系统可分为基于主机的入侵检测基于网络的入侵检测、混合型三种。主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源。主机型入侵检测系统保护的一般是所在的系统。网络型入侵检测系统的数据源是网络上的数据包。一般网络型入侵检测系统担负着保护整个网段的任务。混合型是基于主机和基于网络的入侵检测系统的结合,它为前两种方案提供了互补,还提供了入侵检测的集中管理,采用这种技术能实现对入侵行为的全方位检测。 (3)常用的入侵检测系统的技术有哪几种?其原理分别是什么? 常用的入侵检测系统的技术有两种,一种基于误用检测(Anomal Detection),另一种基于异常检测(Misuse Detection)。 对于基于误用的检测技术来说,首先要定义违背安全策略事件的特征,检测主要判别这
类特征是否在所收集到的数据中出现,如果检测到该行为在入侵特征库中,说明是入侵行为,此方法非常类似杀毒软件。基于误用的检测技术对于已知的攻击,它可以详细、准确的报告出攻击类型,但是对未知攻击却效果有限,而且知识库必须不断更新。 基于异常的检测技术则是先定义一组系统正常情况的数值,如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出),然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的正常情况。异常检测只能识别出那些与正常过程有较大偏差的行为,无法准确判别出攻击的手法,但它可以(至少在理论上可以)判别更广范、甚至未发觉的攻击。 (4)入侵检测系统弥补了防火墙的哪些不足? 网络防火墙是指的是隔离在本地网络与外界网络之间的一道防御系统。 防火墙也存在以下不足之处: 防火墙可以阻断攻击,但不能消灭攻击源。入侵者可以寻找防火墙背后可能敞开的后门而绕过防火墙; 防火墙不能抵抗最新的未设置策略的攻击漏洞。 防火墙的并发连接数限制容易导致拥塞或者溢出。而当防火墙溢出 的时候,整个防线就如同虚设,原本被禁止的连接也能从容通过了; 防火墙对待内部主动发起连接的攻击一般无法阻止; 防火墙本身也会出现问题和受到攻击; 防火墙不处理病毒。普通防火墙虽然扫描通过他的信息,但一般只扫描源地址、目的地址端口号,不扫描数据的确切内容,对于病毒来说,防火墙不能防范。 防火墙是一种静态的安全技术, 需要人工来实施和维护, 不能主动跟踪入侵者。 综合以上可以看出,防火墙是网络安全的重要一环,但不代表设置了防火墙就能一定保证网络的安全。入侵攻击已经见怪不怪,对付这些入侵者的攻击,可以通过身份鉴别技术,使用严格的访问控制技术,还可以对数据进行加密保护等,但这并不完全可行。所以静态安全措施并不足以保护安全对象。因此,一种动态的方法是必要的。比如行为跟踪、入侵检测技术。但是,完全防止入侵目前看是不现实的。人们可以尽力检测出这些入侵,以便采取措施或者以后修补。 (5)简述基于主机的入侵检测系统的优点。 基于主机的入侵检测系统优点: 能够监视特定的系统活动,可以精确的根据自己的需要定制规则。 不需要额外的硬件,HIDS驻留在现有的网络基础设施上,其包括文件服务器、Web服务器和其它的共享资源等。减少了以后维护和管理硬件设备的负担。 适用于被加密的和交换的环境。可以克服NIDS在交换和加密环境中所面临的一些困难。 缺点: 依赖于特定的操作系统平台,对不同的平台系统而言,它是无法移植的,因此必须针对各不同主机安裝各种HIDS。 在所保护主机上运行,将影响到宿主机的运行性能,特别是当宿主机为服务器的情况;通常无法对网络环境下发生的大量攻击行为,做出及时的反应。
入侵检测技术 课后答案
精品文档 . 第1章入侵检测概述 思考题: (1)分布式入侵检测系统(DIDS)是如何把基于主机的入侵检测方法和基于网络的入侵检测方法集成在一起的? 答:分布式入侵检测系统是将主机入侵检测和网络入侵检测的能力集成的第一次尝试,以便于一个集中式的安全管理小组能够跟踪安全侵犯和网络间的入侵。DIDS的最初概念是采用集中式控制技术,向DIDS中心控制器发报告。 DIDS解决了这样几个问题。在大型网络互联中的一个棘手问题是在网络环境下跟踪网络用户和文件。DIDS允许用户在该环境中通过自动跨越被监视的网络跟踪和得到用户身份的相关信息来处理这个问题。DIDS是第一个具有这个能力的入侵检测系统。 DIDS解决的另一个问题是如何从发生在系统不同的抽象层次的事件中发现相关数据或事件。这类信息要求要理解它们对整个网络的影响,DIDS用一个6层入侵检测模型提取数据相关性,每层代表了对数据的一次变换结果。 (2)入侵检测作用体现在哪些方面? 答:一般来说,入侵检测系统的作用体现在以下几个方面: ●监控、分析用户和系统的活动; ●审计系统的配置和弱点; ●评估关键系统和数据文件的完整性; ●识别攻击的活动模式; ●对异常活动进行统计分析; ●对操作系统进行审计跟踪管理,识别违反政策的用户活动。 (3)为什么说研究入侵检测非常必要? 答:计算机网络安全应提供保密性、完整性以及抵抗拒绝服务的能力,但是由于连网用户的增加,网上电子商务开辟的广阔前景,越来越多的系统受到入侵者的攻击。为了对付这些攻击企图,可以要求所有的用户确认并验证自己的身份,并使用严格的访问控制机制,还可以用各种密码学方法对数据提供保护,但是这并不完全可行。另一种对付破坏系统企图的理想方法是建立一个完全安全的系统。但这样的话,就要求所有的用户能识别和认证自己,还要采用各种各样的加密技术和强访问控制策略来保护数据。而从实际上看,这根本是不可能的。 因此,一个实用的方法是建立比较容易实现的安全系统,同时按照一定的安全策略建立相应的安全辅助系统。入侵检测系统就是这样一类系统,现在安全软件的开发方式基本上就是按照这个思路进行的。就目前系统安全状况而言,系统存在被攻击的可能性。如果系统遭到攻击,只要尽可能地检测到,甚至是实时地检测到,然后采取适当的处理
第八章入侵检测系统
第八章入侵检测系统 第一节引言 通过电子手段对一个组织信息库的恶意攻击称为信息战(information warfare)。攻击的目的可能干扰组织的正常活动,甚至企图对组织的信息库造成严重的破坏。对信息战的各种抵抗措施都可归结为三类:保护、检测、响应。 保护 (入侵的防范)指保护硬件、软件、数据抵御各种攻击的技术。目前各种网络安全设施如防火墙及VPN,各种加密技术,身份认证技术,易攻击性扫描等都属于保护的范围之内,它们是计算机系统的第一道防线。 检测 (入侵的检测)研究如何高效正确地检测网络攻击。只有入侵防范不足以保护计算机的安全,任何系统及协议都不可避免地存在缺陷,可能是协议本身也可能是协议的实现,还有一些技术之外的社会关系问题,都能威胁信息安全。因此即使采用这些保护措施,入侵者仍可能利用相应缺陷攻入系统,这意味着入侵检测具有其他安全措施所不能代替的作用。 响应 (入侵的响应)是入侵检测之后的处理工作,主要包括损失评估,根除入侵者留下的后门,数据恢复,收集入侵者留下的证据等。这三种安全措施构成完整的信息战防御系统。 入侵检测(Intrusion Detection,ID)是本章讨论的主题之一,它通过监测计算机系统的某些信息,加以分析,检测入侵行为,并做出反应。入侵检测系统所检测的系统信息包括系统记录,网络流量,应用程序日志等。入侵(Intrusion)定义为未经授权的计算机使用者以及不正当使用(misuse)计算机的合法用户(内部威胁),危害或试图危害资源的完整性、保密性、可用性的行为。入侵检测系统(Intrusion Detection System,IDS)是实现入侵检测功能的硬件与软件。入侵检测基于这样一个假设,即:入侵行为与正常行为有显著的不同,因而是可以检测的。入侵检测的研究开始于20世纪80年代,进入90年代入侵检测成为研究与应用的热点,其间出现了许多研究原型与商业产品。 入侵检测系统在功能上是入侵防范系统的补充,而并不是入侵防范系统的替代。相反,它与这些系统共同工作,检测出已经躲过这些系统控制的攻击行为。入侵检测系统是计算机系统安全、网络安全的第二道防线。 一个理想的入侵检测系统具有如下特性: ?能以最小的人为干预持续运行。 ?能够从系统崩溃中恢复和重置。 ?能抵抗攻击。IDS必须能监测自身和检测自己是否已经被攻击者所改变。
入侵检测部署方案
1.1 入侵检测部署方案 1.1.1需求分析 利用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安全的网络保护,降低了网络安全风险,但是入侵者可寻找防火墙背后可能敞开的后门,或者入侵者也可能就在防火墙内。通过部署安全措施,要实现主动阻断针对信息系统的各种攻击,如病毒、木马、间谍软件、可疑代码、端口扫描、DoS/DDoS等,能防御针对操作系统漏洞的攻击,能够实现应用层的安全防护,保护核心信息资产的免受攻击危害。 针对网络的具体情况和行业特点,我们得到的入侵检测的需求包括以下几个方面: ●入侵检测要求 能够对攻击行为进行检测,是对入侵检测设备的核心需求,要求可以检测的种类包括:基于特征的检测、异常行为检测(包括针对各种服务器的攻击等)、可移动存储设备检测等等。 ●自身安全性要求 作为网络安全设备,入侵检测系统必须具有很高的安全性,配置文件需要加密保存,管理台和探测器之间的通讯必须采用加密的方式,探测器要可以去除协议栈,并且能够抵抗各种攻击。 ●日志审计要求 系统能对入侵警报信息分类过滤、进行统计或生成报表。对客户端、服务器端的不同地址和不同服务协议的流量分析。可以选择不同的时间间隔生成报表,反映用户在一定时期内受到的攻击类型、严重程度、发生频率、攻击来源等信息,使管理员随时对网络安全状况有正确的了解。可以根据管理员的选择,定制不同形式的报表。 ●实时响应要求
当入侵检测报警系统发现网络入侵和内部的违规操作时,将针对预先设置的规则,对事件进行实时应急响应。根据不同级别的入侵行为能做出不同方式告警,用以提醒管理人员及时发现问题,并采取有效措施,控制事态发展。报警信息要分为不同的级别:对有入侵动机的行为向用户显示提示信息、对严重的违规现象实行警告通知、对极其危险的攻击可通过网管或者互动防火墙进行及时阻断、以及向安全管理中心报告。另外,必须在基于规则和相应的报警条件下,对不恰当的网络流量进行拦截。 联动要求 入侵检测系统必须能够与防火墙实现安全联动,当入侵检测系统发现攻击行为时,能够及时通知防火墙,防火墙根据入侵检测发送来的消息,动态生成安全规则,将可疑主机阻挡在网络之外,实现动态的防护体系!进一步提升网络的安全性。 1.1.2方案设计 网络入侵检测系统位于有敏感数据需要保护的网络上,通过实时侦听网络数据流,寻找网络违规模式和未授权的网络访问尝试。当发现网络违规行为和未授权的网络访问时,网络监控系统能够根据系统安全策略做出反应,包括实时报警、事件登录,或执行用户自定义的安全策略等。 入侵检测系统可以部署在网络中的核心,这里我们建议在网络中采用入侵检测系统,监视并记录网络中的所有访问行为和操作,有效防止非法操作和恶
入侵检测技术 课后答案
习题答案 第1章入侵检测概述 思考题: (1)分布式入侵检测系统(DIDS)是如何把基于主机的入侵检测方法和基于网络的入侵检测方法集成在一起的? 答:分布式入侵检测系统是将主机入侵检测和网络入侵检测的能力集成的第一次尝试,以便于一个集中式的安全管理小组能够跟踪安全侵犯和网络间的入侵。DIDS的最初概念是采用集中式控制技术,向DIDS中心控制器发报告。 DIDS解决了这样几个问题。在大型网络互联中的一个棘手问题是在网络环境下跟踪网络用户和文件。DIDS允许用户在该环境中通过自动跨越被监视的网络跟踪和得到用户身份的相关信息来处理这个问题。DIDS是第一个具有这个能力的入侵检测系统。 DIDS解决的另一个问题是如何从发生在系统不同的抽象层次的事件中发现相关数据或事件。这类信息要求要理解它们对整个网络的影响,DIDS用一个6层入侵检测模型提取数据相关性,每层代表了对数据的一次变换结果。 (2)入侵检测作用体现在哪些方面? 答:一般来说,入侵检测系统的作用体现在以下几个方面: ●监控、分析用户和系统的活动; ●审计系统的配置和弱点; ●评估关键系统和数据文件的完整性; ●识别攻击的活动模式; ●对异常活动进行统计分析; ●对操作系统进行审计跟踪管理,识别违反政策的用户活动。 (3)为什么说研究入侵检测非常必要? 答:计算机网络安全应提供保密性、完整性以及抵抗拒绝服务的能力,但是由于连网用户的增加,网上电子商务开辟的广阔前景,越来越多的系统受到入侵者的攻击。为了对付这些攻击企图,可以要求所有的用户确认并验证自己的身份,并使用严格的访问控制机制,还可以用各种密码学方法对数据提供保护,但是这并不完全可行。另一种对付破坏系统企图的理想方法是建立一个完全安全的系统。但这样的话,就要求所有的用户能识别和认证自己,还要采用各种各样的加密技术和强访问控制策略来保护数据。而从实际上看,这根本是不可能的。 因此,一个实用的方法是建立比较容易实现的安全系统,同时按照一定的安全策略建立相应的安全辅助系统。入侵检测系统就是这样一类系统,现在安全软件的开发方式基本上就是按照这个思路进行的。就目前系统安全状况而言,系统存在被攻击的可能性。如果系统遭到攻击,只要尽可能地检测到,甚至是实时地检测到,然后采取适当的处理 –– 1
网络入侵检测原理与技术
网络入侵检测原理与技术 摘要:计算机网络技术的发展和应用对人类生活方式的影响越来越大,通过Internet人们的交流越来越方便快捷,以此同时安全问题也一直存在着,而人们却一直未给予足够的重视,结果连接到Internet上的计算机暴露在愈来愈频繁的攻击中,基于计算机、网络的信息安全问题已经成为非常严重的问题。 关键词:入侵检测;入侵检测系统;入侵检测系统的原理、方法、技术 一、网络入侵及其原因 简单来说,网络安全问题可以分为两个方面: 1)网络本身的安全; 2)所传输的信息的安全。 那么,我们之所以要进行网络入侵检测,原因主要有以下几个:1)黑客攻击日益猖獗 2)传统安全产品存在相当多的问题 二、入侵检测原理、方法及技术 1、入侵检测概念 入侵检测是指对潜在的有预谋的未经授权的访问信息、操作信息以及致使系统不可靠、不稳定或者无法使用的企图的检测和监视。它是对安全保护的一种积极主动地防御策略,它从计算机网络系统中的若干关键点收集信息,并进行相应的分析,以检查网路中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后第二道安全闸门,在不影响网路性能的前提下对网络进行监测,从而提供对内外部攻击和误操作的实时保护。 2、入侵检测模型
3、入侵检测原理 根据入侵检测模型,入侵检测系统的原理可以分为以下两种: 1)异常检测原理 该原理根据系统或者用户的非正常行为和使用计算机资源的非正常情况来检测入侵行为。 异常检测原理根据假设攻击和正常的活动的很大的差异来识别攻击。首先收集一段正常操作的活动记录,然后建立代表用户、主机或网络连接的正常行为轮廓,再收集事件数据同时使用一些不同的方法来决定所检测到的事件活动是否正常。 基于异常检测原理的入侵检测方法和技术主要有以下几种方法: a)统计异常检测方法; b)特征选择异常检测方法; c)基于贝叶斯推理异常的检测方法; d)基于贝叶斯网络异常检测方法; e)基于模式预测异常检测方法。 其中比较成熟的方法是统计异常检测方法和特征选择异常检测方法,对这两种方法目前已有由此而开发成的软件产品面市,而其他方法都还停留在理论研究阶段。 异常检测原理的优点:无需获取攻击特征,能检测未知攻击或已知攻击的变种,且能适应用户或系统等行为的变化。 异常检测原理的缺点:一般根据经验知识选取或不断调整阈值以满足系统要求,阈值难以设定;异常不一定由攻击引起,系统易将用户或系统的特殊行为(如出错处理等)判定为入侵,同时系统的检测准确性受阈值的影响,在阈值选取不当时,会产生较多的检测错误,造成检测错误率高;攻击者可逐渐修改用户或系统行为的轮廓模型,因而检测系统易被攻击者训练;无法识别攻击的类型,因而难以采取适当的措施阻止攻击的继续。 2)误用检测原理 误用检测,也称为基于知识或基于签名的入侵检测。误用检测IDS根据已知攻击的知识建立攻击特征库,通过用户或系统行为与特征库中各种攻击模式的比较确定是否发生入侵。常用的误用检测方法和技术主要有: a)基于专家系统的检测方法; b)基于状态转移分析的检测方法; c)基于条件的概率误用检测方法; d)基于键盘监控误用检测方法; e)基于模型误用检测方法。 误用检测技术的关键问题是:攻击签名的正确表示。误用检测是根据攻击签名来判断入侵的,如何用特定的模式语言来表示这种攻击行为,是该方法的关键所在。尤其攻击签名必须能够准确地表示入侵行为及其所有可能的变种,同时又不会把非入侵行为包含进来。由于大部分的入侵行为是利用系统的漏洞和应用程序的缺陷进行攻击的,那么通过分析攻击过程的特征、条件、排列以及事件间的关系,就可具体描述入侵行为的迹象。 4、入侵检测方法 1)基于概率统计的检测 该方法是在异常入侵检测中最常用的技术,对用户行为建立模型并根据该模型,当发现出现可疑行为时进行跟踪,监视和记录该用户的行为。优越性在于理论成熟,缺点是匹配用
(完整版)基于神经网络的网络入侵检测
基于神经网络的网络入侵检测 本章从人工神经网络的角度出发,对基于神经网络的网络入侵检测系统展开研究。在尝试用不同的网络结构训练和测试神经网络后,引入dropout层并给出了一种效果较好的网络结构。基于该网络结构,对目前的神经网络训练算法进行了改进和优化,从而有效避免了训练时出现的过拟合问题,提升了训练效率。 4.1 BP神经网络相关理论 本章从学习算法与网络结构相结合的角度出发,神经网络包括单层前向网络、多层前向网络、反馈神经网络、随机神经网络、竞争神经网络等多种类型。构造人工神经网络模型时主要考虑神经元的特征、网络的拓补结构以及学习规则等。本文选择反向传播神经网络(Back Propagation Neural Network, BPNN)作为基本网络模型。 BP神经网络是一种通过误差逆传播算法训练的多层前馈神经网络,是目前应用最广泛的神经网络模型形式之一。网络中每一层的节点都只接收上一层的输出,而每一层节点的输出都只影响下一层的输入,同层节点之间没有交互,相邻两层节点之间均为全连接模式。BP神经网络在结构上分为输入层、隐含层与输出层三部分,其拓扑结构如图4-1所示。 图4-1 BP神经网络拓扑结构 Figure 4-1 Topological Structure of BP Neural Network
这里隐含层既可以是一层也可以是多层,数据在输入后由隐含层传递到输出层,通过各层的处理最终得到输出结果。 传统的BP网络算法可分为两个过程:神经网络中信号的前向传播和误差函数的反向传播。算法在执行时会不断调整网络中的权值和偏置,计算输出结果与期望结果之间的误差,当误差达到预先设定的值后,算法就会结束。 (1)前向传播 隐含层第J个节点的输出通过式(4-1)来计算: (4-1) 式中ωij代表输入层到隐含层的权重,αj代表输入层到隐含层的偏置,n 为输入层的节点个数,f(.)为激活函数。输出层第k个节点的输出通过式(4-2)来计算: (4-2) 式中ωjk代表隐含层到输出层的权重,bk代表隐含层到输出层的偏置,l为隐含层的结点个数。 根据实际输出与期望输出来计算误差,见式(4-3)。 (4-3) 式中(Yk-Ok)用ek来表示,Yk代表期望输出,m为输出层的结点个数。 当E不满足要求时,就会进入反向传播阶段。 (2)反向传播 反向传播是从输出到输入的传播过程。从式((4-1)至式(4-3 )中,可以发现网络误差E是与各层权值和偏置有关的函数,所以如果想减小误差,需要对权值和偏置进行调整。一般采取梯度下降法反向计算每层的权值增量,令权值的变化量同误差的负梯度方向成正相关,调整的原则是令误差沿负梯度方向不断减少。权值的更新公式见式(4-4),偏置的更新公式见式(4-5)。
网络安全之入侵检测技术
网络安全之入侵检测技 术 Revised as of 23 November 2020
网络安全之入侵检测技术 标签: 2012-07-31 14:07 中国移动通信研究院卢楠 摘要:入侵检测技术作为网络安全中的一项重要技术已有近30年的发展历史,随着中国移动网络的开放与发展,入侵检测系统(IDS)也逐渐成为保卫中国移动网络安全不可或缺的安全设备之一。在入侵检测技术发展过程中,逐步形成了2类方法、5种硬件架构,不同的方法与架构都存在其优势与不足。本文基于入侵检测的应用场景,对现有的主流技术原理、硬件体系架构进行剖析;详细分析IDS产品的测评方法与技术,并介绍了一个科学合理、方便操作的IDS测评方案。最后,从应用需求出发分析入侵检测技术的未来发展趋势。 1、背景 目前,互联网安全面临严峻的形势。因特网上频繁发生的大规模网络入侵和计算机病毒泛滥等事件使很多政府部门、商业和教育机构等都受到了不同程度的侵害,甚至造成了极大的经济损失。 随着互联网技术的不断发展,网络安全问题日益突出。网络入侵行为经常发生,网络攻击的方式也呈现出多样性和隐蔽性的特征。当前网络和信息安全面临的形势严峻,网络安全的主要威胁如图1所示。
图1 目前网络安全的主要威胁 说到网络安全防护,最常用的设备是防火墙。防火墙是通过预先定义规则并依据规则对访问进行过滤的一种设备;防火墙能利用封包的多样属性来进行过滤,例如:来源 IP 、来源端口号、目的 IP 地址或端口号、(如 WWW 或是 FTP)。对于目前复杂的网络安全来说,单纯的防火墙技术已不能完全阻止网络攻击,如:无法解决木马后门问题、不能阻止网络内部人员攻击等。据调查发现,80%的网络攻击来自于网络内部,而防火墙不能提供实时入侵检测能力,对于病毒等束手无策。因此,很多组织致力于提出更多更强大的主动策略和方案来增强网络的安全性,其中一个有效的解决途径就是入侵检测系统IDS(Intrusion Detection Systems)。 2、入侵检测技术发展历史 IDS即入侵检测系统,其英文全称为:Intrusion Detection System。入侵检测系统是依照一定的安全策略,通过软件和硬件对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或攻击结果,以保证网络系统资源的机密性、完整性和可用性。IDS通用模型如图2所示。
网络安全技术习题及答案第章入侵检测系统
第9章入侵检测系统1. 单项选择题 1) B 2) D 3) D 4) C 5) A 6) D 2、简答题 (1)什么叫入侵检测,入侵检测系统有哪些功能? 入侵检测系统(简称“IDS”)就是依照一定的,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。 入侵检测系统功能主要有: ●识别黑客常用入侵与攻击手段 ●监控网络异常通信 ●鉴别对系统漏洞及后门的利用 ●完善网络安全管理 (2)根据检测对象的不同,入侵检测系统可分哪几种? 根据检测对象的不同,入侵检测系统可分为基于主机的入侵检测基于网络的入侵检测、混合型三种。主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源。主机型入侵检测系统保护的一般是所在的系统。网络型入侵检测系统的数据源是网络上的数据包。一般网络型入侵检测系统担负着保护整个网段的任务。混合型是基于主机和基于网络的入侵检测系统的结合,它为前两种方案提供了互补,还提供了入侵检测的集中管理,采用这种技术能实现对入侵行为的全方位检测。 (3)常用的入侵检测系统的技术有哪几种?其原理分别是什么? 常用的入侵检测系统的技术有两种,一种基于误用检测(Anomal Detection),另一种基于异常检测(Misuse Detection)。 对于基于误用的检测技术来说,首先要定义违背安全策略事件的特征,检测主要判别这类特征是否在所收集到的数据中出现,如果检测到该行为在入侵特征库中,说明是入侵行为,此方法非常类似杀毒软件。基于误用的检测技术对于已知的攻击,它可以详细、准确的报告出攻击类型,但是对未知攻击却效果有限,而且知识库必须不断更新。 基于异常的检测技术则是先定义一组系统正常情况的数值,如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出),然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的正常情况。
入侵检测系统
入侵检测系统 1. 引言 1.1 背景 近年来,随着信息和网络技术的高速发展以及其它的一些利益的驱动,计算机和网络基础设施,特别是各种官方机构网站成为黑客攻击的目标,近年来由于对电子商务的热切需求,更加激化了各种入侵事件增长的趋势。作为网络安全防护工具“防火墙”的一种重要的补充措施,入侵检测系统(Intrusion Detection System,简称 IDS)得到了迅猛的发展。 依赖防火墙建立网络的组织往往是“外紧内松”,无法阻止内部人员所做的攻击,对信息流的控制缺乏灵活性从外面看似非常安全,但内部缺乏必要的安全措施。据统计,全球80%以上的入侵来自于内部。由于性能的限制,防火墙通常不能提供实时的入侵检测能力,对于企业内部人员所做的攻击,防火墙形同虚设。 入侵检测是对防火墙及其有益的补充,入侵检测系统能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中,能减少入侵攻击所造成的损失。在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入知识库内,增强系统的防范能力,避免系统再次受到入侵。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护,大大提高了网络的安全性。 1.2 背国内外研究现状 入侵检测技术国外的起步较早,有比较完善的技术和相关产品。如开放源代码的snort,虽然它已经跟不上发展的脚步,但它也是各种商业IDS的参照系;NFR公司的NID等,都已相当的完善。虽然国内起步晚,但是也有相当的商业产品:天阗IDS、绿盟冰之眼等不错的产品,不过国外有相当完善的技术基础,国内在这方面相对较弱。
入侵检测技术
入侵检测技术 一、入侵检测技术 入侵检测的研究最早可追溯到James Aderson在1980年的工作,他首先提出了入侵检测的概念,在该文中Aderson提出审计追踪可应用于监视入侵威胁,但由于当时所有已有的系统安全程序都着重于拒绝未经认证主体对重要数据的访问,这一设想的重要性当时并未被理解。1987年Dorothy.E.Denning[2]提出入侵检测系统(Intrusion Detection System,IDS)的抽象模型,首次将入侵检测的概念作为一种计算机系统安全防御问题的措施提出,与传统加密和访问控制的常用方法相比,IDS是全新的计算机安全措施。1988年的Morris Internet蠕虫事件使得Internet近5天无法使用。该事件使得对计算机安全的需要迫在眉睫,从而导致了许多IDS系统的开发研制。 入侵检测(Intrusion Detection)的定义为:识别针对计算机或网络资源的恶意企图和行为,并对此作出反应的过程。IDS则是完成如上功能的独立系统。IDS能够检测未授权对象(人或程序)针对系统的入侵企图或行为(Intrusion),同时监控授权对象对系统资源的非法操作(Misuse)。 ●从系统的不同环节收集信息; ●分析该信息,试图寻找入侵活动的特征; ●自动对检测到的行为做出响应; ●纪录并报告检测过程结果。 入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。入侵检测系统能很好的弥补防火墙的不足,从某种意义上说是防火墙的补充[1]。 二、入侵检测的分类 现有的分类,大都基于信息源和分析方法进行分类。 2.1 根据信息源的不同,分为基于主机型和基于网络型两大类 2.1.1 基于主机的入侵检测系统 基于主机的IDS可监测系统、事件和Windows NT下的安全记录以及Unix环境下的系统记录。当有文件被修改时,IDS将新的记录条目与已知的攻击特征相比较,看它们是否匹配。如果匹配,就会向系统管理员报警或者作出适当的响应。 基于主机的IDS在发展过程中融入了其他技术。检测对关键系统文件和可执行文件入侵
网络入侵检测技术综述
电脑编程技巧与维护 网络入侵检测技术综述 谭兵1。吴宗文2。黄伟 (1.重庆大学软件学院,重庆400044;2.成都军区78098部队装备部,崇州611237) 摘要:入侵检测工作应在计算机网络系统中的关键节点上。介绍入侵检测的基本概念,阐述两类基本的检测技术,详细地论述了入侵检测过程及检测技术面临的挑战与发展趋势。 关键词:入侵检测;异常检测:误用检测 NetworkIntrtmionDetectionTechnology TANⅨn矿,WU历耐.HUANGWei (1.TheSchoolofSoftwareEngineering,ChongqingUniversity,Chongqing400044; 2.Chengdumilitaryregion78098armylogisticsdepartments,Chongzhou611237) Abstract:Theworkinthecomputernetworkintrusiondetectionsystem,akeynode.Thispaperintroducesthebasicconceptsofintrusiondetection,describedtwotypesofbasicdetectiontechnology,intrusiondetectionarediscussedindetail theprocessandtesttechnology challenges andtrends。 Keywords:Intrusiondetection;Anomalydetection;Misusedetection 入侵检测(IntrusionDetection),顾名思义,即是对入侵行为的发觉。它在计算机网络或计算机系统中的若干关键点收集信息,通过对这些信息的分析来发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。违反安全策略的行为有:入侵一非法用户的违规行为;滥用—用户的违规行为。 对于入侵检测的使用,人们总会问这样一个问题。如果已经安装了防火墙,给操作系统打了补丁,并为安全设置了密码,为什么还要检测入侵呢?答案非常简单:因为入侵会不断发生。举个例子,就像人们有时候会忘记锁上窗户,人们有时也会忘记正确的升级防火墙规则设置。 即使在最高级别的保护措施下,计算机系统也不是百分之百的安全。实际上,大多数计算机安全专家认为,既定的用户要求属性,如网络连接,还未能达到成为百分之百安全系统的要求。因此,必须发展入侵检测技术及系统以便及时发现并对计算机攻击行为做出反应。 l入侵检测发展 起初,系统管理员们坐在控制台前监控用户的活动来进行人侵检测。他们通过观察,例如在本地登录的闲置用户或非正常激活的闲置打印机。尽管上述方法不是足够有效的,但这一早期入侵检测模式是临时的且不可升级。 入侵检测的下一步涉及到审计日志。审计日志即系统管理员所记录的非正常和恶意行为。 在上世纪70年代末和80年代初,管理员将审计日志打印在扇形折纸上,平均每周末都能累积四到五英尺高。很明显,要在这一堆纸里进行搜索是相当耗费时间的。由于这类 本文收稿日期:2009—11-12 —110~信息量过于丰富且只能手动分析,所以管理员主要用审计日志作为判据,以便在发生特别安全事件后,确定引起这一事件的原阂。基本上不可能靠它发现正在进行的攻击。 随着存储器价格的降低,审计日志转移到网上且开发出了分析相关数据的程序。然而,分析过程慢且需频繁而密集计算,因此,入侵检测程序往往是在系统用户登录量少的夜间进行。所以,大多数的入侵行为还是在发生后才被检测到。 90年代早期,研究人员开发出了实时入侵检测系统,即对审计数据进行实时评估。由于实现了实时反应,且在一些情况下,可以预测攻击,因此,这就使攻击和试图攻击发生时即可被检测到成为可能。 近年来,很多入侵检测方面的努力都集中在一些开发的产品上,这些产品将被用户有效配置在广大网络中。在计算机环境不断持续变化和无数新攻击技术不断产生的情况下,要使安全方面也不断升级是个非常困难任务[1l。 2分类 目前,入侵检测技术可基本分为3类:异常检测、误用检测和混合检测。异常检测是假定所有入侵行为都是与正常行为不同的;误用检测是根据已知攻击的知识建立攻击特征库,通过用户或系统行为与特征库中的各种攻击模式的比较确定是否有入侵发生;混合检测模型是对异常检测模型和误用检测模犁的综合。文中详细介绍异常检测和误用检测。2.1异常检测模型 异常检测利用用户和应用软件的预期行为。将对正常行为的背离作为问题进行解释。异常检测的一个基本假设就是攻击行为异于正常行为。例如,对特定用户的日常行为(打字和数量)进行非常准确的模拟,假定某用户习惯上午lO点左右登录,看邮件,运行数据库管理,中午到下午i点休息,有极少数文件的存取出现错误等等。如果系统发现相同的用 万方数据
入侵检测系统的发展历史
本文由heisjay贡献 pdf文档可能在WAP端浏览体验不佳。建议您优先选择TXT,或下载源文件到本机查看。戚 技术 人侵检测系统的发展厉史 华中科技大学 摘 DIS 涂保东 要:从大量史料中整理出入侵检测系统(}n七ru]s的历史进程 : , 。。 eciDteto 。 n ys s et m , IDS )研究与开发的历史 , 为人们了解 把握
目前研究与开发的热点提供参考 }Ds 关键词 入侵检测系统 发展历史 网络安全 很早以来人们就认识到用户的行为进行适当监控络恶意的和错误的操作 应对网以阻止 etm Dl(田 入侵检测专家系统) nnte「e 。 ’‘ 被 Dete et!on 网od e l “ 正式发表 。 De
旧g 用在早期的{ t A网(AR尸)上监控 保障网络数据 re o 用户的验证信息 这是第一个基于规 , 在该文中提出了入侵检测系统的抽象模型模型基于这样一个假设入侵者: 与运行的安全 。 入侵检测思想在二十 te tn多年前就已萌穿随着I的蓬勃发展近几年来旧S得到了较深入的研则的专家系统模型采用与系统平台和应用环境无关的设计针对已知的, 使用系统的模式与正常用户的使用模 式不同 , 因此可以通过监控系统的跟 系统漏洞和恶意行为进行检测 为构
踪记录来识别入侵者的异常使用模式 从而检测出入侵者违反系统安全性的o情形Den旧g的模型是许多旧S原型 。 究和广泛的应用 1980 年 4 月Jam g es P A n des 「。on 发 ‘’ 建入侵检测系统提供了一个通用的框品同P架随后S日完成了与sA四AR的合为其提交了第一款实用的旧S产 1985 表著名的研究报告 rT卜eat Comp an ute「 eeur、t丫
网络入侵检测技术
网络入侵检测技术 一、入侵检测发展史 1980年,在James P. Anderson 的文章“Computer Security Threat Monitoring and Surveillance”中[1],“入侵检测”的概念首次被提出。为开发基于主机的IDS提供了最初的理论基础。 1985年,美国国防部计算机安全中心(NCSC)正式颁布了《可信任的计算机系统评估标准》(Trusted Computer System Evalution Criteria, TCSEC)。TCSEC为预防非法入侵定义了四类七个安全级别。由低到高分别是D、C1、C2、B1、B2、B3、A1,规定C2以上级别的操作系统必须具备审计功能,并记录日志。TCSEC标准的发布对操作系统、数据库等方面的安全发展起到了很大的推动作用,是信息安全发展史上的一个里程碑。 1988年,莫里斯(Morris)蠕虫感染了Internet上近万台计算机,造成Internet持续两天停机。美国空军、国家安全局、加州大学戴维斯分校等开展对分布式入侵检测系统(DIDS)的研究,将基于主机和基于网络的检测方法集成到一起1990年,加州大学戴维斯分校的L.T.Heberlein等人提出了基于网络的入侵检测概念,即将网络数据流作为审计数据来追踪可疑的行为。 1992年,加州大学的Koral llgun开发出实时入侵检测系统USTAT(a State Transition Analysis Tool for UNIX)。他们提出的状态转换分析法,使用系统状态与状态转换的表达式描述和检测已知的入侵手段,使用反映系统状态转换的图表直观地记载渗透细节。 1994年,普渡大学计算机系COAST实验室的Mark Crosbie和Gene Spafford 研究了遗传算法在入侵检测中的应用。使用遗传算法构建的智能代理(Autonomous Agents)程序能够识别入侵行为,而且这些agents具有“学习”用户操作习惯的初步智能。
网络安全之入侵检测技术
网络安全之入侵检测技术 入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。 入侵检测被认为是防火墙之后的第二道安全闸门。IDS主要用来监视和分析用户及系统的活动,可以识别反映已知进攻的活动模式并向相关人士报警。对异常行为模式,IDS要以报表的形式进行统计分析。产品提供的功能还要评估重要系统和数据文件的完整性。 一个成功的入侵检测系统,不仅可使系统管理员时刻了解网络系统,还能给网络安全策略的制订提供依据。它应该管理配置简单,使非专业人员非常容易地获得网络安全。入侵检测的规模还应根据网络规模、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后,会及时作出响应,包括切断网络连接、记录事件和报警等。IDS分类入侵检测通过对入侵行为的过程与特征进行研究,使安全系统对入侵事件和入侵过程作出实时响应。 IDS产品分类 目前市场上的IDS产品从技术上看,基本可分为两大类:基于网络的产品和基于主机的产品。混合的入侵检测系统可以弥补一些基于网络与基于主机的片面性缺陷。此外,文件的完整性检查工具也可看做是一类入侵检测产品。 基于网络的入侵检测产品放置在比较重要的网段内,对每一个数据包或可疑的数据包进行特征分析。商品化的产品包括:国外的ISS RealSecure Network Sensor、Cisco Secure IDS、CA e-Trust IDS、Axent的NetProwler,以及国内的金诺网安KIDS、北方计算中心NISDetector、启明星辰天阗黑客入侵检测与预警系统和中科网威“天眼”网络入侵侦测系统等。 基于主机的入侵检测产品主要对主机的网络实时连接以及系统审计日志进行智能分析和判断。基于主机的入侵检测系统有:ISS RealSecure OS Sensor、Emerald expert-BSM、金诺网安KIDS等。 混合式入侵检测系统综合了基于网络和主机的两种结构特点,既可发现网络中的攻击信息,也可从系统日志中发现异常情况。商品化产品有:ISS Server Sensor、NAI CyberCop Monitor、金诺网安KIDS等。 文件完整性检查工具通过检查文件的数字摘要与其他一些属性,判断文件是否被修改,从而检测出可能的入侵。这个领域的产品有半开放源代码的Tripwire。 IDS产品形式 绝大多数的入侵检测产品都以纯软件的形式出售,但为了达到性能最佳,往往需要对安装的系统进行优化调整。这样,把产品做成“黑盒子”的形式可以达到目的,如Cisco公司的Secure IDS和金诺网安KIDS。 随着入侵检测产品日益在规模庞大的企业中应用,分布式技术也开始融入到入侵检测产品中来。同时,集中管理多个传感器的中央控制台也在不断地完善。目前,绝大多数的入侵检测产品,尤其是企业级产品都具有分布式结构。 产品重要指标 在入侵检测产品中,有几个重要的性能指标值得重视,比如网络入侵检测系统负载能力,网络入侵检测系统是非常消耗资源的,但很少有厂商公布自己的pps (packet per second)参数。 网络入侵检测系统可支持的网络类型也是应该考虑的。目前,国内的入侵检测厂商还只是支持以太网和快速以太网。 网络入侵检测系统运行在什么操作系统平台上,网络入侵检测系统的运行平台一般以Unix为主,也有少数使用专有设备或基于Windows平台的入侵检测系统。
计算机网络安全的入侵检测技术研究
计算机网络安全的入侵检测技术研究 计算机网络在给人类工作、生活、娱乐等带来极大便 利的同时,其中存在的安全问题也越来越突出。入侵检测技术作为一种重要的网络安全防护技术,受到了网络安全人员的青睐。本文对入侵检测技术的相关理论进行了介绍,对当前入侵检测技术存在的问题进行了详细的分析和讨论,并对入侵检测技术未来的发展趋势进行了展望。 关键词】计算机网络网络安全入侵检测 1 引言当前,计算机网络已经得到了广泛应用,人们工 作、学 习、生活、社交、娱乐等等各个方面几乎都离不开网络,然而,计算机网络中存在的安全问题也给人们造成了极大困扰,已经成为无法回避且亟待解决的重要问题,如果不能及时采取相应的防御或解决措施,将严重制约社会的发展和信息化进程。入侵检测技术作为一种解决网络安全问题的十分有效的技术之一,得到了网络安全人员的青睐。入侵检测技术能够有效检测来自网络内部和外部网络入侵,对网络提供实时保护。 2 入侵检测技术相关理?概述入侵检测技术能够及时检测 出当前系统中出现的异常 现象,该技术在系统中的关键节点收集信息,并通过对这些信息的分析,从中检测出系统当前是否遭到恶意侵袭或是否存在违反安全策略的行为出现。 入侵检测技术通常包括信息收集、信息分析和问题处理 等 3 个主要步骤。在信息分析部分,将收集到的信息传送给驻留在传感器中的检测引擎,利用统计分析、模式匹配等技术进行实时检测,利用完整性分析等技术进行事后检测分析,当出现误用模式时,将告警信息发送给控制台;在问题处理部分,
当控制台收到来自系统的告警信息时,根据事先定义的响应策略,采取终止进程、切断连接等措施。 在计算机网络安全应用中使用到的入侵检测技术主要 包括基于主机和基于网络的两种入侵检测系统。其中,基于主机的入侵检测系统的重点检测对象是计算机,通过预先对主机进行相应的设置,根据计算机的运行状态和相关参数来判断该主机是否收到非法入侵,基于主机的入侵检测系统能够对当前的攻击是否成功进行判断,为主机采取相应的措施提供可靠依据,基于入侵网络的入侵检测系统通常通过设置多个安全点。 3 存在问题和发展趋势 3.1 存在问题 3.1.1 入侵检测技术 相对落后随着计算机技术的不断发张,尽管入侵检测技术 在不断