入侵檢測技術(shù)范文

時間:2023-03-23 21:26:40

導(dǎo)語:如何才能寫好一篇入侵檢測技術(shù),這就需要搜集整理更多的資料和文獻(xiàn),歡迎閱讀由公務(wù)員之家整理的十篇范文,供你借鑒。

篇1

關(guān)鍵詞:網(wǎng)絡(luò)安全;入侵檢測;入侵檢測技術(shù);入侵檢測系統(tǒng)

中圖分類號:TP393.08 文獻(xiàn)標(biāo)識碼:A文章編號:1007-9599 (2012) 01-0000-02

Intrusion Detection Technology Study

Gu Xiaoning

(Jining Teachers College Computer Science Department,Wulanchabu012000,China)

Abstract:With the application of the computer net-work increasing, the problem about net-work security is more and more serious day by day. The concept of the incursion detecting system was introduced in this thesis,and simply analyzed incursion detecting technology while the mostly used detecting technology nowadays was discussed.In the last,the development trend and main research direct of the technology was viewed.

Keywords:Network security;Intrusion detection;Detection technology;

Intrusion detection system

一、引言

伴隨著計算機(jī)網(wǎng)絡(luò)技術(shù)和互聯(lián)網(wǎng)的飛速發(fā)展,各種網(wǎng)絡(luò)攻擊和入侵事件時有發(fā)生,所造成的破壞性和損失日益嚴(yán)重。網(wǎng)絡(luò)安全威脅愈加被人們所重視。

傳統(tǒng)的信息安全方法都是靜態(tài)的安全防御技術(shù),面對現(xiàn)今復(fù)雜多變的入侵手段難以應(yīng)付。而入侵檢測是一種動態(tài)安全的核心技術(shù),它通過對入侵行為的發(fā)覺,收集信息進(jìn)行分析,并做出實時的響應(yīng),從中發(fā)現(xiàn)是否有違反安全策略的行為和被攻擊擊的跡象,在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)進(jìn)行監(jiān)測,提供對系統(tǒng)的實時保護(hù)[1]。

二、入侵檢測系統(tǒng)

入侵檢測系統(tǒng)是傳統(tǒng)操作系統(tǒng)加固和防火墻隔離技術(shù)的合理補(bǔ)充,它的功能是監(jiān)控并分析系統(tǒng)及用戶活動,檢查系統(tǒng)的配置和漏洞,發(fā)現(xiàn)已知的攻擊行為以及分析異常行為,對系統(tǒng)日志進(jìn)行管理并識別非正常活動,對發(fā)現(xiàn)的入侵行為進(jìn)行告警和響應(yīng)等。它能夠保護(hù)網(wǎng)絡(luò)安全策略,可以提高系統(tǒng)管理員的安全管理能力和信息安全基礎(chǔ)結(jié)構(gòu)的完整性。理想的入侵檢測系統(tǒng)應(yīng)該管理方便、配置簡單,擴(kuò)展性強(qiáng)、保護(hù)范圍廣。應(yīng)該具備動態(tài)自適應(yīng)性,應(yīng)能夠根據(jù)網(wǎng)絡(luò)的規(guī)模、系統(tǒng)的構(gòu)造和安全需求的改變而改變。

(一)入侵檢測系統(tǒng)的工作模式

入侵檢測的工作過程一般分四個方面:

(1)對信息進(jìn)行采集。(2)分析該信息,試圖尋找入侵活動的特征。(3)對檢測到的行為自動作出響應(yīng)。(4)記錄并處理結(jié)果。

(二)入侵檢測系統(tǒng)的分類[2]

1.根據(jù)目標(biāo)系統(tǒng)的類型來看,可以分為兩類

(1)基于主機(jī)(Host-Based)的入侵檢測系統(tǒng)。通常,基于主機(jī)的入侵檢測系統(tǒng)可監(jiān)測系統(tǒng)事件和操作系統(tǒng)下的安全記錄以及系統(tǒng)記錄。它通過監(jiān)視并分析主機(jī)系統(tǒng)的日志、端口調(diào)用和安全審計記錄等來檢測入侵,保護(hù)主機(jī)的系統(tǒng)安全。

(2)基于網(wǎng)絡(luò)(Network-Based)的入侵檢測系統(tǒng)。該類型的入侵檢測系統(tǒng)主要作用是針對保護(hù)網(wǎng)絡(luò)。該系統(tǒng)由混雜模式下的網(wǎng)絡(luò)適配器組成,用來識別網(wǎng)絡(luò)中的原始數(shù)據(jù)包,實時監(jiān)視并分析通過網(wǎng)絡(luò)的所有通信業(yè)務(wù)。

2.根據(jù)入侵檢測系統(tǒng)分析的數(shù)據(jù)來源

入侵檢測系統(tǒng)分析的數(shù)據(jù)可以是主機(jī)系統(tǒng)日志、網(wǎng)絡(luò)數(shù)據(jù)包、應(yīng)用程序的日志、防火墻報警日志以其他入侵檢測系統(tǒng)的報警信息等

3.根據(jù)入侵檢測方法可以分為兩類

(1)異常入侵檢測檢測。該類型的系統(tǒng)基于正常狀態(tài)數(shù)據(jù)特征判斷主體系統(tǒng)是否入侵。

(2)誤用入侵檢測。該檢測系統(tǒng)收集非正常數(shù)據(jù)特征通過匹配來確定系統(tǒng)中是否有入侵和攻擊。

4.根據(jù)系統(tǒng)各個模塊運行的分布方式

(1)集中式入侵檢測系統(tǒng);(2)分布式入侵檢測系統(tǒng)。

(三)入侵檢測的系統(tǒng)的數(shù)據(jù)源

1.基于主機(jī)的數(shù)據(jù)源

(1)系統(tǒng)運行狀態(tài)信息;(2)系統(tǒng)記帳信息;(3)系統(tǒng)日志。

2.基于網(wǎng)絡(luò)的數(shù)據(jù)源

(1)SNMP信息;(2)網(wǎng)絡(luò)通信包

3.應(yīng)用程序日志文件

4.其他入侵檢測系統(tǒng)的報警信息

三、入侵檢測技術(shù)

入侵檢測技術(shù)是為保證計算機(jī)系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?,F(xiàn)象的技術(shù)。它在系統(tǒng)內(nèi)部和各種網(wǎng)絡(luò)資源中主動采集信息,從中發(fā)現(xiàn)內(nèi)部、外部攻擊與合法用戶是否濫用特權(quán)。入侵檢測技術(shù)可以根據(jù)用戶的歷史行為或的當(dāng)前操作,完成對入侵的檢測,根據(jù)系統(tǒng)入侵的痕跡,來恢復(fù)和處理數(shù)據(jù)[1]。

(一)入侵檢測的過程。入侵檢測的過程分為三步:信息收集、信息分析以及告警與響應(yīng)[5]。

1.信息收集。想要入侵檢測就必須有信息收集,具體內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)以及用戶活動的狀態(tài)和行為等。信息收集要盡可能的擴(kuò)大范圍,從一個信息源來的信息可能看不出什么,但是從多個信息源收集到的不同信息能夠最大限度的識別可疑行為或入侵。

2.信息分析。入侵檢測系統(tǒng)收集到的信息量非常大,而且大部分都是正常的信息。想要從龐大的信息中找出少部分的異常入侵信息,就要通過信息分析。所以說信息分析是入侵檢測過程的核心環(huán)節(jié)。

3.告警與響應(yīng)。入侵檢測發(fā)現(xiàn)系統(tǒng)發(fā)生變更后,產(chǎn)生警告并采取響應(yīng)措施,告訴管理員有入侵發(fā)生或者直接處理。

(二)入侵分析的模型。入侵分析是入侵檢測的核心。在這里,我們把入侵分析的處理過程分為三個階段:構(gòu)建分析器、對現(xiàn)場數(shù)據(jù)進(jìn)行分析、反饋和提煉[2]。

1.構(gòu)建分析器

分析器可以執(zhí)行預(yù)處理、分類和后處理的核心功能

(1)可以收集并生成事件信息;(2)分析預(yù)處理信息;(3)建立一個行為分析引擎。

2.對現(xiàn)場數(shù)據(jù)進(jìn)行分析

(1)輸入事件記錄;(2)進(jìn)行預(yù)處理;(3)比較事件記錄和知識庫;(4)產(chǎn)生響應(yīng)。

3.反饋和提煉

(三)入侵檢測的分析方法

1.誤用檢測。誤用入侵檢測的技術(shù)基礎(chǔ)是分析各種類型的攻擊手段,建立相關(guān)的特征庫。對當(dāng)前的數(shù)據(jù)源來源進(jìn)行各種處理后,再進(jìn)行特征匹配或者規(guī)則匹配工作,如果發(fā)現(xiàn)滿足條件的匹配,則認(rèn)為發(fā)生了一次攻擊行為[4]。

2.異常檢測。異常入侵檢測通過觀察當(dāng)前活動與系統(tǒng)歷史正?;顒忧闆r之間的差異來實現(xiàn)。首先建立一個關(guān)于系統(tǒng)正?;顒拥臓顟B(tài)模型并不斷進(jìn)行更新,當(dāng)用戶活動與正常行為有重大偏離時,則指示發(fā)現(xiàn)了非法攻擊行為[9]。

(四)告警與響應(yīng)

在完成系統(tǒng)安全狀況的分析并確定出系統(tǒng)問題以后,就應(yīng)該讓人們知道這些問題的存在,這個階段就叫做響應(yīng)期。響應(yīng)又可以分為兩種模式:被動響應(yīng)和主動響應(yīng)。

被動響應(yīng)就是系統(tǒng)只簡單的記錄和報告所檢測出來的問題,而主動響應(yīng)則是系統(tǒng)主動阻斷攻擊防止入侵[5]。

四、入侵檢測技術(shù)的發(fā)展趨勢

前面介紹了入侵檢測系統(tǒng)和入侵檢測技術(shù)的基本概念和功能,并對典型入侵檢測技術(shù)進(jìn)行了分析。通過這些介紹和分析,可以得出結(jié)論:入侵檢測技術(shù)是網(wǎng)絡(luò)安全解決方案的一個重要組成部分。雖然入侵檢測的研究已經(jīng)取得了相當(dāng)?shù)倪M(jìn)展,但是由于現(xiàn)階段信息技術(shù)不斷進(jìn)步,入侵檢測技術(shù)已不能滿足需要。今后的入侵檢測技術(shù)主要朝以下幾個方向發(fā)展:

(一)寬帶高速實時的檢測技術(shù)。網(wǎng)絡(luò)帶寬迅速增長,寬帶接入手段種類繁多,如何實時檢測高速網(wǎng)絡(luò)下的入侵行為成為必須解決的問題。因此對入侵檢測的處理能力提出更高的要求。

(二)大規(guī)模分布式的檢測技術(shù)。統(tǒng)一集中式入侵檢測方式存在明顯的缺陷。首先,對于大規(guī)模的分布式攻擊會造成大量的信息處理遺漏,導(dǎo)致漏報率的增高。其次,由于網(wǎng)絡(luò)傳輸?shù)难訒r問題,收集到的數(shù)據(jù)信息不能實時的反映當(dāng)前的網(wǎng)絡(luò)狀態(tài)[7]。為了解決這些問題,大部分系統(tǒng)采用了分布式的結(jié)構(gòu)。

(三)智能化入侵檢測。使用智能化的方法與手段來進(jìn)行入侵檢測。所謂的智能化方法,現(xiàn)階段常用的有神經(jīng)網(wǎng)絡(luò)、遺傳算法、模糊技術(shù)、免疫原理等方法,這些方法常用于入侵特征的辨認(rèn)與泛化。從某種程度上講,入侵檢測技術(shù)一直領(lǐng)先與安全技術(shù)的發(fā)展,兩者相互推動、互相促進(jìn)。隨著網(wǎng)絡(luò)的日益普及和各種黑客工具的蔓延,入侵的復(fù)雜化趨勢也越來越明顯,向著分布式、隱蔽化方向發(fā)展。因此,為了適應(yīng)新的發(fā)展形式,智能化入侵檢測具有更廣泛的應(yīng)用前景。

(四)多種分析方法并存。對于入侵檢測系統(tǒng),分析方法是系統(tǒng)的核心?,F(xiàn)在的入侵檢測系統(tǒng)有很多入侵檢測分析方法,但大部分分析方法只適應(yīng)某些種類的入侵。所以在目前情況下,多種分析方法綜合運用是一個值得研究的問題。

五、結(jié)論

入侵檢測作為一種主動性地安全防護(hù)技術(shù),最大的優(yōu)勢是提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護(hù),預(yù)先對入侵活動進(jìn)行攔截和響應(yīng)。在網(wǎng)絡(luò)信息安全立體縱深、多重防御的發(fā)展趨勢下,未來的入侵檢測系統(tǒng)可以軟硬件結(jié)合,配合其他網(wǎng)絡(luò)管理軟件,提供更加及時、準(zhǔn)確的檢測手段。

參考文獻(xiàn):

[[1]Rebecca Gurley Bace.入侵檢測[M].北京:人民郵電出版社,2001

[2]蔣建春,馮登國.網(wǎng)絡(luò)入侵檢測原理與技術(shù)[M].北京:國防工業(yè)出版社,2002

[3]Paul E.Proctor,鄧琦皓等譯.入侵檢測實用手冊[M].北京:中國電力出版社,2002

[4]韓東海,王超,李群.入侵檢測系統(tǒng)實例剖析[M].北京:清華大學(xué)出版社,2002

[5]戴英俠,連一峰等.系統(tǒng)安全與入侵檢測[M].北京:清華大學(xué)出版,2002

[6]薛靜鋒,寧宇鵬,閻慧.IDS入侵檢測技術(shù)[M].北京:機(jī)械工業(yè)出版社,2004

[7]宋勁松.網(wǎng)絡(luò)入侵檢測的分析、發(fā)現(xiàn)和報告攻擊[M].北京:國防工業(yè)出版社,2004

篇2

入侵檢測通過執(zhí)行以下任務(wù)來實現(xiàn):

1、監(jiān)視、分析用戶及系統(tǒng)活動;

2、系統(tǒng)構(gòu)造和弱點的審計;

3、識別反映已知進(jìn)攻的活動模式并向相關(guān)人士報警;

4、異常行為模式的統(tǒng)計分析;

5、評估重要系統(tǒng)和數(shù)據(jù)文件的完整性;

篇3

關(guān)鍵詞:網(wǎng)絡(luò)信息;管理;入侵檢測技術(shù)

在現(xiàn)代之中,一些非法分子利用木馬進(jìn)行相應(yīng)的隱藏,然后通過對于計算機(jī)植入木馬,進(jìn)行一些信息的竊取?,F(xiàn)代企業(yè)在面臨網(wǎng)絡(luò)非法分子進(jìn)行信息盜取過程之中,首先應(yīng)該對于入侵行為有著明確的認(rèn)識,這就需要現(xiàn)代的入侵檢測技術(shù)了,對于入侵行為有著明確的判定,才能真正的展開后續(xù)行動,這對現(xiàn)代網(wǎng)絡(luò)信息管理而言十分重要。

1網(wǎng)絡(luò)信息管理中入侵檢測技術(shù)概述

(1)入侵檢測技術(shù)在網(wǎng)絡(luò)信息管理之中的作用。如果說現(xiàn)代計算機(jī)作為系統(tǒng),那么入侵檢測技術(shù)就相當(dāng)于保安系統(tǒng),對于關(guān)鍵信息的儲存位置進(jìn)行定期檢查和掃描,一旦發(fā)現(xiàn)外來不明用戶杜宇關(guān)鍵信息進(jìn)行查詢,便對使用用戶進(jìn)行警告,幫助用戶進(jìn)行入侵行為的相關(guān)處理,保障關(guān)鍵的信息系統(tǒng)和數(shù)據(jù)信息不會收到損壞和盜竊。入侵檢測技術(shù)同樣會對系統(tǒng)之中存在的漏洞進(jìn)行檢查和通報,對于系統(tǒng)之中的漏洞而言,往往便是入侵行為發(fā)生的位置,所以針對于這些位置進(jìn)行處理,更為良好的保證整個系統(tǒng)的安全,對于現(xiàn)代企業(yè)網(wǎng)絡(luò)系統(tǒng)而言,入侵檢測技術(shù)便是保障的第二道鐵閘。

(2)現(xiàn)階段入侵檢測技術(shù)的主要流程。通常情況下,入侵檢測技主要可以分為兩個階段。第一個階段便是信息采集,主要便是對于用戶的各種信息使用行為和重要信息進(jìn)行收集,這些信息的收集主要是通過對于重點信息部位的使用信息進(jìn)行查詢得出的,所以說在現(xiàn)代應(yīng)用之中,入侵檢測技術(shù)一方面應(yīng)用了現(xiàn)代的檢測技術(shù),另外一方面也對于多種信息都進(jìn)行了收集行為,保證了收集信息的準(zhǔn)確性;第二個階段便是處理相關(guān)信息,通過將收集的信息和過往的信息進(jìn)行有效對比,然后如果對比出相關(guān)錯誤便進(jìn)行判斷,判斷使用行為是否違背了網(wǎng)絡(luò)安全管理規(guī)范,如果判斷結(jié)果為肯定,那么便可以認(rèn)定其屬于入侵行為,對于使用用戶進(jìn)行提醒,幫助用戶對于入侵行為進(jìn)行清除。

2現(xiàn)階段入侵檢測技術(shù)的使用現(xiàn)狀

(1)網(wǎng)絡(luò)信息管理中入侵檢測系統(tǒng)的問題。入侵檢測技術(shù)作為一種網(wǎng)絡(luò)輔助軟件去,其本身在現(xiàn)階段并不是完善的,自身也存在漏洞。所以說很多非法分子的入侵不僅僅是面對系統(tǒng)的,很多先通過入侵技術(shù)的漏洞來進(jìn)行。針對現(xiàn)階段的使用過程而言,入侵檢測技術(shù)仍然存在自身的漏洞危險,也存在主要使用風(fēng)險。在現(xiàn)階段存在危險的方面主要有兩個方面。一方面便是由于入侵檢測系統(tǒng)存在漏洞;另外一方面便是現(xiàn)代計算機(jī)技術(shù)的發(fā)展。無論是相關(guān)的檢測系統(tǒng)亦或是相關(guān)病毒,都是現(xiàn)代編程人員利用C語言進(jìn)行編程,伴隨著相關(guān)編程水平的不斷提高,兩種技術(shù)同樣得到了自我發(fā)展,所以說很多黑客高手在現(xiàn)代的入侵行為之中,已經(jīng)不能以舊有的眼光來進(jìn)行相關(guān)分析。所以說新的時期,入侵檢測技術(shù)也應(yīng)該得到自我的發(fā)展,同樣針對于應(yīng)用網(wǎng)絡(luò)的相關(guān)企業(yè)做好安全保證,保證信息技術(shù)在現(xiàn)代之中的發(fā)展。

(2)現(xiàn)階段網(wǎng)絡(luò)信息管理之中入侵檢測技術(shù)存在的問題。網(wǎng)絡(luò)信息管理之中的入侵檢測技術(shù)在現(xiàn)代之中仍然存在問題,同樣是兩個方面問題。一方面是由于入侵技術(shù)自身存在漏洞,在現(xiàn)階段很多入侵檢測技術(shù)是通過對于入侵行為進(jìn)行有效的提取,將行為進(jìn)行歸納,對于行為是否符合現(xiàn)代網(wǎng)絡(luò)安全規(guī)范,然后判斷結(jié)果是否為入侵。很多時候,入侵行為往往較為隱秘,所以說這就導(dǎo)致了相關(guān)的入侵檢測技術(shù)不能對于入侵行為進(jìn)行提取,更無從談起其是否符合網(wǎng)絡(luò)安全規(guī)范。另外一方面的問題便是檢測速度明顯小于入侵速度,這也是在現(xiàn)階段常見的問題。隨著現(xiàn)代網(wǎng)絡(luò)技術(shù)的發(fā)展,網(wǎng)絡(luò)速度已經(jīng)得到了有效的自我發(fā)展,很多入侵檢測過程之中,很多時候檢測速度小于網(wǎng)絡(luò)檢測速度,這樣的情況下,一些行為尚未進(jìn)行阻攔,便已經(jīng)達(dá)成入侵的目的了,進(jìn)而導(dǎo)致了信息的丟失,所以說這方面的問題同樣應(yīng)該得到改善。企業(yè)在應(yīng)用之中,也應(yīng)該注意這種速度的問題,防止因為速度進(jìn)而造成自身信息丟失等。

3網(wǎng)絡(luò)信息管理之中入侵檢測技術(shù)的具體分類

(1)異常檢測,異常檢測顧名思義,便是對于入侵行為進(jìn)行檢測,但是由于入侵的性質(zhì)未定,這就導(dǎo)致很多時候入侵檢測技術(shù)進(jìn)行了無用功?,F(xiàn)階段往往入侵檢測技術(shù)通過建立一個行為輪廓來進(jìn)行限定,如果入侵行為已經(jīng)超過了這個行為輪廓,便確定其為入侵行為。這種模式大大簡化了行為判定的過程,但是由于過于簡單的相應(yīng)行為也容易出現(xiàn)相關(guān)漏洞。在實際工作之中,往往非入侵行為但是在行為輪廓行為之外的網(wǎng)絡(luò)訪問行為,但是在入侵檢測技術(shù)之中被判斷為入侵行為,造成了工作的重復(fù)。所以說在進(jìn)行行為輪廓的確定時,同樣應(yīng)該由一些特征量來確定,減少檢測工作可能出現(xiàn)的失誤,進(jìn)而可以提升檢測工作的效率;另外一方面可以設(shè)置參考數(shù)值,通過參考數(shù)值的評定來進(jìn)行評判,在入侵檢測技術(shù)之中,參考數(shù)值非常重要。

(2)誤用檢測,其應(yīng)用前提便是所有的入侵行為進(jìn)行識別并且進(jìn)行標(biāo)記。在一般情況下,誤用檢測便是通過攻擊方法來進(jìn)行攻擊簽名,然后再通過定義已經(jīng)完成的攻擊簽名對于入侵行為進(jìn)行相關(guān)判斷。很多行為都是通過漏洞來進(jìn)行,所以誤用檢測可以準(zhǔn)確的判斷出相應(yīng)入侵行為,不僅預(yù)防了入侵行為,還可以對于其他入侵行為進(jìn)行警示作用。這種技術(shù)在實際使用過程之中,提升了入侵檢測數(shù)的效率和準(zhǔn)確。

4結(jié)語

在現(xiàn)代信息技術(shù)得到發(fā)展的今天,網(wǎng)絡(luò)信息管理已經(jīng)成為了現(xiàn)代企業(yè)非常重要的組成部分。針對于網(wǎng)絡(luò)安全而言,其自身往往具有一些技術(shù)之中的漏洞,所以同樣容易引發(fā)入侵行為。針對于入侵行為,現(xiàn)代之中有著入侵檢測技術(shù),本文對于入侵檢測技術(shù)的使用進(jìn)行了分析,希望為相關(guān)人員帶來相關(guān)思考。

參考文獻(xiàn)

[1]張麗.入侵檢測技術(shù)在網(wǎng)絡(luò)信息管理中的應(yīng)用分析[J].中國科技博覽,2014,第16期:12-12.

[2]陳瑩瑩.網(wǎng)絡(luò)信息管理中入侵檢測技術(shù)的研究[J].信息通信,2013,06期:99-99.

篇4

【關(guān)鍵詞】入侵檢測技術(shù);網(wǎng)絡(luò)安全;具體運用

網(wǎng)絡(luò)信息技術(shù)發(fā)展日新月異,人們在享受它所帶來的便利的同時,還受到它所帶來的網(wǎng)絡(luò)安全問題的威脅和危害。網(wǎng)絡(luò)安全是基于對網(wǎng)絡(luò)系統(tǒng)的軟、硬件系統(tǒng)中的關(guān)鍵數(shù)據(jù)進(jìn)行加密和保護(hù)。隨著網(wǎng)絡(luò)信息技術(shù)的應(yīng)用范圍越來越廣泛,對網(wǎng)絡(luò)攻擊的種類增多,程度也越來越嚴(yán)重,傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)技術(shù)已經(jīng)無法抵御這些種類與日俱增的惡意入侵和攻擊,逐漸不能適應(yīng)網(wǎng)絡(luò)安全防護(hù)更高的要求。入侵檢測技術(shù)是作為傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)技術(shù)的一項補(bǔ)充,它擴(kuò)充了系統(tǒng)管理員的安全審計、監(jiān)視、進(jìn)攻識別和響應(yīng)等方面的安全管理能力,提升了信息安全基礎(chǔ)結(jié)構(gòu)的完整性,成為網(wǎng)絡(luò)安全防護(hù)中第二道堅實的防線。以下將就入侵檢測技術(shù)的概念、工作原理等做出系統(tǒng)的歸納,和入侵檢測技術(shù)在網(wǎng)絡(luò)安全中的具體運用進(jìn)行闡述。

1入侵檢測技術(shù)概述

1.1入侵檢測的簡介

入侵檢測技術(shù),是一種對計算機(jī)網(wǎng)絡(luò)的程序進(jìn)行入侵式的檢測先進(jìn)技術(shù),它肩負(fù)著網(wǎng)絡(luò)安全中第二道防線的任務(wù),起到保護(hù)計算機(jī)網(wǎng)絡(luò)安全的作用。入侵檢測是通過對安全日志、行為、審計和其他可獲得的信息以及系統(tǒng)的關(guān)鍵信息的收集并作出分析,以此檢測出計算機(jī)網(wǎng)絡(luò)中違反安全策略的行為和受攻擊的對象的一個工作過程。它實施保護(hù)工作的過程具體可分為:監(jiān)視、分析網(wǎng)絡(luò)用戶和網(wǎng)絡(luò)系統(tǒng)活動;網(wǎng)絡(luò)安全系統(tǒng)構(gòu)造和弱點的審查評估;認(rèn)定反映已知進(jìn)攻活動并作出警示警告;網(wǎng)絡(luò)系統(tǒng)異常行為的統(tǒng)計和分析4個步驟。入侵檢測技術(shù)能夠同時兼?zhèn)鋵崟r監(jiān)控內(nèi)部攻擊、外部攻擊和錯誤操作的任務(wù),把對網(wǎng)絡(luò)系統(tǒng)的危害阻截在發(fā)生之前,并對網(wǎng)絡(luò)入侵作出響應(yīng),是一種相對傳統(tǒng)的被動靜態(tài)網(wǎng)絡(luò)安全防護(hù)技術(shù)提出的一種積極動態(tài)網(wǎng)絡(luò)安全防護(hù)技術(shù)。

1.2工作原理

入侵檢測系統(tǒng)相當(dāng)于一部典型的窺探設(shè)備,它的工作原理是在不用跨接多個物理網(wǎng)段也不用轉(zhuǎn)發(fā)流量的前提下,通過收集網(wǎng)絡(luò)上靜態(tài)的、被動的相關(guān)數(shù)據(jù)報文,提取出所收集的數(shù)據(jù)報文的流量統(tǒng)計特征的相關(guān)數(shù)據(jù)與入侵檢測系統(tǒng)內(nèi)置的入侵?jǐn)?shù)據(jù)進(jìn)行智能化的匹配和分析,如果出現(xiàn)匹配耦合度高的數(shù)據(jù)報文流量,那個它就被認(rèn)定是入侵攻擊,網(wǎng)絡(luò)入侵檢測系統(tǒng)就會根據(jù)計算機(jī)系統(tǒng)所設(shè)定的閥值和相應(yīng)的配置激發(fā)報警并對認(rèn)定的入侵攻擊進(jìn)行一定的反擊。

2入侵檢測技術(shù)網(wǎng)絡(luò)安全中的具體運用

入侵檢測技術(shù)包括了聚類算法、數(shù)據(jù)挖掘技術(shù)和智能分布技術(shù)等幾個方面。入侵檢測技術(shù)在網(wǎng)絡(luò)安全中的運用,重點是這幾種檢測技術(shù)合理的運用,具體如下。

2.1聚類算法的運用

入侵檢測技術(shù)當(dāng)中的聚類算法在網(wǎng)絡(luò)安全的運用具有可以在脫離指導(dǎo)的情況下開展網(wǎng)絡(luò)異常檢測工作??梢詫]有標(biāo)記的數(shù)據(jù)的工作相似的數(shù)據(jù)歸到同一類中,并對網(wǎng)絡(luò)安全系統(tǒng)運行中存在的異常的數(shù)據(jù)迅速高效地識別出來。運用到網(wǎng)絡(luò)安全,大大提高了網(wǎng)絡(luò)運行的可靠程度,使網(wǎng)絡(luò)安全的級別更上一個級別。在實際情況中,網(wǎng)絡(luò)中通常存在著種類比較多的數(shù)據(jù),當(dāng)中還包括了大量的相似數(shù)據(jù),這些數(shù)據(jù)如同定時炸彈般隱藏著極大的危險,如不能及時發(fā)現(xiàn)并攔截處理,就會破壞網(wǎng)絡(luò)安全系統(tǒng),而聚類算法的運用就解決了這一問題,為網(wǎng)絡(luò)安全系統(tǒng)正常運行提供了保障。

2.2數(shù)據(jù)挖掘技術(shù)的運用

數(shù)據(jù)挖掘技術(shù),顧名思義就是對互聯(lián)網(wǎng)中的傳輸數(shù)據(jù)的挖掘和分析,從而找出數(shù)據(jù)中的錯誤、不規(guī)范、異常等的情況,并適當(dāng)?shù)靥幚磉@些非正常的情況。數(shù)據(jù)挖掘技術(shù)在運行速度方面占有絕對的優(yōu)勢,把它運用到網(wǎng)絡(luò)安全工作中,這種優(yōu)勢能很好的體現(xiàn)出來出來,它運用數(shù)據(jù)挖掘技術(shù)中的關(guān)聯(lián)算法和序列挖掘算法來提取網(wǎng)絡(luò)的行為模式,能夠準(zhǔn)確快速地識別網(wǎng)絡(luò)中非正常的、不規(guī)范的運行程序;并且運用分類算法進(jìn)行歸類和預(yù)測用戶網(wǎng)絡(luò)行為或特權(quán)程序系統(tǒng)的調(diào)用,此外還把聚類算法和數(shù)據(jù)挖掘技術(shù)結(jié)合起來,比較和計算出每次記錄之間的矢量距自動分辨和歸類出用戶的登錄記錄、連接記錄,最后,對各分類出來的數(shù)據(jù)給予相應(yīng)的處理。

2.3智能分布技術(shù)的運用

智能分布技術(shù)是基于網(wǎng)絡(luò)擴(kuò)展性、智能性、無關(guān)性等相關(guān)特性而言的對網(wǎng)絡(luò)安全進(jìn)行檢測的技術(shù)。該技術(shù)的在網(wǎng)絡(luò)安全中的運用,能夠把網(wǎng)絡(luò)特別是較龐大復(fù)雜的網(wǎng)絡(luò)環(huán)境劃分成幾個區(qū)域來進(jìn)行檢測,把多個檢測點設(shè)定在每一個區(qū)域中,在整個網(wǎng)絡(luò)安全系統(tǒng)設(shè)定一個管理點,對各區(qū)域的檢測點進(jìn)行檢測再集中管理,從而分析檢測出入侵的程序和異常的數(shù)據(jù)等。這樣不但能提高網(wǎng)絡(luò)安全系數(shù),還可以確保對入侵程序快速準(zhǔn)確地定位,并及時采取有針對性的處理方法,極大程度地提高了網(wǎng)絡(luò)安全系統(tǒng)的運行效率。

3總結(jié)

隨著網(wǎng)絡(luò)信息技術(shù)的飛速發(fā)展,網(wǎng)絡(luò)應(yīng)用的領(lǐng)域越來越廣泛,隨之而來出現(xiàn)的網(wǎng)絡(luò)安全問題種類也越來越多,危害程度越來越大,傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)技術(shù)對網(wǎng)絡(luò)安全的作用效果逐漸降低甚至失效,入侵檢測技術(shù)的出現(xiàn),挽救了這個局面,通過把聚類算法、數(shù)據(jù)挖掘技術(shù)、智能分布技術(shù)等入侵檢測技術(shù)相互配合運用到網(wǎng)絡(luò)安全中,為網(wǎng)絡(luò)安全提供了第二道防線的保護(hù),對入侵網(wǎng)絡(luò)的攻擊進(jìn)行快速有效的攔截和反擊,很大程度降低了入侵攻擊所帶來的傷害,大大提高了網(wǎng)絡(luò)安全的系數(shù)。是未來網(wǎng)絡(luò)安全技術(shù)發(fā)展的趨勢。

參考文獻(xiàn)

[1]張正昊.淺談計算機(jī)網(wǎng)絡(luò)信息安全及防護(hù)措施[J].科技風(fēng),2014(19).

[2]隋新,劉瑩.入侵檢測技術(shù)的研究[J].科技通報,2014(11).

[3]孫志寬.計算機(jī)網(wǎng)絡(luò)安全的現(xiàn)狀及對策研究[J].科技風(fēng),2014(19).

[4]周小燕.網(wǎng)絡(luò)入侵安全檢查實踐操作分析[J].無線互聯(lián)科技,2014(11).

篇5

【關(guān)鍵詞】入侵檢測技術(shù) 網(wǎng)絡(luò)安全 具體運用

網(wǎng)絡(luò)信息技術(shù)發(fā)展日新月異,人們在享受它所帶來的便利的同時,還受到它所帶來的網(wǎng)絡(luò)安全問題的威脅和危害。網(wǎng)絡(luò)安全是基于對網(wǎng)絡(luò)系統(tǒng)的軟、硬件系統(tǒng)中的關(guān)鍵數(shù)據(jù)進(jìn)行加密和保護(hù)。隨著網(wǎng)絡(luò)信息技術(shù)的應(yīng)用范圍越來越廣泛,對網(wǎng)絡(luò)攻擊的種類增多,程度也越來越嚴(yán)重,傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)技術(shù)已經(jīng)無法抵御這些種類與日俱增的惡意入侵和攻擊,逐漸不能適應(yīng)網(wǎng)絡(luò)安全防護(hù)更高的要求。入侵檢測技術(shù)是作為傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)技術(shù)的一項補(bǔ)充,它擴(kuò)充了系統(tǒng)管理員的安全審計、監(jiān)視、進(jìn)攻識別和響應(yīng)等方面的安全管理能力,提升了信息安全基礎(chǔ)結(jié)構(gòu)的完整性,成為網(wǎng)絡(luò)安全防護(hù)中第二道堅實的防線。以下將就入侵檢測技術(shù)的概念、工作原理等做出系統(tǒng)的歸納,和入侵檢測技術(shù)在網(wǎng)絡(luò)安全中的具體運用進(jìn)行闡述。

1 入侵檢測技術(shù)概述

1.1 入侵檢測的簡介

入侵檢測技術(shù),是一種對計算機(jī)網(wǎng)絡(luò)的程序進(jìn)行入侵式的檢測先進(jìn)技術(shù),它肩負(fù)著網(wǎng)絡(luò)安全中第二道防線的任務(wù),起到保護(hù)計算機(jī)網(wǎng)絡(luò)安全的作用。入侵檢測是通過對安全日志、行為、審計和其他可獲得的信息以及系統(tǒng)的關(guān)鍵信息的收集并作出分析,以此檢測出計算機(jī)網(wǎng)絡(luò)中違反安全策略的行為和受攻擊的對象的一個工作過程。它實施保護(hù)工作的過程具體可分為:監(jiān)視、分析網(wǎng)絡(luò)用戶和網(wǎng)絡(luò)系統(tǒng)活動;網(wǎng)絡(luò)安全系統(tǒng)構(gòu)造和弱點的審查評估;認(rèn)定反映已知進(jìn)攻活動并作出警示警告;網(wǎng)絡(luò)系統(tǒng)異常行為的統(tǒng)計和分析4個步驟。入侵檢測技術(shù)能夠同時兼?zhèn)鋵崟r監(jiān)控內(nèi)部攻擊、外部攻擊和錯誤操作的任務(wù),把對網(wǎng)絡(luò)系統(tǒng)的危害阻截在發(fā)生之前,并對網(wǎng)絡(luò)入侵作出響應(yīng),是一種相對傳統(tǒng)的被動靜態(tài)網(wǎng)絡(luò)安全防護(hù)技術(shù)提出的一種積極動態(tài)網(wǎng)絡(luò)安全防護(hù)技術(shù)。

1.2 工作原理

入侵檢測系統(tǒng)相當(dāng)于一部典型的窺探設(shè)備,它的工作原理是在不用跨接多個物理網(wǎng)段也不用轉(zhuǎn)發(fā)流量的前提下,通過收集網(wǎng)絡(luò)上靜態(tài)的、被動的相關(guān)數(shù)據(jù)報文,提取出所收集的數(shù)據(jù)報文的流量統(tǒng)計特征的相關(guān)數(shù)據(jù)與入侵檢測系統(tǒng)內(nèi)置的入侵?jǐn)?shù)據(jù)進(jìn)行智能化的匹配和分析,如果出現(xiàn)匹配耦合度高的數(shù)據(jù)報文流量,那個它就被認(rèn)定是入侵攻擊,網(wǎng)絡(luò)入侵檢測系統(tǒng)就會根據(jù)計算機(jī)系統(tǒng)所設(shè)定的閥值和相應(yīng)的配置激發(fā)報警并對認(rèn)定的入侵攻擊進(jìn)行一定的反擊。

2 入侵檢測技術(shù)網(wǎng)絡(luò)安全中的具體運用

入侵檢測技術(shù)包括了聚類算法、數(shù)據(jù)挖掘技術(shù)和智能分布技術(shù)等幾個方面。入侵檢測技術(shù)在網(wǎng)絡(luò)安全中的運用,重點是這幾種檢測技術(shù)合理的運用,具體如下。

2.1 聚類算法的運用

入侵檢測技術(shù)當(dāng)中的聚類算法在網(wǎng)絡(luò)安全的運用具有可以在脫離指導(dǎo)的情況下開展網(wǎng)絡(luò)異常檢測工作??梢詫]有標(biāo)記的數(shù)據(jù)的工作相似的數(shù)據(jù)歸到同一類中,并對網(wǎng)絡(luò)安全系統(tǒng)運行中存在的異常的數(shù)據(jù)迅速高效地識別出來。運用到網(wǎng)絡(luò)安全,大大提高了網(wǎng)絡(luò)運行的可靠程度,使網(wǎng)絡(luò)安全的級別更上一個級別。在實際情況中,網(wǎng)絡(luò)中通常存在著種類比較多的數(shù)據(jù),當(dāng)中還包括了大量的相似數(shù)據(jù),這些數(shù)據(jù)如同定時炸彈般隱藏著極大的危險,如不能及時發(fā)現(xiàn)并攔截處理,就會破壞網(wǎng)絡(luò)安全系統(tǒng),而聚類算法的運用就解決了這一問題,為網(wǎng)絡(luò)安全系統(tǒng)正常運行提供了保障。

2.2 數(shù)據(jù)挖掘技術(shù)的運用

數(shù)據(jù)挖掘技術(shù),顧名思義就是對互聯(lián)網(wǎng)中的傳輸數(shù)據(jù)的挖掘和分析,從而找出數(shù)據(jù)中的錯誤、不規(guī)范、異常等的情況,并適當(dāng)?shù)靥幚磉@些非正常的情況。數(shù)據(jù)挖掘技術(shù)在運行速度方面占有絕對的優(yōu)勢,把它運用到網(wǎng)絡(luò)安全工作中,這種優(yōu)勢能很好的體現(xiàn)出來出來,它運用數(shù)據(jù)挖掘技術(shù)中的關(guān)聯(lián)算法和序列挖掘算法來提取網(wǎng)絡(luò)的行為模式,能夠準(zhǔn)確快速地識別網(wǎng)絡(luò)中非正常的、不規(guī)范的運行程序;并且運用分類算法進(jìn)行歸類和預(yù)測用戶網(wǎng)絡(luò)行為或特權(quán)程序系統(tǒng)的調(diào)用,此外還把聚類算法和數(shù)據(jù)挖掘技術(shù)結(jié)合起來,比較和計算出每次記錄之間的矢量距自動分辨和歸類出用戶的登錄記錄、連接記錄,最后,對各分類出來的數(shù)據(jù)給予相應(yīng)的處理。

2.3 智能分布技術(shù)的運用

智能分布技術(shù)是基于網(wǎng)絡(luò)擴(kuò)展性、智能性、無關(guān)性等相關(guān)特性而言的對網(wǎng)絡(luò)安全進(jìn)行檢測的技術(shù)。該技術(shù)的在網(wǎng)絡(luò)安全中的運用,能夠把網(wǎng)絡(luò)特別是較龐大復(fù)雜的網(wǎng)絡(luò)環(huán)境劃分成幾個區(qū)域來進(jìn)行檢測,把多個檢測點設(shè)定在每一個區(qū)域中,在整個網(wǎng)絡(luò)安全系統(tǒng)設(shè)定一個管理點,對各區(qū)域的檢測點進(jìn)行檢測再集中管理,從而分析檢測出入侵的程序和異常的數(shù)據(jù)等。這樣不但能提高網(wǎng)絡(luò)安全系數(shù),還可以確保對入侵程序快速準(zhǔn)確地定位,并及時采取有針對性的處理方法,極大程度地提高了網(wǎng)絡(luò)安全系統(tǒng)的運行效率。

3 總結(jié)

隨著網(wǎng)絡(luò)信息技術(shù)的飛速發(fā)展,網(wǎng)絡(luò)應(yīng)用的領(lǐng)域越來越廣泛,隨之而來出現(xiàn)的網(wǎng)絡(luò)安全問題種類也越來越多,危害程度越來越大,傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)技術(shù)對網(wǎng)絡(luò)安全的作用效果逐漸降低甚至失效,入侵檢測技術(shù)的出現(xiàn),挽救了這個局面,通過把聚類算法、數(shù)據(jù)挖掘技術(shù)、智能分布技術(shù)等入侵檢測技術(shù)相互配合運用到網(wǎng)絡(luò)安全中,為網(wǎng)絡(luò)安全提供了第二道防線的保護(hù),對入侵網(wǎng)絡(luò)的攻擊進(jìn)行快速有效的攔截和反擊,很大程度降低了入侵攻擊所帶來的傷害,大大提高了網(wǎng)絡(luò)安全的系數(shù)。是未來網(wǎng)絡(luò)安全技術(shù)發(fā)展的趨勢。

參考文獻(xiàn)

[1]張正昊.淺談計算機(jī)網(wǎng)絡(luò)信息安全及防護(hù)措施[J].科技風(fēng),2014(19).

[2]隋新,劉瑩.入侵檢測技術(shù)的研究[J].科技通報,2014(11).

[3]孫志寬.計算C網(wǎng)絡(luò)安全的現(xiàn)狀及對策研究[J].科技風(fēng),2014(19).

[4]周小燕.網(wǎng)絡(luò)入侵安全檢查實踐操作分析[J].無線互聯(lián)科技,2014(11).

[5]季林鳳.計算機(jī)數(shù)據(jù)庫入侵檢測技術(shù)探析[J].電腦知識與技術(shù),2014(27).

作者簡介

闕宏宇(1976-),男,四川省成都市人。軟件工程碩士。講師。研究方向為計算機(jī)網(wǎng)絡(luò)。

梁波(1982-),男,四川省彭州市人。軟件工程碩士。講師。研究方向為軟件開發(fā)、計算機(jī)網(wǎng)絡(luò)。

篇6

【關(guān)鍵詞】網(wǎng)絡(luò)安全 入侵檢測

一、現(xiàn)在網(wǎng)絡(luò)安全隱患

隨著計算機(jī)技術(shù)的發(fā)展在連結(jié)信息能力、流通能力提高的同時,基于網(wǎng)絡(luò)連接的安全問題也日益突出,很多組織正在致力于提出更多的更強(qiáng)大的主動策略和方案來增強(qiáng)網(wǎng)絡(luò)的安全性,然而另一個更為有效的解決途徑就是入侵檢測。在入侵檢測之前,大量的安全機(jī)制都是根據(jù)從主觀的角度設(shè)計的,他們沒有根據(jù)網(wǎng)絡(luò)攻擊的具體行為來決定安全對策。因此,它們對入侵行為的反應(yīng)非常遲鈍,很難發(fā)現(xiàn)未知的攻擊行為,不能根據(jù)網(wǎng)絡(luò)行為的變化來及時地調(diào)整系統(tǒng)的安全策略。而入侵檢測正是根據(jù)網(wǎng)絡(luò)攻擊行為而進(jìn)行設(shè)計的,它不僅能夠發(fā)現(xiàn)已知入侵行為,而且有能力發(fā)現(xiàn)未知的入侵行為,并可以通過學(xué)習(xí)和分析入侵手段,及時地調(diào)整系

統(tǒng)策略以加強(qiáng)系統(tǒng)的安全性。

二、入侵檢測的定義

入侵檢測是從系統(tǒng)(網(wǎng)絡(luò))的關(guān)鍵點采集信息并分析信息,察看系統(tǒng)(網(wǎng)絡(luò))中是否有違法安全策略的行為,保證系統(tǒng)(網(wǎng)絡(luò))的安全性,完整性和可用性。它從計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息,并分析這些信息,看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認(rèn)為是防火墻之后的第二道安全閘門,在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)測,從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護(hù)。

三、入侵檢測的系統(tǒng)功能構(gòu)成

一個入侵檢測系統(tǒng)的功能結(jié)構(gòu)如圖一所示,它至少包含事件提取、入侵分析、入侵響應(yīng)和遠(yuǎn)程管理四部分功能。

入侵分析的任務(wù)就是在提取到的運行數(shù)據(jù)中找出入侵的痕跡,將授權(quán)的正常訪問行為和非授權(quán)的不正常訪問行為區(qū)分開,分析出入侵行為并對入侵者進(jìn)行定位。

入侵響應(yīng)功能在分析出入侵行為后被觸發(fā),根據(jù)入侵行為產(chǎn)生響應(yīng)。

由于單個入侵檢測系統(tǒng)的檢測能力和檢測范圍的限制,入侵檢測系統(tǒng)一般采用分布監(jiān)視集中管理的結(jié)構(gòu),多個檢測單元運行于網(wǎng)絡(luò)中的各個網(wǎng)段或系統(tǒng)上,通過遠(yuǎn)程管理功能在一臺管理站點上實現(xiàn)統(tǒng)一的管理和監(jiān)控。

四、入侵檢測系統(tǒng)分類

入侵檢測系統(tǒng)根據(jù)其檢測數(shù)據(jù)來源分為兩類:基于主機(jī)的入侵檢測系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。

1.基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)

基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)通過網(wǎng)絡(luò)監(jiān)視來實現(xiàn)數(shù)據(jù)提取。在internet中,局域網(wǎng)普遍采用ieee 802.3協(xié)議。該協(xié)議定義主機(jī)進(jìn)行數(shù)據(jù)傳輸時采用子網(wǎng)廣播的方式,任何一臺主機(jī)發(fā)送的數(shù)據(jù)包,都會在所經(jīng)過的子網(wǎng)中進(jìn)行廣播,也就是說,任何一臺主機(jī)接收和發(fā)送的數(shù)據(jù)都可以被同一子網(wǎng)內(nèi)的其他主機(jī)接收。在正常設(shè)置下,主機(jī)的網(wǎng)卡對每一個到達(dá)的數(shù)據(jù)包進(jìn)行過濾,只將目的地址是本機(jī)的或廣播地址的數(shù)據(jù)包放入接收緩沖區(qū),而將其他數(shù)據(jù)包丟棄,因此,正常情況下網(wǎng)絡(luò)上的主機(jī)表現(xiàn)為只關(guān)心與本機(jī)有關(guān)的數(shù)據(jù)包,但是將網(wǎng)卡的接收模式進(jìn)行適當(dāng)?shù)脑O(shè)置后就可以改變網(wǎng)卡的過濾策略,使網(wǎng)卡能夠接收經(jīng)過本網(wǎng)段的所有數(shù)據(jù)包,無論這些數(shù)據(jù)包的目的地是否是該主機(jī)。網(wǎng)卡的這種接收模式被稱為混雜模式,目前絕大部分網(wǎng)卡都提供這種設(shè)置,因此,在需要的時候,對網(wǎng)卡進(jìn)行合理的設(shè)置就能獲得經(jīng)過本網(wǎng)段的所有通信信息,從而實現(xiàn)網(wǎng)絡(luò)監(jiān)視的功能。在其他網(wǎng)絡(luò)環(huán)境下,雖然可能不采用廣播的方式傳送報文,但目前很多路由設(shè)備或交換機(jī)都提供數(shù)據(jù)報文監(jiān)視功能。

2.基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)

基于主機(jī)的入侵檢測系統(tǒng)將檢測模塊駐留在被保護(hù)系統(tǒng)上,通過提取被保護(hù)系統(tǒng)的運行數(shù)據(jù)并進(jìn)行入侵分析來實現(xiàn)入侵檢測的功能。

基于主機(jī)的入侵檢測系統(tǒng)可以有若干種實現(xiàn)方法:

檢測系統(tǒng)設(shè)置以發(fā)現(xiàn)不正當(dāng)?shù)南到y(tǒng)設(shè)置和系統(tǒng)設(shè)置的不正當(dāng)更改對系統(tǒng)安全狀態(tài)進(jìn)行定期檢查以發(fā)現(xiàn)不正常的安全狀態(tài)。

基于主機(jī)日志的安全審計,通過分析主機(jī)日志來發(fā)現(xiàn)入侵行為。基于主機(jī)的入侵檢測系統(tǒng)具有檢測效率高,分析代價小,分析速度快的特點,能夠迅速并準(zhǔn)確地定位入侵者,并可以結(jié)合操作系統(tǒng)和應(yīng)用程序的行為特征對入侵進(jìn)行進(jìn)一步分析。目前很多是基于主機(jī)日志分析的入侵檢測系統(tǒng)?;谥鳈C(jī)的入侵檢測系統(tǒng)存在的問題是:首先它在一定程度上依賴于系統(tǒng)的可靠性,它要求系統(tǒng)本身應(yīng)該具備基本的安全功能并具有合理的設(shè)置,然后才能提取入侵信息;即使進(jìn)行了正確的設(shè)置,對操作系統(tǒng)熟悉的攻擊者仍然有可能在入侵行為完成后及時地將系統(tǒng)日志抹去,從而不被發(fā)覺;并且主機(jī)的日志能夠提供的信息有限,有的入侵手段和途徑不會在日志中有所反映,日志系統(tǒng)對有的入侵行為不能做出正確的響應(yīng),例如利用網(wǎng)絡(luò)協(xié)議棧的漏洞進(jìn)行的攻擊,通過ping命令發(fā)送大數(shù)據(jù)包,造成系統(tǒng)協(xié)議棧溢出而死機(jī),或是利用arp欺騙來偽裝成其他主機(jī)進(jìn)行通信,這些手段都不會被高層的日志記錄下來。在數(shù)據(jù)提取的實時性、充分性、可靠性方面基于主機(jī)日志的入侵檢測系統(tǒng)不如基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。

五、入侵檢測技術(shù)的發(fā)展方向

近年對入侵檢測技術(shù)有幾個主要發(fā)展方向:

(1)分布式入侵檢測與通用入侵檢測架構(gòu)

傳統(tǒng)的ids一般局限于單一的主機(jī)或網(wǎng)絡(luò)架構(gòu),對異構(gòu)系統(tǒng)及大規(guī)模的網(wǎng)絡(luò)的監(jiān)測明顯不足。同時不同的ids系統(tǒng)之間不能協(xié)同工作能力,為解決這一問題,需要分布式入侵檢測技術(shù)與通用入侵檢測架構(gòu)。

(2)應(yīng)用層入侵檢測

許多入侵的語義只有在應(yīng)用層才能理解,而目前的ids僅能檢測如web之類的通用協(xié)議,而不能處理如lotus notes、數(shù)據(jù)庫系統(tǒng)等其他的應(yīng)用系統(tǒng)。許多基于客戶、服務(wù)器結(jié)構(gòu)與中間件技術(shù)及對象技術(shù)的大型應(yīng)用,需要應(yīng)用層的入侵檢測保護(hù)。

(3)智能的入侵檢測

入侵方法越來越多樣化與綜合化,盡管已經(jīng)有智能體、神經(jīng)網(wǎng)絡(luò)與遺傳算法在入侵檢測領(lǐng)域應(yīng)用研究,但是這只是一些嘗試性的研究工作,需要對智能化的ids加以進(jìn)一步的研究以解決其自學(xué)習(xí)與自適應(yīng)能力。

入侵檢測產(chǎn)品仍具有較大的發(fā)展空間,從技術(shù)途徑來講,我們認(rèn)為,除了完善常規(guī)的、傳統(tǒng)的技術(shù)(模式識別和完整性檢測)外,應(yīng)重點加強(qiáng)統(tǒng)計分析的相關(guān)技術(shù)研究。

參考文獻(xiàn):

篇7

關(guān)鍵詞:計算機(jī)數(shù)據(jù)庫;入侵檢測技術(shù);網(wǎng)絡(luò)安全

中圖分類號:TP309.2 文獻(xiàn)標(biāo)識碼:A

計算機(jī)數(shù)據(jù)庫普遍受到網(wǎng)絡(luò)與設(shè)備的威脅。計算機(jī)安全主要是指物理安全與信息安全(網(wǎng)絡(luò)安全),其中信息安全主要是指保護(hù)網(wǎng)絡(luò)信息的完整性、可用性、保密性。據(jù)調(diào)查數(shù)據(jù)表明,信息系統(tǒng)的整體安全方面,數(shù)據(jù)庫是最容易受到攻擊的部件。計算機(jī)數(shù)據(jù)庫主要受到計算機(jī)病毒或黑客的攻擊,其中與計算機(jī)病毒的種類相比較,黑客對計算機(jī)數(shù)據(jù)庫的攻擊方法更多、更致命。美國FBI調(diào)查數(shù)據(jù)顯示,網(wǎng)絡(luò)安全導(dǎo)致每年美國承受超出170億美元的經(jīng)濟(jì)損失,其中每天被黑客攻擊或病害感染的網(wǎng)頁達(dá)到15000個。據(jù)國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心的評估數(shù)據(jù)表明,2012年中國“僵尸”電腦數(shù)量已超過全球“僵尸”電腦總數(shù)的58%。由此可見,必須加強(qiáng)對計算機(jī)數(shù)據(jù)庫安全保護(hù)的研究。

1 計算機(jī)數(shù)據(jù)庫入侵檢測技術(shù)的現(xiàn)狀問題

經(jīng)過20余年的發(fā)展,計算機(jī)數(shù)據(jù)庫入侵檢測技術(shù)已相當(dāng)成熟,但不斷出現(xiàn)的新需求及新情況勢必要求不斷推進(jìn)入侵檢測技術(shù)。目前主流入侵檢測系統(tǒng)包括基于主機(jī)的入侵檢測系統(tǒng)及基于網(wǎng)絡(luò)的入侵檢測系統(tǒng);主流入侵檢測方法包括誤用檢測及異常檢測,其中誤用檢測要求對異常行為進(jìn)行建模,把符合特征庫描述的行為視為攻擊;異常檢測要求對正常行為進(jìn)行建模,把不符合特征庫描述的行為視為攻擊??傮w而言,計算機(jī)數(shù)據(jù)庫入侵檢測技術(shù)發(fā)展的現(xiàn)狀尚不能完全滿足系統(tǒng)安全的要求,同時仍存有一些問題亟待解決。

(1)計算機(jī)入侵檢測誤報漏報率高:數(shù)據(jù)庫信息主要由個人信息及企業(yè)信息組成,因此信息的安全性普遍受到社會個體及組織的廣泛關(guān)注,同時計算機(jī)入侵檢測技術(shù)的研發(fā)過程,研究人員對某些關(guān)鍵點設(shè)置的要求相當(dāng)高。但此種情況極易受到大量病毒或黑客的入侵,由此導(dǎo)致入侵檢測結(jié)果的準(zhǔn)確率大幅度下降,同時某些暫時提高入侵檢測結(jié)果準(zhǔn)確率的做法反過來亦會影響到數(shù)據(jù)庫安全。

(2)計算機(jī)入侵檢測的效率較低:任何數(shù)據(jù)入侵或反入侵皆需進(jìn)行大量的二進(jìn)制數(shù)據(jù)計算,以提高數(shù)據(jù)運行的有效性。但龐大的計算勢必造成大量的時間及財力浪費,由此阻礙著入侵檢測效率的提高,同時也與當(dāng)今網(wǎng)絡(luò)環(huán)境極不相稱。

(3)計算機(jī)入侵檢測技術(shù)的自我防御能力較弱:計算機(jī)入侵檢測技術(shù)發(fā)展尚不完善,加上設(shè)計人員的專業(yè)知識欠缺,因此勢必影響到計算機(jī)入侵檢測技術(shù)自我防御能力的提高。若入侵檢測技術(shù)被黑客或病毒入侵,有限的防御能力勢必難以完成入侵檢測,由此必然威脅到數(shù)據(jù)庫的安全。

(4)計算機(jī)入侵檢測技術(shù)的可擴(kuò)展性差:計算機(jī)入侵檢測技術(shù)無自動更新功能,因此不能對新的異常行為或病毒進(jìn)行有效判別,進(jìn)而造成病毒肆意,甚至破壞數(shù)據(jù)庫的安全防線。

2 計算機(jī)數(shù)據(jù)庫入侵檢測技術(shù)的發(fā)展方向

計算機(jī)入侵檢測系統(tǒng)具備網(wǎng)絡(luò)管理、網(wǎng)絡(luò)監(jiān)視及入侵檢測功能,其主要采用先進(jìn)的分布式架構(gòu)(表1)。入侵檢測系統(tǒng)包含2300多種規(guī)則,能夠借助智能分析與模式相結(jié)合的方法對網(wǎng)內(nèi)外傳輸?shù)乃袛?shù)據(jù)進(jìn)行實時捕獲,進(jìn)而實現(xiàn)對網(wǎng)絡(luò)領(lǐng)域存在的入侵行為或異?,F(xiàn)象進(jìn)行檢測,同時借助內(nèi)置的攻擊特征庫把相關(guān)事件錄入數(shù)據(jù)庫,以便為事后分析提供參考依據(jù)。此外,計算機(jī)入侵檢測系統(tǒng)是高效的數(shù)據(jù)采集技術(shù),與內(nèi)容恢復(fù)、狀態(tài)協(xié)議分析、行為分析、異常分析、網(wǎng)絡(luò)審計等入侵分析技術(shù)具有非常好的兼容性,同時能夠檢測到網(wǎng)絡(luò)、端口探察、應(yīng)用層及底層活動的掃描攻擊。

結(jié)合表1內(nèi)容及計算機(jī)入侵檢測技術(shù)存在的問題,本文認(rèn)為計算機(jī)數(shù)據(jù)庫入侵檢測技術(shù)應(yīng)堅持“分布型、層次化、智能化檢測及反術(shù)測評標(biāo)準(zhǔn)化”的發(fā)展道路。

(1)分布型檢測。傳統(tǒng)的入侵檢測大多被局限到單一網(wǎng)絡(luò)結(jié)構(gòu),主要完成單一網(wǎng)絡(luò)結(jié)構(gòu)的數(shù)據(jù)庫檢測,此種檢測方法根本沒有能力應(yīng)對大規(guī)模的異構(gòu)體系數(shù)據(jù)庫。此外,數(shù)據(jù)庫檢測體系間的協(xié)同性較弱。針對此類問題,最有效的辦法是采用分布式數(shù)據(jù)庫入侵檢測手段。

(2)層次化檢測。就檢測范圍而言,傳統(tǒng)的入侵檢測技術(shù)具有相當(dāng)大的局限性,尤其對某些高端數(shù)據(jù)庫系統(tǒng),入侵檢測技術(shù)尚存在諸多盲點。目前多數(shù)服務(wù)器結(jié)構(gòu)系統(tǒng)皆需多層次的入侵檢測保護(hù)功能,由此保障網(wǎng)絡(luò)安全。針對此類問題,最有效的辦法是采用層次化的檢測方式,區(qū)別對待普通系統(tǒng)與高端數(shù)據(jù)庫系統(tǒng),由此提高入侵檢測技術(shù)的作用力。

(3)智能化檢測。雖然目前使用的計算機(jī)入侵檢測技術(shù)已經(jīng)應(yīng)用到遺傳算法及神經(jīng)網(wǎng)絡(luò)等,但應(yīng)用水平尚處在初級階段或嘗試性階段,因此有必要把智能化入侵檢測列入專項課題進(jìn)行研究,由此提高計算機(jī)入侵檢測的自我適應(yīng)能力。

(4)應(yīng)用入侵檢測技術(shù)過程,用戶有必要不定期對技術(shù)系統(tǒng)進(jìn)行測評,其中測評的內(nèi)容應(yīng)涉及到資源占用比、檢測范圍、檢測可靠程度,同時充分利用測評數(shù)據(jù)對檢測系統(tǒng)實施評估,然后再結(jié)合評估情況對檢測系統(tǒng)進(jìn)行完善??傮w而言,依托入侵檢測技術(shù),計算機(jī)數(shù)據(jù)庫系統(tǒng)的安全性勢必大大增強(qiáng),即入侵檢測系統(tǒng)通過化解計算機(jī)數(shù)據(jù)庫系統(tǒng)外部的攻擊及排除系統(tǒng)內(nèi)部的潛在威脅,進(jìn)而對計算機(jī)數(shù)據(jù)庫系統(tǒng)實施有效保護(hù)。

(5)計算機(jī)數(shù)據(jù)庫入侵檢測技術(shù)的強(qiáng)化措施除采取分布型檢測、層次化檢測及智能化檢測外,筆者認(rèn)為創(chuàng)建新型系統(tǒng)模型、建立數(shù)據(jù)庫知識標(biāo)準(zhǔn)、減少入侵檢測的計算量等皆可加強(qiáng)計算機(jī)入侵檢測技術(shù),其中優(yōu)化Apriori算法是一種由Apriori算法改進(jìn)而來的計算方法,其對減少入侵檢測的計算量至關(guān)重要,此外優(yōu)化Apriori算法的剪枝候選集功能是顯示入侵檢測計算量減少的主要工作。

3 結(jié)束語

綜上所述,入侵檢測技術(shù)是一種保障計算機(jī)數(shù)據(jù)庫免受黑客或病毒入侵的安全防護(hù)高新技術(shù),其不僅能夠化解來自外界的攻擊(黑客),同時也能夠排查出內(nèi)部潛在的病毒,進(jìn)而實現(xiàn)對計算機(jī)數(shù)據(jù)庫的實時性保護(hù)。隨著網(wǎng)絡(luò)技術(shù)更新周期的縮短,網(wǎng)絡(luò)安全問題越來越引起社會的關(guān)注。數(shù)據(jù)庫是最容易受到黑客與病毒攻擊的部件,加上數(shù)據(jù)庫存儲有數(shù)以億計用戶的信息,因此必須采取措施確保計算機(jī)數(shù)據(jù)率的網(wǎng)絡(luò)安全。盡管入侵檢測技術(shù)的應(yīng)用已相當(dāng)成熟,但仍然存在諸多問題亟待解決,其中包括入侵檢測誤報漏報率高、入侵檢測的效率較低、入侵檢測技術(shù)的自我防御能力較弱及入侵檢測技術(shù)的可擴(kuò)展性差等。基于此,本文提出計算機(jī)數(shù)據(jù)庫入侵檢測技術(shù)應(yīng)該堅持“分布型、層次化、智能化檢測及反術(shù)測評標(biāo)準(zhǔn)化”的發(fā)展道路,由此提高網(wǎng)絡(luò)安全及維護(hù)社會的安定和諧。

參考文獻(xiàn)

[1] 秋瑜.計算機(jī)數(shù)據(jù)庫入侵檢測技術(shù)分析研究[J].硅谷,2012,(6):79-79.

[2] 王素香.計算機(jī)數(shù)據(jù)庫的入侵檢測技術(shù)分析[J].計算機(jī)光盤軟件與應(yīng)用,2013,(1):101.

[3] 李媛媛.計算機(jī)數(shù)據(jù)庫的入侵檢測技術(shù)分析[J].中國信息化,2013,(14):137-137.

[4] 肖大薇.計算機(jī)數(shù)據(jù)庫入侵檢測技術(shù)分析研究[J].信息系統(tǒng)工程,2012,(4):54-55.

[5] 王世軼.基于數(shù)據(jù)庫的入侵檢測技術(shù)分析[J].科技風(fēng),2012,(14):52.

[6] 高超,王麗君.數(shù)據(jù)挖掘技術(shù)在基于系統(tǒng)調(diào)用的入侵檢測中的應(yīng)用[J].鞍山科技大學(xué)學(xué)報,2006,29(1):45-49.

篇8

【關(guān)鍵詞】計算機(jī)數(shù)據(jù)庫 入侵檢測 措施

當(dāng)今時代是信息技術(shù)與安全問題并行的時代,社會經(jīng)濟(jì)的高速發(fā)展必然伴隨著某些安全問題的發(fā)生,所以數(shù)據(jù)庫的安全已經(jīng)成為人民大眾和政府企業(yè)的工作保證。盡管當(dāng)下防火墻廣泛應(yīng)用,但是仍然不能保證可以完全抵御黑客的入侵,所以入侵檢測技術(shù)成為了新時代下社會關(guān)注的重點,入侵檢測技術(shù)不僅能夠解決數(shù)據(jù)庫面臨的種種威脅,更能及時發(fā)現(xiàn)入侵對象并進(jìn)行及時的修補(bǔ),但是在實踐過程中也出現(xiàn)了這樣或那樣的問題,下面將進(jìn)行詳盡的論述。

1 入侵檢測

入侵檢測是一種對入侵行為進(jìn)行檢測、識別和回應(yīng)的一種安全技術(shù)。主要通過分析檢測計算機(jī)系統(tǒng)、安全日志、電腦數(shù)據(jù)及網(wǎng)絡(luò)行為等方式來判斷是否遭到入侵,從而更好的對計算機(jī)進(jìn)行全方位的安全保護(hù)。入侵檢測的主要行為有以下五點:一是對用戶行為進(jìn)行監(jiān)察;二是對計算機(jī)的運行系統(tǒng)進(jìn)行審查;三是對入侵行為進(jìn)行識別并發(fā)出警報;四是對異常行為進(jìn)行統(tǒng)計和記錄,并進(jìn)而評估計算機(jī)系統(tǒng)的危險系數(shù);五是對計算機(jī)系統(tǒng)的監(jiān)察情況進(jìn)行跟蹤管理。當(dāng)前入侵檢測技術(shù)雖然已經(jīng)在多個方面得到了效果良好的實踐效果,但是仍然有很多不足之處,下面主要概述一下計算機(jī)數(shù)據(jù)庫檢測系統(tǒng)在應(yīng)用中出現(xiàn)的問題。

2 常見問題

我國計算機(jī)數(shù)據(jù)庫一般采用防火墻安全模式,加上入侵檢測技術(shù)的發(fā)展起步較晚,因而在很多方面還不成熟,在實踐過程中主要發(fā)現(xiàn)了以下問題。

2.1 防御能力偏弱

由于入侵檢測技術(shù)尚不成熟,所以從事數(shù)據(jù)庫入侵檢測技術(shù)的技術(shù)團(tuán)隊也沒有形成很好的規(guī)模,而且資金投入的匱乏性也使得人們對入侵檢測技術(shù)工作的積極性不高。就當(dāng)前我國部分發(fā)展較好的地區(qū)而言,數(shù)據(jù)庫的入侵檢測技術(shù)相對落后,且技術(shù)人員自身也缺乏專業(yè)的解決問題的能力,對于實際操作中臨時出現(xiàn)的新問題無法做到很好的應(yīng)對,這種遇到黑客和病毒入侵時無法及時應(yīng)對的現(xiàn)狀容易導(dǎo)致數(shù)據(jù)庫系統(tǒng)的癱瘓,給企業(yè)和個人造成數(shù)據(jù)被盜走或損毀的損失,嚴(yán)重者也可能威脅到國家相關(guān)部門的安全防御。

2.2 錯誤率高

入侵檢測技術(shù)的最直接目的就是保護(hù)計算機(jī)數(shù)據(jù)庫的隱私,避免數(shù)據(jù)的流失和泄露,因而在對檢測關(guān)卡的要求非常嚴(yán)格。如此一來,在入侵檢測技術(shù)實際的運行過程中可能會出現(xiàn)很多系統(tǒng)性的檢測錯誤,在各種系統(tǒng)性錯誤上報的同時可能潛伏著真正的病毒,但是系統(tǒng)很有可能一時間承受不了龐大的信息量而出現(xiàn)漏檢的情況,而且對于一些應(yīng)用軟件的誤檢也會給工作人員帶來時間與精力上的雙重浪費,嚴(yán)重影響著檢測工作的效率,計算機(jī)數(shù)據(jù)庫的安全也得不到保障。

2.3 效率低下

前面講到,入侵檢測技術(shù)的目的主要是對于病毒進(jìn)行識別和查殺,而檢測技術(shù)的關(guān)鍵點就在于速度,因而高效率的檢測是入侵檢測技術(shù)的重中之重。由于計算機(jī)數(shù)據(jù)庫的信息量過大且運行程序較多,所以入侵檢測技術(shù)整個運行過程可以說是比較復(fù)雜,一方面造成了檢測工作的前期成本較高,另一方面也容易造成漏檢、誤檢等錯誤行為。除此之外,我國當(dāng)前的檢測技術(shù)發(fā)展在很多方面都存在著欠缺,因而更新的速度也較慢,這也會對檢測系統(tǒng)造成不利影響,在一定程度上滯后了入侵檢測技術(shù)的發(fā)展。

3 優(yōu)化措施

當(dāng)前數(shù)據(jù)庫已經(jīng)成為了各類企業(yè)和政府有關(guān)部門的安全保障,只有針對這些數(shù)據(jù)庫系統(tǒng)采用必要的保護(hù)措施,才能確保計算機(jī)網(wǎng)絡(luò)數(shù)據(jù)的可靠性、安全性和保密性。

3.1 優(yōu)化算法

這種算法是基于大型項目的調(diào)查而應(yīng)用的一種算法,其主要目的是可以大幅度的消減系統(tǒng)運行中的候選項目,在數(shù)據(jù)庫檢測技術(shù)中可以產(chǎn)生很好的實踐效果。該種算法在生成候選項時會產(chǎn)生很多錯誤的項目集合的候選集,而且在連接程序中相同的項目會有很大程度的重復(fù)性,所以很容易導(dǎo)致檢測技術(shù)利用率相對降低。所以在今后的實踐中可以首先對項目數(shù)量進(jìn)行優(yōu)化和減少,尤其是待選項目的總量,從整體上減少工作量;其次對數(shù)據(jù)庫進(jìn)行合理的分析檢查,把數(shù)據(jù)庫的準(zhǔn)備工作做好盡量做到一次做完編碼,提高算法的效率。

3.2 建立合理模型

入侵檢測系統(tǒng)的工作原理主要是通過系統(tǒng)檢測-判斷行為-入侵警報這三個環(huán)節(jié)來達(dá)到保證計算機(jī)數(shù)據(jù)庫安全的目的。系統(tǒng)主要由數(shù)據(jù)庫借口零部件、數(shù)據(jù)手機(jī)模塊、數(shù)據(jù)分析處理模塊、數(shù)據(jù)挖掘模塊及入侵檢測模塊等五個主要部分組成,為了使各個模塊真正的發(fā)揮出作用,需要根據(jù)人們所需重新設(shè)計出最新的數(shù)據(jù)庫模型,具體設(shè)計如下:

(1)數(shù)據(jù)收集。系統(tǒng)要在入侵檢測的過程中對系統(tǒng)不同的數(shù)據(jù)進(jìn)行收集和記錄,做好前期的準(zhǔn)備工作。

(2)分析挖掘。系統(tǒng)要按照設(shè)定好的要求對采集到的數(shù)據(jù)進(jìn)行合理挖掘,建立好數(shù)據(jù)庫。

(3)模式調(diào)整。要求入侵檢測技術(shù)要可以根據(jù)系統(tǒng)設(shè)定來將不符合規(guī)定的數(shù)據(jù)要求做好技術(shù)準(zhǔn)確的處理。

(4)提取特征。要求系統(tǒng)可以根據(jù)用戶的行為數(shù)據(jù)判斷出用戶的行為特征,并對不同的用戶行為特征進(jìn)行分類匯總。

(5)入侵檢測。這里主要要求系統(tǒng)應(yīng)用相關(guān)算法,從數(shù)據(jù)庫里提取相關(guān)的數(shù)據(jù)信息并輔以相關(guān)用戶行為特征,根據(jù)檢測結(jié)果來采取相對應(yīng)的措施。

4 總結(jié)

根據(jù)計算機(jī)數(shù)據(jù)庫入侵技術(shù)檢測的現(xiàn)狀,其今后的發(fā)展趨勢主要向智能化發(fā)展。數(shù)據(jù)庫的安全性對于政府部門、企業(yè)和個人都有著非常重要的實際意義,本文主要分析了當(dāng)前入侵檢測系統(tǒng)中出現(xiàn)的問題來讓讀者明確計算機(jī)數(shù)據(jù)庫的重要性,并對數(shù)據(jù)庫入侵檢測技術(shù)的未來發(fā)展提出了自身的建議措施,最大程度的提升入侵檢測技術(shù)對計算機(jī)數(shù)據(jù)庫的安全防護(hù)作用。

參考文獻(xiàn)

篇9

關(guān)鍵詞入侵檢測異常檢測誤用檢測

在網(wǎng)絡(luò)技術(shù)日新月異的今天,論文基于網(wǎng)絡(luò)的計算機(jī)應(yīng)用已經(jīng)成為發(fā)展的主流。政府、教育、商業(yè)、金融等機(jī)構(gòu)紛紛聯(lián)入Internet,全社會信息共享已逐步成為現(xiàn)實。然而,近年來,網(wǎng)上黑客的攻擊活動正以每年10倍的速度增長。因此,保證計算機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)以及整個信息基礎(chǔ)設(shè)施的安全已經(jīng)成為刻不容緩的重要課題。

1防火墻

目前防范網(wǎng)絡(luò)攻擊最常用的方法是構(gòu)建防火墻。

防火墻作為一種邊界安全的手段,在網(wǎng)絡(luò)安全保護(hù)中起著重要作用。其主要功能是控制對網(wǎng)絡(luò)的非法訪問,通過監(jiān)視、限制、更改通過網(wǎng)絡(luò)的數(shù)據(jù)流,一方面盡可能屏蔽內(nèi)部網(wǎng)的拓?fù)浣Y(jié)構(gòu),另一方面對內(nèi)屏蔽外部危險站點,以防范外對內(nèi)的非法訪問。然而,防火墻存在明顯的局限性。

(1)入侵者可以找到防火墻背后可能敞開的后門。如同深宅大院的高大院墻不能擋住老鼠的偷襲一樣,防火墻有時無法阻止入侵者的攻擊。

(2)防火墻不能阻止來自內(nèi)部的襲擊。調(diào)查發(fā)現(xiàn),50%的攻擊都將來自于網(wǎng)絡(luò)內(nèi)部。

(3)由于性能的限制,防火墻通常不能提供實時的入侵檢測能力。畢業(yè)論文而這一點,對于層出不窮的網(wǎng)絡(luò)攻擊技術(shù)來說是至關(guān)重要的。

因此,在Internet入口處部署防火墻系統(tǒng)是不能確保安全的。單純的防火墻策略已經(jīng)無法滿足對安全高度敏感部門的需要,網(wǎng)絡(luò)的防衛(wèi)必須采用一種縱深的、多樣化的手段。

由于傳統(tǒng)防火墻存在缺陷,引發(fā)了入侵檢測IDS(IntrusionDetectionSystem)的研究和開發(fā)。入侵檢測是防火墻之后的第二道安全閘門,是對防火墻的合理補(bǔ)充,在不影響網(wǎng)絡(luò)性能的情況下,通過對網(wǎng)絡(luò)的監(jiān)測,幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊,擴(kuò)展系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視、進(jìn)攻識別和響應(yīng)),提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性,提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護(hù)?,F(xiàn)在,入侵檢測已經(jīng)成為網(wǎng)絡(luò)安全中一個重要的研究方向,在各種不同的網(wǎng)絡(luò)環(huán)境中發(fā)揮重要作用。

2入侵檢測

2.1入侵檢測

入侵檢測是通過從計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息并對其進(jìn)行分析,從中發(fā)現(xiàn)違反安全策略的行為和遭到攻擊的跡象,并做出自動的響應(yīng)。其主要功能是對用戶和系統(tǒng)行為的監(jiān)測與分析、系統(tǒng)配置和漏洞的審計檢查、重要系統(tǒng)和數(shù)據(jù)文件的完整性評估、已知的攻擊行為模式的識別、異常行為模式的統(tǒng)計分析、操作系統(tǒng)的審計跟蹤管理及違反安全策略的用戶行為的識別。入侵檢測通過迅速地檢測入侵,在可能造成系統(tǒng)損壞或數(shù)據(jù)丟失之前,識別并驅(qū)除入侵者,使系統(tǒng)迅速恢復(fù)正常工作,并且阻止入侵者進(jìn)一步的行動。同時,收集有關(guān)入侵的技術(shù)資料,用于改進(jìn)和增強(qiáng)系統(tǒng)抵抗入侵的能力。

入侵檢測可分為基于主機(jī)型、基于網(wǎng)絡(luò)型、基于型三類。從20世紀(jì)90年代至今,英語論文已經(jīng)開發(fā)出一些入侵檢測的產(chǎn)品,其中比較有代表性的產(chǎn)品有ISS(IntemetSecuritySystem)公司的Realsecure,NAI(NetworkAssociates,Inc)公司的Cybercop和Cisco公司的NetRanger。

2.2檢測技術(shù)

入侵檢測為網(wǎng)絡(luò)安全提供實時檢測及攻擊行為檢測,并采取相應(yīng)的防護(hù)手段。例如,實時檢測通過記錄證據(jù)來進(jìn)行跟蹤、恢復(fù)、斷開網(wǎng)絡(luò)連接等控制;攻擊行為檢測注重于發(fā)現(xiàn)信息系統(tǒng)中可能已經(jīng)通過身份檢查的形跡可疑者,進(jìn)一步加強(qiáng)信息系統(tǒng)的安全力度。入侵檢測的步驟如下:

收集系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為的信息

入侵檢測一般采用分布式結(jié)構(gòu),在計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(不同網(wǎng)段和不同主機(jī))收集信息,一方面擴(kuò)大檢測范圍,另一方面通過多個采集點的信息的比較來判斷是否存在可疑現(xiàn)象或發(fā)生入侵行為。

入侵檢測所利用的信息一般來自以下4個方面:系統(tǒng)和網(wǎng)絡(luò)日志文件、目錄和文件中的不期望的改變、程序執(zhí)行中的不期望行為、物理形式的入侵信息。

(2)根據(jù)收集到的信息進(jìn)行分析

常用的分析方法有模式匹配、統(tǒng)計分析、完整性分析。模式匹配是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進(jìn)行比較,從而發(fā)現(xiàn)違背安全策略的行為。

統(tǒng)計分析方法首先給系統(tǒng)對象(如用戶、文件、目錄和設(shè)備等)創(chuàng)建一個統(tǒng)計描述,統(tǒng)計正常使用時的一些測量屬性。測量屬性的平均值將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較。當(dāng)觀察值超出正常值范圍時,就有可能發(fā)生入侵行為。該方法的難點是閾值的選擇,閾值太小可能產(chǎn)生錯誤的入侵報告,閾值太大可能漏報一些入侵事件。

完整性分析主要關(guān)注某個文件或?qū)ο笫欠癖桓?,包括文件和目錄的?nèi)容及屬性。該方法能有效地防范特洛伊木馬的攻擊。

3分類及存在的問題

入侵檢測通過對入侵和攻擊行為的檢測,查出系統(tǒng)的入侵者或合法用戶對系統(tǒng)資源的濫用和誤用。工作總結(jié)根據(jù)不同的檢測方法,將入侵檢測分為異常入侵檢測(AnomalyDetection)和誤用人侵檢測(MisuseDetection)。

3.1異常檢測

又稱為基于行為的檢測。其基本前提是:假定所有的入侵行為都是異常的。首先建立系統(tǒng)或用戶的“正?!毙袨樘卣鬏喞ㄟ^比較當(dāng)前的系統(tǒng)或用戶的行為是否偏離正常的行為特征輪廓來判斷是否發(fā)生了入侵。此方法不依賴于是否表現(xiàn)出具體行為來進(jìn)行檢測,是一種間接的方法。

常用的具體方法有:統(tǒng)計異常檢測方法、基于特征選擇異常檢測方法、基于貝葉斯推理異常檢測方法、基于貝葉斯網(wǎng)絡(luò)異常檢測方法、基于模式預(yù)測異常檢測方法、基于神經(jīng)網(wǎng)絡(luò)異常檢測方法、基于機(jī)器學(xué)習(xí)異常檢測方法、基于數(shù)據(jù)采掘異常檢測方法等。

采用異常檢測的關(guān)鍵問題有如下兩個方面:

(1)特征量的選擇

在建立系統(tǒng)或用戶的行為特征輪廓的正常模型時,選取的特征量既要能準(zhǔn)確地體現(xiàn)系統(tǒng)或用戶的行為特征,又能使模型最優(yōu)化,即以最少的特征量就能涵蓋系統(tǒng)或用戶的行為特征。(2)參考閾值的選定

由于異常檢測是以正常的特征輪廓作為比較的參考基準(zhǔn),因此,參考閾值的選定是非常關(guān)鍵的。

閾值設(shè)定得過大,那漏警率會很高;閾值設(shè)定的過小,則虛警率就會提高。合適的參考閾值的選定是決定這一檢測方法準(zhǔn)確率的至關(guān)重要的因素。

由此可見,異常檢測技術(shù)難點是“正?!毙袨樘卣鬏喞拇_定、特征量的選取、特征輪廓的更新。由于這幾個因素的制約,異常檢測的虛警率很高,但對于未知的入侵行為的檢測非常有效。此外,由于需要實時地建立和更新系統(tǒng)或用戶的特征輪廓,這樣所需的計算量很大,對系統(tǒng)的處理性能要求很高。

3.2誤用檢測

又稱為基于知識的檢測。其基本前提是:假定所有可能的入侵行為都能被識別和表示。首先,留學(xué)生論文對已知的攻擊方法進(jìn)行攻擊簽名(攻擊簽名是指用一種特定的方式來表示已知的攻擊模式)表示,然后根據(jù)已經(jīng)定義好的攻擊簽名,通過判斷這些攻擊簽名是否出現(xiàn)來判斷入侵行為的發(fā)生與否。這種方法是依據(jù)是否出現(xiàn)攻擊簽名來判斷入侵行為,是一種直接的方法。

常用的具體方法有:基于條件概率誤用入侵檢測方法、基于專家系統(tǒng)誤用入侵檢測方法、基于狀態(tài)遷移分析誤用入侵檢測方法、基于鍵盤監(jiān)控誤用入侵檢測方法、基于模型誤用入侵檢測方法。誤用檢測的關(guān)鍵問題是攻擊簽名的正確表示。

誤用檢測是根據(jù)攻擊簽名來判斷入侵的,根據(jù)對已知的攻擊方法的了解,用特定的模式語言來表示這種攻擊,使得攻擊簽名能夠準(zhǔn)確地表示入侵行為及其所有可能的變種,同時又不會把非入侵行為包含進(jìn)來。由于多數(shù)入侵行為是利用系統(tǒng)的漏洞和應(yīng)用程序的缺陷,因此,通過分析攻擊過程的特征、條件、排列以及事件間的關(guān)系,就可具體描述入侵行為的跡象。這些跡象不僅對分析已經(jīng)發(fā)生的入侵行為有幫助,而且對即將發(fā)生的入侵也有預(yù)警作用。

誤用檢測將收集到的信息與已知的攻擊簽名模式庫進(jìn)行比較,從中發(fā)現(xiàn)違背安全策略的行為。由于只需要收集相關(guān)的數(shù)據(jù),這樣系統(tǒng)的負(fù)擔(dān)明顯減少。該方法類似于病毒檢測系統(tǒng),其檢測的準(zhǔn)確率和效率都比較高。但是它也存在一些缺點。

3.2.1不能檢測未知的入侵行為

由于其檢測機(jī)理是對已知的入侵方法進(jìn)行模式提取,對于未知的入侵方法就不能進(jìn)行有效的檢測。也就是說漏警率比較高。

3.2.2與系統(tǒng)的相關(guān)性很強(qiáng)

對于不同實現(xiàn)機(jī)制的操作系統(tǒng),由于攻擊的方法不盡相同,很難定義出統(tǒng)一的模式庫。另外,誤用檢測技術(shù)也難以檢測出內(nèi)部人員的入侵行為。

目前,由于誤用檢測技術(shù)比較成熟,多數(shù)的商業(yè)產(chǎn)品都主要是基于誤用檢測模型的。不過,為了增強(qiáng)檢測功能,不少產(chǎn)品也加入了異常檢測的方法。

4入侵檢測的發(fā)展方向

隨著信息系統(tǒng)對一個國家的社會生產(chǎn)與國民經(jīng)濟(jì)的影響越來越大,再加上網(wǎng)絡(luò)攻擊者的攻擊工具與手法日趨復(fù)雜化,信息戰(zhàn)已逐步被各個國家重視。近年來,入侵檢測有如下幾個主要發(fā)展方向:

4.1分布式入侵檢測與通用入侵檢測架構(gòu)

傳統(tǒng)的IDS一般局限于單一的主機(jī)或網(wǎng)絡(luò)架構(gòu),對異構(gòu)系統(tǒng)及大規(guī)模的網(wǎng)絡(luò)的監(jiān)測明顯不足,再加上不同的IDS系統(tǒng)之間不能很好地協(xié)同工作。為解決這一問題,需要采用分布式入侵檢測技術(shù)與通用入侵檢測架構(gòu)。

4.2應(yīng)用層入侵檢測

許多入侵的語義只有在應(yīng)用層才能理解,然而目前的IDS僅能檢測到諸如Web之類的通用協(xié)議,而不能處理LotusNotes、數(shù)據(jù)庫系統(tǒng)等其他的應(yīng)用系統(tǒng)。許多基于客戶/服務(wù)器結(jié)構(gòu)、中間件技術(shù)及對象技術(shù)的大型應(yīng)用,也需要應(yīng)用層的入侵檢測保護(hù)。

4.3智能的入侵檢測

入侵方法越來越多樣化與綜合化,盡管已經(jīng)有智能體、神經(jīng)網(wǎng)絡(luò)與遺傳算法在入侵檢測領(lǐng)域應(yīng)用研究,但是,這只是一些嘗試性的研究工作,需要對智能化的IDS加以進(jìn)一步的研究,以解決其自學(xué)習(xí)與自適應(yīng)能力。

4.4入侵檢測的評測方法

用戶需對眾多的IDS系統(tǒng)進(jìn)行評價,評價指標(biāo)包括IDS檢測范圍、系統(tǒng)資源占用、IDS自身的可靠性,從而設(shè)計出通用的入侵檢測測試與評估方法與平臺,實現(xiàn)對多種IDS的檢測。

4.5全面的安全防御方案

結(jié)合安全工程風(fēng)險管理的思想與方法來處理網(wǎng)絡(luò)安全問題,將網(wǎng)絡(luò)安全作為一個整體工程來處理。從管理、網(wǎng)絡(luò)結(jié)構(gòu)、加密通道、防火墻、病毒防護(hù)、入侵檢測多方位全面對所關(guān)注的網(wǎng)絡(luò)作全面的評估,然后提出可行的全面解決方案。

綜上所述,入侵檢測作為一種積極主動的安全防護(hù)技術(shù),提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護(hù),使網(wǎng)絡(luò)系統(tǒng)在受到危害之前即攔截和響應(yīng)入侵行為,為網(wǎng)絡(luò)安全增加一道屏障。隨著入侵檢測的研究與開發(fā),并在實際應(yīng)用中與其它網(wǎng)絡(luò)管理軟件相結(jié)合,使網(wǎng)絡(luò)安全可以從立體縱深、多層次防御的角度出發(fā),形成人侵檢測、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)監(jiān)控三位一體化,從而更加有效地保護(hù)網(wǎng)絡(luò)的安全。

參考文獻(xiàn)

l吳新民.兩種典型的入侵檢測方法研究.計算機(jī)工程與應(yīng)用,2002;38(10):181—183

2羅妍,李仲麟,陳憲.入侵檢測系統(tǒng)模型的比較.計算機(jī)應(yīng)用,2001;21(6):29~31

3李渙洲.網(wǎng)絡(luò)安全與入侵檢測技術(shù).四川師范大學(xué)學(xué)報.2001;24(3):426—428

4張慧敏,何軍,黃厚寬.入侵檢測系統(tǒng).計算機(jī)應(yīng)用研究,2001;18(9):38—4l

篇10

隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展其廣泛應(yīng)用于我國各項社會服務(wù)、經(jīng)濟(jì)金融、政治軍事、教育國防事業(yè)中,令企事業(yè)單位生產(chǎn)運營效率全面提升,可以說計算機(jī)網(wǎng)絡(luò)系統(tǒng)真正給人們的生活創(chuàng)設(shè)了便利,構(gòu)建了共享化、高效化、現(xiàn)代化的社會發(fā)展環(huán)境。同時網(wǎng)絡(luò)系統(tǒng)由于自身建設(shè)、程序設(shè)計、操作失誤等因素不可避免的包含許多病毒或漏洞,給黑客入侵者以可乘之機(jī),并給重要數(shù)據(jù)信息的安全引入了諸多不可預(yù)測的復(fù)雜風(fēng)險,動輒令企事業(yè)單位機(jī)密文件丟失、個人信息被不良竊取,造成了嚴(yán)重的經(jīng)濟(jì)損失。

1 計算機(jī)網(wǎng)絡(luò)常見入侵方式

針對計算機(jī)網(wǎng)絡(luò)的入侵主要指應(yīng)用相應(yīng)計算機(jī)程序調(diào)試技巧、編寫技巧實現(xiàn)對未授權(quán)文件或網(wǎng)絡(luò)的非法訪問,并入侵至網(wǎng)絡(luò)中的不良行為。當(dāng)前常見的計算機(jī)網(wǎng)絡(luò)入侵包括病毒攻擊、身份攻擊、拒絕服務(wù)、防火墻攻擊、網(wǎng)絡(luò)欺騙、木馬攻擊、后門入侵、惡意程序攻擊、入侵撥號程序、邏輯炸彈攻擊、破解密碼、垃圾搜尋、社交工程攻擊等。所謂病毒攻擊即利用其自我復(fù)制特性進(jìn)行系統(tǒng)資源的破壞、侵襲,對其數(shù)據(jù)完整性進(jìn)行不良破壞或竊取、令系統(tǒng)拒絕服務(wù),該攻擊入侵方式具有隱蔽性、傳播性、繁殖性、潛伏性與寄生性等特征。身份攻擊則利用網(wǎng)絡(luò)服務(wù)對用戶身份的確認(rèn)進(jìn)而通過竊取、欺騙手段對合法用戶身份進(jìn)行冒充以實現(xiàn)網(wǎng)絡(luò)攻擊目標(biāo),該類攻擊包含漏洞攻擊、收集信息攻擊與口令攻擊等。其中獲取與收集信息主要采用試探方式,例如掃描賬戶、ping、掃描漏洞、端口與嗅探網(wǎng)絡(luò)方式進(jìn)而對系統(tǒng)漏洞、服務(wù)、權(quán)限進(jìn)行探測,采用工具與公開協(xié)議對網(wǎng)絡(luò)中各主機(jī)存儲的有用信息進(jìn)行獲取與收集,并捕捉到其存在的漏洞,進(jìn)而為后續(xù)攻擊做準(zhǔn)備。針對防火墻進(jìn)行攻擊具有一定難度,然而一旦攻擊得手將造成網(wǎng)絡(luò)系統(tǒng)的崩潰、癱瘓,令用戶蒙受較大損失。拒絕服務(wù)攻擊主體將一定數(shù)量與序列的報文傳送至網(wǎng)絡(luò)中令大量的恢復(fù)要求信息運行充斥于服務(wù)器中,導(dǎo)致網(wǎng)絡(luò)帶寬與系統(tǒng)資源被不良消耗,進(jìn)而令其無法正常的服務(wù)運行、甚至不勝負(fù)荷而引發(fā)系統(tǒng)死機(jī)、癱瘓現(xiàn)象。網(wǎng)絡(luò)欺騙主要通過對電子郵件、網(wǎng)頁的偽造誘導(dǎo)用戶錄入關(guān)鍵隱私信息,例如密碼、銀行賬戶、登錄賬戶、信用卡信息等進(jìn)而實現(xiàn)竊取入侵目標(biāo)。對撥號程序的攻擊通過自動撥號進(jìn)行調(diào)制解調(diào)器連接通道的搜尋,以實現(xiàn)入侵目標(biāo)。邏輯炸彈則是計算機(jī)軟件中嵌入的一類指令,可通過觸發(fā)進(jìn)而實現(xiàn)惡意的系統(tǒng)操作。

2 入侵檢測技術(shù)內(nèi)涵

入侵檢測技術(shù)通過對安全日志、人們行為與數(shù)據(jù)的審計、可獲取信息展開操作進(jìn)而檢測到企圖闖入系統(tǒng)的信息,包含檢測、威懾、評估損失狀況、預(yù)測攻擊與支持等。該技術(shù)可以說是防火墻系統(tǒng)技術(shù)的良好補(bǔ)充,可有效輔助系統(tǒng)強(qiáng)化其應(yīng)對異常狀況、非授權(quán)、入侵行為能力,通過實時檢測提供對外部、內(nèi)部攻擊與誤操作的動態(tài)實時保護(hù),是一種安全有效的防護(hù)策略技術(shù),入侵檢測硬件與軟件的完善結(jié)合便構(gòu)成了入侵檢測系統(tǒng)。合理應(yīng)用該技術(shù)可令不良入侵攻擊行為在危害系統(tǒng)之前便被準(zhǔn)確的檢測到,進(jìn)而利用防護(hù)與報警系統(tǒng)將入侵攻擊驅(qū)逐,降低其造成的不良損失。當(dāng)系統(tǒng)被攻擊入侵后我們則應(yīng)通過對入侵信息的全面收集構(gòu)建防范知識系統(tǒng),進(jìn)而提升網(wǎng)絡(luò)系統(tǒng)綜合防范能效。

3 計算機(jī)網(wǎng)絡(luò)安全中科學(xué)應(yīng)用入侵檢測技術(shù)

入侵檢測技術(shù)主要通過對維護(hù)網(wǎng)絡(luò)安全、分析、監(jiān)視系統(tǒng)與用戶活動、審計系統(tǒng)弱點與構(gòu)造、對已知進(jìn)攻模式活動進(jìn)行反應(yīng)識別并報備、分析統(tǒng)計異常行為、對數(shù)據(jù)文件與重要系統(tǒng)完整性進(jìn)行評估、跟蹤審計操作系統(tǒng)實施管理、識別違反安全的活動等行為進(jìn)而確保計算機(jī)網(wǎng)絡(luò)系統(tǒng)的可靠安全。一般來講網(wǎng)絡(luò)檢測入侵系統(tǒng)包含多層次體系結(jié)構(gòu),即、控制與管理層等,控制層承擔(dān)由獲取收集信息職能,并對所受攻擊事項進(jìn)行顯示,進(jìn)而實現(xiàn)對的管理與配置。承擔(dān)對網(wǎng)絡(luò)數(shù)據(jù)包的監(jiān)視職能,并將檢測的數(shù)據(jù)信息、攻擊行為發(fā)送至管理層。管理器承擔(dān)對各類報警與日志的管理,以及對檢測到的攻擊信息與安全信息進(jìn)行顯示,響應(yīng)攻擊警告與配置信息,對控制臺的各類命令進(jìn)行有效執(zhí)行,并令由的警告攻擊信息傳輸至控制臺,最終完成了整體入侵檢測過程。依據(jù)該過程我們制定科學(xué)的入侵檢測技術(shù)應(yīng)用策略。

3.1收集信息策略

應(yīng)用入侵檢測技術(shù)的首要關(guān)鍵因素在于數(shù)據(jù),我們可將檢測數(shù)據(jù)源分為網(wǎng)絡(luò)、系統(tǒng)日志、文件與目錄中不期望更改事項、執(zhí)行程序中不期望各項行為、入侵的物理形式信息等。在應(yīng)用進(jìn)程中對信息的收集應(yīng)位于每一網(wǎng)段之中科學(xué)部署至少一個IDS,依據(jù)相應(yīng)的網(wǎng)絡(luò)結(jié)構(gòu)特征,采集數(shù)據(jù)部分由多樣連接形式構(gòu)成,倘若位于網(wǎng)段中應(yīng)用交換集線器連接,其核心交換機(jī)芯片一般會設(shè)有調(diào)試端口,我們可連接IDS系統(tǒng)于該端口之中。同時設(shè)置入侵檢測系統(tǒng)于防火墻或交換機(jī)內(nèi)部的數(shù)據(jù)流出口或入口,進(jìn)而獲取所有核心關(guān)鍵數(shù)據(jù)。對于網(wǎng)絡(luò)系統(tǒng)中不同類別的信息關(guān)鍵點收集我們不僅應(yīng)依據(jù)檢測對象擴(kuò)充檢測范疇、對網(wǎng)絡(luò)包截取進(jìn)行設(shè)置,同時還需要應(yīng)對薄弱環(huán)節(jié),即來源于統(tǒng)一對象的各項信息可能無法發(fā)掘疑點,因而需要我們在收集入侵信息時,應(yīng)對幾個來源對象信息包含的不一致性展開重點分析,令其作為對可疑、入侵行為科學(xué)判斷的有效標(biāo)識。對于整體計算機(jī)網(wǎng)絡(luò)系統(tǒng)來講,入侵行為相對有限,因此對各類少數(shù)的數(shù)據(jù)異常,我們可令其孤立,進(jìn)而構(gòu)建而成數(shù)據(jù)群展開集中性處理,強(qiáng)化分析入侵行為的針對性。

3.2分析檢測入侵信息

完成收集的信息我們可利用異常分析發(fā)現(xiàn)與匹配模式進(jìn)行綜合數(shù)據(jù)分析,進(jìn)而發(fā)掘與安全策略違背的行為,將其合理發(fā)送至管理器。實踐應(yīng)用中我們應(yīng)對各類系統(tǒng)漏洞、網(wǎng)絡(luò)協(xié)議進(jìn)行清醒深刻認(rèn)識,遵循制定的安全策略與規(guī)則,利用異常檢測與濫用檢測模型進(jìn)行分析過程模擬,合理確認(rèn)識別異常與特征攻擊行為,最終令分析結(jié)構(gòu)構(gòu)建成為報警信息并發(fā)送至管理控制中心。對于TCP/IP協(xié)議網(wǎng)絡(luò),我們還可采用探測引擎技術(shù),應(yīng)用旁路偵聽對網(wǎng)絡(luò)流經(jīng)的所有數(shù)據(jù)包進(jìn)行動態(tài)監(jiān)視,并依據(jù)用戶定義相關(guān)策略展開檢測,有效識別各類網(wǎng)絡(luò)事件并告知控制中心,令其進(jìn)行定位與報警顯示。

3.3響應(yīng)入侵信息

針對入侵信息我們應(yīng)作出準(zhǔn)確反應(yīng),基于數(shù)據(jù)分析基礎(chǔ)檢測本地網(wǎng)段,令數(shù)據(jù)包中隱藏的惡意入侵準(zhǔn)確發(fā)掘出來,并及時作出響應(yīng)。該環(huán)節(jié)涵蓋告警網(wǎng)絡(luò)引擎、通知控制臺、發(fā)送郵件于安全管理人員、對實時會話進(jìn)行查看并通報制控制臺,對現(xiàn)場事件如實記錄日志,并采取相應(yīng)安全行為進(jìn)行網(wǎng)絡(luò)配置的合理調(diào)整、終止不良入侵,對特定用戶相應(yīng)程序進(jìn)行合理執(zhí)行。另外我們可促進(jìn)防火墻與入侵檢測技術(shù)的優(yōu)勢結(jié)合應(yīng)用,創(chuàng)設(shè)兩者的協(xié)同模型及安全網(wǎng)絡(luò)防護(hù)體系。令兩者共同開放接口并依據(jù)固定協(xié)議展開通信,實現(xiàn)對端口進(jìn)行約定。防火墻應(yīng)用過濾機(jī)制對流經(jīng)數(shù)據(jù)包展開解析并令其同事先完成定義的規(guī)則展開對比,進(jìn)而令非授信數(shù)據(jù)包準(zhǔn)確過濾。對于繞過防火墻的數(shù)據(jù)包我們可利用入侵檢測技術(shù)依據(jù)一致特征規(guī)則集進(jìn)行網(wǎng)絡(luò)攻擊檢測并做出及時響應(yīng),確保對各類入侵攻擊的有效防御。

4結(jié)論

總之,基于網(wǎng)絡(luò)入侵不良影響我們只有主力研究如何有效防范網(wǎng)絡(luò)入侵,科學(xué)檢查、預(yù)測攻擊行為,基于入侵檢測思想進(jìn)行實時動態(tài)監(jiān)控,才能防患于未然令攻擊影響消失在萌芽狀態(tài),進(jìn)一步阻礙不良攻擊事件的發(fā)生及擴(kuò)大,進(jìn)而真正創(chuàng)設(shè)優(yōu)質(zhì)、高效可靠的網(wǎng)絡(luò)運行環(huán)境。

參考文獻(xiàn)