計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)論文(2)
計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)論文篇二
計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)探討
摘要介紹了 計(jì)算 機(jī) 網(wǎng)絡(luò) 入侵檢測(cè)技術(shù)的概念、功能和檢測(cè) 方法 ,描述了 目前 采用的入侵檢測(cè)技術(shù)及其 發(fā)展 方向。
關(guān)鍵詞入侵檢測(cè)異常檢測(cè)誤用檢測(cè)
在網(wǎng)絡(luò)技術(shù)日新月異的今天,代寫 論文基于網(wǎng)絡(luò)的 計(jì)算機(jī) 應(yīng)用 已經(jīng)成為發(fā)展的主流。政府、 教育 、商業(yè)、 金融 等機(jī)構(gòu)紛紛聯(lián)入Internet,全 社會(huì) 信息共享已逐步成為現(xiàn)實(shí)。然而,近年來,網(wǎng)上黑客的攻擊活動(dòng)正以每年10倍的速度增長(zhǎng)。因此,保證計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)以及整個(gè)信息基礎(chǔ)設(shè)施的安全已經(jīng)成為刻不容緩的重要課題。
1 防火墻
目前防范網(wǎng)絡(luò)攻擊最常用的方法是構(gòu)建防火墻。
防火墻作為一種邊界安全的手段,在網(wǎng)絡(luò)安全保護(hù)中起著重要作用。其主要功能是控制對(duì)網(wǎng)絡(luò)的非法訪問,通過監(jiān)視、限制、更改通過網(wǎng)絡(luò)的數(shù)據(jù)流,一方面盡可能屏蔽內(nèi)部網(wǎng)的拓?fù)浣Y(jié)構(gòu),另一方面對(duì)內(nèi)屏蔽外部危險(xiǎn)站點(diǎn),以防范外對(duì)內(nèi)的非法訪問。然而,防火墻存在明顯的局限性。
(1)入侵者可以找到防火墻背后可能敞開的后門。如同深宅大院的高大院墻不能擋住老鼠的偷襲一樣,防火墻有時(shí)無法阻止入侵者的攻擊。
(2)防火墻不能阻止來自內(nèi)部的襲擊。調(diào)查發(fā)現(xiàn),50%的攻擊都將來自于網(wǎng)絡(luò)內(nèi)部。
(3)由于性能的限制,防火墻通常不能提供實(shí)時(shí)的入侵檢測(cè)能力。代寫畢業(yè)論文 而這一點(diǎn),對(duì)于層出不窮的網(wǎng)絡(luò)攻擊技術(shù)來說是至關(guān)重要的。
因此,在Internet入口處部署防火墻系統(tǒng)是不能確保安全的。單純的防火墻策略已經(jīng)無法滿足對(duì)安全高度敏感部門的需要,網(wǎng)絡(luò)的防衛(wèi)必須采用一種縱深的、多樣化的手段。
由于傳統(tǒng)防火墻存在缺陷,引發(fā)了入侵檢測(cè)IDS(Intrusion Detection System)的 研究 和開發(fā)。入侵檢測(cè)是防火墻之后的第二道安全閘門,是對(duì)防火墻的合理補(bǔ)充,在不 影響 網(wǎng)絡(luò)性能的情況下,通過對(duì)網(wǎng)絡(luò)的監(jiān)測(cè),幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊,擴(kuò)展系統(tǒng) 管理員的安全管理能力(包括安全 審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)),提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性,提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。現(xiàn)在,入侵檢測(cè)已經(jīng)成為網(wǎng)絡(luò)安全中一個(gè)重要的研究方向,在各種不同的網(wǎng)絡(luò) 環(huán)境中發(fā)揮重要作用。
2 入侵檢測(cè)
2.1 入侵檢測(cè)
入侵檢測(cè)是通過從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行 分析 ,從中發(fā)現(xiàn)違反安全策略的行為和遭到攻擊的跡象,并做出自動(dòng)的響應(yīng)。其主要功能是對(duì)用戶和系統(tǒng)行為的監(jiān)測(cè)與分析、系統(tǒng)配置和漏洞的審計(jì)檢查、重要系統(tǒng)和數(shù)據(jù)文件的完整性評(píng)估、已知的攻擊行為模式的識(shí)別、異常行為模式的 統(tǒng)計(jì)分析、操作系統(tǒng)的審計(jì)跟蹤管理及違反安全策略的用戶行為的識(shí)別。入侵檢測(cè)通過迅速地檢測(cè)入侵,在可能造成系統(tǒng)損壞或數(shù)據(jù)丟失之前,識(shí)別并驅(qū)除入侵者,使系統(tǒng)迅速恢復(fù)正常 工作,并且阻止入侵者進(jìn)一步的行動(dòng)。同時(shí),收集有關(guān)入侵的技術(shù)資料,用于改進(jìn)和增強(qiáng)系統(tǒng)抵抗入侵的能力。
入侵檢測(cè)可分為基于主機(jī)型、基于網(wǎng)絡(luò)型、基于代理型三類。從20世紀(jì)90年代至今,代寫 英語 論文 已經(jīng)開發(fā)出一些入侵檢測(cè)的產(chǎn)品,其中比較有代表性的產(chǎn)品有ISS(Intemet Security System)公司的Realsecure,NAI(Network Associates,Inc)公司的Cybercop和Cisco公司的NetRanger。
2.2 檢測(cè)技術(shù)
入侵檢測(cè)為網(wǎng)絡(luò)安全提供實(shí)時(shí)檢測(cè)及攻擊行為檢測(cè),并采取相應(yīng)的防護(hù)手段。例如,實(shí)時(shí)檢測(cè)通過記錄證據(jù)來進(jìn)行跟蹤、恢復(fù)、斷開網(wǎng)絡(luò)連接等控制;攻擊行為檢測(cè)注重于發(fā)現(xiàn)信息系統(tǒng)中可能已經(jīng)通過身份檢查的形跡可疑者,進(jìn)一步加強(qiáng)信息系統(tǒng)的安全力度。入侵檢測(cè)的步驟如下:
收集系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為的信息
入侵檢測(cè)一般采用分布式結(jié)構(gòu),在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)(不同網(wǎng)段和不同主機(jī))收集信息,一方面擴(kuò)大檢測(cè)范圍,另一方面通過多個(gè)采集點(diǎn)的信息的比較來判斷是否存在可疑現(xiàn)象或發(fā)生入侵行為。
入侵檢測(cè)所利用的信息一般來自以下4個(gè)方面:系統(tǒng)和網(wǎng)絡(luò)日志文件、目錄和文件中的不期望的改變、程序執(zhí)行中的不期望行為、物理形式的入侵信息。
(2)根據(jù)收集到的信息進(jìn)行分析
常用的分析方法有模式匹配、統(tǒng)計(jì)分析、完整性分析。模式匹配是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫(kù)進(jìn)行比較,從而發(fā)現(xiàn)違背安全策略的行為。
統(tǒng)計(jì)分析方法首先給系統(tǒng)對(duì)象(如用戶、文件、目錄和設(shè)備等)創(chuàng)建一個(gè)統(tǒng)計(jì)描述,統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性。測(cè)量屬性的平均值將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較。當(dāng)觀察值超出正常值范圍時(shí),就有可能發(fā)生入侵行為。該方法的難點(diǎn)是閾值的選擇,閾值太小可能產(chǎn)生錯(cuò)誤的入侵 報(bào)告,閾值太大可能漏報(bào)一些入侵事件。
完整性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓?,包括文件和目錄?內(nèi)容 及屬性。該方法能有效地防范特洛伊木馬的攻擊。
3 分類及存在的 問題
入侵檢測(cè)通過對(duì)入侵和攻擊行為的檢測(cè),查出系統(tǒng)的入侵者或合法用戶對(duì)系統(tǒng)資源的濫用和誤用。代寫工作 總結(jié) 根據(jù)不同的檢測(cè)方法,將入侵檢測(cè)分為異常入侵檢測(cè)(Anomaly Detection)和誤用人侵檢測(cè)(Misuse Detection)。
3.1 異常檢測(cè)
又稱為基于行為的檢測(cè)。其基本前提是:假定所有的入侵行為都是異常的。首先建立系統(tǒng)或用戶的“正常”行為特征輪廓,通過比較當(dāng)前的系統(tǒng)或用戶的行為是否偏離正常的行為特征輪廓來判斷是否發(fā)生了入侵。此方法不依賴于是否表現(xiàn)出具體行為來進(jìn)行檢測(cè),是一種間接的方法。
常用的具體方法有:統(tǒng)計(jì)異常檢測(cè)方法、基于特征選擇異常檢測(cè)方法、基于貝葉斯推理異常檢測(cè)方法、基于貝葉斯網(wǎng)絡(luò)異常檢測(cè)方法、基于模式預(yù)測(cè)異常檢測(cè)方法、基于神經(jīng)網(wǎng)絡(luò)異常檢測(cè)方法、基于機(jī)器 學(xué)習(xí) 異常檢測(cè)方法、基于數(shù)據(jù)采掘異常檢測(cè)方法等。
采用異常檢測(cè)的關(guān)鍵問題有如下兩個(gè)方面:
(1)特征量的選擇
在建立系統(tǒng)或用戶的行為特征輪廓的正常模型時(shí),選取的特征量既要能準(zhǔn)確地體現(xiàn)系統(tǒng)或用戶的行為特征,又能使模型最優(yōu)化,即以最少的特征量就能涵蓋系統(tǒng)或用戶的行為特征。
(2) 參考 閾值的選定
由于異常檢測(cè)是以正常的特征輪廓作為比較的參考基準(zhǔn),因此,參考閾值的選定是非常關(guān)鍵的。
閾值設(shè)定得過大,那漏警率會(huì)很高;閾值設(shè)定的過小,則虛警率就會(huì)提高。合適的參考閾值的選定是決定這一檢測(cè) 方法 準(zhǔn)確率的至關(guān)重要的因素。
由此可見,異常檢測(cè)技術(shù)難點(diǎn)是“正常”行為特征輪廓的確定、特征量的選取、特征輪廓的更新。由于這幾個(gè)因素的制約,異常檢測(cè)的虛警率很高,但對(duì)于未知的入侵行為的檢測(cè)非常有效。此外,由于需要實(shí)時(shí)地建立和更新系統(tǒng)或用戶的特征輪廓,這樣所需的 計(jì)算 量很大,對(duì)系統(tǒng)的處理性能要求很高。
3.2 誤用檢測(cè)
又稱為基于知識(shí)的檢測(cè)。其基本前提是:假定所有可能的入侵行為都能被識(shí)別和表示。首先,代寫留學(xué)生 論文 對(duì)已知的攻擊方法進(jìn)行攻擊簽名(攻擊簽名是指用一種特定的方式來表示已知的攻擊模式)表示,然后根據(jù)已經(jīng)定義好的攻擊簽名,通過判斷這些攻擊簽名是否出現(xiàn)來判斷入侵行為的發(fā)生與否。這種方法是依據(jù)是否出現(xiàn)攻擊簽名來判斷入侵行為,是一種直接的方法。
常用的具體方法有:基于條件概率誤用入侵檢測(cè)方法、基于專家系統(tǒng)誤用入侵檢測(cè)方法、基于狀態(tài)遷移 分析 誤用入侵檢測(cè)方法、基于鍵盤監(jiān)控誤用入侵檢測(cè)方法、基于模型誤用入侵檢測(cè)方法。誤用檢測(cè)的關(guān)鍵 問題 是攻擊簽名的正確表示。
誤用檢測(cè)是根據(jù)攻擊簽名來判斷入侵的,根據(jù)對(duì)已知的攻擊方法的了解,用特定的模式 語言來表示這種攻擊,使得攻擊簽名能夠準(zhǔn)確地表示入侵行為及其所有可能的變種,同時(shí)又不會(huì)把非入侵行為包含進(jìn)來。由于多數(shù)入侵行為是利用系統(tǒng)的漏洞和 應(yīng)用 程序的缺陷,因此,通過分析攻擊過程的特征、條件、排列以及事件間的關(guān)系,就可具體描述入侵行為的跡象。這些跡象不僅對(duì)分析已經(jīng)發(fā)生的入侵行為有幫助,而且對(duì)即將發(fā)生的入侵也有預(yù)警作用。
誤用檢測(cè)將收集到的信息與已知的攻擊簽名模式庫(kù)進(jìn)行比較,從中發(fā)現(xiàn)違背安全策略的行為。由于只需要收集相關(guān)的數(shù)據(jù),這樣系統(tǒng)的負(fù)擔(dān)明顯減少。該方法類似于病毒檢測(cè)系統(tǒng),其檢測(cè)的準(zhǔn)確率和效率都比較高。但是它也存在一些缺點(diǎn)。
3.2.1 不能檢測(cè)未知的入侵行為
由于其檢測(cè)機(jī)理是對(duì)已知的入侵方法進(jìn)行模式提取,對(duì)于未知的入侵方法就不能進(jìn)行有效的檢測(cè)。也就是說漏警率比較高。
3.2.2 與系統(tǒng)的相關(guān)性很強(qiáng)
對(duì)于不同實(shí)現(xiàn)機(jī)制的操作系統(tǒng),由于攻擊的方法不盡相同,很難定義出統(tǒng)一的模式庫(kù)。另外,誤用檢測(cè)技術(shù)也難以檢測(cè)出內(nèi)部人員的入侵行為。
目前 ,由于誤用檢測(cè)技術(shù)比較成熟,多數(shù)的商業(yè)產(chǎn)品都主要是基于誤用檢測(cè)模型的。不過,為了增強(qiáng)檢測(cè)功能,不少產(chǎn)品也加入了異常檢測(cè)的方法。
4 入侵檢測(cè)的 發(fā)展 方向
隨著信息系統(tǒng)對(duì)一個(gè)國(guó)家的 社會(huì) 生產(chǎn)與國(guó)民 經(jīng)濟(jì) 的 影響 越來越大,再加上 網(wǎng)絡(luò) 攻擊者的攻擊工具與手法日趨復(fù)雜化,信息戰(zhàn)已逐步被各個(gè)國(guó)家重視。近年來,入侵檢測(cè)有如下幾個(gè)主要發(fā)展方向:
4.1 分布式入侵檢測(cè)與通用入侵檢測(cè)架構(gòu)
傳統(tǒng)的IDS一般局限于單一的主機(jī)或網(wǎng)絡(luò)架構(gòu),對(duì)異構(gòu)系統(tǒng)及大規(guī)模的網(wǎng)絡(luò)的監(jiān)測(cè)明顯不足,再加上不同的IDS系統(tǒng)之間不能很好地協(xié)同 工作。為解決這一問題,需要采用分布式入侵檢測(cè)技術(shù)與通用入侵檢測(cè)架構(gòu)。
4.2應(yīng)用層入侵檢測(cè)
許多入侵的語義只有在應(yīng)用層才能理解,然而目前的IDS僅能檢測(cè)到諸如Web之類的通用協(xié)議,而不能處理Lotus Notes、數(shù)據(jù)庫(kù)系統(tǒng)等其他的應(yīng)用系統(tǒng)。許多基于客戶/服務(wù)器結(jié)構(gòu)、中間件技術(shù)及對(duì)象技術(shù)的大型應(yīng)用,也需要應(yīng)用層的入侵檢測(cè)保護(hù)。
4.3 智能的入侵檢測(cè)
入侵方法越來越多樣化與綜合化,盡管已經(jīng)有智能體、神經(jīng)網(wǎng)絡(luò)與遺傳算法在入侵檢測(cè)領(lǐng)域應(yīng)用 研究 ,但是,這只是一些嘗試性的研究工作,需要對(duì)智能化的IDS加以進(jìn)一步的研究,以解決其自 學(xué)習(xí) 與自適應(yīng)能力。
4.4 入侵檢測(cè)的評(píng)測(cè)方法
用戶需對(duì)眾多的IDS系統(tǒng)進(jìn)行評(píng)價(jià),評(píng)價(jià)指標(biāo)包括IDS檢測(cè)范圍、系統(tǒng)資源占用、IDS自身的可靠性,從而設(shè)計(jì)出通用的入侵檢測(cè)測(cè)試與評(píng)估方法與平臺(tái),實(shí)現(xiàn)對(duì)多種IDS的檢測(cè)。
4.5 全面的安全防御方案
結(jié)合安全工程風(fēng)險(xiǎn) 管理的思想與方法來處理網(wǎng)絡(luò)安全問題,將網(wǎng)絡(luò)安全作為一個(gè)整體工程來處理。從管理、網(wǎng)絡(luò)結(jié)構(gòu)、加密通道、防火墻、病毒防護(hù)、入侵檢測(cè)多方位全面對(duì)所關(guān)注的網(wǎng)絡(luò)作全面的評(píng)估,然后提出可行的全面解決方案。
綜上所述,入侵檢測(cè)作為一種積極主動(dòng)的安全防護(hù)技術(shù),提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù),使網(wǎng)絡(luò)系統(tǒng)在受到危害之前即攔截和響應(yīng)入侵行為,為網(wǎng)絡(luò)安全增加一道屏障。隨著入侵檢測(cè)的研究與開發(fā),并在實(shí)際應(yīng)用中與其它網(wǎng)絡(luò)管理 軟件相結(jié)合,使網(wǎng)絡(luò)安全可以從立體縱深、多層次防御的角度出發(fā),形成人侵檢測(cè)、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)監(jiān)控三位一體化,從而更加有效地保護(hù)網(wǎng)絡(luò)的安全。
參考 文獻(xiàn)
l 吳新民.兩種典型的入侵檢測(cè)方法研究. 計(jì)算機(jī)工程與應(yīng)用,2002;38(10):181—183
2 羅妍,李仲麟,陳憲.入侵檢測(cè)系統(tǒng)模型的比較.計(jì)算機(jī)應(yīng)用,2001;21(6):29~31
3 李渙洲.網(wǎng)絡(luò)安全與入侵檢測(cè)技術(shù).四川師范大學(xué)學(xué)報(bào).2001;24(3):426—428
4 張慧敏,何軍,黃厚寬.入侵檢測(cè)系統(tǒng).計(jì)算機(jī)應(yīng)用研究,2001;18(9):38—4l
5 蔣建春,馮登國(guó).網(wǎng)絡(luò)入侵檢測(cè)原理與技術(shù).北京:國(guó)防 工業(yè) 出版社,2001
6 粱曉誠(chéng).入侵檢測(cè)方法研究.桂林 工學(xué)院學(xué)報(bào),2000;20(7):303— 306.
看了“計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)論文”的人還看:
1.關(guān)于網(wǎng)絡(luò)入侵檢測(cè)技術(shù)論文
3.計(jì)算機(jī)網(wǎng)絡(luò)信息安全的論文三篇