《计算机网络入侵检测技术探讨》由会员分享,可在线阅读,更多相关《计算机网络入侵检测技术探讨(7页珍藏版)》请在金锄头文库上搜索。
1、摘要介绍了 计算 机网络入侵检测技术的概念、 功能和检测方法, 描述了目前采用的入侵检测 技术及其 发展 方向。关键词入侵检测异常检测误用检测在网络技术日新月异的今天,代写 论文 基于网络的计算机应用已经成为发展的主流。政府、 教育、商业、金融等机构纷纷联入In ternet,全社会信息共享已逐步成为现实。然而,近年 来,网上黑客的攻击活动正以每年 10 倍的速度增长。因此,保证计算机系统、网络系统以 及整个信息基础设施的安全已经成为刻不容缓的重要课题。1 防火墙目前防范网络攻击最常用的方法是构建防火墙。 防火墙作为一种边界安全的手段, 在网络安全保护中起着重要作用。 其主要功能是控制对网 络
2、的非法访问, 通过监视、限制、更改通过网络的数据流,一方面尽可能屏蔽内部网的拓扑 结构, 另一方面对内屏蔽外部危险站点, 以防范外对内的非法访问。然而, 防火墙存在明显 的局限性。(1) 入侵者可以找到防火墙背后可能敞开的后门。如同深宅大院的高大院墙不能挡住老鼠的 偷袭一样,防火墙有时无法阻止入侵者的攻击。(2) 防火墙不能阻止来自内部的袭击。调查发现,50的攻击都将来自于网络内部。(3) 由于性能的限制,防火墙通常不能提供实时的入侵检测能力。代写毕业论文而这一点,对于层出不穷的网络攻击技术来说是至关重要的。因此,在 Internet 入口处部署防火墙系统是不能确保安全的。单纯的防火墙策略已经
3、无法满 足对安全高度敏感部门的需要,网络的防卫必须采用一种纵深的、多样化的手段。 由于传统防火墙存在缺陷,引发了入侵检测 IDS(Intrusion Detection System) 的研究和开发。 入侵检测是防火墙之后的第二道安全闸门, 是对防火墙的合理补充, 在不影响网络性能的情 况下,通过对网络的监测,帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高信息安全基础结构的完整性,提供对内部攻击、外部攻击和误操作的实时保护。现在,入侵检测已经成为网络安全中一个重要的研究方向, 在各种不同的网络环境中发挥重要作用。2 入侵检测2 1 入侵检测 入侵
4、检测是通过从计算机网络系统中的若干关键点收集信息并对其进行分析,从中发现违反安全策略的行为和遭到攻击的迹象, 并做出自动的响应。 其主要功能是对用户和系统行为的 监测与分析、 系统配置和漏洞的审计检查、 重要系统和数据文件的完整性评估、 已知的攻击 行为模式的识别、 异常行为模式的统计分析、 操作系统的审计跟踪管理及违反安全策略的用 户行为的识别。 入侵检测通过迅速地检测入侵, 在可能造成系统损坏或数据丢失之前, 识别 并驱除入侵者, 使系统迅速恢复正常工作,并且阻止入侵者进一步的行动。同时, 收集有关入侵的技术资料,用于改进和增强系统抵抗入侵的能力。入侵检测可分为基于主机型、基于网络型、基于
5、代理型三类。从 20 世纪 90 年代至今, 代写英语论文 已经开发出一些入侵检测的产品, 其中比较有代表性的产品有 ISS(Intemet Security System)公司的 Realsecure, NAI(Network Associates, Inc)公司的 Cybercop 和 Cisco 公司的 NetRanger。2 2 检测技术 入侵检测为网络安全提供实时检测及攻击行为检测,并采取相应的防护手段。 例如, 实时检测通过记录证据来进行跟踪、 恢复、 断开网络连接等控制; 攻击行为检测注重于发现信息系 统中可能已经通过身份检查的形迹可疑者, 进一步加强信息系统的安全力度。 入侵检
6、测的步 骤如下:收集系统、网络、数据及用户活动的状态和行为的信息 入侵检测一般采用分布式结构,在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息,一方面扩大检测范围,另一方面通过多个采集点的信息的比较来判断是否存 在可疑现象或发生入侵行为。入侵检测所利用的信息一般来自以下 4 个方面: 系统和网络日志文件、 目录和文件中的不期 望的改变、程序执行中的不期望行为、物理形式的入侵信息。(2)根据收集到的信息进行分析 常用的分析方法有模式匹配、 统计分析、 完整性分析。 模式匹配是将收集到的信息与已知的 网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。 统计分析方法首
7、先给系统对象 (如用户、文件、目录和设备等 ) 创建一个统计描述,统计正常 使用时的一些测量属性。 测量属性的平均值将被用来与网络、 系统的行为进行比较。 当观察 值超出正常值范围时, 就有可能发生入侵行为。 该方法的难点是阈值的选择, 阈值太小可能 产生错误的入侵报告,阈值太大可能漏报一些入侵事件。完整性分析主要关注某个文件或对象是否被更改, 包括文件和目录的内容及属性。 该方法能 有效地防范特洛伊木马的攻击。3 分类及存在的问题 入侵检测通过对入侵和攻击行为的检测, 查出系统的入侵者或合法用户对系统资源的滥用和 误用。代写工作 总结 根据不同的检测方法,将入侵检测分为异常入侵检测 (Ano
8、maly Detectio n)和误用人侵检测(Misuse Detect ion)。3 1 异常检测 又称为基于行为的检测。 其基本前提是: 假定所有的入侵行为都是异常的。 首先建立系统或 用户的 “正常 ”行为特征轮廓, 通过比较当前的系统或用户的行为是否偏离正常的行为特征轮 廓来判断是否发生了入侵。 此方法不依赖于是否表现出具体行为来进行检测, 是一种间接的 方法。常用的具体方法有: 统计异常检测方法、 基于特征选择异常检测方法、 基于贝叶斯推理异常 检测方法、 基于贝叶斯网络异常检测方法、 基于模式预测异常检测方法、 基于神经网络异常 检测方法、基于机器学习异常检测方法、基于数据采掘异
9、常检测方法等。采用异常检测的关键问题有如下两个方面: (1)特征量的选择在建立系统或用户的行为特征轮廓的正常模型时, 选取的特征量既要能准确地体现系统或用 户的行为特征,又能使模型最优化,即以最少的特征量就能涵盖系统或用户的行为特征。2)参考 阈值的选定 由于异常检测是以正常的特征轮廓作为比较的参考基准,因此, 参考阈值的选定是非常关键的。阈值设定得过大,那漏警率会很高; 阈值设定的过小,则虚警率就会提高。 合适的参考阈值 的选定是决定这一检测方法准确率的至关重要的因素。由此可见, 异常检测技术难点是 “正常 ”行为特征轮廓的确定、 特征量的选取、特征轮廓的更 新。由于这几个因素的制约, 异常
10、检测的虚警率很高, 但对于未知的入侵行为的检测非常有 效。此外, 由于需要实时地建立和更新系统或用户的特征轮廓,这样所需的 计算 量很大,对 系统的处理性能要求很高。32 误用检测又称为基于知识的检测。 其基本前提是: 假定所有可能的入侵行为都能被识别和表示。 首先, 代写留学生 论文 对已知的攻击方法进行攻击签名 (攻击签名是指用一种特定的方式来表示 已知的攻击模式 ) 表示,然后根据已经定义好的攻击签名,通过判断这些攻击签名是否出现 来判断入侵行为的发生与否。 这种方法是依据是否出现攻击签名来判断入侵行为, 是一种直 接的方法。常用的具体方法有: 基于条件概率误用入侵检测方法、 基于专家系
11、统误用入侵检测方法、 基 于状态迁移分析误用入侵检测方法、 基于键盘监控误用入侵检测方法、 基于模型误用入侵检 测方法。误用检测的关键问题是攻击签名的正确表示。误用检测是根据攻击签名来判断入侵的, 根据对已知的攻击方法的了解, 用特定的模式语言 来表示这种攻击, 使得攻击签名能够准确地表示入侵行为及其所有可能的变种, 同时又不会 把非入侵行为包含进来。 由于多数入侵行为是利用系统的漏洞和应用程序的缺陷, 因此, 通 过分析攻击过程的特征、 条件、 排列以及事件间的关系, 就可具体描述入侵行为的迹象。这 些迹象不仅对分析已经发生的入侵行为有帮助,而且对即将发生的入侵也有预警作用。 误用检测将收集
12、到的信息与已知的攻击签名模式库进行比较,从中发现违背安全策略的行 为。由于只需要收集相关的数据,这样系统的负担明显减少。该方法类似于病毒检测系统, 其检测的准确率和效率都比较高。但是它也存在一些缺点。32 1 不能检测未知的入侵行为由于其检测机理是对已知的入侵方法进行模式提取, 对于未知的入侵方法就不能进行有效的 检测。也就是说漏警率比较高。32 2 与系统的相关性很强对于不同实现机制的操作系统, 由于攻击的方法不尽相同, 很难定义出统一的模式库。 另外, 误用检测技术也难以检测出内部人员的入侵行为。目前,由于误用检测技术比较成熟,多数的商业产品都主要是基于误用检测模型的。不过, 为了增强检测
13、功能,不少产品也加入了异常检测的方法。4 入侵检测的 发展 方向 随着信息系统对一个国家的社会生产与国民 经济的影响越来越大, 再加上 网络攻击者的攻击 工具与手法日趋复杂化, 信息战已逐步被各个国家重视。 近年来, 入侵检测有如下几个主要 发展方向:4 1 分布式入侵检测与通用入侵检测架构传统的 IDS 一般局限于单一的主机或网络架构,对异构系统及大规模的网络的监测明显不 足,再加上不同的 IDS 系统之间不能很好地协同工作。为解决这一问题,需要采用分布式 入侵检测技术与通用入侵检测架构。42 应用层入侵检测 许多入侵的语义只有在应用层才能理解,然而目前的 IDS 仅能检测到诸如 Web 之
14、类的通用 协议,而不能处理 Lotus Notes、数据库系统等其他的应用系统。许多基于客户/服务器结 构、中间件技术及对象技术的大型应用,也需要应用层的入侵检测保护。43 智能的入侵检测入侵方法越来越多样化与综合化, 尽管已经有智能体、 神经网络与遗传算法在入侵检测领域 应用研究,但是,这只是一些尝试性的研究工作,需要对智能化的IDS 加以进一步的研究,以解决其自学习与自适应能力。44 入侵检测的评测方法用户需对众多的 IDS 系统进行评价,评价指标包括 IDS 检测范围、系统资源占用、 IDS 自 身的可靠性,从而设计出通用的入侵检测测试与评估方法与平台,实现对多种IDS 的检测。45 全
15、面的安全防御方案结合安全工程风险管理的思想与方法来处理网络安全问题,将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、入侵检测多方位全面对所关注的 网络作全面的评估,然后提出可行的全面解决方案。综上所述,入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,使网络系统在受到危害之前即拦截和响应入侵行为,为网络安全增加一道屏障。随着入侵检测的研究与开发,并在实际应用中与其它网络管理软件相结合,使网络安全可以从立体纵深、多层次防御的角度出发,形成人侵检测、网络管理、网络监控三位一体 化,从而更加有效地保护网络的安全。参考文献2002;
16、38(10): 181 1832001; 21(6): 29312001 ; 24(3): 426 4282001 ; 18(9): 38 4I工业出版社,2001I吴新民两种典型的入侵检测方法研究计算机工程与应用, 2罗妍,李仲麟,陈宪入侵检测系统模型的比较计算机应用, 3李涣洲网络安全与入侵检测技术四川师范大学学报.4张慧敏,何军,黄厚宽.入侵检测系统计算机应用研究,5蒋建春,冯登国网络入侵检测原理与技术北京:国防6粱晓诚入侵检测方法研究桂林工学院学报,2000; 20:303 306.论文关键词网络故障 网络维护 分类 解决办法论文摘要网络故障极为普遍,网络故障的种类也多种多样,要在网络出现故障时及时对
