论文部分内容阅读
【摘要】 入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,本文对入侵检测技术的未来技术走向进行探讨,从而通过了解入侵检测技术可以对校园中的网络改进。
【关键词】 入侵检测技术;网络安全
【中图分类号】 TP301【文献标识码】 B【文章编号】 1005-1074(2008)04-0116-01
随着计算机技术和通讯技术的迅速发展,网络正逐步改变着人们的工作方式和生活方式,网络的开放性、互连性、共享性程度的扩大,特别是Internet的出现,使网络的重要性和对社会的影响也越来越大,网络安全问题也变得越来越重要。公司一般通过安装防火培来保护网络安全,利用防火墙技术,经过仔细、正确地配置,通常能够在公司内、外部网之间提供安全的网络保护,降低网络安全风险。但是入侵者可绕过防火墙.寻找可能敞开的后门;入侵者可能就在防火墙内。
1 入侵检测技术的概念和模型
1.1 入侵检测 是通过收集操作系统、系统程序、应用程序、网络包等信息,发现系统中违背安全策略或危及系统安全的行为。具有入侵检测功能的系统称为入侵检测系统),包括入侵检测的软件系统和硬件系统。入侵检测的内容可分为:试图闯入、成功闯入、冒充其它用户、违反安全策略、合法用户的泄露、独占资源和恶意使用等。
1.2 入侵检测系统的模型:入侵检测系统模型包括6个主要的部分 ①主体:在目标系统上活动的实体,通常指用户;②对象:指资源,由系统文件、设备、命令等占有;③审计记录:由构成的六元组.活动(Action)是主体对对象(Object)的操作;④活动档案:即系统正常行为模型,保存系统正常活动的相关信息;⑤异常记录:由组成.表示异常事件的发生情况:⑥活动规则:一组根据产生的异常记录来判断入侵是否发生的规则集合。
2 入侵检测过程分析和布置
2.1 入侵检测过程分类 入侵检测的过程分为两步:①信息收集;②信号分析。信息收集内容主要包括网络、系统、数据及用户活动的状态和行为。
2.2 入侵检测过程的信息收集 入侵检测利用的信息一般来自以下四个方面:①网络和系统日志文件;②目录和文件中的不期望的改变;③程序执行中的不期望行为;④物理形式的入侵信息。
2.3 入侵检测过程的信号分析
我们对收集到的有关网络、系统、数据及用户活动的状态和行为等信息,一般通过三种技术手段进行分析:模式匹配、统计分析和完整性分析:其中前两种方法用于实时的入侵检测,而后一种方法则用于事后分析。实时的入侵检测是在网络连接过程中进行,系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断,一旦发现入侵迹象立即断开入侵者与主机的连接,并收集证据和实施数据恢复,这个检测过程是不断循环进行的;而事后入侵检测由网络管理人员进行(具有网络安全的专业知识),他们根据计算机系统对用户操作所做的历史审计记录判断用户是否具有人侵行为,如果有就断开连接,并记录入侵证据和进行数据恢复。事后入侵检测是管理员定期或不定期进行的。不具有实时胜,因此防御入侵的能力不如实时入侵检测系统。①模式匹配;②统计分析;③完整性分析。
3 入侵检测技术种类及常用的入侵检测方法
根据检测方法,入侵检测技术主要可以分为两种:误用检测和异常检测。大部分现有入侵检测工具都使用误用检测方法。另外,还有一种完整性分析的检测方法,主要对系统中的文件或对象的完整性进行检查,从而判断是否有入侵。
3.1 误用入侵检测(VIisuse Detection) 主要是通过某种预先定义入侵行为,然后监视系统的运行,并从中找出符合预先定义规则的入侵行为,进而发现相同的攻击。
3.2 异常入侵检测(Abnornml Detection) 首先通过多种方法建立正常或有效行为的模型,在检测时把当前行为与正常模型进行比较,如果比较结果有一定的偏离,则报警异常。
3.3 常用的入侵检测方法
3.3.1 基于专家系统 该系统最显著的特征是采用一定的规则表示攻击的行为,把根据规则进行的推理过程从解决问题的过程中分离出来。
3.3.2 基于误用预测系统 它推测的依据是一系列的外部事件,最后得到发生攻击的概率。
3.3.3 基于状态转换分析方法 主要是把攻击行为描述成系统一系列状态的转化,通过监视系统状态来找出攻击。
3.3.4 基于模式匹配方法 用一定的模式描述来提取攻击的主要特征,通过匹配机制从审计事件中发现攻击。
3.3.5 基于统计学方法的异常检测方法 这种系统使用统计学的方法来学习和检测用户的行为。
3.3.6 基于神经网络的异常检测方法 这种系统学习算法利用神经网络紧密地模仿用户行为,并且根据最近的变化进行调整。
3.3.7 基于免疫的检测 运用自然免疫系统的特性到网络安全系统中,使整个系统具有适应性、自我调节性、可扩展性。
3.4 入侵检测的新技术 数据挖掘技术被Wenke.Lee用在了入侵检测中。用数据挖掘程序处理搜集到的审计数据,为各种入侵行为和正常操作建立精确的行为模式,这个过程是一个自动的过程,不需要人工分析和编码入侵模式。
3.5 入侵检测方法
3.5.1 基于用户行为概率统计模型的入侵检测方法 这种入侵检测方法是基于对用户历史行为建模,以及在早期的证据或模型的基础上,审计系统实时的检测用户对系统的使用情况。
3.5.2 基于神经网络的入侵检测方法 这种方法是利用神经网络技术来进行入侵检测。因此,这种力法对用户行为具有学习和自适功能,能够根据实际检测到的信息有效地加以处理并做出入侵可能性的判断。
3.5.3 基于专家系统的入侵检测技术 该技术根据安全专家对可疑行为进行分析的经验来形成一套推理规则。然后在此基础上建立相应的专家系统,由此专家系统自动对所涉及的入侵行为进行分析。该系统应当能够随着经验的积累而利用其自学习能力进行规则的扩充和修正。
3.5.4 基于模型推理的入侵检测技术 该技术根据入侵者在进行人侵时所执行程序的某些行为特征,建立一种入侵行为型。根据这种行为模型所代表的入侵意图的行为特征。来判断用户执行的操作是否是属于入侵行为。上述每一种方法都不能保证能准确地检测出变化无穷的入侵行为,因此在网络安全防护中要充分衡量各种方法的利弊,综台运用这些方法才能有效地检测出人侵者的非法行为。
4 总结
人侵检测被认为是防火墙之后的第二道安全闸门,它采用的是一种主动的技术,能有效地发现入侵行为和合法用户滥用特权的行为,已经成为网络安全体系中一个重要组成分.目前入侵检测技术还处于研究和发展阶段,同样存在很多不足之处。随着网络通信技术安全性的要求越来越高,人们需要重点研究一些智能化的检测技术,同时还要研究如何将入侵检测技术和其他网络安全技术相结合来构建一个网络安全体系等等。
5 参考文献
1 唐正军,李建华.入侵检测技术[M].清华大学出版社,2004
2 唐正军.网络入侵检测系统的设计与实现[M].北京:电子工业出版社,2002
【关键词】 入侵检测技术;网络安全
【中图分类号】 TP301【文献标识码】 B【文章编号】 1005-1074(2008)04-0116-01
随着计算机技术和通讯技术的迅速发展,网络正逐步改变着人们的工作方式和生活方式,网络的开放性、互连性、共享性程度的扩大,特别是Internet的出现,使网络的重要性和对社会的影响也越来越大,网络安全问题也变得越来越重要。公司一般通过安装防火培来保护网络安全,利用防火墙技术,经过仔细、正确地配置,通常能够在公司内、外部网之间提供安全的网络保护,降低网络安全风险。但是入侵者可绕过防火墙.寻找可能敞开的后门;入侵者可能就在防火墙内。
1 入侵检测技术的概念和模型
1.1 入侵检测 是通过收集操作系统、系统程序、应用程序、网络包等信息,发现系统中违背安全策略或危及系统安全的行为。具有入侵检测功能的系统称为入侵检测系统),包括入侵检测的软件系统和硬件系统。入侵检测的内容可分为:试图闯入、成功闯入、冒充其它用户、违反安全策略、合法用户的泄露、独占资源和恶意使用等。
1.2 入侵检测系统的模型:入侵检测系统模型包括6个主要的部分 ①主体:在目标系统上活动的实体,通常指用户;②对象:指资源,由系统文件、设备、命令等占有;③审计记录:由
2 入侵检测过程分析和布置
2.1 入侵检测过程分类 入侵检测的过程分为两步:①信息收集;②信号分析。信息收集内容主要包括网络、系统、数据及用户活动的状态和行为。
2.2 入侵检测过程的信息收集 入侵检测利用的信息一般来自以下四个方面:①网络和系统日志文件;②目录和文件中的不期望的改变;③程序执行中的不期望行为;④物理形式的入侵信息。
2.3 入侵检测过程的信号分析
我们对收集到的有关网络、系统、数据及用户活动的状态和行为等信息,一般通过三种技术手段进行分析:模式匹配、统计分析和完整性分析:其中前两种方法用于实时的入侵检测,而后一种方法则用于事后分析。实时的入侵检测是在网络连接过程中进行,系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断,一旦发现入侵迹象立即断开入侵者与主机的连接,并收集证据和实施数据恢复,这个检测过程是不断循环进行的;而事后入侵检测由网络管理人员进行(具有网络安全的专业知识),他们根据计算机系统对用户操作所做的历史审计记录判断用户是否具有人侵行为,如果有就断开连接,并记录入侵证据和进行数据恢复。事后入侵检测是管理员定期或不定期进行的。不具有实时胜,因此防御入侵的能力不如实时入侵检测系统。①模式匹配;②统计分析;③完整性分析。
3 入侵检测技术种类及常用的入侵检测方法
根据检测方法,入侵检测技术主要可以分为两种:误用检测和异常检测。大部分现有入侵检测工具都使用误用检测方法。另外,还有一种完整性分析的检测方法,主要对系统中的文件或对象的完整性进行检查,从而判断是否有入侵。
3.1 误用入侵检测(VIisuse Detection) 主要是通过某种预先定义入侵行为,然后监视系统的运行,并从中找出符合预先定义规则的入侵行为,进而发现相同的攻击。
3.2 异常入侵检测(Abnornml Detection) 首先通过多种方法建立正常或有效行为的模型,在检测时把当前行为与正常模型进行比较,如果比较结果有一定的偏离,则报警异常。
3.3 常用的入侵检测方法
3.3.1 基于专家系统 该系统最显著的特征是采用一定的规则表示攻击的行为,把根据规则进行的推理过程从解决问题的过程中分离出来。
3.3.2 基于误用预测系统 它推测的依据是一系列的外部事件,最后得到发生攻击的概率。
3.3.3 基于状态转换分析方法 主要是把攻击行为描述成系统一系列状态的转化,通过监视系统状态来找出攻击。
3.3.4 基于模式匹配方法 用一定的模式描述来提取攻击的主要特征,通过匹配机制从审计事件中发现攻击。
3.3.5 基于统计学方法的异常检测方法 这种系统使用统计学的方法来学习和检测用户的行为。
3.3.6 基于神经网络的异常检测方法 这种系统学习算法利用神经网络紧密地模仿用户行为,并且根据最近的变化进行调整。
3.3.7 基于免疫的检测 运用自然免疫系统的特性到网络安全系统中,使整个系统具有适应性、自我调节性、可扩展性。
3.4 入侵检测的新技术 数据挖掘技术被Wenke.Lee用在了入侵检测中。用数据挖掘程序处理搜集到的审计数据,为各种入侵行为和正常操作建立精确的行为模式,这个过程是一个自动的过程,不需要人工分析和编码入侵模式。
3.5 入侵检测方法
3.5.1 基于用户行为概率统计模型的入侵检测方法 这种入侵检测方法是基于对用户历史行为建模,以及在早期的证据或模型的基础上,审计系统实时的检测用户对系统的使用情况。
3.5.2 基于神经网络的入侵检测方法 这种方法是利用神经网络技术来进行入侵检测。因此,这种力法对用户行为具有学习和自适功能,能够根据实际检测到的信息有效地加以处理并做出入侵可能性的判断。
3.5.3 基于专家系统的入侵检测技术 该技术根据安全专家对可疑行为进行分析的经验来形成一套推理规则。然后在此基础上建立相应的专家系统,由此专家系统自动对所涉及的入侵行为进行分析。该系统应当能够随着经验的积累而利用其自学习能力进行规则的扩充和修正。
3.5.4 基于模型推理的入侵检测技术 该技术根据入侵者在进行人侵时所执行程序的某些行为特征,建立一种入侵行为型。根据这种行为模型所代表的入侵意图的行为特征。来判断用户执行的操作是否是属于入侵行为。上述每一种方法都不能保证能准确地检测出变化无穷的入侵行为,因此在网络安全防护中要充分衡量各种方法的利弊,综台运用这些方法才能有效地检测出人侵者的非法行为。
4 总结
人侵检测被认为是防火墙之后的第二道安全闸门,它采用的是一种主动的技术,能有效地发现入侵行为和合法用户滥用特权的行为,已经成为网络安全体系中一个重要组成分.目前入侵检测技术还处于研究和发展阶段,同样存在很多不足之处。随着网络通信技术安全性的要求越来越高,人们需要重点研究一些智能化的检测技术,同时还要研究如何将入侵检测技术和其他网络安全技术相结合来构建一个网络安全体系等等。
5 参考文献
1 唐正军,李建华.入侵检测技术[M].清华大学出版社,2004
2 唐正军.网络入侵检测系统的设计与实现[M].北京:电子工业出版社,2002