论文部分内容阅读
【摘 要】网络安全早已成为人们热议的话题。网络发展进入爆炸性的增长,无论是从网络信息还是网络金融等不同方面,都有巨大的发展。网络安全技术也得到了很好的发展。常用手段有防火墙、加密密码学、口令身份认证等多种手段。而伴随网络的发展,网络的攻击手段也层出不穷。而当今的网络入侵与检测手段正是提升网络安全的有效手段。本文从入侵手段模式分析,对入侵的方式方法进行全面了解。详细阐述了网络入侵检测技术的发展。
【关键词】网络入侵、防御技术、服务器、网关、入侵技术
一、网络入侵简介:
网络入侵是指利用各种计算机技术手段,非法的侵入他人系统,在未经他人允许的前提下,获得访问权限。进行数据的占有,修改甚至破坏。而为了达到这样的目的,通常采用的入侵攻击方式有很多。简单介绍如下:破解口令密码。口令密码是用户为了保护信息安全,设置的口令,破解了口令就拥有了用户的相应权限。破解方式有:暴力数据字典破解、权限占有破解、肉鸽记录密码等多种方式。还可以利用计算机缓冲区的溢出、对计算机开放的端口进行不断的扫描,占用破解。又或者绕过防范从后门进行网络攻击入侵。可以说攻击入侵技术积累至今已经有众多的方式和技术,无法用数字去具体统计。美国的专门机构曾经将它分成了四大类。第一类,用试探扫描的芳芳去宣召漏洞;第二类,通过权限占有进行攻击;第三类,利用木马或者大量访问的攻击方式致使服务无法进行,令服务器瘫痪,第四类,我们常常说的反检测入侵。逃过检测手段获得攻击的机会。
二、网络入侵检测技术
(一)网络入侵检测技术简介:网络入侵检测是通过动态实时的追踪方法,及时对各种入侵做出反应。发现正在发生的危险,从而实现入侵防御或者入侵反攻击的手段。技术多采用在网络和服务器中各个断电设置检测,多路侦聽,一旦有设置好的类似网络入侵的行为被发现,就发出警报。提示入侵及时做出防御措施。根据使用者要求追踪入侵来源甚至反向攻击。
网络入侵检测技术和防火墙技术能够互相辅助。当入侵技术绕过或者通过技术手段越过了防火墙。那么入侵检测技术就发挥了第二层次的保护作用。它在网络环境内不断监听,对事先设置好的各种危险入侵行为进行检测,一旦发现就说明有黑客实现了入侵。这时候它可以切断网络,记录攻击行为,修改日志,及时发出警报等等操作。这种检测虽然在不断运行中,但是它并不会影响网络运行的效率,是新兴的网络安全技术。
(二)网络入侵检测技术的分类方式:
网络入侵检测根据分类方法不同有不同的划分。首先从作用划分,可以划分为检测和防御两大类。检测是指利用实时监听的方式,在黑客的恶性攻击出现时甚至将要出现时,及时的发现。而入侵防御是检测发生后的第二阶段。丢弃掉恶性攻击的文件,切断攻击源。 根据检测的数据来分:分为攻击网络主机、攻击内网、同时攻击网络主机和内网三种不同方式。根据拓扑结构和网络架构来划分可以分为分布式攻击、层次式攻击。
(三)入侵检测的体系结构
网络入侵检测的体系结构通常由三部分组成,分别为Agent、Console以及Manager。其中Agent的作用是对网段内的数据包进行监视,找出攻击信息并把相关的数据发送至管理器;Console的主要作用是负责收集代理处的信息,显示出所受攻击的信息,把找出的攻击信息及相关数据发送至管理器;Manager的主要作用则是响应配置攻击警告信息,控制台所发布的命令也由Manager来执行,再把代理所发出的攻击警告发送至控制台。
(四)入侵检测系统的评估
对于入侵检测系统的评估,主要的性能指标有:可靠性,系统具有容错能力和可连续运行;可用性,系统开销要最小,不会严重降低网络系统性能;可测试,通过攻击可以检测系统运行;适应性,对系统来说必须是易于开发的,可添加新的功能,能随时适应系统环境的改变;实时性,系统能尽快地察觉入侵企图以便制止和限制破坏;准确性,检测系统具有较低的误警率和漏警率;安全性,检测系统必须难于被欺骗和能够保护自身安全
三、网络入侵检测方法介绍
异常入侵检测的主要前提条件是将入侵性活动作为异常活动的子集,理想状况是异常活动集与入侵性活动集等同,这样,若能检测所有的异常活动,则可检测所有的入侵活动。但是,入侵性活动并不总是与异常活动相符合。。异常入侵要解决的问题是构造异常活动集,并从中发现入侵性活动子集。异常入侵检测方法依赖于异常模型的建立。误用入侵检测是通过将预先设定的入侵模式与监控到的入侵发生情况进行模式匹配来检测。它假设能够精确地将入侵攻击按某种方式编码,并可以通过捕获入侵攻击将其重新分析整理,确认该入侵行为是否为基于对同一弱点进行入侵攻击方法的变种,入侵模式说明导致安全事件或误用事件的特征、条件、排列和关系。根据匹配模式的构造和表达方式的不同,形成了不同的误用检测模型。
四、入侵检测技术的不足之处
首先,入侵检测通常式实现内网的监控,所以只会对相同网段进行,不可以跨网段。如果使用硬件设备实现跨越网段检测就会增加系统开支。检测的内容需要进行预先设置,以匹配的方式进行寻找,如果遇到计算量大,或者刚刚出现的新攻击手段,入侵检测就很难发现入侵。虽然成为了防火墙技术的有效补充,但是并不能真正的实现互动。在通过防火墙后,检测技术即使发现,防火墙也无法再次产生防范作用。浪费了防火墙的隔断功能。
参考文献:
[1]刘积芬,非负矩阵分解降维的入侵检测方法[J],计算机工程与应用,2012(30).
[2]张雪芹,顾春华,吴吉义,异常检测中支持向量机最优模型选择方法[J],电子科技大学学报.2011(04).
[3]梅海彬,龚俭,张明华,基于警报序列聚类的多步攻击模式发现研究[J],通信学报.2011(05).
[4]熊伟,胡汉平,王祖喜,杨越,基于突变级数的网络流量异常检测[J],华中科技大学学报(自然科学版),2011(01).
[5]张雪芹,顾春华,吴吉义,基于约简支持向量机的快速入侵检测算法[J],华南理工大学学报(自然科学版),2011(02).
[6]张新有,曾华燊,贾磊,入侵检测数据集KDD CUP99研究[J],计算机工程与设计,2010(22).
【关键词】网络入侵、防御技术、服务器、网关、入侵技术
一、网络入侵简介:
网络入侵是指利用各种计算机技术手段,非法的侵入他人系统,在未经他人允许的前提下,获得访问权限。进行数据的占有,修改甚至破坏。而为了达到这样的目的,通常采用的入侵攻击方式有很多。简单介绍如下:破解口令密码。口令密码是用户为了保护信息安全,设置的口令,破解了口令就拥有了用户的相应权限。破解方式有:暴力数据字典破解、权限占有破解、肉鸽记录密码等多种方式。还可以利用计算机缓冲区的溢出、对计算机开放的端口进行不断的扫描,占用破解。又或者绕过防范从后门进行网络攻击入侵。可以说攻击入侵技术积累至今已经有众多的方式和技术,无法用数字去具体统计。美国的专门机构曾经将它分成了四大类。第一类,用试探扫描的芳芳去宣召漏洞;第二类,通过权限占有进行攻击;第三类,利用木马或者大量访问的攻击方式致使服务无法进行,令服务器瘫痪,第四类,我们常常说的反检测入侵。逃过检测手段获得攻击的机会。
二、网络入侵检测技术
(一)网络入侵检测技术简介:网络入侵检测是通过动态实时的追踪方法,及时对各种入侵做出反应。发现正在发生的危险,从而实现入侵防御或者入侵反攻击的手段。技术多采用在网络和服务器中各个断电设置检测,多路侦聽,一旦有设置好的类似网络入侵的行为被发现,就发出警报。提示入侵及时做出防御措施。根据使用者要求追踪入侵来源甚至反向攻击。
网络入侵检测技术和防火墙技术能够互相辅助。当入侵技术绕过或者通过技术手段越过了防火墙。那么入侵检测技术就发挥了第二层次的保护作用。它在网络环境内不断监听,对事先设置好的各种危险入侵行为进行检测,一旦发现就说明有黑客实现了入侵。这时候它可以切断网络,记录攻击行为,修改日志,及时发出警报等等操作。这种检测虽然在不断运行中,但是它并不会影响网络运行的效率,是新兴的网络安全技术。
(二)网络入侵检测技术的分类方式:
网络入侵检测根据分类方法不同有不同的划分。首先从作用划分,可以划分为检测和防御两大类。检测是指利用实时监听的方式,在黑客的恶性攻击出现时甚至将要出现时,及时的发现。而入侵防御是检测发生后的第二阶段。丢弃掉恶性攻击的文件,切断攻击源。 根据检测的数据来分:分为攻击网络主机、攻击内网、同时攻击网络主机和内网三种不同方式。根据拓扑结构和网络架构来划分可以分为分布式攻击、层次式攻击。
(三)入侵检测的体系结构
网络入侵检测的体系结构通常由三部分组成,分别为Agent、Console以及Manager。其中Agent的作用是对网段内的数据包进行监视,找出攻击信息并把相关的数据发送至管理器;Console的主要作用是负责收集代理处的信息,显示出所受攻击的信息,把找出的攻击信息及相关数据发送至管理器;Manager的主要作用则是响应配置攻击警告信息,控制台所发布的命令也由Manager来执行,再把代理所发出的攻击警告发送至控制台。
(四)入侵检测系统的评估
对于入侵检测系统的评估,主要的性能指标有:可靠性,系统具有容错能力和可连续运行;可用性,系统开销要最小,不会严重降低网络系统性能;可测试,通过攻击可以检测系统运行;适应性,对系统来说必须是易于开发的,可添加新的功能,能随时适应系统环境的改变;实时性,系统能尽快地察觉入侵企图以便制止和限制破坏;准确性,检测系统具有较低的误警率和漏警率;安全性,检测系统必须难于被欺骗和能够保护自身安全
三、网络入侵检测方法介绍
异常入侵检测的主要前提条件是将入侵性活动作为异常活动的子集,理想状况是异常活动集与入侵性活动集等同,这样,若能检测所有的异常活动,则可检测所有的入侵活动。但是,入侵性活动并不总是与异常活动相符合。。异常入侵要解决的问题是构造异常活动集,并从中发现入侵性活动子集。异常入侵检测方法依赖于异常模型的建立。误用入侵检测是通过将预先设定的入侵模式与监控到的入侵发生情况进行模式匹配来检测。它假设能够精确地将入侵攻击按某种方式编码,并可以通过捕获入侵攻击将其重新分析整理,确认该入侵行为是否为基于对同一弱点进行入侵攻击方法的变种,入侵模式说明导致安全事件或误用事件的特征、条件、排列和关系。根据匹配模式的构造和表达方式的不同,形成了不同的误用检测模型。
四、入侵检测技术的不足之处
首先,入侵检测通常式实现内网的监控,所以只会对相同网段进行,不可以跨网段。如果使用硬件设备实现跨越网段检测就会增加系统开支。检测的内容需要进行预先设置,以匹配的方式进行寻找,如果遇到计算量大,或者刚刚出现的新攻击手段,入侵检测就很难发现入侵。虽然成为了防火墙技术的有效补充,但是并不能真正的实现互动。在通过防火墙后,检测技术即使发现,防火墙也无法再次产生防范作用。浪费了防火墙的隔断功能。
参考文献:
[1]刘积芬,非负矩阵分解降维的入侵检测方法[J],计算机工程与应用,2012(30).
[2]张雪芹,顾春华,吴吉义,异常检测中支持向量机最优模型选择方法[J],电子科技大学学报.2011(04).
[3]梅海彬,龚俭,张明华,基于警报序列聚类的多步攻击模式发现研究[J],通信学报.2011(05).
[4]熊伟,胡汉平,王祖喜,杨越,基于突变级数的网络流量异常检测[J],华中科技大学学报(自然科学版),2011(01).
[5]张雪芹,顾春华,吴吉义,基于约简支持向量机的快速入侵检测算法[J],华南理工大学学报(自然科学版),2011(02).
[6]张新有,曾华燊,贾磊,入侵检测数据集KDD CUP99研究[J],计算机工程与设计,2010(22).