论文部分内容阅读
[摘要]:介绍了入侵检测系统的概念,分析了入侵检测系统的模型;并对现有的入侵检测系统进行了分类,讨论了入侵检测系统的评价标准,在烟草网络中应用IDS 与原来的防火墙共同使用, 极大地提高了烟草内网的安全防护水平。
[关键词]:入侵检测系统(IDS) 网络安全 防火墙 烟草
1.绪论
作为网络的组成部分, 烟草内网的安全也是不可忽视的。目前, 烟草内网己经具备的网络安全技术有防火墙、代理服务器、过滤器、加密、口令验证等等,所应用的很多安全设备都属于静态安全技术范畴, 如防火墙等外围保护设备。而入侵检测则属于动态安全技术, 它能够主动检测网络的易受攻击点和安全漏洞, 并且通常能够先于人工探测到危险行为。将动态技术与静态技术相结合的应用能够取长补短, 弥补各自的缺点, 并结合烟草内网建设和管理, 在烟草内网中应用IDS 与原来的防火墙共同使用, 极大地提高了烟草内网的安全防护水平。
2.入侵检测系统(IDS)概念
入侵检测的定义为:发现非授权使用计算机的个体(如“黑客”)或计算机系统的合法用户滥用其访问系统的权利以及企图实施上述行为的个体。执行入侵检测任务的程序即是入侵检测系统。
入侵检测系统执行的主要任务包括:监视、分析用户及系统活动;审计系统构造和弱点;识别、反映已知进攻的活动模式,向相关人士报警;统计分析异常行为模式;评估重要系统和数据文件的完整性;审计、跟踪管理操作系统,识别用户违反安全策略的行为。入侵检测一般分为三个步骤:信息收集、数据分析、响应。
入侵检测的目的:(1)识别入侵者;(2)识别入侵行为;(3)检测和监视以实施的入侵行为;(4)为对抗入侵提供信息,阻止入侵的发生和事态的扩大。
3.入侵检测系统模型
美国斯坦福国际研究所(SRI)的D.E.Denning于1986年首次提出一种入侵检测模型,该模型的检测方法就是建立用户正常行为的描述模型,并以此同当前用户活动的审计记录进行比较,如果有较大偏差,则表示有异常活动发生。这是一种基于统计的检测方法。随着技术的发展,后来人们又提出了基于规则的检测方法。结合这两种方法的优点,人们设计出很多入侵检测的模型。通用入侵检测构架(Common Intrusion Detection Framework简称CIDF)组织,试图将现有的入侵检测系统标准化。
4.入侵检测系统的分类
入侵检测通过对入侵和攻击行为的检测,查出系统的入侵者或合法用户对系统资源的滥用和误用。根据不同的检测方法,将入侵检测分为异常入侵检测(Anomaly Detection)和误用入侵检测(Misuse Detection)。
4.1异常入侵检测
又称为基于行为的检测。其基本前提是:假定所有的入侵行为都是异常的。首先建立系统或用户的“正常”行为特征轮廓,通过比较当前的系统或用户的行为是否偏离正常的行为特征轮廓来判断是否发生了入侵。
4.2误用入侵检测
又称为基于知识的检测。其基本前提是:假定所有可能的入侵行为都能被识别和表示。首先,对已知的攻击方法进行攻击签名(攻击签名是指用一种特定的方式来表示已知的攻击模式)表示,然后根据已经定义好的攻击签名,通过判断这些攻击签名是否出现来判断入侵行为的发生与否。
5.IDS的评价标准
目前的入侵检测技术发展迅速,应用的技术也很广泛,如何来评价IDS的优缺点就显得非常重要。评价IDS的优劣主要有这样几个方面:
(1)准确性。准确性是指IDS不会标记环境中的一个合法行为为异常或入侵。
(2)性能。IDS的性能是指处理审计事件的速度。对一个实时IDS来说,必须要求性能良好。
(3)完整性。完整性是指IDS能检测出所有的攻击。
(4)故障容错(fault tolerance)。当被保护系统遭到攻击和毁坏时,能迅速恢复系统原有的数据和功能。
(5)自身抵抗攻击能力。这一点很重要,尤其是“拒绝服务”攻击。因为多数对目标系统的攻击都是采用首先用“拒绝服务”攻击摧毁IDS,再实施对系统的攻击。
(6)及时性(Timeliness)。一个IDS必须尽快地执行和传送它的分析结果,以便在系统造成严重危害之前能及时做出反应,阻止攻击者破坏审计数据或IDS本身。
6.入侵检测的应用
我们经过比较之后,最后选择使用基于网络的网御入侵检测系统。网御入侵检测系统采用分布式入侵检测系统构架,采用网御独创的入侵探测引擎,综合使用模式匹配、协议分析、异常检测、重点监视、内容恢复、网络审计等入侵分析与检测技术,全面监视和分析网络的通信状态,提供实时的入侵检测及相应的防护手段, 为网络创造全面纵深的安全防御体系。
网御入侵检测系统在所监视网段采用入侵检测分析技术,检测违反网络安全策略的入侵攻击事件、误用及滥用事件,实时向控制台传送报警信息和事件过程记录。对一个或多个网御IDS探测引擎进行规则策略配置、运行状态监视、事件日志记录及管理。对探测引擎检测出的违反网络安全策略的事件,可以向网络安全管理员报警,并依据预置的策略与多种防火墙进行联动,阻断入侵攻击。
7.结束语
综上所述,入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,使网络系统在受到危害之前即拦截和响应入侵行为,为网络安全增加一道屏障。随着入侵检测的研究与开发,并在实际应用中与其它网络管理软件相结合,使网络安全可以从立体纵深、多层次防御的角度出发,形成入侵检测、网络管理、网络监控三位一体化,从而更加有效地保护网络的安全。
参考文献:
[1] 张兴东, 胡华平, 况晓辉, 陈辉忠.防火墙与入侵检测系统联动的研究与实现[ J] .计算机工程与科学
[2] 罗妍,李仲麟,陈宪.入侵检测系统模型的比较.计算机应用,2001;21(6):29~31
[3] 唐洪英,付国瑜,入侵检测的原理与方法[J],重庆工学院学报,2002.4:71-73
[关键词]:入侵检测系统(IDS) 网络安全 防火墙 烟草
1.绪论
作为网络的组成部分, 烟草内网的安全也是不可忽视的。目前, 烟草内网己经具备的网络安全技术有防火墙、代理服务器、过滤器、加密、口令验证等等,所应用的很多安全设备都属于静态安全技术范畴, 如防火墙等外围保护设备。而入侵检测则属于动态安全技术, 它能够主动检测网络的易受攻击点和安全漏洞, 并且通常能够先于人工探测到危险行为。将动态技术与静态技术相结合的应用能够取长补短, 弥补各自的缺点, 并结合烟草内网建设和管理, 在烟草内网中应用IDS 与原来的防火墙共同使用, 极大地提高了烟草内网的安全防护水平。
2.入侵检测系统(IDS)概念
入侵检测的定义为:发现非授权使用计算机的个体(如“黑客”)或计算机系统的合法用户滥用其访问系统的权利以及企图实施上述行为的个体。执行入侵检测任务的程序即是入侵检测系统。
入侵检测系统执行的主要任务包括:监视、分析用户及系统活动;审计系统构造和弱点;识别、反映已知进攻的活动模式,向相关人士报警;统计分析异常行为模式;评估重要系统和数据文件的完整性;审计、跟踪管理操作系统,识别用户违反安全策略的行为。入侵检测一般分为三个步骤:信息收集、数据分析、响应。
入侵检测的目的:(1)识别入侵者;(2)识别入侵行为;(3)检测和监视以实施的入侵行为;(4)为对抗入侵提供信息,阻止入侵的发生和事态的扩大。
3.入侵检测系统模型
美国斯坦福国际研究所(SRI)的D.E.Denning于1986年首次提出一种入侵检测模型,该模型的检测方法就是建立用户正常行为的描述模型,并以此同当前用户活动的审计记录进行比较,如果有较大偏差,则表示有异常活动发生。这是一种基于统计的检测方法。随着技术的发展,后来人们又提出了基于规则的检测方法。结合这两种方法的优点,人们设计出很多入侵检测的模型。通用入侵检测构架(Common Intrusion Detection Framework简称CIDF)组织,试图将现有的入侵检测系统标准化。
4.入侵检测系统的分类
入侵检测通过对入侵和攻击行为的检测,查出系统的入侵者或合法用户对系统资源的滥用和误用。根据不同的检测方法,将入侵检测分为异常入侵检测(Anomaly Detection)和误用入侵检测(Misuse Detection)。
4.1异常入侵检测
又称为基于行为的检测。其基本前提是:假定所有的入侵行为都是异常的。首先建立系统或用户的“正常”行为特征轮廓,通过比较当前的系统或用户的行为是否偏离正常的行为特征轮廓来判断是否发生了入侵。
4.2误用入侵检测
又称为基于知识的检测。其基本前提是:假定所有可能的入侵行为都能被识别和表示。首先,对已知的攻击方法进行攻击签名(攻击签名是指用一种特定的方式来表示已知的攻击模式)表示,然后根据已经定义好的攻击签名,通过判断这些攻击签名是否出现来判断入侵行为的发生与否。
5.IDS的评价标准
目前的入侵检测技术发展迅速,应用的技术也很广泛,如何来评价IDS的优缺点就显得非常重要。评价IDS的优劣主要有这样几个方面:
(1)准确性。准确性是指IDS不会标记环境中的一个合法行为为异常或入侵。
(2)性能。IDS的性能是指处理审计事件的速度。对一个实时IDS来说,必须要求性能良好。
(3)完整性。完整性是指IDS能检测出所有的攻击。
(4)故障容错(fault tolerance)。当被保护系统遭到攻击和毁坏时,能迅速恢复系统原有的数据和功能。
(5)自身抵抗攻击能力。这一点很重要,尤其是“拒绝服务”攻击。因为多数对目标系统的攻击都是采用首先用“拒绝服务”攻击摧毁IDS,再实施对系统的攻击。
(6)及时性(Timeliness)。一个IDS必须尽快地执行和传送它的分析结果,以便在系统造成严重危害之前能及时做出反应,阻止攻击者破坏审计数据或IDS本身。
6.入侵检测的应用
我们经过比较之后,最后选择使用基于网络的网御入侵检测系统。网御入侵检测系统采用分布式入侵检测系统构架,采用网御独创的入侵探测引擎,综合使用模式匹配、协议分析、异常检测、重点监视、内容恢复、网络审计等入侵分析与检测技术,全面监视和分析网络的通信状态,提供实时的入侵检测及相应的防护手段, 为网络创造全面纵深的安全防御体系。
网御入侵检测系统在所监视网段采用入侵检测分析技术,检测违反网络安全策略的入侵攻击事件、误用及滥用事件,实时向控制台传送报警信息和事件过程记录。对一个或多个网御IDS探测引擎进行规则策略配置、运行状态监视、事件日志记录及管理。对探测引擎检测出的违反网络安全策略的事件,可以向网络安全管理员报警,并依据预置的策略与多种防火墙进行联动,阻断入侵攻击。
7.结束语
综上所述,入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,使网络系统在受到危害之前即拦截和响应入侵行为,为网络安全增加一道屏障。随着入侵检测的研究与开发,并在实际应用中与其它网络管理软件相结合,使网络安全可以从立体纵深、多层次防御的角度出发,形成入侵检测、网络管理、网络监控三位一体化,从而更加有效地保护网络的安全。
参考文献:
[1] 张兴东, 胡华平, 况晓辉, 陈辉忠.防火墙与入侵检测系统联动的研究与实现[ J] .计算机工程与科学
[2] 罗妍,李仲麟,陈宪.入侵检测系统模型的比较.计算机应用,2001;21(6):29~31
[3] 唐洪英,付国瑜,入侵检测的原理与方法[J],重庆工学院学报,2002.4:71-73