時間:2023-04-06 18:48:00
引言:易發表網憑借豐富的文秘實踐,為您精心挑選了九篇入侵檢測論文范例。如需獲取更多原創內容,可隨時聯系我們的客服老師。
論文摘要:隨著計算機的飛速發展以及網絡技術的普遍應用,隨著信息時代的來臨,信息作為一種重要的資源正得到了人們的重視與應用。因特網是一個發展非常活躍的領域,可能會受到黑客的非法攻擊,所以在任何情況下,對于各種事故,無意或有意的破壞,保護數據及其傳送、處理都是非常必要的。計劃如何保護你的局域網免受因特網攻擊帶來的危害時,首先要考慮的是防火墻。防火墻的核心思想是在不安全的網際網環境中構造一個相對安全的子網環境。本文介紹了防火墻技術的基本概念、系統結構、原理、構架、入侵檢測技術及VPN等相關問題。
Abstract:Alongwiththefastcomputerdevelopmentandtheuniversalapplicationofthenetworktechnology,alongwithinformationtimescomingupon,Informationisattractingtheworld’sattentionandemployedasakindofimportantresources.Internetisaveryactivelydevelopedfield.Becauseitmaybeillegallyattackedbyhackers,Itisverynecessaryfordata’sprotection,deliveryandprotectionagainstvariousaccidents,intentionalorwantdestroyunderanycondition.FirewallisthefirstconsiderationwhenplanhowtoprotectyourlocalareanetworkagainstendangersbroughtbyInternetattack.Thecorecontentoffirewalltechnologyistoconstructarelativelysafeenvironmentofsubnetinthenot-so-safenetworkenvironment.Thispaperintroducesthebasicconceptionandsystemstructureoffire-walltechnologyandalsodiscussestwomaintechnologymeanstorealizefire-wall:Oneisbasedonpacketfiltering,whichistorealizefire-wallfunctionthroughScreeningRouter;andtheotherisProxyandthetypicalrepresentationisthegatewayonapplicationlevel.....
第一章緒論
§1.1概述
隨著以Internet為代表的全球信息化浪潮的來臨,信息網絡技術的應用正日益廣泛,應用層次正在深入,應用領域也從傳統的、小型業務系統逐漸向大型、關鍵業務系統擴展,其中以黨政系統、大中院校網絡系統、銀行系統、商業系統、管理部門、政府或軍事領域等為典型。伴隨網絡的普及,公共通信網絡傳輸中的數據安全問題日益成為關注的焦點。一方面,網絡化的信息系統提供了資源的共享性、用戶使用的方便性,通過分布式處理提高了系統效率和可靠性,并且還具備可擴充性。另一方面,也正是由于具有這些特點增加了網絡信息系統的不安全性。
開放性的網絡,導致網絡所面臨的破壞和攻擊可能是多方面的,例如:可能來自物理傳輸線路的攻擊,也可以對網絡通信協議和實現實施攻擊,可以是對軟件實施攻擊,也可以對硬件實施攻擊。國際性的網絡,意味著網絡的攻擊不僅僅來自本地網絡的用戶,也可以來自linternet上的任何一臺機器,也就是說,網絡安全所面臨的是一個國際化的挑戰。開放的、國際化的Internet的發展給政府機構、企事業單位的工作帶來了革命性的變革和開放,使得他們能夠利用Internet提高辦事效率、市場反應能力和競爭力。通過Internet,他們可以從異地取回重要數據,同時也面臨Internet開放所帶來的數據安全的挑戰與危險。如何保護企業的機密信息不受黑客和工業間諜的入侵,己成為政府機構、企事業單位信息化建設健康發展所要考慮的重要因素之一。廣泛分布的企業內部網絡由公共網絡互聯起來,這種互聯方式面臨多種安全威脅,極易受到外界的攻擊,導致對網絡的非法訪問和信息泄露。防火墻是安全防范的最有效也是最基本的手段之一。
雖然國內己有許多成熟的防火墻及其他相關安全產品,并且這些產品早已打入市場,但是對于安全產品來說,要想進入我軍部隊。我們必須自己掌握安全測試技術,使進入部隊的安全產品不出現問題,所以對網絡安全測試的研究非常重要,具有深遠的意義。
§1.2本文主要工作
了解防火墻的原理、架構、技術實現
了解防火墻的部署和使用配置
熟悉防火墻測試的相關標準
掌握防火墻產品的功能、性能、安全性和可用性的測試方法
掌握入侵檢測與VPN的概念及相關測試方法
第二章防火墻的原理、架構、技術實現
§2.1什么是防火墻?
防火墻是指設置在不同網絡(如可信任的企業內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口,能根據企業的安全政策控制(允許、拒絕、監測)出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。
§2.2防火墻的原理
隨著網絡規模的擴大和開放性的增強,網絡上的很多敏感信息和保密數據將受到很多主動和被動的人為攻擊。一種解決辦法是為需要保護的網絡上的每個工作站和服務器裝備上強大的安全特征(例如入侵檢測),但這幾乎是一種不切合實際的方法,因為對具有幾百個甚至上千個節點的網絡,它們可能運行著不同的操作系統,當發現了安全缺陷時,每個可能被影響的節點都必須加以改進以修復這個缺陷。另一種選擇就是防火墻(Firewall),防火墻是用來在安全私有網絡(可信任網絡)和外部不可信任網絡之間安全連接的一個設備或一組設備,作為私有網絡和外部網絡之間連接的單點存在。防火墻是設置在可信任的內部網絡和不可信任的外部網絡之間的一道屏障,它可以實施比較廣泛的安全策略來控制信息流,防止不可預料的潛在的入侵破壞.DMZ外網和內部局域網的防火墻系統。
§2.3防火墻的架構
防火墻產品的三代體系架構主要為:
第一代架構:主要是以單一cpu作為整個系統業務和管理的核心,cpu有x86、powerpc、mips等多類型,產品主要表現形式是pc機、工控機、pc-box或risc-box等;
第二代架構:以np或asic作為業務處理的主要核心,對一般安全業務進行加速,嵌入式cpu為管理核心,產品主要表現形式為box等;
第三代架構:iss(integratedsecuritysystem)集成安全體系架構,以高速安全處理芯片作為業務處理的主要核心,采用高性能cpu發揮多種安全業務的高層應用,產品主要表現形式為基于電信級的高可靠、背板交換式的機架式設備,容量大性能高,各單元及系統更為靈活。
§2.4防火墻的技術實現
從Windows軟件防火墻的誕生開始,這種安全防護產品就在跟隨著不斷深入的黑客病毒與反黑反毒之爭,不斷的進化與升級。從最早期的只能分析來源地址,端口號以及未經處理的報文原文的封包過濾防火墻,后來出現了能對不同的應用程序設置不同的訪問網絡權限的技術;近年來由ZoneAlarm等國外知名品牌牽頭,還開始流行了具有未知攻擊攔截能力的智能行為監控防火墻;最后,由于近來垃圾插件和流氓軟件的盛行,很多防火墻都在考慮給自己加上攔截流氓軟件的功能。綜上,Windows軟件防火墻從開始的時候單純的一個截包丟包,堵截IP和端口的工具,發展到了今天功能強大的整體性的安全套件。
第三章防火墻的部署和使用配置
§3.1防火墻的部署
雖然監測型防火墻安全性上已超越了包過濾型和服務器型防火墻,但由于監測型防火墻技術的實現成本較高,也不易管理,所以目前在實用中的防火墻產品仍然以第二代型產品為主,但在某些方面也已經開始使用監測型防火墻。基于對系統成本與安全技術成本的綜合考慮,用戶可以選擇性地使用某些監測型技術。這樣既能夠保證網絡系統的安全性需求,同時也能有效地控制安全系統的總擁有成本。
實際上,作為當前防火墻產品的主流趨勢,大多數服務器(也稱應用網關)也集成了包過濾技術,這兩種技術的混合應用顯然比單獨使用具有更大的優勢。由于這種產品是基于應用的,應用網關能提供對協議的過濾。例如,它可以過濾掉FTP連接中的PUT命令,而且通過應用,應用網關能夠有效地避免內部網絡的信息外泄。正是由于應用網關的這些特點,使得應用過程中的矛盾主要集中在對多種網絡應用協議的有效支持和對網絡整體性能的影響上。
----那么我們究竟應該在哪些地方部署防火墻呢?
----首先,應該安裝防火墻的位置是公司內部網絡與外部Internet的接口處,以阻擋來自外部網絡的入侵;其次,如果公司內部網絡規模較大,并且設置有虛擬局域網(VLAN),則應該在各個VLAN之間設置防火墻;第三,通過公網連接的總部與各分支機構之間也應該設置防火墻,如果有條件,還應該同時將總部與各分支機構組成虛擬專用網(VPN)。
----安裝防火墻的基本原則是:只要有惡意侵入的可能,無論是內部網絡還是與外部公網的連接處,都應該安裝防火墻。
§3.2防火墻的使用配置
一、防火墻的配置規則:
沒有連接的狀態(沒有握手或握手不成功或非法的數據包),任何數據包無法穿過防火墻。(內部發起的連接可以回包。通過ACL開放的服務器允許外部發起連接)
inside可以訪問任何outside和dmz區域。
dmz可以訪問outside區域。
inside訪問dmz需要配合static(靜態地址轉換)。
outside訪問dmz需要配合acl(訪問控制列表)。
二、防火墻設備的設置步驟:
1、確定設置防火墻的部署模式;
2、設置防火墻設備的IP地址信息(接口地址或管理地址(設置在VLAN1上));
3、設置防火墻設備的路由信息;
4、確定經過防火墻設備的IP地址信息(基于策略的源、目標地址);
5、確定網絡應用(如FTP、EMAIL等應用);
6、配置訪問控制策略。
第四章防火墻測試的相關標準
防火墻作為信息安全產品的一種,它的產生源于信息安全的需求。所以防火墻的測試不僅有利于提高防火墻的工作效率,更是為了保證國家信息的安全。依照中華人民共和國國家標準GB/T18019-1999《信息技術包過濾防火墻安全技術要求》、GB/T18020-1999《信息技術應用級防火墻安全技術要求》和GB/T17900-1999《網絡服務器的安全技術要求》以及多款防火墻隨機提供的說明文檔,中國軟件評測中心軟件產品測試部根據有關方面的標準和不同防火墻的特點整理出以下軟件防火墻的測試標準:
4.1規則配置方面
要使防火墻軟件更好的服務于用戶,除了其默認的安全規則外,還需要用戶在使用過程中不斷的完善其規則;而規則的設置是否靈活方便、實際效果是否理想等方面,也是判斷一款防火墻軟件整體安全性是否合格的重要標準。簡單快捷的規則配置過程讓防火墻軟件具備更好的親和力,一款防火墻軟件如果能實施在線檢測所有對本機的訪問并控制它們、分別對應用程序、文件或注冊表鍵值實施單獨的規則添加等等,這將成為此款軟件防火墻規則配置的一個特色。
§4.2防御能力方面
對于防火墻防御能力的表現,由于偶然因素太多,因此無法從一個固定平等的測試環境中來得出結果。但是可以使用了X-Scan等安全掃描工具來測試。雖然得出的結果可能仍然有一定的出入,但大致可以做為一個性能參考。
§4.3主動防御提示方面
對于網絡訪問、系統進程訪問、程序運行等本機狀態發生改變時,防火墻軟件一般都會有主動防御提示出現。這方面主要測試軟件攔截或過濾時是否提示用戶做出相應的操作選擇。
§4.4自定義安全級別方面
用戶是否可以參照已有安全級別的安全性描述來設置符合自身特殊需要的規則。防火墻可設置系統防火墻的安全等級、安全規則,以防止電腦被外界入侵。一般的防火墻共有四個級別:
高級:預設的防火墻安全等級,用戶可以上網,收發郵件;l
中級:預設的防火墻安全等級,用戶可以上網,收發郵件,網絡聊天,FTP、Telnet等;l
低級:預設的防火墻安全等級,只對已知的木馬進行攔截,對于其它的訪問,只是給于提示用戶及記錄;l
自定義:用戶可自定義防火墻的安全規則,可以根據需要自行進行配置。l
§4.5其他功能方面
這主要是從軟件的擴展功能表現、操作設置的易用性、軟件的兼容性和安全可靠性方面來綜合判定。比如是否具有過濾網址、實施木馬掃描、阻止彈出廣告窗口、將未受保護的無線網絡“學習”為規則、惡意軟件檢測、個人隱私保護等豐富的功能項,是否可以滿足用戶各方面的需要。
§4.6資源占用方面
這方面的測試包括空閑時和瀏覽網頁時的CPU占用率、內存占有率以及屏蔽大量攻擊時的資源占用和相應速度。總的來是就是資源占用率越低越好,啟動的速度越快越好。
§4.7軟件安裝方面
這方面主要測試軟件的安裝使用是否需要重啟系統、安裝過程是不是方便、安裝完成后是否提示升級本地數據庫的信息等等。
§4.8軟件界面方面
軟件是否可切換界面皮膚和語言、界面是否簡潔等等。簡潔的界面并不代表其功能就不完善,相反地,簡化了用戶的操作設置項也就帶來了更智能的安全防護功能。比如有的防護墻安裝完成后會在桌面生成簡單模式和高級模式兩個啟動項,這方便用戶根據不同的安全級別啟動相應的防護
第五章防火墻的入侵檢測
§5.1什么是入侵檢測系統?
入侵檢測可被定義為對計算機和網絡資源上的惡意使用行為進行識別和響應的處理過程,它不僅檢測來自外部的入侵行為,同時也檢測內部用戶的未授權活動。
入侵檢測系統(IDS)是從計算機網絡系統中的若干關鍵點收集信息,并分析這些信息,檢查網絡中是否有違反安全策略的行為和遭到襲擊的跡象。IDS被公認為是防火墻之后的第二道安全閘門,它作為一種積極主動的安全防護技術,從網絡安全立體縱深、多層次防御的角度出發,對防范網絡惡意攻擊及誤操作提供了主動的實時保護,從而能夠在網絡系統受到危害之前攔截和響應入侵
§5.2入侵檢測技術及發展
自1980年產生IDS概念以來,已經出現了基于主機和基于網絡的入侵檢測系統,出現了基于知識的模型識別、異常識別和協議分析等入侵檢測技術,并能夠對百兆、千兆甚至更高流量的網絡系統執行入侵檢測。
入侵檢測技術的發展已經歷了四個主要階段:
第一階段是以基于協議解碼和模式匹配為主的技術,其優點是對于已知的攻擊行為非常有效,各種已知的攻擊行為可以對號入座,誤報率低;缺點是高超的黑客采用變形手法或者新技術可以輕易躲避檢測,漏報率高。
第二階段是以基于模式匹配+簡單協議分析+異常統計為主的技術,其優點是能夠分析處理一部分協議,可以進行重組;缺點是匹配效率較低,管理功能較弱。這種檢測技術實際上是在第一階段技術的基礎上增加了部分對異常行為分析的功能。
第三階段是以基于完全協議分析+模式匹配+異常統計為主的技術,其優點是誤報率、漏報率和濫報率較低,效率高,可管理性強,并在此基礎上實現了多級分布式的檢測管理;缺點是可視化程度不夠,防范及管理功能較弱。
第四階段是以基于安全管理+協議分析+模式匹配+異常統計為主的技術,其優點是入侵管理和多項技術協同工作,建立全局的主動保障體系,具有良好的可視化、可控性和可管理性。以該技術為核心,可構造一個積極的動態防御體系,即IMS——入侵管理系統。
新一代的入侵檢測系統應該是具有集成HIDS和NIDS的優點、部署方便、應用靈活、功能強大、并提供攻擊簽名、檢測、報告和事件關聯等配套服務功能的智能化系統§5.3入侵檢測技術分類
從技術上講,入侵檢測技術大致分為基于知識的模式識別、基于知識的異常識別和協議分析三類。而主要的入侵檢測方法有特征檢測法、概率統計分析法和專家知識庫系統。
(1)基于知識的模式識別
這種技術是通過事先定義好的模式數據庫實現的,其基本思想是:首先把各種可能的入侵活動均用某種模式表示出來,并建立模式數據庫,然后監視主體的一舉一動,當檢測到主體活動違反了事先定義的模式規則時,根據模式匹配原則判別是否發生了攻擊行為。
模式識別的關鍵是建立入侵模式的表示形式,同時,要能夠區分入侵行為和正常行為。這種檢測技術僅限于檢測出已建立模式的入侵行為,屬已知類型,對新類型的入侵是無能為力的,仍需改進。
(2)基于知識的異常識別
這種技術是通過事先建立正常行為檔案庫實現的,其基本思想是:首先把主體的各種正常活動用某種形式描述出來,并建立“正常活動檔案”,當某種活動與所描述的正常活動存在差異時,就認為是“入侵”行為,進而被檢測識別。
異常識別的關鍵是描述正常活動和構建正常活動檔案庫。
利用行為進行識別時,存在四種可能:一是入侵且行為正常;二是入侵且行為異常;三是非入侵且行為正常;四是非入侵且行為異常。根據異常識別思想,把第二種和第四種情況判定為“入侵”行為。這種檢測技術可以檢測出未知行為,并具有簡單的學習功能。
以下是幾種基于知識的異常識別的檢測方法:
1)基于審計的攻擊檢測技術
這種檢測方法是通過對審計信息的綜合分析實現的,其基本思想是:根據用戶的歷史行為、先前的證據或模型,使用統計分析方法對用戶當前的行為進行檢測和判別,當發現可疑行為時,保持跟蹤并監視其行為,同時向系統安全員提交安全審計報告。
2)基于神經網絡的攻擊檢測技術
由于用戶的行為十分復雜,要準確匹配一個用戶的歷史行為和當前的行為是相當困難的,這也是基于審計攻擊檢測的主要弱點。
而基于神經網絡的攻擊檢測技術則是一個對基于傳統統計技術的攻擊檢測方法的改進方向,它能夠解決傳統的統計分析技術所面臨的若干問題,例如,建立確切的統計分布、實現方法的普遍性、降低算法實現的成本和系統優化等問題。
3)基于專家系統的攻擊檢測技術
所謂專家系統就是一個依據專家經驗定義的推理系統。這種檢測是建立在專家經驗基礎上的,它根據專家經驗進行推理判斷得出結論。例如,當用戶連續三次登錄失敗時,可以把該用戶的第四次登錄視為攻擊行為。
4)基于模型推理的攻擊檢測技術
攻擊者在入侵一個系統時往往采用一定的行為程序,如猜測口令的程序,這種行為程序構成了某種具有一定行為特征的模型,根據這種模型所代表的攻擊意圖的行為特征,可以實時地檢測出惡意的攻擊企圖,盡管攻擊者不一定都是惡意的。用基于模型的推理方法人們能夠為某些行為建立特定的模型,從而能夠監視具有特定行為特征的某些活動。根據假設的攻擊腳本,這種系統就能檢測出非法的用戶行為。一般為了準確判斷,要為不同的入侵者和不同的系統建立特定的攻擊腳本。
使用基于知識的模式識別和基于知識的異常識別所得出的結論差異較大,甚至得出相反結論。這是因為基于知識的模式識別的核心是維護一個入侵模式庫,它對已知攻擊可以詳細、準確地報告出攻擊類型,但對未知攻擊卻無能為力,而且入侵模式庫必須不斷更新。而基于知識的異常識別則是通過對入侵活動的檢測得出結論的,它雖無法準確判斷出攻擊的手段,但可以發現更廣泛的、甚至未知的攻擊行為。
§5.4入侵檢測技術剖析
1)信號分析
對收集到的有關系統、網絡、數據及用戶活動的狀態和行為等信息,一般通過三種技術手段進行分析:模式匹配、統計分析和完整性分析。其中前兩種方法用于實時的入侵檢測,而完整性分析則用于事后分析。
2)模式匹配
模式匹配就是將收集到的信息與已知的網絡入侵和系統已有模式數據庫進行比較,從而發現違背安全策略的行為。該過程可以很簡單(如通過字符串匹配以尋找一個簡單的條目或指令),也可以很復雜(如利用正規的數學表達式來表示安全狀態的變化)。一般來講,一種進攻模式可以用一個過程(如執行一條指令)或一個輸出(如獲得權限)來表示。該方法的一大優點是只需收集相關的數據集合,顯著減少系統負擔,且技術已相當成熟。它與病毒防火墻采用的方法一樣,檢測準確率和效率都相當高。但是,該方法存在的弱點是需要不斷的升級以對付不斷出現的黑客攻擊手法,不能檢測到從未出現過的黑客攻擊手段。
3)統計分析
統計分析方法首先給系統對象(如用戶、文件、目錄和設備等)創建一個統計描述,統計正常使用時的一些測量屬性(如訪問次數、操作失敗次數和延時等)。在比較這一點上與模式匹配有些相象之處。測量屬性的平均值將被用來與網絡、系統的行為進行比較,任何觀察值在正常值范圍之外時,就認為有入侵發生。例如,本來都默認用GUEST帳號登錄的,突然用ADMINI帳號登錄。這樣做的優點是可檢測到未知的入侵和更為復雜的入侵,缺點是誤報、漏報率高,且不適應用戶正常行為的突然改變。具體的統計分析方法如基于專家系統的、基于模型推理的和基于神經網絡的分析方法,目前正處于研究熱點和迅速發展之中。
4)完整性分析
完整性分析主要關注某個文件或對象是否被更改,這經常包括文件和目錄的內容及屬性,它在發現被更改的、被特咯伊化的應用程序方面特別有效。完整性分析利用強有力的加密機制,稱為消息摘要函數(例如MD5),它能識別哪怕是微小的變化。其優點是不管模式匹配方法和統計分析方法能否發現入侵,只要是成功的攻擊導致了文件或其它對象的任何改變,它都能夠發現。缺點是一般以批處理方式實現,用于事后分析而不用于實時響應。盡管如此,完整性檢測方法還應該是網絡安全產品的必要手段之一。例如,可以在每一天的某個特定時間內開啟完整性分析模塊,對網絡系統進行全面地掃描檢查。
§5.5防火墻與入侵檢測的聯動
網絡安全是一個整體的動態的系統工程,不能靠幾個產品單獨工作來進行安全防范。理想情況下,整個系統的安全產品應該有一個響應協同,相互通信,協同工作。其中入侵檢測系統和防火墻之間的聯動就能更好的進行安全防護。圖8所示就是入侵檢測系統和防火墻之間的聯動,當入侵檢測系統檢測到入侵后,通過和防火墻通信,讓防火墻自動增加規則,以攔截相關的入侵行為,實現聯動聯防。
§5.6什么是VPN?
VPN的英文全稱是“VirtualPrivateNetwork”,翻譯過來就是“虛擬專用網絡”。顧名思義,虛擬專用網絡我們可以把它理解成是虛擬出來的企業內部專線。它可以通過特殊的加密的通訊協議在連接在Internet上的位于不同地方的兩個或多個企業內部網之間建立一條專有的通訊線路,就好比是架設了一條專線一樣,但是它并不需要真正的去鋪設光纜之類的物理線路。這就好比去電信局申請專線,但是不用給鋪設線路的費用,也不用購買路由器等硬件設備。VPN技術原是路由器具有的重要技術之一,目前在交換機,防火墻設備或Windows2000等軟件里也都支持VPN功能,一句話,VPN的核心就是在利用公共網絡建立虛擬私有網。
虛擬專用網(VPN)被定義為通過一個公用網絡(通常是因特網)建立一個臨時的、安全的連接,是一條穿過混亂的公用網絡的安全、穩定的隧道。虛擬專用網是對企業內部網的擴展。虛擬專用網可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接,并保證數據的安全傳輸。虛擬專用網可用于不斷增長的移動用戶的全球因特網接入,以實現安全連接;可用于實現企業網站之間安全通信的虛擬專用線路,用于經濟有效地連接到商業伙伴和用戶的安全外聯網虛擬專用網。
§5.7VPN的特點
1.安全保障雖然實現VPN的技術和方式很多,但所有的VPN均應保證通過公用網絡平臺傳輸數據的專用性和安全性。在安全性方面,由于VPN直接構建在公用網上,實現簡單、方便、靈活,但同時其安全問題也更為突出。企業必須確保其VPN上傳送的數據不被攻擊者窺視和篡改,并且要防止非法用戶對網絡資源或私有信息的訪問。
2.服務質量保證(QoS)
VPN網應當為企業數據提供不同等級的服務質量保證。不同的用戶和業務對服務質量保證的要求差別較大。在網絡優化方面,構建VPN的另一重要需求是充分有效地利用有限的廣域網資源,為重要數據提供可靠的帶寬。廣域網流量的不確定性使其帶寬的利用率很低,在流量高峰時引起網絡阻塞,使實時性要求高的數據得不到及時發送;而在流量低谷時又造成大量的網絡帶寬空閑。QoS通過流量預測與流量控制策略,可以按照優先級分實現帶寬管理,使得各類數據能夠被合理地先后發送,并預防阻塞的發生。
3.可擴充性和靈活性
VPN必須能夠支持通過Intranet和Extranet的任何類型的數據流,方便增加新的節點,支持多種類型的傳輸媒介,可以滿足同時傳輸語音、圖像和數據等新應用對高質量傳輸以及帶寬增加的需求。
4.可管理性
從用戶角度和運營商角度應可方便地進行管理、維護。VPN管理的目標為:減小網絡風險、具有高擴展性、經濟性、高可靠性等優點。事實上,VPN管理主要包括安全管理、設備管理、配置管理、訪問控制列表管理、QoS管理等內容。
§5.8VPN防火墻
VPN防火墻就是一種過濾塞(目前你這么理解不算錯),你可以讓你喜歡的東西通過這個塞子,別的玩意都統統過濾掉。在網絡的世界里,要由VPN防火墻過濾的就是承載通信數據的通信包。
最簡單的VPN防火墻是以太網橋。但幾乎沒有人會認為這種原始VPN防火墻能管多大用。大多數VPN防火墻采用的技術和標準可謂五花八門。這些VPN防火墻的形式多種多樣:有的取代系統上已經裝備的TCP/IP協議棧;有的在已有的協議棧上建立自己的軟件模塊;有的干脆就是獨立的一套操作系統。還有一些應用型的VPN防火墻只對特定類型的網絡連接提供保護(比如SMTP或者HTTP協議等)。還有一些基于硬件的VPN防火墻產品其實應該歸入安全路由器一類。以上的產品都可以叫做VPN防火墻,因為他們的工作方式都是一樣的:分析出入VPN防火墻的數據包,決定放行還是把他們扔到一邊。
所有的VPN防火墻都具有IP地址過濾功能。這項任務要檢查IP包頭,根據其IP源地址和目標地址作出放行/丟棄決定。看看下面這張圖,兩個網段之間隔了一個VPN防火墻,VPN防火墻的一端有臺UNIX計算機,另一邊的網段則擺了臺PC客戶機。
當PC客戶機向UNIX計算機發起telnet請求時,PC的telnet客戶程序就產生一個TCP包并把它傳給本地的協議棧準備發送。接下來,協議棧將這個TCP包“塞”到一個IP包里,然后通過PC機的TCP/IP棧所定義的路徑將它發送給UNIX計算機。在這個例子里,這個IP包必須經過橫在PC和UNIX計算機中的VPN防火墻才能到達UNIX計算機。
現在我們“命令”(用專業術語來說就是配制)VPN防火墻把所有發給UNIX計算機的數據包都給拒了,完成這項工作以后,比較好的VPN防火墻還會通知客戶程序一聲呢!既然發向目標的IP數據沒法轉發,那么只有和UNIX計算機同在一個網段的用戶才能訪問UNIX計算機了。
還有一種情況,你可以命令VPN防火墻專給那臺可憐的PC機找茬,別人的數據包都讓過就它不行。這正是VPN防火墻最基本的功能:根據IP地址做轉發判斷。但要上了大場面這種小伎倆就玩不轉了,由于黑客們可以采用IP地址欺騙技術,偽裝成合法地址的計算機就可以穿越信任這個地址的VPN防火墻了。不過根據地址的轉發決策機制還是最基本和必需的。另外要注意的一點是,不要用DNS主機名建立過濾表,對DNS的偽造比IP地址欺騙要容易多了。
后記:
入侵檢測作為一種積極主動地安全防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網絡系統受到危害之前攔截和響應入侵。入侵檢測系統面臨的最主要挑戰有兩個:一個是虛警率太高,一個是檢測速度太慢。現有的入侵檢測系統還有其他技術上的致命弱點。因此,可以這樣說,入侵檢測產品仍具有較大的發展空間,從技術途徑來講,除了完善常規的、傳統的技術(模式識別和完整性檢測)外,應重點加強統計分析的相關技術研究。
但無論如何,入侵檢測不是對所有的入侵都能夠及時發現的,即使擁有當前最強大的入侵檢測系統,如果不及時修補網絡中的安全漏洞的話,安全也無從談起。
同樣入侵檢測技術也存在許多缺點,IDS的檢測模型始終落后于攻擊者的新知識和技術手段。主要表現在以下幾個方面:
1)利用加密技術欺騙IDS;
2)躲避IDS的安全策略;
3)快速發動進攻,使IDS無法反應;
4)發動大規模攻擊,使IDS判斷出錯;
5)直接破壞IDS;
6)智能攻擊技術,邊攻擊邊學習,變IDS為攻擊者的工具。
我認為在與防火墻技術結合中應該注意擴大檢測范圍和類別、加強自學習和自適應的能力方面發展。
參考文獻:
1..MarcusGoncalves著。宋書民,朱智強等譯。防火墻技術指南[M]。機械工業出版社
2.梅杰,許榕生。Internet防火墻技術新發展。微電腦世界.
關鍵詞入侵檢測;通用入侵檢測對象;通用入侵描述語言;語義標識符
1引言
計算機網絡在我們的日常生活中扮演著越來越重要的角色,與此同時,出于各種目的,它正日益成為犯罪分子攻擊的目標,黑客們試圖使用他們所能找到的方法侵入他人的系統。為此,我們必須采取有效地對策以阻止這類犯罪發生。開發具有嚴格審計機制的安全操作系統是一種可行方案,然而綜合考慮其實現代價,在許多問題上作出少許讓步以換取減少系統實現的難度卻又是必要的。因此,在操作系統之上,再加一層專門用于安全防范的應用系統成為人們追求的目標。入侵檢測技術即是這樣一種技術,它和其它安全技術一道構成計算機系統安全防線的重要組成部分。自從DorothyE.Denning1987年提出入侵檢測的理論模型后[1],關于入侵檢測的研究方法就層出不窮[5-7],基于不同檢測對象及不同檢測原理的入侵檢測系統被研制并投放市場,取得了顯著成效,然而,遺憾的是這些產品自成一體,相互間缺少信息交流與協作,而作為防范入侵的技術產品,這勢必削弱了它們的防范能力,因而如何使不同的入侵檢測系統構件能夠有效地交流合作,共享它們的檢測結果是當前亟待解決的一個問題。入侵檢測系統框架的標準化,數據格式的標準化[2]為解決這一問題作了一個有益的嘗試。本文主要針對入侵檢測數據格式的標準化——通用入侵檢測對象進行分析應用,并通過一個實際例子介紹了我們的具體實踐過程。
入侵檢測是指“通過對行為、安全日志或審計數據或其它網絡上可以獲得的信息進行操作,檢測到對系統的闖入或闖入的企圖”[2-4]。從技術上劃分,入侵檢測有兩種模型[2,4]:①異常檢測模型(AnomalyDetection);②誤用檢測模型(MisuseDetection)。按照檢測對象劃分有:基于主機、基于網絡及混合型三種。
入侵檢測過程主要有三個部分[4]:即信息收集、信息分析和結果處理。
2通用入侵檢測對象(GIDO)
為解決入侵檢測系統之間的互操作性,國際上的一些研究組織開展了標準化工作,目前對IDS進行標準化工作的有兩個組織:IETF的IntrusionDetectionWorkingGroup(IDWG)和CommonIntrusionDetectionFramework(CIDF)。CIDF早期由美國國防部高級研究計劃局贊助研究,現在由CIDF工作組負責,是一個開放組織。CIDF規定了一個入侵檢測系統應包括的基本組件。CISL(CommonIntrusionSpecificationLanguage,通用入侵規范語言)是CIDF組件間彼此通信的語言。由于CIDF就是對協議和接口標準化的嘗試,因此CISL就是對入侵檢測研究的語言進行標準化的嘗試[8]。
CISL語言為了實現自定義功能,以S-表達式表示GIDO(GeneralizedIntrusionDetectionObjectis),S-表達式以各類語義標識符(SemanticIdentifeers)為標記,分別有動作SID、角色SID、屬性SID、原子SID、連接SID、指示SID和SID擴展名等類型。其范式如下:
<SExpression>::=’(<SID><Data>’)’
<Data>::=<SimpleAtom>
<Data>::=<ArrayAtom>
<Data>::=<SExpressionList>
<SExpressionList>::=<SExpression>
<SExpressionList>::=<SExpression><SExpressionList>
入侵檢測組件交流信息時,以GIDO為標準數據格式傳輸內容,GIDO所包含的內容常來自于各類審計日志,網絡數據包,應用程序的跟蹤信息等。
CISL對S-表達式編碼規則遵循遞歸原則,具體如下:
<SExpression>::=’(<SID><Data>’)’
E[Sexpression]=length_encode(sid_encode(SID)E[Data])
sid_encode(SID)E[Data]
<Data>::=<SimpleAtom>
E[Data]=Simple_encode(SimpleAtom)
<Data>::=<ArrayAtom>
E[Data]=Array_encode(ArrayAtom)
<Data>::=<SExpressionList>
E[Data]=E[SExpressionList]
<SExpressionList>::=<SExpression>
E[SExpressionList]::=E[SExpression]
<SExpressionList>::=<SExpression><SExpressionList>
E[SExpressionList]::=E[SExpression]e[SExpressionList]
對于每一個GIDO的基本成份SID,CISL都有規定的編碼,通過這些編碼本身的信息可知這些SID是原子SID還是非原子SID。原子SID在編碼中不能繼續分解,而是直接帶有具體的值。值有簡單類型和數組類型[8]。
GIDO以各類SID為標志,組成樹形結構,根結點為該GIDO的標志SID,各子樹的根結點為相應的對該GIDO所描述的事件起關鍵作用的SID。編碼時,每棵子樹的根結點前附加該子樹所有孩子結點編碼的總長度,以遞歸方式完成GIDO編碼,一個詳細的實例可參考文獻[8]。3通用入侵檢測對象的應用
我們以Linux環境為例,在檢測口令猜測攻擊中,系統的日志文件會產生以LOGIN_FAILED為標志的日志記錄[9-10]。在IDS的事件產生器中,讀取日志文件中含有LOGIN_FAILED的記錄生成GIDO。
例:Jul3108:57:45zd213login[1344]LOGIN_FAILED1from192.168.0.211FORJohnAuthenticationfailure。相應的GIDO為:
{Login
{Outcome
{ReturnCodeACTION_FAILED}
)
(When
(BeginTimeJul3108:57:43)
)
(Initiator
(IPV4Address192.168.0.211)
(UsernameJohn)
)
(Receiver
(Hostnamezd213)
))
其編碼過程除了遵循前面所描述的規則外,還使用了文獻[2]所建議的各類API。它們分別用于生成存放GIDO的空樹、向空樹附加根結點、附加數據、附加子樹及對整個樹編碼。
當一個GIDO由事件產生器完成編碼后,便發送至事件分析器按一定的規則分析所接收的GIDOs以便確定是否有入侵發生,若有則將有關信息發至控制臺。對口令猜測攻擊的GIDO,一個可行的處理流程如圖1所示。
假定系統檢測到30秒內發生了三次或以上登錄失敗,認為系統受到入侵,便發出相應報警信息。則本例輸出結果(從不同終端登錄)如圖2所示。
圖1對口令猜測攻擊事件產生的GIDO的處理流程
圖2一個口令猜測攻擊的模擬檢測結果
4結束語
本文在深入分析入侵檢測基本原理及入侵檢測說明語言CISL基礎上,對入侵檢測對象GIDO的編碼進行了詳細說明。在系統設計的實踐過程中,分別使用了入侵檢測標準化組織提出的草案中包含的有關接口。但在本文中也只是針對一類特定入侵的事件說明如何生成并編碼GIDOs。事實上,入侵檢測系統各構件之間的通信本身也需要安全保障,這一點參考文獻[8],可利用GIDO的附加部分來實現,其中所用技術(諸如簽名,加密等)可借鑒目前一些較成熟的安全通信技術。
參考文獻
[1]DorothyE.DenningAnIntrusion-DetectionModel[J].IEEETransactionsonsoftwareEngineering,1987,13(2):222-232
[2]蔣建春,馬恒太等網絡入侵檢測綜述[J].軟件學報2000.11(11):1460-1466
[3]GB/T18336,信息技術安全技術安全性評估標準[S]。
[4]蔣建春,馮登國。網絡入侵檢測原理與技術[M],國防工業出版社,北京,2001
[5]KumarS,SpaffordEH,AnApplicationofPatterMatchinginIntrusionDetection[R],TechnicalReportCSD-7r-94-013,DepartmentofComputerScience,PurdueUniversity,1994。
[6]JstinDoak.IntrusionDetection:TheApplicationofaFeatureSelection-AComparisonofAlgorithmsandtheApplicationofWideAreaNetworkAnalyzer[R].DepartmentofComputerScience,Universityofcolifornia,Davis1992.
[7]DusanBulatovic,DusanVelasevi.AdistributedIntrusionDetectionSystem[J],JournalofcomputerSecurity.1999,1740:219-118
[8]http://gost.isi.edu/cidf
關鍵字網格;虛擬組織;入侵檢測
1入侵檢測系統分析
表1分析了入侵檢測系統結構變化。
表1IDS出現的問題及結構的變化
IDS發展解決的問題結構特征
基于主機單一主機的安全各部分運行在單節點上
基于網絡局域網的安全采集部分呈現分布式
分布式單一分析節點的弱勢分析部分呈現分布式
網格的運行是由用戶發起任務請求,然后尋找資源搭配完成任務,這樣形成的團體稱為虛擬組織(VO),網格入侵檢測系統是為其他VO提供服務的VO[1],目前其面臨的主要問題如下:
(1)分布性:包括資源分布和任務分解。
(2)動態部署:系統是為VO提供服務的,其部署應是動態的。
(3)動態形成:系統本身也是一VO,是動態形成的。
(4)最優方案選擇:本系統需多種網格資源協同進行,要選擇一個最優方案。
(5)協同計算:保證按照入侵檢測流程順利運行。
(6)動態改變:防止資源失效。
目前關于網格入侵檢測系統的研究[2]只能說解決了分布性、動態形成、協同計算。而對于動態部署[1]、動態改變[3]仍處于研究中。
2VGIDS系統模型
VGIDS基于開放網格服務(OGSA)思想提出了一個公共服務——GIDSService來解決目前網格入侵檢測系統面臨的問題。整個VGIDS結構如圖1所示。
(1)VO-Based:網格是一個虛擬組織的聚集,本系統提出一虛擬組織目錄(VOL)。用戶向GIDSService提交請求并將被檢測VO代號作為參數。GIDSSevvice查找VOL獲取VO信息。當VOL數量減為一就成為單一網格應用,可由網格管理(GM)將VO信息傳給GIDSServic。
圖1VGIDS系統結構
(2)GIDSService:負責資源發現,調度。具體包括:
RI(RequestInterface):服務接口,負責服務請求及VO信息獲取。同VOL解決動態部署。
DA(DelegationAgent):委托。同用戶交互獲得用戶委托授權。
DD(DistributedData):分布式數據。存儲VGIDS需要的資源信息。解決分布問題。
RQ(ResourceQuery):資源查詢。當獲得用戶授權后便由RQ根據DD描述向資源目錄(RL)查找資源。解決分布問題。
PC(PlanChoose):最優方案選擇。當從RL獲得可用資源后PC根據AM(任務管理)要求選擇一個最優方案。本文稱為多維最優路徑選擇問題。
AM(AssignmentManage):任務管理。首先根據DD存儲所需資源的調度信息,當VGIDS形成后,根據PC的方案選擇及DD存儲的資源信息進行任務的調度和協同各分布資源的交互,解決協同計算。
IR(IntrusionReaction):入侵響應。
SN(SecurityNegotiate):安全協商。同資源和用戶的安全協商。
DI(DynamicInspect):動態檢查。負責檢查資源失效向RQ發起重新查找資源請求。解決動態改變問題。
LB(LoadBalance):負載平衡。主要根據DD信息解決網格資源調度的負載平衡問題。
3VGIDS服務描述
本系統是一動態虛擬組織,在系統運行之前必須以靜態網格服務的形式部署于網格之上,當用戶申請時再動態形成。
定義1:VGIDS的靜態定義如下:VGIDS=<Base,Resource,Role,Task,Flow,Relation>
Base為VGIDS基本描述,Base=<ID,Power,IO,Inf,log,goal,P>。ID為虛擬組織編號;Power為獲得的授權;IO為被檢測對象;Inf為監控VGIDS獲得的信息文件;log為系統日志;goal為VGIDS目標,包括調度算法所估計的系統效率及用戶要求;P為系統交互策略,需同網格資源進行交互,授予資源角色和相關權利并同時分配相關任務。
Resource為VGIDS的所有資源,Resource=<IP,Property,Serve,Power,P>。
IP為資源地址;Property為資源屬性(存儲、分析),方便角色匹配;Serve為資源可提供的服務指標;Power為使用資源所要求的授權;P為資源交互策略。
Role為存在的角色類型,Role=<ID,Tas,Res,Power>。ID為角色的分類號,按照工作流分為5類角色分別對應VGIDS的5個環節;Tas為角色任務;Res為角色需要的資源類型;Power為角色所獲得的權利。
Task為工作流任務集合。Task=<ID,Des,Res,Role,P>。ID為任務標號;Des為任務描述;Res為需要的資源種類;Role為任務匹配的角色;P為Task執行策略。
Flow為工作流描述文件,Flow=<Role,Seq,P>。Role為角色集合,Seq為角色執行序列,P為對于各個角色的控制策略。
Relation為已確定資源Resource和Role之間的關系。Relation=<Res,Role,Rl>。Res為資源集合,Role為角色集合,Rl為對應關系。
4多維最優路徑選擇
4.1問題描述
將圖1抽象為圖2模型定義2:Graph=(U、D、A、{Edge})。
U為所有被檢測對象的集合,Un=(Loadn、Pn),Loadn為Un單位時間所要求處理的數據,Pn為Un在被檢測VO中所占權重,如果P為空,則按照Load大小作為權重。
D為存儲服務集合,Dn=(Capn、Qosdn),Capn為Dn提供的存儲容量。Qosdn為Dn提供的服務質量,近似為數據吞吐率。
A為分析服務集合,An=(Classn、Qosan),Classn為An處理的數據種類,如系統日志或網絡流量。Qosan為An提供的服務質量,近似為處理速率。
Edge為邊的集合,有網絡傳輸速度加權v。
圖2VGIDS調度模型
定義3:Qos定義為一個多維向量,可用一個性能度量指標的集合表示:
{M1(t)、M2(t),…,Mn(t)}
Mn(t)為一個與網格服務質量有關的量,如CPU的主頻、網絡速度、內存。服務的執行過程體現出來的性能參數是一條n維空間的軌跡M,這個n維空間的每一維代表一個性能指標
M=R1*R2*…*Rn
其中,Rn是性能指標Mn(t)的取值范圍。在本系統中存在兩類Qos,分別為D和A。本系統強調實時性,所以CPU、RAM和網絡速度占很大權重,Qos計算公式如下:
Wcpu表示CPU的權重;CPUusage表示當前CPU使用率;CPUspeed表示CPU的實際速度;CPUmin表示要求的CPU速率的最小值。Wram表示RAM的權重;RAMusage表示當前RAM使用率;RAMsize表示RAM的實際大小;RAMmin表示要求的RAM的最小值。Wnet表示網絡傳輸的權重;NETusage表示當前網絡負載;NETspeed表示網絡的實際速度;NETmin表示要求的網絡傳輸速率的最小值。
資源調度就是利用對各個資源的量化,為每一檢測對象選擇一條數據傳輸路徑。本系統目標是使整個VO獲得快速的檢測,而不是對個別對象的檢測速率很高。
定義4:對于任意一個被檢測VO的檢測對象,如果能夠為其構造一條檢測路徑,稱系統對于此對象是完備的。
定義5:對于VO,如果能夠為其所有的檢測對象構造檢測路徑,則稱系統對于被檢測VO是完備的。
本調度算法的目的便是在滿足被檢測VO和入侵檢測工作流要求下,按照所選網格資源提供的能力為整個VO構造VGIDS,使所有被檢測對象檢測效率之和最高。這是一非典型的線性規劃問題,如下定義:
X1,…Xn是n個獨立變量,表示VGIDS所選路徑;公式<5>表示最大耗費時間;公式<6>—<8>表示所有對于Xn的約束條件。由于Xn變量難以確定并且約束條件種類較多所以難以將上述問題標準化為公式<5>—<8>。
4.2算法描述
本文利用貪心選擇和Dijkstra算法進行調度。
按照用戶給出的U的權值P從大到小進行排序,if(P==NULL),則按Load從大到小進行排序得到排序后的對象數組和負載數組為
U[i](0<i≤n,n為U的大小);Load[i](0<i≤n,n為U的大小)
for(i=0;i<=n;i++),循環對U和Load執行以下操作:
(1)對于所有邊,定義其權值為網絡傳輸時間t=Load[i]/v,對于所有服務D和A定義其處理數據時間為t1=Load[i]/Qos,將t1加到每一個服務的入邊上得到最終各邊權值,如果兩點之間沒有邊相連則t[j]為∞。
(2)定義Capmin[i]為U[i]對于數據存儲能力的最低要求,Qosdmin為U[i]對于D中服務質量的最低要求,Qosamin為U[i]對于A中服務質量的最低要求。對于所有D中Cap<Capmin[i]或者Qosd<Qosdmin的節點以及A中Qosa<Qosamin[i]的節點,將其所有輸入和輸出邊的t設為∞。
(3)設所有點集合為V,V0為檢測對象,邊Edge定義為<Vi,Vj>。用帶權連接矩陣arcs[i][j]表示<Vi,Vj>的權值。定義向量D表示當前所找到的從起點V0到終點Vi的最短路徑,初始化為若V0到Vi有邊,則D[i]為邊的權值,否則置D[i]為∞。定義向量P來保存最短路徑,若P[v][w]為TRUE,則W是從V0到V當前求得最短路徑上的頂點。
(4)for(v=0;v<v.number;v++)
{
final[v]=false;
D[v]=arcs[v0][v];
for(w=0;w<v.number;++w)P[v][w]=false;
//設空路徑
if(D[v]<INFINITY){P[v][v0]=true;P[v][v]=true;}}
D[v0]=0;final[v0]=true;//初始化,V0頂點屬于已求得最短路徑的終點集合
for(i=1;i<v.number;++i){
min=INFINITY;
for(w=0;w<v.number;++w)
if(!final[w])
if(D[w]<min){v=w;min=D[w];}
final[v]=true;
for(w=0;w<v.number;++w)//更新當前最短路徑及距離;
if(!final[w]&&(min+arcs[v][w]<D[w])){
D[w]=min+arcs[v][w];
P[w]=P[v];P[w][w]=true;
}}}
掃描A中各點,選取其中D[i](Vi∈A)最小的一點X,然后從P中選取從V0到X的路徑便為所選一條VGIDS路徑。
(5)將所選路徑上的邊的速率改為V=V-Load[i],D的Cap改為Cap=Cap-Capmin,D的Qosd改為Qosd=Qosd-Qosdmin,A的Qosa改為Qosa=Qosa-Qosamin。
(6)++i,回到步驟(1)重新開始循環。
5系統開發
本項目主要利用Globus工具包外加CoGKits開發工具。Globus作為一個廣泛應用的網格中間件其主要是針對五層沙漏結構,并利用GridService技術逐層對五層沙漏提出的功能單源進行實現[5],表2簡單敘述VGIDS實現的各層功能及Globus中對應服務調用。
實驗時VGIDS部署在Linux系統上,采用基于Linux核心的數據采集技術及Oracle10g作為數據庫系統解決分布式存儲問題,數據分析技術仍采用現有的基于規則的入侵檢測技術。系統試驗平臺如圖3所示。
表2系統功能劃分及調用接口
五層結構VGIDSGlobus
應用層GridService無
匯聚層資源發現、證書管理、目錄復制、復制管理、協同分配元目錄服務MDS,目錄復制和復制管理服務,在線信任倉儲服務,DUROC協同分配服務
資源層訪問計算、訪問數據、訪問系統結構與性能信息提供GRIP、GRRP、基于http的GRAM用于分配資源和監視資源,提供GridFtp數據訪問管理協議及LDAP目錄訪問協議。Globus定義了這些協議的C和Java實現
連接層通信、認證、授權提供GSI協議用于認證、授權、及通信保密
構造層數據采集、數據存儲、數據分析提供缺省和GARA資源預約
圖3系統試驗平臺
本平臺共8臺機器,一臺網格目錄服務和CA認證中心,一臺部署VGIDS服務。兩臺機器作為被檢測對象,相互之間可實現簡單網格協作,本試驗兩臺機器之間通過GridFtp服務傳輸數據。其余四臺機器分別實現兩個存儲服務和兩個分析服務。
6總結和展望
目前網格入侵檢測系統主要是針對某一特定網格應用靜態執行。而本文所提出的VGIDS則是針對網格運行模式——虛擬組織所提出的通用網格入侵檢測服務。本系統事先進行靜態定義,然后當有服務請求時動態解析定義文件,動態形成可執行的網格入侵檢測系統。本系統解決目前網格入侵檢測系統面臨的動態部署、動態形成、最優方案選擇、動態改變等問題。
對于網格入侵檢測系統同樣還面臨著如何解決數據異構,如何發現分布式協同攻擊,如何保障自身的安全等問題,本模型有待進一步完善。
參考文獻
[1]OngTianChoonandAzmanSamsudin.Grid-basedIntrusionDetectionSystem.SchoolofComputerSciencesUniversitySainsMalaysia,IEEE,2003.1028-1032
[2]AlexandreSchulterandJúlioAlbuquerqueReis.AGrid-worksandManagementLaboratoryFederalUniversityofSantaCatarina,ProceedingsoftheInternationalConferenceonNetworking,InternationalConferenceonSystemsandInternationalConferenceonMobileCommunicationsandLearningTechnologies.IEEE,2006
[3]TolbaMF,Abdel-WahabMS,TahaIA,etal,“GIDA:TowardEnablingGridIntrusionDetectionSystems”,CCGrid,11thMay,2005
關鍵字貝葉斯;核密度;入侵檢測;分類
1前言
在入侵檢測系統中,為了提高系統的性能,包括降低誤報率和漏報率,縮短反應時間等,學者們引入了許多方法,如專家系統、神經網絡、遺傳算法和數據挖掘中的聚類,分類等各種算法。例如:Cooper&Herkovits提出的一種基于貪心算法的貝葉斯信念網絡,而Provan&SinghProvan,G.M&SinghM和其他學者報告了這種方法的優點。貝葉斯網絡說明聯合條件概率分布,為機器學習提供一種因果關系的圖形,能有效的處理某些問題,如診斷:貝葉斯網絡能正確的處理不確定和有噪聲的問題,這類問題在任何檢測任務中都很重要。
然而,在分類算法的比較研究發現,一種稱作樸素貝葉斯分類的簡單貝葉斯算法給人印象更為深刻。盡管樸素貝葉斯的分類器有個很簡單的假定,但從現實數據中的實驗反復地表明它可以與決定樹和神經網絡分類算法相媲美[1]。
在本文中,我們研究樸素貝葉斯分類算法,用來檢測入侵審計數據,旨在開發一種更有效的,檢驗更加準確的算法。
2貝葉斯分類器
貝葉斯分類是統計學分類方法。它們可以預測類成員關系的可能性,如給定樣本屬于一個特定類的概率。
樸素貝葉斯分類[2]假定了一個屬性值對給定類的影響獨立于其它屬性的值,這一假定稱作類條件獨立。
設定數據樣本用一個n維特征向量X={x1,x2,,xn}表示,分別描述對n個屬性A1,A2,,An樣本的n個度量。假定有m個類C1,C2,,Cm。給定一個未知的數據樣本X(即沒有類標號),樸素貝葉斯分類分類法將預測X屬于具有最高后驗概率(條件X下)的類,當且僅當P(Ci|X)>P(Cj|X),1≤j≤m,j≠i這樣,最大化P(Ci|X)。其中P(Ci|X)最大類Ci稱為最大后驗假定,其原理為貝葉斯定理:
公式(1)
由于P(X)對于所有類為常數,只需要P(X|Ci)P(Ci)最大即可。并據此對P(Ci|X)最大化。否則,最大化P(X|Ci)P(Ci)。如果給定具有許多屬性的數據集,計算P(X|Ci)P(Ci)的開銷可能非常大。為降低計算P(X|Ci)的開銷,可以做類條件獨立的樸素假定。給定樣本的類標號,假定屬性值相互條件獨立,即在屬性間,不存在依賴關系,這樣,
公式(2)
概率,可以由訓練樣本估值:
(1)如果Ak是分類屬性,則P(xk|Ci)=sik/si其中sik是Ak上具有值xk的類Ci的訓練樣本數,而si是Ci中的訓練樣本數。
(2)如果Ak是連續值屬性,則通常假定該屬性服從高斯分布。因而
公式(3)
其中,給定類Ci的訓練樣本屬性Ak的值,是屬性Ak的高斯密度函數,而分別為平均值和標準差。
樸素貝葉斯分類算法(以下稱為NBC)具有最小的出錯率。然而,實踐中并非如此,這是由于對其應用假定(如類條件獨立性)的不確定性,以及缺乏可用的概率數據造成的。主要表現為:
①不同的檢測屬性之間可能存在依賴關系,如protocol_type,src_bytes和dst_bytes三種屬性之間總會存在一定的聯系;
②當連續值屬性分布是多態時,可能產生很明顯的問題。在這種情況下,考慮分類問題涉及更加廣泛,或者我們在做數據分析時應該考慮另一種數據分析。
后一種方法我們將在以下章節詳細討論。
3樸素貝葉斯的改進:核密度估計
核密度估計是一種普便的樸素貝葉斯方法,主要解決由每個連續值屬性設為高斯分布所產生的問題,正如上一節所提到的。在[3]文中,作者認為連續屬性值更多是以核密度估計而不是高斯估計。
樸素貝葉斯核密度估計分類算法(以下稱K-NBC)十分類似如NBC,除了在計算連續屬性的概率時:NBC是使用高斯密度函數來評估該屬性,而K-NBC正如它的名字所說得一樣,使用高斯核密度函數來評估屬性。它的標準核密度公式為
公式(4)
其中h=σ稱為核密度的帶寬,K=g(x,0,1),定義為非負函數。這樣公式(4)變形為公式(5)
公式(5)
在K-NBC中采用高斯核密度為數據分析,這是因為高斯密度有著更理想的曲線特點。圖1說明了實際數據的概率分布更接近高斯核密度曲線。
圖1兩種不同的概率密度對事務中數據的評估,其中黑線代表高斯密度,虛線為核估計密度并有兩個不同值的帶寬樸素貝葉斯算法在計算μc和σc時,只需要存儲觀測值xk的和以及他們的平方和,這對一個正態分布來說是已經足夠了。而核密度在訓練過程中需要存儲每一個連續屬性的值(在學習過程中,對名詞性屬性只需要存儲它在樣本中的頻率值,這一點和樸素貝葉斯算法一樣)。而為事例分類時,在計算連續值屬性的概率時,樸素貝葉斯算法只需要評估g一次,而核密度估計算法需要對每個c類中屬性X每一個觀察值進行n次評估,這就增加計算存儲空間和時間復雜度,表1中對比了兩種方法的時間復雜度和內存需求空間。
4實驗研究與結果分析
本節的目標是評價我們提出核密度評估分類算法對入侵審計數據分類的效果,主要從整體檢測率、檢測率和誤檢率上來分析。
表1在給定n條訓練事務和m個檢測屬性條件下,
NBC和K-NBC的算法復雜度
樸素貝葉斯核密度
時間空間時間空間
具有n條事務的訓練數據O(nm)O(m)O(nm)O(nm)
具有q條事務的測試數據O(qm)O(qnm)
4.1實驗建立
在實驗中,我們使用NBC與K-NBC進行比較。另觀察表1兩種算法的復雜度,可得知有效的減少檢測屬性,可以提高他們的運算速度,同時刪除不相關的檢測屬性還有可以提高分類效率,本文將在下一節詳細介紹對稱不確定方法[4]如何對入侵審計數據的預處理。我們也會在實驗中進行對比分析。
我們使用WEKA來進行本次實驗。采用KDDCUP99[5]中的數據作為入侵檢測分類器的訓練樣本集和測試樣本集,其中每個記錄由41個離散或連續的屬性(如:持續時間,協議類型等)來描述,并標有其所屬的類型(如:正常或具體的攻擊類型)。所有數據分類23類,在這里我們把這些類網絡行為分為5大類網絡行為(Normal、DOS、U2R、R2L、Probe)。
在實驗中,由于KDDCUP99有500多萬條記錄,為了處理的方便,我們均勻從kddcup.data.gz中按照五類網絡行為抽取了5萬條數據作為訓練樣本集,并把他們分成5組,每組數據為10000條,其中normal數據占據整組數據中的98.5%,這一點符合真實環境中正常數據遠遠大于入侵數據的比例。我們首
先檢測一組數據中只有同類的入侵的情況,共4組數據(DOS中的neptune,Proble中的Satan,U2R中的buffer_overflow,R2l中的guess_passwd),再檢測一組數據中有各種類型入侵數據的情況。待分類器得到良好的訓練后,再從KDD99數據中抽取5組數據作為測試樣本,分別代表Noraml-DOS,Normal-Probe,Normal-U2R,Normal-R2L,最后一組為混后型數據,每組數據為1萬條。
4.2數據的預處理
由于樸素貝葉斯有個假定,即假定所有待測屬性對給定類的影響獨立于其他屬性的值,然而現實中的數據不總是如此。因此,本文引入對稱不確定理論來對數據進行預處理,刪除數據中不相關的屬性。
對稱不確定理論是基于信息概念論,首先我們先了解一下信息理論念,屬性X的熵為:
公式(6)
給定一個觀察變量Y,變量X的熵為:
公式(7)
P(xi)是變量X所有值的先驗概率,P(xi|yi)是給定觀察值Y,X的后驗概率。這些隨著X熵的降低反映在條件Y下,X額外的信息,我們稱之為信息增益,
公式(8)
按照這個方法,如果IG(X|Y)>IG(X|Y),那么屬性Y比起屬性Z來,與屬性X相關性更強。
定理:對兩個隨機變量來說,它們之間的信息增益是對稱的。即
公式(9)
對測量屬性之間相關性的方法來說,對稱性是一種比較理想的特性。但是在計算有很多值的屬性的信息增益時,結果會出現偏差。而且為了確保他們之間可以比較,必須使這些值離散化,同樣也會引起偏差。因此我們引入對稱不確定性,
公式(10)
通過以下兩個步驟來選擇好的屬性:
①計算出所有被測屬性與class的SU值,并把它們按降序方式排列;
②根據設定的閾值刪除不相關的屬性。
最后決定一個最優閾值δ,這里我們通過分析NBC和K-NBC計算結果來取值。
4.3實驗結果及分析
在試驗中,以記錄正確分類的百分比作為分類效率的評估標準,表2為兩種算法的分類效率。
表2對應相同入侵類型數據進行檢測的結果
數據集
算法DOS
(neptune)Proble
(satan)R2L
(guess_passwd)U2R
(buffer_overflow)
檢測率誤檢率整體檢測率檢測率誤檢率整體檢測率檢測率誤檢率整體檢測率檢測率誤檢率整體檢測率
NBC99.50.299.7998.30.199.8497.30.899.2951.898.21
K-NBC99.50.299.9698.3099.9697.30.299.81710.199.76
SU+NBC99.5099.9698.30.199.85980.799.2491.198.84
SU+K-NBC99.5099.9698.3099.9698.70.299.76850.199.81
根據表2四組不同類別的入侵檢測結果,我們從以下三個方面分析:
(1)整體檢測率。K-NBC的整體檢測率要比NBC高,這是因為K-NBC在對normal這一類數據的檢測率要比NBC高,而normal這一類數據又占整個檢測數據集數的95%以上,這也說明了在上一節提到的normal類的數據分布曲線更加接近核密度曲線。
(2)檢測率。在對DOS和PROBLE這兩組數據檢測結果,兩個算法的檢測率都相同,這是因為這兩類入侵行為在實現入侵中占絕大部分,而且這一類數據更容易檢測,所以兩種算法的檢測效果比較接近;針對R2L檢測,從表2可以看到,在沒有進行數據預處理之前,兩者的的檢測率相同,但經過數據預處理后的兩個算法的檢測率都有了提高,而K-NBC的效率比NBC更好點;而對U2R的檢測結果,K-NBC就比NBC差一點,經過數據預處理后,K-NBC的檢測率有一定的提高,但還是比NBC的效果差一些。
(3)誤檢率。在DOS和Proble這兩種組數據的誤檢率相同,在其他兩組數據的中,K-NBC的誤檢率都比NBC的低。
根據表3的結果分析,我們也可以看到的檢測結果與表2的分組檢測的結果比較類似,并且從綜合角度來說,K-NBC檢測效果要比NBC的好。在這里,我們也發現,兩種算法對R2L和U2L這兩類入侵的檢測效果要比DOS和Proble這兩類入侵的差。這主要是因為這兩類入侵屬于入侵行為的稀有類,檢測難度也相應加大。在KDD99競賽中,冠軍方法對這兩類的檢測效果也是最差的。但我們可以看到NBC對這種稀有類的入侵行為檢測更為準確一點,這應該是稀有類的分布更接近正態分布。
從上述各方面綜合分析,我們可以證明K-NBC作為的入侵檢測分類算法的是有其優越性的。
表3對混合入侵類型數據進行檢測的結果
數據集
算法整體檢測分類檢測
NormalDosProbleR2LU2R
檢測率誤檢率檢測率誤檢率檢測率誤檢率檢測率誤檢率檢測率誤檢率檢測率誤檢率
NBC98.141.898.20.899.8099.8090086.71.8
K-NBC99.780.299.82.399.8099.8096073.30.1
SU+NBC97.992.0980.899.8099.8090086.71.9
SU+K-NBC99.790.299.81.999.8099.80960800.1
5結論
在本文中,我們用高斯核密度函數代替樸素貝葉斯中的高斯函數,建立K-NBC分類器,對入侵行為進行檢測,另我們使用對稱不確定方法來刪除檢測數據的中與類不相關的屬性,從而進一步改進核密度樸素貝葉斯的分類效率,實驗表明,對預處理后的審計數據,再結合K-NBC來檢測,可以達到更好的分類效果,具有很好的實用性。同時我們也注意到,由于入侵檢測的數據中的入侵行為一般為稀有類,特別是對R2L和U2R這兩類數據進行檢測時,NBC有著比較理想的結果,所以在下一步工作中,我們看是否能把NBC和K-NBC這兩種分類模型和優點聯合起來,并利用對稱不確定理論來刪除檢測數據與類相關的屬性中的冗余屬性,進一步提高入侵檢測效率。
參考文獻
[1]Langley.P.,Iba,W.&Thompson,K.AnanalysisofBayesianclassifiers[A],in“ProceedingsoftheTenthNationalConferenceonArtificialIntelligence”[C]MenloPark,1992.223-228
[2]HanJ.,KamberM..數據挖掘概念與技術[M].孟小峰,等譯.北京:機械工業出版社.2005.196201
[3]JohnG.H..EnhancementstotheDataMiningProcess[D].Ph.D.Thesis,ComputerScienceDept.,StanfordUniversity,1997
參考文獻是說論文在寫作過程當中引用的文獻資料,是有準確的收藏地點的文本和檔案等,論文中引用的順序用阿拉伯數字加方括號依次書寫在論文的末尾。下面是學術參考網的小編整理的關于信息化論文參考文獻,供大家閱讀借鑒。
信息化論文參考文獻:
[1]邊志新.管理會計信息化探討[J].經濟研究導刊,2012
[2]康世瀛,劉淑蓉.信息化時代現代管理會計的發展的若干重要問題[J].華東經濟管理,2001
[3]彭炳華,信息化在管理會計中的作用.當代經濟,2015(6).
[4]李紅光,信息化環境下的管理會計探討.管理觀察,2012(7):p.213-214
[5]張繼德,劉向蕓.我國管理會計信息化發展存在的問題與對策[J].會計之友旬刊,2014,
[6]畢克新,等.制造業企業信息化與工藝創新互動關系影響因素研究[J].中國軟科學,2012(10).
[7]趙迪.淺析信息時代設計的特點[J].吉林工程技術師范學院學報,2013(04).
信息化論文參考文獻:
[1]陳婭娜,鞠頌東.敏捷供應鏈下庫存管理的財務影響[J].物流科技,2008.5.
[2]張琪.基于供應鏈管理的會計信息系統的設想[J].會計之友(下旬刊),2008.4.
[3]曹軍.論供應鏈管理下新會計信息系統的構建[J].天津財經大學學報,2007.10.
[4]周學廣等.信息安全學.北京:機械工業出版社,2003.3
[5](美)MandyAndress著.楊濤等譯.計算機安全原理.北京:機械工業出版社,2002.1
[6]曹天杰等編著.計算機系統安全.北京:高等教育出版社,2003.9
[7]劉衍衍等編著.計算機安全技術.吉林:吉林科技技術出版社.1997.8
[8](美)BruceSchneier著,吳世忠等譯.應用密碼學-協議、算法與C語言源程序.北京:機械工業出版社,2000.1
[9]賴溪松等著.計算機密碼學及其應用.北京:國防工業出版社.2001.7
[10]陳魯生.現代密碼學.北京:科學出版社.2002.7
[11]王衍波等.應用密碼學.北京:機械工業出版社,2003.8
信息化論文參考文獻:
[1]石志國等編著.計算機網絡安全教程.北京:清華大學出版社,2004.2
[2]周海剛,肖軍模.一種基于移動的入侵檢測系統框架,電子科技大學學報.第32卷第6期2003年12月
[3]劉洪斐,王灝,王換招.一個分布式入侵檢測系統模型的設計,微機發展.第13卷,第1期,2003年1月.
[4]張然等.入侵檢測技術研究綜述.小型微型計算機系統.第24卷第7期2003年7月
[5]呂志軍,黃皓.高速網絡下的分布式實時入侵檢測系統,計算機研究與發展.第41卷第4期2004年4月
[6]韓海東,王超,李群.入侵檢測系統實例剖析北京:清華大學出版社2002年5月
[7]熊華,郭世澤.網絡安全——取證與蜜罐北京:人民郵電出版社2003年7月
[8]陳健,張亞平,李艷.基于流量分析的入侵檢測系統研究.天津理工學院學報,2008。
關鍵詞:入侵檢測異常檢測誤用檢測
在網絡技術日新月異的今天,基于網絡的計算機應用已經成為發展的主流。政府、教育、商業、金融等機構紛紛聯入Internet,全社會信息共享已逐步成為現實。然而,近年來,網上黑客的攻擊活動正以每年10倍的速度增長。因此,保證計算機系統、網絡系統以及整個信息基礎設施的安全已經成為刻不容緩的重要課題。
1 防火墻
目前防范網絡攻擊最常用的方法是構建防火墻。
防火墻作為一種邊界安全的手段,在網絡安全保護中起著重要作用。其主要功能是控制對網絡的非法訪問,通過監視、限制、更改通過網絡的數據流,一方面盡可能屏蔽內部網的拓撲結構,另一方面對內屏蔽外部危險站點,以防范外對內的非法訪問。然而,防火墻存在明顯的局限性。
(1)入侵者可以找到防火墻背后可能敞開的后門。如同深宅大院的高大院墻不能擋住老鼠的偷襲一樣,防火墻有時無法阻止入侵者的攻擊。
(2)防火墻不能阻止來自內部的襲擊。調查發現,50%的攻擊都將來自于網絡內部。
(3)由于性能的限制,防火墻通常不能提供實時的入侵檢測能力。畢業論文 而這一點,對于層出不窮的網絡攻擊技術來說是至關重要的。
因此,在Internet入口處部署防火墻系統是不能確保安全的。單純的防火墻策略已經無法滿足對安全高度敏感部門的需要,網絡的防衛必須采用一種縱深的、多樣化的手段。
由于傳統防火墻存在缺陷,引發了入侵檢測IDS(Intrusion Detection System)的研究和開發。入侵檢測是防火墻之后的第二道安全閘門,是對防火墻的合理補充,在不影響網絡性能的情況下,通過對網絡的監測,幫助系統對付網絡攻擊,擴展系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應),提高信息安全基礎結構的完整性,提供對內部攻擊、外部攻擊和誤操作的實時保護。現在,入侵檢測已經成為網絡安全中一個重要的研究方向,在各種不同的網絡環境中發揮重要作用。
2 入侵檢測
2.1 入侵檢測
入侵檢測是通過從計算機網絡系統中的若干關鍵點收集信息并對其進行分析,從中發現違反安全策略的行為和遭到攻擊的跡象,并做出自動的響應。其主要功能是對用戶和系統行為的監測與分析、系統配置和漏洞的審計檢查、重要系統和數據文件的完整性評估、已知的攻擊行為模式的識別、異常行為模式的統計分析、操作系統的審計跟蹤管理及違反安全策略的用戶行為的識別。入侵檢測通過迅速地檢測入侵,在可能造成系統損壞或數據丟失之前,識別并驅除入侵者,使系統迅速恢復正常工作,并且阻止入侵者進一步的行動。同時,收集有關入侵的技術資料,用于改進和增強系統抵抗入侵的能力。
入侵檢測可分為基于主機型、基于網絡型、基于型三類。從20世紀90年代至今,英語論文 已經開發出一些入侵檢測的產品,其中比較有代表性的產品有ISS(Intemet Security System)公司的Realsecure,NAI(Network Associates,Inc)公司的Cybercop和Cisco公司的NetRanger。
2.2 檢測技術
入侵檢測為網絡安全提供實時檢測及攻擊行為檢測,并采取相應的防護手段。例如,實時檢測通過記錄證據來進行跟蹤、恢復、斷開網絡連接等控制;攻擊行為檢測注重于發現信息系統中可能已經通過身份檢查的形跡可疑者,進一步加強信息系統的安全力度。入侵檢測的步驟如下:
收集系統、網絡、數據及用戶活動的狀態和行為的信息
入侵檢測一般采用分布式結構,在計算機網絡系統中的若干不同關鍵點(不同網段和不同主機)收集信息,一方面擴大檢測范圍,另一方面通過多個采集點的信息的比較來判斷是否存在可疑現象或發生入侵行為。
入侵檢測所利用的信息一般來自以下4個方面:系統和網絡日志文件、目錄和文件中的不期望的改變、程序執行中的不期望行為、物理形式的入侵信息。
(2)根據收集到的信息進行分析
常用的分析方法有模式匹配、統計分析、完整性分析。模式匹配是將收集到的信息與已知的網絡入侵和系統誤用模式數據庫進行比較,從而發現違背安全策略的行為。
統計分析方法首先給系統對象(如用戶、文件、目錄和設備等)創建一個統計描述,統計正常使用時的一些測量屬性。測量屬性的平均值將被用來與網絡、系統的行為進行比較。當觀察值超出正常值范圍時,就有可能發生入侵行為。該方法的難點是閾值的選擇,閾值太小可能產生錯誤的入侵報告,閾值太大可能漏報一些入侵事件。
完整性分析主要關注某個文件或對象是否被更改,包括文件和目錄的內容及屬性。該方法能有效地防范特洛伊木馬的攻擊。
3 分類及存在的問題
入侵檢測通過對入侵和攻擊行為的檢測,查出系統的入侵者或合法用戶對系統資源的濫用和誤用。工作總結 根據不同的檢測方法,將入侵檢測分為異常入侵檢測(Anomaly Detection)和誤用人侵檢測(Misuse Detection)。
3.1 異常檢測
又稱為基于行為的檢測。其基本前提是:假定所有的入侵行為都是異常的。首先建立系統或用戶的“正常”行為特征輪廓,通過比較當前的系統或用戶的行為是否偏離正常的行為特征輪廓來判斷是否發生了入侵。此方法不依賴于是否表現出具體行為來進行檢測,是一種間接的方法。
常用的具體方法有:統計異常檢測方法、基于特征選擇異常檢測方法、基于貝葉斯推理異常檢測方法、基于貝葉斯網絡異常檢測方法、基于模式預測異常檢測方法、基于神經網絡異常檢測方法、基于機器學習異常檢測方法、基于數據采掘異常檢測方法等。
采用異常檢測的關鍵問題有如下兩個方面:
(1)特征量的選擇
在建立系統或用戶的行為特征輪廓的正常模型時,選取的特征量既要能準確地體現系統或用戶的行為特征,又能使模型最優化,即以最少的特征量就能涵蓋系統或用戶的行為特征。(2)參考閾值的選定
由于異常檢測是以正常的特征輪廓作為比較的參考基準,因此,參考閾值的選定是非常關鍵的。
閾值設定得過大,那漏警率會很高;閾值設定的過小,則虛警率就會提高。合適的參考閾值的選定是決定這一檢測方法準確率的至關重要的因素。
由此可見,異常檢測技術難點是“正常”行為特征輪廓的確定、特征量的選取、特征輪廓的更新。由于這幾個因素的制約,異常檢測的虛警率很高,但對于未知的入侵行為的檢測非常有效。此外,由于需要實時地建立和更新系統或用戶的特征輪廓,這樣所需的計算量很大,對系統的處理性能要求很高。
關鍵詞:校園網絡;黑客攻擊;入侵技術
1 校園網絡安全現狀
隨著網絡應用的普及,電子商務!電子銀行和電子政務等網絡服務的大力發展,網絡在人們日常生活中的應用越來越多重要性越來越大,網絡攻擊也越來越嚴重。有一些人專門利用他們掌握的信息技術知識從事破壞活動,入侵他人計算機系統竊取!修改和破壞重要信息,給社會造成了巨大的損。隨著攻擊手段的變化,傳統的以身份驗證、加密、防火墻為主的靜態安全防護體系已經越來越難以適應日益變化的網絡環境,尤其是授權用戶的濫用權利行為,幾乎只有審計才能發現園網是國內最大的網絡實體,如何保證校園網絡系統的安全,是擺在我們面前的最重要問題。
因此,校園網對入侵檢測系統也有著特別的需求校園網的特點是在線用戶比率高、上網時間長、用戶流量大、對服務器訪問量大,這種情況下,校園網絡面臨著許多安全方面的威脅:
(1)黑客攻擊,特別是假冒源地址的拒絕服務攻擊屢有發生攻擊者通過一些簡單的攻擊工具,就可以制造危害嚴重的網絡洪流,耗盡網絡資源或使主機系統資源遭到攻擊同時,攻擊者常常借助偽造源地址的方法,使網絡管理員對這種攻擊無可奈何。
(2)病毒和蠕蟲,在高速大容量的局域網絡中,各種病毒和蠕蟲,不論新舊都很容易通過有漏洞的系統迅速傳播擴散"其中,特別是新出現的網絡蠕蟲,常常可以在爆發初期的幾個小時內就閃電般席卷全校,造成網絡阻塞甚至癱瘓。
(3)濫用網絡資源,在校園網中總會出現濫用帶寬等資源以致影響其他用戶甚至整個網絡正常使用的行為如各種掃描、廣播、訪問量過大的視頻下載服務等等。入侵檢測系統(IntrusionDeteetionSystem,IDS)的出現使得我們可以主動實時地全面防范網絡攻擊N工DS指從網絡系統的若干節點中搜集信息并進行分析,從而發現網絡系統中是否有違反安全策略的行為,并做出適當的響應"它既能檢測出非授權使用計算機的用戶,也能檢測出授權用戶的濫用行為。
IDS按照功能大致可劃分為主機入侵檢測(HostIDS,HIDS)網絡入侵檢測(NetworkIDS,NIDS)分布式入侵檢測(DistributedIDS,DIDS)其中,網絡入侵檢測的特點是成本低,實時地檢測和分析,而且可以檢測到未成功的攻擊企圖"從分析方法的角度可分為異常檢測(Anomaly DeteCtion)和誤用檢測(MISuseDeteCtion)其中誤用檢測是指定義一系列規則,符合規則的被認為是入侵其優點是誤報率低、開銷小、效率高Snort作為IDS的經典代表,是基于網絡和誤用檢測的入侵檢測系統入侵檢測技術自20世紀80年代早起提出以來,在早期的入侵檢測系統中,大多數是基于主機的,但是在過去的10年間基于網絡的入侵檢測系統占有主要地位,現在和未來的發展主流將是混合型和分布式形式的入侵檢測系統。
2 入侵檢測研究現狀
國外機構早在20世紀80年代就開展了相關基礎理論研究工作。經過20多年的不斷發展,從最初的一種有價值的研究想法和單純的理論模型,迅速發展出種類繁多的各種實際原型系統,并且在近10年內涌現出許多商用入侵檢測系統,成為計算機安全防護領域內不可缺少的一種安全防護技術。Anderson在1980年的報告“Computer Seeurity Threat Monitoring and Surveillance”中,提出必須改變現有的系統審計機制,以便為專職系統安全人員提供安全信息,此文被認為是有關入侵檢測的最早論述;1984一1986年,Dorothy E.Denning和Peter G.Neumann聯合開發了一個實時IDES(Intrusion DeteCtion Expert System),IDES采用統計分析,異常檢測和專家系統的混合結構,Delming1986年的論文“An Intrusion Deteetion Modelo”,被公認為是入侵檢測領域的另一開山之作"。1987年,Dorothy Denning發表的經典論文AnIntursion Deteetion Modelo中提出了入侵檢測的基本模型,并提出了幾種可用于入侵檢測的統計分析模型。Dnening的論文正式啟動了入侵檢測領域的研究工作,在發展的早期階段,入侵檢測還僅僅是個有趣的研究領域,還沒有獲得計算機用戶的足夠注意,因為,當時的流行做法是將計算機安全的大部分預算投入到預防性的措施上,如:加密、身份驗證和訪問控制等方面,而將檢測和響應等排斥在外。到了1996年后,才逐步出現了大量的商用入侵檢測系統。從20世紀90年代到現在,入侵檢測系統的研發呈現出百家爭鳴的繁榮局面,并在智能化和分布式兩個方向取得了長足的進展。其中一種主要的異常檢測技術是神經網絡技術,此外,如基于貝葉斯網絡的異常檢測方法,基于模式預測的異常檢測方法,基于數據挖掘的異常檢測方法以及基于計算機免疫學的檢測方法也相繼出現,對于誤用入侵檢測也有多種檢測方法,如專家系統(expert system),特征分析(Signature analysis),狀態轉移分析(State transition analysis)等.
入侵檢測系統的典型代表是ISSInc(國際互聯網安全系統公司)Rea1Secure產品。較為著名的商用入侵檢測產品還有:NAJ公司的CyberCoPMoitor、Axent公司的Netprowler、CISCO公司的Netranger、CA公司的SeSSionwall-3等。目前,普渡大學、加州大學戴維斯分校、洛斯阿拉莫斯國家實驗室、哥倫比亞大學、新墨西哥大學等機構在這些方面的研究代表了當前的最高水平。隨著計算機系統軟、硬件的飛速發展,以及網絡技術、分布式計算!系統工程!人工智能等計算機新興技術與理論的不斷發展與完善,入侵檢測理論本身也處于發展變化中,但還未形成一個比較完整的理論體系。
在國內,隨著上網的關鍵部門、關鍵業務越來越多,更需要具有自主版權的入侵檢測產品。我國在這方面的研究相對晚,國內的該類產品較少,但發展較快,己有總參北方所、中科網威、啟明星辰,H3C等公司推出產品。至今日入侵檢測技術仍然改變了以往被動防御的特點,使網絡管理員能夠主動地實時跟蹤各種危害系統安全的入侵行為并做出及時的響應,尤其在抵御網絡內部人員的破壞時更有獨到的特點,因而成為了防火墻之后的又一道安全防線。
隨著互聯網的進一步普及和深入,入侵檢測技術有著更廣泛的發展前途和實際價值。盡管問題尚存,但希望更大,相信目前正在研究的大規模分布式入侵檢測系統、基于多傳感器的數據融合、基于計算機免疫技術、基于神經網絡及基于遺傳算法等的新一代入侵檢測系統一定能夠解決目前面臨到種種問題,更好地完成抵御入侵的任務。
3 未來和展望
隨著網絡規模和復雜程度的不斷增長,如何在校園網多校區乃至異構網絡環境下收集和處理分布在網絡各處的不同格式信息!如何進行管理域間的合作以及保證在局部入侵檢測失效的情況下維持系統整體安全等"同時,伴隨著大量諸如高速/超高速接入手段的出現,如何實現高速/超高速網絡下的實時入侵檢測。降低丟包率也成為一個現實的問題,面對G級的網絡數據流量,傳統的軟件結構和算法都需要重新設計;開發和設計適當的專用硬件也成為研究方向之一"時至今日,入侵檢測系統的評估測試方面仍然不成熟,如何對入侵檢測系統進行評估是一個重要而敏感的話題。
參考文獻
[1]董明明,鞏青歌.Snort規則集的優化方法.計算機安全.2009.8:35-37
1.課程設置作為物聯網工程專業高年級開設的一門限選課,入侵檢測技術既不能像信息安全專業開設的專業基礎課那么深入詳盡,也不能像普及式的任選深度,課程設置采用40課時,其中教學課時30課時,實驗課時為10課時。
2.教學內容和實驗內容的設計和實施物聯網安全較之傳統互聯網安全涵蓋的范圍更廣,但是其“源科學”是計算機科學,因此本課程的授課內容仍以IP網絡中的入侵檢測技術和計算機安全為主,增加了無線傳感器網絡WSN和射頻識別技術RFID技術的安全問題,再加上異種網絡互聯互通產生的新安全問題及技術作為物聯網安全的主體內容。秉承實驗是這門課程獲得良好教學效果的關鍵思想,本節將不同階段的重要知識點和對應的實驗內容設計詳述如下。
2.1傳統IP網絡的入侵檢測技術“入侵檢測技術”這門課程主要涉及到的重要知識點包括:入侵檢測的基本概念、入侵方法與手段、入侵檢測系統數據源、基于主機的入侵檢測系統、基于網絡的入侵檢測系統、檢測引擎、告警與響應、入侵檢測系統的評估、入侵檢測系統的應用等。其中原理性、理論性的內容主要體現在入侵檢測的原理、檢測算法、評估的指標體系等。圖1是標準化組織提出的IDS的總體框架,該圖分三個檢測階段(檢測前、檢測中、檢測后),囊括了上述所有重要的知識點。(1)入侵前涉及入侵檢測的基本概念、入侵方法與手段、入侵檢測系統數據源等知識點。重點講授基于網絡的入侵檢測的數據采集技術,引入實驗1——網絡數據包的捕獲及協議的簡單分析。(2)入侵中知識點涉及IDS的各種檢測原理與方法。檢測方法分為誤用檢測、異常檢測和其它檢測方法。重點講授濫用檢測普遍采用的利用特征串匹配的方法、各種異常檢測模型也是很重要的輔助檢測方法,比如數學模型(方差模型、均方差模型、)馬爾科夫鏈和模糊邏輯。檢測又分為基于主機的檢測、基于網絡的檢測和分布式檢測。為了呈現不同原理、不同檢測方法的效果,設計了實驗2——審計日志的獲取和簡單分析,對比實驗1有利于學生體會基于主機的檢測方法和基于網絡的檢測方法的不同。(3)入侵后涉及IDS的警報響應、警報冗余消除、警報后處理技術和意圖識別技術等知識點。重點講授對于幾種典型攻擊,IDS的攻擊報警信息和警報后處理技術,讓學生認識警報含義、不同的報警格式和方式。至此,學生應該對IDS的整個工作流程有了全面的認識。為了讓學生融會貫通所有知識點,設計了實驗3——Snort開源IDS的構建和使用。讓學生在指定的實驗室環境下安裝,使用IDS,老師在實驗室局域網與公網斷開時,運行若干典型的攻擊腳本,確保Snort能抓取到攻擊實例,讓學生利用所學的安全知識,模擬安全管理員分析攻擊態勢。對于傳統IP網絡上的入侵檢測技術的教授,可以讓學生牢記圖1,有助于理清各階段的重要知識點,在相關實驗中體會攻擊理論性知識的應用,是這門課程獲得良好教學效果的關鍵。
2.2物聯網安全技術物聯網涵蓋內容非常寬泛。實際上目前物聯網的構成除了傳統IP網絡外,各式各樣的無線傳感器網絡WirelessSensorNetwork(WSN)構成了物聯網的主體。與傳統IP網絡不同,WSN因其特點導致其相同的安全需求有著完全不通的安全技術。重點知識點按WSN的分層協議體系結構講授每一層上存在的安全問題以及典型攻擊。比如,物理層:各種物理破壞以及導致的信息泄露和各種擁塞攻擊;數據鏈路層:各種耗盡攻擊和碰撞攻擊;網絡層:各種路由攻擊、泛洪攻擊、女巫攻擊;應用層:污水池攻擊、蠕蟲洞攻擊等。為了使學生了解和掌握不同的攻擊的原理、攻擊過程和方式,設計了實驗4——WSN上的各種攻擊實驗演示。
2.3物聯網互通產生的安全問題和安全技術由于此部分內容還屬于當前研究熱點,在課程中將作為物聯網的全新內容介紹。重點抓住一些典型攻擊案例講述互聯互通中產生的安全問題及解決方法。為此設計了實驗5作為典型案例。實驗5——跨網絡的DDoS攻擊,展示了在IP網絡中已經克服的DDoS攻擊,互通后的殘余DDos攻擊流量仍然超出WSN能夠承受的范圍,會導致WSN網絡服務質量下降,甚至耗盡WSN寶貴的能量和帶寬資源。
3.實驗內容設計(1)設計型實驗實驗1——網絡數據包的捕獲及協議的簡單分析。網絡數據包是基于網絡的入侵檢測系統的重要數據源,網絡數據包的捕獲是基于網絡的入侵檢測系統實現的第一步。通過該實驗,使學生了解和掌握基于Socket和libpcap的網絡數據包的捕獲方法,理解和掌握基于網絡入侵檢測系統的源數據的捕獲、協議分析的基本原理和實現方法。同時使學生熟悉在Linux下的C語言開發技能。實驗2——主機審計日志的獲取和簡單分析。主機審計日志數據是基于主機入侵檢測系統的重要數據源,審計數據獲取的質量和數量,決定了入侵檢測的有效程度。通過該實驗使學生了解Linux系統的日志系統和基于主機的入侵檢測系統的原理。(2)綜合型實驗實驗3——Snort開源IDS的構建和使用。讓學生根據校園網實驗室環境下的需求搭建,利用Snort及第三方軟件搭建一個真實的入侵檢測系統。根據需求選擇已有的預處理插件、檢測規則,最后有針對性地完成幾個相應規則的編寫,并進行正確性測試。斷網后在運行幾個典型攻擊腳本,讓學生分析Snort抓獲的攻擊警報,做出安全態勢匯報。(3)驗證型實驗實驗4——WSN上的各種攻擊實驗。學生利用一些攻擊類軟件工具和硬件設施完成一些可能的攻擊。攻擊的羅列使學生了解和掌握不同的攻擊的原理、攻擊過程和方式,加深對入侵檢測的必要性的理解;實驗5——跨網絡的DDoS攻擊。將傳統IP網絡通過特定網關與實驗室特定的無線傳感器網絡相連,在IP網絡中發起DDoS攻擊,將目標鎖定在傳感器網絡內。在IP網絡上安裝流量觀測器,讓學生直觀地看到攻擊流量的路徑。然后在網關上啟動DDoS攻擊檢測,過濾掉98%的攻擊流量,讓學生觀察此時無線傳感器網絡的性能情況,比較兩種情況,得出實驗結論。
4.考核體系該課程的考核采用平時成績和期末考核成績加權平均的方式。考慮到課程的宗旨在于加強學生動手能力,同時為了減輕學生的學習負擔,平時成績強調考核動手能力,平時作業緊扣五個實用性實驗,均為實驗為鋪墊和準備,實際上5個綜合實驗成績占50%,期末的理論考核以開放式論文形式讓學生根據自己對IDS的了解和興趣選擇和IDS相關的題目撰寫論文,占50%。
二、結語
論文關鍵詞:計算機網絡安全 入侵檢測技術
論文摘要:隨著計算機與網絡技術的不斷發展,網絡安全也日益受到人們越來越多的關注。防范網絡入侵、加強網絡安全防范的技術也多種多樣,其中入侵檢測技術以其低成本、低風險以及高靈活性得到了廣泛的應用,并且有著廣闊的發展前景。本文就入侵檢測技術在計算機網絡安全維護過程中的有效應用提出探討。
一、入侵檢測系統的分類
入侵檢測系統可以分為入侵檢測、入侵防御兩大類。其中入侵檢測系統是根據特定的安全策略,實時監控網絡及系統的運行狀態,盡量在非法入侵程序發起攻擊前發現其攻擊企圖,從而提高網絡系統資源的完整性和保密性。而隨著網絡攻擊技術的日益提高,網絡系統中的安全漏洞不斷被發現,傳統的入侵檢測技術及防火墻技術對這些多變的安全問題無法全面應對,于是入侵防御系統應運而生,它可以對流經的數據流量做深度感知與檢測,丟棄惡意報文,阻斷其攻擊,限制濫用報文,保護帶寬資源。入侵檢測系統與入侵防御系統的區別在于:入侵檢測只具備單純的報警作用,而對于網絡入侵無法做出防御;而入侵防御系統則位于網絡與防火墻的硬件設備中間,當其檢測到惡意攻擊時,會在這種攻擊開始擴散前將其阻止在外。并且二者檢測攻擊的方法也不同,入侵防御系統對入網的數據包進行檢查,在確定該數據包的真正用途的前提下,再對其是否可以進入網絡進行判斷。
二、入侵檢測技術在維護計算機網絡安全中的應用
(一)基于網絡的入侵檢測
基于網絡的入侵檢測形式有基于硬件的,也有基于軟件的,不過二者的工作流程是相同的。它們將網絡接口的模式設置為混雜模式,以便于對全部流經該網段的數據進行時實監控,將其做出分析,再和數據庫中預定義的具備攻擊特征做出比較,從而將有害的攻擊數據包識別出來,做出響應,并記錄日志。
1.入侵檢測的體系結構
網絡入侵檢測的體系結構通常由三部分組成,分別為Agent、Console以及Manager。其中Agent的作用是對網段內的數據包進行監視,找出攻擊信息并把相關的數據發送至管理器;Console的主要作用是負責收集處的信息,顯示出所受攻擊的信息,把找出的攻擊信息及相關數據發送至管理器;Manager的主要作用則是響應配置攻擊警告信息,控制臺所的命令也由Manager來執行,再把所發出的攻擊警告發送至控制臺。
2.入侵檢測的工作模式
基于網絡的入侵檢測,要在每個網段中部署多個入侵檢測,按照網絡結構的不同,其的連接形式也各不相同。如果網段的連接方式為總線式的集線器,則把與集線器中的某個端口相連接即可;如果為交換式以太網交換機,因為交換機無法共享媒價,因此只采用一個對整個子網進行監聽的辦法是無法實現的。因此可以利用交換機核心芯片中用于調試的端口中,將入侵檢測系統與該端口相連接。或者把它放在數據流的關鍵出入口,于是就可以獲取幾乎全部的關鍵數據。
3.攻擊響應及升級攻擊特征庫、自定義攻擊特征
如果入侵檢測系統檢測出惡意攻擊信息,其響應方式有多種,例如發送電子郵件、記錄日志、通知管理員、查殺進程、切斷會話、通知管理員、啟動觸發器開始執行預設命令、取消用戶的賬號以及創建一個報告等等。升級攻擊特征庫可以把攻擊特征庫文件通過手動或者自動的形式由相關的站點中下載下來,再利用控制臺將其實時添加至攻擊特征庫中。而網絡管理員可以按照單位的資源狀況及其應用狀況,以入侵檢測系統特征庫為基礎來自定義攻擊特征,從而對單位的特定資源與應用進行保護。
(二)對于主機的入侵檢測
通常對主機的入侵檢測會設置在被重點檢測的主機上,從而對本主機的系統審計日志、網絡實時連接等信息做出智能化的分析與判斷。如果發展可疑情況,則入侵檢測系統就會有針對性的采用措施。基于主機的入侵檢測系統可以具體實現以下功能:對用戶的操作系統及其所做的所有行為進行全程監控;持續評估系統、應用以及數據的完整性,并進行主動的維護;創建全新的安全監控策略,實時更新;對于未經授權的行為進行檢測,并發出報警,同時也可以執行預設好的響應措施;將所有日志收集起來并加以保護,留作后用。基于主機的入侵檢測系統對于主機的保護很全面細致,但要在網路中全面部署成本太高。并且基于主機的入侵檢測系統工作時要占用被保護主機的處理資源,所以會降低被保護主機的性能。
三、入侵檢測技術存在的問題
盡管入侵檢測技術有其優越性,但是現階段它還存在著一定的不足,主要體現在以下幾個方面:
第一:局限性:由于網絡入侵檢測系統只對與其直接連接的網段通信做出檢測,而不在同一網段的網絡包則無法檢測,因此如果網絡環境為交換以太網,則其監測范圍就會表現出一定的局限性,如果安裝多臺傳感器則又增加了系統的成本。
第二:目前網絡入侵檢測系統一般采有的是特征檢測的方法,對于一些普通的攻擊來說可能比較有效,但是一些復雜的、計算量及分析時間均較大的攻擊則無法檢測。
第三:監聽某些特定的數據包時可能會產生大量的分析數據,會影響系統的性能。
第四:在處理會話過程的加密問題時,對于網絡入侵檢測技術來說相對較難,現階段通過加密通道的攻擊相對較少,但是此問題會越來越突出。
第五:入侵檢測系統自身不具備阻斷和隔離網絡攻擊的能力,不過可以與防火墻進行聯動,發現入侵行為后通過聯動協議通知防火墻,讓防火墻采取隔離手段。
四、總結
現階段的入侵檢測技術相對來說還存在著一定的缺陷,很多單位在解決網絡入侵相關的安全問題時都采用基于主機與基于網絡相結合的入侵檢測系統。當然入侵檢測技術也在不斷的發展,數據挖掘異常檢測、神經網絡異常檢測、貝葉斯推理異常檢測、專家系統濫用檢測、狀態轉換分析濫用檢測等入侵檢測技術也越來越成熟。總之、用戶要提高計算機網絡系統的安全性,不僅僅要靠技術支持,還要依靠自身良好的維護與管理。
參考文獻:
[1]胥瓊丹.入侵檢測技術在計算機網絡安全維護中的應用[J].電腦知識與技術,2010,11
