时间:2022-07-06 17:21:05
导言:作为写作爱好者,不可错过为您精心挑选的10篇入侵检测论文,它们将为您的写作提供全新的视角,我们衷心期待您的阅读,并希望这些内容能为您提供灵感和参考。
Abstract:Alongwiththefastcomputerdevelopmentandtheuniversalapplicationofthenetworktechnology,alongwithinformationtimescomingupon,Informationisattractingtheworld’sattentionandemployedasakindofimportantresources.Internetisaveryactivelydevelopedfield.Becauseitmaybeillegallyattackedbyhackers,Itisverynecessaryfordata’sprotection,deliveryandprotectionagainstvariousaccidents,intentionalorwantdestroyunderanycondition.FirewallisthefirstconsiderationwhenplanhowtoprotectyourlocalareanetworkagainstendangersbroughtbyInternetattack.Thecorecontentoffirewalltechnologyistoconstructarelativelysafeenvironmentofsubnetinthenot-so-safenetworkenvironment.Thispaperintroducesthebasicconceptionandsystemstructureoffire-walltechnologyandalsodiscussestwomaintechnologymeanstorealizefire-wall:Oneisbasedonpacketfiltering,whichistorealizefire-wallfunctionthroughScreeningRouter;andtheotherisProxyandthetypicalrepresentationisthegatewayonapplicationlevel.....
第一章绪论
§1.1概述
随着以Internet为代表的全球信息化浪潮的来临,信息网络技术的应用正日益广泛,应用层次正在深入,应用领域也从传统的、小型业务系统逐渐向大型、关键业务系统扩展,其中以党政系统、大中院校网络系统、银行系统、商业系统、管理部门、政府或军事领域等为典型。伴随网络的普及,公共通信网络传输中的数据安全问题日益成为关注的焦点。一方面,网络化的信息系统提供了资源的共享性、用户使用的方便性,通过分布式处理提高了系统效率和可靠性,并且还具备可扩充性。另一方面,也正是由于具有这些特点增加了网络信息系统的不安全性。
开放性的网络,导致网络所面临的破坏和攻击可能是多方面的,例如:可能来自物理传输线路的攻击,也可以对网络通信协议和实现实施攻击,可以是对软件实施攻击,也可以对硬件实施攻击。国际性的网络,意味着网络的攻击不仅仅来自本地网络的用户,也可以来自linternet上的任何一台机器,也就是说,网络安全所面临的是一个国际化的挑战。开放的、国际化的Internet的发展给政府机构、企事业单位的工作带来了革命性的变革和开放,使得他们能够利用Internet提高办事效率、市场反应能力和竞争力。通过Internet,他们可以从异地取回重要数据,同时也面临Internet开放所带来的数据安全的挑战与危险。如何保护企业的机密信息不受黑客和工业间谍的入侵,己成为政府机构、企事业单位信息化建设健康发展所要考虑的重要因素之一。广泛分布的企业内部网络由公共网络互联起来,这种互联方式面临多种安全威胁,极易受到外界的攻击,导致对网络的非法访问和信息泄露。防火墙是安全防范的最有效也是最基本的手段之一。
虽然国内己有许多成熟的防火墙及其他相关安全产品,并且这些产品早已打入市场,但是对于安全产品来说,要想进入我军部队。我们必须自己掌握安全测试技术,使进入部队的安全产品不出现问题,所以对网络安全测试的研究非常重要,具有深远的意义。
§1.2本文主要工作
了解防火墙的原理、架构、技术实现
了解防火墙的部署和使用配置
熟悉防火墙测试的相关标准
掌握防火墙产品的功能、性能、安全性和可用性的测试方法
掌握入侵检测与VPN的概念及相关测试方法
第二章防火墙的原理、架构、技术实现
§2.1什么是防火墙?
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
§2.2防火墙的原理
随着网络规模的扩大和开放性的增强,网络上的很多敏感信息和保密数据将受到很多主动和被动的人为攻击。一种解决办法是为需要保护的网络上的每个工作站和服务器装备上强大的安全特征(例如入侵检测),但这几乎是一种不切合实际的方法,因为对具有几百个甚至上千个节点的网络,它们可能运行着不同的操作系统,当发现了安全缺陷时,每个可能被影响的节点都必须加以改进以修复这个缺陷。另一种选择就是防火墙(Firewall),防火墙是用来在安全私有网络(可信任网络)和外部不可信任网络之间安全连接的一个设备或一组设备,作为私有网络和外部网络之间连接的单点存在。防火墙是设置在可信任的内部网络和不可信任的外部网络之间的一道屏障,它可以实施比较广泛的安全策略来控制信息流,防止不可预料的潜在的入侵破坏.DMZ外网和内部局域网的防火墙系统。
§2.3防火墙的架构
防火墙产品的三代体系架构主要为:
第一代架构:主要是以单一cpu作为整个系统业务和管理的核心,cpu有x86、powerpc、mips等多类型,产品主要表现形式是pc机、工控机、pc-box或risc-box等;
第二代架构:以np或asic作为业务处理的主要核心,对一般安全业务进行加速,嵌入式cpu为管理核心,产品主要表现形式为box等;
第三代架构:iss(integratedsecuritysystem)集成安全体系架构,以高速安全处理芯片作为业务处理的主要核心,采用高性能cpu发挥多种安全业务的高层应用,产品主要表现形式为基于电信级的高可靠、背板交换式的机架式设备,容量大性能高,各单元及系统更为灵活。
§2.4防火墙的技术实现
从Windows软件防火墙的诞生开始,这种安全防护产品就在跟随着不断深入的黑客病毒与反黑反毒之争,不断的进化与升级。从最早期的只能分析来源地址,端口号以及未经处理的报文原文的封包过滤防火墙,后来出现了能对不同的应用程序设置不同的访问网络权限的技术;近年来由ZoneAlarm等国外知名品牌牵头,还开始流行了具有未知攻击拦截能力的智能行为监控防火墙;最后,由于近来垃圾插件和流氓软件的盛行,很多防火墙都在考虑给自己加上拦截流氓软件的功能。综上,Windows软件防火墙从开始的时候单纯的一个截包丢包,堵截IP和端口的工具,发展到了今天功能强大的整体性的安全套件。
第三章防火墙的部署和使用配置
§3.1防火墙的部署
虽然监测型防火墙安全性上已超越了包过滤型和服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代型产品为主,但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本。
实际上,作为当前防火墙产品的主流趋势,大多数服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的,应用网关能提供对协议的过滤。例如,它可以过滤掉FTP连接中的PUT命令,而且通过应用,应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。
----那么我们究竟应该在哪些地方部署防火墙呢?
----首先,应该安装防火墙的位置是公司内部网络与外部Internet的接口处,以阻挡来自外部网络的入侵;其次,如果公司内部网络规模较大,并且设置有虚拟局域网(VLAN),则应该在各个VLAN之间设置防火墙;第三,通过公网连接的总部与各分支机构之间也应该设置防火墙,如果有条件,还应该同时将总部与各分支机构组成虚拟专用网(VPN)。
----安装防火墙的基本原则是:只要有恶意侵入的可能,无论是内部网络还是与外部公网的连接处,都应该安装防火墙。
§3.2防火墙的使用配置
一、防火墙的配置规则:
没有连接的状态(没有握手或握手不成功或非法的数据包),任何数据包无法穿过防火墙。(内部发起的连接可以回包。通过ACL开放的服务器允许外部发起连接)
inside可以访问任何outside和dmz区域。
dmz可以访问outside区域。
inside访问dmz需要配合static(静态地址转换)。
outside访问dmz需要配合acl(访问控制列表)。
二、防火墙设备的设置步骤:
1、确定设置防火墙的部署模式;
2、设置防火墙设备的IP地址信息(接口地址或管理地址(设置在VLAN1上));
3、设置防火墙设备的路由信息;
4、确定经过防火墙设备的IP地址信息(基于策略的源、目标地址);
5、确定网络应用(如FTP、EMAIL等应用);
6、配置访问控制策略。
第四章防火墙测试的相关标准
防火墙作为信息安全产品的一种,它的产生源于信息安全的需求。所以防火墙的测试不仅有利于提高防火墙的工作效率,更是为了保证国家信息的安全。依照中华人民共和国国家标准GB/T18019-1999《信息技术包过滤防火墙安全技术要求》、GB/T18020-1999《信息技术应用级防火墙安全技术要求》和GB/T17900-1999《网络服务器的安全技术要求》以及多款防火墙随机提供的说明文档,中国软件评测中心软件产品测试部根据有关方面的标准和不同防火墙的特点整理出以下软件防火墙的测试标准:
4.1规则配置方面
要使防火墙软件更好的服务于用户,除了其默认的安全规则外,还需要用户在使用过程中不断的完善其规则;而规则的设置是否灵活方便、实际效果是否理想等方面,也是判断一款防火墙软件整体安全性是否合格的重要标准。简单快捷的规则配置过程让防火墙软件具备更好的亲和力,一款防火墙软件如果能实施在线检测所有对本机的访问并控制它们、分别对应用程序、文件或注册表键值实施单独的规则添加等等,这将成为此款软件防火墙规则配置的一个特色。
§4.2防御能力方面
对于防火墙防御能力的表现,由于偶然因素太多,因此无法从一个固定平等的测试环境中来得出结果。但是可以使用了X-Scan等安全扫描工具来测试。虽然得出的结果可能仍然有一定的出入,但大致可以做为一个性能参考。
§4.3主动防御提示方面
对于网络访问、系统进程访问、程序运行等本机状态发生改变时,防火墙软件一般都会有主动防御提示出现。这方面主要测试软件拦截或过滤时是否提示用户做出相应的操作选择。
§4.4自定义安全级别方面
用户是否可以参照已有安全级别的安全性描述来设置符合自身特殊需要的规则。防火墙可设置系统防火墙的安全等级、安全规则,以防止电脑被外界入侵。一般的防火墙共有四个级别:
高级:预设的防火墙安全等级,用户可以上网,收发邮件;l
中级:预设的防火墙安全等级,用户可以上网,收发邮件,网络聊天,FTP、Telnet等;l
低级:预设的防火墙安全等级,只对已知的木马进行拦截,对于其它的访问,只是给于提示用户及记录;l
自定义:用户可自定义防火墙的安全规则,可以根据需要自行进行配置。l
§4.5其他功能方面
这主要是从软件的扩展功能表现、操作设置的易用性、软件的兼容性和安全可靠性方面来综合判定。比如是否具有过滤网址、实施木马扫描、阻止弹出广告窗口、将未受保护的无线网络“学习”为规则、恶意软件检测、个人隐私保护等丰富的功能项,是否可以满足用户各方面的需要。
§4.6资源占用方面
这方面的测试包括空闲时和浏览网页时的CPU占用率、内存占有率以及屏蔽大量攻击时的资源占用和相应速度。总的来是就是资源占用率越低越好,启动的速度越快越好。
§4.7软件安装方面
这方面主要测试软件的安装使用是否需要重启系统、安装过程是不是方便、安装完成后是否提示升级本地数据库的信息等等。
§4.8软件界面方面
软件是否可切换界面皮肤和语言、界面是否简洁等等。简洁的界面并不代表其功能就不完善,相反地,简化了用户的操作设置项也就带来了更智能的安全防护功能。比如有的防护墙安装完成后会在桌面生成简单模式和高级模式两个启动项,这方便用户根据不同的安全级别启动相应的防护
第五章防火墙的入侵检测
§5.1什么是入侵检测系统?
入侵检测可被定义为对计算机和网络资源上的恶意使用行为进行识别和响应的处理过程,它不仅检测来自外部的入侵行为,同时也检测内部用户的未授权活动。
入侵检测系统(IDS)是从计算机网络系统中的若干关键点收集信息,并分析这些信息,检查网络中是否有违反安全策略的行为和遭到袭击的迹象。IDS被公认为是防火墙之后的第二道安全闸门,它作为一种积极主动的安全防护技术,从网络安全立体纵深、多层次防御的角度出发,对防范网络恶意攻击及误操作提供了主动的实时保护,从而能够在网络系统受到危害之前拦截和响应入侵
§5.2入侵检测技术及发展
自1980年产生IDS概念以来,已经出现了基于主机和基于网络的入侵检测系统,出现了基于知识的模型识别、异常识别和协议分析等入侵检测技术,并能够对百兆、千兆甚至更高流量的网络系统执行入侵检测。
入侵检测技术的发展已经历了四个主要阶段:
第一阶段是以基于协议解码和模式匹配为主的技术,其优点是对于已知的攻击行为非常有效,各种已知的攻击行为可以对号入座,误报率低;缺点是高超的黑客采用变形手法或者新技术可以轻易躲避检测,漏报率高。
第二阶段是以基于模式匹配+简单协议分析+异常统计为主的技术,其优点是能够分析处理一部分协议,可以进行重组;缺点是匹配效率较低,管理功能较弱。这种检测技术实际上是在第一阶段技术的基础上增加了部分对异常行为分析的功能。
第三阶段是以基于完全协议分析+模式匹配+异常统计为主的技术,其优点是误报率、漏报率和滥报率较低,效率高,可管理性强,并在此基础上实现了多级分布式的检测管理;缺点是可视化程度不够,防范及管理功能较弱。
第四阶段是以基于安全管理+协议分析+模式匹配+异常统计为主的技术,其优点是入侵管理和多项技术协同工作,建立全局的主动保障体系,具有良好的可视化、可控性和可管理性。以该技术为核心,可构造一个积极的动态防御体系,即IMS——入侵管理系统。
新一代的入侵检测系统应该是具有集成HIDS和NIDS的优点、部署方便、应用灵活、功能强大、并提供攻击签名、检测、报告和事件关联等配套服务功能的智能化系统§5.3入侵检测技术分类
从技术上讲,入侵检测技术大致分为基于知识的模式识别、基于知识的异常识别和协议分析三类。而主要的入侵检测方法有特征检测法、概率统计分析法和专家知识库系统。
(1)基于知识的模式识别
这种技术是通过事先定义好的模式数据库实现的,其基本思想是:首先把各种可能的入侵活动均用某种模式表示出来,并建立模式数据库,然后监视主体的一举一动,当检测到主体活动违反了事先定义的模式规则时,根据模式匹配原则判别是否发生了攻击行为。
模式识别的关键是建立入侵模式的表示形式,同时,要能够区分入侵行为和正常行为。这种检测技术仅限于检测出已建立模式的入侵行为,属已知类型,对新类型的入侵是无能为力的,仍需改进。
(2)基于知识的异常识别
这种技术是通过事先建立正常行为档案库实现的,其基本思想是:首先把主体的各种正常活动用某种形式描述出来,并建立“正常活动档案”,当某种活动与所描述的正常活动存在差异时,就认为是“入侵”行为,进而被检测识别。
异常识别的关键是描述正常活动和构建正常活动档案库。
利用行为进行识别时,存在四种可能:一是入侵且行为正常;二是入侵且行为异常;三是非入侵且行为正常;四是非入侵且行为异常。根据异常识别思想,把第二种和第四种情况判定为“入侵”行为。这种检测技术可以检测出未知行为,并具有简单的学习功能。
以下是几种基于知识的异常识别的检测方法:
1)基于审计的攻击检测技术
这种检测方法是通过对审计信息的综合分析实现的,其基本思想是:根据用户的历史行为、先前的证据或模型,使用统计分析方法对用户当前的行为进行检测和判别,当发现可疑行为时,保持跟踪并监视其行为,同时向系统安全员提交安全审计报告。
2)基于神经网络的攻击检测技术
由于用户的行为十分复杂,要准确匹配一个用户的历史行为和当前的行为是相当困难的,这也是基于审计攻击检测的主要弱点。
而基于神经网络的攻击检测技术则是一个对基于传统统计技术的攻击检测方法的改进方向,它能够解决传统的统计分析技术所面临的若干问题,例如,建立确切的统计分布、实现方法的普遍性、降低算法实现的成本和系统优化等问题。
3)基于专家系统的攻击检测技术
所谓专家系统就是一个依据专家经验定义的推理系统。这种检测是建立在专家经验基础上的,它根据专家经验进行推理判断得出结论。例如,当用户连续三次登录失败时,可以把该用户的第四次登录视为攻击行为。
4)基于模型推理的攻击检测技术
攻击者在入侵一个系统时往往采用一定的行为程序,如猜测口令的程序,这种行为程序构成了某种具有一定行为特征的模型,根据这种模型所代表的攻击意图的行为特征,可以实时地检测出恶意的攻击企图,尽管攻击者不一定都是恶意的。用基于模型的推理方法人们能够为某些行为建立特定的模型,从而能够监视具有特定行为特征的某些活动。根据假设的攻击脚本,这种系统就能检测出非法的用户行为。一般为了准确判断,要为不同的入侵者和不同的系统建立特定的攻击脚本。
使用基于知识的模式识别和基于知识的异常识别所得出的结论差异较大,甚至得出相反结论。这是因为基于知识的模式识别的核心是维护一个入侵模式库,它对已知攻击可以详细、准确地报告出攻击类型,但对未知攻击却无能为力,而且入侵模式库必须不断更新。而基于知识的异常识别则是通过对入侵活动的检测得出结论的,它虽无法准确判断出攻击的手段,但可以发现更广泛的、甚至未知的攻击行为。
§5.4入侵检测技术剖析
1)信号分析
对收集到的有关系统、网络、数据及用户活动的状态和行为等信息,一般通过三种技术手段进行分析:模式匹配、统计分析和完整性分析。其中前两种方法用于实时的入侵检测,而完整性分析则用于事后分析。
2)模式匹配
模式匹配就是将收集到的信息与已知的网络入侵和系统已有模式数据库进行比较,从而发现违背安全策略的行为。该过程可以很简单(如通过字符串匹配以寻找一个简单的条目或指令),也可以很复杂(如利用正规的数学表达式来表示安全状态的变化)。一般来讲,一种进攻模式可以用一个过程(如执行一条指令)或一个输出(如获得权限)来表示。该方法的一大优点是只需收集相关的数据集合,显著减少系统负担,且技术已相当成熟。它与病毒防火墙采用的方法一样,检测准确率和效率都相当高。但是,该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法,不能检测到从未出现过的黑客攻击手段。
3)统计分析
统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。在比较这一点上与模式匹配有些相象之处。测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。例如,本来都默认用GUEST帐号登录的,突然用ADMINI帐号登录。这样做的优点是可检测到未知的入侵和更为复杂的入侵,缺点是误报、漏报率高,且不适应用户正常行为的突然改变。具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法,目前正处于研究热点和迅速发展之中。
4)完整性分析
完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和目录的内容及属性,它在发现被更改的、被特咯伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制,称为消息摘要函数(例如MD5),它能识别哪怕是微小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵,只要是成功的攻击导致了文件或其它对象的任何改变,它都能够发现。缺点是一般以批处理方式实现,用于事后分析而不用于实时响应。尽管如此,完整性检测方法还应该是网络安全产品的必要手段之一。例如,可以在每一天的某个特定时间内开启完整性分析模块,对网络系统进行全面地扫描检查。
§5.5防火墙与入侵检测的联动
网络安全是一个整体的动态的系统工程,不能靠几个产品单独工作来进行安全防范。理想情况下,整个系统的安全产品应该有一个响应协同,相互通信,协同工作。其中入侵检测系统和防火墙之间的联动就能更好的进行安全防护。图8所示就是入侵检测系统和防火墙之间的联动,当入侵检测系统检测到入侵后,通过和防火墙通信,让防火墙自动增加规则,以拦截相关的入侵行为,实现联动联防。
§5.6什么是VPN?
VPN的英文全称是“VirtualPrivateNetwork”,翻译过来就是“虚拟专用网络”。顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一,目前在交换机,防火墙设备或Windows2000等软件里也都支持VPN功能,一句话,VPN的核心就是在利用公共网络建立虚拟私有网。
虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
§5.7VPN的特点
1.安全保障虽然实现VPN的技术和方式很多,但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在安全性方面,由于VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。
2.服务质量保证(QoS)
VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。在网络优化方面,构建VPN的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低,在流量高峰时引起网络阻塞,使实时性要求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量预测与流量控制策略,可以按照优先级分实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。
3.可扩充性和灵活性
VPN必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。
4.可管理性
从用户角度和运营商角度应可方便地进行管理、维护。VPN管理的目标为:减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上,VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。
§5.8VPN防火墙
VPN防火墙就是一种过滤塞(目前你这么理解不算错),你可以让你喜欢的东西通过这个塞子,别的玩意都统统过滤掉。在网络的世界里,要由VPN防火墙过滤的就是承载通信数据的通信包。
最简单的VPN防火墙是以太网桥。但几乎没有人会认为这种原始VPN防火墙能管多大用。大多数VPN防火墙采用的技术和标准可谓五花八门。这些VPN防火墙的形式多种多样:有的取代系统上已经装备的TCP/IP协议栈;有的在已有的协议栈上建立自己的软件模块;有的干脆就是独立的一套操作系统。还有一些应用型的VPN防火墙只对特定类型的网络连接提供保护(比如SMTP或者HTTP协议等)。还有一些基于硬件的VPN防火墙产品其实应该归入安全路由器一类。以上的产品都可以叫做VPN防火墙,因为他们的工作方式都是一样的:分析出入VPN防火墙的数据包,决定放行还是把他们扔到一边。
所有的VPN防火墙都具有IP地址过滤功能。这项任务要检查IP包头,根据其IP源地址和目标地址作出放行/丢弃决定。看看下面这张图,两个网段之间隔了一个VPN防火墙,VPN防火墙的一端有台UNIX计算机,另一边的网段则摆了台PC客户机。
当PC客户机向UNIX计算机发起telnet请求时,PC的telnet客户程序就产生一个TCP包并把它传给本地的协议栈准备发送。接下来,协议栈将这个TCP包“塞”到一个IP包里,然后通过PC机的TCP/IP栈所定义的路径将它发送给UNIX计算机。在这个例子里,这个IP包必须经过横在PC和UNIX计算机中的VPN防火墙才能到达UNIX计算机。
现在我们“命令”(用专业术语来说就是配制)VPN防火墙把所有发给UNIX计算机的数据包都给拒了,完成这项工作以后,比较好的VPN防火墙还会通知客户程序一声呢!既然发向目标的IP数据没法转发,那么只有和UNIX计算机同在一个网段的用户才能访问UNIX计算机了。
还有一种情况,你可以命令VPN防火墙专给那台可怜的PC机找茬,别人的数据包都让过就它不行。这正是VPN防火墙最基本的功能:根据IP地址做转发判断。但要上了大场面这种小伎俩就玩不转了,由于黑客们可以采用IP地址欺骗技术,伪装成合法地址的计算机就可以穿越信任这个地址的VPN防火墙了。不过根据地址的转发决策机制还是最基本和必需的。另外要注意的一点是,不要用DNS主机名建立过滤表,对DNS的伪造比IP地址欺骗要容易多了。
后记:
入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。入侵检测系统面临的最主要挑战有两个:一个是虚警率太高,一个是检测速度太慢。现有的入侵检测系统还有其他技术上的致命弱点。因此,可以这样说,入侵检测产品仍具有较大的发展空间,从技术途径来讲,除了完善常规的、传统的技术(模式识别和完整性检测)外,应重点加强统计分析的相关技术研究。
但无论如何,入侵检测不是对所有的入侵都能够及时发现的,即使拥有当前最强大的入侵检测系统,如果不及时修补网络中的安全漏洞的话,安全也无从谈起。
同样入侵检测技术也存在许多缺点,IDS的检测模型始终落后于攻击者的新知识和技术手段。主要表现在以下几个方面:
1)利用加密技术欺骗IDS;
2)躲避IDS的安全策略;
3)快速发动进攻,使IDS无法反应;
4)发动大规模攻击,使IDS判断出错;
5)直接破坏IDS;
6)智能攻击技术,边攻击边学习,变IDS为攻击者的工具。
我认为在与防火墙技术结合中应该注意扩大检测范围和类别、加强自学习和自适应的能力方面发展。
参考文献:
1..MarcusGoncalves著。宋书民,朱智强等译。防火墙技术指南[M]。机械工业出版社
2网络入侵检测的重要性与必要性分析
网络入侵检测,就是对网络入侵行为的发觉。与其他安全技术相比而言,入侵检测技术并不是以建立安全和可靠的网络环境为主,而是以分析和处理对网络用户信息构成威胁的行为,进而进行非法控制来确保网络系统的安全。它的主要目的是对用户和系统进行检测与分析,找出系统中存在的漏洞与问题,一旦发现攻击或威胁就会自动及时地向管理人员报警,同时对各种非法活动或异常活动进行识别、统计与分析。
3数据挖掘在网络入侵检测中的应用分析
在使用数据挖掘技术对网络入侵行为进行检测的过程中,我们可以通过分析有用的数据或信息来提取用户的行为特征和入侵规律,进而建立起一个相对完善的规则库来进行入侵检测。该检测过程主要是数据收集——数据预处理——数据挖掘,以下是在对已有的基于数据挖掘的网络入侵检测的模型结构图进行阐述的基础上进行一些优化。
3.1综合了误用检测和异常检测的模型
为改进前综合误用检测和异常检测的模型。从图2可以看出,它是综合利用了误用检测和异常检测模型而形成的基于数据挖掘的网络入侵检测模型。其优点在于通过结合误用检测器和异常检测器,把所要分析的数据信息减少了很多,大大缩小了数据范围。其劣势在于当异常检测器检测到新的入侵检测后,仅仅更新了异常检测器,而没有去及时地更新误用检测器,这就无形中增加了工作量。对于这一不足之处,笔者提出了以下改进意见。
3.2改进后的误用检测和异常检测模型
笔者进行了一些改进,以形成一种更加有利的基于数据挖掘的入侵检测模型,基础上进行了一定的优化。一是把从网络中获取的网络数据包发送到数据预处理器中,由它进行加工处理,然后使用相应的关联规则找出其中具有代表性的规则,放入关联规则集中,接下来用聚类规则将关联规则所得的支持度和可信度进行聚类优化。此后,我们可根据规定的阈值而将一部分正常的数据删除出去,这就大大减少了所要分析的数据量。此时可以把剩下的那些数据发送到误用检测器中进行检测,如果误用检测器也没有检测到攻击行为,则把该类数据发送到异常检测器中再次进行检测,与上面的例子一样,这个异常检测器实际上也起到了一个过滤的作用,以此来把海量的正常数据过滤出去,相应地数据量就会再一次变少,这就方便了后期的挖掘。这一模型系统的一大特点就是为了避免重复检测,利用对数据仓库的更新来完善异常检测器和误用检测器。也就是说,根据异常检测器的检测结果来对异常检测器和误用检测器进行更新,若测得该行为是正常行为,那么就会更新异常检测器,若测得该行为是攻击行为,那么就更新误用检测器来记录该次的行为,从而方便下次进行重复的检测。
2卫星通信网入侵检测系统的实现
2.1入侵检测系统的体系结构
入侵检测是检测计算机网络和系统以发现违反安全策略事件的过程。如图2所示,作为入侵检测系统至少应该包括三个功能模块:提供事件记录的信息源、发现入侵迹象的分析引擎和基于分析引擎的响应部件。CIDF阐述了一个入侵检测系统的通用模型,即入侵检测系统可以分为4个组件:事件产生器、事件分析器、响应单元、事件数据库。
2.2入侵检测系统的功能
卫星通信网络采用的是分布式的入侵检测系统,其主要功能模块包括:(1)数据采集模块。收集卫星发送来的各种数据信息以及地面站提供的一些数据,分为日志采集模块、数据报采集模块和其他信息源采集模块。(2)数据分析模块。对应于数据采集模块,也有三种类型的数据分析模块:日志分析模块、数据报分析模块和其他信息源分析模块。(3)告警统计及管理模块。该模块负责对数据分析模块产生的告警进行汇总,这样能更好地检测分布式入侵。(4)决策模块。决策模块对告警统计上报的告警做出决策,根据入侵的不同情况选择不同的响应策略,并判断是否需要向上级节点发出警告。(5)响应模块。响应模块根据决策模块送出的策略,采取相应的响应措施。其主要措施有:忽略、向管理员报警、终止连接等响应。(6)数据存储模块。数据存储模块用于存储入侵特征、入侵事件等数据,留待进一步分析。(7)管理平台。管理平台是管理员与入侵检测系统交互的管理界面。管理员通过这个平台可以手动处理响应,做出最终的决策,完成对系统的配置、权限管理,对入侵特征库的手动维护工作。
2.3数据挖掘技术
入侵检测系统中需要用到数据挖掘技术。数据挖掘是从大量的、不完全的、有噪声的、模糊的、随机的数据中提取隐含在其中的、人们事先不知道的、但又是潜在有用的信息和知识的过程。将数据挖掘技术应用于入侵检测系统的主要优点:(1)自适应能力强。专家根据现有的攻击从而分析、建立出它们的特征模型作为传统入侵检测系统规则库。但是如果一种攻击跨越较长一段时间,那么原有的入侵检测系统规则库很难得到及时更新,并且为了一种新的攻击去更换整个系统的成本将大大提升。因为应用数据挖掘技术的异常检测与信号匹配模式是不一样的,它不是对每一个信号一一检测,所以新的攻击可以得到有效的检测,表现出较强实时性。(2)误警率低。因为现有系统的检测原理主要是依靠单纯的信号匹配,这种生硬的方式,使得它的报警率与实际情况不一致。数据挖掘技术与入侵检测技术相结合的系统是从等报发生的序列中发现隐含在其中的规律,可以过滤出正常行为的信号,从而降低了系统的误警率。(3)智能性强。应用了数据挖掘的入侵检测系统可以在人很少参与的情况下自动地从大量的网络数据中提取人们不易发现的行为模式,也提高了系统检测的准确性。
1前言
在入侵检测系统中,为了提高系统的性能,包括降低误报率和漏报率,缩短反应时间等,学者们引入了许多方法,如专家系统、神经网络、遗传算法和数据挖掘中的聚类,分类等各种算法。例如:Cooper&Herkovits提出的一种基于贪心算法的贝叶斯信念网络,而Provan&SinghProvan,G.M&SinghM和其他学者报告了这种方法的优点。贝叶斯网络说明联合条件概率分布,为机器学习提供一种因果关系的图形,能有效的处理某些问题,如诊断:贝叶斯网络能正确的处理不确定和有噪声的问题,这类问题在任何检测任务中都很重要。
然而,在分类算法的比较研究发现,一种称作朴素贝叶斯分类的简单贝叶斯算法给人印象更为深刻。尽管朴素贝叶斯的分类器有个很简单的假定,但从现实数据中的实验反复地表明它可以与决定树和神经网络分类算法相媲美[1]。
在本文中,我们研究朴素贝叶斯分类算法,用来检测入侵审计数据,旨在开发一种更有效的,检验更加准确的算法。
2贝叶斯分类器
贝叶斯分类是统计学分类方法。它们可以预测类成员关系的可能性,如给定样本属于一个特定类的概率。
朴素贝叶斯分类[2]假定了一个属性值对给定类的影响独立于其它属性的值,这一假定称作类条件独立。
设定数据样本用一个n维特征向量X={x1,x2,,xn}表示,分别描述对n个属性A1,A2,,An样本的n个度量。假定有m个类C1,C2,,Cm。给定一个未知的数据样本X(即没有类标号),朴素贝叶斯分类分类法将预测X属于具有最高后验概率(条件X下)的类,当且仅当P(Ci|X)>P(Cj|X),1≤j≤m,j≠i这样,最大化P(Ci|X)。其中P(Ci|X)最大类Ci称为最大后验假定,其原理为贝叶斯定理:
公式(1)
由于P(X)对于所有类为常数,只需要P(X|Ci)P(Ci)最大即可。并据此对P(Ci|X)最大化。否则,最大化P(X|Ci)P(Ci)。如果给定具有许多属性的数据集,计算P(X|Ci)P(Ci)的开销可能非常大。为降低计算P(X|Ci)的开销,可以做类条件独立的朴素假定。给定样本的类标号,假定属性值相互条件独立,即在属性间,不存在依赖关系,这样,
公式(2)
概率,可以由训练样本估值:
(1)如果Ak是分类属性,则P(xk|Ci)=sik/si其中sik是Ak上具有值xk的类Ci的训练样本数,而si是Ci中的训练样本数。
(2)如果Ak是连续值属性,则通常假定该属性服从高斯分布。因而
公式(3)
其中,给定类Ci的训练样本属性Ak的值,是属性Ak的高斯密度函数,而分别为平均值和标准差。
朴素贝叶斯分类算法(以下称为NBC)具有最小的出错率。然而,实践中并非如此,这是由于对其应用假定(如类条件独立性)的不确定性,以及缺乏可用的概率数据造成的。主要表现为:
①不同的检测属性之间可能存在依赖关系,如protocol_type,src_bytes和dst_bytes三种属性之间总会存在一定的联系;
②当连续值属性分布是多态时,可能产生很明显的问题。在这种情况下,考虑分类问题涉及更加广泛,或者我们在做数据分析时应该考虑另一种数据分析。
后一种方法我们将在以下章节详细讨论。
3朴素贝叶斯的改进:核密度估计
核密度估计是一种普便的朴素贝叶斯方法,主要解决由每个连续值属性设为高斯分布所产生的问题,正如上一节所提到的。在[3]文中,作者认为连续属性值更多是以核密度估计而不是高斯估计。
朴素贝叶斯核密度估计分类算法(以下称K-NBC)十分类似如NBC,除了在计算连续属性的概率时:NBC是使用高斯密度函数来评估该属性,而K-NBC正如它的名字所说得一样,使用高斯核密度函数来评估属性。它的标准核密度公式为
公式(4)
其中h=σ称为核密度的带宽,K=g(x,0,1),定义为非负函数。这样公式(4)变形为公式(5)
公式(5)
在K-NBC中采用高斯核密度为数据分析,这是因为高斯密度有着更理想的曲线特点。图1说明了实际数据的概率分布更接近高斯核密度曲线。
图1两种不同的概率密度对事务中数据的评估,其中黑线代表高斯密度,虚线为核估计密度并有两个不同值的带宽朴素贝叶斯算法在计算μc和σc时,只需要存储观测值xk的和以及他们的平方和,这对一个正态分布来说是已经足够了。而核密度在训练过程中需要存储每一个连续属性的值(在学习过程中,对名词性属性只需要存储它在样本中的频率值,这一点和朴素贝叶斯算法一样)。而为事例分类时,在计算连续值属性的概率时,朴素贝叶斯算法只需要评估g一次,而核密度估计算法需要对每个c类中属性X每一个观察值进行n次评估,这就增加计算存储空间和时间复杂度,表1中对比了两种方法的时间复杂度和内存需求空间。
4实验研究与结果分析
本节的目标是评价我们提出核密度评估分类算法对入侵审计数据分类的效果,主要从整体检测率、检测率和误检率上来分析。
表1在给定n条训练事务和m个检测属性条件下,
NBC和K-NBC的算法复杂度
朴素贝叶斯核密度
时间空间时间空间
具有n条事务的训练数据O(nm)O(m)O(nm)O(nm)
具有q条事务的测试数据O(qm)O(qnm)
4.1实验建立
在实验中,我们使用NBC与K-NBC进行比较。另观察表1两种算法的复杂度,可得知有效的减少检测属性,可以提高他们的运算速度,同时删除不相关的检测属性还有可以提高分类效率,本文将在下一节详细介绍对称不确定方法[4]如何对入侵审计数据的预处理。我们也会在实验中进行对比分析。
我们使用WEKA来进行本次实验。采用KDDCUP99[5]中的数据作为入侵检测分类器的训练样本集和测试样本集,其中每个记录由41个离散或连续的属性(如:持续时间,协议类型等)来描述,并标有其所属的类型(如:正常或具体的攻击类型)。所有数据分类23类,在这里我们把这些类网络行为分为5大类网络行为(Normal、DOS、U2R、R2L、Probe)。
在实验中,由于KDDCUP99有500多万条记录,为了处理的方便,我们均匀从kddcup.data.gz中按照五类网络行为抽取了5万条数据作为训练样本集,并把他们分成5组,每组数据为10000条,其中normal数据占据整组数据中的98.5%,这一点符合真实环境中正常数据远远大于入侵数据的比例。我们首
先检测一组数据中只有同类的入侵的情况,共4组数据(DOS中的neptune,Proble中的Satan,U2R中的buffer_overflow,R2l中的guess_passwd),再检测一组数据中有各种类型入侵数据的情况。待分类器得到良好的训练后,再从KDD99数据中抽取5组数据作为测试样本,分别代表Noraml-DOS,Normal-Probe,Normal-U2R,Normal-R2L,最后一组为混后型数据,每组数据为1万条。
4.2数据的预处理
由于朴素贝叶斯有个假定,即假定所有待测属性对给定类的影响独立于其他属性的值,然而现实中的数据不总是如此。因此,本文引入对称不确定理论来对数据进行预处理,删除数据中不相关的属性。
对称不确定理论是基于信息概念论,首先我们先了解一下信息理论念,属性X的熵为:
公式(6)
给定一个观察变量Y,变量X的熵为:
公式(7)
P(xi)是变量X所有值的先验概率,P(xi|yi)是给定观察值Y,X的后验概率。这些随着X熵的降低反映在条件Y下,X额外的信息,我们称之为信息增益,
公式(8)
按照这个方法,如果IG(X|Y)>IG(X|Y),那么属性Y比起属性Z来,与属性X相关性更强。
定理:对两个随机变量来说,它们之间的信息增益是对称的。即
公式(9)
对测量属性之间相关性的方法来说,对称性是一种比较理想的特性。但是在计算有很多值的属性的信息增益时,结果会出现偏差。而且为了确保他们之间可以比较,必须使这些值离散化,同样也会引起偏差。因此我们引入对称不确定性,
公式(10)
通过以下两个步骤来选择好的属性:
①计算出所有被测属性与class的SU值,并把它们按降序方式排列;
②根据设定的阈值删除不相关的属性。
最后决定一个最优阈值δ,这里我们通过分析NBC和K-NBC计算结果来取值。
4.3实验结果及分析
在试验中,以记录正确分类的百分比作为分类效率的评估标准,表2为两种算法的分类效率。
表2对应相同入侵类型数据进行检测的结果
数据集
算法DOS
(neptune)Proble
(satan)R2L
(guess_passwd)U2R
(buffer_overflow)
检测率误检率整体检测率检测率误检率整体检测率检测率误检率整体检测率检测率误检率整体检测率
NBC99.50.299.7998.30.199.8497.30.899.2951.898.21
K-NBC99.50.299.9698.3099.9697.30.299.81710.199.76
SU+NBC99.5099.9698.30.199.85980.799.2491.198.84
SU+K-NBC99.5099.9698.3099.9698.70.299.76850.199.81
根据表2四组不同类别的入侵检测结果,我们从以下三个方面分析:
(1)整体检测率。K-NBC的整体检测率要比NBC高,这是因为K-NBC在对normal这一类数据的检测率要比NBC高,而normal这一类数据又占整个检测数据集数的95%以上,这也说明了在上一节提到的normal类的数据分布曲线更加接近核密度曲线。
(2)检测率。在对DOS和PROBLE这两组数据检测结果,两个算法的检测率都相同,这是因为这两类入侵行为在实现入侵中占绝大部分,而且这一类数据更容易检测,所以两种算法的检测效果比较接近;针对R2L检测,从表2可以看到,在没有进行数据预处理之前,两者的的检测率相同,但经过数据预处理后的两个算法的检测率都有了提高,而K-NBC的效率比NBC更好点;而对U2R的检测结果,K-NBC就比NBC差一点,经过数据预处理后,K-NBC的检测率有一定的提高,但还是比NBC的效果差一些。
(3)误检率。在DOS和Proble这两种组数据的误检率相同,在其他两组数据的中,K-NBC的误检率都比NBC的低。
根据表3的结果分析,我们也可以看到的检测结果与表2的分组检测的结果比较类似,并且从综合角度来说,K-NBC检测效果要比NBC的好。在这里,我们也发现,两种算法对R2L和U2L这两类入侵的检测效果要比DOS和Proble这两类入侵的差。这主要是因为这两类入侵属于入侵行为的稀有类,检测难度也相应加大。在KDD99竞赛中,冠军方法对这两类的检测效果也是最差的。但我们可以看到NBC对这种稀有类的入侵行为检测更为准确一点,这应该是稀有类的分布更接近正态分布。
从上述各方面综合分析,我们可以证明K-NBC作为的入侵检测分类算法的是有其优越性的。
表3对混合入侵类型数据进行检测的结果
数据集
算法整体检测分类检测
NormalDosProbleR2LU2R
检测率误检率检测率误检率检测率误检率检测率误检率检测率误检率检测率误检率
NBC98.141.898.20.899.8099.8090086.71.8
K-NBC99.780.299.82.399.8099.8096073.30.1
SU+NBC97.992.0980.899.8099.8090086.71.9
SU+K-NBC99.790.299.81.999.8099.80960800.1
5结论
在本文中,我们用高斯核密度函数代替朴素贝叶斯中的高斯函数,建立K-NBC分类器,对入侵行为进行检测,另我们使用对称不确定方法来删除检测数据的中与类不相关的属性,从而进一步改进核密度朴素贝叶斯的分类效率,实验表明,对预处理后的审计数据,再结合K-NBC来检测,可以达到更好的分类效果,具有很好的实用性。同时我们也注意到,由于入侵检测的数据中的入侵行为一般为稀有类,特别是对R2L和U2R这两类数据进行检测时,NBC有着比较理想的结果,所以在下一步工作中,我们看是否能把NBC和K-NBC这两种分类模型和优点联合起来,并利用对称不确定理论来删除检测数据与类相关的属性中的冗余属性,进一步提高入侵检测效率。
参考文献
[1]Langley.P.,Iba,W.&Thompson,K.AnanalysisofBayesianclassifiers[A],in“ProceedingsoftheTenthNationalConferenceonArtificialIntelligence”[C]MenloPark,1992.223-228
[2]HanJ.,KamberM..数据挖掘概念与技术[M].孟小峰,等译.北京:机械工业出版社.2005.196201
0 前言
随着互联网的飞速发展,信息网络已经进入千家万户,各国都在加速信息化建设的进程,越来越多的电子业务正在网络上开展,这加速了全球信息化的进程,促进了社会各个领域的发展,与此同时计算机网络也受到越来越多的恶意攻击[1],例如网页内容被篡改、消费者网上购物信用卡帐号和密码被盗、大型网站被黑客攻击无法提供正常服务等等。
入侵检测作为传统计算机安全机制的补充[2],它的开发与应用扩大了网络与系统安全的保护纵深,成为目前动态安全工具的主要研究和开发的方向。随着系统漏洞不断被发现,攻击不断发生,入侵检测系统在整个安全系统中的地位不断提高,所发挥的作用也越来越大。无论是从事网络安全研究的学者,还是从事入侵检测产品开发的企业,都越来越重视入侵检测技术。
本文在校园网的环境下,提出了一种基于Snort的三层入侵检测系统,详细介绍了该系统的体系结构,各个模块的具体功能以及如何实现,并最终将该系统应用于校园网络中进行检测网络安全论文,确保校园网络的安全。
1 Snort入侵检测系统介绍
Snort[3]是一种基于网络的轻量级入侵检测系统,建立在数据包嗅探器上。它能实时分析网络上的数据包,检测来自网络的攻击。它能方便地安装和配置在网络的任何一节点上,而且不会对网络运行产生太大的影响,同时它还具有跨系统平台操作、最小的系统要求以及易于部署和配置等特征,并且管理员能够利用它在短时间内通过修改配置进行实时的安全响应。它能够实时分析数据流量和日志IP网络数据包,能够进行协议分析,对内容进行搜索/匹配。其次它还可以检测各种不同的攻击方式,对攻击进行实时警报。总的来说,Snort具有如下的优点:
(1)高效的检测和模式匹配算法,使性能大大提升。
(2)良好的扩展性,它采用了插入式检测引擎,可以作为标准的网络入侵检测系统、主机入侵检测系统使用;与Netfilter结合使用,可以作为网关IDS(Gateway IDS,GIDS);与NMAP等系统指纹识别工具结合使用,可以作为基于目标的TIDS(Target-basedIDS)。
(3)出色的协议分析能力,Snort能够分析的协议有TCP,UDP和ICMP。将来的版本,将提供对ARP.ICRP,GRE,OSPF,RIP,ERIP,IPX,APPLEX等协议的支持。它能够检测多种方式的攻击和探测,例如:缓冲区溢出,CGI攻击,SMB检测,端口扫描等等中国期刊全文数据库。
(4)支持多种格式的特征码规则输入方式,如数据库、XML等。
Snort同时遵循GPL(公用许可License),任何组织或者个人都可以自由使用,这是商业入侵检测软件所不具备的优点。基于以上的特点,本文采用了Snort作为系统设计的基础,自主开发设计了三层结构的入侵检测系统。
2 入侵检测三层体系结构
Snort入侵检测系统可采用单层或多层的体系结构,对于单层[4]的结构来说,它将入侵检测的核心功能和日志信息混合放在同一层面上,这样的系统设计与实现均比较简单,但它的缺点是交互性比较差,扩展性不好,操作管理比较繁琐,系统的升级维护比较复杂。为了设计一个具有灵活性、安全性和可扩展性的网络入侵检测系统,本文的系统采用了三层体系结构,主要包括网络入侵检测层、数据库服务器层和日志分析控制台层。系统的三层体系结构如图4.1所示。
图4.1 三层体系结构图
(1)网络入侵检测层主要实现对网络数据包的实时捕获,监控和对数据进行分析以找出可能存在的入侵。
(2)数据库服务器层主要是从入侵检测系统中收集报警数据,并将它存入到关系数据库中网络安全论文,以便用户进行复杂的查询,和更好地管理报警信息。
(3)日志分析控制台层是数据显示层,网络管理员可通过浏览器本地的Web服务器,访问关系数据库中的数据,对报警日志信息进行查询与管理,提供了很好的人机交互界面。
2.1 网络入侵检测层
网络入侵检测层是整个系统的核心所在,主要负责数据的采集、分析、判断是否存在入侵行为,并通过Snort的输出插件将数据送入数据库服务器中。Snort没有自己的数据采集工具,它需要外部的数据包捕获程序库winpcap[4],因此本部分主要包括两个组件:winpcap和Snort。winpcap是由伯克利分组捕获库派生而来的分组捕获库,它在Windows操作平台上实现底层包的截取过滤,它提供了Win32应用程序提供访问网络底层的能力。通过安装winpcap和Snort两个开源软件,搭建了一个基本的入侵检测层,基本上完成了一个简单的单层入侵检测系统。
2.2 数据库服务器模块
数据库服务器层主要是从入侵检测系统中收集报警数据,并将它存入到关系数据库中。除了将报警数据写入关系数据库,Snort还可以用其他方式记录警报,如系统日志syslog[5],统一格式输出unified等。利用关系数据库对数据量相当大的报警数据进行组织管理是最实用的方法。报警存入关系数据库后能对其进行分类,查询和按优先级组织排序等。在本系统中我们采用MySQL数据库。MySQL是一个快速的客户机/服务器结构的SQL数据库管理系统,功能强大、灵活性好、应用编程接口丰富并且系统结构精巧。MySQL数据库采用默认方式安装后,设置MySQL为服务方式运行。然后启动MySQL服务,进入命令行状态,创建Snort运行必需的存放系统日志的Snort库和Snort_archive库。同时使用Snort目录下的create_mysql脚本建立Snort运行所需的数据表,用来存放系统日志和报警信息,数据库服务器模块就可以使用了。
2.3 日志分析控制台
日志分析控制台用来分析和处理Snort收集的入侵数据,以友好、便于查询的方式显示日志数据库发送过来的报警信息,并可按照不同的方式对信息进行分类统计,将结果显示给用户。本文所设计的警报日志分析系统采用上面所述的中心管理控制平台模式,在保护目标网络中构建一个中心管理控制平台,并与网络中架设的Snort入侵检测系统及MySQL数据库通信,达到以下一些目的:
(1)能够适应较大规模的网络环境;
(2)简化规则配置模式,便于用户远程修改Snort入侵检测系统的检测规则;
(3)降低警报数据量,通过多次数据分类分析,找出危害重大的攻击行为;
(4)减少Snort的警报数据在MySQL数据库中的存储量,降低运行系统的负担;
(5)将分析后的警报数据制成报表形式输出,降低对于管理员的要求。
为了完成以上所述的目的,提高Snort入侵检测系统的使用效率,本子系统主要分为以下三个模块:规则配置模块网络安全论文,数据分析模块,报表模块。本子系统框架如图4.4所示:
图4.4 Snort警报日志系统框架
(1)规则配置模块:起到简化用户配置Snort检测规则的作用。此模块主要与Snort运行主机系统上的一个守护程序通信,修改Snort的配置文件――Snort.conf,从而完成改变检测规则的目。中心控制管理平台在本地系统上备份snort.conf文件以及所有规则文件,当需要修改某个Snort入侵检测系统的规则配置时,就可以通过平台接口首先修改本地对应的snort.conf文件以及所有规则文件,然后通过与Snort运行系统中守护程序通信,将本地系统上修改后的snort.conf文件以及所有规则文件传输到Snort运行系统中并且覆盖掉运行系统中的原配置文件和原规则文件集,然后重新启动Snort,达到重新配置Snort检测规则的目的。
(2)数据分析模块:主要利用改进的Apriori算法对数据库的日志进行分析,通过关联规则挖掘,生成一些新的检测规则用来改进snort本身的检测规则,分析警报数据,降低输出的警报数据量,集中显示危害较为严重的入侵行为。数据分析模块是整个中心管理控制中心的核心模块。本模块通过挖掘保存在Mysql数据库中Snort异常日志数据来发现这些入侵数据之间的关联关系,通过发现入侵数据的强关联规则来发现新的未知入侵行为,建立新的Snort检测规则,进一步优化Snort系统的规则链表中国期刊全文数据库。具体的步骤如下:
先对Snort异常日志进行数据预处理。数据预处理中先计算出每个网络特征属性的信息增益值,然后取出前面11个重要的网络特征,把原来要分析的多个网络特征减少到11个重要的网络特征,这样就大大减小了整个算法的复杂度,也有利提高检测速度。历史日志经过预处理之后,我们就可以采用改进的Apriori算法求出所有频繁项集。在产生频繁项集之前,我们需要设定最小支持度,最小支持度设置得越低,产生的频繁项集就会越多,反之就会越少。通常,最小支持度的设定有赖于领域专家的分析和实验数据分析两种手段。经过反复实验,最终采用模拟仿真的攻击数据进行规则推导,设定最小支持度10%、可信度80%。训练结束时头100条质量最好的规则作为最终的检测规则。把关联规则中与Snort规则头相关的项放在一起充当规则头,与Snort规则选项相关的项放在一起充当规则选项,然后把规则头与规则选项合并在一起形成Snort入侵检测规则。
(3)报表模块:将分析后的数据库中的警报数据制成报表输出,降低对于管理员的要求。报表模块是为了简化管理员观察数据,美观输出而创建,通过.net的报表编写完成。报表是高弹性的报表设计器,用于报表的数据可以从任何类型的数据源获取,包含字符列表,BDE数据库网络安全论文,ADO数据源(不使用BDE),Interbase(使用IBO),Pascal数组和记录,以及一些不常用的数据源。
该系统采用Microsoft Visual Studio 2008进行开发,语言采用C#。具体如下图:
图4.5 日志分析控制台
3 系统实际运行效果
集美大学诚毅学院作为一个独立学院,为了更好的满足学院师生对信息资源的需求,部署了自己的web服务器,ftp服务器,英语网络自主学习等教学平台,有了丰富的网络信息资源。学院随着网络应用的不断展开,使用者越来越多,网络安全状况也出现很多问题,比如学院的web服务器曾经出现挂马事件,ftp服务器被入侵等事件也相继出现。为了解决该问题,部署属于自己的网络入侵检测系统,用来检测入侵事件,提高校园网络的安全情况就成为必须要解决的问题。该系统目前已经在集美大学诚毅学院使用,检测效果很好,有效的防范了网络安全事件的发生,能够及时对攻击事件进行检测,从而采取相对应的防范措施。
[参考文献]
[1]RobFliCkenger.LinnxServerHaeks.北京:清华大学出版社,2004.5, 132-135
[2]蒋建春,冯登国.网络入侵监测原理与技术.北京:国防工业出版社,2001.
[3]ForrestS,HofmeyrS,SomayajiA.Computerimmunology.Communicationsof the ACM,1997.40(10).88-96.
[4]Jack Koziol著.吴溥峰,孙默,许诚等译.Snort入侵检测实用解决方案.北京:机械工业出版社.2005.
在网络技术日新月异的今天,写作论文基于网络的计算机应用已经成为发展的主流。政府、教育、商业、金融等机构纷纷联入Internet,全社会信息共享已逐步成为现实。然而,近年来,网上黑客的攻击活动正以每年10倍的速度增长。因此,保证计算机系统、网络系统以及整个信息基础设施的安全已经成为刻不容缓的重要课题。
1防火墙
目前防范网络攻击最常用的方法是构建防火墙。
防火墙作为一种边界安全的手段,在网络安全保护中起着重要作用。其主要功能是控制对网络的非法访问,通过监视、限制、更改通过网络的数据流,一方面尽可能屏蔽内部网的拓扑结构,另一方面对内屏蔽外部危险站点,以防范外对内的非法访问。然而,防火墙存在明显的局限性。
(1)入侵者可以找到防火墙背后可能敞开的后门。如同深宅大院的高大院墙不能挡住老鼠的偷袭一样,防火墙有时无法阻止入侵者的攻击。
(2)防火墙不能阻止来自内部的袭击。调查发现,50%的攻击都将来自于网络内部。
(3)由于性能的限制,防火墙通常不能提供实时的入侵检测能力。写作毕业论文而这一点,对于层出不穷的网络攻击技术来说是至关重要的。
因此,在Internet入口处部署防火墙系统是不能确保安全的。单纯的防火墙策略已经无法满足对安全高度敏感部门的需要,网络的防卫必须采用一种纵深的、多样化的手段。
由于传统防火墙存在缺陷,引发了入侵检测IDS(IntrusionDetectionSystem)的研究和开发。入侵检测是防火墙之后的第二道安全闸门,是对防火墙的合理补充,在不影响网络性能的情况下,通过对网络的监测,帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高信息安全基础结构的完整性,提供对内部攻击、外部攻击和误操作的实时保护。现在,入侵检测已经成为网络安全中一个重要的研究方向,在各种不同的网络环境中发挥重要作用。
2入侵检测
2.1入侵检测
入侵检测是通过从计算机网络系统中的若干关键点收集信息并对其进行分析,从中发现违反安全策略的行为和遭到攻击的迹象,并做出自动的响应。其主要功能是对用户和系统行为的监测与分析、系统配置和漏洞的审计检查、重要系统和数据文件的完整性评估、已知的攻击行为模式的识别、异常行为模式的统计分析、操作系统的审计跟踪管理及违反安全策略的用户行为的识别。入侵检测通过迅速地检测入侵,在可能造成系统损坏或数据丢失之前,识别并驱除入侵者,使系统迅速恢复正常工作,并且阻止入侵者进一步的行动。同时,收集有关入侵的技术资料,用于改进和增强系统抵抗入侵的能力。
入侵检测可分为基于主机型、基于网络型、基于型三类。从20世纪90年代至今,写作英语论文已经开发出一些入侵检测的产品,其中比较有代表性的产品有ISS(IntemetSecuritySystem)公司的Realsecure,NAI(NetworkAssociates,Inc)公司的Cybercop和Cisco公司的NetRanger。
2.2检测技术
入侵检测为网络安全提供实时检测及攻击行为检测,并采取相应的防护手段。例如,实时检测通过记录证据来进行跟踪、恢复、断开网络连接等控制;攻击行为检测注重于发现信息系统中可能已经通过身份检查的形迹可疑者,进一步加强信息系统的安全力度。入侵检测的步骤如下:
收集系统、网络、数据及用户活动的状态和行为的信息
入侵检测一般采用分布式结构,在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息,一方面扩大检测范围,另一方面通过多个采集点的信息的比较来判断是否存在可疑现象或发生入侵行为。
入侵检测所利用的信息一般来自以下4个方面:系统和网络日志文件、目录和文件中的不期望的改变、程序执行中的不期望行为、物理形式的入侵信息。
(2)根据收集到的信息进行分析
常用的分析方法有模式匹配、统计分析、完整性分析。模式匹配是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。
统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性。测量属性的平均值将被用来与网络、系统的行为进行比较。当观察值超出正常值范围时,就有可能发生入侵行为。该方法的难点是阈值的选择,阈值太小可能产生错误的入侵报告,阈值太大可能漏报一些入侵事件。
完整性分析主要关注某个文件或对象是否被更改,包括文件和目录的内容及属性。该方法能有效地防范特洛伊木马的攻击。
3分类及存在的问题
入侵检测通过对入侵和攻击行为的检测,查出系统的入侵者或合法用户对系统资源的滥用和误用。写作工作总结根据不同的检测方法,将入侵检测分为异常入侵检测(AnomalyDetection)和误用人侵检测(MisuseDetection)。
3.1异常检测
又称为基于行为的检测。其基本前提是:假定所有的入侵行为都是异常的。首先建立系统或用户的“正常”行为特征轮廓,通过比较当前的系统或用户的行为是否偏离正常的行为特征轮廓来判断是否发生了入侵。此方法不依赖于是否表现出具体行为来进行检测,是一种间接的方法。
常用的具体方法有:统计异常检测方法、基于特征选择异常检测方法、基于贝叶斯推理异常检测方法、基于贝叶斯网络异常检测方法、基于模式预测异常检测方法、基于神经网络异常检测方法、基于机器学习异常检测方法、基于数据采掘异常检测方法等。
采用异常检测的关键问题有如下两个方面:
(1)特征量的选择
在建立系统或用户的行为特征轮廓的正常模型时,选取的特征量既要能准确地体现系统或用户的行为特征,又能使模型最优化,即以最少的特征量就能涵盖系统或用户的行为特征。
(2)参考阈值的选定
由于异常检测是以正常的特征轮廓作为比较的参考基准,因此,参考阈值的选定是非常关键的。
阈值设定得过大,那漏警率会很高;阈值设定的过小,则虚警率就会提高。合适的参考阈值的选定是决定这一检测方法准确率的至关重要的因素。
由此可见,异常检测技术难点是“正常”行为特征轮廓的确定、特征量的选取、特征轮廓的更新。由于这几个因素的制约,异常检测的虚警率很高,但对于未知的入侵行为的检测非常有效。此外,由于需要实时地建立和更新系统或用户的特征轮廓,这样所需的计算量很大,对系统的处理性能要求很高。
3.2误用检测
又称为基于知识的检测。其基本前提是:假定所有可能的入侵行为都能被识别和表示。首先,写作留学生论文对已知的攻击方法进行攻击签名(攻击签名是指用一种特定的方式来表示已知的攻击模式)表示,然后根据已经定义好的攻击签名,通过判断这些攻击签名是否出现来判断入侵行为的发生与否。这种方法是依据是否出现攻击签名来判断入侵行为,是一种直接的方法。
常用的具体方法有:基于条件概率误用入侵检测方法、基于专家系统误用入侵检测方法、基于状态迁移分析误用入侵检测方法、基于键盘监控误用入侵检测方法、基于模型误用入侵检测方法。误用检测的关键问题是攻击签名的正确表示。
误用检测是根据攻击签名来判断入侵的,根据对已知的攻击方法的了解,用特定的模式语言来表示这种攻击,使得攻击签名能够准确地表示入侵行为及其所有可能的变种,同时又不会把非入侵行为包含进来。由于多数入侵行为是利用系统的漏洞和应用程序的缺陷,因此,通过分析攻击过程的特征、条件、排列以及事件间的关系,就可具体描述入侵行为的迹象。这些迹象不仅对分析已经发生的入侵行为有帮助,而且对即将发生的入侵也有预警作用。
误用检测将收集到的信息与已知的攻击签名模式库进行比较,从中发现违背安全策略的行为。由于只需要收集相关的数据,这样系统的负担明显减少。该方法类似于病毒检测系统,其检测的准确率和效率都比较高。但是它也存在一些缺点。
3.2.1不能检测未知的入侵行为
由于其检测机理是对已知的入侵方法进行模式提取,对于未知的入侵方法就不能进行有效的检测。也就是说漏警率比较高。
3.2.2与系统的相关性很强
对于不同实现机制的操作系统,由于攻击的方法不尽相同,很难定义出统一的模式库。另外,误用检测技术也难以检测出内部人员的入侵行为。
目前,由于误用检测技术比较成熟,多数的商业产品都主要是基于误用检测模型的。不过,为了增强检测功能,不少产品也加入了异常检测的方法。
4入侵检测的发展方向
随着信息系统对一个国家的社会生产与国民经济的影响越来越大,再加上网络攻击者的攻击工具与手法日趋复杂化,信息战已逐步被各个国家重视。近年来,入侵检测有如下几个主要发展方向:
4.1分布式入侵检测与通用入侵检测架构
传统的IDS一般局限于单一的主机或网络架构,对异构系统及大规模的网络的监测明显不足,再加上不同的IDS系统之间不能很好地协同工作。为解决这一问题,需要采用分布式入侵检测技术与通用入侵检测架构。
4.2应用层入侵检测
许多入侵的语义只有在应用层才能理解,然而目前的IDS仅能检测到诸如Web之类的通用协议,而不能处理LotusNotes、数据库系统等其他的应用系统。许多基于客户/服务器结构、中间件技术及对象技术的大型应用,也需要应用层的入侵检测保护。
4.3智能的入侵检测
入侵方法越来越多样化与综合化,尽管已经有智能体、神经网络与遗传算法在入侵检测领域应用研究,但是,这只是一些尝试性的研究工作,需要对智能化的IDS加以进一步的研究,以解决其自学习与自适应能力。
4.4入侵检测的评测方法
用户需对众多的IDS系统进行评价,评价指标包括IDS检测范围、系统资源占用、IDS自身的可靠性,从而设计出通用的入侵检测测试与评估方法与平台,实现对多种IDS的检测。
4.5全面的安全防御方案
结合安全工程风险管理的思想与方法来处理网络安全问题,将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、入侵检测多方位全面对所关注的网络作全面的评估,然后提出可行的全面解决方案。
综上所述,入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,使网络系统在受到危害之前即拦截和响应入侵行为,为网络安全增加一道屏障。随着入侵检测的研究与开发,并在实际应用中与其它网络管理软件相结合,使网络安全可以从立体纵深、多层次防御的角度出发,形成人侵检测、网络管理、网络监控三位一体化,从而更加有效地保护网络的安全。
参考文献
l吴新民.两种典型的入侵检测方法研究.计算机工程与应用,2002;38(10):181—183
2罗妍,李仲麟,陈宪.入侵检测系统模型的比较.计算机应用,2001;21(6):29~31
3李涣洲.网络安全与入侵检测技术.四川师范大学学报.2001;24(3):426—428
1 校园网络安全现状
随着网络应用的普及,电子商务!电子银行和电子政务等网络服务的大力发展,网络在人们日常生活中的应用越来越多重要性越来越大,网络攻击也越来越严重。有一些人专门利用他们掌握的信息技术知识从事破坏活动,入侵他人计算机系统窃取!修改和破坏重要信息,给社会造成了巨大的损。随着攻击手段的变化,传统的以身份验证、加密、防火墙为主的静态安全防护体系已经越来越难以适应日益变化的网络环境,尤其是授权用户的滥用权利行为,几乎只有审计才能发现园网是国内最大的网络实体,如何保证校园网络系统的安全,是摆在我们面前的最重要问题。
因此,校园网对入侵检测系统也有着特别的需求校园网的特点是在线用户比率高、上网时间长、用户流量大、对服务器访问量大,这种情况下,校园网络面临着许多安全方面的威胁:
(1)黑客攻击,特别是假冒源地址的拒绝服务攻击屡有发生攻击者通过一些简单的攻击工具,就可以制造危害严重的网络洪流,耗尽网络资源或使主机系统资源遭到攻击同时,攻击者常常借助伪造源地址的方法,使网络管理员对这种攻击无可奈何。
(2)病毒和蠕虫,在高速大容量的局域网络中,各种病毒和蠕虫,不论新旧都很容易通过有漏洞的系统迅速传播扩散"其中,特别是新出现的网络蠕虫,常常可以在爆发初期的几个小时内就闪电般席卷全校,造成网络阻塞甚至瘫痪。
(3)滥用网络资源,在校园网中总会出现滥用带宽等资源以致影响其他用户甚至整个网络正常使用的行为如各种扫描、广播、访问量过大的视频下载服务等等。入侵检测系统(IntrusionDeteetionSystem,IDS)的出现使得我们可以主动实时地全面防范网络攻击N工DS指从网络系统的若干节点中搜集信息并进行分析,从而发现网络系统中是否有违反安全策略的行为,并做出适当的响应"它既能检测出非授权使用计算机的用户,也能检测出授权用户的滥用行为。
IDS按照功能大致可划分为主机入侵检测(HostIDS,HIDS)网络入侵检测(NetworkIDS,NIDS)分布式入侵检测(DistributedIDS,DIDS)其中,网络入侵检测的特点是成本低,实时地检测和分析,而且可以检测到未成功的攻击企图"从分析方法的角度可分为异常检测(Anomaly DeteCtion)和误用检测(MISuseDeteCtion)其中误用检测是指定义一系列规则,符合规则的被认为是入侵其优点是误报率低、开销小、效率高Snort作为IDS的经典代表,是基于网络和误用检测的入侵检测系统入侵检测技术自20世纪80年代早起提出以来,在早期的入侵检测系统中,大多数是基于主机的,但是在过去的10年间基于网络的入侵检测系统占有主要地位,现在和未来的发展主流将是混合型和分布式形式的入侵检测系统。
2 入侵检测研究现状
国外机构早在20世纪80年代就开展了相关基础理论研究工作。经过20多年的不断发展,从最初的一种有价值的研究想法和单纯的理论模型,迅速发展出种类繁多的各种实际原型系统,并且在近10年内涌现出许多商用入侵检测系统,成为计算机安全防护领域内不可缺少的一种安全防护技术。Anderson在1980年的报告“Computer Seeurity Threat Monitoring and Surveillance”中,提出必须改变现有的系统审计机制,以便为专职系统安全人员提供安全信息,此文被认为是有关入侵检测的最早论述;1984一1986年,Dorothy E.Denning和Peter G.Neumann联合开发了一个实时IDES(Intrusion DeteCtion Expert System),IDES采用统计分析,异常检测和专家系统的混合结构,Delming1986年的论文“An Intrusion Deteetion Modelo”,被公认为是入侵检测领域的另一开山之作"。1987年,Dorothy Denning发表的经典论文AnIntursion Deteetion Modelo中提出了入侵检测的基本模型,并提出了几种可用于入侵检测的统计分析模型。Dnening的论文正式启动了入侵检测领域的研究工作,在发展的早期阶段,入侵检测还仅仅是个有趣的研究领域,还没有获得计算机用户的足够注意,因为,当时的流行做法是将计算机安全的大部分预算投入到预防性的措施上,如:加密、身份验证和访问控制等方面,而将检测和响应等排斥在外。到了1996年后,才逐步出现了大量的商用入侵检测系统。从20世纪90年代到现在,入侵检测系统的研发呈现出百家争鸣的繁荣局面,并在智能化和分布式两个方向取得了长足的进展。其中一种主要的异常检测技术是神经网络技术,此外,如基于贝叶斯网络的异常检测方法,基于模式预测的异常检测方法,基于数据挖掘的异常检测方法以及基于计算机免疫学的检测方法也相继出现,对于误用入侵检测也有多种检测方法,如专家系统(expert system),特征分析(Signature analysis),状态转移分析(State transition analysis)等.
入侵检测系统的典型代表是ISSInc(国际互联网安全系统公司)Rea1Secure产品。较为著名的商用入侵检测产品还有:NAJ公司的CyberCoPMoitor、Axent公司的Netprowler、CISCO公司的Netranger、CA公司的SeSSionwall-3等。目前,普渡大学、加州大学戴维斯分校、洛斯阿拉莫斯国家实验室、哥伦比亚大学、新墨西哥大学等机构在这些方面的研究代表了当前的最高水平。随着计算机系统软、硬件的飞速发展,以及网络技术、分布式计算!系统工程!人工智能等计算机新兴技术与理论的不断发展与完善,入侵检测理论本身也处于发展变化中,但还未形成一个比较完整的理论体系。
在国内,随着上网的关键部门、关键业务越来越多,更需要具有自主版权的入侵检测产品。我国在这方面的研究相对晚,国内的该类产品较少,但发展较快,己有总参北方所、中科网威、启明星辰,H3C等公司推出产品。至今日入侵检测技术仍然改变了以往被动防御的特点,使网络管理员能够主动地实时跟踪各种危害系统安全的入侵行为并做出及时的响应,尤其在抵御网络内部人员的破坏时更有独到的特点,因而成为了防火墙之后的又一道安全防线。
随着互联网的进一步普及和深入,入侵检测技术有着更广泛的发展前途和实际价值。尽管问题尚存,但希望更大,相信目前正在研究的大规模分布式入侵检测系统、基于多传感器的数据融合、基于计算机免疫技术、基于神经网络及基于遗传算法等的新一代入侵检测系统一定能够解决目前面临到种种问题,更好地完成抵御入侵的任务。
3 未来和展望
随着网络规模和复杂程度的不断增长,如何在校园网多校区乃至异构网络环境下收集和处理分布在网络各处的不同格式信息!如何进行管理域间的合作以及保证在局部入侵检测失效的情况下维持系统整体安全等"同时,伴随着大量诸如高速/超高速接入手段的出现,如何实现高速/超高速网络下的实时入侵检测。降低丢包率也成为一个现实的问题,面对G级的网络数据流量,传统的软件结构和算法都需要重新设计;开发和设计适当的专用硬件也成为研究方向之一"时至今日,入侵检测系统的评估测试方面仍然不成熟,如何对入侵检测系统进行评估是一个重要而敏感的话题。
参考文献
近年来,随着信息和网络技术的高速发展以及政治、经济或者军事利益的驱动,计算机和网络基础设施,非凡是各种官方机构的网站,成为黑客攻击的热门目标。近年来对电子商务的热切需求,更加激化了这种入侵事件的增长趋向。由于防火墙只防外不防内,并且很轻易被绕过,所以仅仅依靠防火墙的计算机系统已经不能对付日益猖獗的入侵行为,对付入侵行为的第二道防线——入侵检测系统就被启用了。
1 入侵检测系统(IDS)概念
1980年,James P.Anderson 第一次系统阐述了入侵检测的概念,并将入侵行为分为外部滲透、内部滲透和不法行为三种,还提出了利用审计数据监视入侵活动的思想[1。即其之后,1986年Dorothy E.Denning提出实时异常检测的概念[2并建立了第一个实时入侵检测模型,命名为入侵检测专家系统(IDES),1990年,L.T.Heberlein等设计出监视网络数据流的入侵检测系统,NSM(Network Security Monitor)。自此之后,入侵检测系统才真正发展起来。
Anderson将入侵尝试或威胁定义为摘要:潜在的、有预谋的、未经授权的访问信息、操作信息、致使系统不可靠或无法使用的企图。而入侵检测的定义为[4摘要:发现非授权使用计算机的个体(如“黑客”)或计算机系统的合法用户滥用其访问系统的权利以及企图实施上述行为的个体。执行入侵检测任务的程序即是入侵检测系统。入侵检测系统也可以定义为摘要:检测企图破坏计算机资源的完整性,真实性和可用性的行为的软件。
入侵检测系统执行的主要任务包括[3摘要:监视、分析用户及系统活动;审计系统构造和弱点;识别、反映已知进攻的活动模式,向相关人士报警;统计分析异常行为模式;评估重要系统和数据文件的完整性;审计、跟踪管理操作系统,识别用户违反平安策略的行为。入侵检测一般分为三个步骤摘要:信息收集、数据分析、响应。
入侵检测的目的摘要:(1)识别入侵者;(2)识别入侵行为;(3)检测和监视以实施的入侵行为;(4)为对抗入侵提供信息,阻止入侵的发生和事态的扩大;
2 入侵检测系统模型
美国斯坦福国际探究所(SRI)的D.E.Denning于1986年首次提出一种入侵检测模型[2,该模型的检测方法就是建立用户正常行为的描述模型,并以此同当前用户活动的审计记录进行比较,假如有较大偏差,则表示有异常活动发生。这是一种基于统计的检测方法。随着技术的发展,后来人们又提出了基于规则的检测方法。结合这两种方法的优点,人们设计出很多入侵检测的模型。通用入侵检测构架(Common Intrusion Detection Framework简称CIDF)组织,试图将现有的入侵检测系统标准化,CIDF阐述了一个入侵检测系统的通用模型(一般称为CIDF模型)。它将一个入侵检测系统分为以下四个组件摘要:
事件产生器(Event Generators)
事件分析器(Event analyzers)
响应单元(Response units)
事件数据库(Event databases)
它将需要分析的数据通称为事件,事件可以是基于网络的数据包也可以是基于主机的系统日志中的信息。事件产生器的目的是从整个计算机环境中获得事件,并向系统其它部分提供此事件。事件分析器分析得到的事件并产生分析结果。响应单元则是对分析结果做出反应的功能单元,它可以做出切断连接、修改文件属性等强烈反应。事件数据库是存放各种中间和最终数据的地方的通称,它可以是复杂的数据库也可以是简单的文本文件。
3 入侵检测系统的分类摘要:
现有的IDS的分类,大都基于信息源和分析方法。为了体现对IDS从布局、采集、分析、响应等各个层次及系统性探究方面的新问题,在这里采用五类标准摘要:控制策略、同步技术、信息源、分析方法、响应方式。
按照控制策略分类
控制策略描述了IDS的各元素是如何控制的,以及IDS的输入和输出是如何管理的。按照控制策略IDS可以划分为,集中式IDS、部分分布式IDS和全部分布式IDS。在集中式IDS中,一个中心节点控制系统中所有的监视、检测和报告。在部分分布式IDS中,监控和探测是由本地的一个控制点控制,层次似的将报告发向一个或多个中心站。在全分布式IDS中,监控和探测是使用一种叫“”的方法,进行分析并做出响应决策。
按照同步技术分类
同步技术是指被监控的事件以及对这些事件的分析在同一时间进行。按照同步技术划分,IDS划分为间隔批任务处理型IDS和实时连续性IDS。在间隔批任务处理型IDS中,信息源是以文件的形式传给分析器,一次只处理特定时间段内产生的信息,并在入侵发生时将结果反馈给用户。很多早期的基于主机的IDS都采用这种方案。在实时连续型IDS中,事件一发生,信息源就传给分析引擎,并且马上得到处理和反映。实时IDS是基于网络IDS首选的方案。
按照信息源分类
按照信息源分类是目前最通用的划分方法,它分为基于主机的IDS、基于网络的IDS和分布式IDS。基于主机的IDS通过分析来自单个的计算机系统的系统审计踪迹和系统日志来检测攻击。基于主机的IDS是在关键的网段或交换部位通过捕捉并分析网络数据包来检测攻击。分布式IDS,能够同时分析来自主机系统日志和网络数据流,系统由多个部件组成,采用分布式结构。
按照分析方法分类
按照分析方法IDS划分为滥用检测型IDS和异常检测型IDS。滥用检测型的IDS中,首先建立一个对过去各种入侵方法和系统缺陷知识的数据库,当收集到的信息和库中的原型相符合时则报警。任何不符合特定条件的活动将会被认为合法,因此这样的系统虚警率很低。异常检测型IDS是建立在如下假设的基础之上的,即任何一种入侵行为都能由于其偏离正常或者所期望的系统和用户活动规律而被检测出来。所以它需要一个记录合法活动的数据库,由于库的有限性使得虚警率比较高。
按照响应方式分类
按照响应方式IDS划分为主动响应IDS和被动响应IDS。当特定的入侵被检测到时,主动IDS会采用以下三种响应摘要:收集辅助信息;改变环境以堵住导致入侵发生的漏洞;对攻击者采取行动(这是一种不被推荐的做法,因为行为有点过激)。被动响应IDS则是将信息提供给系统用户,依靠管理员在这一信息的基础上采取进一步的行动。
4 IDS的评价标准
目前的入侵检测技术发展迅速,应用的技术也很广泛,如何来评价IDS的优缺点就显得非常重要。评价IDS的优劣主要有这样几个方面[5摘要:(1)准确性。准确性是指IDS不会标记环境中的一个合法行为为异常或入侵。(2)性能。IDS的性能是指处理审计事件的速度。对一个实时IDS来说,必须要求性能良好。(3)完整性。完整性是指IDS能检测出所有的攻击。(4)故障容错(fault tolerance)。当被保护系统遭到攻击和毁坏时,能迅速恢复系统原有的数据和功能。(5)自身反抗攻击能力。这一点很重要,尤其是“拒绝服务”攻击。因为多数对目标系统的攻击都是采用首先用“拒绝服务”攻击摧毁IDS,再实施对系统的攻击。(6)及时性(Timeliness)。一个IDS必须尽快地执行和传送它的分析结果,以便在系统造成严重危害之前能及时做出反应,阻止攻击者破坏审计数据或IDS本身。
除了上述几个主要方面,还应该考虑以下几个方面摘要:(1)IDS运行时,额外的计算机资源的开销;(2)误警报率/漏警报率的程度;(3)适应性和扩展性;(4)灵活性;(5)管理的开销;(6)是否便于使用和配置。
5 IDS的发展趋
随着入侵检测技术的发展,成型的产品已陆续应用到实践中。入侵检测系统的典型代表是ISS(国际互联网平安系统公司)公司的RealSecure。目前较为闻名的商用入侵检测产品还有摘要:NAI公司的CyberCop Monitor、Axent公司的NetProwler、CISCO公司的Netranger、CA公司的Sessionwall-3等。国内的该类产品较少,但发展很快,已有总参北方所、中科网威、启明星辰等公司推出产品。
人们在完善原有技术的基础上,又在探究新的检测方法,如数据融合技术,主动的自主方法,智能技术以及免疫学原理的应用等。其主要的发展方向可概括为摘要:
(1)大规模分布式入侵检测。传统的入侵检测技术一般只局限于单一的主机或网络框架,显然不能适应大规模网络的监测,不同的入侵检测系统之间也不能协同工作。因此,必须发展大规模的分布式入侵检测技术。
(2)宽带高速网络的实时入侵检测技术。大量高速网络的不断涌现,各种宽带接入手段层出不穷,如何实现高速网络下的实时入侵检测成为一个现实的新问题。
(3)入侵检测的数据融合技术。目前的IDS还存在着很多缺陷。首先,目前的技术还不能对付练习有素的黑客的复杂的攻击。其次,系统的虚警率太高。最后,系统对大量的数据处理,非但无助于解决新问题,还降低了处理能力。数据融合技术是解决这一系列新问题的好方法。
(4)和网络平安技术相结合。结合防火墙,病毒防护以及电子商务技术,提供完整的网络平安保障。
6 结束语
在目前的计算机平安状态下,基于防火墙、加密技术的平安防护固然重要,但是,要根本改善系统的平安目前状况,必须要发展入侵检测技术,它已经成为计算机平安策略中的核心技术之一。IDS作为一种主动的平安防护技术,提供了对内部攻击、外部攻击和误操作的实时保护。随着网络通信技术平安性的要求越来越高,入侵检测技术必将受到人们的高度重视。
参考文献摘要:
[1 Anderson J P. Computer security threat monitoring and surveillance [P . PA 19034,USA, 1980.4
[2Denning D E .An Intrusion-Detection Model [A . IEEE Symp on Security %26amp; Privacy[C ,1986.118-131
[3 张杰,戴英侠,入侵检测系统技术目前状况及其发展趋向[J,计算机和通信,2002.6摘要:28-32
中图分类号:TN915.08 文献标识码:A文章编号:1007-9599 (2010) 04-0000-02
Application of Intrusion&Deceit Technique in Network Security
Chen Yongxiang Li Junya
(Jiyuan Vocational&Technical College,Jiyuan454650,Chian)
Abstract:At present,Intrusion Deception technology is the development of network security in recent years, an important branch, the paper generated from the intrusion deception techniques to start a brief description of its development, while popular Honeypot conducted in-depth research, mainly related to the classification of Honeypot, Honeypot advantages and disadvantages, Honeypot design principles and methods, the final will be a simple Honeypot application to specific network.
Key words:Intrusion and deceit technology;Honeypot;Network Security
近年来计算机网络发展异常迅猛,各行各业对网络的依赖已越发严重。这一方面提高了信息的高速流动,但另一方面却带来了极大的隐患。由于网络的开放性、计算机系统设计的非安全性导致网络受到大量的攻击。如何提高网络的自我防护能力是目前研究的一个热点。论文通过引入入侵诱骗技术,设计了一个高效的网络防护系统。
一、入侵诱骗技术简介
通过多年的研究表明,网络安全存在的最大问题就是目前采用的被动防护方式,该方式只能被动的应对攻击,缺乏主动防护的功能。为应对这一问题,就提出了入侵诱骗技术。该技术是对被动防护的扩展,通过积极的进行入侵检测,并实时的将可疑目标引向自身,导致攻击失效,从而有效的保护目标。
上个世纪80年代末期由stoll首先提出该思想,到上世纪90年代初期由Bill Cheswish进一步丰富了该思想。他通过在空闲的端口上设置一些用于吸引入侵者的伪造服务来获取入侵者的信息,从而研究入侵者的规律。到1996年Fred Cohen 提出将防火墙技术应用于入侵诱骗技术中,实现消除入侵资源。为进一步吸引入侵目标,在研究中提出了引诱其攻击自身的特殊目标“Honeypot”。研究者通过对Honeypot中目标的观察,可清晰的了解入侵的方法以及自身系统的漏洞,从而提升系统的安全防护水平。
二、Honeypot的研究
在这个入侵诱骗技术中,Honeypot的设计是关键。按交互级别,可对Honeypot进行分类:低交互度Honeypot、中交互度Honeypot和高交互度Honeypot。低交互度Honeypot由于简单的设计和基本的功能,低交互度的honeypot通常是最容易安装、部署和维护的。在该系统中,由于没有真正的操作系统可供攻击者远程登录,操作系统所带来的复杂性被削弱了,所以它所带来的风险是最小的。但也让我们无法观察一个攻击者与系统交互信息的整个过程。它主要用于检测。通过中交互度Honeypot可以获得更多有用的信息,同时能做出响应,是仍然没有为攻击者提供一个可使用的操作系统。部署和维护中交互度的Honeypot是一个更为复杂的过程。高交互度Honeypot的主要特点是提供了一个真实的操作系统。该系统能够收集更多的信息、吸引更多的入侵行为。
当然Honeypot也存在着一些缺点:需要较多的时间和精力投入。Honeypot技术只能对针对其攻击行为进行监视和分析,其视野较为有限,不像入俊检侧系统能够通过旁路侦听等技术对整个网络进行监控。Honeypot技术不能直接防护有漏洞的信息系统。部署Honeypot会带来一定的安全风险。
构建一个有用的Honeypot是一个十分复杂的过程,主要涉及到Honeypot的伪装、采集信息、风险控制、数据分析。其中,Honeypot的伪装就是将一个Honeypot通过一定的措施构造成一个十分逼真的环境,以吸引入侵者。但Honeypot伪装的难度是既不能暴露太多的信息又不能让入侵者产生怀疑。最初采用的是伪造服务,目前主要采用通过修改的真实系统来充当。Honeypot的主要功能之一就是获取入侵者的信息,通常是采用网络sniffer或IDS来记录网络包从而达到记录信息的目的。虽然Honeypot可以获取入侵者的信息,并能有效的防护目标,但Honeypot也给系统带来了隐患,如何控制这些潜在的风险十分关键。Honeypot的最后一个过程就是对采用数据的分析。通过分析就能获得需要的相关入侵者规律的信息。
对于设计Honeypot,主要有三个步骤:首先,必须确定自己Honeypot的目标。因为Honeypot并不能完全代替传统的网络安全机制,它只是网络安全的补充,所以必须根据自己的目标定位Honeypot。通常Honeypot可定位于阻止入侵、检测入侵等多个方面。其次,必须确定自己Honeypot的设计原则。在这里不仅要确定Honeypot的级别还有确定平台的选择。目前,对用于研究目的的Honeypot一般采用高交互Honeypot,其目的就是能够更加广泛的收集入侵者的信息,获取需要的资料。在平台的选择上,目前我们选择的范围很有限,一般采用Linux系统。其原因主要是Linux的开源、广泛应用和卓越的性能。最后,就是对选定环境的安装和配置。
三、Honeypot在网络中的应用
为更清晰的研究Honeypot,将Honeypot应用于具体的网络中。在我们的研究中,选择了一个小规模的网络来实现。当设计完整个网络结构后,我们在网络出口部分配置了设计的Honeypot。在硬件方面增加了安装了snort的入侵检测系统、安装了Sebek的数据捕获端。并且都构建在Vmware上实现虚拟Honeypot。在实现中,主要安装并配置了Honeyd、snort和sebek.其Honeypot的结构图,见图1。
图1 Honeypot结构图
四、小结
论文从入侵诱骗技术入手系统的分析了该技术的发展历程,然后对入侵诱骗技术中的Honeypot进行了深入的研究,主要涉及到Honeypot的分类、设计原则、设计方法,最后,将一个简易的Honeypot应用于具体的网络环境中,并通过严格的测试,表明该系统是有效的。
参考文献
[1]蔡芝蔚.基于Honeypot的入侵诱骗系统研究[M].网络通讯与安全,1244~1245
[2]杨奕.基于入侵诱骗技术的网络安全研究与实现.[J].计算机应用学报,2004.3:230~232.
[3]周光宇,王果平.基于入侵诱骗技术的网络安全系统的研究[J].微计算机信息,2007.9
[4]夏磊,蒋建中,高志昊.入侵诱骗、入侵检测、入侵响应三位一体的网络安全新机制
[5]Bill Cheswick. An Evening with Berferd In Which a Cracker is Lured,Endured,and Studied.Proceedings of the Winter 1992 Usenix conference,1992
随着计算机信息技术的发展,使网络成为全球信息传递和交互的主要途径,改变着人们的生产和生活方式。网络信息已经成为社会发展的重要组成部分,对政治、经济、军事、文化、教育等诸多领域产生了巨大的影响。事实上,网络安全已经成为关系国家主权和国家安全、经济繁荣和社会稳定、文化传承和教育进步的重大问题,因此,我们在利用网络信息资源的同时,必须加强网络信息安全技术的研究和开发。
1网络安全的概念
运用网络的目的是为了利用网络的物理或逻辑的环境,实现各类信息的共享,计算机网络需要保护传输中的敏感信息,需要区分信息的合法用户和非法用户。在使用网络的同时,有的人可能无意地非法访问并修改了某些敏感信息,致使网络服务中断,有的人出于各种目的有意地窃取机密信息,破坏网络的正常运作。所有这些都是对网络的威胁。因此,网络安全从其本质上来讲就是网络的信息安全,主要研究计算机网络的安全技术和安全机制,以确保网络免受各种威胁和攻击,做到正常而有序地工作。
2网络安全的分析
确保网络安全应从以下四个方面着手:
①运行系统的安全。硬件系统的可靠安全运行,计算机操作系统和应用软件的安全,数据库系统的安全,侧重于保证系统正常地运行,其本质是保护系统的合法操作和正常运行。②网络上系统信息的安全。即确保用户口令鉴别、用户存取权限控制,数据存取权限、数据加密、计算机病毒防治等方面的安全。③网络上信息传播的安全。信息传播后的安全,包括信息过滤等。其侧重于防止和控制非法、有害的信息传播产生的后果,避免网络上传输的信息失控。④网络上信息内容的安全。即保护信息的保密性、真实性和完整性。保护用户的利益和隐私。
3网络安全的攻略
网络的任何一部分都存在安全隐患,针对每一个安全隐患需要采取具体的措施加以防范。目前常用的安全技术有包过滤技术、加密技术、防火墙技术、入侵检测技术等。下面分别介绍:
①包过滤技术。它可以阻止某些主机随意访问另外一些主机。包过滤功能通常在路由器中实现,具有包过滤功能的路由器叫包过滤路由器。网络管理员可以配置包过滤路由器,来控制哪些包可以通过,哪些包不可以通过。
②加密技术。凡是用特种符号按照通信双方约定的方法把数据的原形隐藏起来,不为第三者所识别的通信方式称为密码通信。在计算机通信中,采用密码技术将信息隐蔽起来,再将隐蔽后的信息传播出去,是信息在传输过程中即使被窃取或截获,窃取者也不能了解信息的内容,从而保证信息传输的安全。
③防火墙技术。防火墙将网络分为内部和外部网络,内部网络是安全的和可信赖的,而外部网络则是不太安全。它是一种计算机硬件和软件的结合,对内部网络和外部网络之间的数据流量进行分析、检测、管理和控制,从而保护内部网络免受外部非法用户的侵入。
④入侵检测技术。通过对计算机网络和主机系统中的关键信息进行实时采集和分析,从而判断出非法用户入侵和合法用户滥用资源的行为,并作出适当反应的网络安全技术。
根据入侵检测系统的技术与原理的不同,可以分为异常入侵检测、误用入侵检测和特征检测三种。
异常入侵检测技术。收集一段时间内合法用户行为的相关数据,然后使用统计方法来考察用户行为,来断定这些行为是否符合合法用户的行为特征。如果能检测所有的异常活动,就能检测所有的入侵性活动。
误用入侵检测技术。假设具有能够被精确地按某种方式编码的攻击,并可以通过捕获攻击及重新整理,确认入侵活动是基于同一弱点进行攻击的入侵方法的变种。它是通过按照预先定义好的入侵模式以及观察到入侵发生情况进行模式匹配来检测。
特征检测。此方法关注的是系统本身的行为,定义系统行为轮廓,并将系统行为与轮廓进行比较,对未指明为正常行为的事件定义为入侵。
网络安全已经成为网络发展的瓶颈,也是一个越来越引起世界关注的重要问题。只有重视了网络安全,才能将可能出现的损失降到最低。
参考文献
[1] 郭秋萍.计算机网络技术[M].北京:清华大学出版社,2008.