信息安全-入侵检测

信息安全-入侵检测（共12篇）

信息安全-入侵检测 篇1

1 前言

在保证电力系统的稳固运行和安全运行中起到至关重要的作用的是电力信息网络系统。然而, 现阶段的计算机网络入侵问题相当严峻, 这对电力信息系统的安全问题无疑造成了很大的困扰。随着计算机网络的入侵问题越来越严重, 而且大部分的入侵都是非法的, 为了处理这方面的问题, 在电力信息网络的系统中引进在数据挖掘技术的基础上的入侵检测系统。

2 分析电力信息网络的具体结构以及安全性

根据电力信息网络的具体特征, 可以把其分成四块:实时控制区、非控制生产区、生产管理区和信息管理区。此外, 前两个区域又被称作生产控制的大区, 后两个区域被称作为管理信息的大区。

几个相对比较复杂的异构子系统可以组成为电力信息网络系统, 由这些子系统所组成的强大的网络系统具有大规模、分布广和分级递阶的三大特点。电力信息网络系统的安全保护主要还是针对网络系统以及在网络系统基础上的电力生产控制系统。这个系统的特点是保护边界的网路信息安全, 通过这个手段来提高计算机内部的安全性能, 也因此进一步的确保电力信息生产的控制系统和信息内部的首要的数据的安全。

而电力信息网络系统的整体结构中的实时控制区和非控制生产区的系统是在电力生产系统的范围之内的, 其使用的是电力在线运行来调动数据网络的一种方式。通过这个方法, 系统之间的数据交换的次数和数量会比较多, 其之间也有着紧密的联系。其中, 电力信息网络的四个区域之间的隔离, 使用的都是硬件设备。

因此, 能轻易的判断出, 威胁实时控制区和非控制生产区的系统信息安全的来源主要是系统的内部。所以应将系统的内部安全问题放在首位, 虽然生产管理区和信息管理区已经和外部通过硬件设备隔离开来, 但也不能彻底保证系统内部信息的安全问题。而那些非法入侵者还是可以通过一定的防火墙的漏洞来实现非法入侵电力信息系统。

3 入侵检测系统

在数据挖掘技术基础上的入侵检测系统可以时刻监控电力信息网络系统的运行情况, 一旦发现有任何非法入侵的行为或者是企图, 基于数据挖掘技术的入侵检测系统就可以做出相对应的反入侵反应, 进一步的保证了电力信息网络系统的安全性和可靠性。基于数据挖掘技术的入侵检测系统实际上就是根据有关的历史数据归纳出该用户的一系列特点, 该技术可以高效的分析出入侵行动的规律, 并根据这个规律创建出健全的系统, 这样能更有效进行入侵行为的检测。这个入侵检测系统涵盖了相关数据的采集、数据的挖掘和数据的预处理几项任务。这个基于数据挖掘技术的入侵检测系统有以下几个其他检测系统所没有的特点:

3.1 自动化并且智能化

这个入侵检测系统的技术包括神经网络、统计学和决策学等其他多门学科。这个技术能自动的在庞大的数据库中提取出很难被看出来的网络行为, 这样子可以相对减轻检测员的压力, 提高了工作的效率。此外, 还能使准确率大大提升。

3.2 检测具有高效性

因为这项技术可以自动的进行数据的预处理, 提取出有效的数据, 很大程度上的减轻了处理量和检测员的工作量, 提高了工作效率。

4 入侵检测的技术在电力信息安全中的相关应用

4.1 实际运用的方案

在电力信息网络系统中的一些重要的服务器上, 都配备有实时非法入侵的检测装置, 也叫探测器。该探测器主要是自动的发掘出非法的入侵行为。我们在网络的中心管理系统中, 配备有一个中心的控制台, 这个中心的控制台可以接受从各个分布开来的小探测器发出的入侵警报。同时, 这个中心的控制台还可以远程控制并且管理那些小探测器。

这个入侵检测系统在网络上发散代理的服务器, 并在数据服务器上都配有实时的入侵检测系统, 而这些代理的服务器就可以在它们所管辖的范围内对计算机进行实时的入侵检测。各服务器可以有效的指出来源于网络外部和内部的入侵行为, 通过报警、防范和做出相应的反应。一旦发现问题, 就可以非常及时的解决。这样分开由各代理服务器来进行检测可以更高效、快速的对入侵威胁进行防范, 避免不必要的数据损失。这个入侵检测系统同时还可以被视为计算机防火墙的一个重要的稳固系统, 大大降低了非法入侵的可能性。

4.2 电力信息系统对IDS产品的选择

IDS就相当与一幢大楼的监控系统, 能保证这个大楼的安全。对于电力信息系统来说, IDS能有效的防止非法入侵, 增强防火墙的效率。电力信息系统在选择IDS产品的时候, 第一个就要看IDS产品的系统性能以及可靠性和管理性能等, 根据这个综合的性能最终来选择最好的IDS产品。其次, 在产品的系统性能上来看, 系统对大量流动数据的监测能力是电力信息系统最看重的一点。

5 结语

入侵检测技术是一个可以积极并且主动的保护电力信心网络安全的基础。该技术拥有内部和外部的攻击能力和对错误程序的关注保护系统。在电力信息网络安全系统受到破坏的时候, 入侵检测技术就可以进行有效的拦截并对入侵做出相应的反应。虽然现在电力信息网络安全系统的入侵检测技术还不是很成熟, 不能完全的防止入侵的威胁。但是相信在不久的将来, 随着科技的发达和时代的进步, 入侵检测技术会有显著的提高。

参考文献

[1]伍晖平, 金亚民, 蔡青有.入侵检测技术在电力信息网络安全中的应用[J].电力安全技术, 2007 (10) :53-55.

[2]陈新和.探讨入侵检测技术在电力信息网络安全中应用[J].通讯世界, 2014 (1) :23-25.

信息安全-入侵检测 篇2

网络的安全性，很大程度的上依赖于我们收集的信息的准确性。因为现在非法入侵越来越狡猾，不会光明正大的在系统中留下痕迹。他们在攻击的过程中，往往会采取一些隐蔽的手段，或者在攻击完成之后删除一些信息，如可以替换被程序调用的子程序、记录文件和其他工具等等。经过他们的对相关信息的调整，可以让系统的日志跟正常的差不多。所以，随着 技术的深入，信息收集的难度也比较大。

第一步：收集系统日志以及网络日志文件

俗话说，燕过留声，人过留名。无论再怎么高超的 ，要入侵企业网络之前，肯定会在系统日志或者网络日志中留下一些蛛丝马迹，只是明不明显的区别而已。所以，网络管理员需要对这个系统日志与网络日志格外的关注。

如一些系统或者网络失败访问日志，会记录一些不寻常的或者不成本的访问记录。如当一个帐户试图多次用管理员帐户访问文件管理系统，当密码尝试错误三次的时候，就会在文件服务器系统中记录下这个访问信息，包括访问的时间、IP地址等等。当我们网络管理员收集到这条信息后，就需要注意可能有人在再这台文件服务器的注意了。我们可以根据这个IP地址，找到那台攻击的主机。不过，很可能这台主机不是始作俑者，而是被人家当做肉鸡了。总之，我们看到这个信息之后，我们就需要为文件服务器设置一个比较复杂的管理员密码了。

再如有些应用系统中，有一个“帐户活动”日志。这个日志中会记录这个帐户在系统中所进行的操作。包括什么时候利用什么角色登陆到系统，进行了哪些操作；并且还会记录这个帐户的一些必要的认证信息。通过这些信息的话，我们可以及时的发现系统入侵的迹象。如系统管理员发现一个管理员帐户在某个时间登陆了这个应用系统，但是，自己那时候根本没有登陆。或者普通员工的帐户在非上班时间多次登陆，那么就说明这个信息化应用系统有可能已经被人攻破了。他们乘我们不注意的时候，在偷偷的窃取系统中的信息。为此，我们必须要通过一些措施找到这个非法的攻击者，或者及时更改用户名与密码，防止进一步扩大损失，等等。

总之，相关的日志信息会记录某个非法用户多次尝登陆某个系统，以及记录某个非法用户多次试图访问未经授权的文件或者系统。而这些信息是我们以后作好防治措施的依据。所以，我们信息收集的第一步，就是要关注相关的日志信息。在这些日志文件中，找到攻击者蛛丝马迹。

第二步：非正常的目录以及非正常的文件

当 攻击成功后，取得某个管理员帐户之后，为了进一步加固自己的成果，会在系统中设置一些文件夹、目录或者文件，以进行下一步的攻击行为。如有一些攻击者在取得系统的管理员轧帐户与密码之后，会在系统中建立一个文件夹，上传一些木马攻击。并且设置相关的任务调度计划，当某个特定的时间，运行这个文件夹中的程序等等。所以，我们若能够及早的发现这些非正常的文件夹以及文件信息，就可以及早的发现攻击的迹象，从而及时采取相关的措施。

所以，操作系统与应用软件中的目录与文件、文件夹的非正常改变，包括增加、删除、修改等等，特别是一般情况下受限制访问的文件夹以及目录非正常的改变，很可能是一种入侵产生的指示或者信号。

一般来说，有如下几种情况。

一是应用程序的执行路径发生了改变，

如有些企业通过MSN跟可户进行联系。当非法攻击着侵入企业网络，取得某台主机的管理员密码之后，就可以改变用户桌面上的MSN程序图标的路径。当用户双击打开这个程序的话，打开的不是原来的MSN程序，而可能是一个绑有木马的MSN程序，可以窃取用户了聊天记录、帐户名与密码等等。

二是可疑的文件夹。当非法攻击者取得管理员用户名与密码之后，利用TELENT程序远程登陆，然后在主机上建立文件夹，上传木马或者其他的非法软件，然后通过操作系统本身的任务调度命令，在一个特定的时刻运行这个文件夹中的程序。这是很多非法攻击者常用的手段。所以，我们若能够及时的发现这些可疑的文件夹信息，就可以及早的发现攻击的行为，从而减少由此带来的损失，等等。一般来说，我们借助一些检测软件，就可以收集到这些信息。

三是日志文件的非法修改。上面我们说过，非法攻击者拜访过企业的网络主机之后，肯定会在系统日志或者网络日志中留下蛛丝马迹。在他们攻击得手之后，为了隐藏他们在系统中的表现以及攻击的痕迹，都会尽力的去替换系统日志中的相关内容。为此，若能够及时的收集这些信息的话，则即使他们更改了日志中的内容，我们也能够及早的发现，从而采取对应的措施。

第三步：非正常程序的运行信息

攻击企业网络信息的话，往往不会只是取得管理员权限那么简单。他们攻击系统的最终目的，是为了窃取相关的信息，如密码等等；或者把企业的网络主机当作肉鸡，作为攻击其他网络的跳板等等。无论是出于哪种目的，除非直接窃取电脑上的文件，不然的话，一般都需要通过在被攻击的主机后台运行一些程序，如键盘记录工具软件等等，才能够达到类似的目的。

所以，及时的收集这些非正常程序运行的信息，可以及早的发现企业网络被攻击的迹象。而一般来说，收集这些非正常的程序，就是需要收集一些进程信息。

因为在每个系统上执行的程序都是由一到几个进程来实现的。而且，一个进程的执行行为又是由他运行时执行的操作来表现的。操作执行的方式不同，利用系统资源也就不同。若在系统进程中，出现了一个我们不希望看到的进程，或者个这个进程出现了我们网络管理员不期望的行为，如试图往注册表中加入一些非法的信息等等，如建立隐形帐户等等，这就表示有攻击者存在。

若我们感到网络速度明显变慢的时候，可以通过查看系统的进程来了解相关的信息。但是，若靠手工收集这些进程信息的话，是不怎么现实的。一方面工作量比较大，另一方面这些非法的进程往往不会时刻都运行着。当他执行完一定的任务之后，就会迅速的退出，防止为我们发现。所以，我们就需要通过一些工具，实时的收集这些进程信息。如此的话，我们就可以迅速的找到入侵者的踪迹，在他们在还没有造成更大的破坏之前，把他们消灭掉。

总之，入侵信息的收集是一个比较复杂的体系。需要在计算机网络系统中若干不同关键点，如不同网段与不同主机之间收集信息。这主要是为了全方位的了解相关的入侵信息。而且非法攻击者往往善于寻找企业网络中的薄弱环节。故，网络入侵信息的收集，还需要注意一个全面性。

但是，全面收集网络入侵信息的话，往往工作量比较大。若单纯的靠手工去收集这些信息的话，是不怎么现实的；工作量大而且容易漏掉。所以，我们需要采用一些工具，来帮助我们收集这些内容。现在市面上的一些入侵检测工具，就都带有这些信息的收集功能。以为只有在这些信息的基础之上，这些工具才能够对此加以分析，得出可能的入侵结果。

磁场交通信息检测仪 篇3

获奖者：北京市第二中学陈雍培

我们生活的地球就像一块巨大的磁铁，在它周围有着看不见的磁场，这被称作地磁场。作为地球的物理性质之一，地磁场的特性很早就被人们所发现，并因此发明了指南针，应用在航海、航空等方面。

指南针依靠地球磁场的特性，在地球这一宏观范围内工作。而在公路等路面，这些相对微观的范围内，地磁场也会受到车辆等铁磁质的干扰。

抓住这个关联性，北京市第二中学的陈雍培开始了他的研究。他设计了一个地磁场检测记录装置，分别用来采集公路交通路面无车辆情况下的地磁场变化数据和有车辆通过情况下的地磁场变化数据。通过进行对比分析，达到利用地面地磁场的变化，了解路面交通数据信息的目的。

在这套装置中，陈雍培将无线三维磁传感器安装在了车道线中间的位置，当有车辆经过时，传感器被触动，开始实时检测并记录地磁场的变化值。随后，这些信息将通过无线设备发送至电脑终端进行最后的处理。

而在电脑中，人们可以直观地看到处理后的路面交通信息：当路面上没有车辆经过时，检测显示出的是3条平直的红、绿、蓝色细线。而当有车辆经过时，地磁场受到干扰，三条线就变得如波浪般弯曲。凭借线段的弯曲程度，就可以判断路面上的交通信息了。

在陈雍培看来，采用无线传输方式，分析路面交通状况，进而为交通控制管理系统提供数据虽然是一种设想，但是这种方法在将来有着很实际的应用前景。

北京城区12种行道树树叶固碳能力比较研究

获奖者：北京师范大学附属实验中学 陈梓睿

行道树是城市植被的重要组成部分，选用固碳能力强的优良树种作为城市行道树，对于改善城市生态环境具有积极作用。因为对于城市行道树而言，树木吸收的CO2通常以落叶形式被固定下来。落叶是树木新陈代谢的产物，其光合作用基本停止。因此测量落叶的贮碳量，可以比较客观准确地反映树叶吸收大气中CO2的能力，进而从一个方面反映出树对CO2的固化能力。

北京师范大学附属实验中学陈梓睿以北京城区道路两旁的12种常见落叶乔木行道树落叶为研究对象，采用燃烧氧化原理的“非色散红外吸收法”测定自然风干并且粉碎处理后的落叶样本的总碳量，再根据计算得出树叶的固碳能力。

树叶样本采集时间选定为2010年9月初至2010年11月初，此时间段正是北京的初、中秋季节。秋季是落叶植物枝叶凋落的季节。同时初、中秋与晚秋或初冬相比，树叶自然凋落的比例更大，可明显减低由于风力等因素导致的树叶非自然凋落的概率。

实验结果表明，在所选的12种常见行道树中，毛泡桐、白蜡与椿树的落叶总贮碳量相对较多；而相对较少的为银杏、白玉兰与火炬树，其中胸径15厘米的毛泡桐的贮碳量达到11628克，是树叶贮碳量最多的树种。城市绿化中采用毛泡桐、白蜡等行道树种，可以有效提高对CO2的固化能力，达到美化环境且降低城市温室效应的目的。

下一步，陈梓睿还有很多问题需要研究，比如，落叶只能部分代表行道树固碳能力，如何在树木正常生长的过程中检测树木其他部分的贮碳能力？叶子凋落后成为碳源，其中的碳含量多久能够释放完毕？树的哪部分固碳能力最强？

信息安全-入侵检测 篇4

一、我国机动车安全性能检测的发展概况

80年代以前, 我国在交通部主持下进行了发动机气缸漏气量检测仪;点火正时灯;反力式汽车制动试验台;惯性式汽车制动试验台;灯光检测仪;发动机综合分析仪;底盘测功机等技术取得了可喜的成果。1985年以前, 在检测设备方面, 我国以进口为主。80年代后期, 我国先后推出了部分国产和全部国产化的检测设备。

80年代初, 交通部在大连市建立了国内第一个汽车检测站。从工艺上提出将各种单台检测设备安装联线, 构成功能齐全的汽车检测线。

进入21世纪, 汽车安全性能检测诊断技术伴随着汽车技术的发展而发展。随着现代科学技术的进步, 特别是计算机技术的进步, 汽车安全性能检测诊断技术也飞速发展。目前我国已能依靠各种先进的仪器设备, 对汽车进行不解体检测诊断, 而且安全、迅速、准确, 很多机动车安全性能检测技术已达到世界先进水平。

二、我国机动车检测技术检测方法与标准

目前, 在我国主要分为安全检测、综合性能检测、环保检测三大类, 分属公安部、交通部、环保局监管。

(一) 安全检测

属公安部监管, 对所有社会车辆实施年检、事故检等, 检测项目有:安全项目:速度表检验、制动检验、侧滑检验、前照灯检验;环保项目:机动车尾气排放、喇叭噪音等。外检项目:车身、底盘、动态检验。检测项目与方法:执行GB21861-2008《机动车安全检测项目和方法》。检测标准:执行GB 7258-2012《机动车运行安全技术条例》。

(二) 综合性能检测

属交通部监管, 对所有营运车辆实施二级维护、技术等级评定等检测, 检测项目有:外检、安全、环保、动力性、经济性、可靠性等, 检测项目、方法、标准:执行GB 18565-2001《营运车辆综合性能要求和检验方法》。联网标准:JT/T 478-2002《机动车检测站计算机控制系统技术规范》。技术等级评定:JT/T 198-2004《营运车辆技术等级划分和评定要求》。

(三) 环保检测

属环保局监管, 用工况法或尾气双怠速法等检测机动车排放。

本文主要论述机动车安全性能检测。

三、机动车安全性能检测的主要内容

(一) 废气

采用光化学传感器对机动车排放废气中的各种有害气体及污染物的浓度进行检测。

(二) 车速表检验台

是检测汽车速度表的专用设备。被检车辆驶上本台通过轮速传感器可检测出汽车在0-120km/h的速度行驶状态下车速表的性能和误差值, 从而判断被检车辆速度表是否合格。

(三) 地沟

检测人员借助地沟, 可对汽车底盘的传动系、行驶系、转向系、制动系四大系统进行全方位的检验.共有104个小项目。并可把发现的故障显示于报告单上。

(四) 灯光

灯光仪是高精度的光电设备。机动车前照灯的亮度和照射方向对于行车安全是至关重要的。夜间所有前照灯同时照明, 应具有能使驾驶员看清前方100米距离以内交通障碍物的性能。世界各国对机动车前照灯都有严格的测试要求。

(五) 侧滑

该检验台是专门用于检测汽车 (非独立悬架) 前轮定位的设备。汽车转向轮的前束值与外倾角值如果配合不当, 那么转向轮在向正前方滚动的同时还要产生相对与地面的横向滑移, 即侧滑;侧滑量过大会直接影响到汽车的操纵稳定性和安全性, 加大轮胎的异常磨损。当车辆低速通过本台时, 通过位移传感器来测量前轮的侧滑量大小, 从而判断出该车前轮定位参数是否正确。

(六) 喇叭

交通噪声污染是机动车迅速发展带来的三大公害之一, 但从保证行车安全的角度出发需要有一定的响度, 但响度也不能过大, 因此, 对机动车的喇叭声级有上、下限的规定。数字式声级计是设计用于测量指数主动权平均声级的常规声级计, 是一种应用广泛的便携式噪声测量仪器。

(七) 制动

制动性能直接关系到交通安全。重大交通事故往往与机动车的制动距离太长、紧急制动时发生侧滑有关。所以汽车制动性能是汽车安全性能检测中的重点项目之一。

四、我国机动车安全检测中存在的主要问题

根据《中华人民共和国道路交通安全法》规定对在我国道路行使的机动车实施定期的安全技术检验。检测站也因为新的检测手段不断涌现, 而设备选用不当、检测项目和方法的不统一, 实际检测过程也存在很多问题。

1.对汽车线外检测的重视程度不够。线外检测是检测站日常工作中问题较多的一个领域;很多检测站不重视机动车线外检测, 这是主观重视程度不够的问题, 是思想问题;有的检测站个别工作人员故意用线外检测项目对车主进行吃拿卡要, 只要有好处就能通过线外检测, 投拆较多, 更是不重视线外检测的表现。

2.各个检测站所使用的检测设备厂家、型号不同, 或者是相同检测设备, 检测方法不同, 检测得到的数据结果就会不一样。不利于我国汽车检测站的规范化建设。

3.没有严格按照检测流程图进行检测, 很多检测站由于受测检设备, 地理条件等这样那样的诸多因素的影响, 各个检测环节之间的关系不清晰, 没有按标准流程操作。

4.部分检测科目没有严格检测。例如:路试检验车辆行车制动性能, 在GB7258《机动车运行安全技术条件》中已有明确规定, 但实际操作过程中由于各检测站对何时必须进行路试的界定严, 客观上也造成检验结果失实, 错判、漏判的现象的发生, 这种状况影响了机动车安全性的正确判定, 从而影响了道路交通安全, 也使检测站科学公正的形象受到影响。

五、我国机动车安全性能检测的发展方向

(一) 汽车安全检测基础项目标准化

统一检测项目, 使用全国统一的表格、检测设备, 使数据有可比性。进一步细化必检项目, 删除可检可不检的项目, 进一步完善相关法规及行业标准, 做到有法可依, 用数据说明问题, 减少主观人为因素。

(二) 汽车检测设备智能化

智能化系统将先进的汽车检测诊断理论与现代电子、通信、计算机测试与控制技术相结合, 大大提高了汽车检测的自动化程度与检测效率, 检测数据更加准确、可靠。

(三) 汽车安全性能检测管理网络化

随着计算机技术、网络技术的发展, 检测站内部都实现了检测管理网络化, 网络化管理最大的特点就实现资源共享, 包括数据共享, 软件共享, 硬件共享。由一定区域的局域网发展到省级局域网, 到最终建立一个全国统一的、技术先进的、成熟的全国汽车安全性能检测管理网络尚需时日。

(四) 建立适合我国国情的机动车安全性能检测模式

依照我国国情建立标准化检测模式, 在公安部交通管理部门的统一领导和指挥下, 由各省、市、县公安管理部门以统一组建功能齐全, 设备完善的检测站, 摸索出一套更适合我国国情的汽车安全检测模式。

(五) 加强线外检查

线外检查在诸多项目中, 很多分项目都是需要以人工方式进行检查。这需要检验人员运用所学知识, 严格按照相关标准进行检查, 尽可能地把机动车安全隐患消灭在萌芽中。

(六) 加强驾驶员交通安全意识的宣传培训工作

我国目前新增驾驶员很多, 与以往不同的是考取驾驶证并不是职业的需要而是意在“以车代步”, 他们不会或没有时间修车, 这需要极大提高全民交通安全意识。

(七) 不断加强检测站从业人员对新技术新设备的学习和培训

检测站的检测质量管理是一项基础性常期性的重要工作, 要抓好从业人员的培训工作, 定期组织学习机动车检测的新技术、新设备。加强对机动车检测设备的管理, 对机动车检测的专用计量器具实行定期检查, 确保检测数据准确可靠。督促建立质量管理制度, 完善质量管理手册, 实行计算机联网, 减少人为因素影响。

六、结论

我国机动车安全检测技术发展很快, 从无到有, 从小变大, 由弱变强, 但与发达国家相比, 从软件到硬件技术都还有一定差距。同时, 我国又是汽车大国, 人口大国, 随着汽车的普及, 汽车安全事故时有发生, 突显了检测站的工作的重要性。从政府层面看, 需要出台更加细化、更符合我国国情、更适用的政策法规;研发出更先进更智能化的汽车不解体检测设备;从检测站层面看, 需加强管理, 抓好培训工作, 严格按照相关法规做好汽车安全性能检测工作, 为推动我国汽车安全事业的发展作出更大贡献。

摘要：文章主要论述我国机动车安全性能检测的发展、安全检测的主要内容、存在的主要问题、发展方向等。

网络信息检测 篇5

1.系统检查测试：硬件通电测试；系统功能测试

2.初验测试：可靠性；接通率；基本功能（如通信系统的业务呼叫与接续、计费、信令、系统负荷能力、传输指标、故障诊断、环境条件适应能力等）。

3.试运行验收测试：联网运行（接入用户和电路）；故障率。

信息网络系统检测：

1.安装质量检查：机房环境是否满足要求；设备器材清点检查；设备机柜加固检查；设备

模块配置检查；设备间及机架内缆线布放；电源检查；设备至各类配线设备间缆线布放；缆线导通检查；各种标签检查；接地电阻值检查；接地引入线及接地装置检查；机房内防火措施；机房内安全措施等。

2.通电测试前设备检查：按施工图设计文件要求检查设备安装情况；设备接地应良好；供

电电源电压及极性符合要求。

3.设备通电测试：设备供电正常；报警指示工作正常；设备通电后工作正常及故障检查。

网络层安全的安全检测应符合以下要求：

1.防攻击：信息网络应能抵御来自防火墙以外的网络攻击，适用流行的攻击手段进行模拟

攻击，不能攻破判为合格。

2.因特网访问控制：信息网络应根据需求控制内部终端机的因特网连接请求和内容，适用

终端机用不同身份访问因特网的不同资源，符合设计要求判为合格。

3.信息网络与控制网络的安全隔离：测试方法应按本规范第5.3.2条的要求，保证做到未

经授权，从信息网络不能进入控制网络；符合此要求者判为合格。

4.防病毒系统的有效性：将含有当前已知流行病的的文件（病毒样本）通过文件传输、邮

件附件、网上邻居等方式向各点传播，各点的防毒软件应能正确地检测到该含病毒文件，并执行杀毒操作；符合本要求者判为合格。

5.入侵检测系统的有效性：如果安装了入侵检测系统，使用流行的攻击手段进行模拟攻击

如（DoS、拒绝服务攻击），这些攻击应被入侵检测系统发现和阻断；符合此要求这判为合格。

6.内容过滤系统的有效性：如果安装了内容过滤系统，则尝试访问若干受限的网址或者内

容，应该可以正常访问：符合此要求者判为合格。

系统层安全应满足一下要求：

1.操作系统应选用经过实践检测的具有一定安全强度的操作系统。

2.使用安全性较高的文件系统。

3.严格管理操作系统的用户账号，要求用户必须使用满足安全要求的口令。

4.服务器应只提供必须的服务，其他无关的服务应关闭，对可能存在的漏洞的服务或操作

系统，应更换或者升级响应的补丁程序；扫描服务器，无漏洞者为合格。

5.认真设置并正确利用审计系统，对一些非法的侵入尝试必须有记录；模拟非法尝试，审

计日志中有正确记录者判为合格。

系统检测：

（一）建筑设备监控系统的检测应以系统功能和性能检测为主，同时对现场安装质量、设

备性能及工程实施过程中的质量记录进行抽查或复核。

（二）建设设备监控系统检测应在系统运行连续投运时间不少于1个月后进行。

（三）建设设备监控系统检测应依据工程合同技术文件按、施工图设计文件、设计变更审

核文件、设备及产品的技术文件进行。

（四）建筑设备监控系统检测时应提供以下工程实施及质量控制记录：

1.设备材料进场检验记录

2.隐蔽工程和过程检查验收记录

3.工程安装质量检查及观感质量验收记录

4.设备及系统自检测记录

5.系统试运行记录。

安防系统

1.安全技术防范产品必须经过国家或行业授权的认证机构（或检测机构）认证（检测）合格，并取得相应的认证证书（或检测报告）

2.预埋管、预留件、桥架等的安装符合设计要求

3.机房、弱电竖井的施工已结束

4.对电（光）缆敷设与布线应检验管线的防水、防潮，电缆排列位置，布放、绑扎质量，桥架的架设质量，缆线在桥架内的安装质量，焊接及插接头安装质量和接线盒接线质量等

5.对接地线应检验接地材料、接地线焊接质量、接地电阻等

6.对系统的各类探测器、摄像机、云台、防护罩、控制器、辅助电源、电锁、对讲设备等的安装部位、安装质量和广安质量进行检验

（一）安全防范系统的系统检测应由国家或行业授权的检测机构进行检测，并出具检

测报告，检测内容、合格判据应执行国家公共安全行业的相关标准

（二）安全防范系统检测应依据工程合同技术文件、施工图设计文件、工程设计变更

说明和洽商记录、产品的技术文件进行。

（三）安全防范系统进行系统检测的时候应提供：

1.设备材料进场检验记录

2.隐蔽工程和过程检查验收记录

3.工程安装质量和观感验收记录

4.设备及系统自检测记录

5.系统试运行记录

视频安防监控系统的检测：

1.系统功能检测：云台转动，镜头、光圈的调节，调焦变倍，图像切换，防护罩功能的检

2.3.4.5.测 图像质量检测：在摄像机的标准照度下进行图像的清晰度及抗干扰能力的检测 系统整体功能检测：功能检测应包括视频安防监控系统的监控范围、现场设备的介入率及完好率；矩阵监控主机的切换、控制、变成、巡检、记录等功能；对数字视频录像式监控系统还应检查主机死机记录、图像显示和记录速度、图像质量、对前端设备的控制能力以及通信接口功能、远端联网功能等；对数字硬盘录像监控系统除检测其记录速度外，还应检测记录的检索、回放等功能。系统联动功能检测：联动功能检测应包括与出入口管理系统、入侵报警系统、巡更管理系统、停车场（库）管理系统等的联动控制能力 视频安防监控系统的图像记录保存时间应满足管理要求。

入侵报警系统的检测：

1.探测器的盲区检测，防动物功能检测

2.探测器的防破坏功能检测应包括报警器的放拆报警功能，信号线开路、短路报警功能，电源线被剪的报警功能

3.探测器灵敏度检测

4.系统控制功能检测应包括系统的撤防、布防功能，关机报警功能，系统后备电源自动切

换功能等

5.系统通信功能检测应包括报警信息传输、报警响应功能

6.现场设备的接入率及完好率测试

7.系统的联动功能检测应包括报警信号对相关报警现场照明系统的自动触发、对监控摄像

机的自动启动、视频安防监视画面的自动调入，相关出入口的自动启闭，录像设备的自动启动等

8.报警系统管理软件（含电子地图）功能检测

9.报警信号联网上传功能的检测

10.报警系统报警事件存储记录的保存时间应满足管理需求。

出入口控制系统

1.出入口控制（门禁）系统的功能检测

（1）系统主机在离线的情况下，出入口（门禁）控制器独立工作的准确性、实时性

和储存信息的功能

（2）系统主机对出入口（门禁）控制器在线控制时，出入口（门禁）控制器工作的准确性、实时性和存储信息的功能，遗迹出入口（门禁）控制器和系统主机之

间的信息传输功能

（3）检测掉电后，系统启用备用电源应急工作的准确性、实时性和信息的存储和恢

复能力

（4）通过系统主机、出入口（门禁）控制器及其他控制终端，实时监控出入控制点的人员状况m系统对非法强行入侵即使报警的能力

（5）检测本系统与消防系统报警时的联动功能

（6）现场设备的接入率及完好率测试

（7）出入口管理系统的数据存储记录保存时间应满足管理要求

2.系统的软件检测

（1）演示软件的所有功能，以证明软件功能与任务书或合同书要求一致

（2）根据需求说明书中规定的性能要求，包括时间、适应性、稳定性等以及图形化

界面友好程度，对软件逐项进行测试；

（3）对软件系统操作的安全性进行测试，如系统操作人员的分级授权、系统操作人

员操作信息的存储记录等

（4）在软件测试的基础上，对被验收的软件进行综合评审，给出综合评审杰伦，包

括：软件设计与需求的一致性、程序与软件设计的一致性、文档（含软件培训、教材和说明书）描述与程序的一致性、完整性、准确性和标准化程度等。

巡更管理系统

1.按照巡更路线图检查系统的巡更终端、读卡机的响应功能

2.现场设备的接入率及完好率测试

3.检查巡更管理系统编程、修改功能以及撤防、布防功能

4.检查系统的运行状态、信息传输、故障报警和指示故障位置的功能

5.检查巡更管理系统对巡更人员的监督和记录情况、安全保障措施和对意外情况及时报警的处理手段

6.对在线联网式巡更管理系统还需要检查电子地图上的显示信息，遇有故障时的报警信号

以及和视频安防监控系统等的联动功能

7.巡更系统的数据储存记录保存时间应满足管理要求。

停车场（库）管理系统

停车场（库）管理系统功能检测应分别对入口管理系统、出口管理系统和管理中心的功能进行检测

1.车辆探测器对出入车辆的探测灵敏度检测，抗干扰性能检测

2.自动栅栏升降功能检测，防砸车功能检测

3.读卡器功能检测，对无效卡的识别功能；对非接触IC卡读卡器还应检测读卡距离和灵敏

度

4.发卡（票）器功能检测，吐卡功能是否正常，入场日期、时间等记录是否正确

5.满位显示功能是否正常

6.管理中心的计费、显示、收费、统计、信息存储等功能的检测

7.出/入口管理监控站及与管理中心站的通信是否正常

8.管理系统的其他功能，入“防折返”功能检测

9.对具有图像对比功能的停车场（库）管理系统应分别检测出/入口车牌和车辆图像记录的清晰度、调用图像信息的符合情况

10.检测停车场（库）管理系统与消防系统报警时的联动功能；电视监控系统摄像机对进出

车库车辆的监视等

11.空车位及收费显示

12.管理中心监控站的车辆出入数据记录保存时间应满足管理要求。

安全防范综合管理系统

1.各子系统的数据通信接口：各子系统与综合管理系统以数据通信方式连接时，应能在综

合管理监控站上观测到子系统的工作状态和报警信息，并和实际状态核实，确保准确性和实时性；对具有控制功能的子系统，应检测从综合管理监控站发送命令时，子系统响应的情况

2.综合管理系统监控站：对综合管理系统监控站的软、硬件功能的检测，包括

（1）检测子系统监控站与综合管理系统监控站队系统状态和报警信息记录的一致性

（2）综合管理系统监控站队各类报警信息的显示、记录、统计功能

（3）综合管理系统监控站的数据报表打印、报警打印功能

（4）综合管理系统监控站操作的方便性，人机界面应友好、汉化、图形化。

综合布线系统

线缆敷设和终接的检测：

1.缆线的弯曲半径

2.预埋线槽和暗管的敷设

3.电源线与综合布线系统缆线应分隔布放，蓝仙剑的最小净距应符合设计要求

4.建筑物内电、光缆暗管敷设及与其他管线之间的最小净距

5.对绞电缆芯线终接

6.光纤连接损耗值。

机柜、机架、配线架安装的检测：

1.卡入配线架连接 模块内的单根线缆色标应和线缆的色标相一致，大堆事电缆按标准色

谱的组合规定进行排序

2.背板式跳线架应经配套的金属背板及接线管理架安装在墙壁上，金属背板与墙壁应紧固

光缆布线检测时，如果系统中有一条光纤链路无法修复则判为不合格；

家庭晋级求助报警装置的检测：

1.可靠性：准去、即使的传输紧急求助信号

2.可操作性：老年人和未成年人在紧急情况下应能方便地发出求助信号；

3.应具有防破坏和故障报警功能

4.每户宜安装一处以上的紧急求助报警装置

5.紧急求助报警装置宜有一种以上的报警方式

6.报警信号宜区别求助内容

7.紧急求助报警装置宜加夜间显示

新型消防设施的设置情况及共呢不过检测包括：

1.早期烟雾探测火灾报警系统

2.大空间早期火灾只能检测系统、大空间红外图像矩阵火灾报警及灭火系统

信息安全-入侵检测 篇6

关键字农产品安全；检测仪器；现场快速检测

中图分类号TS207文献标识码A文章编号1673-9671-(2011)081-0160-01

1检测技术以及仪器

1.1各种生物传感器

生物传感器广泛用于食品工业生产和检测中，具有功能多样、微型、经济、操作系统比较简单和准确度高等特点。受到国内外高度重视，它发展快、种类很多，主要包括：一是发达国家已广泛应用的SPR 生物传感器，它與其他新技术强强结合，推出了一批新型的快速筛查、检测方法和仪器。最典型的以BiacoreAB和美国TI以及Bio一RAD为代表。Biacore将SPR检测系统 、生物传感芯片和微流控系统组合在一起，并配入多种试剂盒，构成了快速检测和筛查毒素、致病菌和兽残药的仪器，这种仪器具有便捷、使用方便、灵敏快速的特点。生物传感器的研究重点是将各种生物活性材料与传感器结合，研发具有识别功能的换能器。例如河南农大胡建东等研究员研发出主要作用是检测兽药残留量等的SPR，其发展特点是高寿命、高效率、高灵敏、微型；二是最近有报导说美国利用纳米技术开发出了可快速检测食品和水中极微量的细菌、病毒和病原体等的新型生物传感器，这种仪器在被欧美重视发光菌的研究和应用，尤其以对毒性物质具有高灵敏发光反应为代表。随着科学的发展，不断有新的农药和抗生素用于农业和食品生产，在给人们带来富足的同时，也给人类的健康带来了伤害。所以各种生物传感器的应用和发展对农药及各种有害物质的测定，保证食品安全具有非常重要的意义。

1.2免疫分析方法与仪器

免疫学检测技术是食品检测技术中的一个重要组成部分，包括荧光免疫技术，酶联免疫技术和射免疫技术。利用免疫学检测技术可检测各种毒素、寄生虫等有害物质在食品中的残留量。酶联免疫检测技术发展迅速，种类繁多，能检测农药残留、致病菌、病毒以及转基因产品，具有高特异性、准确性和快速的特点，被列为检测残留物的三大支柱技术之一。酶免疫技术分为酶免疫组化技术和酶免疫测定技术，其中酶免疫测定技术又分为均相免疫测定技术和异相免疫测定技术。由于仪器功能单一，国产试剂盒品种少和进口又太贵的原因，虽然有多家生产，酶联免疫仪在我国食品安全和环境检测中尚未得到广泛使用。但是免疫分析技术具有检测成本低和安全可靠等优点，所以在食品安全检测中有着良好的应用前景。

1.3酶的抑制法与仪器

国内曾把国外不太推崇的酶抑制法和仪器首推为速测技术和仪器。酶的抑制法具有操作简便，快速而且不需要昂贵仪器适用于现场检测及大批量样品的检测，已经得到了广泛的应用。近几年，已有十几种商品化仪器推出、推广，该方法对同类而不同种农药的抑制率差别很大，只能检测有机磷和氨基甲酸醋二类农药，而且这种方法仅适用于基层初检，起着警示作用，所以用统一的抑制率确定农药残留是否超标，必然会产生假阳性或假阴性的漏检，当发现超标现象时，必须用标准方法复测和确证。

1.4分子光谱法的速测仪器

在食品安全检测中，最常用最经典的是分子光谱法，几乎可用于所有检测任务。但是难于承担痕量分析，只能粗测。为了更好的发挥分子光谱法在食品安全检测中的应用，现在运用分析化学的基础，有针对性地合成和优化不同检测目标和任务的试剂盒，并采用集束式冷光源单色器等新技术进行创新。最好的例子就是吉林大学于爱民教授的团队和华厦科创等推出能快速检测与食品安全密切相关的40多种参数（如硝酸盐、甲醛、人造色素、金属铅、劣质奶、地沟油、潜水油等等）这种仪器具有高精度、高稳定性、便携的优点，配合样品快速提取和富集技术，在食品安全快速筛检中占一席之地 ，而且符合我国国情。

2食品安全的现场快速检测

1）食品安全现场快速检测，就是可用于现场的快速检测方法。食品安全快速检测目前尚没有经典的定义，只是约定俗成为能够在短时间内出具检测结果的行为。根据检测时间和应用场合的不同，食品安全快速检测分为现场快速检测和实验室快速检测。目前人们比较熟悉、也是应用较多的食品安全现场快速检测方法有胶体金检测、微生物纸片检测、生化试剂检测和便携仪器等。而实际上除了这些方法及其依赖的技术，还有其他一些在现场检测中非常具有应用前景的技术或方法。

2）现场快速检测是指可用于现场，并能够在十几分钟甚至几分钟内出具检测结果的较为理想的现场快速检测方法。实验室快速检测方法是指包括样品制备在内，能够在2小时以内出具检测结果的检测方法，或能够大幅度缩短检测时间（相比传统检测方法缩短1/2或1/3的时间），并在发现阳性结果或超标样品时，能用传统方法复检（特殊样品除外），结果也基本相同的微生物检测方法。实验室快速检测是利用一切可以利用的仪器设备快速进行定性与定量，而现场快速检测则是利用一切可以利用的手段快速进行定性与半定量。与实验室检测相比，现场检测具有检测时间短、操作简单、对环境要求低和成本低等优点，因而在食品安全监管中发挥着越来越重要的作用。

3结束语

以上是我对几类检测技术和仪器以及现场快速检测的简要分析，我认为食品安全快速筛查检测技术和仪器是新方法和仪器的整合、衍生和嫁接。其实还有新技术待运用，也会有更新的技术、材料出现和运用，比如将纳米材料应用到一系列速测仪的传感器、检测器中，这会极大地提高仪器的灵敏度、稳定性；又如以分子印迹聚合物为核心的分子印迹技术具有高预定性、高识别性、高选择性和高稳定性的特点，这不仅成为很好的分离富集手段，将它嫁接到其他速测方法和仪器中，会大大改进现有速测方法和仪器。同时在仪器设备不具备时，我们也可以采用现场快速检测的方法。总之在人们日益增强的健康意识和技术发展的要求下，食品安全检测仪器和快速检测技术将层出不穷。

参考文献

[1]江李云.影响提高农产品质量安全水平的因素与对策[J].安徽农学通报,2008,09.

信息安全-入侵检测 篇7

中国电力科学研究院信息安全实验室是电力行业信息安全领域权威检测机构, 是国家电网公司唯一指定的信息安全检测机构, 同时也是中国信息安全认证中心授权的“IT产品信息安全认证”检测实验室。测评业务领域包括:信息技术产品安全测评、信息安全产品测评、应用软件安全测评、信息安全风险评估、信息系统等级保护测评、其他信息安全相关测评等。

根据相关授权, 将信息系统 (产品) 检测结果定期向社会公布。

特此公告。

信息安全-入侵检测 篇8

有句格言说的好:安全系统必须万无一失才算安全, 而黑客只需别人失误一次, 他便成功。

在信息化飞速发展、信息安全保密问题日益突出的形势下, 为有效保护国家秘密安全, 国家保密局出台了《计算机信息保密管理暂行规定》、《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》、《计算机信息系统国际互联网保密管理规定》等相关规定。

地级市信息系统安全问题主要包括三个部分, 即网络安全, 身份认证和安全存储。如果把网络安全看作是在街道上巡逻的警察和联防, 那么身份认证就象是家里的防盗门, 而安全存储则是家里的保险箱!安全存储是信息最直接、最有效的保护。网络保护和身份认证只有与安全存储结合使用时, 才可真正发挥信息安全保护作用。就象防范系统再严密, 机密文件仍需要坚固的保险柜来存储。

如何使违规计算机得到有效的检测?如何使违规事件得到有效控制?河源市信息保密技术专家组就此进行了长达一年的实践探索, 本文是河源市计算机涉密信息安全检测的经验总结, 供地级市同行参考。

2、地级市计算机涉密信息安全存在的主要问题

据国家有关计算机涉密信息的泄密事件情况分析, 尽管大多单位一般都装有防泄密的安全保护系统或软件, 但依然存在如下威胁: (1) 某些单位为应付上级的安全检查, 在检查前删除聊天工具的使用痕迹、删除外发的文档甚至将硬盘格式化, 人为地清除违规痕迹。为监督、检测工作带来难度, 不能尽快查找泄露源头。 (2) 为不影响工作人员之间的工作交流和工作效率, 有些单位可能使用外部普通U盘在涉密电脑上使用, 或者将涉密U盘在外部电脑上随意使用, 容易造成信息被窃取或拷贝出去。 (3) 大多数地级市尚未制定一套完备的实施方案, 对涉密部门的计算机进行定期的检查监督, 且现有的对涉密单位的安全检测既费时又费力, 效果也不明显。 (4) 一旦信息的泄漏, 很难在短时间内查找到泄漏问题的源头。虽然一般涉密单位都严格按照国家的有关规定, 对非法违规上网、涉密文件的存取、口令强度等采用了各种严格的行政措施, 但由于缺乏有效的技术手段来监督这些措施的落实情况, 致使有一些单位无视上级单位规定, 使用简单的用户口令、采用各种拨号方式私自将计算机连入因特网, 涉密文件随意共享。

3、河源市计算机涉密信息安全检测经验

3.1 检测范围

(1) 针对涉密计算机的安全检测, 主要检测涉密计算机是否联接互联网?涉密计算机局域网 (含涉密单机) 是否按国家保密技术标准, 采取相应的技术防范措施 (身份认证、访问控制、加密存贮和跟踪审计等) 。 (2) 存有涉密信息的移动存储设备 (如移动硬盘、移动存储盘、光盘和软盘等) , 是否按所存内容最高密级标明密级 (涉密介质不能降低密级使用) , 并严格按密件进行管理, 使用后对无需保存的涉密信息应及时进行删除或格式化处理。 (3) 非涉密计算机是否存有涉密信息? (4) 检测信息系统是否安全?是否符合国家信息系统安全要求?

3.2 检测策略

(1) 对涉密单位的涉密计算机和非涉密计算机进行常规检测, 每年不定期检测最少一次。 (2) 对涉密单位的涉密计算机和非涉密计算机进行深度检测, 每两年不定期检测最少一次。 (3) 对计算机信息系统、网络环境进行信息安全的常规检测, 每年不定期检测最少一次。

3.3 检测方法和经验

3.3.1 经验 (1)

使用安全检测工具对计算机涉密信息进行深度检测。 (1) 用户上网痕迹的全面检测。检测包括操作系统缓存、IE地址栏、系统收藏夹、访问过的时间、上网账号口令、QQ、MSN等聊天记录等的上网痕迹。必要时, 使用国家保密局认可的信息安全深度检测工具, 即使用户重新安装操作系统或对磁盘重新分区并格式化仍然可以检测到存在的上网痕迹。 (2) 检测访问或删除过的文档。即使用户删除所有Internet临时文件和历史记录, 拔下调制解调器, 删除拨号连接, 重新安装操作系统或格式化硬盘等来清除上网痕迹, 仍然逃不过检测。对于删除的文档还可以快速恢复原来的数据, 对其内容进行预览和分析。 (3) 敏感内容检测。采用全面扫描并分析磁盘扇区数据的方式, 深入挖掘用户曾经存储过的涉密文档数据。检测员输入多个涉密检查关键字 (比如中办发、国办发、省办发、中保发等) , 深度敏感内容的检测结果将反映敏感信息数据扇区与现有分区中的文件 (正常的文件和删除的文件) 的关联匹配情况。如果能够匹配上, 则说明此敏感信息数据有可能存在这个文件中;如果不能够匹配上, 则以敏感信息扇区数据的方式呈现出来。 (4) USB设备使用记录。检测USB存储设备的插拔时间与次数 (USB设备包括USB打印机、USB扫描仪等USB通信设备) , 并检测USB存储设备的文档增加与删除等信息, 检测其他USB设备安装和使用记录 (包括无线、红外上网设备、拨号设备、可视设备-如摄像头、刻录设备、打印和传真设备等) 。 (5) 监控记录。检测移动载体的插拔情况, 检测本地硬盘与移动载体之间的文件传递情况, 检测重要类型文档的增加、删除情况, 检测计算机的使用操作情况, 实现对涉密计算机的监督和事前预防, 事后可追踪。

3.3.2 经验 (2)

使用普通安全检测工具对计算机涉密信息进行常规检测。 (1) 上网行为检测。检测计算机访问过的网址和访问时间。 (2) 处理过的文件检测。检测计算机操作过的文件名称和处理时间。 (3) 系统信息检测。检测操作系统的相关信息。 (4) 补丁信息检测。检测计算机安装的补丁包信息。 (5) 用户信息检测。检测操作系统的用户和用户状态。 (6) 共享目录检测。检测操作系统共享的文件夹和文件夹路径。 (7) 端口连接检测。检测操作系统开放的网络端口情况, 包括协议、地址、端口和状态等。 (8) 进程检测。检测操作系统当前运行的进程、进程ID、进程优先级、进程路径、调用模块等。 (9) 服务信息检测。检测系统的服务名称、描述服务当前的状态等。 (10) USB存储设备使用情况检测及硬盘Office文档检测。检测使用过的所有USB存储设备名称、类型、硬件编号和首次使用的时间及硬盘上所有的Office文档的名称、类型等。

3.3.3 经验 (3)

对信息系统安全进行常规检测。 (1) 网络设备 (路由器及交换机) 的安全检测。对设备直接连接端口操作控制的检测, 如Console口检测等。评测因设备物理损坏和窜改事件的紧急恢复方法和步骤的安全性。检测改变设备静态配置操作的过程数据的安全性 (如日志、改变记录、重放等) 。检测用户和登录口令的密码策略安全性。检测可以远程登录设备的安全性。 (2) 数据库系统的安全检测。数据库服务信息检测 (注册的服务、监听端口和地址、启动策略、服务运行权限、安装的组件信息等) 。帐号和口令检测 (数据库的用户信息、DBA信息、口令策略) 。权限设置检测 (Public组权限、程序包的权限) 。文件系统检测 (系统盘路径、程序和数据文件所在分区文件系统、数据文件和程序文件的权限) 。日志审核 (系统审计设置及记录) 。网络服务信息 (登录认证方式、传输方式、限制IP地址信息、监听服务的安全设置) 。数据库备份 (数据库备份方式、备份数据访问权限) 。 (3) 应用系统信息安全检测。检测系统运行时是否会记录完整的日志。如进行详单查询, 检测系统是否会记录相应的操作员、操作时间、系统状态、操作事项、IP地址等。检测数据库中的用户密码、操作员密码等字段是否是以加密方式保存。实际登录系统, 输入相应的口令, 检测口令是否是以加密形式显示, 同时检测最小口令长度、强制修改口令的时间间隔、口令的唯一性、口令过期失效后允许入网的宽限次数。检测系统是否支持操作失效时间的配置, 同时达到所配置的时间内没有对界面进行任何操作时, 检测系统是否会将用户自动失效, 需要重新登录系统。检测对系统关键数据进行增加、修改和删除时, 系统是否会记录相应的修改时间、操作人员和修改前的数据记录。审查是否有各应用软件目录设置及其访问权限相应的规范文件。实际运行系统, 检测接口程序连接登录时, 是否需要输入相应的用户名、密码进行认证。

3.3.4 经验 (4)

对Linux服务器系统信息安全进行常规检测。 (1) 审计:Linux审计软件包可用作安全检查工具, 除最后登录时间的记录外, 审计系统还能保存全天运行的所有进程的完整记录, 对于一个进程所存贮的信息包括UID, 命令名, 进程开始执行与结束的时间, CPU时间和实际消耗的时间, 该进程是否是root进程, 这将有助于系统管理员了解系统中的用户在干什么。acctcom命令可以列出一天的帐, 系统中有多个记帐数据文件, 记帐信息保存在文件/usr/adm/pacct*中, /usr/adm/pacct是当前记录文件, /usr/adm/pacctn是以前的记帐文件 (n为整型数) 。 (2) du:报告在层次目录结构 (当前工作目录或指定目录起) 中各目录占用的磁盘块数。可用于检查用户对文件系统的使用情况。 (3) df:报告整个文件系统当前的空间使用情况, 可用于合理调整磁盘空间的使用和管理。 (4) ps:检测当前系统中正在运行的所有进程, 对于用了大量CPU时间的进程, 同时运行了许多进程的用户, 运行了很长时间但用了很少CPU时间的用户进程应当深入检查, 还可以查出运行了一个无限制循环的后台进程的用户, 未注销户头就关终端的用户。 (5) who:可以告诉系统管理员系统中工作的进展情况等等许多信息, 检查用户的登录时间, 登录终端。 (6) su:每当用户试图使用su命令进入系统用户时, 命令将在/usr/adm/sulog文件中写一条信息, 若该文件记录了大量试图用su进入root的无效操作信息, 则表明了可能有人企图破译root口令。 (7) login:在一些系统中, login程序记录了无效的登录企图 (若本系统的l o g i n程序不做这项工作而系统中有l o g i n源程序, 则应修改login) 。每天总有少量的无效登录, 若无效登录的次数突然增加了两倍, 则表明可能有人企图通过猜测登录名和口令, 非法进入系统。 (8) 使用系统漏洞评估工具进行分析:使用如saint, sss, ISS system scanner等工具对系统进行检测。 (9) 利用MD5等工具对系统重要可执行程序、配置文件、文档进行签名:定期检查系统重要可执行程序、配置文件、文档是否被改动。

3.3.5 经验 (5)

对Windows服务器系统信息安全进行常规检测。 (1) 帐号和口令:检测主机或域上用户口令的安全性;检测系统是否使用默认管理员帐号;检测在系统中是否存在可疑或与系统无关的帐号;检测系统用户是否有口令最短和口令长度要求;检测系统用户是否有密码过期策略。 (2) 网络与服务:检测主机开放的共享;检测主机进程信息。 (不允许系统中安装有与应用服务无关的应用程序) ;检测系统启动的服务列表;测系统启用的端口号;检测系统是否制定操作系统的备份恢复策略服务。 (3) 文件系统:文件系统的安全主要是检查主机磁盘分区类型和某些特定目录的权限, 服务器应使用具有安全特性的NTFS格式, 而不应该使用FAT或FAT32分区。 (4) 日志审核:日志的审核主要是检查主机日志的审核情况。它主要包括:应用程序日志;安全日志 (用户登录系统的日志) ;系统日志。 (5) 其它安全设置:检测系统补丁漏洞;检测登录系统操作的用户的权限;检测病毒防治;检测系统日志是否有备份功能;检测数据的备份与恢复;检测系统是否存在无关组件或应用程序。

4、结语

当前信息安全形势日趋复杂, 信息安全工作任务艰巨。特别是地市级涉密部门和单位, 由于检测技术能力及信息安全管理水平较弱的实际情况下, 很有必要积极分析新情况, 探索新思路, 解决新问题, 要扩大交流, 创新工作方法, 不断提升信息安全能力, 主动应对涉密信息安全风险和挑战, 为经济发展、社会稳定提供有力的安全保障。

摘要：本文从当前地级市计算机涉密信息安全存在问题的角度出发, 阐述了河源市计算机涉密信息安全的检测范围、检测策略、检测方法和经验, 供地级市同行参考, 目的是扩大交流、探索新思路、创新工作方法, 不断提升信息安全能力, 为经济发展、社会稳定提供有力的安全保障。

关键词：涉密信息,信息系统安全,检测经验

参考文献

[1]胡志昂.《信息系统等级保护安全建设技术方案设计实现与应用》.ISBN号:978-7-121-10262-2, 电子工业出版社.

[2]杨义先, 钮心忻等.《网络信息安全与保密 (修订版) 》, ISBN书号:7563503862, 北京邮电大学出版社.

网络信息管理中入侵检测技术分析 篇9

目前, 网络信息管理中出现攻击行为的频率日益增多, 给政府或企业带来了不小的损失, 为了保障网络信息管理的安全, 企事业单位引进了入侵检测技术来对网络信息系统进行检测和管理, 及时发现问题, 解决问题, 减少企业信息的危害因素, 让网络信息管理的安全性提高。

入侵检测技术的概述

入侵检测是对网络行为、安全日志以及审计数据, 或者是从别的网络上获得的信息进行检测, 查看是否有入侵或企图入侵的行为存在。入侵检测技术的分类是依照对象的不同而划分的, 主要分为三种。一、基于主机的入侵检测。就是对系统数据进行分析, 其中包括计算机操作系统的事件日志、端口调用、应用程序的事件日志以及安全审计记录中的数据。主机型的入侵检测主要是保护主机系统, 在进行检测时, 是通过代理与命令控制台来共同完成的。二、基于网络的入侵检测。该入侵检测方法主要是对网络上的数据包进行检查, 保护着整个网段[2]。基于网络的入侵检测系统是由传感器组成的。三、基于分布式的入侵检测。该入侵检测系统是前两种系统的综合和补充, 是一套完整的、立体的主动防御体系。入侵检测技术在进行检测的过程是先进行信息收集, 将所有的信息收集以后再对信息进行分析, 最后对有问题的误用模式及性能处理, 可以采取重新配置路由器或防火墙、切断连接、终止进程还有就是改变文件属性, 最简单的是进行警告。

在利用入侵检测技术对网络信息管理进行检测时所存在的问题

(1) 会出现无法检测到的入侵行为

入侵检测技术在设计时就是根据已经出现的入侵来进行设计的, 因此其对于新出现的隐秘的入侵行为无法检测出来, 这也就为网络信息管理工作带来了安全隐患。在对网络信息管理进行检测时, 经常会出现不警告情况, 当网络信息管理被入侵后, 入侵检测技术却完全检测不出来, 也就无法对工作人员进行警告, 让信息泄露, 造成了重大的经济损失。

(2) 入侵检测系统也容易遭到黑客入侵

现在黑客的入侵技术越来越先进, 而入侵检测技术却完全跟不上黑客的技术, 这也就导致了入侵检测系统存在着很多的漏洞, 遭到黑客攻击的频率很高, 而且在很多时候都被入侵成功。黑客主要是利用一些入侵检测系统无法检测到的插件以及木马来进行入侵行为, 使检测系统出现了紊乱, 对系统构件造成了损害。总而言之, 整个入侵检测系统本身存在着技术漏洞, 不能够检测到所有的恶意入侵行为, 无法保护网络信息管理系统的安全, 使信息泄露的危险性提高。

(3) 入侵检测技术的检测速度比网络速率要慢

入侵检测技术在对某些入侵行为进行检测时, 因为检测速度比网络速率要慢, 会出现还没有完全识别和摸索时, 入侵行为就已经结束, 使网络信息管理出现了问题。再者, 网络速度一直在提升, 而入侵检测技术却始终跟不上网络速度的发展进度, 加剧了检测速度比网络速率要慢的情况, 使检测系统出现误报、漏报的现象, 不利于入侵检测技术的发展, 并让网络信息管理出现了极大的安全隐患。

网络信息管理中入侵检测技术的分类

入侵检测技术主要有两种, 一种是异常检测技术模型、另一种是误用检测技术模型, 现在就对这两种入侵检测技术进行详细的解说。

(1) 异常检测技术模型

异常检测技术模型, 主要是对接受行为之间的偏差进行检测, 对于网络信息管理系统不可接受的行为称之为入侵行为。异常检测技术模型的漏报率低, 但是误报率却比较高。在进行检测时, 因为不需要对所有的入侵行为进行定义, 所有可以有效的检测出未知的入侵行为。异常检测技术包括两个方面, 特征量的选择和参考阈值的选择。

1) 特征量的选择

在对网络信息管理进行异常检测时, 为了能够准确的判断出哪些入侵行为是异常的, 一般都会在进行检测前根据系统和用户的行为来建立一个特征轮廓。在这个特征轮廓对整个入侵检测系统进行记录, 以方便在检测时可以在最短的时间内检测出异常入侵行为。选择将能够体现出系统和用户行为的特征量作为建立特征轮廓模型的数据基础, 是因为这些数据可以使整个检测系统在应用时得到优化, 减少系统的检测难度, 提高检测率。

2) 参考阈值的选择

在对网络信息管理进行异常检测时, 都需要建立一个正常的特征轮廓模型。但是为了保证入侵检测系统的检测正确率, 就必须选择正确的参考阈值。在网络信息管理中, 如果设定参考阈值过小, 就会使入侵检测系统出现虚报的情况;如果设定的参考阈值过大, 就会出现漏报的情况。因此在进行异常检测时, 必须选择正确的参考阈值, 以保证整个入侵检测活动可以顺利进行, 而且还可以提高检测率。

(2) 误用检测技术模型

误用检测技术模型主要是对已知的不可接受的行为之间的匹配程度进行检测。不可接受的行为进行网络信息管理系统中, 和它进行匹配的行为就会对工作人员发出警告。误用检测技术模型应用的前提是对所有的入侵行为都进行过标识和识别, 因此在使用误用检测技术模型之前, 需要将所有的非正常操作行为的特征都收集起来, 建立相关的特征库, 如果检测到与其相匹配的行为就认定该行为是入侵行为。误用检测技术模型的误报率低, 但是漏报率却很高。使用误用检测技术模型不仅可以准确的检测出的入侵行为, 还可以对其他的入侵行为进行警告。对于未知的入侵行为却无法正确的检测出来, 所以设计人员要不断地更新特征库。而且误用检测技术模型只需要采集数据, 用于实际检测的几率不是很高, 因此可以保障整个入侵检测系统的准确率。

结语

信息安全-入侵检测 篇10

入侵检测, 就是对入侵行为的发觉和识别, 是一种试图通过观察行为、安全日志或审计数据来检测入侵的技术[1]。为此目的所研制的系统就称为入侵检测系统 (Intrusion Detection System, IDS) 。随着人类社会生活对计算机和互联网依赖程度的日益增强, 计算机系统安全也越来越成为领域内研究的热点;而入侵检测技术的研究则是这个领域中的重要分支。

现有的入侵检测技术都或多或少地存在一些不足。异常检测类技术只能发现异常系统或网络数据的出现, 却不能及时给出这些异常数据到底代表了什么样的入侵或攻击行为, 误报率高;滥用类检测技术一般只能检测到已知的入侵及其简单变种, 不能识别新出现的入侵, 特别是在用模式匹配技术[2]或状态转移分析技术[4]的滥用检测系统中, 由于实际存在的入侵种类繁多, 对应的入侵模式或入侵状态转移表数量也很多, 使得匹配分析成为盲目的试探过程, 检测效率低。

如果能将多个入侵用一个统一的模式描述, 这样就可以有效减小匹配分析过程的盲目试探性, 从而提高检测分析的效率。为此, 该文提出了基于特征信息序列语法分析的入侵检测方法。

1 特征信息序列语法分析

特征信息序列由一定的特征信息组成, 基于特征信息序列语法分析的检测分析方法的基本思想是:将同一类入侵 (比如所有的针对或利用IP数据包进行的入侵可视为一类) 用一个形式文法[8]模式描述, 所有入侵类型的文法 (即模式) 组成入侵文法库。在此基础上, 当检测分析程序面对由特定系统日志数据或网络数据包抽象而得的特征信息序列后, 对其按照模式库中相应入侵模式作自下而上的语法分析, 如果分析过程能够将这个特征信息序列最终归约为该文法模式的开始符号, 则说明这个特征信息序列确实代表了该入侵模式的一个具体入侵实例 (待分析的特征信息序列可以是由专门的数据解析程序输出, 可参阅作者的另一篇论文《基于数据解析的入侵检测技术研究》。具体用哪个入侵模式进行语法分析匹配, 要根据这个特征信息序列是由什么样的数据解析自动机识别而定, 例如, 若一个特征信息序列是由IP协议数据包解析自动机识别的, 就用IP协议对应的入侵模式) 。这样, 检测分析程序实质上就是一个语法分析器。语法分析的过程也是创建语法分析树的过程, 可以把这种针对特征信息序列的分析树称为检测分析树, 故也把这种检测分析技术称为基于检测分析树的入侵检测技术。

任何入侵模式都可用一个文法I (S, C, I, P) 描述, 其中S是入侵发生过程中关键状态的集合;C是特征信息的集合, 这里的特征信息是对单位源数据的抽象表示;I是文法的开始符号, 也是入侵模式名;P是派生式集合, 其中的每个派生式都形如Si→α, Si∈S, α∈ (S∪C) *。

在实现基于特征信息序列语法分析的入侵检测系统时, 要为每一个网络协议族建立相应的攻击模式库, 比如有TCP/IP攻击库, 库里的模式都是针对或利用TCP/IP数据包进行的攻击。其中, 每个协议对应一个入侵或攻击模式, 如TCP SYN FLOODING攻击、TCP三次握手攻击等都用TCP类攻击模式描述等;IP类攻击模式描述了所有针对或利用IP数据包进行的攻击, 如IP欺骗、IP分片攻击等;还有HTTP类攻击模式、SNMP类攻击模式等。这样检测分析程序可与数据解析程序配合, 当特征信息序列是由一系列IP协议数据包抽象而得时, 只须用IP类攻击模式对其进行匹配检测——语法分析;同样, 如果待分析的特征信息序列是HTTP协议数据包的抽象表示时, 则只须用HTTP攻击模式对该特征信息序列进行检测分析。这样可大大减少匹配分析中的盲目试探次数, 提高检测分析效率。

2 几个常见攻击的文法描述模式的构造及检测分析过程

上述思想和方法的基础是为每个入侵类型都构造一个用文法描述的模式。构造方法如下:首先, 确定将构造的模式要描述的各种入侵对应的特征信息序列, 所有的这些特征信息序列构成的集合即是文法模式描述的语言;然后, 依次构造四元组文法中的每个成员, 组成完整的文法模式。下面通过实际例子介绍文法描述的入侵模式的建立方法。

2.1 IP分片攻击和IP欺骗攻击

首先为IP分片攻击和IP欺骗攻击各自单独创建文法模式。

IP分片攻击的特征信息序列为a…a, b, c, 所有符合这个特点的特征信息序列集合即为IP分片攻击的模式要描述的语言。据此, 可以将其描述为如下以语法规则表示的攻击模式:

根据该IP分片攻击的模式, 对IP分片攻击的检测过程如下:

(1) 检测程序处于初始状态, 当IP数据包协议解析程序输出一个解析结果——特征信息序列后, 检测分析程序按照IP分片攻击模式对这个信息序列进行匹配分析。若特征信息序列的第一个特征信息是a (IP包分片标记为1) 时, 根据产生式S1→a, 检测程序归约到状态S1。

(2) 在状态S1, 特征信息序列的下一个特征信息仍然为a时, 根据产生式S1→S1a, 检测程序归约到状态S1;以此类推, 只要特征信息序列的下一个特征信息仍然为A, 则根据产生式S1→S1a, 检测程序归约到状态S1。

(3) 在若干次由S1归约到新的S1状态后, 直到特征信息序列下一个特征信息为b (接收到了所有的分片数据包, 并且没有超时) 时, 根据产生式S2→S1b, 检测程序归约到状态S2。

(4) 紧接着, 若下一个特征信息标记为c (各分片数据包的总长度小于该包数据的设定总长度, 说明有分片重叠发生) , 根据产生式S3→S2c, 检测程序归约到状态S3, 并报告发现了IP分片攻击。该检测分析过程对应的检测分析树参照图1 (a) 。

同理, 根据IP欺骗攻击的特征信息序列是f, 可以构造描述它的模式的文法:

这样, 对IP地址欺骗攻击的探测过程如下, 参照图1 (c) 的检测分析树。

在IP数据包协议解析程序输出一个特征信息序列后, 检测分析程序依据IP欺骗攻击模式进行匹配分析。若特征信息序列是f, 则根据规则展开式S4→f归约到S4状态。此时, 可向响应程序输出检测结果:发现了假冒IP地址的IP数据包。

图1 (b) 是对代表一系列正常的IP分片数据包的特征信息序列的检测分析过程对应的分析树, 即在将分片重组后得到一个与分片前完全一样的正常的IP数据包的情况。

然后, 用一个统一的文法模式描述包括IP分片攻击和IP欺骗攻击在内的所有针对IP包的攻击, 方法是:将所有针对IP数据包攻击对应的文法模式特征信息集合并为一个总的特征信息集合;将所有攻击模式的攻击状态集合并为一个总的攻击状态集合, 并引入一个新的文法开始符号IIP, 作为总的入侵类名;将所有攻击模式的派生式集合并为一个总的派生式集合, 并引入一组由新的开始符号IIP到各入侵名对应的入侵状态的派生式。这样就形成了IP类攻击的总的文法模式:

IIP (S, C, IIPFRAG, P) , 其中:

该文法是IP欺骗、IP分片攻击和正常IP分片数据的共同模式。实际上, 其他针对或利用IP数据包进行的攻击也可以包括在这个模式中, 当然, 不同类的入侵体现在模式中的不同派生式子集上。需注意的是, 按这种方法处理, 需要给每个产生式加上必要的语义规则集, 而使得描述模式的文法成为属性文法[8], 因为对不同的IP攻击的特征信息序列的分析都将归约到IIP。如果分析过程的最后是用IP→IIPFRAG, 由IIPFRAG归约到IP时, 根据语义规则中的属性计算, 就可以知道发生的是IP分片攻击而不是其他类型的IP攻击。如果能够将所有这样的利用相同的协议数据包进行的入侵用一个统一的模式描述, 那么, 只要知道待分析的特征信息序列是由什么协议数据包抽象而得的, 并用该协议对应的入侵模式进行检测分析即可。这样就避免了用多个模式依次试探匹配的盲目性及由此引起的低效率问题。

2.2 利用TCP数据包进行的攻击

用同样的方法, 可以将用TCP数据包进行的攻击抽象为如下攻击模式:

ITCP (S, C, ITCP, P)

其中:C={j, k, l, m}是以下攻击特征信息的集合:

根据这个描述模式, 对TCP SYN FLOODING攻击的探测过程, 参照图2的检测分析树。这时, 数据解析程序输出的特征信息序列可能是j…jk, 这是经过滤预处理的特征信息序列, 其中j的重复次数超过了设定的阈值:

(1) 系统开始处于正常状态, 由于协议数据包解析程序输出的特征信息序列中第一个信息标记为j, 检测分析程序根据产生式S1→j归约到S1。由此可确定出现地址假冒攻击, 并报警发现了地址假冒的IP数据包。

(2) 在归约到S1后, 分析器读到特征信息序列中下一个信息标记仍然为j, 用S1→S1j再次归约为S1;依此类推, 分析器连着若干次用S1→S1j归约为S1。

(3) 经若干次用S1→S1j归约到S1后, 若协议解析程序输出的特征信息序列中下一个信息为k, 检测分析程序根据当前状态, 用ITCPSYNFLOODING→S1k归约到状态ITCPSYNFLOODING。接着, 用ITCP→ITCPSYNFLOODING归约到ITCP, 并根据分析过程中的属性值的传递, 确定发生了TCPSYNFLOODING攻击。

(4) 在第二步后, 即经若干次用S1→S1j归约到S1后, 若协议解析程序输出的特征信息序列中下一个信息为m, 而不是k, 检测分析程序根据当前状态, 用ITCPFAKE→S1m归约到状态ITCPFAKE。接着, 用ITCP→ITCPFAKE归约到ITCP, 并根据分析过程中的属性值的传递, 确定发生了ITCPFAKE攻击。

用同样的方法, 可以为其他类型的攻击建立模式, 如针对其他网络协议数据包的攻击或针对主机系统的攻击类等。

3 入侵模式的可扩展性

黑客攻击的方式是日新月异的, 新入侵不断涌现。初始建立的模式库中没有后来才出现的入侵模式。而一个好的滥用入侵检测系统需要经常更新和丰富模式库。在新的攻击方式出现的时候, 解析程序可能发现其对应的特征信息序列, 而用相应的模式对这个新的特征信息序列进行语法分析时, 检测分析程序必然会报告异常的发生, 此时可以根据这个新的特征信息序列对相应的模式进行扩展改造——加入能够派生出该特征信息序列的派生式。比如, 如果这个新的特征信息序列是由TCP协议数据包解析程序识别的, 则检测分析程序用TCP类攻击模式对这个特征信息序列进行语法分析时应该报错, 这是因为根据已经构造TCP类攻击模式, 这个新的特征信息序列不属于对应文法模式的句子, 所以必然在分析的某一步报错——发现异常的特征信息序列。这样, 可以根据这些新出现的特征信息序列对相应的入侵模式进行修改或增加新的入侵模式。用这种方法, 入侵模式库可得到不断的更新和丰富。从这个角度说, 由于文法描述模式的可扩展性, 基于特征信息序列语法分析的入侵检测技术是一个滥用检测和异常检测的综合技术, 不仅可以确定已知类型的入侵是否发生, 还可以发现异常系统或网络行为的出现。

4 结 语

本文针对滥用入侵检测常用技术存在的不足, 提出了基于特征信息序列语法分析的入侵检测技术。通过该技术, 可以有效避免匹配分析过程的盲目性和试探性, 提高检测分析的效率。另外, 由于文法描述模式的可扩展性, 使得基于特征信息序列语法分析的入侵检测技术成为具备一定异常检测能力的滥用检测技术, 即能确定已知类型入侵是否发生, 也能及时发现新出现的异常系统或网络活动的发生。

参考文献

[1]唐正军.入侵检测技术导论[M].北京:机械工业出版社, 2004.

[2]Kumar S, Spafford E.An Application of Pattern Matching inIntrusion Detection[Z].Department of Computer Science, Purdue University, CSD-TR-94-013, Coast TR 94-07, 1994.

[3]张燕, 刘方爱.IDS中一种新的模式匹配算法及其并行化[J].山东科学, 2005, 18 (11) :134-138.

[4]胡睿, 张冬茉, 杜蓬.用有限状态转换图来识别系统入侵[J].计算机工程与应用, 2001, 37 (20) :81-84.

[5]Hochberg J, Jackson K, Stallings C, et al.NADIR:An Auto-mated System for Detecting Network Intrusion and Misuse[J].Computers and Security, 1993, 12 (3) :235-248.

[6]周子庭, 李建华.系统日志分析及在主机入侵检测中的应用[J].信息安全与通信保密, 2004 (9) :31-33.

[7]刘美兰, 南相浩, 姚京松.基于审计的入侵检测系统[J].计算机工程, 2000, 26 (Z1) :127-132.

整合入侵防护，联动整体安全 篇11

12月15日，方正信息安全技术有限公司继10月份推出TruPrevent企业版后，再次推出最新的单机版防毒软件——“方正熊猫 钛金版2006防病毒＋防间谍软件”。该产品集成了入侵防护TruPrevent技术，使用户在抵御新病毒的同时，也能屏蔽掉来自网络层的攻击。

方正熊猫钛金2006是针对单机用户的需求而开发的全新的版本，其操作更加简单、界面更加友好。新产品较之以前的版本在功能上又有了重大提升，它能检测并清除最近非常流行的间谍软件及其它在未经允许的情况下安装在您计算机内的非法程序。其集成的防火墙技术还能抵御Wi-Fi连接方式的入侵，阻止任何人在未经允许的情况下访问您的计算机。而防止网络钓鱼及其它在线欺诈的设计，也将有效保障用户的网上银行和在线交易安全可靠！

此外，方正熊猫钛金版2006单机版还特别提出了“安装即忘” 的理念，通过最大限度避免人工干预的自动智能安全防范操作，为家庭或非专业用户提供更佳的使用感受。

点评：

此前，国内用户可能对方正信息安全的企业级安防产品有较多的了解，但对于方正熊猫单机版的产品却知之不多。其实，在国外，该系列产品一直都享有很高的知名度，特别是其智能、简便、高效的查杀特色，更令2005钛金版在美国PC World横向评测中荣获BestBuy称号。而方正信息安全此次在国内推出方正熊猫钛金版2006，更对地自己企业级安防系统的一个良好的补充，从而实现终端防护到企业级网络防护的全方位安防体系。

信息安全-入侵检测 篇12

计算机和网络技术飞速发展的同时，也对入侵检测技术提出了挑战。主动策略的入侵检测技术是网络安全的重要保障，入侵检测系统在保护网络和信息的安全方面发挥了重要的作用。入侵检测系统最需要提高的问题主要有智能的攻击分析问题和误判的问题，如果能解决好这两个问题，入侵检测的能力将有较好的改善和提高。误判主要是目前的入侵检测系统不能准确的从大量的信息中提取足够多的有用的信息;解决智能的攻击分析问题既可以很好的发现入侵，又能降低误判的发生。使用信息融合的方法可以解决这个问题。多传感器信息融合算法是通过把来自很多传感器的相关信息进行联合处理而提高输出信息质量的一种方法。

1 信息融合

1.1 信息融合基本概念

由于信息融合研究内容的广泛性和多样性，很难对信息融合下一个统一的定义。目前普遍接受的关于信息融合的定义是:信息融合为一种多层次、多方面和多级别的处理过程，包括对多源数据进行检测、相关、组合和估计，从而提高状态和特性估计的精度，以便能得到更好的决策。信息融合技术是研究多源不确定性信息进行综合处理及其利用的理论和方法，即对来自多个信息源的信息进行多级别、多方面、多层次的处理，产生新的有意义的信息。一般意义上的多源信息融合技术是一种利用计算机技术，对来自多种信息源的多个传感器观测的信息，在一定准则下进行自动分析、综合，以获得单个或单类信息源所无法获得的有价值的综合信息，并最终完成其最终任务的信息处理技术。这一过程称为融合，表示把多源信息“综合或混合成一个整体”的处理过程[1]。

多源信息融合有很多分类方法，按信息融合处理层次分类，可分为数据级信息融合、特征级信息融合、决策级信息融合等;按信息融合目的可分为检测融合、估计融合和属性融合等;按融合的信息类型可分为数据融合和图像融合，而图像融合又可进一步分为像素级融合、特征级融合和决策级融合等[2]。

进行信息融合的方法较多，如基于概率论的方法、人工智能和神经网络方法等。目前使用较多的信息融合的方法主要有:基于Bayes统计决策的信息融合法、Dempster-shafer证据推理法、基于神经网络多信息融合方法以及基于L.A.Zadeh的Fuzzy理论的多信息融合方法等[3]。

1.2 信息融合系统的基本模型

信息融合系统的模型设计是信息融合的关键问题，它直接决定了融合算法的结构、性能和系统的复杂度。进行信息融合系统设计时要考虑环境的条件、实际的需求等因素。信息融合系统的结构模型如图一所示。

2 入侵检测

网络入侵检测问题处理就是对各种与攻击有关的定性知识与定量知识进行表达和处理。入侵检测系统体系结构包含以下几部分:传感器(Sensors)、分析引擎(Analysis Engine)、数据库(Database)、响应中心(Response Center)等。传感器主要是对入侵的信息进行采集、检测，以及对可疑事件报告的生成;对于传感器上报的可疑事件报告，分析引擎将对其进行分析，并给出适当的处理决策;数据库作为IDS可疑事件报告的历史缓冲池，为IDS系统决策服务;响应中心根据分析引擎的结果作出合适的响应[4]。

3 基于信息融合的入侵检测模型

随着互联网和信息技术的发展，入侵检测系统从过去的基于主机的文件完整性检查系统和日志分析系统逐渐发展到当今的分布式的、多种检测手段兼备的安全系统。从信息融合的观点来看，IDS的各种检测手段就相当于多传感系统中的各个智能主体，而且各种检测手段工作的位置和原理大相径庭，IDS可以比拟为一个分布式检测系统。对比信息融合模型和入侵检测模型，我们发现:(1)二者都是一个分布式检测系统。二者的系统中均分布着多个传感器，需要通过多个传感器来收集信息，发现攻击信息或者是获得系统状态的准确评估[5];(2)二者都是一个目标识别和智能决策的过程。无论是IDS还是信息融合，其实质都是一个从海量的、带有巨大观测噪声的检测信息中发现和提取检测目标的过程，这个过程实际上是一个目标的识别过程，也是一个通过原始数据作出智能决策的过程;(3)二者都是由一个数据到知识的转化过程。IDS通过原始网络数据包、系统日志、调用序列等原始数据，获得系统入侵信息。军事领域的信息融合通过物理传感器观测到的目标位移、速度、加速度、图像等，最终要获得有关系统状态的准确估计和敌我军事态势评估，也是一个数据到知识的转化过程[6][7]。

与信息融合模型相比，目前大多数的IDS都是单一工作的，各个传感器之间不能进行有效的配合和协同工作，缺少一个类似于多传感器集成的框架。也就是说各个IDS不能进行统一的全局管理和信息的集中处理，对异构系统及大规模网络的监测明显不足。在目前大多数的入侵检测系统中都是采用单一体系结构，也就是数据的采集、分析都是由单一程序完成的，部分的基于分布式入侵检测系统的体系结构只是在数据采集上实现了分布式功能，而数据的分析、入侵行为的发现等还只是由单个程序完成的。为了提高入侵检测能力，除了提高检测技术外，可以利用将多传感器信息融合技术应用在分布式入侵检测系统中，实现多层次、多方面的信息处理，以达到对网络安全状况的监控和评估，这也是今后入侵检测的一个研究方向。

在基于Internet应用环境中，用于采集数据的分布式入侵检测传感器部件是分布在一个很广的范围内，从而它们进行的数据传输和相互之间的协作受到一定程度的限制。可以采取在各传感器处完成初步的计算和事件处理任务，再将经过压缩后的传感器数据传送到信息融合中心，在融合中心把接受到的信息进行适当的组合以致产生全局推理和决策。每个IDS负责一个或者一些网段的安全监控，各个IDS之间需要保持通信和协作。所有的这些传感器检测系统构成一个整体，可以共同完成单个传感器无法完成的任务从而达到监控整个网络的目的。所有这些IDS需要具备严格的体系结构，以致能够实现对多源信息的融合处理，它们之间并不是简单的叠加和组合。采取多源信息融合系统结构模型，每个IDS传感器负责一定区域的监控，在采集到数据时进行初步的处理和加工，然后将数据向上一层报告。与传统的分布式入侵监测系统相比，在网络上传输的数据量明显减少，很多计算已经在底层完成。随着网络规模的扩大，网络流量和信息融合中心的控制程序的复杂度不会明显的增大。这样可以适应网络不断延伸的需要和发展。由于各个网段中的监控系统是相互独立的，所以某一点的失败不会影响全局的工作。基于信息融合的分布式入侵检测体系结构具有以上的特点，可以应用于Internet环境中。

4 结束语

现有IDS存在智能的攻击分析问题和误判的问题，采用信息融合的方法可以解决这个问题。基于信息融合技术的入侵检测系统的体系结构很好地将分布式入侵检测系统与信息融合技术有效的结合起来，将入侵检测技术延伸到更大规模的网络环境中。

摘要：随着计算机与网络技术的发展,入侵技术也越来越先进。许多入侵行为都具备反检测的能力,这些行为会模仿被入侵体系的正常用户行为或通过多台主机联合攻破被入侵系统。针对较复杂的入侵行为,仅靠一个传感器来提供信息很难与正常用户行为进行识别,必须通过多传感器信息融合的方法来提高对入侵的识别能力,同时降低误判率。

关键词：分布式入侵检测,信息融合,入侵检测

参考文献

[1]权太范.信息融合神经网络—模糊推理理论与应用[M].北京:国防工业出版社,2002,8.

[2]罗志增,蒋静坪.机器人感觉与多信息融合[M].北京:机械工业出版社,2002,6.

[3]GU Jihai,HUANG Wenhu,JIANG Xingwei.Researchof Multi-Agent System based satellite fault diagnosistechnology[J].哈尔滨工业大学学报(英文版),2002,3.

[4]杨露菁,余华.多源信息融合理论与应用[M].北京:北京邮电大学出版社,2006.

[5]苏玉北.基于DIA的分布式智能网络故障管理[J].计算机工程与应用,2000,8.

[6]任鹏,姜建国.分布式入侵检测与信息融合技术应用研究[J].网络安全技术与应用,2005,7.