入侵技术

入侵技术（共10篇）

入侵技术 篇1

摘要：入侵检测技术是为保证计算机系统的安全而设计的一种能够及时发现并报告系统中未授权或异常现象的技术, 是一种用于检测计算机网络中违反安全策略行为的技术。概述了入侵检测系统的重要性, 介绍了其分类, 并对其规划的建立进行了阐述。

关键词：入侵检测,重要性,分类,规则建立

入侵检测 (Intrusion Detection) 是防火墙的合理补充, 帮助系统对付网络攻击, 扩展了系统管理员的安全管理能力 (包括安全审计、监视、进攻识别和响应) , 提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息, 并分析这些信息, 分析网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第2安全闸门, 在不影响网络性能的情况下能对网络进行监测, 从而提供对内部攻击、外部攻击和误操作的实时保护。这些功能是通过它执行以下任务来实现的:一是监视、分析用户及系统活动;二是系统构造和弱点的审计;三是识别反映已知进攻的活动模式并向相关人士报警;四是异常行为模式的统计分析;五是评估重要系统和数据文件的完整性;六是操作系统的审计跟踪管理, 并识别用户违反安全策略的行为。

对一个成功的入侵检测系统来讲, 它不但可使系统管理员随时了解网络系统 (包括程序、文件和硬件设备等) 的任何变更, 还能给网络安全策略的制订提供指南。且它管理、配置简单, 从而使非专业人员非常容易地获得网络安全。此外, 入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后, 会及时做出响应, 包括切断网络连接、记录事件和报警等。

1 入侵检测系统 (IDS) 的重要性

1.1 应用IDS的原因

提到网络安全, 人们第一个想到的就是防火墙。但随着现代技术的发展, 网络日趋复杂, 传统防火墙暴露出来的不足和弱点促进人们对入侵检测系统 (Intrusion Detection System, IDS) 技术的研究和开发。一是传统的防火墙在工作时, 入侵者可以找到防火墙滋生可能敞开的后门;二是防火墙不能阻止来自内部的攻击, 通过调查发现, 50%的攻击都来自内部, 对于企业内部心怀不满的员工来说, 防火墙形同虚设;三是由于性能的限制, 防火墙通常不能提供实时的入侵检测的能力, 而这一点, 对于现在层出不穷的攻击技术来说是至关重要的;四是防火墙对病毒也束手无策。因此, 仅在Internet入口处部署防火墙系统就安全的想法是不切实际的。

入侵检测系统 (IDS) 可以弥补防火墙的不足, 为网络安全提供实时的入侵检测及采取相应的防护手段, 如记录证据用于跟踪、恢复、断开网络连接等。基于以上的功能, 可给出一个统一的计算机网络入侵检测模型。这个模型由5个主要部分 (信息收集器、分析器、响应、数据库及目录服务器) 组成 (见图1) 。

1.2 IDS所用信息的收集

入侵检测的第1步是信息收集, 内容包括系统、网络、数据及用户活动的状态和行为。而且, 需要在计算机网络系统中的若干不同关键点 (不同网段和不同主机) 收集信息, 这样除了尽可能扩大检测范围的因素外, 还有一个重要的因素就是从一个源来的信息有可能看不出疑点, 但从多个源来的信息的不一致性却是可疑行为或入侵的最好标识。入侵检测在很大程度上依赖于收集信息的可靠性和正确性。

入侵检测利用的信息一般来自以下4个方面:一是系统和网络日志文件。黑客经常在系统日志文件中留下他们的踪迹, 因此充分利用系统和网络日志文件信息是检测入侵的必要条件。日志中包含发生在系统和网络上的不寻常和不期望活动的证据, 这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件, 能够发现成功的入侵或入侵企图, 并很快地启动相应的应急响应程序。日志文件中记录了各种行为类型, 每种类型又包含不同的信息, 例如记录“用户活动”类型的日志, 就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容。很显然, 对用户活动来讲, 不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等。二是目录和文件中的不期望改变。网络环境中的文件系统包含很多软件和数据文件, 包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标。目录和文件中的不期望的改变 (包括修改、创建和删除) , 特别是那些正常情况下限制访问的, 很可能就是一种入侵产生的指示和信号。黑客经常替换、修改和破坏他们获得访问权的系统上的文件, 同时为了隐藏他们在系统中的表现及活动痕迹, 都会尽力去替换系统程序或修改系统日志文件。三是程序执行中的不期望行为。网络系统上的程序执行一般包括操作系统、网络服务、用户启动的程序和特定目的的应用, 例如数据库服务器。每个在系统上执行的程序由1个到多个进程来实现。每个进程执行在具有不同权限的环境中, 这种环境控制着进程可访问的系统资源、程序和数据文件等。一个进程的执行行为由它运行时执行的操作来表现, 操作执行的方式不同, 它利用的系统资源也就不同。操作包括计算、文件传输、设备和其他进程, 以及与网络间其他进程的通讯。一个进程出现了不期望的行为可能表明黑客正在入侵系统。四是物理形式的入侵信息。这包括2个方面的内容, 即未授权的对网络硬件连接和对物理资源的未授权访问。黑客会想方设法去突破网络的周边防卫, 如果他们能够在物理上访问内部网, 就能安装他们自己的设备和软件。因此, 黑客就可以知道网上的由用户加上去的不安全 (未授权) 设备, 然后利用这些设备访问网络。例如, 用户在家里可能安装Modem以访问远程办公室, 与此同时黑客正在利用自动工具来识别在公共电话线上的Modem, 如果某一拨号访问流量经过了这些自动工具, 那么这一拨号访问就成为了威胁网络安全的后门。黑客就会利用这个后门来访问内部网, 从而越过了内部网络原有的防护措施, 然后捕获网络流量, 进而攻击其他系统, 并偷取敏感的私有信息等。

1.3 对信息的分析

信息收集器将收集到的有关系统、网络、数据及用户活动的状态和行为等信息, 通过3种技术手段进行分析, 即模式匹配、统计分析和完整性分析。其中前2种方法用于实时的入侵检测, 而完整性分析则用于事后分析。一是模式匹配。模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较, 从而发现违背安全策略的行为。该过程可以很简单 (如通过字符串匹配以寻找一个简单的条目或指令) , 也可以很复杂 (如利用正规的数学表达式来表示安全状态的变化) 。一般来讲, 一种攻击模式可以用一个过程 (如执行一条指令) 或一个输出 (如获得权限) 来表示。该方法的一大优点是只需收集相关的数据集合, 显著减少系统负担, 且技术已相当成熟。它与病毒防火墙采用的方法一样, 检测准确率和效率都相当高。但是, 该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法, 不能检测到从未出现过的黑客攻击。二是统计分析。统计分析方法首先为系统对象 (如用户、文件、目录和设备等) 创建一个统计描述, 统计正常使用时的一些测量属性 (如访问次数、操作失败次数和延时等) 。测量属性的平均值将被用来与网络、系统的行为进行比较, 任何观察值在正常值范围之外时, 就认为有入侵发生。例如, 统计分析可能标识一个不正常行为, 因为它发现一个在晚8时早6时登录的帐号却在凌晨2时试图登录。其优点是可检测到未知的入侵和更为复杂的入侵, 缺点是误报、漏报率高, 且不适应用户正常行为的突然改变。具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法, 目前正处于研究热点和迅速发展之中。三是完整性分析。完整性分析主要关注某个文件或对象是否被更改, 这通常包括文件和目录的内容及属性, 它在发现被更改的、被特洛伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制, 称为消息摘要函数 (如MD5) , 它能识别微小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵, 只要是成功的攻击导致了文件或其他对象的任何改变, 它都能被发现。缺点是一般以批处理方式实现, 不用于实时响应。尽管如此, 完整性检测方法还应该是网络安全产品的必要手段之一。例如, 可以在每一天的某个特定时间内开启完整性分析模块, 对网络系统进行全面的扫描检查。

2 IDS的分类

2.1 根据检测原理进行分类

传统的观点根据入侵行为的属性将其分为异常和滥用2种, 然后分别对其建立异常检测模型和滥用检测模型。近4~5年来又涌现出了一些新的检测方法, 它们产生的模型对异常和滥用都适用, 如人工免疫方法、遗传算法、数据挖掘等。根据系统所采用的检测模型, 将IDS分为3类:一是异常检测。异常检测中, 观察到的不是已知的入侵行为, 而是所研究的通信过程中的异常现象, 它通过检测系统的行为或使用情况的变化来完成。在建立该模型之前, 首先必须建立统计概率模型, 明确所观察对象的正常情况, 然后决定在何种程度上将一个行为标为“异常”, 并如何做出具体决策。异常检测只能识别出与正常过程有较大偏差的行为, 而无法知道具体的入侵情况。由于对各种网络环境的适应性不强, 且缺乏精确的判定准则, 异常检测经常会出现虚警情况。异常检测可以通过以下系统实现: (1) 自学习系统。自学习系统通过学习事例构建正常行为模型, 又可分为时序和非时序2种; (2) 编程系统。系统需要通过编程学习如何检测确定的异常事件, 从而让用户知道什么样的异常行为足以破坏系统的安全。编程系统可以再细分为描述统计和缺省否认2种。二是滥用检测。在滥用检测中, 入侵过程模型及它在被观察系统中留下的踪迹是决策的基础。因此, 可事先定义某些特征的行为是非法的, 然后将观察对象与之进行比较以做出判别。滥用检测基于已知的系统缺陷和入侵模式, 故又称特征检测。它能够准确地检测到某些特征的攻击, 但却过度依赖事先定义好的安全策略, 所以无法检测系统未知的攻击行为, 从而产生漏警。滥用检测通过对确知决策规则编程实现, 可以分为以下4种: (1) 状态建模。将入侵行为表示成许多个不同的状态。如果在观察某个可疑行为期间, 所有状态都存在, 则判定为恶意入侵。状态建模从本质上来讲是时间序列模型, 可以再细分为状态转换和Petri网, 前者将入侵行为的所有状态形成一个简单的遍历链, 后者将所有状态构成一个更广义的树形结构的Petri网。 (2) 专家系统。可以在给定入侵行为描述规则的情况下, 对系统的安全状态进行推理。一般情况下, 专家系统的检测能力强大, 灵活性也很高, 但计算成本较高, 通常以降低执行速度为代价。 (3) 串匹配。通过对系统之间传输的或系统自身产生的文本进行子串匹配实现。该方法灵活性欠差, 但易于理解, 目前有很多高效的算法, 其执行速度很快。 (4) 基于简单规则。类似于专家系统, 但相对简单一些, 故执行速度快。三是混合检测。近几年来, 混合检测日益受到人们的重视。这类检测在做出决策之前, 既分析系统的正常行为, 同时还观察可疑的入侵行为, 所以判断更全面、准确、可靠。它通常根据系统的正常数据流背景来检测入侵行为, 故而也称为“启发式特征检测”。Wenke Lee从数据挖掘得到启示, 开发出了一个混合检测器RIPPER。它并不为不同的入侵行为分别建立模型, 而是首先通过大量的事例学习什么是入侵行为以及什么是系统的正常行为, 发现描述系统特征的一致使用模式, 然后再形成对异常和滥用都适用的检测模型。

2.2 根据体系结构分类

按照体系结构, IDS可分为集中式、等级式和协作式3种。一是集中式。这种结构的IDS可能有多个分布于不同主机上的审计程序, 但只有一个中央入侵检测服务器。审计程序把当地收集到的数据踪迹发送给中央服务器进行分析处理。但这种结构的IDS在可伸缩性、可配置性方面存在着致命缺陷: (1) 随着网络规模的增加, 主机审计程序和服务器之间传送的数据量会骤增, 导致网络性能大大降低; (2) 系统安全性脆弱, 一旦中央服务器出现故障, 整个系统就会陷入瘫痪; (3) 根据各个主机不同需求服务器配置也非常复杂。二是等级式。它用来监控大型网络, 定义了若干个分等级的监控区, 每个IDS负责1个区, 每一级IDS只负责所监控区的分析, 然后将当地的分析结果传送给上一级IDS。这种结构仍存2个问题: (1) 当网络拓扑结构改变时, 区域分析结果的汇总机制也需要做相应的调整; (2) 这种结构的IDS最后还是要把各地收集到的结果传送到最高级的检测服务器进行全局分析, 所以系统的安全性并没有实质性的改进。三是协作式。将中央检测服务器的任务分配给多个基于主机的IDS, 这些IDS不分等级, 各司其职, 负责监控当地主机的某些活动。因此, 其可伸缩性、安全性都得到了显著的提高, 但维护成本也高了很多, 并且增加了所监控主机的工作负荷, 如通信机制、审计开销、踪迹分析等。

3 IDS规则的建立

IDS要有效地捕捉入侵行为, 必须拥有一个强大的攻击特征数据库。但是, IDS一般所带的特征数据库都比较死板, 遇到“变脸”的入侵行为往往无法识别。因此, 管理员有必要学会如何创建满足实际需要的特征数据样板, 做到以不变应万变。

3.1 特征的基本概念

特征也被称为属性, 对应IP数据包中的字段。在这些特征中有一些对攻击的判别至关重要。以下是一些典型情况及通过相应特征进行识别的方法: (1) 从某一固定IP发送的连接请示:可通过检查IP头文件的源地址轻易地识别。 (2) 带有非法TCP标记包的集合:可通过已知的合法与非法的标记集合与TCP头文件中的标记进行比较而得出结论。 (3) 含有特殊病毒信息的Email:IDS可以通过将邮件的标题或附件的名称与已知的病毒邮件相关的标题做比较得出结论。 (4) 查询负载中的DNS缓冲区溢出企图:可通过解析DNS域及检查每个域的长度来识别利用DNS域的缓冲区溢出企图。还有另外一个识别方法是:在负载中搜索“壳代码利用” (exploit shell code) 的序列代码组合。 (5) 通过对POP3服务器发出上千次同一命令而导致的DoS攻击:通过跟踪记录某个命令连续发出的次数, 看看是否超过了预设上限, 而发出报警信息。 (6) 未登录情况下使用文件和目录命令对FTP服务器的文件访问攻击:通过创建具备状态跟踪的特征样板以监视成功登录的FTP对话、发现未经验证却发命令的入侵企图。

3.2 头文件属性

一些头文件属性在出现攻击时会有明显的不正常现象, 所以可用于制定规则。这一规则的经典例子是带有SYN和FIN标志的TCP包设置。在RFC793 (用来定义TCP标准) 中存在一个漏洞, 使很多工具都试图通过这一漏洞来尝试绕过防火墙、路由器和入侵检测系统。很多攻击程序包括头文件属性其目的在于违背RFCs, 因为很多操作系统和应用程序是基于遵守RFCs的假定而写成的, 且对在此基础上的通讯中的错误不进行纠正。也有很多工具包含错误或不完整的代码, 于是由这些工具制成的包中包含了违背RFC的头文件属性。那些写得很糟糕的工具和各种入侵技术提供了用于写规则的可辨别属性。

基于头文件属性来开发规则的最好办法就是通过实例。Synscan是一种应用广泛的扫描和探测系统工具。在2001年初的互联网上, 它频繁活动, 因为它的代码经常被用于制造Ramen蠕虫的第1阶段。这一活动提供了很好的实例, 因为它的包中含有大量的可识别特征。这里有一些在蠕虫传播初期存在于Ramen蠕虫包中的IP和TCP头文件属性: (1) 各种不同的源IP地址; (2) TCP源端口21, 目标端口21; (3) 服务类型为0; (4) IP识别号39426; (5) SYN和F1N标记设置; (6) 各种序列号码设置; (7) 各种确认号码设置; (8) TCP windows大小为1 028。

现在已经知道Synscan包的头文件含有的特征, 可以开始考虑怎样制订一个好的规则。首先寻找那些非法的、不正常的、可疑的属性, 在很多事件中, 这些特征都有相对应的攻击者试图利用的漏洞或者对应于攻击者使用的一种特殊技术。

Synscan包的某些不正常的特征可以使用以下规则识别:仅有SYN和FIN标记设置是恶意行为的明显标志;另一种特征是, 这些包的确认号有各种不同的值, 但ACK标志未设置。如果没有设置ACK标志的话, 确认号码应该设为0;还有一种可疑的特征是, 源端口和目标端口都被设为21, 这是一种不正常的与FTP服务器的联接。如果这两者端口号相同, 则称之为反身。除了某些特殊的通讯 (如特定的NetBIOS通讯) , 通常都不应该存在这样的情况。反身端口不违背TCP标准, 但在大多数的事件中是不正常的。在正常的FTP通讯中, 会看见一个高端口 (大于1 023) 作为源端口, 而目标端口为21。

参考文献

[1]李俊霞, 刘其群.浅谈网络入侵检测系统[J].河南农业教育报, 2007, 4 (2) :56-58.

[2]陈浩.网络入侵检测系统的应用研究[J].雅安职业技术学院学报, 2006, 20 (3) :8-11.

[3]李新远, 吴宇红, 狄文远.基于数据发掘的入侵检测建模[J].计算机工程, 2002, 28 (2) :159-161.

[4]韩东海, 王超, 李群.入侵检测系统实例分析[M].北京:清华大学出版社, 2002.

[5]陈波.入侵检测规则一[J].信息网络安全 (技术广场) , 2002, 5 (32) :44-45.

[6]郭山清, 谢立, 曾英佩.入侵检测在线规则生成[J].模型计算机学报, 2006, 29 (9) :1523-1532.

浅析计算机病毒的入侵检测技术 篇2

关键词:计算机病毒;入侵检测技术

中图分类号:TP309.5文献标识码:A文章编号:1007-9599(2010) 03-0082-02

Intrusion Detection of Computer Viruses

Gong Yunhuan

(Nanning Science and Technology Information Institute,Nanning530031,Chhina)

Abstract: The global information network construction and development of the whole community of science and technology, economy and culture, military has brought a huge driving and impact, but also to bring more challenges to the safe operation of the network. Resource sharing and information security are twin contradictions.Generally believed that the safe operation of computer network systems from computer viruses. Therefore, the study of intrusion detection of computer virus with great significance. This paper to analyze and discuss several aspects under computer viruses technical background, definitions, classifications and the role of intrusion detection system.

Keywords: Computer Virus; Intrusion Detection

一、研究背景

计算机网络是信息社会的基础,已经进入了社会的各个角落,经济、文化、军事和社会生活越来越多的依赖计算机网络。然而,计算机在给人们带来巨大便利的同时,也带来了不可忽视的问题,计算机病毒给网络系统的安全运行带来了极大的挑战。2003年1月25日,突如其来的“蠕虫王”病毒,在互联网世界制造了类似于“9.11”的恐怖袭击事件,很多国家的互联网也受到了严重影响。同样,前两年的“熊猫烧香”病毒再次为计算机网络安全敲起了警钟。那么,面对网络世界的威胁,人类总在试图寻找各种方面来进行克服和攻关。入侵检测技术作为解决计算机病毒危害的方法之一,对其进行研究就成为可能。

二、入侵检测技术的定义

入侵检测技术是一种利用入侵者留下的痕迹等信息来有效地发现来自外部或者内部的非法入侵技术。它以探测与控制为技术本质,起着主动防御的作用,是计算机网络安全中较重要的内容。

三、入侵检测技术的分类

入侵检测技术大体上可以分为实时入侵检测和事后入侵检测两种类型:

实时入侵检测是在网络连接过程中进行的,系统根据用户的历史行为模型以及神经网络模型对用户当前的操作进行判断,一旦发现入侵痕迹立即断开入侵者与主机的连接,并收集证据和实施数据恢复。这个检测过程是不断循环进行的,以便实时发现威胁,进行实时防范与治理。

事后入侵检测是由网络管理人员进行的,他们具有计算机网络安全方面的专业知识,根据计算机系统对用户操作所做的历史记录判断用户是否具有入侵行为威胁,一旦发现有威胁,就立即断开连接,并及时记录入侵证据以便进行数据恢复。这个检测过程是计算机网络安全管理员定期或不定期进行的,不具有实时性和连续循环性,显然防御入侵的能力不及实时入侵检测。

四、入侵检测技术的发展现状以及主要方法

目前,国外一些研究机构已经开发出了应用于不同操作系统的几种典型的入侵检测系统,它们通常采用静态异常模型和规则的误用模型来检测入侵。这些入侵检测系统基本上是基于服务器或者基于网络的。基于服务器的入侵检测系统采用服务器操作系统的检测序列作为主要输入源来检测侵入行为,而大多数基于网络的入侵检测系统则以监控网络故障作为检测机制,但有些则用基于服务器的检测模式和典型的入侵检测系统静态异常算法。早期的入侵检测系统模型设计用来控制单一服务器,是基于主机的入侵检测系统;然而,近期的更多模型则集中用于监控通过网络互联的多服务器,是基于网络的入侵检测系统。

鉴于此,目前的计算机入侵检测方法有如下几种:①基于用户行为概率统计模型的入侵检测方法;②基于神经网络的入侵检测方法;③基于专家系统的入侵检测技术;④基于模型推理的入侵检测技术。

总之,由于计算机病毒入侵检测方法和技术在计算机网络安全防护中所起的作用至关重要,因此受到了广泛的重视。相信随着入侵检测技术的不断改进和提高,将会有更加安全可靠的计算机网络防护系统和更加科学的入侵检测方法问世。

五、计算机病毒入侵检测系统的作用

入侵检测系统在计算机网络安全防护中起着至关重要的作用,主要有:①监视用户和系统的运行状况,查找非法用户和合法用户的越权操作;②检测系统配置的正确性和安全漏洞,并提示管理员修补漏洞;③对用户的非正常活动进行统计分析,发现入侵行为的规律;④检查系统程序和数据的一致性与正确性;⑤能够实时对检测到的入侵行为进行反应。同时还能够进行操作系统的跟踪管理。

虽然,入侵检测系统的作用很大,但并不能完全防止计算机病毒的攻击,我们必须提高警惕,充分发挥主观能动性。也许只有这样计算机入侵检测系统才能更好发挥作用,我们才能更好防止日益变化和复杂的计算机病毒的攻击。

六、结语

随着计算机网络技术的不断发展,在计算机给人类经济、文化、军事和社会活动带来更多便利的同时,也带来了相当巨大的安全挑战。现代信息网络面临着各种各样的安全威胁,有来自网络外面的攻击,比如网络黑客、计算机病毒等。因此合理有效的计算机病毒入侵检测技术是防治计算机病毒最有效,最经济省力,也是最应该值得重视的问题。研究计算机病毒入侵检测技术有利于我们更好地防止计算机病毒的攻击,有利于我们更好地维护计算机网络世界的安全,使得计算机网络真正发挥其积极的作用,促进人类经济、文化、军事和社会活动的健康发展。

参考文献:

[1]卓新建,郑康锋,辛阳.计算机病毒原理与防治,北京邮电大学出版社.2007,8

[2]郝文化.防黑反毒技术指南.机械工业出版社,2004,1

[3]张仁斌,李钢,侯整风.计算机病毒与反病毒技术.清华大学出版社,2006,6

入侵检测技术研究 篇3

⑴按照数据来源的不同, 可以将入侵检测系统分为3类:1) 基于网络:系统获取的数据来源是网络传输的数据包, 保护的目标是网络的运行。2) 基于主机:系统获取数据的依据是系统运行所在的主机, 保护的目标也是系统运行所在的主机。3) 混合型:毋庸置疑, 混合型就是即基于主机又基于网络, 因此混合型一般也是分布式的。

⑵根据数据分析方法 (也就是检测方法) 的不同, 可以将入侵检测系统分为2类:1) 异常入侵检测:异常检测是根据系统或用户的非正常行为和使用计算机资源的非正常情况来检测入侵行为。异常检测需要建立正常用户行为模式库, 然后通过被检测系统或用户的实际行为与正常用户行为模式库之间的比较和匹配来检测入侵, 如果不匹配则说明该行为属于异常行为。2) 误用入侵检测:误用检测是收集非正常操作的行为特征, 建立相关的特征库, 主要是通过某种预先定义入侵行为, 然后监视系统的运行, 并从中找出符合预先定义规则的入侵行为, 进而发现相同的攻击。3) 误用检测与异常检测的比较:异常检测系统试图发现一些未知的入侵行为, 而误用检测系统则是标识一些已知的入侵行为。异常检测指根据使用者的行为或资源使用状况判断是否入侵, 而不依赖于具体行为是否出现来检测;而误用检测系统则大多是通过对一些具体的行为的判断和推理, 从而检测出入侵。异常检测的主要缺陷在于误检率很高, 尤其在用户数目众多或工作行为经常改变的环境中;而误用检测系统由于依据具体特征库进行判断, 准确度要好很多。异常检测对具体系统的依赖性相对比较小;而误用检测系统对具体的系统依赖性太强, 移植性不好。

⑶按照数据分析发生的时间不同, 可以分为:1) 脱机分析:就是在行为发生后, 对产生的数据进行分析, 而不是在行为发生的同事进行分析。如对日志的审核、对系统文件的完整性检查等都属于这种。一般而言, 脱机分析也会间隔很长时间, 所谓的脱机只是与联机相对而言的。2) 联机分析:就是在数据产生或者发生改变的同时对其进行检查, 以发现攻击行为。这种方式一般用对网络数据的实时分析, 对系统资源要求比较高。

⑷按照系统各个模块运行的分布式不同, 可以分为:1) 集中式:系统的各个模块包括数据的收集与分析以及响应模块都集中在一台主机上运行, 这种方式适用于网络环境比较简单的情况。2) 分布式:系统的各个模块分布在网络中不同的计算机、设备上, 一般来说分布性主要体现在数据手机模块上, 例如有些系统引入的传感器, 如果网络环境比较复杂、数据量比较大, 那么数据分析模块也会分布, 一般是按照层次性的原则进行组织, 例如AAFID的结构。分布式是目前入侵检测乃至整个网络安全领域的热点之一。到目前为止, 还没有严格意义上的分布式入侵检测的商业化产品, 但研究人员已经提出并完成了多个原型系统。通常采用的方法中, 一种是对现有的IDS进行规模上的扩展, 另一种则通过IDS之间的信息共享来实现。具体的处理方法上也分为两种:分布式信息收集、集中式处理;分布式信息收集、分布式处理。

2 基于主机与网络的对比分析

⑴网络入侵检测优点:1) 网络通信检测能力:NIDS能够检测哪些来自网络的攻击、它能够检测到超过授权的非法访问。2) 对正常业务影响少。3) 部署风险小。4) 定制设备, 安装简单。

⑵网络入侵检测弱点:1) 共享网段的局限:NIDS只检查它直接连接网段的通信、NIDS不能监测在不同网段的网络包、交换以太网环境中就会出现它的监测范围的局限、多传感器系统会使部署成本增加。2) 性能局限:NIDS为了性能目标通常采用特征检测的方法, 它可以高效地检测出普通的一些攻击, 实现一些复杂的需要大量计算与分析时间的攻击检测时, 对硬件处理能力要求较高。3) 中央分析与大数据流量的矛盾:NIDS可能会将大量的数据传回分析系统中, 会产生大量的分析数据流量。

⑶主机入侵检测优点:1) 入侵行为分析能力:HIDS对分析“可能的攻击行为”非常有用、HIDS比NIDS能够提供更详尽的相关信息。2) 误报率低。3) 复杂性小。4) 网络通信要求低。5) 部署风险:HIDS在不适用诸如“停止服务”、“注销用户”等响应方法时风险较少。

⑷主机入侵检测弱点:1) 响保护目标:HIDS安装在需要保护的设备上可能会降低应用系统的效率带来一些额外的安全问题。2) 服务器依赖性。3) 全面部署代价与主机盲点。4) 工作量随主机数目线性增加:HIDS主机入侵检测系统除了监测自身的主机以外根本不检测网络上的情况, 对入侵行为的分析的工作量将随着主机数目增加而增加。

总地来看, 单纯地使用基于主机的入侵检测或基于网络的入侵检测, 都会造成主动防御体系的不全面。但是由于它们具有互补性, 所以将两种产品结合起来, 无缝地部署在网络内, 就会构架成综合了两者优势的主动防御体系, 既可以发现网段中的攻击信息, 又可以从系统日志中发现异常情况。这种系统一般为分布式, 有多个部件组成。

参考文献

[1]张超, 霍红卫, 钱秀斌.入侵检测系统概述[J].计算机工程与应用.2004.[1]张超, 霍红卫, 钱秀斌.入侵检测系统概述[J].计算机工程与应用.2004.

[2]孔芳, 徐汀荣, 周丽琴.入侵检测技术的分析研究[J].计算机与现代化.2003.[2]孔芳, 徐汀荣, 周丽琴.入侵检测技术的分析研究[J].计算机与现代化.2003.

[3]王超, 李群.入侵检测系统及实例剖析[M].清华大学出版社.2002.[3]王超, 李群.入侵检测系统及实例剖析[M].清华大学出版社.2002.

[4]蒋建春, 马恒太, 文伟平.入侵检测技术研究综述[M].中国科学院.2004.[4]蒋建春, 马恒太, 文伟平.入侵检测技术研究综述[M].中国科学院.2004.

入侵技术 篇4

关键词：入侵检测；网络安全；监测策略

中图分类号：TP393文献标识码：A文章编号：1009-3044(2007)16-31006-02

1 引言

随着人类对计算机和互联网需求的日益增长，网络安全逐渐成为需要解决的关键问题。对于网络来说，入侵的来源和技术是多种多样的，例如：攻击者可能窃听网络上的信息，窃取用户的口令、数据库的信息，还可能篡改数据库的内容，伪造用户的身份，否认自己的签名等，这就使得网络安全问题变得极其严峻。单纯的防火墙策略已经无法满足对安全高度敏感的部门的需要，网络的防卫必须采用一种纵深的、多样的手段。在这种环境下，入侵检测系统开始在各种不同的环境中发挥关键作用。IDS入侵检测系统能够帮助网络系统快速发现攻击的发生，它扩展了系统管理员的安全管理能力包括安全审计、监视、进攻识别和响应，提高了信息安全基础结构的完整性。

2 入侵检测系统介绍

入侵检测（Intrusion Detection,ID）,顾名思义，是对入侵行为的发觉。它通过对计算机系统或计算机网络中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件和硬件的组合便是入侵检测系统（Intrusion Detection System，IDS）。在本质上，入侵检测系统是一个典型的“窥探设备”。它不跨接多个物理网段，无须转发任何流量，而只需在网络上被动的、无声息的收集它所关心的报文即可。

2.1IDS功能与模型

一个合格的入侵检测系统能大大简化安全管理员的工作，保证网络安全地运行。具体讲，入侵检测的功能有如下几点：

(1)监视、分析用户及系统活动；

(2)审计系统构造和弱点；

(3)识别、反映已知进攻的活动模式，向相关人士报警；

(4)统计分析异常行为模式；评估重要系统和数据文件的完整性；

(5)审计、跟踪管理操作系统，识别用户违反安全策略的行为。

入侵检测一般分为三个步骤：信息收集、数据分析、响应。

入侵检测的目的：

(1)识别入侵者；

(2)识别入侵行为；

(3)检测和监视以实施的入侵行为；

(4)为对抗入侵提供信息，阻止入侵的发生和事态的扩大。

最早的入侵检测模型有Dorothy denning在1987年提出。该模型的检测方法就是建立用户正常行为的描述模型，并以此同当前用户活动的审计记录进行比较，如果有较大偏差，则表示有异常活动发生。这是一种基于统计的检测方法。随着技术的发展，后来人们又提出了基于规则的检测方法。结合这两种方法的优点，人们设计出很多入侵检测的模型。通用入侵检测构架（Common Intrusion Detection Framework简称CIDF）组织，试图将现有的入侵检测系统标准化，CIDF阐述了一个入侵检测系统的通用模型。如下图。

它将一个入侵检测系统分为以下四个组件：

(1)事件产生器(Event Generators)

(2)事件分析器(Event analyzers)

(3)响应单元(Response units)

(4)事件数据库(Event databases)

它将需要分析的数据通称为事件，事件可以是基于网络的数据包也可以是基于主机的系统日志中的信息。事件产生器的目的是从整个计算机环境中获得事件，并向系统其它部分提供此事件。事件分析器分析得到的事件并产生分析结果。响应单元则是对分析结果做出反应的功能单元，它可以做出切断连接、修改文件属性等强烈反应。事件数据库是存放各种中间和最终数据的地方的通称，它可以是复杂的数据库也可以是简单的文本文件。

2.2IDS的基本原理

监测策略

入侵检测的第一要素是数据源，数据源可分为四类：来自主机的数据、来自网络的数据、来自应用程序和来自目标机的数据。根据以上四类数据源，就有四种不同的监测策略。

(1)基于主机的监测：收集通常在操作系统层、来自计算机内部的数据。

(2)基于网络的监测：收集网络数据包。

(3)基于应用程序的监测：收集来自运行程序的数据。

(4)基于目标机的监测：产生自己的数据。

IDS类型

2.2.1基于网络的IDS

基于网络的入侵检测系统使用原始的网络数据包作为数据源。基于网络的入侵检测系统

担负着保护整个网段的任务，它的攻击识别模块通常使用4种技术来识别攻击标志。

(1)模式、表达式或字节匹配

(2)频率

(3)次要事件的相关性

(4)统计学意义上的非常规现象检测

2.2.2基于主机的IDS

基于主机的入侵检测系统往往以系统日志、应用程序日志等作为数据源进行分析，保护

的一般是所在的系统。有如下优点：

更好的辨识分析

对特殊主机事件的紧密关注

低廉的成本

2.2.3入侵检测技术分析

2.2.3.1异常检测

异常检测技术，又称为基于行为的入侵检测技术。它识别主机或网络中异常的或不寻常行为。它假设攻击与正常的活动有大的差异。异常检测首先收集一段时间操作活动的历史数据，再建立代表主机、用户或网络连接的正常行为描述，然后收集事件数据并使用一些不同的方法来决定所检测到的事件活动是否偏离了正常行为模式，从而判断是否发生了入侵。异常检测技术的实现主要有以下三种方法：

概率统计：检测器根据用户对象的动作，为每个用户都建立一个用户特征表，通过比较当前特征与已存储定型的以前特征，从而判断是否是异常行为。

神经网络：利用神经网络检测攻击的基本思想是用一系列信息单元训练神经单元，这样在给定一组输入后，就可预测输出。

人工免疫：将免疫学应用于入侵检测需要三个步骤，定义Self、生成检测器和监视入侵。在第一个阶段，定义系统正常模式为Self。在第二阶段，根据前面生成的Self模式生成一定数目的随机模式(抗原)，如果随机生成的模式匹配了任何Self模式，则该随机模式将不能成为检测器。在监视阶段，如果检测器匹配任何新出现的模式，则被匹配的模式反应了系统可能正在被入侵。此时，系统可以采取自动反应措施，也可以报替。入侵检测是用来发现外部攻击与合法用户滥用特权的一种方法。入侵检测是根据用户的历史行为，基于用户的当前操作，完成对入侵的检测。入侵检测系统中用户的当前操作行为主要表现为数据形式，也就是入侵检测系统的数据源。它分为两类:一类是来自操作系统的审计数据;另一类是来自网络中的数据包。入侵检测通过对这些数据进行处理和分析，然后检测是否有入侵行为发生。

2.2.3.2误用检测

误用检测技术，又称基于知识的检测技术。它假定所有入侵行为和手段都能够表达为一种模式或特征。并对已知的入侵行为和手段进行分析，提取检测特征，构建攻击模式或攻击签名，通过系统当前状态与攻击模式或攻击签名的匹配，判断入侵行为。误用检测技术的实现主要有以下几种方法：

专家系统：将有关攻击的知识转化成if-then结构的产生式规则，即将构成攻击所要求的条件转化为if部分，将发现攻击后采取的相应措施转化成then部分。当其中某个或某部分条件满足时，系统就判断为攻击行为发生。专家系统的缺陷：全面性问题和效率问题。

模型推理：指结合攻击脚本推理出攻击行为是否出现。其中有关攻击者行为的知识被描述为：攻击者目的，攻击者到达此目的的可能行为步骤，以及对系统的特殊使用等。根据这些知识建立攻击脚本库，每一个脚本都由一系列攻击行为组成。检测时先将这些攻击脚本的子集看作系统正面临时攻击。然后通过一个称为预测器的程序模块根据当前行为模式产生下一个需要验证的攻击脚本子集，并将它传给决策器。决策器收到信息后，根据这些假设的攻击行为在审计记录中的可能出现方式，将它们翻译成与特定系统匹配的审计记录格式。然后在审计记录中寻找相应来确认或否认这些攻击。

状态转换分析：状态转换分析最早由R.Kemmerer提出，即将状态转换图应用于攻击行为的分析。分析时首先针对每一种攻击方法确定系统的初始状态和被攻击状态，以及导致状态转换的转换条件，即导致系统进入被攻击状态必须执行的操作。然后用状态转换图来表示每一个状态和特征事件，这些事件被集成于模型中。

4 入侵检测系统部署应用

随着当前入侵技术的发展，计算机网络的安全受到越来越严重的威胁。尤其是涉密计算机及其网络。所谓涉密计算机是指用于采集、存储、加工、处理、传输、使用涉及国家秘密和商业秘密信息的电子计算机。涉密计算机的外观、基本硬件结构、常规技术参数等方面与普通计算机没有什么区别，所不同的是，其用于处理信息的软件和传送信息的设备、线路上安装有加密或解密的程序或者部件。

涉密计算机的泄密途径如下：

(1)硬件泄密。即计算机主机、输人输出设备、数据信息储存设备、数据信息传输线路等因电子物理特性导致的泄密。

(2)软件泄密。即计算机软件(包括系统软件、应用软件、接口软件、加密软件等)因程序编制缺陷或运行过程中受干扰导致的泄密。

(3)网络泄密。即涉密计算机在计算机网络上处理、传输信息时因错误操作或加密程序失效或受到非法攻击而导致的泄密。

(4)系统防范体系漏洞。系统防范体系漏洞主要是指计算机系统体系包括信息系统和系统操作平台呈开放状态而未建设防范体系，存在危及整个系统体系的隐患。

因此，涉密计算机网络的安全问题显得尤为重要。在这里简要介绍一种IDS及其应用。

RealSecure是一种混合型的入侵检测系统，提供基于网络和基于主机的实时入侵检测。其控制台运行在Windows2000上。RealSecure的传感器是自治的，能被许多控制台控制。其部署图如下所示。各部分的功能如下：

(1)ReaISecure控制台：对多台网络传感器和服务器代理进行管理；对被管理传感器进行远程的配置和控制；各个监控器发现的安全事件实时地报告控制台。

(2)NetworkSensor（网络引擎）：对网络进行监听并自动对可疑行为进行响应，最大程度保护网络安全；运行在特定的主机上，监听并解析所有的网络信息，及时发现具有攻击特征的信息包；检测本地网段，查找每一数据包内隐藏的恶意入侵，对发现的入侵做出及时的响应。当检测到攻击时，网络引擎能即刻做出响应，进行告警/通知（向控制台告警、向安全管理员发E-mail、SNMP trap、查看实时会话和通报其他控制台），记录现场（记录事件日志及整个会话），采取安全响应行动（终止入侵连接、调整网络设备配置，如防火墙、执行特定的用户响应程序）。

(3)ServerSensor（服务器代理，安装在各个服务器上）：对主机的核心级事件、系统日志以及网络活动实现实时入侵检测；具有包拦截、智能报警以及阻塞通信的能力，能够在入侵到达操作系统或应用之前主动阻止入侵；自动重新配置网络引擎和选择防火墙阻止黑客的进一步攻击。

5 入侵检测技术的发展

目前来看，入侵检测技术大致朝下述三个方向发展：

(1)分布式入侵检测，针对分布式网络攻击的检测方法，其中的关键技术是检测信 息的协同处理与入侵攻击的全局信息的提取。

(2)智能化入侵检测，使用智能化的方法与手段来进行入侵检测。所谓的智能化方法，现阶段常用的有神经网络、遗传算法、模糊技术、免疫原理等方法，常用于入侵特征的辨识与泛化。

(3)全面的安全防御方案，使用安全工程风险管理的思想与方法来处理网络安全问题，将网络安全作为一个整体工程来处理，从管理、网络结构、加密通道、防火墙、病毒防护、入侵检测多方位全面对所关注的网络作全面的评估，然后提出可行的全面解决方案。

6 结束语

在目前的计算机安全状态下，基于防火墙、加密技术的安全防护固然重要，但是，要根

本改善系统的安全现状，必须要发展入侵检测技术，它已经成为计算机安全策略中的核心技术之一。IDS作为一种主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护。随着网络通信技术安全性的要求越来越高，入侵检测技术必将受到人们的高度重视。

参考文献：

[1]李涛.网络安全概论.电子工业出版社,2004.

[2]薛静锋.等.入侵检测技术.机械工业出版社,2004.

[3]Rebecca Gurley Bace.入侵检测.北京:人民邮电出版社,2001.

[4]Kumar S. Classification and detection of computer intrusions[D].West Lafayette: Department of Computer Science, Purdue University, Coast TR 95-08,1995.

[5]罗守山.入侵检测.北京邮电大学出版社.

网络入侵容忍技术探析 篇5

1.1 信息保护技术

信息保护技术的关键思想是“防”, 主要采用加密、认证、访问控制等办法来保证信息的安全。该技术的前提是假设能够明确地划分网络边界并能够在边界上阻止非法入侵。比如:通过口令阻止非法用户的访问;通过存取控制和权限管理让某些人看不到敏感信息;通过加密使别人无法读懂信息的内容等。由此可见, 信息保护技术主要就是入侵阻止。该技术解决了很多安全问题。但是, 并不是在所有情况下都能够清楚地划分并控制边界, 保护措施也并不是在所有情况下都有效, 再加上信息系统本身所固有的缺陷, 使得信息保护难上加难。于是, 出现了第二代信息安全技术———信息保障技术。

1.2 信息保障技术

信息保障技术的关键思想是“检”, 采用的主要技术有防火墙、IDS、边界控制、VPN、PKI等。信息保障技术的基本假设是:如果挡不住敌人, 但至少能发现敌人和敌人的破坏。比如, 能够发现系统死机, 发现有人扫描网络, 发现网络流量异常等。通过发现, 可以采取一定的响应措施。信息保障技术是以检测技术为核心, 以恢复技术为后盾, 融合了保护、检测、响应、恢复四大技术。但是, 检测系统要发现全部的攻击是不可能的, 完全准确地区分正确数据和攻击数据也是不可能的。所以, 信息保障系统并不能完全保障系统的安全。在努力改进检测技术的同时, 也在努力寻找新的技术途径。

1.3 信息可生存性技术

可生存性的主要可以总结为“容”, 是一种增强免疫能力的技术。所谓生存技术就是系统在攻击、错误和突发事故的情况下、仍然可以及时地完成使命、为用户提供服务的能力。可生存技术是对传统的安全技术的突破, 融合了传统网络安全技术中的容灾、容侵、可靠性设计等技术。它以网络的实际情况为依据, 假设网络中的任何一个节点都可能因为攻击、故障和意外事故等而失效。可生存性研究已经成为数据库安全研究的新方向, 入侵容忍被称为生存技术中的核心技术。

2 入侵容忍的概念

入侵容忍技术就是认同安全问题的不可避免性。针对安全问题, 不再将消除或者防堵作为第一重点, 而把目光投射到如何在攻击之下系统仍能保证不间断地正常运行这一点。譬如一个金融系统在遭到网络攻击的情况下, 仍旧保持正常的交易, 不致因系统的崩溃造成巨大的损失。这就是入侵容忍, 也就是说, 在存在攻击、错误或突发事件的情况下, 系统仍然可以及时地完成它的使命。入侵容忍技术融合了数据容错、免疫理论、门限密码学、数据恢复技术、入侵检测等等相关理论和技术, 在容侵数据库、容侵CA18等方面有很多的研究。自然界存在各种病毒和细菌, 由于人体具有一定的免疫性, 抵制和瓦解了大约90%以上的进攻和入侵。换句话讲, 由于人体的免疫性可以容忍大约90%以上的入侵, 人体就是一个很好的容侵系统。参考生物的免疫特性, 入侵容忍技术作为信息安全的一种全新思想, 成为了国内外网络安全领域研究的新热点。

3 入侵容忍技术研究现状

近几年来, 国外学术界对入侵容忍的相关问题展开了大量研究, 并取得了许多丰富的成果。相关的研究主要包括:

a.基于门限密码/秘密共享的系统入侵容忍防护, 特别是对特定服务和数据。

b.使用监控、接受测试以及冗余等容错手段, 实现基于COTS构件的入侵容忍应用系统。

c.入侵容忍系统, 特别是基于门限密码/秘密共享的入侵容忍系统实现和运用中的一些细节问题研究。如Internet等异步结构模型中容忍方法的实现问题。

d.综合运用各种容错策略和系统可重配置机制, 结合安全通信以及基于入侵检测、入侵遏制和错误处理等手段和机制, 构建“纵深防御”的容忍入侵安全防线。

与此同时, 国内许多信息安全领域的专家学者也都认识到容忍入侵技术对信息安全技术发展的重要性。中科院信息安全国家重点实验室、国防科技大学、西安电子科技大学、浙江大学等有关的课题组近几年都开始了这方面的思考和研究, 并取得了丰富的成果。

4 入侵容忍技术的功能和特点

无数的网络安全事件告诉人们, 网络的安全仅依靠“堵”和“防”是不够的。入侵容忍技术就是基于这一思想, 要求系统中任何单点的失效或故障不至于影响整个系统的运转。由于任何系统都可能被攻击者占领, 因此, 入侵容忍系统不相信任何单点设备。也就是说, 任何单点发生故障不影响整个系统的运转。入侵容忍可通过对权力分散及对技术上单点失效的预防, 保证任何少数设备、任何局部网络、任何单一场点都不可能做出泄密或破坏系统的事情, 任何设备、任何个人都不可能拥有特权。因而, 入侵容忍技术同样能够有效地防止内部犯罪事件发生。入侵容忍的宗旨就是如何在入侵发生的情况下, 使系统仍能为合法用户提供预期的有效服务。因此, 入侵容忍系统必须具有以下功能:

(1) 自我诊断能力。入侵容忍仍旧依赖检测或评估系统, 称为入侵容忍的触发器, 通过检测到局部系统的失效或估计到系统被攻击, 然后调整系统结构, 重新分配资源, 从而达到继续服务的目的。

(2) 故障隔离能力。如果诊断部分认为某种操作可能会严重影响后续的系统运作, 隔离机制会将可疑的操作隔离到特殊区域。针对被隔离的数据和操作, 当判决系统认为确实是攻击时, 就将被隔离的操作删除掉。反之, 就将这些隔离的内容融合到正确的系统中去。

(3) 还原重构能力。具有容侵能力的系统必须修正所有被攻击影响到的数据, 而又不能采用简单的回退恢复。系统必须保证未被感染的部分不被恢复, 仅仅还原被感染的文件, 让用户的大部分工作得以保留。

5 容忍入侵触发机制

5.1 入侵检测触发机制

入侵检测是安全领域中的一个经典的框架, 它包含了各种尝试去检测目前己有的或者可能的入侵。入侵检测可以实时也可以离线执行。因此, 入侵监测系统是一个监督系统, 它跟踪并记录系统活动, 实时地检测以下的情况攻击通过端口扫描检测、弱点扫描和入侵通过相关引擎检测。它的发展己经很成熟, 在容忍入侵系统中很有必要借鉴其成功的部分。

但是, 由于入侵检测系统本身的不足, 它不可能检测到所有的攻击, 因此很有必要研究新的容忍入侵触发机制。而下面将要介绍的表决机制就是一个非常有效的触发机制。

5.2 表机制触发机制

冗余组件是容忍入侵系统中十分关键的组件。在容忍入侵系统中具有冗余组件的结果是:在组件出现错误的情形下, 可以判定出没有错误的组件。表决机制用于解决冗余响应中结果不一致的问题, 并在系统中非错误的组件之上达成一个多数同意的结果。表决机制还有两个补充的目标:屏蔽入侵, 然后对它进行容忍并提供数据的完整性。这个过程包括了冗余响应的比较和在结果中发现正确响应所达成的一致性。表决机制是容忍入侵系统中一个非常重要的触发器机制, 该机制和冗余, 多样性技术的联合使用可以很好的容忍Byzantine错误龙。但是, 如果在系统设计中选择了表决机制, 那么就需要在性能和机密性之间作一个折衷。这是因为为了确保表决结果的正确性, 需要对所有的服务器响应都进行比较, 这很可能会破坏系统的机密性。这种方法的另外一种限制是它要求系统中的关键部件具有一定数目的冗余, 因此会增加系统代价。

责任编辑:宋义

摘要：入侵容忍是网络安全领域的一种新策略, 它使系统在遭受攻击时, 仍然保证连续地提供服务, 即使系统的某些部分已遭受了破坏, 也能提供降级服务。着重介绍了入侵容忍技术的起源、概念, 讨论了其功能和特点, 和其使的触发机制用。

入侵检测技术概述 篇6

入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。违反安全策略的行为有:入侵——非法用户的违规行为;滥用——用户的违规行为。

2 入侵检测的概念

入侵检测(Intrusion Detection,ID),顾名思义,是对入侵行为的检测。它通过收集和分析计算机网络或计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统(Intrusion Detection System IDS)。

3 入侵检测系统的分类

入侵检测系统(IDS)依照信息来源收集方式的不同,可以分为基于主机(HostBased IDS)的和基于网络(Network-Based IDS);另外按其分析方法可分为异常检测(Anomaly Detection,AD)和误用检测(Misuse Detection,MD）。

3.1 主机型入侵检测系统

基于主机的入侵检测系统是早期的入侵检测系统结构,其检测的目标主要是主机系统和系统本地用户,检测原理是根据主机的审计数据和系统日志发现可疑事件。检测系统可以运行在被检测的主机或单独的主机上。

其优点是:确定攻击是否成功;监测特定主机系统活动;较适合有加密和网络交换器的环境;不需要另外添加设备。

其缺点:可能因操作系统平台提供的日志信息格式不同,必须针对不同的操作系统安装不同类型的入侵检测系统。监控分析时可能会曾加该台主机的系统资源负荷,影响被监测主机的效能,甚至成为入侵者利用的工具而使被监测的主机负荷过重而死机。

3.2 网络型入侵检测系统

网络入侵检测是通过分析主机之间网线上传输的信息来工作的。它通常利用一个工作在“混杂模式”(Promiscuous Mode)下的网卡来实时监视并分析通过网络的数据流。它的分析模块通常使用模式匹配、统计分析等技术来识别攻击行为。

其优点是:成本低;可以检测到主机型检测系统检测不到的攻击行为;入侵者消除入侵证据困难;不影响操作系统的性能;架构网络型入侵检测系统简单。

其缺点是:如果网络流速高时可能会丢失许多封包,容易让入侵者有机可乘;无法检测加密的封包;对于直接对主机的入侵无法检测出。

3.3 混和入侵检测系统

主机型和网络型入侵检测系统都有各自的优缺点,混和入侵检测系统是基于主机和基于网络的入侵检测系统的结合,许多机构的网络安全解决方案都同时采用了基于主机和基于网络的两种入侵检测系统,因为这两种系统在很大程度上互补,两种技术结合能大幅度提升网络和系统面对攻击和错误使用时的抵抗力,使安全实施更加有效。

3.4 误用检测

误用检测(Misuse detection)又称特征检测(Signature-based detection),这一检测假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来,但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。

设定一些入侵活动的特征(Signature),通过现在的活动是否与这些特征匹配来检测。常用的检测技术为:

(1)专家系统:采用一系列的检测规则分析入侵的特征行为。

(2)基于模型的入侵检测方法。基于模型的入侵检测方法可以仅监测一些主要的审计事件。当这些事件发生后,再开始记录详细的审计,从而减少审计事件处理负荷。这种检测方法的另外一个特点是可以检测组合攻击(coordinate attack)和多层攻击(multi-stage attack)。

(3)简单模式匹配(Pattern Matching):基于模式匹配的入侵检测方法将已知的入侵特征编码成为与审计记录相符合的模式。当新的审计事件产生时,这一方法将寻找与它相匹配的已知入侵模式。

(4)软计算方法:软计算方法包含了神经网络、遗传算法与模糊技术。

3.5 异常检测

异常检测假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”,将当前主体的活动状况与“活动简档”相比较,当违反其统计规律时,认为该活动可能是“入侵”行为。

4 入侵检测技术的发展方向

无论从规模与方法上入侵技术近年来都发生了变化。入侵的手段与技术也有了“进步与发展”。入侵技术的发展与演化主要反映在下列几个方面:

(1)入侵或攻击的综合化与复杂化。入侵者在实施入侵或攻击时往往同时采取多种入侵的手段,以保证入侵的成功几率,并可在攻击实施的初期掩盖攻击或入侵的真实目的。

(2)入侵或攻击技术的分布化。以往常用的入侵与攻击行为往往由单机执行。由于防范技术的发展使得此类行为不能奏效。分布式攻击(DDoS)是近期最常用的攻击手段,它能在很短时间内造成被攻击主机的瘫痪,且此类分布式攻击的单机信息模式与正常通信无差异,往往在攻击发动的初期不易被确认。

(3)攻击对象的转移。入侵与攻击常以网络为侵犯的主体,但近期来的攻击行为却发生了策略性的改变,由攻击网络改为攻击网络的防护系统。现已有专门针对IDS作攻击的报道,攻击者详细地分析了IDS的审计方式、特征描述、通信模式找出I D S的弱点,然后加以攻击。

5 主要的IDS公司和及其产品

目前国内外已有很多公司开发入侵检测系统,有的作为独立的产品,有的作为防火墙的一部分,其结构和功能也不尽相同。非商业化的产品如Snort这一类的自由软件;优秀的商业产品有如:I S S公司的RealSecure是分布式的入侵检测系统,Cisco公司的NetRanger、NAI公司的CyberCop是基于网络的入侵检测系统,Trusted Information System公司的Stalkers是基于主机的检测系统。下面主要介绍一下ISS公司的RealSecure和Cisco公司的Net Ranger。

5.1 RealSecure

Real Secure是目前使用范围最广的商用入侵检测系统,它分为两部分,引擎和控制台。引擎也就是我们所说的检测器。ISS提供的引擎有两个版本,Windows NT和UNIX,控制台则是运行在Windows NT系统上。Real Secure的默认设置就能够检测到大量的有用信息,报告也相当不错,是目前最直观、界面最友好的入侵检测系统。

5.2 NetRanger

Net Ranger包括检测器和分析工作站,这些组件之间通过特殊的协议进行通信,它的检测器被设计成可以检测Cisco路由器的系统纪录和数据包,这是所有商业版本中能力最强的一种,而且还支持数据包的装配功能,这样即使攻击在不同的分段中也能检测出来。

6 结束语

入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。入侵检测产品仍具有较大的发展空间,从技术途径来讲,除了完善常规的、传统的技术(模式识别和完整性检测)外,应重点加强统计分析的相关技术研究。

参考文献

[1]D.E Denning,"An Intrusion Detection Model",IEEE Transaction on Software Engineering,Vol.SE-13,No.2,1987,pp.222-232.

网络入侵智能识别技术研究 篇7

人们常用的保护网络信息安全手段是利用Windows系统自带的防火墙保护手段, 对于网络传输的数据进行数据加密处理, 但这种方法面对如今复杂变化的网络信息, 显然是捉襟见肘的。 目前防火墙主要依托于模式匹配与统计分析技术来检测网络信息, 这种方法具有较大缺点, 即使用一段时间出现故障后需要很多的专业人员进行维护, 且在维护期间不能对网络信息继续检测, 这就很容易让系统出现漏洞, 给黑客入侵制造机会。 因而提出了一种新的识别入侵信息的方法, 并通过从向量机和自组织特征映射神经网络的实际应用中吸取经验, 以便能研制出检测能力更强的智能识别技术。

1 网络入侵的内涵与特征

网络入侵指的是存储在网上的信息系统被破坏或保密的数据被盗取等行为活动的集合[1]。 在20 世纪90 年代, 由于互联网技术刚刚起步, 因此网络环境相对简单, 用户量较少,几乎都是企业用网, 传统入侵技术并不复杂, 且容易防护。而当前的网络环境复杂多变, 涉及到个人隐私、 企业技术信息、 国家机密文件等方方面面的内容, 违法者为了获取这些敏感信息, 可以说是不择手段, 这就导致使用的网络入侵方法呈现多元化特点:(1) 操作简便速度快, 少则几秒, 多则几分钟;(2) 时间不定, 随时攻击侵入网络; (3) 地点不定, 不需要去现场, 直接在网络虚拟世界上发布侵入行为;(4) 不易被发现, 因为入侵技术一般都被混入到正常信息中, 很难被用户察觉;(5) 使用的方法极其复杂多变, 一般用户很难发现它们。

正是因为网络入侵途径的复杂多变, 导致当前网络环境并不如用户心中想象的那么安全。 为了保护网络用户的个人信息等数据, 当前重中之中的任务是快速开发出能够有效保护网络数据安全的主动防御技术。 从当前的形势来看, 目前黑客常用的网络入侵类型有如下几种:(1) 采用发现的网络协议漏洞, 然后反编译出一系列代码, 进行攻击;(2) 通过系统协议栈中的漏洞, 编写代码攻击;(3) 侵入者利用用户网络账号的漏洞进行攻击主机;(4) 通过一些常用的操作过程采取特殊手段攻击, 破坏系统的稳定性;(5) 通过编写逻辑紊乱的代码攻击系统, 使系统紊乱;(6) 通过向正常的机器发送特殊信息, 使机器中毒瘫痪, 无法正常工作。

在这样复杂多变的情况下, 网络入侵智能识别系统应运而生。 在安全系统中, 如果把防火墙比作一道门的话, 那网络入侵智能识别系统就是防火墙之后的第二道安全闸门, 它是防火墙和访问控制机制的合理补充。 其通过收集信息和分析计算机的内部信息情况进行智能识别, 帮助系统应付网络攻击, 通过监视和进攻识别来提高信息安全基础结构的完整性[2]。

2 网络入侵检测系统基本原理

网络安全是健康网络环境的重要环节。 在网络安全系统框架中, 网络入侵检测系统的重要性是不言而喻的, 其检测的目的是为了查看系统中是否有未经系统允许运行的进程以及后台程序, 亦或是对机器的资源恶意使用, 进而可有效保护系统资源的完整、 隐私、 可用等特性, 且一整个保护过程是检测系统自发运行的过程。

如图1 所示, 展示出了完整的网络入侵检测过程。 在此过程中, 系统首先利用粒子群RBF神经网络对网络数据进行安全检测, 检测后再进行数据处理分析, 接着通过PCA的功能特性, 对检测到的这些数据进行降维处理。 通过分析数据,系统把不需要的数据去掉, 避免检测结果的不准确性, 同时也大大地减少了RBF神经网络的输入数据的维数。 因为数据的维数越少, 计算结果越精确, 利用的效率越高, 从而能够优化数据的结构。 粒子群RBF神经网络对非线性网络数据具有非常好的处理能力和较高的处理效率, 通过网络数据的输入与输出间的某些关联, 能够很准确地识别出入侵者通过什么方式入侵到系统中以及入侵方式的类别。

3 网络入侵智能识别技术

智能识别技术的最高级别是人工智能识别, 但是在传统观念中, 意图识别的Agent扮演eyhole recognition和intended recognition两种角色, 其中eyhole recognition自身不能感知到自己的行为是否被监控, 而intended recognition则需要Agent帮忙识别。

3.1 基于文法的意图识别

系统可通过前后文章的关联顺序来展现Agent意图, 然后利用下推自动机的自动识别技术来检测出其入侵意图。 但是使用这种识别技术有着一个明显的缺陷, 即需要事先做出一些假设, 但是这些假设在检测时并不实用, 所以这种方式本身具有局限性, 不易推广使用。

在实际的网络信息攻击过程中, 当黑客使用一些攻击代码失败时, 往往会立即返回退出, 然后马上尝试另外的代码去攻击, 但是所使用的这些攻击序列基本上都是不标准的。因此, 在操作之后, CFGPRA中的n值的图像为指数函数的图像, 很容易造成较大的误差结果, 难以准确对其识别。

3.2 警报关联方法

警报关联具体指的是从入侵检测系统(IDS) 报送的警报中, 发现警报之间的逻辑关系的过程。 一般情况是因为入侵检测系统传送的警示较多, 其中存在误报、 漏报的情况, 而且不同的处理技术所处理的结果不全相同, 因此必须要将这些警报内容相关联。 现阶段的警报关联技术相对成熟, 其工作过程是先收集由IDS传送来的警报, 然后再将这些警报进行关联, 其关联过程一般是先聚类, 然后排列优先权, 再关联, 最后模拟攻击网络的场景。

3.3 基于贝叶斯网络的意图识别

近20 年来, 贝叶斯网络是人工智能领域首屈一指的研究成果, 它是上世纪末由Pearl所提出的, 主要通过采用概率推理的方法来解决实际中不确定性问题。

在意图识别技术中, 系统采用单一连接的因果树来刻画攻击策略图, 这样就可以在线性时间里完成概率推理。 因果树的根节点代表了最终的攻击目标, 各个非叶节点代表了其父亲节点的各个子目标, 叶子节点表示了最低级的攻击步骤。每个节点具有两个状态: 1 状态表示为真, o状态表示为假。叶节点为真, 表示检测到了响应的攻击警报, 非叶节点为真,表示攻击目标/ 子目标达到, 各个兄弟之间只有 “ 与” 和“或” 的关系。 攻击知识库由攻击树组成的森林描述, 边表示节点, 代表了攻击事件之间所存在的直接因果关系。 依据贝叶斯网络所提供的有效诊断信息, 系统会在遭受到攻击警报后激起因果树的信念更新, 此时每一次出现的可信度最大节点则证明可能遭受到入侵者的攻击。

4 结语

网络入侵与防治技术探究 篇8

1.1网络安全的重要性

首先, 网络安全的重要性体现在网络的覆盖性使用, 网络覆盖全球范围, 用户数量难以具体统计, 使用网络进行信息沟通和工作信息传递的操作每天都在进行, 如果没有安全的网络环境, 人们的隐私将毫无保留的暴露在大家面前。人们已经习惯于使用网络沟通, 使用网络购物。这些行为都涉及各种隐私信息, 所以网络安全至关重要。其次, 网络安全的重要性体现在网络涉及的领域。网络涉及工业、企业、军事、政府等众多重要领域。在工业生产和企业发展方面, 出现网络入侵危害, 直接造成巨量的经济损失。在政府部门和军事方面出现网络入侵, 会给国家甚至人类带来巨大的灾难。

1.2网络入侵的具体方面 (面临的威胁)

1.2.1漏洞攻击入侵

找到网络中自身存在的漏洞, 非法获取相关权限, 进行攻击造成破坏。例如在操作系统中存在的漏洞, 操作系统本身就存在着后门和漏洞, 这正是网络入侵的最好切入口, 要防止入侵, 基本的习惯是选用安全性高的操作系统, 不断的更新漏洞补丁等操作。而且在操作系统中, 人们为了使用方便, 会安装很多的应用软件, 这些应用软件也是网络入侵的常用对象。针对使用需要, 尽量减少不必要的应用软件安装, 是个不错的选择。再比如, 从网络协议方面来说, 现在流行的网络协议是网络传输控制协议和网际协议簇, 这些协议相对注重使用效率, 配置内容纷杂, 所以在配置中容易出现漏洞, 安全策略不足, 容易被攻击。

1.2.2病毒的攻击与入侵

为了成功的侵入网络, 病毒是网络入侵中常用的工具。现在来说, 病毒的概念已经不仅仅是以往的传统概念, 现在的病毒往往是木马、病毒、恶意代码的综合体。会被合成在一起, 起到寻找漏洞, 蒙混过关, 复制衍生, 乃至最后攻击的过程。他们常常被潜入在一些软件工具。例如灰鸽子、震荡波、熊猫烧香等就是一些经典病毒的代表。要防治病毒攻击, 可采用的措施有很多, 这里简单介绍:可以使用杀毒软件, 当中毒的时候, 及时查杀病毒。可以配置防火墙, 保证内网安全, 防止病毒的进入。可以使用加密技术, 提高应用系统和身份鉴别的安全性。这些都是一些行之有效的方法。

1.2.3黑客的具体攻击

前文提到的漏洞的攻击和病毒攻击, 也可以是黑客的具体攻击的表现。那么这里为什么单独提出黑客攻击呢?因为漏洞和病毒都是攻击的手段和工具。黑客才是攻击的主体。可能有些人对黑客概念并不清楚。黑客早期有骇客的称呼, 并不是以攻击网络, 产生破坏为目的。而是为了验证自己对网络技术的了解, 和一些猜想, 并不产生具体的破坏行为。常见的是一些恶作剧操作。而后期, 一些人为了获取利益, 利用网络工具进行攻击与破坏, 我们习惯称之为黑客。黑客的具体攻击是指有明确的攻击对象, 然后针对攻击对象进行分析, 采用不同的工具与技术进行针对性攻击操作的行为。这种攻击因为针对性强, 破坏目的明显, 所以最难预防, 容易产生较大的破坏性。要想预防, 要网络管理人员平时注意网络安全, 同时及时监测网络状态, 及时发现攻击行为, 及时处理。包括对信息的备份, 采用反向检测技术, 在危急情况下可以暂时采取断网方式等。

2网络防治技术简介

2.1了解常用防御工具

远程控制型木马以及输出shell型木马, 大都会在系统中监听某个端口, 接收从控制端发来的命令并执行, 通过检查系统上开启的一些“奇怪”的端口, 从而发现木马的踪迹。常用的软件有Fport和Aport, 它们可列出本地计算机所开的端口及开启端口的程序。如果还想了解“黑客”IP、甚至账号、密码和邮箱, 我们可安装嗅探器 (sniffer) , 或网络检测工具Tcpview.exe, 我们可直接查看并中断任一通信进程。也可在CMD里输入:sniffer-pass-log mail.txt。就是截取所有密码放置在Mail.txt。我们就可直接查看这个文件, 得到较为详细的情报。

2.2使用入侵检测技术

以其对网络系统的实时监测和主动、快速响应的特征, 逐渐发展成为保障网络系统安全的关键部件。它通过监视受保护系统的状态和活动, 采用误用检测或异常检测方式, 发现非授权的或恶意的系统及网络行为, 为防范入侵行为提供有效的手段。在体系结构上, 入侵检测由事件提取、入侵分析、入侵响应和远程管理四个主要部分组成。可执行的检测任务有:监视、分析用户及系统活动, 系统构造和弱点的审计, 识别分析知名攻击的行为特征并告警, 异常行为特征的统计分析, 评估重要系统和数据文件的完整性, 以及操作系统的审计跟踪管理, 并识别用户违反安全策略的行为等。

2.3应用防火墙技术

防火墙技术的应用不是简单的安装, 那只是敷衍了事。要让防火墙产品的防御成为体系。可以选用堡垒主机模式或者子网防火墙防护模式。在具体设计中可以在宿主主机中安装防火墙, 可以在路由器上安装防火墙, 可以在内外网根据不同的策略安装多个防火墙产品。真正的保证内网信息安全过滤。

参考文献

[1]杨义先, 钮心忻.入侵检测理论与技术[M].北京:高等教育出版社, 2006.

[2]唐正军, 李建华.入侵检测技术[M].北京:清华大学出版社, 2004.

[3]张世永.网络安全原理与应用[M].北京:科学出版社, 2003.

刍议计算机数据库入侵检测技术 篇9

【关键词】计算机数据 入侵检测技术 功能 研究

在信息化发展的当代，网络技术在当今时代的发展中具有举足轻重的作用。计算机数据基本信息被应用的次数越加频繁。由此可见，计算机在整个运行过程中难免出现各种各样的安全性问题。其中最关键的是计算机数据库入侵问题最为突出，严重阻碍了社会经济发展的脚步，同时还造成一定的损害。显而易见，解决计算机数据库入侵检测技术的问题势在必行，同时还必须加强对计算机数据库入侵保护机制的重视与管理，以便于更加高效地的确保计算机数据库的安全性等。

一、计算机数据库入侵检测技术基本概念

计算机数据库入侵检测技术主要是指将多种设置的程式与相关资料的认证等在计算机网络数据库内进行标示，一旦出现异常状况，计算机数据库入侵检测系统便会立刻产生与之相符的反应。一般情况下，计算机数据库入侵技术会在计算机数据库运行过程中相对比较重要的部分设置关卡，为病毒入侵时进行数据分析提供便利。一定程度上，不仅有利于相关工作人员对此做出及时解决，使得计算机数据库保证正常运行的状态，同时还有利于保证计算机数据库的安全性等[1]。

二、计算机数据库入侵检测技术基本分类

（一）计算机数据库输入的数据出处

计算机数据库入侵检测一般情况下可以分为主机数据输入和网络数据输入两大类。1.主机数据输入主要是在主机审核记录当中所获取得来的，也就是说在日常文件之中进行数据获取。计算机数据库入侵检测技术的模块起辅助作用的将主上的各种信息，例如，计算机系统文件的属性以及运行状态等，并将此作为基底且进行系统运行等进行检测技术。2.网络数据输入主要是指运用初始网络的文件为最原始数据的，同时还设置了网卡模式，并通过网络的现时接收以及数据包的流动数据的接收进行综合分析，由此来检测整个过程中是否有入侵行为的出现，通常情况下，是在随机的环境下进行用现时检测，对其整个网络过程中的不同种类的攻击方式进行分析，以便于在有数据入侵行为时，能够及时作出与之相应的反应或者解决对策，以此来确保网络数据的安全性等。由此可见，此种网路检测的技术一般被应用于大型的网络体系以及具有大量的数据处理等等[2]。

（二）计算机数据库分析数据的主要方式

计算机数据库入侵检测通常情况下被分为误用入侵检测技术与异常入侵检测技术两大种类。

1.误用入侵检测技术主要是指计算机网络与数据库出现被破坏的不良行为时，对其作出具有“识别系统”功能的主要保护模式。误用入侵检测技术所采用的主要攻击方式是探析，经不同类的形式进行集合组一个相对比较完整的数据库。与此同时，在进行攻击是实例讲解时侧重于其特性，并对当时的数据状况进行详细分析，从而进行评估等。随之将其中与之相适应的形式找出，并在满足条件的情况下，无用入侵系统便会自动发出警报声音，从而作出相应的解决对策等。

2.异常入侵检测技术主要是指把之前的系统正常运行时的数据与现有的运行系统的数据和模式等进行详细比较，同时将所得数据与相关规定的正常数据进行对比，观察其是否存在危害等。除此之外，计算机数据库入侵检测技术的系统还能够较好的对没有被识别的对象进行检测，对计算机系统的一切入侵行为进行监督[3]。

三、计算机数据库入侵检测技术中存在的几点问题

（一）误报、漏报问题

计算机数据库入侵检测系统的核心主要是针对指定的数据库进行保护，为了避免发生数据的泄露或是遗失，计算机数据库入侵检测系统对其设定阶段十分严格，一定程度上，造成很多并非病毒的软件被检测出来，导致其检测技术系统出现误报、漏报等几率明显增大。从而直接对计算机数据库入侵检测工作带来阻碍，导致其工作的效率大大下降。同时对其服务质量也会产生一定的影响。

（二）入侵检测的效率相对较低

针对计算机来讲，检测过程中任何一次检测获得的数据记录均是一项十分复杂的工程，不仅需要消耗大量的时间，同时还需要进行大量资金的投入。由此可见，检测之后对数据汇报工作中一旦出现误报、漏报等现象所造成的后果和损失将是无法估计的。目前，很多部门为了解决这个难题，聘请专业的技术专家对其系统进行编码与外来侵入病毒设定等。一定程度上，大大降低和减少出现误报、漏报的几率和损失等。与此同时，其仍旧存在一定的不足之处，例如，其检测入侵技术中审定系统程序时必须应用到解释规则集，较高的增加成本投资。

（三）计算机入侵检测技术防护性能相对较差

据对计算机入侵检测技术的调查显示，其入侵检测技术相对较落后，并未达到发达程度，给相关技术工作人员带去一定的阻碍，致使其严重缺乏专业的技术能力，以至于在检测过程中针对突发状况无法进行及时分析和解决，也可以说是缺乏相应的应变能力等。在这样的情况下，往往容易造成无法估量的严重后果等 [4]。

四、结束语

综上所述，计算机数据库入侵检测技术不仅能够较好的预防病毒的侵害，同时还能够自动击溃潜在本身内部的病毒软件，并进行全盘查杀，以确保计算机数据库的安全性。

参考文献：

[1]葛立；牛君兰；郑瑞瑞；赵晓晓；任长月；许静；入侵检测技术在校园数据安全中的应用[J]，《内蒙古科技与经济》，2010，（22）：58——60.

[2]毕战科；许胜礼；入侵检测技术的研究现状及其发展[J]；《软件导刊》，2010，（11）：32——34.

[3]乔佩利；冯心任；基于CMAC网络的异常入侵检测技术[J]；《哈尔滨理工大学学报》；2010，（5）：333——335.

网络入侵追踪技术的研究 篇10

互联网络面临许多威胁, 如黑客攻击、管理欠缺、网络本身的缺陷、应用软件的漏洞或后门等。入侵追踪是计算机犯罪取证的一个关键技术:网络攻击者为了避免身份暴露, 常使用网络跳转手段, 经过多个平台对目标进行攻击。入侵追踪是网络安全管理方用以调查攻击来源、最后追查攻击者身份的技术, 为入侵行为责任的判定提供依据。目前入侵事件主流发生是主动基于网络的, .NET框架是全新的跨语言软件开发平台, 顺应了当今软件工业分布式计算、面向组件、企业级应用、软件服务化、以Web为中心等大趋势。在.NET环境下使用C#编程语言便于网络环境下的各种应用实现。

1 网络入侵追踪技术综述

网络攻击和防护是相互制约、和相互促进的技术。对计算机网络 (图1) 的入侵, 现存的各种防护手段处于非常被动的地位。目前网络入侵检测机制得到大范围的研究与应用, 但是只有发现真实的攻击地址, 才能彻底免除被再次入侵的风险。并且可以通过追踪, 同样对攻击者实施更具深度的攻击。入侵追踪通常的定义为一系列主机链:M1, M2, …, Mn (n>2) , 当攻击者顺序从Mi链接到Mi+1 (I=1, 2, …, n-1) , 称M1到Mi为一个连接链, 追踪的目的是发现整个连接链或部分主机。

1.1 网络攻击常用技术

网络入侵攻击者通常只会对有特殊功能和防护薄弱易于攻击的主机进行操作。为了逃避遭受法律惩罚, 在入侵前会运用相应的匿名技术, 隐藏真实身份。在入侵之后, 会采用各种手段进行踪迹清扫。例如分布式拒绝服务攻击 (DDo S) 实施过程为: (1) 准备阶段。在互联网络上确定目标主机, 不仅具有攻击价值并且具有被攻击的漏洞。利用存在的安全漏洞实施攻击, 获取控制权, 安装相应的木马软件, 使目标主机完全可以控制在自己一方。 (2) 实施攻击。从控制主机上发出指令, 协调各从属主机在某一时间段内的数据发送数量。选择一个合适的时间, 向目标主机发送大量的数据包, 消耗目标主机所在网络的有效带宽, 将其淹没在巨量的数据流中, 使目标主机自身的数据发送受影响。从属主机上发送的网络数据流IP地址是经过伪造的。由于不需要和目标主机进行双向通信, 因此伪造的IP地址给入侵追踪带来极大的困难。事实上, 如果以信息获取为目的的网络入侵, 第二步必须慎重进行。

1.2 入侵追踪综述

入侵追踪从物理层分为基于主机的技术和基于网络的技术。对入侵数据的检测包括被动式监视、记录和比较当前所有网络通信流量和主动的定制数据包处理过程, 标记入侵数据流, 动态控制和确定入侵链两种方式。

从网络攻击事件发生以来, 各种追踪技术被不断的研究与发展。上个世纪在各个国家公开的资源中, 我们可以看到这样的时间表:1991年美国加州大学计算机系设计的分布式入侵检测系统 (DIDS) , 提供了基于主机的追踪机制。在DIDS监测下的主机能够记录用户的活动, 并且记录发往一个控制机构进行相关分析。1993年韩国汉城国立大学计算机工程系设计了直接呼叫身份系统 (CIS) , 使用分布式监测系统替代DIDS的中心, 使每一个入侵链上的主机都具备记录连接的功能。在节点查询时, 只有当所有的信息匹配时才登录到下一个主机。这两种方法都是基于主机的, 每一台入侵链上的主机都进行信息搜集用以分析入侵来源。1995年美国加州大学计算机系设计出基于网络的入侵追踪方法指纹印记 (thumbprint) , 通过监测网络流量来查明入侵链。当应用层数据发生变化时, 进一步产生了基于时间 (timing-based) 和基于逆向 (deviation-based) 的入侵追踪算法。1998年波音实验室提出了入侵检测和隔离协议 (IDIP) , 对大量的入侵数据进行追踪和进行流量协调隔离。这种方法基于节点的流量分析对数据流进行标记, 对入侵数据信息对相邻节点进行传送, 发现入侵链路。2000年北卡罗来纳州立大学计算机系提出了嵌入数字水印进行入侵追踪的方案。后两者方法是通过主动追踪的技术来完成流量分析和对比。随后的技术都是对上述技术的综合应用。

入侵追踪的难度来自于有效源地址鉴别机制, 因为TCP/IP协议的安全并未被考虑在设计中, 入侵者可以容易的采用伪造的地址或运用连接链来隐藏真实的身份。并且互联网上的主机属于不同的管理域, 要搜集有用的追踪信息只能通过行政协调, 即使协调有效, 也使得最佳追踪时间被延误。

2 细粒度.NET技术在入侵追踪平台中的应用

我们主要是在应用层进行入侵追踪技术的研究。入侵者通常使用Telnet交互式网络协议登录取一系列中间主机入侵目标系统, 对于这类追踪目标, 采用了包括用户击键时间间隔统计等方法进行入侵源的调查。随着防火墙等网络边界控制设备的普及, 限制了Telnet协议的入侵行为。利用http服务实施网络攻击可成功的绕过防火墙, 这类攻击成为另一类型的攻击趋势。在实施攻击前, 入侵者会利用http代理的形式隐藏自己的真实身份, 本文主要研究的是利用http协议和代理的入侵行为设计有效的追踪方案。

2.1 相关概念与规则

代理服务器 (Proxy) 是接收或解释客户端连接, 发起到服务器新连接的网络节点。是客户端/服务器之间的媒介。作为代理服务器能够接收和解释客户端的请求;基本功能包括:创建到服务器的新连接;接收服务器发送的响应;发出或解释服务器的响应并把响应回传给客户端。代理服务器必须实现服务器和客户端两者的功能。代理服务器的工作机制大致为:Clint需要Sever提供服务, Clint首先与Proxy连接, Proxy收到Clint的数据请求后, 与Sever建立连接, 下载Clint所请求的Sever数据到本地, 再把这个数据发送到Clint, 完成代理任务 (图2) 。

我们研究的代理为http代理和SOCKS代理。http代理是一种T C P/I P应用层上的代理, 需要有相应的协议支持。SOCKS代理为传输层代理, 直接与TCP层交互, 其代理协议灵活。SOCK V系列协议允许代理服务器完成客户端到外部的服务器连接, 对客互端的授权和认证, 完成不同安全程度的代理任务。SOCKS代理只完成数据传送, 而不涉及应用层的协议, 速度相应快一些。根据代理的工作机制, 可隐藏用户的真实I P和连接细节。同时容易对安全造成威胁的是Cookie技术。Cookie是Web服务器保存在用户硬盘上的信息, 允许同一用户保存信息, 然后再取回, 信息的片段以namevalue对的形式存放。这种功能虽然简化了用户的工作, 但是网络管理者也能准确的收集访问客户的信息。

2.2 细粒度的入侵追踪技术应用

粒度计算 (GC) 是信息处理的一种新的概念和计算范式, 覆盖了所有有关粒度的理论、方法、技术和工具的研究。我们把GC使用到网络信息分析中, 基于经验和实验的结果, 根据代理能力进行动态粒度划分。随着.NET使用范围不断扩大, 网络上的应用服务开发语言使用C#较其他语言种类的增长幅度明显最快, 因此开发基于C#的入侵追踪平台是对现存手段的补充。

在恶意网络破坏之外, 还有一些以网络信息获取为目的的攻击者, 在这个层面, 网络的安全实际就是信息安全。以http为例, 把C#木马嵌入报文, 只要通过激活功能, 就可以读取入侵者的各种往来信息, 包括IP地址、网关、DNS等, 再使用回溯手段进行追踪。追踪过程使用了1.1节所提到的一些网络弱点。由于对互联网海量数据处理, 在激活控制模块, 我们使用了粒度的处理:把文件大小、生产时间、文件名中的敏感字等因素作为粒度过滤参数, 在存储时间和计算时间范围内实现入侵数据的处理与追踪。对于特别值得关注的信息源, 专门设置更特殊的粒度处理模块, 进行各种技术难度要求的追踪。

3 结论

网络入侵者通常是一些尖端技术的掌握者, 至少有能力使用多级连接和代理等手段进行身份的掩护, 对入侵进行追踪是网络界共同的难题。基于主动的网络入侵追踪方式虽然有一些实用的工具, 但并没有公开的成果。本文从实际应用出发, 在对最新的一些网络应用技术和入侵追踪成果的研究基础上, 使用了成本低、准确性较高、简便的基于C#和Cookie漏洞及其他相关漏洞实施追踪的方案。进一步的工作是构建Honey Pot和钓鱼网络, 把主动追踪发展为使入侵者在无法察觉的条件下掉入陷阱, 从而不断获取各种各样的网络信息。

摘要：本文采用了粒度过滤机制对海量数据流做有效处理后, 再对敏感数据实现C#的追踪记录, 完成对目标控制、防范和信息获取。

关键词：入侵追踪,细粒度,C#实现

参考文献

[1]S.Snapp, DIDS-Motivation Architecture and Early Prototype[M]. Washington, D C: In Proceedings of 14th National Computer Security Conference.1991.

[2] H. Jung Caller Identification System in the Internet Environment[M].Santa Clara:Proceedings of 4th USENIX Security Symposium.1993.

[3]S. Stniford-Chen Holding Intruders Accountable on the Internet[M]. Oakland, CA: Proceedings of IEEE Symposium on Security and Privacy.1995.

[4]张静, 龚俭.网络入侵追踪研究综述[J].重庆:计算机科学.2003.

[5]A FTP proxy server developed by Java [J]. ChengDu: Applica-tion research of computers.2001.