网络入侵安全检查分析

网络入侵安全检查分析（精选6篇）

网络入侵安全检查分析 篇1

1 概述

据FBI关于由于计算机犯罪所造成的经济损失的统计, 仅2003年就达2000亿美元, 由于网络黑客培训的兴起以及黑客录像的大量传播, 加上成为黑客的好奇心理以及利用黑客手段可以获取资料来牟取非法利益, 越来越多的人喜欢上了网络入侵, 使得我国的网络入侵刑事案件呈现上升趋势。网络入侵轻者仅仅是个人资料丢失和一些轻微的破坏, 严重的入侵不仅会让个人和公司蒙受巨大的经济损失, 而且还极有可能发生资料泄密危害国家安全。2006年7月, 美国海军10万官兵的信息资料网上泄密事件, 这些信息资料多数属于机密信息。在我国也曾经发生过多起军人由于个人电脑或者工作电脑上网发生泄密事件, 只是媒体报道较少。虽然很多个人电脑虽然安装了防火墙以及杀毒软件, 但仍然不能够完全防止网络入侵, 很多资料的泄密都是通过个人计算机上网而发生的。因此上网计算机的安全问题不容乐观, 了解和掌握一定的网络入侵安全检查方法来减少由网络入侵带来的经济损失十分有必要。

2 网络入侵的途径

计算机病毒入侵主要有源代码嵌入攻击型、代码取代攻击型、系统修改型和外壳附加型四种方式, 而对网络入侵来讲主要分为主动入侵和被动入侵。

主动入侵主要是指用户主动去执行病毒以及木马程序, 例如浏览网站中植入了恶意病毒及其木马程序的网页, 这些木马程序 (病毒) 大多是利用操作系统的漏洞, 当用户访问网页时, 将会主动下载该类木马程序并执行;还有就是目前比较流行的优盘病毒, 通过优盘来进行传播和执行, 这种类型的攻击非常隐蔽, 不易察觉, 当用户连接互联网时, 木马 (病毒) 的服务端可以对感染木马 (病毒) 的客户端进行控制。

被动入侵主要是指由入侵者主动发动的攻击, 例如扫描系统口令, 利用系统存在的远程溢出漏洞进行溢出攻击, SQL注入攻击等。如果用户具有一定安全意识, 被成功入侵的几率较低。

通过分析研究, 对于网络计算机通过采取以下措施, 将会大大降低安全风险:

2.1 及时更新操作系统补丁程序。

系统安装完成后, 不要立即连接互联网, 而是应先安装操作系统最新的一些安全补丁程序, 特别是要安装一些高危漏洞的补丁程序, 很多网页就是利用这些漏洞来执行木马程序的。

2.2 安装杀毒软件和防火墙, 并及时更新病毒库。

及时更新杀毒软件的病毒库可以有效的查杀病毒和木马程序。

2.3 谨慎下载软件。

目前计算机运行的很多程序大多为盗版, 无法进行来源验证, 很多提供下载的程序都捆绑有木马程序, 因此不要运行来历不明的程序, 尽量到大型正规网站下载软件。

2.4 做好系统和数据备份。

系统安装完成后, 一定要进行数据和操作系统的备份, 最好做一个Ghost文件, 便于出现问题后可以立即恢复系统或者数据。

3 入侵后的保护措施

不管是个人普通电脑还是公司用电脑, 保护好入侵现场是十分必要的, 入侵现场作为经济损失评估和追踪入侵者的重要证据。发生网络入侵后, 如果有安全事件应急方案, 应当按照应急方案或者措施执行。

3.1 报告上司、网警、公安部门或国家安全局

在计算机被入侵后, 一般采用三种方式处理:一种就是彻底格式化硬盘, 重新安装操作系统和软件;另外一种方法是安装一些木马查找软件, 查杀木马和病毒后继续使用, 最后一种就是利用原来系统中的Ghost备份进行恢复。正确的方法应该是评估计算机中资料的价值, 根据其计算机的重要情况, 一旦发现计算机被入侵后, 应立刻将网络断开, 并报告公司安全部门或网警或国家安全局等处理网络安全事件的部门, 然后再做相应的处理。

3.2 保留证据

在发生网络入侵后, 一个很重要的步骤就是保留证据, 面对入侵, 最可能留下证据的就是硬盘, 下面给出一些可供参考的保留证据步骤:

3.2.1 使用软驱启动并克隆整个硬盘。在选择克隆硬盘时通过软盘启动并克隆是为了保证系统的时间不被更改。操作系统的一些文件会在启动计算机时进行时间的更新, 为了保证时间的准确性, 应该从软驱启动并通过软盘来克隆硬盘中的系统盘以及其它物理盘。

3.2.2 将被入侵硬盘存封, 保留最直接证据。

3.2.3 还原操作系统使被攻击服务器或者个人电脑恢复正常。

3.2.4 修改在本机上使用的相关软件以及操作系统账号的登录密码。

3.2.5 如果是服务器, 则需要通知网络用户更改相应的密码。

4 具体的安全检查方法

4.1 检查计算机用户

在被入侵的计算机中, 极有可能添加了新用户或者对用户进行了克隆。可以按以下方式进行检查:

4.1.1 查看目前用户。

使用“net localgroup administrators”查看当前的具有管理员权限用户列表, 也可以通过执行“lusrmgr.msc”命令来查看本地用户和组。

4.1.2 可以使用“mt-chkuser”查看用户是否被克隆

mt.exe是一款非常强大的网络工具, 它主要在命令行方式执行, 可以开启系统服务, 检查用户以及直接显示用户登陆密码等。其中一个比较实用的命令就是“mt-chkuser”用来查看系统是否存在被克隆用户。

4.2 查看网络连接情况。

使用“netstat-an->netlog-1.txt”命令将目前端口开放情况以及网络连接情况生成netlog-1文件, 便于查看网络开放的端口和连接的IP地址等, 可以用来追踪入侵者。

4.3 查看远程终端服务。

Windows2000/XP/2003默认的远程终端服务都是手动的。查看远程终端开放情况可以采取以下一些方法:

4.3.1 查看“Terminal Services”服务启动情况。

打开管理工具中的“服务”控制面板, 查找名称为“Terminal Services”的服务, 然后直接双击该服务名称就可以查看远程终端开放情况。“Terminal Services”启动类型有自动、手动和禁用。如果发现其启动类型为自动, 则说明极有可能被人入侵。

4.3.2 使用dos命令“query/quser”

使用“query user/quser”命令可以直接查看目前远程终端服务连接情况, 不过该命令只能在Windows 2000/2003 Server中使用, 在Windows XP中需要到系统目录下的dllcache目录下执行。在WindowsXp中默认连接就是控制台连接, 即sessionname为“console”。

说明:在进行检查前, 需要先行确定是否存在query.exe和quser.exe这两个文件以及其相应的文件大小, 入侵者在入侵成功后, 既有可能将query.exe和quser.exe这两个文件删除或者进行替换, query.exe和quser.exe文件大小分别为10, 752和18, 432字节。

4.3.3 使用netstat-an|find“3389”查看网络连接及其端口开放情况。

使用netstat-an|find“3389”命令可以查看目前正在使用远程终端的连接及其3389端口开放情况。

4.3.4 通过注册表查看3389端口开放情况

分别查看注册表键[HKEY_LOCAL_MA-CHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp]和[HKEY_LO-CAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp]下的PortNumber值。默认PortNumber的值为3389, 如果发现其值不是3389, 则可以肯定一定有入侵发生。

4.4 Web服务器的安全检查

4.4.1 SQL Server 2000等数据库安全检查

目前对Web服务器进行SQL注入是一种主流攻击方式, SQL注入攻击最有可能留下痕迹的就是SQL Server2000等数据库中的临时表, 通过HDSI等软件进行SQL注入攻击, 在数据库中会留下临时表。因此可以通过数据库的企业管理器或者查询处理器进行表的浏览, 直接查看最新创建表的情况。

4.4.2 Web日志文件检查

如果Web服务设置日志记录, 则系统会在缺省的“%SystemRoot%system32Logfiles”目录下对用户访问等信息进行记录。日志文件能够记录入侵者所进行的操作以及入侵者的IP地址等。

4.5 使用事件查看器查看安全日志等

事件查看器中有安全性、系统和应用程序三类日志文件, 可以通过在运行“eventvwr.msc”调用事件查看器。安全性日志中包含了特权使用、用户、时间和计算机等信息, 这些信息可以作为判断入侵者入侵时间以及采用什么方式进行登陆等信息。不过默认情况下, 日志文件记录的选项较少, 需要通过组策略进行设置。

4.6 查看硬盘以及系统所在目录新近产生的文件。

如果及时发现入侵, 则可以通过以下一些方法来查看入侵者所上传或安装的木马程序文件。

4.6.1 查看系统目录文件, 可以使用DOS命令“dir/od/a”或者资源管理器查看最新文件。DOS命令“dir/od/a”查看系统最新文件 (包含隐藏文件) 以日期进行排序。

4.6.2 查看系统盘下用户所在文件的临时目录temp, 如“D:Documents and SettingssimeonLocal SettingsTemp”, 该目录下会保留操作的一些临时文件。

4.6.3 查看历史文件夹, 历史文件夹中会保留一些入侵者访问网络的一些信息, 可以通过访问用户所在的目录如“D:Documents and SettingssimeonLocal SettingsHistory”进行查看。

4.6.4 查看回收站, 回收站可能会存在入侵者删除的一些文件记录。通过查看文件创建日期和跟踪文件所在位置来进行入侵时间等判断。

4.6.5 查看recent文件夹, recent文件夹中会保留一些最近操作时的一些快捷方式。通过这些快捷方式可以了解入侵者进行的一些操作。

4.7 使用port/mport/fport等工具检查端口开放情况

port/mport/fport等都是用来检查端口开放情况以及端口由哪些程序打开。

4.8 使用Sysinternals公司的autoruns软件来查看进程

autoruns软件可以到http://www.sysinternals.com下载, 它可以很方便的检查服务加载、自动启动等, 而且对于可疑的软件可以直接通过google进行搜索。

4.9 检查Rootkit

Rootkit是攻击者用来隐藏自己的踪迹和保留root访问权限的工具, 利用Rootkit技术而编写的木马程序, 功能强大, 且具有较高的隐蔽性, 危害非常大, 目前可以通过RootkitRevealer、Blacklight以及Klister等Rootkit检测工具检测系统是否存在Rootkit类型的木马。

结束语

给出了一些计算机被入侵后的一些常规的安全检查方法, 通过这些安全检查方法可以检测入侵者留在被入侵计算机上的“痕迹”, 方便进行安全评估, 对网络安全管理具有一定的参考价值。

摘要：就计算机网络入侵的方法、网络入侵后的保护措施以及安全检查方法进行了分析和研究, 并给出了一些参考的安全解决方案。

关键词：网络入侵,保护措施,检查

参考文献

[1]胡昌振.网络入侵检测原理与技术[M].北京:北京理工大学出版.

[2]唐正军.网络入侵检测系统的设计与实现[M].北京:电子工业出版社.

[3]刘远生.计算机网络安全[M].北京:清华大学出版社.

[4]胡铮.网络与信息安全[M].北京:清华大学出版社.

[5]王立彬.Matt Bishop.计算机安全学[M].北京:电子工业出版社.

网络入侵安全检查分析 篇2

一、入侵检测技术基本概念

入侵检测技术主要针对非法或者未授权情况下的入侵行为进行检测, 并对计算机网络或者网络系统中若干关键点的信息进行全面采集、分析, 并对计算机系统、网络系统中的违法安全策略行为或者被攻击迹象进行全面检查[1]。如果在一个计算机系统或者网络系统中安装了入侵检测系统 (IDS) , 便可对系统中某些特定范围实现实时监控, 当系统受到外网攻击时可迅速检测并作出响应。具体的入侵检测/响应流程如图1。

二、计算机网络运行安全中入侵检测技术应用策略

2.1采集入侵信息策略

数据是入侵检测技术发挥作用的重要因素之一, 常规情况下检测数据源主要涵盖:系统、网络日志、文件以及目录中保密事项、执行程序中的限制操作行为、入侵物理形式信息等等。

在计算机网络应用进程中, 入侵检测技术若需要采集所有相关信息, 则需要在每个网段中部署一个以上的IDS代理, 并根据对应的网络结构特征运用多样连接形式的数据采集方式;同时, 可在交换机内部或者防火墙的数据流入口或者出口处设置入侵检测系统, 这样便可以有效采集相应的关键核心数据。

若需要采集网络系统中不同类别的关键信息, 一方面需要根据检测对象合理扩大检测的范围、设置截取网络数据包;另一方面则需要对网络系统中的薄弱环节进行重点分析。而对于整个计算机网络系统而言, 产生入侵行为相对较少, 只需要建一个数据群进行集中处理即可, 重点应加强对入侵行为的针对性分析能力。

2.2分析、检测入侵信息策略

在计算机网络运行安全保护中, 入侵检测系统可对各类系统漏洞、网络协议等进行全面分析, 且在安全策略、原则基础上利用自身的异常检测、滥用检测模型进行分析过程模拟, 科学辨识异常或者明显的攻击行为, 最终构建一个分析结果形成报警信息发送至管理控制中心。对于TCP/IP协议网络则运用探测引擎技术, 利用旁路侦听方式对流经网络的所有数据包实现动态监测, 并根据用户设置的相关安全策略进行分析检测, 可有效辨识各类网络安全事件, 并将相关定位、报警信息发送至管理控制中心。

2.3响应入侵信息策略

对于入侵报警信息, 入侵检测系统将采取积极的响应措施, 主要操作包含:告警网络引擎、告知管理控制平台、给安全管理人员发生邮件、向控制中心通报实时对话情况, 详细记录现场事件日志, 并根据安全策略设置合理调整网络配置, 并终止不良入侵行为, 对于部分特定用户的相关程序仍然给予执行[2]。同时, 在防御外网攻击中还可以结合防火墙的优势, 构建一个协调模型以及网络完全防御体系。当计算机网络正常运行时, 防火墙的过滤机制可对流经的数据包进行对比, 对非授信数据包采取过滤处理, 而对于绕过防火墙的数据包则可以利用入侵检测技术及时对网络攻击行为进行检测并迅速作出响应, 从而实现有效防御各类网络攻击行为。

三、结语

计算机网络运行安全防范属于是一个整体的系统行为, 其涉及多个层次的多项防御策略、技术, 虽然入侵检测技术作为现代计算机网络安全的防御体系中一个重要的组成部分, 但是其主要功能在于发现计算机网络运行中的安全问题。因此, 在计算机网络运行安全保护中, 入侵检测技术仍然需要联合其他安全技术, 相互配合、协作, 以此来增强自身的安全事件动态监测与响应能力, 从而为企业提供一个更为安全的网络运行环境。

参考文献

[1]赵伟艇, 杨照峰.基于入侵检测技术的网络安全研究[J].网络安全技术与应用, 2007 (8) :37-38

网络入侵安全检查分析 篇3

谈到校园网络的安全问题，传统上主要是安装防火墙，防火墙从一定的意义上对校园网络起到了一定的防御作用，但防火墙存在着自身的局限性，比如防火墙不能阻止来自网络内部的攻击，防火墙不能提供实时的入侵检测能力。对于安全性要求较高的校园网络，无疑安装防火墙是远远不够的。入侵检测系统可以弥补防火墙的不足，为校园网络增加一道重要的防御屏障。

1 入侵检测系统简介

入侵检测系统(Intrusion Detection System, 简称IDS)论坛对入侵检测的定义为：通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。与防火墙技术不同，防火墙技术是静态安全防御技术，对网络环境下日新月异的攻击缺乏主动的反应，而入侵检测技术是动态的安全技术，它具有监视分析用户和系统的行为、审计系统配置和漏洞、评估敏感系统和数据的完整性、识别攻击行为、对异常行为进行统计、进行审计跟踪、识别违反安全法规的行为、自动地收集和系统相关的补丁和安装诱骗服务器记录黑客行为等功能。这就可以使系统管理员轻松地监视、审计、评估自己的系统。

根据公共检测框架(CIDF)讲述的IDS的通用模型，将IDS分为事件产生器、事件分析器、响应单元和事件数据库四个组件。事件产生器从整个网络中获取事件，并把此事件提供给事件分析器分析此事件并得出分析结果，响应单元根据分析出来的结果做出正确的响应动作，目的是减小或消除事件对系统的危害，事件数据库是用于存储事件，方便以后查看和使用。

2 IDS在校园网中的应用

校园网络的安全既要考虑外网的威胁，同时也要考虑内网的威胁，入侵检测系统可以对这两种类型的威胁起到安全的作用。入侵检测系统在校园网中放置的位置也决定了它不同的作用。下面对IDS不同的放置位置进行分析。

2.1 IDS放置在独立子网

在使用网络型IDS时，把IDS放置于一个独立的子网上，对于需要从外部访问的服务器，如E-mail服务器, Web服务器等，IDS的作用是非常重要的，因为校园网络的流量非常的大，需要那里提供的服务非常的多，而且那里提供的服务经常是黑客们攻击的对象。IDS放置于此，可以监测不安全的攻击行为。

2.2 IDS放置防火墙后

IDS放置于防火墙之后，是一个学校选择放置IDS最关键的地方。前面我讲到校园网络安装防火墙是常用的防御措施，但是它同时也存在着自己不足的地方，在它之后放置入侵检测系统，可以对经过防火墙的网络流量及信息进行扫描，找出网络中存在的可疑的入侵行为，产生潜在的严重安全威胁的警告，送往IDS中事件分析器组件进行分析，分析出结果之后，响应组件会做出及时的响应，包括切断网络连接、记录事件和报警等。从而阻止了攻击，保障了校园网的安全。

2.3 IDS放置于内网

将IDS放置于内网的重要性比放置于防火墙之后要小，但其作用也是不可忽略的，因为通常有很多攻击都是来自于校园内部。校园网服务的对象绝大多数是学生，他们年龄小，求知欲和好奇心都非常的强，对网络安全认识不够，一些学生下载大量的视频资料或者是编写一些病毒程序等都会对校园网络的正常运行造成影响。还有象学校的一些重要部门，如财务、教务、校长室等，他们的资料也是非常的重要的。在这些地方放置入侵检测系统保障了他们资料信息的安全。

由此可见，在校园网中什么位置放置入侵检测系统，可根据学校具体的情况进行分析，可以在学校不同的位置放置入侵检测系统，来达到保证信息安全的目的。

3 Snort介绍

市场常见的IDS有Cisco公司的NetRanger, ISS公司的RealSecure，网络公司的CMDS等，还有一些免费的入侵检测工具如Snort, 下面将对它做一简单介绍。

Snort是一个强大的轻量级的网络入侵检测系统。它具有实时数据流量分析和日志IP网络数据包的能力，能够进行协议分析，对内容进行搜索/匹配。它能够检测各种不同的攻击方式，对攻击进行实时报警。此外，Snort具有很好的扩展性和可移植性。

我们可以从Snort站点http://www.Snort.org获得其源代码或者RPM进行安装。作为一个网络型的入侵检测软件，Snort有三种用途：数据包嗅探器、数据包分析器和网络入侵检测系统。

所谓的嗅探器模式，就是Snort从网络上读出数据包，并显示在我们的控制台上。如显示TCP/IP包头信息，需要输入命令：.Snort–v。显示应用层数据，输入：./Snort–vd。显示链路层数据，输入：./Snort–vde。

数据包记录到硬盘上，需要指定一个日志目录，Snort会自动对数据包进行日志，如：./Snort–dev-1./log。在日志包和入侵检测模式下，通过BPF接口，可用许多方式维护日志文件中的数据。例如，从日志文件中提取ICMP包，输入命令：./Snort–dvr packet log icmp。

作为入侵检测系统模式，Snort需输入命令：./Snort–dev-1./log–h 192.168.1.0/24–c Snort.conf。Snort.conf是规则集文件，Snort会对每个包和规则集进行匹配，发现这样的包就采取相应的行动。日志符合规则的包，以ASCII形式保存在有层次的目录结构中。Snort有6种报警机制：full、fast、socket、syslog、smb和none。其中有4个可以在命令行状态下使用-A选项设置。即 (1) -A fast:报警信息包括一个时间戳、报警消息、源/目的IP地址和端口; (2) -A full是默认的报警模式; (3) -A unsock把报警发送到一个UNIX套接字，需要有一个程序进行监听，这样可以实时报警; (4) -A none关闭报警机制。使用默认的报警机制，Snort会在包头之后打印报警消息。

4 结束语

IDS可以弥补防火墙的不足, 为校园网络提供实时监控，并且在发现入侵的初期采取相应的防护手段，IDS系统作为必要的附加手段，已经为大多数高校所采用，其功能是显而易见的。但校园网安装IDS也并不是一劳永逸的，IDS也存在着检测的准确性和有效性问题，但我相信，随着网络安全重要性的提升，IDS也会不断的发展和完善。我们期待更为全面的IDS为网络的安全起到更为重要的作用。

参考文献

[1]石志国, 薛为民, 尹浩.计算机网络安全教程[M].北京:清华大学出版社, 2008.

[2]刘保旭.黑客入侵的主动防御[M].北京:电子工业出版社, 2007.

[3]唐正军.入侵检测技术导论[M].北京:机械工业出版社, 2004.

网络入侵安全检查分析 篇4

当今世界计算机网络的运用十分广泛, 人们通过互联网进行商品买卖、 社交以及娱乐, 企业利用互联网进行交易, 甚至能够危及到国家安全的机密信息也在计算机网络中沟通流动, 因此计算机网络安全影响着社会各个层次、 各个方面。 计算机网络安全问题成为全世界共同关注的问题, 如果不能有效地解决, 将会严重制约信息化的发展进程。 随着网络专家的不懈努力, 找到了一个有效的解决途径就是入侵检测技术。 入侵检测系统可以弥补防火墙的不足, 在不影响网络性能的情况下对网络进行检测, 从而提供对内部攻击、 外部攻击和误操作的实时保护。

2 入侵检测技术相关理论概述

2.1 定义

入侵检测技术是一种能够及时发现并报告系统中未授权或异常现象的技术, 是一种用于检测计算机网络中违反安全策略行为的技术, 是一种为保证计算机系统的安全而设计与配置的技术。 入侵检测系统 (Intrusion Detection System, 简称IDS) 是进行入侵检测的软件与硬件的组合。 入侵检测系统 (IDS) 可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的系统。 包括系统外部的入侵和内部用户的非授权行为, 是一种用于检测计算机网络中违反安全策略行为的技术。 入侵检测系统在发现入侵后, 会及时作出响应, 包括切断网络连接、 记录事件和报警等。

入侵检测技术从计算机网络系统中的若干关键点收集信息, 并分析这些信息, 看看网络中是否有违反安全策略的行为和遭到袭击的迹象。 入侵检测被认为是防火墙之后的第二道安全闸门, 在不影响网络性能的情况下能对网络进行监测, 从而提供对内部攻击、 外部攻击和误操作的实时保护。

2.2 分类

(1) 按照检测时间分类: 入侵检测按检测的时间可分为实时入侵检测和事后入侵检测两种;

(2) 按照分析方法分类: 入侵检测按照检测分析方法一般被分为误用检测和异常检测两大类;

(3) 按照数据来源分类: 入侵检测依据待分析的数据来源通常可分为基于主机的检测系统和基于网络的检测系统两类;

(4) 按照系统结构分类: 入侵检测按系统结构的划分可分为集中式入侵检测和分布式入侵检测两种;

(5) 按照工作方式分类: 入侵检测按照工作方式的区别可分为离线检测和在线检测两种。

2.3 工作流程

入侵检测技术的工作流程基本上可以归纳为以下3 个步骤:

(1) 信息收集: 信息收集是入侵检测的第一步, 信息收集的内容主要包括系统、 网络、 数据及用户活动的行为和状态。 收集信息的工作是由放置在不同网段的传感器或不同主机的代理来完成, 包括非正常的目录和文件改变、 非正常的程序执行以及系统和网络日志文件、 网络流量的信息。

(2) 信息分析: 收集到的有关系统、 网络、 数据及用户活动的状态和行为等信息, 被送到检测引擎, 检测引擎驻留在传感器中, 一般通过3 种技术手段进行分析: 统计分析、完整性分析和模式匹配。 其中模式匹配和统计分析用于实时的入侵检测, 而完整性分析则用于事后的检测分析。 当检测到某种误用模式时, 就会产生一个告警并发送给控制台。

(3) 问题处理: 控制台收到告警后, 会按照告警产生预先定义的响应采取相应措施, 可以是重新配置路由器或防火墙、终止进程、 切断连接、 改变文件属性, 也可以只是简单的告警。识别告警的方法主要有: 活动特征、 告警特征和用户特征。

3 应用安全

入侵检测技术在计算机网络安全中的应用主要体现在基于主机的入侵检测系统和基于网络的入侵检测系统两个方面。

3.1 基于主机的入侵检测系统

基于主机的入侵检测系统是把主机作为对计算机的重点检测对象, 对主机进行入侵检测的设置, 根据主机的运行情况来判断并检测主机是否出现了受到攻击的行为。 主机入侵检测系统能够全面实时地监控计算机网络用户的操作行为, 当网络出现网络异常情况时会进行预警, 全面及时地保护网络安全。 基于主机的入侵检测系统能够对攻击行为是否成功进行判断, 并为主机作出决策提供充足的依据。 基于主机分入侵检测系统还可以对文件访问、 文件执行等指定的特定的系统部位进行监控。

3.2 基于网络的入侵检测系统

基于网络的入侵检测系统又被称为基于行为的入侵检测系统, 它在检测设置时无需在主机上进行安装, 并且可以设置多个安全点, 能够同时对多个网络通信进行监控, 因此有着检测成本相对较低、 检测速度快的优点。 基于网络的入侵检测系统能够及时发现计算机在网络运行过程中受到的攻击, 并及时向检测系统发送检测结果报告, 提高发现计算机网络安全入侵的速度, 方便快捷, 并且大大缩短了计算机受到网络攻击的时间。 基于网络的入侵检测系统由于采取对计算机的多处网络安全点和网络通信进行监控和观察, 并且安装方便, 因此检测效果高; 监测系统一旦发现问题之后, 可以直接利用网络进行报告, 无论何时何地, 都能做出快捷地反应和解决措施, 提高了计算机网络安全检测技术的水平和检测效率, 确保了计算机在安全网络环境下的正常运行, 为计算机用户带来了便利。

4 存在问题

4.1 入侵检测技术相对落后

目前国内在入侵检测技术的研究起步比较晚, 与发达国家相比差距还比较大。 在网络安全技术发展的同时, 网络入侵技术也在不断地升级, 如果计算机网络安全入侵检测技术相对落后的话, 当比较复杂高级的计算机网络入侵行为发生时, 入侵检测技术是难以有效地解决威胁网络安全的因素的。在网络环境下, 计算机对于网络安全的依赖性比较高, 网络安全的入侵检测技术也存在一定的缺陷, 安全检测存在局限性, 在相同的网段能够进行计算机网络系统的局部检测与分析, 一旦计算机网络系统处于不同的网段, 其检测的全面性与有效性是难以保证的, 由此可见, 计算机网络安全的检测技术仍然有待提高, 其存在的局限性与不完整性是非常明显。

4.2 入侵检测技术方式单一

计算机网络安全的入侵检测系统主要采取的方式是特征检测, 特征检测的适用范围是那些比较简单的入侵攻击行为, 在单一的主机或网络构架下的检测效果很好, 对异构系统以及大规模的网络监控就显得力不从心。 当出现比较复杂的入侵行为时, 入侵检测需要大量的计算和分析时间, 这时入侵特征检测就无法发挥作用。 另外, 当入侵检测系统对网络系统进行监控时, 会产生数量巨大的分析数据, 分析数据会对系统性能造成较大压力。

4.3 入侵检测技术加密处理困难

(1) 计算机网络安全入侵检测技术在处理会话过程的加密问题上有很大的困难, 就目前的发展趋势来看, 这个问题会越来越突出。 (2) 入侵检测系统自身无法对网络攻击行为进行阻断, 必须通过计算机内部防火墙的联合机制才能更好地完成入侵检测, 自身的功能存在缺陷明显, 作用也无法得到充分的发挥。 (3) 人们在日常生活中对计算机的广泛应用, 计算机触及到用户越来越多的隐私, 因而计算机内存储的网络数据也具有一定的隐私性, 在计算机受到网络安全的威胁后, 计算机网络安全的入侵检测系统自身无法完成对计算机系统的全面检测, 检测技术并不能保证计算机网络数据的安全性和隐私性, 加之网络检测需要同计算机内部防火墙联合, 这样便会对计算机内部网络数据造成一定的暴露, 不能对其做到科学全面的加密处理, 在一定程度上对用户的个人隐私造成威胁。

5 发展趋势

5.1 分布式入侵检测

在如今高速发展的信息网络时代, 传统的入侵检测技术缺乏协同并且过于单一, 在应对高级复杂的网络安全入侵时显得力不从心, 因此分布式的协作机制就显得更有优势。 分布式入侵检测核心的技术体现在全局的入侵信息提取与多个入侵检测协同处理, 主要体现在收集数据、 入侵信息的分析和及时的自动响应等方面。 它在系统资源方面的优势远大于别的方式, 将是将来主要的发展方向之一。

5.2 智能化入侵检测

目前的安全入侵方式越来越智能化和多样化, 因此入侵技术的智能化发展也变得顺理成章。 智能化入侵检测技术包含了模糊技术、 神经网络、 遗传算法、 免疫原理等方法, 能够更有效地识别与分析入侵威胁因素, 提高网络安全入侵检测技术水平。 智能化入侵检测可以将入侵的特点更具有广泛识别性和辨识性, 因此可以在解决出现的故障时, 识别和隔离可疑攻击, 并不干涉正常运行的程序, 以确保计算机的运行效率。

5.3 一体化全方位防御方案

根据目前的网络安全入侵情况来看, 入侵方式越来越智能化和多样化, 仅仅某一方面的入侵检测方式很难应对, 因此针对这种情况, 网络安全入侵检测系统很可能实现一体化的发展趋势, 这样入侵检测的结果将会更加全面和科学准确, 打造网络安全入侵检测平台, 最大化地利用计算机资源, 增强入侵检测的可靠性, 全方位地确保计算机的网络安全。

6 结语

作为一种积极主动地计算机网络安全防护技术, 入侵检测为计算机网络安全提供了对内部攻击、 外部攻击和误操作的实时保护, 在网络系统受到危害之前拦截和解决入侵威胁, 对保护网络安全的作用十分重要。 面对日益复杂的网络安全形势, 必需正视自己在入侵检测技术上与发达国家的差距, 加大研究力度, 提升我国计算机网络安全的入侵检测技术水平, 为计算机网络安全提供有力保障。

摘要：随着全球信息化时代的到来, 计算机网络已经深入到人们日常生活中的方方面面, 成为人们日常生活和工作中不可或缺的一部分, 但同时计算机网络安全问题也越来越突出。目前入侵检测技术是保护计算机网络安全的重要手段。通过对入侵检测技术的相关理论进行了探讨, 分析了入侵检测技术存在的问题, 并展望了入侵检测技术的未来发展趋势。

关键词：计算机,网络安全,入侵检测技术

参考文献

[1]毛晓仙.试论计算机网络安全的入侵检测技术[J].网络安全技术与应用, 2014, 08:63+65.

[2]唐锐.基于频繁模式的离群点挖掘在入侵检测中的应用[D].重庆大学, 2013.

[3]宋彦京.计算机网络入侵检测系统与技术措施分析[J].网络安全技术与应用, 2014, 11:51-52.

网络安全的入侵检测研究 篇5

为了实现计算机和网络安全, 过去常采用的安全措施, 如:传统的加密, 认证, 访问控制, 暴露了许多缺陷或瑕疵。入侵检测作为信息与网络安全的的关键技术之一应运而生。入侵是指试图未经授权访问信息, 故意篡改信息, 不可靠或无法使用, 或破坏机密性, 完整性和可用性的行为。它不局限于时间和空间, 攻击手段隐蔽性和更令人费解的, 连续的内部犯罪。基于网络安全防护, 新的求解策略的动态特性入侵检测。入侵检测技术, 相当于计算机系统中引入了一个闭环的安全策略。各种电脑检测系统可以反馈入侵信息, 从而及时修正, 大大提高了系统的安全性。

1.1 什么是入侵监测技术。

入侵检测是保证计算机系统设计的一个可以及时发现和报告未经授权或系统异常的技术和配置安全性的系统, 用于检测所述计算机网络侵犯技术的安全策略的行为。通过信息网络, 安全日志, 审计数据, 其他可用的网络和计算机系统中的数字信息的关键点, 是否违反安全策略来检测网络或系统的存在和的符号上的收集和分析被攻击。入侵检测作为一种积极主动的安全防护技术, 提供实时保护, 内部攻击, 外部攻击和误操作, 拦截和相应的网络入侵系统受到危害之前。

1.2 入侵技术的必要性分析。

基于网络的入侵检测, 入侵检测代理部署在上述多个段, 根据不同的网络架构, 其代理, 还有各种桥接相反的方式。如果网络融合枢纽总线方式, 把代理的端口汇聚的枢纽即可;如果更换的机器来代替以太网, 媒体不能共享, 因为更换新机, 其中只使用一个代理的价格对整个子网停止听的做法是不完整的。因此, 可以申请补发加工中心片上调试接口, 入侵检测系统和收敛的端口。也许把它放在一键导入和导出数据流, 这样你就可以得到几乎所有的关键数据。

2 IDS的基本结构及其特性

早期的IDS仅仅是一个监听系统, 可以把监听理解成窃听的意思。基于目前局网的工作方式, IDS可以将用户对位于与IDS同一交换机/Hu B的服务器的访问、操作全部记录下来以供分析使用, 跟我们常用的widnows操作系统的事件查看器类似。新一代的IDS提供了将记录的数据进行分析, 仅仅列出有危险的一部分记录, 这一点上跟目前windows所用的策略审核上很象;目前新一代的IDS, 更是增加了分析应用层数据的功能, 使得其能力大大增加;而更新一代的IDS, 就颇有“路见不平, 拔刀相助”的味道了, 配合上防火墙进行联动, 将IDS分析出有敌意的地址阻止其访问。

2.1 信息收集

入侵检测的第一步是信息收集, 收集内容包括系统、网络、数据及用户活动的状态和行为。需要在计算机网络系统中的若干不容关键点收集信息, 尽可能扩大检测范围, 从一个源来的信息, 有可能看不出疑点。入侵检测的效果很大程度上依赖于收集信息的可靠新和正确性, 更要有来检测网络系统的完整的软件。特备是入侵检测系统软件本省应具有相当强的坚固性, 防止被篡改二收集到错误的信息。

2.2 分析引擎

(1) 模式匹配就是将收集到的信息与已知的网络入侵和系统无用模式数据库进行比较, 从而发现违背安全策略的行为。

(2) 统计分析方法首先给系统对象创建一个描述, 统计正常使用时的一些测量属性。测量属性的平局值和偏差被用来与网络、系统的行为进行比较, 任何观察值在正差值范围之外, 就认为有入侵发生。

(3) 完整性分析主要关注某个文件或对象是否被更改。包括文件和睦路的内容及属性, 在法相被更改的、被安装木马的应用程序方面特别有效。

(4) 响应部件。简单报警、切断链接、封闭用户、改变文件属性甚至回击攻击者。

3 基于网络的入侵检测系统

网络IDS是网络上的一个监听设备 (或一个专用主机) , 通过监听网络上的所有报文, 根据协议进行分析, 报告网络中的非法使用者信息。NIDS放置在比较重要的网段内, 以网络包作为分析数据源。利用工作在混杂模式下的网卡来实时监视并分析通过网络的数据流。网卡的三种模式:广播模式、直接模式、混杂模式。它的分析模块通常使用模式匹配、统计分析等技术, 分析网段中所有的数据包, 来识别攻击行为。NIDS由遍及网络的传感器 (sensor) 组成, 传感器是一台将以太网卡置于混杂模式的计算机, 用于嗅探网络上的数据包。

网络IDS优势:实时分析网络数据, 检测网络系统的非法行为;网络IDS系统单独架设, 不占用其它计算机系统的任何资源;网络IDS系统是一个独立的网络设备, 可以做到对黑客透明, 因此其本身的安全性高;通过与防火墙的联动, 不但可以对攻击预警, 还可以更有效地阻止非法入侵和破坏。

4 分布式入侵检测技术

随着入侵方法的提升。攻击和发展分布式, 协作, 复杂的模式混合出现, 传统的单一, 缺乏合作的入侵检测技术不能满足需要, 这需要足够的合作机制。入侵检测信息合作与协调是必要的。传统的IDS通常限于一个单一的主机或网络, 监控异构系统及大规模网络的明显不足。在同一时间, 不同的IDS系统不能一起工作, 以解决这个问题, 需要检测技术和分布式入侵的常见入侵检测框架。CIDF建设为目标的一般的IDS体系结构和通信系统, 跟踪和电网配电系统EMER-ALD实施入侵, 入侵大型网络和复杂的环境检测技术的分析。

分布式入侵检测系统采用了单控制台、多检测器的方式对大规模网络的主干网信道进行入侵检测和安全监测, 具有良好的可扩展性和灵活的可配置性。入侵检测器广泛分布在计算机网络的各个不同的网段中, 进行数据采集与入侵检测, 将经过预处理的数据汇总到控制中心, 控制中心将把各个区域检测器传来的分散数据融合在一起, 进行全面的威胁评测, 判断是否需要发出预警, 对入侵行为进行响应。

5 结束语

在中国, 随着互联网的关键部门, 越来越多的关键业务使得入侵检测产品迫切需要一个独立的版权。入侵检测对一个国家的社会生产和国民经济信息系统的影响越来越重要, 信息战已逐渐在世界上被各个国家, “在信息化战争武器”的主要攻击是网络入侵技术, 信息的一个战防御包括“保护”, “检测技术”和“响应”, 入侵检测技术是“检测”和“响应”不可缺少的一部分。

参考文献

[1]彭文灵, 张忠明.入侵检测技术在网络安全中的应用研究[J].赣南师范学院学报, 2003 (3) .

基于入侵防护系统的网络安全研究 篇6

随着网络入侵事件的不断增加和黑客攻击水平的不断提高, 几乎各个网站都在不同程度上受到入侵与攻击, 尤其是混合型的入侵与攻击。因此, 防范和消除各种威胁, 保证网络安全成为网络发展中最重要的事情。

防火墙 (Firewall) 和入侵检测系统 (IDS) 一直是用户维护网络安全的主要工具, 然而, 它们并不能完全满足纵深防御对检测和反应能力的要求。其中防火墙是粗粒度的访问控制产品, 只能对网络层的数据包进行过滤, 对于应用级的攻击不具备阻止能力, 而且防火墙对于内部网的攻击也无能为力, 易造成安全漏洞。而入侵检测系统应用旁路检测网络攻击行为, 虽然可以弥补防火墙的不足, 能够检测出来自网络内部和外部发起的攻击和网络异常行为, 但它只能被动地检测到攻击而不能主动地阻断攻击, 且入侵检测系统对攻击活动检测的可靠性不高。尽管入侵检测系统能够与防火墙进行联动, 把入侵和攻击通过IDS的响应机制报告防火墙, 再由防火墙对攻击行为实施阻断, 但实时性较差, 且过多的错误报警也使得防火墙难以响应。防火墙和IDS的部署如图1所示。

针对以上网络安全防护的现状及防火墙和IDS所存在的缺陷, 现代的网络安全需要一种更为积极的、有效的、主动的动态防御技术来加以保障。本文结合网络安全发展趋势及入侵防护系统 (IPS) 对网络安全进行讨论。

1 入侵防护系统IPS

1.1 IPS概念

入侵防护系统 (IPS:Intrusion Prevention System) 是针对入侵检测系统不能提供主动防御的特点而提出的一种新的安全技术, 它与只检测和报告已发生的攻击行为的IDS不同, 它部署在网络的进出口处, 不但能检测入侵的发生, 而且能通过一定的响应方式, 在网络系统受到入侵和攻击之前主动地将攻击包丢掉或采取相应措施将攻击源阻断, 实时地终止入侵行为的发生, 保护信息系统不受实质性攻击, 有效地实现主动防御。IPS的部署如图2所示。

形象地讲, IDS好比火灾预警装置, 当火灾发生时自动报警, 但无法阻止火灾的蔓延, 必须有人来进行灭火;而IPS好比智能灭火装置, 当发现发生火灾时, 它会主动采取措施进行灭火, 不需要人的干预。与IDS相比IPS能够对网络起到较好的主动防御作用。

1.2 IPS 原理

IPS实现实时检查和阻止入侵的原理在于IPS检测引擎针对所有数据包进行分类, 并为不同的攻击行为设置了数目众多的过滤器, 每种过滤器都设有相应的过滤规则, 只有满足这些规则的数据包才会被确认为不包含恶意攻击内容。为了确保准确性, 这些过滤规则定义得非常广泛。IPS通过直接嵌入到网络流量中实现这一功能, 即通过一个网络端口接收来自外部系统的流量, 经过检查确认其中不包含异常活动或可疑内容后, 再通过另外一个端口将它传送到内部系统中。这样一来, 有问题的数据包, 以及所有来自同一数据流的后续数据包, 都能在 IPS 设备中被清除掉。而且当新的攻击手段被发现后, IPS就会创建一个新的过滤器并将其添加到检测引擎中。IPS的工作原理如图3所示。

IPS引擎是专业化定制的集成电路, 可以深层检查数据包的内容。所有流经IPS的数据包都将被分类, 分类的依据是数据包的报头信息, 如源IP地址和目的IP地址、端口号和作用域。分类将报头信息解析至一个有意义的域中进行上下文分析, 以提高检测准确性。而过滤器则集合了流水和大规模并行处理硬件, IPS过滤器根据相应的过滤规则, 逐一字节的检查和分析相对应的数据包。通过检查的数据包可以继续前进, 包含恶意内容的数据包就会被丢弃, 被怀疑的数据包需要接受进一步的检查。运用并行过滤处理以保证全部的网络数据包能够不间断地快速通过系统, 不会对速度造成影响。这种硬件加速技术对于IPS具有重要意义, 因为传统的软件解决方案必须逐个进行过滤检查, 会导致系统性能大打折扣。

例如, 在对付缓冲溢出攻击时, 引擎给出一个应用层中的缓冲参数, 然后评估其特性用来探测是否存在攻击行为。为了防止攻击到达攻击目标, 在某一数据流被确定为恶意攻击时, 属于该数据流的所有数据包都将被丢弃。

1.3 IPS 特征

入侵防护系统 (IPS) 向受保护目标提供主动防护, 其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截, 避免其造成损失, 而不是简单地在恶意流量传送时或传送后才发出警报。

因此, 典型的IPS技术应有以下4大特征:①嵌入式运行:只有以嵌入模式运行的 IPS 设备才能够实现实时的安全防护, 实时阻拦所有可疑的数据包, 并对该数据流的剩余部分进行拦截;②深入分析和控制:IPS必须具有深入分析能力, 以确定哪些恶意流量已经被拦截, 根据攻击类型、策略等来确定哪些流量应该被拦截;③入侵特征库:高质量的入侵特征库是IPS高效运行的必要条件, IPS还应该定期升级入侵特征库, 并快速应用到所有传感器;④高效处理能力:IPS必须具有高效处理数据包的能力, 对整个网络性能的影响保持在最低水平。

2 IPS面临的挑战

IPS作为一种可以实现对网络入侵与攻击进行主动防御和实时阻断的安全防护技术, 也面对很多挑战, 其中主要有3点:

(1) 单点故障。

设计要求IPS必须以嵌入模式工作在网络中, 而这就可能造成瓶颈问题或单点故障 (如图2所示) 。如果IDS出现故障, 最坏的情况也就是造成某些攻击无法被检测到, 而嵌入式的IPS设备出现问题, 就会严重影响网络的正常运转。如果IPS出现故障而关闭, 用户就会面对一个由IPS造成的拒绝服务问题, 所有客户都将无法访问企业网络提供的应用。

解决方案:一般的IPS都具备Fail-open的功能, 保证在防护系统出现故障时网络仍正常可用, 但此时可能没有了检测和阻断的功能。因此, 如何尽量避免单点故障就成了IPS所以解决的首要问题。

(2) 性能瓶颈。

即使 IPS 设备不出现故障, 它仍然是一个潜在的网络瓶颈, 不仅会增加滞后时间, 而且会降低网络的效率, IPS必须与数千兆或者更大容量的网络流量保持同步, 尤其是当加载了数量庞大的检测特征库时, 设计不够完善的 IPS 嵌入设备无法支持这种响应速度。那么存在哪些方法来提高IPS的运行效率?

解决方案:在软件和算法上, 我们可以通过信息融合和主动数据库等技术来提高分析速度;在硬件上, 可以采用网络处理器 (网络芯片) 、专用芯片FPGA 编程芯片和专用的ASIC 芯片等来提高IPS的运行效率。但这些改进现在一般都是针对高端的IPS产品而实施的, 全部应用仍需进一步研究。

(3) 误报和漏报。

在繁忙的网络当中, 如果以每秒需要处理10条警报信息来计算, IPS每小时至少需要处理36, 000条警报, 一天就是 864, 000条。一旦生成了警报, 最基本的要求就是IPS能够对警报进行有效处理。如果入侵特征编写得不是十分完善, 它就会因为放过真正的攻击或阻断合法的事务而造成损失。对于实时在线的IPS来说, 一旦拦截了"攻击性"数据包, 就会对来自可疑攻击者的所有数据流进行拦截。如果触发了误报警报的流量恰好是某个客户订单的一部分, 其结果可想而知, 这个客户整个会话就会被关闭, 而且此后该客户所有重新连接到企业网络的合法访问都会被"尽职尽责"的IPS拦截。

解决方案:为了避免这种情况, IPS 应当综合运用多种检测方法, 全方位识别网络环境, 最大限度地正确判断已知和未知攻击, 减少错误告警和错误的阻断。

3 结束语

本文紧密结合网络安全技术发展趋势, 对入侵防护系统IPS的工作原理、技术特征进行了研究, 由文中可知IPS弥补了防火墙和入侵检测系统在网络安全防护上的缺陷, 但IPS也存在一些问题需要我们去进一步解决。不过, IPS的不足并不会阻止人们使用IPS, 因为安全功能的融合是大势所趋, 而IPS顺应了这一潮流。

摘要：入侵防护系统 (IPS) 是一种不同于防火墙和入侵检测系统IDS的网络安全防范系统, 它能对入侵活动和攻击行为实施主动防御和实时阻断, 改变了传统网络安全防护体系被动防守的局面, 使网络安全防护变得更积极、主动。介绍了有关IPS的防护原理、技术特征及存在的问题和解决方案。

关键词：网络安全,防火墙,入侵检测系统,入侵防护系统

参考文献

[1]唐正军.入侵检测技术[M].北京:清华大学出版社, 2010.

[2]刘远生.计算机网络安全[M].北京:清华大学出版社, 2007.

[3]曹元大.入侵检测技术[M].北京:人民邮电出版社, 2007.

[4]马丽, 袁津生, 王雅超.基于行为的入侵防护系统研究[J].网络安全技术与应用, 2006 (6) .