攻击检测技术漫谈(上)
网络安全中的攻击检测与反制
网络安全中的攻击检测与反制一、引言随着互联网的快速发展,网络安全问题也日益凸显。
黑客攻击、病毒传播等威胁不断涌现,给个人、组织和国家带来了巨大的损失和风险。
因此,网络安全中的攻击检测与反制成为了迫切需要解决的问题。
本文将从攻击检测的原理和技术、常见的攻击类型及其特征、反制措施等方面探讨网络安全中的攻击检测与反制。
二、攻击检测的原理和技术1. 原理攻击检测是通过对网络流量进行实时监控和分析,识别出各种恶意行为和攻击尝试。
其原理基于对正常网络行为进行建模,通过与模型进行对比,分析异常行为和可疑活动,进而确定是否存在攻击或威胁。
2. 技术(1)基于规则的检测:该技术是通过事先定义一系列规则,如果网络流量与规则匹配,则判定为攻击行为。
优点是检测准确率高,但缺点是难以对新型攻击进行及时发现。
(2)行为分析:该技术通过对网络上各种行为进行建模和学习,检测出异常行为或活动。
通过监测和分析多维度的行为特征,快速识别异常情况。
这种技术适用于新型攻击的检测,但误报率较高。
(3)机器学习:该技术通过训练机器学习模型,使其能够通过学习数据识别和分析未知的攻击。
利用大数据和深度学习算法,大大提高了攻击检测的准确性。
三、常见的攻击类型及其特征1. DoS/DDoS 攻击DoS(Denial of Service)和DDoS(Distributed Denial of Service)攻击旨在通过占用目标网络的带宽或系统资源,使其无法正常提供服务。
其特征包括大量无效请求、异常流量增加、服务器资源耗尽等。
2. 僵尸网络攻击僵尸网络是通过感染大量主机并控制之,形成庞大的网络攻击力量。
攻击者可以利用僵尸网络进行DDoS攻击、垃圾邮件发送等活动。
其特征是多个IP地址对同一目标发起攻击。
3. SQL 注入攻击SQL注入攻击是通过在Web应用程序中注入恶意的数据库查询语句,从而获取非法的数据或实施破坏。
其特征是通过恶意字符在数据库查询中引发异常,例如在输入框中输入' OR 1=1 --。
谈网络攻击检测技术
1 l 6 ・
信 息 产 业
谈 网络攻击检测 技术
陈诺斯
( 武汉长江工商学院 网络信 息中心 , 湖北 武汉 4 3 0 0 0 0 ) 摘 要: 网络安全技 术中, 防火墙是所有保护网络 的方法中最能普遍接 受的方法 , 能阻挡 外部入侵 者, 但对 内部攻击无能为力 ; 同时,
防火墙绝对不是坚不哥摧的, 即使是某些防火墙本身也会引起一些安全问题。
关键词 : 网络攻击 ; 检测 ; 信 息收集 ; 信号分析 从实现 的防护功能讲, 网络攻击 检测 技术实现的是一种静态 的 3 . 1“ 金海豚” 网络动态 防护系统的设计原理 被动防护, 其安全 防护 的层次处在 网络 的边界, 能阻止大部分 的外部 信息获取系统分布于网络 的各关键信息点及多种主机,连续 地 攻击, 但是对 内部攻击却无能为力。 获取网络攻击信息及收集主机审计数 据, 并与 中心监控平 台发生信 1 信 息 收 集 息交互, 把各 地的数据转换成与操作 系统独立 的格 式, 传输到中心检 攻击检测的第一步是信息收集, 内容包 括系统 、 网络 、 数据及用 测平台, 存放在缓存器 “ c a c h e ” 中, 以供中心监控平 台进行实时分 析。 户活动 的状态和行为 。而且, 需 要在计算 机网络系统 中的若干不 同 中心处理机构是一个信息综合智能处理 中心, 根据 获取 的实时攻击 并调用 网络系统的历史数据 与知识,通过数字计算与智能推 关键点收集信 息, 这除了尽 可能扩大检测范 围的因素外, 还有一个重 信号, 要 的因素就是从一个源来 的信息有可能看不 出疑点, 但从几个源来 理, 实现攻击识别 与毁损评估。然后 , 分别与响应机构与数据恢复机 的信息 的不一致性却是可疑行为或攻击 的最好标识 。当然, 攻击检 构发生信息交互 。响应机构根据攻击 状态和毁损情况, 做 出系统的 测很大程度上依赖于收集信息 的可靠性和正确性, 因此, 很有必要 只 响应决策, 完成如下响应控制操作 : 断开连接; 封 锁访 问用户账号 ; 通 利用所知道的真正的和精确 的软件来报告 这些信息 。 过 日志记录攻击; 给适 当的人预警 。并根据用户需求, 在与数据恢复 2 信 号 分 析 机构信息交互的情况下, 产生 网络攻击检测报告 。数据存贮 主要完 对上述 四类 收集 到的有关系统 、 网络 、 数据及用 户活动的状态 成原始数据与攻击特征数据的存贮 。管理员通过 G U I( 图形用户界 和行 为等信息, 一般通过 三种技术 手段 进行分析 : 模式 匹配 , 统计分 面) 可对 中心监控平 台进行控制与协调, 并通过与信息检测装置 间的 析 和完整性分析 。其 中前两种方法用于实 时的攻 击检测, 而完整性 远程通信实现对 “ 金海豚 ” 网络动态防护系统的安全 管理功能 。 分析则用于事后分析。 3 . 2 “ 金海豚 ” 网络动态 防护系统的检测分析方法 2 . 1 模式匹配 “ 金 海豚 ” 网络动态防护系统的分 析有 三种 : 智能分析; 动态模板 模式匹配就是将收 集到的信息 与已知的 网络攻击 和系统误用 分析; 策 略分析 。智能分析包括一个 由各种攻击特 征组 成的知识库 模式数据库进行 比较, 从而发现违背安全策略的行为 。该过程可 以 和一个推理机, 可 以实现对 已知攻击进行识别 。动 态模 板分析是采 很简单, 也可 以很复杂。一般来讲, 一种进攻模式 可以用一个过程或 用模糊 和统计方 法, 针对 主机 、 重要信息或用户 , 建立访 问特 性的动 个输 出来表示 。该方法 的一大优点是 只需 收集 相关 的数据集合, 态模板, 然后,把所获取 的用户访问的实时信息, 与动态模板进 比较, 显著减少系统负担, 且技术 已相 当成熟 。它与病毒防火墙采用 的方 根据差异程度 , 判别访 问行为是否正常。为确保动态模 板的时新 性, 法一样, 检测准确率和效率都相 当高 。 系统按照一定 的时 间对动态模板进行更新 。 策略分析是根据所检测 2 . 2 统计分析 的网络系统的管理规范及操作规程, 建立策略分析的知识库 , 从而实 统计分 析方法首先 给系统对象 创建一个 统计描述 ,统计正 常 现管理与技术 的结合 。 使用时 的一些测量属性 。测量属性 的平均值将被用来与 网络 、 系统 3 . 3“ 金海豚” 网络 动 态 防 护 系统 的功 能 与 性能 特 点 的行为进行 比较, 任何观察值在正 常值范 围之外时, 就 认为有攻击发 系统的防护特点是集中在检 测层 , 其防护具有 以下特点 : 内部防 生。 护;主动防护; 动态防护 。是实时检测分析功能: 对外部 攻击 和 内部 2 . 3 完 整 性 分 析 滥用的检测; 主机监测数据的实 时分析; 异 常检测 、 滥用检测和基于 完整性分析主要关注某个文件或对象是否被更 改, 这经常包括 安全策略检测相结合; 基于用户动态行为轮廓, 检测网络异常访问行 文件 和 目录 的内容及属性 , 它在发 现被更改 的、 被特 洛伊化的应用 为( 如冒名顶替) 。学 习并维护一个反 映用户长期行 为的正常轮廓, 实 程序方 面特别有效 。完整性分析利用强有力 的加 密机 制, 称为消息 现轮廓更新与轮廓老化; 栉 根据行为正 常轮廓检测偏 离, 实现异常 摘要函数, 它能识 别哪怕是微小 的变化。 检测。#检测分析系统能独立于被监测 主机操作系统。实时响应功 3“ 金 海豚 ” 网络 动 态 防 护 系统 能: 攻击实时告警 , 并通过界 面显示预警结 果; 实时断开与封 锁攻击 “ 金海豚 ”网络动态防护系统是一 种以主机基攻击检测技术为 用户;管理员 可以根据需要 断开 、 封锁与解锁用户 。监 测信 息实时 核心 的网络安全 防护系统, 由中心监 控平 台和具有代理功能 的分布 获取功 能: 实时获取 主机监测数据 ; 实现关 键文件与标 志用户监测 ; 式信 息检测装 置组成 的客户 7服务器系统, 基 于主机环境, 能对 网络 按统一的监测记录格式, 实现监 测数 据的实时转换; 实现对监测数据 系统 的非授权 使用及 系统合法 用户 的滥用行 为进行实 时检 测 、 识 过滤。管理与配置功能管理 功能 : 维护检测识别规则库 , 并可对规则 别、 预警与控制 的网络攻击检 测系统 。“ 金海豚” 网络动态 防护 系统 库按需求作调整; #实现对检测信息 的查询; 拥有数据管理功 能, 能对 是在北京理工大学 网络安全技术实验室 自主研究成果 “ I n t r u D e t 网 数据库数 据实现稳定 、 有效存贮 , 具有数 据库数据 的查 询与检 索能 络攻击检测 系统 ” 基础上开 发的 、 基 于分布信 息检测 的客户 I 服务 力; 具有报警管理 功能, 按需 要生成预警报 告, 并对 预警结果进 行解 器系统产品 。系统工作在主机与网络环境下, 实现对网络系统的非 释及对冗余预警进行压缩 。 配置功 能参动态添加 和删除被监测主机 授权使用及合法用户滥用行为的实时检测 、 预警 与控制 。该产 品的 及监测数据源 。可见, 攻击检测是防火墙 的合理补充, 帮助系统对付 技术成果 I n t r u D e t 网络攻击 检测系统, 2 0 0 0年 7月 8日通过北京市 网络攻击 , 扩展 了系统管理员的安全管理能力( 包括安全审计 、 监视 、 科学技 术委员会组 织的技术鉴 定, 认 为该 系统“ 是 国内第一 个具有 进攻识别 和响应) , 提高了信息安全基础结构 的完整性。 完全 自主知识产权 的网络安全产品, 填补 了国内在网络攻击检测系 参考文献 统研究领域的空白, 系统 的理论水平和技术方法, 已经超过 国际 同类 [ 1 】王炽鸿. 计算机辅助设计『 M】 . 北京: 机械 工业 出版社, 1 9 9 8 . 商用产品, 达到同类 系统研究 的国际先进水平 ” 。 【 2 ] - r e 4 洁. 基 于度量的软件 维护过程 管理的研 究【 D 】 . 西安 : 西北大学, 0 0 6 . 该产品 2 0 0 0年 1 2月通 过公安部信 息安全产 品评测 中心 的检 2 测, 并获公安部信 息网络安全管理监督局颁 发的信息安全产品销售 许可证。
网络攻击检测技术的研究及其实现
网络攻击检测技术的研究及其实现随着互联网的普及,网络攻击日益猖獗,严重威胁着网络安全。
为保障网络安全,网络攻击检测技术应运而生。
如何研究及实现网络攻击检测技术,便成为当前亟待解决的问题。
一、网络攻击检测技术的现状网络攻击检测技术主要包括入侵检测系统(IDS)和入侵防御系统(IPS)。
前者通过监控网络中的数据包来识别网络攻击,后者则在 IDS 的基础上增加了防御措施,以抵御网络攻击。
目前,IDS 系统主要有两种检测方式:基于特征的检测和基于异常的检测。
前者通过事先确定攻击的特征来进行检测,准确性高但局限性强;后者利用机器学习等技术检测网络中的异常行为,可以发现未知攻击,但误报率较高。
另外,近年来,云安全也是一个备受关注的话题。
云安全主要围绕云计算环境中的数据、应用程序、基础设施、网络和身份验证等方面展开。
云安全与传统的安全检测技术有所不同,需要结合云计算的特性来进行研究和实践。
二、网络攻击检测技术的研究方向在当前的技术背景下,网络攻击检测技术的研究方向集中在以下几个方面:1. 深度学习技术。
深度学习是一种基于人工神经网络的机器学习技术,具有识别复杂模式的能力。
将深度学习应用于网络攻击检测,可以提高攻击检测的准确性和效率。
2. 基于行为的检测技术。
该技术以网络行为为检测对象,通过对网络上各种流量、会话、连接和交互行为的分析,可以发现潜在的攻击。
基于行为的检测技术可以从网络角度抵御一些跳过传统安全防护手段的攻击。
3. 基于云计算的攻击检测技术。
云安全需要建立在云计算特有的安全架构上,因此,需要针对云计算中的特殊场景,研究适合云环境的安全机制。
三、网络攻击检测技术的实现方法网络攻击检测技术的实现方法主要有两种:基于网络流量的检测和基于系统日志的检测。
前者通过对网络流量的分析,来检测网络攻击;后者则通过分析操作系统、应用程序和服务等产生的日志信息,来发现异常行为。
基于网络流量的检测需要采集网络数据包,并对数据包进行深入分析。
网络安全中的网络攻击检测技术综述
网络安全中的网络攻击检测技术综述随着现代社会中互联网的普及和应用,网络安全已经成为了当今世界亟需解决的问题之一。
网络攻击作为其中的重要组成部分,给互联网的安全带来了严峻的挑战。
为了对网络攻击进行有效的检测和应对,各种网络攻击检测技术应运而生。
本文将对网络攻击检测技术进行综述,介绍常见的网络攻击类型和相应的检测技术。
首先,我们来了解一下网络攻击的类型。
网络攻击主要可以分为三类:主动攻击、被动攻击和分布式攻击。
主动攻击是指攻击者主动发起的攻击行为,例如入侵、拒绝服务攻击(DDoS)等;被动攻击是指攻击者获取信息的行为,例如网络监听、窃取密码等;分布式攻击则是指使用分布式网络的攻击方式,例如僵尸网络、蠕虫病毒等。
在网络攻击检测技术方面,传统的签名检测技术是最早和最常见的一种方法。
这种方法通过预先定义的特征码(即签名)来匹配网络流量中的恶意行为。
然而,由于攻击者不断变换攻击策略,传统的签名检测技术往往无法及时更新签名数据库,从而导致漏报和误报现象。
因此,基于行为的检测技术应运而生。
基于行为的检测技术通过分析网络流量中的行为模式来检测异常活动。
相比于传统的签名检测技术,基于行为的检测技术具有更高的准确率和可靠性。
近年来,机器学习在网络攻击检测中的应用越来越受到关注。
机器学习通过从海量的网络流量数据中学习和发现规律,并据此对未知流量进行分类和判断。
常见的机器学习算法包括支持向量机(SVM)、随机森林(Random Forest)、卷积神经网络(CNN)等。
这些算法根据网络流量数据的特征进行自动化的学习和分类,大大提高了网络攻击检测的准确率和效率。
除了机器学习,深度学习也被广泛运用于网络攻击检测中。
深度学习是一种模仿人脑神经网络的算法,通过构建多层次的神经元网络,从而实现对复杂数据的学习和判断。
在网络攻击检测中,深度学习通过对网络流量数据进行大规模的训练和学习,能够对未知攻击进行准确的检测和分析。
然而,深度学习算法需要大量的计算资源和时间,同时对于小规模的网络环境可能会带来过拟合的问题。
计算机网络安全中的攻击检测与防范技术
计算机网络安全中的攻击检测与防范技术随着互联网的普及,越来越多的人们开始把重要的信息放在网络上。
而网络攻击也因此变得越来越猖獗。
为了确保网络的稳定性和安全性,计算机网络安全中的攻击检测与防范技术也因此显得尤为重要。
一、攻击检测技术攻击检测技术是指对网络中的攻击行为进行及时发现和定位。
在实际的网络环境中,攻击的手段和方式繁多复杂,攻击者的行为也往往具有隐蔽性和变异性,因此对攻击的检测也会面临很大的挑战。
当前攻击检测技术主要分为3种类型:1. 基于规则的检测技术基于规则的检测技术是指在网络中预先设置一些规则或者阈值,当网络中的流量超过或违反规则时即产生告警。
这种技术的实现方式简单,但通常需要耗费大量的人力、物力和财力,同时也会存在误报率较高等问题。
2. 基于行为的检测技术基于行为的检测技术是指通过分析网络中流量的行为模式来判断是否存在攻击行为。
这种技术可以快速地发现新型攻击,但对于已经被发现的攻击则可能会存在检测不出来的问题。
3. 基于机器学习的检测技术基于机器学习的检测技术是指利用机器学习算法对网络流量进行分类和识别,并根据分类结果来判断是否存在攻击行为。
这种技术能够自适应地学习新的攻击方式,同时误报率较低,但需要大量的数据集和训练时间。
二、攻击防范技术攻击防范技术是指针对网络攻击进行防御的技术。
对于网络安全来说,一旦攻击行为被检测出来,就需要立刻采取有效措施进行防御。
常见的攻击防范技术有以下几种:1. 防火墙防火墙是指一种网络安全设备,它可以通过过滤网络中流量的方式来保护网络的安全。
防火墙通常可以设置规则来限制特定的网络流量,防范网络攻击。
2. 入侵检测系统入侵检测系统是指一种能够进行实时监控并检测网络攻击行为的系统。
它不同于防火墙,主要关注网络中流量的行为模式,对于已经被发现但是还没有被防止的攻击行为进行快速响应。
3. 蜜罐蜜罐是指一种具有诱饵性质的设备或者虚拟服务器,它被设计成易被攻击的目标,目的在于吸引攻击者进行攻击,以便在蜜罐被攻击时收集到更多的攻击数据和信息。
网络安全中的攻击检测与防御技术探析
网络安全中的攻击检测与防御技术探析随着互联网的快速发展,网络安全问题也日益突出。
攻击者利用各种安全漏洞和技术手段对网络进行攻击,给个人和组织带来了巨大的损失。
而对于网络管理员和安全专业人员来说,攻击检测与防御技术显得尤为重要。
本文将探析网络安全中的攻击检测与防御技术,分析其关键概念、方法和工具。
一、攻击检测技术攻击检测是网络安全的第一道防线,其目的是及时发现并对网络攻击进行响应,以防止更大的损失。
攻击检测技术主要可以分为主动式和被动式两类。
1.主动式攻击检测技术主动式攻击检测技术是指通过主动监测和扫描网络系统,寻找潜在的攻击入口和异常行为。
其中,常用的技术手段包括端口扫描、漏洞扫描、入侵检测系统等。
端口扫描是指对目标主机进行端口状态的扫描,以发现可能存在的安全漏洞。
通过对常用端口的扫描,可以判断目标主机是否开放了不应该开放的端口,从而及时进行修复和加固。
漏洞扫描是指通过自动化工具扫描目标主机的系统和应用程序,检测其中可能存在的漏洞。
漏洞扫描工具可以自动化执行漏洞扫描任务,并生成报告,帮助管理员及时修复漏洞,提升系统安全性。
入侵检测系统(IDS)是一种通过主动监测和分析网络流量,及时发现和响应可能的攻击行为的技术。
IDS可以分为主机入侵检测系统(HIDS)和网络入侵检测系统(NIDS)。
HIDS监测和分析主机上的日志和系统调用,判断是否存在异常行为;NIDS则监测网络流量,通过分析数据包内容来检测攻击行为。
2.被动式攻击检测技术被动式攻击检测技术是指通过分析网络流量和日志记录来发现已经发生的攻击,以及攻击者的攻击手法和目标。
被动式检测技术广泛运用于入侵检测和入侵防御系统中。
被动式攻击检测技术主要包括日志分析、事件管理和行为监测等。
日志分析是指对网络设备、服务器和应用程序的日志记录进行分析,发现其中的异常行为和攻击痕迹。
事件管理是建立和管理安全事件的数据库,以便跟踪和分析发生的安全事件。
行为监测是通过监控网络流量和系统行为,发现其中的异常行为和攻击特征。
攻击检测技术漫谈(上)
攻击检测技术漫谈(上)
刘启原
【期刊名称】《计算机与通信》
【年(卷),期】1998(000)010
【摘要】攻击检测技术漫谈(上)刘启原编者按:随着以网络为核心的信息技术日新月异的发展,尤其是Internet/Intranet在全球的迅速普及及电子商务的兴起,网络安全问题正日益为人们所关注。
为了帮助广大用户(包括企业用户)在保证安全的前提下尽量享受丰富的网...
【总页数】3页(P38-40)
【作者】刘启原
【作者单位】无
【正文语种】中文
【中图分类】TP393
【相关文献】
1.攻击检测技术漫谈(下) [J], 刘启原
2.攻击检测技术漫谈(上) [J], 刘启原
3.攻击检测技术漫谈(下) [J], 刘启原
4.黑客的脚印——攻击检测技术漫谈 [J],
5.服务器集群网络攻击中非确定攻击检测技术研究 [J], 蒋华
因版权原因,仅展示原文概要,查看原文内容请购买。
网络攻防中的攻击检测技术研究
网络攻防中的攻击检测技术研究网络攻击与防御是网络世界中不可避免的问题,随着网络技术的发展和普及,网络攻击的手段也愈加复杂和隐蔽,给网络安全带来了更大的挑战。
如何及时、准确地检测网络中的潜在攻击行为,成为了网络安全领域中研究的重点之一。
本文将围绕网络攻击检测技术展开论述,以探究网络攻击检测技术的现状和未来发展方向。
一、网络攻击检测技术的概述网络攻击检测技术是指通过对网络流量、设备日志等数据进行分析和处理,识别出网络中存在的攻击行为,并及时采取相应的防御措施,保障网络安全。
在网络攻击检测技术的方案设计中,常用的方法包括基于规则、基于统计以及机器学习技术。
基于规则的网络攻击检测技术依据已有的规则和特征集对网络中的流量进行分析,识别出网络攻击行为。
这种方法的优点是检测准确率高、误报率低,但是需要手动维护规则集,无法适应规模较大、网络形态较为复杂的网络环境。
基于统计的网络攻击检测技术则是通过对网络流量进行离线或实时分析,提取出网络流量的统计信息,以此来判断是否存在网络攻击行为。
与基于规则的方法相比,基于统计的方法能够提高网络攻击检测的效率,但是对于低频攻击效果不好,且对检测结果的解释性较弱。
机器学习技术的出现解决了基于规则和基于统计检测方法的不足之处。
机器学习技术能够自动建立模型,利用统计学和概率论方法对海量数据进行分析,从而实现对网络攻击行为的自动识别和分类。
机器学习在网络攻击检测领域的应用越来越广泛,基于机器学习的网络攻击检测技术也日益完善。
二、基于机器学习的网络攻击检测技术基于机器学习的网络攻击检测技术包括监督学习、无监督学习以及半监督学习等多种方法。
1. 监督学习监督学习方法利用已有的标注数据构建模型,从而进行攻击检测。
常用的监督学习方法包括KNN、SVM、决策树等。
其中SVM是最常用的监督学习算法之一,可以有效地处理高维数据,具有良好的分类性能。
决策树算法以树形结构表示模型,通过对数据集的逐层分解,构建出一颗判别树,从而实现对网络攻击行为的分类。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
了实 现
存取 控制
”
。
”
,
首 先需 要实现
身份标 识 授权
”
”
/
;
用 于 攻 击 检测 等安全 目 的
必须 配 备 自动 工 具 对
。
身份 鉴 别
,
然 后 以 此为基 础建 立
、
“
机制
以 期尽 早 发 现那 些 可 疑事 件
由 于 已 经 从理 论上 证明 不存在 绝 对 安全 的 安全 系
给 出报 警 或 对 抗措 施
, ,
s
.
,
,
、|| /
供 应商
S ll i f
e r
。
它将旗下产 品 汇成单一集成环境
P GP
、
命名为
Ne t T
o l ( 全面企业 网络解决方案 ) s
。
其中包含的品牌有 M c
A
、
e f
、
Cy
e b
r
Co p 和 Z A C
。
38
计 算机 与 通 信
199 8
年
10
期
、
可 疑 的攻 击 行 为时
ta
。
同 时审 计跟踪 还能 用 以 证
。
明一 个受 到 怀疑 的人 是真 的有 罪 还是 无 辜 的 息来 建立 跟踪 文 件
了 性 能测 试 或计 费
,
其 思 路与 流 行 的 数据 挖掘 ( D a
大 型的 计算 机 系统 中都 收集 审计 信
Mi n i n g )技 术 是 极其 类似 的
系统根
外部 攻 击
。为 了从 大量的源自有时 是 冗余 的审 计 跟 踪 数据
,
唯一 方法
能够 在
,
中提 取 出对安 全功 能 有 用 的 信 息 或检 测 工 具是 很必 要的
及 安全 的信 息
。 ,
基 于计 算机 系
一 定 程度 上 使用 户为其 失误 或 非法行 为负 责 而增 强他 们 的责 任感 早期 中
、
从
统审 计跟 踪信 息 设 计 和实 现的 系统 安全 自动分 析 可 以 用 于从 中筛 选 出 涉
像 电子 商 务这 种 应 用 是
。
通 用 的 审计 跟 踪 能 提供 用 J
, ,
将 在很 大 程度 上 取 决 于 人 建立 安
“ “
攻 击 检测 的 重 要 信 息 磁盘 空 间 的数 量等 等 攻击 检测 的相 关信 息 审 计 数据 进行 分析 或行 为 的 线索
, ,
例 如 什 么 人运行 了 什 么 程
,
系统提 供 实时 的警报
, 。
,
在攻
保持 跟 踪 并监 测 (S t a (
In t
n
记 录 该用 户 的 行为
h io n
。
。
S R 工 IDE S
击 发 生时 就 能提 供 攻 击者 的有 关信 息 包括 攻击 企 图 指 向的信 息
2
.
其 中 可以
fo i
r
d
Re s e
一
a r e
In
s
t it u t e
使 用 过 内存 和
们对 网 络 环境 下 的信 息系统 安全 的信心 全 信 息 系统 的 中心是 实现 控制
“ ”
,
何 时访 问或 修改 过 哪 些 文 件
。 。
存取控 制
“
”
,
或
访问
。
但也 可能 漏掉部 分 重 要的 为 了 使通 用 的审 计跟 踪能
,
并且将 其 作 为最基 本的 一 道安 全防 线 为
。
保 证信 息 系统安 全 的 主 要 问 题 是 建 立 安全 机 制
,
意义
。
迄 今 为止 已 发 展 了 许 多安 全机 制
:
,
,
但 安全 问
对于 攻 击 企 图 / 成功 攻 击 程度 是 不 能保 证 的 序
, 。
,
被动审 计 的检 出
二
题仍 然备 受 怀疑 和关注 否会 得 到充 分的推 广
)研 制 开发 的
Sy 乱e
r u s
o n
De
tc e t
Ex
t 详r
m )是 一个典
攻 击 分类
,
型 的实 时检 测系统 一 般 至 少 应 当考虑 如 下 三类
、 。
工 D ES
系统能 根据 用 户 以前 的
。
在 安全 系统 中 安全 威胁
:
历 史 行 为决定 用 户 当前 的行 为是 否 合法
这些 审计跟 踪 的 目的 多是 为
因 此 对攻 击检 测提供 的有 用 最 主 要 的 困 难 在 于 审 计信 息
,
,
基 于 审 计 的 自动分 析检测 工 具 可 以 是 脱机的
,
,
信 息 比较 少 粒 度 的安 排
,
。
此外
,
也 就 是分 析 工 具 非 实 时地 对审 计跟踪 文 件 提供的
,
对 于 人 工检 查而 言
由 于 其 不 可 行 而毫 无
对 审计跟 踪 文件提 供 的信 息进行 同 步 处 理
当有
|\/
( IN r k As e two o 一 家齐备 网络 管理 防病 毒
NA
、
*
c
、
a e i t
t r a 市 是业界 唯一 ) 即 美 国 网 络联盟 公 司 它 的 总 部设在美 国加 州 a S na C a l 防火墙 等 网 络安 全 产 品 的软 件供应商 也是全球最大的企业 网 络安全 和管理解决方案 Ic n
网络 与 信 息 安全 专 栏
攻 击检侧 技 术
漫
编者按
:
一 本栏 由 美 国 网 络联 盟北京办 事处协办
谈 (上 )
刘启原
,
随 着 以 网 络 为核 心 的 信 息技 术 日 新 月异 的 发 展
, ,
e r ne t / , n七r a 尤 其 是 In 七 n
。
e:
在 全球 的
,
迅 速 普 及 及 电 子 商 务的 兴 起 界 著名 的 网 络 安 全公 司 N A
统
因 此一 般将 审 计跟 踪
、
攻 击检 测系统 作为 信
。
息 系统的 最 后 一 道安全 防 线 审计 跟踪 范能 力
, 。
基 于 审计信息的攻击检 测 技术
1
.
攻击检 测具 有最 后 防线性 质的 防
, ,
检 测技术 分类
、
它 也许 是 用 来发 现合 法用 户 滥 用 特权 的 另外 它还提 供 了 一 种 机 制
,
信 息进行 处理
,
从而得 到 计算机 系统 是 否 受 到 过
。 ,
即 当审计 信息 粒度较 细时
, ,
数据 量
,
攻 击的结 论 并 且 提 供 尽 可 能 多的攻 击者的 信息 此外
,
过 于庞 大和 细 节 化 而将 有 用 的信 息淹没 在其 中
因此
也 可 以 是联机 的
也就是 分析 工 具 实时地
r
网 络 安 全 问 题 正 日 益 为 人 们所 关 注
为 了帮 助 广 大 用户 ( 包括 企
19 8
业 用户 )在 保 证安 全 的 前提 下 尽 量 享 受丰 富的 网 络 资 源
本 刊 决 定从
”
0 期起 年 第1
与世
联 合开设
“
网 络 与信
息安 全
这一栏 目
。
欢 迎 从 事 网 络 工 作 的 专 家及技 术 工 作人 员踊 跃 来 稿