入侵检测系统
第八章入侵检测系统
第一节引言
通过电子手段对一个组织信息库的恶意攻击称为信息战(information warfare)。攻击的目的可能干扰组织的正常活动,甚至企图对组织的信息库造成严重的破坏。对信息战的各种抵抗措施都可归结为三类:保护、检测、响应。
保护 (入侵的防范)指保护硬件、软件、数据抵御各种攻击的技术。目前各种网络安全设施如防火墙及VPN,各种加密技术,身份认证技术,易攻击性扫描等都属于保护的范围之内,它们是计算机系统的第一道防线。
检测 (入侵的检测)研究如何高效正确地检测网络攻击。只有入侵防范不足以保护计算机的安全,任何系统及协议都不可避免地存在缺陷,可能是协议本身也可能是协议的实现,还有一些技术之外的社会关系问题,都能威胁信息安全。因此即使采用这些保护措施,入侵者仍可能利用相应缺陷攻入系统,这意味着入侵检测具有其他安全措施所不能代替的作用。
响应 (入侵的响应)是入侵检测之后的处理工作,主要包括损失评估,根除入侵者留下的后门,数据恢复,收集入侵者留下的证据等。这三种安全措施构成完整的信息战防御系统。
入侵检测(Intrusion Detection,ID)是本章讨论的主题之一,它通过监测计算机系统的某些信息,加以分析,检测入侵行为,并做出反应。入侵检测系统所检测的系统信息包括系统记录,网络流量,应用程序日志等。入侵(Intrusion)定义为未经授权的计算机使用者以及不正当使用(misuse)计算机的合法用户(内部威胁),危害或试图危害资源的完整性、保密性、可用性的行为。入侵检测系统(Intrusion Detection System,IDS)是实现入侵检测功能的硬件与软件。入侵检测基于这样一个假设,即:入侵行为与正常行为有显著的不同,因而是可以检测的。入侵检测的研究开始于20世纪80年代,进入90年代入侵检测成为研究与应用的热点,其间出现了许多研究原型与商业产品。
入侵检测系统在功能上是入侵防范系统的补充,而并不是入侵防范系统的替代。相反,它与这些系统共同工作,检测出已经躲过这些系统控制的攻击行为。入侵检测系统是计算机系统安全、网络安全的第二道防线。
一个理想的入侵检测系统具有如下特性:
?能以最小的人为干预持续运行。
?能够从系统崩溃中恢复和重置。
?能抵抗攻击。IDS必须能监测自身和检测自己是否已经被攻击者所改变。
?运行时占用系统的开销最小。
?能够根据被监视系统的安全策略进行配置。
?能在使用过程中适应系统和用户行为的改变。
当被监控系统的规模和受攻击的机会增加时,我们认为下列的特征也同样重要:?能够检测具有一定规模的网络。
?保证当IDS某一部分被攻破时,对其余部分造成的影响尽可能的小。
?允许动态的再配置,即它必须有不用重新启动而能再次配置的功能。
?提供很低的误报率。
?提供互操作性,在不同环境中运行的IDS组件能够相互作用。
?提供方便的用户界面,使管理者方便地配置和监视系统。
?能够以实时或接近于实时的方式检测入侵。
目前的入侵检测系统(包括研究的原型和商业化的IDS)的数目已经超过一百个,它们只具有上述特征的一部分。
第二节入侵检测系统结构
CIDF (Common Intrusion Detection Framework)定义了通用的IDS系统结构,它将入侵检测系统分为四个功能模块,如图8.1所示:
图8.1 CIDF模型
事件产生器(Event generater, E-box)收集入侵检测事件,并提供给IDS其他部件处理,是IDS的信息源。事件包含的范围很广泛,既可以是网络活动也可是系统调用序列等系统信息。事件的质量、数量与种类对IDS性能的影响极大。
事件分析器(Analysis engine, A-box)对输入的事件进行分析并检测入侵。许多IDS的研究都集中于如何提高事件分析器的能力,包括提高对已知入侵识别的准确性以及提高发现未知入侵的几率等。
事件数据库(Event database, D-box)E-boxes 和 A-boxes 产生大量的数据,这些数据必须被妥善地存储,以备将来使用。D-box的功能就是存储和管理这些数据,用于IDS的训练和证据保存。
事件响应器(Response unit, C-box)对入侵做出响应,包括向管理员发出警告,切断入侵连接,根除入侵者留下的后门以及数据恢复等。
CIDF概括了IDS的功能,并进行了合理的划分。利用这个模型可描述当今现有的各种IDS的系统结构。对IDS的设计及实现提供了有价值的指导。
第三节入侵检测系统分类
为了准确地分类,首先要确定用来分类的IDS特征。IDS是复杂的系统,若只用一种特征分类,结果将是粗糙的。因此本章根据多种特征对IDS进行了不同角度的分类。事件分析器是IDS的核心部分,故首先对检测方法进行分类。其次从事件产生器的角度分类,将采集事件种类或采集事件的方法作为分类标准。
一、检测方法分类
入侵检测的方法可大体分为两类:滥用检测(misuse detection)、异常检测(anomaly detection)。在IDS中,任何一个事件都可能属于以下三种情况: ?已知入侵
?已知正常状态
?无法判定状态
第三种事件可能是一种未知的入侵, 也可能是正常状态,但在现有的系统和技术下无法判定。目前的检测方法都是对已知入侵和已知正常状态的识别,其中滥用检测识别已知入侵,但对于无法判定状态中的未知入侵将漏报(false negative),异常检测根据已知的正常状态将已知入侵、无法判定状态都当作异常,因此会产生误报(false positive)。
(一)滥用检测
根据对已知入侵的知识,在输入事件中检测入侵。这种方法不关心正常行为,只研究已知入侵,能较准确地检测已知入侵,但对未知入侵的检测能力有限。目前大多数的商业IDS都使用此类方法。滥用检测所采用的技术包括:
(二)专家系统
使用专家系统技术,用规则表示入侵。通常使用的是 forward-chaining、production-based等专家系统工具。例如DARPA的Emerald项目,将P-BEST工具箱应用于入侵检测。
(三)状态转换模型
将入侵表示为一系列系统状态转换,通过监视系统或网络状态的改变发现入侵。典型系统是NetSTAT。
(四)协议分析与字符串匹配
将已知攻击模式与输入事件进行匹配以判定入侵的发生,这种方法具有速度高、扩展性好的特点,但容易产生误报。典型系统包括shadow、Bro和Snort等。
(五)异常检测
与滥用检测相反,异常检测对系统正常状态进行研究,通过监测用户行为模式、主机系统调用特征、网络连接状态等,建立系统常态模型。在运行中,将当前系统行为与常态模型进行比较,根据其与常态偏离的程度判定事件的性质。这种方法很有可
能检测到未知入侵与变种攻击,但现有系统通常都存在大量的误报。未知入侵的检测是IDS中最具挑战性的问题,其难度比不正当行为检测要大。异常检测通常使用统计学方法和机器学习方法。
(六)统计学方法
使用统计分析方法建立系统常态模型。统计的数据源包括:用户的击键特征、telnet对话的平均长度等。通过监测输入值与期望值的偏离程度判断事件的属性,Emerald和cmds都包括了这种方式。
(七)机器学习方法
将机器学习领域的方法和工具如神经网络、数据挖掘、遗传算法、贝叶斯网络和人工免疫系统等应用于异常检测中。这种方法也是通过建立常态模型进行异常识别。每种方法都具有不同的适用范围和特色。目前研究的热点之一是噪声数据学习。(八)混合检测
上述两类检测方法各有所长,滥用检测能够准确高效地发现已知攻击;异常检测能识别未知攻击。目前任何一种系统都不能很好地完成全部入侵检测任务。混合IDS 中同时包含模式识别与异常识别系统,并且根据两种方法的特点对其进行分工,既能精确识别已知攻击,又能发现部分未知攻击,可减少误报和漏报。Emerlad是一种典型的混合系统。
二、系统结构分类
从IDS所监视的事件种类上可分为基于网络的IDS(Network-based IDS,NIDS)和基于主机的IDS。按照IDS的响应方式可分为实时IDS和非实时IDS,按照采集事件的方式分为分布式IDS与集中式IDS。
基于主机的IDS数据源包括:系统调用序列,存储系统的活动记录,系统日志等。由于基于主机的IDS对主机的信息有充分的掌握并且拥有对主机的较强的控制权,因此与网络入侵检测系统相比,其检测的准确性更高,误报率更低。同时基于主机的IDS 更难以欺骗,对攻击的响应也更有效:可切断入侵连接,杀死进程。它的缺点是只能对一个主机进行保护,并对主机产生一定的负担,而且移植性差。
基于网络的IDS通过监视网络流量检测入侵活动,简称为网络入侵检测系统(NIDS)。NIDS能对整个网络加以保护,其优点在于简便性和可移植性。NIDS的使用不会对现有网络系统造成明显影响,并能应用于各种网络环境。网络入侵检测系统由于只处理网络数据,对数据的语义掌握是不充分的,容易受到攻击和欺骗。适应高速网及提高可扩展性是NIDS需要解决的问题。
以上两种IDS都不能单独完成有效的入侵检测,二者的结合能达到取长补短的效果。目前一些商业IDS已经采用了这种方案,如RealSecurity,Axnet。
IDS的应用规模也是一个重要的参数。现有的商业IDS的应用范围都是局域网。随着网络入侵的发展,攻击已进化为从不同主机发起的协同攻击。对这种攻击的检测是
现有IDS所不能胜任的,需要依靠多点分布式网络入侵检测系统,通过联防来检测。
三、典型的入侵检测系统
IDS的研究从上世纪80年代就已开始,第一个商业IDS也在1991年诞生。目前各种IDS研究项目和商业产品的数量极为庞大,下面对具有代表性的入侵检测系统加以介绍,分为商业IDS、IDS研究项目和自由软件三个类别。
(一)开放源码的IDS项目:Snort
Snort是一种运行于单机的基于滥用检测的网络入侵检测系统。Snort通过libpcap获取网络包,并进行协议分析。它定义了一种简单灵活的网络入侵描述语言,对网络入侵进行描述 (入侵特征或入侵信号)。Snort根据入侵描述对网络数据进行匹配和搜索,能够检测到多种网络攻击与侦察,包括:缓冲区溢出攻击,端口扫描,CGI 攻击,SMB侦察等。并提供了多种攻击响应方式。对于最新的攻击方法,使用Snort 的入侵描述语言能够快速方便地写出新攻击的描述,从而使Snort能够检测到这种攻击。在Internet上已建立了发布Snort入侵模式数据库的站点。Snort是极具活力的自由软件,在世界各地的志愿者开发下,技术和功能在不断提高。
(二)商业产品
国际市场上的主流商业IDS产品大部分为基于网络的,采用滥用检测方法的系统。主要有:
1、RealSecure
RealSecure 由Internet Security Systems(ISS)开发,包括三种系统部件:网络入侵检测agent,主机入侵检测agent和管理控制台。RealSecure属于分布式结构,每个网络监视器运行于专用的工作站上,监视不同的网段。RealSecure的入侵检测方法属于滥用检测,能够检测几乎所有的主流攻击方式,并实现了基于主机检测和基于网络检测的无缝集成。对于不同的应用程序如Exchange、MS SQL、LDAP、Oracle和Sybase 等,RealSecure提供了专门的系统代理进行入侵检测。整个系统由一个管理程序进行配置和与用户的交互,可提供安全报告等信息。RealSecure的缺点是无法进行包重组,这使得它容易受到欺骗。ISS在七种IDS的评测中得到了最高的评价。
2、NFR
Network Flight Rec order? (NFR)是一种基于滥用检测的网络入侵检测系统。它提供两种版本:商业版,研究版(提供源码),目前已停止了研究版的发行。NFR使用经过修改的Libpcap进行网络抓包,并拥有一种完善的包分析脚本语言N-code,通过它编写对各种攻击的检测及处理程序。NFR是世界上第一种具有TCP包重组功能的IDS 产品,这使得NFR能够抵抗Ptacek和Newsham提出的躲避IDS的方法。
(三)研究系统主要包括:
1、EMERALD
EMERALD (Event Monitoring Enabling Responses to Anomalous Live
Disturbances)是DARPA入侵检测研究的一个子项目,集成了滥用检测模块和异常检测分析模块协同进行分析。它的开发充分应用了软件工程的思想,系统各模块具有独立性、可重用性。系统的设计目标包括可快速集成新颖的分析技术,能够迅速适应现有网络环境配置的动态改变等。
EMERALD应用了专家系统P-BEST实现滥用检测,应用统计分析技术实现异常检测。系统结构是一种易扩充的分布式结构,监视器之间可进行通信,形成分层次的结构。监视器具有跨网通信能力,可共享分析方法,协作检测分布式网络攻击,适合于大型广域网的入侵检测。EMERALD仍在不断的发展,它采用的技术和方法代表着IDS技术发展的方向。
2、JAM
JAM是DARPA的一个研究项目,采用了分布式多代理结构。每个agent在不同的数据源上分布式学习,并共享知识。JAM还应用了数据挖掘技术和meta-learning技术用于异常检测。目前JAM正在从实验系统转向应用,其技术将应用于NFR的新一代产品中。
入侵检测技术 课后答案
精品文档 . 第1章入侵检测概述 思考题: (1)分布式入侵检测系统(DIDS)是如何把基于主机的入侵检测方法和基于网络的入侵检测方法集成在一起的? 答:分布式入侵检测系统是将主机入侵检测和网络入侵检测的能力集成的第一次尝试,以便于一个集中式的安全管理小组能够跟踪安全侵犯和网络间的入侵。DIDS的最初概念是采用集中式控制技术,向DIDS中心控制器发报告。 DIDS解决了这样几个问题。在大型网络互联中的一个棘手问题是在网络环境下跟踪网络用户和文件。DIDS允许用户在该环境中通过自动跨越被监视的网络跟踪和得到用户身份的相关信息来处理这个问题。DIDS是第一个具有这个能力的入侵检测系统。 DIDS解决的另一个问题是如何从发生在系统不同的抽象层次的事件中发现相关数据或事件。这类信息要求要理解它们对整个网络的影响,DIDS用一个6层入侵检测模型提取数据相关性,每层代表了对数据的一次变换结果。 (2)入侵检测作用体现在哪些方面? 答:一般来说,入侵检测系统的作用体现在以下几个方面: ●监控、分析用户和系统的活动; ●审计系统的配置和弱点; ●评估关键系统和数据文件的完整性; ●识别攻击的活动模式; ●对异常活动进行统计分析; ●对操作系统进行审计跟踪管理,识别违反政策的用户活动。 (3)为什么说研究入侵检测非常必要? 答:计算机网络安全应提供保密性、完整性以及抵抗拒绝服务的能力,但是由于连网用户的增加,网上电子商务开辟的广阔前景,越来越多的系统受到入侵者的攻击。为了对付这些攻击企图,可以要求所有的用户确认并验证自己的身份,并使用严格的访问控制机制,还可以用各种密码学方法对数据提供保护,但是这并不完全可行。另一种对付破坏系统企图的理想方法是建立一个完全安全的系统。但这样的话,就要求所有的用户能识别和认证自己,还要采用各种各样的加密技术和强访问控制策略来保护数据。而从实际上看,这根本是不可能的。 因此,一个实用的方法是建立比较容易实现的安全系统,同时按照一定的安全策略建立相应的安全辅助系统。入侵检测系统就是这样一类系统,现在安全软件的开发方式基本上就是按照这个思路进行的。就目前系统安全状况而言,系统存在被攻击的可能性。如果系统遭到攻击,只要尽可能地检测到,甚至是实时地检测到,然后采取适当的处理
第八章入侵检测系统
第八章入侵检测系统 第一节引言 通过电子手段对一个组织信息库的恶意攻击称为信息战(information warfare)。攻击的目的可能干扰组织的正常活动,甚至企图对组织的信息库造成严重的破坏。对信息战的各种抵抗措施都可归结为三类:保护、检测、响应。 保护 (入侵的防范)指保护硬件、软件、数据抵御各种攻击的技术。目前各种网络安全设施如防火墙及VPN,各种加密技术,身份认证技术,易攻击性扫描等都属于保护的范围之内,它们是计算机系统的第一道防线。 检测 (入侵的检测)研究如何高效正确地检测网络攻击。只有入侵防范不足以保护计算机的安全,任何系统及协议都不可避免地存在缺陷,可能是协议本身也可能是协议的实现,还有一些技术之外的社会关系问题,都能威胁信息安全。因此即使采用这些保护措施,入侵者仍可能利用相应缺陷攻入系统,这意味着入侵检测具有其他安全措施所不能代替的作用。 响应 (入侵的响应)是入侵检测之后的处理工作,主要包括损失评估,根除入侵者留下的后门,数据恢复,收集入侵者留下的证据等。这三种安全措施构成完整的信息战防御系统。 入侵检测(Intrusion Detection,ID)是本章讨论的主题之一,它通过监测计算机系统的某些信息,加以分析,检测入侵行为,并做出反应。入侵检测系统所检测的系统信息包括系统记录,网络流量,应用程序日志等。入侵(Intrusion)定义为未经授权的计算机使用者以及不正当使用(misuse)计算机的合法用户(内部威胁),危害或试图危害资源的完整性、保密性、可用性的行为。入侵检测系统(Intrusion Detection System,IDS)是实现入侵检测功能的硬件与软件。入侵检测基于这样一个假设,即:入侵行为与正常行为有显著的不同,因而是可以检测的。入侵检测的研究开始于20世纪80年代,进入90年代入侵检测成为研究与应用的热点,其间出现了许多研究原型与商业产品。 入侵检测系统在功能上是入侵防范系统的补充,而并不是入侵防范系统的替代。相反,它与这些系统共同工作,检测出已经躲过这些系统控制的攻击行为。入侵检测系统是计算机系统安全、网络安全的第二道防线。 一个理想的入侵检测系统具有如下特性: ?能以最小的人为干预持续运行。 ?能够从系统崩溃中恢复和重置。 ?能抵抗攻击。IDS必须能监测自身和检测自己是否已经被攻击者所改变。
入侵检测部署方案
1.1 入侵检测部署方案 1.1.1需求分析 利用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安全的网络保护,降低了网络安全风险,但是入侵者可寻找防火墙背后可能敞开的后门,或者入侵者也可能就在防火墙内。通过部署安全措施,要实现主动阻断针对信息系统的各种攻击,如病毒、木马、间谍软件、可疑代码、端口扫描、DoS/DDoS等,能防御针对操作系统漏洞的攻击,能够实现应用层的安全防护,保护核心信息资产的免受攻击危害。 针对网络的具体情况和行业特点,我们得到的入侵检测的需求包括以下几个方面: ●入侵检测要求 能够对攻击行为进行检测,是对入侵检测设备的核心需求,要求可以检测的种类包括:基于特征的检测、异常行为检测(包括针对各种服务器的攻击等)、可移动存储设备检测等等。 ●自身安全性要求 作为网络安全设备,入侵检测系统必须具有很高的安全性,配置文件需要加密保存,管理台和探测器之间的通讯必须采用加密的方式,探测器要可以去除协议栈,并且能够抵抗各种攻击。 ●日志审计要求 系统能对入侵警报信息分类过滤、进行统计或生成报表。对客户端、服务器端的不同地址和不同服务协议的流量分析。可以选择不同的时间间隔生成报表,反映用户在一定时期内受到的攻击类型、严重程度、发生频率、攻击来源等信息,使管理员随时对网络安全状况有正确的了解。可以根据管理员的选择,定制不同形式的报表。 ●实时响应要求
当入侵检测报警系统发现网络入侵和内部的违规操作时,将针对预先设置的规则,对事件进行实时应急响应。根据不同级别的入侵行为能做出不同方式告警,用以提醒管理人员及时发现问题,并采取有效措施,控制事态发展。报警信息要分为不同的级别:对有入侵动机的行为向用户显示提示信息、对严重的违规现象实行警告通知、对极其危险的攻击可通过网管或者互动防火墙进行及时阻断、以及向安全管理中心报告。另外,必须在基于规则和相应的报警条件下,对不恰当的网络流量进行拦截。 联动要求 入侵检测系统必须能够与防火墙实现安全联动,当入侵检测系统发现攻击行为时,能够及时通知防火墙,防火墙根据入侵检测发送来的消息,动态生成安全规则,将可疑主机阻挡在网络之外,实现动态的防护体系!进一步提升网络的安全性。 1.1.2方案设计 网络入侵检测系统位于有敏感数据需要保护的网络上,通过实时侦听网络数据流,寻找网络违规模式和未授权的网络访问尝试。当发现网络违规行为和未授权的网络访问时,网络监控系统能够根据系统安全策略做出反应,包括实时报警、事件登录,或执行用户自定义的安全策略等。 入侵检测系统可以部署在网络中的核心,这里我们建议在网络中采用入侵检测系统,监视并记录网络中的所有访问行为和操作,有效防止非法操作和恶
入侵检测分系统安全方案
支持集中管理的分布工作模式,能够远程监控。可以对每一个探测器 进行远程配置,可以监测多个网络出口或应用于广域网络监测,并支 持加密 通信和认证。 具备完善的攻击检测能力,如监视E-Mail 攻击、Web 攻击、RPC 攻 击、NFS 攻击、Telnet 攻击.监视非授权网络传输;监视口令攻击、 扫描攻击、特洛 伊攻击、拒绝服务攻击、防火墙攻击、Daemon 攻击、 监视非授权网络访问等。 9.提供相应硬件设备。 第一章入侵检测分系统安全方案 7.1设计目标 能提供安全审讣、监视、攻击识别和反攻击等多项功能,对内部攻 击、外部攻击和误操作进行实时监控。 通过入侵检测探测器和安全服务中心对网络内流动的数据包进行获 取和分析处理,发现网络攻击行为或者符合用户自定义策略的操作, 及时报警。 与网御Power V-203防火墙互动响应,阻断攻击行为,实时地实现入 侵防御。 7. 2技术要求 L 具有对主机、防火墙、交换机等网络设备监控的功能。 2. 3. 具备从56Kbps 到T3以上速率管理多个网段的功能,包括4/16Mbps 令牌环、lO/lOOMbps 以太网及FDDIo 支持实时网络数据流跟踪,网络攻击模式识别。 4. 支持网络安全事件的自动响应。即能够自动响应网络安全事件,包括 控制台报警;记录网络安全事件的详细宿息,并提示系统安全管理员 采取一定的安全措施;实时阻断连接。 5, 自动生成按用户策略筛选的网络日志。 6. 支持用户自定义网络安全策略和网络安全事件。 7.
7. 3配置方案 根据蚌埠广电局网络系统和应用系统的要求,配置一台入侵检测控制台和2 个引擎。入侵检测安全控制中心安装在内部网管理区的一台主机上,对入侵检测探测器1和入侵检测探测器2进行控制和管理。 入侵检测探测器与网络的连接方式主要有3钟,第一,与防火墙吊联;第二, 在内网区(或者SSN区)与防火墙之间加装一台集线器,并将其两个接口接入集线器;第三,安装在内网区(或者SSN区)交换机的监听口上。从尽可能不影响网络效率和可靠性的角度考虑,我们选择了第三种连接方式。 7.4选型建议 本方案推荐釆用联想先进的细粒度检测技术推出的网御IDS N800网络入侵 检测系统。 选择选用联想网御IDS N800网络入侵检测系统是因为该产品不仅能够满足 “蚌埠广电局网安全系统包技术指标要求”规定的入侵检测系统技术要求,同时该产品还具有以下显著的技术特点: 实时数据包收集及分析: 联想网御IDS N800不使用原有的协议而用特殊的网络驱动,在MAC层 收集.分析数据包,因此保证了数据包收集及分析的实时性和完整性。 稳定.高效的网络探测器:网络探测器采用多线程设计,网络数据的获取、分析、处理、及针对入侵行为的响应动作均独立进行,并在数据处理过程中进行了合理的分类,优化了处理过程■大大提高了网络探测器在数据流量较大的情况下稳定和较小丢包率的性能。 灵活的用方式和多网卡支持功能:联想网御IDS N800具有高灵活性接入 的特点,为了检测外部的入侵及对其响应,探测器放在外部网络和内部网络的连接路口(有防火墙时,可放在防火墙的内侧或外侧)。支持100Mbps Full Duplex(200Mbps),为了检测通过网关的所有数据流,入侵探测器使 用三个网络适配器(分别用于检测各个接收的数据流、发送的数据流和入侵响应专用适配器)和分线器可以放置在基于共享二层网络结构内的,也可而且在提供监听能力的交换网络环境中也可以正常的工作。一个探测器可支持到8个网络适配器,可灵活的在多种网络环境中根据检测的需求进行部署。 简单.易用的全中文控制台界面:联想网御IDS N800提供了基于浏览器 的控制台界面,操作简单、容易掌握。不需安装特殊的客户端软件,方便用户移动式管理。所有信息全中文显示,例如警报信息、警报的详细描述等,人机界面简洁、亲切,便于使用。
网络安全技术习题及答案 入侵检测系统
第9章入侵检测系统 1. 单项选择题 1)B 2)D 3)D 4)C 5)A 6)D 2、简答题 (1)什么叫入侵检测,入侵检测系统有哪些功能? 入侵检测系统(简称“IDS”)就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。 入侵检测系统功能主要有: 识别黑客常用入侵与攻击手段 监控网络异常通信
鉴别对系统漏洞及后门的利用 完善网络安全管理 (2)根据检测对象的不同,入侵检测系统可分哪几种? 根据检测对象的不同,入侵检测系统可分为基于主机的入侵检测基于网络的入侵检测、混合型三种。主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源。主机型入侵检测系统保护的一般是所在的系统。网络型入侵检测系统的数据源是网络上的数据包。一般网络型入侵检测系统担负着保护整个网段的任务。混合型是基于主机和基于网络的入侵检测系统的结合,它为前两种方案提供了互补,还提供了入侵检测的集中管理,采用这种技术能实现对入侵行为的全方位检测。 (3)常用的入侵检测系统的技术有哪几种?其原理分别是什么? 常用的入侵检测系统的技术有两种,一种基于误用检测(Anomal Detection),另一种基于异常检测(Misuse Detection)。 对于基于误用的检测技术来说,首先要定义违背安全策略事件的特征,检测主要判别这类特征是否在所收集到的数据中出现,如果检测到该行为在入侵特征库中,说明是入侵行为,此方法非常类似杀毒软件。基于误用的检测技术对于已知的攻击,它可以详细、准确的报告出攻击类型,但是对未知攻击却效果有限,而且知识库必须不断更新。 基于异常的检测技术则是先定义一组系统正常情况的数值,如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出),然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的正常情况。异常检测只能识别出那些与正常过程有较
网络入侵检测原理与技术
网络入侵检测原理与技术 摘要:计算机网络技术的发展和应用对人类生活方式的影响越来越大,通过Internet人们的交流越来越方便快捷,以此同时安全问题也一直存在着,而人们却一直未给予足够的重视,结果连接到Internet上的计算机暴露在愈来愈频繁的攻击中,基于计算机、网络的信息安全问题已经成为非常严重的问题。 关键词:入侵检测;入侵检测系统;入侵检测系统的原理、方法、技术 一、网络入侵及其原因 简单来说,网络安全问题可以分为两个方面: 1)网络本身的安全; 2)所传输的信息的安全。 那么,我们之所以要进行网络入侵检测,原因主要有以下几个:1)黑客攻击日益猖獗 2)传统安全产品存在相当多的问题 二、入侵检测原理、方法及技术 1、入侵检测概念 入侵检测是指对潜在的有预谋的未经授权的访问信息、操作信息以及致使系统不可靠、不稳定或者无法使用的企图的检测和监视。它是对安全保护的一种积极主动地防御策略,它从计算机网络系统中的若干关键点收集信息,并进行相应的分析,以检查网路中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后第二道安全闸门,在不影响网路性能的前提下对网络进行监测,从而提供对内外部攻击和误操作的实时保护。 2、入侵检测模型
3、入侵检测原理 根据入侵检测模型,入侵检测系统的原理可以分为以下两种: 1)异常检测原理 该原理根据系统或者用户的非正常行为和使用计算机资源的非正常情况来检测入侵行为。 异常检测原理根据假设攻击和正常的活动的很大的差异来识别攻击。首先收集一段正常操作的活动记录,然后建立代表用户、主机或网络连接的正常行为轮廓,再收集事件数据同时使用一些不同的方法来决定所检测到的事件活动是否正常。 基于异常检测原理的入侵检测方法和技术主要有以下几种方法: a)统计异常检测方法; b)特征选择异常检测方法; c)基于贝叶斯推理异常的检测方法; d)基于贝叶斯网络异常检测方法; e)基于模式预测异常检测方法。 其中比较成熟的方法是统计异常检测方法和特征选择异常检测方法,对这两种方法目前已有由此而开发成的软件产品面市,而其他方法都还停留在理论研究阶段。 异常检测原理的优点:无需获取攻击特征,能检测未知攻击或已知攻击的变种,且能适应用户或系统等行为的变化。 异常检测原理的缺点:一般根据经验知识选取或不断调整阈值以满足系统要求,阈值难以设定;异常不一定由攻击引起,系统易将用户或系统的特殊行为(如出错处理等)判定为入侵,同时系统的检测准确性受阈值的影响,在阈值选取不当时,会产生较多的检测错误,造成检测错误率高;攻击者可逐渐修改用户或系统行为的轮廓模型,因而检测系统易被攻击者训练;无法识别攻击的类型,因而难以采取适当的措施阻止攻击的继续。 2)误用检测原理 误用检测,也称为基于知识或基于签名的入侵检测。误用检测IDS根据已知攻击的知识建立攻击特征库,通过用户或系统行为与特征库中各种攻击模式的比较确定是否发生入侵。常用的误用检测方法和技术主要有: a)基于专家系统的检测方法; b)基于状态转移分析的检测方法; c)基于条件的概率误用检测方法; d)基于键盘监控误用检测方法; e)基于模型误用检测方法。 误用检测技术的关键问题是:攻击签名的正确表示。误用检测是根据攻击签名来判断入侵的,如何用特定的模式语言来表示这种攻击行为,是该方法的关键所在。尤其攻击签名必须能够准确地表示入侵行为及其所有可能的变种,同时又不会把非入侵行为包含进来。由于大部分的入侵行为是利用系统的漏洞和应用程序的缺陷进行攻击的,那么通过分析攻击过程的特征、条件、排列以及事件间的关系,就可具体描述入侵行为的迹象。 4、入侵检测方法 1)基于概率统计的检测 该方法是在异常入侵检测中最常用的技术,对用户行为建立模型并根据该模型,当发现出现可疑行为时进行跟踪,监视和记录该用户的行为。优越性在于理论成熟,缺点是匹配用
网络安全设计方案
1.1?某市政府网络系统现状分析 《某市电子政务工程总体规划方案》主要建设内容为:一个专网(政务通信专网),一个平台(电子政务基础平台),一个中心(安全监控和备份中心),七大数据库(经济信息数据库、法人单位基础信息数据库、自然资源和空间地理信息数据库、人口基础信息库、社会信用数据库、海洋经济信息数据库、政务动态信息数据库),十二大系统(政府办公业务资源系统、经济管理信息系统、政务决策服务信息系统、社会信用信息系统、城市通卡信息系统、多媒体增值服务信息系统、综合地理信息系统、海洋经济信息系统、金农信息系统、金水信息系统、金盾信息系统、社会保障信息系统)。主要包括: 政务通信专网 电子政务基础平台 安全监控和备份中心 政府办公业务资源系统 政务决策服务信息系统 综合地理信息系统 多媒体增值服务信息系统 某市政府中心网络安全方案设计 1.2?安全系统建设目标 本技术方案旨在为某市政府网络提供全面的网络系统安全解决方案,包括安全管理制度策略的制定、安全策略的实施体系结构的设计、安全产品的选择和部署实施,以及长期的合作和技术支持服务。系统建设目标是在不影响当前业务的前提下,实现对网络的全面安全管理。 1)?将安全策略、硬件及软件等方法结合起来,构成一个统一的防御系统,有效阻止非法用户进入网络,减少网络的安全风险; 2)?通过部署不同类型的安全产品,实现对不同层次、不同类别网络安全问题的防护; 3)?使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态。最大限度地减少损失。 具体来说,本安全方案能够实现全面网络访问控制,并能够对重要控制点进行细粒度的访问控制; 其次,对于通过对网络的流量进行实时监控,对重要服务器的运行状况进行全面监控。 1.2.1?防火墙系统设计方案 1.2.1.1?防火墙对服务器的安全保护
(完整版)基于神经网络的网络入侵检测
基于神经网络的网络入侵检测 本章从人工神经网络的角度出发,对基于神经网络的网络入侵检测系统展开研究。在尝试用不同的网络结构训练和测试神经网络后,引入dropout层并给出了一种效果较好的网络结构。基于该网络结构,对目前的神经网络训练算法进行了改进和优化,从而有效避免了训练时出现的过拟合问题,提升了训练效率。 4.1 BP神经网络相关理论 本章从学习算法与网络结构相结合的角度出发,神经网络包括单层前向网络、多层前向网络、反馈神经网络、随机神经网络、竞争神经网络等多种类型。构造人工神经网络模型时主要考虑神经元的特征、网络的拓补结构以及学习规则等。本文选择反向传播神经网络(Back Propagation Neural Network, BPNN)作为基本网络模型。 BP神经网络是一种通过误差逆传播算法训练的多层前馈神经网络,是目前应用最广泛的神经网络模型形式之一。网络中每一层的节点都只接收上一层的输出,而每一层节点的输出都只影响下一层的输入,同层节点之间没有交互,相邻两层节点之间均为全连接模式。BP神经网络在结构上分为输入层、隐含层与输出层三部分,其拓扑结构如图4-1所示。 图4-1 BP神经网络拓扑结构 Figure 4-1 Topological Structure of BP Neural Network
这里隐含层既可以是一层也可以是多层,数据在输入后由隐含层传递到输出层,通过各层的处理最终得到输出结果。 传统的BP网络算法可分为两个过程:神经网络中信号的前向传播和误差函数的反向传播。算法在执行时会不断调整网络中的权值和偏置,计算输出结果与期望结果之间的误差,当误差达到预先设定的值后,算法就会结束。 (1)前向传播 隐含层第J个节点的输出通过式(4-1)来计算: (4-1) 式中ωij代表输入层到隐含层的权重,αj代表输入层到隐含层的偏置,n 为输入层的节点个数,f(.)为激活函数。输出层第k个节点的输出通过式(4-2)来计算: (4-2) 式中ωjk代表隐含层到输出层的权重,bk代表隐含层到输出层的偏置,l为隐含层的结点个数。 根据实际输出与期望输出来计算误差,见式(4-3)。 (4-3) 式中(Yk-Ok)用ek来表示,Yk代表期望输出,m为输出层的结点个数。 当E不满足要求时,就会进入反向传播阶段。 (2)反向传播 反向传播是从输出到输入的传播过程。从式((4-1)至式(4-3 )中,可以发现网络误差E是与各层权值和偏置有关的函数,所以如果想减小误差,需要对权值和偏置进行调整。一般采取梯度下降法反向计算每层的权值增量,令权值的变化量同误差的负梯度方向成正相关,调整的原则是令误差沿负梯度方向不断减少。权值的更新公式见式(4-4),偏置的更新公式见式(4-5)。
入侵检测安全解决方案
它们处于竞争和共享的总线结构中。这种网络适用于规模不大的小型网络当中,管理简单方便,安全控制要求不高的场合。在服务器网络中,有目录服务器、邮件服务器等通过核心交换机,在经过防火墙与外网服务器相连,在通过外网防火墙与互联网相连。 网络拓扑结构安全性考虑 网络拓扑结构与网络的安全性关系很大,如果设备再好,结构设计有问题,比如拓扑结构不合理,使防火墙旋转放置在网络内部,而不是网络与外部的出口处,这样整个网络就不能抵挡外部的入侵了。设计好网络的拓扑结构,也就是使其进出口减少了收缩,把防御设备放置到网络的出入口,特别是防火墙和路由器,一定要放置在网络的边缘上,且是每个出入口均要有。 内网防火墙是一类防范措施的总称,它使得内部网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。防火墙简单的可以只用路由器实现,复杂的可以用主机甚至一个子网来实现。设置防火墙目的都是为了在内部网与外部网之间设立唯一的通道,简化网络的安全管理。
防火墙的功能有: 1、过滤掉不安全服务和非法用户 2、控制对特殊站点的访问 3、提供监视Internet安全和预警的方便端点 由于互连网的开放性,有许多防范功能的防火墙也有一些防范不到的地方: 1、防火墙不能防范不经由防火墙的攻击。例如,如果允许从受保护网内部不受限制的向外拨号,一些用户可以形成与Internet的直接的连接,从而绕过防火墙,造成一个潜在的后门攻击渠道。 2、防火墙不能防止感染了病毒的软件或文件的传输。这只能在每台主机上装反病毒软件。 3、防火墙不能防止数据驱动式攻击。当有些表面看来无害的数据被邮寄或复制到Internet主机上并被执行而发起攻击时,就会发生数据驱动攻击。 因此,防火墙只是一种整体安全防范政策的一部分。这种安全政策必须包括公开的、以便用户知道自身责任的安全准则、职员培训计划以及与网络访问、当地和远程用户认证、拨出拨入呼叫、磁盘和数据加密以及病毒防护的有关政策。
入侵检测系统的发展历史
本文由heisjay贡献 pdf文档可能在WAP端浏览体验不佳。建议您优先选择TXT,或下载源文件到本机查看。戚 技术 人侵检测系统的发展厉史 华中科技大学 摘 DIS 涂保东 要:从大量史料中整理出入侵检测系统(}n七ru]s的历史进程 : , 。。 eciDteto 。 n ys s et m , IDS )研究与开发的历史 , 为人们了解 把握
目前研究与开发的热点提供参考 }Ds 关键词 入侵检测系统 发展历史 网络安全 很早以来人们就认识到用户的行为进行适当监控络恶意的和错误的操作 应对网以阻止 etm Dl(田 入侵检测专家系统) nnte「e 。 ’‘ 被 Dete et!on 网od e l “ 正式发表 。 De
旧g 用在早期的{ t A网(AR尸)上监控 保障网络数据 re o 用户的验证信息 这是第一个基于规 , 在该文中提出了入侵检测系统的抽象模型模型基于这样一个假设入侵者: 与运行的安全 。 入侵检测思想在二十 te tn多年前就已萌穿随着I的蓬勃发展近几年来旧S得到了较深入的研则的专家系统模型采用与系统平台和应用环境无关的设计针对已知的, 使用系统的模式与正常用户的使用模 式不同 , 因此可以通过监控系统的跟 系统漏洞和恶意行为进行检测 为构
踪记录来识别入侵者的异常使用模式 从而检测出入侵者违反系统安全性的o情形Den旧g的模型是许多旧S原型 。 究和广泛的应用 1980 年 4 月Jam g es P A n des 「。on 发 ‘’ 建入侵检测系统提供了一个通用的框品同P架随后S日完成了与sA四AR的合为其提交了第一款实用的旧S产 1985 表著名的研究报告 rT卜eat Comp an ute「 eeur、t丫
网络安全之入侵检测技术
网络安全之入侵检测技 术 Revised as of 23 November 2020
网络安全之入侵检测技术 标签: 2012-07-31 14:07 中国移动通信研究院卢楠 摘要:入侵检测技术作为网络安全中的一项重要技术已有近30年的发展历史,随着中国移动网络的开放与发展,入侵检测系统(IDS)也逐渐成为保卫中国移动网络安全不可或缺的安全设备之一。在入侵检测技术发展过程中,逐步形成了2类方法、5种硬件架构,不同的方法与架构都存在其优势与不足。本文基于入侵检测的应用场景,对现有的主流技术原理、硬件体系架构进行剖析;详细分析IDS产品的测评方法与技术,并介绍了一个科学合理、方便操作的IDS测评方案。最后,从应用需求出发分析入侵检测技术的未来发展趋势。 1、背景 目前,互联网安全面临严峻的形势。因特网上频繁发生的大规模网络入侵和计算机病毒泛滥等事件使很多政府部门、商业和教育机构等都受到了不同程度的侵害,甚至造成了极大的经济损失。 随着互联网技术的不断发展,网络安全问题日益突出。网络入侵行为经常发生,网络攻击的方式也呈现出多样性和隐蔽性的特征。当前网络和信息安全面临的形势严峻,网络安全的主要威胁如图1所示。
图1 目前网络安全的主要威胁 说到网络安全防护,最常用的设备是防火墙。防火墙是通过预先定义规则并依据规则对访问进行过滤的一种设备;防火墙能利用封包的多样属性来进行过滤,例如:来源 IP 、来源端口号、目的 IP 地址或端口号、(如 WWW 或是 FTP)。对于目前复杂的网络安全来说,单纯的防火墙技术已不能完全阻止网络攻击,如:无法解决木马后门问题、不能阻止网络内部人员攻击等。据调查发现,80%的网络攻击来自于网络内部,而防火墙不能提供实时入侵检测能力,对于病毒等束手无策。因此,很多组织致力于提出更多更强大的主动策略和方案来增强网络的安全性,其中一个有效的解决途径就是入侵检测系统IDS(Intrusion Detection Systems)。 2、入侵检测技术发展历史 IDS即入侵检测系统,其英文全称为:Intrusion Detection System。入侵检测系统是依照一定的安全策略,通过软件和硬件对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或攻击结果,以保证网络系统资源的机密性、完整性和可用性。IDS通用模型如图2所示。
网络安全技术习题及答案第章入侵检测系统
第9章入侵检测系统1. 单项选择题 1) B 2) D 3) D 4) C 5) A 6) D 2、简答题 (1)什么叫入侵检测,入侵检测系统有哪些功能? 入侵检测系统(简称“IDS”)就是依照一定的,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。 入侵检测系统功能主要有: ●识别黑客常用入侵与攻击手段 ●监控网络异常通信 ●鉴别对系统漏洞及后门的利用 ●完善网络安全管理 (2)根据检测对象的不同,入侵检测系统可分哪几种? 根据检测对象的不同,入侵检测系统可分为基于主机的入侵检测基于网络的入侵检测、混合型三种。主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源。主机型入侵检测系统保护的一般是所在的系统。网络型入侵检测系统的数据源是网络上的数据包。一般网络型入侵检测系统担负着保护整个网段的任务。混合型是基于主机和基于网络的入侵检测系统的结合,它为前两种方案提供了互补,还提供了入侵检测的集中管理,采用这种技术能实现对入侵行为的全方位检测。 (3)常用的入侵检测系统的技术有哪几种?其原理分别是什么? 常用的入侵检测系统的技术有两种,一种基于误用检测(Anomal Detection),另一种基于异常检测(Misuse Detection)。 对于基于误用的检测技术来说,首先要定义违背安全策略事件的特征,检测主要判别这类特征是否在所收集到的数据中出现,如果检测到该行为在入侵特征库中,说明是入侵行为,此方法非常类似杀毒软件。基于误用的检测技术对于已知的攻击,它可以详细、准确的报告出攻击类型,但是对未知攻击却效果有限,而且知识库必须不断更新。 基于异常的检测技术则是先定义一组系统正常情况的数值,如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出),然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的正常情况。
入侵检测系统
入侵检测系统 1. 引言 1.1 背景 近年来,随着信息和网络技术的高速发展以及其它的一些利益的驱动,计算机和网络基础设施,特别是各种官方机构网站成为黑客攻击的目标,近年来由于对电子商务的热切需求,更加激化了各种入侵事件增长的趋势。作为网络安全防护工具“防火墙”的一种重要的补充措施,入侵检测系统(Intrusion Detection System,简称 IDS)得到了迅猛的发展。 依赖防火墙建立网络的组织往往是“外紧内松”,无法阻止内部人员所做的攻击,对信息流的控制缺乏灵活性从外面看似非常安全,但内部缺乏必要的安全措施。据统计,全球80%以上的入侵来自于内部。由于性能的限制,防火墙通常不能提供实时的入侵检测能力,对于企业内部人员所做的攻击,防火墙形同虚设。 入侵检测是对防火墙及其有益的补充,入侵检测系统能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中,能减少入侵攻击所造成的损失。在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入知识库内,增强系统的防范能力,避免系统再次受到入侵。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护,大大提高了网络的安全性。 1.2 背国内外研究现状 入侵检测技术国外的起步较早,有比较完善的技术和相关产品。如开放源代码的snort,虽然它已经跟不上发展的脚步,但它也是各种商业IDS的参照系;NFR公司的NID等,都已相当的完善。虽然国内起步晚,但是也有相当的商业产品:天阗IDS、绿盟冰之眼等不错的产品,不过国外有相当完善的技术基础,国内在这方面相对较弱。
入侵检测技术
入侵检测技术 一、入侵检测技术 入侵检测的研究最早可追溯到James Aderson在1980年的工作,他首先提出了入侵检测的概念,在该文中Aderson提出审计追踪可应用于监视入侵威胁,但由于当时所有已有的系统安全程序都着重于拒绝未经认证主体对重要数据的访问,这一设想的重要性当时并未被理解。1987年Dorothy.E.Denning[2]提出入侵检测系统(Intrusion Detection System,IDS)的抽象模型,首次将入侵检测的概念作为一种计算机系统安全防御问题的措施提出,与传统加密和访问控制的常用方法相比,IDS是全新的计算机安全措施。1988年的Morris Internet蠕虫事件使得Internet近5天无法使用。该事件使得对计算机安全的需要迫在眉睫,从而导致了许多IDS系统的开发研制。 入侵检测(Intrusion Detection)的定义为:识别针对计算机或网络资源的恶意企图和行为,并对此作出反应的过程。IDS则是完成如上功能的独立系统。IDS能够检测未授权对象(人或程序)针对系统的入侵企图或行为(Intrusion),同时监控授权对象对系统资源的非法操作(Misuse)。 ●从系统的不同环节收集信息; ●分析该信息,试图寻找入侵活动的特征; ●自动对检测到的行为做出响应; ●纪录并报告检测过程结果。 入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。入侵检测系统能很好的弥补防火墙的不足,从某种意义上说是防火墙的补充[1]。 二、入侵检测的分类 现有的分类,大都基于信息源和分析方法进行分类。 2.1 根据信息源的不同,分为基于主机型和基于网络型两大类 2.1.1 基于主机的入侵检测系统 基于主机的IDS可监测系统、事件和Windows NT下的安全记录以及Unix环境下的系统记录。当有文件被修改时,IDS将新的记录条目与已知的攻击特征相比较,看它们是否匹配。如果匹配,就会向系统管理员报警或者作出适当的响应。 基于主机的IDS在发展过程中融入了其他技术。检测对关键系统文件和可执行文件入侵
入侵检测安全解决方案
入侵检测安全解决方案 摘要: 随着互联网技术的飞速发展,网络安全逐渐成为一个潜在的巨大问题。但是长久以来,人们普遍关注的只是网络中信息传递的正确与否、速度怎样,而忽视了信息的安全问题,结果导致大量连接到Internet上的计算机暴露在愈来愈频繁的攻击中。因此,保证计算机系统、网络系统以及整个信息基础设施的安全已经成为刻不容缓的重要课题。本文先介绍入侵检测的概念和基本模型,然后按不同的类别分别介绍其技术特点。 关键词: 网络安全、入侵检测、入侵检测系统、蠕虫、入侵检测系统的发展 引言: 随着Internet的迅速扩张和电子商务的兴起,越来越多的企业以及政府部门依靠网络传递信息。然而网络的开放性与共享性使它很容易受到外界的攻击与破坏,信息的安全保密性受到了严重影响。与此同时,网上黑客的攻击活动也逐渐猖狂。人们发现保护资源和数据的安全,让其免受来自恶意入侵者的威胁是件非常重要的事。因此,保证计算机系统、网络系统以及整个信息基础设施的安全已经成为刻不容缓的重要课题,入侵检测技术随即产生。 正文: 该网络的拓扑结构分析 从网络拓扑图可以看出,该网络分为办公局域网、服务器网络和外网服务器,通过防火墙与互联网连接。在办公局域网中有一个交换机和一些客户机。对于办公局域网络,每台计算机处于平等的位置,两者之间的通信不用经过别的节点,它们处于竞争和共享的总线结构中。这种网络适用于规模不大的小型网络当中,管理简单方便,安全控制要求不高的场合。在服务器网络中,有目录服务器、邮件服务器等通过核心交换机,在经过防火墙与外网服务器相连,在通过外网防火墙与互联网相连。 网络拓扑结构安全性考虑 网络拓扑结构与网络的安全性关系很大,如果设备再好,结构设计有问题,比如拓扑结构不合理,使防火墙旋转放置在网络内部,而不是网络与外部的出口处,这样整个网络就不能抵挡外部的入侵了。设计好网络的拓扑结构,也就是使其进出口减少了收缩,把防御设备放置到网络的出入口,特别是防火墙和路由器,一定要放置在网络的边缘上,且是每个出入口均要有。 内网防火墙是一类防范措施的总称,它使得内部网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。防火墙简单的可以只用路由器实现,复杂的可以用主机甚至一个子网来实现。设置防火墙目的都是为了在内部网与外部网之间设立唯一的通道,简化网络的安全管理。 防火墙的功能有: 1、过滤掉不安全服务和非法用户 2、控制对特殊站点的访问 3、提供监视Internet安全和预警的方便端点 由于互连网的开放性,有许多防范功能的防火墙也有一些防范不到的地方: 1、防火墙不能防范不经由防火墙的攻击。例如,如果允许从受保护网内部不受限制的向外拨号,一些用户可以形成与Internet的直接的连接,从而绕过防火墙,造成一个潜在的后门攻击渠道。
网络入侵检测技术综述
电脑编程技巧与维护 网络入侵检测技术综述 谭兵1。吴宗文2。黄伟 (1.重庆大学软件学院,重庆400044;2.成都军区78098部队装备部,崇州611237) 摘要:入侵检测工作应在计算机网络系统中的关键节点上。介绍入侵检测的基本概念,阐述两类基本的检测技术,详细地论述了入侵检测过程及检测技术面临的挑战与发展趋势。 关键词:入侵检测;异常检测:误用检测 NetworkIntrtmionDetectionTechnology TANⅨn矿,WU历耐.HUANGWei (1.TheSchoolofSoftwareEngineering,ChongqingUniversity,Chongqing400044; 2.Chengdumilitaryregion78098armylogisticsdepartments,Chongzhou611237) Abstract:Theworkinthecomputernetworkintrusiondetectionsystem,akeynode.Thispaperintroducesthebasicconceptsofintrusiondetection,describedtwotypesofbasicdetectiontechnology,intrusiondetectionarediscussedindetail theprocessandtesttechnology challenges andtrends。 Keywords:Intrusiondetection;Anomalydetection;Misusedetection 入侵检测(IntrusionDetection),顾名思义,即是对入侵行为的发觉。它在计算机网络或计算机系统中的若干关键点收集信息,通过对这些信息的分析来发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。违反安全策略的行为有:入侵一非法用户的违规行为;滥用—用户的违规行为。 对于入侵检测的使用,人们总会问这样一个问题。如果已经安装了防火墙,给操作系统打了补丁,并为安全设置了密码,为什么还要检测入侵呢?答案非常简单:因为入侵会不断发生。举个例子,就像人们有时候会忘记锁上窗户,人们有时也会忘记正确的升级防火墙规则设置。 即使在最高级别的保护措施下,计算机系统也不是百分之百的安全。实际上,大多数计算机安全专家认为,既定的用户要求属性,如网络连接,还未能达到成为百分之百安全系统的要求。因此,必须发展入侵检测技术及系统以便及时发现并对计算机攻击行为做出反应。 l入侵检测发展 起初,系统管理员们坐在控制台前监控用户的活动来进行人侵检测。他们通过观察,例如在本地登录的闲置用户或非正常激活的闲置打印机。尽管上述方法不是足够有效的,但这一早期入侵检测模式是临时的且不可升级。 入侵检测的下一步涉及到审计日志。审计日志即系统管理员所记录的非正常和恶意行为。 在上世纪70年代末和80年代初,管理员将审计日志打印在扇形折纸上,平均每周末都能累积四到五英尺高。很明显,要在这一堆纸里进行搜索是相当耗费时间的。由于这类 本文收稿日期:2009—11-12 —110~信息量过于丰富且只能手动分析,所以管理员主要用审计日志作为判据,以便在发生特别安全事件后,确定引起这一事件的原阂。基本上不可能靠它发现正在进行的攻击。 随着存储器价格的降低,审计日志转移到网上且开发出了分析相关数据的程序。然而,分析过程慢且需频繁而密集计算,因此,入侵检测程序往往是在系统用户登录量少的夜间进行。所以,大多数的入侵行为还是在发生后才被检测到。 90年代早期,研究人员开发出了实时入侵检测系统,即对审计数据进行实时评估。由于实现了实时反应,且在一些情况下,可以预测攻击,因此,这就使攻击和试图攻击发生时即可被检测到成为可能。 近年来,很多入侵检测方面的努力都集中在一些开发的产品上,这些产品将被用户有效配置在广大网络中。在计算机环境不断持续变化和无数新攻击技术不断产生的情况下,要使安全方面也不断升级是个非常困难任务[1l。 2分类 目前,入侵检测技术可基本分为3类:异常检测、误用检测和混合检测。异常检测是假定所有入侵行为都是与正常行为不同的;误用检测是根据已知攻击的知识建立攻击特征库,通过用户或系统行为与特征库中的各种攻击模式的比较确定是否有入侵发生;混合检测模型是对异常检测模型和误用检测模犁的综合。文中详细介绍异常检测和误用检测。2.1异常检测模型 异常检测利用用户和应用软件的预期行为。将对正常行为的背离作为问题进行解释。异常检测的一个基本假设就是攻击行为异于正常行为。例如,对特定用户的日常行为(打字和数量)进行非常准确的模拟,假定某用户习惯上午lO点左右登录,看邮件,运行数据库管理,中午到下午i点休息,有极少数文件的存取出现错误等等。如果系统发现相同的用 万方数据
网络入侵检测技术
网络入侵检测技术 一、入侵检测发展史 1980年,在James P. Anderson 的文章“Computer Security Threat Monitoring and Surveillance”中[1],“入侵检测”的概念首次被提出。为开发基于主机的IDS提供了最初的理论基础。 1985年,美国国防部计算机安全中心(NCSC)正式颁布了《可信任的计算机系统评估标准》(Trusted Computer System Evalution Criteria, TCSEC)。TCSEC为预防非法入侵定义了四类七个安全级别。由低到高分别是D、C1、C2、B1、B2、B3、A1,规定C2以上级别的操作系统必须具备审计功能,并记录日志。TCSEC标准的发布对操作系统、数据库等方面的安全发展起到了很大的推动作用,是信息安全发展史上的一个里程碑。 1988年,莫里斯(Morris)蠕虫感染了Internet上近万台计算机,造成Internet持续两天停机。美国空军、国家安全局、加州大学戴维斯分校等开展对分布式入侵检测系统(DIDS)的研究,将基于主机和基于网络的检测方法集成到一起1990年,加州大学戴维斯分校的L.T.Heberlein等人提出了基于网络的入侵检测概念,即将网络数据流作为审计数据来追踪可疑的行为。 1992年,加州大学的Koral llgun开发出实时入侵检测系统USTAT(a State Transition Analysis Tool for UNIX)。他们提出的状态转换分析法,使用系统状态与状态转换的表达式描述和检测已知的入侵手段,使用反映系统状态转换的图表直观地记载渗透细节。 1994年,普渡大学计算机系COAST实验室的Mark Crosbie和Gene Spafford 研究了遗传算法在入侵检测中的应用。使用遗传算法构建的智能代理(Autonomous Agents)程序能够识别入侵行为,而且这些agents具有“学习”用户操作习惯的初步智能。