時間:2022-07-10 08:23:34
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇入侵檢測論文,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
在網絡技術日新月異的今天,論文基于網絡的計算機應用已經成為發展的主流。政府、教育、商業、金融等機構紛紛聯入Internet,全社會信息共享已逐步成為現實。然而,近年來,網上黑客的攻擊活動正以每年10倍的速度增長。因此,保證計算機系統、網絡系統以及整個信息基礎設施的安全已經成為刻不容緩的重要課題。
1防火墻
目前防范網絡攻擊最常用的方法是構建防火墻。
防火墻作為一種邊界安全的手段,在網絡安全保護中起著重要作用。其主要功能是控制對網絡的非法訪問,通過監視、限制、更改通過網絡的數據流,一方面盡可能屏蔽內部網的拓撲結構,另一方面對內屏蔽外部危險站點,以防范外對內的非法訪問。然而,防火墻存在明顯的局限性。
(1)入侵者可以找到防火墻背后可能敞開的后門。如同深宅大院的高大院墻不能擋住老鼠的偷襲一樣,防火墻有時無法阻止入侵者的攻擊。
(2)防火墻不能阻止來自內部的襲擊。調查發現,50%的攻擊都將來自于網絡內部。
(3)由于性能的限制,防火墻通常不能提供實時的入侵檢測能力。畢業論文而這一點,對于層出不窮的網絡攻擊技術來說是至關重要的。
因此,在Internet入口處部署防火墻系統是不能確保安全的。單純的防火墻策略已經無法滿足對安全高度敏感部門的需要,網絡的防衛必須采用一種縱深的、多樣化的手段。
由于傳統防火墻存在缺陷,引發了入侵檢測IDS(IntrusionDetectionSystem)的研究和開發。入侵檢測是防火墻之后的第二道安全閘門,是對防火墻的合理補充,在不影響網絡性能的情況下,通過對網絡的監測,幫助系統對付網絡攻擊,擴展系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應),提高信息安全基礎結構的完整性,提供對內部攻擊、外部攻擊和誤操作的實時保護。現在,入侵檢測已經成為網絡安全中一個重要的研究方向,在各種不同的網絡環境中發揮重要作用。
2入侵檢測
2.1入侵檢測
入侵檢測是通過從計算機網絡系統中的若干關鍵點收集信息并對其進行分析,從中發現違反安全策略的行為和遭到攻擊的跡象,并做出自動的響應。其主要功能是對用戶和系統行為的監測與分析、系統配置和漏洞的審計檢查、重要系統和數據文件的完整性評估、已知的攻擊行為模式的識別、異常行為模式的統計分析、操作系統的審計跟蹤管理及違反安全策略的用戶行為的識別。入侵檢測通過迅速地檢測入侵,在可能造成系統損壞或數據丟失之前,識別并驅除入侵者,使系統迅速恢復正常工作,并且阻止入侵者進一步的行動。同時,收集有關入侵的技術資料,用于改進和增強系統抵抗入侵的能力。
入侵檢測可分為基于主機型、基于網絡型、基于型三類。從20世紀90年代至今,英語論文已經開發出一些入侵檢測的產品,其中比較有代表性的產品有ISS(IntemetSecuritySystem)公司的Realsecure,NAI(NetworkAssociates,Inc)公司的Cybercop和Cisco公司的NetRanger。
2.2檢測技術
入侵檢測為網絡安全提供實時檢測及攻擊行為檢測,并采取相應的防護手段。例如,實時檢測通過記錄證據來進行跟蹤、恢復、斷開網絡連接等控制;攻擊行為檢測注重于發現信息系統中可能已經通過身份檢查的形跡可疑者,進一步加強信息系統的安全力度。入侵檢測的步驟如下:
收集系統、網絡、數據及用戶活動的狀態和行為的信息
入侵檢測一般采用分布式結構,在計算機網絡系統中的若干不同關鍵點(不同網段和不同主機)收集信息,一方面擴大檢測范圍,另一方面通過多個采集點的信息的比較來判斷是否存在可疑現象或發生入侵行為。
入侵檢測所利用的信息一般來自以下4個方面:系統和網絡日志文件、目錄和文件中的不期望的改變、程序執行中的不期望行為、物理形式的入侵信息。
(2)根據收集到的信息進行分析
常用的分析方法有模式匹配、統計分析、完整性分析。模式匹配是將收集到的信息與已知的網絡入侵和系統誤用模式數據庫進行比較,從而發現違背安全策略的行為。
統計分析方法首先給系統對象(如用戶、文件、目錄和設備等)創建一個統計描述,統計正常使用時的一些測量屬性。測量屬性的平均值將被用來與網絡、系統的行為進行比較。當觀察值超出正常值范圍時,就有可能發生入侵行為。該方法的難點是閾值的選擇,閾值太小可能產生錯誤的入侵報告,閾值太大可能漏報一些入侵事件。
完整性分析主要關注某個文件或對象是否被更改,包括文件和目錄的內容及屬性。該方法能有效地防范特洛伊木馬的攻擊。
3分類及存在的問題
入侵檢測通過對入侵和攻擊行為的檢測,查出系統的入侵者或合法用戶對系統資源的濫用和誤用。工作總結根據不同的檢測方法,將入侵檢測分為異常入侵檢測(AnomalyDetection)和誤用人侵檢測(MisuseDetection)。
3.1異常檢測
又稱為基于行為的檢測。其基本前提是:假定所有的入侵行為都是異常的。首先建立系統或用戶的“正常”行為特征輪廓,通過比較當前的系統或用戶的行為是否偏離正常的行為特征輪廓來判斷是否發生了入侵。此方法不依賴于是否表現出具體行為來進行檢測,是一種間接的方法。
常用的具體方法有:統計異常檢測方法、基于特征選擇異常檢測方法、基于貝葉斯推理異常檢測方法、基于貝葉斯網絡異常檢測方法、基于模式預測異常檢測方法、基于神經網絡異常檢測方法、基于機器學習異常檢測方法、基于數據采掘異常檢測方法等。
采用異常檢測的關鍵問題有如下兩個方面:
(1)特征量的選擇
在建立系統或用戶的行為特征輪廓的正常模型時,選取的特征量既要能準確地體現系統或用戶的行為特征,又能使模型最優化,即以最少的特征量就能涵蓋系統或用戶的行為特征。(2)參考閾值的選定
由于異常檢測是以正常的特征輪廓作為比較的參考基準,因此,參考閾值的選定是非常關鍵的。
閾值設定得過大,那漏警率會很高;閾值設定的過小,則虛警率就會提高。合適的參考閾值的選定是決定這一檢測方法準確率的至關重要的因素。
由此可見,異常檢測技術難點是“正常”行為特征輪廓的確定、特征量的選取、特征輪廓的更新。由于這幾個因素的制約,異常檢測的虛警率很高,但對于未知的入侵行為的檢測非常有效。此外,由于需要實時地建立和更新系統或用戶的特征輪廓,這樣所需的計算量很大,對系統的處理性能要求很高。
3.2誤用檢測
又稱為基于知識的檢測。其基本前提是:假定所有可能的入侵行為都能被識別和表示。首先,留學生論文對已知的攻擊方法進行攻擊簽名(攻擊簽名是指用一種特定的方式來表示已知的攻擊模式)表示,然后根據已經定義好的攻擊簽名,通過判斷這些攻擊簽名是否出現來判斷入侵行為的發生與否。這種方法是依據是否出現攻擊簽名來判斷入侵行為,是一種直接的方法。
常用的具體方法有:基于條件概率誤用入侵檢測方法、基于專家系統誤用入侵檢測方法、基于狀態遷移分析誤用入侵檢測方法、基于鍵盤監控誤用入侵檢測方法、基于模型誤用入侵檢測方法。誤用檢測的關鍵問題是攻擊簽名的正確表示。
誤用檢測是根據攻擊簽名來判斷入侵的,根據對已知的攻擊方法的了解,用特定的模式語言來表示這種攻擊,使得攻擊簽名能夠準確地表示入侵行為及其所有可能的變種,同時又不會把非入侵行為包含進來。由于多數入侵行為是利用系統的漏洞和應用程序的缺陷,因此,通過分析攻擊過程的特征、條件、排列以及事件間的關系,就可具體描述入侵行為的跡象。這些跡象不僅對分析已經發生的入侵行為有幫助,而且對即將發生的入侵也有預警作用。
誤用檢測將收集到的信息與已知的攻擊簽名模式庫進行比較,從中發現違背安全策略的行為。由于只需要收集相關的數據,這樣系統的負擔明顯減少。該方法類似于病毒檢測系統,其檢測的準確率和效率都比較高。但是它也存在一些缺點。
3.2.1不能檢測未知的入侵行為
由于其檢測機理是對已知的入侵方法進行模式提取,對于未知的入侵方法就不能進行有效的檢測。也就是說漏警率比較高。
3.2.2與系統的相關性很強
對于不同實現機制的操作系統,由于攻擊的方法不盡相同,很難定義出統一的模式庫。另外,誤用檢測技術也難以檢測出內部人員的入侵行為。
目前,由于誤用檢測技術比較成熟,多數的商業產品都主要是基于誤用檢測模型的。不過,為了增強檢測功能,不少產品也加入了異常檢測的方法。
4入侵檢測的發展方向
隨著信息系統對一個國家的社會生產與國民經濟的影響越來越大,再加上網絡攻擊者的攻擊工具與手法日趨復雜化,信息戰已逐步被各個國家重視。近年來,入侵檢測有如下幾個主要發展方向:
4.1分布式入侵檢測與通用入侵檢測架構
傳統的IDS一般局限于單一的主機或網絡架構,對異構系統及大規模的網絡的監測明顯不足,再加上不同的IDS系統之間不能很好地協同工作。為解決這一問題,需要采用分布式入侵檢測技術與通用入侵檢測架構。
4.2應用層入侵檢測
許多入侵的語義只有在應用層才能理解,然而目前的IDS僅能檢測到諸如Web之類的通用協議,而不能處理LotusNotes、數據庫系統等其他的應用系統。許多基于客戶/服務器結構、中間件技術及對象技術的大型應用,也需要應用層的入侵檢測保護。
4.3智能的入侵檢測
入侵方法越來越多樣化與綜合化,盡管已經有智能體、神經網絡與遺傳算法在入侵檢測領域應用研究,但是,這只是一些嘗試性的研究工作,需要對智能化的IDS加以進一步的研究,以解決其自學習與自適應能力。
4.4入侵檢測的評測方法
用戶需對眾多的IDS系統進行評價,評價指標包括IDS檢測范圍、系統資源占用、IDS自身的可靠性,從而設計出通用的入侵檢測測試與評估方法與平臺,實現對多種IDS的檢測。
4.5全面的安全防御方案
結合安全工程風險管理的思想與方法來處理網絡安全問題,將網絡安全作為一個整體工程來處理。從管理、網絡結構、加密通道、防火墻、病毒防護、入侵檢測多方位全面對所關注的網絡作全面的評估,然后提出可行的全面解決方案。
綜上所述,入侵檢測作為一種積極主動的安全防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護,使網絡系統在受到危害之前即攔截和響應入侵行為,為網絡安全增加一道屏障。隨著入侵檢測的研究與開發,并在實際應用中與其它網絡管理軟件相結合,使網絡安全可以從立體縱深、多層次防御的角度出發,形成人侵檢測、網絡管理、網絡監控三位一體化,從而更加有效地保護網絡的安全。
參考文獻
l吳新民.兩種典型的入侵檢測方法研究.計算機工程與應用,2002;38(10):181—183
2羅妍,李仲麟,陳憲.入侵檢測系統模型的比較.計算機應用,2001;21(6):29~31
3李渙洲.網絡安全與入侵檢測技術.四川師范大學學報.2001;24(3):426—428
4張慧敏,何軍,黃厚寬.入侵檢測系統.計算機應用研究,2001;18(9):38—4l
關鍵詞:網絡安全,入侵檢測
隨著計算機技術以及網絡信息技術的高速發展, 許多部門都利用互聯網建立了自己的信息系統, 以充分利用各類信息資源。但在連接信息能力、流通能力提高的同時,基于網絡連接的安全問題也日益突出。在現今的網絡安全技術中,常用的口令證、防火墻、安全審計及及加密技術等等,都屬于靜態防御技術,而系統面臨的安全威脅越來越多,新的攻擊手段也層出不窮,僅僅依靠初步的防御技術是遠遠不夠的,需要采取有效的手段對整個系統進行主動監控。入侵檢測系統是近年來網絡安全領域的熱門技術,是保障計算機及網絡安全的有力措施之一。
1 入侵檢測和入侵檢測系統基本概念
入侵檢測(Intrusion Detection)是動態的跟蹤和檢測方法的簡稱, 是對入侵行為的發覺,它通過旁路偵聽的方式,對計算機網絡和計算機系統中的若干關鍵點收集信息并對其進行分析,從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。
入侵檢測的軟件和硬件組成了入侵檢測系統(IDS:Intrusion Detection System),IDS是繼防火墻之后的第二道安全閘門,它在不影響網絡性能的情況下依照一定的安全策略,對網絡的運行狀況進行監測。它能夠幫助網絡系統快速發現網絡攻擊的發生,對得到的數據進行分析,一旦發現入侵,及進做出響應,包括切斷網絡連接、記錄或者報警等。由于入侵檢測能在不影響網絡性能的情況下對網絡進行監測,為系統提供對內部攻擊、外部攻擊和誤操作的有效保護。因此,為網絡安全提供高效的入侵檢測及相應的防護手段,它以探測與控制為技術本質,能彌補防火墻的不足,起著主動防御的作用,是網絡安全中極其重要的部分。免費論文。
2 入侵檢測系統的分類
入侵檢測系統根據其檢測數據來源分為兩類:基于主機的入侵檢測系統和基于網絡的入侵檢測系統。
基于主機的入侵檢測系統的檢測目標是主機系統和系統本地用戶。其原理是根據主機的審計數據和系統日志發現可疑事件。該系統通常運行在被監測的主機或服務器上,實時檢測主機安全性方面如操作系統日志、審核日志文件、應用程序日志文件等情況,其效果依賴于數據的準確性以及安全事件的定義。基于主機的入侵檢測系統具有檢測效率高,分析代價小,分析速度快的特點,能夠迅速并準確地定位入侵者,并可以結合操作系統和應用程序的行為特征對入侵進行進一步分析、響應。基于主機的入侵檢測系統只能檢測單個主機系統。
基于網絡的入侵檢測系統搜集來自網絡層的信息。這些信息通常通過嗅包技術,使用在混雜模式的網絡接口獲得。基于網絡的入侵檢測系統可以監視和檢測網絡層的攻擊。它具有較強的數據提取能力。在數據提取的實時性、充分性、可靠性方面優于基于主機日志的入侵檢測系統。基于網絡的入侵檢測系統可以對本網段的多個主機系統進行檢測,多個分布于不同網段上的基于網絡的入侵檢測系統可以協同工作以提供更強的入侵檢測能力。
3 入侵檢測方法
入侵檢測方法主要分為異常入侵檢測和誤用入侵檢測。
異常入侵檢測的主要前提條件是將入侵性活動作為異常活動的子集,理想狀況是異常活動集與入侵性活動集等同,這樣,若能檢測所有的異常活動,則可檢測所有的入侵活動。但是,入侵性活動并不總是與異常活動相符合。這種活動存在4種可能性:(1)入侵性而非異常;(2)非入侵性且異常;(3)非入侵性且非異常;(4)入侵且異常。異常入侵要解決的問題是構造異常活動集,并從中發現入侵性活動子集。異常入侵檢測方法依賴于異常模型的建立。不同模型構成不同的檢測方法,異常檢測是通過觀測到的一組測量值偏離度來預測用戶行為的變化,然后作出決策判斷的檢測技術。
誤用入侵檢測是通過將預先設定的入侵模式與監控到的入侵發生情況進行模式匹配來檢測。它假設能夠精確地將入侵攻擊按某種方式編碼,并可以通過捕獲入侵攻擊將其重新分析整理,確認該入侵行為是否為基于對同一弱點進行入侵攻擊方法的變種,入侵模式說明導致安全事件或誤用事件的特征、條件、排列和關系。免費論文。根據匹配模式的構造和表達方式的不同,形成了不同的誤用檢測模型。誤用檢測模型能針對性地建立高效的入侵檢測系統,檢測精度高,誤報率低,但它對未知的入侵活動或已知入侵活動的變異檢測的性能較低。
4 入侵檢測系統的評估
對于入侵檢測系統的評估,主要的性能指標有:(1)可靠性,系統具有容錯能力和可連續運行;(2)可用性,系統開銷要最小,不會嚴重降低網絡系統性能;(3)可測試,通過攻擊可以檢測系統運行;(4)適應性,對系統來說必須是易于開發的,可添加新的功能,能隨時適應系統環境的改變;(5)實時性,系統能盡快地察覺入侵企圖以便制止和限制破壞;(6)準確性,檢測系統具有較低的誤警率和漏警率;(7)安全性,檢測系統必須難于被欺騙和能夠保護自身安全。免費論文。
5 入侵檢測的發展趨勢
入侵檢測作為一種積極主動的安全防護技術,提供了對攻擊和誤操作的實時保護,在網絡系統受到危險之前攔截和響應入侵,但它存在的問題有:誤報率和漏報率高、檢測速度慢,對IDS自身的攻擊,缺乏準確定位與處理機制、缺乏性能評價體系等。在目前的入侵檢測技術研究中,其主要的發展方向可概括為:
(1)大規模分布式入侵檢測
(2)寬帶高速網絡的實時入侵檢測技術
(3)入侵檢測的數據融合技術
(4)與網絡安全技術相結合
6 結束語
隨著計算機技術以及網絡信息技術的高速發展,入侵檢測技術已成為計算機安全策略中的核心技術之一。它作為一種積極主動的防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護,為網絡安全提供高效的入侵檢測及相應的防護手段。入侵檢測作為一個新的安全機制開始集成到網絡系統安全框架中。
[參考文獻]
[1]張杰,戴英俠.入侵檢測系統技術現狀及其發展趨勢[J].計算機與通信,2002,96]:28-32.
[2]陳明.網絡安全教程[M].北京:清華大學出版社,2004,1.
[3]羅守山.入侵檢測[M].北京:北京郵電大學出版社,2004.
[4]戴云,范平志,入侵檢測系統研究綜述[J].計算機工程與應用,2002,4.
【關鍵詞】數據庫入侵;檢測技術
1數據庫入侵檢測技術
計算機數據庫能夠安全有效的使用。入侵技術的檢測具有如下功能:(1)能有效的對用戶的行為進行監控與分析;(2)對計算機系統運行的變化弱點進行審計分析;(3)在檢測到入侵并識別之后進行預警;(4)對計算機系統的異常信息進行分析,并對關鍵的信息進行評估分析;(5)對檢測到操作系統的異常情況進行跟蹤處理。一般的計算機入侵系統主要包括如圖1所示。
1.1數據庫入侵檢測技術
計算機入侵檢測技術是在互聯網技術快速發展的時代背景下,為了保證計算機數據庫的安全而產生的。可以在計算機運行的過程中,對一些有可能危害計算機運行安全的網站或者病毒進行阻攔,防止出現病毒入侵計算機數據庫的情況,保證計算機數據庫的安全。利用入侵檢測技術,但計算機出現病毒即將入侵的情況時,檢測系統就會自動響起報警系統,這些計算機管理人員就會通過報警聲得知計算機出現安全問題,可以立即采取促使,阻止并且的入侵行為,保護計算機數據庫的安全。入侵檢測技術還可以對計算機內部自帶的一些系統出現的入侵行為進行防范,入侵檢測技術對一些可以收集一些沒有授權的信息,可以提前這些信息進行入侵的防范工作,當在計算機運行時出現入侵行為以后能夠及時的做出反應。將入侵檢測系統應用在計算機數據庫的安全管理之中,可以起到對計算機安全的監控作用,通過對計算機運行的實時監控和監測,保證能夠第一時間發展其中的問題。利用計算機監測系統,還可以減輕計算機檢測人員的工作量,能夠使他們有更多的時間去制定解決入侵病毒,提高計算機數據安全管理的效率。
1.2入侵檢測常用的兩種方法
1.2.1誤用檢測方法誤用檢測是入侵檢測技術中最常用的的一種檢測方法,利用誤用檢測的方法,可以總結過去入侵的經驗教訓,分析過去對計算機數據庫出現入侵的具體情況的解決措施,總結出入侵的主要規律。通過對這些入侵規律的不斷了解,并且對計算機的運行情況進行監測,就可以發展計算機是否存在病毒入侵的情況。如果發現計算機數據庫存在著病毒入侵的情況,通過誤用檢測的方法,可以快速的分析出入侵的原因和情況,以至于能夠快速準的制定解決方案。但是誤用檢測對系統內部的入侵情況不能及時的做出反應,因為誤用方法不可能獨立的應用,職能依靠于一種具體的系統來進行,這就會影響系統的移植性,造成不能對一些從未出現過的病毒進行檢測,降低了檢測的準確性。1.2.2異常檢測方法異常檢測方法是在計算機運行的基礎上,通過對計算機運行是否存在入侵情況的假設來進行的。在利用異常檢測的方法進行系統的監測時,通過將一些正常使用的模式和非正常使用的模式進行對比分析,從對比出的不同結果來發現系統中存在的入侵行為。這種異常檢測的方法和誤用檢測方法不同,不用依賴系統進行操作,降低了對系統入侵行為的局限性,可以檢測出新型入侵行為。但是異常檢測方法也存在著一些問題,例如異常檢測方法雖然能夠檢測出入侵行為,但是不能對入侵行為進行具體的描述,就會導致系統在檢測的過程中容易發生失誤問題。
2數據挖掘技術在數據庫入侵檢測中的應用
為了防止數據庫數據的額損失,防止出現數據庫入侵問題,計算機數據管理專家不斷的根據先進的互聯網數據庫的特點進行研究和分析。將入侵檢測技術應用到計算機數據庫的數據安全管理中,可以有效的對計算機運行時出現的一些病毒或者是一些非正常的訪問進行阻擋,防止出現惡意軟件入侵數據庫的情況,保護了數據庫數據的安全。2.1數據挖掘技術概述在對數據庫的入侵情況進行檢測時,可以利用數據挖掘技術。可以對數據庫之中的一些不完整的數據和正常完整的數據進行區分,并且可以將不完整的數據信息進行徹底的清除。
2.2數據庫入侵檢測中常用的數據挖掘方法
2.2.1關聯規則的挖掘使用關聯規則的挖掘首先要在數據庫中找出記錄集合,通過對記錄集合分析和檢測,發現其中數據之間存在的相似之處,借助頻繁項集生成的規則,對數據進行挖掘。2.2.2序列模式的挖掘使用序列模式的挖掘也是為了發展數據庫之中的數據存在的相似點。利用序列模式的挖掘的優勢,主要就是體現在可以對數據庫記錄之間時間窗口的挖掘,可以在對數據庫中的數據進行審計時找出其中存在的規律。
3結語
近幾年,隨著社會經濟的快速發展,已經進去到了互聯網時代。網絡技術被廣泛到生產生活中。為企業的發展了巨大的作用,但是在網絡技術快速發展的背景下,也為企業的發展帶來了巨大的安全隱患。網絡操作存在著病毒入侵的風險,隨時可能對數據庫中的企業的信息安全造成威脅,病毒入侵可能導致企業的商業機密泄露,影響企業在市場中的競爭力。為了提高對計算機數據庫的安全管理,本論文對數據庫入侵檢測技術進行了分析,希望能夠對入侵檢測技術的推廣起到借鑒作用,保障網絡信息的基本安全。
參考文獻
[1]張嵐.計算機數據庫入侵檢測技術分析[J].信息與電腦(理論版),2014(06):120.
論文摘要:隨著網絡技術的飛速發展和廣泛應用,信息安全問題正日益突出顯現出來,受到越來越多的關注。文章介紹了網絡信息安全的現狀.探討了網絡信息安全的內涵,分析了網絡信息安全的主要威脅,最后給出了網絡信息安全的實現技術和防范措施.以保障計算機網絡的信息安全,從而充分發揮計算機網絡的作用。
論文關鍵詞:計算機,網絡安全,安全管理,密鑰安全技術
當今社會.網絡已經成為信息交流便利和開放的代名詞.然而伴隨計算機與通信技術的迅猛發展.網絡攻擊與防御技術也在循環遞升,原本網絡固有的優越性、開放性和互聯性變成了信息安全隱患的便利橋梁.網絡安全已變成越來越棘手的問題在此.筆者僅談一些關于網絡安全及網絡攻擊的相關知識和一些常用的安全防范技術。
1網絡信息安全的內涵
網絡安全從其本質上講就是網絡上的信息安全.指網絡系統硬件、軟件及其系統中數據的安全。網絡信息的傳輸、存儲、處理和使用都要求處于安全狀態可見.網絡安全至少應包括靜態安全和動態安全兩種靜態安全是指信息在沒有傳輸和處理的狀態下信息內容的秘密性、完整性和真實性:動態安全是指信息在傳輸過程中不被篡改、竊取、遺失和破壞。
2網絡信息安全的現狀
中國互聯網絡信息中心(CNNIC)的《第23次中國互聯網絡發展狀況統計報告》。報告顯示,截至2008年底,中國網民數達到2.98億.手機網民數超1億達1.137億。
Research艾瑞市場咨詢根據公安部公共信息網絡安全監察局統計數據顯示.2006年中國(大陸)病毒造成的主要危害情況:“瀏覽器配置被修改”是用戶提及率最高的選項.達20.9%.其次病毒造成的影響還表現為“數據受損或丟失”18%.“系統使用受限”16.1%.“密碼被盜”13.1%.另外“受到病毒非法遠程控制”提及率為6.1%“無影響”的只有4.2%。
3安全防范重在管理
在網絡安全中.無論從采用的管理模型,還是技術控制,最重要的還是貫徹始終的安全管理管理是多方面的.有信息的管理、人員的管理、制度的管理、機構的管理等.它的作用也是最關鍵的.是網絡安全防范中的靈魂。
在機構或部門中.各層次人員的責任感.對信息安全的認識、理解和重視程度,都與網絡安全息息相關所以信息安全管理至少需要組織中的所有雇員的參與.此外還需要供應商、顧客或股東的參與和信息安全的專家建議在信息系統設計階段就將安全要求和控制一體化考慮進去.則成本會更低、效率會更高那么做好網絡信息安全管理.至少應從下面幾個方面人手.再結合本部門的情況制定管理策略和措施:
①樹立正確的安全意識.要求每個員工都要清楚自己的職責分工如設立專職的系統管理員.進行定時強化培訓.對網絡運行情況進行定時檢測等。
2)有了明確的職責分工.還要保障制度的貫徹落實.要加強監督檢查建立嚴格的考核制度和獎懲機制是必要的。
③對網絡的管理要遵循國家的規章制度.維持網絡有條不紊地運行。
④應明確網絡信息的分類.按等級采取不同級別的安全保護。
4網絡信息系統的安全防御
4.1防火墻技術
根據CNCERT/CC調查顯示.在各類網絡安全技術使用中.防火墻的使用率最高達到76.5%。防火墻的使用比例較高主要是因為它價格比較便宜.易安裝.并可在線升級等特點防火墻是設置在被保護網絡和外部網絡之間的一道屏障,以防止發生不可預測的、潛在破壞性的侵入。它通過監測、限制、更改跨越防火墻的數據流,盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況.以此來實現網絡的安全保護。
4.2認證技術
認證是防止主動攻擊的重要技術.它對開放環境中的各種消息系統的安全有重要作用.認證的主要目的有兩個:
①驗證信息的發送者是真正的主人
2)驗證信息的完整性,保證信息在傳送過程中未被竄改、重放或延遲等。
4.3信息加密技術
加密是實現信息存儲和傳輸保密性的一種重要手段信息加密的方法有對稱密鑰加密和非對稱密鑰加密.兩種方法各有所長.可以結合使用.互補長短。
4.4數字水印技術
信息隱藏主要研究如何將某一機密信息秘密隱藏于另一公開的信息中.然后通過公開信息的傳輸來傳遞機密信息對信息隱藏而吉.可能的監測者或非法攔截者則難以從公開信息中判斷機密信息是否存在.難以截獲機密信息.從而能保證機密信息的安全隨著網絡技術和信息技術的廣泛應用.信息隱藏技術的發展有了更加廣闊的應用前景。數字水印是信息隱藏技術的一個重要研究方向.它是通過一定的算法將一些標志性信息直接嵌到多媒體內容中.但不影響原內容的價值和使用.并且不能被人的感覺系統覺察或注意到。
4.5入侵檢測技術的應用
人侵檢測系統(IntrusionDetectionSystem簡稱IDS)是從多種計算機系統及網絡系統中收集信息.再通過這此信息分析入侵特征的網絡安全系統IDS被認為是防火墻之后的第二道安全閘門.它能使在入侵攻擊對系統發生危害前.檢測到入侵攻擊.并利用報警與防護系統驅逐入侵攻擊:在入侵攻擊過程中.能減少入侵攻擊所造成的損失:在被入侵攻擊后.收集入侵攻擊的相關信息.作為防范系統的知識.添加入策略集中.增強系統的防范能力.避免系統再次受到同類型的入侵入侵檢測的作用包括威懾、檢測、響應、損失情況評估、攻擊預測和支持。入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術.是一種用于檢測計算機網絡中違反安全策略行為的技術。
關鍵詞:計算機 網絡信息 安全保密技術
隨著計算機網絡的產生和快速發展,不斷改變著人類的生活方式。可以通過計算機網絡技術發送電子郵件,進行網絡辦公,網絡學習,處理銀行事務,國家機關處理要務等等。但是計算機網絡也是一把雙刃劍,許多不法分子或者病毒等等“不速之客”嚴重威脅著人們的計算機網絡信息的安全,甚至會威脅到國家機關和部隊中的信息安全,加強計算機網絡信息安全保密工作至關重要。計算機安全保密技術的提出成為近些年來非常熱門的話題,越來越受到人們的關注。以下將對計算機網絡信息安全保密技術具體分析。
1. 計算機網絡信息安全保密技術的概述
關于計算機網絡信息的安全保密工作主要是通過對計算機系統的安全和數據保護以及對信息保密來實現的。計算機的系統安全主要是指通過一定的安全技術,來進行保護計算機的硬件、應用的軟件和操作系統、數據等等,防止被破壞、入侵的過程。主要是保護計算機網絡防止受到入侵和剖壞,以保護系統的可靠運行和網絡的不中斷。信息保密是指對計算機信息系統中的信息資源進行控制的過程。現在網絡病毒或者不法分子的入侵越來越多,所以加強計算機安全保密技術非常關鍵。
2. 計算機網絡信息安全的現狀
計算機網絡具有開放性和資源的共享性等等特點,正是由于這些特點,計算機安全和保密技術越來越突出。當前計算機網絡信息所面臨的安全非常多,尤其是對電腦來說,安全問題至關重要。這些病毒主要有:計算機病毒的入侵和危害、計算機電磁信號的泄露、網絡通信協議的安全泄露、在計算機系統中安裝竊密的裝置等等威脅,將會帶來意想不到的后果,對于計算機網絡信息安全和保密工作刻不容緩。
3. 計算機網絡信息安全保密的常用技術
3.1 網絡安全技術
對于計算機網絡的安全和保密工作主要涉及的問題是網絡協議的完備性。主要措施是加強網絡脆弱性的檢測和防火墻、入侵檢測的技術。網絡脆弱性檢測技術,主要是通過計算機“黑客”攻擊而演變出來的探測軟件的集合,主要包括的對象有網絡操作系統、協議、防火墻、口令等等安全保密措施進行保密工作;對這些軟件的探測和攻擊,可以對安全網路的防護做出具體的評估,以不斷改進安全保密措施。防火墻的安全技術,主要是對網絡上流通的信息的識別和過濾,已達到阻止一些信息的作用,這是內部網絡和外部網絡進行安全隔離的系統。入侵檢測技術,主要是通過發現網絡系統的異常訪問,并判斷出一些入侵行為的發生,已達到阻止和反攻擊的目的。
3.2 病毒防治技術
計算機的病毒對于計算機網絡信息安全具有非常大的威脅。典型特征是,進行潛伏、復制和破壞。防治計算機病毒的方法;發現了病毒進行解剖,最后在滅殺。對計算機病毒的主要防治工作可以在服務器上裝載防病毒的裝置;也可以不定期的使用防毒軟件對計算機進行檢測;還可以在網絡接口上安裝防病毒的芯片等,這些方法也可以結合使用也達到病毒防治的作用。
3.3 加強數據庫的安全技術
加強數據庫的安全技術,首先制定出正確的安全策略;在利用一定的技術手段對數據庫進行保護(比如密鑰口令的分段管理,數據加密保護,身份認證,信息加密,防病毒傳染等等保護措施);然后對數據庫管理系統進行安全保密;在制定數據庫的榮滅備份;最后在數據庫的周圍警戒和出入控制等措施。
3.4 鑒別技術
鑒別技術的主要工作發現非法用戶對網絡信息的修改和竊取等。鑒別技術也被稱為認證技術。鑒別技術主要有;對身份的鑒別,目的是為了驗證合法用戶,使系統決定是否能夠上網;在一個是對信息過程的鑒別;還有一個是對防抵賴的鑒別,主要是對重要的文書或者契約發生了否認和抵賴進行防止工作。
3.5 對訪問的控制
這一個工作是計算機信息系統安全中的一個關鍵性的技術。主要是由訪問控制原則和訪問的機制構成的。訪問控制原則可以確定授予每一個用戶的限制條件;訪問機制是實現訪問策略的預定的訪問控制功能。
4. 加強網絡信息安全的輔助措施
主要關于加強電腦的保密工作具體有(1)設置8位以上的開機密碼,以防止他們破解、更改,密碼要定期更換。(2)電腦必須配備安全的殺毒軟件。(3)不得讓無關的工作人員使用電腦。(4)電腦在使用打印機、傳真機等設備時,不得與其它非電腦網絡進行連接,嚴禁在電腦上使用無線設備。(5)對于電腦的維修要嚴格按照程序進行。(6)責任人要定期對電腦進行核對、清查工作,發現丟失后及時向有關部門報告。
結語
隨著計算機技術的不斷發展,對于網絡信息安全保密工作越來越重要,所以要不斷加強計算機網絡信息的安全保密技術,才能確保計算機信息系統的安全可靠。
參考文獻
[1] 周碧英 淺析計算機網絡安全技術[期刊論文]-甘肅科技 2008(3)
[2] 王治 計算機網絡安全探討[期刊論文]-科技創新導報 2008(21)
1研究背景
計算機網絡是信息社會的基礎,已經進入了社會的各個角落,經濟、文化、軍事和社會生活越來越多的依賴計算機網絡。然而,計算機在給人們帶來巨大便利的同時,也帶來了不可忽視的問題,計算機病毒給網絡系統的安全運行帶來了極大的挑戰。2003年1月25日,突如其來的“蠕蟲王”病毒,在互聯網世界制造了類似于“9.11”的恐怖襲擊事件,很多國本論文由整理提供家的互聯網也受到了嚴重影響。同樣,前兩年的“熊貓燒香”病毒再次為計算機網絡安全敲起了警鐘。那么,面對網絡世界的威脅,人類總在試圖尋找各種方面來進行克服和攻關。入侵檢測技術作為解決計算機病毒危害的方法之一,對其進行研究就成為可能。
2計算機病毒的發展趨勢
計算機病毒的花樣不斷翻新,編程手段越來越高,防不勝防。特別是Internet的廣泛應用,促進了病毒的空前活躍,網絡蠕蟲病毒傳播更快更廣,Windows病毒更加復雜,帶有黑客性質的病毒和特洛依木馬等有害代碼大量涌現。據《中華人民共和國工業和信息化部信息安全協調司》計算機病毒檢測周報(2009.3.29—2009.4.4)公布的消息稱:“木馬”及變種、“木馬下載者”及變種、“灰鴿子”及變種、“U盤殺手”及變種、網游大盜“及變種等病毒及變種對計算機安全網絡的安全運行構成了威脅。對計算機病毒及變種的了解可以使我們站在一定的高度上對變種病毒有一個較清楚的認識,以便今后針對其采取強而有效的措施進行診治。變種病毒可以說是病毒發展的趨向,也就是說:病毒主要朝著能對抗反病毒手段和有目的的方向發展。
3計算機病毒檢測的基本技術
3.1計算機病毒入侵檢測技術。計算機病毒檢測技術作為計算機病毒檢測的方法技術之一,它是一種利用入侵者留下的痕跡等信息來有效地發現來自外部或者內部的非法入侵技術。它以探測與控制為技術本質,起著主動防御的作用,是計算機網絡安全中較重要的內容。
3.2智能引擎技術。智能引擎技術發展了特征代碼掃描法的優點,同時也對其弊端進行了改進,對病毒的變形變種有著非常準確本論文由整理提供的智能識別功能,而且病毒掃描速度并不會隨著病毒庫的增大而減慢。
3.3嵌入式殺毒技術。嵌入式殺毒技術是對病毒經常攻擊的應用程序或者對象提供重點保護的技術,它利用操作系統或者應用程序提供的內部接口來實現。它能對使用頻率高、使用范圍廣的主要的應用軟件提供被動式的保護。
3.4未知病毒查殺技術。未知病毒查殺技術是繼虛擬執行技術后的又一大技術突破,它結合了虛擬技術和人工智能技術,實現了對未知病毒的準確查殺。
4計算機病毒檢測技術的發展現狀
目前,國外一些研究機構已經研發出了應用于不同操作系統的幾種典型的計算機病毒檢測技術。這些計算機病毒檢測技術基本上是基于服務器、網絡以及變種病毒的。基于服務器的入侵檢測技術采用服務器操作系統的檢測序列作為主要輸入源來檢測侵入行為,而大多數基于計算機變種病毒的檢測技術則以預防和消除計算機病毒作為終結目標的。早期的計算機病毒檢測技術主要用來預防和消除傳統的計算機病毒;然而,為了更好地應對計算機病毒的花樣不斷翻新,編程手段越來越高的形勢,最新的計算機病毒檢測方法技術更多地集中用于預防和消除計算機變種病毒,打好計算機病毒對抗與反對抗的攻堅戰。
總之,由于計算機病毒的變種更新速度加快,表現形式也更加復雜,那么計算機病毒檢測技術在計算機網絡安全運行防護中所起的作用就顯得至關重要,因此受到了廣泛的重視。相信隨著計算機病毒檢測技術的不斷改進和提高,將會有更加安全可靠的計算機病毒檢測技術問世,更好維護網絡安全,造福于全世界。
5計算機病毒檢測方法技術的作用
計算機病毒檢測技術本論文由整理提供在計算機網絡安全防護中起著至關重要的作用,主要有:①堵塞計算機病毒的傳播途徑,嚴防計算機病毒的侵害;②計算機病毒的可以對計算機數據和文件安全構成威脅,那么計算機病毒檢測技術可以保護計算機數據和文件安全;③可以在一定程度上打擊病毒制造者的猖獗違法行為;④最新病毒檢測方法技術的問世為以后更好應對多變的計算機病毒奠定了方法技術基礎。
雖然,計算機病毒檢測技術的作用很大,但并不能完全防止計算機病毒的攻擊,我們必須提高警惕,充分發揮主觀能動性。因此,加強IT行業從業人員的職業道德教育、加快完善計算機病毒防止方面的法律法規、加強國際交流與合作同樣顯得刻不容緩。也許只有這樣計算機計算機病毒檢測技術才能更好發揮作用,我們才能更好防止日益變化和復雜的計算機病毒的攻擊。超級秘書網
6結語
隨著計算機網絡技術的不斷發展,計算機給人類經濟、文化、軍事和社會活動帶來更多便利的同時,也帶來了相當巨大的安全挑戰。現代信息網絡面臨著各種各樣的安全威脅,有來自網絡外面的攻擊,比如網絡黑客、計算機病毒及變種等。因此合理有效的計算機病毒檢測技術是防治計算機病毒最有效,最經濟省力,也是最應該值得重視本論文由整理提供的問題。研究計算機病毒檢測技術有利于我們更好地防止計算機病毒的攻擊,有利于我們更好地維護計算機網絡世界的安全,使得計算機網絡真正發揮其積極的作用,促進人類經濟、文化、軍事和社會活動的健康。
參考文獻:
[1]卓新建,鄭康鋒,辛陽.《計算機病毒原理與防治》,北京郵電大學出版社,2007年8月第二版.
[2]郝文化.《防黑反毒技術指南》,機械工業出版社,2004年1月第一版.
[3]程勝利,談冉,熊文龍等.《計算機病毒與其防治技術》,清華大學出版社,2004年9月第一版.
[4]張仁斌,李鋼,侯.《計算機病毒與反病毒技術》.清華大學出版社,2006年6月.
[5]傅建明,彭國軍,張煥國.《計算機病毒與對抗》.武漢大學出版社,2004年版.
[6]吳萬釗,吳萬鐸.《計算機病毒分析與防治大全》.學苑出版社.1993年10月.
隨著信息產業的高速發展,眾多企業都利用互聯網建立了自己的信息系統,以充分利用各類信息資源。但是我們在享受信息產業發展帶給我們的便利的同時,也面臨著巨大的風險。我們的系統隨時可能遭受病毒的感染、黑客的入侵,這都可以給我們造成巨大的損失。本文主要介紹了信息系統所面臨的技術安全隱患,并提出了行之有效的解決方案。
關鍵字:信息系統 信息安全 身份認證 安全檢測
Abstract:
Along with the high-speed development of information industries, the multitudinous enterprise has established their own information system using the Internet to use each kind of information resource. But while we enjoy the information industries development to take to our convenient, we also faced the huge risk. Our system possibly suffers viral infection, hacker’s invasion; this all may create massive loss to us. This article mainly introduced the technical security hidden danger, which the information system faces, and proposed the effective solution.
Keywords:Information system
Information security
Status authentication
Safe examination
一、目前信息系統技術安全的研究
1. 企業信息安全現狀分析
隨著信息化進程的深入,企業信息安全己經引起人們的重視,但依然存在不少問題。一是安全技術保障體系尚不完善,企業花了大量的金錢購買了信息安全設備,但是技術保障不成體系,達不到預想的目標:二是應急反應體系沒有經常化、制度化:三是企業信息安全的標準、制度建設滯后。
2003年5月至2004年5月,在7072家被調查單位中有4057家單位發生過信息網絡安全事件,占被調查總數的58%。調查結果表明,造成網絡安全事件發生的主要原因是安全管理制度不落實和安全防范意識薄弱。其中,由于未修補或防范軟件漏洞導致發生安全事件的占安全事件總數的“%,登錄密碼過于簡單或未修改密碼導致發生安全事件的占19%.
對于網絡安全管理情況的調查:調查表明,近年來,使用單位對信息網絡安全管理工作的重視程度普遍提高,80%的被調查單位有專職或兼職的安全管理人員,12%的單位建立了安全組織,有2%的單位請信息安全服務企業提供專業化的安全服務。調查表明,認為單位信息網絡安全防護能力“較高”和“一般”的比較多,分別占44%。但是,被調查單位也普遍反映用戶安全觀念薄弱、安全管理員缺乏培訓、安全經費投入不足和安全產品不能滿足要求等問題,也說明目前安全管理水平和社會化服務的程度還比較低 。
2.
企業信息安全防范的任務
信息安全的任務是多方面的,根據當前信息安全的現狀,制定信息安全防范的任務主要是:
從安全技術上,進行全面的安全漏洞檢測和分析,針對檢測和分析的結果制定防范措施和完整的解決方案;正確配置防火墻、網絡防病毒軟件、入侵檢測系統、建立安全認證系統等安全系統。
從安全管理上,建立和完善安全管理規范和機制,切實加強和落實安全管理制度,增強安全防范意識。
信息安全防范要確保以下幾方面的安全。網絡安全:保障各種網絡資源(資源、實體、載體)穩定可靠地運行、受控合法地使用。信息安全:保障存儲、傳輸、應用的機密性(Confidentiality )、完整性(Integrity)、抗否認性(non-Repudiation) ,可用性(Availability)。其他安全:病毒防治、預防內部犯罪。
二、計算機網絡中信息系統的安全防范措施
(一)網絡層安全措施
①防火墻技術
防火墻技術是建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術,越來越多地應用于專用網絡與公用網絡的互聯環境之中,尤其以接入Internet網絡為甚。
防火墻是指設置在不同網絡(如可信任的企業內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口,能根據企業的安全政策控制(允許、拒絕、監測)出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,有效地監控了內部網和Internet之間的任何活動,保證了內部網絡的安全 。
防火墻是網絡安全的屏障:一個防火墻(作為阻塞點、控制點)能極大地提高一個內部網絡的安全性,并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協議才能通過防火墻,所以網絡環境變得更安全。防火墻可以強化網絡安全策略:通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令、加密、身份認證、審計等)配置在防火墻上。對網絡存取和訪問進行監控審計:如果所有的訪問都經過防火墻,那么,防火墻就能記錄下這些訪問并做出日志記錄,同時也能提供網絡使用情況的統計數據。防止內部信息的外泄:通過利用防火墻對內部網絡的劃分,可實現內部網重點網段的隔離,從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。除了安全作用,有的防火墻還支持具有Internet服務特性的企業內部網絡技術體系VPN 。通過VPN,將企事業單位在地域上分布在全世界各地的LAN或專用子網,有機地聯成一個整體。不僅省去了專用通信線路,而且為信息共享提供了技術保障。
②入侵檢測技術
IETF 將一個入侵檢測系統分為四個組件:事件產生器(Event Generators );事件分析器(Event Analyzers );響應單元(Response Units)和事件數據庫(Event Data Bases )。事件產生器的目的是從整個計算環境中獲得事件,并向系統的其他部分提供此事件。事件分析器分析得到的數據,并產生分析結果。響應單元則是對分析結果做出反應的功能單元,它可以做出切斷連接、改變文件屬性等強烈反應,也可以只是簡單的報警。事件數據庫是存放各種中間和最終數據的地方的統稱,它可以是復雜的數據庫,也可以是簡單的文本文件。
根據檢測對象的不同,入侵檢測系統可分為主機型和網絡型。基于主機的監測。主機型入侵檢測系統就是以系統日志、應用程序日志等作為數據源,當然也可以通過其他手段(如監督系統調用)從所在的主機收集信息進行分析。主機型入侵檢測系統保護的一般是所在的系統。這種系統經常運行在被監測的系統之上,用以監測系統上正在運行的進程是否合法。最近出現的一種ID ( Intrusion Detection ):位于操作系統的內核之中并監測系統的最底層行為。所有這些系統最近已經可以被用于多種平臺。網絡型入侵檢測。它的數據源是網絡上的數據包。往往將一臺機子的網卡設于混雜模式(Promise Mode ),對所有本網段內的數據包并進行信息收集,并進行判斷。一般網絡型入侵檢測系統擔負著保護整個網段的任務。
轉貼于 對各種事件進行分析,從中發現違反安全策略的行為是入侵檢測系統的核心功能。從技術上,入侵檢測分為兩類:一種基于標志(C Signature-Based ),另一種基于異常情況(Abnormally-Based )。
(二)服務器端安全措施 只有正確的安裝和設置操作系統,才能使其在安全方面發揮應有的作用。下面以WIN2000 SERVER 為例。
①正確地分區和分配邏輯盤。
微軟的IIS經常有泄漏源碼/溢出的漏洞,如果把系統和IIS放在同一個驅動器會導致系統文件的泄漏甚至入侵者遠程獲取ADMIN。本系統的配置是建立三個邏輯驅動器,C盤20G,用來裝系統和重要的日志文件,D盤20G放IIS, E盤20G放FTP,這樣無論IIS或FTP出了安全漏洞都不會直接影響到系統目錄和系統文件。因為,IIS和FTP是對外服務的,比較容易出問題。而把IIS和FTP分開主要是為了防止入侵者上傳程序并從IIS中運行。
②正確地選擇安裝順序。
一般的人可能對安裝順序不太重視,認為只要安裝好了,怎么裝都可以的。很多時候正是因為管理員思想上的松懈才給不法分子以可乘之機。Win2000在安裝中有幾個順序是一定要注意的:
首先,何時接入網絡:Win2000在安裝時有一個漏洞,在你輸入Administrator密碼后,系統就建立了ADMIN$的共享,但是并沒有用你剛剛輸入的密碼來保護它這種情況一直持續到你再次啟動后,在此期間,任何人都可以通過ADMIN$進入你的機器;同時,只要安裝一完成,各種服務就會自動運行,而這時的服務器是滿身漏洞,非常容易進入的,因此,在完全安裝并配置好Win2000 SERVER之前,一定不要把主機接入網絡。
其次,補丁的安裝:補丁的安裝應該在所有應用程序安裝完之后,因為補丁程序往往要替換/修改某些系統文件,如果先安裝補丁再安裝應用程序有可能導致補丁不能起到應有的效果,例如: IIS的HotFix就要求每次更改IIS的配置都需要安裝,盡管很麻煩,卻很必要。
(三)安全配置
①端口::端口是計算機和外部網絡相連的邏輯接口,從安全的角度來看,僅打開你需要使用的端口會比較安全,配置的方法是在網卡屬性——TCP/IP——高級——選項——TCP/IP篩選中啟用TCP/IP篩選,不過對于Win2000的端口過濾來說,有一個不好的特性:只能規定開哪些端口,不能規定關閉哪些端口;這樣對于需要開大量端口的用戶就比較麻煩。
②IIS: IIS是微軟的組件中漏洞最多的一個,平均兩三個月就要出一個漏洞,而微軟的IIS默認安裝又實在不敢恭維,所以IIS的配置是我們的重點,所以在本系統的WWW服務器采取下面的設置:
首先,把操作系統在C盤默認安裝的Inetpub目錄徹底刪掉,在D盤建一個Inetpub在IIS管理器中將主目錄指向D: \Inetpub。
其次,在IIS安裝時默認的scripts等虛擬目錄一概刪除,這些都容易成為攻擊的目標。我們雖然已經把Inetpub從系統盤挪出來了,但這樣作也是完全必要的。如果需要什么權限的目錄可以在需要的時候再建,需要什么權限開什么。特別注意寫權限和執行程序的權限,沒有絕對的必要千萬不要給。
③應用程序配置:在IIS管理器中刪除必須之外的任何無用映射,必須指出的是ASP, ASP和其它確實需要用到的文件類型。我們不需要IIS提供的應用程序的映射,刪除所有的映射,具體操作:在IIS管理器中右擊主機一屬性一WWW服務編輯一主目錄配置一應用程序映射,然后就一個個刪除這些映射。點擊“確定”退出時要讓虛擬站點繼承剛才所設定的屬性。
經過了Win2000 Server的正確安裝與正確配置,操作系統的漏洞得到了很好的預防,同時增加了補丁,這樣子就大大增強了操作系統的安全性能。
雖然信息管理系統安全性措施目前已經比較成熟,但我們切不可馬虎大意,只有不斷學習新的網絡安全知識、采取日新月異的網絡安全措施,才能保證我們的網絡安全防御真正金湯。
參考文獻
[1]劉海平,朱仲英.一個基于ASP的在線會員管理信息系統.微型電腦應用.2002 (10)
[2]東軟集團有限公司,NetEye防火墻使用指南3.0,1-3
[3]賈晶,陳元,王麗娜編著,信息系統的安全與保密,第一版,1999.01,清華大學出版社
[4] Eric Maiwald,Wi1liEducation, Security Planning & Disaster Recovery,2003,Posts & Telecommunications Press, PP. 86-94
[5]楊兵.網絡系統安全技術研究及其在寶鋼設備采購管理系統中的應用:(學位論文).遼寧:東北大學,2002
[6]劉廣良.建設銀行計算機網絡信息系統安全管理策略研究:(學位論文).湖南:湖南大學.2001
摘要數據挖掘是一種通用的數據處理技術,它從大量的數據中提取人們感興趣的內容的過程。將數據挖掘技術應用到網絡安全當中,建立網絡入侵檢測系統,是數據挖掘技術應用的一個新領域。本文介紹了數據挖掘技術在入侵檢測中運用的必要性、必然性和可行性。
關鍵詞:數據挖掘;入侵檢測;必要性;必然性;可行性
隨著計算機技術的飛速發展,網絡的資源共享程度進一步加強,在資源共享的過程中,網絡安全問題備受重視,傳統的入侵檢測系統面對海量的信息數據,不能及時有效的分析處理這些數據,而數據挖掘技術的運用正好能夠滿足入侵檢測系統的要求,合理的分析數據,有效處理數據。
一、數據挖掘技術與入侵檢測分析
數據挖掘是從大量的、不完全的、有噪聲的、模糊的、隨機的數據集中識別有效的、新穎的、潛在有用的,以及最終可理解的模式的過程。它是一門涉及面很廣的交叉學科,包括機器學習、數理統計、神經網絡、數據庫、模式識別、粗糙集、模糊數學等相關技術。由于它是一門受到來自各種不同領域的研究者關注的交叉性學科,因此導致了很多不同的術語名稱。其中,最常用的術語是“知識發現”和“數據挖掘”。相對來講,數據挖掘主要流行于統計界、數據分析、數據庫和管理信息系統界;而知識發現則主要流行于人工智能和機器學習界。
入侵檢測是一種試圖通過觀察行為、安全日志或審計資料來檢測發現針對計算機或網絡入侵的技術,這種檢測通過手工或專家系統軟件對日志或其他網絡信息進行分析來完成。而更廣義的說法是:識別企圖侵入系統非法獲得訪問權限行為的過程,它通過對計算機系統或計算機網絡中的若干關鍵點收集信息并對其進行分析,從中發現系統或網絡中是否有違反安全策略的行為和被攻擊的跡象。作為一種積極主動地安全防護技術,入侵檢測提供了對內部攻擊、外部攻擊和誤操作的實時防護,在網絡系統受到危害之前攔截和對入侵做出響應。強大的入侵檢測軟件的出現極大的方便了網絡的管理,其實時報警為網絡安全增加了又一道保障。
計算機網絡中每天都會產生海量的網絡數據,主機也會產生大量的系統數據和日志信息。能否從如此豐富的歷史數據中找到我們所感興趣的信息,這是最為關鍵的一點,也是最為困難的一點。數據挖掘正是一種可以從包含大量冗余信息的數據里快速提取出盡可能多的有用信息的數據分析工具。因此研究者從數據的角度找到了數據挖掘和入侵檢測的交匯點,將二者結合起來,并在實踐中證明了將數據挖掘應用于入侵檢測的可行性。目前,將數據挖掘應用于入侵檢測已經成為一個研究熱點。在這個研究領域,影響比較大的主要是Columbia University的Wenke Lee研究組和Portnoy,后繼的研究者大多沿襲了Wenke Lee和Portnoy的研究路線,并在此基礎上作了相應改進或者采用數據挖掘與其他智能技術相結合的方法。
二、數據挖掘在入侵檢測中運用的必要性
入侵檢測就是通過運用一些分析方法對數據進行分析、提煉、評價,再識別出正常和異常的數據或者對潛在的新型入侵做出預測。在入侵檢測技術中采用數據挖掘技術有以下幾點必要性:
第一,網絡結構日趨復雜,網上業務種類和業務數量急劇增多,網絡管理人員進行決策的依據是反映網絡狀況和網絡行為的海量歷史數據,顯然沒有必要也不應該把所有的原始數據全部提交給網絡管理人員,而是要對其進行分析,生成與管理和決策問題相關的信息。
第二,由于時間的變化,數據也發生變化,數據中所含有的信息和知識也隨之發生變化,因此舊的模型需要更新,這就要求重新在數據挖掘系統上,在包含新數據的情況下來建立新的模型,然后將新的模型用于應用系統。
第三,數據挖掘技術能夠解決從數據角度對網絡性能進行評價的問題。數據挖掘是一個從數據集數據庫中提取隱含的、明顯未知的、具有潛在用處的信息的過程。數據挖掘的結構是一個概念化知識,該知識反映了數據的內在特性,是對數據所包含的信息的更高層次的抽象。如果把數據挖掘技術應用到入侵檢測中,以偵聽到的數據集作為分析對象,運用分類分析方法和聯系分析方法就可以對業務進行分類并能找到數據之間的相互關系,這樣就可以從數據角度去評價審計數據集,從而達到了入侵檢測的目標。
第四,由于不同來源的數據具有不同的性質,也就要求采用不同的數據挖掘算法發現其中隱藏的規律;而不同的數據挖掘算法也要求采用不同的特征數據,因此,對于不同類型的入侵檢測數據,采用不同的數據挖掘算法發現其中的規則。對描述系統缺陷和已知攻擊方法的數據,由于決策樹方法具有較高的精度和效率,我們采用分類判定樹算法進行處理,以發現其中的分類規則,對于審計數據采用分類和關聯分析相結合的方法,以發現關鍵屬性間的協同工作,對于系統調用序列數據,則采用序列模式挖掘算法,對于IP數據包等時態數據,將有關屬性按時間排成序列,采用時態數據挖掘方法進行分析。
三、數據挖掘在入侵檢測中運用的必然性
入侵檢測是一種新興的關于計算機網絡系統安全問題的解決方案。主要有兩種,濫用檢測和異常檢測。濫用檢測是對利用已知的系統缺陷和已知的入侵方法進行入侵活動的檢測。濫用檢測的優點是可以有針對性地建立高效的入侵檢測系統,其主要缺陷是不能檢測未知的入侵,也不能檢測已知入侵的變種,因此可能發生漏報。異常入侵由用戶的異常行為和對電腦資源的異常使用產生。異常檢測需要建立目標系統及其用戶的正常活動模型,然后基于這個模型對系統和用戶的實際活動進行審計,以判定用戶的行為是否對系統構成威脅。由于入侵檢測系統本身應用的特殊性,要求它具有準確性、全局性、可擴展性、可伸縮性以及環境適應性和本身的魯棒性。到目前為止,研究人員已經提出或實現了許多方法,但是沒有一種模型能夠完全滿足以上這些要求。而數據挖掘技術則正好在智能性、自適應性以及可操作性方面有著特殊的優勢,喬治梅森大學的研發人員發展了關聯挖掘在入侵檢測方面的重要的應用,并提出了一種新型的應用于異常檢測的多重檢測方法。綜合各種最新的研究成果并應用后挖掘技術,將濫用檢測和異常檢測融為一體,采用數據挖掘技術實現基于內容的智能化入侵檢測系統IDSDM (Intrusion Detection System using Data Mining techniques),對在IDS(Intrusion Detection System)系統中最大限度上發揮數據挖掘技術的優點作了一個有益的嘗試。
四、數據挖掘在入侵檢測中運用的可行性
數據挖掘通常應用于市場行銷、金融投資、生產制造等領域,但在入侵檢測設計領域中運用數據挖掘技術對網絡業務進行分析也具有明顯優勢。其可行性主要表現在以下幾個方面:首先,網絡中檢測的數據種類繁多,監測到的數據量量非常大,具有穩定的數據來源,非常適合進行數據挖掘。其次,網絡中偵聽到的數據按其所具有的不同屬性是可以進行分類的,同時,不同的數據之間的確存有某種相關性,如一個連接往往伴隨另一個連接發生。因此,運用數據挖掘技術對審計數據進行挖掘能夠得到有價值的信息。再次,從各種渠道所獲得的審計數據經過加工處理之后適合運用數據挖掘中的聯系分析方法。現在國內外己有一些研究機構利用數據挖掘和神經網絡技術進行入侵檢測,釗對一些入侵行為獲得了較為理想的結果。美國哥倫比亞大學的Wenky Lcc在他的論文中詳細論述了將一種數據挖掘框架用于構建入侵檢測規則和模型的方案,得到了一些實驗數據和仿真結果,進而在理論上和實驗上證明了將數據挖掘技術應用于入侵檢測的可行性。無論是異常檢測還是濫用檢測,都可利用數據挖掘技術提高檢測的精度。
參考文獻:
[1]劉文濤.Linux網絡入侵檢測系統[M].北京:電子工業出版社.2004
[2]唐國軍、李建華.入侵檢測技術[M].北京:清華大學出版社.2004
[3]Rebecca Gurley Brace.入侵檢測原理[M].北京:人民郵電出版社.2001
論文關鍵詞:計算機網絡安全 入侵檢測技術
一、入侵檢測系統的分類
在計算機網絡中,入侵檢測通常可以分為兩大類,即入侵檢測和入侵防御。入侵檢測是指在網絡中,用其特定的安全方案,對網絡的操作進行及時的檢測和控制,如果有惡意的程序對其發起攻擊,要能及時的發現并進行阻止,從而提高網絡監測的安全性、保密性和完整性。但是隨著計算機網絡的不斷發展,越來越多的黑客來時蓄意破壞網站,盜取資料,安全隱患也越來越大,我們使用的傳統的入侵檢測技術和防火墻已經應付不了目前存在的很多安全問題,所以就誕生了新的入侵防御系統,它通過對經過的數據進行檢測來了解其中存在的潛在的危險,從而摒棄那些存在危險或者有可能存在危險的數據和文件,從根源阻斷它們對系統帶來的威脅從而保護網絡的安全性和保密性。
入侵監測系統和入侵防御系統兩者之間也存在很明顯的區別,入侵檢測系統只是對網絡進行一個“體檢”,找出可能存在問題的地方,但是不能對整個網絡作出防御措施;而入侵防御系統無法自身識別出存在危險的數據和文件,它需要入侵檢測系統的相互合作,通過入侵檢測系統檢測出存在危險的數據,及時阻止這些數據的擴散,把它們攔在門外,保證網絡的安全性。
二、入侵檢測技術在維護計算機網絡安全中的應用
2.1 基于網絡的入侵檢測
基于網絡的入侵檢測有兩種基本形式,即軟件的和硬件的,但是這兩種形式的檢測方式在工作流程上有著異曲同工之處。為了將整個網絡的數據進行實時的檢測和控制,就必須把網絡接口設置為混雜模式,這樣就可以在數據流過的時候對經過的數據進行控制分析,將這些數據和那些具備攻擊性質的數據作比較,找出那些存在攻擊性或者存在潛在危險的數據,將這些數據攔截下來,保障網絡的安全運行,對于攔截下的存在問題的數據,要做好及時的記錄,作為以后遇到問題可以參考的依據。
2.1.1 入侵檢測的體系結構
網絡入侵檢測主要由Agent、Console以及Manager三個部分組成。其中Agent是用來對經過的數據作出檢測,找出那些存在威脅的數據,并及時把這些數據發送到管理器;Console主要是搜集信息和數據,顯示那些存在危險的數據,并從現實的這些數據中找出真正有攻擊性的數據并把它們發送到管理器上;Manager主要是給警告信息發出的信號給予響應,同時Manager也執行從控制臺發來的指令,再把接收來的警告信息發送到控制臺。
2.1.2 入侵檢測的工作模式
基于網絡的入侵檢測,在整個網絡中要布置多個入侵檢測,一般都是部署在每個網段的中部,而且不同的網絡結構也不一樣,所以自然網絡連接形式也不一樣。如果在網段中連接方式是總線式集線器,那么就把和集線器力的任何一個端口連接;如果是太網交換機,因為交換機自身存在一定的缺陷,是無法實現資源的共享的,所以在整個網段中只安排一個是不可行的,因此,可以把入侵檢測系統和交換機中用于調試的端口進行連接,也可以把它放在數據流經過的關鍵地段,這樣就可以取得經過的全部數據。
2.1.3 攻擊響應及升級攻擊特征庫、自定義攻擊特征
入侵檢測系統響應惡意文件的方式有很多種,如發送郵件、查殺進程、通知管理員、記錄日志、把用戶的賬號自動注銷、把正在進行的會話切斷、建立一個報告并發送等等。堆攻擊特征庫進行升級時可以自動從相關網站或者是地址中把有用的信息下載下來,在把這些信息反饋給控制臺,由控制臺把這些信息添加帶攻擊特征庫中。對網絡進行管理的人員可以按照自身的設備條件和資源狀況來自定義設定特征庫,對單位的網絡系統和整體資源進行全面的保護。
2.2 對于主機的入侵檢測
對公司主機的入侵檢測一般不會對所有電腦全部進行,而是從中挑選重點檢測的主機,分析和判斷該主機在日志審核系統、網絡連接上存在的問題。一旦發現可疑情況,那么入侵檢測系統就會對主機上存在問題的部分采取相應的措施來保護網絡系統。基于主機的入侵檢測系統具有以下功能:全程監控用戶在網絡上的一切操作;對陣個系統進行持續的評估,保持數據的完整性;及時更新特征庫的數據,建立全新的安全維護系統;對未經允許的操作或者是存在危險的數據做出及時的警報;將有用的信息收集起來,作為以后的參考資料。基于主機的入侵檢測系統全面細致的主機進行了保護,提高了網絡的安全性和保密性,節約了資源,節省了成本。
三、入侵檢測技術存在的問題
雖然入侵檢測系統既有很大的優勢,但是在很多方面它還存在很多的缺陷,主要是體現在以下幾個方方面:
第一:雖然網絡入侵檢測系統可以對網段里的數據進行檢測和控制,發現存在的問題,但是如果不在這一網段,那么該系統就無法檢測出來,所如期能檢測系統的檢測范圍有一定的局限性,無法對全局作出檢測,但是如果增加傳感器的數量,就勢必會增加成本。
第二:入侵檢測系統的檢測方法一般是通過對數據進行特征分析,這種檢測方法對一般普通的問題成效較為明顯,但是有一些復雜的難以識別的問題,檢測系統就可能無法分辨,這就造成存在一定的安全隱患。
第三:入侵檢測系統在網絡上數據檢測時需要進行大量的數據分析,這也可能會影響網絡的質量和性能。
第四:網絡入侵檢測技術在處理會話加密問題上存在一定的困難,因為由于現階段的技術,對加密通道的攻擊較少,但是隨著社會發展,這類問題會越來越多。
第五:雖然入侵檢測系統可以檢測網絡上存在的問題,但是它自身的防御能力卻很弱,如果它一旦受到惡意數據的攻擊,那么就很難抵抗,但是它可以與防火墻進行聯動,那些攻擊文件通過防火墻,防火墻就會立即采取隔離措施,這樣也能達到保護自身的目的。
四、總結
雖然現在入侵檢測系統已經得到廣泛的應用,但是它自身還是存在很多局限性,所以在發展上還不是很成熟,很多單位在入侵檢測系統的選擇上都是采用了基于主機和網絡相結合的方式。但是這會在發展,所以入侵檢測系統也在不斷的發展,在數據收集和檢測、網絡異常的檢測、專家系統濫用檢測以及貝葉斯推理異常檢測等等檢測技術上發展的越來越成熟。總之,提高計算機網絡的安全性不僅僅需要自身技術的發展,同時還需要政府以及企業進行維護和管理,只有這樣我國的計算機網絡事業才能發展的更好,才能給人們的生活帶來更多的方便。
參考文獻:
[1]胥瓊丹.入侵檢測技術在計算機網絡安全維護中的應用[J].電腦知識與技術,2010,11
關鍵詞:校園網絡;網絡安全;網絡監聽
中圖分類號:TP393.18 文獻標識碼:A 文章編號:1674-7712 (2012) 10-0118-01
一、引言
隨著全球計算機信息網絡的產生和發展,信息傳遞速度大大提高,根本上加強信息交流、資源共享、科學計算和科研合作的能力,促進了國家教育和科研事業的迅速發展。與其它網絡一樣,校園網的網絡安全問題也是當前各高校面臨的一個主要問題而如何維護并加強校園網的網絡安全成為則成為一個值得人們關注的焦點問題。
二、網絡監聽與網絡安全
(一)網絡監聽技術的原理
截獲網絡中的通信數據是網絡監聽的最終目的,其方法是對網絡協議進行分析,分析網絡監聽的能夠實現的功能是:在網絡中不同計算機之間相互進行數據交換時,所有連接在一起的計算機主機都能夠接受發送的數據包,在包頭中含有目標主機的正確地址,所有,只有與發送的數據包中目標地址相同的計算機主機才能夠正確接收到數據包,而其他的計算機主機都會丟棄數據包,但是如果計算機主機在監聽模式的時候,主機都會將接收到的數據包保存下來,而不再對數據包中的目標地址進行分析,然后人們可以對數據包進行分析,最終得到網絡通信中的數據內容。
(二)網絡監聽的優點和缺點
1.網絡監聽的優點
(1)成本低廉:能夠在較少的監測點上進行相關配置,就可以監聽到網絡中發生的任何入侵行為。
(2)功能強大:能夠監測主機入侵檢測系統所監測不到的特殊性的網絡攻擊,例如拒絕服務攻擊(DOS Teardrop)等等。
(3)獨立性強:基于網絡的入侵檢測系統與其相對應的計算機主機的操作系統無關,而計算機主機的入侵檢測系統必須運行在指定的操作系統中。
2.網絡監聽的缺點
(1)網絡監聽只是對系統漏洞進行檢測的作用,其本身不能起到維護網絡安全的作用,必須與防火墻等軟件聯合使用,其在維護網絡安全中只是一個輔助的作用。
(2)針對本工程來說,只是可以對所有數據都進行監聽或者某一個端口、某一個IP、某一種協議進行簡單的有限制監聽。如:不能同時對指定的某兩個端口進行監聽,也不能同時對指定的某兩個IP進行監聽。
(三)非法網絡監聽的防范
網絡監聽常常要保存大量的信息,對收集的信息進行大量的整理工作,因此,正在進行監聽的機器對用戶的請求響應很慢。所以可以通過以下幾點來防范非法監聽。
1.網絡分段。網絡分段不僅僅是控制網絡廣播風暴的一種基本方法,同時也是保證網絡安全的必要措施,網絡分段是將網絡資源與非法用戶相互隔離開來,從而達到防止非法監聽的目的。
2.數據加密。網絡通信數據經過加密之后,雖然通過網絡監聽仍然可以得到傳輸的數據信息,但卻無法正確顯示,但是使用數據加密會使得網絡傳輸的速度下降,而且如果加密技術比較簡單,也很容易被攻破,所以,計算機管理者和操作者即要考慮網絡的安全問題,也要考慮網絡傳輸的速度問題。
3.使用虛擬局域網。使用虛擬局域網(VLAN)技術,將以太網數據通信轉換成為點到點的數據通信,能夠防止多數基于網絡監聽的非法入侵。
三、安全策略在校園網絡中的應用
(一)網絡監聽策略。校園網面臨的安全問題來自多方面,主要存在于校園網的網絡外部和內部,而來自校園網內部的攻擊應該占主要地位。校園網中大部分是正在學習知識的學生,他們人數眾多,求知欲強,好奇心更強,而且有些同學的網絡知識水平也很高。這樣就使得他們成為了校園網中潛在的威脅。
網絡監聽技術可以對校園網絡進行故障診斷和分析,首先通過監聽收集網絡通信中傳輸的所有數據,然后對這些數據進行詳細分析,可以解決在多協議、多拓撲的網絡上的各種問題,并且能夠排除網絡故障,從而能夠得到報表等形式的數據分析結果,對于網絡的良好運行是強大的支持。
網絡監聽技術可以對校園網絡進行安全分析,及時發現各種侵害校園網絡安全的行為,達到維護校園網絡安全的目的。例如:可以分析網絡監聽到的數據信息,截獲發送不法信息的IP地址,找到網絡威脅的源頭,再設置防火墻拒絕非法IP的訪問。
(二)入侵檢測策略。入侵檢測(IDS)是主動保護自身不受到攻擊和威脅的一種網絡安全技術,它是網絡防火墻之后的第二道安全防線,能夠對防火墻的安全措施進行相應補充,管理員可以在計算機網絡系統中設置關鍵點,入侵檢測系統從這些關鍵點收集數據信息,對這些數據信息進行分析,從而判斷網絡中是否有遭到入侵的情況和違反安全策略的行為,一旦入侵檢測系統發現出現攻擊時,會啟動防火墻禁止這些IP地址訪問,時刻保護內部和外部的網絡攻擊,這種結合的方式集成了防火墻和入侵檢測系統的所有,不但能夠對網絡攻擊進行實時監控,還能夠提高網絡信息安全結構的完整性,從而降低網絡非法入侵造成的損失。
(三)防火墻策略。防火墻是由軟件和硬件共同組合而成的,是在網絡層面上構造的一道保護屏障,通過對劉靜的網絡通信數據進行實時掃描,禁止某些網絡攻擊,從而避免在這些攻擊在計算機上繼續執行。防火墻不但可以對不使用的端口進行關閉,還能夠禁止制定端口的數據流出,封鎖病毒的侵入,通過對特殊站點設置訪問禁止,來禁用不明入侵者的所有通信數據。
四、總結
計算機網絡安全問題是當今最令人頭疼的問題。通過對校園網的網絡系統面臨的安全問題的分析與研究。
對于校園網這個大的局域網來說,無論是運用防火墻技術,還是利用入侵檢測系統,要做的就是分析在網內傳輸的(包括發自網內的和發送到網內的)數據中,哪些信息是安全的,是有利的,哪些是不安全的,是有破壞作用的。
要維護網絡的安全,僅僅依靠被動地檢測是遠遠不夠,我們需要主動地防御惡意的攻擊,并且要做好長期而充分的準備去迎接挑戰。
參考文獻
[1]趙.校園網絡安全的改進[D].重慶大學碩士畢業論文,2006:14-16
[2]楊守君.黑客技術和網絡安全[M].北京:中國對外翻譯出版社,2000:115-118
[3]謝希仁.計算機網絡(第四版)[M].大連:大連理工大學出版社,2003:2-6
[4]吳玉,李嵐.基于網絡數據獲取技術的網絡監聽的檢測和防范[J].信息技術,2007,8:142-144
[5]韓紅宇.面向校園網的網絡監聽技術研究[J].中國科技信息,2005,24:12
【關鍵詞】網絡安全技術;入侵檢測;入侵檢測系統
1.引言
隨著網絡技術的發展和應用范圍的擴大,人們越來越依賴于網絡進行信息的處理。信息基礎設施己成為國民經濟的一個重要支撐點,作為信息基礎設施的一個重要組成部分,信息安全關系到國家的存亡,經濟的發展,社會的穩定。隨著網絡攻擊工具和攻擊手法的日趨復雜化多樣化,僅靠傳統的網絡安全防范措施己無法滿足對網絡安全的要求,因此,網絡安全是目前一項十分重要的任務。入侵檢測系統(Intrusion Detection System,IDS)是近年來發展迅速的一種新型的網絡安全技術。
入侵檢測系統是指能夠通過分析與系統安全相關的數據來檢測入侵活動的系統,包括入侵檢測的軟件和硬件的組合。從系統所執行的功能上來考慮,入侵檢測系統必須包括如下三個功能部件:提供事件記錄流的數據收集部件、發現入侵跡象的分析引擎和基于分析引擎的結果產生的響應部件。網絡入侵檢測系統作為新一代的動態安全防范技術,它通過對計算機網絡或系統中若干關鍵點數據的收集,并對其進行分析,從而發現是否有違反安全策略的行為和被攻擊的跡象。網絡入侵檢測系統能檢測到誰正在攻擊當前的網絡,從而及時通知網絡管理員進行響應,減少入侵行為帶來的損失,也能知道網絡是如何被攻擊的,從而有助于安全專家分析攻擊過程,由此得出系統或配置方面的漏洞,防止再次受到同樣的攻擊。一個完備的入侵檢測系統一定是基于主機和基于網絡兩種方式兼備的系統。不同的體系結構。不同的技術途徑實現的入侵檢測系統都各有優缺點,具體采用那種模型和技術,都要根據具體的環境來選擇。
2.入侵檢測系統的整體結構
為了讓入侵檢測系統能最大程度的發揮作用,我們必須在關鍵地點部署入侵檢測系統。考慮到路由器上安全設置的功能相當于簡單的防火墻,可以依據眾所周知的端口,在網絡層阻止特定的數據包,但是當數據包使用其他端口通過路由器時,路由器的安全設置就不起作用了,所以我們在外部路由器和防火墻之間放置一臺IDS,這樣,當數據包通過路由器時,也會被IDS監聽到,同時路由器可以預先過濾掉一些網絡流量。不把IDS放在網絡外面的原因是:那樣可能會增加很多不確定的報警,而且會讓IDS受到攻擊的危險大大增加。這個是外部IDS,監控內外網絡之間的數據,它是基于特征的入侵檢測技術。另外,我們在內網交換機上部署內網IDS,采用基于策略的IDS。因為考慮到系統因為不能及時更新攻擊特征,而錯過檢測到最新攻擊的可能。我們在內部采用基于策略的IDS。它的好處是使IDS管理員不必不間斷的更新攻擊規則,只需設置網絡中正常的操作行為準則。其他的都認為是不正常的可疑的。而且因為基于策略的IDS只需要定義少量可接收的行為規則,因而比通用IDS的性能更好。但是一般而言基于策略的IDS不適合同外部連接的網絡。因為和外部連接的數據種類太多。系統的拓撲結構如下圖所示:
系統的拓撲結構圖
3.入侵檢測系統建立的軟、硬件選擇
3.1 入侵檢測系統(IDS)的硬件選擇
IDS選擇硬件時,必須考慮到將要監視的網絡的規模,探測器的性能必須和所要監視的網絡的規模相匹配。使用IDS的目標是檢測網絡上感興趣的數據流,所以匹配的探測器的關鍵是保證所有的包都被捕獲和記錄。顯然,偶爾的丟包是會發生的,目標是構建一個好的IDS系統,使得由于硬件的局限性而引起的丟包可能減少到最小。因此我們的目標是:
(1)盡量減少丟包。
(2)保證安裝的系統能夠完成預計要完成的任務。
(3)節約開支。
例如,我們可以對四個最關鍵的硬件作出以下選擇:
1)處理器
選擇使用intel Pentium IV 3.06Ghz處理器。所以使用這種處理器,關鍵在于它使用了超線程技術。這種技術模擬了多個處理器系統,保證了系統在運行其他進程時,允許snort在另一個管道中持續運行而不會喪失大部分處理器性能,從而在實際上限制了任何網絡監視的暫停。當然,使用這種處理器,限制了我們對操作系統的選擇,因為只有在windows系統上才能最充分的發揮其性能。
2)內存
內存的大小直接影響到系統的運行速度。目前x86系統所使用的RAM價格便宜,可用選用x86,對系統配置2G的內存。
3)存儲介質
在選擇存儲介質前,必須確定每天如何操作IDS。如果是建立一個庫存儲每天的日志文件,那么硬盤較小就可以了,但如果打算每周或者每月備份一次日志文件,那么硬盤就需要大容量了。結合我們實際使用的系統,需要每日備份日志文件,但周末需要系統記錄3日的數據,且現在硬盤價格很便宜,所以系統仍使用大容量硬盤160G。
4)網卡
選擇2塊網卡,一塊網卡用于正常的網絡通信,另一塊網卡用于監聽。網卡的選擇必須和連接的交換機的速率相匹配,否則丟包明顯,甚至無法抓包。因此針對連接不同交換機的IDS選擇百兆、千兆intel網卡。
3.2 IDS操作系統的選擇。
為安裝snort時通常要考慮易用性、成熟性、兼容性、通用性等因素。選擇操作系統平臺。
首先,系統管理員對操作系統最有效的選擇就是他最熟悉的操作系統。例如如果對windonws及其軟件的使用非常熟悉,但是在linux方面卻完全是個新手,那么很顯然應選擇windows。另一個影響我們選擇的因素是操作系統的易用性。在任何一種操作系統上安裝snort都會比較復雜。相對而言,在windows上安裝和使用snort比較容易。雖然在windows系統上運行snort有一些技術復雜度,例如winpcap問題、內核升級問題以及系統修復問題等等,但是很容易找到解決任何可能出現的問題的相關文檔。我們還需要考慮性能問題,雖然windows不如unix擁有出色的性能,但是我們也考慮到硬件對操作系統的影響非常大,而x86架構系統的硬件現在非常便宜,完全可以彌補windows性能上的不足。綜上,得出選擇IDS平臺的黃金法則:“選擇最熟悉的并且是能夠最容易地被集成到現有環境的平臺。”通常我們選擇windows作為系統的操作系統。
4.IDS系統的實現
結合系統結構及安全要求,在整個系統中部署兩類IDS,一個是部署在外部防火墻和路由器之間,監控內外網之間的數據,它是基于特征的入侵檢測技術的。另一類連接在內網的交換機上,監控內網中的數據流,它是基于策略的入侵檢測技術。
4.1 內部IDS的實現
內部網絡,通常采用基于策略的IDS。為了讓IDS正常工作,必須定義規則或者攻擊特征,當出現新的攻擊行為特征時,我們必須及時把該特征增加到規則文件內,只要不斷的及時更新規則,就可以保證IDS檢測到最新的攻擊。但這里面存在一個問題,當新的攻擊已經存在,系統尚未及時做好規則文件,而此時網絡中恰巧發生了這種攻擊行為,就無法知道這種攻擊的存在了。
基于策略的IDS系統工作方式完全和通用IDS系統相反,它僅僅定義網絡中可以接受的行為,包括特定主機之間的特定通信類型、特定協議等。它的核心概念是:不屬于可接收行為列表的操作都是潛在的入侵。
基于策略的IDS的好處是,使IDS管理員不必再及時不斷的更新攻擊規則,只需設置網絡中正常的操作行為準則。其他的都是不正常的可疑的。而且因為基于策略的IDS只需要定義少量可接收的行為規則,因而比通用IDS的性能更好。但是一般而言基于策略的IDS不適合同外部連接的網絡。因為和外部連接的數據種類太多,無法一一羅列。
4.2 外部IDS的實現
部署在外部防火墻和路由器之間,監控內外網之間的數據,它是基于特征的入侵檢測技術。
一般通過以下幾個步驟實現:
1)系統安裝,通常安裝微軟的windows 2000 sever;
2)安裝snort;
3)配置snort。
這項技術目前已比較成熟,在這里不再贅述。
5.結論
前面所述的方案基本保證了企業當前系統流暢、安全的運行。但隨著計算機技術的不斷發展,還會有更復雜、對安全要求更高的應用出現。因此我們還要在這條道路上繼續走下去。今后對網絡安全系統的建設將堅持技術和管理并重。
在擁有先進手段的前提下,對于網絡安全問題來說最重要的應該是網絡安全思想,可以說有好的安全思想可以避免絕大多數的安全問題,所以安全思想意識應放在網絡安全的首要位置。可以采用更加先進的網絡安全體系架構、密碼算法、防火墻、入侵檢測系統和病毒防治軟件等來保衛系統的安全。比這些技術層次上安全措施更為重要的是一套良好的安全制度和安全思想,它們才是確保系統安全的根本
總之網絡攻擊手段的多元化、復雜化、智能化,使網絡安全的形勢日益嚴峻,保衛網絡安全將是一個持久和艱巨的過程,任重而道遠,需要不斷學習,不斷開發、掌握和使用與安全威脅相斗爭的各種安全技術和手段。希望有更多的人能加入到研究和維護網絡安全的行列中,為保護網絡安全做出自己的貢獻。
參考文獻
[1]李家春,李之棠.入侵檢測系統[J].計算機應用研究,2001.
[2]許榕生,劉寶旭,楊澤明等.黑客攻擊技術揭秘[M].機械工業出版社,2002.
[3]于磊.網絡安全利器——snort[J].網絡安全技術與應用,2003.
關鍵詞:數據挖掘;網絡安全;入侵檢測;算法
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2017)08-0049-03
數據挖掘(Data Mining)技術的定義是從現有的數據庫中提取有用知識的技術。這幾年的科學理論研究成果表明,把數據挖掘技術添加入侵檢測系統(Intrusion Detection System,IDS)中來,并從中選擇有效地特征點,構造出合適的測試模型,不但能提升整個系統設備的入侵檢測的功能,而且也會影響系統的誤報率和漏報率。隨著計算機網絡技術的不斷發展,計算機網絡在給人們帶來了許多方便的同時,也產生了一些負面作用。如系統與軟件漏洞等,也為個別非法入侵者提供了可乘之機。而為了防止內部或外部非法使用者對計算機進行攻擊,工程師設計出了入侵檢測系統(httrusion Detection System,IDS)。
1入侵檢測的技術理論
入侵檢測技術的主要功能是監控網絡系統各主機的運行狀態,監測出各種潛在攻擊行為、或者潛在的木馬程序,這樣就可以IDS系統資源具有可用性、完備性與安全性。
我們可以從監測數據目標的方向,把入侵檢測系統IDS區分為根據內核主機的IDS、根據網絡的IDS和根據應用的IDS等眾多種類別。本論文主要是根據網絡的入侵檢測系統IDS的構造進行深入的解析。
研究人員也可以從分析數據檢測方法的異同點方向,把入侵檢測系統劃分為以下幾大類別:
1)誤用檢測(MISuse Detection)。又稱為根據特征的檢測方法,它把已知的攻擊行為標識成一個特征庫,再去比對現有已發生的動作行為,如果有檢測結果具有相似性則表明它是一個入侵行為。誤報率低是這種方法的優點,但是對主機的攻擊行為達到一定數量級時,將使特征庫變得很龐大,僅能檢測到特征庫中已標識的攻擊行為是這一方法缺點。
2)異常檢測(Anomaly Detection)。又叫作根據行為的檢測,它也是事先構建一個正常的特征庫,然后再繼續搜集使用者的行為或使用資源狀況,來判定這是否為一種入侵行為。這種方法的優點是通用性較強,跟系統本身無直接聯系,同時也可以檢測出未知的攻擊方法。但受到正常框架的局限,也無法對整個系統的全部用戶行為進行全面的描述,并且各個用戶的行為也會發生變化的,因此會發生誤檢率值升高的缺點。
把以上兩種方法綜合起來,肯定能取得更好的效果。傳統的入侵檢測系統IDS只是將異常檢測和誤用檢測作為兩個獨立部分加入到檢測系統中,為了充分利用兩種檢測的優點,可將異常檢測和誤用檢測相結合構成新的IDS基本規則:凡是能與正常行為模式庫匹配的行為稱為正常行為,凡是與異常行為模式庫匹配的行為稱為人侵行為,這樣可以在一定程度上減少誤報率和漏報率,提高入侵檢測的準確性。但是需要手動來更新行為模式庫的方法,也是浪費人力和物力。為了提高人侵z測的速度,可以將數據挖掘技術的一些算法如:分類算法、聚類算法、關聯規則算法、序列規則算法等,應用到入侵檢測系統的設計當中。于是,不論是否發生入侵行為,系統就能有效跟蹤識別,并自動更新規則庫算法,從而促進整個檢測系統性能的優化。
要獲取入侵檢測的數據源,研究人員利用一些專用的抓包軟件來實現,在Windows平臺下抓包工具軟件,主要有Winpcap等工具,而Unix平臺下,可以利用Arpwatch和Tcpdump軟件工具來抓包。數據挖掘技術的數據分析階段也可再細分,它的響應部分可劃分為被動響應與主動響應這兩類。
2數據挖掘技術簡介
數據挖掘(Data Mining)技術可以看作是從眾多的數據源中提取人們需要的模式的算法過程。這里的數據挖掘的對象可以是數據源或其他文件系統,或者是Web資源之類的其他數據的集合;數據挖掘并不是一個直線延展型的過程,也可把它比作是一個不斷螺旋上升、反復的、且具有眾多步驟、繁雜的處理過程。
數據挖掘算法能夠做到預測未來趨勢及行為,從而做出具有前瞻性知識的決策。數據挖掘的根本目的是從數據特征庫中,搜尋出有意義的隱含知識,可以按功能區分它的類別:
1)聚類
平時我們輸入的數據可能無任何類型標記,而聚類是把數據按一定的規則劃分到各個集合中,其中對象可劃分為多個類或簇,劃分后同一個簇中的對象具有很高的相似性,可是我們也發現不同簇中的對象差異卻很大。
2)關聯分析
關聯分析可以查找數據庫中眾多數據之間的聯系,主要包括是序列模式與關聯規則。序列模式分析則主要研究數據之間的因果關系,比如買了手機的用戶可能會在幾個月內買手機套;關聯規則是指監測出其中某一對象與其他類對象之間的關聯依賴性,比如:關聯分析方法在分析用戶在買牙膏的同時,存在買牙刷的可能性。
3)概念描述
數據庫中的數據是紛繁復雜的,專家們總期望用最簡易的描述形式,來表達匯集的數據源。概念描述是概括出同一類別對象的對應特征,并且描述出它的內涵。
4)偏差檢測
偏差檢測包涵眾多隱藏的知識,比如數值不規則的變化、不符合規則的實例、模型預測值和監測結果的偏差、分類中的異常特例等。
5)自動預測趨勢和行為
數據挖掘自動在大型數據庫中提出描述主要數據類的模型,進行監測與分類,搜尋出未來的數據趨勢或預測性信息。
數據挖掘算法是最近幾年創新融合,引入到入侵檢測系統的一類技術。其優點是能從主機的大量紛繁復雜的日志文件與網絡數據中,提取出我們想要的、且未發現的規律理論。利用數據挖掘算法保障我們的網絡安全,這是研究人員的一種大膽創新嘗試。當前條件下,對數據挖掘算法的研究已進入一個新的階段,同時它也是一個通用性很強的技術。在入侵檢測系統中,把入侵檢測看作數據分析過程,將安全數據引入特定的數據挖掘算法,可以產生一個具有良好的擴展效果,自適應性較強的入侵檢測系統。截至目前,數據挖掘算法應用到入侵檢測上的主要有關聯、序列、分類和聚類這幾個模型方面。
3數據挖掘算法在入侵檢測系統中的應用
數據挖掘是對存放在數據庫或其他信息數據庫中的數據進行提取,挖掘出對人類有用知識的過程。
把數據挖掘技術融合到入侵檢測系統中,再分析相關以往的數據,挖掘提取出各個用戶的行為特征、分析入侵行為的隱含規律,從而構建一個完備的特征庫來進行入侵檢測。該過程主要分為以下幾步。數據收集來源于網絡,主要是根據網絡來檢測系統數據,常用的工具有TCPDUMP等。
利用Snort的工作原理來舉例,擴展系統主要在規則匹配方面,通過系統測試實驗,分析攻擊行為的典型特征,總結出攻擊數據庫大小模式與時間的內在聯系。
下面可以模擬出一個實驗環境:
IP地址為172.16.5.2的主機配置為PIV 3.2G,內存4G,操作系統為Windows 7;這幾臺分機的IP地址分別為172.16.5.21;172.16.5.36;172.16.5.480
實驗主要步驟:通過TcpDump這個工具軟件捕獲一組絡數據包,通過本系統記錄約20min傳送來的數據包,分別利用3臺分機對一臺主機進行攻擊,測試不同攻擊類型的數據包。
異常分析器則采用K-Meoils算法(即聚類分析算法),實驗數據分析表明:人為增大了聚類半徑R,可能會導致攻擊數據包與正常數包被系統歸類到同一個聚類,而誤檢率必然因數值的增大而變大。誤檢率因數值的增大而增大,因數值的減小而漸漸減小。同時,若某種類型的攻擊數據包的數目變更數值,檢測系統會將其認定為正常類,因此數值越小,也將導致誤檢率越高。若聚類設置半徑R=6,加人挖掘技術的檢測系統,明顯比Snort最初的檢測速度還快,而且誤檢率也更低。
特征提取器采用Apriori算法關聯分析,支持度設為50%,置信度參數設為100%,參數值設置為1000,實驗結果顯示以下3條新的入侵檢測規則:
Alert tcp 172.16.5.2l 2450->172.16.5.2 80
(msg:“poli-cy:externalnet attempt to access 172.16.5.2”;classtype:at-temptesd-recon;)
Alert tcp 172.16.5.36 1850->172.16.5.2 21
(msg:“poli-cy:extemalnet attempt to OCCCSS 172.16.5.2”;classtype:at-tempted-recon;)
Alert tcp 172.16.5.48 2578->172.16.1.2 1080
(msg:“policy:extemalnet attempt to access 172.16.5.2”;elasstype:at-tempted-reeon;)
以上實驗結果的分析表明:異常日志受到特征提取器的影響,檢測系統挖掘提取出新類型攻擊的規則,同時可以檢測新類型攻擊行為。
在數據挖掘中,預處理訓練數據的好壞,也會影響提取的用戶特征,并間接影響分析出規則的正確性。入侵檢測系統中,可以建立包含入侵者的行為的模型數據庫,那么以后建立起的檢測系統將不能識別出該入侵行為,從而造成漏報或誤報的情況。因此,用于訓練的數據一定不能包含任何入侵行為,且數據挖掘算法要事先格式化成需要處理的形式。
在預處理過的數據中,數據挖掘算法從中提取用戶行為特征庫,再對所得的特征規則進行相應更新,建立起用戶行為規則庫。入侵檢測系統依據規則庫的規則,再對當前用戶的行為進行檢測,再對得到的結果采取不同的對方式。
數據挖掘主要過程可以分為原始數據的采集、數據的預處理、最后數據的挖掘這三個步驟來進行。數據挖掘技術主要包括關聯分析、聚類分析和分類分析、序列模式分析等四類。基于數據挖掘的入侵檢測系統研究是針對數據挖掘與入侵檢測的眾多特點,構造出恰當的挖掘模型,在滿足實際網絡安全的前提下,實現兩者的有效融合。
1)序列模式分析。序列模式分析主要是指搜尋出在一定的段時間T內,有出現數據特征甲,然后有特征乙出現,而后特征丙也出現了,即序列甲 乙 丙,出現頻度較高之類知識。由于網絡攻擊和時間變量存在關聯,因此在關聯分析基礎上進行序列模式分析,可以進一步分析攻擊行為時間相關性。它主要運用序列分析發現入侵行為的序列關,系.挖掘安全事件之間先后關系,從而提取出入侵行為的時間序列特征。序列模式挖掘的大部分方法都采用了類Apriori算法的變異,使用的參數設置和約束條件均有所不同。另一種挖掘此類模式的方法為序列模式生長技術,它是基于數據庫投影的,類似于無選項生成的頻繁模式挖掘增長方式。
2)關聯規則挖掘。研究人員認為:關聯規則挖掘是數據挖掘技術算法中應用最廣泛的,也是最先被引人入侵檢測的技術。關聯規則分析是采用改變可信度與支持度原定規定數值的技術,它主要包括兩個步驟:第一是監別不低于用戶規定的、最小支持度參數值的頻繁項目集;然后從中構建出可信度不低于用戶規定的、最小可信度參數值的規則。值得一提的是,現在已有多種關聯規則算法(如Apriori算法)引入到入侵檢測系統中。
3)聚類分析。聚類是指用來分析對一個數據對象的集合,但與此不同的是,這個要區分的類是不可知的。聚類就是將數據對象劃分成多個簇或類,具有較高相似度的對象被分在同一個簇中,而不同簇中的對象卻有較大的差異。相異度是用來描述對象屬性的參數值。用在入侵檢測中的聚類分析主要包括兩種,第一種是入侵行為遠小于正常行為的數目,第二種是人侵行為和正常行為顯著不同的。常用的聚類技術主要有:根據模型的方法(model-based method)劃分方法(partitioning meth-od)、)和層次方法(hierarchical method)、根據網格的方法(grid-based method)、根據密度的方法(density-based method)等。
4數據挖掘技術研究的前沿技術
數據挖掘技術是一門融合多門學科的嶄新技術,其中包括信息檢索、神經網絡、數據可視化、數據庫應用技術、統計學原理、模式識別、高端計算、機器自學習、信號處理DSP和空間數據研究等。數據挖掘技術可以和其他技術相結合,如粗集、模糊邏輯、遺傳算法、決策樹理論、人工神經網絡以及規則歸納法等等。
下面介紹幾種最新的數據挖掘技術,可以與之相結合應用到入侵檢測系統中的技術:
1)膜糊數據挖掘技術
在數據挖掘過程中,審計數據中一定含有量化特征,量化數據分隔在置信度、支持度兩個參數值區域中。這種劃分方法的尖銳邊界(sharp boundary),這一問題也影響著IDS的檢測性能。為克服尖銳邊界所帶來的一系列問題,Bridges把特征量化細分為模糊隸屬度值的等類別。Bridges使用模糊邏輯算法與關聯規則挖掘算法、數據頻繁情節挖掘算法三類相結合,綜合應用上述方法來開發數據挖掘技術。
2)多級近似(level-wise)挖掘技術
若發生頻率較低的某些正常行為,其支持度不會超過預定的數值;在數據挖掘過程中,若降低支持度的數值,也能取得許多與頻率值高的服務類別相近的模式。多級近似挖掘技術被專家們提出來為解決這一矛盾,它的原理是:首先提取出與頻率高的中心屬性值關聯的模式,而后再把支持度數值降低,從中提取出與頻率值低的屬性值相關的那些模式。該模式挖掘技術提取的過程中,要注意控制那些舊的中心屬性的添加:必須至少包括一個“新”(低頻繁度)的中心屬性值作為備選項目集。這樣,每次循環演算獲得的模式就轉變為由全部新的中心屬性構成的,或者是由舊中心屬性與新中心屬性綜合構成。
3)遺傳算法技術
遺傳算法(genetic algoritm)是指模擬自然生物進化遺傳模式和采用大自然選擇的一種最優算法技術,遺傳算法有效解決了大量數據的繁雜無序的特性。基于遺傳算法的數據挖掘技術主要研究方向還是在分類系統方面,對于關聯規則的研究,挖掘應用較少。比如Shi使用遺傳算法則可以自動優化隸屬度函數的參數。遺傳算法技術是將若干問題可能的解,按某種形式進行合理的編碼,編碼后的解我們稱之為染色體(個體)。然后選擇幾個染色體組成原始種群,再針對每個染色體進行分析,再根據選定的函數統計出適應值,以便讓性能較優的染色體具有較好的適應值。選取適應值好的染色體進行相應的復制,再經過遺傳算法:選擇、重組(交叉)、變異,來創造出一種更新的且更適應環境的染色體,形成更新的種群。不斷循環繁殖、進化,最后收斂到一個最適應系統環境的體中,從而使得問題得到最優解。
4)決策樹技術
決策樹方法技術是指用信息論方法獲得值的一種數據挖掘技術。在數據庫概念中,決策樹技術采用的是信息論中的信息增益(互信息),來搜尋含有MAX信息量的屬性字段,組建決策樹中的一個節點,再基于該屬性字段的異同來獲取數值,也就建成了樹的分支。在任意的分支子集中,重復構建樹的下層分支與節點的過程。決策樹方法技術,不但可以實現數據規則的可視化,構造過程中也不需要浪費較長時間,精度較高的輸出結果,也容易讓人理解,所以在知識發現系統中,決策樹方法技術得到廣泛的應用。
5)人工神經網絡技術
神經網絡由大量的處理單元組成,單元間進行交互是通過帶有權值的連接來實現的。神經網絡可以通過添加連接或刪除連接的方法、改變單元狀,改變連接的權值來標識異常事件。神經網絡在數據較大、領域知識不完備以及存在噪聲數據的情況下,發揮強有力的非線性處理能力,達到傳統符號學習方法意想不到的效果。把神經網絡的自學習、自組織功能與數據挖掘技術相結合,應用到入侵檢測系統中,可以提高入侵檢測的效率,避免了人工輸入規則,較好地處理帶噪聲的數據。
6)Agent Agent技術
該技術目前尚無統一的定義,普遍的觀點是一種處于平臺環境下的計算機系統,為實現算法程序的初衷,它能實現在一定的系統中自主靈活地運行。一個完善的Agent能夠與環境中的其他Agent相互協作,并從它的經驗中不斷地學習,共同完成原定的任務。分布式入侵檢測系統基于Agent和數據挖掘的分布式結構,在各種特性上構造了移動Agent的自治性和智能路由性,在一定程度上滿足了入侵檢測系統的要求,當檢測環境變化時或者需要保護機器數目發生變化,入侵檢測系統則不要做較大修改;或者當新的正常使用模式與新的攻擊類型模式時,系統可以自動擴充相關知識庫并及時鑒別,從而提高其擴展性和環境適應性。
5小結
