發布時間:2023-03-06 16:01:30
序言:寫作是分享個人見解和探索未知領域的橋梁,我們為您精選了8篇的網絡安全監測樣本,期待這些樣本能夠為您提供豐富的參考和啟發,請盡情閱讀。
[關鍵詞] 網絡安全入侵檢測
網絡安全指的是信息系統中硬件、軟件和系統中的數據受到保護,不因偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,網絡服務不中斷。而入侵檢測作為一種積極主動的安全防護技術, 提供了對內部攻擊、外部攻擊和誤操作的實時保護在網絡系統受到危去之前攔截和響應入侵。入侵檢測系統能很好地彌補防火墻的不足, 從某種意義上說是防火墻的補充。
一、入侵檢測概述
1.入侵檢測技術
入侵檢測(Intrusion Detection)書面上的定義為“識別針對對計算機或網絡資源的惡意企圖和行為, 并對此做出反應的過程”IDS 則是完成如上功能的獨立系統。IDS 能夠檢測未授權對象(人或程序)針對系統的入侵企圖或行為, 同時監控授權對象對系統資源的非法操作。具體的功能是:
(1)從系統的不同環節收集信急。
(2)分析該信息, 試圖尋找入侵活動的特征。
(3)自動對檢測到的行為做出響應。
(4)紀錄并報告檢測過程結果。
2.入侵檢測的基本原理
入侵檢測是通過多種途徑對網絡或計算機系統信息進行收集,從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象, 一旦發現攻擊自動發出報警并采取相應的措施。同時, 記錄受到攻擊的過程, 為網絡或系統的恢復和追查攻擊的來源提供基本數據。
3.入侵檢測的分類
現有的分類大都基于信息源進行分類, 根據信息源的不同分為基于主機型、基于網絡型、基于主機和基于網絡的入侵檢測系統的集成三大類。
(1)基于主機的入侵檢測系統。基于主機的入侵檢測系統可監測系統、事件和Windows NT 下的安全記錄,以及Unix 環境下的系統記錄。當有文件被修改時, IDS將新的記錄條目與己知的攻擊特征相比較, 看它們是否匹配, 如果匹配, 就會向系統管理員報警或者做出適當的響應。
(2)基于網絡的入侵檢測系統。基于網絡的入侵檢測系統以網絡包作為分析數據源。它通常利用一個工作在混雜模式下的網卡來實時監視并分析通過網絡的數據流分析模塊通常使用模式匹配、統計分析等技術來識別攻擊行為。一旦檢測到了攻擊行為, IDS 的響應模塊就做出適當的響應. 比如報警、切斷相關用戶的網絡連接等。不同入侵檢測系統在實現時采用的響應方式也可能不同, 但通常都包括通知管理員、切斷連接、記錄相關的信急以提供必要的法律依據等。
(3)基于主機和基于網絡的入侵檢測系統的集成。。許多機構的網絡安全解決方案都同時采用了基于主機和基于網絡的兩種入侵檢測系統, 因為這兩種系統在很大程度上是互補的。實際上, 許多客戶在使用IDS 時都配置了基于網絡的入侵檢測。在防火墻之外的檢測器檢測來自外部Internet 的攻擊。DNS. Email 和Web 服務器經常是攻擊的目標, 但是它們又必須與外部網絡交互,不可能對其進行全部屏蔽, 所以應當在各個服務器上安裝基于主機的入侵檢測系統, 其檢測結果也要向分析員控制臺報告。因此, 即便是小規模的網絡結構也常常需要基于主機和基于網絡的兩種入侵檢測能力。
二、入侵檢測系統常用的檢測方法
入侵檢測系統常用的檢測方法有專家系統、特征檢測與統計檢測。據公安部計算機信息系統安全產品質量監督檢驗中心的報告,國內送檢的入侵檢測產品中95%是屬于使用入侵模板進行模式匹配的特征檢測產品,其他5%是采用概率統計的統計檢測產品與基于日志的專家知識庫系產品。
1.專家系統
用專家系統對入侵進行檢測, 經常是針對有特征入侵行為。專家系統主要是運用規則進行分析, 不同的系統與設置具有不同的規則, 且規則之間往往無通用性。專家系統的建立依賴于知識庫的完備性, 知識庫的完備性又取決于審計記錄的完備性與實時性。入侵的特征抽取與表達, 是入侵檢測專家系統的關鍵。在系統實現中, 將有關入侵的知識轉化為if- then 結構(也可以是復合結構), 條件部分為入侵特征, then 部分是系統防范措施。運用專家系統防范有特征入侵行為的有效性完全取決于專家系統知識庫的完備性。
2.特征檢測
特征檢測需要對己知的攻擊或入侵的方式做出確定性的描述,形成相應的事件模式。當被審計的事件與己知的入侵事件模式相匹配時即報警其檢測方法同計算機病毒的檢測方式類似。日前基于對包特征描述的模式匹配應用較為廣泛。該方法預報檢測的準確率較高, 但對于無經驗知識的入侵與攻擊行為無能為力。
3.統計檢測
統計模型常用異常檢測, 在統計模型中常用的測量參數包括:審計事件的數量、間隔時間、資源消耗情況等。常用的入侵檢測5種統計模型為:操作模型、方差、多元模型、馬爾柯夫過程模型、時間序列分析。統計方法的最大優點是它可以”學習, 用戶的使用習慣, 從而具有較高檢出率與可用性。但是它的”學習”, 能力也給入侵者以機會通過逐步”訓練”, 使入侵事件符合正常操作的統計規律. 從而透過入侵檢測系統。
4.入侵檢測方案實現
方案簡述: “入侵檢測” 屬于安全評估類產品, 是一種網絡實時自動攻擊識別和響應系統它通過多種途徑收集單位內部網的主機和網絡信息, 對這些信息加以分析, 查看網絡安全體系結構是否存在漏洞, 主機系統和網絡上是否有入侵事件發生, 如果發現有入侵事件, 自動對這些事件響應, 同時給出相應提示。內部網根據部門劃分不同子網網段。每個部門或子網有一個交換機, 設置網絡中心, 有專門的網絡管理員。各個子網匯總到網絡中心連接到高性能服務器群, 高性能服務器群放置在防火墻的DMZ 區。方案構建: 根據網絡流量和保護數據的重要程度, 選擇IDS 探測器(百兆)配置在內部關鍵子網的交換機處放置, 核心交換機放置控制臺, 監控和管理所有的探測器因此提供了對內部攻擊和誤操作的實時保護, 在網絡系統受到危害之前攔截和響應入侵。入侵檢測可以進行如下反應:
(1)控制臺報警。
(2)記錄網絡攻擊事件。
(3)實時阻斷網絡連接。
(4)入侵檢測采用透明工作方式, 靜靜地監視本網絡數據流, 對網絡通訊不附加任何時延。
(5)入侵檢測可以過濾和監視TCP或IP 協議。系統管理員通過配置入侵檢測, 可以按協議(TCP, ICMP), 源端口, 目的端口, 源IP或目的IP 地址過濾。入侵檢測可監測多種網絡服務:包括文件傳輸、遠程登陸等, 并且所支持的服務隨著入侵檢測的發展可以不斷地擴展。
(6)入侵檢測還支持用戶自定義的網絡安全事件監視。
(7)入侵檢測能生成系統安全日志以利于系統安全審計并以開放數據庫方式支持安全分析決策系統, 從而為網絡安全提供有效的保障。
參考文獻:
[1]楊振會:基于防火墻的入侵檢測系統的設計[J].計算機安全, 2006,(10)
[2]王炳晨:網絡安全專家服務――趨勢網絡安全掌控危機[J]. 微電腦世界, 2007,(07)
[3]富強:東軟網絡安全十年發展之路[J].計算機安全, 2006,(07)
關鍵詞 網絡安全;安全管理;測繪生產網;防火墻;入侵檢測
中圖分類號TP3 文獻標識碼A 文章編號 1674-6708(2012)73-0198-02
在測繪行業中,地理信息的采集、加工、處理越來越現代化,智能化,而對測繪成果的利用也是向著服務網絡化和應用社會化的方向發展。網絡作為地理信息的載體,可以加快從數據采集到成果應用的轉化,從而實現為現代高速發展的社會提供實時準卻的地理信息。網絡在為測繪行業帶來高效、便捷的同時,也提出了有效保護地理數據不被他人竊取盜用的要求。因此在測繪數據加工生產的過程中,通過有效的網絡安全策略來保護地理信息數據顯得非常重要。
1 網絡安全要素分析
網絡安全要素主要包括4個方面:1)網絡運行系統安全;2)網絡系統信息安全;3)網絡信息傳播安全;4)網絡信息內容的安全。由此可見,網絡安全包含的內容廣泛,對于其網絡安全體系的建立和策略,不僅僅只包括安全防護工作,還包括管理、監控、技術跟新等內容。對此,在本體系的構建中,我們以安全管理為主,采用技術手段和相關硬件設備構建網絡安全體系,通過人工干預,對正在發生的攻擊做出及時響應,并在事后采取防范措施和恢復措施,防止類似攻擊再次發生,將損失最小化[1]。
2 測繪生產網安全體系構建的思路與實現
2.1 測繪生產網安全管理
2.1.1建立健全安全管理制度
同其它信息相比,地理信息數據牽涉到國家的政治、軍事、經濟利益,涉及國家的機密。這些地理信息只有部分個人、部分單位有權生產、擁有和使用,其他個人、機構不能訪問、使用、占有、修改這些數據。因此在安全管理制度中除了制定一般的網絡安全管理制度外,還需要依照國家保密法律、法規和有關規定制定相關的保密管理制度以及保密管理措施。在本體系的構建中,采取了如下措施,首先根據現行相關法律法規制定了一系列配套制度。對落實這些制度的情況進行定期或不定期的檢查,及時解決工作中的問題。
2.1.2 加強網絡安全、保密管理工作的宣傳和教育
網絡的安全管理主要包括加強計算機用戶安全教育以及完善安全管理功能,促進計算機用戶學習法律法規的意識,明確計算機用戶和系統管理人應履行的權利和義務。在保密管理工作方面,要強化人員的保密教育,切實增強保密意識,筑牢嚴守國家秘密的思想防線。在本體系的構建中,對所有參與的人員都進行了保密培訓并簽訂了保密協議,加強了生產人員的保密意識。除此之外,還對參與生產的人員進行了相關計算機安全使用方面的培訓[2]。
2.2 測繪生產網網絡安全體系
2.2.1網絡基礎設施安全建設
在網絡基礎設施方面,機房作為生產數據加工存放的地方,其防火、防盜以及設備的支撐環境,都是保證網絡安全運行的基礎。為此在本方按中我們采取如下措施來消除。1)為了消除環境隱患,機房購置了大型多功能空調設備,用以保證機房的溫度、濕度恒定;在機房四周放置了氯丙烷氣體滅火系統;2)為了防止電壓過高,電源不足、不合格電源和突然斷電對設備的不安全影響,機房采用雙電力線接入,并配備了UPS系統。在每個機柜中配備了兩部16A濾波電源接入和專用接地銅線,從而保證了每個機柜有足夠的功率安全地接入服務器;3)安防方面,網絡機房安裝了電子攝像頭,配備了門徑系統,只允許授權的人員進出機房;4)設備存放與安全使用。在生產網中,為了有效的保護數據,存放服務器的機柜采用了電磁屏蔽機柜;機柜間網絡布線主要采用六類屏蔽雙絞線纜。由于本方案中,各個數據生產作業室分布在大樓的不同樓層內,因此與機房通信的交換機全部用光纖連接后再用六類屏蔽雙絞線與桌面計算機相連。除此之外,設備的管理,遵循“統一購置,統一編號,統一備案,跟蹤管理,集中報廢”的原則,嚴格控制發放范圍。所有設備在入網前,需由網絡安全負責人對設備的情況、基本配置信息、用途、使用人、安裝的軟件、使用的端口和服務、MAC地址等等級備案并進行安全審核,合格后方可入網與處理重要信息。
2.2.2 采用網絡安全相關的技術
在網絡安全技術方面,一般采用防火墻和入侵檢測兩種技術。1)防火墻技術。該技術能執行訪問控制,在使用期間同意允許訪問的用戶與數據進入內部網絡,拒絕不允許訪問的用戶與數據進入內部網絡,這樣能最大限度的阻止網絡黑客的訪問,提高內部網絡的安全性;2)入侵檢測技術。改技術能彌補單純的防火墻技術暴露出明顯的不足和弱點,為網絡安全提供實時的入侵檢測及采取相應的防護手段。入侵檢測是對防火墻的合理補充,幫助系統對付網絡攻擊,擴展了系統管理員的安全管理能力,提高了信息安全基礎結構的完整性[3]。
本方案中,采用了華為公司生產的USG5160防火墻。在防火墻的內部,是由各個單位的服務器、磁盤陣列等組成的網絡,而防火墻外部是由各個單位的數據加部門組成的一個網絡。(在這種網絡結構中,通過對防火墻安全策略的配置,可以有效的防止各個作業PC機對服務器的惡意攻擊。由于生產網是一個相對獨立的網絡,每臺計算機IP是固定的,用戶對服務器的訪問相對可控,因此采用了基于主機的入侵檢測技術。我們通過系統日志分析軟件定期分析系統日志的方法來監測系統是否有非法訪問。通過對這些日志的分析,可以使系統管理員在小范圍內、審計和評估系統。
2.2.3 加強防范網絡病毒
隨著網絡技術的發展,安全技術也不斷升級,但是與此同時,病毒跟新和傳播的速度也不斷加快。對此應不斷加強防范網絡病毒,更新殺毒軟件,盡量滿足網絡病毒防范的要求,提升計算機網絡安全。
綜上所述,網絡安全在測繪數據加工生產過程中非常關鍵,作為測繪行業工作人員,在充分利用網絡為測繪數據加工生產帶來高效、便捷的同時,還應不斷更新網絡技術,加強網絡監管,讓測繪數據加工生產安全、高效,進一卻確保測繪數據準確可靠。
參考文獻
[1]周燁,楊懷龍.淺談測繪生產網絡的數據安全[J].信息系統工程,2012(2).
關鍵詞:計算機;網絡安全;入侵檢測技術
1引言
當今世界計算機網絡的運用十分廣泛,人們通過互聯網進行商品買賣、社交以及娛樂,企業利用互聯網進行交易,甚至能夠危及到國家安全的機密信息也在計算機網絡中溝通流動,因此計算機網絡安全影響著社會各個層次、各個方面。計算機網絡安全問題成為全世界共同關注的問題,如果不能有效地解決,將會嚴重制約信息化的發展進程。隨著網絡專家的不懈努力,找到了一個有效的解決途徑就是入侵檢測技術。入侵檢測系統可以彌補防火墻的不足,在不影響網絡性能的情況下對網絡進行檢測,從而提供對內部攻擊、外部攻擊和誤操作的實時保護。
2入侵檢測技術相關理論概述
2.1定義
入侵檢測技術是一種能夠及時發現并報告系統中未授權或異常現象的技術,是一種用于檢測計算機網絡中違反安全策略行為的技術,是一種為保證計算機系統的安全而設計與配置的技術。入侵檢測系統(IntrusionDetectionSystem,簡稱IDS)是進行入侵檢測的軟件與硬件的組合。入侵檢測系統(IDS)可以被定義為對計算機和網絡資源的惡意使用行為進行識別和相應處理的系統。包括系統外部的入侵和內部用戶的非授權行為,是一種用于檢測計算機網絡中違反安全策略行為的技術。入侵檢測系統在發現入侵后,會及時作出響應,包括切斷網絡連接、記錄事件和報警等。入侵檢測技術從計算機網絡系統中的若干關鍵點收集信息,并分析這些信息,看看網絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門,在不影響網絡性能的情況下能對網絡進行監測,從而提供對內部攻擊、外部攻擊和誤操作的實時保護。
2.2分類
(1)按照檢測時間分類:入侵檢測按檢測的時間可分為實時入侵檢測和事后入侵檢測兩種;(2)按照分析方法分類:入侵檢測按照檢測分析方法一般被分為誤用檢測和異常檢測兩大類;(3)按照數據來源分類:入侵檢測依據待分析的數據來源通常可分為基于主機的檢測系統和基于網絡的檢測系統兩類;(4)按照系統結構分類:入侵檢測按系統結構的劃分可分為集中式入侵檢測和分布式入侵檢測兩種;(5)按照工作方式分類:入侵檢測按照工作方式的區別可分為離線檢測和在線檢測兩種。
2.3工作流程
入侵檢測技術的工作流程基本上可以歸納為以下3個步驟:(1)信息收集:信息收集是入侵檢測的第一步,信息收集的內容主要包括系統、網絡、數據及用戶活動的行為和狀態。收集信息的工作是由放置在不同網段的傳感器或不同主機的來完成,包括非正常的目錄和文件改變、非正常的程序執行以及系統和網絡日志文件、網絡流量的信息。(2)信息分析:收集到的有關系統、網絡、數據及用戶活動的狀態和行為等信息,被送到檢測引擎,檢測引擎駐留在傳感器中,一般通過3種技術手段進行分析:統計分析、完整性分析和模式匹配。其中模式匹配和統計分析用于實時的入侵檢測,而完整性分析則用于事后的檢測分析。當檢測到某種誤用模式時,就會產生一個告警并發送給控制臺。(3)問題處理:控制臺收到告警后,會按照告警產生預先定義的響應采取相應措施,可以是重新配置路由器或防火墻、終止進程、切斷連接、改變文件屬性,也可以只是簡單的告警。識別告警的方法主要有:活動特征、告警特征和用戶特征。
3應用安全
入侵檢測技術在計算機網絡安全中的應用主要體現在基于主機的入侵檢測系統和基于網絡的入侵檢測系統兩個方面。
3.1基于主機的入侵檢測系統
基于主機的入侵檢測系統是把主機作為對計算機的重點檢測對象,對主機進行入侵檢測的設置,根據主機的運行情況來判斷并檢測主機是否出現了受到攻擊的行為。主機入侵檢測系統能夠全面實時地監控計算機網絡用戶的操作行為,當網絡出現網絡異常情況時會進行預警,全面及時地保護網絡安全。基于主機的入侵檢測系統能夠對攻擊行為是否成功進行判斷,并為主機作出決策提供充足的依據。基于主機分入侵檢測系統還可以對文件訪問、文件執行等指定的特定的系統部位進行監控。
3.2基于網絡的入侵檢測系統
基于網絡的入侵檢測系統又被稱為基于行為的入侵檢測系統,它在檢測設置時無需在主機上進行安裝,并且可以設置多個安全點,能夠同時對多個網絡通信進行監控,因此有著檢測成本相對較低、檢測速度快的優點。基于網絡的入侵檢測系統能夠及時發現計算機在網絡運行過程中受到的攻擊,并及時向檢測系統發送檢測結果報告,提高發現計算機網絡安全入侵的速度,方便快捷,并且大大縮短了計算機受到網絡攻擊的時間。基于網絡的入侵檢測系統由于采取對計算機的多處網絡安全點和網絡通信進行監控和觀察,并且安裝方便,因此檢測效果高;監測系統一旦發現問題之后,可以直接利用網絡進行報告,無論何時何地,都能做出快捷地反應和解決措施,提高了計算機網絡安全檢測技術的水平和檢測效率,確保了計算機在安全網絡環境下的正常運行,為計算機用戶帶來了便利。
4存在問題
4.1入侵檢測技術相對落后
目前國內在入侵檢測技術的研究起步比較晚,與發達國家相比差距還比較大。在網絡安全技術發展的同時,網絡入侵技術也在不斷地升級,如果計算機網絡安全入侵檢測技術相對落后的話,當比較復雜高級的計算機網絡入侵行為發生時,入侵檢測技術是難以有效地解決威脅網絡安全的因素的。在網絡環境下,計算機對于網絡安全的依賴性比較高,網絡安全的入侵檢測技術也存在一定的缺陷,安全檢測存在局限性,在相同的網段能夠進行計算機網絡系統的局部檢測與分析,一旦計算機網絡系統處于不同的網段,其檢測的全面性與有效性是難以保證的,由此可見,計算機網絡安全的檢測技術仍然有待提高,其存在的局限性與不完整性是非常明顯。
4.2入侵檢測技術方式單一
計算機網絡安全的入侵檢測系統主要采取的方式是特征檢測,特征檢測的適用范圍是那些比較簡單的入侵攻擊行為,在單一的主機或網絡構架下的檢測效果很好,對異構系統以及大規模的網絡監控就顯得力不從心。當出現比較復雜的入侵行為時,入侵檢測需要大量的計算和分析時間,這時入侵特征檢測就無法發揮作用。另外,當入侵檢測系統對網絡系統進行監控時,會產生數量巨大的分析數據,分析數據會對系統性能造成較大壓力。
4.3入侵檢測技術加密處理困難
(1)計算機網絡安全入侵檢測技術在處理會話過程的加密問題上有很大的困難,就目前的發展趨勢來看,這個問題會越來越突出。(2)入侵檢測系統自身無法對網絡攻擊行為進行阻斷,必須通過計算機內部防火墻的聯合機制才能更好地完成入侵檢測,自身的功能存在缺陷明顯,作用也無法得到充分的發揮。(3)人們在日常生活中對計算機的廣泛應用,計算機觸及到用戶越來越多的隱私,因而計算機內存儲的網絡數據也具有一定的隱私性,在計算機受到網絡安全的威脅后,計算機網絡安全的入侵檢測系統自身無法完成對計算機系統的全面檢測,檢測技術并不能保證計算機網絡數據的安全性和隱私性,加之網絡檢測需要同計算機內部防火墻聯合,這樣便會對計算機內部網絡數據造成一定的暴露,不能對其做到科學全面的加密處理,在一定程度上對用戶的個人隱私造成威脅。
5發展趨勢
5.1分布式入侵檢測
在如今高速發展的信息網絡時代,傳統的入侵檢測技術缺乏協同并且過于單一,在應對高級復雜的網絡安全入侵時顯得力不從心,因此分布式的協作機制就顯得更有優勢。分布式入侵檢測核心的技術體現在全局的入侵信息提取與多個入侵檢測協同處理,主要體現在收集數據、入侵信息的分析和及時的自動響應等方面。它在系統資源方面的優勢遠大于別的方式,將是將來主要的發展方向之一。
5.2智能化入侵檢測
目前的安全入侵方式越來越智能化和多樣化,因此入侵技術的智能化發展也變得順理成章。智能化入侵檢測技術包含了模糊技術、神經網絡、遺傳算法、免疫原理等方法,能夠更有效地識別與分析入侵威脅因素,提高網絡安全入侵檢測技術水平。智能化入侵檢測可以將入侵的特點更具有廣泛識別性和辨識性,因此可以在解決出現的故障時,識別和隔離可疑攻擊,并不干涉正常運行的程序,以確保計算機的運行效率。
5.3一體化全方位防御方案
根據目前的網絡安全入侵情況來看,入侵方式越來越智能化和多樣化,僅僅某一方面的入侵檢測方式很難應對,因此針對這種情況,網絡安全入侵檢測系統很可能實現一體化的發展趨勢,這樣入侵檢測的結果將會更加全面和科學準確,打造網絡安全入侵檢測平臺,最大化地利用計算機資源,增強入侵檢測的可靠性,全方位地確保計算機的網絡安全。
6結語
作為一種積極主動地計算機網絡安全防護技術,入侵檢測為計算機網絡安全提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網絡系統受到危害之前攔截和解決入侵威脅,對保護網絡安全的作用十分重要。面對日益復雜的網絡安全形勢,必需正視自己在入侵檢測技術上與發達國家的差距,加大研究力度,提升我國計算機網絡安全的入侵檢測技術水平,為計算機網絡安全提供有力保障。
參考文獻
[1]毛曉仙.試論計算機網絡安全的入侵檢測技術[J].網絡安全技術與應用,2014,08:63+65.
[2]唐銳.基于頻繁模式的離群點挖掘在入侵檢測中的應用[D].重慶大學,2013.
[3]宋彥京.計算機網絡入侵檢測系統與技術措施分析[J].網絡安全技術與應用,2014,11:51-52.
Abstract: Along with the popularization of computer and network security issues become more prominent, exploring a network security anomaly detection approach has become obvious imperative. The excellent network security testing methods can dynamically reflect network security and make a timely warning. It not only detects external attack, but also detects the unauthorized acts the users used in the daily operation.
關鍵詞: 網絡安全;異常檢測;分析;方案
Key words: network security;anomaly detection;analysis;program
中圖分類號:TP393 文獻標識碼:A 文章編號:1006-4311(2012)03-0149-01
0 引言
要想檢測到網絡中的異常事件流,我們必須首先設定事件檢測模式與頻繁密度的概念。然后應用異常事件模式的間隔限制,輔之以設計的滑動窗口算法,我們就可以實現對網絡中異常事件流的檢測了。當然,由于網絡協議設定上存在的疏漏,以及網絡管理與使用的不當,最近的網絡安全問題尤為嚴重。因此探討網絡安全事件流的特點與提出相應的措施來改進監測機制顯得勢在必行且具有很大的經濟效益。
1 改善網絡安全建設方案
考慮到各種網絡安全技術,我們如果能在網絡安全異常檢測中采用統一管理系統,就可以提高系統的檢測精度。因為在統一的管理系統中,我們可以利用連接到的基本屬性,將基于時間的統計特點融于自身,當然可以明顯的提高對網絡安全的偵測預警能力。下面簡單論述一下幾條完善網絡安全的措施:
1.1 用戶自身加強口令管理 我們對于口令再熟悉不過了,而我們的計算機安全就很大程度上取決于口令的安全。
當今的黑客侵入計算機系統竊取口令的常用方法通常有以下幾種:首先是通過非法的網絡設備監聽以達到竊取用戶口令的目的;其次是在知道用戶的帳號后,利用一些專門軟件強行破解用戶口令;最后就是在獲得一個服務器上的用戶口令文件后,用暴力破解程序及用戶口令。這種方法尤其對那些警惕性不高的用戶會構成巨大的威脅。因此如果用戶在自身的口令管理上做好防范工作,那么也就切斷了網絡安全從用戶端侵入的隱患。
1.2 統一賬號管理,進行安全管理建設 進行安全管理建設的主要內容為采:采用信息化、科技化技術進行帳號口令的管理,達到人手一賬號和安全化的帳號管理。同時逐漸改善網絡的審核體系、網絡安全設備、主機以及應用系統。并且以高新技術為依托,建設出一整套切實可行的帳號口令統一管理系統。這樣不僅能達到對帳號口令的管理,還可以做到專門化、優勢化、合理化。眾所周知,體系框架中尤為重要的就是網絡平臺的監管、賬號和授權的管理、認證以及審核管理。為了構建完善的體系框架,有必要組建安全管理部門,由資深的安全顧問為領頭人,逐步建立完善的信息安全管理體系。
最后還要注重邊界安全。我們一般通過安全域劃分和加強安全邊界防護措施來達到邊界安全的目的。這就要求對于Internet外網出口安全問題予以重點考慮,相應的,我們一般采用的技術有網絡邊界隔離與入侵防護等。
1.3 采用IPS系統 通過在重要服務器區域的邊界應用入侵防護系統,以此對于集中進行的訪問進行控制和綜合過濾,達到保護網絡安全的目的。而增設IPS系統就可以預防服務器由于未及時添加補丁或者一時的疏忽而導致的入侵事件的發生。例如在網絡的邊界位置安放IPS系統邊界位置,就可以輕松的實現對網絡流量的實時實地的檢測,以達到安全過濾的目的。
2 升級檢測系統
由于在網絡安全問題中存在模糊地帶,如安全與威脅就沒有明顯的界限。因此很有必要在網絡安全事件檢測中引入模糊集理論。通過此理論的引入,使得模糊集理論與關聯規則算法結合起來,采用在模糊條件下的關聯算法來檢測、分析網絡中的行為特征,從而可以更為高效且不失靈活的對網絡安全保駕護航。
2.1 完善檢測算法 傳統的算法只是將網絡屬性的取值范圍分散成不同的區間,并將其轉換為“布爾型”關聯的規則算法。這樣的算法顯而易見會產生許多的邊界問題,例如對于略微偏離原來規定的范圍的異常,系統就會做出錯誤的判斷,從而導致網絡安全受到威脅。于是考慮到事件流的特點,采用事件流中滑動窗口設計算法,輔之以復合攻擊模式的方法,對算法進行科學化的測試。試驗檢測的結果證明,這種算法不僅在網絡時空的復雜性還是漏報率等方面均符合網絡安全事件流中異常檢測的要求。
2.2 提高檢測精度 一個完善的異常檢測系統,應該盡可能全面的對網絡行為進行準確的描述,即不僅覆蓋高頻率模式,更應該包含低頻率模式。但是在一般的入侵檢測系統中,通常都是直接采用網絡連接記錄中的基本屬性,于是可想而知得到的檢測效果均不理想。
關聯算法的引入對于提高異常檢測能力有明顯的優勢。由于不同的攻擊類型所引起的記錄不同,即攻擊的次數與記錄所占的比例不成正比。而關聯算法將遇到的情況與數據邏輯相結合可以有效地提高監測的精度。
而如果把基于時間的統計特征屬性也考慮在內,就可以進一步的提高系統的檢測精度。于是網絡安全事件流的異常檢測有必要引入數據化理論,并將其與關聯規則算法結合起來,深入全面的挖掘網絡行為特征,從而進一步提高系統的檢測的靈活性和精度。
2.3 提升檢測效率 如何在當今迅速快捷,高效、高規模的數據傳輸中以最快的速度對網絡異常行為作出預警是眼下的當務之急。我們當下基于入侵檢測技術和數據流挖掘技術,提出了一個大規模網絡數據流頻繁模式挖掘和檢測算法。這種算法可以精確地檢測出網絡流量出現的異常,為增強網絡的預警能力的能力,構造了一個管控同時進行的網絡模型。這種網絡模型不僅可以自覺地檢測威脅、發出預警,還可以隔離威脅,并同時記錄入侵對象的特征。
3 結束語
計算機技術的發展日新月異,而與之相對的計算機入侵手段也日益先進,這種潛在威脅的存在使得計算機的優勢打折,并在一定程度上對人們的經濟與生活帶來諸多煩惱。因此對于計算機的異常檢測與安全防護顯得尤為重要,并且防護的水平要與時俱進,將異常入侵帶來的損失降到最低,使得我國的網絡環境更為潔凈。
參考文獻:
[1]沈敬彥.網絡安全事件流中異常檢測方法[J].重慶師專學報,2006.
關鍵詞: IPV6;網絡入侵檢測;模式匹配
0 前言
隨著現代化信息技術的迅猛發展,互聯網的影響范圍也越來越廣,網絡入侵事件頻發,相應的入侵手段也越來越多,給網絡安全性帶來極大的威脅。作為網絡安全防范措施,入侵檢測系統具有實時性和主動性的特征,對計算機網絡或系統當中的關鍵點數據進行收集和分析,進而做出有無不遵守網絡安全協議的行為或者是攻擊的存在,并向系統提供應對網絡攻擊的幫助,借助該技術,系統管理工作人員的安全管理能力也有明顯提升,計算機信息安全基礎結構也更加完整,可以提供針對于攻擊和誤操作的有效保護措施。新一代網絡IPV6安全機制的應用越來越普遍,網絡層的安全性也逐漸引起關注,IPV6安全機制的引入給傳統的網絡安全入侵檢測系統提出新的挑戰。
1 網絡入侵檢測系統
1.1 入侵檢測系統分類
以監測數據的來源為依據,可以將網絡安全入侵檢測系統劃分為依托于主機的入侵檢測系統以及依托于網絡的入侵檢測系統兩種,其中,前者對已知以及可疑攻擊模式的查找是以來自于主機的審計記錄以及日志文件的相關數據來源為主要依據的;后者確定攻擊則是借助網絡適配器對通過網絡傳輸的通信過程進行檢測和分析。以檢測技術為依據,網絡安全入侵檢測系統可以劃分為基于異常的入侵檢測系統以及基于誤用的入侵檢測系統兩種,基于異常的入侵檢測系統是以統計理論為依據對用戶或系統正常行為特征輪廓進行提取,對比所提取的數據的統計處理和正常行為系統統計特征,進而做出有無入侵的判斷;后者則是依據知識庫,分析系統行為方式,進而做出有無入侵的判斷。
1.2 傳統網絡安全入侵檢測系統
第一代及第二代IDS均采用的是模式匹配檢測技術。模式匹配入侵檢測基本思路是以全部的網絡數據包及攻擊庫的特征為對象,對二者進行匹配,進而做出有無攻擊發生的判斷。當前,模式匹配技術已經較為成熟,在入侵檢測系統中的應用極為普遍。其中Brute Force算法、Boyer-Moore算法、Aho-Corasick算法以及Set-wiseBoyer-Moor-Horspool算法等都是比較具有代表性的模式匹配算法。
新一代IDS探測攻擊所采用的是協議分析技術。網絡協議都是具有一定規則的,協議分析技術是借助該特性對有無攻擊做出判斷。協議分析技術對攻擊的檢測效率有下注提升,在很大程度上減少了計算量,即便是網絡負載較高,依然可以在不丟失數據包的情況前提下,對攻擊做出準確判斷和分析。
2 基于IPV6網絡安全入侵檢測
2.1 IPV6網絡安全問題
IPsec協議是IPV6的重要內容之一,其作用是進行身份認證,然而因為IPsec是網絡層協議,除其下層網絡安全之外,對IP層以上以及網絡應用軟件中的缺陷及漏洞無能為力。IPV6僅僅對IP層網絡協議進行了修正和擴充。隨著IPV6應用范圍的越來越廣,之前存在于其他協議層的各種攻擊向IPV6轉移的可能性極大。舉例來說,諸如Synfl就是一種存在于TCP層的攻擊行為,此外還有HTTP服務器自身的不足等,均有可能轉向IPV6,因此,為最大限度的確保網絡安全,有必要對依托于IPV6網絡安全入侵檢測系統進行深入的分析和探究。
針對當前網絡安全體制,IPV6安全機制提出新的要求和挑戰,主要體現在以下兩方面:第一方面,在IPV6環境之下,Ipse加密功能所提供的保護是端到端的,至于加密算法則是可以根據實際需求進行選擇的,密鑰也是保密的,因此單純憑借入侵檢測系統不能獲取TCP/UDP端口號,進而也就無法開展針對被加密的IPV6數據的分析工作;另一方面,相比較于IPV4而言,IPV6的報頭位置有所改變。通常情況下,IP報頭和TPC/UDP報頭之間還存在著諸如路由選項報頭等擴展報頭,只有確定下一報頭才能過濾數據包,這樣勢必會給入侵檢測系統的處理能力及保護速度造成一定的負面影響。所以可以得出結論:以IPV4為基礎的網絡安全入侵檢測系統對IPV6數據包的檢測效果并不理想,研發基于IPV6的網絡安全入侵檢測系統模型十分必要。
2.2 基于IPV6入侵檢測技術
網絡協議是按照一定規則分析各個層次協議解析結果,進而準確確定攻擊,這也是協議分析技術的依據所在。利用該技術可以極大的減少計算量,即便是網絡負載較高,同樣可以在數據包不被丟失的前提下確定攻擊并開展入侵分析工作。協議分析技術相比較于之前的模式匹配技術而言,最大的優勢體現在準確性及整體性方面。因此,利用協議分析技術對IPV6報頭進行處理,利用成熟模式匹配技術對數據部分進行處理,可以實現對二者優勢的充分有效利用,促進監測效率的進一步提升。
以檢測數據的來源為依據,可以將入侵檢測系統劃分為兩類:一是依托于主機的入侵檢測系統,二是依托于網絡的入侵檢測系統。1)依托于主機的入侵檢測系統,此種檢測系統式在被保護系統中設置檢測模塊,針對被保護系統進行數據提取,之后進行入侵分析進而達到入侵檢測目的。建立在主機日志基礎上的安全審計主要是通過對主機日志的分析確定入侵行為,優勢在于:檢測率較高、分析代價低以及分析速度較快等,可以對入侵者及時定位,此外還可以與操作系統及應用程序的行為特征相配合,進一步分析入侵者。依托于主機的入侵檢測系統的具體實現方法有很多種,設置檢測系統,以便及時發現異常的或非法的系統設置和非法更改系統設置定期檢測系統的安全性狀態,以便可以及時發現系統安全狀態出現的異常情況;2)基于網絡的入侵檢測系統,此種入侵檢測系統數據提取的實現主要是通過網絡監視得以實現的。
1)數據捕獲模塊,此模塊是入侵檢測系統得以實現的重要基礎。流入網絡數據包流量隨著網絡規模的擴大而增加,因此,最大限度的確保該模塊工作的穩定性、可靠性及高效性具有重要意義。對于抓包所導致的性能問題,可以引入零拷貝技術,借助特定的網卡驅動對數據包進行捕獲,并將其寫入共享內存,這樣可以減少復制及系統調用。2)協議分析器,其主要作用是對命令字符串進行解析,同時向協議解析器傳輸首個字節位置信息。協議分析器通過逐層剝離數據包來對協議報頭及數據部分進行分析。3)協議解析器。作為命令解析程序,協議解析器能夠針對各種應用協議來分析用戶命令。4)模式匹配及規則庫。其中,模式匹配主要是分析來自于協議分析部分的數據,并將其與特征庫中事先定義的入侵模式進行對比,進而做出數據包有無入侵企圖的判斷;規則庫是由語義層檢測規則所構成的,其實現方式主要有兩種,一種是在之前的系統數據庫中建立相應表格,另外一種就是格式和擴展名既定的文件形式。5)事件響應模塊,模式匹配判斷操作是否合法,結果將會被此模塊所接收,如果判斷結果是操作可疑或非法,就會對諸如操作人員及時間等具體信息進行記錄。對于較為嚴重的非法操作,可以采取將連接切斷的應對措施。
3 結語
綜上所述,IPV6作為新一代的網絡安全機制應用范圍不斷擴大,結合IPV6自身特性,筆者將協議分析及模式匹配技術予以融合,提出了依托于IPV6的網絡安全入侵檢測系統設計方案,從本質上講,就是借助高速搜索算法,實現對信息數據幀的高速高效處理,并對通信的內容作出判斷,從而提升了準確性及檢測速度。
參考文獻:
[1]潘理虎、陳立潮、武輝斌、李峰,基于協議分析的Ipv6網絡入侵檢測系統的研究[J].太原理工大學學報,2006(04):34-36
[2]周荃、王崇駿、王珺、周新民、陳世福,基于人工智能技術的網絡入侵檢測的若干方法[J].計算機應用研究,2007(05):123-124
[3]肖天慶、任翔,新一代國際互聯網協議IPv6與IPv4的比較研究[J].紅河學院學報,2010(02):56-57.
[4]王磊,在網絡安全方面IPv6協議的改進及新問題的探討[J].科技信息(科學教研),2008(21)87-89.
[5]馬莉、李燕、吉斌武,一種基于免疫原理的網絡入侵檢測系統[J].桂林航天工業高等專科學校學報,2009(02):45-46.
[6]劉靜,基于防火墻與入侵檢測系統聯動的校園網GSN全局部署[J].網絡安全技術與應用,2011(01):68-69.
關鍵詞:入侵檢測 網絡安全 研究
中圖分類號:TP393 文獻標識碼:A 文章編號:1007-9416(2016)05-0000-00
在網絡安全中,入侵檢測技術是至關重要的一個環節,在沒有用戶授權的情況下,主機被外訪問并且被篡改盜用了信息,使得用戶的信息泄露,系統機密受到破壞,出現系統漏洞,個人隱私受到威脅,一般這種入侵行為是比較難發現的,它沒有時間空間的約束,大都是發生在系統內部。針對這一情況,入侵檢測技術中的動態防護是極為有用的,它能夠較好的保護計算機網絡安全。將閉環的安全方法帶入計算機網絡系統中,利用這種入侵檢測技術,可以讓計算機的系統得到更全面的保護,對重要的數據進行嚴格加密,以及身份的驗證進行及時的反饋,讓計算機系統更加安全有保障。
1入侵檢測的分析
1.1網絡入侵的方式
網絡入侵的方式涉及到多個方面,例如獲取訪問權限,收集利用大量信息以及逃避檢測等方面。其中關于獲取訪問權限這一方面,有多種手段可以得到權限,像對口令的反復多次試探,利用高級的字典破譯工具破解網絡程序,除此之外FTP攻擊都會對系統造成嚴重的損壞。如果想獲取用戶信息則攻擊者也有很多方法達到目的,對端口進行掃描,對存在的漏洞進行掃描,以及對用戶等其他方面進行細致的掃描,針對發現的系統漏洞進行分析,并針對性的根據缺陷利用可行的工具或者協議,再者還可以收集利用主機系統的有用數據為再次的攻擊做好工作鋪墊。對于逃避檢測這個方面,攻擊者可以破壞日志,對系統漏洞進行慢速攻擊以及插入等方式躲避系統的檢測,這是他們能利用的多種有效手段。這些方式都能夠很好的將自己隱藏起來不被檢測到,任意攻擊系統都不是很困難的事情,很難發現他們留下的痕跡記錄。
1.2入侵檢測的定義
針對計算機系統的安全審核,十分有必要設計入侵檢測這一環節,這也是為了能更好的對網絡安全進行實時防護。引入入侵檢測技術能夠使得計算機系統中的配置安全系數提高,對于網絡系統中出現的異常狀況能夠及時發現,并作出正確的解決反映,對于存在與計算機系統中違反安全規則的行為及時檢測出來。這也是入侵檢測的基本原理作用,這也主要通過收集分析大量的網絡行為,審計數據才能夠進行的。通俗來說,入侵檢測就是一項防護技術,它能夠主動防護,針對一些錯誤操作,內外出現的攻擊行為能夠及時檢測出來并制止保護,大大減少計算機系統所受到傷害的風險。
1.3入侵檢測的分類
如果根據檢測技術方面將入侵檢測分類的話,一般情況下分為誤用檢測技術和異常檢測技術這兩類。異常檢測技術是將假設入侵的行為全設定為是異常特性的,它是基于行為的入侵檢測,而誤用檢測技術是定位與一些攻擊簽名,對模式進行攻擊的行為,這種檢測技術是基于知識層面的。如果根據監測數據來源分類的話,分為基于網絡,主機以及兩者的入侵檢測。這些檢測方式各有優缺點,可以適當進行取長補短,所以是將三者融合兼備的分布式系統保護效果最好。分層式、分布式以及集中式的檢測技術是依照網絡架構分類的,如果是要分析相應的分層數據,分層式檢測系統則是最佳選擇,它能夠多方面的檢測數據,實時保護網絡安全,對升級系統有較大的幫助。
2入侵檢測技術方法及發展
2.1入侵檢測技術方法
對于常用的入侵技術檢測方法有很多種,包括概率統計異常檢測、神經網絡異常檢測、專家系統誤用檢測等。關于概率統計異常檢測中,它是根據用戶歷史或者之前的證據來建模的,根據用戶的使用情況用有效的系統進行檢測,這樣可以得到針對用戶行為的系統內部概率模型,在這過程中如果有出現異常情況則會啟動相應的程序,對其進行實時監控跟蹤。對于專家系統誤用檢測能夠更加有效的對一些入侵行為進行檢測,在建立專家系統過程中,需要注意利用相關的安全專家知識,用If-Then 或者更為精細的復合結構規則進行表達,不能忽略知識庫的完整性,這就需要審計記錄保持實時的完善性。
2.2發展智能化的入侵檢測
智能化的入侵檢測主要是通過智能化的方式例如模糊算法、神經網絡等來對入侵特征進行識別。大體上來說利用智能檢測功能的檢測軟件或者模塊,將有效算法合理結合其中,讓方案的解決得到最大科學高效化。這樣也能更有效的提高網絡的安全系數,減少外來信息入侵的可能性。此外在研究智能化的入侵檢測技術中,需要在自學能力以及適應能力方面特別注意培養,這也有利于加快入侵檢測技術朝智能化的順利發展。
2.3發展全面的安全防御方案
在網絡安全的發展過程中,對于安全工程風險管理的理論需要更好的把握利用,將這作為一項完整的工程來執行。對網絡進行全面評估過程中,不能只考慮到入侵檢測這一方面,隨著科技的進步,攻擊者的方法也層出不窮,需要在防火墻、網絡構架這些方面進行重視,以及結合病毒防護,建立更好的管理機制,發展全面的安全防御方案,更好的檢測抵御外來入侵,保護網絡安全。
3結語
在網絡技術飛快發展的今天,網絡一方面為人們生活帶來意想不到的變化,另一方面也威脅著網絡用戶的信息安全,用戶的信息一旦泄露將造成不可預計的損失,也正如此在維護計算機系統安全中入侵檢測技術扮演著越來越重要的角色,它能更好的實時防護系統,入侵檢測技術也將向智能化方面發展,建立更全面的安全防御方案,提高計算機系統的安全系數的同時也是更好的維護了用戶的隱私。
參考文獻
關鍵詞: 網絡安全;入侵檢測系統;計算機技術;異常檢測;誤用檢測
1 概述
入侵檢測系統主要是指,通過對計算機的網絡系統進行監測,并運用其主要的關鍵點對信息進行收集、分析,然后發現某些與安全策略相違背的行為,或發現某些被攻擊的跡象,并及時的自動的做出相關的反應。通常情況下其功能為:對系統和用戶的行為進行監測和分析;對系統的配置及漏洞及時的做出審計檢查;對數據文件和系統的完整性做出評估;對已知的某些攻擊行為或模式進行識別和統計分析;操作系統做出相關的跟蹤審計管理,對某些與安全策略相違背的用戶行為進行識別等。入侵檢測系統在計算機網絡安全的作用主要有:對異常進行檢測、對誤用進行檢測。
2 對異常進行檢測
2.1 統計異常的檢測
在統計異常檢測中,可以通過異常檢測器對主體活動進行觀察,然后將這些活動的關鍵輪廓進行刻畫。統計分析異常檢測方法:
1)操作模型:該模型假設異常可通過測量結果與一些固定指標相比較得到,固定指標可以根據經驗值或一段時間內的統計平均得到。舉例來說,在短時間內的多次失敗的登錄很有可能是口令嘗試攻擊。
2)方差:計算參數的方差,設定其置信區間,當測量值超過置信區間的范圍時表明有可能是異常行為。
3)多元模型:操作模型的擴展,通過同時分析多個參數實現檢測。
4)時間序列分析:將資源耗用根據時間與事件計數排成序列,如果某一時間段發生低概率事件,則可以初步判定為可能入侵。
5)馬爾柯夫過程模型:首行將系統狀態定義為每種類型的事件,然后狀態的變化用狀態轉移矩陣表示,狀態矩陣該轉移的概率較小或者所定義類型事件發生時,則可能是異常事件。
2.2 神經網絡的異常檢測
神經網絡的異常檢測主要是將神經網絡中的某些連續性的信息單元進行訓練,在其輸入層中有用戶現有的輸入命令及已操作完成后的命令,用戶已操作完成的命令可以被神經網絡加以運用,然后對用戶的下一個輸入命令進行預測[3]。神經網絡訓練主要有三個階段:1)網絡構造及訓練:在訓練階段,根據神經網絡的實際輸出模式與期望輸出模式的誤差調整網絡的權值;2)網絡修剪:刪除多余的隱藏層節點和多余的節點之間的聯結。3)規則提取:即從修剪后的網絡中提取出分類規則。
2.3 特征選擇的異常檢測
特征選擇的異常檢測主要從某一組的度量中對某些入侵行為的主要度量的構成子集進行挑選,然后對已有效檢測出的入侵行為進行分類或預測。該法的關鍵性問題就是對入侵活動和異常活動作出有效的判斷,但要使判斷與實際的度量相符是比較困難的,由于對度量子集進行適當的選擇主要依照的是已有效檢測到的全部入侵類型,而某一個度量集是很難對所有的入侵類型進行檢測,事先已確定的某些度量也很難檢測出特殊環境下的某些入侵行為。特征子集構造如下:特征子集的構造方法為:假設與入侵潛在相關的度量有n個,則這n個度量構成子集數是2n個。由于度量數與搜索空間為指數關系,所以想方設法找到量子集的最佳程度是無效的。可通過Maccabe提出遺傳方法來搜索整個量子空間,找到正確的量子集。方法是使用學習分類程序產生基因突變算子和交叉算子,除去較低的預測入侵量子集,同時利用遺傳算子產生的強度量子集。使用此方法與具有較高的預測量子集相結合,在所充許搜索空間,比其他啟發式搜索技術更有效。
2.4 模式預測的異常檢測
模式預測的異常檢測需要有一定的假設條件,即事件的序列必須是有規律的可辨別模式而不是隨機的。該法主要考慮的是事件的相互關系及序列。通過對用戶行為進行觀察,歸納總結出一個規則集,然后構建為用戶的主要輪廓框架。若觀察到的某些事件序列與后續的事件相背離,則表明用戶的操作存在異常。
3 對誤用進行檢測
3.1 專家系統的誤用檢測
專家系統主要是根據專家的某些經驗和知識而建立起來的,并以推理機和知識庫為中心而構成的軟件智能系統。其應用程序:首先使用規則類似的if-then格式輸入現有的知識(攻擊模式),然后輸入入侵檢測數據(審核事件日志),系統根據知識庫中的內容來評估測試數據,判斷是否有入侵模式。專家系統的優點回答了系統的控制過程和問題的最后階段分離的推理,即支持不需要了解或在該專家系統的推理過程,但只有到了自制的黑盒子專家系統。當然,要實現這一目標,形成黑盒子是一個艱難而耗時的工作,重點在于嵌入式系統中的編碼引擎和檢驗規則。
3.2 模型的誤用檢測
模型的誤用檢測系統,是通過三個模塊實現的:先知模塊,規劃模塊,解釋模塊。模型推理系統測試過程中,根據越來越多的收集特殊情況數據,通過三個模塊的過程中不斷循環前進的過程。常用概率論和微積分的數學方法來處理積累的數據。當數據積累達到一定限度時,檢測到攻擊或試圖攻擊。每次攻擊腳本代表的侵略行為,在任何時刻的序列,可將攻擊腳
本的加以利用,從而通過對一個子集系統的判斷,推斷出系統是否遭到惡意入侵。而預警器在依照此時的活動模型,做出進一步的智能行為,并對其進行記錄,然后作為審計跟蹤的主要驗證。規劃者主要對假設行為進行判斷,并在審計跟蹤的數據上做出反應,并將假設行為轉化為與系統有關的審計跟蹤行為。該系統具有嵌入數據的分析推理能力,對劇本出現活動進行更新,并依照攻擊劇本的概率檢測推斷出入侵行為。
3.3 狀態遷移分析的誤用檢測
攻擊者所操作執行的入侵行為,可以讓系統的正常操作狀態發生遷移,讓其狀態轉化為一個相對危及的系統狀態。此時的狀態主要指系統在某一特定時刻的基本特征,可表現為此時全部系統數據、進程、用戶的函數。初始狀態與入侵前的網絡系統狀態相對應,危及系統的安全狀態與入侵后的系統狀態相對應。在兩個不同狀態之間,可能會有某些中間狀態發生遷移,狀態遷移的分析通常考慮的是在每一步入侵行為對系統狀態所會造成的遷移影響,然后檢測出對攻擊系統的某些行為。同時,由于每一次狀態的遷移,都要利用入侵的最小特征子集,因此可以對某些不相關的動作入侵行為進行檢測。狀態轉換法是通過述已知的攻擊模式:系統狀態和狀態轉換表達式來實現的,優化模式匹配技術來處理誤用檢測的問題,具有系統靈活,處理速度更快等特點。因此,狀態轉換法已成為最有競爭力的入侵檢測方法之一。它可以使用以下三種方法:狀態轉換分析的方法,基于語言/應用程序接口的方法、有色Petri網。
4 結束語
當前入侵檢測系統的發展還面臨著很多挑戰,可以將異常檢測的各種方法綜合起來考慮,同時要與誤用檢測有效的結合起來、相輔相成,建立一個準確、高效的入侵檢測系統。通過研究可以看出基于數據挖掘、神經網絡、免疫系統等的智能化入侵檢測是未來入侵檢測技術發展的主要方向,只是目前還缺乏關鍵性的突破。
參考文獻:
現階段電力信息網絡系統在國內已被廣泛的運用在現實生活中。相關的部門在實施信息現代化的過程中,也面臨著巨大的問題和挑戰,特別是在信息網絡完全問題方面上。電力信息的網絡安全問題逐步變為電力信息網絡系統運行的平穩運作的隱患。本文主要探析了在電力信息網絡安全中現有的入侵問題和如何解決的方法。
【關鍵詞】電力信息網絡 安全 入侵檢測
1 前言
在保證電力系統的穩固運行和安全運行中起到至關重要的作用的是電力信息網絡系統。然而,現階段的計算機網絡入侵問題相當嚴峻,這對電力信息系統的安全問題無疑造成了很大的困擾。隨著計算機網絡的入侵問題越來越嚴重,而且大部分的入侵都是非法的,為了處理這方面的問題,在電力信息網絡的系統中引進在數據挖掘技術的基礎上的入侵檢測系統。
2 分析電力信息網絡的具體結構以及安全性
根據電力信息網絡的具體特征,可以把其分成四塊:實時控制區、非控制生產區、生產管理區和信息管理區。此外,前兩個區域又被稱作生產控制的大區,后兩個區域被稱作為管理信息的大區。
幾個相對比較復雜的異構子系統可以組成為電力信息網絡系統,由這些子系統所組成的強大的網絡系統具有大規模、分布廣和分級遞階的三大特點。電力信息網絡系統的安全保護主要還是針對網絡系統以及在網絡系統基礎上的電力生產控制系統。這個系統的特點是保護邊界的網路信息安全,通過這個手段來提高計算機內部的安全性能,也因此進一步的確保電力信息生產的控制系統和信息內部的首要的數據的安全。
而電力信息網絡系統的整體結構中的實時控制區和非控制生產區的系統是在電力生產系統的范圍之內的,其使用的是電力在線運行來調動數據網絡的一種方式。通過這個方法,系統之間的數據交換的次數和數量會比較多,其之間也有著緊密的聯系。其中,電力信息網絡的四個區域之間的隔離,使用的都是硬件設備。
因此,能輕易的判斷出,威脅實時控制區和非控制生產區的系統信息安全的來源主要是系統的內部。所以應將系統的內部安全問題放在首位,雖然生產管理區和信息管理區已經和外部通過硬件設備隔離開來,但也不能徹底保證系統內部信息的安全問題。而那些非法入侵者還是可以通過一定的防火墻的漏洞來實現非法入侵電力信息系統。
3 入侵檢測系統
在數據挖掘技術基礎上的入侵檢測系統可以時刻監控電力信息網絡系統的運行情況,一旦發現有任何非法入侵的行為或者是企圖,基于數據挖掘技術的入侵檢測系統就可以做出相對應的反入侵反應,進一步的保證了電力信息網絡系統的安全性和可靠性。基于數據挖掘技術的入侵檢測系統實際上就是根據有關的歷史數據歸納出該用戶的一系列特點,該技術可以高效的分析出入侵行動的規律,并根據這個規律創建出健全的系統,這樣能更有效進行入侵行為的檢測。這個入侵檢測系統涵蓋了相關數據的采集、數據的挖掘和數據的預處理幾項任務。這個基于數據挖掘技術的入侵檢測系統有以下幾個其他檢測系統所沒有的特點:
3.1 自動化并且智能化
這個入侵檢測系統的技術包括神經網絡、統計學和決策學等其他多門學科。這個技術能自動的在龐大的數據庫中提取出很難被看出來的網絡行為,這樣子可以相對減輕檢測員的壓力,提高了工作的效率。此外,還能使準確率大大提升。
3.2 檢測具有高效性
因為這項技術可以自動的進行數據的預處理,提取出有效的數據,很大程度上的減輕了處理量和檢測員的工作量,提高了工作效率。
4 入侵檢測的技術在電力信息安全中的相關應用
4.1 實際運用的方案
在電力信息網絡系統中的一些重要的服務器上,都配備有實時非法入侵的檢測裝置,也叫探測器。該探測器主要是自動的發掘出非法的入侵行為。我們在網絡的中心管理系統中,配備有一個中心的控制臺,這個中心的控制臺可以接受從各個分布開來的小探測器發出的入侵警報。同時,這個中心的控制臺還可以遠程控制并且管理那些小探測器。
這個入侵檢測系統在網絡上發散的服務器,并在數據服務器上都配有實時的入侵檢測系統,而這些的服務器就可以在它們所管轄的范圍內對計算機進行實時的入侵檢測。各服務器可以有效的指出來源于網絡外部和內部的入侵行為,通過報警、防范和做出相應的反應。一旦發現問題,就可以非常及時的解決。這樣分開由各服務器來進行檢測可以更高效、快速的對入侵威脅進行防范,避免不必要的數據損失。這個入侵檢測系統同時還可以被視為計算機防火墻的一個重要的穩固系統,大大降低了非法入侵的可能性。
4.2 電力信息系統對IDS產品的選擇
IDS就相當與一幢大樓的監控系統,能保證這個大樓的安全。對于電力信息系統來說,IDS能有效的防止非法入侵,增強防火墻的效率。電力信息系統在選擇IDS產品的時候,第一個就要看IDS產品的系統性能以及可靠性和管理性能等,根據這個綜合的性能最終來選擇最好的IDS產品。其次,在產品的系統性能上來看,系統對大量流動數據的監測能力是電力信息系統最看重的一點。
5 結語
入侵檢測技術是一個可以積極并且主動的保護電力信心網絡安全的基礎。該技術擁有內部和外部的攻擊能力和對錯誤程序的關注保護系統。在電力信息網絡安全系統受到破壞的時候,入侵檢測技術就可以進行有效的攔截并對入侵做出相應的反應。雖然現在電力信息網絡安全系統的入侵檢測技術還不是很成熟,不能完全的防止入侵的威脅。但是相信在不久的將來,隨著科技的發達和時代的進步,入侵檢測技術會有顯著的提高。
參考文獻
[1]伍暉平,金亞民,蔡青有.入侵檢測技術在電力信息網絡安全中的應用[J].電力安全技術,2007(10):53-55.
[2]陳新和.探討入侵檢測技術在電力信息網絡安全中應用[J].通訊世界,2014(1):23-25.
