前言:我们精心挑选了数篇优质入侵检测论文文章,供您阅读参考。期待这些文章能为您带来启发,助您在写作的道路上更上一层楼。
论文摘要:随着计算机的飞速发展以及网络技术的普遍应用,随着信息时代的来临,信息作为一种重要的资源正得到了人们的重视与应用。因特网是一个发展非常活跃的领域,可能会受到黑客的非法攻击,所以在任何情况下,对于各种事故,无意或有意的破坏,保护数据及其传送、处理都是非常必要的。计划如何保护你的局域网免受因特网攻击带来的危害时,首先要考虑的是防火墙。防火墙的核心思想是在不安全的网际网环境中构造一个相对安全的子网环境。本文介绍了防火墙技术的基本概念、系统结构、原理、构架、入侵检测技术及VPN等相关问题。
Abstract:Alongwiththefastcomputerdevelopmentandtheuniversalapplicationofthenetworktechnology,alongwithinformationtimescomingupon,Informationisattractingtheworld’sattentionandemployedasakindofimportantresources.Internetisaveryactivelydevelopedfield.Becauseitmaybeillegallyattackedbyhackers,Itisverynecessaryfordata’sprotection,deliveryandprotectionagainstvariousaccidents,intentionalorwantdestroyunderanycondition.FirewallisthefirstconsiderationwhenplanhowtoprotectyourlocalareanetworkagainstendangersbroughtbyInternetattack.Thecorecontentoffirewalltechnologyistoconstructarelativelysafeenvironmentofsubnetinthenot-so-safenetworkenvironment.Thispaperintroducesthebasicconceptionandsystemstructureoffire-walltechnologyandalsodiscussestwomaintechnologymeanstorealizefire-wall:Oneisbasedonpacketfiltering,whichistorealizefire-wallfunctionthroughScreeningRouter;andtheotherisProxyandthetypicalrepresentationisthegatewayonapplicationlevel.....
第一章绪论
§1.1概述
随着以Internet为代表的全球信息化浪潮的来临,信息网络技术的应用正日益广泛,应用层次正在深入,应用领域也从传统的、小型业务系统逐渐向大型、关键业务系统扩展,其中以党政系统、大中院校网络系统、银行系统、商业系统、管理部门、政府或军事领域等为典型。伴随网络的普及,公共通信网络传输中的数据安全问题日益成为关注的焦点。一方面,网络化的信息系统提供了资源的共享性、用户使用的方便性,通过分布式处理提高了系统效率和可靠性,并且还具备可扩充性。另一方面,也正是由于具有这些特点增加了网络信息系统的不安全性。
开放性的网络,导致网络所面临的破坏和攻击可能是多方面的,例如:可能来自物理传输线路的攻击,也可以对网络通信协议和实现实施攻击,可以是对软件实施攻击,也可以对硬件实施攻击。国际性的网络,意味着网络的攻击不仅仅来自本地网络的用户,也可以来自linternet上的任何一台机器,也就是说,网络安全所面临的是一个国际化的挑战。开放的、国际化的Internet的发展给政府机构、企事业单位的工作带来了革命性的变革和开放,使得他们能够利用Internet提高办事效率、市场反应能力和竞争力。通过Internet,他们可以从异地取回重要数据,同时也面临Internet开放所带来的数据安全的挑战与危险。如何保护企业的机密信息不受黑客和工业间谍的入侵,己成为政府机构、企事业单位信息化建设健康发展所要考虑的重要因素之一。广泛分布的企业内部网络由公共网络互联起来,这种互联方式面临多种安全威胁,极易受到外界的攻击,导致对网络的非法访问和信息泄露。防火墙是安全防范的最有效也是最基本的手段之一。
虽然国内己有许多成熟的防火墙及其他相关安全产品,并且这些产品早已打入市场,但是对于安全产品来说,要想进入我军部队。我们必须自己掌握安全测试技术,使进入部队的安全产品不出现问题,所以对网络安全测试的研究非常重要,具有深远的意义。
§1.2本文主要工作
了解防火墙的原理、架构、技术实现
了解防火墙的部署和使用配置
熟悉防火墙测试的相关标准
掌握防火墙产品的功能、性能、安全性和可用性的测试方法
掌握入侵检测与VPN的概念及相关测试方法
第二章防火墙的原理、架构、技术实现
§2.1什么是防火墙?
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
§2.2防火墙的原理
随着网络规模的扩大和开放性的增强,网络上的很多敏感信息和保密数据将受到很多主动和被动的人为攻击。一种解决办法是为需要保护的网络上的每个工作站和服务器装备上强大的安全特征(例如入侵检测),但这几乎是一种不切合实际的方法,因为对具有几百个甚至上千个节点的网络,它们可能运行着不同的操作系统,当发现了安全缺陷时,每个可能被影响的节点都必须加以改进以修复这个缺陷。另一种选择就是防火墙(Firewall),防火墙是用来在安全私有网络(可信任网络)和外部不可信任网络之间安全连接的一个设备或一组设备,作为私有网络和外部网络之间连接的单点存在。防火墙是设置在可信任的内部网络和不可信任的外部网络之间的一道屏障,它可以实施比较广泛的安全策略来控制信息流,防止不可预料的潜在的入侵破坏.DMZ外网和内部局域网的防火墙系统。
§2.3防火墙的架构
防火墙产品的三代体系架构主要为:
第一代架构:主要是以单一cpu作为整个系统业务和管理的核心,cpu有x86、powerpc、mips等多类型,产品主要表现形式是pc机、工控机、pc-box或risc-box等;
第二代架构:以np或asic作为业务处理的主要核心,对一般安全业务进行加速,嵌入式cpu为管理核心,产品主要表现形式为box等;
第三代架构:iss(integratedsecuritysystem)集成安全体系架构,以高速安全处理芯片作为业务处理的主要核心,采用高性能cpu发挥多种安全业务的高层应用,产品主要表现形式为基于电信级的高可靠、背板交换式的机架式设备,容量大性能高,各单元及系统更为灵活。
§2.4防火墙的技术实现
从Windows软件防火墙的诞生开始,这种安全防护产品就在跟随着不断深入的黑客病毒与反黑反毒之争,不断的进化与升级。从最早期的只能分析来源地址,端口号以及未经处理的报文原文的封包过滤防火墙,后来出现了能对不同的应用程序设置不同的访问网络权限的技术;近年来由ZoneAlarm等国外知名品牌牵头,还开始流行了具有未知攻击拦截能力的智能行为监控防火墙;最后,由于近来垃圾插件和流氓软件的盛行,很多防火墙都在考虑给自己加上拦截流氓软件的功能。综上,Windows软件防火墙从开始的时候单纯的一个截包丢包,堵截IP和端口的工具,发展到了今天功能强大的整体性的安全套件。
第三章防火墙的部署和使用配置
§3.1防火墙的部署
虽然监测型防火墙安全性上已超越了包过滤型和服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代型产品为主,但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本。
实际上,作为当前防火墙产品的主流趋势,大多数服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的,应用网关能提供对协议的过滤。例如,它可以过滤掉FTP连接中的PUT命令,而且通过应用,应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。
----那么我们究竟应该在哪些地方部署防火墙呢?
----首先,应该安装防火墙的位置是公司内部网络与外部Internet的接口处,以阻挡来自外部网络的入侵;其次,如果公司内部网络规模较大,并且设置有虚拟局域网(VLAN),则应该在各个VLAN之间设置防火墙;第三,通过公网连接的总部与各分支机构之间也应该设置防火墙,如果有条件,还应该同时将总部与各分支机构组成虚拟专用网(VPN)。
----安装防火墙的基本原则是:只要有恶意侵入的可能,无论是内部网络还是与外部公网的连接处,都应该安装防火墙。
§3.2防火墙的使用配置
一、防火墙的配置规则:
没有连接的状态(没有握手或握手不成功或非法的数据包),任何数据包无法穿过防火墙。(内部发起的连接可以回包。通过ACL开放的服务器允许外部发起连接)
inside可以访问任何outside和dmz区域。
dmz可以访问outside区域。
inside访问dmz需要配合static(静态地址转换)。
outside访问dmz需要配合acl(访问控制列表)。
二、防火墙设备的设置步骤:
1、确定设置防火墙的部署模式;
2、设置防火墙设备的IP地址信息(接口地址或管理地址(设置在VLAN1上));
3、设置防火墙设备的路由信息;
4、确定经过防火墙设备的IP地址信息(基于策略的源、目标地址);
5、确定网络应用(如FTP、EMAIL等应用);
6、配置访问控制策略。
第四章防火墙测试的相关标准
防火墙作为信息安全产品的一种,它的产生源于信息安全的需求。所以防火墙的测试不仅有利于提高防火墙的工作效率,更是为了保证国家信息的安全。依照中华人民共和国国家标准GB/T18019-1999《信息技术包过滤防火墙安全技术要求》、GB/T18020-1999《信息技术应用级防火墙安全技术要求》和GB/T17900-1999《网络服务器的安全技术要求》以及多款防火墙随机提供的说明文档,中国软件评测中心软件产品测试部根据有关方面的标准和不同防火墙的特点整理出以下软件防火墙的测试标准:
4.1规则配置方面
要使防火墙软件更好的服务于用户,除了其默认的安全规则外,还需要用户在使用过程中不断的完善其规则;而规则的设置是否灵活方便、实际效果是否理想等方面,也是判断一款防火墙软件整体安全性是否合格的重要标准。简单快捷的规则配置过程让防火墙软件具备更好的亲和力,一款防火墙软件如果能实施在线检测所有对本机的访问并控制它们、分别对应用程序、文件或注册表键值实施单独的规则添加等等,这将成为此款软件防火墙规则配置的一个特色。
§4.2防御能力方面
对于防火墙防御能力的表现,由于偶然因素太多,因此无法从一个固定平等的测试环境中来得出结果。但是可以使用了X-Scan等安全扫描工具来测试。虽然得出的结果可能仍然有一定的出入,但大致可以做为一个性能参考。
§4.3主动防御提示方面
对于网络访问、系统进程访问、程序运行等本机状态发生改变时,防火墙软件一般都会有主动防御提示出现。这方面主要测试软件拦截或过滤时是否提示用户做出相应的操作选择。
§4.4自定义安全级别方面
用户是否可以参照已有安全级别的安全性描述来设置符合自身特殊需要的规则。防火墙可设置系统防火墙的安全等级、安全规则,以防止电脑被外界入侵。一般的防火墙共有四个级别:
高级:预设的防火墙安全等级,用户可以上网,收发邮件;l
中级:预设的防火墙安全等级,用户可以上网,收发邮件,网络聊天,FTP、Telnet等;l
低级:预设的防火墙安全等级,只对已知的木马进行拦截,对于其它的访问,只是给于提示用户及记录;l
自定义:用户可自定义防火墙的安全规则,可以根据需要自行进行配置。l
§4.5其他功能方面
这主要是从软件的扩展功能表现、操作设置的易用性、软件的兼容性和安全可靠性方面来综合判定。比如是否具有过滤网址、实施木马扫描、阻止弹出广告窗口、将未受保护的无线网络“学习”为规则、恶意软件检测、个人隐私保护等丰富的功能项,是否可以满足用户各方面的需要。
§4.6资源占用方面
这方面的测试包括空闲时和浏览网页时的CPU占用率、内存占有率以及屏蔽大量攻击时的资源占用和相应速度。总的来是就是资源占用率越低越好,启动的速度越快越好。
§4.7软件安装方面
这方面主要测试软件的安装使用是否需要重启系统、安装过程是不是方便、安装完成后是否提示升级本地数据库的信息等等。
§4.8软件界面方面
软件是否可切换界面皮肤和语言、界面是否简洁等等。简洁的界面并不代表其功能就不完善,相反地,简化了用户的操作设置项也就带来了更智能的安全防护功能。比如有的防护墙安装完成后会在桌面生成简单模式和高级模式两个启动项,这方便用户根据不同的安全级别启动相应的防护
第五章防火墙的入侵检测
§5.1什么是入侵检测系统?
入侵检测可被定义为对计算机和网络资源上的恶意使用行为进行识别和响应的处理过程,它不仅检测来自外部的入侵行为,同时也检测内部用户的未授权活动。
入侵检测系统(IDS)是从计算机网络系统中的若干关键点收集信息,并分析这些信息,检查网络中是否有违反安全策略的行为和遭到袭击的迹象。IDS被公认为是防火墙之后的第二道安全闸门,它作为一种积极主动的安全防护技术,从网络安全立体纵深、多层次防御的角度出发,对防范网络恶意攻击及误操作提供了主动的实时保护,从而能够在网络系统受到危害之前拦截和响应入侵
§5.2入侵检测技术及发展
自1980年产生IDS概念以来,已经出现了基于主机和基于网络的入侵检测系统,出现了基于知识的模型识别、异常识别和协议分析等入侵检测技术,并能够对百兆、千兆甚至更高流量的网络系统执行入侵检测。
入侵检测技术的发展已经历了四个主要阶段:
第一阶段是以基于协议解码和模式匹配为主的技术,其优点是对于已知的攻击行为非常有效,各种已知的攻击行为可以对号入座,误报率低;缺点是高超的黑客采用变形手法或者新技术可以轻易躲避检测,漏报率高。
第二阶段是以基于模式匹配+简单协议分析+异常统计为主的技术,其优点是能够分析处理一部分协议,可以进行重组;缺点是匹配效率较低,管理功能较弱。这种检测技术实际上是在第一阶段技术的基础上增加了部分对异常行为分析的功能。
第三阶段是以基于完全协议分析+模式匹配+异常统计为主的技术,其优点是误报率、漏报率和滥报率较低,效率高,可管理性强,并在此基础上实现了多级分布式的检测管理;缺点是可视化程度不够,防范及管理功能较弱。
第四阶段是以基于安全管理+协议分析+模式匹配+异常统计为主的技术,其优点是入侵管理和多项技术协同工作,建立全局的主动保障体系,具有良好的可视化、可控性和可管理性。以该技术为核心,可构造一个积极的动态防御体系,即IMS——入侵管理系统。
新一代的入侵检测系统应该是具有集成HIDS和NIDS的优点、部署方便、应用灵活、功能强大、并提供攻击签名、检测、报告和事件关联等配套服务功能的智能化系统§5.3入侵检测技术分类
从技术上讲,入侵检测技术大致分为基于知识的模式识别、基于知识的异常识别和协议分析三类。而主要的入侵检测方法有特征检测法、概率统计分析法和专家知识库系统。
(1)基于知识的模式识别
这种技术是通过事先定义好的模式数据库实现的,其基本思想是:首先把各种可能的入侵活动均用某种模式表示出来,并建立模式数据库,然后监视主体的一举一动,当检测到主体活动违反了事先定义的模式规则时,根据模式匹配原则判别是否发生了攻击行为。
模式识别的关键是建立入侵模式的表示形式,同时,要能够区分入侵行为和正常行为。这种检测技术仅限于检测出已建立模式的入侵行为,属已知类型,对新类型的入侵是无能为力的,仍需改进。
(2)基于知识的异常识别
这种技术是通过事先建立正常行为档案库实现的,其基本思想是:首先把主体的各种正常活动用某种形式描述出来,并建立“正常活动档案”,当某种活动与所描述的正常活动存在差异时,就认为是“入侵”行为,进而被检测识别。
异常识别的关键是描述正常活动和构建正常活动档案库。
利用行为进行识别时,存在四种可能:一是入侵且行为正常;二是入侵且行为异常;三是非入侵且行为正常;四是非入侵且行为异常。根据异常识别思想,把第二种和第四种情况判定为“入侵”行为。这种检测技术可以检测出未知行为,并具有简单的学习功能。
以下是几种基于知识的异常识别的检测方法:
1)基于审计的攻击检测技术
这种检测方法是通过对审计信息的综合分析实现的,其基本思想是:根据用户的历史行为、先前的证据或模型,使用统计分析方法对用户当前的行为进行检测和判别,当发现可疑行为时,保持跟踪并监视其行为,同时向系统安全员提交安全审计报告。
2)基于神经网络的攻击检测技术
由于用户的行为十分复杂,要准确匹配一个用户的历史行为和当前的行为是相当困难的,这也是基于审计攻击检测的主要弱点。
而基于神经网络的攻击检测技术则是一个对基于传统统计技术的攻击检测方法的改进方向,它能够解决传统的统计分析技术所面临的若干问题,例如,建立确切的统计分布、实现方法的普遍性、降低算法实现的成本和系统优化等问题。
3)基于专家系统的攻击检测技术
所谓专家系统就是一个依据专家经验定义的推理系统。这种检测是建立在专家经验基础上的,它根据专家经验进行推理判断得出结论。例如,当用户连续三次登录失败时,可以把该用户的第四次登录视为攻击行为。
4)基于模型推理的攻击检测技术
攻击者在入侵一个系统时往往采用一定的行为程序,如猜测口令的程序,这种行为程序构成了某种具有一定行为特征的模型,根据这种模型所代表的攻击意图的行为特征,可以实时地检测出恶意的攻击企图,尽管攻击者不一定都是恶意的。用基于模型的推理方法人们能够为某些行为建立特定的模型,从而能够监视具有特定行为特征的某些活动。根据假设的攻击脚本,这种系统就能检测出非法的用户行为。一般为了准确判断,要为不同的入侵者和不同的系统建立特定的攻击脚本。
使用基于知识的模式识别和基于知识的异常识别所得出的结论差异较大,甚至得出相反结论。这是因为基于知识的模式识别的核心是维护一个入侵模式库,它对已知攻击可以详细、准确地报告出攻击类型,但对未知攻击却无能为力,而且入侵模式库必须不断更新。而基于知识的异常识别则是通过对入侵活动的检测得出结论的,它虽无法准确判断出攻击的手段,但可以发现更广泛的、甚至未知的攻击行为。
§5.4入侵检测技术剖析
1)信号分析
对收集到的有关系统、网络、数据及用户活动的状态和行为等信息,一般通过三种技术手段进行分析:模式匹配、统计分析和完整性分析。其中前两种方法用于实时的入侵检测,而完整性分析则用于事后分析。
2)模式匹配
模式匹配就是将收集到的信息与已知的网络入侵和系统已有模式数据库进行比较,从而发现违背安全策略的行为。该过程可以很简单(如通过字符串匹配以寻找一个简单的条目或指令),也可以很复杂(如利用正规的数学表达式来表示安全状态的变化)。一般来讲,一种进攻模式可以用一个过程(如执行一条指令)或一个输出(如获得权限)来表示。该方法的一大优点是只需收集相关的数据集合,显著减少系统负担,且技术已相当成熟。它与病毒防火墙采用的方法一样,检测准确率和效率都相当高。但是,该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法,不能检测到从未出现过的黑客攻击手段。
3)统计分析
统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。在比较这一点上与模式匹配有些相象之处。测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。例如,本来都默认用GUEST帐号登录的,突然用ADMINI帐号登录。这样做的优点是可检测到未知的入侵和更为复杂的入侵,缺点是误报、漏报率高,且不适应用户正常行为的突然改变。具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法,目前正处于研究热点和迅速发展之中。
4)完整性分析
完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和目录的内容及属性,它在发现被更改的、被特咯伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制,称为消息摘要函数(例如MD5),它能识别哪怕是微小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵,只要是成功的攻击导致了文件或其它对象的任何改变,它都能够发现。缺点是一般以批处理方式实现,用于事后分析而不用于实时响应。尽管如此,完整性检测方法还应该是网络安全产品的必要手段之一。例如,可以在每一天的某个特定时间内开启完整性分析模块,对网络系统进行全面地扫描检查。
§5.5防火墙与入侵检测的联动
网络安全是一个整体的动态的系统工程,不能靠几个产品单独工作来进行安全防范。理想情况下,整个系统的安全产品应该有一个响应协同,相互通信,协同工作。其中入侵检测系统和防火墙之间的联动就能更好的进行安全防护。图8所示就是入侵检测系统和防火墙之间的联动,当入侵检测系统检测到入侵后,通过和防火墙通信,让防火墙自动增加规则,以拦截相关的入侵行为,实现联动联防。
§5.6什么是VPN?
VPN的英文全称是“VirtualPrivateNetwork”,翻译过来就是“虚拟专用网络”。顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一,目前在交换机,防火墙设备或Windows2000等软件里也都支持VPN功能,一句话,VPN的核心就是在利用公共网络建立虚拟私有网。
虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
§5.7VPN的特点
1.安全保障虽然实现VPN的技术和方式很多,但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在安全性方面,由于VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。
2.服务质量保证(QoS)
VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。在网络优化方面,构建VPN的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低,在流量高峰时引起网络阻塞,使实时性要求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量预测与流量控制策略,可以按照优先级分实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。
3.可扩充性和灵活性
VPN必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。
4.可管理性
从用户角度和运营商角度应可方便地进行管理、维护。VPN管理的目标为:减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上,VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。
§5.8VPN防火墙
VPN防火墙就是一种过滤塞(目前你这么理解不算错),你可以让你喜欢的东西通过这个塞子,别的玩意都统统过滤掉。在网络的世界里,要由VPN防火墙过滤的就是承载通信数据的通信包。
最简单的VPN防火墙是以太网桥。但几乎没有人会认为这种原始VPN防火墙能管多大用。大多数VPN防火墙采用的技术和标准可谓五花八门。这些VPN防火墙的形式多种多样:有的取代系统上已经装备的TCP/IP协议栈;有的在已有的协议栈上建立自己的软件模块;有的干脆就是独立的一套操作系统。还有一些应用型的VPN防火墙只对特定类型的网络连接提供保护(比如SMTP或者HTTP协议等)。还有一些基于硬件的VPN防火墙产品其实应该归入安全路由器一类。以上的产品都可以叫做VPN防火墙,因为他们的工作方式都是一样的:分析出入VPN防火墙的数据包,决定放行还是把他们扔到一边。
所有的VPN防火墙都具有IP地址过滤功能。这项任务要检查IP包头,根据其IP源地址和目标地址作出放行/丢弃决定。看看下面这张图,两个网段之间隔了一个VPN防火墙,VPN防火墙的一端有台UNIX计算机,另一边的网段则摆了台PC客户机。
当PC客户机向UNIX计算机发起telnet请求时,PC的telnet客户程序就产生一个TCP包并把它传给本地的协议栈准备发送。接下来,协议栈将这个TCP包“塞”到一个IP包里,然后通过PC机的TCP/IP栈所定义的路径将它发送给UNIX计算机。在这个例子里,这个IP包必须经过横在PC和UNIX计算机中的VPN防火墙才能到达UNIX计算机。
现在我们“命令”(用专业术语来说就是配制)VPN防火墙把所有发给UNIX计算机的数据包都给拒了,完成这项工作以后,比较好的VPN防火墙还会通知客户程序一声呢!既然发向目标的IP数据没法转发,那么只有和UNIX计算机同在一个网段的用户才能访问UNIX计算机了。
还有一种情况,你可以命令VPN防火墙专给那台可怜的PC机找茬,别人的数据包都让过就它不行。这正是VPN防火墙最基本的功能:根据IP地址做转发判断。但要上了大场面这种小伎俩就玩不转了,由于黑客们可以采用IP地址欺骗技术,伪装成合法地址的计算机就可以穿越信任这个地址的VPN防火墙了。不过根据地址的转发决策机制还是最基本和必需的。另外要注意的一点是,不要用DNS主机名建立过滤表,对DNS的伪造比IP地址欺骗要容易多了。
后记:
入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。入侵检测系统面临的最主要挑战有两个:一个是虚警率太高,一个是检测速度太慢。现有的入侵检测系统还有其他技术上的致命弱点。因此,可以这样说,入侵检测产品仍具有较大的发展空间,从技术途径来讲,除了完善常规的、传统的技术(模式识别和完整性检测)外,应重点加强统计分析的相关技术研究。
但无论如何,入侵检测不是对所有的入侵都能够及时发现的,即使拥有当前最强大的入侵检测系统,如果不及时修补网络中的安全漏洞的话,安全也无从谈起。
同样入侵检测技术也存在许多缺点,IDS的检测模型始终落后于攻击者的新知识和技术手段。主要表现在以下几个方面:
1)利用加密技术欺骗IDS;
2)躲避IDS的安全策略;
3)快速发动进攻,使IDS无法反应;
4)发动大规模攻击,使IDS判断出错;
5)直接破坏IDS;
6)智能攻击技术,边攻击边学习,变IDS为攻击者的工具。
我认为在与防火墙技术结合中应该注意扩大检测范围和类别、加强自学习和自适应的能力方面发展。
参考文献:
1..MarcusGoncalves著。宋书民,朱智强等译。防火墙技术指南[M]。机械工业出版社
2.梅杰,许榕生。Internet防火墙技术新发展。微电脑世界.
入侵检测系统(IDS)可以对系统或网络资源进行实时检测,及时发现闯入系统或网络的入侵者,也可预防合法用户对资源的误操作。本论文从入侵检测的基本理论和入侵检测中的关键技术出发,主要研究了一个简单的基于网络的windows平台上的个人入侵检测系统的实现(PIDS,PersonalIntrusionDetectionSystem)。论文首先分析了当前网络的安全现状,介绍了入侵检测技术的历史以及当前入侵检测系统的关键理论。分析了Windows的网络体系结构以及开发工具Winpcap的数据包捕获和过滤的结构。最后在Winpcap系统环境下实现本系统设计。本系统采用异常检测技术,通过Winpcap截取实时数据包,同时从截获的IP包中提取出概述性事件信息并传送给入侵检测模块,采用量化分析的方法对信息进行分析。系统在实际测试中表明对于具有量化特性的网络入侵具有较好的检测能力。最后归纳出系统现阶段存在的问题和改进意见,并根据系统的功能提出了后续开发方向。
关键词:网络安全;入侵检测;数据包捕获;PIDS
1.1网络安全概述
1.1.1网络安全问题的产生
可以从不同角度对网络安全作出不同的解释。一般意义上,网络安全是指信息安全和控制安全两部分。国际标准化组织把信息安全定义为“信息的完整性、可用性、保密性和可靠性”;控制安全则指身份认证、不可否认性、授权和访问控制。
互联网与生俱有的开放性、交互性和分散性特征使人类所憧憬的信息共享、开放、灵活和快速等需求得到满足。网络环境为信息共享、信息交流、信息服务创造了理想空间,网络技术的迅速发展和广泛应用,为人类社会的进步提供了巨大推动力。然而,正是由于互联网的上述特性,产生了许多安全问题:
(1)信息泄漏、信息污染、信息不易受控。例如,资源未授权侵用、未授权信息流出现、系统拒绝信息流和系统否认等,这些都是信息安全的技术难点。
(2)在网络环境中,一些组织或个人出于某种特殊目的,进行信息泄密、信息破坏、信息侵权和意识形态的信息渗透,甚至通过网络进行政治颠覆等活动,使国家利益、社会公共利益和各类主体的合法权益受到威胁。
(3)网络运用的趋势是全社会广泛参与,随之而来的是控制权分散的管理问题。由于人们利益、目标、价值的分歧,使信息资源的保护和管理出现脱节和真空,从而使信息安全问题变得广泛而复杂。
(4)随着社会重要基础设施的高度信息化,社会的“命脉”和核心控制系统有可能面临更大的威胁。
1.1.2网络信息系统面临的安全威胁
目前网络信息系统面临的安全威胁主要有:
(1)非法使用服务:这种攻击的目的在于非法利用网络的能力,网络上的非授权访问应该是不可能的。不幸的是,用于在网络上共享资源及信息的工具、程序存在许多安全漏洞,而利用了这些漏洞就可以对系统进行访问了。
(2)身份冒充;这种攻击的着眼点在于网络中的信任关系,主要有地址伪装IP欺骗和用户名假冒。
(3)数据窃取:指所保护的重要数据被非法用户所获取,如入侵者利用电磁波辐射或搭线窃听等方式截获用户口令、帐号等重要敏感信息。
(4)破坏数据完整性:指通过非法手段窃得系统一定使用权限,并删除、修改、伪造某些重要信息,以干扰用户的正常使用或便于入侵者的进一步攻击。
1.1.3对网络个人主机的攻击
对方首先通过扫描来查找可以入侵的机器,即漏洞探测;接着确定该机器的IP地址;然后利用相应的攻击工具发起某种攻击。
关键词入侵检测系统;CIDF;网络安全;防火墙
0引言
近年来,随着信息和网络技术的高速发展以及政治、经济或者军事利益的驱动,计算机和网络基础设施,特别是各种官方机构的网站,成为黑客攻击的热门目标。近年来对电子商务的热切需求,更加激化了这种入侵事件的增长趋势。由于防火墙只防外不防内,并且很容易被绕过,所以仅仅依赖防火墙的计算机系统已经不能对付日益猖獗的入侵行为,对付入侵行为的第二道防线——入侵检测系统就被启用了。
1入侵检测系统(IDS)概念
1980年,JamesP.Anderson第一次系统阐述了入侵检测的概念,并将入侵行为分为外部滲透、内部滲透和不法行为三种,还提出了利用审计数据监视入侵活动的思想[1]。即其之后,1986年DorothyE.Denning提出实时异常检测的概念[2]并建立了第一个实时入侵检测模型,命名为入侵检测专家系统(IDES),1990年,L.T.Heberlein等设计出监视网络数据流的入侵检测系统,NSM(NetworkSecurityMonitor)。自此之后,入侵检测系统才真正发展起来。
Anderson将入侵尝试或威胁定义为:潜在的、有预谋的、未经授权的访问信息、操作信息、致使系统不可靠或无法使用的企图。而入侵检测的定义为[4]:发现非授权使用计算机的个体(如“黑客”)或计算机系统的合法用户滥用其访问系统的权利以及企图实施上述行为的个体。执行入侵检测任务的程序即是入侵检测系统。入侵检测系统也可以定义为:检测企图破坏计算机资源的完整性,真实性和可用性的行为的软件。
入侵检测系统执行的主要任务包括[3]:监视、分析用户及系统活动;审计系统构造和弱点;识别、反映已知进攻的活动模式,向相关人士报警;统计分析异常行为模式;评估重要系统和数据文件的完整性;审计、跟踪管理操作系统,识别用户违反安全策略的行为。入侵检测一般分为三个步骤:信息收集、数据分析、响应。
入侵检测的目的:(1)识别入侵者;(2)识别入侵行为;(3)检测和监视以实施的入侵行为;(4)为对抗入侵提供信息,阻止入侵的发生和事态的扩大;
2入侵检测系统模型
美国斯坦福国际研究所(SRI)的D.E.Denning于1986年首次提出一种入侵检测模型[2],该模型的检测方法就是建立用户正常行为的描述模型,并以此同当前用户活动的审计记录进行比较,如果有较大偏差,则表示有异常活动发生。这是一种基于统计的检测方法。随着技术的发展,后来人们又提出了基于规则的检测方法。结合这两种方法的优点,人们设计出很多入侵检测的模型。通用入侵检测构架(CommonIntrusionDetectionFramework简称CIDF)组织,试图将现有的入侵检测系统标准化,CIDF阐述了一个入侵检测系统的通用模型(一般称为CIDF模型)。它将一个入侵检测系统分为以下四个组件:
事件产生器(EventGenerators)
事件分析器(Eventanalyzers)
响应单元(Responseunits)
事件数据库(Eventdatabases)
它将需要分析的数据通称为事件,事件可以是基于网络的数据包也可以是基于主机的系统日志中的信息。事件产生器的目的是从整个计算机环境中获得事件,并向系统其它部分提供此事件。事件分析器分析得到的事件并产生分析结果。响应单元则是对分析结果做出反应的功能单元,它可以做出切断连接、修改文件属性等强烈反应。事件数据库是存放各种中间和最终数据的地方的通称,它可以是复杂的数据库也可以是简单的文本文件。
3入侵检测系统的分类:
现有的IDS的分类,大都基于信息源和分析方法。为了体现对IDS从布局、采集、分析、响应等各个层次及系统性研究方面的问题,在这里采用五类标准:控制策略、同步技术、信息源、分析方法、响应方式。
按照控制策略分类
控制策略描述了IDS的各元素是如何控制的,以及IDS的输入和输出是如何管理的。按照控制策略IDS可以划分为,集中式IDS、部分分布式IDS和全部分布式IDS。在集中式IDS中,一个中央节点控制系统中所有的监视、检测和报告。在部分分布式IDS中,监控和探测是由本地的一个控制点控制,层次似的将报告发向一个或多个中心站。在全分布式IDS中,监控和探测是使用一种叫“”的方法,进行分析并做出响应决策。
按照同步技术分类
同步技术是指被监控的事件以及对这些事件的分析在同一时间进行。按照同步技术划分,IDS划分为间隔批任务处理型IDS和实时连续性IDS。在间隔批任务处理型IDS中,信息源是以文件的形式传给分析器,一次只处理特定时间段内产生的信息,并在入侵发生时将结果反馈给用户。很多早期的基于主机的IDS都采用这种方案。在实时连续型IDS中,事件一发生,信息源就传给分析引擎,并且立刻得到处理和反映。实时IDS是基于网络IDS首选的方案。
按照信息源分类
按照信息源分类是目前最通用的划分方法,它分为基于主机的IDS、基于网络的IDS和分布式IDS。基于主机的IDS通过分析来自单个的计算机系统的系统审计踪迹和系统日志来检测攻击。基于主机的IDS是在关键的网段或交换部位通过捕获并分析网络数据包来检测攻击。分布式IDS,能够同时分析来自主机系统日志和网络数据流,系统由多个部件组成,采用分布式结构。
按照分析方法分类
按照分析方法IDS划分为滥用检测型IDS和异常检测型IDS。滥用检测型的IDS中,首先建立一个对过去各种入侵方法和系统缺陷知识的数据库,当收集到的信息与库中的原型相符合时则报警。任何不符合特定条件的活动将会被认为合法,因此这样的系统虚警率很低。异常检测型IDS是建立在如下假设的基础之上的,即任何一种入侵行为都能由于其偏离正常或者所期望的系统和用户活动规律而被检测出来。所以它需要一个记录合法活动的数据库,由于库的有限性使得虚警率比较高。
按照响应方式分类
按照响应方式IDS划分为主动响应IDS和被动响应IDS。当特定的入侵被检测到时,主动IDS会采用以下三种响应:收集辅助信息;改变环境以堵住导致入侵发生的漏洞;对攻击者采取行动(这是一种不被推荐的做法,因为行为有点过激)。被动响应IDS则是将信息提供给系统用户,依靠管理员在这一信息的基础上采取进一步的行动。
4IDS的评价标准
目前的入侵检测技术发展迅速,应用的技术也很广泛,如何来评价IDS的优缺点就显得非常重要。评价IDS的优劣主要有这样几个方面[5]:(1)准确性。准确性是指IDS不会标记环境中的一个合法行为为异常或入侵。(2)性能。IDS的性能是指处理审计事件的速度。对一个实时IDS来说,必须要求性能良好。(3)完整性。完整性是指IDS能检测出所有的攻击。(4)故障容错(faulttolerance)。当被保护系统遭到攻击和毁坏时,能迅速恢复系统原有的数据和功能。(5)自身抵抗攻击能力。这一点很重要,尤其是“拒绝服务”攻击。因为多数对目标系统的攻击都是采用首先用“拒绝服务”攻击摧毁IDS,再实施对系统的攻击。(6)及时性(Timeliness)。一个IDS必须尽快地执行和传送它的分析结果,以便在系统造成严重危害之前能及时做出反应,阻止攻击者破坏审计数据或IDS本身。
除了上述几个主要方面,还应该考虑以下几个方面:(1)IDS运行时,额外的计算机资源的开销;(2)误警报率/漏警报率的程度;(3)适应性和扩展性;(4)灵活性;(5)管理的开销;(6)是否便于使用和配置。
5IDS的发展趋
随着入侵检测技术的发展,成型的产品已陆续应用到实践中。入侵检测系统的典型代表是ISS(国际互联网安全系统公司)公司的RealSecure。目前较为著名的商用入侵检测产品还有:NAI公司的CyberCopMonitor、Axent公司的NetProwler、CISCO公司的Netranger、CA公司的Sessionwall-3等。国内的该类产品较少,但发展很快,已有总参北方所、中科网威、启明星辰等公司推出产品。
人们在完善原有技术的基础上,又在研究新的检测方法,如数据融合技术,主动的自主方法,智能技术以及免疫学原理的应用等。其主要的发展方向可概括为:
(1)大规模分布式入侵检测。传统的入侵检测技术一般只局限于单一的主机或网络框架,显然不能适应大规模网络的监测,不同的入侵检测系统之间也不能协同工作。因此,必须发展大规模的分布式入侵检测技术。
(2)宽带高速网络的实时入侵检测技术。大量高速网络的不断涌现,各种宽带接入手段层出不穷,如何实现高速网络下的实时入侵检测成为一个现实的问题。
(3)入侵检测的数据融合技术。目前的IDS还存在着很多缺陷。首先,目前的技术还不能对付训练有素的黑客的复杂的攻击。其次,系统的虚警率太高。最后,系统对大量的数据处理,非但无助于解决问题,还降低了处理能力。数据融合技术是解决这一系列问题的好方法。
(4)与网络安全技术相结合。结合防火墙,病毒防护以及电子商务技术,提供完整的网络安全保障。
6结束语
在目前的计算机安全状态下,基于防火墙、加密技术的安全防护固然重要,但是,要根本改善系统的安全现状,必须要发展入侵检测技术,它已经成为计算机安全策略中的核心技术之一。IDS作为一种主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护。随着网络通信技术安全性的要求越来越高,入侵检测技术必将受到人们的高度重视。
参考文献:
[1]putersecuritythreatmonitoringandsurveillance[P].PA19034,USA,1980.4
[2]DenningDE.AnIntrusion-DetectionModel[A].IEEESymponSecurity&Privacy[C],1986.118-131
[3]张杰,戴英侠,入侵检测系统技术现状及其发展趋势[J],计算机与通信,2002.6:28-32
关键字贝叶斯;核密度;入侵检测;分类
1前言
在入侵检测系统中,为了提高系统的性能,包括降低误报率和漏报率,缩短反应时间等,学者们引入了许多方法,如专家系统、神经网络、遗传算法和数据挖掘中的聚类,分类等各种算法。例如:Cooper&Herkovits提出的一种基于贪心算法的贝叶斯信念网络,而Provan&SinghProvan,G.M&SinghM和其他学者报告了这种方法的优点。贝叶斯网络说明联合条件概率分布,为机器学习提供一种因果关系的图形,能有效的处理某些问题,如诊断:贝叶斯网络能正确的处理不确定和有噪声的问题,这类问题在任何检测任务中都很重要。
然而,在分类算法的比较研究发现,一种称作朴素贝叶斯分类的简单贝叶斯算法给人印象更为深刻。尽管朴素贝叶斯的分类器有个很简单的假定,但从现实数据中的实验反复地表明它可以与决定树和神经网络分类算法相媲美[1]。
在本文中,我们研究朴素贝叶斯分类算法,用来检测入侵审计数据,旨在开发一种更有效的,检验更加准确的算法。
2贝叶斯分类器
贝叶斯分类是统计学分类方法。它们可以预测类成员关系的可能性,如给定样本属于一个特定类的概率。
朴素贝叶斯分类[2]假定了一个属性值对给定类的影响独立于其它属性的值,这一假定称作类条件独立。
设定数据样本用一个n维特征向量X={x1,x2,,xn}表示,分别描述对n个属性A1,A2,,An样本的n个度量。假定有m个类C1,C2,,Cm。给定一个未知的数据样本X(即没有类标号),朴素贝叶斯分类分类法将预测X属于具有最高后验概率(条件X下)的类,当且仅当P(Ci|X)>P(Cj|X),1≤j≤m,j≠i这样,最大化P(Ci|X)。其中P(Ci|X)最大类Ci称为最大后验假定,其原理为贝叶斯定理:
公式(1)
由于P(X)对于所有类为常数,只需要P(X|Ci)P(Ci)最大即可。并据此对P(Ci|X)最大化。否则,最大化P(X|Ci)P(Ci)。如果给定具有许多属性的数据集,计算P(X|Ci)P(Ci)的开销可能非常大。为降低计算P(X|Ci)的开销,可以做类条件独立的朴素假定。给定样本的类标号,假定属性值相互条件独立,即在属性间,不存在依赖关系,这样,
公式(2)
概率,可以由训练样本估值:
(1)如果Ak是分类属性,则P(xk|Ci)=sik/si其中sik是Ak上具有值xk的类Ci的训练样本数,而si是Ci中的训练样本数。
(2)如果Ak是连续值属性,则通常假定该属性服从高斯分布。因而
公式(3)
其中,给定类Ci的训练样本属性Ak的值,是属性Ak的高斯密度函数,而分别为平均值和标准差。
朴素贝叶斯分类算法(以下称为NBC)具有最小的出错率。然而,实践中并非如此,这是由于对其应用假定(如类条件独立性)的不确定性,以及缺乏可用的概率数据造成的。主要表现为:
①不同的检测属性之间可能存在依赖关系,如protocol_type,src_bytes和dst_bytes三种属性之间总会存在一定的联系;
②当连续值属性分布是多态时,可能产生很明显的问题。在这种情况下,考虑分类问题涉及更加广泛,或者我们在做数据分析时应该考虑另一种数据分析。
后一种方法我们将在以下章节详细讨论。
3朴素贝叶斯的改进:核密度估计
核密度估计是一种普便的朴素贝叶斯方法,主要解决由每个连续值属性设为高斯分布所产生的问题,正如上一节所提到的。在[3]文中,作者认为连续属性值更多是以核密度估计而不是高斯估计。
朴素贝叶斯核密度估计分类算法(以下称K-NBC)十分类似如NBC,除了在计算连续属性的概率时:NBC是使用高斯密度函数来评估该属性,而K-NBC正如它的名字所说得一样,使用高斯核密度函数来评估属性。它的标准核密度公式为
公式(4)
其中h=σ称为核密度的带宽,K=g(x,0,1),定义为非负函数。这样公式(4)变形为公式(5)
公式(5)
在K-NBC中采用高斯核密度为数据分析,这是因为高斯密度有着更理想的曲线特点。图1说明了实际数据的概率分布更接近高斯核密度曲线。
图1两种不同的概率密度对事务中数据的评估,其中黑线代表高斯密度,虚线为核估计密度并有两个不同值的带宽朴素贝叶斯算法在计算μc和σc时,只需要存储观测值xk的和以及他们的平方和,这对一个正态分布来说是已经足够了。而核密度在训练过程中需要存储每一个连续属性的值(在学习过程中,对名词性属性只需要存储它在样本中的频率值,这一点和朴素贝叶斯算法一样)。而为事例分类时,在计算连续值属性的概率时,朴素贝叶斯算法只需要评估g一次,而核密度估计算法需要对每个c类中属性X每一个观察值进行n次评估,这就增加计算存储空间和时间复杂度,表1中对比了两种方法的时间复杂度和内存需求空间。
4实验研究与结果分析
本节的目标是评价我们提出核密度评估分类算法对入侵审计数据分类的效果,主要从整体检测率、检测率和误检率上来分析。
表1在给定n条训练事务和m个检测属性条件下,
NBC和K-NBC的算法复杂度
朴素贝叶斯核密度
时间空间时间空间
具有n条事务的训练数据O(nm)O(m)O(nm)O(nm)
具有q条事务的测试数据O(qm)O(qnm)
4.1实验建立
在实验中,我们使用NBC与K-NBC进行比较。另观察表1两种算法的复杂度,可得知有效的减少检测属性,可以提高他们的运算速度,同时删除不相关的检测属性还有可以提高分类效率,本文将在下一节详细介绍对称不确定方法[4]如何对入侵审计数据的预处理。我们也会在实验中进行对比分析。
我们使用WEKA来进行本次实验。采用KDDCUP99[5]中的数据作为入侵检测分类器的训练样本集和测试样本集,其中每个记录由41个离散或连续的属性(如:持续时间,协议类型等)来描述,并标有其所属的类型(如:正常或具体的攻击类型)。所有数据分类23类,在这里我们把这些类网络行为分为5大类网络行为(Normal、DOS、U2R、R2L、Probe)。
在实验中,由于KDDCUP99有500多万条记录,为了处理的方便,我们均匀从kddcup.data.gz中按照五类网络行为抽取了5万条数据作为训练样本集,并把他们分成5组,每组数据为10000条,其中normal数据占据整组数据中的98.5%,这一点符合真实环境中正常数据远远大于入侵数据的比例。我们首
先检测一组数据中只有同类的入侵的情况,共4组数据(DOS中的neptune,Proble中的Satan,U2R中的buffer_overflow,R2l中的guess_passwd),再检测一组数据中有各种类型入侵数据的情况。待分类器得到良好的训练后,再从KDD99数据中抽取5组数据作为测试样本,分别代表Noraml-DOS,Normal-Probe,Normal-U2R,Normal-R2L,最后一组为混后型数据,每组数据为1万条。
4.2数据的预处理
由于朴素贝叶斯有个假定,即假定所有待测属性对给定类的影响独立于其他属性的值,然而现实中的数据不总是如此。因此,本文引入对称不确定理论来对数据进行预处理,删除数据中不相关的属性。
对称不确定理论是基于信息概念论,首先我们先了解一下信息理论念,属性X的熵为:
公式(6)
给定一个观察变量Y,变量X的熵为:
公式(7)
P(xi)是变量X所有值的先验概率,P(xi|yi)是给定观察值Y,X的后验概率。这些随着X熵的降低反映在条件Y下,X额外的信息,我们称之为信息增益,
公式(8)
按照这个方法,如果IG(X|Y)>IG(X|Y),那么属性Y比起属性Z来,与属性X相关性更强。
定理:对两个随机变量来说,它们之间的信息增益是对称的。即
公式(9)
对测量属性之间相关性的方法来说,对称性是一种比较理想的特性。但是在计算有很多值的属性的信息增益时,结果会出现偏差。而且为了确保他们之间可以比较,必须使这些值离散化,同样也会引起偏差。因此我们引入对称不确定性,
公式(10)
通过以下两个步骤来选择好的属性:
①计算出所有被测属性与class的SU值,并把它们按降序方式排列;
②根据设定的阈值删除不相关的属性。
最后决定一个最优阈值δ,这里我们通过分析NBC和K-NBC计算结果来取值。
4.3实验结果及分析
在试验中,以记录正确分类的百分比作为分类效率的评估标准,表2为两种算法的分类效率。
表2对应相同入侵类型数据进行检测的结果
数据集
算法DOS
(neptune)Proble
(satan)R2L
(guess_passwd)U2R
(buffer_overflow)
检测率误检率整体检测率检测率误检率整体检测率检测率误检率整体检测率检测率误检率整体检测率
NBC99.50.299.7998.30.199.8497.30.899.2951.898.21
K-NBC99.50.299.9698.3099.9697.30.299.81710.199.76
SU+NBC99.5099.9698.30.199.85980.799.2491.198.84
SU+K-NBC99.5099.9698.3099.9698.70.299.76850.199.81
根据表2四组不同类别的入侵检测结果,我们从以下三个方面分析:
(1)整体检测率。K-NBC的整体检测率要比NBC高,这是因为K-NBC在对normal这一类数据的检测率要比NBC高,而normal这一类数据又占整个检测数据集数的95%以上,这也说明了在上一节提到的normal类的数据分布曲线更加接近核密度曲线。
(2)检测率。在对DOS和PROBLE这两组数据检测结果,两个算法的检测率都相同,这是因为这两类入侵行为在实现入侵中占绝大部分,而且这一类数据更容易检测,所以两种算法的检测效果比较接近;针对R2L检测,从表2可以看到,在没有进行数据预处理之前,两者的的检测率相同,但经过数据预处理后的两个算法的检测率都有了提高,而K-NBC的效率比NBC更好点;而对U2R的检测结果,K-NBC就比NBC差一点,经过数据预处理后,K-NBC的检测率有一定的提高,但还是比NBC的效果差一些。
(3)误检率。在DOS和Proble这两种组数据的误检率相同,在其他两组数据的中,K-NBC的误检率都比NBC的低。
根据表3的结果分析,我们也可以看到的检测结果与表2的分组检测的结果比较类似,并且从综合角度来说,K-NBC检测效果要比NBC的好。在这里,我们也发现,两种算法对R2L和U2L这两类入侵的检测效果要比DOS和Proble这两类入侵的差。这主要是因为这两类入侵属于入侵行为的稀有类,检测难度也相应加大。在KDD99竞赛中,冠军方法对这两类的检测效果也是最差的。但我们可以看到NBC对这种稀有类的入侵行为检测更为准确一点,这应该是稀有类的分布更接近正态分布。
从上述各方面综合分析,我们可以证明K-NBC作为的入侵检测分类算法的是有其优越性的。
表3对混合入侵类型数据进行检测的结果
数据集
算法整体检测分类检测
NormalDosProbleR2LU2R
检测率误检率检测率误检率检测率误检率检测率误检率检测率误检率检测率误检率
NBC98.141.898.20.899.8099.8090086.71.8
K-NBC99.780.299.82.399.8099.8096073.30.1
SU+NBC97.992.0980.899.8099.8090086.71.9
SU+K-NBC99.790.299.81.999.8099.80960800.1
5结论
在本文中,我们用高斯核密度函数代替朴素贝叶斯中的高斯函数,建立K-NBC分类器,对入侵行为进行检测,另我们使用对称不确定方法来删除检测数据的中与类不相关的属性,从而进一步改进核密度朴素贝叶斯的分类效率,实验表明,对预处理后的审计数据,再结合K-NBC来检测,可以达到更好的分类效果,具有很好的实用性。同时我们也注意到,由于入侵检测的数据中的入侵行为一般为稀有类,特别是对R2L和U2R这两类数据进行检测时,NBC有着比较理想的结果,所以在下一步工作中,我们看是否能把NBC和K-NBC这两种分类模型和优点联合起来,并利用对称不确定理论来删除检测数据与类相关的属性中的冗余属性,进一步提高入侵检测效率。
参考文献
[1]Langley.P.,Iba,W.&Thompson,K.AnanalysisofBayesianclassifiers[A],in“ProceedingsoftheTenthNationalConferenceonArtificialIntelligence”[C]MenloPark,1992.223-228
[2]HanJ.,KamberM..数据挖掘概念与技术[M].孟小峰,等译.北京:机械工业出版社.2005.196201
[3]JohnG.H..EnhancementstotheDataMiningProcess[D].Ph.D.Thesis,ComputerScienceDept.,StanfordUniversity,1997
关键词:神经网络系统入侵检测系统网络安全
入侵检测作为一种主动防御技术,弥补了传统安全技术的不足。其主要通过监控网络与系统的状态、用户行为以及系统的使用情况,来检测系统用户的越权使用以及入侵者利用安全缺陷对系统进行入侵的企图,并对入侵采取相应的措施。
一、入侵检测系统概述
入侵检测系统(IntrusionDetectionSystem,简称IDS)可以认为是进行入侵检测过程时所需要配置的各种软件和硬件的组合。对一个成功的入侵检测系统来讲,它不但可使系统管理员时刻了解计算机网络系统(包括程序、文件和硬件设备等)的任何变更,还能给网络安全策略的制订提供指南。更为重要的一点是,对它的管理和配置应该更简单,从而使非专业人员能非常容易地进行操作。而且,入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后,会及时做出响应,包括切断网络连接、记录事件和报警等。
二、入侵检测系统的功能
1.检测入侵。检测入侵行为是入侵检测系统的核心功能,主要包括两个方面:一方面是对进出主机或者网络的数据进行监控,检查是否存在对系统的异常行为;另一方面是检查系统关键数据和文件的完整性,看系统是否己经遭到入侵行为。前者的作用是在入侵行为发生时及时发现,使系统免受攻击;后者一般是在系统遭到入侵时没能及时发现和阻止,攻击的行为已经发生,但可以通过攻击行为留下的痕迹了解攻击行为的一些情况,从而避免再次遭受攻击。对系统资源完整性的检查也有利于我们对攻击者进行追踪,对攻击行为进行取证。
2.抗欺骗。入侵检测系统要识别入侵者,入侵者就会想方设法逃避检测。逃避检测的方法很多,总结起来可分为误报和漏报两大类。一种使入侵检测系统误报的实现形式,是快速告普信息的产生让系统无法反应以致死机,这其实是通用的网络攻击方式一拒绝服务攻击在入侵检测系统上的体现。与误报相比,漏报更具危险性,即躲过系统的检测,使系统对某些攻击方式失效。入侵检测系统无法统一漏报和误报的矛盾,目前的入侵检测产品一般会在两者间进行折衷,并且进行调整以适应不同的应用环境。
3.记录、报警和响应。入侵检测系统在检测到攻击后,应该采取相应的措施来阻止攻击或者响应攻击。作为一种主动防御策略,它必然应该具备此功能。入侵检测系统首先应该记录攻击的基本情况,其次应该能够及时发出报警。好的入侵检测系统,不仅应该把相关数据记录在文件或数据库中,还应该提供好的报表打印功能。必要时,系统还应该采取必要的响应行为,如拒绝接受所有来自某台计算机的数据、追踪入侵行为等。
三、神经系统网络在入侵检测系统中的应用
目前计算机入侵的现状是入侵的数量日益增长、入侵个体的入侵手段和目标系统多种多样,因此要确切的描述入侵特征非常困难,入侵规则库和模式库的更新要求难以得到满足,这就要求入侵检测应该具有相当大的智能性和灵活性,这是多项人工智能技术被相继应用到入侵检测中的原因。
1.传统入侵检测中存在的问题。我们先来分析一下传统IDS存在的问题。传统IDS产品大多都是基于规则的,而这一传统的检测技术有一些难以逾越的障碍:
(1)在基于规则的入侵检测系统中,所有的规则可理解为“IF一THEN”形式,也就是说,这一规则表述的是一种严格的线性关系,缺乏灵活性和适应性,当网络数据出现信息不完整、变形失真或攻击方法变化时,这种检测方法将失效,因此引起较高的误警率和漏报率。
(2)随着攻击类型的多样化,必然导致规则库中的规则不断增多,当这些规则增加到一定程度,会引起系统检测效率的显著降低,在流量较高时,可造成丢包等现象。此外,攻击方法的不断发展,使得传统的入侵检测系统无法有效地预测和识别新的攻击方法,使系统的适应性受到限制。
(3)传统的用来描述用户行为特征的度量一般是凭感觉和经验的,这些度量是否能有效地描述用户行为很难估计。有些度量当考虑所有用户可能是无效的,但当考虑某些特别的用户时,可能又非常有用。
2.神经网络在入侵检测中的应用
作为人工智能(AD)的一个重要分支,神经网络在入侵检测领域得到了很好的应用。神经网络技术在入侵检测系统中用来构造分类器,主要用于资料特征的分析,以发现是否为一种入侵行为。如果是一种入侵行为,系统将与已知入侵行为的特征进行比较,判断是否为一种新的攻击行为,从而决定是进行丢弃还是进行存盘、报警、发送资料特征等工作。神经网络在入侵检测中的具体实现方法一般有两种:
(1)系统或模式匹配系统合并在一起
这种方法不是像以前一样在异常检测中用神经网络代替现有的统计分析部分,而是用神经网络来过滤出数据当中的可疑事件,并把这些事件转交给专家系统处理。这种结构可以通过减少专家系统的误报来提高检测系统的效用。因为神经网络将确定某一特别事件具有攻击迹象的概率,我们就可以确定一个闽值来决定事件是否转交给专家系统作进一步分析,这样一来,由于专家系统只接收可疑事件的数据,它的灵敏度就会大大增加(通常,专家系统以牺牲灵敏度来减少误报率)。这种结构对那些投资专家系统技术的机构大有好处,因为它提高了系统的效用,同时还保护了在现有IDS上的投资。
(2)网络作为一个独立的特征检测系统
在这个结构中,神经网络从网络流中接受数据,并对数据进行分析。任何被识别为带有攻击迹象的事件都将被转交给安全管理员或自动入侵应答系统来处理。这种方法在速度方面超过了以前的方法,因为它只有一个单独的分析层。另外,随着神经网络对攻击特征的学习,这种结构的效用也会不断提高,它不同于第一种方法,不会受专家系统分析能力的限制,而最终将超越专家系统基于规则的种种限制。
参考文献:
因为标准是某一类型产品技术指标的浓缩。制修订标准,一方面能改善某一类型的产品的相关指标;另一方面,如果受到产品本身技术原理的制约,无法提升相关技术指标,就无法修订标准,即不能满足行业应用的需求(比如:传统型主动红外入侵探测器的技术就无法将触发响应时间提升至符合应用需求的20ms);最重要的是,随着应用需求的发展与变化,新产品、新技术的引进将成为随机性、常态化的过程,如果缺乏更高、更广层面框架的指引,行业应用将会成为方向无法预见的、被动的、持续的具体标准修订过程。如果能够“搭建一个开放式的、严谨的、完备的描述行业应用需求的框架式平台”——应用规范,则一方面行业用户要求入侵探测工程或其产品的使用效果满足应用规范中的约束条件,而不必拘泥于选择某种原理的产品;另一方面厂家也可以根据行业应用规范描述的内容,从多角度考虑研发方向,并依据哪些约束条件选择新产品应依托的技术,确保产品的主要功能和关键性技术指标可以满足应用需求,确保研发投入的有效性;而在应用规范约束条件下产生的标准,本身也符合应用需求。
2顶层设计的作用
应用规范可以为用户提炼一个系统的、完整的、关于应用效果的准确表达,成为工程设计方全面而严谨的设计和验收的依据,并对施工工艺提供相应的指导。由于应用规范的定义,所有的描述内容仅涉及应用效果,而不规定具体技术和产品,其开放式的结构不仅为更多新技术的进入提供了广阔空间,同时对新技术予以严谨的约束和指导,避免应用中采用“似是而非”的技术;避免生产厂商以“先进技术”误导用户和工程设计及施工方。
3以“顶层设计”的方法规划智能建筑的入侵探测技术配置的一般性过程
3.1全方位准确描述智能建筑的应用环境
3.1.1智能建筑内部空间的基本功能在智能建筑的内部空间中,符合准入权限的人员及其喂养的各类宠物,均可以在其中无拘束地自由活动。
3.1.2智能建筑(以住宅类为例)由各种不同的功能区域构成智能建筑可以由屏障式建筑体(院墙/大门)、过渡空间(院落)、主体建筑、附属建筑等多种建筑形态构成,也可以是单独的多/高层楼宇式建筑物。1)室外建筑构成体在外形特征的相关变化院落形态变化对比如表1所示。2)室内空间功能多样化及其内部环境条件多元化为了满足多个不同个体的人员、多层面应用需求,智能建筑内部可能设置有厅/餐/厨/卫/主/客/佣/影视/文娱/体/阅读等不同功能空间。这些空间在不同时段会满足于个体应用需求的温湿度差异;且在不同时段分布不同色温、不同照度、不同波长的光照明、不同频谱、不同规律、不同响度的声音等。3)智能建筑中配置满足不同层面需要的各类设施为了满足住户多层面的应用需求,智能建筑中分布有大量的水/电/气管路;配置了空气温湿度、理化洁净度探测控制装置,各类照明、感应、影音播放及相关控制装置,各类实现建筑物内部及内/外联系的通信装置;不同功能空间中还配置有特定的电器装置,甚至某些空间中还配置了可以自动“行走”的从事清洁等服务的机器(人)。上述各种设施是建筑物内各种频率/振幅的机械振动或波振动源;在不同时段也可能在较宽频谱范围内形成不同调制方式、不同能量的空间电磁波辐射(包括光波)和/或线路上的电磁扰动。综合以上分析得出结论:合法入住的人员及宠物的正常活动,智能建筑内部配置的各类电气装置的正常工作状况,均会成为传统型入侵探测技术的干扰源。
3.2以另一种角度解析入侵探测技术
入侵探测的本质:采用物理测量技术,识别出“不允许进入特定区域的人”。探测技术发展经历了以下几个阶段,并各具相应特性。
3.2.1入侵探测技术的智能化进程初级型阶段的入侵探测技术是针对参照物“有没有”实施最简单判断,使用的典型技术是铁磁性“接近开关”对门、窗的“开/闭”状态判断,以门/窗有没有开启作为触发报警条件。传统型阶段的入侵探测技术达到了“什么样”的判断水平——针对移动特性与体积、重量、温度、外形等参量之一的探测,以上述物理参量是否存在或以某个特定值作为预设的触发报警条件。智能型入侵探测的智能水平达到了判别“是谁”的能力——采用各类生物识别技术,实现对特定人员身份的探测(识别)。本文针对智能建筑的入侵探测应用讨论,所以探讨内容涵盖传统型入侵探测技术和生物识别技术(智能型入侵探测技术)。
3.2.2传统型入侵探测技术——对人的外部物理特征(共性)参量实施探测传统型入侵探测技术针对入侵行为的主要特性——移动,同时为了提升探测的准确性,再针对人员常见的几种外部物理参量之一进行探测,如表3所示。各类传统型入侵探测技术仅针对人员单一的外部物理参量实施探测,探测效果相当于“盲人摸象”,可能得出不准确的结论;更重要的是,传统型入侵探测装置不可能区分出触发者是用户还是非法入侵者,所以不适于在智能建筑的室内安装应用。
3.2.3智能型入侵探测技术——对人的外部社会特性(个性)实施探测用户与入侵者区分依据是人的外部社会特性,是每个人与其他人之间不同的、可测或可度量的、外在的(生物或者人为附加)特征。表4列出了目前不同的生物特征测量技术,对人实现区分所需要的时间和空间条件,而根据这些条件,可以针对智能建筑中不同区域的应用需求,选择合适的探测技术,如表4所示。5.3智能建筑不同功能区域对入侵探测应用需求及配置智能建筑内部区域对入侵探测的应用需求及配置建议如表5所示。
4应用规范的通用性规定
4.1入侵探测装置合法性必须获得强制性认证证书的有效覆盖;没有现行强制性认证标准的产品,需要获得自愿认证证书的有效覆盖。产品参照标准中的具体相关技术指标,均应满足应用规范规定。
4.2配置合理性针对智能建筑的不同部位或区域,配置与应用需求对应类别的入侵探测装置,比如:建筑物内部属于人员及宠物活动区域,入侵探测的应用需求是“确定进入该空间的人员是否具有相应的权限”,依据此需求,建筑物内部原则上不应配置传统型入侵探测装置(当然,针对厨房等某些具有危险物品的空间,为防止婴幼儿或宠物爬入,可能采用传统型入侵探测装置。当然在具体的配置过程中,还需要满足应用需求的其他方面);而传统型入侵探测装置应配置在智能建筑外部,特别是周界,当然还应该满足构成“封闭式防范”和对外观适应性等其他要求。根据表2所列的内容,可以得出明确结论——传统型入侵探测由于不具备识别人员身份的能力,通常只能设置于智能建筑的外部,担任判断是否有“人员入侵”的工作。若安装于围墙/围栏/窗/阳台等不允许人员“合法”出入的周界区域,只要发现有“目标”越过这些区域(无论是“出”或者是“入”),都必须输出报警信号。而具体应该采用何种入侵探测技术,应根据每种入侵探测技术的特点及具体应用需求来确定。
4.3风险等级适配性1)应用规范应规定智能建筑的风险等级,以及入侵探测装置的防范严密性等级。2)配置与风险等级对应的入侵探测装置类别,除了与空间条件相适应外,其探测的严密程度也应该与建筑的风险等级相对应。比如:对于低风险等级建筑的门禁可以采用IC卡、密码等探测技术;高风险等级建筑的门禁应用可以采用其他相应的生物识别技术。3)配置与风险等级对应的入侵探测装置。低风险等级的周界配置的入侵探测装置的触发响应时间或探测灵敏度指标可以较低,而高风险等级的周界配置入侵探测装置的相应技术指标要求较高。
4.4探测介质安全性建筑的入侵探测装置在长期使用的条件下,对人员物不产生任何伤害;建筑物外使用的入侵探测装置,在短时间内不应对人员(包含入侵者)产生伤害。
4.5环境适应性1)入侵探测装置的外观造型应与整体建筑造型风格和景观观感相适应。2)入侵探测装置的探测介质、通讯介质电磁参量等应该与智能建筑整体(局部)电磁环境相适应,不会产生相互干扰。
4.6探测技术的互补与协调性1)在同一空间或区域内,可采用两种或以上探测介质不同但探测区域重合的入侵探测(身份识别)技术,减少漏报警的机会。2)对不同空间或区域配置的相同或不同探测装置之间的异常信号实现统一管理与分析,提高报警准确率。
4.7资源配置的节约性1)由于智能建筑内分布大量的环境类探测器、传感器,形成广泛分布的传输通道,在保障“报警优先”并确保可有效避免“通道阻塞”条件下,入侵探测装置的输出/远端控制宜尽可能利用智能建筑内部配置的其他探测装置的信号通道。2)门禁确认进入人员身份的识别信号,可以提供给后续智能控制系统,实现“具体房间室内温湿度、灯光色调/照度、音响内容与响度、沐浴水温”多参量的个性化调节等应用环节。3)配置于室内的摄像机,可以同时用于入侵探测与火警探测两种报警复核。可考虑具有“模糊的行为识别”与“高清的取证识别”两种工作模式,以应对不同风险等级或应对不同级别隐私保护需求。4)环境类痕量化学传感器与入侵探测功能交互。住户个人生活习惯,如从吸烟或使用化妆品品牌的痕量分析作为身份识别,既可以根据习惯性化学痕量判断对于住户个人的个性化实施调节;也可以将与习惯性品牌痕量分析不符合的分析结果,作为入侵(内部人员非法进入)报警参考条件。
4.8使用便利性入侵探测装置的安装、调试、维护、保养应方便。家居型智能建筑应用的入侵探测装置最大程度提升DIY水平;在不能或不宜采用DIY方式安装的场所,或入侵探测装置本身的DIY程度要求不高的条件下,入侵探测装置应分别配置针对现场用户和安全控制中心的故障提示方式。
4.9与风险等级对应价格体系的合理性与可承受性1)性能/价格比是相应用户可以接受的(首先是性能,然后才是价格)。2)价格与产品风险等级对应,“优质优价”。3)价格体系应该给生产、销售、安装、调试、维保等环节留有相应生存空间,最好还留有发展空间,杜绝恶性价格竞争。
4.10入侵探测装置使用年限的规定入侵探测装置应规定使用年限,以室内不超过5年、室外不超过3年为宜。
4.11入侵探测装置不适用条件的规定1)系统集成商在构成系统过程中,在入侵探测装置无法承受气候时,系统对入侵探测装置予以“屏蔽”。2)用户对于不同空间隐私性、不同时间准入条件等具体应用需求,明确规定不适用的入侵探测装置或入侵探测系统相应功能不适用的时间段。
5结束语
关键词:校园网络;黑客攻击;入侵技术
1 校园网络安全现状
随着网络应用的普及,电子商务!电子银行和电子政务等网络服务的大力发展,网络在人们日常生活中的应用越来越多重要性越来越大,网络攻击也越来越严重。有一些人专门利用他们掌握的信息技术知识从事破坏活动,入侵他人计算机系统窃取!修改和破坏重要信息,给社会造成了巨大的损。随着攻击手段的变化,传统的以身份验证、加密、防火墙为主的静态安全防护体系已经越来越难以适应日益变化的网络环境,尤其是授权用户的滥用权利行为,几乎只有审计才能发现园网是国内最大的网络实体,如何保证校园网络系统的安全,是摆在我们面前的最重要问题。
因此,校园网对入侵检测系统也有着特别的需求校园网的特点是在线用户比率高、上网时间长、用户流量大、对服务器访问量大,这种情况下,校园网络面临着许多安全方面的威胁:
(1)黑客攻击,特别是假冒源地址的拒绝服务攻击屡有发生攻击者通过一些简单的攻击工具,就可以制造危害严重的网络洪流,耗尽网络资源或使主机系统资源遭到攻击同时,攻击者常常借助伪造源地址的方法,使网络管理员对这种攻击无可奈何。
(2)病毒和蠕虫,在高速大容量的局域网络中,各种病毒和蠕虫,不论新旧都很容易通过有漏洞的系统迅速传播扩散"其中,特别是新出现的网络蠕虫,常常可以在爆发初期的几个小时内就闪电般席卷全校,造成网络阻塞甚至瘫痪。
(3)滥用网络资源,在校园网中总会出现滥用带宽等资源以致影响其他用户甚至整个网络正常使用的行为如各种扫描、广播、访问量过大的视频下载服务等等。入侵检测系统(IntrusionDeteetionSystem,IDS)的出现使得我们可以主动实时地全面防范网络攻击N工DS指从网络系统的若干节点中搜集信息并进行分析,从而发现网络系统中是否有违反安全策略的行为,并做出适当的响应"它既能检测出非授权使用计算机的用户,也能检测出授权用户的滥用行为。
IDS按照功能大致可划分为主机入侵检测(HostIDS,HIDS)网络入侵检测(NetworkIDS,NIDS)分布式入侵检测(DistributedIDS,DIDS)其中,网络入侵检测的特点是成本低,实时地检测和分析,而且可以检测到未成功的攻击企图"从分析方法的角度可分为异常检测(Anomaly DeteCtion)和误用检测(MISuseDeteCtion)其中误用检测是指定义一系列规则,符合规则的被认为是入侵其优点是误报率低、开销小、效率高Snort作为IDS的经典代表,是基于网络和误用检测的入侵检测系统入侵检测技术自20世纪80年代早起提出以来,在早期的入侵检测系统中,大多数是基于主机的,但是在过去的10年间基于网络的入侵检测系统占有主要地位,现在和未来的发展主流将是混合型和分布式形式的入侵检测系统。
2 入侵检测研究现状
国外机构早在20世纪80年代就开展了相关基础理论研究工作。经过20多年的不断发展,从最初的一种有价值的研究想法和单纯的理论模型,迅速发展出种类繁多的各种实际原型系统,并且在近10年内涌现出许多商用入侵检测系统,成为计算机安全防护领域内不可缺少的一种安全防护技术。Anderson在1980年的报告“Computer Seeurity Threat Monitoring and Surveillance”中,提出必须改变现有的系统审计机制,以便为专职系统安全人员提供安全信息,此文被认为是有关入侵检测的最早论述;1984一1986年,Dorothy E.Denning和Peter G.Neumann联合开发了一个实时IDES(Intrusion DeteCtion Expert System),IDES采用统计分析,异常检测和专家系统的混合结构,Delming1986年的论文“An Intrusion Deteetion Modelo”,被公认为是入侵检测领域的另一开山之作"。1987年,Dorothy Denning发表的经典论文AnIntursion Deteetion Modelo中提出了入侵检测的基本模型,并提出了几种可用于入侵检测的统计分析模型。Dnening的论文正式启动了入侵检测领域的研究工作,在发展的早期阶段,入侵检测还仅仅是个有趣的研究领域,还没有获得计算机用户的足够注意,因为,当时的流行做法是将计算机安全的大部分预算投入到预防性的措施上,如:加密、身份验证和访问控制等方面,而将检测和响应等排斥在外。到了1996年后,才逐步出现了大量的商用入侵检测系统。从20世纪90年代到现在,入侵检测系统的研发呈现出百家争鸣的繁荣局面,并在智能化和分布式两个方向取得了长足的进展。其中一种主要的异常检测技术是神经网络技术,此外,如基于贝叶斯网络的异常检测方法,基于模式预测的异常检测方法,基于数据挖掘的异常检测方法以及基于计算机免疫学的检测方法也相继出现,对于误用入侵检测也有多种检测方法,如专家系统(expert system),特征分析(Signature analysis),状态转移分析(State transition analysis)等.
入侵检测系统的典型代表是ISSInc(国际互联网安全系统公司)Rea1Secure产品。较为著名的商用入侵检测产品还有:NAJ公司的CyberCoPMoitor、Axent公司的Netprowler、CISCO公司的Netranger、CA公司的SeSSionwall-3等。目前,普渡大学、加州大学戴维斯分校、洛斯阿拉莫斯国家实验室、哥伦比亚大学、新墨西哥大学等机构在这些方面的研究代表了当前的最高水平。随着计算机系统软、硬件的飞速发展,以及网络技术、分布式计算!系统工程!人工智能等计算机新兴技术与理论的不断发展与完善,入侵检测理论本身也处于发展变化中,但还未形成一个比较完整的理论体系。
在国内,随着上网的关键部门、关键业务越来越多,更需要具有自主版权的入侵检测产品。我国在这方面的研究相对晚,国内的该类产品较少,但发展较快,己有总参北方所、中科网威、启明星辰,H3C等公司推出产品。至今日入侵检测技术仍然改变了以往被动防御的特点,使网络管理员能够主动地实时跟踪各种危害系统安全的入侵行为并做出及时的响应,尤其在抵御网络内部人员的破坏时更有独到的特点,因而成为了防火墙之后的又一道安全防线。
随着互联网的进一步普及和深入,入侵检测技术有着更广泛的发展前途和实际价值。尽管问题尚存,但希望更大,相信目前正在研究的大规模分布式入侵检测系统、基于多传感器的数据融合、基于计算机免疫技术、基于神经网络及基于遗传算法等的新一代入侵检测系统一定能够解决目前面临到种种问题,更好地完成抵御入侵的任务。
3 未来和展望
随着网络规模和复杂程度的不断增长,如何在校园网多校区乃至异构网络环境下收集和处理分布在网络各处的不同格式信息!如何进行管理域间的合作以及保证在局部入侵检测失效的情况下维持系统整体安全等"同时,伴随着大量诸如高速/超高速接入手段的出现,如何实现高速/超高速网络下的实时入侵检测。降低丢包率也成为一个现实的问题,面对G级的网络数据流量,传统的软件结构和算法都需要重新设计;开发和设计适当的专用硬件也成为研究方向之一"时至今日,入侵检测系统的评估测试方面仍然不成熟,如何对入侵检测系统进行评估是一个重要而敏感的话题。
参考文献
[1]董明明,巩青歌.Snort规则集的优化方法.计算机安全.2009.8:35-37
关键词:入侵诱骗技术;蜜罐;网络安全
近年来计算机网络发展异常迅猛,各行各业对网络的依赖已越发严重。这一方面提高了信息的高速流动,但另一方面却带来了极大的隐患。由于网络的开放性、计算机系统设计的非安全性导致网络受到大量的攻击。如何提高网络的自我防护能力是目前研究的一个热点。论文通过引入入侵诱骗技术,设计了一个高效的网络防护系统。
一、入侵诱骗技术简介
通过多年的研究表明,网络安全存在的最大问题就是目前采用的被动防护方式,该方式只能被动的应对攻击,缺乏主动防护的功能。为应对这一问题,就提出了入侵诱骗技术。该技术是对被动防护的扩展,通过积极的进行入侵检测,并实时的将可疑目标引向自身,导致攻击失效,从而有效的保护目标。
上个世纪80年代末期由stoll首先提出该思想。到上世纪90年代初期由Bill Cheswish进一步丰富了该思想。他通过在空闲的端口上设置一些用于吸引入侵者的伪造服务来获取入侵者的信息,从而研究入侵者的规律。到1996年Fred Cohen 提出将防火墙技术应用于入侵诱骗技术中,实现消除入侵资源。为进一步吸引入侵目标,在研究中提出了引诱其攻击自身的特殊目标“蜜罐”。研究者通过对蜜罐中目标的观察,可清晰的了解入侵的方法以及自身系统的漏洞,从而提升系统的安全防护水平。
二、蜜罐系统的研究
在这个入侵诱骗技术中,蜜罐的设计是关键。按交互级别,可对蜜罐进行分类:低交互度蜜罐、中交互度蜜罐和高交互度蜜罐。低交互度蜜罐由于简单的设计和基本的功能,低交互度的honeypot通常是最容易安装、部署和维护的。在该系统中,由于没有真正的操作系统可供攻击者远程登录,操作系统所带来的复杂性被削弱了,所以它所带来的风险是最小的。但也让我们无法观察一个攻击者与系统交互信息的整个过程。它主要用于检测。通过中交互度蜜罐可以获得更多有用的信息,同时能做出响应,是仍然没有为攻击者提供一个可使用的操作系统。部署和维护中交互度的蜜罐是一个更为复杂的过程。高交互度蜜罐的主要特点是提供了一个真实的操作系统。该系统能够收集更多的信息、吸引更多的入侵行为。
构建一个有用的蜜罐系统是一个十分复杂的过程,主要涉及到蜜罐的伪装、采集信息、风险控制、数据分析。其中,蜜罐的伪装就是将一个蜜罐系统通过一定的措施构造成一个十分逼真的环境,以吸引入侵者。但蜜罐伪装的难度是既不能暴露太多的信息又不能让入侵者产生怀疑。最初采用的是伪造服务,目前主要采用通过修改的真实系统来充当。蜜罐系统的主要功能之一就是获取入侵者的信息,通常是采用网络sniffer或IDS来记录网络包从而达到记录信息的目的。虽然蜜罐系统可以获取入侵者的信息,并能有效的防护目标,但蜜罐系统也给系统带来了隐患,如何控制这些潜在的风险十分关键。蜜罐系统的最后一个过程就是对采用数据的分析。通过分析就能获得需要的相关入侵者规律的信息。
对于设计蜜罐系统,主要有三个步骤:首先,必须确定自己蜜罐的目标。因为蜜罐系统并不能完全代替传统的网络安全机制,它只是网络安全的补充,所以必须根据自己的目标定位蜜罐系统。通常蜜罐系统可定位于阻止入侵、检测入侵等多个方面。其次,必须确定自己蜜罐系统的设计原则。在这里不仅要确定蜜罐的级别还有确定平台的选择。目前,对用于研究目的的蜜罐系统一般采用高交互蜜罐系统,其目的就是能够更加广泛的收集入侵者的信息,获取需要的资料。在平台的选择上,目前我们选择的范围很有限,一般采用Linux系统。其原因主要是Linux的开源、广泛应用和卓越的性能。最后,就是对选定环境的安装和配置。
三、蜜罐系统在网络中的应用
为更清晰的研究蜜罐系统,将蜜罐系统应用于具体的网络中。在我们的研究中,选择了一个小规模的网络来实现。当设计完整个网络结构后,我们在网络出口部分配置了设计的蜜罐系统。在硬件方面增加了安装了snort的入侵检测系统、安装了Sebek的数据捕获端。并且都构建在Vmware上实现虚拟蜜罐系统。在实现中,主要安装并配置了Honeyd、snort和sebek.其蜜罐系统的结构图,见图1。
图1 蜜罐结构图
论文从入侵诱骗技术入手系统的分析了该技术的发展历程,然后对入侵诱骗技术中的蜜罐系统进行了深入的研究,主要涉及到蜜罐系统的分类、设计原则、设计方法,最后,将一个简易的蜜罐系统应用于具体的网络环境中,并通过严格的测试,表明该系统是有效的。
关键词入侵检测异常检测误用检测
在网络技术日新月异的今天,基于网络的计算机应用已经成为发展的主流。政府、教育、商业、金融等机构纷纷联入Internet,全社会信息共享已逐步成为现实。然而,近年来,网上黑客的攻击活动正以每年10倍的速度增长。因此,保证计算机系统、网络系统以及整个信息基础设施的安全已经成为刻不容缓的重要课题。
1 防火墙
目前防范网络攻击最常用的方法是构建防火墙。
防火墙作为一种边界安全的手段,在网络安全保护中起着重要作用。其主要功能是控制对网络的非法访问,通过监视、限制、更改通过网络的数据流,一方面尽可能屏蔽内部网的拓扑结构,另一方面对内屏蔽外部危险站点,以防范外对内的非法访问。然而,防火墙存在明显的局限性。
(1)入侵者可以找到防火墙背后可能敞开的后门。如同深宅大院的高大院墙不能挡住老鼠的偷袭一样,防火墙有时无法阻止入侵者的攻击。
(2)防火墙不能阻止来自内部的袭击。调查发现,50%的攻击都将来自于网络内部。
(3)由于性能的限制,防火墙通常不能提供实时的入侵检测能力。毕业论文 而这一点,对于层出不穷的网络攻击技术来说是至关重要的。
因此,在Internet入口处部署防火墙系统是不能确保安全的。单纯的防火墙策略已经无法满足对安全高度敏感部门的需要,网络的防卫必须采用一种纵深的、多样化的手段。
由于传统防火墙存在缺陷,引发了入侵检测IDS(Intrusion Detection System)的研究和开发。入侵检测是防火墙之后的第二道安全闸门,是对防火墙的合理补充,在不影响网络性能的情况下,通过对网络的监测,帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高信息安全基础结构的完整性,提供对内部攻击、外部攻击和误操作的实时保护。现在,入侵检测已经成为网络安全中一个重要的研究方向,在各种不同的网络环境中发挥重要作用。
2 入侵检测
2.1 入侵检测
入侵检测是通过从计算机网络系统中的若干关键点收集信息并对其进行分析,从中发现违反安全策略的行为和遭到攻击的迹象,并做出自动的响应。其主要功能是对用户和系统行为的监测与分析、系统配置和漏洞的审计检查、重要系统和数据文件的完整性评估、已知的攻击行为模式的识别、异常行为模式的统计分析、操作系统的审计跟踪管理及违反安全策略的用户行为的识别。入侵检测通过迅速地检测入侵,在可能造成系统损坏或数据丢失之前,识别并驱除入侵者,使系统迅速恢复正常工作,并且阻止入侵者进一步的行动。同时,收集有关入侵的技术资料,用于改进和增强系统抵抗入侵的能力。
入侵检测可分为基于主机型、基于网络型、基于型三类。从20世纪90年代至今,英语论文 已经开发出一些入侵检测的产品,其中比较有代表性的产品有ISS(Intemet Security System)公司的Realsecure,NAI(Network Associates,Inc)公司的Cybercop和Cisco公司的NetRanger。
2.2 检测技术
入侵检测为网络安全提供实时检测及攻击行为检测,并采取相应的防护手段。例如,实时检测通过记录证据来进行跟踪、恢复、断开网络连接等控制;攻击行为检测注重于发现信息系统中可能已经通过身份检查的形迹可疑者,进一步加强信息系统的安全力度。入侵检测的步骤如下:
收集系统、网络、数据及用户活动的状态和行为的信息
入侵检测一般采用分布式结构,在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息,一方面扩大检测范围,另一方面通过多个采集点的信息的比较来判断是否存在可疑现象或发生入侵行为。
入侵检测所利用的信息一般来自以下4个方面:系统和网络日志文件、目录和文件中的不期望的改变、程序执行中的不期望行为、物理形式的入侵信息。
(2)根据收集到的信息进行分析
常用的分析方法有模式匹配、统计分析、完整性分析。模式匹配是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。
统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性。测量属性的平均值将被用来与网络、系统的行为进行比较。当观察值超出正常值范围时,就有可能发生入侵行为。该方法的难点是阈值的选择,阈值太小可能产生错误的入侵报告,阈值太大可能漏报一些入侵事件。
完整性分析主要关注某个文件或对象是否被更改,包括文件和目录的内容及属性。该方法能有效地防范特洛伊木马的攻击。
3 分类及存在的问题
入侵检测通过对入侵和攻击行为的检测,查出系统的入侵者或合法用户对系统资源的滥用和误用。工作总结 根据不同的检测方法,将入侵检测分为异常入侵检测(Anomaly Detection)和误用人侵检测(Misuse Detection)。
3.1 异常检测
又称为基于行为的检测。其基本前提是:假定所有的入侵行为都是异常的。首先建立系统或用户的“正常”行为特征轮廓,通过比较当前的系统或用户的行为是否偏离正常的行为特征轮廓来判断是否发生了入侵。此方法不依赖于是否表现出具体行为来进行检测,是一种间接的方法。
常用的具体方法有:统计异常检测方法、基于特征选择异常检测方法、基于贝叶斯推理异常检测方法、基于贝叶斯网络异常检测方法、基于模式预测异常检测方法、基于神经网络异常检测方法、基于机器学习异常检测方法、基于数据采掘异常检测方法等。
采用异常检测的关键问题有如下两个方面:
(1)特征量的选择
在建立系统或用户的行为特征轮廓的正常模型时,选取的特征量既要能准确地体现系统或用户的行为特征,又能使模型最优化,即以最少的特征量就能涵盖系统或用户的行为特征。
(2)参考阈值的选定
由于异常检测是以正常的特征轮廓作为比较的参考基准,因此,参考阈值的选定是非常关键的。
阈值设定得过大,那漏警率会很高;阈值设定的过小,则虚警率就会提高。合适的参考阈值的选定是决定这一检测方法准确率的至关重要的因素。
由此可见,异常检测技术难点是“正常”行为特征轮廓的确定、特征量的选取、特征轮廓的更新。由于这几个因素的制约,异常检测的虚警率很高,但对于未知的入侵行为的检测非常有效。此外,由于需要实时地建立和更新系统或用户的特征轮廓,这样所需的计算量很大,对系统的处理性能要求很高。
3.2 误用检测
又称为基于知识的检测。其基本前提是:假定所有可能的入侵行为都能被识别和表示。首先,留学生论文 对已知的攻击方法进行攻击签名(攻击签名是指用一种特定的方式来表示已知的攻击模式)表示,然后根据已经定义好的攻击签名,通过判断这些攻击签名是否出现来判断入侵行为的发生与否。这种方法是依据是否出现攻击签名来判断入侵行为,是一种直接的方法。
常用的具体方法有:基于条件概率误用入侵检测方法、基于专家系统误用入侵检测方法、基于状态迁移分析误用入侵检测方法、基于键盘监控误用入侵检测方法、基于模型误用入侵检测方法。误用检测的关键问题是攻击签名的正确表示。
误用检测是根据攻击签名来判断入侵的,根据对已知的攻击方法的了解,用特定的模式语言来表示这种攻击,使得攻击签名能够准确地表示入侵行为及其所有可能的变种,同时又不会把非入侵行为包含进来。由于多数入侵行为是利用系统的漏洞和应用程序的缺陷,因此,通过分析攻击过程的特征、条件、排列以及事件间的关系,就可具体描述入侵行为的迹象。这些迹象不仅对分析已经发生的入侵行为有帮助,而且对即将发生的入侵也有预警作用。
误用检测将收集到的信息与已知的攻击签名模式库进行比较,从中发现违背安全策略的行为。由于只需要收集相关的数据,这样系统的负担明显减少。该方法类似于病毒检测系统,其检测的准确率和效率都比较高。但是它也存在一些缺点。
3.2.1 不能检测未知的入侵行为
由于其检测机理是对已知的入侵方法进行模式提取,对于未知的入侵方法就不能进行有效的检测。也就是说漏警率比较高。
3.2.2 与系统的相关性很强
对于不同实现机制的操作系统,由于攻击的方法不尽相同,很难定义出统一的模式库。另外,误用检测技术也难以检测出内部人员的入侵行为。
目前,由于误用检测技术比较成熟,多数的商业产品都主要是基于误用检测模型的。不过,为了增强检测功能,不少产品也加入了异常检测的方法。
4 入侵检测的发展方向
随着信息系统对一个国家的社会生产与国民经济的影响越来越大,再加上网络攻击者的攻击工具与手法日趋复杂化,信息战已逐步被各个国家重视。近年来,入侵检测有如下几个主要发展方向:
4.1 分布式入侵检测与通用入侵检测架构
传统的IDS一般局限于单一的主机或网络架构,对异构系统及大规模的网络的监测明显不足,再加上不同的IDS系统之间不能很好地协同工作。为解决这一问题,需要采用分布式入侵检测技术与通用入侵检测架构。
4.2应用层入侵检测
许多入侵的语义只有在应用层才能理解,然而目前的IDS仅能检测到诸如Web之类的通用协议,而不能处理Lotus Notes、数据库系统等其他的应用系统。许多基于客户/服务器结构、中间件技术及对象技术的大型应用,也需要应用层的入侵检测保护。
4.3 智能的入侵检测
入侵方法越来越多样化与综合化,尽管已经有智能体、神经网络与遗传算法在入侵检测领域应用研究,但是,这只是一些尝试性的研究工作,需要对智能化的IDS加以进一步的研究,以解决其自学习与自适应能力。
4.4 入侵检测的评测方法
用户需对众多的IDS系统进行评价,评价指标包括IDS检测范围、系统资源占用、IDS自身的可靠性,从而设计出通用的入侵检测测试与评估方法与平台,实现对多种IDS的检测。
4.5 全面的安全防御方案
结合安全工程风险管理的思想与方法来处理网络安全问题,将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、入侵检测多方位全面对所关注的网络作全面的评估,然后提出可行的全面解决方案。
综上所述,入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,使网络系统在受到危害之前即拦截和响应入侵行为,为网络安全增加一道屏障。随着入侵检测的研究与开发,并在实际应用中与其它网络管理软件相结合,使网络安全可以从立体纵深、多层次防御的角度出发,形成人侵检测、网络管理、网络监控三位一体化,从而更加有效地保护网络的安全。
参考文献
l 吴新民.两种典型的入侵检测方法研究.计算机工程与应用,2002;38(10):181—183
2 罗妍,李仲麟,陈宪.入侵检测系统模型的比较.计算机应用,2001;21(6):29~31
3 李涣洲.网络安全与入侵检测技术.四川师范大学学报.2001;24(3):426—428
4 张慧敏,何军,黄厚宽.入侵检测系统.计算机应用研究,2001;18(9):38—4l
论文摘要:自从有了计算机网络,资源和信息的共享更方便了,但信息安全变得困难了,文章就网络的安全进行了探讨。
随着计算机信息技术的发展,使网络成为全球信息传递和交互的主要途径,改变着人们的生产和生活方式。网络信息已经成为社会发展的重要组成部分,对政治、经济、军事、文化、教育等诸多领域产生了巨大的影响。事实上,网络安全已经成为关系国家主权和国家安全、经济繁荣和社会稳定、文化传承和教育进步的重大问题,因此,我们在利用网络信息资源的同时,必须加强网络信息安全技术的研究和开发。
1网络安全的概念
运用网络的目的是为了利用网络的物理或逻辑的环境,实现各类信息的共享,计算机网络需要保护传输中的敏感信息,需要区分信息的合法用户和非法用户。在使用网络的同时,有的人可能无意地非法访问并修改了某些敏感信息,致使网络服务中断,有的人出于各种目的有意地窃取机密信息,破坏网络的正常运作。所有这些都是对网络的威胁。因此,网络安全从其本质上来讲就是网络的信息安全,主要研究计算机网络的安全技术和安全机制,以确保网络免受各种威胁和攻击,做到正常而有序地工作。
2网络安全的分析
确保网络安全应从以下四个方面着手:
①运行系统的安全。硬件系统的可靠安全运行,计算机操作系统和应用软件的安全,数据库系统的安全,侧重于保证系统正常地运行,其本质是保护系统的合法操作和正常运行。②网络上系统信息的安全。即确保用户口令鉴别、用户存取权限控制,数据存取权限、数据加密、计算机病毒防治等方面的安全。③网络上信息传播的安全。信息传播后的安全,包括信息过滤等。其侧重于防止和控制非法、有害的信息传播产生的后果,避免网络上传输的信息失控。④网络上信息内容的安全。即保护信息的保密性、真实性和完整性。保护用户的利益和隐私。
3网络安全的攻略
网络的任何一部分都存在安全隐患,针对每一个安全隐患需要采取具体的措施加以防范。目前常用的安全技术有包过滤技术、加密技术、防火墙技术、入侵检测技术等。下面分别介绍:
①包过滤技术。它可以阻止某些主机随意访问另外一些主机。包过滤功能通常在路由器中实现,具有包过滤功能的路由器叫包过滤路由器。网络管理员可以配置包过滤路由器,来控制哪些包可以通过,哪些包不可以通过。
②加密技术。凡是用特种符号按照通信双方约定的方法把数据的原形隐藏起来,不为第三者所识别的通信方式称为密码通信。在计算机通信中,采用密码技术将信息隐蔽起来,再将隐蔽后的信息传播出去,是信息在传输过程中即使被窃取或截获,窃取者也不能了解信息的内容,从而保证信息传输的安全。
③防火墙技术。防火墙将网络分为内部和外部网络,内部网络是安全的和可信赖的,而外部网络则是不太安全。它是一种计算机硬件和软件的结合,对内部网络和外部网络之间的数据流量进行分析、检测、管理和控制,从而保护内部网络免受外部非法用户的侵入。
④入侵检测技术。通过对计算机网络和主机系统中的关键信息进行实时采集和分析,从而判断出非法用户入侵和合法用户滥用资源的行为,并作出适当反应的网络安全技术。
根据入侵检测系统的技术与原理的不同,可以分为异常入侵检测、误用入侵检测和特征检测三种。
异常入侵检测技术。收集一段时间内合法用户行为的相关数据,然后使用统计方法来考察用户行为,来断定这些行为是否符合合法用户的行为特征。如果能检测所有的异常活动,就能检测所有的入侵性活动。
误用入侵检测技术。假设具有能够被精确地按某种方式编码的攻击,并可以通过捕获攻击及重新整理,确认入侵活动是基于同一弱点进行攻击的入侵方法的变种。它是通过按照预先定义好的入侵模式以及观察到入侵发生情况进行模式匹配来检测。
特征检测。此方法关注的是系统本身的行为,定义系统行为轮廓,并将系统行为与轮廓进行比较,对未指明为正常行为的事件定义为入侵。
网络安全已经成为网络发展的瓶颈,也是一个越来越引起世界关注的重要问题。只有重视了网络安全,才能将可能出现的损失降到最低。
参考文献
[1] 郭秋萍.计算机网络技术[M].北京:清华大学出版社,2008.
[2] 张震.计算机网络技术实用教程[M].北京:北京交通大学出版社,2009.
论文摘要:要保护好自己的网络不受攻击,就必须对攻击方法、攻击原理、攻击过程有深入的、详细的了解,只有这样才能更有效、更具有针对性的进行主动防护。下面就对攻击方法的特征进行分析,来研究如何对攻击行为进行检测与防御。
反攻击技术的核心问题是如何截获所有的网络信息。目前主要是通过两种途径来获取信息,一种是通过网络侦听的途径来获取所有的网络信息,这既是进行攻击的必然途径,也是进行反攻击的必要途径;另一种是通过对操作系统和应用程序的系统日志进行分析,来发现入侵行为和系统潜在的安全漏洞。
一、攻击的主要方式
对网络的攻击方式是多种多样的,一般来讲,攻击总是利用“系统配置的缺陷”,“操作系统的安全漏洞”或“通信协议的安全漏洞”来进行的。到目前为止,已经发现的攻击方式超过2000种,其中对绝大部分攻击手段已经有相应的解决方法,这些攻击大概可以划分为以下几类:
(一)拒绝服务攻击:一般情况下,拒绝服务攻击是通过使被攻击对象(通常是工作站或重要服务器)的系统关键资源过载,从而使被攻击对象停止部分或全部服务。目前已知的拒绝服务攻击就有几百种,它是最基本的入侵攻击手段,也是最难对付的入侵攻击之一,典型示例有SYN Flood攻击、Ping Flood攻击、Land攻击、WinNuke攻击等。
(二)非授权访问尝试:是攻击者对被保护文件进行读、写或执行的尝试,也包括为获得被保护访问权限所做的尝试。
(三)预探测攻击:在连续的非授权访问尝试过程中,攻击者为了获得网络内部的信息及网络周围的信息,通常使用这种攻击尝试,典型示例包括SATAN扫描、端口扫描和IP半途扫描等。
(四)可疑活动:是通常定义的“标准”网络通信范畴之外的活动,也可以指网络上不希望有的活动,如IP Unknown Protocol和Duplicate IP Address事件等。
(五)协议解码:协议解码可用于以上任何一种非期望的方法中,网络或安全管理员需要进行解码工作,并获得相应的结果,解码后的协议信息可能表明期望的活动,如FTU User和Portmapper Proxy等解码方式。
二、攻击行为的特征分析与反攻击技术
入侵检测的最基本手段是采用模式匹配的方法来发现入侵攻击行为,要有效的进反攻击首先必须了解入侵的原理和工作机理,只有这样才能做到知己知彼,从而有效的防止入侵攻击行为的发生。下面我们针对几种典型的入侵攻击进行分析,并提出相应的对策。
(一)Land攻击
攻击类型:Land攻击是一种拒绝服务攻击。
攻击特征:用于Land攻击的数据包中的源地址和目标地址是相同的,因为当操作系统接收到这类数据包时,不知道该如何处理堆栈中通信源地址和目的地址相同的这种情况,或者循环发送和接收该数据包,消耗大量的系统资源,从而有可能造成系统崩溃或死机等现象。
检测方法:判断网络数据包的源地址和目标地址是否相同。
反攻击方法:适当配置防火墙设备或过滤路由器的过滤规则就可以防止这种攻击行为(一般是丢弃该数据包),并对这种攻击进行审计(记录事件发生的时间,源主机和目标主机的MAC地址和IP地址)。
(二)TCP SYN攻击
攻击类型:TCP SYN攻击是一种拒绝服务攻击。
攻击特征:它是利用TCP客户机与服务器之间三次握手过程的缺陷来进行的。攻击者通过伪造源IP地址向被攻击者发送大量的SYN数据包,当被攻击主机接收到大量的SYN数据包时,需要使用大量的缓存来处理这些连接,并将SYN ACK数据包发送回错误的IP地址,并一直等待ACK数据包的回应,最终导致缓存用完,不能再处理其它合法的SYN连接,即不能对外提供正常服务。
检测方法:检查单位时间内收到的SYN连接否收超过系统设定的值。
反攻击方法:当接收到大量的SYN数据包时,通知防火墙阻断连接请求或丢弃这些数据包,并进行系统审计。
(三)TCP/UDP端口扫描
攻击类型:TCP/UDP端口扫描是一种预探测攻击。
攻击特征:对被攻击主机的不同端口发送TCP或UDP连接请求,探测被攻击对象运行的服务类型。
检测方法:统计外界对系统端口的连接请求,特别是对21、23、25、53、80、8000、8080等以外的非常用端口的连接请求。
反攻击方法:当收到多个TCP/UDP数据包对异常端口的连接请求时,通知防火墙阻断连接请求,并对攻击者的IP地址和MAC地址进行审计。
对于某些较复杂的入侵攻击行为(如分布式攻击、组合攻击)不但需要采用模式匹配的方法,还需要利用状态转移、网络拓扑结构等方法来进行入侵检测。
三、入侵检测系统的几点思考
入侵检测系统存在一些亟待解决的问题,主要表现在以下几个方面:
(一)如何识别“大规模的组合式、分布式的入侵攻击”目前还没有较好的方法和成熟的解决方案。从Yahoo等著名ICP的攻击事件中,我们了解到安全问题日渐突出,攻击者的水平在不断地提高,加上日趋成熟多样的攻击工具,以及越来越复杂的攻击手法,使入侵检测系统必须不断跟踪最新的安全技术。
(二)网络入侵检测系统通过匹配网络数据包发现攻击行为,入侵检测系统往往假设攻击信息是明文传输的,因此对信息的改变或重新编码就可能骗过入侵检测系统的检测,因此字符串匹配的方法对于加密过的数据包就显得无能为力。
(三)网络设备越来越复杂、越来越多样化就要求入侵检测系统能有所定制,以适应更多的环境的要求。
(四)对入侵检测系统的评价还没有客观的标准,标准的不统一使得入侵检测系统之间不易互联。入侵检测系统是一项新兴技术,随着技术的发展和对新攻击识别的增加,入侵检测系统需要不断的升级才能保证网络的安全性。
(五)采用不恰当的自动反应同样会给入侵检测系统造成风险。入侵检测系统通常可以与防火墙结合在一起工作,当入侵检测系统发现攻击行为时,过滤掉所有来自攻击者的IP数据包,当一个攻击者假冒大量不同的IP进行模拟攻击时,入侵检测系统自动配置防火墙将这些实际上并没有进行任何攻击的地址都过滤掉,于是造成新的拒绝服务访问。
(六)对IDS自身的攻击。与其他系统一样,IDS本身也存在安全漏洞,若对IDS攻击成功,则导致报警失灵,入侵者在其后的行为将无法被记录,因此要求系统应该采取多种安全防护手段。
总之,入侵检测系统作为网络安全关键性测防系统,具有很多值得进一步深入研究的方面,有待于我们进一步完善,为今后的网络发展提供有效的安全手段。
摘要:入侵检测系统与其他网络安全设备的不同之处便在于,ids是一种积极主动的安全防护技术。生物免疫系统是机体保护自身的一种防御性结构,入侵检测系统与生物免疫系统有着许多相似之处。论文在简要介绍免疫机理在入侵检测研究现状的基础上,着重探讨一种针对当前计算机及其网络运行的人工免疫系统(artificialimmunesystem,ais)的理论模型,以及一种基于免疫机理的入侵检测系统的多子系统、多的体系结构。
目前,开放式网络环境使人们充分享受着数字化,信息化给人们日常的工作生活学习带来的巨大便利,也因此对计算机网络越来越强的依赖性,与此同时,各种针对网络的攻击与破坏日益增多,成为制约网络技术发展的一大障碍。传统的安全技术并不能对系统是否真的没有被入侵有任何保证。入侵检测系统已经成为信息网络安全其必不可少的一道防线。
人体内有一个免疫系统,它是人体抵御病原菌侵犯最重要的保卫系统,主要手段是依靠自身的防御体系和免疫能力。一些学者试图学习和模仿生物机体的这种能力,将其移植到计算机网络安全方面。相关研究很多都基于生物免疫系统的体系结构和免疫机制[5]。基于免疫理论的研究已逐渐成为目前人们研究的一个重要方向,其研究成果将会为计算机网络安全提供一条新的途径。
一、入侵检测简介
入侵即入侵者利用主机或网络中程序的漏洞,对特权程序进行非法或异常的调用,使外网攻击者侵入内网获取内网的资源。入侵检测即是检测各种非法的入侵行为。入侵检测提供了对网络的实时保护,在系统受到危害时提前有所作为。入侵检测严密监视系统的各种不安全的活动,识别用户不安全的行为。入侵检测应付各种网络攻击,提高了用户的安全性。入侵检测[4]技术就是为保证网路系统的安全而设计的一种可以检测系统中异常的、不安全的行为的技术。
二、基于免疫机理的入侵检测系统
(一)入侵检测系统和自然免疫系统用四元函数组来定义一个自然免疫系统∑nis[5],∑nis=(xnis,ωnis,ynis,gnis)xnis是输入,它为各种类型的抗原,令z表示所有抗原,抗原包括自身蛋白集合和病原体集合这两个互斥的集合,即,用w表示自身蛋白集合,nw表示病原体集合,有s∪nw=z,w=ynis是输出,只考虑免疫系统对病原体的识别而不计免疫效应,ynis取0或1,分别表示自然免疫系统判别输入时的自身或非自身。
gnis是一个自然免疫系统输入输出之间的非线性关系函数,则有ynis=gnis(xnis)=ωnis为自然免疫系统的内部组成。而根据系统的定义,入侵检测系统可以表示为∑ids=(xids,ωids,yids,gids)
式中,xids是入侵检测系统的输入。令m表示是整个论域,整个论域也可以划分成为两个互斥的集合即入侵集合,表示为i和正常集合表示﹁i,有i∪﹁i=m,i∩﹁i=输入xids,输出yids,此时入侵检测系统具有报警s和不报警﹁a两种状态,报警用1表示,不报警用0表示。
gids表示输入与输出之间的非线性函数关系,则有yids=gids(xids)=ωids是自然免疫系统的内部组成。不同种类的检测系统具有不同的ωids,产生不同的ωids,从而将输入向量映射到输出。
(二)基于自然免疫机理的入侵检测系统的设计
自然免疫系统是一个识别病原菌的系统,与网络入侵检测系统有很多类似之处,因此自然免疫系统得到一个设计网络入侵检测系统的启发,我们先来研究自然入侵检测系统的动态防护性、检测性能、自适应性以及系统健壮性这四个特性[5]。
1.动态防护性。
自然免疫系统可以用比较少的资源完成相对复杂的检测任务。人体约有1016种病原体需要识别,自然免疫系统采用动态防护,任一时刻,淋巴检测器只能检测到病原体的一个子集,但淋巴检测器每天都会及时更新,所以每天检测的病原体是不同的,淋巴细胞的及时更新,来应对当前的待检病原体。
2.检测性能。
自然免疫系统具有非常强的低预警率和高检测率。之所以具有这样好的检测性能,是因为自然免疫系统具有多样性、多层次、异常检测能力、独特性等多种特性。
3.自适应性。
自然免疫系统具有良好的自适应性,检测器一般情况下能够检测到频率比较高的攻击规则,很少或基本根本没有检测到入侵的规则,将会被移出常用检测规则库,这样就会使得规则库中的规则一直可以检测到经常遇到的攻击。基于免疫机理的入侵检测系统采用异常检测方法检测攻击,对通过异常检测到的攻击提取异常特征形成新的检测规则,当这些入侵再次出现时直接通过规则匹配直接就可以检测到。
4.健壮性。
自然免疫系统采用了高度分布式的结构,基于免疫机理研究出的入侵检测系统也包含多个子系统和大量遍布整个系统的检测,每个子系统或检测仅能检测某一个或几类入侵,而多个子系统或大量检测器的集合就能检测到大多数入侵,少量几个的失效,不会影响整个系统的检测能力[4]。
(三)基于免疫机理的入侵检测系统体系架构
根据上述所讨论的思想,现在我们提出基于免疫机理的入侵检测系统aiids[1],包括如下四个组成部分:
1.主机入侵检测子系统。
其入侵信息来源于被监控主机的日志。它由多个组成,主要监控计算机网络系统的完整保密以及可用性等方面。
2.网络入侵子系统。
其入侵信息来源于局域网的通信数据包。该数据包一般位于网络节点处,网络入侵子系统首先对数据包的ip和tcp包头进行解析,然后收集数据组件、解析包头和提取组件特征、生成抗体和组件的检测、协同和报告、优化规则、扫描攻击以及检测机遇协议漏洞的攻击和拒绝服务攻击等。
3.网络节点入侵子系统。
其入侵信息来源于网络的通信数据包,网络节点入侵子系统监控网络节点的数据包,对数据包进行解码和分析。他包括多个应用层,用来检测应用层的各种攻击。
4.控制台。
有各种信组件,包括交互组件以及通信组件,交互组件用于显示当前被检查的网络系统的各种安全状况,通信组件用于与子系统进行通信联络[5]。
关键词:无线传感器网络;入侵检测;机器学习;博弈论
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)13-3004-03
Survey on Intrusion Detection System in Wireless Sensor Networks
DUAN Xiao-yang1, MA Hui-fang2, HAN Zhi-jie1, WANG Guan-nan1
(1.School of Computer and Information Engineering Henan University, Kaifeng 475004, China; 2.Kaifeng Institute of Education, Kaifeng 475004, China)
Abstract: Recently, wireless sensor networks has an increasingly wide range of applications in intelligent environmental monitoring, disaster control, battlefield surveillance and security monitoring. It caused growing concern. So the wireless sensor network security appears particularly important. The paper firstly depicted the intrusion and intrusion detection. Then the current intrusion detection techniques in wireless sensor networks as well as their advantages and disadvantages are described and analyzed in detail by classification. Finally the paper stated the possible intrusion detection technology in wireless sensor networks.
Key words: WSN; intrusion detection; machine learning; game theory
无线传感器网络(wireless sensor network,简称WSN )的相关研究已经成为现阶段国内外研究的热点[1-4]。与目前常见的无线网络相比,无线传感器网络具有以下特征:网络的自组织性,动态变化的网络拓扑结构,分布式控制,多条无线网络,节点功能的局限性,无线网络的局限性,安全性差,数量多、规模大,数据冗余与汇聚等。
有关安全的研究和历史表明,不管在网络中采取多么先进的安全措施,攻击者总有可能找到网络系统的弱点,实施攻击。单独使用预防技术(如加密、身份认证等)难以达到预期的安全目标,这些技术可以降低网络被攻击的可能性,但是不能完全杜绝攻击,因此,安全的防御措施也是不可或缺的,入侵检测系统(IDS Instruction Detection System)是近年来出现的新型网络安全技术,它弥补了上述防范措施的不足,可以为网络安全提供实时的入侵检测及采取相应的保护。
本文主要对入侵检测系统和现阶段的入侵检测技术进行分类介绍和分析,并对比各自的优缺点,最后提出自己对无线传感器网络入侵检测技术发展的展望。
1 入侵和入侵检测
入侵行为被定义为任何试图破坏目标资源的完整性、机密性和可访问性的动作。入侵一般可简单分为外部入侵和内部入侵。Denning在1987年发表的论文中,首先对入侵检测系统模式做出定义:一般而言,入侵检测通过网络风暴或信息的收集,检测可能的入侵行为,并且能在入侵行为造成危害前及时发出报警同质系统管理员并进行相关的处理措施。为达成这个目的,入侵检测系统应包含3个必要功能的组件(信息收集、检测引擎和相应组件),如图1所示。
2 入侵检测系统的分类
1) 根据数据信息来源进行分类
基于主机的IDS(HIDS):在操作系统、应用程序或内核层次上对攻击进行检测。系统获取数据的依据是系统运行所在的主机,保护的目标也是系统运行所在的主机,通过监视和分析主机的审计记录和日志文件来检测入侵。
基于网络的IDS(NIDS):系统获取数据的来源是网络传输的原始数据包,NIDS放置在网络基础设施的关键区域,通常利用一个运行在随机模式下的网络适配器来实时监视并分析通过网络的所有通信业务,保护的目标是网路的运行。
混合型的IDS:它是基于主机和基于网络的的入侵检测系统的结合,在网络中配置NIDS以检测整个网络的安全情况,同时在那些关键的主机上配置HIDS,这可以提供比采用单一的入侵检测方案更为安全的保护。
2) 根据响应方式的不同进行分类
主动响应IDS:如果检测出入侵后,能够主动重新配置防火墙、关闭适当的服务或反击入侵者,那么就被称为主动响应。
被动响应IDS:若检测到入侵后仅仅给出警报或记录日志,就是被动响应。
3) 根据系统各个模块运行的分布式方式不同进行分类
集中式入侵检测:它有一个中心计算机负责监控、检测和响应等工作,这种适用于网络比较简单的情况下。
分布式入侵检测:他它用一个移动的方式监视和检测,每个分析点都有响应的能力。
4) 根据分析方法的不同进行分类
异常入侵检测:这种方法首先总结出正常操作应该具有的特征,在得出正常操作的模型后,对后续的操作进行监视,一旦发现偏离正常统计学意义上的操作模式,即进行报警。
误用入侵检测:这种方法首先收集非正常操作也即入侵行为的特征,建立相关的特征库,在后续的检测过程中,将收集到的数据与特征库中的特征代码相比较,得出是否入侵的结论。
混合型入侵检测:即异常检测和误用检测的结合,基于异常的入侵检测可以发现一些未知的的攻击,对具体系统的依赖性相对较小,但误报率很高,配置和实现也相对困难;基于误用的入侵检测能比较准确地检测到已经标识的入侵行为,但是对具体的系统依赖性很大,移植性差,而且不能检测到新的攻击类型。所以,只有把二者有机结合起来,才能达到最佳的系统性能,如图2是一个通用的将二者结合起来的检测方法。
3 入侵检测技术
传感器网络的资源局限性和应用相关性等特点,决定了对其入侵检测机制的研究是一个极具挑战性的课题,一个行之有效的传感器网络入侵检测系统须要具有简单性、实时性和检测准确性三个特性。下面主要介绍一下目前的无线传感器网络检入侵检测技术方法及其各自的优缺点:
1) 基于多Agent的入侵检测。
王培等在文献[5]中针对分簇式无线传感器网络提出了基于多的入侵检测方法,其系统结构如图3所示。
通过让节点和簇头分别执行不同检测任务,结合本地检测和联合检测,并采用多个模块分别实现数据收集、分析检测和入侵响应和管理的任务,以便使系统具有操作简单、易于扩展、能耗降低、安全性提高的特点。但是该方案中每个节点中都需要配备监视Agent、检测Agent、响应Agent和管理Agent,会占用节点的大量存储空间,而且也会增加节点的能源消耗。
这种方法可以减少网络负载,克服网络延迟和良好的可扩展性,高安全性,但是每个节点都有多个功能,较大的能量消耗,在其测试活动过程重叠时,准确率将大大低和较低的自适应性。
2) 基于机器学习和数据挖掘的入侵检测。
基于机器学习的入侵检测整体架构如图4所示。
文献[6]提出基于免疫遗传算法的异常检测,节点从它的邻居节点偷听信标包并提取称为抗原的关键参数,如果匹配的抗原数量比在一个探测器的寿命预先定义的阈值高时,该探测器将失效并产生一个新的探测器。反之,如果匹配的抗原数量比探测器的寿命阈值少时,探测器将触发入侵报警,对于探测器更新机制,使建议的IDS更加健壮;文献[7]针对选择性转发攻击提出了基于支持向量机的异常检测,使用SVM针对入侵数据的健壮分类方法。SVM克服传统机器学习方法大样本的缺陷,根据有限的样本信息在模型的复杂性和学习能力之间寻求最佳折衷,能获得最好的范化能力。
这种方法将异常检测作为分类或者聚类问题,借助机器学习的有效学习能力,构建具有一定精度的异常检测模型,具有较高的准确率,但是,不足之处是需要的样本量较大,训练时间长。
3) 基于网络流量分析的入侵检测
基于流量分析的入侵检测模型的基本结构如图5所示。
文献[8]采用Markov线性预测模型,为无线传感器网络设计了一种基于流量预测的拒绝服务攻击检测方案――MPDD。在该方案中,每个节点基于流量预测判断和检测异常网络流量,无需特殊的硬件支持和节点之间的合作;提出了一种报警评估机制,有效提高方案的检测准确度.减少了预测误差或信道误码所带来的误报。文献[9] 等提出了基于流量分析的入侵检测方案,通过对邻居节点的行为进行统计分析,阀值技术分析,然后应用到选定参数,即一定长度的时间窗下所接收的数据包数和数据包的间隔时间,它不需要任何额外的硬件安装和额外的通讯费用,其计算代价也比较低。
这种方法相对比较简单,直观,实时性高,但要求流量输入要具备一定的统计特性,因此不具有通用性,误报率高。
4) 基于博弈论模型的入侵检测。
基于博弈论的入侵检测系统基本模型如图6所示,分布在网络中的入侵检测器采用某种检测手段审计网络数据,检测入侵,并提交检测结果。然后博弈模型模拟攻防双方的互动行为,并权衡来自入侵检测器的检测结果和其检测效率,得出纳什均衡以辅助IDS做出合理正确的响应策略。
Mohsen Estiri等人在文献[10]中针对无线传感器网络的丢包攻击提出基于博弈论的入侵检测方案,提出了重复博弈理论模型来进行入侵检测,在该模型中,将无线传感器网络中的攻击者与入侵检测系统作为非协作、非零和的博弈双方,并利用平均折扣因子收益来显示节点在博弈当前阶段所达到的比下一阶段所得到的更有价值。而且最终系统将达到纳什均衡,形成无线传感器网络的防御策略。
这种方法方法可以帮助管理者权衡检测效率和网络资源,但是检测的人为干预是必须的,而且具有较差的系统适应能力。
5)基于信任机制的入侵检测。
Min Lin[11]等提出了基于信任模型的动态入侵检测方案,利用具有较高信任度的节点来交替地检测簇内节点,提出了非参数CUSUM的检测改进算法,报警响应也借助信任模型中的信任级划分,有效减少节点的能源消耗,减小节点的计算开销。Long Ju[12]等提出了基于加权信任机制的入侵检测方法,在系统开始就给每个传感器节点分配权重,每个周期当节点发送与其他节点不同的报告时进行更新,这样当节点的权重低于某一阈值时就被检测出是恶意检点。
这种方法具有低功耗,高安全性等优点,但当簇头节点入侵,或遇到Sybil攻击时检测精确度降低,而且其阈值设置会影响算法的精度,而且如何找到一个合适的阈值是一个棘手的问题。
4 结论
由以上分析可以看到,目前的各种异常检测技术还不能实时、准确地对各种入侵进行检测。近年来,分形理论与无线网络数据流分形特性和自相似特性为异常检测提供了新的理论基础。无线传感器网络数据流呈现出一定的分形特性,具有长相关性、具有较宽的类似白噪声的频谱特性、具有混沌吸引子等,基于此,根据网络数据流具有的分形指数(Hurst参数,分形维数、李雅普诺夫指数)可以建立客观检测模型,从而根据网络数据客观内在规律异常检测。此外,由于小波分析在信号处理中具有独特的频谱多分辨率优势,基于频谱、小波分析的异常检测被证实适合实时的异常检测,因此,研究分形理论与小波分析的无线传感器网络异常检测模型与方法将是一个新的发展方向。
参考文献:
[1] 孙利民,李建中,陈渝,朱红松.无线传感器网络[M].北京:清华大学出版社,2005.
[2] 周贤伟,覃伯平,徐福华.无线传感器网络与安全[M].北京:国防工业出版社,2007.
[3] 陈林星.无线传感器网络技术与应用[M].北京:电子工业出版社,2009.
[4] Onat I,Miri A.An intrusion detection system for wireless sensor networks[C]//Montreal,Canada:Proceedings of the IEEE International Conference on Wireless and Mobile Computing,Networking and Communications (WiMOB’05),2005:253-259.
[5] 王培,周贤伟.基于多的无线传感器网络入侵检测系统研究[J].传感技术学报,2007,20(3):677-681.
[6] Liu Yang,Yu Fengqi.Immunity-based intrusion detection for wireless sensor networks[C]//Hong Kong,China:Proc Int Jt Conf Neural Networks,2008:439-444.
[7] Tian Jingwen,Gao Meijuan,Zhou Shiru.Wireless Sensor Network for Community Intrusion Detection System Based on Classify Support Vector Machine[C]//Zhuhai,China:Proceedings of the 2009 IEEE International Conference on Information and Automation,2009:1217-1221.
[8] 韩志杰,张玮玮,陈志国.基于Markov的无线传感器网络入侵检测机制[J].计算机工程与科学,2010,32(9):27-29.
[9] Ponomarchuk Yulia. Seo Dae-Wha.Intrusion Detection Based on Traffic Analysis in Wireless Sensor Networks[C]//Shanghai,China:19th Annual Wireless and Optical Communications Conference,2010.
[10] Estiri M,Khademzadeh A.A Game-theoretical Model For Intrusion Detection In Wireless Sensor Networks[C]//Calgary,AB:Electrical and Computer Engineering (CCECE),2010 23rd Canadian Conference on,2010:1-5.
[11] Min Lin,Shi Nan.An Intrusion Detection Algorithm for Wireless Sensor Network Based on Trust Management Module[C]//Wuhan,China:Internet Technology and Applications,2010 International Conference on,2010:1-4.
摘要:本文通过对“入侵检测技术”课程的实验教学的实践、总结和研究,从“入侵检测技术”课程的特点和学生需求出发,设计和选择了该课程的一系列验证型、设计型和综合型实验内容,设计并实施了实验教学的过程,使学生在掌握课程的重要知识点的同时,增长自己的动手能力和实践能力。
关键词:入侵检测技术;实验教学;信息安全;实践能力
中图分类号:G642
文献标识码:A
1引言
目前,关于信息安全实验教学方面的书籍和论文已有相当的数量。特别是近一、二年,国内出版了近10本有关信息安全实验教程。但是,入侵检测实验内容所占篇幅很小,而且均是关于一些常见入侵检测工具的使用。这些内容对于“网络安全”或“信息安全”等综合课程中一个章节来说,应该说基本能够满足要求,但是对于“入侵检测技术”这门独立课程来说,远不能满足其要求。从国内外的有关论文来看,大多是关于信息安全实验教学研究的,比如,信息安全专门实验室的建立并在其中分组进行攻防实验;通过入侵、入侵分析和入侵检测实验项目将信息安全的研究和教育相结合的,更好地提高学生参与热情和学习效率;在不同操作系统下设计不同级别、不同类型的信息安全课程实验,并通过不同途径评价实验教学的效果;建立远程在线实验系统,允许学生在任何地点任何时候通过互联网完成信息安全的相关实验。这些内容对入侵检测的实验教学有很好的参考价值,但不能完全照搬过来。其原因如下:
(1) 教学对象不同。“入侵检测技术”课程一般面向信息安全专业的大四学生。
(2) 实验条件不同。不同的学校在实验环境和实验条件方面差异很大。
(3) 教学目标不同。在设置信息安全专业时,不同学校根据自身的条件和特点,对信息安全专业的培养目标有各自的侧重点。
(4) 课程特点不同。“入侵检测技术”课程在技术性、综合性、专业性方面特点显著。
我校第一批信息安全专业学生的入校时间是2004年。“入侵检测技术”这门课程在2007年作为大四学生必修课,共56学时,其中16学时是实验课。2008年作为大四的选修课,共40学时,其中8学时的实验课。“入侵检测技术”这门课不仅对我校,对国内其它各相关院校来说,都是一门全新的课程。在实验教学的形式、内容、资料等方面不像其它经典课程那样有较多的选择和较成熟的模式。2008年本人申请的校级入侵检测技术实验教学的教改立项获得批准,对“入侵检测技术”课程的实验教学方法和内容进行了一系列的探索和研究。本文重点讨论“入侵检测技术”这门课程的特点、从课程本身对实验教学的需求以及学生对实验教学的需求、入侵检测实验教学的设计、实验教学效果的评价和完善机制、最后提出入侵检测实验教学应当进一步研究和完善的内容。
2对实验教学的需求
“入侵检测技术”这门课程主要涉及到的重要的知识点包括:入侵检测的基本概念、入侵方法与手段、入侵检测系统数据源、基于主机的入侵检测系统、基于网络的入侵检测系统、检测引擎、告警与响应、入侵检测系统的评估、入侵检测系统的应用等。其中原理性、理论性的内容主要体现在入侵检测的原理、检测算法、评估的指标体系等。而其它更多的内容都体现在技术性、实践性和工程性方面。从入侵检测技术的“十五”和“十一五”规划教材的具体内容来看,对于高年级的信息安全专业的学生来说,学习和理解相关原理并不难,甚至通过自学也可以基本掌握。但是对于这门技术的应用和实现,却需要付出一定的努力,需要有经验的老师的悉心指导和帮助。因此,对于“入侵检测技术”这门课程,实验教学显得尤为重要。
从教师的教学效果方面来说,入侵检测技术的原理与实现涉及信息安全专业学生之前所学的若干门课程的内容,如C语言程序设计、汇编语言程序设计、数据结构、操作系统、密码学基础、网络编程、人工智能、数据挖掘、网络安全等。加强此门课程的实验教学,有助于学生对之前所学内容的进一步理解以及在信息安全专业领域内的综合应用。
从学生方面来说,对于高年级的信息安全专业学生,已经学习了许多本专业的基础课程,不仅要修计算机方面基础课程,同时还要修信息安全方面的基础课程,学生的学业负担比其它专业学生相对要重一些。一般到了大四阶段,学生对于理论性的、原理性的内容有一种疲劳感、排斥感,这时设计科学合理的实验教学对学生来说更有吸引力。此外,在这个特殊的时间段上,学生很快要面临毕业设计和求职就业,学生更愿意通过一系列实验练习来提高自己的动手能力和工程能力,以便更容易、更自然地过渡到毕业设计和实际工作阶段。因而学生从心理上更愿意接受和完成实验教学所设计的内容。
从未来工作所面临的挑战来看,对一名工科毕业生来说,其核心竞争力充分体现在三个方面:
(1) 具有工程实践所需的综合知识;
(2) 具有工程实践所需的能力;
(3) 具有工程实践所需的人文素养。
这种核心竞争力的提高应该落实到整个专业教育的实施过程中,而科学合理的实验教学对上述能力的培养起到至关重要的作用。入侵检测技术实验教学就是要让学生将已学知识在专业领域内进行综合应用、通过一系列实验增强他们的动手能力和实战能力、通过实验过程中的相互配合增强他们的协作能力和沟通能力。
3设计和实施
3.1知识点构成
图1可以清晰地表明入侵检测技术的重要知识点的构成。该图表达的含义如下:
(1) 入侵检测的概念。入侵检测是对入侵前、入侵中和入侵后三个阶段发生的入侵进行识别的过程。
(2) 入侵检测的数据源。主要包括主机数据(系统日志、审计数据、应用日志等)、网络数据(网络数据包)、其它数据(网络设备及其它安全产品的信息等)
(3) 检测方法。检测方法包括误用检测、异常检测和其它检测方法。
(4) 入侵检测系统。三维坐标系中的交点、及部分交点集合构成了不同的入侵检测系统。如基于主机的入侵检测系统、基于网络的入侵检测系统、分布式入侵检测系统。
(5) 检测功能。三维坐标系中的交点、及部分交点集合还反映出入侵检测系统的检测功能:针对入侵征兆(入侵前)的检测、针对正在进行中的入侵(入侵中)的检测、针对入侵结果(入侵后)的检测。
理清这些重要的知识点,并让学生牢记图1以及其所表达的含义,可以对实验教学效果产生良好的促进作用。同时,也会帮助教师科学合理地进行实验教学内容的选择和设计。
3.2实验内容选择和设计
为了兼顾对学生各种技能的培养,平衡实验深度和广度的关系,加大对重要知识点的覆盖范围,同时还考虑实验许可条件,共设计了三种类型的实验:验证型、设计型和综合型。所有实验均在Linux操作系统下进行, 硬件环境为个人计算机或简单的局域网。
(1) 验证型实验
验证型实验主要让学生通过对现有的软件工具,下载、安装、配置和使用,熟练掌握Linux操作系统下与入侵检测相关的应用软件的安装配置,了解和掌握相关应用软件的功能和使用。验证型实验对入侵检测主要知识点的覆盖面要更广一些。主要包括如下内容:
① 攻击实验。学生利用一些攻击类工具完成一些可能的攻击。一方面使学生了解和掌握不同的攻击的原理、攻击过程和方式,加深对入侵检测的必要性的理解;另一方面,为以后进行综合实验时建立攻击环境打下基础。学生可以分组分别实现不同类的攻击:漏洞扫描、口令破解、拒绝服务攻击、缓冲区溢出攻击、SQL Injection攻击等等。
② 基于主机的入侵检测系统实验。通过实验使学生对基于主机的入侵检测系统的数据源、功能、实现过程等相关概念有进一步的了解。熟练掌握在Linux环境下比较流行基于主机入侵检测系统的安装、配置和使用,以及它们的特点和局限。通过对Tripwire、和OSSEC等工具的应用,使学生们了解和掌握这些工具的工作原理、掌握它们的安装、配置和使用过程、验证它们检测功能、了解它们的主要优点和不足。
③ 基于网络的入侵检测系统实验
通过实验使学生对基于网络的入侵检测系统的数据源、功能、实现过程等相关概念有进一步的了解。熟练掌握在Linux环境下比较流行基于网络的入侵检测系统的安装、配置和使用,了解它们的特点和局限。通过TcpDump、Snort等的工具的应用,使学生了解和掌握它们的工作原理,掌握它们的安装、配置和使用过程、验证它们检测功能、了解它们的主要优点和不足。
(2) 设计型实验
设计型实验主要培养学生的将所学知识在专业领域内进行综合应用的能力,增强学生的动手能力、设计能力,使学生在实践中加深对课程主要知识的理解,更深入地理解和掌握入侵检测系统的实现机制和原理。
① 主机审计日志的获取和简单分析。主机审计日志数据是基于主机入侵检测系统的重要数据源,审计数据获取的质量和数量,决定了入侵检测的有效程度。通过该实验使学生了解Linux系统的日志系统和基于主机的入侵检测系统的原理。同时使学生熟悉在Linux下的C语言开发技能。
② 网络数据包的捕获及协议的简单分析。网络数据包是基于网络的入侵检测系统的重要数据源,网络数据包的捕获是基于网络的入侵检测系统实现的第一步。通过该实验,使学生了解和掌握基于Socket和Lipbcap的网络数据包的捕获方法,理解和掌握基于网络入侵检测系统的源数据的捕获、协议分析的基本原理和实现方法。
③ 检测引擎检测算法的实现。检测引擎是入侵检测系统的最核心的内容。无论是基于主机的入侵检测系统,还是基于网络的入侵检测系统,检测引擎的建立和实现都是最为重要的环节。检测引擎最重要的功能是对数据的分析,其分析算法,依据是常检测或误用检测而有所不同。对于误用检测最主要采用模式匹配技术;对于异常入侵检测,其检测算法涉及人工智能、数据挖掘、神经网络、遗传算法等。在实际教学中,这方面的内容没有要求学生必做。学生可作为一个可选课题去思考,若有兴趣可以在毕业设计阶段完成。
(3) 综合型实验
综合型实验的目的是使学生了解和掌握一个实际项目的开发和实现过程,使学生掌握从用户需求分析到一个真实系统的实现的全过程。该类型实验主要培养学生的工程能力、应用能力和综合能力。本项实验选择的内容是利用Snort及第三方软件搭建一个真实的入侵检测系统。在该项实验中,首先给出几种典型的网络应用环境:企业网应用环境、内网应用环境、校园网等应用环境。然后让学生理解和分析这些环境对入侵检测的需求;根据需求搭建一个实用的入侵检测系统;根据需求选择已有的预处理插件、检测规则;最后有针对性地完成几个相应规则的编写,并进行正确性测试。
3.3教学实施
在教学实践中,由于实验课时所限,大量的实验内容需要在课外时间完成,因此,所布置的所有作业都是实验,而且大多都是在单机或简单网络环境下就可以完成的,这种以作业形式布置的作业称为课后实验。通过多个课后的实验作业积累,最后再利用规定的实验课时,完成一个综合实验,这种大纲要求的实验称为指定实验。由此就构成了一个由简入深,由易到难,一环扣一环的实验系列,较大范围地覆盖了课程的主要内容。
所有实验,包括课后实验和指定实验,均采用学生分组的形式进行,每组3-4人。每组指定一名组长,建议组长轮流担任。对于课后实验,实验内容可选,要求各组尽量选择不同的实验内容,并且在实验过程中,相互合作,每人都做一部分工作。对于指定实验,老师提前一个月给出实验要求,让学生提前准备,由于有课后实验的积累,学生基本具备完成指定实验的基础,能充分保证规定课时的有效利用。
如何对学生所做的课后实验、指定实验给以较为合理的评判,督促每个学生的参与,促进学生间的交流,也是教学设计所要考虑的问题。对于课后实验,由于不同组所选择的内容有所不同,不好进行比较。可以掌握如下基本原则:
(1) 按要求完成实验。小组的成绩就可以得到一个基准分80分,每个组员可以得到80分。
(2) 没有完全达到实验要求,但也基本完成。小组成绩在基准80分上减10分,小组得分70分,每个组员可以得到70分。
(3) 没有达到实验要求,工作量也显著不够。小组成绩在基准80分上减20分,小组得分60分,每个组员可以得到60分。
(4) 没有提交实验结果报告,或工作量太少。小组成绩不及格。每个组员的成绩也不及格。
(5) 对于及格以上的小组,要求用3-5分钟时间简短介绍一下所做的实验情况,教师可以要求任一组员回答相关问题,小组的总体表现从0到20分。
(6) 二项分数之和为最后成绩。小组长可适当加分。
学生实验成绩评价方法参见表1。表中右边竖栏表示实验完成情况,主要通过实验报告体现。上部横栏表示答辩成绩。最终成绩由二部分成绩相加决定。
对于指定实验,基本参照上述标准评定成绩。由于每组所做的指定实验内容相同,上述第(5)项,可由老师根据实验过程和实验报告的情况,通过比较而决定。
4结论
由于入侵检测的理论和技术在不断发展、社会对信息安全人才模式需求也在不断变化,同时学生对实验教学的需求也在不断增强,入侵检测实验教学的设计和实施应该是一个动态的过程。教师要根据学生的反馈、学生的表现以及实际教学效果,不断调整实验内容、实验难度以及实验教学方法。教师要关注学生兴趣如何、学生是否努力、学生的技能是否改善、学生完成的情况等各项指标。
从实验教学的需求实验教学设计实验教学实施 学生反馈和教师总结,再返回到实验教学需求,构成了入侵检测实验教学的一个良性的闭环系统,它促进每一轮教学实践在内容和方法上不断丰富、改进和完善,使其变得更加科学、合理、可行和有效。
本文对近二年入侵检测实验教学的实践和研究做了一些总结归纳。旨在让学生通过丰富的实验来完成对入侵检测技术的理解掌握,通过一系列实验的操作练习提高学生的应用能力,通过必要的合作和交流培养学生的团队精神和沟通能力。由于所有实验均在Linux系统下进行,所有的工具软件均可以免费得到,因此有更广的适用范围。
从教学实践结果来看,学生的动手能力有所提高,部分学生在毕业设计和求职过程中自信心也有所增强。但是,从目前情况来年,入侵检测实验教学还存在许多不足有待于进一步的完善。
从实验内容上来看,在进一步丰富原有的实验方面的同时,需要扩充以下几个方面的内容:
(1) 基于Agent的入侵检测、基于更先进的智能技术入侵检测方面。
(2) 多个安全机制的协作方面。
(3) 入侵检测系统评估方面。
从实验实施方法来看,要进一步增强学生对实验内容的选择性和自主性,力图使每个学生都能在实验中有所发挥、有所提高、有所收获。
参考文献:
[1] J.M.D.Hill, C. A. Carver Jr., J. W. Humphries, et al. Using an isolated network laboratory to teach advanced networks and security[J], SIGCSE Bull., vol. 33, pp. 36-40, 2001.
[2] Lindskog, Stefan, Lindqvist, et al. IT Security Research and Education in Synergy[C]. In Proceedings of the 1st World Conference on Information Security Education, Stockholm, Sweden, 1999.
[3] Wenliang Du, Zhouxuan Teng, Ronghua Wang. SEED: a suite of instructional laboratories for computer security education [J]. SIGCSE 2007: 486-490.
[4] Hu J., Meinel C., Schmitt M. Tele-Lab IT Security: An Architecture for Interactive Lessons for Security Education [J]. SIGCSE 2004: 412-416.
[5] 陈华,章启成,周玉霞,等. 工科学生大工程意识的培养与素质拓展[J].南京工程学院学报:社会科技版,2008,8(1):36-40.
[6] 薛静锋,祝烈煌,阎慧. 入侵检测技术[M]. 北京:人民邮电出版社,2007.
Design and Research of Intrusion Detection Technology Courses Experiment Teaching
LIU Kai
(College of Information Management , Beijing Information Sci. &Tech. University, Beijing 100101, China)
论文摘要:网络的入侵取证系统是对网络防火墙合理的补充,是对系统管理员安全管理的能力的扩展,可使网络安全的基础结构得到完整性的提高。通过采集计算机网络系统的相关一系列关键点信息,并系统分析,来检测网络是否存在违反了安全策略行为及遭到袭击的现象。随着计算机的普及,有计算机引发的案件也越发频繁,该文即针对计算机基于网络动态的网络入侵取证作进一步的探讨。
计算机网络的入侵检测,是指对计算机的网络及其整体系统的时控监测,以此探查计算机是否存在违反安全原则的策略事件。目前的网络入侵检测系统,主要用于识别计算机系统及相关网络系统,或是扩大意义的识别信息系统的非法攻击,包括检测内部的合法用户非允许越权从事网络非法活动和检测外界的非法系统入侵者的试探行为或恶意攻击行为。其运动的方式也包含两种,为目标主机上的运行来检测其自身通信的信息和在一台单独机器上运行从而能检测所有的网络设备通信的信息,例如路由器、hub等。
1 计算机入侵检测与取证相关的技术
1.1 计算机入侵检测
入侵取证的技术是在不对网络的性能产生影响的前提下,对网络的攻击威胁进行防止或者减轻。一般来说,入侵检测的系统包含有数据的收集、储存、分析以及攻击响应的功能。主要是通过对计算机的网络或者系统中得到的几个关键点进行信息的收集和分析,以此来提早发现计算机网络或者系统中存在的违反安全策略行为以及被攻击迹象。相较于其他的一些产品,计算机的入侵检测系统需要更加多的智能,需要对测得数据进行分析,从而得到有用的信息。
计算机的入侵检测系统主要是对描述计算机的行为特征,并通过行为特征对行为的性质进行准确判定。根据计算机所采取的技术,入侵检测可以分为特征的检测和异常的检测;根据计算机的主机或者网络,不同的检测对象,分为基于主机和网络的入侵检测系统以及分布式的入侵检测系统;根据计算机不同的工作方式,可分为离线和在线检测系统。计算机的入侵检测就是在数以亿记的网络数据中探查到非法入侵或合法越权行为的痕迹。并对检测到的入侵过程进行分析,将该入侵过程对应的可能事件与入侵检测原则规则比较分析,最终发现入侵行为。按照入侵检测不同实现的原来,可将其分为基于特征或者行为的检测。
1.2 计算机入侵取证
在中国首届计算机的取证技术峰会上指出,计算机的入侵取证学科是计算机科学、刑事侦查学以及法学的交叉学科,但由于计算机取证学科在我国属于新起步阶段,与发达国家在技术研究方面的较量还存在很大差距,其中,计算机的电子数据的取证存在困难的局面已经对部分案件的侦破起到阻碍作用。而我国的计算机的电子数据作为可用证据的立法项目也只是刚刚起步,同样面临着计算机的电子数据取证相关技术不成熟,相关标准和方法等不足的窘境。
计算机的入侵取证工作是整个法律诉讼过程中重要的环节,此过程中涉及的不仅是计算机领域,同时还需满足法律要求。因而,取证工作必须按照一定的即成标准展开,以此确保获得电子数据的证据,目前基本需要把握以下几个原则:实时性的原则、合法性的原则、多备份的原则、全面性的原则、环境原则以及严格的管理过程。
2 基于网络动态的入侵取证系统的设计和实现
信息科技近年来得到迅猛发展,同时带来了日益严重的计算机犯罪问题,静态取证局限着传统计算机的取证技术,使得其证据的真实性、及时性及有效性等实际要求都得不到满足。为此,提出了新的取证设想,即动态取证,来实现网络动态状况下的计算机系统取证。此系统与传统取证工具不同,其在犯罪行为实际进行前和进行中开展取证工作,根本上避免取证不及时可能造成德证据链缺失。基于网络动态的取证系统有效地提高了取证工作效率,增强了数据证据时效性和完整性。
2.1 计算机的入侵取证过程
计算机取证,主要就是对计算机证据的采集,计算机证据也被称为电子证据。一般来说,电子证据是指电子化的信息数据和资料,用于证明案件的事实,它只是以数字形式在计算机系统中存在,以证明案件相关的事实数据信息,其中包括计算机数据的产生、存储、传输、记录、打印等所有反映计算机系统犯罪行为的电子证据。
就目前而言,由于计算机法律、技术等原因限制,国内外关于计算机的取证主要还是采用事后取证方式。即现在的取证工作仍将原始数据的收集过程放在犯罪事件发生后,但计算机的网络特性是许多重要数据的存储可能在数据极易丢失的存储器中;另外,黑客入侵等非法网络犯罪过程中,入侵者会将类似系统日志的重要文件修改、删除或使用反取证技术掩盖其犯罪行径。同时,2004年fbi/csi的年度计算机报告也显示,企业的内部职员是计算机安全的最大威胁,因职员位置是在入侵检测及防火墙防护的系统内的,他们不需要很高的权限更改就可以从事犯罪活动。
2.2 基于网络动态的计算机入侵取证系统设计
根据上文所提及的计算机入侵的取证缺陷及无法满足实际需要的现状,我们设计出新的网络动态状况下的计算机入侵的取证系统。此系统能够实现将取证的工作提前至犯罪活动发生之前或者进行中时,还能够同时兼顾来自于计算机内、外犯罪的活动,获得尽可能多的相关犯罪信息。基于网络动态的取证系统和传统的取证系统存在的根本差别在于取证工作的开展时机不同,基于分布式策略的动态取证系统,可获得全面、及时的证据,并且可为证据的安全性提供更加有效的保障。
此外,基于网络动态的入侵取证系统在设计初始就涉及了两个方面的取证工作。其一是攻击计算机本原系统的犯罪行为,其二是以计算机为工具的犯罪行为(或说是计算机系统越权使用的犯罪行为)。系统采集网络取证和取证两个方面涉及的这两个犯罪的电子证据,并通过加密传输的模块将采集到的电子证据传送至安全的服务器上,进行统一妥善保存,按其关键性的级别进行分类,以方便后续的分析查询活动。并对已获电子证据以分析模块进行分析并生成报告备用。通过管理控制模块完成对整个系统的统一管理,来确保系统可稳定持久的运行。
2.3 网络动态状况下的计算机入侵取证系统实现
基于网络动态计算机的入侵取证系统,主要是通过网络取证机、取证、管理控制台、安全服务器、取证分析机等部分组成。整个系统的结构取证,是以被取证机器上运行的一个长期服务的守护程序的方式来实现的。该程序将对被监测取证的机器的系统日志文件长期进行不间断采集,并配套相应得键盘操作和他类现场的证据采集。最终通过安全传输的方式将已获电子数据证据传输至远程的安全服务器,管理控制台会即刻发送指令知道操作。
网络取证机使用混杂模式的网络接口,监听所有通过的网络数据报。经协议分析,可捕获、汇总并存储潜在证据的数据报。并同时添加“蜜罐”系统,发现攻击行为便即可转移进行持续的证据获取。安全服务器是构建了一个开放必要服务器的系统进行取证并以网络取证机将获取的电子证据进行统一保存。并通过加密及数字签名等技术保证已获证据的安全性、一致性和有效性。而取证分析机是使用数据挖掘的技术深入分析安全服务器所保存的各关键类别的电子证据,以此获取犯罪活动的相关信息及直接证据,并同时生成报告提交法庭。管理控制台为安全服务器及取证提供认证,以此来管理系统各个部分的运行。
基于网络动态的计算机入侵取证系统,不仅涉及本网络所涵盖的计算机的目前犯罪行为及传统计算机的外部网络的犯罪行为,同时也获取网络内部的、将计算机系统作为犯罪工具或越权滥用等犯罪行为的证据。即取证入侵系统从功能上开始可以兼顾内外部两方面。基于网络动态的计算机入侵取证系统,分为证据获取、传输、存储、分析、管理等五大模块。通过各个模块间相互紧密协作,真正良好实现网络动态的计算机入侵取证系统。
3 结束语
随着信息科学技术的迅猛发展,给人们的生活和工作方式都带来了巨大的变化,也给犯罪活动提供了更广阔的空间和各种新手段。而基于网络动态的计算机入侵取证系统,则通过解决传统计算机的入侵取证系统瓶颈技术的完善,在犯罪活动发生前或进行中便展开电子取证工作,有效弥补了计算机网络犯罪案件中存在的因事后取证导致的证据链不足或缺失。全面捕获证据,安全传输至远程安全服务器并统一妥善保存,且最终分析获得结论以报告的形式用于法律诉讼中。但是作为一门新兴的学科,关于计算机取证的具体标准及相关流程尚未完善,取证工作因涉及学科多且涵盖技术项目广,仍需不断的深入研究。
参考文献:
[1] 魏士靖.计算机网络取证分析系统[d].无锡:江南大学,2006.
[2] 李晓秋.基于特征的高性能网络入侵检测系统[d].郑州:中国信息工程大学,2003.
[3] 史光坤.基于网络的动态计算机取证系统设计与实现[d].长春:吉林大学,2007.