互联网安全--浅谈入侵检测技术
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
浅谈入侵检测技术
姓名:
学号:
学院:
课程:
教师:
浅谈入侵检测技术
1 课题意义
互联网技术的飞速发展,迎来了一个信息化的时代,21世纪,互联网技术已经深深融入到人们的工作、生活、娱乐、思维等各个方面。
如今,互联网为人们提供的服务越来越多,和人们日常生活联系得越来越紧密,人们也享受着由此带来的便捷生活。
与此同时,由于互联网本身的开放性以及互联网产品一些未知的漏洞,网络安全问题日益突出,威胁网络安全的手段也层出不穷。
因此,如何有效保证互联网安全已成为了一项关键而重要的任务。
加强入侵检测技术在计算机网络安全维护中的应用探究,发现其中的问题,制定相关的对策,能够有效提升计算机网络安全维护效率和质量,确保在计算机网络安全维护中入侵检测技术的有效应用,推动计算机网络安全维护可持续发展。
1.1 概述
入侵检测技术主要是根据计算机网络或计算机系统中的关键数据、重要文件进行收集,并且基于这些数据的基础上,进行分析,对一些可能危害到系统的能用性、整体性和安全性的方式进行隔绝和报警。
面对计算机的不正常运行状态,入侵检测技术能够对计算机内部和外部的意外攻击进行及时防御,并且降低甚至避免其对计算机造成的扰乱。
入侵检测技术还能在计算机受到意外攻击后,弥补防火墙不足的缺陷,对计算机做到更深层次的保护。
因此,计算机网络安全的入侵检测技术也可以看做是防火墙的补充。
1.2 起源
20世纪70年代开始,计算机及网络的安全问题得研究便已开始,早期主要采用审计跟踪技术来检测入侵行为。
直到1980年4月,James P.Anderson在为美国空军做的一份题为Computer Security Threat Monitoring and Surveillance 的技术报告中才首次提出入侵检测的概念。
在这份报告中,James P.Anderson提出了一种对计算机系统风险和威胁的分类方法,将威胁分为外部渗透、内部渗透和不法行为三种,还提出了利用审计跟中数据见识入侵行为的思想,从此人们开始了入侵检测技术的研究。
1.3 国内外发展现状
近几年来,随着人们对信息安全的认识不断提升,信息安全问题越来越引起人们的重视,入侵检测系统的市场更是飞速发展,许多公司投入到这一领域,推出自己的产品。
国外的企业及其产品有:Sourcefire公司(现被Barracuda Networks INC公司收购)的Snort、ISS(Internet Security System)的RealSecure、Cisco公司的Secure IDS(前身为NetRanger)、Axent Technologies 公司(现被Symantec收购)的Netprowler/Intruder Alert、CA公司的CyberCop Monitor等。
国内在入侵检测研究方面虽然起步较晚,但发展很快,目前在公安部取得销售许可证的安全厂商已有30余家,主要的企业及其产品有:启明星辰(VenusTech)的天阗、北方计算中心的NIDS detector、远东科技的黑客煞星、金诺网安的KIDS、绿盟的冰之眼IDS等。
2 入侵检测技术在网络安全维护中的应用
入侵检侧技术在计算机网络安全维护中,主要是起到监控、检测、分析、跟踪和预警的作用,通过监控用户的网络活动,检侧网络中的数据,分析用户是否遭到攻击,或是否存在违反网络安全策略的行为。
如果用户属于攻击对象,那么向用户提供安全预警,关闭重要性的文件档案;如果用户是非法入侵,那么解除用户的权限,对用户的操作进行跟踪,寻找攻击数据的特征。
2.1 收集信息
数据在入侵检侧技术中必不可少,数据源主要有4个:其一,系统和网络的日志;其二,
目录和文件中的不期望的改变;其三,程序执行中的不期望行为,其四,物理形式的入侵信息。
在采集数据的过程中,要尽量扩大信息的来源范围,确保信息的全面,真实,还应对来源于不同数据源的数据进行仔细比对,将异常数据单独隔离解决。
2.2 分析信息
收集完信息之后,就应当对信息进行分析,主要采用两种模式,就是模式匹配和异常发现分析模式,对违反安全策略的行为进行识别,传给管理器。
因此,入侵检侧技术的设计者应该仔细研究各种网络协议和系统漏洞等,从而提出合理科学的安全规则,相应的建立检侧模式,使得服务器能够自己分析,对攻击行为进行识别和定性,通过分析之后将警告发给控制器。
2.3 信息响应
入侵检侧技术系统主要就是对攻击行为作出合适的反应。
首先通过对数据进行分析,检测本地网络是否异常,把数据包内部的恶意入侵搜查出来,及时做好反应。
包括网络引擎进行告知、查看实时进行的会话活动,将信息通报给其他控制台,对现场的日志进行记录,发现异常终止入侵连接等。
2.4 入侵检测技术结合防火墙应用
防火墙的强大功能是毋庸置疑的,这造成了一般的网络入侵都自动避开了防火墙,防火墙发挥的功能因而受到了极大的限制。
将入侵检侧技术和防火墙结合使用,使二者之间达到互补平衡,不仅防火墙能够充分发挥安全防护作用,入侵检侧技术也能得到有效的应用。
具体做法是:在防火墙上开通一个专属通道,将入侵检侧系统接入到防火墙上,当发现非法入侵时,会及时向防火墙预警,将整个网络都隔离开来,避免计算机系统遭到破坏。
还可以让防火墙主动过滤信息,将存在异常的信息交由入侵检测系统实施全面的检测,这样设计有助于完善计算机网络安全防护系统,大幅度提高网络的安全系数。
3 入侵检测技术分类
IDS(Intrusion Detection Systems入侵检测系统)的优劣主要取决于入侵检测技术的好坏,因此入侵检测技术直接关系到整个IDS的检测效率、误报率及检测效果等性能指标。
根据不同的入侵检测技术分析方法,入侵检测可分为异常检测(Anomaly Detection)、误用检测(Misuse Detection)两类。
3.1 异常检测
是建立在入侵活动和正常活动不同的基础上的。
根据这一理念,首先建立基于正常网络事件的状态模型,该模型可以自动更新,然后将用户当前的网络数据流特征与该模型进行比较分析,当发现当前行为与模型的差异达到一定阈值的时候就发出入侵警报。
因此,异常检测对未知的入侵攻击很容易发现。
优点:可以检测未知的入侵类型,不受已知入侵类型的限制
缺点:但是对于某些特定情况下发生的,超出正常特征模型所定义的正常网络行为,也会发出报警,所以,异常检测误检率较高。
另外,由于异常检测算法较为复杂,对时间复杂度和空间复杂度的要求较高,使得异常检测系统的实现较为复杂。
目前,专家们正通过设计、改进异常检测算法来降低异常检测系统复杂程度。
3.2 误用检测
误用检测,是建立在已知的入侵活动样本的基础上的。
通过江预处理的数据包与已知的入侵规则库比较,进行判断是否存在入侵行为。
优点:是误报率低,检测速度快。
缺点:是只能对已知的入侵行为进行检测,不能检测出新型的入侵行为。
4 入侵检测技术的问题分析
4.1 入侵检测技术尚不成熟
由于我国计算机网络技术起步较晚,网络安全的入侵检测技术也还不成熟,面对计算机被入侵时较复杂的问题上,不能对网络安全的威胁因素做到彻底的清除和解决。
只能做到对计算机网络系统进行部分检测和分析,对于在同一网段的计算机网络系统不能进行全方面、有效的检测,这样就凸显出计算机网络安全的检测技术具有相当大的局限性和不完整性。
4.2 入侵检测技术可采用的方式单一
计算机网络安全的入侵检测技术,除了存在技术水平不够成熟的问题之外,还面临着检测方法较为单一的不足之处。
目前而言,计算机网络安全的入侵检测技术主要采用特征检测方法,检测范围主要是较为简单的网络入侵行为,并且能做出很好的防御和解决。
面对一些较为复杂的网络安全入侵行为,这一检测技术就不能采取更合适的防御措施和解决办法,往往需要经过大量的时间和精力计算,才能检测出计算机存在的问题,同时,计算产生的大量数据,会大大降低计算机网络安全检测技术的效率,因而不能全面保证计算机网络环境的安全性。
4.3 入侵检测技术加密处理不到位
在计算机受到网络安全的威胁后,检测技术并不能保证计算机网络的安全性和隐私性,检测技术加密处理工作不够到位。
入侵检测系统自身无法完成对计算机系统的全面检测,必须通过计算机内部的防火墙的联合机制才能更好地王城入侵检测,这样便会对计算机内部网络网络数据造成一定的暴露,不能对其做到科学全面的加密处理,在一定程度上对用户的个人隐私造成威胁。
5 入侵检测技术的进步趋势
5.1 入侵检测技术的智能化
目前,研发高效的IDS的关键在于如何降低系统的误报率,提升分类的精准度。
近年来,有许多较为有效的智能化的检测技术应用到入侵检测领域当中,使入侵检测系统在检测效率和性能上都有很大的提升。
其中,人工神经网络、遗传算法、人工免疫系统是典型的智能化入侵检测技术。
5.1.1 人工神经网络
人工神经网络是指试图模仿大脑的神经元之间传递、处理信息的模式而建立的一种计算模型。
它通过接受训练,不断的获取并积累知识,进而具有一定的判断和预测能力。
可以将人工神经网络用于入侵检测,首先是因为神经网络具有自学习、自适应的能力。
其次是人工神经网络具有很好的容错能力。
此外,人工神经网将信息分布式存储在所有的神经元的连接权中,而不是只存储在网络的某一部分中,使得人工神经网络具有分布式存储和并行计算的能力。
5.1.2 遗传算法
遗传算法抽象于生物体的进化过程,基于自然选择中适者生存、优胜劣汰原理而建立的,用于解决最优化的搜索算法。
将遗传算法用于入侵检测,主要是因为基于遗传算法的入侵检测系统是一种基于自我学习的入侵检测系统,它可以模拟自然进化的过程,使特征库中的初始特征值进化发展,动态更新入侵检测特征库,从而得到针对特定检测环境的最优特征集合。
5.1.3 人工免疫系统
人工免疫系统是从生物免疫系统的运行机制中模仿而来的,它借鉴了一些生物免疫系统的功能、原理和模型。
生物学中的免疫系统可以通过对自我和非自我的识别达到清除非自我细胞的能力,入侵检测系统中的入侵检测与免疫系统发现非自我的识别能力非常相似,因此将生物学中的免疫判断机制引入到网络入侵检测中。
5.2 技术改进方向
5.2.1 分布式检测架构
一般的入侵检测系统仅仅采用主机或者网络其中一种构架,对于不同结构的系统或者是不同结构的网络的检测能力会显著下降,另外,不一样的检测系统之间的协调能力存在很大的差距。
5.2.2在应用层上的应用
目前很多入侵检测系统不能在应用层上发挥作用,随着技术的不断进步,未来将会出现符合实际需求的在应用层使用的IDS系统。
5.2.3数据融合技术
高度集成的功能更强大的入侵检测系统将会随着网络的不断发展在今后出现。
系统的虚警率太高。
其次,目前的技术还不能对付练习有素的黑客的复杂的攻击。
数据融合技术是解决这一系列新问题的好方法,入侵检测系统能够和防火墙、电子商务技术病毒防护等多种技术结合在一起,对网络安全提供完整的网络维护。
6 个人心得
由于随着网络技术的不断发展,网络安全的形势不断恶化,较之前传统的基于防火墙、加密技术的网络维护虽然应用广泛,但仅依靠这些传统技术已经远远不够了。
要从根本上改善网络安全状况,确保网络的安全运行,就必须要广泛应用入侵检测系统。
IDS目前已经变成计算机安全策略中的核心技术之一,未来将变成计算机安全策略中最重要的核心技术之一。
IDS是一种基于主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护。
随着网络通信技术平安性的要求越来越高,入侵检测技术必将受到人们的越来越高度重视。
通过这次课程报告的完成过程,我了解到,计算机网络系统的安全防范工作是一个极为复杂的系统工程,是一个安全管理和技术防范相结合的工程。
目前许多常规的安全机制都有局限性,例如防火墙的局限性为防火墙像一道门,可以阻止一类人群的进入,但无法阻止同一类人群中的破坏分子,不能阻止内部的破坏分子;入侵检测技术的应用为网络系统提供了针对内部、外部攻击等方面实时的、主动的防御,在一定程度上保证了网络系统的安全。
通过这次学习,得以了解到了入侵检测技术的原理、技术分类和应用,同时认识到了互联网安全中入侵检测的重要性。
参考文献:
[1]祁远明.浅谈基于高校入侵检测方案的有效应用[J].刊名消费电子,2012.
[2]赵东,郝小艳.计算机网络安全问题及防范措施[J].科技市场经济,2016(2):18.
[3]刘皓.网络系统防范措施[J].网络安全技术与应用,2016(3):12,14.
[4]崔颖.探究网络安全技术于网络安全运维中的应用[J].网络安全技术与应用,2016(3):17-18.
云教育,2014.
[5]刘彦荣.浅谈计算机网络安全的入侵检测技术[J].网友世界。