入侵检测论文范文

时间:2023-02-27 11:09:44

引言:寻求写作上的突破?我们特意为您精选了12篇入侵检测论文范文,希望这些范文能够成为您写作时的参考,帮助您的文章更加丰富和深入。

入侵检测论文

篇1

光纤传感包含对外界信号(被测量)的感知和传输两种功能。所谓感知(或敏感),是指外界信号按照其变化规律使光纤中传输的光波的物理特征参量(如强度、波长、频率、相位和偏振态等)发生变化后,测量光参量的变化。这种“感知”实质上是外界信号对光纤中传播的光波实施调制。根据被外界信号调制的光波的物理特征参量的变化情况,可以将光波的调制分为光强度调制、光频率调制、光波长调制以及光相位和偏振调制等五种类型。外界扰动(如振动、弯曲、挤压等情况)对光纤中光通量的影响属于功能型光强调制。对微弯曲的检测一般采用周期微弯检测方法,需要借用传感板人为地使光纤周期性弯曲,从而使光强得到调制,一般用来检测微小位移,可以作成工业压力传感器,其精度较高,设计也比较复杂。而光纤扰动入侵检测的目的是检测入侵,不需要很高的精度,因为高精度反而容易产生误报警,因此不能采用上述方法。本文提出一种利用不同入侵对象(如人、风等)的扰动调制频率的范围不同,采用一般多模光纤,在后续电路采用带通滤波器进行带通放大,滤出入侵扰动信号的调制频率,有效实现入侵检测的方法。根据对入侵对象及入侵频率的分析,对0.1~30Hz的带通滤波器电路进行了设计与仿真,有效滤除了电源纹波、温度漂移的影响,并设计了扰动检测系统。在实际应用中,将该入侵检测系统安装在某区域或特殊物体上,如篱笆或需检测对象上,能够有效地检测入侵、篡改、替换等非授权活动。

1扰动原理

1.1光纤特性

光纤是由折射率不同的石英材料组成的细圆柱体。圆柱体的内层称为纤芯,外层称为包层,光线(或光信号)在纤芯内进行传输。设纤芯的折射率为n1,包层的折射率为n2,要使光线只在纤芯内传输而不致通过包层逸出,必须在纤芯与包层的界面处形成全反射的条件,即满足n1>n2。

光纤除了折射率参数外还有其它参数,如相对折射率、数值孔径N·A、衰减、模式(单模、多模)等。对于本系统,衰减参数比较重要,在光纤中峰值强度(光功率)为I0的光脉冲从左端注入光纤纤芯,光沿着光纤传播时,其强度按指数规律递减,即:

I(z)=I0e-αZ(1)

其中,I0——进入光纤纤芯(Z=0处)的初始光强;

Z——沿光纤的纵向距离;

α——光强衰减系数。

光功率在光纤的衰减情况如图1所示。光纤衰减率的定义为:光在光纤中每传播1km,光强所损耗的分贝数。即:

衰减率=-10lg(I/I0)db/km)(2)

光纤的衰减率只与衰减系数有关,引起光衰减的原因很多,如材料的吸收、弯曲损耗和散射损耗等,光纤扰动入侵检测主要是利用不同外界扰动对光纤的微扰损耗而产生的不同强度调制频率来探测扰动入侵的。

1.2微扰损耗

光纤中的微扰损耗是指由光纤的几何不均匀性引起的损耗,其中包括由内部因素和外部干扰引起的不均匀性,如宏观结构上折射率和直径的不均匀性、微弯曲等。根据光纤传输理论,这种不均匀性引起的损耗或以散射形式出现,或以模式耦合的形式出现。模式耦合是指光纤的传导模之间、传导模与辐射模之间的能量交换或能量传递。这就意味着通过光纤的光会受到衰减。一般情况下,制造和使用光纤时要减小和避免这些损耗,但是光纤扰动入侵检测主要是利用这些耗损对光的衰减来探测入侵的存在,因此研究这些耗损,特别是微弯损耗是比较重要的。微弯损耗是由模式间的机械感应耦合引起的。光纤中的传导模变换成包层模,并从纤芯中消失。当沿光纤的机械微扰的空间周期与光纤内相邻的模式的波数差一致时,这种损耗就增加。近似的实验关系如下:

光纤微弯曲损耗∝(纤芯半径/光纤半径)2·(2/N·A)4(3)

其中,N·A为光纤的数值孔径,当光从空气入射到光纤端面时,只有入射方向处于某一光锥内的光线在进入光纤之后才能留在纤芯内,而从光锥外入射的光线即使进入光纤,也会从包层逸出。这个光锥半角的正弦称为光纤的数值孔径。

1.3LED光源特性

图4带通滤波器仿真电路图

LED光源的光学特性主要有波长、线宽、输出功率、光纤耦合等。LED的中心发射波长λ取决于半导体材料的能隙Eg,其公式为:

λ=hc/Eg≈1.24/Eg(μm)(4)

其中?熏h为普朗克常数,c为光速。LED的线宽一般为其中心波长的5%量极,因为增益的选择性会使线宽变窄。制造LED的常用材料如表1所示。

表1制造LED的常用材料列表

材料发射波长/nm光谱

GaP700红

GaAlAs650~850红至近红外

GaAs900近红外

InGaAs1200~1700近红外

850nm波长的LED输出功率通常在1~10mW范围内,波长小于850nm的器件,其可用功率显著减小。所有LED的输出功率及波长都随温度变化,在850nm时,输出功率和波长的典型温度系数分别为0.5%C-1和0.3nmC-1,因此热稳定度对于光纤扰动入侵检测是需要考虑的因素。

2硬件技术方案

光纤扰动入侵检测系统原理框图如图2所示。系统主要包括:载频信号源电路、LED光源、PIN光电探测器、光纤、扰动入侵检测、报警传输接口电路等。

2.1传感电路的设计

载频信号源电路的目的是为增加LED的发射功率,同时在接收端对缓变LED光电流实现检测。光电发射与接收电路由LED光源、光纤、PIN光电探测器等三个部分组成,组成传感单元,如图3所示。LED采用美国安捷伦(Agilent)公司的HFBR0400系列低功耗、高效LED,其型号为HFBR-1424,发射光波波长为850nm,125MHz带宽,截止频率为35MHz,输出光功率为50~100μW。光纤传输长度为4km,工作温度范围为-40℃~85℃,适合与50/125μm、62.5/125μm、100/140μm等光纤耦合。目前光纤通信中普遍使用PIN二极管进行光检测,将光信号转变为电流信号,但因电流信号很弱,仅有pA级,故很难将其有效地转换为伏级电压以供后继电路进行信号处理使用;以前通常采用价格昂贵的高性能运算放大器构成放大电路,但实验结果不很理想,且容易受到外界电磁干扰的影响;为克服这些缺点,采用美国安捷伦公司生产的HFBR2416,它是将PIN光检测器和前置放大器集成在一起的新型光接插器件。HFBR2416主要特点如下:(1)将PIN光检测器与前置放大器集成在一起,可直接输出较大的电压信号;(2)只需少量外部元件便可构成高性能的光接收电路,典型带宽高达125MHz;(3)可用于模拟和数字光通信系统,抗干扰性能好;(4)与HFBR0400系列其它产品兼容,符合国际工业标准,适用性好;(5)具有多种封装形式,体积小、重量轻;(6)价格便宜。其具体技术参数如表2所示。

表2HFBR2416技术参数表

参数符合最小值最大值一般值单位注释

电源电压Voc-0.56.0V

输出电压Vsig-0.5VccV

输出阻抗Zo30Ωf=50MHz

响应度RP5.39.67mV/μs波长850,50MH

上升/下降时间Tr/tf6.33.3nsRp=100μW,peak

脉宽失真PWD2.50.4nsRp=100μW,peak

带通BW125MHz

篇2

1引言

计算机网络在我们的日常生活中扮演着越来越重要的角色,与此同时,出于各种目的,它正日益成为犯罪分子攻击的目标,黑客们试图使用他们所能找到的方法侵入他人的系统。为此,我们必须采取有效地对策以阻止这类犯罪发生。开发具有严格审计机制的安全操作系统是一种可行方案,然而综合考虑其实现代价,在许多问题上作出少许让步以换取减少系统实现的难度却又是必要的。因此,在操作系统之上,再加一层专门用于安全防范的应用系统成为人们追求的目标。入侵检测技术即是这样一种技术,它和其它安全技术一道构成计算机系统安全防线的重要组成部分。自从DorothyE.Denning1987年提出入侵检测的理论模型后[1],关于入侵检测的研究方法就层出不穷[5-7],基于不同检测对象及不同检测原理的入侵检测系统被研制并投放市场,取得了显著成效,然而,遗憾的是这些产品自成一体,相互间缺少信息交流与协作,而作为防范入侵的技术产品,这势必削弱了它们的防范能力,因而如何使不同的入侵检测系统构件能够有效地交流合作,共享它们的检测结果是当前亟待解决的一个问题。入侵检测系统框架的标准化,数据格式的标准化[2]为解决这一问题作了一个有益的尝试。本文主要针对入侵检测数据格式的标准化——通用入侵检测对象进行分析应用,并通过一个实际例子介绍了我们的具体实践过程。

入侵检测是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图”[2-4]。从技术上划分,入侵检测有两种模型[2,4]:①异常检测模型(AnomalyDetection);②误用检测模型(MisuseDetection)。按照检测对象划分有:基于主机、基于网络及混合型三种。

入侵检测过程主要有三个部分[4]:即信息收集、信息分析和结果处理。

2通用入侵检测对象(GIDO)

为解决入侵检测系统之间的互操作性,国际上的一些研究组织开展了标准化工作,目前对IDS进行标准化工作的有两个组织:IETF的IntrusionDetectionWorkingGroup(IDWG)和CommonIntrusionDetectionFramework(CIDF)。CIDF早期由美国国防部高级研究计划局赞助研究,现在由CIDF工作组负责,是一个开放组织。CIDF规定了一个入侵检测系统应包括的基本组件。CISL(CommonIntrusionSpecificationLanguage,通用入侵规范语言)是CIDF组件间彼此通信的语言。由于CIDF就是对协议和接口标准化的尝试,因此CISL就是对入侵检测研究的语言进行标准化的尝试[8]。

CISL语言为了实现自定义功能,以S-表达式表示GIDO(GeneralizedIntrusionDetectionObjectis),S-表达式以各类语义标识符(SemanticIdentifeers)为标记,分别有动作SID、角色SID、属性SID、原子SID、连接SID、指示SID和SID扩展名等类型。其范式如下:

<SExpression>::=’(<SID><Data>’)’

<Data>::=<SimpleAtom>

<Data>::=<ArrayAtom>

<Data>::=<SExpressionList>

<SExpressionList>::=<SExpression>

<SExpressionList>::=<SExpression><SExpressionList>

入侵检测组件交流信息时,以GIDO为标准数据格式传输内容,GIDO所包含的内容常来自于各类审计日志,网络数据包,应用程序的跟踪信息等。

CISL对S-表达式编码规则遵循递归原则,具体如下:

<SExpression>::=’(<SID><Data>’)’

E[Sexpression]=length_encode(sid_encode(SID)E[Data])

sid_encode(SID)E[Data]

<Data>::=<SimpleAtom>

E[Data]=Simple_encode(SimpleAtom)

<Data>::=<ArrayAtom>

E[Data]=Array_encode(ArrayAtom)

<Data>::=<SExpressionList>

E[Data]=E[SExpressionList]

<SExpressionList>::=<SExpression>

E[SExpressionList]::=E[SExpression]

<SExpressionList>::=<SExpression><SExpressionList>

E[SExpressionList]::=E[SExpression]e[SExpressionList]

对于每一个GIDO的基本成份SID,CISL都有规定的编码,通过这些编码本身的信息可知这些SID是原子SID还是非原子SID。原子SID在编码中不能继续分解,而是直接带有具体的值。值有简单类型和数组类型[8]。

GIDO以各类SID为标志,组成树形结构,根结点为该GIDO的标志SID,各子树的根结点为相应的对该GIDO所描述的事件起关键作用的SID。编码时,每棵子树的根结点前附加该子树所有孩子结点编码的总长度,以递归方式完成GIDO编码,一个详细的实例可参考文献[8]。3通用入侵检测对象的应用

我们以Linux环境为例,在检测口令猜测攻击中,系统的日志文件会产生以LOGIN_FAILED为标志的日志记录[9-10]。在IDS的事件产生器中,读取日志文件中含有LOGIN_FAILED的记录生成GIDO。

例:Jul3108:57:45zd213login[1344]LOGIN_FAILED1from192.168.0.211FORJohnAuthenticationfailure。相应的GIDO为:

{Login

{Outcome

{ReturnCodeACTION_FAILED}

)

(When

(BeginTimeJul3108:57:43)

)

(Initiator

(IPV4Address192.168.0.211)

(UsernameJohn)

)

(Receiver

(Hostnamezd213)

))

其编码过程除了遵循前面所描述的规则外,还使用了文献[2]所建议的各类API。它们分别用于生成存放GIDO的空树、向空树附加根结点、附加数据、附加子树及对整个树编码。

当一个GIDO由事件产生器完成编码后,便发送至事件分析器按一定的规则分析所接收的GIDOs以便确定是否有入侵发生,若有则将有关信息发至控制台。对口令猜测攻击的GIDO,一个可行的处理流程如图1所示。

假定系统检测到30秒内发生了三次或以上登录失败,认为系统受到入侵,便发出相应报警信息。则本例输出结果(从不同终端登录)如图2所示。

图1对口令猜测攻击事件产生的GIDO的处理流程

图2一个口令猜测攻击的模拟检测结果

4结束语

本文在深入分析入侵检测基本原理及入侵检测说明语言CISL基础上,对入侵检测对象GIDO的编码进行了详细说明。在系统设计的实践过程中,分别使用了入侵检测标准化组织提出的草案中包含的有关接口。但在本文中也只是针对一类特定入侵的事件说明如何生成并编码GIDOs。事实上,入侵检测系统各构件之间的通信本身也需要安全保障,这一点参考文献[8],可利用GIDO的附加部分来实现,其中所用技术(诸如签名,加密等)可借鉴目前一些较成熟的安全通信技术。

参考文献

[1]DorothyE.DenningAnIntrusion-DetectionModel[J].IEEETransactionsonsoftwareEngineering,1987,13(2):222-232

[2]蒋建春,马恒太等网络入侵检测综述[J].软件学报2000.11(11):1460-1466

[3]GB/T18336,信息技术安全技术安全性评估标准[S]。

[4]蒋建春,冯登国。网络入侵检测原理与技术[M],国防工业出版社,北京,2001

[5]KumarS,SpaffordEH,AnApplicationofPatterMatchinginIntrusionDetection[R],TechnicalReportCSD-7r-94-013,DepartmentofComputerScience,PurdueUniversity,1994。

[6]JstinDoak.IntrusionDetection:TheApplicationofaFeatureSelection-AComparisonofAlgorithmsandtheApplicationofWideAreaNetworkAnalyzer[R].DepartmentofComputerScience,Universityofcolifornia,Davis1992.

[7]DusanBulatovic,DusanVelasevi.AdistributedIntrusionDetectionSystem[J],JournalofcomputerSecurity.1999,1740:219-118

篇3

1引言

入侵检测技术是继“防火墙”、“数据加密”等传统安全保护措施后新一代的安全保障技术,它对计算机和

网络资源上的恶意使用行为进行识别和响应,不仅检测来自外部的入侵行为,同时也监督内部用户的未授权活动。但是随着网络入侵技术的发展和变化以及网络运用的不断深入,现有入侵检测系统暴露出了诸多的问题。特别是由于网络流量增加、新安全漏洞未更新规则库和特殊隧道及后门等原因造成的漏报问题和IDS攻击以及网络数据特征匹配的不合理特性等原因造成的误报问题,导致IDS对攻击行为反应迟缓,增加安全管理人员的工作负担,严重影响了IDS发挥实际的作用。

本文针对现有入侵监测系统误报率和漏报率较高的问题,对几种降低IDS误报率和漏报率的方法进行研究。通过将这几种方法相互结合,能有效提高入侵检测系统的运行效率并能大大简化安全管理员的工作,从而保证网络

安全的运行。

2入侵检测系统

入侵是对信息系统的非授权访问及(或)未经许可在信息系统中进行操作,威胁计算机或网络的安全机制(包括机密性、完整性、可用性)的行为。入侵可能是来自外界对攻击者对系统的非法访问,也可能是系统的授权用户对未授权的内容进行非法访问,入侵检测就是对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程。入侵检测系统IDS(IntrusionDetectionSystem)是从多种计算机系统机及网络中收集信息,再通过这些信息分析入侵特征的网络安全系统。

现在的IDS产品使用的检测方法主要是误用检测和异常检测。误用检测是对不正常的行为进行建模,这些行为就是以前记录下来的确认了的误用或攻击。目前误用检测的方法主要是模式匹配,即将每一个已知的攻击事件定义为一个独立的特征,这样对入侵行为的检测就成为对特征的匹配搜索,如果和已知的入侵特征匹配,就认为是攻击。异常检测是对正常的行为建模,所有不符合这个模型的事件就被怀疑为攻击。现在异常检测的主要方法是统计模型,它通过设置极限阈值等方法,将检测数据与已有的正常行为比较,如果超出极限阈值,就认为是入侵行为。

入侵检测性能的关键参数包括:(1)误报:实际无害的事件却被IDS检测为攻击事件。(2)漏报:攻击事件未被IDS检测到或被分析人员认为是无害的。

3降低IDS误报率方法研究

3.1智能关联

智能关联是将企业相关系统的信息(如主机特征信息)与网络IDS检测结构相融合,从而减少误报。如系统的脆弱性信息需要包括特定的操作系统(OS)以及主机上运行的服务。当IDS使用智能关联时,它可以参考目标主机上存在的、与脆弱性相关的所有告警信息。如果目标主机不存在某个攻击可以利用的漏洞,IDS将抑制告警的产生。

智能关联包括主动和被动关联。主动关联是通过扫描确定主机漏洞;被动关联是借助操作系统的指纹识别技术,即通过分析IP、TCP报头信息识别主机上的操作系统。

3.1.1被动指纹识别技术的工作原理

被动指纹识别技术的实质是匹配分析法。匹配双方一个是来自源主机数据流中的TCP、IP报头信息,另一个是特征数据库中的目标主机信息,通过将两者做匹配来识别源主机发送的数据流中是否含有恶意信息。通常比较的报头信息包括窗口(WINDOWSIZE)、数据报存活期(TTL)、DF(dontfragment)标志以及数据报长(Totallength)。

窗口大小(wsize)指输入数据缓冲区大小,它在TCP会话的初始阶段由OS设定。数据报存活期指数据报在被丢弃前经过的跳数(hop);不同的TTL值可以代表不同的操作系统(OS),TTL=64,OS=UNIX;TTL=12,OS=Windows。DF字段通常设为默认值,而OpenBSD不对它进行设置。数据报长是IP报头和负载(Payload)长度之和。在SYN和SYNACK数据报中,不同的数据报长代表不同的操作系统,60代表Linux、44代表Solaris、48代表Windows2000。

IDS将上述参数合理组合作为主机特征库中的特征(称为指纹)来识别不同的操作系统。如TTL=64,初步判断OS=Linux/OpenBSD;如果再给定wsize的值就可以区分是Linux还是OpenBSD。因此,(TTL,wsize)就可以作为特征库中的一个特征信息。3.1.2被动指纹识别技术工作流程

具有指纹识别技术的IDS系统通过收集目标主机信息,判断主机是否易受到针对某种漏洞的攻击,从而降低误报率。

因此当IDS检测到攻击数据包时,首先查看主机信息表,判断目标主机是否存在该攻击可利用的漏洞;如果不存在该漏洞,IDS将抑制告警的产生,但要记录关于该漏洞的告警信息作为追究法律责任的依据。这种做法能够使安全管理员专心处理由于系统漏洞产生的告警。

3.2告警泛滥抑制

IDS产品使用告警泛滥抑制技术可以降低误报率。在利用漏洞的攻击势头逐渐变强之时,IDS短时间内会产生大量的告警信息;而IDS传感器却要对同一攻击重复记录,尤其是蠕虫在网络中自我繁殖的过程中,这种现象最为重要。

所谓“告警泛滥”是指短时间内产生的关于同一攻击的告警。IDS可根据用户需求减少或抑制短时间内同一传感器针对某个流量产生的重复告警。这样。网管人员可以专注于公司网络的安全状况,不至于为泛滥的告警信息大伤脑筋。告警泛滥抑制技术是将一些规则或参数(包括警告类型、源IP、目的IP以及时间窗大小)融入到IDS传感器中,使传感器能够识别告警饱和现象并实施抵制操作。有了这种技术,传感器可以在告警前对警报进行预处理,抑制重复告警。例如,可以对传感器进行适当配置,使它忽略在30秒内产生的针对同一主机的告警信息;IDS在抑制告警的同时可以记录这些重复警告用于事后的统计分析。

3.3告警融合

该技术是将不同传感器产生的、具有相关性的低级别告警融合成更高级别的警告信息,这有助于解决误报和漏报问题。当与低级别警告有关的条件或规则满足时,安全管理员在IDS上定义的元告警相关性规则就会促使高级别警告产生。如扫描主机事件,如果单独考虑每次扫描,可能认为每次扫描都是独立的事件,而且对系统的影响可以忽略不计;但是,如果把在短时间内产生的一系列事件整合考虑,会有不同的结论。IDS在10min内检测到来自于同一IP的扫描事件,而且扫描强度在不断升级,安全管理人员可以认为是攻击前的渗透操作,应该作为高级别告警对待。例子告诉我们告警融合技术可以发出早期攻击警告,如果没有这种技术,需要安全管理员来判断一系列低级别告警是否是随后更高级别攻击的先兆;而通过设置元警告相关性规则,安全管理员可以把精力都集中在高级别警告的处理上。元警告相关性规则中定义参数包括时间窗、事件数量、事件类型IP地址、端口号、事件顺序。

4降低IDS漏报率方法研究

4.1特征模式匹配方法分析

模式匹配是入侵检测系统中常用的分析方法,许多入侵检测系统如大家熟知的snort等都采用了模式匹配方法。

单一的模式匹配方法使得IDS检测慢、不准确、消耗系统资源,并存在以下严重问题:

(1)计算的负载过大,持续该运算法则所需的计算量极其巨大。

(2)模式匹配特征搜索技术使用固定的特征模式来探测攻击,只能探测明确的、唯一的攻击特征,即便是基于最轻微变换的攻击串都会被忽略。

(3)一个基于模式匹配的IDS系统不能智能地判断看似不同字符串/命令串的真实含义和最终效果。在模式匹配系统中,每一个这样的变化都要求攻击特征数据库增加一个特征记录。这种技术攻击运算规则的内在缺陷使得所谓的庞大特征库实际上是徒劳的,最后的结果往往是付出更高的计算负载,而导致更多的丢包率,也就产生遗漏更多攻击的可能,特别是在高速网络下,导致大量丢包,漏报率明显增大。

可见传统的模式匹配方法已不能适应新的要求。在网络通信中,网络协议定义了标准的、层次化、格式化的网络数据包。在攻击检测中,利用这种层次性对网络协议逐层分析,可以提高检测效率。因此,在数据分析时将协议分析方法和模式匹配方法结合使用,可以大幅度减少匹配算法的计算量,提高分析效率,得到更准确的检测结果。超级秘书网

4.2协议分析方法分析

在以网络为主的入侵检测系统中,由于把通过网络获得的数据包作为侦测的资料来源,所以数据包在网络传输中必须遵循固定的协议才能在电脑之间相互沟通,因此能够按照协议类别对规则集进行分类。协议分析的原理就是根据现有的协议模式,到固定的位置取值(而不式逐一的去比较),然后根据取得的值判断其协议连同实施下一步分析动作。其作用是非类似于邮局的邮件自动分捡设备,有效的提高了分析效率,同时还能够避免单纯模式匹配带来的误报。

根据以上特点,能够将协议分析算法用一棵协议分类树来表示,如图2所示。这样,当IDS进行模式匹配时,利用协议分析过滤许多规则,能够节省大量的时间。在任何规则中关于TCP的规则最多,大约占了50%以上,因此在初步分类后,能够按照端口进行第二次分类。在两次分类完成后,能够快速比较特征库中的规则,减少大量不必要的时间消耗。如有必要,还可进行多次分类,尽量在规则树上分叉,尽可能的缩减模式匹配的范围。

每个分析机的数据结构中包含以下信息:协议名称、协议代号以及该协议对应的攻击检测函数。协议名称是该协议的唯一标志,协议代号是为了提高分析速度用的编号。为了提高检测的精确度,可以在树中加入自定义的协议结点,以此来细化分析数据,例如在HTTP协议中可以把请求URL列入该树中作为一个结点,再将URL中不同的方法作为子节点。

分析机的功能是分析某一特定协议的数据,得出是否具有攻击的可能性存在。一般情况下,分析机尽可能的放到树结构的叶子结点上或尽可能的靠近叶子结点,因为越靠近树根部分的分析机,调用的次数越多。过多的分析机聚集在根部附近会严重影响系统的性能。同时叶子结点上的协议类型划分越细,分析机的效率越高。

因此,协议分析技术有检测快、准确、资源消耗少的特点,它利用网络协议的高度规则性快速探测攻击的存在。

5结束语

本文对几种降低IDS误报率和漏报率的方法进行分析研究,通过将这几种方法相互结合,能有效提高入侵检测系统的运行效率并能大大简化安全管理员的工作,从而保证网络安全的运行。由于方法论的问题,目前IDS的误报和漏报是不可能彻底解决的。因此,IDS需要走强化安全管理功能的道路,需要强化对多种安全信息的收集功能,需要提高IDS的智能化分析和报告能力,并需要与多种安全产品形成配合。只有这样,IDS才能成为网络安全的重要基础设施。

参考文献:

[1]张杰,戴英侠.入侵检测系统技术现状及其发展趋势[J].计算机与通信,2002(6):28-32.

[2]唐洪英,付国瑜.入侵检测的原理与方法[J].重庆工学院学报,2002(4):71-73.

[3]戴连英,连一峰,王航.系统安全与入侵检测技术[M].北京:清华大学出版社,2002(3).

篇4

一、入侵检测系统概述

入侵检测系统(IntrusionDetectionSystem,简称IDS)可以认为是进行入侵检测过程时所需要配置的各种软件和硬件的组合。对一个成功的入侵检测系统来讲,它不但可使系统管理员时刻了解计算机网络系统(包括程序、文件和硬件设备等)的任何变更,还能给网络安全策略的制订提供指南。更为重要的一点是,对它的管理和配置应该更简单,从而使非专业人员能非常容易地进行操作。而且,入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后,会及时做出响应,包括切断网络连接、记录事件和报警等。

二、入侵检测系统的功能

1.检测入侵。检测入侵行为是入侵检测系统的核心功能,主要包括两个方面:一方面是对进出主机或者网络的数据进行监控,检查是否存在对系统的异常行为;另一方面是检查系统关键数据和文件的完整性,看系统是否己经遭到入侵行为。前者的作用是在入侵行为发生时及时发现,使系统免受攻击;后者一般是在系统遭到入侵时没能及时发现和阻止,攻击的行为已经发生,但可以通过攻击行为留下的痕迹了解攻击行为的一些情况,从而避免再次遭受攻击。对系统资源完整性的检查也有利于我们对攻击者进行追踪,对攻击行为进行取证。

2.抗欺骗。入侵检测系统要识别入侵者,入侵者就会想方设法逃避检测。逃避检测的方法很多,总结起来可分为误报和漏报两大类。一种使入侵检测系统误报的实现形式,是快速告普信息的产生让系统无法反应以致死机,这其实是通用的网络攻击方式一拒绝服务攻击在入侵检测系统上的体现。与误报相比,漏报更具危险性,即躲过系统的检测,使系统对某些攻击方式失效。入侵检测系统无法统一漏报和误报的矛盾,目前的入侵检测产品一般会在两者间进行折衷,并且进行调整以适应不同的应用环境。

3.记录、报警和响应。入侵检测系统在检测到攻击后,应该采取相应的措施来阻止攻击或者响应攻击。作为一种主动防御策略,它必然应该具备此功能。入侵检测系统首先应该记录攻击的基本情况,其次应该能够及时发出报警。好的入侵检测系统,不仅应该把相关数据记录在文件或数据库中,还应该提供好的报表打印功能。必要时,系统还应该采取必要的响应行为,如拒绝接受所有来自某台计算机的数据、追踪入侵行为等。

三、神经系统网络在入侵检测系统中的应用

目前计算机入侵的现状是入侵的数量日益增长、入侵个体的入侵手段和目标系统多种多样,因此要确切的描述入侵特征非常困难,入侵规则库和模式库的更新要求难以得到满足,这就要求入侵检测应该具有相当大的智能性和灵活性,这是多项人工智能技术被相继应用到入侵检测中的原因。

1.传统入侵检测中存在的问题。我们先来分析一下传统IDS存在的问题。传统IDS产品大多都是基于规则的,而这一传统的检测技术有一些难以逾越的障碍:

(1)在基于规则的入侵检测系统中,所有的规则可理解为“IF一THEN”形式,也就是说,这一规则表述的是一种严格的线性关系,缺乏灵活性和适应性,当网络数据出现信息不完整、变形失真或攻击方法变化时,这种检测方法将失效,因此引起较高的误警率和漏报率。

(2)随着攻击类型的多样化,必然导致规则库中的规则不断增多,当这些规则增加到一定程度,会引起系统检测效率的显著降低,在流量较高时,可造成丢包等现象。此外,攻击方法的不断发展,使得传统的入侵检测系统无法有效地预测和识别新的攻击方法,使系统的适应性受到限制。

(3)传统的用来描述用户行为特征的度量一般是凭感觉和经验的,这些度量是否能有效地描述用户行为很难估计。有些度量当考虑所有用户可能是无效的,但当考虑某些特别的用户时,可能又非常有用。

2.神经网络在入侵检测中的应用

作为人工智能(AD)的一个重要分支,神经网络在入侵检测领域得到了很好的应用。神经网络技术在入侵检测系统中用来构造分类器,主要用于资料特征的分析,以发现是否为一种入侵行为。如果是一种入侵行为,系统将与已知入侵行为的特征进行比较,判断是否为一种新的攻击行为,从而决定是进行丢弃还是进行存盘、报警、发送资料特征等工作。神经网络在入侵检测中的具体实现方法一般有两种:

(1)系统或模式匹配系统合并在一起

这种方法不是像以前一样在异常检测中用神经网络代替现有的统计分析部分,而是用神经网络来过滤出数据当中的可疑事件,并把这些事件转交给专家系统处理。这种结构可以通过减少专家系统的误报来提高检测系统的效用。因为神经网络将确定某一特别事件具有攻击迹象的概率,我们就可以确定一个闽值来决定事件是否转交给专家系统作进一步分析,这样一来,由于专家系统只接收可疑事件的数据,它的灵敏度就会大大增加(通常,专家系统以牺牲灵敏度来减少误报率)。这种结构对那些投资专家系统技术的机构大有好处,因为它提高了系统的效用,同时还保护了在现有IDS上的投资。

(2)网络作为一个独立的特征检测系统

在这个结构中,神经网络从网络流中接受数据,并对数据进行分析。任何被识别为带有攻击迹象的事件都将被转交给安全管理员或自动入侵应答系统来处理。这种方法在速度方面超过了以前的方法,因为它只有一个单独的分析层。另外,随着神经网络对攻击特征的学习,这种结构的效用也会不断提高,它不同于第一种方法,不会受专家系统分析能力的限制,而最终将超越专家系统基于规则的种种限制。

篇5

信息化论文参考文献:

[1]边志新.管理会计信息化探讨[J].经济研究导刊,2012

[2]康世瀛,刘淑蓉.信息化时代现代管理会计的发展的若干重要问题[J].华东经济管理,2001

[3]彭炳华,信息化在管理会计中的作用.当代经济,2015(6).

[4]李红光,信息化环境下的管理会计探讨.管理观察,2012(7):p.213-214

[5]张继德,刘向芸.我国管理会计信息化发展存在的问题与对策[J].会计之友旬刊,2014,

[6]毕克新,等.制造业企业信息化与工艺创新互动关系影响因素研究[J].中国软科学,2012(10).

[7]赵迪.浅析信息时代设计的特点[J].吉林工程技术师范学院学报,2013(04).

信息化论文参考文献:

[1]陈娅娜,鞠颂东.敏捷供应链下库存管理的财务影响[J].物流科技,2008.5.

[2]张琪.基于供应链管理的会计信息系统的设想[J].会计之友(下旬刊),2008.4.

[3]曹军.论供应链管理下新会计信息系统的构建[J].天津财经大学学报,2007.10.

[4]周学广等.信息安全学.北京:机械工业出版社,2003.3

[5](美)MandyAndress著.杨涛等译.计算机安全原理.北京:机械工业出版社,2002.1

[6]曹天杰等编著.计算机系统安全.北京:高等教育出版社,2003.9

[7]刘衍衍等编著.计算机安全技术.吉林:吉林科技技术出版社.1997.8

[8](美)BruceSchneier著,吴世忠等译.应用密码学-协议、算法与C语言源程序.北京:机械工业出版社,2000.1

[9]赖溪松等著.计算机密码学及其应用.北京:国防工业出版社.2001.7

[10]陈鲁生.现代密码学.北京:科学出版社.2002.7

[11]王衍波等.应用密码学.北京:机械工业出版社,2003.8

信息化论文参考文献:

[1]石志国等编著.计算机网络安全教程.北京:清华大学出版社,2004.2

[2]周海刚,肖军模.一种基于移动的入侵检测系统框架,电子科技大学学报.第32卷第6期2003年12月

[3]刘洪斐,王灏,王换招.一个分布式入侵检测系统模型的设计,微机发展.第13卷,第1期,2003年1月.

[4]张然等.入侵检测技术研究综述.小型微型计算机系统.第24卷第7期2003年7月

[5]吕志军,黄皓.高速网络下的分布式实时入侵检测系统,计算机研究与发展.第41卷第4期2004年4月

[6]韩海东,王超,李群.入侵检测系统实例剖析北京:清华大学出版社2002年5月

[7]熊华,郭世泽.网络安全——取证与蜜罐北京:人民邮电出版社2003年7月

篇6

 

随着网络的技术的不断发展,互联网的开放性也得到了长足的发展,这为网络信息的共享和交互使用提供了很大方便,但同时也对信息的安全性提出了严峻的挑战。近年来,随着网络的普及与应用领域的逐渐扩展,网络安全与信息安全问题日渐突出。在网络安全的实践中,建立一个完全安全的系统是不现实的。因此,保证计算机系统、网络系统以及整个信息基础设施的安全已经成为刻不容缓的重要课题。

入侵检测技术(IDS)是近年来出现的新型网络安全技术,它是通过从计算机网络系统中的若干关键点收集信息并对其进行分析,从中发现违反安全策略的行为和遭到攻击的迹象,并做出自动的响应。入侵检测通过迅速地检测入侵,在可能造成系统损坏或数据丢失之前,识别并驱除入侵者,使系统迅速恢复正常工作,并且阻止入侵者进一步的行动,它的应用扩展了系统管理员的安全管理能力,帮助计算机系统抵御攻击。因而,研究入侵检测方法和技术,根据这些方法和技术建立相应的入侵检测系统对保证网络安全是非常必要的。

一、入侵检测系统的分类

1.按照检测类型划分

(1)异常检测类型:检测与可接受行为之间的偏差,如果可以定义每项可接受的行为就应该是入侵。首先总结正常操作应该具备的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵。这种检测模型漏报率低,误报率高。因为不需要对每种入侵行为进行定义,所以能有效检测未知的入侵。

(2)误用检测类型:检测与已知的不可接受行为之间的匹配程度,如果可以定义所有的不可接受行为,那么每种能够与之匹配的行为都会引起警告。收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。这种检测模型误报率、漏报率高。对于已知的攻击,它可以详细、准确地报告出攻击类型,但是对未知攻击却效果有限,而且特征库必须不断更新。

2.按照检测对象划分

(1)基于主机:系统分析的数据是计算机操作系统的时间日志、应用程序的时间日志、系统调用、端口调用和安全审计记录。主机入侵检测系统保护的一般是所在的主机系统。是来实现的,是运行在目标主机上的小的可执行程序,它们与命令控制台通信。

(2)基于网络:系统分析的数据是网络上的数据包。网络型入侵检测系统担负着保护整个网段的任务,基于网络的入侵检测系统由遍及网络的传感器组成,传感器是一台将以太网置于混杂模式的计算机,用于嗅探网络上的数据包。科技论文。

(3)混合型:基于网络和基于主机的入侵检测系统都有不足之处,会造成防御体系的不全面,综合了基于网络和基于主机的混合型入侵检测系统,既可以发现网络中的攻击信息,也可以从系统日志中发现异常情况。

3.按照工作方式分类

(1)离线检测:这是一种非实时工作的系统,在时间发生后分析审计时间,从中检查入侵事件。这类系统的成本低,可以分析大量事件,调查长期的情况,有利于其它方法提供及时的保护。而且,很多侵入在完成之后都将审计事件删除,使其无法审计。

(2)在线检测:对网络数据包或主机的审计事件进行实时分析,可以快速反映,保护系统的安全;但在系统规模比较大时,难以保证实时性。

二、入侵检测系统存在的主要问题

1.误报

误报是指被入侵检测系统测出但其实是正常及合法使用受保护网络和计算机的警报。假警报不但令人讨厌,并且降低入侵检测系统的效率。攻击者可以而且往往是利用包结构伪造无威胁的,“正常”假警报,以诱使收受人把入侵检测系统关掉。

没有一个入侵检测无敌于误报,应用系统总会发生错误,原因是:缺乏共享信息的标准机制和集中协调的机制,不同的网络及主机有小同的安全问题,不同的入侵检测系统有各自的功能;缺乏揣摩数据在一段时间内行为的能力;缺乏有效跟踪分析等。

2.精巧及有组织的攻击

攻击可以来自四面八方,特别是一群人组织策划且攻击者技术高超的攻击,攻击者花费很多时间准备,并发动全球性攻击,要找出这样复杂的攻击是一件难事。

3.入侵检测系统的互动性能不高

在大型网络中,网络的不同部分可能使用了多种入侵检测系统,甚至还有防火墙、漏洞扫描等其他类别的安全设备,这些入侵检测系统之间以及IDS和其他安全组件之间如何交换信息,共同协作来发现攻击、做出相应并阻止攻击是关系整个系统安全性的重要因素。

三、入侵检测系统发展的主要趋势

目前除了完善常规的、传统的技术(模式识别和完整性检测)外,入侵检测系统应重点加强与统计分析相关技术的研究。许多学者在研究新的检测办法,如采用自动的主动防御办法,将免疫学原理应用到入侵检测的方法等。其主要发展方向可以概括为以下几个方面:

1.入侵检测系统的标准化

就目前而言,入侵检测系统还缺乏相应的标准,不同的入侵检测系统之间的数据交换和信息通信几乎不可能。目前,DARPA和IETF的入侵检测工作组试图对入侵检测系统进行标准化工作,分别制定了CIDF和IDMEF标准,从体系结构、通信机制、消息格式等各方面对入侵检测系统规范化,但进展非常缓慢,尚没有被广泛接受的标准出台。因而,具有标准化接口的入侵检测系统将是下一代入侵检测系统的特征。

2.分布式入侵检测

分布式入侵检测的第一层含义是针对分布式网络攻击的检测方法;第二层含义即使用分布式的方法来实现分布式的攻击,其中的关键技术为信息的协同处理与入侵攻击的全局信息的提取。

3.应用层入侵检测

许多入侵的语义只有在应用层才能理解,而目前的入侵检测系统仅能检测Web之类的通用协议,不能处理如Lotus Notes数据库系统等其他的应用系统。许多基于客户/服务器结构、中间件技术及对象技术的大型应用,需要应用层的入侵检测保护。科技论文。

4.智能入侵检测

目前,入侵方法越来越多样化与综合化,尽管已经有智能体系、神经网络与遗传算法应用在入侵检测领域,但这些只是一些尝试性的研究工作,需要对智能化的入侵检测系统进一步研究,以解决其自学习与自适应能力。

5.建立入侵检测系统评价体系

设计通用的入侵检测测试、评估办法和平台,实现对多种入侵检测系统的检测,已成为当前入侵检测系统的另一重要研究与发展领域。评价入侵检测系统可从检测范围、系统资源占用、自身的可靠性等方面进行,评价指标有:能否保证自身的安全、运行与维护系统的开销、报警准确率、负载能力以及可支持的网络类型、支持的入侵特征数、是否支持IP碎片重组、是否支持TCP流重组等。

6.综合性检测系统

单一的技术很难构筑一道强有力的安全防线,这就需要和其他安全技术共同组成更完备的安全的保障系统,如结合防火墙、PKIX、安全电子交易SET等新的网络安全与电子商务技术,提供完整的网络安全保障体系。科技论文。

四、结语

入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。但是目前,入侵检测技术主要停留在异常检测和误用检测上,这两种方法都还不完善,存在着这样那样的缺陷。网络入侵技术不断发展,入侵行为表现出不确定性、复杂性、多样性等特点;网络应用的发展带来了新的问题,如高速网络其流量大,基于网络的检测系统如何适应这种情况?基于主机审计数据这怎样做到既减小数据量,又能有效地检测到入侵行为?入侵检测技术己经成为当前网络技术领域内的一个研究热点,在未来的发展过程中,将越来越多地与其他科学和技术进行交融汇合,如数据融合、人工智能以及网络管理等等。随着网络信息技术的发展,入侵检测技术也在不断地发展,已经出现了很多新的方向,如宽带高速网络的实时入侵检测技术、大规模分布式入侵检测技术等。

参考文献:

[1]戴英侠,连一峰,王航.系统安全与入侵检测[M].北京:清华大学出版社.2002.

[2]孙知信,徐红霞.模糊技术在入侵检测系统中的应用研究综述[J].南京邮电大学学报.2006,(2).

[3]裴庆祺.模糊入侵检测技术研究[M].西安:西安电子科技大学.2004.

篇7

论文的研究内容包括两个方面:一是研究新的高效的聚类算法;一是把已有的聚类算法或论文提出的新算法和入侵检测技术相结合,从而提出一个好的入侵检测模型。具体的研究内容包括以下几个点:

第一、针对聚类算法的研究问题:

1、如何提高算法的可扩展性

许多聚类算法在小于200个数据对象的小数据集上是高效率的,但是无法处理一个大规模数据库里的海量对象。现有的聚类算法只有极少数适合处理大数据集,而且只能处理数值型数据对象,无法分析具有类属性的数据对象。

2、如何处理离群点

在实际应用中,估计数据集中的离群点可能是非常困难的,很多算法通常丢弃增长缓慢的簇,这样的簇趋向于代表离群点。然而在某些应用中,用户可能对相对较小的簇比较感兴趣,比如入侵检测中,这些小的簇可能代表异常行为,那么我们需要考虑在对算法影响更小的前提下,如何更好的处理这些离群点。

3、研究适合具有类属性数据的聚类算法的有效性

对聚类分析而言,有效性问题通常可以转换为最佳类别数K的决策。而目前有关聚类算法的有效性分析,大都集中在对数值数据的聚类方式分析上。对于具有类属性的数据聚类,还没有行之有效的分析方法。

第二、针对聚类算法在IDS应用中的研究问题:

1、如何结合聚类技术和入侵检测技术取得更好的效果

很多的聚类算法都已经和IDS应用环境结合起来了,很多研究者对前人提出的算法作出改进后,应用到IDS系统中去,或者提出一个全新的算法来适应IDS的要求。随着聚类技术的不断发展,聚类技术在入侵检测中的应用将是一个很有前景的工作。我们需要把更好的聚类技术成果应用到入侵检测中。

2、利用聚类技术处理入侵检测中的频繁误警

虽然入侵检测是重要的安全措施,然而它常常触发大量的误警,使得安全管理员不堪重负,事实上,大量的误警是重复发生并且频繁发生的,可以利用聚类技术来寻找导致IDS产生大量误警的本质原因。

二、学位论文研究依据

学位论文的选题依据和研究意义,以及国内外研究现状和发展趋势

聚类分析研究已经有很长的历史,其重要性及其与其他研究方向的交叉特性已经得到了研究者的充分肯定。对聚类算法的研究必将推动相关学科向前发展。另外,聚类技术已经活跃在广泛的应用领域。作为与信息安全专业的交叉学科,近年来,聚类算法在入侵检测方面也得到大量的应用。然而,聚类算法虽取得了长足的发展,但仍有一些未解决的问题。同时,聚类算法在某些应用领域还没有充分的发挥作用,聚类技术和入侵检测技术结合得还不够完善。在这种背景下,我们认为,论文的选题是非常有意义的。

本论文研究的内容主要包括两个方面:聚类算法的研究以及聚类算法在入侵检测中的应用。下面从两个方面阐述国内外这两个方面的发展现状和趋势:

前人已经提出很多聚类算法,然而没有任何一种聚类算法可以普遍适用于揭示各种多维数据集所呈现出来的多种多样的结构,根据数据在聚类中的积聚规则以及应用这些规则的方法,可以将聚类算法分为以下几种:

1.划分聚类算法

划分聚类算法需要预先指定聚类数目或聚类中心,通过反复迭代运算,逐步降低目标函数的误差值,当目标函数收敛时,得到最终的聚类结果,划分聚类算法典型代表是k-means算法[1]和k-modoids算法。这些算法处理过程简单,运行效率好,但是存在对聚类数目的依赖性和退化性。迄今为止,许多聚类任务都选择这两个经典算法,针对k-means及k-modoids的固有弱点,也出现了的不少改进版本。

2.层次聚类算法

又称树聚类算法,它使用数据的联接规则,透过一种层次的架构方式,反复将数据进行分裂和聚合,以形成一个层次序列的聚类问题解。由于层次聚类算法的计算复杂性比较高,所以适合于小型数据集的聚类。20xx年,Gelbard等人有提出一种新的层次聚合算法,称为正二进制方法。该方法把待分类数据以正的二进制形式存储在二维矩阵中,他们认为,将原始数据转换成正二进制会改善聚类结果的正确率和聚类的鲁棒性,对于层次聚类算法尤其如此。Kumar等人[9]面向连续数据提出一种新的基于不可分辨粗聚合的层次聚类算法,既考虑了项的出现次序又考虑了集合内容,该算法能有效挖掘连续数据,并刻画类簇的主要特性。

3.基于密度-网格的聚类算法

与传统的聚类方法不同:基于密度的聚类算法,通过数据密度来发现任意形状的类簇;基于网格的聚类算法,使用一个网格结构,围绕模式组织由矩形块划分的值空间,基于块的分布信息实现模式聚类,基于网格的聚类算法常常与其他方法相结合,特别是与基于密度的聚类方法相结合。基于网格和密度的聚类方法在以空间信息处理为代表的众多领域有着广泛的应用。特别是伴随着近来处理大规模数据集、可伸缩的聚类方法的开发,它在空间数据挖掘研究子域日趋活跃。

开题报告研究方法大全

实证研究法

实证研究法是科学实践研究的一种特殊形式。其依据现有的科学理论和实践的需要,提出设计,利用科学仪器和设备,在自然条件下,通过有目的有步骤地操纵,根据观察、记录、测定与此相伴随的现象的变化来确定条件与现象之间的因果关系的活动。主要目的在于说明各种自变量与某一个因变量的关系。

定量分析法

在科学研究中,通过定量分析法可以使人们对研究对象的认识进一步精确化,以便更加科学地揭示规律,把握本质,理清关系,预测事物的发展趋势。

定性分析法

篇8

2.教学内容和实验内容的设计和实施物联网安全较之传统互联网安全涵盖的范围更广,但是其“源科学”是计算机科学,因此本课程的授课内容仍以IP网络中的入侵检测技术和计算机安全为主,增加了无线传感器网络WSN和射频识别技术RFID技术的安全问题,再加上异种网络互联互通产生的新安全问题及技术作为物联网安全的主体内容。秉承实验是这门课程获得良好教学效果的关键思想,本节将不同阶段的重要知识点和对应的实验内容设计详述如下。

2.1传统IP网络的入侵检测技术“入侵检测技术”这门课程主要涉及到的重要知识点包括:入侵检测的基本概念、入侵方法与手段、入侵检测系统数据源、基于主机的入侵检测系统、基于网络的入侵检测系统、检测引擎、告警与响应、入侵检测系统的评估、入侵检测系统的应用等。其中原理性、理论性的内容主要体现在入侵检测的原理、检测算法、评估的指标体系等。图1是标准化组织提出的IDS的总体框架,该图分三个检测阶段(检测前、检测中、检测后),囊括了上述所有重要的知识点。(1)入侵前涉及入侵检测的基本概念、入侵方法与手段、入侵检测系统数据源等知识点。重点讲授基于网络的入侵检测的数据采集技术,引入实验1——网络数据包的捕获及协议的简单分析。(2)入侵中知识点涉及IDS的各种检测原理与方法。检测方法分为误用检测、异常检测和其它检测方法。重点讲授滥用检测普遍采用的利用特征串匹配的方法、各种异常检测模型也是很重要的辅助检测方法,比如数学模型(方差模型、均方差模型、)马尔科夫链和模糊逻辑。检测又分为基于主机的检测、基于网络的检测和分布式检测。为了呈现不同原理、不同检测方法的效果,设计了实验2——审计日志的获取和简单分析,对比实验1有利于学生体会基于主机的检测方法和基于网络的检测方法的不同。(3)入侵后涉及IDS的警报响应、警报冗余消除、警报后处理技术和意图识别技术等知识点。重点讲授对于几种典型攻击,IDS的攻击报警信息和警报后处理技术,让学生认识警报含义、不同的报警格式和方式。至此,学生应该对IDS的整个工作流程有了全面的认识。为了让学生融会贯通所有知识点,设计了实验3——Snort开源IDS的构建和使用。让学生在指定的实验室环境下安装,使用IDS,老师在实验室局域网与公网断开时,运行若干典型的攻击脚本,确保Snort能抓取到攻击实例,让学生利用所学的安全知识,模拟安全管理员分析攻击态势。对于传统IP网络上的入侵检测技术的教授,可以让学生牢记图1,有助于理清各阶段的重要知识点,在相关实验中体会攻击理论性知识的应用,是这门课程获得良好教学效果的关键。

2.2物联网安全技术物联网涵盖内容非常宽泛。实际上目前物联网的构成除了传统IP网络外,各式各样的无线传感器网络WirelessSensorNetwork(WSN)构成了物联网的主体。与传统IP网络不同,WSN因其特点导致其相同的安全需求有着完全不通的安全技术。重点知识点按WSN的分层协议体系结构讲授每一层上存在的安全问题以及典型攻击。比如,物理层:各种物理破坏以及导致的信息泄露和各种拥塞攻击;数据链路层:各种耗尽攻击和碰撞攻击;网络层:各种路由攻击、泛洪攻击、女巫攻击;应用层:污水池攻击、蠕虫洞攻击等。为了使学生了解和掌握不同的攻击的原理、攻击过程和方式,设计了实验4——WSN上的各种攻击实验演示。

2.3物联网互通产生的安全问题和安全技术由于此部分内容还属于当前研究热点,在课程中将作为物联网的全新内容介绍。重点抓住一些典型攻击案例讲述互联互通中产生的安全问题及解决方法。为此设计了实验5作为典型案例。实验5——跨网络的DDoS攻击,展示了在IP网络中已经克服的DDoS攻击,互通后的残余DDos攻击流量仍然超出WSN能够承受的范围,会导致WSN网络服务质量下降,甚至耗尽WSN宝贵的能量和带宽资源。

3.实验内容设计(1)设计型实验实验1——网络数据包的捕获及协议的简单分析。网络数据包是基于网络的入侵检测系统的重要数据源,网络数据包的捕获是基于网络的入侵检测系统实现的第一步。通过该实验,使学生了解和掌握基于Socket和libpcap的网络数据包的捕获方法,理解和掌握基于网络入侵检测系统的源数据的捕获、协议分析的基本原理和实现方法。同时使学生熟悉在Linux下的C语言开发技能。实验2——主机审计日志的获取和简单分析。主机审计日志数据是基于主机入侵检测系统的重要数据源,审计数据获取的质量和数量,决定了入侵检测的有效程度。通过该实验使学生了解Linux系统的日志系统和基于主机的入侵检测系统的原理。(2)综合型实验实验3——Snort开源IDS的构建和使用。让学生根据校园网实验室环境下的需求搭建,利用Snort及第三方软件搭建一个真实的入侵检测系统。根据需求选择已有的预处理插件、检测规则,最后有针对性地完成几个相应规则的编写,并进行正确性测试。断网后在运行几个典型攻击脚本,让学生分析Snort抓获的攻击警报,做出安全态势汇报。(3)验证型实验实验4——WSN上的各种攻击实验。学生利用一些攻击类软件工具和硬件设施完成一些可能的攻击。攻击的罗列使学生了解和掌握不同的攻击的原理、攻击过程和方式,加深对入侵检测的必要性的理解;实验5——跨网络的DDoS攻击。将传统IP网络通过特定网关与实验室特定的无线传感器网络相连,在IP网络中发起DDoS攻击,将目标锁定在传感器网络内。在IP网络上安装流量观测器,让学生直观地看到攻击流量的路径。然后在网关上启动DDoS攻击检测,过滤掉98%的攻击流量,让学生观察此时无线传感器网络的性能情况,比较两种情况,得出实验结论。

4.考核体系该课程的考核采用平时成绩和期末考核成绩加权平均的方式。考虑到课程的宗旨在于加强学生动手能力,同时为了减轻学生的学习负担,平时成绩强调考核动手能力,平时作业紧扣五个实用性实验,均为实验为铺垫和准备,实际上5个综合实验成绩占50%,期末的理论考核以开放式论文形式让学生根据自己对IDS的了解和兴趣选择和IDS相关的题目撰写论文,占50%。

篇9

1 高校网络环境的入侵检测方案的问题

1.1 入侵检测方案

随着“计算机网络技术”的高速发展,网络终端、测试平台、监控系统等方面已经出现相对完善的发展。这些显著的发展和技术,为高校网络环境提供了获取信息的便利性,但不可否认的是,网络安全已经成为不能不考虑的问题。入侵检测方案正是利用利用网络平台,通过网络与远程服务器交换,将终端数据库分布实现入侵检测监控的办法。

1.2 高校网络环境现状

当前,高校网络环境是虚拟网络平台。在网络开放环境下,虚拟网络平台的入侵检测方案既要允许高校主机数据库对专用用户的可用性,又要保证对非法用户的筛选和防御。其实,当前大多数高校网络环境的入侵方案是专用用户才能评价发现检测的模式。在数据库环境下,高校网络环境的设计理念应尽量符合人的感知和认知过程,实现“用户的高校网络环境系统”。很多高校的网络环境都是基于WEB的数据库的转换和数据交换监控,数据库相对简单,断接相当频繁,入侵检测的方式单一,安全可靠性低。面对平台和数据容量的增加,客观上要求基于自动检测,能够对数据库进行分析、聚类、纠错、响应及时的遗传算法的高效网络,才能处理访问数据库的繁杂,实现专用用户交互、完成网络平台多样化数据的可扩展性。因此,高校网络环境情况影响着数据库交换,更影响着入侵检测方案实施和制定,必须按照网络平台需求,构建适应高校网络平台的入侵检测方案。

1.3 高校网络环境的入侵检测方案的关键点

高校网络环境的入侵检测方案的关键点就是要充分利用高校网络资源平台,整合数据库、角色管理的安全模型、校园无缝隙监控、多方位反馈与应对系统等资源,预测或实时处理高校网络入侵时间的发生。

2 高校网络环境的入侵检测方案思考

2.1 建立适合高校网络环境的检测系统平台

在当前高校网络环境下的入侵检测,必须运用比较成熟“云计算技术”,实现检测方案系统。

云计算技术利用高速互联网的传输能力,将计算、存储、软件、服务等资源从分散的个人计算机或服务器移植到互联网中集中管理的大规模高性能计算机、个人计算机、虚拟计算机中,从而使用户像使用电力一样使用这些资源。云计算表述了一种新的计算模式:应用、数据和IT资源以服务的方式通过网络提供给用户使用。

从网络平台系统看,云计算也是一种基础架构管理的方法论,大量的计算资源组成IT资源池,用于动态创建高度虚拟化的资源提供用户使用。网络平台可将各种资源汇聚为“一个可动态分配的计算机系统资源池”,软件、硬件、数据、信息服务等都可以在“云计算”这一平台上租赁使用。用户无需了解底层系统的支撑架构,不需要维护和购买相应的软硬件,通过专用密钥进入云计算平台即可享用各种低成本的信息化服务。云计算能改变了原有的互联网资源提供商需要独立、分散建造机房、运营系统、维护安全的困境,极大低降低了高校整体能源消耗,为高校提供了绿色、低碳、高效的IT基础设施实施及检测管理方案。 转贴于

2.2 入侵检测机制

高校网络环境的入侵检测体系结构在高校网络环境的技术条件下,必须依据网络NIDS模块,组建检测管理平台:主要有如下模块组成:应用任务模块(负责系统管理功能);入侵检测与分析模块;数据库交换模块(负责数据包嗅探、预处理过滤和固定字段模式匹配)。入侵检测主要功能就是实现网络环境下实时流量分析以及入侵检测功能。针对硬件逻辑和核心态软件逻辑采用的高效检测策略,利用入侵检测模块中,入侵检测模型包括三个主要的流程:

第一步骤:高校网络环境的入侵检测体系的调度平台,从用户请求队列中取出优先级最高的用户请求R。R首先读取元数据库,根据用户请求的硬件资源判断是否能被当前空闲的物理机资源满足,如CPU频率、核心数、带宽、存储、硬盘空间等。如果能满足,则直接转向步骤2;如果不能满足,判断是否可以通过平台虚拟机迁移,释放相关资源;如果可以则在执行迁移步骤,转步骤2;如果即使迁移也无法完成,则退出,并报告用户资源无法完成请求。

第二步骤:如果资源请求可以满足,调度服务器从存储结点中选择与用户请求对应的虚拟机模板T(对于新建立的虚拟机)或虚拟机镜像I。

第三步骤:调度服务器将I迁入对应的物理机,并创建对应的虚拟机实例V。

如果平台需要调整现有物理机上的虚拟机分布,如何以最小的调整代价,实现资源的重新分配。对于部分平台,由于迁移可能造成虚拟平台的不稳定;迁移的条件要求较高,以确保最少的虚拟机受到影响为准。

3 结论

高校网络环境的入侵检测方案的思考,是适应高校检测环境的发展要求,必须把握其发展方向和关键技术;实现高校网络环境入侵检测方案。在现代技术条件下高校网络环境虽然技术存在的一些缺陷,但入侵检测方案成为主流监控手段的发展方向已经不可改变。我们相信,基于高校网络环境的入侵检测方案的理念,相信能够成为新的监控技术发展的亮点。

参考文献

[1]申建刚、夏国平、邱巩强,基于云计算技术虚拟现实的施工设备布置系统,计算机集成制造系统,2009.10.

[2]刘秀玲、杜欢平、杨国杰,分布式多交互虚拟场景渲染的协同控制,计算机工程与应用,2009.29.

篇10

 

随着高新技术的不断发展,计算机网络已经成为我们生活中所不可缺少的概念,然而随之而来的问题----网络安全也毫无保留地呈现在我们的面前,不论是在军事中还是在日常的生活中,网络的安全问题都是我们所不得不考虑的,只有有了对网络攻防技术的深入了解,采用有效的网络防护技术,才能保证网络的安全、畅通,保护网络信息在存储和传输的过程中的保密性、完整性、可用性、真实性和可控性,才能使我们面对网络而不致盲从,真正发挥出网络的作用。

一、计算机网络防护技术构成

(一)被动防护技术

其主要采用一系列技术措施(如信息加密、身份认证、访问控制、防火墙等)对系统自身进行加固和防护,不让非法用户进入网络内部,从而达到保护网络信息安全的目的。这些措施一般是在网络建设和使用的过程中进行规划设置,并逐步完善。因其只能保护网络的入口,无法动态实时地检测发生在网络内部的破坏和攻击的行为,所以存在很大的局限性。

( 1 )信息保密技术

密码技术是网络安全最有效的技术之一, 信息加密过程是由形形的加密算法来具体实施,它以很小的代价提供很大的安全保护。它通过信息的变换或编码,将敏感信息变成难以读懂的乱码型信息,以此来保护敏感信息的安全。在多数情况下,信息加密是保证信息机密性的惟一方法。信息加密的主要目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。

网络加密常用的方法有:链路加密、端点加密和节点加密3种。密码体制主要有分组密码体制和序列密码体制。论文参考网。

( 2 ) 信息认证技术

认证技术是网络安全的一个重要方面,属于网络安全的第一道防线。其认证机制是接收者接收信息的同时还要验证信息是否来自合法的发送者,以及该信息是否被篡改过,计算机系统是基于收到的识别信息识别用户。认证涉及多个步骤:收集认证信息、安全地传输认证信息、确定使用计算机的人(就是发送认证信息的人)。其主要目的是用来防止非授权用户或进程侵入计算机系统,保护系统和数据的安全

其主要技术手段有:用户名/密码方式;智能卡认证方式;动态口令;USB Key认证;生物识别技术。

( 3 ) 访问控制技术

访问控制是保证网络安全最重要的核心策略之一,是一种基于主机的防护技术。访问控制技术通过控制与检查进出关键服务器中的访问,保护服务器中的关键数据,其利用用户身份认证功能,资源访问权限控制功能和审计功能来识别与确认访问系统的用户,决定用户对系统资源的访问权限,并记录系统资源被访问的时间和访问者信息。其主要目的是保证网络资源不被非法使用和访问。

其主要方式有:自主访问控制、强行访问控制和信息流控制。

( 4 ) 防火墙技术

防火墙是一种网络之间的访问控制机制,它的主要目的是保护内部网络免受来自外部网络非授权访问,保护内部网络的安全。

其主要机制是在受保护的内部网和不被信任的外部网络之间设立一个安全屏障,通过监测、限制、更改、抑制通过防火墙的数据流,尽可能地对外部网络屏蔽内部网络的信息和结构,防止外部网络的未授权访问,实现内部网与外部网的可控性隔离,保护内部网络的安全。

防火墙的分类主要有:数据包过滤型防火墙、应用层网关型防火墙和状态检测型防火墙。

(二)主动防护技术

主动防护技术主要采取技术的手段如入侵取证、网络陷阱、入侵检测、自动恢复等,能及时地发现网络攻击行为并及时地采取应对措施,如跟踪和反攻击、设置网络陷阱、切断网络连接或恢复系统正常工作。实现实时动态地监视网络状态,并采取保护措施,以提供对内、外部攻击和误操作的实时保护。

( 1 )入侵取证技术

入侵取证技术是指利用计算机软硬件技术,按照符合法律规范的方式,对计算机网络入侵、破坏、欺诈、攻击等犯罪行为进行识别、保存、分析和提交数字证据的过程。

入侵取证的主要目的是对网络或系统中发生的攻击过程及攻击行为进行记录和分析,并确保记录信息的真实性与完整性(以满足电子证据的要求),据此找出入侵者或入侵的机器,并解释入侵的过程,从而确定责任人,并在必要时,采取法律手段维护自己的利益。

入侵取证技术主要包括:网络入侵取证技术(网络入侵证据的识别、获取、保存、安全传输及分析和提交技术等)、现场取证技术(内存快照、现场保存、数据快速拷贝与分析技术等)、磁盘恢复取证技术、数据还原取证技术(对网上传输的信息内容,尤其是那些加密数据的获取与还原技术)、电子邮件调查取证技术及源代码取证技术等。

( 2 ) 网络陷阱技术

网络陷阱技术是一种欺骗技术,网络安全防御者根据网络系统中存在的安全弱点,采取适当技术,伪造虚假或设置不重要的信息资源,使入侵者相信网络系统中上述信息资源具有较高价值,并具有可攻击、窃取的安全防范漏洞,然后将入侵者引向这些资源。同时,还可获得攻击者手法和动机等相关信息。这些信息日后可用来强化现有的安全措施,例如防火墙规则和IDS配置等。

其主要目的是造成敌方的信息误导、紊乱和恐慌,从而使指挥决策能力丧失和军事效能降低。论文参考网。灵活的使用网络陷阱技术可以拖延攻击者,同时能给防御者提供足够的信息来了解敌人,将攻击造成的损失降至最低。

网络陷阱技术主要包括:伪装技术(系统伪装、服务伪装等)、诱骗技术、引入技术、信息控制技术(防止攻击者通过陷阱实现跳转攻击)、数据捕获技术(用于获取并记录相关攻击信息)及数据统计和分析技术等。

( 3 ) 入侵检测技术

入侵检测的基本原理是从各种各样的系统和网络资源中采集信息(系统运行状态、网络流经的信息等),对这些信息进行分析和判断,及时发现入侵和异常的信号,为做出响应赢得宝贵时间,必要时还可直接对攻击行为做出响应,将攻击行为带来的破坏和影响降至最低。它是一种主动的入侵发现机制,能够弥补防火墙和其他安全产品的不足,为网络安全提供实时的监控及对入侵采取相应的防护手段,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。入侵检测系统已经被认为是维护网络安全的第二道闸门。

其主要目的是动态地检测网络系统中发生的攻击行为或异常行为,及时发现攻击或异常行为并进行阻断、记录、报警等响应,弥补被动防御的不足之处。

入侵检测技术主要包括:数据收集技术、攻击检测技术、响应技术。

( 4 ) 自动恢复技术

任何一个网络安全防护系统都无法确保万无一失,所以,在网络系统被入侵或破坏后,如何尽快恢复就显得非常关键了。这其中的一个关键技术就是自动恢复技术,他针对服务器上的关键文件和信息进行实时地一致性检查,一旦发现文件或信息的内容、属主、时间等被非法修改就及时报警,并在极短的时间内进行恢复。论文参考网。其性能的关键是资源占有量、正确性和实时性。

其主要目的是在计算机系统和数据受到攻击的时候,能够在极短的时间内恢复系统和数据,保障系统的正常运行和数据的安全。

自动恢复技术主要包括:备份技术、冗余技术、恢复技术、远程控制技术、文件扫描与一致性检查技术等。

二、计算机网络防护过程模型

针对日益严重的网络安全问题和愈来愈突出的安全需求,人们在研究防黑技术的同时,认识到网络安全防护不是一个静态过程,而是一个包含多个环节的动态过程,并相应地提出了反映网络安全防护支柱过程的P2DR模型,其过程模型如图1所示。

图1 P2DR模型体系结构图

其过程如下所述:

1.进行系统安全需求和安全风险分析,确定系统的安全目标,设计相应的安全策略。

2.应根据确定的安全策略,采用相应的网络安全技术如身份认证技术、访问控制、网络技术,选择符合安全标准和通过安全认证的安全技术和产品,构建系统的安全防线,把好系统的入口。

3.应建立一套网络案例实时检测系统,主动、及时地检测网络系统的安全漏洞、用户行为和网络状态;当网络出现漏洞、发现用户行为或网络状态异常时及时报警。

4.当出现报警时应及时分析原因,采取应急响应和处理,如断开网络连接,修复漏洞或被破坏的系统。

篇11

中图分类号:TP393.08

对于高校而言,校园网在教学、科研、管理以及对外交流等过程中起到了不可替代的作用。近年来,随着校园网建设规模的不断壮大,校园网存在安全问题也逐渐突显。我们在享受网络信息资源的便捷性的同时,也面临着网络安全带来的困扰。

当前网络安全技术包括两种,一种是以防火墙技术为例的静态安全技术,另一种是以入侵检测系统技术为例的动态安全技术。两种网络安全技术各有优势和不足之处,为实现有效的保障校园网的网络安全,最好的方式就是实现防火墙与入侵检测系统的结合应用。

1 防火墙与入侵检测系统的区别和联系

防火墙技术是网络静态安全技术的代表,是一种被动的防御技术。防火墙技术建立在现代通信网络技术与信息安全技术基础上。防火墙技术作为不同网络与网络安全域之间信息唯一的出入口,主要用于控制出入网络的数据,不过防火墙技术不能防范内部的非法访问行为。另外防火墙技术还有一个缺陷,不能够主动跟踪入侵者,只能依赖人工实施与维护。

与防火墙技术相对的入侵检测系统则是动态安全技术的代表,在网络安全中是一种主动的防御手段,可以对网络中容易受到威胁和攻击的点击存在安全漏洞的地方主动检测,通常对于危险行为的检测要比人工快,并且实现对网络内部通信信息的实时分析,对入侵行为、企图即使检测,并提前发出警报,一边及早采取措施应对,最大限度的保障网络安全。

总之,防火墙技术与入侵检测系统作为两种不同的网络安全防范手段,两者各具优势也各有不足。防火墙技术对新协议和新服务的支持,不能进行动态扩展,从而无法提供个性化服务。而入侵检测系统虽然能够收集、分析信息,对网络中的安全问题进行检测,对而已攻击提供主动、实时的保护,有效做到网络安全防范。因而,入侵检测系统能够弥补防火墙技术的不足之处,对防火墙技术起到补充作用,最终提高了校园网网络信息的安全性,两者有区别的同时,又在功能上起到了互补关系。

2 防火墙与入侵检测系统结合应用的优势

校园网中,防火墙技术不能直接控制内部网络行为,无法对通信过程中的内容数据进行监控。防火墙技术对于一些安全威胁依然难以防范。入侵检测系统则以绝对的主动权对防火墙技术的不足之处进行弥补。

在校园网中,防火墙与入侵检测系统结合应用优点多,入侵检测系统能够提前发现威胁网络安全的攻击行为,并提供入侵信息给防火墙,由防火墙技术针对威胁调整安全策略,对不合法的信息进行阻断和处理。两者的结合应用大大提高了网络系统的防御性能。

3 校园网络所面临的威胁

当前校园网络的安全问题,主要面临三个方面的威胁:

3.1 物理安全

校园网络安全的前提,就是保证计算机网络系统各种设备的物理安全。其所表现的数据传输、数据存储以及数据访问安全都是在物理介质层次之上。网络运行的环境,诸如温度、湿度、电源等也威胁到计算机网络安全。

物理安全,保护的就是计算机的网络设备、网络设施,以及避免其他媒体在自然灾害或者认为事故中所遭到破坏。是对计算机系统、服务器、打印机等硬件的保护。

3.2 自然因素的威胁

校园网面临的自然威胁,是指自然原因带来的安全问题,如雷击、火灾、水灾、地震等自然灾害;正行情况下使用过程中的设备损坏;设备运行环境等方面,损坏网络设备硬件,影响网络的正常运行,对校园网网络安全带来威胁。

3.3 人为因素的威胁

校园网中,网络系统安全面临的人为因素的威胁,分为故意人为威胁、无意人为威胁两种形式,都严重威胁着计算机网络的安全。人为故意威胁涵盖搭线连接获取网络数据信息、窃取口令密钥来获取信息资源、盗割网络通信线缆,以及破坏网络设备等类型。无意人为威胁是指操作人员虽然拥有合法和技术,但操作过程中因为失误或者疏忽,对网络安全运行带来的不良影响或者重大损失。

4 校园网中防火墙与入侵检测系统的结合应用

首先,选择入侵检测系统的位置。入侵检测系统可放在防火墙之内,也可以放在防火墙之外。但依据两者不同的功能优势,入侵检测可及时检测异常、攻击行为,而由防火墙对非法入侵进行控制。将入侵检测系统放置在防火墙的后面,不合法信息在经过防火墙的技术过滤,对计算机网络起到一定的保护。将入侵检测系统放在防火墙的内部,在最大限度阻止“幼稚脚本”的攻击同时,让入侵检测系统去发现网络中的攻击行为。

其次,校园网中防火墙与入侵检测系统的结合模型设计,两者并非只是简单的叠加,而是具体的分析两者的功能、优势以及缺点,经过研究后建立的一种由简单的入侵检测系统辅助防火墙技术的安全系统。

最后,防火墙与入侵检测系统的接口。两者通过两种方式实现互动。一种是将入侵检测系统嵌入到防火墙技术中,实现两者的紧密结合。这种情况下,入侵检测系统的数据来源于流经防火墙的数据流。防火墙不仅要验证这些数据,还要对其是否具有攻击性进行判断,从而对攻击行为进行阻断。但入侵检测系统作为一个庞大的系统,为实施带来了一定的难度。另一种个互动方式就是通过开发借口来实现。防火墙技术、入侵检测系统,它们各自开放一个接口,提供给对方使用,双方按事先协商的方式进行信息的传输。这种互动方式灵活,对防火墙技术、入侵检测系统的性能都不会造成影响。

一般系统越复杂,其自身的安全问题也就愈加难解决,通过比较,将防火墙技术与入侵检测系统通过开放接口实现互通,比将两者紧密结合的效果好。防火墙与入侵检测系统的原理、方法、手段等各不相同,但是他们都是为了保护计算机网络信息的安全,两者有着共同的目的,而且面临的威胁也相同,因此,两者的结合应用为校园网的安全防范带来切实可行的方法和手段。

5 结束语

本篇论文将以防火墙技术为代表的静态技术与以入侵检测系统为代表的动态技术结合应用,并非单纯的将两个系统通过设定标准接口简单物理结合,而是将两种技术手段各自独有的功能在新的系统中展现,有力的保障校园网网络系统的安全性,有效提高了网络的防御能力。未来,防火墙与入侵检测系统的结合应用,为计算机网络安全技术提供了广阔的发展空间。在计算机网络安全防范过程里,防火墙技术与入侵检测系统的结合应用,将取长补短为保护计算机网络安全增加一重保障。

参考文献:

篇12

中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)05-0959-02

计算机的发展给人们的生活、工作和学习提供了极大的便利,然而计算机网络系统中存在的安全问题却给人们带来了一定的困扰,因此改善计算机数据库的安全机制、加强对信息基本设备的安全保护相当重要。现在很普遍的“防火墙”虽然具备一定的防护能力,然而还是扛不住各种各样的干扰因素。因此,想要强化计算机数据库的安全性,还需从检测技术和安全机制等方面入手。使用户能够一边使用计算机一边抵抗安全入侵,这不仅能确保系统的安全,还能使数据的完整性不受损害。

1 计算机数据库安全的重要性

计算机数据库的安全分为两种,一种是设备安全,另一种是信息安全,其中信息安全主要是保护用户的隐私,以及保证其网络信息的可用性,因此无论那种安全遭到破坏都将会对计算机数据库造成巨大的威胁。当计算机遭到安全入侵时,首当其冲就是数据库,病毒和黑客是保证数据库安全的两大主要威胁,就近年来的数据显示,全球每天会有两万多网页遭到病毒和黑客的入侵,这不仅给社会的经济带来了巨大的损失,同时还给人们的生活、工作与学习带来了很多损害,因此,保证计算机数据库的安全性至关重要。

2 计算机数据库入侵检测技术的界定

所谓的计算机数据库入侵检测技术就是通过对计算机访问者进行身份、信息、资料等多方面的验证来判断访问者是否合法,一旦有非法分子强行进入或者出现异常状况,入侵检测技术就会做出相关回应,以保护计算机数据库的安全。我们所知的网络陷阱其实就是计算机数据库入侵检测技术所设置的一种关卡,其工作原理就是通过网络运行环境来检测遭受非法入侵时所收集到的有关数据,进行深入分析后判定其行为是否合法,最后做出相关防御措施。

3 常用的计算机数据库入侵检测技术

3.1误用检测技术

感知节点功能单一化,利用电池提供能量,携带能量不足使这些感知节点的自我安保能力大大降低。感知网络多种多样,从道路导航到自动控制,从温度测量到水文监控,不同类型的感知网络传输的数据类型也不尽相同,标准也无法统一,因此,要建立统一的安全保护体系并不容易。传统的认证是区分不同层次的,网络层与业务层都只负责各自的身份鉴别,两者是相对独立的。物联网中的很多设备都是区分用途和工作顺序的,需要业务层与网络层捆绑在一起,因此,可以根据业务的提供方和业务的安全敏感程度来设计业务层与网络层的安全联系。误用检测技术的主要检测对象是已知病毒、入侵活动和攻击模式等等,工作原理是把一切网络入侵活动或者异常行为假设成一种特征模式,在已经把已知入侵活动建立好特征模式的基础上,将今后所发生的异常自行进行相应的匹配,即二者会自动找出相似的特点,如果二者的特征相匹配,系统则会将之视为异常入侵行为,并采取相应的措施。这种技术的检测准确性相当高(主要在已知入侵特征方面),然而对未知入侵活动的检测却起不了作用,尤其是对新的病毒以及攻击体,因此,系统中的数据需要时时更新。

3.2异常检测技术

一般情况下,核心网络的自我保护能力是相对可靠的,但是由于物联网中很多节点是以集群的方式存在,在信息输送时常常会因数据发送量巨大而出现网络拥堵现象,导致拒绝服务攻击。此外,现有通信网络的安全架构大多是按照人的通信角度设计的,并不能很好地适用于机械通信,那么这种网络通信的安全机制可能会割裂物联网中各设备之间的逻辑关系。异常检测技术比误用检测技术的检测准确性高,而且检测范围更广,异常检测技术是以用户平常的习惯行为为模型,并建立到数据库中,然后再将此与计算机用户的操作行为进行对比,在详细分析用户的操作活动后,计算出用户活动的异常状态的数目,若偏差较大则说明计算机遭到了非法入侵。异常检测技术不需要经验,只要有大量的信息并且掌握它们之间的规律就能进行检测。除此之外,异常检测技术还能检测到未知类型的对象,不管是已识别的还是未识别的非法操作,都能将其实行监控。相比于误用检测技术,它不仅检测效率高,操作起来也更加简便。

4 计算机数据库入侵检测技术所存在的问题

4.1 计算机入侵检测结果的准确率低,误报漏报率高

数据库信息分为企业信息和个人信息,信息的安全是否有保证是信息所有者最为关心的,因此计算机入侵检测技术的研发人员在研发过程中对某些关键点设置是非常苛刻的,生怕造成一丝错误。然而这样的情况下往往会吸引大量外部病毒,使得检测结果的准确率大大降低,同时,为了提高准确率而采取的某些措施又会对数据库产生一定的负面作用。

4.2 计算机入侵检测的效率不高

不管是数据入侵还是反入侵,想要有效运行就一定要进行大量的二进制数据运算,庞大的计算量不仅浪费时间,还会加大检测的成本,再加上异常检测技术也会增加计算代价,因此造成入侵检测的效率一直偏低,这显然已经不适应当今网络高速发展的社会环境。

4.3 计算机入侵检测技术没有足够的自我预防能力

计算机入侵检测技术自身存在一些缺陷,再加上设计人员的专业知识有限,造成计算机入侵检测技术的自我防御能力低下。当入侵检测技术受到某些病毒或者非法行为攻击时,它无法将它们进行有效的检测。时间久了,数据库的安全就会遭到威胁。

4.4 计算机入侵检测技术的可扩展性差

这是入侵检测技术中是该重视的问题,因为检测技术没有自动更新的特点,无法判别新的病毒与异常行为,导致病毒蔓延,数据库的安全防线被破坏。

5 加强计算机入侵检测技术

加强计算机入侵检测技术的方法有很多,如减少入侵检测的计算量、建立数据库知识标准、创建新型的系统模型等等。这里简单讲述一下可以减少入侵检测计算量的优化Apriori算法,优化Apriori算法是一种在Apriori算法进行进一步改进的一种算法,这种算法中的剪枝候选集功能是减少计算量主要工具,并且以基于两阶段频集思想的递推算法为核心,它在各个领域都有较广泛的使用。

总而言之,该文主要提出了关于计算机数据库入侵检测技术的几点思考,首先简单介绍了保护数据库安全的重要性以及什么是计算机数据库入侵检测技术,然后提出了两种常用的检测技术,并重点探讨了现如今入侵检测技术存在的几点问题,最后介绍了几种加强计算机入侵检测技术的方法。计算机数据库入侵检测技术在保护计算机信息安全方面有着举足轻重的作用,因此提高该技术是创建一个安全可靠的网络环境的关键。

参考文献:

[1] 兰世龙,谭艳,罗绯,童玲,孟刚.“军卫一号”数据库的网络安全监控研究[J].医疗卫生装备,2009(2).

友情链接