前言:中文期刊网精心挑选了入侵检测技术范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
入侵检测技术范文1
【关键词】网络安全;入侵检测;技术
随着互联网使用在我们日常工作生活中的使用日益频繁以及相关网络技术的飞速发展,网络入侵技术已经得到了相当程度的普及,越来越多的人使用黑客工具对网络上的其他用户进行攻击,由此引发的网络安全问题也随之越来越严重,很多组织正在致力于提出更多的更强大的主动策略和方案来增强网络的安全性,传统的各种静态安全防御体系,如防火墙、身份认证及数据加密技术虽然已经比较成熟,但这些技术并不能够组建成完整的安全防御体系。因此,入侵检测技术就应运而生,在入侵检测之前,大量的安全机制都是根据从主观的角度设计的,他们没有根据网络攻击的具体行为来决定安全对策。因此,它们对入侵行为的反应非常迟钝,很难发现未知的攻击行为,不能根据网络行为的变化来及时地调整系统的安全策略。而入侵检测能够根据网络攻击行为的踪迹和规律发现入侵行为,是一种动态的网络安全系统,它不仅可以发现已知入侵行为,还能够发现未知的入侵行为,并可以通过自我学习和分析入侵手段,及时地调整系统策略以加强系统的安全性。
一、入侵检测的定义
入侵检测是对防火墙的合理补充或补偿,处于防火墙之后对网络活动进行实时检测,从系统(网络)的关键点采集信息并分析信息,察看系统(网络)中是否有违法安全策略的行为,保证系统(网络)的安全性,完整性和可用性。[1]它是帮助系统对付网络攻击的积极防御技术,扩展系统管理员的安全管理能力,提高信息安全基础架构的完整性。
二、入侵检测的系统功能构成
一个入侵检测系统的功能结构至少包含事件提取、入侵分析、入侵响应和远程管理四部分功能。
入侵分析的任务就是在提取到的运行数据中找出入侵的痕迹,将授权的正常访问行为和非授权的不正常访问行为区分开,分析出入侵行为并对入侵者进行定位。入侵响应功能在分析出入侵行为后被触发,根据入侵行为产生响应。由于单个入侵检测系统的检测能力和检测范围的限制,入侵检测系统一般采用分布监视集中管理的结构,多个检测单元运行于网络中的各个网段或系统上,通过远程管理功能在一台管理站点上实现统一的管理和监控。[2]
三、入侵检测的技术分类
入侵检测系统按照数据来源收集方式的不同,分为基于网络的入侵检测系统和基于主机的入侵检测系统两种。
1.基于网络的入侵检测系统
基于网络的入侵检测系统通过分析主机之间网线上传输的信息来工作的,它一般是利用一个工作在“混杂模式”下的网卡来实时监视并分析通过网络的数据流。在Internet中,任何一台主机发送的数据包,都会在所经过的网络中进行广播,也就是说,任何一台主机接收和发送的数据都可以被同一网络内的其他主机接收。在正常设置下,主机的网卡对每一个到达的数据包进行过滤,只将目的地址是本机的或广播地址的数据包放入接收缓冲区,而将其他数据包丢弃,因此,正常情况下网络上的主机表现为只关心与本机有关的数据包,但是将网卡的接收模式进行适当的设置后就可以改变网卡的过滤策略,使网卡能够接收经过本网段的所有数据包,无论这些数据包的目的地是否是该主机。网卡的这种接收模式被称为混杂模式,目前绝大部分网卡都提供这种设置,因此,在需要的时候,对网卡进行合理的设置就能获得经过本网段的所有通信信息,从而实现网络监视的功能。在其他网络环境下,虽然可能不采用广播的方式传送报文,但目前很多路由设备或交换机都提供数据报文监视功能。
2.基于主机的入侵检测系统
基于主机的入侵检测系统是比较早期的入侵检测系统结构,它的检测目的主要是主机系统和系统本地用户,检测原理是根据主机的审计日志信息发现不正常的事件,检测系统可以运行在被检测的主机上,还可以运行在单独的主机上。
检测系统设置以发现不正当的系统设置和系统设置的不正当更改对系统安全状态进行定期检查以发现不正常的安全状态。
基于主机日志的安全审计,通过分析主机日志来发现入侵行为。基于主机的入侵检测系统具有检测效率高,分析代价小,分析速度快的特点,能够迅速并准确地定位入侵者,并可以结合操作系统和应用程序的行为特征对入侵进行进一步分析。[3]目前很多是基于主机日志分析的入侵检测系统。基于主机的入侵检测系统存在的问题是:首先它在一定程度上依赖于系统的可靠性,它要求系统本身应该具备基本的安全功能并具有合理的设置,然后才能提取入侵信息;即使进行了正确的设置,对操作系统熟悉的攻击者仍然有可能在入侵行为完成后及时地将系统日志抹去,从而不被发觉;并且主机的日志能够提供的信息有限,有的入侵手段和途径不会在日志中有所反映,日志系统对有的入侵行为不能做出正确的响应,例如利用网络协议栈的漏洞进行的攻击,通过ping命令发送大数据包,造成系统协议栈溢出而死机,或是利用ARP欺骗来伪装成其他主机进行通信,这些手段都不会被高层的日志记录下来。在数据提取的实时性、充分性、可靠性方面基于主机日志的入侵检测系统不如基于网络的入侵检测系统。[4]
四、入侵检测的技术发展方向
如今,入侵检测系统的技术发展方向有以下几个:
1.分布式入侵检测与通用入侵检测架构
传统的IDS一般局限于单一的主机或网络架构,对异构系统及大规模的网络的监测明显不足。同时不同的IDS系统之间不能协同工作能力,为解决这一问题,需要分布式入侵检测技术与通用入侵检测架构。[5]
2.应用层入侵检测
许多入侵的语义只有在应用层才能理解,而目前的IDS仅能检测如WEB之类的通用协议,而不能处理如Lotus Notes、数据库系统等其他的应用系统。[6]许多基于客户、服务器结构与中间件技术及对象技术的大型应用,需要应用层的入侵检测保护。
3.智能的入侵检测
入侵方法越来越多样化与综合化,尽管已经有智能体、神经网络与遗传算法在入侵检测领域应用研究,但是这只是一些尝试性的研究工作,需要对智能化的IDS加以进一步的研究以解决其自学习与自适应能力。
入侵检测技术作为一种主动的安全防护技术,对网络系统的安全提供全方位的保护。但是,由于网络技术的快速发展以及目前检测方法还不是十分有效,因此,在以后相当长的一个时期内,入侵检测系统仍会是网络信息安全领域内的一个相当重要的研究课题,其主要目标还是尽量降低以至消除误报和漏报。
参考文献:
[1]刘奇有,程思远.浅谈网络入侵检测技术[J].电信工程技术与标准化,2000(1):65-68.
[2]王玉梅,张常有,尹士闪.网络入侵检测技术研究[J].软件导刊,2007(10):117-118.
[3][美]Rebecca Gurley Bace.入侵检测[M].人民邮电出版社,1991.
[4]王凤英,程震.网络与信息安全[M].北京:中国铁道出版社,2006.
[5]朱艳萍,杨意飞.基于人工免疫的入侵检测技术研究[J].软件导刊,2008(4):75-76.
入侵检测技术范文2
入侵检测是检测和识别针对计算机系统和网络系统,或者更广泛意义上的信息系统的非法攻击,或者违反安全策略事件的过程。它从计算机系统或者网络环境中采集数据,分析数据,发现可疑攻击行为或者异常事件,并采取一定的响应措施拦截攻击行为,降低可能的损失。在入侵检测系统中,系统将用户的当前操作所产生的数据同用户的历史操作数据根据一定的算法进行检测,从而判断用户的当前操作是否属于入侵行为,然后系统根据检测结果采取相应的行动。入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。入侵检测系统能很好地弥补防火墙的不足,从某种意义上说是防火墙的补充。入侵检测技术是计算机安全技术中的重要部分,它从计算机系统中的若干关键点收集信息,并分析这些信息,检测计算机系统中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测系统在几乎不影响计算机系统性能的情况下能对计算机系统进行实时监测,并对系统提供针对内部攻击、外部攻击和误操作的实时保护。入侵检测技术通过对入侵行为的过程与特征的研究,使安全系统对入侵事件和入侵过程能做出实时响应。入侵检测技术扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。
2入侵检测技术分类
(1)从数据的来源看
入侵检测通常可以分为两类:基于主机的入侵检测和基于网络的入侵检测。基于主机的入侵检测通常从主机的审计记录和日志文件中获得所需的主要数据源,并辅之以主机上的其他信息,例如文件系统属性、进程状态等,在此基础上完成检测攻击行为的任务。基于网络的入侵检测通过监听网络中的数据包来获得必要的数据来源,并通过协议分析、特征匹配、统计分析等手段发现当前发生的攻击行为。从数据分析手段来看,入侵检测通常又可以分为两类:误用入侵检测和异常入侵检测。误用检测的技术基础是分析各种类型的攻击手段,并找出可能的“攻击特征”集合。误入侵检测的定义为:识别针对计算机或网络资源的恶意企图和行为,并对此做出反应的过程。入侵检测系统则是完成如上功能的独立系统。入侵检测系统能够检测未授权对象,针对系统的入侵企图或行为,同时监控授权对象对系统资源的非法操作。
(2)从数据分析手段看
入侵检测通常可以两类:滥用入侵检测和异常入侵检测。滥用入侵检测的技术基础是分析各种类型的攻击手段,并找出可能的“攻击特征”集合形成特征库或者模式库,滥用入侵检测利用形成的特征库,对当前的数据来源进行各种分析处理后,再进行特征匹配或者规则匹配工作,如果发现满足条件的匹配,则指示已经发生了一次攻击行为然后入侵检测系统的响应单元做出相应的处理。异常入侵检测是通过观察当前活动与系统历史正常活动情况之间的差异来实现。这就需要异常入侵检测建立一个关于系统正常活动的状态模型并不断更新,然后将用户当前的活动情况与这个正常模型进行对比,如果发现了超过设定值的差异程度,则指示发现了非法攻击行为。
相比较而言,滥用入侵检测比异常入侵检测具备更好的确定解释能力,即明确指示当前发生的攻击手段类型,另外,滥用入侵检测具备较高的检测率和较低的虚警率,开发规则库和特征集合相对于建立系统正常模型而言,要更容易、更方便。但是,滥用入侵检测只能检测到已知的攻击模式,模式库只有不段更新才能检测到新的攻击类型。而异常检测的优点是可以检测到未知的入侵行为,尽管可能无法明确指示是何种类型。从现有的实际系统来看,大多数都是基于滥用入侵检测技术,同时也结合使用异常入侵检测技术,提高了检测率并降低了虚警率。
3数据库系统的安全
数据库系统的安全框架可分为三个层次:网络系统层次、宿主操作系统层次和数据库管理系统层次。由于数据库系统在操作系统下都是以文件形式进行管理的,因此入侵者可以直接利用操作系统的漏洞窃取数据库文件,或者直接利用OS工具来非法伪造、篡改数据库文件内容。因此,数据库系统的安全性很大程度上依赖于数据库管理系统。如果数据库管理系统安全机制非常强大,则数据库系统的安全性能就较好。根据数据库安全的三个层次,笔者提出了一个数据库入侵检测系统,其外层用基于网络的入侵检测,中间层用基于主机的入侵检测,内层采用入侵容忍。此系统采用系统整体安全策略,综合多种安全措施,实现了系统关键功能的安全性和健壮性。
4数据库入侵检测技术
数据库入侵检测系统的研究与设计借鉴了针对网络和针对主机的入侵检测技术,在此基础上,又考虑了数据库自身的特点。按照检测方法分为:误用检测和反常检测。
(1)数据库误用检测
误用检测是指将已知的攻击特征存储在误用特征知识库里面,然后根据用户的当前操作行为与知识库里的误用入侵规则进行匹配检验,如果符合知识库中的入侵特征,则说明发生了入侵。误用特征知识库中的入侵规则由安全专家定义,可以随时添加、修改,然后保存在知识库中,用来对审计数据进行匹配比较。误用检测的优点是检测的准确率高,缺点是只能对已知的攻击特征进行匹配检验,对未知的攻击类型无法发现,而对未知攻击类型的检测要依靠异常检测。所以,误用检测常常与异常检测结合起来使用。
(2)数据库反常入侵检测
反常检测是指将用户正常的习惯行为特征存储在特征数据库中,然后将用户当前行为特征与特征数据库中的特征进行比较,若两者偏差足够大,则说明发生了反常。这种方法的优势在于它能从大量数据中提取人们感兴趣的、事先未知的知识和规律,而不依赖经验,应用在基于数据库的入侵检测系统中,可以从大量的数据中发现有助于检测的知识和规则。
参考文献:
[1]唐正军.入侵检测技术导论[M].机械工业出版社,2004.
[2]戴英侠,连一峰,王航.系统安全与入侵检测[M].清华大学出版社,2002.
[3]玄加林,才书训.入侵监测系统现状与展望[J].计算机时代,2005,8.
[4]李新远,吴宇红,狄文远.基于数据发掘的入侵检测建模[J].计算机工程,2002,2.
[5]胡昌振.网络入侵检测原理与技术[M].北京理工大学出版社,1996.
入侵检测技术范文3
第三次科技革命开展以来,世界越来越被连成一个整体,信息技术的高速发展使得信息的传递和使用常态化,作为当今最大的发展中国家,计算机数据库系统的安全与稳定关系到国家安全和人民生活的隐私保护。由于人们对使用网络技术的追求不断提高,当前如何保护计算机数据库问题成了社会各界关注的重点,本文以计算机数据库入手,分析如何通过计算机数据库入侵检测技术以保护计算机数据库。
关键词:
计算机数据库;入侵检测技术;分析
随着当前互联网技术的不断发展,人们的生活已经进入到计算机时代,各种信息的传递和应用,凸显了网络技术无可比拟的优越性。但是,任何事物都有优缺点,互联网技术也存在安全问题。由于计算机网络是一个开放的、自由的平台,其在使用过程中也存在巨大的安全隐患,黑客的存在使得计算机数据库的安全问题成为当前保护计算机网络安全急需解决的首要问题。
一、防范计算机数据库入侵的重要性
所谓的计算机数据库保护,就是通过建立一种入侵检测技术,及时发现系统可能存在的漏洞,然后针对这些漏洞查明原因,再根据具体的问题提出解决的措施,以及时应对出现的问题。数据库作为计算机系统的核心部位,关系到对整个信息的保护与整理,关系到国家、集体和个人的利益问题。当前,由于黑客的存在使得计算机信息的保密性、安全性、可靠性问题受到巨大的挑战,如果计算机数据库遭到黑客入侵,将会带来巨大的损失。所以,在经济、科技高速发展的今天,随着社会各方面竞争的不断加剧,如何尽最大可能保护整个信息系统的安全,关系到一个社会文化、经济等的健康、快速发展。
二、计算机数据库入侵检测技术的功能
计算机数据库入侵检测技术按照检测方法的不同可以分成两种类型,分别为反常检测和误用检测,下文将对此进行详细介绍。1.反常入侵检测。反常入侵检测就是指计算机数据库中会存储用户平时习惯性的行为特征,将用户本次的操作行为特征和数据库中存储的行为特征进行比较,如果二者之间的差距比较大,就说明此次操作出现了反常。这种入侵检测方法的优点就是可以掌握用户的操作习惯,当发生问题时可以不依靠经验而从大量的数据信息中找出有用的信息。2.误用入侵检测。所谓误用入侵检测就是指知识库中会存储一些已经知道了的入侵行为特征,将用户此次的行为特征和知识库中已经储存的入侵行为特征进行比对,如果二者之间没有差别,则说明出现了误用入侵行为。知识库中所存储的入侵信息是由专业的人员进行设定的,相关负责人员可以对知识库中存储的信息进行修改、编辑。这种入侵检测方法最大的优点就是准确性比较高。但也存在一定的局限性,即只能对已知的入侵行为进行检测,如果出现未知的入侵行为则无法使用这种方法。通常情况下,会将反常入侵检测和误用入侵检测结合在一起使用。
三、计算机数据库入侵检测技术存在的问题
相比于国外发达国家而言,我国在计算机数据库入侵检测技术领域的研究起步比较晚,现阶段我国的计算机数据库入侵检测技术研究仍处于初始阶段,发展速度比较缓慢,检测系统也不完善,很多高新技术还处于理论研究阶段,难以发挥实际的作用。目前,我国计算机数据库入侵检测技术还存下述几个方面的问题。
1.误报率比较高。计算机数据库作为计算机系统的核心部位,包含了大量的计算机信息资源,不仅信息量巨大,而且内容复杂、分类繁琐。在对这些信息进行保护或者是检测的过程中,仅仅是单纯依靠防火墙将很难达到理想的效果。现有的检测技术不能正确的将可能出现的问题完全检测出来,例如对于一些比较隐蔽的问题,没有通过检测技术找出来;对于一些正确的、安全的信息被认为是具有攻击性的、来自外部的信息,这些都有可能影响检测系统的正常运行,从而降低检测效率,误报可能性高,大大降低了数据库的质量。
2.检测效率低。计算机数据库入侵检测系统的存在就是为了能及时发现可能出现的信息入侵,及时识别并生成数据,做出对攻击行为的判断,以此保护计算机数据库的安全。但是,由于网络攻击行为是将二进制码转换后完成的,所以检测系统还需要先匹配大量二进制码,将其编码后才能做出是否攻击的行为判断。这些过程和步骤都需要有高效率的计算量做保障,因此,由于当前的检测技术存在问题,导致检测效率低,不仅浪费时间,而且浪费检测费用,使得计算机数据库的安全问题得不到及时、有效的保障。
3.入侵检测系统自身防护能力差。计算机技术本就是与相关专业知识、理论体系紧密结合的专业技术,其在发展过程中需要大量具有专业素质的人才。然而在检测技术发展过程中,由于我国起步较晚,检测技术发展存在一些无法忽视的漏洞和安全隐患,同时,相关专业知识储备的人才较少,导致检测技术本身就存在大量的问题。检测技术的存在本就是为了保护计算机数据库,但是如果有专业的外部攻击或者是病毒入侵,检测技术很难自保,极易出现检测系统不能正常运转或者是崩溃的局面。
四、计算机数据库入侵检测技术的应用分析
1.计算机数据库系统。在对计算机数据库系统进行保护的过程中,利用入侵检测技术及时发现此系统下可能出现的问题的一个重要方法就是针对计算机数据库本身的结构,将计算机数据库合理划分成不同的层次,然后对其进行分类别保护。我们知道,计算机数据库的管理系统层、宿主的操作系统层和网络系统层是计算机数据库系统的三个重要组成层次,因此,计算机数据库的入侵检测技术可以从这三个层面进行分析,并通过研究不同层面的技术以保护计算机数据库系统。例如,对于其外层来说,利用基于网络系统的入侵检测技术;针对中层来说,主要是利用主机系统,通过制订路径检测技术以实现对数据库的检测;针对内层来说,通过建立入侵容忍技术以不断完善检测技术。
2.建立计算机数据库入侵检测系统模型。对于计算机数据库入侵检测系统来说,其对入侵系统和攻击行为的检测不是单一的过程,需要各个步骤之间相互配合,通过采集数据、处理数据、挖掘数据、知识的规则库、提取特征、入侵检测六个方面以实现对数据库的检测与分析。从这六个过程的本质可以看出其包含三个板块,包括采集数据模块、检测分析数据模块和报警响应模块,通过这三个模块的应用,可以根据收集到的原有数据了解正常模式下的操作数据,从而与现有的数据相对比,检测计算机数据库是否遭到不合理入侵,是否需要出具警示标志,是否需要做出行动阻止这些行为。因此通过规范的检测步骤和条理清晰的模块组织以实现对计算机数据库的保护。
3.建立统一的数据库知识标准。掌握计算机数据库入侵的特点对于实施计算机数据库入侵检测技术具有一定的帮助,因此要重视计算机数据库入侵特点的分析和研究。在数据挖掘领域比较常用的一种方法就是相关研究。通过相关研究可以将潜在入侵行为进行整理研究,从而加快对潜在入侵行为的处理速度。此外,采用这种方法主要包括两个方面的内容。第一,就是检查数据库复杂项集,一般都是通过迭代技术完成检查任务。在检查数据库复杂项集时需要重新扫描数据库,以确保其准确性;第二,要采用一定的方法将复杂项集转换成相关的规定,完成这个转换过程就会生产另一种规则,系统会按照新的规则继续运行。因此,为了防止计算机数据库入侵行为的发生,要建立统一的数据库知识标准,加强计算机数据库的防御性。
五、总结
依靠科技技术、知识的发展,进入信息时代的今天,国家经济的发展、人民的生活已经离不开计算机网络系统。针对信息系统出现的一系列安全问题,为保障国家安全与维护集体利益,通过研发与利用新的计算机数据库入侵检测技术,及时发现可能出现的攻击行为和信息入侵,通过提高检测效率和增加检测识别的准确性以实现对计算机数据库的保护,维护计算机数据库的安全。
参考文献:
[1]乐瑞卿.计算机数据库入侵检测技术的探讨[J].计算机光盘软件与应用,2011
[2]马黎.王化喆.试析计算机数据库入侵检测技术的应用[J].商丘职业技术学院学报,2015
入侵检测技术范文4
关键词:入侵检测;网络安全;计算机应用;信息;程序设计;VC
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2010) 03-0026-01
Network Intrusion Detection Technology Analysis and Applied Research
Lu Li,Lu Yi
(Changsha City Health School,Changsha 410100,China)
Abstract:Firstly thesis analyse the concept of intrusion detection, pointing out the development of intrusion detection, with data analysis view, point out its basic classification. As a practice,finally gives a basic network intrusion detection program implementation, in order to play a reference role in program development
Keywords:Intrusion detection;Network security;Computer applications;Information;Program design;VC
一、入侵检测技术综述
(一)入侵检测的技术分类
当前入侵检测技术,从数据分析角度不同,可以分为误用模型的入侵检测以及异常入侵检测系统两种。前者做一个基本假设:一切来自网络及本地的安全入侵都可以按某种方式被精确地编码,并通过对已知的各种入侵形式进行相应的编码,来构成入侵模式库。这种方式通过采样网络安全相关的特征数据,而且与入侵模式库中的模式进行匹配来实现。异常检测系统首先通过对宿主计算机系统中的一组与安全相关的特征属性的取值进行统计和分析,为系统正常运行状态下的行为建立起一个特征轮廓印。然后不断监测这些安全相关特征属性的实时取值,与正常行为特征轮廓出现大的差异时检测入侵。
二、入侵检测的程序实践
(一)系统总体设计
本系统将实现为一个基于网络的入侵检测系统,本系统采用误用检测技术。与普通的采用误用检测技术的入侵检测系统相比,该系统内部并没有设置复杂的特征库,所有的入侵模式都要用户自己设置,然后依据这些模式对入侵行为进行拦截或放行。
(二)系统功能模块
1.网络数据收集及检测引擎
本部分采用应用层截包方案,即在驱动程序中截包,然后送到应用层处理的工作模式。在应用层工作,改变了工作模式,每当驱动程序截到数据,送到应用层处理后再次送回内核,再向上传递到IP协议。综合考虑各种因素,本部分决定采用应用层的截包方案。
2.驱动程序拦截网络数据包的方式
利用驱动程序拦截网络数据包的方式很多,本系统采用Win2k Filter-Hook Driver拦截数据包。在win2000设备程序开发包(DDK)中,微软包含一个新的命名为Filter-Hook Driver的网络驱动程序。本程序采用 DrvFltIp.sys 驱动程序实现IP协议过滤。其中回调函数是这类驱程的主体部分。DrvFltIp.sys IP过滤驱动程序使用这个过滤钩子来判断IP数据包的处理方式。所注册的过滤钩子是用PacketFilterExtensionPtr数据类型定义的。Filter-Hook使用该I/O控制码建立一个IRP,并将其提交给IP过滤驱动程序。该控制码向IP过滤驱动程序注册过滤钩子回调函数,当有数据包发送或者接收时,IP过滤驱动程序调用这些回调函数。在本系统中定义了四种设备控制代码。分别是开始过滤、停止过滤、添加过滤规则、清除过滤规则:
#define START_IP_HOOK CTL_CODE(FILE_DEVICE_DRVFLTIP,
DRVFLTIP_IOCTL_INDEX,METHOD_BUFFERED, FILE_ANY_ACCESS)
#define STOP_IP_HOOK CTL_CODE(FILE_DEVICE_DRVFLTIP,
DRVFLTIP_IOCTL_INDEX+1,METHOD_BUFFERED,FILE_ANY_ACCE SS)
#define ADD_FILTER CTL_CODE(FILE_DEVICE_DRVFLTIP,
DRVFLTIP_IOCTL_INDEX+2,METHOD_BUFFERED,FILE_WRITE_ACC ESS)
#define CLEAR_FILTER CTL_CODE(FILE_DEVICE_DRVFLTIP,
DRVFLTIP_IOCTL_INDEX+3,METHOD_BUFFERED,FILE_ANY_ACCES S)
3.SCM管理器
程序通过SCM管理器创建或打开服务。首先通过语句OpenSCManager(NULL, NULL, SC_MANAGER_ALL_ACCESS);打开SCM管理器,然后通过CreateService(m_hSCM, IpFltDrv,SERVIC E_AL L_ACCESS,SERVICE_KERNEL_DRIVER,SERVICE_DEMAND_START, SERVIC E_ERROR_NORMAL, IpFltDrv.sys, NULL, 0, NULL, NULL, NULL)启动IP过滤驱动;启动IP过滤驱动后,要启动IP过滤钩子驱动,其中驱动程序收到上层发过来的控制代码后即按照注册的钩子函数进行入侵检测。
4.攻击模式库
该部分由用户自己设置。针对特定的攻击,设置攻击的源IP,端口,及子网掩码,目的IP,端口,及子网掩码,然后选择要拦截或放行的协议类型。每一次设置相当于一条记录,可以设置多条记录,攻击模式库即由这些记录共同构成。
三、总结
驱动程序会按照用户的选择对拦截的数据包进行处理,在报警及响应过程完毕后,点击菜单项的ShowReport选项,会对遭受的攻击及处理的结果作出响应。该系统可以较好的完成入侵检测的功能,保证网络的安全。
参考文献:
入侵检测技术范文5
关键词:计算机网络;网路安全;入侵检测;防火墙
中图分类号:TP393.08文献标识码:A文章编号:1009-3044(2012)08-1749-03
Discussion on Computer Network Intrusion Detection Technology
QIU Jing
(Hunan Communication Polytechnic, Changsha 410004, China)
Abstract: With the rapid development of computer network technology, the application of computer network has been very widespread. Therefore, the computer network security has become the major concern of current network managers. This paper mainly analyzes a widely used computer network security technology-intrusion detection technology and effectively incorporates it with firewall technology, which greatly improves the network security defense ability.
Key words: computer network; Network security; intrusion detection; firewall
随着计算机网络技术的飞速发展,其应用领域也变得越来越广泛,几乎渗透到了人们的工作和日常生活当中,给人类的生活带来了重大的改变。但飞速的网络发展给人类带来方便的同时,也带来了很大的网络安全隐患。网络安全问题也变得日益严重,每年因网络安全问题带来的损失巨大,网络病毒的传播、网络钓鱼网站的诱导以及黑客的木马攻击等给广大的网民带来了很大的困扰。因此,网络安全技术成为了当前必须引起重视的问题。传统的网络安全技术主要有防火墙技术、数据加密技术等,这些网络安全技术是一种基于被动的网络安全技术,主要阻止一些来自外部的网络攻击。而入侵检测技术是一种基于主动防御的网络安全技术,能有效的阻止来自网络内部的攻击,有效弥补了传统网络安全技术的不足。
1计算机网络入侵检测概述
1.1入侵检测定义
入侵检测(IDS),是通过监控和收集计算机网络系统中的某些关键点信息,并对这些信息进行归纳分析来检测入侵者的企图。直观的说,就是通过识别入侵行为,了解入侵者的意图和目的,网络管理员根据这些入侵信息做出相应的防范措施,从而免受系统遭受到不必要的损失。因此,它是一种主动防御的安全措施,能够有效的减少系统被入侵的可能性。
1.2入侵检测分类
目前的入侵检测系统主要有两类:基于误用的入侵检测和基于异常的入侵检测。基于误用的入侵检测主要是通过模式匹配方法来检测入侵行为。基于异常的入侵检测主要是通过检测系统当前行为与正常行为存在一定程度的偏差时,就判断系统已受到了攻击。基于误用的入侵检测的优点是检测出已知的攻击准确率高,缺点是不能发现未知攻击。异常检测的优点是可以检测到未知攻击,缺点是误报率较高。
2入侵检测系统结构分析
入侵检测系统的结构主要由四大部分组成:数据收集装置、检测器、知识库、控制器。如图1所示。
数据收集装置主要负责收集系统状态信息的相关数据,收集完成后传递给检测器;检测器主要检测和分析入侵的企图和目的,并发出警报信号;知识库主要提供一些数据信息的支持;控制器通过接收到的警报信号,对其进行分析和研究,做出自动或人工的反应动作,即根据入侵信息来做出相应的防范措施。
3入侵检测系统存在的问题
入侵系统技术虽然是目前应用比较广泛的网络安全防范技术,但还存在着一些问题,主要体现在以下几个方面:
图1入侵检测系统结构示意图
3.1误报和漏报率比较高
当前入侵检测系统的主要问题就是误报和漏报,由于入侵检测系统的检测精度不高,从而增大了误报率和漏报率。基于误用的入侵检测的误报和漏报率虽然相对较低,但它又不能完成对未知攻击的检测;基于异常的入侵检测虽然能够解决对未知攻击的检测这一问题,但它的误报和漏报率比较高,所以都存在着一些不足之处。
3.2准确定位和处理机制存在不足
入侵检测系统只能识别IP地址,并不能对IP地址定位,也就不能识别入侵数据信息的来源。一旦检测出攻击事件,入侵检测系统就通过关闭网络出口以及服务器的某些端口,这样虽然能有效的阻止入侵者的攻击,但同样会影响到其他正常用户的访问,从而缺乏有效的处理机制。
3.3系统性能存在不足
如果服务器在大流量访问的冲击或多IP分片的情况下,很有可能造成入侵检测系统的丢包甚至瘫痪。由于入侵检测主要依赖于已有的一些经验,所以与理想的效果还存在着一些差距。尽管目前的入侵检测方法繁多,但如何将它们成熟的运用起来还是一个很大的挑战,也是需要当前网络安全工作者们深入研究和探讨的重要课题。根据网络安全技术发展的需要,主要研究的方向应当是:入侵检测系统的标准化、各种入侵检测系统的构架、入侵检测系统的智能化以及与其他网络安全技术相结合的运用等。除了完善这些传统的技术参数以外,还需要加强新技术的开发和研究,才能使得该产品保持长久的市场竞争力。
4入侵检测与防火墙结合的应用研究
4.1入侵检测与防火墙的互动运行
设计一个有效的安全系统,至少需要防护、检测和响应三个部分。这三个部分需要实现基于时间的简单关系。也就是要求检测系统在入侵者尚未突破防御阶段就能检测出入侵者的攻击企图,一旦检测成功,响应部分作出相应的处理。这种模式虽然不能确保有效率达到百分之百,但如果检测足够快,响应足够及时准确,防护系统就能在攻击者入侵系统之前,及时发现并作出相应的保护措施,这样就能做到对整个系统安全的有效防御。我们可以通过防火墙一类的手段来做防护,入侵检测手段来做检测,当网络系统得知入侵检测系统检测到有攻击者入侵时,便会作出相应的反应,这时可以由系统自动或网络管理员手动的方式来针对入侵信息作出有效的防御。也就是说,入侵检测与防火墙的互动运行,可以实现一个比较理想的安全防范体系,有效弥补了传统安全技术不足。其互动逻辑图如2所示。
图2互动逻辑示意图
4.2入侵检测与防火墙结合的设计框架
首先,我们来设计检测器设置的位置,入侵检测既可以放在防火墙之外也可以放在防火墙之内。例如图3给出了将IDS放在防火墙之内的设置。
图3 IDS置于防火墙之内示意图
在设计的过程当中,并不只是将入侵检测系统和防火墙系统进行简单的叠加,而是结合两者的功能和特点来建立一个有效的网络安全防范系统。可以通过结合两者功能的优点,互相弥补其不足,由入侵检测系统来辅助防火墙系统,具体设计如图4所示。
图4 IDS与防火墙结合设计示意图
5总结
入侵检测技术虽然在网路安全技术中是一项非常重要的技术手段,但将其单独的运用在网络安全防范系统当中,存在着很多的不足之处。因此,应当将防火墙技术与入侵检测系统结合互动的使用,这样的组合比以前单一的技术都有了较大的提高,网络的防御安全能力大大提高,防御系统才能成为一道更加坚固的围墙。
参考文献:
[1]胡振昌.网络入侵检测原理与技术[M].北京:北京理工大学出版社,2005.
[2]郑晓霞. BP网络安全技术的研究[J].电脑知识与技术,2009,5(35):9947-9951.
入侵检测技术范文6
关键词:云计算;病毒入侵;构建
中图分类号:TP311 文献标识码:A 文章编号:1009-3044(2013)32-7205-03
病毒防护是计算机技术中一项重要技术,计算机在运行过程中会遇到各种各样的病毒,这些病毒会影响到计算机的运行严重情况下甚至会导致计算机系统瘫痪,从而造成不可估量的损害。因此病毒防护历来是计算机技术中一项重要技术。传统的病毒防护技术主要指的是防火墙、杀毒软件、网络入侵检测等技术。这些病毒防护技术虽然在一定程度上满足了计算机的基本功能,但是随着信息技术的不断发展,传统的防护技术已经不能够适应快速地、日益增长的安全问题了。因此病毒防护技术亟待创新。
云计算是当今一个新兴概念,云计算本身具有综合性、容低性、高容错性等性能,这些性能正好能够更好地处理计算机病毒。加强云计算技术在病毒检测技术中的应用是未来发展的必然趋势。
1 云计算在病毒入侵检测技术中的具体应用
云计算技术本身是一种新型技术,云计算在计算机中的应用主要体现在通过通过云计算技术对庞大的侵入计算机行为数据进行分析,而后再通过其他平台通过网页形式报告给计算机用户,从而使用户能够及时了解计算机本身的安全状况。
在新形势下入侵计算机的行为数据量是非常大的,采用传统的病毒防护技术不能实现快速地分析检测,而采用云计算技术则可以在短时间内实现对大数据的处理。与传统病毒防护技术相比,云计算技术有着无可比拟的优势。该文就以snort网络病毒入侵检测系统为例来详细说明云计算技术在病毒入侵检测技术中的应用。
2 Snort网络入侵检测系统的构建
Snort网络入侵检测系统本身是一项复杂的网络检验系统,该系统的构建是需要多个步骤才能实现的。该系统的构建主要包括以下几个步骤:
一是云的构建。云计算应用关键就在于构建云,当前在构建云的过程中主要是通过在多台Linux中安装Hadoop来实现的。二是设计程序。程序的设计是系统构建的关键步骤,对于snort网络主要是设计Map-Reduce程序。通过设计完整的程序来实现对警报信息的有效整合。三是构建Hbase分布式数据库。该数据库主要是用来存储经过整合后的数据的。四是利用Map-Reduce来对数据进行分析处理,最终以web服务器和PHP网页脚本语言呈现给用户。
3 病毒入侵检测系统的具体实施
上文只是把系统构建的步骤进行了介绍,下面我们就来探讨病毒入侵检测系统的具体实施。对于该系统的构建我们主要是在综合机房中实现的,该系统对硬件配置的要求较高,因此采用校内网速IG、网速达到100M的快带网络来构建起云计算实验平台。该系统需要6台普通PC机来进行构建,在这6台PC中有一台作为主节点,另外5台作为从节点来使用。在这些电脑中还需要安装zookeeprer。
该系统的具体实施是按照以下步骤来实施的:首先是对6台计算机安装linux并分别命名。对于主节点要命名为hadoop,其余五台则分别命名为hadoop1、hadoop2、hadoop3、hadoop4、hadoop5.命名之后就要把五台计算机连接在一起。其次是要生成PCI秘钥对,最终保证各台计算机ash实现无密码登陆。第三步是安装jdk文件,jdk在安装完成之后还要专门进行调试。只有经过专门调试才能保证正常工作。第四步就是配置相关文件。对于hadoop中hadoop-env.sh要修改其jdk路径,对于slaves文件的修改要把其变为hadoop1-hadoop5.做好这些配置后,还要对core-site.xml文件进行配置,该文件是hadoop的主要文件,我们必须要对此保持高度重视。最后就是要配置mapred—site.xml文件。在完成以上步骤之后就可以启动云了。最后一步是安装apache服务器。针对这服务器的安装需要从以下几步来做:安装woke目录;下载并解压apache文件;建立makefile;编译make;安装Apache。至此该网络病毒入侵检测系统算是构建完成。在完成系统构建之后,我们就可以通过专门实验来观察其效果了。
4 系统效果分析
通过专门实验之后,我们发现该系统本身有效地检测出了计算机的病毒。在云计算环境下的病毒入侵检测系统实现了从病毒防护平台就可以查出恶意入侵的源IP、攻击的起始时间、结束时间等内容。通过这一系统基本上实现了对网络系统的病毒检测。
通过云计算技术病毒网络入侵检测系统实现了对警讯来源、目的等的综合分析。采用云计算技术可以使得用户能够迅速掌握计算机所遭受到的攻击,对于快速处理计算机病毒具有至关重要的问题。在病毒入侵检测系统中应用云计算技术改变了传统的处理警报的形势,提高了云端安全问题解决效率。采用项技术基本上能够有效解决病毒入侵检测。
上文详细分析了云计算技术所取得的明显效果。但是我们在实验过程中也出现了一些问题,这些问题的出现最终会影响到病毒入侵检测效果,因此在这样的背景下我们除了要掌握其效果之外,还要对实验过程中出现的问题进行详细处理。当前在实验过程中出现的问题主要表现在以下几个方面:
4.1 产生错误代码
在实验过程中我们发现网络系统本身出现了错误代码。经过详细分析我们发现之所以会出现错误代码主要原因是因为dfs.name.dir路径设置有问题,该文件并所有权发生混乱,最终使得主节点检查不到子节点。针对这个问题我们通过修改子节点的文件夹权限,最终有效解决了这个问题。
4.2 数据处理方法有待深化
在数据处理过程中算法Merge Extended Alert job处理过后的数据与之前数据相比并没有明显区别。可见当前的数据处理技术还有待深化。
4.3 程序问题
所谓程序问题主要指的是两方面的问题:一是出现了数据重复处理的现象。之所以会出现遮掩高度问题主要是因为没有将原来的hdfs移除造成的。在意识到这个问题之后工作人员及时移除数据,数据重复处理的现象得以避免。二是runjob程序仍然存在。在实验过程中使用Kill命令本身不足以停止Hadoop。这对数据处理造成了很大影响。在这方面必须要引起我们的高度重视。在今后的病毒防护过程中必须要不断改善这种现象。
5 云计算技术安全性分析
云计算技术在计算机病毒入侵检测系统中虽然得到有效应用,但是正如上文所说云计算技术在实验过程中还存在一些问题,因此加强对云计算技术安全性的详细分析具有重要意义。该文就以PCShare为例来详细对云计算技术的安全性进行分析。通过观察我们发现云计算技术在应用过程中存在着以下安全性问题:
5.1 文件路径欺骗
在计算机运行过程中云计算技术本身存在着文件路径被欺骗的隐患。木马程序通过构建没有实际内容的文件可以改变实际存在的文件目录。这样的木马程序会对计算机的自动运行造成巨大影响。该木马程序首先是通过创建虚拟目录,而后让木马程序在虚拟目录中运行,最后再删除虚拟目录。通过这种方法最终严重影响到了计算机性能。
这个问题的具体步骤,首先是利用subst命令对恶意程序赋驱动符。在实际运行过程中用磁盘驱动器符来代替恶意程序创建的目录;之后就是要在虚拟驱动器中运行恶意程序,最后就是删除虚拟驱动器。
5.2 云查杀欺骗。云查杀过程中存在的欺骗主要指的是通信欺骗。通信欺骗也是云计算技术运行过程中遇到的主要问题
上述两个问题是云计算过程中常见的问题,针对这两个问题的处理,我们需要采取专门措施来予以预防。对于文件路径欺骗的行为,工作人员要运用杀毒软件来获得木马程序本身的虚拟目录,然后进一步获取物理路径。如果杀毒软件本身不能够找到物理路径的时候,就需要采用其他方法对木马程序进行定位。对于云查杀过程中通信欺骗行为。在实际应用过程中可以通过杀毒软件对数据进行加密,对数据包进行检验等方法来有效防止恶意程序的破坏。
云计算技术是当前IT技术中一项新兴技术,该技术在病毒入侵检测系统中的应用能够有效提升病毒入侵检测能力,对于保证计算机安全具有重要意义。在病毒防治形势日益复杂的背景下加强对云计算技术的研究具有重要意义。该文详细分析了云计算技术的优势,而后以sonrt网络病毒入侵检测系统构建为例详细说明了云计算技术在病毒入侵检测系统中的应用,最后对云计算技术的安全性进行了分析。在今后的实际工作过程中必须要不断加强对云计算技术的研究。
参考文献:
[1] 蒋晓峰.面向开源程序的特征码免杀与主动防御突破研究[D].上海:上海交通大学,2011.
