網(wǎng)絡(luò)安全入侵檢測(cè)闡述

時(shí)間:2022-06-07 04:57:02

導(dǎo)語:網(wǎng)絡(luò)安全入侵檢測(cè)闡述一文來源于網(wǎng)友上傳,不代表本站觀點(diǎn),若需要原創(chuàng)文章可咨詢客服老師,歡迎參考。

網(wǎng)絡(luò)安全入侵檢測(cè)闡述

摘要:網(wǎng)絡(luò)安全問題已經(jīng)成為當(dāng)今社會(huì)人們最為關(guān)注的問題之一,一旦網(wǎng)絡(luò)受到惡意入侵,很有可能會(huì)造成電腦系統(tǒng)癱瘓或儲(chǔ)存信息泄露等問題,對(duì)人們的工作以及信息安全造成了一定的影響,因此相關(guān)人員一直極為重視對(duì)網(wǎng)絡(luò)安全防范技術(shù)的研究,并對(duì)入侵檢測(cè)技術(shù)進(jìn)行著不斷的優(yōu)化,本文將對(duì)這一技術(shù)的概念、工作原理和流程、分類、運(yùn)用實(shí)踐以及發(fā)展趨勢(shì)五個(gè)方面進(jìn)行闡述,希望能夠?yàn)槿肭謾z測(cè)技術(shù)的運(yùn)用帶來一定的啟示。

關(guān)鍵詞:網(wǎng)絡(luò)安全;入侵檢測(cè);工作原理;發(fā)展趨勢(shì)

對(duì)電腦系統(tǒng)進(jìn)行破壞操作,以非法獲得他人信息資料的行為,就可以視為是入侵行為。目前,網(wǎng)絡(luò)安全的主要防范技術(shù)就是防火墻技術(shù),雖然這種技術(shù)具有一定的防范優(yōu)勢(shì),但較為被動(dòng),并不能自動(dòng)對(duì)電腦進(jìn)行檢測(cè),而入侵檢測(cè)技術(shù)較為主動(dòng),能夠?qū)﹄娔X系統(tǒng)進(jìn)行實(shí)時(shí)的監(jiān)控和防護(hù),可以及時(shí)發(fā)現(xiàn)對(duì)電腦進(jìn)行入侵的操作,并予以制止,既能夠阻止外來的惡意侵入,同時(shí)還能對(duì)用戶的操作進(jìn)行監(jiān)管,一旦用戶出現(xiàn)違規(guī)操作就會(huì)發(fā)出警報(bào),提升了信息資料的安全系數(shù)。

1入侵檢測(cè)技術(shù)

入侵,英文為“Intrusion”,是指企圖入侵計(jì)算機(jī)系統(tǒng),對(duì)其可用性、保密性以及完整性進(jìn)行破壞的一系列操作行為,而入侵檢測(cè)就是指對(duì)企圖進(jìn)行入侵的行為進(jìn)行檢測(cè)的一項(xiàng)技術(shù)。主要是通過將計(jì)算機(jī)網(wǎng)絡(luò)以及計(jì)算機(jī)系統(tǒng)中的重要結(jié)點(diǎn)信息收集起來,并對(duì)其進(jìn)行分析和判斷,一旦出現(xiàn)有違規(guī)操作或者有惡意攻擊的情況,就會(huì)立即將這一情況反映到系統(tǒng)管理人員處,對(duì)入侵行為進(jìn)行檢測(cè)的硬件以及軟件被稱為入侵檢測(cè)系統(tǒng)。入侵檢測(cè)系統(tǒng)在電腦運(yùn)轉(zhuǎn)時(shí),該系統(tǒng)會(huì)進(jìn)行如下幾點(diǎn)操作:(1)對(duì)用戶和系統(tǒng)的活動(dòng)進(jìn)行監(jiān)視和分析;(2)對(duì)系統(tǒng)的構(gòu)造以及不足之處進(jìn)行審計(jì);(3)對(duì)入侵行動(dòng)進(jìn)行識(shí)別,將異常的行為進(jìn)行統(tǒng)計(jì)和分析,并上報(bào)到后臺(tái)系統(tǒng)中;(4)對(duì)重要系統(tǒng)以及數(shù)據(jù)文件是否完整進(jìn)行評(píng)估,并會(huì)對(duì)系統(tǒng)的操作進(jìn)行跟蹤和審計(jì)。該系統(tǒng)具有識(shí)別出黑客入侵和攻擊的慣用方式;對(duì)網(wǎng)絡(luò)的異常通信行為進(jìn)行監(jiān)控;對(duì)系統(tǒng)漏洞進(jìn)行識(shí)別;對(duì)網(wǎng)絡(luò)安全管理水平進(jìn)行提升。

2工作原理及流程

2.1工作原理。1)對(duì)異常行為進(jìn)行檢測(cè)在使用異常檢測(cè)這項(xiàng)技術(shù)時(shí),會(huì)假定系統(tǒng)中存在的入侵行為都屬于異常,所以想要在系統(tǒng)中建立正常活動(dòng)專屬的文件,就要對(duì)非正常的文件的系統(tǒng)狀態(tài)數(shù)量進(jìn)行全面的統(tǒng)計(jì),進(jìn)而對(duì)入侵行為進(jìn)行有效的鑒別。比如,電腦程序員的日常正規(guī)操作和編輯人員的日常正規(guī)操作具有一定的差別,這時(shí)就應(yīng)對(duì)工作人員的日常操作進(jìn)行記錄,并設(shè)立用戶專屬的正常活動(dòng)文件。這樣操作之后,即使入侵者盜竊了用戶的賬號(hào)進(jìn)行操作,也會(huì)因?yàn)榕c專屬文件中的活動(dòng)不符而被視為是入侵行為,系統(tǒng)會(huì)做出相應(yīng)的反應(yīng)。但值得注意的是,入侵行為與非日常行為操作并不相同,通常會(huì)存在兩種可能:一種是用戶自己的異常操作被系統(tǒng)視為是入侵,即“偽肯定”警報(bào)真實(shí)性不足;另一種是惡意入侵的操作因?yàn)榕c用戶的正常操作極為相符,導(dǎo)致系統(tǒng)將入侵行為默認(rèn)為是正常行為,即“偽否定”,這種錯(cuò)誤行為造成的后果較為嚴(yán)重。因此,進(jìn)行異常檢測(cè)的重點(diǎn)問題就是要能選擇出正確的“閾值”,進(jìn)而保證兩種問題能夠得到有效的控制,并能夠?qū)嶋H的管理需要系統(tǒng)進(jìn)行有區(qū)域性的重點(diǎn)監(jiān)視。現(xiàn)在異常檢測(cè)所使用的方法主要有預(yù)測(cè)模式生成法、統(tǒng)計(jì)法以及神經(jīng)網(wǎng)絡(luò)法三種。2)基于相關(guān)知識(shí)對(duì)特征進(jìn)行檢測(cè)所謂特征檢測(cè),也被稱之為Misusedeteciton,能夠通過一種模式將假設(shè)的入侵人員操作行為表示出來,目的就是為了找出與這些操作行為相符的模式,保護(hù)網(wǎng)絡(luò)系統(tǒng)安全。不過這種檢測(cè)方式也存在一定的弊端,它只能檢測(cè)出已經(jīng)存在的入侵行為,并不能將新型的入侵行為檢測(cè)出來。對(duì)入侵行為的判斷只能基于電腦系統(tǒng)中已經(jīng)建立的模式之上,而特征檢測(cè)系統(tǒng)目前的關(guān)鍵問題就是對(duì)攻擊模式能夠涉及和實(shí)際攻擊有所關(guān)聯(lián)的全部要素的確定問題以及對(duì)入侵活動(dòng)進(jìn)行特征匹配的問題。就理論層面而言,想要使檢測(cè)系統(tǒng)能夠?qū)⑷肭值幕顒?dòng)完全檢測(cè)出啦,就必須要確保能夠運(yùn)用數(shù)學(xué)語言將所有的入侵行為全面描述出來,從此可以看出,該檢測(cè)方式最大的問題就是獨(dú)立性不足,不僅系統(tǒng)的移植性較差,維護(hù)工作的任務(wù)量過重,同時(shí)還無法將入侵行為變?yōu)槌橄笮缘闹R(shí),在對(duì)已知知識(shí)的檢測(cè)也受到了一定的限制,特別是內(nèi)部人員如果進(jìn)行違規(guī)操作時(shí),很難將其檢測(cè)出來。現(xiàn)行使用的違規(guī)檢測(cè)方式主要有神經(jīng)網(wǎng)絡(luò)、基本規(guī)則以及狀態(tài)轉(zhuǎn)換分析三種方式。2.2工作流程。在對(duì)電腦進(jìn)行入侵檢測(cè)時(shí),系統(tǒng)的工作流程主要分為三個(gè)步驟:第一步,要對(duì)信息進(jìn)行統(tǒng)計(jì)。在進(jìn)行檢測(cè)之前,首先就要對(duì)網(wǎng)絡(luò)流量?jī)?nèi)容以及用戶接連活動(dòng)等方面的信息進(jìn)行收集和統(tǒng)計(jì);第二步,對(duì)信息進(jìn)行分析。在對(duì)需要的信息進(jìn)行收集和統(tǒng)計(jì)之后,相關(guān)技術(shù)人員就應(yīng)對(duì)這些信息進(jìn)行分析,目前常用的分析方式為完整性分析、模式匹配以及統(tǒng)計(jì)分析三種,模糊匹配與統(tǒng)計(jì)分析會(huì)在電腦運(yùn)轉(zhuǎn)過程中對(duì)系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)測(cè),而在事后分析時(shí)多使用完整性分析法;最后一步就是對(duì)電腦系統(tǒng)的操作進(jìn)行實(shí)時(shí)登記和報(bào)警,同時(shí)對(duì)入侵行為進(jìn)行一定程度的反擊處理。入侵檢測(cè)系統(tǒng)的主要目標(biāo)就是為了對(duì)入侵的行為做出相應(yīng)的處理,即對(duì)入侵行為進(jìn)行詳細(xì)的日志記錄和實(shí)時(shí)報(bào)警以及進(jìn)行一定程度的回?fù)羧肭衷础,F(xiàn)在鑒別入侵活動(dòng)的技術(shù)方式有基本活動(dòng)、用戶特征以及入侵者特征三種。

3入侵檢測(cè)系統(tǒng)分類

按照檢測(cè)數(shù)據(jù)的來源,入侵檢測(cè)系統(tǒng)可以分為主機(jī)方面的檢測(cè)系統(tǒng)以及網(wǎng)絡(luò)方面的檢測(cè)系統(tǒng)兩種,下面我們來分別了解一下:3.1主機(jī)方面的檢測(cè)系統(tǒng)。這種檢測(cè)系統(tǒng)的數(shù)據(jù)源是由系統(tǒng)日志以及應(yīng)用程序日志等組成的,同時(shí)也可以使用像監(jiān)督系統(tǒng)調(diào)用等方式對(duì)主機(jī)的信息進(jìn)行分析和收集。在對(duì)主機(jī)進(jìn)行檢測(cè)時(shí),一般會(huì)在主要檢測(cè)的主機(jī)上安裝入侵檢測(cè)系統(tǒng),這樣能夠?qū)z測(cè)對(duì)象的系統(tǒng)審計(jì)日志和網(wǎng)絡(luò)連接情況主動(dòng)進(jìn)行科學(xué)的分析和評(píng)定。當(dāng)出現(xiàn)與特征或統(tǒng)計(jì)規(guī)律不同的操作時(shí),還系統(tǒng)就會(huì)將其視為是入侵行為,并會(huì)自動(dòng)進(jìn)行相應(yīng)的處理。如果主機(jī)設(shè)定的文件發(fā)生變化,在主機(jī)檢測(cè)系統(tǒng)就會(huì)對(duì)新操作與記錄的入侵行為進(jìn)行對(duì)比,如果對(duì)比度較高,檢測(cè)系統(tǒng)就會(huì)將對(duì)這一操作進(jìn)行報(bào)警,并自動(dòng)進(jìn)行相應(yīng)的處理。3.2網(wǎng)絡(luò)方面的檢測(cè)系統(tǒng)。在網(wǎng)絡(luò)系統(tǒng)的基礎(chǔ)上進(jìn)行檢測(cè)時(shí),系統(tǒng)的數(shù)據(jù)源則是由原始網(wǎng)絡(luò)包組成的。檢測(cè)系統(tǒng)此時(shí)會(huì)在運(yùn)轉(zhuǎn)系統(tǒng)的隨機(jī)模式中任意選擇一個(gè)網(wǎng)絡(luò)適配器來對(duì)網(wǎng)絡(luò)中的通信業(yè)務(wù)實(shí)施全面的監(jiān)視與分析。當(dāng)該系統(tǒng)檢測(cè)到有入侵的行為時(shí),系統(tǒng)就會(huì)進(jìn)行一系列的反應(yīng),不同的檢測(cè)系統(tǒng)做出的反應(yīng)也會(huì)不同,但主要措施基本相同,像通知以及反擊等等。

4入侵檢測(cè)系統(tǒng)的運(yùn)用實(shí)踐

4.1貝葉斯聚類。以貝葉斯聚類為基礎(chǔ)對(duì)入侵行為進(jìn)行檢測(cè)的方法,是對(duì)電腦的數(shù)據(jù)進(jìn)行分析,并從中找出不同的數(shù)據(jù)集合,從而將異常用戶區(qū)分出來。在二十世紀(jì)九十年代,相關(guān)學(xué)者研發(fā)出了自動(dòng)分類程序,屬于無監(jiān)督的數(shù)據(jù)分類技術(shù),這種技術(shù)的研發(fā)成功為貝葉斯統(tǒng)計(jì)技術(shù)運(yùn)用的實(shí)施奠定了良好地基礎(chǔ)。這種檢測(cè)的方式具有兩方面的優(yōu)勢(shì):一方面,以提供的數(shù)據(jù)為依據(jù),這種檢測(cè)方式能夠自動(dòng)對(duì)類型數(shù)目進(jìn)行斷定;另一方面,對(duì)于聚類準(zhǔn)確、相似測(cè)量以及停頓規(guī)則,并沒有過多的要求。一般檢測(cè)的技術(shù)基本都是以監(jiān)督分類的形式為主,是通過對(duì)用戶行為的檢測(cè)設(shè)定出用戶的常規(guī)操作的范圍,但貝葉斯的分類與其有所不同,能夠?qū)⒎诸悢?shù)以及具有相似操作用戶自然分成一類,較為理想化。不夠由于這種檢測(cè)方式的使用時(shí)間較短,還沒有在入侵檢測(cè)系統(tǒng)中進(jìn)行實(shí)驗(yàn),所以一些細(xì)節(jié)方面的問題,像自動(dòng)分類程度的處理以及審計(jì)跟蹤等方面的具體操作沒有明確,導(dǎo)致在使用時(shí)無法將這一優(yōu)勢(shì)無法充分發(fā)揮出來。4.2模式匹配。在入侵檢測(cè)中,模式匹配這一方式最為簡(jiǎn)單、傳統(tǒng)。在使用這種檢測(cè)方式時(shí),首先要在系統(tǒng)中設(shè)置入侵特征庫,之后,檢測(cè)系統(tǒng)會(huì)對(duì)收集的數(shù)據(jù)進(jìn)行檢測(cè),一旦數(shù)據(jù)與庫中的入侵特征不符時(shí),檢測(cè)系統(tǒng)就會(huì)自動(dòng)將其視為是入侵行為。雖然這種檢測(cè)方式具有計(jì)算簡(jiǎn)便以及準(zhǔn)確率較高等優(yōu)勢(shì),但也存在一定的缺點(diǎn),這種檢測(cè)方式只能對(duì)庫中的入侵形式進(jìn)行檢測(cè),一旦入侵者對(duì)操作進(jìn)行修改,檢測(cè)系統(tǒng)就很難將其識(shí)別出來。相關(guān)人員雖然也會(huì)對(duì)庫內(nèi)特征不斷進(jìn)行更新,但由于網(wǎng)絡(luò)發(fā)展速度過快的特性,更新的速度相對(duì)較難,直接增加了檢測(cè)的難度。4.3特征選擇。特征選擇的檢測(cè)方式是挑選出檢測(cè)性能較好度量構(gòu)成子集,并以此作為主要的檢測(cè)手段對(duì)已經(jīng)檢測(cè)出的入侵行為進(jìn)行預(yù)測(cè)、分類。這種檢測(cè)方式的不足之處在于無法對(duì)用戶的異常活動(dòng)以及惡意入侵行為作出準(zhǔn)備的判定,而且這種進(jìn)行斷定的過程也較為復(fù)雜,在對(duì)度量子集進(jìn)行選擇時(shí),主要的參考依據(jù)就是入侵類別,且一個(gè)度量子集并不能對(duì)所有的入侵行為進(jìn)行檢測(cè),如果僅使用一種子集,很有可能會(huì)出現(xiàn)檢測(cè)遺漏的現(xiàn)象,從而使網(wǎng)絡(luò)安全受到威脅。最佳的子集檢測(cè)入侵方式就是能夠自動(dòng)進(jìn)行子集的選擇,從而實(shí)現(xiàn)對(duì)入侵行為的全面檢測(cè)。該行業(yè)的學(xué)者提出了利用遺傳方式來對(duì)所有的子集進(jìn)行搜尋,并自動(dòng)找出適合的子集對(duì)操作行為進(jìn)行檢測(cè),這種方法主要是運(yùn)用了學(xué)習(xí)分離器的方式形成了基因突變算子以及遺傳交叉算子,將測(cè)量性能較低的子集篩除之后,使用遺傳算子生成的子集再次進(jìn)行測(cè)量,并將這樣的測(cè)量方式和測(cè)量性能較高的子集有機(jī)結(jié)合在一起,檢測(cè)的效果會(huì)更加明顯、高效。4.4神經(jīng)網(wǎng)絡(luò)。由于神經(jīng)網(wǎng)絡(luò)的檢測(cè)方式具有較強(qiáng)的自學(xué)習(xí)、自適應(yīng)以及自組織能力的優(yōu)勢(shì),因此多在環(huán)境信息以及背景知識(shí)較為不利的環(huán)境中使用。使用這種檢測(cè)對(duì)入侵行為進(jìn)行檢測(cè),能夠?qū)⑽粗娜肭中袨闄z測(cè)出來。數(shù)據(jù)信息預(yù)處理功能會(huì)將審計(jì)日志以及網(wǎng)絡(luò)訪問行為等信息進(jìn)行處理,獲得輸入向量,之后神經(jīng)網(wǎng)絡(luò)會(huì)對(duì)向量展開分析,進(jìn)而得到用戶常規(guī)的操作方式,并進(jìn)行記錄,以此判斷出操作與之不符的入侵活動(dòng)。

5入侵檢測(cè)系統(tǒng)的發(fā)展趨勢(shì)

隨著人們對(duì)于網(wǎng)絡(luò)安全重視的程度越來越高,入侵檢測(cè)技術(shù)水平也得到了顯著的提升,已經(jīng)開始朝向更加智能化、自動(dòng)化的方向發(fā)展,尤其是以孤立點(diǎn)挖掘?yàn)榛A(chǔ)的檢測(cè)技術(shù)更是今后入侵檢測(cè)系統(tǒng)的主要發(fā)展趨勢(shì)。所謂孤立點(diǎn)挖掘就是指對(duì)大量的信息數(shù)據(jù)進(jìn)行篩選,找出其中與常規(guī)數(shù)據(jù)有著明顯不同的,且較為小眾、較為新穎的數(shù)據(jù)檢測(cè)方式。使用這種方式能夠?qū)⒋笠?guī)模數(shù)據(jù)中的異常數(shù)據(jù)挖掘出來,從而有效避免因這些數(shù)據(jù)的異常而帶來的負(fù)面影響。雖然入侵的手段也在不斷進(jìn)行著變化,但就整體的網(wǎng)絡(luò)行為而言,入侵行為還是會(huì)產(chǎn)生小部分的異常數(shù)據(jù),而使用這一技術(shù)能夠準(zhǔn)確找出這些數(shù)據(jù),并對(duì)其進(jìn)行適當(dāng)?shù)奶幚恚梢愿玫貙⑷肭中袨榈谋举|(zhì)呈現(xiàn)出來,所以在今后進(jìn)行入侵行為檢測(cè)時(shí),可以使用這種技術(shù)將入侵檢測(cè)轉(zhuǎn)變?yōu)楣铝Ⅻc(diǎn)數(shù)據(jù)發(fā)掘行為。與其他的入侵檢測(cè)技術(shù)相比,孤立點(diǎn)挖掘檢測(cè)技術(shù)并不需要進(jìn)行訓(xùn)練,可以直接進(jìn)行使用,有效避免了因訓(xùn)練模式不完善而造成的檢測(cè)遺漏等情況。就實(shí)踐消耗的角度而言,是以進(jìn)行距離對(duì)比為主的,雖然相對(duì)于其他入侵檢測(cè)的方式,這種方式的檢測(cè)需要大量的時(shí)間和空間,但其算法性能較高,對(duì)于入侵的阻擊效率也較為理想,值得進(jìn)行大面積推廣。

6結(jié)束語

由于現(xiàn)在網(wǎng)絡(luò)病毒以及黑客等惡意入侵手段越來越復(fù)雜,對(duì)網(wǎng)絡(luò)的安全使用造成了極大的影響,為了應(yīng)對(duì)這一問題相關(guān)技術(shù)人員必須要加強(qiáng)對(duì)安全防范技術(shù)的研發(fā),尤其是要對(duì)入侵檢測(cè)技術(shù)進(jìn)行強(qiáng)化,不斷優(yōu)化檢測(cè)技術(shù)水平,保證電腦系統(tǒng)能夠有效檢測(cè)出非法入侵行為,并自動(dòng)對(duì)其進(jìn)行一系列的反擊,從而確保網(wǎng)絡(luò)信息的安全。通過本文對(duì)入侵檢測(cè)技術(shù)的運(yùn)用以及相關(guān)問題的介紹使我們認(rèn)識(shí)到現(xiàn)在使用的檢測(cè)技術(shù)多少還存在一定的問題,需要技術(shù)人員對(duì)其不斷進(jìn)行研發(fā)和改進(jìn),為人們帶來更加安全、快捷的網(wǎng)絡(luò)使用環(huán)境。

作者:孔政 單位:長(zhǎng)江水利委員會(huì)人才資源開發(fā)中心

參考文獻(xiàn):

[1]蔣建春,馬恒太,任黨恩,卿斯?jié)h.網(wǎng)絡(luò)安全入侵檢測(cè):研究綜述[J].軟件學(xué)報(bào),2000(11).

[2]王艷華,馬志強(qiáng),臧露.入侵檢測(cè)技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用與研究[J].信息技術(shù),2009(6).

[3]姚玉獻(xiàn).網(wǎng)絡(luò)安全與入侵檢測(cè)[J].計(jì)算機(jī)安全,2007(5).

[4]周碧英.入侵檢測(cè)技術(shù)及網(wǎng)絡(luò)安全的探討[J].電腦知識(shí)與技術(shù)(學(xué)術(shù)交流),2007(23).

[5]付衛(wèi)紅.計(jì)算機(jī)網(wǎng)絡(luò)安全入侵檢測(cè)技術(shù)的研究[J].科技信息,2010(3).

[6]王艷.網(wǎng)絡(luò)安全與入侵檢測(cè)技術(shù)[J].和田師范專科學(xué)校學(xué)報(bào),2008(3).

[7]李陽,劉廣,杜為民.入侵檢測(cè)系統(tǒng)在網(wǎng)絡(luò)安全中面臨的挑戰(zhàn)及對(duì)策[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2005(11).