淺談關(guān)于計算機(jī)網(wǎng)絡(luò)入侵報警系統(tǒng)技術(shù)的研究
論文摘 要:網(wǎng)絡(luò)的安全目前已經(jīng)成為了網(wǎng)絡(luò)技術(shù)進(jìn)一步發(fā)展的重要保障,因此以網(wǎng)絡(luò)入侵檢測技術(shù)為基礎(chǔ)的網(wǎng)絡(luò)報警系統(tǒng)就成為了技術(shù)人員處理網(wǎng)絡(luò)入侵威脅的重要輔助系統(tǒng),其可以正確的評價入侵威脅等級,以便采用相應(yīng)措施。
論文關(guān)鍵詞:網(wǎng)絡(luò)入侵 入侵檢測 報警系統(tǒng) 入侵響應(yīng)
一、計算機(jī)入侵檢測技術(shù)概述
計算機(jī)網(wǎng)絡(luò)的發(fā)展讓計算機(jī)之間、局域網(wǎng)絡(luò)之間的連接更加的緊密,特別是英特奈特網(wǎng)絡(luò)的訪問逐步拓展到涉密領(lǐng)域,越來越多的系統(tǒng)都有可能遭到外部的入侵和攻擊。在這些攻擊主要通過挖掘操作系統(tǒng)和應(yīng)用服務(wù)程序的漏洞來實(shí)現(xiàn)入侵。因此網(wǎng)絡(luò)服務(wù)系統(tǒng)應(yīng)滿足用戶系統(tǒng)的保密性、完整性、可用性要求,所以在實(shí)際的應(yīng)用中系統(tǒng)中應(yīng)有個獨(dú)立的系統(tǒng)負(fù)責(zé)對非法入侵進(jìn)行檢測,并報警同時采取相應(yīng)的措施控制事件擴(kuò)大,即發(fā)現(xiàn)已經(jīng)入侵也可以發(fā)現(xiàn)未知的入侵,通過學(xué)習(xí)分析入侵手段而提高自身的防護(hù)能力。
從入侵報警系統(tǒng)的角度看,首先是對入侵進(jìn)行檢測,而此技術(shù)的關(guān)鍵點(diǎn)就是信息的采集和分析,即“觀察”整個系統(tǒng)是否存在“違法”的操作行為,并保證系統(tǒng)的安全性、完整性等。入侵檢測是從網(wǎng)絡(luò)中的若干關(guān)鍵信息中進(jìn)行分析,此時將采集信息與安全策略進(jìn)行比對,如果違反了安全策略則認(rèn)為其是一種入侵行為。并發(fā)出警報,一方面告知用戶,一方面啟動系統(tǒng)入侵響應(yīng)機(jī)制,這樣就可有效的保護(hù)系統(tǒng)。入侵檢測技術(shù)是防火墻后的另一個系統(tǒng)安全性技術(shù),其核心技術(shù)就是在不影響網(wǎng)絡(luò)正常性能下對網(wǎng)絡(luò)安全進(jìn)行監(jiān)測。
二、網(wǎng)絡(luò)入侵檢測系統(tǒng)的劃分
入侵檢測技術(shù)是入侵報警的前提,根據(jù)其檢測數(shù)據(jù)來源對其進(jìn)行分類,可分為主機(jī)檢測、網(wǎng)絡(luò)檢測兩種。
1、網(wǎng)絡(luò)入侵檢測
網(wǎng)絡(luò)檢測系統(tǒng)主要是通過網(wǎng)絡(luò)監(jiān)視來完成對數(shù)據(jù)的采集和分析。在因特網(wǎng)中局域網(wǎng)所采用的多位IEEE 802.3協(xié)議,此種協(xié)議定義主機(jī)進(jìn)行數(shù)據(jù)傳遞時采用的是一種廣播技術(shù),任何一臺主機(jī)發(fā)送數(shù)據(jù)的時候都會在經(jīng)過網(wǎng)絡(luò)中進(jìn)行廣播,即網(wǎng)絡(luò)中主機(jī)發(fā)送或者接受的數(shù)據(jù)都可以被所在網(wǎng)絡(luò)中的其他主機(jī)接收到。正常的情況下主機(jī)設(shè)置的網(wǎng)卡對沒有數(shù)據(jù)包進(jìn)行過濾,將目的地位本機(jī)的數(shù)據(jù)和其他數(shù)據(jù)進(jìn)行篩選,將針對本機(jī)的數(shù)據(jù)包接收并存入緩存,而對其他數(shù)據(jù)包不予處理。所以正常情況下主機(jī)只處理與本機(jī)相關(guān)的數(shù)據(jù)包,但是網(wǎng)卡的接收模式如果被修改,其過濾策略就會改變,使得網(wǎng)卡能夠接收到經(jīng)過本網(wǎng)段的全部數(shù)據(jù)包,而不會分辨這些數(shù)據(jù)是否對本機(jī)有用。在其他網(wǎng)絡(luò)下雖然不會才此種廣播方式但很多路徑設(shè)備或者交換機(jī)也會提供數(shù)據(jù)檢視功能。
2、主機(jī)檢測系統(tǒng)
主機(jī)檢測系統(tǒng)是檢測模塊植入到被保護(hù)的主機(jī)保護(hù)系統(tǒng)上,通過提取被保護(hù)系統(tǒng)的運(yùn)行狀況來分析是否被外來的入侵者所侵害,以此是完成其檢測的任務(wù)。實(shí)現(xiàn)主機(jī)檢測的方法有很多:檢測系統(tǒng)中設(shè)置以此發(fā)現(xiàn)不正確的系統(tǒng)設(shè)置和系統(tǒng)設(shè)置對不正當(dāng)?shù)母膭拥,這些都可以用來對系統(tǒng)的安全狀態(tài)進(jìn)行分析和檢測。還可以利用對主機(jī)的日志進(jìn)行審核,通過分析主機(jī)日志來發(fā)現(xiàn)是否存在入侵。
基于主機(jī)的入侵檢測的效率較高,分析所付出的系統(tǒng)代價較小,分析速度快,可以迅速而準(zhǔn)確的判斷入侵者的位置,并可以聯(lián)合操作系統(tǒng)或者應(yīng)用程序?qū)θ肭诌M(jìn)行報警和處置。
三、計算機(jī)網(wǎng)絡(luò)入侵報警技術(shù)
從網(wǎng)絡(luò)入侵的實(shí)質(zhì)上看,入侵是一種非法進(jìn)入到計算機(jī)的技術(shù)措施,其目的就是獲得計算機(jī)或者網(wǎng)絡(luò)內(nèi)的資源,或者執(zhí)行非授權(quán)的行為等,其表現(xiàn)是取得進(jìn)入系統(tǒng)或者多次進(jìn)入的權(quán)限;取得訪問系統(tǒng)資源的權(quán)利;獲得在系統(tǒng)中運(yùn)行程序的權(quán)限等。
而基于檢測技術(shù)上的報警和預(yù)測系統(tǒng),是一種針對計算機(jī)入侵的技術(shù)措施,按照報警的數(shù)據(jù)來源來看,入侵報警可以分為對事件入侵的報警、基于流量入侵的報警這兩大類。在事件基礎(chǔ)上的入侵報警的技術(shù)是通過分析網(wǎng)絡(luò)中正在發(fā)生或者數(shù)次發(fā)生的入侵事件。通過對這些入侵進(jìn)行實(shí)時而詳細(xì)的監(jiān)控和記錄來發(fā)現(xiàn)入侵事件的規(guī)律性,然后進(jìn)行報警并預(yù)測其未來發(fā)生的威脅。
在流量基礎(chǔ)上的 報警這時利用中心極限登陸對入侵進(jìn)行預(yù)測和報警。其算法的依據(jù)是在大規(guī)模的網(wǎng)絡(luò)系統(tǒng)中,網(wǎng)絡(luò)流量的和測度是相對穩(wěn)定的,而攻擊往往會造成網(wǎng)絡(luò)固有的流量穩(wěn)定遭到破壞。
四、網(wǎng)絡(luò)入侵報警技術(shù)的實(shí)施方法
入侵報警是在對入侵檢測、預(yù)測的基礎(chǔ)上而進(jìn)行的防御性措施。下面就基于攻擊聚類的入侵意圖預(yù)警技術(shù)分析入侵報警的實(shí)際應(yīng)用。
1、報警系統(tǒng)思路分析
在攻擊聚類的入侵報警的技術(shù)主要是結(jié)合計算機(jī)網(wǎng)絡(luò)的技術(shù)特點(diǎn),為了滿足計算機(jī)網(wǎng)絡(luò)在安全報警內(nèi)容、安全報警反應(yīng)時間、安全報警精度的要下提出的技術(shù)措施,以事件為入侵報警基礎(chǔ)的技術(shù)是針對網(wǎng)絡(luò)入侵事件進(jìn)行報警的。因此提出的入侵報警系統(tǒng)實(shí)際上就是沿用了事件入侵報警的思路。在提高其精確肚餓方面,一則將入侵意圖分析融入到報警的依據(jù)上,對一類相似的入侵意圖進(jìn)行統(tǒng)計和采集,對其意圖進(jìn)行量化計算,從而分析判斷入侵行為的指向性,從而提高了報警系統(tǒng)的針對性和準(zhǔn)確性,并可以預(yù)測攻擊行為。一則根據(jù)網(wǎng)絡(luò)入侵的特征,通過漏洞分析結(jié)合網(wǎng)絡(luò)中的'安全設(shè)置狀況,對自身的系統(tǒng)安全性進(jìn)行分析,并結(jié)合報警情況對下一步可能會受到攻擊的網(wǎng)絡(luò)或者主機(jī)進(jìn)行預(yù)判,使得報警和響應(yīng)機(jī)制的針對性更強(qiáng)。另外,為了實(shí)現(xiàn)計算方法的高效率,系統(tǒng)根據(jù)網(wǎng)絡(luò)入侵的規(guī)律對網(wǎng)絡(luò)入侵的各種類型進(jìn)行分類,并形成固定的模式首先對攻擊的手段進(jìn)行劃分,然后查找關(guān)聯(lián)以此將報警和響應(yīng)有機(jī)的聯(lián)系起來。
2、入侵報警系統(tǒng)技術(shù)分析
入侵的過程是一個階段性過程,對檢測到的攻擊入侵事件進(jìn)行關(guān)聯(lián),同過對具有相同的意圖的入侵進(jìn)行報警,并通過報警的記錄和意圖進(jìn)行疊加計算,分析和判斷入侵的危害程度和攻擊發(fā)展方向,然后反饋給報警系統(tǒng),準(zhǔn)確的描述入侵類型,并分析攻擊意圖,將分析的結(jié)果反饋給與之關(guān)聯(lián)的預(yù)警系統(tǒng)就可以判斷出入侵行為的具體攻擊意圖。而細(xì)化入侵其具有的較強(qiáng)的針對性,一種網(wǎng)絡(luò)入侵針對的往往是一種安全漏洞,所以對操作系統(tǒng)或者開放的服務(wù)器如果不存在某些漏洞就不會受到攻擊,如果存在系統(tǒng)漏洞當(dāng)然就會受到入侵的威脅。將漏洞分析結(jié)果與入侵手段的類型相聯(lián)系就可以針對此網(wǎng)絡(luò)的安全性級別進(jìn)行評價,由此對網(wǎng)絡(luò)的安全預(yù)警等級進(jìn)行劃分,即區(qū)別對待安全等級高和安全等級低的網(wǎng)絡(luò),設(shè)置不同的報警和預(yù)警等級。同時針對外部環(huán)境進(jìn)行綜合性考慮,通過網(wǎng)絡(luò)安全形勢分析網(wǎng)絡(luò)的安全性,分析發(fā)生入侵的可能性和規(guī)模等。
五、結(jié)束語
網(wǎng)絡(luò)的發(fā)展讓涉密信息不斷的進(jìn)入到網(wǎng)絡(luò)信息交換中,因此網(wǎng)絡(luò)安全就成為了關(guān)注的重點(diǎn),也是保證網(wǎng)絡(luò)和網(wǎng)絡(luò)技術(shù)持續(xù)發(fā)展的重要基礎(chǔ)工作。網(wǎng)絡(luò)安全維護(hù)中主要針對的就是非法入侵,而入侵監(jiān)測和入侵報警、安全維護(hù)就成為了一個系統(tǒng)工程,即利用網(wǎng)絡(luò)入侵監(jiān)測技術(shù)對網(wǎng)絡(luò)入侵進(jìn)行甄別,并在甄別的同時評價其等級,針對性的發(fā)出報警信息,并安全防護(hù)系統(tǒng)進(jìn)行相應(yīng)的動作,至此就可以有效的降低網(wǎng)絡(luò)入侵規(guī)模和波及面積,以此降低損失。綜合的看,利用網(wǎng)絡(luò)監(jiān)測技術(shù)展開的網(wǎng)絡(luò)報警和相應(yīng)系統(tǒng)是缺一不可的安全技術(shù)措施。
參考文獻(xiàn):
[1]崔金生,丁霞,劉明,陸幼驪.網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)策略體系研究[J].與軟件, 2009,(07)
[2]高娜娜,陳昕.關(guān)于內(nèi)網(wǎng)安全應(yīng)急響應(yīng)的技術(shù)探討[J].辦公自動化, 2009,(10)
[3]陳杰.計算機(jī)網(wǎng)絡(luò)入侵檢測技術(shù)發(fā)展[J]. 硅谷, 2009,(10)
[4]譚可久.高校計算機(jī)安全事件應(yīng)急響應(yīng)組織的構(gòu)建[J].河池學(xué)院學(xué)報, 2009,(02)
[5]宋彥民. 探討網(wǎng)絡(luò)入侵檢測系統(tǒng)模型的實(shí)現(xiàn)[J].電腦與電信, 2009,(06)
【淺談關(guān)于計算機(jī)網(wǎng)絡(luò)入侵報警系統(tǒng)技術(shù)的研究】相關(guān)文章:
淺談火災(zāi)自動報警系統(tǒng)的維修保養(yǎng)09-19
淺談計算機(jī)網(wǎng)絡(luò)安全維護(hù)中入侵檢測技術(shù)的有效應(yīng)用09-27
淺談城市火災(zāi)自動報警監(jiān)控網(wǎng)絡(luò)系統(tǒng)的探索10-30
應(yīng)用于智能報警系統(tǒng)的腳步振動信號的研究06-22
景區(qū)防盜報警系統(tǒng)簡析09-27