网络入侵安全检查分析

关键词： 保障计算机 计算机网络 入侵 计算机

网络入侵安全检查分析（精选七篇）

网络入侵安全检查分析 篇1

关键词：计算机网络,安全性,入侵技术

随着信息技术的飞速发展, 网络及网络信息安全技术已经影响到社会的政治、经济、文化和军事等各个领域。以网络方式获取和传播信息已成为现代信息社会的重要特征之一。网络技术的成熟使得网络连接更加容易, 人们在享受网络带来的便利的同时, 网络的安全也日益受到威胁。安全的需求不断向社会的各个领域扩展, 人们需要保护信息, 使其在存储、处理或传输过程中不被非法访问或删改, 以确保自己的利益不受损害。因此, 网络安全必须有足够强的安全保护措施, 确保网络信息的安全, 完整和可用。

一、计算机网络安全研究的内容

既然存在诸多危害计算机网络安全的因素, 自然就为人们提出了一些有待研究的课题。现将主要研究内容介绍如下:

1、主机和终端数据安全性

众所周知, 构成一个计算机网络, 必须是由若干台主机与终端机相应的电缆连接, 在网络软件管理下, 才能实现。而一个正在运行的网络, 其大量的数据、信息均存放在主机或终端机内、外存中, 如何防止非法用户的访问是至关重要的的。在这方面, 研究的方法有四种:设置难以被人推断的口令、设置磁卡或密钥识别、设置指纹或声音识别、设置用户特征识别系统。

2、通信途中数据安全性

计算机通信的范围在不断扩大, 已远远超出局域网络的管辖区。因此, 在传输途中的数据易受到攻击, 传统的对策有:一是将通信数据加密使合法收信人以外的人看不懂;二是在通信网上采用分组交换, 通过调换分组顺序及变更传送路由防止数据被盗;三是将通信线路与设备放置在外人难以接近的地方, 并采用不易被截取的传输方法。

3、整个网络的数据保护

在整个数据通信网络上, 必须采取的数据保护措施包括确认通信本身的合法性和保证通信数据的合法性两个方面。依据不同需求有三种保护方法。一是网络管理中心集中管理;二是各主计算机分散管理;三是网络内的交换机分散管理。

二、计算机网络安全保护技术之入侵检测技术

计算机网络安全从技术上讲, 目前广泛运用比较成熟的网络安全技术主要是:防火墙技术、数据加密技术、入侵检测技术、防病毒技术等。入侵检测技术是为保证计算机系统的安全设计与配置的一种及时发现并报告系统中被受权或异常现象的技术, 是一种用于检测计算机网络中违反安全策略行为的技术。

一个入侵检测系统的功能结构至少包含事件提取、入侵分析、入侵响应和远程管理四部分功能。入侵分析的任务就是在提取到的运行数据中找出入侵的痕迹, 将授权的正常访问行为和非授权的不正常访问行为区分开, 分析出入侵行为并对入侵者进行定位。入侵响应功能在分析出入侵行为后被触发, 根据入侵行为产生响应。

由于单个入侵检测系统的检测能力和检测范围的限制, 入侵检测系统一般采用分布监视集中管理的结构, 多个检测单元运行于网络中的各个网段或系统上, 通过远程管理功能在一台管理站点上实现统一的管理和监控。

三、入侵检测系统分类

入侵检测系统根据其检测数据来源分为两类:基于主机的入侵检测系统和基于网络的入侵检测系统。

1、基于网络的入侵检测系统

基于网络的入侵检测系统通过网络监视来实现数据提取。在Internet中, 局域网普遍采用IEEE 802.3协议。该协议定义主机进行数据传输时采用子网广播的方式, 任何一台主机发送的数据包, 都会在所经过的子网中进行广播, 也就是说, 任何一台主机接收和发送的数据都可以被同一子网内的其他主机接收。在正常设置下, 主机的网卡对每一个到达的数据包进行过滤, 只将目的地址是本机的或广播地址的数据包放入接收缓冲区, 而将其他数据包丢弃, 因此, 正常情况下网络上的主机表现为只关心与本机有关的数据包, 但是将网卡的接收模式进行适当的设置后就可以改变网卡的过滤策略, 使网卡能够接收经过本网段的所有数据包, 无论这些数据包的目的地是否是该主机。在其他网络环境下, 虽然可能不采用广播的方式传送报文, 但目前很多路由设备或交换机都提供数据报文监视功能。

2、基于主机的入侵检测系统

基于主机的入侵检测系统将检测模块驻留在被保护系统上, 通过提取被保护系统的运行数据并进行入侵分析来实现入侵检测的功能。

基于主机的入侵检测系统可以有若干种实现方法:

检测系统设置以发现不正当的系统设置和系统设置的不正当更改对系统安全状态进行定期检查以发现不正常的安全状态。

基于主机日志的安全审计, 通过分析主机日志来发现入侵行为。基于主机的入侵检测系统具有检测效率高, 分析代价小, 分析速度快的特点, 能够迅速并准确地定位入侵者, 并可以结合操作系统和应用程序的行为特征对入侵进行进一步分析。目前很多是基于主机日志分析的入侵检测系统。在数据提取的实时性、充分性、可靠性方面基于主机日志的入侵检测系统不如基于网络的入侵检测系统。

四、结束语

计算机网络在全球范围内得到了迅速发展, 其应用几乎包括了人类生活工作的全部领域, 它在带给我们前所未有的方便的同时, 也给我们制造了大量的难题。计算机网络的安全是一个综合性的课题, 涉及到技术、管理、使用和维护等多方面。为保证计算机网络系统的安全, 应混合使用多种安全防护策略, 同时也会发展出越来越多的安全解决技术, 从而使得网络安全防范及管理水平不断提高。

参考文献

[1]薛静锋、宁宇鹏:《入侵检测技术》, 机械工业出版社, 2004年。

[2]朱明:《计算机网络安全》, 《中国科技信息》, 2005年第20期。

计算机网络安全的入侵检测技术分析 篇2

1计算机网络安全入侵检测的概念

计算机在正常运行的过程中,当处于网络环境时,那么就存在外界与内部不安全因素,例如病毒、软件的侵入而影响到计算机的运行速度,进而造成计算机的工作效率降低。而一旦计算机运行状态出现异常,那么就可以运用入侵检测技术来及时防御计算机内部与外部的干扰因素,同时也使得计算机由于这些影响因素造成的干扰得以有效避免。当计算机受到意外攻击时,计算机网络安全的入侵检测技术能够与防火墙相配合,使得计算机得到更好的保护。鉴于此,可以说计算机网络安全的入侵检测技术就是以补充防火墙的不足而产生的。

2计算机网络安全入侵检测技术的类型

2.1基于误用检测技术

误用入侵检测的主要功能是根据特征搜集影响计算机的干扰因素,并对其是否集中出现进行判断并处理。误用入侵检测技术与杀毒软件的操作方式相似,而该技术的优势在于其建立的入侵特点的模式库,并根据此进行相似特点的搜集,如此一来检测中不仅能够搜集出有着相似特征的入侵行为,同时又使得系统的入侵与抑制系统免于遭受同样的入侵。然而有的入侵行为具有一定的特殊性,其具有变种功能,即利用相同的功能缺陷与原理进行变异,因此就难以被检测出来。误用入侵技术在某些方面还是存在一定的缺陷的,例如其只能对已知序列和特点对有关入侵行为进行判断,而难以及时检测出一些新型的入侵攻击行为,同时还有一些漏洞存在。

通常可以将误用入侵检测技术分为专家系统与状态迁移分析技术等两种。其中专家系统在早期的入侵检测系统中比较常用,主要是采用专家的入侵行为检测系统。比如早期的NIDES、 NADIR,这些都是具有独立的专家系统模块。一旦发现专家系统中的入侵行为,整个系统就会对其进行编码,将其编译为一个IF语句。其次是状态迁移分析技术,建立在异常检测技术的基础之上,对一组系统的“正常”情况下的值进行定义,包括CPU利用率、内存利用率以及文件校验等等,然后与正常定义作对比。 在该检测方法中,对“正常”情况的定义是最为关键的部分。

2.2基于异常的检测技术

基于异常入侵的检测技术需要对一组正常情况下内存利用率、硬盘大小、文件检验等值进行定义。这些数据是具有灵活性的,人们可以方便自己统计而进行自主定义,接着比较规定数值与系统正在运行中的数值,进而对被攻击与否进行检验与判断。该检测方法是以对正常数值的定义为核心而进行的, 如此才能够判断系统是否遭受到了攻击。该检测技术早在1996年就有了一定的研究,有人以建立系统的审计跟踪数据分析系统,主体正常行为的特征为大致方向,建立起一个大概的轮廓模型。在进行检测的过程中,在审计系统中,被认为是入侵行为的依据就是系统中的出现较大差异的数据。根据功能配置文件、登录的时间与位置、CPU使用时间以及文件访问属性等对特点进行描述。其对应的功能配置文件会随着主要行为特征的改变而改变。例如入侵检测系统基于统计的使用或规则进行描述,对系统行为特征的基本轮廓进行建立。

3入侵检测系统的类型

3.1基于主机的入侵检测系统

基于主机的入侵检测系统主要对主机进行重点检测,通过在主机上设置入侵检测,对其是否被攻击进行判断。主机入侵检测系统能够较为全面动态的监控计算机网络用户的操作行为,一旦出现网络异常情况就会进行预警,能够安全有效的保护起网络的安全。基于主机的入侵检测系统能对攻击行为是否有效果加以判断,以此提供给主机充分的决策依据,并且还能监控例如文件访问、文件执行等指定的系统部位的活动。

3.2基于主机的入侵检测系统

基于行为的入侵检测系统主要指基于网络的入侵检测系统,其无法提供给客户单独的入侵检测服务,然而该系统的具有较快的检测速度以及低廉的检测成本。基于网络的入侵检测系统在设置检测的过程中能够进行多个安全点的设置,并同时观察多个系统的网络通信,同时也省去了主机上的安装,因此才被认为成本较低。基于主机的入侵检测无法安全有效的检测数据包,因此在入侵检测中时常出现漏洞,然而该检测系统具有检测对主机的漏洞攻击的功能,一旦发现恶意程序或者软件,就会进行及时的处理。在检测过程中,基于网络的入侵检测系统能够通过方便快捷的网络通讯实现对系统的实时监控,一旦发现问题,就会直接进行网络报告,以防止攻击者转移证据。基于网络的入侵检测技具有动态检测计算机网络系统的功能,一旦发现网络系统中存在入侵行为就会做出快速反应,不会受到时间与地点的限制,并进行预警,同时采取相应的措施处理入侵行为。

4计算机网络安全入侵检测技术存在的问题

4.1入侵检测技术不完善

与一些发达国家相比,我国计算机网络技术的起步较晚, 在发展过程中难免遇到一些问题,计算机网络安全入侵检测技术仍有待完善,有时面对相对复杂的计算机入侵行为是难以彻底有效的清除与解决威胁网络安全的因素的。当计算机运行处于不安全的网络环境,网络安全的入侵检测技术也存在一定的缺陷,在某些方面的安全检测存在局限性,能够进行计算机网络系统的局部检测与分析,一旦计算机网络系统处于不同的网段,其检测的全面性与有效性是难以保证的,由此可见,计算机网络安全的检测技术仍然有待提高,其存在的局限性与不完整性是非常强的。

4.2入侵检测技术过于单一

除了技术水平有待提升之外,计算机网络安全的入侵技术还存在检测方法具有单一性的问题。现阶段,特征检测是计算机网络安全的入侵检测技术的主要手段,其检测范围有限,主要是针对比较简单的网络入侵行为进行有效的防御与处理,一旦出现的网络安全入侵行为比较复杂,那么这一检测技术的局限性就体现出来了,一般难以实现有效的防御与解决,并且工作量较大,需要耗费大量的时间与精力进行计算,否则是无法检测出计算机存在的问题的,此外由计算产生的庞大数据也使得计算机网络安全检测技术的效率大幅度降低,因此,难以为计算机网络环境的安全性与可靠性提供充分的保障。

4.3入侵检测技术加密处理有待提升

在人们日常工作与生活中,计算机得到了十分广泛的应用,因此计算机内储的网络数据可能涉及了部分隐私,在计算机网络安全环境遭到攻击时,计算机网络数据的安全性与隐私性是难以通过检测技术而得到保护的,可见检测技术加密处理有待提升。计算机网络安全的入侵检测系统本身就难以全面的对计算机系统进行检测,需要与计算机内部防火墙相配合, 才能实现有效的入侵检测,如此一来计算机内部网络数据可能就会暴露,无法实现对其科学有效的加密处理,使得用户的个人隐私受到了一定程度的威胁。

5计算机网络安全检测技术的发展趋势

在网络安全防护中,计算机网络的入侵检测技术发挥着非常重要的作用,同时不同的安全检测手段的应用也有着十分重要的意义,然而现阶段这些检测技术仍然存在不同程度缺陷。 随着科学技术的不断进步,在社会的各个领域中计算机网络技术必然得到越来越广泛的应用与发展,入侵技术也会得到进一步的完善与更新,网络环境也更容易遭到攻击。为此,计算机网络安全的入侵检测技术必须提高自身的检测水平,建立在一般检测技术的基础之上,进行更进一步的发展与研究,并且还要以此为重点,对有关计算机网络数据分析方面的技术研究进行强化。

为了实现这一目标,首先要对分布式入侵的检测技术的研究与发展予以大力支持,一方面要实现对计算机分布式网络攻击的有效检测,使计算机存在的问题得以全面有效的发现与解决,避免出现检测漏统;另一方面,还要实现计算机网络安全监测系统的分布式检测方法的应用,使计算机网络环境存在的问题得到及时发现,并对其进行协同处理与解决,使网络安全检测系统的资源优势得到最大限度的发挥,进而为计算机网络安全检测技术水平与检测效率提升提供强有力的支撑。

其次,还要注重智能化网络安全检测技术的发展,使入侵检测技术更加灵活准确,其中模糊处理、遗产算法、神经网络、 免疫原理等是其主要检测方式,如此才能够实现对外界入侵软件或程序的准确识别与分析,进而使网络安全入侵检测技术的水平得以有效提高,并将智能化检测技术融入到计算机网络安全入侵检测技术当中,为计算机网络环境的可靠性与安全性提供充分的保障。

再者,全面化发展也是计算机网络安全入侵检测技术的重要发展方向,应进行建立网络安全入侵全面检测系统的尝试, 并设定更加科学统一的评估标准,加强网络安全检测平台建设,确保其更加科学、准确。如此越来,计算机的检测范围才能够得以扩大,计算机资源也得到充分的利用,同时检测系统的可靠性也得到增强,进而使得计算机网络安全入侵检测技术的整体水平得以有效提高。

6结束语

综上所述,目前在我国计算机网络安全的入侵检测技术的应用与研究方面仍然存在一定的不足,难以对计算机网络系统起到有效的保护。为此,我们必须针对其中存在的问题展开深入的研究,提出相应的技术措施以实现检测技术的完善,提高检测水平,为计算机网络系统的正常运行提供强有力的保障。

摘要：该文阐述了计算机网络安全入侵检测的概念,介绍了计算机网络安全入侵检测技术与入侵检测系统的类型,并提出计算机网络安全入侵检测技术存在的问题,在结合笔者多年工作经验,对计算机网络安全检测技术的发展提出几点看法,以供参考。

网络入侵安全检查分析 篇3

随着网络技术和应用的快速发展,网络安全问题日益成为人们关注的焦点。近年来,针对网络攻击、网络入侵等安全问题产生了防火墙、入侵检测等多种网络安全技术。然而,网络安全是一个系统工程,一种安全产品并不能完全确保网络的安全,只有将多种安全产品联合起来,互相弥补自身的不足,才能最大程度地保障网络运行的安全。因此,以被动防御为主的防火墙技术与以主动防护为主的入侵检测技术之间的联动,已成为当前构筑积极、动态网络安全体系的必然要求。

2 防火墙技术

防火墙(Fire Wall)是建立在现代通信网络技术和信息安全技术基础上的一种被动式防御的访问控制技术,是设置在不同网络(如可信任的内部网和不可信的公共网)或网络安全域之间的一系列部件的组合,它能根据网络的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。通常,防火墙被设计成通过预先设定好的规则对所有出入报文进行控制,从而达到逻辑上隔离内外网的作用,以此来保护内部网免遭外部不信任网络的侵害,实现对网络的安全保护。

目前,防火墙已经成为网络安全的第一道屏障,其在网络中主要有以下几种作用:一是通过过滤不安全的服务,提高网络安全和减少子网中主机的风险。例如,防火墙可以禁止NIS、NFS服务通过,同时也可以拒绝源路由和ICMP重定向封包;二是提供对系统的访问控制,允许从外部访问某些主机,同时也可以禁止访问另外的主机;三是对内部网实现集中的安全管理,如在防火墙定义的安全规则可以运行于整个内部网络系统,而无需在内部网每台机器上分别设立安全策略;四是阻止攻击者获取攻击网络系统的有用信息,增强网络的保密性,如Figer、DNS等;五是记录和统计通过防火墙的网络通讯,提供关于网络使用的统计数据,以此来判断可能的攻击和探测;六是提供制定和执行网络安全策略的手段。

现有的防火墙主要有包过滤型、代理服务器型、复合型和其他类型防火墙。包过滤型防火墙通常被安装在路由器上,而且大多数商用路由器都提供了包过滤的功能;代理服务器型防火墙通常由服务器端程序和客户端程序两部分构成;复合型防火墙将包过滤和代理服务两种方法结合起来形成新的防火墙,由堡垒主机提供代理服务;各类防火墙路由器和各种主机按其配置和功能可组成各种类型的防火墙,比如双宿主主机防火墙(由堡垒主机充当网关,并在其上运行防火墙软件,内外网之间的通信必须经过堡垒主机)、主机过滤防火墙(一个包过滤路由器与外部网相连,同时一个堡垒主机被安装在内部网上,使堡垒主机成为外部网所能到达的唯一节点)和加密路由器(对通过路由器的信息流进行加密和压缩,然后通过外部网络传输到目的端进行解压缩和解密)。

防火墙将内部可信区域与外部危险区域有效地进行隔离,将网络的安全策略制定和信息流动集中管理控制,为网络边界提供保护,确保了内部网络的安全,从而大大减轻了网络和系统被用于非法和恶意目的的风险。

3 入侵检测系统

入侵检测(Intrusion Detection)不同于防火墙,它采用的是一种动态的安全防护技术,不对通信流量做任何限制,通过监视网络资源(网络数据包、系统日志、文件和用户活动的状态行为),主动寻找、分析入侵行为的迹象,一旦发现入侵,立即进行日志记录、告警和安全控制操作,以保证系统资源的机密性、完整性和可用性。

作为网络安全防护体系的重要组成部分,入侵检测系统(Intrusion Detection System,IDS)提供了对内部攻击、外部攻击和误操作的实时保护,其主要通过以下几种活动来完成任务:监视分析用户及系统活动;对系统配置和弱点进行审计;识别与已知攻击模式匹配的活动;对异常活动模式进行统计分析;评估重要系统和数据文件的完整性;对操作系统进行审计跟踪管理,并识别用户违反安全策略的行为。

一般地,IDS由数据提取、数据分析和结果处理三个功能模块组成,数据提取模块为系统提供数据,数据的来源可以是主机上的日志信息、变动信息,也可以是网络上的数据信息,甚至可以是流量变化等等;数据分析模块对数据进行深入分析,发现攻击并根据分析的结果产生事件,传递给结果处理模块;结果处理模块的作用在于IDS发现入侵后根据预定的策略及时地作出响应,包括切断网络连接、记录事件和报警等。因此,IDS作为一种积极主动的安全防护技术,有以下几个基本功能:从系统的不同环节收集信息;分析该信息,试图寻找入侵活动的特征;自动对检测到的行为作出响应;纪录并报告检测过程结果。

IDS从本质上可以分成两类:网络入侵检测系统(NIDS)和主机入侵检测系统(HIDS)。NIDS放置在网络基础设施的关键区域,监控流向其它主机的流量。通过NIDS,入侵分析员可以对网络内部及其周围发生的情况有全方位的认识,对特殊主机或攻击者的监控力度可以相对容易地加强或是减弱;HIDS在操作系统、应用程序或内核层次上对攻击进行监控。HIDS有权检查日志、错误消息、服务和应用程序、以及受监控主机的任何可用资源。

IDS的应用,使系统在入侵攻击发生危害之前检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击;在入侵攻击过程中,能减少入侵攻击所造成的损失;在被入侵攻击后,能收集入侵攻击的相关信息,作为系统的防范知识,添加入知识库内,以增强系统的防范能力。

4 防火墙与入侵检测系统联动的网络安全体系

随着新的网络攻击方式不断出现,防火墙也日益显现出自身的局限性,比如,不能防范来自内部的入侵,无法检测加密后的Web数据流和应用程序,不能完全防止传送已感染病毒的软件和文件等等。更为重要的是,防火墙不识别网络流量,只要是经过合法通道的网络攻击,防火墙根本无能为力。例如很多来自ACTIVEX和JAVA APPLET的恶意代码,通过合法的WEB访问渠道,对系统形成威胁。虽然现在的开发商对防火墙进行了许多功能扩展,甚至有些还具备了初步的入侵检测功能,但防火墙作为网关,极易成为网络的瓶颈,并不宜做太多的扩展。

同样,IDS也有自己的弱点,比如,IDS主要以审计追踪为主,缺乏访问控制能力和主动有效的响应能力。虽然目前的一些主动响应IDS能够通过发送TCP的Reset包的方式自动阻断危险的连接,但是对基于诸如ICMP等协议的攻击包却无法阻断,这种方式的可靠性差,很难满足实际的安全需要。

因此,防火墙和IDS的功能特点和局限性决定了它们彼此非常需要对方,且不能相互取代,原因在于防火墙侧重于控制,而IDS侧重于主动发现入侵信号。例如,IDS检测到一种攻击行为时,如不能及时有效地阻断或者过滤,这种攻击行为仍将对网络应用造成损害;没有IDS,一些攻击会利用防火墙合法的通道进入网络。所以IDS应该通过与防火墙的联动,动态地改变防火墙的策略,通过防火墙从源头上彻底切断入侵行为。

防火墙和IDS之间十分合适建立紧密的联动关系,以将两者的功能特点充分发挥出来,相互弥补不足、提供安全保护。从网络安全整体防御的角度出发,这种联动是十分必要的,主要原因如下:(1)IDS可以从防火墙处得到被防火墙屏蔽掉的外网信息,例如通过对防火墙的日志进行分析可以检测出已被防火墙过滤掉的来自外部网络的攻击;(2)IDS通过复用防火墙截取的报文信息,从而省去了取包模块、配置模块,既节约了资源,又实现了集中管理;(3)IDS需要从防火墙处收集信息以提高性能。例如,IDS在网络负载过重的时候,以可疑地址列表信息为依据有选择性地抛弃一些报文不予处理;(4)防火墙需要根据入侵情况动态调整控制规则以便更好地实现内外网的隔离。

目前,实现防火墙和IDS之间的联动有两种方式:一种是实现紧密结合,把IDS嵌入到防火墙中,即IDS的数据来源不再来源于抓包,而是流经防火墙的数据流。所有通过的数据包不仅要接受防火墙检测规则的验证,还需要经过IDS的检测,判断是否具有攻击性,以达到真正的实时阻断,这实际上是把两个产品合成一体。由于IDS本身也是一个很庞大的系统,无论从实施难度、合成后的性能等方面都会受到很大影响,因此这种方式仍处于理论研究阶段。第二种方式是通过开放接口来实现联动,即防火墙或者IDS均开放一个接口供对方调用,按照一定的协议进行通信、报警和传输。目前常见的形式是安全厂家提供IDS的开放接口,供各个防火墙厂商使用,以实现互动。这种方式比较灵活,不影响防火墙和IDS的性能,系统部署方案如图1所示。

如图1所示,防火墙中内嵌IDS Agent,接收来自IDS的控制消息,发现入侵后迅速启动联动机制,增加防火墙的过滤规则,并通知防火墙对攻击源进行封堵,二者相互弥补,达到整体安全控制的效果。这种互补体现在静态和动态两个层面上,静态层面是指IDS可以通过了解防火墙的策略,对网络上的安全事件进行更为有效的分析,从而实现准确报警,降低系统误警率;动态层面是指当IDS发现攻击行为时,可以通知防火墙对已经建立的连接进行有效的阻断,同时通知防火墙修改策略,防止潜在的进一步攻击的可能性。

通过防火墙与IDS的联动,可以将IDS的监控、管理功能和防火墙的防御、信息过滤功能有机地结合起来,使二者的功能得到最大程度的发挥,弥补它们自身的不足,一方面提升了防火墙的机动性和实时反应能力,另一方面又增强了IDS的阻断功能,使网络安全防护体系由静态到动态,由平面到立体。

5 结束语

网络安全是一个动态的系统工程,安全产品的融合、协同、集中管理是网络安全整体化、立体化的迫切要求和必然趋势。联动是今后网络安全技术的一个发展方向,各种安全技术之间的联动能够弥补各自的缺陷,实现优势互补,从而构筑一个全方位的安全防御体系。防火墙与入侵检测系统的联动,既可以对网络进行动静结合的保护,对网络行为进行细颗粒的检查,又可以对网络内外两个部分进行可靠的管理,从而全面提升网络系统的整体安全防护能力。

参考文献

[1]黄允聪.防火墙的选型、配置、安装和维护[M].北京:清华大学出版社,2004.

[2]姚兰,王新梅.防火墙与入侵检测系统的联动分析[J].信息安全与通信保密,2002(6).

网络入侵安全检查分析 篇4

关键词：电力系统,安全维护,入侵检测技术,应用分析

电力系统的信息化, 就是计算机技术运用到电力系统的全过程, 推动整个电力系统向着集约化、技术化以及高效化的目标前进。电力系统是我国的支柱产业, 对于安全性的要求也很高, 各种信息具有及时性强、数量庞大、分布广泛和安全级别要求高的特点。而对于计算机网络而言, 却有着开放性、联系性和共享性的特点, 因此对电力系统的安全性造成了威胁。

计算机网络信息系统受到攻击主要有四种, 即病毒攻击、身份攻击、防火墙攻击和拒绝服务攻击。这都会造成主机和网络数据的丢失, 因此, 需要在电力信息化系统中引入一种能够实时检测是否受到非法入侵的技术———入侵检测技术。

1 入侵检测技术

1.1 入侵检测技术的概念

入侵检测技术就是通过对计算机中的一些重要文件、关键数据或者对用户的操作行为进行分析, 以及时发现这些数据和文件受到违反安全策略行为的攻击, 然后迅速发出警报或者阻拦这些攻击行为来保证系统的安全性和完整性的技术。

入侵检测系统检测内容主要包括两种, 即非法访问行为和系统外部入侵两种行为。主要目的就是对计算机网络中出现的一些未经授权的行为进行检测, 判断其是否符合安全规定, 然后将检测结果进行报告和处理。该技术和防火墙联合运用就对计算机系统构成一个大型的保护罩, 使得计算机在网络应用中受到安全攻击的概率大大降低。

1.2 入侵检测技术的分类

将入侵检测技术根据相对应技术设计来进行分类, 主要可以分为以下三种: (1) 基于主机的检测系统。此系统主要就是装在指定的主机上, 对于主机中的日志和网络系统进行检测, 若发现主机的数据受到干扰, 则会采取相应的措施来对干扰进行处理。 (2) 基于网络的检测系统。该系统主要就是分析网络中的数据, 在发现网络数据异常或者感应到电脑受到入侵的时候, 就会选择发出警报或者切断网络。 (3) 混合检测系统。将基于主机的检测系统和基于网络的检测系统进行联合, 可以充分发挥二者的检测优势。这种集成化的检测分析方式, 能够对数据起到更好的保护作用。

1.3 入侵检测技术的系统结构

入侵检测系统主要是由三部分构成, 数据的检测、数据的分析以及数据的处理。入侵检测系统使用数据模块在网络中抓取数据包, 对获得的数据进行处理, 然后将处理结束的数据传递给分析模块。其中, 数据模块是检测系统的核心模块, 对获得的数据进行分析和匹配是其最主要的内容。当发现数据出现异常的时候, 数据模块就选择将这些异常的数据传递给分析模块来进行处理。

2 入侵检测技术在电力系统中应用的意义

电力系统信息复杂而繁多, 通过运用计算机信息技术可以使得管理更加标准、开放、互联和高效, 和外界信息的交流也能够更加频繁, 能够及时处理电力系统中出现的一些问题。对于这个过程中的安全性问题就需要入侵检测技术来进行解决, 该技术的使用已经成为了整个电力系统战略性的问题。

入侵检测技术贯穿于整个电力系统的每一个需要维护的环节, 它能够在源头上高效地抑制非法入侵。做好电力系统的入侵检测技术, 使其更标准和规范, 以保障电力系统的网络安全。

3 入侵检测技术在电力系统中的应用

3.1 实践应用

在入侵检测技术的实践应用中, 要对检测器和服务台进行科学合理的布局。可以在内部的路由器和网络之间安装一个检测器, 也可以根据服务器的重要性, 选择性地在服务器和工作站之间安装检测器, 这样就能实现保护。安装好检测器之后, 检测系统还要安排好检测器和管理员之间的配合, 管理员要做的主要就是两个工作:一是做好对突发事件处理的准备工作;二是能够及时对检测器发出的警报信号做出正确反馈, 判断出是继续对入侵者进行监视还是选择关闭系统。只有管理员配合好检测器的工作的时候, 才能充分发挥入侵检测技术的作用。

3.2 运行分析

在入侵检测技术运行的时候, 需要该技术和防火墙进行配合来对攻击数据的行为进行防御。防火墙采用的是一种被动防御的方式, 而入侵检测技术则是进行主动防御。电力系统的主机和网络是具有完整的安全审计功能的, 因此可以将网络日志作为主要数据库。当入侵检测系统发现可疑的网络行为的时候, 可以将信息传递给防火墙来对这些可疑的数据进行过滤。

4 小结

在当下, 电力系统网络安全问题日益突出, 要抵御网络中不良行为对电力系统的攻击, 就需要运用入侵检测技术。入侵检测技术能够随时监控主机或者网络中的不合法入侵, 对这些不良行为及时作出判断和反应。入侵检测技术在进行实时监控的时候, 能够抑制安全隐患的发展, 在安全隐患还不是足够大的时候就能够采取措施阻止不法入侵, 从而保护数据的安全。

参考文献

[1]魏绵巍, 王泉德, 等.入侵检测系统在电力信息网络中的应用[J].武汉大学学报 (工学版) , 2006, 39 (2) .

网络安全入侵检测技术研究 篇5

网络安全入侵检测包含入侵防御与入侵检测两类系统, 其中前者依据某一特定安全策略监控系统与网络的实时运行状态, 并尽可能在非法入侵攻击程序实施攻击行为之前便准确发掘其企图目标, 进而切实提升计算机网络系统各项价值化资源的保密性与完整性。现代化科学技术的迅猛发展令针对网络安全的攻击技术水平也实现了逐步提升, 越来越多的网络安全系统漏洞被不断发现, 而传统应用的防火墙与入侵检测技术在应对该类富于变化的安全问题中显得力不从心, 因此防御入侵系统逐步形成, 其可通过检测与深度感知流经数据流量剔除恶意报文、良好阻隔其攻击并限制报文滥用现象的发生, 有效保护了网络带宽资源。入侵防御及检测系统的显著区别体现在入侵检测仅单纯具备报警作用, 而无法对网络入侵行为作出有效防御。而位于防火墙硬件设备与网络之间的入侵防御体系则会在检测发掘恶意攻击后对各类开始扩散的攻击进行有效阻止。同时两者对攻击的检测方式也有所不同, 防御入侵系统实施对入网数据包的周密检查, 在核准该数据包明确用途基础上再进行是否批准其进入网络的科学判断。

2 科学应用入侵检测技术维护计算机网络系统安全

在计算机网络系统中检测入侵形式既包含硬件手段同时也包含软件方式, 两者具有相同工作流程, 其通过设置网络接口为混杂模式进而便于实时监控全部该网段流经的数据, 对其作出判断分析, 并与数据库内包含的预定义攻击特征展开比较, 进而准确识别有害数据包攻击并做出及时响应, 全面记录操作日志。

2.1 网络安全入侵检测结构

网络安全入侵检测结构包含三部分, 即console、agent与manager, 其中前者作用在于对代理处数据信息进行有效的收集并将受到攻击信息予以显示, 发送找到的相关数据与攻击信息于管理器中。agent发挥对网段中各类数据包的监视作用, 同时也具有抓住攻击信息, 发送相关数据至管理器作用, 而manager主体作用在于对配置警告攻击信息进行响应并执行控制台整体发布的相关命令, 最终将代理攻击警告输送于控制台。

2.2 网络安全入侵检测运行模式

网络系统中入侵检测操作运行首先应位于各网段进行多个代理入侵检测的部署, 并依据网络不同结构, 适应性选择不同的连接代理形式。倘若连接网段方式为总线集线器, 那么只要连接集线器内某一端口与代理即可, 倘若连接代理形式为以太网交换机, 由于其无法进行媒介共享, 因此我们可应用交换机芯片调试端口令其与入侵检测体系连接, 也可将其放置于关键数据流出入口, 进而几乎全部获取关键性信息数据。倘若检测入侵系统发觉到恶意攻击的特征信息, 则其会采用多重响应方式, 例如记录日志、发送邮件、通报管理员、切断会话、查杀进程、启动触发器执行预设命令、创建报告、消除用户账号等。而攻击特征库的升级则可利用自动或手动形式在相应站点中将特征文件予以下载, 同时基于控制台令其实时添加于特征库。网络管理工作人员则可依据单位现行应用与资源状况基于检测入侵系统特征库进行攻击特征自定义, 进而实施安全保护职能。

2.3 对网络系统主机实施入侵检测

一般来讲针对网络系统主机进行入侵检测会将控制点设置在系统重要性主机中, 进而便于对该主机进行系统日志审计, 并合理判断分析实时网络连接信息, 倘若在检测阶段发现了可疑状况则入侵检测系统便会采取有针对性措施进行有效防御。在对网络操作系统以及用户操作行为实施全程监控阶段, 入侵检测技术可实施对系统的整体评估, 核查其应用状况以及数据相对完整性, 并通过全新创建监控安全策略、及时更新实施主动维护。我们可利用入侵检测系统对各类没有通过授权行为展开检测并及时发出报警, 还可利用其预设功能执行响应措施, 收集所有记录日志进行安全保护并为后续操作管理备用。当然基于主机应用入侵检测技术系统可对其实施全面细致的安全保护, 但同时其在网络系统中实施的全面部署需要投入较高成本, 且会占用到被保护对象主机的一定处理资源, 因此对主机系统综合性能具有一定要求。

2.4 基于异常状况的入侵检测技术

基于异常状况的入侵检测技术主要通过对正常状况行为规律的分析总结日志信息, 其目标针对使用资源状况或操作者行为的偏离程度进行入侵检测。其应用方式为首先对应正常活动建立用户或系统正常轮廓, 在入侵检测活动阶段检测异常程序会对当前活动产生轮廓并令其与正常轮廓进行比较, 当发觉两者存在显著偏离现象时便可判断为入侵行为。该异常检测技术相对来讲与系统无关, 具有较强的通用性, 其显著优势在于能够检测发现系统前期从未发现的攻击方式, 同时其包含一定的误检率, 且管理配置具有相对复杂性。应用该检测技术关键环节在于如何建立正常应用模式并实施对用户行为与当前系统的科学比较, 进而判断分析出其偏离正常模式程度。因此在该层面我们应持续深入研究, 发展神经网络、贝叶斯推理、数据挖掘异常入侵检测技术, 依据用户历史行为合理生成记录集, 有效更新批处理记录审计方式为自动响应、实时监测方式, 进而科学控制系统误报入侵行为现象。

3 结论

总之, 网络安全入侵检测技术的应用研究尚处于发展阶段, 始终存在不足缺陷或弊端问题, 因此我们只有面对不断更新的入侵、窃取、盗用等不安全网络攻击行为创新设计理念、更新研究思路, 创设高可靠性、实用性网络安全入侵检测系统技术, 才能切实提升计算机网络系统综合安全性能, 进而真正创设优质、高效、可靠、安全的信息化网络环境。

摘要：计算机网络安全技术的应用发展应全面跟上信息化计算机科学技术的快速更新步伐, 为各项智能化、自动化技术优势功能的发挥创设可靠、秩序化操作应用环境。因此, 本文基于网络安全重要性展开了低风险、低成本入侵检测技术应用发展探讨, 对提升网络系统整体安全水平, 促进网络运行的规范化高效性发展有重要的实践价值。

关键词：网络安全,入侵检测,技术

参考文献

[1]胥琼丹.入侵检测技术在计算机网络安全维护中的应用[J].电脑知识与技术, 2010 (11) .

基于入侵检测的网络安全研究 篇6

在社会发展构成中, 网络信息的出现为经济、军事、政治以及人们生活带来了的便利与实惠。但是, 享受的同时也面临着威胁。有数据显示, 世界黑客事件出现时间间隔在20s左右, 全球互联网各主体已经无法忽视网络安全的存在。早先的静态安全防御技术主要是防火墙隔离技术以及加固操作系统技术, 其是建立在多种形式基础上的静态阻断方案。在不断变化的网络环境下, 该技术无法主动的对攻击做反应。而入侵检测作为一种动态安全最核心技术之一今年来得到了迅速的发展。

入侵检测系统 (Intrusion Detection System, IDS) 的兴起时间并不长久, 其应用于网络安全体系后, 主要可对入侵做检测并发出警报。该“入侵”具有非常广的囊括范围, 除了常见的黑客攻击外, 多种多样的异常网络行为也包含其中, 例如网络资源非法使用以及泄露内部网络机密信息等。为建立安全的网络环境, 防火墙、身份认证、加密传输、服务器安全加固、防病毒等安全产品常常用到。利用安全体系, 我们可以对入侵做好检测。入侵检测系统 (IDS) 是近十多年发展起来的新一代安全防范技术, 在计算机系统或网络的几个关键点协助下, 便可以对信息做好收集并认真分析, 对存在的攻击行为以及安全策略违反情况做好反映。该动态技术具备检测、响应、记录与报警的功效, 在对外部入侵行为做检测后, 也对未授权的内部用户行为监督。

2 入侵检测系统所面临问题

根据国外权威机构近来发布的入侵检测产品评测报告, 目前主流的入侵检测系统大都存在以下几个问题:

(1) 没有太多能力阻断入侵。对于入侵检测系统, 其功能有入侵发现以及连接阻断两个方面。实时保护误操作、外部攻击以及内部攻击。但是, 识别入侵行为依然是单方面的工作重点。网络安全效果的提升, 在黑客入侵识别的同时, 也要具备入侵阻断的能力。

(2) 较高的漏报率和较高的误报率。在高速交换的网络中, 入侵检测系统不能很好地检测所有的数据包。分析的准确率不高, 经常产生漏报。检测规则的更新落后于攻击手段的更新;新的攻击没有相应的检测规则, 经常产生误报。

(3) IDS之间的互操作能力弱。在快速更新发展的网络技术现实下, 网络攻击方式也日新月异, 具有代表性的攻击形式就是分布式协同攻击。该行为主要在攻击者操作下, 一台主机受到难以计量的服务器攻击, 具有很强的隐蔽性与破坏性。虽然在各网络部分安装了各异的IDS, 但入侵检测体系结构是在较多的IDS上被运用。保护方式为单独的主机保护, 信息交换无法实现, 攻击发源难以发现, 这样, 攻击者常常有恃无恐。所以, 协作式、分布式应该是体系结构改革方向, 构建IDS间操作协作性。

3 解决措施

第一, 为使漏报率与误报率迅速下降, 不妨在预先分配的系统内部空间地址直接传输网络数据报文, 阻止CPU运作。另外, 在检测程序中的应用程序可接收系统内核储存数据报文的映射。此内存块接受检测程序的访问, 避免用户内存空间被系统内核拷贝, 系统调用开销将大大减少。确保准确性检测, 要对当前的网络自动获取信息做状态考虑, 配置IDS要参考变化的系统状态, 让当前网络状态下的IDS模式匹配发生关联。管理者在对网络状况掌握后, 应该对非开放端口中的连接企图看做是数据的异常, 并在日志中记录以及时刻跟踪。做好攻击预防, 确保信息足够安全。

第二, 联合防火墙与侵入检测系统, 做好IDS的策略安全工作, 对对象防火墙密匙与地址要响应指定, 连接防火墙由IDS发起, 在连接正常之后, 防火墙可接收到新产生的IDS安全事件, 并相应对安全措施做好调整, 构建动态的防护体系, 做到入侵行为的切断从源头上把握。如此, 防火墙反应能力得到了提升, IDS阻断效果大大提升。

如:上海广电应确信有限公司 (www.svanetworks.com) 作为专业的网络安全设备厂商, 入侵检测网络安全方面, 采用了高速网络数据采集技术, 结合独特的硬件和软件优化, 提高了检测分析速度, 同时以模式匹配技术为主, 结合异常发现技术, 采用基于主机和基于网络两种方式兼备的分布式系统, 并使用先进的“基于上下文分析”技术, 提供了更准确的可互动的入侵检测行为并报警。这里所说的入侵行为涵盖范围很广, 不仅包括黑客攻击, 还包括各种网络异常行为, 如内部网络机密信息泄漏和非法使用网络资源等等。

4 技术展望

入侵检测系统的标准化。由于入侵检测系统的市场在近几年中飞速发展, 许多公司也投入到这一领域上来。但就目前而言, 入侵检测系统还缺乏相应的标准, 但标准化是入侵检测系统发展的必然方向。

与网络安全技术相结合。结合防火墙、VPN、PKIX和安全电子交易SET等新的网络安全与电子商务技术, 入侵检测系统能提供完整的网络安全保障。

网络安全已经上升到了社会安全、政治安全以及经济安全领域, 管理也需要从多个层次出现, 以资产完整性作为保护的最终目标, 尽量的将损失控制在最小范围, 实现最大化的投资回报率, 保证各项业务不受干扰。网络安全的解决是不可能依靠单一的产品完全、有效解决, 要走合作协作各安全产品的道路, 帮助用户建立一个动态的纵深防御体系。

5 结语

网络安全是网络普及下用户最关心的问题。从思想认识上, 网络用户认识到了防火墙的重要性。但是, 对于入侵检测系统, 他们则支支吾吾, 道不清。可以说, 安全警卫就是防火墙的重要职责, 在对规则预先设定后, 匹配网络中进出数据, 和规则相符的允许通过, 截然相反则组织。可以说, 防火墙的作用在于控制访问, 是第一道网络安全闸门。

摘要：计算机网络已经渗透到了社会的各个领域, 人们在享受网络带来的资源共享及信息交流方便快捷的同时, 也不得不面对越来越多的来自网上的恶意攻击, 各种黑客攻击技术在网上唾手可得, 而且日新月异。入侵检测作为近年发展起来的一种动态安全最核心技术之一, 主要通过实时监控网络和系统的状态、行为以及系统的使用情况, 来检测系统用户的越权使用行为, 以及系统外部的入侵者利用系统的安全缺陷对系统进行入侵的企图。在目前日益复杂的网络形势下有其不可取代的地位。

浅议入侵检测及网络安全技术 篇7

据统计:信息窃贼在过去5年中以250%速度增长, 99%的大公司都发生过大的入侵事件。世界著名的商业网站, 如Yahoo、Buy、EBay、Am azon、CNN都曾被黑客入侵, 造成巨大的经济损失。甚至连专门从事网络安全的RSA网站也受到黑客的攻击。

对入侵攻击的检测与防范、保障计算机系统、网络系统及整个信息基础设施的安全已经成为刻不容缓的重要课题。

网络安全是一个系统的概念, 有效的安全策略或方案的制定, 是网络信息安全的首要目标。网络安全技术主要有, 认证授权、数据加密、访问控制、安全审计等。本文着重讨论的入侵检测技术是安全审计中的核心技术之一, 是网络安全防护的重要组成部分。

入侵检测是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作, 检测到对系统的闯入或闯入的企图”。入侵检测是检测和响应计算机误用的学科, 其作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。

IDS是一种网络安全系统, 当有敌人或者恶意用户试图通过Inte rne t进入网络甚至计算机系统时, IDS能够检测出来, 并进行报警, 通知网络该采取措施进行响应。

在本质上, 入侵检测系统是一种典型的“窥探设备”。它不跨接多个物理网段 (通常只有一个监听端口) , 无须转发任何流量, 而只需要在网络上被动地、无声息地收集它所关心的报文即可。

目前, IDS分析及检测入侵阶段一般通过以下几种技术手段进行分析:特征库匹配、基于统计的分析和完整性分析。其中前两种方法用于实时的入侵检测, 而完整性分析则用于事后分析。

2 IDS技术的发展

IDS虽然存在一些缺陷, 但换个角度我们看到, 各种相关网络安全的黑客和病毒都是依赖网络平台进行的, 而如果在网络平台上就能切断黑客和病毒的传播途径, 那么就能更好地保证安全。这样, 网络设备与IDS设备联动就应运而生了。

IDS与网络交换设备联动, 是指交换机或防火墙在运行的过程中, 将各种数据流的信息上报给安全设备, IDS系统可根据上报信息和数据流内容进行检测, 在发现网络安全事件的时候, 进行有针对性的动作, 并将这些对安全事件反应的动作发送到交换机或防火墙上, 由交换机或防火墙来实现精确端口的关闭和断开, 由此即产生了入侵防御系统 (IPS) 的概念。

简单地理解, 可认为IPS就是防火墙加上入侵检测系统。IPS技术在IDS监测的功能上又增加了主动响应的功能, 力求做到一旦发现有攻击行为, 立即响应, 主动切断连接。它的部署方式不像IDS并联在网络中, 而是以串联的方式接入网络中。

除了IPS, 也有厂商提出了IMS (入侵管理系统) 。IMS是一个过程, 在行为未发生前要考虑网络中有什么漏洞, 判断有可能会形成什么攻击行为和面临的入侵危险;在行为发生时或即将发生时, 不仅要检测出入侵行为, 还要主动阻断, 终止入侵行为;在入侵行为发生后, 还要深层次分析入侵行为, 通过关联分析, 来判断是否还会出现下一个攻击行为。

3 网络安全的发展方向

主动防御技术在病毒与威胁被定义前, 就能够对系统进行有效的保护, 其工作原理:

1) 行为阻截:监控系统上每个应用程序的行为, 对恶意操作进行阻截, 比如防止程序通过电子邮件进行自我复制等等。

2) 协议异常的防护:在网关和主机上截获数据流, 只转发符合公认的互联网标准的数据。例如HTTP的请求:必需以GET请求开始, 必需发送标题行, 请求之后如未跟随其他数据。而红色代码, BLASTER等蠕虫会在请求之后跟随其他数据, 这时即可对数据包进行拦截。

3) 病毒扼杀:超快计算机蠕虫每秒钟可以连接数百万台新计算机, 而普通用户每秒连接1至2台, 通过限制连接速率, 便可对蠕虫进行限制。

4) 通用漏洞利用阻截技术:对系统的通用漏洞进行分析, 对利用通用漏洞的行为, 立刻阻截, 无需特定的特征。

利用主动防御技术, 个人电脑, 服务器和网关设备可以通过LiveUpdate自动下载漏洞特征库与病毒定义库, 在新的威胁爆发并产生破坏前具有防范和阻截新威胁的能力。

“集中检测, 分布控制”这个观点对于如何看待检测技术和访问控制技术的走向是非常重要的。一个准确度不能完全令人满意的IDS, 经过人工的分析可以变得准确。同样, 经过大规模的IDS部署后的集中分析以及和其他检测类技术关联分析, 可以获得更加精确的结果。这样局部的事件检测就向全局性的事件检测方向发展。根据全局性的检测结果就可以进行全局性的响应和控制。

全局性的检测可以有效解决检测的准确率问题, 但是同时带来的就是检测过程变长, 局部速度不够快的问题。所以, 面对一些局部事件和可以准确地判断出的问题, 阻断后带来的负面效应相对较少, 针对其检测可以比较快速的时候, IPS就是一个比较好的方案了。

不可否认的是, 人的因素仍然是网络安全管理的决定因素, 网络安全最薄弱的环节也并不是系统漏洞, 而是人的漏洞。安全问题的核心问题就是人的问题。因为一切不安全的因素全来自人 (或者说一部分人) 。那么我们与信息网络安全威胁的斗争, 实际上是与人 (或者说一部分人) 的斗争, 这样性质的斗争, 自不待言, 注定了它的艰巨性、复杂性和持久性。

因此, 单纯依靠安全技术和软、硬件产品解决网络安全问题的想法是不现实也是不明智的, 提高企业的网络安全意识, 加大整体防范网络入侵和攻击的能力, 并在此基础上形成一支高素质的网络安全管理专业队伍, 及时准确地应对各式各样的网络安全事件, 才能从根本上解决我们面临的威胁和困扰。

参考文献

[1]蔡立军.计算机网络安全技术[A].中国水利水电出版社, 2002.

[2]赵斌斌.网络安全与黑客工具防范[A].科学出版社, 2001.