信息入侵

关键词： 系统日志 检测 入侵 计算机

信息入侵（精选十篇）

信息入侵 篇1

随着计算机和网络技术应用的日益普及,计算机网络安全越来越受到人们的重视。入侵检测(intrusion detection)作为网络安全研究的重要内容,更是引起了国内外学者的广泛关注。入侵检测通过检查网络数据包、系统日志及审计数据,以判断系统中是否有违背安全策略或计算机系统安全的行为。

目前入侵检测技术主要分为两类:异常检测和误用检测[1]。误用检测的分析机制基于已知攻击特征建立，对未知攻击无能为力。异常检测技术是通过建立主体的正常行为模型，来发现异常行为，从而达到发现未知攻击的目的。随着人工智能技术的发展，异常检测技术取得了很大的进步。在有关文献中,Forrest[2]等人把入侵检测看作是区分“自我”(也就是“正常”)和“非我”(也就是“异常”)的过程,提出了基于免疫模型的入侵检测技术。Eleazar Eskin[3]等人提出利用支持向量机进行异常检测。W.Lee[4]从数据挖掘技术的角度探讨了入侵检测的实现问题。

然而任何一种单独的入侵检测技术都不能对未知异常数据进行确切地判断，它们或者有较高的漏报率，或者有较高的误报率。

本文提出的基于信息反馈的入侵检测方法结合了主机的反馈信息，主机对未知异常进行跟踪监视，随时将异常行为反馈给IDS，结合行为分析技术，来确定此未知异常的真伪从而降低了漏报率与误报率。同时对IDS的知识库进行了更新

本文首先设计一个基于信息反馈的入侵检测模型，其次详细介绍了系统根据反馈信息利用行为分析技术对未知异常行为进行分析过程，最后进行实验。

2 入侵检测模型

仅通过分析网络数据包不能准确地检测一个伪装入侵，只有通过对其在主机内的行为分析才能确切地判断。然而不能为每一个主机安装一个入侵检测系统，这样会大大降低主机的性能。为此本文设计了基于信息反馈的检测模型，如图1。

此模型中，首先采用基于神经网络的异常检测技术对采集的数据进行检测，由于网络中绝大部分的访问属于正常访问，所以经过异常检测之后，会大大减少IDS的负荷。一旦发现异常再交由误用检测模块进行检测。误用检测模块利用模式匹配技术，判断是否是一个已知类型攻击，若是则产生报警，否则就把它识为一个未知异常。此时并不产生报警而是立即通知相应主机，起动信息反馈计时器，等待主机反馈信息。主机开始跟踪并监视此连接在主机内的一切活动，把系统日志周期性地反馈给IDS。IDS立即根据反馈的信息利用行为分析技术判断是否为一个入侵。如果发现是一个入侵行为或等待反馈信息超时，则产生报警。如果没有异常发生则认为它是一个正常连接。当确定是一个入侵或是一个正常行为后再更新误用检测模块或异常检测模块中的知识库。主机端只需安装读取并发送日志文件的小模块。

在没有IDS通知的情况下主机也要定期向IDS反馈信息。以防止绕过IDS的入侵，并可实现IDS的再学习。

3 行为分析模型

行为分析是检测登录系统的用户行为是否违背正常行为。就是用对象当前的行为与正常的历史行为相比较,从而检测出这种对象的异常行为。

本文采用的异常检测方法是是基于学习的异常检测方法。分为学习(训练)与检测两个阶段。在学习阶段，首先根据已知正常行为样本进行学习，作为初始正常行为特征库，以后可以在管理员的参与下继续学习进行更新。在检测阶段利用模式匹配算法进行行为分析。其模型如图2:

从模型可以分看出,行为分析检测方法的基本思想是:系统在运行之前首先利用正常行为样本进行学习，在正常行为库中建立初始的用户正常行为模式。在运行时当有信息反馈时，把反馈信息进行预处理获取用户的当前行为特征后，触发行为检测模块;然后将用户的当前行为与行为模式库中的正常行为进行模式匹配,并计算其相似度,做出入侵判断。

3.1 各模块的功能

(1)数据预处理模块:当某主机有异常连接时，它将与IDS进行实时通信，把审计记录和系统日志信息反馈给IDS，同时也将此时的系统资源使用情况，反馈给IDS,IDS会把这些数据进行过滤、特征提取，统一编码等处理，生成异常检测模块的净输入，或作为学习的样本输入。

用户行为特征数据结构：

(2)学习模块:学习模块首先要用已知样本进行学习(训练)以获得初始正常行为特征库。在用样本进行学习的阶段认为所有的行为都是正常行为。而运行阶段的再学习则要通过一定的学习算法进行自学习或通过管理员手工学习。学习的过程就是提取正常用户的行为特征将其转换为正常行为模式，并保存在正常行为库中的过程。

(3)异常检测模块:异常检测模块是整个行为分析模块的核心，它审计记录、系统日志和主机的系统资源等信息经过预处理后得到规范的输入数据。然后依据正常行为模式库来判断当前行为是否为异常行为。

3.2 功能实现

1)数据预处理模块

在基于信息反馈的入侵检测系统中，反馈信息只是针对异常登录用户的信息，分析的系统日志也是从此用户登录到退出系统的那一段时间的日志,而不考虑除此以外的任何日志。这样可以减少IDS的处理的数据量。下面以Linux为例来说明数据预处理的实现。

当某主机有可疑连接时,主机端的信息反馈模块就会启动，读取当前的日志文件，反馈到IDS。用户每执行一个命令发送一次，直到Logout为止。IDS的将从这些日志信息提取用户行为特征和其它相关资源信息，以链表的形式保存。每次的反馈信息都将添加到链表尾部。IDS从链表尾部提取其新的行为特征，不断更改其行为模式，每更改一次就交由行为分析模块处理一次。

Linux的日志文件系统:

2)学习模块

在系统运行之前必须要有学习好的正常行为库。初始化学习阶段的数据源认为都是正常行为的日志。学习阶段也就是正常行为建模阶段。首先定义了该模式库的数据格式,使用这些特征属性就可以较完整地描述用户的正常行为：“某用户username是userid的身份,他常常在start_time时间段从source_ip登录dest_ip,其习惯的登录方式为login-type;持续时间最短minduration,最长时间为maxduration;是否允许执行su命令以及他通常执行的命令序列的情况”。如果某个用户的当前行为在特定的参数上与其模式库中的行为发生了很明显的差异,系统都将异常报警。

用户行为建模模块在实现建立和更新行为模式库上采用的方法：a样本训练法。主要是用来建立初始的正常行为模式库。训练过程如下：(1)提取日志文件中所有用户行为特征。(2)以用户名为索引在正常行为库中搜索是否含有此行为的记录。(3)若没有记录把此用户行为转换为正常用户行为记录。(4)若有此行为记录则继续学习下一个用户行为。b加权近期最多使用算法。主要是用来在运行阶段,进行再学习。算法原理如下：首先建立统计数据库，其数据源来自所有主机的反馈信息。统计数据库中的每条记录对应一个用户的近期历史行为。然后对统计数据库中的用户行为,按时间分段,并赋予不同的权值,时间上越近的行为数据,其权值越高,而时间上越久远的行为数据,其权值越低;对统计数据库中不同用户数据进行加权统计,加权统计值最大的行为为正常行为。为防止,入侵行为频繁发生时,训练算法可能将其训练成正常行为带来灾难性后果的情况，系统要求管理员通过控制接口手工更新正常行为模式库。对误警的行为管理员也要定期将它们手工再学习。

3)异常检测模块

异常检测是对用户的行为进行异常分析。在用户行为模式库一旦建立,登录系统每一个用户都对应了模式库中的一条记录,该记录体现了用户的正常历史行为。当有信息反馈时预处理模块提取出用户的当前行为特征后,以该用户的用户名作关键字在模式库中查出对应的该用户的正常行为模式,对二者进行模式匹配,计算出其相似度。相似度越高,说明该用户的当前行为模式与历史行为模式越吻合,出现异常的可能性就越小。匹配的过程中,根据不同的情况采用了不同的匹配方式。对于用户名username、用户身份userid、源地址src_ip、目标地址dest_ip、登录类型login_type等,由于它们均表现为确定的字符串,所以采用简单的字符串匹配算法计算出相似度;而对于用户执行的命令序列,虽然它们在某种程度上也表现为字符串,但其在形式上表现为某种序列,如ls->vi.c->mail->exit等,所以模式匹配的过程就转变成针对序列的比较,而序列之间的比较结果,就不应该仅仅用相同或不相同来简单反映,而应该用相似程度来衡量不同行为模式之间的吻合程度。在这里采取了递归式相关函数的算法来对序列进行相似度的计算敗K惴ㄈ缦拢�假设S1和S2为两个待比较的序列,MaxSub为S1和S2中具有最大重合度的子序列,我们定义距离差(Location_Difference)为LocationDifference=Factor×B1-B2.其中B1和B2分别代表MaxSub在S1和S2中的起始位置,Factor则是表示影响程度的差值因子,由用户指定,取值范围为[0,1]间的实数.

(1)计算S1和S2的最大长度MaxLength;

(2)调用Calc_correlation函数计算S1和S2的相关值Correlation,并得到重合度最大的子序列(Max Sub)分别在S1和S2中所处的位置;

(3)Result值加上Correlation;

(4)计算最大重合子序列(MaxSub)在S1和S2中的距离差(Location-Difference),令Result减去该距离差;

(5)清除S1中的最大重合子序列(MaxSub),得到新的S1;

(6)清除S2中的最大重合子序列(MaxSub),得到新的S2;

(7)如果Correlation不为0,并且S1和S2都不为空,则回到2),计算新的S1和S2的相关函数,否则转向8);

(8)Result除以原始序列的最大长度Max Length;

(9)返回Result值.

4 实验结果:

本实验在实验室中通过搭建真实环境进行的。采用黑客工具箱进行实时攻击。除了DDOS攻击外其余的全部源地址为202.118.192.34。本文对采用信息反馈前后作了比较详细数据如下:

加入信息反馈之前的实验数据:(部分数据)

上表是分别用7种攻击进行了测试，此时系统只有基于异常和误用检测模块。在测试之前正常库中只设为console方式为正常登录，在攻击特征库中没有加入Hidden Field攻击(企图更改受限数据)，正常登录时间为8:00-17:00。结果当用telnet方式登录时产生了报警(第一个unknown);当在晚上19点登录时也产生了报警(第三个unknown);用Hidden Field攻击时也产生了报警(第二个unknown)。

当加入信息反馈模块之后，结果如下：

通过上面对比可以发现，系统对用telnet和晚上20:11登录并没有报警，这正是我们希望的，因为我们登录后，进行的正常操作。而Hidden Field攻击违背正常行为的操作结果产生了报警。经过反复试验(出于篇幅限制没有全部列出)，我们得出以下绪论:当有异常连接时如果没有异常行为(如telnet登录与晚上19点登录)IDS不产生报警。当有异常连接，且有异常行为(Hidden Field攻击)时系统产生报警。

在加入反馈之后误报率将比加入之前有明显降低，准确率大大提高。本系统经过大量实验计算结果如下:

我们可以发现加入反馈后误报率明显下降，准确率明显提高。并且随着次数的增加，系统会进行再学习，从而达到了自我更新，提高了准确率。

5 结束语

本文提出的基于信息反馈的入侵检测模型是把主机的反馈信息和现有入侵检测系统的检测技术结合而设计的一种检测模型。提出了一种主机与IDS协作的思想。当IDS发现异常并不报警而是通知相应主机等待反馈信息。入侵检测系统结合反馈信息再利用模式比较算法，对此行为进行检测，然后做出判断。大大减少了误报率与漏报率。

参考文献

[1]将建春,马恒太,任党恩等.网络安全入侵检测:研究综述[J].软件学报,2000,11(11):1460-1466

[2]FORREST S,PERRELASON AS,ALLEN L,CHERUKUR R.Self_Nonself discrimination in a computer[C].In:Rushby J,Meadows C,eds.Proceedings of the 1994 IEEESymposium on Research in Security and Privacy.Oakland,CA:IEEE Computer Society Press,1994.202-212.

[3]ELEAZAR ESKIN,ANDREW ARNOLD ET AL.Ageometric framework for unsupervised anomaly detection:De-tecting intrusions in unlabeled data[EB/OL].2002.http://www.cs.columbia.edu/ids/publications/

网络信息理入侵检测技术研究论文 篇2

(2)现阶段入侵检测技术的主要流程。通常情况下,入侵检测技主要可以分为两个阶段。第一个阶段便是信息采集,主要便是对于用户的各种信息使用行为和重要信息进行收集,这些信息的收集主要是通过对于重点信息部位的使用信息进行查询得出的,所以说在现代应用之中,入侵检测技术一方面应用了现代的检测技术,另外一方面也对于多种信息都进行了收集行为,保证了收集信息的准确性;第二个阶段便是处理相关信息,通过将收集的信息和过往的信息进行有效对比,然后如果对比出相关错误便进行判断,判断使用行为是否违背了网络安全管理规范,如果判断结果为肯定,那么便可以认定其属于入侵行为,对于使用用户进行提醒,帮助用户对于入侵行为进行清除。

2现阶段入侵检测技术的使用现状

(1)网络信息管理中入侵检测系统的问题。入侵检测技术作为一种网络辅助软件去,其本身在现阶段并不是完善的,自身也存在漏洞。所以说很多非法分子的入侵不仅仅是面对系统的,很多先通过入侵技术的漏洞来进行。针对现阶段的使用过程而言,入侵检测技术仍然存在自身的漏洞危险,也存在主要使用风险。在现阶段存在危险的方面主要有两个方面。一方面便是由于入侵检测系统存在漏洞;另外一方面便是现代计算机技术的发展。无论是相关的检测系统亦或是相关病毒,都是现代编程人员利用C语言进行编程,伴随着相关编程水平的不断提高,两种技术同样得到了自我发展,所以说很多hacker高手在现代的入侵行为之中,已经不能以旧有的眼光来进行相关分析。所以说新的时期,入侵检测技术也应该得到自我的发展,同样针对于应用网络的相关企业做好安全保证,保证信息技术在现代之中的发展。

信息入侵 篇3

关键词：入侵检测系统；数据挖掘；网络安全

中图分类号：TP393.08 文献标识码：A 文章编号：1006-8937（2013）14-0082-01

入侵检测这个说法是在1980年被提出来的，到如今已经有三十多年的历史了。在这种技术的发展历程之中，被各种学者融入了其他的领域，其中有一个便是数据挖掘。此技术的发展有着它独特的优势，它能够让正常数据与入侵数据被自动获取，半自动化的对入侵模式进行检测，但它也有着不足，由于该技术尚未完善，很多地方不能够被很好的控制，所以并不一定能达到理想的效果。总的来说，它大概有以下几个方面的缺点。第一，依赖数据的程度太大，又没有将自己的本身特点结合起来，所以不能对该技术进行更好的挖掘指导。第二，半自动化虽然被实现，但是方法太过单一，只能识别老旧的数据入侵模式，对新的仍无能为力，根本无法杜绝误认入侵的情况。

也正是由于这两个原因，在入侵检测中数据挖掘还不能够被很好的利用，检测率也十分的低下，根本不能满足发展的真正需求。本文就以电力信息网络为基础，对入侵检测中的数据挖掘做出简要的分析。

1 数据挖掘在电力信息网之中的应用方法

①决策规矩以及决策树。这两种方法是我们通常会用来解决实际问题的研究方法。作为分类器真正所代表的意义，函数的作用是用来区分概念或者数据的，它能够辨别出之前未曾接触过的对象，并对它做出分析。决策树上有不同的算法，某一些也被很好的应用在了实际问题上，我们应该对此进行发扬。

②聚类分析。这种方法主要是利用聚合来进行工作，它能够很多的无意义的模式加以整合使之存在一定的意义。

2 相关系统的设计

2.1 描述相关的模型系统

设计系统的目的，是为了能够在对数据进行挖掘的基础之上，得到一种检测方法。这种检测方法能够将异常行为和正常行为加以区分，从而对入侵加以有效的识别。这种系统我们最为理想的效果是能够对各种未知数据进行有效的检测。

对系统进行模型设计要基于已知的数据，要先对相关的网络进行有关的分析，并且根据一定的标准分开对IP进行群设立。这是为了能够对相关的分流数据进行有效的指导，分流之后的数据又会有新的分类方法，然后才建立符合他们本身的模式库。

建立一个相对比较完善的模型，应该将异常和正常两种检测方式加以结合。除此之外，我们还应该将异常行为和正常行为都用一定的模式区分出来，并且与检测方式相结合，对是否正常进行判断。通过相似度的比较，我们会对数据得出结论，然后我们应该将所得结果加以存档，并交给管理员，让他对信息进行判别以及贴标。等到数据再次更新之后，数据库便有了新的数据识别能力。

2.2 设计相关的模型系统

电力信息网是很多混合技术的结合，我们在对它进行系统模型的建立的时候，应该对各个方面进行注意，辅助设计最终得以完成。一个模型系统，大概会存在六个比较重要的功能板块。

①辅助决策。这个模块依赖于网络术语，要对网络系统进行一定分析，并按照相关要求对IP群进行建立，以便于更好的指导数据。

②数据采集。这个模块是用来对各种数据进行采集的，将镜像端口放在交换机之上，通过主机才完成对数据的采集，并过滤出需要的数据，收集在数据库当中。

③预处理数据。对采集到的数据，我们要进行剖析检查工作，提取对系统有帮助的信息并加以处理，在完成格式转换、信息统计之后，将其放入数据库之内，以便测试系统能够方便对其进行处理。

④生成分类器。将对系统有帮助的信息数据导入分类器之中，根据一定的计算方法对其进行计算，经过相关决策，将其放入规矩库。通常分类器的数据来源分为两个方面，一个是已经被预处理过的数据，一个是相关人员加进去的不可识别数据。

⑤检测引擎。这个版块的主要作用是用来对相关数据进行审核，如果根据系统检测方法检测出来的结果是异常，那么这就属于入侵行为，如果通过系统检测得出来的结论是正常的，那么我们可以对它不做过多理会。如果系统对数据无法识别，或者说可信度过低，那么这部分的数据应该进行二次处理。在相关人员对其进行处理之后，将其重新放进数据库中，成为新的判别资料。

⑥控制台。控制台是作为一个中间平台而存在的，它的作用是让系统和管理人员进行交互。这个模板几乎对每个部分都有接触，包括对新的数据进行引进、对检测引擎进行检测、对管理规则进行更新、对相关信息进行接收、对系统日志进行查看。

3 试验步骤以及试验结果

3.1 数据准备

这个系统主要是依赖于电力信息的环境而进行工作的。试验的数据都是来源于电力信息系统的，电力系统作为一个巨大的网络系统，拥有着巨大的数据库。在试验中我们只需要选择其中的一部分作为来源就可以测试出我们想要得到的结果。

电力信息网的数据信息来源比较稳定，能够为相关实验提供比较正常的数据资源。但在现实生活中，入侵的数据其实是非常少的，即使曾经发生过入侵，工作人员也很难判定这些数据是否会对系统产生什么威胁。

在正常情况下，我们将电力信息作为数据收集的对象，在一段时间内，对数据进行定时的采集。在对采集数据进行了分析整理之后，我们可以从里面选取一部分作为代表进行相关的试验，其中应该包括一定的正常数据和一定的入侵数据。在试验进行过后，我们假设并没有发生任何入侵行为。

3.2 测试相关的系统性能

选择一部分的数据进行分析，设立分类器，剩下的数据用来对系统进行相关测试。

①检测已经知道的入侵类型。这个实验设计出来，是为了对系统检测能力进行测验的。在检测中，我们假设某种数据都被认成另外一种数据，我们就可以得出结论，这种数据会降低系统检测的准备性，然后在对此进行深度分析。

②檢测未知类型。系统的识别率，指的是它发现不确定数据的能力，并不是判定数据的能力。

③系统更新能力。这个实验的最终目的是为了检测出系统是否真的对新数据对识别能力。

4 结 语

通过这些实验，我们可以对文中所列举的方法进行论证。作为一个检测入侵的测试系统，应该具有整体性与科学性，工作人员必须要能保证其系统能够对网络进行全局把控，对任何入侵的行为都能够及时的发现，对任何一个部分都要有能掌控的能力。在目前的相关系统来说，虽然比起刚开始，各方面已经有了长足的进步，但是仍旧不可否认还存在着大量的问题，我们应该在这方面进行整体的研究，对问题的解决方案进行讨论，将检测系统做到更好。

参考文献：

[1] 刘犇，毛燕琴，沈苏彬.一种基于数据挖掘技术的入侵检测方法的设计[J].计算机技术与发展，2011，（8）：241-245.

[2] 周戈，范琴.基于数据挖掘的网络入侵检测系统[J].信息与电脑（理论版），2011，（8）：148-149.

[3] 章金熔，刘峰，赵志宏，等.数据挖掘方法在网络入侵检测中的应用[J].计算机工程与设计，2009，（24）：5561-5566.

网络信息管理中入侵检测技术分析 篇4

随着科技日新月异的发展,整个的网络信息管理已经成为了社会生活中各个部门十分重视的一个方面。但是,目前网络信息管理活动中出现的各类不良攻击行为日趋普遍,为了保障整个网络系统、计算机系统和全部信息设施的网络安全,引进入侵检测技术对整个网络信息进行安全管理很有必要。下面,就通过对网络信息管理入侵技术存在的问题、入侵检查技术的内容以及网络信息管理入侵检测技术的分类进行探讨。

1 网络信息管理入侵检测技术存在的问题

1.1 无法检测未知的入侵行为

入侵检测技术主要是对于已知的入侵模式进行提取,这就是网络信息管理入侵检测技术的检测机理,但是很多的入侵行为显得极为隐秘,无法被正常检测出来,这样就会对整个网络信息管理带来一定的安全隐患。换而言之,网络信息管理入侵检测技术的一个缺点就是漏警率较高,这样的问题对整个网络系统的信息管理带来了消极影响。一些未知的入侵行为可能会带来很大的信息泄露或损坏等风险,而且这样的网络信息管理问题在应用入侵检测技术时也大量出现过。

1.2 检测速度小于网络速率

目前网络信息管理入侵检测系统在检测速度上还有待进一步的提高,由于在进行入侵检测进程时经常会出现检测速度小于网络传输速率的问题,这个时候对在某一特定时间内入侵的风险行为,检测系统通常没有能力进行识别和摸索,进而使得这些未知的入侵行为对整个网络信息管理带来了一定的影响。由于目前网络传输速度的飞速提升,而入侵检测技术的检测速度远远跟不上网络速度的前进步伐,这样就使得网络信息管理入侵检测技术的检测速率远小于网络速率,造成了误报和漏报的情况,这样不利于整个入侵检测系统进行检测程序的准确性和实效性的发展。

1.3 自身检测系统容易遭受攻击

对整个网络信息管理入侵检测系统而言,它们很容易遭受到入侵行为的攻击。目前来说,很多信息管理的入侵检测系统在使用过程中大部分都存在着遭受危险攻击的现象,主要原因就是科技的进步导致世界各地的黑客技术也迅猛发展,一些黑客高手通过一些恶意插件或者难以检测的木马对相应的入侵检测系统进行攻击,使得这些系统的检测作用紊乱,同时自身的系统构件也受到了一定的损害。在这样的情况下,整个的入侵检测系统还存在着一定的构件缺点,不能够有效地过滤掉恶意攻击行为,对系统形成相应的保护。在网络信息管理中,这些系统的使用风险无疑是增高了。

2 入侵检测技术的内容

入侵检查就是对防火墙的补充,是整个网络信息安全管理的第二道大门。入侵检测就是对整个计算机网络中的一些信息的关键点进行分析,从这些信息中去发现是否存在着一些违反了网络安全规定和系统遭受攻击的行为,并且对此自动进行回应。它在网络信息管理中的主要作用就是对系统和用户的网络行为进行监测和维护,同时对整个系统的安全漏洞和配置进行审计,并且及时对相关入侵行为进行识别、跟踪和警报工作。入侵检测技术在网络信息管理中的应用能够很好地帮助系统用户维护整个信息的安全和及时修护系统,保障系统正常工作的作用。通常来说,入侵检测技术的步骤主要如下:首先,必须要收集整个用户、系统和网络等活动的行为和状态的信息。这些信息基本上都是对网络信息的关键点分析得来,一方面能够将整个检测的范围扩大,同时还能依据多个信息采集点来判断是否有入侵行为的存在。其次,分析收集的信息。通常入侵检测技术的分析数据方法都是采用模型匹配,将收集的信息与数据库中的信息进行比对,从而找出是否有违背网络信息管理安全策略的行为。另外,统计分析法和完整性分析法也是常用的数据分析方法,这些分析方法的应用就是入侵检测技术能够很快识别、追踪入侵行为的重要基础。

3 网络信息管理入侵检测技术的分类

3.1 异常检测

(1)特征量的选择

在进行异常检测行为过程中,为了判断哪些入侵行为在网络信息管理中属于异常的,通常会建立一个正常的系统和用户的行为特征轮廓,在整个入侵检测系统中进行记忆,当一些异常的入侵行为出现时,系统就能够很快检测出来。在建立正常的行为特征轮廓模型的时候,通常是选择一些能够准确地体现出用户和系统行为的特征量,能够使得整个检测系统在应用过程中达到最优化的效果,进而减少了检测的难度,从而提高了整个网络信息管理的检测效率。

(2)参考阈值的选择

在异常检测过程中,通常设定了正常的特征轮廓,因此为了保证整个入侵检测系统工作方法的准确,参考阈值的选择是十分重要的。在网络信息管理过程中,当参考阈值的设定过小时,检测系统的虚警率就会提高;当参考阈值的设定过大时,就会出现漏警率过高的情况,由此看来在保持异常检查工作科学进行进程,必须要选择一个合适的参考阈值,这样才能够保证整个的异常检测对入侵行为的检测形成有效的作用。

3.2 误用检测

误用检测的应用前提就是所有的入侵行为都能够被识别和标记。通常,误用检测就是利用对一直的攻击方法实施攻击签名,再依据已经定义完成的攻击签名来对是否存在入侵行为进行判断。考虑到大部分的入侵行为都是通过利用系统的应用程序以及漏洞产生的,因此进行误用检测能够准确地对一些网络行为进行界定,准确地判断出哪些属于入侵行为,不仅能够检测出入侵行为,还能够对其他的入侵行为起到了很好的警示作用。由于误用检测只需要进行数据的采集工作,使得整个系统在应用时的幅度大大减小了,进而保障了整个入侵检测技术的高效性和准确性。

4 结束语

综上所述,在网络信息管理过程中入侵检测技术能够为整个系统和用户的信息起到一种实时维护和安全监管作用。虽然,入侵检测技术还有待进一步的发展,但是它所体现出来的网络信息管理的安全维护作用已经是有目共睹的。随着入侵检测技术的不断化发展,在不就得将来,网络信息管理中的入侵检测技术能够最大限度地和其他的网络信息管理软件进行结合,使得整个网络信息管理朝着多层次、立体纵深的方向发展,从而提高网络信息的安全保护工作。

摘要：文章基于工作实践,分析了目前网络信息管理入侵检测技术存在的相关问题,并着重介绍了异常检测和误用检测两种网络信息管理入侵检测技术。其中异常检测又包括特征量的选择和参考阈值的选择两类。希望有关人员加以借鉴和参考,对网络信息管理入侵检测技术能够有一个更加深入的了解,逐步掌握网络信息管理入侵检测技术的实际内容,促进入侵检测技术在网络信息管理中的应用发展。

关键词：网络信息管理,入侵检测技术,存在问题

参考文献

[1]何武红,陈勇.2003-2004年度中国市场主流IDS产品评测技术报告[N].中国计算机报,2005年.

[2]王晋.一种基于移动代理的自适应的分布式入侵检测系统的架构与实施[D].中国科学院研究生院(软件研究所),2005年.

[3]叶颖,严毅.基于通用入侵规范下网络入侵检测系统的研究[A].广西计算机学会——2004年学术年会论文集[C].2004年.

信息入侵 篇5

摘要：文中通过分析电力企业信息网络的结构和对网络安全的要求，在归纳了防火墙和入侵检测系统在网络中的防御功能的基础上，提出了将防火墙和入侵检测系统运用到电力企业信息网络的具体方案，并对相关技术和网络安全体系的建设进行了讨论。

0 引言

当前，电力系统已基本形成了自己的生产过程自动化和管理现代化信息网络，并在实际生产和管理中发挥着巨大的作用。随着全球信息化的迅猛发展，电力系统必将加强与外部世界的信息交流，以提高生产和管理效率，开拓更广阔的发展空间。然而，网络开放也增加了网络受攻击的可能性。与外部网络的连接必然面临外来攻击的威胁。对于关系到国计民生的电力系统而言，网络安全必须作为一个重大战略问题来解决。目前，防火墙技术作为防范网络攻击最基本的手段已经相当成熟，是抵御攻击的第一道防线，入侵检测系统(intrusion detective system，缩写为IDS)作为新型的网络安全技术，有效地补充了防火墙的某些性能上的缺陷，两者从不同的角度以不同的方式确保网络系统的安全。

本文首先分析电力企业信息网络的结构，并结合其特点和对网络安全的特殊要求，就如何有效地将防火墙和入侵检测技术运用到电力企业信息网络中进行探讨。1 电力系统的信息网络

电力系统的信息网络[1]分为两大模块：监控信息系统(supervisory information system，缩写为 SIS)和管理信息系统(management information system，缩写为MIS)。

SIS对生产现场进行实时监控，从分布在生产现场的许多点采集数据，再由系统中的计算单元进行性能计算、故障诊断等，将结果存放到实时数据服务器，为生产现场实时提供科学、准确的数据，以控制整个生产过程。SIS包括CRT监控系统、DCS(数据通信系统)、FCS(现场总线控制系统)等子系统。

MIS的功能是实现企业自动化管理，包括若干子系统，分别实现生产经营管理、财务和人事管理、设备和维修管理、物资管理、行政管理等功能。较完善的MIS还包括辅助决策子系统，为管理人员提供智能支持，是企业管理规范化、科学化的基础。

目前电力系统的信息网络一般将SIS和MIS分做同一网络中的两个子网，并分别配置服务器，两子网之间用网关连接，如图1所示。

DPU(分散过程控制单元)从生产现场采集数并发送到高速数据网供DCS各工作站分析处理，同时为了保证SIS的网络安全，SIS以太网通过网关与MIS服务器连接，作为MIS到SIS的入口并管理MIS对SIS的访问。

SIS和MIS功能各异，对安全的要求也有所不同。SIS由于与现场生产息息相关，一旦遭到入侵，势必影响生产甚至造成恶性事故，所以其安全性要求更高。现行的网络结构也充分体现了这一特点，对 SIS实施更高级别的保护。

当局域网与外部网络连接后，MIS要向外界提供服务，网络面临的威胁将空前广泛、尖锐，这时原有的安全系统显然过于单薄，必须在原有基础上制定更严密、可靠的防御体系。

在安全的操作系统基础上，防火墙结合IDS是一种较为理想的解决方案。2 防火墙

防火墙[2]是防范网络攻击最常用的手段，是构造安全网络环境的基础工程。它通常被安置在内部网络与外部网络的连接点上，将内部网络与外部网络隔离，强制所有内部与外部之间的相互通信都通过这一节点，并按照设定的安全策略分析，限制这些通信，以达到保护内部网络的目的。

2．1 防火墙的体系结构[3] 构造防火墙时通常根据所要提供的服务、技术人员的技术、工程的性价比等因素采用多种技术的组合，以达到最佳效果。

目前常见的防火墙体系结构有以下几种：

a．双重宿主主机体系结构。在内部网络与外部网络之间配置至少有两个网络接口的双重宿主主机，接口分别与内部、外部网络相连，而主机则充当网络之间的路由器。这样，内部、外部网络的计算机之间的IP通信完全被阻隔，只能通过双重宿主主机彼此联系。

b．屏蔽主机体系结构。这种结构的防火墙由路由器和堡垒主机构成，路由器设置在内部、外部网络之间，实现数据包过滤。堡垒主机设置在内部网络中，外部网络的计算机必须连接到堡垒主机才能访问内部网络。

c．屏蔽子网体系结构。利用两个路由器(内部路由器和外部路由器)将内部网络保护到更深一层，而在两个路由器之间形成一个虚拟网络，称之为周边网络，堡垒主机连接在周边网络上，通过外部路由器与外部网络相连。这样，如果入侵者突破了外层的防火墙，甚至侵入堡垒主机，内部网络依然安全。

2．2 电力企业信息网防火墙的结构设计

电力系统对安全性的高度要求，企业信息网络的安全问题应该予以格外关注。必须组建科学、严密的防火墙体系，为企业内部网络尤其是内部网络中的SIS子网提供高度的网络安全。

电力企业内部网络由两个安全级别不同的子网 MIS和SIS构成，其中SIS对安全要求更高，因此它仅向MIS提供服务而不直接与外部网络相连，由 MIS向外界提供服务。基于这个特点，防火墙宜采用屏蔽子网的体系结构，如图2所示。

MIS作为体系中的周边网，SIS作为内部网。设置两台屏蔽路由器，其中外部路由器设在MIS与外部网络之间，内部路由器设在SIS与MIS之间，对进出的数据包进行过滤。另外，堡垒主机连接在

MIS中，对外作为访问的入口，对内则作为代理服务器，使内部用户间接地访问外部服务器。

应该强调的是，MIS的堡垒主机极有可能受到袭击，因为所有对内部网络的访问都要经过它，因此，在条件允许的情况下，可以在MIS中配置两台堡垒主机，当一台堡垒主机被攻击而导致系统崩溃时，可以由另一台主机提供服务，以保证服务的连续性。同时，在MIS中配置一台处理机，与内部路由器组成安全网关，可以作为整个防火墙体系的一部分，控制MIS向SIS的访问以及对数据传输进行限制，提供协议、链路和应用级保护。网关还应考虑安全操作系统问题，Win2000[4]是一个可行的选择。尽管可能还存在一些潜在的漏洞，Win2000依然是目前业界最安全的操作系统之一。由于SIS仅对MIS的固定用户提供服务，同时考虑到SIS的安全要求，对网关的管理可以采取Client／Server方式，这样虽然在实现上较Browser／Server方式复杂一些，但却具有更强的数据操纵和事务处理能力，以及对数据的安全性和完整性的约束能力。2．3 防火墙的缺陷

尽管防火墙在很大程度上实现了内部网络的安全，但它的以下几个致命的缺陷使得单一采用防火墙技术仍然是不可靠的。

a．无法防范病毒。虽然防火墙对流动的数据包进行严格的过滤，但针对的是数据包的源地址、目的地址和端口号，对数据的内容并不扫描，因此对病毒的侵入无能为力。

b．无法防范内部攻击。从防火墙的设计思想来看，防范内部攻击从来就不是它的任务，它在这方面是一片空白。

c．性能上的限制。防火墙只是按照固定的工作模式来防范已知的威胁，从这一点来说，防火墙虽然“勤恳”，但是过于“死板”。

所以，安装了防火墙的系统还需要其他防御手段来加以充实。3 IDS IDS(入侵检测系统)是一种主动防御攻击的新型网络安全系统，在功能上弥补了防火墙的缺陷，使整个安全防御体系更趋完善、可靠。

3．1 入侵检测原理与实践

IDS以检测及控制[5]为基本思想，为网络提供实时的入侵检测，并采取相应的保护措施。它的设计原理一般是根据用户历史行为建立历史库，或者根据已知的入侵方法建立入侵模式，运行时从网络系统的诸多关键点收集信息，并根据用户行为历史库和入侵模式加以模式匹配、统计分析和完整性扫描，以检测入侵迹象，寻找系统漏洞。

IDS一般分为基于主机的IDS和基于网络的IDS两种。基于主机的IDS其输入数据来源于系统的审计日志，用于保护关键应用的服务器；基于网络的IDS输入数据来源于网络的信息流，用于实时监控网络关键路径的信息。目前的入侵检测产品通常都包括这两个部件。

在实践中，IDS一般分为监测器和控制台两大部分。为了便于集中管理，一般采用分布式结构，用户在控制台管理整个检测系统、设置监测器的属性、添加新的检测方案、处理警报等。监测器部署在网络中的关键点，如内部网络与外部网络的连接点、需重点保护的工作站等，根据入侵模式检测异常行为，当发现入侵时保存现场，并生成警报上传控制台。3．2 在电力企业信息网中运用IDS 电力企业的安全涉及国家安全和社会稳定，建议尽可能使用国产检测系统，如北京中科网威“天眼”入侵检测系统[6]清华紫光Unis入侵检测系统等，这些产品在技术上已相当成熟，且在不断升级。

安装IDS的关键步骤是部署检测器与控制台。针对电力企业网络的特点，首先，可以在外部路由器与外部网络的连接处部署监测器(如图3所示)，以监测异常的入侵企图。在防火墙与MIS之间部署监测器，以监视和分析MIS与外部网络的通信流。然后，分别在MIS和SIS中部署一台监测器，监视各子网的内部情况；控制台设置在MIS中。最后，根据实际情况为个别需重点保护的服务器、工作站安装基于主机的入侵检测软件，保护重要设备。

安装IDS后，更具挑战性的工作就是有效地运行IDS。防火墙在测试和设置后便开始工作了，而 IDS则不同。IDS提供实时检测需要管理员“实时”地配合，管理员要做好处理各种警报的准备工作；在系统发出警报时要判断是否误报，正确处理警报，决定是否关闭系统或是继续监视入侵者以收集证据等，都需要管理员就地解决。只有管理员及时采取恰当的处理方法，才能真正发挥IDS的功效。4 安全体系的运作与后期扩充

虽然防火墙的防护是被动的，而IDS是实时的，但安全体系(包括各单一主机自身的安全体系)是作为一个整体协同运作的。目前的主机和网络设备都具有完备的安全审计功能，IDS可以充分利用系统的网络日志文件作为必要的数据来源，而当 IDS发现可疑行为时又需要其他主机或防火墙采取相应的保护措施，例如通知防火墙对可疑IP地址发来的数据包进行过滤等。

当然，从技术方面来说，网络安全所涉及的范围是相当广泛的，包括安全的操作系统、防火墙、安全审计、入侵检测、身份认证、信息加密、安全扫描、灾难恢复等。防火墙结合IDS只是形成了安全体系基本内容，还需要在系统运行中运用多种技术不断充实安全体系的功能，例如在系统中配置扫描器，定期进行风险评估和查找漏洞，升级防火墙或者向IDS中添加新的攻击方式等。同时，任何防御体系都不可能保证系统的绝对安全，必须不断提高系统管理人员的技术水平，密切关注网络安全的发展动态，及时升级网络防御系统，提高系统的防御能力。5 结语

当前，电力企业正以原有设施为基础，构建企业与电力公司、企业与企业间的信息网络，网络安全是一个不可忽视的问题。防火墙与入侵检测技术相结合，为网络安全体系提供了一个良好的基础，对保障系统安全发挥不可忽视的作用。当然，完备的安全体系还需要其他多种安全技术从功能上进一步完善，同时，安全问题不仅是一个技术问题，也是一个系统工程，需从组织管理、法律规范等多方面予以支持。H-2002-5

关注“生物入侵” 篇6

我国著名植物学家马炜梁教授认为，一些国家为了发展本国经济，经常要从国外引进一些优良物种。如我国的花生、玉米、番茄、咖啡、棉花、西瓜就是从国外引进的，而外国的大豆、水稻、茶叶、荔枝、龙眼则是从我国输入的。优良物种的引进，对丰富人们的餐桌，提高人们的生活质量，培育生物的多样性，发展本国的经济起到了很好的作用。但是，有的物种引进后会排挤 、“吞噬其他物种，破坏生物多样性和生态平衡，造成了本国经济的巨大损失。据统计，因生物入侵一年之中给各国经济带来的损失是：中国574亿元，美国1370亿美元，印度130亿美元，南非800亿美元。

20世纪50年代，南方某大学一位教授到英国访问，看到英国海滩边一片绿油油，一问方知海滩边种植了一种既能当饲料，又能作造纸原料，还能美化环境的互花米草。谁知这种互花米草从英国引进并在我国一些海滩落户后，严重破坏了当地的生态平衡，使海滩边原来养殖的软体动物蛤、蛏、蚶几年近绝迹。

珠江三角洲的伶仃岛原来是个花木葱茏、景色秀丽的自然保护区，自从薇甘菊入侵以后，到处疯长，抑制了其他植物生长，不到幾年时间，伶仃岛这个自然保护区被严重破坏。

我国凉山地区侵入了一种叫紫茎泽兰的植物，牛羊误食后，纷纷烂蹄、烂口鼻，有的还痉挛而死。

日本从美洲引进了豚草，豚草的花粉随风飘散开来，人吸入后会不间断地打喷嚏，流鼻涕，流眼泪，虽上支气管炎和皮肤病。每年当豚草开花时，有20万人为躲避花粉的危害而离开大阪。



对于这些有害的物种，有的可采取化学和生物手段进行适当的防治，有的至今无法防治。

相关链接

国家环境总局和中科院公布的第一批16种外来入侵物种名单

紫茎泽兰 原产于中美洲，在热带地区广泛分布。1935年它可能经缅甸传入我国云南，现主要分布于云南、广西、台湾、贵州、四川等地。它能排挤本地植物，影响天然林的恢复：侵入经济林地和农田，影响栽培植物生长；全株有毒性，危害畜牧业。

薇甘菊 原产于中美洲。后传入我国，现主要分布于香港、澳门和广东珠江三角洲。它能迅速攀上灌木和乔木，形成覆盖之势，使其他植物因缺乏光合作用而死亡，对次生林、风景林危害尤深，被列为世界上最有害的100种外来人侵物种之一。

空心莲子草 俗称水花生。原产于南美洲。后传入我国，现主要分布于我国黄河流域以南地区。20世纪50年代作为猪饲料栽培，以后导致草灾：覆盖水面，影响鱼类生长和捕捞：在田间沟渠大量繁殖，影响农田排灌；堵塞航道，影响水上交通；排挤其他物种，使群落物种单一化；危害农作物，使作物减产，入侵湿地、草坪、破坏景观；滋生蚊蝇，危害人们的健康。

豚草 原产于北美洲。后传入我国，现主要分布于我国东北、华北、华东等地。它是一种恶性杂草，能使人得花粉病；侵入农田导致作物减产；释放出的多种有害物质，对禾木科、菊科植物有抑制、排斥作用。

毒麦 原产于欧洲地中海地区。20世纪50年代从进口的小麦中发现，现主要分布于除西藏、台湾以外的各省、市、自治区。它会造成麦类作物严重减产，人食用含4%毒麦的面粉，就能引起中毒；毒麦作饲料可使家畜、家禽中毒。

互花米草 原产于美国东南部沿海地区。后引入我国，现主要分布于上海崇明岛、浙江

福建 广东等地。引入初期，曾获得一定的经济效益，但后来酿成了草患；破坏近海生物栖息环境，影响滩涂养殖；堵塞航道，影响船只进出港口；导致水质下降，诱发赤潮；威胁生态系统，使大片红树林消失。

飞机草 原产于中美洲。20世纪30年代在云南南部发现，现主要分布于广东、香港、台湾、海南、广西云南、贵州。它会危害多种作物，侵犯牧场；能抑制邻近植物的生长；使昆虫拒食；叶有毒，人误食后可引起头晕、呕吐，还能使家畜、鱼类中毒。

凤眼莲 俗称水葫芦。原产于巴西东北部。后传入我国，现主要分布于辽宁南部、华北、华东、华中、华南等地。20世纪50年作为猪饲料推广后大量繁殖，它会堵塞河道，影响航运；破坏水生生态系统，影响水产品繁殖；滋生蚊蝇；覆盖水面，对水质造成二次污染，影响生活用水；威胁其他生物生长。

假高梁 原产于地中海地区。其种子混在作物种子中被引进和扩散，现已分布于我国16个省、市、自治区，它是高梁、玉米、小麦、棉花、大豆等30多种农作物地里的杂草，使作物减产，还可能成为多种致病微生物、害虫的寄主。

蔗扁蛾 原产于非洲热带、亚热带地区。随寄主植物而扩散与传播，现已传播到我国10多个省、市、自治区。这种蛾食性广泛，能影响香蕉、甘蔗、玉米、马铃薯等农作物以及花卉的生长。

湿地松粉蚧 原产于美国。20世纪80年代随湿地松无性繁殖而传入我国，现主要分布于广东、广西、福建等地。它对一些松树会构成严重危害。

强大小蠹 原产于美洲。可能因引进美国木材而传入我国，现主要分布于山西、陕西、河北、河南等地。它不仅攻击长势衰弱的树木，也攻击健康生长的树木，导致寄生的树木大量死亡。

美国白峨 原产于北美洲。后传入我国，现主要分布于辽宁、河北、山东、陕西等地。它可危害果树、林木、农作物、野生植物等200多种植物，严重威胁养蚕业、林果业和城市绿化，造成巨大的经济损失。

非洲大蜗牛 原产于非洲东部某些沿海地区。常作为食物、宠物以及动物饲料而被引入。20世纪30年代在福建发现，可能是由外籍华人所带植物而引入，现主要分布于广东、香港、海南、广西、云南、福建、台湾等地。它能危害各种农作物、蔬菜和生态系统，还是人畜寄生虫和病原菌的中间宿主。

福寿螺 原产于亚马孙河流域。作为高蛋白质食物而引入我国，现主要分布于广东、广西、云南、福建、浙江等地。它能危害多种植物的生长，对水稻生长构成严重危害，其排泄物污染水体。

信息入侵 篇7

1 电力信息网络安全结构

1.1 信息网络

电力企业生产的产品是电能, 供应的客户范围十分广泛, 数量众多, 在企业的日常经营管理中必然涉及到许多的客户资料和电力相关信息, 电力企业建立数据库和信息通信系统, 实现企业内部的信息共享, 以促进企业营销服务水平的提高。而且, 我国电网系统在运作过程中需要交换的信息量巨大, 电力企业要满足电力行业的发展需求, 就必须提高企业自身的信息质量, 保证数据的安全性、完整性、流通性和时效性。对电力企业日常运营过程中的信息流量进行分析发现, 企业的信息网络是一个综合性很强且规模很大的系统, 包括生产管理信息系统, 营销管理信息系统、客服管理信息系统等, 拥有不同的业务分支, 而且不同系统直接要依靠传输系统来实现信息的传递、共享和反馈, 电力企业的内部管理人员使用办公自动化系统, 利用企业内部联网进行业务交流和沟通。虽然电力企业的信息网络较为完善, 但是相关的管理体系和机制尚未健全, 针对信息网络安全的技术和措施手段也没有重视, 信息网络安全结构的基础设施并不完备。

1.2 信息安全

电力企业信息系统的安全特别是信息的安全, 对电力企业的决策和发展具有密切的关系。电力企业要确保数据信息和机密文件的安全性、完整性和可靠性。目前我国电力企业的信息网络安全结构中, 信息安全还不能得到保障, 实际出现的问题包括:信息系统运行不稳定;对信息的利用率较低, 无法发挥信息的有效作用;内部信息泄露;数据库存在漏洞;信息通道堵塞等。而且, 电力企业也缺乏相关的制度和规定来对信息网络和信息安全进行管理控制, 如果无法有效确保信息安全, 那么势必影响电力企业的经营和发展。

2 电力信息网络安全存在的入侵问题

由于电力企业的信息网络和信息安全方面的基础建设和管理尚不完善, 就造成了电力信息网络安全存在一些入侵问题, 具体包括以下几个方面:

2.1 恶性病毒入侵

计算机中病毒, 是一种常见的网络安全问题。目前, 电力企业的信息网络和内部的计算机系统中, 受到的最多侵害就是计算机病毒特别是联网病毒的入侵, 例如前几年影响波及范围广阔的熊猫烧香、木马病毒等, 而且计算机病毒的危害十分严重, 造成大部分电脑系统的瘫痪。一般情况下, 恶意入侵的病毒计算机病毒具有很强的传染性和传播性, 会在电力系统中复制和扩散并繁衍出新的病毒类型, 有些病毒还具有隐蔽性。在电力信息网络中, 计算机病毒在信息系统中的发生频率较高, 影响面积较大, 而且造成的危害最为严重。一旦病毒入侵, 就会导致企业内部的信息传输通道阻塞, 破坏企业的系统文件和信息数据, 特别是重要数据的窃取或丢失, 损失巨大且不易挽回[1]。

2.2 良性病毒入侵

这些病毒之所以被称为良性病毒的原因是, 它们入侵的目的不是破坏信息系统, 而仅仅是造成一些恶作剧, 或许只是发出某种声音和提示, 除了占用一定的硬盘空间和CPU处理时间之外破坏性并不大, 例如一些木马病毒程序, 窃取了系统的通讯信息, 包括密码、IP地址等, 但是没有执行实质性的破坏操作。由于目前计算机技术的发展, 开发出来的应用程序越来越多, 电力企业也需要一些专业的应用程序执行相关操作。电力企业内部的工作人员可能会下载一些办公软件和娱乐、通信软件, 这些没有经过检测来源不明的软件可能被捆绑了一些木马程序。此外, 电力企业的计算机在联网的情况下, 一些链接地址中也可能附带有病毒。虽然这些病毒和程序不会造成系统的瘫痪, 但是如果企业内部的核心机密文件被泄漏, 危害也是不可估计的。

2.3 非法入侵

电力企业的信息网络如果遭到黑客的恶意非法入侵, 其危害也十分严重。非法入侵的主要目的是盗取电力信息和数据, 网络黑客攻击电力企业的计算机, 还可能接触修改密码, 清除统计资料和信息等, 一旦发生这些状况, 就会对电力企业的日常经营管理造成不良影响[2]。如果重要的客户资料被窃取之后在网络上传播, 不仅会对电力企业的日常运行造成危害, 还侵犯了电力用户的权益, 社会影响十分恶劣。此外, 如果相关营销资料被竞争企业掌握, 就会影响电力企业在电力市场上的竞争力。

2电力信息网络安全防护措施

第一, 加强对网络设备的安全管理, 建立不同级别的防护和多重的网络安全防御体系, 对不同业务进行划分, 形成不同的防护分区。电力企业要做好对网络信息流的监督和控制工作, 严格把控工作人员对企业内部网络的访问, 不同的岗位设置不同的访问权限, 针对非法入侵和病毒入侵实施防护措施, 认真核实访问人员的身份和目的, 对远程用户加强认证和记录。同时, 电力企业要定期对网络的性能进行检测, 畅通网络传输通道, 净化网络运行环境, 对重要的数据信息进行加密保护处理。此外, 企业要将内部网络与外部网络进行隔离, 利用入侵检测技术、联网防护技术和防火墙技术, 安装监控设备, 减少网络安全隐患。

第二, 加强对相关人员的安全管理, 培养企业员工的网络安全意识, 对工作人员进行相关技术培训和网络安全教育, 企业员工在使用电力信息系统时必须严格遵守网络安全相关规定[3], 对网络恶意入侵进行识别, 如果遇到木马程序和病毒, 要正确的使用杀毒软件进行处理, 避免病毒在系统中繁殖传染。同时, 企业要严格规定员工任意下载盗版软件和来源不明的软件, 使员工养成资料和文件备份的良好使用习惯, 使电力信息网络安全防护措施真正落到实处。

3结论

综上所述, 电力企业要保证信息的安全和电力系统的安全稳定运行, 就必须实施必要的技术手段和防护措施, 加强对电力信息网络的安全管理, 为电力企业正常工作开展提供保证。

摘要：本文对电力企业信息系统的网络安全结构进行了分析, 指出其中存在的入侵问题, 并提出了信息网络安全的防护措施, 以供参考。

关键词：电力信息,网络安全结构,入侵问题

参考文献

[1]岳亦新.电力系统信息网络安全架构分析[J].科技资讯, 2011, 12 (18) :121-123.

[2]龙玲玲.电力信息网络安全防范措施分析[J].通讯世界, 2014, 4 (2) :35-36.

信息入侵 篇8

关键词：计算机系统,雷电灾害,防护措施

近些年来, 伴随着高新技术的发展, 尤其是电子技术、计算机技术的的飞速发展, 计算机网络系统正日益广泛地应用于各行各业。电子器件的集成化、超大规模集成化及新的网络通信技术的发展都为计算机系统的发展起到了极大的推动和促进作用。但是, 构成计算机系统的设备普遍存在着绝缘强度低、过电压耐受能力差等致命弱点, 一旦遭受雷击过压的冲击, 轻则造成计算机系统的运行中断、设备永久性损坏, 重则对系统所承负的需实时运行的后续工作造成中断瘫痪, 从而造成不可估量的直接与间接的巨大经济损失和影响, 对于金融、证券、医疗、保险、航空、航天、国防等国家重要关键部门尤其如此, 雷击侵害的程度越来越严重。因此, 研究计算机系统的防雷措施是非常必要的。

1 雷电入侵计算机系统的途径

雷电入侵计算机系统主要有2种方法:直击雷入侵和感应雷入侵。雷击直接击在物体上, 产生电效应、热效应和机械力, 称为直接雷击。直击雷击中建筑物会发生强大的雷电流, 如果电压分布不均则会产生局部高电位, 对周围电子设备形成高电位反击, 会损坏计算机系统硬件设备, 甚至会造成人员伤亡。而由雷电电流产生的强大电磁场经导体感应出过电压、过电流形成的雷击称为感应雷。感应雷由电磁感应产生, 通过电力线路、计算机网络的信号线路入侵计算机网络, 造成计算机系统设备的大面积损坏。雷电入侵计算机系统主要有以下2种途径:一是直击雷击中计算机系统所在的建筑物并通过建筑物的接闪器泄放雷电流, 导致数万伏的地网地电位, 通过计算机系统的接地线侵入计算机系统形成电位反击;二是通过电源线、信号线或天馈线引入感应雷击, 通过电感性耦合 (磁感应) 耦合到各类传输线而破坏设备。

2 计算机信息系统的防雷措施

雷电主要通过系统的信号线、电源线、接地线等入侵计算机系统。因此, 计算机系统应当采取针对性的措施, 尽可能的防御和减少雷击对计算机系统造成的损害, 保护人民的生命和财产。

2.1 信号线系统的防雷措施

计算机系统是一个开放的系统, 与外界进行着信息的交换。各建筑物之间或者建筑物与外接受控制系统之间有物理介质的连线, 这些连线会成为雷电入侵计算机系统的媒介。这些通信线一般为屏蔽双绞线或者非屏蔽双绞线。暴露在外的通信线会直接受到雷击, 通信线一般平行铺设, 当其中一条线路受到雷击后, 会在相邻的通信线间感应出过电压。即使是埋在地下的通信电缆, 当地面受到直击雷或者雷电通过地面泄放时, 强大的雷电会穿过土壤, 侵入电缆, 损坏计算机系统。目前, 我国应用最多的计算机系统通信介质为普通的双绞线, 由于线路遭受雷击而损坏计算机系统的情况常有发生, 必须注意通信线路的防雷措施。为了避免由于通信线路而引起的雷击损害, 通常采用的措施是在电缆接入网络通信设备前接入信号避雷器, 即线路中的瞬态过电压保护器, 它可以防护由于雷击而造成的过电压, 阻断过电压及雷电波的入侵, 尽可能降低雷电对系统设备造成的冲击, 减小损害。在选择避雷器时, 由于避雷器是串联在通信线路上的, 必须要综合考虑线路的通信速度要求、线路的接口规则要求等, 尽量能满足两方面的要求。随着光纤通信的发展, 由于信号线而造成的雷击损害会越来越小, 因为光纤物理方面的特性使光纤不会成为雷电入侵的传输介质。但现在, 必须对信号线的防雷足够重视, 以减轻雷电危害。

2.2 电源系统的防雷措施

计算机系统要工作, 必须有电力的供应。一般, 计算机系统的电力供应是通过国家电力线供应的, 而电力线路可能遭受直击雷和感应雷。雷击造成电力线路的过电压, 对计算机系统造成损害。雷电产生的强大过电压、过电流无法一次性在瞬间完成泄流或者降压, 因此电源系统必须采取多级防雷措施。对于这点, 我国现行的计算机系统防雷技术要求有着明确的规定, 即电源系统应该采取3级雷电防护, 在建筑物总配电装置高压端各相安装高通容量的防雷装置, 作为第1级保护;在低压端安装阀门式防雷装置作为第2级保护;在楼层配电箱安装电源避雷箱作为第3级保护。如有必要还可以采取更多级的保护措施, 在电源输出端加防雷器、电源输入端加电源终端防雷设备等。由此, 通过多级的防雷保护, 可以彻底泄放掉由雷电引起的过电流、降低过电压, 达到保护计算机系统的目的。

2.3 接地系统的防雷措施

防雷器件首先起到的是对雷电流的吸收和泄放作用, 同时也是一种等电位连接器。所有防雷器件的防护原理均是在雷击发生的瞬间迅速启动响应, 保证设备、大地、建筑物及其附属设备搭接构成一等电位体, 从而避免过电压的损坏。实现均压等电位的关键就是整个机房的地线系统, 接地系统在系统防雷中非常重要。理想的建筑物避雷系统的接地装置, 包括接闪器及引下线的理想状态最好是无任何电阻, 一旦雷击发生, 避雷针接闪时, 不论雷电流有多大, 接地装置上任何一点对大地的电势差为零, 因此接地的阻值应尽可能的小。依据《电子计算机机房设计规范》 (GB50174-93) 规定, 交流工作接地和安全保护接地, 接地电阻均不应大于4Ω, 直流工作接地中, 接地电阻应按计算机系统具体要求确定, 如工业企业通信接地设计规范 (GBJ79-85) 中规定电信站接地电阻应小于等于1Ω。

IEC1024标准机房交流工作接地、安全保护接地、直流工作接地、防雷接地4种接地宜共用一组接地装置。但是由于某些计算机设备的工作状态差异不同, 接地系统共地很难实现时, 可以采用等电位理论、达到瞬间等电位方式, 或常态独立接地方式 (即机房接地系统与其他交流地、安全保护地、防雷地进行软连接) 。机房的各种地线间及地线与大楼结构的主钢筋之间, 必须进行有效的连接, 即全部采用共用接地系统, 当雷电引起地电位高压反击时, 整个大楼及机房呈现系统等电位, 防雷系统呈现工作状态, 保证计算机网络系统的安全。

2.4 机房所在建筑物的防雷措施

机房所在建筑物的外部接闪体承担了大部分的雷电电磁能量, 是防雷系统中重要的一环, 并与内部防雷工作有着直接的联系。从防护功能上来说, 一套完善的防雷设施, 必须采取接闪、分流、屏蔽、均压、接地等技术措施。因此, 建筑物防雷设施应包括接地体、引下线、避雷网格、避雷带、避雷针、均压环、等电位、避雷器等8个技术环节。从设计到施工应分为2个阶段进行。第1阶段是随建筑物一体化施工的直击雷防护设施, 其设计的目的是保护建筑物本身不受雷电损害以及尽最大可能减弱雷击时对建筑物内的电磁效应, 同时为建筑物内部设备的感应雷防护提供必要的基础条件。它的特点是与建筑工程的土建部分同步进行。第2阶段设计的目的是保护建筑物内的弱电设备安全, 如通信系统、计算机系统等, 即建筑物防雷设施的感应雷防护部分。它的特点是与建筑工程设备安装同步进行。在第2阶段中应特别强调, 在安装计算机、通信设备等抗干扰 (或过电压) 能力比较低的电子设备前, 首先弄清设备安装所在建筑物的直击雷防护设施的基本情况, 包括接闪器、网格、防雷接地体的形式及工频电阻值、等电位连接、引下线分布、动力进线形式、高低压避雷器安装等;高层建筑还要了解均压环和玻璃幕墙接地的形式及过渡电阻值等基本设计参数, 才能确定机房的位置、缆线的分布、接地系统的形式和限压分流等技术方案, 脱离实际的设计带有很大的盲目性。对于防雷设备, 应定期进行检查、排错, 最大程度上减小雷电危害。

3 结语

计算机系统的广泛应用, 使得计算机系统的防雷越来越受到重视, 通过介绍雷电入侵计算机系统的途径及主要防护措施, 并查阅了国家对于计算机系统防雷的有关规定要求, 以期对预防和减小计算机系统的雷电灾害起到一定的指导作用。

参考文献

[1]中华人民共和国机械工业部.建筑物防雷设计规范[M].北京:中国计划出版社, 2001.

[2]公安部.计算机信息系统防雷保安器[M].北京:中国标准出版社, 1998.

信息入侵 篇9

关键词：网络信息安全,入侵防御系统McAfee网络安全平台,发展趋势

1 引言

近年来, 随着计算机技术的快速发展, 计算机网络已经广泛应用于各个领域。在给人们带来便利的同时, 计算机网络也存在诸多安全隐患和漏洞, 网络攻击、网络犯罪已经非常普遍。2009年9月问世的《网络安全的首要威胁》一书指出:“随着世界的不断发展, 政府、国防工业、金融、电力和电信公司等日益被犯罪分子和谋求经济或军事利益的国家当作网络攻击的目标。”如何采取有效的检测和防护措施保证网络信息安全, 已经成为摆在我们面前的一个重大问题。

为了保证网络信息安全, 网络技术人员开发了一系列网络信息安全防护技术。防火墙是最早应用于网络安全防护的一种重要技术, 它能有效控制内部网络和外部网络之间的访问和数据传送, 从而保护内部网络信息不受外部非授权用户访问, 并过滤不良信息。但是, 单纯的防火墙技术具有很大的局限性, 它不能防范不经由防火墙的攻击、人为因素的攻击以及数据驱动式的攻击。随着网络安全风险系数不断提高, 曾经作为最主要安全防护手段的防火墙, 已经不能满足人们对网络安全的需求。继防火墙技术之后, 网络技术人员又开发了入侵检测系统 (Intrusion Detection System, IDS) , 通过旁路链接的方式接入被保护的系统中, 能够检测出自网络内部和外部发起的攻击和网络异常行为, 提高信息安全基础结构的完整性。但是入侵检测系统存在误/漏报率高、没有主动防御能力、缺乏准确定位和处理机制、性能普遍不足等问题。随着网络攻击技术的不断提高和网络安全漏洞的不断出现, 传统防火墙和传统的IDS已经无法应对一些新的安全威胁。在这种情况下, 一种主动、积极的深层防护阻止系统——入侵防御系统 (Intrusion Prevention System, IPS) 应运而生, IPS技术可以深度感知并检测流经的数据流量, 对恶意报文进行丢弃以阻断攻击, 保护网络资源信息安全。

2 入侵防御系统的工作原理与特点

2.1 入侵防御系统的工作原理

IPS的设计宗旨是预先对入侵活动和攻击性网络流量进行拦截, 实施主动防御, 避免其造成损失, 而不是简单地在恶意流量传送时或传送后才发出警报。IPS是通过直接嵌入到网络流量中实现这一功能的, 即通过一个网络端口接收来自外部系统的流量, 经过检查确认其中不包含异常活动或可疑内容后, 再通过另外一个端口将它传送到内部系统中。这样, 有问题的数据包以及所有来自同一数据流的后续数据包, 都能够在IPS设备中被清除掉。入侵防御系统IPS的工作原理, 如图1所示。

对于部署在数据转发路径上的IPS, 可以根据预先设定的安全策略, 对流经的每个报文进行深度检测 (协议分析跟踪、特征匹配、流量统计分析、事件关联分析等) , 如果一旦发现隐藏于其中的网络攻击, 可以根据该攻击的威胁级别立即采取抵御措施, 这些措施包括 (按照处理力度) :向管理中心告警;丢弃该报文;切断此次应用会话;切断此次TCP连接。

例如, 某局域网应用IPS为核心的网络深度检测/实时抵御, 方案如下:

(1) 位于局域网入口的IPS通过应用层协议分析跟踪和特征匹配, 发现目的地为业务服务器A的HTTP数据流中隐藏有针对Windows操作系统的DCOM漏洞的恶意利用;

(2) IPS将此事件上报至管理中心;

(3) 管理中心获取服务器A的基本信息, 并根据获取的信息, 判断该访问是否会造成危害, 如果A不运行Windows操作系统或者A确实运行Windows但是已经打了针对DCOM漏洞的补丁, 则A是安全的;

(4) 管理中心根据情况向IPS下发制定的安全策略;

(5) IPS执行安全策略, 放行或者阻断此次连接请求。

IPS实现实时检查和阻止入侵的原理在于IPS在检测引擎中拥有数量众多的过滤器, 能够防止各种攻击。当新的攻击手段被发现之后, 根据更新的规则库内容IPS就会创建一个新的过滤器。IPS数据包处理引擎是专业化定制的集成电路, 可以深层检查数据包的内容。如果有攻击者利用Layer2 (介质访问控制) 至Layer7 (应用) 的漏洞发起攻击, IPS能够从数据流中检查出这些攻击并加以阻止。传统的防火墙只能对Layer3或Layer4进行检查, 不能检测更深层 (应用层) 的内容。

所有流经IPS的数据包都被分类, 分类的依据是数据包中的报头信息, 如:源IP地址和目的IP地址、端口号和应用域。每种过滤器负责分析相对应的数据包。通过检查的数据包可以继续前进, 包含恶意内容的数据包就会被丢弃, 被怀疑的数据包需要接受进一步的检查。

2.2 入侵防御系统的特点

与入侵检测系统IDS不同, 入侵防御系统IPS的设计思想就是精确检测、实时阻断, 代表了更先进的网络安全防护产品形态。表1列举了IDS和IPS的区别。入侵防御系统IPS的特点如下:

(1) 智能检测和阻断机制

入侵防御系统的一个首要要求, 就是必须具有内在的智能检测组件, 根据一系列成熟且动态变化的标准、容忍度和静态特征, 具备全面的分析系统或者通信能力, 区别恶意和正常的行为。分析引擎不仅具有大量的规则, 同时又是自适应且动态变化的。

(2) 自动、快速响应

检测和识别可疑行为之后, 入侵防御系统必须对检测到的情况做出响应。这个机制要求系统有能力自动阻止恶意代码进入安全区域或者阻止恶意代码的执行。防御方式可以进行配置, 使其具有多个实现层次, 最重要的是必须能够自动发挥作用。

自动响应方式改善了IPS的响应速度。IPS能够以实时或者近实时的方式积极行使和加强保护。换句话说, 当恶意事件正在发生时, 它必须积极行使关键检测和保护功能。

(3) 可靠性和可用性

由于IPS通常串联在网络的进出口处, 一旦出现故障就会关闭某个关键的网络路径, 导致拒绝服务。因此, IPS必须具有出色的冗余能力和故障切换机制, 确保不会成为网络部署中的单故障点。

3 迈克菲网络安全平台

2003年, 迈克菲 (Mc Afee) 公司推出了突破性的、基于漏洞的网络入侵防御系统IPS, 同时积极地为客户开发全球最好的网络防护解决方案。迈克菲公司新款M系列网络入侵防御系统拥有领先的性能优势, 其客户群已经扩展到了大型企业数据中心、电信服务供应商以及政府机构。2009年8月31日, Infonetics Research《网络安全设备与软件市场份额报告》显示, 在网络入侵防御系统领域, 迈克菲网络安全平台 (McAfee®Network Security Platform) 的市场份额最高。

McAfee网络安全平台是一款强大的智能驱动型安全产品, 集自动化、集成化和可控化于一身, 是业内最先进、最成熟的入侵防护解决方案。它是一款综合了网络和系统安全基础设施的产品, 为企业和运营商网络提供从100MB到10GB以上的威胁防护。McAfee网络安全平台可以通过Network Security Manager信息显示板全面了解网络中发生的各种事件, 与McAfee ePolicy Orchestrator®和Mc Afee Vulnerability Manager集成后, 使用户以较少的资源和精力来管理风险, 执行法规遵从策略。

McAfee网络安全平台的可靠性和性能水平已超过Telcordia标准, 是唯一一款获得NSS Group万兆IPS认证的网络入侵防护设备。M系列产品的稳定性可充分满足运营商的要求, 同时还提供超过万兆级的性能水平和业界最高的端口密度。例如, M-8000型传感器的吞吐性能高达10Gbps, 千兆以太网检测端口数达16个。传感器软件具备状态流量检测、签名检测、异常检测、拒绝服务DoS检测、入侵防御、内部防火墙等功能, 其中仅入侵防御功能就可实现实施拦截攻击、丢弃攻击数据包/会话、主机隔离、TCP重置初始化、数据包记录、自动及用户发起的防护。

目前严重的网络安全事件大多数是由缓冲区溢出所导致, McAfee公司加强了对溢出型漏洞的研究和跟踪, 并且把针对溢出型攻击的相应防范手段加入IPS设备的策略库中。这项缓冲区溢出分析技术使得McAfee的IPS设备能够检测7层数据包, 实现对网络应用的主动深层保护。

4 入侵防御系统的问题及发展趋势

4.1 入侵防御系统存在的问题

与传统的防火墙和入侵检测系统相比, 入侵防御系统更为先进, 功能更强大。但是, 入侵防御系统也存在一些问题:

(1) 单点故障和拒绝服务

IPS必须以嵌入模式在网络中工作, 若IPS设备出现问题, 就会严重影响网络的正常运转。如果IPS出现故障, 因失效而关闭, 用户就会面对由IPS造成的“拒绝服务”。

(2) 工作效率和性能瓶颈

IPS必须与数千兆或者更大容量的网络流量保持同步, 它嵌入在网络中, 仍然是一个潜在的网络瓶颈, 不仅会增加滞后时间, 而且会降低网络的效率, 尤其是当加载了数量庞大的检测特征库时, 由于设备性能所限或由于特征库设计不合理往往造成网络性能低下。

(3) 误报和漏报

IPS的防御原理之一就是能识别攻击数据包, 因此就会对来自该攻击源的所有数据包进行拦截。如果入侵特征编写的不是十分完善, 那么误报就会导致某些合法流量被当成攻击流量被拦截, 影响正常的网络应用。如果发生漏报, 则会放过非法的网络流量, 导致攻击事件发生, 给网络系统的安全造成威胁。

4.2 入侵防御系统的发展趋势

随着计算机网络技术的进步, 网络攻击手段和技术也不断向前发展。为了更加有效地保护网络信息安全, 入侵防御系统的发展趋势应当包括以下几个重点方向:

(1) 全面深层防御

随着动态防御、深层防御等思想的提出, 构建全面深层防御系统成为必然发展趋势, 即入侵防御结合数据加密、防火墙、病毒防护等安全技术提供可行的全面解决方案。综合采用多种检测技术, 可提供已知和未知攻击的保护, 而同时将误报率和漏报率降到最低, 真正实现精确检测、实时阻断。

(2) 高速检测运行

IPS必须在数千兆或者更大容量的网络流量下进行准确和智能的深度数据包检测、阻断, 这就需要特定的硬件平台, 包括先进的网络处理器、专用的FPGA编程芯片以及ASIC芯片。

(3) 适应性和健壮性

IPS必须适应各种组网模式, 在确保精确阻断的情况下, 达到电信级骨干网络流量安全防御需求。采用冗余体系结构, 在主IPS出现故障时, 用备份设备替代主设备, 持续保持入侵防御功能。理想的入侵防护解决方案应具有良好的兼容性、维护性、可扩展性等特征。

5 结束语

网络攻击技术的迅速发展给网络信息安全带来了巨大的压力, 单一的防护措施已经无能为力, 这就需要对网络进行全面深层防护来有效保证网络安全。真正的深层防护体系不仅能够发现恶意代码, 而且还能够主动地阻止恶意代码的攻击。在当前混合威胁盛行的时代, 只有深层防护才可以确保网络的安全, 而入侵防护系统IPS能提供深层防护保障。

作为新一代网络信息安全防护技术, 入侵防御系统技术更为先进、功能更强大, 但是仍然存在一些问题。随着国内外相关公司以及网络信息安全防护专家在该领域研究的不断深入, 特别是McAfee网络安全平台等先进入侵防御系统的开发和应用, 入侵防御系统的功能将不断完善, 全面深层防御能力、高速检测运行能力、适应性和健壮性也将进一步提高。入侵防御系统将成为网络信息安全市场的主流产品, 是网络信息安全防护领域的必然发展趋势。

参考文献

[1]王向超.入侵防御系统技术研究.中国科技信息, 2009, 14:138-140.

[2]梅锋.入侵防御系统研究.有线电视技术, 2009, 8:94-97.

[3]李淑梅, 王艳梭.入侵防护系统IPS初探.计算机与网络, 2004, 22:51-52.

信息入侵 篇10

随着信息技术革命的深入,计算机网络在医院普遍应用,支持各方面的管理运作,成为医院开展医疗服务的业务平台。网络的共享性和开放性给医院各科室带来了极大的便利,但各种安全隐患也凸现出来,网络被非法入侵导致瘫痪,记载患者敏感数据和个人隐私的医疗记录如果遭到破坏,敏感数据一旦被篡改或个人隐私一旦被泄漏,所造成的伤害往往是无法弥补的,甚至可能是致命的。医院信息系统所管理的患者医疗记录是一种拥有法律效力的文件,在医疗纠纷案件和许多其他法律程序中均发挥着重要作用。随着人们对个人隐私越来越重视,以及相关法律的强制要求,所有能够用于标识患者信息的数据都应当受到严格的保护,因此对信息安全提出的要求越来越高。目前,大多数医院仍然仅采用防火墙作为信息安全的主要防线。但是,随着黑客和攻击者攻击知识的深入和攻击技能的日趋成熟,以及内部网络中发生的恶意攻击,单纯的防火墙以及权限控制、加密技术等传统的安全保护措施已经无法满足医院信息安全的需求。在这种情况下,入侵检测技术作为一种新的积极主动的防御技术,其设计目标是在不影响主机系统和网络性能的情况下对系统和网络进行检测,从而提供对医院内部攻击、外部攻击和误操作的实时保护,应对入侵行为的第二道防线———入侵检测系统就被启用了。

2 入侵检测的概念/定义

入侵(intrusion)是指系统的未授权用户试图或已经窃取了系统的访问权限,以及系统的被授权用户超越或滥用了系统的所授权的访问权限,威胁或危害了网络系统资源的完整性、机密性或有效性的行为集合。入侵检测(intrusion detection)就是通过对用户系统数据的分析,发现非授权的网络访问和攻击行为,采取报警及其他应对措施。进行有效的入侵检测的逻辑前提是系统或用户正常工作下的行为和状态是可观察的,且和恶意入侵导致的异常行为存在明显的区别。入侵检测系统(intrusion detection system,IDS)就是实现上述功能的计算机软件或硬件系统。一个有效的入侵检测系统能够在恶意攻击对系统产生危害前识别出攻击,并采取一定的防御和反攻击措施,对终端机提供充分的保护;在未知的新攻击发生后,能够收集攻击的相关信息,在终端机干预或自动状态下学习攻击的特征,添加到IDS系统的知识库中去,以实现不断自我学习和完善的功能。

评判一个入侵检测系统优劣最基本的2个指标是检测率和误报率。检测率是指被IDS检测出来的入侵在所有实际发生的入侵中所占的比例;误报率是指被误检测为入侵的正常行为占所有入侵报警的比例。不难看出,检测率越高,漏报率越低,则该入侵检测系统越能提供更安全的保障。高检测率和低漏报率几乎是一对天生的矛盾,目前采用的主要的一些检测技术都不能同时很好地满足这两方面的需求。当然,关于评判入侵检测系统还有一些其他的指标,而如何规范化和标准化这些评判标准也正在成为学术界一个研究热点。

3 入侵检测的分类

从不同的方面可以对入侵检测系统进行不同的分类。

3.1 根据检测数据来源的不同分类

可以将IDS分为基于主机的入侵检测系统HID(host-based intrusion detection system,HIDS)和基于网络的入侵检测系统NIDS(network-based intrusion detection system)。

基于主机的IDS(HIDS)通常是安装在被重点检测的主机上,其检测的目标是主机系统和本地用户,检测的内容为主机的审计数据和系统日志。HIDS监视用户活动和文件访问操作、关键系统文件和可执行文件的改变。HIDS还可以通过截获短系统调用序列判断是否有异常行为发生。各种入侵的手段和方式虽然不同,但对于主机的各种攻击行为最终都是通过一系列的系统调用以及执行一些程序完成的。因此,通过系统调用的截获来判断是否有异常发生是最直接的,也是最有效的。但是这种方法的主要缺点是必须占用宝贵的主机资源,而且一般只能检测在特定主机上发生的攻击,对于来自网络的攻击如IP地址隐藏、端口扫描等无能为力。

基于网络的IDS(NIDS)检测的目标是部分或整个局域网络,检测的内容为原始的网络包。一般是在防火墙的后面的一个或多个网络关键点部署NIDS,并将网卡设为混杂模式,这样就可以监测到所有进出网络的数据流量。然而,随着网络带宽的提升,如何及时有效地处理海量数据的涌入成为了NIDS的一个瓶颈。目前,这方面的研究主要集中在基于分布式的入侵检测以及使用BP神经网络、遗传算法、数据挖掘等更加有效的检测技术,以提高检测的效率,达到有效的实时响应。

3.2 根据IDS系统实现的体系架构或数据收集和处理方式的不同分类

可以将其分为集中式(centralized)入侵检测系统和分布式(distributed)入侵检测系统。

集中式IDS系统包含多个探测器Sensor和一个中心控制处理单元,布置在系统或网络多个节点上的探测器负责收集数据(可能会进行一些简单的过滤),并将收集的数据统一发送至控制中心,由控制中心的分析引擎进行数据的分析和异常的检测。集中式IDS系统的实现比较简单,但是其主要缺点是系统的可扩展性差,集中分析器的处理能力限制了网络的规模,一旦规模超过一定范围,检测的实时性将无法得到保证;无法检测复杂的协作式攻击,而且唯一的中心控制单元极易受到恶意攻击,导致整个IDS系统崩溃,存在单一失效点问题。早期的入侵检测系统主要是集中式的,由于其固有的缺陷,现在的系统大都采用分布式架构。

分布式IDS系统一般使用多个Agent来实现,每个Agent在系统中完成一项特定的功能,各Agent之间通过通信机制互相协作来完成入侵的检测。由于Agent是独立运行的实体,因此可以在不改变系统其他组件甚至无需重启系统的情况下就能够方便地加入、删除和重新配置Agent。这极大地提高了IDS系统的灵活性和可扩展性,系统管理员可以根据具体的网络规模和安全需求来配置Agent。

一个比较典型的分布式Agent系统架构是美国Purdue大学开发的AAFID(autonomous agent for intrusion detection)[2],已经用perl实现了它的原型。一个AAFID系统由代理(Agent)、过滤器(Filter)、收发器(Transceiver)和监视器(Monitor)4个部件组成,其结构如图1所示。

一个AAFID系统可以分布于网络中的多台主机上,每台主机上可以运行任意数目的代理Agent,用于监视主机系统中发生的安全事件,不同的Agent可以针对不同的数据来源,如系统日志和网络活动,以提高检测的完整性。过滤器用于对收集的数据进行基本的过滤,以减少不必要的数据处理。主机上的所有Agent将数据汇报给收发器。每台主机上只有一个收发器,负责监管该主机上所有Agent的运行情况,可以开始、停止Agent和向Agent发送配置命令。收发器将自身汇总的数据报告给一个或多个监视器,监视器再根据一定的检测方法对这些数据进行分析,以查找可能发生的入侵。由于最上层的监视器接收了整个网络的数据,因此可以完成高级的关联分析,检测到一些比较复杂的协同攻击,这是其他系统所不能实现的。

还有其他一些分布式系统,如日本安全机构IPA提出的IDA(intrusion detection agent system,IDA),UC David的Gr IDS(graph-based intrusion detection system,Gr IDS)[1],其基本架构与AAFID类似。

不难看出,分布式IDS很好地适应了现代攻击的多样性和复杂性,能够检测出一些复杂的协同攻击,并具有较好的均衡性和扩张性,但缺点是一旦高层节点或控制中心遭到攻击,系统将不能正常工作,因此存在一定程度的单一失效点,并且各层之间的通信需要一定的成本,难以保障安全。

3.3 其他分类方法

可以根据检测的时间性将IDS分为实时检测和非实时检测;根据响应方式将IDS分为主动的和被动的。被动响应一般将报警信息汇报给安全管理员,由管理员分析判断报警信息再作出响应;主动响应则可以采用切断网络连接、注销可能的攻击者的登录等措施来对抗攻击,少数系统甚至可以采用蜜罐引诱和跟踪措施,对入侵者实施有效的反击。

4 入侵检测的方法与技术

可以将入侵检测的方法笼统地划分为2大类:异常检测(anomaly detection)和误用检测(misuse detection)。

异常检测通过分析当前系统的使用状态来判断是否发生了入侵。它首先提取出用户正常行为的特征轮廓(profile),根据这些特征建立系统正常运行的模型,并设置阀值。阀值以内的视为正常,当用户的行为超过阀值一定的程度时,视为异常。理想的情形是入侵活动集正好和异常活动集完全一致。由于建立的特征轮廓模型与系统相对关联不大,所以异常检测的通用性强、可移植性高且能够检测出新型的攻击。但它的一个主要缺点是误报率高,并且如果攻击者在探知到存在IDS的情况下,会故意“训练”特征模型,加以时日,这种攻击就会被误认为是正常的行为了。

误用检测又称滥用检测,其逻辑前提是假定所有入侵行为和手段(及其变种)都能够表达为一种模式或特征,即入侵签名(signature),其检测的基本原理是根据事先已精确定义好的入侵模式,匹配所有的网络事件和用户行为,如果符合则说明发生了入侵。由于入侵模式是事先定义好的,因此无法发现新的攻击,尤其难以应付分布式的网络攻击DDo S,导致漏报率比较高。同时,特征库需要经常更新,维护工作量比较大。

针对这两类方法,目前采用的一些流行的检测技术有以下几种。

4.1 专家系统(expert systems)

采用专家系统是为了在某一领域内模仿人类专家来解决问题。专家系统以专家的经验性知识为基础,其核心部分是知识库和推理机/引擎。其理论基础是每一种入侵都具有其自身的一些特征(signature)。在专家系统中,通过手工或半手工学习总结出入侵行为的特征,并将这些特征表示成具有一定格式的规则输入到知识库中去。每条规则(rule)都具有“if A then B”的形式,其中A为入侵特征,B为所采取的相应措施,可以是切断网络连接,也可以是仅仅将数据保存到日志数据库中去。专家系统的成功依赖于2个因素:(1)知识库的正确性和完备性;(2)推理机使用知识库进行推理的效率。目前作为很多IDS产品内核的、已经比较成熟的轻量级入侵检测系统Snort[3]即是采用这种方法进行入侵检测。这种方法具有简单、高效、容易实现的优点。不过其缺陷是无法检测出未知的和较为复杂的协同式攻击,并且必须像杀毒软件一样不断地更新知识库,才能保证检测到最新的入侵。

4.2 贝叶斯概率推理

基于贝叶斯推理的入侵检测方法通过条件概率判断某一特定状态下系统中是否有入侵发生。首先定义n个可以度量的系统特征值变量Ai,其中每个变量表示系统某个方面的特征(如CPU的使用率、文件访问出错数)。假定Ai可以取2个值:1表示该度量值异常,0表示正常。I表示系统当前遭受到攻击。每个度量的可靠性和敏感性分别表示为和P(Ai=1|I)和P(Ai=1|」I),结合这些概率,根据贝叶斯定理可以得出在给定每个Ai值的条件下,I成立的可信度为:

又假定每个度量值Ai仅与I有关,且与其他的度量值Aj无关,i≠j,则有:

从而可以得到:

其中,这n个度量值的可靠性和敏感度以及P(I)可以通过入侵的先验概率以及入侵发生时具体测量得出。因此,给定任意时刻系统这n个度量的值,根据(5)式即可以推断出系统是否处于入侵状态。为了提高检测的准确性,更实际的情况是考虑这n个度量值Ai之间的相互影响,一种经过实验证明有效的方法是使用表示Ai和Aj关系的协方阵C,更为准确地确定各个异常变量与入侵的关系[4]。

4.3 神经网络(neutral networks)

有监督的学习方法可以根据输入值来预测输出,从而用于异常检测。神经网络可以用于实现有监督的学习,一个神经网络由输入层、输出层和中间层组成。每层包含多个节点,中间层可以有多层,各层节点之间实现全连接。节点与节点之间的连接都有一定的权值,通过选择经过标记的训练数据集对神经网络进行训练,可以计算出这些连接的权值。当用于异常检测时,输入层是用户当前执行的命令集,用户已经执行过的命令被神经网络使用来预测用户输入的下一个命令,如果实际发生的事件与神经网络预测的结果偏离,则可以认为发生了异常并报警。目前的主要困难在于如何选择合适的数据以避免出现局部最优,以及在节点较多的情况下如何加快网络的收敛速度。

4.4 数据挖掘(data mining)

数据挖掘[5,6,7]作为一种从大量数据集中提取用户事先未知的、感兴趣的潜在有用数据,其有效性已经得到了广泛证明。将数据挖掘用于入侵检测的主要思想是使用审计程序来广泛地收集网络连接和主机会话特征数据,然后将数据挖掘技术应用于这些输入数据集,可以精确地捕获入侵和正常行为模式,这些模式以规则的形式呈现,用于将来的异常和误用检测。这种自动化的方法避免了专家系统的手工分析和编码入侵模式,挖掘出的规则可以添加到现有的规则库中,不断地完善知识库系统。举例来说,比如主机正常收到的网络数据包中10%都含有SYN和ACK标记,而含有ACK标记的数据包中30%都有SYN标记,则这2个标记之间的关系可以用这样的一条关联规则来表示:

支持度s=0.1,置信度c=0.3。

类似这样的规则可以使用统计分析得出,并用于构建用户正常行为轮廓。

又比如,针对Telnet记录,通过数据挖掘可以得出在规定的时间间隔内,登录失败的次数超过多少次就可以认为这是一次猜测密码攻击。

4.5 模糊数据挖掘(fuzzy data mining)

将模糊逻辑与数据挖掘相结合,可以得到更加抽象的模式和规则,而这些规则也更容易为人类所理解。事先选定的特征不是通过具体的值域[a,b]来度量,而是使用比较模糊的描述,如“高”和“低”,“多”和“少”。将这些模糊概念与数据挖掘相结合,可以得到下面的这样一些规则:

支持度s=0.5,置信度c=0.9。

其中,SYN是网络数据包中含synchronize标志的概率;FIN是含finalize标志的概率;而RES是含reset标志的情况。通过将具体的数值映射到这些模糊概念,得到的规则具有更高的灵活性,然后可将这些规则用于进一步的异常检测。

4.6 嵌入式传感器(embedded sensor)[8,9]

这种技术通过在系统程序和应用程序开发阶段在源代码中添加检测程序片段来实现日志记录和异常处理。这些检测片段在程序运行时会自动检查并防护可能出错的异常情况,开发者可以针对比较常见的攻击类型如堆栈溢出为程序加入这些片段(见图2)。

通过向程序中添加少量代码,嵌入式传感器可以检测到很多常见的利用系统漏洞的入侵,如Land、Teardrop、Ping o Death和SYN flooding。这种方法允许实时检测可能的攻击,并且不需要运行任何额外的进程。它的一个缺点是必须修改系统和程序的源代码,并且这些防护代码必须和源代码使用同一种语言,导致了可移植性差。

4.7 支持向量机(supporting vector machine,SVM)

支持向量机(SVM)是一种比较新的可监督的学习方法。其主要思想是将数学回归模型应用到训练集来构造合适的分类器,以区分正常和异常数据。输入的训练数据集被映射到多维向量空间,然后通过Gauss最小二乘法可以计算出一条直线,所以位于这条直线上的点集属于一类,位于直线外的属于另一类。当然,为了充分考虑计算的误差和实际情况,还必须给出这2类之间的误差边界。这可以通过选定若干直线附近的点不断调整,计算最小边界误差δ,得到满意的分类器(见图3)。

支持向量机具有较快的训练速度,并且得到的训练结果与输入的点数据集相对无关,可以学习大量的特征模式,因此也比神经网络具有更好的可伸缩性。

当然,还有许多其他技术可用于入侵检测,如贝叶斯网络、Petri网、模型误用推理,由于篇幅所限,这里就不一一赘述了,有兴趣的读者可以去参考相关文献。

5 研究热点与发展趋势

入侵检测的概念与理论自20世纪80年代末出现以来,至今已经有了20多年的研究和发展,但是仍然没有达到完善的地步,非常成熟的商业产品也寥寥无几。已经出现的商业入侵检测系统仍然存在这许多不足和缺陷,主要表现在以下几个方面。

5.1 IDS产品的漏报率和误报率高

一方面,网络知识的普及使得黑客技术越来越臻熟,实施的攻击越来越复杂;另一方面,网络流量的提升使得需要处理的数据量变得异常庞大,大型应用软件的复杂度使得缺陷难以避免,这些往往都会成为黑客利用的弱点。要解决这个问题主要可以从检测数据和检测方法两方面入手。从理论上来讲,入侵检测系统IDS的检测性能和正确率只可能与检测技术基于的数据来源一样可靠,因此如何进行更有效的数据收集(data collecting)以及进行数据融合(data fusion),剔除无用的数据,更好地提取系统正常行为和异常攻击的特征正在成为研究热点。

5.2 对于时间和空间跨度大的分布式入侵

由于入侵特征极具隐蔽性,IDS的检测能力还比较弱,对于分布式的攻击,就要采取分布式的检测方法。国内外已经提出了不少分布式入侵检测系统的体系架构,不过目前大多数研究都仅仅是停留在实验和原型阶段,同时也出现了不少商业产品,但真正可行且可靠的产品却很少。分布式的入侵检测,特别是基于智能Agent的IDS,由于其灵活性和可扩展性等种种优势,已经成为了研究的主要热点和将来发展的趋势。目前,相关的研究主要集中在如何在这些相对独立的Agent之间进行安全的通信,对通信信息进行验证和信任,发展出一种验证机制以及信任网web of trust。分布式IDS解决了许多传统IDS未能解决的问题,如减轻网络负载、灵活性、可扩展性等。

5.3 IDS与其他系统以及IDS本身之间的互操作问题

目前,关于IDS的研究主要集中在如何提出更高效的检测算法以及更合理的体系架构上,而对各个系统与其他系统之间的兼容性、协作性考虑很少。以后的研究可以更多地考虑如何实现IDS系统之间和与其他系统如防火墙、杀毒软件之间的信息共享,提高互动性,以提高性能和检测效率。

5.4 针对特定环境的攻击使得一般的IDS性能很差

如无线Ad-Hoc网络中的入侵,因为接入无线网络较为方便,无线网络用户越来越多,且各主机之间主要是对等的关系,不可避免地会使恶意的攻击行为也渗透到无线网络中。针对这些特定的网络环境的研究已经展开。

5.5 目前实现的大多数IDS都未采取主动的措施

即对入侵行为进行取证,并对入侵者进行反击,这也是研究的热点方向。

5.6 IDS的测试方法与评价标准

目前的入侵检测技术发展迅速,应用的技术也很广泛,如何评价IDS的优缺点就显得非常重要。评价IDS的优劣主要包括以下几个方面:(1)准确性。准确性是指IDS不会标记环境中的一个合法行为为异常或入侵。(2)性能。IDS的性能是指处理审计事件的速度。对一个实时IDS来说,必须要求性能良好。(3)完整性。完整性是指IDS能检测出所有的攻击。(4)故障容错(fault tolerance)。当被保护系统遭到攻击和毁坏时,能迅速恢复系统原有的数据和功能。(5)自身抵抗攻击能力。这一点很重要,尤其是“拒绝服务”攻击。因为多数对目标系统的攻击都是首先用“拒绝服务”攻击摧毁IDS,再实施对系统的攻击。(6)及时性(timeliness)。一个IDS必须尽快地执行和传送其分析结果,以便在系统造成严重危害之前能及时作出反应,阻止攻击者破坏审计数据或IDS本身。

除了上述几个主要方面,还应该考虑以下几个方面的问题:(1)IDS运行时,额外的计算机资源的开销;(2)误警报率/漏警报率的程度;(3)适应性和扩展性;(4)灵活性;(5)管理的开销;(6)是否便于使用和配置。

6 小结

作为一种对入侵主动防御的方式,入侵检测已经成为网络信息安全的一项重要的保障措施,可充分发挥医院信息系统的最大效能,为达到一流的数字化医院奠定基础。本文作为一篇综述,介绍了相关的概念和IDS的分类,并对目前主流的集中入侵检测技术一一进行了详细介绍,指出了目前研究存在的不足和今后的发展方向。随着网络通信技术安全性的要求越来越高,入侵检测技术必将受到大家的高度重视。

摘要：为保障医院网络信息的安全和医院信息管理系统的稳定运行,入侵检测作为一种积极对抗网络攻击的方式已经成为近年来网络安全研究的热点。阐述了入侵检测的基本概念和主要分类,介绍了比较的流行的几种入侵检测技术,讨论了该领域目前存在的主要问题和将来可能的研究方向。

关键词：医院信息化,入侵检测,异常检测,误用检测

参考文献

[1]Lee W,Stolfo S J,Mok K W A.Data Mining Framework for Building Intrusion Detection Models[J].IEEE,Symposium on Security and Privacy,1999(5):120-132.

[2]Spafford E,Zamboni D.Intrusion detection using autonomous agents[J].ComputerNetworks,2000,34(4):547-570.

[3]Northcutt S,Novak J.Network Intrusion Detection[M].3rd ed.India-napolis:New Riders,2002.

[4]卢辉斌,徐刚.一种新的基于数据挖掘的入侵检测方法[J].微处理机,2006,27(4):58-60.

[5]王云志,李金余,杨玲.医院信息化建设中的网络安全分析与防护[J].医疗卫生装备,2009,30(6):34-36.

[6]范秉琪,朱晓东.基于数据挖掘的网络入侵检测系统的设计与应用[J].河南理工大学学报,2006,34(3):247-251.

[7]Anderson J P.Computer security threat monitoring and surveillance[R].Fort Washinton:PennsylvaniaJamesPAndersonCo,1980.

[8]Kerschbaum F,Spafford E H,Zamboni,et al.Using Internal Sensors and Embedded Detectors for Intrusion Detection[J].Journal of Com puter Security,2002,10:23-70.