網(wǎng)絡安全入侵檢測闡述

時間:2022-06-07 04:57:02

導語:網(wǎng)絡安全入侵檢測闡述一文來源于網(wǎng)友上傳,不代表本站觀點,若需要原創(chuàng)文章可咨詢客服老師,歡迎參考。

網(wǎng)絡安全入侵檢測闡述

摘要:網(wǎng)絡安全問題已經(jīng)成為當今社會人們最為關注的問題之一,一旦網(wǎng)絡受到惡意入侵,很有可能會造成電腦系統(tǒng)癱瘓或儲存信息泄露等問題,對人們的工作以及信息安全造成了一定的影響,因此相關人員一直極為重視對網(wǎng)絡安全防范技術的研究,并對入侵檢測技術進行著不斷的優(yōu)化,本文將對這一技術的概念、工作原理和流程、分類、運用實踐以及發(fā)展趨勢五個方面進行闡述,希望能夠為入侵檢測技術的運用帶來一定的啟示。

關鍵詞:網(wǎng)絡安全;入侵檢測;工作原理;發(fā)展趨勢

對電腦系統(tǒng)進行破壞操作,以非法獲得他人信息資料的行為,就可以視為是入侵行為。目前,網(wǎng)絡安全的主要防范技術就是防火墻技術,雖然這種技術具有一定的防范優(yōu)勢,但較為被動,并不能自動對電腦進行檢測,而入侵檢測技術較為主動,能夠對電腦系統(tǒng)進行實時的監(jiān)控和防護,可以及時發(fā)現(xiàn)對電腦進行入侵的操作,并予以制止,既能夠阻止外來的惡意侵入,同時還能對用戶的操作進行監(jiān)管,一旦用戶出現(xiàn)違規(guī)操作就會發(fā)出警報,提升了信息資料的安全系數(shù)。

1入侵檢測技術

入侵,英文為“Intrusion”,是指企圖入侵計算機系統(tǒng),對其可用性、保密性以及完整性進行破壞的一系列操作行為,而入侵檢測就是指對企圖進行入侵的行為進行檢測的一項技術。主要是通過將計算機網(wǎng)絡以及計算機系統(tǒng)中的重要結點信息收集起來,并對其進行分析和判斷,一旦出現(xiàn)有違規(guī)操作或者有惡意攻擊的情況,就會立即將這一情況反映到系統(tǒng)管理人員處,對入侵行為進行檢測的硬件以及軟件被稱為入侵檢測系統(tǒng)。入侵檢測系統(tǒng)在電腦運轉時,該系統(tǒng)會進行如下幾點操作:(1)對用戶和系統(tǒng)的活動進行監(jiān)視和分析;(2)對系統(tǒng)的構造以及不足之處進行審計;(3)對入侵行動進行識別,將異常的行為進行統(tǒng)計和分析,并上報到后臺系統(tǒng)中;(4)對重要系統(tǒng)以及數(shù)據(jù)文件是否完整進行評估,并會對系統(tǒng)的操作進行跟蹤和審計。該系統(tǒng)具有識別出黑客入侵和攻擊的慣用方式;對網(wǎng)絡的異常通信行為進行監(jiān)控;對系統(tǒng)漏洞進行識別;對網(wǎng)絡安全管理水平進行提升。

2工作原理及流程

2.1工作原理。1)對異常行為進行檢測在使用異常檢測這項技術時,會假定系統(tǒng)中存在的入侵行為都屬于異常,所以想要在系統(tǒng)中建立正常活動專屬的文件,就要對非正常的文件的系統(tǒng)狀態(tài)數(shù)量進行全面的統(tǒng)計,進而對入侵行為進行有效的鑒別。比如,電腦程序員的日常正規(guī)操作和編輯人員的日常正規(guī)操作具有一定的差別,這時就應對工作人員的日常操作進行記錄,并設立用戶專屬的正?;顒游募_@樣操作之后,即使入侵者盜竊了用戶的賬號進行操作,也會因為與專屬文件中的活動不符而被視為是入侵行為,系統(tǒng)會做出相應的反應。但值得注意的是,入侵行為與非日常行為操作并不相同,通常會存在兩種可能:一種是用戶自己的異常操作被系統(tǒng)視為是入侵,即“偽肯定”警報真實性不足;另一種是惡意入侵的操作因為與用戶的正常操作極為相符,導致系統(tǒng)將入侵行為默認為是正常行為,即“偽否定”,這種錯誤行為造成的后果較為嚴重。因此,進行異常檢測的重點問題就是要能選擇出正確的“閾值”,進而保證兩種問題能夠得到有效的控制,并能夠實際的管理需要系統(tǒng)進行有區(qū)域性的重點監(jiān)視?,F(xiàn)在異常檢測所使用的方法主要有預測模式生成法、統(tǒng)計法以及神經(jīng)網(wǎng)絡法三種。2)基于相關知識對特征進行檢測所謂特征檢測,也被稱之為Misusedeteciton,能夠通過一種模式將假設的入侵人員操作行為表示出來,目的就是為了找出與這些操作行為相符的模式,保護網(wǎng)絡系統(tǒng)安全。不過這種檢測方式也存在一定的弊端,它只能檢測出已經(jīng)存在的入侵行為,并不能將新型的入侵行為檢測出來。對入侵行為的判斷只能基于電腦系統(tǒng)中已經(jīng)建立的模式之上,而特征檢測系統(tǒng)目前的關鍵問題就是對攻擊模式能夠涉及和實際攻擊有所關聯(lián)的全部要素的確定問題以及對入侵活動進行特征匹配的問題。就理論層面而言,想要使檢測系統(tǒng)能夠將入侵的活動完全檢測出啦,就必須要確保能夠運用數(shù)學語言將所有的入侵行為全面描述出來,從此可以看出,該檢測方式最大的問題就是獨立性不足,不僅系統(tǒng)的移植性較差,維護工作的任務量過重,同時還無法將入侵行為變?yōu)槌橄笮缘闹R,在對已知知識的檢測也受到了一定的限制,特別是內(nèi)部人員如果進行違規(guī)操作時,很難將其檢測出來?,F(xiàn)行使用的違規(guī)檢測方式主要有神經(jīng)網(wǎng)絡、基本規(guī)則以及狀態(tài)轉換分析三種方式。2.2工作流程。在對電腦進行入侵檢測時,系統(tǒng)的工作流程主要分為三個步驟:第一步,要對信息進行統(tǒng)計。在進行檢測之前,首先就要對網(wǎng)絡流量內(nèi)容以及用戶接連活動等方面的信息進行收集和統(tǒng)計;第二步,對信息進行分析。在對需要的信息進行收集和統(tǒng)計之后,相關技術人員就應對這些信息進行分析,目前常用的分析方式為完整性分析、模式匹配以及統(tǒng)計分析三種,模糊匹配與統(tǒng)計分析會在電腦運轉過程中對系統(tǒng)進行實時監(jiān)測,而在事后分析時多使用完整性分析法;最后一步就是對電腦系統(tǒng)的操作進行實時登記和報警,同時對入侵行為進行一定程度的反擊處理。入侵檢測系統(tǒng)的主要目標就是為了對入侵的行為做出相應的處理,即對入侵行為進行詳細的日志記錄和實時報警以及進行一定程度的回擊入侵源?,F(xiàn)在鑒別入侵活動的技術方式有基本活動、用戶特征以及入侵者特征三種。

3入侵檢測系統(tǒng)分類

按照檢測數(shù)據(jù)的來源,入侵檢測系統(tǒng)可以分為主機方面的檢測系統(tǒng)以及網(wǎng)絡方面的檢測系統(tǒng)兩種,下面我們來分別了解一下:3.1主機方面的檢測系統(tǒng)。這種檢測系統(tǒng)的數(shù)據(jù)源是由系統(tǒng)日志以及應用程序日志等組成的,同時也可以使用像監(jiān)督系統(tǒng)調(diào)用等方式對主機的信息進行分析和收集。在對主機進行檢測時,一般會在主要檢測的主機上安裝入侵檢測系統(tǒng),這樣能夠對檢測對象的系統(tǒng)審計日志和網(wǎng)絡連接情況主動進行科學的分析和評定。當出現(xiàn)與特征或統(tǒng)計規(guī)律不同的操作時,還系統(tǒng)就會將其視為是入侵行為,并會自動進行相應的處理。如果主機設定的文件發(fā)生變化,在主機檢測系統(tǒng)就會對新操作與記錄的入侵行為進行對比,如果對比度較高,檢測系統(tǒng)就會將對這一操作進行報警,并自動進行相應的處理。3.2網(wǎng)絡方面的檢測系統(tǒng)。在網(wǎng)絡系統(tǒng)的基礎上進行檢測時,系統(tǒng)的數(shù)據(jù)源則是由原始網(wǎng)絡包組成的。檢測系統(tǒng)此時會在運轉系統(tǒng)的隨機模式中任意選擇一個網(wǎng)絡適配器來對網(wǎng)絡中的通信業(yè)務實施全面的監(jiān)視與分析。當該系統(tǒng)檢測到有入侵的行為時,系統(tǒng)就會進行一系列的反應,不同的檢測系統(tǒng)做出的反應也會不同,但主要措施基本相同,像通知以及反擊等等。

4入侵檢測系統(tǒng)的運用實踐

4.1貝葉斯聚類。以貝葉斯聚類為基礎對入侵行為進行檢測的方法,是對電腦的數(shù)據(jù)進行分析,并從中找出不同的數(shù)據(jù)集合,從而將異常用戶區(qū)分出來。在二十世紀九十年代,相關學者研發(fā)出了自動分類程序,屬于無監(jiān)督的數(shù)據(jù)分類技術,這種技術的研發(fā)成功為貝葉斯統(tǒng)計技術運用的實施奠定了良好地基礎。這種檢測的方式具有兩方面的優(yōu)勢:一方面,以提供的數(shù)據(jù)為依據(jù),這種檢測方式能夠自動對類型數(shù)目進行斷定;另一方面,對于聚類準確、相似測量以及停頓規(guī)則,并沒有過多的要求。一般檢測的技術基本都是以監(jiān)督分類的形式為主,是通過對用戶行為的檢測設定出用戶的常規(guī)操作的范圍,但貝葉斯的分類與其有所不同,能夠將分類數(shù)以及具有相似操作用戶自然分成一類,較為理想化。不夠由于這種檢測方式的使用時間較短,還沒有在入侵檢測系統(tǒng)中進行實驗,所以一些細節(jié)方面的問題,像自動分類程度的處理以及審計跟蹤等方面的具體操作沒有明確,導致在使用時無法將這一優(yōu)勢無法充分發(fā)揮出來。4.2模式匹配。在入侵檢測中,模式匹配這一方式最為簡單、傳統(tǒng)。在使用這種檢測方式時,首先要在系統(tǒng)中設置入侵特征庫,之后,檢測系統(tǒng)會對收集的數(shù)據(jù)進行檢測,一旦數(shù)據(jù)與庫中的入侵特征不符時,檢測系統(tǒng)就會自動將其視為是入侵行為。雖然這種檢測方式具有計算簡便以及準確率較高等優(yōu)勢,但也存在一定的缺點,這種檢測方式只能對庫中的入侵形式進行檢測,一旦入侵者對操作進行修改,檢測系統(tǒng)就很難將其識別出來。相關人員雖然也會對庫內(nèi)特征不斷進行更新,但由于網(wǎng)絡發(fā)展速度過快的特性,更新的速度相對較難,直接增加了檢測的難度。4.3特征選擇。特征選擇的檢測方式是挑選出檢測性能較好度量構成子集,并以此作為主要的檢測手段對已經(jīng)檢測出的入侵行為進行預測、分類。這種檢測方式的不足之處在于無法對用戶的異?;顒右约皭阂馊肭中袨樽鞒鰷蕚涞呐卸ǎ疫@種進行斷定的過程也較為復雜,在對度量子集進行選擇時,主要的參考依據(jù)就是入侵類別,且一個度量子集并不能對所有的入侵行為進行檢測,如果僅使用一種子集,很有可能會出現(xiàn)檢測遺漏的現(xiàn)象,從而使網(wǎng)絡安全受到威脅。最佳的子集檢測入侵方式就是能夠自動進行子集的選擇,從而實現(xiàn)對入侵行為的全面檢測。該行業(yè)的學者提出了利用遺傳方式來對所有的子集進行搜尋,并自動找出適合的子集對操作行為進行檢測,這種方法主要是運用了學習分離器的方式形成了基因突變算子以及遺傳交叉算子,將測量性能較低的子集篩除之后,使用遺傳算子生成的子集再次進行測量,并將這樣的測量方式和測量性能較高的子集有機結合在一起,檢測的效果會更加明顯、高效。4.4神經(jīng)網(wǎng)絡。由于神經(jīng)網(wǎng)絡的檢測方式具有較強的自學習、自適應以及自組織能力的優(yōu)勢,因此多在環(huán)境信息以及背景知識較為不利的環(huán)境中使用。使用這種檢測對入侵行為進行檢測,能夠將未知的入侵行為檢測出來。數(shù)據(jù)信息預處理功能會將審計日志以及網(wǎng)絡訪問行為等信息進行處理,獲得輸入向量,之后神經(jīng)網(wǎng)絡會對向量展開分析,進而得到用戶常規(guī)的操作方式,并進行記錄,以此判斷出操作與之不符的入侵活動。

5入侵檢測系統(tǒng)的發(fā)展趨勢

隨著人們對于網(wǎng)絡安全重視的程度越來越高,入侵檢測技術水平也得到了顯著的提升,已經(jīng)開始朝向更加智能化、自動化的方向發(fā)展,尤其是以孤立點挖掘為基礎的檢測技術更是今后入侵檢測系統(tǒng)的主要發(fā)展趨勢。所謂孤立點挖掘就是指對大量的信息數(shù)據(jù)進行篩選,找出其中與常規(guī)數(shù)據(jù)有著明顯不同的,且較為小眾、較為新穎的數(shù)據(jù)檢測方式。使用這種方式能夠將大規(guī)模數(shù)據(jù)中的異常數(shù)據(jù)挖掘出來,從而有效避免因這些數(shù)據(jù)的異常而帶來的負面影響。雖然入侵的手段也在不斷進行著變化,但就整體的網(wǎng)絡行為而言,入侵行為還是會產(chǎn)生小部分的異常數(shù)據(jù),而使用這一技術能夠準確找出這些數(shù)據(jù),并對其進行適當?shù)奶幚恚梢愿玫貙⑷肭中袨榈谋举|(zhì)呈現(xiàn)出來,所以在今后進行入侵行為檢測時,可以使用這種技術將入侵檢測轉變?yōu)楣铝Ⅻc數(shù)據(jù)發(fā)掘行為。與其他的入侵檢測技術相比,孤立點挖掘檢測技術并不需要進行訓練,可以直接進行使用,有效避免了因訓練模式不完善而造成的檢測遺漏等情況。就實踐消耗的角度而言,是以進行距離對比為主的,雖然相對于其他入侵檢測的方式,這種方式的檢測需要大量的時間和空間,但其算法性能較高,對于入侵的阻擊效率也較為理想,值得進行大面積推廣。

6結束語

由于現(xiàn)在網(wǎng)絡病毒以及黑客等惡意入侵手段越來越復雜,對網(wǎng)絡的安全使用造成了極大的影響,為了應對這一問題相關技術人員必須要加強對安全防范技術的研發(fā),尤其是要對入侵檢測技術進行強化,不斷優(yōu)化檢測技術水平,保證電腦系統(tǒng)能夠有效檢測出非法入侵行為,并自動對其進行一系列的反擊,從而確保網(wǎng)絡信息的安全。通過本文對入侵檢測技術的運用以及相關問題的介紹使我們認識到現(xiàn)在使用的檢測技術多少還存在一定的問題,需要技術人員對其不斷進行研發(fā)和改進,為人們帶來更加安全、快捷的網(wǎng)絡使用環(huán)境。

作者:孔政 單位:長江水利委員會人才資源開發(fā)中心

參考文獻:

[1]蔣建春,馬恒太,任黨恩,卿斯?jié)h.網(wǎng)絡安全入侵檢測:研究綜述[J].軟件學報,2000(11).

[2]王艷華,馬志強,臧露.入侵檢測技術在網(wǎng)絡安全中的應用與研究[J].信息技術,2009(6).

[3]姚玉獻.網(wǎng)絡安全與入侵檢測[J].計算機安全,2007(5).

[4]周碧英.入侵檢測技術及網(wǎng)絡安全的探討[J].電腦知識與技術(學術交流),2007(23).

[5]付衛(wèi)紅.計算機網(wǎng)絡安全入侵檢測技術的研究[J].科技信息,2010(3).

[6]王艷.網(wǎng)絡安全與入侵檢測技術[J].和田師范專科學校學報,2008(3).

[7]李陽,劉廣,杜為民.入侵檢測系統(tǒng)在網(wǎng)絡安全中面臨的挑戰(zhàn)及對策[J].網(wǎng)絡安全技術與應用,2005(11).