發布時間:2023-04-23 15:24:48
序言:寫作是分享個人見解和探索未知領域的橋梁,我們為您精選了8篇的入侵檢測論文樣本,期待這些樣本能夠為您提供豐富的參考和啟發,請盡情閱讀。
1入侵檢測系統分析
表1分析了入侵檢測系統結構變化。
表1IDS出現的問題及結構的變化
IDS發展解決的問題結構特征
基于主機單一主機的安全各部分運行在單節點上
基于網絡局域網的安全采集部分呈現分布式
分布式單一分析節點的弱勢分析部分呈現分布式
網格的運行是由用戶發起任務請求,然后尋找資源搭配完成任務,這樣形成的團體稱為虛擬組織(VO),網格入侵檢測系統是為其他VO提供服務的VO[1],目前其面臨的主要問題如下:
(1)分布性:包括資源分布和任務分解。
(2)動態部署:系統是為VO提供服務的,其部署應是動態的。
(3)動態形成:系統本身也是一VO,是動態形成的。
(4)最優方案選擇:本系統需多種網格資源協同進行,要選擇一個最優方案。
(5)協同計算:保證按照入侵檢測流程順利運行。
(6)動態改變:防止資源失效。
目前關于網格入侵檢測系統的研究[2]只能說解決了分布性、動態形成、協同計算。而對于動態部署[1]、動態改變[3]仍處于研究中。
2VGIDS系統模型
VGIDS基于開放網格服務(OGSA)思想提出了一個公共服務——GIDSService來解決目前網格入侵檢測系統面臨的問題。整個VGIDS結構如圖1所示。
(1)VO-Based:網格是一個虛擬組織的聚集,本系統提出一虛擬組織目錄(VOL)。用戶向GIDSService提交請求并將被檢測VO代號作為參數。GIDSSevvice查找VOL獲取VO信息。當VOL數量減為一就成為單一網格應用,可由網格管理(GM)將VO信息傳給GIDSServic。
圖1VGIDS系統結構
(2)GIDSService:負責資源發現,調度。具體包括:
RI(RequestInterface):服務接口,負責服務請求及VO信息獲取。同VOL解決動態部署。
DA(DelegationAgent):委托。同用戶交互獲得用戶委托授權。
DD(DistributedData):分布式數據。存儲VGIDS需要的資源信息。解決分布問題。
RQ(ResourceQuery):資源查詢。當獲得用戶授權后便由RQ根據DD描述向資源目錄(RL)查找資源。解決分布問題。
PC(PlanChoose):最優方案選擇。當從RL獲得可用資源后PC根據AM(任務管理)要求選擇一個最優方案。本文稱為多維最優路徑選擇問題。
AM(AssignmentManage):任務管理。首先根據DD存儲所需資源的調度信息,當VGIDS形成后,根據PC的方案選擇及DD存儲的資源信息進行任務的調度和協同各分布資源的交互,解決協同計算。
IR(IntrusionReaction):入侵響應。
SN(SecurityNegotiate):安全協商。同資源和用戶的安全協商。
DI(DynamicInspect):動態檢查。負責檢查資源失效向RQ發起重新查找資源請求。解決動態改變問題。
LB(LoadBalance):負載平衡。主要根據DD信息解決網格資源調度的負載平衡問題。
3VGIDS服務描述
本系統是一動態虛擬組織,在系統運行之前必須以靜態網格服務的形式部署于網格之上,當用戶申請時再動態形成。
定義1:VGIDS的靜態定義如下:VGIDS=<Base,Resource,Role,Task,Flow,Relation>
Base為VGIDS基本描述,Base=<ID,Power,IO,Inf,log,goal,P>。ID為虛擬組織編號;Power為獲得的授權;IO為被檢測對象;Inf為監控VGIDS獲得的信息文件;log為系統日志;goal為VGIDS目標,包括調度算法所估計的系統效率及用戶要求;P為系統交互策略,需同網格資源進行交互,授予資源角色和相關權利并同時分配相關任務。
Resource為VGIDS的所有資源,Resource=<IP,Property,Serve,Power,P>。
IP為資源地址;Property為資源屬性(存儲、分析),方便角色匹配;Serve為資源可提供的服務指標;Power為使用資源所要求的授權;P為資源交互策略。
Role為存在的角色類型,Role=<ID,Tas,Res,Power>。ID為角色的分類號,按照工作流分為5類角色分別對應VGIDS的5個環節;Tas為角色任務;Res為角色需要的資源類型;Power為角色所獲得的權利。
Task為工作流任務集合。Task=<ID,Des,Res,Role,P>。ID為任務標號;Des為任務描述;Res為需要的資源種類;Role為任務匹配的角色;P為Task執行策略。
Flow為工作流描述文件,Flow=<Role,Seq,P>。Role為角色集合,Seq為角色執行序列,P為對于各個角色的控制策略。
Relation為已確定資源Resource和Role之間的關系。Relation=<Res,Role,Rl>。Res為資源集合,Role為角色集合,Rl為對應關系。
4多維最優路徑選擇
4.1問題描述
將圖1抽象為圖2模型定義2:Graph=(U、D、A、{Edge})。
U為所有被檢測對象的集合,Un=(Loadn、Pn),Loadn為Un單位時間所要求處理的數據,Pn為Un在被檢測VO中所占權重,如果P為空,則按照Load大小作為權重。
D為存儲服務集合,Dn=(Capn、Qosdn),Capn為Dn提供的存儲容量。Qosdn為Dn提供的服務質量,近似為數據吞吐率。
A為分析服務集合,An=(Classn、Qosan),Classn為An處理的數據種類,如系統日志或網絡流量。Qosan為An提供的服務質量,近似為處理速率。
Edge為邊的集合,有網絡傳輸速度加權v。
圖2VGIDS調度模型
定義3:Qos定義為一個多維向量,可用一個性能度量指標的集合表示:
{M1(t)、M2(t),…,Mn(t)}
Mn(t)為一個與網格服務質量有關的量,如CPU的主頻、網絡速度、內存。服務的執行過程體現出來的性能參數是一條n維空間的軌跡M,這個n維空間的每一維代表一個性能指標
M=R1*R2*…*Rn
其中,Rn是性能指標Mn(t)的取值范圍。在本系統中存在兩類Qos,分別為D和A。本系統強調實時性,所以CPU、RAM和網絡速度占很大權重,Qos計算公式如下:
Wcpu表示CPU的權重;CPUusage表示當前CPU使用率;CPUspeed表示CPU的實際速度;CPUmin表示要求的CPU速率的最小值。Wram表示RAM的權重;RAMusage表示當前RAM使用率;RAMsize表示RAM的實際大小;RAMmin表示要求的RAM的最小值。Wnet表示網絡傳輸的權重;NETusage表示當前網絡負載;NETspeed表示網絡的實際速度;NETmin表示要求的網絡傳輸速率的最小值。
資源調度就是利用對各個資源的量化,為每一檢測對象選擇一條數據傳輸路徑。本系統目標是使整個VO獲得快速的檢測,而不是對個別對象的檢測速率很高。
定義4:對于任意一個被檢測VO的檢測對象,如果能夠為其構造一條檢測路徑,稱系統對于此對象是完備的。
定義5:對于VO,如果能夠為其所有的檢測對象構造檢測路徑,則稱系統對于被檢測VO是完備的。
本調度算法的目的便是在滿足被檢測VO和入侵檢測工作流要求下,按照所選網格資源提供的能力為整個VO構造VGIDS,使所有被檢測對象檢測效率之和最高。這是一非典型的線性規劃問題,如下定義:
X1,…Xn是n個獨立變量,表示VGIDS所選路徑;公式<5>表示最大耗費時間;公式<6>—<8>表示所有對于Xn的約束條件。由于Xn變量難以確定并且約束條件種類較多所以難以將上述問題標準化為公式<5>—<8>。
4.2算法描述
本文利用貪心選擇和Dijkstra算法進行調度。
按照用戶給出的U的權值P從大到小進行排序,if(P==NULL),則按Load從大到小進行排序得到排序后的對象數組和負載數組為
U[i](0<i≤n,n為U的大小);Load[i](0<i≤n,n為U的大小)
for(i=0;i<=n;i++),循環對U和Load執行以下操作:
(1)對于所有邊,定義其權值為網絡傳輸時間t=Load[i]/v,對于所有服務D和A定義其處理數據時間為t1=Load[i]/Qos,將t1加到每一個服務的入邊上得到最終各邊權值,如果兩點之間沒有邊相連則t[j]為∞。
(2)定義Capmin[i]為U[i]對于數據存儲能力的最低要求,Qosdmin為U[i]對于D中服務質量的最低要求,Qosamin為U[i]對于A中服務質量的最低要求。對于所有D中Cap<Capmin[i]或者Qosd<Qosdmin的節點以及A中Qosa<Qosamin[i]的節點,將其所有輸入和輸出邊的t設為∞。
(3)設所有點集合為V,V0為檢測對象,邊Edge定義為<Vi,Vj>。用帶權連接矩陣arcs[i][j]表示<Vi,Vj>的權值。定義向量D表示當前所找到的從起點V0到終點Vi的最短路徑,初始化為若V0到Vi有邊,則D[i]為邊的權值,否則置D[i]為∞。定義向量P來保存最短路徑,若P[v][w]為TRUE,則W是從V0到V當前求得最短路徑上的頂點。
(4)for(v=0;v<v.number;v++)
{
final[v]=false;
D[v]=arcs[v0][v];
for(w=0;w<v.number;++w)P[v][w]=false;
//設空路徑
if(D[v]<INFINITY){P[v][v0]=true;P[v][v]=true;}}
D[v0]=0;final[v0]=true;//初始化,V0頂點屬于已求得最短路徑的終點集合
for(i=1;i<v.number;++i){
min=INFINITY;
for(w=0;w<v.number;++w)
if(!final[w])
if(D[w]<min){v=w;min=D[w];}
final[v]=true;
for(w=0;w<v.number;++w)//更新當前最短路徑及距離;
if(!final[w]&&(min+arcs[v][w]<D[w])){
D[w]=min+arcs[v][w];
P[w]=P[v];P[w][w]=true;
}}}
掃描A中各點,選取其中D[i](Vi∈A)最小的一點X,然后從P中選取從V0到X的路徑便為所選一條VGIDS路徑。
(5)將所選路徑上的邊的速率改為V=V-Load[i],D的Cap改為Cap=Cap-Capmin,D的Qosd改為Qosd=Qosd-Qosdmin,A的Qosa改為Qosa=Qosa-Qosamin。
(6)++i,回到步驟(1)重新開始循環。
5系統開發
本項目主要利用Globus工具包外加CoGKits開發工具。Globus作為一個廣泛應用的網格中間件其主要是針對五層沙漏結構,并利用GridService技術逐層對五層沙漏提出的功能單源進行實現[5],表2簡單敘述VGIDS實現的各層功能及Globus中對應服務調用。
實驗時VGIDS部署在Linux系統上,采用基于Linux核心的數據采集技術及Oracle10g作為數據庫系統解決分布式存儲問題,數據分析技術仍采用現有的基于規則的入侵檢測技術。系統試驗平臺如圖3所示。
表2系統功能劃分及調用接口
五層結構VGIDSGlobus
應用層GridService無
匯聚層資源發現、證書管理、目錄復制、復制管理、協同分配元目錄服務MDS,目錄復制和復制管理服務,在線信任倉儲服務,DUROC協同分配服務
資源層訪問計算、訪問數據、訪問系統結構與性能信息提供GRIP、GRRP、基于http的GRAM用于分配資源和監視資源,提供GridFtp數據訪問管理協議及LDAP目錄訪問協議。Globus定義了這些協議的C和Java實現
連接層通信、認證、授權提供GSI協議用于認證、授權、及通信保密
構造層數據采集、數據存儲、數據分析提供缺省和GARA資源預約
圖3系統試驗平臺
本平臺共8臺機器,一臺網格目錄服務和CA認證中心,一臺部署VGIDS服務。兩臺機器作為被檢測對象,相互之間可實現簡單網格協作,本試驗兩臺機器之間通過GridFtp服務傳輸數據。其余四臺機器分別實現兩個存儲服務和兩個分析服務。
6總結和展望
目前網格入侵檢測系統主要是針對某一特定網格應用靜態執行。而本文所提出的VGIDS則是針對網格運行模式——虛擬組織所提出的通用網格入侵檢測服務。本系統事先進行靜態定義,然后當有服務請求時動態解析定義文件,動態形成可執行的網格入侵檢測系統。本系統解決目前網格入侵檢測系統面臨的動態部署、動態形成、最優方案選擇、動態改變等問題。
對于網格入侵檢測系統同樣還面臨著如何解決數據異構,如何發現分布式協同攻擊,如何保障自身的安全等問題,本模型有待進一步完善。
參考文獻
[1]OngTianChoonandAzmanSamsudin.Grid-basedIntrusionDetectionSystem.SchoolofComputerSciencesUniversitySainsMalaysia,IEEE,2003.1028-1032
[2]AlexandreSchulterandJúlioAlbuquerqueReis.AGrid-worksandManagementLaboratoryFederalUniversityofSantaCatarina,ProceedingsoftheInternationalConferenceonNetworking,InternationalConferenceonSystemsandInternationalConferenceonMobileCommunicationsandLearningTechnologies.IEEE,2006
[3]TolbaMF,Abdel-WahabMS,TahaIA,etal,“GIDA:TowardEnablingGridIntrusionDetectionSystems”,CCGrid,11thMay,2005
關鍵詞:入侵檢測異常檢測誤用檢測
在網絡技術日新月異的今天,基于網絡的計算機應用已經成為發展的主流。政府、教育、商業、金融等機構紛紛聯入Internet,全社會信息共享已逐步成為現實。然而,近年來,網上黑客的攻擊活動正以每年10倍的速度增長。因此,保證計算機系統、網絡系統以及整個信息基礎設施的安全已經成為刻不容緩的重要課題。
1 防火墻
目前防范網絡攻擊最常用的方法是構建防火墻。
防火墻作為一種邊界安全的手段,在網絡安全保護中起著重要作用。其主要功能是控制對網絡的非法訪問,通過監視、限制、更改通過網絡的數據流,一方面盡可能屏蔽內部網的拓撲結構,另一方面對內屏蔽外部危險站點,以防范外對內的非法訪問。然而,防火墻存在明顯的局限性。
(1)入侵者可以找到防火墻背后可能敞開的后門。如同深宅大院的高大院墻不能擋住老鼠的偷襲一樣,防火墻有時無法阻止入侵者的攻擊。
(2)防火墻不能阻止來自內部的襲擊。調查發現,50%的攻擊都將來自于網絡內部。
(3)由于性能的限制,防火墻通常不能提供實時的入侵檢測能力。畢業論文 而這一點,對于層出不窮的網絡攻擊技術來說是至關重要的。
因此,在Internet入口處部署防火墻系統是不能確保安全的。單純的防火墻策略已經無法滿足對安全高度敏感部門的需要,網絡的防衛必須采用一種縱深的、多樣化的手段。
由于傳統防火墻存在缺陷,引發了入侵檢測IDS(Intrusion Detection System)的研究和開發。入侵檢測是防火墻之后的第二道安全閘門,是對防火墻的合理補充,在不影響網絡性能的情況下,通過對網絡的監測,幫助系統對付網絡攻擊,擴展系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應),提高信息安全基礎結構的完整性,提供對內部攻擊、外部攻擊和誤操作的實時保護。現在,入侵檢測已經成為網絡安全中一個重要的研究方向,在各種不同的網絡環境中發揮重要作用。
2 入侵檢測
2.1 入侵檢測
入侵檢測是通過從計算機網絡系統中的若干關鍵點收集信息并對其進行分析,從中發現違反安全策略的行為和遭到攻擊的跡象,并做出自動的響應。其主要功能是對用戶和系統行為的監測與分析、系統配置和漏洞的審計檢查、重要系統和數據文件的完整性評估、已知的攻擊行為模式的識別、異常行為模式的統計分析、操作系統的審計跟蹤管理及違反安全策略的用戶行為的識別。入侵檢測通過迅速地檢測入侵,在可能造成系統損壞或數據丟失之前,識別并驅除入侵者,使系統迅速恢復正常工作,并且阻止入侵者進一步的行動。同時,收集有關入侵的技術資料,用于改進和增強系統抵抗入侵的能力。
入侵檢測可分為基于主機型、基于網絡型、基于型三類。從20世紀90年代至今,英語論文 已經開發出一些入侵檢測的產品,其中比較有代表性的產品有ISS(Intemet Security System)公司的Realsecure,NAI(Network Associates,Inc)公司的Cybercop和Cisco公司的NetRanger。
2.2 檢測技術
入侵檢測為網絡安全提供實時檢測及攻擊行為檢測,并采取相應的防護手段。例如,實時檢測通過記錄證據來進行跟蹤、恢復、斷開網絡連接等控制;攻擊行為檢測注重于發現信息系統中可能已經通過身份檢查的形跡可疑者,進一步加強信息系統的安全力度。入侵檢測的步驟如下:
收集系統、網絡、數據及用戶活動的狀態和行為的信息
入侵檢測一般采用分布式結構,在計算機網絡系統中的若干不同關鍵點(不同網段和不同主機)收集信息,一方面擴大檢測范圍,另一方面通過多個采集點的信息的比較來判斷是否存在可疑現象或發生入侵行為。
入侵檢測所利用的信息一般來自以下4個方面:系統和網絡日志文件、目錄和文件中的不期望的改變、程序執行中的不期望行為、物理形式的入侵信息。
(2)根據收集到的信息進行分析
常用的分析方法有模式匹配、統計分析、完整性分析。模式匹配是將收集到的信息與已知的網絡入侵和系統誤用模式數據庫進行比較,從而發現違背安全策略的行為。
統計分析方法首先給系統對象(如用戶、文件、目錄和設備等)創建一個統計描述,統計正常使用時的一些測量屬性。測量屬性的平均值將被用來與網絡、系統的行為進行比較。當觀察值超出正常值范圍時,就有可能發生入侵行為。該方法的難點是閾值的選擇,閾值太小可能產生錯誤的入侵報告,閾值太大可能漏報一些入侵事件。
完整性分析主要關注某個文件或對象是否被更改,包括文件和目錄的內容及屬性。該方法能有效地防范特洛伊木馬的攻擊。
3 分類及存在的問題
入侵檢測通過對入侵和攻擊行為的檢測,查出系統的入侵者或合法用戶對系統資源的濫用和誤用。工作總結 根據不同的檢測方法,將入侵檢測分為異常入侵檢測(Anomaly Detection)和誤用人侵檢測(Misuse Detection)。
3.1 異常檢測
又稱為基于行為的檢測。其基本前提是:假定所有的入侵行為都是異常的。首先建立系統或用戶的“正常”行為特征輪廓,通過比較當前的系統或用戶的行為是否偏離正常的行為特征輪廓來判斷是否發生了入侵。此方法不依賴于是否表現出具體行為來進行檢測,是一種間接的方法。
常用的具體方法有:統計異常檢測方法、基于特征選擇異常檢測方法、基于貝葉斯推理異常檢測方法、基于貝葉斯網絡異常檢測方法、基于模式預測異常檢測方法、基于神經網絡異常檢測方法、基于機器學習異常檢測方法、基于數據采掘異常檢測方法等。
采用異常檢測的關鍵問題有如下兩個方面:
(1)特征量的選擇
在建立系統或用戶的行為特征輪廓的正常模型時,選取的特征量既要能準確地體現系統或用戶的行為特征,又能使模型最優化,即以最少的特征量就能涵蓋系統或用戶的行為特征。(2)參考閾值的選定
由于異常檢測是以正常的特征輪廓作為比較的參考基準,因此,參考閾值的選定是非常關鍵的。
閾值設定得過大,那漏警率會很高;閾值設定的過小,則虛警率就會提高。合適的參考閾值的選定是決定這一檢測方法準確率的至關重要的因素。
由此可見,異常檢測技術難點是“正常”行為特征輪廓的確定、特征量的選取、特征輪廓的更新。由于這幾個因素的制約,異常檢測的虛警率很高,但對于未知的入侵行為的檢測非常有效。此外,由于需要實時地建立和更新系統或用戶的特征輪廓,這樣所需的計算量很大,對系統的處理性能要求很高。
論文關鍵詞:計算機網絡安全 入侵檢測技術
論文摘要:隨著計算機與網絡技術的不斷發展,網絡安全也日益受到人們越來越多的關注。防范網絡入侵、加強網絡安全防范的技術也多種多樣,其中入侵檢測技術以其低成本、低風險以及高靈活性得到了廣泛的應用,并且有著廣闊的發展前景。本文就入侵檢測技術在計算機網絡安全維護過程中的有效應用提出探討。
一、入侵檢測系統的分類
入侵檢測系統可以分為入侵檢測、入侵防御兩大類。其中入侵檢測系統是根據特定的安全策略,實時監控網絡及系統的運行狀態,盡量在非法入侵程序發起攻擊前發現其攻擊企圖,從而提高網絡系統資源的完整性和保密性。而隨著網絡攻擊技術的日益提高,網絡系統中的安全漏洞不斷被發現,傳統的入侵檢測技術及防火墻技術對這些多變的安全問題無法全面應對,于是入侵防御系統應運而生,它可以對流經的數據流量做深度感知與檢測,丟棄惡意報文,阻斷其攻擊,限制濫用報文,保護帶寬資源。入侵檢測系統與入侵防御系統的區別在于:入侵檢測只具備單純的報警作用,而對于網絡入侵無法做出防御;而入侵防御系統則位于網絡與防火墻的硬件設備中間,當其檢測到惡意攻擊時,會在這種攻擊開始擴散前將其阻止在外。并且二者檢測攻擊的方法也不同,入侵防御系統對入網的數據包進行檢查,在確定該數據包的真正用途的前提下,再對其是否可以進入網絡進行判斷。
二、入侵檢測技術在維護計算機網絡安全中的應用
(一)基于網絡的入侵檢測
基于網絡的入侵檢測形式有基于硬件的,也有基于軟件的,不過二者的工作流程是相同的。它們將網絡接口的模式設置為混雜模式,以便于對全部流經該網段的數據進行時實監控,將其做出分析,再和數據庫中預定義的具備攻擊特征做出比較,從而將有害的攻擊數據包識別出來,做出響應,并記錄日志。
1.入侵檢測的體系結構
網絡入侵檢測的體系結構通常由三部分組成,分別為Agent、Console以及Manager。其中Agent的作用是對網段內的數據包進行監視,找出攻擊信息并把相關的數據發送至管理器;Console的主要作用是負責收集處的信息,顯示出所受攻擊的信息,把找出的攻擊信息及相關數據發送至管理器;Manager的主要作用則是響應配置攻擊警告信息,控制臺所的命令也由Manager來執行,再把所發出的攻擊警告發送至控制臺。
2.入侵檢測的工作模式
基于網絡的入侵檢測,要在每個網段中部署多個入侵檢測,按照網絡結構的不同,其的連接形式也各不相同。如果網段的連接方式為總線式的集線器,則把與集線器中的某個端口相連接即可;如果為交換式以太網交換機,因為交換機無法共享媒價,因此只采用一個對整個子網進行監聽的辦法是無法實現的。因此可以利用交換機核心芯片中用于調試的端口中,將入侵檢測系統與該端口相連接。或者把它放在數據流的關鍵出入口,于是就可以獲取幾乎全部的關鍵數據。
3.攻擊響應及升級攻擊特征庫、自定義攻擊特征
如果入侵檢測系統檢測出惡意攻擊信息,其響應方式有多種,例如發送電子郵件、記錄日志、通知管理員、查殺進程、切斷會話、通知管理員、啟動觸發器開始執行預設命令、取消用戶的賬號以及創建一個報告等等。升級攻擊特征庫可以把攻擊特征庫文件通過手動或者自動的形式由相關的站點中下載下來,再利用控制臺將其實時添加至攻擊特征庫中。而網絡管理員可以按照單位的資源狀況及其應用狀況,以入侵檢測系統特征庫為基礎來自定義攻擊特征,從而對單位的特定資源與應用進行保護。
(二)對于主機的入侵檢測
通常對主機的入侵檢測會設置在被重點檢測的主機上,從而對本主機的系統審計日志、網絡實時連接等信息做出智能化的分析與判斷。如果發展可疑情況,則入侵檢測系統就會有針對性的采用措施。基于主機的入侵檢測系統可以具體實現以下功能:對用戶的操作系統及其所做的所有行為進行全程監控;持續評估系統、應用以及數據的完整性,并進行主動的維護;創建全新的安全監控策略,實時更新;對于未經授權的行為進行檢測,并發出報警,同時也可以執行預設好的響應措施;將所有日志收集起來并加以保護,留作后用。基于主機的入侵檢測系統對于主機的保護很全面細致,但要在網路中全面部署成本太高。并且基于主機的入侵檢測系統工作時要占用被保護主機的處理資源,所以會降低被保護主機的性能。
三、入侵檢測技術存在的問題
盡管入侵檢測技術有其優越性,但是現階段它還存在著一定的不足,主要體現在以下幾個方面:
第一:局限性:由于網絡入侵檢測系統只對與其直接連接的網段通信做出檢測,而不在同一網段的網絡包則無法檢測,因此如果網絡環境為交換以太網,則其監測范圍就會表現出一定的局限性,如果安裝多臺傳感器則又增加了系統的成本。
第二:目前網絡入侵檢測系統一般采有的是特征檢測的方法,對于一些普通的攻擊來說可能比較有效,但是一些復雜的、計算量及分析時間均較大的攻擊則無法檢測。
第三:監聽某些特定的數據包時可能會產生大量的分析數據,會影響系統的性能。
第四:在處理會話過程的加密問題時,對于網絡入侵檢測技術來說相對較難,現階段通過加密通道的攻擊相對較少,但是此問題會越來越突出。
第五:入侵檢測系統自身不具備阻斷和隔離網絡攻擊的能力,不過可以與防火墻進行聯動,發現入侵行為后通過聯動協議通知防火墻,讓防火墻采取隔離手段。
四、總結
現階段的入侵檢測技術相對來說還存在著一定的缺陷,很多單位在解決網絡入侵相關的安全問題時都采用基于主機與基于網絡相結合的入侵檢測系統。當然入侵檢測技術也在不斷的發展,數據挖掘異常檢測、神經網絡異常檢測、貝葉斯推理異常檢測、專家系統濫用檢測、狀態轉換分析濫用檢測等入侵檢測技術也越來越成熟。總之、用戶要提高計算機網絡系統的安全性,不僅僅要靠技術支持,還要依靠自身良好的維護與管理。
參考文獻:
[1]胥瓊丹.入侵檢測技術在計算機網絡安全維護中的應用[J].電腦知識與技術,2010,11
關鍵詞:掃描,權限后門,網絡攻擊
信息網絡和安全體系是信息化健康發展的基礎和保障。但是,隨著信息化應用的深入、認識的提高和技術的發展,現有信息網絡系統的安全性建設已提上工作日程。
入侵攻擊有關方法,主要有完成攻擊前的信息收集、完成主要的權限提升完成主要的后門留置等,下面僅就包括筆者根據近年來在網絡管理中有關知識和經驗,就入侵攻擊的對策及檢測情況做一闡述。論文大全。
對入侵攻擊來說,掃描是信息收集的主要手段,所以通過對各種掃描原理進行分析后,我們可以找到在攻擊發生時數據流所具有的特征。
1、利用數據流特征來檢測攻擊的思路
掃描時,攻擊者首先需要自己構造用來掃描的IP數據包,通過發送正常的和不正常的數據包達到計算機端口,再等待端口對其響應,通過響應的結果作為鑒別。我們要做的是讓IDS系統能夠比較準確地檢測到系統遭受了網絡掃描。考慮下面幾種思路:
(1)特征匹配
找到掃描攻擊時數據包中含有的數據特征,可以通過分析網絡信息包中是否含有端口掃描特征的數據,來檢測端口掃描的存在。如UDP端口掃描嘗試:content:“sUDP”等。
(2)統計分析
預先定義一個時間段,在這個時間段內如發現了超過某一預定值的連接次數,認為是端口掃描。
(3)系統分析
若攻擊者對同一主機使用緩慢的分布式掃描方法,間隔時間足夠讓入侵檢測系統忽略,不按順序掃描整個網段,將探測步驟分散在幾個會話中,不導致系統或網絡出現明顯異常,不導致日志系統快速增加記錄,那么這種掃描將是比較隱秘的。這樣的話,通過上面的簡單的統計分析方法不能檢測到它們的存在,但是從理論上來說,掃描是無法絕對隱秘的,若能對收集到的長期數據進行系統分析,可以檢測出緩慢和分布式的掃描。
2、檢測本地權限攻擊的思路
行為監測法、文件完備性檢查、系統快照對比檢查是常用的檢測技術。虛擬機技術是下一步我們要研究的重點方向。
(1)行為監測法
由于溢出程序有些行為在正常程序中比較罕見,因此可以根據溢出程序的共同行為制定規則條件,如果符合現有的條件規則就認為是溢出程序。行為監測法可以檢測未知溢出程序,但實現起來有一定難度,不容易考慮周全。行為監測法從以下方面進行有效地監測:一是監控內存活動,跟蹤內存容量的異常變化,對中斷向量進行監控、檢測。二是跟蹤程序進程的堆棧變化,維護程序運行期的堆棧合法性。以防御本地溢出攻擊和競爭條件攻擊。
監測敏感目錄和敏感類型的文件。對來自www服務的腳本執行目錄、ftp服務目錄等敏感目錄的可執行文件的運行,進行攔截、仲裁。對這些目錄的文件寫入操作進行審計,阻止非法程序的上傳和寫入。監測來自系統服務程序的命令的執行。對數據庫服務程序的有關接口進行控制,防止通過系統服務程序進行的權限提升。論文大全。監測注冊表的訪問,采用特征碼檢測的方法,阻止木馬和攻擊程序的運行。
(2)文件完備性檢查
對系統文件和常用庫文件做定期的完備性檢查。可以采用checksum的方式,對重要文件做先驗快照,檢測對這些文件的訪問,對這些文件的完備性作檢查,結合行為檢測的方法,防止文件覆蓋攻擊和欺騙攻擊。
(3)系統快照對比檢查
對系統中的公共信息,如系統的配置參數,環境變量做先驗快照,檢測對這些系統變量的訪問,防止篡改導向攻擊。
(4)虛擬機技術
通過構造虛擬x86計算機的寄存器表、指令對照表和虛擬內存,能夠讓具有溢出敏感特征的程序在虛擬機中運行一段時間。論文大全。這一過程可以提取與有可能被懷疑是溢出程序或與溢出程序相似的行為,比如可疑的跳轉等和正常計算機程序不一樣的地方,再結合特征碼掃描法,將已知溢出程序代碼特征庫的先驗知識應用到虛擬機的運行結果中,完成對一個特定攻擊行為的判定。
虛擬機技術仍然與傳統技術相結合,并沒有拋棄已知的特征知識庫。虛擬機的引入使得防御軟件從單純的靜態分析進入了動態和靜態分析相結合的境界,在一個階段里面,極大地提高了已知攻擊和未知攻擊的檢測水平,以相對比較少的代價獲得了可觀的突破。在今后相當長的一段時間內,虛擬機在合理的完整性、技術技巧等方面都會有相當的進展。目前國際上公認的、并已經實現的虛擬機技術在未知攻擊的判定上可達到80%左右的準確率。
3、后門留置檢測的常用技術
(1)對比檢測法
檢測后門時,重要的是要檢測木馬的可疑蹤跡和異常行為。因為木馬程序在目標網絡的主機上駐留時,為了不被用戶輕易發現,往往會采取各種各樣的隱藏措施,因此檢測木馬程序時必須考慮到木馬可能采取的隱藏技術并進行有效地規避,才能發現木馬引起的異常現象從而使隱身的木馬“現形”。常用的檢測木馬可疑蹤跡和異常行為的方法包括對比檢測法、文件防篡改法、系統資源監測法和協議分析法等。
(2)文件防篡改法
文件防篡改法是指用戶在打開新文件前,首先對該文件的身份信息進行檢驗以確保沒有被第三方修改。文件的身份信息是用于惟一標識文件的指紋信息,可以采用數字簽名或者md5檢驗和的方式進行生成。
(3)系統資源監測法
系統資源監測法是指采用監控主機系統資源的方式來檢測木馬程序異常行為的技術。由于黑客需要利用木馬程序進行信息搜集,以及滲透攻擊,木馬程序必然會使用主機的一部分資源,因此通過對主機資源(例如網絡、CPU、內存、磁盤、USB存儲設備和注冊表等資源)進行監控將能夠發現和攔截可疑的木馬行為。
(4)協議分析法
協議分析法是指參照某種標準的網絡協議對所監聽的網絡會話進行對比分析,從而判斷該網絡會話是否為非法木馬會話的技術。利用協議分析法能夠檢測出采取了端口復用技術進行端口隱藏的木馬。
參考文獻:
[1]張普兵,郭廣猛,廖成君.Internet中的電子欺騙攻擊及其防范[J].計算機應用,2001,21(1):32-34.
[2]蘇一丹,李桂.基于DFA的大規模入侵建模方法研究[J].計算機工程與應用,2003,39(28).
[3]蔣總禮,姜守旭.形式語言與自動機理論[M].北京:清華大學出版社,2003.
Abstract:This article simply introduces the current honeypot and honeynet technology, on the analysis of enrollment network security for college entrance examination, a high—concealment and high—safety honeypot system design scheme is put forward, and it is proved to be effective by experiment.
關鍵詞: 蜜罐;重定向;無縫環境切換;招生網絡安全
Key words: honeypot;redirection;seamless context switch;enrollment network security
中圖分類號:TP39 文獻標識碼:A 文章編號:1006—4311(2012)27—0190—02
1 研究背景
基于中國教育與科研計算機網(CERNET)的高考招生錄取是迄今為止世界上規模最大的網上招生錄取應用。對于網上招生錄取這種影響大、涉及面廣、關注度高的網絡應用而言,網絡的安全至關重要。前些年,浙江省高校招生網上錄取工作就曾遭受惡意攻擊。前車之鑒,后事之師,如何保證高校網上招生錄取現場的網絡安全、高效、穩定地運行成為我們面臨的課題。筆者根據近幾年來從事網上招生錄取網絡保障的實踐,吸取一些網絡保障專家們的經驗,對高校網上招生院校端錄取現場的網絡安全進行了研究,引入了一種優化的網絡安全保障方案。出于安全保密的原因,文中將某些具體細節隱去,但這并不影響本文的完整性。
目前防火墻是網絡上使用最多的安全設備,是網絡安全的重要基石。然而最近的調查顯示,防火墻的攻破率已經超過47%。傳統的老三樣,防火墻連同入侵檢測和殺病毒的技術在新的安全形勢下,顯得過時。
一些新興的技術在未來則可能成為保障網絡安全的重要手段,有一種稱為“蜜罐”(honeypot)的設備,則是要讓黑客誤以為已經成功侵入網絡,并且讓黑客繼續“為所欲為”,目的在于拖時間,以便網絡保安系統和人員能夠把黑客“抓住”。繼“蜜罐”之后,又出現了蜜網技術,盡管蜜網技術截今為止已經發展到了第三代,但蜜網系統“甜度”不高,安全性差的問題依然沒有得到完全解決。
2 現有蜜網技術的不足
攻擊者入侵到真實的系統中,必然留下一些記錄,現有的蜜場產品往往忽視這個細節,只簡單地將可疑流量重定向到誘騙環境當中,這時候,比較高級的攻擊者發現自己的記錄沒有了,會意識到自己處于誘騙環境中,于是退出而不再訪問誘騙環境,甚至會偽造一些虛假的信息迷惑和誤導管理員,從而使誘騙環境失效甚至會成為攻擊者所利用的工具。
不同于其它安全工具,誘騙系統并不只是收集信息的工具,而是充當攻擊的犧牲者。允許攻擊者進入誘騙系統,從而可以監控他們的行為,這是誘騙系統的特征之一,而誘騙系統的這一本質特征,也決定了其冒險性。而且隨著現在誘騙技術的發展,越來越多的人們意識到誘騙環境的重要性,已經出現了一些針對誘騙環境的探測工具。誘騙主機越多,冒險性就越大,尤其是將誘騙環境放置在網絡的核心位置。因此入侵誘騙技術就好比一把雙刃劍,能否降低其負面效應是入侵誘騙技術能否長期發展的關鍵。另一方面單一的入侵檢測方法無法滿足檢測日新月異的攻擊的需要。
3 HCHS蜜罐系統的結構
本研究在深入分析當前蜜罐與蜜網技術之后,針對隱蔽性和安全性不足的問題,引入無縫環境切換理論,并運用誤用檢測模式和異常檢測模式的進行兩次入侵檢測以及相應的兩次重定向,設計一個高隱蔽高安全性的新型蜜罐系統。
高隱蔽高安全性的蜜罐系統優化模型結構圖如下:
3.1 混合入侵檢測 誤用入侵檢測——在誤用入侵檢測中,假定所有入侵行為和手段都能夠表達為一種模式或特征,那么所有已知的入侵方法都可以用匹配的方法發現。誤用入侵檢測的關鍵是如何表達入侵的模式,把真正的入侵與正常行為區分開來。其優點是誤報少,局限性是它只能發現已知的攻擊,對未知的攻擊無能為力。
異常入侵檢測——在異常入侵檢測中,假定所有入侵行為都是與正常行為不同的,這樣,如果建立系統正常行為的軌跡,那么理論上可以把所有與正常軌跡不同的系統狀態視為可疑企圖。比如,通過流量統計分析將異常時間的異常網絡流量視為可疑。異常入侵檢測的局限是并非所有的入侵都表現為異常,而且系統的軌跡難于計算和更新。
對比這兩種檢測方法可以發現,異常檢測難于定量分析,這種檢測方式有一種固有的不確定性。與此不同,誤用檢測會遵循定義好的模式,能通過對審計記錄信息做模式匹配來檢測,但僅可檢測已知的入侵方式。所以這兩類檢測機制都不完美。本論文分別運用誤用入侵檢測和異常入侵檢測兩種方法對網絡及主機進行兩次入侵檢測并相應設置兩次重定向機制,誤用入侵檢測用基于網絡的IDS來實現,異常入侵檢測用基于主機的IDS來實現。這樣做可綜合兩種入侵檢測方法的優點,提高對惡意連接的檢測率,使系統的安全性得以增強。
【 關鍵詞 】 IPS;校園局域網;安全體系
Base on Intrusion Prevention System ‘s Research and Implementation in Campus network Security System
Lu Xu-xia
(Tongji University Shanghai 200092)
【 Abstract 】 In network security, intrusion prevention system is a defensive nature of the network security technology. It is in order to make up for the deficiency of network firewall and IDS. Different intrusion prevention system realization way is different. They are defensive. This article discusses the current campus network security risks, the IPS concept and classification, how to deploy the IPS in the campus networks, and the advantage of IPS.
【 Keywords 】 IPS;campus network;security system
0 引言
目前隨著計算機網絡的迅速發展,網絡給人們帶來了無限的方便和快捷,人們可以隨時隨地上網獲取信息。其中校園網是網絡中的一個重要組成部分。隨著網絡環境的逐漸復雜多變,各種入侵手段的層出不窮,如何保證校園網絡環境不受威脅,保證學生正常的學習使用,是我們漸漸要引起重視的一個課題。
1 目前校園局域網存在的安全隱患
目前校園網存在的安全隱患表現在多方面。如圖1所示。
校園網存在的安全隱患雖然眾多,但是歸類一下主要表現為幾大點。
a. 由系統或者應用軟件漏洞引起的安全隱患。Windows系統存在很多的系統安全漏洞,瀏覽器IE存在嚴重的安全漏洞,一些技術愛好者對黑客軟件的好奇,如一些系統漏洞探測工具等,盜號工具等很可能含有木馬程序的黑客工具,如校園使用的E-mail服務系統沒有任何安全管理和監控保護。
b. 由外部設備插入引起的安全隱患。如移動硬盤、U盤攜帶病毒的傳播。
c. 外部攻擊。黑客攻擊校園網等。
d. 人為因素。主要分為外部人員攻擊、學校安全管理部門安全意識淡薄、學生上網安全意識淡薄等。
校園網絡安全的形勢非常嚴峻,為解決以上安全隱患和漏洞,結合校園網特點和現今網絡安全的典型解決方案和技術,我們引入IPS技術來提高和保證校園安全。
2 IPS概述
2.1 IPS的概念
IPS是Intrusion Prevention System的縮寫,即入侵防御系統。位于防火墻和網絡的設備之間。這樣,如果檢測到攻擊,IPS會在這種攻擊擴散到網絡的其它地方之前阻止這個惡意的通信。一般來說,IPS系統都依靠對數據包的檢測。IPS將檢查入網的數據包,確定這種數據包的真正用途,然后決定是否允許這種數據包進入你的網絡。
2.2 IPS的分類
IPS主要分為三大類:對host的入侵防護、應用入侵防護和對Web的入侵防護。
對host的入侵防護HIPS: 這種入侵防護是將IPS軟件安裝在主機上,其軟件具有對主機的防護功能。一般的HIPS利用實時入侵檢測,網絡上的狀態包檢測,狀態包過濾等方式,可以防止非法進行用戶驗證、非法改動數據庫、防止緩沖區溢出等等的入侵。由于HIPS需要安裝到主機上,所以與主機上安裝的操作系統平臺緊密相關,不同的操作系統需要不同的IPS的軟件程序。
應用入侵防護AIPS:AIPS是在網絡鏈路層對網絡進行防御保護,由于其工作在鏈路層,所以和主機的操作系統平臺無關。它是在對主機的入侵防護基礎之上的位于應用服務器之前的網絡設備。未來的NIPS很有可能成為交換機的附加功能,對交換機功能進行進一步擴充,在交換機上就對數據包進行檢測和阻斷功能。這樣每一層的交換機都成了網絡保護的手段。
對Web的入侵防護NIPS:這種入侵防護通常設計成類似交換機的設備,提供了多個網絡端口,原因是NIPS需要實時在線,需要具備很高的性能,否則會成為網絡的瓶頸。NIPS是通過實時檢測網絡中的網絡流量來判斷網絡是否異常。NIPS使用在線連接各臺主機的方式,一旦發現有入侵活動,就立馬隔斷整個網絡的會話。
3 校園網中如何部署IPS
3.1 部署
既然IPS是在威脅進入網絡之前進行防御,所以我們一般需要在“前端”進行部署。如在校園網與外部網絡的入口處部署、重要服務器集群前端和校園網內部接入處部署等。
3.2 具體部署
校園局域網中有學生宿舍網絡、圖書館網絡、教學樓網絡、各種服務器如課件服務器、學分查詢系統、教師宿舍網絡。我們需要在這些網絡和外部網絡的接口處設置IPS。在IPS之后再安裝硬件防火墻,然后再連接到internet。其拓撲結構如圖2所示。
通過部署IPS來實現對內部網絡的整體網絡訪問的控制和流量的控制,尤其是限制P2P下載,實現網管級別防病毒;通過在互聯服務區的接口處部署入侵防御系統,實現對眾多服務器開放業務的更高級別深層防御。具體可以根據具體校園網絡的不同進行不同的部署。部署關鍵點是主要是與因特網的連接都對IPS進行部署。
2.3 對部署的IPS進行測試
我們需要對IPS進行多方面的測試,以保證IPS可以最大限度地保證網絡安全。主要有對IPS系統基本管理功能的測試,測試IPS的測試策略定義能力,測試IPS針對具體環境對入侵事件做進一步精確分析的能力,IPS系統軟件、攻擊特征升級能力等。我們主要對幾點測試進行詳細介紹。首先我們可以在真正部署IPS設備之前部署一個測試網絡。如圖3所示。
IPS系統基本管理功能的測試:
登錄控制管理端界面,查看其各組件的分布情況,如管理界面、報警顯示界面、數據庫、日志查詢界面等。配置多級管理模式,滿足控制臺―控制臺―控制臺―引擎的部署結構。添加多個虛擬引擎,看其是否有數量限制,查看可支持的其他組件。
測試IPS的測試策略定義能力:
打開策略管理菜單,自定義用戶策略user,針對http協議不同字段設置各種參數,打開新策略user,并定義某一條事件的響應方式,定義響應模板,將新模板應用到所有TCP協議事件中,導入導出策略等
測試IPS針對具體環境對入侵事件做進一步精確分析的能力:
在顯示中心的環境匹配信息設置中,配置好被攻擊機的相關信息,如主機名teacher、IP地址、操作系統類型,協議=TCP,端口=80,打開環境匹配報警窗口,從Windows攻擊機上采用GUI_UICODE工具對被攻擊機發起UNICODE攻擊,然后查看綜合顯示中心的報警情況。
4 校園局域網使用IPS的優勢
入侵防御系統的優勢有很多,與入侵檢測系統的爭論比較頗多。IPS的優點如表1所示。
5 總結
校園網絡的安全性越來越引起重視,入侵防御系統的介入,大大提高了校園局域網的安全性,也是一個新的研究課題,隨著校園網的告訴發展,入侵防御系統還會面臨新的挑戰,會根據新的安全問題不斷發展。
參考文獻
[1] 張龍. IPS入侵預防系統研究與設計[D].山東大學,2006年.
[2] 黃律,傅明,曾菲菲,宋丹.入侵檢測系統及其研究[J].電腦與信息技術,2004年01期.
[3] 羅桂瓊.基于協議分析的入侵檢測系統[J].電腦與信息技術,2005年04期.
[4] 梁琳,拾以娟,鐵玲.基于策略的安全智能聯動模型[J].信息安全與通信保密,2004,(2):35-37.
[5] 梅鋒.入侵防御系統研究 [期刊論文] .有線電視技術,2009(8).
關鍵詞:金融信息,網絡安全,保障體系,服務
1金融信息系統安全保障體系的總體構架
金融信息系統安全保障體系的總體構架有系統安全、物理安全、應用安全、網絡安全、和管理安全。畢業論文,網絡安全。
1.1金融信息系統的安全
系統安全指的就是網絡結構的安全和操作系統的安全,應用系統安全等等。畢業論文,網絡安全。網絡結構的安全就是指網絡拓撲沒有冗余的環路產生,線路比較暢通,結構合理。操作系統的安全就是指要采用較高的網絡操作系統,刪除一些不常用卻存在安全隱患的應用,對一些用戶的信息和口令要進行嚴格的把關和限制。應用系統的安全就是指只保留一些常用的端口號和協議,要嚴格的控制使用者的操作權限。在系統中要對系統有一些必要的備份和恢復,它是為了保護金融系統出現問題時,能夠快速的恢復,在金融系統在運行的過程中要對其內容進行備份。
1.2金融信息系統的物理安全
物理安全就是要保證整個網絡體系與信息結構都是安全的。物理安全主要涉及的就是環境的安全和設備的安全,環境安全主要就是防雷、防火、防水、等等,而設備的安全指的就是防盜、放干擾等等。
1.3金融信息系統的應用安全
金融信息系統的應用安全主要就是指金融信息系統訪問控制的需要,對訪問的控制采用不同的級別,對用戶級別的訪問授權也是不同。收集驗證數據和安全傳輸的數據都是對目前使用者的身份識別和驗證的重要步驟。而對于金融系統中數據資源的備份和恢復的機制也要采取相應的保護措施,在故障發生后第一時間恢復系統。
1.4金融信息系統的網絡安全
金融信息都是通過才能向外界的,而通過采取數據鏈路層和網絡層的加密來實現通信的保護,對網絡中重要信息進行保護。而對網絡進行入侵檢測也是必要的,通過信息代碼對進出的網段進行監控,來確保信息的安全性。畢業論文,網絡安全。對系統也要進行不定期的部件檢測,所是發現有漏洞要及時的進行補救。
1.5金融信息系統的安全管理
金融系統是一個涵蓋多方面的網絡,也運行著很多的網絡,對金融系統進行信息管理,就應該設置安全的管理中心,要集中的管理,嚴格的規定和確定明確的責任和控制,確保金融系統可靠的運行。
2金融信息系統安全保障的措施
2.1設置安全保障的措施
對于任何未經允許的策略都嚴格的禁止,系統允許訪問的都要經過眼的認證才能進入下一步,重要的金融信息要經加密的措施進行傳輸。要通過網絡安全策略對金融信息系統的網絡設置防火墻,用來保護各個金融節點的信息安全,允許授權用戶訪問局域網,允許授權用戶訪問該局域網內的特定資源;按業務和行政歸屬,在橫向和縱向網絡上通過采用MPLSVPN技術進行VPN劃分。
2.2使用安全技術和安全產品的措施
為了金融系統有個安全可靠運行環境,遵循金融系統的安全保障體系策略,要在金融信息系統中安裝一些安全技術和安全的產品。將金融信息系統劃分為不同的安全區域,每個區域都不同的責任和任務,對不同的區域要有不同的保護措施,即方便又增強了安全性。在金融想嘔吐中安裝一道防火墻,用來防止不可預見的事故,若是有潛在的破壞性的攻擊者,防火墻會起到一定的作用,對外部屏蔽內部的消息,以實現網絡的安全防護。應該在金融信息系統中設置入侵檢測系統,要對網絡的安全狀態進行定期的檢測,對入侵的事件進行檢測,對網絡進行全方位的保護。在金融信息系統中安裝防病毒的系統,對有可能產生的病源或是路徑進行相對應的配置防病毒的軟件,對金融信息系統提供一個集中式的管理,對反病毒的程序進行安裝、掃描、更新和共享等,將日常的金融信息系統的維護工作簡單化,對有可能侵入金融信息系統的病毒進行24小時監控,使得網絡免遭病毒的危害。定期的對金融信息系統進行安全評估,對系統中的工作站、服務器、交換機、數據庫一一的進行檢測評估,根據評估的結果,向系統提供報告。安全的評估與防火墻的入侵檢測是相互配合的,夠使網絡提供更高性能的服務。畢業論文,網絡安全。
2.3金融信息管理的安全措施
在管理的技術手段上,也要提高安全管理的水平。金融信息系統是相對比較封閉的,金融信息系統的安全是最重要的,業務邏輯與操作規范的嚴密是重中之重。因此對于金融信息系統的內部管理,加強領導班子對安全管理的體系,強化日常的管理制度嗎、,提升根本的管理層次。
2.3.1建立完善的組織機構
如今我國更加重視信息安全的發展,它可以促進經濟發展和維護社會的穩定。在金融信息系統的內部要建立安全管理小組,安全管理小組的任務就是要制定出符合金融發展的安全策略。管理小組由責任和義務維護好系統的安全和穩定。
2.3.2制定一系列的安全管理辦法和法規,主要就是抓住內網的管理,行為、應用等管理,進行內容控制和存儲管理。對每個設施都要有一套預案,并定期進行測試。畢業論文,網絡安全。
2.3.3 加強嚴格管理,加強登陸身份的認證,嚴格控制用戶的使用權限,對每個用戶都要進行信息跟蹤,為系統的審核提供保障。畢業論文,網絡安全。
2.3.4加強重視信息保護的等級,對金融信息系統中信息重點保護,對重要信息實施強制保護和強制性認證,以確保金融業務信息的安全。也要不斷的加強信息管理人才與安全隊伍的建設,加大對復合型人才的培養力度,通過各種會議、網站、廣播、電視、報紙等媒體加大信息安全普法和守法宣傳力度,提高全民信息安全意識,尤其是加強企業內部人員的信息安全知識培訓與教育,提高員工的信息安全自律水平。
3結語
隨著金融信息化的快速發展,金融信息系統的規模逐步擴大,金融信息資產的數量急劇增加,對網絡與信息系統實施安全保護已勢在必行。目前互聯網的應用還缺乏一定的安全措施,這樣就嚴重的影響和限制了金融系統通過網絡向外界提供服務的質量和種類。因此,各個金融信息系統都必須要采取一定的安全防護措施,構建一個安全的合理的金融信息系統。
參考文獻:
[1]盧新德.構建信息安全保障新體系:全球信息戰的新形勢與我國的信息安全戰略[M].北京:中國經濟出版社,2007.
[2]李改成.金融信息安全工程[M].北京:機械工業出版社,2010.
[3]方德英,黃飛鳴.金融業信息化戰略——理論與實踐[M].北京:電子工業出版社,2009.4.
【關鍵詞】IPS PDRR 入侵檢測
一、引言
目前計算機網絡融人到人類社會的方方面面, 與此同時計算機網絡本身的安全問題也日益嚴重。傳統上網絡系統的安全主要由防火墻和人侵檢測兩大支柱技術來保障, 這兩大技術對網絡系統的安全都曾經起到重大的作用, 為維護網絡系統的安全做出過巨大的貢獻。另一方面, 網絡攻擊技術也在不斷的發展, 出現了小分片攻擊、慢掃描、Ddos攻擊、加密攻擊等新的攻擊技術, 甚至還出現了專門攻擊防火墻與人侵檢測系統等網絡安全軟件的攻擊程序, 這一切都對傳統的網絡安全技術提出了挑戰, 對網絡安全技術的發展提出了新的要求。
同時, 防火墻和人侵檢測系統自身也存在一些固有的弱點, 使得自身的發展受到限制。如防火墻本身容易受到攻擊, 且對于內部網絡出現的問題經常束手無策。人侵檢測系統是保障網絡正常運行的重要工具, 具有識別人侵特征和安全審記等功能, 人侵檢測系統可以檢測出已知的和未知的人侵, 是一種主動式安全檢測技術。人侵檢測系統可以分為兩大類異常人侵檢測系統和誤用人侵檢測系統, 由于檢測誤差的存在, 異常人侵檢測系統會產生較高的誤報率, 從而產生大量的警報, 使真正的人侵信息淹沒在虛假的警報信息中而誤用人侵檢測系統會出現較高的漏報率, 不能檢測到未知的人侵同時, 由于人侵檢測系統必須要對網絡中所有通過的數據包進行檢測, 而檢測本身又是一個非常耗時的過程, 這就使得人侵檢測系統本身的負載量非常大, 導致檢測效率的下降和引起網絡性能的瓶頸另外, 人侵檢測系統雖然具有響應模塊, 但入侵檢測系統的響應技術的發展嚴重滯后, 大量的人侵信息不能夠自動處理, 必須要人工干預, 人工處理的速度很慢, 效果很差, 這也影響了人們對性能的信心。
目前第三種重要的網絡安全技術―入侵預防系統(IPS)已經產生。人侵預防系統(IPS)將會成為下一代的網絡安全技術。具備一定程度的智能處理功能, 能夠防御住未知的攻擊, 是一種比防火墻和更為主動的防御系統。
二、PDRR模型
傳統的網絡安全模型, 基本原理都是建立在基于權限管理的訪問控制理論基礎上的, 都是靜態的, 如Bell-Lapadula模型、Biba模型、信息流控制的格模型、Iris授權模型、數據隱藏模型、消息過濾模型等。但是隨著網絡的深人發展, 靜態的網絡安全模型已經不能適應當前的分布式、動態變化、發展迅速的網絡環境。針對日益嚴重的網絡安全問題和越來越突出的安全需求, 代表“ 動態安全模型” 的“PDRR模型” 應運而生。在研究信息安全及網絡戰防御理論的過程中, 美國國防部提出了信息保障的概念, 并給出了包含保護、檢測、響應3個環節的動態安全模型, 即P2DR模型, 后來又增加了恢復環節, 形成了PDRR模型。PDRR模型結構圖如圖:
PDRR模型是在整體的安全策略的控制和指導下, 綜合運用防護、檢測、響應、恢復四種工具, 全方位確保被保護系統的安全。首先利用防護工具對被保護系統提供基礎的防護同時, 利用檢測工具了解和評估系統的安全狀態通過適當的響應將系統調整到“ 最安全” 和“ 風險最低” 的狀態通過恢復操作將受到攻擊影響的系統恢復到原始的健康狀態。防護、檢測、響應和恢復組成了一個完整的、動態的安全循環周期。
安全策略是指在一個特定的環境里, 為保證提供一定級別的安全保護所奉行的基本思想、所遵循的基本原則。“ 可信計算機系統評估準則”TCSEC 中定義安全策略為“ 一個組織為、管理和保護敏感的信息資源而制定的一組法律、法規和措施的總和”。PDRR模型中, 安全策略已經從以前的被動保護轉到了主動防御。因此, PDRR的安全策略是對整個局部網絡實施的分層次、多級別的包括安全審計、人侵檢測、告警和修復等應急反應功能的實時處理系統策略。
三、結束語
IPS的發展是一個尋求在準確檢測攻擊的基礎上防御攻擊的過程, 是功能由單純審計跟蹤到審計跟蹤結合訪問控制的擴展, 實現了由被動防御過渡到主動防御, 并且將人侵檢測和訪問控制緊密融合。入侵防護系統IPS適時順應了安全保障體系中主動防御以及功能融合、集中管理的趨勢, 日益受到越來越多的人們的關注。本文針對聚類技術進行了相關的研究,首先給出了聚類的基本概念和相關的描述,說明了聚類分析技術的重要性。隨后針對相關的聚類分析方法進行了研究,分析了它們的特點和優、缺點。本章最后,給出了聚類分析的數學模型,研究了應用人工魚群計算技術解決聚類問題的思路和方法,同時針對該算法進行了相關的改進,使算法具有較好的全局收斂能力和計算效率。
雖然目前IPS的技術還不是很成熟, 但是隨著技術的發展和數據處理能力的提高, 技術將日益完善, 并必將在信息安全體系中起到越來越重要的作用。在未來, IPS可以采用一些更為先進的技術來提高系統的性能, 如并行處理檢測技術來提高檢測速度, 協議重組分析和事件關聯分析技術來進一步加大檢測的深度, 機器學習技術來提高自適應能力等, 以及進一步提高IPS的響應性能, 數據挖掘技術進一步提高網絡數據的應用價值, 使具備更高的智能性。IPS是網絡安全領域的一個新的衛士, 它的出現必將極大地增強網絡安全領域的實力, 開辟網絡安全領域發展的一個新的局面, 為互聯網提供更高層次的安全保障。
參考文獻:
[1] 于海濤,李梓,王振福,等.入侵檢測相關技術的研究[J].智能計算機與應用,2013.
