论文部分内容阅读
【文章摘要】
该课题论述了网络安全的必要性,设计并实现了入侵检测系统模型。入侵检测系统的实现可以对网络安全进行检测,及时发现入侵行为并发出警报,采取有效措施进行处理。该课题论述了网络入侵检测系统的组成模块及入侵信息检测技术,设计并实现了入侵检测系统模型。
【关键词】
入侵检测系统;网络;网络监测
1 入侵及入侵检测的定义
1.1入侵定义
入侵定义:在未经授权的情况下,通过网络蓄意访问信息、篡改信息等不良行为使资源的完整性、可用性、机密性遭到破坏。
1.2入侵检测定义
入侵检测:入侵检测是针对入侵行为的一种检测手段。入侵检测主要是针对计算机系统、网络中的某些关键点而言的,通过收集并分析所获得的信息来判断是否存在非法入侵现象。入侵检测系统能够有效地发现对信息系统的恶意攻击、试图篡改信息等非法行为,并采取措施阻止这种非法攻击,有效地防止恶意攻击的发生和扩大。
2 网络安全发展现状
随着网络技术的发展,它早已渗透到生活、军事、政治等多种领域。Internet的开放性、跨国性给人们带来便利的同时,也存在很大的安全隐患。网络安全对银行、军事等重要环节尤为重要。ISO对计算机系统安全做了如下定义:保护计算机的软、硬件及其数据,即使遭到偶然和蓄意攻击时,系统也不会遭到破坏、泄露、更改,以此来确保网络数据保密性、完整性。
现如今,常用的网络安全技术包括:访问控制、防火墙、数据加密、VPN虚拟专用网等。其中防火墙技术使用最为广泛,计算机互联网有三分之一受其保护,防火墙是Internet与内部网络之间的屏障,它起到过滤作用,只有合法的数据流才能通过防火墙,以此来确保系统的安权。网络管理者通过监管、控制网络访问者来进行网络访问。针对用户采用不同级别的系统访问权限,防治用户访问非法信息、网站等,确保信息、资源的安全性。数据加密技术可以将需要保密的重要信息通过加密转换成一些在外人看来没有意义的数据,想要得到原始数据只能用密码打开。VPN虚拟专用网是在两个通信点之间建立通道,将加密的传输数据封装在IP包中,数据不会被窃取盗用,适合用于远程操作。
3 组成入侵检测系统的模块
一般的入侵检测系统被分为以下几大模块:信息采集模块、入侵信息检测引擎、用户界面。有的系统可能还包括信息存储、安全知识库等模块,安全知识库可以提高完善安全检测,信息存储可以使数据分析能力得到提高。几大功能模块详情如下:
3.1信息采集模块
信息采集模块收集可能携带入侵行为的数据,确保系统、网络、数据等信息的安全。数据的采集设备是不同网段的传感器或者是不同主机的代理。过滤并预处理采集到的数据,并将数据送到入侵信息分析引擎,进行下一步处理。
3.2入侵信息检测引擎
将信息采集模块采集到的数据送到入侵信息检测引擎,计算机已经预先设定了算法,调用这些算法对数据进行分析,以此来判断是否有非法入侵操作并且进一步判断入侵行为属于何种类别。当引擎判断有入侵操作时就会产生一个警告信号并把信号传送到用户界面,网络管理人员通过界面显示的内容做出下一步处理。
3.3用户界面模块
通过用户界面可以清楚地看到入侵信息检测引擎检测到的入侵信号,方便管理员对入侵行为的排查、处理工作的开展。
4 入侵分析技术
入侵信息分析引擎是入侵检测系统的核心,该课题针对入侵信息分析引擎技术做了详细的论述。入侵信息引擎技术主要包括异常检测、误用检测。
4.1误用检测
误用检测是将已知的非法攻击的特征提取出来,并将这些特征收集到特征数据库进行整合管理,当检测到的入侵模式与数据库中存储的非法入侵行为相匹配时,判断系统出现非法入侵性行为。这种误用检测具有判断正确率高、漏报率也高的特点,因为很多入侵行为难以建立入侵模型,无法收入到数据库中,另外还有很多入侵是无法预估的,致使很多入侵行为无法囊括到数据库中,所以误用检测漏报率较高。
4.2异常检测
异常检测是通过检测用户行为、资源的使用情况,以此来判断是否有非法入侵行为的发生。异常检测可以检测到未曾出现过的非法入侵行为,但是这种检测具有准确率低的缺点,很有可能导致误检,因为这种不依赖具体模式进行判断的检测,针对改变频繁的数据、资源、行为等,它没有一个固定的界限划分正常、非正常的范围。
入侵分析引擎通过采用误用检测、异能检测相结合的方式评判是否发生入侵行为,另外针对数据不同类型采取不同的检测技术,用异能检测技术来检测系统日志,用误用检测技术检测网络的数据包。
5 入侵检测系统的设计
针对入侵检测系统的的三大模块进行了详细的设计:
5.1信息采集
根据数据的来源,信息采集模块被分成网络信息采集、调用系统采集、系统日志监控三个模块。网络信息采集模块可以采集网络的IP通信数据。调用系统采集模块用来采集系统调用的序列号。日志监控系统可以实时监控某些关键日志。
5.2入侵信息分析引擎
针对不同的数据源采取不同的方式分析处理,所以入侵信息分析系统设计了不同的数据分析引擎进行数据的分析。入侵信息分析引擎可以被分成网络信息分析引擎、系统调用分析引擎、用户分析引擎。网络信息分析引擎可以检测系统是否发生非法攻击,其中攻击被分成分布式攻击、探测攻击、拒绝服务攻击三种。系统调用分析引擎分析针对的是系统的子程序,当发现系统调用子程序时发生异常,判断发生入侵行为。用户界面分析引擎针对的是内部,当用户出现越权行为时,用户分析引擎对其进行检测。
5.3入侵警告与用户界面
在入侵信息分析引擎判断系统发生了入侵行为之后,就会向用户界面发送一个预警信号,网络管理员通过可视化的用户界面即可方便快速的得到报警信号。在该课题设计的系统中将报警信号分为了几个等级。一级红色警报规定为入侵信息分析引擎肯定此时产生了非法入侵行为;二级黄色警报规定了入侵信息分析引擎判断可能发生了入侵行为;另外出现一些轻度异常现象,将检测到的信息存入到入侵检测系统的日志中,方便网络管理员以后的检查。一级、二级警报通过窗口完成,当出现此种警报时会向管理员弹出对话窗,其内容包括判断结论和一些与入侵相关的信息,方便管理员的分析判断。
6 总结
目前的网络仍存在很多的安全隐患,该课题中我们设计并实现了入侵检测系统的模型,实现较为完整的保护功能,入侵检测系统是网络安全的一个重要分支,还需要进一步得到完善。
【参考文献】
[1]刘伟.基于移动代理的事业单位网络入侵检测系统的设计与实现[D].电子科技大学,2012.
[2]高亮.数据挖掘中贝叶斯算法在入侵检测中的应用[D].兰州交通大学,2013.
【作者简介】
宋伟,1984.10,男,西安人,本科,助理工程师,研究方向:入侵检测,数据挖掘。
该课题论述了网络安全的必要性,设计并实现了入侵检测系统模型。入侵检测系统的实现可以对网络安全进行检测,及时发现入侵行为并发出警报,采取有效措施进行处理。该课题论述了网络入侵检测系统的组成模块及入侵信息检测技术,设计并实现了入侵检测系统模型。
【关键词】
入侵检测系统;网络;网络监测
1 入侵及入侵检测的定义
1.1入侵定义
入侵定义:在未经授权的情况下,通过网络蓄意访问信息、篡改信息等不良行为使资源的完整性、可用性、机密性遭到破坏。
1.2入侵检测定义
入侵检测:入侵检测是针对入侵行为的一种检测手段。入侵检测主要是针对计算机系统、网络中的某些关键点而言的,通过收集并分析所获得的信息来判断是否存在非法入侵现象。入侵检测系统能够有效地发现对信息系统的恶意攻击、试图篡改信息等非法行为,并采取措施阻止这种非法攻击,有效地防止恶意攻击的发生和扩大。
2 网络安全发展现状
随着网络技术的发展,它早已渗透到生活、军事、政治等多种领域。Internet的开放性、跨国性给人们带来便利的同时,也存在很大的安全隐患。网络安全对银行、军事等重要环节尤为重要。ISO对计算机系统安全做了如下定义:保护计算机的软、硬件及其数据,即使遭到偶然和蓄意攻击时,系统也不会遭到破坏、泄露、更改,以此来确保网络数据保密性、完整性。
现如今,常用的网络安全技术包括:访问控制、防火墙、数据加密、VPN虚拟专用网等。其中防火墙技术使用最为广泛,计算机互联网有三分之一受其保护,防火墙是Internet与内部网络之间的屏障,它起到过滤作用,只有合法的数据流才能通过防火墙,以此来确保系统的安权。网络管理者通过监管、控制网络访问者来进行网络访问。针对用户采用不同级别的系统访问权限,防治用户访问非法信息、网站等,确保信息、资源的安全性。数据加密技术可以将需要保密的重要信息通过加密转换成一些在外人看来没有意义的数据,想要得到原始数据只能用密码打开。VPN虚拟专用网是在两个通信点之间建立通道,将加密的传输数据封装在IP包中,数据不会被窃取盗用,适合用于远程操作。
3 组成入侵检测系统的模块
一般的入侵检测系统被分为以下几大模块:信息采集模块、入侵信息检测引擎、用户界面。有的系统可能还包括信息存储、安全知识库等模块,安全知识库可以提高完善安全检测,信息存储可以使数据分析能力得到提高。几大功能模块详情如下:
3.1信息采集模块
信息采集模块收集可能携带入侵行为的数据,确保系统、网络、数据等信息的安全。数据的采集设备是不同网段的传感器或者是不同主机的代理。过滤并预处理采集到的数据,并将数据送到入侵信息分析引擎,进行下一步处理。
3.2入侵信息检测引擎
将信息采集模块采集到的数据送到入侵信息检测引擎,计算机已经预先设定了算法,调用这些算法对数据进行分析,以此来判断是否有非法入侵操作并且进一步判断入侵行为属于何种类别。当引擎判断有入侵操作时就会产生一个警告信号并把信号传送到用户界面,网络管理人员通过界面显示的内容做出下一步处理。
3.3用户界面模块
通过用户界面可以清楚地看到入侵信息检测引擎检测到的入侵信号,方便管理员对入侵行为的排查、处理工作的开展。
4 入侵分析技术
入侵信息分析引擎是入侵检测系统的核心,该课题针对入侵信息分析引擎技术做了详细的论述。入侵信息引擎技术主要包括异常检测、误用检测。
4.1误用检测
误用检测是将已知的非法攻击的特征提取出来,并将这些特征收集到特征数据库进行整合管理,当检测到的入侵模式与数据库中存储的非法入侵行为相匹配时,判断系统出现非法入侵性行为。这种误用检测具有判断正确率高、漏报率也高的特点,因为很多入侵行为难以建立入侵模型,无法收入到数据库中,另外还有很多入侵是无法预估的,致使很多入侵行为无法囊括到数据库中,所以误用检测漏报率较高。
4.2异常检测
异常检测是通过检测用户行为、资源的使用情况,以此来判断是否有非法入侵行为的发生。异常检测可以检测到未曾出现过的非法入侵行为,但是这种检测具有准确率低的缺点,很有可能导致误检,因为这种不依赖具体模式进行判断的检测,针对改变频繁的数据、资源、行为等,它没有一个固定的界限划分正常、非正常的范围。
入侵分析引擎通过采用误用检测、异能检测相结合的方式评判是否发生入侵行为,另外针对数据不同类型采取不同的检测技术,用异能检测技术来检测系统日志,用误用检测技术检测网络的数据包。
5 入侵检测系统的设计
针对入侵检测系统的的三大模块进行了详细的设计:
5.1信息采集
根据数据的来源,信息采集模块被分成网络信息采集、调用系统采集、系统日志监控三个模块。网络信息采集模块可以采集网络的IP通信数据。调用系统采集模块用来采集系统调用的序列号。日志监控系统可以实时监控某些关键日志。
5.2入侵信息分析引擎
针对不同的数据源采取不同的方式分析处理,所以入侵信息分析系统设计了不同的数据分析引擎进行数据的分析。入侵信息分析引擎可以被分成网络信息分析引擎、系统调用分析引擎、用户分析引擎。网络信息分析引擎可以检测系统是否发生非法攻击,其中攻击被分成分布式攻击、探测攻击、拒绝服务攻击三种。系统调用分析引擎分析针对的是系统的子程序,当发现系统调用子程序时发生异常,判断发生入侵行为。用户界面分析引擎针对的是内部,当用户出现越权行为时,用户分析引擎对其进行检测。
5.3入侵警告与用户界面
在入侵信息分析引擎判断系统发生了入侵行为之后,就会向用户界面发送一个预警信号,网络管理员通过可视化的用户界面即可方便快速的得到报警信号。在该课题设计的系统中将报警信号分为了几个等级。一级红色警报规定为入侵信息分析引擎肯定此时产生了非法入侵行为;二级黄色警报规定了入侵信息分析引擎判断可能发生了入侵行为;另外出现一些轻度异常现象,将检测到的信息存入到入侵检测系统的日志中,方便网络管理员以后的检查。一级、二级警报通过窗口完成,当出现此种警报时会向管理员弹出对话窗,其内容包括判断结论和一些与入侵相关的信息,方便管理员的分析判断。
6 总结
目前的网络仍存在很多的安全隐患,该课题中我们设计并实现了入侵检测系统的模型,实现较为完整的保护功能,入侵检测系统是网络安全的一个重要分支,还需要进一步得到完善。
【参考文献】
[1]刘伟.基于移动代理的事业单位网络入侵检测系统的设计与实现[D].电子科技大学,2012.
[2]高亮.数据挖掘中贝叶斯算法在入侵检测中的应用[D].兰州交通大学,2013.
【作者简介】
宋伟,1984.10,男,西安人,本科,助理工程师,研究方向:入侵检测,数据挖掘。