论文部分内容阅读
【摘 要】近几年来,随着网络技术以及网络规模的不断扩大,此时对计算机系统的攻击已经是随处可见。现阶段,安全问题成为越来越多的人关注的重点。本文主要分析了入侵检测系统的功能、技术等情况。
【关键词】入侵检测 系统 研究情况
一、前言
目前的安全防护主要有防火墙等手段,但是由于防火墙本身容易受到攻击,并且内部网络中存在着一系列的问题,从而不能够发挥其应有的作用。面对这一情况,一些组织开始提出了通过采用更强大的主动策略以及方案来增强网络的安全性。其中一个最有效的解决方法那就是入侵检测。入侵检测采用的是一种主动技术,从而弥补防火墙技术的不足,并且也可以防止入侵行为。
二、入侵检测系统的概述
(一)入侵检测系统的具体功能
入侵检测就是要借助计算机和网络资源来识别以及响应一些恶意使用行为。检测的内容主要分为两个部分:外部的入侵行为、内部用户的未授权活动。然而入侵检测系统是由入侵检测的软件以及硬件这两个部分组成的。到现在为止,入侵检测成为继防火墙之后的第二道安全闸门。在网络安全体系中,入侵检测是成为一个非常重要的组成部分。总之,入侵检测的功能主要包括了以下几个功能:第一,对用户活动进行监测以及分析;第二,审计系统构造变化以及弱点;第三,对已知进攻的活动模式进行识别反映,并且要向相关人士报警;第四,统计分析异常行为模式,保证评估重要系统以及数据文件的完整性以及准确性;第五,审计以及跟踪管理操作系统。
(二)入侵检测系统的模型
在1987年正式提出了入侵检测的模型,并且也是第一次将入侵检测作为一种计算机安全防御措施提出来。入侵检测模型主要分为六个部分:第一部分,主体。主体就是指在目标系统上进行活动的实体,也就是一般情况下所说的用户。第二部分,对象。对象就是指资源,主要是由系统文件、设备、命令等组成的。第三部分,审计记录。在主体对象中,活动起着操作性的作用,然而对操作系统来说,这些操作包括了登陆、退出、读、写以及执行等。异常条件主要是指系统可以识别异常的活动,比如:违反系统读写权限。资源使用情况主要指的是在系统内部,资源的实际消耗情况。时间戳主要是指活动所发生的时间。第四部分,活动档案。活动档案就是指系统正常行为的模型,并且可以将系统正常活动的相关信息保存下来。第五部分,异常记录。异常记录主要是可以将异常事件的发生情况表现出来。第六部分,活动规则。活动规则主要是指通过一组异常记录来判断入侵是否发生在规划集合中。一般情况下,通过将系统的正常活动模型作为准则,并且要按照专家所提出的系统或者统计方法来分析以及处理审计记录,如果已经发生了入侵,那么此时就应该采用相应的处理措施。
(三)入侵检测系统的具体分类
通过研究现有的入侵检测系统,可以按照信息源的不同将入侵检测系统分为以下几类:
第一,以主机为基础的入侵检测系统。通过对主机的审计记录来进行监视以及分析,从而可以达到了入侵检测。这一监视主要发生在分布式、加密以及交换的环境中,从而可以判断出攻击是否发生。然而这一入侵检测系统存在着缺点,那就是该系统与具体操作系统平台有联系,从而很难将来自网络的入侵检测出来,并且会占有一定的系统资源。
第二,以网络为基础的入侵检测系统。通过采集在共享网段上对通信数据进行侦听,对存在的可疑现象进行分析。这一类系统不要严格审计主机,并且也不会占用主机的资源,并且可以为网络提供保护,并且也不会考虑到主机的架构。
三、入侵检测系统的结构化以及标准化
为了能够使得IDS产品、组件与其他安全产品之间的互操作性得以提高,此时入侵工作组开始发起制订一系列建议草案,并且从体系结构、API、通信机制以及语言格式等方面来对IDS的标准进行合理的规范。DARPA所提出的建议就是指公共入侵检测框架。
(一)1CIDF框架结构
为了能够对不同入侵检测系统的互操作性以及共存性进行解决,CIDF组织提出了一个入侵检测系统的通用框架模型,这一通用框架模型主要是由Denning 的模型演化而来的。现阶段,这一通用框架模型得到了广泛的应用。这一通用框架模型将这一入侵检测系统分为了以下几个组件:第一,事件产生器;第二,事件分析器;第三,响应单元;第四,事件数据库。CIDF将入侵检测系统需要分析的数据库称为事件,这一事件分为:网络中的数据包、系统日志以及审计记录等相关信息。事件产生器的功能那就是从整个计算机环境中来获得相关的事件,并且将此事件提供给系统的其他组件。事件分析器的作用就是对所得到的数据进行分析,并且要对所产生的结果进行分析。响应单元就是要针对分析结果做出了一定的反应,并且也可以做出切断连接、改变文件属性这一强烈反应,除此之外还可以进行简单的报警。事件数据库主要是由各种中间数据以及最终数据存放的地方,这些数据被称为复杂的数据库。CIDF框架想要通过统一的模块来对IDS进行划分,与此同时通过采用统一的入侵描述语言、描述IDS之间、IDS的各个部件之间的入侵信息的交换,从而可以促使在IDS之间实现协同工作。
(二)IDEF标准
在IDS系统组件之间需要通信,不同的厂商IDS系统之间中也存在着通信。目前,为了能够对入侵检测系统中缺乏统一的通信协议这一问题解决掉,入侵检测工作小组定义了一种通信格式,那就是IDEF,这一通信格式可以分为以下几个部分:第一,入侵检测消息交换格式,这一格式主要描述的是入侵检测系统将信息输出的一种数据模型,并且对使用这一模型的基本原理进行合理的解释。这一数据模型通过XML可以更好的实现,并且也设计了一个XML文档类型的定义。第二,入侵检测交换协议,这一协议是一个作用于入侵检测实体之间交换数据的应用层协议,并且主要运行在TCP之上的应用层协议,从而可以完成非结构文本以及二进制数据之间的交换,并且可以保证了协议之上的双方具有完整性以及保密性。第三,入侵警报协议,这一协议主要的作用就是入侵报警信息可以进行交换,并且主要运行在TCP上的应用层协议。
(三)分析
CIDF主要是以Denning模型发展起来的,通过提出了CIDF的标准,从而可以很好的解决以下几个问题:第一,IDS之间组件的共享问题,也就是一个IDS系统的组件可以被另一个IDS所使用;第二,数据共享的问题。通过提供一个标准的数据格式,从而在IDS中的各类数据可以进行传递以及共享;第三,对互用性标准进行完善,并且要建立一套开发接口以及支持工具,从而可以使得独立开发部分的构建能力得以提高。通过提出了IDEF的标准,从而可以解决入侵检测实体交换数据以及入侵检测系统与其他安全防护之间的通信问题。IDEF标准的提出可以为IDS之间组件以及IDS系统之间的通信提供了索引。现阶段,虽然还没有成为正式的标准,但是随着分布式IDS的不断发展,CIDF以及IDEF成为将来IDS的工业标准。
四、入侵检测系统的检测技术
从技术上来看,入侵可以分为以下两类:第一类,有特征的攻击,主要是指对已知系统中的系统弱点来进行常规性的攻击;第二类,异常攻击。然而入侵检测分为以下两类:第一类,以特征为基础的检测;第二类,以异常为基础的检测。
五、结束语
入侵检测主要是采用了一种主动的技术,从而可以有效的发现入侵行为以及合法用户滥用特权的行为,在网络安全体系中,入侵检测成为一个非常重要的组成部分。现阶段,入侵检测技术还处于研究以及发展的阶段,因此存在着一系列的问题。近几年来,人们对网络通信技术的安全性要求越来越高,因此相关的专家就要构建一个网络安全体系,从而保证了网络通信的安全性。
参考文献:
[1]谢树新.入侵检测系统在Linux网络中的分析与设计[J]计算机与网.2010(10):90-92.
[2]陈东红.王震宇.邓承志.分布式漏洞扫描系统的设计[J] 信息工程大学学报.2010(2):56-58.
[3]宋世杰.胡华平.胡笑蕾.关联规则和序列模式算法在入侵检测系统中的应用[J] 成都信息工程学院学报.2010(01):45-46.
【关键词】入侵检测 系统 研究情况
一、前言
目前的安全防护主要有防火墙等手段,但是由于防火墙本身容易受到攻击,并且内部网络中存在着一系列的问题,从而不能够发挥其应有的作用。面对这一情况,一些组织开始提出了通过采用更强大的主动策略以及方案来增强网络的安全性。其中一个最有效的解决方法那就是入侵检测。入侵检测采用的是一种主动技术,从而弥补防火墙技术的不足,并且也可以防止入侵行为。
二、入侵检测系统的概述
(一)入侵检测系统的具体功能
入侵检测就是要借助计算机和网络资源来识别以及响应一些恶意使用行为。检测的内容主要分为两个部分:外部的入侵行为、内部用户的未授权活动。然而入侵检测系统是由入侵检测的软件以及硬件这两个部分组成的。到现在为止,入侵检测成为继防火墙之后的第二道安全闸门。在网络安全体系中,入侵检测是成为一个非常重要的组成部分。总之,入侵检测的功能主要包括了以下几个功能:第一,对用户活动进行监测以及分析;第二,审计系统构造变化以及弱点;第三,对已知进攻的活动模式进行识别反映,并且要向相关人士报警;第四,统计分析异常行为模式,保证评估重要系统以及数据文件的完整性以及准确性;第五,审计以及跟踪管理操作系统。
(二)入侵检测系统的模型
在1987年正式提出了入侵检测的模型,并且也是第一次将入侵检测作为一种计算机安全防御措施提出来。入侵检测模型主要分为六个部分:第一部分,主体。主体就是指在目标系统上进行活动的实体,也就是一般情况下所说的用户。第二部分,对象。对象就是指资源,主要是由系统文件、设备、命令等组成的。第三部分,审计记录。在主体对象中,活动起着操作性的作用,然而对操作系统来说,这些操作包括了登陆、退出、读、写以及执行等。异常条件主要是指系统可以识别异常的活动,比如:违反系统读写权限。资源使用情况主要指的是在系统内部,资源的实际消耗情况。时间戳主要是指活动所发生的时间。第四部分,活动档案。活动档案就是指系统正常行为的模型,并且可以将系统正常活动的相关信息保存下来。第五部分,异常记录。异常记录主要是可以将异常事件的发生情况表现出来。第六部分,活动规则。活动规则主要是指通过一组异常记录来判断入侵是否发生在规划集合中。一般情况下,通过将系统的正常活动模型作为准则,并且要按照专家所提出的系统或者统计方法来分析以及处理审计记录,如果已经发生了入侵,那么此时就应该采用相应的处理措施。
(三)入侵检测系统的具体分类
通过研究现有的入侵检测系统,可以按照信息源的不同将入侵检测系统分为以下几类:
第一,以主机为基础的入侵检测系统。通过对主机的审计记录来进行监视以及分析,从而可以达到了入侵检测。这一监视主要发生在分布式、加密以及交换的环境中,从而可以判断出攻击是否发生。然而这一入侵检测系统存在着缺点,那就是该系统与具体操作系统平台有联系,从而很难将来自网络的入侵检测出来,并且会占有一定的系统资源。
第二,以网络为基础的入侵检测系统。通过采集在共享网段上对通信数据进行侦听,对存在的可疑现象进行分析。这一类系统不要严格审计主机,并且也不会占用主机的资源,并且可以为网络提供保护,并且也不会考虑到主机的架构。
三、入侵检测系统的结构化以及标准化
为了能够使得IDS产品、组件与其他安全产品之间的互操作性得以提高,此时入侵工作组开始发起制订一系列建议草案,并且从体系结构、API、通信机制以及语言格式等方面来对IDS的标准进行合理的规范。DARPA所提出的建议就是指公共入侵检测框架。
(一)1CIDF框架结构
为了能够对不同入侵检测系统的互操作性以及共存性进行解决,CIDF组织提出了一个入侵检测系统的通用框架模型,这一通用框架模型主要是由Denning 的模型演化而来的。现阶段,这一通用框架模型得到了广泛的应用。这一通用框架模型将这一入侵检测系统分为了以下几个组件:第一,事件产生器;第二,事件分析器;第三,响应单元;第四,事件数据库。CIDF将入侵检测系统需要分析的数据库称为事件,这一事件分为:网络中的数据包、系统日志以及审计记录等相关信息。事件产生器的功能那就是从整个计算机环境中来获得相关的事件,并且将此事件提供给系统的其他组件。事件分析器的作用就是对所得到的数据进行分析,并且要对所产生的结果进行分析。响应单元就是要针对分析结果做出了一定的反应,并且也可以做出切断连接、改变文件属性这一强烈反应,除此之外还可以进行简单的报警。事件数据库主要是由各种中间数据以及最终数据存放的地方,这些数据被称为复杂的数据库。CIDF框架想要通过统一的模块来对IDS进行划分,与此同时通过采用统一的入侵描述语言、描述IDS之间、IDS的各个部件之间的入侵信息的交换,从而可以促使在IDS之间实现协同工作。
(二)IDEF标准
在IDS系统组件之间需要通信,不同的厂商IDS系统之间中也存在着通信。目前,为了能够对入侵检测系统中缺乏统一的通信协议这一问题解决掉,入侵检测工作小组定义了一种通信格式,那就是IDEF,这一通信格式可以分为以下几个部分:第一,入侵检测消息交换格式,这一格式主要描述的是入侵检测系统将信息输出的一种数据模型,并且对使用这一模型的基本原理进行合理的解释。这一数据模型通过XML可以更好的实现,并且也设计了一个XML文档类型的定义。第二,入侵检测交换协议,这一协议是一个作用于入侵检测实体之间交换数据的应用层协议,并且主要运行在TCP之上的应用层协议,从而可以完成非结构文本以及二进制数据之间的交换,并且可以保证了协议之上的双方具有完整性以及保密性。第三,入侵警报协议,这一协议主要的作用就是入侵报警信息可以进行交换,并且主要运行在TCP上的应用层协议。
(三)分析
CIDF主要是以Denning模型发展起来的,通过提出了CIDF的标准,从而可以很好的解决以下几个问题:第一,IDS之间组件的共享问题,也就是一个IDS系统的组件可以被另一个IDS所使用;第二,数据共享的问题。通过提供一个标准的数据格式,从而在IDS中的各类数据可以进行传递以及共享;第三,对互用性标准进行完善,并且要建立一套开发接口以及支持工具,从而可以使得独立开发部分的构建能力得以提高。通过提出了IDEF的标准,从而可以解决入侵检测实体交换数据以及入侵检测系统与其他安全防护之间的通信问题。IDEF标准的提出可以为IDS之间组件以及IDS系统之间的通信提供了索引。现阶段,虽然还没有成为正式的标准,但是随着分布式IDS的不断发展,CIDF以及IDEF成为将来IDS的工业标准。
四、入侵检测系统的检测技术
从技术上来看,入侵可以分为以下两类:第一类,有特征的攻击,主要是指对已知系统中的系统弱点来进行常规性的攻击;第二类,异常攻击。然而入侵检测分为以下两类:第一类,以特征为基础的检测;第二类,以异常为基础的检测。
五、结束语
入侵检测主要是采用了一种主动的技术,从而可以有效的发现入侵行为以及合法用户滥用特权的行为,在网络安全体系中,入侵检测成为一个非常重要的组成部分。现阶段,入侵检测技术还处于研究以及发展的阶段,因此存在着一系列的问题。近几年来,人们对网络通信技术的安全性要求越来越高,因此相关的专家就要构建一个网络安全体系,从而保证了网络通信的安全性。
参考文献:
[1]谢树新.入侵检测系统在Linux网络中的分析与设计[J]计算机与网.2010(10):90-92.
[2]陈东红.王震宇.邓承志.分布式漏洞扫描系统的设计[J] 信息工程大学学报.2010(2):56-58.
[3]宋世杰.胡华平.胡笑蕾.关联规则和序列模式算法在入侵检测系统中的应用[J] 成都信息工程学院学报.2010(01):45-46.