入侵检测在计算机安全防护中的应用(1)

来源 :计算机光盘软件与应用 | 被引量 : 0次 | 上传用户:dxc717
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  摘要:本文首先对计算机网络安全进行了分析,指出了网络安全的主要防护措施以及其不足之处。而入侵检测技术就是有益的补充,然后进一步对入侵检测的技术进行了概述,给出了入侵检测在计算机安全防护中应用的实例,给出了算法框架,以及运行结果。
  关键词:计算机网络;计算机安全;入侵检测;程序开发
  中图分类号:TN915.08 文献标识码:A文章编号:1007-9599 (2010) 04-0000-02
  Application of Intrusion Detection in Computer Security Protection
  Yin Xiaogui
  (Guangzhou University,Software&Engineering College,Conghua510990,China)
  Abstract:This paper firstly analyzed the computer network security.It pointed out the main network security protection measures and their shortcomings.Intrusion detection technology is a beneficial supplement,Further more,it made a summarise of intrusion detection technology and application examples are given about intrusion detection in computer security protection.Some operation result and algorithm framework were disscussed.
  Keywords:Computer network;Computer security;Intrusion detection;Program development
  网络技术,特别是Intenret的发展极大地促进了社会信息化的发展,人们的生活、工作和学习等己经越来越离不开Internet。但是由于Internet本身设计上的缺陷以及其具有的开放性,使其极易受到攻击,给互联网的信息资源带来了严重的安全威胁。一个安全的计算机信息系统至少需要满足以下三个要求,即数据的机密性、完整性和服务的可用性。为了能够实现这种计算机信息系统的安全性,那么计算机安全软件就成了一个必不可少的工具。
  一、计算机网络安全
  (一)传统的计算机网络安全手段
  所以计算机系统的安全问题是一个关系到人类生活与生存的大事情,必须充分重视并设法解决它。如何确保网络系统不受黑客和工业间谍的入侵,已成为企事业单位健康发展所必需考虑和解决的重要问题。
  一般来说,传统的网络安全技术有:(1)功能强大的防火墙。“防火墙”技术是通过对网络作拓扑结构和服务类型上的隔离来加强网络安全的手段。它所保护的对象是网络中有明确闭合边界的一个网块,它的防范对象是来自被保护网块外部的对网络安全的威胁。(2)进行网络的合理分段与隔离控制。网络分段是保证安全的一项重要措施,同时也是一项基本措施,其指导思想在于将非法用户与网络资源相互隔离,从而达到限制用户非法访问的目的。(3)系统的设置与更新。关闭不需要的使用端口,及时的对操作系统漏洞进行更新。(4)木马与病毒防护软件的应用。安装功能强大的杀毒、除木马的软件,并且及时的对病毒库进行更新。它利用从服务器端获取的病毒码信息对本地工作站进行病毒扫描,并对发现的病毒采取相应措施进行清除。
  (二)传统方式的不足与入侵检测的必要性
  虽然已经有相当多的成熟技术被应用于增强计算机系统的安全性,但随着新应用特别是基于网络的新服务的层出不穷,这些传统的静态安全保障技术的有效性正受到日益严峻的挑战:由于信息安全知识的缺乏及管理上的松懈,再加上没有受过相关信息安全教育的用户数量的激增,各组织中计算机用户的密码通常设置得并不安全,简单的字典攻击就可以成功地破获相当一部分用户的密码,高强度的密码体系常常形同虚设;有效的报文鉴别技术如MDS算法,并没有在广大普通计算机用户中得到广泛使用,加上来自组织内部合法用户的攻击行为,计算机网络中所传输的信息的完整性通常也很成问题;拒绝服务攻击Dos,特别是由众多攻击者协同发动的分布式拒绝服务攻击田Dos,由于其攻击时所带来的巨大的数据流量,可以轻易地使被攻击的网络服务器软硬件系统过载,从而丧失服务能力,极大地威胁着信息系统。
  入侵检测系统具有比各类防火墙系统更高的智能,并可以对由用户局域网内部发动的攻击进行检测。同时,入侵检测系统可以有效地识别攻击者对各种系统安全漏洞进行利用的尝试,从而在破坏形成之前对其进行阻止。当检测到来自内外网络针对或通过防火墙的攻击行为,会及时响应,并通知防火墙实时阻断攻击源,从而进一步提高系统的抗攻击能力,更有效地保护网络资源,提高防御体系级别。
  二、入侵检测技术的发展概述
  入侵检测是提高网络安全性的新方法,其主要目的是检测系统或网络是否遭到攻击,是否有来自内部或外部的攻击者,如果有则应采取一定的反应措施。初期多以基于本机的入侵检测系统为主,即在每一主机上运行一个或多个代理程序。它以计算机主机作为日标环境,只考虑系统局部范围的用户,因此人人简化了检测任务。由入侵检测工具对主机的审计信息进行分析与检测,并报告安全或可疑事件。基于本机的入侵检测技术已经比较成熟,开发出的入侵检测系统也比较多,部分己形成了实用产品,例如Intrusion Detection公司的Kane SecurityMonitor, Trusted Information System公司的Stalk。
  日前,基于网络的入侵检测系统的商业化产品较多,多为基于网络关键结点(如防火墙、路由器等)进行检测,如Cisco公司的VetRangero基于主机的入侵检测系统需要在所有受保护的主机上都安装检测系统,配置费用高,所以实际应用较多的是网络型的入侵检测系统。但是高带宽网络、交换式网络、VLAN、加密传输的发展都对基于网络的入侵检测造成了很大限制,所以现在主流的基于网络的入侵检测系统是两者结合。基于网络的入侵检测系统的发展主要面向大型网络。目前国内只有少数的网络入侵检测软件,相关领域的系统研究也刚刚起步,与外国尚有差距。
  三、漏洞扫描与入侵检测协作系统的应用
  (一)系统的基本原理
  本文应用漏洞扫描与入侵检测协作系统进行合作,来构建入侵检测系统。系统由中央控制器、用户界面及分布在各个子网中的扫描节点、检测节点组成,每个扫描节点负责扫描自己所在网段的主机及子网,从中发现安全漏洞并提出修补措施,从而避免了防火墙的访问限制,能够获得准确的扫描结果;各检测节点根据本节点的检测策略,对本子网或其它检测节点提供的系统数据进行分析,如果发现入侵,则根据相应的安全策略进行响应。
  (二)系统设置
  针对特定的攻击,设置攻击的源IP,端口,及子网掩码,目的IP,端口,及子网掩码,然后选择要拦截或放行的协议类型。每一次设置相当于一条记录,可以设置多条记录,攻击模式库即由这些记录共同构成。设置完攻击模式库后,点击install rule 实现库的安装。首先在CMainFrame类的OnRulesAdd()函数接收用户输入,并把设置的规则添加到文档类里面的的m_rules数组里面。
  (三)截包方案
  本部分采用应用层截包方案,即在驱动程序中截包,然后送到应用层处理的工作模式。程序工作在内核的话,稳定性/兼容性都需要大量测试,而且可供使用的函数库相对于应用层来说相当少。在应用层开发,调试修改相对要容易地多。在应用层工作,改变了工作模式,每当驱动程序截到数据,送到应用层处理后再次送回内核,再向上传递到IP协议。所以需要看到这样性能影响非常大,效率非常低。 不过由于台式机的网络负载相当小,不到100Mbps足以满足要求,尤其是主要用于上网等环境,网络连接的流量不到512Kbps,根本不用考虑性能因素。所以综合考虑各种因素,本部分决定采用应用层的截包方案。
  在设备程序开发包(DDK)中,微软包含一个新的命名为Filter-Hook Driver的网络驱动程序。可以用它建立一个函数来过滤所有所有通过这个接口的流量。System32\drivers目录下的IPFLTDRV.SYS是Microsoft提供的IP协议过滤驱动程序。它允许用户注册自己的IP数据报处理函数。本程序采用 DrvFltIp.sys 驱动程序实现IP协议过滤。其中回调函数是这类驱程的主体部分。DrvFltIp.sys IP过滤驱动程序使用这个过滤钩子来判断IP数据包的处理方式。
  (四)中央控制
  控制管理负责协调控制网络中的扫描节点和检测节点,包括:向节点发送控制指令及接收各节点的工作状态;负责对分布到网络上的各节点的数字签名及安全策略的配置;负责各检测节点间的负载均衡,如果某个检测节点的负载较重,则控制管理将该节点的一部任务分配到其它较空闲的检测节点。这里尤其需要进行通信管理,通信管理主要提供控制管理、数据融合与底层各个扫描节点、检测节点的通信通道。具体说来,控制管理可以通过通信管理给检测节点下达控制指令,同时通信管理也将各节点的执行情况返回给控制管理;数据融合可以通过通信管理要求底层节点提供更多的事件记录信息,同时,通信管理负责将返回的记录提交给数据融合模块进行分析。通信管理负责中央控制器与各扫描节点、检测节点之间的认证,并采用通信加密体制完成信息和消息的传送。系统运行界面如下图所示。
  
  参考文献:
  [1]白以恩.计算机网络基础及应用[M].黑龙江:哈尔宾工业大学出版社,2003
  [2]韩东海,王超,李群.入侵检测系统实例剖析[M]。北京:清华大学出版社,2002
  [3]FISK M, VARGHESE G. An Analysis of Fast String Matching Applied,to Content-Based Forwarding and Intrusion Detection[R).University of California-San Diego,2002.
  作者简介:尹晓桂(1972-),男,江西,中教一级,研究方向,软件工程与开发,广州大学华软软件学院。
其他文献
摘要:随着宽带互联网业务的蓬勃发展,宽带用户逐年递增,已成为电信企业相互竞争的主要市场阵地,也是企业经营收入的主要增长点,如何找到宽带业务的市场切入点,发展新市场,稳定既有市场是目前电信行业针对宽带互联网发展的主要关注点,通过有效的营销组织,挖掘潜在市场是今后宽带业务发展的关键。  关键词:宽带业务;营销方案  中图分类号:TP393 文献标识码:A文章编号:1007-9599 (2010) 11
期刊
摘要:随着社会的不断发展进步,信息化程度越来越高。如何应用信息技术,提高教育信息化程度已经成为教育技术发展的主题。通过对教育技术的发展过程及现代教育技术应用的调查分析,进而揭示教育技术发展的内在原因,并对教学一体化系统进行深入的思考,提出教学一体化系统的建设思路。  关键词:教育;信息;技术;一体化  中图分类号:TP11 文献标识码:A文章编号:1007-9599 (2010) 11-0000-
期刊
摘要:随着计算机的普及,是人们日常学习和生活中不可或缺的重要工具,但是由于网络的开放性经常会有黑客或者病毒入侵,会给个人、企业和国家造成损失,甚至会威胁到国家的安全。本文通过对网络安全问题方面进行粗浅的分析,进而发表一些关于如何做好计算机网络安全维护的浅见。  关键词:计算机;网络安全;维护  中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2010) 11-0000-
期刊
摘要:《汇编语言》是计算机专业一门重要的专业课,由于其自身的特点,导致在教学中出现效果不理想的局面。本文讨论了该课程难教、难学的原因,给出了在教学中的三点建议:理论教学形象化、紧密结合实践、解决实际问题。  关键词:汇编语言;理论教学形象化;紧密结合实践;解决实际问题  中图分类号:TP313-4文献标识码:A文章编号:1007-9599 (2010) 11-0000-01  Teaching D
期刊
摘要:依托高职高专计算机专业面临着自身生源减少和普通本科院校计算机科学与技术专业转型应用型人才培养的双重压力。探讨作为教学的管理者——领导,以及教学的主要参与者——教师和学生,该如何寻求发展出路!  关键字:科学发展观;校中厂;厂中校;创新  中图分类号:TP399文献标识码:A文章编号:1007-9599 (2010) 11-0000-01  Development of Vocational
期刊
摘要:新的课程标准对体育教学提出了新的要求,也使体育教师面临着许多挑战。信息技术给我们体育课提供了良好的操作平台,给传统的高中体育教学带来新变化。借助先进的信息技术应用于体育教学中,能激发学生对体育的兴趣,实现学生创新和实践能力的培养。  关键词:体育教学;信息技术;变化  中图分类号:G807.01 文献标识码:A文章编号:1007-9599 (2010) 11-0000-01  For Sp
期刊
摘要:在计算机专业课程教学中,Photoshop是非常重要的一门课程,恰当的教学方法和教学手段直接关系着教学效果和教学质量。本文阐述了笔者在Photoshop方面的一些教学经验,从多方面介绍了Photoshop的教学方法和手段,使学生能牢固的掌握这门软件。  关键词:Photoshop;教学;计算机;软件  The Teaching Method of Computer Application S
期刊
摘要:随着XX公司快速消费品规模的不断扩大,与竞争对手的竞争日趋加剧。XX公司随着销售团队和合作伙伴的不断增多,销售渠道也不断向纵深拓展,竞争早已不再是卖场中的你争我夺,早已转移为渠道和营销资源的抢夺之中。因此,及时了解销售情况,竞争对手状况,随时掌握合作伙伴的营销动态,快速进行营销活动的决策、审批和执行监控是XX公司必不可少的功课。涉及了XX公司销售管理,促销管理,渠道管理等XX公司营销核心管理
期刊
摘要:本文以盐城师范学院的学生资助管理为研究对象,进行充分的调查研究,分析该校的学生资助管理所存在的主要问题,在此基础上,研究构建学生资助管理系统的功能模块,设计出一套基于盐城师范学院的学生资助管理系统,并对系统的功能流程进行详细的设计与分析。  关键词:经济困难学生;资助管理系统;功能分析  中图分类号:TP311.52文献标识码:A文章编号:1007-9599 (2011) 03-0000-0
期刊
摘要:ARP欺骗攻击是近来网络行业普遍的现象,文章通过分析ARP协议,给出了ARP攻击防范的几种方法。  关键词:ARP协议;ARP病毒原理;防御手段;  中图分类号:TP309.5 文献标识码:A文章编号:1007-9599 (2010) 04-0000-02  The Killer Lead to Network Slow  ——ARP Virus  Chen Zhiyuan  (Qingha
期刊