论文部分内容阅读
摘要:入侵检测系统作为网络安全监测中的重要防线,近年来已成为各国的研究热点,入侵检测与数据挖掘技术的结合已成为大势所趋。该文对网络安全中常见的入侵行为进行了分析与总结,并浅析了数据挖掘技术在入侵检测中的应用步骤,以及在每个步骤中应该完成的事项。
关键词:入侵行为;入侵检测;网络安全;数据挖掘
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2018)19-0004-02
1 引言
随着信息时代的来临,人们日常生活和工作已离不开网络的支持[1],但随之而来的互联网安全问题也成为现在人们关注的热点[2],用户信息的泄露、黑客的攻击、个人隐私的盗取、“钓鱼”网站的欺诈等问题都不断考验着网络的安全性能,传统的防火墙技术只能避免一类攻击的威胁[3],却不能防止从LAN内部的攻击,而入侵检测技术的出现很好地填补了主动防御的空缺,并弥补了传统防火墙技术的缺陷[4]。
我国对入侵检测技术的研究相对国外较晚,目前处于初期起步阶段,2001年清华大学发布了我国第一个分布式入侵检测系统DCIDS,随后南京大学、哈工大、哈理工等都先后投入到入侵检测系统的研究[5],它可以主动地检测内部和外部非法攻击以及误操作等内容,针对网络安全问题,高性能的入侵检测系统有利于组建更加完善的安全防御体系。
2 常见入侵行为
入侵行为主要是指对网络信息通过技术手段进行收集、分析以及整理后,对所发现的系统漏洞与弱点,有针对性地对服务器、安全设备以及网络设备等目标系统进行资源入侵与攻击,或者是机密信息的盗取、监视与控制等活动。
2.1 拒绝服务攻击行为
拒绝服务攻击DoS(Denial of Service)是通过利用合理的服务请求来非法占用尽可能多的共享服务资源,压垮服务计算机,导致合法的用户没有办法及时获得服务响应,系统运行变得缓慢,甚至瘫痪,拒绝服务攻击是一种最易于实施的攻击行为,且效果明显,防范起来有一定难度,而在此基础上出现的DDoS(Distubuted Denial of Service,分布式拒绝服务)攻击,防范难度更高,常见的攻击有死亡之ping(ping of death)、泪滴(teardrop)、UDP(UDPflood)、SNY洪水(SNYflood)、Land攻击、Fraggle攻击、电子邮件炸弹、畸形消息攻击等。简单的拒绝服务攻击安装了防火墙即可抵御,而分布式拒绝服务攻击是目前最难预防的网络攻击之一,防范方式也更加复杂,主要以预防为主,预防的主要方式有筛查系统漏洞、负载均衡、CDN流量清洗、分布式集群防御、系统资源优化、过滤不必要的服务和端口、限制特定流量、扩充带宽、使用硬件防火墙以及选用高性能设备等。
2.2 缓冲区溢出攻击行为
缓冲区溢出攻击是指攻击者通过将超过有限空间缓冲区容量的字符串写入缓冲区,由于缓冲区没有足够大的空间而发生的缓冲区溢出,缓冲区溢出可能会导致超长字符串将相邻存储单元覆盖掉,使得部分程序运行失败,甚至引起系统的崩溃,或者攻击者也有可能利用缓冲区溢出漏洞执行任意指令,严重的可能获得系统的特级权限,威胁系统安全。一般情况下,缓冲区溢出攻击的方法有三种,分别是在程序的地址空间里安排适当的代码、植入综合代码的流程控制以及将控制程序转移到攻击代码的形式。现阶段防范缓冲区溢出攻击的方法主要有正确的编写代码、数组边界的检查、程序指针完整性的检查以及非执行的缓冲区。
2.3 网络监听攻击行为
网络监听是指当数据在网络中进行传播的时候,尤其是个人隐私以及机密信息等,通过工具可将网络接口设置成为有监听的模式,设置后便可将正在网络中传播的数据捕获到或者截获,然后便可加以攻击。目前防范网络监听的措施主要有使用反监听工具进行检测、对网络进行逻辑或物理的分段以及使用加密技术等。
2.4 IP地址欺骗攻击行为
IP地址欺骗攻击是指利用TCP/IP协议本身存在的某些缺陷,对行动产生的IP数据包为伪造的源IP地址,也就是伪造他人的源IP地址。IP地址欺骗攻击也是常见的黑客攻击形式之一,攻击者使被信任关系的主机网络暂时瘫痪,同时对目标主机某个端口发出的TCP序列号进行采样,并猜测它的数据序列号。之后伪装成为被信任主机,建立与目标主机基于地址验证的应用连接,这样就完成了IP地址欺骗攻击。防范IP地址欺骗攻击的方式主要有禁止建立基于IP地址的信任关系,而采用基于密码的认证机制、在路由器上对数据包进行监控、数据加密、使用IP安全协议等。
2.5 端口扫描攻击行为
端口扫描是指攻击者向某台目标计算机发送一组端口扫描消息,而一个端口就是一个潜在的入侵通道,通过端口扫描获取目标计算机所提供的计算机网络服务类型,一般情况下端口扫描有三个目的:一是识别目标计算机上正在运行的TCP或UDP服务;二是识别目标计算机是哪种类型的操作系统;三是识别某个应用程序或某个特定服务的版本号,利用这些信息来发现目标系统的安全漏洞,并加以攻击。防范端口扫描的策略主要有在防火墙上采用更严格的过滤规则、关闭闲置和有潜在危险的端口、为某些网络服务更改默认端口等。
2.6 口令攻击行为
口令是网络系统一种最常见、使用最方便、应用范围最广的证明身份的“信物”。网络系统利用口令来验证用户身份、确定用户权限、实施访问控制。口令攻击是指攻击者通过非法方式获得口令,冒充合法用户侵入系统,夺取系统控制权的过程。它是攻击者最喜欢的网络攻击方式之一,也是进行网络攻击最基本、最重要、最有效的方式之一。防范网络攻击常用的措施主要有加強口令安全、检测和防止网络侦听。
2.7 计算机病毒攻击行为
计算机病毒攻击是指攻击者将具有损坏计算机功能或者破坏数据的代码或一组计算机指令植入计算机程序中,该代码或计算机指令具有自我复制功能,并能直接影响计算机的使用。它具有非授权可执行性、隐蔽性、潜伏性、破坏性、传染性、可触发性等特性。常见的计算机病毒主要有系统病毒、蠕虫病毒、木马病毒、脚本病毒、宏病毒、后门病毒以及玩笑病毒等。计算机病毒攻击的防范方法主要有安装杀毒软件、增强防火墙的过滤功能、及时为操作系统打补丁、关闭不常用的服务、不使用来历不明的存储设备以及不随便下载网络上的软件等。 2.8 电子邮件攻击行为
电子邮件攻击有两种类型,一种称之为邮件炸弹,指攻击者利用伪造的IP地址和邮件地址对目标邮箱发送数量巨大的垃圾邮件,而造成的网络流量长时间占用计算机处理器时间,过多消耗系统资源,严重时可导致系统瘫痪;另一种是邮件欺骗,指攻击者伪装成系统管理员,给用户发送虚假邮件要求用户更改口令,或者是所发送的邮件中含有带病毒的附件。邮件攻击的防范策略是使用安全电子邮件、实时监测电子邮件流量、在邮件服务器设置用户邮箱限额管理等。
2.9 网页攻击行为
网页攻击是指某些恶意网页通过含有安全漏洞的软件或系统操作平台,执行嵌入在网页HTML超本标记语言内的JavaApplet小应用程序、Javascript脚本语言程序、ActiveX软件部件交互技术支持可自动执行的代码程序,来强制执行修改用户操作系统的注册表及系统使用配置程序等操作,甚至达到非法占用系统资源、破坏数据、格式化硬盘、感染木马程序的意图。网页攻击方式有修改IE标题栏、浏览器默认首页被修改并且锁定设置项以及禁止使用注册表编辑器等。防范网页攻击的措施有安装杀毒软件、过滤指定网页、禁用运程注册表服务以及设定安全级别等。
3 数据挖掘技术在入侵检测中的研究
现有的防范网络入侵的方式都具有一定的局限性,且对网络安全分析人员的水平有一定要求。入侵检测通过检测系统的审计数据或网络数据包信息,来判断系统或网络是否受到攻击,然后做出相应的防护措施。其作为一种积极主动的安全防护技术具有很高的综合性,可对多种入侵行为进行检测,又由于其具有主动性,能够防止入侵行为的发生,减少或者有效避免入侵行为带来的不良后果。
数据挖掘技术在入侵检测领域的应用已成为入侵检测研究的发展趋势,网络及系统每时每刻都在产生着海量的与网络安全密切相关的数据,由于这些数据源极其分散并且数据格式多种多样使得入侵检测技术从简单的统计分析变化到如今的与数据挖掘技术的结合,入侵检测系统正朝着高检测率、低误报率的方向发展。
将数据挖掘技术应用到入侵检测研究中要经历六个阶段:⑴ 对网络安全问题进行定义,即入侵检测系统完成什么样的目标;⑵对网络和系统产生的与网络安全相关的数据进行数据理解,对数据源的数量、特征以及完整性等方面进行分析;⑶ 对经过初步处理的网络安全数据集进行数据清洗、数据融合、统一存储,形成一个更全面與准确度更高的综合性网络安全数据集;⑷ 网络安全模型的建立,即利用数据挖掘算法在网络安全数据集上建模,现阶段大量用于入侵检测系统方面的算法主要有支持向量机、关联算法、分类算法等;⑸ 对入侵检测系统中建立的网络安全监测模型进行评估,衡量所建模型监测的准确率等问题;⑹ 网络安全模型准确率达标后,可对其进行部署并开始使用。
4 结语
网络技术的发展日益成熟,伴随而来的是越来越严重的网络安全问题,通过分析常见的入侵行为后发现,数据挖掘技术与入侵检测系统的结合至关重要,可以在一定程度上帮助人们更好的防范入侵行为的发生并在入侵行为发生后快速做出应对措施。
参考文献:
[1] 张玲,白中英,谢康.动态疫苗接种的入侵检测侧方法[J].北京邮电大学学报,2014,37(Z):77.
[2] 解男男.机器学习方法在入侵检测中的应用研究[D].吉林大学,2015.
[3] 郭胜国,邢丹丹.入侵检测系统的方法研究[J].电脑编程技巧与维护,2016(4).
[4] Rao S,Gupta P.Implementing Improved Algorithm Over APRIORIData Mining Association Rule Algorithm 1[J].2012.
[5] 苏一丹,李桂.网络攻击的形式化建模探讨[J].计算机工程与应用,2004(23):135-136.
关键词:入侵行为;入侵检测;网络安全;数据挖掘
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2018)19-0004-02
1 引言
随着信息时代的来临,人们日常生活和工作已离不开网络的支持[1],但随之而来的互联网安全问题也成为现在人们关注的热点[2],用户信息的泄露、黑客的攻击、个人隐私的盗取、“钓鱼”网站的欺诈等问题都不断考验着网络的安全性能,传统的防火墙技术只能避免一类攻击的威胁[3],却不能防止从LAN内部的攻击,而入侵检测技术的出现很好地填补了主动防御的空缺,并弥补了传统防火墙技术的缺陷[4]。
我国对入侵检测技术的研究相对国外较晚,目前处于初期起步阶段,2001年清华大学发布了我国第一个分布式入侵检测系统DCIDS,随后南京大学、哈工大、哈理工等都先后投入到入侵检测系统的研究[5],它可以主动地检测内部和外部非法攻击以及误操作等内容,针对网络安全问题,高性能的入侵检测系统有利于组建更加完善的安全防御体系。
2 常见入侵行为
入侵行为主要是指对网络信息通过技术手段进行收集、分析以及整理后,对所发现的系统漏洞与弱点,有针对性地对服务器、安全设备以及网络设备等目标系统进行资源入侵与攻击,或者是机密信息的盗取、监视与控制等活动。
2.1 拒绝服务攻击行为
拒绝服务攻击DoS(Denial of Service)是通过利用合理的服务请求来非法占用尽可能多的共享服务资源,压垮服务计算机,导致合法的用户没有办法及时获得服务响应,系统运行变得缓慢,甚至瘫痪,拒绝服务攻击是一种最易于实施的攻击行为,且效果明显,防范起来有一定难度,而在此基础上出现的DDoS(Distubuted Denial of Service,分布式拒绝服务)攻击,防范难度更高,常见的攻击有死亡之ping(ping of death)、泪滴(teardrop)、UDP(UDPflood)、SNY洪水(SNYflood)、Land攻击、Fraggle攻击、电子邮件炸弹、畸形消息攻击等。简单的拒绝服务攻击安装了防火墙即可抵御,而分布式拒绝服务攻击是目前最难预防的网络攻击之一,防范方式也更加复杂,主要以预防为主,预防的主要方式有筛查系统漏洞、负载均衡、CDN流量清洗、分布式集群防御、系统资源优化、过滤不必要的服务和端口、限制特定流量、扩充带宽、使用硬件防火墙以及选用高性能设备等。
2.2 缓冲区溢出攻击行为
缓冲区溢出攻击是指攻击者通过将超过有限空间缓冲区容量的字符串写入缓冲区,由于缓冲区没有足够大的空间而发生的缓冲区溢出,缓冲区溢出可能会导致超长字符串将相邻存储单元覆盖掉,使得部分程序运行失败,甚至引起系统的崩溃,或者攻击者也有可能利用缓冲区溢出漏洞执行任意指令,严重的可能获得系统的特级权限,威胁系统安全。一般情况下,缓冲区溢出攻击的方法有三种,分别是在程序的地址空间里安排适当的代码、植入综合代码的流程控制以及将控制程序转移到攻击代码的形式。现阶段防范缓冲区溢出攻击的方法主要有正确的编写代码、数组边界的检查、程序指针完整性的检查以及非执行的缓冲区。
2.3 网络监听攻击行为
网络监听是指当数据在网络中进行传播的时候,尤其是个人隐私以及机密信息等,通过工具可将网络接口设置成为有监听的模式,设置后便可将正在网络中传播的数据捕获到或者截获,然后便可加以攻击。目前防范网络监听的措施主要有使用反监听工具进行检测、对网络进行逻辑或物理的分段以及使用加密技术等。
2.4 IP地址欺骗攻击行为
IP地址欺骗攻击是指利用TCP/IP协议本身存在的某些缺陷,对行动产生的IP数据包为伪造的源IP地址,也就是伪造他人的源IP地址。IP地址欺骗攻击也是常见的黑客攻击形式之一,攻击者使被信任关系的主机网络暂时瘫痪,同时对目标主机某个端口发出的TCP序列号进行采样,并猜测它的数据序列号。之后伪装成为被信任主机,建立与目标主机基于地址验证的应用连接,这样就完成了IP地址欺骗攻击。防范IP地址欺骗攻击的方式主要有禁止建立基于IP地址的信任关系,而采用基于密码的认证机制、在路由器上对数据包进行监控、数据加密、使用IP安全协议等。
2.5 端口扫描攻击行为
端口扫描是指攻击者向某台目标计算机发送一组端口扫描消息,而一个端口就是一个潜在的入侵通道,通过端口扫描获取目标计算机所提供的计算机网络服务类型,一般情况下端口扫描有三个目的:一是识别目标计算机上正在运行的TCP或UDP服务;二是识别目标计算机是哪种类型的操作系统;三是识别某个应用程序或某个特定服务的版本号,利用这些信息来发现目标系统的安全漏洞,并加以攻击。防范端口扫描的策略主要有在防火墙上采用更严格的过滤规则、关闭闲置和有潜在危险的端口、为某些网络服务更改默认端口等。
2.6 口令攻击行为
口令是网络系统一种最常见、使用最方便、应用范围最广的证明身份的“信物”。网络系统利用口令来验证用户身份、确定用户权限、实施访问控制。口令攻击是指攻击者通过非法方式获得口令,冒充合法用户侵入系统,夺取系统控制权的过程。它是攻击者最喜欢的网络攻击方式之一,也是进行网络攻击最基本、最重要、最有效的方式之一。防范网络攻击常用的措施主要有加強口令安全、检测和防止网络侦听。
2.7 计算机病毒攻击行为
计算机病毒攻击是指攻击者将具有损坏计算机功能或者破坏数据的代码或一组计算机指令植入计算机程序中,该代码或计算机指令具有自我复制功能,并能直接影响计算机的使用。它具有非授权可执行性、隐蔽性、潜伏性、破坏性、传染性、可触发性等特性。常见的计算机病毒主要有系统病毒、蠕虫病毒、木马病毒、脚本病毒、宏病毒、后门病毒以及玩笑病毒等。计算机病毒攻击的防范方法主要有安装杀毒软件、增强防火墙的过滤功能、及时为操作系统打补丁、关闭不常用的服务、不使用来历不明的存储设备以及不随便下载网络上的软件等。 2.8 电子邮件攻击行为
电子邮件攻击有两种类型,一种称之为邮件炸弹,指攻击者利用伪造的IP地址和邮件地址对目标邮箱发送数量巨大的垃圾邮件,而造成的网络流量长时间占用计算机处理器时间,过多消耗系统资源,严重时可导致系统瘫痪;另一种是邮件欺骗,指攻击者伪装成系统管理员,给用户发送虚假邮件要求用户更改口令,或者是所发送的邮件中含有带病毒的附件。邮件攻击的防范策略是使用安全电子邮件、实时监测电子邮件流量、在邮件服务器设置用户邮箱限额管理等。
2.9 网页攻击行为
网页攻击是指某些恶意网页通过含有安全漏洞的软件或系统操作平台,执行嵌入在网页HTML超本标记语言内的JavaApplet小应用程序、Javascript脚本语言程序、ActiveX软件部件交互技术支持可自动执行的代码程序,来强制执行修改用户操作系统的注册表及系统使用配置程序等操作,甚至达到非法占用系统资源、破坏数据、格式化硬盘、感染木马程序的意图。网页攻击方式有修改IE标题栏、浏览器默认首页被修改并且锁定设置项以及禁止使用注册表编辑器等。防范网页攻击的措施有安装杀毒软件、过滤指定网页、禁用运程注册表服务以及设定安全级别等。
3 数据挖掘技术在入侵检测中的研究
现有的防范网络入侵的方式都具有一定的局限性,且对网络安全分析人员的水平有一定要求。入侵检测通过检测系统的审计数据或网络数据包信息,来判断系统或网络是否受到攻击,然后做出相应的防护措施。其作为一种积极主动的安全防护技术具有很高的综合性,可对多种入侵行为进行检测,又由于其具有主动性,能够防止入侵行为的发生,减少或者有效避免入侵行为带来的不良后果。
数据挖掘技术在入侵检测领域的应用已成为入侵检测研究的发展趋势,网络及系统每时每刻都在产生着海量的与网络安全密切相关的数据,由于这些数据源极其分散并且数据格式多种多样使得入侵检测技术从简单的统计分析变化到如今的与数据挖掘技术的结合,入侵检测系统正朝着高检测率、低误报率的方向发展。
将数据挖掘技术应用到入侵检测研究中要经历六个阶段:⑴ 对网络安全问题进行定义,即入侵检测系统完成什么样的目标;⑵对网络和系统产生的与网络安全相关的数据进行数据理解,对数据源的数量、特征以及完整性等方面进行分析;⑶ 对经过初步处理的网络安全数据集进行数据清洗、数据融合、统一存储,形成一个更全面與准确度更高的综合性网络安全数据集;⑷ 网络安全模型的建立,即利用数据挖掘算法在网络安全数据集上建模,现阶段大量用于入侵检测系统方面的算法主要有支持向量机、关联算法、分类算法等;⑸ 对入侵检测系统中建立的网络安全监测模型进行评估,衡量所建模型监测的准确率等问题;⑹ 网络安全模型准确率达标后,可对其进行部署并开始使用。
4 结语
网络技术的发展日益成熟,伴随而来的是越来越严重的网络安全问题,通过分析常见的入侵行为后发现,数据挖掘技术与入侵检测系统的结合至关重要,可以在一定程度上帮助人们更好的防范入侵行为的发生并在入侵行为发生后快速做出应对措施。
参考文献:
[1] 张玲,白中英,谢康.动态疫苗接种的入侵检测侧方法[J].北京邮电大学学报,2014,37(Z):77.
[2] 解男男.机器学习方法在入侵检测中的应用研究[D].吉林大学,2015.
[3] 郭胜国,邢丹丹.入侵检测系统的方法研究[J].电脑编程技巧与维护,2016(4).
[4] Rao S,Gupta P.Implementing Improved Algorithm Over APRIORIData Mining Association Rule Algorithm 1[J].2012.
[5] 苏一丹,李桂.网络攻击的形式化建模探讨[J].计算机工程与应用,2004(23):135-136.