论文部分内容阅读
摘要:目前企事业机关单位都已经将网络作为传输数据和交换信息的平台,许多部门在网络上构建了重要的业务流程,信息化网络可以有效提高企事业单位的运营效率。然而在获得这些利益的同时,由于计算机网络自身存在漏洞,所以很容易受到攻击,进而造成网络系统故障,使用户遭受重大损失。因此,计算机网络安全的地位日趋重要
关键词:信息化网络;数据库;IDS
1、民航东北地区空中交通管理局信息化网络的建设情况
民航东北空管局内部各单位根据业务的发展的需要都建立了各自相应的业务网络。民航东北地区局办公网以沈阳为中心,向下辐射到哈尔滨、大连、长春空管分局站,同时还链接到中国民用航空局空中交通管理局和其他地区分局。民航气象数据库系统是由民航气象中心和华北、华东、中南、西南、西北、东北六个区域中心及所属航站组成,各中心按规则进行资料的搜集、处理和转发,作为民航气象数据库系统的服务延伸,各地区中心都建立了各自气象信息服务平台,民航东北地区空管局气象服务平台在对相关用户提供服务中充当了重要的角色。随着业务的变化,需要气象信息和其他航空信息的用户需要的信息也在增加,由此也需要增加新的线路。为了避免不必要的线路开资,共享现有通信线路,将不同的业务融合在一个系统成为发展的需要,由此需要网络间进行互联。因此,为了保障网上业务正常运行,网络安全在网络设计和运行中的比重也在不断完善和深化。
2、入侵检测系统引入的必要性
入侵检测系统(Intrusion Detection Systems,IDS)是按照一定的安全策略对网络、系统的运行情况进行监视,尽可能发现各种攻击企图、攻击行为、和攻击结果,以保证网络系统资源的机密性、完整性、和可用性。
在威胁网络安全的因素中人为的主动破坏和误操作占据了主要。据统计,80%以上的入侵来自于内部。由于性能的限制,防火墙通常不能提供实时的入侵检测能力,对于企业内部人员所做的攻击,防火墙形同虚设。入侵检测系统(IDS)针对防火墙做了有益的补充,能够在入侵攻击对系统发生危害前,检测到入侵攻击,并能利用报警与防护系统驱逐入侵攻击;在入侵过程中,能减少入侵攻击所造成的损失;在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加到知识库内,增强系统的防范能力,避免系统再次受到入侵。IDS是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护,大大提高网络的安全性。
3、入侵检测系统的功能模块组成
根据通用入侵检测框架(CIDF)规范,IDS由数据采集子系统、数据分析子系统、控制台子系统、数据库管理子系统四个功能模块组成。在实际应用中,一般将数据采集子系统和数据分析子系统在UNIX或LINUX平台上实现,称为数据采集分析中心,它主要是搜集网络或主机上的信息并对这些信息进行分析,如果检测到攻击,立刻作出响应;将控制台子系统在WINDOWS平台上实现,数据库管理子系统集成在控制台子系统中,它可以接受实时报警,查询引擎中的数据,进行统计分析。
4、入侵檢测过程
入侵检测过程可以分为三个阶段:信息收集、信息分析、及告警与相应。
入侵检测的第一步是收集信息,包括系统、网络、数据以及用户活动的状态和行为等。而且需要在计算机网络的不同关键点收集信息。这样就可能扩大检测范围,而且从一个信息源收集到的信息可能看不出疑点,但是从几个信息源收集到的信息的不一致性却是可疑行为或入侵的最好标识。
信息分析的数据量非常庞大,且绝大部分是正常信息,只有很少一部分信息表征入侵的行为的发生,要从大量信息中找到表征入侵行为异常就需要对这些信息进行分析。可见,信息分析是入侵检测过程的核心环节,没有信息分析,入侵检测就无从谈起。入侵检测的信息分析方法很多,如模式匹配、统计分析、完整性分析等。每种方法都有各自的优缺点,也都有各自的应用对象和范围。
当入侵检测系统检测到攻击或时间以后,系统根据攻击和事件类型或性质,做出相应的告警与响应,即通知系统管理员系统正在遭受不良行为的入侵,或者采取一定的措施阻止入侵行为的继续。
IDS按检测对象和加载位置不同,可分为基于主机的IDS(HIDS)、基于网络IDS(NIDS)和混合型IDS。基于主机的IDS应安装于受保护的主机上,对攻击主机的行为作出响应,而基于网络的IDS应安装于网络信息集中通过的地方。综合部署两种IDS能够给网络带来更大的安全性。
5、入侵检测的发展趋势
将来的趋势是入侵检测系统高度分布式监控结构的使用。这种方法将使用许多具有不同定位策略的自主代理。每一个代理可以定位一个特定的事件类型、特征类型、平台或进程,可以有不同的策略来管理分析功能并反映功能的存放。最可能的是这样的代理和其它的信息源同时存在,并且可以被一个监督进程所管理。这个监督进程将把代理得到的数据与其它数据传感器得到相关数据关联起来,从而识别出细微的问题所在。
分布式监督和分布式体系结构也能很好的适应实现某些免疫系统的入侵检测方法。例如,许多代理都会检查系统,寻找接触关键文件的反常过程。每一个代理都按照一个特定的攻击特征来衡量进程的活动。如果一个代理发现了具有某种攻击特征的进程,他就会修改这个进程,也可以阻止这个进程的处理速度。由于这个进程会激发许多代理,每个代理都会使这个进程处理速度慢一点,所以这个进程的处理速度会慢到足以被人或某种代理记录下来,代理处理这个进程的信息并将其杀死。
随着当前网络带宽和节点速度的增长,入侵检测系统必须监控的原始资料也不断增长。这种情况使得有必要去收集和分析入侵检测系统的组件。原始资料可能超出了最经常使用的主机信息和网络信息的范围。可能发生的另一个趋势就是硬件版本的入侵检测系统和安全网络工具箱集成在一起。这种将定位于小型企业市场,以使客户能够处理与持续链接到INTERNET的安全问题。
参考文献
[1]清华大学出版社 作者韩东海,王超,李群
(作者单位:民航东北地区空中交通管理局 气象中心)
关键词:信息化网络;数据库;IDS
1、民航东北地区空中交通管理局信息化网络的建设情况
民航东北空管局内部各单位根据业务的发展的需要都建立了各自相应的业务网络。民航东北地区局办公网以沈阳为中心,向下辐射到哈尔滨、大连、长春空管分局站,同时还链接到中国民用航空局空中交通管理局和其他地区分局。民航气象数据库系统是由民航气象中心和华北、华东、中南、西南、西北、东北六个区域中心及所属航站组成,各中心按规则进行资料的搜集、处理和转发,作为民航气象数据库系统的服务延伸,各地区中心都建立了各自气象信息服务平台,民航东北地区空管局气象服务平台在对相关用户提供服务中充当了重要的角色。随着业务的变化,需要气象信息和其他航空信息的用户需要的信息也在增加,由此也需要增加新的线路。为了避免不必要的线路开资,共享现有通信线路,将不同的业务融合在一个系统成为发展的需要,由此需要网络间进行互联。因此,为了保障网上业务正常运行,网络安全在网络设计和运行中的比重也在不断完善和深化。
2、入侵检测系统引入的必要性
入侵检测系统(Intrusion Detection Systems,IDS)是按照一定的安全策略对网络、系统的运行情况进行监视,尽可能发现各种攻击企图、攻击行为、和攻击结果,以保证网络系统资源的机密性、完整性、和可用性。
在威胁网络安全的因素中人为的主动破坏和误操作占据了主要。据统计,80%以上的入侵来自于内部。由于性能的限制,防火墙通常不能提供实时的入侵检测能力,对于企业内部人员所做的攻击,防火墙形同虚设。入侵检测系统(IDS)针对防火墙做了有益的补充,能够在入侵攻击对系统发生危害前,检测到入侵攻击,并能利用报警与防护系统驱逐入侵攻击;在入侵过程中,能减少入侵攻击所造成的损失;在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加到知识库内,增强系统的防范能力,避免系统再次受到入侵。IDS是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护,大大提高网络的安全性。
3、入侵检测系统的功能模块组成
根据通用入侵检测框架(CIDF)规范,IDS由数据采集子系统、数据分析子系统、控制台子系统、数据库管理子系统四个功能模块组成。在实际应用中,一般将数据采集子系统和数据分析子系统在UNIX或LINUX平台上实现,称为数据采集分析中心,它主要是搜集网络或主机上的信息并对这些信息进行分析,如果检测到攻击,立刻作出响应;将控制台子系统在WINDOWS平台上实现,数据库管理子系统集成在控制台子系统中,它可以接受实时报警,查询引擎中的数据,进行统计分析。
4、入侵檢测过程
入侵检测过程可以分为三个阶段:信息收集、信息分析、及告警与相应。
入侵检测的第一步是收集信息,包括系统、网络、数据以及用户活动的状态和行为等。而且需要在计算机网络的不同关键点收集信息。这样就可能扩大检测范围,而且从一个信息源收集到的信息可能看不出疑点,但是从几个信息源收集到的信息的不一致性却是可疑行为或入侵的最好标识。
信息分析的数据量非常庞大,且绝大部分是正常信息,只有很少一部分信息表征入侵的行为的发生,要从大量信息中找到表征入侵行为异常就需要对这些信息进行分析。可见,信息分析是入侵检测过程的核心环节,没有信息分析,入侵检测就无从谈起。入侵检测的信息分析方法很多,如模式匹配、统计分析、完整性分析等。每种方法都有各自的优缺点,也都有各自的应用对象和范围。
当入侵检测系统检测到攻击或时间以后,系统根据攻击和事件类型或性质,做出相应的告警与响应,即通知系统管理员系统正在遭受不良行为的入侵,或者采取一定的措施阻止入侵行为的继续。
IDS按检测对象和加载位置不同,可分为基于主机的IDS(HIDS)、基于网络IDS(NIDS)和混合型IDS。基于主机的IDS应安装于受保护的主机上,对攻击主机的行为作出响应,而基于网络的IDS应安装于网络信息集中通过的地方。综合部署两种IDS能够给网络带来更大的安全性。
5、入侵检测的发展趋势
将来的趋势是入侵检测系统高度分布式监控结构的使用。这种方法将使用许多具有不同定位策略的自主代理。每一个代理可以定位一个特定的事件类型、特征类型、平台或进程,可以有不同的策略来管理分析功能并反映功能的存放。最可能的是这样的代理和其它的信息源同时存在,并且可以被一个监督进程所管理。这个监督进程将把代理得到的数据与其它数据传感器得到相关数据关联起来,从而识别出细微的问题所在。
分布式监督和分布式体系结构也能很好的适应实现某些免疫系统的入侵检测方法。例如,许多代理都会检查系统,寻找接触关键文件的反常过程。每一个代理都按照一个特定的攻击特征来衡量进程的活动。如果一个代理发现了具有某种攻击特征的进程,他就会修改这个进程,也可以阻止这个进程的处理速度。由于这个进程会激发许多代理,每个代理都会使这个进程处理速度慢一点,所以这个进程的处理速度会慢到足以被人或某种代理记录下来,代理处理这个进程的信息并将其杀死。
随着当前网络带宽和节点速度的增长,入侵检测系统必须监控的原始资料也不断增长。这种情况使得有必要去收集和分析入侵检测系统的组件。原始资料可能超出了最经常使用的主机信息和网络信息的范围。可能发生的另一个趋势就是硬件版本的入侵检测系统和安全网络工具箱集成在一起。这种将定位于小型企业市场,以使客户能够处理与持续链接到INTERNET的安全问题。
参考文献
[1]清华大学出版社 作者韩东海,王超,李群
(作者单位:民航东北地区空中交通管理局 气象中心)