入侵检测技术简单汇总
入侵检测技术
注意:本文只是对入侵检测技术的粗略的汇总,可供平时了解与学习,不能作为科研使用!
入侵检测分析系统可以采用两种类型的检测技术:异常检测(Anomaly Detection)和误用
检测(Misuse Detection).
异常检测
异常检测也被称为基于行为的检测,基于行为的检测指根据使用者的行为或资源使用状况来判断是否入侵。基于行为的检测与系统相对无关,通用性较强。它甚至有可能检测出以前未出现过的攻击方法,不像基于知识的检测那样受已知脆弱性的限制。但因为不可能对整个系统内的所有用户行为进行全面的描述,况且每个用户的行为是经常改变的,所以它的主要缺陷在于误检率很高。尤其在用户数目众多,或工作目的经常改变的环境中。其次由于统计简表要不断更新,入侵者如果知道某系统在检测器的监视之下,他们能慢慢地训练检测系统,以至于最初认为是异常的行为,经一段时间训练后也认为是正常的了。
异常检测主要方法:
(1)统计分析
概率统计方法是基于行为的入侵检测中应用最早也是最多的一种方法。首先,检测器根据用户对象的动作为每个用户都建立一个用户特征表,通过比较当前特征与已存储定型的以前特征,从而判断是否是异常行为。
用户特征表需要根据审计记录情况不断地加以更新。用于描述特征的变量类型有: 操作密度:度量操作执行的速率,常用于检测通过长时间平均觉察不到的异常行为;
审计记录分布:度量在最新纪录中所有操作类型的分布;
范畴尺度:度量在一定动作范畴内特定操作的分布情况;
数值尺度:度量那些产生数值结果的操作,如CPU 使用量,I/O 使用量等。
统计分析通过在一段时间内收集与合法用户行为相关的数据来定义正常的域值(Threshold ),如果当前的行为偏离了正常行为的域值,那么就是有入侵的产生。对于用户所生成的每一个审计记录,系统经计算生成一个单独的检测统计值T2,用来综合表明最近用户行为的异常程度较大的T2值将指示有异常行为的发生,而接近于零的T2值则指示正常的行为。统计值T2本身是一个对多个测量值异常度的综合评价指标。假设有n个测量值表示为Si ,(1<=i<=n ),则T2 =a1S12+a2S22+…+a n S n2,其中a i(1<=i<=n )表示第i个测量值的权重。
其优点是能应用成熟的概率统计理论,检测率较高,因为它可以使用不同类型的审计数据,但也有一些不足之处,如:统计检测对事件发生的次序不敏感,也就是说,完全依靠统计理论可能漏检那些利用彼此关联事件的入侵行为。其次,定义是否入侵的判断阙值也比
较困难。阙值太低则漏检率提高,阙值太高则误检率提高。并且可检测到的入侵类型也受到限制。
(2)基于人工免疫的异常检测
将被检测网络中正常活动视为自我,异常活动视为异己,其目的就是区分正常或异常的网络活动。
人工免疫模型的工作流程分为三个阶段,即生成规则基因库、筛选检测规则集和复制高效检测规则集。该入侵模型可以分成两个检测层次,一个是系统级检测层次;一个是网络级检测层次。在系统级检测层中主要监控主机的各种操作行为。用户的删除、修改、格式化等操作都要接受该层的分析和识别;而网络级检测层主要负责对网络上传输的数据的监控,包括了网络数据包的识别和检测,地址的过滤等等。
人工免疫系统归根结底是进行“自我”和“非我”的识别。而在该入侵检测模型中,把与所需检测的机器相连的网络间正常的TCP/IP连接集合和该机器系统内合法的操作行为定义为“自我”,采用可以描述TCP/IP连接的特征信息来表示,例如:源IP地址,目的IP 地址,服务端VI ,协议类型,包的数量、字节数、特定错误和在短时间内网络的特定服务,以及描述系统合法操作的集合等。而把反常的TCP/IP连接集合和非法的系统操作集合定义为“非”我。而这些特征信息在具体表现形式上,都可以通过某种规则映射为唯一表征该信息长度为1的二进制字符串。
该方法成功地将人工免疫理论应用到入侵检测中,但目前还只处于研究阶段.
(3)机器学习
该方法通过对新序列(如离散数据流和无序的记录)的相似度的计算,将原始数据转化为可度量的空间,然后应用IBL (Instance Based Learning)学习技术和一种新的基于序列的分类方法,发现异常事件,从而检测入侵行为这种方法检测速率高,且误报率较低. 然而,这种方法对于用户动态行为变化以及单独异常检测还有待改善.
(4)基于隐马尔可夫模型(HMM)的入侵检测方法
一个系统调用,既可以是完全正常的,也可以是危险的。比如:被缓冲区溢出攻击的程序,它所产生的系统调用事件和在正常情况下产生的有着明显的不同。因此,可以通过构建正常情况下系统调用事件模型,然后观察是否与此模型有明显的偏离,以此来有效地检测入侵的产生。隐马尔可夫模型是对观察到的符号序列构造模型的一种非常好的工具,它在构造系统调用事件模型上有着比其它方法更好的性能,但它在构造正常行为模型时需要较长的时间解决办法是提高计算机系统的性能,或者减少观察的数据
误用检测
误用检测也被称为基于知识的检测,它指运用己知攻击方法,根据己定义好的入侵模式,通过判断这些入侵模式是否出现来检测。因为很大一部分的入侵是利用了系统的脆弱性,通过分析入侵过程的特征、条件、排列以及事件间关系能具体描述入侵行为的迹象。这种方法
由于依据具体特征库进行判断,所以检测准确度很高,并且因为检测结果有明确的参照,也为系统管理员做出相应措施提供了方便。主要缺陷在于与具体系统依赖性太强,不但系统移植性不好,维护工作量大,而且将具体入侵手段抽象成知识也很困难。并且检测范围受已知知识的局限,尤其是难以检测出内部人员的入侵行为,如合法用户的泄漏,因为这些入侵行为并没有利用系统脆弱性。
误用检测方法有以下几种:
(1)模式匹配
模式匹配就是将收集到的信息与己知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。该过程可以很简单,如通过字符串匹配发现一个简单的条目或指令,也可以很复杂,如利用形式化的数学表达式来表示安全状态的变化。模式匹配方法的一大优点是只需收集与入侵相关的数据集合,可以显著减少系统负担,检测的准确率和效率比较高。
模式匹配主要是用一定的模式描述来提取攻击的主要特征.其基本任务就是把存放在入侵检测规则集中的已知入侵模式与系统正在检测的网络包或者重构的TCP流中的文本进行匹配,如果匹配成功,则可以断定发生了入侵。这个过程是不断循环进行的。它具有较高的检测率和较低的误警率,其检测规则必须不断地更新。
模式匹配将入侵行为表示成一个事件序列或者转换成某种可以直接在网络数据包审计记录中找到的数据样板,而不进行规则转换,这样可以直接在审计记录中寻找相匹配的已知入侵模式。
缺点:
?必须及时更新知识库
?兼容性较差
?建立和维护知识库的工作量都相当大
(2)专家系统
专家系统是基于知识的检测中运用最多的一种方法。将有关入侵的知识转化成if-then 结构的规则,即将构成入侵所要求的条件转化为if 部分,将发现入侵后采取的相应措施转化成then 部分。当其中某个或某部分条件满足时,系统就判断为入侵行为发生。其中的if-then 结构构成了描述具体攻击的规则库,状态行为及其语义环境可根据审计事件得到,推理机根据规则和行为完成判断工作。
在具体实现中,专家系统主要面临以下问题:
全面性问题,即难以科学地从各种入侵手段中抽象出全面的规则化知识;
效率问题,即所需处理的数据量过大,而且在大型系统上,如何获得实时连续的审计数据也是个问题。
用专家系统对入侵进行检测经常是针对有特征的入侵行为.它将有关入侵的知识转化为
结构,部分为入侵特征,部分为系统防范措施所谓的规则,即是知识。专家系统的建立依赖于知识库的完备性,知识库的完备性又取决于审计记录的完备性与实时性专家系统的难点就在于实现专家系统知识库的完备性
(3)模型推理
模型推理是指结合攻击脚本推理出入侵行为是否出现。其中有关攻击者行为的知识被描述为:攻击者目的,攻击者达到此目的的可能行为步骤,以及对系统的特殊使用等。根据这些知识建立攻击脚本库,每一脚本都由一系列攻击行为组成。检测时先将这些攻击脚本的子集看作系统正面临的攻击。然后通过一个称为预测器的程序模块根据当前行为模式,产生下一个需要验证的攻击脚本子集,并将它传给决策器。决策器收到信息后,根据这些假设的攻击行为在审计记录中的可能出现方式,将它们翻译成与特定系统匹配的审计记录格式。然后在审计记录中寻找相应信息来确认或否认这些攻击。初始攻击脚本子集的假设应满足:易于在审计记录中识别,并且出现频率很高。随着一些脚本被确认的次数增多,另一些脚本被确认的次数减少,攻击脚本不断地得到更新。
(4)基于规则库的方法
基于规则库的安全审计方法就是将已知的攻击行为进行特征提取,把这些特征用脚本语言等方法进行描述后放入规则库中,当进行安全审记时,将收集到的网络数据与这些规则进行某种比较和匹配操作(关键字、正则表达式、模糊近似度等),从而发现可能的网络攻击行为。这种方法和某些防火墙和防病毒软件的技术思路类似,检测的准确率都相当高,可以通过最简单的匹配方法过滤掉大量的网络数据信息,对于使用特定黑客工具进行的网络攻击特别有效。比如发现目的端口为139以及含有00B标志的数据包,一般肯定是Winnuke攻击数据包。而且规则库可以从互连网上下载和升级(如CERT)等站点都可以提供了各种最新攻击数据库),使得系统的可扩充性非常好。
(5)状态转换分析
状态转换分析就是将状态转换图应用于入侵行为的分析。状态转换法将入侵过程看作一个行为序列,这个行为序列导致系统从初始状态转入被入侵状态。分析时首先针对每一种入侵方法确定系统的初始状态和被入侵状态,以及导致状态转换的转换条件,即导致系统进入被入侵状态必须执行的操作(特征事件)。然后用状态转换图来表示每一个状态和特征事件,这些事件被集成于模型中,所以检测时不需要一个个地查找审计记录。但是,状态转换是针对事件序列分析,所以不善于分析过分复杂的事件,而且不能检测与系统状态无关的入侵。
状态转换分析:它将入侵检测表示成一系列被监控的系统状态迁移,攻击模式的状态对应于系统状态,并具有迁移到另外状态的条件判断。通过弧将连续的状态连接起来以表示状态改变所需的事件,允许事件类型被植入到模型并且无需同审计记录一一对应。
(6)按键监视(键盘监控)
假设每种网络入侵行为都具有特定的击键序列模式,入侵检测系统监视各个用户的击键模式,并将该模式与已有的入侵击键模式相匹配,如果匹配成功就认为是网络入侵行为。
缺点:
?不能对击键进行语义分析,容易遭受欺骗;
?缺少可靠的方法来捕获用户的击键行为;
?无法检测利用程序进行自动攻击的行为。
混合检测方法:
(说明:虽然此标题是混合检测方法,但其下列举的方法不一定是混合,因为资料不足无法分类所以全放在此类下)
使用单一的方法进行入侵检测受到一定的局限,要么不能检测未知入侵,要么检测率不高,达不到有效检测的目标因此,使用多种检测方法来检测入侵受到研究人员的关注,目前已提出多种混合检测方法
(1)神经网络
神经网络是一种算法,通过学习已有的输入/输出信息对,抽象出其内在的关系,然后通过归纳得到新的输入/输出对。
在IDS中,系统把用户当前输入的命令和用户已经执行的W个命令传递给神经网络,如果神经网络通过预测得到的命令与该用户随后输入的命令不一致,则在某种程度上表明用户的行为与其轮廓框架产生了偏离,即说明用户行为异常。
神经网络的引入对入侵检测系统的研究开辟了新的途径,由于它有很多优点,如自适应性,自学习的能力,因此,在基于神经网络的入侵检测系统中,只要提供系统的审计数据,它就可以通过自学习从中提取正常的用户或系统活动的特征模式,而不必对大量的数据进行存取,精简了系统的设计。基于神经网络的检测方法具有普遍性,可以对多个用户采用相同的检测措施。神经网络适用于不精确模型,统计方法主要依赖用户行为的主观设计,所以此时描述的精确度很重要,不然会引起大量的误报。入侵检测系统可以利用神经网络的分类和识别能力,适用于用户行为的动态变化特征。但基于神经网络的入侵检测系统计算量大,将影响其实时性,可以采用和其他的技术相结合,来构造入侵检测系统。
神经网络模仿生物神经系统,通过接收外部输入的刺激,不断获得并积累知识,进而具有一定的判断预测能力。这种方法通过对一个特定用户先前命令序列的分析推测出下面要执行的命令。它包括三个阶段:一是在一定的时期从每一个用户的审计日志中来收集训练数据,这样,就会形成一个向量,以表明每个用户多长时间执行一条命令;二是在命令分布向量的基础上训练神经网络以标识用户;三是在运行过程中,使用神经网络识别新一天的向量,如果网络表示和实际用户有很大的不同或没有一个明确的建议,就表示有异常行为发生。
基于神经网络的异常入侵检测系统具有学习的能力,它可以紧密地模仿用户的行为并且
根据最近的变化进行调整它的另外一个特性就是允许模糊数据或噪音数据此外,与统计理论相比,神经网络更好地表达了变量之间的非线性关系其缺点是需要的计算负载较重,并且很难解释输入和输出之间的关系
(2)数据挖掘
用数据挖掘程序处理搜集到的审计数据,为各种入侵行为和正常操作建立精确的行为模式,这是一个自动的过程,不需要人工分析和编码入侵模式。
将数据挖掘技术应用于入侵检测中,利用数据挖掘中的关联分析、序列模式分析等算法提取与安全相关的系统特征属性, 对数据进行分析,可以自动地从大量数据中发现新的模式,消除入侵检测系统开发过程中的手工编码入侵模式和正常行为轮廓,提高入侵检测系统开发过程中的有效性、适应性、扩展性和伸缩性。
数据挖掘是针对特定应用的数据分析处理过程。根据挖掘目标的不同,数据挖掘分为五种类型,分别是关联分析、数据总结、数据分类、聚类分析和序列模式分析。数据挖掘技术的优点是可适应处理大量数据的情况, 因为网络或用户行为模式的形成和入侵检测规则集的建立都是通过对审计数据和数据流的分析和学习完成的,因而减少了入侵检测建模的手工和经验成分。但是,该方法的技术难点在于如何根据具体应用的要求, 从关于安全的先验知识出发, 提取出可以有效地反映系统特性的特征属性, 应用合适的算法进行数据挖掘;同时如何将挖掘结果自动地应用到实际的入侵检测系统中还存在问题。
数据挖掘与入侵检测相关的算法类别主要包括下列3种类型:
分类算法
将特定的数据项归入预先定义好的某个类别。常用的分类算法:RIPPER、C4.5、Nearest Neighbor等。
关联分析算法
用于确定数据记录中各个字段之间的联系。常用的算法:Apriori算法、AprioriTid 算法等。
?序列分析算法
发掘数据集中存在的序列模式,即不同数据记录间的相关性。常用的算法:ArpioriAll算法、DynamicSome算法和AprioriSome算法等。
(3)数据融合
目前,数据融合是针对一个系统中使用多个或多类传感器这一特定问题展开的一种新的数据处理方法,因此数据融合又称多传感器信息融合或信息融合。多传感器系统是数据融合的硬件基础,多源信息是数据融合的加工对象,协调优化和综合处理是数据融合的核心。数据融合系统主要有局部式和全局式两种形式。局部式也称自备式,这种数据融合系统收集来自单个平台的多个传感器的数据, 也可用于检测对象相对单一的智能检测系统中;全局式也称区域式,这种数据融合系统组合和相关来自空间和时间上各不相同的多平台、多传感器的数据,多传感器数据融合在解决探测、跟踪和识别等问题方面, 具有以下特点: 生存能力强,扩展了空间、时间覆盖范围, 提高了可信度,降低了信息的模糊度,改进了探测性能,提高了空间分辨力,改善了系统可靠性。
基于数据融合的入侵检测系统提供的信息是有关当前态势的,由于使用的数据是来自多个传感器, 并采用了智能攻击分析,从而减少了误报的数量, 因此基于数据融合的入侵检测系统提供的信息质量非常高。要建立基于数据融合的IDS, 需采用支持多层抽象的框架。Bass 列出了IDS 数据融合模型的 5 层功能。第0 层:过滤原始数据;第1 层:对数据进行联合和关联,把对象的上下文放在对象库中;第2 层:根据对象的协同行为、依赖性、同样的起源、两样的目标、相关攻击率等高层属性,针对对象聚合集进行检测; 第3 层:对当前态势进行评估,对将来的威胁进行预测; 第4层:为了简化检测,对整个过程进行精简。
(4)生物免疫
生物免疫系统是为了保护个体(自己)不受故意生物(异己)的侵害,而入侵检测则为保护一台或一组计算机不受入侵,故生物免疫系统原理。算法和体系结构可用于入侵检测。基于免疫学的入侵检测系统模仿生物免疫系统,实时监控和处理主机的审计数据,提取感兴趣的行为数据,建立行为特征模式,并与用户的行为模式匹配,以此来发现是否发生入侵。这种模型的主要思想是区分“自我”和“非我”。“自我”是正常行为,“非我”指异常行为。根据生物免疫的基本思想,将正常网络访问当成是正常行为,将异常访问当作异已行为,区别自己和异己从而判别出入侵行为,当一个行为模式和一个异己模式很相近或相同时可判别入侵行为。
(5)遗传算法
这种方法寻找已知攻击向量,这种向量的每个元素表示一个特定的攻击,遗传算法能最好地匹配观察到的事件流。基于相关攻击的危害度和不匹配部分的二次惩罚函数来估计假设向量。在每一代中,经过交叉和变异得到当前最好假设向量,以便误报率和漏报率都趋于零。这种方法具有较好的性能,但它不能辨别攻击匹配的原因,而且也不能表示同时或组合攻击。
(6)智能代理检测技术
智能代理是一个执行特定任务的软件实体,它的独立性、自治性和协作性给入侵检测系统带来了更大的灵活性和可扩展性。基于代理的入侵检测系统的灵活性保证它可以为保障系统的安全提供混合式的架构,综合运用滥用监测和异常检测, 从而弥补两者各自的缺陷。其关键和困难是如何设计系统的整体架构和高效合理地配置代理的检测引擎。
(7)其他
协议分析
贝叶斯聚类、贝叶斯推理、贝叶斯网络:贝叶斯推理是由英国牧师贝叶斯发现的一种归纳推理方法,后来的许多研究者对贝叶斯方法在观点、方法和理论上不断的进行完善,最终形成了一种有影响的统计学派,打破了经典统计学一统天下的局面。贝叶斯推理是在经典的统计归纳推理——估计和假设检验的基础上发展起来的一种新的推理方法。与经典的统计归
纳推理方法相比,贝叶斯推理在得出结论时不仅要根据当前所观察到的样本信息,而且还要根据推理者过去有关的经验和知识。
伪装检测
入侵检测技术 课后答案
精品文档 . 第1章入侵检测概述 思考题: (1)分布式入侵检测系统(DIDS)是如何把基于主机的入侵检测方法和基于网络的入侵检测方法集成在一起的? 答:分布式入侵检测系统是将主机入侵检测和网络入侵检测的能力集成的第一次尝试,以便于一个集中式的安全管理小组能够跟踪安全侵犯和网络间的入侵。DIDS的最初概念是采用集中式控制技术,向DIDS中心控制器发报告。 DIDS解决了这样几个问题。在大型网络互联中的一个棘手问题是在网络环境下跟踪网络用户和文件。DIDS允许用户在该环境中通过自动跨越被监视的网络跟踪和得到用户身份的相关信息来处理这个问题。DIDS是第一个具有这个能力的入侵检测系统。 DIDS解决的另一个问题是如何从发生在系统不同的抽象层次的事件中发现相关数据或事件。这类信息要求要理解它们对整个网络的影响,DIDS用一个6层入侵检测模型提取数据相关性,每层代表了对数据的一次变换结果。 (2)入侵检测作用体现在哪些方面? 答:一般来说,入侵检测系统的作用体现在以下几个方面: ●监控、分析用户和系统的活动; ●审计系统的配置和弱点; ●评估关键系统和数据文件的完整性; ●识别攻击的活动模式; ●对异常活动进行统计分析; ●对操作系统进行审计跟踪管理,识别违反政策的用户活动。 (3)为什么说研究入侵检测非常必要? 答:计算机网络安全应提供保密性、完整性以及抵抗拒绝服务的能力,但是由于连网用户的增加,网上电子商务开辟的广阔前景,越来越多的系统受到入侵者的攻击。为了对付这些攻击企图,可以要求所有的用户确认并验证自己的身份,并使用严格的访问控制机制,还可以用各种密码学方法对数据提供保护,但是这并不完全可行。另一种对付破坏系统企图的理想方法是建立一个完全安全的系统。但这样的话,就要求所有的用户能识别和认证自己,还要采用各种各样的加密技术和强访问控制策略来保护数据。而从实际上看,这根本是不可能的。 因此,一个实用的方法是建立比较容易实现的安全系统,同时按照一定的安全策略建立相应的安全辅助系统。入侵检测系统就是这样一类系统,现在安全软件的开发方式基本上就是按照这个思路进行的。就目前系统安全状况而言,系统存在被攻击的可能性。如果系统遭到攻击,只要尽可能地检测到,甚至是实时地检测到,然后采取适当的处理
入侵检测技术综述
入侵检测技术综述 胡征兵1Shirochin V.P.2 乌克兰国立科技大学 摘要 Internet蓬勃发展到今天,计算机系统已经从独立的主机发展到复杂、互连的开放式系统,这给人们在信息利用和资源共享上带来了很大的便利。由Internet来传递和处理各种生活信息,早已成为人们重要的沟通方式之一,随之而来的各种攻击事件与入侵手法更是层出不穷,引发了一系列安全问题。本文介绍现今热门的网络安全技术-入侵检测技术,本文先讲述入侵检测的概念、模型及分类,并分析了其检测方法和不足之处,最后说描述了它的发展趋势及主要的IDS公司和产品。 关键词入侵检测入侵检测系统网络安全防火墙 1 引言 随着个人、企业和政府机构日益依赖于Internet进行通讯,协作及销售。对安全解决方案的需求急剧增长。这些安全解决方案应该能够阻止入侵者同时又能保证客户及合作伙伴的安全访问。虽然防火墙及强大的身份验证能够保护系统不受未经授权访问的侵扰,但是它们对专业黑客或恶意的经授权用户却无能为力。企业经常在防火墙系统上投入大量的资金,在Internet入口处部署防火墙系统来保证安全,依赖防火墙建立网络的组织往往是“外紧内松”,无法阻止内部人员所做的攻击,对信息流的控制缺乏灵活性,从外面看似非常安全,但内部缺乏必要的安全措施。据统计,全球80%以上的入侵来自于内部。由于性能的限制,防火墙通常不能提供实时的入侵检测能力,对于企业内部人员所做的攻击,防火墙形同虚设。 入侵检测是对防火墙及其有益的补充,入侵检测系统能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中,能减少入侵攻击所造成的损失。在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入知识库内,增强系统的防范能力,避免系统再次受到入侵。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护,大大提高了网络的安全性[1]。 2 入侵检测的概念、模型 入侵检测(Intrusion Detection,ID), 顾名思义,是对入侵行为的检测。它通过收集和分析计算机网络或计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统(Intrusion Detection System,IDS)。 入侵检测的研究最早可以追溯到詹姆斯·安德森[1]在1980年为美国空军做的题为《计算机安全威胁监控与监视》的技术报告,第一次详细阐述了入侵检测的概念。他提出了一种对计算机系统风险和威胁的分类方法,并将威胁分为外部渗透、内部渗透和不法行为三种,还提出了利用审计跟踪数据监视入侵活动的思想。他的理论成为入侵检测系统设计及开发的基础 , 他的工作成为基于主机的入侵检测系统和其它入侵检测系统的出发点。 Denning[2]在1987年所发表的论文中,首先对入侵检测系统模式做出定义:一般而言,入侵检测通过网络封包或信息的收集,检测可能的入侵行为,并且能在入侵行为造成危害前及时发出报警通知系统管理员并进行相关的处理措施。为了达成这个目的,入侵检测系统应包含3个必要功能的组件:信息来源、分析引擎和响应组件。 ●信息来源(Information Source):为检测可能的恶意攻击,IDS所检测的网络或系统必须能提供足够的信息给IDS,资料来源收集模组的任务就是要收集这些信息作为IDS分析引擎的资料输入。 ●分析引擎(Analysis Engine):利用统计或规则的方式找出可能的入侵行为并将事件提供给响应组件。 ●响应模组(Response Component):能够根据分析引擎的输出来采取应有的行动。通常具有自动化机制,如主动通知系统管理员、中断入侵者的连接和收集入侵信息等。 3 入侵检测系统的分类 入侵检测系统依照信息来源收集方式的不同,可以分为基于主机(Host-Based IDS)的和基于网络(Network-Based IDS);另外按其分析方法可分为异常检测(Anomaly Detection,AD)和误用检测(Misuse Detection,MD),其分类架构如图1所示: 图 1. 入侵检测系统分类架构图
入侵检测技术在数据库系统的应用
入侵检测技术在数据库系统的应用 摘要:入侵检测是检测和识别针对计算机系统和网络系统的非法攻击或违反安全策略事件的过程。数据库入侵检测系统的研究与设计借鉴了针对网络和针对主机的入侵检测技术,又考虑了数据库自身的特点。 关键词:入侵检测入侵分析数据库系统 传统的数据库安全机制以身份认证和存取控制为重点,是一种以预防为主的被动安全机制,无法满足日益增长数据库对安全的需要。近年来对数据库入侵检测机制的研究受到了广泛关注和重视。通过建立异常检测机制,有效地发现用户在使用数据库过程中可能发生的入侵和攻击,以期达到保护数字图书馆数据库安全的目的。 1、入侵检测简介 入侵检测是检测和识别针对计算机系统和网络系统,或者更广泛意义上的信息系统的非法攻击,或者违反安全策略事件的过程。它从计算机系统或者网络环境中采集数据,分析数据,发现可疑攻击行为或者异常事件,并采取一定的响应措施拦截攻击行为,降低可能的损失。在入侵检测系统中,系统将用户的当前操作所产生的数据同用户的历史操作数据根据一定的算法进行检测,从而判断用户的当前操作是否属于入侵行为,然后系统根据检测结果采取相应的行动。入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。入侵检测系统能很好地弥补防火墙的不足,从某种意义上说是防火墙的补充。入侵检测技术是计算机安全技术中的重要部分,它从计算机系统中的若干关键点收集信息,并分析这些信息,检测计算机系统中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测系统在几乎不影响计算机系统性能的情况下能对计算机系统进行实时监测,并对系统提供针对内部攻击、外部攻击和误操作的实时保护。入侵检测技术通过对入侵行为的过程与特征的研究,使安全系统对入侵事件和入侵过程能做出实时响应。入侵检测技术扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。 2、入侵检测技术分类 (1)从数据的来源看 入侵检测通常可以分为两类:基于主机的入侵检测和基于网络的入侵检测。基于主机的入侵检测通常从主机的审计记录和日志文件中获得所需的主要数据源,并辅之以主机上的其他信息,例如文件系统属性、进程状态等,在此基础上完成检测攻击行为的任务。基于网络的入侵检测通过监听网络中的数据包来获得必要的数据来源,并通过协议分析、特征匹配、统计分析等手段发现当前发生的攻击行为。从数据分析手段来看,入侵检测通常又可以分为两类:误用入侵检测和异常入侵检测。误用检测的技术基础是分析各种类型的攻击手段,并找出可能的“攻击特征”集合。误入侵检测的定义为:识别针对计算机或网络资源的恶意企图和行为,并对此做出反应的过程。入侵检测系统则是完成如上功能的独立系统。入侵检测系统能够检测未授权对象,针对系统的入侵企图或行为,同时监控授权对象对系统资源的非法操作。 (2)从数据分析手段看 入侵检测通常可以两类:滥用入侵检测和异常入侵检测。滥用入侵检测的技术基础是分析各种类型的攻击手段,并找出可能的“攻击特征”集合形成特征库或者模式库,滥用入侵检测利用形成的特征库,对当前的数据来源进行各种分析处理后,再进行特征匹配或者规则匹配工作,如果发现满足条件的匹配,则指示已经发生了一次攻击行为然后入侵检测系统的响应单元做出相应的处理。异常入侵检测是通过观察当前活动与系统历史正常活动情况之间的差异来实现。这就需要异常入侵检测建立一个关于系统正常活动的状态模型并不断更新,然后将用户当前的活动情况与这个正常模型进行对比,如果发现了超过设定值的差异程度,则指示发现了非法攻击行为。 相比较而言,滥用入侵检测比异常入侵检测具备更好的确定解释能力,即明确指示当前发生的攻击手段类型,另外,滥用入侵检测具备较高的检测率和较低的虚警率,开发规则库和特征集合相对于建立系统正常模型而言,要更容易、更方便。但是,滥用入侵检测只能检测到已知的攻击模式,模式库只有不段更
入侵检测技术 课后答案
习题答案 第1章入侵检测概述 思考题: (1)分布式入侵检测系统(DIDS)是如何把基于主机的入侵检测方法和基于网络的入侵检测方法集成在一起的? 答:分布式入侵检测系统是将主机入侵检测和网络入侵检测的能力集成的第一次尝试,以便于一个集中式的安全管理小组能够跟踪安全侵犯和网络间的入侵。DIDS的最初概念是采用集中式控制技术,向DIDS中心控制器发报告。 DIDS解决了这样几个问题。在大型网络互联中的一个棘手问题是在网络环境下跟踪网络用户和文件。DIDS允许用户在该环境中通过自动跨越被监视的网络跟踪和得到用户身份的相关信息来处理这个问题。DIDS是第一个具有这个能力的入侵检测系统。 DIDS解决的另一个问题是如何从发生在系统不同的抽象层次的事件中发现相关数据或事件。这类信息要求要理解它们对整个网络的影响,DIDS用一个6层入侵检测模型提取数据相关性,每层代表了对数据的一次变换结果。 (2)入侵检测作用体现在哪些方面? 答:一般来说,入侵检测系统的作用体现在以下几个方面: ●监控、分析用户和系统的活动; ●审计系统的配置和弱点; ●评估关键系统和数据文件的完整性; ●识别攻击的活动模式; ●对异常活动进行统计分析; ●对操作系统进行审计跟踪管理,识别违反政策的用户活动。 (3)为什么说研究入侵检测非常必要? 答:计算机网络安全应提供保密性、完整性以及抵抗拒绝服务的能力,但是由于连网用户的增加,网上电子商务开辟的广阔前景,越来越多的系统受到入侵者的攻击。为了对付这些攻击企图,可以要求所有的用户确认并验证自己的身份,并使用严格的访问控制机制,还可以用各种密码学方法对数据提供保护,但是这并不完全可行。另一种对付破坏系统企图的理想方法是建立一个完全安全的系统。但这样的话,就要求所有的用户能识别和认证自己,还要采用各种各样的加密技术和强访问控制策略来保护数据。而从实际上看,这根本是不可能的。 因此,一个实用的方法是建立比较容易实现的安全系统,同时按照一定的安全策略建立相应的安全辅助系统。入侵检测系统就是这样一类系统,现在安全软件的开发方式基本上就是按照这个思路进行的。就目前系统安全状况而言,系统存在被攻击的可能性。如果系统遭到攻击,只要尽可能地检测到,甚至是实时地检测到,然后采取适当的处理 –– 1
入侵检测概念、过程分析和布署
入侵检测概念、过程分析和布署 入侵检测概念、过程分析和布署 1、入侵检测的基本概念入侵检测是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图”(参见国标GB/T18336)。入侵检测是检测和响应计算机误用的学科,其作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行?募际酢=?腥肭旨觳獾娜砑?胗布?淖楹媳闶侨肭旨觳庀低常↖ntrusion Detection System,简称IDS)。 2、入侵检测系统的发展历史 1980年JamesP.Anderson在给一个保密客户写的一份题为《计算机安全威胁监控与监视》的技术报告中指出,审计记录可以用于识别计算机误用,他给威胁进行了分类,第一次详细阐述了入侵检测的概念。1984年到1986年乔治敦大学的DorothyDenning和SRI公司计算机科学实验室的PeterNeumann研究出了一个实时入侵检测系统模型- IDES(Intrusion Detection Expert Systems入侵检测专家系统),是第一个在一个应用中运用了统计和基于规则两种技术的系统,是入侵检测研究中最有影响的一个系统。1989年,加州大学戴维斯分校的Todd Heberlein写了一篇论文《A Network SecurityMonitor》,该监控器用于捕获TCP/IP分组,第一次直接将网络流作为审计数据来源,因而可以在不将审计数据转换成统一格式的情况下监控异种主机,网络入侵检测从此诞生。 3、系统模型为解决入侵检测系统之间的互操作性,国际上的一些研究组织开展了标准化工作,目前对IDS进行标准化工作的有两个组织:IETF的Intrusion Detection Working Group(IDWG)和Common Intrusion Detection Framework(CIDF)。CIDF早期由美国国防部高级研究计划局赞助研究,现在由CIDF工作组负责,是一个开放组织。 CIDF阐述了一个入侵检测系统(IDS)的通用模型。它将一个入侵检测系统分为以下组件:事件产生器(Event generators),用E盒表示;事件分析器(Event analyzers),用A盒表示;响应单元(Responseunits),用R盒表示;事件数据库(Event databases),用D盒表示。
入侵检测技术简单汇总
入侵检测技术 注意:本文只是对入侵检测技术的粗略的汇总,可供平时了解与学习,不能作为科研使用! 入侵检测分析系统可以采用两种类型的检测技术:异常检测(Anomaly Detection)和误用检测(Misuse Detection). 异常检测 异常检测也被称为基于行为的检测,基于行为的检测指根据使用者的行为或资源使用状况来判断是否入侵。基于行为的检测与系统相对无关,通用性较强。它甚至有可能检测出以前未出现过的攻击方法,不像基于知识的检测那样受已知脆弱性的限制。但因为不可能对整个系统内的所有用户行为进行全面的描述,况且每个用户的行为是经常改变的,所以它的主要缺陷在于误检率很高。尤其在用户数目众多,或工作目的经常改变的环境中。其次由于统计简表要不断更新,入侵者如果知道某系统在检测器的监视之下,他们能慢慢地训练检测系统,以至于最初认为是异常的行为,经一段时间训练后也认为是正常的了。 异常检测主要方法: (1)统计分析 概率统计方法是基于行为的入侵检测中应用最早也是最多的一种方法。首先,检测器根据用户对象的动作为每个用户都建立一个用户特征表,通过比较当前特征与已存储定型的以前特征,从而判断是否是异常行为。 用户特征表需要根据审计记录情况不断地加以更新。用于描述特征的变量类型有: 操作密度:度量操作执行的速率,常用于检测通过长时间平均觉察不到的异常行为; ` 审计记录分布:度量在最新纪录中所有操作类型的分布; 范畴尺度:度量在一定动作范畴内特定操作的分布情况; 数值尺度:度量那些产生数值结果的操作,如 CPU 使用量,I/O 使用量等。 统计分析通过在一段时间内收集与合法用户行为相关的数据来定义正常的域值(Threshold ),如果当前的行为偏离了正常行为的域值,那么就是有入侵的产生。对于用户所生成的每一个审计记录,系统经计算生成一个单独的检测统计值T2,用来综合表明最近用户行为的异常程度较大的T2值将指示有异常行为的发生,而接近于零的T2值则指示正常的行为。统计值 T2本身是一个对多个测量值异常度的综合评价指标。假设有n个测量值表示为Si ,(1<=i<=n ),则T2 =a1S12+a2S22+…+a n S n2,其中 a i(1<=i<=n )表示第i个测量值的权重。 其优点是能应用成熟的概率统计理论,检测率较高,因为它可以使用不同类型的审计数据,但也有一些不足之处,如:统计检测对事件发生的次序不敏感,也就是说,完全依靠统
计算机数据库入侵检测技术的应用
计算机数据库入侵检测技术的应用 发表时间:2019-01-15T10:01:49.673Z 来源:《防护工程》2018年第30期作者:王亮 [导读] 文章正是在此背景下,对计算机数据库入侵检测技术的应用进行了相应分析,以期为计算机数据库的安全工作提供相应借鉴。 广州工商学院计算机科学与工程系 510850 摘要:在计算机被大面积运用的背景下,虽然计算机数据库的出现为民众创造了较大的便利,但其应用压缩期间却存在较多安全问题,容易使计算机数据库里面的数据存在丢失、损坏等现象。因此,对计算机数据库入侵检测技术的应用予以强化便显得极为重要,能够为计算机数据库给予有效保障。文章正是在此背景下,对计算机数据库入侵检测技术的应用进行了相应分析,以期为计算机数据库的安全工作提供相应借鉴。 关键词:计算机;数据库;入侵检测技术 引言:计算机网络技术对全人类的文化、经济等各个领域都带来了无尽的机遇,与此同时也带来了对数据中信息安全各种挑战,数据的安全性已经成为网络发展中最受关注的问题。病毒、各种供给手段的入侵不仅会对网络系统造成破坏,更会使企业、个人机密数据被篡改、窃取,进而造成大量的损失,可以说数据的安全性,对社会的稳定性以及国民的经济都会直接造成影响。因此,就需要利用入侵检测技术具备的准确性、及时性以及主动性为计算机数据库提供安全保障。 1.1数据库入侵技术及方法 数据库入侵检测技术概述对计算机数据库中可能存在的破坏、篡改等行为进行有效识别,同时将这些行为进行消除的这一过程,称为数据库入侵检测技术。在进行检测的过程中,该技术会将计算机系统中的数据进行收集,同时判断系统中是否存在相关违法行为。入侵检测技术会在计算机系统中将相关信息进行分析,从而提高系统中信息的完整性、准确性,并检测用户的活动行为,一旦计算机中包含异常行为,就会对其进行评估,并实时对具体情况进行记录,采取跟踪管理模式,进而确保系统的安全性。 1.2数据库入侵检测技术的方法 异常检测技术。在对数据库入侵技术进行选择阶段,通常情况下人们多数愿意选择异常检测技术,该技术目前的应用范围很广,它可以将所有类型的病毒入侵行为全部判断为恶意行为,计算机系统会综合分析用户的操作行为,进而在系统内构建出用户行为框架(活动模型),在数据库遭到入侵时,系统会将其与活动模型进行对比,一旦发现有异常情况,当即对其进行攻击,查杀。误用检测技术。误用检测技术主要作用是对病毒的类型以及入侵的方法进行分析,进而对其充分了解,一旦确定了攻击对象,该对象就会遭到误用检测技术的攻击,从而将病毒有效查杀。但是一旦入侵计算机数据库的攻击方式以及病毒类型发生了转变,那么误用检测技术就无法有效发挥病毒查杀的功能,因此,误用检测技术只能在计算机系统对入侵活动做出编译后,才能对其进行查杀。在病毒入侵到计算机数据库中时,误用检测技术会以之前预设好的病毒特征对病毒进行判断,并采取防护措施。 1.3数据库入侵检测技术的应用 计算机数据库系统由管理软件和数据库组成的系统,称为计算机数据库系统。数据库系统分为三个层次,即网络系统、宿主操作系统、数据库管理系统三层,当数据库系统遭到入侵时,通常情况下是对操作系统本身进行文件的窃取、篡改行为,可也能会制造一些加的文件、数据。针对数据库系统的安全维护,可以分别对三个层次进行分析。首先是分析入侵容忍技术,即对计算机内层的中间层可采用路径检测技术,计算机外层可采用入侵检测技术。 2.1数据挖掘 对数据的挖掘,需要根据用户的实际需求采取具有针对性的挖掘方式。目前主流的、应用比较广泛的挖掘方式有两种,即序列模式和关联规则。关联规则指在数据库性质相同的项目中挖掘出不同数据库的内在联系,序列模式是指在对数据库进行操作过程中,将时间单元中的关系进行记录。在入侵检测技术中的数据挖掘,主要作用就是对用户的登录进行排序,随后对用户行为进行检测。 2.2入侵容忍技术 数据库入侵检测技术除了起到对恶意入侵进行防范之外,还需要具备遭到攻击后的自我恢复能力,从而确保正常运行。入侵容忍技术是实现自我恢复能力技术,其实现原理是借助 ITDB 发出命令,将可疑攻击行为隔离,随后依据该攻击行为对 ITDB 的相关部件进行自动调配,以确保系统不会受到错误指令的影响。有效应用入侵容忍技术,可以有效使数据库管理系统的自适应功能得到良好发挥。ITDB 能够通过控制用户对数据库的访问,将用户对数据库的读写权限进行限制,一旦发现用户操作存在可疑行为,而该行为会对数据库系统安全造成威胁,就会立即将本用户隔离。 2.3应用入侵检测技术 在对数据库进行应用的过程中,会出现越来越多的病毒以及非法手段,进而对数据库造成较大的安全威胁。另外,入侵检测技术和操作系统之间存在一定差异,数据库应先对 SQL 和 IDS 进行检测,确保预先包装的 Web 应用受到良好保护。入侵检测系统具体工作流程如下:①利用 Web 登录页面将 SQL 发起;②当攻击行为到达服务器,进行相关记录、数据的查找;③评估用户所提交的数据,在传感器进行用户安全证书评估阶段,可查看相关 SQL 语句,一旦发现用户操作存在欺骗行为,须及时采取行动,同时对控制台发出警报。 3.1检测系统缺乏较好的自我保护水平 随着计算机技术的持续推进,病毒技术也获得了较快的发展,更甚者其发展远在计算机技术之上,这使得病毒类别愈来愈多且极为繁杂,部分病毒异变后带来的破坏程度更大,加大了入侵检测技术发展的难度。并且,现阶段我国有关入侵检测技术的人才较为匮乏,对系统的健全和升级构成了相应阻挠,加之病毒的发展来势汹汹,极为迅猛,故而难以实现清理、防范病毒和入侵行为所提出的需求,使得系统缺乏足够的自我保护效力。此外,当前具有的入侵技术操作人员不具备丰富的专业知识及实践经验为其工作提供支撑,再加上系统本身也具有较多不足,故存在大面积病毒入侵事件的时候,入侵检测技术便会被其影响而难以顺利运行。误报、错报的现象时有发生现今社会,科学技术持续进步的境况中,较多计算机、信息技术均获取了较好的发展。但此间,计算机数据库入侵检测技术却被较多因子干扰而发展缓慢,故而难以和其他技术的发展脚步达成一致,滋生了较多不足,譬如操作人员通过计算机针对个人及网络信息保密处
入侵检测技术重点总结
1.黑客:早先对计算机的非授权访问称为“破解”,而hacking(俗称“黑”)则指那些熟练 使用计算机的高手对计算机技术的运用,这些计算机高手称为“黑客”。随着个人计算机及网络的出现,“黑客”变成一个贬义词,通常指那些非法侵入他人计算机的人。2.入侵检测(intrusion detection):就是对入侵行为的发觉,它通过从计算机网络或计算机 系统中的若干关键点收集信息,并对其进行分析,从中发现网络或者系统中是否有违反安全策略的行为和被攻击的迹象。 3.入侵检测系统的六个作用:1)、通过检测和记录网络中的安全违规行为,惩罚网络犯罪, 防止网络入侵事件的发生。2)、检测其他安全措施未能阻止的攻击或安全违规行为。3)、检测黑客在攻击前的探测行为,预先给管理员发出警报。4)、报告计算机系统或网络中存在的安全威胁。5)、提供有关攻击的信息,帮助管理员诊断网络中存在的安全弱点,利于其进行修补。6)、在大型、复杂的计算机网络中布置入侵检测系统,可以显著提高网络安全管理的质量。 4.t P>t D+t Rd的含义:t p:保护安全目标设置各种保护后的防护时间。t D:从入侵者开始发动入 侵开始,系统能够检测到入侵行为所花费的时间。t R:从发现入侵行为开始,系统能够做出足够的响应,将系统调整到正常状态的时间。公式的含义:防护时间大于检测时间加上响应时间,那么在入侵危害安全目标之前就能检测到并及时采取防护措施。 5.入侵检测原理的四个阶段:数据收集、数据处理,数据分析,响应处理。 6.攻击产生的原因:信息系统的漏洞是产生攻击的根本原因。 7.诱发入侵攻击的主要原因:信息系统本身的漏洞或脆弱性。 8.漏洞的概念:漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,它 是可以使攻击者能够在未授权的情况下访问或破坏系统。漏洞会影响到很大范围内的软件及硬件设备,包括操作系统本身及其支撑软件、网络客户和服务器软件、网络路由和安全防火墙等。漏洞是与时间紧密相关的,,一般是程序员编程时的疏忽或者考虑不周导致的。 9.漏洞的具体表现:存储介质不安全,数据的可访问性,信息的聚生性,保密的困难性, 介质的剩磁效应,电磁的泄漏性,通信网络的脆弱性,软件的漏洞。 10.漏洞iongde分类(按被利用的方式):物理接触、主机模式、客户机模式、中间人模式。 11.入侵检测系统的基本原理主要分四个阶段:数据收集、数据处理、数据分析、响应处 理。 12.常用的5种检测模型:操作模型、方差模型、多元模型、马尔柯夫过程模型、时间序列 分析模型。 13.信息系统面临的三种威胁:非人为因素和自然力造成的数据丢失、设备失效、线路阻断; 人为但属于操作人员无意的失误造成的数据丢失;来自外部和内部人员的恶意攻击和入侵。 14.攻击的四个步骤:攻击者都是先隐藏自己;再踩点或预攻击探测,检测目标机器的各种 属性和具备的被攻击条件,然后采取相应的攻击行为,达到自己的目的,最后攻击者会清除痕迹删除自己的行为日志。 Ping扫描:ping是一个DOS命令,它的用途是检测网络的连通状况和分析网络速度。 端口扫描:端口扫描时一种用来查找网络主机开放端口的方法,正确的使用端口扫描,能够起到防止端口攻击的作用。 操作系统识别扫描:黑客入侵过程的关键环节是操作系统的识别与扫描。 漏洞扫描:主要是查找操作系统或网络当中存在什么样的漏洞,并给出详细漏洞报告,引导用户到相关站点下载最新系统漏洞补贴程序,确保系统永远处在最安全的状态下,以减少被攻击的可能性。
计算机数据库入侵检测技术探究
计算机数据库入侵检测技术探究 摘要:本文则主要就计算机数据库入侵检测技术及其功能加以阐述,并就其应用问题及应用优化策略进行分析探究,希望此次理论研究对实际操作起到一定指导作用。 关键词:计算机;数据库入侵检测技术;应用 随着计算机技术的发展,人们的生活、工作与学习过程对于计算机网络的依赖性越来越高,它为人们提供便利的同时,也促进了各行各业的发展。随着计算机网络在人们日常生活中的不断深入,计算机网络的应用安全问题受到越来越多的关注,防火墙、黑客入侵检测等安全防范系统的应用也随之增多。 1.计算机数据库入侵检测技术概述 入侵检测主要指对检测识别可能入侵计算机网络资源的恶意企图及行为,同时做出快速反映的过程。计算机数据库入侵检测技术的使用中是主动防护的形式运行的,主要是对计算机系统遭到的外部攻击以及误操作等进行的防护,是对防火墙防御不足的补充,已经成了计算机安全信息系统的重要构成部分。计算机入侵检测技术的主要功能包括以下几点:一是监视分析用户活动行为;二是审计计算机系统运行问题及其构造变化等;三是识别检测进攻活动并及时进行报警;四是统计分析网络异常行为和评估系统关键信息;五是跟踪管理计算机操作系统审计问题。 2.计算机数据库入侵检测技术当前存在的部分问题 2.1误报较多 计算机数据库入侵检测技术的主要目的是保护计算机的数据库,而在整个计算机数据库的信息中,信息内容比较复杂,既包括了用户个人信息,也包括了用户所在单位的单位信息,数据库中的信息一旦泄露,一方面严重影响了网络秩序和社会公共秩序,另一方面也给用户和用户单位带来了巨大的损失。为确保数据信息安全,进行数据库入侵检测时通常较为严格。同时,一些隐蔽问题不能全面显现,无法明确其实际情况,难以利用先进工作方式解决当前存在的各类问题,导致工作效率与质量降低。 2.2入侵检测成本高 在目前的计算机运行中,任何数据的处理以及数据的入侵和反入侵都是依靠二进制来进行数据的运算,当运算结算后才能有效的运行,由于数据及其庞大的关系,计算机的计算量是非常巨大的,这一工程运行的安全性以及有效性会在很大程度上会影响计算机信息系统的安全性,因此我们必须确保数据二进制加工运算过程中各项数据的完整性以及加工性,采用计算机数据库入侵检测技术对数据进行全程跟踪与监视,这样一来则大大增加了计算机数据库入侵检测技术的工作量以及成本,降低了计算机数据库检测技术应用的经济性。 2.3自身防护能力差 入侵检测系统是防护计算机系统免遭入侵的重要工具,尽管它对其它对象有比较强的保护能力,但入侵检测系统本身却由于系统设计人员自身知识水平的限制或者系统自身携带的问题,使得入侵检测系统缺乏一定的自我防范功能。其中导致这一问题出现的原因主要是设计人员的专业水平比较低,就使得其系统存在着很大的问题,这样就导致入侵检测系统受到了外部环境的影响,从而造成检测系统出现了比较严重的损坏,甚至还会出现数据攻击破除了系统,使得数据量受到很大的损坏。
计算机数据库入侵检测技术论文
计算机数据库入侵检测技术的探讨摘要:计算机数据库在应用中会碰到各式的安全性问题,计算机数据库入侵检测技术的重要性已经越来越明显,它对计算机的安全起到保护的作用,在信息安全领域该技术已经受到了广泛的关注,本文仅对计算机数据库入侵检测技术的一些方面进行简单的探析讨论。 关键词:计算机数据库;入侵检测 中图分类号:tp393文献标识码:a文章编号:1007-9599 (2011) 24-0000-01 computer database intrusion detection technology li chaozhi (xiangtan city public security bureau network and mobile technology,xiangtan411100,china) abstract:a computer database in the application will run into all kinds of security issues,computer database of intrusion detection technology has become increasingly obvious importance of its computer security play a role in protection,the technology has been in the field of information security widespread concern in this article only to the computer database intrusion detection technology,some aspects of the simple discussion of the analysis. keywords:computer database;intrusion detection
入侵检测技术
入侵检测技术 一、入侵检测技术 入侵检测的研究最早可追溯到James Aderson在1980年的工作,他首先提出了入侵检测的概念,在该文中Aderson提出审计追踪可应用于监视入侵威胁,但由于当时所有已有的系统安全程序都着重于拒绝未经认证主体对重要数据的访问,这一设想的重要性当时并未被理解。1987年Dorothy.E.Denning[2]提出入侵检测系统(Intrusion Detection System,IDS)的抽象模型,首次将入侵检测的概念作为一种计算机系统安全防御问题的措施提出,与传统加密和访问控制的常用方法相比,IDS是全新的计算机安全措施。1988年的Morris Internet蠕虫事件使得Internet近5天无法使用。该事件使得对计算机安全的需要迫在眉睫,从而导致了许多IDS系统的开发研制。 入侵检测(Intrusion Detection)的定义为:识别针对计算机或网络资源的恶意企图和行为,并对此作出反应的过程。IDS则是完成如上功能的独立系统。IDS能够检测未授权对象(人或程序)针对系统的入侵企图或行为(Intrusion),同时监控授权对象对系统资源的非法操作(Misuse)。 ●从系统的不同环节收集信息; ●分析该信息,试图寻找入侵活动的特征; ●自动对检测到的行为做出响应; ●纪录并报告检测过程结果。 入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。入侵检测系统能很好的弥补防火墙的不足,从某种意义上说是防火墙的补充[1]。 二、入侵检测的分类 现有的分类,大都基于信息源和分析方法进行分类。 2.1 根据信息源的不同,分为基于主机型和基于网络型两大类 2.1.1 基于主机的入侵检测系统 基于主机的IDS可监测系统、事件和Windows NT下的安全记录以及Unix环境下的系统记录。当有文件被修改时,IDS将新的记录条目与已知的攻击特征相比较,看它们是否匹配。如果匹配,就会向系统管理员报警或者作出适当的响应。 基于主机的IDS在发展过程中融入了其他技术。检测对关键系统文件和可执行文件入侵
入侵检测技术概述
入侵检测技术概述 孟令权李红梅黑龙江省计算中心 摘要 本文概要介绍了当前常见的网络安全技术——入侵检测技术,论述了入侵检测的概念及 分类,并分析了其检测方法和不足之处.最后描述了它的发展趋势及主要的IDS公司和产品。 关键词 入侵检测;网络;安全;IDS 1 引言 入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。违反安全策略的行为有:入侵——非法用户的违规行为;滥用——用户的违规行为。 2 入侵检测的概念 入侵检测(I n t r u s i o n D e t e c t i o n ,I D ) ,顾名思义,是对入侵行为的检测。它通过收集和分析计算机网络或计算机系统中若干关键点的信息,检查网络或系统中是否存在违 反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系 统(Intrusion Detection SystemIDS ) 。 3 入侵检测系统的分类 入侵检测系统(I D S ) 依照信息来源收集方式的不同,可以分为基于主机(H o s t-Based IDS ) 的和基于网络(Netwo r k-BasedIDS ) ;另外按其分析方法可分为异常检测(Anomaly Detection ,AD ) 和误用检测(Misuse Detection ,M D ) 。 3 .1主机型入侵检测系统 基于主机的入侵检测系统是早期的入侵检测系统结构,其检测的目标主要是主机系统和系统本地用户,检测原理是根据主机的审计数据和系统日志发现可疑事件。检测系统可以运行在被检测的主机或单独的主机上。 其优点是:确定攻击是否成功;监测特定主机系统活动,较适合有加密和网络交换器的环境,不需要另外添加设备。 其缺点:可能因操作系统平台提供的日志信息格式不同,必须针对不同的操作系统安装不同类型的入侵检测系统。监控分析时可能会曾加该台主机的系统资源负荷.影响被监测主机的效能,甚至成为入侵者利用的工具而使被监测的主机负荷过重而死机。 3 .2 网络型入侵检测系统 网络入侵检测是通过分析主机之间网线上传输的信息来工作的。它通常利用一个工作在“混杂模式”(PromiscuousMode) 下的网卡来实时监视并分析通过网络的数据流。它的分析模块通常使用模式匹配、统计分析等技术来识别攻击行为。 其优点是:成本低;可以检测到主机型检测系统检测不到的攻击行为;入侵者消除入侵证据困难;不影响操作系统的性能;架构网络型入侵检测系统简单。 其缺点是:如果网络流速高时可能会丢失许多封包,容易让入侵者有机可乘;无法检测加密的封包对干直接对主机的入侵无法检测出。 3 .3混和入侵检测系统 主机型和网络型入侵检测系统都有各自的优缺点,混和入侵检测系统是基于主机和基于网络的入侵检测系统的结合,许多机构的网络安全解决方案都同时采用了基于主机和基于网络的两种入侵检测系统,因为这两种系统在很大程度上互补,两种技术结合。能大幅度提升网络和系统面对攻击和错误使用时的抵抗力,使安全实施更加有效。 3 . 4 误用检测
计算机数据库入侵检测技术
计算机数据库入侵检测技术之我见 张史彬 (南海边检站) 由于互联网已经深入到人们生活的方方面面,人们通过互联网进行通信、聊天、购物等等,而这一切活动都离不开数据库,而当前的防火墙技术难以满足数据库的安全需要,对于防范SQL注入、跨站点的脚本攻击、未经授权的用户访问等很难起作用,它们都可以直接对后台数据库进行攻击。若在数据库中有效运用入侵检测技术,就可以有效防止此类攻击。 1计算机数据库入侵检测技术的含义 计算机数据库入侵检测技术是指对计算机数据库设置各种关卡,通过对外来访问人员身份和信息的验证,以计算机系统和计算机网络中的相关信息为基础,经过分析后判定网络或系统是否存在相互冲突的行为,进而判断出是否受到攻击的一种技术。若从收集到的信息中判断出网络或者出现强行攻击数据库的行为,则入侵检测系统会根据实际情况作出判断,发出指令,如报警、禁止某个IP地址的访问,切断连接等措施。它能够检测未经授权对象对系统的入侵企图和行为,以及授权对象对系统资源的非法操作,并自动对所检测出的行为做出响应,记录并报告检测过程和结果。如果数据库和网络出现非正常行为,则入侵检测系统会第一时间封闭病毒的入侵口,避免网络病毒对计算机数据库造成的影响。从以上介绍中,我们可以看出,入侵检测技术是数据库得以正常运行的核心保障。作为防火墙之后第二道安全门,当计算机防火墙的保护功能失效时,数据库入侵检测系统能够对来自系统内部和外部的攻击和误操作提供实时保护,在系统受到危害之前对入侵行为进行拦截和响应,很好的弥补了防火墙的不足,扩展了系统管理员的安全管理能力(包括安全审计、监视和进攻识别),提高了信息基础结构的安全性。 2计算机数据库入侵检测技术分类 入侵检测一般分为两种:①是误用入侵检测;②是异常入侵检测。误用入侵检测是指系统通过对入侵活动和病毒的侵入活动进行分析,从而建立起一种入侵行为的模型,定义恶意的入侵行为,通过对入侵行为的检测,并转化为对特征和入侵模式的匹配搜索,从而实现对系统的实时监测,一旦发现与定义的恶意行为匹配的行为,便进行报警。误用入侵检测具有较高的检测准确度,但是它却是一种相对静态的检测技术,不能很好的检测出新型的攻击和一种攻击的变体。 异常入侵检测是基于所有入侵等恶意活动都异于正常用户的活动,通过对正常用户上网行为特征记性进行详细的记录和分析,从而构建用户正常行为的模型和框架,对系统运行进行实时监测,一旦发现某些行为违反统计规律时,即超过某个阈值时,便进行报警。现有在数据库中应用的主要检测方法有基于规则的入侵检测、基于模型推理的入侵检测、异常的入侵检测、基于阈值的入侵检测等等。 2.1基于规则的入侵检测技术 基于规则的入侵检测方法是利用规则对审计数据进行分析,进而发现用户的异常行为,这些规则与用户的行为模式无关,只要符合规则就被认定为一种入侵行为,其中Snort入侵检测系统就采用了基于规则的误用检测方法,它主要分为向前推理和向后推理两种规则,向前推理误报率低,但不能检测出未知入侵行为,向后推理可以检测到未知入侵行为,但误报率较高。 2.2基于模型推理的入侵检测技术 基于模型推理的方法是以安全管理员定义入侵窃密行为为基础的一种入侵检测技术。一个入侵窃密行为模型通常表示为用户行为序列,并将用户这些行为统称为剧情。这些剧情是用户行为的一种高层描述,且无需与设计记录一一对应。只需依据特定的规则对用户的高层行为描述转换为与审计数据记录相对应的用户动作序列,并据此判断用户行为中是否出现安全违章,它是以已知的安全规章为依据,若采用新的入侵窃密方式,则无法检测出来。 2.3基于异常的入侵检测技术 基于异常的入侵检测系统是假定某些对象的安全违章操作必然涉及到对系统的异常使用,它通过比较用户的某些行为与正常行为之间的差别来正确判断用户是否正常使用系统资源,例如通过分析目标系统中的用户的简介(用户简介包括一个用户对话期内的用户事件数目,间隔时间,某一时间内使用的资源数目等),根据用户行为的细微变化,动态地对用户简介内容进行调整,当用户行为发生重大变化时,入侵检测系统会发出警报。 2.4基于阈值的入侵检测技术 与基于异常的入侵检测相类似,基于阈值的入侵检测方法是假定非法用户在利用系统的脆弱性时时必定会异常使用系统。例如,当非法用户尝试进入系统时,必定会尝试使用多个系统账户和密码,且会多次尝试对保密信息所在目录浏览操作。系统感染病毒后,必然过多的占用内存和处理器资源。 3计算机数据库入侵检测技术中存在的问题3.1漏报误报率较高 一般配备入侵检测系统的数据库都比较庞大,数据库中的信息既可包括公司信息也可包括个人信息,并且这些信息一般都比较重要,因此,其检测过程非常严格,在检测过程中,时常会本着“宁可错杀一千,不可放过一个”目的对系统活动进行检测,导致很多正常的程序都被错报为外部攻击,有些隐蔽的攻 摘要:随着计算机网络技术的发展,各种非法入侵手段不断增多,网络安全问题层出不穷,因此,网络安全问题也日益受到人们的关注。首先对入侵检测技术做了简要介绍,然后对当前各类计算机数据库入侵检测技术进行了探讨,并指出了数据库入侵检测技术中存在的问题,希望对增强数据库的安全有所帮助。 关键词:数据库;入侵检测技术;网络安全 科技探索与应用 202 广东科技2012.10.第19期
入侵检测技术论文
目录 第一章绪论 1.1 入侵检测技术的背景 1.2 程序设计的目的 第二章入侵检测系统 2.1 网络入侵概述 2.2 网络存在的安全隐患 2.3 网络入侵与攻击的常用手段 2.4 入侵检测技术 2.4.1 误用入侵检测技术 2.4.2 异常入侵检测技术 第三章协议分析 3.1 协议分析简介 3.2 协议分析的优势 第四章 PANIDS系统的设计及实现 4.1 PANIDS系统总体结构设计 4.2 系统基本信息读取模块的设计及实现 4.3 网络数据包捕获模块的设计及实现 4.4 基于协议分析的入侵检测模块的设计及实现 4.4.1 数据包的分解 4.4.2 入侵检测的实现 4.5 实验结果及结论 第五章总结与参考文献 摘要 网络技术高速发展的今天,人们越来越依赖于网络进行信息的处理。因此,网络安全就显得相当重要,随之产生的各种网络安全技术也得到了不断地发展。防火墙、加密等技术,总的来说均属于静态的防御技术。如果单纯依靠这些技术,仍然难以保证网络的安全性。入侵检测技术是一种主动的防御技术,它不仅能检测未经授权的对象入侵,而且也能监视授权对象对系统资源的非法使用。传统的入侵检测系统一般都采用模式匹配技术,但由于技术本身的特点,使其具有计算量大、检测效率低等缺点,而基于协议分析的检测技术较好的解决了这些问题,
其运用协议的规则性及整个会话过程的上下文相关性,不仅提高了入侵检测系统的速度,而且减少了漏报和误报率。本文提出了一种基于协议分析的网络入侵检测系统PANIDS的模型,在该模型中通过Winpcap捕获数据包,并对数据包进行协议分析,判断其是否符合某种入侵模式,从而达到入侵检测的目的。 关键词:入侵检测,协议分析, PANIDS 第一章绪论 1.1 入侵检测技术的背景 随着计算机网络的飞速发展,网络通信已经渗透到社会经济、文化和科学的各个领域;对人类社会的进步和发展起着举足轻重的作用,它正影响和改变着人们工作、学习和生活的方式。另外,Internet的发展和应用水平也已经成为衡量一个国家政治、经济、军事、技术实力的标志;发展网络技术是国民经济现代化建设不可缺少的必要条件。网络使得信息的获取、传递、存储、处理和利用变得更加有效、迅速,网络带给人们的便利比比皆是。然而,网络在给人们的学习、生活和工作带来巨大便利的同时也带来了各种安全问题。网络黑客可以轻松的取走你的机密文件,窃取你的银行存款,破坏你的企业帐目,公布你的隐私信函,篡改、干扰和毁坏你的数据库,甚至直接破坏你的磁盘或计算机,使你的网络瘫痪或者崩溃。因此,研究各种切实有效的安全技术来保障计算机系统和网络系统的安全,已经成为刻不容缓的课题。伴随着网络的发展,各种网络安全技术也随之发展起来。常用的网络安全技术有:数据加密、虚拟专用网络(VPN,Virtual Private Network)、防火墙、杀毒软件、数字签名和身份认证等技术。这些传统的网络安全技术,对保护网络的安全起到非常重要的作用,然而它们也存在不少缺陷。例如,防火墙技术虽然为网络服务提供了较好的身份认证和访问控制,但是它不能防止来自防火墙内部的攻击、不能防备最新出现的威胁、不能防止绕过防火墙的攻击,入侵者可以利用脆弱性程序或系统漏洞绕过防火墙的访问控制来进行非法攻击。传统的身份认证技术,很难抵抗脆弱性口令、字典攻击、特洛伊木马、网络窥探器以及电磁辐射等攻击手段。虚拟专用网技术只能保证传输过程中的安全,并不能防御诸如拒绝服务攻击、缓冲区溢出等常见的攻击。另外,这些技术都属于静态安全技术的范畴;静态安全技术的缺点是只能静态和消极地防御入侵,而不能主动检测和跟踪入侵。而入侵检测技术是一种动态安全技术,它主动地收集包括系统审计数据,网络数据包以及用户活动状态等多方面的信息;然后进行安全性分析,从而及时发现各种入侵并产生响应。 1.2 程序设计的目的 在目前的计算机安全状态下,基于防火墙、加密技术等的安全防护固然重要;但是要根本改善系统的安全现状,必须要发展入侵检测技术。它已经成为计算机安全策略中的核心技术之一。Intrusion Detection System(简称IDS)作为一种主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护。从网络安全立体纵深的多层次防御角度出发,入侵检测理应受到高度重视,这从国外入侵检测产品市场的蓬勃发展就可以看出。在国内,随着上网关键部门、关键业务越来越多,迫切需要具有自主版权的入侵检测产品;但目前我国的入侵检测技术还不够成熟,处于发展和跟踪国外技术的阶段,所以对入侵检测系统的研究非常重要。传统的入侵检测系统中一般采用传统的模式匹配技术,将待分析事件