論文摘 要:網絡的安全目前已經成爲了網絡技術進一步發展的重要保障,因此以網絡入侵檢測技術爲基礎的網絡報警系統就成爲了技術人員處理網絡入侵威脅的重要輔助系統,其可以正確的評價入侵威脅等級,以便採用相應措施。
論文關鍵詞:網絡入侵 入侵檢測 報警系統 入侵響應
一、計算機入侵檢測技術概述
計算機網絡的發展讓計算機之間、局域網絡之間的連接更加的緊密,特別是英特奈特網絡的訪問逐步拓展到涉密領域,越來越多的系統都有可能遭到外部的入侵和攻擊。在這些攻擊主要通過挖掘操作系統和應用服務程序的漏洞來實現入侵。因此網絡服務系統應滿足用戶系統的保密性、完整性、可用性要求,所以在實際的應用中系統中應有個獨立的系統負責對非法入侵進行檢測,並報警同時採取相應的措施控制事件擴大,即發現已經入侵也可以發現未知的入侵,通過學習分析入侵手段而提高自身的防護能力。
從入侵報警系統的角度看,首先是對入侵進行檢測,而此技術的關鍵點就是信息的採集和分析,即“觀察”整個系統是否存在“違法”的操作行爲,並保證系統的安全性、完整性等。入侵檢測是從網絡中的若干關鍵信息中進行分析,此時將採集信息與安全策略進行比對,如果違反了安全策略則認爲其是一種入侵行爲。併發出警報,一方面告知用戶,一方面啓動系統入侵響應機制,這樣就可有效的保護系統。入侵檢測技術是防火牆後的另一個系統安全性技術,其核心技術就是在不影響網絡正常性能下對網絡安全進行監測。
二、網絡入侵檢測系統的劃分
入侵檢測技術是入侵報警的前提,根據其檢測數據來源對其進行分類,可分爲主機檢測、網絡檢測兩種。
1、網絡入侵檢測
網絡檢測系統主要是通過網絡監視來完成對數據的採集和分析。在因特網中局域網所採用的多位IEEE 802.3協議,此種協議定義主機進行數據傳遞時採用的是一種廣播技術,任何一臺主機發送數據的時候都會在經過網絡中進行廣播,即網絡中主機發送或者接受的數據都可以被所在網絡中的其他主機接收到。正常的情況下主機設置的網卡對沒有數據包進行過濾,將目的地位本機的數據和其他數據進行篩選,將針對本機的數據包接收並存入緩存,而對其他數據包不予處理。所以正常情況下主機只處理與本機相關的數據包,但是網卡的接收模式如果被修改,其過濾策略就會改變,使得網卡能夠接收到經過本網段的全部數據包,而不會分辨這些數據是否對本機有用。在其他網絡下雖然不會纔此種廣播方式但很多路徑設備或者交換機也會提供數據檢視功能。
2、主機檢測系統
主機檢測系統是檢測模塊植入到被保護的主機保護系統上,通過提取被保護系統的運行狀況來分析是否被外來的入侵者所侵害,以此是完成其檢測的任務。實現主機檢測的方法有很多:檢測系統中設置以此發現不正確的系統設置和系統設置對不正當的改動等,這些都可以用來對系統的安全狀態進行分析和檢測。還可以利用對主機的日誌進行審覈,通過分析主機日誌來發現是否存在入侵。
基於主機的入侵檢測的效率較高,分析所付出的系統代價較小,分析速度快,可以迅速而準確的判斷入侵者的位置,並可以聯合操作系統或者應用程序對入侵進行報警和處置。
三、計算機網絡入侵報警技術
從網絡入侵的實質上看,入侵是一種非法進入到計算機的技術措施,其目的就是獲得計算機或者網絡內的資源,或者執行非授權的行爲等,其表現是取得進入系統或者多次進入的權限;取得訪問系統資源的權利;獲得在系統中運行程序的權限等。
而基於檢測技術上的報警和預測系統,是一種針對計算機入侵的技術措施,按照報警的數據來源來看,入侵報警可以分爲對事件入侵的報警、基於流量入侵的報警這兩大類。在事件基礎上的入侵報警的技術是通過分析網絡中正在發生或者數次發生的入侵事件。通過對這些入侵進行實時而詳細的監控和記錄來發現入侵事件的規律性,然後進行報警並預測其未來發生的威脅。
在流量基礎上的 報警這時利用中心極限登陸對入侵進行預測和報警。其算法的依據是在大規模的網絡系統中,網絡流量的和測度是相對穩定的,而攻擊往往會造成網絡固有的流量穩定遭到破壞。
四、網絡入侵報警技術的實施方法
入侵報警是在對入侵檢測、預測的基礎上而進行的防禦性措施。下面就基於攻擊聚類的入侵意圖預警技術分析入侵報警的實際應用。
1、報警系統思路分析
在攻擊聚類的入侵報警的技術主要是結合計算機網絡的技術特點,爲了滿足計算機網絡在安全報警內容、安全報警反應時間、安全報警精度的要下提出的技術措施,以事件爲入侵報警基礎的技術是針對網絡入侵事件進行報警的。因此提出的入侵報警系統實際上就是沿用了事件入侵報警的思路。在提高其精確肚餓方面,一則將入侵意圖分析融入到報警的依據上,對一類相似的入侵意圖進行統計和採集,對其意圖進行量化計算,從而分析判斷入侵行爲的指向性,從而提高了報警系統的針對性和準確性,並可以預測攻擊行爲。一則根據網絡入侵的特徵,通過漏洞分析結合網絡中的'安全設置狀況,對自身的系統安全性進行分析,並結合報警情況對下一步可能會受到攻擊的網絡或者主機進行預判,使得報警和響應機制的針對性更強。另外,爲了實現計算方法的高效率,系統根據網絡入侵的規律對網絡入侵的各種類型進行分類,並形成固定的模式首先對攻擊的手段進行劃分,然後查找關聯以此將報警和響應有機的聯繫起來。
2、入侵報警系統技術分析
入侵的過程是一個階段性過程,對檢測到的攻擊入侵事件進行關聯,同過對具有相同的意圖的入侵進行報警,並通過報警的記錄和意圖進行疊加計算,分析和判斷入侵的危害程度和攻擊發展方向,然後反饋給報警系統,準確的描述入侵類型,並分析攻擊意圖,將分析的結果反饋給與之關聯的預警系統就可以判斷出入侵行爲的具體攻擊意圖。而細化入侵其具有的較強的針對性,一種網絡入侵針對的往往是一種安全漏洞,所以對操作系統或者開放的服務器如果不存在某些漏洞就不會受到攻擊,如果存在系統漏洞當然就會受到入侵的威脅。將漏洞分析結果與入侵手段的類型相聯繫就可以針對此網絡的安全性級別進行評價,由此對網絡的安全預警等級進行劃分,即區別對待安全等級高和安全等級低的網絡,設置不同的報警和預警等級。同時針對外部環境進行綜合性考慮,通過網絡安全形勢分析網絡的安全性,分析發生入侵的可能性和規模等。
五、結束語
網絡的發展讓涉密信息不斷的進入到網絡信息交換中,因此網絡安全就成爲了關注的重點,也是保證網絡和網絡技術持續發展的重要基礎工作。網絡安全維護中主要針對的就是非法入侵,而入侵監測和入侵報警、安全維護就成爲了一個系統工程,即利用網絡入侵監測技術對網絡入侵進行甄別,並在甄別的同時評價其等級,針對性的發出報警信息,並安全防護系統進行相應的動作,至此就可以有效的降低網絡入侵規模和波及面積,以此降低損失。綜合的看,利用網絡監測技術展開的網絡報警和相應系統是缺一不可的安全技術措施。
參考文獻:
[1]崔金生,丁霞,劉明,陸幼驪.網絡安全事件應急響應策略體系研究[J].與軟件, 2009,(07)
[2]高娜娜,陳昕.關於內網安全應急響應的技術探討[J].辦公自動化, 2009,(10)
[3]陳杰.計算機網絡入侵檢測技術發展[J]. 硅谷, 2009,(10)
[4]譚可久.高校計算機安全事件應急響應組織的構建[J].河池學院學報, 2009,(02)
[5]宋彥民. 探討網絡入侵檢測系統模型的實現[J].電腦與電信, 2009,(06)