序言：寫作是分享個人見解和探索未知領(lǐng)域的橋梁，我們?yōu)槟x了8篇的網(wǎng)絡(luò)安全監(jiān)測樣本，期待這些樣本能夠為您提供豐富的參考和啟發(fā)，請盡情閱讀。

第1篇

[關(guān)鍵詞] 網(wǎng)絡(luò)安全入侵檢測

網(wǎng)絡(luò)安全指的是信息系統(tǒng)中硬件、軟件和系統(tǒng)中的數(shù)據(jù)受到保護(hù),不因偶然的或者惡意的原因而遭到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運(yùn)行,網(wǎng)絡(luò)服務(wù)不中斷。而入侵檢測作為一種積極主動的安全防護(hù)技術(shù), 提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護(hù)在網(wǎng)絡(luò)系統(tǒng)受到危去之前攔截和響應(yīng)入侵。入侵檢測系統(tǒng)能很好地彌補(bǔ)防火墻的不足, 從某種意義上說是防火墻的補(bǔ)充。

一、入侵檢測概述

1.入侵檢測技術(shù)

入侵檢測(Intrusion Detection)書面上的定義為“識別針對對計算機(jī)或網(wǎng)絡(luò)資源的惡意企圖和行為, 并對此做出反應(yīng)的過程”IDS 則是完成如上功能的獨立系統(tǒng)。IDS 能夠檢測未授權(quán)對象(人或程序)針對系統(tǒng)的入侵企圖或行為, 同時監(jiān)控授權(quán)對象對系統(tǒng)資源的非法操作。具體的功能是:

(1)從系統(tǒng)的不同環(huán)節(jié)收集信急。

(2)分析該信息, 試圖尋找入侵活動的特征。

(3)自動對檢測到的行為做出響應(yīng)。

(4)紀(jì)錄并報告檢測過程結(jié)果。

2.入侵檢測的基本原理

入侵檢測是通過多種途徑對網(wǎng)絡(luò)或計算機(jī)系統(tǒng)信息進(jìn)行收集,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象, 一旦發(fā)現(xiàn)攻擊自動發(fā)出報警并采取相應(yīng)的措施。同時, 記錄受到攻擊的過程, 為網(wǎng)絡(luò)或系統(tǒng)的恢復(fù)和追查攻擊的來源提供基本數(shù)據(jù)。

3.入侵檢測的分類

現(xiàn)有的分類大都基于信息源進(jìn)行分類, 根據(jù)信息源的不同分為基于主機(jī)型、基于網(wǎng)絡(luò)型、基于主機(jī)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的集成三大類。

(1)基于主機(jī)的入侵檢測系統(tǒng)?；谥鳈C(jī)的入侵檢測系統(tǒng)可監(jiān)測系統(tǒng)、事件和Windows NT 下的安全記錄，以及Unix 環(huán)境下的系統(tǒng)記錄。當(dāng)有文件被修改時, IDS將新的記錄條目與己知的攻擊特征相比較, 看它們是否匹配, 如果匹配, 就會向系統(tǒng)管理員報警或者做出適當(dāng)?shù)捻憫?yīng)。

(2)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)以網(wǎng)絡(luò)包作為分析數(shù)據(jù)源。它通常利用一個工作在混雜模式下的網(wǎng)卡來實時監(jiān)視并分析通過網(wǎng)絡(luò)的數(shù)據(jù)流分析模塊通常使用模式匹配、統(tǒng)計分析等技術(shù)來識別攻擊行為。一旦檢測到了攻擊行為, IDS 的響應(yīng)模塊就做出適當(dāng)?shù)捻憫?yīng). 比如報警、切斷相關(guān)用戶的網(wǎng)絡(luò)連接等。不同入侵檢測系統(tǒng)在實現(xiàn)時采用的響應(yīng)方式也可能不同, 但通常都包括通知管理員、切斷連接、記錄相關(guān)的信急以提供必要的法律依據(jù)等。

(3)基于主機(jī)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的集成。。許多機(jī)構(gòu)的網(wǎng)絡(luò)安全解決方案都同時采用了基于主機(jī)和基于網(wǎng)絡(luò)的兩種入侵檢測系統(tǒng), 因為這兩種系統(tǒng)在很大程度上是互補(bǔ)的。實際上, 許多客戶在使用IDS 時都配置了基于網(wǎng)絡(luò)的入侵檢測。在防火墻之外的檢測器檢測來自外部Internet 的攻擊。DNS. Email 和Web 服務(wù)器經(jīng)常是攻擊的目標(biāo), 但是它們又必須與外部網(wǎng)絡(luò)交互,不可能對其進(jìn)行全部屏蔽, 所以應(yīng)當(dāng)在各個服務(wù)器上安裝基于主機(jī)的入侵檢測系統(tǒng), 其檢測結(jié)果也要向分析員控制臺報告。因此, 即便是小規(guī)模的網(wǎng)絡(luò)結(jié)構(gòu)也常常需要基于主機(jī)和基于網(wǎng)絡(luò)的兩種入侵檢測能力。

二、入侵檢測系統(tǒng)常用的檢測方法

入侵檢測系統(tǒng)常用的檢測方法有專家系統(tǒng)、特征檢測與統(tǒng)計檢測。據(jù)公安部計算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心的報告,國內(nèi)送檢的入侵檢測產(chǎn)品中95%是屬于使用入侵模板進(jìn)行模式匹配的特征檢測產(chǎn)品,其他5%是采用概率統(tǒng)計的統(tǒng)計檢測產(chǎn)品與基于日志的專家知識庫系產(chǎn)品。

1.專家系統(tǒng)

用專家系統(tǒng)對入侵進(jìn)行檢測, 經(jīng)常是針對有特征入侵行為。專家系統(tǒng)主要是運(yùn)用規(guī)則進(jìn)行分析, 不同的系統(tǒng)與設(shè)置具有不同的規(guī)則, 且規(guī)則之間往往無通用性。專家系統(tǒng)的建立依賴于知識庫的完備性, 知識庫的完備性又取決于審計記錄的完備性與實時性。入侵的特征抽取與表達(dá), 是入侵檢測專家系統(tǒng)的關(guān)鍵。在系統(tǒng)實現(xiàn)中, 將有關(guān)入侵的知識轉(zhuǎn)化為if- then 結(jié)構(gòu)(也可以是復(fù)合結(jié)構(gòu)), 條件部分為入侵特征, then 部分是系統(tǒng)防范措施。運(yùn)用專家系統(tǒng)防范有特征入侵行為的有效性完全取決于專家系統(tǒng)知識庫的完備性。

2.特征檢測

特征檢測需要對己知的攻擊或入侵的方式做出確定性的描述,形成相應(yīng)的事件模式。當(dāng)被審計的事件與己知的入侵事件模式相匹配時即報警其檢測方法同計算機(jī)病毒的檢測方式類似。日前基于對包特征描述的模式匹配應(yīng)用較為廣泛。該方法預(yù)報檢測的準(zhǔn)確率較高, 但對于無經(jīng)驗知識的入侵與攻擊行為無能為力。

3.統(tǒng)計檢測

統(tǒng)計模型常用異常檢測, 在統(tǒng)計模型中常用的測量參數(shù)包括:審計事件的數(shù)量、間隔時間、資源消耗情況等。常用的入侵檢測5種統(tǒng)計模型為:操作模型、方差、多元模型、馬爾柯夫過程模型、時間序列分析。統(tǒng)計方法的最大優(yōu)點是它可以”學(xué)習(xí), 用戶的使用習(xí)慣, 從而具有較高檢出率與可用性。但是它的”學(xué)習(xí)”, 能力也給入侵者以機(jī)會通過逐步”訓(xùn)練”, 使入侵事件符合正常操作的統(tǒng)計規(guī)律. 從而透過入侵檢測系統(tǒng)。

4.入侵檢測方案實現(xiàn)

方案簡述: “入侵檢測” 屬于安全評估類產(chǎn)品, 是一種網(wǎng)絡(luò)實時自動攻擊識別和響應(yīng)系統(tǒng)它通過多種途徑收集單位內(nèi)部網(wǎng)的主機(jī)和網(wǎng)絡(luò)信息, 對這些信息加以分析, 查看網(wǎng)絡(luò)安全體系結(jié)構(gòu)是否存在漏洞, 主機(jī)系統(tǒng)和網(wǎng)絡(luò)上是否有入侵事件發(fā)生, 如果發(fā)現(xiàn)有入侵事件, 自動對這些事件響應(yīng), 同時給出相應(yīng)提示。內(nèi)部網(wǎng)根據(jù)部門劃分不同子網(wǎng)網(wǎng)段。每個部門或子網(wǎng)有一個交換機(jī), 設(shè)置網(wǎng)絡(luò)中心, 有專門的網(wǎng)絡(luò)管理員。各個子網(wǎng)匯總到網(wǎng)絡(luò)中心連接到高性能服務(wù)器群, 高性能服務(wù)器群放置在防火墻的DMZ 區(qū)。方案構(gòu)建: 根據(jù)網(wǎng)絡(luò)流量和保護(hù)數(shù)據(jù)的重要程度, 選擇IDS 探測器(百兆)配置在內(nèi)部關(guān)鍵子網(wǎng)的交換機(jī)處放置, 核心交換機(jī)放置控制臺, 監(jiān)控和管理所有的探測器因此提供了對內(nèi)部攻擊和誤操作的實時保護(hù), 在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。入侵檢測可以進(jìn)行如下反應(yīng):

(1)控制臺報警。

(2)記錄網(wǎng)絡(luò)攻擊事件。

(3)實時阻斷網(wǎng)絡(luò)連接。

(4)入侵檢測采用透明工作方式, 靜靜地監(jiān)視本網(wǎng)絡(luò)數(shù)據(jù)流, 對網(wǎng)絡(luò)通訊不附加任何時延。

(5)入侵檢測可以過濾和監(jiān)視TCP或IP 協(xié)議。系統(tǒng)管理員通過配置入侵檢測, 可以按協(xié)議(TCP, ICMP), 源端口, 目的端口, 源IP或目的IP 地址過濾。入侵檢測可監(jiān)測多種網(wǎng)絡(luò)服務(wù):包括文件傳輸、遠(yuǎn)程登陸等, 并且所支持的服務(wù)隨著入侵檢測的發(fā)展可以不斷地擴(kuò)展。

(6)入侵檢測還支持用戶自定義的網(wǎng)絡(luò)安全事件監(jiān)視。

(7)入侵檢測能生成系統(tǒng)安全日志以利于系統(tǒng)安全審計并以開放數(shù)據(jù)庫方式支持安全分析決策系統(tǒng), 從而為網(wǎng)絡(luò)安全提供有效的保障。

參考文獻(xiàn)：

[1]楊振會:基于防火墻的入侵檢測系統(tǒng)的設(shè)計[J].計算機(jī)安全, 2006,(10)

[2]王炳晨:網(wǎng)絡(luò)安全專家服務(wù)――趨勢網(wǎng)絡(luò)安全掌控危機(jī)[J]. 微電腦世界, 2007,(07)

[3]富強(qiáng):東軟網(wǎng)絡(luò)安全十年發(fā)展之路[J].計算機(jī)安全, 2006,(07)

第2篇

關(guān)鍵詞 網(wǎng)絡(luò)安全；安全管理；測繪生產(chǎn)網(wǎng)；防火墻；入侵檢測

中圖分類號TP3 文獻(xiàn)標(biāo)識碼A 文章編號 1674-6708（2012）73-0198-02

在測繪行業(yè)中，地理信息的采集、加工、處理越來越現(xiàn)代化，智能化，而對測繪成果的利用也是向著服務(wù)網(wǎng)絡(luò)化和應(yīng)用社會化的方向發(fā)展。網(wǎng)絡(luò)作為地理信息的載體，可以加快從數(shù)據(jù)采集到成果應(yīng)用的轉(zhuǎn)化，從而實現(xiàn)為現(xiàn)代高速發(fā)展的社會提供實時準(zhǔn)卻的地理信息。網(wǎng)絡(luò)在為測繪行業(yè)帶來高效、便捷的同時，也提出了有效保護(hù)地理數(shù)據(jù)不被他人竊取盜用的要求。因此在測繪數(shù)據(jù)加工生產(chǎn)的過程中，通過有效的網(wǎng)絡(luò)安全策略來保護(hù)地理信息數(shù)據(jù)顯得非常重要。

1 網(wǎng)絡(luò)安全要素分析

網(wǎng)絡(luò)安全要素主要包括4個方面：1）網(wǎng)絡(luò)運(yùn)行系統(tǒng)安全；2）網(wǎng)絡(luò)系統(tǒng)信息安全；3）網(wǎng)絡(luò)信息傳播安全；4）網(wǎng)絡(luò)信息內(nèi)容的安全。由此可見，網(wǎng)絡(luò)安全包含的內(nèi)容廣泛，對于其網(wǎng)絡(luò)安全體系的建立和策略，不僅僅只包括安全防護(hù)工作，還包括管理、監(jiān)控、技術(shù)跟新等內(nèi)容。對此，在本體系的構(gòu)建中，我們以安全管理為主，采用技術(shù)手段和相關(guān)硬件設(shè)備構(gòu)建網(wǎng)絡(luò)安全體系，通過人工干預(yù)，對正在發(fā)生的攻擊做出及時響應(yīng)，并在事后采取防范措施和恢復(fù)措施，防止類似攻擊再次發(fā)生，將損失最小化[1]。

2 測繪生產(chǎn)網(wǎng)安全體系構(gòu)建的思路與實現(xiàn)

2.1 測繪生產(chǎn)網(wǎng)安全管理

2.1.1建立健全安全管理制度

同其它信息相比，地理信息數(shù)據(jù)牽涉到國家的政治、軍事、經(jīng)濟(jì)利益，涉及國家的機(jī)密。這些地理信息只有部分個人、部分單位有權(quán)生產(chǎn)、擁有和使用，其他個人、機(jī)構(gòu)不能訪問、使用、占有、修改這些數(shù)據(jù)。因此在安全管理制度中除了制定一般的網(wǎng)絡(luò)安全管理制度外，還需要依照國家保密法律、法規(guī)和有關(guān)規(guī)定制定相關(guān)的保密管理制度以及保密管理措施。在本體系的構(gòu)建中，采取了如下措施，首先根據(jù)現(xiàn)行相關(guān)法律法規(guī)制定了一系列配套制度。對落實這些制度的情況進(jìn)行定期或不定期的檢查，及時解決工作中的問題。

2.1.2 加強(qiáng)網(wǎng)絡(luò)安全、保密管理工作的宣傳和教育

網(wǎng)絡(luò)的安全管理主要包括加強(qiáng)計算機(jī)用戶安全教育以及完善安全管理功能，促進(jìn)計算機(jī)用戶學(xué)習(xí)法律法規(guī)的意識，明確計算機(jī)用戶和系統(tǒng)管理人應(yīng)履行的權(quán)利和義務(wù)。在保密管理工作方面，要強(qiáng)化人員的保密教育，切實增強(qiáng)保密意識，筑牢嚴(yán)守國家秘密的思想防線。在本體系的構(gòu)建中，對所有參與的人員都進(jìn)行了保密培訓(xùn)并簽訂了保密協(xié)議，加強(qiáng)了生產(chǎn)人員的保密意識。除此之外，還對參與生產(chǎn)的人員進(jìn)行了相關(guān)計算機(jī)安全使用方面的培訓(xùn)[2]。

2.2 測繪生產(chǎn)網(wǎng)網(wǎng)絡(luò)安全體系

2.2.1網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全建設(shè)

在網(wǎng)絡(luò)基礎(chǔ)設(shè)施方面，機(jī)房作為生產(chǎn)數(shù)據(jù)加工存放的地方，其防火、防盜以及設(shè)備的支撐環(huán)境，都是保證網(wǎng)絡(luò)安全運(yùn)行的基礎(chǔ)。為此在本方按中我們采取如下措施來消除。1）為了消除環(huán)境隱患，機(jī)房購置了大型多功能空調(diào)設(shè)備，用以保證機(jī)房的溫度、濕度恒定；在機(jī)房四周放置了氯丙烷氣體滅火系統(tǒng)；2）為了防止電壓過高，電源不足、不合格電源和突然斷電對設(shè)備的不安全影響，機(jī)房采用雙電力線接入，并配備了UPS系統(tǒng)。在每個機(jī)柜中配備了兩部16A濾波電源接入和專用接地銅線，從而保證了每個機(jī)柜有足夠的功率安全地接入服務(wù)器；3）安防方面，網(wǎng)絡(luò)機(jī)房安裝了電子攝像頭，配備了門徑系統(tǒng)，只允許授權(quán)的人員進(jìn)出機(jī)房；4）設(shè)備存放與安全使用。在生產(chǎn)網(wǎng)中，為了有效的保護(hù)數(shù)據(jù)，存放服務(wù)器的機(jī)柜采用了電磁屏蔽機(jī)柜；機(jī)柜間網(wǎng)絡(luò)布線主要采用六類屏蔽雙絞線纜。由于本方案中，各個數(shù)據(jù)生產(chǎn)作業(yè)室分布在大樓的不同樓層內(nèi)，因此與機(jī)房通信的交換機(jī)全部用光纖連接后再用六類屏蔽雙絞線與桌面計算機(jī)相連。除此之外，設(shè)備的管理，遵循“統(tǒng)一購置，統(tǒng)一編號，統(tǒng)一備案，跟蹤管理，集中報廢”的原則，嚴(yán)格控制發(fā)放范圍。所有設(shè)備在入網(wǎng)前，需由網(wǎng)絡(luò)安全負(fù)責(zé)人對設(shè)備的情況、基本配置信息、用途、使用人、安裝的軟件、使用的端口和服務(wù)、MAC地址等等級備案并進(jìn)行安全審核，合格后方可入網(wǎng)與處理重要信息。

2.2.2 采用網(wǎng)絡(luò)安全相關(guān)的技術(shù)

在網(wǎng)絡(luò)安全技術(shù)方面，一般采用防火墻和入侵檢測兩種技術(shù)。1）防火墻技術(shù)。該技術(shù)能執(zhí)行訪問控制，在使用期間同意允許訪問的用戶與數(shù)據(jù)進(jìn)入內(nèi)部網(wǎng)絡(luò)，拒絕不允許訪問的用戶與數(shù)據(jù)進(jìn)入內(nèi)部網(wǎng)絡(luò)，這樣能最大限度的阻止網(wǎng)絡(luò)黑客的訪問，提高內(nèi)部網(wǎng)絡(luò)的安全性；2）入侵檢測技術(shù)。改技術(shù)能彌補(bǔ)單純的防火墻技術(shù)暴露出明顯的不足和弱點，為網(wǎng)絡(luò)安全提供實時的入侵檢測及采取相應(yīng)的防護(hù)手段。入侵檢測是對防火墻的合理補(bǔ)充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性[3]。

本方案中，采用了華為公司生產(chǎn)的USG5160防火墻。在防火墻的內(nèi)部，是由各個單位的服務(wù)器、磁盤陣列等組成的網(wǎng)絡(luò)，而防火墻外部是由各個單位的數(shù)據(jù)加部門組成的一個網(wǎng)絡(luò)。（在這種網(wǎng)絡(luò)結(jié)構(gòu)中，通過對防火墻安全策略的配置，可以有效的防止各個作業(yè)PC機(jī)對服務(wù)器的惡意攻擊。由于生產(chǎn)網(wǎng)是一個相對獨立的網(wǎng)絡(luò)，每臺計算機(jī)IP是固定的，用戶對服務(wù)器的訪問相對可控，因此采用了基于主機(jī)的入侵檢測技術(shù)。我們通過系統(tǒng)日志分析軟件定期分析系統(tǒng)日志的方法來監(jiān)測系統(tǒng)是否有非法訪問。通過對這些日志的分析，可以使系統(tǒng)管理員在小范圍內(nèi)、審計和評估系統(tǒng)。

2.2.3 加強(qiáng)防范網(wǎng)絡(luò)病毒

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，安全技術(shù)也不斷升級，但是與此同時，病毒跟新和傳播的速度也不斷加快。對此應(yīng)不斷加強(qiáng)防范網(wǎng)絡(luò)病毒，更新殺毒軟件，盡量滿足網(wǎng)絡(luò)病毒防范的要求，提升計算機(jī)網(wǎng)絡(luò)安全。

綜上所述，網(wǎng)絡(luò)安全在測繪數(shù)據(jù)加工生產(chǎn)過程中非常關(guān)鍵，作為測繪行業(yè)工作人員，在充分利用網(wǎng)絡(luò)為測繪數(shù)據(jù)加工生產(chǎn)帶來高效、便捷的同時，還應(yīng)不斷更新網(wǎng)絡(luò)技術(shù)，加強(qiáng)網(wǎng)絡(luò)監(jiān)管，讓測繪數(shù)據(jù)加工生產(chǎn)安全、高效，進(jìn)一卻確保測繪數(shù)據(jù)準(zhǔn)確可靠。

參考文獻(xiàn)

[1]周燁，楊懷龍.淺談測繪生產(chǎn)網(wǎng)絡(luò)的數(shù)據(jù)安全[J].信息系統(tǒng)工程，2012(2).

第3篇

關(guān)鍵詞：計算機(jī)；網(wǎng)絡(luò)安全；入侵檢測技術(shù)

1引言

當(dāng)今世界計算機(jī)網(wǎng)絡(luò)的運(yùn)用十分廣泛，人們通過互聯(lián)網(wǎng)進(jìn)行商品買賣、社交以及娛樂，企業(yè)利用互聯(lián)網(wǎng)進(jìn)行交易，甚至能夠危及到國家安全的機(jī)密信息也在計算機(jī)網(wǎng)絡(luò)中溝通流動，因此計算機(jī)網(wǎng)絡(luò)安全影響著社會各個層次、各個方面。計算機(jī)網(wǎng)絡(luò)安全問題成為全世界共同關(guān)注的問題，如果不能有效地解決，將會嚴(yán)重制約信息化的發(fā)展進(jìn)程。隨著網(wǎng)絡(luò)專家的不懈努力，找到了一個有效的解決途徑就是入侵檢測技術(shù)。入侵檢測系統(tǒng)可以彌補(bǔ)防火墻的不足，在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)進(jìn)行檢測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護(hù)。

2入侵檢測技術(shù)相關(guān)理論概述

2.1定義

入侵檢測技術(shù)是一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)，是一種用于檢測計算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)，是一種為保證計算機(jī)系統(tǒng)的安全而設(shè)計與配置的技術(shù)。入侵檢測系統(tǒng)(IntrusionDetectionSystem，簡稱IDS)是進(jìn)行入侵檢測的軟件與硬件的組合。入侵檢測系統(tǒng)(IDS)可以被定義為對計算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為進(jìn)行識別和相應(yīng)處理的系統(tǒng)。包括系統(tǒng)外部的入侵和內(nèi)部用戶的非授權(quán)行為，是一種用于檢測計算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。入侵檢測系統(tǒng)在發(fā)現(xiàn)入侵后，會及時作出響應(yīng)，包括切斷網(wǎng)絡(luò)連接、記錄事件和報警等。入侵檢測技術(shù)從計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護(hù)。

2.2分類

（1）按照檢測時間分類：入侵檢測按檢測的時間可分為實時入侵檢測和事后入侵檢測兩種；（2）按照分析方法分類：入侵檢測按照檢測分析方法一般被分為誤用檢測和異常檢測兩大類；（3）按照數(shù)據(jù)來源分類：入侵檢測依據(jù)待分析的數(shù)據(jù)來源通?？煞譃榛谥鳈C(jī)的檢測系統(tǒng)和基于網(wǎng)絡(luò)的檢測系統(tǒng)兩類；（4）按照系統(tǒng)結(jié)構(gòu)分類：入侵檢測按系統(tǒng)結(jié)構(gòu)的劃分可分為集中式入侵檢測和分布式入侵檢測兩種；（5）按照工作方式分類：入侵檢測按照工作方式的區(qū)別可分為離線檢測和在線檢測兩種。

2.3工作流程

入侵檢測技術(shù)的工作流程基本上可以歸納為以下3個步驟：（1）信息收集：信息收集是入侵檢測的第一步，信息收集的內(nèi)容主要包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的行為和狀態(tài)。收集信息的工作是由放置在不同網(wǎng)段的傳感器或不同主機(jī)的來完成，包括非正常的目錄和文件改變、非正常的程序執(zhí)行以及系統(tǒng)和網(wǎng)絡(luò)日志文件、網(wǎng)絡(luò)流量的信息。（2）信息分析：收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為等信息，被送到檢測引擎，檢測引擎駐留在傳感器中，一般通過3種技術(shù)手段進(jìn)行分析：統(tǒng)計分析、完整性分析和模式匹配。其中模式匹配和統(tǒng)計分析用于實時的入侵檢測，而完整性分析則用于事后的檢測分析。當(dāng)檢測到某種誤用模式時，就會產(chǎn)生一個告警并發(fā)送給控制臺。（3）問題處理：控制臺收到告警后，會按照告警產(chǎn)生預(yù)先定義的響應(yīng)采取相應(yīng)措施，可以是重新配置路由器或防火墻、終止進(jìn)程、切斷連接、改變文件屬性，也可以只是簡單的告警。識別告警的方法主要有：活動特征、告警特征和用戶特征。

3應(yīng)用安全

入侵檢測技術(shù)在計算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用主要體現(xiàn)在基于主機(jī)的入侵檢測系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)兩個方面。

3.1基于主機(jī)的入侵檢測系統(tǒng)

基于主機(jī)的入侵檢測系統(tǒng)是把主機(jī)作為對計算機(jī)的重點檢測對象，對主機(jī)進(jìn)行入侵檢測的設(shè)置，根據(jù)主機(jī)的運(yùn)行情況來判斷并檢測主機(jī)是否出現(xiàn)了受到攻擊的行為。主機(jī)入侵檢測系統(tǒng)能夠全面實時地監(jiān)控計算機(jī)網(wǎng)絡(luò)用戶的操作行為，當(dāng)網(wǎng)絡(luò)出現(xiàn)網(wǎng)絡(luò)異常情況時會進(jìn)行預(yù)警，全面及時地保護(hù)網(wǎng)絡(luò)安全?；谥鳈C(jī)的入侵檢測系統(tǒng)能夠?qū)粜袨槭欠癯晒M(jìn)行判斷，并為主機(jī)作出決策提供充足的依據(jù)?；谥鳈C(jī)分入侵檢測系統(tǒng)還可以對文件訪問、文件執(zhí)行等指定的特定的系統(tǒng)部位進(jìn)行監(jiān)控。

3.2基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)

基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)又被稱為基于行為的入侵檢測系統(tǒng)，它在檢測設(shè)置時無需在主機(jī)上進(jìn)行安裝，并且可以設(shè)置多個安全點，能夠同時對多個網(wǎng)絡(luò)通信進(jìn)行監(jiān)控，因此有著檢測成本相對較低、檢測速度快的優(yōu)點?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)能夠及時發(fā)現(xiàn)計算機(jī)在網(wǎng)絡(luò)運(yùn)行過程中受到的攻擊，并及時向檢測系統(tǒng)發(fā)送檢測結(jié)果報告，提高發(fā)現(xiàn)計算機(jī)網(wǎng)絡(luò)安全入侵的速度，方便快捷，并且大大縮短了計算機(jī)受到網(wǎng)絡(luò)攻擊的時間?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)由于采取對計算機(jī)的多處網(wǎng)絡(luò)安全點和網(wǎng)絡(luò)通信進(jìn)行監(jiān)控和觀察，并且安裝方便，因此檢測效果高；監(jiān)測系統(tǒng)一旦發(fā)現(xiàn)問題之后，可以直接利用網(wǎng)絡(luò)進(jìn)行報告，無論何時何地，都能做出快捷地反應(yīng)和解決措施，提高了計算機(jī)網(wǎng)絡(luò)安全檢測技術(shù)的水平和檢測效率，確保了計算機(jī)在安全網(wǎng)絡(luò)環(huán)境下的正常運(yùn)行，為計算機(jī)用戶帶來了便利。

4存在問題

4.1入侵檢測技術(shù)相對落后

目前國內(nèi)在入侵檢測技術(shù)的研究起步比較晚，與發(fā)達(dá)國家相比差距還比較大。在網(wǎng)絡(luò)安全技術(shù)發(fā)展的同時，網(wǎng)絡(luò)入侵技術(shù)也在不斷地升級，如果計算機(jī)網(wǎng)絡(luò)安全入侵檢測技術(shù)相對落后的話，當(dāng)比較復(fù)雜高級的計算機(jī)網(wǎng)絡(luò)入侵行為發(fā)生時，入侵檢測技術(shù)是難以有效地解決威脅網(wǎng)絡(luò)安全的因素的。在網(wǎng)絡(luò)環(huán)境下，計算機(jī)對于網(wǎng)絡(luò)安全的依賴性比較高，網(wǎng)絡(luò)安全的入侵檢測技術(shù)也存在一定的缺陷，安全檢測存在局限性，在相同的網(wǎng)段能夠進(jìn)行計算機(jī)網(wǎng)絡(luò)系統(tǒng)的局部檢測與分析，一旦計算機(jī)網(wǎng)絡(luò)系統(tǒng)處于不同的網(wǎng)段，其檢測的全面性與有效性是難以保證的，由此可見，計算機(jī)網(wǎng)絡(luò)安全的檢測技術(shù)仍然有待提高，其存在的局限性與不完整性是非常明顯。

4.2入侵檢測技術(shù)方式單一

計算機(jī)網(wǎng)絡(luò)安全的入侵檢測系統(tǒng)主要采取的方式是特征檢測，特征檢測的適用范圍是那些比較簡單的入侵攻擊行為，在單一的主機(jī)或網(wǎng)絡(luò)構(gòu)架下的檢測效果很好，對異構(gòu)系統(tǒng)以及大規(guī)模的網(wǎng)絡(luò)監(jiān)控就顯得力不從心。當(dāng)出現(xiàn)比較復(fù)雜的入侵行為時，入侵檢測需要大量的計算和分析時間，這時入侵特征檢測就無法發(fā)揮作用。另外，當(dāng)入侵檢測系統(tǒng)對網(wǎng)絡(luò)系統(tǒng)進(jìn)行監(jiān)控時，會產(chǎn)生數(shù)量巨大的分析數(shù)據(jù)，分析數(shù)據(jù)會對系統(tǒng)性能造成較大壓力。

4.3入侵檢測技術(shù)加密處理困難

（1）計算機(jī)網(wǎng)絡(luò)安全入侵檢測技術(shù)在處理會話過程的加密問題上有很大的困難，就目前的發(fā)展趨勢來看，這個問題會越來越突出。（2）入侵檢測系統(tǒng)自身無法對網(wǎng)絡(luò)攻擊行為進(jìn)行阻斷，必須通過計算機(jī)內(nèi)部防火墻的聯(lián)合機(jī)制才能更好地完成入侵檢測，自身的功能存在缺陷明顯，作用也無法得到充分的發(fā)揮。（3）人們在日常生活中對計算機(jī)的廣泛應(yīng)用，計算機(jī)觸及到用戶越來越多的隱私，因而計算機(jī)內(nèi)存儲的網(wǎng)絡(luò)數(shù)據(jù)也具有一定的隱私性，在計算機(jī)受到網(wǎng)絡(luò)安全的威脅后，計算機(jī)網(wǎng)絡(luò)安全的入侵檢測系統(tǒng)自身無法完成對計算機(jī)系統(tǒng)的全面檢測，檢測技術(shù)并不能保證計算機(jī)網(wǎng)絡(luò)數(shù)據(jù)的安全性和隱私性，加之網(wǎng)絡(luò)檢測需要同計算機(jī)內(nèi)部防火墻聯(lián)合，這樣便會對計算機(jī)內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)造成一定的暴露，不能對其做到科學(xué)全面的加密處理，在一定程度上對用戶的個人隱私造成威脅。

5發(fā)展趨勢

5.1分布式入侵檢測

在如今高速發(fā)展的信息網(wǎng)絡(luò)時代，傳統(tǒng)的入侵檢測技術(shù)缺乏協(xié)同并且過于單一，在應(yīng)對高級復(fù)雜的網(wǎng)絡(luò)安全入侵時顯得力不從心，因此分布式的協(xié)作機(jī)制就顯得更有優(yōu)勢。分布式入侵檢測核心的技術(shù)體現(xiàn)在全局的入侵信息提取與多個入侵檢測協(xié)同處理，主要體現(xiàn)在收集數(shù)據(jù)、入侵信息的分析和及時的自動響應(yīng)等方面。它在系統(tǒng)資源方面的優(yōu)勢遠(yuǎn)大于別的方式，將是將來主要的發(fā)展方向之一。

5.2智能化入侵檢測

目前的安全入侵方式越來越智能化和多樣化，因此入侵技術(shù)的智能化發(fā)展也變得順理成章。智能化入侵檢測技術(shù)包含了模糊技術(shù)、神經(jīng)網(wǎng)絡(luò)、遺傳算法、免疫原理等方法，能夠更有效地識別與分析入侵威脅因素，提高網(wǎng)絡(luò)安全入侵檢測技術(shù)水平。智能化入侵檢測可以將入侵的特點更具有廣泛識別性和辨識性，因此可以在解決出現(xiàn)的故障時，識別和隔離可疑攻擊，并不干涉正常運(yùn)行的程序，以確保計算機(jī)的運(yùn)行效率。

5.3一體化全方位防御方案

根據(jù)目前的網(wǎng)絡(luò)安全入侵情況來看，入侵方式越來越智能化和多樣化，僅僅某一方面的入侵檢測方式很難應(yīng)對，因此針對這種情況，網(wǎng)絡(luò)安全入侵檢測系統(tǒng)很可能實現(xiàn)一體化的發(fā)展趨勢，這樣入侵檢測的結(jié)果將會更加全面和科學(xué)準(zhǔn)確，打造網(wǎng)絡(luò)安全入侵檢測平臺，最大化地利用計算機(jī)資源，增強(qiáng)入侵檢測的可靠性，全方位地確保計算機(jī)的網(wǎng)絡(luò)安全。

6結(jié)語

作為一種積極主動地計算機(jī)網(wǎng)絡(luò)安全防護(hù)技術(shù)，入侵檢測為計算機(jī)網(wǎng)絡(luò)安全提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和解決入侵威脅，對保護(hù)網(wǎng)絡(luò)安全的作用十分重要。面對日益復(fù)雜的網(wǎng)絡(luò)安全形勢，必需正視自己在入侵檢測技術(shù)上與發(fā)達(dá)國家的差距，加大研究力度，提升我國計算機(jī)網(wǎng)絡(luò)安全的入侵檢測技術(shù)水平，為計算機(jī)網(wǎng)絡(luò)安全提供有力保障。

參考文獻(xiàn)

[1]毛曉仙.試論計算機(jī)網(wǎng)絡(luò)安全的入侵檢測技術(shù)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2014,08:63+65.

[2]唐銳.基于頻繁模式的離群點挖掘在入侵檢測中的應(yīng)用[D].重慶大學(xué),2013.

[3]宋彥京.計算機(jī)網(wǎng)絡(luò)入侵檢測系統(tǒng)與技術(shù)措施分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2014,11:51-52.

第4篇

Abstract: Along with the popularization of computer and network security issues become more prominent, exploring a network security anomaly detection approach has become obvious imperative. The excellent network security testing methods can dynamically reflect network security and make a timely warning. It not only detects external attack, but also detects the unauthorized acts the users used in the daily operation.

關(guān)鍵詞： 網(wǎng)絡(luò)安全；異常檢測；分析；方案

Key words: network security；anomaly detection；analysis；program

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1006-4311（2012）03-0149-01

0 引言

要想檢測到網(wǎng)絡(luò)中的異常事件流,我們必須首先設(shè)定事件檢測模式與頻繁密度的概念。然后應(yīng)用異常事件模式的間隔限制，輔之以設(shè)計的滑動窗口算法，我們就可以實現(xiàn)對網(wǎng)絡(luò)中異常事件流的檢測了。當(dāng)然，由于網(wǎng)絡(luò)協(xié)議設(shè)定上存在的疏漏，以及網(wǎng)絡(luò)管理與使用的不當(dāng)，最近的網(wǎng)絡(luò)安全問題尤為嚴(yán)重。因此探討網(wǎng)絡(luò)安全事件流的特點與提出相應(yīng)的措施來改進(jìn)監(jiān)測機(jī)制顯得勢在必行且具有很大的經(jīng)濟(jì)效益。

1 改善網(wǎng)絡(luò)安全建設(shè)方案

考慮到各種網(wǎng)絡(luò)安全技術(shù)，我們?nèi)绻茉诰W(wǎng)絡(luò)安全異常檢測中采用統(tǒng)一管理系統(tǒng)，就可以提高系統(tǒng)的檢測精度。因為在統(tǒng)一的管理系統(tǒng)中，我們可以利用連接到的基本屬性，將基于時間的統(tǒng)計特點融于自身，當(dāng)然可以明顯的提高對網(wǎng)絡(luò)安全的偵測預(yù)警能力。下面簡單論述一下幾條完善網(wǎng)絡(luò)安全的措施：

1.1 用戶自身加強(qiáng)口令管理 我們對于口令再熟悉不過了，而我們的計算機(jī)安全就很大程度上取決于口令的安全。

當(dāng)今的黑客侵入計算機(jī)系統(tǒng)竊取口令的常用方法通常有以下幾種：首先是通過非法的網(wǎng)絡(luò)設(shè)備監(jiān)聽以達(dá)到竊取用戶口令的目的；其次是在知道用戶的帳號后，利用一些專門軟件強(qiáng)行破解用戶口令；最后就是在獲得一個服務(wù)器上的用戶口令文件后，用暴力破解程序及用戶口令。這種方法尤其對那些警惕性不高的用戶會構(gòu)成巨大的威脅。因此如果用戶在自身的口令管理上做好防范工作，那么也就切斷了網(wǎng)絡(luò)安全從用戶端侵入的隱患。

1.2 統(tǒng)一賬號管理，進(jìn)行安全管理建設(shè) 進(jìn)行安全管理建設(shè)的主要內(nèi)容為采：采用信息化、科技化技術(shù)進(jìn)行帳號口令的管理，達(dá)到人手一賬號和安全化的帳號管理。同時逐漸改善網(wǎng)絡(luò)的審核體系、網(wǎng)絡(luò)安全設(shè)備、主機(jī)以及應(yīng)用系統(tǒng)。并且以高新技術(shù)為依托，建設(shè)出一整套切實可行的帳號口令統(tǒng)一管理系統(tǒng)。這樣不僅能達(dá)到對帳號口令的管理，還可以做到專門化、優(yōu)勢化、合理化。眾所周知，體系框架中尤為重要的就是網(wǎng)絡(luò)平臺的監(jiān)管、賬號和授權(quán)的管理、認(rèn)證以及審核管理。為了構(gòu)建完善的體系框架，有必要組建安全管理部門，由資深的安全顧問為領(lǐng)頭人，逐步建立完善的信息安全管理體系。

最后還要注重邊界安全。我們一般通過安全域劃分和加強(qiáng)安全邊界防護(hù)措施來達(dá)到邊界安全的目的。這就要求對于Internet外網(wǎng)出口安全問題予以重點考慮，相應(yīng)的，我們一般采用的技術(shù)有網(wǎng)絡(luò)邊界隔離與入侵防護(hù)等。

1.3 采用IPS系統(tǒng) 通過在重要服務(wù)器區(qū)域的邊界應(yīng)用入侵防護(hù)系統(tǒng)，以此對于集中進(jìn)行的訪問進(jìn)行控制和綜合過濾，達(dá)到保護(hù)網(wǎng)絡(luò)安全的目的。而增設(shè)IPS系統(tǒng)就可以預(yù)防服務(wù)器由于未及時添加補(bǔ)丁或者一時的疏忽而導(dǎo)致的入侵事件的發(fā)生。例如在網(wǎng)絡(luò)的邊界位置安放IPS系統(tǒng)邊界位置，就可以輕松的實現(xiàn)對網(wǎng)絡(luò)流量的實時實地的檢測，以達(dá)到安全過濾的目的。

2 升級檢測系統(tǒng)

由于在網(wǎng)絡(luò)安全問題中存在模糊地帶，如安全與威脅就沒有明顯的界限。因此很有必要在網(wǎng)絡(luò)安全事件檢測中引入模糊集理論。通過此理論的引入，使得模糊集理論與關(guān)聯(lián)規(guī)則算法結(jié)合起來，采用在模糊條件下的關(guān)聯(lián)算法來檢測、分析網(wǎng)絡(luò)中的行為特征，從而可以更為高效且不失靈活的對網(wǎng)絡(luò)安全保駕護(hù)航。

2.1 完善檢測算法 傳統(tǒng)的算法只是將網(wǎng)絡(luò)屬性的取值范圍分散成不同的區(qū)間，并將其轉(zhuǎn)換為“布爾型”關(guān)聯(lián)的規(guī)則算法。這樣的算法顯而易見會產(chǎn)生許多的邊界問題，例如對于略微偏離原來規(guī)定的范圍的異常，系統(tǒng)就會做出錯誤的判斷，從而導(dǎo)致網(wǎng)絡(luò)安全受到威脅。于是考慮到事件流的特點，采用事件流中滑動窗口設(shè)計算法，輔之以復(fù)合攻擊模式的方法，對算法進(jìn)行科學(xué)化的測試。試驗檢測的結(jié)果證明，這種算法不僅在網(wǎng)絡(luò)時空的復(fù)雜性還是漏報率等方面均符合網(wǎng)絡(luò)安全事件流中異常檢測的要求。

2.2 提高檢測精度 一個完善的異常檢測系統(tǒng)，應(yīng)該盡可能全面的對網(wǎng)絡(luò)行為進(jìn)行準(zhǔn)確的描述，即不僅覆蓋高頻率模式，更應(yīng)該包含低頻率模式。但是在一般的入侵檢測系統(tǒng)中，通常都是直接采用網(wǎng)絡(luò)連接記錄中的基本屬性，于是可想而知得到的檢測效果均不理想。

關(guān)聯(lián)算法的引入對于提高異常檢測能力有明顯的優(yōu)勢。由于不同的攻擊類型所引起的記錄不同，即攻擊的次數(shù)與記錄所占的比例不成正比。而關(guān)聯(lián)算法將遇到的情況與數(shù)據(jù)邏輯相結(jié)合可以有效地提高監(jiān)測的精度。

而如果把基于時間的統(tǒng)計特征屬性也考慮在內(nèi)，就可以進(jìn)一步的提高系統(tǒng)的檢測精度。于是網(wǎng)絡(luò)安全事件流的異常檢測有必要引入數(shù)據(jù)化理論，并將其與關(guān)聯(lián)規(guī)則算法結(jié)合起來，深入全面的挖掘網(wǎng)絡(luò)行為特征，從而進(jìn)一步提高系統(tǒng)的檢測的靈活性和精度。

2.3 提升檢測效率 如何在當(dāng)今迅速快捷，高效、高規(guī)模的數(shù)據(jù)傳輸中以最快的速度對網(wǎng)絡(luò)異常行為作出預(yù)警是眼下的當(dāng)務(wù)之急。我們當(dāng)下基于入侵檢測技術(shù)和數(shù)據(jù)流挖掘技術(shù)，提出了一個大規(guī)模網(wǎng)絡(luò)數(shù)據(jù)流頻繁模式挖掘和檢測算法。這種算法可以精確地檢測出網(wǎng)絡(luò)流量出現(xiàn)的異常，為增強(qiáng)網(wǎng)絡(luò)的預(yù)警能力的能力，構(gòu)造了一個管控同時進(jìn)行的網(wǎng)絡(luò)模型。這種網(wǎng)絡(luò)模型不僅可以自覺地檢測威脅、發(fā)出預(yù)警，還可以隔離威脅，并同時記錄入侵對象的特征。

3 結(jié)束語

計算機(jī)技術(shù)的發(fā)展日新月異，而與之相對的計算機(jī)入侵手段也日益先進(jìn)，這種潛在威脅的存在使得計算機(jī)的優(yōu)勢打折，并在一定程度上對人們的經(jīng)濟(jì)與生活帶來諸多煩惱。因此對于計算機(jī)的異常檢測與安全防護(hù)顯得尤為重要，并且防護(hù)的水平要與時俱進(jìn)，將異常入侵帶來的損失降到最低，使得我國的網(wǎng)絡(luò)環(huán)境更為潔凈。

參考文獻(xiàn)：

[1]沈敬彥.網(wǎng)絡(luò)安全事件流中異常檢測方法[J].重慶師專學(xué)報，2006.

第5篇

關(guān)鍵詞： IPV6；網(wǎng)絡(luò)入侵檢測；模式匹配

0 前言

隨著現(xiàn)代化信息技術(shù)的迅猛發(fā)展，互聯(lián)網(wǎng)的影響范圍也越來越廣，網(wǎng)絡(luò)入侵事件頻發(fā)，相應(yīng)的入侵手段也越來越多，給網(wǎng)絡(luò)安全性帶來極大的威脅。作為網(wǎng)絡(luò)安全防范措施，入侵檢測系統(tǒng)具有實時性和主動性的特征，對計算機(jī)網(wǎng)絡(luò)或系統(tǒng)當(dāng)中的關(guān)鍵點數(shù)據(jù)進(jìn)行收集和分析，進(jìn)而做出有無不遵守網(wǎng)絡(luò)安全協(xié)議的行為或者是攻擊的存在，并向系統(tǒng)提供應(yīng)對網(wǎng)絡(luò)攻擊的幫助，借助該技術(shù)，系統(tǒng)管理工作人員的安全管理能力也有明顯提升，計算機(jī)信息安全基礎(chǔ)結(jié)構(gòu)也更加完整，可以提供針對于攻擊和誤操作的有效保護(hù)措施。新一代網(wǎng)絡(luò)IPV6安全機(jī)制的應(yīng)用越來越普遍，網(wǎng)絡(luò)層的安全性也逐漸引起關(guān)注，IPV6安全機(jī)制的引入給傳統(tǒng)的網(wǎng)絡(luò)安全入侵檢測系統(tǒng)提出新的挑戰(zhàn)。

1 網(wǎng)絡(luò)入侵檢測系統(tǒng)

1.1 入侵檢測系統(tǒng)分類

以監(jiān)測數(shù)據(jù)的來源為依據(jù)，可以將網(wǎng)絡(luò)安全入侵檢測系統(tǒng)劃分為依托于主機(jī)的入侵檢測系統(tǒng)以及依托于網(wǎng)絡(luò)的入侵檢測系統(tǒng)兩種，其中，前者對已知以及可疑攻擊模式的查找是以來自于主機(jī)的審計記錄以及日志文件的相關(guān)數(shù)據(jù)來源為主要依據(jù)的；后者確定攻擊則是借助網(wǎng)絡(luò)適配器對通過網(wǎng)絡(luò)傳輸?shù)耐ㄐ胚^程進(jìn)行檢測和分析。以檢測技術(shù)為依據(jù)，網(wǎng)絡(luò)安全入侵檢測系統(tǒng)可以劃分為基于異常的入侵檢測系統(tǒng)以及基于誤用的入侵檢測系統(tǒng)兩種，基于異常的入侵檢測系統(tǒng)是以統(tǒng)計理論為依據(jù)對用戶或系統(tǒng)正常行為特征輪廓進(jìn)行提取，對比所提取的數(shù)據(jù)的統(tǒng)計處理和正常行為系統(tǒng)統(tǒng)計特征，進(jìn)而做出有無入侵的判斷；后者則是依據(jù)知識庫，分析系統(tǒng)行為方式，進(jìn)而做出有無入侵的判斷。

1.2 傳統(tǒng)網(wǎng)絡(luò)安全入侵檢測系統(tǒng)

第一代及第二代IDS均采用的是模式匹配檢測技術(shù)。模式匹配入侵檢測基本思路是以全部的網(wǎng)絡(luò)數(shù)據(jù)包及攻擊庫的特征為對象，對二者進(jìn)行匹配，進(jìn)而做出有無攻擊發(fā)生的判斷。當(dāng)前，模式匹配技術(shù)已經(jīng)較為成熟，在入侵檢測系統(tǒng)中的應(yīng)用極為普遍。其中Brute Force算法、Boyer-Moore算法、Aho-Corasick算法以及Set-wiseBoyer-Moor-Horspool算法等都是比較具有代表性的模式匹配算法。

新一代IDS探測攻擊所采用的是協(xié)議分析技術(shù)。網(wǎng)絡(luò)協(xié)議都是具有一定規(guī)則的，協(xié)議分析技術(shù)是借助該特性對有無攻擊做出判斷。協(xié)議分析技術(shù)對攻擊的檢測效率有下注提升，在很大程度上減少了計算量，即便是網(wǎng)絡(luò)負(fù)載較高，依然可以在不丟失數(shù)據(jù)包的情況前提下，對攻擊做出準(zhǔn)確判斷和分析。

2 基于IPV6網(wǎng)絡(luò)安全入侵檢測

2.1 IPV6網(wǎng)絡(luò)安全問題

IPsec協(xié)議是IPV6的重要內(nèi)容之一，其作用是進(jìn)行身份認(rèn)證，然而因為IPsec是網(wǎng)絡(luò)層協(xié)議，除其下層網(wǎng)絡(luò)安全之外，對IP層以上以及網(wǎng)絡(luò)應(yīng)用軟件中的缺陷及漏洞無能為力。IPV6僅僅對IP層網(wǎng)絡(luò)協(xié)議進(jìn)行了修正和擴(kuò)充。隨著IPV6應(yīng)用范圍的越來越廣，之前存在于其他協(xié)議層的各種攻擊向IPV6轉(zhuǎn)移的可能性極大。舉例來說，諸如Synfl就是一種存在于TCP層的攻擊行為，此外還有HTTP服務(wù)器自身的不足等，均有可能轉(zhuǎn)向IPV6，因此，為最大限度的確保網(wǎng)絡(luò)安全，有必要對依托于IPV6網(wǎng)絡(luò)安全入侵檢測系統(tǒng)進(jìn)行深入的分析和探究。

針對當(dāng)前網(wǎng)絡(luò)安全體制，IPV6安全機(jī)制提出新的要求和挑戰(zhàn)，主要體現(xiàn)在以下兩方面：第一方面，在IPV6環(huán)境之下，Ipse加密功能所提供的保護(hù)是端到端的，至于加密算法則是可以根據(jù)實際需求進(jìn)行選擇的，密鑰也是保密的，因此單純憑借入侵檢測系統(tǒng)不能獲取TCP/UDP端口號，進(jìn)而也就無法開展針對被加密的IPV6數(shù)據(jù)的分析工作；另一方面，相比較于IPV4而言，IPV6的報頭位置有所改變。通常情況下，IP報頭和TPC/UDP報頭之間還存在著諸如路由選項報頭等擴(kuò)展報頭，只有確定下一報頭才能過濾數(shù)據(jù)包，這樣勢必會給入侵檢測系統(tǒng)的處理能力及保護(hù)速度造成一定的負(fù)面影響。所以可以得出結(jié)論：以IPV4為基礎(chǔ)的網(wǎng)絡(luò)安全入侵檢測系統(tǒng)對IPV6數(shù)據(jù)包的檢測效果并不理想，研發(fā)基于IPV6的網(wǎng)絡(luò)安全入侵檢測系統(tǒng)模型十分必要。

2.2 基于IPV6入侵檢測技術(shù)

網(wǎng)絡(luò)協(xié)議是按照一定規(guī)則分析各個層次協(xié)議解析結(jié)果，進(jìn)而準(zhǔn)確確定攻擊，這也是協(xié)議分析技術(shù)的依據(jù)所在。利用該技術(shù)可以極大的減少計算量，即便是網(wǎng)絡(luò)負(fù)載較高，同樣可以在數(shù)據(jù)包不被丟失的前提下確定攻擊并開展入侵分析工作。協(xié)議分析技術(shù)相比較于之前的模式匹配技術(shù)而言，最大的優(yōu)勢體現(xiàn)在準(zhǔn)確性及整體性方面。因此，利用協(xié)議分析技術(shù)對IPV6報頭進(jìn)行處理，利用成熟模式匹配技術(shù)對數(shù)據(jù)部分進(jìn)行處理，可以實現(xiàn)對二者優(yōu)勢的充分有效利用，促進(jìn)監(jiān)測效率的進(jìn)一步提升。

以檢測數(shù)據(jù)的來源為依據(jù)，可以將入侵檢測系統(tǒng)劃分為兩類：一是依托于主機(jī)的入侵檢測系統(tǒng)，二是依托于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。1）依托于主機(jī)的入侵檢測系統(tǒng)，此種檢測系統(tǒng)式在被保護(hù)系統(tǒng)中設(shè)置檢測模塊，針對被保護(hù)系統(tǒng)進(jìn)行數(shù)據(jù)提取，之后進(jìn)行入侵分析進(jìn)而達(dá)到入侵檢測目的。建立在主機(jī)日志基礎(chǔ)上的安全審計主要是通過對主機(jī)日志的分析確定入侵行為，優(yōu)勢在于：檢測率較高、分析代價低以及分析速度較快等，可以對入侵者及時定位，此外還可以與操作系統(tǒng)及應(yīng)用程序的行為特征相配合，進(jìn)一步分析入侵者。依托于主機(jī)的入侵檢測系統(tǒng)的具體實現(xiàn)方法有很多種，設(shè)置檢測系統(tǒng)，以便及時發(fā)現(xiàn)異常的或非法的系統(tǒng)設(shè)置和非法更改系統(tǒng)設(shè)置定期檢測系統(tǒng)的安全性狀態(tài)，以便可以及時發(fā)現(xiàn)系統(tǒng)安全狀態(tài)出現(xiàn)的異常情況；2）基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)，此種入侵檢測系統(tǒng)數(shù)據(jù)提取的實現(xiàn)主要是通過網(wǎng)絡(luò)監(jiān)視得以實現(xiàn)的。

1）數(shù)據(jù)捕獲模塊，此模塊是入侵檢測系統(tǒng)得以實現(xiàn)的重要基礎(chǔ)。流入網(wǎng)絡(luò)數(shù)據(jù)包流量隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大而增加，因此，最大限度的確保該模塊工作的穩(wěn)定性、可靠性及高效性具有重要意義。對于抓包所導(dǎo)致的性能問題，可以引入零拷貝技術(shù)，借助特定的網(wǎng)卡驅(qū)動對數(shù)據(jù)包進(jìn)行捕獲，并將其寫入共享內(nèi)存，這樣可以減少復(fù)制及系統(tǒng)調(diào)用。2）協(xié)議分析器，其主要作用是對命令字符串進(jìn)行解析，同時向協(xié)議解析器傳輸首個字節(jié)位置信息。協(xié)議分析器通過逐層剝離數(shù)據(jù)包來對協(xié)議報頭及數(shù)據(jù)部分進(jìn)行分析。3）協(xié)議解析器。作為命令解析程序，協(xié)議解析器能夠針對各種應(yīng)用協(xié)議來分析用戶命令。4）模式匹配及規(guī)則庫。其中，模式匹配主要是分析來自于協(xié)議分析部分的數(shù)據(jù)，并將其與特征庫中事先定義的入侵模式進(jìn)行對比，進(jìn)而做出數(shù)據(jù)包有無入侵企圖的判斷；規(guī)則庫是由語義層檢測規(guī)則所構(gòu)成的，其實現(xiàn)方式主要有兩種，一種是在之前的系統(tǒng)數(shù)據(jù)庫中建立相應(yīng)表格，另外一種就是格式和擴(kuò)展名既定的文件形式。5）事件響應(yīng)模塊，模式匹配判斷操作是否合法，結(jié)果將會被此模塊所接收，如果判斷結(jié)果是操作可疑或非法，就會對諸如操作人員及時間等具體信息進(jìn)行記錄。對于較為嚴(yán)重的非法操作，可以采取將連接切斷的應(yīng)對措施。

3 結(jié)語

綜上所述，IPV6作為新一代的網(wǎng)絡(luò)安全機(jī)制應(yīng)用范圍不斷擴(kuò)大，結(jié)合IPV6自身特性，筆者將協(xié)議分析及模式匹配技術(shù)予以融合，提出了依托于IPV6的網(wǎng)絡(luò)安全入侵檢測系統(tǒng)設(shè)計方案，從本質(zhì)上講，就是借助高速搜索算法，實現(xiàn)對信息數(shù)據(jù)幀的高速高效處理，并對通信的內(nèi)容作出判斷，從而提升了準(zhǔn)確性及檢測速度。

參考文獻(xiàn)：

[1]潘理虎、陳立潮、武輝斌、李峰，基于協(xié)議分析的Ipv6網(wǎng)絡(luò)入侵檢測系統(tǒng)的研究[J].太原理工大學(xué)學(xué)報，2006（04）：34-36

[2]周荃、王崇駿、王珺、周新民、陳世福，基于人工智能技術(shù)的網(wǎng)絡(luò)入侵檢測的若干方法[J].計算機(jī)應(yīng)用研究，2007（05）：123-124

[3]肖天慶、任翔，新一代國際互聯(lián)網(wǎng)協(xié)議IPv6與IPv4的比較研究[J].紅河學(xué)院學(xué)報，2010（02）：56-57.

[4]王磊，在網(wǎng)絡(luò)安全方面IPv6協(xié)議的改進(jìn)及新問題的探討[J].科技信息（科學(xué)教研），2008（21）87-89.

[5]馬莉、李燕、吉斌武，一種基于免疫原理的網(wǎng)絡(luò)入侵檢測系統(tǒng)[J].桂林航天工業(yè)高等?？茖W(xué)校學(xué)報，2009（02）：45-46.

[6]劉靜，基于防火墻與入侵檢測系統(tǒng)聯(lián)動的校園網(wǎng)GSN全局部署[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2011（01）：68-69.

第6篇

關(guān)鍵詞：入侵檢測 網(wǎng)絡(luò)安全 研究

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-9416（2016）05-0000-00

在網(wǎng)絡(luò)安全中，入侵檢測技術(shù)是至關(guān)重要的一個環(huán)節(jié)，在沒有用戶授權(quán)的情況下，主機(jī)被外訪問并且被篡改盜用了信息，使得用戶的信息泄露，系統(tǒng)機(jī)密受到破壞，出現(xiàn)系統(tǒng)漏洞，個人隱私受到威脅，一般這種入侵行為是比較難發(fā)現(xiàn)的，它沒有時間空間的約束，大都是發(fā)生在系統(tǒng)內(nèi)部。針對這一情況，入侵檢測技術(shù)中的動態(tài)防護(hù)是極為有用的，它能夠較好的保護(hù)計算機(jī)網(wǎng)絡(luò)安全。將閉環(huán)的安全方法帶入計算機(jī)網(wǎng)絡(luò)系統(tǒng)中，利用這種入侵檢測技術(shù)，可以讓計算機(jī)的系統(tǒng)得到更全面的保護(hù)，對重要的數(shù)據(jù)進(jìn)行嚴(yán)格加密，以及身份的驗證進(jìn)行及時的反饋，讓計算機(jī)系統(tǒng)更加安全有保障。

1入侵檢測的分析

1.1網(wǎng)絡(luò)入侵的方式

網(wǎng)絡(luò)入侵的方式涉及到多個方面，例如獲取訪問權(quán)限，收集利用大量信息以及逃避檢測等方面。其中關(guān)于獲取訪問權(quán)限這一方面，有多種手段可以得到權(quán)限，像對口令的反復(fù)多次試探，利用高級的字典破譯工具破解網(wǎng)絡(luò)程序，除此之外FTP攻擊都會對系統(tǒng)造成嚴(yán)重的損壞。如果想獲取用戶信息則攻擊者也有很多方法達(dá)到目的，對端口進(jìn)行掃描，對存在的漏洞進(jìn)行掃描，以及對用戶等其他方面進(jìn)行細(xì)致的掃描，針對發(fā)現(xiàn)的系統(tǒng)漏洞進(jìn)行分析，并針對性的根據(jù)缺陷利用可行的工具或者協(xié)議，再者還可以收集利用主機(jī)系統(tǒng)的有用數(shù)據(jù)為再次的攻擊做好工作鋪墊。對于逃避檢測這個方面，攻擊者可以破壞日志，對系統(tǒng)漏洞進(jìn)行慢速攻擊以及插入等方式躲避系統(tǒng)的檢測，這是他們能利用的多種有效手段。這些方式都能夠很好的將自己隱藏起來不被檢測到，任意攻擊系統(tǒng)都不是很困難的事情，很難發(fā)現(xiàn)他們留下的痕跡記錄。

1.2入侵檢測的定義

針對計算機(jī)系統(tǒng)的安全審核，十分有必要設(shè)計入侵檢測這一環(huán)節(jié)，這也是為了能更好的對網(wǎng)絡(luò)安全進(jìn)行實時防護(hù)。引入入侵檢測技術(shù)能夠使得計算機(jī)系統(tǒng)中的配置安全系數(shù)提高，對于網(wǎng)絡(luò)系統(tǒng)中出現(xiàn)的異常狀況能夠及時發(fā)現(xiàn)，并作出正確的解決反映，對于存在與計算機(jī)系統(tǒng)中違反安全規(guī)則的行為及時檢測出來。這也是入侵檢測的基本原理作用，這也主要通過收集分析大量的網(wǎng)絡(luò)行為，審計數(shù)據(jù)才能夠進(jìn)行的。通俗來說，入侵檢測就是一項防護(hù)技術(shù)，它能夠主動防護(hù)，針對一些錯誤操作，內(nèi)外出現(xiàn)的攻擊行為能夠及時檢測出來并制止保護(hù)，大大減少計算機(jī)系統(tǒng)所受到傷害的風(fēng)險。

1.3入侵檢測的分類

如果根據(jù)檢測技術(shù)方面將入侵檢測分類的話，一般情況下分為誤用檢測技術(shù)和異常檢測技術(shù)這兩類。異常檢測技術(shù)是將假設(shè)入侵的行為全設(shè)定為是異常特性的，它是基于行為的入侵檢測，而誤用檢測技術(shù)是定位與一些攻擊簽名，對模式進(jìn)行攻擊的行為，這種檢測技術(shù)是基于知識層面的。如果根據(jù)監(jiān)測數(shù)據(jù)來源分類的話，分為基于網(wǎng)絡(luò)，主機(jī)以及兩者的入侵檢測。這些檢測方式各有優(yōu)缺點，可以適當(dāng)進(jìn)行取長補(bǔ)短，所以是將三者融合兼?zhèn)涞姆植际较到y(tǒng)保護(hù)效果最好。分層式、分布式以及集中式的檢測技術(shù)是依照網(wǎng)絡(luò)架構(gòu)分類的，如果是要分析相應(yīng)的分層數(shù)據(jù)，分層式檢測系統(tǒng)則是最佳選擇，它能夠多方面的檢測數(shù)據(jù)，實時保護(hù)網(wǎng)絡(luò)安全，對升級系統(tǒng)有較大的幫助。

2入侵檢測技術(shù)方法及發(fā)展

2.1入侵檢測技術(shù)方法

對于常用的入侵技術(shù)檢測方法有很多種，包括概率統(tǒng)計異常檢測、神經(jīng)網(wǎng)絡(luò)異常檢測、專家系統(tǒng)誤用檢測等。關(guān)于概率統(tǒng)計異常檢測中，它是根據(jù)用戶歷史或者之前的證據(jù)來建模的，根據(jù)用戶的使用情況用有效的系統(tǒng)進(jìn)行檢測，這樣可以得到針對用戶行為的系統(tǒng)內(nèi)部概率模型，在這過程中如果有出現(xiàn)異常情況則會啟動相應(yīng)的程序，對其進(jìn)行實時監(jiān)控跟蹤。對于專家系統(tǒng)誤用檢測能夠更加有效的對一些入侵行為進(jìn)行檢測，在建立專家系統(tǒng)過程中，需要注意利用相關(guān)的安全專家知識，用If-Then 或者更為精細(xì)的復(fù)合結(jié)構(gòu)規(guī)則進(jìn)行表達(dá)，不能忽略知識庫的完整性，這就需要審計記錄保持實時的完善性。

2.2發(fā)展智能化的入侵檢測

智能化的入侵檢測主要是通過智能化的方式例如模糊算法、神經(jīng)網(wǎng)絡(luò)等來對入侵特征進(jìn)行識別。大體上來說利用智能檢測功能的檢測軟件或者模塊，將有效算法合理結(jié)合其中，讓方案的解決得到最大科學(xué)高效化。這樣也能更有效的提高網(wǎng)絡(luò)的安全系數(shù)，減少外來信息入侵的可能性。此外在研究智能化的入侵檢測技術(shù)中，需要在自學(xué)能力以及適應(yīng)能力方面特別注意培養(yǎng)，這也有利于加快入侵檢測技術(shù)朝智能化的順利發(fā)展。

2.3發(fā)展全面的安全防御方案

在網(wǎng)絡(luò)安全的發(fā)展過程中，對于安全工程風(fēng)險管理的理論需要更好的把握利用，將這作為一項完整的工程來執(zhí)行。對網(wǎng)絡(luò)進(jìn)行全面評估過程中，不能只考慮到入侵檢測這一方面，隨著科技的進(jìn)步，攻擊者的方法也層出不窮，需要在防火墻、網(wǎng)絡(luò)構(gòu)架這些方面進(jìn)行重視，以及結(jié)合病毒防護(hù)，建立更好的管理機(jī)制，發(fā)展全面的安全防御方案，更好的檢測抵御外來入侵，保護(hù)網(wǎng)絡(luò)安全。

3結(jié)語

在網(wǎng)絡(luò)技術(shù)飛快發(fā)展的今天，網(wǎng)絡(luò)一方面為人們生活帶來意想不到的變化，另一方面也威脅著網(wǎng)絡(luò)用戶的信息安全，用戶的信息一旦泄露將造成不可預(yù)計的損失，也正如此在維護(hù)計算機(jī)系統(tǒng)安全中入侵檢測技術(shù)扮演著越來越重要的角色，它能更好的實時防護(hù)系統(tǒng)，入侵檢測技術(shù)也將向智能化方面發(fā)展，建立更全面的安全防御方案，提高計算機(jī)系統(tǒng)的安全系數(shù)的同時也是更好的維護(hù)了用戶的隱私。

參考文獻(xiàn)

第7篇

關(guān)鍵詞： 網(wǎng)絡(luò)安全；入侵檢測系統(tǒng)；計算機(jī)技術(shù)；異常檢測；誤用檢測

1 概述

入侵檢測系統(tǒng)主要是指，通過對計算機(jī)的網(wǎng)絡(luò)系統(tǒng)進(jìn)行監(jiān)測，并運(yùn)用其主要的關(guān)鍵點對信息進(jìn)行收集、分析，然后發(fā)現(xiàn)某些與安全策略相違背的行為，或發(fā)現(xiàn)某些被攻擊的跡象，并及時的自動的做出相關(guān)的反應(yīng)。通常情況下其功能為：對系統(tǒng)和用戶的行為進(jìn)行監(jiān)測和分析；對系統(tǒng)的配置及漏洞及時的做出審計檢查；對數(shù)據(jù)文件和系統(tǒng)的完整性做出評估；對已知的某些攻擊行為或模式進(jìn)行識別和統(tǒng)計分析；操作系統(tǒng)做出相關(guān)的跟蹤審計管理，對某些與安全策略相違背的用戶行為進(jìn)行識別等。入侵檢測系統(tǒng)在計算機(jī)網(wǎng)絡(luò)安全的作用主要有：對異常進(jìn)行檢測、對誤用進(jìn)行檢測。

2 對異常進(jìn)行檢測

2.1 統(tǒng)計異常的檢測

在統(tǒng)計異常檢測中，可以通過異常檢測器對主體活動進(jìn)行觀察，然后將這些活動的關(guān)鍵輪廓進(jìn)行刻畫。統(tǒng)計分析異常檢測方法：

1）操作模型：該模型假設(shè)異?？赏ㄟ^測量結(jié)果與一些固定指標(biāo)相比較得到，固定指標(biāo)可以根據(jù)經(jīng)驗值或一段時間內(nèi)的統(tǒng)計平均得到。舉例來說，在短時間內(nèi)的多次失敗的登錄很有可能是口令嘗試攻擊。

2）方差：計算參數(shù)的方差，設(shè)定其置信區(qū)間，當(dāng)測量值超過置信區(qū)間的范圍時表明有可能是異常行為。

3）多元模型：操作模型的擴(kuò)展，通過同時分析多個參數(shù)實現(xiàn)檢測。

4）時間序列分析：將資源耗用根據(jù)時間與事件計數(shù)排成序列，如果某一時間段發(fā)生低概率事件，則可以初步判定為可能入侵。

5）馬爾柯夫過程模型：首行將系統(tǒng)狀態(tài)定義為每種類型的事件，然后狀態(tài)的變化用狀態(tài)轉(zhuǎn)移矩陣表示，狀態(tài)矩陣該轉(zhuǎn)移的概率較小或者所定義類型事件發(fā)生時，則可能是異常事件。

2.2 神經(jīng)網(wǎng)絡(luò)的異常檢測

神經(jīng)網(wǎng)絡(luò)的異常檢測主要是將神經(jīng)網(wǎng)絡(luò)中的某些連續(xù)性的信息單元進(jìn)行訓(xùn)練，在其輸入層中有用戶現(xiàn)有的輸入命令及已操作完成后的命令，用戶已操作完成的命令可以被神經(jīng)網(wǎng)絡(luò)加以運(yùn)用，然后對用戶的下一個輸入命令進(jìn)行預(yù)測[3]。神經(jīng)網(wǎng)絡(luò)訓(xùn)練主要有三個階段：1）網(wǎng)絡(luò)構(gòu)造及訓(xùn)練：在訓(xùn)練階段，根據(jù)神經(jīng)網(wǎng)絡(luò)的實際輸出模式與期望輸出模式的誤差調(diào)整網(wǎng)絡(luò)的權(quán)值；2）網(wǎng)絡(luò)修剪：刪除多余的隱藏層節(jié)點和多余的節(jié)點之間的聯(lián)結(jié)。3）規(guī)則提?。杭磸男藜艉蟮木W(wǎng)絡(luò)中提取出分類規(guī)則。

2.3 特征選擇的異常檢測

特征選擇的異常檢測主要從某一組的度量中對某些入侵行為的主要度量的構(gòu)成子集進(jìn)行挑選，然后對已有效檢測出的入侵行為進(jìn)行分類或預(yù)測。該法的關(guān)鍵性問題就是對入侵活動和異?；顒幼鞒鲇行У呐袛?，但要使判斷與實際的度量相符是比較困難的，由于對度量子集進(jìn)行適當(dāng)?shù)倪x擇主要依照的是已有效檢測到的全部入侵類型，而某一個度量集是很難對所有的入侵類型進(jìn)行檢測，事先已確定的某些度量也很難檢測出特殊環(huán)境下的某些入侵行為。特征子集構(gòu)造如下：特征子集的構(gòu)造方法為：假設(shè)與入侵潛在相關(guān)的度量有n個，則這n個度量構(gòu)成子集數(shù)是2n個。由于度量數(shù)與搜索空間為指數(shù)關(guān)系，所以想方設(shè)法找到量子集的最佳程度是無效的?？赏ㄟ^Maccabe提出遺傳方法來搜索整個量子空間，找到正確的量子集。方法是使用學(xué)習(xí)分類程序產(chǎn)生基因突變算子和交叉算子，除去較低的預(yù)測入侵量子集，同時利用遺傳算子產(chǎn)生的強(qiáng)度量子集。使用此方法與具有較高的預(yù)測量子集相結(jié)合，在所充許搜索空間，比其他啟發(fā)式搜索技術(shù)更有效。

2.4 模式預(yù)測的異常檢測

模式預(yù)測的異常檢測需要有一定的假設(shè)條件，即事件的序列必須是有規(guī)律的可辨別模式而不是隨機(jī)的。該法主要考慮的是事件的相互關(guān)系及序列。通過對用戶行為進(jìn)行觀察，歸納總結(jié)出一個規(guī)則集，然后構(gòu)建為用戶的主要輪廓框架。若觀察到的某些事件序列與后續(xù)的事件相背離，則表明用戶的操作存在異常。

3 對誤用進(jìn)行檢測

3.1 專家系統(tǒng)的誤用檢測

專家系統(tǒng)主要是根據(jù)專家的某些經(jīng)驗和知識而建立起來的，并以推理機(jī)和知識庫為中心而構(gòu)成的軟件智能系統(tǒng)。其應(yīng)用程序：首先使用規(guī)則類似的if-then格式輸入現(xiàn)有的知識（攻擊模式），然后輸入入侵檢測數(shù)據(jù)（審核事件日志），系統(tǒng)根據(jù)知識庫中的內(nèi)容來評估測試數(shù)據(jù)，判斷是否有入侵模式。專家系統(tǒng)的優(yōu)點回答了系統(tǒng)的控制過程和問題的最后階段分離的推理，即支持不需要了解或在該專家系統(tǒng)的推理過程，但只有到了自制的黑盒子專家系統(tǒng)。當(dāng)然，要實現(xiàn)這一目標(biāo)，形成黑盒子是一個艱難而耗時的工作，重點在于嵌入式系統(tǒng)中的編碼引擎和檢驗規(guī)則。

3.2 模型的誤用檢測

模型的誤用檢測系統(tǒng)，是通過三個模塊實現(xiàn)的：先知模塊，規(guī)劃模塊，解釋模塊。模型推理系統(tǒng)測試過程中，根據(jù)越來越多的收集特殊情況數(shù)據(jù)，通過三個模塊的過程中不斷循環(huán)前進(jìn)的過程。常用概率論和微積分的數(shù)學(xué)方法來處理積累的數(shù)據(jù)。當(dāng)數(shù)據(jù)積累達(dá)到一定限度時，檢測到攻擊或試圖攻擊。每次攻擊腳本代表的侵略行為，在任何時刻的序列，可將攻擊腳

本的加以利用，從而通過對一個子集系統(tǒng)的判斷，推斷出系統(tǒng)是否遭到惡意入侵。而預(yù)警器在依照此時的活動模型，做出進(jìn)一步的智能行為，并對其進(jìn)行記錄，然后作為審計跟蹤的主要驗證。規(guī)劃者主要對假設(shè)行為進(jìn)行判斷，并在審計跟蹤的數(shù)據(jù)上做出反應(yīng)，并將假設(shè)行為轉(zhuǎn)化為與系統(tǒng)有關(guān)的審計跟蹤行為。該系統(tǒng)具有嵌入數(shù)據(jù)的分析推理能力，對劇本出現(xiàn)活動進(jìn)行更新，并依照攻擊劇本的概率檢測推斷出入侵行為。

3.3 狀態(tài)遷移分析的誤用檢測

攻擊者所操作執(zhí)行的入侵行為，可以讓系統(tǒng)的正常操作狀態(tài)發(fā)生遷移，讓其狀態(tài)轉(zhuǎn)化為一個相對危及的系統(tǒng)狀態(tài)。此時的狀態(tài)主要指系統(tǒng)在某一特定時刻的基本特征，可表現(xiàn)為此時全部系統(tǒng)數(shù)據(jù)、進(jìn)程、用戶的函數(shù)。初始狀態(tài)與入侵前的網(wǎng)絡(luò)系統(tǒng)狀態(tài)相對應(yīng)，危及系統(tǒng)的安全狀態(tài)與入侵后的系統(tǒng)狀態(tài)相對應(yīng)。在兩個不同狀態(tài)之間，可能會有某些中間狀態(tài)發(fā)生遷移，狀態(tài)遷移的分析通?？紤]的是在每一步入侵行為對系統(tǒng)狀態(tài)所會造成的遷移影響，然后檢測出對攻擊系統(tǒng)的某些行為。同時，由于每一次狀態(tài)的遷移，都要利用入侵的最小特征子集，因此可以對某些不相關(guān)的動作入侵行為進(jìn)行檢測。狀態(tài)轉(zhuǎn)換法是通過述已知的攻擊模式：系統(tǒng)狀態(tài)和狀態(tài)轉(zhuǎn)換表達(dá)式來實現(xiàn)的，優(yōu)化模式匹配技術(shù)來處理誤用檢測的問題，具有系統(tǒng)靈活，處理速度更快等特點。因此，狀態(tài)轉(zhuǎn)換法已成為最有競爭力的入侵檢測方法之一。它可以使用以下三種方法：狀態(tài)轉(zhuǎn)換分析的方法，基于語言/應(yīng)用程序接口的方法、有色Petri網(wǎng)。

4 結(jié)束語

當(dāng)前入侵檢測系統(tǒng)的發(fā)展還面臨著很多挑戰(zhàn)，可以將異常檢測的各種方法綜合起來考慮，同時要與誤用檢測有效的結(jié)合起來、相輔相成，建立一個準(zhǔn)確、高效的入侵檢測系統(tǒng)。通過研究可以看出基于數(shù)據(jù)挖掘、神經(jīng)網(wǎng)絡(luò)、免疫系統(tǒng)等的智能化入侵檢測是未來入侵檢測技術(shù)發(fā)展的主要方向，只是目前還缺乏關(guān)鍵性的突破。

參考文獻(xiàn)：

第8篇

現(xiàn)階段電力信息網(wǎng)絡(luò)系統(tǒng)在國內(nèi)已被廣泛的運(yùn)用在現(xiàn)實生活中。相關(guān)的部門在實施信息現(xiàn)代化的過程中，也面臨著巨大的問題和挑戰(zhàn)，特別是在信息網(wǎng)絡(luò)完全問題方面上。電力信息的網(wǎng)絡(luò)安全問題逐步變?yōu)殡娏π畔⒕W(wǎng)絡(luò)系統(tǒng)運(yùn)行的平穩(wěn)運(yùn)作的隱患。本文主要探析了在電力信息網(wǎng)絡(luò)安全中現(xiàn)有的入侵問題和如何解決的方法。

【關(guān)鍵詞】電力信息網(wǎng)絡(luò) 安全 入侵檢測

1 前言

在保證電力系統(tǒng)的穩(wěn)固運(yùn)行和安全運(yùn)行中起到至關(guān)重要的作用的是電力信息網(wǎng)絡(luò)系統(tǒng)。然而，現(xiàn)階段的計算機(jī)網(wǎng)絡(luò)入侵問題相當(dāng)嚴(yán)峻，這對電力信息系統(tǒng)的安全問題無疑造成了很大的困擾。隨著計算機(jī)網(wǎng)絡(luò)的入侵問題越來越嚴(yán)重，而且大部分的入侵都是非法的，為了處理這方面的問題，在電力信息網(wǎng)絡(luò)的系統(tǒng)中引進(jìn)在數(shù)據(jù)挖掘技術(shù)的基礎(chǔ)上的入侵檢測系統(tǒng)。

2 分析電力信息網(wǎng)絡(luò)的具體結(jié)構(gòu)以及安全性

根據(jù)電力信息網(wǎng)絡(luò)的具體特征，可以把其分成四塊：實時控制區(qū)、非控制生產(chǎn)區(qū)、生產(chǎn)管理區(qū)和信息管理區(qū)。此外，前兩個區(qū)域又被稱作生產(chǎn)控制的大區(qū)，后兩個區(qū)域被稱作為管理信息的大區(qū)。

幾個相對比較復(fù)雜的異構(gòu)子系統(tǒng)可以組成為電力信息網(wǎng)絡(luò)系統(tǒng)，由這些子系統(tǒng)所組成的強(qiáng)大的網(wǎng)絡(luò)系統(tǒng)具有大規(guī)模、分布廣和分級遞階的三大特點。電力信息網(wǎng)絡(luò)系統(tǒng)的安全保護(hù)主要還是針對網(wǎng)絡(luò)系統(tǒng)以及在網(wǎng)絡(luò)系統(tǒng)基礎(chǔ)上的電力生產(chǎn)控制系統(tǒng)。這個系統(tǒng)的特點是保護(hù)邊界的網(wǎng)路信息安全，通過這個手段來提高計算機(jī)內(nèi)部的安全性能，也因此進(jìn)一步的確保電力信息生產(chǎn)的控制系統(tǒng)和信息內(nèi)部的首要的數(shù)據(jù)的安全。

而電力信息網(wǎng)絡(luò)系統(tǒng)的整體結(jié)構(gòu)中的實時控制區(qū)和非控制生產(chǎn)區(qū)的系統(tǒng)是在電力生產(chǎn)系統(tǒng)的范圍之內(nèi)的，其使用的是電力在線運(yùn)行來調(diào)動數(shù)據(jù)網(wǎng)絡(luò)的一種方式。通過這個方法，系統(tǒng)之間的數(shù)據(jù)交換的次數(shù)和數(shù)量會比較多，其之間也有著緊密的聯(lián)系。其中，電力信息網(wǎng)絡(luò)的四個區(qū)域之間的隔離，使用的都是硬件設(shè)備。

因此，能輕易的判斷出，威脅實時控制區(qū)和非控制生產(chǎn)區(qū)的系統(tǒng)信息安全的來源主要是系統(tǒng)的內(nèi)部。所以應(yīng)將系統(tǒng)的內(nèi)部安全問題放在首位，雖然生產(chǎn)管理區(qū)和信息管理區(qū)已經(jīng)和外部通過硬件設(shè)備隔離開來，但也不能徹底保證系統(tǒng)內(nèi)部信息的安全問題。而那些非法入侵者還是可以通過一定的防火墻的漏洞來實現(xiàn)非法入侵電力信息系統(tǒng)。

3 入侵檢測系統(tǒng)

在數(shù)據(jù)挖掘技術(shù)基礎(chǔ)上的入侵檢測系統(tǒng)可以時刻監(jiān)控電力信息網(wǎng)絡(luò)系統(tǒng)的運(yùn)行情況，一旦發(fā)現(xiàn)有任何非法入侵的行為或者是企圖，基于數(shù)據(jù)挖掘技術(shù)的入侵檢測系統(tǒng)就可以做出相對應(yīng)的反入侵反應(yīng)，進(jìn)一步的保證了電力信息網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性。基于數(shù)據(jù)挖掘技術(shù)的入侵檢測系統(tǒng)實際上就是根據(jù)有關(guān)的歷史數(shù)據(jù)歸納出該用戶的一系列特點，該技術(shù)可以高效的分析出入侵行動的規(guī)律，并根據(jù)這個規(guī)律創(chuàng)建出健全的系統(tǒng)，這樣能更有效進(jìn)行入侵行為的檢測。這個入侵檢測系統(tǒng)涵蓋了相關(guān)數(shù)據(jù)的采集、數(shù)據(jù)的挖掘和數(shù)據(jù)的預(yù)處理幾項任務(wù)。這個基于數(shù)據(jù)挖掘技術(shù)的入侵檢測系統(tǒng)有以下幾個其他檢測系統(tǒng)所沒有的特點：

3.1 自動化并且智能化

這個入侵檢測系統(tǒng)的技術(shù)包括神經(jīng)網(wǎng)絡(luò)、統(tǒng)計學(xué)和決策學(xué)等其他多門學(xué)科。這個技術(shù)能自動的在龐大的數(shù)據(jù)庫中提取出很難被看出來的網(wǎng)絡(luò)行為，這樣子可以相對減輕檢測員的壓力，提高了工作的效率。此外，還能使準(zhǔn)確率大大提升。

3.2 檢測具有高效性

因為這項技術(shù)可以自動的進(jìn)行數(shù)據(jù)的預(yù)處理，提取出有效的數(shù)據(jù)，很大程度上的減輕了處理量和檢測員的工作量，提高了工作效率。

4 入侵檢測的技術(shù)在電力信息安全中的相關(guān)應(yīng)用

4.1 實際運(yùn)用的方案

在電力信息網(wǎng)絡(luò)系統(tǒng)中的一些重要的服務(wù)器上，都配備有實時非法入侵的檢測裝置，也叫探測器。該探測器主要是自動的發(fā)掘出非法的入侵行為。我們在網(wǎng)絡(luò)的中心管理系統(tǒng)中，配備有一個中心的控制臺，這個中心的控制臺可以接受從各個分布開來的小探測器發(fā)出的入侵警報。同時，這個中心的控制臺還可以遠(yuǎn)程控制并且管理那些小探測器。

這個入侵檢測系統(tǒng)在網(wǎng)絡(luò)上發(fā)散的服務(wù)器，并在數(shù)據(jù)服務(wù)器上都配有實時的入侵檢測系統(tǒng)，而這些的服務(wù)器就可以在它們所管轄的范圍內(nèi)對計算機(jī)進(jìn)行實時的入侵檢測。各服務(wù)器可以有效的指出來源于網(wǎng)絡(luò)外部和內(nèi)部的入侵行為，通過報警、防范和做出相應(yīng)的反應(yīng)。一旦發(fā)現(xiàn)問題，就可以非常及時的解決。這樣分開由各服務(wù)器來進(jìn)行檢測可以更高效、快速的對入侵威脅進(jìn)行防范，避免不必要的數(shù)據(jù)損失。這個入侵檢測系統(tǒng)同時還可以被視為計算機(jī)防火墻的一個重要的穩(wěn)固系統(tǒng)，大大降低了非法入侵的可能性。

4.2 電力信息系統(tǒng)對IDS產(chǎn)品的選擇

IDS就相當(dāng)與一幢大樓的監(jiān)控系統(tǒng)，能保證這個大樓的安全。對于電力信息系統(tǒng)來說，IDS能有效的防止非法入侵，增強(qiáng)防火墻的效率。電力信息系統(tǒng)在選擇IDS產(chǎn)品的時候，第一個就要看IDS產(chǎn)品的系統(tǒng)性能以及可靠性和管理性能等，根據(jù)這個綜合的性能最終來選擇最好的IDS產(chǎn)品。其次，在產(chǎn)品的系統(tǒng)性能上來看，系統(tǒng)對大量流動數(shù)據(jù)的監(jiān)測能力是電力信息系統(tǒng)最看重的一點。

5 結(jié)語

入侵檢測技術(shù)是一個可以積極并且主動的保護(hù)電力信心網(wǎng)絡(luò)安全的基礎(chǔ)。該技術(shù)擁有內(nèi)部和外部的攻擊能力和對錯誤程序的關(guān)注保護(hù)系統(tǒng)。在電力信息網(wǎng)絡(luò)安全系統(tǒng)受到破壞的時候，入侵檢測技術(shù)就可以進(jìn)行有效的攔截并對入侵做出相應(yīng)的反應(yīng)。雖然現(xiàn)在電力信息網(wǎng)絡(luò)安全系統(tǒng)的入侵檢測技術(shù)還不是很成熟，不能完全的防止入侵的威脅。但是相信在不久的將來，隨著科技的發(fā)達(dá)和時代的進(jìn)步，入侵檢測技術(shù)會有顯著的提高。

參考文獻(xiàn)

[1]伍暉平，金亞民，蔡青有.入侵檢測技術(shù)在電力信息網(wǎng)絡(luò)安全中的應(yīng)用[J].電力安全技術(shù)，2007（10）：53-55.

[2]陳新和.探討入侵檢測技術(shù)在電力信息網(wǎng)絡(luò)安全中應(yīng)用[J].通訊世界，2014（1）：23-25.