序言：寫作是分享個人見解和探索未知領(lǐng)域的橋梁，我們?yōu)槟x了8篇的入侵檢測論文樣本，期待這些樣本能夠為您提供豐富的參考和啟發(fā)，請盡情閱讀。

第1篇

關(guān)鍵字網(wǎng)格；虛擬組織；入侵檢測

1入侵檢測系統(tǒng)分析

表1分析了入侵檢測系統(tǒng)結(jié)構(gòu)變化。

表1IDS出現(xiàn)的問題及結(jié)構(gòu)的變化

IDS發(fā)展解決的問題結(jié)構(gòu)特征

基于主機單一主機的安全各部分運行在單節(jié)點上

基于網(wǎng)絡(luò)局域網(wǎng)的安全采集部分呈現(xiàn)分布式

分布式單一分析節(jié)點的弱勢分析部分呈現(xiàn)分布式

網(wǎng)格的運行是由用戶發(fā)起任務(wù)請求，然后尋找資源搭配完成任務(wù)，這樣形成的團體稱為虛擬組織(VO)，網(wǎng)格入侵檢測系統(tǒng)是為其他VO提供服務(wù)的VO[1]，目前其面臨的主要問題如下：

(1)分布性：包括資源分布和任務(wù)分解。

(2)動態(tài)部署：系統(tǒng)是為VO提供服務(wù)的，其部署應(yīng)是動態(tài)的。

(3)動態(tài)形成：系統(tǒng)本身也是一VO，是動態(tài)形成的。

(4)最優(yōu)方案選擇：本系統(tǒng)需多種網(wǎng)格資源協(xié)同進行，要選擇一個最優(yōu)方案。

(5)協(xié)同計算：保證按照入侵檢測流程順利運行。

(6)動態(tài)改變：防止資源失效。

目前關(guān)于網(wǎng)格入侵檢測系統(tǒng)的研究[2]只能說解決了分布性、動態(tài)形成、協(xié)同計算。而對于動態(tài)部署[1]、動態(tài)改變[3]仍處于研究中。

2VGIDS系統(tǒng)模型

VGIDS基于開放網(wǎng)格服務(wù)（OGSA）思想提出了一個公共服務(wù)——GIDSService來解決目前網(wǎng)格入侵檢測系統(tǒng)面臨的問題。整個VGIDS結(jié)構(gòu)如圖1所示。

(1)VO-Based：網(wǎng)格是一個虛擬組織的聚集，本系統(tǒng)提出一虛擬組織目錄(VOL)。用戶向GIDSService提交請求并將被檢測VO代號作為參數(shù)。GIDSSevvice查找VOL獲取VO信息。當(dāng)VOL數(shù)量減為一就成為單一網(wǎng)格應(yīng)用，可由網(wǎng)格管理(GM)將VO信息傳給GIDSServic。

圖1VGIDS系統(tǒng)結(jié)構(gòu)

(2)GIDSService：負(fù)責(zé)資源發(fā)現(xiàn)，調(diào)度。具體包括：

RI（RequestInterface）：服務(wù)接口，負(fù)責(zé)服務(wù)請求及VO信息獲取。同VOL解決動態(tài)部署。

DA（DelegationAgent）：委托。同用戶交互獲得用戶委托授權(quán)。

DD（DistributedData）：分布式數(shù)據(jù)。存儲VGIDS需要的資源信息。解決分布問題。

RQ（ResourceQuery）：資源查詢。當(dāng)獲得用戶授權(quán)后便由RQ根據(jù)DD描述向資源目錄(RL)查找資源。解決分布問題。

PC（PlanChoose）：最優(yōu)方案選擇。當(dāng)從RL獲得可用資源后PC根據(jù)AM(任務(wù)管理)要求選擇一個最優(yōu)方案。本文稱為多維最優(yōu)路徑選擇問題。

AM(AssignmentManage)：任務(wù)管理。首先根據(jù)DD存儲所需資源的調(diào)度信息，當(dāng)VGIDS形成后，根據(jù)PC的方案選擇及DD存儲的資源信息進行任務(wù)的調(diào)度和協(xié)同各分布資源的交互，解決協(xié)同計算。

IR(IntrusionReaction)：入侵響應(yīng)。

SN(SecurityNegotiate)：安全協(xié)商。同資源和用戶的安全協(xié)商。

DI(DynamicInspect)：動態(tài)檢查。負(fù)責(zé)檢查資源失效向RQ發(fā)起重新查找資源請求。解決動態(tài)改變問題。

LB(LoadBalance)：負(fù)載平衡。主要根據(jù)DD信息解決網(wǎng)格資源調(diào)度的負(fù)載平衡問題。

3VGIDS服務(wù)描述

本系統(tǒng)是一動態(tài)虛擬組織，在系統(tǒng)運行之前必須以靜態(tài)網(wǎng)格服務(wù)的形式部署于網(wǎng)格之上，當(dāng)用戶申請時再動態(tài)形成。

定義1：VGIDS的靜態(tài)定義如下：VGIDS=<Base，Resource，Role，Task，F(xiàn)low，Relation>

Base為VGIDS基本描述，Base=<ID，Power，IO，Inf，log，goal，P>。ID為虛擬組織編號；Power為獲得的授權(quán)；IO為被檢測對象；Inf為監(jiān)控VGIDS獲得的信息文件；log為系統(tǒng)日志；goal為VGIDS目標(biāo)，包括調(diào)度算法所估計的系統(tǒng)效率及用戶要求；P為系統(tǒng)交互策略，需同網(wǎng)格資源進行交互，授予資源角色和相關(guān)權(quán)利并同時分配相關(guān)任務(wù)。

Resource為VGIDS的所有資源，Resource=<IP，Property，Serve，Power，P>。

IP為資源地址；Property為資源屬性(存儲、分析)，方便角色匹配；Serve為資源可提供的服務(wù)指標(biāo)；Power為使用資源所要求的授權(quán)；P為資源交互策略。

Role為存在的角色類型，Role=<ID，Tas，Res，Power>。ID為角色的分類號，按照工作流分為5類角色分別對應(yīng)VGIDS的5個環(huán)節(jié)；Tas為角色任務(wù)；Res為角色需要的資源類型；Power為角色所獲得的權(quán)利。

Task為工作流任務(wù)集合。Task＝<ID，Des，Res，Role，P>。ID為任務(wù)標(biāo)號；Des為任務(wù)描述；Res為需要的資源種類；Role為任務(wù)匹配的角色；P為Task執(zhí)行策略。

Flow為工作流描述文件，F(xiàn)low=<Role，Seq，P>。Role為角色集合，Seq為角色執(zhí)行序列，P為對于各個角色的控制策略。

Relation為已確定資源Resource和Role之間的關(guān)系。Relation=<Res，Role，Rl>。Res為資源集合，Role為角色集合，Rl為對應(yīng)關(guān)系。

4多維最優(yōu)路徑選擇

4.1問題描述

將圖1抽象為圖2模型定義2：Graph=(U、D、A、{Edge})。

U為所有被檢測對象的集合，Un=(Loadn、Pn)，Loadn為Un單位時間所要求處理的數(shù)據(jù)，Pn為Un在被檢測VO中所占權(quán)重，如果P為空，則按照Load大小作為權(quán)重。

D為存儲服務(wù)集合，Dn=(Capn、Qosdn)，Capn為Dn提供的存儲容量。Qosdn為Dn提供的服務(wù)質(zhì)量，近似為數(shù)據(jù)吞吐率。

A為分析服務(wù)集合，An=（Classn、Qosan），Classn為An處理的數(shù)據(jù)種類，如系統(tǒng)日志或網(wǎng)絡(luò)流量。Qosan為An提供的服務(wù)質(zhì)量，近似為處理速率。

Edge為邊的集合，有網(wǎng)絡(luò)傳輸速度加權(quán)v。

圖2VGIDS調(diào)度模型

定義3：Qos定義為一個多維向量，可用一個性能度量指標(biāo)的集合表示：

{M1(t)、M2(t)，…，Mn(t)}

Mn(t)為一個與網(wǎng)格服務(wù)質(zhì)量有關(guān)的量，如CPU的主頻、網(wǎng)絡(luò)速度、內(nèi)存。服務(wù)的執(zhí)行過程體現(xiàn)出來的性能參數(shù)是一條n維空間的軌跡M，這個n維空間的每一維代表一個性能指標(biāo)

M=R1*R2*…*Rn

其中，Rn是性能指標(biāo)Mn(t)的取值范圍。在本系統(tǒng)中存在兩類Qos，分別為D和A。本系統(tǒng)強調(diào)實時性，所以CPU、RAM和網(wǎng)絡(luò)速度占很大權(quán)重，Qos計算公式如下：

Wcpu表示CPU的權(quán)重；CPUusage表示當(dāng)前CPU使用率；CPUspeed表示CPU的實際速度；CPUmin表示要求的CPU速率的最小值。Wram表示RAM的權(quán)重；RAMusage表示當(dāng)前RAM使用率；RAMsize表示RAM的實際大小；RAMmin表示要求的RAM的最小值。Wnet表示網(wǎng)絡(luò)傳輸?shù)臋?quán)重；NETusage表示當(dāng)前網(wǎng)絡(luò)負(fù)載；NETspeed表示網(wǎng)絡(luò)的實際速度；NETmin表示要求的網(wǎng)絡(luò)傳輸速率的最小值。

資源調(diào)度就是利用對各個資源的量化，為每一檢測對象選擇一條數(shù)據(jù)傳輸路徑。本系統(tǒng)目標(biāo)是使整個VO獲得快速的檢測，而不是對個別對象的檢測速率很高。

定義4：對于任意一個被檢測VO的檢測對象，如果能夠為其構(gòu)造一條檢測路徑，稱系統(tǒng)對于此對象是完備的。

定義5：對于VO，如果能夠為其所有的檢測對象構(gòu)造檢測路徑，則稱系統(tǒng)對于被檢測VO是完備的。

本調(diào)度算法的目的便是在滿足被檢測VO和入侵檢測工作流要求下，按照所選網(wǎng)格資源提供的能力為整個VO構(gòu)造VGIDS，使所有被檢測對象檢測效率之和最高。這是一非典型的線性規(guī)劃問題，如下定義：

X1，…Xn是n個獨立變量，表示VGIDS所選路徑；公式<5>表示最大耗費時間；公式<6>—<8>表示所有對于Xn的約束條件。由于Xn變量難以確定并且約束條件種類較多所以難以將上述問題標(biāo)準(zhǔn)化為公式<5>—<8>。

4.2算法描述

本文利用貪心選擇和Dijkstra算法進行調(diào)度。

按照用戶給出的U的權(quán)值P從大到小進行排序，if（P==NULL），則按Load從大到小進行排序得到排序后的對象數(shù)組和負(fù)載數(shù)組為

U[i]（0<i≤n，n為U的大?。籐oad[i]（0<i≤n，n為U的大小）

for(i=0；i<=n；i++)，循環(huán)對U和Load執(zhí)行以下操作：

（1）對于所有邊，定義其權(quán)值為網(wǎng)絡(luò)傳輸時間t=Load[i]/v，對于所有服務(wù)D和A定義其處理數(shù)據(jù)時間為t1=Load[i]/Qos，將t1加到每一個服務(wù)的入邊上得到最終各邊權(quán)值，如果兩點之間沒有邊相連則t[j]為∞。

（2）定義Capmin[i]為U[i]對于數(shù)據(jù)存儲能力的最低要求，Qosdmin為U[i]對于D中服務(wù)質(zhì)量的最低要求，Qosamin為U[i]對于A中服務(wù)質(zhì)量的最低要求。對于所有D中Cap<Capmin[i]或者Qosd<Qosdmin的節(jié)點以及A中Qosa<Qosamin[i]的節(jié)點，將其所有輸入和輸出邊的t設(shè)為∞。

（3）設(shè)所有點集合為V，V0為檢測對象，邊Edge定義為<Vi，Vj>。用帶權(quán)連接矩陣arcs[i][j]表示<Vi，Vj>的權(quán)值。定義向量D表示當(dāng)前所找到的從起點V0到終點Vi的最短路徑，初始化為若V0到Vi有邊，則D[i]為邊的權(quán)值，否則置D[i]為∞。定義向量P來保存最短路徑，若P[v][w]為TRUE，則W是從V0到V當(dāng)前求得最短路徑上的頂點。

（4）for(v=0；v<v.number；v++)

{

final[v]=false；

D[v]=arcs[v0][v]；

for(w=0；w<v.number；++w)P[v][w]=false；

//設(shè)空路徑

if(D[v]<INFINITY){P[v][v0]=true；P[v][v]=true；}}

D[v0]=0；final[v0]=true；//初始化，V0頂點屬于已求得最短路徑的終點集合

for(i=1；i<v.number；++i){

min=INFINITY；

for(w=0；w<v.number；++w)

if(!final[w])

if(D[w]<min){v=w；min=D[w]；}

final[v]=true；

for(w=0；w<v.number；++w)//更新當(dāng)前最短路徑及距離；

if(!final[w]&&(min+arcs[v][w]<D[w])){

D[w]=min+arcs[v][w]；

P[w]=P[v]；P[w][w]=true；

}}}

掃描A中各點，選取其中D[i](Vi∈A)最小的一點X，然后從P中選取從V0到X的路徑便為所選一條VGIDS路徑。

（5）將所選路徑上的邊的速率改為V＝V－Load[i]，D的Cap改為Cap＝Cap-Capmin，D的Qosd改為Qosd=Qosd-Qosdmin，A的Qosa改為Qosa=Qosa-Qosamin。

（6）++i，回到步驟(1)重新開始循環(huán)。

5系統(tǒng)開發(fā)

本項目主要利用Globus工具包外加CoGKits開發(fā)工具。Globus作為一個廣泛應(yīng)用的網(wǎng)格中間件其主要是針對五層沙漏結(jié)構(gòu)，并利用GridService技術(shù)逐層對五層沙漏提出的功能單源進行實現(xiàn)[5]，表2簡單敘述VGIDS實現(xiàn)的各層功能及Globus中對應(yīng)服務(wù)調(diào)用。

實驗時VGIDS部署在Linux系統(tǒng)上，采用基于Linux核心的數(shù)據(jù)采集技術(shù)及Oracle10g作為數(shù)據(jù)庫系統(tǒng)解決分布式存儲問題，數(shù)據(jù)分析技術(shù)仍采用現(xiàn)有的基于規(guī)則的入侵檢測技術(shù)。系統(tǒng)試驗平臺如圖3所示。

表2系統(tǒng)功能劃分及調(diào)用接口

五層結(jié)構(gòu)VGIDSGlobus

應(yīng)用層GridService無

匯聚層資源發(fā)現(xiàn)、證書管理、目錄復(fù)制、復(fù)制管理、協(xié)同分配元目錄服務(wù)MDS，目錄復(fù)制和復(fù)制管理服務(wù)，在線信任倉儲服務(wù)，DUROC協(xié)同分配服務(wù)

資源層訪問計算、訪問數(shù)據(jù)、訪問系統(tǒng)結(jié)構(gòu)與性能信息提供GRIP、GRRP、基于http的GRAM用于分配資源和監(jiān)視資源，提供GridFtp數(shù)據(jù)訪問管理協(xié)議及LDAP目錄訪問協(xié)議。Globus定義了這些協(xié)議的C和Java實現(xiàn)

連接層通信、認(rèn)證、授權(quán)提供GSI協(xié)議用于認(rèn)證、授權(quán)、及通信保密

構(gòu)造層數(shù)據(jù)采集、數(shù)據(jù)存儲、數(shù)據(jù)分析提供缺省和GARA資源預(yù)約

圖3系統(tǒng)試驗平臺

本平臺共8臺機器，一臺網(wǎng)格目錄服務(wù)和CA認(rèn)證中心，一臺部署VGIDS服務(wù)。兩臺機器作為被檢測對象，相互之間可實現(xiàn)簡單網(wǎng)格協(xié)作，本試驗兩臺機器之間通過GridFtp服務(wù)傳輸數(shù)據(jù)。其余四臺機器分別實現(xiàn)兩個存儲服務(wù)和兩個分析服務(wù)。

6總結(jié)和展望

目前網(wǎng)格入侵檢測系統(tǒng)主要是針對某一特定網(wǎng)格應(yīng)用靜態(tài)執(zhí)行。而本文所提出的VGIDS則是針對網(wǎng)格運行模式——虛擬組織所提出的通用網(wǎng)格入侵檢測服務(wù)。本系統(tǒng)事先進行靜態(tài)定義，然后當(dāng)有服務(wù)請求時動態(tài)解析定義文件，動態(tài)形成可執(zhí)行的網(wǎng)格入侵檢測系統(tǒng)。本系統(tǒng)解決目前網(wǎng)格入侵檢測系統(tǒng)面臨的動態(tài)部署、動態(tài)形成、最優(yōu)方案選擇、動態(tài)改變等問題。

對于網(wǎng)格入侵檢測系統(tǒng)同樣還面臨著如何解決數(shù)據(jù)異構(gòu)，如何發(fā)現(xiàn)分布式協(xié)同攻擊，如何保障自身的安全等問題，本模型有待進一步完善。

參考文獻(xiàn)

[1]OngTianChoonandAzmanSamsudin.Grid-basedIntrusionDetectionSystem.SchoolofComputerSciencesUniversitySainsMalaysia，IEEE，2003.1028-1032

[2]AlexandreSchulterandJúlioAlbuquerqueReis.AGrid-worksandManagementLaboratoryFederalUniversityofSantaCatarina，ProceedingsoftheInternationalConferenceonNetworking，InternationalConferenceonSystemsandInternationalConferenceonMobileCommunicationsandLearningTechnologies.IEEE，2006

[3]TolbaMF，Abdel-WahabMS，TahaIA，etal，“GIDA：TowardEnablingGridIntrusionDetectionSystems”，CCGrid，11thMay，2005

第2篇

 

關(guān)鍵詞：入侵檢測異常檢測誤用檢測

 

在網(wǎng)絡(luò)技術(shù)日新月異的今天，基于網(wǎng)絡(luò)的計算機應(yīng)用已經(jīng)成為發(fā)展的主流。政府、教育、商業(yè)、金融等機構(gòu)紛紛聯(lián)入Internet，全社會信息共享已逐步成為現(xiàn)實。然而，近年來，網(wǎng)上黑客的攻擊活動正以每年10倍的速度增長。因此，保證計算機系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)以及整個信息基礎(chǔ)設(shè)施的安全已經(jīng)成為刻不容緩的重要課題。

1 防火墻

目前防范網(wǎng)絡(luò)攻擊最常用的方法是構(gòu)建防火墻。

防火墻作為一種邊界安全的手段，在網(wǎng)絡(luò)安全保護中起著重要作用。其主要功能是控制對網(wǎng)絡(luò)的非法訪問，通過監(jiān)視、限制、更改通過網(wǎng)絡(luò)的數(shù)據(jù)流，一方面盡可能屏蔽內(nèi)部網(wǎng)的拓?fù)浣Y(jié)構(gòu)，另一方面對內(nèi)屏蔽外部危險站點，以防范外對內(nèi)的非法訪問。然而，防火墻存在明顯的局限性。

(1)入侵者可以找到防火墻背后可能敞開的后門。如同深宅大院的高大院墻不能擋住老鼠的偷襲一樣，防火墻有時無法阻止入侵者的攻擊。

(2)防火墻不能阻止來自內(nèi)部的襲擊。調(diào)查發(fā)現(xiàn)，50％的攻擊都將來自于網(wǎng)絡(luò)內(nèi)部。

(3)由于性能的限制，防火墻通常不能提供實時的入侵檢測能力。畢業(yè)論文 而這一點，對于層出不窮的網(wǎng)絡(luò)攻擊技術(shù)來說是至關(guān)重要的。

因此，在Internet入口處部署防火墻系統(tǒng)是不能確保安全的。單純的防火墻策略已經(jīng)無法滿足對安全高度敏感部門的需要，網(wǎng)絡(luò)的防衛(wèi)必須采用一種縱深的、多樣化的手段。

由于傳統(tǒng)防火墻存在缺陷，引發(fā)了入侵檢測IDS(Intrusion Detection System)的研究和開發(fā)。入侵檢測是防火墻之后的第二道安全閘門，是對防火墻的合理補充，在不影響網(wǎng)絡(luò)性能的情況下，通過對網(wǎng)絡(luò)的監(jiān)測，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴展系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視、進攻識別和響應(yīng))，提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性，提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護?，F(xiàn)在，入侵檢測已經(jīng)成為網(wǎng)絡(luò)安全中一個重要的研究方向，在各種不同的網(wǎng)絡(luò)環(huán)境中發(fā)揮重要作用。

2 入侵檢測

2．1 入侵檢測

入侵檢測是通過從計算機網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)違反安全策略的行為和遭到攻擊的跡象，并做出自動的響應(yīng)。其主要功能是對用戶和系統(tǒng)行為的監(jiān)測與分析、系統(tǒng)配置和漏洞的審計檢查、重要系統(tǒng)和數(shù)據(jù)文件的完整性評估、已知的攻擊行為模式的識別、異常行為模式的統(tǒng)計分析、操作系統(tǒng)的審計跟蹤管理及違反安全策略的用戶行為的識別。入侵檢測通過迅速地檢測入侵，在可能造成系統(tǒng)損壞或數(shù)據(jù)丟失之前，識別并驅(qū)除入侵者，使系統(tǒng)迅速恢復(fù)正常工作，并且阻止入侵者進一步的行動。同時，收集有關(guān)入侵的技術(shù)資料，用于改進和增強系統(tǒng)抵抗入侵的能力。

入侵檢測可分為基于主機型、基于網(wǎng)絡(luò)型、基于型三類。從20世紀(jì)90年代至今，英語論文 已經(jīng)開發(fā)出一些入侵檢測的產(chǎn)品，其中比較有代表性的產(chǎn)品有ISS(Intemet Security System)公司的Realsecure，NAI(Network Associates，Inc)公司的Cybercop和Cisco公司的NetRanger。

2．2 檢測技術(shù)

入侵檢測為網(wǎng)絡(luò)安全提供實時檢測及攻擊行為檢測，并采取相應(yīng)的防護手段。例如，實時檢測通過記錄證據(jù)來進行跟蹤、恢復(fù)、斷開網(wǎng)絡(luò)連接等控制；攻擊行為檢測注重于發(fā)現(xiàn)信息系統(tǒng)中可能已經(jīng)通過身份檢查的形跡可疑者，進一步加強信息系統(tǒng)的安全力度。入侵檢測的步驟如下：

收集系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為的信息

入侵檢測一般采用分布式結(jié)構(gòu)，在計算機網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(不同網(wǎng)段和不同主機)收集信息，一方面擴大檢測范圍，另一方面通過多個采集點的信息的比較來判斷是否存在可疑現(xiàn)象或發(fā)生入侵行為。

入侵檢測所利用的信息一般來自以下4個方面：系統(tǒng)和網(wǎng)絡(luò)日志文件、目錄和文件中的不期望的改變、程序執(zhí)行中的不期望行為、物理形式的入侵信息。

(2)根據(jù)收集到的信息進行分析

常用的分析方法有模式匹配、統(tǒng)計分析、完整性分析。模式匹配是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進行比較，從而發(fā)現(xiàn)違背安全策略的行為。

統(tǒng)計分析方法首先給系統(tǒng)對象(如用戶、文件、目錄和設(shè)備等)創(chuàng)建一個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性。測量屬性的平均值將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進行比較。當(dāng)觀察值超出正常值范圍時，就有可能發(fā)生入侵行為。該方法的難點是閾值的選擇，閾值太小可能產(chǎn)生錯誤的入侵報告，閾值太大可能漏報一些入侵事件。

完整性分析主要關(guān)注某個文件或?qū)ο笫欠癖桓模ㄎ募湍夸浀膬?nèi)容及屬性。該方法能有效地防范特洛伊木馬的攻擊。

3 分類及存在的問題

入侵檢測通過對入侵和攻擊行為的檢測，查出系統(tǒng)的入侵者或合法用戶對系統(tǒng)資源的濫用和誤用。工作總結(jié) 根據(jù)不同的檢測方法，將入侵檢測分為異常入侵檢測(Anomaly Detection)和誤用人侵檢測(Misuse Detection)。

3．1 異常檢測

又稱為基于行為的檢測。其基本前提是：假定所有的入侵行為都是異常的。首先建立系統(tǒng)或用戶的“正?！毙袨樘卣鬏喞ㄟ^比較當(dāng)前的系統(tǒng)或用戶的行為是否偏離正常的行為特征輪廓來判斷是否發(fā)生了入侵。此方法不依賴于是否表現(xiàn)出具體行為來進行檢測，是一種間接的方法。

常用的具體方法有：統(tǒng)計異常檢測方法、基于特征選擇異常檢測方法、基于貝葉斯推理異常檢測方法、基于貝葉斯網(wǎng)絡(luò)異常檢測方法、基于模式預(yù)測異常檢測方法、基于神經(jīng)網(wǎng)絡(luò)異常檢測方法、基于機器學(xué)習(xí)異常檢測方法、基于數(shù)據(jù)采掘異常檢測方法等。

采用異常檢測的關(guān)鍵問題有如下兩個方面：

(1)特征量的選擇

在建立系統(tǒng)或用戶的行為特征輪廓的正常模型時，選取的特征量既要能準(zhǔn)確地體現(xiàn)系統(tǒng)或用戶的行為特征，又能使模型最優(yōu)化，即以最少的特征量就能涵蓋系統(tǒng)或用戶的行為特征。(2)參考閾值的選定

由于異常檢測是以正常的特征輪廓作為比較的參考基準(zhǔn)，因此，參考閾值的選定是非常關(guān)鍵的。

閾值設(shè)定得過大，那漏警率會很高；閾值設(shè)定的過小，則虛警率就會提高。合適的參考閾值的選定是決定這一檢測方法準(zhǔn)確率的至關(guān)重要的因素。

由此可見，異常檢測技術(shù)難點是“正?！毙袨樘卣鬏喞拇_定、特征量的選取、特征輪廓的更新。由于這幾個因素的制約，異常檢測的虛警率很高，但對于未知的入侵行為的檢測非常有效。此外，由于需要實時地建立和更新系統(tǒng)或用戶的特征輪廓，這樣所需的計算量很大，對系統(tǒng)的處理性能要求很高。

第3篇

論文關(guān)鍵詞：計算機網(wǎng)絡(luò)安全　入侵檢測技術(shù)

論文摘要：隨著計算機與網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)安全也日益受到人們越來越多的關(guān)注。防范網(wǎng)絡(luò)入侵、加強網(wǎng)絡(luò)安全防范的技術(shù)也多種多樣，其中入侵檢測技術(shù)以其低成本、低風(fēng)險以及高靈活性得到了廣泛的應(yīng)用，并且有著廣闊的發(fā)展前景。本文就入侵檢測技術(shù)在計算機網(wǎng)絡(luò)安全維護過程中的有效應(yīng)用提出探討。

一、入侵檢測系統(tǒng)的分類

入侵檢測系統(tǒng)可以分為入侵檢測、入侵防御兩大類。其中入侵檢測系統(tǒng)是根據(jù)特定的安全策略，實時監(jiān)控網(wǎng)絡(luò)及系統(tǒng)的運行狀態(tài)，盡量在非法入侵程序發(fā)起攻擊前發(fā)現(xiàn)其攻擊企圖，從而提高網(wǎng)絡(luò)系統(tǒng)資源的完整性和保密性。而隨著網(wǎng)絡(luò)攻擊技術(shù)的日益提高，網(wǎng)絡(luò)系統(tǒng)中的安全漏洞不斷被發(fā)現(xiàn)，傳統(tǒng)的入侵檢測技術(shù)及防火墻技術(shù)對這些多變的安全問題無法全面應(yīng)對，于是入侵防御系統(tǒng)應(yīng)運而生，它可以對流經(jīng)的數(shù)據(jù)流量做深度感知與檢測，丟棄惡意報文，阻斷其攻擊，限制濫用報文，保護帶寬資源。入侵檢測系統(tǒng)與入侵防御系統(tǒng)的區(qū)別在于：入侵檢測只具備單純的報警作用，而對于網(wǎng)絡(luò)入侵無法做出防御；而入侵防御系統(tǒng)則位于網(wǎng)絡(luò)與防火墻的硬件設(shè)備中間，當(dāng)其檢測到惡意攻擊時，會在這種攻擊開始擴散前將其阻止在外。并且二者檢測攻擊的方法也不同，入侵防御系統(tǒng)對入網(wǎng)的數(shù)據(jù)包進行檢查，在確定該數(shù)據(jù)包的真正用途的前提下，再對其是否可以進入網(wǎng)絡(luò)進行判斷。

二、入侵檢測技術(shù)在維護計算機網(wǎng)絡(luò)安全中的應(yīng)用

（一）基于網(wǎng)絡(luò)的入侵檢測

基于網(wǎng)絡(luò)的入侵檢測形式有基于硬件的，也有基于軟件的，不過二者的工作流程是相同的。它們將網(wǎng)絡(luò)接口的模式設(shè)置為混雜模式，以便于對全部流經(jīng)該網(wǎng)段的數(shù)據(jù)進行時實監(jiān)控，將其做出分析，再和數(shù)據(jù)庫中預(yù)定義的具備攻擊特征做出比較，從而將有害的攻擊數(shù)據(jù)包識別出來，做出響應(yīng)，并記錄日志。

1.入侵檢測的體系結(jié)構(gòu)

網(wǎng)絡(luò)入侵檢測的體系結(jié)構(gòu)通常由三部分組成，分別為Agent、Console以及Manager。其中Agent的作用是對網(wǎng)段內(nèi)的數(shù)據(jù)包進行監(jiān)視，找出攻擊信息并把相關(guān)的數(shù)據(jù)發(fā)送至管理器；Console的主要作用是負(fù)責(zé)收集處的信息，顯示出所受攻擊的信息，把找出的攻擊信息及相關(guān)數(shù)據(jù)發(fā)送至管理器；Manager的主要作用則是響應(yīng)配置攻擊警告信息，控制臺所的命令也由Manager來執(zhí)行，再把所發(fā)出的攻擊警告發(fā)送至控制臺。

2.入侵檢測的工作模式

基于網(wǎng)絡(luò)的入侵檢測，要在每個網(wǎng)段中部署多個入侵檢測，按照網(wǎng)絡(luò)結(jié)構(gòu)的不同，其的連接形式也各不相同。如果網(wǎng)段的連接方式為總線式的集線器，則把與集線器中的某個端口相連接即可；如果為交換式以太網(wǎng)交換機，因為交換機無法共享媒價，因此只采用一個對整個子網(wǎng)進行監(jiān)聽的辦法是無法實現(xiàn)的。因此可以利用交換機核心芯片中用于調(diào)試的端口中，將入侵檢測系統(tǒng)與該端口相連接?；蛘甙阉旁跀?shù)據(jù)流的關(guān)鍵出入口，于是就可以獲取幾乎全部的關(guān)鍵數(shù)據(jù)。

3.攻擊響應(yīng)及升級攻擊特征庫、自定義攻擊特征

如果入侵檢測系統(tǒng)檢測出惡意攻擊信息，其響應(yīng)方式有多種，例如發(fā)送電子郵件、記錄日志、通知管理員、查殺進程、切斷會話、通知管理員、啟動觸發(fā)器開始執(zhí)行預(yù)設(shè)命令、取消用戶的賬號以及創(chuàng)建一個報告等等。升級攻擊特征庫可以把攻擊特征庫文件通過手動或者自動的形式由相關(guān)的站點中下載下來，再利用控制臺將其實時添加至攻擊特征庫中。而網(wǎng)絡(luò)管理員可以按照單位的資源狀況及其應(yīng)用狀況，以入侵檢測系統(tǒng)特征庫為基礎(chǔ)來自定義攻擊特征，從而對單位的特定資源與應(yīng)用進行保護。

（二）對于主機的入侵檢測

通常對主機的入侵檢測會設(shè)置在被重點檢測的主機上，從而對本主機的系統(tǒng)審計日志、網(wǎng)絡(luò)實時連接等信息做出智能化的分析與判斷。如果發(fā)展可疑情況，則入侵檢測系統(tǒng)就會有針對性的采用措施。基于主機的入侵檢測系統(tǒng)可以具體實現(xiàn)以下功能：對用戶的操作系統(tǒng)及其所做的所有行為進行全程監(jiān)控；持續(xù)評估系統(tǒng)、應(yīng)用以及數(shù)據(jù)的完整性，并進行主動的維護；創(chuàng)建全新的安全監(jiān)控策略，實時更新；對于未經(jīng)授權(quán)的行為進行檢測，并發(fā)出報警，同時也可以執(zhí)行預(yù)設(shè)好的響應(yīng)措施；將所有日志收集起來并加以保護，留作后用?；谥鳈C的入侵檢測系統(tǒng)對于主機的保護很全面細(xì)致，但要在網(wǎng)路中全面部署成本太高。并且基于主機的入侵檢測系統(tǒng)工作時要占用被保護主機的處理資源，所以會降低被保護主機的性能。

三、入侵檢測技術(shù)存在的問題

盡管入侵檢測技術(shù)有其優(yōu)越性，但是現(xiàn)階段它還存在著一定的不足，主要體現(xiàn)在以下幾個方面：

第一：局限性：由于網(wǎng)絡(luò)入侵檢測系統(tǒng)只對與其直接連接的網(wǎng)段通信做出檢測，而不在同一網(wǎng)段的網(wǎng)絡(luò)包則無法檢測，因此如果網(wǎng)絡(luò)環(huán)境為交換以太網(wǎng)，則其監(jiān)測范圍就會表現(xiàn)出一定的局限性，如果安裝多臺傳感器則又增加了系統(tǒng)的成本。

第二：目前網(wǎng)絡(luò)入侵檢測系統(tǒng)一般采有的是特征檢測的方法，對于一些普通的攻擊來說可能比較有效，但是一些復(fù)雜的、計算量及分析時間均較大的攻擊則無法檢測。

第三：監(jiān)聽某些特定的數(shù)據(jù)包時可能會產(chǎn)生大量的分析數(shù)據(jù)，會影響系統(tǒng)的性能。

第四：在處理會話過程的加密問題時，對于網(wǎng)絡(luò)入侵檢測技術(shù)來說相對較難，現(xiàn)階段通過加密通道的攻擊相對較少，但是此問題會越來越突出。

第五：入侵檢測系統(tǒng)自身不具備阻斷和隔離網(wǎng)絡(luò)攻擊的能力，不過可以與防火墻進行聯(lián)動，發(fā)現(xiàn)入侵行為后通過聯(lián)動協(xié)議通知防火墻，讓防火墻采取隔離手段。

四、總結(jié)

現(xiàn)階段的入侵檢測技術(shù)相對來說還存在著一定的缺陷，很多單位在解決網(wǎng)絡(luò)入侵相關(guān)的安全問題時都采用基于主機與基于網(wǎng)絡(luò)相結(jié)合的入侵檢測系統(tǒng)。當(dāng)然入侵檢測技術(shù)也在不斷的發(fā)展，數(shù)據(jù)挖掘異常檢測、神經(jīng)網(wǎng)絡(luò)異常檢測、貝葉斯推理異常檢測、專家系統(tǒng)濫用檢測、狀態(tài)轉(zhuǎn)換分析濫用檢測等入侵檢測技術(shù)也越來越成熟。總之、用戶要提高計算機網(wǎng)絡(luò)系統(tǒng)的安全性，不僅僅要靠技術(shù)支持，還要依靠自身良好的維護與管理。

參考文獻(xiàn)：

[1]胥瓊丹.入侵檢測技術(shù)在計算機網(wǎng)絡(luò)安全維護中的應(yīng)用[J].電腦知識與技術(shù)，2010，11

第4篇

關(guān)鍵詞：掃描，權(quán)限后門，網(wǎng)絡(luò)攻擊

 

信息網(wǎng)絡(luò)和安全體系是信息化健康發(fā)展的基礎(chǔ)和保障。但是,隨著信息化應(yīng)用的深入、認(rèn)識的提高和技術(shù)的發(fā)展,現(xiàn)有信息網(wǎng)絡(luò)系統(tǒng)的安全性建設(shè)已提上工作日程。

入侵攻擊有關(guān)方法,主要有完成攻擊前的信息收集、完成主要的權(quán)限提升完成主要的后門留置等,下面僅就包括筆者根據(jù)近年來在網(wǎng)絡(luò)管理中有關(guān)知識和經(jīng)驗,就入侵攻擊的對策及檢測情況做一闡述。論文大全。

對入侵攻擊來說,掃描是信息收集的主要手段,所以通過對各種掃描原理進行分析后,我們可以找到在攻擊發(fā)生時數(shù)據(jù)流所具有的特征。

1、利用數(shù)據(jù)流特征來檢測攻擊的思路

掃描時,攻擊者首先需要自己構(gòu)造用來掃描的IP數(shù)據(jù)包,通過發(fā)送正常的和不正常的數(shù)據(jù)包達(dá)到計算機端口,再等待端口對其響應(yīng),通過響應(yīng)的結(jié)果作為鑒別。我們要做的是讓IDS系統(tǒng)能夠比較準(zhǔn)確地檢測到系統(tǒng)遭受了網(wǎng)絡(luò)掃描?？紤]下面幾種思路:

(1)特征匹配

找到掃描攻擊時數(shù)據(jù)包中含有的數(shù)據(jù)特征,可以通過分析網(wǎng)絡(luò)信息包中是否含有端口掃描特征的數(shù)據(jù),來檢測端口掃描的存在。如UDP端口掃描嘗試:content:“sUDP”等。

(2)統(tǒng)計分析

預(yù)先定義一個時間段,在這個時間段內(nèi)如發(fā)現(xiàn)了超過某一預(yù)定值的連接次數(shù),認(rèn)為是端口掃描。

(3)系統(tǒng)分析

若攻擊者對同一主機使用緩慢的分布式掃描方法,間隔時間足夠讓入侵檢測系統(tǒng)忽略,不按順序掃描整個網(wǎng)段,將探測步驟分散在幾個會話中,不導(dǎo)致系統(tǒng)或網(wǎng)絡(luò)出現(xiàn)明顯異常,不導(dǎo)致日志系統(tǒng)快速增加記錄,那么這種掃描將是比較隱秘的。這樣的話,通過上面的簡單的統(tǒng)計分析方法不能檢測到它們的存在,但是從理論上來說,掃描是無法絕對隱秘的,若能對收集到的長期數(shù)據(jù)進行系統(tǒng)分析,可以檢測出緩慢和分布式的掃描。

2、檢測本地權(quán)限攻擊的思路

行為監(jiān)測法、文件完備性檢查、系統(tǒng)快照對比檢查是常用的檢測技術(shù)。虛擬機技術(shù)是下一步我們要研究的重點方向。

(1)行為監(jiān)測法

由于溢出程序有些行為在正常程序中比較罕見,因此可以根據(jù)溢出程序的共同行為制定規(guī)則條件,如果符合現(xiàn)有的條件規(guī)則就認(rèn)為是溢出程序。行為監(jiān)測法可以檢測未知溢出程序,但實現(xiàn)起來有一定難度,不容易考慮周全。行為監(jiān)測法從以下方面進行有效地監(jiān)測:一是監(jiān)控內(nèi)存活動,跟蹤內(nèi)存容量的異常變化,對中斷向量進行監(jiān)控、檢測。二是跟蹤程序進程的堆棧變化,維護程序運行期的堆棧合法性。以防御本地溢出攻擊和競爭條件攻擊。

監(jiān)測敏感目錄和敏感類型的文件。對來自www服務(wù)的腳本執(zhí)行目錄、ftp服務(wù)目錄等敏感目錄的可執(zhí)行文件的運行,進行攔截、仲裁。對這些目錄的文件寫入操作進行審計,阻止非法程序的上傳和寫入。監(jiān)測來自系統(tǒng)服務(wù)程序的命令的執(zhí)行。對數(shù)據(jù)庫服務(wù)程序的有關(guān)接口進行控制,防止通過系統(tǒng)服務(wù)程序進行的權(quán)限提升。論文大全。監(jiān)測注冊表的訪問,采用特征碼檢測的方法,阻止木馬和攻擊程序的運行。

(2)文件完備性檢查

對系統(tǒng)文件和常用庫文件做定期的完備性檢查?？梢圆捎胏hecksum的方式,對重要文件做先驗快照,檢測對這些文件的訪問,對這些文件的完備性作檢查,結(jié)合行為檢測的方法,防止文件覆蓋攻擊和欺騙攻擊。

(3)系統(tǒng)快照對比檢查

對系統(tǒng)中的公共信息,如系統(tǒng)的配置參數(shù),環(huán)境變量做先驗快照,檢測對這些系統(tǒng)變量的訪問,防止篡改導(dǎo)向攻擊。

(4)虛擬機技術(shù)

通過構(gòu)造虛擬x86計算機的寄存器表、指令對照表和虛擬內(nèi)存,能夠讓具有溢出敏感特征的程序在虛擬機中運行一段時間。論文大全。這一過程可以提取與有可能被懷疑是溢出程序或與溢出程序相似的行為,比如可疑的跳轉(zhuǎn)等和正常計算機程序不一樣的地方,再結(jié)合特征碼掃描法,將已知溢出程序代碼特征庫的先驗知識應(yīng)用到虛擬機的運行結(jié)果中,完成對一個特定攻擊行為的判定。

虛擬機技術(shù)仍然與傳統(tǒng)技術(shù)相結(jié)合,并沒有拋棄已知的特征知識庫。虛擬機的引入使得防御軟件從單純的靜態(tài)分析進入了動態(tài)和靜態(tài)分析相結(jié)合的境界,在一個階段里面,極大地提高了已知攻擊和未知攻擊的檢測水平,以相對比較少的代價獲得了可觀的突破。在今后相當(dāng)長的一段時間內(nèi),虛擬機在合理的完整性、技術(shù)技巧等方面都會有相當(dāng)?shù)倪M展。目前國際上公認(rèn)的、并已經(jīng)實現(xiàn)的虛擬機技術(shù)在未知攻擊的判定上可達(dá)到80%左右的準(zhǔn)確率。

3、后門留置檢測的常用技術(shù)

(1)對比檢測法

檢測后門時,重要的是要檢測木馬的可疑蹤跡和異常行為。因為木馬程序在目標(biāo)網(wǎng)絡(luò)的主機上駐留時,為了不被用戶輕易發(fā)現(xiàn),往往會采取各種各樣的隱藏措施,因此檢測木馬程序時必須考慮到木馬可能采取的隱藏技術(shù)并進行有效地規(guī)避,才能發(fā)現(xiàn)木馬引起的異?，F(xiàn)象從而使隱身的木馬“現(xiàn)形”。常用的檢測木馬可疑蹤跡和異常行為的方法包括對比檢測法、文件防篡改法、系統(tǒng)資源監(jiān)測法和協(xié)議分析法等。

(2)文件防篡改法

文件防篡改法是指用戶在打開新文件前,首先對該文件的身份信息進行檢驗以確保沒有被第三方修改。文件的身份信息是用于惟一標(biāo)識文件的指紋信息,可以采用數(shù)字簽名或者md5檢驗和的方式進行生成。

(3)系統(tǒng)資源監(jiān)測法

系統(tǒng)資源監(jiān)測法是指采用監(jiān)控主機系統(tǒng)資源的方式來檢測木馬程序異常行為的技術(shù)。由于黑客需要利用木馬程序進行信息搜集,以及滲透攻擊,木馬程序必然會使用主機的一部分資源,因此通過對主機資源(例如網(wǎng)絡(luò)、CPU、內(nèi)存、磁盤、USB存儲設(shè)備和注冊表等資源)進行監(jiān)控將能夠發(fā)現(xiàn)和攔截可疑的木馬行為。

(4)協(xié)議分析法

協(xié)議分析法是指參照某種標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議對所監(jiān)聽的網(wǎng)絡(luò)會話進行對比分析,從而判斷該網(wǎng)絡(luò)會話是否為非法木馬會話的技術(shù)。利用協(xié)議分析法能夠檢測出采取了端口復(fù)用技術(shù)進行端口隱藏的木馬。

參考文獻(xiàn):

[1]張普兵,郭廣猛,廖成君.Internet中的電子欺騙攻擊及其防范[J].計算機應(yīng)用,2001,21(1):32-34.

[2]蘇一丹,李桂.基于DFA的大規(guī)模入侵建模方法研究[J].計算機工程與應(yīng)用,2003,39(28).

[3]蔣總禮,姜守旭.形式語言與自動機理論[M].北京:清華大學(xué)出版社,2003.

第5篇

Abstract：This article simply introduces the current honeypot and honeynet technology， on the analysis of enrollment network security for college entrance examination， a high—concealment and high—safety honeypot system design scheme is put forward， and it is proved to be effective by experiment.

關(guān)鍵詞： 蜜罐；重定向；無縫環(huán)境切換；招生網(wǎng)絡(luò)安全

Key words： honeypot；redirection；seamless context switch；enrollment network security

中圖分類號：TP39 文獻(xiàn)標(biāo)識碼：A 文章編號：1006—4311（2012）27—0190—02

1 研究背景

基于中國教育與科研計算機網(wǎng)（CERNET）的高考招生錄取是迄今為止世界上規(guī)模最大的網(wǎng)上招生錄取應(yīng)用。對于網(wǎng)上招生錄取這種影響大、涉及面廣、關(guān)注度高的網(wǎng)絡(luò)應(yīng)用而言，網(wǎng)絡(luò)的安全至關(guān)重要。前些年，浙江省高校招生網(wǎng)上錄取工作就曾遭受惡意攻擊。前車之鑒，后事之師，如何保證高校網(wǎng)上招生錄取現(xiàn)場的網(wǎng)絡(luò)安全、高效、穩(wěn)定地運行成為我們面臨的課題。筆者根據(jù)近幾年來從事網(wǎng)上招生錄取網(wǎng)絡(luò)保障的實踐，吸取一些網(wǎng)絡(luò)保障專家們的經(jīng)驗，對高校網(wǎng)上招生院校端錄取現(xiàn)場的網(wǎng)絡(luò)安全進行了研究，引入了一種優(yōu)化的網(wǎng)絡(luò)安全保障方案。出于安全保密的原因，文中將某些具體細(xì)節(jié)隱去，但這并不影響本文的完整性。

目前防火墻是網(wǎng)絡(luò)上使用最多的安全設(shè)備，是網(wǎng)絡(luò)安全的重要基石。然而最近的調(diào)查顯示，防火墻的攻破率已經(jīng)超過47%。傳統(tǒng)的老三樣，防火墻連同入侵檢測和殺病毒的技術(shù)在新的安全形勢下，顯得過時。

一些新興的技術(shù)在未來則可能成為保障網(wǎng)絡(luò)安全的重要手段，有一種稱為“蜜罐”（honeypot）的設(shè)備，則是要讓黑客誤以為已經(jīng)成功侵入網(wǎng)絡(luò)，并且讓黑客繼續(xù)“為所欲為”，目的在于拖時間，以便網(wǎng)絡(luò)保安系統(tǒng)和人員能夠把黑客“抓住”。繼“蜜罐”之后，又出現(xiàn)了蜜網(wǎng)技術(shù)，盡管蜜網(wǎng)技術(shù)截今為止已經(jīng)發(fā)展到了第三代，但蜜網(wǎng)系統(tǒng)“甜度”不高，安全性差的問題依然沒有得到完全解決。

2 現(xiàn)有蜜網(wǎng)技術(shù)的不足

攻擊者入侵到真實的系統(tǒng)中，必然留下一些記錄，現(xiàn)有的蜜場產(chǎn)品往往忽視這個細(xì)節(jié)，只簡單地將可疑流量重定向到誘騙環(huán)境當(dāng)中，這時候，比較高級的攻擊者發(fā)現(xiàn)自己的記錄沒有了，會意識到自己處于誘騙環(huán)境中，于是退出而不再訪問誘騙環(huán)境，甚至?xí)卧煲恍┨摷俚男畔⒚曰蠛驼`導(dǎo)管理員，從而使誘騙環(huán)境失效甚至?xí)蔀楣粽咚玫墓ぞ摺?/p>

不同于其它安全工具，誘騙系統(tǒng)并不只是收集信息的工具，而是充當(dāng)攻擊的犧牲者。允許攻擊者進入誘騙系統(tǒng)，從而可以監(jiān)控他們的行為，這是誘騙系統(tǒng)的特征之一，而誘騙系統(tǒng)的這一本質(zhì)特征，也決定了其冒險性。而且隨著現(xiàn)在誘騙技術(shù)的發(fā)展，越來越多的人們意識到誘騙環(huán)境的重要性，已經(jīng)出現(xiàn)了一些針對誘騙環(huán)境的探測工具。誘騙主機越多，冒險性就越大，尤其是將誘騙環(huán)境放置在網(wǎng)絡(luò)的核心位置。因此入侵誘騙技術(shù)就好比一把雙刃劍，能否降低其負(fù)面效應(yīng)是入侵誘騙技術(shù)能否長期發(fā)展的關(guān)鍵。另一方面單一的入侵檢測方法無法滿足檢測日新月異的攻擊的需要。

3 HCHS蜜罐系統(tǒng)的結(jié)構(gòu)

本研究在深入分析當(dāng)前蜜罐與蜜網(wǎng)技術(shù)之后，針對隱蔽性和安全性不足的問題，引入無縫環(huán)境切換理論，并運用誤用檢測模式和異常檢測模式的進行兩次入侵檢測以及相應(yīng)的兩次重定向，設(shè)計一個高隱蔽高安全性的新型蜜罐系統(tǒng)。

高隱蔽高安全性的蜜罐系統(tǒng)優(yōu)化模型結(jié)構(gòu)圖如下：

3.1 混合入侵檢測 誤用入侵檢測——在誤用入侵檢測中，假定所有入侵行為和手段都能夠表達(dá)為一種模式或特征，那么所有已知的入侵方法都可以用匹配的方法發(fā)現(xiàn)。誤用入侵檢測的關(guān)鍵是如何表達(dá)入侵的模式，把真正的入侵與正常行為區(qū)分開來。其優(yōu)點是誤報少，局限性是它只能發(fā)現(xiàn)已知的攻擊，對未知的攻擊無能為力。

異常入侵檢測——在異常入侵檢測中，假定所有入侵行為都是與正常行為不同的，這樣，如果建立系統(tǒng)正常行為的軌跡，那么理論上可以把所有與正常軌跡不同的系統(tǒng)狀態(tài)視為可疑企圖。比如，通過流量統(tǒng)計分析將異常時間的異常網(wǎng)絡(luò)流量視為可疑。異常入侵檢測的局限是并非所有的入侵都表現(xiàn)為異常，而且系統(tǒng)的軌跡難于計算和更新。

對比這兩種檢測方法可以發(fā)現(xiàn)，異常檢測難于定量分析，這種檢測方式有一種固有的不確定性。與此不同，誤用檢測會遵循定義好的模式，能通過對審計記錄信息做模式匹配來檢測，但僅可檢測已知的入侵方式。所以這兩類檢測機制都不完美。本論文分別運用誤用入侵檢測和異常入侵檢測兩種方法對網(wǎng)絡(luò)及主機進行兩次入侵檢測并相應(yīng)設(shè)置兩次重定向機制，誤用入侵檢測用基于網(wǎng)絡(luò)的IDS來實現(xiàn)，異常入侵檢測用基于主機的IDS來實現(xiàn)。這樣做可綜合兩種入侵檢測方法的優(yōu)點，提高對惡意連接的檢測率，使系統(tǒng)的安全性得以增強。

第6篇

【 關(guān)鍵詞 】 IPS；校園局域網(wǎng)；安全體系

Base on Intrusion Prevention System ‘s Research and Implementation in Campus network Security System

Lu Xu-xia

(Tongji University Shanghai 200092)

【 Abstract 】 In network security, intrusion prevention system is a defensive nature of the network security technology. It is in order to make up for the deficiency of network firewall and IDS. Different intrusion prevention system realization way is different. They are defensive. This article discusses the current campus network security risks, the IPS concept and classification, how to deploy the IPS in the campus networks, and the advantage of IPS.

【 Keywords 】 IPS;campus network;security system

0 引言

目前隨著計算機網(wǎng)絡(luò)的迅速發(fā)展，網(wǎng)絡(luò)給人們帶來了無限的方便和快捷，人們可以隨時隨地上網(wǎng)獲取信息。其中校園網(wǎng)是網(wǎng)絡(luò)中的一個重要組成部分。隨著網(wǎng)絡(luò)環(huán)境的逐漸復(fù)雜多變，各種入侵手段的層出不窮，如何保證校園網(wǎng)絡(luò)環(huán)境不受威脅，保證學(xué)生正常的學(xué)習(xí)使用，是我們漸漸要引起重視的一個課題。

1 目前校園局域網(wǎng)存在的安全隱患

目前校園網(wǎng)存在的安全隱患表現(xiàn)在多方面。如圖1所示。

校園網(wǎng)存在的安全隱患雖然眾多，但是歸類一下主要表現(xiàn)為幾大點。

a. 由系統(tǒng)或者應(yīng)用軟件漏洞引起的安全隱患。Windows系統(tǒng)存在很多的系統(tǒng)安全漏洞,瀏覽器IE存在嚴(yán)重的安全漏洞，一些技術(shù)愛好者對黑客軟件的好奇，如一些系統(tǒng)漏洞探測工具等，盜號工具等很可能含有木馬程序的黑客工具，如校園使用的E-mail服務(wù)系統(tǒng)沒有任何安全管理和監(jiān)控保護。

b. 由外部設(shè)備插入引起的安全隱患。如移動硬盤、U盤攜帶病毒的傳播。

c. 外部攻擊。黑客攻擊校園網(wǎng)等。

d. 人為因素。主要分為外部人員攻擊、學(xué)校安全管理部門安全意識淡薄、學(xué)生上網(wǎng)安全意識淡薄等。

校園網(wǎng)絡(luò)安全的形勢非常嚴(yán)峻，為解決以上安全隱患和漏洞，結(jié)合校園網(wǎng)特點和現(xiàn)今網(wǎng)絡(luò)安全的典型解決方案和技術(shù)，我們引入IPS技術(shù)來提高和保證校園安全。

2 IPS概述

2.1 IPS的概念

IPS是Intrusion Prevention System的縮寫，即入侵防御系統(tǒng)。位于防火墻和網(wǎng)絡(luò)的設(shè)備之間。這樣，如果檢測到攻擊，IPS會在這種攻擊擴散到網(wǎng)絡(luò)的其它地方之前阻止這個惡意的通信。一般來說，IPS系統(tǒng)都依靠對數(shù)據(jù)包的檢測。IPS將檢查入網(wǎng)的數(shù)據(jù)包，確定這種數(shù)據(jù)包的真正用途，然后決定是否允許這種數(shù)據(jù)包進入你的網(wǎng)絡(luò)。

2.2 IPS的分類

IPS主要分為三大類：對host的入侵防護、應(yīng)用入侵防護和對Web的入侵防護。

對host的入侵防護HIPS: 這種入侵防護是將IPS軟件安裝在主機上，其軟件具有對主機的防護功能。一般的HIPS利用實時入侵檢測，網(wǎng)絡(luò)上的狀態(tài)包檢測，狀態(tài)包過濾等方式，可以防止非法進行用戶驗證、非法改動數(shù)據(jù)庫、防止緩沖區(qū)溢出等等的入侵。由于HIPS需要安裝到主機上，所以與主機上安裝的操作系統(tǒng)平臺緊密相關(guān)，不同的操作系統(tǒng)需要不同的IPS的軟件程序。

應(yīng)用入侵防護AIPS:AIPS是在網(wǎng)絡(luò)鏈路層對網(wǎng)絡(luò)進行防御保護，由于其工作在鏈路層，所以和主機的操作系統(tǒng)平臺無關(guān)。它是在對主機的入侵防護基礎(chǔ)之上的位于應(yīng)用服務(wù)器之前的網(wǎng)絡(luò)設(shè)備。未來的NIPS很有可能成為交換機的附加功能，對交換機功能進行進一步擴充，在交換機上就對數(shù)據(jù)包進行檢測和阻斷功能。這樣每一層的交換機都成了網(wǎng)絡(luò)保護的手段。

對Web的入侵防護NIPS:這種入侵防護通常設(shè)計成類似交換機的設(shè)備，提供了多個網(wǎng)絡(luò)端口，原因是NIPS需要實時在線，需要具備很高的性能，否則會成為網(wǎng)絡(luò)的瓶頸。NIPS是通過實時檢測網(wǎng)絡(luò)中的網(wǎng)絡(luò)流量來判斷網(wǎng)絡(luò)是否異常。NIPS使用在線連接各臺主機的方式，一旦發(fā)現(xiàn)有入侵活動，就立馬隔斷整個網(wǎng)絡(luò)的會話。

3 校園網(wǎng)中如何部署IPS

3.1 部署

既然IPS是在威脅進入網(wǎng)絡(luò)之前進行防御，所以我們一般需要在“前端”進行部署。如在校園網(wǎng)與外部網(wǎng)絡(luò)的入口處部署、重要服務(wù)器集群前端和校園網(wǎng)內(nèi)部接入處部署等。

3.2 具體部署

校園局域網(wǎng)中有學(xué)生宿舍網(wǎng)絡(luò)、圖書館網(wǎng)絡(luò)、教學(xué)樓網(wǎng)絡(luò)、各種服務(wù)器如課件服務(wù)器、學(xué)分查詢系統(tǒng)、教師宿舍網(wǎng)絡(luò)。我們需要在這些網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的接口處設(shè)置IPS。在IPS之后再安裝硬件防火墻，然后再連接到internet。其拓?fù)浣Y(jié)構(gòu)如圖2所示。

通過部署IPS來實現(xiàn)對內(nèi)部網(wǎng)絡(luò)的整體網(wǎng)絡(luò)訪問的控制和流量的控制，尤其是限制P2P下載，實現(xiàn)網(wǎng)管級別防病毒；通過在互聯(lián)服務(wù)區(qū)的接口處部署入侵防御系統(tǒng)，實現(xiàn)對眾多服務(wù)器開放業(yè)務(wù)的更高級別深層防御。具體可以根據(jù)具體校園網(wǎng)絡(luò)的不同進行不同的部署。部署關(guān)鍵點是主要是與因特網(wǎng)的連接都對IPS進行部署。

2.3 對部署的IPS進行測試

我們需要對IPS進行多方面的測試，以保證IPS可以最大限度地保證網(wǎng)絡(luò)安全。主要有對IPS系統(tǒng)基本管理功能的測試，測試IPS的測試策略定義能力，測試IPS針對具體環(huán)境對入侵事件做進一步精確分析的能力,IPS系統(tǒng)軟件、攻擊特征升級能力等。我們主要對幾點測試進行詳細(xì)介紹。首先我們可以在真正部署IPS設(shè)備之前部署一個測試網(wǎng)絡(luò)。如圖3所示。

IPS系統(tǒng)基本管理功能的測試：

登錄控制管理端界面，查看其各組件的分布情況，如管理界面、報警顯示界面、數(shù)據(jù)庫、日志查詢界面等。配置多級管理模式，滿足控制臺―控制臺―控制臺―引擎的部署結(jié)構(gòu)。添加多個虛擬引擎，看其是否有數(shù)量限制，查看可支持的其他組件。

測試IPS的測試策略定義能力：

打開策略管理菜單，自定義用戶策略user，針對http協(xié)議不同字段設(shè)置各種參數(shù)，打開新策略user，并定義某一條事件的響應(yīng)方式，定義響應(yīng)模板，將新模板應(yīng)用到所有TCP協(xié)議事件中，導(dǎo)入導(dǎo)出策略等

測試IPS針對具體環(huán)境對入侵事件做進一步精確分析的能力：

在顯示中心的環(huán)境匹配信息設(shè)置中，配置好被攻擊機的相關(guān)信息，如主機名teacher、IP地址、操作系統(tǒng)類型，協(xié)議=TCP，端口=80，打開環(huán)境匹配報警窗口，從Windows攻擊機上采用GUI_UICODE工具對被攻擊機發(fā)起UNICODE攻擊，然后查看綜合顯示中心的報警情況。

4 校園局域網(wǎng)使用IPS的優(yōu)勢

入侵防御系統(tǒng)的優(yōu)勢有很多，與入侵檢測系統(tǒng)的爭論比較頗多。IPS的優(yōu)點如表1所示。

5 總結(jié)

校園網(wǎng)絡(luò)的安全性越來越引起重視，入侵防御系統(tǒng)的介入，大大提高了校園局域網(wǎng)的安全性，也是一個新的研究課題，隨著校園網(wǎng)的告訴發(fā)展，入侵防御系統(tǒng)還會面臨新的挑戰(zhàn)，會根據(jù)新的安全問題不斷發(fā)展。

參考文獻(xiàn)

[1] 張龍. IPS入侵預(yù)防系統(tǒng)研究與設(shè)計[D].山東大學(xué),2006年.

[2] 黃律,傅明,曾菲菲,宋丹.入侵檢測系統(tǒng)及其研究[J].電腦與信息技術(shù),2004年01期.

[3] 羅桂瓊.基于協(xié)議分析的入侵檢測系統(tǒng)[J].電腦與信息技術(shù),2005年04期.

[4] 梁琳,拾以娟,鐵玲.基于策略的安全智能聯(lián)動模型[J].信息安全與通信保密,2004,(2):35-37.

[5] 梅鋒.入侵防御系統(tǒng)研究 [期刊論文] .有線電視技術(shù),2009(8).

第7篇

關(guān)鍵詞：金融信息，網(wǎng)絡(luò)安全，保障體系，服務(wù)

 

1金融信息系統(tǒng)安全保障體系的總體構(gòu)架

金融信息系統(tǒng)安全保障體系的總體構(gòu)架有系統(tǒng)安全、物理安全、應(yīng)用安全、網(wǎng)絡(luò)安全、和管理安全。畢業(yè)論文，網(wǎng)絡(luò)安全。

1.1金融信息系統(tǒng)的安全

系統(tǒng)安全指的就是網(wǎng)絡(luò)結(jié)構(gòu)的安全和操作系統(tǒng)的安全，應(yīng)用系統(tǒng)安全等等。畢業(yè)論文，網(wǎng)絡(luò)安全。網(wǎng)絡(luò)結(jié)構(gòu)的安全就是指網(wǎng)絡(luò)拓?fù)錄]有冗余的環(huán)路產(chǎn)生，線路比較暢通，結(jié)構(gòu)合理。操作系統(tǒng)的安全就是指要采用較高的網(wǎng)絡(luò)操作系統(tǒng)，刪除一些不常用卻存在安全隱患的應(yīng)用，對一些用戶的信息和口令要進行嚴(yán)格的把關(guān)和限制。應(yīng)用系統(tǒng)的安全就是指只保留一些常用的端口號和協(xié)議，要嚴(yán)格的控制使用者的操作權(quán)限。在系統(tǒng)中要對系統(tǒng)有一些必要的備份和恢復(fù)，它是為了保護金融系統(tǒng)出現(xiàn)問題時，能夠快速的恢復(fù)，在金融系統(tǒng)在運行的過程中要對其內(nèi)容進行備份。

1.2金融信息系統(tǒng)的物理安全

物理安全就是要保證整個網(wǎng)絡(luò)體系與信息結(jié)構(gòu)都是安全的。物理安全主要涉及的就是環(huán)境的安全和設(shè)備的安全，環(huán)境安全主要就是防雷、防火、防水、等等，而設(shè)備的安全指的就是防盜、放干擾等等。

1.3金融信息系統(tǒng)的應(yīng)用安全

金融信息系統(tǒng)的應(yīng)用安全主要就是指金融信息系統(tǒng)訪問控制的需要，對訪問的控制采用不同的級別，對用戶級別的訪問授權(quán)也是不同。收集驗證數(shù)據(jù)和安全傳輸?shù)臄?shù)據(jù)都是對目前使用者的身份識別和驗證的重要步驟。而對于金融系統(tǒng)中數(shù)據(jù)資源的備份和恢復(fù)的機制也要采取相應(yīng)的保護措施，在故障發(fā)生后第一時間恢復(fù)系統(tǒng)。

1.4金融信息系統(tǒng)的網(wǎng)絡(luò)安全

金融信息都是通過才能向外界的，而通過采取數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層的加密來實現(xiàn)通信的保護，對網(wǎng)絡(luò)中重要信息進行保護。而對網(wǎng)絡(luò)進行入侵檢測也是必要的，通過信息代碼對進出的網(wǎng)段進行監(jiān)控，來確保信息的安全性。畢業(yè)論文，網(wǎng)絡(luò)安全。對系統(tǒng)也要進行不定期的部件檢測，所是發(fā)現(xiàn)有漏洞要及時的進行補救。

1.5金融信息系統(tǒng)的安全管理

金融系統(tǒng)是一個涵蓋多方面的網(wǎng)絡(luò)，也運行著很多的網(wǎng)絡(luò)，對金融系統(tǒng)進行信息管理，就應(yīng)該設(shè)置安全的管理中心，要集中的管理，嚴(yán)格的規(guī)定和確定明確的責(zé)任和控制，確保金融系統(tǒng)可靠的運行。

2金融信息系統(tǒng)安全保障的措施

2.1設(shè)置安全保障的措施

對于任何未經(jīng)允許的策略都嚴(yán)格的禁止，系統(tǒng)允許訪問的都要經(jīng)過眼的認(rèn)證才能進入下一步，重要的金融信息要經(jīng)加密的措施進行傳輸。要通過網(wǎng)絡(luò)安全策略對金融信息系統(tǒng)的網(wǎng)絡(luò)設(shè)置防火墻，用來保護各個金融節(jié)點的信息安全，允許授權(quán)用戶訪問局域網(wǎng)，允許授權(quán)用戶訪問該局域網(wǎng)內(nèi)的特定資源;按業(yè)務(wù)和行政歸屬，在橫向和縱向網(wǎng)絡(luò)上通過采用MPLSVPN技術(shù)進行VPN劃分。

2.2使用安全技術(shù)和安全產(chǎn)品的措施

為了金融系統(tǒng)有個安全可靠運行環(huán)境，遵循金融系統(tǒng)的安全保障體系策略，要在金融信息系統(tǒng)中安裝一些安全技術(shù)和安全的產(chǎn)品。將金融信息系統(tǒng)劃分為不同的安全區(qū)域，每個區(qū)域都不同的責(zé)任和任務(wù)，對不同的區(qū)域要有不同的保護措施，即方便又增強了安全性。在金融想嘔吐中安裝一道防火墻，用來防止不可預(yù)見的事故，若是有潛在的破壞性的攻擊者，防火墻會起到一定的作用，對外部屏蔽內(nèi)部的消息，以實現(xiàn)網(wǎng)絡(luò)的安全防護。應(yīng)該在金融信息系統(tǒng)中設(shè)置入侵檢測系統(tǒng)，要對網(wǎng)絡(luò)的安全狀態(tài)進行定期的檢測，對入侵的事件進行檢測，對網(wǎng)絡(luò)進行全方位的保護。在金融信息系統(tǒng)中安裝防病毒的系統(tǒng)，對有可能產(chǎn)生的病源或是路徑進行相對應(yīng)的配置防病毒的軟件，對金融信息系統(tǒng)提供一個集中式的管理，對反病毒的程序進行安裝、掃描、更新和共享等，將日常的金融信息系統(tǒng)的維護工作簡單化，對有可能侵入金融信息系統(tǒng)的病毒進行24小時監(jiān)控，使得網(wǎng)絡(luò)免遭病毒的危害。定期的對金融信息系統(tǒng)進行安全評估，對系統(tǒng)中的工作站、服務(wù)器、交換機、數(shù)據(jù)庫一一的進行檢測評估，根據(jù)評估的結(jié)果，向系統(tǒng)提供報告。安全的評估與防火墻的入侵檢測是相互配合的，夠使網(wǎng)絡(luò)提供更高性能的服務(wù)。畢業(yè)論文，網(wǎng)絡(luò)安全。

2.3金融信息管理的安全措施

在管理的技術(shù)手段上，也要提高安全管理的水平。金融信息系統(tǒng)是相對比較封閉的，金融信息系統(tǒng)的安全是最重要的，業(yè)務(wù)邏輯與操作規(guī)范的嚴(yán)密是重中之重。因此對于金融信息系統(tǒng)的內(nèi)部管理，加強領(lǐng)導(dǎo)班子對安全管理的體系，強化日常的管理制度嗎、，提升根本的管理層次。

2.3.1建立完善的組織機構(gòu)

如今我國更加重視信息安全的發(fā)展，它可以促進經(jīng)濟發(fā)展和維護社會的穩(wěn)定。在金融信息系統(tǒng)的內(nèi)部要建立安全管理小組，安全管理小組的任務(wù)就是要制定出符合金融發(fā)展的安全策略。管理小組由責(zé)任和義務(wù)維護好系統(tǒng)的安全和穩(wěn)定。

2.3.2制定一系列的安全管理辦法和法規(guī)，主要就是抓住內(nèi)網(wǎng)的管理，行為、應(yīng)用等管理，進行內(nèi)容控制和存儲管理。對每個設(shè)施都要有一套預(yù)案，并定期進行測試。畢業(yè)論文，網(wǎng)絡(luò)安全。

2.3.3 加強嚴(yán)格管理，加強登陸身份的認(rèn)證，嚴(yán)格控制用戶的使用權(quán)限，對每個用戶都要進行信息跟蹤，為系統(tǒng)的審核提供保障。畢業(yè)論文，網(wǎng)絡(luò)安全。

2.3.4加強重視信息保護的等級，對金融信息系統(tǒng)中信息重點保護，對重要信息實施強制保護和強制性認(rèn)證，以確保金融業(yè)務(wù)信息的安全。也要不斷的加強信息管理人才與安全隊伍的建設(shè)，加大對復(fù)合型人才的培養(yǎng)力度，通過各種會議、網(wǎng)站、廣播、電視、報紙等媒體加大信息安全普法和守法宣傳力度，提高全民信息安全意識，尤其是加強企業(yè)內(nèi)部人員的信息安全知識培訓(xùn)與教育，提高員工的信息安全自律水平。

3結(jié)語

隨著金融信息化的快速發(fā)展，金融信息系統(tǒng)的規(guī)模逐步擴大，金融信息資產(chǎn)的數(shù)量急劇增加，對網(wǎng)絡(luò)與信息系統(tǒng)實施安全保護已勢在必行。目前互聯(lián)網(wǎng)的應(yīng)用還缺乏一定的安全措施，這樣就嚴(yán)重的影響和限制了金融系統(tǒng)通過網(wǎng)絡(luò)向外界提供服務(wù)的質(zhì)量和種類。因此，各個金融信息系統(tǒng)都必須要采取一定的安全防護措施，構(gòu)建一個安全的合理的金融信息系統(tǒng)。

參考文獻(xiàn)：

[1]盧新德.構(gòu)建信息安全保障新體系:全球信息戰(zhàn)的新形勢與我國的信息安全戰(zhàn)略[M].北京：中國經(jīng)濟出版社，2007.

[2]李改成.金融信息安全工程[M].北京：機械工業(yè)出版社，2010.

[3]方德英，黃飛鳴.金融業(yè)信息化戰(zhàn)略——理論與實踐[M].北京：電子工業(yè)出版社，2009.4.

第8篇

【關(guān)鍵詞】IPS PDRR 入侵檢測

一、引言

目前計算機網(wǎng)絡(luò)融人到人類社會的方方面面， 與此同時計算機網(wǎng)絡(luò)本身的安全問題也日益嚴(yán)重。傳統(tǒng)上網(wǎng)絡(luò)系統(tǒng)的安全主要由防火墻和人侵檢測兩大支柱技術(shù)來保障， 這兩大技術(shù)對網(wǎng)絡(luò)系統(tǒng)的安全都曾經(jīng)起到重大的作用， 為維護網(wǎng)絡(luò)系統(tǒng)的安全做出過巨大的貢獻(xiàn)。另一方面， 網(wǎng)絡(luò)攻擊技術(shù)也在不斷的發(fā)展， 出現(xiàn)了小分片攻擊、慢掃描、Ddos攻擊、加密攻擊等新的攻擊技術(shù)， 甚至還出現(xiàn)了專門攻擊防火墻與人侵檢測系統(tǒng)等網(wǎng)絡(luò)安全軟件的攻擊程序， 這一切都對傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)提出了挑戰(zhàn)， 對網(wǎng)絡(luò)安全技術(shù)的發(fā)展提出了新的要求。

同時， 防火墻和人侵檢測系統(tǒng)自身也存在一些固有的弱點， 使得自身的發(fā)展受到限制。如防火墻本身容易受到攻擊， 且對于內(nèi)部網(wǎng)絡(luò)出現(xiàn)的問題經(jīng)常束手無策。人侵檢測系統(tǒng)是保障網(wǎng)絡(luò)正常運行的重要工具， 具有識別人侵特征和安全審記等功能， 人侵檢測系統(tǒng)可以檢測出已知的和未知的人侵， 是一種主動式安全檢測技術(shù)。人侵檢測系統(tǒng)可以分為兩大類異常人侵檢測系統(tǒng)和誤用人侵檢測系統(tǒng)， 由于檢測誤差的存在， 異常人侵檢測系統(tǒng)會產(chǎn)生較高的誤報率， 從而產(chǎn)生大量的警報， 使真正的人侵信息淹沒在虛假的警報信息中而誤用人侵檢測系統(tǒng)會出現(xiàn)較高的漏報率， 不能檢測到未知的人侵同時， 由于人侵檢測系統(tǒng)必須要對網(wǎng)絡(luò)中所有通過的數(shù)據(jù)包進行檢測， 而檢測本身又是一個非常耗時的過程， 這就使得人侵檢測系統(tǒng)本身的負(fù)載量非常大， 導(dǎo)致檢測效率的下降和引起網(wǎng)絡(luò)性能的瓶頸另外， 人侵檢測系統(tǒng)雖然具有響應(yīng)模塊， 但入侵檢測系統(tǒng)的響應(yīng)技術(shù)的發(fā)展嚴(yán)重滯后， 大量的人侵信息不能夠自動處理， 必須要人工干預(yù)， 人工處理的速度很慢， 效果很差， 這也影響了人們對性能的信心。

目前第三種重要的網(wǎng)絡(luò)安全技術(shù)―入侵預(yù)防系統(tǒng)（IPS）已經(jīng)產(chǎn)生。人侵預(yù)防系統(tǒng)（IPS）將會成為下一代的網(wǎng)絡(luò)安全技術(shù)。具備一定程度的智能處理功能， 能夠防御住未知的攻擊， 是一種比防火墻和更為主動的防御系統(tǒng)。

二、PDRR模型

傳統(tǒng)的網(wǎng)絡(luò)安全模型， 基本原理都是建立在基于權(quán)限管理的訪問控制理論基礎(chǔ)上的， 都是靜態(tài)的， 如Bell-Lapadula模型、Biba模型、信息流控制的格模型、Iris授權(quán)模型、數(shù)據(jù)隱藏模型、消息過濾模型等。但是隨著網(wǎng)絡(luò)的深人發(fā)展， 靜態(tài)的網(wǎng)絡(luò)安全模型已經(jīng)不能適應(yīng)當(dāng)前的分布式、動態(tài)變化、發(fā)展迅速的網(wǎng)絡(luò)環(huán)境。針對日益嚴(yán)重的網(wǎng)絡(luò)安全問題和越來越突出的安全需求， 代表“ 動態(tài)安全模型” 的“PDRR模型” 應(yīng)運而生。在研究信息安全及網(wǎng)絡(luò)戰(zhàn)防御理論的過程中， 美國國防部提出了信息保障的概念， 并給出了包含保護、檢測、響應(yīng)3個環(huán)節(jié)的動態(tài)安全模型， 即P2DR模型， 后來又增加了恢復(fù)環(huán)節(jié)， 形成了PDRR模型。PDRR模型結(jié)構(gòu)圖如圖：

PDRR模型是在整體的安全策略的控制和指導(dǎo)下， 綜合運用防護、檢測、響應(yīng)、恢復(fù)四種工具， 全方位確保被保護系統(tǒng)的安全。首先利用防護工具對被保護系統(tǒng)提供基礎(chǔ)的防護同時， 利用檢測工具了解和評估系統(tǒng)的安全狀態(tài)通過適當(dāng)?shù)捻憫?yīng)將系統(tǒng)調(diào)整到“ 最安全” 和“ 風(fēng)險最低” 的狀態(tài)通過恢復(fù)操作將受到攻擊影響的系統(tǒng)恢復(fù)到原始的健康狀態(tài)。防護、檢測、響應(yīng)和恢復(fù)組成了一個完整的、動態(tài)的安全循環(huán)周期。

安全策略是指在一個特定的環(huán)境里， 為保證提供一定級別的安全保護所奉行的基本思想、所遵循的基本原則?！?可信計算機系統(tǒng)評估準(zhǔn)則”TCSEC 中定義安全策略為“ 一個組織為、管理和保護敏感的信息資源而制定的一組法律、法規(guī)和措施的總和”。PDRR模型中， 安全策略已經(jīng)從以前的被動保護轉(zhuǎn)到了主動防御。因此， PDRR的安全策略是對整個局部網(wǎng)絡(luò)實施的分層次、多級別的包括安全審計、人侵檢測、告警和修復(fù)等應(yīng)急反應(yīng)功能的實時處理系統(tǒng)策略。

三、結(jié)束語

IPS的發(fā)展是一個尋求在準(zhǔn)確檢測攻擊的基礎(chǔ)上防御攻擊的過程， 是功能由單純審計跟蹤到審計跟蹤結(jié)合訪問控制的擴展， 實現(xiàn)了由被動防御過渡到主動防御， 并且將人侵檢測和訪問控制緊密融合。入侵防護系統(tǒng)IPS適時順應(yīng)了安全保障體系中主動防御以及功能融合、集中管理的趨勢， 日益受到越來越多的人們的關(guān)注。本文針對聚類技術(shù)進行了相關(guān)的研究，首先給出了聚類的基本概念和相關(guān)的描述，說明了聚類分析技術(shù)的重要性。隨后針對相關(guān)的聚類分析方法進行了研究，分析了它們的特點和優(yōu)、缺點。本章最后，給出了聚類分析的數(shù)學(xué)模型，研究了應(yīng)用人工魚群計算技術(shù)解決聚類問題的思路和方法，同時針對該算法進行了相關(guān)的改進，使算法具有較好的全局收斂能力和計算效率。

雖然目前IPS的技術(shù)還不是很成熟， 但是隨著技術(shù)的發(fā)展和數(shù)據(jù)處理能力的提高， 技術(shù)將日益完善， 并必將在信息安全體系中起到越來越重要的作用。在未來， IPS可以采用一些更為先進的技術(shù)來提高系統(tǒng)的性能， 如并行處理檢測技術(shù)來提高檢測速度， 協(xié)議重組分析和事件關(guān)聯(lián)分析技術(shù)來進一步加大檢測的深度， 機器學(xué)習(xí)技術(shù)來提高自適應(yīng)能力等， 以及進一步提高IPS的響應(yīng)性能， 數(shù)據(jù)挖掘技術(shù)進一步提高網(wǎng)絡(luò)數(shù)據(jù)的應(yīng)用價值， 使具備更高的智能性。IPS是網(wǎng)絡(luò)安全領(lǐng)域的一個新的衛(wèi)士， 它的出現(xiàn)必將極大地增強網(wǎng)絡(luò)安全領(lǐng)域的實力， 開辟網(wǎng)絡(luò)安全領(lǐng)域發(fā)展的一個新的局面， 為互聯(lián)網(wǎng)提供更高層次的安全保障。

參考文獻(xiàn)：

[1] 于海濤，李梓，王振福，等.入侵檢測相關(guān)技術(shù)的研究[J].智能計算機與應(yīng)用，2013.