序言:寫(xiě)作是分享個(gè)人見(jiàn)解和探索未知領(lǐng)域的橋梁����,我們?yōu)槟x了8篇的入侵檢測(cè)論文樣本�,期待這些樣本能夠?yàn)槟峁┴S富的參考和啟發(fā)����,請(qǐng)盡情閱讀����。
第1篇
關(guān)鍵字網(wǎng)格;虛擬組織�����;入侵檢測(cè)
1入侵檢測(cè)系統(tǒng)分析
表1分析了入侵檢測(cè)系統(tǒng)結(jié)構(gòu)變化�。
表1IDS出現(xiàn)的問(wèn)題及結(jié)構(gòu)的變化
IDS發(fā)展解決的問(wèn)題結(jié)構(gòu)特征
基于主機(jī)單一主機(jī)的安全各部分運(yùn)行在單節(jié)點(diǎn)上
基于網(wǎng)絡(luò)局域網(wǎng)的安全采集部分呈現(xiàn)分布式
分布式單一分析節(jié)點(diǎn)的弱勢(shì)分析部分呈現(xiàn)分布式
網(wǎng)格的運(yùn)行是由用戶發(fā)起任務(wù)請(qǐng)求,然后尋找資源搭配完成任務(wù)���,這樣形成的團(tuán)體稱為虛擬組織(VO)�����,網(wǎng)格入侵檢測(cè)系統(tǒng)是為其他VO提供服務(wù)的VO[1]��,目前其面臨的主要問(wèn)題如下:
(1)分布性:包括資源分布和任務(wù)分解�。
(2)動(dòng)態(tài)部署:系統(tǒng)是為VO提供服務(wù)的,其部署應(yīng)是動(dòng)態(tài)的��。
(3)動(dòng)態(tài)形成:系統(tǒng)本身也是一VO�,是動(dòng)態(tài)形成的。
(4)最優(yōu)方案選擇:本系統(tǒng)需多種網(wǎng)格資源協(xié)同進(jìn)行���,要選擇一個(gè)最優(yōu)方案��。
(5)協(xié)同計(jì)算:保證按照入侵檢測(cè)流程順利運(yùn)行�。
(6)動(dòng)態(tài)改變:防止資源失效����。
目前關(guān)于網(wǎng)格入侵檢測(cè)系統(tǒng)的研究[2]只能說(shuō)解決了分布性���、動(dòng)態(tài)形成��、協(xié)同計(jì)算�����。而對(duì)于動(dòng)態(tài)部署[1]�����、動(dòng)態(tài)改變[3]仍處于研究中����。
2VGIDS系統(tǒng)模型
VGIDS基于開(kāi)放網(wǎng)格服務(wù)(OGSA)思想提出了一個(gè)公共服務(wù)——GIDSService來(lái)解決目前網(wǎng)格入侵檢測(cè)系統(tǒng)面臨的問(wèn)題。整個(gè)VGIDS結(jié)構(gòu)如圖1所示����。
(1)VO-Based:網(wǎng)格是一個(gè)虛擬組織的聚集,本系統(tǒng)提出一虛擬組織目錄(VOL)�。用戶向GIDSService提交請(qǐng)求并將被檢測(cè)VO代號(hào)作為參數(shù)。GIDSSevvice查找VOL獲取VO信息�。當(dāng)VOL數(shù)量減為一就成為單一網(wǎng)格應(yīng)用,可由網(wǎng)格管理(GM)將VO信息傳給GIDSServic����。
圖1VGIDS系統(tǒng)結(jié)構(gòu)
(2)GIDSService:負(fù)責(zé)資源發(fā)現(xiàn),調(diào)度��。具體包括:
RI(RequestInterface):服務(wù)接口�,負(fù)責(zé)服務(wù)請(qǐng)求及VO信息獲取。同VOL解決動(dòng)態(tài)部署����。
DA(DelegationAgent):委托。同用戶交互獲得用戶委托授權(quán)。
DD(DistributedData):分布式數(shù)據(jù)����。存儲(chǔ)VGIDS需要的資源信息。解決分布問(wèn)題��。
RQ(ResourceQuery):資源查詢���。當(dāng)獲得用戶授權(quán)后便由RQ根據(jù)DD描述向資源目錄(RL)查找資源���。解決分布問(wèn)題。
PC(PlanChoose):最優(yōu)方案選擇����。當(dāng)從RL獲得可用資源后PC根據(jù)AM(任務(wù)管理)要求選擇一個(gè)最優(yōu)方案。本文稱為多維最優(yōu)路徑選擇問(wèn)題�。
AM(AssignmentManage):任務(wù)管理���。首先根據(jù)DD存儲(chǔ)所需資源的調(diào)度信息����,當(dāng)VGIDS形成后���,根據(jù)PC的方案選擇及DD存儲(chǔ)的資源信息進(jìn)行任務(wù)的調(diào)度和協(xié)同各分布資源的交互�����,解決協(xié)同計(jì)算�。
IR(IntrusionReaction):入侵響應(yīng)。
SN(SecurityNegotiate):安全協(xié)商���。同資源和用戶的安全協(xié)商�。
DI(DynamicInspect):動(dòng)態(tài)檢查�����。負(fù)責(zé)檢查資源失效向RQ發(fā)起重新查找資源請(qǐng)求�。解決動(dòng)態(tài)改變問(wèn)題。
LB(LoadBalance):負(fù)載平衡�。主要根據(jù)DD信息解決網(wǎng)格資源調(diào)度的負(fù)載平衡問(wèn)題。
3VGIDS服務(wù)描述
本系統(tǒng)是一動(dòng)態(tài)虛擬組織����,在系統(tǒng)運(yùn)行之前必須以靜態(tài)網(wǎng)格服務(wù)的形式部署于網(wǎng)格之上,當(dāng)用戶申請(qǐng)時(shí)再動(dòng)態(tài)形成�����。
定義1:VGIDS的靜態(tài)定義如下:VGIDS=<Base,Resource�����,Role����,Task,F(xiàn)low�����,Relation>
Base為VGIDS基本描述����,Base=<ID,Power�,IO,Inf�,log,goal�,P>����。ID為虛擬組織編號(hào);Power為獲得的授權(quán);IO為被檢測(cè)對(duì)象�����;Inf為監(jiān)控VGIDS獲得的信息文件��;log為系統(tǒng)日志�����;goal為VGIDS目標(biāo)����,包括調(diào)度算法所估計(jì)的系統(tǒng)效率及用戶要求;P為系統(tǒng)交互策略�,需同網(wǎng)格資源進(jìn)行交互,授予資源角色和相關(guān)權(quán)利并同時(shí)分配相關(guān)任務(wù)����。
Resource為VGIDS的所有資源,Resource=<IP�,Property,Serve�,Power,P>�����。
IP為資源地址;Property為資源屬性(存儲(chǔ)���、分析)��,方便角色匹配��;Serve為資源可提供的服務(wù)指標(biāo)�;Power為使用資源所要求的授權(quán)��;P為資源交互策略��。
Role為存在的角色類型�����,Role=<ID�,Tas,Res����,Power>。ID為角色的分類號(hào)�,按照工作流分為5類角色分別對(duì)應(yīng)VGIDS的5個(gè)環(huán)節(jié);Tas為角色任務(wù)��;Res為角色需要的資源類型�����;Power為角色所獲得的權(quán)利�����。
Task為工作流任務(wù)集合��。Task=<ID���,Des����,Res��,Role����,P>。ID為任務(wù)標(biāo)號(hào)��;Des為任務(wù)描述;Res為需要的資源種類��;Role為任務(wù)匹配的角色�;P為Task執(zhí)行策略。
Flow為工作流描述文件�����,F(xiàn)low=<Role����,Seq,P>��。Role為角色集合�����,Seq為角色執(zhí)行序列����,P為對(duì)于各個(gè)角色的控制策略。
Relation為已確定資源Resource和Role之間的關(guān)系�。Relation=<Res,Role�,Rl>�。Res為資源集合�,Role為角色集合,Rl為對(duì)應(yīng)關(guān)系��。
4多維最優(yōu)路徑選擇
4.1問(wèn)題描述
將圖1抽象為圖2模型定義2:Graph=(U�、D���、A�����、{Edge})�。
U為所有被檢測(cè)對(duì)象的集合��,Un=(Loadn����、Pn),Loadn為Un單位時(shí)間所要求處理的數(shù)據(jù)�,Pn為Un在被檢測(cè)VO中所占權(quán)重,如果P為空����,則按照Load大小作為權(quán)重��。
D為存儲(chǔ)服務(wù)集合�,Dn=(Capn�、Qosdn),Capn為Dn提供的存儲(chǔ)容量�。Qosdn為Dn提供的服務(wù)質(zhì)量,近似為數(shù)據(jù)吞吐率�。
A為分析服務(wù)集合,An=(Classn����、Qosan),Classn為An處理的數(shù)據(jù)種類�,如系統(tǒng)日志或網(wǎng)絡(luò)流量。Qosan為An提供的服務(wù)質(zhì)量��,近似為處理速率����。
Edge為邊的集合,有網(wǎng)絡(luò)傳輸速度加權(quán)v��。
圖2VGIDS調(diào)度模型
定義3:Qos定義為一個(gè)多維向量�����,可用一個(gè)性能度量指標(biāo)的集合表示:
{M1(t)、M2(t)��,…����,Mn(t)}
Mn(t)為一個(gè)與網(wǎng)格服務(wù)質(zhì)量有關(guān)的量,如CPU的主頻�����、網(wǎng)絡(luò)速度���、內(nèi)存。服務(wù)的執(zhí)行過(guò)程體現(xiàn)出來(lái)的性能參數(shù)是一條n維空間的軌跡M�,這個(gè)n維空間的每一維代表一個(gè)性能指標(biāo)
M=R1*R2*…*Rn
其中,Rn是性能指標(biāo)Mn(t)的取值范圍���。在本系統(tǒng)中存在兩類Qos��,分別為D和A����。本系統(tǒng)強(qiáng)調(diào)實(shí)時(shí)性,所以CPU�����、RAM和網(wǎng)絡(luò)速度占很大權(quán)重�,Qos計(jì)算公式如下:
Wcpu表示CPU的權(quán)重;CPUusage表示當(dāng)前CPU使用率�����;CPUspeed表示CPU的實(shí)際速度�����;CPUmin表示要求的CPU速率的最小值�。Wram表示RAM的權(quán)重;RAMusage表示當(dāng)前RAM使用率����;RAMsize表示RAM的實(shí)際大小�;RAMmin表示要求的RAM的最小值。Wnet表示網(wǎng)絡(luò)傳輸?shù)臋?quán)重����;NETusage表示當(dāng)前網(wǎng)絡(luò)負(fù)載�;NETspeed表示網(wǎng)絡(luò)的實(shí)際速度��;NETmin表示要求的網(wǎng)絡(luò)傳輸速率的最小值�����。
資源調(diào)度就是利用對(duì)各個(gè)資源的量化�����,為每一檢測(cè)對(duì)象選擇一條數(shù)據(jù)傳輸路徑��。本系統(tǒng)目標(biāo)是使整個(gè)VO獲得快速的檢測(cè)�����,而不是對(duì)個(gè)別對(duì)象的檢測(cè)速率很高�。
定義4:對(duì)于任意一個(gè)被檢測(cè)VO的檢測(cè)對(duì)象�,如果能夠?yàn)槠錁?gòu)造一條檢測(cè)路徑,稱系統(tǒng)對(duì)于此對(duì)象是完備的�。
定義5:對(duì)于VO,如果能夠?yàn)槠渌械臋z測(cè)對(duì)象構(gòu)造檢測(cè)路徑�,則稱系統(tǒng)對(duì)于被檢測(cè)VO是完備的。
本調(diào)度算法的目的便是在滿足被檢測(cè)VO和入侵檢測(cè)工作流要求下�,按照所選網(wǎng)格資源提供的能力為整個(gè)VO構(gòu)造VGIDS,使所有被檢測(cè)對(duì)象檢測(cè)效率之和最高。這是一非典型的線性規(guī)劃問(wèn)題�,如下定義:
X1,…Xn是n個(gè)獨(dú)立變量����,表示VGIDS所選路徑;公式<5>表示最大耗費(fèi)時(shí)間����;公式<6>—<8>表示所有對(duì)于Xn的約束條件。由于Xn變量難以確定并且約束條件種類較多所以難以將上述問(wèn)題標(biāo)準(zhǔn)化為公式<5>—<8>�����。
4.2算法描述
本文利用貪心選擇和Dijkstra算法進(jìn)行調(diào)度�。
按照用戶給出的U的權(quán)值P從大到小進(jìn)行排序,if(P==NULL)�����,則按Load從大到小進(jìn)行排序得到排序后的對(duì)象數(shù)組和負(fù)載數(shù)組為
U[i](0<i≤n�����,n為U的大?�。籐oad[i](0<i≤n��,n為U的大?�。?/p>
for(i=0�;i<=n;i++)���,循環(huán)對(duì)U和Load執(zhí)行以下操作:
(1)對(duì)于所有邊����,定義其權(quán)值為網(wǎng)絡(luò)傳輸時(shí)間t=Load[i]/v�,對(duì)于所有服務(wù)D和A定義其處理數(shù)據(jù)時(shí)間為t1=Load[i]/Qos,將t1加到每一個(gè)服務(wù)的入邊上得到最終各邊權(quán)值�,如果兩點(diǎn)之間沒(méi)有邊相連則t[j]為∞。
(2)定義Capmin[i]為U[i]對(duì)于數(shù)據(jù)存儲(chǔ)能力的最低要求�����,Qosdmin為U[i]對(duì)于D中服務(wù)質(zhì)量的最低要求�����,Qosamin為U[i]對(duì)于A中服務(wù)質(zhì)量的最低要求����。對(duì)于所有D中Cap<Capmin[i]或者Qosd<Qosdmin的節(jié)點(diǎn)以及A中Qosa<Qosamin[i]的節(jié)點(diǎn),將其所有輸入和輸出邊的t設(shè)為∞��。
(3)設(shè)所有點(diǎn)集合為V�,V0為檢測(cè)對(duì)象,邊Edge定義為<Vi�����,Vj>���。用帶權(quán)連接矩陣arcs[i][j]表示<Vi�����,Vj>的權(quán)值��。定義向量D表示當(dāng)前所找到的從起點(diǎn)V0到終點(diǎn)Vi的最短路徑�����,初始化為若V0到Vi有邊�����,則D[i]為邊的權(quán)值�����,否則置D[i]為∞�����。定義向量P來(lái)保存最短路徑�����,若P[v][w]為TRUE��,則W是從V0到V當(dāng)前求得最短路徑上的頂點(diǎn)��。
(4)for(v=0����;v<v.number;v++)
{
final[v]=false�����;
D[v]=arcs[v0][v]��;
for(w=0��;w<v.number����;++w)P[v][w]=false;
//設(shè)空路徑
if(D[v]<INFINITY){P[v][v0]=true��;P[v][v]=true��;}}
D[v0]=0�����;final[v0]=true�;//初始化,V0頂點(diǎn)屬于已求得最短路徑的終點(diǎn)集合
for(i=1��;i<v.number�;++i){
min=INFINITY;
for(w=0�����;w<v.number�����;++w)
if(!final[w])
if(D[w]<min){v=w;min=D[w]����;}
final[v]=true;
for(w=0��;w<v.number�;++w)//更新當(dāng)前最短路徑及距離;
if(!final[w]&&(min+arcs[v][w]<D[w])){
D[w]=min+arcs[v][w]�;
P[w]=P[v];P[w][w]=true��;
}}}
掃描A中各點(diǎn)��,選取其中D[i](Vi∈A)最小的一點(diǎn)X�����,然后從P中選取從V0到X的路徑便為所選一條VGIDS路徑���。
(5)將所選路徑上的邊的速率改為V=V-Load[i]�,D的Cap改為Cap=Cap-Capmin,D的Qosd改為Qosd=Qosd-Qosdmin����,A的Qosa改為Qosa=Qosa-Qosamin�����。
(6)++i����,回到步驟(1)重新開(kāi)始循環(huán)。
5系統(tǒng)開(kāi)發(fā)
本項(xiàng)目主要利用Globus工具包外加CoGKits開(kāi)發(fā)工具�����。Globus作為一個(gè)廣泛應(yīng)用的網(wǎng)格中間件其主要是針對(duì)五層沙漏結(jié)構(gòu)����,并利用GridService技術(shù)逐層對(duì)五層沙漏提出的功能單源進(jìn)行實(shí)現(xiàn)[5],表2簡(jiǎn)單敘述VGIDS實(shí)現(xiàn)的各層功能及Globus中對(duì)應(yīng)服務(wù)調(diào)用����。
實(shí)驗(yàn)時(shí)VGIDS部署在Linux系統(tǒng)上,采用基于Linux核心的數(shù)據(jù)采集技術(shù)及Oracle10g作為數(shù)據(jù)庫(kù)系統(tǒng)解決分布式存儲(chǔ)問(wèn)題��,數(shù)據(jù)分析技術(shù)仍采用現(xiàn)有的基于規(guī)則的入侵檢測(cè)技術(shù)。系統(tǒng)試驗(yàn)平臺(tái)如圖3所示����。
表2系統(tǒng)功能劃分及調(diào)用接口
五層結(jié)構(gòu)VGIDSGlobus
應(yīng)用層GridService無(wú)
匯聚層資源發(fā)現(xiàn)、證書(shū)管理�����、目錄復(fù)制���、復(fù)制管理�����、協(xié)同分配元目錄服務(wù)MDS��,目錄復(fù)制和復(fù)制管理服務(wù)����,在線信任倉(cāng)儲(chǔ)服務(wù)�����,DUROC協(xié)同分配服務(wù)
資源層訪問(wèn)計(jì)算�����、訪問(wèn)數(shù)據(jù)、訪問(wèn)系統(tǒng)結(jié)構(gòu)與性能信息提供GRIP�、GRRP、基于http的GRAM用于分配資源和監(jiān)視資源����,提供GridFtp數(shù)據(jù)訪問(wèn)管理協(xié)議及LDAP目錄訪問(wèn)協(xié)議�。Globus定義了這些協(xié)議的C和Java實(shí)現(xiàn)
連接層通信、認(rèn)證����、授權(quán)提供GSI協(xié)議用于認(rèn)證、授權(quán)����、及通信保密
構(gòu)造層數(shù)據(jù)采集、數(shù)據(jù)存儲(chǔ)�����、數(shù)據(jù)分析提供缺省和GARA資源預(yù)約
圖3系統(tǒng)試驗(yàn)平臺(tái)
本平臺(tái)共8臺(tái)機(jī)器�,一臺(tái)網(wǎng)格目錄服務(wù)和CA認(rèn)證中心,一臺(tái)部署VGIDS服務(wù)���。兩臺(tái)機(jī)器作為被檢測(cè)對(duì)象�,相互之間可實(shí)現(xiàn)簡(jiǎn)單網(wǎng)格協(xié)作,本試驗(yàn)兩臺(tái)機(jī)器之間通過(guò)GridFtp服務(wù)傳輸數(shù)據(jù)��。其余四臺(tái)機(jī)器分別實(shí)現(xiàn)兩個(gè)存儲(chǔ)服務(wù)和兩個(gè)分析服務(wù)�。
6總結(jié)和展望
目前網(wǎng)格入侵檢測(cè)系統(tǒng)主要是針對(duì)某一特定網(wǎng)格應(yīng)用靜態(tài)執(zhí)行。而本文所提出的VGIDS則是針對(duì)網(wǎng)格運(yùn)行模式——虛擬組織所提出的通用網(wǎng)格入侵檢測(cè)服務(wù)�����。本系統(tǒng)事先進(jìn)行靜態(tài)定義���,然后當(dāng)有服務(wù)請(qǐng)求時(shí)動(dòng)態(tài)解析定義文件�����,動(dòng)態(tài)形成可執(zhí)行的網(wǎng)格入侵檢測(cè)系統(tǒng)�����。本系統(tǒng)解決目前網(wǎng)格入侵檢測(cè)系統(tǒng)面臨的動(dòng)態(tài)部署��、動(dòng)態(tài)形成��、最優(yōu)方案選擇�����、動(dòng)態(tài)改變等問(wèn)題�����。
對(duì)于網(wǎng)格入侵檢測(cè)系統(tǒng)同樣還面臨著如何解決數(shù)據(jù)異構(gòu)��,如何發(fā)現(xiàn)分布式協(xié)同攻擊����,如何保障自身的安全等問(wèn)題�����,本模型有待進(jìn)一步完善�����。
參考文獻(xiàn)
[1]OngTianChoonandAzmanSamsudin.Grid-basedIntrusionDetectionSystem.SchoolofComputerSciencesUniversitySainsMalaysia�,IEEE,2003.1028-1032
[2]AlexandreSchulterandJúlioAlbuquerqueReis.AGrid-worksandManagementLaboratoryFederalUniversityofSantaCatarina�����,ProceedingsoftheInternationalConferenceonNetworking,InternationalConferenceonSystemsandInternationalConferenceonMobileCommunicationsandLearningTechnologies.IEEE�����,2006
[3]TolbaMF���,Abdel-WahabMS�,TahaIA��,etal����,“GIDA:TowardEnablingGridIntrusionDetectionSystems”,CCGrid�����,11thMay�,2005
第2篇
關(guān)鍵詞:入侵檢測(cè)異常檢測(cè)誤用檢測(cè)
在網(wǎng)絡(luò)技術(shù)日新月異的今天,基于網(wǎng)絡(luò)的計(jì)算機(jī)應(yīng)用已經(jīng)成為發(fā)展的主流��。政府��、教育��、商業(yè)、金融等機(jī)構(gòu)紛紛聯(lián)入Internet�,全社會(huì)信息共享已逐步成為現(xiàn)實(shí)。然而���,近年來(lái)����,網(wǎng)上黑客的攻擊活動(dòng)正以每年10倍的速度增長(zhǎng)�����。因此���,保證計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)以及整個(gè)信息基礎(chǔ)設(shè)施的安全已經(jīng)成為刻不容緩的重要課題��。
1 防火墻
目前防范網(wǎng)絡(luò)攻擊最常用的方法是構(gòu)建防火墻�����。
防火墻作為一種邊界安全的手段��,在網(wǎng)絡(luò)安全保護(hù)中起著重要作用��。其主要功能是控制對(duì)網(wǎng)絡(luò)的非法訪問(wèn),通過(guò)監(jiān)視�����、限制�����、更改通過(guò)網(wǎng)絡(luò)的數(shù)據(jù)流���,一方面盡可能屏蔽內(nèi)部網(wǎng)的拓?fù)浣Y(jié)構(gòu)��,另一方面對(duì)內(nèi)屏蔽外部危險(xiǎn)站點(diǎn)����,以防范外對(duì)內(nèi)的非法訪問(wèn)��。然而�,防火墻存在明顯的局限性。
(1)入侵者可以找到防火墻背后可能敞開(kāi)的后門��。如同深宅大院的高大院墻不能擋住老鼠的偷襲一樣�����,防火墻有時(shí)無(wú)法阻止入侵者的攻擊。
(2)防火墻不能阻止來(lái)自內(nèi)部的襲擊��。調(diào)查發(fā)現(xiàn)��,50%的攻擊都將來(lái)自于網(wǎng)絡(luò)內(nèi)部��。
(3)由于性能的限制����,防火墻通常不能提供實(shí)時(shí)的入侵檢測(cè)能力。畢業(yè)論文 而這一點(diǎn)�,對(duì)于層出不窮的網(wǎng)絡(luò)攻擊技術(shù)來(lái)說(shuō)是至關(guān)重要的。
因此�����,在Internet入口處部署防火墻系統(tǒng)是不能確保安全的�����。單純的防火墻策略已經(jīng)無(wú)法滿足對(duì)安全高度敏感部門的需要�����,網(wǎng)絡(luò)的防衛(wèi)必須采用一種縱深的���、多樣化的手段��。
由于傳統(tǒng)防火墻存在缺陷�,引發(fā)了入侵檢測(cè)IDS(Intrusion Detection System)的研究和開(kāi)發(fā)����。入侵檢測(cè)是防火墻之后的第二道安全閘門,是對(duì)防火墻的合理補(bǔ)充�,在不影響網(wǎng)絡(luò)性能的情況下,通過(guò)對(duì)網(wǎng)絡(luò)的監(jiān)測(cè)�,幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊,擴(kuò)展系統(tǒng)管理員的安全管理能力(包括安全審計(jì)�����、監(jiān)視��、進(jìn)攻識(shí)別和響應(yīng))����,提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性,提供對(duì)內(nèi)部攻擊�、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。現(xiàn)在,入侵檢測(cè)已經(jīng)成為網(wǎng)絡(luò)安全中一個(gè)重要的研究方向����,在各種不同的網(wǎng)絡(luò)環(huán)境中發(fā)揮重要作用。
2 入侵檢測(cè)
2.1 入侵檢測(cè)
入侵檢測(cè)是通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析�,從中發(fā)現(xiàn)違反安全策略的行為和遭到攻擊的跡象,并做出自動(dòng)的響應(yīng)�����。其主要功能是對(duì)用戶和系統(tǒng)行為的監(jiān)測(cè)與分析����、系統(tǒng)配置和漏洞的審計(jì)檢查、重要系統(tǒng)和數(shù)據(jù)文件的完整性評(píng)估����、已知的攻擊行為模式的識(shí)別、異常行為模式的統(tǒng)計(jì)分析�����、操作系統(tǒng)的審計(jì)跟蹤管理及違反安全策略的用戶行為的識(shí)別�����。入侵檢測(cè)通過(guò)迅速地檢測(cè)入侵��,在可能造成系統(tǒng)損壞或數(shù)據(jù)丟失之前���,識(shí)別并驅(qū)除入侵者�����,使系統(tǒng)迅速恢復(fù)正常工作�,并且阻止入侵者進(jìn)一步的行動(dòng)����。同時(shí),收集有關(guān)入侵的技術(shù)資料��,用于改進(jìn)和增強(qiáng)系統(tǒng)抵抗入侵的能力�。
入侵檢測(cè)可分為基于主機(jī)型、基于網(wǎng)絡(luò)型��、基于型三類�����。從20世紀(jì)90年代至今�����,英語(yǔ)論文 已經(jīng)開(kāi)發(fā)出一些入侵檢測(cè)的產(chǎn)品,其中比較有代表性的產(chǎn)品有ISS(Intemet Security System)公司的Realsecure����,NAI(Network Associates,Inc)公司的Cybercop和Cisco公司的NetRanger����。
2.2 檢測(cè)技術(shù)
入侵檢測(cè)為網(wǎng)絡(luò)安全提供實(shí)時(shí)檢測(cè)及攻擊行為檢測(cè),并采取相應(yīng)的防護(hù)手段��。例如��,實(shí)時(shí)檢測(cè)通過(guò)記錄證據(jù)來(lái)進(jìn)行跟蹤���、恢復(fù)��、斷開(kāi)網(wǎng)絡(luò)連接等控制�����;攻擊行為檢測(cè)注重于發(fā)現(xiàn)信息系統(tǒng)中可能已經(jīng)通過(guò)身份檢查的形跡可疑者��,進(jìn)一步加強(qiáng)信息系統(tǒng)的安全力度�。入侵檢測(cè)的步驟如下:
收集系統(tǒng)、網(wǎng)絡(luò)�����、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為的信息
入侵檢測(cè)一般采用分布式結(jié)構(gòu)��,在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)(不同網(wǎng)段和不同主機(jī))收集信息�����,一方面擴(kuò)大檢測(cè)范圍��,另一方面通過(guò)多個(gè)采集點(diǎn)的信息的比較來(lái)判斷是否存在可疑現(xiàn)象或發(fā)生入侵行為�����。
入侵檢測(cè)所利用的信息一般來(lái)自以下4個(gè)方面:系統(tǒng)和網(wǎng)絡(luò)日志文件�、目錄和文件中的不期望的改變��、程序執(zhí)行中的不期望行為����、物理形式的入侵信息。
(2)根據(jù)收集到的信息進(jìn)行分析
常用的分析方法有模式匹配�、統(tǒng)計(jì)分析���、完整性分析。模式匹配是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫(kù)進(jìn)行比較����,從而發(fā)現(xiàn)違背安全策略的行為。
統(tǒng)計(jì)分析方法首先給系統(tǒng)對(duì)象(如用戶�、文件、目錄和設(shè)備等)創(chuàng)建一個(gè)統(tǒng)計(jì)描述�����,統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性���。測(cè)量屬性的平均值將被用來(lái)與網(wǎng)絡(luò)��、系統(tǒng)的行為進(jìn)行比較�����。當(dāng)觀察值超出正常值范圍時(shí)��,就有可能發(fā)生入侵行為�����。該方法的難點(diǎn)是閾值的選擇�,閾值太小可能產(chǎn)生錯(cuò)誤的入侵報(bào)告,閾值太大可能漏報(bào)一些入侵事件��。
完整性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓?��,包括文件和目錄的?nèi)容及屬性。該方法能有效地防范特洛伊木馬的攻擊����。
3 分類及存在的問(wèn)題
入侵檢測(cè)通過(guò)對(duì)入侵和攻擊行為的檢測(cè),查出系統(tǒng)的入侵者或合法用戶對(duì)系統(tǒng)資源的濫用和誤用�����。工作總結(jié) 根據(jù)不同的檢測(cè)方法���,將入侵檢測(cè)分為異常入侵檢測(cè)(Anomaly Detection)和誤用人侵檢測(cè)(Misuse Detection)。
3.1 異常檢測(cè)
又稱為基于行為的檢測(cè)。其基本前提是:假定所有的入侵行為都是異常的�。首先建立系統(tǒng)或用戶的“正常”行為特征輪廓�,通過(guò)比較當(dāng)前的系統(tǒng)或用戶的行為是否偏離正常的行為特征輪廓來(lái)判斷是否發(fā)生了入侵。此方法不依賴于是否表現(xiàn)出具體行為來(lái)進(jìn)行檢測(cè)�,是一種間接的方法��。
常用的具體方法有:統(tǒng)計(jì)異常檢測(cè)方法����、基于特征選擇異常檢測(cè)方法�、基于貝葉斯推理異常檢測(cè)方法、基于貝葉斯網(wǎng)絡(luò)異常檢測(cè)方法�����、基于模式預(yù)測(cè)異常檢測(cè)方法�����、基于神經(jīng)網(wǎng)絡(luò)異常檢測(cè)方法�、基于機(jī)器學(xué)習(xí)異常檢測(cè)方法、基于數(shù)據(jù)采掘異常檢測(cè)方法等����。
采用異常檢測(cè)的關(guān)鍵問(wèn)題有如下兩個(gè)方面:
(1)特征量的選擇
在建立系統(tǒng)或用戶的行為特征輪廓的正常模型時(shí),選取的特征量既要能準(zhǔn)確地體現(xiàn)系統(tǒng)或用戶的行為特征�,又能使模型最優(yōu)化,即以最少的特征量就能涵蓋系統(tǒng)或用戶的行為特征��。(2)參考閾值的選定
由于異常檢測(cè)是以正常的特征輪廓作為比較的參考基準(zhǔn),因此���,參考閾值的選定是非常關(guān)鍵的�。
閾值設(shè)定得過(guò)大��,那漏警率會(huì)很高�����;閾值設(shè)定的過(guò)小�,則虛警率就會(huì)提高�����。合適的參考閾值的選定是決定這一檢測(cè)方法準(zhǔn)確率的至關(guān)重要的因素���。
由此可見(jiàn)���,異常檢測(cè)技術(shù)難點(diǎn)是“正常”行為特征輪廓的確定�、特征量的選取、特征輪廓的更新����。由于這幾個(gè)因素的制約����,異常檢測(cè)的虛警率很高���,但對(duì)于未知的入侵行為的檢測(cè)非常有效���。此外,由于需要實(shí)時(shí)地建立和更新系統(tǒng)或用戶的特征輪廓���,這樣所需的計(jì)算量很大�����,對(duì)系統(tǒng)的處理性能要求很高����。
第3篇
論文關(guān)鍵詞:計(jì)算機(jī)網(wǎng)絡(luò)安全 入侵檢測(cè)技術(shù)
論文摘要:隨著計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)的不斷發(fā)展�,網(wǎng)絡(luò)安全也日益受到人們?cè)絹?lái)越多的關(guān)注。防范網(wǎng)絡(luò)入侵�、加強(qiáng)網(wǎng)絡(luò)安全防范的技術(shù)也多種多樣,其中入侵檢測(cè)技術(shù)以其低成本���、低風(fēng)險(xiǎn)以及高靈活性得到了廣泛的應(yīng)用���,并且有著廣闊的發(fā)展前景�。本文就入侵檢測(cè)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全維護(hù)過(guò)程中的有效應(yīng)用提出探討����。
一、入侵檢測(cè)系統(tǒng)的分類
入侵檢測(cè)系統(tǒng)可以分為入侵檢測(cè)�����、入侵防御兩大類���。其中入侵檢測(cè)系統(tǒng)是根據(jù)特定的安全策略����,實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)及系統(tǒng)的運(yùn)行狀態(tài)�����,盡量在非法入侵程序發(fā)起攻擊前發(fā)現(xiàn)其攻擊企圖�����,從而提高網(wǎng)絡(luò)系統(tǒng)資源的完整性和保密性���。而隨著網(wǎng)絡(luò)攻擊技術(shù)的日益提高�,網(wǎng)絡(luò)系統(tǒng)中的安全漏洞不斷被發(fā)現(xiàn)�����,傳統(tǒng)的入侵檢測(cè)技術(shù)及防火墻技術(shù)對(duì)這些多變的安全問(wèn)題無(wú)法全面應(yīng)對(duì)�����,于是入侵防御系統(tǒng)應(yīng)運(yùn)而生�����,它可以對(duì)流經(jīng)的數(shù)據(jù)流量做深度感知與檢測(cè)�,丟棄惡意報(bào)文,阻斷其攻擊����,限制濫用報(bào)文,保護(hù)帶寬資源�。入侵檢測(cè)系統(tǒng)與入侵防御系統(tǒng)的區(qū)別在于:入侵檢測(cè)只具備單純的報(bào)警作用,而對(duì)于網(wǎng)絡(luò)入侵無(wú)法做出防御�;而入侵防御系統(tǒng)則位于網(wǎng)絡(luò)與防火墻的硬件設(shè)備中間�,當(dāng)其檢測(cè)到惡意攻擊時(shí)�,會(huì)在這種攻擊開(kāi)始擴(kuò)散前將其阻止在外。并且二者檢測(cè)攻擊的方法也不同�����,入侵防御系統(tǒng)對(duì)入網(wǎng)的數(shù)據(jù)包進(jìn)行檢查��,在確定該數(shù)據(jù)包的真正用途的前提下����,再對(duì)其是否可以進(jìn)入網(wǎng)絡(luò)進(jìn)行判斷。
二����、入侵檢測(cè)技術(shù)在維護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用
(一)基于網(wǎng)絡(luò)的入侵檢測(cè)
基于網(wǎng)絡(luò)的入侵檢測(cè)形式有基于硬件的,也有基于軟件的�,不過(guò)二者的工作流程是相同的。它們將網(wǎng)絡(luò)接口的模式設(shè)置為混雜模式����,以便于對(duì)全部流經(jīng)該網(wǎng)段的數(shù)據(jù)進(jìn)行時(shí)實(shí)監(jiān)控�,將其做出分析,再和數(shù)據(jù)庫(kù)中預(yù)定義的具備攻擊特征做出比較���,從而將有害的攻擊數(shù)據(jù)包識(shí)別出來(lái)�,做出響應(yīng),并記錄日志�。
1.入侵檢測(cè)的體系結(jié)構(gòu)
網(wǎng)絡(luò)入侵檢測(cè)的體系結(jié)構(gòu)通常由三部分組成,分別為Agent����、Console以及Manager。其中Agent的作用是對(duì)網(wǎng)段內(nèi)的數(shù)據(jù)包進(jìn)行監(jiān)視���,找出攻擊信息并把相關(guān)的數(shù)據(jù)發(fā)送至管理器����;Console的主要作用是負(fù)責(zé)收集處的信息��,顯示出所受攻擊的信息�,把找出的攻擊信息及相關(guān)數(shù)據(jù)發(fā)送至管理器;Manager的主要作用則是響應(yīng)配置攻擊警告信息����,控制臺(tái)所的命令也由Manager來(lái)執(zhí)行,再把所發(fā)出的攻擊警告發(fā)送至控制臺(tái)����。
2.入侵檢測(cè)的工作模式
基于網(wǎng)絡(luò)的入侵檢測(cè)�����,要在每個(gè)網(wǎng)段中部署多個(gè)入侵檢測(cè)�,按照網(wǎng)絡(luò)結(jié)構(gòu)的不同�����,其的連接形式也各不相同�����。如果網(wǎng)段的連接方式為總線式的集線器���,則把與集線器中的某個(gè)端口相連接即可�����;如果為交換式以太網(wǎng)交換機(jī)��,因?yàn)榻粨Q機(jī)無(wú)法共享媒價(jià)�,因此只采用一個(gè)對(duì)整個(gè)子網(wǎng)進(jìn)行監(jiān)聽(tīng)的辦法是無(wú)法實(shí)現(xiàn)的�。因此可以利用交換機(jī)核心芯片中用于調(diào)試的端口中,將入侵檢測(cè)系統(tǒng)與該端口相連接����。或者把它放在數(shù)據(jù)流的關(guān)鍵出入口���,于是就可以獲取幾乎全部的關(guān)鍵數(shù)據(jù)����。
3.攻擊響應(yīng)及升級(jí)攻擊特征庫(kù)��、自定義攻擊特征
如果入侵檢測(cè)系統(tǒng)檢測(cè)出惡意攻擊信息�����,其響應(yīng)方式有多種����,例如發(fā)送電子郵件、記錄日志�、通知管理員、查殺進(jìn)程�、切斷會(huì)話、通知管理員�、啟動(dòng)觸發(fā)器開(kāi)始執(zhí)行預(yù)設(shè)命令、取消用戶的賬號(hào)以及創(chuàng)建一個(gè)報(bào)告等等�����。升級(jí)攻擊特征庫(kù)可以把攻擊特征庫(kù)文件通過(guò)手動(dòng)或者自動(dòng)的形式由相關(guān)的站點(diǎn)中下載下來(lái),再利用控制臺(tái)將其實(shí)時(shí)添加至攻擊特征庫(kù)中����。而網(wǎng)絡(luò)管理員可以按照單位的資源狀況及其應(yīng)用狀況,以入侵檢測(cè)系統(tǒng)特征庫(kù)為基礎(chǔ)來(lái)自定義攻擊特征��,從而對(duì)單位的特定資源與應(yīng)用進(jìn)行保護(hù)��。
(二)對(duì)于主機(jī)的入侵檢測(cè)
通常對(duì)主機(jī)的入侵檢測(cè)會(huì)設(shè)置在被重點(diǎn)檢測(cè)的主機(jī)上�,從而對(duì)本主機(jī)的系統(tǒng)審計(jì)日志、網(wǎng)絡(luò)實(shí)時(shí)連接等信息做出智能化的分析與判斷�����。如果發(fā)展可疑情況���,則入侵檢測(cè)系統(tǒng)就會(huì)有針對(duì)性的采用措施��?;谥鳈C(jī)的入侵檢測(cè)系統(tǒng)可以具體實(shí)現(xiàn)以下功能:對(duì)用戶的操作系統(tǒng)及其所做的所有行為進(jìn)行全程監(jiān)控�;持續(xù)評(píng)估系統(tǒng)、應(yīng)用以及數(shù)據(jù)的完整性,并進(jìn)行主動(dòng)的維護(hù)���;創(chuàng)建全新的安全監(jiān)控策略��,實(shí)時(shí)更新;對(duì)于未經(jīng)授權(quán)的行為進(jìn)行檢測(cè)��,并發(fā)出報(bào)警����,同時(shí)也可以執(zhí)行預(yù)設(shè)好的響應(yīng)措施;將所有日志收集起來(lái)并加以保護(hù)���,留作后用����?����;谥鳈C(jī)的入侵檢測(cè)系統(tǒng)對(duì)于主機(jī)的保護(hù)很全面細(xì)致����,但要在網(wǎng)路中全面部署成本太高。并且基于主機(jī)的入侵檢測(cè)系統(tǒng)工作時(shí)要占用被保護(hù)主機(jī)的處理資源,所以會(huì)降低被保護(hù)主機(jī)的性能�����。
三��、入侵檢測(cè)技術(shù)存在的問(wèn)題
盡管入侵檢測(cè)技術(shù)有其優(yōu)越性��,但是現(xiàn)階段它還存在著一定的不足����,主要體現(xiàn)在以下幾個(gè)方面:
第一:局限性:由于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)只對(duì)與其直接連接的網(wǎng)段通信做出檢測(cè),而不在同一網(wǎng)段的網(wǎng)絡(luò)包則無(wú)法檢測(cè)����,因此如果網(wǎng)絡(luò)環(huán)境為交換以太網(wǎng),則其監(jiān)測(cè)范圍就會(huì)表現(xiàn)出一定的局限性����,如果安裝多臺(tái)傳感器則又增加了系統(tǒng)的成本。
第二:目前網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)一般采有的是特征檢測(cè)的方法�����,對(duì)于一些普通的攻擊來(lái)說(shuō)可能比較有效��,但是一些復(fù)雜的、計(jì)算量及分析時(shí)間均較大的攻擊則無(wú)法檢測(cè)�。
第三:監(jiān)聽(tīng)某些特定的數(shù)據(jù)包時(shí)可能會(huì)產(chǎn)生大量的分析數(shù)據(jù),會(huì)影響系統(tǒng)的性能�。
第四:在處理會(huì)話過(guò)程的加密問(wèn)題時(shí),對(duì)于網(wǎng)絡(luò)入侵檢測(cè)技術(shù)來(lái)說(shuō)相對(duì)較難���,現(xiàn)階段通過(guò)加密通道的攻擊相對(duì)較少��,但是此問(wèn)題會(huì)越來(lái)越突出。
第五:入侵檢測(cè)系統(tǒng)自身不具備阻斷和隔離網(wǎng)絡(luò)攻擊的能力�,不過(guò)可以與防火墻進(jìn)行聯(lián)動(dòng),發(fā)現(xiàn)入侵行為后通過(guò)聯(lián)動(dòng)協(xié)議通知防火墻�����,讓防火墻采取隔離手段��。
四�、總結(jié)
現(xiàn)階段的入侵檢測(cè)技術(shù)相對(duì)來(lái)說(shuō)還存在著一定的缺陷,很多單位在解決網(wǎng)絡(luò)入侵相關(guān)的安全問(wèn)題時(shí)都采用基于主機(jī)與基于網(wǎng)絡(luò)相結(jié)合的入侵檢測(cè)系統(tǒng)�����。當(dāng)然入侵檢測(cè)技術(shù)也在不斷的發(fā)展����,數(shù)據(jù)挖掘異常檢測(cè)�、神經(jīng)網(wǎng)絡(luò)異常檢測(cè)����、貝葉斯推理異常檢測(cè)、專家系統(tǒng)濫用檢測(cè)�、狀態(tài)轉(zhuǎn)換分析濫用檢測(cè)等入侵檢測(cè)技術(shù)也越來(lái)越成熟??傊⒂脩粢岣哂?jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性��,不僅僅要靠技術(shù)支持��,還要依靠自身良好的維護(hù)與管理����。
參考文獻(xiàn):
[1]胥瓊丹.入侵檢測(cè)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全維護(hù)中的應(yīng)用[J].電腦知識(shí)與技術(shù),2010�,11
第4篇
關(guān)鍵詞:掃描,權(quán)限后門����,網(wǎng)絡(luò)攻擊
信息網(wǎng)絡(luò)和安全體系是信息化健康發(fā)展的基礎(chǔ)和保障。但是,隨著信息化應(yīng)用的深入�����、認(rèn)識(shí)的提高和技術(shù)的發(fā)展,現(xiàn)有信息網(wǎng)絡(luò)系統(tǒng)的安全性建設(shè)已提上工作日程。
入侵攻擊有關(guān)方法,主要有完成攻擊前的信息收集���、完成主要的權(quán)限提升完成主要的后門留置等,下面僅就包括筆者根據(jù)近年來(lái)在網(wǎng)絡(luò)管理中有關(guān)知識(shí)和經(jīng)驗(yàn),就入侵攻擊的對(duì)策及檢測(cè)情況做一闡述�����。論文大全����。
對(duì)入侵攻擊來(lái)說(shuō),掃描是信息收集的主要手段,所以通過(guò)對(duì)各種掃描原理進(jìn)行分析后,我們可以找到在攻擊發(fā)生時(shí)數(shù)據(jù)流所具有的特征�����。
1����、利用數(shù)據(jù)流特征來(lái)檢測(cè)攻擊的思路
掃描時(shí),攻擊者首先需要自己構(gòu)造用來(lái)掃描的IP數(shù)據(jù)包,通過(guò)發(fā)送正常的和不正常的數(shù)據(jù)包達(dá)到計(jì)算機(jī)端口,再等待端口對(duì)其響應(yīng),通過(guò)響應(yīng)的結(jié)果作為鑒別���。我們要做的是讓IDS系統(tǒng)能夠比較準(zhǔn)確地檢測(cè)到系統(tǒng)遭受了網(wǎng)絡(luò)掃描�?��?紤]下面幾種思路:
(1)特征匹配
找到掃描攻擊時(shí)數(shù)據(jù)包中含有的數(shù)據(jù)特征,可以通過(guò)分析網(wǎng)絡(luò)信息包中是否含有端口掃描特征的數(shù)據(jù),來(lái)檢測(cè)端口掃描的存在��。如UDP端口掃描嘗試:content:“sUDP”等�����。
(2)統(tǒng)計(jì)分析
預(yù)先定義一個(gè)時(shí)間段,在這個(gè)時(shí)間段內(nèi)如發(fā)現(xiàn)了超過(guò)某一預(yù)定值的連接次數(shù),認(rèn)為是端口掃描�。
(3)系統(tǒng)分析
若攻擊者對(duì)同一主機(jī)使用緩慢的分布式掃描方法,間隔時(shí)間足夠讓入侵檢測(cè)系統(tǒng)忽略,不按順序掃描整個(gè)網(wǎng)段,將探測(cè)步驟分散在幾個(gè)會(huì)話中,不導(dǎo)致系統(tǒng)或網(wǎng)絡(luò)出現(xiàn)明顯異常,不導(dǎo)致日志系統(tǒng)快速增加記錄,那么這種掃描將是比較隱秘的。這樣的話,通過(guò)上面的簡(jiǎn)單的統(tǒng)計(jì)分析方法不能檢測(cè)到它們的存在,但是從理論上來(lái)說(shuō),掃描是無(wú)法絕對(duì)隱秘的,若能對(duì)收集到的長(zhǎng)期數(shù)據(jù)進(jìn)行系統(tǒng)分析,可以檢測(cè)出緩慢和分布式的掃描��。
2����、檢測(cè)本地權(quán)限攻擊的思路
行為監(jiān)測(cè)法、文件完備性檢查���、系統(tǒng)快照對(duì)比檢查是常用的檢測(cè)技術(shù)��。虛擬機(jī)技術(shù)是下一步我們要研究的重點(diǎn)方向��。
(1)行為監(jiān)測(cè)法
由于溢出程序有些行為在正常程序中比較罕見(jiàn),因此可以根據(jù)溢出程序的共同行為制定規(guī)則條件,如果符合現(xiàn)有的條件規(guī)則就認(rèn)為是溢出程序�。行為監(jiān)測(cè)法可以檢測(cè)未知溢出程序,但實(shí)現(xiàn)起來(lái)有一定難度,不容易考慮周全��。行為監(jiān)測(cè)法從以下方面進(jìn)行有效地監(jiān)測(cè):一是監(jiān)控內(nèi)存活動(dòng),跟蹤內(nèi)存容量的異常變化,對(duì)中斷向量進(jìn)行監(jiān)控�����、檢測(cè)。二是跟蹤程序進(jìn)程的堆棧變化,維護(hù)程序運(yùn)行期的堆棧合法性�����。以防御本地溢出攻擊和競(jìng)爭(zhēng)條件攻擊����。
監(jiān)測(cè)敏感目錄和敏感類型的文件。對(duì)來(lái)自www服務(wù)的腳本執(zhí)行目錄���、ftp服務(wù)目錄等敏感目錄的可執(zhí)行文件的運(yùn)行,進(jìn)行攔截��、仲裁���。對(duì)這些目錄的文件寫(xiě)入操作進(jìn)行審計(jì),阻止非法程序的上傳和寫(xiě)入��。監(jiān)測(cè)來(lái)自系統(tǒng)服務(wù)程序的命令的執(zhí)行�。對(duì)數(shù)據(jù)庫(kù)服務(wù)程序的有關(guān)接口進(jìn)行控制,防止通過(guò)系統(tǒng)服務(wù)程序進(jìn)行的權(quán)限提升。論文大全�。監(jiān)測(cè)注冊(cè)表的訪問(wèn),采用特征碼檢測(cè)的方法,阻止木馬和攻擊程序的運(yùn)行。
(2)文件完備性檢查
對(duì)系統(tǒng)文件和常用庫(kù)文件做定期的完備性檢查����?�?梢圆捎胏hecksum的方式,對(duì)重要文件做先驗(yàn)快照,檢測(cè)對(duì)這些文件的訪問(wèn),對(duì)這些文件的完備性作檢查,結(jié)合行為檢測(cè)的方法,防止文件覆蓋攻擊和欺騙攻擊�����。
(3)系統(tǒng)快照對(duì)比檢查
對(duì)系統(tǒng)中的公共信息,如系統(tǒng)的配置參數(shù),環(huán)境變量做先驗(yàn)快照,檢測(cè)對(duì)這些系統(tǒng)變量的訪問(wèn),防止篡改導(dǎo)向攻擊�����。
(4)虛擬機(jī)技術(shù)
通過(guò)構(gòu)造虛擬x86計(jì)算機(jī)的寄存器表��、指令對(duì)照表和虛擬內(nèi)存,能夠讓具有溢出敏感特征的程序在虛擬機(jī)中運(yùn)行一段時(shí)間��。論文大全�����。這一過(guò)程可以提取與有可能被懷疑是溢出程序或與溢出程序相似的行為,比如可疑的跳轉(zhuǎn)等和正常計(jì)算機(jī)程序不一樣的地方,再結(jié)合特征碼掃描法,將已知溢出程序代碼特征庫(kù)的先驗(yàn)知識(shí)應(yīng)用到虛擬機(jī)的運(yùn)行結(jié)果中,完成對(duì)一個(gè)特定攻擊行為的判定����。
虛擬機(jī)技術(shù)仍然與傳統(tǒng)技術(shù)相結(jié)合,并沒(méi)有拋棄已知的特征知識(shí)庫(kù)�����。虛擬機(jī)的引入使得防御軟件從單純的靜態(tài)分析進(jìn)入了動(dòng)態(tài)和靜態(tài)分析相結(jié)合的境界,在一個(gè)階段里面,極大地提高了已知攻擊和未知攻擊的檢測(cè)水平,以相對(duì)比較少的代價(jià)獲得了可觀的突破。在今后相當(dāng)長(zhǎng)的一段時(shí)間內(nèi),虛擬機(jī)在合理的完整性�����、技術(shù)技巧等方面都會(huì)有相當(dāng)?shù)倪M(jìn)展��。目前國(guó)際上公認(rèn)的���、并已經(jīng)實(shí)現(xiàn)的虛擬機(jī)技術(shù)在未知攻擊的判定上可達(dá)到80%左右的準(zhǔn)確率���。
3、后門留置檢測(cè)的常用技術(shù)
(1)對(duì)比檢測(cè)法
檢測(cè)后門時(shí),重要的是要檢測(cè)木馬的可疑蹤跡和異常行為����。因?yàn)槟抉R程序在目標(biāo)網(wǎng)絡(luò)的主機(jī)上駐留時(shí),為了不被用戶輕易發(fā)現(xiàn),往往會(huì)采取各種各樣的隱藏措施,因此檢測(cè)木馬程序時(shí)必須考慮到木馬可能采取的隱藏技術(shù)并進(jìn)行有效地規(guī)避,才能發(fā)現(xiàn)木馬引起的異常現(xiàn)象從而使隱身的木馬“現(xiàn)形”�����。常用的檢測(cè)木馬可疑蹤跡和異常行為的方法包括對(duì)比檢測(cè)法��、文件防篡改法�、系統(tǒng)資源監(jiān)測(cè)法和協(xié)議分析法等����。
(2)文件防篡改法
文件防篡改法是指用戶在打開(kāi)新文件前,首先對(duì)該文件的身份信息進(jìn)行檢驗(yàn)以確保沒(méi)有被第三方修改����。文件的身份信息是用于惟一標(biāo)識(shí)文件的指紋信息,可以采用數(shù)字簽名或者md5檢驗(yàn)和的方式進(jìn)行生成��。
(3)系統(tǒng)資源監(jiān)測(cè)法
系統(tǒng)資源監(jiān)測(cè)法是指采用監(jiān)控主機(jī)系統(tǒng)資源的方式來(lái)檢測(cè)木馬程序異常行為的技術(shù)�。由于黑客需要利用木馬程序進(jìn)行信息搜集,以及滲透攻擊,木馬程序必然會(huì)使用主機(jī)的一部分資源,因此通過(guò)對(duì)主機(jī)資源(例如網(wǎng)絡(luò)、CPU�����、內(nèi)存��、磁盤����、USB存儲(chǔ)設(shè)備和注冊(cè)表等資源)進(jìn)行監(jiān)控將能夠發(fā)現(xiàn)和攔截可疑的木馬行為。
(4)協(xié)議分析法
協(xié)議分析法是指參照某種標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議對(duì)所監(jiān)聽(tīng)的網(wǎng)絡(luò)會(huì)話進(jìn)行對(duì)比分析,從而判斷該網(wǎng)絡(luò)會(huì)話是否為非法木馬會(huì)話的技術(shù)�����。利用協(xié)議分析法能夠檢測(cè)出采取了端口復(fù)用技術(shù)進(jìn)行端口隱藏的木馬�����。
參考文獻(xiàn):
[1]張普兵,郭廣猛,廖成君.Internet中的電子欺騙攻擊及其防范[J].計(jì)算機(jī)應(yīng)用,2001,21(1):32-34.
[2]蘇一丹,李桂.基于DFA的大規(guī)模入侵建模方法研究[J].計(jì)算機(jī)工程與應(yīng)用,2003,39(28).
[3]蔣總禮,姜守旭.形式語(yǔ)言與自動(dòng)機(jī)理論[M].北京:清華大學(xué)出版社,2003.
第5篇
Abstract:This article simply introduces the current honeypot and honeynet technology, on the analysis of enrollment network security for college entrance examination��, a high—concealment and high—safety honeypot system design scheme is put forward����, and it is proved to be effective by experiment.
關(guān)鍵詞: 蜜罐;重定向����;無(wú)縫環(huán)境切換;招生網(wǎng)絡(luò)安全
Key words: honeypot���;redirection�;seamless context switch����;enrollment network security
中圖分類號(hào):TP39 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1006—4311(2012)27—0190—02
1 研究背景
基于中國(guó)教育與科研計(jì)算機(jī)網(wǎng)(CERNET)的高考招生錄取是迄今為止世界上規(guī)模最大的網(wǎng)上招生錄取應(yīng)用。對(duì)于網(wǎng)上招生錄取這種影響大����、涉及面廣、關(guān)注度高的網(wǎng)絡(luò)應(yīng)用而言�,網(wǎng)絡(luò)的安全至關(guān)重要���。前些年���,浙江省高校招生網(wǎng)上錄取工作就曾遭受惡意攻擊����。前車之鑒�����,后事之師����,如何保證高校網(wǎng)上招生錄取現(xiàn)場(chǎng)的網(wǎng)絡(luò)安全、高效��、穩(wěn)定地運(yùn)行成為我們面臨的課題�����。筆者根據(jù)近幾年來(lái)從事網(wǎng)上招生錄取網(wǎng)絡(luò)保障的實(shí)踐���,吸取一些網(wǎng)絡(luò)保障專家們的經(jīng)驗(yàn)��,對(duì)高校網(wǎng)上招生院校端錄取現(xiàn)場(chǎng)的網(wǎng)絡(luò)安全進(jìn)行了研究�����,引入了一種優(yōu)化的網(wǎng)絡(luò)安全保障方案����。出于安全保密的原因,文中將某些具體細(xì)節(jié)隱去���,但這并不影響本文的完整性�����。
目前防火墻是網(wǎng)絡(luò)上使用最多的安全設(shè)備�,是網(wǎng)絡(luò)安全的重要基石�。然而最近的調(diào)查顯示,防火墻的攻破率已經(jīng)超過(guò)47%�。傳統(tǒng)的老三樣,防火墻連同入侵檢測(cè)和殺病毒的技術(shù)在新的安全形勢(shì)下�����,顯得過(guò)時(shí)���。
一些新興的技術(shù)在未來(lái)則可能成為保障網(wǎng)絡(luò)安全的重要手段����,有一種稱為“蜜罐”(honeypot)的設(shè)備,則是要讓黑客誤以為已經(jīng)成功侵入網(wǎng)絡(luò)�,并且讓黑客繼續(xù)“為所欲為”�,目的在于拖時(shí)間,以便網(wǎng)絡(luò)保安系統(tǒng)和人員能夠把黑客“抓住”����。繼“蜜罐”之后,又出現(xiàn)了蜜網(wǎng)技術(shù)�����,盡管蜜網(wǎng)技術(shù)截今為止已經(jīng)發(fā)展到了第三代����,但蜜網(wǎng)系統(tǒng)“甜度”不高,安全性差的問(wèn)題依然沒(méi)有得到完全解決�����。
2 現(xiàn)有蜜網(wǎng)技術(shù)的不足
攻擊者入侵到真實(shí)的系統(tǒng)中����,必然留下一些記錄���,現(xiàn)有的蜜場(chǎng)產(chǎn)品往往忽視這個(gè)細(xì)節(jié),只簡(jiǎn)單地將可疑流量重定向到誘騙環(huán)境當(dāng)中����,這時(shí)候,比較高級(jí)的攻擊者發(fā)現(xiàn)自己的記錄沒(méi)有了�,會(huì)意識(shí)到自己處于誘騙環(huán)境中,于是退出而不再訪問(wèn)誘騙環(huán)境�,甚至?xí)卧煲恍┨摷俚男畔⒚曰蠛驼`導(dǎo)管理員,從而使誘騙環(huán)境失效甚至?xí)蔀楣粽咚玫墓ぞ摺?/p>
不同于其它安全工具��,誘騙系統(tǒng)并不只是收集信息的工具�����,而是充當(dāng)攻擊的犧牲者���。允許攻擊者進(jìn)入誘騙系統(tǒng)����,從而可以監(jiān)控他們的行為���,這是誘騙系統(tǒng)的特征之一�����,而誘騙系統(tǒng)的這一本質(zhì)特征����,也決定了其冒險(xiǎn)性。而且隨著現(xiàn)在誘騙技術(shù)的發(fā)展��,越來(lái)越多的人們意識(shí)到誘騙環(huán)境的重要性��,已經(jīng)出現(xiàn)了一些針對(duì)誘騙環(huán)境的探測(cè)工具����。誘騙主機(jī)越多����,冒險(xiǎn)性就越大,尤其是將誘騙環(huán)境放置在網(wǎng)絡(luò)的核心位置�。因此入侵誘騙技術(shù)就好比一把雙刃劍,能否降低其負(fù)面效應(yīng)是入侵誘騙技術(shù)能否長(zhǎng)期發(fā)展的關(guān)鍵����。另一方面單一的入侵檢測(cè)方法無(wú)法滿足檢測(cè)日新月異的攻擊的需要��。
3 HCHS蜜罐系統(tǒng)的結(jié)構(gòu)
本研究在深入分析當(dāng)前蜜罐與蜜網(wǎng)技術(shù)之后����,針對(duì)隱蔽性和安全性不足的問(wèn)題�,引入無(wú)縫環(huán)境切換理論,并運(yùn)用誤用檢測(cè)模式和異常檢測(cè)模式的進(jìn)行兩次入侵檢測(cè)以及相應(yīng)的兩次重定向�����,設(shè)計(jì)一個(gè)高隱蔽高安全性的新型蜜罐系統(tǒng)�。
高隱蔽高安全性的蜜罐系統(tǒng)優(yōu)化模型結(jié)構(gòu)圖如下:
3.1 混合入侵檢測(cè) 誤用入侵檢測(cè)——在誤用入侵檢測(cè)中,假定所有入侵行為和手段都能夠表達(dá)為一種模式或特征�����,那么所有已知的入侵方法都可以用匹配的方法發(fā)現(xiàn)��。誤用入侵檢測(cè)的關(guān)鍵是如何表達(dá)入侵的模式��,把真正的入侵與正常行為區(qū)分開(kāi)來(lái)��。其優(yōu)點(diǎn)是誤報(bào)少����,局限性是它只能發(fā)現(xiàn)已知的攻擊�����,對(duì)未知的攻擊無(wú)能為力��。
異常入侵檢測(cè)——在異常入侵檢測(cè)中,假定所有入侵行為都是與正常行為不同的��,這樣����,如果建立系統(tǒng)正常行為的軌跡����,那么理論上可以把所有與正常軌跡不同的系統(tǒng)狀態(tài)視為可疑企圖�����。比如,通過(guò)流量統(tǒng)計(jì)分析將異常時(shí)間的異常網(wǎng)絡(luò)流量視為可疑����。異常入侵檢測(cè)的局限是并非所有的入侵都表現(xiàn)為異常,而且系統(tǒng)的軌跡難于計(jì)算和更新���。
對(duì)比這兩種檢測(cè)方法可以發(fā)現(xiàn),異常檢測(cè)難于定量分析����,這種檢測(cè)方式有一種固有的不確定性�����。與此不同����,誤用檢測(cè)會(huì)遵循定義好的模式�����,能通過(guò)對(duì)審計(jì)記錄信息做模式匹配來(lái)檢測(cè)��,但僅可檢測(cè)已知的入侵方式�。所以這兩類檢測(cè)機(jī)制都不完美��。本論文分別運(yùn)用誤用入侵檢測(cè)和異常入侵檢測(cè)兩種方法對(duì)網(wǎng)絡(luò)及主機(jī)進(jìn)行兩次入侵檢測(cè)并相應(yīng)設(shè)置兩次重定向機(jī)制�,誤用入侵檢測(cè)用基于網(wǎng)絡(luò)的IDS來(lái)實(shí)現(xiàn)��,異常入侵檢測(cè)用基于主機(jī)的IDS來(lái)實(shí)現(xiàn)�。這樣做可綜合兩種入侵檢測(cè)方法的優(yōu)點(diǎn)�,提高對(duì)惡意連接的檢測(cè)率����,使系統(tǒng)的安全性得以增強(qiáng)�。
第6篇
【 關(guān)鍵詞 】 IPS�����;校園局域網(wǎng);安全體系
Base on Intrusion Prevention System ‘s Research and Implementation in Campus network Security System
Lu Xu-xia
(Tongji University Shanghai 200092)
【 Abstract 】 In network security, intrusion prevention system is a defensive nature of the network security technology. It is in order to make up for the deficiency of network firewall and IDS. Different intrusion prevention system realization way is different. They are defensive. This article discusses the current campus network security risks, the IPS concept and classification, how to deploy the IPS in the campus networks, and the advantage of IPS.
【 Keywords 】 IPS;campus network;security system
0 引言
目前隨著計(jì)算機(jī)網(wǎng)絡(luò)的迅速發(fā)展�,網(wǎng)絡(luò)給人們帶來(lái)了無(wú)限的方便和快捷����,人們可以隨時(shí)隨地上網(wǎng)獲取信息。其中校園網(wǎng)是網(wǎng)絡(luò)中的一個(gè)重要組成部分�。隨著網(wǎng)絡(luò)環(huán)境的逐漸復(fù)雜多變��,各種入侵手段的層出不窮���,如何保證校園網(wǎng)絡(luò)環(huán)境不受威脅,保證學(xué)生正常的學(xué)習(xí)使用�����,是我們漸漸要引起重視的一個(gè)課題�����。
1 目前校園局域網(wǎng)存在的安全隱患
目前校園網(wǎng)存在的安全隱患表現(xiàn)在多方面�。如圖1所示��。
校園網(wǎng)存在的安全隱患雖然眾多�,但是歸類一下主要表現(xiàn)為幾大點(diǎn)��。
a. 由系統(tǒng)或者應(yīng)用軟件漏洞引起的安全隱患����。Windows系統(tǒng)存在很多的系統(tǒng)安全漏洞,瀏覽器IE存在嚴(yán)重的安全漏洞�����,一些技術(shù)愛(ài)好者對(duì)黑客軟件的好奇����,如一些系統(tǒng)漏洞探測(cè)工具等����,盜號(hào)工具等很可能含有木馬程序的黑客工具��,如校園使用的E-mail服務(wù)系統(tǒng)沒(méi)有任何安全管理和監(jiān)控保護(hù)��。
b. 由外部設(shè)備插入引起的安全隱患��。如移動(dòng)硬盤�����、U盤攜帶病毒的傳播。
c. 外部攻擊���。黑客攻擊校園網(wǎng)等。
d. 人為因素���。主要分為外部人員攻擊、學(xué)校安全管理部門安全意識(shí)淡薄����、學(xué)生上網(wǎng)安全意識(shí)淡薄等�����。
校園網(wǎng)絡(luò)安全的形勢(shì)非常嚴(yán)峻��,為解決以上安全隱患和漏洞��,結(jié)合校園網(wǎng)特點(diǎn)和現(xiàn)今網(wǎng)絡(luò)安全的典型解決方案和技術(shù),我們引入IPS技術(shù)來(lái)提高和保證校園安全�����。
2 IPS概述
2.1 IPS的概念
IPS是Intrusion Prevention System的縮寫(xiě)�����,即入侵防御系統(tǒng)�。位于防火墻和網(wǎng)絡(luò)的設(shè)備之間�。這樣�����,如果檢測(cè)到攻擊�,IPS會(huì)在這種攻擊擴(kuò)散到網(wǎng)絡(luò)的其它地方之前阻止這個(gè)惡意的通信��。一般來(lái)說(shuō)����,IPS系統(tǒng)都依靠對(duì)數(shù)據(jù)包的檢測(cè)�����。IPS將檢查入網(wǎng)的數(shù)據(jù)包,確定這種數(shù)據(jù)包的真正用途��,然后決定是否允許這種數(shù)據(jù)包進(jìn)入你的網(wǎng)絡(luò)。
2.2 IPS的分類
IPS主要分為三大類:對(duì)host的入侵防護(hù)��、應(yīng)用入侵防護(hù)和對(duì)Web的入侵防護(hù)。
對(duì)host的入侵防護(hù)HIPS: 這種入侵防護(hù)是將IPS軟件安裝在主機(jī)上�,其軟件具有對(duì)主機(jī)的防護(hù)功能。一般的HIPS利用實(shí)時(shí)入侵檢測(cè)�,網(wǎng)絡(luò)上的狀態(tài)包檢測(cè),狀態(tài)包過(guò)濾等方式���,可以防止非法進(jìn)行用戶驗(yàn)證���、非法改動(dòng)數(shù)據(jù)庫(kù)���、防止緩沖區(qū)溢出等等的入侵����。由于HIPS需要安裝到主機(jī)上����,所以與主機(jī)上安裝的操作系統(tǒng)平臺(tái)緊密相關(guān)�����,不同的操作系統(tǒng)需要不同的IPS的軟件程序��。
應(yīng)用入侵防護(hù)AIPS:AIPS是在網(wǎng)絡(luò)鏈路層對(duì)網(wǎng)絡(luò)進(jìn)行防御保護(hù)����,由于其工作在鏈路層,所以和主機(jī)的操作系統(tǒng)平臺(tái)無(wú)關(guān)�����。它是在對(duì)主機(jī)的入侵防護(hù)基礎(chǔ)之上的位于應(yīng)用服務(wù)器之前的網(wǎng)絡(luò)設(shè)備。未來(lái)的NIPS很有可能成為交換機(jī)的附加功能�����,對(duì)交換機(jī)功能進(jìn)行進(jìn)一步擴(kuò)充�����,在交換機(jī)上就對(duì)數(shù)據(jù)包進(jìn)行檢測(cè)和阻斷功能。這樣每一層的交換機(jī)都成了網(wǎng)絡(luò)保護(hù)的手段。
對(duì)Web的入侵防護(hù)NIPS:這種入侵防護(hù)通常設(shè)計(jì)成類似交換機(jī)的設(shè)備���,提供了多個(gè)網(wǎng)絡(luò)端口,原因是NIPS需要實(shí)時(shí)在線,需要具備很高的性能,否則會(huì)成為網(wǎng)絡(luò)的瓶頸����。NIPS是通過(guò)實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)中的網(wǎng)絡(luò)流量來(lái)判斷網(wǎng)絡(luò)是否異常。NIPS使用在線連接各臺(tái)主機(jī)的方式,一旦發(fā)現(xiàn)有入侵活動(dòng)�,就立馬隔斷整個(gè)網(wǎng)絡(luò)的會(huì)話��。
3 校園網(wǎng)中如何部署IPS
3.1 部署
既然IPS是在威脅進(jìn)入網(wǎng)絡(luò)之前進(jìn)行防御��,所以我們一般需要在“前端”進(jìn)行部署。如在校園網(wǎng)與外部網(wǎng)絡(luò)的入口處部署�����、重要服務(wù)器集群前端和校園網(wǎng)內(nèi)部接入處部署等�����。
3.2 具體部署
校園局域網(wǎng)中有學(xué)生宿舍網(wǎng)絡(luò)�����、圖書(shū)館網(wǎng)絡(luò)��、教學(xué)樓網(wǎng)絡(luò)�、各種服務(wù)器如課件服務(wù)器、學(xué)分查詢系統(tǒng)�、教師宿舍網(wǎng)絡(luò)���。我們需要在這些網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的接口處設(shè)置IPS����。在IPS之后再安裝硬件防火墻,然后再連接到internet�。其拓?fù)浣Y(jié)構(gòu)如圖2所示。
通過(guò)部署IPS來(lái)實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)絡(luò)的整體網(wǎng)絡(luò)訪問(wèn)的控制和流量的控制,尤其是限制P2P下載�,實(shí)現(xiàn)網(wǎng)管級(jí)別防病毒;通過(guò)在互聯(lián)服務(wù)區(qū)的接口處部署入侵防御系統(tǒng)�,實(shí)現(xiàn)對(duì)眾多服務(wù)器開(kāi)放業(yè)務(wù)的更高級(jí)別深層防御��。具體可以根據(jù)具體校園網(wǎng)絡(luò)的不同進(jìn)行不同的部署。部署關(guān)鍵點(diǎn)是主要是與因特網(wǎng)的連接都對(duì)IPS進(jìn)行部署��。
2.3 對(duì)部署的IPS進(jìn)行測(cè)試
我們需要對(duì)IPS進(jìn)行多方面的測(cè)試,以保證IPS可以最大限度地保證網(wǎng)絡(luò)安全�。主要有對(duì)IPS系統(tǒng)基本管理功能的測(cè)試,測(cè)試IPS的測(cè)試策略定義能力�����,測(cè)試IPS針對(duì)具體環(huán)境對(duì)入侵事件做進(jìn)一步精確分析的能力,IPS系統(tǒng)軟件��、攻擊特征升級(jí)能力等�����。我們主要對(duì)幾點(diǎn)測(cè)試進(jìn)行詳細(xì)介紹��。首先我們可以在真正部署IPS設(shè)備之前部署一個(gè)測(cè)試網(wǎng)絡(luò)�。如圖3所示。
IPS系統(tǒng)基本管理功能的測(cè)試:
登錄控制管理端界面�����,查看其各組件的分布情況����,如管理界面�、報(bào)警顯示界面��、數(shù)據(jù)庫(kù)����、日志查詢界面等��。配置多級(jí)管理模式,滿足控制臺(tái)―控制臺(tái)―控制臺(tái)―引擎的部署結(jié)構(gòu)��。添加多個(gè)虛擬引擎,看其是否有數(shù)量限制�����,查看可支持的其他組件。
測(cè)試IPS的測(cè)試策略定義能力:
打開(kāi)策略管理菜單�,自定義用戶策略u(píng)ser,針對(duì)http協(xié)議不同字段設(shè)置各種參數(shù)���,打開(kāi)新策略u(píng)ser���,并定義某一條事件的響應(yīng)方式��,定義響應(yīng)模板�,將新模板應(yīng)用到所有TCP協(xié)議事件中,導(dǎo)入導(dǎo)出策略等
測(cè)試IPS針對(duì)具體環(huán)境對(duì)入侵事件做進(jìn)一步精確分析的能力:
在顯示中心的環(huán)境匹配信息設(shè)置中,配置好被攻擊機(jī)的相關(guān)信息�,如主機(jī)名teacher�����、IP地址��、操作系統(tǒng)類型���,協(xié)議=TCP,端口=80���,打開(kāi)環(huán)境匹配報(bào)警窗口,從Windows攻擊機(jī)上采用GUI_UICODE工具對(duì)被攻擊機(jī)發(fā)起UNICODE攻擊����,然后查看綜合顯示中心的報(bào)警情況�。
4 校園局域網(wǎng)使用IPS的優(yōu)勢(shì)
入侵防御系統(tǒng)的優(yōu)勢(shì)有很多�,與入侵檢測(cè)系統(tǒng)的爭(zhēng)論比較頗多��。IPS的優(yōu)點(diǎn)如表1所示����。
5 總結(jié)
校園網(wǎng)絡(luò)的安全性越來(lái)越引起重視����,入侵防御系統(tǒng)的介入��,大大提高了校園局域網(wǎng)的安全性�,也是一個(gè)新的研究課題��,隨著校園網(wǎng)的告訴發(fā)展,入侵防御系統(tǒng)還會(huì)面臨新的挑戰(zhàn)�,會(huì)根據(jù)新的安全問(wèn)題不斷發(fā)展����。
參考文獻(xiàn)
[1] 張龍. IPS入侵預(yù)防系統(tǒng)研究與設(shè)計(jì)[D].山東大學(xué),2006年.
[2] 黃律,傅明,曾菲菲,宋丹.入侵檢測(cè)系統(tǒng)及其研究[J].電腦與信息技術(shù),2004年01期.
[3] 羅桂瓊.基于協(xié)議分析的入侵檢測(cè)系統(tǒng)[J].電腦與信息技術(shù),2005年04期.
[4] 梁琳,拾以娟,鐵玲.基于策略的安全智能聯(lián)動(dòng)模型[J].信息安全與通信保密,2004,(2):35-37.
[5] 梅鋒.入侵防御系統(tǒng)研究 [期刊論文] .有線電視技術(shù),2009(8).
第7篇
關(guān)鍵詞:金融信息�,網(wǎng)絡(luò)安全���,保障體系,服務(wù)
1金融信息系統(tǒng)安全保障體系的總體構(gòu)架
金融信息系統(tǒng)安全保障體系的總體構(gòu)架有系統(tǒng)安全����、物理安全�����、應(yīng)用安全�����、網(wǎng)絡(luò)安全、和管理安全�。畢業(yè)論文����,網(wǎng)絡(luò)安全�。
1.1金融信息系統(tǒng)的安全
系統(tǒng)安全指的就是網(wǎng)絡(luò)結(jié)構(gòu)的安全和操作系統(tǒng)的安全,應(yīng)用系統(tǒng)安全等等�。畢業(yè)論文���,網(wǎng)絡(luò)安全�。網(wǎng)絡(luò)結(jié)構(gòu)的安全就是指網(wǎng)絡(luò)拓?fù)錄](méi)有冗余的環(huán)路產(chǎn)生����,線路比較暢通�,結(jié)構(gòu)合理。操作系統(tǒng)的安全就是指要采用較高的網(wǎng)絡(luò)操作系統(tǒng)��,刪除一些不常用卻存在安全隱患的應(yīng)用���,對(duì)一些用戶的信息和口令要進(jìn)行嚴(yán)格的把關(guān)和限制�。應(yīng)用系統(tǒng)的安全就是指只保留一些常用的端口號(hào)和協(xié)議�,要嚴(yán)格的控制使用者的操作權(quán)限。在系統(tǒng)中要對(duì)系統(tǒng)有一些必要的備份和恢復(fù)����,它是為了保護(hù)金融系統(tǒng)出現(xiàn)問(wèn)題時(shí),能夠快速的恢復(fù)�����,在金融系統(tǒng)在運(yùn)行的過(guò)程中要對(duì)其內(nèi)容進(jìn)行備份��。
1.2金融信息系統(tǒng)的物理安全
物理安全就是要保證整個(gè)網(wǎng)絡(luò)體系與信息結(jié)構(gòu)都是安全的����。物理安全主要涉及的就是環(huán)境的安全和設(shè)備的安全�,環(huán)境安全主要就是防雷�、防火����、防水��、等等�,而設(shè)備的安全指的就是防盜、放干擾等等�����。
1.3金融信息系統(tǒng)的應(yīng)用安全
金融信息系統(tǒng)的應(yīng)用安全主要就是指金融信息系統(tǒng)訪問(wèn)控制的需要,對(duì)訪問(wèn)的控制采用不同的級(jí)別���,對(duì)用戶級(jí)別的訪問(wèn)授權(quán)也是不同�����。收集驗(yàn)證數(shù)據(jù)和安全傳輸?shù)臄?shù)據(jù)都是對(duì)目前使用者的身份識(shí)別和驗(yàn)證的重要步驟����。而對(duì)于金融系統(tǒng)中數(shù)據(jù)資源的備份和恢復(fù)的機(jī)制也要采取相應(yīng)的保護(hù)措施���,在故障發(fā)生后第一時(shí)間恢復(fù)系統(tǒng)�����。
1.4金融信息系統(tǒng)的網(wǎng)絡(luò)安全
金融信息都是通過(guò)才能向外界的���,而通過(guò)采取數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層的加密來(lái)實(shí)現(xiàn)通信的保護(hù),對(duì)網(wǎng)絡(luò)中重要信息進(jìn)行保護(hù)��。而對(duì)網(wǎng)絡(luò)進(jìn)行入侵檢測(cè)也是必要的�,通過(guò)信息代碼對(duì)進(jìn)出的網(wǎng)段進(jìn)行監(jiān)控,來(lái)確保信息的安全性����。畢業(yè)論文�,網(wǎng)絡(luò)安全。對(duì)系統(tǒng)也要進(jìn)行不定期的部件檢測(cè)���,所是發(fā)現(xiàn)有漏洞要及時(shí)的進(jìn)行補(bǔ)救�����。
1.5金融信息系統(tǒng)的安全管理
金融系統(tǒng)是一個(gè)涵蓋多方面的網(wǎng)絡(luò)���,也運(yùn)行著很多的網(wǎng)絡(luò),對(duì)金融系統(tǒng)進(jìn)行信息管理�,就應(yīng)該設(shè)置安全的管理中心�����,要集中的管理�,嚴(yán)格的規(guī)定和確定明確的責(zé)任和控制��,確保金融系統(tǒng)可靠的運(yùn)行。
2金融信息系統(tǒng)安全保障的措施
2.1設(shè)置安全保障的措施
對(duì)于任何未經(jīng)允許的策略都嚴(yán)格的禁止��,系統(tǒng)允許訪問(wèn)的都要經(jīng)過(guò)眼的認(rèn)證才能進(jìn)入下一步,重要的金融信息要經(jīng)加密的措施進(jìn)行傳輸����。要通過(guò)網(wǎng)絡(luò)安全策略對(duì)金融信息系統(tǒng)的網(wǎng)絡(luò)設(shè)置防火墻�����,用來(lái)保護(hù)各個(gè)金融節(jié)點(diǎn)的信息安全�,允許授權(quán)用戶訪問(wèn)局域網(wǎng)�,允許授權(quán)用戶訪問(wèn)該局域網(wǎng)內(nèi)的特定資源;按業(yè)務(wù)和行政歸屬����,在橫向和縱向網(wǎng)絡(luò)上通過(guò)采用MPLSVPN技術(shù)進(jìn)行VPN劃分����。
2.2使用安全技術(shù)和安全產(chǎn)品的措施
為了金融系統(tǒng)有個(gè)安全可靠運(yùn)行環(huán)境,遵循金融系統(tǒng)的安全保障體系策略,要在金融信息系統(tǒng)中安裝一些安全技術(shù)和安全的產(chǎn)品�。將金融信息系統(tǒng)劃分為不同的安全區(qū)域,每個(gè)區(qū)域都不同的責(zé)任和任務(wù)����,對(duì)不同的區(qū)域要有不同的保護(hù)措施�����,即方便又增強(qiáng)了安全性。在金融想嘔吐中安裝一道防火墻,用來(lái)防止不可預(yù)見(jiàn)的事故���,若是有潛在的破壞性的攻擊者�,防火墻會(huì)起到一定的作用����,對(duì)外部屏蔽內(nèi)部的消息�,以實(shí)現(xiàn)網(wǎng)絡(luò)的安全防護(hù)�。應(yīng)該在金融信息系統(tǒng)中設(shè)置入侵檢測(cè)系統(tǒng)�,要對(duì)網(wǎng)絡(luò)的安全狀態(tài)進(jìn)行定期的檢測(cè),對(duì)入侵的事件進(jìn)行檢測(cè)�����,對(duì)網(wǎng)絡(luò)進(jìn)行全方位的保護(hù)����。在金融信息系統(tǒng)中安裝防病毒的系統(tǒng)�����,對(duì)有可能產(chǎn)生的病源或是路徑進(jìn)行相對(duì)應(yīng)的配置防病毒的軟件,對(duì)金融信息系統(tǒng)提供一個(gè)集中式的管理,對(duì)反病毒的程序進(jìn)行安裝����、掃描、更新和共享等,將日常的金融信息系統(tǒng)的維護(hù)工作簡(jiǎn)單化,對(duì)有可能侵入金融信息系統(tǒng)的病毒進(jìn)行24小時(shí)監(jiān)控�,使得網(wǎng)絡(luò)免遭病毒的危害����。定期的對(duì)金融信息系統(tǒng)進(jìn)行安全評(píng)估,對(duì)系統(tǒng)中的工作站�、服務(wù)器、交換機(jī)��、數(shù)據(jù)庫(kù)一一的進(jìn)行檢測(cè)評(píng)估����,根據(jù)評(píng)估的結(jié)果,向系統(tǒng)提供報(bào)告��。安全的評(píng)估與防火墻的入侵檢測(cè)是相互配合的��,夠使網(wǎng)絡(luò)提供更高性能的服務(wù)����。畢業(yè)論文,網(wǎng)絡(luò)安全���。
2.3金融信息管理的安全措施
在管理的技術(shù)手段上�,也要提高安全管理的水平����。金融信息系統(tǒng)是相對(duì)比較封閉的����,金融信息系統(tǒng)的安全是最重要的�,業(yè)務(wù)邏輯與操作規(guī)范的嚴(yán)密是重中之重����。因此對(duì)于金融信息系統(tǒng)的內(nèi)部管理�����,加強(qiáng)領(lǐng)導(dǎo)班子對(duì)安全管理的體系��,強(qiáng)化日常的管理制度嗎、�����,提升根本的管理層次����。
2.3.1建立完善的組織機(jī)構(gòu)
如今我國(guó)更加重視信息安全的發(fā)展��,它可以促進(jìn)經(jīng)濟(jì)發(fā)展和維護(hù)社會(huì)的穩(wěn)定。在金融信息系統(tǒng)的內(nèi)部要建立安全管理小組,安全管理小組的任務(wù)就是要制定出符合金融發(fā)展的安全策略�����。管理小組由責(zé)任和義務(wù)維護(hù)好系統(tǒng)的安全和穩(wěn)定�����。
2.3.2制定一系列的安全管理辦法和法規(guī)�,主要就是抓住內(nèi)網(wǎng)的管理,行為�、應(yīng)用等管理,進(jìn)行內(nèi)容控制和存儲(chǔ)管理��。對(duì)每個(gè)設(shè)施都要有一套預(yù)案����,并定期進(jìn)行測(cè)試。畢業(yè)論文�����,網(wǎng)絡(luò)安全����。
2.3.3 加強(qiáng)嚴(yán)格管理,加強(qiáng)登陸身份的認(rèn)證�����,嚴(yán)格控制用戶的使用權(quán)限,對(duì)每個(gè)用戶都要進(jìn)行信息跟蹤�,為系統(tǒng)的審核提供保障。畢業(yè)論文��,網(wǎng)絡(luò)安全�。
2.3.4加強(qiáng)重視信息保護(hù)的等級(jí),對(duì)金融信息系統(tǒng)中信息重點(diǎn)保護(hù)����,對(duì)重要信息實(shí)施強(qiáng)制保護(hù)和強(qiáng)制性認(rèn)證,以確保金融業(yè)務(wù)信息的安全��。也要不斷的加強(qiáng)信息管理人才與安全隊(duì)伍的建設(shè)�,加大對(duì)復(fù)合型人才的培養(yǎng)力度�����,通過(guò)各種會(huì)議�、網(wǎng)站、廣播��、電視���、報(bào)紙等媒體加大信息安全普法和守法宣傳力度�,提高全民信息安全意識(shí),尤其是加強(qiáng)企業(yè)內(nèi)部人員的信息安全知識(shí)培訓(xùn)與教育���,提高員工的信息安全自律水平��。
3結(jié)語(yǔ)
隨著金融信息化的快速發(fā)展�����,金融信息系統(tǒng)的規(guī)模逐步擴(kuò)大���,金融信息資產(chǎn)的數(shù)量急劇增加,對(duì)網(wǎng)絡(luò)與信息系統(tǒng)實(shí)施安全保護(hù)已勢(shì)在必行�����。目前互聯(lián)網(wǎng)的應(yīng)用還缺乏一定的安全措施�����,這樣就嚴(yán)重的影響和限制了金融系統(tǒng)通過(guò)網(wǎng)絡(luò)向外界提供服務(wù)的質(zhì)量和種類�。因此,各個(gè)金融信息系統(tǒng)都必須要采取一定的安全防護(hù)措施�,構(gòu)建一個(gè)安全的合理的金融信息系統(tǒng)。
參考文獻(xiàn):
[1]盧新德.構(gòu)建信息安全保障新體系:全球信息戰(zhàn)的新形勢(shì)與我國(guó)的信息安全戰(zhàn)略[M].北京:中國(guó)經(jīng)濟(jì)出版社�,2007.
[2]李改成.金融信息安全工程[M].北京:機(jī)械工業(yè)出版社��,2010.
[3]方德英����,黃飛鳴.金融業(yè)信息化戰(zhàn)略——理論與實(shí)踐[M].北京:電子工業(yè)出版社�,2009.4.
第8篇
【關(guān)鍵詞】IPS PDRR 入侵檢測(cè)
一、引言
目前計(jì)算機(jī)網(wǎng)絡(luò)融人到人類社會(huì)的方方面面�����, 與此同時(shí)計(jì)算機(jī)網(wǎng)絡(luò)本身的安全問(wèn)題也日益嚴(yán)重��。傳統(tǒng)上網(wǎng)絡(luò)系統(tǒng)的安全主要由防火墻和人侵檢測(cè)兩大支柱技術(shù)來(lái)保障����, 這兩大技術(shù)對(duì)網(wǎng)絡(luò)系統(tǒng)的安全都曾經(jīng)起到重大的作用�����, 為維護(hù)網(wǎng)絡(luò)系統(tǒng)的安全做出過(guò)巨大的貢獻(xiàn)��。另一方面�����, 網(wǎng)絡(luò)攻擊技術(shù)也在不斷的發(fā)展, 出現(xiàn)了小分片攻擊��、慢掃描��、Ddos攻擊��、加密攻擊等新的攻擊技術(shù)��, 甚至還出現(xiàn)了專門攻擊防火墻與人侵檢測(cè)系統(tǒng)等網(wǎng)絡(luò)安全軟件的攻擊程序�����, 這一切都對(duì)傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)提出了挑戰(zhàn)�����, 對(duì)網(wǎng)絡(luò)安全技術(shù)的發(fā)展提出了新的要求���。
同時(shí)���, 防火墻和人侵檢測(cè)系統(tǒng)自身也存在一些固有的弱點(diǎn), 使得自身的發(fā)展受到限制����。如防火墻本身容易受到攻擊����, 且對(duì)于內(nèi)部網(wǎng)絡(luò)出現(xiàn)的問(wèn)題經(jīng)常束手無(wú)策����。人侵檢測(cè)系統(tǒng)是保障網(wǎng)絡(luò)正常運(yùn)行的重要工具, 具有識(shí)別人侵特征和安全審記等功能��, 人侵檢測(cè)系統(tǒng)可以檢測(cè)出已知的和未知的人侵�����, 是一種主動(dòng)式安全檢測(cè)技術(shù)����。人侵檢測(cè)系統(tǒng)可以分為兩大類異常人侵檢測(cè)系統(tǒng)和誤用人侵檢測(cè)系統(tǒng), 由于檢測(cè)誤差的存在��, 異常人侵檢測(cè)系統(tǒng)會(huì)產(chǎn)生較高的誤報(bào)率��, 從而產(chǎn)生大量的警報(bào)�, 使真正的人侵信息淹沒(méi)在虛假的警報(bào)信息中而誤用人侵檢測(cè)系統(tǒng)會(huì)出現(xiàn)較高的漏報(bào)率����, 不能檢測(cè)到未知的人侵同時(shí)�, 由于人侵檢測(cè)系統(tǒng)必須要對(duì)網(wǎng)絡(luò)中所有通過(guò)的數(shù)據(jù)包進(jìn)行檢測(cè)��, 而檢測(cè)本身又是一個(gè)非常耗時(shí)的過(guò)程����, 這就使得人侵檢測(cè)系統(tǒng)本身的負(fù)載量非常大, 導(dǎo)致檢測(cè)效率的下降和引起網(wǎng)絡(luò)性能的瓶頸另外����, 人侵檢測(cè)系統(tǒng)雖然具有響應(yīng)模塊, 但入侵檢測(cè)系統(tǒng)的響應(yīng)技術(shù)的發(fā)展嚴(yán)重滯后�����, 大量的人侵信息不能夠自動(dòng)處理�����, 必須要人工干預(yù)��, 人工處理的速度很慢�, 效果很差, 這也影響了人們對(duì)性能的信心����。
目前第三種重要的網(wǎng)絡(luò)安全技術(shù)―入侵預(yù)防系統(tǒng)(IPS)已經(jīng)產(chǎn)生����。人侵預(yù)防系統(tǒng)(IPS)將會(huì)成為下一代的網(wǎng)絡(luò)安全技術(shù)�����。具備一定程度的智能處理功能����, 能夠防御住未知的攻擊, 是一種比防火墻和更為主動(dòng)的防御系統(tǒng)����。
二、PDRR模型
傳統(tǒng)的網(wǎng)絡(luò)安全模型�����, 基本原理都是建立在基于權(quán)限管理的訪問(wèn)控制理論基礎(chǔ)上的��, 都是靜態(tài)的�, 如Bell-Lapadula模型、Biba模型����、信息流控制的格模型、Iris授權(quán)模型�����、數(shù)據(jù)隱藏模型�、消息過(guò)濾模型等。但是隨著網(wǎng)絡(luò)的深人發(fā)展���, 靜態(tài)的網(wǎng)絡(luò)安全模型已經(jīng)不能適應(yīng)當(dāng)前的分布式��、動(dòng)態(tài)變化��、發(fā)展迅速的網(wǎng)絡(luò)環(huán)境�����。針對(duì)日益嚴(yán)重的網(wǎng)絡(luò)安全問(wèn)題和越來(lái)越突出的安全需求��, 代表“ 動(dòng)態(tài)安全模型” 的“PDRR模型” 應(yīng)運(yùn)而生����。在研究信息安全及網(wǎng)絡(luò)戰(zhàn)防御理論的過(guò)程中���, 美國(guó)國(guó)防部提出了信息保障的概念�����, 并給出了包含保護(hù)�、檢測(cè)、響應(yīng)3個(gè)環(huán)節(jié)的動(dòng)態(tài)安全模型�����, 即P2DR模型�����, 后來(lái)又增加了恢復(fù)環(huán)節(jié)���, 形成了PDRR模型�����。PDRR模型結(jié)構(gòu)圖如圖:
PDRR模型是在整體的安全策略的控制和指導(dǎo)下����, 綜合運(yùn)用防護(hù)�、檢測(cè)、響應(yīng)、恢復(fù)四種工具����, 全方位確保被保護(hù)系統(tǒng)的安全�。首先利用防護(hù)工具對(duì)被保護(hù)系統(tǒng)提供基礎(chǔ)的防護(hù)同時(shí), 利用檢測(cè)工具了解和評(píng)估系統(tǒng)的安全狀態(tài)通過(guò)適當(dāng)?shù)捻憫?yīng)將系統(tǒng)調(diào)整到“ 最安全” 和“ 風(fēng)險(xiǎn)最低” 的狀態(tài)通過(guò)恢復(fù)操作將受到攻擊影響的系統(tǒng)恢復(fù)到原始的健康狀態(tài)�����。防護(hù)���、檢測(cè)���、響應(yīng)和恢復(fù)組成了一個(gè)完整的、動(dòng)態(tài)的安全循環(huán)周期��。
安全策略是指在一個(gè)特定的環(huán)境里�����, 為保證提供一定級(jí)別的安全保護(hù)所奉行的基本思想�����、所遵循的基本原則?����!?可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則”TCSEC 中定義安全策略為“ 一個(gè)組織為����、管理和保護(hù)敏感的信息資源而制定的一組法律、法規(guī)和措施的總和”�����。PDRR模型中����, 安全策略已經(jīng)從以前的被動(dòng)保護(hù)轉(zhuǎn)到了主動(dòng)防御。因此��, PDRR的安全策略是對(duì)整個(gè)局部網(wǎng)絡(luò)實(shí)施的分層次��、多級(jí)別的包括安全審計(jì)��、人侵檢測(cè)�、告警和修復(fù)等應(yīng)急反應(yīng)功能的實(shí)時(shí)處理系統(tǒng)策略。
三����、結(jié)束語(yǔ)
IPS的發(fā)展是一個(gè)尋求在準(zhǔn)確檢測(cè)攻擊的基礎(chǔ)上防御攻擊的過(guò)程�����, 是功能由單純審計(jì)跟蹤到審計(jì)跟蹤結(jié)合訪問(wèn)控制的擴(kuò)展�����, 實(shí)現(xiàn)了由被動(dòng)防御過(guò)渡到主動(dòng)防御, 并且將人侵檢測(cè)和訪問(wèn)控制緊密融合�。入侵防護(hù)系統(tǒng)IPS適時(shí)順應(yīng)了安全保障體系中主動(dòng)防御以及功能融合、集中管理的趨勢(shì)�, 日益受到越來(lái)越多的人們的關(guān)注。本文針對(duì)聚類技術(shù)進(jìn)行了相關(guān)的研究�����,首先給出了聚類的基本概念和相關(guān)的描述��,說(shuō)明了聚類分析技術(shù)的重要性�����。隨后針對(duì)相關(guān)的聚類分析方法進(jìn)行了研究����,分析了它們的特點(diǎn)和優(yōu)�、缺點(diǎn)�����。本章最后����,給出了聚類分析的數(shù)學(xué)模型,研究了應(yīng)用人工魚(yú)群計(jì)算技術(shù)解決聚類問(wèn)題的思路和方法����,同時(shí)針對(duì)該算法進(jìn)行了相關(guān)的改進(jìn),使算法具有較好的全局收斂能力和計(jì)算效率��。
雖然目前IPS的技術(shù)還不是很成熟��, 但是隨著技術(shù)的發(fā)展和數(shù)據(jù)處理能力的提高��, 技術(shù)將日益完善��, 并必將在信息安全體系中起到越來(lái)越重要的作用����。在未來(lái)����, IPS可以采用一些更為先進(jìn)的技術(shù)來(lái)提高系統(tǒng)的性能���, 如并行處理檢測(cè)技術(shù)來(lái)提高檢測(cè)速度����, 協(xié)議重組分析和事件關(guān)聯(lián)分析技術(shù)來(lái)進(jìn)一步加大檢測(cè)的深度�����, 機(jī)器學(xué)習(xí)技術(shù)來(lái)提高自適應(yīng)能力等�, 以及進(jìn)一步提高IPS的響應(yīng)性能����, 數(shù)據(jù)挖掘技術(shù)進(jìn)一步提高網(wǎng)絡(luò)數(shù)據(jù)的應(yīng)用價(jià)值, 使具備更高的智能性�����。IPS是網(wǎng)絡(luò)安全領(lǐng)域的一個(gè)新的衛(wèi)士�, 它的出現(xiàn)必將極大地增強(qiáng)網(wǎng)絡(luò)安全領(lǐng)域的實(shí)力, 開(kāi)辟網(wǎng)絡(luò)安全領(lǐng)域發(fā)展的一個(gè)新的局面����, 為互聯(lián)網(wǎng)提供更高層次的安全保障����。
參考文獻(xiàn):
[1] 于海濤��,李梓�����,王振福��,等.入侵檢測(cè)相關(guān)技術(shù)的研究[J].智能計(jì)算機(jī)與應(yīng)用���,2013.
