长昊律师浅谈计算机网络安全的入侵检测
时间:2021-11-05 16:16:17 作者:邱戈龙 文章分类:商业秘密
长昊律师浅谈计算机网络安全的入侵检测
来源:长昊商业秘密律师(非法获取计算机信息系统数据罪、非法获取计算机信息系统数据)
【摘要】网络信息的飞速发展给人类社会带来巨大的推动与冲击,同时也产生了网络系统安全问题。计算机网络的安全问题越来越受到人们的重视,由于计算机网络组成形式多样性、终端分布广和网络的开放性、互联性等特征,致使网络信息容易受到来自黑客窃取、计算机系统容易受恶意软件攻击。因此,计算机网络信息资源的安全成为一个重要的话题。
【关键词】计算机;网络;入侵检测;安全性
1、入侵检测的定义
NSTAC下属的入侵检测小组IDSG在1997年给出的关于“入侵检测”的定义是:入侵检测是对企图入侵、正在进行的入侵或已经发生的入侵行为进行识别的过程。关于“入侵检测”的定义,还有很多不同的提法,其中包括以下几种说法。
(1) 检测对计算机系统的非授权访问;
(2) 对系统的运行状态进行监视,发现各种攻击企图、攻击行为或攻击结果,以保证系统资源的保密性、完整性和可用性;
(3) 识别针对计算机系统和网络系统或广义上的信息系统的非法攻击,包括检测外部非法入侵者的恶意。
2、入侵检测的原理
2.1异常检测基本原理。异常检测技术又称为基于行为的入侵检测技术,用来识别主机或网络的异常行为。它假设攻击与正常的轰动有明显的差异。异常检测首先手机一段时间操作活动的历史数据,再建立代表主机、用户或网络连接的正常行为描述库,然后手机事件数据并使用一些不同的方法来决定所检测到的事件数据并使用一些不同的方法来决定所检测到的事件活动是否偏离了正常行为模式,从而判断是否发生了入侵。
2.2误用检测基本原理。误用检测技术又称为基于知识的检测技术。它假设所有入侵行为和手段都能够表达为一种模式或特征,并对已知的入侵行为和手段进行分析,提取检测特征,构建攻击模式或攻击签名,通过系统当前状态与攻击模式或攻击签名的匹配判断入侵行为。误用检测技术的优点在于可以准确地检测已知的入侵行为,缺点是不能检测未知的入侵行为。误用检测的关键在于如何表达入侵行为,即攻击模型的构建,把真正的入侵与正常行为分开来。
3、入侵检测技术
3.1基于概率统计的检测。基于概率统计的检测技术是异常入侵检测中最常用的技术,它对用户历史行为建立模型。根据该模型,当IDS发现有可疑的用户行为发生时就保持跟踪,并监视和记录该用户的行为。IDES的实时监测系统能根据用户以前的历史行为生成每个用户的历史行为记录库,并能自适应地学习被检测系统中每个用户的行为习惯。在这种实现方法中,检测器首先根据用户对象的动作为每一个用户建立一个用户特征表,通过比较当前特征和已存储的以前特征判断是否为异常行为。用户特征表需要根据审计记录清况不断加以更新。
3.2基于神经网络的检测。基于神经网络的检测技术的基本思想是用一系列信息单元,在给定一个输入后,就可能预测出输出。它是对基于概率统计的检测技术的改进,主要克服了传统的统计分析技术的一些问题。
基于神经网络的模块,将当前命令和刚过去的w个命令组成网络的输入,其中,w是神经网络预测下一个命令时所包含的过去命令集的大小。根据用户代表性命令序列训练网络后,该网络就形成了相应的用户特征表。网络对下一事件的预测错误率在一定程度上反映了用户行为的异常程度。
3.3基于专家系统的检测。安全检测工作自动化的另一个值得重视的研究方向是基于专家系统的攻击检测技术,即根据安全专家对可疑行为的分析经验来形成一套推理规则,然后再在此基础上建立相应的专家系统。实现基于规则的专家系统是一个知识工程问题,而且其功能应当能够随着经验的积累而利用其自学能力进行规则的扩充和修正。当然,这种能力需要在专家的指导和参与下才能实现,否则可能会导致较多的错误。一方面,推理机制使得系统面对一些新的行为现象时可能具备一定的应对能力;另一方面,攻击行为也可能不会触发任何一个规则,从而被检测到。专家系统对历史数据的依赖性总的来说比基于统计技术的审计系统少。因此,系统的适合性比较强,可以灵活地适应广泛的安全策略个检测需求。
3.4基于免疫的检测。基于免疫的检测技术是将自然免疫系统的某些特征运用到网络系统中,使整个系统具有适应性、自我调节性、可扩展性。人的免疫系统成功地保护人体不受各种抗原和组织的侵害,这个重要特征吸引了许多计算机安全专家和人工智能专家。通过学习免疫专家的研究成果,计算机专家提出了计算机免疫系统。在许多系统的网络安全系统中,每个目标都将它的系统日志和收集到的信息传送给相应的服务器,由服务器分析整个日志和信息,判断是否发生恶意入侵。
3.5入侵检测新技术。数据挖掘技术被Wenke.1ee用在了入侵检测中。用数据挖掘程序处理搜集到的审计数据,为各种入侵行为和正常操作建立精确的行为模式,这个过程是一个自动过程,不需要人工分析和编码入侵模式。移动代理用于入侵检测中,具有应对主机间动态迁移、一定的智能性、与平台无关性、分布灵活性、低网络数据流量和多代理合作特征。
