网站原创[摘 要 ] 随着机计算机的普及,网络安全越来越为人们所重视,其不仅仅是要保护内部网络不受侵害,还要防止提供给外面的用户的怎么写作免遭外部攻击.因此,网络安全对计算机网络用户显得尤为重要.本文探讨了当前先进的网络安全技术和防范措施, 设计了一系列网络安全入侵检测方案的实现.
[关 键 词 ] 网络安全入侵检测
网络安全指的是信息系统中硬件、软件和系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络怎么写作不中断.而入侵检测作为一种积极主动的安全防护技术, 提供了对内部攻击、外部攻击和误操作的实时保护在网络系统受到危去之前拦截和响应入侵.入侵检测系统能很好地弥补防火墙的不足, 从某种意义上说是防火墙的补充.
一、入侵检测概述
1.入侵检测技术
入侵检测(Intrusion Detection)书面上的定义为“识别针对对计算机或网络资源的恶意企图和行为, 并对此做出反应的过程”IDS 则是完成如上功能的独立系统.IDS 能够检测未授权对象(人或程序)针对系统的入侵企图或行为, 同时监控授权对象对系统资源的非法操作.具体的功能是:
(1)从系统的不同环节收集信急.
(2)分析该信息, 试图寻找入侵活动的特征.
(3)自动对检测到的行为做出响应.
(4)纪录并报告检测过程结果.
2.入侵检测的基本原理
入侵检测是通过多种途径对网络或计算机系统信息进行收集,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象, 一旦发现攻击自动发出报警并采取相应的措施.同时, 记录受到攻击的过程, 为网络或系统的恢复和追查攻击的来源提供基本数据.
| 有关论文范文主题研究: | 关于网络安全的论文范文检索 | 大学生适用: | 在职论文、学院学士论文 |
|---|---|---|---|
| 相关参考文献下载数量: | 27 | 写作解决问题: | 如何怎么撰写 |
| 毕业论文开题报告: | 论文任务书、论文题目 | 职称论文适用: | 核心期刊、高级职称 |
| 所属大学生专业类别: | 如何怎么撰写 | 论文题目推荐度: | 经典题目 |
3.入侵检测的分类
现有的分类大都基于信息源进行分类, 根据信息源的不同分为基于主机型、基于网络型、基于主机和基于网络的入侵检测系统的集成三大类.
(1)基于主机的入侵检测系统.基于主机的入侵检测系统可监测系统、事件和Windows NT 下的安全记录,以及Unix 环境下的系统记录.当有文件被修改时, IDS将新的记录条目与己知的攻击特征相比较, 看它们是否匹配, 如果匹配, 就会向系统管理员报警或者做出适当的响应.
(2)基于网络的入侵检测系统.基于网络的入侵检测系统以网络包作为分析数据源.它通常利用一个工作在混杂模式下的网卡来实时监视并分析通过网络的数据流分析模块通常使用模式匹配、统计分析等技术来识别攻击行为.一旦检测到了攻击行为, IDS 的响应模块就做出适当的响应. 比如报警、切断相关用户的网络连接等.不同入侵检测系统在实现时采用的响应方式也可能不同, 但通常都包括通知管理员、切断连接、记录相关的信急以提供必要的法律依据等.
(3)基于主机和基于网络的入侵检测系统的集成..许多机构的网络安全解决方案都同时采用了基于主机和基于网络的两种入侵检测系统, 因为这两种系统在很大程度上是互补的.实际上, 许多客户在使用IDS 时都配置了基于网络的入侵检测.在防火墙之外的检测器检测来自外部Inter 的攻击.DNS. 和Web 怎么写作器经常是攻击的目标, 但是它们又必须与外部网络交互,不可能对其进行全部屏蔽, 所以应当在各个怎么写作器上安装基于主机的入侵检测系统, 其检测结果也要向分析员控制台报告.因此, 即便是小规模的网络结构也常常需要基于主机和基于网络的两种入侵检测能力.
二、入侵检测系统常用的检测方法
入侵检测系统常用的检测方法有专家系统、特征检测与统计检测.据计算机信息系统安全产品质量监督检验中心的报告,国内送检的入侵检测产品中95%是属于使用入侵模板进行模式匹配的特征检测产品,其他5%是采用概率统计的统计检测产品与基于日志的专家知识库系产品.
1.专家系统
用专家系统对入侵进行检测, 经常是针对有特征入侵行为.专家系统主要是运用规则进行分析, 不同的系统与设置具有不同的规则, 且规则之间往往无通用性.专家系统的建立依赖于知识库的完备性, 知识库的完备性又取决于审计记录的完备性与实时性.入侵的特征抽取与表达, 是入侵检测专家系统的关键.在系统实现中, 将有关入侵的知识转化为if- then 结构(也可以是复合结构), 条件部分为入侵特征, then 部分是系统防范措施.运用专家系统防范有特征入侵行为的有效性完全取决于专家系统知识库的完备性.
2.特征检测
特征检测需要对己知的攻击或入侵的方式做出确定性的描述,形成相应的事件模式.当被审计的事件与己知的入侵事件模式相匹配时即报警其检测方法同计算机病毒的检测方式类似.日前基于对包特征描述的模式匹配应用较为广泛.该方法预报检测的准确率较高, 但对于无经验知识的入侵与攻击行为无能为力.
3.统计检测
统计模型常用异常检测, 在统计模型中常用的测量参数包括:审计事件的数量、间隔时间、资源消耗情况等.常用的入侵检测5种统计模型为:操作模型、方差、多元模型、马尔柯夫过程模型、时间序列分析.统计方法的最大优点是它可以”学习, 用户的使用习惯, 从而具有较高检出率与可用性.但是它的”学习”, 能力也给入侵者以机会通过逐步”训练”, 使入侵事件符合正常操作的统计规律. 从而透过入侵检测系统.
4.入侵检测方案实现
方案简述: “入侵检测” 属于安全评估类产品, 是一种网络实时自动攻击识别和响应系统它通过多种途径收集单位内部网的主机和网络信息, 对这些信息加以分析, 查看网络安全体系结构是否存在漏洞, 主机系统和网络上是否有入侵事件发生, 如果发现有入侵事件, 自动对这些事件响应, 同时给出相应提示.内部网根据部门划分不同子网网段.每个部门或子网有一个交换机, 设置网络中心, 有专门的网络管理员.各个子网汇总到网络中心连接到高性能怎么写作器群, 高性能怎么写作器群放置在防火墙的DMZ 区.方案构建: 根据网络流量和保护数据的重要程度, 选择IDS 探测器(百兆)配置在内部关键子网的交换机处放置, 核心交换机放置控制台, 监控和管理所有的探测器因此提供了对内部攻击和误操作的实时保护, 在网络系统受到危害之前拦截和响应入侵.入侵检测可以进行如下反应:
(1)控制台报警.
(2)记录网络攻击事件.
(3)实时阻断网络连接.
(4)入侵检测采用透明工作方式, 静静地监视本网络数据流, 对网络通讯不附加任何时延.
(5)入侵检测可以过滤和监视TCP或IP 协议.系统管理员通过配置入侵检测, 可以按协议(TCP, ICMP), 源端口, 目的端口, 源IP或目的IP 地址过滤.入侵检测可监测多种网络怎么写作:包括文件传输、远程登陆等, 并且所支持的怎么写作随着入侵检测的发展可以不断地扩展.
(6)入侵检测还支持用户自定义的网络安全事件监视.
(7)入侵检测能生成系统安全日志以利于系统安全审计并以开放数据库方式支持安全分析决策系统, 从而为网络安全提供有效的保障.