網(wǎng)絡(luò)入侵檢測系統(tǒng)

1、106網(wǎng)絡(luò)技術(shù) 2021年 4 月刊 信息與電腦China Computer&Communication隨著 Internet的迅速開展，計算機及計算機網(wǎng)絡(luò)逐漸成為被攻擊的 目標，從而導致公司形象受損商業(yè)信息失竊、研究數(shù)據(jù)被盜、個人信 息失密等，因此計算機及網(wǎng)絡(luò)的平安問題成為研究的焦點.要保證計 算機網(wǎng)絡(luò)的平安，首先要防止對網(wǎng)絡(luò)的攻擊行為，現(xiàn)在一般使用防火 墻技術(shù)進行防范。另外，當防火墻被攻破或被繞開時，還要能夠及時 發(fā)現(xiàn)這種惡意行為，并在這種行為對系統(tǒng)或數(shù)據(jù)進行破壞之前，能夠 采取一定的行為，如進行報警、切斷連接、封掉IP或進行還擊等，這就是入侵檢測技術(shù)Intrusion Detec

2、tion Technology ，簡稱 IDT。一、 入侵檢測技術(shù)1980年，James P. Anderson 在題為?ComputSecurity Threat Monitoring andSurveillance 計算機平安威脅監(jiān)控和監(jiān)視?的 技術(shù)報告中，第一次詳細闡述了入侵檢測的概念。他提出了一種對計 算機系統(tǒng)風險和威脅的分類方法，并將威脅分為內(nèi)部滲透、外部滲透 和不法行為 3種，提出了利用審計跟蹤數(shù)據(jù)監(jiān)視活動的思想。入侵檢 測技術(shù)就是依據(jù)這一思想建立起來的一種積極主動的平安防護技術(shù)， 它提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護，能在網(wǎng)絡(luò)系統(tǒng) 受到危害之前進行攔截和響應(yīng)。它主要完成

3、以下功能：監(jiān)視、分析用 戶和系統(tǒng)的活動檢查系統(tǒng)的配置和漏洞；評估關(guān)鍵系統(tǒng)和數(shù)據(jù)的完整 性；識別代表的攻擊活動模式；對反常行為模式進行統(tǒng)計分析； 對操作系統(tǒng)進行校驗管理，判斷是否有破壞平安的用戶行為。二、 入侵檢測技術(shù)分類根據(jù)不同的結(jié)構(gòu)和監(jiān)聽策略，入侵檢測系統(tǒng)主要分為兩類：基于主機的入侵檢測系統(tǒng)HIDS和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)NIDS。一主機型入侵檢測系統(tǒng)主機型入侵檢測系統(tǒng)通常是安裝在被重點檢測的主機之上，主要 是對該主機的網(wǎng)絡(luò)實時連接以及系統(tǒng)審計日志進行智能分析和判斷。 HIDS 一般監(jiān)視 WindowsNT的系統(tǒng)、事件、平安日志以及 Unix環(huán)境 中的 SYSLO改件。一旦發(fā)現(xiàn)這些文件發(fā)生任

4、何變化，IDS將比擬新的日志記錄與攻擊簽名以發(fā)現(xiàn)他們是否匹配。主機型入侵檢測系統(tǒng)具 有以下優(yōu)點：對分析“可能的攻擊行為非常有用；非常適用于加密 和交換環(huán)境；比擬實時的檢測和應(yīng)答；不需要額外的硬件。它的弱點 是：如果把 HID 以裝在需要保護的設(shè)備上，那么會降低系統(tǒng)的效率。 另外，它還依賴于效勞器固有的日志和監(jiān)視能力。二網(wǎng)絡(luò)型入侵檢測系統(tǒng)網(wǎng)絡(luò)型入侵檢測系統(tǒng)一般放在比擬重要的網(wǎng)段內(nèi)不停的監(jiān)視網(wǎng)段 中的各種數(shù)據(jù)包，并對每一個數(shù)據(jù)包或可疑的數(shù)據(jù)包進行特征分析。 如果數(shù)據(jù)包與系統(tǒng)內(nèi)置的某些規(guī)那么吻合，入侵檢測系統(tǒng)就會發(fā)出警報 甚至直接切斷網(wǎng)絡(luò)連接。目前大局部入侵檢測產(chǎn)品都是基于網(wǎng)絡(luò)的。 網(wǎng)絡(luò)入侵檢測系統(tǒng)

5、的優(yōu)點是：它不會在業(yè)務(wù)系統(tǒng)的主機中安裝額外的軟件，從而不會影響主機的 CPU I/O 與磁盤等資源的使用，不會影 響業(yè)務(wù)系統(tǒng)的性能；當網(wǎng)絡(luò)入侵檢測系統(tǒng)發(fā)生故障時不會影響正常業(yè) 務(wù)的運行； 部署一個網(wǎng)絡(luò)入侵檢測系統(tǒng)的風險遠低于布置一個主機型 入侵檢測系統(tǒng)。但是，網(wǎng)絡(luò)入侵檢測系統(tǒng)只檢查它直接連接網(wǎng)段的通 信，不能檢測在不同網(wǎng)段的網(wǎng)絡(luò)數(shù)據(jù)包，在使用交換以太網(wǎng)的環(huán)境中 就會出現(xiàn)監(jiān)測范圍的局限。而安裝多臺網(wǎng)絡(luò)入侵檢測系統(tǒng)的傳感器會 使部署整個系統(tǒng)的本錢大大增加。三、入侵檢測技術(shù)的開展趨勢入侵檢測技術(shù)可以用于文件系統(tǒng)的完整性檢測、用戶行為檢測和網(wǎng)絡(luò)異常檢測等.但是僅僅發(fā)現(xiàn)入侵行為還不夠，還必須采取進一步

6、的措施以制止攻擊，防止造成進一步危害，如改變網(wǎng)絡(luò)配置、切斷連 接、向攻擊者發(fā)出警告信息、進行還擊等。理想的情況是，在入侵行 為造成危害之前就已經(jīng)采取了必要的措施。一分布式入侵檢測為了克服基于主機的入侵檢測和基于網(wǎng)絡(luò)的入侵檢測的不 足， 現(xiàn)在人們又提出了一種新的入侵檢測技術(shù)，即分布式入侵檢測Distributed IntrusionDetection System，簡稱 DIDS.分布式入侵檢測有兩方面的含義，一是對分布式攻擊的入侵檢測技術(shù)，二是入侵檢 測系統(tǒng)采用分布式計算技術(shù).分布式入侵檢測技術(shù)主要有層次式入侵 檢測和協(xié)作式入侵檢測兩類.協(xié)作式入侵檢測系統(tǒng)各分布部件之間不 存在主從之分，相互協(xié)

7、作，優(yōu)點是比擬靈活，系統(tǒng)的容錯能力較強， 各分布部件可以獨立工作；缺點是各分布部件之間的協(xié)調(diào)算法比擬 復雜，缺少一個統(tǒng)一的處理模塊，不利于對全局的平安事件的理解。而層次式入侵檢測系統(tǒng)那么把系統(tǒng)分成假設(shè)干層次，上層部件控制下層 部件，它的優(yōu)點是系統(tǒng)由控制中心統(tǒng)一控制，有利于大規(guī)模入侵事件 的檢測，效率比協(xié)作式高；缺點是如果主控模塊遭到破壞，那么整個系 統(tǒng)的工作會受到影響，系統(tǒng)的可擴充性也較差.目前流行的 Manager/ Agent結(jié)構(gòu)不僅可以監(jiān)控整個網(wǎng)絡(luò)的入侵和攻擊行為、審查日志文 件，還可以進行實時入侵活動的探測，代表了網(wǎng)絡(luò)分布式入侵檢測技 術(shù)的開展趨勢。二入侵檢測技術(shù)和防火墻技術(shù)相結(jié)合將入

8、侵檢測技術(shù)和防火墻技術(shù)相結(jié)合，可以起到互補的作用。一 方面，防火墻不能拒絕內(nèi)部攻擊，而且在策略配置上容易發(fā)生遺漏或 錯誤，而利用 NIDS那么可以彌補這樣的缺乏.兩者功能結(jié)合的具體實 施方法為 NIDSJ用傳感器收集事件，分析器通過異常檢測或誤用檢 測方法檢測入侵或入侵企圖。假設(shè)發(fā)現(xiàn)異常，通知管理器做出反響，還 要通知防火墻，并動態(tài)修改防火墻的規(guī)那么，斷開或屏蔽可疑主機通信 流量。這樣可以更加有針對性地拒絕攻擊，更加有針對性地實現(xiàn)防火 墻的配置。另一方面，NIDS能有效地防止對自身的攻擊，但通過訪問防火墻可以調(diào)整 NIDS 勺分析器，使之不分析被防火墻屏蔽了的 在內(nèi)部網(wǎng)之外的流量類型，減小NI

9、DS 的負載，提高網(wǎng)絡(luò)性能。三主動防御技術(shù)另外一種常用的技術(shù)是采用主動防御技術(shù)，也就是所謂的陷阱 網(wǎng)絡(luò)。陷阱網(wǎng)絡(luò)是一種專門讓黑客攻陷的網(wǎng)絡(luò)或主機，在主動引入機網(wǎng)絡(luò)入侵檢測系統(tǒng)的分析與研究魏兵役 中國石油天然氣股份大港油田分公司勘探開發(fā)研究院，天津 300280 摘要：入侵檢測技術(shù)因能同時檢測來自網(wǎng)絡(luò)外部的惡意攻擊和內(nèi)部的破壞行為而得到了廣泛 研究，然而，由于入侵檢測技術(shù)自身的復雜性和不成熟性，在當前的大規(guī)模、 分布式和高速的網(wǎng)絡(luò)環(huán)境中還存在很多問題。本文從入侵檢測技術(shù)概念、入侵檢測技術(shù)分類出發(fā)，研究了分布式、自動化和智能化是入侵檢測技術(shù)開展的方向，這需要入侵檢測技術(shù)與防火墻等網(wǎng)絡(luò)平安技術(shù)相結(jié)合

10、。關(guān)鍵詞：網(wǎng)絡(luò)平安；入侵檢測；防火墻中圖分類號:TP393.08文獻標識碼：A文章編號：1003-9767 (2021) 04-0106-02(下轉(zhuǎn)第 108 頁)108網(wǎng)絡(luò)技術(shù) 2021年 4 月刊信息與電腦China Computer&CommunicationInternet ,主要開展娛樂、視頻點播、信息瀏覽查詢下載、遠程教學、 聊天、郵件等各種業(yè)務(wù)。3溯照發(fā)放之后，各大運營商都將在省際、省內(nèi)、本地層面建設(shè)專用 IP承載網(wǎng)，以便疏通 3G語音和移動數(shù)據(jù)業(yè) 務(wù)。ASO 窿疏通 IP 承載網(wǎng)業(yè)務(wù)上具有優(yōu)勢能夠在傳送網(wǎng)上疏通疏通 IP 承載網(wǎng)業(yè)務(wù)，能夠提供完善的保護機制。3.2.3移

11、動數(shù)據(jù)業(yè)務(wù)承載分析移動數(shù)據(jù)業(yè)務(wù)是通過 IP承載網(wǎng)進行疏通的，IP承載網(wǎng)必須經(jīng)由傳送網(wǎng)絡(luò)進行傳輸和保護。因此 ASONt IP承載網(wǎng)的疏通包含了對移動數(shù)據(jù)業(yè)務(wù)的承載。3.3流媒體業(yè)務(wù)承載分析流媒體(Streaming Media )指在數(shù)據(jù)網(wǎng)絡(luò)上按時間先后次序傳輸 和播放的連續(xù)音/視頻數(shù)據(jù)流。 本質(zhì)上，流媒體技術(shù)是一種在數(shù)據(jù)網(wǎng) 絡(luò)上傳遞多媒體信息的技術(shù)。目前數(shù)據(jù)網(wǎng)絡(luò)具有無連接、無確定路 徑、無質(zhì)量保證的特點，給多媒體實時數(shù)據(jù)在數(shù)據(jù)網(wǎng)絡(luò)上的傳輸帶來 了極大的困難。流媒體技術(shù)實際上是IP數(shù)據(jù)網(wǎng)層面的技術(shù)，傳輸層面只是提供透明的傳輸通道。ASO傳送網(wǎng)絡(luò)以其動態(tài)帶寬自動配置的優(yōu)勢特另 U 適合流媒體業(yè)務(wù)

12、的開展。因為傳輸層為路由器配置的通道是可以通過動態(tài)調(diào)節(jié)不斷 變化的，路由器之間數(shù)據(jù)流量小時可以縮減傳輸配置，路由器之間數(shù) 據(jù)流量大時可以動態(tài)增加傳輸配置，只要帶寬需求在ASO 臨輸系統(tǒng)所能提供的最大帶寬范圍之內(nèi)，都可以實現(xiàn)動態(tài)配置，使得流媒體業(yè) 務(wù)不會因為底層傳輸?shù)钠款i而受到影響，不會出現(xiàn)網(wǎng)絡(luò)擁塞，實時業(yè) 務(wù)不能提供等弊端。3.4其它業(yè)務(wù)承載分析其他業(yè)務(wù)主要包括帶寬出租、大客戶接入業(yè)務(wù)等。這些業(yè)務(wù)是運營商增長較快，盈利性較好的業(yè)務(wù)，必須通過傳送網(wǎng)絡(luò)的保護，最 大限度的提高業(yè)務(wù)的平安性，讓客戶滿意。ASONI 入后比之目前的SD倍傳輸技術(shù)可以更加快速的配置端到端電路，平安性能也更強。4.結(jié)束語通

13、過對基于 ASO傳送網(wǎng)的各種承載業(yè)務(wù)進行分析，認為在目前傳送網(wǎng)的各項業(yè)務(wù)中，傳送網(wǎng)承載業(yè)務(wù)IP化已經(jīng)是無可爭辯的事實，IP業(yè)務(wù)逐漸成為主導業(yè)務(wù)，因此，承載業(yè)務(wù)的IP化成為整個電信網(wǎng)發(fā)展的必然趨勢。ASON是下一步運營商規(guī)劃時重點考慮引入的重大 技術(shù)，是網(wǎng)絡(luò)轉(zhuǎn)型的重要工作之一。參考文獻：1 韋樂平，光同步數(shù)字傳送網(wǎng)，人民郵電出版社，20022 都賀鈴，中國光纖傳送網(wǎng)的開展，電信科學 1999年第 10期3 中國電彳.2021年年報4 李允博 徐榮，數(shù)據(jù)業(yè)務(wù)承載技術(shù)應(yīng)用分析，電信網(wǎng)技術(shù)?， 2007年 8 月第 8 期5 The IP over SDH/ SONET Model . ITU2T.

14、SG7 , D. 191 ,1998(9) 制或誘騙機制的作用下，將黑客的入侵行為引入到一個可以控制的范 圍，消耗其時間，了解其使用的方法和技術(shù)，追蹤其來源，記錄其犯罪證據(jù)。陷阱網(wǎng)絡(luò)系統(tǒng)適用于各種規(guī)格的網(wǎng)絡(luò)，在網(wǎng)絡(luò)防火墻、入侵 檢測系統(tǒng)等平安措施的配合下，能彌補原有平安防御的缺乏，大大地 提升網(wǎng)絡(luò)平安性能.采取主動防御的入侵檢測技術(shù)將會對入侵檢測體 系結(jié)構(gòu)產(chǎn)生影響，是目前研究的熱點。(四)基于免疫學的入侵檢測基于免疫學的入侵檢測系統(tǒng)也是近來興起的新技術(shù)。免疫計算 機與人體免疫系統(tǒng)類似，它是根據(jù)系統(tǒng)調(diào)用序列區(qū)分正常行為和異常 行為， 類似于免疫系統(tǒng)根據(jù)肽鏈區(qū)分自身物質(zhì)和非自身物質(zhì)， 只有和 正常

15、行為模式數(shù)據(jù)庫相匹配的行為才被視為正常，否那么視為入侵.同 時，由于正常行為數(shù)據(jù)庫是根據(jù)操作經(jīng)驗產(chǎn)生的，而且該數(shù)據(jù)庫與本 地操作環(huán)境有關(guān)，因此每個結(jié)點的數(shù)據(jù)庫均不同，有效地提高了結(jié)點 和網(wǎng)絡(luò)的平安性。入侵檢測作為一種積極主動的平安防護技術(shù)，提供了對內(nèi)部攻 擊、外部攻擊和誤操作的實時保護，從網(wǎng)絡(luò)平安立體縱深、多層次防 御的角度出發(fā)，入侵檢測理應(yīng)受到高度重視。但是，我國內(nèi)的入侵檢 測現(xiàn)狀還是僅僅停留在研究和實驗樣品(缺乏升級和效勞)階段， 或 者是防火墻中集成較為初級的入侵檢測模塊?？梢姡肭謾z測技術(shù)及其產(chǎn)品還具有較大的開展空間。參考文獻：1 吉根林，帥克，孫志揮.數(shù)據(jù)挖掘技術(shù)及應(yīng)用J .南京師大學報，2000, (23) : 25 27