关于基于网络的入侵检测系统的优点

核心提示非法获取计算机信息系统数据罪-入侵检测技术在计算机网络安全与维护来源:长昊商业秘密律师1、网络入侵的方式网络入侵是指具有熟练的编写和调试计算机程序的技巧并使用这些技巧来获得非法或未授权的网络或文件访问,入侵进入内部网的行为。目前,网络入侵方

非法获取计算机信息系统数据罪——计算机网络安全与维护中的入侵检测技术

来源:昌浩商业秘密律师

1、网络入侵的方式

网络入侵是指拥有编写和调试计算机程序的熟练技能,并利用这些技能获得非法或未经授权的网络或文件访问权,入侵企业内部网的行为。

目前,网络入侵方式主要包括以下几个方面:

1.1病毒攻击

病毒是一种自我复制的计算机程序,用于破坏特定的系统资源目标、拒绝服务或破坏数据完整性。它具有传染性、隐蔽性、寄生性、繁殖性和潜伏性等特点。目前,BBS、电子邮件、WWW浏览和FTP文件下载是点对点通信系统病毒攻击的主要环节。

1.2身份攻击

服务通常需要确定用户的身份,从而提供相应的访问权限。通过欺骗系统或窃取来冒充合法用户进入网络是一种常见的网络攻击。包括信息收集攻击、密码攻击、漏洞攻击等。身份攻击是指攻击者通过大量试探性的方法扫描网络系统中的漏洞,或者扫描系统可用权限的账号和系统提供服务的端口,并捕捉系统漏洞,窃取用户的输入账号和密码,然后利用开放的协议和工具非法收集和篡改各主机系统中的有用信息。

1.3拒绝服务攻击

拒绝服务攻击简称为DoS。这种攻击是将一定数量的消息按照一定的顺序发送给网络系统,导致大量需要回复的信息充斥网络服务器,使得大量的网络系统资源或网络宽带被消耗,导致运行过程中的计算机网络或系统过载,造成瘫痪,停止正常的网络服务,出现死机和无响应的现象。

1.4对防火墙的攻击

一般来说,防火墙抗攻击能力很强,不容易被攻破。然而,在防火墙的设计和实现中不可避免地存在一些缺陷,导致防火墙受到攻击。

随着互联网的兴起和网络技术的快速发展,直接攻击和非法绕过防火墙的攻击对计算机网络安全构成了严重威胁。如地址欺骗和TCP序列号的协同攻击,利用FTP-pasv绕过防火墙认证的攻击等。如CiscoPIX防火墙的拒绝服务漏洞。

2.入侵检测技术简介

入侵检测是对计算机网络或系统中的重要文件和关键数据进行收集和分析,从而发现网络或系统中是否存在违反安全策略和攻击的行为,并对可能危及系统机密性、完整性和可用性的行为进行报警和阻断的过程。

入侵检测常用的分析技术有模式匹配、异常发现和完整性分析:模式匹配是检测网络上的每一个数据包,寻找网络攻击特征,从可疑的数据包报头中取出一组与攻击特征长度相同的字节,对两组字节进行比较;如果两组字节相同,则检测到攻击特征;重复此过程,直到所有数据字节都与攻击特征进行了比较。异常检测是收集一段时间网络运行的历史数据,或者建立正常网络活动的“活动概况”。将网络当前的活动状态与“活动概况”进行比较,检测网络是否偏离了正常的行为模式,从而判断是否发生了入侵。完整性分析是检查网络中文件的内容、目录和属性是否处于正确的状态,没有被更改过。这种检测技术可用于检测导致文件在任何地方发生改变的入侵,并且在发现被改变的应用程序时特别有效。

入侵检测方法可分为基于主机的检测和基于网络的检测:基于主机系统分析的数据是计算机操作系统的事件日志、应用程序的事件日志、系统调用和端口调用的安全审计记录,将日志文件与常见已知攻击的内部数据库进行比对,收集到自己的专用日志中,供管理员分析使用。基于网络的入侵检测是在路由器或主机级别扫描网络数据包,检查数据包信息,并将可疑数据包记录在一个特殊的文件中。根据这些可疑数据包,基于网络的入侵检测可以扫描自己的已知网络攻击特征数据库,并为每个数据包分配一个严重级别,以便安全组成员可以进一步调查这些异常特征。

3.入侵检测技术在计算机网络安全维护中的应用。

入侵检测主要通过执行以下任务来实现对计算机网络安全的维护:监视和分析用户和系统活动;系统结构和弱点的审计;识别已知攻击的活动模式并向相关人员发出警报;异常行为模式的统计分析;评估重要系统和数据文件的完整性;审计、跟踪和管理操作系统,并识别用户违反安全策略的行为。基于网络的入侵检测系统通常具有多层体系结构,由代理、控制台和管理器组成。它的基本工作原理是,控制台负责收集代理的信息,显示攻击的信息,并使你能够配置和管理属于某个管理器的代理。代理负责监控网段中的网络数据包。将检测到的攻击和所有相关数据发送给manager。管理器集中统一的日志和报警管理。此外,它还负责显示检测到的安全信息和详细的入侵告警信息,响应配置和攻击告警信息,执行控制台发出的命令,将代理发出的攻击告警传送到控制台,从而完成入侵检测的全过程。

具体应用分析如下:

3.1信息收集

入侵检测的第一要素是数据。数据源可以分为四类:系统和网络日志文件;目录和文件中的意外更改;程序执行中的意外行为;物理入侵信息。在应用过程中,信息采集需要在每个网段部署一个或多个IDS代理。根据不同的网络结构,数据采集部分分为不同的连接形式。如果网段之间通过交换集线器连接,交换机的核心芯片一般都有一个调试用的端口,用户可以将IDS系统连接到这个端口。然后将入侵检测系统放置在交换机或防火墙等数据流的关键出入口,获取几乎所有的关键数据。

同时,在计算机网络系统中,几个不同关键点信息的收集,除了设置网络包拦截,根据被检测对象尽可能扩大检测范围。

除此之外,还有一个薄弱环节,那就是对来自一个物体的信息大概没有怀疑。这就要求从多个来源收集入侵检测信息

重点分析对象信息的不一致性,这是判断入侵或可疑行为的最佳标识。相对于整个网络,入侵毕竟是少数行为。

因此,可以将少数异常数据隔离成一个数据组进行集中处理,以加强入侵分析的针对性。因此,基于离群点的挖掘是入侵检测技术中一种重要的信息收集手段,其基本操作是将少量有代表性的异常数据,与常规的数据模式明显不同,与大量复杂数据分开处理。这将克服当前异常检测中由于训练样本中的正常模式不完整而导致的高误报率问题。

3.2信息分析

通过模式匹配和异常发现分析模式对收集到的信息进行分析,从而发现违反安全策略的行为并发送给管理者。

设计师需要对各种网络协议、系统漏洞、行为等有深入清晰的了解。,然后制定相应的安全规则库和安全策略,再分别建立滥用检测模型和异常检测模型,使机器能够模拟自己的分析过程,识别出已知特征的攻击和异常,最后从分析结果中形成报警信息并发送给控制管理中心。同时,对于TCP/IP网络,网络检测引擎也是入侵检测的重要手段。网络检测引擎相当于一个传感器。它主要采用旁路拦截的方式,动态监控所有流经网络的数据包,根据用户自定义的策略进行检测,识别网络中的各种事件,并上报给控制中心,控制中心会给出报警和位置显示。

3.3信息响应

IDS的基本任务是对入侵做出适当的响应。过程是在分析数据的基础上检测本地网段,发现隐藏在每个数据包中的恶意入侵,并对发现的入侵做出及时的响应。包括主网络引擎的报警/通知,如报警控制台、向安全管理员发送电子邮件和SNMPtrap、查看实时会话和通知其他控制台等。记录现场,如记录事件日志和整个会话;采取安全响应措施,如终止入侵连接、调整网络设备配置、执行特定的用户响应程序等。

3.4入侵检测技术与防火墙的结合

防火墙作为一种外围安全机制,只能控制应用层或网络层的访问,但在一定程度上并不能对内部网络起到很好的监控效果。

因此,网络入侵很容易通过协议隧道绕过防火墙,对网络安全构成威胁。因此,防火墙不能完全保证信息的安全。因此,在实际应用中,我们可以设计一个入侵检测和防火墙的协同应用模型来实现一个有效的安全防护系统。

首先,防火墙或入侵检测系统开放一个接口给对方使用,双方按照固定的协议进行通信。双方可以事先约定并设置通信端口。

其次,通过过滤机制,防火墙对传递的数据包进行解析,与预先定义的规则进行比较,过滤掉部分不可信用户的数据包。

最后,对于不可信用户绕过防火墙的数据包,入侵检测系统根据已知的入侵特征定制规则集,检测出符合规则定义的网络攻击,并做出响应,用户采取措施应对相应的入侵攻击。

 
友情链接
鄂ICP备19019357号-22