緒論:在尋找寫作靈感嗎�����?愛發(fā)表網(wǎng)為您精選了8篇入侵檢測論文��,愿這些內(nèi)容能夠啟迪您的思維����,激發(fā)您的創(chuàng)作熱情���,歡迎您的閱讀與分享!
篇1
關(guān)鍵詞入侵檢測異常檢測誤用檢測
在網(wǎng)絡技術(shù)日新月異的今天�����,論文基于網(wǎng)絡的計算機應用已經(jīng)成為發(fā)展的主流�����。政府�����、教育�、商業(yè)、金融等機構(gòu)紛紛聯(lián)入Internet����,全社會信息共享已逐步成為現(xiàn)實。然而����,近年來,網(wǎng)上黑客的攻擊活動正以每年10倍的速度增長��。因此����,保證計算機系統(tǒng)、網(wǎng)絡系統(tǒng)以及整個信息基礎(chǔ)設施的安全已經(jīng)成為刻不容緩的重要課題�。
1防火墻
目前防范網(wǎng)絡攻擊最常用的方法是構(gòu)建防火墻。
防火墻作為一種邊界安全的手段��,在網(wǎng)絡安全保護中起著重要作用�。其主要功能是控制對網(wǎng)絡的非法訪問,通過監(jiān)視�、限制、更改通過網(wǎng)絡的數(shù)據(jù)流�����,一方面盡可能屏蔽內(nèi)部網(wǎng)的拓撲結(jié)構(gòu)�����,另一方面對內(nèi)屏蔽外部危險站點�,以防范外對內(nèi)的非法訪問。然而�,防火墻存在明顯的局限性����。
(1)入侵者可以找到防火墻背后可能敞開的后門�����。如同深宅大院的高大院墻不能擋住老鼠的偷襲一樣�,防火墻有時無法阻止入侵者的攻擊。
(2)防火墻不能阻止來自內(nèi)部的襲擊�����。調(diào)查發(fā)現(xiàn)����,50%的攻擊都將來自于網(wǎng)絡內(nèi)部。
(3)由于性能的限制��,防火墻通常不能提供實時的入侵檢測能力�。畢業(yè)論文而這一點,對于層出不窮的網(wǎng)絡攻擊技術(shù)來說是至關(guān)重要的�。
因此,在Internet入口處部署防火墻系統(tǒng)是不能確保安全的���。單純的防火墻策略已經(jīng)無法滿足對安全高度敏感部門的需要����,網(wǎng)絡的防衛(wèi)必須采用一種縱深的、多樣化的手段�。
由于傳統(tǒng)防火墻存在缺陷����,引發(fā)了入侵檢測IDS(IntrusionDetectionSystem)的研究和開發(fā)。入侵檢測是防火墻之后的第二道安全閘門���,是對防火墻的合理補充���,在不影響網(wǎng)絡性能的情況下,通過對網(wǎng)絡的監(jiān)測����,幫助系統(tǒng)對付網(wǎng)絡攻擊,擴展系統(tǒng)管理員的安全管理能力(包括安全審計����、監(jiān)視、進攻識別和響應)�����,提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性,提供對內(nèi)部攻擊�、外部攻擊和誤操作的實時保護。現(xiàn)在�����,入侵檢測已經(jīng)成為網(wǎng)絡安全中一個重要的研究方向�,在各種不同的網(wǎng)絡環(huán)境中發(fā)揮重要作用。
2入侵檢測
2.1入侵檢測
入侵檢測是通過從計算機網(wǎng)絡系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析��,從中發(fā)現(xiàn)違反安全策略的行為和遭到攻擊的跡象�����,并做出自動的響應����。其主要功能是對用戶和系統(tǒng)行為的監(jiān)測與分析、系統(tǒng)配置和漏洞的審計檢查��、重要系統(tǒng)和數(shù)據(jù)文件的完整性評估�����、已知的攻擊行為模式的識別�����、異常行為模式的統(tǒng)計分析���、操作系統(tǒng)的審計跟蹤管理及違反安全策略的用戶行為的識別。入侵檢測通過迅速地檢測入侵�����,在可能造成系統(tǒng)損壞或數(shù)據(jù)丟失之前,識別并驅(qū)除入侵者����,使系統(tǒng)迅速恢復正常工作,并且阻止入侵者進一步的行動���。同時�,收集有關(guān)入侵的技術(shù)資料���,用于改進和增強系統(tǒng)抵抗入侵的能力�����。
入侵檢測可分為基于主機型�����、基于網(wǎng)絡型、基于型三類�。從20世紀90年代至今����,英語論文已經(jīng)開發(fā)出一些入侵檢測的產(chǎn)品,其中比較有代表性的產(chǎn)品有ISS(IntemetSecuritySystem)公司的Realsecure��,NAI(NetworkAssociates��,Inc)公司的Cybercop和Cisco公司的NetRanger�。
2.2檢測技術(shù)
入侵檢測為網(wǎng)絡安全提供實時檢測及攻擊行為檢測����,并采取相應的防護手段��。例如,實時檢測通過記錄證據(jù)來進行跟蹤����、恢復�����、斷開網(wǎng)絡連接等控制�;攻擊行為檢測注重于發(fā)現(xiàn)信息系統(tǒng)中可能已經(jīng)通過身份檢查的形跡可疑者�����,進一步加強信息系統(tǒng)的安全力度�。入侵檢測的步驟如下:
收集系統(tǒng)�、網(wǎng)絡�����、數(shù)據(jù)及用戶活動的狀態(tài)和行為的信息
入侵檢測一般采用分布式結(jié)構(gòu)����,在計算機網(wǎng)絡系統(tǒng)中的若干不同關(guān)鍵點(不同網(wǎng)段和不同主機)收集信息�,一方面擴大檢測范圍�����,另一方面通過多個采集點的信息的比較來判斷是否存在可疑現(xiàn)象或發(fā)生入侵行為。
入侵檢測所利用的信息一般來自以下4個方面:系統(tǒng)和網(wǎng)絡日志文件�����、目錄和文件中的不期望的改變、程序執(zhí)行中的不期望行為��、物理形式的入侵信息�����。
(2)根據(jù)收集到的信息進行分析
常用的分析方法有模式匹配、統(tǒng)計分析、完整性分析�。模式匹配是將收集到的信息與已知的網(wǎng)絡入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進行比較�,從而發(fā)現(xiàn)違背安全策略的行為����。
統(tǒng)計分析方法首先給系統(tǒng)對象(如用戶����、文件�、目錄和設備等)創(chuàng)建一個統(tǒng)計描述,統(tǒng)計正常使用時的一些測量屬性��。測量屬性的平均值將被用來與網(wǎng)絡��、系統(tǒng)的行為進行比較。當觀察值超出正常值范圍時����,就有可能發(fā)生入侵行為。該方法的難點是閾值的選擇,閾值太小可能產(chǎn)生錯誤的入侵報告�,閾值太大可能漏報一些入侵事件���。
完整性分析主要關(guān)注某個文件或?qū)ο笫欠癖桓?,包括文件和目錄的?nèi)容及屬性���。該方法能有效地防范特洛伊木馬的攻擊��。
3分類及存在的問題
入侵檢測通過對入侵和攻擊行為的檢測�,查出系統(tǒng)的入侵者或合法用戶對系統(tǒng)資源的濫用和誤用。工作總結(jié)根據(jù)不同的檢測方法���,將入侵檢測分為異常入侵檢測(AnomalyDetection)和誤用人侵檢測(MisuseDetection)�����。
3.1異常檢測
又稱為基于行為的檢測����。其基本前提是:假定所有的入侵行為都是異常的。首先建立系統(tǒng)或用戶的“正?��!毙袨樘卣鬏喞?,通過比較當前的系統(tǒng)或用戶的行為是否偏離正常的行為特征輪廓來判斷是否發(fā)生了入侵����。此方法不依賴于是否表現(xiàn)出具體行為來進行檢測,是一種間接的方法���。
常用的具體方法有:統(tǒng)計異常檢測方法�、基于特征選擇異常檢測方法����、基于貝葉斯推理異常檢測方法����、基于貝葉斯網(wǎng)絡異常檢測方法、基于模式預測異常檢測方法��、基于神經(jīng)網(wǎng)絡異常檢測方法���、基于機器學習異常檢測方法、基于數(shù)據(jù)采掘異常檢測方法等。
采用異常檢測的關(guān)鍵問題有如下兩個方面:
(1)特征量的選擇
在建立系統(tǒng)或用戶的行為特征輪廓的正常模型時�,選取的特征量既要能準確地體現(xiàn)系統(tǒng)或用戶的行為特征,又能使模型最優(yōu)化����,即以最少的特征量就能涵蓋系統(tǒng)或用戶的行為特征�。(2)參考閾值的選定
由于異常檢測是以正常的特征輪廓作為比較的參考基準��,因此,參考閾值的選定是非常關(guān)鍵的���。
閾值設定得過大�����,那漏警率會很高;閾值設定的過小��,則虛警率就會提高。合適的參考閾值的選定是決定這一檢測方法準確率的至關(guān)重要的因素���。
由此可見���,異常檢測技術(shù)難點是“正常”行為特征輪廓的確定�、特征量的選取、特征輪廓的更新�。由于這幾個因素的制約,異常檢測的虛警率很高��,但對于未知的入侵行為的檢測非常有效��。此外�����,由于需要實時地建立和更新系統(tǒng)或用戶的特征輪廓��,這樣所需的計算量很大�����,對系統(tǒng)的處理性能要求很高�����。
3.2誤用檢測
又稱為基于知識的檢測。其基本前提是:假定所有可能的入侵行為都能被識別和表示����。首先,留學生論文對已知的攻擊方法進行攻擊簽名(攻擊簽名是指用一種特定的方式來表示已知的攻擊模式)表示��,然后根據(jù)已經(jīng)定義好的攻擊簽名�,通過判斷這些攻擊簽名是否出現(xiàn)來判斷入侵行為的發(fā)生與否。這種方法是依據(jù)是否出現(xiàn)攻擊簽名來判斷入侵行為����,是一種直接的方法��。
常用的具體方法有:基于條件概率誤用入侵檢測方法����、基于專家系統(tǒng)誤用入侵檢測方法、基于狀態(tài)遷移分析誤用入侵檢測方法����、基于鍵盤監(jiān)控誤用入侵檢測方法、基于模型誤用入侵檢測方法���。誤用檢測的關(guān)鍵問題是攻擊簽名的正確表示�。
誤用檢測是根據(jù)攻擊簽名來判斷入侵的,根據(jù)對已知的攻擊方法的了解���,用特定的模式語言來表示這種攻擊�,使得攻擊簽名能夠準確地表示入侵行為及其所有可能的變種��,同時又不會把非入侵行為包含進來��。由于多數(shù)入侵行為是利用系統(tǒng)的漏洞和應用程序的缺陷����,因此,通過分析攻擊過程的特征�、條件、排列以及事件間的關(guān)系��,就可具體描述入侵行為的跡象����。這些跡象不僅對分析已經(jīng)發(fā)生的入侵行為有幫助,而且對即將發(fā)生的入侵也有預警作用�。
誤用檢測將收集到的信息與已知的攻擊簽名模式庫進行比較,從中發(fā)現(xiàn)違背安全策略的行為���。由于只需要收集相關(guān)的數(shù)據(jù)�,這樣系統(tǒng)的負擔明顯減少。該方法類似于病毒檢測系統(tǒng)�����,其檢測的準確率和效率都比較高���。但是它也存在一些缺點�。
3.2.1不能檢測未知的入侵行為
由于其檢測機理是對已知的入侵方法進行模式提取����,對于未知的入侵方法就不能進行有效的檢測。也就是說漏警率比較高���。
3.2.2與系統(tǒng)的相關(guān)性很強
對于不同實現(xiàn)機制的操作系統(tǒng)�����,由于攻擊的方法不盡相同,很難定義出統(tǒng)一的模式庫����。另外�����,誤用檢測技術(shù)也難以檢測出內(nèi)部人員的入侵行為���。
目前,由于誤用檢測技術(shù)比較成熟�,多數(shù)的商業(yè)產(chǎn)品都主要是基于誤用檢測模型的。不過��,為了增強檢測功能���,不少產(chǎn)品也加入了異常檢測的方法����。
4入侵檢測的發(fā)展方向
隨著信息系統(tǒng)對一個國家的社會生產(chǎn)與國民經(jīng)濟的影響越來越大���,再加上網(wǎng)絡攻擊者的攻擊工具與手法日趨復雜化��,信息戰(zhàn)已逐步被各個國家重視�。近年來�,入侵檢測有如下幾個主要發(fā)展方向:
4.1分布式入侵檢測與通用入侵檢測架構(gòu)
傳統(tǒng)的IDS一般局限于單一的主機或網(wǎng)絡架構(gòu),對異構(gòu)系統(tǒng)及大規(guī)模的網(wǎng)絡的監(jiān)測明顯不足,再加上不同的IDS系統(tǒng)之間不能很好地協(xié)同工作���。為解決這一問題�,需要采用分布式入侵檢測技術(shù)與通用入侵檢測架構(gòu)�。
4.2應用層入侵檢測
許多入侵的語義只有在應用層才能理解,然而目前的IDS僅能檢測到諸如Web之類的通用協(xié)議�,而不能處理LotusNotes、數(shù)據(jù)庫系統(tǒng)等其他的應用系統(tǒng)����。許多基于客戶/服務器結(jié)構(gòu)、中間件技術(shù)及對象技術(shù)的大型應用�����,也需要應用層的入侵檢測保護����。
4.3智能的入侵檢測
入侵方法越來越多樣化與綜合化,盡管已經(jīng)有智能體���、神經(jīng)網(wǎng)絡與遺傳算法在入侵檢測領(lǐng)域應用研究����,但是�,這只是一些嘗試性的研究工作,需要對智能化的IDS加以進一步的研究���,以解決其自學習與自適應能力�。
4.4入侵檢測的評測方法
用戶需對眾多的IDS系統(tǒng)進行評價����,評價指標包括IDS檢測范圍、系統(tǒng)資源占用��、IDS自身的可靠性�����,從而設計出通用的入侵檢測測試與評估方法與平臺�,實現(xiàn)對多種IDS的檢測。
4.5全面的安全防御方案
結(jié)合安全工程風險管理的思想與方法來處理網(wǎng)絡安全問題����,將網(wǎng)絡安全作為一個整體工程來處理。從管理���、網(wǎng)絡結(jié)構(gòu)�����、加密通道�、防火墻、病毒防護���、入侵檢測多方位全面對所關(guān)注的網(wǎng)絡作全面的評估��,然后提出可行的全面解決方案����。
綜上所述���,入侵檢測作為一種積極主動的安全防護技術(shù)��,提供了對內(nèi)部攻擊����、外部攻擊和誤操作的實時保護�����,使網(wǎng)絡系統(tǒng)在受到危害之前即攔截和響應入侵行為��,為網(wǎng)絡安全增加一道屏障。隨著入侵檢測的研究與開發(fā)��,并在實際應用中與其它網(wǎng)絡管理軟件相結(jié)合����,使網(wǎng)絡安全可以從立體縱深�、多層次防御的角度出發(fā),形成人侵檢測���、網(wǎng)絡管理��、網(wǎng)絡監(jiān)控三位一體化����,從而更加有效地保護網(wǎng)絡的安全��。
參考文獻
l吳新民.兩種典型的入侵檢測方法研究.計算機工程與應用��,2002����;38(10):181—183
2羅妍,李仲麟����,陳憲.入侵檢測系統(tǒng)模型的比較.計算機應用�����,2001���;21(6):29~31
3李渙洲.網(wǎng)絡安全與入侵檢測技術(shù).四川師范大學學報.2001;24(3):426—428
4張慧敏��,何軍��,黃厚寬.入侵檢測系統(tǒng).計算機應用研究���,2001�;18(9):38—4l
篇2
關(guān)鍵詞入侵檢測����;通用入侵檢測對象;通用入侵描述語言�;語義標識符
1引言
計算機網(wǎng)絡在我們的日常生活中扮演著越來越重要的角色,與此同時��,出于各種目的��,它正日益成為犯罪分子攻擊的目標,黑客們試圖使用他們所能找到的方法侵入他人的系統(tǒng)����。為此,我們必須采取有效地對策以阻止這類犯罪發(fā)生��。開發(fā)具有嚴格審計機制的安全操作系統(tǒng)是一種可行方案���,然而綜合考慮其實現(xiàn)代價,在許多問題上作出少許讓步以換取減少系統(tǒng)實現(xiàn)的難度卻又是必要的��。因此�,在操作系統(tǒng)之上,再加一層專門用于安全防范的應用系統(tǒng)成為人們追求的目標�。入侵檢測技術(shù)即是這樣一種技術(shù),它和其它安全技術(shù)一道構(gòu)成計算機系統(tǒng)安全防線的重要組成部分��。自從DorothyE.Denning1987年提出入侵檢測的理論模型后[1]���,關(guān)于入侵檢測的研究方法就層出不窮[5-7]�����,基于不同檢測對象及不同檢測原理的入侵檢測系統(tǒng)被研制并投放市場��,取得了顯著成效�,然而,遺憾的是這些產(chǎn)品自成一體���,相互間缺少信息交流與協(xié)作���,而作為防范入侵的技術(shù)產(chǎn)品,這勢必削弱了它們的防范能力��,因而如何使不同的入侵檢測系統(tǒng)構(gòu)件能夠有效地交流合作���,共享它們的檢測結(jié)果是當前亟待解決的一個問題�。入侵檢測系統(tǒng)框架的標準化����,數(shù)據(jù)格式的標準化[2]為解決這一問題作了一個有益的嘗試。本文主要針對入侵檢測數(shù)據(jù)格式的標準化——通用入侵檢測對象進行分析應用�����,并通過一個實際例子介紹了我們的具體實踐過程�。
入侵檢測是指“通過對行為、安全日志或?qū)徲嫈?shù)據(jù)或其它網(wǎng)絡上可以獲得的信息進行操作�����,檢測到對系統(tǒng)的闖入或闖入的企圖”[2-4]。從技術(shù)上劃分���,入侵檢測有兩種模型[2�����,4]:①異常檢測模型(AnomalyDetection)�����;②誤用檢測模型(MisuseDetection)。按照檢測對象劃分有:基于主機�、基于網(wǎng)絡及混合型三種。
入侵檢測過程主要有三個部分[4]:即信息收集����、信息分析和結(jié)果處理。
2通用入侵檢測對象(GIDO)
為解決入侵檢測系統(tǒng)之間的互操作性����,國際上的一些研究組織開展了標準化工作,目前對IDS進行標準化工作的有兩個組織:IETF的IntrusionDetectionWorkingGroup(IDWG)和CommonIntrusionDetectionFramework(CIDF)���。CIDF早期由美國國防部高級研究計劃局贊助研究���,現(xiàn)在由CIDF工作組負責���,是一個開放組織。CIDF規(guī)定了一個入侵檢測系統(tǒng)應包括的基本組件��。CISL(CommonIntrusionSpecificationLanguage�,通用入侵規(guī)范語言)是CIDF組件間彼此通信的語言。由于CIDF就是對協(xié)議和接口標準化的嘗試����,因此CISL就是對入侵檢測研究的語言進行標準化的嘗試[8]。
CISL語言為了實現(xiàn)自定義功能��,以S-表達式表示GIDO(GeneralizedIntrusionDetectionObjectis)�,S-表達式以各類語義標識符(SemanticIdentifeers)為標記,分別有動作SID�����、角色SID�����、屬性SID、原子SID�����、連接SID���、指示SID和SID擴展名等類型���。其范式如下:
<SExpression>::=’(<SID><Data>’)’
<Data>::=<SimpleAtom>
<Data>::=<ArrayAtom>
<Data>::=<SExpressionList>
<SExpressionList>::=<SExpression>
<SExpressionList>::=<SExpression><SExpressionList>
入侵檢測組件交流信息時,以GIDO為標準數(shù)據(jù)格式傳輸內(nèi)容�,GIDO所包含的內(nèi)容常來自于各類審計日志,網(wǎng)絡數(shù)據(jù)包�,應用程序的跟蹤信息等。
CISL對S-表達式編碼規(guī)則遵循遞歸原則�,具體如下:
<SExpression>::=’(<SID><Data>’)’
E[Sexpression]=length_encode(sid_encode(SID)E[Data])
sid_encode(SID)E[Data]
<Data>::=<SimpleAtom>
E[Data]=Simple_encode(SimpleAtom)
<Data>::=<ArrayAtom>
E[Data]=Array_encode(ArrayAtom)
<Data>::=<SExpressionList>
E[Data]=E[SExpressionList]
<SExpressionList>::=<SExpression>
E[SExpressionList]::=E[SExpression]
<SExpressionList>::=<SExpression><SExpressionList>
E[SExpressionList]::=E[SExpression]e[SExpressionList]
對于每一個GIDO的基本成份SID����,CISL都有規(guī)定的編碼,通過這些編碼本身的信息可知這些SID是原子SID還是非原子SID�。原子SID在編碼中不能繼續(xù)分解,而是直接帶有具體的值�����。值有簡單類型和數(shù)組類型[8]。
GIDO以各類SID為標志�,組成樹形結(jié)構(gòu),根結(jié)點為該GIDO的標志SID���,各子樹的根結(jié)點為相應的對該GIDO所描述的事件起關(guān)鍵作用的SID���。編碼時,每棵子樹的根結(jié)點前附加該子樹所有孩子結(jié)點編碼的總長度���,以遞歸方式完成GIDO編碼�����,一個詳細的實例可參考文獻[8]����。3通用入侵檢測對象的應用
我們以Linux環(huán)境為例�,在檢測口令猜測攻擊中,系統(tǒng)的日志文件會產(chǎn)生以LOGIN_FAILED為標志的日志記錄[9-10]��。在IDS的事件產(chǎn)生器中����,讀取日志文件中含有LOGIN_FAILED的記錄生成GIDO�。
例:Jul3108:57:45zd213login[1344]LOGIN_FAILED1from192.168.0.211FORJohnAuthenticationfailure�����。相應的GIDO為:
{Login
{Outcome
{ReturnCodeACTION_FAILED}
)
(When
(BeginTimeJul3108:57:43)
)
(Initiator
(IPV4Address192.168.0.211)
(UsernameJohn)
)
(Receiver
(Hostnamezd213)
))
其編碼過程除了遵循前面所描述的規(guī)則外���,還使用了文獻[2]所建議的各類API�。它們分別用于生成存放GIDO的空樹�、向空樹附加根結(jié)點、附加數(shù)據(jù)�、附加子樹及對整個樹編碼。
當一個GIDO由事件產(chǎn)生器完成編碼后��,便發(fā)送至事件分析器按一定的規(guī)則分析所接收的GIDOs以便確定是否有入侵發(fā)生����,若有則將有關(guān)信息發(fā)至控制臺。對口令猜測攻擊的GIDO���,一個可行的處理流程如圖1所示。
假定系統(tǒng)檢測到30秒內(nèi)發(fā)生了三次或以上登錄失敗��,認為系統(tǒng)受到入侵,便發(fā)出相應報警信息��。則本例輸出結(jié)果(從不同終端登錄)如圖2所示���。
圖1對口令猜測攻擊事件產(chǎn)生的GIDO的處理流程
圖2一個口令猜測攻擊的模擬檢測結(jié)果
4結(jié)束語
本文在深入分析入侵檢測基本原理及入侵檢測說明語言CISL基礎(chǔ)上��,對入侵檢測對象GIDO的編碼進行了詳細說明���。在系統(tǒng)設計的實踐過程中,分別使用了入侵檢測標準化組織提出的草案中包含的有關(guān)接口�。但在本文中也只是針對一類特定入侵的事件說明如何生成并編碼GIDOs。事實上���,入侵檢測系統(tǒng)各構(gòu)件之間的通信本身也需要安全保障�����,這一點參考文獻[8]����,可利用GIDO的附加部分來實現(xiàn)��,其中所用技術(shù)(諸如簽名����,加密等)可借鑒目前一些較成熟的安全通信技術(shù)��。
參考文獻
[1]DorothyE.DenningAnIntrusion-DetectionModel[J].IEEETransactionsonsoftwareEngineering��,1987����,13(2):222-232
[2]蔣建春�,馬恒太等網(wǎng)絡入侵檢測綜述[J].軟件學報2000.11(11):1460-1466
[3]GB/T18336,信息技術(shù)安全技術(shù)安全性評估標準[S]�。
[4]蔣建春,馮登國�����。網(wǎng)絡入侵檢測原理與技術(shù)[M]����,國防工業(yè)出版社,北京�����,2001
[5]KumarS��,SpaffordEH�����,AnApplicationofPatterMatchinginIntrusionDetection[R]���,TechnicalReportCSD-7r-94-013�����,DepartmentofComputerScience�����,PurdueUniversity�����,1994�����。
[6]JstinDoak.IntrusionDetection:TheApplicationofaFeatureSelection-AComparisonofAlgorithmsandtheApplicationofWideAreaNetworkAnalyzer[R].DepartmentofComputerScience����,Universityofcolifornia,Davis1992.
[7]DusanBulatovic����,DusanVelasevi.AdistributedIntrusionDetectionSystem[J],JournalofcomputerSecurity.1999�,1740:219-118
[8]http://gost.isi.edu/cidf
篇3
(1)地球站的安全問題地球站作為衛(wèi)星通信網(wǎng)絡地面應用系統(tǒng)的重要組成部分,是負責發(fā)送和接收通信信息的地面終端����,地球站的數(shù)據(jù)和發(fā)送的信令是用戶行為的直接體現(xiàn)。作為衛(wèi)星通信網(wǎng)絡中的節(jié)點���,地球站的正常運行直接關(guān)系到整個衛(wèi)星通信網(wǎng)絡通信的質(zhì)量高低和安全性����。地球站異常包括很多方面�����,除了地球站本身的故障之外���,還包括地球站被仿冒�、丟失,被非法用戶使用或者被敵方繳獲等����。在非安全的環(huán)境下,敵方可以通過監(jiān)聽網(wǎng)絡��、控制信道��,分析網(wǎng)絡管理信息的模式��、格式和內(nèi)容��,獲得通信網(wǎng)的大量信息����,這些信息包括網(wǎng)內(nèi)地球站成員及其入退網(wǎng)事件���,通信流量和多個地球站之間的通信頻率����。同時���,也可以直接偽造�、篡改網(wǎng)控中心信息、對地球站設置非法參數(shù)����、干擾地球站的通信流程、使地球站之間的通信失敗�����、使合法用戶異常退網(wǎng)���。敵方還可以侵入地球站���,干擾網(wǎng)管主機、竊取網(wǎng)絡配置信息��、篡改網(wǎng)絡運行參數(shù)等����。造成地球站異常的這些原因中,由于用戶的非法操作和非法用戶的入侵行為引起的異常��,對衛(wèi)星網(wǎng)的安全威脅更大����,造成的損失更嚴重。因此,通過衛(wèi)星網(wǎng)絡檢測到地球站的行為異常��,對整個衛(wèi)星通信網(wǎng)的安全運行具有重要的意義���。(2)地球站的工作網(wǎng)管中心相當于管理器����,主要完成網(wǎng)絡管理與控制功能�,是全網(wǎng)的核心控制單元(ControlUnit�,CU),其信令在衛(wèi)星網(wǎng)中擔負網(wǎng)絡管理協(xié)議的作用�����。網(wǎng)絡管理與控制功能可以是集中式或分散式�����,對于星上透明轉(zhuǎn)發(fā)衛(wèi)星通信系統(tǒng)��,衛(wèi)星不具有星上處理能力�����,只完成放大、轉(zhuǎn)發(fā)的功能�,由地面的主站集中進行網(wǎng)絡管理與控制。衛(wèi)星網(wǎng)管作為一個資源管理控制系統(tǒng)�����,它對全網(wǎng)的信道資源����、地球站配置資源、用戶號碼資源進行控制�����;同時它作為操作員對全網(wǎng)的通信進行控制��、檢測和干預��,向用戶提供配置資源管理查看的接口以及資源狀態(tài)顯示和統(tǒng)計接口����,并將當前通信系統(tǒng)中的異常情況向用戶進行報告;它還具備用戶設備操作權(quán)限管理���、網(wǎng)控中心其它設備管理等功能�。
2衛(wèi)星通信網(wǎng)入侵檢測系統(tǒng)的實現(xiàn)
2.1入侵檢測系統(tǒng)的體系結(jié)構(gòu)
入侵檢測是檢測計算機網(wǎng)絡和系統(tǒng)以發(fā)現(xiàn)違反安全策略事件的過程。如圖2所示�,作為入侵檢測系統(tǒng)至少應該包括三個功能模塊:提供事件記錄的信息源、發(fā)現(xiàn)入侵跡象的分析引擎和基于分析引擎的響應部件�。CIDF闡述了一個入侵檢測系統(tǒng)的通用模型,即入侵檢測系統(tǒng)可以分為4個組件:事件產(chǎn)生器�����、事件分析器����、響應單元、事件數(shù)據(jù)庫��。
2.2入侵檢測系統(tǒng)的功能
衛(wèi)星通信網(wǎng)絡采用的是分布式的入侵檢測系統(tǒng)�����,其主要功能模塊包括:(1)數(shù)據(jù)采集模塊����。收集衛(wèi)星發(fā)送來的各種數(shù)據(jù)信息以及地面站提供的一些數(shù)據(jù)��,分為日志采集模塊���、數(shù)據(jù)報采集模塊和其他信息源采集模塊�����。(2)數(shù)據(jù)分析模塊��。對應于數(shù)據(jù)采集模塊�����,也有三種類型的數(shù)據(jù)分析模塊:日志分析模塊�����、數(shù)據(jù)報分析模塊和其他信息源分析模塊���。(3)告警統(tǒng)計及管理模塊�。該模塊負責對數(shù)據(jù)分析模塊產(chǎn)生的告警進行匯總����,這樣能更好地檢測分布式入侵。(4)決策模塊�����。決策模塊對告警統(tǒng)計上報的告警做出決策,根據(jù)入侵的不同情況選擇不同的響應策略���,并判斷是否需要向上級節(jié)點發(fā)出警告���。(5)響應模塊。響應模塊根據(jù)決策模塊送出的策略����,采取相應的響應措施。其主要措施有:忽略�、向管理員報警、終止連接等響應���。(6)數(shù)據(jù)存儲模塊����。數(shù)據(jù)存儲模塊用于存儲入侵特征���、入侵事件等數(shù)據(jù),留待進一步分析�����。(7)管理平臺。管理平臺是管理員與入侵檢測系統(tǒng)交互的管理界面��。管理員通過這個平臺可以手動處理響應�����,做出最終的決策��,完成對系統(tǒng)的配置�����、權(quán)限管理���,對入侵特征庫的手動維護工作��。
2.3數(shù)據(jù)挖掘技術(shù)
入侵檢測系統(tǒng)中需要用到數(shù)據(jù)挖掘技術(shù)����。數(shù)據(jù)挖掘是從大量的��、不完全的�����、有噪聲的、模糊的�����、隨機的數(shù)據(jù)中提取隱含在其中的���、人們事先不知道的����、但又是潛在有用的信息和知識的過程�。將數(shù)據(jù)挖掘技術(shù)應用于入侵檢測系統(tǒng)的主要優(yōu)點:(1)自適應能力強。專家根據(jù)現(xiàn)有的攻擊從而分析��、建立出它們的特征模型作為傳統(tǒng)入侵檢測系統(tǒng)規(guī)則庫��。但是如果一種攻擊跨越較長一段時間����,那么原有的入侵檢測系統(tǒng)規(guī)則庫很難得到及時更新,并且為了一種新的攻擊去更換整個系統(tǒng)的成本將大大提升�����。因為應用數(shù)據(jù)挖掘技術(shù)的異常檢測與信號匹配模式是不一樣的����,它不是對每一個信號一一檢測,所以新的攻擊可以得到有效的檢測���,表現(xiàn)出較強實時性�����。(2)誤警率低�����。因為現(xiàn)有系統(tǒng)的檢測原理主要是依靠單純的信號匹配����,這種生硬的方式�����,使得它的報警率與實際情況不一致�。數(shù)據(jù)挖掘技術(shù)與入侵檢測技術(shù)相結(jié)合的系統(tǒng)是從等報發(fā)生的序列中發(fā)現(xiàn)隱含在其中的規(guī)律,可以過濾出正常行為的信號��,從而降低了系統(tǒng)的誤警率。(3)智能性強��。應用了數(shù)據(jù)挖掘的入侵檢測系統(tǒng)可以在人很少參與的情況下自動地從大量的網(wǎng)絡數(shù)據(jù)中提取人們不易發(fā)現(xiàn)的行為模式����,也提高了系統(tǒng)檢測的準確性�����。
3結(jié)束語
篇4
關(guān)鍵詞:網(wǎng)絡安全���,入侵檢測
隨著計算機技術(shù)以及網(wǎng)絡信息技術(shù)的高速發(fā)展, 許多部門都利用互聯(lián)網(wǎng)建立了自己的信息系統(tǒng), 以充分利用各類信息資源���。但在連接信息能力、流通能力提高的同時,基于網(wǎng)絡連接的安全問題也日益突出�����。在現(xiàn)今的網(wǎng)絡安全技術(shù)中�����,常用的口令證�����、防火墻��、安全審計及及加密技術(shù)等等�,都屬于靜態(tài)防御技術(shù),而系統(tǒng)面臨的安全威脅越來越多���,新的攻擊手段也層出不窮���,僅僅依靠初步的防御技術(shù)是遠遠不夠的,需要采取有效的手段對整個系統(tǒng)進行主動監(jiān)控����。入侵檢測系統(tǒng)是近年來網(wǎng)絡安全領(lǐng)域的熱門技術(shù),是保障計算機及網(wǎng)絡安全的有力措施之一�����。
1 入侵檢測和入侵檢測系統(tǒng)基本概念
入侵檢測(Intrusion Detection)是動態(tài)的跟蹤和檢測方法的簡稱�, 是對入侵行為的發(fā)覺,它通過旁路偵聽的方式���,對計算機網(wǎng)絡和計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析��,從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象��。
入侵檢測的軟件和硬件組成了入侵檢測系統(tǒng)(IDS:Intrusion Detection System),IDS是繼防火墻之后的第二道安全閘門����,它在不影響網(wǎng)絡性能的情況下依照一定的安全策略���,對網(wǎng)絡的運行狀況進行監(jiān)測�。它能夠幫助網(wǎng)絡系統(tǒng)快速發(fā)現(xiàn)網(wǎng)絡攻擊的發(fā)生����,對得到的數(shù)據(jù)進行分析,一旦發(fā)現(xiàn)入侵�����,及進做出響應����,包括切斷網(wǎng)絡連接�����、記錄或者報警等。由于入侵檢測能在不影響網(wǎng)絡性能的情況下對網(wǎng)絡進行監(jiān)測�,為系統(tǒng)提供對內(nèi)部攻擊、外部攻擊和誤操作的有效保護���。因此,為網(wǎng)絡安全提供高效的入侵檢測及相應的防護手段���,它以探測與控制為技術(shù)本質(zhì)���,能彌補防火墻的不足��,起著主動防御的作用�����,是網(wǎng)絡安全中極其重要的部分�����。免費論文�。
2 入侵檢測系統(tǒng)的分類
入侵檢測系統(tǒng)根據(jù)其檢測數(shù)據(jù)來源分為兩類:基于主機的入侵檢測系統(tǒng)和基于網(wǎng)絡的入侵檢測系統(tǒng)�����。
基于主機的入侵檢測系統(tǒng)的檢測目標是主機系統(tǒng)和系統(tǒng)本地用戶。其原理是根據(jù)主機的審計數(shù)據(jù)和系統(tǒng)日志發(fā)現(xiàn)可疑事件�。該系統(tǒng)通常運行在被監(jiān)測的主機或服務器上,實時檢測主機安全性方面如操作系統(tǒng)日志��、審核日志文件、應用程序日志文件等情況��,其效果依賴于數(shù)據(jù)的準確性以及安全事件的定義。基于主機的入侵檢測系統(tǒng)具有檢測效率高,分析代價小���,分析速度快的特點,能夠迅速并準確地定位入侵者�,并可以結(jié)合操作系統(tǒng)和應用程序的行為特征對入侵進行進一步分析、響應��?���;谥鳈C的入侵檢測系統(tǒng)只能檢測單個主機系統(tǒng)�����。
基于網(wǎng)絡的入侵檢測系統(tǒng)搜集來自網(wǎng)絡層的信息。這些信息通常通過嗅包技術(shù)��,使用在混雜模式的網(wǎng)絡接口獲得����。基于網(wǎng)絡的入侵檢測系統(tǒng)可以監(jiān)視和檢測網(wǎng)絡層的攻擊�����。它具有較強的數(shù)據(jù)提取能力��。在數(shù)據(jù)提取的實時性�、充分性����、可靠性方面優(yōu)于基于主機日志的入侵檢測系統(tǒng)�。基于網(wǎng)絡的入侵檢測系統(tǒng)可以對本網(wǎng)段的多個主機系統(tǒng)進行檢測�,多個分布于不同網(wǎng)段上的基于網(wǎng)絡的入侵檢測系統(tǒng)可以協(xié)同工作以提供更強的入侵檢測能力。
3 入侵檢測方法
入侵檢測方法主要分為異常入侵檢測和誤用入侵檢測����。
異常入侵檢測的主要前提條件是將入侵性活動作為異?��;顒拥淖蛹硐霠顩r是異?����;顒蛹c入侵性活動集等同�,這樣,若能檢測所有的異?����;顒?,則可檢測所有的入侵活動。但是���,入侵性活動并不總是與異?�;顒酉喾?���。這種活動存在4種可能性:(1)入侵性而非異常�;(2)非入侵性且異常;(3)非入侵性且非異常����;(4)入侵且異常��。異常入侵要解決的問題是構(gòu)造異?�;顒蛹?���,并從中發(fā)現(xiàn)入侵性活動子集��。異常入侵檢測方法依賴于異常模型的建立�����。不同模型構(gòu)成不同的檢測方法�����,異常檢測是通過觀測到的一組測量值偏離度來預測用戶行為的變化��,然后作出決策判斷的檢測技術(shù)�。
誤用入侵檢測是通過將預先設定的入侵模式與監(jiān)控到的入侵發(fā)生情況進行模式匹配來檢測�。它假設能夠精確地將入侵攻擊按某種方式編碼,并可以通過捕獲入侵攻擊將其重新分析整理�����,確認該入侵行為是否為基于對同一弱點進行入侵攻擊方法的變種,入侵模式說明導致安全事件或誤用事件的特征�、條件、排列和關(guān)系��。免費論文���。根據(jù)匹配模式的構(gòu)造和表達方式的不同���,形成了不同的誤用檢測模型。誤用檢測模型能針對性地建立高效的入侵檢測系統(tǒng)��,檢測精度高���,誤報率低�����,但它對未知的入侵活動或已知入侵活動的變異檢測的性能較低����。
4 入侵檢測系統(tǒng)的評估
對于入侵檢測系統(tǒng)的評估,主要的性能指標有:(1)可靠性��,系統(tǒng)具有容錯能力和可連續(xù)運行�����;(2)可用性���,系統(tǒng)開銷要最小���,不會嚴重降低網(wǎng)絡系統(tǒng)性能;(3)可測試��,通過攻擊可以檢測系統(tǒng)運行�;(4)適應性,對系統(tǒng)來說必須是易于開發(fā)的�����,可添加新的功能��,能隨時適應系統(tǒng)環(huán)境的改變����;(5)實時性,系統(tǒng)能盡快地察覺入侵企圖以便制止和限制破壞�;(6)準確性,檢測系統(tǒng)具有較低的誤警率和漏警率�;(7)安全性,檢測系統(tǒng)必須難于被欺騙和能夠保護自身安全��。免費論文�。
5 入侵檢測的發(fā)展趨勢
入侵檢測作為一種積極主動的安全防護技術(shù),提供了對攻擊和誤操作的實時保護��,在網(wǎng)絡系統(tǒng)受到危險之前攔截和響應入侵���,但它存在的問題有:誤報率和漏報率高����、檢測速度慢��,對IDS自身的攻擊��,缺乏準確定位與處理機制����、缺乏性能評價體系等。在目前的入侵檢測技術(shù)研究中���,其主要的發(fā)展方向可概括為:
(1)大規(guī)模分布式入侵檢測
(2)寬帶高速網(wǎng)絡的實時入侵檢測技術(shù)
(3)入侵檢測的數(shù)據(jù)融合技術(shù)
(4)與網(wǎng)絡安全技術(shù)相結(jié)合
6 結(jié)束語
隨著計算機技術(shù)以及網(wǎng)絡信息技術(shù)的高速發(fā)展���,入侵檢測技術(shù)已成為計算機安全策略中的核心技術(shù)之一�。它作為一種積極主動的防護技術(shù)�,提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護����,為網(wǎng)絡安全提供高效的入侵檢測及相應的防護手段。入侵檢測作為一個新的安全機制開始集成到網(wǎng)絡系統(tǒng)安全框架中���。
[參考文獻]
[1]張杰�����,戴英俠.入侵檢測系統(tǒng)技術(shù)現(xiàn)狀及其發(fā)展趨勢[J].計算機與通信��,2002,96]:28-32.
[2]陳明.網(wǎng)絡安全教程[M].北京:清華大學出版社���,2004,1.
[3]羅守山.入侵檢測[M].北京:北京郵電大學出版社,2004.
[4]戴云����,范平志,入侵檢測系統(tǒng)研究綜述[J].計算機工程與應用���,2002,4.
篇5
參考文獻是說論文在寫作過程當中引用的文獻資料����,是有準確的收藏地點的文本和檔案等���,論文中引用的順序用阿拉伯數(shù)字加方括號依次書寫在論文的末尾��。下面是學術(shù)參考網(wǎng)的小編整理的關(guān)于信息化論文參考文獻����,供大家閱讀借鑒����。
信息化論文參考文獻:
[1]邊志新.管理會計信息化探討[J].經(jīng)濟研究導刊,2012
[2]康世瀛���,劉淑蓉.信息化時代現(xiàn)代管理會計的發(fā)展的若干重要問題[J].華東經(jīng)濟管理��,2001
[3]彭炳華���,信息化在管理會計中的作用.當代經(jīng)濟��,2015(6).
[4]李紅光�,信息化環(huán)境下的管理會計探討.管理觀察����,2012(7):p.213-214
[5]張繼德,劉向蕓.我國管理會計信息化發(fā)展存在的問題與對策[J].會計之友旬刊���,2014��,
[6]畢克新����,等.制造業(yè)企業(yè)信息化與工藝創(chuàng)新互動關(guān)系影響因素研究[J].中國軟科學����,2012(10).
[7]趙迪.淺析信息時代設計的特點[J].吉林工程技術(shù)師范學院學報,2013(04).
信息化論文參考文獻:
[1]陳婭娜����,鞠頌東.敏捷供應鏈下庫存管理的財務影響[J].物流科技,2008.5.
[2]張琪.基于供應鏈管理的會計信息系統(tǒng)的設想[J].會計之友(下旬刊)����,2008.4.
[3]曹軍.論供應鏈管理下新會計信息系統(tǒng)的構(gòu)建[J].天津財經(jīng)大學學報����,2007.10.
[4]周學廣等.信息安全學.北京:機械工業(yè)出版社���,2003.3
[5](美)MandyAndress著.楊濤等譯.計算機安全原理.北京:機械工業(yè)出版社,2002.1
[6]曹天杰等編著.計算機系統(tǒng)安全.北京:高等教育出版社��,2003.9
[7]劉衍衍等編著.計算機安全技術(shù).吉林:吉林科技技術(shù)出版社.1997.8
[8](美)BruceSchneier著�����,吳世忠等譯.應用密碼學-協(xié)議���、算法與C語言源程序.北京:機械工業(yè)出版社�,2000.1
[9]賴溪松等著.計算機密碼學及其應用.北京:國防工業(yè)出版社.2001.7
[10]陳魯生.現(xiàn)代密碼學.北京:科學出版社.2002.7
[11]王衍波等.應用密碼學.北京:機械工業(yè)出版社�����,2003.8
信息化論文參考文獻:
[1]石志國等編著.計算機網(wǎng)絡安全教程.北京:清華大學出版社����,2004.2
[2]周海剛,肖軍模.一種基于移動的入侵檢測系統(tǒng)框架�����,電子科技大學學報.第32卷第6期2003年12月
[3]劉洪斐,王灝����,王換招.一個分布式入侵檢測系統(tǒng)模型的設計,微機發(fā)展.第13卷�����,第1期�,2003年1月.
[4]張然等.入侵檢測技術(shù)研究綜述.小型微型計算機系統(tǒng).第24卷第7期2003年7月
[5]呂志軍,黃皓.高速網(wǎng)絡下的分布式實時入侵檢測系統(tǒng)�,計算機研究與發(fā)展.第41卷第4期2004年4月
[6]韓海東,王超���,李群.入侵檢測系統(tǒng)實例剖析北京:清華大學出版社2002年5月
[7]熊華�����,郭世澤.網(wǎng)絡安全——取證與蜜罐北京:人民郵電出版社2003年7月
[8]陳健��,張亞平���,李艷.基于流量分析的入侵檢測系統(tǒng)研究.天津理工學院學報�,2008����。
篇6
關(guān)鍵詞:入侵檢測,Snort�,三層結(jié)構(gòu)����,校園網(wǎng),關(guān)聯(lián)規(guī)則
0 前言
隨著互聯(lián)網(wǎng)的飛速發(fā)展����,信息網(wǎng)絡已經(jīng)進入千家萬戶,各國都在加速信息化建設的進程�,越來越多的電子業(yè)務正在網(wǎng)絡上開展,這加速了全球信息化的進程���,促進了社會各個領(lǐng)域的發(fā)展���,與此同時計算機網(wǎng)絡也受到越來越多的惡意攻擊[1],例如網(wǎng)頁內(nèi)容被篡改���、消費者網(wǎng)上購物信用卡帳號和密碼被盜��、大型網(wǎng)站被黑客攻擊無法提供正常服務等等����。
入侵檢測作為傳統(tǒng)計算機安全機制的補充[2],它的開發(fā)與應用擴大了網(wǎng)絡與系統(tǒng)安全的保護縱深�,成為目前動態(tài)安全工具的主要研究和開發(fā)的方向。隨著系統(tǒng)漏洞不斷被發(fā)現(xiàn)����,攻擊不斷發(fā)生,入侵檢測系統(tǒng)在整個安全系統(tǒng)中的地位不斷提高���,所發(fā)揮的作用也越來越大��。無論是從事網(wǎng)絡安全研究的學者����,還是從事入侵檢測產(chǎn)品開發(fā)的企業(yè)�����,都越來越重視入侵檢測技術(shù)�。
本文在校園網(wǎng)的環(huán)境下,提出了一種基于Snort的三層入侵檢測系統(tǒng),詳細介紹了該系統(tǒng)的體系結(jié)構(gòu)���,各個模塊的具體功能以及如何實現(xiàn)�,并最終將該系統(tǒng)應用于校園網(wǎng)絡中進行檢測網(wǎng)絡安全論文�����,確保校園網(wǎng)絡的安全�。
1 Snort入侵檢測系統(tǒng)介紹
Snort[3]是一種基于網(wǎng)絡的輕量級入侵檢測系統(tǒng),建立在數(shù)據(jù)包嗅探器上�����。它能實時分析網(wǎng)絡上的數(shù)據(jù)包�,檢測來自網(wǎng)絡的攻擊�����。它能方便地安裝和配置在網(wǎng)絡的任何一節(jié)點上��,而且不會對網(wǎng)絡運行產(chǎn)生太大的影響�����,同時它還具有跨系統(tǒng)平臺操作、最小的系統(tǒng)要求以及易于部署和配置等特征�����,并且管理員能夠利用它在短時間內(nèi)通過修改配置進行實時的安全響應�。它能夠?qū)崟r分析數(shù)據(jù)流量和日志IP網(wǎng)絡數(shù)據(jù)包,能夠進行協(xié)議分析���,對內(nèi)容進行搜索/匹配����。其次它還可以檢測各種不同的攻擊方式�,對攻擊進行實時警報?���?偟膩碚f,Snort具有如下的優(yōu)點:
(1)高效的檢測和模式匹配算法�����,使性能大大提升�。
(2)良好的擴展性,它采用了插入式檢測引擎�,可以作為標準的網(wǎng)絡入侵檢測系統(tǒng)��、主機入侵檢測系統(tǒng)使用����;與Netfilter結(jié)合使用�,可以作為網(wǎng)關(guān)IDS(Gateway IDS,GIDS)�����;與NMAP等系統(tǒng)指紋識別工具結(jié)合使用���,可以作為基于目標的TIDS(Target-basedIDS)�����。
(3)出色的協(xié)議分析能力,Snort能夠分析的協(xié)議有TCP,UDP和ICMP�。將來的版本,將提供對ARP.ICRP,GRE,OSPF,RIP,ERIP,IPX,APPLEX等協(xié)議的支持�。它能夠檢測多種方式的攻擊和探測,例如:緩沖區(qū)溢出����,CGI攻擊�����,SMB檢測����,端口掃描等等中國期刊全文數(shù)據(jù)庫����。
(4)支持多種格式的特征碼規(guī)則輸入方式,如數(shù)據(jù)庫�、XML等。
Snort同時遵循GPL(公用許可License)�,任何組織或者個人都可以自由使用,這是商業(yè)入侵檢測軟件所不具備的優(yōu)點���?���;谝陨系奶攸c���,本文采用了Snort作為系統(tǒng)設計的基礎(chǔ)�,自主開發(fā)設計了三層結(jié)構(gòu)的入侵檢測系統(tǒng)�����。
2 入侵檢測三層體系結(jié)構(gòu)
Snort入侵檢測系統(tǒng)可采用單層或多層的體系結(jié)構(gòu),對于單層[4]的結(jié)構(gòu)來說�����,它將入侵檢測的核心功能和日志信息混合放在同一層面上����,這樣的系統(tǒng)設計與實現(xiàn)均比較簡單,但它的缺點是交互性比較差����,擴展性不好,操作管理比較繁瑣�,系統(tǒng)的升級維護比較復雜。為了設計一個具有靈活性����、安全性和可擴展性的網(wǎng)絡入侵檢測系統(tǒng),本文的系統(tǒng)采用了三層體系結(jié)構(gòu)��,主要包括網(wǎng)絡入侵檢測層��、數(shù)據(jù)庫服務器層和日志分析控制臺層�。系統(tǒng)的三層體系結(jié)構(gòu)如圖4.1所示。
圖4.1 三層體系結(jié)構(gòu)圖
(1)網(wǎng)絡入侵檢測層主要實現(xiàn)對網(wǎng)絡數(shù)據(jù)包的實時捕獲�,監(jiān)控和對數(shù)據(jù)進行分析以找出可能存在的入侵。
(2)數(shù)據(jù)庫服務器層主要是從入侵檢測系統(tǒng)中收集報警數(shù)據(jù)�,并將它存入到關(guān)系數(shù)據(jù)庫中網(wǎng)絡安全論文,以便用戶進行復雜的查詢�,和更好地管理報警信息。
(3)日志分析控制臺層是數(shù)據(jù)顯示層���,網(wǎng)絡管理員可通過瀏覽器本地的Web服務器��,訪問關(guān)系數(shù)據(jù)庫中的數(shù)據(jù)���,對報警日志信息進行查詢與管理,提供了很好的人機交互界面�����。
2.1 網(wǎng)絡入侵檢測層
網(wǎng)絡入侵檢測層是整個系統(tǒng)的核心所在��,主要負責數(shù)據(jù)的采集�、分析、判斷是否存在入侵行為�����,并通過Snort的輸出插件將數(shù)據(jù)送入數(shù)據(jù)庫服務器中。Snort沒有自己的數(shù)據(jù)采集工具�,它需要外部的數(shù)據(jù)包捕獲程序庫winpcap[4],因此本部分主要包括兩個組件:winpcap和Snort����。winpcap是由伯克利分組捕獲庫派生而來的分組捕獲庫,它在Windows操作平臺上實現(xiàn)底層包的截取過濾�����,它提供了Win32應用程序提供訪問網(wǎng)絡底層的能力��。通過安裝winpcap和Snort兩個開源軟件���,搭建了一個基本的入侵檢測層��,基本上完成了一個簡單的單層入侵檢測系統(tǒng)�����。
2.2 數(shù)據(jù)庫服務器模塊
數(shù)據(jù)庫服務器層主要是從入侵檢測系統(tǒng)中收集報警數(shù)據(jù)�,并將它存入到關(guān)系數(shù)據(jù)庫中���。除了將報警數(shù)據(jù)寫入關(guān)系數(shù)據(jù)庫��,Snort還可以用其他方式記錄警報���,如系統(tǒng)日志syslog[5],統(tǒng)一格式輸出unified等��。利用關(guān)系數(shù)據(jù)庫對數(shù)據(jù)量相當大的報警數(shù)據(jù)進行組織管理是最實用的方法�����。報警存入關(guān)系數(shù)據(jù)庫后能對其進行分類���,查詢和按優(yōu)先級組織排序等��。在本系統(tǒng)中我們采用MySQL數(shù)據(jù)庫�。MySQL是一個快速的客戶機/服務器結(jié)構(gòu)的SQL數(shù)據(jù)庫管理系統(tǒng)��,功能強大���、靈活性好�、應用編程接口豐富并且系統(tǒng)結(jié)構(gòu)精巧�����。MySQL數(shù)據(jù)庫采用默認方式安裝后,設置MySQL為服務方式運行���。然后啟動MySQL服務����,進入命令行狀態(tài)�,創(chuàng)建Snort運行必需的存放系統(tǒng)日志的Snort庫和Snort_archive庫。同時使用Snort目錄下的create_mysql腳本建立Snort運行所需的數(shù)據(jù)表�,用來存放系統(tǒng)日志和報警信息,數(shù)據(jù)庫服務器模塊就可以使用了����。
2.3 日志分析控制臺
日志分析控制臺用來分析和處理Snort收集的入侵數(shù)據(jù),以友好�����、便于查詢的方式顯示日志數(shù)據(jù)庫發(fā)送過來的報警信息�,并可按照不同的方式對信息進行分類統(tǒng)計,將結(jié)果顯示給用戶����。本文所設計的警報日志分析系統(tǒng)采用上面所述的中心管理控制平臺模式,在保護目標網(wǎng)絡中構(gòu)建一個中心管理控制平臺,并與網(wǎng)絡中架設的Snort入侵檢測系統(tǒng)及MySQL數(shù)據(jù)庫通信�����,達到以下一些目的:
(1)能夠適應較大規(guī)模的網(wǎng)絡環(huán)境�����;
(2)簡化規(guī)則配置模式���,便于用戶遠程修改Snort入侵檢測系統(tǒng)的檢測規(guī)則;
(3)降低警報數(shù)據(jù)量�����,通過多次數(shù)據(jù)分類分析���,找出危害重大的攻擊行為����;
(4)減少Snort的警報數(shù)據(jù)在MySQL數(shù)據(jù)庫中的存儲量�����,降低運行系統(tǒng)的負擔;
(5)將分析后的警報數(shù)據(jù)制成報表形式輸出���,降低對于管理員的要求�。
為了完成以上所述的目的�����,提高Snort入侵檢測系統(tǒng)的使用效率����,本子系統(tǒng)主要分為以下三個模塊:規(guī)則配置模塊網(wǎng)絡安全論文,數(shù)據(jù)分析模塊�,報表模塊。本子系統(tǒng)框架如圖4.4所示:
圖4.4 Snort警報日志系統(tǒng)框架
(1)規(guī)則配置模塊:起到簡化用戶配置Snort檢測規(guī)則的作用�。此模塊主要與Snort運行主機系統(tǒng)上的一個守護程序通信,修改Snort的配置文件――Snort.conf�����,從而完成改變檢測規(guī)則的目��。中心控制管理平臺在本地系統(tǒng)上備份snort.conf文件以及所有規(guī)則文件�,當需要修改某個Snort入侵檢測系統(tǒng)的規(guī)則配置時,就可以通過平臺接口首先修改本地對應的snort.conf文件以及所有規(guī)則文件�����,然后通過與Snort運行系統(tǒng)中守護程序通信,將本地系統(tǒng)上修改后的snort.conf文件以及所有規(guī)則文件傳輸?shù)絊nort運行系統(tǒng)中并且覆蓋掉運行系統(tǒng)中的原配置文件和原規(guī)則文件集��,然后重新啟動Snort��,達到重新配置Snort檢測規(guī)則的目的����。
(2)數(shù)據(jù)分析模塊:主要利用改進的Apriori算法對數(shù)據(jù)庫的日志進行分析����,通過關(guān)聯(lián)規(guī)則挖掘,生成一些新的檢測規(guī)則用來改進snort本身的檢測規(guī)則����,分析警報數(shù)據(jù),降低輸出的警報數(shù)據(jù)量��,集中顯示危害較為嚴重的入侵行為����。數(shù)據(jù)分析模塊是整個中心管理控制中心的核心模塊。本模塊通過挖掘保存在Mysql數(shù)據(jù)庫中Snort異常日志數(shù)據(jù)來發(fā)現(xiàn)這些入侵數(shù)據(jù)之間的關(guān)聯(lián)關(guān)系�����,通過發(fā)現(xiàn)入侵數(shù)據(jù)的強關(guān)聯(lián)規(guī)則來發(fā)現(xiàn)新的未知入侵行為,建立新的Snort檢測規(guī)則����,進一步優(yōu)化Snort系統(tǒng)的規(guī)則鏈表中國期刊全文數(shù)據(jù)庫。具體的步驟如下:
先對Snort異常日志進行數(shù)據(jù)預處理��。數(shù)據(jù)預處理中先計算出每個網(wǎng)絡特征屬性的信息增益值�,然后取出前面11個重要的網(wǎng)絡特征,把原來要分析的多個網(wǎng)絡特征減少到11個重要的網(wǎng)絡特征�����,這樣就大大減小了整個算法的復雜度�,也有利提高檢測速度。歷史日志經(jīng)過預處理之后�,我們就可以采用改進的Apriori算法求出所有頻繁項集。在產(chǎn)生頻繁項集之前�����,我們需要設定最小支持度�����,最小支持度設置得越低,產(chǎn)生的頻繁項集就會越多����,反之就會越少。通常�,最小支持度的設定有賴于領(lǐng)域?qū)<业姆治龊蛯嶒灁?shù)據(jù)分析兩種手段。經(jīng)過反復實驗���,最終采用模擬仿真的攻擊數(shù)據(jù)進行規(guī)則推導���,設定最小支持度10%、可信度80%���。訓練結(jié)束時頭100條質(zhì)量最好的規(guī)則作為最終的檢測規(guī)則。把關(guān)聯(lián)規(guī)則中與Snort規(guī)則頭相關(guān)的項放在一起充當規(guī)則頭�,與Snort規(guī)則選項相關(guān)的項放在一起充當規(guī)則選項,然后把規(guī)則頭與規(guī)則選項合并在一起形成Snort入侵檢測規(guī)則��。
(3)報表模塊:將分析后的數(shù)據(jù)庫中的警報數(shù)據(jù)制成報表輸出���,降低對于管理員的要求����。報表模塊是為了簡化管理員觀察數(shù)據(jù),美觀輸出而創(chuàng)建�����,通過.net的報表編寫完成�����。報表是高彈性的報表設計器�����,用于報表的數(shù)據(jù)可以從任何類型的數(shù)據(jù)源獲取���,包含字符列表����,BDE數(shù)據(jù)庫網(wǎng)絡安全論文�,ADO數(shù)據(jù)源(不使用BDE),Interbase(使用IBO)���,Pascal數(shù)組和記錄�,以及一些不常用的數(shù)據(jù)源���。
該系統(tǒng)采用Microsoft Visual Studio 2008進行開發(fā)���,語言采用C#��。具體如下圖:
圖4.5 日志分析控制臺
3 系統(tǒng)實際運行效果
集美大學誠毅學院作為一個獨立學院��,為了更好的滿足學院師生對信息資源的需求��,部署了自己的web服務器�����,ftp服務器���,英語網(wǎng)絡自主學習等教學平臺,有了豐富的網(wǎng)絡信息資源���。學院隨著網(wǎng)絡應用的不斷展開,使用者越來越多����,網(wǎng)絡安全狀況也出現(xiàn)很多問題,比如學院的web服務器曾經(jīng)出現(xiàn)掛馬事件�,ftp服務器被入侵等事件也相繼出現(xiàn)����。為了解決該問題���,部署屬于自己的網(wǎng)絡入侵檢測系統(tǒng)�����,用來檢測入侵事件�����,提高校園網(wǎng)絡的安全情況就成為必須要解決的問題��。該系統(tǒng)目前已經(jīng)在集美大學誠毅學院使用�,檢測效果很好���,有效的防范了網(wǎng)絡安全事件的發(fā)生����,能夠及時對攻擊事件進行檢測��,從而采取相對應的防范措施。
[參考文獻]
[1]RobFliCkenger.LinnxServerHaeks.北京:清華大學出版社��,2004.5, 132-135
[2]蔣建春�,馮登國.網(wǎng)絡入侵監(jiān)測原理與技術(shù).北京:國防工業(yè)出版社,2001.
[3]ForrestS,HofmeyrS,SomayajiA.Computerimmunology.Communicationsof the ACM,1997.40(10).88-96.
[4]Jack Koziol著.吳溥峰�,孫默,許誠等譯.Snort入侵檢測實用解決方案.北京:機械工業(yè)出版社.2005.
[5]韓東海����,王超,李群.入侵檢測系統(tǒng)實例剖析.清華大學出版社�����,2002
篇7
【關(guān)鍵詞】數(shù)據(jù)庫入侵��;檢測技術(shù)
1數(shù)據(jù)庫入侵檢測技術(shù)
計算機數(shù)據(jù)庫能夠安全有效的使用���。入侵技術(shù)的檢測具有如下功能:(1)能有效的對用戶的行為進行監(jiān)控與分析���;(2)對計算機系統(tǒng)運行的變化弱點進行審計分析;(3)在檢測到入侵并識別之后進行預警�;(4)對計算機系統(tǒng)的異常信息進行分析��,并對關(guān)鍵的信息進行評估分析;(5)對檢測到操作系統(tǒng)的異常情況進行跟蹤處理����。一般的計算機入侵系統(tǒng)主要包括如圖1所示。
1.1數(shù)據(jù)庫入侵檢測技術(shù)
計算機入侵檢測技術(shù)是在互聯(lián)網(wǎng)技術(shù)快速發(fā)展的時代背景下����,為了保證計算機數(shù)據(jù)庫的安全而產(chǎn)生的?����?梢栽谟嬎銠C運行的過程中����,對一些有可能危害計算機運行安全的網(wǎng)站或者病毒進行阻攔,防止出現(xiàn)病毒入侵計算機數(shù)據(jù)庫的情況�����,保證計算機數(shù)據(jù)庫的安全���。利用入侵檢測技術(shù)��,但計算機出現(xiàn)病毒即將入侵的情況時�,檢測系統(tǒng)就會自動響起報警系統(tǒng),這些計算機管理人員就會通過報警聲得知計算機出現(xiàn)安全問題�����,可以立即采取促使���,阻止并且的入侵行為���,保護計算機數(shù)據(jù)庫的安全。入侵檢測技術(shù)還可以對計算機內(nèi)部自帶的一些系統(tǒng)出現(xiàn)的入侵行為進行防范�,入侵檢測技術(shù)對一些可以收集一些沒有授權(quán)的信息,可以提前這些信息進行入侵的防范工作�����,當在計算機運行時出現(xiàn)入侵行為以后能夠及時的做出反應�。將入侵檢測系統(tǒng)應用在計算機數(shù)據(jù)庫的安全管理之中,可以起到對計算機安全的監(jiān)控作用�,通過對計算機運行的實時監(jiān)控和監(jiān)測,保證能夠第一時間發(fā)展其中的問題��。利用計算機監(jiān)測系統(tǒng)��,還可以減輕計算機檢測人員的工作量�����,能夠使他們有更多的時間去制定解決入侵病毒����,提高計算機數(shù)據(jù)安全管理的效率。
1.2入侵檢測常用的兩種方法
1.2.1誤用檢測方法誤用檢測是入侵檢測技術(shù)中最常用的的一種檢測方法���,利用誤用檢測的方法����,可以總結(jié)過去入侵的經(jīng)驗教訓��,分析過去對計算機數(shù)據(jù)庫出現(xiàn)入侵的具體情況的解決措施����,總結(jié)出入侵的主要規(guī)律。通過對這些入侵規(guī)律的不斷了解���,并且對計算機的運行情況進行監(jiān)測����,就可以發(fā)展計算機是否存在病毒入侵的情況�����。如果發(fā)現(xiàn)計算機數(shù)據(jù)庫存在著病毒入侵的情況,通過誤用檢測的方法�����,可以快速的分析出入侵的原因和情況�,以至于能夠快速準的制定解決方案。但是誤用檢測對系統(tǒng)內(nèi)部的入侵情況不能及時的做出反應��,因為誤用方法不可能獨立的應用����,職能依靠于一種具體的系統(tǒng)來進行,這就會影響系統(tǒng)的移植性���,造成不能對一些從未出現(xiàn)過的病毒進行檢測�����,降低了檢測的準確性���。1.2.2異常檢測方法異常檢測方法是在計算機運行的基礎(chǔ)上,通過對計算機運行是否存在入侵情況的假設來進行的�����。在利用異常檢測的方法進行系統(tǒng)的監(jiān)測時,通過將一些正常使用的模式和非正常使用的模式進行對比分析�����,從對比出的不同結(jié)果來發(fā)現(xiàn)系統(tǒng)中存在的入侵行為�。這種異常檢測的方法和誤用檢測方法不同��,不用依賴系統(tǒng)進行操作�,降低了對系統(tǒng)入侵行為的局限性,可以檢測出新型入侵行為���。但是異常檢測方法也存在著一些問題����,例如異常檢測方法雖然能夠檢測出入侵行為����,但是不能對入侵行為進行具體的描述,就會導致系統(tǒng)在檢測的過程中容易發(fā)生失誤問題����。
2數(shù)據(jù)挖掘技術(shù)在數(shù)據(jù)庫入侵檢測中的應用
為了防止數(shù)據(jù)庫數(shù)據(jù)的額損失���,防止出現(xiàn)數(shù)據(jù)庫入侵問題,計算機數(shù)據(jù)管理專家不斷的根據(jù)先進的互聯(lián)網(wǎng)數(shù)據(jù)庫的特點進行研究和分析��。將入侵檢測技術(shù)應用到計算機數(shù)據(jù)庫的數(shù)據(jù)安全管理中����,可以有效的對計算機運行時出現(xiàn)的一些病毒或者是一些非正常的訪問進行阻擋,防止出現(xiàn)惡意軟件入侵數(shù)據(jù)庫的情況�,保護了數(shù)據(jù)庫數(shù)據(jù)的安全。2.1數(shù)據(jù)挖掘技術(shù)概述在對數(shù)據(jù)庫的入侵情況進行檢測時��,可以利用數(shù)據(jù)挖掘技術(shù)�。可以對數(shù)據(jù)庫之中的一些不完整的數(shù)據(jù)和正常完整的數(shù)據(jù)進行區(qū)分��,并且可以將不完整的數(shù)據(jù)信息進行徹底的清除�。
2.2數(shù)據(jù)庫入侵檢測中常用的數(shù)據(jù)挖掘方法
2.2.1關(guān)聯(lián)規(guī)則的挖掘使用關(guān)聯(lián)規(guī)則的挖掘首先要在數(shù)據(jù)庫中找出記錄集合,通過對記錄集合分析和檢測��,發(fā)現(xiàn)其中數(shù)據(jù)之間存在的相似之處���,借助頻繁項集生成的規(guī)則�,對數(shù)據(jù)進行挖掘����。2.2.2序列模式的挖掘使用序列模式的挖掘也是為了發(fā)展數(shù)據(jù)庫之中的數(shù)據(jù)存在的相似點��。利用序列模式的挖掘的優(yōu)勢����,主要就是體現(xiàn)在可以對數(shù)據(jù)庫記錄之間時間窗口的挖掘����,可以在對數(shù)據(jù)庫中的數(shù)據(jù)進行審計時找出其中存在的規(guī)律�����。
3結(jié)語
近幾年����,隨著社會經(jīng)濟的快速發(fā)展,已經(jīng)進去到了互聯(lián)網(wǎng)時代��。網(wǎng)絡技術(shù)被廣泛到生產(chǎn)生活中��。為企業(yè)的發(fā)展了巨大的作用�����,但是在網(wǎng)絡技術(shù)快速發(fā)展的背景下,也為企業(yè)的發(fā)展帶來了巨大的安全隱患����。網(wǎng)絡操作存在著病毒入侵的風險,隨時可能對數(shù)據(jù)庫中的企業(yè)的信息安全造成威脅����,病毒入侵可能導致企業(yè)的商業(yè)機密泄露,影響企業(yè)在市場中的競爭力�。為了提高對計算機數(shù)據(jù)庫的安全管理,本論文對數(shù)據(jù)庫入侵檢測技術(shù)進行了分析����,希望能夠?qū)θ肭謾z測技術(shù)的推廣起到借鑒作用,保障網(wǎng)絡信息的基本安全�����。
參考文獻
[1]張嵐.計算機數(shù)據(jù)庫入侵檢測技術(shù)分析[J].信息與電腦(理論版),2014(06):120.
篇8
1.課程設置作為物聯(lián)網(wǎng)工程專業(yè)高年級開設的一門限選課����,入侵檢測技術(shù)既不能像信息安全專業(yè)開設的專業(yè)基礎(chǔ)課那么深入詳盡,也不能像普及式的任選深度�,課程設置采用40課時,其中教學課時30課時,實驗課時為10課時����。
2.教學內(nèi)容和實驗內(nèi)容的設計和實施物聯(lián)網(wǎng)安全較之傳統(tǒng)互聯(lián)網(wǎng)安全涵蓋的范圍更廣,但是其“源科學”是計算機科學��,因此本課程的授課內(nèi)容仍以IP網(wǎng)絡中的入侵檢測技術(shù)和計算機安全為主��,增加了無線傳感器網(wǎng)絡WSN和射頻識別技術(shù)RFID技術(shù)的安全問題���,再加上異種網(wǎng)絡互聯(lián)互通產(chǎn)生的新安全問題及技術(shù)作為物聯(lián)網(wǎng)安全的主體內(nèi)容����。秉承實驗是這門課程獲得良好教學效果的關(guān)鍵思想�����,本節(jié)將不同階段的重要知識點和對應的實驗內(nèi)容設計詳述如下�����。
2.1傳統(tǒng)IP網(wǎng)絡的入侵檢測技術(shù)“入侵檢測技術(shù)”這門課程主要涉及到的重要知識點包括:入侵檢測的基本概念��、入侵方法與手段��、入侵檢測系統(tǒng)數(shù)據(jù)源�、基于主機的入侵檢測系統(tǒng)、基于網(wǎng)絡的入侵檢測系統(tǒng)�、檢測引擎、告警與響應�����、入侵檢測系統(tǒng)的評估����、入侵檢測系統(tǒng)的應用等。其中原理性�、理論性的內(nèi)容主要體現(xiàn)在入侵檢測的原理、檢測算法���、評估的指標體系等�。圖1是標準化組織提出的IDS的總體框架����,該圖分三個檢測階段(檢測前、檢測中�����、檢測后),囊括了上述所有重要的知識點����。(1)入侵前涉及入侵檢測的基本概念、入侵方法與手段�、入侵檢測系統(tǒng)數(shù)據(jù)源等知識點。重點講授基于網(wǎng)絡的入侵檢測的數(shù)據(jù)采集技術(shù)�,引入實驗1——網(wǎng)絡數(shù)據(jù)包的捕獲及協(xié)議的簡單分析。(2)入侵中知識點涉及IDS的各種檢測原理與方法����。檢測方法分為誤用檢測、異常檢測和其它檢測方法�。重點講授濫用檢測普遍采用的利用特征串匹配的方法、各種異常檢測模型也是很重要的輔助檢測方法��,比如數(shù)學模型(方差模型�、均方差模型、)馬爾科夫鏈和模糊邏輯����。檢測又分為基于主機的檢測���、基于網(wǎng)絡的檢測和分布式檢測���。為了呈現(xiàn)不同原理�����、不同檢測方法的效果�����,設計了實驗2——審計日志的獲取和簡單分析�����,對比實驗1有利于學生體會基于主機的檢測方法和基于網(wǎng)絡的檢測方法的不同��。(3)入侵后涉及IDS的警報響應���、警報冗余消除、警報后處理技術(shù)和意圖識別技術(shù)等知識點�。重點講授對于幾種典型攻擊,IDS的攻擊報警信息和警報后處理技術(shù)���,讓學生認識警報含義�、不同的報警格式和方式�����。至此,學生應該對IDS的整個工作流程有了全面的認識�。為了讓學生融會貫通所有知識點,設計了實驗3——Snort開源IDS的構(gòu)建和使用�����。讓學生在指定的實驗室環(huán)境下安裝����,使用IDS,老師在實驗室局域網(wǎng)與公網(wǎng)斷開時�����,運行若干典型的攻擊腳本�����,確保Snort能抓取到攻擊實例�����,讓學生利用所學的安全知識���,模擬安全管理員分析攻擊態(tài)勢����。對于傳統(tǒng)IP網(wǎng)絡上的入侵檢測技術(shù)的教授�����,可以讓學生牢記圖1��,有助于理清各階段的重要知識點��,在相關(guān)實驗中體會攻擊理論性知識的應用���,是這門課程獲得良好教學效果的關(guān)鍵��。
2.2物聯(lián)網(wǎng)安全技術(shù)物聯(lián)網(wǎng)涵蓋內(nèi)容非常寬泛����。實際上目前物聯(lián)網(wǎng)的構(gòu)成除了傳統(tǒng)IP網(wǎng)絡外��,各式各樣的無線傳感器網(wǎng)絡WirelessSensorNetwork(WSN)構(gòu)成了物聯(lián)網(wǎng)的主體���。與傳統(tǒng)IP網(wǎng)絡不同�,WSN因其特點導致其相同的安全需求有著完全不通的安全技術(shù)。重點知識點按WSN的分層協(xié)議體系結(jié)構(gòu)講授每一層上存在的安全問題以及典型攻擊�����。比如��,物理層:各種物理破壞以及導致的信息泄露和各種擁塞攻擊�;數(shù)據(jù)鏈路層:各種耗盡攻擊和碰撞攻擊;網(wǎng)絡層:各種路由攻擊����、泛洪攻擊、女巫攻擊���;應用層:污水池攻擊�、蠕蟲洞攻擊等�。為了使學生了解和掌握不同的攻擊的原理、攻擊過程和方式��,設計了實驗4——WSN上的各種攻擊實驗演示���。
2.3物聯(lián)網(wǎng)互通產(chǎn)生的安全問題和安全技術(shù)由于此部分內(nèi)容還屬于當前研究熱點����,在課程中將作為物聯(lián)網(wǎng)的全新內(nèi)容介紹。重點抓住一些典型攻擊案例講述互聯(lián)互通中產(chǎn)生的安全問題及解決方法�。為此設計了實驗5作為典型案例��。實驗5——跨網(wǎng)絡的DDoS攻擊�,展示了在IP網(wǎng)絡中已經(jīng)克服的DDoS攻擊,互通后的殘余DDos攻擊流量仍然超出WSN能夠承受的范圍����,會導致WSN網(wǎng)絡服務質(zhì)量下降,甚至耗盡WSN寶貴的能量和帶寬資源��。
3.實驗內(nèi)容設計(1)設計型實驗實驗1——網(wǎng)絡數(shù)據(jù)包的捕獲及協(xié)議的簡單分析��。網(wǎng)絡數(shù)據(jù)包是基于網(wǎng)絡的入侵檢測系統(tǒng)的重要數(shù)據(jù)源����,網(wǎng)絡數(shù)據(jù)包的捕獲是基于網(wǎng)絡的入侵檢測系統(tǒng)實現(xiàn)的第一步。通過該實驗��,使學生了解和掌握基于Socket和libpcap的網(wǎng)絡數(shù)據(jù)包的捕獲方法�����,理解和掌握基于網(wǎng)絡入侵檢測系統(tǒng)的源數(shù)據(jù)的捕獲、協(xié)議分析的基本原理和實現(xiàn)方法��。同時使學生熟悉在Linux下的C語言開發(fā)技能��。實驗2——主機審計日志的獲取和簡單分析�。主機審計日志數(shù)據(jù)是基于主機入侵檢測系統(tǒng)的重要數(shù)據(jù)源,審計數(shù)據(jù)獲取的質(zhì)量和數(shù)量�,決定了入侵檢測的有效程度。通過該實驗使學生了解Linux系統(tǒng)的日志系統(tǒng)和基于主機的入侵檢測系統(tǒng)的原理�。(2)綜合型實驗實驗3——Snort開源IDS的構(gòu)建和使用。讓學生根據(jù)校園網(wǎng)實驗室環(huán)境下的需求搭建�,利用Snort及第三方軟件搭建一個真實的入侵檢測系統(tǒng)。根據(jù)需求選擇已有的預處理插件�����、檢測規(guī)則��,最后有針對性地完成幾個相應規(guī)則的編寫����,并進行正確性測試。斷網(wǎng)后在運行幾個典型攻擊腳本�,讓學生分析Snort抓獲的攻擊警報,做出安全態(tài)勢匯報����。(3)驗證型實驗實驗4——WSN上的各種攻擊實驗����。學生利用一些攻擊類軟件工具和硬件設施完成一些可能的攻擊��。攻擊的羅列使學生了解和掌握不同的攻擊的原理���、攻擊過程和方式,加深對入侵檢測的必要性的理解����;實驗5——跨網(wǎng)絡的DDoS攻擊。將傳統(tǒng)IP網(wǎng)絡通過特定網(wǎng)關(guān)與實驗室特定的無線傳感器網(wǎng)絡相連�����,在IP網(wǎng)絡中發(fā)起DDoS攻擊�,將目標鎖定在傳感器網(wǎng)絡內(nèi)。在IP網(wǎng)絡上安裝流量觀測器��,讓學生直觀地看到攻擊流量的路徑�����。然后在網(wǎng)關(guān)上啟動DDoS攻擊檢測,過濾掉98%的攻擊流量�����,讓學生觀察此時無線傳感器網(wǎng)絡的性能情況�����,比較兩種情況�����,得出實驗結(jié)論���。
4.考核體系該課程的考核采用平時成績和期末考核成績加權(quán)平均的方式�����?�?紤]到課程的宗旨在于加強學生動手能力���,同時為了減輕學生的學習負擔,平時成績強調(diào)考核動手能力��,平時作業(yè)緊扣五個實用性實驗,均為實驗為鋪墊和準備��,實際上5個綜合實驗成績占50%�,期末的理論考核以開放式論文形式讓學生根據(jù)自己對IDS的了解和興趣選擇和IDS相關(guān)的題目撰寫論文,占50%�����。
二���、結(jié)語
