摘要:计算机网络的安全目前已经成为了网络技术进一步发展的重要保障,因此以网络入侵检测技术为基础的网络报警系统就成为了技术人员处理网络入侵威胁的重要辅助系统,其可以正确的评价入侵威胁等级,以便采用相应措施。
关键词:网络入侵,入侵检测,报警系统,入侵响应
一、计算机入侵检测技术概述
计算机网络的发展让计算机之间、局域网络之间的连接更加的紧密,特别是英特奈特网络的访问逐步拓展到涉密领域,越来越多的系统都有可能遭到外部的入侵和攻击。在这些攻击主要通过挖掘操作系统和应用服务程序的漏洞来实现入侵。因此网络服务系统应满足用户系统的保密性、完整性、可用性要求,所以在实际的应用中系统中应有个独立的系统负责对非法入侵进行检测,并报警同时采取相应的措施控制事件扩大,即发现已经入侵也可以发现未知的入侵,通过学习分析入侵手段而提高自身的防护能力。
从入侵报警系统的角度看,首先是对入侵进行检测,而此技术的关键点就是信息的采集和分析,即“观察”整个系统是否存在“违法”的操作行为,并保证系统的安全性、完整性等。入侵检测是从网络中的若干关键信息中进行分析,此时将采集信息与安全策略进行比对,如果违反了安全策略则认为其是一种入侵行为。并发出警报,一方面告知用户,一方面启动系统入侵响应机制,这样就可有效的保护系统。入侵检测技术是防火墙后的另一个系统安全性技术,其核心技术就是在不影响网络正常性能下对网络安全进行监测。
二、网络入侵检测系统的划分
入侵检测技术是入侵报警的前提,根据其检测数据来源对其进行分类,可分为主机检测、网络检测两种。
1、网络入侵检测
网络检测系统主要是通过网络监视来完成对数据的采集和分析。在因特网中局域网所采用的多位IEEE802.3协议,此种协议定义主机进行数据传递时采用的是一种广播技术,任何一台主机发送数据的时候都会在经过网络中进行广播,即网络中主机发送或者接受的数据都可以被所在网络中的其他主机接收到。正常的情况下主机设置的网卡对没有数据包进行过滤,将目的地位本机的数据和其他数据进行筛选,将针对本机的数据包接收并存入缓存,而对其他数据包不予处理。所以正常情况下主机只处理与本机相关的数据包,但是网卡的接收模式如果被修改,其过滤策略就会改变,使得网卡能够接收到经过本网段的全部数据包,而不会分辨这些数据是否对本机有用。在其他网络环境下虽然不会才此种广播方式但很多路径设备或者交换机也会提供数据检视功能。
2、主机检测系统
主机检测系统是检测模块植入到被保护的主机保护系统上,通过提取被保护系统的运行状况来分析是否被外来的入侵者所侵害,以此是完成其检测的任务。实现主机检测的方法有很多:检测系统中设置以此发现不正确的系统设置和系统设置对不正当的改动等,这些都可以用来对系统的安全状态进行分析和检测。还可以利用对主机的日志进行审核,通过分析主机日志来发现是否存在入侵。
基于主机的入侵检测的效率较高,分析所付出的系统代价较小,分析速度快,可以迅速而准确的判断入侵者的位置,并可以联合操作系统或者应用程序对入侵进行报警和处置。
三、计算机网络入侵报警技术
从网络入侵的实质上看,入侵是一种非法进入到计算机的技术措施,其目的就是获得计算机或者网络内的资源,或者执行非授权的行为等,其表现是取得进入系统或者多次进入的权限;取得访问系统资源的权利;获得在系统中运行程序的权限等。
而基于检测技术上的报警和预测系统,是一种针对计算机入侵的技术措施,按照报警的数据来源来看,入侵报警可以分为对事件入侵的报警、基于流量入侵的报警这两大类。在事件基础上的入侵报警的技术是通过分析网络中正在发生或者数次发生的入侵事件。通过对这些入侵进行实时而详细的监控和记录来发现入侵事件的规律性,然后进行报警并预测其未来发生的威胁。
在流量基础上的报警这时利用中心极限登陆对入侵进行预测和报警。其算法的依据是在大规模的网络系统中,网络流量的统计和测度是相对稳定的,而攻击往往会造成网络固有的流量稳定遭到破坏。
四、网络入侵报警技术的实施方法
入侵报警是在对入侵检测、预测的基础上而进行的防御性措施。下面就基于攻击聚类的入侵意图预警技术分析入侵报警的实际应用。
1、报警系统思路分析
在攻击聚类的入侵报警的技术主要是结合计算机网络的技术特点,为了满足计算机网络在安全报警内容、安全报警反应时间、安全报警精度的要下提出的技术措施,以事件为入侵报警基础的技术是针对网络入侵事件进行报警的。因此提出的入侵报警系统实际上就是沿用了事件入侵报警的思路。在提高其精确肚饿方面,一则将入侵意图分析融入到报警的依据上,对一类相似的入侵意图进行统计和采集,对其意图进行量化计算,从而分析判断入侵行为的指向性,从而提高了报警系统的针对性和准确性,并可以预测攻击行为。一则根据网络入侵的特征,通过漏洞分析结合网络中的安全设置状况,对自身的系统安全性进行分析,并结合报警情况对下一步可能会受到攻击的网络或者主机进行预判,使得报警和响应机制的针对性更强。另外,为了实现计算方法的高效率,系统根据网络入侵的规律对网络入侵的各种类型进行分类,并形成固定的模式首先对攻击的手段进行划分,然后查找关联以此将报警和响应有机的联系起来。
2、入侵报警系统技术分析
入侵的过程是一个阶段性过程,对检测到的攻击入侵事件进行关联,同过对具有相同的意图的入侵进行报警,并通过报警的记录和意图进行叠加计算,分析和判断入侵的危害程度和攻击发展方向,然后反馈给报警系统,准确的描述入侵类型,并分析攻击意图,将分析的结果反馈给与之关联的预警系统就可以判断出入侵行为的具体攻击意图。而细化入侵其具有的较强的针对性,一种网络入侵针对的往往是一种安全漏洞,所以对操作系统或者开放的服务器如果不存在某些漏洞就不会受到攻击,如果存在系统漏洞当然就会受到入侵的威胁。将漏洞分析结果与入侵手段的类型相联系就可以针对此网络的安全性级别进行评价,由此对网络的安全预警等级进行划分,即区别对待安全等级高和安全等级低的网络,设置不同的报警和预警等级。同时针对外部环境进行综合性考虑,通过网络安全形势分析网络的安全性,分析发生入侵的可能性和规模等。
五、结束语
网络的发展让涉密信息不断的进入到网络信息交换中,因此网络安全就成为了关注的重点,也是保证网络和网络技术持续发展的重要基础工作。网络安全维护中主要针对的就是非法入侵,而入侵监测和入侵报警、安全维护就成为了一个系统工程,即利用网络入侵监测技术对网络入侵进行甄别,并在甄别的同时评价其等级,针对性的发出报警信息,并指导安全防护系统进行相应的动作,至此就可以有效的降低网络入侵规模和波及面积,以此降低损失。综合的看,利用网络监测技术展开的网络报警和相应系统是缺一不可的安全技术措施。
参考文献
[1]崔金生,丁霞,刘明,陆幼骊.网络安全事件应急响应策略体系研究[J].计算机应用与软件,2009,(07)
[2]高娜娜,陈昕.关于内网安全应急响应管理的技术探讨[J].办公自动化,2009,(10)
[3]陈杰.计算机网络入侵检测技术发展[J].硅谷,2009,(10)
[4]谭可久.高校计算机安全事件应急响应组织的构建[J].河池学院学报,2009,(02)
[5]宋彦民.探讨网络入侵检测系统模型的实现[J].电脑与电信,2009,(06)