..建 …~堕 UJIAN COMpUT R 计算机网络安全的入侵检测技术研究 刘珊珊,李根,彭浩,姚玉未 (肇庆工商职业技术学院广东肇庆526020) 【摘要】:本文主要针对计算机网络安全方面的入侵检测技术进行研究,内容包括基于误用检测 技术、基于异常的检测技术以及基于网络的入侵检测系统、基于主机的入侵检测系统,以期望找到更好 的方法提高网络安全性。 【关键词】:计算机网络安全;入侵检测技术;入侵检测系统 在最近几年在相关项目的基础上,计算机网络在 否会集中出现。误用入侵检测技术类似于杀毒软件的 各种试验基地,办公室,家庭中的应用取得巨大进步。 操作方法。误用检测技术的优点在于,可以从入侵特 包括测试任务,网上办公,家庭娱乐,直到我们生活中 点的模式库中搜集类似的特点,这样在检测中既可以 的每一个角落。可以说,计算机和网络已经成为一个 将类似特点的入侵行为搜集出来,又可以避免系统的 工作和日常生活中必不可少的工具,并且在现代化建 入侵和抑制系统遭受同样的入侵。但是有的入侵行为 设范围内的作用将越来越重要。入侵检测是网络安全 有变种的功能,也就是利用同样的功能缺陷和攻击原 体系中重要的组成部分,并且是一种主动的安全技 理进行变异,但是并不一定能够检测出来。误用入侵 术,可以提供实时内部与外部结合的攻击,拦截和相 技术存在一定的局限性,它仅仅能够根据己知的入侵 应网络系统中受损的保护。网络入侵检测可以提高网 序列和特点来判断相关的行为,对于新型的入侵攻击 络的安全性,独立性,构成一个多层次的防御领域。相 行为并不能够及时检测出来,也存在一定的漏洞。 对于其他类型的网络安全,入侵检测技术还是在一个 一般误用入侵检测的技术主要有两种,一是,专 不够成熟的发展阶段,是一个大型的基于计算机网络 家系统,早期的入侵检测系统主要就是采用专家的入 安全的技术,也可以作为探索网络安全技术的方法之 侵行为来对系统进行检测。例如早期的NIDES、 一,这样的研究和探索,在不断提高入侵检测技术的 NADIR系统都有一个独立的专家系统模块。在整个系 统中,入侵到专家系统中的攻击行为可以进行编码, 发展空间。 对各种事件的分析,可以根据情况来判断入侵检 每个入侵行为都可以编译成为一个IF语句。二是,状 测的行为和基本功能。在技术上,入侵检测可以分为 态迁移分析技术。基于异常的检测技术是定义一组系 两种,一种是基于行为的入侵检测,也可以理解成为 统‘正常”情况下的值,如CPU利用率,内存利用率,文 基于异常情况的入侵检测。另一种是基于标志的入侵 件校验,将与正常定义进行比较。这种检测方法的核 检测,也可以理解成为基于知识的检测,误用检测。然 心是如何界定所谓的“正常”的情况。 而,两种检测方法,得出的结论有很大的不同,基于标 志入侵检测的核心是一个已知攻击的标志,有一个详 2、基于异常的检测技术 基于异常入侵检测技术,主要就是定义一组正常 细检查的基础,并给出了一个准确的报告类型图片, 情况下的值,内存利用率、硬盘大小、文件检验等数 未知的效果,不能进行预测。但是核心知识库必然会 值。这些数据并不是约定俗成的,可以是人们自己定 不断的更新。基于异常的检测,无法做出一个准确的 义的便于人们统计就好。然后将规定的数值与系统正 判断,它主要是可以判断更为广泛和没有被发觉的入 在运行的数字进行比较,检验是否有被攻击的现象。 侵攻击。若是误用入侵检测与异常入侵检测能够有机 这种检测方法的核心就是在于怎么去定义一个正常 的结合在一起,那么入侵检测的效果将会更好。 一的数值,怎样可以看出系统被攻击过。在1996年,这 项理论被人们所研究,并且建立了一个基本的轮廓模 型。模型建立的思想就是:建立系统的审计跟踪数据 、检测技术 1、基于误用检测技术 误用入侵检测主要就是针对特点进行搜集,看是 分析系统,主体(单用户,组用户,主机和系统的正常 ・88・ 福建电脑I 2ol3年第3期 L 一一-焦一皂一堕 UJIAN COMPLITER 行为,一个关键的程序和文件等)正常的行为特征:检 应,此时,系统可能早被破坏,或是基于主机的IDS已 测过程中,若审计系统中的数据出现巨大差异这就可 经被摧毁,大量的信息泄露。基于网络的实时监测,可 以被认为是入侵行为。功能配置文件,登录时间,登录 以实时的通知,根据通知的具体情况作出快速反应, 位置,使用的CPU时间和文件访问属性来描述其特点 防止信息泄露,造成损失。第五点,存在检测不成功的 的正常行为。当主要行为特征的改变,相应的功能配 攻击现象。基于网络的IDS的数据会增加很多有价值 置文件也相应改变。如入侵检测系统使用统计或以规 的数据,这样就很难来区分哪个是存在不良意图的, 则为基础的描述方法,建立系统的行为特征的基本轮 即便是网络的防火墙能够拒绝这些尝试,位于防火墙 廓。 二、检测系统 之外的基于网络的IDS也能够查出防火墙背后攻击 的意图。但是基于主机根本无法做法这些检测,这些 1、基于网络的入侵检测系统:基于网络的IDS不 数据的检测对于评价一个系统安全性能的高与低有 能够单独的提供入侵检测的服务。事实上有很多的客 户在最初选择IDS的网络入侵检测,大多数是因为成 本比较低、反应比较快。第一,就是拥有较低的成本, 基于网络的IDS的策略配置有多个系统有几个关键 点,并且可以观察多个系统的网络通信,所以很多主 机在管理和装载软件时,都不要求安装它。监测点比 较少的配置环境就可以理解成是成本比较低的网络 环境。第二,可以检测到主机系统的漏洞攻击。基于网 络的IDS中会对所有经过的数据包进行检测,并且会 发现一些恶意程序和软件,而基于主机的IDS并没发 查看其包的头部,同样也无法检测到相应的攻击类 型。举例说明,很多IP地址的拒绝服务型和碎片包型 的攻击,只有在经过网路时才会发现包头部的内容。 这种类型的攻击都可以在基于网路的系统中通过对 包的检测才能够发现。对于基于网路的IDS可以检测 一些有效的荷载内容,可以检测一些特定的攻击手法 和指令。通过检查的数据包看是否具有有效荷载的能 力,并且可以查看恶意软件,这是一个很好的途径,而 且对于攻击者来讲并不能发现,但是基于主机的IDS 并不能检查出其行为,不能辨认出相应的攻击信息。 第三,攻击者不会轻易的转移证据,在对攻击进行实 时监测的过程中,基于网络的IDS会利用网络来进行 通讯,所以攻击者并不能转移其证据。对证据的捕获 有很多方法,包括攻击的方法,这种方法可以识别黑 客的身份和信息,还可以对其基本信息进行记录,对 其他恶劣行径进行记录,不给任何掩盖作案痕迹的机 会,防止利用这些信息来对基于主机系统进行入侵检 测。第四点,实时的检测。基于网络IDS可以在任何时 间任何地点检测出可疑的恶意操作,并且能够做出快 速的通知和响应。TCP是网络协议中的一种,一个基 于TCP对网络进行的拒绝服务的攻击,可以通过IDS 发出紧急信号,使TCP复位。对于基于主机系统,实时 监测不完全,只有可疑信息在操作时才能够监测并记 录下来,这样才能够识别其攻击能力,作出相应的反 着重要的作用。第六点,操作系统无关性。基于网络的 IDS是一个安全检测资源,但是与网络的操作系统没 有很大的联系。基于主机系统是必须要更仔细,不能 够被破坏的,必须要保持正常的工作,这样才会有很 好的结果。 2、基于主机的入侵检测系统:基于主机的入侵检 测系统与网络入侵相比并没有那么快捷,但它确实具 备局域网络的系统无法比拟的优点,这些优点包括, 更好的辨识分析、对特殊事件的紧密关注以及低廉的 成本。第一,首先能确定攻击是否是成功,基于主机的 IDS使用含有已发生事件的信息,它能够更准确的判 断攻击是否成功。这方面基于主机的IDS是网络IDS 更完美的补充,网络部分可以尽早的发出警告信息, 主机部分尽早的确定是否攻击成功。第二,监视特定 的系统活动。基于主机的IDS的监视用户和文件访问 活动,可以由文件的访问、文件权限的更改、建立新的 可执行的文件、访问特许的服务等等。第三,到网络以 后的行为,基于网络系统要做到这个步骤存在一定的 困难,基于主机的技术可以通过监视来了解管理员的 一些非正常的行为,操作系统记录了任何有关用户账 户关于添加、删除、更改等等一些情况,一旦发生更 改,基于主机的IDS就能检测到这种不适当的更改。 第四点,主机检测能够检测到网络系统检测不到的攻 击。基于主机系统可以检测到那些基于网络的产品检 测不到的攻击。第五点,适用于被加密的以及交换的 环境,基于主机的系统可以安装在企业的各个主机 上,它们比基于网络的检测系统更适合于交换和加密 的环境。交换设备可以将很多大型网络分成许多小型 的网络来加以管理,从而覆盖足够大的网络范围和角 度。 三、总结 随着入侵手段的不断改善,入侵的方式也发生了 比较复杂的变化,并且传统的入侵方法不被使用,传 统的检测技术一直缺乏合作,并不能(下转第100页) 2013年第3期 i福建电脑 ・89・ I 一 一 …堕 UJIAN GOMPUT£R 算法 。该方法不仅采用从起始节点向目标节点的正 求解出的最短路径节点数相同的情况下,双向A 搜 向搜索,同时采用从目标节点向起始节点的逆向搜 索算法的扩展节点个数和时间都远远少于单向A 搜 索,当两个方向的搜索生成同一子结点时终止此搜索 索算法,提高了求解的效率。但是在双向搜索中,当前 过程。 向搜索与后向搜索相遇时会终止搜索,所以该算法搜 利用VC++6.0环境编写程序进行双向A 搜索算 索的结果有事未必是最短的。算法A 搜索算法与A 法与单向A 搜索算法比较,在求解出的最短路径节 的二次搜索算法相比,解决了A 搜索算法在搜索过 点数相同的情况下,双向A 搜索算法的扩展节点个 程中不能处理未知障碍物问题,拓宽了A 算法的适 数远远少于单向A 搜索算法,提高了约50%的搜索 用范围。 空间,双向A 搜索算法的运行时间也比单向A 搜索 4.结论 算法少得多,确实提高了求解的效率。 2.4二次搜索 本文就目前应用比较广泛的启发式搜索算 法——A 搜索算法及其执行过程进行分析,并对该 由于在传统的A 算法中存在无法绕过未知障碍 算法的改进算法双向搜索和二次搜索算法进行分析 物及没有考虑机器人的宽度信息两个问题,提出A 研究,分析其存在的优缺点。双向A 搜索算法提高了 算法的二次搜索方法【5】,此方法首先根据已知环境信 求解的效率,但有时求解出的路径不是最优势的,如 息规划出一条从起点到目标点的路径,并让机器人按 果考虑前向(或者后向)搜索状态的当前结点已经在 照该路径移动,若在移动过程中遇过先前未知的障碍 后向(或者前向)搜索状态的已搜索结点表,仍继续搜 物,则实时提取机器人所在位置的环境信息并反馈到 索,如果没有更优路径,则选择原来路径,这样能找到 机器人的控制系统以便确认障碍物在栅格中的位置, 一条更优路径,但会占用大量的时间,故该问题有待 之后更新环境信息,将机器人所在位置作为新的起 进一步的研究。A 二次搜索算法增加了未知障碍物 点,重新利用A 搜索算法规划出当前位置到目标点 的情况,拓宽了算法适应的范围,如果机器人能在遇 之间的路径,这条新的路径与之前路径合并成为最终 到未知障碍物之前尽早发现障碍物,则能规划出全局 的完整的从起点到目标点的规划路径。 该方法解决了机器人路径规划中的未知障碍物 问题,也拓宽了原算法的适用范围,提高了机器人的 参考文献: 程荫杭.基于A算法的全局路径搜索.微计算机 智能水平和实时路径规划能力。但是如果机器人在遇 [1]张海涛,231:23 8.240. 到未知障碍物之前能对环境信息进行采样,提早发现 信息.2007(上更优的路径。 未知障碍物,则能规划出全局上更优的路径。 3.各算法的比较 [2]桂莲.基于Dijkstra算法的最短路径的实现.青海大学学 报(自然科学) ̄)2007(2):98.1 02. jkstra算法与BeUman. A 算法可以利用空间的全局信息,选择合适的 [3]王秀珍,凡世宁.两种最短路径Did算法的比较.黑龙江农垦师专学报.2002(2):75—77. 估计函数,调整搜索的方向,减少搜索的节点个数,找 For到较优的从起点到目标点得路径规划。与经典的Di— [4]常青,杨东凯,寇艳红,张其善.车辆导航定位方法及应 机械工业出版社,2004:32.40. ikstra算法和算法相比,在路径相同的情况下,A 算 用.北京:法节省了大量的时间,提高了求解的效率。 [5]郝向荣.在智能搜索中A算法的应用研究.西安建筑科 A 搜索算法与改进的双向A 搜索算法相比,在 技大学硕士学位论文.2007:30.35,(上接第89页) 2]刘欣然.支持高精度告警的网络入侵检测系统的设计与实 满足入侵的需要,所以在入侵检测的技术中,协调与 [ 北京:北京邮电大学[硕士论文],2005 合作必须有机的结合在一起,并且也是一种发展趋 现[D][3]冯运仿.入侵检测系统误警问题的研究进展[J].安防科技. 势。 2007年06期 参考文献: [1]张春平.入侵检测系统的分析.福建电脑.2012(7) .100・ 福建电脑I 2013年第3期