106
信息与电脑
China Computer&Communication
随着Internet的迅速发展,计算机及计算机网络逐渐成为被攻击的
目标,从而导致公司形象受损商业信息失窃、研究数据被盗、个人信
息失密等,因此计算机及网络的安全问题成为研究的焦点.要保证计
算机网络的安全,首先要防止对网络的攻击行为,现在一般使用防火
墙技术进行防范。另外,当防火墙被攻破或被绕开时,还要能够及时
反刍动物营养学
发现这种恶意行为,并在这种行为对系统或数据进行破坏之前,能够采取一定的行为,如进行报警、切断连接、封掉IP或进行反击等,这
就是入侵检测技术(Intrusion Detection Technology,简称IDT)。 一、入侵检测技术
1980年,James P.Anderson在题为《ComputSecurity Threat
Monitoring and Surveillance》(《计算机安全威胁监控和监视》)的
技术报告中,第一次详细阐述了入侵检测的概念。他提出了一种对计
算机系统风险和威胁的分类方法,并将威胁分为内部渗透、外部渗透
和不法行为3种,提出了利用审计跟踪数据监视活动的思想。入侵检
测技术就是依据这一思想建立起来的一种积极主动的安全防护技术,
它提供了对内部攻击、外部攻击和误操作的实时保护,能在网络系统sodl
受到危害之前进行拦截和响应。它主要完成以下功能:监视、分析用
户和系统的活动检查系统的配置和漏洞;评估关键系统和数据的完整
性;识别代表已知的攻击活动模式;对反常行为模式进行统计分析;
对操作系统进行校验管理,判断是否有破坏安全的用户行为。
二、入侵检测技术分类
根据不同的结构和监听策略,入侵检测系统主要分为两类:
基于主机的入侵检测系统(HIDS)和基于网络的入侵检测系统
(NIDS)。
(一)主机型入侵检测系统
主机型入侵检测系统通常是安装在被重点检测的主机之上,主要
是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。
HIDS一般监视WindowsNT上的系统、事件、安全日志以及Unix环境
中的SYSLOG文件。一旦发现这些文件发生任何变化,IDS将比较新
安全性
中央经线的日志记录与攻击签名以发现他们是否匹配。主机型入侵检测系统具
有以下优点:对分析“可能的攻击行为”非常有用;非常适用于加密
和交换环境;比较实时的检测和应答;不需要额外的硬件。它的弱点
是:如果把HIDS安装在需要保护的设备上,则会降低系统的效率。
另外,它还依赖于服务器固有的日志和监视能力。
(二)网络型入侵检测系统
网络型入侵检测系统一般放在比较重要的网段内不停的监视网段
中的各种数据包,并对每一个数据包或可疑的数据包进行特征分析。
如果数据包与系统内置的某些规则吻合,入侵检测系统就会发出警报
甚至直接切断网络连接。目前大部分入侵检测产品都是基于网络的。
网络入侵检测系统的优点是:它不会在业务系统的主机中安装额外的
软件,从而不会影响主机的CPU、I/O与磁盘等资源的使用,不会影
响业务系统的性能;当网络入侵检测系统发生故障时不会影响正常业
务的运行;部署一个网络入侵检测系统的风险远低于布置一个主机型
入侵检测系统。但是,网络入侵检测系统只检查它直接连接网段的通
信,不能检测在不同网段的网络数据包,在使用交换以太网的环境中
就会出现监测范围的局限。而安装多台网络入侵检测系统的传感器会
使部署整个系统的成本大大增加。
三、入侵检测技术的发展趋势
入侵检测技术可以用于文件系统的完整性检测、用户行为检测和
网络异常检测等.但是仅仅发现入侵行为还不够,还必须采取进一步
的措施以制止攻击,避免造成进一步危害,如改变网络配置、切断连
接、向攻击者发出警告信息、进行反击等。理想的情况是,在入侵行
为造成危害之前就已经采取了必要的措施。
(一)分布式入侵检测
为了克服基于主机的入侵检测和基于网络的入侵检测的不
足,现在人们又提出了一种新的入侵检测技术,即分布式入侵检测
(Distributed IntrusionDetection System,简称DIDS).分布式入侵检
测有两方面的含义,一是对分布式攻击的入侵检测技术,二是入侵检
测系统采用分布式计算技术.分布式入侵检测技术主要有层次式入侵
检测和协作式入侵检测两类.协作式入侵检测系统各分布部件之间不
存在主从之分,相互协作,优点是比较灵活,系统的容错能力较强,
各分布部件可以独立工作;缺点是各分布部件之间的协调算法比较
复杂,缺少一个统一的处理模块,不利于对全局的安全事件的理解。
而层次式入侵检测系统则把系统分成若干层次,上层部件控制下层
部件,它的优点是系统由控制中心统一控制,有利于大规模入侵事件
的检测,效率比协作式高;缺点是如果主控模块遭到破坏,则整个系
统的工作会受到影响,系统的可扩充性也较差.目前流行的Manager/
Agent结构不仅可以监控整个网络的入侵和攻击行为、审查日志文
件,还可以进行实时入侵活动的探测,代表了网络分布式入侵检测技
术的发展趋势。
(二)入侵检测技术和防火墙技术相结合
将入侵检测技术和防火墙技术相结合,可以起到互补的作用。一
方面,防火墙不能拒绝内部攻击,而且在策略配置上容易发生遗漏或
错误,而利用NIDS则可以弥补这样的不足.两者功能结合的具体实
施方法为NIDS利用传感器收集事件,分析器通过异常检测或误用检
测方法检测入侵或入侵企图。若发现异常,通知管理器做出反应,还
要通知防火墙,并动态修改防火墙的规则,断开或屏蔽可疑主机通信
流量。这样可以更加有针对性地拒绝攻击,更加有针对性地实现防火
墙的配置。另一方面,NIDS不能有效地防止对自身的攻击,但通过
访问防火墙可以调整NIDS的分析器,使之不分析被防火墙屏蔽了的
在内部网之外的流量类型,减小NIDS的负载,提高网络性能。
(三)主动防御技术
另外一种常用的技术是采用主动防御技术,也就是所谓的陷阱
网络。陷阱网络是一种专门让黑客攻陷的网络或主机,在主动引入机
网络入侵检测系统的分析与研究
魏兵役 中国石油天然气股份有限公司大港油田分公司勘探开发研究院,天津 300280
摘要:入侵检测技术因能同时检测来自网络外部的恶意攻击和内部的破坏行为而得到了广泛研究,然而,由于入侵检测技术自身的复杂性和
不成熟性,在当前的大规模、分布式和高速的网络环境中还存在很多问题。本文从入侵检测技术概念、入侵检测技术分类出发,研究了分布式、
自动化和智能化是入侵检测技术发展的方向,这需要入侵检测技术与防火墙等网络安全技术相结合。
关键词:网络安全;入侵检测;防火墙
中图分类号:TP393.08 文献标识码:A 文章编号:1003-9767(2010)04-0106-02
(下转第108页)
108
网络技术2010年4月刊
信息与电脑
China Computer&Communication
Internet,主要开展娱乐、视频点播、信息浏览查询下载、远程教学、
聊天、邮件等各种业务。3G牌照发放之后,各大运营商都将在省际、
省内、本地层面建设专用IP承载网,以便疏通3G语音和移动数据业
务。ASON在疏通IP承载网业务上具有优势能够在传送网上疏通疏通
IP承载网业务,能够提供完善的保护机制。
3.2.3 移动数据业务承载分析
移动数据业务是通过液体树脂IP承载网进行疏通的,IP承载网必须经由传
送网络进行传输和保护。 因此ASON对IP承载网的疏通包含了对移动
数据业务的承载。
3.3 流媒体业务承载分析
流媒体(Streaming Media)指在数据网络上按时间先后次序传输
和播放的连续音/视频数据流。本质上,流媒体技术是一种在数据网
络上传递多媒体信息的技术。目前数据网络具有无连接、无确定路
径、无质量保证的特点,给多媒体实时数据在数据网络上的传输带来
了极大的困难。流媒体技术实际上是IP数据网层面的技术,传输层面
只是提供透明的传输通道。
ASON传送网络以其动态带宽自动配置的优势特别适合流媒体业
务的开展。因为传输层为路由器配置的通道是可以通过动态调节不断
变化的,路由器之间数据流量小时可以缩减传输配置,路由器之间数
据流量大时可以动态增加传输配置,只要带宽需求在ASON传输系统
所能提供的最大带宽范围之内,都可以实现动态配置,使得流媒体业
务不会因为底层传输的瓶颈而受到影响,不会出现网络拥塞,实时业
务不能提供等弊端。
3.4 其它业务承载分析
其他业务主要包括带宽出租、大客户接入业务等。这些业务是
运营商增长较快,盈利性较好的业务,必须通过传送网络的保护,最
大限度的提高业务的安全性,让客户满意。ASON引入后比之目前的1q84 pdf
SDH等传输技术可以更加快速的配置端到端电路,安全性能也更强。
4. 结束语
通过对基于ASON传送网的各种承载业务进行分析,认为在目前
传送网的各项业务中,传送网承载业务IP化已经是无可争辩的事实,
IP业务逐渐成为主导业务,因此,承载业务的IP化成为整个电信网发
展的必然趋势。ASON也是下一步运营商规划时重点考虑引入的重大
技术,是网络转型的重要工作之一。
参考文献:
[1] 韦乐平,光同步数字传送网,人民邮电出版社,2002
[2] 邬贺铨,中国光纤传送网的发展,电信科学 1999年第 10期
[3] 中国电信. 2009年年报
[4] 李允博 徐荣,数据业务承载技术应用分析,《电信网技术》,
2007年8月第 8期
[5] The IP over SDH/ SONET Model . ITU2T. SG7 , D. 191 ,1998(9)
制或诱骗机制的作用下,将黑客的入侵行为引入到一个可以控制的范
围,消耗其时间,了解其使用的方法和技术,追踪其来源,记录其犯
罪证据。陷阱网络系统适用于各种规格的网络,在网络防火墙、入侵
检测系统等安全措施的配合下,能弥补原有安全防御的不足,大大地
提升网络安全性能.采取主动防御的入侵检测技术将会对入侵检测体
系结构产生影响,是目前研究的热点。
(四)基于免疫学的入侵检测
基于免疫学的入侵检测系统也是近来兴起的新技术。免疫计算
机与人体免疫系统类似,它是根据系统调用序列区分正常行为和异常
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议