时间:2023-03-03 15:56:44
绪论:在寻找写作灵感吗?爱发表网为您精选了8篇入侵检测论文,愿这些内容能够启迪您的思维,激发您的创作热情,欢迎您的阅读与分享!
在网络技术日新月异的今天,论文基于网络的计算机应用已经成为发展的主流。政府、教育、商业、金融等机构纷纷联入Internet,全社会信息共享已逐步成为现实。然而,近年来,网上黑客的攻击活动正以每年10倍的速度增长。因此,保证计算机系统、网络系统以及整个信息基础设施的安全已经成为刻不容缓的重要课题。
1防火墙
目前防范网络攻击最常用的方法是构建防火墙。
防火墙作为一种边界安全的手段,在网络安全保护中起着重要作用。其主要功能是控制对网络的非法访问,通过监视、限制、更改通过网络的数据流,一方面尽可能屏蔽内部网的拓扑结构,另一方面对内屏蔽外部危险站点,以防范外对内的非法访问。然而,防火墙存在明显的局限性。
(1)入侵者可以找到防火墙背后可能敞开的后门。如同深宅大院的高大院墙不能挡住老鼠的偷袭一样,防火墙有时无法阻止入侵者的攻击。
(2)防火墙不能阻止来自内部的袭击。调查发现,50%的攻击都将来自于网络内部。
(3)由于性能的限制,防火墙通常不能提供实时的入侵检测能力。毕业论文而这一点,对于层出不穷的网络攻击技术来说是至关重要的。
因此,在Internet入口处部署防火墙系统是不能确保安全的。单纯的防火墙策略已经无法满足对安全高度敏感部门的需要,网络的防卫必须采用一种纵深的、多样化的手段。
由于传统防火墙存在缺陷,引发了入侵检测IDS(IntrusionDetectionSystem)的研究和开发。入侵检测是防火墙之后的第二道安全闸门,是对防火墙的合理补充,在不影响网络性能的情况下,通过对网络的监测,帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高信息安全基础结构的完整性,提供对内部攻击、外部攻击和误操作的实时保护。现在,入侵检测已经成为网络安全中一个重要的研究方向,在各种不同的网络环境中发挥重要作用。
2入侵检测
2.1入侵检测
入侵检测是通过从计算机网络系统中的若干关键点收集信息并对其进行分析,从中发现违反安全策略的行为和遭到攻击的迹象,并做出自动的响应。其主要功能是对用户和系统行为的监测与分析、系统配置和漏洞的审计检查、重要系统和数据文件的完整性评估、已知的攻击行为模式的识别、异常行为模式的统计分析、操作系统的审计跟踪管理及违反安全策略的用户行为的识别。入侵检测通过迅速地检测入侵,在可能造成系统损坏或数据丢失之前,识别并驱除入侵者,使系统迅速恢复正常工作,并且阻止入侵者进一步的行动。同时,收集有关入侵的技术资料,用于改进和增强系统抵抗入侵的能力。
入侵检测可分为基于主机型、基于网络型、基于型三类。从20世纪90年代至今,英语论文已经开发出一些入侵检测的产品,其中比较有代表性的产品有ISS(IntemetSecuritySystem)公司的Realsecure,NAI(NetworkAssociates,Inc)公司的Cybercop和Cisco公司的NetRanger。
2.2检测技术
入侵检测为网络安全提供实时检测及攻击行为检测,并采取相应的防护手段。例如,实时检测通过记录证据来进行跟踪、恢复、断开网络连接等控制;攻击行为检测注重于发现信息系统中可能已经通过身份检查的形迹可疑者,进一步加强信息系统的安全力度。入侵检测的步骤如下:
收集系统、网络、数据及用户活动的状态和行为的信息
入侵检测一般采用分布式结构,在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息,一方面扩大检测范围,另一方面通过多个采集点的信息的比较来判断是否存在可疑现象或发生入侵行为。
入侵检测所利用的信息一般来自以下4个方面:系统和网络日志文件、目录和文件中的不期望的改变、程序执行中的不期望行为、物理形式的入侵信息。
(2)根据收集到的信息进行分析
常用的分析方法有模式匹配、统计分析、完整性分析。模式匹配是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。
统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性。测量属性的平均值将被用来与网络、系统的行为进行比较。当观察值超出正常值范围时,就有可能发生入侵行为。该方法的难点是阈值的选择,阈值太小可能产生错误的入侵报告,阈值太大可能漏报一些入侵事件。
完整性分析主要关注某个文件或对象是否被更改,包括文件和目录的内容及属性。该方法能有效地防范特洛伊木马的攻击。
3分类及存在的问题
入侵检测通过对入侵和攻击行为的检测,查出系统的入侵者或合法用户对系统资源的滥用和误用。工作总结根据不同的检测方法,将入侵检测分为异常入侵检测(AnomalyDetection)和误用人侵检测(MisuseDetection)。
3.1异常检测
又称为基于行为的检测。其基本前提是:假定所有的入侵行为都是异常的。首先建立系统或用户的“正常”行为特征轮廓,通过比较当前的系统或用户的行为是否偏离正常的行为特征轮廓来判断是否发生了入侵。此方法不依赖于是否表现出具体行为来进行检测,是一种间接的方法。
常用的具体方法有:统计异常检测方法、基于特征选择异常检测方法、基于贝叶斯推理异常检测方法、基于贝叶斯网络异常检测方法、基于模式预测异常检测方法、基于神经网络异常检测方法、基于机器学习异常检测方法、基于数据采掘异常检测方法等。
采用异常检测的关键问题有如下两个方面:
(1)特征量的选择
在建立系统或用户的行为特征轮廓的正常模型时,选取的特征量既要能准确地体现系统或用户的行为特征,又能使模型最优化,即以最少的特征量就能涵盖系统或用户的行为特征。(2)参考阈值的选定
由于异常检测是以正常的特征轮廓作为比较的参考基准,因此,参考阈值的选定是非常关键的。
阈值设定得过大,那漏警率会很高;阈值设定的过小,则虚警率就会提高。合适的参考阈值的选定是决定这一检测方法准确率的至关重要的因素。
由此可见,异常检测技术难点是“正常”行为特征轮廓的确定、特征量的选取、特征轮廓的更新。由于这几个因素的制约,异常检测的虚警率很高,但对于未知的入侵行为的检测非常有效。此外,由于需要实时地建立和更新系统或用户的特征轮廓,这样所需的计算量很大,对系统的处理性能要求很高。
3.2误用检测
又称为基于知识的检测。其基本前提是:假定所有可能的入侵行为都能被识别和表示。首先,留学生论文对已知的攻击方法进行攻击签名(攻击签名是指用一种特定的方式来表示已知的攻击模式)表示,然后根据已经定义好的攻击签名,通过判断这些攻击签名是否出现来判断入侵行为的发生与否。这种方法是依据是否出现攻击签名来判断入侵行为,是一种直接的方法。
常用的具体方法有:基于条件概率误用入侵检测方法、基于专家系统误用入侵检测方法、基于状态迁移分析误用入侵检测方法、基于键盘监控误用入侵检测方法、基于模型误用入侵检测方法。误用检测的关键问题是攻击签名的正确表示。
误用检测是根据攻击签名来判断入侵的,根据对已知的攻击方法的了解,用特定的模式语言来表示这种攻击,使得攻击签名能够准确地表示入侵行为及其所有可能的变种,同时又不会把非入侵行为包含进来。由于多数入侵行为是利用系统的漏洞和应用程序的缺陷,因此,通过分析攻击过程的特征、条件、排列以及事件间的关系,就可具体描述入侵行为的迹象。这些迹象不仅对分析已经发生的入侵行为有帮助,而且对即将发生的入侵也有预警作用。
误用检测将收集到的信息与已知的攻击签名模式库进行比较,从中发现违背安全策略的行为。由于只需要收集相关的数据,这样系统的负担明显减少。该方法类似于病毒检测系统,其检测的准确率和效率都比较高。但是它也存在一些缺点。
3.2.1不能检测未知的入侵行为
由于其检测机理是对已知的入侵方法进行模式提取,对于未知的入侵方法就不能进行有效的检测。也就是说漏警率比较高。
3.2.2与系统的相关性很强
对于不同实现机制的操作系统,由于攻击的方法不尽相同,很难定义出统一的模式库。另外,误用检测技术也难以检测出内部人员的入侵行为。
目前,由于误用检测技术比较成熟,多数的商业产品都主要是基于误用检测模型的。不过,为了增强检测功能,不少产品也加入了异常检测的方法。
4入侵检测的发展方向
随着信息系统对一个国家的社会生产与国民经济的影响越来越大,再加上网络攻击者的攻击工具与手法日趋复杂化,信息战已逐步被各个国家重视。近年来,入侵检测有如下几个主要发展方向:
4.1分布式入侵检测与通用入侵检测架构
传统的IDS一般局限于单一的主机或网络架构,对异构系统及大规模的网络的监测明显不足,再加上不同的IDS系统之间不能很好地协同工作。为解决这一问题,需要采用分布式入侵检测技术与通用入侵检测架构。
4.2应用层入侵检测
许多入侵的语义只有在应用层才能理解,然而目前的IDS仅能检测到诸如Web之类的通用协议,而不能处理LotusNotes、数据库系统等其他的应用系统。许多基于客户/服务器结构、中间件技术及对象技术的大型应用,也需要应用层的入侵检测保护。
4.3智能的入侵检测
入侵方法越来越多样化与综合化,尽管已经有智能体、神经网络与遗传算法在入侵检测领域应用研究,但是,这只是一些尝试性的研究工作,需要对智能化的IDS加以进一步的研究,以解决其自学习与自适应能力。
4.4入侵检测的评测方法
用户需对众多的IDS系统进行评价,评价指标包括IDS检测范围、系统资源占用、IDS自身的可靠性,从而设计出通用的入侵检测测试与评估方法与平台,实现对多种IDS的检测。
4.5全面的安全防御方案
结合安全工程风险管理的思想与方法来处理网络安全问题,将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、入侵检测多方位全面对所关注的网络作全面的评估,然后提出可行的全面解决方案。
综上所述,入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,使网络系统在受到危害之前即拦截和响应入侵行为,为网络安全增加一道屏障。随着入侵检测的研究与开发,并在实际应用中与其它网络管理软件相结合,使网络安全可以从立体纵深、多层次防御的角度出发,形成人侵检测、网络管理、网络监控三位一体化,从而更加有效地保护网络的安全。
参考文献
l吴新民.两种典型的入侵检测方法研究.计算机工程与应用,2002;38(10):181—183
2罗妍,李仲麟,陈宪.入侵检测系统模型的比较.计算机应用,2001;21(6):29~31
3李涣洲.网络安全与入侵检测技术.四川师范大学学报.2001;24(3):426—428
4张慧敏,何军,黄厚宽.入侵检测系统.计算机应用研究,2001;18(9):38—4l
关键词入侵检测;通用入侵检测对象;通用入侵描述语言;语义标识符
1引言
计算机网络在我们的日常生活中扮演着越来越重要的角色,与此同时,出于各种目的,它正日益成为犯罪分子攻击的目标,黑客们试图使用他们所能找到的方法侵入他人的系统。为此,我们必须采取有效地对策以阻止这类犯罪发生。开发具有严格审计机制的安全操作系统是一种可行方案,然而综合考虑其实现代价,在许多问题上作出少许让步以换取减少系统实现的难度却又是必要的。因此,在操作系统之上,再加一层专门用于安全防范的应用系统成为人们追求的目标。入侵检测技术即是这样一种技术,它和其它安全技术一道构成计算机系统安全防线的重要组成部分。自从DorothyE.Denning1987年提出入侵检测的理论模型后[1],关于入侵检测的研究方法就层出不穷[5-7],基于不同检测对象及不同检测原理的入侵检测系统被研制并投放市场,取得了显著成效,然而,遗憾的是这些产品自成一体,相互间缺少信息交流与协作,而作为防范入侵的技术产品,这势必削弱了它们的防范能力,因而如何使不同的入侵检测系统构件能够有效地交流合作,共享它们的检测结果是当前亟待解决的一个问题。入侵检测系统框架的标准化,数据格式的标准化[2]为解决这一问题作了一个有益的尝试。本文主要针对入侵检测数据格式的标准化——通用入侵检测对象进行分析应用,并通过一个实际例子介绍了我们的具体实践过程。
入侵检测是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图”[2-4]。从技术上划分,入侵检测有两种模型[2,4]:①异常检测模型(AnomalyDetection);②误用检测模型(MisuseDetection)。按照检测对象划分有:基于主机、基于网络及混合型三种。
入侵检测过程主要有三个部分[4]:即信息收集、信息分析和结果处理。
2通用入侵检测对象(GIDO)
为解决入侵检测系统之间的互操作性,国际上的一些研究组织开展了标准化工作,目前对IDS进行标准化工作的有两个组织:IETF的IntrusionDetectionWorkingGroup(IDWG)和CommonIntrusionDetectionFramework(CIDF)。CIDF早期由美国国防部高级研究计划局赞助研究,现在由CIDF工作组负责,是一个开放组织。CIDF规定了一个入侵检测系统应包括的基本组件。CISL(CommonIntrusionSpecificationLanguage,通用入侵规范语言)是CIDF组件间彼此通信的语言。由于CIDF就是对协议和接口标准化的尝试,因此CISL就是对入侵检测研究的语言进行标准化的尝试[8]。
CISL语言为了实现自定义功能,以S-表达式表示GIDO(GeneralizedIntrusionDetectionObjectis),S-表达式以各类语义标识符(SemanticIdentifeers)为标记,分别有动作SID、角色SID、属性SID、原子SID、连接SID、指示SID和SID扩展名等类型。其范式如下:
<SExpression>::=’(<SID><Data>’)’
<Data>::=<SimpleAtom>
<Data>::=<ArrayAtom>
<Data>::=<SExpressionList>
<SExpressionList>::=<SExpression>
<SExpressionList>::=<SExpression><SExpressionList>
入侵检测组件交流信息时,以GIDO为标准数据格式传输内容,GIDO所包含的内容常来自于各类审计日志,网络数据包,应用程序的跟踪信息等。
CISL对S-表达式编码规则遵循递归原则,具体如下:
<SExpression>::=’(<SID><Data>’)’
E[Sexpression]=length_encode(sid_encode(SID)E[Data])
sid_encode(SID)E[Data]
<Data>::=<SimpleAtom>
E[Data]=Simple_encode(SimpleAtom)
<Data>::=<ArrayAtom>
E[Data]=Array_encode(ArrayAtom)
<Data>::=<SExpressionList>
E[Data]=E[SExpressionList]
<SExpressionList>::=<SExpression>
E[SExpressionList]::=E[SExpression]
<SExpressionList>::=<SExpression><SExpressionList>
E[SExpressionList]::=E[SExpression]e[SExpressionList]
对于每一个GIDO的基本成份SID,CISL都有规定的编码,通过这些编码本身的信息可知这些SID是原子SID还是非原子SID。原子SID在编码中不能继续分解,而是直接带有具体的值。值有简单类型和数组类型[8]。
GIDO以各类SID为标志,组成树形结构,根结点为该GIDO的标志SID,各子树的根结点为相应的对该GIDO所描述的事件起关键作用的SID。编码时,每棵子树的根结点前附加该子树所有孩子结点编码的总长度,以递归方式完成GIDO编码,一个详细的实例可参考文献[8]。3通用入侵检测对象的应用
我们以Linux环境为例,在检测口令猜测攻击中,系统的日志文件会产生以LOGIN_FAILED为标志的日志记录[9-10]。在IDS的事件产生器中,读取日志文件中含有LOGIN_FAILED的记录生成GIDO。
例:Jul3108:57:45zd213login[1344]LOGIN_FAILED1from192.168.0.211FORJohnAuthenticationfailure。相应的GIDO为:
{Login
{Outcome
{ReturnCodeACTION_FAILED}
)
(When
(BeginTimeJul3108:57:43)
)
(Initiator
(IPV4Address192.168.0.211)
(UsernameJohn)
)
(Receiver
(Hostnamezd213)
))
其编码过程除了遵循前面所描述的规则外,还使用了文献[2]所建议的各类API。它们分别用于生成存放GIDO的空树、向空树附加根结点、附加数据、附加子树及对整个树编码。
当一个GIDO由事件产生器完成编码后,便发送至事件分析器按一定的规则分析所接收的GIDOs以便确定是否有入侵发生,若有则将有关信息发至控制台。对口令猜测攻击的GIDO,一个可行的处理流程如图1所示。
假定系统检测到30秒内发生了三次或以上登录失败,认为系统受到入侵,便发出相应报警信息。则本例输出结果(从不同终端登录)如图2所示。
图1对口令猜测攻击事件产生的GIDO的处理流程
图2一个口令猜测攻击的模拟检测结果
4结束语
本文在深入分析入侵检测基本原理及入侵检测说明语言CISL基础上,对入侵检测对象GIDO的编码进行了详细说明。在系统设计的实践过程中,分别使用了入侵检测标准化组织提出的草案中包含的有关接口。但在本文中也只是针对一类特定入侵的事件说明如何生成并编码GIDOs。事实上,入侵检测系统各构件之间的通信本身也需要安全保障,这一点参考文献[8],可利用GIDO的附加部分来实现,其中所用技术(诸如签名,加密等)可借鉴目前一些较成熟的安全通信技术。
参考文献
[1]DorothyE.DenningAnIntrusion-DetectionModel[J].IEEETransactionsonsoftwareEngineering,1987,13(2):222-232
[2]蒋建春,马恒太等网络入侵检测综述[J].软件学报2000.11(11):1460-1466
[3]GB/T18336,信息技术安全技术安全性评估标准[S]。
[4]蒋建春,冯登国。网络入侵检测原理与技术[M],国防工业出版社,北京,2001
[5]KumarS,SpaffordEH,AnApplicationofPatterMatchinginIntrusionDetection[R],TechnicalReportCSD-7r-94-013,DepartmentofComputerScience,PurdueUniversity,1994。
[6]JstinDoak.IntrusionDetection:TheApplicationofaFeatureSelection-AComparisonofAlgorithmsandtheApplicationofWideAreaNetworkAnalyzer[R].DepartmentofComputerScience,Universityofcolifornia,Davis1992.
[7]DusanBulatovic,DusanVelasevi.AdistributedIntrusionDetectionSystem[J],JournalofcomputerSecurity.1999,1740:219-118
[8]http://gost.isi.edu/cidf
事实上,数据挖掘的产生是有其必然性的。随着信息时代的到来,各种数据收集设备不断更新,相应的数据库技术也在不断地成熟,使得人们积累的信息量不断增加,为了提高效率,当务之急就是要从海量的数据中找出最有用的信息,这就催生了数据挖掘技术。
2网络入侵检测的重要性与必要性分析
网络入侵检测,就是对网络入侵行为的发觉。与其他安全技术相比而言,入侵检测技术并不是以建立安全和可靠的网络环境为主,而是以分析和处理对网络用户信息构成威胁的行为,进而进行非法控制来确保网络系统的安全。它的主要目的是对用户和系统进行检测与分析,找出系统中存在的漏洞与问题,一旦发现攻击或威胁就会自动及时地向管理人员报警,同时对各种非法活动或异常活动进行识别、统计与分析。
3数据挖掘在网络入侵检测中的应用分析
在使用数据挖掘技术对网络入侵行为进行检测的过程中,我们可以通过分析有用的数据或信息来提取用户的行为特征和入侵规律,进而建立起一个相对完善的规则库来进行入侵检测。该检测过程主要是数据收集——数据预处理——数据挖掘,以下是在对已有的基于数据挖掘的网络入侵检测的模型结构图进行阐述的基础上进行一些优化。
3.1综合了误用检测和异常检测的模型
为改进前综合误用检测和异常检测的模型。从图2可以看出,它是综合利用了误用检测和异常检测模型而形成的基于数据挖掘的网络入侵检测模型。其优点在于通过结合误用检测器和异常检测器,把所要分析的数据信息减少了很多,大大缩小了数据范围。其劣势在于当异常检测器检测到新的入侵检测后,仅仅更新了异常检测器,而没有去及时地更新误用检测器,这就无形中增加了工作量。对于这一不足之处,笔者提出了以下改进意见。
3.2改进后的误用检测和异常检测模型
笔者进行了一些改进,以形成一种更加有利的基于数据挖掘的入侵检测模型,基础上进行了一定的优化。一是把从网络中获取的网络数据包发送到数据预处理器中,由它进行加工处理,然后使用相应的关联规则找出其中具有代表性的规则,放入关联规则集中,接下来用聚类规则将关联规则所得的支持度和可信度进行聚类优化。此后,我们可根据规定的阈值而将一部分正常的数据删除出去,这就大大减少了所要分析的数据量。此时可以把剩下的那些数据发送到误用检测器中进行检测,如果误用检测器也没有检测到攻击行为,则把该类数据发送到异常检测器中再次进行检测,与上面的例子一样,这个异常检测器实际上也起到了一个过滤的作用,以此来把海量的正常数据过滤出去,相应地数据量就会再一次变少,这就方便了后期的挖掘。这一模型系统的一大特点就是为了避免重复检测,利用对数据仓库的更新来完善异常检测器和误用检测器。也就是说,根据异常检测器的检测结果来对异常检测器和误用检测器进行更新,若测得该行为是正常行为,那么就会更新异常检测器,若测得该行为是攻击行为,那么就更新误用检测器来记录该次的行为,从而方便下次进行重复的检测。
4结束语
关键词:网络安全,入侵检测
随着计算机技术以及网络信息技术的高速发展, 许多部门都利用互联网建立了自己的信息系统, 以充分利用各类信息资源。但在连接信息能力、流通能力提高的同时,基于网络连接的安全问题也日益突出。在现今的网络安全技术中,常用的口令证、防火墙、安全审计及及加密技术等等,都属于静态防御技术,而系统面临的安全威胁越来越多,新的攻击手段也层出不穷,仅仅依靠初步的防御技术是远远不够的,需要采取有效的手段对整个系统进行主动监控。入侵检测系统是近年来网络安全领域的热门技术,是保障计算机及网络安全的有力措施之一。
1 入侵检测和入侵检测系统基本概念
入侵检测(Intrusion Detection)是动态的跟踪和检测方法的简称, 是对入侵行为的发觉,它通过旁路侦听的方式,对计算机网络和计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
入侵检测的软件和硬件组成了入侵检测系统(IDS:Intrusion Detection System),IDS是继防火墙之后的第二道安全闸门,它在不影响网络性能的情况下依照一定的安全策略,对网络的运行状况进行监测。它能够帮助网络系统快速发现网络攻击的发生,对得到的数据进行分析,一旦发现入侵,及进做出响应,包括切断网络连接、记录或者报警等。由于入侵检测能在不影响网络性能的情况下对网络进行监测,为系统提供对内部攻击、外部攻击和误操作的有效保护。因此,为网络安全提供高效的入侵检测及相应的防护手段,它以探测与控制为技术本质,能弥补防火墙的不足,起着主动防御的作用,是网络安全中极其重要的部分。免费论文。
2 入侵检测系统的分类
入侵检测系统根据其检测数据来源分为两类:基于主机的入侵检测系统和基于网络的入侵检测系统。
基于主机的入侵检测系统的检测目标是主机系统和系统本地用户。其原理是根据主机的审计数据和系统日志发现可疑事件。该系统通常运行在被监测的主机或服务器上,实时检测主机安全性方面如操作系统日志、审核日志文件、应用程序日志文件等情况,其效果依赖于数据的准确性以及安全事件的定义。基于主机的入侵检测系统具有检测效率高,分析代价小,分析速度快的特点,能够迅速并准确地定位入侵者,并可以结合操作系统和应用程序的行为特征对入侵进行进一步分析、响应。基于主机的入侵检测系统只能检测单个主机系统。
基于网络的入侵检测系统搜集来自网络层的信息。这些信息通常通过嗅包技术,使用在混杂模式的网络接口获得。基于网络的入侵检测系统可以监视和检测网络层的攻击。它具有较强的数据提取能力。在数据提取的实时性、充分性、可靠性方面优于基于主机日志的入侵检测系统。基于网络的入侵检测系统可以对本网段的多个主机系统进行检测,多个分布于不同网段上的基于网络的入侵检测系统可以协同工作以提供更强的入侵检测能力。
3 入侵检测方法
入侵检测方法主要分为异常入侵检测和误用入侵检测。
异常入侵检测的主要前提条件是将入侵性活动作为异常活动的子集,理想状况是异常活动集与入侵性活动集等同,这样,若能检测所有的异常活动,则可检测所有的入侵活动。但是,入侵性活动并不总是与异常活动相符合。这种活动存在4种可能性:(1)入侵性而非异常;(2)非入侵性且异常;(3)非入侵性且非异常;(4)入侵且异常。异常入侵要解决的问题是构造异常活动集,并从中发现入侵性活动子集。异常入侵检测方法依赖于异常模型的建立。不同模型构成不同的检测方法,异常检测是通过观测到的一组测量值偏离度来预测用户行为的变化,然后作出决策判断的检测技术。
误用入侵检测是通过将预先设定的入侵模式与监控到的入侵发生情况进行模式匹配来检测。它假设能够精确地将入侵攻击按某种方式编码,并可以通过捕获入侵攻击将其重新分析整理,确认该入侵行为是否为基于对同一弱点进行入侵攻击方法的变种,入侵模式说明导致安全事件或误用事件的特征、条件、排列和关系。免费论文。根据匹配模式的构造和表达方式的不同,形成了不同的误用检测模型。误用检测模型能针对性地建立高效的入侵检测系统,检测精度高,误报率低,但它对未知的入侵活动或已知入侵活动的变异检测的性能较低。
4 入侵检测系统的评估
对于入侵检测系统的评估,主要的性能指标有:(1)可靠性,系统具有容错能力和可连续运行;(2)可用性,系统开销要最小,不会严重降低网络系统性能;(3)可测试,通过攻击可以检测系统运行;(4)适应性,对系统来说必须是易于开发的,可添加新的功能,能随时适应系统环境的改变;(5)实时性,系统能尽快地察觉入侵企图以便制止和限制破坏;(6)准确性,检测系统具有较低的误警率和漏警率;(7)安全性,检测系统必须难于被欺骗和能够保护自身安全。免费论文。
5 入侵检测的发展趋势
入侵检测作为一种积极主动的安全防护技术,提供了对攻击和误操作的实时保护,在网络系统受到危险之前拦截和响应入侵,但它存在的问题有:误报率和漏报率高、检测速度慢,对IDS自身的攻击,缺乏准确定位与处理机制、缺乏性能评价体系等。在目前的入侵检测技术研究中,其主要的发展方向可概括为:
(1)大规模分布式入侵检测
(2)宽带高速网络的实时入侵检测技术
(3)入侵检测的数据融合技术
(4)与网络安全技术相结合
6 结束语
随着计算机技术以及网络信息技术的高速发展,入侵检测技术已成为计算机安全策略中的核心技术之一。它作为一种积极主动的防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,为网络安全提供高效的入侵检测及相应的防护手段。入侵检测作为一个新的安全机制开始集成到网络系统安全框架中。
[参考文献]
[1]张杰,戴英侠.入侵检测系统技术现状及其发展趋势[J].计算机与通信,2002,96]:28-32.
[2]陈明.网络安全教程[M].北京:清华大学出版社,2004,1.
[3]罗守山.入侵检测[M].北京:北京邮电大学出版社,2004.
[4]戴云,范平志,入侵检测系统研究综述[J].计算机工程与应用,2002,4.
参考文献是说论文在写作过程当中引用的文献资料,是有准确的收藏地点的文本和档案等,论文中引用的顺序用阿拉伯数字加方括号依次书写在论文的末尾。下面是学术参考网的小编整理的关于信息化论文参考文献,供大家阅读借鉴。
信息化论文参考文献:
[1]边志新.管理会计信息化探讨[J].经济研究导刊,2012
[2]康世瀛,刘淑蓉.信息化时代现代管理会计的发展的若干重要问题[J].华东经济管理,2001
[3]彭炳华,信息化在管理会计中的作用.当代经济,2015(6).
[4]李红光,信息化环境下的管理会计探讨.管理观察,2012(7):p.213-214
[5]张继德,刘向芸.我国管理会计信息化发展存在的问题与对策[J].会计之友旬刊,2014,
[6]毕克新,等.制造业企业信息化与工艺创新互动关系影响因素研究[J].中国软科学,2012(10).
[7]赵迪.浅析信息时代设计的特点[J].吉林工程技术师范学院学报,2013(04).
信息化论文参考文献:
[1]陈娅娜,鞠颂东.敏捷供应链下库存管理的财务影响[J].物流科技,2008.5.
[2]张琪.基于供应链管理的会计信息系统的设想[J].会计之友(下旬刊),2008.4.
[3]曹军.论供应链管理下新会计信息系统的构建[J].天津财经大学学报,2007.10.
[4]周学广等.信息安全学.北京:机械工业出版社,2003.3
[5](美)MandyAndress著.杨涛等译.计算机安全原理.北京:机械工业出版社,2002.1
[6]曹天杰等编著.计算机系统安全.北京:高等教育出版社,2003.9
[7]刘衍衍等编著.计算机安全技术.吉林:吉林科技技术出版社.1997.8
[8](美)BruceSchneier著,吴世忠等译.应用密码学-协议、算法与C语言源程序.北京:机械工业出版社,2000.1
[9]赖溪松等著.计算机密码学及其应用.北京:国防工业出版社.2001.7
[10]陈鲁生.现代密码学.北京:科学出版社.2002.7
[11]王衍波等.应用密码学.北京:机械工业出版社,2003.8
信息化论文参考文献:
[1]石志国等编著.计算机网络安全教程.北京:清华大学出版社,2004.2
[2]周海刚,肖军模.一种基于移动的入侵检测系统框架,电子科技大学学报.第32卷第6期2003年12月
[3]刘洪斐,王灏,王换招.一个分布式入侵检测系统模型的设计,微机发展.第13卷,第1期,2003年1月.
[4]张然等.入侵检测技术研究综述.小型微型计算机系统.第24卷第7期2003年7月
[5]吕志军,黄皓.高速网络下的分布式实时入侵检测系统,计算机研究与发展.第41卷第4期2004年4月
[6]韩海东,王超,李群.入侵检测系统实例剖析北京:清华大学出版社2002年5月
[7]熊华,郭世泽.网络安全——取证与蜜罐北京:人民邮电出版社2003年7月
[8]陈健,张亚平,李艳.基于流量分析的入侵检测系统研究.天津理工学院学报,2008。
关键词:入侵检测,Snort,三层结构,校园网,关联规则
0 前言
随着互联网的飞速发展,信息网络已经进入千家万户,各国都在加速信息化建设的进程,越来越多的电子业务正在网络上开展,这加速了全球信息化的进程,促进了社会各个领域的发展,与此同时计算机网络也受到越来越多的恶意攻击[1],例如网页内容被篡改、消费者网上购物信用卡帐号和密码被盗、大型网站被黑客攻击无法提供正常服务等等。
入侵检测作为传统计算机安全机制的补充[2],它的开发与应用扩大了网络与系统安全的保护纵深,成为目前动态安全工具的主要研究和开发的方向。随着系统漏洞不断被发现,攻击不断发生,入侵检测系统在整个安全系统中的地位不断提高,所发挥的作用也越来越大。无论是从事网络安全研究的学者,还是从事入侵检测产品开发的企业,都越来越重视入侵检测技术。
本文在校园网的环境下,提出了一种基于Snort的三层入侵检测系统,详细介绍了该系统的体系结构,各个模块的具体功能以及如何实现,并最终将该系统应用于校园网络中进行检测网络安全论文,确保校园网络的安全。
1 Snort入侵检测系统介绍
Snort[3]是一种基于网络的轻量级入侵检测系统,建立在数据包嗅探器上。它能实时分析网络上的数据包,检测来自网络的攻击。它能方便地安装和配置在网络的任何一节点上,而且不会对网络运行产生太大的影响,同时它还具有跨系统平台操作、最小的系统要求以及易于部署和配置等特征,并且管理员能够利用它在短时间内通过修改配置进行实时的安全响应。它能够实时分析数据流量和日志IP网络数据包,能够进行协议分析,对内容进行搜索/匹配。其次它还可以检测各种不同的攻击方式,对攻击进行实时警报。总的来说,Snort具有如下的优点:
(1)高效的检测和模式匹配算法,使性能大大提升。
(2)良好的扩展性,它采用了插入式检测引擎,可以作为标准的网络入侵检测系统、主机入侵检测系统使用;与Netfilter结合使用,可以作为网关IDS(Gateway IDS,GIDS);与NMAP等系统指纹识别工具结合使用,可以作为基于目标的TIDS(Target-basedIDS)。
(3)出色的协议分析能力,Snort能够分析的协议有TCP,UDP和ICMP。将来的版本,将提供对ARP.ICRP,GRE,OSPF,RIP,ERIP,IPX,APPLEX等协议的支持。它能够检测多种方式的攻击和探测,例如:缓冲区溢出,CGI攻击,SMB检测,端口扫描等等中国期刊全文数据库。
(4)支持多种格式的特征码规则输入方式,如数据库、XML等。
Snort同时遵循GPL(公用许可License),任何组织或者个人都可以自由使用,这是商业入侵检测软件所不具备的优点。基于以上的特点,本文采用了Snort作为系统设计的基础,自主开发设计了三层结构的入侵检测系统。
2 入侵检测三层体系结构
Snort入侵检测系统可采用单层或多层的体系结构,对于单层[4]的结构来说,它将入侵检测的核心功能和日志信息混合放在同一层面上,这样的系统设计与实现均比较简单,但它的缺点是交互性比较差,扩展性不好,操作管理比较繁琐,系统的升级维护比较复杂。为了设计一个具有灵活性、安全性和可扩展性的网络入侵检测系统,本文的系统采用了三层体系结构,主要包括网络入侵检测层、数据库服务器层和日志分析控制台层。系统的三层体系结构如图4.1所示。
图4.1 三层体系结构图
(1)网络入侵检测层主要实现对网络数据包的实时捕获,监控和对数据进行分析以找出可能存在的入侵。
(2)数据库服务器层主要是从入侵检测系统中收集报警数据,并将它存入到关系数据库中网络安全论文,以便用户进行复杂的查询,和更好地管理报警信息。
(3)日志分析控制台层是数据显示层,网络管理员可通过浏览器本地的Web服务器,访问关系数据库中的数据,对报警日志信息进行查询与管理,提供了很好的人机交互界面。
2.1 网络入侵检测层
网络入侵检测层是整个系统的核心所在,主要负责数据的采集、分析、判断是否存在入侵行为,并通过Snort的输出插件将数据送入数据库服务器中。Snort没有自己的数据采集工具,它需要外部的数据包捕获程序库winpcap[4],因此本部分主要包括两个组件:winpcap和Snort。winpcap是由伯克利分组捕获库派生而来的分组捕获库,它在Windows操作平台上实现底层包的截取过滤,它提供了Win32应用程序提供访问网络底层的能力。通过安装winpcap和Snort两个开源软件,搭建了一个基本的入侵检测层,基本上完成了一个简单的单层入侵检测系统。
2.2 数据库服务器模块
数据库服务器层主要是从入侵检测系统中收集报警数据,并将它存入到关系数据库中。除了将报警数据写入关系数据库,Snort还可以用其他方式记录警报,如系统日志syslog[5],统一格式输出unified等。利用关系数据库对数据量相当大的报警数据进行组织管理是最实用的方法。报警存入关系数据库后能对其进行分类,查询和按优先级组织排序等。在本系统中我们采用MySQL数据库。MySQL是一个快速的客户机/服务器结构的SQL数据库管理系统,功能强大、灵活性好、应用编程接口丰富并且系统结构精巧。MySQL数据库采用默认方式安装后,设置MySQL为服务方式运行。然后启动MySQL服务,进入命令行状态,创建Snort运行必需的存放系统日志的Snort库和Snort_archive库。同时使用Snort目录下的create_mysql脚本建立Snort运行所需的数据表,用来存放系统日志和报警信息,数据库服务器模块就可以使用了。
2.3 日志分析控制台
日志分析控制台用来分析和处理Snort收集的入侵数据,以友好、便于查询的方式显示日志数据库发送过来的报警信息,并可按照不同的方式对信息进行分类统计,将结果显示给用户。本文所设计的警报日志分析系统采用上面所述的中心管理控制平台模式,在保护目标网络中构建一个中心管理控制平台,并与网络中架设的Snort入侵检测系统及MySQL数据库通信,达到以下一些目的:
(1)能够适应较大规模的网络环境;
(2)简化规则配置模式,便于用户远程修改Snort入侵检测系统的检测规则;
(3)降低警报数据量,通过多次数据分类分析,找出危害重大的攻击行为;
(4)减少Snort的警报数据在MySQL数据库中的存储量,降低运行系统的负担;
(5)将分析后的警报数据制成报表形式输出,降低对于管理员的要求。
为了完成以上所述的目的,提高Snort入侵检测系统的使用效率,本子系统主要分为以下三个模块:规则配置模块网络安全论文,数据分析模块,报表模块。本子系统框架如图4.4所示:
图4.4 Snort警报日志系统框架
(1)规则配置模块:起到简化用户配置Snort检测规则的作用。此模块主要与Snort运行主机系统上的一个守护程序通信,修改Snort的配置文件――Snort.conf,从而完成改变检测规则的目。中心控制管理平台在本地系统上备份snort.conf文件以及所有规则文件,当需要修改某个Snort入侵检测系统的规则配置时,就可以通过平台接口首先修改本地对应的snort.conf文件以及所有规则文件,然后通过与Snort运行系统中守护程序通信,将本地系统上修改后的snort.conf文件以及所有规则文件传输到Snort运行系统中并且覆盖掉运行系统中的原配置文件和原规则文件集,然后重新启动Snort,达到重新配置Snort检测规则的目的。
(2)数据分析模块:主要利用改进的Apriori算法对数据库的日志进行分析,通过关联规则挖掘,生成一些新的检测规则用来改进snort本身的检测规则,分析警报数据,降低输出的警报数据量,集中显示危害较为严重的入侵行为。数据分析模块是整个中心管理控制中心的核心模块。本模块通过挖掘保存在Mysql数据库中Snort异常日志数据来发现这些入侵数据之间的关联关系,通过发现入侵数据的强关联规则来发现新的未知入侵行为,建立新的Snort检测规则,进一步优化Snort系统的规则链表中国期刊全文数据库。具体的步骤如下:
先对Snort异常日志进行数据预处理。数据预处理中先计算出每个网络特征属性的信息增益值,然后取出前面11个重要的网络特征,把原来要分析的多个网络特征减少到11个重要的网络特征,这样就大大减小了整个算法的复杂度,也有利提高检测速度。历史日志经过预处理之后,我们就可以采用改进的Apriori算法求出所有频繁项集。在产生频繁项集之前,我们需要设定最小支持度,最小支持度设置得越低,产生的频繁项集就会越多,反之就会越少。通常,最小支持度的设定有赖于领域专家的分析和实验数据分析两种手段。经过反复实验,最终采用模拟仿真的攻击数据进行规则推导,设定最小支持度10%、可信度80%。训练结束时头100条质量最好的规则作为最终的检测规则。把关联规则中与Snort规则头相关的项放在一起充当规则头,与Snort规则选项相关的项放在一起充当规则选项,然后把规则头与规则选项合并在一起形成Snort入侵检测规则。
(3)报表模块:将分析后的数据库中的警报数据制成报表输出,降低对于管理员的要求。报表模块是为了简化管理员观察数据,美观输出而创建,通过.net的报表编写完成。报表是高弹性的报表设计器,用于报表的数据可以从任何类型的数据源获取,包含字符列表,BDE数据库网络安全论文,ADO数据源(不使用BDE),Interbase(使用IBO),Pascal数组和记录,以及一些不常用的数据源。
该系统采用Microsoft Visual Studio 2008进行开发,语言采用C#。具体如下图:
图4.5 日志分析控制台
3 系统实际运行效果
集美大学诚毅学院作为一个独立学院,为了更好的满足学院师生对信息资源的需求,部署了自己的web服务器,ftp服务器,英语网络自主学习等教学平台,有了丰富的网络信息资源。学院随着网络应用的不断展开,使用者越来越多,网络安全状况也出现很多问题,比如学院的web服务器曾经出现挂马事件,ftp服务器被入侵等事件也相继出现。为了解决该问题,部署属于自己的网络入侵检测系统,用来检测入侵事件,提高校园网络的安全情况就成为必须要解决的问题。该系统目前已经在集美大学诚毅学院使用,检测效果很好,有效的防范了网络安全事件的发生,能够及时对攻击事件进行检测,从而采取相对应的防范措施。
[参考文献]
[1]RobFliCkenger.LinnxServerHaeks.北京:清华大学出版社,2004.5, 132-135
[2]蒋建春,冯登国.网络入侵监测原理与技术.北京:国防工业出版社,2001.
[3]ForrestS,HofmeyrS,SomayajiA.Computerimmunology.Communicationsof the ACM,1997.40(10).88-96.
[4]Jack Koziol著.吴溥峰,孙默,许诚等译.Snort入侵检测实用解决方案.北京:机械工业出版社.2005.
[5]韩东海,王超,李群.入侵检测系统实例剖析.清华大学出版社,2002
【关键词】数据库入侵;检测技术
1数据库入侵检测技术
计算机数据库能够安全有效的使用。入侵技术的检测具有如下功能:(1)能有效的对用户的行为进行监控与分析;(2)对计算机系统运行的变化弱点进行审计分析;(3)在检测到入侵并识别之后进行预警;(4)对计算机系统的异常信息进行分析,并对关键的信息进行评估分析;(5)对检测到操作系统的异常情况进行跟踪处理。一般的计算机入侵系统主要包括如图1所示。
1.1数据库入侵检测技术
计算机入侵检测技术是在互联网技术快速发展的时代背景下,为了保证计算机数据库的安全而产生的。可以在计算机运行的过程中,对一些有可能危害计算机运行安全的网站或者病毒进行阻拦,防止出现病毒入侵计算机数据库的情况,保证计算机数据库的安全。利用入侵检测技术,但计算机出现病毒即将入侵的情况时,检测系统就会自动响起报警系统,这些计算机管理人员就会通过报警声得知计算机出现安全问题,可以立即采取促使,阻止并且的入侵行为,保护计算机数据库的安全。入侵检测技术还可以对计算机内部自带的一些系统出现的入侵行为进行防范,入侵检测技术对一些可以收集一些没有授权的信息,可以提前这些信息进行入侵的防范工作,当在计算机运行时出现入侵行为以后能够及时的做出反应。将入侵检测系统应用在计算机数据库的安全管理之中,可以起到对计算机安全的监控作用,通过对计算机运行的实时监控和监测,保证能够第一时间发展其中的问题。利用计算机监测系统,还可以减轻计算机检测人员的工作量,能够使他们有更多的时间去制定解决入侵病毒,提高计算机数据安全管理的效率。
1.2入侵检测常用的两种方法
1.2.1误用检测方法误用检测是入侵检测技术中最常用的的一种检测方法,利用误用检测的方法,可以总结过去入侵的经验教训,分析过去对计算机数据库出现入侵的具体情况的解决措施,总结出入侵的主要规律。通过对这些入侵规律的不断了解,并且对计算机的运行情况进行监测,就可以发展计算机是否存在病毒入侵的情况。如果发现计算机数据库存在着病毒入侵的情况,通过误用检测的方法,可以快速的分析出入侵的原因和情况,以至于能够快速准的制定解决方案。但是误用检测对系统内部的入侵情况不能及时的做出反应,因为误用方法不可能独立的应用,职能依靠于一种具体的系统来进行,这就会影响系统的移植性,造成不能对一些从未出现过的病毒进行检测,降低了检测的准确性。1.2.2异常检测方法异常检测方法是在计算机运行的基础上,通过对计算机运行是否存在入侵情况的假设来进行的。在利用异常检测的方法进行系统的监测时,通过将一些正常使用的模式和非正常使用的模式进行对比分析,从对比出的不同结果来发现系统中存在的入侵行为。这种异常检测的方法和误用检测方法不同,不用依赖系统进行操作,降低了对系统入侵行为的局限性,可以检测出新型入侵行为。但是异常检测方法也存在着一些问题,例如异常检测方法虽然能够检测出入侵行为,但是不能对入侵行为进行具体的描述,就会导致系统在检测的过程中容易发生失误问题。
2数据挖掘技术在数据库入侵检测中的应用
为了防止数据库数据的额损失,防止出现数据库入侵问题,计算机数据管理专家不断的根据先进的互联网数据库的特点进行研究和分析。将入侵检测技术应用到计算机数据库的数据安全管理中,可以有效的对计算机运行时出现的一些病毒或者是一些非正常的访问进行阻挡,防止出现恶意软件入侵数据库的情况,保护了数据库数据的安全。2.1数据挖掘技术概述在对数据库的入侵情况进行检测时,可以利用数据挖掘技术。可以对数据库之中的一些不完整的数据和正常完整的数据进行区分,并且可以将不完整的数据信息进行彻底的清除。
2.2数据库入侵检测中常用的数据挖掘方法
2.2.1关联规则的挖掘使用关联规则的挖掘首先要在数据库中找出记录集合,通过对记录集合分析和检测,发现其中数据之间存在的相似之处,借助频繁项集生成的规则,对数据进行挖掘。2.2.2序列模式的挖掘使用序列模式的挖掘也是为了发展数据库之中的数据存在的相似点。利用序列模式的挖掘的优势,主要就是体现在可以对数据库记录之间时间窗口的挖掘,可以在对数据库中的数据进行审计时找出其中存在的规律。
3结语
近几年,随着社会经济的快速发展,已经进去到了互联网时代。网络技术被广泛到生产生活中。为企业的发展了巨大的作用,但是在网络技术快速发展的背景下,也为企业的发展带来了巨大的安全隐患。网络操作存在着病毒入侵的风险,随时可能对数据库中的企业的信息安全造成威胁,病毒入侵可能导致企业的商业机密泄露,影响企业在市场中的竞争力。为了提高对计算机数据库的安全管理,本论文对数据库入侵检测技术进行了分析,希望能够对入侵检测技术的推广起到借鉴作用,保障网络信息的基本安全。
参考文献
[1]张岚.计算机数据库入侵检测技术分析[J].信息与电脑(理论版),2014(06):120.
1.课程设置作为物联网工程专业高年级开设的一门限选课,入侵检测技术既不能像信息安全专业开设的专业基础课那么深入详尽,也不能像普及式的任选深度,课程设置采用40课时,其中教学课时30课时,实验课时为10课时。
2.教学内容和实验内容的设计和实施物联网安全较之传统互联网安全涵盖的范围更广,但是其“源科学”是计算机科学,因此本课程的授课内容仍以IP网络中的入侵检测技术和计算机安全为主,增加了无线传感器网络WSN和射频识别技术RFID技术的安全问题,再加上异种网络互联互通产生的新安全问题及技术作为物联网安全的主体内容。秉承实验是这门课程获得良好教学效果的关键思想,本节将不同阶段的重要知识点和对应的实验内容设计详述如下。
2.1传统IP网络的入侵检测技术“入侵检测技术”这门课程主要涉及到的重要知识点包括:入侵检测的基本概念、入侵方法与手段、入侵检测系统数据源、基于主机的入侵检测系统、基于网络的入侵检测系统、检测引擎、告警与响应、入侵检测系统的评估、入侵检测系统的应用等。其中原理性、理论性的内容主要体现在入侵检测的原理、检测算法、评估的指标体系等。图1是标准化组织提出的IDS的总体框架,该图分三个检测阶段(检测前、检测中、检测后),囊括了上述所有重要的知识点。(1)入侵前涉及入侵检测的基本概念、入侵方法与手段、入侵检测系统数据源等知识点。重点讲授基于网络的入侵检测的数据采集技术,引入实验1——网络数据包的捕获及协议的简单分析。(2)入侵中知识点涉及IDS的各种检测原理与方法。检测方法分为误用检测、异常检测和其它检测方法。重点讲授滥用检测普遍采用的利用特征串匹配的方法、各种异常检测模型也是很重要的辅助检测方法,比如数学模型(方差模型、均方差模型、)马尔科夫链和模糊逻辑。检测又分为基于主机的检测、基于网络的检测和分布式检测。为了呈现不同原理、不同检测方法的效果,设计了实验2——审计日志的获取和简单分析,对比实验1有利于学生体会基于主机的检测方法和基于网络的检测方法的不同。(3)入侵后涉及IDS的警报响应、警报冗余消除、警报后处理技术和意图识别技术等知识点。重点讲授对于几种典型攻击,IDS的攻击报警信息和警报后处理技术,让学生认识警报含义、不同的报警格式和方式。至此,学生应该对IDS的整个工作流程有了全面的认识。为了让学生融会贯通所有知识点,设计了实验3——Snort开源IDS的构建和使用。让学生在指定的实验室环境下安装,使用IDS,老师在实验室局域网与公网断开时,运行若干典型的攻击脚本,确保Snort能抓取到攻击实例,让学生利用所学的安全知识,模拟安全管理员分析攻击态势。对于传统IP网络上的入侵检测技术的教授,可以让学生牢记图1,有助于理清各阶段的重要知识点,在相关实验中体会攻击理论性知识的应用,是这门课程获得良好教学效果的关键。
2.2物联网安全技术物联网涵盖内容非常宽泛。实际上目前物联网的构成除了传统IP网络外,各式各样的无线传感器网络WirelessSensorNetwork(WSN)构成了物联网的主体。与传统IP网络不同,WSN因其特点导致其相同的安全需求有着完全不通的安全技术。重点知识点按WSN的分层协议体系结构讲授每一层上存在的安全问题以及典型攻击。比如,物理层:各种物理破坏以及导致的信息泄露和各种拥塞攻击;数据链路层:各种耗尽攻击和碰撞攻击;网络层:各种路由攻击、泛洪攻击、女巫攻击;应用层:污水池攻击、蠕虫洞攻击等。为了使学生了解和掌握不同的攻击的原理、攻击过程和方式,设计了实验4——WSN上的各种攻击实验演示。
2.3物联网互通产生的安全问题和安全技术由于此部分内容还属于当前研究热点,在课程中将作为物联网的全新内容介绍。重点抓住一些典型攻击案例讲述互联互通中产生的安全问题及解决方法。为此设计了实验5作为典型案例。实验5——跨网络的DDoS攻击,展示了在IP网络中已经克服的DDoS攻击,互通后的残余DDos攻击流量仍然超出WSN能够承受的范围,会导致WSN网络服务质量下降,甚至耗尽WSN宝贵的能量和带宽资源。
3.实验内容设计(1)设计型实验实验1——网络数据包的捕获及协议的简单分析。网络数据包是基于网络的入侵检测系统的重要数据源,网络数据包的捕获是基于网络的入侵检测系统实现的第一步。通过该实验,使学生了解和掌握基于Socket和libpcap的网络数据包的捕获方法,理解和掌握基于网络入侵检测系统的源数据的捕获、协议分析的基本原理和实现方法。同时使学生熟悉在Linux下的C语言开发技能。实验2——主机审计日志的获取和简单分析。主机审计日志数据是基于主机入侵检测系统的重要数据源,审计数据获取的质量和数量,决定了入侵检测的有效程度。通过该实验使学生了解Linux系统的日志系统和基于主机的入侵检测系统的原理。(2)综合型实验实验3——Snort开源IDS的构建和使用。让学生根据校园网实验室环境下的需求搭建,利用Snort及第三方软件搭建一个真实的入侵检测系统。根据需求选择已有的预处理插件、检测规则,最后有针对性地完成几个相应规则的编写,并进行正确性测试。断网后在运行几个典型攻击脚本,让学生分析Snort抓获的攻击警报,做出安全态势汇报。(3)验证型实验实验4——WSN上的各种攻击实验。学生利用一些攻击类软件工具和硬件设施完成一些可能的攻击。攻击的罗列使学生了解和掌握不同的攻击的原理、攻击过程和方式,加深对入侵检测的必要性的理解;实验5——跨网络的DDoS攻击。将传统IP网络通过特定网关与实验室特定的无线传感器网络相连,在IP网络中发起DDoS攻击,将目标锁定在传感器网络内。在IP网络上安装流量观测器,让学生直观地看到攻击流量的路径。然后在网关上启动DDoS攻击检测,过滤掉98%的攻击流量,让学生观察此时无线传感器网络的性能情况,比较两种情况,得出实验结论。
4.考核体系该课程的考核采用平时成绩和期末考核成绩加权平均的方式。考虑到课程的宗旨在于加强学生动手能力,同时为了减轻学生的学习负担,平时成绩强调考核动手能力,平时作业紧扣五个实用性实验,均为实验为铺垫和准备,实际上5个综合实验成绩占50%,期末的理论考核以开放式论文形式让学生根据自己对IDS的了解和兴趣选择和IDS相关的题目撰写论文,占50%。
二、结语
购物车(0)