公共信息监管期末论文.docx
《公共信息监管期末论文.docx》由会员分享,可在线阅读,更多相关《公共信息监管期末论文.docx(13页珍藏版)》请在冰豆网上搜索。
公共信息监管期末论文
公共信息网络安全监管
期末课程设计
题目网络入侵案例分析
班级:
网络安全与执法班
学号:
201483030127
姓名:
刘洋
成绩:
完成时间:
2017年6月
目录
摘要.........1
Abstract.........1
第一章入侵检测系统的发展1
1.1入侵检测系统的发展历程1
1.2入侵检测概念的提出1
1.3入侵检测模型的建立2
第二章入侵检测技术2
2.1异常检测2
2.2误用检测2
第三章案例分析3
3.1案例类型及背景信息3
3.2通过案例说明入侵检测技术的目的................................................................................4
第四章无法建立一个完全安全系统的原因................................................................................4
第五章入侵检测的优点和目的4
第六章入侵检测系统的的发展方向5
6.1入侵技术的发展与演化......................................................................................................5
6.2入侵系统存在的问题........................................................................................................6
6.3入侵技术今后的发展方向..................................................................................................7
第七章总结8
参考文献......8
网络入侵案例分析
【摘要】
网络入侵的直接危害就是破坏了系统的机密性、完整性和可用性。
入侵者的企图不同,对系统安全特性的破坏也就不同,但不管是破坏了哪一个特性,都会对系统和网络安全构成严重威胁。
随着基于雇员的攻击行为和产品自身问题的增多,所以能够在防火墙内部监测非法的活动的入侵检测系统变得越来越必要。
伴随网络的普及,安全日益成为影响网络效能的重要问题,如何使信息网络系统不受病毒和黑客的入侵,已成为政府机构信息化健康发展所要考虑的重要事情之一。
关键词:
网络入侵;危害;必要性;重要性;入侵检测系统;应用案例
【Abstract】
Networkintrusiondirectlyharmisdestroyedtheconfidentiality,integrity,andavailabilityofthesystem.Attempttointruders,damagetothesystemsecurityfeaturesaredifferent,butwhetherthedamagewhichfeatures,willbeaseriousthreattosystemandnetworksecurity.Asbasedontheemployee'saggressivebehaviorandproductitselfproblemontherise,socanthefirewallintrusiondetectionsystemoftheinternalmonitoringillegalactivityisbecomingmoreandmorenecessary.Alongwiththenetworkpopularization,thesecurityhasincreasinglybecometheimportantproblemofaffectingnetworkperformance,howtomakeinformationnetworksystemisnotaffectedbyvirusandhacker'sinvasion,hasbecomethehealthydevelopmentofthegovernmentinformatizationisoneoftheimportantthingstoconsider.
Keywords:
Networkintrusion;Harm;Necessity;Importance;Intrusiondetectionsystem;Theapplicationcase
第1章入侵检测系统的发展
1.1入侵检测系统的发展历程
入侵检测是一种主动的网络安全防御措施。
入侵检测技术就是采取技术手段发现入侵和入侵企图,以便采取有效的措施来堵塞漏洞和修复系统,使用入侵检测技术具有入侵检测功能的网络安全系统称为入侵检测系统。
1.2入侵检测概念的提出
1980年,JamesAnderson在为美国空军所做的技术报告《ComputerSecurityThreatMonitoringandSurveillance》中首次提出了入侵检测的概念,提出可以通过审计踪迹来检测对文件的非授权访问,并给出了一些基本术语的定义,包括威胁、攻击、渗透、脆弱性等等。
Anderson报告将入侵划分为外部闯入、内部授权用户的越权使用和滥用三种,同时提出使用基于统计的检测方法,即针对某类会话的参数,例如连接时间、输入输出数据量,在对大量用户的类似行为作出统计的基础上得出平均值,将其作为代表正常会话的阈值,检测程序将会话的相关参数与对应的阈值进行比较,当二者的差异超过既定的范围时,这次会话
将被当作异常。
Anderson报告实现的是基于单个主机的审计,在应用软件层实现,其覆盖面不大,并且完整性难以保证,但是其提出的一些基本概念和分析,为日后入侵检测技术的发展奠定了良好的基础。
1.3入侵检测模型的建立
1987年,DorothyE.Denning在其论文《Anintrusion-detectionmodel》中首次提出了入侵检测系统的抽象模型,称为IDES系统,并且首次将入侵检测的概念作为一种计算机系统的安全防御措施提出。
Denning所提出的模型是一个通用的检测模型,其不依赖于特定的系统和应用环境,也不假定被检测的攻击类型。
在此之后开发的IDS系统基本上都沿用了这个结构模型。
Denning所提出的模型采用基于规则的模式匹配进行检测,根据主机审计记录数据,生成有关系统的若干轮廓,并对轮廓的变化差异进行监测以发现系统的入侵行为。
Denning模型并不关心目标系统所采用的安全机制,因此也不检测攻击者针对已知的系统弱点进行攻击的特征行为,这也被认为是其一个重大缺陷.
第2章入侵检测技术
2.1异常检测
异常检测分为静态异常检测和动态异常检测两种,静态异常检测在检测前保留一份系统静态部分的特征表示或者备份,在检测中,若发现系统的静态部分与以前保存的特征或备份之间出现了偏差,则表明系统受到了攻击或出现了故障。
动态异常检测所针对的是行为,在检测前需要建立活动简档文件描述系统和用户的正常行为,在检测中,若发现当前行为和活动简档文件中的正常行为之间出现了超出预定标准的差别,则表明系统受到了入侵。
目前使用的异常检测方法有很多种,其中有代表性的主要由以下5种。
(1)基于特征选择的异常检测方法基于特征选择的异常检测方法,是从一组特征值中选择能够检测出入侵行为的特征值,
构成相应的入侵特征库,用以预测入侵行为。
其关键是能否针对具体的入侵类型选择到合适的特征值,因此理想的入侵检测特征库,需要能够进行动态的判断。
在基于特征选择的异常检测方法中,Maccabe提出的使用遗传算法对特征集合进行搜索以生成合适的入侵特征库的方法是一种比较有代表性的方法。
(2)基于机器学习的异常检测方法
基于机器学习的异常检测方法,是通过机器学习实现入侵检测,主要方法有监督学习、归纳学习、类比学习等。
2.2误用检测
误用检测主要用来检测己知的攻击类型,判别用户行为特征是否与攻击特征库中的攻击特征匹配。
系统建立在各种已知网络入侵方法和系统缺陷知识的基础之上。
这种方法由于依据具体特征库进行判断,所以检测准确度很高。
主要缺陷在于只能检测已知的攻击模式,当出现针对新漏洞的攻击手段或针对旧漏洞的新攻击方式时,需要由人工或者其它机器学习系统得出新攻击的特征模式,添加到攻击特征库中,才能使系统具备检测新的攻击手段的能力。
误用检测常用的方法主要有:
(1)专家系统
专家系统是基于知识的检测中应用最多的一种方法,它包含一系列描述攻击行为的规则(Rules),当审计数据事件被转换为可能被专家系统理解的包含特定警告程度信息的事实(Facts)后,专家系统应用一个推理机(InferenceEngine)在事实和规则的基础上推理出最后结论。
(2)状态转移
状态转移方法采用优化的模式匹配来处理误用检测问题。
这种方法采用系统状态和状态转移的表达式来描述已知的攻击模式。
由于处理速度的优势和系统的灵活性,状态转移法已成为当今最具竞争力的入侵检测模型之一。
状态转移分析是针对事件序列的分析,所以不善于分析过分复杂的事件,而且不能检测与系统状态无关的入侵。
(3)模型推理
模型推理是指结合攻击脚本推理出是否出现了入侵行为,其中有关攻击者行为的知识被描述为:
攻击者目的,攻击者达到此目的的可能行为步骤,以及对系统的特殊使用等。
根据这些知识建立攻击脚本库。
检测时先将这些攻击脚本的子集看作系统正面临的攻击。
然后通过一个称为预测器的程序模块根据当前行为模式,产生下一个需要验证的攻击脚本子集,并将它传给决策器,决策器根据这些假设的攻击行为在审计记录中的可能出现方式,将它们翻译成与特定系统匹配的审计记录格式,然后在审计记录中寻找相应信息来确认或否认这些攻击。
第三章案例分析
3.1案例类型及背景信息
案例类型:
网站服务器引发内部网络遭受入侵。
代表网络:
四川省某市房产管理局网站及内部网络服务器群组。
案例背景介绍:
在某市房产管理局网站服务器遭受黑客入这一事件被报道之后,四川《天府早报》记者接到一起电话报料,一神秘女子言辞肯定,直指成都太升北路某公司为“黑客”性质(图3.1)。
报料者声称“我们工作在一家成都的公司,我们从事的工作是当黑客,甚至入侵政府网站,为我们自己的网站‘挂马’刷流量!
”
图3.1《天府早报》收到的黑客报料引出房管局入侵案件
记者展开调查发现,这家所谓的网络公司利用黑客入侵技术大量入侵各类网站(包括许多政府网站)进行挂马刷流量等非法操作。
由此揭开一些职业黑客公司的非法交易内幕——而某市房产管理局网站服务器及内部网络遭受入侵,只是其中的一个典型案例而已。
3.2通过案例说明入侵检测技术的目的
入侵检测技术是对系统的运行状态进行检测,从而发现各种攻击企图,攻击行为或者攻击结果,以保证系统资源的机密性、完整性与可用性。
本案例入侵的直接危害就是破坏了系统的机密性、完整性和可用性。
例如,非法用户在盗取了系统管理员的密码后,就可以完全控制该主机,为所欲为。
本来无权访问的文件或数据,现在可以访问,就破坏了系统的机密性;入侵者如果还改变了系统原有的配置,改变了文件的内容,修改了数据,就破坏了系统的完整性;攻击者使用拒绝服务攻击,使得目标主机的资源被耗尽,网络带宽被完全占用,就破坏了系统的可用性。
入侵者的企图不同,对系统安全特性的破坏也就不同,但不管是破坏了哪一个特性,都会对系统和网络安全构成严重威胁。
随着网络连接的迅速扩展,特别是Internet大范围的开放以及金融领域网络的接入,越来越多的系统遭到入侵攻击的威胁,这些威胁大多是通过挖掘操作系统和应用服务程序的弱点或者缺陷来实现的。
第四章无法建立一个完全安全系统的原因
目前,无法建立一个完全安全系统的原因有以下几点:
第一,要将所有已安装的带安全缺陷的系统转换成安全系统是不现实的,即使真正付诸于实践,也需要相当长的时间。
第二,加密技术方法本身存在一定的问题,如密钥的生成、传输、分配和保存,加密算法的安全性。
第三,访问控制和保护模型本身存在一定的问题。
第四,静态的安全控制措施不足以保护安全对象属性。
第五,安全系统易受内部用户滥用特权的攻击。
第六,在实践当中,建立完全安全系统根本是不可能的。
基于上述几类问题的解决难度,一个实用的方法是建立比较容易实现的安全系统,而入侵检测系统就是这样一类系统。
如果系统遭到攻击,只要尽可能地检测到,甚至是实时地检测到,然后采取适当的处理措施,就可以避免造成更大的损失。
第五章入侵检测的优点和目的
过去,很多人认为只要安装一个防火墙就可保障网络的安全,实际上这是一个误解,原因主要有以下几点:
第一、防火墙本身会有各种漏洞和后门,有可能被外部黑客攻破。
第二、防火墙不能阻止内部攻击,对内部入侵者来说毫无作用。
第三、由于性能的限制,防火墙通常不能提供实时的入侵检测能力。
第四、有些外部访问可以绕开防火墙。
例如,内部用户通过调制解调器拨号上网就把内部网络连到了外部网络,而这一连接并没有通过防火墙,防火墙对此没有任何监控能力。
而入侵检测系统可以弥补防火墙的不足,为网络提供实时的入侵检测并采取相应的防护手段,如记录证据用于跟踪入侵者和灾难恢复、发出警报,甚至终止进程、断开网络连接等等。
因此,随着基于雇员的攻击行为和产品自身问题的增多,所以能够在防火墙内部监测非法的活动的入侵检测系统变得越来越必要。
随着网络技术的发展,新的技术给防火墙带来了严重的威胁。
例如,VPN可以穿透防火墙,因此就需要入侵检测系统在防火墙后提供安全保障。
虽然VPN本身很安全,但有可能通过VPN进行通信的其中一方被rootkit或NetBus所控制,而这种破坏行为是防火墙无法抵御的。
所以,基于上述原因,入侵检测系统已经成为安全策略的重要组成部分。
就目前入侵检测系统的使用情况来看,入侵检测系统主要存在以下三点好处:
一、入侵检测可以发现防火墙和虚拟专用网没有检测到的攻击。
二、入侵检测可以实时监控互联网和外联网连接,保护关键性的资产、系统和资源—相当于现实生活中的监视摄像机。
三、入侵检测系统可以提供警报,智能化地阻止恶意攻击,甚至动态地重新配置网络,以避免以后再发生类似的攻击。
入侵检测作为一项安全技术,其主要目的在于:
第一,识别入侵者。
第二,识别入侵行为。
第三,检测和监视已成功的安全突破。
第四,为对抗入侵及时提供重要信息,阻止事件的发生和事态的扩大。
从这个角度来看安全问题,入侵检测对于建立一个安全系统来说是非常必要而且是非常重要的,它可以弥补传统安全保护措施的不足。
伴随网络的普及,安全日益成为影响网络效能的重要问题,而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求。
如何使信息网络系统不受病毒和黑客的入侵,已成为政府机构信息化健康发展所要考虑的重要事情之一。
政府单位所涉及的信息可以说都带有机密性,所以,其信息安全问题,如敏感信息的泄露、黑客的侵扰、网络资源的非法使用以及计算机病毒等,都将对政府机构信息安全构成威胁。
为保证政府网络系统的安全,有必要对其网络进行专门安全设计。
第6章入侵检测系统的的发展方向
在入侵检测技术发展的同时,入侵技术也在更新,攻击者将试图绕过入侵检测系统(IDS)或攻击IDS系统。
交换技术的发展以及通过加密信道的数据通信使通过共享网段侦听的网络数据采集方法显得不足,而大通信量对数据分析也提出了新的要求。
6.1入侵技术的发展与演化
入侵技术的发展与演化主要反映在下列几个方面:
(1)入侵的综合化与复杂化。
入侵的手段有多种,入侵者往往采取一种攻击手段。
由于网络防范技术的多重化,攻击的难度增加,使得入侵者在实施入侵或攻击时往往同时采取多种入侵的手段,以保证入侵的成功几率,并可在攻击实施的初期掩盖攻击或入侵的真实目的。
(2)入侵主体对象的间接化,即实施入侵与攻击的主体的隐蔽化。
通过一定的技术,可掩盖攻击主体的源地址及主机位置。
即使用了隐蔽技术后,对于被攻击对象攻击的主体是无法直接确定的。
(3)入侵的规模扩大。
对于网络的入侵与攻击,在其初期往往是针对于某公司或一个网站,其攻击的目的可能为某些网络技术爱好者的猎奇行为,也不排除商业的盗窃与破坏行为。
由于战争对电子技术与网络技术的依赖性越来越大,随之产生、发展、逐步升级到电子战与信息战。
对于信息战,无论其规模与技术都与一般意义上的计算机网络的入侵与攻击都不可相提并论。
信息战的成败与国家主干通信网络的安全是与任何主权国家领土安全一样的国家安全。
(4)入侵技术的分布化。
以往常用的入侵与攻击行为往往由单机执行。
由于防范技术的发展使得此类行为不能奏效。
所谓的分布式拒绝服务(DDoS)在很短时间内可造成被攻击主机的瘫痪。
且此类分布式攻击的单机信息模式与正常通信无差异,所以往往在攻击发动的初期不易被确认。
分布式攻击是近期最常用的攻击手段。
(5)攻击对象的转移。
入侵与攻击常以网络为侵犯的主体,但近期来的攻击行为却发生了策略性的改变,由攻击网络改为攻击网络的防护系统,且有愈演愈烈的趋势。
现已有专门针对IDS作攻击的报道。
攻击者详细地分析了IDS的审计方式、特征描述、通信模式找出IDS的弱点,然后加以攻击。
6.2入侵系统存在的问题
入侵检测系统还存在相当多的问题,这些问题大多是目前入侵检测系统的结构所难以克服的。
(1)攻击者不断增加的知识,日趋成熟多样自动化工具,以及越来越复杂细致的攻击手法。
入侵检测系统必须不断跟踪最新的安全技术,才能不致被攻击者远远超越。
(2)恶意信息采用加密的方法传输。
网络入侵检测系统通过匹配网络数据包发现攻击行为,入侵检测系统往往假设攻击信息是通过明文传输的,因此对信息的稍加改变便可能骗过入侵检测系统的检测。
(3)不能知道安全策略的内容。
必须协调、适应多样性的环境中的不同的安全策略。
网络及其中的设备越来越多样化,入侵检测系统要能有所定制以更适应多样的环境要求。
(4)不断增大的网络流量。
用户往往要求入侵检测系统尽可能快的报警,因此需要对获得的数据进行实时的分析,这导致对所在系统的要求越来越高,商业产品一般都建议采用当前最好的硬件环境。
尽管如此,对百兆以上的流量,单一的入侵检测系统系统仍很难应付。
可以想见,随着网络流量的进一步加大(许多大型ICP目前都有数百兆的带宽),对入侵检测系统将提出更大的挑战,在PC机上运行纯软件系统的方式需要突破。
(5)缺乏广泛接受的术语和概念框架。
标准的缺乏使得互通、互操作几乎不可能。
(6)不恰当的自动反应存在风险。
一般的IDS都有入侵响应的功能,如记录日志,发送告警信息给console、发送警告邮件,防火墙互动等,敌手可以利用IDS的响应进行间接攻击,使入侵日志迅速增加,塞满硬盘;发送大量的警告信息,使管理员无法发现真正的攻击者,并占用大量的cpu资源;发送大量的告警邮件,占满告警信箱或硬盘,并占用接收警告邮件服务器的系统资源;发送虚假的警告信息,使防火墙错误配置,如攻击者假冒大量不同的IP进行模拟攻击,而入侵检测系统系统自动配置防火墙将这些实际上并没有进行任何攻击的地址都过滤掉,造成一些正常的IP无法访问等。
(7)自身的安全问题。
入侵检测系统本身也往往存在安全漏洞。
因为IDS是安装在一定的操作系统之上,操作系统本身存在漏洞或IDS自身防御力差,就可能受到smurf、synflood等攻击。
此类攻击很有可能造成IDS的探测器丢包、失效或不能正常工作。
(8)存在大量的误报和漏报。
采用当前的技术及模型,完美的入侵检测系统无法实现。
这种现象存在的主要原因是:
入侵检测系统必须清楚的了解所有操作系统网络协议的运作情况,甚至细节,才能准确的进行分析。
而不同操作系统之间,甚至同一操作系统的不同版本之间对协议处理的细节均有所不同。
而力求全面则必然违背入侵检测系统高效工作的原则。
(9)缺乏客观的评估与测试信息的标准。
6.1入侵技术今后的发展方向
今后的入侵检测技术大致可朝下述几个方向发展。
(1)分布式入侵检测:
传统的IDS局限于单一的主机或网络架构,对异构系统及大规模的网络检测明显不足,不同的IDS系统之间不能协同工作。
为解决这一问题,需要发展分布式入侵检测技术与通用入侵检测架构。
第一层含义,即针对分布式网络攻击的检测方法;第二层含义即使用分布式的方法来检测分布式的攻击,其中的关键技术为检测信息的协同处理与入侵攻击的全局信息的提取。
(2)智能化入侵检测:
即使用智能化的方法与手段来进行入侵检测。
所谓的智能化方法,现阶段常用的有神经网络、遗传算法、模糊技术、免疫原理等方法,这些方法常用于入侵特征的辨识与泛化。
利用专家系统的思想来构建入侵检测系统也是常用的方法之一。
特别是具有自学习能力的专家系统,实现了知识库的不断更新与扩展,使设计的入侵检测系统的防范能力不断增强,应具有更广泛的应用前景。
应用智能体的概念来进行入侵检测的尝试也已有报道。
较为一致的解决方案应为高效常规意义下的入侵检测系统与具有智能检测功能的检测软件或模块的结合使用。
目前尽管已经有智能体、神经网络与遗传算法在入侵检测领域应用研究,但这只是一些尝试性的研究工作,仍需对智能化的IDS加以进一步的研究以解决其自学习与自适应能力。
(3)应用层入侵检测:
许多入侵的语义只有在应用层才能理解,而目前的IDS仅能检测如Web之类的通用协议,而不能处理如LotusNotes、数据库系统等其他的应用系统。
(4)高速网络的入侵检测:
在IDS中,截获网络的每一个数据包,并分析、匹配其中是否具有某种攻击的特征需要花费大量的时间和系统资源,因此大部分现有的IDS只有几十兆的检测速度,随着百兆、甚至千兆网络的大量应用,需要研究高速网络的入侵检测。
(5)入侵检测系统的标准化:
在大型网络中,网络的不同部分可能使用了多种入侵检测系统,甚至还有防火墙、漏洞扫描等其他类别的安全设备,这些入侵检测系统之间以及IDS和其他安全组件之间如何交换信息,共同协作来发现攻击、作出响应并阻止攻击是关系整个系统安全性的重要因素。
例如,漏洞扫描程序例行的试探攻击就不应该触发IDS的报警;而利用伪造的源地址进行攻击,就可能联动防火墙关闭服务从而导致拒绝服务,这也是互动系统需要考虑的问题。
可以建立新的检测模型,使不同的IDS产品可以协同工作。
第7章总结
本文对入侵检测系统的主要发展过程进行了综述和研究,通过一个案例对其使用的技术以及面临的主要问题和今后的发展趋势进行了探讨。
随着计算机网络的快速发展,入侵进侧系统也面临着许多新的问题,例如高效识别算法、协同入侵检测体系、入侵实时响应、数据关联分析等,这也是入侵检测系统未来的发展方向。
参考文献
[1]罗守山.入侵检测[M].北京:
北京邮电大学出版社,2003.
[2]胡昌振.网络入侵检测原理与技术[M].北京:
北京理工大学出版社,2006.
[3]杨义先.钮心忻.入侵检测理论与技术[M].北京:
高等教育出版社,2006.
[4]Madwachar,M.K.,etal.著.邱硕,孙海滨,刘乙璇译.Linux网络安全实践[M].北京:
科学出版社,2009.
[5]StallingsW.Cryptographyan
升级会员 