计算机应用技术检测报告Word格式文档下载.docx
《计算机应用技术检测报告Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《计算机应用技术检测报告Word格式文档下载.docx(25页珍藏版)》请在冰豆网上搜索。
4.完善网络安全管理IDS通过对攻击或入侵的检测及反应,可以有效地发现和防止大部分的网络犯罪行为,给网络安全管理提供一个集中、方便、有效的工具。
使用IDS系统的监测、统计分析、报表功能,可以进一步完善网络管理。
通过对现有的入侵检测系统和技术的研究,我们可以按照原始数据的信息来源,将入侵检测系统分为基于主机的入侵检测系统、基于网络的入侵检测系统和基于应用的入侵检测系统[11]。
(1)基于主机的入侵检测系统用于保护关键应用的服务器,实时监视可疑连接、系统日志、非法访问和闯入等,通常采用查看可疑行为的审计记录来执行。
优点是:
内在结构没有任何束缚,可以利用操作系统本身提供的功能、并结合异常分析,更准确的报告攻击行为。
主机入侵检测系统与网络入侵检测系统相比通常能够提供更详尽的相关信息。
主机入侵检测系统通常情况下比网络入侵检测系统误报率要低,因为检测在主机上运行的命令序列比检测网络流更简单,系统的复杂性也少得多。
缺点是:
安装在我们需要保护的设备上。
这会降低应用系统的效率。
此外,它也会带来一些额外的安全问题,安装了主机入侵检测系统后,将本不允许安全管理员有权力访问的服务器变成他可以访问的了。
主机入侵检测系统必须为不同平台开发不同的程序、增加系统负荷、所需安装数量众多。
全面部署主机入侵检测系统代价较大,企业中很难将所有主机用主机入侵检测系统保护,只能选择部分主机保护。
那些未安装主机入侵检测系统的机器将成为保护的盲点,入侵者可利用这些机器达到攻击目标。
主机入侵检测系统除了监测自身的主机以外,根本不监测网络上的情况。
对入侵行为的分析的工作量将随着主机数目增加而增加。
(2)基于网络的IDS主要用于实时监控网络关键路径的信息。
侦听网络上的所有分组来采集数据分析可疑现象。
使用原始网络包作为数据源,通常利用工作在混杂模式下的网卡实时监视和分析所有通过共享网络的传输,一般被放置在比较重要的网段内,也可以利用交换式网络中的端口映射功能来监视特定端口的网络入侵行为。
网络IDS的优点主要是简便:
一个网段上只需安装一个或几个这样的系统,便可以监测整个网段的情况。
配置起来相当方便。
由于往往分出单独的计算机做这种应用,不会对运行关键业务的主机带来负载上的增加。
它不会成为系统中的关键路径,因此网络入侵检测系统发生故障不会影响正常业务的运行,风险小。
它只检查它直接连接网段的通信,不能检测在不同网段的网络包。
在使用交换以太网的环境中就会出现监测范围的局限。
而安装多台网络入侵检测系统的传感器会使部署整个系统的成本大大增加。
为了性能目标通常采用特征检测的方法,它可以检测出普通的一些攻击,但很难实现一些复杂的需要大量计算与分析时间的攻击检测。
处理加密的会话过程较困难,目前通过加密通道的攻击尚不多,但随着IPv6的普及,这个问题会越来越突出。
它通过在网段上对通信数据的监听来采集数据。
当它同时检测多台主机的时候,系统性能将会下降,特别是在网速日益加快的情况下。
(3)基于应用的入侵检测可以说是基于主机的入侵检测系统的一个特殊子集,也可以说是基于主机的入侵检测系统实现的进一步细化,所以其特性,优缺点与基于主机的入侵检测系统基本相同。
主要特征是使用监控传感器在应用层收集信息。
由于这种技术可以更准确的监控用户某一应用的行为,所以这种技术在日益流行的电子商务中也越来越受到注意。
它监控在某个软件应用程序中发生活动,信息来源主要是应用程序日志。
它监控的内容更为具体,相应的监控的对象更为狭窄。
因此很多IDS的同时采用来自主机和来自网络的数据源,形成一种混合形的系统,这也是当前大型入侵检测系统的发展趋势。
入侵检测系统都具有自己的优点和不足,3种入侵检测系统具有互补性,基于网络的入侵检测能够客观地反映网络活动,特别是能够监视到系统审计的盲区;
而基于主机的和基于应用的入侵检测能够更加精确地监视系统中的各种活动。
入侵检测系统基本结构及工作流程在不同的网络环境和不同的系统安全策略中,入侵检测系统在具体的实现上也有所不同。
从系统构成上看,入侵检测系统至少包括数据提取、入侵分析、响应处理三个部分,另外还可能结合安全知识库、数据存储等功能模块,提供更为完善的安全检测及数据分析功能(如图2-1所示)。
数据提取模块在入侵检测系统中居于基础地位,负责提取反映受保护系统运行状态的运行数据,并完成数据的过滤及其它预处理工作,为入侵分析模块和数据存储模块提供原始的安全审计数据,是入侵检测系统的数据采集器。
入侵分析模块是入侵检测系统的核心模块,包括对原始数据的同步、整理、组织、分类、特征提取以及各种类型的细致分析,提取其中所包含的系统活动特征或模式,用于正常和异常行为的判断。
这种行为的鉴别可以实时进行,也可以是事后分析。
响应处理模块负责在发现攻击行为之后实施响应措施。
数据提取模块的功能和效率直接影响IDS系统的性能。
如何选择正确的数据源,如何进行合适并高效的预处理,是数据提取模块乃至整个入侵检测系统需要首先解决的问题。
_图2-1入侵检测的基本工作流程Fig.2-1Thebasicworkingflowchartofintrusiondetection入侵检测系统通常只有一个监听端口,不跨接多个物理网段,无需转发任何流量,只需在网络上收集它所关心的报文即可。
对收集来的报文,入侵检测系统提取相应的流量,统计其特征值,并利用内置的知识库与这些流量的特征进行智能匹配。
根据预设的阈值,匹配耦合度较高的报文流量将被认为是入侵行为,系统将进行报警和防御。
入侵检测的分析方法入侵检测分析方法主要包括误用检测和异常检测,本节将对这两类分析方法进行详细介绍[12]。
误用检测误用检测的基本原理是首先判断这个活动是否对系统是恶意的。
误用入侵检测根据已知的入侵模式来检测入侵。
入侵者常常利用系统和应用软件中的弱点来实施攻击,而这些弱点易编成某种模式,如果入侵者的攻击方式正好匹配上检测系统中的模式库,则就认为有入侵行为发生。
其模型如图2-2所示。
_图2-2误用入侵检测模型Fig.2-2Intrusiondetectionmodelofmisuse误用入侵检测成功与否依赖于模式库的建立,若没有构造出好的模式库,则不能检测到入侵行为。
误用入侵检测主要用于检测那些假设能够被精确地按某种方式进行编码的攻击。
通过捕获攻击及整理分析,可确认入侵活动是否是基于同一弱点进行攻击的入侵方法的变种。
理论上讲,以编码的方式,不能完全肯定能够有效的捕获独特的入侵。
某些模式的估算有其固有的不准确性,这样就会造成误报警和漏报警。
误用入侵检测的局限性是其只适用于已使用模式的可靠性检测,仅能检测到已知的入侵方式。
1.模式匹配方法模式匹配的误用入侵检测方法是最基本的误用入侵检测方法,该方法将已知的入侵特征转换成模式,存放于模式数据库中。
在检测过程中,模式匹配模型把实时的事件与模式数据库中的入侵模式进行匹配,若匹配成功,则认为有入侵行为发生。
2.专家系统方法基于专家系统的误用入侵检测方法是传统的,通用的误用入侵检测方法。
比如在MIDAS、IDES、NIDES、DIDS和CMDS中都使用了这种方法。
使用专家系统的好处是把推理从问题的描述中分离出来。
它允许使用类似于条件判断规则一样的输入信息,然后以审计事件的形式输出事实,系统根据输入信息评估这些事实。
这个过程不需要用户理解专家系统的内部功能。
输入的攻击信息使用类似于if-then规则的条件判断语法。
入侵条件被放在规则的左边(if端)。
当满足这些规则时,执行右边(then端)的动作。
入侵检测专家系统的缺点主要是:
(1)不适合处理大批量的数据。
专家系统中使用的说明性表达一般用来解释系统实现,因此解释器总是比编译器慢。
(2)并没有提供对连续有序数据的处理功能。
(3)不能处理固有不确定性。
考虑到在知识系统中,由于其他规则的变化和影响而必须改变规则时,如何维护规则系统的稳定也是一个很具有挑战性的问题。
3.状态转换方法我们可以通过使用最优模式匹配技巧以及执行误用检测的状态转换方法,来结构化误用检测问题,使其灵活性、检测速度、入侵检测能力得到提高。
状态转换方法使用系统状态和状态转换表达式来描述和检测已知的入侵。
实现入侵检测状态转换的主要方法是状态转换分析和有色Petri网。
(1)状态转换分析状态转换分析方法使用高级状态转换图表来体现和检测已知的入侵攻击方式。
状态转换图表采用图形化的方式表现贯穿模型。
如图2-3所示,是一个状态转换图表的组成及其代表的一个序列。
“节点”代表状态,“弧”代表转换。
用状态转换表格来表示入侵的基本思想是:
所有的入侵都是从拥有有限权限的起始点出发,并利用系统的脆弱性来获取一些入侵成果。
开始点的有限权限处和入侵成功的越权权限处都可以用系统状态来表示。
使用状态转换图表来表示入侵序列时,初始和入侵状态之间的路径可能是相当主观的,系统自身仅限于表示导致一次状态改变的关键活动。
每一个状态由一个或多个状态声明组成。
状态转换分析系统利用有限状态机图表模拟入侵。
入侵由从系统初始状态到入侵状态的一系列动作组成,初始状态代表入侵执行前的状态,入侵状态代表入侵完成时的状态。
系统状态根据系统属性进行描述。
转换由一个用户动作驱动。
状态转换引擎保存着一套状态转换图表。
在一个给定的时间内,假定一系列的动作驱动系统到图表中某个特定的状态。
当一个新的动作发生时,引擎拿它与每一个图表对比,看是否能驱动下一个状态。
如果这个动作驱动到结速状态,指示一次入侵,则以前的转换信息被送到决定引擎,它向安全人员发出入侵存在的警报。
_图2-3状态转换图Fig.2-3Chartofstatesswitch状态转换方法的优点如下:
状态转换图表提供了一个直接的、高级的、与审计记录独立的概要描述。
转换允许一个人去描绘构成攻击概要的部分顺序信号动作。
当攻击成功时,状态转换必须使用最小可能的信号动作子集。
因此,监测器能归纳出相同的攻击。
系统保存的硬连接信息使它更容易表示攻击情景。
系统能检测出协同的缓慢攻击。
状态转换方法的缺点如下:
①状态声明和信号的动作的列表是手工编写的。
②状态声明和信号可能不能充分表达更复杂的攻击情景。
③某个状态的评估可能要求推论引擎从目标系统获取额外信息。
这个处理会导致性能下降。
④系统不能检测出许多常见的攻击,因此必须与其他监测器写作使用。
⑤基于该方法的原形系统与其他基于状态转换方法的系统相比效率低。
(2)有色Petri网优化误用检测的另一个基于状态转换的方法是有色Petri网的方法,这个方法是在IDIOT系统中实现的。
它使用一种CP-Net的变种来表示和检测入侵模式。
在这种模式下,一个入侵被表示为一个CP-Net。
CP-Net中通过令牌的颜色服务来模拟事件的上下文。
通过审计记录驱动信号匹配,并通过从起始状态到结束状态逐步移动令牌来指示入侵或攻击,并且当模式匹配时动作被执行。
这个模式匹配模型由下面几部分组成。
①一个上下文描述:
允许匹配相关的构成入侵信号的各种事件。
②语义学:
容纳了几种混杂在同一事件流中的入侵模式的可能性。
③一个动作的规格:
当模式匹配时,提供某种动作的执行。
图2-4显示了一个TCP/IP连接的CP-Net模式。
_图2-4TCP/IP连接的CP-Net模式Fig.2-4ConnectiveCP-NetmodelofTCP/IP用此方法进行误用检测的优缺点,具体如下:
①速度非常快。
②模式匹配引擎独立于审计格式。
这样它就能应用在IP包和其它检测问题中。
③特征在跨越审计记录方面非常方便,使它们能在不同的系统中移动。
④模式能根据需要进行匹配。
⑤事件的顺序和其它排序约束条件可以直接体现出来。
异常检测异常检测需要建立正常的用户行为特征轮廓,然后将实际用户行为和这些轮廓相比较,并标识正常的偏离。
也就是说,异常检测是根据系统或用户的非正常的情况来检测入侵行为,如图2-5所示。
异常检测的基础是异常行为模式的误用。
轮廓定义成度量集,度量衡量用户的特定方面的行为,每一个度量与一个阈值相联系。
设置异常的阈值不当,往往就会造成IDS出现许多误报警或漏检,漏检对于重要的安全系统来说是相当危险的,因为给安全管理员造成了虚假的系统安全。
同时,误报警会增添安全管理员的负担,也会导致IDS的异常检测器计算开销增大。
因此,异常检测的完成必须验证,因为没有人知道任何给定的度量集是否足够完备,并是否能表示所有的异常行为。
_图2-5异常检测模型Fig.2-5Modelofabnormaldetection其他检测方法还有一些入侵检测方法既不是误用检测也不属于异常检测的范围,这些方案可应用于上述两类检测之中。
它们可以驱动或精练这两种检测形式的先行活动,或以不同于传统观点的方式影响检测策略。
1.免疫系统方法系统首先被用来进行异常检测。
系统按两个阶段进行入侵检测分析处理,第一个阶段建立一个形成正常行为特征轮廓的知识库。
以系统处理为中心,与这个特征轮廓的偏差被定义为异常。
第二个阶段,检测系统的特征轮廓用于监控随后的异常系统行为。
系统的特征轮廓由长度为10的序列组成。
使用3个度量描述正常行为的偏离。
2.遗传算法遗传算法是一类被称为进化算法的实例,进化算法吸收达尔文自然选择法则和适者生存的思想来解决问题。
遗传算法允许染色体的结合或突变以形成新个体的方法来使用已编码的表格。
这些算法在多维优化问题处理方面的能力已经得到认可,在多维最优化问题中,染色体由优化的变量编码值组成。
遗传算法对异常检测的实验结果是令人满意的。
3.基于代理的检测基于代理的入侵检测方法是指在一个主机上执行的某种安全监控功能的软件实体。
它们由操作系统控制而不依赖于其他进程,并且自动运行。
基于代理的方法连续运作,除了与其他相似的结构代理交流和协作外,还从运作过程中学习。
基于代理的检测在保护大规模的分布式网络方面,有广阔的发展前景。
4.数据挖掘数据挖掘是指从大量的实体数据中抽出模型的处理过程。
数据挖掘中挖掘审计数据最有用的三种方法是:
分类、关联分析、序列模式分析。
研究者已开发出标准数据挖掘算法来扩展并适应一些审计和其他系统事件日志的特殊需求。
其中,使用现场数据实验初始结果是很有效的。
现有入侵检测系统的不足目前,根据国外权威机构近来发布的入侵检测产品评测报告,目前主流的入侵检测系统大都存在以下不足[4,5]:
1.存在过多的报警信息,即使在没有直接针对入侵检测系统本身的恶意攻击时,入侵检测系统也会发出大量报警,这种误报警容易给管理工作带来很大压力,迫使管理员去分析这些警报的真伪。
2.入侵检测系统自身的抗攻击能力一般。
入侵检测系统的智能分析能力越强,处理越复杂,抗强力攻击的能力就越差。
3.缺乏检测高水平攻击者的有效手段。
现有的入侵检测系统一般都设定了阈值,只要攻击者将网络探测、攻击速度和频率控制在阈值之下,入侵检测系统就不会报警。
4.随着网络速度的大幅度提升,现有入侵检测系统的丢包现象明显。
这对网络入侵检测系统的检测算法、检测速度和效率也提出了一个严峻的挑战。
有必要研究新算法或提升现有算法的效率。
5.必须不断跟踪最新的安全技术。
攻击者不断增加的知识、日趋成熟多样自动化工具、以及越来越复杂细致的攻击手法,迫使入侵检测系统必须不断跟踪最新的安全技术,才能不致被攻击者远远超越。
6.难以识别恶意信息采用加密的方法传输。
网络入侵检测系统通过匹配网络数据包发现攻击行为,入侵检测系统往往假设攻击信息是通过明文传输的,因此对信息的稍加改变可能骗过入侵检测系统的检测。
特别是IPV6,SSL等协议应用以后,这样的情况会越来越多。
7.交换机导致网络环境变化。
传统的入侵检测通过设置网卡为“混杂”模式,从而读取集线器式局域网中传输的网络数据包,交换式局域网造成网络数据流的可见性下降。
8.入侵检测系统的厂家在规定标准上缺乏互通。
不能与其他安全措施很好结合。
生物免疫系统综述在现代科学研究中,人们采用仿生途径从生物系统中获得灵感,提出了神经网络(ANN)、遗传算法(GA)、蚁群系统(AntSystem)等若干现实的学习系统[15,16]。
生物免疫系统是一个高度进化的系统,它能区分外部有害抗原和自身组织,清除病原并保持有机体的稳定,是一个高度并行、分布、自适应、自组织的系统,具有很强的学习、识别、记忆和特征提取能力,具有强大的信息处理能力。
免疫系统具有以下的信息处理能力[17]:
系统层次识别;
信息存储;
自学习;
多样性的产生;
能够识别自我和非我物质。
本章主要介绍目前人工免疫系统(ArtificialImmuneSystem,AIS)最常借鉴的一些生物免疫机制以及与入侵检测有关的人工免疫系统模型[18,19]。
免疫的功能免疫是指机体的免疫系统识别自我与非我,排斥抗原和异物,用以维护内环境的生理平衡和稳定的一种生物学功能[21],通常表现为对机体有利的生理性保护作用,但在一定条件下也可表现为对机体有害的病理损伤作用。
现代免疫学[22,23]认为:
生物体内存在一个负责免疫功能的完整解剖系统,即免疫系统,与神经系统和内分泌系统等其它生理系统一样,这个系统有着自身固有的运行机制,并可与其他系统相互配合、相互制约,共同维持机体在生命过程中生理平衡。
生物免疫系统是由免疫分子、免疫细胞、免疫组织和免疫器官组成的复杂系统。
这个系统一般表现出以下三种生理功能。
1.免疫防御:
这是机体排斥外来抗原性异物的一种免疫保护功能。
正常时可产生抗感染免疫的作用,防御功能过强则会产生超敏反应,过弱则产生免疫缺陷,后两种情况均属于异常状况。
2.自身稳定:
这是机体免疫系统维持内环境相对稳定的一种生理功能。
正常时,机体可及时清除体内损伤、衰老、变性的不正常血细胞、抗原及抗体复合物,而对自身成份保持免疫耐受;
异常时,无法区分正常与异常,发生生理功能紊乱、自身免疫病等。
3.免疫监控:
这是机体免疫系统及时识别、清除体内突变、畸变的细胞和病毒干扰细胞的一种生理保护作用。
生物免疫系统原理与运行机制生物界中的病原体存在于各个角落,有些病原体一旦进入生物体,便会造成致命的损害,生物体靠一套完善的免疫系统来防御自然界中的入侵者。
生物免疫系统一般通过几道屏障来防御外来入侵者,如图2-6所示,最外层是皮肤粘膜及其附属物,它可以将某些类型的抗原拒之门外,这是生物体预防传染病的第一道屏障,一旦病原体微生物通过第一道屏障进入机体,这时就要由第二道屏障来保护,即物理环境的保护,也就是提供不利于病原体存活的PH值和温度;
第三层是先天性免疫系统,先天性免疫又称为非特异性免疫,是机体在长期发育进化过程中逐渐形成的一种天然防御功能,经遗传获得;
最后一层是可适应性免疫又称特异性免疫,它的名称来源于它具有可适应性,能随外界环境的变化适应或学会识别特定种类的抗原,并且保留对这些抗原的记忆以便加快未来的反应。
图2-6自然免疫系统的多层次结构Fig.2-6Multi-hiberarchyofnaturalimmuno-system从免疫系统的各个层次来看,可适应性免疫系统是整个免疫系统中最为复杂的一层,从信息学角度来看,它实际是一个大规模的分布式信息处理系统,它对于计算机安全来说也最具有研究价值;
这里要借鉴的就是生物体的可适应性免疫,即后天免疫。
可适应性免疫系统可适应性免疫系统能学会识别特定种类的抗原,并且保留对它们的记忆以便加快以后的识别速度。
可适应性免疫系统主要由淋巴细胞构成,机体的免疫功能主要来自淋巴细胞,根据免疫功能的不同,淋巴细胞主要有两类:
B细胞(bonemarrow)与T细胞(thymus),B细胞是抗体分泌细胞,在骨髓中发育;
T细胞在胸腺中发育,作用是杀死抗原或抑制B细胞的过度繁殖。
T细胞是一种重要的淋巴细胞,成熟的T细胞在抵御外来攻击时,起着协调免疫系统各部分功能的作用。
当还处于胚胎阶段时,在骨髓中产生的未成熟的T细胞进入胸腺,胸腺是另一个中枢免疫器官,在其中分化发育为两大类T细胞,不合格的T细胞产生自体免疫被消灭,而成熟的T细胞分布在脾和淋巴结中以防御外来人侵。
另一种重要的淋巴细胞是B细胞,B细胞在骨髓中发育成熟后,进入脾和淋巴结中。
每个B细胞产生一种依附于其表面的抗体,用以探测相应的抗原,B细胞可以产生很多种抗体存在于体液中,识别、排斥和杀灭病原体微生物,称为体液免疫;
B细胞继续分化,一部分成为能产生抗体的浆细胞,产生与抗原相应的抗体,并与抗原结合使之失去活性,从而达到消除抗原的目的,这个过程就是先天免疫。
另一部分没有转化为浆细胞的B细胞发展为记忆细胞,记忆细胞对抗原非常敏感,能记住入侵过的抗原,当有同样的抗原再次入侵时,记忆细胞就能很快地做出反应,这就是后天免疫或适应性免疫[24]。
生物体内的这些淋巴细胞并不是静止不动的,它们随着血液和淋巴系统在人体内不断循环。
淋巴细胞在检测抗原时相互协作并对抗原的清除起到辅助作用。
淋巴细胞可以被抽象的看作可以移动的、独立的检测器。
生物体内成千上万的淋巴细胞就形成了一个分布式检测系统,在这个系统中没有指挥中心,抗原的检测和消灭都是靠这些淋巴细胞通过局部的相互作用完成。
具体分析,可适应性免疫系统主要包括识别机制、受体多样性机制、亲密度变异机制、记忆机制、容忍机制等。
免疫系统有两种免疫应答类型:
固有免疫应答和适应性免疫应答[25,26]。
1.固有免疫应答第一层免疫系统为固有免疫系统,是天生就有的,不随特异病原体变化,由化学应答系统(补体)、内吞作用系统和噬菌细胞系统组成。
固有免疫系统本身就具有辨别并消灭一些微生物和细菌的能力,具有与病原体第一次遭遇时就消灭它们的能力,而且可以消灭许多种第一次遇到的病原体。
固有免疫反应的一个重要组成部分是补体,协助或者互补抗体活动。
病原体关联分子模型只由病原体微生物产生,而不会由宿主组织产生;
因此他们被模式识别时可以指明病原体存在的信号。
这样,与免疫识别相关的结果必须与人体自身细胞和分子结构不相同,从而避免免疫系统破坏宿主自己的组织。
因此,固有免疫也能够辨别自体与非自体组织结构,参与到自体与非自体识别过程中,并起到促进适应性免疫的重要作用。
固有免疫识别最重要的方面是它诱导抗原细胞中的协同刺激信号的表达,这种信号会激活T细胞,促使适应性免疫应答产生。
这样,没有固有免疫识别的适应性免疫识别会导致淋巴细胞的阴性选择,这些阴性选择表示与适应性免疫识别有关的受体。
2.自适应性免疫应答自适应免疫系统也称为适应性免疫系统,使用两种类型的淋巴细胞:
升级会员 