刘阳哈尔滨职业技术学院
入侵检测及防御方法的研究与应用
刘阳
哈尔滨职业技术学院
网络给人们的工作和生活带来了便利。但同时也带来了威胁。人们在习惯于网上获取知识,网络信息交流、网络商品购买等活动的时候,一些对应的网络侵害,甚至网络犯罪也随之而来。利用黑客工具,进行网络攻击非法的入侵他人网络,从而获得他人的通讯信息、他人隐私。甚至利用网络工具对网站进行攻击、通过电子银行非法转账,获得非法收入。保障网络安全,防治网络入侵,是一个亟待解决的问题。本文从网络入侵的概念入手,对网络入侵的常见手段,如何利用技术手段进行检测,采取可行的网络防御介绍等方面进行了详细的阐述。
检测技术 防火墙 信息安全 防御协同 电子商务
网络安全早就收到人们的关注,人们希望获得一个真正安全的网络环境。这既包含了网络中硬件设备的安全,也包含软件应用的安全。但是在实际的工作生活中,仍然存在很多的网络安全问题。这是多方面原因构成的。一方面存在着网络使用者,对网络操作不够规范,或者说没有专业的知识,没有经验丰富的网络管理人员造成了网络中存在许多问题与漏洞。另一方面,黑客的刻意攻击,使得网络安全收到了巨大的威胁。这些攻击网络的黑客,有的是出于非法获取利益和他人隐私的心态,有的是出于在虚拟世界证明自己的目的,但都对网络安全造成了侵害。
政府网站、银行网站每年其实都经受着黑客的攻击。要想全面的做好防御与反向检测,就必须对黑客的攻击手段进行了解。现下很多黑客是在一些黑客网站中进行交流,下载一些成型的黑客软件进行攻击。并不具备较高的计算机知识和网络知识。这些黑客的攻击,方式相对单一、攻击方式有典型性,比较容易防御。但也存在一些黑客,喜欢研究计算机与网络知识,这些黑客在攻击软件的源码基础上进行一些尝试与创新,容易造成较大的伤害,增加防御难度。例如对计算机汇编语言熟悉,可以加深对低层硬件攻击的理解。对于操作系统原理的掌握,能够对网络后门的寻找更加方便,也加大了防御的难度。以上都是抽象具体而言。但从总体上来说,黑客的攻击主要是通过病毒与木马或者恶意代码来实现的。
可能有些对计算机知识了解不深的会感到疑惑,三者是不是相同的?答案当然是否定的。三者各有不同,这里不过多介绍。简单说明不同之处。病毒的特性在于类似于生物学上的病毒。具有不同时期的不同特性,能够潜伏,然后爆发。同时病毒具有复制性。木马,我们首先想到的是电影中特洛伊木马的形象,的确,木马的特性主要是隐蔽,通过后门非法侵入的作用。而恶意代码则更是广义的概念。是起到一定破坏作用的计算机编码。
首先,异常入侵检测技术异常检测 (Anomaly detection)的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”,将当前主体的活动状况与“活动简档”相比较,当违反其统计规律时,认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法,从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。其次,误用入侵检测技术又称为基于知识的检测。其基本前提是:假定所有可能的入侵行为都能被识别和表示。第一步,对已知的攻击方法进行攻击签名(攻击签名是指用一种特定的方式来表示已知的攻击模式)表示,然后根据已经定义好的攻击签名,通过判断这些攻击签名是否出现来判断入侵行为的发生与否。这种方法是依据是否出现攻击签名来判断入侵行为,是一种直接的方法常用的具体方法有:基于条件概率误用入侵检测方法、基于专家系统误用入侵检测方法、基于状态迁移分析误用入侵检测方法、基于键盘监控误用入侵检测方法、基于模型误用入侵检测方法。误用检测的关键问题是攻击签名的正确表示。误用检测是根据攻击签名来判断入侵的,根据对已知的攻击方法的了解,用特定的模式语言来表示这种攻击,使得攻击签名能够准确地表示入侵行为及其所有可能的变种,同时又不会把非入侵行为包含进来。由于多数入侵行为是利用系统的漏洞和应用程序的缺陷,因此,通过分析攻击过程的特征、条件、排列以及事件间的关系,就可具体描述入侵行为的迹象。
首先,可以使用入侵检测系统。它的作用就是通过不同节点的信息收集,来判断是否存在网络入侵现象。曾经一度被认为是防火墙的进化产品,可以替代防火墙。但是在使用过程中发现,入侵检测系统也存在着问题。经常会出现误判操作。影响了网络的正常使用。当然在入侵检测系统不断的发展完善过程中,这一现象也逐渐减少。而防火墙能够起到门卫的作用。隔断不信任网络与自身网络的连接。同时杀毒软件针对不同的木马和病毒,给出查杀方案,三者合作,是不错的解决黑客入侵攻击的方案。
[1]魏宇欣,武穆清.智能网格入侵检测系统[J].软件学报. 2006(11)
[2]周鸣争.基于核函数Fisher鉴别的异常入侵检测[J].电子与信息学报. 2006(09)