計算機網絡安全預防監測研究

[摘要] 隨著機計算機的普及，網絡安全越來越為人們所重視，其不僅僅是要保護內部網絡不受侵害，還要防止提供給外面的用戶的服務免遭外部攻擊。因此，網絡安全對計算機網絡用戶顯得尤為重要。本文探討了當前先進的網絡安全技術和防范措施， 設計了一系列網絡安全入侵檢測方案的實現。

[關鍵詞] 網絡安全入侵檢測

網絡安全指的是信息系統中硬件、軟件和系統中的數據受到保護，不因偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行，網絡服務不中斷。而入侵檢測作為一種積極主動的安全防護技術， 提供了對內部攻擊、外部攻擊和誤操作的實時保護在網絡系統受到危去之前攔截和響應入侵。入侵檢測系統能很好地彌補防火墻的不足， 從某種意義上說是防火墻的補充。

一、入侵檢測概述

1.入侵檢測技術

入侵檢測(Intrusion Detection)書面上的定義為“識別針對對計算機或網絡資源的惡意企圖和行為， 并對此做出反應的過程”IDS 則是完成如上功能的獨立系統。IDS 能夠檢測未授權對象(人或程序)針對系統的入侵企圖或行為， 同時監控授權對象對系統資源的非法操作。具體的功能是:

(1)從系統的不同環節收集信急。

(2)分析該信息， 試圖尋找入侵活動的特征。

(3)自動對檢測到的行為做出響應。

(4)紀錄并報告檢測過程結果。

2.入侵檢測的基本原理

入侵檢測是通過多種途徑對網絡或計算機系統信息進行收集，從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象， 一旦發現攻擊自動發出報警并采取相應的措施。同時， 記錄受到攻擊的過程， 為網絡或系統的恢復和追查攻擊的來源提供基本數據。

3.入侵檢測的分類

現有的分類大都基于信息源進行分類， 根據信息源的不同分為基于主機型、基于網絡型、基于主機和基于網絡的入侵檢測系統的集成三大類。

(1)基于主機的入侵檢測系統。基于主機的入侵檢測系統可監測系統、事件和Windows NT 下的安全記錄，以及Unix 環境下的系統記錄。當有文件被修改時， IDS將新的記錄條目與己知的攻擊特征相比較， 看它們是否匹配， 如果匹配， 就會向系統管理員報警或者做出適當的響應。

(2)基于網絡的入侵檢測系統。基于網絡的入侵檢測系統以網絡包作為分析數據源。它通常利用一個工作在混雜模式下的網卡來實時監視并分析通過網絡的數據流分析模塊通常使用模式匹配、統計分析等技術來識別攻擊行為。一旦檢測到了攻擊行為， IDS 的響應模塊就做出適當的響應. 比如報警、切斷相關用戶的網絡連接等。不同入侵檢測系統在實現時采用的響應方式也可能不同， 但通常都包括通知管理員、切斷連接、記錄相關的信急以提供必要的法律依據等。

(3)基于主機和基于網絡的入侵檢測系統的集成。。許多機構的網絡安全解決方案都同時采用了基于主機和基于網絡的兩種入侵檢測系統， 因為這兩種系統在很大程度上是互補的。實際上， 許多客戶在使用IDS 時都配置了基于網絡的入侵檢測。在防火墻之外的檢測器檢測來自外部Internet 的攻擊。DNS. Email 和Web 服務器經常是攻擊的目標， 但是它們又必須與外部網絡交互，不可能對其進行全部屏蔽， 所以應當在各個服務器上安裝基于主機的入侵檢測系統， 其檢測結果也要向分析員控制臺報告。因此， 即便是小規模的網絡結構也常常需要基于主機和基于網絡的兩種入侵檢測能力。

二、入侵檢測系統常用的檢測方法

入侵檢測系統常用的檢測方法有專家系統、特征檢測與統計檢測。據公安部計算機信息系統安全產品質量監督檢驗中心的報告，國內送檢的入侵檢測產品中95%是屬于使用入侵模板進行模式匹配的特征檢測產品，其他5%是采用概率統計的統計檢測產品與基于日志的專家知識庫系產品。

1.專家系統

用專家系統對入侵進行檢測， 經常是針對有特征入侵行為。專家系統主要是運用規則進行分析， 不同的系統與設置具有不同的規則， 且規則之間往往無通用性。專家系統的建立依賴于知識庫的完備性， 知識庫的完備性又取決于審計記錄的完備性與實時性。入侵的特征抽取與表達， 是入侵檢測專家系統的關鍵。在系統實現中， 將有關入侵的知識轉化為if- then 結構(也可以是復合結構)， 條件部分為入侵特征， then 部分是系統防范措施。運用專家系統防范有特征入侵行為的有效性完全取決于專家系統知識庫的完備性。

2.特征檢測

特征檢測需要對己知的攻擊或入侵的方式做出確定性的描述，形成相應的事件模式。當被審計的事件與己知的入侵事件模式相匹配時即報警其檢測方法同計算機病毒的檢測方式類似。日前基于對包特征描述的模式匹配應用較為廣泛。該方法預報檢測的準確率較高， 但對于無經驗知識的入侵與攻擊行為無能為力。

3.統計檢測

統計模型常用異常檢測， 在統計模型中常用的測量參數包括:審計事件的數量、間隔時間、資源消耗情況等。常用的入侵檢測5種統計模型為:操作模型、方差、多元模型、馬爾柯夫過程模型、時間序列分析。統計方法的最大優點是它可以”學習， 用戶的使用習慣， 從而具有較高檢出率與可用性。但是它的”學習”， 能力也給入侵者以機會通過逐步”訓練”， 使入侵事件符合正常操作的統計規律. 從而透過入侵檢測系統。

4.入侵檢測方案實現

方案簡述: “入侵檢測” 屬于安全評估類產品， 是一種網絡實時自動攻擊識別和響應系統它通過多種途徑收集單位內部網的主機和網絡信息， 對這些信息加以分析， 查看網絡安全體系結構是否存在漏洞， 主機系統和網絡上是否有入侵事件發生， 如果發現有入侵事件， 自動對這些事件響應， 同時給出相應提示。內部網根據部門劃分不同子網網段。每個部門或子網有一個交換機， 設置網絡中心， 有專門的網絡管理員。各個子網匯總到網絡中心連接到高性能服務器群， 高性能服務器群放置在防火墻的DMZ 區。方案構建: 根據網絡流量和保護數據的重要程度， 選擇IDS 探測器(百兆)配置在內部關鍵子網的交換機處放置， 核心交換機放置控制臺， 監控和管理所有的探測器因此提供了對內部攻擊和誤操作的實時保護， 在網絡系統受到危害之前攔截和響應入侵。入侵檢測可以進行如下反應:

(1)控制臺報警。

(2)記錄網絡攻擊事件。

(3)實時阻斷網絡連接。

(4)入侵檢測采用透明工作方式， 靜靜地監視本網絡數據流， 對網絡通訊不附加任何時延。

(5)入侵檢測可以過濾和監視TCP或IP 協議。系統管理員通過配置入侵檢測， 可以按協議(TCP， ICMP)， 源端口， 目的端口， 源IP或目的IP 地址過濾。入侵檢測可監測多種網絡服務:包括文件傳輸、遠程登陸等， 并且所支持的服務隨著入侵檢測的發展可以不斷地擴展。

(6)入侵檢測還支持用戶自定義的網絡安全事件監視。

(7)入侵檢測能生成系統安全日志以利于系統安全審計并以開放數據庫方式支持安全分析決策系統， 從而為網絡安全提供有效的保障。

參考文獻：

[1]楊振會:基于防火墻的入侵檢測系統的設計[J].計算機安全， 2006，(10)

[2]王炳晨:網絡安全專家服務——趨勢網絡安全掌控危機[J]. 微電腦世界， 2007，(07)

[3]富強:東軟網絡安全十年發展之路[J].計算機安全， 2006，(07)

[4]Fortinet發表2007年網絡安全十大預言[J].計算機安全， 2007，(02)

[5]2006年第38屆世界電信日:推進全球網絡安全[J].中國教育網絡， 2006，(06)