关键词:计算机论文发表-发表计算机评职称论文
摘要:入侵检测(Intrusion Detection)是一项信息安全机制中的关键技术,入侵检测系统(IDS)是利用这一关键技术的监控和分析网络信息,以及时发现入侵行为的信息安全系统。
本文重点在结合信息安全等级的要求与IDS本身结构的优缺点,对信息安全策略进行分析,构建满足五级信息安全保护能力的入侵检测系统。
关键词:入侵检测,信息安全
1.信息安全等级
信息安全等级保护是我国信息安全保障工作的纲领性文件(《国家信息化领导小组关于加强信息安全保障工作的意见》)(中办发[2003]27号)提出的重要工作任务[1],其基本原理是,不同的信息系统有不同的重要性,在决定信息安全保护措施时,必须综合平衡安全成本和风险。
2007年6月,公安部发布的《信息安全等级保护管理办法》规定,根据信息系统在国家安全、经济建设、社会生活中的重要程度,其遭受破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等,其安全等级由低到高划分为五级,其等级划分原则如表1.1所示:
表1.1 安全等级划分原则
不同安全等级的信息系统应该具备相应的基本安全保护能力,其中第四级安全保护能力是应能够在统一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击,严重的自然灾害,以及其他相当维护程度的威胁所造成的资源损害,能够发现安全漏洞和安全相关事件,在系统遭到损害后,能够迅速恢复所有功能;第五级安全保护能力是在第四级安全的安全保护能力的基础上,由访问控制监视器实行访问验证,采用形式化技术验证相应的安全保护能力确实得到实现。
主要功能
入侵检测:通过对行为、安全日志、审计数据或其他网络上可以获得的信息进行操作,检测到对系统的闯入或者闯入的企图[2]。(国标GB/T 18336)
入侵检测系统的主要功能:
检测并分析用户和系统的活动,查找非法用户和合法用户的越权操作;检查系统配置和漏洞,并提示管理员修补漏洞。(由安全扫描系统完成)、评估系统关键资源和数据文件的完整性;识别已知的攻击行为;统计分析异常行为;操作系统日志管理,并识别违反安全策略的用户活动等;
成功的入侵检测系统,应该达到的效果:可以使系统管理员时刻了解网络系统(软件和硬件)的任何变更,能给网络安全策略的制定提供依据;管理配置简单,使非专业人员非常容易地获得网络安全。入侵检测的规模还应根据网络规模、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后,能及时作出响应,包括切断网络连接、记录事件和报警等。
图2.1入侵检测系统结构图
类别
由于IDS的模型多样化,IDS的类别也表现出较为复杂的情况,但是当前通常将入侵检测按照分析方法和数据来源来进行分类[3]。
3.1按照分析方法(检测方法)
异常检测模型(Anomaly Detection):首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵。
误用检测模型(MisuseDetection):收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。
3.2按照数据来源
基于主机的IDS:系统获取数据的依据是系统运行所在的主机,保护的目标也是系统运行所在的主机;检测的目标主要是主机系统和系统本地用户。检测原理是根据主机的审计数据和系统的日志发现可疑事件,检测系统可以运行在被检测的主机或单独的主机上。
图3.1基于主机的IDS结构图
基于网络的IDS:系统获取的数据是网络传输的数据包,保护的是网络的运行;根据网络流量、协议分析、单台或多台主机的审计数据检测入侵。
图3.2 基于网络的IDS结构图
探测器由过滤器、网络接口引擎器以及过滤规则决策器构成,探测器的功能是按一定的规则从网络上获取与安全事件相关的数据包,传递给分析引擎器进行安全分析判断[4]。
分析引擎器将从探测器上接收到的包并结合网络安全数据库进行分析,把分析的结果传递给配置构造器。
配置构造器按分析引擎器的结果构造出探测器所需要的配置规则。
分布式IDS:
传统的集中式IDS的基本模型是在网络的不同网段放置多个探测器收集当前网络状态的信息,然后将这些信息传送到中央控制台进行处理分析。
分布式结构采用了本地主体处理本地事件,中央主体负责整体分析的模式。
3.3 IDS的局限性
对于大规模的分布式攻击,中央控制台的负荷将会超过其处理极限,这种情况会造成大量信息处理的遗漏,导致漏警率的增高[5]。
多个探测器收集到的数据在网络上的传输会在一定程度上增加网络负担,导致网络系统性能的降低[6]。
由于网络传输的时延问题,中央控制台处理的网络数据包中所包含的信息只反映了探测器接收到它时网络的状态,不能实时反映当前网络状态[7]。
4.五级安全防护能力IDS构建
根据公安部《信息安全等级保护管理办法》,五级安全防护能力需要具备四级安全防护的漏洞发现和入侵检测能力,同时需要由访问控制监视器实现对访问的.及时验证,保证杜绝未授权用户的非法访问。
与此同时,如何解决因为网络时延而导致的数据分析的延后,以及解决探测器在网络传输中造成的网络负担,提高网络系统性能的同时保证中央控制台的高效运转,是当前IDS需要重点研究的问题。
当前IDS的结构中入侵检测和数据安全审计是两个不同的模块,入侵检测系统将检测数据提交给安全审计模块,对入侵行为的确认是由安全审计模块进行的[8]。因此在成本可接受的范围内,如果将审计模块和检测模块结合,并且将分布式IDS的每一个检测终端都由一个独立处理单元来进行基本的检测,只将较为复杂的数据提交给中央控制台,这样即减轻了网络传输的压力,也有利于中央控制台更加高效运转。将每一个独立处理单元命名为一个agent,每个agent的结构如下图所示:
5.结束语
本文介绍了信息安全等级的分类依据,在对IDS系统的类别和局限性进行分析的基础上,对满足五级信息安全防护能力的入侵检测系统进行了基本构建,探讨通过对分布式IDS终端处理单元的结构和防范策略进行调整,研究对IDS存在主要问题的处理策略。
参考文献:
[1] 高永强,罗世泽.网络安全技术与应用大典[M].北京:人民邮电出版社,2003:15-16.
[2] 盛思源,战守义,石耀斌.基于数据挖掘的入侵检测系统[J].计算机工程,2003,28(3).
[3] 胡振昌.网络入侵检测原理与技术[M].北京:北京理工大学出版社,2006
[4] 唐正军,李建华.入侵检测技术[M].北京:清华大学出版,2004.
[5] 程伯良,周洪波,钟林辉.基于异常与误用的入侵检测系统[J].计算机工程与设计.2007,28(14)
