发布时间:2023-03-06 16:01:30
序言:写作是分享个人见解和探索未知领域的桥梁,我们为您精选了8篇的网络安全监测样本,期待这些样本能够为您提供丰富的参考和启发,请尽情阅读。
[关键词] 网络安全入侵检测
网络安全指的是信息系统中硬件、软件和系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。而入侵检测作为一种积极主动的安全防护技术, 提供了对内部攻击、外部攻击和误操作的实时保护在网络系统受到危去之前拦截和响应入侵。入侵检测系统能很好地弥补防火墙的不足, 从某种意义上说是防火墙的补充。
一、入侵检测概述
1.入侵检测技术
入侵检测(Intrusion Detection)书面上的定义为“识别针对对计算机或网络资源的恶意企图和行为, 并对此做出反应的过程”IDS 则是完成如上功能的独立系统。IDS 能够检测未授权对象(人或程序)针对系统的入侵企图或行为, 同时监控授权对象对系统资源的非法操作。具体的功能是:
(1)从系统的不同环节收集信急。
(2)分析该信息, 试图寻找入侵活动的特征。
(3)自动对检测到的行为做出响应。
(4)纪录并报告检测过程结果。
2.入侵检测的基本原理
入侵检测是通过多种途径对网络或计算机系统信息进行收集,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象, 一旦发现攻击自动发出报警并采取相应的措施。同时, 记录受到攻击的过程, 为网络或系统的恢复和追查攻击的来源提供基本数据。
3.入侵检测的分类
现有的分类大都基于信息源进行分类, 根据信息源的不同分为基于主机型、基于网络型、基于主机和基于网络的入侵检测系统的集成三大类。
(1)基于主机的入侵检测系统。基于主机的入侵检测系统可监测系统、事件和Windows NT 下的安全记录,以及Unix 环境下的系统记录。当有文件被修改时, IDS将新的记录条目与己知的攻击特征相比较, 看它们是否匹配, 如果匹配, 就会向系统管理员报警或者做出适当的响应。
(2)基于网络的入侵检测系统。基于网络的入侵检测系统以网络包作为分析数据源。它通常利用一个工作在混杂模式下的网卡来实时监视并分析通过网络的数据流分析模块通常使用模式匹配、统计分析等技术来识别攻击行为。一旦检测到了攻击行为, IDS 的响应模块就做出适当的响应. 比如报警、切断相关用户的网络连接等。不同入侵检测系统在实现时采用的响应方式也可能不同, 但通常都包括通知管理员、切断连接、记录相关的信急以提供必要的法律依据等。
(3)基于主机和基于网络的入侵检测系统的集成。。许多机构的网络安全解决方案都同时采用了基于主机和基于网络的两种入侵检测系统, 因为这两种系统在很大程度上是互补的。实际上, 许多客户在使用IDS 时都配置了基于网络的入侵检测。在防火墙之外的检测器检测来自外部Internet 的攻击。DNS. Email 和Web 服务器经常是攻击的目标, 但是它们又必须与外部网络交互,不可能对其进行全部屏蔽, 所以应当在各个服务器上安装基于主机的入侵检测系统, 其检测结果也要向分析员控制台报告。因此, 即便是小规模的网络结构也常常需要基于主机和基于网络的两种入侵检测能力。
二、入侵检测系统常用的检测方法
入侵检测系统常用的检测方法有专家系统、特征检测与统计检测。据公安部计算机信息系统安全产品质量监督检验中心的报告,国内送检的入侵检测产品中95%是属于使用入侵模板进行模式匹配的特征检测产品,其他5%是采用概率统计的统计检测产品与基于日志的专家知识库系产品。
1.专家系统
用专家系统对入侵进行检测, 经常是针对有特征入侵行为。专家系统主要是运用规则进行分析, 不同的系统与设置具有不同的规则, 且规则之间往往无通用性。专家系统的建立依赖于知识库的完备性, 知识库的完备性又取决于审计记录的完备性与实时性。入侵的特征抽取与表达, 是入侵检测专家系统的关键。在系统实现中, 将有关入侵的知识转化为if- then 结构(也可以是复合结构), 条件部分为入侵特征, then 部分是系统防范措施。运用专家系统防范有特征入侵行为的有效性完全取决于专家系统知识库的完备性。
2.特征检测
特征检测需要对己知的攻击或入侵的方式做出确定性的描述,形成相应的事件模式。当被审计的事件与己知的入侵事件模式相匹配时即报警其检测方法同计算机病毒的检测方式类似。日前基于对包特征描述的模式匹配应用较为广泛。该方法预报检测的准确率较高, 但对于无经验知识的入侵与攻击行为无能为力。
3.统计检测
统计模型常用异常检测, 在统计模型中常用的测量参数包括:审计事件的数量、间隔时间、资源消耗情况等。常用的入侵检测5种统计模型为:操作模型、方差、多元模型、马尔柯夫过程模型、时间序列分析。统计方法的最大优点是它可以”学习, 用户的使用习惯, 从而具有较高检出率与可用性。但是它的”学习”, 能力也给入侵者以机会通过逐步”训练”, 使入侵事件符合正常操作的统计规律. 从而透过入侵检测系统。
4.入侵检测方案实现
方案简述: “入侵检测” 属于安全评估类产品, 是一种网络实时自动攻击识别和响应系统它通过多种途径收集单位内部网的主机和网络信息, 对这些信息加以分析, 查看网络安全体系结构是否存在漏洞, 主机系统和网络上是否有入侵事件发生, 如果发现有入侵事件, 自动对这些事件响应, 同时给出相应提示。内部网根据部门划分不同子网网段。每个部门或子网有一个交换机, 设置网络中心, 有专门的网络管理员。各个子网汇总到网络中心连接到高性能服务器群, 高性能服务器群放置在防火墙的DMZ 区。方案构建: 根据网络流量和保护数据的重要程度, 选择IDS 探测器(百兆)配置在内部关键子网的交换机处放置, 核心交换机放置控制台, 监控和管理所有的探测器因此提供了对内部攻击和误操作的实时保护, 在网络系统受到危害之前拦截和响应入侵。入侵检测可以进行如下反应:
(1)控制台报警。
(2)记录网络攻击事件。
(3)实时阻断网络连接。
(4)入侵检测采用透明工作方式, 静静地监视本网络数据流, 对网络通讯不附加任何时延。
(5)入侵检测可以过滤和监视TCP或IP 协议。系统管理员通过配置入侵检测, 可以按协议(TCP, ICMP), 源端口, 目的端口, 源IP或目的IP 地址过滤。入侵检测可监测多种网络服务:包括文件传输、远程登陆等, 并且所支持的服务随着入侵检测的发展可以不断地扩展。
(6)入侵检测还支持用户自定义的网络安全事件监视。
(7)入侵检测能生成系统安全日志以利于系统安全审计并以开放数据库方式支持安全分析决策系统, 从而为网络安全提供有效的保障。
参考文献:
[1]杨振会:基于防火墙的入侵检测系统的设计[J].计算机安全, 2006,(10)
[2]王炳晨:网络安全专家服务――趋势网络安全掌控危机[J]. 微电脑世界, 2007,(07)
[3]富强:东软网络安全十年发展之路[J].计算机安全, 2006,(07)
关键词 网络安全;安全管理;测绘生产网;防火墙;入侵检测
中图分类号TP3 文献标识码A 文章编号 1674-6708(2012)73-0198-02
在测绘行业中,地理信息的采集、加工、处理越来越现代化,智能化,而对测绘成果的利用也是向着服务网络化和应用社会化的方向发展。网络作为地理信息的载体,可以加快从数据采集到成果应用的转化,从而实现为现代高速发展的社会提供实时准却的地理信息。网络在为测绘行业带来高效、便捷的同时,也提出了有效保护地理数据不被他人窃取盗用的要求。因此在测绘数据加工生产的过程中,通过有效的网络安全策略来保护地理信息数据显得非常重要。
1 网络安全要素分析
网络安全要素主要包括4个方面:1)网络运行系统安全;2)网络系统信息安全;3)网络信息传播安全;4)网络信息内容的安全。由此可见,网络安全包含的内容广泛,对于其网络安全体系的建立和策略,不仅仅只包括安全防护工作,还包括管理、监控、技术跟新等内容。对此,在本体系的构建中,我们以安全管理为主,采用技术手段和相关硬件设备构建网络安全体系,通过人工干预,对正在发生的攻击做出及时响应,并在事后采取防范措施和恢复措施,防止类似攻击再次发生,将损失最小化[1]。
2 测绘生产网安全体系构建的思路与实现
2.1 测绘生产网安全管理
2.1.1建立健全安全管理制度
同其它信息相比,地理信息数据牵涉到国家的政治、军事、经济利益,涉及国家的机密。这些地理信息只有部分个人、部分单位有权生产、拥有和使用,其他个人、机构不能访问、使用、占有、修改这些数据。因此在安全管理制度中除了制定一般的网络安全管理制度外,还需要依照国家保密法律、法规和有关规定制定相关的保密管理制度以及保密管理措施。在本体系的构建中,采取了如下措施,首先根据现行相关法律法规制定了一系列配套制度。对落实这些制度的情况进行定期或不定期的检查,及时解决工作中的问题。
2.1.2 加强网络安全、保密管理工作的宣传和教育
网络的安全管理主要包括加强计算机用户安全教育以及完善安全管理功能,促进计算机用户学习法律法规的意识,明确计算机用户和系统管理人应履行的权利和义务。在保密管理工作方面,要强化人员的保密教育,切实增强保密意识,筑牢严守国家秘密的思想防线。在本体系的构建中,对所有参与的人员都进行了保密培训并签订了保密协议,加强了生产人员的保密意识。除此之外,还对参与生产的人员进行了相关计算机安全使用方面的培训[2]。
2.2 测绘生产网网络安全体系
2.2.1网络基础设施安全建设
在网络基础设施方面,机房作为生产数据加工存放的地方,其防火、防盗以及设备的支撑环境,都是保证网络安全运行的基础。为此在本方按中我们采取如下措施来消除。1)为了消除环境隐患,机房购置了大型多功能空调设备,用以保证机房的温度、湿度恒定;在机房四周放置了氯丙烷气体灭火系统;2)为了防止电压过高,电源不足、不合格电源和突然断电对设备的不安全影响,机房采用双电力线接入,并配备了UPS系统。在每个机柜中配备了两部16A滤波电源接入和专用接地铜线,从而保证了每个机柜有足够的功率安全地接入服务器;3)安防方面,网络机房安装了电子摄像头,配备了门径系统,只允许授权的人员进出机房;4)设备存放与安全使用。在生产网中,为了有效的保护数据,存放服务器的机柜采用了电磁屏蔽机柜;机柜间网络布线主要采用六类屏蔽双绞线缆。由于本方案中,各个数据生产作业室分布在大楼的不同楼层内,因此与机房通信的交换机全部用光纤连接后再用六类屏蔽双绞线与桌面计算机相连。除此之外,设备的管理,遵循“统一购置,统一编号,统一备案,跟踪管理,集中报废”的原则,严格控制发放范围。所有设备在入网前,需由网络安全负责人对设备的情况、基本配置信息、用途、使用人、安装的软件、使用的端口和服务、MAC地址等等级备案并进行安全审核,合格后方可入网与处理重要信息。
2.2.2 采用网络安全相关的技术
在网络安全技术方面,一般采用防火墙和入侵检测两种技术。1)防火墙技术。该技术能执行访问控制,在使用期间同意允许访问的用户与数据进入内部网络,拒绝不允许访问的用户与数据进入内部网络,这样能最大限度的阻止网络黑客的访问,提高内部网络的安全性;2)入侵检测技术。改技术能弥补单纯的防火墙技术暴露出明显的不足和弱点,为网络安全提供实时的入侵检测及采取相应的防护手段。入侵检测是对防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性[3]。
本方案中,采用了华为公司生产的USG5160防火墙。在防火墙的内部,是由各个单位的服务器、磁盘阵列等组成的网络,而防火墙外部是由各个单位的数据加部门组成的一个网络。(在这种网络结构中,通过对防火墙安全策略的配置,可以有效的防止各个作业PC机对服务器的恶意攻击。由于生产网是一个相对独立的网络,每台计算机IP是固定的,用户对服务器的访问相对可控,因此采用了基于主机的入侵检测技术。我们通过系统日志分析软件定期分析系统日志的方法来监测系统是否有非法访问。通过对这些日志的分析,可以使系统管理员在小范围内、审计和评估系统。
2.2.3 加强防范网络病毒
随着网络技术的发展,安全技术也不断升级,但是与此同时,病毒跟新和传播的速度也不断加快。对此应不断加强防范网络病毒,更新杀毒软件,尽量满足网络病毒防范的要求,提升计算机网络安全。
综上所述,网络安全在测绘数据加工生产过程中非常关键,作为测绘行业工作人员,在充分利用网络为测绘数据加工生产带来高效、便捷的同时,还应不断更新网络技术,加强网络监管,让测绘数据加工生产安全、高效,进一却确保测绘数据准确可靠。
参考文献
[1]周烨,杨怀龙.浅谈测绘生产网络的数据安全[J].信息系统工程,2012(2).
关键词:计算机;网络安全;入侵检测技术
1引言
当今世界计算机网络的运用十分广泛,人们通过互联网进行商品买卖、社交以及娱乐,企业利用互联网进行交易,甚至能够危及到国家安全的机密信息也在计算机网络中沟通流动,因此计算机网络安全影响着社会各个层次、各个方面。计算机网络安全问题成为全世界共同关注的问题,如果不能有效地解决,将会严重制约信息化的发展进程。随着网络专家的不懈努力,找到了一个有效的解决途径就是入侵检测技术。入侵检测系统可以弥补防火墙的不足,在不影响网络性能的情况下对网络进行检测,从而提供对内部攻击、外部攻击和误操作的实时保护。
2入侵检测技术相关理论概述
2.1定义
入侵检测技术是一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术,是一种为保证计算机系统的安全而设计与配置的技术。入侵检测系统(IntrusionDetectionSystem,简称IDS)是进行入侵检测的软件与硬件的组合。入侵检测系统(IDS)可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的系统。包括系统外部的入侵和内部用户的非授权行为,是一种用于检测计算机网络中违反安全策略行为的技术。入侵检测系统在发现入侵后,会及时作出响应,包括切断网络连接、记录事件和报警等。入侵检测技术从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。
2.2分类
(1)按照检测时间分类:入侵检测按检测的时间可分为实时入侵检测和事后入侵检测两种;(2)按照分析方法分类:入侵检测按照检测分析方法一般被分为误用检测和异常检测两大类;(3)按照数据来源分类:入侵检测依据待分析的数据来源通常可分为基于主机的检测系统和基于网络的检测系统两类;(4)按照系统结构分类:入侵检测按系统结构的划分可分为集中式入侵检测和分布式入侵检测两种;(5)按照工作方式分类:入侵检测按照工作方式的区别可分为离线检测和在线检测两种。
2.3工作流程
入侵检测技术的工作流程基本上可以归纳为以下3个步骤:(1)信息收集:信息收集是入侵检测的第一步,信息收集的内容主要包括系统、网络、数据及用户活动的行为和状态。收集信息的工作是由放置在不同网段的传感器或不同主机的来完成,包括非正常的目录和文件改变、非正常的程序执行以及系统和网络日志文件、网络流量的信息。(2)信息分析:收集到的有关系统、网络、数据及用户活动的状态和行为等信息,被送到检测引擎,检测引擎驻留在传感器中,一般通过3种技术手段进行分析:统计分析、完整性分析和模式匹配。其中模式匹配和统计分析用于实时的入侵检测,而完整性分析则用于事后的检测分析。当检测到某种误用模式时,就会产生一个告警并发送给控制台。(3)问题处理:控制台收到告警后,会按照告警产生预先定义的响应采取相应措施,可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性,也可以只是简单的告警。识别告警的方法主要有:活动特征、告警特征和用户特征。
3应用安全
入侵检测技术在计算机网络安全中的应用主要体现在基于主机的入侵检测系统和基于网络的入侵检测系统两个方面。
3.1基于主机的入侵检测系统
基于主机的入侵检测系统是把主机作为对计算机的重点检测对象,对主机进行入侵检测的设置,根据主机的运行情况来判断并检测主机是否出现了受到攻击的行为。主机入侵检测系统能够全面实时地监控计算机网络用户的操作行为,当网络出现网络异常情况时会进行预警,全面及时地保护网络安全。基于主机的入侵检测系统能够对攻击行为是否成功进行判断,并为主机作出决策提供充足的依据。基于主机分入侵检测系统还可以对文件访问、文件执行等指定的特定的系统部位进行监控。
3.2基于网络的入侵检测系统
基于网络的入侵检测系统又被称为基于行为的入侵检测系统,它在检测设置时无需在主机上进行安装,并且可以设置多个安全点,能够同时对多个网络通信进行监控,因此有着检测成本相对较低、检测速度快的优点。基于网络的入侵检测系统能够及时发现计算机在网络运行过程中受到的攻击,并及时向检测系统发送检测结果报告,提高发现计算机网络安全入侵的速度,方便快捷,并且大大缩短了计算机受到网络攻击的时间。基于网络的入侵检测系统由于采取对计算机的多处网络安全点和网络通信进行监控和观察,并且安装方便,因此检测效果高;监测系统一旦发现问题之后,可以直接利用网络进行报告,无论何时何地,都能做出快捷地反应和解决措施,提高了计算机网络安全检测技术的水平和检测效率,确保了计算机在安全网络环境下的正常运行,为计算机用户带来了便利。
4存在问题
4.1入侵检测技术相对落后
目前国内在入侵检测技术的研究起步比较晚,与发达国家相比差距还比较大。在网络安全技术发展的同时,网络入侵技术也在不断地升级,如果计算机网络安全入侵检测技术相对落后的话,当比较复杂高级的计算机网络入侵行为发生时,入侵检测技术是难以有效地解决威胁网络安全的因素的。在网络环境下,计算机对于网络安全的依赖性比较高,网络安全的入侵检测技术也存在一定的缺陷,安全检测存在局限性,在相同的网段能够进行计算机网络系统的局部检测与分析,一旦计算机网络系统处于不同的网段,其检测的全面性与有效性是难以保证的,由此可见,计算机网络安全的检测技术仍然有待提高,其存在的局限性与不完整性是非常明显。
4.2入侵检测技术方式单一
计算机网络安全的入侵检测系统主要采取的方式是特征检测,特征检测的适用范围是那些比较简单的入侵攻击行为,在单一的主机或网络构架下的检测效果很好,对异构系统以及大规模的网络监控就显得力不从心。当出现比较复杂的入侵行为时,入侵检测需要大量的计算和分析时间,这时入侵特征检测就无法发挥作用。另外,当入侵检测系统对网络系统进行监控时,会产生数量巨大的分析数据,分析数据会对系统性能造成较大压力。
4.3入侵检测技术加密处理困难
(1)计算机网络安全入侵检测技术在处理会话过程的加密问题上有很大的困难,就目前的发展趋势来看,这个问题会越来越突出。(2)入侵检测系统自身无法对网络攻击行为进行阻断,必须通过计算机内部防火墙的联合机制才能更好地完成入侵检测,自身的功能存在缺陷明显,作用也无法得到充分的发挥。(3)人们在日常生活中对计算机的广泛应用,计算机触及到用户越来越多的隐私,因而计算机内存储的网络数据也具有一定的隐私性,在计算机受到网络安全的威胁后,计算机网络安全的入侵检测系统自身无法完成对计算机系统的全面检测,检测技术并不能保证计算机网络数据的安全性和隐私性,加之网络检测需要同计算机内部防火墙联合,这样便会对计算机内部网络数据造成一定的暴露,不能对其做到科学全面的加密处理,在一定程度上对用户的个人隐私造成威胁。
5发展趋势
5.1分布式入侵检测
在如今高速发展的信息网络时代,传统的入侵检测技术缺乏协同并且过于单一,在应对高级复杂的网络安全入侵时显得力不从心,因此分布式的协作机制就显得更有优势。分布式入侵检测核心的技术体现在全局的入侵信息提取与多个入侵检测协同处理,主要体现在收集数据、入侵信息的分析和及时的自动响应等方面。它在系统资源方面的优势远大于别的方式,将是将来主要的发展方向之一。
5.2智能化入侵检测
目前的安全入侵方式越来越智能化和多样化,因此入侵技术的智能化发展也变得顺理成章。智能化入侵检测技术包含了模糊技术、神经网络、遗传算法、免疫原理等方法,能够更有效地识别与分析入侵威胁因素,提高网络安全入侵检测技术水平。智能化入侵检测可以将入侵的特点更具有广泛识别性和辨识性,因此可以在解决出现的故障时,识别和隔离可疑攻击,并不干涉正常运行的程序,以确保计算机的运行效率。
5.3一体化全方位防御方案
根据目前的网络安全入侵情况来看,入侵方式越来越智能化和多样化,仅仅某一方面的入侵检测方式很难应对,因此针对这种情况,网络安全入侵检测系统很可能实现一体化的发展趋势,这样入侵检测的结果将会更加全面和科学准确,打造网络安全入侵检测平台,最大化地利用计算机资源,增强入侵检测的可靠性,全方位地确保计算机的网络安全。
6结语
作为一种积极主动地计算机网络安全防护技术,入侵检测为计算机网络安全提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和解决入侵威胁,对保护网络安全的作用十分重要。面对日益复杂的网络安全形势,必需正视自己在入侵检测技术上与发达国家的差距,加大研究力度,提升我国计算机网络安全的入侵检测技术水平,为计算机网络安全提供有力保障。
参考文献
[1]毛晓仙.试论计算机网络安全的入侵检测技术[J].网络安全技术与应用,2014,08:63+65.
[2]唐锐.基于频繁模式的离群点挖掘在入侵检测中的应用[D].重庆大学,2013.
[3]宋彦京.计算机网络入侵检测系统与技术措施分析[J].网络安全技术与应用,2014,11:51-52.
Abstract: Along with the popularization of computer and network security issues become more prominent, exploring a network security anomaly detection approach has become obvious imperative. The excellent network security testing methods can dynamically reflect network security and make a timely warning. It not only detects external attack, but also detects the unauthorized acts the users used in the daily operation.
关键词: 网络安全;异常检测;分析;方案
Key words: network security;anomaly detection;analysis;program
中图分类号:TP393 文献标识码:A 文章编号:1006-4311(2012)03-0149-01
0 引言
要想检测到网络中的异常事件流,我们必须首先设定事件检测模式与频繁密度的概念。然后应用异常事件模式的间隔限制,辅之以设计的滑动窗口算法,我们就可以实现对网络中异常事件流的检测了。当然,由于网络协议设定上存在的疏漏,以及网络管理与使用的不当,最近的网络安全问题尤为严重。因此探讨网络安全事件流的特点与提出相应的措施来改进监测机制显得势在必行且具有很大的经济效益。
1 改善网络安全建设方案
考虑到各种网络安全技术,我们如果能在网络安全异常检测中采用统一管理系统,就可以提高系统的检测精度。因为在统一的管理系统中,我们可以利用连接到的基本属性,将基于时间的统计特点融于自身,当然可以明显的提高对网络安全的侦测预警能力。下面简单论述一下几条完善网络安全的措施:
1.1 用户自身加强口令管理 我们对于口令再熟悉不过了,而我们的计算机安全就很大程度上取决于口令的安全。
当今的黑客侵入计算机系统窃取口令的常用方法通常有以下几种:首先是通过非法的网络设备监听以达到窃取用户口令的目的;其次是在知道用户的帐号后,利用一些专门软件强行破解用户口令;最后就是在获得一个服务器上的用户口令文件后,用暴力破解程序及用户口令。这种方法尤其对那些警惕性不高的用户会构成巨大的威胁。因此如果用户在自身的口令管理上做好防范工作,那么也就切断了网络安全从用户端侵入的隐患。
1.2 统一账号管理,进行安全管理建设 进行安全管理建设的主要内容为采:采用信息化、科技化技术进行帐号口令的管理,达到人手一账号和安全化的帐号管理。同时逐渐改善网络的审核体系、网络安全设备、主机以及应用系统。并且以高新技术为依托,建设出一整套切实可行的帐号口令统一管理系统。这样不仅能达到对帐号口令的管理,还可以做到专门化、优势化、合理化。众所周知,体系框架中尤为重要的就是网络平台的监管、账号和授权的管理、认证以及审核管理。为了构建完善的体系框架,有必要组建安全管理部门,由资深的安全顾问为领头人,逐步建立完善的信息安全管理体系。
最后还要注重边界安全。我们一般通过安全域划分和加强安全边界防护措施来达到边界安全的目的。这就要求对于Internet外网出口安全问题予以重点考虑,相应的,我们一般采用的技术有网络边界隔离与入侵防护等。
1.3 采用IPS系统 通过在重要服务器区域的边界应用入侵防护系统,以此对于集中进行的访问进行控制和综合过滤,达到保护网络安全的目的。而增设IPS系统就可以预防服务器由于未及时添加补丁或者一时的疏忽而导致的入侵事件的发生。例如在网络的边界位置安放IPS系统边界位置,就可以轻松的实现对网络流量的实时实地的检测,以达到安全过滤的目的。
2 升级检测系统
由于在网络安全问题中存在模糊地带,如安全与威胁就没有明显的界限。因此很有必要在网络安全事件检测中引入模糊集理论。通过此理论的引入,使得模糊集理论与关联规则算法结合起来,采用在模糊条件下的关联算法来检测、分析网络中的行为特征,从而可以更为高效且不失灵活的对网络安全保驾护航。
2.1 完善检测算法 传统的算法只是将网络属性的取值范围分散成不同的区间,并将其转换为“布尔型”关联的规则算法。这样的算法显而易见会产生许多的边界问题,例如对于略微偏离原来规定的范围的异常,系统就会做出错误的判断,从而导致网络安全受到威胁。于是考虑到事件流的特点,采用事件流中滑动窗口设计算法,辅之以复合攻击模式的方法,对算法进行科学化的测试。试验检测的结果证明,这种算法不仅在网络时空的复杂性还是漏报率等方面均符合网络安全事件流中异常检测的要求。
2.2 提高检测精度 一个完善的异常检测系统,应该尽可能全面的对网络行为进行准确的描述,即不仅覆盖高频率模式,更应该包含低频率模式。但是在一般的入侵检测系统中,通常都是直接采用网络连接记录中的基本属性,于是可想而知得到的检测效果均不理想。
关联算法的引入对于提高异常检测能力有明显的优势。由于不同的攻击类型所引起的记录不同,即攻击的次数与记录所占的比例不成正比。而关联算法将遇到的情况与数据逻辑相结合可以有效地提高监测的精度。
而如果把基于时间的统计特征属性也考虑在内,就可以进一步的提高系统的检测精度。于是网络安全事件流的异常检测有必要引入数据化理论,并将其与关联规则算法结合起来,深入全面的挖掘网络行为特征,从而进一步提高系统的检测的灵活性和精度。
2.3 提升检测效率 如何在当今迅速快捷,高效、高规模的数据传输中以最快的速度对网络异常行为作出预警是眼下的当务之急。我们当下基于入侵检测技术和数据流挖掘技术,提出了一个大规模网络数据流频繁模式挖掘和检测算法。这种算法可以精确地检测出网络流量出现的异常,为增强网络的预警能力的能力,构造了一个管控同时进行的网络模型。这种网络模型不仅可以自觉地检测威胁、发出预警,还可以隔离威胁,并同时记录入侵对象的特征。
3 结束语
计算机技术的发展日新月异,而与之相对的计算机入侵手段也日益先进,这种潜在威胁的存在使得计算机的优势打折,并在一定程度上对人们的经济与生活带来诸多烦恼。因此对于计算机的异常检测与安全防护显得尤为重要,并且防护的水平要与时俱进,将异常入侵带来的损失降到最低,使得我国的网络环境更为洁净。
参考文献:
[1]沈敬彦.网络安全事件流中异常检测方法[J].重庆师专学报,2006.
关键词: IPV6;网络入侵检测;模式匹配
0 前言
随着现代化信息技术的迅猛发展,互联网的影响范围也越来越广,网络入侵事件频发,相应的入侵手段也越来越多,给网络安全性带来极大的威胁。作为网络安全防范措施,入侵检测系统具有实时性和主动性的特征,对计算机网络或系统当中的关键点数据进行收集和分析,进而做出有无不遵守网络安全协议的行为或者是攻击的存在,并向系统提供应对网络攻击的帮助,借助该技术,系统管理工作人员的安全管理能力也有明显提升,计算机信息安全基础结构也更加完整,可以提供针对于攻击和误操作的有效保护措施。新一代网络IPV6安全机制的应用越来越普遍,网络层的安全性也逐渐引起关注,IPV6安全机制的引入给传统的网络安全入侵检测系统提出新的挑战。
1 网络入侵检测系统
1.1 入侵检测系统分类
以监测数据的来源为依据,可以将网络安全入侵检测系统划分为依托于主机的入侵检测系统以及依托于网络的入侵检测系统两种,其中,前者对已知以及可疑攻击模式的查找是以来自于主机的审计记录以及日志文件的相关数据来源为主要依据的;后者确定攻击则是借助网络适配器对通过网络传输的通信过程进行检测和分析。以检测技术为依据,网络安全入侵检测系统可以划分为基于异常的入侵检测系统以及基于误用的入侵检测系统两种,基于异常的入侵检测系统是以统计理论为依据对用户或系统正常行为特征轮廓进行提取,对比所提取的数据的统计处理和正常行为系统统计特征,进而做出有无入侵的判断;后者则是依据知识库,分析系统行为方式,进而做出有无入侵的判断。
1.2 传统网络安全入侵检测系统
第一代及第二代IDS均采用的是模式匹配检测技术。模式匹配入侵检测基本思路是以全部的网络数据包及攻击库的特征为对象,对二者进行匹配,进而做出有无攻击发生的判断。当前,模式匹配技术已经较为成熟,在入侵检测系统中的应用极为普遍。其中Brute Force算法、Boyer-Moore算法、Aho-Corasick算法以及Set-wiseBoyer-Moor-Horspool算法等都是比较具有代表性的模式匹配算法。
新一代IDS探测攻击所采用的是协议分析技术。网络协议都是具有一定规则的,协议分析技术是借助该特性对有无攻击做出判断。协议分析技术对攻击的检测效率有下注提升,在很大程度上减少了计算量,即便是网络负载较高,依然可以在不丢失数据包的情况前提下,对攻击做出准确判断和分析。
2 基于IPV6网络安全入侵检测
2.1 IPV6网络安全问题
IPsec协议是IPV6的重要内容之一,其作用是进行身份认证,然而因为IPsec是网络层协议,除其下层网络安全之外,对IP层以上以及网络应用软件中的缺陷及漏洞无能为力。IPV6仅仅对IP层网络协议进行了修正和扩充。随着IPV6应用范围的越来越广,之前存在于其他协议层的各种攻击向IPV6转移的可能性极大。举例来说,诸如Synfl就是一种存在于TCP层的攻击行为,此外还有HTTP服务器自身的不足等,均有可能转向IPV6,因此,为最大限度的确保网络安全,有必要对依托于IPV6网络安全入侵检测系统进行深入的分析和探究。
针对当前网络安全体制,IPV6安全机制提出新的要求和挑战,主要体现在以下两方面:第一方面,在IPV6环境之下,Ipse加密功能所提供的保护是端到端的,至于加密算法则是可以根据实际需求进行选择的,密钥也是保密的,因此单纯凭借入侵检测系统不能获取TCP/UDP端口号,进而也就无法开展针对被加密的IPV6数据的分析工作;另一方面,相比较于IPV4而言,IPV6的报头位置有所改变。通常情况下,IP报头和TPC/UDP报头之间还存在着诸如路由选项报头等扩展报头,只有确定下一报头才能过滤数据包,这样势必会给入侵检测系统的处理能力及保护速度造成一定的负面影响。所以可以得出结论:以IPV4为基础的网络安全入侵检测系统对IPV6数据包的检测效果并不理想,研发基于IPV6的网络安全入侵检测系统模型十分必要。
2.2 基于IPV6入侵检测技术
网络协议是按照一定规则分析各个层次协议解析结果,进而准确确定攻击,这也是协议分析技术的依据所在。利用该技术可以极大的减少计算量,即便是网络负载较高,同样可以在数据包不被丢失的前提下确定攻击并开展入侵分析工作。协议分析技术相比较于之前的模式匹配技术而言,最大的优势体现在准确性及整体性方面。因此,利用协议分析技术对IPV6报头进行处理,利用成熟模式匹配技术对数据部分进行处理,可以实现对二者优势的充分有效利用,促进监测效率的进一步提升。
以检测数据的来源为依据,可以将入侵检测系统划分为两类:一是依托于主机的入侵检测系统,二是依托于网络的入侵检测系统。1)依托于主机的入侵检测系统,此种检测系统式在被保护系统中设置检测模块,针对被保护系统进行数据提取,之后进行入侵分析进而达到入侵检测目的。建立在主机日志基础上的安全审计主要是通过对主机日志的分析确定入侵行为,优势在于:检测率较高、分析代价低以及分析速度较快等,可以对入侵者及时定位,此外还可以与操作系统及应用程序的行为特征相配合,进一步分析入侵者。依托于主机的入侵检测系统的具体实现方法有很多种,设置检测系统,以便及时发现异常的或非法的系统设置和非法更改系统设置定期检测系统的安全性状态,以便可以及时发现系统安全状态出现的异常情况;2)基于网络的入侵检测系统,此种入侵检测系统数据提取的实现主要是通过网络监视得以实现的。
1)数据捕获模块,此模块是入侵检测系统得以实现的重要基础。流入网络数据包流量随着网络规模的扩大而增加,因此,最大限度的确保该模块工作的稳定性、可靠性及高效性具有重要意义。对于抓包所导致的性能问题,可以引入零拷贝技术,借助特定的网卡驱动对数据包进行捕获,并将其写入共享内存,这样可以减少复制及系统调用。2)协议分析器,其主要作用是对命令字符串进行解析,同时向协议解析器传输首个字节位置信息。协议分析器通过逐层剥离数据包来对协议报头及数据部分进行分析。3)协议解析器。作为命令解析程序,协议解析器能够针对各种应用协议来分析用户命令。4)模式匹配及规则库。其中,模式匹配主要是分析来自于协议分析部分的数据,并将其与特征库中事先定义的入侵模式进行对比,进而做出数据包有无入侵企图的判断;规则库是由语义层检测规则所构成的,其实现方式主要有两种,一种是在之前的系统数据库中建立相应表格,另外一种就是格式和扩展名既定的文件形式。5)事件响应模块,模式匹配判断操作是否合法,结果将会被此模块所接收,如果判断结果是操作可疑或非法,就会对诸如操作人员及时间等具体信息进行记录。对于较为严重的非法操作,可以采取将连接切断的应对措施。
3 结语
综上所述,IPV6作为新一代的网络安全机制应用范围不断扩大,结合IPV6自身特性,笔者将协议分析及模式匹配技术予以融合,提出了依托于IPV6的网络安全入侵检测系统设计方案,从本质上讲,就是借助高速搜索算法,实现对信息数据帧的高速高效处理,并对通信的内容作出判断,从而提升了准确性及检测速度。
参考文献:
[1]潘理虎、陈立潮、武辉斌、李峰,基于协议分析的Ipv6网络入侵检测系统的研究[J].太原理工大学学报,2006(04):34-36
[2]周荃、王崇骏、王珺、周新民、陈世福,基于人工智能技术的网络入侵检测的若干方法[J].计算机应用研究,2007(05):123-124
[3]肖天庆、任翔,新一代国际互联网协议IPv6与IPv4的比较研究[J].红河学院学报,2010(02):56-57.
[4]王磊,在网络安全方面IPv6协议的改进及新问题的探讨[J].科技信息(科学教研),2008(21)87-89.
[5]马莉、李燕、吉斌武,一种基于免疫原理的网络入侵检测系统[J].桂林航天工业高等专科学校学报,2009(02):45-46.
[6]刘静,基于防火墙与入侵检测系统联动的校园网GSN全局部署[J].网络安全技术与应用,2011(01):68-69.
关键词:入侵检测 网络安全 研究
中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2016)05-0000-00
在网络安全中,入侵检测技术是至关重要的一个环节,在没有用户授权的情况下,主机被外访问并且被篡改盗用了信息,使得用户的信息泄露,系统机密受到破坏,出现系统漏洞,个人隐私受到威胁,一般这种入侵行为是比较难发现的,它没有时间空间的约束,大都是发生在系统内部。针对这一情况,入侵检测技术中的动态防护是极为有用的,它能够较好的保护计算机网络安全。将闭环的安全方法带入计算机网络系统中,利用这种入侵检测技术,可以让计算机的系统得到更全面的保护,对重要的数据进行严格加密,以及身份的验证进行及时的反馈,让计算机系统更加安全有保障。
1入侵检测的分析
1.1网络入侵的方式
网络入侵的方式涉及到多个方面,例如获取访问权限,收集利用大量信息以及逃避检测等方面。其中关于获取访问权限这一方面,有多种手段可以得到权限,像对口令的反复多次试探,利用高级的字典破译工具破解网络程序,除此之外FTP攻击都会对系统造成严重的损坏。如果想获取用户信息则攻击者也有很多方法达到目的,对端口进行扫描,对存在的漏洞进行扫描,以及对用户等其他方面进行细致的扫描,针对发现的系统漏洞进行分析,并针对性的根据缺陷利用可行的工具或者协议,再者还可以收集利用主机系统的有用数据为再次的攻击做好工作铺垫。对于逃避检测这个方面,攻击者可以破坏日志,对系统漏洞进行慢速攻击以及插入等方式躲避系统的检测,这是他们能利用的多种有效手段。这些方式都能够很好的将自己隐藏起来不被检测到,任意攻击系统都不是很困难的事情,很难发现他们留下的痕迹记录。
1.2入侵检测的定义
针对计算机系统的安全审核,十分有必要设计入侵检测这一环节,这也是为了能更好的对网络安全进行实时防护。引入入侵检测技术能够使得计算机系统中的配置安全系数提高,对于网络系统中出现的异常状况能够及时发现,并作出正确的解决反映,对于存在与计算机系统中违反安全规则的行为及时检测出来。这也是入侵检测的基本原理作用,这也主要通过收集分析大量的网络行为,审计数据才能够进行的。通俗来说,入侵检测就是一项防护技术,它能够主动防护,针对一些错误操作,内外出现的攻击行为能够及时检测出来并制止保护,大大减少计算机系统所受到伤害的风险。
1.3入侵检测的分类
如果根据检测技术方面将入侵检测分类的话,一般情况下分为误用检测技术和异常检测技术这两类。异常检测技术是将假设入侵的行为全设定为是异常特性的,它是基于行为的入侵检测,而误用检测技术是定位与一些攻击签名,对模式进行攻击的行为,这种检测技术是基于知识层面的。如果根据监测数据来源分类的话,分为基于网络,主机以及两者的入侵检测。这些检测方式各有优缺点,可以适当进行取长补短,所以是将三者融合兼备的分布式系统保护效果最好。分层式、分布式以及集中式的检测技术是依照网络架构分类的,如果是要分析相应的分层数据,分层式检测系统则是最佳选择,它能够多方面的检测数据,实时保护网络安全,对升级系统有较大的帮助。
2入侵检测技术方法及发展
2.1入侵检测技术方法
对于常用的入侵技术检测方法有很多种,包括概率统计异常检测、神经网络异常检测、专家系统误用检测等。关于概率统计异常检测中,它是根据用户历史或者之前的证据来建模的,根据用户的使用情况用有效的系统进行检测,这样可以得到针对用户行为的系统内部概率模型,在这过程中如果有出现异常情况则会启动相应的程序,对其进行实时监控跟踪。对于专家系统误用检测能够更加有效的对一些入侵行为进行检测,在建立专家系统过程中,需要注意利用相关的安全专家知识,用If-Then 或者更为精细的复合结构规则进行表达,不能忽略知识库的完整性,这就需要审计记录保持实时的完善性。
2.2发展智能化的入侵检测
智能化的入侵检测主要是通过智能化的方式例如模糊算法、神经网络等来对入侵特征进行识别。大体上来说利用智能检测功能的检测软件或者模块,将有效算法合理结合其中,让方案的解决得到最大科学高效化。这样也能更有效的提高网络的安全系数,减少外来信息入侵的可能性。此外在研究智能化的入侵检测技术中,需要在自学能力以及适应能力方面特别注意培养,这也有利于加快入侵检测技术朝智能化的顺利发展。
2.3发展全面的安全防御方案
在网络安全的发展过程中,对于安全工程风险管理的理论需要更好的把握利用,将这作为一项完整的工程来执行。对网络进行全面评估过程中,不能只考虑到入侵检测这一方面,随着科技的进步,攻击者的方法也层出不穷,需要在防火墙、网络构架这些方面进行重视,以及结合病毒防护,建立更好的管理机制,发展全面的安全防御方案,更好的检测抵御外来入侵,保护网络安全。
3结语
在网络技术飞快发展的今天,网络一方面为人们生活带来意想不到的变化,另一方面也威胁着网络用户的信息安全,用户的信息一旦泄露将造成不可预计的损失,也正如此在维护计算机系统安全中入侵检测技术扮演着越来越重要的角色,它能更好的实时防护系统,入侵检测技术也将向智能化方面发展,建立更全面的安全防御方案,提高计算机系统的安全系数的同时也是更好的维护了用户的隐私。
参考文献
关键词: 网络安全;入侵检测系统;计算机技术;异常检测;误用检测
1 概述
入侵检测系统主要是指,通过对计算机的网络系统进行监测,并运用其主要的关键点对信息进行收集、分析,然后发现某些与安全策略相违背的行为,或发现某些被攻击的迹象,并及时的自动的做出相关的反应。通常情况下其功能为:对系统和用户的行为进行监测和分析;对系统的配置及漏洞及时的做出审计检查;对数据文件和系统的完整性做出评估;对已知的某些攻击行为或模式进行识别和统计分析;操作系统做出相关的跟踪审计管理,对某些与安全策略相违背的用户行为进行识别等。入侵检测系统在计算机网络安全的作用主要有:对异常进行检测、对误用进行检测。
2 对异常进行检测
2.1 统计异常的检测
在统计异常检测中,可以通过异常检测器对主体活动进行观察,然后将这些活动的关键轮廓进行刻画。统计分析异常检测方法:
1)操作模型:该模型假设异常可通过测量结果与一些固定指标相比较得到,固定指标可以根据经验值或一段时间内的统计平均得到。举例来说,在短时间内的多次失败的登录很有可能是口令尝试攻击。
2)方差:计算参数的方差,设定其置信区间,当测量值超过置信区间的范围时表明有可能是异常行为。
3)多元模型:操作模型的扩展,通过同时分析多个参数实现检测。
4)时间序列分析:将资源耗用根据时间与事件计数排成序列,如果某一时间段发生低概率事件,则可以初步判定为可能入侵。
5)马尔柯夫过程模型:首行将系统状态定义为每种类型的事件,然后状态的变化用状态转移矩阵表示,状态矩阵该转移的概率较小或者所定义类型事件发生时,则可能是异常事件。
2.2 神经网络的异常检测
神经网络的异常检测主要是将神经网络中的某些连续性的信息单元进行训练,在其输入层中有用户现有的输入命令及已操作完成后的命令,用户已操作完成的命令可以被神经网络加以运用,然后对用户的下一个输入命令进行预测[3]。神经网络训练主要有三个阶段:1)网络构造及训练:在训练阶段,根据神经网络的实际输出模式与期望输出模式的误差调整网络的权值;2)网络修剪:删除多余的隐藏层节点和多余的节点之间的联结。3)规则提取:即从修剪后的网络中提取出分类规则。
2.3 特征选择的异常检测
特征选择的异常检测主要从某一组的度量中对某些入侵行为的主要度量的构成子集进行挑选,然后对已有效检测出的入侵行为进行分类或预测。该法的关键性问题就是对入侵活动和异常活动作出有效的判断,但要使判断与实际的度量相符是比较困难的,由于对度量子集进行适当的选择主要依照的是已有效检测到的全部入侵类型,而某一个度量集是很难对所有的入侵类型进行检测,事先已确定的某些度量也很难检测出特殊环境下的某些入侵行为。特征子集构造如下:特征子集的构造方法为:假设与入侵潜在相关的度量有n个,则这n个度量构成子集数是2n个。由于度量数与搜索空间为指数关系,所以想方设法找到量子集的最佳程度是无效的。可通过Maccabe提出遗传方法来搜索整个量子空间,找到正确的量子集。方法是使用学习分类程序产生基因突变算子和交叉算子,除去较低的预测入侵量子集,同时利用遗传算子产生的强度量子集。使用此方法与具有较高的预测量子集相结合,在所充许搜索空间,比其他启发式搜索技术更有效。
2.4 模式预测的异常检测
模式预测的异常检测需要有一定的假设条件,即事件的序列必须是有规律的可辨别模式而不是随机的。该法主要考虑的是事件的相互关系及序列。通过对用户行为进行观察,归纳总结出一个规则集,然后构建为用户的主要轮廓框架。若观察到的某些事件序列与后续的事件相背离,则表明用户的操作存在异常。
3 对误用进行检测
3.1 专家系统的误用检测
专家系统主要是根据专家的某些经验和知识而建立起来的,并以推理机和知识库为中心而构成的软件智能系统。其应用程序:首先使用规则类似的if-then格式输入现有的知识(攻击模式),然后输入入侵检测数据(审核事件日志),系统根据知识库中的内容来评估测试数据,判断是否有入侵模式。专家系统的优点回答了系统的控制过程和问题的最后阶段分离的推理,即支持不需要了解或在该专家系统的推理过程,但只有到了自制的黑盒子专家系统。当然,要实现这一目标,形成黑盒子是一个艰难而耗时的工作,重点在于嵌入式系统中的编码引擎和检验规则。
3.2 模型的误用检测
模型的误用检测系统,是通过三个模块实现的:先知模块,规划模块,解释模块。模型推理系统测试过程中,根据越来越多的收集特殊情况数据,通过三个模块的过程中不断循环前进的过程。常用概率论和微积分的数学方法来处理积累的数据。当数据积累达到一定限度时,检测到攻击或试图攻击。每次攻击脚本代表的侵略行为,在任何时刻的序列,可将攻击脚
本的加以利用,从而通过对一个子集系统的判断,推断出系统是否遭到恶意入侵。而预警器在依照此时的活动模型,做出进一步的智能行为,并对其进行记录,然后作为审计跟踪的主要验证。规划者主要对假设行为进行判断,并在审计跟踪的数据上做出反应,并将假设行为转化为与系统有关的审计跟踪行为。该系统具有嵌入数据的分析推理能力,对剧本出现活动进行更新,并依照攻击剧本的概率检测推断出入侵行为。
3.3 状态迁移分析的误用检测
攻击者所操作执行的入侵行为,可以让系统的正常操作状态发生迁移,让其状态转化为一个相对危及的系统状态。此时的状态主要指系统在某一特定时刻的基本特征,可表现为此时全部系统数据、进程、用户的函数。初始状态与入侵前的网络系统状态相对应,危及系统的安全状态与入侵后的系统状态相对应。在两个不同状态之间,可能会有某些中间状态发生迁移,状态迁移的分析通常考虑的是在每一步入侵行为对系统状态所会造成的迁移影响,然后检测出对攻击系统的某些行为。同时,由于每一次状态的迁移,都要利用入侵的最小特征子集,因此可以对某些不相关的动作入侵行为进行检测。状态转换法是通过述已知的攻击模式:系统状态和状态转换表达式来实现的,优化模式匹配技术来处理误用检测的问题,具有系统灵活,处理速度更快等特点。因此,状态转换法已成为最有竞争力的入侵检测方法之一。它可以使用以下三种方法:状态转换分析的方法,基于语言/应用程序接口的方法、有色Petri网。
4 结束语
当前入侵检测系统的发展还面临着很多挑战,可以将异常检测的各种方法综合起来考虑,同时要与误用检测有效的结合起来、相辅相成,建立一个准确、高效的入侵检测系统。通过研究可以看出基于数据挖掘、神经网络、免疫系统等的智能化入侵检测是未来入侵检测技术发展的主要方向,只是目前还缺乏关键性的突破。
参考文献:
现阶段电力信息网络系统在国内已被广泛的运用在现实生活中。相关的部门在实施信息现代化的过程中,也面临着巨大的问题和挑战,特别是在信息网络完全问题方面上。电力信息的网络安全问题逐步变为电力信息网络系统运行的平稳运作的隐患。本文主要探析了在电力信息网络安全中现有的入侵问题和如何解决的方法。
【关键词】电力信息网络 安全 入侵检测
1 前言
在保证电力系统的稳固运行和安全运行中起到至关重要的作用的是电力信息网络系统。然而,现阶段的计算机网络入侵问题相当严峻,这对电力信息系统的安全问题无疑造成了很大的困扰。随着计算机网络的入侵问题越来越严重,而且大部分的入侵都是非法的,为了处理这方面的问题,在电力信息网络的系统中引进在数据挖掘技术的基础上的入侵检测系统。
2 分析电力信息网络的具体结构以及安全性
根据电力信息网络的具体特征,可以把其分成四块:实时控制区、非控制生产区、生产管理区和信息管理区。此外,前两个区域又被称作生产控制的大区,后两个区域被称作为管理信息的大区。
几个相对比较复杂的异构子系统可以组成为电力信息网络系统,由这些子系统所组成的强大的网络系统具有大规模、分布广和分级递阶的三大特点。电力信息网络系统的安全保护主要还是针对网络系统以及在网络系统基础上的电力生产控制系统。这个系统的特点是保护边界的网路信息安全,通过这个手段来提高计算机内部的安全性能,也因此进一步的确保电力信息生产的控制系统和信息内部的首要的数据的安全。
而电力信息网络系统的整体结构中的实时控制区和非控制生产区的系统是在电力生产系统的范围之内的,其使用的是电力在线运行来调动数据网络的一种方式。通过这个方法,系统之间的数据交换的次数和数量会比较多,其之间也有着紧密的联系。其中,电力信息网络的四个区域之间的隔离,使用的都是硬件设备。
因此,能轻易的判断出,威胁实时控制区和非控制生产区的系统信息安全的来源主要是系统的内部。所以应将系统的内部安全问题放在首位,虽然生产管理区和信息管理区已经和外部通过硬件设备隔离开来,但也不能彻底保证系统内部信息的安全问题。而那些非法入侵者还是可以通过一定的防火墙的漏洞来实现非法入侵电力信息系统。
3 入侵检测系统
在数据挖掘技术基础上的入侵检测系统可以时刻监控电力信息网络系统的运行情况,一旦发现有任何非法入侵的行为或者是企图,基于数据挖掘技术的入侵检测系统就可以做出相对应的反入侵反应,进一步的保证了电力信息网络系统的安全性和可靠性。基于数据挖掘技术的入侵检测系统实际上就是根据有关的历史数据归纳出该用户的一系列特点,该技术可以高效的分析出入侵行动的规律,并根据这个规律创建出健全的系统,这样能更有效进行入侵行为的检测。这个入侵检测系统涵盖了相关数据的采集、数据的挖掘和数据的预处理几项任务。这个基于数据挖掘技术的入侵检测系统有以下几个其他检测系统所没有的特点:
3.1 自动化并且智能化
这个入侵检测系统的技术包括神经网络、统计学和决策学等其他多门学科。这个技术能自动的在庞大的数据库中提取出很难被看出来的网络行为,这样子可以相对减轻检测员的压力,提高了工作的效率。此外,还能使准确率大大提升。
3.2 检测具有高效性
因为这项技术可以自动的进行数据的预处理,提取出有效的数据,很大程度上的减轻了处理量和检测员的工作量,提高了工作效率。
4 入侵检测的技术在电力信息安全中的相关应用
4.1 实际运用的方案
在电力信息网络系统中的一些重要的服务器上,都配备有实时非法入侵的检测装置,也叫探测器。该探测器主要是自动的发掘出非法的入侵行为。我们在网络的中心管理系统中,配备有一个中心的控制台,这个中心的控制台可以接受从各个分布开来的小探测器发出的入侵警报。同时,这个中心的控制台还可以远程控制并且管理那些小探测器。
这个入侵检测系统在网络上发散的服务器,并在数据服务器上都配有实时的入侵检测系统,而这些的服务器就可以在它们所管辖的范围内对计算机进行实时的入侵检测。各服务器可以有效的指出来源于网络外部和内部的入侵行为,通过报警、防范和做出相应的反应。一旦发现问题,就可以非常及时的解决。这样分开由各服务器来进行检测可以更高效、快速的对入侵威胁进行防范,避免不必要的数据损失。这个入侵检测系统同时还可以被视为计算机防火墙的一个重要的稳固系统,大大降低了非法入侵的可能性。
4.2 电力信息系统对IDS产品的选择
IDS就相当与一幢大楼的监控系统,能保证这个大楼的安全。对于电力信息系统来说,IDS能有效的防止非法入侵,增强防火墙的效率。电力信息系统在选择IDS产品的时候,第一个就要看IDS产品的系统性能以及可靠性和管理性能等,根据这个综合的性能最终来选择最好的IDS产品。其次,在产品的系统性能上来看,系统对大量流动数据的监测能力是电力信息系统最看重的一点。
5 结语
入侵检测技术是一个可以积极并且主动的保护电力信心网络安全的基础。该技术拥有内部和外部的攻击能力和对错误程序的关注保护系统。在电力信息网络安全系统受到破坏的时候,入侵检测技术就可以进行有效的拦截并对入侵做出相应的反应。虽然现在电力信息网络安全系统的入侵检测技术还不是很成熟,不能完全的防止入侵的威胁。但是相信在不久的将来,随着科技的发达和时代的进步,入侵检测技术会有显著的提高。
参考文献
[1]伍晖平,金亚民,蔡青有.入侵检测技术在电力信息网络安全中的应用[J].电力安全技术,2007(10):53-55.
[2]陈新和.探讨入侵检测技术在电力信息网络安全中应用[J].通讯世界,2014(1):23-25.
