【硅谷网文】我们生在了一个计算机技术飞速发展的社会,它无时无刻的不在为我们服务,可以说我们的生活中到处充斥着它的影子,它给我们的日常生活带来了越来越多的便利,可以说在这个时代如果没有计算机我们的世界已经无法正常的运转,足见计算机在当今社会的地位,但是计算机系统也遭受着越来越多的攻击,保护计算机系统的安全已经成为了当今社会的重要话题,本文首先解释入侵检测技术概念,然后分析入侵检测的原理和方法,最后以模式匹配和统计分析两种具体方法来来阐述入侵检测工作的具体流程。
1.入侵检测系统的简介
我们知道传统的安全防护机制在系统中有一个储存病毒数据的病毒库,当计算机遭到外来攻击的时候当攻击的代码和病毒库中已经储存的病毒代码相匹配就认定是攻击,这种防护机制有一定的局限性,就是它只能防护在它的病毒库中有记录的病毒,对于新型病毒则无法防御,而入侵检测系统则恰恰补充了这种不足,可以说它与传统的计算机安全防护机制是成互补关系的,入侵检测是主动防御技术,是保证我们计算机系统安全的重要组成部分,它主要通过对计算机系统、网络流量的使用情况进行监控,来判断是否存在黑客通过系统漏洞从系统外部对系统进行攻击和普通权限的用户是否存在着越权使用的行为。我们这个时代计算机系统发展的飞速的以及人们对计算机了解更加深入,黑客的攻击也手段越来越高,所以每天都有很多的新型计算机病毒出现,所以传统的安全防护机制的局限性越来越明显,而靠监控系统行为的主动防御系统则几乎适用于所有的计算机系统,这使得计算机系统的安全性有了很大的提高,这是由于入侵检测的这种优势使得它越来越受到人们的重视,很多从事计算机系统安全维护的公司开始着手开发基于入侵检测原理的杀毒软件,可以预见,在未来几年入侵检测系统会成为计算机系统安全防护的主流。
2入侵检测的原理和方法
2.1入侵检测的原理
要想了解入侵检测的原理就必须先了解它的工作流程,第一步要对数据进行采集,获取有效的数据是进行检测的一个重要的前提,数据主要有两种,一种是本地的系统日志,主要包括操作系统的工作日志,计算机上的应用软件的工作日志;另一种是网络数据;获取本地系统日志主要通过一些日志查看软件,对看到的日志信息进行筛查;获取网络数据主要通过抓包的方式,就是把网络传输的数据截获并加以分析筛选。还有一种获取数据的方法就是把其他入侵系统或采集器上的数据进行截取,其实我们无论通过什么途径,获取什么数据,目的只有一个就是对获取的信息进行分析处理,主要有以下几个步骤:先将一些明显没用的信息去除掉以节省分析时间;再将余下的信息按照种类进行分类,将同种类型的放在一起;再要进行的就是合并,在这个过程中我们要把重复的信息删除掉;最后,要进行的是数据的格式转换,如果数据的格式符合我们的要求就不用转换了,转换的目的是能够对这些数据进行分析处理。
从入侵检测的工作流程我们可以知道,数据处理的核心是进行数据分析,因为各个工作步骤是按照层进行分工的,数据分析层的地位显而易见。目前比较普及的进行入侵检测的方法有两种,即误用检测技术和异常检测技术。
2.2入侵检测的方法
从上文中我们已经了解到入侵检测中两种主要的分析方法有两大类,它们是靠建模方式的不同进行区分的,采用系统的正常行为建模的是异常检测技术,采用系统的不正常行为建模的是无用检测技术。下面我们对两种方法加以分析。
2.2.1误用检测技术
误用检测是为了找出已经记录了的入侵模式,误用检测的建模对象是不正常行为,也就是说这些攻击都是有记录的,因为和攻击相对应的模式是特征,因此我们也把误用检测叫做基于特征的检测,目前我们判断攻击与否的方法是把一个攻击事件视为一个独立特征,然后对特征进行匹配搜索,如果和记录的入侵特征匹配则视为攻击,反之,不视为攻击。
2.2.2异常检测技术
异常检测的建模对象是正常行为,它工作的目的是为了检测出系统中的异常行为,工作过程是先对系统正常工作的一段时期内正常数据进行记录,把这个记录当成标准,对收集来的事件数据进行分析,如果和记录的数据标准偏差超出正常范畴则视为攻击。
2.3入侵检测的方法的实际应用
在上文中我们已经了解了入侵检测系统的两种技术误用检测技术和异常检测技术,下面我们分别用两种技术中的代表方法模式匹配的方法和统计分析的方法来举实例对入侵检测系统进行更深入的解释。
2.3.1模式匹配的方法
模式匹配的方法属于误用检测,它工作是先建立一个攻击特征库,并检查发送过来的数据是否包含这些攻击特征,来判断它是不是攻击,我们可以举个例子,在攻击特征库中把含有“string”字符串的代码视为攻击,那么如果在发送到计算机中的数据包中含有“string”字符串,就会报警提示攻击,模式匹配的优点是系统负担小,因为它之收集相关的数据集合。这个方法的不足是需要经常升级来收录新的攻击方法,他无法检测未出现过的攻击方法。
2.3.2统计分析的方法
统计分析的方法属于异常检测,它首先为系统对象创建一个统计描述,统计正常使用的时候的一些测量属性,测量属性的平均值将被用来和计算机系统的行为进行比较,如果观察值在正常值范围之外,就认为有入侵发生。例如,有台计算机它每天正常使用的时间是早上八点到晚上九点,如果在系统日志中发现在凌晨两点有人使用这台计算机,那么就可以认为是异常情况,有可能是入侵行为或者非授权访问;也可以对网络流量进行监控,这样可以防止拒绝服务攻击等攻击的发生,如果某个端口每秒钟允许的最大尝试连接次数是一千次,那么如果在检测中发现某个时间段内连接次数超过了这个界限,就视为异常,需要进行异常处理,以判断是否存在攻击,统计分析的优点是可以通过行为检测到未知入侵,缺点无法适应系统正常行为的突然改变,错报率高。
3结束语
本文主要探讨了用入侵检测系统保护计算机系统安全的问题,入侵检测系统作为信息安全领域的一项重要技术,误用检测技术和异常检测技术是入侵检测中两种重要的技术,它们在保护我们计算机的安全中起到了重要的作用。
作者简介:
姓名:王崇善,出生年月:1992年10月4日,性别:男,籍贯:河北省威县,民族:汉族,学历:大学本科,学校:湖北工程学院新技术学院,研究方向:计算机安全
|
