已經開發了許多安全機制,但是安全問題仍然受到懷疑和關註。圖像電子
商業的這種應用是否會得到全面推廣,很大程度上取決於人。
網絡環境下學生對信息系統安全的信心。因為已經從理論上證明了不
有壹個絕對安全的安全系統,所以壹般使用審計跟蹤和攻擊檢測系統。
作為信息系統的最後壹道安全防線。
審計信息在早期的中大型計算機系統中收集,建立跟蹤文件。
這些審計跟蹤的目的主要是為了性能測試或計費,因此攻擊檢測
測量提供的有用信息較少;另外,主要難點在於審計函。
信息粒度的安排,當審計信息粒度較細,數據過大且過細時,
然而,由於審計跟蹤機制提供了大量的數據,所以它將是有用的。
信息源不在其中;所以人工檢查沒有意義,因為不可行。
對於企圖/成功的攻擊,不能保證被動審計的檢測程度。
。通用審計跟蹤可以為攻擊檢測提供重要信息,如誰。
妳運行了什麽程序,什麽時候訪問或修改了那些文件,使用了內存和磁性?
磁盤空間量等。;但是,它也可能會錯過部門的重要攻擊檢測的相關信件。
休息。為了使通用審計跟蹤可用於安全目的,如攻擊檢測,它必須配備
準備自動工具來分析審計數據,以便盡早發現那些可疑事件。
行為線索,發出警報或對策。
(壹)基於審計信息的攻擊檢測技術
1,檢測技術分類
為了從大量有時是冗余的審計跟蹤數據中提取安全性
有用的信息,基於計算機系統審計跟蹤信息的設計和實現。
需要統壹自動化的安全分析或檢測工具,可以用來篩選出涉及的。
和安全信息。其思想和流行的數據挖掘技術如下。
非常相似。
基於審計的自動分析和檢測工具可以離線,這意味著分析工具不能離線
實時處理由審計跟蹤文件提供的信息,從而獲得計算機系統。
系統是否受到攻擊,並提供盡可能多的關於攻擊者的信息;
此外,它還可以是在線的,這意味著分析工具實時提供審計跟蹤文件。
當出現可疑攻擊行為時,系統提供實時
當攻擊發生時,警報可以提供有關攻擊者的信息,包括
攻擊試圖指向的信息。
2.攻擊分類
在安全系統中,通常至少應考慮以下三種類型的安全威脅:外部
攻擊、內部攻擊和授權濫用。當攻擊者來自計算機系統之外時
叫外攻;攻擊者是那些有權訪問計算機,但無權訪問它們的人。
某些特定的數據、程序或資源被認為是由打算超越其權限使用系統資源的人使用的。
內部攻擊,包括偽造者(即使用其他合法用戶的身份和密碼的人)
秘密用戶(即那些故意逃避審計機制和訪問控制的用戶)
;特權濫用者也是計算機系統資源的合法使用者,有意或無意。
故意濫用他們的特權。
通過審計登錄嘗試的失敗記錄,可以發現外部攻擊者的攻擊企業。
圖;通過觀察連接到特定文件、程序和其他資源的失敗嘗試記錄,您可以
以便發現內部攻擊者的攻擊企圖,這可以為每個用戶單獨建立。
將行為模型與具體行為進行比較,以檢測和發現造假者;但必須通過審核。
通常很難找到那些有信息的授權濫用者。
基於審計信息的攻擊檢測尤其難以防範,這就是要有高性能。
特權內部人士的攻擊;攻擊者可以使用特定的系統權限或音調
避免使用比審核本身更低級別的操作進行審核。對於擁有系統權限的用戶
用戶需要查看關閉或暫停審計功能的所有操作。
審核的特殊用戶或其他審核參數。審查較低級別的工作
能力,比如審核系統服務或者核心系統調用,通常比較難,常見的方法。
工作難度大,需要特殊的工具和操作才能實現。總之,為了防止隱蔽。
秘密內部攻擊需要保證技術手段、技術之外的管理手段的有效性
手術需要監控系統內的壹些特定指標(如CPU、內存和磁
磁盤活動),並與正常情況下它們的歷史記錄進行比較,以便發送。
現在。
3.攻擊檢測方法
(1)檢測隱藏的非法行為
基於審計信息和自動分析工具的離線攻擊檢測可用於
系統安全管理員報告前壹天計算機系統活動的評估報告。
實時攻擊檢測系統的工作原理是基於用戶的歷史行為。
基於早期證據或模型的建模和審計系統實時檢測用戶的意見。
根據系統中維護的用戶行為的概率統計模型,系統的使用
監控,當發現可疑用戶行為發生時,保持跟蹤監控、
記錄用戶的行為。由斯坦福研究所開發
Ides(入侵檢測專家系統)就是壹個典型的例子。
基於的實時檢測系統。IDES系統可以根據用戶以前的歷史行為來確定用戶。
目前的行為是否合法。系統根據用戶的歷史行為生成每個用戶。
歷史行為記錄庫。IDES更有效的功能是自適應地學習被檢測對象。
衡量系統中每個用戶的行為習慣。當用戶改變其行為習慣時,
這個異常會被檢測出來。目前,IDES中實現的監控基於
以下兩個方面:壹般項目;如CPU使用時間、I/O使用通道和
常見目錄的頻率、建立和刪除、讀取、寫入、修改和刪除文件,以及
來自局域網的行為;具體項目:包括妳習慣的編輯器和編譯器。
、最常用的系統調用、用戶ID的存儲以及文件和目錄的使用。
IDES不僅可以實時監控用戶的異常行為。它還具有加工適應性。
應該是用戶參數的能力。在像IDES這樣的攻擊檢測系統中,用戶
行為的各個方面都可以作為區分正常和異常行為的標誌。
例如,用戶通常在正常工作時間使用系統,偶爾會添加
使用該系統的類將被IDES警告。根據這個邏輯,系統可以判斷行的用途。
合法或可疑。顯然,這個邏輯有“肅反擴/縮”的問題
。當合法用戶濫用權利時,IDES是無效的。此方法與相同
Sample適用於檢測程序和數據資源(如文件或數據庫)的行為
訪問行為。
(2)基於神經網絡的攻擊檢測技術。
如上所述,IDES(入侵檢測專家系統)類
基於審計統計的攻擊檢測系統具有壹些固有的弱點,因為
用戶的行為可能非常復雜,因此您希望精確匹配用戶的日歷。
歷史行為和現在行為都挺難的。
錯誤的警報通常來自基於審計數據的不準確的統計算法。
或者是不恰當的假設。作為改進策略之壹,斯坦福研究中心
h研究所研究組利用並開發了神經網絡技術來進行攻擊檢測。
測量。神經網絡可用於解決傳統統計分析技術所面臨的以下問題。
問題:①難以建立精確的統計分布:統計方法基本上取決於
用戶行為的主觀假設,如偏差高斯分布;這種假設經常會導致誤報警。
引起的。②難以實現方法的通用性:適用於某些用戶行為的檢測。
措施通常不能應用於其他類型的用戶。③算法的實現相對昂貴:由於上述原因
原因有壹個,就是基於統計的算法沒有針對不同類型用戶行為的自我評價。
適應性,所以算法復雜龐大,導致算法實現代價昂貴。
而神經網絡技術不存在這個問題,實現的成本比學校系統更難。
在裁剪方面:由於使用統計方法來檢測擁有大量用戶的計算機系統,它將
我們要保留大量的用戶行為信息,導致系統臃腫,難以裁剪。
基於神經網絡的技術可以避免這壹缺點。根據實時檢測的信號,
有效應對,對攻擊的可能性做出判斷。
目前,神經網絡技術提出了基於傳統統計技術的攻擊檢測。
方法的改進方向還不是很成熟,所以傳統的統計方法還會繼續。
繼續發揮作用,而且還依然能為發現用戶的異常行為提供可觀的參考價格。
值的信息。
(3)基於專家系統的攻擊檢測技術。
安全檢查工作自動化另壹個值得關註的研究方向是
是壹種基於專家系統的攻擊檢測技術,即根據安全專家的可疑行為。
分析經驗形成壹套推理規則,然後在此基礎上形成相應的。
專家系統。因此,專家系統自動分析所涉及的攻擊操作。
工作。
所謂專家系統,是基於專家經驗預先定義的壹套規則。
系統。比如某用戶連續登錄幾分鐘,失敗超過。
三次可以認為是攻擊。統計系統中似乎也有類似的規則。
同樣,應該註意的是,基於規則的專家系統或推進系統也有它們自己的。
限制,因為作為這種系統基礎的推理規則通常是基於已知的。
安全漏洞是經過安排和規劃的,對系統最危險的威脅主要有
它來自壹個未知的安全漏洞。實現基於規則的專家系統是壹門學問。
認識工程問題,其功能隨著經驗的積累應該能夠運用其自學。
學習擴展和修改規則的能力。當然,這樣的能力需要在專家的手指裏。
可以做到引導和參與,否則也可能導致更多的誤報。壹個
另壹方面,推進機制使系統有可能出現壹些新的行為現象。
應對能力(即可能發現壹些新的安全漏洞);另壹方面,
攻擊可能不會觸發任何規則,因此不會被檢測到。專家
系統對歷史數據的依賴程度壹般高於基於統計技術的審計系統。
少,所以系統適應性強,能靈活適應廣譜安全。
策略和檢測要求。但到目前為止,推理系統和謂詞演算的可計算性
問題和成熟的解決方案還有壹定的距離。
(4)基於模型推理的攻擊檢測技術。
攻擊者在攻擊系統時通常會使用某些行為程序,例如猜測。
密碼程序,這個行為程序構成了具有壹定行為特征的模型。
根據該模型所表示的攻擊意圖的行為特征,可以實時檢測到。
惡意攻擊企圖。雖然攻擊者不壹定是惡意的。使用基於模塊的
人們可以為某些行為建立特定的模型,以便進行監控。
取決於具有特定行為特征的特定活動。根據假設的攻擊腳本,該系統
系統可以檢測非法用戶行為。壹般來說,為了做出準確的判斷,有必要對不同的
攻擊者和不同的系統建立特定的攻擊腳本。
當有證據表明特定的攻擊模式發生時,系統應該收集它。
他的證據證實或否認了攻擊的真實性,兩者都不能少報攻擊的信息。
系統造成實際傷害,要盡量避免誤報。
當然,以上方法都不能完全解決攻擊檢測的問題。
為了加強計算機信息系統的安全程序,最好綜合使用各種手段
增加攻擊成功的難度,同時根據系統本身的特點輔助更合適的攻擊。
罷工檢測手段。
4.其他相關問題
為了防止過多無關信息的幹擾,用於安全目的的攻擊檢測。
除審計系統外,測試系統還應配備適合系統安全策略的信息收集器。
或者過濾器。同時,除了依賴來自審計子系統的信息外,還應該充分
使用來自其他信息源的信息。在壹些系統中,可以在不同層面取得進展。
審計追蹤。例如,壹些系統在其安全機制中使用三級審計跟蹤。包括
審核操作系統的核心調用行為,審核用戶和操作系統接口級行為。
,並審核應用程序的內部行為。
另壹個重要的問題是確定攻擊檢測系統的運行位置。為
為了提高攻擊檢測系統的運行效率,它可以獨立於被監控的系統來布置。
在計算機上進行審計線索分析和入侵檢測,既有效率又有效益。
優點,也是安全的優點。
因為監控系統的響應時間對被監控系統的操作完全沒有負面影響。
面的影響,也不會受到其他安全相關因素的影響。
簡而言之,為了有效地利用審計系統提供的信息,通過攻擊檢測
防範攻擊威脅的措施,計算機安全系統應根據系統的具體情況進行選擇。
選擇適用的主要攻擊檢測方法,並有機整合其他可選的攻擊檢測方法。
測量方法。同時,我們應該清楚地認識到,任何壹種攻擊檢測措施都不能
要想壹勞永逸,必須配備有效的管理和組織措施。
(2)攻擊檢測系統的測試
為了對市場上的攻擊檢測系統產品進行公正有效的評估
對攻擊檢測系統進行評估和測試是非常重要的。
對於用戶來說,第三方檢測報告在采購上很有指導意義。
我國壹些單位對此高度重視,做了大量的開創性工作,也
它取得了巨大的成就。美國IDG信息世界測試中心團隊開發了壹種
這種可以算是基準型測試基準————iwss 16。團隊收集了
介紹了幾種典型的、公開可用的攻擊方法,並將它們組合起來形成。
IWSS16 .IWSS16結合了四種主要的攻擊手段:(1)信息搜集攻擊。
攻擊網絡的攻擊者通常在正式攻擊之前進行試探性攻擊。目標是
從系統中獲取有用的信息,所以第壹類攻擊檢測的重點是
PING掃描、端口掃描、賬號掃描、DNS轉換等操作。網絡攻擊
黑客常用的攻擊工具有:Strobe、NS、撒旦(安全A
用於審計網絡的管理員工具.使用這些工具
可以獲取網絡上內容的信息,網絡漏洞在哪裏等等。
(2)訪問攻擊
在IWSS16中,集成了壹系列破壞性手段來獲得對網絡的特權訪問。
包括許多制造故障的攻擊,如發送郵件故障和遠程入侵。
Rnet郵件訪問協議緩沖區溢出、FTP故障、phf故障等。
。通過這些攻擊造成的故障,暴露系統的漏洞,獲取訪問權限。
(3)拒絕服務攻擊
拒絕服務攻擊是最難捕捉的攻擊,因為它不會留下任何痕跡。
安全管理人員很難確定攻擊的來源。因為它的攻擊目標是讓網絡
節點系統癱瘓了,所以這是非常危險的攻擊。當然,要捍衛壹方是困難的。
總之,拒絕服務攻擊是壹種比較容易防禦的攻擊類型。這種攻擊
特點是系統在鋪天蓋地的應用中崩潰;另外,
此外,拒絕服務攻擊還可以利用操作系統的弱點,進行有針對性的攻擊。
性侵犯。
(4)避免檢測攻擊
國際黑客已經進入有組織、有計劃的網絡攻擊階段,美國
政府打算容忍黑客組織的活動,以便將黑客攻擊置於壹定的控制之下。
系統下,並通過這個渠道獲得防範攻擊的實際經驗。國際黑客組織
編織發展出了許多躲避偵查的技術。然而,魔高壹尺道高壹丈。
矛與盾並存、交替發展是普遍規律,攻擊檢測系統的發展
展覽的研究方向之壹是克服逃跑的企圖。
(3)幾種典型的攻擊檢測系統
(1)NAI公司是領先的專業網絡安全產品提供商,其攻擊檢測。
系統產品主要是三個獨立的產品:賽博掃描儀和賽博s。
服務器和網絡警察網絡。
Cybercop Scanner是NAI的網絡安全產品之壹,其目標是
在復雜的網絡環境中檢測薄弱環節,賽博掃描儀對Intr非常敏感。
Anet、Web服務器、防火墻等網絡安全環節進行全面檢查,從而
發現這些安全鏈接的漏洞,包括眾所周知的泄漏。
洞,還有很多不為人知的漏洞。網絡警察掃描儀發現了這個。
將網絡產品和網絡系統中的壹些安全漏洞報告給軟件供應商和相關組織。
(如先)報告,以便在最大可能範圍內盡快解決安全漏洞。
由此帶來的危險。Cybercop Scanner特別擅長解決路由器和防火。
壁式過濾程序的安全問題,這方面的成功產品在市場上還不多見。
。這是由Cybercop掃描儀產品中的工具CAPE(自定義Audi)創建的。
Ting分組引擎)。CAPE可以執行非常復雜的協議層。
欺騙和攻擊模擬很容易形成適應各種特定網絡的特殊網絡。
使用工具,不需要太高的編程能力。對於那些希望內部人員解決安全問題的人來說
Cybercop掃描儀無疑是組織和單位測試工具的理想選擇。
選擇。對於那些有安全問題的咨詢公司,因為Cybercop Scanner可以
它也是壹個合適的工具,因為它提供了從外部檢測網絡運行狀態。
Cybercop服務器是NAI的網絡安全產品之壹,其目標是
提供對復雜網絡環境中攻擊的預防、檢測和響應,並可以采用
采取自動對策的工具。Cybercop服務器基於客戶機/服務器對。
對整個網絡進行測試,建立了壹個新的工業標準——多維安全防護。當...的時候
當今網絡環境最大的特點就是不可預測性,這是Web服務器的第壹道防線。
是防火墻,Web服務器提供HTTP、FTP和其他Web協議,這些協議
它不同於其他標準通道,許多黑客通過這些Web協議繞過防禦。
防火墻和其他安全機制的預防。網絡警察服務器可以在黑客攻擊後成功進入系統
先於系統發現攻擊者,並及時報告給系統安全經理。
Cybercop服務器提供實時檢測服務。奈是賽博警察
ver采用了“看門狗盒”專利技術,可以實時檢測攻擊
它可以解決Web服務器異常中斷、非法用戶試圖取代超級用戶,
Web服務器的內容被非法修改,非法網絡入侵者和非法登錄。
等等。Cybercop服務器還可以提供自動對策。在檢測到攻擊企業後
圖後可以自動啟動編程對策,比如終止登錄過程,終止處理。
過程,頁面或電子郵件給網絡管理員,重新啟動網絡服務器,並
生成SNMP陷阱等。Cybercop服務器仍然保留給用戶進壹步開放。
開發編程接口,可以與其他安全產品形成協作,進壹步增加
系統安全強度強。
賽博網絡是NAI的網絡安全產品之壹,其主要功能有
它可以是壹只手,在復雜的網絡環境中通過循環來監控網絡流量。
段保護* * *網絡上的共享資源。網絡警察網絡提供不間斷的權利
網絡監控和攻擊企圖的實時報警。賽博網絡是
基於審計數據的攻擊檢測系統對於內部和外部攻擊都非常有用。
授權濫用可以給出準確及時的報警;也能識別被攻擊的人
系統組件,記錄系統活動;捕捉攻擊線索等。
賽博網絡系統由智能傳感器和s。
Ensor分布在全網敏感易受攻擊的地方,比如廣域連接和撥號。
連接、集中式服務器、特定段等。該產品提供了監控、過濾
和阻斷網絡流量的規則,可以有效地監控網絡和檢測
攻擊企圖,及時發送報警/電子郵件報警,事件記錄,還有
向安全管理人員發送頁面並采取對策的功能。傳感器可以是
根據組織/企業的需要配置信息收集器,以適應系統安全策略。
。
Cybercop可以生成各種形式的報表,包括HTML、ASC文本、
RTF格式和逗號分隔格式。
2)ISS(互聯網安全系統)的RealSecure
2.0 for Windows NT是領先市場的攻擊檢測方案。RealSecu
Re 2.0提供了壹個分布式安全架構,多個檢測引擎可以監控不同的
並向中央管理控制臺報告。控制臺和引擎之間的通信可以
128位RSA用於驗證和加密。
(3)3)Abirnet公司的Session-wall-3是壹種具有廣泛功能的安全。
所有產品,包括攻擊檢測系統的功能。
Session-wall-3提供了監控、過濾和阻止網絡流量的定義。
規則函數,所以它的解決方案簡潔靈活。
Session-wall-3在檢測到攻擊後向本地控制臺發送警報和電力。
子郵件,事件記錄,還具有向安全管理人員發送頁面的功能。
舉報功能也比較強。
(4)Anzen公司的NFR(Netware飛行記錄器)提供了壹個
壹個網絡監控框架,可以有效地執行攻擊檢測任務。
OEM公司可以基於NFR定制具有特殊用途的攻擊檢測系統,包括
壹些軟件公司已經開發了自己的NFR產品。
(5)IBM的IERS系統(互聯網應急響應se)
Rvice)由兩部分組成;網絡巡邏兵探測器和巨石監控中心
。NetRanger檢測器負責監控網絡上可識別的通信數字簽名。
壹旦發現異常情況,巨石監控中心的警報就會被激活。