亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        入侵檢測(cè)的發(fā)展研究

        2014-04-29 00:00:00高波謝林川
        商業(yè)2.0 2014年10期

        中圖分類號(hào):TP393.08 文獻(xiàn)標(biāo)識(shí)碼:A

        摘要:現(xiàn)今入侵檢測(cè)系統(tǒng)(IDS)已經(jīng)成為了構(gòu)建大型網(wǎng)絡(luò)的必備組件。盡管如此,網(wǎng)絡(luò)安全事件還是頻頻發(fā)生,近年來(lái)許多的數(shù)據(jù)泄露丑聞吸引了公眾的眼球的同時(shí),其他的攻擊比如斯達(dá)克蠕蟲(chóng)攻擊成為了人們熱議的焦點(diǎn)。一方面,隨著商業(yè)廣告在互聯(lián)網(wǎng)上的成功和網(wǎng)絡(luò)攻擊能在一個(gè)相對(duì)安全的距離發(fā)動(dòng),吸引了網(wǎng)絡(luò)犯罪者的注意,僅在過(guò)去幾年的時(shí)間里就形成了一個(gè)高達(dá)數(shù)十億美元的網(wǎng)絡(luò)犯罪市場(chǎng)。另一方面,越來(lái)越多的服務(wù)器和系統(tǒng)移植到了互聯(lián)網(wǎng)中,比如IP電話和視頻點(diǎn)播服務(wù)器,這就為攻擊者提供了一個(gè)新的潛在攻擊角度。文章介紹了當(dāng)前入侵檢測(cè)系統(tǒng)的綜述并且指出了它們的不足,分析了最新的安全威脅和即將到來(lái)的威脅,最后鑒定出了下一代IDS的需求和最近的研究熱點(diǎn)以及未決問(wèn)題。

        關(guān)鍵詞:入侵檢測(cè) ; 入侵防御 ; 數(shù)據(jù)泄露防護(hù) ; 早期預(yù)警

        引言

        入侵檢測(cè)系統(tǒng)經(jīng)過(guò)20多年的發(fā)展已經(jīng)成為了大型網(wǎng)絡(luò)不可缺少的組件。1980年Anderson首先提出了入侵檢測(cè)的概念,他將入侵嘗試或威脅定義為:潛在的、有預(yù)謀的、未經(jīng)授權(quán)的訪問(wèn)信息、操作信息,致使系統(tǒng)不可靠或無(wú)法使用的企圖[1]。IDS是為了保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)并配置的一種能夠及時(shí)發(fā)現(xiàn)報(bào)告系統(tǒng)中未授權(quán)現(xiàn)象或異?,F(xiàn)象的安全體系,是一種檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)中違反安全策略行為的系統(tǒng)[2]。

        1.當(dāng)前面臨的威脅

        隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展,網(wǎng)絡(luò)攻擊的手法和攻擊的范圍都改變了很多。通過(guò)蠕蟲(chóng)傳播構(gòu)建僵尸網(wǎng)絡(luò),控制成千上萬(wàn)的“肉雞”,傳播垃圾郵件或進(jìn)行分布式拒絕服務(wù)攻擊成為現(xiàn)今比較流行的攻擊方式。而網(wǎng)絡(luò)攻擊的方向還是有跡可循的,通過(guò)賽門鐵克公司2013年的網(wǎng)絡(luò)安全報(bào)告[3],總結(jié)出了以下幾種新興的威脅和傾向:

        1.1新的和未知攻擊(面向新的服務(wù)器和設(shè)備)。隨著互聯(lián)網(wǎng)規(guī)模的擴(kuò)大,大量的服務(wù)器和設(shè)備遷入互聯(lián)網(wǎng),這就給攻擊者創(chuàng)造了一個(gè)新的潛在攻擊角度。通過(guò)這些新的攻擊節(jié)點(diǎn)所發(fā)起的攻擊往往難以追根溯源,也很難被檢測(cè)到。

        1.2零日攻擊 。一般應(yīng)用程序的升級(jí)包和補(bǔ)丁程序都是定期發(fā)布的,所以由此產(chǎn)生的零日攻擊近年來(lái)迅速增加。加之用戶安全意識(shí)不高對(duì)補(bǔ)丁和程序升級(jí)不敏感,這就留下了更多的安全隱患。

        1.3社交工程學(xué)和定向的攻擊。最近的趨勢(shì)顯示,定向攻擊的比例正在增加。在社交網(wǎng)站、微博上充斥大量的個(gè)人信息,攻擊者通過(guò)社會(huì)工程學(xué)的方法在公司主頁(yè)和社交網(wǎng)站上獲得有用信息來(lái)制造攻擊。以好友名義或最新的社交網(wǎng)站活動(dòng)等帶有欺騙性質(zhì)的木馬郵件,更能使被攻擊者放松警惕,提升感染目標(biāo)系統(tǒng)的幾率。

        1.4內(nèi)部威脅。把帶有木馬的移動(dòng)存儲(chǔ)介質(zhì)接入目標(biāo)電腦,木馬就會(huì)自動(dòng)安裝。在這種脫機(jī)傳播方式下,后門程序也就繞過(guò)了原有的安全系統(tǒng)和網(wǎng)絡(luò)數(shù)據(jù)監(jiān)控系統(tǒng)。在這種方式下,對(duì)專網(wǎng)、VPN的攻擊成為了可能。

        1.5數(shù)據(jù)泄露。主動(dòng)的內(nèi)部泄露,成為了現(xiàn)在最具挑戰(zhàn)性的危害之一。往往都是由內(nèi)部的管理人員或公司的內(nèi)部員工發(fā)起的,應(yīng)為只有這些人才能得到授權(quán)接近一些敏感信息和機(jī)密數(shù)據(jù)。去年80%的數(shù)據(jù)泄露事件是主動(dòng)泄密造成的。

        1.6加密攻擊。隨著2011年2月最后一塊IPv4地址被最后分配, IPV6技術(shù)逐漸深入應(yīng)用,采用加密技術(shù)完成木馬通信成為了新的趨勢(shì),加密隧道技術(shù)為數(shù)據(jù)傳輸提供安全保證的同時(shí)又增加了木馬傳輸?shù)碾[蔽性。

        1.7用戶安全意識(shí)不足。系統(tǒng)軟件廠商通常都會(huì)將補(bǔ)丁推遲到固定的補(bǔ)丁日來(lái)進(jìn)行發(fā)布:程序的升級(jí)只能定期進(jìn)行。如果不能及時(shí)更新安全機(jī)制打上補(bǔ)丁,就給攻擊者提供了一個(gè)明確的攻擊漏洞。

        2.現(xiàn)有系統(tǒng)及其缺陷

        2.1基于特征的檢測(cè)系統(tǒng)?;谔卣鳈z測(cè)要構(gòu)建一個(gè)特征庫(kù),使用字符串匹配技術(shù)來(lái)鑒別已知的惡意代碼。為了獲得可以接受的誤警率,必須依靠主機(jī)和服務(wù)器強(qiáng)勁的配置。但是要完整而徹底的完成對(duì)系統(tǒng)和服務(wù)器的配置是比較復(fù)雜的,需要很多的時(shí)間。而且如果需要進(jìn)行一些配置修改比如升級(jí)對(duì)系統(tǒng)效率影響會(huì)很大,所以特征監(jiān)測(cè)在大型網(wǎng)絡(luò)中的應(yīng)用往往不成功。

        2.2基于行為的檢測(cè)系統(tǒng)?;诋惓P袨榈南到y(tǒng)沒(méi)有特征庫(kù),而是采用建立行為模型來(lái)進(jìn)行審計(jì)。所以如何構(gòu)造精確的網(wǎng)絡(luò)行為模型是當(dāng)前的一個(gè)活躍的研究領(lǐng)域。因?yàn)橐恍┍辉S可的未知用戶行為經(jīng)常會(huì)被誤判為入侵行為,這樣就造成了很高的誤警率。

        2.3數(shù)據(jù)泄露保護(hù)和早期預(yù)警系統(tǒng)。同時(shí)早期預(yù)警系統(tǒng)(EWS)也正在建立當(dāng)中,和IDS相比EWS規(guī)模更大,監(jiān)測(cè)的數(shù)據(jù)來(lái)源分布在整個(gè)互聯(lián)網(wǎng)。如果某個(gè)單個(gè)子網(wǎng)的攻擊被發(fā)現(xiàn),EWS就會(huì)快速通知其他的子網(wǎng)。這樣新的蠕蟲(chóng)的攻擊,就會(huì)在早期得以控制。EWS收集世界各地電腦提供的網(wǎng)絡(luò)異常信息。通過(guò)驗(yàn)證統(tǒng)一地區(qū)的多個(gè)用戶如果都出現(xiàn)了同樣的問(wèn)題,就發(fā)出網(wǎng)絡(luò)攻擊警報(bào)。但是缺陷在于會(huì)產(chǎn)生巨大的網(wǎng)絡(luò)流量,這樣的設(shè)計(jì)只適用于大型的網(wǎng)絡(luò)系統(tǒng)。

        通過(guò)分析現(xiàn)有的系統(tǒng)還不能應(yīng)對(duì)新的威脅的發(fā)展趨勢(shì),下面總結(jié)了現(xiàn)有的IDS的一些不足:

        (1)配置復(fù)雜;(2)對(duì)零日攻擊監(jiān)測(cè)能力不足;(3)特征庫(kù)升級(jí)緩慢;(4)帶寬的上升和數(shù)據(jù)量的增加;(5)數(shù)據(jù)庫(kù)的增大;(6)無(wú)法應(yīng)對(duì)應(yīng)用層的加密攻擊;(7)無(wú)法應(yīng)對(duì)加密網(wǎng)絡(luò)連接。

        3.新的系統(tǒng)需求

        根據(jù)當(dāng)前IDS的不足和安全威脅的發(fā)展趨勢(shì),下一代的IDS需要滿足以下需求:

        (1)采用基于行為的分析系統(tǒng)。隨著零日攻擊、定向攻擊和加密通信的增加,特征分析在入侵監(jiān)測(cè)中的作用已經(jīng)不明顯了。隨著越來(lái)越多的移動(dòng)設(shè)備如智能手機(jī)、平板電腦等加入網(wǎng)絡(luò),這些移動(dòng)終端都是采用電池供電,有限的電池容量無(wú)法完成大量的特征分析計(jì)算。而使用行為監(jiān)測(cè)方式支持對(duì)新威脅的檢測(cè)。

        (2)放棄學(xué)習(xí)階段。由于在學(xué)習(xí)過(guò)程中的安全威脅無(wú)法保證學(xué)習(xí)環(huán)境的純潔性,所以這個(gè)階段最好被去除掉??梢圆捎脽o(wú)人監(jiān)管的學(xué)習(xí)技術(shù)或其他的途徑代替這一過(guò)程。比如:數(shù)據(jù)挖掘和神經(jīng)網(wǎng)絡(luò)等方向都再進(jìn)行相應(yīng)研究。

        (3)取消載荷檢驗(yàn)

        (4)采用代理完成審計(jì)。新的IDS還是應(yīng)該以網(wǎng)絡(luò)為中心,一方面,分布式的復(fù)雜攻擊,只能被網(wǎng)絡(luò)系統(tǒng)確認(rèn)。另一方面對(duì)許多主機(jī)系統(tǒng)的管理容易出錯(cuò),管理復(fù)雜化造成可擴(kuò)展性差。所以,主機(jī)系統(tǒng)應(yīng)該作為網(wǎng)絡(luò)系統(tǒng)的補(bǔ)充來(lái)使用,而傳統(tǒng)的審計(jì)工作可以交由代理服務(wù)器來(lái)完成。

        (5)交叉評(píng)價(jià)和分布式

        為了降低系統(tǒng)誤警率,我們可以把自身的入口數(shù)據(jù)流和其它系統(tǒng)異常檢測(cè)警報(bào)的數(shù)據(jù)進(jìn)行分布式和交叉評(píng)價(jià),在應(yīng)對(duì)已知攻擊的基礎(chǔ)上,增強(qiáng)應(yīng)對(duì)未知異常行為和零日攻擊的能力。

        (6)積極的自主防御

        系統(tǒng)必須具備智能處理相關(guān)情況的能力。未來(lái)的網(wǎng)絡(luò)通信,數(shù)據(jù)量大、傳輸速度快不允許手動(dòng)配置。而且,在DLP領(lǐng)域,數(shù)據(jù)泄露響應(yīng)越早越好。

        4.系統(tǒng)改進(jìn)和研究方向

        下一代的IDS并不局限于一個(gè)單個(gè)入侵檢測(cè)功能,而應(yīng)由三個(gè)部分結(jié)合組成:早期預(yù)警、外部檢測(cè)和內(nèi)部檢測(cè)。早期預(yù)警系統(tǒng)遍布全網(wǎng)絡(luò),通過(guò)跨網(wǎng)域的異常行為的交叉分析,就能檢測(cè)到新的入侵行為,通知并保護(hù)其他未被感染的網(wǎng)絡(luò)。主要功能是用來(lái)應(yīng)對(duì)未知的攻擊。外部檢測(cè)的功能是由NIDS來(lái)執(zhí)行的。多種檢測(cè)技術(shù)被整合起來(lái)。通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)流的行為分析,用來(lái)檢測(cè)未知的威脅。使用無(wú)人監(jiān)管的方式來(lái)獲得必要的行為模型,避免學(xué)習(xí)階段威脅的產(chǎn)生。如果學(xué)習(xí)階段不能完全去掉,用直接學(xué)習(xí)惡意代碼也是可行的,前提是惡意代碼庫(kù)最新。采用交叉分析的方式降低誤警率。以主機(jī)方式的傳統(tǒng)審計(jì)來(lái)應(yīng)對(duì)加密方式的通信。另外,用專有的基于主機(jī)的自治代理來(lái)輔助審計(jì)。

        參考文獻(xiàn):

        [1]Anderson J P.computer security threat monitoring and surveillance [p].PA 19034,USA,1980.04

        [2]唐正軍, 李建華編著. 入侵檢測(cè)技術(shù)[ M ]. 北京: 清華大學(xué)出版社, 2004.

        [3]Symantec Report on Attack Kits and Malicious Websites, 2013

        [4]Sperotto, A., Schaffrath, G., Sadre, R., Morariu, C., Pras, A., Stiller, B., An Overview of IP Flow-based Intrusion Detection, IEEE Survey and Tutorials, Third Issue, 2010

        [5]Mohd Fadzli Marhusin, David Cornforth, Henry Larkin, An Overview of Recent Advances in Intrusion Detection, Computer and Information Technology, 2008. CIT 2008. 8th IEEE International Conference on

        [6]戴云,范志平. 入侵檢測(cè)系統(tǒng)研究綜述[J].計(jì)算機(jī)工程與運(yùn)用,2004.17-19.75

        [7]蘭義華, 張穎江, 錢濤. 入侵檢測(cè)技術(shù)的分析與發(fā)展趨勢(shì)研究[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2005.38- 40

        国产成人精品久久二区二区91| 中文字幕无码不卡一区二区三区| 国产一区二区三区av在线无码观看| 亚洲一区二区三区av在线免费| 免费观看在线视频一区| 亚洲最大av在线精品国产| 日本三级吃奶头添泬| 粉嫩被粗大进进出出视频| 九九九精品成人免费视频小说| 国产精品乱子伦一区二区三区| 久久蜜桃一区二区三区| 国产亚洲精品90在线视频| 奇米影视7777久久精品| 免费a级毛片出奶水| 午夜福利不卡无码视频| 午夜国产在线精彩自拍视频| av网站在线观看亚洲国产| 久久伊人少妇熟女大香线蕉| 中文字幕亚洲情99在线| 高清国产亚洲va精品| 亚洲精品国产熟女久久久| 最近免费中文字幕中文高清6| а√资源新版在线天堂| 日韩AV有码无码一区二区三区| 精品一区二区中文字幕| 国产影片一区二区三区| 人妻少妇无码精品视频区| 亚洲免费人成在线视频观看| 成人国产在线播放自拍| 久久久熟女一区二区三区| 久久精品国产亚洲av麻豆长发| 夜夜高潮夜夜爽夜夜爱爱| 久久久久久久综合日本| 日本在线一区二区三区视频| 日韩综合无码一区二区| 国产真实偷乱视频| 国产午夜亚洲精品一级在线| 中文字幕精品人妻丝袜| 激情综合色综合啪啪开心| 少妇性l交大片| 在线你懂|