浅谈网上办公系统中入侵检测技术.pdf

科技信息 0IT论坛0 SCIENCE＆TECHNOLOGYINFORMATION 2009年 第29期 浅谈网上办公系统中入侵检测技术 王 静 (金华职业技术学院信息工程学院 浙江 金华 321000) 【摘 要】入侵检测技术是发现攻击者企图渗透和入侵行为的技术。由于网络信息系统越来越复杂，以致人们无法保证系统不存在设计漏 洞和管理漏洞 。在近年发生的网络攻击事件 中，突破边界防卫系统的案例并不多见，黑客们的攻击行为主要是利用各种漏洞长驱直入，使边界 防火墙形同虚设 ，信息技术的普及和信息基础设施的不完备导致 了严峻的安全 问题。人们不得不通过入侵检测技术尽早发现入侵行为 ，并予以 防范。入侵检测技术根据入侵者的攻击行为与合法用户的正常行为明显 的不 同，实现对入侵行为的检测和告警，以及对入侵者的跟踪定位和行 为取证 。本文主要从 ISS的RealSecure入侵检测 系统的特点 出发实现 网上办公系统的入侵检 测功能。 关【键词】入侵检测技术；探测 ；入侵 0．概述 计事件的数量 、间隔时间、资源消耗情况等 。 入侵检测的主要功能包括：监视分析用户和系统的行为、检测系 常用 的入侵检测5种统计模型为： 统配置的漏洞 、评估敏感系统和数据的完整性、识别攻击行为 、对异常 a．操作模型 ：该模型假设异常可通过测量结果与一些 固定指标相 行为进行统计 、自动收集与系统相关 的补丁 、进行审计跟踪识别违反 比较得到，固定指标可以根据经验值或一段时间内的统计平均得到， 安全法规 的行 为，系统 管理员可以较有 效地监视、审计 和评估 自己的 举例来说 ．在短时间内的多次失败的臀录很有可能是 口令尝试攻击。 系统 。 b．方差：计算参数的方差，设定其置信区间，当测量值超过置信区 1．入侵检测系统 间的范围时表明有 可能是异常。 由于网上办公信息系统服务载体的软件及通信协议f例如TcP，lP) c．多元模型 ：操作模型的扩展 ，通过 同时分析多个参数实现检测。 在开发或制定时因各种原因而导致会有漏洞存在 ；各系统在配置时， d．马尔柯夫过程模型 ：将每种类型的事件定义为系统状态 ．用状 同样会由于设置不当而导致漏洞的存在 ，因此对它们进行定期 的安全 态转移矩阵来表示状态 的变化 ，当一个事件发生时，或状态矩 阵该转 评估(防火墙 内外)是很好 的补救及防护措施 。可能会有少数攻击会透 移的概率较小则可能是异常事件。 过防火墙进入其后的DMZ区，因此需要在外部攻击必经的DMZ区里 e．时间序列分析 ：将事件计数与资源耗用 ，根据 时间排成序列 ，如 设置基于网络(Network—based)的入侵检测探测器。对于各类关键服务 果一个新事件在该时间发生的概率较低 ，则该事件可能是入侵 。 器还需要配置基于主机(Host—based)的入侵检测探测器 ，确保不让攻击 统计方法的最大优点是它可以 “学习”用户的使用习惯 ，从而具有 者从服务器中获取 、篡改、利用信息。 较高检 出率与可用性 。但是它的 “学习”能力也给入侵者以机会通过逐 1．1ISS的RealSecure入侵检测系统 步 “训练”使入侵事件符合正常操作的统计规律 ，从而透过入侵检测系 据公安都计算机信息系统安全产 品质量监督检验中心的报告 ．国 统。 内送检 的入侵检测产品中95％是属于使用入侵模板进行模式匹配 的 2．网上办公系统实时入侵检测服务器设置 特征及异常检测产品，其他5％是采用概率统计的统计检测产品与基 RealSecure的网络 引擎几乎能够发现发起的每一种主流攻击方 于 日志的专家知识库系列产品。脆弱性评估和入侵检测长期以来一直 式(包括远程缓冲区溢出、拒绝服务攻击和 已知 的CGI漏洞等)，IS