IDS在五級(jí)信息安全機(jī)制構(gòu)建中的應(yīng)用論文

　　關(guān)鍵詞：計(jì)算機(jī)論文發(fā)表-發(fā)表計(jì)算機(jī)評(píng)職稱(chēng)論文

　　摘要：入侵檢測(cè)（Intrusion Detection）是一項(xiàng)信息安全機(jī)制中的關(guān)鍵技術(shù)，入侵檢測(cè)系統(tǒng)（IDS）是利用這一關(guān)鍵技術(shù)的監(jiān)控和分析網(wǎng)絡(luò)信息，以及時(shí)發(fā)現(xiàn)入侵行為的信息安全系統(tǒng)。

　　本文重點(diǎn)在結(jié)合信息安全等級(jí)的要求與IDS本身結(jié)構(gòu)的優(yōu)缺點(diǎn)，對(duì)信息安全策略進(jìn)行分析，構(gòu)建滿(mǎn)足五級(jí)信息安全保護(hù)能力的入侵檢測(cè)系統(tǒng)。

　　關(guān)鍵詞：入侵檢測(cè)，信息安全

　　1.信息安全等級(jí)

　　信息安全等級(jí)保護(hù)是我國(guó)信息安全保障工作的綱領(lǐng)性文件（《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》）（中辦發(fā)[2003]27號(hào)）提出的重要工作任務(wù)[1]，其基本原理是，不同的信息系統(tǒng)有不同的重要性，在決定信息安全保護(hù)措施時(shí)，必須綜合平衡安全成本和風(fēng)險(xiǎn)。

　　2007年6月，公安部發(fā)布的《信息安全等級(jí)保護(hù)管理辦法》規(guī)定，根據(jù)信息系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，其遭受破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等，其安全等級(jí)由低到高劃分為五級(jí)，其等級(jí)劃分原則如表1.1所示：

　　表1.1 安全等級(jí)劃分原則

　　不同安全等級(jí)的信息系統(tǒng)應(yīng)該具備相應(yīng)的基本安全保護(hù)能力，其中第四級(jí)安全保護(hù)能力是應(yīng)能夠在統(tǒng)一安全策略下防護(hù)系統(tǒng)免受來(lái)自國(guó)家級(jí)別的、敵對(duì)組織的、擁有豐富資源的威脅源發(fā)起的惡意攻擊，嚴(yán)重的自然災(zāi)害，以及其他相當(dāng)維護(hù)程度的威脅所造成的資源損害，能夠發(fā)現(xiàn)安全漏洞和安全相關(guān)事件，在系統(tǒng)遭到損害后，能夠迅速恢復(fù)所有功能；第五級(jí)安全保護(hù)能力是在第四級(jí)安全的安全保護(hù)能力的基礎(chǔ)上，由訪問(wèn)控制監(jiān)視器實(shí)行訪問(wèn)驗(yàn)證，采用形式化技術(shù)驗(yàn)證相應(yīng)的安全保護(hù)能力確實(shí)得到實(shí)現(xiàn)。

　　2.IDS主要功能

　　入侵檢測(cè)：通過(guò)對(duì)行為、安全日志、審計(jì)數(shù)據(jù)或其他網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作，檢測(cè)到對(duì)系統(tǒng)的闖入或者闖入的企圖[2]。（國(guó)標(biāo)GB/T 18336）

　　入侵檢測(cè)系統(tǒng)的主要功能：

　　檢測(cè)并分析用戶(hù)和系統(tǒng)的活動(dòng)，查找非法用戶(hù)和合法用戶(hù)的越權(quán)操作；檢查系統(tǒng)配置和漏洞，并提示管理員修補(bǔ)漏洞。（由安全掃描系統(tǒng)完成）、評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性；識(shí)別已知的攻擊行為；統(tǒng)計(jì)分析異常行為；操作系統(tǒng)日志管理，并識(shí)別違反安全策略的用戶(hù)活動(dòng)等；

　　成功的入侵檢測(cè)系統(tǒng)，應(yīng)該達(dá)到的效果：可以使系統(tǒng)管理員時(shí)刻了解網(wǎng)絡(luò)系統(tǒng)（軟件和硬件）的任何變更，能給網(wǎng)絡(luò)安全策略的制定提供依據(jù)；管理配置簡(jiǎn)單，使非專(zhuān)業(yè)人員非常容易地獲得網(wǎng)絡(luò)安全。入侵檢測(cè)的規(guī)模還應(yīng)根據(jù)網(wǎng)絡(luò)規(guī)模、系統(tǒng)構(gòu)造和安全需求的改變而改變。入侵檢測(cè)系統(tǒng)在發(fā)現(xiàn)入侵后，能及時(shí)作出響應(yīng)，包括切斷網(wǎng)絡(luò)連接、記錄事件和報(bào)警等。

　　圖2.1入侵檢測(cè)系統(tǒng)結(jié)構(gòu)圖

　　3.IDS類(lèi)別

　　由于IDS的模型多樣化，IDS的類(lèi)別也表現(xiàn)出較為復(fù)雜的情況，但是當(dāng)前通常將入侵檢測(cè)按照分析方法和數(shù)據(jù)來(lái)源來(lái)進(jìn)行分類(lèi)[3]。

　　3.1按照分析方法（檢測(cè)方法）

　　異常檢測(cè)模型（Anomaly Detection）：首先總結(jié)正常操作應(yīng)該具有的特征（用戶(hù)輪廓），當(dāng)用戶(hù)活動(dòng)與正常行為有重大偏離時(shí)即被認(rèn)為是入侵。

　　誤用檢測(cè)模型（MisuseDetection）：收集非正常操作的行為特征，建立相關(guān)的特征庫(kù)，當(dāng)監(jiān)測(cè)的用戶(hù)或系統(tǒng)行為與庫(kù)中的記錄相匹配時(shí)，系統(tǒng)就認(rèn)為這種行為是入侵。

　　3.2按照數(shù)據(jù)來(lái)源

　　基于主機(jī)的IDS：系統(tǒng)獲取數(shù)據(jù)的依據(jù)是系統(tǒng)運(yùn)行所在的主機(jī)，保護(hù)的目標(biāo)也是系統(tǒng)運(yùn)行所在的主機(jī)；檢測(cè)的目標(biāo)主要是主機(jī)系統(tǒng)和系統(tǒng)本地用戶(hù)。檢測(cè)原理是根據(jù)主機(jī)的審計(jì)數(shù)據(jù)和系統(tǒng)的日志發(fā)現(xiàn)可疑事件，檢測(cè)系統(tǒng)可以運(yùn)行在被檢測(cè)的主機(jī)或單獨(dú)的主機(jī)上。

　　圖3.1基于主機(jī)的IDS結(jié)構(gòu)圖

　　基于網(wǎng)絡(luò)的IDS：系統(tǒng)獲取的數(shù)據(jù)是網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包，保護(hù)的是網(wǎng)絡(luò)的運(yùn)行；根據(jù)網(wǎng)絡(luò)流量、協(xié)議分析、單臺(tái)或多臺(tái)主機(jī)的審計(jì)數(shù)據(jù)檢測(cè)入侵。

　　圖3.2 基于網(wǎng)絡(luò)的IDS結(jié)構(gòu)圖

　　探測(cè)器由過(guò)濾器、網(wǎng)絡(luò)接口引擎器以及過(guò)濾規(guī)則決策器構(gòu)成，探測(cè)器的功能是按一定的規(guī)則從網(wǎng)絡(luò)上獲取與安全事件相關(guān)的數(shù)據(jù)包，傳遞給分析引擎器進(jìn)行安全分析判斷[4]。

　　分析引擎器將從探測(cè)器上接收到的包并結(jié)合網(wǎng)絡(luò)安全數(shù)據(jù)庫(kù)進(jìn)行分析，把分析的結(jié)果傳遞給配置構(gòu)造器。

　　配置構(gòu)造器按分析引擎器的結(jié)果構(gòu)造出探測(cè)器所需要的配置規(guī)則。

　　分布式IDS：

　　傳統(tǒng)的集中式IDS的基本模型是在網(wǎng)絡(luò)的不同網(wǎng)段放置多個(gè)探測(cè)器收集當(dāng)前網(wǎng)絡(luò)狀態(tài)的信息，然后將這些信息傳送到中央控制臺(tái)進(jìn)行處理分析。

　　分布式結(jié)構(gòu)采用了本地主體處理本地事件，中央主體負(fù)責(zé)整體分析的模式。

　　3.3 IDS的局限性

　　對(duì)于大規(guī)模的分布式攻擊，中央控制臺(tái)的負(fù)荷將會(huì)超過(guò)其處理極限，這種情況會(huì)造成大量信息處理的遺漏，導(dǎo)致漏警率的增高[5]。

　　多個(gè)探測(cè)器收集到的數(shù)據(jù)在網(wǎng)絡(luò)上的傳輸會(huì)在一定程度上增加網(wǎng)絡(luò)負(fù)擔(dān)，導(dǎo)致網(wǎng)絡(luò)系統(tǒng)性能的降低[6]。

　　由于網(wǎng)絡(luò)傳輸?shù)臅r(shí)延問(wèn)題，中央控制臺(tái)處理的網(wǎng)絡(luò)數(shù)據(jù)包中所包含的信息只反映了探測(cè)器接收到它時(shí)網(wǎng)絡(luò)的狀態(tài)，不能實(shí)時(shí)反映當(dāng)前網(wǎng)絡(luò)狀態(tài)[7]。

　　4.五級(jí)安全防護(hù)能力IDS構(gòu)建

　　根據(jù)公安部《信息安全等級(jí)保護(hù)管理辦法》，五級(jí)安全防護(hù)能力需要具備四級(jí)安全防護(hù)的漏洞發(fā)現(xiàn)和入侵檢測(cè)能力，同時(shí)需要由訪問(wèn)控制監(jiān)視器實(shí)現(xiàn)對(duì)訪問(wèn)的.及時(shí)驗(yàn)證，保證杜絕未授權(quán)用戶(hù)的非法訪問(wèn)。

　　與此同時(shí)，如何解決因?yàn)榫W(wǎng)絡(luò)時(shí)延而導(dǎo)致的數(shù)據(jù)分析的延后，以及解決探測(cè)器在網(wǎng)絡(luò)傳輸中造成的網(wǎng)絡(luò)負(fù)擔(dān)，提高網(wǎng)絡(luò)系統(tǒng)性能的同時(shí)保證中央控制臺(tái)的高效運(yùn)轉(zhuǎn)，是當(dāng)前IDS需要重點(diǎn)研究的問(wèn)題。

　　當(dāng)前IDS的結(jié)構(gòu)中入侵檢測(cè)和數(shù)據(jù)安全審計(jì)是兩個(gè)不同的模塊，入侵檢測(cè)系統(tǒng)將檢測(cè)數(shù)據(jù)提交給安全審計(jì)模塊，對(duì)入侵行為的確認(rèn)是由安全審計(jì)模塊進(jìn)行的[8]。因此在成本可接受的范圍內(nèi)，如果將審計(jì)模塊和檢測(cè)模塊結(jié)合，并且將分布式IDS的每一個(gè)檢測(cè)終端都由一個(gè)獨(dú)立處理單元來(lái)進(jìn)行基本的檢測(cè)，只將較為復(fù)雜的數(shù)據(jù)提交給中央控制臺(tái)，這樣即減輕了網(wǎng)絡(luò)傳輸?shù)膲毫�，也有利于中央控制臺(tái)更加高效運(yùn)轉(zhuǎn)。將每一個(gè)獨(dú)立處理單元命名為一個(gè)agent，每個(gè)agent的結(jié)構(gòu)如下圖所示：

　　5.結(jié)束語(yǔ)

　　本文介紹了信息安全等級(jí)的分類(lèi)依據(jù)，在對(duì)IDS系統(tǒng)的類(lèi)別和局限性進(jìn)行分析的基礎(chǔ)上，對(duì)滿(mǎn)足五級(jí)信息安全防護(hù)能力的入侵檢測(cè)系統(tǒng)進(jìn)行了基本構(gòu)建，探討通過(guò)對(duì)分布式IDS終端處理單元的結(jié)構(gòu)和防范策略進(jìn)行調(diào)整，研究對(duì)IDS存在主要問(wèn)題的處理策略。

　　參考文獻(xiàn)：

　　[1] 高永強(qiáng)，羅世澤.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用大典[M].北京：人民郵電出版社，2003：15-16.

　　[2] 盛思源，戰(zhàn)守義，石耀斌.基于數(shù)據(jù)挖掘的入侵檢測(cè)系統(tǒng)[J].計(jì)算機(jī)工程，2003，28（3）.

　　[3] 胡振昌.網(wǎng)絡(luò)入侵檢測(cè)原理與技術(shù)[M].北京：北京理工大學(xué)出版社，2006

　　[4] 唐正軍，李建華.入侵檢測(cè)技術(shù)[M].北京：清華大學(xué)出版，2004.

　　[5] 程伯良，周洪波，鐘林輝.基于異常與誤用的入侵檢測(cè)系統(tǒng)[J].計(jì)算機(jī)工程與設(shè)計(jì).2007，28（14）

【IDS在五級(jí)信息安全機(jī)制構(gòu)建中的應(yīng)用論文】相關(guān)文章：

1.翻轉(zhuǎn)課堂在商務(wù)英語(yǔ)聽(tīng)說(shuō)教學(xué)中的應(yīng)用的論文

2.網(wǎng)絡(luò)資源在商務(wù)英語(yǔ)教學(xué)中的應(yīng)用論文

3.網(wǎng)絡(luò)信息安全管理簡(jiǎn)歷范文

4.信息安全專(zhuān)業(yè)個(gè)人簡(jiǎn)歷范文

5.機(jī)制專(zhuān)業(yè)的個(gè)人簡(jiǎn)歷范文

6.最新網(wǎng)絡(luò)信息安全知識(shí)競(jìng)賽試題

7.信息應(yīng)用專(zhuān)業(yè)網(wǎng)絡(luò)管理員簡(jiǎn)歷范文

8.網(wǎng)絡(luò)信息安全管理員簡(jiǎn)歷范文

9.信息安全工程師個(gè)人求職簡(jiǎn)歷