IDS在五級信息安全機制構(gòu)建中的應(yīng)用論文

　　關(guān)鍵詞：計算機論文發(fā)表-發(fā)表計算機評職稱論文

　　摘要：入侵檢測（Intrusion Detection）是一項信息安全機制中的關(guān)鍵技術(shù)，入侵檢測系統(tǒng)（IDS）是利用這一關(guān)鍵技術(shù)的監(jiān)控和分析網(wǎng)絡(luò)信息，以及時發(fā)現(xiàn)入侵行為的信息安全系統(tǒng)。

　　本文重點在結(jié)合信息安全等級的要求與IDS本身結(jié)構(gòu)的優(yōu)缺點，對信息安全策略進行分析，構(gòu)建滿足五級信息安全保護能力的入侵檢測系統(tǒng)。

　　關(guān)鍵詞：入侵檢測，信息安全

　　1.信息安全等級

　　信息安全等級保護是我國信息安全保障工作的綱領(lǐng)性文件（《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》）（中辦發(fā)[2003]27號）提出的重要工作任務(wù)[1]，其基本原理是，不同的信息系統(tǒng)有不同的重要性，在決定信息安全保護措施時，必須綜合平衡安全成本和風(fēng)險。

　　2007年6月，公安部發(fā)布的《信息安全等級保護管理辦法》規(guī)定，根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度，其遭受破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等，其安全等級由低到高劃分為五級，其等級劃分原則如表1.1所示：

　　表1.1 安全等級劃分原則

　　不同安全等級的信息系統(tǒng)應(yīng)該具備相應(yīng)的基本安全保護能力，其中第四級安全保護能力是應(yīng)能夠在統(tǒng)一安全策略下防護系統(tǒng)免受來自國家級別的、敵對組織的、擁有豐富資源的威脅源發(fā)起的惡意攻擊，嚴(yán)重的自然災(zāi)害，以及其他相當(dāng)維護程度的威脅所造成的資源損害，能夠發(fā)現(xiàn)安全漏洞和安全相關(guān)事件，在系統(tǒng)遭到損害后，能夠迅速恢復(fù)所有功能；第五級安全保護能力是在第四級安全的安全保護能力的基礎(chǔ)上，由訪問控制監(jiān)視器實行訪問驗證，采用形式化技術(shù)驗證相應(yīng)的安全保護能力確實得到實現(xiàn)。

　　2.IDS主要功能

　　入侵檢測：通過對行為、安全日志、審計數(shù)據(jù)或其他網(wǎng)絡(luò)上可以獲得的信息進行操作，檢測到對系統(tǒng)的闖入或者闖入的企圖[2]。（國標(biāo)GB/T 18336）

　　入侵檢測系統(tǒng)的主要功能：

　　檢測并分析用戶和系統(tǒng)的活動，查找非法用戶和合法用戶的越權(quán)操作；檢查系統(tǒng)配置和漏洞，并提示管理員修補漏洞。（由安全掃描系統(tǒng)完成）、評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性；識別已知的攻擊行為；統(tǒng)計分析異常行為；操作系統(tǒng)日志管理，并識別違反安全策略的用戶活動等；

　　成功的入侵檢測系統(tǒng)，應(yīng)該達到的效果：可以使系統(tǒng)管理員時刻了解網(wǎng)絡(luò)系統(tǒng)（軟件和硬件）的任何變更，能給網(wǎng)絡(luò)安全策略的制定提供依據(jù)；管理配置簡單，使非專業(yè)人員非常容易地獲得網(wǎng)絡(luò)安全。入侵檢測的規(guī)模還應(yīng)根據(jù)網(wǎng)絡(luò)規(guī)模、系統(tǒng)構(gòu)造和安全需求的改變而改變。入侵檢測系統(tǒng)在發(fā)現(xiàn)入侵后，能及時作出響應(yīng)，包括切斷網(wǎng)絡(luò)連接、記錄事件和報警等。

　　圖2.1入侵檢測系統(tǒng)結(jié)構(gòu)圖

　　3.IDS類別

　　由于IDS的模型多樣化，IDS的類別也表現(xiàn)出較為復(fù)雜的情況，但是當(dāng)前通常將入侵檢測按照分析方法和數(shù)據(jù)來源來進行分類[3]。

　　3.1按照分析方法（檢測方法）

　　異常檢測模型（Anomaly Detection）：首先總結(jié)正常操作應(yīng)該具有的特征（用戶輪廓），當(dāng)用戶活動與正常行為有重大偏離時即被認(rèn)為是入侵。

　　誤用檢測模型（MisuseDetection）：收集非正常操作的行為特征，建立相關(guān)的特征庫，當(dāng)監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時，系統(tǒng)就認(rèn)為這種行為是入侵。

　　3.2按照數(shù)據(jù)來源

　　基于主機的IDS：系統(tǒng)獲取數(shù)據(jù)的依據(jù)是系統(tǒng)運行所在的主機，保護的目標(biāo)也是系統(tǒng)運行所在的主機；檢測的目標(biāo)主要是主機系統(tǒng)和系統(tǒng)本地用戶。檢測原理是根據(jù)主機的審計數(shù)據(jù)和系統(tǒng)的日志發(fā)現(xiàn)可疑事件，檢測系統(tǒng)可以運行在被檢測的主機或單獨的主機上。

　　圖3.1基于主機的IDS結(jié)構(gòu)圖

　　基于網(wǎng)絡(luò)的IDS：系統(tǒng)獲取的數(shù)據(jù)是網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包，保護的是網(wǎng)絡(luò)的運行；根據(jù)網(wǎng)絡(luò)流量、協(xié)議分析、單臺或多臺主機的審計數(shù)據(jù)檢測入侵。

　　圖3.2 基于網(wǎng)絡(luò)的IDS結(jié)構(gòu)圖

　　探測器由過濾器、網(wǎng)絡(luò)接口引擎器以及過濾規(guī)則決策器構(gòu)成，探測器的功能是按一定的規(guī)則從網(wǎng)絡(luò)上獲取與安全事件相關(guān)的數(shù)據(jù)包，傳遞給分析引擎器進行安全分析判斷[4]。

　　分析引擎器將從探測器上接收到的包并結(jié)合網(wǎng)絡(luò)安全數(shù)據(jù)庫進行分析，把分析的結(jié)果傳遞給配置構(gòu)造器。

　　配置構(gòu)造器按分析引擎器的結(jié)果構(gòu)造出探測器所需要的配置規(guī)則。

　　分布式IDS：

　　傳統(tǒng)的集中式IDS的基本模型是在網(wǎng)絡(luò)的不同網(wǎng)段放置多個探測器收集當(dāng)前網(wǎng)絡(luò)狀態(tài)的信息，然后將這些信息傳送到中央控制臺進行處理分析。

　　分布式結(jié)構(gòu)采用了本地主體處理本地事件，中央主體負(fù)責(zé)整體分析的模式。

　　3.3 IDS的局限性

　　對于大規(guī)模的分布式攻擊，中央控制臺的負(fù)荷將會超過其處理極限，這種情況會造成大量信息處理的遺漏，導(dǎo)致漏警率的增高[5]。

　　多個探測器收集到的數(shù)據(jù)在網(wǎng)絡(luò)上的傳輸會在一定程度上增加網(wǎng)絡(luò)負(fù)擔(dān)，導(dǎo)致網(wǎng)絡(luò)系統(tǒng)性能的降低[6]。

　　由于網(wǎng)絡(luò)傳輸?shù)臅r延問題，中央控制臺處理的網(wǎng)絡(luò)數(shù)據(jù)包中所包含的信息只反映了探測器接收到它時網(wǎng)絡(luò)的狀態(tài)，不能實時反映當(dāng)前網(wǎng)絡(luò)狀態(tài)[7]。

　　4.五級安全防護能力IDS構(gòu)建

　　根據(jù)公安部《信息安全等級保護管理辦法》，五級安全防護能力需要具備四級安全防護的漏洞發(fā)現(xiàn)和入侵檢測能力，同時需要由訪問控制監(jiān)視器實現(xiàn)對訪問的及時驗證，保證杜絕未授權(quán)用戶的非法訪問。

　　與此同時，如何解決因為網(wǎng)絡(luò)時延而導(dǎo)致的數(shù)據(jù)分析的延后，以及解決探測器在網(wǎng)絡(luò)傳輸中造成的網(wǎng)絡(luò)負(fù)擔(dān)，提高網(wǎng)絡(luò)系統(tǒng)性能的同時保證中央控制臺的高效運轉(zhuǎn)，是當(dāng)前IDS需要重點研究的問題。

　　當(dāng)前IDS的結(jié)構(gòu)中入侵檢測和數(shù)據(jù)安全審計是兩個不同的模塊，入侵檢測系統(tǒng)將檢測數(shù)據(jù)提交給安全審計模塊，對入侵行為的確認(rèn)是由安全審計模塊進行的[8]。因此在成本可接受的范圍內(nèi)，如果將審計模塊和檢測模塊結(jié)合，并且將分布式IDS的每一個檢測終端都由一個獨立處理單元來進行基本的檢測，只將較為復(fù)雜的數(shù)據(jù)提交給中央控制臺，這樣即減輕了網(wǎng)絡(luò)傳輸?shù)膲毫�，也有利于中央控制臺更加高效運轉(zhuǎn)。將每一個獨立處理單元命名為一個agent，每個agent的結(jié)構(gòu)如下圖所示：

　　5.結(jié)束語

　　本文介紹了信息安全等級的分類依據(jù)，在對IDS系統(tǒng)的類別和局限性進行分析的基礎(chǔ)上，對滿足五級信息安全防護能力的入侵檢測系統(tǒng)進行了基本構(gòu)建，探討通過對分布式IDS終端處理單元的結(jié)構(gòu)和防范策略進行調(diào)整，研究對IDS存在主要問題的處理策略。

　　參考文獻：

　　[1] 高永強，羅世澤.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用大典[M].北京：人民郵電出版社，2003：15-16.

　　[2] 盛思源，戰(zhàn)守義，石耀斌.基于數(shù)據(jù)挖掘的入侵檢測系統(tǒng)[J].計算機工程，2003，28（3）.

　　[3] 胡振昌.網(wǎng)絡(luò)入侵檢測原理與技術(shù)[M].北京：北京理工大學(xué)出版社，2006

　　[4] 唐正軍，李建華.入侵檢測技術(shù)[M].北京：清華大學(xué)出版，2004.

　　[5] 程伯良，周洪波，鐘林輝.基于異常與誤用的入侵檢測系統(tǒng)[J].計算機工程與設(shè)計.2007，28（14）

【IDS在五級信息安全機制構(gòu)建中的應(yīng)用論文】相關(guān)文章：

初中數(shù)學(xué)教學(xué)激勵機制的應(yīng)用論文10-23

信息安全管理在電子檔案中的應(yīng)用分析論文07-24

英漢中動構(gòu)式的概念整合機制06-02

PKI在電子信息安全中的有效應(yīng)用論文10-24

電子信息技術(shù)在企業(yè)安全管理的應(yīng)用的論文09-26

藍(lán)牙的信息安全機制及密鑰算法改進07-27

用VB構(gòu)鍵Internet的應(yīng)用09-09

畢業(yè)論文的構(gòu)段06-20

用VB構(gòu)鍵Internet的應(yīng)用-10-23

護理安全風(fēng)險管理防御機制的應(yīng)用07-02