- 相關推薦
IDS在五級信息安全機制構建中的應用論文
關鍵詞:計算機論文發(fā)表-發(fā)表計算機評職稱論文
摘要:入侵檢測(Intrusion Detection)是一項信息安全機制中的關鍵技術,入侵檢測系統(tǒng)(IDS)是利用這一關鍵技術的監(jiān)控和分析網絡信息,以及時發(fā)現(xiàn)入侵行為的信息安全系統(tǒng)。
本文重點在結合信息安全等級的要求與IDS本身結構的優(yōu)缺點,對信息安全策略進行分析,構建滿足五級信息安全保護能力的入侵檢測系統(tǒng)。
關鍵詞:入侵檢測,信息安全
1.信息安全等級
信息安全等級保護是我國信息安全保障工作的綱領性文件(《國家信息化領導小組關于加強信息安全保障工作的意見》)(中辦發(fā)[2003]27號)提出的重要工作任務[1],其基本原理是,不同的信息系統(tǒng)有不同的重要性,在決定信息安全保護措施時,必須綜合平衡安全成本和風險。
2007年6月,公安部發(fā)布的《信息安全等級保護管理辦法》規(guī)定,根據(jù)信息系統(tǒng)在國家安全、經濟建設、社會生活中的重要程度,其遭受破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等,其安全等級由低到高劃分為五級,其等級劃分原則如表1.1所示:
表1.1 安全等級劃分原則
不同安全等級的信息系統(tǒng)應該具備相應的基本安全保護能力,其中第四級安全保護能力是應能夠在統(tǒng)一安全策略下防護系統(tǒng)免受來自國家級別的、敵對組織的、擁有豐富資源的威脅源發(fā)起的惡意攻擊,嚴重的自然災害,以及其他相當維護程度的威脅所造成的資源損害,能夠發(fā)現(xiàn)安全漏洞和安全相關事件,在系統(tǒng)遭到損害后,能夠迅速恢復所有功能;第五級安全保護能力是在第四級安全的安全保護能力的基礎上,由訪問控制監(jiān)視器實行訪問驗證,采用形式化技術驗證相應的安全保護能力確實得到實現(xiàn)。
2.IDS主要功能
入侵檢測:通過對行為、安全日志、審計數(shù)據(jù)或其他網絡上可以獲得的信息進行操作,檢測到對系統(tǒng)的闖入或者闖入的企圖[2]。(國標GB/T 18336)
入侵檢測系統(tǒng)的主要功能:
檢測并分析用戶和系統(tǒng)的活動,查找非法用戶和合法用戶的越權操作;檢查系統(tǒng)配置和漏洞,并提示管理員修補漏洞。(由安全掃描系統(tǒng)完成)、評估系統(tǒng)關鍵資源和數(shù)據(jù)文件的完整性;識別已知的攻擊行為;統(tǒng)計分析異常行為;操作系統(tǒng)日志管理,并識別違反安全策略的用戶活動等;
成功的入侵檢測系統(tǒng),應該達到的效果:可以使系統(tǒng)管理員時刻了解網絡系統(tǒng)(軟件和硬件)的任何變更,能給網絡安全策略的制定提供依據(jù);管理配置簡單,使非專業(yè)人員非常容易地獲得網絡安全。入侵檢測的規(guī)模還應根據(jù)網絡規(guī)模、系統(tǒng)構造和安全需求的改變而改變。入侵檢測系統(tǒng)在發(fā)現(xiàn)入侵后,能及時作出響應,包括切斷網絡連接、記錄事件和報警等。
圖2.1入侵檢測系統(tǒng)結構圖
3.IDS類別
由于IDS的模型多樣化,IDS的類別也表現(xiàn)出較為復雜的情況,但是當前通常將入侵檢測按照分析方法和數(shù)據(jù)來源來進行分類[3]。
3.1按照分析方法(檢測方法)
異常檢測模型(Anomaly Detection):首先總結正常操作應該具有的特征(用戶輪廓),當用戶活動與正常行為有重大偏離時即被認為是入侵。
誤用檢測模型(MisuseDetection):收集非正常操作的行為特征,建立相關的特征庫,當監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時,系統(tǒng)就認為這種行為是入侵。
3.2按照數(shù)據(jù)來源
基于主機的IDS:系統(tǒng)獲取數(shù)據(jù)的依據(jù)是系統(tǒng)運行所在的主機,保護的目標也是系統(tǒng)運行所在的主機;檢測的目標主要是主機系統(tǒng)和系統(tǒng)本地用戶。檢測原理是根據(jù)主機的審計數(shù)據(jù)和系統(tǒng)的日志發(fā)現(xiàn)可疑事件,檢測系統(tǒng)可以運行在被檢測的主機或單獨的主機上。
圖3.1基于主機的IDS結構圖
基于網絡的IDS:系統(tǒng)獲取的數(shù)據(jù)是網絡傳輸?shù)臄?shù)據(jù)包,保護的是網絡的運行;根據(jù)網絡流量、協(xié)議分析、單臺或多臺主機的審計數(shù)據(jù)檢測入侵。
圖3.2 基于網絡的IDS結構圖
探測器由過濾器、網絡接口引擎器以及過濾規(guī)則決策器構成,探測器的功能是按一定的規(guī)則從網絡上獲取與安全事件相關的數(shù)據(jù)包,傳遞給分析引擎器進行安全分析判斷[4]。
分析引擎器將從探測器上接收到的包并結合網絡安全數(shù)據(jù)庫進行分析,把分析的結果傳遞給配置構造器。
配置構造器按分析引擎器的結果構造出探測器所需要的配置規(guī)則。
分布式IDS:
傳統(tǒng)的集中式IDS的基本模型是在網絡的不同網段放置多個探測器收集當前網絡狀態(tài)的信息,然后將這些信息傳送到中央控制臺進行處理分析。
分布式結構采用了本地主體處理本地事件,中央主體負責整體分析的模式。
3.3 IDS的局限性
對于大規(guī)模的分布式攻擊,中央控制臺的負荷將會超過其處理極限,這種情況會造成大量信息處理的遺漏,導致漏警率的增高[5]。
多個探測器收集到的數(shù)據(jù)在網絡上的傳輸會在一定程度上增加網絡負擔,導致網絡系統(tǒng)性能的降低[6]。
由于網絡傳輸?shù)臅r延問題,中央控制臺處理的網絡數(shù)據(jù)包中所包含的信息只反映了探測器接收到它時網絡的狀態(tài),不能實時反映當前網絡狀態(tài)[7]。
4.五級安全防護能力IDS構建
根據(jù)公安部《信息安全等級保護管理辦法》,五級安全防護能力需要具備四級安全防護的漏洞發(fā)現(xiàn)和入侵檢測能力,同時需要由訪問控制監(jiān)視器實現(xiàn)對訪問的及時驗證,保證杜絕未授權用戶的非法訪問。
與此同時,如何解決因為網絡時延而導致的數(shù)據(jù)分析的延后,以及解決探測器在網絡傳輸中造成的網絡負擔,提高網絡系統(tǒng)性能的同時保證中央控制臺的高效運轉,是當前IDS需要重點研究的問題。
當前IDS的結構中入侵檢測和數(shù)據(jù)安全審計是兩個不同的模塊,入侵檢測系統(tǒng)將檢測數(shù)據(jù)提交給安全審計模塊,對入侵行為的確認是由安全審計模塊進行的[8]。因此在成本可接受的范圍內,如果將審計模塊和檢測模塊結合,并且將分布式IDS的每一個檢測終端都由一個獨立處理單元來進行基本的檢測,只將較為復雜的數(shù)據(jù)提交給中央控制臺,這樣即減輕了網絡傳輸?shù)膲毫Γ灿欣谥醒肟刂婆_更加高效運轉。將每一個獨立處理單元命名為一個agent,每個agent的結構如下圖所示:
5.結束語
本文介紹了信息安全等級的分類依據(jù),在對IDS系統(tǒng)的類別和局限性進行分析的基礎上,對滿足五級信息安全防護能力的入侵檢測系統(tǒng)進行了基本構建,探討通過對分布式IDS終端處理單元的結構和防范策略進行調整,研究對IDS存在主要問題的處理策略。
參考文獻:
[1] 高永強,羅世澤.網絡安全技術與應用大典[M].北京:人民郵電出版社,2003:15-16.
[2] 盛思源,戰(zhàn)守義,石耀斌.基于數(shù)據(jù)挖掘的入侵檢測系統(tǒng)[J].計算機工程,2003,28(3).
[3] 胡振昌.網絡入侵檢測原理與技術[M].北京:北京理工大學出版社,2006
[4] 唐正軍,李建華.入侵檢測技術[M].北京:清華大學出版,2004.
[5] 程伯良,周洪波,鐘林輝.基于異常與誤用的入侵檢測系統(tǒng)[J].計算機工程與設計.2007,28(14)
【IDS在五級信息安全機制構建中的應用論文】相關文章:
初中數(shù)學教學激勵機制的應用論文10-23
信息安全管理在電子檔案中的應用分析論文07-24
英漢中動構式的概念整合機制06-02
PKI在電子信息安全中的有效應用論文10-24
藍牙的信息安全機制及密鑰算法改進07-27
用VB構鍵Internet的應用09-09
畢業(yè)論文的構段06-20
用VB構鍵Internet的應用-10-23
護理安全風險管理防御機制的應用07-02