IDS在五級信息安全機制構建中的應用論文

　　關(guān)鍵詞：計算機論文發(fā)表-發(fā)表計算機評職稱(chēng)論文

　　摘要：入侵檢測（Intrusion Detection）是一項信息安全機制中的關(guān)鍵技術(shù)，入侵檢測系統（IDS）是利用這一關(guān)鍵技術(shù)的監控和分析網(wǎng)絡(luò )信息，以及時(shí)發(fā)現入侵行為的信息安全系統。

　　本文重點(diǎn)在結合信息安全等級的要求與IDS本身結構的優(yōu)缺點(diǎn)，對信息安全策略進(jìn)行分析，構建滿(mǎn)足五級信息安全保護能力的入侵檢測系統。

　　關(guān)鍵詞：入侵檢測，信息安全

　　1.信息安全等級

　　信息安全等級保護是我國信息安全保障工作的綱領(lǐng)性文件（《國家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的意見(jiàn)》）（中辦發(fā)[2003]27號）提出的重要工作任務(wù)[1]，其基本原理是，不同的信息系統有不同的重要性，在決定信息安全保護措施時(shí)，必須綜合平衡安全成本和風(fēng)險。

　　2007年6月，公安部發(fā)布的《信息安全等級保護管理辦法》規定，根據信息系統在國家安全、經(jīng)濟建設、社會(huì )生活中的重要程度，其遭受破壞后對國家安全、社會(huì )秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等，其安全等級由低到高劃分為五級，其等級劃分原則如表1.1所示：

　　表1.1 安全等級劃分原則

　　不同安全等級的信息系統應該具備相應的基本安全保護能力，其中第四級安全保護能力是應能夠在統一安全策略下防護系統免受來(lái)自國家級別的、敵對組織的、擁有豐富資源的威脅源發(fā)起的惡意攻擊，嚴重的自然災害，以及其他相當維護程度的威脅所造成的資源損害，能夠發(fā)現安全漏洞和安全相關(guān)事件，在系統遭到損害后，能夠迅速恢復所有功能；第五級安全保護能力是在第四級安全的安全保護能力的基礎上，由訪(fǎng)問(wèn)控制監視器實(shí)行訪(fǎng)問(wèn)驗證，采用形式化技術(shù)驗證相應的安全保護能力確實(shí)得到實(shí)現。

　　2.IDS主要功能

　　入侵檢測：通過(guò)對行為、安全日志、審計數據或其他網(wǎng)絡(luò )上可以獲得的信息進(jìn)行操作，檢測到對系統的闖入或者闖入的企圖[2]。（國標GB/T 18336）

　　入侵檢測系統的主要功能：

　　檢測并分析用戶(hù)和系統的活動(dòng)，查找非法用戶(hù)和合法用戶(hù)的越權操作；檢查系統配置和漏洞，并提示管理員修補漏洞。（由安全掃描系統完成）、評估系統關(guān)鍵資源和數據文件的完整性；識別已知的攻擊行為；統計分析異常行為；操作系統日志管理，并識別違反安全策略的用戶(hù)活動(dòng)等；

　　成功的入侵檢測系統，應該達到的效果：可以使系統管理員時(shí)刻了解網(wǎng)絡(luò )系統（軟件和硬件）的任何變更，能給網(wǎng)絡(luò )安全策略的制定提供依據；管理配置簡(jiǎn)單，使非專(zhuān)業(yè)人員非常容易地獲得網(wǎng)絡(luò )安全。入侵檢測的規模還應根據網(wǎng)絡(luò )規模、系統構造和安全需求的改變而改變。入侵檢測系統在發(fā)現入侵后，能及時(shí)作出響應，包括切斷網(wǎng)絡(luò )連接、記錄事件和報警等。

　　圖2.1入侵檢測系統結構圖

　　3.IDS類(lèi)別

　　由于IDS的模型多樣化，IDS的類(lèi)別也表現出較為復雜的情況，但是當前通常將入侵檢測按照分析方法和數據來(lái)源來(lái)進(jìn)行分類(lèi)[3]。

　　3.1按照分析方法（檢測方法）

　　異常檢測模型（Anomaly Detection）：首先總結正常操作應該具有的特征（用戶(hù)輪廓），當用戶(hù)活動(dòng)與正常行為有重大偏離時(shí)即被認為是入侵。

　　誤用檢測模型（MisuseDetection）：收集非正常操作的行為特征，建立相關(guān)的特征庫，當監測的用戶(hù)或系統行為與庫中的記錄相匹配時(shí)，系統就認為這種行為是入侵。

　　3.2按照數據來(lái)源

　　基于主機的IDS：系統獲取數據的依據是系統運行所在的主機，保護的目標也是系統運行所在的主機；檢測的目標主要是主機系統和系統本地用戶(hù)。檢測原理是根據主機的審計數據和系統的日志發(fā)現可疑事件，檢測系統可以運行在被檢測的主機或單獨的主機上。

　　圖3.1基于主機的IDS結構圖

　　基于網(wǎng)絡(luò )的IDS：系統獲取的數據是網(wǎng)絡(luò )傳輸的數據包，保護的是網(wǎng)絡(luò )的運行；根據網(wǎng)絡(luò )流量、協(xié)議分析、單臺或多臺主機的審計數據檢測入侵。

　　圖3.2 基于網(wǎng)絡(luò )的IDS結構圖

　　探測器由過(guò)濾器、網(wǎng)絡(luò )接口引擎器以及過(guò)濾規則決策器構成，探測器的功能是按一定的規則從網(wǎng)絡(luò )上獲取與安全事件相關(guān)的數據包，傳遞給分析引擎器進(jìn)行安全分析判斷[4]。

　　分析引擎器將從探測器上接收到的包并結合網(wǎng)絡(luò )安全數據庫進(jìn)行分析，把分析的結果傳遞給配置構造器。

　　配置構造器按分析引擎器的結果構造出探測器所需要的配置規則。

　　分布式IDS：

　　傳統的集中式IDS的基本模型是在網(wǎng)絡(luò )的不同網(wǎng)段放置多個(gè)探測器收集當前網(wǎng)絡(luò )狀態(tài)的信息，然后將這些信息傳送到中央控制臺進(jìn)行處理分析。

　　分布式結構采用了本地主體處理本地事件，中央主體負責整體分析的模式。

　　3.3 IDS的局限性

　　對于大規模的分布式攻擊，中央控制臺的負荷將會(huì )超過(guò)其處理極限，這種情況會(huì )造成大量信息處理的遺漏，導致漏警率的增高[5]。

　　多個(gè)探測器收集到的數據在網(wǎng)絡(luò )上的傳輸會(huì )在一定程度上增加網(wǎng)絡(luò )負擔，導致網(wǎng)絡(luò )系統性能的降低[6]。

　　由于網(wǎng)絡(luò )傳輸的時(shí)延問(wèn)題，中央控制臺處理的網(wǎng)絡(luò )數據包中所包含的信息只反映了探測器接收到它時(shí)網(wǎng)絡(luò )的狀態(tài)，不能實(shí)時(shí)反映當前網(wǎng)絡(luò )狀態(tài)[7]。

　　4.五級安全防護能力IDS構建

　　根據公安部《信息安全等級保護管理辦法》，五級安全防護能力需要具備四級安全防護的漏洞發(fā)現和入侵檢測能力，同時(shí)需要由訪(fǎng)問(wèn)控制監視器實(shí)現對訪(fǎng)問(wèn)的及時(shí)驗證，保證杜絕未授權用戶(hù)的非法訪(fǎng)問(wèn)。

　　與此同時(shí)，如何解決因為網(wǎng)絡(luò )時(shí)延而導致的數據分析的延后，以及解決探測器在網(wǎng)絡(luò )傳輸中造成的網(wǎng)絡(luò )負擔，提高網(wǎng)絡(luò )系統性能的同時(shí)保證中央控制臺的高效運轉，是當前IDS需要重點(diǎn)研究的問(wèn)題。

　　當前IDS的結構中入侵檢測和數據安全審計是兩個(gè)不同的模塊，入侵檢測系統將檢測數據提交給安全審計模塊，對入侵行為的確認是由安全審計模塊進(jìn)行的[8]。因此在成本可接受的范圍內，如果將審計模塊和檢測模塊結合，并且將分布式IDS的每一個(gè)檢測終端都由一個(gè)獨立處理單元來(lái)進(jìn)行基本的檢測，只將較為復雜的數據提交給中央控制臺，這樣即減輕了網(wǎng)絡(luò )傳輸的壓力，也有利于中央控制臺更加高效運轉。將每一個(gè)獨立處理單元命名為一個(gè)agent，每個(gè)agent的結構如下圖所示：

　　5.結束語(yǔ)

　　本文介紹了信息安全等級的分類(lèi)依據，在對IDS系統的類(lèi)別和局限性進(jìn)行分析的基礎上，對滿(mǎn)足五級信息安全防護能力的入侵檢測系統進(jìn)行了基本構建，探討通過(guò)對分布式IDS終端處理單元的結構和防范策略進(jìn)行調整，研究對IDS存在主要問(wèn)題的處理策略。

　　參考文獻：

　　[1] 高永強，羅世澤.網(wǎng)絡(luò )安全技術(shù)與應用大典[M].北京：人民郵電出版社，2003：15-16.

　　[2] 盛思源，戰守義，石耀斌.基于數據挖掘的入侵檢測系統[J].計算機工程，2003，28（3）.

　　[3] 胡振昌.網(wǎng)絡(luò )入侵檢測原理與技術(shù)[M].北京：北京理工大學(xué)出版社，2006

　　[4] 唐正軍，李建華.入侵檢測技術(shù)[M].北京：清華大學(xué)出版，2004.

　　[5] 程伯良，周洪波，鐘林輝.基于異常與誤用的入侵檢測系統[J].計算機工程與設計.2007，28（14）

【IDS在五級信息安全機制構建中的應用論文】相關(guān)文章：

初中數學(xué)教學(xué)激勵機制的應用論文10-23

信息安全管理在電子檔案中的應用分析論文07-24

英漢中動(dòng)構式的概念整合機制06-02

PKI在電子信息安全中的有效應用論文10-24

電子信息技術(shù)在企業(yè)安全管理的應用的論文09-26

藍牙的信息安全機制及密鑰算法改進(jìn)07-27

用VB構鍵Internet的應用09-09

畢業(yè)論文的構段06-20

用VB構鍵Internet的應用-10-23

護理安全風(fēng)險管理防御機制的應用07-02