|
導讀網絡技術是從1990年代中期發展起來的新技術,它把互聯網上分散的資源融為有機整體,實現資源的全面共享和有機協作,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機、存儲資源、數據... 網絡技術是從1990年代中期發展起來的新技術,它把互聯網上分散的資源融為有機整體,實現資源的全面共享和有機協作,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機、存儲資源、數據資源、信息資源、知識資源、專家資源、大型數據庫、網絡、傳感器等。 當前的互聯網只限于信息共享,網絡則被認為是互聯網發展的第三階段。 保證信息系統安全的經典手段是“存取控制”或“訪問控制”,但無論在理論上還是在實踐中,這種手段都不能徹底填補一個系統的安全漏洞,也還沒有一種切實可行的辦法解決合法用戶在通過“身份鑒別”或“身份認證”后濫用特權的問題。攻擊檢測技術就像治安巡邏隊,專門注重于發現形跡可疑者。 計算機網絡技術的發展和應用對人類生活方式的影響越來越大。通過Internet網連接到幾乎世界上任何一臺計算機。因此,傳統的安全域的概念也已經發生了深刻的變化,邊界變得模糊了,網絡系統管理員再也不能滿足于守住安全邊界了;也不再有信心保護敏感信息萬無一失。越來越多的證據表明計算機信息系統的安全性是十分脆弱的。基于計算機、網絡的信息系統的安全問題已經成為非常嚴重的問題。 一、存取控制與攻擊檢測:站崗與巡邏 保證信息系統安全的經典手段是“存取控制”或“訪問控制”,這種手段在經典的以及現代的安全理論中都是實行系統安全策略的最重要的手段。但迄今為止,軟件工程技術還沒有達到A2級所要求的形式生成或證明一個系統的安全體系的程度,所以不可能百分之百地保證任何一個系統(尤其是底層系統)中不存在安全漏洞。而且,無論在理論上還是在實踐中,試圖徹底填補一個系統的安全漏洞都是不可能的,也還沒有一種切實可行的辦法解決合法用戶在通過“身份鑒別”或“身份認證”后濫用特權的問題。打個比方,經典的安全體系就像一座城池,身份認證就好像進城時的查路條一樣,著重點在于防范奸細混入;但是這種措施對于城池的安全仍是遠遠不夠的。 攻擊檢測作為其他經典手段的補充和加強,是任何一個安全系統中不可或缺的最后一道防線;攻擊檢測可以分為被動、非在線地發現和實時、在線地發現計算機網絡系統中的攻擊者兩種方法。從大量非法入侵或計算機盜竊案例可以清晰地看到,計算機系統的最基本防線“存取控制”或“訪問控制”,在許多場合不是防止外界非法入侵和防止內部用戶攻擊的絕對無懈可擊的屏障。大量攻擊成功的案例是由于系統內部人員不恰當地或惡意地濫用特權而導致的。攻擊檢測技術則類似于治安巡邏隊,專門注重于發現形跡可疑者,信息系統的攻擊者很有可能通過了城門的身份檢查,或者爬越了城墻而混入城中;這時要想進一步加強信息系統的安全強度,就需要增派一支巡邏隊,專門負責檢查在城市中鬼鬼祟祟行動可疑的人員。 攻擊檢測提供了一種機制,對合法用戶而言能夠在一定程度上使他們為其失誤或非法行為負責,從而增強他們的責任感。對非法進入的攻擊者而言則意味著增強了糾察力度,行使著公安局、檢察院的職責。攻擊檢測具有最后防線性質的防范能力,或許是用來發現合法用戶濫用特權的唯一方法,而且完善的攻擊檢測還能用具有法律效力的方式證明一個受到懷疑的人是否有罪。 早期中大型的計算機系統中都收集審計信息來建立跟蹤文件,這些審計跟蹤的目的多是為了性能測試或計費,因此對攻擊檢測提供的有用信息比較少。 二、攻擊檢測技術 1.攻擊分類 在信息系統中,一般至少應當考慮如下三類安全威脅:外部攻擊、內部攻擊和行為濫用。攻擊者來自該計算機系統的外部時稱作外部攻擊;當攻擊者就是那些有權使用計算機,但無權訪問某些特定的數據、程序或資源的人企圖越權使用系統資源時視為內部攻擊,包括假冒者(即那些使用其他合法用戶的身份和口令的人)、秘密使用者(即那些有意逃避審計機制和存取控制的人員);特權濫用者也是計算機系統資源的合法用戶,表現為有意或無意地濫用他們的特權。 通過審計試圖登錄的失敗記錄可以發現外部攻擊者的攻擊企圖;通過觀察試圖連接特定文件、程序和其他資源的失敗記錄可以發現內部攻擊者的攻擊企圖,如可通過比較為每個用戶單獨建立的行為模型和特定的行為來檢測發現假冒者;但要通過審計信息來發現那些權利濫用者往 往是很困難的。 基于審計信息的攻擊檢測特別難于防范具備較高優先特權的內部人員的攻擊,因為攻擊者可通過使用某些系統特權或調用比審計本身更低級的操作來逃避審計。對于那些具備系統特權的用戶,需要審查所有關閉或暫停審計功能的操作,通過審查被審計的特殊用戶、或者其他的審計參數來發現。審查更低級的功能,如審查系統服務或核心系統調用通常比較困難,通用的方法很難奏效,需要專用的工具和操作才能實現。總之,為了防范隱秘的內部攻擊需要在技術手段以外確保管理手段行之有效,技術上則需要監視系統范圍內的某些特定的指標(如CPU、內存和磁盤的活動),并與通常情況下它們的歷史記錄進行比較,以期發現之。 2.攻擊檢測技術分類 基于計算機系統審計跟蹤信息設計和實現的系統安全自動分析或檢測工具是最為自然樸素的攻擊檢測技術。可以從審計系統篩選出涉及安全的信息。其思路與流行的數據挖掘(Data Mining)技術極其類似。 基于審計的自動分析檢測工具可以是脫機的,也可以是聯機或在線的。分析工具實時地對審計跟蹤文件提供的信息進行同步處理,當有可疑的入侵行為時,系統提供實時的警報,在攻擊發生時就能提供攻擊者的有關信息。 對于信息系統安全強度而言,聯機或在線的攻擊檢測是比較理想的,能夠在案發現場及時發現攻擊行為,有利于及時采取對抗措施,使損失降低到最低限度。同時也為抓獲攻擊犯罪分子提供有力的證據。但是,聯機的或在線的攻擊檢測系統所需要的系統資源,幾乎隨著系統內部活動數量的增長呈幾何級數增長。 3.攻擊檢測方法 (1)基于審計的攻擊檢測 基于審計信息的攻擊檢測工具以及自動分析工具可以向系統安全管理員報告計算機系統活動的評估報告,通常是脫機的、滯后的。 對攻擊的實時檢測系統的工作原理是基于對用戶歷史行為的建模,以及在早期的證據或模型的基礎之上。審計系統實時地檢測用戶對系統的使用情況,根據系統內部保持的用戶行為的概率統計模型進行監測,當發現有可疑的用戶行為發生時,保持跟蹤并監測該用戶的行為。 系統應具備處理自適應的用戶參數的能力。能夠判斷使用行為的合法或可疑。系統應當能夠避免“肅反擴大/縮小化”的問題。這種辦法同樣適用于檢測程序的行為以及對數據資源(如文件或數據庫)的存取行為。(2)基于神經網絡的攻擊檢測技術 如上所述,基于審計統計數據的攻擊檢測系統,具有一些天生的弱點,因為用戶的行為可以是非常復雜的,所以想要準確匹配一個用戶的歷史行為和當前的行為是相當困難的。錯發的警報往往來自于對審計數據的統計算法所基于的不準確或不貼切的假設。SRI的研究小組利用和發展神經網絡技術來進行攻擊檢測。神經網絡可能用于解決傳統的統計分析技術所面臨的以下幾個問題: ●難于建立確切的統計分布 ●難于實現方法的普適性 ●算法實現比較昂貴 ●系統臃腫難于剪裁 目前,神經網絡技術提出了對基于傳統統計技術的攻擊檢測方法的改進方向,但尚不十分成熟,所以傳統的統計方法仍將繼續發揮作用,也仍然能為發現用戶的異常行為提供相當有參考價值的信息。 (3)基于專家系統的攻擊檢測技術 進行安全檢測工作自動化的另外一個值得重視的研究方向就是基于專家系統的攻擊檢測技術,即根據安全專家對可疑行為的分析經驗來形成一套推理規則,然后再在此基礎之上構成相應的專家系統。由此專家系統自動進行對所涉及的攻擊操作的分析工作。 所謂專家系統是基于一套由專家經驗事先定義的規則的推理系統。例如,在數分鐘之內某個用戶連續進行登錄,且失敗超過三次就可以被認為是一種攻擊行為。類似的規則在統計系統似乎也有,同時應當說明的是基于規則的專家系統或推理系統也有其局限性,因為作為這類系統的基礎的推理規則一般都是根據已知的安全漏洞進行安排和策劃的,而對系統的最危險的威脅則主要是來自未知的安全漏洞。實現一個基于規則的專家系統是一個知識工程問題,而且其功能應當能夠隨著經驗的積累而利用其自學習能力進行規則的擴充和修正。 (4)基于模型推理的攻擊檢測技術 攻擊者在入侵一個系統時往往采用一定的行為程序,如猜測口令的程序,這種行為程序構成了某種具有一定行為特征的模型,根據這種模型所代表的攻擊意圖的行為特征,可以實時地檢測出惡意的攻擊企圖,盡管攻擊者并不一定都是惡意的。用基于模型的推理方法人們能夠為某些行為建立特定的模型,從而能夠監視具有特定行為特征的某些活動。根據假設的攻擊腳本,這種系統就能檢測出非法的用戶行為。一般為了準確判斷,要為不同的入侵者和不同的系統建立特定的攻擊腳本。 當有證據表明某種特定的攻擊模型發生時,系統應當收集其他證據來證實或者否定攻擊的真實,以盡可能的避免錯報。 為了防止過多的不相干信息的干擾,用于安全目的的攻擊檢測系統在審計系統之外一般還配備適合系統安全策略的信息采集器或過濾器。同時,還應當充分利用來自其它信息源的信息。在某些系統內可以在不同的層次進行審計跟蹤。如有些系統的安全機制中采用三級審計跟蹤,包括審計操作系統核心調用行為的跟蹤、審計用戶和操作系統界面級行為的跟蹤、和審計應用程序內部行為的跟蹤。 總之,和經典安全措施相同,任何一種攻擊檢測措施都不能視之為一勞永逸的,必須配合有效的管理和組織措施,形成立體的和縱深有序的安全防御體系。 網絡的神奇作用吸引著越來越多的用戶加入其中,正因如此,網絡的承受能力也面臨著越來越嚴峻的考驗―從硬件上、軟件上、所用標準上......,各項技術都需要適時應勢,對應發展,這正是網絡迅速走向進步的催化劑。 |
溫馨提示:喜歡本站的話,請收藏一下本站!
本站發布的Win7純凈版系統、Win10純凈版和XP純凈版系統僅為個人學習測試使用,請在下載后24小時內刪除,不得用于任何商業用途,否則后果自負,請支持購買微軟正版軟件!
本站所有資源全部來自于網絡資源,如侵犯到您的權益,請及時通知我們(peng896066052@126.com),我們會及時處理.
Copyright © 2018-2020 雨林木風下載站
