关键词入侵检测系统;CIDF;网络安全;防火墙
0引言
近年来,随着信息和网络技术的高速发展以及政治、经济或者军事利益的驱动,计算机和网络基础设施,特别是各种官方机构的网站,成为黑客攻击的热门目标。近年来对电子商务的热切需求,更加激化了这种入侵事件的增长趋势。由于防火墙只防外不防内,并且很容易被绕过,所以仅仅依赖防火墙的计算机系统已经不能对付日益猖獗的入侵行为,对付入侵行为的第二道防线——入侵检测系统就被启用了。
1入侵检测系统(IDS)概念
1980年,JamesP.Anderson第一次系统阐述了入侵检测的概念,并将入侵行为分为外部滲透、内部滲透和不法行为三种,还提出了利用审计数据监视入侵活动的思想[1]。即其之后,1986年DorothyE.Denning提出实时异常检测的概念[2]并建立了第一个实时入侵检测模型,命名为入侵检测专家系统(IDES),1990年,L.T.Heberlein等设计出监视网络数据流的入侵检测系统,NSM(NetworkSecurityMonitor)。自此之后,入侵检测系统才真正发展起来。
Anderson将入侵尝试或威胁定义为:潜在的、有预谋的、未经授权的访问信息、操作信息、致使系统不可靠或无法使用的企图。而入侵检测的定义为[4]:发现非授权使用计算机的个体(如“黑客”)或计算机系统的合法用户滥用其访问系统的权利以及企图实施上述行为的个体。执行入侵检测任务的程序即是入侵检测系统。入侵检测系统也可以定义为:检测企图破坏计算机资源的完整性,真实性和可用性的行为的软件。
入侵检测系统执行的主要任务包括[3]:监视、分析用户及系统活动;审计系统构造和弱点;识别、反映已知进攻的活动模式,向相关人士报警;统计分析异常行为模式;评估重要系统和数据文件的完整性;审计、跟踪管理操作系统,识别用户违反安全策略的行为。入侵检测一般分为三个步骤:信息收集、数据分析、响应。
入侵检测的目的:(1)识别入侵者;(2)识别入侵行为;(3)检测和监视以实施的入侵行为;(4)为对抗入侵提供信息,阻止入侵的发生和事态的扩大;
2入侵检测系统模型
美国斯坦福国际研究所(SRI)的D.E.Denning于1986年首次提出一种入侵检测模型[2],该模型的检测方法就是建立用户正常行为的描述模型,并以此同当前用户活动的审计记录进行比较,如果有较大偏差,则表示有异常活动发生。这是一种基于统计的检测方法。随着技术的发展,后来人们又提出了基于规则的检测方法。结合这两种方法的优点,人们设计出很多入侵检测的模型。通用入侵检测构架(CommonIntrusionDetectionFramework简称CIDF)组织,试图将现有的入侵检测系统标准化,CIDF阐述了一个入侵检测系统的通用模型(一般称为CIDF模型)。它将一个入侵检测系统分为以下四个组件:
事件产生器(EventGenerators)
事件分析器(Eventanalyzers)
响应单元(Responseunits)
事件数据库(Eventdatabases)
它将需要分析的数据通称为事件,事件可以是基于网络的数据包也可以是基于主机的系统日志中的信息。事件产生器的目的是从整个计算机环境中获得事件,并向系统其它部分提供此事件。事件分析器分析得到的事件并产生分析结果。响应单元则是对分析结果做出反应的功能单元,它可以做出切断连接、修改文件属性等强烈反应。事件数据库是存放各种中间和最终数据的地方的通称,它可以是复杂的数据库也可以是简单的文本文件。
3入侵检测系统的分类:
现有的IDS的分类,大都基于信息源和分析方法。为了体现对IDS从布局、采集、分析、响应等各个层次及系统性研究方面的问题,在这里采用五类标准:控制策略、同步技术、信息源、分析方法、响应方式。
按照控制策略分类
控制策略描述了IDS的各元素是如何控制的,以及IDS的输入和输出是如何管理的。按照控制策略IDS可以划分为,集中式IDS、部分分布式IDS和全部分布式IDS。在集中式IDS中,一个中央节点控制系统中所有的监视、检测和报告。在部分分布式IDS中,监控和探测是由本地的一个控制点控制,层次似的将报告发向一个或多个中心站。在全分布式IDS中,监控和探测是使用一种叫“”的方法,进行分析并做出响应决策。
按照同步技术分类
同步技术是指被监控的事件以及对这些事件的分析在同一时间进行。按照同步技术划分,IDS划分为间隔批任务处理型IDS和实时连续性IDS。在间隔批任务处理型IDS中,信息源是以文件的形式传给分析器,一次只处理特定时间段内产生的信息,并在入侵发生时将结果反馈给用户。很多早期的基于主机的IDS都采用这种方案。在实时连续型IDS中,事件一发生,信息源就传给分析引擎,并且立刻得到处理和反映。实时IDS是基于网络IDS首选的方案。
按照信息源分类
按照信息源分类是目前最通用的划分方法,它分为基于主机的IDS、基于网络的IDS和分布式IDS。基于主机的IDS通过分析来自单个的计算机系统的系统审计踪迹和系统日志来检测攻击。基于主机的IDS是在关键的网段或交换部位通过捕获并分析网络数据包来检测攻击。分布式IDS,能够同时分析来自主机系统日志和网络数据流,系统由多个部件组成,采用分布式结构。
按照分析方法分类
按照分析方法IDS划分为滥用检测型IDS和异常检测型IDS。滥用检测型的IDS中,首先建立一个对过去各种入侵方法和系统缺陷知识的数据库,当收集到的信息与库中的原型相符合时则报警。任何不符合特定条件的活动将会被认为合法,因此这样的系统虚警率很低。异常检测型IDS是建立在如下假设的基础之上的,即任何一种入侵行为都能由于其偏离正常或者所期望的系统和用户活动规律而被检测出来。所以它需要一个记录合法活动的数据库,由于库的有限性使得虚警率比较高。
按照响应方式分类
按照响应方式IDS划分为主动响应IDS和被动响应IDS。当特定的入侵被检测到时,主动IDS会采用以下三种响应:收集辅助信息;改变环境以堵住导致入侵发生的漏洞;对攻击者采取行动(这是一种不被推荐的做法,因为行为有点过激)。被动响应IDS则是将信息提供给系统用户,依靠管理员在这一信息的基础上采取进一步的行动。
4IDS的评价标准
目前的入侵检测技术发展迅速,应用的技术也很广泛,如何来评价IDS的优缺点就显得非常重要。评价IDS的优劣主要有这样几个方面[5]:(1)准确性。准确性是指IDS不会标记环境中的一个合法行为为异常或入侵。(2)性能。IDS的性能是指处理审计事件的速度。对一个实时IDS来说,必须要求性能良好。(3)完整性。完整性是指IDS能检测出所有的攻击。(4)故障容错(faulttolerance)。当被保护系统遭到攻击和毁坏时,能迅速恢复系统原有的数据和功能。(5)自身抵抗攻击能力。这一点很重要,尤其是“拒绝服务”攻击。因为多数对目标系统的攻击都是采用首先用“拒绝服务”攻击摧毁IDS,再实施对系统的攻击。(6)及时性(Timeliness)。一个IDS必须尽快地执行和传送它的分析结果,以便在系统造成严重危害之前能及时做出反应,阻止攻击者破坏审计数据或IDS本身。
除了上述几个主要方面,还应该考虑以下几个方面:(1)IDS运行时,额外的计算机资源的开销;(2)误警报率/漏警报率的程度;(3)适应性和扩展性;(4)灵活性;(5)管理的开销;(6)是否便于使用和配置。
5IDS的发展趋
随着入侵检测技术的发展,成型的产品已陆续应用到实践中。入侵检测系统的典型代表是ISS(国际互联网安全系统公司)公司的RealSecure。目前较为著名的商用入侵检测产品还有:NAI公司的CyberCopMonitor、Axent公司的NetProwler、CISCO公司的Netranger、CA公司的Sessionwall-3等。国内的该类产品较少,但发展很快,已有总参北方所、中科网威、启明星辰等公司推出产品。
人们在完善原有技术的基础上,又在研究新的检测方法,如数据融合技术,主动的自主方法,智能技术以及免疫学原理的应用等。其主要的发展方向可概括为:
(1)大规模分布式入侵检测。传统的入侵检测技术一般只局限于单一的主机或网络框架,显然不能适应大规模网络的监测,不同的入侵检测系统之间也不能协同工作。因此,必须发展大规模的分布式入侵检测技术。
(2)宽带高速网络的实时入侵检测技术。大量高速网络的不断涌现,各种宽带接入手段层出不穷,如何实现高速网络下的实时入侵检测成为一个现实的问题。
(3)入侵检测的数据融合技术。目前的IDS还存在着很多缺陷。首先,目前的技术还不能对付训练有素的黑客的复杂的攻击。其次,系统的虚警率太高。最后,系统对大量的数据处理,非但无助于解决问题,还降低了处理能力。数据融合技术是解决这一系列问题的好方法。
(4)与网络安全技术相结合。结合防火墙,病毒防护以及电子商务技术,提供完整的网络安全保障。
6结束语
在目前的计算机安全状态下,基于防火墙、加密技术的安全防护固然重要,但是,要根本改善系统的安全现状,必须要发展入侵检测技术,它已经成为计算机安全策略中的核心技术之一。IDS作为一种主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护。随着网络通信技术安全性的要求越来越高,入侵检测技术必将受到人们的高度重视。
参考文献:
[1]putersecuritythreatmonitoringandsurveillance[P].PA19034,USA,1980.4
[2]DenningDE.AnIntrusion-DetectionModel[A].IEEESymponSecurity&Privacy[C],1986.118-131
[3]张杰,戴英侠,入侵检测系统技术现状及其发展趋势[J],计算机与通信,2002.6:28-32
针对垛储机采棉温湿度采集点多,数据传输距离远的特点,提出了以电子技术和微控制技术为核心技术的机采棉温湿度自动检测系统方案。该系统由温度传感器、湿度传感器、变送器、主从单片机、RS485总线、显示及键盘等部分组成。图1为垛储机采棉温湿度检测系统框图。工作时,安装在探头上传感器采集该处机采棉的温湿度值,通过变送器和转换器将该处的各点温湿度数据信号送至该处的从机;从机将采集来的信号进行归一化处理,取加权平均值,再将加权平均值通过RS485总线送至主机,通过键盘输入机采棉霉变预警的温湿度阈值;主机将传输来的数据和预警阈值相比较,判断是否达到预警条件,如果达到预警条件,发出命令,控制预警装置发出警报,并且显示出霉变或有霉变趋势的机采棉位置。
2系统设计
2.1硬件部分
本设计的主机所要实现汇总从机发来的信息和预先设定的霉变阈值相比较,判断每个从机位置的机采棉情况。如果出现异常,主机控制警报系统工作,显示屏可以利用键盘控制其翻页功能,实时显示出每个从机位置的机采棉情况。从机主要负责将采集来的温湿度信息,经处理后,送入主机。鉴于以上因素,主、从机都选用单片机STC89C516RD+。该款单片机具有加密性强、低功耗、速度快和精度高等特点,其核内有64kB的flash,1280B的RAM,16kB的ROM,可以满足控制的需要。每个从机位置的温湿度信息检测,采用探头检测,在每个探头的不同位置,均匀分布4个温度传感器和4个湿度传感器,分别构成该从机的温度传感器组和湿度传感器组。湿度传感器选用HM1500,模拟量输出,在5V供电条件下,输出0~4V范围的电压对应相对湿度值0~100%;因为是线性输出,所以可以直接和单片机相连,为了检测信号的稳定性,可以将湿度传感器的输出量经过同相跟随器将信号稳定后送入单片机。温度传感器选用AD590为模拟信号输出需要驱动电路驱动后才能使温度信号经A/D转换送入单片机;可测量范围-55~150℃,供电范围宽,4~30V;图2为温度传感器AD590的驱动电路图。显示模块要求实时显示各个从机控制的检测探头位置的温湿度以及每个探头所在位置的坐标值,通过键盘的上下键控制显示屏的翻页和刷新。所以,采用液晶显示器LCD1602两行显示,就可以达到系统设计要求。键盘模块是向主机输入预设的参考值以及控制显示屏的翻页与刷新,基于以上功能采用4×4的行列式键盘。
2.2软件部分
首先,根据设计目标,细化软件每一部分的功能,统筹设计各部分功能之间的逻辑关系。垛储机采棉温湿度检测系统的软件设计采用keiluvision2编程环境,编程实现主从机的功能。keilC51是一个比较主流的单片机研发设计的开发工具,主从机的程序编写采用模块化编程。其调试程序、完成各部分编程后,将程序的.hex工程文件烧录至Proteus软件下的仿真电路图,仿真效果达到最佳时,记录电路设计的优化参数;根据此优化参数,设计垛储机采棉温湿度自动检测系统的实物硬件。垛储机采棉温湿度自动检测系统的主机程序流程图,如图3所示。
3试验结果分析
系统的软硬件调试完成后,在南口农场进行测试试验。系统测试了垛储机采棉的温湿度值。表1为垛储机采棉温湿度检测系统测试的温湿度数据。从表1中可以看出,本文设计的检测系统检测出的机采棉温湿度值和人工测量的实际值近似相符。试验结果表明:该系统能够精确、实时地检测垛储机采棉的温湿度,达到了垛储机采棉储存情况的安全控制。
4结论
万航昨日告诉记者,学校11月初通知,全校研究生学位论文申请答辩前必须提交研究生处学位办检测。
今年4月起,武汉大学、华中科技大学、中南财经政法大学、武汉理工大学、华中师范大学、中国地质大学(武汉)、武汉工程大学也引进了这一检测系统。
万航回忆说,当时着实有些紧张,提交前反复修改了几次。她所在的文法与经济学院同年入学的两年制硕士生纷纷庆幸:他们上半年已完成学位论文答辩。
和她一起参加检测的十几名硕士生,除她和另外一人复制率低于1%外,其他在3%至百分之十几不等。
负责工作的武科大研究生处学位办郝春艳老师介绍,学校600多名2010届毕业研究生中,已有100多名硕士生和5名博士生提交了学位论文供检测,检测系统生成的检测报告返还了学生所在的学院和导师,由学院和导师作相应处理,学位办也备案1份,但报告中的“复制率”信息不便透露。
防潮是粮食储存过程中一项重要内容,对粮食的储存质量有很重要的作用。它直接影响到储备物资的使用寿命和工作可靠性。为保证日常工作的顺利进行,首要问题是加强仓库内温度与湿度的监测工作。但传统的方法是用扦样式玻璃温度计,人工判读等最原始的测温方法,工作量大,难以控制,滞后严重,做好日常的粮情检查工作,可以发现问题,及时处理,以保证储粮的安全。本论文侧重介绍“单片机温度检测系统”的软、硬件设计及相关内容。论文的主要内容包括:采样、LED显示,单片机89C51的开发以及系统应用软件开发等。作为控制系统中的一个典型实验设计,单片机温度检测系统综合运用了单片机技术、模拟电子技术、通信技术、数码显示技术等诸多方面的知识。
2粮仓湿度检测系统硬件设计
粮情测控系统是计算机硬件与软件的结合体,实现了计算机对储粮的检测与预警。系统硬件由控制部分和信号检测部分组成,其中,控制部分包含五个模块:控制器模块、手动按键、显示模块、通信模块和报警模块;信号检测部分包含一个模块:湿度检测模块。
2.1核心单元电路
综合考虑系统的方便性,可靠性,性价比等因素,系统主机芯片采用AT89C51。AT89C51是控制系统常用的单片机,应用在很多领域,利用它完成的报警系统很多。使用AT89C51单片机构成的计算机系统能够实现准确的采样煤气浓度,能够达到题目的设计要求,而且AT89C51单片机相对于其它型号的单片机,更加易于学习和掌握,性能也相对比较好。
2.2检测传感器和检测电路
湿度检测采用的是湿度传感器HS1101。在粮情测控系统中主要是检测室内与室外的湿度,一般一个粮仓有两个湿度检测点,且精度要求不高。
2.3显示电路设计
系统显示模块采用数码管动态显示原理,清晰的显示实时湿度值
3软件设计
整个系统软件设计分为两个部分,作为主控的上位机的软件设计及作为数据采样的单片机终端节点的软件设计。系统采用模块化编程,将各部分功能分别实现,主要的功能子程序有:数据采集、标度变换、线性校正、数制转换、数值显示、发送、接收和部分中断子程序。
4系统调试
本次设计采用的是模块化电路和模块化程序,因此在联调时只需要把各模块进行正确的连接就可以实现仿真,其模块与电路图在前面已经介绍这里只是给出总体调试的效果,把软件调试的.HEX文件烧入其中的AT89C51中就可以运行了。
5结语
考虑到仅是文本的储存,且该软件为小型单机软件,占用空间较小,所以我们选择了MicrosoftOfficeAc-cess数据库。此举不仅节约了空间,降低了开发成本,也提高了软件的性能。基于MicrosoftOfficeAccess数据库,图2系统框架图通过开发环境实现了电磁兼容检测信息管理系统,同时采用MicrosoftOfficeWord文字编辑软件作为电磁兼容检测报告的基础软件,采用MicrosoftOfficeExcel电子表格作为部分数据的导入、导出文件格式。这四个软件都源自同一公司,因此四者之间的交互相对来说会比较简易快捷。
1.1检测信息的输入
电磁兼容检测需要输入的主要信息包括:(1)被测件的名称、型号、编号、生产厂家;(2)被测件供电情况,被测件的供电类型及供电电压大小,包括直流还是交流,若是交流,则输入供电频率;(3)被测件电缆情况,被测件的电缆的类型,包括电源线、信号线等;(4)委托单位名称和地址;(5)检测依据的技术文件的名称、编号,包括被测件电磁兼容检测所依据的试验大纲;(6)被测件描述,被测件工作状态、被测件敏感判据;(7)检测说明,被测件在检测过程中需要说明的内容,例如一些同标准测试不同的地方,或被测件整改后的情况等;(8)报告编号、密级;(9)检测项目及检测结论,每个检测项目符合要求与否的结论;(10)检测费用及结算情况等。根据所输入的信息,并进行数据校验,校验正确后存入数据库。
1.2软件配置
为了提高软件的使用效率,通过配置ComboBox控件的下拉列表,可大大提高软件信息输入的效率,例如委托单位的名称,一般一个委托单位会多次对个产品到电磁兼容实验室进行电磁兼容检测,那么,提前配置好委托单位名称的下拉列表,实际使用时,只需要通过点选即可,提高了数据录入的速度和准确性,大大节省输入的时间,提高输入效率。
1.3报告自动生成
通常一个产品的电磁兼容实验涉及到多个电磁兼容项目,而每个电磁兼容项目都需要原始记录和检测报告。而不少信息是需要重复输入的,例如原始记录的表头信息,完全可以通过编程的方法来自动生成。事先分别建立每个电磁兼容项目的报告模板,把这些报告模板放在一个文件夹下以方便软件调用。在自动生成某产品电磁兼容检测报告时,根据产品所检测的电磁兼容项目在报告模板文件夹中选择相应的模板,并根据已经输入的信息,根据报告模板中的书签和表格等样式定位位置,自动生成电磁兼容检测报告。这样可以避免由于人工书写检测报告时由于个人因素编制不慎出现的错误,也提高了报告编制的工作效率。通过电磁兼容检测报告自动生成功能,可以避免由于人员水平参差不齐导致的检测报告不规范,从而满足检测报告的质量要求。
1.4检测仪器设备管理
电磁兼容检测仪器设备的基本信息包括名称、型号规格、编号、测量范围、准确度、计量的有效期、安放位置、保管人、设备状态等。在出具电磁兼容检测报告时,可方便地调用,选择某仪器设备后可自动显示该仪器设备的详细信息,同时根据被测件的具体检测日期同该仪器设备的计量有效期进行比较,可方便快捷的提示哪些仪器设备的计量有效期需要更新,以免在最终的电磁兼容检测报告中出现计量有效期过期的低级错误。同时,根据仪器设备的校准周期,计算下次校准日期,制定送检计划,实验室人员定时检查仪器设备情况,填写校准记录。
1.5查询与统计
提供电磁兼容检测的基本查询和统计功能。可根据客户进行查询统计,研究系统中委托单位、被测件信息和检测项目的关系,分析不同的客户群体,方便采取不同的市场开发策略、不同折扣等级,提供更个性化服务;可根据原始的测试费用来统计电磁兼容实验室的产值情况;可根据实际收到的测试费用统计电磁兼容实验室的实际创收情况;统计检测费用的结算情况,可根据此做好年底时的催款、请款工作;根据检测人员所检测的被测件,统计不同检测人员的工作量,方便实验室的管理和考核。
2结束语
关键字:入侵检测;协议分析;模式匹配;智能关联a
1引言
入侵检测技术是继“防火墙”、“数据加密”等传统安全保护措施后新一代的安全保障技术,它对计算机和
网络资源上的恶意使用行为进行识别和响应,不仅检测来自外部的入侵行为,同时也监督内部用户的未授权活动。但是随着网络入侵技术的发展和变化以及网络运用的不断深入,现有入侵检测系统暴露出了诸多的问题。特别是由于网络流量增加、新安全漏洞未更新规则库和特殊隧道及后门等原因造成的漏报问题和IDS攻击以及网络数据特征匹配的不合理特性等原因造成的误报问题,导致IDS对攻击行为反应迟缓,增加安全管理人员的工作负担,严重影响了IDS发挥实际的作用。
本文针对现有入侵监测系统误报率和漏报率较高的问题,对几种降低IDS误报率和漏报率的方法进行研究。通过将这几种方法相互结合,能有效提高入侵检测系统的运行效率并能大大简化安全管理员的工作,从而保证网络
安全的运行。
2入侵检测系统
入侵是对信息系统的非授权访问及(或)未经许可在信息系统中进行操作,威胁计算机或网络的安全机制(包括机密性、完整性、可用性)的行为。入侵可能是来自外界对攻击者对系统的非法访问,也可能是系统的授权用户对未授权的内容进行非法访问,入侵检测就是对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程。入侵检测系统IDS(IntrusionDetectionSystem)是从多种计算机系统机及网络中收集信息,再通过这些信息分析入侵特征的网络安全系统。
现在的IDS产品使用的检测方法主要是误用检测和异常检测。误用检测是对不正常的行为进行建模,这些行为就是以前记录下来的确认了的误用或攻击。目前误用检测的方法主要是模式匹配,即将每一个已知的攻击事件定义为一个独立的特征,这样对入侵行为的检测就成为对特征的匹配搜索,如果和已知的入侵特征匹配,就认为是攻击。异常检测是对正常的行为建模,所有不符合这个模型的事件就被怀疑为攻击。现在异常检测的主要方法是统计模型,它通过设置极限阈值等方法,将检测数据与已有的正常行为比较,如果超出极限阈值,就认为是入侵行为。
入侵检测性能的关键参数包括:(1)误报:实际无害的事件却被IDS检测为攻击事件。(2)漏报:攻击事件未被IDS检测到或被分析人员认为是无害的。
3降低IDS误报率方法研究
3.1智能关联
智能关联是将企业相关系统的信息(如主机特征信息)与网络IDS检测结构相融合,从而减少误报。如系统的脆弱性信息需要包括特定的操作系统(OS)以及主机上运行的服务。当IDS使用智能关联时,它可以参考目标主机上存在的、与脆弱性相关的所有告警信息。如果目标主机不存在某个攻击可以利用的漏洞,IDS将抑制告警的产生。
智能关联包括主动和被动关联。主动关联是通过扫描确定主机漏洞;被动关联是借助操作系统的指纹识别技术,即通过分析IP、TCP报头信息识别主机上的操作系统。
3.1.1被动指纹识别技术的工作原理
被动指纹识别技术的实质是匹配分析法。匹配双方一个是来自源主机数据流中的TCP、IP报头信息,另一个是特征数据库中的目标主机信息,通过将两者做匹配来识别源主机发送的数据流中是否含有恶意信息。通常比较的报头信息包括窗口(WINDOWSIZE)、数据报存活期(TTL)、DF(dontfragment)标志以及数据报长(Totallength)。
窗口大小(wsize)指输入数据缓冲区大小,它在TCP会话的初始阶段由OS设定。数据报存活期指数据报在被丢弃前经过的跳数(hop);不同的TTL值可以代表不同的操作系统(OS),TTL=64,OS=UNIX;TTL=12,OS=Windows。DF字段通常设为默认值,而OpenBSD不对它进行设置。数据报长是IP报头和负载(Payload)长度之和。在SYN和SYNACK数据报中,不同的数据报长代表不同的操作系统,60代表Linux、44代表Solaris、48代表Windows2000。
IDS将上述参数合理组合作为主机特征库中的特征(称为指纹)来识别不同的操作系统。如TTL=64,初步判断OS=Linux/OpenBSD;如果再给定wsize的值就可以区分是Linux还是OpenBSD。因此,(TTL,wsize)就可以作为特征库中的一个特征信息。3.1.2被动指纹识别技术工作流程
具有指纹识别技术的IDS系统通过收集目标主机信息,判断主机是否易受到针对某种漏洞的攻击,从而降低误报率。
因此当IDS检测到攻击数据包时,首先查看主机信息表,判断目标主机是否存在该攻击可利用的漏洞;如果不存在该漏洞,IDS将抑制告警的产生,但要记录关于该漏洞的告警信息作为追究法律责任的依据。这种做法能够使安全管理员专心处理由于系统漏洞产生的告警。
3.2告警泛滥抑制
IDS产品使用告警泛滥抑制技术可以降低误报率。在利用漏洞的攻击势头逐渐变强之时,IDS短时间内会产生大量的告警信息;而IDS传感器却要对同一攻击重复记录,尤其是蠕虫在网络中自我繁殖的过程中,这种现象最为重要。
所谓“告警泛滥”是指短时间内产生的关于同一攻击的告警。IDS可根据用户需求减少或抑制短时间内同一传感器针对某个流量产生的重复告警。这样。网管人员可以专注于公司网络的安全状况,不至于为泛滥的告警信息大伤脑筋。告警泛滥抑制技术是将一些规则或参数(包括警告类型、源IP、目的IP以及时间窗大小)融入到IDS传感器中,使传感器能够识别告警饱和现象并实施抵制操作。有了这种技术,传感器可以在告警前对警报进行预处理,抑制重复告警。例如,可以对传感器进行适当配置,使它忽略在30秒内产生的针对同一主机的告警信息;IDS在抑制告警的同时可以记录这些重复警告用于事后的统计分析。
3.3告警融合
该技术是将不同传感器产生的、具有相关性的低级别告警融合成更高级别的警告信息,这有助于解决误报和漏报问题。当与低级别警告有关的条件或规则满足时,安全管理员在IDS上定义的元告警相关性规则就会促使高级别警告产生。如扫描主机事件,如果单独考虑每次扫描,可能认为每次扫描都是独立的事件,而且对系统的影响可以忽略不计;但是,如果把在短时间内产生的一系列事件整合考虑,会有不同的结论。IDS在10min内检测到来自于同一IP的扫描事件,而且扫描强度在不断升级,安全管理人员可以认为是攻击前的渗透操作,应该作为高级别告警对待。例子告诉我们告警融合技术可以发出早期攻击警告,如果没有这种技术,需要安全管理员来判断一系列低级别告警是否是随后更高级别攻击的先兆;而通过设置元警告相关性规则,安全管理员可以把精力都集中在高级别警告的处理上。元警告相关性规则中定义参数包括时间窗、事件数量、事件类型IP地址、端口号、事件顺序。
4降低IDS漏报率方法研究
4.1特征模式匹配方法分析
模式匹配是入侵检测系统中常用的分析方法,许多入侵检测系统如大家熟知的snort等都采用了模式匹配方法。
单一的模式匹配方法使得IDS检测慢、不准确、消耗系统资源,并存在以下严重问题:
(1)计算的负载过大,持续该运算法则所需的计算量极其巨大。
(2)模式匹配特征搜索技术使用固定的特征模式来探测攻击,只能探测明确的、唯一的攻击特征,即便是基于最轻微变换的攻击串都会被忽略。
(3)一个基于模式匹配的IDS系统不能智能地判断看似不同字符串/命令串的真实含义和最终效果。在模式匹配系统中,每一个这样的变化都要求攻击特征数据库增加一个特征记录。这种技术攻击运算规则的内在缺陷使得所谓的庞大特征库实际上是徒劳的,最后的结果往往是付出更高的计算负载,而导致更多的丢包率,也就产生遗漏更多攻击的可能,特别是在高速网络下,导致大量丢包,漏报率明显增大。
可见传统的模式匹配方法已不能适应新的要求。在网络通信中,网络协议定义了标准的、层次化、格式化的网络数据包。在攻击检测中,利用这种层次性对网络协议逐层分析,可以提高检测效率。因此,在数据分析时将协议分析方法和模式匹配方法结合使用,可以大幅度减少匹配算法的计算量,提高分析效率,得到更准确的检测结果。超级秘书网
4.2协议分析方法分析
在以网络为主的入侵检测系统中,由于把通过网络获得的数据包作为侦测的资料来源,所以数据包在网络传输中必须遵循固定的协议才能在电脑之间相互沟通,因此能够按照协议类别对规则集进行分类。协议分析的原理就是根据现有的协议模式,到固定的位置取值(而不式逐一的去比较),然后根据取得的值判断其协议连同实施下一步分析动作。其作用是非类似于邮局的邮件自动分捡设备,有效的提高了分析效率,同时还能够避免单纯模式匹配带来的误报。
根据以上特点,能够将协议分析算法用一棵协议分类树来表示,如图2所示。这样,当IDS进行模式匹配时,利用协议分析过滤许多规则,能够节省大量的时间。在任何规则中关于TCP的规则最多,大约占了50%以上,因此在初步分类后,能够按照端口进行第二次分类。在两次分类完成后,能够快速比较特征库中的规则,减少大量不必要的时间消耗。如有必要,还可进行多次分类,尽量在规则树上分叉,尽可能的缩减模式匹配的范围。
每个分析机的数据结构中包含以下信息:协议名称、协议代号以及该协议对应的攻击检测函数。协议名称是该协议的唯一标志,协议代号是为了提高分析速度用的编号。为了提高检测的精确度,可以在树中加入自定义的协议结点,以此来细化分析数据,例如在HTTP协议中可以把请求URL列入该树中作为一个结点,再将URL中不同的方法作为子节点。
分析机的功能是分析某一特定协议的数据,得出是否具有攻击的可能性存在。一般情况下,分析机尽可能的放到树结构的叶子结点上或尽可能的靠近叶子结点,因为越靠近树根部分的分析机,调用的次数越多。过多的分析机聚集在根部附近会严重影响系统的性能。同时叶子结点上的协议类型划分越细,分析机的效率越高。
因此,协议分析技术有检测快、准确、资源消耗少的特点,它利用网络协议的高度规则性快速探测攻击的存在。
5结束语
本文对几种降低IDS误报率和漏报率的方法进行分析研究,通过将这几种方法相互结合,能有效提高入侵检测系统的运行效率并能大大简化安全管理员的工作,从而保证网络安全的运行。由于方法论的问题,目前IDS的误报和漏报是不可能彻底解决的。因此,IDS需要走强化安全管理功能的道路,需要强化对多种安全信息的收集功能,需要提高IDS的智能化分析和报告能力,并需要与多种安全产品形成配合。只有这样,IDS才能成为网络安全的重要基础设施。
参考文献:
[1]张杰,戴英侠.入侵检测系统技术现状及其发展趋势[J].计算机与通信,2002(6):28-32.
[2]唐洪英,付国瑜.入侵检测的原理与方法[J].重庆工学院学报,2002(4):71-73.
[3]戴连英,连一峰,王航.系统安全与入侵检测技术[M].北京:清华大学出版社,2002(3).
[4]郑成兴.网络入侵防范的理论与实践[M].北京:机械工业出版社,2006:48-56.
1.1一般资料
2001年8月至2013年2月新乐市医院收治的泌尿系统感染患者100例。按照随机数字表法,将100例患者分为观察组和对照组,每组患者50例。观察组患者中,男23例、女27例,年龄23-74岁,平均(49.6±10.2)岁。对照组患者中,男24例、女26例,年龄25-78岁,平均(52.2±10.4)岁。两组患者基本资料比较差异无统计学意义(P>0.05),具有可比性。
1.2方法
采用无菌、干燥塑料杯采集所有受试对象清晨首次尿液标本,混合均匀后倒入已编号的玻璃试管中。对照组尿液标本采用干化学法进行检测。观察组尿液标本采用UF1000i型尿沉渣分析仪(日本Sysmex公司)检测白细胞数量(参考区间:小于20个/微升)。所有标本均进行微生物培养。上述检测方法均参照文献。
1.3统计学处理
采用SPSS20.0软件进行数据处理和统计学分析。计数资料以百分率表示,组间比较采用卡方检验。P<0.05为比较差异有统计学意义。
2结果
2.1尿白细胞检测结果
观察组患者尿白细胞数量分布为小于20个/微升25例、大于或等于20个/微升25例,所占比例分别为50.0%、50.0%%。对照组患者尿白细胞数量分布为小于20个/微升35例、大于或等于20-100个/微升15例,所占比例分别为70.0%、30.0%。观察组患者中,尿白细胞数量超过参考区间上限的患者所占比例大于对照组,组间比较差异有统计学意义(P<0.05)。
2.2尿微生物培养检测结果
观察组患者尿微生物培养阴性13例,阴性率为26.0%;微生物培养阳性24例,阳性率为48.0%;微生物培养可疑阳性3例,可疑率为6.0%。对照组患者尿微生物培养阴性21例,阴性率为42.0%;微生物培养阳性12例,阳性率为24.0%;微生物培养可疑阳性2例,可疑率为4.0%。观察组患者尿微生物培养阳性率明显高于对照组(P<0.05)。
3讨论
3.1尿沉渣检验及其优越性 在住院患者临床常规检查项目中,尿液生化检验具有极为重要作用和临床意义,能够通过测定尿液的理化性质和有形成分,有效诊断和鉴别诊断泌尿生殖系统、肝脏等脏器及系统的病变,同时也有助于判断疾病的预后。尿沉渣检测通常采用显微镜和流式细胞技术对尿液中的有形成分进行定性和定量检测。生理情况下,尿液中的有形成分,例如红细胞、白细胞、管型、细菌、结晶等均极为少见。多数泌尿系统疾病患者尿沉渣检测可检出结晶和上皮细胞,因此尿沉渣检测可用于疾病的初步诊断。尿沉渣检测主要是对尿液中的有形成分进行检验。载玻片法属于尿沉渣检测的传统方法,但存在操作标准难以统一、影响因素较多等不足,因此检测结果无法真实、客观地反映真实情况,检测结果见的可比性也相对较差。定量分析板法是用于尿沉渣检测的新方法,具有标准化及规范化程度高、操作简单、可重复性强及准确度高等优点,同时还能够对检测结果进行一次性处理,数据结果也具有较高的量化程度。
3.2泌尿系统感染尿沉渣检测应注意的问题
健康者尿液中没有红细胞或数量极少。当连续数次尿液高倍镜观察均检出1-2个红细胞时,可判为镜下血尿;肉眼观察即可发现尿液呈赭红色或洗肉水样,可判为肉眼血尿。一旦出现肉眼血尿,说明泌尿系统疾病的病情已十分严重,患者需接受进一步检查,以发现病因和明确诊断。在对泌尿系统感染患者进行尿沉渣检测时,应注意规范操作,以保证标本染色效果、防止标本污染,同时应采用标准的检查器材。在尿沉渣检测的临床应用中,通常采用晨尿标本,因为晨尿具有较高的浓缩度,能够更好地反映尿液中有形成分的实际情况。一般而言,尿沉渣检测应在标本采集后1H内进行,从而避免长时间保存标本对检测结果的影响,提高检测结果的准确性。
3.3泌尿系统感染尿沉渣检测的优点
泌尿系统感染患者的尿液中通常存在一定量的病原体和白细胞,因此对患者尿液中的细菌及白细胞进行检测对泌尿系统感染的临床诊断极为重要,也有助于判断疾病的病程。Sysmex公司UF1000i型尿沉渣分析仪同时采用了流式细胞技术及荧光染色法,因此检测白细胞、红细胞等有形成分的线性范围较大,准确度、灵敏度和检测效率也较高,有效避免了干化学法尿沉渣检测的不足,适用于泌尿系统感染患者早期诊断。本研究结果表明,与干化学法相比,采用UF1000i型尿沉渣分析仪对泌尿系统感染患者进行尿沉渣检测,可明显提高异常检出率(P<0.05)。
4结语
