IDS在五級信息安全機制構建中的應用論文

IDS在五級信息安全機制構建中的應用論文

　　關鍵詞：計算機論文發表-發表計算機評職稱論文

　　摘要：入侵檢測（Intrusion Detection）是一項信息安全機制中的關鍵技術，入侵檢測系統（IDS）是利用這一關鍵技術的監控和分析網絡信息，以及時發現入侵行為的信息安全系統。

　　本文重點在結合信息安全等級的要求與IDS本身結構的優缺點，對信息安全策略進行分析，構建滿足五級信息安全保護能力的入侵檢測系統。

　　關鍵詞：入侵檢測，信息安全

　　1.信息安全等級

　　信息安全等級保護是我國信息安全保障工作的綱領性文件（《國家信息化領導小組關于加強信息安全保障工作的意見》）（中辦發[2003]27號）提出的重要工作任務[1]，其基本原理是，不同的信息系統有不同的重要性，在決定信息安全保護措施時，必須綜合平衡安全成本和風險。

　　2007年6月，公安部發布的《信息安全等級保護管理辦法》規定，根據信息系統在國家安全、經濟建設、社會生活中的重要程度，其遭受破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等，其安全等級由低到高劃分為五級，其等級劃分原則如表1.1所示：

　　表1.1 安全等級劃分原則

　　不同安全等級的信息系統應該具備相應的基本安全保護能力，其中第四級安全保護能力是應能夠在統一安全策略下防護系統免受來自國家級別的、敵對組織的、擁有豐富資源的威脅源發起的惡意攻擊，嚴重的自然災害，以及其他相當維護程度的威脅所造成的資源損害，能夠發現安全漏洞和安全相關事件，在系統遭到損害后，能夠迅速恢復所有功能；第五級安全保護能力是在第四級安全的安全保護能力的基礎上，由訪問控制監視器實行訪問驗證，采用形式化技術驗證相應的安全保護能力確實得到實現。

　　2.IDS主要功能

　　入侵檢測：通過對行為、安全日志、審計數據或其他網絡上可以獲得的信息進行操作，檢測到對系統的闖入或者闖入的企圖[2]。（國標GB/T 18336）

　　入侵檢測系統的主要功能：

　　檢測并分析用戶和系統的活動，查找非法用戶和合法用戶的越權操作；檢查系統配置和漏洞，并提示管理員修補漏洞。（由安全掃描系統完成）、評估系統關鍵資源和數據文件的完整性；識別已知的攻擊行為；統計分析異常行為；操作系統日志管理，并識別違反安全策略的用戶活動等；

　　成功的入侵檢測系統，應該達到的效果：可以使系統管理員時刻了解網絡系統（軟件和硬件）的任何變更，能給網絡安全策略的制定提供依據；管理配置簡單，使非專業人員非常容易地獲得網絡安全。入侵檢測的規模還應根據網絡規模、系統構造和安全需求的改變而改變。入侵檢測系統在發現入侵后，能及時作出響應，包括切斷網絡連接、記錄事件和報警等。

　　圖2.1入侵檢測系統結構圖

　　3.IDS類別

　　由于IDS的模型多樣化，IDS的類別也表現出較為復雜的情況，但是當前通常將入侵檢測按照分析方法和數據來源來進行分類[3]。

　　3.1按照分析方法（檢測方法）

　　異常檢測模型（Anomaly Detection）：首先總結正常操作應該具有的特征（用戶輪廓），當用戶活動與正常行為有重大偏離時即被認為是入侵。

　　誤用檢測模型（MisuseDetection）：收集非正常操作的行為特征，建立相關的特征庫，當監測的用戶或系統行為與庫中的記錄相匹配時，系統就認為這種行為是入侵。

　　3.2按照數據來源

　　基于主機的IDS：系統獲取數據的依據是系統運行所在的主機，保護的目標也是系統運行所在的主機；檢測的目標主要是主機系統和系統本地用戶。檢測原理是根據主機的審計數據和系統的日志發現可疑事件，檢測系統可以運行在被檢測的主機或單獨的主機上。

　　圖3.1基于主機的IDS結構圖

　　基于網絡的IDS：系統獲取的數據是網絡傳輸的數據包，保護的是網絡的運行；根據網絡流量、協議分析、單臺或多臺主機的審計數據檢測入侵。

　　圖3.2 基于網絡的IDS結構圖

　　探測器由過濾器、網絡接口引擎器以及過濾規則決策器構成，探測器的功能是按一定的規則從網絡上獲取與安全事件相關的數據包，傳遞給分析引擎器進行安全分析判斷[4]。

　　分析引擎器將從探測器上接收到的包并結合網絡安全數據庫進行分析，把分析的結果傳遞給配置構造器。

　　配置構造器按分析引擎器的結果構造出探測器所需要的配置規則。

　　分布式IDS：

　　傳統的集中式IDS的基本模型是在網絡的不同網段放置多個探測器收集當前網絡狀態的信息，然后將這些信息傳送到中央控制臺進行處理分析。

　　分布式結構采用了本地主體處理本地事件，中央主體負責整體分析的模式。

　　3.3 IDS的局限性

　　對于大規模的分布式攻擊，中央控制臺的負荷將會超過其處理極限，這種情況會造成大量信息處理的遺漏，導致漏警率的增高[5]。

　　多個探測器收集到的數據在網絡上的傳輸會在一定程度上增加網絡負擔，導致網絡系統性能的降低[6]。

　　由于網絡傳輸的時延問題，中央控制臺處理的網絡數據包中所包含的信息只反映了探測器接收到它時網絡的狀態，不能實時反映當前網絡狀態[7]。

　　4.五級安全防護能力IDS構建

　　根據公安部《信息安全等級保護管理辦法》，五級安全防護能力需要具備四級安全防護的漏洞發現和入侵檢測能力，同時需要由訪問控制監視器實現對訪問的.及時驗證，保證杜絕未授權用戶的非法訪問。

　　與此同時，如何解決因為網絡時延而導致的數據分析的延后，以及解決探測器在網絡傳輸中造成的網絡負擔，提高網絡系統性能的同時保證中央控制臺的高效運轉，是當前IDS需要重點研究的問題。

　　當前IDS的結構中入侵檢測和數據安全審計是兩個不同的模塊，入侵檢測系統將檢測數據提交給安全審計模塊，對入侵行為的確認是由安全審計模塊進行的[8]。因此在成本可接受的范圍內，如果將審計模塊和檢測模塊結合，并且將分布式IDS的每一個檢測終端都由一個獨立處理單元來進行基本的檢測，只將較為復雜的數據提交給中央控制臺，這樣即減輕了網絡傳輸的壓力，也有利于中央控制臺更加高效運轉。將每一個獨立處理單元命名為一個agent，每個agent的結構如下圖所示：

　　5.結束語

　　本文介紹了信息安全等級的分類依據，在對IDS系統的類別和局限性進行分析的基礎上，對滿足五級信息安全防護能力的入侵檢測系統進行了基本構建，探討通過對分布式IDS終端處理單元的結構和防范策略進行調整，研究對IDS存在主要問題的處理策略。

　　參考文獻：

　　[1] 高永強，羅世澤.網絡安全技術與應用大典[M].北京：人民郵電出版社，2003：15-16.

　　[2] 盛思源，戰守義，石耀斌.基于數據挖掘的入侵檢測系統[J].計算機工程，2003，28（3）.

　　[3] 胡振昌.網絡入侵檢測原理與技術[M].北京：北京理工大學出版社，2006

　　[4] 唐正軍，李建華.入侵檢測技術[M].北京：清華大學出版，2004.

　　[5] 程伯良，周洪波，鐘林輝.基于異常與誤用的入侵檢測系統[J].計算機工程與設計.2007，28（14）

【IDS在五級信息安全機制構建中的應用論文】相關文章：

1.翻轉課堂在商務英語聽說教學中的應用的論文

2.網絡資源在商務英語教學中的應用論文

3.網絡信息安全管理簡歷范文

4.信息安全專業個人簡歷范文

5.機制專業的個人簡歷范文

6.最新網絡信息安全知識競賽試題

7.信息應用專業網絡管理員簡歷范文

8.網絡信息安全管理員簡歷范文

9.信息安全工程師個人求職簡歷