非法获取计算机信息系统数据罪-入侵检测的发展方向及安全防范
一、计算机网络存在的安全问题
导致计算机网络信息安全受到成胁的主要是黑客的入侵,而根本原因在于网络存在安全问题,主要表现在:
(一) 固有的安全漏洞和不正确的系统维护措施。
现在,新的操作系统或应用软件刚一上市,漏洞就已被找出。没有任何一个系统可以排除漏洞的存在,想要修补所有的漏洞简直比登天还难。缓冲区溢出。这是攻击中最容易破利用的系统漏洞。很多系统不检查程序与缓冲区间的变化的情况下,就接收任何长度的数据输入,把溢出部分放住堆栈内,系统还照常执行命令。系统固有的漏洞及一大堆随处可见的破坏工具大大方便了黑客的攻击,但无效的安全管理也是造成安全隐患的一个重要因素。当发现新的漏洞时,管理人员应仔细分析危险程度,并马上采取补救措施。有时候,虽然我们已经对系统进行了维护,对软件进行了更新或升级,但由于路由器及防火墙的过滤规则过于复杂,系统又可能会出现新的漏洞。所以,及时、有效地改变管理可以大大降低系统所承受的风险。
(二) 合法工具的滥用和低效的系统设计与检测能力。
大部分系统都配备了用以改进系统管理及服务质量的工具软件,但遗憾的是,这些工具同时也会被破坏者利用去收集非法信息及加强攻击力度:例如:NBTSTAT命令是用来给系统管理员提供远程节点的信息的。但是破坏者也用达一命令收集对系统有威胁性的信息,例如区域控制软件的身份信息、NetBIOS的名字、IIS名甚至是用户名。这些信息足以被黑客用来破译口令。另一个最常被利用的工具是网包嗅探器,系统管理员用此工具来监控及分发网包,以便找出网络的潜在问题。黑客如要攻击网络,则先把网卡变成功能混杂的设备,截取经过网络的包(包括所有未加密的口令和其他敏感信息),然后短时间运行网包嗅探器就可以有足够的信息去攻击网络。在不重视信息保护的情况下设计出来的安全系统会非常“不安全”,而且不能抵御复杂的攻击。建立安全的架构一定要从底层着手。这个架构应能提供实效性的安全服务,并且需要妥善的管理。
二、入侵检测概述及其分类
(一)入侵检测概述。入检检测是对入侵行为的发觉,是基于入侵者的行为不同于合法用户的行为,并且是通过可量化的方式表现出来的,假定它从计算机网络或计算机系统中的若干个关键点收集信息,并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
(二)入侵检测技术分类。进行入侵检测的软件和硬件组合就是入侵检测系统,入侵检测技术主要有两种分类方法:按检测的数据来源分类和按采用的检测机制分类。
1、按照检测数据的来源,可将入侵检测技术分为基于主机的入侵检测(HID)和基于网络的入侵检测(NID)。基于主机的入侵检测技术的数据来自要检测的主机或系统,它对计算机操作系统的事件日志、应用程序的事件日志、系统调用、端口调用和安全审计纪录等进行分析,从而发现异常和越权行为。基于网络的入侵检测技术的数据来自网络上的数据包,通常将一台计算机上的网卡设置成混杂模式,实进监听所在网段内的数据包并进行分析。
2、按照所采用的检测机制,入侵检测技术可分为异常检测技术和误用检测技术。异常检测技术基于一种假设:入侵行为是异常行为的一个子集。异常检测在建立了正常行为统计模式以后,对系统行为、用户行为进行统计,并与已知的正常行为模式进行比较,当发现系统行为或用户行为与其正常行为在统计意义上显著偏离时,就认为发生了异常行为,进而怀疑有入侵行为发生。误用检测系统将已知的攻击行为和攻击方式模型化,并作为系统知识库,在用户行为中检测、查找这些模式。
三、入侵检测的发展方向及安全防范
(一) 随着信息系统对一个国家的社会生产与国民经济的影响越来越大,再加上网络攻击者的攻击工具与手法日趋复杂化,信息战已逐步被各个国家重视。近年来,入侵检测有如下几个主要发展方向:
1.分布式入侵检测与通用入侵检测架构。传统的IDS一般局限于单一的主机或网络架构,对异构系统及大规模的网络的监测明显不足,再加上不同的IDS系统之间不能很好地协同工作,为解决这一问题,需要采用分布式入侵检测技术与通用入侵检测架构。
2.应用层入侵检测。许多入侵的语义只有在应用层才能理解,然而目前的IDS仅能检测到诸如Web之类的通用协议,而不能处理LotusNotes、数据库系统等其他的应用系统。许多基于客户服务器结构、中间件技术及对象技术的大型应用,也需要应用层的入侵检测保护。
3、智能的入侵检测。入侵方法越来越多样化与综合化,尽管已经有智能体、神经网络与遗传算法在入侵检测领域应用研究,但是,这只是一些尝试性的研究工作,需要对智能化的IDS加以进一步的研究,以解决其自学习与自适应能力。
4、入侵检测的评测方法。用户需对众多的IDS系统进行评价,评价指标包括IDS检测范围、系统资源占用、IDS自身的可靠性,从而设计出通用的入侵检测测试与评估方法与平台,实现对多种IDS的检测。
(二) 全面的安全防御方案。尽管计算机网络信息安全受到威胁,但是采取恰当的防护措施也能有效的保护网络信息的安全。本文总结以下几种方法并加以说明以确保在策略上保护网络信息的安全:
1、隐藏IP地址。尽管计算机网络信息安全受到威胁,但是采取恰当的防护措施也能有效的保护网络信息的安全。
2、关闭不必要的端口。黑客在入侵时常常会扫描你的计算机端口,如果安装了端口监视程序,该监视程序则会有警告提示。
3、更换管理员帐户。Administrator帐户拥有最高的系统权限,一旦该帐户被人利用,后果不堪设想。
4、杜绝Guest帐户的入侵。Guest帐户即所谓的来宾帐户,它可以访问计算机,但受到限制。
5、封死黑客的“后门”。俗话说“无风不起浪”,既然黑客能进入,那我们的系统一定存在为他们打开的”后门”,我们只要将此堵死,让黑客无处下手。
6、做好IE的安全设置和安装必要的安全软件。
7、防范木马程序等等。
综上所述,入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,使网络系统在受到危害之前即拦截和响应入侵行为,为网络安全增加一道屏障。随着入侵检测的研究与开发,并在实际应用中与其它网络管理软件相结合,使网络安全可以从立体纵深、多层次防御的角度出发,形成人侵检测、网络管理、网络监控三位一体化,从而更加有效地保护网络的安全。
