非法获取计算机信息系统数据罪-入侵检测技术在计算机网络安全与维护
(非法获取计算机信息系统数据罪、非法获取计算机信息系统数据)
1、网络入侵的方式
网络入侵是指具有熟练的编写和调试计算机程序的技巧并使用这些技巧来获得非法或未授权的网络或文件访问,入侵进入内部网的行为。
目前,网络入侵方式主要包括以下几个方面:
1.1病毒攻击
病毒是一种可以自我复制的计算机程序,用于破坏特定系统资源目标,使用拒绝服务或破坏数据的完整性。具有传染性、隐蔽性、寄生性、繁殖性、潜伏性等特性。目前BBS、电子邮件、WWW浏览、FTP文件下载对点通信系统等时病毒攻击的主要环节。
1.2身份攻击
网络服务通常需要确定用户的身份,从而提供相应的访问权限,通过欺骗系统或窃取的手段冒充合法用户进入网络是常见的网络攻击。主要包括信息收集攻击、口令攻击、漏洞攻击等。身份攻击是攻击者通过大量的试探性方法对网络系统中存在的漏洞进行漏洞扫描、或是对系统可用的权限进行账户扫描及系统提供的服务进行端口扫描,并捕获系统漏洞,对用户输入的账号和口令窃取,进而利用公开协议和工具对各个主机系统中的有用信息进行非法收集、篡改等。
1.3拒绝服务攻击
拒绝服务攻击简称DoS(DenialofService),这种攻击行为是将一定序列、一定数量的报文发送在网络系统中,导致大量要求回复的信息充斥在网络服务器中,使网络系统资源或网络宽带被大量消耗,从而导致正在运行过程中的计算机网络或系统不胜负荷以至于瘫痪、停止正常的网络服务,出现死机、无响应等现象的攻击。
1.4对防火墙的攻击
一般来说,防火墙的抗攻击性很强,不容易被攻破。但是,一定程度上的缺陷不可避免的始终存在于防火墙的设计和实现中,从而导致防火墙被攻击。
随着互联网的兴起和网络技术的高速发展,直接攻击和非法绕过防火墙的攻击给计算机网络安全带来了严重的威胁。如地址欺骗和TCP序号协同攻击、利用FTP-pasv绕过防火墙认证的攻击等非法绕过防火墙的攻击。如CiscoPIX防火墙的拒绝服务漏洞的直接攻击。
2、入侵检测技术简介
入侵检测是通过对计算机网络或系统中的重要文件、关键数据进行收集,并在分析的基础上,从而发现是否有违反安全策略的行为和遭受攻击的现象存在于网络或系统中,对可能危害到系统的机密性、完整性和可用性的行为进行报警和阻断的过程。
入侵检测常用分析技术手段有模式匹配、异常发现和完整性分析:模式匹配是检测网络上每一个数据包,寻找网络攻击特征,与攻击特征相同长度的一组字节从可疑数据包首部取出,并对两组字节进行比较;如果两组字节一样,攻击特征即被检测出来;重复该流程被重复,直到所有的数据字节都与攻击特征进行比较。异常检测是对一段网络操作或中的历史数据进行收集,建立网络正常活动的“活动简档”。将网络当前的活动状况与“活动简档”相比较,检测网络是否偏离了正常行为模式,从而判断是否发生了入侵。完整性分析是通过检查网络中文件的内容、目录及属性是否处于正确状态,有没有被更改。这种检测技术对导致文件任何地方改变的入侵都能够被发现,在发现被更改的,被特络伊化的应用程序方面特别有效。
入侵检测方式可分成基于主机和基于网络的检测:基于主机系统分析的数据是计算机操作系统的事件日志、应用程序的事件日志、系统调用、端口调用安全审计记录,并拿日志文件和常见已知攻击的内部数据库进行比较,并把它们收集到它自己的特殊日志以供管理员分析使用。基于网络的入侵检测是在路由器或主机级别扫描网络分组、审查分组信息、并在一个特殊文件中详细记录可疑分组。根据这些可疑分组,基于网络的入侵检测可以扫描它自己的已知网络攻击特征数据库,并为每个分组指定严重级别,安全组的成员就可以进一步调查这些异常特点。
3、入侵检测技术在计算机网络安全维护中的应用
入侵检测主要通过执行以下任务来实现对计算机网络安全的维护:监视、分析用户及系统活动;系统构造和弱点的审计;识别反映已知进攻的活动模式并向相关人士报警;异常行为模式的统计分析;评估重要系统和数据文件的完整性;操作系统的审计跟踪管理,并识别用户违反安全策略的行为。基于网络的入侵检测系统(IDS)一般具有多层体系结构,由Agent、Console和Manager三部分组成。其基本工作原理是Console负责从代理处收集信息,显示所受攻击信息,使你能够配置和管理隶属于某个管理器的代理。Agent负责监视所在网段的网络数据包。将检测到的攻击及其所有相关数据发送给管理器。Manager集中进行统一的日志、报警管理。另外,还负责显示检测到的安全信息及详细的侵报警信息(如入侵者的IP地址及目的IP地址、目的端口、攻击特征、当前用户和进程),对配置和攻击警告信息响应,执行控制台发布的命令,将代理发出的攻击警告传递给控制台,从而完成整个过程的入侵检测。
具体应用分析如下:
3.1信息收集
入侵检测的第一要素是数据。数据源可分为四类:系统和网络日志文件;目录和文件中的不期望的改变;程序执行中的不期望行为;物理形式的入侵信息。在应用过程中信息收集需要在每个网段中部署一个或一个以上IDS代理,根据不同的网络结构,其数据采集部分分为不同的连接形式,如果网段用交换式的集线器相连,交换机的核心芯片上一般有一个用于调试的端口,用户可将IDS系统接到此端口上。再就把入侵检测系统放在交换机内部或防火墙内部等数据流的关键入口、出口,得到几乎所有的关键数据。
同时,在计算机网络系统中的若干不同关键点信息的收集,除了根据所要检测的对象,设置网络包截取和尽可能地扩大检测范围
外,还有一个薄弱环节,即对来源于一个对象的信息很有可能开不出任何疑点。这就要求入侵检测信息收集时,应从对来源于几个
对象的信息的不一致性进行重点分析,作为判断入侵或可疑行为的最好标识。相对于整个网络来说,入侵行为毕竟属于少数行为。
因此,对于少数异常数据,可将其孤立起来形成一个数据群进行集中处理,加强入侵分析的针对性。因此,基于孤立点挖掘是入侵检测技术中信息收集的重要手段,其基本操作是将小部分异常数据中具有代表性的、与常规数据模式明显不同的数据从从大量复杂的数据中挖掘处来单独处理。这就将目前异常检测中所面临的由训练样本中正常模式不完备所带来的误报率高的问题克服。
3.2信息分析
对上述收集到的信息,通过模式匹配和异常发现分析模式对数据进行分析,从而发现违背安全策略的行为,并发送给管理器。
设计者需要对各种网络协议、系统漏洞、等行为等有一个很深刻清醒的认识研究,然后制订相应的安全规则库和安全策略,再分别建立滥用检测模型和异常检测模型,让机器模拟自己的分析过程,识别确知特征的攻击和异常行为,最后将分析结果形成报警消息,发送给控制管理中心。同时,对于TCP/IP网络来说,网络探测引擎也是入侵检测的重要手段。网络探测引擎相当于1个传感器,它主要采用旁路侦听的方式,动态监视网络上流过的所有数据包,根据用户定义的策略进行检测,识别出网络中的各种事件,并报告给控制中心,由控制中心给出报警和定位显示。
3.3信息响应
IDS根本的任务是要对入侵行为作出适当的反应。其过程是在分析数据的基础上对本地网段进行检测,将隐藏在每一数据包中的恶意入侵查找处来,对发现的入侵做出及时的响应。主要包括网络引擎进行告警/通知如向控制台告警、向安全管理员发E-mail、SNMPtrap、查看实时会话和通报其他控制台等;记录现场如记录事件日志及整个会话等;采取安全响应行动如终止入侵连接、调整网络设备配置、执行特定的用户响应程序等。
3.4入侵检测技术和防火墙的结合应用
防火墙作为一种周边安全机制,仅能对应用层或网络层的访问进行控制,在一定程度上对内部网络无法起到很好的监控效果。
因此,网络入侵行为很容易通过协议隧道绕过防火墙,对网络安全构成威胁,因此,防火墙无法完全保证信息的安全。因此,在实际应用中我们可以设计入侵检测与防火墙的协同应用模型,实现一个较为有效的安全防护体系。
首先,防火墙或者入侵检测系统开放一个接口供对方使用,双方按照固定的协议进行通信,信双方可以事先约定并设定通信端口。
其次,防火墙通过过滤机制,对经过的对经过的数据包进行解析,将它们与事先定义好的规则进行对比,过滤掉一部分非授信用户的数据包。
最后,对于那些绕过防火墙的非授信用户的数据包,入侵检测系统根据已知的入侵特征定制规则集,来检测符合规则定义的网络攻击,并作出响应,用户采取措施来处理相应的入侵攻击。