計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測技術(shù)研究分析計(jì)算機(jī)專業(yè)

1、題目：計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測技術(shù)研究 摘 要隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，全球信息化的步伐越來越快，網(wǎng)絡(luò)信息系統(tǒng)己成為一個(gè)單位、一個(gè)部門、一個(gè)行業(yè)，甚至成為一個(gè)關(guān)乎國家國計(jì)民生的基礎(chǔ)設(shè)施，團(tuán)此，網(wǎng)絡(luò)安全就成為國防安全的重要組成部分，入侵檢測技術(shù)是一種重要的動態(tài)防護(hù)技術(shù)，繼防火墻、數(shù)據(jù)加密等傳統(tǒng)網(wǎng)絡(luò)安全措施之后的又一道安全閘門，網(wǎng)絡(luò)入侵檢測系統(tǒng)，可以從海量的網(wǎng)絡(luò)數(shù)據(jù)中發(fā)現(xiàn)正常的通訊和異常的入侵行為，不僅可以減少人工分析和解碼帶來的繁重工作，而且可以提高入侵檢測系統(tǒng)的適應(yīng)性?；诖?，本文對計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測技術(shù)進(jìn)行詳細(xì)的論述。關(guān)鍵詞：計(jì)算機(jī)， 網(wǎng)絡(luò)入侵， 檢測技術(shù) 目 錄一、引言1二、入侵檢測技術(shù)概述2（一）入

2、侵檢測簡介2（二）入侵檢測系統(tǒng)的架構(gòu)2（三）入侵檢測分類及技術(shù)分析3三、入侵檢測系統(tǒng)的局限性6（一）入侵技術(shù)在不斷發(fā)展6（二）入侵活動可以具有很大的時(shí)間跨度和空間跨度6（三）非線性的特征還沒有有效的識別模型6四、入侵檢測技術(shù)的發(fā)展方向7（一）分布式入侵檢測7（二）智能化入侵檢測7（三）全面的安全防御方案7（四）應(yīng)用層入侵檢測技術(shù)7（五）互操作性亟待提高8五、入侵檢測系統(tǒng)在銀行中的應(yīng)用9（一）銀行網(wǎng)絡(luò)安全分析9（二）系統(tǒng)設(shè)計(jì)思想10（三）銀行入侵檢測系統(tǒng)結(jié)構(gòu)10（四）銀行入侵檢測系統(tǒng)功能13六、結(jié)論14致謝15參考文獻(xiàn)16 16一、引言進(jìn)入二十一世紀(jì)以來，信息和網(wǎng)絡(luò)技術(shù)持續(xù)高速發(fā)展，互聯(lián)網(wǎng)規(guī)模的

3、不斷擴(kuò)大，網(wǎng)絡(luò)的影響滲透到社會生活的各個(gè)的角落。黑客們受政治、經(jīng)濟(jì)或者軍事利益的驅(qū)動，對計(jì)算機(jī)和網(wǎng)絡(luò)基礎(chǔ)設(shè)施，特別是各種官方機(jī)構(gòu)的網(wǎng)站，展開了越演越烈，無孔不入的入侵攻擊。與此同時(shí)，后果重大且影響惡劣的網(wǎng)絡(luò)事件。比如前兩年的熊貓燒香一每年都有發(fā)生，這一切給人們的工作和生活帶來諸多不便甚至是重大且無可挽回的損失。近年來電子商務(wù)與其它網(wǎng)絡(luò)經(jīng)濟(jì)行為的繁榮，更加激化了入侵事件的增長.如何應(yīng)對這一趨勢是人們無法回避的嚴(yán)峻考驗(yàn)1。通過高效的入侵檢測，可以及時(shí)得識別出網(wǎng)絡(luò)流量中的入侵行為，在此基礎(chǔ)上，或觸發(fā)自動響應(yīng)步驟，或提醒系統(tǒng)管理員采取措施及時(shí)應(yīng)對，從而有效得阻斷惡意行為，避免遭受進(jìn)一步損失。所以，入侵

4、檢測技術(shù)在當(dāng)今社會具備非常重要的意義。二、入侵檢測技術(shù)概述（一）入侵檢測簡介入侵檢測作為一種主動地安全防護(hù)技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和用戶誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)或系統(tǒng)受到危害之前攔截和響應(yīng)入侵。因此入侵檢測被認(rèn)為是防火墻之后的第二道安全閘門，能夠在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)或系統(tǒng)進(jìn)行監(jiān)測。入侵檢測的實(shí)現(xiàn)一般通過執(zhí)行以下任務(wù)：監(jiān)視并分析用戶及系統(tǒng)活動；系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)：識別已知進(jìn)攻的活動模式并向相關(guān)人士及時(shí)報(bào)警；異常行為模式的統(tǒng)計(jì)分析；評估重要系統(tǒng)和重要數(shù)據(jù)文件的完整性；操作系統(tǒng)的審計(jì)及跟蹤管理。入侵檢測是防火墻的合理補(bǔ)充，幫助操作系統(tǒng)應(yīng)對網(wǎng)絡(luò)攻擊，增強(qiáng)操作系統(tǒng)管理員的安全管理能力

5、(包括安全審計(jì)、監(jiān)視、進(jìn)攻識別和響應(yīng))，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。（二）入侵檢測系統(tǒng)的架構(gòu)一般而言，入侵檢測系統(tǒng)的分類有兩種標(biāo)準(zhǔn)。一種是按系統(tǒng)所處理的數(shù)據(jù)的來源來分，另外一種按照檢測非法事件的方法來分。根據(jù)所處理的數(shù)據(jù)來源的不同，可以將入侵檢測系統(tǒng)分為基于主機(jī)的(HIDS)與基于網(wǎng)絡(luò)的(NiDS)。如圖2-1所示，NIDS通過監(jiān)控網(wǎng)絡(luò)流量來檢測入侵行為。一般來說它是通過抓取并分析流經(jīng)網(wǎng)絡(luò)上某些關(guān)鍵設(shè)備(路由器，交換機(jī)等)處于混雜模式的網(wǎng)卡上的包來監(jiān)控網(wǎng)絡(luò)行為。圖2-1 NIDS示意圖而如圖2-2所示，HIDS駐存于主機(jī)上，只負(fù)責(zé)保證該臺主機(jī)的安全，它監(jiān)控的數(shù)據(jù)包括著經(jīng)過該臺主機(jī)處于非混雜

6、模式的網(wǎng)卡的所有數(shù)據(jù)包和本機(jī)的系統(tǒng)日志，系統(tǒng)調(diào)用等本機(jī)信息，這里要強(qiáng)調(diào)的是HIDS監(jiān)控的網(wǎng)絡(luò)數(shù)據(jù)包都是針對它所駐存主機(jī)的。這兩種IDS各有長處。相對來說，由于獲得的數(shù)據(jù)非常豐富詳細(xì)，HIDS有相對很高的檢測率和很低的誤報(bào)率，但畢竟HIDS只監(jiān)控一臺計(jì)算機(jī)的行為，而完全無視網(wǎng)絡(luò)中其他計(jì)算機(jī)的存在，因而存在對威脅反應(yīng)遲鈍的問題，當(dāng)它在本機(jī)上發(fā)現(xiàn)入侵跡象時(shí)，攻擊者針對目標(biāo)網(wǎng)絡(luò)的意圖往往已經(jīng)部分實(shí)現(xiàn)。此外，高水平的攻擊者可以通過諸如修改本機(jī)的日志文件等手段來逃避檢測。所以HIDS一般來說是作為網(wǎng)絡(luò)縱深防御體系的最后一段防線3。而NIDS則是防火墻之后的第二道安全防線。由于NIDS只監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)包，可供

7、其分析的數(shù)據(jù)遠(yuǎn)不如HIDS獲得的數(shù)據(jù)豐富，所以NIDS對整個(gè)網(wǎng)絡(luò)系統(tǒng)的監(jiān)控在某種意義上是粗粒度的，其檢測率相對較低，而誤報(bào)率相對較高。但NIDS對入侵的整體狀態(tài)敏感，能夠在入侵發(fā)生的早期做出及時(shí)反應(yīng)，一般作為防火墻之后的第二道安全防線。圖2-2 HIDS位置示意圖（三）入侵檢測分類及技術(shù)分析根據(jù)檢測的方法可將入侵檢測分為兩大類型:誤用入侵檢測和異常入侵檢測。誤用入侵檢測又稱為特征檢測或?yàn)E用檢測，其是根據(jù)已知攻擊的知識建立攻擊特征庫，通過用戶或系統(tǒng)行為與特征庫中各種攻擊模式的比較確定是否有入侵發(fā)生。該檢測系統(tǒng)的優(yōu)點(diǎn)是誤報(bào)少，準(zhǔn)確率高;局限是它對未知的攻擊無能為力，對具體的系統(tǒng)依賴性太強(qiáng)。異常檢測

8、是假定所有入侵檢測行為都是與正常行為不同的。對“正常”行為特征輪廓的確定、更新和特征量的選取是異常檢測技術(shù)的關(guān)鍵。異常檢測技術(shù)的局限在于:并非所有的入侵都表現(xiàn)為異常，而且系統(tǒng)的軌跡難于計(jì)算和更新。1.誤用入侵檢測基于誤用的檢測技術(shù)大致有專家系統(tǒng)、模式匹配與協(xié)議分析，基于模型、鍵盤監(jiān)控、模型推理、狀態(tài)轉(zhuǎn)換分析、Petri網(wǎng)狀態(tài)轉(zhuǎn)換等方法。下面就專家系統(tǒng)、狀態(tài)轉(zhuǎn)換分析進(jìn)行分析論述。(1)基于專家系統(tǒng)的誤用檢瀏方法?，F(xiàn)有多數(shù)采用基于規(guī)則的專家系統(tǒng)來檢測系統(tǒng)中的入侵行為，即將入侵行為編碼成專家系統(tǒng)的規(guī)則，每個(gè)規(guī)則具有“IF條件THEN動作”的形式，其中條件為在某一入侵發(fā)生的條件、動作表示規(guī)則被觸發(fā)時(shí)入

9、侵檢測系統(tǒng)所采取的處理動作。專家系統(tǒng)的建立依賴于知識庫的完備性，知識庫的完備性又取決于審計(jì)記錄的完備性與實(shí)時(shí)性，這種方法的缺陷是規(guī)則庫的全面性問題以及專家知識的獲取和規(guī)則的動態(tài)更新間題;專家系統(tǒng)運(yùn)行時(shí)需要分析所有的審計(jì)數(shù)據(jù)，這存在效率問題;另外如何在大型系統(tǒng)上獲得實(shí)時(shí)連續(xù)的審計(jì)數(shù)據(jù)也是個(gè)問題。(2)基于狀態(tài)轉(zhuǎn)換分析的誤用檢刻方法。狀態(tài)轉(zhuǎn)換分析是將攻擊表示成一系列被監(jiān)控的系統(tǒng)狀態(tài)轉(zhuǎn)移，攻擊模式狀態(tài)對于與系統(tǒng)狀態(tài)同時(shí)有狀態(tài)轉(zhuǎn)移的條件判斷，事件類型無需與審計(jì)記錄一一對應(yīng)。但攻擊模式只是說明事件序列，因此不適合描述更復(fù)雜的事件，沒有通用方法來剪除部分攻擊匹配，所以不善于分析過分復(fù)雜的事件，而且不能檢測

10、與系統(tǒng)狀態(tài)無關(guān)的入侵。2.異常入侵檢測基于數(shù)據(jù)挖掘、神經(jīng)網(wǎng)絡(luò)、支持向量機(jī)的異常入侵檢測是近幾年的研究熱點(diǎn)。(1)基于數(shù)據(jù)挖掘的異常入俊檢測。通過從審計(jì)記錄中提取隱含的、潛在的有用知識，主要是利用數(shù)據(jù)挖掘中的聚類分析、序列模式分析、分類分析等方法提取與入侵活動相關(guān)的系統(tǒng)特征屬性，并根據(jù)系統(tǒng)特征屬性生成入侵事件的分類模型，用于入侵事件的自動識別?；跀?shù)據(jù)挖掘的方法適用于處理大量數(shù)據(jù)的情況，但其實(shí)現(xiàn)需要大量的審計(jì)數(shù)據(jù)作為基礎(chǔ)，系統(tǒng)學(xué)習(xí)過程較慢，難以做到實(shí)時(shí)入侵檢測。另外數(shù)據(jù)挖掘是建立在大樣本的基礎(chǔ)上的，而對于入侵檢測來說，得到足夠的樣本是非常困難和昂貴的(2)基于神經(jīng)網(wǎng)絡(luò)的異常入侵檢測。神經(jīng)網(wǎng)絡(luò)由大

11、量的處理單元組成，單元間通過帶有權(quán)值的連接來進(jìn)行交互。來自審計(jì)日志或正常網(wǎng)絡(luò)訪問行為的信息，經(jīng)數(shù)據(jù)信息預(yù)處理模塊的處理后作為輸人向量，使用神經(jīng)網(wǎng)絡(luò)對輸人向量進(jìn)行處理，從中提取用戶正常行為的模式特征，并以此創(chuàng)建用戶的行為特征輪廓。這要求系統(tǒng)事先對大量實(shí)例進(jìn)行訓(xùn)練，具有每一個(gè)用戶行為模式特征的知識，從而可以找出偏離這些輪廓的用戶行為，否則就會使系統(tǒng)性能變差閣。神經(jīng)網(wǎng)絡(luò)的缺點(diǎn)是:訓(xùn)練時(shí)間長，依賴于訓(xùn)練數(shù)據(jù)集，建模代價(jià)高，而且對判斷為異常的事件不能提供解釋或說明。通過訓(xùn)練各個(gè)功能專一、結(jié)構(gòu)簡單的小神經(jīng)網(wǎng)絡(luò)，聯(lián)合構(gòu)建功能強(qiáng)大的神經(jīng)網(wǎng)絡(luò)也是目前解決此問題的辦法。當(dāng)有新的數(shù)據(jù)加人時(shí)，只需對小型網(wǎng)進(jìn)行調(diào)整，無

12、需對整個(gè)神經(jīng)網(wǎng)絡(luò)進(jìn)行重新學(xué)習(xí)。(3)基于支持向童機(jī)的異常入侵檢測。目前為止應(yīng)用于入侵檢測的SVM有二分類SVM，N分類SVM，針對無標(biāo)簽數(shù)據(jù)分類以及大量訓(xùn)練樣本的SVM。基于支持向量機(jī)的異常入侵檢測分為兩步:(1)訓(xùn)練:在某種SVM訓(xùn)練算法下利用樣本數(shù)據(jù)進(jìn)行分類器訓(xùn)練，結(jié)束時(shí)可得到SVM決策函數(shù)。(2)檢測:先將待檢測數(shù)據(jù)轉(zhuǎn)換成SVM接受的輸入向量格式，然后利用訓(xùn)練階段得到的決策函數(shù)對輸入的向量進(jìn)行分類，得到的結(jié)果即為檢測結(jié)論。SVM應(yīng)用于入侵檢測取得了良好的效果，但SVM的性能在很大程度上依賴于核函數(shù)的選擇，目前沒有很好的方法來指導(dǎo)核函數(shù)選擇;SVM的訓(xùn)練速度受數(shù)據(jù)集規(guī)模的影響極大;現(xiàn)有SV

13、M理論僅討論具有固定懲罰系數(shù)的情況，而實(shí)際上正負(fù)樣本的兩種誤判往往造成損失是不同的。三、入侵檢測系統(tǒng)的局限性（一）入侵技術(shù)在不斷發(fā)展入侵檢測技術(shù)以網(wǎng)絡(luò)攻擊技術(shù)研究為依托，通過跟蹤入侵技術(shù)的發(fā)展增強(qiáng)入侵檢測能力。在因特網(wǎng)上有大量的黑客站點(diǎn)。發(fā)布大量系統(tǒng)漏洞資料和探討攻擊方法。更為令人擔(dān)優(yōu)的是有組織的活動，國外己將信息戰(zhàn)手段同核生化武器等列在一起，作為戰(zhàn)略威懾加以討論。破壞者所具備的能力，對我們是很大的未知數(shù)，入侵技術(shù)的發(fā)展給入侵檢測造成了很大的困難，預(yù)先了解所有可能的入侵方法是困難的，因此一個(gè)有效的入侵檢測系統(tǒng)不僅需要識別已知的入侵摸式，還要有能力對付未知的入侵模式。（二）入侵活動可以具有很大的

14、時(shí)間跨度和空間跨度有預(yù)謀的入侵活動往往有較周密的策劃、試探性和技術(shù)性準(zhǔn)備。一個(gè)入侵活動的各個(gè)步驟有可能在一段相對長的時(shí)間跨度和相當(dāng)大的空間跨度之七分別地完成。給預(yù)警帶來困難。一個(gè)檢測模型總會有一個(gè)有限的時(shí)間窗口，從而忽略滑出時(shí)間窗口的某些事實(shí)。同時(shí)，檢測模型對子在較大空間范圍中發(fā)生的的異?，F(xiàn)象的綜合、聯(lián)想能力也是有限的。（三）非線性的特征還沒有有效的識別模型入侵檢測技術(shù)的難度不僅僅在于入侵模式的提取，更在于入侵模式的檢測策略和算法。因?yàn)槿肭帜Ｊ绞且粋€(gè)靜態(tài)的事物.而現(xiàn)實(shí)的入侵活動則是靈活多變的。從技術(shù)上說，入侵技術(shù)已經(jīng)發(fā)展到一定階段，而入侵檢測技術(shù)在理論上、模型上和實(shí)踐上還都沒有真正發(fā)展起來。在

15、市場上能看得到的入侵檢測系統(tǒng)也都處在同一水平。面對復(fù)雜的網(wǎng)絡(luò)入侵活動，網(wǎng)絡(luò)入侵檢測技術(shù)的研究不僅僅包括入侵技術(shù)的研究，更要重視建立入侵檢測策略和摸型的理論研究。四、入侵檢測技術(shù)的發(fā)展方向在入侵檢測技術(shù)發(fā)展的同時(shí)，入侵技術(shù)也在日新月異。高速網(wǎng)絡(luò)，尤其是交換技術(shù)的發(fā)展以及通過加密信道的數(shù)據(jù)通信，使得通過共享網(wǎng)段偵聽的網(wǎng)絡(luò)數(shù)據(jù)采集方法顯得不足，而大量的通信量對數(shù)據(jù)分析也提出了新的要求.近年對入侵檢測技術(shù)有幾個(gè)主要發(fā)展方向:（一）分布式入侵檢測分布式入侵檢測包含兩層含義:一是針對分布式網(wǎng)絡(luò)攻擊的檢測方法;二是使用分布式的方法來檢測入侵攻擊，其關(guān)鍵技術(shù)為檢測信息的協(xié)同處理與入侵攻擊全局信息的提取，傳統(tǒng)的

16、IDS一般局限于單一的主機(jī)或網(wǎng)絡(luò)架構(gòu)，對異構(gòu)系統(tǒng)及大規(guī)模網(wǎng)絡(luò)的監(jiān)測明顯不足，同時(shí)不同的IDS系統(tǒng)之間不能協(xié)同工作能力.為解決這一問題，需要分布式入侵檢測技術(shù)與通用入侵檢測技術(shù)架構(gòu)。（二）智能化入侵檢測智能化入侵檢測，即使用智能化的方法與手段來進(jìn)行入侵檢測。利用專家系統(tǒng)的思想來構(gòu)建入侵檢測系統(tǒng)也是常用的方法之一，特別是具有自學(xué)能力及自適應(yīng)能力的專家系統(tǒng)，它實(shí)現(xiàn)了知識庫的不斷更新與擴(kuò)展，使設(shè)計(jì)的入侵檢測系統(tǒng)的防范能力不斷增強(qiáng)，具有更廣泛的應(yīng)用前景。入侵方法越來越多樣化與綜合化，盡管已經(jīng)有智能體、神經(jīng)網(wǎng)絡(luò)與遺傳算法在入侵檢測技術(shù)領(lǐng)域應(yīng)用研究，但是這只是一些嘗試性的研究工作，需要對智能化的IDS加以進(jìn)

17、一步的研究以解決其自學(xué)習(xí)與自適應(yīng)能力。（三）全面的安全防御方案全面的安全防御方案，使用安全工程風(fēng)險(xiǎn)管理的思想與方法來處理網(wǎng)絡(luò)安全問題，將網(wǎng)絡(luò)安全作為一個(gè)整體工程來處理，從管理、網(wǎng)絡(luò)結(jié)構(gòu)、加密通道、防火墻、病毒防護(hù)和入侵檢測等多方位對所關(guān)注的網(wǎng)絡(luò)作全面的評估，然后提出可行的全面解決方案.（四）應(yīng)用層入侵檢測技術(shù)許多入侵的語義只有在應(yīng)用層才能理解，而目前的IDS僅能檢測如Web之類的通用協(xié)議，而不能處理如Lotus-Notes、數(shù)據(jù)庫系統(tǒng)等其他的應(yīng)用系統(tǒng).許多基于客戶、服務(wù)器結(jié)構(gòu)與中間件技術(shù)及對象技術(shù)的大型應(yīng)用，需要應(yīng)用層的入侵檢測技術(shù)保護(hù)。（五）互操作性亟待提高目前，IDS的研究基本上還處于各自

18、為政的山大王紛爭時(shí)代.不同的IDS之間及與其他安全產(chǎn)品之間的互操作性很差。為了推動IDS產(chǎn)品及部件之間的互操作性，DARPA和IETF入侵檢測工作組分別制訂了CIDF和IDMEF標(biāo)準(zhǔn)，從體系結(jié)構(gòu)、API、通信機(jī)制、語言格式等方面規(guī)范IDS.五、入侵檢測系統(tǒng)在銀行中的應(yīng)用（一）銀行網(wǎng)絡(luò)安全分析1.銀行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)銀行網(wǎng)絡(luò)上的系統(tǒng)一般包括綜合業(yè)務(wù)系統(tǒng)、清算系統(tǒng)、企業(yè)內(nèi)部網(wǎng)系統(tǒng)等，DDN， X.25，幀中繼、PSTN相互連接在一起，除了部分業(yè)務(wù)系統(tǒng)是通過加密傳輸之外，兒乎沒有其他安全措施，就目前的網(wǎng)絡(luò)結(jié)構(gòu)而言，銀行網(wǎng)絡(luò)系統(tǒng)存在的安全風(fēng)險(xiǎn)有以下兒種:（1）缺乏安全認(rèn)證手段銀行各系統(tǒng)的登錄及遠(yuǎn)程操作目前

19、的安全手段是用戶的帳號與密碼，缺乏有效的安全認(rèn)證手段，一旦密碼被盜用，就可以輕而易舉地進(jìn)入銀行的業(yè)務(wù)系統(tǒng)。（2）銀行外聯(lián)網(wǎng)絡(luò)缺乏安全防護(hù)目前各銀行中間業(yè)務(wù)及各種代理業(yè)務(wù)發(fā)展迅速，與外單位聯(lián)網(wǎng)大都是和內(nèi)部網(wǎng)絡(luò)共用同一設(shè)備，內(nèi)外網(wǎng)絡(luò)之間缺乏清晰的界限和隔離手段，這是非常大的安全隱患。（3）缺乏安全審計(jì)及監(jiān)控機(jī)制對于銀行內(nèi)部員工的違規(guī)操作和惡意侵入沒有有效的監(jiān)控機(jī)制。實(shí)際上在系統(tǒng)入侵事件中，最大的一部分往往來自于系統(tǒng)內(nèi)部。（4）銀行業(yè)務(wù)系統(tǒng)間缺乏有效的訪問控制措施銀行的各業(yè)務(wù)系統(tǒng)雖然在邏輯上相互隔離，但一般是共用一個(gè)物理網(wǎng)絡(luò)，沒有有效隔離，存在安全隱患。（5）銀行業(yè)務(wù)系統(tǒng)面臨Internet黑客攻擊

20、很多銀行已經(jīng)開始或即將開始為客戶提供網(wǎng)上信息服務(wù)和網(wǎng)上銀行業(yè)務(wù)服務(wù)，電了商務(wù)的發(fā)展要求銀行提供網(wǎng)上支付服務(wù)，這樣大量的黑客會蜂擁而入!企圖通過Internet對系統(tǒng)進(jìn)行攻擊。2.銀行的網(wǎng)絡(luò)安全現(xiàn)狀目前銀行計(jì)算機(jī)系統(tǒng)的系統(tǒng)級和應(yīng)用級所采用的安全防范措施，主要包括以下方面:（1）在數(shù)據(jù)庫中數(shù)據(jù)存儲的安全性上，銀行的業(yè)務(wù)系統(tǒng)核心數(shù)據(jù)記錄都采用了對關(guān)鍵字段加密形成保護(hù)字段，來保證數(shù)據(jù)記錄修改的合法性和防止數(shù)據(jù)的非法篡改;（2）訪問權(quán)限控制:對數(shù)據(jù)庫的訪問，前后臺應(yīng)用系統(tǒng)和操作系統(tǒng)針對不同級別的用戶設(shè)置不同級別的權(quán)限;對計(jì)算機(jī)后臺主機(jī)各種口令的保管、移交和修改等制度;（3）在通訊安全方面，通過支節(jié)點(diǎn)向中

21、心節(jié)點(diǎn)向中心節(jié)點(diǎn)簽到的方式來確認(rèn)通訊對等方的身份，由中心節(jié)點(diǎn)分發(fā)密鑰，并在交易報(bào)文的傳輸過程中設(shè)置消息認(rèn)證字段來保證數(shù)據(jù)在傳輸過程中的安全，保證數(shù)據(jù)不至于在數(shù)據(jù)交換和傳輸過程中被非法篡改;對所有本地的交易采用密碼校驗(yàn);通過程序設(shè)計(jì)來屏蔽非法請求，此外在系統(tǒng)與外部連接都用防火墻和拒絕服務(wù)技術(shù)，禁止外部系統(tǒng)通過網(wǎng)絡(luò)系統(tǒng)提供的服務(wù)訪問到核心系統(tǒng);（4）在應(yīng)用系統(tǒng)運(yùn)行過程中，采用簽到的方式對操作員的身份進(jìn)行識別，并根據(jù)操作員的權(quán)限表對操作員進(jìn)行權(quán)限控制。但應(yīng)用系統(tǒng)建設(shè)中普遍存在設(shè)計(jì)不規(guī)范，沒有安全設(shè)計(jì)、缺少平臺支持的問題;（二）系統(tǒng)設(shè)計(jì)思想入侵檢測系統(tǒng)作為防火墻的合理補(bǔ)充。在銀行網(wǎng)絡(luò)安全防御系統(tǒng)應(yīng)用中

22、提供了主動保護(hù)網(wǎng)絡(luò)的作用，它能夠白動探測網(wǎng)絡(luò)流量中可能涉及潛在入侵、攻擊和濫用的模式.入侵檢測同時(shí)在很大程度上降低了管理和確保網(wǎng)絡(luò)安全所需要的培訓(xùn)級別和時(shí)問，通過這些功能，入侵檢測解決了網(wǎng)絡(luò)總體安全性與策略兼容的大部分難題。從理論上說，入侵檢測系統(tǒng)可以分為基于網(wǎng)絡(luò)的入侵檢測和基于主機(jī)的入侵檢測?；诰W(wǎng)絡(luò)的入侵檢測安裝于網(wǎng)絡(luò)信息集中通過的地方，如中心交換機(jī)、集線器等上面，對所有通過的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行收集、分析，并對攻擊行為做出響應(yīng)?；谥鳈C(jī)的入侵檢測安裝于受保護(hù)的主機(jī)上，收集信息，對主機(jī)攻擊行為做出響應(yīng)。但是目前主要的商業(yè)系統(tǒng)大多是混合使用多種技術(shù)，不能簡單地把它們分類為基于網(wǎng)絡(luò)或基于主機(jī)，或基于誤

23、用還是基于異常，而且很多系統(tǒng)也不只是具有入侵檢側(cè)和響應(yīng)功能，還具有很強(qiáng)的網(wǎng)絡(luò)管理和網(wǎng)絡(luò)通信統(tǒng)計(jì)的功能。（三）銀行入侵檢測系統(tǒng)結(jié)構(gòu)如圖5.1所示的入侵檢測系統(tǒng)。在每個(gè)網(wǎng)段和重要服務(wù)器上都安裝了入侵檢測系統(tǒng)，以保護(hù)整個(gè)銀行系統(tǒng)的安全。為了彌補(bǔ)常規(guī)入侵檢測系統(tǒng)在對抗特定類型的攻擊時(shí)所存在的不足，同時(shí)在銀行網(wǎng)絡(luò)安全防御系統(tǒng)中配置了基于網(wǎng)絡(luò)安全日志的入侵檢測系統(tǒng)，在保障本單位網(wǎng)絡(luò)不受外來攻擊的情況下，更避免我們的機(jī)器成為攻擊者的傀儡主機(jī)。圖5.1 銀行入侵檢測系統(tǒng)拓?fù)浣Y(jié)構(gòu)如上所示的入侵檢測系統(tǒng)的工作包括信息收集、信息分析和響應(yīng)三部分:1信息收集入侵檢測系統(tǒng)的第一步工作是信息收集，內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)

24、及用戶活動的狀態(tài)和行為。而且，需要在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)(不同網(wǎng)段和不同主機(jī))收集信息。信息的來源一般來白四個(gè)方面:系統(tǒng)和網(wǎng)絡(luò)日志文件;目錄和文件中的不期望的改變;程序執(zhí)行中的不期望行為，物理形式的入侵信息。2.信息分析對上述四類收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為等信息，一般通過三種技術(shù)手段進(jìn)行分析:模式匹配，統(tǒng)計(jì)分析和完整性分析。其中前兩種方法用于實(shí)時(shí)的入侵檢測，而完整性分析則用于事后分析。模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)濫用模式數(shù)據(jù)庫進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。模式數(shù)據(jù)庫可以不斷的升級，將最新的入侵模式加入到系統(tǒng)，使系統(tǒng)能對最新的入侵做

25、出響應(yīng)。統(tǒng)計(jì)分析方法首先給系統(tǒng)對象(如用戶、文件、目錄和設(shè)備等)創(chuàng)建一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時(shí)的一些測量屬性(如訪問次數(shù)、操作失敗次數(shù)和延時(shí)等)。具體的統(tǒng)計(jì)分析方法如基于專家系統(tǒng)的、基于模型推理的和基于神經(jīng)網(wǎng)絡(luò)的分析方法等等。完整性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓模@經(jīng)常包括文件和目錄的內(nèi)容及屬性，它在發(fā)現(xiàn)被更改的、被特洛伊木馬感染的應(yīng)用程序方面特別有效。3.響應(yīng)入侵檢測系統(tǒng)一旦發(fā)現(xiàn)有符合已知的攻擊行為模式或可疑的攻擊行為，就做出響應(yīng)。主要的響應(yīng)方式有:記錄日志;發(fā)出報(bào)警聲;發(fā)送電了郵件通知管理員;切斷連接等安全控制入侵檢測系統(tǒng)就是執(zhí)行誤用檢測或異常檢測的系統(tǒng)。銀行入侵檢測系統(tǒng)要能通過實(shí)

26、時(shí)的檢測，檢查特定的攻擊模式、系統(tǒng)配置、系統(tǒng)漏洞、存在缺陷的程序版本以及系統(tǒng)或用戶的行為模式，監(jiān)控與安全有關(guān)的活動。它主要有探測器、分析器、管理器等兒個(gè)部分，各部分間的關(guān)系如圖5.2所示:圖5.2 銀行入侵檢測系統(tǒng)結(jié)構(gòu)數(shù)據(jù)源為入侵檢測系統(tǒng)提供最初的數(shù)據(jù)來源，入侵檢測系統(tǒng)利用這些數(shù)據(jù)來檢測入侵。數(shù)據(jù)來源包括網(wǎng)絡(luò)包、審計(jì)日志、系統(tǒng)日志和應(yīng)用程序日志等，其中網(wǎng)絡(luò)數(shù)據(jù)包是首要需檢測數(shù)據(jù)。探側(cè)器從數(shù)據(jù)源提取出與安全相關(guān)的數(shù)據(jù)和活動，如不希望的網(wǎng)絡(luò)連接或系統(tǒng)日志中用戶的越權(quán)訪問等，將這些數(shù)據(jù)傳送給分析器做進(jìn)一步分析。分析器的職責(zé)是對探測器傳來的數(shù)據(jù)進(jìn)行分析，如果發(fā)現(xiàn)未授權(quán)或不期望的活動，就產(chǎn)生警報(bào)并報(bào)告管

27、理器。管理器是入侵檢測系統(tǒng)的管理部件，其主要功能有配置探測器、分析器;通知操作員發(fā)生了入侵;采取應(yīng)對措施等。管理器接收到分析器的替報(bào)后，便通知操作員并向其報(bào)告情況，通知的方式有聲音、E-mail， SNMP Trap等。同時(shí)管理器還可以主動地采取應(yīng)對措施，如結(jié)束進(jìn)程、切斷連接、改變文件和網(wǎng)絡(luò)的訪問權(quán)等。操作員利用管理器來管理入侵檢測系統(tǒng)，并根據(jù)管理器的報(bào)告采取進(jìn)一步的措施.管理員是網(wǎng)絡(luò)和信息系統(tǒng)的管理者，負(fù)責(zé)根據(jù)具體情況制定安全策略和部署入侵檢測系統(tǒng)。安全策略是預(yù)先定義好的一些規(guī)則，這些規(guī)則規(guī)定了銀行網(wǎng)絡(luò)中哪些活動可以允許發(fā)生或者外部的哪些主機(jī)可以訪問內(nèi)部的網(wǎng)絡(luò)等。安全策略通過應(yīng)用到探測器、分

28、析器和管理器上來發(fā)揮作用。（四）銀行入侵檢測系統(tǒng)功能該入侵檢測系統(tǒng)的主要功能有:監(jiān)控、分析用戶和系統(tǒng)的活動;核查系統(tǒng)配置和漏洞;評估關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性;識別攻擊的活動模式并向網(wǎng)絡(luò)管理人員報(bào)警;對異?；顒拥慕y(tǒng)計(jì)分析;操作系統(tǒng)審計(jì)跟蹤管理，識別違反政策的用戶活動;評估重要系統(tǒng)和數(shù)據(jù)文件的完整性。該入侵檢測系統(tǒng)采用分布式的體系結(jié)構(gòu)，系統(tǒng)分為兩層:傳感器和管理器。傳感器包括網(wǎng)絡(luò)傳感器、服務(wù)傳感器和系統(tǒng)傳感器三類，其中網(wǎng)絡(luò)傳感器主要是對網(wǎng)絡(luò)數(shù)據(jù)的分析檢測，服務(wù)傳感器主要是對服務(wù)器中進(jìn)出的網(wǎng)絡(luò)數(shù)據(jù)、系統(tǒng)日志和重要系統(tǒng)文件的檢測，系統(tǒng)傳感器主要是對系統(tǒng)日志和系統(tǒng)文件信息的檢測。管理器則包括控制臺、事件收集器、事件數(shù)據(jù)庫和告警數(shù)據(jù)庫四個(gè)部分。此