計算機網(wǎng)絡(luò)入侵檢測技術(shù)研究

PAGEPAGE1題目：計算機網(wǎng)絡(luò)入侵檢測技術(shù)研究PAGE4摘要隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，全球信息化的步伐越來越快，網(wǎng)絡(luò)信息系統(tǒng)己成為一個單位、一個部門、一個行業(yè)，甚至成為一個關(guān)乎國家國計民生的基礎(chǔ)設(shè)施，團此，網(wǎng)絡(luò)安全就成為國防安全的重要組成部分，入侵檢測技術(shù)是一種重要的動態(tài)防護技術(shù)，繼防火墻、數(shù)據(jù)加密等傳統(tǒng)網(wǎng)絡(luò)安全措施之后的又一道安全閘門，網(wǎng)絡(luò)入侵檢測系統(tǒng)，可以從海量的網(wǎng)絡(luò)數(shù)據(jù)中發(fā)現(xiàn)正常的通訊和異常的入侵行為，不僅可以減少人工分析和解碼帶來的繁重工作，而且可以提高入侵檢測系統(tǒng)的適應(yīng)性?；诖?，本文對計算機網(wǎng)絡(luò)入侵檢測技術(shù)進行詳細(xì)的論述。關(guān)鍵詞：計算機，網(wǎng)絡(luò)入侵，檢測技術(shù)

目錄TOC\o"1-3"\u一、引言 1二、入侵檢測技術(shù)概述 2（一）入侵檢測簡介 2（二）入侵檢測系統(tǒng)的架構(gòu) 2（三）入侵檢測分類及技術(shù)分析 3三、入侵檢測系統(tǒng)的局限性 6（一）入侵技術(shù)在不斷發(fā)展 6（二）入侵活動可以具有很大的時間跨度和空間跨度 6（三）非線性的特征還沒有有效的識別模型 6四、入侵檢測技術(shù)的發(fā)展方向 7（一）分布式入侵檢測 7（二）智能化入侵檢測 7（三）全面的安全防御方案 7（四）應(yīng)用層入侵檢測技術(shù) 7（五）互操作性亟待提高 8五、入侵檢測系統(tǒng)在銀行中的應(yīng)用 9（一）銀行網(wǎng)絡(luò)安全分析 9（二）系統(tǒng)設(shè)計思想 10（三）銀行入侵檢測系統(tǒng)結(jié)構(gòu) 10（四）銀行入侵檢測系統(tǒng)功能 13六、結(jié)論 14致謝 15參考文獻 16中國地質(zhì)大學(xué)（武漢）遠(yuǎn)程與繼續(xù)教育學(xué)院本科畢業(yè)設(shè)計（論文）中國地質(zhì)大學(xué)網(wǎng)絡(luò)教育學(xué)院本科畢業(yè)論文試析混凝土的施工溫度與裂縫一、引言進入二十一世紀(jì)以來，信息和網(wǎng)絡(luò)技術(shù)持續(xù)高速發(fā)展，互聯(lián)網(wǎng)規(guī)模的不斷擴大，網(wǎng)絡(luò)的影響滲透到社會生活的各個的角落。黑客們受政治、經(jīng)濟或者軍事利益的驅(qū)動，對計算機和網(wǎng)絡(luò)基礎(chǔ)設(shè)施，特別是各種官方機構(gòu)的網(wǎng)站，展開了越演越烈，無孔不入的入侵攻擊。與此同時，后果重大且影響惡劣的網(wǎng)絡(luò)事件。比如前兩年的熊貓燒香一每年都有發(fā)生，這一切給人們的工作和生活帶來諸多不便甚至是重大且無可挽回的損失。近年來電子商務(wù)與其它網(wǎng)絡(luò)經(jīng)濟行為的繁榮，更加激化了入侵事件的增長.如何應(yīng)對這一趨勢是人們無法回避的嚴(yán)峻考驗[1]。通過高效的入侵檢測，可以及時得識別出網(wǎng)絡(luò)流量中的入侵行為，在此基礎(chǔ)上，或觸發(fā)自動響應(yīng)步驟，或提醒系統(tǒng)管理員采取措施及時應(yīng)對，從而有效得阻斷惡意行為，避免遭受進一步損失。所以，入侵檢測技術(shù)在當(dāng)今社會具備非常重要的意義。二、入侵檢測技術(shù)概述（一）入侵檢測簡介入侵檢測作為一種主動地安全防護技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和用戶誤操作的實時保護，在網(wǎng)絡(luò)或系統(tǒng)受到危害之前攔截和響應(yīng)入侵。因此入侵檢測被認(rèn)為是防火墻之后的第二道安全閘門，能夠在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)或系統(tǒng)進行監(jiān)測。入侵檢測的實現(xiàn)一般通過執(zhí)行以下任務(wù)：監(jiān)視并分析用戶及系統(tǒng)活動；系統(tǒng)構(gòu)造和弱點的審計：識別已知進攻的活動模式并向相關(guān)人士及時報警；異常行為模式的統(tǒng)計分析；評估重要系統(tǒng)和重要數(shù)據(jù)文件的完整性；操作系統(tǒng)的審計及跟蹤管理。入侵檢測是防火墻的合理補充，幫助操作系統(tǒng)應(yīng)對網(wǎng)絡(luò)攻擊，增強操作系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視、進攻識別和響應(yīng))，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。（二）入侵檢測系統(tǒng)的架構(gòu)一般而言，入侵檢測系統(tǒng)的分類有兩種標(biāo)準(zhǔn)。一種是按系統(tǒng)所處理的數(shù)據(jù)的來源來分，另外一種按照檢測非法事件的方法來分。根據(jù)所處理的數(shù)據(jù)來源的不同，可以將入侵檢測系統(tǒng)分為基于主機的((HIDS)與基于網(wǎng)絡(luò)的((NiDS)。如圖2-1所示，NIDS通過監(jiān)控網(wǎng)絡(luò)流量來檢測入侵行為。一般來說它是通過抓取并分析流經(jīng)網(wǎng)絡(luò)上某些關(guān)鍵設(shè)備(路由器，交換機等)處于混雜模式的網(wǎng)卡上的包來監(jiān)控網(wǎng)絡(luò)行為。圖2-1NIDS示意圖而如圖2-2所示，HIDS駐存于主機上，只負(fù)責(zé)保證該臺主機的安全，它監(jiān)控的數(shù)據(jù)包括著經(jīng)過該臺主機處于非混雜模式的網(wǎng)卡的所有數(shù)據(jù)包和本機的系統(tǒng)日志，系統(tǒng)調(diào)用等本機信息，這里要強調(diào)的是HIDS監(jiān)控的網(wǎng)絡(luò)數(shù)據(jù)包都是針對它所駐存主機的。這兩種IDS各有長處。相對來說，由于獲得的數(shù)據(jù)非常豐富詳細(xì)，HIDS有相對很高的檢測率和很低的誤報率，但畢竟HIDS只監(jiān)控一臺計算機的行為，而完全無視網(wǎng)絡(luò)中其他計算機的存在，因而存在對威脅反應(yīng)遲鈍的問題，當(dāng)它在本機上發(fā)現(xiàn)入侵跡象時，攻擊者針對目標(biāo)網(wǎng)絡(luò)的意圖往往已經(jīng)部分實現(xiàn)。此外，高水平的攻擊者可以通過諸如修改本機的日志文件等手段來逃避檢測。所以HIDS一般來說是作為網(wǎng)絡(luò)縱深防御體系的最后一段防線[3]。而NIDS則是防火墻之后的第二道安全防線。由于NIDS只監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)包，可供其分析的數(shù)據(jù)遠(yuǎn)不如HIDS獲得的數(shù)據(jù)豐富，所以NIDS對整個網(wǎng)絡(luò)系統(tǒng)的監(jiān)控在某種意義上是粗粒度的，其檢測率相對較低，而誤報率相對較高。但NIDS對入侵的整體狀態(tài)敏感，能夠在入侵發(fā)生的早期做出及時反應(yīng)，一般作為防火墻之后的第二道安全防線。圖2-2HIDS位置示意圖（三）入侵檢測分類及技術(shù)分析根據(jù)檢測的方法可將入侵檢測分為兩大類型:誤用入侵檢測和異常入侵檢測。誤用入侵檢測又稱為特征檢測或濫用檢測，其是根據(jù)已知攻擊的知識建立攻擊特征庫，通過用戶或系統(tǒng)行為與特征庫中各種攻擊模式的比較確定是否有入侵發(fā)生。該檢測系統(tǒng)的優(yōu)點是誤報少，準(zhǔn)確率高;局限是它對未知的攻擊無能為力，對具體的系統(tǒng)依賴性太強。異常檢測是假定所有入侵檢測行為都是與正常行為不同的。對“正?！毙袨樘卣鬏喞拇_定、更新和特征量的選取是異常檢測技術(shù)的關(guān)鍵。異常檢測技術(shù)的局限在于:并非所有的入侵都表現(xiàn)為異常，而且系統(tǒng)的軌跡難于計算和更新。1.誤用入侵檢測基于誤用的檢測技術(shù)大致有專家系統(tǒng)、模式匹配與協(xié)議分析，基于模型、鍵盤監(jiān)控、模型推理、狀態(tài)轉(zhuǎn)換分析、Petri網(wǎng)狀態(tài)轉(zhuǎn)換等方法。下面就專家系統(tǒng)、狀態(tài)轉(zhuǎn)換分析進行分析論述。(1)基于專家系統(tǒng)的誤用檢瀏方法。現(xiàn)有多數(shù)采用基于規(guī)則的專家系統(tǒng)來檢測系統(tǒng)中的入侵行為，即將入侵行為編碼成專家系統(tǒng)的規(guī)則，每個規(guī)則具有“IF條件THEN動作”的形式，其中條件為在某一入侵發(fā)生的條件、動作表示規(guī)則被觸發(fā)時入侵檢測系統(tǒng)所采取的處理動作。專家系統(tǒng)的建立依賴于知識庫的完備性，知識庫的完備性又取決于審計記錄的完備性與實時性，這種方法的缺陷是規(guī)則庫的全面性問題以及專家知識的獲取和規(guī)則的動態(tài)更新間題;專家系統(tǒng)運行時需要分析所有的審計數(shù)據(jù)，這存在效率問題;另外如何在大型系統(tǒng)上獲得實時連續(xù)的審計數(shù)據(jù)也是個問題。(2)基于狀態(tài)轉(zhuǎn)換分析的誤用檢刻方法。狀態(tài)轉(zhuǎn)換分析是將攻擊表示成一系列被監(jiān)控的系統(tǒng)狀態(tài)轉(zhuǎn)移，攻擊模式狀態(tài)對于與系統(tǒng)狀態(tài)同時有狀態(tài)轉(zhuǎn)移的條件判斷，事件類型無需與審計記錄一一對應(yīng)。但攻擊模式只是說明事件序列，因此不適合描述更復(fù)雜的事件，沒有通用方法來剪除部分攻擊匹配，所以不善于分析過分復(fù)雜的事件，而且不能檢測與系統(tǒng)狀態(tài)無關(guān)的入侵。2.異常入侵檢測基于數(shù)據(jù)挖掘、神經(jīng)網(wǎng)絡(luò)、支持向量機的異常入侵檢測是近幾年的研究熱點。(1)基于數(shù)據(jù)挖掘的異常入俊檢測。通過從審計記錄中提取隱含的、潛在的有用知識，主要是利用數(shù)據(jù)挖掘中的聚類分析、序列模式分析、分類分析等方法提取與入侵活動相關(guān)的系統(tǒng)特征屬性，并根據(jù)系統(tǒng)特征屬性生成入侵事件的分類模型，用于入侵事件的自動識別。基于數(shù)據(jù)挖掘的方法適用于處理大量數(shù)據(jù)的情況，但其實現(xiàn)需要大量的審計數(shù)據(jù)作為基礎(chǔ)，系統(tǒng)學(xué)習(xí)過程較慢，難以做到實時入侵檢測。另外數(shù)據(jù)挖掘是建立在大樣本的基礎(chǔ)上的，而對于入侵檢測來說，得到足夠的樣本是非常困難和昂貴的(2)基于神經(jīng)網(wǎng)絡(luò)的異常入侵檢測。神經(jīng)網(wǎng)絡(luò)由大量的處理單元組成，單元間通過帶有權(quán)值的連接來進行交互。來自審計日志或正常網(wǎng)絡(luò)訪問行為的信息，經(jīng)數(shù)據(jù)信息預(yù)處理模塊的處理后作為輸人向量，使用神經(jīng)網(wǎng)絡(luò)對輸人向量進行處理，從中提取用戶正常行為的模式特征，并以此創(chuàng)建用戶的行為特征輪廓。這要求系統(tǒng)事先對大量實例進行訓(xùn)練，具有每一個用戶行為模式特征的知識，從而可以找出偏離這些輪廓的用戶行為，否則就會使系統(tǒng)性能變差閣。神經(jīng)網(wǎng)絡(luò)的缺點是:訓(xùn)練時間長，依賴于訓(xùn)練數(shù)據(jù)集，建模代價高，而且對判斷為異常的事件不能提供解釋或說明。通過訓(xùn)練各個功能專一、結(jié)構(gòu)簡單的小神經(jīng)網(wǎng)絡(luò)，聯(lián)合構(gòu)建功能強大的神經(jīng)網(wǎng)絡(luò)也是目前解決此問題的辦法。當(dāng)有新的數(shù)據(jù)加人時，只需對小型網(wǎng)進行調(diào)整，無需對整個神經(jīng)網(wǎng)絡(luò)進行重新學(xué)習(xí)。(3)基于支持向童機的異常入侵檢測。目前為止應(yīng)用于入侵檢測的SVM有二分類SVM，N分類SVM，針對無標(biāo)簽數(shù)據(jù)分類以及大量訓(xùn)練樣本的SVM。基于支持向量機的異常入侵檢測分為兩步:(1)訓(xùn)練:在某種SVM訓(xùn)練算法下利用樣本數(shù)據(jù)進行分類器訓(xùn)練，結(jié)束時可得到SVM決策函數(shù)。(2)檢測:先將待檢測數(shù)據(jù)轉(zhuǎn)換成SVM接受的輸入向量格式，然后利用訓(xùn)練階段得到的決策函數(shù)對輸入的向量進行分類，得到的結(jié)果即為檢測結(jié)論。SVM應(yīng)用于入侵檢測取得了良好的效果，但SVM的性能在很大程度上依賴于核函數(shù)的選擇，目前沒有很好的方法來指導(dǎo)核函數(shù)選擇;SVM的訓(xùn)練速度受數(shù)據(jù)集規(guī)模的影響極大;現(xiàn)有SVM理論僅討論具有固定懲罰系數(shù)的情況，而實際上正負(fù)樣本的兩種誤判往往造成損失是不同的。三、入侵檢測系統(tǒng)的局限性（一）入侵技術(shù)在不斷發(fā)展入侵檢測技術(shù)以網(wǎng)絡(luò)攻擊技術(shù)研究為依托，通過跟蹤入侵技術(shù)的發(fā)展增強入侵檢測能力。在因特網(wǎng)上有大量的黑客站點。發(fā)布大量系統(tǒng)漏洞資料和探討攻擊方法。更為令人擔(dān)優(yōu)的是有組織的活動，國外己將信息戰(zhàn)手段同核生化武器等列在一起，作為戰(zhàn)略威懾加以討論。破壞者所具備的能力，對我們是很大的未知數(shù)，入侵技術(shù)的發(fā)展給入侵檢測造成了很大的困難，預(yù)先了解所有可能的入侵方法是困難的，因此一個有效的入侵檢測系統(tǒng)不僅需要識別已知的入侵摸式，還要有能力對付未知的入侵模式。（二）入侵活動可以具有很大的時間跨度和空間跨度有預(yù)謀的入侵活動往往有較周密的策劃、試探性和技術(shù)性準(zhǔn)備。一個入侵活動的各個步驟有可能在一段相對長的時間跨度和相當(dāng)大的空間跨度之七分別地完成。給預(yù)警帶來困難。一個檢測模型總會有一個有限的時間窗口，從而忽略滑出時間窗口的某些事實。同時，檢測模型對子在較大空間范圍中發(fā)生的的異?，F(xiàn)象的綜合、聯(lián)想能力也是有限的。（三）非線性的特征還沒有有效的識別模型入侵檢測技術(shù)的難度不僅僅在于入侵模式的提取，更在于入侵模式的檢測策略和算法。因為入侵模式是一個靜態(tài)的事物.而現(xiàn)實的入侵活動則是靈活多變的。從技術(shù)上說，入侵技術(shù)已經(jīng)發(fā)展到一定階段，而入侵檢測技術(shù)在理論上、模型上和實踐上還都沒有真正發(fā)展起來。在市場上能看得到的入侵檢測系統(tǒng)也都處在同一水平。面對復(fù)雜的網(wǎng)絡(luò)入侵活動，網(wǎng)絡(luò)入侵檢測技術(shù)的研究不僅僅包括入侵技術(shù)的研究，更要重視建立入侵檢測策略和摸型的理論研究。四、入侵檢測技術(shù)的發(fā)展方向在入侵檢測技術(shù)發(fā)展的同時，入侵技術(shù)也在日新月異。高速網(wǎng)絡(luò)，尤其是交換技術(shù)的發(fā)展以及通過加密信道的數(shù)據(jù)通信，使得通過共享網(wǎng)段偵聽的網(wǎng)絡(luò)數(shù)據(jù)采集方法顯得不足，而大量的通信量對數(shù)據(jù)分析也提出了新的要求.近年對入侵檢測技術(shù)有幾個主要發(fā)展方向:（一）分布式入侵檢測分布式入侵檢測包含兩層含義:一是針對分布式網(wǎng)絡(luò)攻擊的檢測方法;二是使用分布式的方法來檢測入侵攻擊，其關(guān)鍵技術(shù)為檢測信息的協(xié)同處理與入侵攻擊全局信息的提取，傳統(tǒng)的IDS一般局限于單一的主機或網(wǎng)絡(luò)架構(gòu)，對異構(gòu)系統(tǒng)及大規(guī)模網(wǎng)絡(luò)的監(jiān)測明顯不足，同時不同的IDS系統(tǒng)之間不能協(xié)同工作能力.為解決這一問題，需要分布式入侵檢測技術(shù)與通用入侵檢測技術(shù)架構(gòu)。（二）智能化入侵檢測智能化入侵檢測，即使用智能化的方法與手段來進行入侵檢測。利用專家系統(tǒng)的思想來構(gòu)建入侵檢測系統(tǒng)也是常用的方法之一，特別是具有自學(xué)能力及自適應(yīng)能力的專家系統(tǒng)，它實現(xiàn)了知識庫的不斷更新與擴展，使設(shè)計的入侵檢測系統(tǒng)的防范能力不斷增強，具有更廣泛的應(yīng)用前景。入侵方法越來越多樣化與綜合化，盡管已經(jīng)有智能體、神經(jīng)網(wǎng)絡(luò)與遺傳算法在入侵檢測技術(shù)領(lǐng)域應(yīng)用研究，但是這只是一些嘗試性的研究工作，需要對智能化的IDS加以進一步的研究以解決其自學(xué)習(xí)與自適應(yīng)能力。（三）全面的安全防御方案全面的安全防御方案，使用安全工程風(fēng)險管理的思想與方法來處理網(wǎng)絡(luò)安全問題，將網(wǎng)絡(luò)安全作為一個整體工程來處理，從管理、網(wǎng)絡(luò)結(jié)構(gòu)、加密通道、防火墻、病毒防護和入侵檢測等多方位對所關(guān)注的網(wǎng)絡(luò)作全面的評估，然后提出可行的全面解決方案.（四）應(yīng)用層入侵檢測技術(shù)許多入侵的語義只有在應(yīng)用層才能理解，而目前的IDS僅能檢測如Web之類的通用協(xié)議，而不能處理如Lotus-Notes、數(shù)據(jù)庫系統(tǒng)等其他的應(yīng)用系統(tǒng).許多基于客戶、服務(wù)器結(jié)構(gòu)與中間件技術(shù)及對象技術(shù)的大型應(yīng)用，需要應(yīng)用層的入侵檢測技術(shù)保護。（五）互操作性亟待提高目前，IDS的研究基本上還處于各自為政的山大王紛爭時代.不同的IDS之間及與其他安全產(chǎn)品之間的互操作性很差。為了推動IDS產(chǎn)品及部件之間的互操作性，DARPA和IETF入侵檢測工作組分別制訂了CIDF和IDMEF標(biāo)準(zhǔn)，從體系結(jié)構(gòu)、API、通信機制、語言格式等方面規(guī)范IDS.五、入侵檢測系統(tǒng)在銀行中的應(yīng)用（一）銀行網(wǎng)絡(luò)安全分析1.銀行網(wǎng)絡(luò)安全風(fēng)險銀行網(wǎng)絡(luò)上的系統(tǒng)一般包括綜合業(yè)務(wù)系統(tǒng)、清算系統(tǒng)、企業(yè)內(nèi)部網(wǎng)系統(tǒng)等，DDN，X.25，幀中繼、PSTN相互連接在一起，除了部分業(yè)務(wù)系統(tǒng)是通過加密傳輸之外，兒乎沒有其他安全措施，就目前的網(wǎng)絡(luò)結(jié)構(gòu)而言，銀行網(wǎng)絡(luò)系統(tǒng)存在的安全風(fēng)險有以下兒種:（1）缺乏安全認(rèn)證手段銀行各系統(tǒng)的登錄及遠(yuǎn)程操作目前的安全手段是用戶的帳號與密碼，缺乏有效的安全認(rèn)證手段，一旦密碼被盜用，就可以輕而易舉地進入銀行的業(yè)務(wù)系統(tǒng)。（2）銀行外聯(lián)網(wǎng)絡(luò)缺乏安全防護目前各銀行中間業(yè)務(wù)及各種代理業(yè)務(wù)發(fā)展迅速，與外單位聯(lián)網(wǎng)大都是和內(nèi)部網(wǎng)絡(luò)共用同一設(shè)備，內(nèi)外網(wǎng)絡(luò)之間缺乏清晰的界限和隔離手段，這是非常大的安全隱患。（3）缺乏安全審計及監(jiān)控機制對于銀行內(nèi)部員工的違規(guī)操作和惡意侵入沒有有效的監(jiān)控機制。實際上在系統(tǒng)入侵事件中，最大的一部分往往來自于系統(tǒng)內(nèi)部。（4）銀行業(yè)務(wù)系統(tǒng)間缺乏有效的訪問控制措施銀行的各業(yè)務(wù)系統(tǒng)雖然在邏輯上相互隔離，但一般是共用一個物理網(wǎng)絡(luò)，沒有有效隔離，存在安全隱患。（5）銀行業(yè)務(wù)系統(tǒng)面臨Internet黑客攻擊很多銀行已經(jīng)開始或即將開始為客戶提供網(wǎng)上信息服務(wù)和網(wǎng)上銀行業(yè)務(wù)服務(wù)，電了商務(wù)的發(fā)展要求銀行提供網(wǎng)上支付服務(wù)，這樣大量的黑客會蜂擁而入!企圖通過Internet對系統(tǒng)進行攻擊。2.銀行的網(wǎng)絡(luò)安全現(xiàn)狀目前銀行計算機系統(tǒng)的系統(tǒng)級和應(yīng)用級所采用的安全防范措施，主要包括以下方面:（1）在數(shù)據(jù)庫中數(shù)據(jù)存儲的安全性上，銀行的業(yè)務(wù)系統(tǒng)核心數(shù)據(jù)記錄都采用了對關(guān)鍵字段加密形成保護字段，來保證數(shù)據(jù)記錄修改的合法性和防止數(shù)據(jù)的非法篡改;（2）訪問權(quán)限控制:對數(shù)據(jù)庫的訪問，前后臺應(yīng)用系統(tǒng)和操作系統(tǒng)針對不同級別的用戶設(shè)置不同級別的權(quán)限;對計算機后臺主機各種口令的保管、移交和修改等制度;（3）在通訊安全方面，通過支節(jié)點向中心節(jié)點向中心節(jié)點簽到的方式來確認(rèn)通訊對等方的身份，由中心節(jié)點分發(fā)密鑰，并在交易報文的傳輸過程中設(shè)置消息認(rèn)證字段來保證數(shù)據(jù)在傳輸過程中的安全，保證數(shù)據(jù)不至于在數(shù)據(jù)交換和傳輸過程中被非法篡改;對所有本地的交易采用密碼校驗;通過程序設(shè)計來屏蔽非法請求，此外在系統(tǒng)與外部連接都用防火墻和拒絕服務(wù)技術(shù)，禁止外部系統(tǒng)通過網(wǎng)絡(luò)系統(tǒng)提供的服務(wù)訪問到核心系統(tǒng);（4）在應(yīng)用系統(tǒng)運行過程中，采用簽到的方式對操作員的身份進行識別，并根據(jù)操作員的權(quán)限表對操作員進行權(quán)限控制。但應(yīng)用系統(tǒng)建設(shè)中普遍存在設(shè)計不規(guī)范，沒有安全設(shè)計、缺少平臺支持的問題;（二）系統(tǒng)設(shè)計思想入侵檢測系統(tǒng)作為防火墻的合理補充。在銀行網(wǎng)絡(luò)安全防御系統(tǒng)應(yīng)用中提供了主動保護網(wǎng)絡(luò)的作用，它能夠白動探測網(wǎng)絡(luò)流量中可能涉及潛在入侵、攻擊和濫用的模式.入侵檢測同時在很大程度上降低了管理和確保網(wǎng)絡(luò)安全所需要的培訓(xùn)級別和時問，通過這些功能，入侵檢測解決了網(wǎng)絡(luò)總體安全性與策略兼容的大部分難題。從理論上說，入侵檢測系統(tǒng)可以分為基于網(wǎng)絡(luò)的入侵檢測和基于主機的入侵檢測?；诰W(wǎng)絡(luò)的入侵檢測安裝于網(wǎng)絡(luò)信息集中通過的地方，如中心交換機、集線器等上面，對所有通過的網(wǎng)絡(luò)數(shù)據(jù)進行收集、分析，并對攻擊行為做出響應(yīng)。基于主機的入侵檢測安裝于受保護的主機上，收集信息，對主機攻擊行為做出響應(yīng)。但是目前主要的商業(yè)系統(tǒng)大多是混合使用多種技術(shù)，不能簡單地把它們分類為基于網(wǎng)絡(luò)或基于主機，或基于誤用還是基于異常，而且很多系統(tǒng)也不只是具有入侵檢側(cè)和響應(yīng)功能，還具有很強的網(wǎng)絡(luò)管理和網(wǎng)絡(luò)通信統(tǒng)計的功能。（三）銀行入侵檢測系統(tǒng)結(jié)構(gòu)如圖5.1所示的入侵檢測系統(tǒng)。在每個網(wǎng)段和重要服務(wù)器上都安裝了入侵檢測系統(tǒng)，以保護整個銀行系統(tǒng)的安全。為了彌補常規(guī)入侵檢測系統(tǒng)在對抗特定類型的攻擊時所存在的不足，同時在銀行網(wǎng)絡(luò)安全防御系統(tǒng)中配置了基于網(wǎng)絡(luò)安全日志的入侵檢測系統(tǒng)，在保障本單位網(wǎng)絡(luò)不受外來攻擊的情況下，更避免我們的機器成為攻擊者的傀儡主機。圖5.1銀行入侵檢測系統(tǒng)拓?fù)浣Y(jié)構(gòu)如上所示的入侵檢測系統(tǒng)的工作包括信息收集、信息分析和響應(yīng)三部分:1．信息收集入侵檢測系統(tǒng)的第一步工作是信息收集，內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為。而且，需要在計算機網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(不同網(wǎng)段和不同主機)收集信息。信息的來源一般來白四個方面:系統(tǒng)和網(wǎng)絡(luò)日志文件;目錄和文件中的不期望的改變;程序執(zhí)行中的不期望行為，物理形式的入侵信息。2.信息分析對上述四類收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為等信息，一般通過三種技術(shù)手段進行分析:模式匹配，統(tǒng)計分析和完整性分析。其中前兩種方法用于實時的入侵檢測，而完整性分析則用于事后分析。模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)濫用模式數(shù)據(jù)庫進行比較，從而發(fā)現(xiàn)違背安全策略的行為。模式數(shù)據(jù)庫可以不斷的升級，將最新的入侵模式加入到系統(tǒng)，使系統(tǒng)能對最新的入侵做出響應(yīng)。統(tǒng)計分析方法首先給系統(tǒng)對象(如用戶、文件、目錄和設(shè)備等)創(chuàng)建一個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性(如訪問次數(shù)、操作失敗次數(shù)和延時等)。具體的統(tǒng)計分析方法如基于專家系統(tǒng)的、基于模型推理的和基于神經(jīng)網(wǎng)絡(luò)的分析方法等等。完整性分析主要關(guān)注某個文件或?qū)ο笫欠癖桓?，這經(jīng)常包括文件和目錄的內(nèi)容及屬性，它在發(fā)現(xiàn)被更改的、被特洛伊木馬感染的應(yīng)用程序方面特別有效。3.響應(yīng)入侵檢測系統(tǒng)一旦發(fā)現(xiàn)有符合已知的攻擊行為模式或可疑的攻擊行為，就做出響應(yīng)。主要的響應(yīng)方式有:記錄日志;發(fā)出報警聲;發(fā)送電了郵件通知管理員;切斷連接等安全控制入侵檢測系統(tǒng)就是執(zhí)行誤用檢測或異常檢測的系統(tǒng)。銀行入侵檢測系統(tǒng)要能通過實時的檢測，檢查特定的攻擊模式、系統(tǒng)配置、系統(tǒng)漏洞、存在缺陷的程序版本以及系統(tǒng)或用戶的行為模式，監(jiān)控與安全有關(guān)的活動。它主要有探測器、分析器、管理器等兒個部分，各部分間的關(guān)系如圖5.2所示:圖5.2銀行入侵檢測系統(tǒng)結(jié)構(gòu)數(shù)據(jù)源為入侵檢測系統(tǒng)提供最初的數(shù)據(jù)來源，入侵檢測系統(tǒng)利用這些數(shù)據(jù)來檢測入侵。數(shù)據(jù)來源包括網(wǎng)絡(luò)包、審計日志、系統(tǒng)日志和應(yīng)用程序日志等，其中網(wǎng)絡(luò)數(shù)據(jù)包是首要需檢測數(shù)據(jù)。探側(cè)器從數(shù)據(jù)源提取出與安全相關(guān)的數(shù)據(jù)和活動，如不希望的網(wǎng)絡(luò)連接或系統(tǒng)日志中用戶的越權(quán)訪問等，將這些數(shù)據(jù)傳送給分析器做進一步分析。分析器的職責(zé)是對探測器傳來的數(shù)據(jù)進行分析，如果發(fā)現(xiàn)未授權(quán)或不期望的活動，就產(chǎn)生警報并報告管理器。管理器是入侵檢測系統(tǒng)的管理部件，其主要功能有配置探測器、分析器;通知操作員發(fā)生了入侵;采取應(yīng)對措施等。管理器接收到分析器的替報后，便通知操作員并向其報告情況，通知的方式有聲音、E-mail，SNMPTrap等。同時管理器還可以主動地采取應(yīng)對措施，如結(jié)束進程、切斷連接、改變文件和網(wǎng)絡(luò)的訪問權(quán)等。操作員利用管理器來管理入侵檢測系統(tǒng)，并根據(jù)管理器的報告采取進一步的措施.管理員是網(wǎng)絡(luò)和信息系統(tǒng)的管理者，負(fù)責(zé)根據(jù)具體情況制定安全策略和部署入侵檢測系統(tǒng)。安全策略是預(yù)先定義好的一些規(guī)則，這些規(guī)則規(guī)定了銀行網(wǎng)絡(luò)中哪些活動可以允許發(fā)生或者外部的哪些主機可以訪問內(nèi)部的網(wǎng)絡(luò)等。安全策略通過應(yīng)用到探測器、分析器和管理器上來發(fā)揮作用。（四）銀行入侵檢測系統(tǒng)功能該入侵檢測系統(tǒng)的主要功能有:監(jiān)控、分析用戶和系統(tǒng)的活動;核查系統(tǒng)配置和漏洞;評估關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性;識別攻擊的活動模式并向網(wǎng)絡(luò)管理人員報警;對異?；顒拥慕y(tǒng)計分析;操作系統(tǒng)審計跟蹤管理，識別違反政策的用戶活動;評估重要系統(tǒng)和數(shù)據(jù)文件的完整性。該入侵檢測系統(tǒng)采用分布式的體系結(jié)構(gòu)，系統(tǒng)分為兩層:傳感器和管理器。傳感器包括網(wǎng)絡(luò)傳感器、服務(wù)傳感器和系統(tǒng)傳感器三類，其中網(wǎng)絡(luò)傳感器主要是對網(wǎng)絡(luò)數(shù)據(jù)的分析檢測，服務(wù)傳感器主要是對服務(wù)器中進出的網(wǎng)絡(luò)數(shù)據(jù)、系統(tǒng)日志和重要系統(tǒng)文件的檢測，系統(tǒng)傳感器主要是對系統(tǒng)日志和系統(tǒng)文