非法获取计算机信息系统数据罪-浅析计算机网络安全与入侵检测

非法获取计算机信息系统数据罪-浅析计算机网络安全与入侵检测
【摘要】计算机网络的安全已成为国家与国防安全的重要组成部分,而人侵检测技术是保证计算机网络安全的核心技术之一。本文在研究人侵检测概念的基础上,对人侵检测的过程进行了分析,并进行了分类,提出了人侵检测技术的发展趋势。
【关键词】网络安全、网络攻击、入侵检测

随着网络应用范围的不断扩大,对网络的各类攻击与日俱增,无论政府、商务,还是金融、媒体的网站都在不同程度上受到人侵与破坏。网络安全已成为国家与国防安全的重要组成部分,同时也是国家网络经济发展的关键。据统计信息窃贼在过去年中以250%速度增长,99%的大公司都发生过大的入侵事件。世界著名的商业网站,如yahoo、buy、amazon、CNN都曾被黑客入侵,造成巨大的经济损失,甚至连专门从事网络安全的网站也受到黑客的攻击。因此,现代的网络安全需要有一种更为积极的、有效的动态防御技术来加以保障,而入侵检测技术就是继“防火墙”、“数据加密”等传统安全保护措施之后的新一代安全保障技术。入侵检测技术作为一种积极主动的防御技术,能为系统的安全提供强有力的保护。

一、入侵检测的概念

人侵检测的定义办识别针对计算机或网络资源的恶意企图和行为,并对此做出反应的过程。入侵检测系统简称IDS则是完成如上功能的独立系统。入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前进行拦截和响应入侵,能很好地弥补防火墙的不足,从某种意义上说是防火墙的补充。

二、入侵检测的过程分析

入侵检测的过程分为三部分信息收集、信息分析和结果处理信息收集入侵检测的第一步是信息收集,内容包括系统、网络、数据及用户活动的状态和行为。而且,需要在计算机网络系统中的若干不同关键点不同网段和不同主机收集信息,这除了尽可能地扩大检测范围外,还有一个重要的因素就是从一个来源的信息有可能看不出疑点,但是从几个来源的信息的不一致性却是可疑行为或入侵的最好标识。人侵检测利用的信息一般来自以下四个方面：系统和网络、日志文件、目录和文件中的不期望的改变程序执行中的不期望行为物理形式的入侵信息。
（1）信息分析对上述四类收集到的信息,一般通过三种技术手段进行分析模式匹配、统计分析和完整性分析。其中前两种方法用于实时的入侵检测,而完整性分析则用于事后分析。
（2）结果处理当检测到人侵时,就产生预先定义的响应,也可采取相应的措施,可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性,也可以只是简单的警告。

三、入侵检测的分类

1、基于异常行为的入侵检测
基于异常行为的入侵检测技术则是先定义一组系统“正常”情况的数值,如CBU利用率、内存利用率、文件校验和等这类数据可以人为定义,也可以通过观察系统,并用统计的办法得出,然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况,对用户要求比较高。其优点是具有抽象系统正常行为从而检测系统异常行为的能力,这种能力不受系统以前是否知道这种人侵与否的限制,所以能够检测新的人侵行为。其缺点是若入侵者了解到了检测规律,可使用逐渐改变系统指标的方法逃避检测另外检测效率也不高,检测时间较长。

2、基于特征的入侵检测
基于特征的人侵检测是指将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。该过程可以很简单,如通过字符串匹配以寻找一个简单的条目或指令也可以很复杂,如利用正规的数学表达式来表示安全状态的变化。一般来讲,一种进攻模式可以用一个过程如执行一条指令或一个输出如获得权限来表示。该方法的一大优点是只需收集相关的数据集合,显著减少系统负担,且技术已相当成熟,检测准确率和效率都相当高。但是,该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法,不能检测到从未出现过的黑客攻击手段。

3、基于主机的入侵检测
基于主机的入侵检测系统通常是安装在被重点检测的主机之上,主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。如果其中主体活动十分可疑特征或违反统计规律,就会向系统管理员报警或者做出适当的响应。
（1）主机人侵检测系统的优点主机人侵检测系统对分析“可能的攻击行为”非常有用。举例来说,有时候它除了指出人侵者试图执行一些“危险的命令”之外,还能分辨出入侵者干了什么事他们运行了什么程序、打开了哪些文件、执行了哪些系统调用。
（2）主机人侵检测系统通常情况下比网络入侵检测系统误报率要低,因为检测在主机上运行的命令序列比检测网络流更简单,系统的复杂性也少得多。主机入侵检测系统可部署在那些不需要广泛的入侵检测、传感器与控制台之间的通信带宽不足的情况下。
（3）主机入侵检测系统在不使用诸如“停止服务”、“注销用户”等响应方法时风险较少。
主机入侵检测系统的弱点：
（1）主机人侵检测系统安装在我们需要保护的设备上。举例来说,当一个数据库服务器要保护时,就要在服务器本身上安装入侵检测系统,这会降低应用系统的效率。
（2）主机入侵检测系统的另一个问题是它依赖于服务器固有的日志与监视能力。如果服务器没有配置日志功能,则必需重新配置,这将会给运行中的业务系统带来不可预见的性能影响。
（3）全面部署主机入侵检测系统代价较大,企业中很难将所有主机用主机入侵检测系统保护,只能选择部分主机保护,那些未安装主机人侵检测系统的机器将成为保护的盲点,人侵者可利用这些机器达到攻击目标。
（4）主机入侵检测系统除了监测自身的主机以外,根本不监测网络上的情况。对入侵行为的分析的工作量将随着主机数目增加而增加。