入侵过程范文(精选4篇)
入侵过程 第1篇
1 入侵检测的概念
入侵检测是网络安全重要的组成部分,是根据一定的安全策略,对网络和系统的运行进行监视,对网络数据包进行综合分析并进行的异常检测,对系统资源的非授权使用做出及时判断和报警,并能够识别入侵者和入侵行为、检测和监视已经成功的入侵,并进行入侵响应。目前已经成为计算机安全策略的核心技术之一。
入侵检测融合数据挖掘的归纳总结能力,以数据为中心,对系统日志和审计数据进行分析,从中抽取规则和知识,自动的构建检测模型,大大的减轻了对系统日志和审计数据进行人工分析的负担。
根据入侵检测系统的应用技术和特点,可将其归纳为以下几类:
1) 基于目标系统的入侵检测系统:包括基于主机和基于网络的入侵检测系统两大类;
2) 基于数据来源的入侵检测系统;
3) 基于入侵检测方法的入侵检测系统:包括异常和误用两大系统;
4) 基于模块运行分布方式的入侵检测系统:包括集中式和分布式两大系统;
5) 基于不同入侵响应处理方式的入侵检测系统:包括主动的入侵检测系统和被动的入侵检测系统。
2 案例推理理论的概念
案例推理(Case Based Reasoning,简称CBR),又称作实例推理。推理机制源自人类在现实生活中解决问题的一般过程。即生活中遇到问题时先在记忆中遍历搜索已经历过的、类似的问题处理过程,从而得到解决办法,若没有找到解决办法,就记录下该问题,生成一个新的条目,并分析判断产生新的解决办法,待问题成功解决后进行记录并生成新的记录。案例推理过程就是采用上述类比的过程,把当前所遇到问题通过以往已经解决的相同或相似案例来作为指导,并将新的问题保存下来作为以后求解指导的案例,从而充实案例库、知识库。但案例库、知识库的不断扩充直接导致检索时间的无限延长,推理效率下降。
3 案例推理过程及其优点
3.1 案例推理的一般过程
案例推理的一般过程包含四个步骤:案例的检索(CASE RETRIEVE)、案例的复用(CASE REUSE)、案例的修正(CASE REVISE)、案例的保存(CASE RETAIN)
案例推理的一般处理过程:
1) 新问题的分析,在遇到问题后首先进行问题的分析,即找出问题的关键特征,以这些特征在已有的案例库中进行检索、匹配,根据检索和匹配的条件得到的匹配结果往往不是唯一的。所以,检索的结果数量应该尽可能的少,并尽量缩短检索、匹配所用的时间。
2) 应用检索、匹配的结果进新问题求解的过程。在上一步检索、匹配到结果后,将新问题与库中原有的案例进行比较,针对二者的异同,直接或间接作用于新问题之上。
3) 案例修正,在问题处理完成后,将处理结果进行指标评价,对上一步检索、匹配并用于新问题求解的案例在用于新问题求解过程中无法得到正确结果,则要根据产生的偏差对所存储的案例进行修正,修正过程要依据实际运行结果的反馈进行。
4) 问题解决后,将该问题生成案例,并将其保存,以充实案例库。
3.2 案例推理机制的优点
1) 案例推理机制依据的是过去以存储的案例,不需要准确的规则和模型;
2) 案例推理机制对方法知识获取过程简单,简单易懂,求解效率高;
3) 案例推理机制有很好的自学习能力,它通过执行案例的修正和案例的保存来扩充案例库,从而实现案例库的有机灵活性。
4 案例推理在网络入侵识别中的应用
将案例推理应用到入侵识别过程的基本思想是将检测到的网络入侵作为新的案例问题进行保存,并开始在案例库中进行检索、匹配,查找与之类似的案例,在得到匹配结果后开始新问题的求解,即比照检索、匹配的结果进行处理。在实际的网络应用中,网络入侵行为均已网络安全漏洞为目标,虽然网络的入侵行为差异性很大,但还是有一定的规律的。网络入侵作为网络行为也要适应相应的网络协议和网络服务类型,这就为检索和匹配提供了直接的依据。即使每次入侵行为的表现及其特征不同,但可以根据相似度进行判断,从而得到检索、匹配的结果。若相似度过低,则认为是新案例,可以将其充实进案例库,若相似度较高,则说明有可参考的同类案例,即检索、匹配成功。
5 案例库的维护
案例库的建立、检索、维护是基于数据库和数据挖掘技术之上的。建库时要科学设定索引关键词,以尽量减少索引时间。在建立索引案例时,要对相同、类似的案例进行标记、处理,避免出现不必要的冗余。但无论是关键词的设定和冗余的避免策略如何应用,随着案例库容量的绝对增加,检索速度还是会有所降低的。所以,要对案例库进行周期性的维护。维护过程主要完成冗余案例的处理、案例的组织管理、不必要案例的删减,以保证案例库始终处于效率较高的规模。通常采用随机删除法、效用度量删除法、选择删除法等。
1) 随机删除法:随机删除法是一种最简单的管理策略,即在案例库维护时随机删减某些案例,以降低案例库的规模,以提高检索效率。随即删除的方法虽然简单,但由于其删除的随机性,容易删除一些重要、常用的案例,反而影响的案例的检索效率。
2) 效用度量删除法:建库时为每个案例建立效用值字段,在案例检索成功是修改效用值,以判断其使用频率,在维护时根据该字段值进行删除。这种方法能够很好的保留常用的案例,但也会删除一些使用频率低但较为重要的案例,导致对这些案例要重新加载、更新,增加库的维护工作量。
3) 选择删除法:选择删除的方法是用户根据相应的指标来进行库的维护。比如在效用度量的选择设置方法上,可以根据进库的历史时间和使用频率综合考虑,也可以比较案例检索的时间花费和匹配代价等。选择删除方法的使用最为灵活,效率也较前两种方法高,但对维护人员的要求较高。若规则设置存在欠缺,则会导致维护过程的缺陷。
6 结束语
入侵检测技术是在网络运行过程中,通过收集网络中的信息并通过过滤检测来发现违反安全策略的入侵行为,在现有网络安全防范体系中,是对防火墙、认证、加密等静态保护机制的补。同时,案例推理过程作为一种基于知识的问题求解和学习方法,在入侵检测过程中引入案例推理机制,可以在检测到入侵行为后进行入侵识别分类,从而为网络管理者提供可靠的、有针对性的入侵响应处理方法。对于案例库的建立和维护,以及案例推理机制,都还需要进一步改进,但案例推理机制在今后的应用领域是一个大的发展方向,有着很好的发展前景。
摘要:伴随着网络的应用普及,网络安全问题也不断表现出来。在防火墙、认证技术等传统安防技术日趋成熟的同时,作为主动防御技术之一的入侵检测技术为网络安全提供了新的有力的支持。在如前检测识别过程中引入基于知识的、有自学习能力的案例推理机制,能够为网络管理者提供可靠的、有针对性的入侵响应处理方法。
网吧入侵过程全方位剖析 第2篇
这网吧还不错.别的网吧都是无盘的或者就是98的.这里98和都有,呵.,搞入侵可方便了……
无意的看到13号坐着两MM,嘻.……入侵也由此开始了,看能不能拿到MM的QQ号……偶也找了一2000系统的机器做下,(偶找了一角落.呵.
这样比较安全点..)
打开偶可爱的CMD..先net name下看看本机情况
WANGLU05USER2000
命令成功完成。
我本机名是WANGLU05.ping下看看IP有无什么规则
Pinging wanglu05 [192.168.0.13] with 32 bytes of data:
Reply from 192.168.0.13: bytes=32 time<10ms TTL=64
Reply from 192.168.0.13: bytes=32 time<10ms TTL=64
Reply from 192.168.0.13: bytes=32 time<10ms TTL=64
Reply from 192.168.0.13: bytes=32 time<10ms TTL=64
IP是改了.记的以前是有一种规则的.比如我5号把.内网IP就是192.168.0.5.
这次MM在13号..IP就不能猜了...不过网吧机器名可是一样的...有路了.
Pinging WANGLU13 [192.168.0.225] with 32 bytes of data:
Reply from 192.168.0.225: bytes=32 time<10ms TTL=128
Reply from 192.168.0.225: bytes=32 time<10ms TTL=128
Reply from 192.168.0.225: bytes=32 time<10ms TTL=128
得到内网IP是192.168.0.225...偶记的以前是存在默认共享的..这次换了网管不知道他有没做防范措施....从这入手....
net use //192.168.0.225/ipc$ “” /user:“” 空连接成功..说明ipc$默认共享还在...
只是没权限...网吧的登陆用户全是一样的.而且密码为空.又让我给钻了空子.
入侵过程 第3篇
关键词:计算机,入侵取证,重构技术
当今时期, 网络技术越发普及, 已经成为人们生活工作中不可缺少的组成部分。由于网络具有开放性特征, 导致用户信息的安全性受到一定的威胁。特别是最近几年, 计算机犯罪情况逐年提升, 严重影响计算机领域的进一步发展。入侵取证技术的出现和发展, 能够有力打击计算机犯罪, 完善计算机网络安全体系。
1 入侵事件重构的证据来源
1.1 系统应用层对象
1.1.1 日志
日志主要是指, 计算机系统中指定对象的程序操作、或者操作结果根据时间而有序排列的文件集合。所有的日志文件, 都具有一定的日志记录, 每天的日志记录都会形成全新的系统事件。基于日志取证的一种模型, 如某次事件被日志提取出来, 被标定成树型结构, 用代数表达式对事件进行表示。可以利用基于时间的、线性、或者动态的公式对模型的属性进行表示, 以此对攻击场景与重构时间序列相互间的关联进行模拟。
1.1.2 注册表
通常情况下, 在计算机系统中的注册表, 蕴含了丰富的数据信息, 主要有用户具体配置信息、用户认证信息、系统配置信息、以及安装应用信息等等。在修改注册表键值时, 都会产生相应的时间戳。注册表的结构, 类似于文件系统, 存储类型信息, 或者为处理数据的名字;键值与目录相似, 是子健和值的父结点。如果注册表中键、键值、或者其他结构被删除, 可以根据键值与值相互间的关系进行恢复。
1.1.3 文件系统
作为操作系统中关键文件的集合, 文件系统主要是对文件内容、文件类型、被访问形式、以及文件执行操作过程等对象的研究。
1.2 操作系统层对象
1.2.1 工具
最具有代表性的工具主要包括Forensix和Back Tracker等。而Back Tracker是一种图形化界面系统, 一般情况下是由于用户执行某件事件序列而产生的;其可以调用系统对象和系统层记录文件。但是, Back Tracker不具备监控内存映射对象的功能。如果入侵者进入系统, 并且获取管理权限, Back Tracker功能将会被终止。
1.2.2 内存取证获取
计算机软件和硬件对于内存取证获取具有重要影响。利用硬件可以对内存获取证据直接进行访问;而利用软件可以根据所系统的函数实现证据的获取。一般情况下, 很多研究人员认为由于硬件是直接操作获取, 所以更加具有可靠性和安全性, 但是事实并非如此。利用硬件和软件相结构的机制, 能够保证证据获取的安全性。
1.2.3 内存证据分析
内存证据分析主要由三个部分组成, 分别是进程分析、文件系统分析、以及系统状态分析。进程分析主要是对系统中已经安装的程序的列表进行列举。系统文件分析指的是利用对进程环境的分析, 对文件的列表、以及由程序引用的dll列表进行检查。
2 入侵事件重构的主要方法
2.1 基于时间戳的日志分析
日志能够对计算机系统行为记录进行详细准确的描述, 如应用程序、操作系统、以及用户行为等等。利用日志, 可以有效实现异常事件的分析、用户行为的检测、以及系统资源流程的监控等等行为。日志文件一般有信息和子系统特有的信息、以及时间戳所构成。时间戳最为关键。通常情况下, 日志分析技术, 都是由时间戳对事件序列进行重构, 但是计算机时钟对时间戳有一定影响, 所有时钟如果受到人为因素、或者环境因素所影响, 将会引发时间戳的功能。
2.2 基于语义的事件重构
语义分析主要是根据结构中的文本, 审查上下文之间的性质关联, 以此确定类型是否相符, 属于一种逻辑阶段。基于语义的事件重构, 针对系统中已经不可逆转的数据对象关系开展分析, 以此对语义之间的关系性质进行检测。
2.3基于操作系统层对象依赖追踪技术的事件重构
此部分的重构系统, 主要是监视系统调用层的对象和事件, 进而获取证据。如这种在一定事件内获取系统状态实现事件重构的一种方法。操作系统通常会在默认的状态下, 对注册表hives文件进行备份, Microsoft Windows Restore Point属于此类文件, 在系统信息目录下保存。通过对数据进行对比, 可以获取行管信息的系统事件时间表;如果比较系统快照间, 能够合理降低事件间的事件跨度。时间间隔越短, 那么可以确定的状态变化越多。
2.4 基于有限状态机模型的事件重构
通过将受到怀疑的电脑构想成有限状态机 (FSM) , 当发生入侵事件后, 入侵行为过后计算机将处于一种特殊状态, 而这一状态下的事件或者场景将可通过逆推回溯方式得到, 通过这种方式实现事件的重构。但FSM中因为回溯过去状态数据量庞大, 状态转换相对困难。而通过确定性有穷状态自动机 (DFA) 则可实现系统的状态转换, 采取简单的表达方式, 将回溯过去状态量大的问题加以解决。DFA中, 状态转换可简化为三者关系, 如图1所示。
3 入侵事件重构的分析
3.1 数据来源比较
系统应用层事件的重构, 有利于证据的获取, 同时也蕴含了一些无用数据信息。此外, 普通的系统日志只是负责记录与执行有关联的对象和事件, 很容易失去记录功能;同时也无法保证证据的可信性。就现阶段来讲, 网络日志对于加密通讯意义不大, 提供的信息也属于系统应用层方面的。而基于操作系统层对象的重构, 利用内存实现系统实时信息、如文件、事件、进程关联、以及系统内存和读写操作等等, 进而实现问题的解决, 最为重要是是其不易被入侵者删除或者篡改。
3.2 入侵事件重构方法比较
由于系统日志、网络日志、以及应用程序日志的存在, 导致时间戳日志分析技术普遍存在。但是存在日志格式繁多、数据量多大等问题, 同时容易出现重构事件序列不准确情况的发生。基于操作系统层对象的依赖追踪技术, 使系统事件重构依赖于操作系统内部的数据结构, 极大提高重构的真实性。不仅保证生成逻辑关系库的真实性和可靠性, 同时提升了工作效率。
4 总结
总而言之, 计算机入侵取证中的入侵事件重构技术, 对于保护用户网络信息安全, 修补安全漏洞, 追踪入侵具有至关重要的影响。在计算机日益普及的当今社会, 计算机犯罪情况越来越猖狂, 计算机入侵取证技术也就越发重要。因此, 行业研究人员务必积极研究, 不断创新技术, 与时俱进, 以此解决不法分子的犯罪行为。
参考文献
[1]季雨辰, 伏晓, 石进等.计算机入侵取证中的入侵事件重构技术研究[J].计算机工程, 2014 (1) :315-320.
[2]钱勤, 张瑊, 张坤等.用于入侵检测及取证的冗余数据删减技术研究[J].计算机科学, 2014, 41 (z2) :252-258.
入侵检测概念、过程分析和布署 第4篇
1、入侵检测的基本概念
入侵检测是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图”(参见国标GB/T18336)。入侵检测是检测和响应计算机误用的学科,其作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行?募际酢=?腥肭旨觳獾娜砑?胗布?淖楹媳闶侨肭旨觳庀低常Intrusion Detection System,简称IDS)。
2、入侵检测系统的发展历史
1980年JamesP.Anderson在给一个保密客户写的一份题为《计算机安全威胁监控与监视》的技术报告中指出,审计记录可以用于识别计算机误用,他给威胁进行了分类,第一次详细阐述了入侵检测的概念。1984年到1986年乔治敦大学的DorothyDenning和SRI公司计算机科学实验室的PeterNeumann研究出了一个实时入侵检测系统模型- IDES(Intrusion Detection Expert Systems入侵检测专家系统),是第一个在一个应用中运用了统计和基于规则两种技术的系统,是入侵检测研究中最有影响的一个系统。1989年,加州大学戴维斯分校的Todd Heberlein写了一篇论文《A Network SecurityMonitor》,该监控器用于捕获TCP/IP分组,第一次直接将网络流作为审计数据来源,因而可以在不将审计数据转换成统一格式的情况下监控异种主机,网络入侵检测从此诞生。
3、系统模型
为解决入侵检测系统之间的互操作性,国际上的一些研究组织开展了标准化工作,目前对IDS进行标准化工作的有两个组织:IETF的Intrusion Detection Working Group(IDWG)和Common Intrusion Detection Framework(CIDF)。CIDF早期由美国国防部高级研究计划局赞助研究,现在由CIDF工作组负责,是一个开放组织。
CIDF阐述了一个入侵检测系统(IDS)的通用模型。它将一个入侵检测系统分为以下组件:事件产生器(Event generators),用E盒表示;事件分析器(Event analyzers),用A盒表示;响应单元(Responseunits),用R盒表示;事件数据库(Event databases),用D盒表示。
图1 CIDF模型结构图
CIDF模型的结构如下:E盒通过传感器收集事件数据,并将信息传送给A盒,A盒检测误用模式;D盒存储来自A、E盒的数据,并为额外的分析提供信息;R盒从A、E盒中提取数据,D盒启动适当的响应。A、E、D及R盒之间的通信都基于GIDO(generalized Intrusion detection objects,通用入侵检测对象)和CISL(common intrusion specification language,通用入侵规范语言)。如果想在不同种类的A、E、D及R盒之间实现互操作,需要对GIDO实现标准化并使用CISL。
4、分类4.1 按照检测类型划分
从技术上划分,入侵检测有两种检测模型:
(1)异常检测模型(Anomaly Detection):检测与可接受行为之间的偏差。如果可以定义每项可接受的行为,那么每项不可接受的行为就应该是入侵。首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵。这种检测模型漏报率低,误报率高。因为不需要对每种入侵行为进行定义,所以能有效检测未知的入侵。
(2)误用检测模型(Misuse Detection):检测与已知的不可接受行为之间的匹配程度。如果可以定义所有的不可接受行为,那么每种能够与之匹配的行为都会引起告警。收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。这种检测模型误报率低、漏报率高。对于已知的攻击,它可以详细、准确地报告出攻击类型,但是对未知攻击却效果有限,而且特征库必须不断更新。
4.2 按照检测对象划分
基于主机:系统分析的数据是计算机操作系统的事件日志、应用程序的事件日志、系统调用、端口调用和安全审计记录。主机型入侵检测系统保护的一般是所在的主机系统。是由代理(agent)来实现的,代理是运行在目标主机上的.小的可执行程序,它们与命令控制台(console)通信。
基于网络:系统分析的数据是网络上的数据包。网络型入侵检测系统担负着保护整个网段的任务,基于网络的入侵检测系统由遍及网络的传感器(sensor)组成,传感器是一台将以太网卡置于混杂模式的计算机,用于嗅探网络上的数据包。
混合型:基于网络和基于主机的入侵检测系统都有不足之处,会造成防御体系的不全面,综合了基于网络和基于主机的混合型入侵检测系统既可以发现网络中的攻击信息,也可以从系统日志中发现异常情况。
5、入侵检测过程分析
过程分为三部分:信息收集、信息分析和结果处理。
(1)信息收集:入侵检测的第一步是信息收集,收集内容包括系统、网络、数据及用户活动的状态和行为。由放置在不同网段的传感器或不同主机的代理来收集信息,包括系统和网络日志文件、网络流量、非正常的目录和文件改变、非正常的程序执行。
(2)信息分析:收集到的有关系统、网络、数据及用户活动的状态和行为等信息,被送到检测引擎,检测引擎驻留在传感器中,一般通过三种技术手段进行分析:模式匹配、统计分析和完整性分析。当检测到某种误用模式时,产生一个告警并发送给控制台。
(3)结果处理:控制台按照告警产生预先定义的响应采取相应措施,可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性,也可以只是简单的告警。
6、IDS部署实例
图2 RealSecure的部署图
图2
为ISS(Internet Security Systems)RealSecure的部署图,RealSecure是一种混合型的入侵检测系统,提供基于网络和基于主机的实时入侵检测。其控制台运行在Windows 2000上。RealSecure的传感器是自治的,能被许多控制台控制。各部分的功能如下:
(1)ReaISecure控制台:对多台网络传感器和服务器代理进行管理;对被管理传感器进行远程的配置和控制;各个监控器发现的安全事件实时地报告控制台。
(2)Network Sensor(网络引擎):对网络进行监听并自动对可疑行为进行响应,最大程度保护网络安全;运行在特定的主机上,监听并解析所有的网络信息,及时发现具有攻击特征的信息包;检测本地网段,查找每一数据包内隐藏的恶意入侵,对发现的入侵做出及时的响应。当检测到攻击时,网络引擎能即刻做出响应,进行告警/通知(向控制台告警、向安全管理员发E-mail、SNMP trap、查看实时会话和通报其他控制台),记录现场(记录事件日志及整个会话),采取安全响应行动(终止入侵连接、调整网络设备配置,如防火墙、执行特定的用户响应程序)。
(3)Server Sensor(服务器代理,安装在各个服务器上):对主机的核心级事件、系统日志以及网络活动实现实时入侵检测;具有包拦截、智能报警以及阻塞通信的能力,能够在入侵到达操作系统或应用之前主动阻止入侵;自动重新配置网络引擎和选择防火墙阻止黑客的进一步攻击。
7、发展趋势
对分析技术加以改进:采用当前的分析技术和模型,会产生大量的误报和漏报,难以确定真正的入侵行为。采用协议分析和行为分析等新的分析技术后,可极大地提高检测效率和准确性,从而对真正的攻击做出反应。协议分析是目前最先进的检测技术,通过对数据包进行结构化协议分析来识别入侵企图和行为,这种技术比模式匹配检测效率更高,并能对一些未知的攻击特征进行识别,具有一定的免疫功能;行为分析技术不仅简单分析单次攻击事件,还根据前后发生的事件确认是否确有攻击发生、攻击行为是否生效,是入侵检测技术发展的趋势。
增进对大流量网络的处理能力:随着网络流量的不断增长,对获得的数据进行实时分析的难度加大,这导致对所在入侵检测系统的要求越来越高。入侵检测产品能否高效处理网络中的数据是衡量入侵检测产品的重要依据。