1、网络信息安全关键技术研究网络信息安全关键技术研究网络信息安全关键技术研究李逸波,朱爱红, 李连(海军航空工程学院,烟台,264001)摘 要: 本文对网络信息安全的内容、安全模型、安全机制、虚拟专用网、公开密钥基础设施、入侵检测系统等做了介绍,着重讨论了入侵检测系统的分类及其目前常用的检测技术。关键词: 网络信息安全;安全机制;虚拟专用网;入侵检测系统0引言随着网络应用的高速发展,计算机网络已经深入到社会生活的每一个领域。在为社会发展带来强大推动力的同时,网络信息安全问题已经成为影响网络发展的重要问题。由于计算机网络具有联结形式多样性、终端分布不均匀性、网络开放性和互联性等特征,致使网络易受黑
2、客和其它不轨行为的攻击,它在为人们带来极大的快捷和便利的同时,也给人们带来了巨大的风险。计算机网络信息安全已经涉及到国家安全与主权的重大问题,并已成为崭新的学术领域。1计算机信息网络安全的管理模型计算机信息网络安全的管理模型应包括四部分,如图1所示。在这个模型中,检测模块用于发现各种违反系统安全规则的入侵行为,调查模块将检测模块所获得数据加以分析并确认当前所发生的有关入侵企图,事后分析模块分析如何抵制类似入侵行为。随着系统脆弱性评估及入侵检测工作的深 首先,要充分利用数据库管理系统提供的数据完整性的约束机制和各种输入数据的“引用完整性约束”设计,以便保证数据完整、准确的输入和储存。其次,在数据
3、传输过程中可视情况选用相应的数据校验方式对传输数据进行校验检查。如在发送的消息中加入一个鉴别码并经加密后发送给接收者。 完整性的另一用途是提供不可抵赖服务。当信息源的完整性可以被验证却无法模仿时,收到信息的一方可以认定信息的发送者。数字签名就可以提供这种手段。235权利控制和访问控制 权利管理和存取控制是主机系统必备的安全手段。 系统根据正确的认证,赋予某用户适当的操作权利,使其不能进行越权的操作。在正确认证的前提下,系统应给正确的用户予正确的存取控制能力和限制。权利控制一般采用角色管理办法,针对系统需要定义各种角色,如经理、会计等,然后对他们赋予不同的执行权利。4虚拟专用网(VPN)虚拟专用
4、网技术,就是指利用现有的不安全的公共IP网络,构建具有安全性、独占性并自成一体的虚拟网络。简单地说,一个 VPN 就是利用基于公共基础设施建设的公开网络的数据传输能力(比如因特网)、借助相关安全技术和手段实现的、能够提供安全、可靠、可控的保密数据通信的一条安全通道。因为是在公共网络上搭建起来而在逻辑上属于私有的专用安全通道,所以被称为虚拟的。 现代VPN已经不再停留在仅仅采用认证和加密手段在公网上建立起一条保密逻辑信道这一初级概念的阶段,现代VPN更强调灵活性和可伸缩性。不但要保证虚拟专用网内部数据通信的安全和畅通,而且也需要和采用VPN的集团(政府机关、企业、部门)的战略合作伙伴以及各种客户
5、之间保持畅通、高效、安全的联系渠道。怎样使VPN这种先进安全技术能够很好地融合到企业原有的安全和管理机构中去,是在系统实施前必须要慎重考虑的问题。CA认证中心是再进一步考虑建设的其他的相关安全设施。5公开密钥基础设施 PKIPKI是一个为综合数字信息系统提供广泛需要的公开密钥加密和数字签名服务的基础设施,它的目标是管理密钥和证书,能够跨越各种广泛的应用提供加密和数字签名服务。PKI的基本机制是定义和建立身份认证和授权技术,然后分发、交换这些技术,在网络之间解释和管理这些信息。PKI对数据加密、数字签字、防抵赖、数据完整性以及身份鉴别所需的密钥和认证实施统一的集中化管理,支持电子商务、电子政务的
6、参与者在网络环境下建立和维护平等的信任关系,保证网上信息交换的安全。 36入侵检测系统(IDS)IDS是用于计算机信息网络的实时入侵检测、报警、响应和防范系统。它集成了多种入侵检测技术,将分布式技术和知识发现技术精巧地结合起来,提供实时的安全监控和检测;一旦发现具有恶意的攻击行为,可以向系统管理员报警,并根据预先制定的安全策略对攻击行为做出响应。 按照检测的范围分:分为基于主机的检测和基于网络的检测。 按照检测系统所分析的原始数据分:可分为来自系统日志和网络数据包。 按照具体的检测方法分:可分为基于行为的检测和基于知识的检测。 按照现有实用系统的运行特性分:分为实时检测和周期性检测。 按照检测
7、入侵行为后是否做出相应措施分:分为主动型和被动型。图 2 入侵检测系统分类图61基于行为的检测 基于行为的检测也称异常检测,是指根据使用者的行为或资源使用状况的正常程度来判断是否有入侵。即建立一个被测系统正常行为的参考库,通过与当前行为比较来寻找偏离参考库的异常行为。例如: 如果一般在正常上班时间使用计算机的用户突然在午夜注册登录,则被认为是异常行为,有可能是某入侵者在使用。基于行为的具体检测方法大致有以下2种: 概率统计方法 是基于行为的入侵检测中应用最早也是最多的一种方法。检测器根据用户对象的动作为每个用户都建立一个用户特征表,通过比较当前特征与已存储定型的以前特征来判断是否是异常行为。
8、用户特征表根据审计记录情况要不断地更新。描述特征变量诸如:CPU的使用、I/0的使用、使用地点及时间、邮件使用、编辑器使用、编译器使用、所创建、删除、访问或改变的目录及文件以及网络活动等具体操作。特征值由系统根据审计数据周期性地产生。这种方法最大的优越性在于能应用成熟的概率统计理论。不足之处是:1)统计检测对事件发生的次序不敏感,也就是说,完全依靠统计理论可能漏检那些利用彼此关联事件的入侵行为。2)定义是否入侵的判断阀值比较困难。阀值太低则漏检率提高,阀值太高则误检率提高。 神经网络方法 神经网络应用于入侵检测是近几年才发展起来的,用于检测的神经网络是一种算法。其基本思想是:用一系列信息单元(
9、命令)训练神经单元,使得在给定一组输入后,可以预测出输出。与统计理论相比,神经网络更好地表达了变量间的非线性关系,并且能自动学习并更新。62基于知识的检测基于知识的检测也称违规检测,是指运用已知攻击方法,根据已定义好的入侵模式,通过判断这些入侵模式是否出现来检测。因为很大一部分的入侵是利用了系统的脆弱性,通过分析入侵过程的特征、条件、顺序以及事件间的关系可以具体描述入侵行为的迹象,只要部分满足这些入侵迹象就意味着可能有入侵发生。基于知识的检测方法大致有三种:专家系统、模型推理、状态转换分析。专家系统面临的主要问题是: 全面性问题和效率问题。要科学地从各种入侵手段中抽象出能规则化的知识是困难的。
10、从审计数据中提取产生式规则也不容易,尤其是审计数据有时并不能完全提供检测所需的信息。对某个具体漏洞的应用方法可能千变万化,因此规则库不一定能包括所有的可能性。在效率方面,专家系统在运行时需要分析所有的审计数据,因此处理数据量相当大。另外,如何在大型系统上获得实时连续的审计数据也是个问题。模型推理是指通过入侵模型推理出入侵行为是否出现。 状态转换分析是将状态转换图应用于入侵行为的分析,将入侵过程看作一个行为序列,这个行为序列导致系统从初始状态转入被入侵状态。分析时首先针对每一种入侵方法确定系统的初始状态和被入侵状态,以及导致状态转换的转换条件,即导致系统进入被入侵状态必须执行的操作(特征事件),
11、然后用状态转换图来表示每一个状态和特征事件。这些事件被集成于模型中,所以检测时不需要一个个地查找审计记录。但是,状态转换是针对事件序列分析,所以不善于分析过分复杂的事件,而且不能检测与系统状态无关的入侵。7结语本文着重介绍了信息网络的安全模型、安全机制、虚拟专用网和入侵检测系统等方面的内容。其中入侵检测系统(lDS)是今后网络信息安全研究的热点。未来lDS技术将向层次化、智能化发展。未来的IDS应当能够在网络协议的不同层次上对入侵进行检测和报警。还应借鉴其他领域的研究成果,如专家系统、神经网络 、免疫系统 、基于代理技术的检测 、数据挖掘 、判定树、混沌分类系统、可能性推理模型等,以增强IDS系统自身的健壮性和自适应能力。参考文献:1公安部公共信息网络安全监察局.计算机信息系统安全M.北京:群众出版社,20012徐超汉.计算机网络安全与数据完整性技术M.北京:电子工业出版社,19993William Stallings.网络安全要素应用与标准M.北京:人民邮电出版社,2000