简介:本文首先对计算机网络安全进行了分析,指出了网络安全的主要防护措施以及其不足之处。而入侵检测技术就是有益的补充,然后进一步对入侵检测的技术进行了概述,给出了入侵检测在计算机安全防护中应用的实例,给出了算法框架,以及运行结果。关键词计算机网络;计算机安全;入侵检测;程序开发中图分类号TN915.08文献标识码A文章编号1007-9599(2010)04-0000-02ApplicationofIntrusionDetectioninComputerSecurityProtectionYinXiaogui(GuangzhouUniversity,Software&EngineeringCollege,Conghua510990,China)AbstractThispaperfirstlyanalyzedthecomputernetworksecurity.Itpointedoutthemainnetworksecurityprotectionmeasuresandtheirshortcomings.Intrusiondetectiontechnologyisabeneficialsupplement,Furthermore,itmadeasummariseofintrusiondetectiontechnologyandapplicationexamplesaregivenaboutintrusiondetectionincomputersecurityprotection.Someoperationresultandalgorithmframeworkweredisscussed.KeywordsComputernetwork;Computersecurity;Intrusiondetection;Programdevelopment网络技术,特别是Intenret的发展极大地促进了社会信息化的发展,人们的生活、工作和学习等己经越来越离不开Internet。但是由于Internet本身设计上的缺陷以及其具有的开放性,使其极易受到攻击,给互联网的信息资源带来了严重的安全威胁。一个安全的计算机信息系统至少需要满足以下三个要求,即数据的机密性、完整性和服务的可用性。为了能够实现这种计算机信息系统的安全性,那么计算机安全软件就成了一个必不可少的工具。一、计算机网络安全(一)传统的计算机网络安全手段所以计算机系统的安全问题是一个关系到人类生活与生存的大事情,必须充分重视并设法解决它。如何确保网络系统不受黑客和工业间谍的入侵,已成为企事业单位健康发展所必需考虑和解决的重要问题。一般来说,传统的网络安全技术有(1)功能强大的防火墙。“防火墙”技术是通过对网络作拓扑结构和服务类型上的隔离来加强网络安全的手段。它所保护的对象是网络中有明确闭合边界的一个网块,它的防范对象是来自被保护网块外部的对网络安全的威胁。(2)进行网络的合理分段与隔离控制。网络分段是保证安全的一项重要措施,同时也是一项基本措施,其指导思想在于将非法用户与网络资源相互隔离,从而达到限制用户非法访问的目的。(3)系统的设置与更新。关闭不需要的使用端口,及时的对操作系统漏洞进行更新。(4)木马与病毒防护软件的应用。安装功能强大的杀毒、除木马的软件,并且及时的对病毒库进行更新。它利用从服务器端获取的病毒码信息对本地工作站进行病毒扫描,并对发现的病毒采取相应措施进行清除。(二)传统方式的不足与入侵检测的必要性虽然已经有相当多的成熟技术被应用于增强计算机系统的安全性,但随着新应用特别是基于网络的新服务的层出不穷,这些传统的静态安全保障技术的有效性正受到日益严峻的挑战由于信息安全知识的缺乏及管理上的松懈,再加上没有受过相关信息安全教育的用户数量的激增,各组织中计算机用户的密码通常设置得并不安全,简单的字典攻击就可以成功地破获相当一部分用户的密码,高强度的密码体系常常形同虚设;有效的报文鉴别技术如MDS算法,并没有在广大普通计算机用户中得到广泛使用,加上来自组织内部合法用户的攻击行为,计算机网络中所传输的信息的完整性通常也很成问题;拒绝服务攻击Dos,特别是由众多攻击者协同发动的分布式拒绝服务攻击田Dos,由于其攻击时所带来的巨大的数据流量,可以轻易地使被攻击的网络服务器软硬件系统过载,从而丧失服务能力,极大地威胁着信息系统。入侵检测系统具有比各类防火墙系统更高的智能,并可以对由用户局域网内部发动的攻击进行检测。同时,入侵检测系统可以有效地识别攻击者对各种系统安全漏洞进行利用的尝试,从而在破坏形成之前对其进行阻止。当检测到来自内外网络针对或通过防火墙的攻击行为,会及时响应,并通知防火墙实时阻断攻击源,从而进一步提高系统的抗攻击能力,更有效地保护网络资源,提高防御体系级别。二、入侵检测技术的发展概述入侵检测是提高网络安全性的新方法,其主要目的是检测系统或网络是否遭到攻击,是否有来自内部或外部的攻击者,如果有则应采取一定的反应措施。初期多以基于本机的入侵检测系统为主,即在每一主机上运行一个或多个代理程序。它以计算机主机作为日标环境,只考虑系统局部范围的用户,因此人人简化了检测任务。由入侵检测工具对主机的审计信息进行分析与检测,并报告安全或可疑事件。基于本机的入侵检测技术已经比较成熟,开发出的入侵检测系统也比较多,部分己形成了实用产品,例如IntrusionDetection公司的KaneSecurityMonitor,TrustedInformationSystem公司的Stalk。日前,基于网络的入侵检测系统的商业化产品较多,多为基于网络关键结点(如防火墙、路由器等)进行检测,如Cisco公司的VetRangero基于主机的入侵检测系统需要在所有受保护的主机上都安装检测系统,配置费用高,所以实际应用较多的是网络型的入侵检测系统。但是高带宽网络、交换式网络、VLAN、加密传输的发展都对基于网络的入侵检测造成了很大限制,所以现在主流的基于网络的入侵检测系统是两者结合。基于网络的入侵检测系统的发展主要面向大型网络。目前国内只有少数的网络入侵检测软件,相关领域的系统研究也刚刚起步,与外国尚有差距。三、漏洞扫描与入侵检测协作系统的应用(一)系统的基本原理本文应用漏洞扫描与入侵检测协作系统进行合作,来构建入侵检测系统。系统由中央控制器、用户界面及分布在各个子网中的扫描节点、检测节点组成,每个扫描节点负责扫描自己所在网段的主机及子网,从中发现安全漏洞并提出修补措施,从而避免了防火墙的访问限制,能够获得准确的扫描结果;各检测节点根据本节点的检测策略,对本子网或其它检测节点提供的系统数据进行分析,如果发现入侵,则根据相应的安全策略进行响应。(二)系统设置针对特定的攻击,设置攻击的源IP,端口,及子网掩码,目的IP,端口,及子网掩码,然后选择要拦截或放行的协议类型。每一次设置相当于一条记录,可以设置多条记录,攻击模式库即由这些记录共同构成。设置完攻击模式库后,点击installrule实现库的安装。首先在CMainFrame类的OnRulesAdd()函数接收用户输入,并把设置的规则添加到文档类里面的的m_rules数组里面。(三)截包方案本部分采用应用层截包方案,即在驱动程序中截包,然后送到应用层处理的工作模式。程序工作在内核的话,稳定性/兼容性都需要大量测试,而且可供使用的函数库相对于应用层来说相当少。在应用层开发,调试修改相对要容易地多。在应用层工作,改变了工作模式,每当驱动程序截到数据,送到应用层处理后再次送回内核,再向上传递到IP协议。所以需要看到这样性能影响非常大,效率非常低。不过由于台式机的网络负载相当小,不到100Mbps足以满足要求,尤其是主要用于上网等环境,网络连接的流量不到512Kbps,根本不用考虑性能因素。所以综合考虑各种因素,本部分决定采用应用层的截包方案。在设备程序开发包(DDK)中,微软包含一个新的命名为Filter-HookDriver的网络驱动程序。可以用它建立一个函数来过滤所有所有通过这个接口的流量。System32\drivers目录下的IPFLTDRV.SYS是Microsoft提供的IP协议过滤驱动程序。它允许用户注册自己的IP数据报处理函数。本程序采用DrvFltIp.sys驱动程序实现IP协议过滤。其中回调函数是这类驱程的主体部分。DrvFltIp.sysIP过滤驱动程序使用这个过滤钩子来判断IP数据包的处理方式。(四)中央控制控制管理负责协调控制网络中的扫描节点和检测节点,包括向节点发送控制指令及接收各节点的工作状态;负责对分布到网络上的各节点的数字签名及安全策略的配置;负责各检测节点间的负载均衡,如果某个检测节点的负载较重,则控制管理将该节点的一部任务分配到其它较空闲的检测节点。这里尤其需要进行通信管理,通信管理主要提供控制管理、数据融合与底层各个扫描节点、检测节点的通信通道。具体说来,控制管理可以通过通信管理给检测节点下达控制指令,同时通信管理也将各节点的执行情况返回给控制管理;数据融合可以通过通信管理要求底层节点提供更多的事件记录信息,同时,通信管理负责将返回的记录提交给数据融合模块进行分析。通信管理负责中央控制器与各扫描节点、检测节点之间的认证,并采用通信加密体制完成信息和消息的传送。系统运行界面如下图所示。参考文献1白以恩.计算机网络基础及应用M.黑龙江哈尔宾工业大学出版社,20032韩东海,王超,李群.入侵检测系统实例剖析M。北京清华大学出版社,20023FISKM,VARGHESEG.AnAnalysisofFastStringMatchingApplied,toContent-BasedForwardingandIntrusionDetectionR).UniversityofCalifornia-SanDiego,2002.作者简介尹晓桂(1972-),男,江西,中教一级,研究方向,软件工程与开发,广州大学华软软件学院。
简介:本文首先讨论了数据挖掘技术,给出了一种企业决策系统。并就决策系统的构成、流程和采用的数据挖掘技术进行了探讨。关键词数据挖掘;数据仓库;企业决策系统中图分类号N37文献标识码A文章编号1007-9599(2010)04-0000-01ResearchofDataMiningTechnologyinBusinessDecision-makingSystemShiDongsheng(InnerMongoliaUniversity,Information&EngineeringTechnologyCollege,InnerMongolia,Baotou014010,China)AbstractThispaperdiscussesdataminingtechnology,presentsabusinessdecisionsystem.Decision-makingsystemoncomposition,processanduseofdataminingtechniquesarediscussed.KeywordsDatamining;Datawarehouse;Businessdecision-makingsystem随着计算机管理信息系统的飞速发展和广泛应用,企业生产经营的自动化水平不断提高,大大提高了工作效率。但企业业务系统运行所产生的大量原始数据是企业生产经营活动的真实记录,不能为本企业加以有效的统计、分析及评估,无法将这些数据转换成企业有用的信息、为企业战略决策提供参考和支持。数据挖掘正是在这样的应用需求环境下产生并迅速发展起来的,它的出现为智能地把海量数据转化为有用的信息和知识提供了新的思路和手段,设计开发基于数据挖掘的企业决策系统是合理解决这一问题,提升企业综合竞争力的最佳对策。一、数据挖掘技术数据挖掘,是指从大量的、不完全的、有噪声的、模糊的、随机的数据中,提取隐含在其中的、人们不知道的、但又是潜在有用的信息和知识的过程。它是数据库研究中的一个新领域,融合了数据库、人工智能、机器学习、统计学等多个领域的理论和技术,把人们对数据的应用从低层次的查询,提升到从数据中挖掘知识,提供决策支持的层级。数据挖掘一般由数据准备、挖掘操作、结果表达和解释三个主要阶段组成。在数据准备阶段应集成多个运作数据源中的数据,解决语义模糊性、处理遗漏数据、清洗脏数据。挖掘阶段是一个假设产生、合成、修正和验证传播的过程,也是上述三个阶段的核心。结果表达和解释阶段根据最终用户的决策目的把提取的有用信息正确地表达出来。数据挖掘的方法和技术可大致划分为三类统计分析、知识发现、可视化技术等。统计分析用于检查异常形式的数据,然后利用统计模型和数学模型来解释这些数据,统计分析方法是目前最成熟的数据挖掘工具。而知识发现则着眼于发现大量数据记录中潜在的有用信息或新的知识,属于所谓“发现驱动”的数据挖掘技术途经。知识发现常用的方法有人工神经网络、决策树、遗传算法、模糊计算或模糊推理等。数据质量、可视化数据的能力、极大数据库尺寸、数据挖掘者的技能、数据的粒度都是影响知识发现方法的重要因素。可视化技术则采用直观的图形方式将信息模式、数据的关联或趋势呈现给决策者,决策者可以通过可视化技术交互式地分析数据关系。二、基于数据挖掘的企业决策系统数据挖掘面对的是经初步加工的数据,使得数据挖掘更专注于知识的发现;而数据仓库用于完成数据的收集、集成、存储、管理等工作,两者必须有机结合起来使用。基于数据挖掘的企业决策系统主要由数据库、数据仓库、数据仓库管理模块、知识库、知识发现模块、数据挖掘工具、人机交互模块构成(如下图所示)。系统的输入主要源于经过初步处理的数据库数据以及存储在知识库中的历史知识和经验;数据仓库管理模块用于数据仓库的建立以及数据的筛选操作;知识发现模块控制并管理知识发现过程,它将数据的输入和知识库中的信息用于驱动数据选择过程、知识发现引擎过程和发现的评价过程;人机交互模块通过自然语言处理和语义查询在用户和系统之间提供相互联系的集成界面。数据挖掘工具用于完成实际决策问题所需的各种查询检索工具、多维数据的联机分析分析工具等,以实现决策支持系统的各种要求。数据挖掘主要提供了以下几种模式(一)分类模式根据数据的值从树根开始搜索,沿着数据满足的分支往上走,直到树叶确定类别。(二)回归模式回归模式与分类模式相似,区别在于分类模式的预测值是离散的,而回归模式的预测值是连续的。(三)时间序列模式根据数据随时间变化的趋势预测将来的值。只有充分考虑时间因素,利用现有数据随时间变化的一系列的值,才能更好地预测将来的值。(四)聚类模式把数据划分到不同的组,组之间的差别尽可能大,组内的差别尽可能小,进行聚类前并不知道将要划分成几个组和什么样的组。(五)关联模式利用数据项之间的关联规则。(刘)和概念描述和比较操作把具有共同性的数据做汇总操作,从而得到一个具有一般性的规则描述。在实际应用中,可以根据具体情况采用不同模式组合,达到最优化的数据挖掘方式。在用户使用该系统时,首先需要通过分析决策需求,描述和表示决策的问题,确定数据来源,即可建立数据仓库;其次针对所要发现的任务的所属类别,设计或选择上述有效的数据挖掘算法并加以实现,从平凡的历史数据中提出综合数据,独立存储为库文件,作为更高一层数据挖掘对象;同时测试以评价所发现的知识,对知识进行一致性、效用性处理。最后根据最终用户的要求,建立适用于决策支持的数据仓库的集成界面和应用程序,使用户能在决策支持中运用所发现的知识。对于该系统的执行,每个步骤包含了循环和反复,可以对发现的知识不断求精、深化,并使其易于理解。三、结论总之,数据挖掘技术可以使其应用者由原来通过定期的、固定的报表进行定性的分析而上升到实时的、动态的各种形式的图表进行定量的分析,从而可以敏感地发现市场的微小变化并迅速做出反应,为企业在激烈的市场竞争中立于不败之地提供了强有力的工具。参考文献1范明,孟小峰.anjiawei,etal.数据挖掘概念与技术M.北京机械工业出版社,20072李捷.基于数据仓库和数据挖掘的企业决策支持系统研究J.科技经济市场,2006,73范丽霞,张雪兰.利用数据仓库和数据挖掘实现电信决策支持系统J.计算机与现代化,2005,8