入侵检测技术在Linux网络系统中的应用研究
开篇:润墨网以专业的文秘视角,为您筛选了一篇入侵检测技术在Linux网络系统中的应用研究范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
【 摘 要 】 随着Linux网络操作系统的普及和发展,其已经在电力通信、金融证券、电子商务等领域得到了广泛的应用,取得了显著的效果。在Linux网络操作系统带来极大优势的同时,潜在的威胁也在加剧,因其自身具有的开放性特征,受到的潜在威胁更大。文章基于多年的Linux系统防御实践经验,详细地介绍了入侵检测技术的应用过程、方法及未来发展趋势,提高linux网络操作系统的防御能力。
【 关键词 】 Linux;入侵检测;网络攻击;智能化
Application of Intrusion Detection Technology in Linux Network System
Zhu Na
(Harbin Vocational & Technical College HeilongjiangHarbin 150081)
【 Abstract 】 With the development and popularization of Linux network operating system, which has been widely used in electric power communication, financial securities, e-commerce and other fields, and achieved significant results. Linux network operating system brings great advantage at the same time, the potential threats has intensified, openness has because of its potential threat, more. In this paper the author years of Linux defense system based on practice experience, detailed introduces the process, method of application and the future development trend of intrusion detection technology, improve the defense ability of Linux network operating system.
【 Keywords 】 linux; intrusion detection; network attack; intelligent
1 引言
随着Linux用户的迅速上升,操作系统使用和管理水平不一,导致Linux操作系统存在潜在的威胁,比如病毒、木马入侵,网络黑客攻击等。因此为了有效防御外界威胁,确保Linux网络操作系统正常使用,可以采用入侵检测技术,收集和分析网络数据中的用户行为、审计数据和安全日志,可以获取网络中是否存在违反网络安全规则的行为,及时发现网络攻击,提高防御能力。本文基于实践经历,详细地分析了入侵检测的过程和方法,阐述了入侵检测技术未来的发展趋势,提高入侵检测技术在Linux系统中应用的有效性。
2 入侵检测过程
在网络管理和服务中,Linux系统能够为用户提供高效稳定的防火墙、路由器、服务器解决方案,并且Linux系统提供了大量的网络管理、分析和安全控制软件,实时监测网络系统运行现状,应用优势非常突出。Linux网络操作系统应用过程中,入侵检测能够提高网络安全防御能力,确保系统正常运行。入侵检测主要包括三个关键步骤,分别是数据采集、数据分析和结果处理。
2.1 数据采集
入侵检测最为关键的工作是采集Linux网络操作系统中传输的数据,主要包括系统的日志文件、目录文件等。入侵检测通常在Linux网络操作系统中,构建不同位置的服务器节点,采集不同时段的数据信息,以便能够扩大检测方位,并且从多个数据源头发现某一种可疑的攻击行为或威胁。目前,入侵检测的数据来源主要包括四个方面,分别是Linux操作系统和网络的日志文件、操作系统中已经发生了意外改变的目录或文件、程序执行过程中不期望的行为、物理形式的入侵数据。
2.2 数据分析
数据分析是入侵检测最为重要的一个步骤,其可以针对数据采集到的操作系统和用户状态和行为采用智能化分析工具进行分析,以便能够及时地发现数据中潜在的攻击行为和威胁。数据分析的基本理论包括三种类别,分别是模式匹配、统计分析和完整性分析。模式匹配和统计分析可以应用到实时的入侵检测过程,完整性分析则主要用于事后数据分析过程。
模式匹配与传统的防火墙防御措施类似,其首先建立一个网络入侵模式或系统误用数据库,然后将采集到的数据信息与数据库已知的攻击行为或威胁的特征进行匹配分析,发现数据中入侵行为。模式匹配的过程可以借助正则表达式或是字符串匹配等技术实现,该方法能够有效降低入侵检测系统负载,准确率和效率较高,但是其需要不断升级,以便应对新的入侵攻击或威胁。
统计分析需要创建一个对象描述规则和相关的测量属性。使用测量属性的平均值与Linux网络系统进行分析和比较,发现网络观察值是否处于正常值的范围。统计分析的优势是能够检测到未知的入侵和复杂的入侵行为,缺点是误报率和漏报率都非常高,如果用户正常行为发生突变,可能也会将其误认为是攻击行为。
完整性分析主要用于入侵事件发生后的数据分析,其关注某个使用对象或文件是否发生篡改。完整性分析可以使用数据加密机制(比如MD5、MDS加密算法)加密文件内容,只要文件发生非常微小的变化,就能够被发现。完整性分析可以很好地检测到文件是否发生了改变,准确地发现攻击,但是其不适用于实时的入侵检测,可以在特定的时间段进行扫描。
2.3 结果处理
结果处理是入侵检测的响应功能,当系统检测到入侵发生时,可以根据预先定义的操作,采取终止进程、重新配置系统、改变文件属性或切断数据传输链接等措施进行处理,确保系统处于安全的状态。
3 入侵检测方法
随着入侵检测技术的快速发展,已经诞生了许多的入侵检测方法,并且这些方法也越来有有效,能够检测出98%的攻击行为和潜在威胁,保证Linux操作系统更加安全有效。Linux操作系统常用的入侵检测方法包括专家系统、遗传算法、神经网络、协议分析、数据挖掘等。
3.1 专家系统
专家系统使用已知的规则语言构建一个入侵检测模型,其可以把审计事件使用推理规则进行描述,在Linux操作系统应用过程中,基于已知的入侵规则,判断数据中是否存在攻击和威胁。专家系统依赖于知识库的完备性,一段时期内,由于攻击技术的快速上升,旧的专家系统可能是无效的。
3.2 遗传算法
遗传算法在入侵检测过程中,可以采用选择复制、交叉、变异等操作,及时地适应网络数据的动态传输,发现网络中新的攻击威胁等,确保Linux操作系统处于一个动态的强化防御管理过程,具有较好的识别作用。
3.3 神经网络
神经网络也是一种具有自适应、自组织和自学习能力的算法,其可以有效地处理复杂信息。在Linux网络入侵检测系统中,神经网络可以检测出未知攻击行为。通过分析审计安全日志、正常的网络访问数据等,提取正常用户的模式特征,将其作为实例进行训练,找出与训练数据不一致的网络数据,判定其为新的攻击行为或潜在威胁数据。
3.4 协议分析
协议分析可以利用网络协议自身拥有的高度规则性,快速地探测网络数据流量中存在的攻击行为,以便能够弥补传统入侵检测技术的不足,解决入侵检测计算量大、漏报率较高的问题。同时,协议分析还可以探测到碎片攻击行为,能够跳过流量中的空字节内容,发出高可靠的警报。
4 入侵检测发展趋势
经过深入研究和快速发展,入侵检测技术已经得到了极大的改进,未来入侵检测技术的发展趋势为分布式、智能化,可以更加灵活地应用在Linux操作系统中,强化Linux操作系统的安全。
4.1 分布式入侵检测
随着分布式管理系统的应用普及,分布式系统架构得到了快速的发展,因此Linux操作系统需要配置分布式入侵检测技术,这已经成为入侵检测技术发展的主要方向。分布式入侵检测技术包括两层含义,一是针对分布式网络攻击进行检测,二是采用分布式检测方法检测分布式攻击。
分布式入侵检测技术的核心是协同处理检测信息与入侵攻击事件,其主要是为了能够解决传统的异构系统之间无法采用单一的入侵检测技术而设置的,分布式入侵检测可以快速地实现收集数据、入侵分析和自动响应等功能,发挥分布式资源的优势。
4.2 智能化入侵检测
随着入侵检测技术的提高,入侵攻击行为也更加隐蔽,难以被发现。因此,需要引入更加智能化和融合化的入侵检测手段,比如集成使用神经网络、模糊数学、遗传算法和免疫原理等,构建纵深层次的入侵检测系统,识别入侵特征,这也是入侵检测系统的重要发展趋势。
5 结束语
随着新时期的到来,Linux网络应用环境发生了日新月异的变化,许多网络攻击行为日趋智能化、利益化、目的化,因此为了能够与时俱进,入侵检测技术也需要得到更多的研究,结合传统的防火墙、杀毒软件等,实现多层次、信息融合的入侵检测防御系统,以便确保Linux操作系统处于安全的状态,确保用户正常使用网络。
参考文献
[1] 黎忠文, 吴成宾, 许晓晨.基于Linux高速报文捕获平台的DDoS入侵检测系统的研究[J].计算机科学, 2014, (4).
[2] 不详. Linux网络系统可能受到的攻击类型[J].计算机与网络, 2013, (20):51-51.
[3] 吴建龙.基于蜂群算法的网络入侵检测模型优化[J].计算机系统应用, 2014, (2).
作者简介 :
朱娜(1983-),女,山东昌邑人,工程硕士,哈尔滨职业技术学院,讲师;主要研究方向和关注领域:计算机网络技术。