netranger是哪家公司开发的？

已经开发了许多安全机制，但是安全问题仍然受到怀疑和关注。图像电子

商业的这种应用是否会得到全面推广，很大程度上取决于人。

网络环境下学生对信息系统安全的信心。因为已经从理论上证明了不

有一个绝对安全的安全系统，所以一般使用审计跟踪和攻击检测系统。

作为信息系统的最后一道安全防线。

审计信息在早期的中大型计算机系统中收集，建立跟踪文件。

这些审计跟踪的目的主要是为了性能测试或计费，因此攻击检测

测量提供的有用信息较少；另外，主要难点在于审计函。

信息粒度的安排，当审计信息粒度较细，数据过大且过细时，

然而，由于审计跟踪机制提供了大量的数据，所以它将是有用的。

信息源不在其中；所以人工检查没有意义，因为不可行。

对于企图/成功的攻击，不能保证被动审计的检测程度。

。通用审计跟踪可以为攻击检测提供重要信息，如谁。

你运行了什么程序，什么时候访问或修改了那些文件，使用了内存和磁性？

磁盘空间量等。；但是，它也可能会错过部门的重要攻击检测的相关信件。

休息。为了使通用审计跟踪可用于安全目的，如攻击检测，它必须配备

准备自动工具来分析审计数据，以便尽早发现那些可疑事件。

行为线索，发出警报或对策。

(一)基于审计信息的攻击检测技术

1，检测技术分类

为了从大量有时是冗余的审计跟踪数据中提取安全性

有用的信息，基于计算机系统审计跟踪信息的设计和实现。

需要统一自动化的安全分析或检测工具，可以用来筛选出涉及的。

和安全信息。其思想和流行的数据挖掘技术如下。

非常相似。

基于审计的自动分析和检测工具可以离线，这意味着分析工具不能离线

实时处理由审计跟踪文件提供的信息，从而获得计算机系统。

系统是否受到攻击，并提供尽可能多的关于攻击者的信息；

此外，它还可以是在线的，这意味着分析工具实时提供审计跟踪文件。

当出现可疑攻击行为时，系统提供实时

当攻击发生时，警报可以提供有关攻击者的信息，包括

攻击试图指向的信息。

2.攻击分类

在安全系统中，通常至少应考虑以下三种类型的安全威胁:外部

攻击、内部攻击和授权滥用。当攻击者来自计算机系统之外时

叫外攻；攻击者是那些有权访问计算机，但无权访问它们的人。

某些特定的数据、程序或资源被认为是由打算超越其权限使用系统资源的人使用的。

内部攻击，包括伪造者(即使用其他合法用户的身份和密码的人)

秘密用户(即那些故意逃避审计机制和访问控制的用户)

；特权滥用者也是计算机系统资源的合法使用者，有意或无意。

故意滥用他们的特权。

通过审计登录尝试的失败记录，可以发现外部攻击者的攻击企业。

图；通过观察连接到特定文件、程序和其他资源的失败尝试记录，您可以

以便发现内部攻击者的攻击企图，这可以为每个用户单独建立。

将行为模型与具体行为进行比较，以检测和发现造假者；但必须通过审核。

通常很难找到那些有信息的授权滥用者。

基于审计信息的攻击检测尤其难以防范，这就是要有高性能。

特权内部人士的攻击；攻击者可以使用特定的系统权限或音调

避免使用比审核本身更低级别的操作进行审核。对于拥有系统权限的用户

用户需要查看关闭或暂停审计功能的所有操作。

审核的特殊用户或其他审核参数。审查较低级别的工作

能力，比如审核系统服务或者核心系统调用，通常比较难，常见的方法。

工作难度大，需要特殊的工具和操作才能实现。总之，为了防止隐蔽。

秘密内部攻击需要保证技术手段、技术之外的管理手段的有效性

手术需要监控系统内的一些特定指标(如CPU、内存和磁

磁盘活动)，并与正常情况下它们的历史记录进行比较，以便发送。

现在。

3.攻击检测方法

(1)检测隐藏的非法行为

基于审计信息和自动分析工具的离线攻击检测可用于

系统安全管理员报告前一天计算机系统活动的评估报告。

实时攻击检测系统的工作原理是基于用户的历史行为。

基于早期证据或模型的建模和审计系统实时检测用户的意见。

根据系统中维护的用户行为的概率统计模型，系统的使用

监控，当发现可疑用户行为发生时，保持跟踪监控、

记录用户的行为。由斯坦福研究所开发

Ides(入侵检测专家系统)就是一个典型的例子。

基于的实时检测系统。IDES系统可以根据用户以前的历史行为来确定用户。

目前的行为是否合法。系统根据用户的历史行为生成每个用户。

历史行为记录库。IDES更有效的功能是自适应地学习被检测对象。

衡量系统中每个用户的行为习惯。当用户改变其行为习惯时，

这个异常会被检测出来。目前，IDES中实现的监控基于

以下两个方面:一般项目；如CPU使用时间、I/O使用通道和

常见目录的频率、建立和删除、读取、写入、修改和删除文件，以及

来自局域网的行为；具体项目:包括你习惯的编辑器和编译器。

、最常用的系统调用、用户ID的存储以及文件和目录的使用。

IDES不仅可以实时监控用户的异常行为。它还具有加工适应性。

应该是用户参数的能力。在像IDES这样的攻击检测系统中，用户

行为的各个方面都可以作为区分正常和异常行为的标志。

例如，用户通常在正常工作时间使用系统，偶尔会添加

使用该系统的类将被IDES警告。根据这个逻辑，系统可以判断行的用途。

合法或可疑。显然，这个逻辑有“肃反扩/缩”的问题

。当合法用户滥用权利时，IDES是无效的。此方法与相同

Sample适用于检测程序和数据资源(如文件或数据库)的行为

访问行为。

(2)基于神经网络的攻击检测技术。

如上所述，IDES(入侵检测专家系统)类

基于审计统计的攻击检测系统具有一些固有的弱点，因为

用户的行为可能非常复杂，因此您希望精确匹配用户的日历。

历史行为和现在行为都挺难的。

错误的警报通常来自基于审计数据的不准确的统计算法。

或者是不恰当的假设。作为改进策略之一，斯坦福研究中心

h研究所研究组利用并开发了神经网络技术来进行攻击检测。

测量。神经网络可用于解决传统统计分析技术所面临的以下问题。

问题:①难以建立精确的统计分布:统计方法基本上取决于

用户行为的主观假设，如偏差高斯分布；这种假设经常会导致误报警。

引起的。②难以实现方法的通用性:适用于某些用户行为的检测。

措施通常不能应用于其他类型的用户。③算法的实现相对昂贵:由于上述原因

原因有一个，就是基于统计的算法没有针对不同类型用户行为的自我评价。

适应性，所以算法复杂庞大，导致算法实现代价昂贵。

而神经网络技术不存在这个问题，实现的成本比学校系统更难。

在裁剪方面:由于使用统计方法来检测拥有大量用户的计算机系统，它将

我们要保留大量的用户行为信息，导致系统臃肿，难以裁剪。

基于神经网络的技术可以避免这一缺点。根据实时检测的信号，

有效应对，对攻击的可能性做出判断。

目前，神经网络技术提出了基于传统统计技术的攻击检测。

方法的改进方向还不是很成熟，所以传统的统计方法还会继续。

继续发挥作用，而且还依然能为发现用户的异常行为提供可观的参考价格。

值的信息。

(3)基于专家系统的攻击检测技术。

安全检查工作自动化另一个值得关注的研究方向是

是一种基于专家系统的攻击检测技术，即根据安全专家的可疑行为。

分析经验形成一套推理规则，然后在此基础上形成相应的。

专家系统。因此，专家系统自动分析所涉及的攻击操作。

工作。

所谓专家系统，是基于专家经验预先定义的一套规则。

系统。比如某用户连续登录几分钟，失败超过。

三次可以认为是攻击。统计系统中似乎也有类似的规则。

同样，应该注意的是，基于规则的专家系统或推进系统也有它们自己的。

限制，因为作为这种系统基础的推理规则通常是基于已知的。

安全漏洞是经过安排和规划的，对系统最危险的威胁主要有

它来自一个未知的安全漏洞。实现基于规则的专家系统是一门学问。

认识工程问题，其功能随着经验的积累应该能够运用其自学。

学习扩展和修改规则的能力。当然，这样的能力需要在专家的手指里。

可以做到引导和参与，否则也可能导致更多的误报。一个

另一方面，推进机制使系统有可能出现一些新的行为现象。

应对能力(即可能发现一些新的安全漏洞)；另一方面，

攻击可能不会触发任何规则，因此不会被检测到。专家

系统对历史数据的依赖程度一般高于基于统计技术的审计系统。

少，所以系统适应性强，能灵活适应广谱安全。

策略和检测要求。但到目前为止，推理系统和谓词演算的可计算性

问题和成熟的解决方案还有一定的距离。

(4)基于模型推理的攻击检测技术。

攻击者在攻击系统时通常会使用某些行为程序，例如猜测。

密码程序，这个行为程序构成了具有一定行为特征的模型。

根据该模型所表示的攻击意图的行为特征，可以实时检测到。

恶意攻击企图。虽然攻击者不一定是恶意的。使用基于模块的

人们可以为某些行为建立特定的模型，以便进行监控。

取决于具有特定行为特征的特定活动。根据假设的攻击脚本，该系统

系统可以检测非法用户行为。一般来说，为了做出准确的判断，有必要对不同的

攻击者和不同的系统建立特定的攻击脚本。

当有证据表明特定的攻击模式发生时，系统应该收集它。

他的证据证实或否认了攻击的真实性，两者都不能少报攻击的信息。

系统造成实际伤害，要尽量避免误报。

当然，以上方法都不能完全解决攻击检测的问题。

为了加强计算机信息系统的安全程序，最好综合使用各种手段

增加攻击成功的难度，同时根据系统本身的特点辅助更合适的攻击。

罢工检测手段。

4.其他相关问题

为了防止过多无关信息的干扰，用于安全目的的攻击检测。

除审计系统外，测试系统还应配备适合系统安全策略的信息收集器。

或者过滤器。同时，除了依赖来自审计子系统的信息外，还应该充分

使用来自其他信息源的信息。在一些系统中，可以在不同层面取得进展。

审计追踪。例如，一些系统在其安全机制中使用三级审计跟踪。包括

审核操作系统的核心调用行为，审核用户和操作系统接口级行为。

，并审核应用程序的内部行为。

另一个重要的问题是确定攻击检测系统的运行位置。为

为了提高攻击检测系统的运行效率，它可以独立于被监控的系统来布置。

在计算机上进行审计线索分析和入侵检测，既有效率又有效益。

优点，也是安全的优点。

因为监控系统的响应时间对被监控系统的操作完全没有负面影响。

面的影响，也不会受到其他安全相关因素的影响。

简而言之，为了有效地利用审计系统提供的信息，通过攻击检测

防范攻击威胁的措施，计算机安全系统应根据系统的具体情况进行选择。

选择适用的主要攻击检测方法，并有机整合其他可选的攻击检测方法。

测量方法。同时，我们应该清楚地认识到，任何一种攻击检测措施都不能

要想一劳永逸，必须配备有效的管理和组织措施。

(2)攻击检测系统的测试

为了对市场上的攻击检测系统产品进行公正有效的评估

对攻击检测系统进行评估和测试是非常重要的。

对于用户来说，第三方检测报告在采购上很有指导意义。

我国一些单位对此高度重视，做了大量的开创性工作，也

它取得了巨大的成就。美国IDG信息世界测试中心团队开发了一种

这种可以算是基准型测试基准————iwss 16。团队收集了

介绍了几种典型的、公开可用的攻击方法，并将它们组合起来形成。

IWSS16 .IWSS16结合了四种主要的攻击手段:(1)信息搜集攻击。

攻击网络的攻击者通常在正式攻击之前进行试探性攻击。目标是

从系统中获取有用的信息，所以第一类攻击检测的重点是

PING扫描、端口扫描、账号扫描、DNS转换等操作。网络攻击

黑客常用的攻击工具有:Strobe、NS、撒旦(安全A

用于审计网络的管理员工具.使用这些工具

可以获取网络上内容的信息，网络漏洞在哪里等等。

(2)访问攻击

在IWSS16中，集成了一系列破坏性手段来获得对网络的特权访问。

包括许多制造故障的攻击，如发送邮件故障和远程入侵。

Rnet邮件访问协议缓冲区溢出、FTP故障、phf故障等。

。通过这些攻击造成的故障，暴露系统的漏洞，获取访问权限。

(3)拒绝服务攻击

拒绝服务攻击是最难捕捉的攻击，因为它不会留下任何痕迹。

安全管理人员很难确定攻击的来源。因为它的攻击目标是让网络

节点系统瘫痪了，所以这是非常危险的攻击。当然，要捍卫一方是困难的。

总之，拒绝服务攻击是一种比较容易防御的攻击类型。这种攻击

特点是系统在铺天盖地的应用中崩溃；另外，

此外，拒绝服务攻击还可以利用操作系统的弱点，进行有针对性的攻击。

性侵犯。

(4)避免检测攻击

国际黑客已经进入有组织、有计划的网络攻击阶段，美国

政府打算容忍黑客组织的活动，以便将黑客攻击置于一定的控制之下。

系统下，并通过这个渠道获得防范攻击的实际经验。国际黑客组织

编织发展出了许多躲避侦查的技术。然而，魔高一尺道高一丈。

矛与盾并存、交替发展是普遍规律，攻击检测系统的发展

展览的研究方向之一是克服逃跑的企图。

(3)几种典型的攻击检测系统

(1)NAI公司是领先的专业网络安全产品提供商，其攻击检测。

系统产品主要是三个独立的产品:赛博扫描仪和赛博s。

服务器和网络警察网络。

Cybercop Scanner是NAI的网络安全产品之一，其目标是

在复杂的网络环境中检测薄弱环节，赛博扫描仪对Intr非常敏感。

Anet、Web服务器、防火墙等网络安全环节进行全面检查，从而

发现这些安全链接的漏洞，包括众所周知的泄漏。

洞，还有很多不为人知的漏洞。网络警察扫描仪发现了这个。

将网络产品和网络系统中的一些安全漏洞报告给软件供应商和相关组织。

(如先)报告，以便在最大可能范围内尽快解决安全漏洞。

由此带来的危险。Cybercop Scanner特别擅长解决路由器和防火。

壁式过滤程序的安全问题，这方面的成功产品在市场上还不多见。

。这是由Cybercop扫描仪产品中的工具CAPE(自定义Audi)创建的。

Ting分组引擎)。CAPE可以执行非常复杂的协议层。

欺骗和攻击模拟很容易形成适应各种特定网络的特殊网络。

使用工具，不需要太高的编程能力。对于那些希望内部人员解决安全问题的人来说

Cybercop扫描仪无疑是组织和单位测试工具的理想选择。

选择。对于那些有安全问题的咨询公司，因为Cybercop Scanner可以

它也是一个合适的工具，因为它提供了从外部检测网络运行状态。

Cybercop服务器是NAI的网络安全产品之一，其目标是

提供对复杂网络环境中攻击的预防、检测和响应，并可以采用

采取自动对策的工具。Cybercop服务器基于客户机/服务器对。

对整个网络进行测试，建立了一个新的工业标准——多维安全防护。当...的时候

当今网络环境最大的特点就是不可预测性，这是Web服务器的第一道防线。

是防火墙，Web服务器提供HTTP、FTP和其他Web协议，这些协议

它不同于其他标准通道，许多黑客通过这些Web协议绕过防御。

防火墙和其他安全机制的预防。网络警察服务器可以在黑客攻击后成功进入系统

先于系统发现攻击者，并及时报告给系统安全经理。

Cybercop服务器提供实时检测服务。奈是赛博警察

ver采用了“看门狗盒”专利技术，可以实时检测攻击

它可以解决Web服务器异常中断、非法用户试图取代超级用户，

Web服务器的内容被非法修改，非法网络入侵者和非法登录。

等等。Cybercop服务器还可以提供自动对策。在检测到攻击企业后

图后可以自动启动编程对策，比如终止登录过程，终止处理。

过程，页面或电子邮件给网络管理员，重新启动网络服务器，并

生成SNMP陷阱等。Cybercop服务器仍然保留给用户进一步开放。

开发编程接口，可以与其他安全产品形成协作，进一步增加

系统安全强度强。

赛博网络是NAI的网络安全产品之一，其主要功能有

它可以是一只手，在复杂的网络环境中通过循环来监控网络流量。

段保护* * *网络上的共享资源。网络警察网络提供不间断的权利

网络监控和攻击企图的实时报警。赛博网络是

基于审计数据的攻击检测系统对于内部和外部攻击都非常有用。

授权滥用可以给出准确及时的报警；也能识别被攻击的人

系统组件，记录系统活动；捕捉攻击线索等。

赛博网络系统由智能传感器和s。

Ensor分布在全网敏感易受攻击的地方，比如广域连接和拨号。

连接、集中式服务器、特定段等。该产品提供了监控、过滤

和阻断网络流量的规则，可以有效地监控网络和检测

攻击企图，及时发送报警/电子邮件报警，事件记录，还有

向安全管理人员发送页面并采取对策的功能。传感器可以是

根据组织/企业的需要配置信息收集器，以适应系统安全策略。

。

Cybercop可以生成各种形式的报表，包括HTML、ASC文本、

RTF格式和逗号分隔格式。

2)ISS(互联网安全系统)的RealSecure

2.0 for Windows NT是领先市场的攻击检测方案。RealSecu

Re 2.0提供了一个分布式安全架构，多个检测引擎可以监控不同的

并向中央管理控制台报告。控制台和引擎之间的通信可以

128位RSA用于验证和加密。

(3)3)Abirnet公司的Session-wall-3是一种具有广泛功能的安全。

所有产品，包括攻击检测系统的功能。

Session-wall-3提供了监控、过滤和阻止网络流量的定义。

规则函数，所以它的解决方案简洁灵活。

Session-wall-3在检测到攻击后向本地控制台发送警报和电力。

子邮件，事件记录，还具有向安全管理人员发送页面的功能。

举报功能也比较强。

(4)Anzen公司的NFR(Netware飞行记录器)提供了一个

一个网络监控框架，可以有效地执行攻击检测任务。

OEM公司可以基于NFR定制具有特殊用途的攻击检测系统，包括

一些软件公司已经开发了自己的NFR产品。

(5)IBM的IERS系统(互联网应急响应se)

Rvice)由两部分组成；网络巡逻兵探测器和巨石监控中心

。NetRanger检测器负责监控网络上可识别的通信数字签名。

一旦发现异常情况，巨石监控中心的警报就会被激活。