入侵检测是对防火墙的合理补充或补偿,处于防火墙之后对网络活动进行实时检测,从系统(网络)的关键点采集信息并分析信息,察看系统(网络)中是否有违法安全策略的行为,保证系统(网络)的安全性,完整性和可用性。[1]它是帮助系统对付网络攻击的积极防御技术,扩展系统管理员的安全管理能力,提高信息安全基础架构的完整性。
二、入侵检测的系统功能构成
一个入侵检测系统的功能结构至少包含事件提取、入侵分析、入侵响应和远程管理四部分功能。
三、入侵检测的技术分类
1.基于网络的入侵检测系统
基于网络的入侵检测系统通过分析主机之间网线上传输的信息来工作的,它一般是利用一个工作在“混杂模式”下的网卡来实时监视并分析通过网络的数据流。在Internet中,任何一台主机发送的数据包,都会在所经过的网络中进行广播,也就是说,任何一台主机接收和发送的数据都可以被同一网络内的其他主机接收。在正常设置下,主机的网卡对每一个到达的数据包进行过滤,只将目的地址是本机的或广播地址的数据包放入接收缓冲区,而将其他数据包丢弃,因此,正常情况下网络上的主机表现为只关心与本机有关的数据包,但是将网卡的接收模式进行适当的设置后就可以改变网卡的过滤策略,使网卡能够接收经过本网段的所有数据包,无论这些数据包的目的地是否是该主机。网卡的这种接收模式被称为混杂模式,目前绝大部分网卡都提供这种设置,因此,在需要的时候,对网卡进行合理的设置就能获得经过本网段的所有通信信息,从而实现网络监视的功能。在其他网络环境下,虽然可能不采用广播的方式传送报文,但目前很多路由设备或交换机都提供数据报文监视功能。
2.基于主机的入侵检测系统
基于主机的入侵检测系统是比较早期的入侵检测系统结构,它的检测目的主要是主机系统和系统本地用户,检测原理是根据主机的审计日志信息发现不正常的事件,检测系统可以运行在被检测的主机上,还可以运行在单独的主机上。
检测系统设置以发现不正当的系统设置和系统设置的不正当更改对系统安全状态进行定期检查以发现不正常的安全状态。
基于主机日志的安全审计,通过分析主机日志来发现入侵行为。基于主机的入侵检测系统具有检测效率高,分析代价小,分析速度快的特点,能够迅速并准确地定位入侵者,并可以结合操作系统和应用程序的行为特征对入侵进行进一步分析。[3]目前很多是基于主机日志分析的入侵检测系统。基于主机的入侵检测系统存在的问题是:首先它在一定程度上依赖于系统的可靠性,它要求系统本身应该具备基本的安全功能并具有合理的设置,然后才能提取入侵信息;即使进行了正确的设置,对操作系统熟悉的攻击者仍然有可能在入侵行为完成后及时地将系统日志抹去,从而不被发觉;并且主机的日志能够提供的信息有限,有的入侵手段和途径不会在日志中有所反映,日志系统对有的入侵行为不能做出正确的响应,例如利用网络协议栈的漏洞进行的攻击,通过ping命令发送大数据包,造成系统协议栈溢出而死机,或是利用ARP欺骗来伪装成其他主机进行通信,这些手段都不会被高层的日志记录下来。在数据提取的实时性、充分性、可靠性方面基于主机日志的入侵检测系统不如基于网络的入侵检测系统。[4]
四、入侵检测的技术发展方向
如今,入侵检测系统的技术发展方向有以下几个:
1.分布式入侵检测与通用入侵检测架构
传统的IDS一般局限于单一的主机或网络架构,对异构系统及大规模的网络的监测明显不足。同时不同的IDS系统之间不能协同工作能力,为解决这一问题,需要分布式入侵检测技术与通用入侵检测架构。[5]
2.应用层入侵检测
许多入侵的语义只有在应用层才能理解,而目前的IDS仅能检测如WEB之类的通用协议,而不能处理如LotusNotes、数据库系统等其他的应用系统。[6]许多基于客户、服务器结构与中间件技术及对象技术的大型应用,需要应用层的入侵检测保护。
3.智能的入侵检测
入侵方法越来越多样化与综合化,尽管已经有智能体、神经网络与遗传算法在入侵检测领域应用研究,但是这只是一些尝试性的研究工作,需要对智能化的IDS加以进一步的研究以解决其自学习与自适应能力。
入侵检测技术作为一种主动的安全防护技术,对网络系统的安全提供全方位的保护。但是,由于网络技术的快速发展以及目前检测方法还不是十分有效,因此,在以后相当长的一个时期内,入侵检测系统仍会是网络信息安全领域内的一个相当重要的研究课题,其主要目标还是尽量降低以至消除误报和漏报。
参考文献:
[1]刘奇有,程思远.浅谈网络入侵检测技术[J].电信工程技术与标准化,2000(1):65-68.
[2]王玉梅,张常有,尹士闪.网络入侵检测技术研究[J].软件导刊,2007(10):117-118.
[3][美]RebeccaGurleyBace.入侵检测[M].人民邮电出版社,1991.
[4]王凤英,程震.网络与信息安全[M].北京:中国铁道出版社,2006.
[5]朱艳萍,杨意飞.基于人工免疫的入侵检测技术研究[J].软件导刊,2008(4):75-76.
2入侵检测技术分类
(2)从数据分析手段看
相比较而言,滥用入侵检测比异常入侵检测具备更好的确定解释能力,即明确指示当前发生的攻击手段类型,另外,滥用入侵检测具备较高的检测率和较低的虚警率,开发规则库和特征集合相对于建立系统正常模型而言,要更容易、更方便。但是,滥用入侵检测只能检测到已知的攻击模式,模式库只有不段更新才能检测到新的攻击类型。而异常检测的优点是可以检测到未知的入侵行为,尽管可能无法明确指示是何种类型。从现有的实际系统来看,大多数都是基于滥用入侵检测技术,同时也结合使用异常入侵检测技术,提高了检测率并降低了虚警率。
3数据库系统的安全
数据库系统的安全框架可分为三个层次:网络系统层次、宿主操作系统层次和数据库管理系统层次。由于数据库系统在操作系统下都是以文件形式进行管理的,因此入侵者可以直接利用操作系统的漏洞窃取数据库文件,或者直接利用OS工具来非法伪造、篡改数据库文件内容。因此,数据库系统的安全性很大程度上依赖于数据库管理系统。如果数据库管理系统安全机制非常强大,则数据库系统的安全性能就较好。根据数据库安全的三个层次,笔者提出了一个数据库入侵检测系统,其外层用基于网络的入侵检测,中间层用基于主机的入侵检测,内层采用入侵容忍。此系统采用系统整体安全策略,综合多种安全措施,实现了系统关键功能的安全性和健壮性。
4数据库入侵检测技术
数据库入侵检测系统的研究与设计借鉴了针对网络和针对主机的入侵检测技术,在此基础上,又考虑了数据库自身的特点。按照检测方法分为:误用检测和反常检测。
(1)数据库误用检测
误用检测是指将已知的攻击特征存储在误用特征知识库里面,然后根据用户的当前操作行为与知识库里的误用入侵规则进行匹配检验,如果符合知识库中的入侵特征,则说明发生了入侵。误用特征知识库中的入侵规则由安全专家定义,可以随时添加、修改,然后保存在知识库中,用来对审计数据进行匹配比较。误用检测的优点是检测的准确率高,缺点是只能对已知的攻击特征进行匹配检验,对未知的攻击类型无法发现,而对未知攻击类型的检测要依靠异常检测。所以,误用检测常常与异常检测结合起来使用。
(2)数据库反常入侵检测
反常检测是指将用户正常的习惯行为特征存储在特征数据库中,然后将用户当前行为特征与特征数据库中的特征进行比较,若两者偏差足够大,则说明发生了反常。这种方法的优势在于它能从大量数据中提取人们感兴趣的、事先未知的知识和规律,而不依赖经验,应用在基于数据库的入侵检测系统中,可以从大量的数据中发现有助于检测的知识和规则。
[1]唐正军.入侵检测技术导论[M].机械工业出版社,2004.
[2]戴英侠,连一峰,王航.系统安全与入侵检测[M].清华大学出版社,2002.
[3]玄加林,才书训.入侵监测系统现状与展望[J].计算机时代,2005,8.
[4]李新远,吴宇红,狄文远.基于数据发掘的入侵检测建模[J].计算机工程,2002,2.
[5]胡昌振.网络入侵检测原理与技术[M].北京理工大学出版社,1996.
关键词:
计算机数据库;入侵检测技术;分析
随着当前互联网技术的不断发展,人们的生活已经进入到计算机时代,各种信息的传递和应用,凸显了网络技术无可比拟的优越性。但是,任何事物都有优缺点,互联网技术也存在安全问题。由于计算机网络是一个开放的、自由的平台,其在使用过程中也存在巨大的安全隐患,黑客的存在使得计算机数据库的安全问题成为当前保护计算机网络安全急需解决的首要问题。
一、防范计算机数据库入侵的重要性
所谓的计算机数据库保护,就是通过建立一种入侵检测技术,及时发现系统可能存在的漏洞,然后针对这些漏洞查明原因,再根据具体的问题提出解决的措施,以及时应对出现的问题。数据库作为计算机系统的核心部位,关系到对整个信息的保护与整理,关系到国家、集体和个人的利益问题。当前,由于黑客的存在使得计算机信息的保密性、安全性、可靠性问题受到巨大的挑战,如果计算机数据库遭到黑客入侵,将会带来巨大的损失。所以,在经济、科技高速发展的今天,随着社会各方面竞争的不断加剧,如何尽最大可能保护整个信息系统的安全,关系到一个社会文化、经济等的健康、快速发展。
二、计算机数据库入侵检测技术的功能
三、计算机数据库入侵检测技术存在的问题
相比于国外发达国家而言,我国在计算机数据库入侵检测技术领域的研究起步比较晚,现阶段我国的计算机数据库入侵检测技术研究仍处于初始阶段,发展速度比较缓慢,检测系统也不完善,很多高新技术还处于理论研究阶段,难以发挥实际的作用。目前,我国计算机数据库入侵检测技术还存下述几个方面的问题。
1.误报率比较高。计算机数据库作为计算机系统的核心部位,包含了大量的计算机信息资源,不仅信息量巨大,而且内容复杂、分类繁琐。在对这些信息进行保护或者是检测的过程中,仅仅是单纯依靠防火墙将很难达到理想的效果。现有的检测技术不能正确的将可能出现的问题完全检测出来,例如对于一些比较隐蔽的问题,没有通过检测技术找出来;对于一些正确的、安全的信息被认为是具有攻击性的、来自外部的信息,这些都有可能影响检测系统的正常运行,从而降低检测效率,误报可能性高,大大降低了数据库的质量。
四、计算机数据库入侵检测技术的应用分析
1.计算机数据库系统。在对计算机数据库系统进行保护的过程中,利用入侵检测技术及时发现此系统下可能出现的问题的一个重要方法就是针对计算机数据库本身的结构,将计算机数据库合理划分成不同的层次,然后对其进行分类别保护。我们知道,计算机数据库的管理系统层、宿主的操作系统层和网络系统层是计算机数据库系统的三个重要组成层次,因此,计算机数据库的入侵检测技术可以从这三个层面进行分析,并通过研究不同层面的技术以保护计算机数据库系统。例如,对于其外层来说,利用基于网络系统的入侵检测技术;针对中层来说,主要是利用主机系统,通过制订路径检测技术以实现对数据库的检测;针对内层来说,通过建立入侵容忍技术以不断完善检测技术。
2.建立计算机数据库入侵检测系统模型。对于计算机数据库入侵检测系统来说,其对入侵系统和攻击行为的检测不是单一的过程,需要各个步骤之间相互配合,通过采集数据、处理数据、挖掘数据、知识的规则库、提取特征、入侵检测六个方面以实现对数据库的检测与分析。从这六个过程的本质可以看出其包含三个板块,包括采集数据模块、检测分析数据模块和报警响应模块,通过这三个模块的应用,可以根据收集到的原有数据了解正常模式下的操作数据,从而与现有的数据相对比,检测计算机数据库是否遭到不合理入侵,是否需要出具警示标志,是否需要做出行动阻止这些行为。因此通过规范的检测步骤和条理清晰的模块组织以实现对计算机数据库的保护。
五、总结
依靠科技技术、知识的发展,进入信息时代的今天,国家经济的发展、人民的生活已经离不开计算机网络系统。针对信息系统出现的一系列安全问题,为保障国家安全与维护集体利益,通过研发与利用新的计算机数据库入侵检测技术,及时发现可能出现的攻击行为和信息入侵,通过提高检测效率和增加检测识别的准确性以实现对计算机数据库的保护,维护计算机数据库的安全。
[1]乐瑞卿.计算机数据库入侵检测技术的探讨[J].计算机光盘软件与应用,2011
[2]马黎.王化喆.试析计算机数据库入侵检测技术的应用[J].商丘职业技术学院学报,2015
关键词:入侵检测;网络安全;计算机应用;信息;程序设计;VC
NetworkIntrusionDetectionTechnologyAnalysisandAppliedResearch
LuLi,LuYi
(ChangshaCityHealthSchool,Changsha410100,China)
Abstract:Firstlythesisanalysetheconceptofintrusiondetection,pointingoutthedevelopmentofintrusiondetection,withdataanalysisview,pointoutitsbasicclassification.Asapractice,finallygivesabasicnetworkintrusiondetectionprogramimplementation,inordertoplayareferenceroleinprogramdevelopment
Keywords:Intrusiondetection;Networksecurity;Computerapplications;Information;Programdesign;VC
一、入侵检测技术综述
(一)入侵检测的技术分类
二、入侵检测的程序实践
(一)系统总体设计
本系统将实现为一个基于网络的入侵检测系统,本系统采用误用检测技术。与普通的采用误用检测技术的入侵检测系统相比,该系统内部并没有设置复杂的特征库,所有的入侵模式都要用户自己设置,然后依据这些模式对入侵行为进行拦截或放行。
(二)系统功能模块
1.网络数据收集及检测引擎
本部分采用应用层截包方案,即在驱动程序中截包,然后送到应用层处理的工作模式。在应用层工作,改变了工作模式,每当驱动程序截到数据,送到应用层处理后再次送回内核,再向上传递到IP协议。综合考虑各种因素,本部分决定采用应用层的截包方案。
2.驱动程序拦截网络数据包的方式
利用驱动程序拦截网络数据包的方式很多,本系统采用Win2kFilter-HookDriver拦截数据包。在win2000设备程序开发包(DDK)中,微软包含一个新的命名为Filter-HookDriver的网络驱动程序。本程序采用DrvFltIp.sys驱动程序实现IP协议过滤。其中回调函数是这类驱程的主体部分。DrvFltIp.sysIP过滤驱动程序使用这个过滤钩子来判断IP数据包的处理方式。所注册的过滤钩子是用PacketFilterExtensionPtr数据类型定义的。Filter-Hook使用该I/O控制码建立一个IRP,并将其提交给IP过滤驱动程序。该控制码向IP过滤驱动程序注册过滤钩子回调函数,当有数据包发送或者接收时,IP过滤驱动程序调用这些回调函数。在本系统中定义了四种设备控制代码。分别是开始过滤、停止过滤、添加过滤规则、清除过滤规则:
#defineSTART_IP_HOOKCTL_CODE(FILE_DEVICE_DRVFLTIP,
DRVFLTIP_IOCTL_INDEX,METHOD_BUFFERED,FILE_ANY_ACCESS)
#defineSTOP_IP_HOOKCTL_CODE(FILE_DEVICE_DRVFLTIP,
DRVFLTIP_IOCTL_INDEX+1,METHOD_BUFFERED,FILE_ANY_ACCESS)
#defineADD_FILTERCTL_CODE(FILE_DEVICE_DRVFLTIP,
DRVFLTIP_IOCTL_INDEX+2,METHOD_BUFFERED,FILE_WRITE_ACCESS)
#defineCLEAR_FILTERCTL_CODE(FILE_DEVICE_DRVFLTIP,
DRVFLTIP_IOCTL_INDEX+3,METHOD_BUFFERED,FILE_ANY_ACCESS)
3.SCM管理器
程序通过SCM管理器创建或打开服务。首先通过语句OpenSCManager(NULL,NULL,SC_MANAGER_ALL_ACCESS);打开SCM管理器,然后通过CreateService(m_hSCM,IpFltDrv,SERVICE_ALL_ACCESS,SERVICE_KERNEL_DRIVER,SERVICE_DEMAND_START,SERVICE_ERROR_NORMAL,IpFltDrv.sys,NULL,0,NULL,NULL,NULL)启动IP过滤驱动;启动IP过滤驱动后,要启动IP过滤钩子驱动,其中驱动程序收到上层发过来的控制代码后即按照注册的钩子函数进行入侵检测。
4.攻击模式库
该部分由用户自己设置。针对特定的攻击,设置攻击的源IP,端口,及子网掩码,目的IP,端口,及子网掩码,然后选择要拦截或放行的协议类型。每一次设置相当于一条记录,可以设置多条记录,攻击模式库即由这些记录共同构成。
三、总结
驱动程序会按照用户的选择对拦截的数据包进行处理,在报警及响应过程完毕后,点击菜单项的ShowReport选项,会对遭受的攻击及处理的结果作出响应。该系统可以较好的完成入侵检测的功能,保证网络的安全。
参考文献:
关键词:计算机网络;网路安全;入侵检测;防火墙
DiscussiononComputerNetworkIntrusionDetectionTechnology
QIUJing
(HunanCommunicationPolytechnic,Changsha410004,China)
Abstract:Withtherapiddevelopmentofcomputernetworktechnology,theapplicationofcomputernetworkhasbeenverywidespread.Therefore,thecomputernetworksecurityhasbecomethemajorconcernofcurrentnetworkmanagers.Thispapermainlyanalyzesawidelyusedcomputernetworksecuritytechnology-intrusiondetectiontechnologyandeffectivelyincorporatesitwithfirewalltechnology,whichgreatlyimprovesthenetworksecuritydefenseability.
Keywords:computernetwork;Networksecurity;intrusiondetection;firewall
随着计算机网络技术的飞速发展,其应用领域也变得越来越广泛,几乎渗透到了人们的工作和日常生活当中,给人类的生活带来了重大的改变。但飞速的网络发展给人类带来方便的同时,也带来了很大的网络安全隐患。网络安全问题也变得日益严重,每年因网络安全问题带来的损失巨大,网络病毒的传播、网络钓鱼网站的诱导以及黑客的木马攻击等给广大的网民带来了很大的困扰。因此,网络安全技术成为了当前必须引起重视的问题。传统的网络安全技术主要有防火墙技术、数据加密技术等,这些网络安全技术是一种基于被动的网络安全技术,主要阻止一些来自外部的网络攻击。而入侵检测技术是一种基于主动防御的网络安全技术,能有效的阻止来自网络内部的攻击,有效弥补了传统网络安全技术的不足。
1计算机网络入侵检测概述
1.1入侵检测定义
入侵检测(IDS),是通过监控和收集计算机网络系统中的某些关键点信息,并对这些信息进行归纳分析来检测入侵者的企图。直观的说,就是通过识别入侵行为,了解入侵者的意图和目的,网络管理员根据这些入侵信息做出相应的防范措施,从而免受系统遭受到不必要的损失。因此,它是一种主动防御的安全措施,能够有效的减少系统被入侵的可能性。
1.2入侵检测分类
目前的入侵检测系统主要有两类:基于误用的入侵检测和基于异常的入侵检测。基于误用的入侵检测主要是通过模式匹配方法来检测入侵行为。基于异常的入侵检测主要是通过检测系统当前行为与正常行为存在一定程度的偏差时,就判断系统已受到了攻击。基于误用的入侵检测的优点是检测出已知的攻击准确率高,缺点是不能发现未知攻击。异常检测的优点是可以检测到未知攻击,缺点是误报率较高。
2入侵检测系统结构分析
入侵检测系统的结构主要由四大部分组成:数据收集装置、检测器、知识库、控制器。如图1所示。
3入侵检测系统存在的问题
入侵系统技术虽然是目前应用比较广泛的网络安全防范技术,但还存在着一些问题,主要体现在以下几个方面:
图1入侵检测系统结构示意图
3.1误报和漏报率比较高
当前入侵检测系统的主要问题就是误报和漏报,由于入侵检测系统的检测精度不高,从而增大了误报率和漏报率。基于误用的入侵检测的误报和漏报率虽然相对较低,但它又不能完成对未知攻击的检测;基于异常的入侵检测虽然能够解决对未知攻击的检测这一问题,但它的误报和漏报率比较高,所以都存在着一些不足之处。
3.2准确定位和处理机制存在不足
3.3系统性能存在不足
如果服务器在大流量访问的冲击或多IP分片的情况下,很有可能造成入侵检测系统的丢包甚至瘫痪。由于入侵检测主要依赖于已有的一些经验,所以与理想的效果还存在着一些差距。尽管目前的入侵检测方法繁多,但如何将它们成熟的运用起来还是一个很大的挑战,也是需要当前网络安全工作者们深入研究和探讨的重要课题。根据网络安全技术发展的需要,主要研究的方向应当是:入侵检测系统的标准化、各种入侵检测系统的构架、入侵检测系统的智能化以及与其他网络安全技术相结合的运用等。除了完善这些传统的技术参数以外,还需要加强新技术的开发和研究,才能使得该产品保持长久的市场竞争力。
4入侵检测与防火墙结合的应用研究
4.1入侵检测与防火墙的互动运行
图2互动逻辑示意图
4.2入侵检测与防火墙结合的设计框架
首先,我们来设计检测器设置的位置,入侵检测既可以放在防火墙之外也可以放在防火墙之内。例如图3给出了将IDS放在防火墙之内的设置。
图3IDS置于防火墙之内示意图
在设计的过程当中,并不只是将入侵检测系统和防火墙系统进行简单的叠加,而是结合两者的功能和特点来建立一个有效的网络安全防范系统。可以通过结合两者功能的优点,互相弥补其不足,由入侵检测系统来辅助防火墙系统,具体设计如图4所示。
图4IDS与防火墙结合设计示意图
5总结
入侵检测技术虽然在网路安全技术中是一项非常重要的技术手段,但将其单独的运用在网络安全防范系统当中,存在着很多的不足之处。因此,应当将防火墙技术与入侵检测系统结合互动的使用,这样的组合比以前单一的技术都有了较大的提高,网络的防御安全能力大大提高,防御系统才能成为一道更加坚固的围墙。
[1]胡振昌.网络入侵检测原理与技术[M].北京:北京理工大学出版社,2005.
[2]郑晓霞.BP网络安全技术的研究[J].电脑知识与技术,2009,5(35):9947-9951.
关键词:云计算;病毒入侵;构建
病毒防护是计算机技术中一项重要技术,计算机在运行过程中会遇到各种各样的病毒,这些病毒会影响到计算机的运行严重情况下甚至会导致计算机系统瘫痪,从而造成不可估量的损害。因此病毒防护历来是计算机技术中一项重要技术。传统的病毒防护技术主要指的是防火墙、杀毒软件、网络入侵检测等技术。这些病毒防护技术虽然在一定程度上满足了计算机的基本功能,但是随着信息技术的不断发展,传统的防护技术已经不能够适应快速地、日益增长的安全问题了。因此病毒防护技术亟待创新。
云计算是当今一个新兴概念,云计算本身具有综合性、容低性、高容错性等性能,这些性能正好能够更好地处理计算机病毒。加强云计算技术在病毒检测技术中的应用是未来发展的必然趋势。
1云计算在病毒入侵检测技术中的具体应用
云计算技术本身是一种新型技术,云计算在计算机中的应用主要体现在通过通过云计算技术对庞大的侵入计算机行为数据进行分析,而后再通过其他平台通过网页形式报告给计算机用户,从而使用户能够及时了解计算机本身的安全状况。
2Snort网络入侵检测系统的构建
Snort网络入侵检测系统本身是一项复杂的网络检验系统,该系统的构建是需要多个步骤才能实现的。该系统的构建主要包括以下几个步骤:
一是云的构建。云计算应用关键就在于构建云,当前在构建云的过程中主要是通过在多台Linux中安装Hadoop来实现的。二是设计程序。程序的设计是系统构建的关键步骤,对于snort网络主要是设计Map-Reduce程序。通过设计完整的程序来实现对警报信息的有效整合。三是构建Hbase分布式数据库。该数据库主要是用来存储经过整合后的数据的。四是利用Map-Reduce来对数据进行分析处理,最终以web服务器和PHP网页脚本语言呈现给用户。
3病毒入侵检测系统的具体实施
上文只是把系统构建的步骤进行了介绍,下面我们就来探讨病毒入侵检测系统的具体实施。对于该系统的构建我们主要是在综合机房中实现的,该系统对硬件配置的要求较高,因此采用校内网速IG、网速达到100M的快带网络来构建起云计算实验平台。该系统需要6台普通PC机来进行构建,在这6台PC中有一台作为主节点,另外5台作为从节点来使用。在这些电脑中还需要安装zookeeprer。
4系统效果分析
上文详细分析了云计算技术所取得的明显效果。但是我们在实验过程中也出现了一些问题,这些问题的出现最终会影响到病毒入侵检测效果,因此在这样的背景下我们除了要掌握其效果之外,还要对实验过程中出现的问题进行详细处理。当前在实验过程中出现的问题主要表现在以下几个方面:
4.1产生错误代码
在实验过程中我们发现网络系统本身出现了错误代码。经过详细分析我们发现之所以会出现错误代码主要原因是因为dfs.name.dir路径设置有问题,该文件并所有权发生混乱,最终使得主节点检查不到子节点。针对这个问题我们通过修改子节点的文件夹权限,最终有效解决了这个问题。
4.2数据处理方法有待深化
在数据处理过程中算法MergeExtendedAlertjob处理过后的数据与之前数据相比并没有明显区别。可见当前的数据处理技术还有待深化。
4.3程序问题
所谓程序问题主要指的是两方面的问题:一是出现了数据重复处理的现象。之所以会出现遮掩高度问题主要是因为没有将原来的hdfs移除造成的。在意识到这个问题之后工作人员及时移除数据,数据重复处理的现象得以避免。二是runjob程序仍然存在。在实验过程中使用Kill命令本身不足以停止Hadoop。这对数据处理造成了很大影响。在这方面必须要引起我们的高度重视。在今后的病毒防护过程中必须要不断改善这种现象。
5云计算技术安全性分析
云计算技术在计算机病毒入侵检测系统中虽然得到有效应用,但是正如上文所说云计算技术在实验过程中还存在一些问题,因此加强对云计算技术安全性的详细分析具有重要意义。该文就以PCShare为例来详细对云计算技术的安全性进行分析。通过观察我们发现云计算技术在应用过程中存在着以下安全性问题:
5.1文件路径欺骗
在计算机运行过程中云计算技术本身存在着文件路径被欺骗的隐患。木马程序通过构建没有实际内容的文件可以改变实际存在的文件目录。这样的木马程序会对计算机的自动运行造成巨大影响。该木马程序首先是通过创建虚拟目录,而后让木马程序在虚拟目录中运行,最后再删除虚拟目录。通过这种方法最终严重影响到了计算机性能。
这个问题的具体步骤,首先是利用subst命令对恶意程序赋驱动符。在实际运行过程中用磁盘驱动器符来代替恶意程序创建的目录;之后就是要在虚拟驱动器中运行恶意程序,最后就是删除虚拟驱动器。
5.2云查杀欺骗。云查杀过程中存在的欺骗主要指的是通信欺骗。通信欺骗也是云计算技术运行过程中遇到的主要问题
上述两个问题是云计算过程中常见的问题,针对这两个问题的处理,我们需要采取专门措施来予以预防。对于文件路径欺骗的行为,工作人员要运用杀毒软件来获得木马程序本身的虚拟目录,然后进一步获取物理路径。如果杀毒软件本身不能够找到物理路径的时候,就需要采用其他方法对木马程序进行定位。对于云查杀过程中通信欺骗行为。在实际应用过程中可以通过杀毒软件对数据进行加密,对数据包进行检验等方法来有效防止恶意程序的破坏。
云计算技术是当前IT技术中一项新兴技术,该技术在病毒入侵检测系统中的应用能够有效提升病毒入侵检测能力,对于保证计算机安全具有重要意义。在病毒防治形势日益复杂的背景下加强对云计算技术的研究具有重要意义。该文详细分析了云计算技术的优势,而后以sonrt网络病毒入侵检测系统构建为例详细说明了云计算技术在病毒入侵检测系统中的应用,最后对云计算技术的安全性进行了分析。在今后的实际工作过程中必须要不断加强对云计算技术的研究。
[1]蒋晓峰.面向开源程序的特征码免杀与主动防御突破研究[D].上海:上海交通大学,2011.