入侵檢測技術(shù)研究概述
入侵檢測技術(shù)研究概述
郭風(fēng)
(酒鋼(集團(tuán))檢修工程公司系統(tǒng)所,甘肅嘉峪關(guān)735100
摘要:入侵檢測是保護(hù)信息安全的重要途徑���,是一種新的動態(tài)安全防御技術(shù)�,它是繼防火墻之后的第二道安全防線�����。介紹入侵檢測的相關(guān)概念��,總結(jié)了入侵檢測系統(tǒng)的功能�����、分類及入侵檢測的過程����,并對入侵檢測的方法進(jìn)行了簡要分析,為進(jìn)一步研究提供參考�。關(guān)鍵詞:入侵檢測;入侵檢測系統(tǒng)��;檢測過程���;檢測方法中圖分類號:TV31
如何建立安全而又健壯的網(wǎng)絡(luò)系統(tǒng)���,保證重要信息的安全性,已經(jīng)成為研究的焦點���。以往采用的方式多是防火墻的策略���,它可以防止利用協(xié)議漏洞、源路由�����、地址仿冒等多種攻擊手段���,并提供安全的數(shù)據(jù)通道����,但是它對于應(yīng)用層的后門��,內(nèi)部用戶的越權(quán)操作等導(dǎo)致的攻擊或竊取����,破壞信息卻無能為力���。另外,由于防火墻的位置處在網(wǎng)絡(luò)中的明處�,自身的設(shè)計缺陷也難免會暴露給眾多的攻擊者,所以僅僅憑借防火墻是難以抵御多種多樣層出不窮的攻擊的����,這種靜態(tài)的安全技術(shù)自身存在著不可克服的缺點。為了保證網(wǎng)絡(luò)系統(tǒng)的安全�,就需要有一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)�����,即入侵檢測技術(shù)�。1入侵檢測的基本概念
入侵檢測是指“通過對行為、安全日志或?qū)徲嫈?shù)據(jù)或其它網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作����,檢測到對系統(tǒng)的闖入或闖入的企圖�����!比肭謾z測是檢驗和響應(yīng)計算機(jī)誤用的學(xué)科,是通過計算機(jī)網(wǎng)絡(luò)或計算機(jī)系統(tǒng)中的若干關(guān)鍵點收集信息并對其進(jìn)行分析����,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到攻擊的跡象�,同時做出相應(yīng)。
入侵檢測技術(shù)是為保證計算機(jī)系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異�,F(xiàn)象的技術(shù),是一種用于檢測計算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)���。入侵檢測技術(shù)可以分為兩類:
I)濫用檢測(MisuseDetection)濫用檢測是利用已知的入侵方法和系統(tǒng)的薄弱環(huán)節(jié)識別非法入侵����。該方法的主要缺點為:由于所有已知的入侵模式都被植人系統(tǒng)中���,所以����,一旦出現(xiàn)任何未知形式的入侵���,都無法檢測出來���。但該方法的檢測效率較高����。
2)異常檢測(AnomalyDetection)異常檢測是通過檢查當(dāng)前用戶行為是否與已建立的正常行為輪廓相背離來鑒別是否有非法入侵或越權(quán)操作�����。該方法的優(yōu)點是無需了解系統(tǒng)缺陷�����,適應(yīng)性較強��。但發(fā)生誤報的可能性較高����。2人侵檢測系統(tǒng)入侵檢測系統(tǒng)(IDS:IntrusionDetectionSystern)是實現(xiàn)入侵檢測功能的一系列的軟件、硬件的組合�����。它是入侵檢測的具體實現(xiàn)�����。作為一種安全管理工具,它從不同的系統(tǒng)資源收集信息�����,分析反映誤用或異常行為模式的信息����,對檢測的行為作出自動的反應(yīng),并報告檢測過程的結(jié)果����。入侵檢測系統(tǒng)就其最基本的形式來講��,可以說是一個分類器�,它是根據(jù)系統(tǒng)的安全策略來對收集到的事件/狀態(tài)信息進(jìn)行分類處理,從而判斷出人侵和非入侵行為����。入侵檢測系統(tǒng)的主要功能有:
1)監(jiān)視、分析用戶及系統(tǒng)行為��,查找非法用戶和合法用戶的越權(quán)操作����;2)系統(tǒng)配置和漏洞的審計檢查;
3)評估重要系統(tǒng)和數(shù)據(jù)文件的完整性;4)識別�����、反應(yīng)已知攻擊的行為模式并報警�;5)異常行為模式的統(tǒng)計分析;
6)操作系統(tǒng)的審計跟蹤管理及違反安全策略的用戶行為的識別��。2.1入侵檢測系統(tǒng)分類
入侵檢測系統(tǒng)中的用戶行為主要表現(xiàn)為數(shù)據(jù)形式�����。根據(jù)數(shù)據(jù)的來源不同���,入侵檢測系統(tǒng)可以分為基于主機(jī)的和基于網(wǎng)絡(luò)的兩種��。前者的數(shù)據(jù)來自操作系統(tǒng)的審計數(shù)據(jù)��,后者來自網(wǎng)絡(luò)中流經(jīng)的數(shù)據(jù)包���。由于用戶的行為都表現(xiàn)為數(shù)據(jù),因此��,解決問題的核心就是如何正確高效地處理收集到的數(shù)據(jù)����,并從中得出結(jié)論��。2.1.1按照輸入數(shù)據(jù)來源分類
(1)基于主機(jī)的入侵檢測系統(tǒng)基于主機(jī)的入侵檢測系統(tǒng)(HIDS:Host2basedIntrusionDetectionSystem)通常以系統(tǒng)日志�����、應(yīng)用程序日志等審計記錄文件作為數(shù)據(jù)源��。它是通過比較這些審計記錄文件的記錄與攻擊簽名(AttackSignature�,指用一種特定的方式來表示已知的攻擊模式)以發(fā)現(xiàn)它們是否匹配�。如果匹配,檢測系統(tǒng)就各系統(tǒng)管理員發(fā)出入侵報警并采取相應(yīng)的行動���。基于主機(jī)的IDS可以精確地判斷入侵事件�,并可對入侵事件作出立即反應(yīng)。它還可針對不同操作系統(tǒng)的特點判斷應(yīng)用層的入侵事件������;谥鳈C(jī)的IDS有著明顯的優(yōu)點:(a)非常適合于加密和交換環(huán)境;(b)近實時的檢測和響應(yīng)��;(c)不需要額外的硬件。
同時也存在著一些不足:會占用主機(jī)的系統(tǒng)資源�����,增加系統(tǒng)負(fù)荷���,而且針對不同的操作平臺必須開發(fā)出不同的程序�,另外所需配置的數(shù)量眾多���。但是對系統(tǒng)內(nèi)在的結(jié)構(gòu)卻沒有任何約束�����,同時可以利用操作系統(tǒng)本身提供的功能�����,并結(jié)合異常檢測分析����,更能準(zhǔn)確的報告攻擊行為��。(2)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)(NIDS:Network-basedIntrusionDetectionSystem)把原始的網(wǎng)絡(luò)數(shù)據(jù)包作為數(shù)據(jù)源��。它是利用網(wǎng)絡(luò)適配器來實時地監(jiān)視并分析通過網(wǎng)絡(luò)進(jìn)行傳輸?shù)乃型ㄐ艠I(yè)務(wù)。它的攻擊識別模塊進(jìn)行攻擊簽名識別的方法有:模式����、表達(dá)式或字節(jié)碼匹配;頻率或閾值比較��;次要事件的相關(guān)性處理�����;統(tǒng)計異常檢測���。一旦檢測到攻擊����,IDS的響應(yīng)模塊通過通知���、報警以及中斷連接等方式來對攻擊行為作出反應(yīng)。然而它只能監(jiān)視通過本網(wǎng)段的活動�����,并且精確度較差���,在交換網(wǎng)絡(luò)環(huán)境中難于配置��,防欺騙的能力也比較差���。但它也有著一定的優(yōu)勢:(a)成本低�;(b)攻擊者轉(zhuǎn)移證據(jù)困難����;(C)實時的檢測和響應(yīng);(d)能夠檢測到未成功的攻擊企圖�����;(e)與操作系統(tǒng)無關(guān)�����,即基于網(wǎng)絡(luò)的IDS并不依賴主機(jī)的操作系統(tǒng)作為檢測資源����。2.1.2按照采用的檢測技術(shù)分類(1)異常檢測
異常檢測(AnomalyDetection),也被稱為基于行為的檢測���;其基本前提是:假定所有的入侵行為都是異常的���。原理:首先建立系統(tǒng)或用戶的“���!毙袨樘卣鬏喞ㄟ^比較當(dāng)前的系統(tǒng)或用戶的行為是否偏離正常的行為特征輪廓來判斷是否發(fā)生了入侵���。而不是依賴于具體行為是否出現(xiàn)來進(jìn)行檢測的��,從這個意義上來講�����,異常檢測是一種間接的方法����。(2)誤用檢測
誤用檢測(MisuseDetection)�����,也被稱為基于知識的檢測�����;其基本前提是:假定所有可能的入侵行為都能被識別和表示�����。原理:首先對已知的攻擊方法進(jìn)行攻擊簽名(攻擊簽名是指用一種特定的方式來表示已知的攻擊模式)表示��,然后根據(jù)已經(jīng)定義好的攻擊簽名�����,通過判斷這些攻擊簽名是否出現(xiàn)來判斷入侵行為的發(fā)生與否����。這種方法是直接判斷攻擊簽名的出現(xiàn)與否來判斷入侵的,從這一點來看��,它是一種直接的方法���。3人侵檢測系統(tǒng)模型
這里介紹的是通用人侵檢測框架(CommonIn-trusionDetectionFramework-CIDF)模型�。CIDF工作組是由TeresaLunt發(fā)起的��,專門對入侵檢測進(jìn)行標(biāo)準(zhǔn)化工作的組織�����。主要對入侵檢測進(jìn)行標(biāo)準(zhǔn)化,開發(fā)一些協(xié)議和應(yīng)用程序接口���,以便入侵檢測研究項目能夠共享信息和資源���,同樣入侵檢測系統(tǒng)組件也可以被其他系統(tǒng)應(yīng)用。CIDF提出了一個入侵檢測系統(tǒng)(IDS)的通用模型�。它將入侵檢測系統(tǒng)分為以下幾個單元組件:
(1)事件產(chǎn)生器(Eventgenerators);(2)事件分析器(Eventanalyzers)�����;(3)響應(yīng)單元(Responseunits)��;(4)事件數(shù)據(jù)庫(Eventdatabases)�����。
CIDF將入侵檢測系統(tǒng)(IDS)需要分析的數(shù)據(jù)統(tǒng)稱為事件(event)���,它可以是網(wǎng)絡(luò)中的數(shù)據(jù)包�����,也可以是從系統(tǒng)日志等審計記錄途徑得到的信息���。事件產(chǎn)生器即檢測器,它是從整個計算環(huán)境中獲得事件���,并向系統(tǒng)的其他部分提此事件���;事件分析器分析得到的數(shù)據(jù),并產(chǎn)生分析結(jié)果�;響應(yīng)單元則是對分析結(jié)果作出反應(yīng)的功能單元,它可以作出切斷連接����、改變文件屬性等強烈反應(yīng),甚至發(fā)動對攻擊者的反擊��,也可以只是簡單的報警�;事件數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)的地方的總稱,它可以是復(fù)雜的數(shù)據(jù)庫�,也可以簡單的文本文件。4入侵檢測過程分析
過程分為三部分:信息收集���、信息和結(jié)果處理��。
1)信息收集:入侵檢測的第一步是信息收集��,收集的內(nèi)容包括系統(tǒng)����、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為�����。由放置在不同網(wǎng)段的傳感器或不同主機(jī)的代理來收集信息��,包括系統(tǒng)和網(wǎng)絡(luò)13志文件����、網(wǎng)絡(luò)流量、非正常的目錄和文件改變���、非正常的程序執(zhí)行����。
2)信息分析:收集到的有關(guān)系統(tǒng)���、網(wǎng)絡(luò)����、數(shù)據(jù)及用戶活動的狀態(tài)和行為等信息,被送到檢測引擎��,檢測引擎駐留在傳感器中�����,一般通過三種技術(shù)手段進(jìn)行分析:模式匹配�����、統(tǒng)計分析和完整性分析��。當(dāng)檢測到某種誤用模式時����,產(chǎn)生一個告警并發(fā)送給控制臺�。
3)結(jié)果處理:控制臺按照告警產(chǎn)生預(yù)先定義的響應(yīng)采取相應(yīng)措施,可以是重新配置路由器或防火墻��、終止進(jìn)程�����、切斷連接����、改變文件屬性����,也可以只是簡單的告警���。5入侵檢測方法
由于入侵檢測的最實質(zhì)的特征就是一個分類器��,即從大量數(shù)據(jù)中分辨出入侵和非入侵的信息��。簡言之即為二分類問題����。這里將對入侵檢測所采用的方法作一個簡單介紹�����。I)統(tǒng)計方法(StatisticalApproaches)
統(tǒng)計方法是基于行為的入侵檢測中應(yīng)用最早也是最多的一種方法����。首先,檢測器根據(jù)用戶對象的動作為每個用戶都建立一個用戶特征輪廓表�,通過比較當(dāng)前特征與已建立的以前特征,從而判斷是否是異常行為��。用戶特征輪廓表需要根據(jù)審計記錄情況不斷地加以更新。特征輪廓表包含許多衡量特征量��,如CPU的使用�����,I/0的使用��,一段時間內(nèi)網(wǎng)絡(luò)連接次數(shù)����,審計記錄的分布情況等�����。
2)專家系統(tǒng)(ExpertSystem)
這是誤用檢測常用的方法����。早期的入侵檢測系統(tǒng)多采用專家系統(tǒng)來檢測系統(tǒng)中的入侵行為。通常入侵行為編碼成專家系統(tǒng)的規(guī)則�����。每個規(guī)則具有“IF條件THEN動作”的形式���;其中條件為審計記錄中某些域的限制條件�;動作表示規(guī)則被觸發(fā)時入侵檢測系統(tǒng)所采取的處理動作,結(jié)果可以是一些新證據(jù)的斷言或用于提高某個用戶行為的可疑度�。這些規(guī)則既可識別單個審計事件,也可識別表示一個入侵行為的一系列事件�。專家系統(tǒng)可以自動地解釋系統(tǒng)的審計記錄并判斷他們是否滿足描述人侵行為的規(guī)則。由于專家系統(tǒng)必須由安全專家用專家知識來構(gòu)造��,因此系統(tǒng)的能力受限于專家知識��,很可能導(dǎo)致漏警率的提高�����。另外���,規(guī)則的修改必須考慮規(guī)則集中不同規(guī)則的依賴性�。
3)狀態(tài)遷移分析(StateTransitionAnalysis)
狀態(tài)遷移分析即將狀態(tài)遷移圖應(yīng)用于入侵行為的分析�����。狀態(tài)遷移法將入侵過程看作一個行為序列�,這個行為序列導(dǎo)致系統(tǒng)從初始狀態(tài)轉(zhuǎn)入被入侵狀態(tài)。分析時首先針對每一種入侵方法確定系統(tǒng)的初始狀態(tài)和被入侵狀態(tài)�����,以及導(dǎo)致狀態(tài)遷移的轉(zhuǎn)換條件,即導(dǎo)致系統(tǒng)進(jìn)人被入侵狀態(tài)必須執(zhí)行的操作(特征事件)���。然后用狀態(tài)轉(zhuǎn)換圖來表示每一個狀態(tài)和特征事件��,這些事件被集成于模型中�,所以檢測時需要一個個地查找審計記錄���。除了上述的方法外��,應(yīng)用到入侵檢測領(lǐng)域的方法還有模式匹配(PatternMatching)�、神經(jīng)網(wǎng)絡(luò)(NeuralNetwork)���、數(shù)據(jù)挖掘(DataMining)、信息論測度(Information-Theo-reticMeasures)�、免疫學(xué)(Im2munology)等o6結(jié)束語
入侵檢測作為一種積極主動的安全防護(hù)技術(shù),提供了對內(nèi)部攻擊�,外部攻擊和誤操作的實時保護(hù),在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)人侵�。在不斷發(fā)展變化的網(wǎng)絡(luò)環(huán)境下,入侵檢測仍將面臨巨大的挑戰(zhàn)�。從進(jìn)攻角度來看����,由于技術(shù)的進(jìn)步�����,攻擊者的目的���、能力在不斷提高�,攻擊工具也13益復(fù)雜化和多樣化���,攻擊場景變得更加多樣��、復(fù)雜����、細(xì)致�����、新穎��。而惡意信息的加密傳送以及13益增長的網(wǎng)絡(luò)通信流量也是對入侵檢測的考驗。另外����,入侵檢測系統(tǒng)的自身的安全及入侵檢測系統(tǒng)的評估標(biāo)準(zhǔn)的缺乏也是入侵檢測領(lǐng)域所需解決的問題。
參考文獻(xiàn):
[1]PaulE.入侵檢測使用手冊[M].鄧騎皓等譯.北京:中國電力出版社����,201*.8.
[2][美]RebeccaGurleyBace(著).陳明奇,吳秋新����,張振濤,楊曉兵(譯).入侵檢測[M].北京:人民郵電出社����,201*.
[3][美]TerryEscamilla(著).吳焱,等(譯).入侵者檢測[M].北京:電子工業(yè)出版社����,1999.
擴(kuò)展閱讀:入侵檢測技術(shù)研究綜述
文章編號:1009-8119(201*)07-0038-03
入侵檢測技術(shù)研究綜述
宋普選應(yīng)錦鑫
(北京理工大學(xué)計算機(jī)系,北京100081)
摘要對入侵監(jiān)測技術(shù)和入侵監(jiān)測系統(tǒng)進(jìn)行了研究和闡述�。入侵監(jiān)測技術(shù)和入侵監(jiān)測系統(tǒng)的概念��,對入侵監(jiān)測系統(tǒng)按獲得數(shù)據(jù)的方法和監(jiān)測方法進(jìn)行了詳細(xì)的分類�,描述了一種入侵監(jiān)測系統(tǒng)的系統(tǒng)模型,敘述了入侵監(jiān)測的技術(shù)途徑,介紹了對入侵監(jiān)測系統(tǒng)面臨的問題和發(fā)展趨勢�。
關(guān)鍵詞入侵監(jiān)測,特征監(jiān)測�,異常監(jiān)測
ASummaryofIntrusionDetectionTechnology
SongPuxuanYingJinxin
(Dept.ofComputerScience,BeijingInstituteofTechnology,Beijing10081,China)
AbstractThispaperdescribestheresearchofIntrusionDetectiontechnologyandIntrusionDetectionSystem.TheconceptandhistoryofIntrusionDetectionisfirstintroduced,thenaclassificationofIDSispresentedbasedontwomethods.NextthesystemmoduleofIDSisexplained,andthetechnicalapproachesaredetailedanalyzed.FinallythechallengeandfuturetrendofIDSisdiscussed.
KeywordsIntrusiondetection,Signature-baseddetection�,Anomalydetection
隨著網(wǎng)絡(luò)技術(shù)快速發(fā)展和網(wǎng)絡(luò)應(yīng)用環(huán)境不斷普及的同時,安全問題也越來越突出��,引起各界關(guān)注�。由于TCP/IP協(xié)議族本身缺乏相應(yīng)的安全機(jī)制,加上各種操作系和應(yīng)用軟件存在各種漏洞���,使得整個網(wǎng)絡(luò)的安全問題不可避免�����。
現(xiàn)有的安全機(jī)制通過訪問控制�,例如口令和防火墻技術(shù)���,來保護(hù)計算機(jī)和網(wǎng)絡(luò)不受非法和未經(jīng)授權(quán)用戶的使用�。然而�����,如果這些訪問措施被泄露或者被繞過,則可能導(dǎo)致巨大的損失和系統(tǒng)運行的崩潰���。在傳統(tǒng)的加密和防火墻技術(shù)已不能完全滿足安全需求的同時����,入侵檢測技術(shù)作為一種新的安全手段����,正越來越受到重視。
1.入侵檢測(IntrusionDetection)的概念
1980年,Anderson首次提出了入侵檢測的概念�。他將入侵行為劃分為外部闖入、內(nèi)部授權(quán)���、用戶的越權(quán)使用和濫用等三種類型�,并提出用審計追蹤監(jiān)視入侵威脅����。1987年,Denning首次提出異常檢測抽象模型���,將入侵檢測作為一種計算機(jī)系統(tǒng)的安全防御措施��。美國國際計算機(jī)安全協(xié)會(ICSA)對入侵檢測的定義是:入侵檢測是通過從計算機(jī)網(wǎng)絡(luò)或計算機(jī)系統(tǒng)中的若干關(guān)鍵點收集信息并對其進(jìn)行分析,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術(shù)。
入侵檢測具有監(jiān)視分析用戶和系統(tǒng)的行為���、審計系統(tǒng)配置及漏洞��、評估敏感系統(tǒng)和數(shù)據(jù)的完整性���、識別攻擊行為、對異常行為進(jìn)行統(tǒng)計����、自動地收集與系統(tǒng)相關(guān)的補丁、審計跟蹤識別違反安全法規(guī)的行為��、使用誘騙服務(wù)器記錄黑客行為等功能��,使系統(tǒng)管理員比較有效地監(jiān)視���、審計����、評估自己的系統(tǒng)���。
進(jìn)行入侵檢測的軟件和硬件的組合就是入侵檢測系統(tǒng)��。入侵檢測系統(tǒng)(IntrusionDetectionSystem)是在一個計算機(jī)系統(tǒng)和網(wǎng)絡(luò)上實時的入侵檢測��、報警�、響應(yīng)和防范系統(tǒng)。IDS用來識別針對計算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)����,或者更廣泛意義上的信息系統(tǒng)的非法攻擊,包括檢測外界非法入侵者的惡意攻擊或試探�,以及內(nèi)部用戶的越權(quán)非法行動。
2.入侵檢測系統(tǒng)的分類
2.1按獲得原始數(shù)據(jù)的方法分類
此種分類方法可以將入侵檢測系統(tǒng)分為基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)��、基于主機(jī)的入侵檢測系統(tǒng)����、分布式入侵檢測系統(tǒng)和基于應(yīng)用的入侵檢測系統(tǒng)。
(1)基于主機(jī)的入侵檢測系統(tǒng)
基于主機(jī)的入侵檢測出現(xiàn)在80年代初期��,入侵在當(dāng)時是相當(dāng)少見的����,在對攻擊的事后分析就可以防止今后的攻擊。
現(xiàn)在的基于主機(jī)的入侵檢測系統(tǒng)保留了一種有力的工具����,以理解以前的攻擊形式��,并選擇合適的方法去抵御未來的攻擊������;谥鳈C(jī)的IDS仍使用驗證記錄���,但自動化程度大大提高,并發(fā)展了精密的可迅速做出響應(yīng)的檢測技術(shù)����。通常,基于主機(jī)的IDS可監(jiān)測系統(tǒng)����、事件和WindowNT下的安全記錄以及UNIX環(huán)境下的系統(tǒng)記錄。當(dāng)有文
件發(fā)生變化時��,IDS將新的記錄條目與攻擊標(biāo)記相比較���,看它們是否匹配�����。如果匹配�����,系統(tǒng)就會向管理員報警并向別的目標(biāo)報告���,以采取措施��。
基于主機(jī)的IDS在發(fā)展過程中融入了其它技術(shù)����。對關(guān)鍵系統(tǒng)文件和可執(zhí)行文件入侵檢測的一個常用方法��,是通過定期檢查校驗進(jìn)行的��,以便發(fā)現(xiàn)意外的變化����。反應(yīng)的快慢與輪詢間隔的頻率有直接的關(guān)系。最后����,許多產(chǎn)品都是監(jiān)聽端口的活動,并在特定端口被訪問時向管理員報警。這類檢測方法將基于網(wǎng)絡(luò)的入侵檢測的基本方法融入到基于主機(jī)的檢測環(huán)境中����。
(2)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)
基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)使用原始網(wǎng)絡(luò)包作為數(shù)據(jù)源���;诰W(wǎng)絡(luò)的IDS通常利用一個運行在隨機(jī)模式下網(wǎng)絡(luò)的適配器來實時監(jiān)測并分析通過網(wǎng)絡(luò)的所有通信業(yè)務(wù)�。它的攻擊辨識模塊通常使用四種技術(shù)來識別攻擊標(biāo)志����。四種技術(shù)分別是模式���、表達(dá)式或字節(jié)匹配����,頻率或穿越閥值��,次要事件的相關(guān)性和統(tǒng)計學(xué)意義上的非常規(guī)現(xiàn)象檢測����。一旦檢測到了攻擊行為,IDS的響應(yīng)模塊就提供多種選項以通知���、報警并對攻擊采取相應(yīng)的反應(yīng)�。反應(yīng)因產(chǎn)品而異,但通常都包括通知管理員�����、中斷連接并且/或為法庭分析和證據(jù)收集而做的會話記錄�����;诰W(wǎng)絡(luò)的IDS有許多僅靠基于主機(jī)的入侵檢測法無法提供的功能�����。
(3)分布式入侵檢測系統(tǒng)
基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)和基于主機(jī)的入侵檢測系統(tǒng)都有不足之處���,單純使用一類產(chǎn)品會造成主動防御體系不全面。如果這兩類產(chǎn)品能夠無縫結(jié)合起來部署在網(wǎng)絡(luò)內(nèi)���,則會構(gòu)架成一套完整立體的主動防御體系���。綜合了基于網(wǎng)絡(luò)和基于主機(jī)兩種結(jié)構(gòu)特點的入侵檢測系統(tǒng),既可發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊信息�����,也可從系統(tǒng)日志中發(fā)現(xiàn)異常情況。這就是分布式入侵檢測系統(tǒng)�,它能夠同時分析來自主機(jī)系統(tǒng)審計日志和網(wǎng)絡(luò)數(shù)據(jù)流的入侵檢測系統(tǒng),一般為分布式結(jié)構(gòu)��,由多個部件組成�����。
(4)基于應(yīng)用的入侵檢測系統(tǒng)
基于應(yīng)用的監(jiān)控技術(shù)的主要特征是使用監(jiān)控傳感器在應(yīng)用層收集信息���。由于這種技術(shù)可以更準(zhǔn)確地監(jiān)控用戶某一應(yīng)用的行為,所以這種技術(shù)在日益流行的電子商務(wù)中也越來越受到注意����,其缺點在于有可能降低技術(shù)本身的安全。
根據(jù)檢測方法可以將入侵檢測系統(tǒng)分為特征檢測和異常檢測兩種���。
特征檢測(Signature-baseddetection)又稱Misusedetection��,這種檢測方法假設(shè)入侵者活動可以用一種模式來表示�����,系統(tǒng)的目標(biāo)是檢測主體活動是否符合這些模式�。首先要定義違背安全策略的事件特征,如網(wǎng)絡(luò)數(shù)據(jù)包的某些頭信息���。檢測主要判別所搜集到的數(shù)據(jù)特征是否在所收集到的入侵模式庫中出現(xiàn)����。它可以將已有的入侵方法檢查出來���,但對新的入侵方法無能為力����。其難點在于如何設(shè)計模式既能夠表達(dá)“入侵”現(xiàn)象��,又不會將正常的活動包含進(jìn)來�����。
異常檢測(Anomalydetection)的假設(shè)是入侵者活動異常于正常主體的活動�����。根據(jù)這一理念建立主體正��;顒拥摹盎顒雍啓n”,將當(dāng)前主體的活動狀況與“活動簡檔”相比較����,當(dāng)違反其統(tǒng)計規(guī)律時,認(rèn)為該活動可能是“入侵”行為�。先定義一組系統(tǒng)“正常”情況的閥值����,如CPU利用率、內(nèi)存利用率�、文件校驗和等,然后將系統(tǒng)運行時的數(shù)值與所定義的“正��!鼻闆r比較��,得出是否有被攻擊的跡象����。這種檢測方式的核心在于如何分析系統(tǒng)運行情況���。異常檢測的難題在于如何建立“活動簡檔”以及如何設(shè)計統(tǒng)計算法��,從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為���。
兩種檢測技術(shù)的方法及所得出的結(jié)論有非常大的差異�����;谔卣鞯臋z測技術(shù)的核心是維護(hù)一個知識庫。對于已知得攻擊����,它可以詳細(xì)、準(zhǔn)確的報告出攻擊類型����,但是對未知攻擊卻效果有限,而且知識庫必須不斷更新�������;诋惓5臋z測技術(shù)則無法準(zhǔn)確判別出攻擊的手法�,但它可以判別更廣泛、甚至未發(fā)覺的攻擊�����。如果條件允許,兩者結(jié)合的檢測會達(dá)到更好的效果��。
另外�,入侵檢測系統(tǒng)還有其他一些分類方法。如根據(jù)布控位置可分為基于網(wǎng)絡(luò)邊界(防火墻�����、路由器)的監(jiān)控系統(tǒng)���、基于網(wǎng)絡(luò)的流量監(jiān)控系統(tǒng)以及基于主機(jī)的審計追蹤監(jiān)控系統(tǒng)��;根據(jù)建模方法可分為基于異常檢測的系統(tǒng)��、基于行為檢測的系統(tǒng)���、基于分布式免疫的系統(tǒng)等。
2.2按檢測方法的分類
3.入侵檢測系統(tǒng)模型
目前���,通用入侵檢測架構(gòu)(CIDF)組織和IETF都試圖對入侵檢測系統(tǒng)進(jìn)行標(biāo)準(zhǔn)化。CIDF闡述了一個入侵檢測系統(tǒng)的通用模型��,將入侵檢測系統(tǒng)分為4個組件:事件產(chǎn)生器�����、事件分析器、響應(yīng)單元及事件數(shù)據(jù)庫�。CIDF將入侵檢測系統(tǒng)需要分析的數(shù)據(jù)統(tǒng)稱為事件,它可以是網(wǎng)絡(luò)中的數(shù)據(jù)包���,也可以是從系統(tǒng)日志等其他途徑得到的信息���。
事件產(chǎn)生器的目的是從整個計算環(huán)境中獲得事件,并向系統(tǒng)的其他部分提供此事件���。事件分析器分析得到的數(shù)據(jù)���,并產(chǎn)生分析結(jié)果。響應(yīng)單元則是對分析結(jié)果作出反應(yīng)的功能單元�,它可以作出切斷連接、改變文件屬性等強
烈反應(yīng)�����,也可以只是簡單的報警����。事件數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱�����,它可以是復(fù)雜的數(shù)據(jù)庫�,也可以是簡單的文本文件���。
在其他文章中�,經(jīng)常用數(shù)據(jù)采集部分(探測器)�����、分析部分(分析器)和控制臺部分(用戶接口)來分別代替
事件產(chǎn)生器��、事件分析器和響應(yīng)單元這些術(shù)語����。
此模型綜合應(yīng)用基于主機(jī)和基于網(wǎng)絡(luò)的兩方面技術(shù),對來自外部的網(wǎng)絡(luò)攻擊和內(nèi)部的濫用行為同時進(jìn)行檢測�����。模型中主要包括四個模塊:網(wǎng)絡(luò)數(shù)據(jù)截獲模塊���、主機(jī)檢測模塊���、網(wǎng)絡(luò)檢測模塊和RS模塊。網(wǎng)絡(luò)數(shù)據(jù)截獲模塊抓取進(jìn)入PC的網(wǎng)絡(luò)數(shù)據(jù)�,主要有數(shù)據(jù)包的鏈路頭信息、TCP/IP的報頭信息以及網(wǎng)絡(luò)會話的狀態(tài)信息等����。主機(jī)檢測模塊則通過對本地主機(jī)相關(guān)文件的掃描或網(wǎng)絡(luò)使用狀況的統(tǒng)計,加上對審計記錄的分析來檢測PC上是否發(fā)生了入侵活動�����。網(wǎng)絡(luò)檢測模塊的主要功能是通過分析網(wǎng)絡(luò)數(shù)據(jù)包的相關(guān)信息來判定是否有入侵行為要發(fā)生����。RS模塊則根據(jù)檢測模塊的檢測結(jié)果采取相應(yīng)的措施,如發(fā)出警報消息����、斷開網(wǎng)絡(luò)連接等。
4.入侵檢測的技術(shù)途徑
4.1信息收集
入侵檢測的第一步是信息收集�����,內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)���、數(shù)據(jù)及用戶活動的狀態(tài)和行為���。而且,需要在計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點收集信息����。入侵檢測利用的信息一般來自以下四個方面。
系統(tǒng)日志:黑客經(jīng)常在系統(tǒng)日志中留下蹤跡��,充分利用系統(tǒng)日志是檢測入侵的必要條件��。日志文件中記錄了各種行為類型�����,每種類型又包含不同的信息���,對用戶活動來講����,不正常的或不期望的行為就是重復(fù)登錄失敗����、登錄到不期望的位置以及非授權(quán)的企圖訪問重要文件等等����。
目錄及文件中的異常改變:網(wǎng)絡(luò)環(huán)境中的文件系統(tǒng)包含很多軟件和數(shù)據(jù)文件�,包含重要信息的文件和私有數(shù)據(jù)文件經(jīng)常是黑客修改或破壞的目標(biāo)���。
程序執(zhí)行中的異常行為:每個在系統(tǒng)上執(zhí)行的程序由一到多個進(jìn)程來實現(xiàn)���。每個進(jìn)程執(zhí)行在具有不同權(quán)限的環(huán)境中,這種環(huán)境控制著進(jìn)程可訪問的系統(tǒng)資源����、程序和數(shù)據(jù)文件等。一個進(jìn)程出現(xiàn)了不期望的行為可能表明黑客正在入侵該系統(tǒng)�。黑客可能會將程序或服務(wù)的運行分解,從而導(dǎo)致它失敗����,或者是以非用戶或管理員意圖的方式操作。
物理形式的入侵信息:這包括兩個方面的內(nèi)容��,一是未授權(quán)的對網(wǎng)絡(luò)硬件連接�;二是對物理資源的未授權(quán)訪問。4.2數(shù)據(jù)分析
一般通過三種技術(shù)手段進(jìn)行分析:模式匹配,統(tǒng)計分析和完整性分析���。其中前兩種方法用于實時的入侵檢測���,而完整性分析則用于事后分析。
(1)模式匹配
模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進(jìn)行比較����,從而發(fā)現(xiàn)違背安全策略的行為。該方法的優(yōu)點是只需收集相關(guān)的數(shù)據(jù)集合�����,顯著減少系統(tǒng)負(fù)擔(dān)�,且技術(shù)已相當(dāng)成熟,檢測準(zhǔn)確率和效率都相當(dāng)高��。該方法存在的弱點是需要不斷的升級以對付不斷出現(xiàn)的攻擊手法�,不能檢測到從未出現(xiàn)過的攻擊手段。
(2)統(tǒng)計分析
統(tǒng)計分析方法首先給系統(tǒng)對象(如用戶��、文件����、目錄和設(shè)備等)創(chuàng)建一個統(tǒng)計描述�����,統(tǒng)計正常使用時的一些測量屬性(如訪問次數(shù)���、操作失敗次數(shù)和延時等)。測量屬性的平均值將被用來與網(wǎng)絡(luò)�����、系統(tǒng)的行為進(jìn)行比較����,任何觀察值在正常值范圍之外時���,就認(rèn)為有入侵發(fā)生����。其優(yōu)點是可檢測到未知的入侵和更為復(fù)雜的入侵��,缺點是誤報率高��,且不適應(yīng)用戶正常行為的突然改變���。具體的統(tǒng)計分析方法如基于專家系統(tǒng)的����、基于模型推理的和基于神經(jīng)網(wǎng)絡(luò)的分析方法。
(3)完整性分析
完整性分析主要關(guān)注某個文件或?qū)ο笫欠癖桓�����,這經(jīng)常包括文件和目錄的內(nèi)容及屬性����,它在發(fā)現(xiàn)被更改的、被特洛伊化的應(yīng)用程序方面特別有效���。其優(yōu)點是不管模式匹配方法和統(tǒng)計分析方法能否發(fā)現(xiàn)入侵����,只要是成功的攻
擊導(dǎo)致了文件或其它對象的任何改變���,它都能夠發(fā)現(xiàn)�����。缺點是一般以批處理方式實現(xiàn)�����,不用于實時響應(yīng)��。
5.入侵檢測系統(tǒng)的挑戰(zhàn)及發(fā)展趨勢
5.1入侵檢測技術(shù)面臨的挑戰(zhàn)
首先是攻擊者不斷增加的知識�����,日趨成熟多樣自動化工具����,以及越來越復(fù)雜細(xì)致的攻擊手法。入侵檢測系統(tǒng)必須不斷跟蹤最新的安全技術(shù)���,才能不致被攻擊者超越。
惡意信息采用加密的方法傳輸��。網(wǎng)絡(luò)入侵檢測系統(tǒng)通過匹配網(wǎng)絡(luò)數(shù)據(jù)包發(fā)現(xiàn)攻擊行為�����,入侵檢測系統(tǒng)往往假設(shè)攻擊信息是通過明文傳輸?shù)����,因此對信息的稍加改變便可能騙過入侵檢測系統(tǒng)的檢測�。
不能知道安全策略的內(nèi)容����。必須協(xié)調(diào)、適應(yīng)多樣性的環(huán)境中的不同安全策略�。網(wǎng)絡(luò)及其設(shè)備越來越多樣化,入侵檢測系統(tǒng)要能有所定制以更適應(yīng)多樣的環(huán)境要求�����。
對入侵檢測系統(tǒng)自身的攻擊�����。入侵檢測系統(tǒng)本身也往往存在安全漏洞�����。大量的誤報和漏報使得發(fā)現(xiàn)問題的真正所在非常困難����。
高速網(wǎng)絡(luò)技術(shù),尤其是交換技術(shù)以及加密信道技術(shù)的發(fā)展�����,使得通過共享網(wǎng)段偵聽的網(wǎng)絡(luò)數(shù)據(jù)采集方法顯得不足,而巨大的通信量對數(shù)據(jù)分析也提出了新的要求����。
5.2入侵檢測系統(tǒng)的發(fā)展趨勢
當(dāng)前入侵檢測系統(tǒng)主要發(fā)展方向可以概括為三個方向。
大規(guī)模分布式入侵檢測:第一層含義�����,即針對分布式網(wǎng)絡(luò)攻擊的檢測方法�;第二層含義即使用分布式的方法來檢測分布式的攻擊,其中的關(guān)鍵技術(shù)為檢測信息的協(xié)同處理與入侵攻擊的全局信息的提取���。
智能化入侵檢測:即使用智能化的方法與手段來進(jìn)行入侵檢測��。所謂的智能化方法�,常用的有神經(jīng)網(wǎng)絡(luò)����、遺傳算法���、模糊技術(shù)����、免疫原理等方法,這些方法常用于入侵特征的辨識與泛化���。利用專家系統(tǒng)來構(gòu)建入侵檢測系統(tǒng)也是常用的方法�����,應(yīng)用智能體的概念來進(jìn)行入侵檢測的嘗試也已有報道���。較為一致的解決方案應(yīng)為高效常規(guī)意義下的入侵檢測系統(tǒng)與具有智能檢測功能的檢測軟件或模塊的結(jié)合使用。
全面的安全防御方案:使用安全工程風(fēng)險管理的思想與方法來處理網(wǎng)絡(luò)安全問題�,將網(wǎng)絡(luò)安全作為一個整體工程來處理。從管理�����、網(wǎng)絡(luò)結(jié)構(gòu)����、加密通道、防火墻�����、病毒防護(hù)、入侵檢測多方位全面對所關(guān)注的網(wǎng)絡(luò)作全面的評估��,然后提出可行的全面解決方案����。
參考文獻(xiàn)
1唐正軍.網(wǎng)絡(luò)入侵檢測系統(tǒng)的設(shè)計與實現(xiàn)[M].北京:電子工業(yè)出版社,201*
2呂慧勤,楊義先.一種基于CORBA技術(shù)的分布式入侵檢測系統(tǒng)[J].計算機(jī)工程與應(yīng)用,201*3寇蕓,宋鵬鵬,王育民.入侵檢測系統(tǒng)與PC安全的研究[J].計算機(jī)工程,201*4張杰,戴英俠.入侵檢測系統(tǒng)技術(shù)現(xiàn)狀及其發(fā)展趨勢[EB/OL].c144.net
友情提示:本文中關(guān)于《入侵檢測技術(shù)研究概述》給出的范例僅供您參考拓展思維使用,入侵檢測技術(shù)研究概述:該篇文章建議您自主創(chuàng)作��。
來源:網(wǎng)絡(luò)整理 免責(zé)聲明:本文僅限學(xué)習(xí)分享�����,如產(chǎn)生版權(quán)問題����,請聯(lián)系我們及時刪除。
《
入侵檢測技術(shù)研究概述》由互聯(lián)網(wǎng)用戶整理提供,轉(zhuǎn)載分享請保留原作者信息,謝謝!
鏈接地址:http://www.hmlawpc.com/gongwen/747896.html
