入侵檢測(cè)技術(shù)研究概述
入侵檢測(cè)技術(shù)研究概述
郭風(fēng)
(酒鋼(集團(tuán))檢修工程公司系統(tǒng)所,甘肅嘉峪關(guān)735100
摘要:入侵檢測(cè)是保護(hù)信息安全的重要途徑,是一種新的動(dòng)態(tài)安全防御技術(shù),它是繼防火墻之后的第二道安全防線。介紹入侵檢測(cè)的相關(guān)概念,總結(jié)了入侵檢測(cè)系統(tǒng)的功能、分類及入侵檢測(cè)的過(guò)程,并對(duì)入侵檢測(cè)的方法進(jìn)行了簡(jiǎn)要分析,為進(jìn)一步研究提供參考。關(guān)鍵詞:入侵檢測(cè);入侵檢測(cè)系統(tǒng);檢測(cè)過(guò)程;檢測(cè)方法中圖分類號(hào):TV31
如何建立安全而又健壯的網(wǎng)絡(luò)系統(tǒng),保證重要信息的安全性,已經(jīng)成為研究的焦點(diǎn)。以往采用的方式多是防火墻的策略,它可以防止利用協(xié)議漏洞、源路由、地址仿冒等多種攻擊手段,并提供安全的數(shù)據(jù)通道,但是它對(duì)于應(yīng)用層的后門,內(nèi)部用戶的越權(quán)操作等導(dǎo)致的攻擊或竊取,破壞信息卻無(wú)能為力。另外,由于防火墻的位置處在網(wǎng)絡(luò)中的明處,自身的設(shè)計(jì)缺陷也難免會(huì)暴露給眾多的攻擊者,所以僅僅憑借防火墻是難以抵御多種多樣層出不窮的攻擊的,這種靜態(tài)的安全技術(shù)自身存在著不可克服的缺點(diǎn)。為了保證網(wǎng)絡(luò)系統(tǒng)的安全,就需要有一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù),即入侵檢測(cè)技術(shù)。1入侵檢測(cè)的基本概念
入侵檢測(cè)是指“通過(guò)對(duì)行為、安全日志或?qū)徲?jì)數(shù)據(jù)或其它網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作,檢測(cè)到對(duì)系統(tǒng)的闖入或闖入的企圖!比肭謾z測(cè)是檢驗(yàn)和響應(yīng)計(jì)算機(jī)誤用的學(xué)科,是通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到攻擊的跡象,同時(shí)做出相應(yīng)。
入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異,F(xiàn)象的技術(shù),是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。入侵檢測(cè)技術(shù)可以分為兩類:
I)濫用檢測(cè)(MisuseDetection)濫用檢測(cè)是利用已知的入侵方法和系統(tǒng)的薄弱環(huán)節(jié)識(shí)別非法入侵。該方法的主要缺點(diǎn)為:由于所有已知的入侵模式都被植人系統(tǒng)中,所以,一旦出現(xiàn)任何未知形式的入侵,都無(wú)法檢測(cè)出來(lái)。但該方法的檢測(cè)效率較高。
2)異常檢測(cè)(AnomalyDetection)異常檢測(cè)是通過(guò)檢查當(dāng)前用戶行為是否與已建立的正常行為輪廓相背離來(lái)鑒別是否有非法入侵或越權(quán)操作。該方法的優(yōu)點(diǎn)是無(wú)需了解系統(tǒng)缺陷,適應(yīng)性較強(qiáng)。但發(fā)生誤報(bào)的可能性較高。2人侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)(IDS:IntrusionDetectionSystern)是實(shí)現(xiàn)入侵檢測(cè)功能的一系列的軟件、硬件的組合。它是入侵檢測(cè)的具體實(shí)現(xiàn)。作為一種安全管理工具,它從不同的系統(tǒng)資源收集信息,分析反映誤用或異常行為模式的信息,對(duì)檢測(cè)的行為作出自動(dòng)的反應(yīng),并報(bào)告檢測(cè)過(guò)程的結(jié)果。入侵檢測(cè)系統(tǒng)就其最基本的形式來(lái)講,可以說(shuō)是一個(gè)分類器,它是根據(jù)系統(tǒng)的安全策略來(lái)對(duì)收集到的事件/狀態(tài)信息進(jìn)行分類處理,從而判斷出人侵和非入侵行為。入侵檢測(cè)系統(tǒng)的主要功能有:
1)監(jiān)視、分析用戶及系統(tǒng)行為,查找非法用戶和合法用戶的越權(quán)操作;2)系統(tǒng)配置和漏洞的審計(jì)檢查;
3)評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性;4)識(shí)別、反應(yīng)已知攻擊的行為模式并報(bào)警;5)異常行為模式的統(tǒng)計(jì)分析;
6)操作系統(tǒng)的審計(jì)跟蹤管理及違反安全策略的用戶行為的識(shí)別。2.1入侵檢測(cè)系統(tǒng)分類
入侵檢測(cè)系統(tǒng)中的用戶行為主要表現(xiàn)為數(shù)據(jù)形式。根據(jù)數(shù)據(jù)的來(lái)源不同,入侵檢測(cè)系統(tǒng)可以分為基于主機(jī)的和基于網(wǎng)絡(luò)的兩種。前者的數(shù)據(jù)來(lái)自操作系統(tǒng)的審計(jì)數(shù)據(jù),后者來(lái)自網(wǎng)絡(luò)中流經(jīng)的數(shù)據(jù)包。由于用戶的行為都表現(xiàn)為數(shù)據(jù),因此,解決問(wèn)題的核心就是如何正確高效地處理收集到的數(shù)據(jù),并從中得出結(jié)論。2.1.1按照輸入數(shù)據(jù)來(lái)源分類
(1)基于主機(jī)的入侵檢測(cè)系統(tǒng)基于主機(jī)的入侵檢測(cè)系統(tǒng)(HIDS:Host2basedIntrusionDetectionSystem)通常以系統(tǒng)日志、應(yīng)用程序日志等審計(jì)記錄文件作為數(shù)據(jù)源。它是通過(guò)比較這些審計(jì)記錄文件的記錄與攻擊簽名(AttackSignature,指用一種特定的方式來(lái)表示已知的攻擊模式)以發(fā)現(xiàn)它們是否匹配。如果匹配,檢測(cè)系統(tǒng)就各系統(tǒng)管理員發(fā)出入侵報(bào)警并采取相應(yīng)的行動(dòng);谥鳈C(jī)的IDS可以精確地判斷入侵事件,并可對(duì)入侵事件作出立即反應(yīng)。它還可針對(duì)不同操作系統(tǒng)的特點(diǎn)判斷應(yīng)用層的入侵事件。基于主機(jī)的IDS有著明顯的優(yōu)點(diǎn):(a)非常適合于加密和交換環(huán)境;(b)近實(shí)時(shí)的檢測(cè)和響應(yīng);(c)不需要額外的硬件。
同時(shí)也存在著一些不足:會(huì)占用主機(jī)的系統(tǒng)資源,增加系統(tǒng)負(fù)荷,而且針對(duì)不同的操作平臺(tái)必須開(kāi)發(fā)出不同的程序,另外所需配置的數(shù)量眾多。但是對(duì)系統(tǒng)內(nèi)在的結(jié)構(gòu)卻沒(méi)有任何約束,同時(shí)可以利用操作系統(tǒng)本身提供的功能,并結(jié)合異常檢測(cè)分析,更能準(zhǔn)確的報(bào)告攻擊行為。(2)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)(NIDS:Network-basedIntrusionDetectionSystem)把原始的網(wǎng)絡(luò)數(shù)據(jù)包作為數(shù)據(jù)源。它是利用網(wǎng)絡(luò)適配器來(lái)實(shí)時(shí)地監(jiān)視并分析通過(guò)網(wǎng)絡(luò)進(jìn)行傳輸?shù)乃型ㄐ艠I(yè)務(wù)。它的攻擊識(shí)別模塊進(jìn)行攻擊簽名識(shí)別的方法有:模式、表達(dá)式或字節(jié)碼匹配;頻率或閾值比較;次要事件的相關(guān)性處理;統(tǒng)計(jì)異常檢測(cè)。一旦檢測(cè)到攻擊,IDS的響應(yīng)模塊通過(guò)通知、報(bào)警以及中斷連接等方式來(lái)對(duì)攻擊行為作出反應(yīng)。然而它只能監(jiān)視通過(guò)本網(wǎng)段的活動(dòng),并且精確度較差,在交換網(wǎng)絡(luò)環(huán)境中難于配置,防欺騙的能力也比較差。但它也有著一定的優(yōu)勢(shì):(a)成本低;(b)攻擊者轉(zhuǎn)移證據(jù)困難;(C)實(shí)時(shí)的檢測(cè)和響應(yīng);(d)能夠檢測(cè)到未成功的攻擊企圖;(e)與操作系統(tǒng)無(wú)關(guān),即基于網(wǎng)絡(luò)的IDS并不依賴主機(jī)的操作系統(tǒng)作為檢測(cè)資源。2.1.2按照采用的檢測(cè)技術(shù)分類(1)異常檢測(cè)
異常檢測(cè)(AnomalyDetection),也被稱為基于行為的檢測(cè);其基本前提是:假定所有的入侵行為都是異常的。原理:首先建立系統(tǒng)或用戶的“!毙袨樘卣鬏喞,通過(guò)比較當(dāng)前的系統(tǒng)或用戶的行為是否偏離正常的行為特征輪廓來(lái)判斷是否發(fā)生了入侵。而不是依賴于具體行為是否出現(xiàn)來(lái)進(jìn)行檢測(cè)的,從這個(gè)意義上來(lái)講,異常檢測(cè)是一種間接的方法。(2)誤用檢測(cè)
誤用檢測(cè)(MisuseDetection),也被稱為基于知識(shí)的檢測(cè);其基本前提是:假定所有可能的入侵行為都能被識(shí)別和表示。原理:首先對(duì)已知的攻擊方法進(jìn)行攻擊簽名(攻擊簽名是指用一種特定的方式來(lái)表示已知的攻擊模式)表示,然后根據(jù)已經(jīng)定義好的攻擊簽名,通過(guò)判斷這些攻擊簽名是否出現(xiàn)來(lái)判斷入侵行為的發(fā)生與否。這種方法是直接判斷攻擊簽名的出現(xiàn)與否來(lái)判斷入侵的,從這一點(diǎn)來(lái)看,它是一種直接的方法。3人侵檢測(cè)系統(tǒng)模型
這里介紹的是通用人侵檢測(cè)框架(CommonIn-trusionDetectionFramework-CIDF)模型。CIDF工作組是由TeresaLunt發(fā)起的,專門對(duì)入侵檢測(cè)進(jìn)行標(biāo)準(zhǔn)化工作的組織。主要對(duì)入侵檢測(cè)進(jìn)行標(biāo)準(zhǔn)化,開(kāi)發(fā)一些協(xié)議和應(yīng)用程序接口,以便入侵檢測(cè)研究項(xiàng)目能夠共享信息和資源,同樣入侵檢測(cè)系統(tǒng)組件也可以被其他系統(tǒng)應(yīng)用。CIDF提出了一個(gè)入侵檢測(cè)系統(tǒng)(IDS)的通用模型。它將入侵檢測(cè)系統(tǒng)分為以下幾個(gè)單元組件:
(1)事件產(chǎn)生器(Eventgenerators);(2)事件分析器(Eventanalyzers);(3)響應(yīng)單元(Responseunits);(4)事件數(shù)據(jù)庫(kù)(Eventdatabases)。
CIDF將入侵檢測(cè)系統(tǒng)(IDS)需要分析的數(shù)據(jù)統(tǒng)稱為事件(event),它可以是網(wǎng)絡(luò)中的數(shù)據(jù)包,也可以是從系統(tǒng)日志等審計(jì)記錄途徑得到的信息。事件產(chǎn)生器即檢測(cè)器,它是從整個(gè)計(jì)算環(huán)境中獲得事件,并向系統(tǒng)的其他部分提此事件;事件分析器分析得到的數(shù)據(jù),并產(chǎn)生分析結(jié)果;響應(yīng)單元?jiǎng)t是對(duì)分析結(jié)果作出反應(yīng)的功能單元,它可以作出切斷連接、改變文件屬性等強(qiáng)烈反應(yīng),甚至發(fā)動(dòng)對(duì)攻擊者的反擊,也可以只是簡(jiǎn)單的報(bào)警;事件數(shù)據(jù)庫(kù)是存放各種中間和最終數(shù)據(jù)的地方的總稱,它可以是復(fù)雜的數(shù)據(jù)庫(kù),也可以簡(jiǎn)單的文本文件。4入侵檢測(cè)過(guò)程分析
過(guò)程分為三部分:信息收集、信息和結(jié)果處理。
1)信息收集:入侵檢測(cè)的第一步是信息收集,收集的內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為。由放置在不同網(wǎng)段的傳感器或不同主機(jī)的代理來(lái)收集信息,包括系統(tǒng)和網(wǎng)絡(luò)13志文件、網(wǎng)絡(luò)流量、非正常的目錄和文件改變、非正常的程序執(zhí)行。
2)信息分析:收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等信息,被送到檢測(cè)引擎,檢測(cè)引擎駐留在傳感器中,一般通過(guò)三種技術(shù)手段進(jìn)行分析:模式匹配、統(tǒng)計(jì)分析和完整性分析。當(dāng)檢測(cè)到某種誤用模式時(shí),產(chǎn)生一個(gè)告警并發(fā)送給控制臺(tái)。
3)結(jié)果處理:控制臺(tái)按照告警產(chǎn)生預(yù)先定義的響應(yīng)采取相應(yīng)措施,可以是重新配置路由器或防火墻、終止進(jìn)程、切斷連接、改變文件屬性,也可以只是簡(jiǎn)單的告警。5入侵檢測(cè)方法
由于入侵檢測(cè)的最實(shí)質(zhì)的特征就是一個(gè)分類器,即從大量數(shù)據(jù)中分辨出入侵和非入侵的信息。簡(jiǎn)言之即為二分類問(wèn)題。這里將對(duì)入侵檢測(cè)所采用的方法作一個(gè)簡(jiǎn)單介紹。I)統(tǒng)計(jì)方法(StatisticalApproaches)
統(tǒng)計(jì)方法是基于行為的入侵檢測(cè)中應(yīng)用最早也是最多的一種方法。首先,檢測(cè)器根據(jù)用戶對(duì)象的動(dòng)作為每個(gè)用戶都建立一個(gè)用戶特征輪廓表,通過(guò)比較當(dāng)前特征與已建立的以前特征,從而判斷是否是異常行為。用戶特征輪廓表需要根據(jù)審計(jì)記錄情況不斷地加以更新。特征輪廓表包含許多衡量特征量,如CPU的使用,I/0的使用,一段時(shí)間內(nèi)網(wǎng)絡(luò)連接次數(shù),審計(jì)記錄的分布情況等。
2)專家系統(tǒng)(ExpertSystem)
這是誤用檢測(cè)常用的方法。早期的入侵檢測(cè)系統(tǒng)多采用專家系統(tǒng)來(lái)檢測(cè)系統(tǒng)中的入侵行為。通常入侵行為編碼成專家系統(tǒng)的規(guī)則。每個(gè)規(guī)則具有“IF條件THEN動(dòng)作”的形式;其中條件為審計(jì)記錄中某些域的限制條件;動(dòng)作表示規(guī)則被觸發(fā)時(shí)入侵檢測(cè)系統(tǒng)所采取的處理動(dòng)作,結(jié)果可以是一些新證據(jù)的斷言或用于提高某個(gè)用戶行為的可疑度。這些規(guī)則既可識(shí)別單個(gè)審計(jì)事件,也可識(shí)別表示一個(gè)入侵行為的一系列事件。專家系統(tǒng)可以自動(dòng)地解釋系統(tǒng)的審計(jì)記錄并判斷他們是否滿足描述人侵行為的規(guī)則。由于專家系統(tǒng)必須由安全專家用專家知識(shí)來(lái)構(gòu)造,因此系統(tǒng)的能力受限于專家知識(shí),很可能導(dǎo)致漏警率的提高。另外,規(guī)則的修改必須考慮規(guī)則集中不同規(guī)則的依賴性。
3)狀態(tài)遷移分析(StateTransitionAnalysis)
狀態(tài)遷移分析即將狀態(tài)遷移圖應(yīng)用于入侵行為的分析。狀態(tài)遷移法將入侵過(guò)程看作一個(gè)行為序列,這個(gè)行為序列導(dǎo)致系統(tǒng)從初始狀態(tài)轉(zhuǎn)入被入侵狀態(tài)。分析時(shí)首先針對(duì)每一種入侵方法確定系統(tǒng)的初始狀態(tài)和被入侵狀態(tài),以及導(dǎo)致?tīng)顟B(tài)遷移的轉(zhuǎn)換條件,即導(dǎo)致系統(tǒng)進(jìn)人被入侵狀態(tài)必須執(zhí)行的操作(特征事件)。然后用狀態(tài)轉(zhuǎn)換圖來(lái)表示每一個(gè)狀態(tài)和特征事件,這些事件被集成于模型中,所以檢測(cè)時(shí)需要一個(gè)個(gè)地查找審計(jì)記錄。除了上述的方法外,應(yīng)用到入侵檢測(cè)領(lǐng)域的方法還有模式匹配(PatternMatching)、神經(jīng)網(wǎng)絡(luò)(NeuralNetwork)、數(shù)據(jù)挖掘(DataMining)、信息論測(cè)度(Information-Theo-reticMeasures)、免疫學(xué)(Im2munology)等o6結(jié)束語(yǔ)
入侵檢測(cè)作為一種積極主動(dòng)的安全防護(hù)技術(shù),提供了對(duì)內(nèi)部攻擊,外部攻擊和誤操作的實(shí)時(shí)保護(hù),在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)人侵。在不斷發(fā)展變化的網(wǎng)絡(luò)環(huán)境下,入侵檢測(cè)仍將面臨巨大的挑戰(zhàn)。從進(jìn)攻角度來(lái)看,由于技術(shù)的進(jìn)步,攻擊者的目的、能力在不斷提高,攻擊工具也13益復(fù)雜化和多樣化,攻擊場(chǎng)景變得更加多樣、復(fù)雜、細(xì)致、新穎。而惡意信息的加密傳送以及13益增長(zhǎng)的網(wǎng)絡(luò)通信流量也是對(duì)入侵檢測(cè)的考驗(yàn)。另外,入侵檢測(cè)系統(tǒng)的自身的安全及入侵檢測(cè)系統(tǒng)的評(píng)估標(biāo)準(zhǔn)的缺乏也是入侵檢測(cè)領(lǐng)域所需解決的問(wèn)題。
參考文獻(xiàn):
[1]PaulE.入侵檢測(cè)使用手冊(cè)[M].鄧騎皓等譯.北京:中國(guó)電力出版社,201*.8.
[2][美]RebeccaGurleyBace(著).陳明奇,吳秋新,張振濤,楊曉兵(譯).入侵檢測(cè)[M].北京:人民郵電出社,201*.
[3][美]TerryEscamilla(著).吳焱,等(譯).入侵者檢測(cè)[M].北京:電子工業(yè)出版社,1999.
擴(kuò)展閱讀:入侵檢測(cè)技術(shù)研究綜述
文章編號(hào):1009-8119(201*)07-0038-03
入侵檢測(cè)技術(shù)研究綜述
宋普選應(yīng)錦鑫
(北京理工大學(xué)計(jì)算機(jī)系,北京100081)
摘要對(duì)入侵監(jiān)測(cè)技術(shù)和入侵監(jiān)測(cè)系統(tǒng)進(jìn)行了研究和闡述。入侵監(jiān)測(cè)技術(shù)和入侵監(jiān)測(cè)系統(tǒng)的概念,對(duì)入侵監(jiān)測(cè)系統(tǒng)按獲得數(shù)據(jù)的方法和監(jiān)測(cè)方法進(jìn)行了詳細(xì)的分類,描述了一種入侵監(jiān)測(cè)系統(tǒng)的系統(tǒng)模型,敘述了入侵監(jiān)測(cè)的技術(shù)途徑,介紹了對(duì)入侵監(jiān)測(cè)系統(tǒng)面臨的問(wèn)題和發(fā)展趨勢(shì)。
關(guān)鍵詞入侵監(jiān)測(cè),特征監(jiān)測(cè),異常監(jiān)測(cè)
ASummaryofIntrusionDetectionTechnology
SongPuxuanYingJinxin
(Dept.ofComputerScience,BeijingInstituteofTechnology,Beijing10081,China)
AbstractThispaperdescribestheresearchofIntrusionDetectiontechnologyandIntrusionDetectionSystem.TheconceptandhistoryofIntrusionDetectionisfirstintroduced,thenaclassificationofIDSispresentedbasedontwomethods.NextthesystemmoduleofIDSisexplained,andthetechnicalapproachesaredetailedanalyzed.FinallythechallengeandfuturetrendofIDSisdiscussed.
KeywordsIntrusiondetection,Signature-baseddetection,Anomalydetection
隨著網(wǎng)絡(luò)技術(shù)快速發(fā)展和網(wǎng)絡(luò)應(yīng)用環(huán)境不斷普及的同時(shí),安全問(wèn)題也越來(lái)越突出,引起各界關(guān)注。由于TCP/IP協(xié)議族本身缺乏相應(yīng)的安全機(jī)制,加上各種操作系和應(yīng)用軟件存在各種漏洞,使得整個(gè)網(wǎng)絡(luò)的安全問(wèn)題不可避免。
現(xiàn)有的安全機(jī)制通過(guò)訪問(wèn)控制,例如口令和防火墻技術(shù),來(lái)保護(hù)計(jì)算機(jī)和網(wǎng)絡(luò)不受非法和未經(jīng)授權(quán)用戶的使用。然而,如果這些訪問(wèn)措施被泄露或者被繞過(guò),則可能導(dǎo)致巨大的損失和系統(tǒng)運(yùn)行的崩潰。在傳統(tǒng)的加密和防火墻技術(shù)已不能完全滿足安全需求的同時(shí),入侵檢測(cè)技術(shù)作為一種新的安全手段,正越來(lái)越受到重視。
1.入侵檢測(cè)(IntrusionDetection)的概念
1980年,Anderson首次提出了入侵檢測(cè)的概念。他將入侵行為劃分為外部闖入、內(nèi)部授權(quán)、用戶的越權(quán)使用和濫用等三種類型,并提出用審計(jì)追蹤監(jiān)視入侵威脅。1987年,Denning首次提出異常檢測(cè)抽象模型,將入侵檢測(cè)作為一種計(jì)算機(jī)系統(tǒng)的安全防御措施。美國(guó)國(guó)際計(jì)算機(jī)安全協(xié)會(huì)(ICSA)對(duì)入侵檢測(cè)的定義是:入侵檢測(cè)是通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術(shù)。
入侵檢測(cè)具有監(jiān)視分析用戶和系統(tǒng)的行為、審計(jì)系統(tǒng)配置及漏洞、評(píng)估敏感系統(tǒng)和數(shù)據(jù)的完整性、識(shí)別攻擊行為、對(duì)異常行為進(jìn)行統(tǒng)計(jì)、自動(dòng)地收集與系統(tǒng)相關(guān)的補(bǔ)丁、審計(jì)跟蹤識(shí)別違反安全法規(guī)的行為、使用誘騙服務(wù)器記錄黑客行為等功能,使系統(tǒng)管理員比較有效地監(jiān)視、審計(jì)、評(píng)估自己的系統(tǒng)。
進(jìn)行入侵檢測(cè)的軟件和硬件的組合就是入侵檢測(cè)系統(tǒng)。入侵檢測(cè)系統(tǒng)(IntrusionDetectionSystem)是在一個(gè)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)上實(shí)時(shí)的入侵檢測(cè)、報(bào)警、響應(yīng)和防范系統(tǒng)。IDS用來(lái)識(shí)別針對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng),或者更廣泛意義上的信息系統(tǒng)的非法攻擊,包括檢測(cè)外界非法入侵者的惡意攻擊或試探,以及內(nèi)部用戶的越權(quán)非法行動(dòng)。
2.入侵檢測(cè)系統(tǒng)的分類
2.1按獲得原始數(shù)據(jù)的方法分類
此種分類方法可以將入侵檢測(cè)系統(tǒng)分為基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)、基于主機(jī)的入侵檢測(cè)系統(tǒng)、分布式入侵檢測(cè)系統(tǒng)和基于應(yīng)用的入侵檢測(cè)系統(tǒng)。
(1)基于主機(jī)的入侵檢測(cè)系統(tǒng)
基于主機(jī)的入侵檢測(cè)出現(xiàn)在80年代初期,入侵在當(dāng)時(shí)是相當(dāng)少見(jiàn)的,在對(duì)攻擊的事后分析就可以防止今后的攻擊。
現(xiàn)在的基于主機(jī)的入侵檢測(cè)系統(tǒng)保留了一種有力的工具,以理解以前的攻擊形式,并選擇合適的方法去抵御未來(lái)的攻擊;谥鳈C(jī)的IDS仍使用驗(yàn)證記錄,但自動(dòng)化程度大大提高,并發(fā)展了精密的可迅速做出響應(yīng)的檢測(cè)技術(shù)。通常,基于主機(jī)的IDS可監(jiān)測(cè)系統(tǒng)、事件和WindowNT下的安全記錄以及UNIX環(huán)境下的系統(tǒng)記錄。當(dāng)有文
件發(fā)生變化時(shí),IDS將新的記錄條目與攻擊標(biāo)記相比較,看它們是否匹配。如果匹配,系統(tǒng)就會(huì)向管理員報(bào)警并向別的目標(biāo)報(bào)告,以采取措施。
基于主機(jī)的IDS在發(fā)展過(guò)程中融入了其它技術(shù)。對(duì)關(guān)鍵系統(tǒng)文件和可執(zhí)行文件入侵檢測(cè)的一個(gè)常用方法,是通過(guò)定期檢查校驗(yàn)進(jìn)行的,以便發(fā)現(xiàn)意外的變化。反應(yīng)的快慢與輪詢間隔的頻率有直接的關(guān)系。最后,許多產(chǎn)品都是監(jiān)聽(tīng)端口的活動(dòng),并在特定端口被訪問(wèn)時(shí)向管理員報(bào)警。這類檢測(cè)方法將基于網(wǎng)絡(luò)的入侵檢測(cè)的基本方法融入到基于主機(jī)的檢測(cè)環(huán)境中。
(2)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)
基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)使用原始網(wǎng)絡(luò)包作為數(shù)據(jù)源;诰W(wǎng)絡(luò)的IDS通常利用一個(gè)運(yùn)行在隨機(jī)模式下網(wǎng)絡(luò)的適配器來(lái)實(shí)時(shí)監(jiān)測(cè)并分析通過(guò)網(wǎng)絡(luò)的所有通信業(yè)務(wù)。它的攻擊辨識(shí)模塊通常使用四種技術(shù)來(lái)識(shí)別攻擊標(biāo)志。四種技術(shù)分別是模式、表達(dá)式或字節(jié)匹配,頻率或穿越閥值,次要事件的相關(guān)性和統(tǒng)計(jì)學(xué)意義上的非常規(guī)現(xiàn)象檢測(cè)。一旦檢測(cè)到了攻擊行為,IDS的響應(yīng)模塊就提供多種選項(xiàng)以通知、報(bào)警并對(duì)攻擊采取相應(yīng)的反應(yīng)。反應(yīng)因產(chǎn)品而異,但通常都包括通知管理員、中斷連接并且/或?yàn)榉ㄍシ治龊妥C據(jù)收集而做的會(huì)話記錄;诰W(wǎng)絡(luò)的IDS有許多僅靠基于主機(jī)的入侵檢測(cè)法無(wú)法提供的功能。
(3)分布式入侵檢測(cè)系統(tǒng)
基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)和基于主機(jī)的入侵檢測(cè)系統(tǒng)都有不足之處,單純使用一類產(chǎn)品會(huì)造成主動(dòng)防御體系不全面。如果這兩類產(chǎn)品能夠無(wú)縫結(jié)合起來(lái)部署在網(wǎng)絡(luò)內(nèi),則會(huì)構(gòu)架成一套完整立體的主動(dòng)防御體系。綜合了基于網(wǎng)絡(luò)和基于主機(jī)兩種結(jié)構(gòu)特點(diǎn)的入侵檢測(cè)系統(tǒng),既可發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊信息,也可從系統(tǒng)日志中發(fā)現(xiàn)異常情況。這就是分布式入侵檢測(cè)系統(tǒng),它能夠同時(shí)分析來(lái)自主機(jī)系統(tǒng)審計(jì)日志和網(wǎng)絡(luò)數(shù)據(jù)流的入侵檢測(cè)系統(tǒng),一般為分布式結(jié)構(gòu),由多個(gè)部件組成。
(4)基于應(yīng)用的入侵檢測(cè)系統(tǒng)
基于應(yīng)用的監(jiān)控技術(shù)的主要特征是使用監(jiān)控傳感器在應(yīng)用層收集信息。由于這種技術(shù)可以更準(zhǔn)確地監(jiān)控用戶某一應(yīng)用的行為,所以這種技術(shù)在日益流行的電子商務(wù)中也越來(lái)越受到注意,其缺點(diǎn)在于有可能降低技術(shù)本身的安全。
根據(jù)檢測(cè)方法可以將入侵檢測(cè)系統(tǒng)分為特征檢測(cè)和異常檢測(cè)兩種。
特征檢測(cè)(Signature-baseddetection)又稱Misusedetection,這種檢測(cè)方法假設(shè)入侵者活動(dòng)可以用一種模式來(lái)表示,系統(tǒng)的目標(biāo)是檢測(cè)主體活動(dòng)是否符合這些模式。首先要定義違背安全策略的事件特征,如網(wǎng)絡(luò)數(shù)據(jù)包的某些頭信息。檢測(cè)主要判別所搜集到的數(shù)據(jù)特征是否在所收集到的入侵模式庫(kù)中出現(xiàn)。它可以將已有的入侵方法檢查出來(lái),但對(duì)新的入侵方法無(wú)能為力。其難點(diǎn)在于如何設(shè)計(jì)模式既能夠表達(dá)“入侵”現(xiàn)象,又不會(huì)將正常的活動(dòng)包含進(jìn)來(lái)。
異常檢測(cè)(Anomalydetection)的假設(shè)是入侵者活動(dòng)異常于正常主體的活動(dòng)。根據(jù)這一理念建立主體正;顒(dòng)的“活動(dòng)簡(jiǎn)檔”,將當(dāng)前主體的活動(dòng)狀況與“活動(dòng)簡(jiǎn)檔”相比較,當(dāng)違反其統(tǒng)計(jì)規(guī)律時(shí),認(rèn)為該活動(dòng)可能是“入侵”行為。先定義一組系統(tǒng)“正常”情況的閥值,如CPU利用率、內(nèi)存利用率、文件校驗(yàn)和等,然后將系統(tǒng)運(yùn)行時(shí)的數(shù)值與所定義的“正常”情況比較,得出是否有被攻擊的跡象。這種檢測(cè)方式的核心在于如何分析系統(tǒng)運(yùn)行情況。異常檢測(cè)的難題在于如何建立“活動(dòng)簡(jiǎn)檔”以及如何設(shè)計(jì)統(tǒng)計(jì)算法,從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為。
兩種檢測(cè)技術(shù)的方法及所得出的結(jié)論有非常大的差異;谔卣鞯臋z測(cè)技術(shù)的核心是維護(hù)一個(gè)知識(shí)庫(kù)。對(duì)于已知得攻擊,它可以詳細(xì)、準(zhǔn)確的報(bào)告出攻擊類型,但是對(duì)未知攻擊卻效果有限,而且知識(shí)庫(kù)必須不斷更新;诋惓5臋z測(cè)技術(shù)則無(wú)法準(zhǔn)確判別出攻擊的手法,但它可以判別更廣泛、甚至未發(fā)覺(jué)的攻擊。如果條件允許,兩者結(jié)合的檢測(cè)會(huì)達(dá)到更好的效果。
另外,入侵檢測(cè)系統(tǒng)還有其他一些分類方法。如根據(jù)布控位置可分為基于網(wǎng)絡(luò)邊界(防火墻、路由器)的監(jiān)控系統(tǒng)、基于網(wǎng)絡(luò)的流量監(jiān)控系統(tǒng)以及基于主機(jī)的審計(jì)追蹤監(jiān)控系統(tǒng);根據(jù)建模方法可分為基于異常檢測(cè)的系統(tǒng)、基于行為檢測(cè)的系統(tǒng)、基于分布式免疫的系統(tǒng)等。
2.2按檢測(cè)方法的分類
3.入侵檢測(cè)系統(tǒng)模型
目前,通用入侵檢測(cè)架構(gòu)(CIDF)組織和IETF都試圖對(duì)入侵檢測(cè)系統(tǒng)進(jìn)行標(biāo)準(zhǔn)化。CIDF闡述了一個(gè)入侵檢測(cè)系統(tǒng)的通用模型,將入侵檢測(cè)系統(tǒng)分為4個(gè)組件:事件產(chǎn)生器、事件分析器、響應(yīng)單元及事件數(shù)據(jù)庫(kù)。CIDF將入侵檢測(cè)系統(tǒng)需要分析的數(shù)據(jù)統(tǒng)稱為事件,它可以是網(wǎng)絡(luò)中的數(shù)據(jù)包,也可以是從系統(tǒng)日志等其他途徑得到的信息。
事件產(chǎn)生器的目的是從整個(gè)計(jì)算環(huán)境中獲得事件,并向系統(tǒng)的其他部分提供此事件。事件分析器分析得到的數(shù)據(jù),并產(chǎn)生分析結(jié)果。響應(yīng)單元?jiǎng)t是對(duì)分析結(jié)果作出反應(yīng)的功能單元,它可以作出切斷連接、改變文件屬性等強(qiáng)
烈反應(yīng),也可以只是簡(jiǎn)單的報(bào)警。事件數(shù)據(jù)庫(kù)是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱,它可以是復(fù)雜的數(shù)據(jù)庫(kù),也可以是簡(jiǎn)單的文本文件。
在其他文章中,經(jīng)常用數(shù)據(jù)采集部分(探測(cè)器)、分析部分(分析器)和控制臺(tái)部分(用戶接口)來(lái)分別代替
事件產(chǎn)生器、事件分析器和響應(yīng)單元這些術(shù)語(yǔ)。
此模型綜合應(yīng)用基于主機(jī)和基于網(wǎng)絡(luò)的兩方面技術(shù),對(duì)來(lái)自外部的網(wǎng)絡(luò)攻擊和內(nèi)部的濫用行為同時(shí)進(jìn)行檢測(cè)。模型中主要包括四個(gè)模塊:網(wǎng)絡(luò)數(shù)據(jù)截獲模塊、主機(jī)檢測(cè)模塊、網(wǎng)絡(luò)檢測(cè)模塊和RS模塊。網(wǎng)絡(luò)數(shù)據(jù)截獲模塊抓取進(jìn)入PC的網(wǎng)絡(luò)數(shù)據(jù),主要有數(shù)據(jù)包的鏈路頭信息、TCP/IP的報(bào)頭信息以及網(wǎng)絡(luò)會(huì)話的狀態(tài)信息等。主機(jī)檢測(cè)模塊則通過(guò)對(duì)本地主機(jī)相關(guān)文件的掃描或網(wǎng)絡(luò)使用狀況的統(tǒng)計(jì),加上對(duì)審計(jì)記錄的分析來(lái)檢測(cè)PC上是否發(fā)生了入侵活動(dòng)。網(wǎng)絡(luò)檢測(cè)模塊的主要功能是通過(guò)分析網(wǎng)絡(luò)數(shù)據(jù)包的相關(guān)信息來(lái)判定是否有入侵行為要發(fā)生。RS模塊則根據(jù)檢測(cè)模塊的檢測(cè)結(jié)果采取相應(yīng)的措施,如發(fā)出警報(bào)消息、斷開(kāi)網(wǎng)絡(luò)連接等。
4.入侵檢測(cè)的技術(shù)途徑
4.1信息收集
入侵檢測(cè)的第一步是信息收集,內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為。而且,需要在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)收集信息。入侵檢測(cè)利用的信息一般來(lái)自以下四個(gè)方面。
系統(tǒng)日志:黑客經(jīng)常在系統(tǒng)日志中留下蹤跡,充分利用系統(tǒng)日志是檢測(cè)入侵的必要條件。日志文件中記錄了各種行為類型,每種類型又包含不同的信息,對(duì)用戶活動(dòng)來(lái)講,不正常的或不期望的行為就是重復(fù)登錄失敗、登錄到不期望的位置以及非授權(quán)的企圖訪問(wèn)重要文件等等。
目錄及文件中的異常改變:網(wǎng)絡(luò)環(huán)境中的文件系統(tǒng)包含很多軟件和數(shù)據(jù)文件,包含重要信息的文件和私有數(shù)據(jù)文件經(jīng)常是黑客修改或破壞的目標(biāo)。
程序執(zhí)行中的異常行為:每個(gè)在系統(tǒng)上執(zhí)行的程序由一到多個(gè)進(jìn)程來(lái)實(shí)現(xiàn)。每個(gè)進(jìn)程執(zhí)行在具有不同權(quán)限的環(huán)境中,這種環(huán)境控制著進(jìn)程可訪問(wèn)的系統(tǒng)資源、程序和數(shù)據(jù)文件等。一個(gè)進(jìn)程出現(xiàn)了不期望的行為可能表明黑客正在入侵該系統(tǒng)。黑客可能會(huì)將程序或服務(wù)的運(yùn)行分解,從而導(dǎo)致它失敗,或者是以非用戶或管理員意圖的方式操作。
物理形式的入侵信息:這包括兩個(gè)方面的內(nèi)容,一是未授權(quán)的對(duì)網(wǎng)絡(luò)硬件連接;二是對(duì)物理資源的未授權(quán)訪問(wèn)。4.2數(shù)據(jù)分析
一般通過(guò)三種技術(shù)手段進(jìn)行分析:模式匹配,統(tǒng)計(jì)分析和完整性分析。其中前兩種方法用于實(shí)時(shí)的入侵檢測(cè),而完整性分析則用于事后分析。
(1)模式匹配
模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫(kù)進(jìn)行比較,從而發(fā)現(xiàn)違背安全策略的行為。該方法的優(yōu)點(diǎn)是只需收集相關(guān)的數(shù)據(jù)集合,顯著減少系統(tǒng)負(fù)擔(dān),且技術(shù)已相當(dāng)成熟,檢測(cè)準(zhǔn)確率和效率都相當(dāng)高。該方法存在的弱點(diǎn)是需要不斷的升級(jí)以對(duì)付不斷出現(xiàn)的攻擊手法,不能檢測(cè)到從未出現(xiàn)過(guò)的攻擊手段。
(2)統(tǒng)計(jì)分析
統(tǒng)計(jì)分析方法首先給系統(tǒng)對(duì)象(如用戶、文件、目錄和設(shè)備等)創(chuàng)建一個(gè)統(tǒng)計(jì)描述,統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性(如訪問(wèn)次數(shù)、操作失敗次數(shù)和延時(shí)等)。測(cè)量屬性的平均值將被用來(lái)與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較,任何觀察值在正常值范圍之外時(shí),就認(rèn)為有入侵發(fā)生。其優(yōu)點(diǎn)是可檢測(cè)到未知的入侵和更為復(fù)雜的入侵,缺點(diǎn)是誤報(bào)率高,且不適應(yīng)用戶正常行為的突然改變。具體的統(tǒng)計(jì)分析方法如基于專家系統(tǒng)的、基于模型推理的和基于神經(jīng)網(wǎng)絡(luò)的分析方法。
(3)完整性分析
完整性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓,這經(jīng)常包括文件和目錄的內(nèi)容及屬性,它在發(fā)現(xiàn)被更改的、被特洛伊化的應(yīng)用程序方面特別有效。其優(yōu)點(diǎn)是不管模式匹配方法和統(tǒng)計(jì)分析方法能否發(fā)現(xiàn)入侵,只要是成功的攻
擊導(dǎo)致了文件或其它對(duì)象的任何改變,它都能夠發(fā)現(xiàn)。缺點(diǎn)是一般以批處理方式實(shí)現(xiàn),不用于實(shí)時(shí)響應(yīng)。
5.入侵檢測(cè)系統(tǒng)的挑戰(zhàn)及發(fā)展趨勢(shì)
5.1入侵檢測(cè)技術(shù)面臨的挑戰(zhàn)
首先是攻擊者不斷增加的知識(shí),日趨成熟多樣自動(dòng)化工具,以及越來(lái)越復(fù)雜細(xì)致的攻擊手法。入侵檢測(cè)系統(tǒng)必須不斷跟蹤最新的安全技術(shù),才能不致被攻擊者超越。
惡意信息采用加密的方法傳輸。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)通過(guò)匹配網(wǎng)絡(luò)數(shù)據(jù)包發(fā)現(xiàn)攻擊行為,入侵檢測(cè)系統(tǒng)往往假設(shè)攻擊信息是通過(guò)明文傳輸?shù),因此?duì)信息的稍加改變便可能騙過(guò)入侵檢測(cè)系統(tǒng)的檢測(cè)。
不能知道安全策略的內(nèi)容。必須協(xié)調(diào)、適應(yīng)多樣性的環(huán)境中的不同安全策略。網(wǎng)絡(luò)及其設(shè)備越來(lái)越多樣化,入侵檢測(cè)系統(tǒng)要能有所定制以更適應(yīng)多樣的環(huán)境要求。
對(duì)入侵檢測(cè)系統(tǒng)自身的攻擊。入侵檢測(cè)系統(tǒng)本身也往往存在安全漏洞。大量的誤報(bào)和漏報(bào)使得發(fā)現(xiàn)問(wèn)題的真正所在非常困難。
高速網(wǎng)絡(luò)技術(shù),尤其是交換技術(shù)以及加密信道技術(shù)的發(fā)展,使得通過(guò)共享網(wǎng)段偵聽(tīng)的網(wǎng)絡(luò)數(shù)據(jù)采集方法顯得不足,而巨大的通信量對(duì)數(shù)據(jù)分析也提出了新的要求。
5.2入侵檢測(cè)系統(tǒng)的發(fā)展趨勢(shì)
當(dāng)前入侵檢測(cè)系統(tǒng)主要發(fā)展方向可以概括為三個(gè)方向。
大規(guī)模分布式入侵檢測(cè):第一層含義,即針對(duì)分布式網(wǎng)絡(luò)攻擊的檢測(cè)方法;第二層含義即使用分布式的方法來(lái)檢測(cè)分布式的攻擊,其中的關(guān)鍵技術(shù)為檢測(cè)信息的協(xié)同處理與入侵攻擊的全局信息的提取。
智能化入侵檢測(cè):即使用智能化的方法與手段來(lái)進(jìn)行入侵檢測(cè)。所謂的智能化方法,常用的有神經(jīng)網(wǎng)絡(luò)、遺傳算法、模糊技術(shù)、免疫原理等方法,這些方法常用于入侵特征的辨識(shí)與泛化。利用專家系統(tǒng)來(lái)構(gòu)建入侵檢測(cè)系統(tǒng)也是常用的方法,應(yīng)用智能體的概念來(lái)進(jìn)行入侵檢測(cè)的嘗試也已有報(bào)道。較為一致的解決方案應(yīng)為高效常規(guī)意義下的入侵檢測(cè)系統(tǒng)與具有智能檢測(cè)功能的檢測(cè)軟件或模塊的結(jié)合使用。
全面的安全防御方案:使用安全工程風(fēng)險(xiǎn)管理的思想與方法來(lái)處理網(wǎng)絡(luò)安全問(wèn)題,將網(wǎng)絡(luò)安全作為一個(gè)整體工程來(lái)處理。從管理、網(wǎng)絡(luò)結(jié)構(gòu)、加密通道、防火墻、病毒防護(hù)、入侵檢測(cè)多方位全面對(duì)所關(guān)注的網(wǎng)絡(luò)作全面的評(píng)估,然后提出可行的全面解決方案。
參考文獻(xiàn)
1唐正軍.網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[M].北京:電子工業(yè)出版社,201*
2呂慧勤,楊義先.一種基于CORBA技術(shù)的分布式入侵檢測(cè)系統(tǒng)[J].計(jì)算機(jī)工程與應(yīng)用,201*3寇蕓,宋鵬鵬,王育民.入侵檢測(cè)系統(tǒng)與PC安全的研究[J].計(jì)算機(jī)工程,201*4張杰,戴英俠.入侵檢測(cè)系統(tǒng)技術(shù)現(xiàn)狀及其發(fā)展趨勢(shì)[EB/OL].c144.net
友情提示:本文中關(guān)于《入侵檢測(cè)技術(shù)研究概述》給出的范例僅供您參考拓展思維使用,入侵檢測(cè)技術(shù)研究概述:該篇文章建議您自主創(chuàng)作。
來(lái)源:網(wǎng)絡(luò)整理 免責(zé)聲明:本文僅限學(xué)習(xí)分享,如產(chǎn)生版權(quán)問(wèn)題,請(qǐng)聯(lián)系我們及時(shí)刪除。