关键词:神经网络系统入侵检测系统网络安全
入侵检测作为一种主动防御技术,弥补了传统安全技术的不足。其主要通过监控网络与系统的状态、用户行为以及系统的使用情况,来检测系统用户的越权使用以及入侵者利用安全缺陷对系统进行入侵的企图,并对入侵采取相应的措施。
一、入侵检测系统概述
入侵检测系统(IntrusionDetectionSystem,简称IDS)可以认为是进行入侵检测过程时所需要配置的各种软件和硬件的组合。对一个成功的入侵检测系统来讲,它不但可使系统管理员时刻了解计算机网络系统(包括程序、文件和硬件设备等)的任何变更,还能给网络安全策略的制订提供指南。更为重要的一点是,对它的管理和配置应该更简单,从而使非专业人员能非常容易地进行操作。而且,入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后,会及时做出响应,包括切断网络连接、记录事件和报警等。
二、入侵检测系统的功能
1.检测入侵。检测入侵行为是入侵检测系统的核心功能,主要包括两个方面:一方面是对进出主机或者网络的数据进行监控,检查是否存在对系统的异常行为;另一方面是检查系统关键数据和文件的完整性,看系统是否己经遭到入侵行为。前者的作用是在入侵行为发生时及时发现,使系统免受攻击;后者一般是在系统遭到入侵时没能及时发现和阻止,攻击的行为已经发生,但可以通过攻击行为留下的痕迹了解攻击行为的一些情况,从而避免再次遭受攻击。对系统资源完整性的检查也有利于我们对攻击者进行追踪,对攻击行为进行取证。
2.抗欺骗。入侵检测系统要识别入侵者,入侵者就会想方设法逃避检测。逃避检测的方法很多,总结起来可分为误报和漏报两大类。一种使入侵检测系统误报的实现形式,是快速告普信息的产生让系统无法反应以致死机,这其实是通用的网络攻击方式一拒绝服务攻击在入侵检测系统上的体现。与误报相比,漏报更具危险性,即躲过系统的检测,使系统对某些攻击方式失效。入侵检测系统无法统一漏报和误报的矛盾,目前的入侵检测产品一般会在两者间进行折衷,并且进行调整以适应不同的应用环境。
3.记录、报警和响应。入侵检测系统在检测到攻击后,应该采取相应的措施来阻止攻击或者响应攻击。作为一种主动防御策略,它必然应该具备此功能。入侵检测系统首先应该记录攻击的基本情况,其次应该能够及时发出报警。好的入侵检测系统,不仅应该把相关数据记录在文件或数据库中,还应该提供好的报表打印功能。必要时,系统还应该采取必要的响应行为,如拒绝接受所有来自某台计算机的数据、追踪入侵行为等。
三、神经系统网络在入侵检测系统中的应用
目前计算机入侵的现状是入侵的数量日益增长、入侵个体的入侵手段和目标系统多种多样,因此要确切的描述入侵特征非常困难,入侵规则库和模式库的更新要求难以得到满足,这就要求入侵检测应该具有相当大的智能性和灵活性,这是多项人工智能技术被相继应用到入侵检测中的原因。
1.传统入侵检测中存在的问题。我们先来分析一下传统IDS存在的问题。传统IDS产品大多都是基于规则的,而这一传统的检测技术有一些难以逾越的障碍:
(1)在基于规则的入侵检测系统中,所有的规则可理解为“IF一THEN”形式,也就是说,这一规则表述的是一种严格的线性关系,缺乏灵活性和适应性,当网络数据出现信息不完整、变形失真或攻击方法变化时,这种检测方法将失效,因此引起较高的误警率和漏报率。
(2)随着攻击类型的多样化,必然导致规则库中的规则不断增多,当这些规则增加到一定程度,会引起系统检测效率的显著降低,在流量较高时,可造成丢包等现象。此外,攻击方法的不断发展,使得传统的入侵检测系统无法有效地预测和识别新的攻击方法,使系统的适应性受到限制。
(3)传统的用来描述用户行为特征的度量一般是凭感觉和经验的,这些度量是否能有效地描述用户行为很难估计。有些度量当考虑所有用户可能是无效的,但当考虑某些特别的用户时,可能又非常有用。
2.神经网络在入侵检测中的应用
作为人工智能(AD)的一个重要分支,神经网络在入侵检测领域得到了很好的应用。神经网络技术在入侵检测系统中用来构造分类器,主要用于资料特征的分析,以发现是否为一种入侵行为。如果是一种入侵行为,系统将与已知入侵行为的特征进行比较,判断是否为一种新的攻击行为,从而决定是进行丢弃还是进行存盘、报警、发送资料特征等工作。神经网络在入侵检测中的具体实现方法一般有两种:
(1)系统或模式匹配系统合并在一起
这种方法不是像以前一样在异常检测中用神经网络代替现有的统计分析部分,而是用神经网络来过滤出数据当中的可疑事件,并把这些事件转交给专家系统处理。这种结构可以通过减少专家系统的误报来提高检测系统的效用。因为神经网络将确定某一特别事件具有攻击迹象的概率,我们就可以确定一个闽值来决定事件是否转交给专家系统作进一步分析,这样一来,由于专家系统只接收可疑事件的数据,它的灵敏度就会大大增加(通常,专家系统以牺牲灵敏度来减少误报率)。这种结构对那些投资专家系统技术的机构大有好处,因为它提高了系统的效用,同时还保护了在现有IDS上的投资。
(2)网络作为一个独立的特征检测系统
在这个结构中,神经网络从网络流中接受数据,并对数据进行分析。任何被识别为带有攻击迹象的事件都将被转交给安全管理员或自动入侵应答系统来处理。这种方法在速度方面超过了以前的方法,因为它只有一个单独的分析层。另外,随着神经网络对攻击特征的学习,这种结构的效用也会不断提高,它不同于第一种方法,不会受专家系统分析能力的限制,而最终将超越专家系统基于规则的种种限制。
参考文献:
关键词:网络安全,入侵检测
随着计算机技术以及网络信息技术的高速发展, 许多部门都利用互联网建立了自己的信息系统, 以充分利用各类信息资源。但在连接信息能力、流通能力提高的同时,基于网络连接的安全问题也日益突出。在现今的网络安全技术中,常用的口令证、防火墙、安全审计及及加密技术等等,都属于静态防御技术,而系统面临的安全威胁越来越多,新的攻击手段也层出不穷,仅仅依靠初步的防御技术是远远不够的,需要采取有效的手段对整个系统进行主动监控。入侵检测系统是近年来网络安全领域的热门技术,是保障计算机及网络安全的有力措施之一。
1 入侵检测和入侵检测系统基本概念
入侵检测(Intrusion Detection)是动态的跟踪和检测方法的简称, 是对入侵行为的发觉,它通过旁路侦听的方式,对计算机网络和计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
入侵检测的软件和硬件组成了入侵检测系统(IDS:Intrusion Detection System),IDS是继防火墙之后的第二道安全闸门,它在不影响网络性能的情况下依照一定的安全策略,对网络的运行状况进行监测。它能够帮助网络系统快速发现网络攻击的发生,对得到的数据进行分析,一旦发现入侵,及进做出响应,包括切断网络连接、记录或者报警等。由于入侵检测能在不影响网络性能的情况下对网络进行监测,为系统提供对内部攻击、外部攻击和误操作的有效保护。因此,为网络安全提供高效的入侵检测及相应的防护手段,它以探测与控制为技术本质,能弥补防火墙的不足,起着主动防御的作用,是网络安全中极其重要的部分。免费论文。
2 入侵检测系统的分类
入侵检测系统根据其检测数据来源分为两类:基于主机的入侵检测系统和基于网络的入侵检测系统。
基于主机的入侵检测系统的检测目标是主机系统和系统本地用户。其原理是根据主机的审计数据和系统日志发现可疑事件。该系统通常运行在被监测的主机或服务器上,实时检测主机安全性方面如操作系统日志、审核日志文件、应用程序日志文件等情况,其效果依赖于数据的准确性以及安全事件的定义。基于主机的入侵检测系统具有检测效率高,分析代价小,分析速度快的特点,能够迅速并准确地定位入侵者,并可以结合操作系统和应用程序的行为特征对入侵进行进一步分析、响应。基于主机的入侵检测系统只能检测单个主机系统。
基于网络的入侵检测系统搜集来自网络层的信息。这些信息通常通过嗅包技术,使用在混杂模式的网络接口获得。基于网络的入侵检测系统可以监视和检测网络层的攻击。它具有较强的数据提取能力。在数据提取的实时性、充分性、可靠性方面优于基于主机日志的入侵检测系统。基于网络的入侵检测系统可以对本网段的多个主机系统进行检测,多个分布于不同网段上的基于网络的入侵检测系统可以协同工作以提供更强的入侵检测能力。
3 入侵检测方法
入侵检测方法主要分为异常入侵检测和误用入侵检测。
异常入侵检测的主要前提条件是将入侵性活动作为异常活动的子集,理想状况是异常活动集与入侵性活动集等同,这样,若能检测所有的异常活动,则可检测所有的入侵活动。但是,入侵性活动并不总是与异常活动相符合。这种活动存在4种可能性:(1)入侵性而非异常;(2)非入侵性且异常;(3)非入侵性且非异常;(4)入侵且异常。异常入侵要解决的问题是构造异常活动集,并从中发现入侵性活动子集。异常入侵检测方法依赖于异常模型的建立。不同模型构成不同的检测方法,异常检测是通过观测到的一组测量值偏离度来预测用户行为的变化,然后作出决策判断的检测技术。
误用入侵检测是通过将预先设定的入侵模式与监控到的入侵发生情况进行模式匹配来检测。它假设能够精确地将入侵攻击按某种方式编码,并可以通过捕获入侵攻击将其重新分析整理,确认该入侵行为是否为基于对同一弱点进行入侵攻击方法的变种,入侵模式说明导致安全事件或误用事件的特征、条件、排列和关系。免费论文。根据匹配模式的构造和表达方式的不同,形成了不同的误用检测模型。误用检测模型能针对性地建立高效的入侵检测系统,检测精度高,误报率低,但它对未知的入侵活动或已知入侵活动的变异检测的性能较低。
4 入侵检测系统的评估
对于入侵检测系统的评估,主要的性能指标有:(1)可靠性,系统具有容错能力和可连续运行;(2)可用性,系统开销要最小,不会严重降低网络系统性能;(3)可测试,通过攻击可以检测系统运行;(4)适应性,对系统来说必须是易于开发的,可添加新的功能,能随时适应系统环境的改变;(5)实时性,系统能尽快地察觉入侵企图以便制止和限制破坏;(6)准确性,检测系统具有较低的误警率和漏警率;(7)安全性,检测系统必须难于被欺骗和能够保护自身安全。免费论文。
5 入侵检测的发展趋势
入侵检测作为一种积极主动的安全防护技术,提供了对攻击和误操作的实时保护,在网络系统受到危险之前拦截和响应入侵,但它存在的问题有:误报率和漏报率高、检测速度慢,对IDS自身的攻击,缺乏准确定位与处理机制、缺乏性能评价体系等。在目前的入侵检测技术研究中,其主要的发展方向可概括为:
(1)大规模分布式入侵检测
(2)宽带高速网络的实时入侵检测技术
(3)入侵检测的数据融合技术
(4)与网络安全技术相结合
6 结束语
随着计算机技术以及网络信息技术的高速发展,入侵检测技术已成为计算机安全策略中的核心技术之一。它作为一种积极主动的防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,为网络安全提供高效的入侵检测及相应的防护手段。入侵检测作为一个新的安全机制开始集成到网络系统安全框架中。
[参考文献]
[1]张杰,戴英侠.入侵检测系统技术现状及其发展趋势[J].计算机与通信,2002,96]:28-32.
[2]陈明.网络安全教程[M].北京:清华大学出版社,2004,1.
[3]罗守山.入侵检测[M].北京:北京邮电大学出版社,2004.
[4]戴云,范平志,入侵检测系统研究综述[J].计算机工程与应用,2002,4.
关键词:数据库;入侵检测技术;网络安全
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2010) 09-0000-01
Research on Intrusion Detection Technology Based on Database
Zhang Jiang1,Tang Jing2
(1.Alashanmeng Party and Special Communication Bureau,Alashanmeng750306,China;2.,Alashanmeng Center Branch of The People’s Bank of China, Alashanmeng750306,China)
Abstract:In this papersome knowledge of intrusion detection,data mining,database security,intrusion tolerance are introduced.The database application security technology is posed aimed at the present threat of network.The core of this paper is database intrusion detection system,use intrusion tolerance technology proceed protect when the intrusion is inevitability,make the system continuing provide important serve when confront with attach and destroy.
Keywords:Database;Intrusion detection technology;Network Security
随着计算机技术和通信技术的迅速发展,计算机网络的安全也越来越成为人们关注的一个热点问题。所以数据库系统的安全变得越来越重要,己经成为保护计算机系统的第二道防线。用数据库系统提供的用户级审计功能来发现入侵是困难的,审计数据量很大。将入侵检测技术应用于数据库的保护,有效地发现对系统的异常访问,提供对系统的进一步保护。对数据库系统的入侵检测技术是新的研究领域。
一、入侵检测系统
入侵检测技术是计算机安全技术中的重要部分,保障计算机网络系统及整个信息基础设施的安全非常重要,它从计算机系统中的若干关键点收集信息,并分析这些信息,检测计算机系统中是否有违反安全策略的行为和遭到袭击的迹象,它甚至关系到国家的安全和社会的稳定。
二、数据库入侵检测系统模型
(一)数据库系统的安全
数据库系统的安全除依赖自身内部的安全机制外,数据库系统的安全框架可以划分为网络系统层次,宿主操作系统层次,数据库管理系统层次三个层次。
(二)侵检测应用于数据库
目前,针对应用及其后台数据库的应用级入侵已经变得越来越猖獗。所有这些入侵都有可能绕过前台安全系统并对数据来源发起攻击。
为了对付这类威胁,新一级别的安全脱颖而出,应用安全与网络和主机安全之间存在很大的区别。这就是应用安全是千差万别的,但攻击的目标总是相同的。因此好的应用IDS应当能够解析SQL,可以保护数以千计的预先包装或自行开发的Web应用,并且提供一种能够理解流量的内容,且又能与应用划清界线的客观保护层。管理员可以利用它来修改IDS设置,并实时监视事件并生成报告。应用入侵检测系统的工作原理如图1所示。
(三)数据库入侵检测模型
基于网络的入侵检测可以检测出普通的一些攻击,本文提出了一个基于数据挖掘的混合型入侵检测模型DBIDS,实现一些复杂的需要大量计算与分析的攻击检测,其核心是将基于主机和基于网络的入侵检测结合起来,而这正是基于主机的入侵检测的强项。通过网络入侵模块和主机入侵模块后,将这些看作是可疑行为,进行数据隔离,实现入侵容忍,当发生入侵时通过入侵容忍技术使数据库受到的损失尽量减小。模型流程图如图2。
三、数据库入侵检测系统的实现
针对传统入侵检测系统设计方面的上述不足,在线检测模块采用基于网络的入侵检测以及对SQL语句分析。从安全数据库系统入侵检测的角度出发,快速判断是否入侵。提出安全数据库入侵检测系统DBIDS,离线检测模块采用了基于主机的入侵检测,此系统其外层用基于网络的入侵检测,利用SQL Server的Profiler工具创建跟踪,采用入侵容忍技术实现数据库的健壮性。通过成异常检测模型,网络入侵检测部分提供早期警告,并利用此模型进行检测。入侵容忍模块采用入侵隔离技术,基于主机入侵检测部分可提供攻击成功与否的情况分析和确认,并结合数据库的备份和日志进行入侵数据库的恢复,采用序列模式。
四、结论
本文在数据库入侵检测系统的理论与实现方面进行了深入的研究,设计并实现了基于数据库挖掘的数据库入侵检测系统,采集数据库的审计数据。采用了典型的关联规则算法Apriori算法对用户的历史审计数据进行训练学习,主要是使用SQL Server的事件探查器进行数据的采集,生成异常检测模型;并利用它进行异常检测,并根据系统的要求进行了预处理。
参考文献:
[1]马恒太,蒋建春,陈伟锋,等.基于Agent的分布式入侵检侧系统模型.软件学报,2000 Vo1.11No.10P.1312-1319
[2]连一峰.分布式入侵检测系统的协作交互研究.中国科学院研究生院学报,2005 Vo1.22No.2P.202~209
关键词入侵检测异常检测误用检测
在网络技术日新月异的今天,基于网络的计算机应用已经成为发展的主流。政府、教育、商业、金融等机构纷纷联入internet,全社会信息共享已逐步成为现实。然而,近年来,网上黑客的攻击活动正以每年10倍的速度增长。因此,保证计算机系统、网络系统以及整个信息基础设施的安全已经成为刻不容缓的重要课题。
1 防火墙
目前防范网络攻击最常用的方法是构建防火墙。
防火墙作为一种边界安全的手段,在网络安全保护中起着重要作用。其主要功能是控制对网络的非法访问,通过监视、限制、更改通过网络的数据流,一方面尽可能屏蔽内部网的拓扑结构,另一方面对内屏蔽外部危险站点,以防范外对内的非法访问。然而,防火墙存在明显的局限性。
(1)入侵者可以找到防火墙背后可能敞开的后门。如同深宅大院的高大院墙不能挡住老鼠的偷袭一样,防火墙有时无法阻止入侵者的攻击。
(2)防火墙不能阻止来自内部的袭击。调查发现,50%的攻击都将来自于网络内部。
(3)由于性能的限制,防火墙通常不能提供实时的入侵检测能力。毕业论文 而这一点,对于层出不穷的网络攻击技术来说是至关重要的。
因此,在internet入口处部署防火墙系统是不能确保安全的。单纯的防火墙策略已经无法满足对安全高度敏感部门的需要,网络的防卫必须采用一种纵深的、多样化的手段。
由于传统防火墙存在缺陷,引发了入侵检测ids(intrusion detection system)的研究和开发。入侵检测是防火墙之后的第二道安全闸门,是对防火墙的合理补充,在不影响网络性能的情况下,通过对网络的监测,帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高信息安全基础结构的完整性,提供对内部攻击、外部攻击和误操作的实时保护。现在,入侵检测已经成为网络安全中一个重要的研究方向,在各种不同的网络环境中发挥重要作用。
2 入侵检测
2.1 入侵检测
入侵检测是通过从计算机网络系统中的若干关键点收集信息并对其进行分析,从中发现违反安全策略的行为和遭到攻击的迹象,并做出自动的响应。其主要功能是对用户和系统行为的监测与分析、系统配置和漏洞的审计检查、重要系统和数据文件的完整性评估、已知的攻击行为模式的识别、异常行为模式的统计分析、操作系统的审计跟踪管理及违反安全策略的用户行为的识别。入侵检测通过迅速地检测入侵,在可能造成系统损坏或数据丢失之前,识别并驱除入侵者,使系统迅速恢复正常工作,并且阻止入侵者进一步的行动。同时,收集有关入侵的技术资料,用于改进和增强系统抵抗入侵的能力。
入侵检测可分为基于主机型、基于网络型、基于型三类。从20世纪90年代至今,英语论文 已经开发出一些入侵检测的产品,其中比较有代表性的产品有iss(intemet security system)公司的realsecure,nai(network associates,inc)公司的cybercop和cisco公司的netranger。
2.2 检测技术
入侵检测为网络安全提供实时检测及攻击行为检测,并采取相应的防护手段。例如,实时检测通过记录证据来进行跟踪、恢复、断开网络连接等控制;攻击行为检测注重于发现信息系统中可能已经通过身份检查的形迹可疑者,进一步加强信息系统的安全力度。入侵检测的步骤如下:
收集系统、网络、数据及用户活动的状态和行为的信息
入侵检测一般采用分布式结构,在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息,一方面扩大检测范围,另一方面通过多个采集点的信息的比较来判断是否存在可疑现象或发生入侵行为。
入侵检测所利用的信息一般来自以下4个方面:系统和网络日志文件、目录和文件中的不期望的改变、程序执行中的不期望行为、物理形式的入侵信息。
(2)根据收集到的信息进行分析
常用的分析方法有模式匹配、统计分析、完整性分析。模式匹配是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。
统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性。测量属性的平均值将被用来与网络、系统的行为进行比较。当观察值超出正常值范围时,就有可能发生入侵行为。该方法的难点是阈值的选择,阈值太小可能产生错误的入侵报告,阈值太大可能漏报一些入侵事件。
完整性分析主要关注某个文件或对象是否被更改,包括文件和目录的内容及属性。该方法能有效地防范特洛伊木马的攻击。
3 分类及存在的问题
入侵检测通过对入侵和攻击行为的检测,查出系统的入侵者或合法用户对系统资源的滥用和误用。工作总结 根据不同的检测方法,将入侵检测分为异常入侵检测(anomaly detection)和误用人侵检测(misuse detection)。
3.1 异常检测
又称为基于行为的检测。其基本前提是:假定所有的入侵行为都是异常的。首先建立系统或用户的“正常”行为特征轮廓,通过比较当前的系统或用户的行为是否偏离正常的行为特征轮廓来判断是否发生了入侵。此方法不依赖于是否表现出具体行为来进行检测,是一种间接的方法。
常用的具体方法有:统计异常检测方法、基于特征选择异常检测方法、基于贝叶斯推理异常检测方法、基于贝叶斯网络异常检测方法、基于模式预测异常检测方法、基于神经网络异常检测方法、基于机器学习异常检测方法、基于数据采掘异常检测方法等。
采用异常检测的关键问题有如下两个方面:
(1)特征量的选择
在建立系统或用户的行为特征轮廓的正常模型时,选取的特征量既要能准确地体现系统或用户的行为特征,又能使模型最优化,即以最少的特征量就能涵盖系统或用户的行为特征。
(2)参考阈值的选定
由于异常检测是以正常的特征轮廓作为比较的参考基准,因此,参考阈值的选定是非常关键的。
阈值设定得过大,那漏警率会很高;阈值设定的过小,则虚警率就会提高。合适的参考阈值的选定是决定这一检测方法准确率的至关重要的因素。
由此可见,异常检测技术难点是“正常”行为特征轮廓的确定、特征量的选取、特征轮廓的更新。由于这几个因素的制约,异常检测的虚警率很高,但对于未知的入侵行为的检测非常有效。此外,由于需要实时地建立和更新系统或用户的特征轮廓,这样所需的计算量很大,对系统的处理性能要求很高。
3.2 误用检测
又称为基于知识的检测。其基本前提是:假定所有可能的入侵行为都能被识别和表示。首先,留学生论文 对已知的攻击方法进行攻击签名(攻击签名是指用一种特定的方式来表示已知的攻击模式)表示,然后根据已经定义好的攻击签名,通过判断这些攻击签名是否出现来判断入侵行为的发生与否。这种方法是依据是否出现攻击签名来判断入侵行为,是一种直接的方法。
常用的具体方法有:基于条件概率误用入侵检测方法、基于专家系统误用入侵检测方法、基于状态迁移分析误用入侵检测方法、基于键盘监控误用入侵检测方法、基于模型误用入侵检测方法。误用检测的关键问题是攻击签名的正确表示。
误用检测是根据攻击签名来判断入侵的,根据对已知的攻击方法的了解,用特定的模式语言来表示这种攻击,使得攻击签名能够准确地表示入侵行为及其所有可能的变种,同时又不会把非入侵行为包含进来。由于多数入侵行为是利用系统的漏洞和应用程序的缺陷,因此,通过分析攻击过程的特征、条件、排列以及事件间的关系,就可具体描述入侵行为的迹象。这些迹象不仅对分析已经发生的入侵行为有帮助,而且对即将发生的入侵也有预警作用。
误用检测将收集到的信息与已知的攻击签名模式库进行比较,从中发现违背安全策略的行为。由于只需要收集相关的数据,这样系统的负担明显减少。该方法类似于病毒检测系统,其检测的准确率和效率都比较高。但是它也存在一些缺点。
3.2.1 不能检测未知的入侵行为
由于其检测机理是对已知的入侵方法进行模式提取,对于未知的入侵方法就不能进行有效的检测。也就是说漏警率比较高。
3.2.2 与系统的相关性很强
对于不同实现机制的操作系统,由于攻击的方法不尽相同,很难定义出统一的模式库。另外,误用检测技术也难以检测出内部人员的入侵行为。
目前,由于误用检测技术比较成熟,多数的商业产品都主要是基于误用检测模型的。不过,为了增强检测功能,不少产品也加入了异常检测的方法。
4 入侵检测的发展方向
随着信息系统对一个国家的社会生产与国民经济的影响越来越大,再加上网络攻击者的攻击工具与手法日趋复杂化,信息战已逐步被各个国家重视。近年来,入侵检测有如下几个主要发展方向:
4.1 分布式入侵检测与通用入侵检测架构
传统的ids一般局限于单一的主机或网络架构,对异构系统及大规模的网络的监测明显不足,再加上不同的ids系统之间不能很好地协同工作。为解决这一问题,需要采用分布式入侵检测技术与通用入侵检测架构。
4.2应用层入侵检测
许多入侵的语义只有在应用层才能理解,然而目前的ids仅能检测到诸如web之类的通用协议,而不能处理lotus notes、数据库系统等其他的应用系统。许多基于客户/服务器结构、中间件技术及对象技术的大型应用,也需要应用层的入侵检测保护。
4.3 智能的入侵检测
入侵方法越来越多样化与综合化,尽管已经有智能体、神经网络与遗传算法在入侵检测领域应用研究,但是,这只是一些尝试性的研究工作,需要对智能化的ids加以进一步的研究,以解决其自学习与自适应能力。
4.4 入侵检测的评测方法
用户需对众多的ids系统进行评价,评价指标包括ids检测范围、系统资源占用、ids自身的可靠性,从而设计出通用的入侵检测测试与评估方法与平台,实现对多种ids的检测。
4.5 全面的安全防御方案
结合安全工程风险管理的思想与方法来处理网络安全问题,将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、入侵检测多方位全面对所关注的网络作全面的评估,然后提出可行的全面解决方案。
综上所述,入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,使网络系统在受到危害之前即拦截和响应入侵行为,为网络安全增加一道屏障。随着入侵检测的研究与开发,并在实际应用中与其它网络管理软件相结合,使网络安全可以从立体纵深、多层次防御的角度出发,形成人侵检测、网络管理、网络监控三位一体化,从而更加有效地保护网络的安全。
参考文献
l 吴新民.两种典型的入侵检测方法研究.计算机工程与应用,2002;38(10):181—183
2 罗妍,李仲麟,陈宪.入侵检测系统模型的比较.计算机应用,2001;21(6):29~31
3 李涣洲.网络安全与入侵检测技术.四川师范大学学报.2001;24(3):426—428
4 张慧敏,何军,黄厚宽.入侵检测系统.计算机应用研究,2001;18(9):38—4l
论文关键词:计算机网络安全 入侵检测技术
论文摘要:随着计算机与网络技术的不断发展,网络安全也日益受到人们越来越多的关注。防范网络入侵、加强网络安全防范的技术也多种多样,其中入侵检测技术以其低成本、低风险以及高灵活性得到了广泛的应用,并且有着广阔的发展前景。本文就入侵检测技术在计算机网络安全维护过程中的有效应用提出探讨。
一、入侵检测系统的分类
入侵检测系统可以分为入侵检测、入侵防御两大类。其中入侵检测系统是根据特定的安全策略,实时监控网络及系统的运行状态,尽量在非法入侵程序发起攻击前发现其攻击企图,从而提高网络系统资源的完整性和保密性。而随着网络攻击技术的日益提高,网络系统中的安全漏洞不断被发现,传统的入侵检测技术及防火墙技术对这些多变的安全问题无法全面应对,于是入侵防御系统应运而生,它可以对流经的数据流量做深度感知与检测,丢弃恶意报文,阻断其攻击,限制滥用报文,保护带宽资源。入侵检测系统与入侵防御系统的区别在于:入侵检测只具备单纯的报警作用,而对于网络入侵无法做出防御;而入侵防御系统则位于网络与防火墙的硬件设备中间,当其检测到恶意攻击时,会在这种攻击开始扩散前将其阻止在外。并且二者检测攻击的方法也不同,入侵防御系统对入网的数据包进行检查,在确定该数据包的真正用途的前提下,再对其是否可以进入网络进行判断。
二、入侵检测技术在维护计算机网络安全中的应用
(一)基于网络的入侵检测
基于网络的入侵检测形式有基于硬件的,也有基于软件的,不过二者的工作流程是相同的。它们将网络接口的模式设置为混杂模式,以便于对全部流经该网段的数据进行时实监控,将其做出分析,再和数据库中预定义的具备攻击特征做出比较,从而将有害的攻击数据包识别出来,做出响应,并记录日志。
1.入侵检测的体系结构
网络入侵检测的体系结构通常由三部分组成,分别为Agent、Console以及Manager。其中Agent的作用是对网段内的数据包进行监视,找出攻击信息并把相关的数据发送至管理器;Console的主要作用是负责收集处的信息,显示出所受攻击的信息,把找出的攻击信息及相关数据发送至管理器;Manager的主要作用则是响应配置攻击警告信息,控制台所的命令也由Manager来执行,再把所发出的攻击警告发送至控制台。
2.入侵检测的工作模式
基于网络的入侵检测,要在每个网段中部署多个入侵检测,按照网络结构的不同,其的连接形式也各不相同。如果网段的连接方式为总线式的集线器,则把与集线器中的某个端口相连接即可;如果为交换式以太网交换机,因为交换机无法共享媒价,因此只采用一个对整个子网进行监听的办法是无法实现的。因此可以利用交换机核心芯片中用于调试的端口中,将入侵检测系统与该端口相连接。或者把它放在数据流的关键出入口,于是就可以获取几乎全部的关键数据。
3.攻击响应及升级攻击特征库、自定义攻击特征
如果入侵检测系统检测出恶意攻击信息,其响应方式有多种,例如发送电子邮件、记录日志、通知管理员、查杀进程、切断会话、通知管理员、启动触发器开始执行预设命令、取消用户的账号以及创建一个报告等等。升级攻击特征库可以把攻击特征库文件通过手动或者自动的形式由相关的站点中下载下来,再利用控制台将其实时添加至攻击特征库中。而网络管理员可以按照单位的资源状况及其应用状况,以入侵检测系统特征库为基础来自定义攻击特征,从而对单位的特定资源与应用进行保护。
(二)对于主机的入侵检测
通常对主机的入侵检测会设置在被重点检测的主机上,从而对本主机的系统审计日志、网络实时连接等信息做出智能化的分析与判断。如果发展可疑情况,则入侵检测系统就会有针对性的采用措施。基于主机的入侵检测系统可以具体实现以下功能:对用户的操作系统及其所做的所有行为进行全程监控;持续评估系统、应用以及数据的完整性,并进行主动的维护;创建全新的安全监控策略,实时更新;对于未经授权的行为进行检测,并发出报警,同时也可以执行预设好的响应措施;将所有日志收集起来并加以保护,留作后用。基于主机的入侵检测系统对于主机的保护很全面细致,但要在网路中全面部署成本太高。并且基于主机的入侵检测系统工作时要占用被保护主机的处理资源,所以会降低被保护主机的性能。
三、入侵检测技术存在的问题
尽管入侵检测技术有其优越性,但是现阶段它还存在着一定的不足,主要体现在以下几个方面:
第一:局限性:由于网络入侵检测系统只对与其直接连接的网段通信做出检测,而不在同一网段的网络包则无法检测,因此如果网络环境为交换以太网,则其监测范围就会表现出一定的局限性,如果安装多台传感器则又增加了系统的成本。
第二:目前网络入侵检测系统一般采有的是特征检测的方法,对于一些普通的攻击来说可能比较有效,但是一些复杂的、计算量及分析时间均较大的攻击则无法检测。
第三:监听某些特定的数据包时可能会产生大量的分析数据,会影响系统的性能。
第四:在处理会话过程的加密问题时,对于网络入侵检测技术来说相对较难,现阶段通过加密通道的攻击相对较少,但是此问题会越来越突出。
第五:入侵检测系统自身不具备阻断和隔离网络攻击的能力,不过可以与防火墙进行联动,发现入侵行为后通过联动协议通知防火墙,让防火墙采取隔离手段。
四、总结
现阶段的入侵检测技术相对来说还存在着一定的缺陷,很多单位在解决网络入侵相关的安全问题时都采用基于主机与基于网络相结合的入侵检测系统。当然入侵检测技术也在不断的发展,数据挖掘异常检测、神经网络异常检测、贝叶斯推理异常检测、专家系统滥用检测、状态转换分析滥用检测等入侵检测技术也越来越成熟。总之、用户要提高计算机网络系统的安全性,不仅仅要靠技术支持,还要依靠自身良好的维护与管理。
参考文献:
[1]胥琼丹.入侵检测技术在计算机网络安全维护中的应用[J].电脑知识与技术,2010,11
关键词:网络安全;入侵检测;生物免疫
中图分类号:TP13 文献标识码:A文章编号:1007-9599 (2011) 03-0000-01
Research on Intrusion Detection Technology Based on Immune Mechanism
Kang Xiaoyu, Liao Shujian
(Taiyuan University of Technology,Department of Communication and Information,Taiyuan030021,China)
Abstract:The main objective of Intrusion Detection System (IDS) is testing computer systems internal or external intruders unauthorized use, misuse and abuse.IDS’ unique role in the network security system so that it occupies an irreplaceable position.Biological immune system and intrusion detection systems have many similarities,the similarity of the immune system for intrusion detection system provides a study of natural template.In this paper,a brief introduction in the immune mechanism in intrusion detection research,based on a current focus on network computers and artificial immune systems (artificial immune system,AIS) of the theoretical model,as well as a mechanism of immune-based Intrusion Detection system of multi-subsystems,multi-agent architecture.
Keywords:Network security;Intrusion detection;Biological immune
目前,开放式网络环境使人们充分享受着数字化,信息化给人们日常的工作生活学习带来的巨大便利,也因此对计算机网络越来越强的依赖性,与此同时,各种针对网络的攻击与破坏日益增多,成为制约网络技术发展的一大障碍。传统的安全技术并不能对系统是否真的没有被入侵有任何保证。入侵检测系统已经成为信息网络安全其必不可少的一道防线。
人体内有一个免疫系统,它是人体抵御病原菌侵犯最重要的保卫系统,主要手段是依靠自身的防御体系和免疫能力。一些学者试图学习和模仿生物机体的这种能力,将其移植到计算机网络安全方面。相关研究很多都基于生物免疫系统的体系结构和免疫机制[5]。基于免疫理论的研究已逐渐成为目前人们研究的一个重要方向,其研究成果将会为计算机网络安全提供一条新的途径。
一、入侵检测简介
入侵即入侵者利用主机或网络中程序的漏洞,对特权程序进行非法或异常的调用,使外网攻击者侵入内网获取内网的资源。入侵检测即是检测各种非法的入侵行为。入侵检测提供了对网络的实时保护,在系统受到危害时提前有所作为。入侵检测严密监视系统的各种不安全的活动,识别用户不安全的行为。入侵检测应付各种网络攻击,提高了用户的安全性。入侵检测[4]技术就是为保证网路系统的安全而设计的一种可以检测系统中异常的、不安全的行为的技术。
二、基于免疫机理的入侵检测系统
(一)入侵检测系统和自然免疫系统
用四元函数组来定义一个自然免疫系统∑NIS[5],
∑NIS=(XNIS, ΩNIS,YNIS,GNIS)
XNIS是输入,它为各种类型的抗原,令Z表示所有抗原,抗原包括自身蛋白集合和病原体集合这两个互斥的集合,即,用W表示自身蛋白集合,NW表示病原体集合,有
S∪NW=Z,W=
YNIS是输出,只考虑免疫系统对病原体的识别而不计免疫效应,YNIS取0或1,分别表示自然免疫系统判别输入时的自身或非自身。
GNIS是一个自然免疫系统输入输出之间的非线性关系函数,则有
YNIS=GNIS(XNIS)=
ΩNIS为自然免疫系统的内部组成。而根据系统的定义,入侵检测系统可以表示为
∑IDS=(XIDS, ΩIDS,YIDS,GIDS)
式中,XIDS是入侵检测系统的输入。令M表示是整个论域,整个论域也可以划分成为两个互斥的集合即入侵集合,表示为I和正常集合表示I,有
I∪I=M,I∩I=
输入XIDS,输出YIDS,此时入侵检测系统具有报警S和不报警A两种状态,报警用1表示,不报警用0表示。
GIDS表示输入与输出之间的非线性函数关系,则有
YIDS=GIDS(XIDS)=
ΩIDS是自然免疫系统的内部组成。不同种类的检测系统具有不同的ΩIDS,产生不同的ΩIDS,从而将输入向量映射到输出。
(二)基于自然免疫机理的入侵检测系统的设计
自然免疫系统是一个识别病原菌的系统,与网络入侵检测系统有很多类似之处,因此自然免疫系统得到一个设计网络入侵检测系统的启发,我们先来研究自然入侵检测系统的动态防护性、检测性能、自适应性以及系统健壮性这四个特性[5]。
1.动态防护性。
自然免疫系统可以用比较少的资源完成相对复杂的检测任务。人体约有1016种病原体需要识别,自然免疫系统采用动态防护,任一时刻,淋巴检测器只能检测到病原体的一个子集,但淋巴检测器每天都会及时更新,所以每天检测的病原体是不同的,淋巴细胞的及时更新,来应对当前的待检病原体。
2.检测性能。
自然免疫系统具有非常强的低预警率和高检测率。之所以具有这样好的检测性能,是因为自然免疫系统具有多样性、多层次、异常检测能力、独特性等多种特性。
关键词:入侵检测;IDS;误用检测;异常检测
中图分类号:TP393文献标识码:A文章编号:1009-3044(2007)15-30727-02
The Study and Prospect of Intrusion Detection System
ZHAO Hai-long1, JI Shu-qin2
(Graduate's Department, Changchun University of Technology, Changchun 130012, China; 2. Promulgation Engineering's College, Changchun University of Technology, Changchun 130012, China)
Abstract: The intrusion detection is one new network security technology which protects oneself in order to avoid attacking from hacker in recent several years. It is considered as the second security valve after the firewall, it can monitor the network and provide real-time protection from internal attack, exterior attack and misoperation without affecting network's performance. The article first introduce network intrusion detection concept, then elaborate the type and method of intrusion detection system, finally has given analysis of disadvantage for the current intrusion detection system.
Key words: Intrusion Detection; IDS; Misuse Detection; Anomaly-based Detection
1 引言
入侵检测技术[1]是一种主动保护网络资源免受攻击的安全技术,是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常访问的技术。入侵检测系统监控受保护系统的使用情况,发现不安全状态。它不仅帮助系统对付外部网络攻击,还可以查知内部合法用户的非法操作以及合法误用,为计算机系统提供完整性、可用性以及可信性的主动保护,增强了系统管理员的安全管理能力。
2 入侵检测系统的分类
基于不同的原始数据来源,入侵检测系统可以分为3类:主机型(HIDS)、网络型(NIDS) 和分布式(DIDS)入侵检测系统。
2.1 基于主机的入侵检测系统
基于主机的入侵检测系统(HIDS)通常是安装在被重点检测的主机之上,主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。基于主机的IDS可以检测特定的应用程序,也能够检查到表面上没有明显行为的入侵,因为这些入侵会消耗大量的系统资源,从而导致系统性能下降。现有商品化的主机型IDS的产品主要有:ISS的RealSecure OS Sensor、Emerald expert-BSM、金诺网安KIDS等。主机入侵检测系统与网络入侵检测系统相比通常能够提供更详尽的相关信息。主机入侵检测系统通常情况下比网络入侵检测系统误报率要低,因为检测在主机上运行的命令序列比检测网络流更简单,系统的复杂性也少得多。主机入侵检测系统可部署在那些不需要广泛的入侵检测、传感器与控制台之间的通信宽带不足的情况下。
2.2 基于网络的入侵检测系统
基于网络的入侵检测系统(NIDS)放置在比较重要的网段内,不停地监视网段中的各种数据包,并对每一个数据包或可疑的数据包进行特征分析。如果数据包与系统内置的某些规则吻合,入侵检测系统就会发出警报甚至直接切断网络连接。在共享网络(如以太网)中,网络上的一个接口可以访问网络上传输的所有数据。每个网络接口都有一个惟一的硬件地址(MAC),在通常情况下,网络接口只响应两类数据包,一种是目标地址与本地硬件地址一致的数据包,另一种是目标地址是广播地址的数据包。只要将网络接口的状态设置为混杂模式(promiscuous mode),就可以截取网络传输中的全部数据包。现有商品化的基于网络的入侵检测系统包括:国外ISS的RealSecure Network Sensor、Cisco的NetRanger、CA的e-Trust DS、Axent的NetProwler、GOTS、EPIC、NID、NFR、开放源代码的Snort、国内的金诺网安KIDS、启明星辰黑客入侵检测与预警系统和中科网威“天眼”网络入侵侦测系统等。
网络型入侵检测系统能够检测那些来自网络的攻击,它能够检测到超过授权的非法访问。一个网络型入侵检测系统不需要改变服务器等主机的配置。由于它不会在业务系统的主机中安装额外的软件,从而不会影响这些机器的CPU,I/O与磁盘等资源的使用,不会影响业务系统的性能。由于网络型入侵检测系统与路由器、防火墙等关键设备工作方式不同,它不会成为系统中的关键路径,所以网络型入侵检测系统发生故障不会影响正常业务的运行。部署一个网络型入侵检测系统的风险比主机型入侵检测系统的风险小得多。
2.3 分布式入侵检测系统
典型的分布式入侵检测系统(DIDS)是管理器/探测器结构。NIDS作为探测器放置在网络的各个地方,并向中央管理平台汇报情况。攻击日志定时地传送到管理平台并保存在中央数据库中,新的攻击特征库能发送到各个探测上。每个探测器能根据所在网络的实际需要配置不同的规则集。报警信息能发到管理平台的消息系统,用各种方式通知IDS管理员[2]。
对DIDS来说,不同厂商的产品的功能和特性差别很大,因此要对DIDS做一个准确的定义很难。在DIDS中,探测器可以使用NIDS、HIDS、或两者都用。探测器的网卡有的工作在混杂模式,有的工作在非混杂模式,然而,无论在什么情况下,DIDS都有一个显著的特征,即分布在网络不同位置的探测器都向中央管理平台传送报警和日志信息。目前商品化产品有:国外的ISS Server Sensor、NAI的CyberCop Monitor、Centrax的eNTtax,ODS的CMDS 4.0、国内的金诺网安KIDS等。
3 入侵检测的分析方法
对各种事件进行分析,从中发现违反安全策略的行为是入侵检测系统的核心功能。从技术角度看,入侵检测技术一般分为2种:一种是特征检测技术(Signature-based detection);另一种是异常检测技术(Anomaly-based detection)。
3.1 误用检测
误用检测技术(Misuse detection)又称特征检测技术(Signature-based detection),这一检测假设入侵活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来,但对新的入侵方法无能为力。其难点在于如何设计,使模式既能够表达入侵现象又不会将正常的活动包含进来。对于特征检测技术来说,首先要定义违背安全策略的事件的特征,如网络数据包的某些头信息。检测主要判别这类特征是否在所收集到的数据中出现。此方法非常类似一些杀毒软件。
3.2 异常检测
异常检测技术(Anomaly-based detection)的假设是入侵者的活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”,将当前主体的活动状况与“活动简档”相比较,当违反其统计规律时,认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法,从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为[3]。对于异常检测技术来说,首先要定义一组系统“正常”情况的数值,如CPU利用率、内存利用率、文件校验和等这类数据(可以人为定义,也可以通过观察系统、并用统计的办法得出),然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。
4 入侵检测方法
近期的研究过程中,一些研究人员提出了一些新的入侵检测技术,例如免疫系统、基因算法、数据挖掘、基于 (Agent)的检测、随机过程分析、分布式入侵检测等,它们提供了更具普遍意义的分析技术,或者提出了新的检测系统架构。
4.1 神经网络
使用自适应学习技术来提取异常行为的特征。它的处理包含两个阶段:第一阶段完成网络的构建和组装;第二阶段则是网络接收输入的事件数据,与参考的历史 行为相比较,判断出两者的相似度或偏离度。最早提出这种模式的是Fox,他使用Self Organizing Map(SOM)自主学习算法来发现数据中隐藏的结构。David Endler针对Solaris系统的BSM模块所产生的系统调用审计数据使用神经网络进行机器学习。Anup K Ghosh 也采用针对特定程序的异常检测,建立软件程序的进程级行为模式,通过区分正常软件行为和恶意软件行为来发现异常,使用预先分类的输入资料对神经网络进行训练,学习出正常和非正常的程序行为。
4.2 人工免疫
Stephanie Forrest提出了将生物免疫机制引入计算机系统的安全保护框架中。免疫系统最基本的能力是识别“自我/非自我”。通过大量的实验发现:对一个特定的程序来说,其系统调用序列是相当稳定的,使用系统调用序列来识别“自我”,应该可以满足检测系统的要求。在这个假设的前提下,提出了基于系统调用的短序列匹配算法。
4.3 数据挖掘
Columbia University的Wenke Lee提出了将数据挖掘技术应用到入侵检测中,通过对网络数据和主机系统调用数据的分析挖掘,发现误用检测规则或异常检测模型。具体的工作包括利用数据挖掘中的关联算法和序列挖掘算法提取用户的行为模式,利用分类算法对用户行为和特权程序的系统调用进行分类预测。实验结果表明,这种方法在入侵检测领域有很好的应用前景。Wenke Lee另一个突出的贡献是提出并验证了将信息论中“熵”(Entropy)的概念引入安全领域,以解决入侵检测系统性属性的选择问题,用于构建检测模型。Leonid Portnoy使用了数据挖掘中的聚类算法,通过计算和比较记录间的矢量距离,对网络连接记录、用户登录记录进行自动聚类,从而完成对审计记录是否正常的判断工作。
4.4 基因算法
使用“适者生存”的概念,使用一串比特对所有的个体(向量表示形式)进行编码,然后找出最佳选择函数,根据某些评估准则对系统个体进行测试,得出最为合适的向量表示形式。该算法对于处理多维系统的优化是非常有效的。其典型代表由Ludovic Méo Supelec开发的GAS-SATA系统。
4.5 基于Agent的检测
Agent的独立性和自治性为检测系统提供了良好的扩展性和发展潜力。Purdue University的研究人员为基于Agent的入侵检测系统提出了一个基本原型, 称为入侵检测自治(Autonomous Agents for ntrusion Detection,AAFID)。Terran Lane提出了一种基于用户行为等级模型的异常检测引擎Agent生成方法,等级模型的叶节点表示 用户行为的临时结构,较高层次的节点则代表其子节点所表示结构间的相互关系。Lane采用基于事例学习和隐马尔可夫模型的方法,通过基于时间的序列数据来学习实体的正常行为模式。
4.6 随机过程分析
Arizona State University的Nong Ye通过对系统实际观察到的行为分析,推导出随机过程中正常模式的马尔可夫链模型对实际行为的支持程度,从而判断是否异常,处理的对象是系统中的特权程序所产生的系统调用序列。Nong Ye还使用Bayesian概率对网络进行异常检测,提出了采用节点间无向连接的对称结构和接合点概率表,修正证据推论算法。
5 结束语
入侵检测系统已是当前网络安全体系中的一个重要组成部分,但当前的入侵检测系统在完备性、灵活性以及协作能力等方面都存在严重问题:(1)误报和漏报的矛盾,对非入侵信息以入侵处理并报警,这些报警事件会分散管理员的精力,导致无法对真正的攻击作出反应。和误报相对应的是漏报,随着攻击的方法不断更新,入侵检测系统是否能报出网络中所有的攻击也是一个问题;(2)隐私和安全的矛盾,入侵检测系统可以收到网路的所有数据,同时可以对其进行分析和记录,这对网络安全极其重要,但难免对用户的隐私构成一定风险。这些问题也是今后在设计入侵检测系统时必须进行权衡考虑的。
参考文献:
[1] 张小斌, 严望佳. 黑客分析与技术防范[M]. 北京:电子工业出版社,1999.
[2] 宋劲松,等译. Snort 2.0入侵检测[M]. 北京:国防工业出版社,2004.4-5.
[3] 张翔,等. 网络入侵监测技术漫谈[J]. 河北工业科技,2004, 21(2):30-31.
引言
近年来,随着信息和网络技术的高速发展以及政治、经济或者军事利益的驱动,计算机和网络基础设施,非凡是各种官方机构的网站,成为黑客攻击的热门目标。近年来对电子商务的热切需求,更加激化了这种入侵事件的增长趋向。由于防火墙只防外不防内,并且很轻易被绕过,所以仅仅依靠防火墙的计算机系统已经不能对付日益猖獗的入侵行为,对付入侵行为的第二道防线——入侵检测系统就被启用了。
1 入侵检测系统(IDS)概念
1980年,James P.Anderson 第一次系统阐述了入侵检测的概念,并将入侵行为分为外部滲透、内部滲透和不法行为三种,还提出了利用审计数据监视入侵活动的思想[1。即其之后,1986年Dorothy E.Denning提出实时异常检测的概念[2并建立了第一个实时入侵检测模型,命名为入侵检测专家系统(IDES),1990年,L.T.Heberlein等设计出监视网络数据流的入侵检测系统,NSM(Network Security Monitor)。自此之后,入侵检测系统才真正发展起来。
Anderson将入侵尝试或威胁定义为摘要:潜在的、有预谋的、未经授权的访问信息、操作信息、致使系统不可靠或无法使用的企图。而入侵检测的定义为[4摘要:发现非授权使用计算机的个体(如“黑客”)或计算机系统的合法用户滥用其访问系统的权利以及企图实施上述行为的个体。执行入侵检测任务的程序即是入侵检测系统。入侵检测系统也可以定义为摘要:检测企图破坏计算机资源的完整性,真实性和可用性的行为的软件。
入侵检测系统执行的主要任务包括[3摘要:监视、分析用户及系统活动;审计系统构造和弱点;识别、反映已知进攻的活动模式,向相关人士报警;统计分析异常行为模式;评估重要系统和数据文件的完整性;审计、跟踪管理操作系统,识别用户违反平安策略的行为。入侵检测一般分为三个步骤摘要:信息收集、数据分析、响应。
入侵检测的目的摘要:(1)识别入侵者;(2)识别入侵行为;(3)检测和监视以实施的入侵行为;(4)为对抗入侵提供信息,阻止入侵的发生和事态的扩大;
2 入侵检测系统模型
美国斯坦福国际探究所(SRI)的D.E.Denning于1986年首次提出一种入侵检测模型[2,该模型的检测方法就是建立用户正常行为的描述模型,并以此同当前用户活动的审计记录进行比较,假如有较大偏差,则表示有异常活动发生。这是一种基于统计的检测方法。随着技术的发展,后来人们又提出了基于规则的检测方法。结合这两种方法的优点,人们设计出很多入侵检测的模型。通用入侵检测构架(Common Intrusion Detection Framework简称CIDF)组织,试图将现有的入侵检测系统标准化,CIDF阐述了一个入侵检测系统的通用模型(一般称为CIDF模型)。它将一个入侵检测系统分为以下四个组件摘要:
事件产生器(Event Generators)
事件分析器(Event analyzers)
响应单元(Response units)
事件数据库(Event databases)
它将需要分析的数据通称为事件,事件可以是基于网络的数据包也可以是基于主机的系统日志中的信息。事件产生器的目的是从整个计算机环境中获得事件,并向系统其它部分提供此事件。事件分析器分析得到的事件并产生分析结果。响应单元则是对分析结果做出反应的功能单元,它可以做出切断连接、修改文件属性等强烈反应。事件数据库是存放各种中间和最终数据的地方的通称,它可以是复杂的数据库也可以是简单的文本文件。
3 入侵检测系统的分类摘要:
现有的IDS的分类,大都基于信息源和分析方法。为了体现对IDS从布局、采集、分析、响应等各个层次及系统性探究方面的新问题,在这里采用五类标准摘要:控制策略、同步技术、信息源、分析方法、响应方式。
按照控制策略分类
控制策略描述了IDS的各元素是如何控制的,以及IDS的输入和输出是如何管理的。按照控制策略IDS可以划分为,集中式IDS、部分分布式IDS和全部分布式IDS。在集中式IDS中,一个中心节点控制系统中所有的监视、检测和报告。在部分分布式IDS中,监控和探测是由本地的一个控制点控制,层次似的将报告发向一个或多个中心站。在全分布式IDS中,监控和探测是使用一种叫“”的方法,进行分析并做出响应决策。
按照同步技术分类
同步技术是指被监控的事件以及对这些事件的分析在同一时间进行。按照同步技术划分,IDS划分为间隔批任务处理型IDS和实时连续性IDS。在间隔批任务处理型IDS中,信息源是以文件的形式传给分析器,一次只处理特定时间段内产生的信息,并在入侵发生时将结果反馈给用户。很多早期的基于主机的IDS都采用这种方案。在实时连续型IDS中,事件一发生,信息源就传给分析引擎,并且马上得到处理和反映。实时IDS是基于网络IDS首选的方案。
按照信息源分类
按照信息源分类是目前最通用的划分方法,它分为基于主机的IDS、基于网络的IDS和分布式IDS。基于主机的IDS通过分析来自单个的计算机系统的系统审计踪迹和系统日志来检测攻击。基于主机的IDS是在关键的网段或交换部位通过捕捉并分析网络数据包来检测攻击。分布式IDS,能够同时分析来自主机系统日志和网络数据流,系统由多个部件组成,采用分布式结构。
按照分析方法分类
按照分析方法IDS划分为滥用检测型IDS和异常检测型IDS。滥用检测型的IDS中,首先建立一个对过去各种入侵方法和系统缺陷知识的数据库,当收集到的信息和库中的原型相符合时则报警。任何不符合特定条件的活动将会被认为合法,因此这样的系统虚警率很低。异常检测型IDS是建立在如下假设的基础之上的,即任何一种入侵行为都能由于其偏离正常或者所期望的系统和用户活动规律而被检测出来。所以它需要一个记录合法活动的数据库,由于库的有限性使得虚警率比较高。
按照响应方式分类
按照响应方式IDS划分为主动响应IDS和被动响应IDS。当特定的入侵被检测到时,主动IDS会采用以下三种响应摘要:收集辅助信息;改变环境以堵住导致入侵发生的漏洞;对攻击者采取行动(这是一种不被推荐的做法,因为行为有点过激)。被动响应IDS则是将信息提供给系统用户,依靠管理员在这一信息的基础上采取进一步的行动。
4 IDS的评价标准
目前的入侵检测技术发展迅速,应用的技术也很广泛,如何来评价IDS的优缺点就显得非常重要。评价IDS的优劣主要有这样几个方面[5摘要:(1)准确性。准确性是指IDS不会标记环境中的一个合法行为为异常或入侵。(2)性能。IDS的性能是指处理审计事件的速度。对一个实时IDS来说,必须要求性能良好。(3)完整性。完整性是指IDS能检测出所有的攻击。(4)故障容错(fault tolerance)。当被保护系统遭到攻击和毁坏时,能迅速恢复系统原有的数据和功能。(5)自身反抗攻击能力。这一点很重要,尤其是“拒绝服务”攻击。因为多数对目标系统的攻击都是采用首先用“拒绝服务”攻击摧毁IDS,再实施对系统的攻击。(6)及时性(Timeliness)。一个IDS必须尽快地执行和传送它的分析结果,以便在系统造成严重危害之前能及时做出反应,阻止攻击者破坏审计数据或IDS本身。
除了上述几个主要方面,还应该考虑以下几个方面摘要:(1)IDS运行时,额外的计算机资源的开销;(2)误警报率/漏警报率的程度;(3)适应性和扩展性;(4)灵活性;(5)管理的开销;(6)是否便于使用和配置。
5 IDS的发展趋
随着入侵检测技术的发展,成型的产品已陆续应用到实践中。入侵检测系统的典型代表是ISS(国际互联网平安系统公司)公司的RealSecure。目前较为闻名的商用入侵检测产品还有摘要:NAI公司的CyberCop Monitor、Axent公司的NetProwler、CISCO公司的Netranger、CA公司的Sessionwall-3等。国内的该类产品较少,但发展很快,已有总参北方所、中科网威、启明星辰等公司推出产品。
人们在完善原有技术的基础上,又在探究新的检测方法,如数据融合技术,主动的自主方法,智能技术以及免疫学原理的应用等。其主要的发展方向可概括为摘要:
(1)大规模分布式入侵检测。传统的入侵检测技术一般只局限于单一的主机或网络框架,显然不能适应大规模网络的监测,不同的入侵检测系统之间也不能协同工作。因此,必须发展大规模的分布式入侵检测技术。
(2)宽带高速网络的实时入侵检测技术。大量高速网络的不断涌现,各种宽带接入手段层出不穷,如何实现高速网络下的实时入侵检测成为一个现实的新问题。
(3)入侵检测的数据融合技术。目前的IDS还存在着很多缺陷。首先,目前的技术还不能对付练习有素的黑客的复杂的攻击。其次,系统的虚警率太高。最后,系统对大量的数据处理,非但无助于解决新问题,还降低了处理能力。数据融合技术是解决这一系列新问题的好方法。
(4)和网络平安技术相结合。结合防火墙,病毒防护以及电子商务技术,提供完整的网络平安保障。
6 结束语
在目前的计算机平安状态下,基于防火墙、加密技术的平安防护固然重要,但是,要根本改善系统的平安目前状况,必须要发展入侵检测技术,它已经成为计算机平安策略中的核心技术之一。IDS作为一种主动的平安防护技术,提供了对内部攻击、外部攻击和误操作的实时保护。随着网络通信技术平安性的要求越来越高,入侵检测技术必将受到人们的高度重视。
参考文献摘要:
[1 Anderson J P. Computer security threat monitoring and surveillance [P . PA 19034,USA, 1980.4
[2Denning D E .An Intrusion-Detection Model [A . IEEE Symp on Security %26amp; Privacy[C ,1986.118-131
[3 张杰,戴英侠,入侵检测系统技术目前状况及其发展趋向[J,计算机和通信,2002.6摘要:28-32
[4 曾昭苏,王锋波,基于数据开采技术的入侵检测系统[J,自动化博览,2002,8摘要:29-31
