入侵检测技术现状分析与研究Word文档格式.docx
《入侵检测技术现状分析与研究Word文档格式.docx》由会员分享,可在线阅读,更多相关《入侵检测技术现状分析与研究Word文档格式.docx(15页珍藏版)》请在冰豆网上搜索。
余,也带给我们一些安全隐患•网络黑客可以轻松的取走你的重要的文件,盗取你的银行存款,破坏你的企
业平台,公布你的隐私信函,篡改、干扰和毁坏你的数据库,甚至直接破坏用户的计算机,使你的网络瘫痪或者崩溃•所以,研究各种切实有效的安全技术来保障计算机系统和网络系统的安全,已经成为一个刻不
容缓的问题•伴随着网络的发展,各种网络安全技术也随之发展起来•
美国韦式大辞典中对入侵检测的定义为:
“硬闯入的行为,或者是在没受到邀请和欢迎的情况下进
入一个地方”•当说到入侵检测的时候,我们是指发现了网络上的一台计算机有未经过授权的闯入行为
这个未经过许可的网络入侵或访问,是一种对其他网络设备的安全威胁或伤害•我们通常使用的网络安
全技术有:
防火墙、杀毒软件、虚拟专用网、数据加密、数字签名和身份认证技术等•这些传统的网络
安全技术,对保护网络的安全起到非常重要的作用,然而它们也存在不少缺陷•例如,防火墙技术虽然为网络服务提供了较好的身份认证和访问控制,但是它不能防止来自防火墙内部的攻击,不能防备最新出现
的威胁,不能防止绕过防火墙的攻击,入侵者可以利用脆弱性程序或系统漏洞绕过防火墙的访问控制来进行非法攻击•传统的身份认证技术,很难抵抗脆弱性口令,字典攻击,特洛伊木马,网络窥探器以及电磁辐射等攻击手段•虚拟专用网技术只能保证传输过程中的安全,并不能防御诸如拒绝服务攻击,缓冲区溢
出等常见的攻击•另外,这些技术都属于静态安全技术的范畴;
静态安全技术的缺点是只能静态和消极地防御入侵,而不能主动检测和跟踪入侵•而入侵检测技术是一种动态安全技术,它主动地收集包括系统审
计数据,网络数据包以及用户活动状态等多方面的信息;
然后进行安全性分析,从而及时发现各种入侵并产生响应八
1.2入侵检测技术的应用与发展现状
在目前的计算机安全状态下,基于防火墙,加密技术等的安全防护固然重要;
但是要根本改善系统的安全现状,必须要发展入侵检测技术•它已经成为计算机安全策略中的核心技术之一」ntrusionDetection
System(简称IDS)作为一种主动的安全防护技术,提供了对内部攻击,外部攻击和误操作的实时保护•从网络安全立体纵深的多层次防御角度出发,入侵检测理应受到高度重视,这从国外入侵检测产品市场的
蓬勃发展就可以看出•在国内,随着上网尖键部门,另键业务越来越多,迫切需要具有自主版权的入侵检测产品;
但目前我国的入侵检测技术还不够成熟,处于发展和跟踪国外技术的阶段,所以对入侵检测系统的
研究非常重要•传统的入侵检测系统中一般采用传统的模式匹配技术,将待分析事件与入侵规则相匹配•
从网络数据包的包头开始与攻击特征字符串比较•若比较结果不同,则下移一个字节再进行;
若比较结果
相同,那么就检测到一个可能的攻击•这种逐字节匹配方法具有两个最根本的缺陷:
计算负载大以及探测
不够灵活.面对近几年不断出现的ATM,千兆以太网,G比特光纤网等高速网络应用,实现实时入侵检测
成为一个现实的问题•适应高速网络的环境,改进检测算法以提高运行速度和效率是解决该问题的一个途径•协议分析能够智能地”解释“协议,利用网络协议的高度规则性快速探测攻击的存在,从而大大减少
了模式匹配所需的运算•所以说研究基于协议分析的入侵检测技术具有很强的现实意义
第二章入侵检测技术
2.1入侵检测系统的分类
入侵检测系统按采用的技术分为:
异常检测系统和误用检测系统•按系统所监测的对象分为:
基于主
机的入侵检测系统和基于网络入侵检测系统•按系统的工作方式分为:
离线检测系统和在线检测系统•按
系统对入侵的反应分为:
主动入侵检测系统和被动入侵检测系统•框架图如图所示。
图2-1入侵检测系统框架图
2.1.1基于主机的入侵检测系统
基于主机的入侵检测系统监视主机的文件系统或者操作系统及各种服务生成的日志文件,以便
发
现入侵踪迹•它的优点有:
不受加密传输的影响,它能够了解被监视主机应用层的活动细节,有效检测发
生在应用层的入侵活动,可以检测多种网络环境下的网络包,而不用像网络IDS系统一样需安装多台传感器,这样就使整个系统的成本大大降低;
由于使用包含实际发生事件的日志文件,所以比基于网络的系
统就更能了解某一入侵行为是否最终成功从而减少错误•它的缺点有:
由于作为用户进程运行,这种入侵
检测系统依赖于操作系统底层的支持,与系统的体系结构有矢,所以它无法了解发生在下层协议的入侵
活动;
老练的入侵者往往可以进入系统修改、删除有尖的日志记录,从而隐藏入侵迹象;
由于它位于所监视的每一个主机中,故所占用的资源不能太多,从而大大限制了所采用的检测方法及处理性能
2.1.2基于网络的入侵检测系统
基于网络的入侵检测系统直接从网络数据流中截获原始的网络包作为信息源,并从中搜索可疑行
为•它的优点有:
由于该系统直接搜集网络数据包,而网络协议是标准的,因此,与目标系统的体系结构无矢,可监视结构不同的各类系统;
该系统使用原始网络数据包进行检测,因此它所收集的审计数据被篡改
的可能性很小,而且它不影响被保护系统的性能;
利用工作在混合模式下的网卡实时监控和分析所有通过共享式网络的传输,能够实时得到目标系统与外界交互的所有信息,包括一些很隐藏的端口扫描和没
有成功入侵的尝试•它的缺点有:
缺乏终端系统对待定数据报的处理方法等信息,使得从原始的数据包中
重构应用层信息很困难,故难以检测发生在应用层的攻击,而对于检测以加密传输方式进行的入侵无能
为力•
从入侵检测技术和入侵检测系统可以看出,单独一种方法并不能检测所有类型的入侵,异常检测能
检测出已知和未知的攻击,其主要问题是如何正确定义一个正常用户行为•在动态环境中,用建立用户统
计来确定正常用户行为几乎是不可能的事情,这时矢注一个过程的行为更加有效•误用检测具有较高的
正确性,但是不能对未知攻击进行检测•单个主机上安装的IDS在大规模网络中检测入侵时可能会出现困难,而多个主机上安装的IDS同样问题•误用检测比异常检测能更好地适应扩展或向其他计算机系统
的移植•g前这些方法除了基于模式的检测方法和状态转换分析,都必须检测大量的数据来判断入侵的
行为,这直接影响了检测入侵的时间•异常检测能够适应改变;
而误用检测中,知识库需要定期地进行更
新•所以要让入侵检测系统更加有效地检测而不错误报警,减少人工干预,入侵检测技术还需要进行大量
的研究和开发•
2.2入侵检测技术
入侵检测技术主要分为两类:
异常入侵检测和误用入侵检测2.2.1异常入侵检测技术
异常入侵检测是指为所监测的系统建立一个在正常情况下的描述文件,任何违反该描述的事件的
发生都被认为是可疑的,即观测活动偏离正常系统使用方式的程度•常用的异常检测技术有:
1•统计分析
最早的异常检测系统采用的是统计分析技术•首先,检测器根据用户对象的动作为每个用户建立一
个用户特征表,通过比较当前特征与已存储定型的以前特征,从而判断是否异常行为•统计分析的优点
有成熟的概率统计理论支持,维护方便,不需要象误用检测系统那样不断地对规则库进行更新和维护等统计分析的缺点:
大多数统计分析系统是以批处理的方式对审计记录进行分析的,不能提供对入侵行为
的实时检测,统计分析不能反映事件在时间顺序上的前后相尖性,而不少入侵行为都有明显的前后相尖
性,门限值的确定非常棘手等•
2.神经网络
这种方法对用户行为具有学习和自适应功能,能够根据实际检测到的信息有效地加以处理并做岀
入侵可能性的判断•利用神经网络所具有的识别,分类和归纳能力,可以使入侵检测系统适应用户行为特
征的可变性•从模式识别的角度来看,入侵检测系统可以使用神经网络来提取用户行为的模式特征,并
以
2.2.2误用入侵检测技术
误用入侵检测是对已知系统和应用软件的弱点进行入侵建模,从而对观测到的用户行为和资源使
用情况进行模式匹配而达到检测目的•常见的误用入侵检测技术有以下几种:
1•模式匹配
模式匹配是最常用的误用检测技术,特点是原理简单,扩展性好,检测效率高,可以实时检测;
但是
只
能适用于比较简单的攻击方式•它将收集到的信息与已知的网络入侵和系统误用模式串进行比较,从
而
发现违背安全策略的行为•著名的轻量级开放源代码入侵检测系统Snort就是采用这种技术•2.专家系统
该技术根据安全专家对可疑行为的分析经验来形成一套推理规则,然后在此基础上建立相应的专
家系统来自动对所涉及的入侵行为进行分析•该系统应当能够随着经验的积累而利用其自学习能力进
行规则的扩充和修正•专家系统方法存在一些实际问题:
处理海量数据时存在效率问题,这是由于专家系统的推理和决策模块通常使用解释型语言来实现,所以执行速度比编译型语言慢;
专家系统的性能完全
取决于设计者的知识和技能;
规则库维护非常艰巨,更改规则时必须考虑到对知识库中其他规则的影响
移法强调的是系统处于易受损的状态而不是未知入侵的审计特征
在的一个弱点是太拘泥于预先定义的状态迁移序列•这种模型运行在原始审计数据的抽象层次上,它
利用系统状态的观念和事件的转变流:
这就有可能提供了一种既能减少误警率又能检测到新的攻击的途
径•另外,因为涉及了比较高层次的抽象,有希望把它的知识库移植到不同的机器,网络和应用的入侵检测
上.
第三章校园网中的分布式入侵检测系统分析
随着网络时代的到来,校园计算机网络安全不容忽视。
许多高校都建立起自己的局域网,校园一般通过网尖与Internet相连,网矢成为整个局域网的安全集中点,校园里所有的机器都处在同一安全级别,当入侵者入侵校园网攻击时,只要突破了校园网的网矢,攻破学校一台机器,整个网络就将面临的瘫痪的危险。
为保障校园网络的安全和顺利进行,通常在校园网中采用以Snort为核心的分布式
入侵检测系统。
3.1分布式入侵检测的设计思想
随着校园网中功能需求的增加,学校对外交流的提高、网上招生的要求、学生宿舍上网,越来越多的部门和教室需要接入校园网络中,网络中心对校园网不断的改造,提高校园网络的安全性。
分布式入侵检测系统对院校实现管理网络化合教学手段现代化、提高学校的管理水平和教学质量、实现网络信息资源共享、丰富师生业余文化生活的同时在安全方面发挥积极作用。
通过分布式入侵检测系统来检测多个主机、多个网段上的数据和信息,对这些信息进行尖联和综合分析,来发现可能存在的分布式网络攻击行为并进行响应处理的入侵检测系统。
分布式入侵检测系统采取了分布式检测的体系结构,主机控制响应单元,它对网络探测响应单元在分级控制台的管理下分别检测本机、本网段的入侵行为,具有良好的分布性、可扩展性;
并在网络检测响应单元系统中设计了协议分析模块,控制台采用分级控制台和总控制台。
分布式通过共同协作的机制,从多层面上实施检测。
提高入侵检测的效果。
分布式入侵检测的设计应满足以下几点功能:
1入侵检测能够识别可疑行为,检测入侵。
2攻击行为检测的准确性,并进行警报,降低检测报警中的误报和漏报。
3入侵检测能针对不同的警报级别分别作出不同的响应。
4入侵检测必须允许管理员适时监控攻击行为,对不同的功能和报警进行手动控制。
5入侵检测能够处理大规模的攻击。
6入侵检测的各组件之间能根据检测到的入侵和报警相互通信。
7入侵检测本身具有稳健性,对攻击手法的改变具有适应性。
8入侵检测具有可扩展性,能满足今后网络扩展的需要
9为保障网络安全,入侵检测自身应具有高可靠性,能保障不间断运行。
3.2校园分布式入侵检测模式的分析
当前网络结构逐步复杂化和大型化的趋势下,分布式入侵检测由于检测范围大,检测时可以采用不同的检测方法,通过将各个传感器放置在不同的组件上,实现信息收集汇总。
入侵检测系统的工作
流程如图3・1所示。
Snort是一个功能强大的入侵检测系统,具有灵活、可定制和可扩展的特点。
因此采用以Snort为
核心的分布式入侵检测系统。
基于Snort的分布式入侵检测系统按功能主要由三个部分组成:
传感器、
数据管理中心、管理决策中心,是一个三层结构。
如图3-2所示。
图3-2分布式入侵检测系统的总体结构
传感器用于收集来自网络上的数据,通过均匀的分布在重要网段上,收集各方位传来的数据。
是分布式入侵检测系统重要组成部分。
然后将收集来的数据进行简单的数据处理,并采用基于协议分析和基于模式匹配结合的方法更全面的检测入侵行为,并将入侵数据日志到数据管理中心数据库中,进行存储和处理。
数据管理中心是负责收集传感器传来的一系列报警数据,并对收集的报警数据进行处理。
数据中心存储过程中进行数据整理,防止需要存储的数据信息量过多,方便对数据库报警信息的分类和管理。
管理决策中心是网络管理员与机器交互信息中心,负责汇总信息整理成材料,以图文形式显示数据信息,方便管理员作出相应的决策机制。
提高网络信息的安全性。
传感器用于捕获来自网络上的数据,是进行入侵检测的基础,它是由Snort实现的。
由于Snort
本身没有抓包工具,所以采用外部抓包工具WinpcapoWinpcap负责直接从网络上抓包,将采集到的
数据进行简单处理传送到数据管理中心进行封装。
Winpcap提供了一套标准的网络数据包捕获的编程
接口、捕获原始数据包、在数据包发往应用程序之前按照自定义的规则将某些特别的数据包过滤掉、在网络上发送原始的数据包、收集网络通信过程中的统计信息。
预处理器以插件的形式实现,它使得Snort入侵检测系统具有模块化的特征,使系统具有灵活的
扩展能力和配置能力。
用户和程序员能够将各种不同功能的模块化的插件方便地融入Snort之中,用
来针对可疑行为检查包或者修改包,以便检测引擎对其进行正确的解释,从而提高检测的准确性和速度。
预处理可以分为两类,一类是用于针对可疑行为或者对包进行修改,以便对数据进行分析检测时可以正确的识别;
另一类是负责对流量标准化,以便进行检测时可以准确的匹配特征。
通过它可以提高模式匹配的检测效率。
预处理器使入侵检测系统可以处理跨多个包的数据,还可以规范化有多个数据表达形式的协议数据。
通过预处理系统具有异常检测的能力,可以发现还没有对应规则的攻击。
另外用户还可以根据需要自己编写新的预处理插件。
3.3采用的入侵检测技术
Snort入侵检测系统是基于误用检测的入侵检测软件。
一般采用模式匹配的方法检测入侵行为。
模式匹配是将获得的数据与系统内相应数据进行比较,从而发现违背安全策略的行为。
具有原理简单、扩展性好、分析速度快等优点。
模式匹配算法有很多,BM(Boyer-Moore)算法是一种常用的米青确匹配算法,其中Snort入侵检测系统急速使用BM算法来进行特征匹配。
更具数据显示:
Snort在进行检测的时候调用字符串匹配函
数所需要的时间占总时间的25.2%,所以字符串匹配算法效率队Snort来说很重要。
BM算法利用跳过
不必要的比较来减少字符之间的匹配,以减少匹配次数来提高检测效率。
女口:
在主字符串(记做P)搜索的文本(记做T),将P的第一个字符记做P1,P的最后一个字符记做Pm;
T的第一个字符记做T1,T的最后一个字符记做Tn;
则有:
主字符串P:
abcacdabaababbaab模式子串T:
ababbaab
定义一个函数K:
XT{1,2,…,m};
当字符不匹配时,实现下标的移动。
n若任意字符x不出现在T中或x=Pi;
(i=m)
彳
K[x]=n・l若x在T,这里的i=max{i:
Pi=x,1<
=i<
=m-1}
1匹配自右向左进行:
在开始前,将主字符串P与文本T左部对齐,而匹配搜索从P的最右边一个字符开始,
2忽略不匹配的字符:
containsnob
图3・3坏字符算法
(1)
x,y在匹配的过程中发生了匹配失败a工,这时候判断b.如果在x中没有发现•说明只要含有b就不
可能匹配,所以跳到b的后面,继续匹配•如图3・3所示。
©
I
a
u
Hr*
shift
b
bcontainsno1)
图3・4坏字符算法
(2)
x,y在匹配的过程中发生了匹配失败a工b,这时候判断b.如果在x中发现有b,则从右边数第一个
b和y中的b对齐.如图3-4所示。
3发现匹配字符:
i+jjw
m
1w
图3・5好后缀处理算法
(1)
矢于“『的部分是匹配成功的•某一次匹配失败•描述起来就是x[i+1..m-1]=y[i+j+1..
j+m-1]=uandx[i]丰y[i切如果”『的部分在x中能找到•那么找到此位置与b对齐,但新位置必须
满足cAb‘如图3・5所示。
V
图3・6好后缀处理算法
(2)
尖于“u“的部分是匹配成功的•某一次匹配失败.描述起来就是x[i+1..m-1]=y[i+j+1..j+m-1]=uandx[i]羊y[i切如果”『的部分在x中不能找到•那么找到x的一个最大前缀V满足是”『中最大后缀•然后使这2部分对齐.如图3-6所示。
通过基于模式匹配的检测方法,快速地探测网络上不安全因素的存在。
它利用网络协议的高度规则性,只提取数据包的重要特征送入处理模块进行检测,不仅节约了检测部分的资源,传输的时候也极大提高了单位时间的包特传输速率。
且同模式匹配技术结合,使得入侵检测系统具有检测速度快、系统消耗低、降低误报率等优占。
八、、
第四章入侵检测系统的发展趋势
与防火墙等高度成熟的产品相比,入侵检测系统还存在相当多的问题,这些问题大多数是目前入侵检测系统的结构所难以克服的,而且这些矛盾可能越来越尖锐。
入侵技术的发展与演化主要反映在以下几个方面:
入侵或攻击的综合化与复杂化。
攻击者不断增加的知识,日趋成熟多样自动化工具,以及越来越复杂细致的攻击手法。
入侵检测系统必须不断跟踪最新的安全技术,才能不致被攻击者远远超越。
入侵主体对象的间接化,恶意信息采用加密的方法传输。
通过一定的技术,可掩盖攻击主体的源地址、主机位置和攻击信息。
不断增大的入侵或攻击的规模。
对于网络的入侵与攻击,在其初期往往是针对某公司或一个网站,而现在入侵或攻击的规模不断增大,单一的入侵检测系统已很难应付。
可以想见,随着网络流量的进一步加大,对入侵检测系统将提出更大的挑战,在PC机上运行纯软件系统的方式需要突破。
入侵或攻击技术的分布化。
以往常用的入侵与攻击行为往往由单机执行,分布式攻击是近期最常用的攻击手段。
所谓的分布式拒绝服务在很短时间内可造成被攻击主机的瘫痪,且此类分布式攻击的单片机信息模式与正常通信无差异,所以往往在攻击发动的初期不易被确认。
攻击对象的转移。
入侵与攻击常以网络为侵犯的主体,但近期来的攻击行为却发生了策略性的改变,由攻击网络改为攻击网络的防护系统,且有愈演愈烈的趋势。
入侵检测系统作为一种新兴的网络安全手段,从一开始就受到了大家的重视。
近年来,入侵检测技术获得了极大地发展,今后的入侵检测技术大致可朝以下几个方向发展。
(1)云计算入侵检测的发展
随着云计算成为全球新兴产业的重要代表,网络入侵者都将目光投到了云计算这一未来充满巨大市场空间的领域。
由于云计算环境拥有强大的计算能力、海量的存储空间和丰富的用户信息,对网络入侵者具有很大的诱惑力,云计算环境目前已经成为网络入侵者的攻击目标。
特别是作为云计算服务供应商,在为云计算用户提供计算、存储和各种软件式服务的过程中,很容易遭受各种安全威胁与攻击的考验。
同时,云计算环境下的网络攻击发动更加快速、攻击能力更加强大、攻击后果更加严重,使得云计算环境的入侵检测变得更加重要。
(2)集成网络分析和管理功能
入侵检测不但对网络攻击是一个检测。
同时,侵检测可以收到网络中的所有数据,对网络的故障分析和健康管理也可起到重大作用。
当管理员发现某台主机有问题时,也希望能马上对其进行管理。
入侵检
测也不应只采用被动分析方法,最好能和主动分析结合。
所以,入侵检测产品集成网管功能,扫描器(Seanner),嗅探器(Sniffer)等功能是以后发展的方向。
(3)安全性和易用性的提高
入侵检测是个安全产品,自身安全极为重要。
因此,目前的入侵检测产品大多采用硬件结构,黑洞式接入,免除自身安全问题。
同时,对易用性的要求也日益增强,例如:
全中文的图形界面,自动的数据库维护,多样的报表输出。
这些都是优秀入侵产品的特性和以后继续发展细化的趋势。
(4)高速实时入侵检测技术
大量高速网络技术在近年内不断出现,在此背景下的各种宽带接入手段层出不穷,其中很多已经得到了广泛的应用。
如何实现高速网络下的实时入侵检测已经成为一个现实的问题。
目前,虽然市场上也可以见到一些基于千兆以太网环境的入侵检测产品,但其,性能指标还远未满足要求。
(5)IDS与其他安全部件的互动
实现网络与信息的安全是一项系统工程,不是哪一种单独的安全部件就可以完成的。
只有在不同的安全部件之间实现互联互动,才能更好的保证网络与信息的安全。
随着防火墙、入侵检测等技术的不断
发展,实现它们之间的互动显得越来越重要。
因此,对于安全部件之间的互动协议和接口标准的研究,
也会是对IDS研究的一个重要方向。
由于IDS的地位越来越重要,防护的网络规模越来越大,因此应该把IDS和其他安全部件放在一个对等的位置来考虑它们之间的互动。
应该考虑不同厂家的IDS之间,IDS与防火墙之间,IDS与响应部件
之间的互动。
在这方面还有很大一部分工作需要解决。
(6)IDS标准化工作
标准化的工作对于一项技术的发展至矢主要。
在某一个技术领域,如果没有相应的标准,那么该领域的发展将会
升级会员 