入侵检测系统研究Word格式.docx
《入侵检测系统研究Word格式.docx》由会员分享,可在线阅读,更多相关《入侵检测系统研究Word格式.docx(4页珍藏版)》请在冰豆网上搜索。
自此之后,入侵检测系统才真正发展起来。
Anderson将入侵尝试或威胁定义为:
潜在的、有预谋的、XX的访问信息、操作信息、致使系统不可靠或无法使用的企图。
而入侵检测的定义为:
发现非授权使用计算机的个体或计算机系统的合法用户滥用其访问系统的权利以及企图实施上述行为的个体。
执行入侵检测任务的程序即是入侵检测系统。
入侵检测系统也可以定义为:
检测企图破坏计算机资源的完整性,真实性和可用性的行为的软件。
入侵检测系统执行的主要任务包括:
监视、分析用户及系统活动;
审计系统构造和弱点;
识别、反映已知进攻的活动模式,向相关人士报警;
统计分析异常行为模式;
评估重要系统和数据文件的完整性;
审计、跟踪管理操作系统,识别用户违反安全策略的行为。
入侵检测一般分为三个步骤:
信息收集、数据分析、响应。
入侵检测的目的:
识别入侵者;
识别入侵行为;
检测和监视以实施的入侵行为;
为对抗入侵提供信息,阻止入侵的发生和事态的扩大;
2入侵检测系统模型
美国斯坦福国际研究所的于1986年首次提出一种入侵检测模型,该模型的检测方法就是建立用户正常行为的描述模型,并以此同当前用户活动的审计记录进行比较,如果有较大偏差,则表示有异常活动发生。
这是一种基于统计的检测方法。
随着技术的发展,后来人们又提出了基于规则的检测方法。
结合这两种方法的优点,人们设计出很多入侵检测的模型。
通用入侵检测构架组织,试图将现有的入侵检测系统标准化,CIDF阐述了一个入侵检测系统的通用模型。
它将一个入侵检测系统分为以下四个组件:
事件产生器(EventGenerators)
事件分析器(Eventanalyzers)
响应单元(Responseunits)
事件数据库(Eventdatabases)
它将需要分析的数据通称为事件,事件可以是基于网络的数据包也可以是基于主机的系统日志中的信息。
事件产生器的目的是从整个计算机环境中获得事件,并向系统其它部分提供此事件。
事件分析器分析得到的事件并产生分析结果。
响应单元则是对分析结果做出反应的功能单元,它可以做出切断连接、修改文件属性等强烈反应。
事件数据库是存放各种中间和最终数据的地方的通称,它可以是复杂的数据库也可以是简单的文本文件。
3入侵检测系统的分类:
现有的IDS的分类,大都基于信息源和分析方法。
为了体现对IDS从布局、采集、分析、响应等各个层次及系统性研究方面的问题,在这里采用五类标准:
控制策略、同步技术、信息源、分析方法、响应方式。
按照控制策略分类
控制策略描述了IDS的各元素是如何控制的,以及IDS的输入和输出是如何管理的。
按照控制策略IDS可以划分为,集中式IDS、部分分布式IDS和全部分布式IDS。
在集中式IDS中,一个中央节点控制系统中所有的监视、检测和报告。
在部分分布式IDS中,监控和探测是由本地的一个控制点控制,层次似的将报告发向一个或多个中心站。
在全分布式IDS中,监控和探测是使用一种叫“代理”的方法,代理进行分析并做出响应决策。
按照同步技术分类
同步技术是指被监控的事件以及对这些事件的分析在同一时间进行。
按照同步技术划分,IDS划分为间隔批任务处理型IDS和实时连续性IDS。
在间隔批任务处理型IDS中,信息源是以文件的形式传给分析器,一次只处理特定时间段内产生的信息,并在入侵发生时将结果反馈给用户。
很多早期的基于主机的IDS都采用这种方案。
在实时连续型IDS中,事件一发生,信息源就传给分析引擎,并且立刻得到处理和反映。
实时IDS是基于网络IDS首选的方案。
按照信息源分类
按照信息源分类是目前最通用的划分方法,它分为基于主机的IDS、基于网络的IDS和分布式IDS。
基于主机的IDS通过分析来自单个的计算机系统的系统审计踪迹和系统日志来检测攻击。
基于主机的IDS是在关键的网段或交换部位通过捕获并分析网络数据包来检测攻击。
分布式IDS,能够同时分析来自主机系统日志和网络数据流,系统由多个部件组成,采用分布式结构。
按照分析方法分类
按照分析方法IDS划分为滥用检测型IDS和异常检测型IDS。
滥用检测型的IDS中,首先建立一个对过去各种入侵方法和系统缺陷知识的数据库,当收集到的信息与库中的原型相符合时则报警。
任何不符合特定条件的活动将会被认为合法,因此这样的系统虚警率很低。
异常检测型IDS是建立在如下假设的基础之上的,即任何一种入侵行为都能由于其偏离正常或者所期望的系统和用户活动规律而被检测出来。
所以它需要一个记录合法活动的数据库,由于库的有限性使得虚警率比较高。
按照响应方式分类
按照响应方式IDS划分为主动响应IDS和被动响应IDS。
当特定的入侵被检测到时,主动IDS会采用以下三种响应:
收集辅助信息;
改变环境以堵住导致入侵发生的漏洞;
对攻击者采取行动。
被动响应IDS则是将信息提供给系统用户,依靠管理员在这一信息的基础上采取进一步的行动。
4IDS的评价标准
目前的入侵检测技术发展迅速,应用的技术也很广泛,如何来评价IDS的优缺点就显得非常重要。
评价IDS的优劣主要有这样几个方面:
准确性。
准确性是指IDS不会标记环境中的一个合法行为为异常或入侵。
性能。
IDS的性能是指处理审计事件的速度。
对一个实时IDS来说,必须要求性能良好。
完整性。
完整性是指IDS能检测出所有的攻击。
故障容错。
当被保护系统遭到攻击和毁坏时,能迅速恢复系统原有的数据和功能。
自身抵抗攻击能力。
这一点很重要,尤其是“拒绝服务”攻击。
因为多数对目标系统的攻击都是采用首先用“拒绝服务”攻击摧毁IDS,再实施对系统的攻击。
及时性。
一个IDS必须尽快地执行和传送它的分析结果,以便在系统造成严重危害之前能及时做出反应,阻止攻击者破坏审计数据或IDS本身。
除了上述几个主要方面,还应该考虑以下几个方面:
IDS运行时,额外的计算机资源的开销;
误警报率/漏警报率的程度;
适应性和扩展性;
灵活性;
管理的开销;
是否便于使用和配置。
5IDS的发展趋
随着入侵检测技术的发展,成型的产品已陆续应用到实践中。
入侵检测系统的典型代表是ISS公司的RealSecure。
目前较为着名的商用入侵检测产品还有:
NAI公司的CyberCopMonitor、Axent公司的NetProwler、CISCO公司的Netranger、CA公司的Sessionwall-3等。
国内的该类产品较少,但发展很快,已有总参北方所、中科网威、启明星辰等公司推出产品。
人们在完善原有技术的基础上,又在研究新的检测方法,如数据融合技术,主动的自主代理方法,智能技术以及免疫学原理的应用等。
其主要的发展方向可概括为:
大规模分布式入侵检测。
传统的入侵检测技术一般只局限于单一的主机或网络框架,显然不能适应大规模网络的监测,不同的入侵检测系统之间也不能协同工作。
因此,必须发展大规模的分布式入侵检测技术。
宽带高速网络的实时入侵检测技术。
大量高速网络的不断涌现,各种宽带接入手段层出不穷,如何实现高速网络下的实时入侵检测成为一个现实的问题。
入侵检测的数据融合技术。
目前的IDS还存在着很多缺陷。
首先,目前的技术还不能对付训练有素的黑客的复杂的攻击。
其次,系统的虚警率太高。
最后,系统对大量的数据处理,非但无助于解决问题,还降低了处理能力。
数据融合技术是解决这一系列问题的好方法。
与网络安全技术相结合。
结合防火墙,病毒防护以及电子商务技术,提供完整的网络安全保障。
6结束语
在目前的计算机安全状态下,基于防火墙、加密技术的安全防护固然重要,但是,要根本改善系统的安全现状,必须要发展入侵检测技术,它已经成为计算机安全策略中的核心技术之一。
IDS作为一种主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护。
随着网络通信技术安全性的要求越来越高,入侵检测技术必将受到人们的高度重视。
参考文献:
[1]AndersonJP.Computersecuritythreatmonitoringandsurveillance[P].PA19034,USA,
DenningDE.AnIntrusion-DetectionModel[A].IEEESymponSecurity&
Privacy[C],
张杰,戴英侠,入侵检测系统技术现状及其发展趋势[J],计算机与通信,:
28-32
曾昭苏,王锋波,基于数据开采技术的入侵检测系统[J],自动化博览,2002,8:
29-31
唐洪英,付国瑜,入侵检测的原理与方法[J],重庆工学院学报,:
71-73
升级会员 