入侵检测技术的发展方向.docx
《入侵检测技术的发展方向.docx》由会员分享,可在线阅读,更多相关《入侵检测技术的发展方向.docx(6页珍藏版)》请在冰豆网上搜索。
入侵检测技术的发展方向
计算机网络入侵检测技术的研究
1引言
1.1入侵检测技术成因
随着计算机网络技术的飞速发展和也能够用以及计算机网络用户数量的不断增加,如何有效地保证网络上信息的安全成为计算机网络的一个关键技术。
虽然迄今为止以发展了多种安全机制来保护计算机网络,如:
用户授权及认证、访问控制、数据加密、数据备份等。
但以上的安全机制已不能满足当前网络安全的需要。
网络入侵和攻击的现象仍然是屡见不鲜。
尤其是电子商务的应用,使得网络安全问题的解决迫在眉睫,使得从技术、管理等多方面采取综合措施,保障信息及网络的安全已成为世界各国计算机技术人员的共同目标。
为了实现计算机和因特网的安全,传统的安全防御措施,如:
加密、身份验证、访问控制等已暴露出了众多的缺陷或漏洞。
入侵检测责是信息及网络安全保障中应运而生的关键技术之一。
入侵是指XX蓄意尝试访问信息、篡改信息,是系统不可靠或不能使用,亦即破坏资源的机密性、完整性和可用性的行为。
它的特点是不受时空限制,攻击手段隐蔽而且更加错综复杂,内部作案连接不断。
入侵检测以其动态防护特点,成为实现网络安全的新的解决策略。
引入入侵检测技术,相当于在计算机系统中引入了一个闭环的安全策略。
计算机的多种检测系统进行安全策略的反馈,从而进行及时的修正,大大提高了系统的安全性。
1.2入侵检测系统的成长
上世纪90年代中期,商业入侵检测产品初现端倪,1994年出现了第一台入侵检测产品:
ASIM。
而到了1997年,Cisco将网络入侵检测集成到其路由器设备中,同年,ISS推出Realsecure,入侵检测系统正式进入主流网络安全产品阶段。
在这个时期,入侵检测通常被视作防火墙的有益补充,这个阶段用户已经能够逐渐认识到防火墙仅能对4层以下的攻击进行防御,而对那些基于数据驱动攻击或者被称为深层攻击的威胁行为无能为力。
厂商们用得比较多的例子就是大厦保安及闭路监控系统的例子,防火墙相当于保安,入侵检测相当于闭路监控设备,那些绕过防火墙的攻击行为将在“企图作恶”时,被入侵检测系统逮个正着。
而后,在20001~2003年之间,蠕虫病毒大肆泛滥,红色代码、尼姆达、震荡波、冲击波此起彼伏。
由于这些蠕虫多是使用正常端口,除非明确不需要使用此端口的服务,防火墙是无法控制和发现蠕虫传播的,反倒是入侵检测产品可以对这些蠕虫病毒所利用的攻击代码进行检测(就是前面提到的滥用检测,将针对漏洞的攻击代码结合病毒特征做成事件特征,当发现有该类事件发生,就可判断出现蠕虫。
),一时间入侵检测名声大振,和防火墙、防病毒一起并称为“网络安全三大件”。
2入侵检测定义及分类
2.1入侵检测定义
入侵检测(IntrusionDetection)技术是安全审核中的核心技术之一,是网络安全防护的重要组成部分。
入侵检测技术是为保证计算机系统的安全而设计及配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中能够违反安全策略行为的技术。
它通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息,来检测网络或系统中是否存在违反安全策略的行为和被攻击的迹象。
入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和相应入侵。
违反安全策略的行为有:
入侵——非法用户的违规行为;滥用——合法用户的违规行为。
入侵检测通过执行以下任务来实现:
监视、分析用户及系统活动;系统构造和弱点的审计;识别反应一直进攻的活动模式并向相关人士报警;异常行为模式的统计分析;评估重要系统和数据文件的完整性;操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
入侵检测的原理如图1所示。
图1入侵检测原理
应用入侵检测技术,能是在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警及防护系统驱逐入侵攻击。
在入侵攻击过程中,能减少入侵攻击所造成的损失。
在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,填入知识库内,以增强系统的防范能力。
2.2入侵检测技术分析
入侵分析的任务就是在提取到的庞大的数据中找到入侵的痕迹。
入侵分析过程需要将提取到的事件及入侵检测技术规则进行比较,从而发现入侵行为。
一方面入侵检测技术系统需要尽可能多地提取数据以获得足够的入侵证据,而另一方面由于入侵行为的千变万化而导致判定入侵的规则越来越复杂,为了保证入侵检测技术的效率和满足实时性的要求,入侵分析必须在系统的性能和检测技术能力之间进行权衡,合理地设计分析策略,并且可能要牺牲一部分检测技术能力来保证系统可靠、稳定地运行并具有较快的响应速度。
分析策略是入侵分析的核心,系统检测技术能力很大程度上取决于分析策略。
在实现上,分析策略通常定义为一些完全独立的检测技术规则。
基于网络的入侵检测技术系统通常使用报文的模式匹配或模式匹配序列来定义规则,检测技术时将监听到的报文及模式匹配序列进行比较,根据比较的结果来判断是否有非正常的网络行为。
这样以来,一个入侵行为能不能被检测技术出来主要就看该入侵行为的过程或其关键特征能不能映射到基于网络报文的匹配模式序列上去。
有的入侵行为很容易映射,如ARP欺骗,但有的入侵行为是很难映射的,如从网络上下载病毒。
对于有的入侵行为,即使理论上可以进行映射,但是在实现上是不可行的,比如说有的网络行为需要经过非常复杂的步骤或较长的过程才能表现其入侵特性,这样的行为由于具有非常庞大的模式匹配序列,需要综合大量的数据报文来进行匹配,因而在实际上是不可行的。
而有的入侵行为由于需要进行多层协议分析或有较强的上下文关系,需要消耗大量的处理能力来进行检测技术,因而在实现上也有很大的难度。
2.3入侵检测的分类
通过对现有入侵检测技术方法的研究,可以从不同角度对入侵检测技术进行分类:
(1)按照检测数据来源。
有以下三类:
基于主机的入侵检测技术;基于网络的入侵检测技术;基于主机和网络的入侵检测技术。
以上3种入侵检测技术都具有各自的优点和不足,可以相互作为补充,一个晚辈的入侵检测系统一定是基于主机和基于网络两种方式兼备的分布式系统。
(2)按照检测技术。
分为异常检测技术和误用检测技术。
异常检测技术又可称为基于行为的入侵检测技术,它假定了所有的入侵行为都有异常特性。
误用技术,又称为基于知识的入侵检测技术,它通过攻击模式、攻击签名的形式表达入侵行为。
(3)按照工作方式。
可以分为离线检测和在线检测。
离线检测:
在事后分析审计事件,从中检测入侵活动,是一种非实时工作的系统。
在线监测:
实时联机的检测系统,它包含对实时网络数据包分析,对实时主机审计分析。
(4)按照系统网络构架。
分为几种是检测技术、分布式检测技术和分层式检测技术。
将分析结果传到邻近的上层,高一层的监测系统只分析下一层的分析结果。
分层式检测系统通过分析分层式数据使系统具有更好的可升级性。
3常用的入侵检测技术方法
目前,常用的入侵检测技术方法比较多,下面列出几个进行说明。
3.1神经网络异常检测
这种方法对用户行为具有自学习和自适应的能力,能够根据实际监测到的信息有效地加以处理并做出入侵可能性的判断。
通过对下一事件错误率的预测在一定程度上反映用户行为的异常程度。
目前该方法使用比较普遍,但该方法还不成熟。
还没有出现较为完善的产品。
3.2概率统计异常检测
这种方法是基于对用户历史行为建模,以及在早期的证据或模型的基础上.审计系统实时的检测用户对系统的使用情况,根据系统内部保存的用户行为概率统计模型进行检测,当发现有可疑的用户行为发生时.保持跟踪并监测、记录该用户的行为。
3.3专家系统误用检测
针对有特征人侵的行为。
较多采用专家系统进行检测。
在专家检测系统实现中,通过If-Then结构(也可以是复合结构)的规则对安全专家的知识进行表达。
专家系统的建立依赖于知识库的完备性,知识库的完备性又取决于审计记录的完备性及实时性。
3.4基于模型的入侵检测
人侵者在攻击一个系统时往往采用一定的行为程序,如猜测口令的行为序列,这种行为序列构成了具有一定行为特征的模型,根据这种模型所代表的攻击意图的行为特征,可以实时地检测出恶意的攻击企图。
4入侵检测技术的发展方向
可以看到,在入侵检测技术发展的同时,入侵技术也在更新,一些地下组织已经将如何绕过IDS或攻击IDS系统作为研究重点。
高速网络,尤其是交换技术的发展以及通过加密信道的数据通信,使得通过共享网段侦听的网络数据采集方法显得不足,而大量的通信量对数据分析也提出了新的要求。
随着信息系统对一个国家的社会生产及国民经济的影响越来越重要,信息战已逐步被各个国家重视,信息战中的主要攻击"武器"之一就是网络的入侵技术,信息战的防御主要包括"保护"、"检测技术"及"响应",入侵检测技术则是其中"检测技术"及"响应"环节不可缺少的部分。
近年对入侵检测技术有几个主要发展方向:
4.1分布式合作引擎、协同式抵抗入侵
随着入侵手段的提高.尤其是分布式、协同式、复杂模式攻击的出现和发展,传统的单一、缺乏协作的入侵检测技术已经不能满足需要,这就要求要有充分的协作机制。
入侵检测信息的合作及协同处理成为必须的。
4.2智能化入侵检测
所谓的智能化方法,即使用智能化的方法及手段来进行入侵检测。
现阶段常用的有神经网络、遗传算法、模糊技术、免疫原理等方法,这些方法常用于入侵特征的辨识及泛化目。
较为一致的解决方案应为高效常规意义下的入侵检测系统及具有智能检测功能的检测软件或模块的结合使用。
并且需要对智能化的入侵检测技术加以进一步地研究以提高其自学习及自适应能力。
4.3分布式入侵检测技术及通用入侵检测技术架构
传统的IDS一般局限于单一的主机或网络架构,对异构系统及大规模的网络的监测明显不足。
同时不同的IDS系统之间不能协同工作能力,为解决这一问题,需要分布式入侵检测技术及通用入侵检测技术架构。
CIDF以构建通用的IDS体系结构及通信系统为目标,GrIDS跟踪及分析分布系统入侵,EMER-ALD实现在大规模的网络及复杂环境中的入侵检测技术。
4.4应用层入侵检测技术
许多入侵的语义只有在应用层才能理解,而目前的IDS仅能检测技术如WEB之类的通用协议,而不能处理如LotusNotes、数据库系统等其他的应用系统。
许多基于客户、服务器结构及中间件技术及对象技术的大型应用,需要应用层的入侵检测技术保护。
Stillerman等人已经开始对CORBA的IDS研究。
4.5入侵检测技术的评测方法
用户需对众多的IDS系统进行评价,评价指标包括IDS检测技术范围、系统资源占用、IDS系统自身的可靠性及鲁棒性。
从而设计通用的入侵检测技术测试及评估方法及平台,实现对多种IDS系统的检测技术已成为当前IDS的另一重要研究及发展领域。
4.6网络安全技术相结合
结合防火墙、PKIX、安全电子交易SET等新的网络安全及电子商务技术,提供完整的网络安全保障。
4.7全面的安全防御方案
使用安全工程风险管理的思想及各种方法处理网络安全问题,将网络安全作为一个整体工程来处理。
从管理制度、网络架构、数据加密、防火墙、病毒防护、入侵检测等多方位全面的对网络作全面的评估.然后设计和实施可行的解决方案。
结束语
随着网络的进一步发展以及黑客攻击手段的多样化,网络安全问题的日益突出,入侵检测技术作为保护计算机系统安全的重要组成部分受到越来越多人们的关注和重视.并已经开始在各种不同网络环境中发挥关键作用。
本文分析概括了入侵的方式,入侵检测技术的定义、工作原理及分类、入侵检测技术的方法。
并且,提出了今后的发展趋势.目的在于为进一步的研究起到启发和借鉴作用。
可以预见,入侵检测技术的发展将对网络应用具有重要意义并产生深远影响,而入侵检测技术的未来发展方向将主要是智能的分布式入侵检测系统,研究和开发自主知识产权的入侵检测系统将成为我国信息安全领域的重要课题。
参考文献
[1]王艳华,马志强,藏露入侵检测技术在网络安全中的应用及研究.信息技术.2009,6:
41_44.
[2]夏煜,郎荣玲,戴冠中入侵检测系统的智能检测技术研究综述.计算机工程及应用,2001,24:
32—34.
[3]壬强.计算机安全入侵检测方案的实现.计算机及信息技术,2007,14:
288,320.
[4]张志刚,吴建设.入侵检测技术在网络安全中的应用.黄石理工学院学报,2008.24(5):
l3—15.
[5]夏炎,尹慧文.网络入侵检测技术研究.沈阳工程学院学报:
自然科学版,2008,4(4):
362—363.
[6]曾小宁.基于网络安全的入侵检测及防范.佛山科学技术学院学报:
自然科学版。
2003,21(3):
39-42.
升级会员 