摘 要:本文阐述入侵检测的基本原理、关键技术及分类,主要对目前入侵检测方法进行了对比分析。最后指出目前入侵检测系统存在的问题和发展的方向。
关键词:入侵检测系统;入侵检测技术;入侵检测方法
0 引言
随着计算机的普及和网络应用的日趋广泛,计算机网络己经进入政治、经济、军事、文化、教育等各个社会领域,给整个人类社会的发展影响深远。但是随之而来的网络安全问题变得日益复杂和突出。由于网络本身的开放性和网络系统内潜在的漏洞,使其受到威胁和攻击的可能性大大增加。因此,增强网络安全意识,防范不明身份的入侵者,保证网络信息安全,显得尤为重要。
计算机网络安全是指利用网络管理控制和技术措施,保证在一个网络环境里数据的保密性、完整性及可使用性受到保护。计算机网络安全包括两个方面,即物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护,免于破坏、丢失等。逻辑安全包括信息的完整性、保密性和可用性。
计算机网络安全技术简称网络安全技术,指致力于解决诸如如何有效进行介入控制,以及如何保证数据传输的安全性的技术手段,主要包括物理安全分析技术、网络结构安全分析技术、系统安全分析技术、管理安全分析技术及其它的安全服务和安全机制策略[1]。主要技术分类有:虚拟网技术;防火墙技术;病毒防护技术;入侵检测技术;安全扫描技术;认证和数字签名技术;vpn技术等等,其中入侵检测技术是近年出现的新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。WwW.11665.coM实时入侵检测能力之所以重要首先它能够对付来自内部网络的攻击,其次它能够缩短hacker入侵的时间。
1 入侵检测原理
入侵检测系统(intrusion detection system,简称“ids”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。入侵(intrusion)是企图进入或滥用计算机系统的行为。入侵检测(intrusion detection)是对系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证系统资源的机密性、完整性和可用性。入侵检测系统(intrusion detection system)是进行入侵检测的软件与硬件的组合。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术[3]。
最早的入侵检测模型是由denning[6]给出的,该模型主要根据主机系统审计记录数据,生成有关系统的若干轮廓,并监测轮廓的变化差异发现系统的入侵行为,如图1 所示。
图 1 ides入侵检测模型
2 入侵检测系统分类
入侵检测系统可分为以下两类:基于主机和基于网络的入侵检测系统
2.1 基于主机的入侵检测系统
一般主要使用操作系统的审计、跟踪日志作为数据源,某些也会主动与主机系统进行交互以获得不存在于系统日志中的信息以检测入侵。这种类型的检测系统不需要额外的硬件,对网络流量不敏感,效率高,能准确定位入侵并及时进行反应,但是占用主机资源,依赖于主机的可靠住,所能检测的攻击类型受限。不能检测网络攻击。
2.2 基于网络的入侵检测系统
通过被动地监听网络上传输的原始流量,对获取的网络数据进行处理,从中提取有用的信息,再通过与已知攻击特征相匹配或与正常网络行为原型相比较来识别攻击事件。此类检测系统不依赖操作系统作为检测资源,可应用于不同的操作系统平台;配置简单,不需要任何特殊的审计和登录机制;可检测协议攻击、特定环境的攻击等多种攻击。但它只能监视经过本网段的活动,无法得到主机系统的实时状态,精确度较差。大部分入侵检测工具都是基于网络的入侵检测系统.
3 入侵检测方法
目前常见的入侵检测方法可分为三类:异常检测、误用检测、混合检测。
3.1 异常检测
异常检测也被称为基于行为的检测。这是对一些假定对象的违规操纵出现系统使用异常的入侵检测系统 ,通过对用户行为的比较,和正常的行为之间的不同差别来对客户做出正确的判断,对用户出现的细微行为的变化,对用户的动态的简介内容进行适当的调查,如果用户的行为发生了极大的变化,整个入侵检测系统就会出现报警
类的反应,这就是对固定用户异常行为入侵的检测。
1)专家系统:用专家系统对入侵进行检测, 经常是针对有特征的入侵行为。所谓的规则, 即是知识, 专家系统的建立依赖于知识库的完备性, 知识库的完备性又取决于审计记录的完备性与实时性.
2)基于模型:garvey和lunt[7]提出基于模型的入侵检测方法,通过建立入侵行为序列的响应模型,并采用证据推理和入侵模型相结合的方法检测入侵行为。该方法基于完善的不确定性推理数学理论,故不会出现专家系统那种放弃不确定的中间结论的问题。此外,它可以通过监测一些主要的审计事件,并在其发生后开始详细记录,从而减少审计事件处理的负荷。因此,早期采用基于规则的专家系统,后来都转而采用基于模型的方法。但该方法采用人工建模的方式,仅适用于入侵方式较简单的情况。此外,它要求入侵行为和正常行为是明显区分的,无法处理两者发生联系的情况。
3)模式匹配:基于模式匹配的入侵检测方法将已知的入侵特征编码成与审计记录相符合的模式。当新的审计事件产生时, 这一方法将寻找与它相匹配的已知入侵模式。
4)状态转换法:使用系统状态转换图和状态转换表达式检测和描述已知入侵,使用最优模式匹配来结构化误用检测问题。其最大优点是能检测出一些缓慢的协同攻击,处理一些已知攻击类型的变种行为,因效率较低而常与其他检测方法协同使用。 3.2 混合检测
单一的方法进行入侵检测受到一定的局限,不能检测未知入侵或检测率不高。因此,使用多种方法来检测入侵受到研究人员的关注,目前已提出多种混合检测方法。混合检测方法综合了滥用检测和异常检测的优点。由于滥用检测方法和异常检测方法存在互补性, 两者的结合可以取长补短, 能够有效提高整体检测性能。这种方法包括遗传算法、神经网络、生物免疫及数据挖掘等, 其性能分析如表1所示。
表1 混合检测方法性能分析
4 入侵检测技术未来发展方向
今后的入侵检测技术大致可朝下述三个方向发展
1)分布式入侵检测:第一层含义,即针对分布式网络攻击的检测方法;第二层含义即使用分布式的方法来检测分布式的攻击,其中的关键技术为检测信息的协同处理与入侵攻击的全局信息的提取。
2)智能化入侵检测:即使用智能化的方法与手段来进行入侵检测。所谓的智能化方法,现阶段常用的有神经网络、遗传算法、模糊技术、免疫原理等方法,这些方法常用于入侵特征的辨识与泛化。利用专家系统的思想来构建入侵检测系统也是常用的方法之一。特别是具有自学习能力的专家系统,实现了知识库的不断更新与扩展,使设计的入侵检测系统的防范能力不断增强,应具有更广泛的应用前景。应用智能体的概念来进行入侵检测的尝试也已有报道。较为一致的解决方案应为高效常规意义下的入侵检测系统与具有智能检测功能的检测软件或模块的结合使用。
3)全面的安全防御方案:即使用安全工程风险管理的思想与方法来处理网络安全问题,将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、入侵检测多方位全面对所关注的网络作全面的评估,然后提出可行的全面解决方案。自从ips面市之日起,围绕ips和ids之间关系的讨论就不断升温,成为安全业界的一大热点。从实际应用来说,ips既非ids的替代品,更非ids的延伸者,而是术业有专攻,侧重不同的方面,是为了满足企业风险管理需求的两种不同解决方案。由于各行业客户不同的应用环境和实际需求,ids和ips在国内都呈现出繁荣发展的景象,因此二者之间的关系并非简单的升级和替代,长期来看,ids和ips将出现共同发展、和平共存的局面。
5 结束语
目前, 我国信息网络安全研究历经了通信保密、数据保护两个阶段, 正在进入网络信息安全研究阶段, 现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等网络安全产品。但是我国的信息网络安全技术的研究和产品开发仍处于起步阶段, 想要在黑客猖獗、病毒肆虐的信息高速公路上保证数据的安全、有效、可用、保密、完整, 就只有不断探究、完善、创新网络安全防范技术。
入侵检测随着信息安全问题的日益突出越来越多地受到人们的关注,尽管在技术上仍有许多未克服的问题,但正如攻击技术不断发展一样,入侵检测技术也会不断更新,成
熟。可以展望,入侵检测技术的发展将对信息的安全保护产生深远的影响。
参考文献:
[1] 张超,霍红卫,钱秀槟等.入侵检测系统概述.计算机工程与应用,2008,3:116~119.
[2] 蒋建春,冯登国.网络入侵检测原理与技术[m].北京:国防工业出版社,2010.
[3] 胡昌振.完善ids自防护体系,http://tech.ccidnet.com/pub /article/c231-a74458-p2.html,2003,12.
[4] 刘宏伟.ims 统一ids.中国计算机报,2004,(27)[8]唐正军.网络入侵检测系统的设计与实现[m].北京:电子工业出版社,2012.
[5]高永强,郭世泽.网络安全技术与应用大典[m].北京:人民邮电出版社,2009.
[6] dorothy e.denning, an intrusion-detection model[j].ieee transactions on software engineering,1987,13(2):222-232.
[7] garvey t d, lunt t f.model based intrusion detection[a].proceedingof the 14th national computer security conference[c].1991.372-385.
