計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)探討

李 琳 王 鵬 紀(jì) 磊

摘要網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)能夠?qū)W(wǎng)絡(luò)中發(fā)生的安全事件和網(wǎng)絡(luò)中存在的安全漏洞進(jìn)行主動(dòng)實(shí)時(shí)的監(jiān)測(cè),是現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)之一。本文介紹了入侵檢測(cè)技術(shù)的概念、原理、功能、分類和未來(lái)的發(fā)展趨勢(shì)。

關(guān)鍵詞入侵檢測(cè)網(wǎng)絡(luò)安全技術(shù)探討

中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A

隨著計(jì)算機(jī)應(yīng)用范圍的擴(kuò)大和互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展,計(jì)算機(jī)信息技術(shù)已經(jīng)滲透到人們生活的方方面面,各種組織紛紛利用互聯(lián)網(wǎng)建設(shè)自己的信息網(wǎng)絡(luò)系統(tǒng),以充分利用各類信息資源。然而,越來(lái)越開放的信息系統(tǒng)也帶來(lái)了眾多安全隱患, 出于各種目的,它正日益成為犯罪分子攻擊的目標(biāo),黑客們?cè)噲D使用他們所能找到的方法侵入他人的系統(tǒng)。在網(wǎng)絡(luò)安全越來(lái)越受到人們重視和關(guān)注的今天,網(wǎng)絡(luò)安全技術(shù)作為一個(gè)獨(dú)特的領(lǐng)域越來(lái)越受到人們關(guān)注,網(wǎng)絡(luò)安全問(wèn)題越來(lái)越突出。

1 網(wǎng)絡(luò)安全定義

所謂網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不受偶然的因素或者惡意的攻擊而遭到破壞、更改、泄漏,確保系統(tǒng)能連續(xù)、可靠、正常地運(yùn)行,網(wǎng)絡(luò)服務(wù)不中斷。常見的影響網(wǎng)絡(luò)安全的問(wèn)題主要有病毒、黑客攻擊、系統(tǒng)漏洞、資料篡改等,這就需要我們建立一套完整的網(wǎng)絡(luò)安全體系來(lái)保障網(wǎng)絡(luò)安全可靠地運(yùn)行。在現(xiàn)今的網(wǎng)絡(luò)安全技術(shù)中,常用的口令認(rèn)證、防火墻、安全審計(jì)、以及加密技術(shù)等,總的來(lái)說(shuō)都屬于靜態(tài)的防御技術(shù)。單純依靠這些技術(shù),很難確保網(wǎng)絡(luò)的安全。而網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)能夠?qū)W(wǎng)絡(luò)中發(fā)生的安全事件和網(wǎng)絡(luò)中存在的安全漏洞進(jìn)行主動(dòng)實(shí)時(shí)的檢測(cè),可以更加有效地保護(hù)被監(jiān)測(cè)網(wǎng)絡(luò)的安全。

2 入侵檢測(cè)技術(shù)

入侵檢測(cè)是指“通過(guò)對(duì)行為、安全日志或?qū)徲?jì)數(shù)據(jù)或其它網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作,檢測(cè)到對(duì)系統(tǒng)的闖入或闖入的企圖”。從技術(shù)上劃分,入侵檢測(cè)有兩種模型:(1)異常檢測(cè)模型(Anomaly Detection);(2)誤用檢測(cè)模型(Misuse Detection)。 按照檢測(cè)對(duì)象劃分有:基于主機(jī)、基于網(wǎng)絡(luò)及混合型三種。入侵檢測(cè)過(guò)程主要有三個(gè)部分:即信息收集、信息分析和結(jié)果處理。

3 入侵檢測(cè)原理

入侵檢測(cè)通過(guò)旁路偵聽的方式,對(duì)計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。能夠幫助網(wǎng)絡(luò)系統(tǒng)快速發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的發(fā)生,對(duì)得到的數(shù)據(jù)進(jìn)行分析,一旦發(fā)現(xiàn)入侵,及時(shí)做出響應(yīng),包括切斷網(wǎng)絡(luò)連接、記錄或者報(bào)警等。入侵檢測(cè)系統(tǒng)的基本工作模式為:從系統(tǒng)的不同環(huán)節(jié)收集信息;分析該信息,試圖尋找入侵活動(dòng)的特征; 自動(dòng)對(duì)檢測(cè)到的行為做出響應(yīng);記錄并報(bào)告檢測(cè)過(guò)程結(jié)果。

4 入侵檢測(cè)的分類

入侵檢測(cè)可分為實(shí)時(shí)入侵檢測(cè)和事后檢測(cè)兩種:實(shí)時(shí)入侵檢測(cè)在網(wǎng)絡(luò)連接過(guò)程中進(jìn)行,系統(tǒng)根據(jù)用戶的歷史行為模型、存儲(chǔ)在計(jì)算機(jī)中的專家知識(shí)以及神經(jīng)網(wǎng)絡(luò)模型對(duì)用戶當(dāng)前的操作進(jìn)行判斷,一旦發(fā)現(xiàn)入侵跡象立即斷開入侵者與主機(jī)的連接,并收集證據(jù)和實(shí)施數(shù)據(jù)恢復(fù)。事后入侵檢測(cè)由網(wǎng)絡(luò)管理人員定期或不定期進(jìn)行,根據(jù)計(jì)算機(jī)系統(tǒng)對(duì)用戶操作所做的歷史審計(jì)記錄判斷用戶是否具有入侵行為,如果有就斷開連接,并記錄入侵證據(jù)和進(jìn)行數(shù)據(jù)恢復(fù)。

5 入侵檢測(cè)系統(tǒng)的功能

入侵檢測(cè)系統(tǒng)是通過(guò)收集網(wǎng)絡(luò)中的有關(guān)信息和數(shù)據(jù),對(duì)其進(jìn)行分析,發(fā)現(xiàn)和制止隱藏在其中的攻擊行為,最后進(jìn)行數(shù)據(jù)恢復(fù)?？偟膩?lái)講,IDS系統(tǒng)的功能有以下七種:(1)監(jiān)控、分析用戶和系統(tǒng)的活動(dòng);(2)核查系統(tǒng)配置和漏洞;(3)評(píng)估關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性;(4)識(shí)別攻擊的活動(dòng)模式并向網(wǎng)管人員報(bào)警;(5)對(duì)異?；顒?dòng)的統(tǒng)計(jì)分析;(6)操作系統(tǒng)審計(jì)跟蹤管理,識(shí)別違反政策的用戶活動(dòng);(7)評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性。

6 入侵檢測(cè)系統(tǒng)的發(fā)展趨勢(shì)

(1)分布式入侵檢測(cè)與通用入侵檢測(cè)架構(gòu):傳統(tǒng)的IDS系統(tǒng)局限于單一的主機(jī)或網(wǎng)絡(luò)架構(gòu),對(duì)異構(gòu)系統(tǒng)及大規(guī)模的網(wǎng)絡(luò)檢測(cè)不足,不同的IDS系統(tǒng)之問(wèn)不能協(xié)同工作。為解決這一問(wèn)題,需要發(fā)展分布式IDS技術(shù)與通用IDS架構(gòu)。

(2)應(yīng)用層入侵檢測(cè):很多入侵的語(yǔ)義只有在應(yīng)用層的級(jí)別上才能被理解和發(fā)現(xiàn),而目前的IDS僅能檢測(cè)如Web之類的通用協(xié)議,而不能處理~Lotus Notes、數(shù)據(jù)庫(kù)系統(tǒng)等其他的應(yīng)用系統(tǒng)。

(3)智能的入侵檢測(cè):入侵方法越來(lái)越多樣化與綜合化,盡管已經(jīng)有智能體、神經(jīng)網(wǎng)絡(luò)與遺傳算法在入侵檢測(cè)領(lǐng)域應(yīng)用研究,但這只是一些嘗試性的研究工作,仍需對(duì)智能化的入侵檢測(cè)加以進(jìn)一步的研究以解決其自學(xué)習(xí)與自適應(yīng)能力。

(4)與其他網(wǎng)絡(luò)安全技術(shù)相結(jié)合:如結(jié)合防火墻、PKI、安全電子交易SET等新的網(wǎng)絡(luò)安全與電子商務(wù)技術(shù),提供完整的網(wǎng)絡(luò)安全保障。

網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)能夠?qū)W(wǎng)絡(luò)中發(fā)生的安全事件和網(wǎng)絡(luò)中存在的安全漏洞進(jìn)行主動(dòng)實(shí)時(shí)的監(jiān)測(cè),是現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)之一。