劉秀平甘肅大學(xué)

?

淺析當(dāng)前網(wǎng)絡(luò)入侵檢測系統(tǒng)的方案研究

劉秀平
甘肅大學(xué)

摘要：隨著互聯(lián)網(wǎng)絡(luò)的廣泛應(yīng)用，網(wǎng)絡(luò)信息量迅速增長，網(wǎng)絡(luò)安全問題日趨突出。入侵檢測作為網(wǎng)絡(luò)安全的重要組成部分，已成為目前研究的熱點(diǎn)，本文介紹了入侵檢測系統(tǒng)的概念、功能、模式及分類，指出了當(dāng)前入侵檢測系統(tǒng)存在的問題并提出了改進(jìn)措施。在基于網(wǎng)絡(luò)的計算機(jī)應(yīng)用給人們生活帶來方便的同時，網(wǎng)上黑客的攻擊活動正以每年1O倍的速度增長，因此，保證計算機(jī)系統(tǒng)、網(wǎng)絡(luò)以及整個信息基礎(chǔ)設(shè)施的安全已經(jīng)成為刻不容緩的重要課題。

1　入侵檢測系統(tǒng)的概念

防火墻作為一種邊界安全的手段，在網(wǎng)絡(luò)安全保護(hù)中起著重要作用，其主要功能石控制對網(wǎng)絡(luò)的非法訪問，通過監(jiān)視、限制、更改通過網(wǎng)絡(luò)的數(shù)據(jù)流，一方面盡可能屏蔽內(nèi)部網(wǎng)的拓?fù)浣Y(jié)構(gòu)，另一方面對內(nèi)屏蔽外部危險站點(diǎn)，以防范外對內(nèi)的非法訪問。然而，由于性能的限制，防火墻通常不能提供實(shí)時的入侵檢測能力，為了彌補(bǔ)防火墻存在缺陷，引入了入侵檢測IDs(Intrusion Detection System)技術(shù)。入侵檢測是防火墻之后的第二道安全閘門，是對防火墻的合理補(bǔ)充，在不影響網(wǎng)絡(luò)性能的情況下，通過對網(wǎng)絡(luò)的檢測，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴(kuò)展系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視、進(jìn)攻識別和響應(yīng))，提供對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時保護(hù)。

入侵檢測定義為識別為被授權(quán)使用的計算機(jī)系統(tǒng)和有合法權(quán)利使用系統(tǒng)但卻濫用特權(quán)的過程。即通過對計算機(jī)網(wǎng)絡(luò)或系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對其進(jìn)行分析，從而發(fā)現(xiàn)是否有違反安全策略的行為和被入侵的跡象。進(jìn)行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)(IDS)。一個入侵檢測產(chǎn)品通常由兩部分組成，即傳感器與控制臺。傳感器負(fù)責(zé)采集數(shù)據(jù)、分析數(shù)據(jù)并生成安全時間；控制臺主要起到中央管理作用。商品化的產(chǎn)品通常提供圖形界面的控制臺，這些控制臺基本上都支持Windows NT平臺。

入侵檢測系統(tǒng)的主要功能有：1、監(jiān)視、分析用戶及系統(tǒng)活動；2、核查系統(tǒng)配置和漏洞；3、識別已知進(jìn)攻并向相關(guān)人員報警；4、統(tǒng)計分析異常行為：5、評估重要系統(tǒng)和數(shù)據(jù)的完整性；6、操作系統(tǒng)日志管理，并識別違反安全策略的用戶活動。

2　入侵檢測系統(tǒng)模型及分類

隨著技術(shù)的發(fā)展，后來人們又提出了基于規(guī)則的檢測方法。通用入侵檢測架構(gòu)(CIDF)組織，試圖將現(xiàn)有的入侵檢測系統(tǒng)標(biāo)準(zhǔn)化，闡述了一個入侵檢測系統(tǒng)分為以下4個組件：事件產(chǎn)生器、事件分析器、相應(yīng)單元和事件數(shù)據(jù)庫，同時將需要分析的數(shù)據(jù)統(tǒng)稱為事件。事件可以是基于網(wǎng)絡(luò)的數(shù)據(jù)包，也可以是基于主機(jī)的系統(tǒng)日志中的信息。事件產(chǎn)生器的目的是從整個計算機(jī)環(huán)境中獲得事件，并向系統(tǒng)其他部分提供此事件：事件分析器分析得到的事件并產(chǎn)生分析結(jié)果；響應(yīng)單元則是隊(duì)分析結(jié)果做出反應(yīng)的功能單元，它可以做出切斷連接、修改文件屬性等強(qiáng)烈反應(yīng)；事件數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)地方的通稱，它可以是復(fù)雜的數(shù)據(jù)庫也可以是簡單的文本文件對入侵檢測系統(tǒng)主要從數(shù)據(jù)源、檢測方法、分布形式、響應(yīng)方式等方面分類，其中前兩種為主要的分類方式。

按照數(shù)據(jù)來源分類：

1、網(wǎng)絡(luò)型：網(wǎng)絡(luò)型入侵檢測系統(tǒng)部署在網(wǎng)絡(luò)設(shè)備節(jié)點(diǎn)上，優(yōu)點(diǎn)是能夠檢測基于協(xié)議的攻擊，攻擊者不易轉(zhuǎn)移證據(jù)；檢測實(shí)時性強(qiáng)，無需改動網(wǎng)絡(luò)拓?fù)?，對外透明，能降低本身守攻擊的可能性；可在幾個關(guān)鍵點(diǎn)上配置并觀察多個系統(tǒng)。主要缺點(diǎn)是對于加密信道和某些基于加密信道的應(yīng)用層協(xié)議無法實(shí)現(xiàn)數(shù)據(jù)解密，不能起到監(jiān)視作用；無法得到主機(jī)系統(tǒng)的實(shí)時狀態(tài)信息，檢測復(fù)雜攻擊的準(zhǔn)確率低；在實(shí)時檢測中，需對每個數(shù)據(jù)包都進(jìn)行協(xié)議解析和模式匹配，系統(tǒng)開銷大。

2、主機(jī)型：主機(jī)型入侵檢測系統(tǒng)部署在主機(jī)上，監(jiān)視分析主機(jī)審計記錄以檢測入侵，效率高，能準(zhǔn)確定位入侵并進(jìn)一步分析。有點(diǎn)是不需要額外的硬件，可用于加密以及交換環(huán)境，對網(wǎng)絡(luò)流量不敏感，檢測粒度細(xì)，目標(biāo)明確集中，可監(jiān)測敏感文件、程序或端口。缺點(diǎn)是占用主機(jī)資源，依賴于系統(tǒng)可靠性，可移植性差，只能檢測針對本機(jī)的攻擊，不適合檢測基于網(wǎng)絡(luò)協(xié)議的攻擊，數(shù)據(jù)源主要包括系統(tǒng)審計信息、系統(tǒng)日志信息、內(nèi)核信息、應(yīng)用審計信息、系統(tǒng)目標(biāo)信息。

3、混合型：混合型入侵檢測結(jié)合了網(wǎng)絡(luò)入侵檢測和主機(jī)入侵檢測二者的優(yōu)點(diǎn)，在關(guān)鍵主機(jī)上采用主機(jī)入侵檢測，在網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)上采用網(wǎng)絡(luò)入侵檢測。

按照檢測方法分類：

1、異常檢測(Anomaly Detection)：異常檢測志根據(jù)用戶行為或者資源狀況正常程度，將當(dāng)前情況和輪廓(Profile)比較以發(fā)現(xiàn)入侵，不依賴具體行為，可發(fā)現(xiàn)未知攻擊。異常檢測認(rèn)為入侵是異常的子集，有統(tǒng)計分析、非參量統(tǒng)計分析、專家系統(tǒng)、量化分析和基于規(guī)則的檢測，但關(guān)鍵在正常模式(Normal Profile)的建立及利用該模式與當(dāng)前狀況比較。

2、濫用檢測(Misuse Detection)：濫用檢測方法定義入侵模式，通過模式是否出現(xiàn)來判斷，也稱基于知識的檢測(Knowledge Based Detection)。它依據(jù)具體攻擊特征細(xì)微變化就會使之無能為力，漏報率較高，對系統(tǒng)依賴性高，一致性較差，檢測范圍守已知知識局限，難以檢測內(nèi)部入侵，而且將具體入侵手段抽象成知識也很困難，該方法主要有簡單模式匹配、專家系統(tǒng)、狀態(tài)轉(zhuǎn)移法、條件概率、擊鍵監(jiān)控、信息反饋批處理分析等。

3、特征檢測(Specificati0n—Based Detection)：特征檢測定義系統(tǒng)輪廓，將系統(tǒng)行為與輪廓比較，不屬于正常行為的事件定義為入侵，該方法常采用某種特征語言定義系統(tǒng)的安全策略，當(dāng)系統(tǒng)特征不能準(zhǔn)確囊括所有的狀態(tài)時就會漏報或誤報。

3　入侵檢測系統(tǒng)存在的問題和改進(jìn)措施

3.1面臨的主要問題

(1)誤報

誤報是入侵檢測系統(tǒng)將正?；蚝戏ú僮髯鳛槿肭质录M(jìn)行報警。假警報不但令人討厭，并且降低了入侵檢測系統(tǒng)的效率；而且攻擊者往往可以利用包結(jié)構(gòu)偽造無威脅“正?！奔倬瘓螅哉T使被攻擊方把入侵檢測系統(tǒng)關(guān)掉。

由于不同的網(wǎng)絡(luò)及主機(jī)存在不同的安全問題，不同的入侵檢測系統(tǒng)有各自的功能；因此沒有一個入侵檢測系統(tǒng)可以完全避免誤報。

(2)漏報

漏報是指入侵檢測系統(tǒng)將本來的入侵事件作為合法操作而放過，從而讓受保護(hù)的網(wǎng)絡(luò)和計算機(jī)受到攻擊。

(3)有組織的攻擊

攻擊可以來自四方八面，特別是要檢測出攻擊者花費(fèi)很長時間組織策劃的高技術(shù)攻擊是一件很難的事。此外，高速網(wǎng)絡(luò)技術(shù)，尤其是交換技術(shù)以及加密信道技術(shù)的發(fā)展，產(chǎn)生的巨大通信量對數(shù)據(jù)分析也提出了新的要求。

3.2相應(yīng)改進(jìn)措施

從總體上講，目前除了完善常規(guī)的、傳統(tǒng)的技術(shù)外，入侵檢測統(tǒng)應(yīng)重點(diǎn)加強(qiáng)與統(tǒng)計分析相關(guān)技術(shù)的研究。許多學(xué)者也在嘗試研究新的檢測方法，如采用自動代理主動防御方法，將免疫學(xué)原理應(yīng)用到入侵檢測的方法等。其主要發(fā)展方向可以概括為：

(1)分布式入侵檢測與CIDF。傳統(tǒng)的入侵檢測系統(tǒng)一般局限于單一的主機(jī)或網(wǎng)絡(luò)架構(gòu)，對異構(gòu)系統(tǒng)及大規(guī)模網(wǎng)絡(luò)的檢測明顯不足，同時不同的入侵檢測系統(tǒng)之間不能協(xié)同工作。為此需要分布式入侵檢測技術(shù)與CIDF。

(2)應(yīng)用層入侵檢測。許多入侵的語義只有在應(yīng)用層才能理解，而目前的入侵檢測系統(tǒng)僅能檢測Web之類的通用協(xié)議，不能處理～Lotus Notes數(shù)據(jù)庫系統(tǒng)等其他的應(yīng)用系統(tǒng)。許多基于客戶／服務(wù)器結(jié)構(gòu)、中間件技術(shù)及對象技術(shù)的大型應(yīng)用，需要應(yīng)用層的入侵檢測保護(hù)。

(3)智能入侵檢測。目前，入侵方法越來越多樣化與綜合化，盡管已經(jīng)有智能體系、神經(jīng)網(wǎng)絡(luò)與遺傳算法應(yīng)用在入侵檢測領(lǐng)域，但這些只是一些嘗試性的研究工作，需要對智能化的入侵檢測系統(tǒng)進(jìn)一步研究，以解決其自學(xué)習(xí)與自適應(yīng)能力。

(4)與網(wǎng)絡(luò)安全技術(shù)相結(jié)合。結(jié)合防火墻、PKIX、安全電子交易(SET)等網(wǎng)絡(luò)安全與電子商務(wù)技術(shù)，提供完整的網(wǎng)絡(luò)安全保障。

(5)建立入侵檢測系統(tǒng)評價體系。設(shè)計通用的入侵檢測測試、評估方法和平臺，實(shí)現(xiàn)對多種入侵檢測系統(tǒng)的檢測，己成為當(dāng)前入侵檢測系統(tǒng)的另一重要研究與發(fā)展領(lǐng)域。評價入侵檢測系統(tǒng)可從檢測范圍、系統(tǒng)資源占用、自身的可靠性等方面進(jìn)行，評價指標(biāo)有：能否保證自身的安全、運(yùn)行與維護(hù)系統(tǒng)的開銷、報警準(zhǔn)確率、負(fù)載能力以及可支持的網(wǎng)絡(luò)類型、支持的入侵特征數(shù)、是否支持IP碎片重組、是否支持TCP流重組等。

4　結(jié)束語

入侵檢測系統(tǒng)(IDS)是近十多年發(fā)展起來的新一代安全防范技術(shù)，它通過對計算機(jī)網(wǎng)絡(luò)或系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對其進(jìn)行分析，從中發(fā)現(xiàn)是否有違反安全策略的行為和被攻擊的跡象。這是一種集檢測、記錄、報警、響應(yīng)于一體的動態(tài)安全技術(shù)，不僅能檢測來自外部的入侵行為，同時也監(jiān)督內(nèi)部用戶的未授權(quán)活動。

關(guān)鍵字：入侵檢測 入侵檢測系統(tǒng) 網(wǎng)絡(luò)安全