学 年 论 文
题 目:入侵检测技术现状分析与研究
学 院 专 业 级 班
学生姓名 学 号
指导教师 职 称
完成日期
入侵检测技术现状分析与研究
【摘 要】随着网络的快速发展及普及,网络安全已经成为不可忽视的信息安全.小至个人用户的信息,大至公司
企业重要的资料数据,一但在不知不觉中被盗窃,会给自己乃至公司带来利益的损失.入侵检测技在1980年
由JamesP.Anderson在给一个保密客户写的一份题为《计算机安全威胁监控与监视》的技术报告中指出,
审计记录可以用于识别计算机误用,他给威胁进行了分类,第一次详细阐述了入侵检测的概念
【关键词】IDS、协议、分析、网络安全
目录
第一章 绪 论 ................................................................................................................................................ 1
1.1 入侵检测技术的背景 ...................................................................................................................... 1
1.2 入侵检测技术的应用与发展现状 .................................................................................................. 1
第二章 入侵检测技术 .................................................................................................................................. 1
2.1 入侵检测系统的分类 ...................................................................................................................... 1
2.1.1基于主机的入侵检测系统 ......................................................................................................... 2
2.1.2基于网络的入侵检测系统 ......................................................................................................... 2
2.2 入侵检测技术 .................................................................................................................................. 3
2.2.1异常入侵检测技术 ..................................................................................................................... 3
2.2.2误用入侵检测技术 ..................................................................................................................... 3
第三章 校园网中的分布式入侵检测分析 .................................................................................................. 4
3.1 分布式入侵检测的设计思想 .......................................................................................................... 4
3.2 校园分布式入侵检测模式的分析 .................................................................................................. 4
3.3 采用的入侵检测技术 ...................................................................................................................... 5
第四章 入侵检测系统的发展趋势 .............................................................................................................. 7
第五章 总结 .................................................................................................................................................. 8
第一章 绪 论
1.1 入侵检测技术的背景
随着计算机网络技术的飞速发展,人们已经离不开了网络的通信.网络渗透到了人们生活的点点滴滴,地球村的建设,让人们走进了高速发展的时代,信息中心的高速传输,网络资源的高度共享,都离不开网络.网络使得信息的获取、传递、处理和利用变得更加有效,网络带给人们学习、工作、娱乐的便利之余,也带给我们一些安全隐患.网络黑客可以轻松的取走你的重要的文件,盗取你的银行存款,破坏你的企业平台,公布你的隐私信函,篡改、干扰和毁坏你的数据库,甚至直接破坏用户的计算机,使你的网络瘫痪或者崩溃.所以,研究各种切实有效的安全技术来保障计算机系统和网络系统的安全,已经成为一个刻不容缓的问题.伴随着网络的发展,各种网络安全技术也随之发展起来.
美国韦式大辞典中对入侵检测的定义为:“硬闯入的行为,或者是在没受到邀请和欢迎的情况下进入一个地方”.当说到入侵检测的时候,我们是指发现了网络上的一台计算机有未经过授权的闯入行为,这个未经过许可的网络入侵或访问,是一种对其他网络设备的安全威胁或伤害.我们通常使用的网络安全技术有:防火墙、杀毒软件、虚拟专用网、数据加密、数字签名和身份认证技术等.这些传统的网络安全技术,对保护网络的安全起到非常重要的作用,然而它们也存在不少缺陷.例如,防火墙技术虽然为网络服务提供了较好的身份认证和访问控制,但是它不能防止来自防火墙内部的攻击,不能防备最新出现的威胁,不能防止绕过防火墙的攻击,入侵者可以利用脆弱性程序或系统漏洞绕过防火墙的访问控制来进行非法攻击.传统的身份认证技术,很难抵抗脆弱性口令,字典攻击,特洛伊木马,网络窥探器以及电磁辐射等攻击手段.虚拟专用网技术只能保证传输过程中的安全,并不能防御诸如拒绝服务攻击,缓冲区溢出等常见的攻击.另外,这些技术都属于静态安全技术的范畴;静态安全技术的缺点是只能静态和消极地防御入侵,而不能主动检测和跟踪入侵.而入侵检测技术是一种动态安全技术,它主动地收集包括系统审计数据,网络数据包以及用户活动状态等多方面的信息;然后进行安全性分析,从而及时发现各种入侵并产生响应.、
1.2 入侵检测技术的应用与发展现状
在目前的计算机安全状态下,基于防火墙,加密技术等的安全防护固然重要;但是要根本改善系统的安全现状,必须要发展入侵检测技术.它已经成为计算机安全策略中的核心技术之一.Intrusion Detection System(简称IDS)作为一种主动的安全防护技术,提供了对内部攻击,外部攻击和误操作的实时保护.从网络安全立体纵深的多层次防御角度出发,入侵检测理应受到高度重视,这从国外入侵检测产品市场的蓬勃发展就可以看出.在国内,随着上网关键部门,关键业务越来越多,迫切需要具有自主版权的入侵检测产品;但目前我国的入侵检测技术还不够成熟,处于发展和跟踪国外技术的阶段,所以对入侵检测系统的研究非常重要.传统的入侵检测系统中一般采用传统的模式匹配技术,将待分析事件与入侵规则相匹配.从网络数据包的包头开始与攻击特征字符串比较.若比较结果不同,则下移一个字节再进行;若比较结果相同,那么就检测到一个可能的攻击.这种逐字节匹配方法具有两个最根本的缺陷:计算负载大以及探测不够灵活.面对近几年不断出现的ATM,千兆以太网,G比特光纤网等高速网络应用,实现实时入侵检测成为一个现实的问题.适应高速网络的环境,改进检测算法以提高运行速度和效率是解决该问题的一个途径.协议分析能够智能地
第二章 入侵检测技术
2.1 入侵检测系统的分类
入侵检测系统按采用的技术分为:异常检测系统和误用检测系统.按系统所监测的对象分为:基于主
机的入侵检测系统和基于网络入侵检测系统.按系统的工作方式分为:离线检测系统和在线检测系统.按系统对入侵的反应分为:主动入侵检测系统和被动入侵检测系统.框架图如图所示。
图2-1 入侵检测系统框架图
2.1.1基于主机的入侵检测系统
基于主机的入侵检测系统监视主机的文件系统或者操作系统及各种服务生成的日志文件,以便发现入侵踪迹.它的优点有:不受加密传输的影响,它能够了解被监视主机应用层的活动细节,有效检测发生在应用层的入侵活动,可以检测多种网络环境下的网络包,而不用像网络IDS系统一样需安装多台传感器,这样就使整个系统的成本大大降低;由于使用包含实际发生事件的日志文件,所以比基于网络的系统就更能了解某一入侵行为是否最终成功从而减少错误.它的缺点有:由于作为用户进程运行,这种入侵检测系统依赖于操作系统底层的支持,与系统的体系结构有关,所以它无法了解发生在下层协议的入侵活动;老练的入侵者往往可以进入系统修改、删除有关的日志记录,从而隐藏入侵迹象;由于它位于所监视的每一个主机中,故所占用的资源不能太多,从而大大限制了所采用的检测方法及处理性能.
2.1.2基于网络的入侵检测系统
基于网络的入侵检测系统直接从网络数据流中截获原始的网络包作为信息源,并从中搜索可疑行为.它的优点有:由于该系统直接搜集网络数据包,而网络协议是标准的,因此,与目标系统的体系结构无关,可监视结构不同的各类系统;该系统使用原始网络数据包进行检测,因此它所收集的审计数据被篡改的可能性很小,而且它不影响被保护系统的性能;利用工作在混合模式下的网卡实时监控和分析所有通过共享式网络的传输,能够实时得到目标系统与外界交互的所有信息,包括一些很隐藏的端口扫描和没有成功入侵的尝试.它的缺点有:缺乏终端系统对待定数据报的处理方法等信息,使得从原始的数据包中重构应用层信息很困难,故难以检测发生在应用层的攻击,而对于检测以加密传输方式进行的入侵无能为力.
从入侵检测技术和入侵检测系统可以看出,单独一种方法并不能检测所有类型的入侵,异常检测能检测出已知和未知的攻击,其主要问题是如何正确定义一个正常用户行为.在动态环境中,用建立用户统计来确定正常用户行为几乎是不可能的事情,这时关注一个过程的行为更加有效.误用检测具有较高的正确性,但是不能对未知攻击进行检测.单个主机上安装的IDS在大规模网络中检测入侵时可能会出现困难,而多个主机上安装的IDS同样问题.误用检测比异常检测能更好地适应扩展或向其他计算机系统的移植.目前这些方法除了基于模式的检测方法和状态转换分析,都必须检测大量的数据来判断入侵的行为,这直接影响了检测入侵的时间.异常检测能够适应改变;而误用检测中,知识库需要定期地进行更新.所以要让入侵检测系统更加有效地检测而不错误报警,减少人工干预,入侵检测技术还需要进行大量的研究和开发.
2.2 入侵检测技术
入侵检测技术主要分为两类:异常入侵检测和误用入侵检测.
2.2.1异常入侵检测技术
异常入侵检测是指为所监测的系统建立一个在正常情况下的描述文件,任何违反该描述的事件的发生都被认为是可疑的,即观测活动偏离正常系统使用方式的程度.常用的异常检测技术有:
1.统计分析
最早的异常检测系统采用的是统计分析技术.首先,检测器根据用户对象的动作为每个用户建立一个用户特征表,通过比较当前特征与已存储定型的以前特征,从而判断是否异常行为.统计分析的优点:有成熟的概率统计理论支持,维护方便,不需要象误用检测系统那样不断地对规则库进行更新和维护等.统计分析的缺点:大多数统计分析系统是以批处理的方式对审计记录进行分析的,不能提供对入侵行为的实时检测,统计分析不能反映事件在时间顺序上的前后相关性,而不少入侵行为都有明显的前后相关性,门限值的确定非常棘手等.
2.神经网络
这种方法对用户行为具有学习和自适应功能,能够根据实际检测到的信息有效地加以处理并做出入侵可能性的判断.利用神经网络所具有的识别,分类和归纳能力,可以使入侵检测系统适应用户行为特征的可变性.从模式识别的角度来看,入侵检测系统可以使用神经网络来提取用户行为的模式特征,并以此创建用户的行为特征轮廓.总之,把神经网络引入入侵检测系统,能很好地解决用户行为的动态特征以及搜索数据的不完整性,不确定性所造成的难以精确检测的问题.利用神经网络检测入侵的基本思想是用一系列信息单元(命令)训练神经单元,这样在给定一组输入后,就可能预测输出.将神经网络应用于攻击模式的学习,理论上也是可行的.但目前主要应用于系统行为的学习,包括用户以及系统守护程序的行为.与统计理论相比,神经网络更好地表达了变量间的非线性关系,并且能自动学习并更新.
神经网络也存在一些问题:在不少情况下,系统趋向于形成某种不稳定的网络结构,不能从训练数据中学习特定的知识,这种情况目前尚不能完全确定产生的原因;另外,神经网络对判断为异常的事件不会提供任何解释或说明信息,这导致了用户无法确认入侵的责任人,也无法判断究竟是系统哪方面存在的问题导致了攻击者得以成功入侵.
2.2.2误用入侵检测技术
误用入侵检测是对已知系统和应用软件的弱点进行入侵建模,从而对观测到的用户行为和资源使用情况进行模式匹配而达到检测目的.常见的误用入侵检测技术有以下几种:
1.模式匹配
模式匹配是最常用的误用检测技术,特点是原理简单,扩展性好,检测效率高,可以实时检测;但是只能适用于比较简单的攻击方式.它将收集到的信息与已知的网络入侵和系统误用模式串进行比较,从而发现违背安全策略的行为.著名的轻量级开放源代码入侵检测系统Snort就是采用这种技术.
2.专家系统
该技术根据安全专家对可疑行为的分析经验来形成一套推理规则,然后在此基础上建立相应的专家系统来自动对所涉及的入侵行为进行分析.该系统应当能够随着经验的积累而利用其自学习能力进行规则的扩充和修正.专家系统方法存在一些实际问题:处理海量数据时存在效率问题,这是由于专家系统的推理和决策模块通常使用解释型语言来实现,所以执行速度比编译型语言慢;专家系统的性能完全取决于设计者的知识和技能;规则库维护非常艰巨,更改规则时必须考虑到对知识库中其他规则的影响等等.
3.状态迁移法
状态迁移图可用来描述系统所处的状态和状态之间可能的迁移.状态迁移图用于入侵检测时,表示了入侵者从合法状态迁移到最终的危害状态所采取的一系列行动.在检测未知的脆弱性时,因为状态迁移法强调的是系统处于易受损的状态而不是未知入侵的审计特征,因此这种方法更具有健壮性.而它潜在的一个弱点是太拘泥于预先定义的状态迁移序列.这种模型运行在原始审计数据的抽象层次上,它利
用系统状态的观念和事件的转变流;这就有可能提供了一种既能减少误警率又能检测到新的攻击的途径.另外,因为涉及了比较高层次的抽象,有希望把它的知识库移植到不同的机器,网络和应用的入侵检测上.
第三章 校园网中的分布式入侵检测系统分析
随着网络时代的到来,校园计算机网络安全不容忽视。许多高校都建立起自己的局域网,校园一般通过网关与Internet相连,网关成为整个局域网的安全集中点,校园里所有的机器都处在同一安全级别,当入侵者入侵校园网攻击时,只要突破了校园网的网关,攻破学校一台机器,整个网络就将面临的瘫痪的危险。为保障校园网络的安全和顺利进行,通常在校园网中采用以Snort为核心的分布式入侵检测系统。
3.1 分布式入侵检测的设计思想
随着校园网中功能需求的增加,学校对外交流的提高、网上招生的要求、学生宿舍上网,越来越多的部门和教室需要接入校园网络中,网络中心对校园网不断的改造,提高校园网络的安全性。分布式入侵检测系统对院校实现管理网络化合教学手段现代化、提高学校的管理水平和教学质量、实现网络信息资源共享、丰富师生业余文化生活的同时在安全方面发挥积极作用。通过分布式入侵检测系统来检测多个主机、多个网段上的数据和信息,对这些信息进行关联和综合分析,来发现可能存在的分布式网络攻击行为并进行响应处理的入侵检测系统。
分布式入侵检测系统采取了分布式检测的体系结构,主机控制响应单元,它对网络探测响应单元在分级控制台的管理下分别检测本机、本网段的入侵行为,具有良好的分布性、可扩展性;并在网络检测响应单元系统中设计了协议分析模块,控制台采用分级控制台和总控制台。分布式通过共同协作的机制,从多层面上实施检测。提高入侵检测的效果。
分布式入侵检测的设计应满足以下几点功能:
①入侵检测能够识别可疑行为,检测入侵。
②攻击行为检测的准确性,并进行警报,降低检测报警中的误报和漏报。
③入侵检测能针对不同的警报级别分别作出不同的响应。
④入侵检测必须允许管理员适时监控攻击行为,对不同的功能和报警进行手动控制。
⑤入侵检测能够处理大规模的攻击。
⑥入侵检测的各组件之间能根据检测到的入侵和报警相互通信。
⑦入侵检测本身具有稳健性,对攻击手法的改变具有适应性。
⑧入侵检测具有可扩展性,能满足今后网络扩展的需要
⑨为保障网络安全,入侵检测自身应具有高可靠性,能保障不间断运行。
3.2 校园分布式入侵检测模式的分析
当前网络结构逐步复杂化和大型化的趋势下,分布式入侵检测由于检测范围大,检测时可以采用不同的检测方法,通过将各个传感器放置在不同的组件上,实现信息收集汇总。入侵检测系统的工作
图3-1 入侵检测系统工作流程
流程如图3-1所示。
Snort是一个功能强大的入侵检测系统,具有灵活、可定制和可扩展的特点。因此采用以Snort为核心的分布式入侵检测系统。基于Snort的分布式入侵检测系统按功能主要由三个部分组成:传感器、数据管理中心、管理决策中心,是一个三层结构。如图3-2所示。
图3-2 分布式入侵检测系统的总体结构
传感器用于收集来自网络上的数据,通过均匀的分布在重要网段上,收集各方位传来的数据。是分布式入侵检测系统重要组成部分。然后将收集来的数据进行简单的数据处理,并采用基于协议分析和基于模式匹配结合的方法更全面的检测入侵行为,并将入侵数据日志到数据管理中心数据库中,进行存储和处理。
数据管理中心是负责收集传感器传来的一系列报警数据,并对收集的报警数据进行处理。数据中心存储过程中进行数据整理,防止需要存储的数据信息量过多,方便对数据库报警信息的分类和管理。 管理决策中心是网络管理员与机器交互信息中心,负责汇总信息整理成材料,以图文形式显示数据信息,方便管理员作出相应的决策机制。提高网络信息的安全性。
传感器用于捕获来自网络上的数据,是进行入侵检测的基础,它是由Snort实现的。由于Snort本身没有抓包工具,所以采用外部抓包工具Winpcap。Winpcap负责直接从网络上抓包,将采集到的数据进行简单处理传送到数据管理中心进行封装。Winpcap提供了一套标准的网络数据包捕获的编程接口、捕获原始数据包、在数据包发往应用程序之前按照自定义的规则将某些特别的数据包过滤掉、在网络上发送原始的数据包、收集网络通信过程中的统计信息。
预处理器以插件的形式实现,它使得Snort入侵检测系统具有模块化的特征,使系统具有灵活的扩展能力和配置能力。用户和程序员能够将各种不同功能的模块化的插件方便地融入Snort之中,用来针对可疑行为检查包或者修改包,以便检测引擎对其进行正确的解释,从而提高检测的准确性和速度。预处理可以分为两类,一类是用于针对可疑行为或者对包进行修改,以便对数据进行分析检测时可以正确的识别;另一类是负责对流量标准化,以便进行检测时可以准确的匹配特征。通过它可以提高模式匹配的检测效率。预处理器使入侵检测系统可以处理跨多个包的数据,还可以规范化有多个数据表达形式的协议数据。通过预处理系统具有异常检测的能力,可以发现还没有对应规则的攻击。另外用户还可以根据需要自己编写新的预处理插件。
3.3 采用的入侵检测技术
Snort入侵检测系统是基于误用检测的入侵检测软件。一般采用模式匹配的方法检测入侵行为。模式匹配是将获得的数据与系统内相应数据进行比较,从而发现违背安全策略的行为。具有原理简单、扩展性好、分析速度快等优点。
模式匹配算法有很多,BM(Boyer-Moore)算法是一种常用的精确匹配算法,其中Snort入侵检测系统急速使用BM算法来进行特征匹配。更具数据显示:Snort在进行检测的时候调用字符串匹配函数所需要的时间占总时间的25.2%,所以字符串匹配算法效率队Snort来说很重要。BM算法利用跳过不必要的比较来减少字符之间的匹配,以减少匹配次数来提高检测效率。
如:在主字符串(记做P)搜索的文本(记做T),将P的第一个字符记做P1,P的最后一个字符记做Pm;T的第一个字符记做T1,T的最后一个字符记做Tn;则有:
主字符串P:abcacdabaababbaab 模式子串T:ababbaab
定义一个函数K:x→{1,2,„,m};当字符不匹配时,实现下标的移动。
n 若任意字符x不出现在T中或x=Pi;(i=m)
K[x]= n-I 若x在T,这里的i=max{i: Pi=x,1﹤=i﹤=m-1}
①匹配自右向左进行: 在开始前,将主字符串P与文本T左部对齐,而匹配搜索从P的最右边一个字符开始, ②忽略不匹配的字符:
图3-3坏字符算法(1)
x,y在匹配的过程中发生了匹配失败a≠b,这时候判断b.如果在x中没有发现.说明只要含有b就不可能匹配,所以跳到b的后面,继续匹配.如图3-3所示。
图3-4坏字符算法(2)
x,y在匹配的过程中发生了匹配失败a≠b,这时候判断b.如果在x中发现有b,则从右边数第一个b和y中的b对齐.如图3-4所示。
③发现匹配字符:
图3-5 好后缀处理算法(1)
关于
j+m-1]=u and x[i]≠y[i+j] 如果
图3-6 好后缀处理算法(2)
关于
j+m-1]=u and x[i]≠y[i+j]如果
通过基于模式匹配的检测方法,快速地探测网络上不安全因素的存在。它利用网络协议的高度规则性,只提取数据包的重要特征送入处理模块进行检测,不仅节约了检测部分的资源,传输的时候也极大提高了单位时间的包特传输速率。且同模式匹配技术结合,使得入侵检测系统具有检测速度快、系统消耗低、降低误报率等优点。
第四章 入侵检测系统的发展趋势
与防火墙等高度成熟的产品相比,入侵检测系统还存在相当多的问题,这些问题大多数是目前入侵检测系统的结构所难以克服的,而且这些矛盾可能越来越尖锐。入侵技术的发展与演化主要反映在以下几个方面:
入侵或攻击的综合化与复杂化。攻击者不断增加的知识,日趋成熟多样自动化工具,以及越来越复杂细致的攻击手法。入侵检测系统必须不断跟踪最新的安全技术,才能不致被攻击者远远超越。
入侵主体对象的间接化,恶意信息采用加密的方法传输。通过一定的技术,可掩盖攻击主体的源地址、主机位置和攻击信息。
不断增大的入侵或攻击的规模。对于网络的入侵与攻击,在其初期往往是针对某公司或一个网站,而现在入侵或攻击的规模不断增大,单一的入侵检测系统已很难应付。可以想见,随着网络流量的进一步加大,对入侵检测系统将提出更大的挑战,在PC机上运行纯软件系统的方式需要突破。
入侵或攻击技术的分布化。以往常用的入侵与攻击行为往往由单机执行,分布式攻击是近期最常用的攻击手段。所谓的分布式拒绝服务在很短时间内可造成被攻击主机的瘫痪,且此类分布式攻击的单片机信息模式与正常通信无差异,所以往往在攻击发动的初期不易被确认。
攻击对象的转移。入侵与攻击常以网络为侵犯的主体,但近期来的攻击行为却发生了策略性的改变,由攻击网络改为攻击网络的防护系统,且有愈演愈烈的趋势。
入侵检测系统作为一种新兴的网络安全手段,从一开始就受到了大家的重视。近年来,入侵检测技术获得了极大地发展,今后的入侵检测技术大致可朝以下几个方向发展。
(1)云计算入侵检测的发展
随着云计算成为全球新兴产业的重要代表,网络入侵者都将目光投到了云计算这一未来充满巨大市场空间的领域。由于云计算环境拥有强大的计算能力、海量的存储空间和丰富的用户信息,对网络入侵者具有很大的诱惑力,云计算环境目前已经成为网络入侵者的攻击目标。特别是作为云计算服务供应商,在为云计算用户提供计算、存储和各种软件式服务的过程中,很容易遭受各种安全威胁与攻击的考验。同时,云计算环境下的网络攻击发动更加快速、攻击能力更加强大、攻击后果更加严重,使得云计算环境的入侵检测变得更加重要。
(2) 集成网络分析和管理功能
入侵检测不但对网络攻击是一个检测。同时,侵检测可以收到网络中的所有数据,对网络的故障分析和健康管理也可起到重大作用。当管理员发现某台主机有问题时,也希望能马上对其进行管理。入侵检测也不应只采用被动分析方法,最好能和主动分析结合。所以,入侵检测产品集成网管功能,扫描器(Scanner),嗅探器(Sniffer)等功能是以后发展的方向。
(3) 安全性和易用性的提高
入侵检测是个安全产品,自身安全极为重要。因此,目前的入侵检测产品大多采用硬件结构,黑洞式接入,免除自身安全问题。同时,对易用性的要求也日益增强,例如:全中文的图形界面,自动的数据库维护,多样的报表输出。这些都是优秀入侵产品的特性和以后继续发展细化的趋势。
(4) 高速实时入侵检测技术
大量高速网络技术在近年内不断出现,在此背景下的各种宽带接入手段层出不穷,其中很多已经得到了广泛的应用。如何实现高速网络下的实时入侵检测已经成为一个现实的问题。目前,虽然市场上也可以见到一些基于千兆以太网环境的入侵检测产品,但其性能指标还远未满足要求。
(5) IDS与其他安全部件的互动
实现网络与信息的安全是一项系统工程,不是哪一种单独的安全部件就可以完成的。只有在不同的安全部件之间实现互联互动,才能更好的保证网络与信息的安全。随着防火墙、入侵检测等技术的不断发展,实现它们之间的互动显得越来越重要。因此,对于安全部件之间的互动协议和接口标准的研究,也会是对IDS研究的一个重要方向。
由于IDS的地位越来越重要,防护的网络规模越来越大,因此应该把IDS和其他安全部件放在一个对等的位置来考虑它们之间的互动。应该考虑不同厂家的IDS之间,IDS与防火墙之间,IDS与响应部件之间的互动。在这方面还有很大一部分工作需要解决。
(6) IDS标准化工作
标准化的工作对于一项技术的发展至关主要。在某一个技术领域,如果没有相应的标准,那么该领域的发展将会是无序的。IDS经历了20多年的发展,近几年又成为网络与信息安全领域的一个研究热点,但是到目前为止,尚没有一个相关的国际标准出现,国内也没有IDS方面的标准。因此,IDS的标准化工作应引起业内的广泛重视。 在IDS中,应该进行标准化的工作主要包括:大规模分布式IDS的体系结构、入侵特征等数据的描述、IDS内部的通信协议和数据交换协议、安全部件间的互动协议和接口标准等。
第五章 总结
通过查找相关资料,加深对入侵检测技术的了解,对当下流行技术进行了简单的介绍以及比较.
入侵检测作为一种积极主动的安全防护技术,提供了对内、外部攻击和误操作的实时保护,在网络系统中受到危害之前拦截和响应入侵。虽然入侵检测技术的算法多样化,但两类入侵检测技术界限还是比较模糊的,随着科技发展,两类技术渐渐的朝综合趋势发展。而且它也不是一个完整的网络解决方案,应该与其它安全部件实现联动,进一出提高其性能。
从某种意义上来说,“安全”永远只是一个理论上的相对概念,仍然有一些不安全的因素没有考虑到。也正是如此,人们提出了入侵检测的概念,用来贴补系统安全性的巨大漏洞。从网络安全立体纵深、多层次防御的角度出发,入侵检测理应受到人们的高度重视,因为入侵检测提供了对内部攻击、外部攻击和误操作的实时保护。
参考文献
[1] 戴英侠,连一峰,王航.系统安全与入侵检测[M].北京:清华大学出版社
[2] 聂元铭,丘平.网络信息安全技术[M].北京:科学出版社
[3] 董玉格,金海,赵振.攻击与防护-网络安全与实用防护技术[M].北京:人民 邮电出版社
[4] 戴云,范平志.入侵检测系统研究综述[J].计算机工程与应用
[5] 刘文淘.网络入侵检测系统[M].北京:电子工业出版社
[6] 贺文华,陈志刚.网络安全现状分析与发展趋势[J].湖南人文科技学院
[7] 褚永刚,杨义先。入侵检测系统的技术发展趋势[J].北京邮电大学信息安全中心
The Present situation analysis and research
of Intrusion Detection Technology
【Abstract】With the rapid development and popularity of network, network security has become an important information security. The small personal information of the user, to the enterprise important data, but imperceptibly theft, give oneself and even bring interest loss. Intrusion detection technology in 1980 by JamesP.Anderson in giving a confidential customer wrote a report entitled
【Key words】IDS, protocol analysis, the security of network
学 年 论 文
题 目:入侵检测技术现状分析与研究
学 院 专 业 级 班
学生姓名 学 号
指导教师 职 称
完成日期
入侵检测技术现状分析与研究
【摘 要】随着网络的快速发展及普及,网络安全已经成为不可忽视的信息安全.小至个人用户的信息,大至公司
企业重要的资料数据,一但在不知不觉中被盗窃,会给自己乃至公司带来利益的损失.入侵检测技在1980年
由JamesP.Anderson在给一个保密客户写的一份题为《计算机安全威胁监控与监视》的技术报告中指出,
审计记录可以用于识别计算机误用,他给威胁进行了分类,第一次详细阐述了入侵检测的概念
【关键词】IDS、协议、分析、网络安全
目录
第一章 绪 论 ................................................................................................................................................ 1
1.1 入侵检测技术的背景 ...................................................................................................................... 1
1.2 入侵检测技术的应用与发展现状 .................................................................................................. 1
第二章 入侵检测技术 .................................................................................................................................. 1
2.1 入侵检测系统的分类 ...................................................................................................................... 1
2.1.1基于主机的入侵检测系统 ......................................................................................................... 2
2.1.2基于网络的入侵检测系统 ......................................................................................................... 2
2.2 入侵检测技术 .................................................................................................................................. 3
2.2.1异常入侵检测技术 ..................................................................................................................... 3
2.2.2误用入侵检测技术 ..................................................................................................................... 3
第三章 校园网中的分布式入侵检测分析 .................................................................................................. 4
3.1 分布式入侵检测的设计思想 .......................................................................................................... 4
3.2 校园分布式入侵检测模式的分析 .................................................................................................. 4
3.3 采用的入侵检测技术 ...................................................................................................................... 5
第四章 入侵检测系统的发展趋势 .............................................................................................................. 7
第五章 总结 .................................................................................................................................................. 8
第一章 绪 论
1.1 入侵检测技术的背景
随着计算机网络技术的飞速发展,人们已经离不开了网络的通信.网络渗透到了人们生活的点点滴滴,地球村的建设,让人们走进了高速发展的时代,信息中心的高速传输,网络资源的高度共享,都离不开网络.网络使得信息的获取、传递、处理和利用变得更加有效,网络带给人们学习、工作、娱乐的便利之余,也带给我们一些安全隐患.网络黑客可以轻松的取走你的重要的文件,盗取你的银行存款,破坏你的企业平台,公布你的隐私信函,篡改、干扰和毁坏你的数据库,甚至直接破坏用户的计算机,使你的网络瘫痪或者崩溃.所以,研究各种切实有效的安全技术来保障计算机系统和网络系统的安全,已经成为一个刻不容缓的问题.伴随着网络的发展,各种网络安全技术也随之发展起来.
美国韦式大辞典中对入侵检测的定义为:“硬闯入的行为,或者是在没受到邀请和欢迎的情况下进入一个地方”.当说到入侵检测的时候,我们是指发现了网络上的一台计算机有未经过授权的闯入行为,这个未经过许可的网络入侵或访问,是一种对其他网络设备的安全威胁或伤害.我们通常使用的网络安全技术有:防火墙、杀毒软件、虚拟专用网、数据加密、数字签名和身份认证技术等.这些传统的网络安全技术,对保护网络的安全起到非常重要的作用,然而它们也存在不少缺陷.例如,防火墙技术虽然为网络服务提供了较好的身份认证和访问控制,但是它不能防止来自防火墙内部的攻击,不能防备最新出现的威胁,不能防止绕过防火墙的攻击,入侵者可以利用脆弱性程序或系统漏洞绕过防火墙的访问控制来进行非法攻击.传统的身份认证技术,很难抵抗脆弱性口令,字典攻击,特洛伊木马,网络窥探器以及电磁辐射等攻击手段.虚拟专用网技术只能保证传输过程中的安全,并不能防御诸如拒绝服务攻击,缓冲区溢出等常见的攻击.另外,这些技术都属于静态安全技术的范畴;静态安全技术的缺点是只能静态和消极地防御入侵,而不能主动检测和跟踪入侵.而入侵检测技术是一种动态安全技术,它主动地收集包括系统审计数据,网络数据包以及用户活动状态等多方面的信息;然后进行安全性分析,从而及时发现各种入侵并产生响应.、
1.2 入侵检测技术的应用与发展现状
在目前的计算机安全状态下,基于防火墙,加密技术等的安全防护固然重要;但是要根本改善系统的安全现状,必须要发展入侵检测技术.它已经成为计算机安全策略中的核心技术之一.Intrusion Detection System(简称IDS)作为一种主动的安全防护技术,提供了对内部攻击,外部攻击和误操作的实时保护.从网络安全立体纵深的多层次防御角度出发,入侵检测理应受到高度重视,这从国外入侵检测产品市场的蓬勃发展就可以看出.在国内,随着上网关键部门,关键业务越来越多,迫切需要具有自主版权的入侵检测产品;但目前我国的入侵检测技术还不够成熟,处于发展和跟踪国外技术的阶段,所以对入侵检测系统的研究非常重要.传统的入侵检测系统中一般采用传统的模式匹配技术,将待分析事件与入侵规则相匹配.从网络数据包的包头开始与攻击特征字符串比较.若比较结果不同,则下移一个字节再进行;若比较结果相同,那么就检测到一个可能的攻击.这种逐字节匹配方法具有两个最根本的缺陷:计算负载大以及探测不够灵活.面对近几年不断出现的ATM,千兆以太网,G比特光纤网等高速网络应用,实现实时入侵检测成为一个现实的问题.适应高速网络的环境,改进检测算法以提高运行速度和效率是解决该问题的一个途径.协议分析能够智能地
第二章 入侵检测技术
2.1 入侵检测系统的分类
入侵检测系统按采用的技术分为:异常检测系统和误用检测系统.按系统所监测的对象分为:基于主
机的入侵检测系统和基于网络入侵检测系统.按系统的工作方式分为:离线检测系统和在线检测系统.按系统对入侵的反应分为:主动入侵检测系统和被动入侵检测系统.框架图如图所示。
图2-1 入侵检测系统框架图
2.1.1基于主机的入侵检测系统
基于主机的入侵检测系统监视主机的文件系统或者操作系统及各种服务生成的日志文件,以便发现入侵踪迹.它的优点有:不受加密传输的影响,它能够了解被监视主机应用层的活动细节,有效检测发生在应用层的入侵活动,可以检测多种网络环境下的网络包,而不用像网络IDS系统一样需安装多台传感器,这样就使整个系统的成本大大降低;由于使用包含实际发生事件的日志文件,所以比基于网络的系统就更能了解某一入侵行为是否最终成功从而减少错误.它的缺点有:由于作为用户进程运行,这种入侵检测系统依赖于操作系统底层的支持,与系统的体系结构有关,所以它无法了解发生在下层协议的入侵活动;老练的入侵者往往可以进入系统修改、删除有关的日志记录,从而隐藏入侵迹象;由于它位于所监视的每一个主机中,故所占用的资源不能太多,从而大大限制了所采用的检测方法及处理性能.
2.1.2基于网络的入侵检测系统
基于网络的入侵检测系统直接从网络数据流中截获原始的网络包作为信息源,并从中搜索可疑行为.它的优点有:由于该系统直接搜集网络数据包,而网络协议是标准的,因此,与目标系统的体系结构无关,可监视结构不同的各类系统;该系统使用原始网络数据包进行检测,因此它所收集的审计数据被篡改的可能性很小,而且它不影响被保护系统的性能;利用工作在混合模式下的网卡实时监控和分析所有通过共享式网络的传输,能够实时得到目标系统与外界交互的所有信息,包括一些很隐藏的端口扫描和没有成功入侵的尝试.它的缺点有:缺乏终端系统对待定数据报的处理方法等信息,使得从原始的数据包中重构应用层信息很困难,故难以检测发生在应用层的攻击,而对于检测以加密传输方式进行的入侵无能为力.
从入侵检测技术和入侵检测系统可以看出,单独一种方法并不能检测所有类型的入侵,异常检测能检测出已知和未知的攻击,其主要问题是如何正确定义一个正常用户行为.在动态环境中,用建立用户统计来确定正常用户行为几乎是不可能的事情,这时关注一个过程的行为更加有效.误用检测具有较高的正确性,但是不能对未知攻击进行检测.单个主机上安装的IDS在大规模网络中检测入侵时可能会出现困难,而多个主机上安装的IDS同样问题.误用检测比异常检测能更好地适应扩展或向其他计算机系统的移植.目前这些方法除了基于模式的检测方法和状态转换分析,都必须检测大量的数据来判断入侵的行为,这直接影响了检测入侵的时间.异常检测能够适应改变;而误用检测中,知识库需要定期地进行更新.所以要让入侵检测系统更加有效地检测而不错误报警,减少人工干预,入侵检测技术还需要进行大量的研究和开发.
2.2 入侵检测技术
入侵检测技术主要分为两类:异常入侵检测和误用入侵检测.
2.2.1异常入侵检测技术
异常入侵检测是指为所监测的系统建立一个在正常情况下的描述文件,任何违反该描述的事件的发生都被认为是可疑的,即观测活动偏离正常系统使用方式的程度.常用的异常检测技术有:
1.统计分析
最早的异常检测系统采用的是统计分析技术.首先,检测器根据用户对象的动作为每个用户建立一个用户特征表,通过比较当前特征与已存储定型的以前特征,从而判断是否异常行为.统计分析的优点:有成熟的概率统计理论支持,维护方便,不需要象误用检测系统那样不断地对规则库进行更新和维护等.统计分析的缺点:大多数统计分析系统是以批处理的方式对审计记录进行分析的,不能提供对入侵行为的实时检测,统计分析不能反映事件在时间顺序上的前后相关性,而不少入侵行为都有明显的前后相关性,门限值的确定非常棘手等.
2.神经网络
这种方法对用户行为具有学习和自适应功能,能够根据实际检测到的信息有效地加以处理并做出入侵可能性的判断.利用神经网络所具有的识别,分类和归纳能力,可以使入侵检测系统适应用户行为特征的可变性.从模式识别的角度来看,入侵检测系统可以使用神经网络来提取用户行为的模式特征,并以此创建用户的行为特征轮廓.总之,把神经网络引入入侵检测系统,能很好地解决用户行为的动态特征以及搜索数据的不完整性,不确定性所造成的难以精确检测的问题.利用神经网络检测入侵的基本思想是用一系列信息单元(命令)训练神经单元,这样在给定一组输入后,就可能预测输出.将神经网络应用于攻击模式的学习,理论上也是可行的.但目前主要应用于系统行为的学习,包括用户以及系统守护程序的行为.与统计理论相比,神经网络更好地表达了变量间的非线性关系,并且能自动学习并更新.
神经网络也存在一些问题:在不少情况下,系统趋向于形成某种不稳定的网络结构,不能从训练数据中学习特定的知识,这种情况目前尚不能完全确定产生的原因;另外,神经网络对判断为异常的事件不会提供任何解释或说明信息,这导致了用户无法确认入侵的责任人,也无法判断究竟是系统哪方面存在的问题导致了攻击者得以成功入侵.
2.2.2误用入侵检测技术
误用入侵检测是对已知系统和应用软件的弱点进行入侵建模,从而对观测到的用户行为和资源使用情况进行模式匹配而达到检测目的.常见的误用入侵检测技术有以下几种:
1.模式匹配
模式匹配是最常用的误用检测技术,特点是原理简单,扩展性好,检测效率高,可以实时检测;但是只能适用于比较简单的攻击方式.它将收集到的信息与已知的网络入侵和系统误用模式串进行比较,从而发现违背安全策略的行为.著名的轻量级开放源代码入侵检测系统Snort就是采用这种技术.
2.专家系统
该技术根据安全专家对可疑行为的分析经验来形成一套推理规则,然后在此基础上建立相应的专家系统来自动对所涉及的入侵行为进行分析.该系统应当能够随着经验的积累而利用其自学习能力进行规则的扩充和修正.专家系统方法存在一些实际问题:处理海量数据时存在效率问题,这是由于专家系统的推理和决策模块通常使用解释型语言来实现,所以执行速度比编译型语言慢;专家系统的性能完全取决于设计者的知识和技能;规则库维护非常艰巨,更改规则时必须考虑到对知识库中其他规则的影响等等.
3.状态迁移法
状态迁移图可用来描述系统所处的状态和状态之间可能的迁移.状态迁移图用于入侵检测时,表示了入侵者从合法状态迁移到最终的危害状态所采取的一系列行动.在检测未知的脆弱性时,因为状态迁移法强调的是系统处于易受损的状态而不是未知入侵的审计特征,因此这种方法更具有健壮性.而它潜在的一个弱点是太拘泥于预先定义的状态迁移序列.这种模型运行在原始审计数据的抽象层次上,它利
用系统状态的观念和事件的转变流;这就有可能提供了一种既能减少误警率又能检测到新的攻击的途径.另外,因为涉及了比较高层次的抽象,有希望把它的知识库移植到不同的机器,网络和应用的入侵检测上.
第三章 校园网中的分布式入侵检测系统分析
随着网络时代的到来,校园计算机网络安全不容忽视。许多高校都建立起自己的局域网,校园一般通过网关与Internet相连,网关成为整个局域网的安全集中点,校园里所有的机器都处在同一安全级别,当入侵者入侵校园网攻击时,只要突破了校园网的网关,攻破学校一台机器,整个网络就将面临的瘫痪的危险。为保障校园网络的安全和顺利进行,通常在校园网中采用以Snort为核心的分布式入侵检测系统。
3.1 分布式入侵检测的设计思想
随着校园网中功能需求的增加,学校对外交流的提高、网上招生的要求、学生宿舍上网,越来越多的部门和教室需要接入校园网络中,网络中心对校园网不断的改造,提高校园网络的安全性。分布式入侵检测系统对院校实现管理网络化合教学手段现代化、提高学校的管理水平和教学质量、实现网络信息资源共享、丰富师生业余文化生活的同时在安全方面发挥积极作用。通过分布式入侵检测系统来检测多个主机、多个网段上的数据和信息,对这些信息进行关联和综合分析,来发现可能存在的分布式网络攻击行为并进行响应处理的入侵检测系统。
分布式入侵检测系统采取了分布式检测的体系结构,主机控制响应单元,它对网络探测响应单元在分级控制台的管理下分别检测本机、本网段的入侵行为,具有良好的分布性、可扩展性;并在网络检测响应单元系统中设计了协议分析模块,控制台采用分级控制台和总控制台。分布式通过共同协作的机制,从多层面上实施检测。提高入侵检测的效果。
分布式入侵检测的设计应满足以下几点功能:
①入侵检测能够识别可疑行为,检测入侵。
②攻击行为检测的准确性,并进行警报,降低检测报警中的误报和漏报。
③入侵检测能针对不同的警报级别分别作出不同的响应。
④入侵检测必须允许管理员适时监控攻击行为,对不同的功能和报警进行手动控制。
⑤入侵检测能够处理大规模的攻击。
⑥入侵检测的各组件之间能根据检测到的入侵和报警相互通信。
⑦入侵检测本身具有稳健性,对攻击手法的改变具有适应性。
⑧入侵检测具有可扩展性,能满足今后网络扩展的需要
⑨为保障网络安全,入侵检测自身应具有高可靠性,能保障不间断运行。
3.2 校园分布式入侵检测模式的分析
当前网络结构逐步复杂化和大型化的趋势下,分布式入侵检测由于检测范围大,检测时可以采用不同的检测方法,通过将各个传感器放置在不同的组件上,实现信息收集汇总。入侵检测系统的工作
图3-1 入侵检测系统工作流程
流程如图3-1所示。
Snort是一个功能强大的入侵检测系统,具有灵活、可定制和可扩展的特点。因此采用以Snort为核心的分布式入侵检测系统。基于Snort的分布式入侵检测系统按功能主要由三个部分组成:传感器、数据管理中心、管理决策中心,是一个三层结构。如图3-2所示。
图3-2 分布式入侵检测系统的总体结构
传感器用于收集来自网络上的数据,通过均匀的分布在重要网段上,收集各方位传来的数据。是分布式入侵检测系统重要组成部分。然后将收集来的数据进行简单的数据处理,并采用基于协议分析和基于模式匹配结合的方法更全面的检测入侵行为,并将入侵数据日志到数据管理中心数据库中,进行存储和处理。
数据管理中心是负责收集传感器传来的一系列报警数据,并对收集的报警数据进行处理。数据中心存储过程中进行数据整理,防止需要存储的数据信息量过多,方便对数据库报警信息的分类和管理。 管理决策中心是网络管理员与机器交互信息中心,负责汇总信息整理成材料,以图文形式显示数据信息,方便管理员作出相应的决策机制。提高网络信息的安全性。
传感器用于捕获来自网络上的数据,是进行入侵检测的基础,它是由Snort实现的。由于Snort本身没有抓包工具,所以采用外部抓包工具Winpcap。Winpcap负责直接从网络上抓包,将采集到的数据进行简单处理传送到数据管理中心进行封装。Winpcap提供了一套标准的网络数据包捕获的编程接口、捕获原始数据包、在数据包发往应用程序之前按照自定义的规则将某些特别的数据包过滤掉、在网络上发送原始的数据包、收集网络通信过程中的统计信息。
预处理器以插件的形式实现,它使得Snort入侵检测系统具有模块化的特征,使系统具有灵活的扩展能力和配置能力。用户和程序员能够将各种不同功能的模块化的插件方便地融入Snort之中,用来针对可疑行为检查包或者修改包,以便检测引擎对其进行正确的解释,从而提高检测的准确性和速度。预处理可以分为两类,一类是用于针对可疑行为或者对包进行修改,以便对数据进行分析检测时可以正确的识别;另一类是负责对流量标准化,以便进行检测时可以准确的匹配特征。通过它可以提高模式匹配的检测效率。预处理器使入侵检测系统可以处理跨多个包的数据,还可以规范化有多个数据表达形式的协议数据。通过预处理系统具有异常检测的能力,可以发现还没有对应规则的攻击。另外用户还可以根据需要自己编写新的预处理插件。
3.3 采用的入侵检测技术
Snort入侵检测系统是基于误用检测的入侵检测软件。一般采用模式匹配的方法检测入侵行为。模式匹配是将获得的数据与系统内相应数据进行比较,从而发现违背安全策略的行为。具有原理简单、扩展性好、分析速度快等优点。
模式匹配算法有很多,BM(Boyer-Moore)算法是一种常用的精确匹配算法,其中Snort入侵检测系统急速使用BM算法来进行特征匹配。更具数据显示:Snort在进行检测的时候调用字符串匹配函数所需要的时间占总时间的25.2%,所以字符串匹配算法效率队Snort来说很重要。BM算法利用跳过不必要的比较来减少字符之间的匹配,以减少匹配次数来提高检测效率。
如:在主字符串(记做P)搜索的文本(记做T),将P的第一个字符记做P1,P的最后一个字符记做Pm;T的第一个字符记做T1,T的最后一个字符记做Tn;则有:
主字符串P:abcacdabaababbaab 模式子串T:ababbaab
定义一个函数K:x→{1,2,„,m};当字符不匹配时,实现下标的移动。
n 若任意字符x不出现在T中或x=Pi;(i=m)
K[x]= n-I 若x在T,这里的i=max{i: Pi=x,1﹤=i﹤=m-1}
①匹配自右向左进行: 在开始前,将主字符串P与文本T左部对齐,而匹配搜索从P的最右边一个字符开始, ②忽略不匹配的字符:
图3-3坏字符算法(1)
x,y在匹配的过程中发生了匹配失败a≠b,这时候判断b.如果在x中没有发现.说明只要含有b就不可能匹配,所以跳到b的后面,继续匹配.如图3-3所示。
图3-4坏字符算法(2)
x,y在匹配的过程中发生了匹配失败a≠b,这时候判断b.如果在x中发现有b,则从右边数第一个b和y中的b对齐.如图3-4所示。
③发现匹配字符:
图3-5 好后缀处理算法(1)
关于
j+m-1]=u and x[i]≠y[i+j] 如果
图3-6 好后缀处理算法(2)
关于
j+m-1]=u and x[i]≠y[i+j]如果
通过基于模式匹配的检测方法,快速地探测网络上不安全因素的存在。它利用网络协议的高度规则性,只提取数据包的重要特征送入处理模块进行检测,不仅节约了检测部分的资源,传输的时候也极大提高了单位时间的包特传输速率。且同模式匹配技术结合,使得入侵检测系统具有检测速度快、系统消耗低、降低误报率等优点。
第四章 入侵检测系统的发展趋势
与防火墙等高度成熟的产品相比,入侵检测系统还存在相当多的问题,这些问题大多数是目前入侵检测系统的结构所难以克服的,而且这些矛盾可能越来越尖锐。入侵技术的发展与演化主要反映在以下几个方面:
入侵或攻击的综合化与复杂化。攻击者不断增加的知识,日趋成熟多样自动化工具,以及越来越复杂细致的攻击手法。入侵检测系统必须不断跟踪最新的安全技术,才能不致被攻击者远远超越。
入侵主体对象的间接化,恶意信息采用加密的方法传输。通过一定的技术,可掩盖攻击主体的源地址、主机位置和攻击信息。
不断增大的入侵或攻击的规模。对于网络的入侵与攻击,在其初期往往是针对某公司或一个网站,而现在入侵或攻击的规模不断增大,单一的入侵检测系统已很难应付。可以想见,随着网络流量的进一步加大,对入侵检测系统将提出更大的挑战,在PC机上运行纯软件系统的方式需要突破。
入侵或攻击技术的分布化。以往常用的入侵与攻击行为往往由单机执行,分布式攻击是近期最常用的攻击手段。所谓的分布式拒绝服务在很短时间内可造成被攻击主机的瘫痪,且此类分布式攻击的单片机信息模式与正常通信无差异,所以往往在攻击发动的初期不易被确认。
攻击对象的转移。入侵与攻击常以网络为侵犯的主体,但近期来的攻击行为却发生了策略性的改变,由攻击网络改为攻击网络的防护系统,且有愈演愈烈的趋势。
入侵检测系统作为一种新兴的网络安全手段,从一开始就受到了大家的重视。近年来,入侵检测技术获得了极大地发展,今后的入侵检测技术大致可朝以下几个方向发展。
(1)云计算入侵检测的发展
随着云计算成为全球新兴产业的重要代表,网络入侵者都将目光投到了云计算这一未来充满巨大市场空间的领域。由于云计算环境拥有强大的计算能力、海量的存储空间和丰富的用户信息,对网络入侵者具有很大的诱惑力,云计算环境目前已经成为网络入侵者的攻击目标。特别是作为云计算服务供应商,在为云计算用户提供计算、存储和各种软件式服务的过程中,很容易遭受各种安全威胁与攻击的考验。同时,云计算环境下的网络攻击发动更加快速、攻击能力更加强大、攻击后果更加严重,使得云计算环境的入侵检测变得更加重要。
(2) 集成网络分析和管理功能
入侵检测不但对网络攻击是一个检测。同时,侵检测可以收到网络中的所有数据,对网络的故障分析和健康管理也可起到重大作用。当管理员发现某台主机有问题时,也希望能马上对其进行管理。入侵检测也不应只采用被动分析方法,最好能和主动分析结合。所以,入侵检测产品集成网管功能,扫描器(Scanner),嗅探器(Sniffer)等功能是以后发展的方向。
(3) 安全性和易用性的提高
入侵检测是个安全产品,自身安全极为重要。因此,目前的入侵检测产品大多采用硬件结构,黑洞式接入,免除自身安全问题。同时,对易用性的要求也日益增强,例如:全中文的图形界面,自动的数据库维护,多样的报表输出。这些都是优秀入侵产品的特性和以后继续发展细化的趋势。
(4) 高速实时入侵检测技术
大量高速网络技术在近年内不断出现,在此背景下的各种宽带接入手段层出不穷,其中很多已经得到了广泛的应用。如何实现高速网络下的实时入侵检测已经成为一个现实的问题。目前,虽然市场上也可以见到一些基于千兆以太网环境的入侵检测产品,但其性能指标还远未满足要求。
(5) IDS与其他安全部件的互动
实现网络与信息的安全是一项系统工程,不是哪一种单独的安全部件就可以完成的。只有在不同的安全部件之间实现互联互动,才能更好的保证网络与信息的安全。随着防火墙、入侵检测等技术的不断发展,实现它们之间的互动显得越来越重要。因此,对于安全部件之间的互动协议和接口标准的研究,也会是对IDS研究的一个重要方向。
由于IDS的地位越来越重要,防护的网络规模越来越大,因此应该把IDS和其他安全部件放在一个对等的位置来考虑它们之间的互动。应该考虑不同厂家的IDS之间,IDS与防火墙之间,IDS与响应部件之间的互动。在这方面还有很大一部分工作需要解决。
(6) IDS标准化工作
标准化的工作对于一项技术的发展至关主要。在某一个技术领域,如果没有相应的标准,那么该领域的发展将会是无序的。IDS经历了20多年的发展,近几年又成为网络与信息安全领域的一个研究热点,但是到目前为止,尚没有一个相关的国际标准出现,国内也没有IDS方面的标准。因此,IDS的标准化工作应引起业内的广泛重视。 在IDS中,应该进行标准化的工作主要包括:大规模分布式IDS的体系结构、入侵特征等数据的描述、IDS内部的通信协议和数据交换协议、安全部件间的互动协议和接口标准等。
第五章 总结
通过查找相关资料,加深对入侵检测技术的了解,对当下流行技术进行了简单的介绍以及比较.
入侵检测作为一种积极主动的安全防护技术,提供了对内、外部攻击和误操作的实时保护,在网络系统中受到危害之前拦截和响应入侵。虽然入侵检测技术的算法多样化,但两类入侵检测技术界限还是比较模糊的,随着科技发展,两类技术渐渐的朝综合趋势发展。而且它也不是一个完整的网络解决方案,应该与其它安全部件实现联动,进一出提高其性能。
从某种意义上来说,“安全”永远只是一个理论上的相对概念,仍然有一些不安全的因素没有考虑到。也正是如此,人们提出了入侵检测的概念,用来贴补系统安全性的巨大漏洞。从网络安全立体纵深、多层次防御的角度出发,入侵检测理应受到人们的高度重视,因为入侵检测提供了对内部攻击、外部攻击和误操作的实时保护。
参考文献
[1] 戴英侠,连一峰,王航.系统安全与入侵检测[M].北京:清华大学出版社
[2] 聂元铭,丘平.网络信息安全技术[M].北京:科学出版社
[3] 董玉格,金海,赵振.攻击与防护-网络安全与实用防护技术[M].北京:人民 邮电出版社
[4] 戴云,范平志.入侵检测系统研究综述[J].计算机工程与应用
[5] 刘文淘.网络入侵检测系统[M].北京:电子工业出版社
[6] 贺文华,陈志刚.网络安全现状分析与发展趋势[J].湖南人文科技学院
[7] 褚永刚,杨义先。入侵检测系统的技术发展趋势[J].北京邮电大学信息安全中心
The Present situation analysis and research
of Intrusion Detection Technology
【Abstract】With the rapid development and popularity of network, network security has become an important information security. The small personal information of the user, to the enterprise important data, but imperceptibly theft, give oneself and even bring interest loss. Intrusion detection technology in 1980 by JamesP.Anderson in giving a confidential customer wrote a report entitled
【Key words】IDS, protocol analysis, the security of network