目录
前言……………………………………………………………………………………………3
1、网络入侵检测的模型……………………………………………………………………4
1.1 Denning模型……………………………………………………………………………….4
1.2 CIDF模型………………………………………………………………………………4 1.2.1事件产生器…………………………………………………………………………4
1.2.2事件分析器…………………………………………………………………………4
1.2.3响应单元……………………………………………………………………………5 1.2.4事件数据库…………………………………………………………………………5
2、入侵检测系统的分析方法……………………………………………………………5
2.1 误用检侧技术(Misuse Detection)…………………………………………………6
2.2 异常检测技术(Anomaly Detection )……………………………………………………7
2.3 特征检测(Character Detection )………………………………………………………7
3、入侵检测系统的结构分析 ………………………………………………………………8
4、入侵检测技术的发展方向 ………………………………………………………………9 4、1 分布式入侵检测……………………………………………………………………………9 4、2 智能化入侵检测……………………………………………………………………………9 4、3 全面的安全防御方案………………………………………………………………………9
4、4应用层入侵检测技术……………………………………………………………………10 4、5互操作性亟待提高…………………………………………………………………10 结束语 ……………………………………………………………………………………………11 参考文献………………………………………………………………………………………12
摘要
防止网络入侵是网络安全中重中之重的问题,很多政府机关、企事业单位信息的泄露都是由于网络黑客的入侵。这样,提高网络入侵检测的能力,就提上了日程。该文对网络入侵检测从理论到实际进行了大体的阐述,并重点讨论了入侵检测系统的结构,使其有了很大的实用性。入侵检测是一种动态安全策略。文章从入侵检测技术的发展、检测系统的通用模型和分类以及检测方法四个方面对当前入侵检测的研究进行技术性综述, 讨论了现有的入侵检测体系结构, 详细分析了各种入侵检测方法, 并在文中指出了当前入侵检测研究中存在的问题和今后发展的趋势。
关键词: 入侵检测系统 网络安全
Abstract
Preventing that the cross-domain communication from invading is the question of the most important in the cross-domain communication safety, and it all is owing to invading of cross-domain communication hacker that a lot of government mechanisms and enterprise and institution information are let out. So, raises the cross-domain communication invading the ability which tested, and put forward the programme. What the invading checkout of this text, article, etc. to the cross-domain communication in be in progress roughly from theory to reality expounds, and lay equal stress on a little discussing the structure invading the checkout system, and makes his have very big practical nature.
Key words: cross-domain; communication; invading and snort
网络安全的入侵检测研究
前 言
随着信息化建设的深入以及电子商务的开展,信息化已经成为我国各类型企业降低成本、提高效率、提高竞争力的有效武器。计算机互联网得到高速发展和广泛应用的同时,网络安全特别是网络入侵问题变得越来越严重。因此,开展网络安全特别是入侵攻击与防范技术的研究,开发急需的、高效实用的网络入侵检测系统,对计算机网络的发展和网络信息的建设与应用都具有重要意义。
入侵检测是指在特定的网络环境中发现和识别未经授权的或恶意的攻击和入侵,并对此作出反应的过程。它从计算机系统的若干关键点收集信息,并分析这些信息,看是否有违反安全策略的行为和遭到攻击者的迹象。它具有监视分析用户和系统的行为、审计系统配置和漏洞、评估敏感系统和数据的完整性、识别攻击行为、对异常行为进行统计、自动地收集和系统相关的补丁、进行审计跟踪识别违反安全策略的行为、使用诱骗服务器记录黑客行为等功能,使系统管理员可以较有效地监视、审计、评估自己的系统。入侵检测是在不影响网络性能的情况下对网络进行监测,是一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护。入侵检测是对防火墙的有益补充,二者相互结合共同帮助系统对付网络攻击。
随着网络的规模不断扩大、复杂性日益增加, 网络安全问题已经变得越来越重要。使用防火墙是最常用的防范网络入侵的方法,它是一种静态安全防御策略,对网络环境下日新月异的攻击手段缺乏主动的反应。另外一些诸如身份识别、认证、访问控制、加密等技术均属于静态安全策略,无法满足当今的网络安全需求。
1. 网络入侵检测的模型
对一个成功的入侵检测系统来讲,它应该能够使系统管理员时刻了解网络系统(包括程序、文件和硬件设备等)的任何变更;为网络安全策略的制订提供指南;它应该管理、配置简单,从而使非专业人员非常容易地获得网络安全;入侵检测的规模应根据网络威胁、系统构造和安全需求的改变而改变;入侵检测系统在发现入侵后,会及时作出响应,包括切断网络连接、记录事件和报警等。在此,介绍两种具有典型意义的入侵检测模型。
1.1 Denning模型
Denning 模型由Denning1987年提出。模型主要由主体、对象、审计记录、活动轮廓、异常记录、活动规则6个主要部分构成。
它是基于这样一个假设:由于袭击者使用系统的模式不同于正常用户的使用模式,通过监控系统的跟踪记录,可以识别袭击者异常使用系统的模式,从而检测出袭击者违反系统安全性的情况。它最大的缺点是没有包含己知系统漏洞或攻击方法的知识,而这些知识在某些情况下是非常有用的。
1.2 CIDF模型
随着技术的发展,通用入侵检测构架(Common Intrusion Detection Framework 简称CIDF )组织,试图将现有的入侵检测系统标准化,CIDF 阐述了一个入侵检测系统的通用模型(一般称为CIDF 模型)。它将一个入侵检测系统分为以下四个组件
1.2.1事件产生器
事件产生器是入侵检测系统中负责原始数据采集的部分,它对数据流、日志文件等进行追踪,然后将搜集到的原始数据转换为事件,并向系统的其他部分提供此事件。
1.2.2事件分析器
事件分析器接受事件信息,然后对它们进行分析,判断是否是入侵行为或异常现象,最后将判断的结果转换为警告信息。
1.2.3响应单元
响应单元根据警告信息作出反应,它可以做出切断连接、改变文件属性等强烈反应,也可以只是简单地报警,它是入侵检测系统中地主动武器。
1.2.4事件数据库
事件数据库是存放各种中间和最终数据的地方。它从事件产生器或事件分析器接收数据,一般会将数据进行较长时间的保存。它可以是复杂的数据库,也可以是简单的文本文件。
以上四个部分只是入侵检测系统的基本组成部分。从具体实现的角度看,入侵检测系统一般包括软件和硬件两个部分。硬件设备主要完成数据的采集和响应的设施,软件部分主要完成数据的处理、入侵的判断、响应的决策等功能。
CIDF 将通信机制分成了三层模型:GDIO层、消息层和协商传输层。从而保证了各个组件之间的通信安全和效率。
2、入侵检测系统的分析方法
在入侵检测领域中,入侵检测技术基本上被划分为三个大类,它们分别是误用检测(Misuse Detection) 技术、异常检测(^nomalyoetection)技和特征检测(Character Detection )。
基于主机的入侵检测系统(HIDS )
基于主机的入侵检测系统为早期的入侵检测系统,其主要目标是检测主机系统是否受到外部或内部的攻击,以及系统本地用户是否有滥用或误用行为。检测原理是根据主机的审计数据和系统日志发现可疑事件。检测系统可以运行在被检测的主机上或单独的主机上。这种类型的系统依赖于审计数据或系统日志的准确性和完整性以及安全事件的定义。在现有的网络环境下,单独依靠主机的审计信息进行入侵检测难以适应网络安全的需求。
基于网络的入侵检测系统(NIDS )
基于网络的入侵检测系统通常是作为一个独立的个体放置于被保护的网络上,一般利用一个网络适配器来实时监视和分析所有通过网络进行传输的信息。一旦检测到攻击,入侵检
测系统应答模块将通过通知、报警或中断连接等方式来对攻击做出反应。基于网络的IDS 具有检测基于主机的IDS 漏掉的攻击、攻击者不易转移证据、实时检测和响应、具有良好的隐蔽性等优点。基于网络的IDS 的缺点包括防入侵欺骗的能力较差,在交换式网络环境中难以 配置,检测性能受硬件条件限制以及不能处理加密后的数据等。
分布式入侵检测系统(DIDS )
分布式入侵检测系统也称作混合型入侵检测系统。它综合了基于主机和基于网络的IDS 的功能。DIDS 的分布性表现在两个方面:首先,数据包过滤工作由分布在各网络上的探测代理完成;其次,探测代理认为可疑的数据包将根据其类型交给专用的分析层设备处理。各探测代理不仅实现信息过滤,同时对所在系统进行监视;而分析层和管理层可对全局的信息进行关联性分析,这样对网络信息进行分流,既可以提高检测速度,解决检测效率低的问题,又增强了DIDS 本身防御拒绝服务攻击的能力。 现有的IDS 的分类,大都基于信息源和分析方法。为了体现对IDS 从布局、采集、分析、响应等各个层次及系统性研究方面的问题,在这里采用五类标准:控制策略、同步技术、信息源、分析方法、响应方式。
按照控制策略IDS 可以划分为,集中式IDS 、部分分布式IDS 和全部分布式IDS ;按照同步技术划分,IDS 划分为间隔批任务处理型IDS 和实时连续性IDS ;按照信息源分类是目前最通用的划分方法,它分为基于主机的IDS 、基于网络的IDS 和分布式IDS ;按照分析方法IDS 划分为滥用检测型IDS 和异常检测型IDS ;按照响应方式IDS 划分为主动响应IDS 和被动响应IDS 。
2、1 误用检侧技术(Misuse Detection)
误用检测也称特征检测或基于知识的检测,指运用已知攻击方法,根据己定义好的入侵模式,通过判断这些入侵模式是否出现来检测。但系统依赖性强,且检测受己知知识的限制。此外,难检检测出内部人员的入侵行为。
典型的有以下几种: 专家系统:通过将安全专家的知识表示成IF 一THEN 规则形成专家知识库,然后,运用推理算法进行检测入侵。 模式匹配:将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。 模型推理:结合脚本攻击推理出入侵行为是否出现。其中有关攻击者行为的知识被描述为:攻击者的目的,攻击者达到此目的的可能行为步骤,以及对系统的特殊使用。根据这些知识建立攻击脚本库,脚本由攻击行为组成。 统计检测分析:常用的检测值有审计事件的数量、间隔时间、资源消耗情况。主要有操作模型、方差模型、多元模型、马尔可夫过程模型、时间序列模型这5种。 状态转
换分析:将状态图应用于入侵行为的分析. 状态转换法是将入侵过程看做一个行为序列,这个行为序列导致从初始状态转入侵状态。
2、2 异常检测技术(Anomaly Detection)
异常检测根据使用者的行为或资源使用状况来判断是否入侵,而不依赖于具体的行为是否出现来检测,所以也被称为基于行为的入侵检测。基于行为的入侵检测与系统相对无关,通用性较强,它甚至可能检测出以前从未出现过的攻击方法,不像基于知识的检测那样受已知脆弱性的限制。但因为不能对整个系统内的所有用户进行为全面的描述,况且每个用户的行为是经常改变的,所以它的主要缺陷在于误检率很高,典型的有以下几种:
统计分析:检测器根据用户网络的特征为每个用户建立一个用户特征表,通过比较当前特征与已存储定型的以前特征,从而判断是否有异常行为。用于描述特征的变量类型有操作密度、审计记录分布、范畴尺度、数值尺度。
神经网络:模拟生物的神经结构以及其处理信息的方式来进行计算的一种算法,适用不精确模型。基于神经网络的入侵检测系统具有普遍性,可以对多个用户采用相同的检测措施。它可以通过自学习从要分析的数据中提取正常用户或系统活动的特征模式,而不必对大量的数据进行存储,精简了系统的设计。
2、3 特征检测(Character Detection)
特征检测关注的是系统本身的行为,定义系统行为轮廓,并将系统行为与轮廓进行比较,将未指明为正常行为的事件定义为入侵。特征检测系统常采用某种特征语言定义系统的安全策略。特征检测最大的优点是可以通过提高行为特征定义的准确度和覆盖范围,大幅度降低漏报和错报率。最大的不足是要求严格定义安全策略,这需要经验和技巧。
由于这些检测各有优缺点,因此许多实际入侵检测系统的实现通常同时采用两种以上方法。
3、入侵检测系统的结构分析
snort 是一个强大的清量级的网络入侵检测系统。它具有实时数据流量分析和日志ip 网络数据包的能力,能够进行协议分析,对内容搜索/匹配。它能够检测各种不同的攻击方式,对攻击进行实时警报。此外,snort 具有很好的扩展性和可移植性。事实上,目前流行的很多实用IDS 系统大多不同程度上从Snor 中吸取营养,特别是它的程序模块结构,很值得借鉴。人们可以从分析Snort 着手,对相关的模块进行改进,添加上自己所需功能的代码,来开展新的课题研究。 Sniffer即嗅探器:Snort 没有自己的捕包工具,它使用一个外部的捕包程序库Libpcap 从物理链路上进行捕包。Libpcap 可以运行在任何一种流行的硬件和操作系统的组合中,这使得Snort 成为一个真正的与平台无关的应用程序。 预处理器:以可插入模块的形式存在于Sniffer 和检测引擎之间。这种插件机制使程序具有很强的扩展性,模块性强,程序易读。检测引擎:Snort 的核心部件,主要功能是规则分析和特征检测。当数据包从预处理器送过来后,检测引擎依据预先设置的规则检查数据包,一旦发现数据包中的内容和某条规则相匹配,就通知报警模块。 Snort的规则在逻辑上分为两部分:规则头(Rule Header )和规则选项(Rule Option )。 规则头中包含的是所有规则所共有的一些属性,规则选项则是包含修改检测的一些选项。例如,在已经给出的snort 库文件中45条CGI-BIN 探测检测规则,它们有共同的目的IP 地址和端口。为了加快检测进程,这些共同的资源将被放在同一个规则头中,而它们各自独立的检测信号则保存在规则选项结构中。
4、入侵检测技术的发展方向
在入侵检测技术发展的同时,入侵技术也在日新月异。高速网络,尤其是交换技术的发展以及通过加密信道的数据通信,使得通过共享网段侦听的网络数据采集方法显得不足,而大量的通信量对数据分析也提出了新的要求。近年对入侵检测技术技术有几个主要发展方向:
4、1 分布式入侵检测
分布式入侵检测。包含两层含义:一是针对分布式网络攻击的检测方法;二是使用分布式的方法来检测入侵攻击,其关键技术为检测信息的协同处理与入侵攻击全局信息的提取。分布式入侵检测技术与通用入侵检测技术架构。传统的IDS 一般局限于单一的主机或网络架构,对异构系统及大规模的网络的监测明显不足。同时不同的IDS 系统之间不能协同工作能力,为解决这一问题,需要分布式入侵检测技术技术与通用入侵检测技术架构。
4、2 智能化入侵检测
智能化入侵检测。即使用智能化的方法与手段来进行入侵检测。利用专家系统的思想来构建入侵检测系统也是常用的方法之一,特别是具有自学能力及自适应能力的专家系统,它实现了知识库的不断更新与扩展,使设计的入侵检测系统的防范能力不断增强,具有更广泛的应用前景。入侵方法越来越多样化与综合化,尽管已经有智能体、神经网络与遗传算法在入侵检测技术领域应用研究,但是这只是一些尝试性的研究工作,需要对智能化的IDS 加以进一步的研究以解决其自学习与自适应能力。
4、3 全面的安全防御方案
全面的安全防御方案。使用安全工程风险管理的思想与方法来处理网络安全问题,将网络安全作为一个整体工程来处理,从管理、网络结构、加密通道、防火墙、病毒防护和入侵检测等多方位对所关注的网络作全面的评估然后提出可行的全面解决方案。
4、4 应用层入侵检测技术
应用层入侵检测技术。许多入侵的语义只有在应用层才能理解,而目前的IDS 仅能检测技术如WEB 之类的通用协议,而不能处理如LotusNotes 、数据库系统等其他的应用系统。许多基于客户、服务器结构与中间件技术及对象技术的大型应用,需要应用层的入侵检测技术保护。
4、5 互操作性亟待提高
互操作性亟待提高。目前,IDS 的研究基本上还处于各自为政的山大王纷争时代,不同的IDS 之间及与其他安全产品之间的互操作性很差。为了推动IDS 产品及部件之间的互操作性,DARPA 和IETF 入侵检测工作组分别制订了CIDF 和IDMEF 标准,从体系结构、API 、通信机制、语言格式等方面规范IDS 。
结束语
入侵检测作为一种积极主动的安全防护技术 ,其研究和开发越来越受到学界和业界的重视。本文对入侵检测通用模型、入侵检测系统分类和入侵检测方法等进行了评述, 分析了入侵检测的发展现状, 讨论了当前入侵检测中存在的问题并指出今后的发展趋势。
未来的入侵检测系统将会结合其它网络管理软件,形成入侵检测、网络管理、网络监控三位一体的工具。强大的入侵检测软件的出现极大的方便了网络的管理,其实时报警为网络安全增加了又一道保障。尽管在技术上仍有许多未克服的问题,但正如攻击技术不断发展一样,入侵的检测也会不断更新、成熟。同时要及时修补网络中的安全漏洞,否则安全也无从谈起。
随着技术的进步和应用环境的变化,入侵检测技术也出现了一些新的发展动向,具体发展的趋势如下:
1) 分布式入侵检测。这个概念有两层含义:第一层,即针对分布式网络攻击的检测方法;第二层即使用分布式的方法来检测分布式的攻击,其中的关键技术为检测信息的协同处理与入侵攻击的全局信息的提取。
2) 智能化入侵检测。即使用智能化的方法与手段来进行入侵检测。所谓的智能化方法,现阶段常用的有神经网络、遗传算法、模糊技术、免疫原理等方法,这些方法常用于入侵特征的辨识与泛化。
3) 全面的安全防御方案。即使用安全工程风险管理的思想与方法来处理网络安全问题,将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、入侵检测多方位全面对所关注的网络作全面的评估,然后提出可行的全面解决方案。
4) IPs入侵防御系统。即由被动的入侵检测向主动的防御去发展,IPS 能够进行实时监控,具备智能处理功能,可以主动阻截和转发数据包。
5) 高速化、硬件化。网络基础设施建设的飞速发展预示着下一代网络必然是高速宽带
网,因此有必要提高IDS 的处理速度来满足应用要求。这其中零拷贝技术、硬件化的探测器、负载平衡技术都值得考虑。
参考文献
[1] Pegioannj L.Development of an Architecture for Packer Capture and Network Traffic Analysis[C].Politecnico di Rorino,2000.
[2] 宋劲松. 网络入侵检测:分析、发现和报告攻击[M].北京:国防工业出版社,2005.
[3] 卿斯汉. 安全协议20年研究进展[J].软件学报,2003,14(10):1740-1752.
[4] 黄慧. 针对黑客攻击网络的预防措施[J].网络安全技术与应用,2006(1):27,41-44.
[5] 蓝天明. 基于神经网络的入侵检测技术的研究[D].南昌大学,2006. [注:该文章
[6] W Lee, S J Stolfo, P K Chan. Real-time DataMining-based Intrusion Detection[C]. Proceedings of the DARPA Information Survivability Conference and Exposition II (D ISCEXII) , Anaheim, CA: IEEE Computer Society, 2001. 85-100.
[7]阮耀平, 易江波, 赵战生. 计算机系统入侵检测模型与方法[J].计算机工程.1999.
[8] 刘春颂, 杨寿保, 杜滨. 基于网络的入侵检测系统及其实现[J]. 计算机应用, 2003, 23 (2).
[9] 连一峰, 戴英侠, 胡艳, 等. 分布式入侵检测方法研究[J]. 计算机研究与发展, 2003, 40 (8) : 1195-1202.
[10]Anderson J P. Computer security threat monitoring and surveillance [P].PA 19034,USA , 1980.4 .
[11]Denning D E .An Intrusion-Detection Model [A] . IEEE Symp on Security & Privacy[C],1986.118-131.
[12]蒋建春、冯登国. 网络入侵检测技术原理与技术. 北京:国防工业出版社,2001.7.
[13]戴连英,连一峰,王航. 系统安全与入侵检测技术. 北京:清华大学出,2002.3.
[14]吴焱等译,入侵者检测技术. 北京:电子工业出版社
目录
前言……………………………………………………………………………………………3
1、网络入侵检测的模型……………………………………………………………………4
1.1 Denning模型……………………………………………………………………………….4
1.2 CIDF模型………………………………………………………………………………4 1.2.1事件产生器…………………………………………………………………………4
1.2.2事件分析器…………………………………………………………………………4
1.2.3响应单元……………………………………………………………………………5 1.2.4事件数据库…………………………………………………………………………5
2、入侵检测系统的分析方法……………………………………………………………5
2.1 误用检侧技术(Misuse Detection)…………………………………………………6
2.2 异常检测技术(Anomaly Detection )……………………………………………………7
2.3 特征检测(Character Detection )………………………………………………………7
3、入侵检测系统的结构分析 ………………………………………………………………8
4、入侵检测技术的发展方向 ………………………………………………………………9 4、1 分布式入侵检测……………………………………………………………………………9 4、2 智能化入侵检测……………………………………………………………………………9 4、3 全面的安全防御方案………………………………………………………………………9
4、4应用层入侵检测技术……………………………………………………………………10 4、5互操作性亟待提高…………………………………………………………………10 结束语 ……………………………………………………………………………………………11 参考文献………………………………………………………………………………………12
摘要
防止网络入侵是网络安全中重中之重的问题,很多政府机关、企事业单位信息的泄露都是由于网络黑客的入侵。这样,提高网络入侵检测的能力,就提上了日程。该文对网络入侵检测从理论到实际进行了大体的阐述,并重点讨论了入侵检测系统的结构,使其有了很大的实用性。入侵检测是一种动态安全策略。文章从入侵检测技术的发展、检测系统的通用模型和分类以及检测方法四个方面对当前入侵检测的研究进行技术性综述, 讨论了现有的入侵检测体系结构, 详细分析了各种入侵检测方法, 并在文中指出了当前入侵检测研究中存在的问题和今后发展的趋势。
关键词: 入侵检测系统 网络安全
Abstract
Preventing that the cross-domain communication from invading is the question of the most important in the cross-domain communication safety, and it all is owing to invading of cross-domain communication hacker that a lot of government mechanisms and enterprise and institution information are let out. So, raises the cross-domain communication invading the ability which tested, and put forward the programme. What the invading checkout of this text, article, etc. to the cross-domain communication in be in progress roughly from theory to reality expounds, and lay equal stress on a little discussing the structure invading the checkout system, and makes his have very big practical nature.
Key words: cross-domain; communication; invading and snort
网络安全的入侵检测研究
前 言
随着信息化建设的深入以及电子商务的开展,信息化已经成为我国各类型企业降低成本、提高效率、提高竞争力的有效武器。计算机互联网得到高速发展和广泛应用的同时,网络安全特别是网络入侵问题变得越来越严重。因此,开展网络安全特别是入侵攻击与防范技术的研究,开发急需的、高效实用的网络入侵检测系统,对计算机网络的发展和网络信息的建设与应用都具有重要意义。
入侵检测是指在特定的网络环境中发现和识别未经授权的或恶意的攻击和入侵,并对此作出反应的过程。它从计算机系统的若干关键点收集信息,并分析这些信息,看是否有违反安全策略的行为和遭到攻击者的迹象。它具有监视分析用户和系统的行为、审计系统配置和漏洞、评估敏感系统和数据的完整性、识别攻击行为、对异常行为进行统计、自动地收集和系统相关的补丁、进行审计跟踪识别违反安全策略的行为、使用诱骗服务器记录黑客行为等功能,使系统管理员可以较有效地监视、审计、评估自己的系统。入侵检测是在不影响网络性能的情况下对网络进行监测,是一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护。入侵检测是对防火墙的有益补充,二者相互结合共同帮助系统对付网络攻击。
随着网络的规模不断扩大、复杂性日益增加, 网络安全问题已经变得越来越重要。使用防火墙是最常用的防范网络入侵的方法,它是一种静态安全防御策略,对网络环境下日新月异的攻击手段缺乏主动的反应。另外一些诸如身份识别、认证、访问控制、加密等技术均属于静态安全策略,无法满足当今的网络安全需求。
1. 网络入侵检测的模型
对一个成功的入侵检测系统来讲,它应该能够使系统管理员时刻了解网络系统(包括程序、文件和硬件设备等)的任何变更;为网络安全策略的制订提供指南;它应该管理、配置简单,从而使非专业人员非常容易地获得网络安全;入侵检测的规模应根据网络威胁、系统构造和安全需求的改变而改变;入侵检测系统在发现入侵后,会及时作出响应,包括切断网络连接、记录事件和报警等。在此,介绍两种具有典型意义的入侵检测模型。
1.1 Denning模型
Denning 模型由Denning1987年提出。模型主要由主体、对象、审计记录、活动轮廓、异常记录、活动规则6个主要部分构成。
它是基于这样一个假设:由于袭击者使用系统的模式不同于正常用户的使用模式,通过监控系统的跟踪记录,可以识别袭击者异常使用系统的模式,从而检测出袭击者违反系统安全性的情况。它最大的缺点是没有包含己知系统漏洞或攻击方法的知识,而这些知识在某些情况下是非常有用的。
1.2 CIDF模型
随着技术的发展,通用入侵检测构架(Common Intrusion Detection Framework 简称CIDF )组织,试图将现有的入侵检测系统标准化,CIDF 阐述了一个入侵检测系统的通用模型(一般称为CIDF 模型)。它将一个入侵检测系统分为以下四个组件
1.2.1事件产生器
事件产生器是入侵检测系统中负责原始数据采集的部分,它对数据流、日志文件等进行追踪,然后将搜集到的原始数据转换为事件,并向系统的其他部分提供此事件。
1.2.2事件分析器
事件分析器接受事件信息,然后对它们进行分析,判断是否是入侵行为或异常现象,最后将判断的结果转换为警告信息。
1.2.3响应单元
响应单元根据警告信息作出反应,它可以做出切断连接、改变文件属性等强烈反应,也可以只是简单地报警,它是入侵检测系统中地主动武器。
1.2.4事件数据库
事件数据库是存放各种中间和最终数据的地方。它从事件产生器或事件分析器接收数据,一般会将数据进行较长时间的保存。它可以是复杂的数据库,也可以是简单的文本文件。
以上四个部分只是入侵检测系统的基本组成部分。从具体实现的角度看,入侵检测系统一般包括软件和硬件两个部分。硬件设备主要完成数据的采集和响应的设施,软件部分主要完成数据的处理、入侵的判断、响应的决策等功能。
CIDF 将通信机制分成了三层模型:GDIO层、消息层和协商传输层。从而保证了各个组件之间的通信安全和效率。
2、入侵检测系统的分析方法
在入侵检测领域中,入侵检测技术基本上被划分为三个大类,它们分别是误用检测(Misuse Detection) 技术、异常检测(^nomalyoetection)技和特征检测(Character Detection )。
基于主机的入侵检测系统(HIDS )
基于主机的入侵检测系统为早期的入侵检测系统,其主要目标是检测主机系统是否受到外部或内部的攻击,以及系统本地用户是否有滥用或误用行为。检测原理是根据主机的审计数据和系统日志发现可疑事件。检测系统可以运行在被检测的主机上或单独的主机上。这种类型的系统依赖于审计数据或系统日志的准确性和完整性以及安全事件的定义。在现有的网络环境下,单独依靠主机的审计信息进行入侵检测难以适应网络安全的需求。
基于网络的入侵检测系统(NIDS )
基于网络的入侵检测系统通常是作为一个独立的个体放置于被保护的网络上,一般利用一个网络适配器来实时监视和分析所有通过网络进行传输的信息。一旦检测到攻击,入侵检
测系统应答模块将通过通知、报警或中断连接等方式来对攻击做出反应。基于网络的IDS 具有检测基于主机的IDS 漏掉的攻击、攻击者不易转移证据、实时检测和响应、具有良好的隐蔽性等优点。基于网络的IDS 的缺点包括防入侵欺骗的能力较差,在交换式网络环境中难以 配置,检测性能受硬件条件限制以及不能处理加密后的数据等。
分布式入侵检测系统(DIDS )
分布式入侵检测系统也称作混合型入侵检测系统。它综合了基于主机和基于网络的IDS 的功能。DIDS 的分布性表现在两个方面:首先,数据包过滤工作由分布在各网络上的探测代理完成;其次,探测代理认为可疑的数据包将根据其类型交给专用的分析层设备处理。各探测代理不仅实现信息过滤,同时对所在系统进行监视;而分析层和管理层可对全局的信息进行关联性分析,这样对网络信息进行分流,既可以提高检测速度,解决检测效率低的问题,又增强了DIDS 本身防御拒绝服务攻击的能力。 现有的IDS 的分类,大都基于信息源和分析方法。为了体现对IDS 从布局、采集、分析、响应等各个层次及系统性研究方面的问题,在这里采用五类标准:控制策略、同步技术、信息源、分析方法、响应方式。
按照控制策略IDS 可以划分为,集中式IDS 、部分分布式IDS 和全部分布式IDS ;按照同步技术划分,IDS 划分为间隔批任务处理型IDS 和实时连续性IDS ;按照信息源分类是目前最通用的划分方法,它分为基于主机的IDS 、基于网络的IDS 和分布式IDS ;按照分析方法IDS 划分为滥用检测型IDS 和异常检测型IDS ;按照响应方式IDS 划分为主动响应IDS 和被动响应IDS 。
2、1 误用检侧技术(Misuse Detection)
误用检测也称特征检测或基于知识的检测,指运用已知攻击方法,根据己定义好的入侵模式,通过判断这些入侵模式是否出现来检测。但系统依赖性强,且检测受己知知识的限制。此外,难检检测出内部人员的入侵行为。
典型的有以下几种: 专家系统:通过将安全专家的知识表示成IF 一THEN 规则形成专家知识库,然后,运用推理算法进行检测入侵。 模式匹配:将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。 模型推理:结合脚本攻击推理出入侵行为是否出现。其中有关攻击者行为的知识被描述为:攻击者的目的,攻击者达到此目的的可能行为步骤,以及对系统的特殊使用。根据这些知识建立攻击脚本库,脚本由攻击行为组成。 统计检测分析:常用的检测值有审计事件的数量、间隔时间、资源消耗情况。主要有操作模型、方差模型、多元模型、马尔可夫过程模型、时间序列模型这5种。 状态转
换分析:将状态图应用于入侵行为的分析. 状态转换法是将入侵过程看做一个行为序列,这个行为序列导致从初始状态转入侵状态。
2、2 异常检测技术(Anomaly Detection)
异常检测根据使用者的行为或资源使用状况来判断是否入侵,而不依赖于具体的行为是否出现来检测,所以也被称为基于行为的入侵检测。基于行为的入侵检测与系统相对无关,通用性较强,它甚至可能检测出以前从未出现过的攻击方法,不像基于知识的检测那样受已知脆弱性的限制。但因为不能对整个系统内的所有用户进行为全面的描述,况且每个用户的行为是经常改变的,所以它的主要缺陷在于误检率很高,典型的有以下几种:
统计分析:检测器根据用户网络的特征为每个用户建立一个用户特征表,通过比较当前特征与已存储定型的以前特征,从而判断是否有异常行为。用于描述特征的变量类型有操作密度、审计记录分布、范畴尺度、数值尺度。
神经网络:模拟生物的神经结构以及其处理信息的方式来进行计算的一种算法,适用不精确模型。基于神经网络的入侵检测系统具有普遍性,可以对多个用户采用相同的检测措施。它可以通过自学习从要分析的数据中提取正常用户或系统活动的特征模式,而不必对大量的数据进行存储,精简了系统的设计。
2、3 特征检测(Character Detection)
特征检测关注的是系统本身的行为,定义系统行为轮廓,并将系统行为与轮廓进行比较,将未指明为正常行为的事件定义为入侵。特征检测系统常采用某种特征语言定义系统的安全策略。特征检测最大的优点是可以通过提高行为特征定义的准确度和覆盖范围,大幅度降低漏报和错报率。最大的不足是要求严格定义安全策略,这需要经验和技巧。
由于这些检测各有优缺点,因此许多实际入侵检测系统的实现通常同时采用两种以上方法。
3、入侵检测系统的结构分析
snort 是一个强大的清量级的网络入侵检测系统。它具有实时数据流量分析和日志ip 网络数据包的能力,能够进行协议分析,对内容搜索/匹配。它能够检测各种不同的攻击方式,对攻击进行实时警报。此外,snort 具有很好的扩展性和可移植性。事实上,目前流行的很多实用IDS 系统大多不同程度上从Snor 中吸取营养,特别是它的程序模块结构,很值得借鉴。人们可以从分析Snort 着手,对相关的模块进行改进,添加上自己所需功能的代码,来开展新的课题研究。 Sniffer即嗅探器:Snort 没有自己的捕包工具,它使用一个外部的捕包程序库Libpcap 从物理链路上进行捕包。Libpcap 可以运行在任何一种流行的硬件和操作系统的组合中,这使得Snort 成为一个真正的与平台无关的应用程序。 预处理器:以可插入模块的形式存在于Sniffer 和检测引擎之间。这种插件机制使程序具有很强的扩展性,模块性强,程序易读。检测引擎:Snort 的核心部件,主要功能是规则分析和特征检测。当数据包从预处理器送过来后,检测引擎依据预先设置的规则检查数据包,一旦发现数据包中的内容和某条规则相匹配,就通知报警模块。 Snort的规则在逻辑上分为两部分:规则头(Rule Header )和规则选项(Rule Option )。 规则头中包含的是所有规则所共有的一些属性,规则选项则是包含修改检测的一些选项。例如,在已经给出的snort 库文件中45条CGI-BIN 探测检测规则,它们有共同的目的IP 地址和端口。为了加快检测进程,这些共同的资源将被放在同一个规则头中,而它们各自独立的检测信号则保存在规则选项结构中。
4、入侵检测技术的发展方向
在入侵检测技术发展的同时,入侵技术也在日新月异。高速网络,尤其是交换技术的发展以及通过加密信道的数据通信,使得通过共享网段侦听的网络数据采集方法显得不足,而大量的通信量对数据分析也提出了新的要求。近年对入侵检测技术技术有几个主要发展方向:
4、1 分布式入侵检测
分布式入侵检测。包含两层含义:一是针对分布式网络攻击的检测方法;二是使用分布式的方法来检测入侵攻击,其关键技术为检测信息的协同处理与入侵攻击全局信息的提取。分布式入侵检测技术与通用入侵检测技术架构。传统的IDS 一般局限于单一的主机或网络架构,对异构系统及大规模的网络的监测明显不足。同时不同的IDS 系统之间不能协同工作能力,为解决这一问题,需要分布式入侵检测技术技术与通用入侵检测技术架构。
4、2 智能化入侵检测
智能化入侵检测。即使用智能化的方法与手段来进行入侵检测。利用专家系统的思想来构建入侵检测系统也是常用的方法之一,特别是具有自学能力及自适应能力的专家系统,它实现了知识库的不断更新与扩展,使设计的入侵检测系统的防范能力不断增强,具有更广泛的应用前景。入侵方法越来越多样化与综合化,尽管已经有智能体、神经网络与遗传算法在入侵检测技术领域应用研究,但是这只是一些尝试性的研究工作,需要对智能化的IDS 加以进一步的研究以解决其自学习与自适应能力。
4、3 全面的安全防御方案
全面的安全防御方案。使用安全工程风险管理的思想与方法来处理网络安全问题,将网络安全作为一个整体工程来处理,从管理、网络结构、加密通道、防火墙、病毒防护和入侵检测等多方位对所关注的网络作全面的评估然后提出可行的全面解决方案。
4、4 应用层入侵检测技术
应用层入侵检测技术。许多入侵的语义只有在应用层才能理解,而目前的IDS 仅能检测技术如WEB 之类的通用协议,而不能处理如LotusNotes 、数据库系统等其他的应用系统。许多基于客户、服务器结构与中间件技术及对象技术的大型应用,需要应用层的入侵检测技术保护。
4、5 互操作性亟待提高
互操作性亟待提高。目前,IDS 的研究基本上还处于各自为政的山大王纷争时代,不同的IDS 之间及与其他安全产品之间的互操作性很差。为了推动IDS 产品及部件之间的互操作性,DARPA 和IETF 入侵检测工作组分别制订了CIDF 和IDMEF 标准,从体系结构、API 、通信机制、语言格式等方面规范IDS 。
结束语
入侵检测作为一种积极主动的安全防护技术 ,其研究和开发越来越受到学界和业界的重视。本文对入侵检测通用模型、入侵检测系统分类和入侵检测方法等进行了评述, 分析了入侵检测的发展现状, 讨论了当前入侵检测中存在的问题并指出今后的发展趋势。
未来的入侵检测系统将会结合其它网络管理软件,形成入侵检测、网络管理、网络监控三位一体的工具。强大的入侵检测软件的出现极大的方便了网络的管理,其实时报警为网络安全增加了又一道保障。尽管在技术上仍有许多未克服的问题,但正如攻击技术不断发展一样,入侵的检测也会不断更新、成熟。同时要及时修补网络中的安全漏洞,否则安全也无从谈起。
随着技术的进步和应用环境的变化,入侵检测技术也出现了一些新的发展动向,具体发展的趋势如下:
1) 分布式入侵检测。这个概念有两层含义:第一层,即针对分布式网络攻击的检测方法;第二层即使用分布式的方法来检测分布式的攻击,其中的关键技术为检测信息的协同处理与入侵攻击的全局信息的提取。
2) 智能化入侵检测。即使用智能化的方法与手段来进行入侵检测。所谓的智能化方法,现阶段常用的有神经网络、遗传算法、模糊技术、免疫原理等方法,这些方法常用于入侵特征的辨识与泛化。
3) 全面的安全防御方案。即使用安全工程风险管理的思想与方法来处理网络安全问题,将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、入侵检测多方位全面对所关注的网络作全面的评估,然后提出可行的全面解决方案。
4) IPs入侵防御系统。即由被动的入侵检测向主动的防御去发展,IPS 能够进行实时监控,具备智能处理功能,可以主动阻截和转发数据包。
5) 高速化、硬件化。网络基础设施建设的飞速发展预示着下一代网络必然是高速宽带
网,因此有必要提高IDS 的处理速度来满足应用要求。这其中零拷贝技术、硬件化的探测器、负载平衡技术都值得考虑。
参考文献
[1] Pegioannj L.Development of an Architecture for Packer Capture and Network Traffic Analysis[C].Politecnico di Rorino,2000.
[2] 宋劲松. 网络入侵检测:分析、发现和报告攻击[M].北京:国防工业出版社,2005.
[3] 卿斯汉. 安全协议20年研究进展[J].软件学报,2003,14(10):1740-1752.
[4] 黄慧. 针对黑客攻击网络的预防措施[J].网络安全技术与应用,2006(1):27,41-44.
[5] 蓝天明. 基于神经网络的入侵检测技术的研究[D].南昌大学,2006. [注:该文章
[6] W Lee, S J Stolfo, P K Chan. Real-time DataMining-based Intrusion Detection[C]. Proceedings of the DARPA Information Survivability Conference and Exposition II (D ISCEXII) , Anaheim, CA: IEEE Computer Society, 2001. 85-100.
[7]阮耀平, 易江波, 赵战生. 计算机系统入侵检测模型与方法[J].计算机工程.1999.
[8] 刘春颂, 杨寿保, 杜滨. 基于网络的入侵检测系统及其实现[J]. 计算机应用, 2003, 23 (2).
[9] 连一峰, 戴英侠, 胡艳, 等. 分布式入侵检测方法研究[J]. 计算机研究与发展, 2003, 40 (8) : 1195-1202.
[10]Anderson J P. Computer security threat monitoring and surveillance [P].PA 19034,USA , 1980.4 .
[11]Denning D E .An Intrusion-Detection Model [A] . IEEE Symp on Security & Privacy[C],1986.118-131.
[12]蒋建春、冯登国. 网络入侵检测技术原理与技术. 北京:国防工业出版社,2001.7.
[13]戴连英,连一峰,王航. 系统安全与入侵检测技术. 北京:清华大学出,2002.3.
[14]吴焱等译,入侵者检测技术. 北京:电子工业出版社