計算機網絡入侵檢測系統

趙永青

摘要:隨著網絡技術的快速發展,網絡入侵事件的發生也漸漸的增多。從網絡安全立體、縱深、多層次防御的角度出發,入侵檢測系統和技術得到的高度重視。本文在對計算機網絡入侵檢測系統的介紹的基礎上,重點對其工作過程及關鍵技術和當前存在的問題進行了研究和分析。

關鍵詞:網絡技術;網絡入侵;檢測系統

引言

計算機技術的飛速發展,信息網絡已經成為社會發展的重要保證。借助于計算機網絡環境,人們實現了跨地區的電子銀行、電子商務、電子政務、電子家務、金融網絡、制造資源管理和網絡虛擬社區等多種應用。但由于計算機網絡具有聯結形式多樣性、終端分布不均勻性和網絡的開放性、互連性等特征,致使計算機網絡易受黑客、惡意軟件和其他不軌行為的攻擊,網上信息的安全和保密成為一個至關重要的問題。同時,現有系統及一些應用軟件中普遍存在著的漏洞,使得信息安全和系統安全問題在網絡環境下變得越來越突出。入侵檢測作為安全防范的最后一道防線,可以及時發現系統漏洞及入侵動機和行為、促使管理人員及時修正、顯著地減少被入侵的可能性和可能造成的損失。

1 入侵檢測系統概述

1.1 入侵檢測系統概念

入侵檢測系統(Intrusion Detection System,簡稱IDS)是信息安全體系結構中的一個重要環節,是對防火墻的必要補充,是一種積極主動的安全防護技術,通過對計算機網絡或計算機系統中的若干關鍵點收集信息并對其進行分析,監視主機系統或是網絡上的用戶活動,從中發現網絡或系統中是否有違反安全策略的行為和可能存在的入侵行為。入侵檢測系統按照數據來源分為基于主機和基于網絡兩種,入侵檢測分析技術分異常入侵檢測和誤用入侵檢測。

1.2 入侵檢測系統的發展

早期的入侵檢測檢測方法簡單,大多數都是基于主機的。隨著網絡應用的迅速普及和入侵檢測技術的進一步發展,基于網絡的安全監視系統第一次將網絡流作為數據源,使得IDS開始面向網絡。1994年,普渡大學推出了適用于大規模網絡的分布式入侵檢測系統。隨著廣域網的不斷發展和黑客攻擊技術的提高,早期集中式的網絡入侵檢測系統已不再適用于大型的網絡,于是就有了用于大型網絡的分布式入侵檢測系統。目前,對廣域網范圍的入侵活動的檢測和必要的入侵反應機制,如自動恢復、對入侵者進行跟蹤等,是網絡入侵檢測系統研究的重點。

2 入侵檢測系統的工作流程

2.1 信息收集

入侵檢測的第一步是信息收集,內容包括系統、網絡、數據及用戶活動的狀態和行為;而且需要在計算機網絡系統中的若干不同關鍵點收集信息。這除了盡可能擴大檢測范圍的因素外,還有一個重要的原因就是從一個源來的信息有可能看不出疑點,但從幾個源來的信息的不一致性卻是可疑行為或入侵的最好標識。

2.2 信息分析

對收集到的有關系統、網絡、數據及用戶活動的狀態和行為等信息,一般通過三種技術手段進行分析:模式匹配、統計分析和完整性分析其中前兩種方法用于實時的入侵檢測,而完整性分析則多用于事后分析。

模式匹配就是將收集到的信息與已知的網絡入侵和系統誤用特定的模板進行比較,從而發現違背安全策略的行為。一般來講,一種進攻模式可以用一個過程或一個輸出來表示。該方法的一大優點是只需收集相關的數據集合,顯著減少系統負擔。它與病毒防火墻采用的方法一樣,檢測準確率和效率都比較高。但是,該方法存在的弱點是需要不斷的升級以對付不斷出現的入侵手法,不能識別未知入侵手段。

統計分析方法首先給系統對象創建一個統計描述,統計正常使用時的一些測量屬性。測量屬性的平均值將被用來與網絡、系統的行為進行比較,任何觀察值在正常值范圍之外時,就認為有入侵發生。其優點是可檢測到未知的入侵和更為復雜的入侵,缺點是誤報、漏報率高,且不適應用戶正常行為的突然改變。完整性分析主要關注于某個文件或對象是否被更改,通常包括文件和目錄的內容及屬性,它在發現被特洛伊化的應用程序方面特別有效。完整性分析利用強有力的加密機制-消息摘要函數能夠識別文件的變化。其優點是不管模式匹配方法和統計分析方法能否發現入侵,只要是成功的攻擊導致了文件或其它對象的任何改變,它都能夠發現。

2.3 信息存儲

為便于系統管理員對攻擊信息進行查看和分析,要將入侵檢測系統收集到的信息進行保存。存儲的信息同時也為攻擊保留了數字證據。

2.4 攻擊響應

在對攻擊信息進行分析并確定攻擊的類型后,我們要對攻擊進行相應的處理:如利用發出警報、給系統管理員發出郵件等手動干預的方式來對付攻擊,或是利用自動裝置直接處理:如切斷連接,過濾攻擊者的IP地址等。

3 入侵檢測系統需要解決的關鍵技術

3.1 入侵檢測模塊間的協作

入侵檢測模塊間的協作主要是指分析數據的共享以及不同檢測模塊之間的功能互補或增強,通過協作能夠完成在它們單獨工作時所不能實現的功能或工作目標。網絡入侵檢測系統的分布式結構框架、檢測系統功能模塊的異構性以及數據和探測器在網絡中的分布性,使得在繼承由不同的開發商開發的、具有不同檢測機制、且運行在不同系統上的入侵檢測功能模塊或檢測子系統時,必須考慮它們之間的數據共享和協作方式,必須提供數據的分布式采集、通用數據接口來實現不同探測器(檢測器)之間互操作性,并考慮分布式探測器在整個分布式入侵檢測系統中的組織方式以及探測器檢測結果的融合技術。分布式數據的共享還必須對收集到的數據進行格式轉化,以確保數據的可用性。這主要涉及網絡入侵檢測系統的功能模塊間的合作機制及其相關技術:入侵檢測系統的通信機制、功能模塊之間的協作機制、數據的預處理以及數據融合技術等。

3.2 入侵檢測數據分析的層次性

雖然每一種入侵檢測系統在概念上一致:都是由檢測器、分析器以及用戶界面組成。但具體的入侵檢測系統在分析數據的方法、采集數據以及采集數據的類型等關鍵方面還是具有很大的不同。各種入侵檢測系統在分析數據的來源上具有一定的層次,從基于應用的入侵檢測系統到跨越多網的入侵檢測系統,其分析數據的能力和監控的范圍逐漸地增強、擴寬;而且入侵檢測系統的數據可來自層次不高于它的入侵檢測系統地輸出。也就是說,入侵檢測系統的檢測結果和輸出可被在層次上不低于它的入侵檢測系統利用并作進一步的分析。

3.3 規則知識庫的建立

攻擊規則表現形式的研究是適應攻擊和入侵行為不斷變化的難點和重點,需建立適應檢測技術發展需要的規則知識庫,從而全面提高檢測的能力和效果。

入侵分類規則可通過分類學習程序自動生成的,雖消除了規則提取過程中的手工編碼和專家經驗成分。但是也存在以下問題:分類學習需要兩個前提條件:(1)有充足的訓練數據;(2)已確定好分析處理中所用的數據特征屬性。這兩點特別重要,入侵訓練數據要保證能夠覆蓋該入侵的所有模式。否則,它將無法檢測出該入侵行為的一些“沒見過”的變種。所以,首先要為訓練數據集確定一個測度,以便不斷的總結訓練數據,當新的訓練產生時更新這一測度。并且當這一測度穩定時,停止訓練數據的收集過程。其次,收集到審計數據后,對那些屬性進行分析是關系到分析效率和結果的有效性的關鍵。另外,當收集到的數據與該入侵活動無關或不能用于建立入侵檢測模型時,則不應用作訓練數據。網絡事件之間在時序上不是獨立的,因此特征屬性中也應該包括事件之間的時序統計特性。這些都是需要不斷解決的關鍵問題和技術。

4 入侵檢測系統發展趨勢

當前入侵檢測技術的主要的發展方向:(1)大規模分布式入侵檢測。傳統的入侵檢測技術一般只局限于單一的主機或網絡框架,顯然不能適應大規模網絡的監測,不同的入侵檢測系統之間也不能協同工作。因此,必須發展大規模的分布式入侵檢測技術。(2)寬帶高速網絡的實時入侵檢測技術。大量高速網絡的不斷涌現,各種寬帶接入手段層出不窮,如何實現高速網絡下的實時入侵檢測成為一個現實的問題。

參考文獻

[1]張超,霍紅衛等.入侵檢測系統概述.計算機工程與應用2004.

[2]楊小平.基于規范的入侵檢測方法.哈爾濱工程大學2005.

[3]周競.網絡入侵檢測及主動響應策略的研究.武漢理工大學2005.