论文部分内容阅读
摘要:随着计算机网络的迅速发展,网络信息量的迅猛增长,网络攻击方式也在不断翻新。同时,网络入侵检测系统也得到了很快的发展。最后展望当前入侵检测系统的研究内容和发展方向。
关键词:入侵检测;分布式入侵检测系统;安全
中图分类号:TP393 文献标识码:A文章编号:1009-3044(2007)04-10977-01
1 引言
入侵检测(IDS)是一种自动识别针对计算机和网络资源的恶意行为并采取相应的保护措施以避免系统遭到侵害、或进行适当的记录以便在遭到侵害后快速恢复系统功能的过程。
虽然IDS的功能比较全面,但并不是解决网络安全问题的“一揽子”方案,像其它所有安全产品一样,目前的IDS普遍存在一些有待克服的问题。
首先,大部分IDS系统进行攻击检测的主要依据是攻击特征,然而每天都有新的攻击技术和攻击方法出现,IDS检测出未知攻击方法的概率几乎为零,而目前几乎所有的IDS都缺乏有效的攻击特征快速更新升级策略。
其次,由于IDS要对大部分网段内部和进出网段的数据包进行过滤分析,当网络通信流量较大时,检测的实时性和有效性就大打折扣。例如,在10兆以太网上IDS可以较好地实现分析和检测,但网络容量一旦提升到100兆甚至1000兆,目前的IDS便很难做到快速反应。
此外,由于目前IDS系统的检测分析机制比较简单,基本不具备关联性分析和趋势分析能力,因此对时空跨度加大的攻击方式,如DDOS等的检测效果很不理想,这也在很大程度上影响了用户对IDS的信心。
2 IDS的改进措施
为了解决IDS所存在的问题,我们提出分布式混合IDS系统(DIDS)的设计方案。DIDS的分布式表现在两个方面,首先数据包过滤的工作由分布在各网络设备(包括联网主机)上的探测代理完成;其次,探测代理认为可疑的数据包将根据其类型交给专用的分析层设备处理。这样对网络信息进行分流,既提高了检测速度,解决了检测效率问题,又增强了DIDS本身抗击拒绝服务攻击的能力。此外,我们的DIDS综合了基于主机和基于网络IDS的功能。各探测代理不仅实现信息过滤,同时对所在系统进行监视;而分析层和管理层则可对全局的信息进行关联性分析,在一定程度上解决DDOS攻击的问题。具体而言,我们在DIDS的设计中采取了以下改进措施:
(1)为了实现IDS攻击特征库的实时更新,我们在DIDS的设计中增加一个专门的特征库检索、验证和更新引擎。
(2)采用分布式的设计,由多个独立工作相互协调的系统模块分担网络数据包的过滤与分析。
(3)设计网络信息关联性描述模型,用统计学方法分析用户的行为特征,形成用户网络行为的趋势估计,从而全面提高DIDS检测DDOS等攻击的能力。
(4)采用一些特定的网络攻击方法,对检出的网络攻击行为实施有效的反攻,使攻击者暂时或较长时间丧失进一步攻击的能力,从而提高IDS攻击响应的主动性。
3 DIDS的功能模块设计
DIDS的总体设计原则是分布式检测分析,集中式管理维护。按逻辑层次划分为管理层、分析层和检测层。其结构如图1所示。
图1 DIDS逻辑模块
管理层包含唯一的管理控制中心(CONSOLE),基于Linux/FreeBSD平台,提供图形化的用户管理界面,维护全局数据库,对各分析层和检测层模块实施控制与管理,并进行网络行为的关联性分析。管理中心需要一台独立的服务器或高档PC,可以采用Intel架构,要求有大型关系数据库支持,可以采用Linux下的MySQL。在企业网络中,DIDS管理中心服务器应该和内部数据库服务器等设备得到同等的保护。
分析层按网络结构分为Internet信息包分析和Intranet信息包分析模块,在各分析模块中按不同通信协议划分子模块;分析层接收各下属检测层模块的输入,对确认的攻击行为按照设定的响应策略采取相应的措施,如向管理层报告,或实施反攻等;分析层拥有本地数据库,该库的维护由管理层完成。每个分析层单元应该由独立的主机来实现,采用Linux/FreeBSD操作系统平台,在系统内核模块级实现分析单元,这样既保证系统效率,又可以增强系统的健壮性。分析层与代理层是松散的附属关系,其间的关系可以由图2说明。
探测代理分布在网络的各个关键服务器、主机或其它网络设备,目前设计中的代理都是以应用程序方式运行在目标系统上,因此对目标操作系统的类型有一定要求。图3描绘了DIDS各模块在实际网络环境中的设置。
图2 分析单元与探测代理之间的关系
图3 DIDS在实际网络环境中的设置
4 预期达到的性能指标
(1)有效检测各种已知的典型攻击方法;
(2)比较有效地检测时空跨度较大的攻击行为,防止目前已知的各种DDOS攻击方式。
(3)检测与反应速度明显优于现有IDS产品;
(4)主动式的攻击响应能力;
(5)图形化的用户管理界面,设置简便,平滑的扩展升级;
(6)组网方便,配置灵活,系统兼容强;
5 主要技术难点和解决思路
(1)多级分布式设计虽然可以分担信息过滤和分析工作,但为了达到关联性分析的要求,各分析单元之间必须进行有效的信息交互;同时各探测代理也需要向分析单元递交信息。如何设计并保证各系统模块之间的通信是DIDS设计的难点之一。我们的思路是为DIDS设置专用的内部网络,同时设计专门的加密通信协议。
(2)异常行为检测一直是IDS领域的难点,其关键是建立用户和系统行为的统计学模型,然后根据过往信息对后续行为进行预测。由于系统和用户的行为往往非常复杂,很难用简单的数学公式进行精确概括。而且,异常检测设计实现复杂,需要较长时间的微调才能发挥效能,虚警概率也较高。因此长期以来,大多IDS产品只采用特征检测。但是异常行为检测在许多方面优于特征检测:首先异常检测从设计上贯彻了“缺省不许”的安全策略,符合目前安全设计的基本原则;其次,利用异常检测方法可以实现系统自学;第三可以检测出新的攻击方法。而且,我们认为上述困难并不是没有办法解决:首先,简化设计思路,只针对某些特定的系统参数和用户行为进行预测;其次,设计训练学习库,简化系统微调过程;其三,采用模糊匹配算法,融合相关信息,降低虚警概率。
(3)攻击特征收集与在线更新也是DIDS需要解决的关键问题之一。首先在线获取的攻击方法必须经管理人员分析验证并编辑为特征描述,所以需要为管理员提供特征描述生成工具,生成的脚本可以手工调整。其次,系统必须设计相应的特征解释引擎以将特征库转化为系统可识别的操作命令。最后在线的特征库更新采用“推”的方式,由管理中心将更新信息发送给各分析单元和探测代理,各分析单元和探测代理正确接收后返回确认信息,管理中心将确认备案。
6 总结与展望
分布式体系结构的网络入侵检测系统中,各个检测点相互协作却又相互独立,它具有良好的伸缩性,扩展性。同时,DIDS与其他网络安全技术相结合,如防火墙、密罐、反病毒系统等,提供了完整的网络安全保障。不过在入侵检测技术发展的同时,入侵技术也在更新, DIDS还需在自动反击技术、应用层入侵检测、智能的入侵检测等方面有所突破。
参考文献:
[1]Northcutt, S著,余青霓等译.网络入侵检测分析员手册[M]. 北京:人民邮电出版社,2000.
[2]何浩,史美林,董永乐.入侵检测系统负载问题的一种解决方案[J].计算机工程与应用,2001, 37(20):48-49.
[3]王柏. 分布式计算环境[M]. 北京邮电大学出版社.
本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。
关键词:入侵检测;分布式入侵检测系统;安全
中图分类号:TP393 文献标识码:A文章编号:1009-3044(2007)04-10977-01
1 引言
入侵检测(IDS)是一种自动识别针对计算机和网络资源的恶意行为并采取相应的保护措施以避免系统遭到侵害、或进行适当的记录以便在遭到侵害后快速恢复系统功能的过程。
虽然IDS的功能比较全面,但并不是解决网络安全问题的“一揽子”方案,像其它所有安全产品一样,目前的IDS普遍存在一些有待克服的问题。
首先,大部分IDS系统进行攻击检测的主要依据是攻击特征,然而每天都有新的攻击技术和攻击方法出现,IDS检测出未知攻击方法的概率几乎为零,而目前几乎所有的IDS都缺乏有效的攻击特征快速更新升级策略。
其次,由于IDS要对大部分网段内部和进出网段的数据包进行过滤分析,当网络通信流量较大时,检测的实时性和有效性就大打折扣。例如,在10兆以太网上IDS可以较好地实现分析和检测,但网络容量一旦提升到100兆甚至1000兆,目前的IDS便很难做到快速反应。
此外,由于目前IDS系统的检测分析机制比较简单,基本不具备关联性分析和趋势分析能力,因此对时空跨度加大的攻击方式,如DDOS等的检测效果很不理想,这也在很大程度上影响了用户对IDS的信心。
2 IDS的改进措施
为了解决IDS所存在的问题,我们提出分布式混合IDS系统(DIDS)的设计方案。DIDS的分布式表现在两个方面,首先数据包过滤的工作由分布在各网络设备(包括联网主机)上的探测代理完成;其次,探测代理认为可疑的数据包将根据其类型交给专用的分析层设备处理。这样对网络信息进行分流,既提高了检测速度,解决了检测效率问题,又增强了DIDS本身抗击拒绝服务攻击的能力。此外,我们的DIDS综合了基于主机和基于网络IDS的功能。各探测代理不仅实现信息过滤,同时对所在系统进行监视;而分析层和管理层则可对全局的信息进行关联性分析,在一定程度上解决DDOS攻击的问题。具体而言,我们在DIDS的设计中采取了以下改进措施:
(1)为了实现IDS攻击特征库的实时更新,我们在DIDS的设计中增加一个专门的特征库检索、验证和更新引擎。
(2)采用分布式的设计,由多个独立工作相互协调的系统模块分担网络数据包的过滤与分析。
(3)设计网络信息关联性描述模型,用统计学方法分析用户的行为特征,形成用户网络行为的趋势估计,从而全面提高DIDS检测DDOS等攻击的能力。
(4)采用一些特定的网络攻击方法,对检出的网络攻击行为实施有效的反攻,使攻击者暂时或较长时间丧失进一步攻击的能力,从而提高IDS攻击响应的主动性。
3 DIDS的功能模块设计
DIDS的总体设计原则是分布式检测分析,集中式管理维护。按逻辑层次划分为管理层、分析层和检测层。其结构如图1所示。
图1 DIDS逻辑模块
管理层包含唯一的管理控制中心(CONSOLE),基于Linux/FreeBSD平台,提供图形化的用户管理界面,维护全局数据库,对各分析层和检测层模块实施控制与管理,并进行网络行为的关联性分析。管理中心需要一台独立的服务器或高档PC,可以采用Intel架构,要求有大型关系数据库支持,可以采用Linux下的MySQL。在企业网络中,DIDS管理中心服务器应该和内部数据库服务器等设备得到同等的保护。
分析层按网络结构分为Internet信息包分析和Intranet信息包分析模块,在各分析模块中按不同通信协议划分子模块;分析层接收各下属检测层模块的输入,对确认的攻击行为按照设定的响应策略采取相应的措施,如向管理层报告,或实施反攻等;分析层拥有本地数据库,该库的维护由管理层完成。每个分析层单元应该由独立的主机来实现,采用Linux/FreeBSD操作系统平台,在系统内核模块级实现分析单元,这样既保证系统效率,又可以增强系统的健壮性。分析层与代理层是松散的附属关系,其间的关系可以由图2说明。
探测代理分布在网络的各个关键服务器、主机或其它网络设备,目前设计中的代理都是以应用程序方式运行在目标系统上,因此对目标操作系统的类型有一定要求。图3描绘了DIDS各模块在实际网络环境中的设置。
图2 分析单元与探测代理之间的关系
图3 DIDS在实际网络环境中的设置
4 预期达到的性能指标
(1)有效检测各种已知的典型攻击方法;
(2)比较有效地检测时空跨度较大的攻击行为,防止目前已知的各种DDOS攻击方式。
(3)检测与反应速度明显优于现有IDS产品;
(4)主动式的攻击响应能力;
(5)图形化的用户管理界面,设置简便,平滑的扩展升级;
(6)组网方便,配置灵活,系统兼容强;
5 主要技术难点和解决思路
(1)多级分布式设计虽然可以分担信息过滤和分析工作,但为了达到关联性分析的要求,各分析单元之间必须进行有效的信息交互;同时各探测代理也需要向分析单元递交信息。如何设计并保证各系统模块之间的通信是DIDS设计的难点之一。我们的思路是为DIDS设置专用的内部网络,同时设计专门的加密通信协议。
(2)异常行为检测一直是IDS领域的难点,其关键是建立用户和系统行为的统计学模型,然后根据过往信息对后续行为进行预测。由于系统和用户的行为往往非常复杂,很难用简单的数学公式进行精确概括。而且,异常检测设计实现复杂,需要较长时间的微调才能发挥效能,虚警概率也较高。因此长期以来,大多IDS产品只采用特征检测。但是异常行为检测在许多方面优于特征检测:首先异常检测从设计上贯彻了“缺省不许”的安全策略,符合目前安全设计的基本原则;其次,利用异常检测方法可以实现系统自学;第三可以检测出新的攻击方法。而且,我们认为上述困难并不是没有办法解决:首先,简化设计思路,只针对某些特定的系统参数和用户行为进行预测;其次,设计训练学习库,简化系统微调过程;其三,采用模糊匹配算法,融合相关信息,降低虚警概率。
(3)攻击特征收集与在线更新也是DIDS需要解决的关键问题之一。首先在线获取的攻击方法必须经管理人员分析验证并编辑为特征描述,所以需要为管理员提供特征描述生成工具,生成的脚本可以手工调整。其次,系统必须设计相应的特征解释引擎以将特征库转化为系统可识别的操作命令。最后在线的特征库更新采用“推”的方式,由管理中心将更新信息发送给各分析单元和探测代理,各分析单元和探测代理正确接收后返回确认信息,管理中心将确认备案。
6 总结与展望
分布式体系结构的网络入侵检测系统中,各个检测点相互协作却又相互独立,它具有良好的伸缩性,扩展性。同时,DIDS与其他网络安全技术相结合,如防火墙、密罐、反病毒系统等,提供了完整的网络安全保障。不过在入侵检测技术发展的同时,入侵技术也在更新, DIDS还需在自动反击技术、应用层入侵检测、智能的入侵检测等方面有所突破。
参考文献:
[1]Northcutt, S著,余青霓等译.网络入侵检测分析员手册[M]. 北京:人民邮电出版社,2000.
[2]何浩,史美林,董永乐.入侵检测系统负载问题的一种解决方案[J].计算机工程与应用,2001, 37(20):48-49.
[3]王柏. 分布式计算环境[M]. 北京邮电大学出版社.
本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。