论文部分内容阅读
【摘 要】 入侵防御系统的发展很迅速,已经不是一个全新的产品了,但是随着市场的需求的变化和应用领域的不同各种入侵防御系统也分别具有不同的特征,所以,目前对入侵防御系统的定义也是多种多样的,一种定义是:入侵防御系统是一种抢先的网络安全检测和防御系统,它能检测出攻击并快速做出回应。还有一种对IPS的定义:IPS是一种能够检测出网络攻击,并且在检测到攻击后能够积极主动响应攻击的软硬件网络系统。这两种定义中都说明了入侵防御系统的功能:检测与防御。本文主要讲述了入侵防御系统的关键技术,主要对IPS技术进行了概述,分析DDOS攻击技术,以及异常检测技术,对比分析了各种算法的优缺点。
【关键词】 入侵;防御;技术研究
一、入侵防御系统概述
(一)入侵防御系统的工作原理
入侵防御系统是当今网络安全领域中最常用的网络安全防护产品,它的主要功能在于检测与防御,但是入侵防御系统又不同于入侵检测系统,它会在检测到攻击后采取各种响应方式来进行防御;防火墙可以通过多种途径阻断攻击,包括丢弃数据包、阻断连接、发送ICMP不可达数据包等,但是防火墙无法检测到攻击,它只能被动的通过用户配置规则来实现防御。入侵防御系统同时兼有入侵检测系统和防火墙的功能,可以说,入侵防御系统是入侵检测系统与防火墙发展的产物,入侵防御系统的工作方式如图1所示。
图1 IPS工作流程图
(二)入侵防御系统的优势与不足
与IDS及防火墙相比,IPS有其自身的特点,其主要优点有:
(1)积极主动防御攻击:IPS兼有IDS检测攻击的能力和防火墙防御攻击的能力,但是IPS又不是IDS与防火墙联动的组合,IPS防御攻击是主动的,并且提供了各种防御手段和措施。
(2)防御层次深灵活性强:IPS提供了多种防御手段,具有强有力的实时阻断功能,能够提前检测出已知攻击与未知攻击,并对网络攻击流量和网络入侵活动进行拦截。入侵防御系统一般重新构建协议栈,能够通过重组还原出隐藏在多个数据包中的攻击特征,并能够深入多个数据包的内容中挖掘攻击行为,从而检测出深层次的攻击。虽然入侵防御系统与入侵检测系统相比有很多优点,但是入侵防御系统也有自己的缺点:
(1)单点故障IPS一般串联在网络环境中,如果IPS出现故障,那么整个网络都会受到影响。
(2)漏报误报目前入侵防御系统和入侵检测系统都面临着入侵检测中漏报率和误报率高的情况,在这两个方面,主要是网络环境多种多样,攻击行为也是多样化的,从而导致了误报漏报率高的现象。
(3)性能瓶颈入侵防御系统是串联在网络环境中的,它需要实时捕获网络流量信息,并针对捕获的数据包进行各种检测,然后才能放行数据包,而在大规模大流量环境下,入侵防御系统如果处理能力有限或是网络流量剧增,就会导致检测效率防御效率大减,网络拥塞现象,这也是入侵防御系统和入侵检测系统相比的一大缺点。
(4)灵活性:入侵防御系统的功能庞大,它不仅需要完成入侵检测还需要具有入侵防御的能力,在功能设计上入侵防御系统是一个复杂的系统,功能和模块比较多,在不同的网络环境下,有些模块是不需要的,但是一款IPS在使用时并不能根据具体需求来安装或是删除某个模块。
二、拒绝服务攻击及检测技术分析与研究
(一)拒绝服务攻击分类及基本原理
拒绝服务攻击目的是通过发起攻击使计算机或网络的正常服务无法得到满足。随着网络的发展,近些年又出现了分布式拒绝服务攻击,DDOS攻击和DOS攻击并不相同,DOS攻击一般通过利用网络协议栈的漏洞进行攻击,而DDOS攻击的第一步是控制大量的计算机,这些计算机统称为“僵尸”,攻击的第二步是控制这些计算机向目标机同时发送海量网络数据包,以达到消耗服务器资源或是阻塞网络的目的。相对于DOS,分布式拒绝服务攻击的特点是攻击的强度大,一旦开始攻击,在短时间内就会有大量的攻击数据包涌向攻击目标,从而导致无法获得正常服务。
(二)基于检测模式的检测算法
DDOS攻击具有复杂多样的特点,DDOS攻击的检测方法也多种多样,从不同的角度可以分为不同的检测算法,根据检测模式的不同,可以把DDOS攻击的检测算法分为三种:基于误用、基于异常以及混合式的DDOS攻击检测算法。
(1)基于异常的DDOS攻击检测
在DDOS攻击检测的模型中,大多是基于异常的检测方法。网络审计系统是最常见的异常检测模型,基于异常的DDOS攻击检测也是利用审计系统记录网络的异常信息,然后监视审计系统记录的结果,根据记录的结果来判断是否出现违反安全的事件行为。
(2)基于误用的DDOS攻击检测
误用检测技术主要基于构建的特征库,使用特征匹配来作为判断是否发生异常的依据。基于误用的DDOS攻击检测技术关键点有两个,第一是如果利用收集的DDOS攻击信息构建一个健全的特性库,第二是如果提取出能够表征DDOS攻击的特征信息,在检测时,使用提取出的特征信息与DDOS攻击特征库相比较作为判断是否发生DDOS攻击的依据,如果匹配了则认为发生了攻击。
(3)基于混合模式的DDOS攻击检测
无论是基于异常的或是基于误用的分布式拒绝服务攻击检测,都有其优点与不足,在对DDOS攻击检测时为了充分利用两种检测机制的优点,提出了基于混合模式的DDOS攻击检测方法,这种方法就是将基于异常的DDOS攻击检测和基于误用的DDOS攻击检测方法混合使用,这种混合的检测模型不仅能够检测出已知的攻击,而且可以检测出未知的攻击,这是基于异常的DDOS攻击检测算法的优点;由于可以提前过滤掉未知的攻击行为,再结合基于误用的DDOS攻击检测技术就能够提高检测率,降低漏报误报率。基于混合模式的DDOS攻击检测模型一般由两个部分,首先利用异常检测模块完成攻击的检测,检测出攻击后提取出攻击的特征信息并存入误用检测的特征库中,然后就可以使用误用检测的特征库来检测已知的攻击了。 (三)DDOS攻击防御技术
目前,针对DDOS攻击,提出了多种检测及防御机制,但是无论哪种防御机制都无法从根本上杜绝DDOS攻击,只是从不同的方面在一定程度上缓解或是降低DDOS攻击的影响。预防机制是通过消除DDOS攻击的可能性以及潜在的攻击行为来防御DDOS。攻击,从而保证对合法的用户不会拒绝服务。而反映机制需要在攻击发生时尽量减少攻击对受害者的影响,它需要检测出攻击并提供对应的防御策略来响应攻击。
三、常用的异常检测技术研究
(一)基于数据挖掘的异常检测
数据挖掘(Data Mining)技术是一种可以从大型数据集合中提取出有用的、新颖的、有规律的、具有潜在价值信息的技术,它是一种特定应用数据分析过程,它能够从大规模的数据集中挖掘出有价值的信息或是隐藏的规律信息,能够为构建数学模型提供强有力的依据。数据挖掘的应用范围非常广泛,主要包括机器学习、人工智能等技术领域。
(二)基于神经网络的异常检测技术
目前的神经网络模型中,主要有以下两个模型算法:
(1)BP(Back Propagation)神经网络:在神经网络检测模型中,误差反向传播算法BP得到了广泛的应用,目前大部分的神经网络模型都是基于该算法。BP神经网络的组成如图2所示:
图2 BP神经网络的组成
(2)RBF(Radial Basis Function)神经网络:RBF神经网络是径向基函数神经网络,RBF的体系结构与BF模型类似,是三层前馈型神经网络,它的工作原理是:任何函数都可以用一系列径向基函数的线性组合来近似表示,也就是使用径向基函数表示隐含层,径向基函数是一种非线性函数,这些非线性函数是关于中心点对称的,当对称的中心确定后,就可以把输入直接映射到隐含层空间。网络结构如图3所示:
图3 RBF神经网络模型
(三)基于人工免疫的入侵检测技术
免疫系统可以保护人体不受病毒、细菌、毒素、寄生虫等的危害,网络的安全防护与检测系统类似于人体的免疫系统,它检测出攻击与异常行为,直接提供防御措施或是通过产生各种类型的告警信息来提醒管理员。基于免疫的入侵检测防御模型中,把所有活动分为两种类型,其中“自我”行为是授权用户的合法行为、正常的通信活动等,而“非我”行为是那种非授权的用户、外来的病毒、木马等行为。免疫检测模型分为训练期和检测期两个阶段,训练期是指在正常无攻击的网络环境中收集网络行为活动的特征字符串,构建成“自我”字符串部分,然后根据收集的字符串,构建一个“自我集”,该阶段系统运行必须处于安全环境下;第二个阶段是检测阶段,在检测阶段首先检测引擎提取出网络活动字符串,然后与自我集进行匹配运算,如果匹配则说明该串是自我集的组成部分,是安全的,如果不匹配则认为是非自我集的部分,属于异常入侵行为。
四、异常检测技术存在的问题及发展方向
异常检测算法中像基于统计、基于数据挖掘、基于贝叶斯的检测算法已经发展了好几年,在实际网络环境中得到了验证,也取得了很好的检测效果;而基于神经网络的异常检测、基于免疫的异常检测算法等还处于研究阶段,目前在测试环境下检测效果非常优秀,但是在真实网络环境下还没有投入实际的应用。目前,异常检测中误报率高成为了异常检测的不足,误报会把正常的网络流量或是网络行为误判为异常行为,从而产生错误的告警信息,给网络安全防护带来一定的困难。其次目前异常攻击种类在不断增多,攻击的隐蔽性越来越强,提高算法的检测率一直是异常检测领域的研究热点。
网络带宽在不断增加,IPS或是IDS一般是部署在高速骨干结点之上,不少异常检测技术在小规模环境下取得了相当优越的检测率和误报率,但是一旦放在高速环境下,检测率明显下降,所以能否适应高速网络环境,并且在高速环境下能及时检测出异常行为是异常检测未来几年的研究重点。
五、结束语
入侵防御系统是在入侵检测系统的基础之上发展起来的,但是入侵防御系统与入侵检测系统有很大的不同,入侵防御系统不仅仅能够检测出已知攻击和未知攻击,还能够积极主动的响应攻击,对攻击进行防御。
参考文献:
[1]魏强.基于Snort的IPS研究[D].华中科技大学,2011.05
[2]宋骏飞.Internet防火墙的设计与实现[D].南京理工大学,2011.4,15
[3]翁文祥.基于高性能网络处理器的NIPS设计与实现[D].上海交通大学:信息安全工程学院,2009.1,25
[4]黄刚.入侵防御系统关键技术的研究[J].网络安全技术与应用,2008.05:32-34
[5]张明蒙,赵天福.DDOS攻击检测技术研究[J].计算机与信息技术,2007.04:59-61
[6]冯江.DDOS攻击的检测与防御研究[D].江南大学:计算机学院,2009.08,30-33
【关键词】 入侵;防御;技术研究
一、入侵防御系统概述
(一)入侵防御系统的工作原理
入侵防御系统是当今网络安全领域中最常用的网络安全防护产品,它的主要功能在于检测与防御,但是入侵防御系统又不同于入侵检测系统,它会在检测到攻击后采取各种响应方式来进行防御;防火墙可以通过多种途径阻断攻击,包括丢弃数据包、阻断连接、发送ICMP不可达数据包等,但是防火墙无法检测到攻击,它只能被动的通过用户配置规则来实现防御。入侵防御系统同时兼有入侵检测系统和防火墙的功能,可以说,入侵防御系统是入侵检测系统与防火墙发展的产物,入侵防御系统的工作方式如图1所示。
图1 IPS工作流程图
(二)入侵防御系统的优势与不足
与IDS及防火墙相比,IPS有其自身的特点,其主要优点有:
(1)积极主动防御攻击:IPS兼有IDS检测攻击的能力和防火墙防御攻击的能力,但是IPS又不是IDS与防火墙联动的组合,IPS防御攻击是主动的,并且提供了各种防御手段和措施。
(2)防御层次深灵活性强:IPS提供了多种防御手段,具有强有力的实时阻断功能,能够提前检测出已知攻击与未知攻击,并对网络攻击流量和网络入侵活动进行拦截。入侵防御系统一般重新构建协议栈,能够通过重组还原出隐藏在多个数据包中的攻击特征,并能够深入多个数据包的内容中挖掘攻击行为,从而检测出深层次的攻击。虽然入侵防御系统与入侵检测系统相比有很多优点,但是入侵防御系统也有自己的缺点:
(1)单点故障IPS一般串联在网络环境中,如果IPS出现故障,那么整个网络都会受到影响。
(2)漏报误报目前入侵防御系统和入侵检测系统都面临着入侵检测中漏报率和误报率高的情况,在这两个方面,主要是网络环境多种多样,攻击行为也是多样化的,从而导致了误报漏报率高的现象。
(3)性能瓶颈入侵防御系统是串联在网络环境中的,它需要实时捕获网络流量信息,并针对捕获的数据包进行各种检测,然后才能放行数据包,而在大规模大流量环境下,入侵防御系统如果处理能力有限或是网络流量剧增,就会导致检测效率防御效率大减,网络拥塞现象,这也是入侵防御系统和入侵检测系统相比的一大缺点。
(4)灵活性:入侵防御系统的功能庞大,它不仅需要完成入侵检测还需要具有入侵防御的能力,在功能设计上入侵防御系统是一个复杂的系统,功能和模块比较多,在不同的网络环境下,有些模块是不需要的,但是一款IPS在使用时并不能根据具体需求来安装或是删除某个模块。
二、拒绝服务攻击及检测技术分析与研究
(一)拒绝服务攻击分类及基本原理
拒绝服务攻击目的是通过发起攻击使计算机或网络的正常服务无法得到满足。随着网络的发展,近些年又出现了分布式拒绝服务攻击,DDOS攻击和DOS攻击并不相同,DOS攻击一般通过利用网络协议栈的漏洞进行攻击,而DDOS攻击的第一步是控制大量的计算机,这些计算机统称为“僵尸”,攻击的第二步是控制这些计算机向目标机同时发送海量网络数据包,以达到消耗服务器资源或是阻塞网络的目的。相对于DOS,分布式拒绝服务攻击的特点是攻击的强度大,一旦开始攻击,在短时间内就会有大量的攻击数据包涌向攻击目标,从而导致无法获得正常服务。
(二)基于检测模式的检测算法
DDOS攻击具有复杂多样的特点,DDOS攻击的检测方法也多种多样,从不同的角度可以分为不同的检测算法,根据检测模式的不同,可以把DDOS攻击的检测算法分为三种:基于误用、基于异常以及混合式的DDOS攻击检测算法。
(1)基于异常的DDOS攻击检测
在DDOS攻击检测的模型中,大多是基于异常的检测方法。网络审计系统是最常见的异常检测模型,基于异常的DDOS攻击检测也是利用审计系统记录网络的异常信息,然后监视审计系统记录的结果,根据记录的结果来判断是否出现违反安全的事件行为。
(2)基于误用的DDOS攻击检测
误用检测技术主要基于构建的特征库,使用特征匹配来作为判断是否发生异常的依据。基于误用的DDOS攻击检测技术关键点有两个,第一是如果利用收集的DDOS攻击信息构建一个健全的特性库,第二是如果提取出能够表征DDOS攻击的特征信息,在检测时,使用提取出的特征信息与DDOS攻击特征库相比较作为判断是否发生DDOS攻击的依据,如果匹配了则认为发生了攻击。
(3)基于混合模式的DDOS攻击检测
无论是基于异常的或是基于误用的分布式拒绝服务攻击检测,都有其优点与不足,在对DDOS攻击检测时为了充分利用两种检测机制的优点,提出了基于混合模式的DDOS攻击检测方法,这种方法就是将基于异常的DDOS攻击检测和基于误用的DDOS攻击检测方法混合使用,这种混合的检测模型不仅能够检测出已知的攻击,而且可以检测出未知的攻击,这是基于异常的DDOS攻击检测算法的优点;由于可以提前过滤掉未知的攻击行为,再结合基于误用的DDOS攻击检测技术就能够提高检测率,降低漏报误报率。基于混合模式的DDOS攻击检测模型一般由两个部分,首先利用异常检测模块完成攻击的检测,检测出攻击后提取出攻击的特征信息并存入误用检测的特征库中,然后就可以使用误用检测的特征库来检测已知的攻击了。 (三)DDOS攻击防御技术
目前,针对DDOS攻击,提出了多种检测及防御机制,但是无论哪种防御机制都无法从根本上杜绝DDOS攻击,只是从不同的方面在一定程度上缓解或是降低DDOS攻击的影响。预防机制是通过消除DDOS攻击的可能性以及潜在的攻击行为来防御DDOS。攻击,从而保证对合法的用户不会拒绝服务。而反映机制需要在攻击发生时尽量减少攻击对受害者的影响,它需要检测出攻击并提供对应的防御策略来响应攻击。
三、常用的异常检测技术研究
(一)基于数据挖掘的异常检测
数据挖掘(Data Mining)技术是一种可以从大型数据集合中提取出有用的、新颖的、有规律的、具有潜在价值信息的技术,它是一种特定应用数据分析过程,它能够从大规模的数据集中挖掘出有价值的信息或是隐藏的规律信息,能够为构建数学模型提供强有力的依据。数据挖掘的应用范围非常广泛,主要包括机器学习、人工智能等技术领域。
(二)基于神经网络的异常检测技术
目前的神经网络模型中,主要有以下两个模型算法:
(1)BP(Back Propagation)神经网络:在神经网络检测模型中,误差反向传播算法BP得到了广泛的应用,目前大部分的神经网络模型都是基于该算法。BP神经网络的组成如图2所示:
图2 BP神经网络的组成
(2)RBF(Radial Basis Function)神经网络:RBF神经网络是径向基函数神经网络,RBF的体系结构与BF模型类似,是三层前馈型神经网络,它的工作原理是:任何函数都可以用一系列径向基函数的线性组合来近似表示,也就是使用径向基函数表示隐含层,径向基函数是一种非线性函数,这些非线性函数是关于中心点对称的,当对称的中心确定后,就可以把输入直接映射到隐含层空间。网络结构如图3所示:
图3 RBF神经网络模型
(三)基于人工免疫的入侵检测技术
免疫系统可以保护人体不受病毒、细菌、毒素、寄生虫等的危害,网络的安全防护与检测系统类似于人体的免疫系统,它检测出攻击与异常行为,直接提供防御措施或是通过产生各种类型的告警信息来提醒管理员。基于免疫的入侵检测防御模型中,把所有活动分为两种类型,其中“自我”行为是授权用户的合法行为、正常的通信活动等,而“非我”行为是那种非授权的用户、外来的病毒、木马等行为。免疫检测模型分为训练期和检测期两个阶段,训练期是指在正常无攻击的网络环境中收集网络行为活动的特征字符串,构建成“自我”字符串部分,然后根据收集的字符串,构建一个“自我集”,该阶段系统运行必须处于安全环境下;第二个阶段是检测阶段,在检测阶段首先检测引擎提取出网络活动字符串,然后与自我集进行匹配运算,如果匹配则说明该串是自我集的组成部分,是安全的,如果不匹配则认为是非自我集的部分,属于异常入侵行为。
四、异常检测技术存在的问题及发展方向
异常检测算法中像基于统计、基于数据挖掘、基于贝叶斯的检测算法已经发展了好几年,在实际网络环境中得到了验证,也取得了很好的检测效果;而基于神经网络的异常检测、基于免疫的异常检测算法等还处于研究阶段,目前在测试环境下检测效果非常优秀,但是在真实网络环境下还没有投入实际的应用。目前,异常检测中误报率高成为了异常检测的不足,误报会把正常的网络流量或是网络行为误判为异常行为,从而产生错误的告警信息,给网络安全防护带来一定的困难。其次目前异常攻击种类在不断增多,攻击的隐蔽性越来越强,提高算法的检测率一直是异常检测领域的研究热点。
网络带宽在不断增加,IPS或是IDS一般是部署在高速骨干结点之上,不少异常检测技术在小规模环境下取得了相当优越的检测率和误报率,但是一旦放在高速环境下,检测率明显下降,所以能否适应高速网络环境,并且在高速环境下能及时检测出异常行为是异常检测未来几年的研究重点。
五、结束语
入侵防御系统是在入侵检测系统的基础之上发展起来的,但是入侵防御系统与入侵检测系统有很大的不同,入侵防御系统不仅仅能够检测出已知攻击和未知攻击,还能够积极主动的响应攻击,对攻击进行防御。
参考文献:
[1]魏强.基于Snort的IPS研究[D].华中科技大学,2011.05
[2]宋骏飞.Internet防火墙的设计与实现[D].南京理工大学,2011.4,15
[3]翁文祥.基于高性能网络处理器的NIPS设计与实现[D].上海交通大学:信息安全工程学院,2009.1,25
[4]黄刚.入侵防御系统关键技术的研究[J].网络安全技术与应用,2008.05:32-34
[5]张明蒙,赵天福.DDOS攻击检测技术研究[J].计算机与信息技术,2007.04:59-61
[6]冯江.DDOS攻击的检测与防御研究[D].江南大学:计算机学院,2009.08,30-33