论文部分内容阅读
摘 要:网络安全是一门涉及计算机科学、网络技术的等多门学科的综合科学,传统的网络安全检测技术包括防火墙技术、加密技术、病毒防护技术等,但这些技术实现的却是一种较为被动的防护,其网络安全防护能力远远不能满足安全需求。网络入侵检测技术是近年来发展较快的网络安全技术之一,它具有为系统提供实时的入侵检测的能力,并且能够有效阻止系统内部的攻击。本文简要介绍了入侵检测的概念、入侵检测系统的分类以及入侵检测系统执行的主要任务,并对几种常用的网络入侵检测技术进行了探讨。
关键词:概念;分类;执行任务;检测技术
一、入侵检测的概念
入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,检测网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。
二、入侵检测系统的分类
入侵检测系统(Intrusion Detection System,简称IDS)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备,依据不同研究角度,有以下分类方式:
基于信息来源不同,可分为基于主机的入侵检测系统、基于网络的入侵检测系统以及分布式入侵检测系统。基于主机的入侵检测系统主要以用户访问主机的行为信息作为信息分析来源,适用于加密和交换环境;基于网络的入侵检测系统以所截获的数据包流量信息作为检测分析来源,在与主机基结合的入侵检测系统中,一般可用于入侵预警;分布式入侵检测系统采用分布架构,其分布在网络不同位置的探测点将收集到得信息发送给中央探测点,以此来判断是否发生入侵。
基于检测分析方法不同,可分为滥用检测入侵检测系统与异常检测入侵检测系统。滥用检测,又称为基于规则的入侵检测,主要对已知攻击行为或与已知攻击行为类似的行为进行检测。滥用检测的分析机制依赖于攻击方法或特征库的建立,它能准确的检测到某些特定攻击,但对未知攻击却无能为力。其不足主要体现在以下方面:不能检测未知攻击及攻击变体、已经建立的特征库无法自动获取与更新、当特征库较大时,运行效率低;异常检测,又称为基于行为的入侵检测,是通过建立正常行为模式,通过发现异常行为来检测攻击。
三、入侵检测系统执行的主要任务
所谓IDS就是一个能够对网络或计算机系统的活动进行实时监测的系统,它能够发现并报告网络或系统中存在的可疑迹象,为网络安全管理提供有价值的信息。IDS执行的主要任务是:(1)监视、分析用户及系统活动;(2)对系统构造和弱点的审计;(3)识别反映已知进攻的活动模式并向相关人士报警;(4)异常行为模式的统计分析;(5)评估重要系统和数据文件的完整性;(6)操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
四、入侵检测技术
1.基于专家系统的滥用检测系统。在滥用检测中,入侵过程模型及其在攻击过程中留下的踪迹是决策的基础。将专家系统用于入侵检测系统,就是依据专家知识定义入侵特征,再将被观察对象与该特征进行比较,分析是否为入侵行为。专家系统主要功能模块如下:
检测知识库:用于存放规则;推理机:用于模拟专家思维过程;数据库:用于存放获取及中间过程产生的数据;解释接口:用于对系统行为作出解释并记录推理过程。
专家系统采用基于规则的方法检测已知的入侵检测。规则包括前件和后件,前件具有比较、检验事实等功能,后件具有删除、判定事实等功能。专家检测系统功能强大,灵活性过,但也存在以下问题:不能检测未知攻击及攻击变体;知识不能自动更新;当知识数据库较大时,效率较低。
2.基于审计追踪的入侵检测。基于审计信息的入侵检测工具以及自动分析工具可以向系统安全管理员报告计算机系统活动的评估报告, 通常是脱机的、滞后的。
对攻击的实时检测系统的工作原理是基于对用户历史行为的建模,以及在早期的证据或模型的基础之上。审计系统实时地检测用户对系统的使用情况,根据系统内部保持的用户行为的概率统计模型进行监测,当发现有可疑的用户行为发生时,保持跟踪并监测该用户的行为。
系统应具备处理自适应的用户参数的能力,能够判断使用行为是合法还是可疑。这种办法同样适用于检测程序的行为以及对数据资源(如文件或数据库)的存取行为。
3.基于神经网络的入侵检测技术。基于审计统计数据的入侵检测系统,具有一些先天的弱点,因为用户的行为可以是非常复杂的,所以想要准确匹配一个用户的历史行为和当前的行为相当困难。错发的警报往往来自于对审计数据的统计算法所基于的不准确或不贴切的假设。SRI的研究小组利用和发展神经网络技术来进行入侵检测。神经网络可能用于解决传统的统计分析技术所面临的以下几个问题:难于建立确切的统计分布、难于实现方法的普适性、算法实现比较昂贵、系统臃肿难于剪裁。
目前,神经网络技术提出了对基于传统统计技术的入侵检测方法的改进方向,但尚不十分成熟,所以传统的统计方法仍将继续发挥作用,也仍然能为发现用户的异常行为提供相当有参考价值的信息。
4.基于模型推理的入侵检测技术。攻击者在入侵一个系统时往往采用一定的行为程序,如猜测口令的程序,这种行为程序构成了某种具有一定行为特征的模型,根据这种模型所代表的攻击意图的行为特征,可以实时地检测出恶意的攻击企图,尽管攻击者并不一定都是恶意的。用基于模型的推理方法,人们能够为某些行为建立特定的模型,从而能够监视具有特定行为特征的某些活动。根据假设的攻击脚本,这种系统就能检测出非法的用户行为。一般为了准确判断,要为不同的入侵者和不同的系统建立特定的攻击脚本。
当有证据表明某种特定的攻击模型发生时,系统应当收集其他证据来证实或者否定攻击的真实,以尽可能的避免错报。
为了防止过多不相干信息的干扰,用于安全目的的入侵检测系统在审计系统之外一般还配备适合系统安全策略的信息采集器或过滤器。同时,还应当充分利用来自其他信息源的信息。在某些系统内可以在不同的层次进行审计跟踪。如有些系统的安全机制中采用三级审计跟踪:审计操作系统核心调用行为的跟踪;审计用户和操作系统界面级行为的跟踪;审计应用程序内部行为的跟踪。
参考文献:
[1]王劲松.网络互联协议TCP/IP详解[M].北京:科学技术文献出版社,1993.
[2]吴应良.管理信息系统的安全问题与对策研究[J].计算机应用研究,1999.
[3]胡振昌.网络入侵检测原理与技术[M].北京:北京理工大学出版社,2005.
关键词:概念;分类;执行任务;检测技术
一、入侵检测的概念
入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,检测网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。
二、入侵检测系统的分类
入侵检测系统(Intrusion Detection System,简称IDS)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备,依据不同研究角度,有以下分类方式:
基于信息来源不同,可分为基于主机的入侵检测系统、基于网络的入侵检测系统以及分布式入侵检测系统。基于主机的入侵检测系统主要以用户访问主机的行为信息作为信息分析来源,适用于加密和交换环境;基于网络的入侵检测系统以所截获的数据包流量信息作为检测分析来源,在与主机基结合的入侵检测系统中,一般可用于入侵预警;分布式入侵检测系统采用分布架构,其分布在网络不同位置的探测点将收集到得信息发送给中央探测点,以此来判断是否发生入侵。
基于检测分析方法不同,可分为滥用检测入侵检测系统与异常检测入侵检测系统。滥用检测,又称为基于规则的入侵检测,主要对已知攻击行为或与已知攻击行为类似的行为进行检测。滥用检测的分析机制依赖于攻击方法或特征库的建立,它能准确的检测到某些特定攻击,但对未知攻击却无能为力。其不足主要体现在以下方面:不能检测未知攻击及攻击变体、已经建立的特征库无法自动获取与更新、当特征库较大时,运行效率低;异常检测,又称为基于行为的入侵检测,是通过建立正常行为模式,通过发现异常行为来检测攻击。
三、入侵检测系统执行的主要任务
所谓IDS就是一个能够对网络或计算机系统的活动进行实时监测的系统,它能够发现并报告网络或系统中存在的可疑迹象,为网络安全管理提供有价值的信息。IDS执行的主要任务是:(1)监视、分析用户及系统活动;(2)对系统构造和弱点的审计;(3)识别反映已知进攻的活动模式并向相关人士报警;(4)异常行为模式的统计分析;(5)评估重要系统和数据文件的完整性;(6)操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
四、入侵检测技术
1.基于专家系统的滥用检测系统。在滥用检测中,入侵过程模型及其在攻击过程中留下的踪迹是决策的基础。将专家系统用于入侵检测系统,就是依据专家知识定义入侵特征,再将被观察对象与该特征进行比较,分析是否为入侵行为。专家系统主要功能模块如下:
检测知识库:用于存放规则;推理机:用于模拟专家思维过程;数据库:用于存放获取及中间过程产生的数据;解释接口:用于对系统行为作出解释并记录推理过程。
专家系统采用基于规则的方法检测已知的入侵检测。规则包括前件和后件,前件具有比较、检验事实等功能,后件具有删除、判定事实等功能。专家检测系统功能强大,灵活性过,但也存在以下问题:不能检测未知攻击及攻击变体;知识不能自动更新;当知识数据库较大时,效率较低。
2.基于审计追踪的入侵检测。基于审计信息的入侵检测工具以及自动分析工具可以向系统安全管理员报告计算机系统活动的评估报告, 通常是脱机的、滞后的。
对攻击的实时检测系统的工作原理是基于对用户历史行为的建模,以及在早期的证据或模型的基础之上。审计系统实时地检测用户对系统的使用情况,根据系统内部保持的用户行为的概率统计模型进行监测,当发现有可疑的用户行为发生时,保持跟踪并监测该用户的行为。
系统应具备处理自适应的用户参数的能力,能够判断使用行为是合法还是可疑。这种办法同样适用于检测程序的行为以及对数据资源(如文件或数据库)的存取行为。
3.基于神经网络的入侵检测技术。基于审计统计数据的入侵检测系统,具有一些先天的弱点,因为用户的行为可以是非常复杂的,所以想要准确匹配一个用户的历史行为和当前的行为相当困难。错发的警报往往来自于对审计数据的统计算法所基于的不准确或不贴切的假设。SRI的研究小组利用和发展神经网络技术来进行入侵检测。神经网络可能用于解决传统的统计分析技术所面临的以下几个问题:难于建立确切的统计分布、难于实现方法的普适性、算法实现比较昂贵、系统臃肿难于剪裁。
目前,神经网络技术提出了对基于传统统计技术的入侵检测方法的改进方向,但尚不十分成熟,所以传统的统计方法仍将继续发挥作用,也仍然能为发现用户的异常行为提供相当有参考价值的信息。
4.基于模型推理的入侵检测技术。攻击者在入侵一个系统时往往采用一定的行为程序,如猜测口令的程序,这种行为程序构成了某种具有一定行为特征的模型,根据这种模型所代表的攻击意图的行为特征,可以实时地检测出恶意的攻击企图,尽管攻击者并不一定都是恶意的。用基于模型的推理方法,人们能够为某些行为建立特定的模型,从而能够监视具有特定行为特征的某些活动。根据假设的攻击脚本,这种系统就能检测出非法的用户行为。一般为了准确判断,要为不同的入侵者和不同的系统建立特定的攻击脚本。
当有证据表明某种特定的攻击模型发生时,系统应当收集其他证据来证实或者否定攻击的真实,以尽可能的避免错报。
为了防止过多不相干信息的干扰,用于安全目的的入侵检测系统在审计系统之外一般还配备适合系统安全策略的信息采集器或过滤器。同时,还应当充分利用来自其他信息源的信息。在某些系统内可以在不同的层次进行审计跟踪。如有些系统的安全机制中采用三级审计跟踪:审计操作系统核心调用行为的跟踪;审计用户和操作系统界面级行为的跟踪;审计应用程序内部行为的跟踪。
参考文献:
[1]王劲松.网络互联协议TCP/IP详解[M].北京:科学技术文献出版社,1993.
[2]吴应良.管理信息系统的安全问题与对策研究[J].计算机应用研究,1999.
[3]胡振昌.网络入侵检测原理与技术[M].北京:北京理工大学出版社,2005.