论文部分内容阅读
【摘要】计算机网络的快速发展和广泛应用,使得网络安全防范问题日益突出。为了保证计算机网络和信息的安全,掌握入侵检测方法,采取切实可行的对策和措施,保障网络及信息的安全。入侵检测是一种尝试通过观察行为,安全日志或审计数据来检测入侵的技术。它不仅检测来自外部的入侵行为,同时也对内部的未授权活动进行监督。
【关键词】IDS异常检测误用检测
1 引言
计算机网络安全不仅关系到国计民生,还与国家安全密切相关。随着计算机网络的广泛应用和网络之间数据传输的急剧增加,网络安全的重要性尤为突出。因此,现代网络技术中最关键也最容易被忽视的安全性问题,已经成为各国关注的焦点,也成为热门研究和人才需求的新领域。
入侵检测技术是为保证计算机系统的安全而设计并配置的一种能够及时发现并报告系统中未授权现象或异常现象的技术,是一种用于检测计算机网络和系统中违反安全策略行为的技术。本文分析了基于模式匹配和统计分析的入侵检测方法。
在一个实用的入侵检测系统中,最重要的部分是检测方法。检测技术主要分为误用检测和异常检测两大类,模式匹配技术属于误用检测,也是最常用的一种数据检测技术。
本文中另研究了网络入侵异常检测新技术网络流量异常检测。
2 入侵检测
2.1入侵检测简介
入侵检测系统作为一种专门用来检测和防范入侵的安全部件,无论是在理论上,还是在产品开发上,近几年都取得了很大的进展。现在,入侵检测系统已经成为整个安全防御体系的重要组成部分,是在防火墙之后的又一道安全闸门。
目前通常说的入侵就是指对系统资源的非授权操作,可造成系统数据的丢失和破坏、甚至会造成系统禁止对合法用户服务等问题。美国国际计算机安全协会(ICSA)将入侵检测定义为:通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。
违反安全策略的行为有入侵和滥用。通常来说入侵检测是对计算机和网络资源上的恶意使用行为进行识别和相应处理的过程,具有智能监控、实时探测、动态响应、易于配置等特点。入侵检测的目标就是通过检查操作系统的安全日志或网络数据包信息来检测系统中违背安全策略或危及系统安全的行为或活动,从而保护信息系统的资源免受拒绝服务攻击、防止系统数据的泄漏、篡改和破坏。传统安全机制大多针对的是外部入侵者,而入侵检测不仅可以检测来自外部的攻击,同时也可以监控内部用户的非授权行为。
在入侵检测中,主要的分析方法有两大类:一类是以系统的正常行为建模,称为异常检测技术;另一类是以系统的不正常行为建模,称为误用检测技术。误用检测对检测已知攻击比较有效,异常检测可以在一定程度上检测未知攻击。
2.2 误用检测和异常检测的特点
误用检测可以有效地检测到已知的攻击,产生的误报比较少,但需要不断地更新攻击特征库,才能够检测出比较新的攻击,因此,系统的灵活性和自适应性比较差,也比较麻烦,系统的漏报比较多。
异常检测在没有详细的特定知识条件下,可以检测出攻击的特征,产生的信息可以作为误用检测器的特征输入信息,但这种检测方式产生的误报比较多。
对于这两种入侵检测的分析方法,各有一种有代表性的检测方法,它们分别是模式匹配和统计分析。
模式匹配的方法属于误用检测,它是将收集到的信息与已知的网络入侵及系统误用模式数据库进行比较,匹配,从而发现违背安全策略的行为。模式匹配的一大优点是只需收集相关的数据集合,系统负担显著减少,且技术已相当成熟。但是,该方法存在的弱点是需要不断地升级以对付不断出现的黑客攻击手法,它不能检测到从未出现过的黑客攻击手段。
统计分析方法属于异常检测。它首先为系统对象(如用户,文件,目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数,操作失败次数等)。测量属性的平均值将被用来与网络和系统的行为进行比较,如果观察值在正常值范围之外,就认为有入侵发生。统计分析的优点是可检测到未知的入侵和更为复杂的入侵,缺点是误报、漏报率高,且不适应用户正常行为的突然改变。
3 入侵检测系统
3.1入侵检测系统简介
入侵检测系统(Intrusion Detection System ,IDS)是通过分析系统安全相关数据来检测入侵活动的系统。可以识别针对计算机系统和网络系统,或更广泛意义上的信息系统的非法攻击,包括检测外界非法入侵者的恶意攻击或试探,以及内部合法用户的超越使用权限的非法行动。入侵检测系统在功能结构上基本一致,由数据采集、数据分析及用户界面等组成,不同的入侵检测系统只是在分析采集数据方法及数据类型等方面有所不同。
作为一种主动防护技术,入侵检测系统可以在攻击发生时记录攻击者的行为、发出报警,必要时还可以追踪攻击者,可以独立运行,也可以与防火墙等安全技术协同工作,更好地保护网络安全。一个入侵检测系统能够完成监控分析用户和系统活动,发现入侵企图或异常现象,记录、报警和响应等。
目前的入侵检测系统主要分为两类:
⑴基于主机的入侵检测系统:主要用于保护某一台主机的资源不被破坏。
⑵基于网络的入侵检测系统:主要用户保护整个网络不被破坏。
3.2入侵检测信息收集技术
通常来说,IDS可以通过两种方式获得信息:
(1)网络入侵检测技术模块方式
当数据从网络的一端传向另一端时,是被封装成报文来传送。每个包包括了数据中的一段内容,在到达另一端之后,这些包再被组装起来。因此,可以通过检测网络中的报文来达到获得信息的目的。通常来说,检测技术只能够检测到本机的报文,如果要监视其他机器的报文,需要把网卡设置为混杂模式。通过在网络中放置一块入侵检测技术模块,就能监视受保护机器的数据报文。在受保护的机器即将受到攻击之前,入侵检测技术模块可最先发现它。在实际的应用中,网络结构相差极大,用户只有通过具体情况分别设计实施方案,才能让网络入侵检测技术模块检测到需要保护机器的状况。同时,网络入侵检测技术模块得到的只是网络报文,获得的信息没有主机入侵检测技术模块全面,所以检测技术的结果也没有主机入侵检测技术模块准确。网络入侵检测技术模块方式的优点是方便且不增加受保护机器的负担。在网段中只要安装一台网络入侵检测技术模块即可。
(2)主机入侵检测技术模块方式
这种技术是在受保护的机器上安装了主机入侵检测技术模块,专门负责收集受保护机器上的信息。它的信息来源可以是特定应用程序日志和系统日志,也可以是系统调用和捕获特定的进程等。这种入侵检测技术模块方式的缺点是太过依赖特定的系统平台。用户必须针对不同的操作系统开发相应的模块。
3.3入侵检测信号分析技术
通常来说,IDS有一个知识库,它保存有特定的安全策略。IDS得到信息后,与知识库中的安全策略相互比较,从而发现违规的安全策略的行为。
定义知识库的方式有很多种,最常见的方法是检测技术报文中是否含有攻击特征。此方式的实现由简单到复杂分为几个层次,主要区别在于检测技术的正确性和效率性。比较简单的实现方法是把攻击特征和报文的数据进行字符串比较,如有发现匹配即报警。但是此做法使得准确性和工作效率大大降低。
构建知识库的真正目标是正确定义入侵的行为,这是IDS的核心,也是IDS和一般的网上行为管理软件的区别。
虽然这两种技术都可以监视网络行为,但IDS扩大了记录攻击特征的知识库,因此比网上行为管理软件提高了一个档次。不过定义攻击特征是一种专业性极强的工作,故须具备丰富的安全背景的专家从大量的攻击行为中提炼出常用的攻击特征,攻击特征的准确性直接决定了IDS检测技术的准确性。
3.4网络流量的异常检测
3.4.1需要网络流量异常检测的原因
误用检测的检测准确率很高,可以给出详细的说明和攻击类型,它需要时常维护一个攻击模式库,价格也不菲;又只能检测出已知的攻击。所以异常检测就出现以应对误用检测所面临的这些问题。
现在所使用的基于流量异常的检测有许多,但传统的流量异常检测方法都存在着一定的问题:较差的可扩展性;不清晰的报警意义;共享性差。
鉴于以上问题,现提出了一种比较普遍的基于网络流量的异常检测方法。它使用无状态保留的模式和基本特征矢量来描述网络流量的状态,且通过使用基于攻击特点的流量特征组合从而使得报警意义更加清晰。
3.4.2网络流量异常检测的原理
网络流量异常检测的主体思想是将网络流量特征矢量分层划分为二层:基本特征集和组合特征集。前者是从网络流量中抽取的一些基本数据,如协议信息、流量大小、端口流量信息等等,都能一定程度上描述网络流量状态;后者则能根据情况实时改变设置。
对于一种特定的攻击行为,它就能将该攻击的基本特征作为识别。例如SYN FLOOD攻击,组合特征集就能抽取其SYN包个数、平均包长等等作为识别方法。通过曾经遇到过的基本特征集的数据对攻击行为进行学习,即能获得这种攻击组合特征集的异常和正常模型,从而通过该模型检测出这种攻击行为。同时通过学习还能优化认为选取的攻击组合特征,从而更能体现攻击行为的特点,图3.1所示。
图3.1 基于网络流量进行异常检测的原理
4结语
在计算机技术飞速发展的今天,入侵检测系统也在不断的成长,也有人们的质疑,甚至有人提到了IDS已死,更看好衍生出的IPS等等。但是对于一些高需求场合,独立的入侵检测依然是必须的,虽然能够和防火墙进行联动的部署,可防火墙的部署在外网和主机之间,其大量的资源消耗在入侵检测的分析和记录中,对于防火墙功能的效率来说是明显不利的,所以单独的入侵检测产品依然有市场,有它存在的意义。
参考文献
[1] 贾铁军,沈学东等.网络安全技术及应用[M].北京:机械工业出版社,2009.
[2] 李剑.入侵检测技术[M].北京:高等教育出版社,2008.
[3] 唐正军,李建华等.入侵检测技术[M].北京:清华大学出版社,2008.
[4] 韩东海.入侵检测系统及实例剖析[M].北京:清华大学出版社,2002.
[5] Jack Koziol.Snort入侵检测实用解决方案[M].北京:机械工业出版社,2005.
【关键词】IDS异常检测误用检测
1 引言
计算机网络安全不仅关系到国计民生,还与国家安全密切相关。随着计算机网络的广泛应用和网络之间数据传输的急剧增加,网络安全的重要性尤为突出。因此,现代网络技术中最关键也最容易被忽视的安全性问题,已经成为各国关注的焦点,也成为热门研究和人才需求的新领域。
入侵检测技术是为保证计算机系统的安全而设计并配置的一种能够及时发现并报告系统中未授权现象或异常现象的技术,是一种用于检测计算机网络和系统中违反安全策略行为的技术。本文分析了基于模式匹配和统计分析的入侵检测方法。
在一个实用的入侵检测系统中,最重要的部分是检测方法。检测技术主要分为误用检测和异常检测两大类,模式匹配技术属于误用检测,也是最常用的一种数据检测技术。
本文中另研究了网络入侵异常检测新技术网络流量异常检测。
2 入侵检测
2.1入侵检测简介
入侵检测系统作为一种专门用来检测和防范入侵的安全部件,无论是在理论上,还是在产品开发上,近几年都取得了很大的进展。现在,入侵检测系统已经成为整个安全防御体系的重要组成部分,是在防火墙之后的又一道安全闸门。
目前通常说的入侵就是指对系统资源的非授权操作,可造成系统数据的丢失和破坏、甚至会造成系统禁止对合法用户服务等问题。美国国际计算机安全协会(ICSA)将入侵检测定义为:通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。
违反安全策略的行为有入侵和滥用。通常来说入侵检测是对计算机和网络资源上的恶意使用行为进行识别和相应处理的过程,具有智能监控、实时探测、动态响应、易于配置等特点。入侵检测的目标就是通过检查操作系统的安全日志或网络数据包信息来检测系统中违背安全策略或危及系统安全的行为或活动,从而保护信息系统的资源免受拒绝服务攻击、防止系统数据的泄漏、篡改和破坏。传统安全机制大多针对的是外部入侵者,而入侵检测不仅可以检测来自外部的攻击,同时也可以监控内部用户的非授权行为。
在入侵检测中,主要的分析方法有两大类:一类是以系统的正常行为建模,称为异常检测技术;另一类是以系统的不正常行为建模,称为误用检测技术。误用检测对检测已知攻击比较有效,异常检测可以在一定程度上检测未知攻击。
2.2 误用检测和异常检测的特点
误用检测可以有效地检测到已知的攻击,产生的误报比较少,但需要不断地更新攻击特征库,才能够检测出比较新的攻击,因此,系统的灵活性和自适应性比较差,也比较麻烦,系统的漏报比较多。
异常检测在没有详细的特定知识条件下,可以检测出攻击的特征,产生的信息可以作为误用检测器的特征输入信息,但这种检测方式产生的误报比较多。
对于这两种入侵检测的分析方法,各有一种有代表性的检测方法,它们分别是模式匹配和统计分析。
模式匹配的方法属于误用检测,它是将收集到的信息与已知的网络入侵及系统误用模式数据库进行比较,匹配,从而发现违背安全策略的行为。模式匹配的一大优点是只需收集相关的数据集合,系统负担显著减少,且技术已相当成熟。但是,该方法存在的弱点是需要不断地升级以对付不断出现的黑客攻击手法,它不能检测到从未出现过的黑客攻击手段。
统计分析方法属于异常检测。它首先为系统对象(如用户,文件,目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数,操作失败次数等)。测量属性的平均值将被用来与网络和系统的行为进行比较,如果观察值在正常值范围之外,就认为有入侵发生。统计分析的优点是可检测到未知的入侵和更为复杂的入侵,缺点是误报、漏报率高,且不适应用户正常行为的突然改变。
3 入侵检测系统
3.1入侵检测系统简介
入侵检测系统(Intrusion Detection System ,IDS)是通过分析系统安全相关数据来检测入侵活动的系统。可以识别针对计算机系统和网络系统,或更广泛意义上的信息系统的非法攻击,包括检测外界非法入侵者的恶意攻击或试探,以及内部合法用户的超越使用权限的非法行动。入侵检测系统在功能结构上基本一致,由数据采集、数据分析及用户界面等组成,不同的入侵检测系统只是在分析采集数据方法及数据类型等方面有所不同。
作为一种主动防护技术,入侵检测系统可以在攻击发生时记录攻击者的行为、发出报警,必要时还可以追踪攻击者,可以独立运行,也可以与防火墙等安全技术协同工作,更好地保护网络安全。一个入侵检测系统能够完成监控分析用户和系统活动,发现入侵企图或异常现象,记录、报警和响应等。
目前的入侵检测系统主要分为两类:
⑴基于主机的入侵检测系统:主要用于保护某一台主机的资源不被破坏。
⑵基于网络的入侵检测系统:主要用户保护整个网络不被破坏。
3.2入侵检测信息收集技术
通常来说,IDS可以通过两种方式获得信息:
(1)网络入侵检测技术模块方式
当数据从网络的一端传向另一端时,是被封装成报文来传送。每个包包括了数据中的一段内容,在到达另一端之后,这些包再被组装起来。因此,可以通过检测网络中的报文来达到获得信息的目的。通常来说,检测技术只能够检测到本机的报文,如果要监视其他机器的报文,需要把网卡设置为混杂模式。通过在网络中放置一块入侵检测技术模块,就能监视受保护机器的数据报文。在受保护的机器即将受到攻击之前,入侵检测技术模块可最先发现它。在实际的应用中,网络结构相差极大,用户只有通过具体情况分别设计实施方案,才能让网络入侵检测技术模块检测到需要保护机器的状况。同时,网络入侵检测技术模块得到的只是网络报文,获得的信息没有主机入侵检测技术模块全面,所以检测技术的结果也没有主机入侵检测技术模块准确。网络入侵检测技术模块方式的优点是方便且不增加受保护机器的负担。在网段中只要安装一台网络入侵检测技术模块即可。
(2)主机入侵检测技术模块方式
这种技术是在受保护的机器上安装了主机入侵检测技术模块,专门负责收集受保护机器上的信息。它的信息来源可以是特定应用程序日志和系统日志,也可以是系统调用和捕获特定的进程等。这种入侵检测技术模块方式的缺点是太过依赖特定的系统平台。用户必须针对不同的操作系统开发相应的模块。
3.3入侵检测信号分析技术
通常来说,IDS有一个知识库,它保存有特定的安全策略。IDS得到信息后,与知识库中的安全策略相互比较,从而发现违规的安全策略的行为。
定义知识库的方式有很多种,最常见的方法是检测技术报文中是否含有攻击特征。此方式的实现由简单到复杂分为几个层次,主要区别在于检测技术的正确性和效率性。比较简单的实现方法是把攻击特征和报文的数据进行字符串比较,如有发现匹配即报警。但是此做法使得准确性和工作效率大大降低。
构建知识库的真正目标是正确定义入侵的行为,这是IDS的核心,也是IDS和一般的网上行为管理软件的区别。
虽然这两种技术都可以监视网络行为,但IDS扩大了记录攻击特征的知识库,因此比网上行为管理软件提高了一个档次。不过定义攻击特征是一种专业性极强的工作,故须具备丰富的安全背景的专家从大量的攻击行为中提炼出常用的攻击特征,攻击特征的准确性直接决定了IDS检测技术的准确性。
3.4网络流量的异常检测
3.4.1需要网络流量异常检测的原因
误用检测的检测准确率很高,可以给出详细的说明和攻击类型,它需要时常维护一个攻击模式库,价格也不菲;又只能检测出已知的攻击。所以异常检测就出现以应对误用检测所面临的这些问题。
现在所使用的基于流量异常的检测有许多,但传统的流量异常检测方法都存在着一定的问题:较差的可扩展性;不清晰的报警意义;共享性差。
鉴于以上问题,现提出了一种比较普遍的基于网络流量的异常检测方法。它使用无状态保留的模式和基本特征矢量来描述网络流量的状态,且通过使用基于攻击特点的流量特征组合从而使得报警意义更加清晰。
3.4.2网络流量异常检测的原理
网络流量异常检测的主体思想是将网络流量特征矢量分层划分为二层:基本特征集和组合特征集。前者是从网络流量中抽取的一些基本数据,如协议信息、流量大小、端口流量信息等等,都能一定程度上描述网络流量状态;后者则能根据情况实时改变设置。
对于一种特定的攻击行为,它就能将该攻击的基本特征作为识别。例如SYN FLOOD攻击,组合特征集就能抽取其SYN包个数、平均包长等等作为识别方法。通过曾经遇到过的基本特征集的数据对攻击行为进行学习,即能获得这种攻击组合特征集的异常和正常模型,从而通过该模型检测出这种攻击行为。同时通过学习还能优化认为选取的攻击组合特征,从而更能体现攻击行为的特点,图3.1所示。
图3.1 基于网络流量进行异常检测的原理
4结语
在计算机技术飞速发展的今天,入侵检测系统也在不断的成长,也有人们的质疑,甚至有人提到了IDS已死,更看好衍生出的IPS等等。但是对于一些高需求场合,独立的入侵检测依然是必须的,虽然能够和防火墙进行联动的部署,可防火墙的部署在外网和主机之间,其大量的资源消耗在入侵检测的分析和记录中,对于防火墙功能的效率来说是明显不利的,所以单独的入侵检测产品依然有市场,有它存在的意义。
参考文献
[1] 贾铁军,沈学东等.网络安全技术及应用[M].北京:机械工业出版社,2009.
[2] 李剑.入侵检测技术[M].北京:高等教育出版社,2008.
[3] 唐正军,李建华等.入侵检测技术[M].北京:清华大学出版社,2008.
[4] 韩东海.入侵检测系统及实例剖析[M].北京:清华大学出版社,2002.
[5] Jack Koziol.Snort入侵检测实用解决方案[M].北京:机械工业出版社,2005.