入侵检测技术的研究

2022-09-11

1 入侵检测技术的出现及定义

入侵检测系统的发展已有2 0多年的历史。其概念早在1980年Janme Anderson提出, 他在一篇报告中提出了一种新的研究安全机制的方法, 这是有关入侵检测的最早论述。接着, 在1987年由Dorothy Denning提出了第一个入侵检测系统模型, 紧接着就有大量的I D S系统出现, 并且在产品商业化方面也迈开了一大步。目前的典型IDS产品有SNORT ISS (Internet Security System) 公司的Real Secure, Cisco公司的Net Ranger, NAI (Network Associates, Inc) 公司的Cybercop, NFR, Dragon IDS等。

入侵检测技术 (Intrusion Detection) 的定义为:识别针对计算机或网络资源的恶意企图和行为, 并对此做出反应的过程。I D S则是完成如上功能的独立系统。入侵检测技术是防火墙的合理补充, 帮助系统对付网络攻击, 扩展了系统管理员的安全管理能力 (包括安全审计、监视、进攻识别和响应) , 提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息, 并分析这些信息, 监测网络中是否有违反安全策略的行为和遭到袭击的迹象, 是一种用于检测计算机网络中违反安全策略行为的技术。

进行入侵检测的软件与硬件的组合便是入侵检测系统 (Intrusion Detection System, 简称IDS) 。

2 入侵方式和入侵检测原理

2.1 入侵方式主要有三种

(1) 物理入侵。

指入侵者以物理方式访问一个机器进行破坏活动, 例如趁人不备遛进机房重地赶紧敲打两下键盘试图闯入操作系统、拿着钳子改锥卸掉机器外壳“借”走硬盘装在另一台机器上进行深入研究。

(2) 系统入侵。

指入侵者在拥有系统的一个低级账号权限下进行的破坏活动。通常, 如果系统没有及时“打”最近的补丁程序, 那么拥有低级权限的用户就可能利用系统漏洞获取更高的管理特权。

(3) 远程入侵。

指入侵者通过网络渗透到一个系统中。这种情况下, 入侵者通常不具备任何特殊权限, 他们要通过漏洞扫描或端口扫描等技术发现攻击目标, 再利用相关技术执行破坏活动。N I D S主要针对的就是这种入侵。

2.2 入侵检测原理

对一个成功的入侵检测技术系统来讲, 它不但可使系统管理员时刻了解网络系统 (包括程序、文件和硬件设备等) 的任何变更, 还能给网络安全策略的制订提供指南, 更为重要的一点是, 它管理、配置简单, 从而使非专业人员非常容易地获得网络安全。而且, 入侵检测技术的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测技术系统在发现入侵后, 会及时做出响应, 包括切断网络连接、记录事件和报警等。

3 IDS的检测技术

入侵检测技术中分析策略是I D S的核心, 系统检测能力很大程度上取决于分析策略。在实现上, 分析策略通常定义为一些完全独立的检测规则。入侵检测的方法很多, 下面对一些主要的方法谈谈自己的看法。

3.1 基于专家系统

用规则来描述用户或系统的特征轮廓, 由推理方法根据用户行为来判断入侵活动。所谓的规则即是知识, 它是根据安全专家对可疑行为的分析经验来形成的一套推理规则, 然后在此基础上建立相应的专家系统, 专家系统自动进行对所涉及的攻击行为的分析工作。不同的系统与设置具有不同的规则且规则之间往往无通用性。专家系统的建立依赖于知识库的完备性知识库的完备性又取决于审计记录的完备性与实时性。特征入侵的特征抽取与表达是入侵检测专家系统的关键。其中规则描述方法有基于I F-T H E N规则描述、基于判决树的规则描述和基于图形的描述等。专家系统对历史数据的依赖性总的来说比基于统计模型的检测方法要少, 因此系统的适应性比较强, 可以较灵活地适应广谱形的安全策略和检测需求。用专家系统对入侵进行检测经常是针对有特征的入侵行为。由于这类系统的推理规则一般都是根据已知的安全漏洞进行安排和策划的, 因此对于来自于未知漏洞的攻击威胁通常就难以应付了。

3.2 基于神经网络

神经网络的引入对入侵检测系统的研究开辟了新的途径, 由于它有很多优点, 如自适应性、自学习的能力, 因此, 在基于神经网络的入侵检测系统中, 只要提供系统的审计数据, 它就可以通过自学习从中提取正常的用户或系统活动的特征模式, 而不必对大量的数据进行存取, 精简了系统的设计。基于神经网络的检测方法具有普遍性, 可以对多个用户采用相同的检测措施。神经网络适用于不精确模型, 统计方法主要依赖用户行为的主观设计, 所以此时描述的精确度很重要, 不然会引起大量的误报。入侵检测系统可以利用神经网络的分类和识别能力, 适用于用户行为的动态变化特征。

3.3 基于统计分析

入侵检测的统计方法是基于对用户历史行为以及在早期的证据或模型的基础上进行的, 由审计系统实时地检测用户对系统的使用情况, 根据系统内部保存的用户行为概率统计模型进行检测。当发现有可疑的行为发生时, 保持跟踪并监测且记录该用户的行为。统计特征轮廓由主体特征变量的频度、均值以及偏差等统计量来描述, 在基于统计性特征轮廓的异常检测器中, 使用统计的方法来判断审计与主体正常行为的偏差, 如果偏差超过规定的价值, 那么确定有入侵行为发生。在统计模型中常用的测量参数包括审计事件的数量、间隔时间、资源消耗情况等。目前提出的可用于入侵检测的几种统计模型, 有操作模型、方差、多元模型、马尔柯夫过程模型、时间序列分析等。

统计方法的最大优点是它可以学习用户的使用习惯, 从而具有较高检出率与可用性。基于统计的入侵检测系统中, 关键因素是选取合适的统计量、统计数据的分析和判断以及利用统计理论提取用户或系统正常行为的特征轮廓。这种方法主要缺点是对于非常复杂的用户行为, 很难建立一个准确匹配的统计模型, 再就是统计模型没有普遍性, 因此一个用户的检测措施并不适用于另一用户, 使得算法庞大且复杂。

4 结语

入侵检测技术作为一种主动的安全防护技术, 提供了对内部攻击、外部攻击和误操作的实时保护, 在网络系统受到危害之前拦截和响应入侵。随着网络通信技术安全性的要求越来越高, 为给电子商务等网络应用提供可靠服务, 而由于入侵检测系统能够从网络安全的立体纵深、多层次防御的角度出发提供安全服务, 已经受到人们的高度重视。对于解决网络安全有很广泛的应用前景。但入侵检测技术还远未成熟, 需要进一步投入大量的人力和物力进行研究。

摘要：网络安全随着网络技术的迅速发展而变得越来越重要。如何解决这个问题, 可以借助很多技术, 入侵检测 (ID) 技术是近年来发展迅速的网络安全技术, 它提供主动的网络保护, 从计算机网络系统中的若干关键点收集信息, 并对其进行分析, 自动检测网络流量中违反安全策略的行为或遭受潜在攻击的模式。入侵检测技术以探测与控制为技术本质, 起着主动防御的作用, 是网络安全的一个极其重要的部分。

关键词：入侵,检测,网络安全