高子茜　林曉燕　于棣維

[摘要]入侵檢測(cè)作為一種新一代的安全保障技術(shù),開始備受人們的關(guān)注。針對(duì)入侵檢測(cè)技術(shù)的概念、入侵檢測(cè)的步驟、入侵檢測(cè)的分類以及入侵檢測(cè)的發(fā)展方向進(jìn)行論述。

[關(guān)鍵詞]入侵檢測(cè) 入侵管理系統(tǒng) 濫用檢測(cè) 異常檢測(cè)

中圖分類號(hào):TP3文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1671-7597(2009)0910131-01

隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展,安全問題日益突出,當(dāng)前單純依靠防火墻、安全路由器等設(shè)備已經(jīng)不能有效的抵御多種多樣的網(wǎng)絡(luò)入侵。在入侵者成功地越過防火墻之后,如何通過網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)來保證網(wǎng)絡(luò)的安全性便成了一個(gè)迫切的研究課題。

一、入侵檢測(cè)的概念

入侵檢測(cè)(Intrusion Detection)是指通過收集和分析網(wǎng)絡(luò)行為、安全日志、審計(jì)數(shù)據(jù)、其它網(wǎng)絡(luò)上可以獲得的信息以及計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)的信息,檢,從中發(fā)現(xiàn)違反安全策略的行為和遭到攻擊的跡象,并做出自動(dòng)的響應(yīng)。入侵檢測(cè)作為一種積極主動(dòng)地安全防護(hù)技術(shù),提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù),在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。因此被認(rèn)為是防火墻之后的第二道安全閘門,在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)。入侵檢測(cè)通過執(zhí)行以下任務(wù)來實(shí)現(xiàn):監(jiān)視、分析用戶及系統(tǒng)活動(dòng);系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì);識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警;異常行為模式的統(tǒng)計(jì)分析;評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性;操作系統(tǒng)的審計(jì)跟蹤管理,并識(shí)別用戶違反安全策略的行為。入侵檢測(cè)是防火墻的合理補(bǔ)充,幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊,擴(kuò)展了系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)),提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息,并分析這些信息,看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。

二、入侵檢測(cè)的步驟

入侵檢測(cè)的過程一般分為兩步:

(一)信息收集(數(shù)據(jù)采集)。其內(nèi)容主要包括網(wǎng)絡(luò)流量數(shù)據(jù)、系統(tǒng)審計(jì)數(shù)據(jù)及用戶的活動(dòng)狀態(tài)和行為。對(duì)于基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng),需要在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)收集網(wǎng)絡(luò)信息,主要包括流量信息、網(wǎng)絡(luò)設(shè)備信息等。對(duì)于基于主機(jī)的入侵檢測(cè)系統(tǒng),需要收集主機(jī)系統(tǒng)產(chǎn)生的審計(jì)文件,以便對(duì)用戶行為進(jìn)行監(jiān)測(cè)(包括登錄、退出、執(zhí)行命令、資源使用等內(nèi)容)。

(二)數(shù)據(jù)分析。數(shù)據(jù)分析過程是IDS工作的核心,主要是運(yùn)用諸如模式匹配、統(tǒng)計(jì)分析、完整性分析等方法處理收集到的信息,根據(jù)分析結(jié)果判斷檢測(cè)對(duì)象的行為是否是入侵行為。

三、入侵檢測(cè)技術(shù)分類及存在問題

入侵檢測(cè)通過對(duì)入侵和攻擊行為的檢測(cè),查出系統(tǒng)的入侵者或合法用戶對(duì)系統(tǒng)資源的濫用和誤用。根據(jù)不同的檢測(cè)方法,將入侵檢測(cè)分為可分為濫用檢測(cè)(又稱誤用檢測(cè))與異常檢測(cè)兩種。

(一)濫用檢測(cè)。濫用檢測(cè),這一檢測(cè)假設(shè)入侵者可以用一種模式來表示,系統(tǒng)的目標(biāo)是檢測(cè)主體活動(dòng)是否符合這些模式,它可以將已有的入侵方法檢測(cè)出來,其檢測(cè)方法與計(jì)算機(jī)病毒的檢測(cè)方法相類似。目前基于對(duì)包特征描述的描述匹配應(yīng)用較為廣泛。但對(duì)新的入侵方法無能為力。

常用的具體方法有:審計(jì)信息統(tǒng)計(jì)方法、神經(jīng)網(wǎng)絡(luò)方法、基于條件概率誤用入侵檢測(cè)方法、基于專家系統(tǒng)誤用入侵檢測(cè)方法、基于狀態(tài)遷移分析誤用入侵檢測(cè)方法、基于鍵盤監(jiān)控誤用入侵檢測(cè)方法、基于模型誤用入侵檢測(cè)方法等等。誤用檢測(cè)的關(guān)鍵問題是攻擊簽名的正確表示。

濫用檢測(cè)是根據(jù)攻擊簽名來判斷入侵的,根據(jù)對(duì)已知的攻擊方法的了解,用特定的模式語(yǔ)言來表示這種攻擊,使得攻擊簽名能夠準(zhǔn)確地表示入侵行為及其所有可能的變種,同時(shí)又不會(huì)把非入侵行為包含進(jìn)來。由于多數(shù)入侵行為是利用系統(tǒng)的漏洞和應(yīng)用程序的缺陷,因此,通過分析攻擊過程的特征、條件、排列以及事件間的關(guān)系,就可具體描述入侵行為的跡象。這些跡象不僅對(duì)分析已經(jīng)發(fā)生的入侵行為有幫助,而且對(duì)即將發(fā)生的入侵也有預(yù)警作用。

濫用檢測(cè)將收集到的信息與已知的攻擊簽名模式庫(kù)進(jìn)行比較,從中發(fā)現(xiàn)違背安全策略的行為。由于只需要收集相關(guān)的數(shù)據(jù),這樣系統(tǒng)的負(fù)擔(dān)明顯減少。該方法類似于病毒檢測(cè)系統(tǒng),其檢測(cè)的準(zhǔn)確率和效率都比較高。但是它也存在一些缺點(diǎn),如未知的入侵方法就不能進(jìn)行有效的檢測(cè),對(duì)于不同實(shí)現(xiàn)機(jī)制的操作系統(tǒng),由于攻擊的方法不盡相同,很難定義出統(tǒng)一的模式庫(kù)等。

(二)異常檢測(cè)。異常檢測(cè)的假設(shè)是入侵者活動(dòng)異常于正?；顒?dòng)的“活動(dòng)范圍”,根據(jù)這一理念建立主體正常活動(dòng)的“活動(dòng)檔案”,將當(dāng)前主體的活動(dòng)狀況和“活動(dòng)檔案”相比較,當(dāng)違反其統(tǒng)計(jì)規(guī)則時(shí)認(rèn)為該活動(dòng)可能是入侵行為。

常用的具體方法有:統(tǒng)計(jì)異常檢測(cè)方法、預(yù)測(cè)異常檢測(cè)方法、免疫學(xué)方法、基于特征選擇異常檢測(cè)方法、基于貝葉斯推理異常檢測(cè)方法、基于貝葉斯網(wǎng)絡(luò)異常檢測(cè)方法、基于模式預(yù)測(cè)異常檢測(cè)方法、基于神經(jīng)網(wǎng)絡(luò)異常檢測(cè)方法、基于機(jī)器學(xué)習(xí)異常檢測(cè)方法、基于數(shù)據(jù)采掘異常檢測(cè)方法等。

采用異常檢測(cè)的關(guān)鍵問題有如下兩個(gè)方面:

1.特征量的選擇在建立系統(tǒng)或用戶的行為特征輪廓的正常模型時(shí),選取的特征量既要能準(zhǔn)確地體現(xiàn)系統(tǒng)或用戶的行為特征,又能使模型最優(yōu)化,即以最少的特征量就能涵蓋系統(tǒng)或用戶的行為特征。

2.參考閾值的選定由于異常檢測(cè)是以正常的特征輪廓作為比較的參考基準(zhǔn),因此,參考閾值的選定是非常關(guān)鍵的。閾值設(shè)定得過大,那漏警率會(huì)很高;閾值設(shè)定的過小,則虛警率就會(huì)提高。合適的參考閾值的選定是決定這一檢測(cè)方法準(zhǔn)確率的至關(guān)重要的因素。

由此可見,異常檢測(cè)技術(shù)難點(diǎn)是“正?！毙袨樘卣鬏喞拇_定、特征量的選取、特征輪廓的更新。由于這幾個(gè)因素的制約,異常檢測(cè)的虛警率很高,但對(duì)于未知的入侵行為的檢測(cè)非常有效。此外,由于需要實(shí)時(shí)地建立和更新系統(tǒng)或用戶的特征輪廓,這樣所需的計(jì)算量很大,對(duì)系統(tǒng)的處理性能要求很高。

四、入侵檢測(cè)的發(fā)展方向

IDS(入侵檢測(cè)系統(tǒng))本質(zhì)上是一種監(jiān)聽系統(tǒng)它依照一定的安全策略對(duì)網(wǎng)絡(luò)與系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)測(cè),盡可能發(fā)

現(xiàn)、報(bào)告、記錄各種攻擊企圖、攻擊行為戴者攻擊結(jié)果,以保證信息系統(tǒng)的機(jī)密性、完整性和可用性。但是它也存在一定的缺陷,例如:基于特征的入侵檢測(cè)技術(shù)落伍、誤報(bào)和漏報(bào)率高等問題。為此,IMS(入侵管理系統(tǒng))的發(fā)展將成為趨勢(shì)。

IMS技術(shù)實(shí)際上包含了IDS、IPS(入侵防御系統(tǒng))的功能,并通過一個(gè)統(tǒng)一的平臺(tái)進(jìn)行統(tǒng)一管理,從系統(tǒng)的層次來解決入侵行為。IMS技術(shù)是一個(gè)過程,在行為未發(fā)生前要考慮網(wǎng)絡(luò)中有什么漏洞,判斷有可能會(huì)形成什么攻擊行為和面一舊的入侵危險(xiǎn);在行為發(fā)生時(shí)或即將發(fā)生時(shí),不僅要檢測(cè)出入侵行為,還要主動(dòng)阻斷,終止入侵行為;在入侵行為發(fā)生后,還要深層次分析入侵行為,通過關(guān)聯(lián)分析,來判斷是否還會(huì)出現(xiàn)下一個(gè)攻擊行為。

參考文獻(xiàn):

[1]李渙洲,網(wǎng)絡(luò)安全與入侵檢測(cè)技術(shù)[J].四川師范大學(xué)學(xué)報(bào),2001,(03).

[2]常秉琨,計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2009,(04).