徐錫霆

摘 要:對于計算機終端的入侵檢測與防御系統(tǒng)是計算機網(wǎng)絡安全的一個非常重要技術手段,但是隨著世界科技的不斷進步,高速網(wǎng)絡技術快速發(fā)展,所以關于IP網(wǎng)絡中計算機終端的入侵檢測和防御系統(tǒng)面臨著嚴峻的挑戰(zhàn)。本文通過對入侵檢測的意義及用途進行分析,在此基礎上探討了對于網(wǎng)絡中計算機終端的入侵檢測的現(xiàn)狀,最后對其存在的問題提出改進的措施,對以后入侵檢測與防護有一定的幫助。

關鍵詞:終端入侵檢測

中圖分類號:TP79 文獻標識碼:A 文章編號:1672-3791(2012)07(a)-0013-01

入侵檢測系統(tǒng)(Intrusion Detection Sys-tem,IDS)能夠有效地發(fā)現(xiàn)網(wǎng)絡的非法訪問行為。它通過硬件或者軟件對IP網(wǎng)絡上計算機的終端數(shù)據(jù)流進行不定時的檢查,一旦發(fā)現(xiàn)計算機終端有被攻擊的跡象,就應該立刻切斷IP網(wǎng)絡連接,或利用防火墻系統(tǒng)對訪問控制進行關閉等。入侵檢測的一般過程包括信息收集、信號分析和入侵檢測響應三個環(huán)節(jié)。

1入侵檢測的基本概念

入侵檢測(Intrusion Detection),是對入侵行為的發(fā)覺。入侵檢測方法分為兩類:異常入侵檢測(Anomaly Detection)和誤用入侵檢測(Misuse Detection)。現(xiàn)階段,我國常用的誤用入侵檢測方法主要有基于條件概率的誤用檢測方法、基于規(guī)則的誤用檢測方法等。誤用檢測能夠準確檢測到計算機網(wǎng)絡當中事先存儲的數(shù)據(jù),但是對未知的攻擊行為是無法檢測的。異常檢測依賴于異常模型的建立,它可以檢測到新型的攻擊,具有較低的漏警率,但是它有誤警率高的缺點[1]。

2入侵檢測系統(tǒng)

入侵檢測系統(tǒng)是一種對網(wǎng)絡傳輸進行即時監(jiān)視,它是一種主動保護自己免受攻擊的網(wǎng)絡安全技術。IDS是一種積極主動的安全防護技術,最大限度地保障系統(tǒng)安全[2]。目前,IDS發(fā)展迅速,具體來說,入侵檢測系統(tǒng)的主要功能有:(1)識別黑客常用入侵與攻擊手段;(2)監(jiān)控網(wǎng)絡異常通信;(3)鑒別對系統(tǒng)漏洞及后門的利用;(4)完善網(wǎng)絡安全管理。

3入侵檢測系統(tǒng)的設計

3.1 數(shù)據(jù)采集子系統(tǒng)

通過信息采集網(wǎng)絡化和數(shù)字化,擴大數(shù)據(jù)采集的覆蓋范圍,數(shù)據(jù)采集子系統(tǒng)位于IDS的最底層,其主要目的是從網(wǎng)絡環(huán)境中獲取事件,并向其他部分提供事件。本文是檢測IP網(wǎng)絡中計算機的入侵行為,那么就必須用大的數(shù)據(jù)源來維持數(shù)據(jù)采集系統(tǒng)的正常運行。在經(jīng)過讀取數(shù)據(jù)包首部之后,將數(shù)據(jù)過濾后幫助我們描述系統(tǒng)的正常行為,并最終識別出那些不正常的行為[3]。

3.2 建立數(shù)據(jù)分析模塊

在入侵檢測過程中,有關用戶狀態(tài)和行為等信息,包括相關的網(wǎng)絡和系統(tǒng)數(shù)據(jù),被輸入到數(shù)據(jù)分析模塊。傳感器通過檢測引擎對信息進行技術分析,一般有三種:模式匹配、統(tǒng)計分析和完整性分析。如果出現(xiàn)一種誤用的狀態(tài),系統(tǒng)則會發(fā)出一個警告信號給控制臺。所以設計者要有一個系統(tǒng)的知識,對各種網(wǎng)絡協(xié)議、系統(tǒng)漏洞等有充分了解,并制作出對應的安全規(guī)則庫和安全策略。然后要建立好檢測模型,可分為濫用型和異常型,使檢測儀器能夠模擬自己的分析,來識別確知特征的攻擊和異常行為,將最后得出的結果以報警信息的形式,反饋給控制管理中心。

3.3 控制臺子系統(tǒng)

控制臺按照告警產(chǎn)生預先定義的響應采取相應措施。控制臺子系統(tǒng)的主要任務有兩個:一是管理數(shù)據(jù)采集分析中心,顯示數(shù)據(jù)采集分析中心發(fā)送過來的警報消息;二是根據(jù)事先預定好的安全策略進行一系列的動作,確保網(wǎng)絡的安全。

3.4 數(shù)據(jù)庫管理子系統(tǒng)

數(shù)據(jù)庫管理子系統(tǒng)一個實際可運行的存儲、維護和應用系統(tǒng)提供數(shù)據(jù)的軟件系統(tǒng),它的學科含義是指研究、開發(fā)、建立、維護和應用數(shù)據(jù)庫系統(tǒng)所涉及的理論、方法、技術所構成的學科。可以認為一個好的入侵檢測系統(tǒng)不僅要為管理員提供豐富的報警信息,也應詳細記錄數(shù)據(jù),以便于將來需要獲得證據(jù)重建某些網(wǎng)絡事件[4]。

4入侵檢測存在的問題與發(fā)展趨勢

4.1 入侵檢測存在問題

近年來,入侵檢測系統(tǒng)得到了快速發(fā)展。但是還是存在著一些不可避免的問題。

4.1.1 誤/漏報率高

IDS常用的檢測方法有特征檢測、異常檢測、狀態(tài)檢測、協(xié)議分析等。在高速交換網(wǎng)絡中,入侵檢測系統(tǒng)不能很好地檢測所有的數(shù)據(jù)包。分析的準確率不高,經(jīng)常產(chǎn)生漏報。檢測規(guī)則的更新落后于攻擊手段的更新。新的攻擊沒有相應的檢測規(guī)則,經(jīng)常產(chǎn)生誤報。

4.1.2 缺乏準確定位機制

對于IP網(wǎng)絡的計算機終端來說,入侵檢測系統(tǒng)只能識別IP地址,卻無法定位IP地址,從而就不能識別網(wǎng)絡中的數(shù)據(jù)來源。所以IDS系統(tǒng)在發(fā)現(xiàn)被攻擊時,只能關閉網(wǎng)絡出口和服務器等少數(shù)端口,因而其缺乏更有效的響應處理機制。

4.2 入侵檢測的發(fā)展趨勢

近年來對入侵檢測系統(tǒng)的發(fā)展趨勢只要體現(xiàn)在以下幾方面。

4.2.1 入侵檢測系統(tǒng)的標準化

就目前而言,入侵檢測系統(tǒng)還缺乏相應的標準,入侵檢測規(guī)范標準都還不成熟,目前仍在不斷地改進和完善中,但標準化是入侵檢測系統(tǒng)發(fā)展的必然方向。首先針對分布式網(wǎng)絡攻擊的檢測方法,其次使用分布式的方法來檢測分布式的攻擊。此兩種方法可以最大限度地發(fā)揮系統(tǒng)資源的優(yōu)勢,其設計模型具有很大的靈活性。

4.2.2 檢測智能化

現(xiàn)在入侵方法越來越多洋化與綜合化,雖然已經(jīng)有了很多關于計算機終端檢測的智能代理以及神經(jīng)網(wǎng)絡與遺傳算法都運用到了入侵檢測領域當中,但這些對于入侵檢測來說只是個開始性工作。所以必須對智能化的IDS加以進一步的研究[5]。

5結語

目前來看,IP網(wǎng)絡的計算機終端被攻擊的已經(jīng)成為普遍現(xiàn)象,那么如何避免計算機終端被隨時攻擊已經(jīng)成為全球性的課題,所以我認為在未來的很多年中,基于網(wǎng)絡的入侵檢測系統(tǒng)還是計算機發(fā)展主流趨勢。

參考文獻

[1] 薛英花,呂述望,蘇桂平,等.入侵檢測系統(tǒng)研究[J].計算機工程與應用,2003(1).

[2] 張曉芬,陳明奇,楊義先.入侵檢測系統(tǒng)(IDS)的發(fā)展[J].信息安全與通信保密,2002(3).

[3] 周鼎.校園網(wǎng)入侵檢測系統(tǒng)的研究與實現(xiàn)[J].中國科技信息,2009(22).

[4] 王艷.入侵檢測系統(tǒng)在分簇無線傳感器網(wǎng)絡中的研究[J].科技廣場,2009(5).

[5] 凌永發(fā),王杰,陳躍斌.計算機入侵檢測技術應用研究[J].微計算機信息,2006(9).