徐錫霆

摘 要:對于計(jì)算機(jī)終端的入侵檢測與防御系統(tǒng)是計(jì)算機(jī)網(wǎng)絡(luò)安全的一個(gè)非常重要技術(shù)手段,但是隨著世界科技的不斷進(jìn)步,高速網(wǎng)絡(luò)技術(shù)快速發(fā)展,所以關(guān)于IP網(wǎng)絡(luò)中計(jì)算機(jī)終端的入侵檢測和防御系統(tǒng)面臨著嚴(yán)峻的挑戰(zhàn)。本文通過對入侵檢測的意義及用途進(jìn)行分析,在此基礎(chǔ)上探討了對于網(wǎng)絡(luò)中計(jì)算機(jī)終端的入侵檢測的現(xiàn)狀,最后對其存在的問題提出改進(jìn)的措施,對以后入侵檢測與防護(hù)有一定的幫助。

關(guān)鍵詞:終端入侵檢測

中圖分類號:TP79 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號:1672-3791(2012)07(a)-0013-01

入侵檢測系統(tǒng)(Intrusion Detection Sys-tem,IDS)能夠有效地發(fā)現(xiàn)網(wǎng)絡(luò)的非法訪問行為。它通過硬件或者軟件對IP網(wǎng)絡(luò)上計(jì)算機(jī)的終端數(shù)據(jù)流進(jìn)行不定時(shí)的檢查,一旦發(fā)現(xiàn)計(jì)算機(jī)終端有被攻擊的跡象,就應(yīng)該立刻切斷IP網(wǎng)絡(luò)連接,或利用防火墻系統(tǒng)對訪問控制進(jìn)行關(guān)閉等。入侵檢測的一般過程包括信息收集、信號分析和入侵檢測響應(yīng)三個(gè)環(huán)節(jié)。

1入侵檢測的基本概念

入侵檢測(Intrusion Detection),是對入侵行為的發(fā)覺。入侵檢測方法分為兩類:異常入侵檢測(Anomaly Detection)和誤用入侵檢測(Misuse Detection)?，F(xiàn)階段,我國常用的誤用入侵檢測方法主要有基于條件概率的誤用檢測方法、基于規(guī)則的誤用檢測方法等。誤用檢測能夠準(zhǔn)確檢測到計(jì)算機(jī)網(wǎng)絡(luò)當(dāng)中事先存儲(chǔ)的數(shù)據(jù),但是對未知的攻擊行為是無法檢測的。異常檢測依賴于異常模型的建立,它可以檢測到新型的攻擊,具有較低的漏警率,但是它有誤警率高的缺點(diǎn)[1]。

2入侵檢測系統(tǒng)

入侵檢測系統(tǒng)是一種對網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視,它是一種主動(dòng)保護(hù)自己免受攻擊的網(wǎng)絡(luò)安全技術(shù)。IDS是一種積極主動(dòng)的安全防護(hù)技術(shù),最大限度地保障系統(tǒng)安全[2]。目前,IDS發(fā)展迅速,具體來說,入侵檢測系統(tǒng)的主要功能有:(1)識(shí)別黑客常用入侵與攻擊手段;(2)監(jiān)控網(wǎng)絡(luò)異常通信;(3)鑒別對系統(tǒng)漏洞及后門的利用;(4)完善網(wǎng)絡(luò)安全管理。

3入侵檢測系統(tǒng)的設(shè)計(jì)

3.1 數(shù)據(jù)采集子系統(tǒng)

通過信息采集網(wǎng)絡(luò)化和數(shù)字化,擴(kuò)大數(shù)據(jù)采集的覆蓋范圍,數(shù)據(jù)采集子系統(tǒng)位于IDS的最底層,其主要目的是從網(wǎng)絡(luò)環(huán)境中獲取事件,并向其他部分提供事件。本文是檢測IP網(wǎng)絡(luò)中計(jì)算機(jī)的入侵行為,那么就必須用大的數(shù)據(jù)源來維持?jǐn)?shù)據(jù)采集系統(tǒng)的正常運(yùn)行。在經(jīng)過讀取數(shù)據(jù)包首部之后,將數(shù)據(jù)過濾后幫助我們描述系統(tǒng)的正常行為,并最終識(shí)別出那些不正常的行為[3]。

3.2 建立數(shù)據(jù)分析模塊

在入侵檢測過程中,有關(guān)用戶狀態(tài)和行為等信息,包括相關(guān)的網(wǎng)絡(luò)和系統(tǒng)數(shù)據(jù),被輸入到數(shù)據(jù)分析模塊。傳感器通過檢測引擎對信息進(jìn)行技術(shù)分析,一般有三種:模式匹配、統(tǒng)計(jì)分析和完整性分析。如果出現(xiàn)一種誤用的狀態(tài),系統(tǒng)則會(huì)發(fā)出一個(gè)警告信號給控制臺(tái)。所以設(shè)計(jì)者要有一個(gè)系統(tǒng)的知識(shí),對各種網(wǎng)絡(luò)協(xié)議、系統(tǒng)漏洞等有充分了解,并制作出對應(yīng)的安全規(guī)則庫和安全策略。然后要建立好檢測模型,可分為濫用型和異常型,使檢測儀器能夠模擬自己的分析,來識(shí)別確知特征的攻擊和異常行為,將最后得出的結(jié)果以報(bào)警信息的形式,反饋給控制管理中心。

3.3 控制臺(tái)子系統(tǒng)

控制臺(tái)按照告警產(chǎn)生預(yù)先定義的響應(yīng)采取相應(yīng)措施?？刂婆_(tái)子系統(tǒng)的主要任務(wù)有兩個(gè):一是管理數(shù)據(jù)采集分析中心,顯示數(shù)據(jù)采集分析中心發(fā)送過來的警報(bào)消息;二是根據(jù)事先預(yù)定好的安全策略進(jìn)行一系列的動(dòng)作,確保網(wǎng)絡(luò)的安全。

3.4 數(shù)據(jù)庫管理子系統(tǒng)

數(shù)據(jù)庫管理子系統(tǒng)一個(gè)實(shí)際可運(yùn)行的存儲(chǔ)、維護(hù)和應(yīng)用系統(tǒng)提供數(shù)據(jù)的軟件系統(tǒng),它的學(xué)科含義是指研究、開發(fā)、建立、維護(hù)和應(yīng)用數(shù)據(jù)庫系統(tǒng)所涉及的理論、方法、技術(shù)所構(gòu)成的學(xué)科?？梢哉J(rèn)為一個(gè)好的入侵檢測系統(tǒng)不僅要為管理員提供豐富的報(bào)警信息,也應(yīng)詳細(xì)記錄數(shù)據(jù),以便于將來需要獲得證據(jù)重建某些網(wǎng)絡(luò)事件[4]。

4入侵檢測存在的問題與發(fā)展趨勢

4.1 入侵檢測存在問題

近年來,入侵檢測系統(tǒng)得到了快速發(fā)展。但是還是存在著一些不可避免的問題。

4.1.1 誤/漏報(bào)率高

IDS常用的檢測方法有特征檢測、異常檢測、狀態(tài)檢測、協(xié)議分析等。在高速交換網(wǎng)絡(luò)中,入侵檢測系統(tǒng)不能很好地檢測所有的數(shù)據(jù)包。分析的準(zhǔn)確率不高,經(jīng)常產(chǎn)生漏報(bào)。檢測規(guī)則的更新落后于攻擊手段的更新。新的攻擊沒有相應(yīng)的檢測規(guī)則,經(jīng)常產(chǎn)生誤報(bào)。

4.1.2 缺乏準(zhǔn)確定位機(jī)制

對于IP網(wǎng)絡(luò)的計(jì)算機(jī)終端來說,入侵檢測系統(tǒng)只能識(shí)別IP地址,卻無法定位IP地址,從而就不能識(shí)別網(wǎng)絡(luò)中的數(shù)據(jù)來源。所以IDS系統(tǒng)在發(fā)現(xiàn)被攻擊時(shí),只能關(guān)閉網(wǎng)絡(luò)出口和服務(wù)器等少數(shù)端口,因而其缺乏更有效的響應(yīng)處理機(jī)制。

4.2 入侵檢測的發(fā)展趨勢

近年來對入侵檢測系統(tǒng)的發(fā)展趨勢只要體現(xiàn)在以下幾方面。

4.2.1 入侵檢測系統(tǒng)的標(biāo)準(zhǔn)化

就目前而言,入侵檢測系統(tǒng)還缺乏相應(yīng)的標(biāo)準(zhǔn),入侵檢測規(guī)范標(biāo)準(zhǔn)都還不成熟,目前仍在不斷地改進(jìn)和完善中,但標(biāo)準(zhǔn)化是入侵檢測系統(tǒng)發(fā)展的必然方向。首先針對分布式網(wǎng)絡(luò)攻擊的檢測方法,其次使用分布式的方法來檢測分布式的攻擊。此兩種方法可以最大限度地發(fā)揮系統(tǒng)資源的優(yōu)勢,其設(shè)計(jì)模型具有很大的靈活性。

4.2.2 檢測智能化

現(xiàn)在入侵方法越來越多洋化與綜合化,雖然已經(jīng)有了很多關(guān)于計(jì)算機(jī)終端檢測的智能代理以及神經(jīng)網(wǎng)絡(luò)與遺傳算法都運(yùn)用到了入侵檢測領(lǐng)域當(dāng)中,但這些對于入侵檢測來說只是個(gè)開始性工作。所以必須對智能化的IDS加以進(jìn)一步的研究[5]。

5結(jié)語

目前來看,IP網(wǎng)絡(luò)的計(jì)算機(jī)終端被攻擊的已經(jīng)成為普遍現(xiàn)象,那么如何避免計(jì)算機(jī)終端被隨時(shí)攻擊已經(jīng)成為全球性的課題,所以我認(rèn)為在未來的很多年中,基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)還是計(jì)算機(jī)發(fā)展主流趨勢。

參考文獻(xiàn)

[1] 薛英花,呂述望,蘇桂平,等.入侵檢測系統(tǒng)研究[J].計(jì)算機(jī)工程與應(yīng)用,2003(1).

[2] 張曉芬,陳明奇,楊義先.入侵檢測系統(tǒng)(IDS)的發(fā)展[J].信息安全與通信保密,2002(3).

[3] 周鼎.校園網(wǎng)入侵檢測系統(tǒng)的研究與實(shí)現(xiàn)[J].中國科技信息,2009(22).

[4] 王艷.入侵檢測系統(tǒng)在分簇?zé)o線傳感器網(wǎng)絡(luò)中的研究[J].科技廣場,2009(5).

[5] 凌永發(fā),王杰,陳躍斌.計(jì)算機(jī)入侵檢測技術(shù)應(yīng)用研究[J].微計(jì)算機(jī)信息,2006(9).