李洪波
(長(zhǎng)春工程學(xué)院,吉林 長(zhǎng)春 130012)
在計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)飛速發(fā)展的當(dāng)下,信息與網(wǎng)絡(luò)安全形勢(shì)也日趨嚴(yán)峻和復(fù)雜化。各國(guó)計(jì)算機(jī)技術(shù)人員的共同目標(biāo)是從技術(shù)、管理、法律等多方面采取綜合措施保障信息與網(wǎng)絡(luò)安全。但是計(jì)算機(jī)網(wǎng)絡(luò)在協(xié)議、服務(wù)和管理等方面都存在缺陷,網(wǎng)絡(luò)黑客利用這些漏洞進(jìn)行非法活動(dòng),因此研究高效的安全檢測(cè)技術(shù)和開(kāi)發(fā)實(shí)用的安全檢測(cè)系統(tǒng)具有重大的理論和實(shí)踐意義。
Internet的不安全因素主要集中在以下幾個(gè)方面:TCP/IP協(xié)議和服務(wù)本身的弱點(diǎn),網(wǎng)絡(luò)配置中缺乏統(tǒng)一策略,弱用戶認(rèn)證機(jī)制,易受到冒充和探測(cè),社會(huì)和人為因素等。計(jì)算機(jī)網(wǎng)絡(luò)中活躍著的黑客們尋找系統(tǒng)的漏洞進(jìn)行攻擊,通過(guò)上述一些缺陷就可以進(jìn)行攻擊,造成網(wǎng)絡(luò)的不安全性。
為了保護(hù)Internet上信息、服務(wù)和訪問(wèn)的安全性,人們開(kāi)發(fā)了多種安全協(xié)議和技術(shù),主要有以下幾種:
(1)存取控制:存取控制規(guī)定操作權(quán)限的分配,它一般與身份驗(yàn)證技術(shù)一起使用,根據(jù)不同身份的用戶給予不同的操作權(quán)限,以實(shí)現(xiàn)不同安全級(jí)別的信息分級(jí)管理。
(2)數(shù)據(jù)完整性:保證數(shù)據(jù)完整性至關(guān)重要,以免在傳輸過(guò)程中被篡改,因此需要驗(yàn)證收到的數(shù)據(jù)和原來(lái)數(shù)據(jù)之間保持一致。
(3)加密技術(shù):加密是一種最基本的安全技術(shù),主要用在數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)傳輸和口令技術(shù)中?,F(xiàn)在金融系統(tǒng)和商界普遍使用的算法是美國(guó)商界加密標(biāo)準(zhǔn)DE3。
(4)用戶身份認(rèn)證:它是互聯(lián)網(wǎng)上信息安全的第一道屏障。用戶身份認(rèn)證即校驗(yàn)用戶訪問(wèn)系統(tǒng)和使用信息的資格,它是網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)。
(5)安全協(xié)議:目前在TCP/IP下一版本(IPv6)中就增加TAH和ESP機(jī)制及其它安全措施。
(6)防火墻技術(shù):防火墻技術(shù)可通過(guò)與加密技術(shù)、用戶身份認(rèn)證技術(shù)相結(jié)合,能夠保證對(duì)安全協(xié)議的保護(hù),是一種比較有效的保護(hù)網(wǎng)絡(luò)安全的方法。
(7)入侵檢測(cè)技術(shù):入侵檢測(cè)和漏洞檢測(cè)技術(shù)是網(wǎng)絡(luò)安全技術(shù)的重要組成部分,它們不但可以實(shí)現(xiàn)復(fù)雜的信息系統(tǒng)安全管理,而且還可以從目標(biāo)信息系統(tǒng)和網(wǎng)絡(luò)資源中采集信息,分析來(lái)自網(wǎng)絡(luò)外部和內(nèi)部的入侵信號(hào)和網(wǎng)絡(luò)系統(tǒng)中的漏洞,發(fā)出警告或?qū)崟r(shí)對(duì)攻擊做出反應(yīng)。
IDS的研究始于20世紀(jì)80年代,安德遜于1980年引入入侵檢測(cè)概念時(shí),將入侵企圖或威脅定義為故意非授權(quán)的企圖進(jìn)行以下活動(dòng)的潛在可能性,這些活動(dòng)包括:訪問(wèn)信息、修改信息、致使系統(tǒng)不可靠或不可用。因此入侵可以定義為任何企圖破壞信息或資源的機(jī)密性、完整性、以及可用性的行為。
美國(guó)IDG InfoWorld測(cè)試中心小組開(kāi)發(fā)了一種可以稱之為Benchmarking類型的測(cè)試基準(zhǔn):IWSS16。通過(guò)收集上千種典型且可以公開(kāi)得到的攻擊方法并對(duì)其進(jìn)行組合,形成了IWSS16。IWSS16主要由四種主要類型的攻擊手段組成:
(1)收集信息:網(wǎng)絡(luò)攻擊者經(jīng)常在攻擊之前,先進(jìn)行試探性的攻擊,以便獲得系統(tǒng)有用的信息,主要手段有捕包(sniffing),PING掃描,端口掃描,帳戶掃描,DNS轉(zhuǎn)換等操作。
(2)獲取訪問(wèn)權(quán)限以各種手段獲取對(duì)網(wǎng)絡(luò)和系統(tǒng)的特權(quán)訪問(wèn),目的是獲取有價(jià)值的信息。
(3)拒絕服務(wù)(Denial of Service)DoS是最不容易捕獲的攻擊,因?yàn)樗灰琢粝潞圹E,安全管理人員不易確定攻擊來(lái)源。這種攻擊通過(guò)大量不間斷的申請(qǐng)使得系統(tǒng)處于繁忙狀態(tài)直至系統(tǒng)癱瘓;拒絕服務(wù)供給還可以利用操作系統(tǒng)的漏洞進(jìn)行針對(duì)性的攻擊。
(4)逃避檢測(cè):入侵者往往在攻擊之后,使用各種逃避檢測(cè)的手段,使其攻擊的行為不留痕跡。典型的特點(diǎn)是修改系統(tǒng)的安全審計(jì)記錄。
入侵檢測(cè)已經(jīng)被視為防火墻的合理補(bǔ)充,它從安全審計(jì),安全監(jiān)控,攻擊識(shí)別,以及對(duì)攻擊的反應(yīng)這幾方面加強(qiáng)了系統(tǒng)管理員的安全管理能力。通過(guò)入侵檢測(cè)系統(tǒng)可以使計(jì)算機(jī)系統(tǒng)對(duì)攻擊有所準(zhǔn)備并能及時(shí)做出反應(yīng)。入侵檢測(cè)系統(tǒng)從計(jì)算機(jī)系統(tǒng)的大量數(shù)據(jù)中搜集信息并分析這些信息以查找出有安全問(wèn)題的癥狀。入侵檢測(cè)系統(tǒng)通過(guò)收集和分析信息能夠完成諸多功能,如檢測(cè)和分析用戶的活動(dòng)、審核系統(tǒng)配置和漏洞、對(duì)系統(tǒng)和數(shù)據(jù)文件的完整性進(jìn)行評(píng)估、識(shí)別反映己知攻擊模式的行為、統(tǒng)計(jì)分析異常行為模式、操作系統(tǒng)日志管理,并支持對(duì)違反策略的用戶行為的識(shí)別。
漏洞評(píng)估工具對(duì)系統(tǒng)執(zhí)行嚴(yán)格的檢查以定位可導(dǎo)致安全侵害的弱點(diǎn)。漏洞評(píng)估工具使用兩種策略來(lái)執(zhí)行這些檢查。
第一種是被動(dòng)的,從主機(jī)本身出發(fā)進(jìn)行檢查,通過(guò)系統(tǒng)配置文件的設(shè)置問(wèn)題到系統(tǒng)口令的復(fù)雜和保密程度,并從中找出一些違反安全策略的內(nèi)容。第二種是主動(dòng)的,它通過(guò)模擬已知的入侵腳本來(lái)對(duì)系統(tǒng)進(jìn)行“攻擊”,然后根據(jù)系統(tǒng)做出的反映來(lái)進(jìn)行漏洞評(píng)估分析。
盡管這些系統(tǒng)不能可靠地檢測(cè)正在進(jìn)行的攻擊,但是它們可以確定攻擊是否可能發(fā)生,此外,有時(shí)它們也能確定攻擊是否已經(jīng)發(fā)生。由于它們提供的功能與入侵檢測(cè)系統(tǒng)相似,我們也將它們包括到入侵檢測(cè)技術(shù)與工具范圍內(nèi)來(lái).漏洞評(píng)估技術(shù)發(fā)展的比較成熟,己有不少成形的工具包。
入侵檢測(cè)在網(wǎng)絡(luò)安全方面的作用是不可小覷的,它已經(jīng)成為網(wǎng)絡(luò)安全體系結(jié)構(gòu)和完整的安全解決方案的重要組成部分。可以說(shuō)它也是網(wǎng)絡(luò)安全的最后一道防線,同時(shí)它還保護(hù)著其他安全子系統(tǒng)。國(guó)外很多機(jī)構(gòu)和研究人員對(duì)網(wǎng)絡(luò)安全的研究起步較早,有一些入侵檢測(cè)的產(chǎn)品,一開(kāi)始主要是檢測(cè)一些漏洞的工具包還有掃描端口的工具,逐漸發(fā)展成現(xiàn)在的一些成型的入侵檢測(cè)產(chǎn)品,而且應(yīng)用效果也很突出。國(guó)內(nèi)在這方面的研究起步比較晚,還沒(méi)有什么具體的成果出現(xiàn)。對(duì)于入侵檢測(cè)系統(tǒng)的研究瓶頸在于數(shù)據(jù)的處理方面,通過(guò)分布式計(jì)算能夠很大程度的解決該問(wèn)題,目前研究的主要方向都在分布式計(jì)算的上。在處理網(wǎng)絡(luò)中的入侵檢測(cè)系統(tǒng)中大量的數(shù)據(jù)時(shí)發(fā)現(xiàn),如果處理的數(shù)據(jù)不夠快,不能夠有效的進(jìn)行處理出現(xiàn)丟包或者檢測(cè)系統(tǒng)中出現(xiàn)單點(diǎn)失效,那么入侵檢測(cè)系統(tǒng)就是去了意義。隨著網(wǎng)絡(luò)的飛速發(fā)展,中間件技術(shù)的成熟,推動(dòng)了分布式系統(tǒng)的發(fā)展,處理數(shù)據(jù)不再使用大型機(jī)而是逐步被分布式系統(tǒng)漸漸取代。因此研究分布式計(jì)算在入侵檢測(cè)領(lǐng)域的應(yīng)用是非常有價(jià)值的。
同時(shí)為了彌補(bǔ)入侵檢測(cè)系統(tǒng)的智能方面的不足,研究人員引入了基于專家系統(tǒng)的、基于模型推理的和基于神經(jīng)網(wǎng)絡(luò)的分析方法,這樣入侵檢測(cè)系統(tǒng)在檢測(cè)已知系統(tǒng)攻擊的同時(shí)還能夠檢測(cè)到未知的入侵和更為復(fù)雜的入侵,例如通過(guò)系統(tǒng)的自學(xué)習(xí)系統(tǒng)能夠?qū)崿F(xiàn)檢測(cè),能夠根據(jù)實(shí)際檢測(cè)到的信息有效的加以處理并做出入侵可能性的判斷。但該方法還不成熟,時(shí)常會(huì)出現(xiàn)誤報(bào)、漏報(bào)的現(xiàn)象,對(duì)于用戶正常行為突發(fā)改變會(huì)不適應(yīng),而且還沒(méi)有出現(xiàn)較為完善的產(chǎn)品。目前的入侵檢測(cè)主要根據(jù)網(wǎng)絡(luò)中主要的節(jié)點(diǎn)進(jìn)行檢測(cè),根據(jù)端口的流量監(jiān)聽(tīng),并將數(shù)據(jù)進(jìn)行統(tǒng)計(jì)和分析,從主要容易被攻擊的目標(biāo)主機(jī)上進(jìn)行日志和系統(tǒng)參數(shù)的提取和分析,從中找出入侵特征并對(duì)其進(jìn)行預(yù)警,或自動(dòng)處理。但是目前的入侵檢測(cè)系統(tǒng)受到多方面的制約,如檢測(cè)的速度、設(shè)備的可擴(kuò)展性以及被攻擊后失效等因素。當(dāng)網(wǎng)絡(luò)中的主要節(jié)點(diǎn)被攻擊,有沒(méi)能及時(shí)的采取措施造成了節(jié)點(diǎn)主機(jī)癱瘓,那么整個(gè)系統(tǒng)將陷入困境。那么如何處理以上問(wèn)題成為目前的主要研究方向,提高系統(tǒng)的可擴(kuò)展性,提高計(jì)算速度和分析能力而采取分布式計(jì)算系統(tǒng)的入侵檢測(cè)系統(tǒng)正在摸索階段。如能將分布式計(jì)算和多種入侵檢測(cè)技術(shù)完美的結(jié)合將很好地解決現(xiàn)有入侵檢測(cè)系統(tǒng)的瓶頸問(wèn)題。
[1]耿麥香.網(wǎng)絡(luò)入侵檢測(cè)技術(shù)研究綜述[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2004(06).
[2]趙振輝.基于Agent和聚類的網(wǎng)分析絡(luò)入侵檢測(cè)研究[J].微電子學(xué)與計(jì)算機(jī).2013(03).