張黎明 呂海杰
摘 要:本文通過網(wǎng)絡(luò)現(xiàn)狀的分析,特別是校園網(wǎng)中存在的入侵形式的描述,引入了入侵檢測技術(shù)的現(xiàn)狀為以后應(yīng)對校園網(wǎng)絡(luò)出現(xiàn)的問題指明了方向,同時也指出了入侵技術(shù)研究方面的不足,為下一步研究奠定了基礎(chǔ)。
關(guān)鍵詞:校園網(wǎng)絡(luò);黑客攻擊;入侵技術(shù)
1 校園網(wǎng)絡(luò)安全現(xiàn)狀
隨著網(wǎng)絡(luò)應(yīng)用的普及,電子商務(wù)!電子銀行和電子政務(wù)等網(wǎng)絡(luò)服務(wù)的大力發(fā)展,網(wǎng)絡(luò)在人們?nèi)粘I钪械膽?yīng)用越來越多重要性越來越大,網(wǎng)絡(luò)攻擊也越來越嚴(yán)重。有一些人專門利用他們掌握的信息技術(shù)知識從事破壞活動,入侵他人計算機(jī)系統(tǒng)竊取!修改和破壞重要信息,給社會造成了巨大的損。隨著攻擊手段的變化,傳統(tǒng)的以身份驗證、加密、防火墻為主的靜態(tài)安全防護(hù)體系已經(jīng)越來越難以適應(yīng)日益變化的網(wǎng)絡(luò)環(huán)境,尤其是授權(quán)用戶的濫用權(quán)利行為,幾乎只有審計才能發(fā)現(xiàn)園網(wǎng)是國內(nèi)最大的網(wǎng)絡(luò)實體,如何保證校園網(wǎng)絡(luò)系統(tǒng)的安全,是擺在我們面前的最重要問題。
因此,校園網(wǎng)對入侵檢測系統(tǒng)也有著特別的需求校園網(wǎng)的特點(diǎn)是在線用戶比率高、上網(wǎng)時間長、用戶流量大、對服務(wù)器訪問量大,這種情況下,校園網(wǎng)絡(luò)面臨著許多安全方面的威脅:
(1)黑客攻擊,特別是假冒源地址的拒絕服務(wù)攻擊屢有發(fā)生攻擊者通過一些簡單的攻擊工具,就可以制造危害嚴(yán)重的網(wǎng)絡(luò)洪流,耗盡網(wǎng)絡(luò)資源或使主機(jī)系統(tǒng)資源遭到攻擊同時,攻擊者常常借助偽造源地址的方法,使網(wǎng)絡(luò)管理員對這種攻擊無可奈何。
(2)病毒和蠕蟲,在高速大容量的局域網(wǎng)絡(luò)中,各種病毒和蠕蟲,不論新舊都很容易通過有漏洞的系統(tǒng)迅速傳播擴(kuò)散"其中,特別是新出現(xiàn)的網(wǎng)絡(luò)蠕蟲,常??梢栽诒l(fā)初期的幾個小時內(nèi)就閃電般席卷全校,造成網(wǎng)絡(luò)阻塞甚至癱瘓。
(3)濫用網(wǎng)絡(luò)資源,在校園網(wǎng)中總會出現(xiàn)濫用帶寬等資源以致影響其他用戶甚至整個網(wǎng)絡(luò)正常使用的行為如各種掃描、廣播、訪問量過大的視頻下載服務(wù)等等。入侵檢測系統(tǒng)(IntrusionDeteetionSystem,IDS)的出現(xiàn)使得我們可以主動實時地全面防范網(wǎng)絡(luò)攻擊N工DS指從網(wǎng)絡(luò)系統(tǒng)的若干節(jié)點(diǎn)中搜集信息并進(jìn)行分析,從而發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中是否有違反安全策略的行為,并做出適當(dāng)?shù)捻憫?yīng)"它既能檢測出非授權(quán)使用計算機(jī)的用戶,也能檢測出授權(quán)用戶的濫用行為。
IDS按照功能大致可劃分為主機(jī)入侵檢測(HostIDS,HIDS)網(wǎng)絡(luò)入侵檢測(NetworkIDS,NIDS)分布式入侵檢測(DistributedIDS,DIDS)其中,網(wǎng)絡(luò)入侵檢測的特點(diǎn)是成本低,實時地檢測和分析,而且可以檢測到未成功的攻擊企圖"從分析方法的角度可分為異常檢測(Anomaly DeteCtion)和誤用檢測(MISuseDeteCtion)其中誤用檢測是指定義一系列規(guī)則,符合規(guī)則的被認(rèn)為是入侵其優(yōu)點(diǎn)是誤報率低、開銷小、效率高Snort作為IDS的經(jīng)典代表,是基于網(wǎng)絡(luò)和誤用檢測的入侵檢測系統(tǒng)入侵檢測技術(shù)自20世紀(jì)80年代早起提出以來,在早期的入侵檢測系統(tǒng)中,大多數(shù)是基于主機(jī)的,但是在過去的10年間基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)占有主要地位,現(xiàn)在和未來的發(fā)展主流將是混合型和分布式形式的入侵檢測系統(tǒng)。
2 入侵檢測研究現(xiàn)狀
國外機(jī)構(gòu)早在20世紀(jì)80年代就開展了相關(guān)基礎(chǔ)理論研究工作。經(jīng)過20多年的不斷發(fā)展,從最初的一種有價值的研究想法和單純的理論模型,迅速發(fā)展出種類繁多的各種實際原型系統(tǒng),并且在近10年內(nèi)涌現(xiàn)出許多商用入侵檢測系統(tǒng),成為計算機(jī)安全防護(hù)領(lǐng)域內(nèi)不可缺少的一種安全防護(hù)技術(shù)。Anderson在1980年的報告“Computer Seeurity Threat Monitoring and Surveillance”中,提出必須改變現(xiàn)有的系統(tǒng)審計機(jī)制,以便為專職系統(tǒng)安全人員提供安全信息,此文被認(rèn)為是有關(guān)入侵檢測的最早論述;1984一1986年,Dorothy E.Denning和Peter G.Neumann聯(lián)合開發(fā)了一個實時IDES(Intrusion DeteCtion Expert System),IDES采用統(tǒng)計分析,異常檢測和專家系統(tǒng)的混合結(jié)構(gòu),Delming1986年的論文“An Intrusion Deteetion Modelo”,被公認(rèn)為是入侵檢測領(lǐng)域的另一開山之作"。1987年,Dorothy Denning發(fā)表的經(jīng)典論文AnIntursion Deteetion Modelo中提出了入侵檢測的基本模型,并提出了幾種可用于入侵檢測的統(tǒng)計分析模型。Dnening的論文正式啟動了入侵檢測領(lǐng)域的研究工作,在發(fā)展的早期階段,入侵檢測還僅僅是個有趣的研究領(lǐng)域,還沒有獲得計算機(jī)用戶的足夠注意,因為,當(dāng)時的流行做法是將計算機(jī)安全的大部分預(yù)算投入到預(yù)防性的措施上,如:加密、身份驗證和訪問控制等方面,而將檢測和響應(yīng)等排斥在外。到了1996年后,才逐步出現(xiàn)了大量的商用入侵檢測系統(tǒng)。從20世紀(jì)90年代到現(xiàn)在,入侵檢測系統(tǒng)的研發(fā)呈現(xiàn)出百家爭鳴的繁榮局面,并在智能化和分布式兩個方向取得了長足的進(jìn)展。其中一種主要的異常檢測技術(shù)是神經(jīng)網(wǎng)絡(luò)技術(shù),此外,如基于貝葉斯網(wǎng)絡(luò)的異常檢測方法,基于模式預(yù)測的異常檢測方法,基于數(shù)據(jù)挖掘的異常檢測方法以及基于計算機(jī)免疫學(xué)的檢測方法也相繼出現(xiàn),對于誤用入侵檢測也有多種檢測方法,如專家系統(tǒng)(expert system),特征分析(Signature analysis),狀態(tài)轉(zhuǎn)移分析(State transition analysis)等.
入侵檢測系統(tǒng)的典型代表是ISSInc(國際互聯(lián)網(wǎng)安全系統(tǒng)公司)Rea1Secure產(chǎn)品。較為著名的商用入侵檢測產(chǎn)品還有:NAJ公司的CyberCoPMoitor、Axent公司的Netprowler、CISCO公司的Netranger、CA公司的SeSSionwall-3等。目前,普渡大學(xué)、加州大學(xué)戴維斯分校、洛斯阿拉莫斯國家實驗室、哥倫比亞大學(xué)、新墨西哥大學(xué)等機(jī)構(gòu)在這些方面的研究代表了當(dāng)前的最高水平。隨著計算機(jī)系統(tǒng)軟、硬件的飛速發(fā)展,以及網(wǎng)絡(luò)技術(shù)、分布式計算!系統(tǒng)工程!人工智能等計算機(jī)新興技術(shù)與理論的不斷發(fā)展與完善,入侵檢測理論本身也處于發(fā)展變化中,但還未形成一個比較完整的理論體系。
在國內(nèi),隨著上網(wǎng)的關(guān)鍵部門、關(guān)鍵業(yè)務(wù)越來越多,更需要具有自主版權(quán)的入侵檢測產(chǎn)品。我國在這方面的研究相對晚,國內(nèi)的該類產(chǎn)品較少,但發(fā)展較快,己有總參北方所、中科網(wǎng)威、啟明星辰,H3C等公司推出產(chǎn)品。至今日入侵檢測技術(shù)仍然改變了以往被動防御的特點(diǎn),使網(wǎng)絡(luò)管理員能夠主動地實時跟蹤各種危害系統(tǒng)安全的入侵行為并做出及時的響應(yīng),尤其在抵御網(wǎng)絡(luò)內(nèi)部人員的破壞時更有獨(dú)到的特點(diǎn),因而成為了防火墻之后的又一道安全防線。
隨著互聯(lián)網(wǎng)的進(jìn)一步普及和深入,入侵檢測技術(shù)有著更廣泛的發(fā)展前途和實際價值。盡管問題尚存,但希望更大,相信目前正在研究的大規(guī)模分布式入侵檢測系統(tǒng)、基于多傳感器的數(shù)據(jù)融合、基于計算機(jī)免疫技術(shù)、基于神經(jīng)網(wǎng)絡(luò)及基于遺傳算法等的新一代入侵檢測系統(tǒng)一定能夠解決目前面臨到種種問題,更好地完成抵御入侵的任務(wù)。
3 未來和展望
隨著網(wǎng)絡(luò)規(guī)模和復(fù)雜程度的不斷增長,如何在校園網(wǎng)多校區(qū)乃至異構(gòu)網(wǎng)絡(luò)環(huán)境下收集和處理分布在網(wǎng)絡(luò)各處的不同格式信息!如何進(jìn)行管理域間的合作以及保證在局部入侵檢測失效的情況下維持系統(tǒng)整體安全等"同時,伴隨著大量諸如高速/超高速接入手段的出現(xiàn),如何實現(xiàn)高速/超高速網(wǎng)絡(luò)下的實時入侵檢測。降低丟包率也成為一個現(xiàn)實的問題,面對G級的網(wǎng)絡(luò)數(shù)據(jù)流量,傳統(tǒng)的軟件結(jié)構(gòu)和算法都需要重新設(shè)計;開發(fā)和設(shè)計適當(dāng)?shù)膶S糜布渤蔀檠芯糠较蛑?時至今日,入侵檢測系統(tǒng)的評估測試方面仍然不成熟,如何對入侵檢測系統(tǒng)進(jìn)行評估是一個重要而敏感的話題。
參考文獻(xiàn)
[1]董明明,鞏青歌.Snort規(guī)則集的優(yōu)化方法.計算機(jī)安全.2009.8:35-37
[2]陳欣.構(gòu)建基于snort的局域網(wǎng)入侵檢測系統(tǒng):〔碩士學(xué)位論文〕.貴州:貴州大學(xué)計算軟件與理論,2008
[3]馬恒太,蔣建春,陳偉鋒等.基于Agent的分布式入侵檢測系統(tǒng)模型.軟件學(xué)報Vol.11,No.10,P1314一1319,2001