張黎明 呂海杰
摘 要:本文通過(guò)網(wǎng)絡(luò)現(xiàn)狀的分析,特別是校園網(wǎng)中存在的入侵形式的描述,引入了入侵檢測(cè)技術(shù)的現(xiàn)狀為以后應(yīng)對(duì)校園網(wǎng)絡(luò)出現(xiàn)的問(wèn)題指明了方向,同時(shí)也指出了入侵技術(shù)研究方面的不足,為下一步研究奠定了基礎(chǔ)。
關(guān)鍵詞:校園網(wǎng)絡(luò);黑客攻擊;入侵技術(shù)
1 校園網(wǎng)絡(luò)安全現(xiàn)狀
隨著網(wǎng)絡(luò)應(yīng)用的普及,電子商務(wù)!電子銀行和電子政務(wù)等網(wǎng)絡(luò)服務(wù)的大力發(fā)展,網(wǎng)絡(luò)在人們?nèi)粘I钪械膽?yīng)用越來(lái)越多重要性越來(lái)越大,網(wǎng)絡(luò)攻擊也越來(lái)越嚴(yán)重。有一些人專(zhuān)門(mén)利用他們掌握的信息技術(shù)知識(shí)從事破壞活動(dòng),入侵他人計(jì)算機(jī)系統(tǒng)竊??!修改和破壞重要信息,給社會(huì)造成了巨大的損。隨著攻擊手段的變化,傳統(tǒng)的以身份驗(yàn)證、加密、防火墻為主的靜態(tài)安全防護(hù)體系已經(jīng)越來(lái)越難以適應(yīng)日益變化的網(wǎng)絡(luò)環(huán)境,尤其是授權(quán)用戶(hù)的濫用權(quán)利行為,幾乎只有審計(jì)才能發(fā)現(xiàn)園網(wǎng)是國(guó)內(nèi)最大的網(wǎng)絡(luò)實(shí)體,如何保證校園網(wǎng)絡(luò)系統(tǒng)的安全,是擺在我們面前的最重要問(wèn)題。
因此,校園網(wǎng)對(duì)入侵檢測(cè)系統(tǒng)也有著特別的需求校園網(wǎng)的特點(diǎn)是在線用戶(hù)比率高、上網(wǎng)時(shí)間長(zhǎng)、用戶(hù)流量大、對(duì)服務(wù)器訪問(wèn)量大,這種情況下,校園網(wǎng)絡(luò)面臨著許多安全方面的威脅:
(1)黑客攻擊,特別是假冒源地址的拒絕服務(wù)攻擊屢有發(fā)生攻擊者通過(guò)一些簡(jiǎn)單的攻擊工具,就可以制造危害嚴(yán)重的網(wǎng)絡(luò)洪流,耗盡網(wǎng)絡(luò)資源或使主機(jī)系統(tǒng)資源遭到攻擊同時(shí),攻擊者常常借助偽造源地址的方法,使網(wǎng)絡(luò)管理員對(duì)這種攻擊無(wú)可奈何。
(2)病毒和蠕蟲(chóng),在高速大容量的局域網(wǎng)絡(luò)中,各種病毒和蠕蟲(chóng),不論新舊都很容易通過(guò)有漏洞的系統(tǒng)迅速傳播擴(kuò)散"其中,特別是新出現(xiàn)的網(wǎng)絡(luò)蠕蟲(chóng),常??梢栽诒l(fā)初期的幾個(gè)小時(shí)內(nèi)就閃電般席卷全校,造成網(wǎng)絡(luò)阻塞甚至癱瘓。
(3)濫用網(wǎng)絡(luò)資源,在校園網(wǎng)中總會(huì)出現(xiàn)濫用帶寬等資源以致影響其他用戶(hù)甚至整個(gè)網(wǎng)絡(luò)正常使用的行為如各種掃描、廣播、訪問(wèn)量過(guò)大的視頻下載服務(wù)等等。入侵檢測(cè)系統(tǒng)(IntrusionDeteetionSystem,IDS)的出現(xiàn)使得我們可以主動(dòng)實(shí)時(shí)地全面防范網(wǎng)絡(luò)攻擊N工DS指從網(wǎng)絡(luò)系統(tǒng)的若干節(jié)點(diǎn)中搜集信息并進(jìn)行分析,從而發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中是否有違反安全策略的行為,并做出適當(dāng)?shù)捻憫?yīng)"它既能檢測(cè)出非授權(quán)使用計(jì)算機(jī)的用戶(hù),也能檢測(cè)出授權(quán)用戶(hù)的濫用行為。
IDS按照功能大致可劃分為主機(jī)入侵檢測(cè)(HostIDS,HIDS)網(wǎng)絡(luò)入侵檢測(cè)(NetworkIDS,NIDS)分布式入侵檢測(cè)(DistributedIDS,DIDS)其中,網(wǎng)絡(luò)入侵檢測(cè)的特點(diǎn)是成本低,實(shí)時(shí)地檢測(cè)和分析,而且可以檢測(cè)到未成功的攻擊企圖"從分析方法的角度可分為異常檢測(cè)(Anomaly DeteCtion)和誤用檢測(cè)(MISuseDeteCtion)其中誤用檢測(cè)是指定義一系列規(guī)則,符合規(guī)則的被認(rèn)為是入侵其優(yōu)點(diǎn)是誤報(bào)率低、開(kāi)銷(xiāo)小、效率高Snort作為IDS的經(jīng)典代表,是基于網(wǎng)絡(luò)和誤用檢測(cè)的入侵檢測(cè)系統(tǒng)入侵檢測(cè)技術(shù)自20世紀(jì)80年代早起提出以來(lái),在早期的入侵檢測(cè)系統(tǒng)中,大多數(shù)是基于主機(jī)的,但是在過(guò)去的10年間基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)占有主要地位,現(xiàn)在和未來(lái)的發(fā)展主流將是混合型和分布式形式的入侵檢測(cè)系統(tǒng)。
2 入侵檢測(cè)研究現(xiàn)狀
國(guó)外機(jī)構(gòu)早在20世紀(jì)80年代就開(kāi)展了相關(guān)基礎(chǔ)理論研究工作。經(jīng)過(guò)20多年的不斷發(fā)展,從最初的一種有價(jià)值的研究想法和單純的理論模型,迅速發(fā)展出種類(lèi)繁多的各種實(shí)際原型系統(tǒng),并且在近10年內(nèi)涌現(xiàn)出許多商用入侵檢測(cè)系統(tǒng),成為計(jì)算機(jī)安全防護(hù)領(lǐng)域內(nèi)不可缺少的一種安全防護(hù)技術(shù)。Anderson在1980年的報(bào)告“Computer Seeurity Threat Monitoring and Surveillance”中,提出必須改變現(xiàn)有的系統(tǒng)審計(jì)機(jī)制,以便為專(zhuān)職系統(tǒng)安全人員提供安全信息,此文被認(rèn)為是有關(guān)入侵檢測(cè)的最早論述;1984一1986年,Dorothy E.Denning和Peter G.Neumann聯(lián)合開(kāi)發(fā)了一個(gè)實(shí)時(shí)IDES(Intrusion DeteCtion Expert System),IDES采用統(tǒng)計(jì)分析,異常檢測(cè)和專(zhuān)家系統(tǒng)的混合結(jié)構(gòu),Delming1986年的論文“An Intrusion Deteetion Modelo”,被公認(rèn)為是入侵檢測(cè)領(lǐng)域的另一開(kāi)山之作"。1987年,Dorothy Denning發(fā)表的經(jīng)典論文AnIntursion Deteetion Modelo中提出了入侵檢測(cè)的基本模型,并提出了幾種可用于入侵檢測(cè)的統(tǒng)計(jì)分析模型。Dnening的論文正式啟動(dòng)了入侵檢測(cè)領(lǐng)域的研究工作,在發(fā)展的早期階段,入侵檢測(cè)還僅僅是個(gè)有趣的研究領(lǐng)域,還沒(méi)有獲得計(jì)算機(jī)用戶(hù)的足夠注意,因?yàn)?,?dāng)時(shí)的流行做法是將計(jì)算機(jī)安全的大部分預(yù)算投入到預(yù)防性的措施上,如:加密、身份驗(yàn)證和訪問(wèn)控制等方面,而將檢測(cè)和響應(yīng)等排斥在外。到了1996年后,才逐步出現(xiàn)了大量的商用入侵檢測(cè)系統(tǒng)。從20世紀(jì)90年代到現(xiàn)在,入侵檢測(cè)系統(tǒng)的研發(fā)呈現(xiàn)出百家爭(zhēng)鳴的繁榮局面,并在智能化和分布式兩個(gè)方向取得了長(zhǎng)足的進(jìn)展。其中一種主要的異常檢測(cè)技術(shù)是神經(jīng)網(wǎng)絡(luò)技術(shù),此外,如基于貝葉斯網(wǎng)絡(luò)的異常檢測(cè)方法,基于模式預(yù)測(cè)的異常檢測(cè)方法,基于數(shù)據(jù)挖掘的異常檢測(cè)方法以及基于計(jì)算機(jī)免疫學(xué)的檢測(cè)方法也相繼出現(xiàn),對(duì)于誤用入侵檢測(cè)也有多種檢測(cè)方法,如專(zhuān)家系統(tǒng)(expert system),特征分析(Signature analysis),狀態(tài)轉(zhuǎn)移分析(State transition analysis)等.
入侵檢測(cè)系統(tǒng)的典型代表是ISSInc(國(guó)際互聯(lián)網(wǎng)安全系統(tǒng)公司)Rea1Secure產(chǎn)品。較為著名的商用入侵檢測(cè)產(chǎn)品還有:NAJ公司的CyberCoPMoitor、Axent公司的Netprowler、CISCO公司的Netranger、CA公司的SeSSionwall-3等。目前,普渡大學(xué)、加州大學(xué)戴維斯分校、洛斯阿拉莫斯國(guó)家實(shí)驗(yàn)室、哥倫比亞大學(xué)、新墨西哥大學(xué)等機(jī)構(gòu)在這些方面的研究代表了當(dāng)前的最高水平。隨著計(jì)算機(jī)系統(tǒng)軟、硬件的飛速發(fā)展,以及網(wǎng)絡(luò)技術(shù)、分布式計(jì)算!系統(tǒng)工程!人工智能等計(jì)算機(jī)新興技術(shù)與理論的不斷發(fā)展與完善,入侵檢測(cè)理論本身也處于發(fā)展變化中,但還未形成一個(gè)比較完整的理論體系。
在國(guó)內(nèi),隨著上網(wǎng)的關(guān)鍵部門(mén)、關(guān)鍵業(yè)務(wù)越來(lái)越多,更需要具有自主版權(quán)的入侵檢測(cè)產(chǎn)品。我國(guó)在這方面的研究相對(duì)晚,國(guó)內(nèi)的該類(lèi)產(chǎn)品較少,但發(fā)展較快,己有總參北方所、中科網(wǎng)威、啟明星辰,H3C等公司推出產(chǎn)品。至今日入侵檢測(cè)技術(shù)仍然改變了以往被動(dòng)防御的特點(diǎn),使網(wǎng)絡(luò)管理員能夠主動(dòng)地實(shí)時(shí)跟蹤各種危害系統(tǒng)安全的入侵行為并做出及時(shí)的響應(yīng),尤其在抵御網(wǎng)絡(luò)內(nèi)部人員的破壞時(shí)更有獨(dú)到的特點(diǎn),因而成為了防火墻之后的又一道安全防線。
隨著互聯(lián)網(wǎng)的進(jìn)一步普及和深入,入侵檢測(cè)技術(shù)有著更廣泛的發(fā)展前途和實(shí)際價(jià)值。盡管問(wèn)題尚存,但希望更大,相信目前正在研究的大規(guī)模分布式入侵檢測(cè)系統(tǒng)、基于多傳感器的數(shù)據(jù)融合、基于計(jì)算機(jī)免疫技術(shù)、基于神經(jīng)網(wǎng)絡(luò)及基于遺傳算法等的新一代入侵檢測(cè)系統(tǒng)一定能夠解決目前面臨到種種問(wèn)題,更好地完成抵御入侵的任務(wù)。
3 未來(lái)和展望
隨著網(wǎng)絡(luò)規(guī)模和復(fù)雜程度的不斷增長(zhǎng),如何在校園網(wǎng)多校區(qū)乃至異構(gòu)網(wǎng)絡(luò)環(huán)境下收集和處理分布在網(wǎng)絡(luò)各處的不同格式信息!如何進(jìn)行管理域間的合作以及保證在局部入侵檢測(cè)失效的情況下維持系統(tǒng)整體安全等"同時(shí),伴隨著大量諸如高速/超高速接入手段的出現(xiàn),如何實(shí)現(xiàn)高速/超高速網(wǎng)絡(luò)下的實(shí)時(shí)入侵檢測(cè)。降低丟包率也成為一個(gè)現(xiàn)實(shí)的問(wèn)題,面對(duì)G級(jí)的網(wǎng)絡(luò)數(shù)據(jù)流量,傳統(tǒng)的軟件結(jié)構(gòu)和算法都需要重新設(shè)計(jì);開(kāi)發(fā)和設(shè)計(jì)適當(dāng)?shù)膶?zhuān)用硬件也成為研究方向之一"時(shí)至今日,入侵檢測(cè)系統(tǒng)的評(píng)估測(cè)試方面仍然不成熟,如何對(duì)入侵檢測(cè)系統(tǒng)進(jìn)行評(píng)估是一個(gè)重要而敏感的話題。
參考文獻(xiàn)
[1]董明明,鞏青歌.Snort規(guī)則集的優(yōu)化方法.計(jì)算機(jī)安全.2009.8:35-37
[2]陳欣.構(gòu)建基于snort的局域網(wǎng)入侵檢測(cè)系統(tǒng):〔碩士學(xué)位論文〕.貴州:貴州大學(xué)計(jì)算軟件與理論,2008
[3]馬恒太,蔣建春,陳偉鋒等.基于Agent的分布式入侵檢測(cè)系統(tǒng)模型.軟件學(xué)報(bào)Vol.11,No.10,P1314一1319,2001